EP0915435A2 - Method for securely storing variable data - Google Patents
Method for securely storing variable data Download PDFInfo
- Publication number
- EP0915435A2 EP0915435A2 EP99100885A EP99100885A EP0915435A2 EP 0915435 A2 EP0915435 A2 EP 0915435A2 EP 99100885 A EP99100885 A EP 99100885A EP 99100885 A EP99100885 A EP 99100885A EP 0915435 A2 EP0915435 A2 EP 0915435A2
- Authority
- EP
- European Patent Office
- Prior art keywords
- data
- record
- current
- franking machine
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00088—Communication details outside or between apparatus via landlines
- G07B2017/00096—Communication details outside or between apparatus via landlines via phone lines
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00161—Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00016—Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
- G07B17/0008—Communication details outside or between apparatus
- G07B2017/00153—Communication details outside or between apparatus for sending information
- G07B2017/00169—Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00822—Cryptography or similar special procedures in a franking system including unique details
- G07B2017/0083—Postal data, e.g. postage, address, sender, machine ID, vendor
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00846—Key management
- G07B2017/0087—Key distribution
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07B—TICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
- G07B17/00—Franking apparatus
- G07B17/00733—Cryptography or similar special procedures in a franking system
- G07B2017/00935—Passwords
Definitions
- the invention relates to a method for the secure storage of changeable data, in particular the data that accumulates during a Can change remote value specification.
- a power failure can result in a record in memory saved incorrectly. It is for operating a data processing system therefore already known, a second memory for an identical data set and to provide a state memory for a state identifier, the latter indicates whether the data record is read from the first or the second memory should be when the voltage returns.
- Errors in the status code can be saved by redundantly saving the Status identifier can be disabled.
- the most common condition identifier in the case of a majority check, however, the correct status identifier is not always required his. It is only most likely that the most common condition identifier is also the right one.
- An additional plausibility check only checks the Belonging to a valid range of values, but does not provide a clear one Statement whether the status identifier is correct or not. With the above described method, therefore, an error is not recognized, the most common is saved and is within the valid range of values.
- the first data record is determined as the current, unchangeable data record
- the Data is available for a query that changes data this change in the non-current second data record occurs that then the second data record for the current data record using the pointer is determined and that the data from the current second data set in the not current first record to be copied.
- 10 denotes a user station, which is a franking machine 12 and a telephone 14 includes.
- This phone or communication terminal such as. a modem, is connected to a via a telephone line 15 Telephone or communication terminal 16 in a data center 18, which further contains a billing device 20.
- the franking machine 12 includes one generally designated 22 Data processing device with a CPU 24, a credit memory 26, a default value memory 28 and a cryptographic device 30 which includes a key store 12.
- the data processing device 22 of course includes other parts, memories and registers here but are not shown, since they are used to describe the invention Procedures are not needed.
- software means or program storage means of the CPU 24 used in connection with the non-volatile key memory 32 to perform the encryption.
- the data processing device 22 is data exchange (modem method) connected to the communication terminal modem 14 via a line 23, which then replaces the phone 14. With the data processing device 22 an input device 34, for example a keyboard, is also connected, a display device 36 and a printing device 38.
- the accounting device 20 in the data center 18 comprises one Input device 40 and a data processing device 42 with a CPU 44, a default value memory 45, an accounting memory 46 and a cryptographic device 48 with a key store 50.
- encryption can take place in device 48 in conjunction with the CPU 44 and the non-volatile key memory by software.
- the data processing device 42 is a modem method via a line 51 connected to the modem, which in this case replaces the telephone 16.
- the value change and remote value specification method shown in FIG. 2 begins by entering input device 34 of franking machine 12 enters an identity number (PAN) (S1) which is activated by a special key 52 (FIG. 1) is confirmed.
- PAN identity number
- FOG. 1 a special key 52
- the one stored in the default value memory 28 appears in the display Default value.
- the program of the data processing device branches that of the transaction "Value change" corresponding routine (S2). Then the Desired default value by means of the input device 34 in the data processing device entered and by pressing the special key 52 approved.
- the operator enters the identity number in the Input device 40 of the billing device 20 to the caller and to identify the franking machine 12 of the user station 10.
- Checking the Identity number is shown at S6. If the check is negative, it will Procedure canceled and repeated if necessary. Can the franking machine however, the process continues. Thereby the Operator of the user's default request and any other Information about the franking machine, in particular values in the Billing registers communicated.
- the Identity number calculates first code number (S7), which in the display device 36 Franking machine 12 displayed and by the user the operator in the data center 18 is transmitted.
- this code number in the Data center 18 checks using that stored in the data center Key K1. If the result of the test is negative, the test is compared to that of the key used in previous transaction repeated. If it succeeds Verification now, it means that the previous transaction in the Franking machine was not or not completely and correctly executed. The previous transaction is therefore canceled and the procedure continues. If the code number cannot be verified with the previous key, the process is terminated.
- the first code number can be Successfully verify, the default value in memory 45 of the data center stored and the data processing device 42 in the data center 18 calculates a second code number from the identity number, the additional information and the key K1.
- a second key K2 (S9) is also calculated.
- This second code number in which the new key K2 is integrated, is the User communicated to them in the input device 34 of the franking machine enters.
- the cryptrographic device 30 is verified in the franking machine the second code number, extracted from the transmitted second code number Key K2 and stores it in place of the key K1. With negative
- the procedure is terminated, if the result is positive the entered default request stored in the default value memory 28, the previous default value is deleted (S11).
- the system calculates Data center from the identity number, the additional information and the Key K2 is a fourth code number (S15) that the franking machine together is transmitted with a new key K3.
- the franking machine is like in the first transaction, the fourth code number is verified (S16) and the new one Key K3 is extracted from the fourth code number and stored, as is the case with the first transaction with the key K2. Be in the data center the old and the new key are saved. If the result is negative the procedure was terminated.
- the Default value memory 28 of the franking machine stored value at Remaining credit in the credit memory 26 of the franking machine and in Preset value memory 45 to the billing device 20 stored value the remaining credit in the billing memory 46 of the data center 18 added (S17).
- step S2 If you do not want to change the default value, use Actuation of the special key 52 or an optionally provided third Special key confirms the default value stored in the default value memory 28 and the method goes from step S2 directly to step 4 'in Fig. 2b.
- the User calls the data center and gives the operator the identity number (PAN) and possibly further information with (S5 '). Is the If the identity number is correct (S6 '), the remote value specification procedure then runs accordingly the above description from step S13 to step S17.
- the operator has further data about the franking machine, in particular can query further register statuses to ensure the correctness of all Billing data in the franking machine and the data center check. It is also possible to get more information and more subkeys to be included in the calculation of the code number if this is to increase the Security seems reasonable. If in the data center in step S14 one of the Postage meter transmitted code number is checked, and the result is negative is always with the in the franking machine at the direct previous transaction, keys used the check again repeated. This will capture a case where a transaction in the Franking machine was not completed correctly without this Data center has received knowledge of this. In this case it would be from the data center did not transmit new keys in the franking machine saved and the franking machine is therefore encrypted with the old one Key. This gives the opportunity to cancel or cancel the last transaction correct and damage the user or the data center avoid.
- FIGS. 3a and 3b shows the value change and Reload procedure in the event that communication between the Franking machine and the data center is done automatically via modem. There the steps of the procedure are essentially the same as for the The individual steps are also using the method according to FIGS. 2a and 2b the same reference numbers increased by the number 20.
- FIG. 4 shows the division of the storage space in a schematic manner non-volatile memory, for example an NVRAM that is in the Postage meter and possibly also in the data center.
- the memory must have space to store two data records, namely sentence 1 and sentence 2 as well to save a pointer.
- Each record contains a variable Sentence "var”, which can consist of any number of bytes.
- Each also includes Record a counter variable "nr updates” which is the number of changes of the data set, i.e. every time the data is changed or renewed of a sentence is increased by 1.
- Checksum which includes at least a portion of variable data of the data set is determined.
- the Act Pointer pointer can only have two allowable values that indicate which of the two records is currently considered the current record.
- the values 0 and 1 are not saved because none of these values Bit error can be detected. Rather, the values become 0 x A5 and 0 x 5A used, where 0 x indicates that the values are in hexadecimal notation. At This number, constructed symmetrically in binary representation, can cause bit errors the number itself can be recognized.
- the initialization of the memory comprises the following steps:
- the pointer is set to set 1 (step S50). That means that the Sentence 1 is considered to be current storage, the data of which cannot be changed.
- step S51 the variables of data record 2 are reset to their initial values set.
- the count nr updates in data record 2 receives the value 0 (S52).
- the checksum is calculated using at least a part of the variable values of data record 2 are generated and at the provided for this Location of data record 2 saved (S53, S54).
- the pointer to the second record set i.e. the second record becomes the current one Data set determined (S55), on the data of which is now reliable and immutable data can be accessed.
- step S56 copies the entire contents of data record 2 into data record 1 so that both records contain identical data.
- step S61 changing data is written into the non-current data record. Because in Step S61 have changed the data of the data set, the count value no updates increased by 1 in step S62. Then the checksum is made up of data of the non-current memory newly formed (S63) and in the non-current data record saved (S64). Now the pointer is directed to the data record in which the data has just been changed so that this record is now the current one Record is (S65). Finally, the entire data of the now copied current data record into the other, not current data record (S66). Both data records in turn contain the identical data.
- Step S70 it is checked in step S70 whether the value of the pointer is permissible.
- Step S71 checks whether the checksum of the current through the pointer designated record is valid. If one of the two steps is not fulfilled, then switches the franking machine to service mode, as already mentioned above.
- step S70 and S71 are positive Result is carried out, the validity of the checksum is not in step S72 current memory checked. If this test is negative, i.e. is the checksum not valid, it can be assumed that the data storage or the Mirroring was interrupted. To correct this error, the Mirroring repeated, i.e. all data of the current data record are stored in the Copied non current record (S73). However, the checksum has turned out to be proven valid, it is checked in S74 whether the checksums of the two data records and therefore your data is the same. If this is the case, the test is finished. If, on the other hand, both checksums are valid but not the same, then that is Backup process has been interrupted before mirroring. In this The data record whose count "nr updates" is greater than that will be the case Count value of the other, selected as the current record. His data is in the copied another record (S75).
- the franking machine can be used both for the voice procedure as well as for the modem procedure.
Abstract
Description
Die Erfindung betrifft ein Verfahren zum gesicherten Speichern von veränderlichen Daten, insbesondere den Daten, die sich während einer Fernwertvorgabe ändern können.The invention relates to a method for the secure storage of changeable data, in particular the data that accumulates during a Can change remote value specification.
Ein Spannungsausfall kann dazu führen, daß ein Datensatz in einem Speicher fehlerhaft gespeichert wird. Zum Betreiben einer Datenverarbeitungsanlage ist es daher bereits bekannt, einen zweiten Speicher für einen identischen Datensatz und einen Zustandspeicher für eine Zustandskennung vorzusehen, wobei letztere anzeigt, ob der Datensatz aus dem ersten oder dem zweiten Speicher ausgelesen werden soll, wenn die Spannung wiederkehrt.A power failure can result in a record in memory saved incorrectly. It is for operating a data processing system therefore already known, a second memory for an identical data set and to provide a state memory for a state identifier, the latter indicates whether the data record is read from the first or the second memory should be when the voltage returns.
Fehler in der Zustandskennung können durch redundantes Abspeichern der Zustandskennung unwirksam gemacht werden. Die häufigste Zustandskennung bei einer Majoritätsprüfung muß aber nicht immer die richtige Zustandskennung sein. Es ist lediglich am wahrscheinlichsten, daß die häufigste Zustandskennung auch die richtige ist. Auch eine zusätzliche Plausibilitätsprüfung überprüft nur die Zugehörigkeit zu einem gültigen Wertebereich, liefert aber keine eindeutige Aussage, ob die Zustandskennung richtig ist oder nicht. Mit dem vorstehend beschriebenen Verfahren wird also ein Fehler nicht erkannt, der am häufigsten gespeichert ist und dabei im gültigen Wertebereich liegt.Errors in the status code can be saved by redundantly saving the Status identifier can be disabled. The most common condition identifier in the case of a majority check, however, the correct status identifier is not always required his. It is only most likely that the most common condition identifier is also the right one. An additional plausibility check only checks the Belonging to a valid range of values, but does not provide a clear one Statement whether the status identifier is correct or not. With the above described method, therefore, an error is not recognized, the most common is saved and is within the valid range of values.
Es ist eine weitere Aufgabe der Erfindung, die Sicherheit beim redundanten Abspeichern mit einfachen Mitteln zu erhöhen und ggf. auftretende Fehler zu beseitigen.It is another object of the invention to provide redundant security Saving with simple means to increase and any errors that occur remove.
Zur Lösung dieser Aufgabe wird vorgeschlagen, daß mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt wird, dessen Daten für eine Abfrage zur Verfügung stehen, daß bei einer Änderung von Daten diese Änderung in dem nicht aktuellen zweiten Datensatz erfolgt, daß anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und daß die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.To solve this problem it is proposed that a by means of a pointer the first data record is determined as the current, unchangeable data record, the Data is available for a query that changes data this change in the non-current second data record occurs that then the second data record for the current data record using the pointer is determined and that the data from the current second data set in the not current first record to be copied.
Diese vorstehend beschriebenen Verfahrensschritte werden sowohl beim Initialisieren des Speichers, d.h. beim Einspeichern der Anfangsdaten als auch im laufenden Betrieb ausgeführt. Der aktuelle Datensatz ist stets unveränderlich. Seine Daten sind auch bei einem Spannungsausfall nicht gefährdet, da ein Spannungsausfall in der Regel nur zu Fehlern in laufenden Schreibvorgängen führen kann. Das erfindungsgemäße Verfahren arbeitet unabhängig von der Detektion eines Spannungsausfalles während des Speichervorganges. Ein wesentlicher Schritt des erfindungsgemäßen Verfahrens liegt darin, die Konsistenz der gespeicherten Daten sowie die Gleichheit der in den beiden Datensätzen gespeicherten Daten zu überprüfen und ggf. wieder herzustellen, wie dies weiter unten noch genauer beschrieben wird.These process steps described above are used in both Initialize the memory, i.e. when saving the initial data as well as in running operation. The current data set is always unchangeable. His data is not at risk even in the event of a power failure, since one Power failure generally only leads to errors in ongoing write processes can lead. The inventive method works independently of the Detection of a power failure during the storage process. On An essential step of the method according to the invention is that Consistency of the stored data as well as the equality of the two To review and, if necessary, restore data stored in data records, as described in more detail below.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen und der folgenden Beschreibung, welche in Verbindung mit den beigefügten Zeichnungen die Erfindung anhand eines Ausführungsbeispieles erläutert. Es zeigen:
- Fig. 1
- eine schematische Darstellung einer Frankiermaschine und eines Datenzentrums,
- Fig. 2a und 2b
- eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes für das Voice-Verfahren,
- Fig. 3a und 3b
- eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes im Modem-Verfahren,
- Fig. 4
- die Aufteilung eines Speichers für die gesicherte Speicherung von Daten in Form zweier Datensätze,
- Fig. 5
- ein Flußdiagramm zur Erläuterung der Initialisierung der Daten in den beiden Datensätzen,
- Fig. 6
- ein Flußdiagramm zur Erläuterung der Speicherung von Daten im laufenden Betrieb und
- Fig. 7
- ein Flußdiagramm zur Erläuterung der Prüfung und Korrektur von Daten in den beiden Datensätzen.
- Fig. 1
- 1 shows a schematic illustration of a franking machine and a data center,
- 2a and 2b
- 1 shows a schematic representation of a remote value specification method with a change in a specification value for the voice method,
- 3a and 3b
- 1 shows a schematic representation of a remote value specification method with a change in a default value in the modem method,
- Fig. 4
- the division of a memory for the secure storage of data in the form of two data records,
- Fig. 5
- a flowchart to explain the initialization of the data in the two data records,
- Fig. 6
- a flowchart to explain the storage of data during operation and
- Fig. 7
- a flow chart to explain the checking and correction of data in the two data sets.
In Figur 1 ist mit 10 eine Benutzerstation bezeichnet, die eine Frankiermaschine
12 und eine Telefon 14 umfaßt. Dieses Telefon oder Kommunikationsendgerät,
wie z.B. ein Modem, steht über eine Telefonleitung 15 in Verbindung mit einem
Telefon oder Kommunikationsendgerät 16 in einem Datenzentrum 18, das ferner
eine Abrechnungseinrichtung 20 enthält.In FIG. 1, 10 denotes a user station, which is a
Die Frankiermaschine 12 umfaßt eine allgemein mit 22 bezeichnete
Datenverarbeitungseinrichtung mit einer CPU 24, einem Guthabenspeicher 26,
einem Vorgabewertspeicher 28 und einer kryptografischen Einrichtung 30, die
einen Schlüsselspeicher 12 beinhaltet. Die Datenverarbeitungseinrichtung 22
umfaßt selbstverständlich noch weitere Teile, Speicher und Register, die hier
jedoch nicht dargestellt sind, da sie für die Beschreibung des erfindungsgemäßen
Verfahrens nicht benötigt werden. In einer vorteilhaften Variante können statt der
separaten Einrichtung 30 Software-Mittel bzw. Programmspeichermittel der CPU
24 in Verbindung mit dem nicht flüchtigen Schlüsselspeicher 32 eingesetzt
werden, um die Verschlüsselung auszuführen. Im Falle eines automatischen
Datenaustausches (Modem-Verfahren) ist die Datenverarbeitungseinrichtung 22
über eine Leitung 23 mit dem Kommunikationsendgerät Modem 14 verbunden,
welches dann das Telefon 14 ersetzt. Mit der Datenverarbeitungseinrichtung 22
verbunden ist ferner eine Eingabeeinrichtung 34, beispielsweise eine Tastatur,
eine Anzeigeeinrichtung 36 und eine Druckeinrichtung 38.The
Die Abrechnungseinrichtung 20 im Datenzentrum 18 umfaßt eine
Eingabeeinrichtung 40 sowie eine Datenverarbeitungseinrichtung 42 mit einer
CPU 44, einem Vorgabewertspeicher 45, einem Abrechnungsspeicher 46 und
einer kryptografischen Einrichtung 48 mit einem Schlüsselspeicher 50. Auch hier
kann die Verschlüsselung statt in der Einrichtung 48 in Verbindung mit der CPU
44 und dem nicht flüchtigen Schlüsselspeicher mittels Software erfolgen. Für das
Modem-Verfahren ist die Datenverarbeitungseinrichtung 42 über eine Leitung 51
mit dem Modem verbunden, welches in diesem Falle das Telefon 16 ersetzt.The
Beim Voice-Verfahren erfolgt der Datenaustausch zwischen der Benutzerstation
10 und dem Datenzentrum 18 über die Telefone 14 und 16 und zwar
vorzugsweise durch fernmündlichen Austausch zwischen dem Benutzer der
Frankiermaschine 12 und einem Operator im Datenzentrum 18. Die mit dem
Ablauf des Fernwertvorgabeverfahrens in der Frankiermaschine und dem Datenzentrum
verbundenen wesentlichen Vorgänge sollen nun anhand der Figuren 2a
und 2b erläutert werden, die links die Vorgänge in der Benutzerstation oder
Frankiermaschine (FM) und rechts die Vorgänge im Datenzentrum (DZ) zeigen.With the voice process, data is exchanged between the
Das in Figur 2 dargestellte Wertänderungs- und Fernwertvorgabeverfahren
beginnt dadurch, daß man in die Eingabeeinrichtung 34 der Frankiermaschine 12
eine Identitätsnummer (PAN) eingibt (S1), die durch eine Sondertaste 52 (Fig. 1)
bestätigt wird. In der Anzeige erscheint der im Vorgabwertspeicher 28 gespeicherte
Vorgabewert. Für den Fall, daß dieser Wert geändert werden soll,
verzweigt das Programm der Datenverarbeitungseinrichtung die der Transaktion
"Wertänderung" entsprechenden Routine (S2). Anschließend wird der
gewünschte Vorgabewert mittels der Eingabeeinrichtung 34 in die Datenverarbeitungseinrichtung
eingegeben und durch Betätigung der Sondertaste 52
bestätigt. The value change and remote value specification method shown in FIG. 2
begins by entering
Der Benutzer ruft nun den Operator im Datenzentrum 18 an (S4) und teilt ihm die
Identitätsnummer (PAN) mit. Der Operator gibt die Identitätsnummer in die
Eingabeeinrichtung 40 der Abrechnungseinrichtung 20 ein, um den Anrufer und
die Frankiermaschine 12 der Benutzerstation 10 zu identifizieren. Die Prüfung der
Identitätsnummer ist bei S6 dargestellt. Ist die Überprüfung negativ, wird das
Verfahren abgebrochen und gegebenenfalls wiederholt. Läßt sich die Frankiermaschine
dagegen identifizieren, wird das Verfahren fortgesetzt. Dabei werden dem
Operator der Vorgabewunsch des Benutzers sowie gegebenenfalls weitere
Informationen über die Frankiermaschine, insbesondere Werte in den
Abrechnungsregistern mitgeteilt.The user now calls the operator in the data center 18 (S4) and shares it with him
Identity number (PAN) with. The operator enters the identity number in the
In der Frankiermaschine wird zur Fortsetzung des Verfahrens aus der
Identitätsnummer, dem Vorgabewunsch und einer Zusatzinformation,
beispielsweise einem weiteren Registerwert mittels eines Schlüssels K1 eine
erste Codezahl berechnet (S7), die in der Anzeigeeinrichtung 36 der
Frankiermaschine 12 angezeigt und von dem Benutzer dem Operator im Datenzentrum
18 übermittelt wird. Bei Schritt S8 wird diese Codezahl in dem
Datenzentrum 18 überprüft mit Hilfe des im Datenzentrum gespeicherten
Schlüssels K1. Bei negativem Prüfungsergebnis wird die Prüfung mit dem bei der
vorhergehenden Transaktion verwendeten Schlüssel wiederholt. Gelingt die
Verifizierung jetzt, bedeutet das, daß die vorhergehende Transaktion in der
Frankiermaschine nicht oder nicht vollständig und korrekt ausgeführt wurde. Die
vorhergehende Transaktion wird daher storniert und das Verfahren fortgesetzt.
Kann die Codezahl auch mit dem vorhergehenden Schlüssel nicht verifiziert werden,
wird das Verfahren abgebrochen. Läßt sich dagegen die erste Codezahl
erfolgreich verifizieren, wird der Vorgabewert im Speicher 45 des Datenzentrums
gespeichert und die Datenverarbeitungseinrichtung 42 im Datenzentrum 18
berechnet eine zweite Codezahl aus der Identitätsnummer, der Zusatzinformation
und dem Schlüssel K1. Ferner wird ein zweiter Schlüssel K2 (S9) berechnet.
Diese zweite Codezahl, in die der neue Schlüssel K2 integriert ist, wird dem
Benutzer mitgeteilt, der sie in die Eingabeeinrichtung 34 der Frankiermaschine
eingibt. Die kryptrographische Vorrichtung 30 in der Frankiermaschine verfiziert
die zweite Codezahl, extrahiert aus der übermittelten zweiten Codezahl den
Schlüssel K2 und speichert ihn an Stelle des Schlüssels K1. Bei negativem
Ergebnis wird das Verfahren abgebrochen, bei positivem Ergebnis wird der
eingegebene Vorgabewunsch im Vorgabewertspeicher 28 gespeichert, wobei der
frühere Vorgabewert gelöscht wird (S11).In the franking machine, the
Identity number, the default request and additional information,
for example, another register value using a key K1
calculates first code number (S7), which in the
Damit ist die erste Transaktion beendet und der Vorgabewert geändert. Der
Benutzer hat nun die Möglichkeit, das Verfahren zu beenden und durch
Betätigung einer weiteren Sondertaste 54 die Frankiermaschine 12 in den
Frankiermodus zurückzustellen oder durch nochmalige Betätigung der ersten
Sondertaste 52 den Nachladevorgang einzuleiten (S12). Geschieht letzteres, wird
in der Frankiermaschine unter Verwendung der Identitätsnummer und der
Zusatzinformation mittels des abgespeicherten Schlüssels K2 eine dritte
Codezahl berechnet, die dem Datenzentrum mitgeteilt wird (S13). Im
Datenzentrum wird die dritte Codezahl verifiziert (S14). Bei negativem Ergebnis
wird das Verfahren abgebrochen, bei positivem Ergebnis berechnet das
Datenzentrum aus der Identitätsnummer, der Zusatzinformation und dem
Schlüssel K2 eine vierte Codezahl (S15), die der Frankiermaschine zusammen
mit einem neuen Schlüssel K3 übermittelt wird. In der Frankiermaschine wird wie
bei der ersten Transaktion die vierte Codezahl verifiziert (S16) und der neue
Schlüssel K3 aus der vierten Codezahl extrahiert und gespeichert, wie dies bei
der ersten Transaktion mit dem Schlüssel K2 erfolgte. Im Datenzentrum werden
jeweils der alte und der neue Schlüssel gespeichert. Bei negativem Ergebnis wird
das Verfahren abgebrochen. Bei positivem Ergebnis wird der im
Vorgabewertspeicher 28 der Frankiermaschine gespeicherte Wert zum
Restguthaben im Guthabenspeicher 26 der Frankiermaschine und der im
Vorgabewertspeicher 45 der Abrechnungseinrichtung 20 gespeicherte Wert zu
dem Restguthaben im Abrechnungsspeicher 46 des Datenzentrums 18 addiert
(S17). Damit ist auch die zweite Transaktion, das heißt die Fernwertvorgabe mit
geändertem Vorgabewert abgeschlossen. Die Frankiermaschine kehrt selbsttätig
in den Frankiermodus zurück.This completes the first transaction and changes the default value. The
User now has the option to end the process and by
Pressing another special key 54 the
Wenn eine Änderung des Vorgabewertes nicht gewünscht ist, wird durch
Betätigung der Sondertaste 52 oder auch einer wahlweise vorgesehenen dritten
Sondertaste der im Vorgabewertspeicher 28 gespeicherte Vorgabewert bestätigt
und das Verfahren geht von Schritt S2 unmittelbar zu Schritt 4' in Fig. 2b. Der
Benutzer ruft das Datenzentrum an und teilt dem Operator die Identitätsnummer
(PAN) und gegebenenfalls weitere Informationen mit (S5'). Ist die
Identitätsnummer richtig (S6'), läuft das Fernwertvorgabeverfahren dann entsprechend
der vorstehenden Beschreibung von Schritt S13 bis Schritt S17 durch.If you do not want to change the default value, use
Actuation of the special key 52 or an optionally provided third
Special key confirms the default value stored in the
Es versteht sich, daß der Operator weitere Daten über die Frankiermaschine, insbesondere weitere Registerstände abfragen kann, um die Korrektheit aller Abrechnungsdaten in der Frankiermaschine und dem Datenzentrum zu überprüfen. Es ist auch möglich, weitere Informationen und weitere Teilschlüssel in die Berechnung der Codezahl einzubeziehen, wenn dies zur Erhöhung der Sicherheit sinnvoll erscheint. Wenn im Datenzentrum im Schritt S14 eine von der Frankiermaschine übermittelte Codezahl überprüft wird, und das Ergebnis negativ ist, wird stets mit dem in der Frankiermaschine bei der unmittelbar vorhergegangenen Transaktion verwendeten Schlüssel die Prüfung nochmals wiederholt. Damit wird ein Fall erfaßt werden, in dem eine Transaktion in der Frankiermaschine nicht korrekt abgeschlossen wurde, ohne daß das Datenzentrum hiervon Kenntnis erhalten hat. In diesem Falle würde der vom Datenzentrum übermittelte neue Schlüssel in der Frankiermaschine nicht abgespeichert und die Frankiermaschine verschlüsselt daher mit dem alten Schlüssel. Dies gibt die Möglichkeit, die letzte Transaktion zu anullieren oder zu korrigieren und damit Schaden für den Benutzer oder das Datenzentrum zu vermeiden.It goes without saying that the operator has further data about the franking machine, in particular can query further register statuses to ensure the correctness of all Billing data in the franking machine and the data center check. It is also possible to get more information and more subkeys to be included in the calculation of the code number if this is to increase the Security seems reasonable. If in the data center in step S14 one of the Postage meter transmitted code number is checked, and the result is negative is always with the in the franking machine at the direct previous transaction, keys used the check again repeated. This will capture a case where a transaction in the Franking machine was not completed correctly without this Data center has received knowledge of this. In this case it would be from the data center did not transmit new keys in the franking machine saved and the franking machine is therefore encrypted with the old one Key. This gives the opportunity to cancel or cancel the last transaction correct and damage the user or the data center avoid.
Das Flußdiagramm gemäß den Figuren 3a und 3b zeigt das Wertänderungs- und
Nachladeverfahren für den Fall, daß die Kommunikation zwischen der
Frankiermaschine und dem Datenzentrum automatisch über Modem erfolgt. Da
die Schritte des Verfahrens im wesentlichen die gleichen sind wie bei dem
Verfahren gemäß den Figuren 2a und 2b sind die einzelnen Schritte auch mit den
gleichen Bezugsziffern vermehrt um die Zahl 20 versehen.The flow chart according to FIGS. 3a and 3b shows the value change and
Reload procedure in the event that communication between the
Franking machine and the data center is done automatically via modem. There
the steps of the procedure are essentially the same as for the
The individual steps are also using the method according to FIGS. 2a and 2b
the same reference numbers increased by the
Wie bei dem anhand der Figuren 2a und 2b beschriebenen Verfahren gibt der
Benutzer der Frankiermaschine nach dem Einschalten derselben die
Portoaufrufnummer oder Identitatsnummer PAN ein und bestätigt diese Eingabe
durch die Betätigung der Sondertaste 52. Es wird nun der abgespeicherte
Vorgabewert angezeigt. Entweder bestätigt der Benutzer diesen Wert durch die
Betätigung der Sondertaste 52 oder er überschreibt ihn durch einen neuen
Vorgabewert, der ebenfalls durch die Betätigung der Sondertaste 52 bestätigt
wird. Alle weiteren Schritte laufen nun automatisch ohne Zutun des Benutzers der
Frankiermaschine zwischen der Frankiermaschine und dem Datenzentrum ab und
zwar in der gleichen Weise, wie dies bei dem anhand der Figuren 2a und 2b
beschriebenen Voice-Verfahren erläutert wurde. Der einzige Unterschied besteht
darin, daß beim Modem-Verfahren zwischen der Frankiermaschine und dem
Datenzentrum nur die Krypto-Meldungen, d.h. die verschlüsselten Meldungen und
nicht die aus diesen gewonnenen verkürzten Codezahlen ausgetauscht werden.As with the method described with reference to FIGS. 2a and 2b, the
Users of the franking machine after switching on the
Postage call number or identity number PAN and confirms this entry
by pressing the
Anhand der Figuren 4 bis 7 wird nun ein Verfahren zum Speichern von sicherheitsrelevanten Daten insbesondere während der Fernwertvorgabe beschrieben.4 to 7, a method for storing security-relevant data, especially during remote value specification described.
Figur 4 zeigt in schematischer Weise die Aufteilung des Speicherplatzes in einem
nicht flüchtigen Speicher, beispielsweise einem NVRAM, das in der
Frankiermaschine und ggf. auch im Datenzentrum vorhanden ist. Der Speicher
muß Platz zum Speichern zweier Datensätze, nämlich Satz 1 und Satz 2 sowie
zum Speichern eines Zeigers haben. Jeder Datensatz umfaßt einen variablen
Satz "var", der aus beliebig vielen Byte bestehen kann. Ferner umfaßt jeder
Datensatz eine Zählervariable "nr Updates" welche die Anzahl von Änderungen
des Datensatzes angibt, d.h. bei jeder Änderung oder Erneuerung der Daten
eines Satzes um 1 erhöht wird. Schließlich gehört zu einem Datensatz noch eine
Prüfsumme "Checksum", die unter Einbeziehung mindestens eines Teils von
variablen Daten des Datensatzes ermittelt wird.FIG. 4 shows the division of the storage space in a schematic manner
non-volatile memory, for example an NVRAM that is in the
Postage meter and possibly also in the data center. The memory
must have space to store two data records, namely
Der Zeiger "Act Pointer" kann nur zwei zulässige Werte haben, die angeben,
welcher der beiden Datensätze gerade als der aktuelle Datensatz betrachtet wird.
Dabei werden nicht die Werte 0 und 1 abgespeichert, da bei diesen Werten kein
Bitfehler erkannt werden kann. Vielmehr werden die Werte 0 x A5 bzw. 0 x 5A
verwendet, wobei 0 x andeutet, daß die Werte hexadezimal notiert sind. Bei
dieser in binärer Darstellung symmetrisch aufgebauten Zahl können Bitfehler aus
der Zahl selbst heraus erkannt werden.The Act Pointer pointer can only have two allowable values that indicate
which of the two records is currently considered the current record.
The
Das gesamte Verfahren unterteilt sich in drei Schritte:
Gemäß Figur 5 umfaßt das Initialisieren des Speichers die folgenden Schritte:According to FIG. 5, the initialization of the memory comprises the following steps:
Zunächst wird der Zeiger auf Satz 1 gesetzt (Schritt S50). Das bedeutet, daß der
Satz 1 als aktueller Speicher betrachtet wird, dessen Daten unveränderlich sind.
Dann werden im Schritt S51 die Variablen des Datensatzes 2 auf ihre Anfangswerte
gesetzt. Der Zählwert nr Updates in Datensatz 2 erhält den Wert 0 (S52).
Anschließend wird die Prüfsumme unter Verwendung mindestens eines Teiles der
variablen Werte des Datensatzes 2 erzeugt und an den hierfür vorgesehenen
Platz des Datensatzes 2 abgespeichert (S53, S54). Nun wird der Zeiger auf den
zweiten Datensatz gesetzt, d.h. der zweite Datensatz wird zum aktuellen
Datensatz bestimmt (S55), auf dessen Daten nun als zuverlässige und
unveränderliche Daten zurückgegriffen werden kann. Abschließend wird in Schritt
S56 der gesamte Inhalt des Datensatzes 2 in den Datensatz 1 kopiert, so daß
beide Datensätze identische Daten enthalten.First, the pointer is set to set 1 (step S50). That means that the
Im laufenden Betrieb erfolgt eine Änderung von Daten nur im nicht aktuellen Datensatz. Gemäß Figur 6 wird im laufenden Betrieb zunächst festgestellt, welcher Datensatz der nicht aktuelle Datensatz ist (S60). In Schritt S61 werden sich ändernde Daten in den nicht aktuellen Datensatz eingeschrieben. Da sich in Schritt S61 die Daten des Datensatzes geändert haben, wird der Zählwert nr updates in Schritt S62 um 1 erhöht. Anschließend wird die Prüfsumme aus Daten des nicht aktuellen Speichers neu gebildet (S63) und im nicht aktuellen Datensatz gespeichert (S64). Nun wird der Zeiger auf den Datensatz gerichtet, in dem soeben die Daten geändert wurden, so daß dieser Satz nun der aktuelle Datensatz ist (S65). Abschließend werden die gesamten Daten des nunmehr aktuellen Datensatzes in den anderen, nicht aktuellen Datensatz kopiert (S66). Beide Datensätze enthalten wiederum die identischen Daten. During operation, data is only changed in the non-current one Record. According to FIG. 6, it is first determined during operation that which data record is the not current data record (S60). In step S61 changing data is written into the non-current data record. Because in Step S61 have changed the data of the data set, the count value no updates increased by 1 in step S62. Then the checksum is made up of data of the non-current memory newly formed (S63) and in the non-current data record saved (S64). Now the pointer is directed to the data record in which the data has just been changed so that this record is now the current one Record is (S65). Finally, the entire data of the now copied current data record into the other, not current data record (S66). Both data records in turn contain the identical data.
Beim Einschalten der Frankiermaschine und vor dem Aufrufen der Fernwertvorgabe muß überprüft werden, ob eine vorangegangene Transaktion beispielsweise durch ein Spannungsabfall unterbrochen wurde und daher Operationen erforderlich sind, um Inkonsistenzen in den abgespeicherten Daten zu beheben.When switching on the franking machine and before calling up the Remote value specification must be checked whether a previous transaction for example, was interrupted by a voltage drop and therefore Operations are required to avoid inconsistencies in the stored data to fix.
Für die Prüfung werden folgende Grundvoraussetzungen gemacht:
Ist mindestens eine der vorstehend genannten Voraussetzungen nicht erfüllt, so liegt ein fataler Fehler vor und die Frankiermaschine geht in den Service Modus.If at least one of the above requirements is not met, then there is a fatal error and the franking machine goes into service mode.
Zur Konsistenzprüfung werden folgende Schritte durchgeführt, die anhand der Figur 7 erläutert werden sollen.The following steps are carried out to check the consistency Figure 7 are to be explained.
Zunächst wird in Schritt S70 geprüft, ob der Wert des Zeigers zulässig ist. In Schritt S71 wird geprüft, ob die Prüfsumme des aktuellen durch den Zeiger bezeichneten Datensatzes gültig ist. Ist einer der beiden Schritte nicht erfüllt, so schaltet die Frankiermaschine, wie oben bereits erwähnt, in den Service Modus.First, it is checked in step S70 whether the value of the pointer is permissible. In Step S71 checks whether the checksum of the current through the pointer designated record is valid. If one of the two steps is not fulfilled, then switches the franking machine to service mode, as already mentioned above.
Haben die Prüfungen in den Schritten S70 und S71 dagegen zu einem positiven Ergebnis geführt, wird in Schritt S72 die Gültigkeit der Prüfsumme des nicht aktuellen Speichers überprüft. Fällt diese Prüfung negativ aus, d.h. ist die Prüfsumme nicht gültig, so ist davon auszugehen, daß die Datenspeicherung oder die Datenspiegelung unterbrochen wurden. Zur Korrektur dieses Fehlers wird die Spiegelung wiederholt, d.h. alle Daten des aktuellen Datensatzes werden in den nicht aktuellen Datensatz kopiert (S73). Hat sich die Prüfsumme dagegen als gültig erwiesen, wird in S74 geprüft, ob die Prüfsummen der beiden Datensätze und damit auch ihre Daten gleich sind. Ist dies der Fall, ist die Prüfung beendet. Sind dagegen beide Prüfsummen zwar gültig, aber ungleich, so ist der Datensicherungsvorgang vor der Spiegelung unterbrochen worden. In diesem Falle wird der Datensatz, dessen Zählwert "nr Updates" größer ist als der Zählwert des anderen, als aktueller Satz gewählt. Seine Daten werden in den anderen Datensatz kopiert (S75).On the other hand, the tests in steps S70 and S71 are positive Result is carried out, the validity of the checksum is not in step S72 current memory checked. If this test is negative, i.e. is the checksum not valid, it can be assumed that the data storage or the Mirroring was interrupted. To correct this error, the Mirroring repeated, i.e. all data of the current data record are stored in the Copied non current record (S73). However, the checksum has turned out to be proven valid, it is checked in S74 whether the checksums of the two data records and therefore your data is the same. If this is the case, the test is finished. If, on the other hand, both checksums are valid but not the same, then that is Backup process has been interrupted before mirroring. In this The data record whose count "nr updates" is greater than that will be the case Count value of the other, selected as the current record. His data is in the copied another record (S75).
Bei einer abgewandelten Ausführungsform kann die Frankiermaschine sowohl für das Voice-Verfahren als auch für das Modemverfahren eingerichtet sein. Mittels einer Wahltaste 58 (Fig. 1) an der Frankiermaschine kann der Benutzer die Art des Kommunikationsverfahrens mit dem Datenzentrum wählen.In a modified embodiment, the franking machine can be used both for the voice procedure as well as for the modem procedure. Means a selection button 58 (Fig. 1) on the franking machine, the user can type the communication method with the data center.
Claims (4)
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE4422263A DE4422263A1 (en) | 1994-06-24 | 1994-06-24 | Method for coordinating the data stock between an electronic franking machine and a data center |
DE4422263 | 1994-06-24 | ||
EP95109864A EP0689170B1 (en) | 1994-06-24 | 1995-06-23 | Method for adapting the datafile between an electronic franking machine and a data center |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP95109864A Division EP0689170B1 (en) | 1994-06-24 | 1995-06-23 | Method for adapting the datafile between an electronic franking machine and a data center |
Publications (3)
Publication Number | Publication Date |
---|---|
EP0915435A2 true EP0915435A2 (en) | 1999-05-12 |
EP0915435A3 EP0915435A3 (en) | 2000-06-07 |
EP0915435B1 EP0915435B1 (en) | 2002-10-02 |
Family
ID=6521496
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP99100885A Expired - Lifetime EP0915435B1 (en) | 1994-06-24 | 1995-06-23 | Method for securely storing variable data |
EP95109864A Expired - Lifetime EP0689170B1 (en) | 1994-06-24 | 1995-06-23 | Method for adapting the datafile between an electronic franking machine and a data center |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
EP95109864A Expired - Lifetime EP0689170B1 (en) | 1994-06-24 | 1995-06-23 | Method for adapting the datafile between an electronic franking machine and a data center |
Country Status (5)
Country | Link |
---|---|
US (1) | US5699415A (en) |
EP (2) | EP0915435B1 (en) |
AT (2) | ATE225544T1 (en) |
DE (3) | DE4422263A1 (en) |
ES (2) | ES2187080T3 (en) |
Families Citing this family (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19617476A1 (en) | 1996-05-02 | 1997-11-06 | Francotyp Postalia Gmbh | Method and arrangement for data processing in a mail processing system with a franking machine |
DE19617557A1 (en) * | 1996-05-02 | 1997-11-06 | Francotyp Postalia Gmbh | Method for determining the cheapest carrier and mail processing system with personal computer and with a method for data processing |
DE19617586A1 (en) * | 1996-05-02 | 1997-11-06 | Francotyp Postalia Gmbh | Method for data processing in a mail processing system with a franking machine and arrangement |
DE19617473A1 (en) * | 1996-05-02 | 1997-11-06 | Francotyp Postalia Gmbh | Method and arrangement for data processing in a mail processing system with a franking machine |
US5731980A (en) * | 1996-08-23 | 1998-03-24 | Pitney Bowes Inc. | Electronic postage meter system having internal accounting system and removable external accounting system |
US5812400A (en) * | 1996-08-23 | 1998-09-22 | Pitney Bowes Inc. | Electronic postage meter installation and location movement system |
US6050486A (en) * | 1996-08-23 | 2000-04-18 | Pitney Bowes Inc. | Electronic postage meter system separable printer and accounting arrangement incorporating partition of indicia and accounting information |
US5999921A (en) * | 1997-04-30 | 1999-12-07 | Pitney Bowes Inc. | Electronic postage meter system having plural clock system providing enhanced security |
DE19818708A1 (en) | 1998-04-21 | 1999-11-04 | Francotyp Postalia Gmbh | Method for reloading a postage credit into an electronic franking device |
DE19830055B4 (en) * | 1998-06-29 | 2005-10-13 | Francotyp-Postalia Ag & Co. Kg | Method for the secure transmission of service data to a terminal and arrangement for carrying out the method |
US6772180B1 (en) * | 1999-01-22 | 2004-08-03 | International Business Machines Corporation | Data representation schema translation through shared examples |
DE19913067A1 (en) * | 1999-03-17 | 2000-09-21 | Francotyp Postalia Gmbh | Method for the automatic installation of franking devices and arrangement for carrying out the method |
DE29913639U1 (en) | 1999-07-30 | 2000-01-13 | Francotyp Postalia Gmbh | Franking and franking machine |
DE10023145A1 (en) * | 2000-05-12 | 2001-11-15 | Francotyp Postalia Gmbh | Postage meter and method for releasing a postage meter |
GB2370130B (en) | 2000-10-11 | 2004-10-06 | Ford Motor Co | A control system for a hybrid electric vehicle |
US20030128843A1 (en) * | 2002-01-04 | 2003-07-10 | Andrew Brown | Method and apparatus for preserving a strong random number across battery replacement in a security subsystem |
US7613654B2 (en) * | 2002-10-30 | 2009-11-03 | Neopost Technologies | Use of electronic devices for money transfer |
US6942144B2 (en) * | 2002-11-26 | 2005-09-13 | Neopost Industrie Sa | Secure remote access to metering product enclosure |
DE10309815A1 (en) * | 2003-03-05 | 2004-09-23 | Francotyp-Postalia Ag & Co. Kg | Method for data exchange between data processing units |
DE102004014427A1 (en) * | 2004-03-19 | 2005-10-27 | Francotyp-Postalia Ag & Co. Kg | A method for server-managed security management of deliverable services and arrangement for providing data after a security management for a franking system |
US7877628B2 (en) * | 2006-06-08 | 2011-01-25 | International Business Machines Corporation | Mirroring data between primary and secondary sites |
US9183590B2 (en) * | 2010-07-20 | 2015-11-10 | Neopost Technologies | System and method for managing postal accounting data using transient data collectors |
US20120303533A1 (en) * | 2011-05-26 | 2012-11-29 | Michael Collins Pinkus | System and method for securing, distributing and enforcing for-hire vehicle operating parameters |
US20130060721A1 (en) | 2011-09-02 | 2013-03-07 | Frias Transportation Infrastructure, Llc | Systems and methods for pairing of for-hire vehicle meters and medallions |
US9992175B2 (en) * | 2016-01-08 | 2018-06-05 | Moneygram International, Inc. | Systems and method for providing a data security service |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0019515A2 (en) * | 1979-05-09 | 1980-11-26 | Friden Mailing Equipment Corporation | Electronic postage meter having improved security and fault tolerance features |
US4566106A (en) * | 1982-01-29 | 1986-01-21 | Pitney Bowes Inc. | Electronic postage meter having redundant memory |
EP0222197A2 (en) * | 1985-10-16 | 1987-05-20 | Pitney Bowes Inc. | Systems for non-volatile storage of data and postage meter systems |
US4706215A (en) * | 1984-08-22 | 1987-11-10 | Pitney Bowes Inc. | Data protection system for electronic postage meters having multiple non-volatile multiple memories |
US5029093A (en) * | 1985-10-15 | 1991-07-02 | Pitney Bowes Inc. | Dual redundant electronic postage meter |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3769445A (en) * | 1972-02-10 | 1973-10-30 | O Bregenzer | Ground conduit construction |
US3792446A (en) | 1972-12-04 | 1974-02-12 | Pitney Bowes Inc | Remote postage meter resetting method |
US4097923A (en) * | 1975-04-16 | 1978-06-27 | Pitney-Bowes, Inc. | Remote postage meter charging system using an advanced microcomputerized postage meter |
DE2820658A1 (en) | 1978-05-11 | 1979-11-15 | Pitney Bowes | Remote postage meter accounting system - has digital computer for converting variable data into coded meter data fed to postage meter station |
DE3126786C3 (en) * | 1980-07-14 | 1997-11-13 | Pitney Bowes Inc | Improved remote-controlled franking machine reloading system |
US4907161A (en) * | 1985-12-26 | 1990-03-06 | Pitney Bowes Inc. | Batch mailing system |
US4787045A (en) * | 1986-04-10 | 1988-11-22 | Pitney Bowes Inc. | Postage meter recharging system |
GB8830423D0 (en) * | 1988-12-30 | 1989-03-01 | Alcatel Business Systems | Franking system |
US5369401A (en) * | 1989-03-23 | 1994-11-29 | F.M.E. Corporation | Remote meter operation |
CH678368A5 (en) * | 1989-03-29 | 1991-08-30 | Frama Ag | |
US5237506A (en) * | 1990-02-16 | 1993-08-17 | Ascom Autelca Ag | Remote resetting postage meter |
US5224046A (en) * | 1990-09-13 | 1993-06-29 | Pitney Bowes Inc. | System for recharging a plurality of postage meters |
GB9127477D0 (en) * | 1991-12-30 | 1992-02-19 | Alcatel Business Systems | Franking meter system |
-
1994
- 1994-06-24 DE DE4422263A patent/DE4422263A1/en not_active Withdrawn
-
1995
- 1995-06-21 US US08/492,779 patent/US5699415A/en not_active Expired - Lifetime
- 1995-06-23 DE DE59510406T patent/DE59510406D1/en not_active Expired - Lifetime
- 1995-06-23 EP EP99100885A patent/EP0915435B1/en not_active Expired - Lifetime
- 1995-06-23 ES ES99100885T patent/ES2187080T3/en not_active Expired - Lifetime
- 1995-06-23 EP EP95109864A patent/EP0689170B1/en not_active Expired - Lifetime
- 1995-06-23 ES ES95109864T patent/ES2258764T3/en not_active Expired - Lifetime
- 1995-06-23 DE DE59511028T patent/DE59511028D1/en not_active Expired - Lifetime
- 1995-06-23 AT AT99100885T patent/ATE225544T1/en active
- 1995-06-23 AT AT95109864T patent/ATE313126T1/en active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0019515A2 (en) * | 1979-05-09 | 1980-11-26 | Friden Mailing Equipment Corporation | Electronic postage meter having improved security and fault tolerance features |
US4566106A (en) * | 1982-01-29 | 1986-01-21 | Pitney Bowes Inc. | Electronic postage meter having redundant memory |
US4706215A (en) * | 1984-08-22 | 1987-11-10 | Pitney Bowes Inc. | Data protection system for electronic postage meters having multiple non-volatile multiple memories |
US5029093A (en) * | 1985-10-15 | 1991-07-02 | Pitney Bowes Inc. | Dual redundant electronic postage meter |
EP0222197A2 (en) * | 1985-10-16 | 1987-05-20 | Pitney Bowes Inc. | Systems for non-volatile storage of data and postage meter systems |
Also Published As
Publication number | Publication date |
---|---|
EP0689170B1 (en) | 2005-12-14 |
DE59511028D1 (en) | 2006-01-19 |
US5699415A (en) | 1997-12-16 |
ES2187080T3 (en) | 2003-05-16 |
ES2258764T3 (en) | 2006-09-01 |
ATE225544T1 (en) | 2002-10-15 |
EP0689170A2 (en) | 1995-12-27 |
EP0915435A3 (en) | 2000-06-07 |
EP0689170A3 (en) | 1996-12-27 |
EP0915435B1 (en) | 2002-10-02 |
ATE313126T1 (en) | 2005-12-15 |
DE59510406D1 (en) | 2002-11-07 |
DE4422263A1 (en) | 1996-01-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0915435B1 (en) | Method for securely storing variable data | |
DE2359776A1 (en) | MEMORY MODULE FOR USE IN CONNECTION WITH A DATA PROCESSING UNIT | |
DE1499200B2 (en) | DATA PROCESSING SYSTEM WITH PRIORITY CONTROLLED PROGRAM INTERRUPTION | |
DE10040987A1 (en) | Method for improving access to computer database, deals with problem for generating and managing a semantic agreement during the presence of redundant data in relational database | |
WO2000068794A1 (en) | Process for the secure writing of a pointer for a circular memory | |
DE19839680A1 (en) | Altering control equipment memory contents involves securing first and/or second programs and/or data by copying before clearing, copying and/or reading in program/data | |
DE2536625C2 (en) | Parity check circuit for a binary counting register | |
WO2021233696A1 (en) | Method for the secure use of cryptographic material | |
DE3639609C2 (en) | ||
EP0347970B1 (en) | Read-only memory test method, and device for carrying out the method | |
DE2733921A1 (en) | CIRCUIT ARRANGEMENT FOR AN INDIRECTLY CONTROLLED SWITCHING SYSTEM, IN PARTICULAR TELEPHONE SWITCHING SYSTEM | |
DE3242631C2 (en) | ||
DE19843048C2 (en) | Method for a software access change in a network node of a telecommunications network and a network node suitable for performing such a method | |
DE19509775C2 (en) | Verifiable storage medium | |
DE19836254C2 (en) | Method for activating and deactivating the source or the sink of a tandem connection in a telecommunications network and the source and sink of such a tandem connection | |
EP0570752B1 (en) | Method of controlling the read-out and/or alteration of the operating parameters of a program-controlled electrical device | |
DE69633083T2 (en) | Calculator with test function | |
EP1221245A2 (en) | System, evaluation device and method for verifying connection-related communication data determined by a digital exchange | |
DE3136586A1 (en) | Method and circuit arrangement for transmitting signals between any control devices of a clock-controlled highway system which is operated as a function of direction | |
EP0567858B1 (en) | Method for loading an operation command sequence necessary for operating a program controlled electrical apparatus | |
DE2912657A1 (en) | Data processor with error program - interrupts processing and detects inadmissible data words by comparing with stored list of admissible words | |
WO2000007116A1 (en) | Method, arrangement and set of a plurality of arrangements for remedying at least one inconsistency in a group of databases which comprises a database and at least one copy database of the database | |
EP1529257A2 (en) | Accepting a set of data in a computer unit | |
WO1996009523A1 (en) | Method and device for a data management system which is capable of calibration | |
DE19758588B4 (en) | Computer system with checkpoint and restart facility - includes output unit providing accounting information indicating charge payable as result of program execution and checkpoint and restart processes to accounting files. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PUAI | Public reference made under article 153(3) epc to a published international application that has entered the european phase |
Free format text: ORIGINAL CODE: 0009012 |
|
AC | Divisional application: reference to earlier application |
Ref document number: 689170 Country of ref document: EP |
|
AK | Designated contracting states |
Kind code of ref document: A2 Designated state(s): AT BE CH DE ES FR GB IT LI SE |
|
PUAL | Search report despatched |
Free format text: ORIGINAL CODE: 0009013 |
|
AK | Designated contracting states |
Kind code of ref document: A3 Designated state(s): AT BE CH DE ES FR GB IT LI SE |
|
RIC1 | Information provided on ipc code assigned before grant |
Free format text: 7G 07B 17/00 A, 7G 06F 11/14 B |
|
17P | Request for examination filed |
Effective date: 20000710 |
|
17Q | First examination report despatched |
Effective date: 20010427 |
|
GRAG | Despatch of communication of intention to grant |
Free format text: ORIGINAL CODE: EPIDOS AGRA |
|
GRAG | Despatch of communication of intention to grant |
Free format text: ORIGINAL CODE: EPIDOS AGRA |
|
GRAH | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOS IGRA |
|
GRAH | Despatch of communication of intention to grant a patent |
Free format text: ORIGINAL CODE: EPIDOS IGRA |
|
RAP1 | Party data changed (applicant data changed or rights of an application transferred) |
Owner name: FRANCOTYP-POSTALIA AG & CO. KG |
|
GRAA | (expected) grant |
Free format text: ORIGINAL CODE: 0009210 |
|
AC | Divisional application: reference to earlier application |
Ref document number: 689170 Country of ref document: EP |
|
AK | Designated contracting states |
Kind code of ref document: B1 Designated state(s): AT BE CH DE ES FR GB IT LI SE |
|
REF | Corresponds to: |
Ref document number: 225544 Country of ref document: AT Date of ref document: 20021015 Kind code of ref document: T |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: FG4D Free format text: NOT ENGLISH |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: EP |
|
REF | Corresponds to: |
Ref document number: 59510406 Country of ref document: DE Date of ref document: 20021107 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: NV Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG |
|
GBT | Gb: translation of ep patent filed (gb section 77(6)(a)/1977) |
Effective date: 20030129 |
|
ET | Fr: translation filed | ||
REG | Reference to a national code |
Ref country code: ES Ref legal event code: FG2A Ref document number: 2187080 Country of ref document: ES Kind code of ref document: T3 |
|
PLBE | No opposition filed within time limit |
Free format text: ORIGINAL CODE: 0009261 |
|
STAA | Information on the status of an ep patent application or granted ep patent |
Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT |
|
26N | No opposition filed |
Effective date: 20030703 |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PFA Owner name: FRANCOTYP-POSTALIA AG & CO. KG Free format text: FRANCOTYP-POSTALIA AG & CO. KG#TRIFTWEG 21-26#16547 BIRKENWERDER (DE) -TRANSFER TO- FRANCOTYP-POSTALIA AG & CO. KG#TRIFTWEG 21-26#16547 BIRKENWERDER (DE) |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: 746 Effective date: 20130319 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R084 Ref document number: 59510406 Country of ref document: DE Effective date: 20130314 |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: 732E Free format text: REGISTERED BETWEEN 20130516 AND 20130522 |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: 732E Free format text: REGISTERED BETWEEN 20130523 AND 20130529 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: GB Payment date: 20140618 Year of fee payment: 20 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: SE Payment date: 20140618 Year of fee payment: 20 Ref country code: ES Payment date: 20140627 Year of fee payment: 20 Ref country code: CH Payment date: 20140618 Year of fee payment: 20 Ref country code: DE Payment date: 20140410 Year of fee payment: 20 Ref country code: IT Payment date: 20140624 Year of fee payment: 20 Ref country code: AT Payment date: 20140611 Year of fee payment: 20 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: BE Payment date: 20140620 Year of fee payment: 20 |
|
PGFP | Annual fee paid to national office [announced via postgrant information from national office to epo] |
Ref country code: FR Payment date: 20140619 Year of fee payment: 20 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R082 Ref document number: 59510406 Country of ref document: DE Representative=s name: PATENTANWAELTE SCHAUMBURG, THOENES, THURN, LAN, DE |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R082 Ref document number: 59510406 Country of ref document: DE Representative=s name: SCHAUMBURG & PARTNER PATENTANWAELTE GBR, DE Effective date: 20150503 Ref country code: DE Ref legal event code: R082 Ref document number: 59510406 Country of ref document: DE Representative=s name: SCHAUMBURG & PARTNER PATENTANWAELTE GBR, DE Effective date: 20150330 Ref country code: DE Ref legal event code: R081 Ref document number: 59510406 Country of ref document: DE Owner name: FRANCOTYP-POSTALIA GMBH, DE Free format text: FORMER OWNER: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE Effective date: 20150330 |
|
REG | Reference to a national code |
Ref country code: DE Ref legal event code: R071 Ref document number: 59510406 Country of ref document: DE |
|
REG | Reference to a national code |
Ref country code: CH Ref legal event code: PL |
|
REG | Reference to a national code |
Ref country code: GB Ref legal event code: PE20 Expiry date: 20150622 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: GB Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION Effective date: 20150622 |
|
REG | Reference to a national code |
Ref country code: SE Ref legal event code: EUG |
|
REG | Reference to a national code |
Ref country code: AT Ref legal event code: MK07 Ref document number: 225544 Country of ref document: AT Kind code of ref document: T Effective date: 20150623 |
|
REG | Reference to a national code |
Ref country code: ES Ref legal event code: FD2A Effective date: 20150930 |
|
PG25 | Lapsed in a contracting state [announced via postgrant information from national office to epo] |
Ref country code: ES Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION Effective date: 20150624 |