EP0915435A2 - Method for securely storing variable data - Google Patents

Method for securely storing variable data Download PDF

Info

Publication number
EP0915435A2
EP0915435A2 EP99100885A EP99100885A EP0915435A2 EP 0915435 A2 EP0915435 A2 EP 0915435A2 EP 99100885 A EP99100885 A EP 99100885A EP 99100885 A EP99100885 A EP 99100885A EP 0915435 A2 EP0915435 A2 EP 0915435A2
Authority
EP
European Patent Office
Prior art keywords
data
record
current
franking machine
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
EP99100885A
Other languages
German (de)
French (fr)
Other versions
EP0915435A3 (en
EP0915435B1 (en
Inventor
Andreas Wagner
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Francotyp Postalia GmbH
Original Assignee
Francotyp Postalia GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Francotyp Postalia GmbH filed Critical Francotyp Postalia GmbH
Publication of EP0915435A2 publication Critical patent/EP0915435A2/en
Publication of EP0915435A3 publication Critical patent/EP0915435A3/en
Application granted granted Critical
Publication of EP0915435B1 publication Critical patent/EP0915435B1/en
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00088Communication details outside or between apparatus via landlines
    • G07B2017/00096Communication details outside or between apparatus via landlines via phone lines
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00161Communication details outside or between apparatus for sending information from a central, non-user location, e.g. for updating rates or software, or for refilling funds
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00016Relations between apparatus, e.g. franking machine at customer or apparatus at post office, in a franking system
    • G07B17/0008Communication details outside or between apparatus
    • G07B2017/00153Communication details outside or between apparatus for sending information
    • G07B2017/00169Communication details outside or between apparatus for sending information from a franking apparatus, e.g. for verifying accounting
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00822Cryptography or similar special procedures in a franking system including unique details
    • G07B2017/0083Postal data, e.g. postage, address, sender, machine ID, vendor
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00846Key management
    • G07B2017/0087Key distribution
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07BTICKET-ISSUING APPARATUS; FARE-REGISTERING APPARATUS; FRANKING APPARATUS
    • G07B17/00Franking apparatus
    • G07B17/00733Cryptography or similar special procedures in a franking system
    • G07B2017/00935Passwords

Definitions

  • the invention relates to a method for the secure storage of changeable data, in particular the data that accumulates during a Can change remote value specification.
  • a power failure can result in a record in memory saved incorrectly. It is for operating a data processing system therefore already known, a second memory for an identical data set and to provide a state memory for a state identifier, the latter indicates whether the data record is read from the first or the second memory should be when the voltage returns.
  • Errors in the status code can be saved by redundantly saving the Status identifier can be disabled.
  • the most common condition identifier in the case of a majority check, however, the correct status identifier is not always required his. It is only most likely that the most common condition identifier is also the right one.
  • An additional plausibility check only checks the Belonging to a valid range of values, but does not provide a clear one Statement whether the status identifier is correct or not. With the above described method, therefore, an error is not recognized, the most common is saved and is within the valid range of values.
  • the first data record is determined as the current, unchangeable data record
  • the Data is available for a query that changes data this change in the non-current second data record occurs that then the second data record for the current data record using the pointer is determined and that the data from the current second data set in the not current first record to be copied.
  • 10 denotes a user station, which is a franking machine 12 and a telephone 14 includes.
  • This phone or communication terminal such as. a modem, is connected to a via a telephone line 15 Telephone or communication terminal 16 in a data center 18, which further contains a billing device 20.
  • the franking machine 12 includes one generally designated 22 Data processing device with a CPU 24, a credit memory 26, a default value memory 28 and a cryptographic device 30 which includes a key store 12.
  • the data processing device 22 of course includes other parts, memories and registers here but are not shown, since they are used to describe the invention Procedures are not needed.
  • software means or program storage means of the CPU 24 used in connection with the non-volatile key memory 32 to perform the encryption.
  • the data processing device 22 is data exchange (modem method) connected to the communication terminal modem 14 via a line 23, which then replaces the phone 14. With the data processing device 22 an input device 34, for example a keyboard, is also connected, a display device 36 and a printing device 38.
  • the accounting device 20 in the data center 18 comprises one Input device 40 and a data processing device 42 with a CPU 44, a default value memory 45, an accounting memory 46 and a cryptographic device 48 with a key store 50.
  • encryption can take place in device 48 in conjunction with the CPU 44 and the non-volatile key memory by software.
  • the data processing device 42 is a modem method via a line 51 connected to the modem, which in this case replaces the telephone 16.
  • the value change and remote value specification method shown in FIG. 2 begins by entering input device 34 of franking machine 12 enters an identity number (PAN) (S1) which is activated by a special key 52 (FIG. 1) is confirmed.
  • PAN identity number
  • FOG. 1 a special key 52
  • the one stored in the default value memory 28 appears in the display Default value.
  • the program of the data processing device branches that of the transaction "Value change" corresponding routine (S2). Then the Desired default value by means of the input device 34 in the data processing device entered and by pressing the special key 52 approved.
  • the operator enters the identity number in the Input device 40 of the billing device 20 to the caller and to identify the franking machine 12 of the user station 10.
  • Checking the Identity number is shown at S6. If the check is negative, it will Procedure canceled and repeated if necessary. Can the franking machine however, the process continues. Thereby the Operator of the user's default request and any other Information about the franking machine, in particular values in the Billing registers communicated.
  • the Identity number calculates first code number (S7), which in the display device 36 Franking machine 12 displayed and by the user the operator in the data center 18 is transmitted.
  • this code number in the Data center 18 checks using that stored in the data center Key K1. If the result of the test is negative, the test is compared to that of the key used in previous transaction repeated. If it succeeds Verification now, it means that the previous transaction in the Franking machine was not or not completely and correctly executed. The previous transaction is therefore canceled and the procedure continues. If the code number cannot be verified with the previous key, the process is terminated.
  • the first code number can be Successfully verify, the default value in memory 45 of the data center stored and the data processing device 42 in the data center 18 calculates a second code number from the identity number, the additional information and the key K1.
  • a second key K2 (S9) is also calculated.
  • This second code number in which the new key K2 is integrated, is the User communicated to them in the input device 34 of the franking machine enters.
  • the cryptrographic device 30 is verified in the franking machine the second code number, extracted from the transmitted second code number Key K2 and stores it in place of the key K1. With negative
  • the procedure is terminated, if the result is positive the entered default request stored in the default value memory 28, the previous default value is deleted (S11).
  • the system calculates Data center from the identity number, the additional information and the Key K2 is a fourth code number (S15) that the franking machine together is transmitted with a new key K3.
  • the franking machine is like in the first transaction, the fourth code number is verified (S16) and the new one Key K3 is extracted from the fourth code number and stored, as is the case with the first transaction with the key K2. Be in the data center the old and the new key are saved. If the result is negative the procedure was terminated.
  • the Default value memory 28 of the franking machine stored value at Remaining credit in the credit memory 26 of the franking machine and in Preset value memory 45 to the billing device 20 stored value the remaining credit in the billing memory 46 of the data center 18 added (S17).
  • step S2 If you do not want to change the default value, use Actuation of the special key 52 or an optionally provided third Special key confirms the default value stored in the default value memory 28 and the method goes from step S2 directly to step 4 'in Fig. 2b.
  • the User calls the data center and gives the operator the identity number (PAN) and possibly further information with (S5 '). Is the If the identity number is correct (S6 '), the remote value specification procedure then runs accordingly the above description from step S13 to step S17.
  • the operator has further data about the franking machine, in particular can query further register statuses to ensure the correctness of all Billing data in the franking machine and the data center check. It is also possible to get more information and more subkeys to be included in the calculation of the code number if this is to increase the Security seems reasonable. If in the data center in step S14 one of the Postage meter transmitted code number is checked, and the result is negative is always with the in the franking machine at the direct previous transaction, keys used the check again repeated. This will capture a case where a transaction in the Franking machine was not completed correctly without this Data center has received knowledge of this. In this case it would be from the data center did not transmit new keys in the franking machine saved and the franking machine is therefore encrypted with the old one Key. This gives the opportunity to cancel or cancel the last transaction correct and damage the user or the data center avoid.
  • FIGS. 3a and 3b shows the value change and Reload procedure in the event that communication between the Franking machine and the data center is done automatically via modem. There the steps of the procedure are essentially the same as for the The individual steps are also using the method according to FIGS. 2a and 2b the same reference numbers increased by the number 20.
  • FIG. 4 shows the division of the storage space in a schematic manner non-volatile memory, for example an NVRAM that is in the Postage meter and possibly also in the data center.
  • the memory must have space to store two data records, namely sentence 1 and sentence 2 as well to save a pointer.
  • Each record contains a variable Sentence "var”, which can consist of any number of bytes.
  • Each also includes Record a counter variable "nr updates” which is the number of changes of the data set, i.e. every time the data is changed or renewed of a sentence is increased by 1.
  • Checksum which includes at least a portion of variable data of the data set is determined.
  • the Act Pointer pointer can only have two allowable values that indicate which of the two records is currently considered the current record.
  • the values 0 and 1 are not saved because none of these values Bit error can be detected. Rather, the values become 0 x A5 and 0 x 5A used, where 0 x indicates that the values are in hexadecimal notation. At This number, constructed symmetrically in binary representation, can cause bit errors the number itself can be recognized.
  • the initialization of the memory comprises the following steps:
  • the pointer is set to set 1 (step S50). That means that the Sentence 1 is considered to be current storage, the data of which cannot be changed.
  • step S51 the variables of data record 2 are reset to their initial values set.
  • the count nr updates in data record 2 receives the value 0 (S52).
  • the checksum is calculated using at least a part of the variable values of data record 2 are generated and at the provided for this Location of data record 2 saved (S53, S54).
  • the pointer to the second record set i.e. the second record becomes the current one Data set determined (S55), on the data of which is now reliable and immutable data can be accessed.
  • step S56 copies the entire contents of data record 2 into data record 1 so that both records contain identical data.
  • step S61 changing data is written into the non-current data record. Because in Step S61 have changed the data of the data set, the count value no updates increased by 1 in step S62. Then the checksum is made up of data of the non-current memory newly formed (S63) and in the non-current data record saved (S64). Now the pointer is directed to the data record in which the data has just been changed so that this record is now the current one Record is (S65). Finally, the entire data of the now copied current data record into the other, not current data record (S66). Both data records in turn contain the identical data.
  • Step S70 it is checked in step S70 whether the value of the pointer is permissible.
  • Step S71 checks whether the checksum of the current through the pointer designated record is valid. If one of the two steps is not fulfilled, then switches the franking machine to service mode, as already mentioned above.
  • step S70 and S71 are positive Result is carried out, the validity of the checksum is not in step S72 current memory checked. If this test is negative, i.e. is the checksum not valid, it can be assumed that the data storage or the Mirroring was interrupted. To correct this error, the Mirroring repeated, i.e. all data of the current data record are stored in the Copied non current record (S73). However, the checksum has turned out to be proven valid, it is checked in S74 whether the checksums of the two data records and therefore your data is the same. If this is the case, the test is finished. If, on the other hand, both checksums are valid but not the same, then that is Backup process has been interrupted before mirroring. In this The data record whose count "nr updates" is greater than that will be the case Count value of the other, selected as the current record. His data is in the copied another record (S75).
  • the franking machine can be used both for the voice procedure as well as for the modem procedure.

Abstract

When a franking machine [10] is turned on and a remotely generated transaction has been carried out over the telephone with a central data station [18] a check is made on stored data for any errors due to the voltage interruption. This involves comparison of the variable data held in memory with that of the new data set and a correction applied.

Description

Die Erfindung betrifft ein Verfahren zum gesicherten Speichern von veränderlichen Daten, insbesondere den Daten, die sich während einer Fernwertvorgabe ändern können.The invention relates to a method for the secure storage of changeable data, in particular the data that accumulates during a Can change remote value specification.

Ein Spannungsausfall kann dazu führen, daß ein Datensatz in einem Speicher fehlerhaft gespeichert wird. Zum Betreiben einer Datenverarbeitungsanlage ist es daher bereits bekannt, einen zweiten Speicher für einen identischen Datensatz und einen Zustandspeicher für eine Zustandskennung vorzusehen, wobei letztere anzeigt, ob der Datensatz aus dem ersten oder dem zweiten Speicher ausgelesen werden soll, wenn die Spannung wiederkehrt.A power failure can result in a record in memory saved incorrectly. It is for operating a data processing system therefore already known, a second memory for an identical data set and to provide a state memory for a state identifier, the latter indicates whether the data record is read from the first or the second memory should be when the voltage returns.

Fehler in der Zustandskennung können durch redundantes Abspeichern der Zustandskennung unwirksam gemacht werden. Die häufigste Zustandskennung bei einer Majoritätsprüfung muß aber nicht immer die richtige Zustandskennung sein. Es ist lediglich am wahrscheinlichsten, daß die häufigste Zustandskennung auch die richtige ist. Auch eine zusätzliche Plausibilitätsprüfung überprüft nur die Zugehörigkeit zu einem gültigen Wertebereich, liefert aber keine eindeutige Aussage, ob die Zustandskennung richtig ist oder nicht. Mit dem vorstehend beschriebenen Verfahren wird also ein Fehler nicht erkannt, der am häufigsten gespeichert ist und dabei im gültigen Wertebereich liegt.Errors in the status code can be saved by redundantly saving the Status identifier can be disabled. The most common condition identifier in the case of a majority check, however, the correct status identifier is not always required his. It is only most likely that the most common condition identifier is also the right one. An additional plausibility check only checks the Belonging to a valid range of values, but does not provide a clear one Statement whether the status identifier is correct or not. With the above described method, therefore, an error is not recognized, the most common is saved and is within the valid range of values.

Es ist eine weitere Aufgabe der Erfindung, die Sicherheit beim redundanten Abspeichern mit einfachen Mitteln zu erhöhen und ggf. auftretende Fehler zu beseitigen.It is another object of the invention to provide redundant security Saving with simple means to increase and any errors that occur remove.

Zur Lösung dieser Aufgabe wird vorgeschlagen, daß mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt wird, dessen Daten für eine Abfrage zur Verfügung stehen, daß bei einer Änderung von Daten diese Änderung in dem nicht aktuellen zweiten Datensatz erfolgt, daß anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und daß die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.To solve this problem it is proposed that a by means of a pointer the first data record is determined as the current, unchangeable data record, the Data is available for a query that changes data this change in the non-current second data record occurs that then the second data record for the current data record using the pointer is determined and that the data from the current second data set in the not current first record to be copied.

Diese vorstehend beschriebenen Verfahrensschritte werden sowohl beim Initialisieren des Speichers, d.h. beim Einspeichern der Anfangsdaten als auch im laufenden Betrieb ausgeführt. Der aktuelle Datensatz ist stets unveränderlich. Seine Daten sind auch bei einem Spannungsausfall nicht gefährdet, da ein Spannungsausfall in der Regel nur zu Fehlern in laufenden Schreibvorgängen führen kann. Das erfindungsgemäße Verfahren arbeitet unabhängig von der Detektion eines Spannungsausfalles während des Speichervorganges. Ein wesentlicher Schritt des erfindungsgemäßen Verfahrens liegt darin, die Konsistenz der gespeicherten Daten sowie die Gleichheit der in den beiden Datensätzen gespeicherten Daten zu überprüfen und ggf. wieder herzustellen, wie dies weiter unten noch genauer beschrieben wird.These process steps described above are used in both Initialize the memory, i.e. when saving the initial data as well as in running operation. The current data set is always unchangeable. His data is not at risk even in the event of a power failure, since one Power failure generally only leads to errors in ongoing write processes can lead. The inventive method works independently of the Detection of a power failure during the storage process. On An essential step of the method according to the invention is that Consistency of the stored data as well as the equality of the two To review and, if necessary, restore data stored in data records, as described in more detail below.

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen und der folgenden Beschreibung, welche in Verbindung mit den beigefügten Zeichnungen die Erfindung anhand eines Ausführungsbeispieles erläutert. Es zeigen:

Fig. 1
eine schematische Darstellung einer Frankiermaschine und eines Datenzentrums,
Fig. 2a und 2b
eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes für das Voice-Verfahren,
Fig. 3a und 3b
eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes im Modem-Verfahren,
Fig. 4
die Aufteilung eines Speichers für die gesicherte Speicherung von Daten in Form zweier Datensätze,
Fig. 5
ein Flußdiagramm zur Erläuterung der Initialisierung der Daten in den beiden Datensätzen,
Fig. 6
ein Flußdiagramm zur Erläuterung der Speicherung von Daten im laufenden Betrieb und
Fig. 7
ein Flußdiagramm zur Erläuterung der Prüfung und Korrektur von Daten in den beiden Datensätzen.
Further features and advantages of the invention emerge from the further subclaims and the following description, which in connection with the accompanying drawings explains the invention using an exemplary embodiment. Show it:
Fig. 1
1 shows a schematic illustration of a franking machine and a data center,
2a and 2b
1 shows a schematic representation of a remote value specification method with a change in a specification value for the voice method,
3a and 3b
1 shows a schematic representation of a remote value specification method with a change in a default value in the modem method,
Fig. 4
the division of a memory for the secure storage of data in the form of two data records,
Fig. 5
a flowchart to explain the initialization of the data in the two data records,
Fig. 6
a flowchart to explain the storage of data during operation and
Fig. 7
a flow chart to explain the checking and correction of data in the two data sets.

In Figur 1 ist mit 10 eine Benutzerstation bezeichnet, die eine Frankiermaschine 12 und eine Telefon 14 umfaßt. Dieses Telefon oder Kommunikationsendgerät, wie z.B. ein Modem, steht über eine Telefonleitung 15 in Verbindung mit einem Telefon oder Kommunikationsendgerät 16 in einem Datenzentrum 18, das ferner eine Abrechnungseinrichtung 20 enthält.In FIG. 1, 10 denotes a user station, which is a franking machine 12 and a telephone 14 includes. This phone or communication terminal, such as. a modem, is connected to a via a telephone line 15 Telephone or communication terminal 16 in a data center 18, which further contains a billing device 20.

Die Frankiermaschine 12 umfaßt eine allgemein mit 22 bezeichnete Datenverarbeitungseinrichtung mit einer CPU 24, einem Guthabenspeicher 26, einem Vorgabewertspeicher 28 und einer kryptografischen Einrichtung 30, die einen Schlüsselspeicher 12 beinhaltet. Die Datenverarbeitungseinrichtung 22 umfaßt selbstverständlich noch weitere Teile, Speicher und Register, die hier jedoch nicht dargestellt sind, da sie für die Beschreibung des erfindungsgemäßen Verfahrens nicht benötigt werden. In einer vorteilhaften Variante können statt der separaten Einrichtung 30 Software-Mittel bzw. Programmspeichermittel der CPU 24 in Verbindung mit dem nicht flüchtigen Schlüsselspeicher 32 eingesetzt werden, um die Verschlüsselung auszuführen. Im Falle eines automatischen Datenaustausches (Modem-Verfahren) ist die Datenverarbeitungseinrichtung 22 über eine Leitung 23 mit dem Kommunikationsendgerät Modem 14 verbunden, welches dann das Telefon 14 ersetzt. Mit der Datenverarbeitungseinrichtung 22 verbunden ist ferner eine Eingabeeinrichtung 34, beispielsweise eine Tastatur, eine Anzeigeeinrichtung 36 und eine Druckeinrichtung 38.The franking machine 12 includes one generally designated 22 Data processing device with a CPU 24, a credit memory 26, a default value memory 28 and a cryptographic device 30 which includes a key store 12. The data processing device 22 of course includes other parts, memories and registers here but are not shown, since they are used to describe the invention Procedures are not needed. In an advantageous variant, instead of separate device 30 software means or program storage means of the CPU 24 used in connection with the non-volatile key memory 32 to perform the encryption. In the case of an automatic The data processing device 22 is data exchange (modem method) connected to the communication terminal modem 14 via a line 23, which then replaces the phone 14. With the data processing device 22 an input device 34, for example a keyboard, is also connected, a display device 36 and a printing device 38.

Die Abrechnungseinrichtung 20 im Datenzentrum 18 umfaßt eine Eingabeeinrichtung 40 sowie eine Datenverarbeitungseinrichtung 42 mit einer CPU 44, einem Vorgabewertspeicher 45, einem Abrechnungsspeicher 46 und einer kryptografischen Einrichtung 48 mit einem Schlüsselspeicher 50. Auch hier kann die Verschlüsselung statt in der Einrichtung 48 in Verbindung mit der CPU 44 und dem nicht flüchtigen Schlüsselspeicher mittels Software erfolgen. Für das Modem-Verfahren ist die Datenverarbeitungseinrichtung 42 über eine Leitung 51 mit dem Modem verbunden, welches in diesem Falle das Telefon 16 ersetzt.The accounting device 20 in the data center 18 comprises one Input device 40 and a data processing device 42 with a CPU 44, a default value memory 45, an accounting memory 46 and a cryptographic device 48 with a key store 50. Here too encryption can take place in device 48 in conjunction with the CPU 44 and the non-volatile key memory by software. For the The data processing device 42 is a modem method via a line 51 connected to the modem, which in this case replaces the telephone 16.

Beim Voice-Verfahren erfolgt der Datenaustausch zwischen der Benutzerstation 10 und dem Datenzentrum 18 über die Telefone 14 und 16 und zwar vorzugsweise durch fernmündlichen Austausch zwischen dem Benutzer der Frankiermaschine 12 und einem Operator im Datenzentrum 18. Die mit dem Ablauf des Fernwertvorgabeverfahrens in der Frankiermaschine und dem Datenzentrum verbundenen wesentlichen Vorgänge sollen nun anhand der Figuren 2a und 2b erläutert werden, die links die Vorgänge in der Benutzerstation oder Frankiermaschine (FM) und rechts die Vorgänge im Datenzentrum (DZ) zeigen.With the voice process, data is exchanged between the user station 10 and the data center 18 via the telephones 14 and 16 preferably by telephone exchange between the user of the Franking machine 12 and an operator in the data center 18. The with the Sequence of the remote value specification procedure in the franking machine and the data center The essential processes connected are now to be explained with reference to FIGS and 2b are explained, which left the processes in the user station or Franking machine (FM) and on the right show the processes in the data center (DZ).

Das in Figur 2 dargestellte Wertänderungs- und Fernwertvorgabeverfahren beginnt dadurch, daß man in die Eingabeeinrichtung 34 der Frankiermaschine 12 eine Identitätsnummer (PAN) eingibt (S1), die durch eine Sondertaste 52 (Fig. 1) bestätigt wird. In der Anzeige erscheint der im Vorgabwertspeicher 28 gespeicherte Vorgabewert. Für den Fall, daß dieser Wert geändert werden soll, verzweigt das Programm der Datenverarbeitungseinrichtung die der Transaktion "Wertänderung" entsprechenden Routine (S2). Anschließend wird der gewünschte Vorgabewert mittels der Eingabeeinrichtung 34 in die Datenverarbeitungseinrichtung eingegeben und durch Betätigung der Sondertaste 52 bestätigt. The value change and remote value specification method shown in FIG. 2 begins by entering input device 34 of franking machine 12 enters an identity number (PAN) (S1) which is activated by a special key 52 (FIG. 1) is confirmed. The one stored in the default value memory 28 appears in the display Default value. In the event that this value is to be changed, the program of the data processing device branches that of the transaction "Value change" corresponding routine (S2). Then the Desired default value by means of the input device 34 in the data processing device entered and by pressing the special key 52 approved.

Der Benutzer ruft nun den Operator im Datenzentrum 18 an (S4) und teilt ihm die Identitätsnummer (PAN) mit. Der Operator gibt die Identitätsnummer in die Eingabeeinrichtung 40 der Abrechnungseinrichtung 20 ein, um den Anrufer und die Frankiermaschine 12 der Benutzerstation 10 zu identifizieren. Die Prüfung der Identitätsnummer ist bei S6 dargestellt. Ist die Überprüfung negativ, wird das Verfahren abgebrochen und gegebenenfalls wiederholt. Läßt sich die Frankiermaschine dagegen identifizieren, wird das Verfahren fortgesetzt. Dabei werden dem Operator der Vorgabewunsch des Benutzers sowie gegebenenfalls weitere Informationen über die Frankiermaschine, insbesondere Werte in den Abrechnungsregistern mitgeteilt.The user now calls the operator in the data center 18 (S4) and shares it with him Identity number (PAN) with. The operator enters the identity number in the Input device 40 of the billing device 20 to the caller and to identify the franking machine 12 of the user station 10. Checking the Identity number is shown at S6. If the check is negative, it will Procedure canceled and repeated if necessary. Can the franking machine however, the process continues. Thereby the Operator of the user's default request and any other Information about the franking machine, in particular values in the Billing registers communicated.

In der Frankiermaschine wird zur Fortsetzung des Verfahrens aus der Identitätsnummer, dem Vorgabewunsch und einer Zusatzinformation, beispielsweise einem weiteren Registerwert mittels eines Schlüssels K1 eine erste Codezahl berechnet (S7), die in der Anzeigeeinrichtung 36 der Frankiermaschine 12 angezeigt und von dem Benutzer dem Operator im Datenzentrum 18 übermittelt wird. Bei Schritt S8 wird diese Codezahl in dem Datenzentrum 18 überprüft mit Hilfe des im Datenzentrum gespeicherten Schlüssels K1. Bei negativem Prüfungsergebnis wird die Prüfung mit dem bei der vorhergehenden Transaktion verwendeten Schlüssel wiederholt. Gelingt die Verifizierung jetzt, bedeutet das, daß die vorhergehende Transaktion in der Frankiermaschine nicht oder nicht vollständig und korrekt ausgeführt wurde. Die vorhergehende Transaktion wird daher storniert und das Verfahren fortgesetzt. Kann die Codezahl auch mit dem vorhergehenden Schlüssel nicht verifiziert werden, wird das Verfahren abgebrochen. Läßt sich dagegen die erste Codezahl erfolgreich verifizieren, wird der Vorgabewert im Speicher 45 des Datenzentrums gespeichert und die Datenverarbeitungseinrichtung 42 im Datenzentrum 18 berechnet eine zweite Codezahl aus der Identitätsnummer, der Zusatzinformation und dem Schlüssel K1. Ferner wird ein zweiter Schlüssel K2 (S9) berechnet. Diese zweite Codezahl, in die der neue Schlüssel K2 integriert ist, wird dem Benutzer mitgeteilt, der sie in die Eingabeeinrichtung 34 der Frankiermaschine eingibt. Die kryptrographische Vorrichtung 30 in der Frankiermaschine verfiziert die zweite Codezahl, extrahiert aus der übermittelten zweiten Codezahl den Schlüssel K2 und speichert ihn an Stelle des Schlüssels K1. Bei negativem Ergebnis wird das Verfahren abgebrochen, bei positivem Ergebnis wird der eingegebene Vorgabewunsch im Vorgabewertspeicher 28 gespeichert, wobei der frühere Vorgabewert gelöscht wird (S11).In the franking machine, the Identity number, the default request and additional information, for example, another register value using a key K1 calculates first code number (S7), which in the display device 36 Franking machine 12 displayed and by the user the operator in the data center 18 is transmitted. In step S8, this code number in the Data center 18 checks using that stored in the data center Key K1. If the result of the test is negative, the test is compared to that of the key used in previous transaction repeated. If it succeeds Verification now, it means that the previous transaction in the Franking machine was not or not completely and correctly executed. The previous transaction is therefore canceled and the procedure continues. If the code number cannot be verified with the previous key, the process is terminated. However, the first code number can be Successfully verify, the default value in memory 45 of the data center stored and the data processing device 42 in the data center 18 calculates a second code number from the identity number, the additional information and the key K1. A second key K2 (S9) is also calculated. This second code number, in which the new key K2 is integrated, is the User communicated to them in the input device 34 of the franking machine enters. The cryptrographic device 30 is verified in the franking machine the second code number, extracted from the transmitted second code number Key K2 and stores it in place of the key K1. With negative The procedure is terminated, if the result is positive the entered default request stored in the default value memory 28, the previous default value is deleted (S11).

Damit ist die erste Transaktion beendet und der Vorgabewert geändert. Der Benutzer hat nun die Möglichkeit, das Verfahren zu beenden und durch Betätigung einer weiteren Sondertaste 54 die Frankiermaschine 12 in den Frankiermodus zurückzustellen oder durch nochmalige Betätigung der ersten Sondertaste 52 den Nachladevorgang einzuleiten (S12). Geschieht letzteres, wird in der Frankiermaschine unter Verwendung der Identitätsnummer und der Zusatzinformation mittels des abgespeicherten Schlüssels K2 eine dritte Codezahl berechnet, die dem Datenzentrum mitgeteilt wird (S13). Im Datenzentrum wird die dritte Codezahl verifiziert (S14). Bei negativem Ergebnis wird das Verfahren abgebrochen, bei positivem Ergebnis berechnet das Datenzentrum aus der Identitätsnummer, der Zusatzinformation und dem Schlüssel K2 eine vierte Codezahl (S15), die der Frankiermaschine zusammen mit einem neuen Schlüssel K3 übermittelt wird. In der Frankiermaschine wird wie bei der ersten Transaktion die vierte Codezahl verifiziert (S16) und der neue Schlüssel K3 aus der vierten Codezahl extrahiert und gespeichert, wie dies bei der ersten Transaktion mit dem Schlüssel K2 erfolgte. Im Datenzentrum werden jeweils der alte und der neue Schlüssel gespeichert. Bei negativem Ergebnis wird das Verfahren abgebrochen. Bei positivem Ergebnis wird der im Vorgabewertspeicher 28 der Frankiermaschine gespeicherte Wert zum Restguthaben im Guthabenspeicher 26 der Frankiermaschine und der im Vorgabewertspeicher 45 der Abrechnungseinrichtung 20 gespeicherte Wert zu dem Restguthaben im Abrechnungsspeicher 46 des Datenzentrums 18 addiert (S17). Damit ist auch die zweite Transaktion, das heißt die Fernwertvorgabe mit geändertem Vorgabewert abgeschlossen. Die Frankiermaschine kehrt selbsttätig in den Frankiermodus zurück.This completes the first transaction and changes the default value. The User now has the option to end the process and by Pressing another special key 54 the franking machine 12 in the Reset franking mode or by pressing the first one again Special key 52 to initiate the reloading process (S12). If the latter happens, will in the franking machine using the identity number and the Additional information by means of the stored key K2 a third Calculates the code number that is communicated to the data center (S13). in the The third code number is verified in the data center (S14). If the result is negative the process is terminated, if the result is positive, the system calculates Data center from the identity number, the additional information and the Key K2 is a fourth code number (S15) that the franking machine together is transmitted with a new key K3. The franking machine is like in the first transaction, the fourth code number is verified (S16) and the new one Key K3 is extracted from the fourth code number and stored, as is the case with the first transaction with the key K2. Be in the data center the old and the new key are saved. If the result is negative the procedure was terminated. If the result is positive, the Default value memory 28 of the franking machine stored value at Remaining credit in the credit memory 26 of the franking machine and in Preset value memory 45 to the billing device 20 stored value the remaining credit in the billing memory 46 of the data center 18 added (S17). This also includes the second transaction, i.e. the remote value specification changed default value completed. The franking machine returns automatically back into franking mode.

Wenn eine Änderung des Vorgabewertes nicht gewünscht ist, wird durch Betätigung der Sondertaste 52 oder auch einer wahlweise vorgesehenen dritten Sondertaste der im Vorgabewertspeicher 28 gespeicherte Vorgabewert bestätigt und das Verfahren geht von Schritt S2 unmittelbar zu Schritt 4' in Fig. 2b. Der Benutzer ruft das Datenzentrum an und teilt dem Operator die Identitätsnummer (PAN) und gegebenenfalls weitere Informationen mit (S5'). Ist die Identitätsnummer richtig (S6'), läuft das Fernwertvorgabeverfahren dann entsprechend der vorstehenden Beschreibung von Schritt S13 bis Schritt S17 durch.If you do not want to change the default value, use Actuation of the special key 52 or an optionally provided third Special key confirms the default value stored in the default value memory 28 and the method goes from step S2 directly to step 4 'in Fig. 2b. The User calls the data center and gives the operator the identity number (PAN) and possibly further information with (S5 '). Is the If the identity number is correct (S6 '), the remote value specification procedure then runs accordingly the above description from step S13 to step S17.

Es versteht sich, daß der Operator weitere Daten über die Frankiermaschine, insbesondere weitere Registerstände abfragen kann, um die Korrektheit aller Abrechnungsdaten in der Frankiermaschine und dem Datenzentrum zu überprüfen. Es ist auch möglich, weitere Informationen und weitere Teilschlüssel in die Berechnung der Codezahl einzubeziehen, wenn dies zur Erhöhung der Sicherheit sinnvoll erscheint. Wenn im Datenzentrum im Schritt S14 eine von der Frankiermaschine übermittelte Codezahl überprüft wird, und das Ergebnis negativ ist, wird stets mit dem in der Frankiermaschine bei der unmittelbar vorhergegangenen Transaktion verwendeten Schlüssel die Prüfung nochmals wiederholt. Damit wird ein Fall erfaßt werden, in dem eine Transaktion in der Frankiermaschine nicht korrekt abgeschlossen wurde, ohne daß das Datenzentrum hiervon Kenntnis erhalten hat. In diesem Falle würde der vom Datenzentrum übermittelte neue Schlüssel in der Frankiermaschine nicht abgespeichert und die Frankiermaschine verschlüsselt daher mit dem alten Schlüssel. Dies gibt die Möglichkeit, die letzte Transaktion zu anullieren oder zu korrigieren und damit Schaden für den Benutzer oder das Datenzentrum zu vermeiden.It goes without saying that the operator has further data about the franking machine, in particular can query further register statuses to ensure the correctness of all Billing data in the franking machine and the data center check. It is also possible to get more information and more subkeys to be included in the calculation of the code number if this is to increase the Security seems reasonable. If in the data center in step S14 one of the Postage meter transmitted code number is checked, and the result is negative is always with the in the franking machine at the direct previous transaction, keys used the check again repeated. This will capture a case where a transaction in the Franking machine was not completed correctly without this Data center has received knowledge of this. In this case it would be from the data center did not transmit new keys in the franking machine saved and the franking machine is therefore encrypted with the old one Key. This gives the opportunity to cancel or cancel the last transaction correct and damage the user or the data center avoid.

Das Flußdiagramm gemäß den Figuren 3a und 3b zeigt das Wertänderungs- und Nachladeverfahren für den Fall, daß die Kommunikation zwischen der Frankiermaschine und dem Datenzentrum automatisch über Modem erfolgt. Da die Schritte des Verfahrens im wesentlichen die gleichen sind wie bei dem Verfahren gemäß den Figuren 2a und 2b sind die einzelnen Schritte auch mit den gleichen Bezugsziffern vermehrt um die Zahl 20 versehen.The flow chart according to FIGS. 3a and 3b shows the value change and Reload procedure in the event that communication between the Franking machine and the data center is done automatically via modem. There the steps of the procedure are essentially the same as for the The individual steps are also using the method according to FIGS. 2a and 2b the same reference numbers increased by the number 20.

Wie bei dem anhand der Figuren 2a und 2b beschriebenen Verfahren gibt der Benutzer der Frankiermaschine nach dem Einschalten derselben die Portoaufrufnummer oder Identitatsnummer PAN ein und bestätigt diese Eingabe durch die Betätigung der Sondertaste 52. Es wird nun der abgespeicherte Vorgabewert angezeigt. Entweder bestätigt der Benutzer diesen Wert durch die Betätigung der Sondertaste 52 oder er überschreibt ihn durch einen neuen Vorgabewert, der ebenfalls durch die Betätigung der Sondertaste 52 bestätigt wird. Alle weiteren Schritte laufen nun automatisch ohne Zutun des Benutzers der Frankiermaschine zwischen der Frankiermaschine und dem Datenzentrum ab und zwar in der gleichen Weise, wie dies bei dem anhand der Figuren 2a und 2b beschriebenen Voice-Verfahren erläutert wurde. Der einzige Unterschied besteht darin, daß beim Modem-Verfahren zwischen der Frankiermaschine und dem Datenzentrum nur die Krypto-Meldungen, d.h. die verschlüsselten Meldungen und nicht die aus diesen gewonnenen verkürzten Codezahlen ausgetauscht werden.As with the method described with reference to FIGS. 2a and 2b, the Users of the franking machine after switching on the Postage call number or identity number PAN and confirms this entry by pressing the special key 52. The saved one is now Default value is displayed. Either the user confirms this value with the Pressing the special key 52 or overwrites it with a new one Default value, which is also confirmed by pressing the special key 52 becomes. All further steps now run automatically without the intervention of the user Franking machine between the franking machine and the data center from time to time in the same way as in the case of FIGS. 2a and 2b described voice method was explained. The only difference is in that in the modem process between the franking machine and the Data center only the crypto messages, i.e. the encrypted messages and the shortened code numbers obtained from these are not exchanged.

Anhand der Figuren 4 bis 7 wird nun ein Verfahren zum Speichern von sicherheitsrelevanten Daten insbesondere während der Fernwertvorgabe beschrieben.4 to 7, a method for storing security-relevant data, especially during remote value specification described.

Figur 4 zeigt in schematischer Weise die Aufteilung des Speicherplatzes in einem nicht flüchtigen Speicher, beispielsweise einem NVRAM, das in der Frankiermaschine und ggf. auch im Datenzentrum vorhanden ist. Der Speicher muß Platz zum Speichern zweier Datensätze, nämlich Satz 1 und Satz 2 sowie zum Speichern eines Zeigers haben. Jeder Datensatz umfaßt einen variablen Satz "var", der aus beliebig vielen Byte bestehen kann. Ferner umfaßt jeder Datensatz eine Zählervariable "nr Updates" welche die Anzahl von Änderungen des Datensatzes angibt, d.h. bei jeder Änderung oder Erneuerung der Daten eines Satzes um 1 erhöht wird. Schließlich gehört zu einem Datensatz noch eine Prüfsumme "Checksum", die unter Einbeziehung mindestens eines Teils von variablen Daten des Datensatzes ermittelt wird.FIG. 4 shows the division of the storage space in a schematic manner non-volatile memory, for example an NVRAM that is in the Postage meter and possibly also in the data center. The memory must have space to store two data records, namely sentence 1 and sentence 2 as well to save a pointer. Each record contains a variable Sentence "var", which can consist of any number of bytes. Each also includes Record a counter variable "nr updates" which is the number of changes of the data set, i.e. every time the data is changed or renewed of a sentence is increased by 1. Finally, there is another record Checksum, which includes at least a portion of variable data of the data set is determined.

Der Zeiger "Act Pointer" kann nur zwei zulässige Werte haben, die angeben, welcher der beiden Datensätze gerade als der aktuelle Datensatz betrachtet wird. Dabei werden nicht die Werte 0 und 1 abgespeichert, da bei diesen Werten kein Bitfehler erkannt werden kann. Vielmehr werden die Werte 0 x A5 bzw. 0 x 5A verwendet, wobei 0 x andeutet, daß die Werte hexadezimal notiert sind. Bei dieser in binärer Darstellung symmetrisch aufgebauten Zahl können Bitfehler aus der Zahl selbst heraus erkannt werden.The Act Pointer pointer can only have two allowable values that indicate which of the two records is currently considered the current record. The values 0 and 1 are not saved because none of these values Bit error can be detected. Rather, the values become 0 x A5 and 0 x 5A used, where 0 x indicates that the values are in hexadecimal notation. At This number, constructed symmetrically in binary representation, can cause bit errors the number itself can be recognized.

Das gesamte Verfahren unterteilt sich in drei Schritte:

  • 1. Initialisierung des Speichers für das Speicherverfahren;
  • 2. Abspeichern von Variablen im laufenden Betrieb und
  • 3. Überprüfung der Variablen auf Konsistenz und ggf. Korrektur.
    • The entire process is divided into three steps:
  • 1. Initialization of the memory for the storage process;
  • 2. Save variables during operation and
  • 3. Check the variables for consistency and correct them if necessary.

    • Gemäß Figur 5 umfaßt das Initialisieren des Speichers die folgenden Schritte:According to FIG. 5, the initialization of the memory comprises the following steps:

    Zunächst wird der Zeiger auf Satz 1 gesetzt (Schritt S50). Das bedeutet, daß der Satz 1 als aktueller Speicher betrachtet wird, dessen Daten unveränderlich sind. Dann werden im Schritt S51 die Variablen des Datensatzes 2 auf ihre Anfangswerte gesetzt. Der Zählwert nr Updates in Datensatz 2 erhält den Wert 0 (S52). Anschließend wird die Prüfsumme unter Verwendung mindestens eines Teiles der variablen Werte des Datensatzes 2 erzeugt und an den hierfür vorgesehenen Platz des Datensatzes 2 abgespeichert (S53, S54). Nun wird der Zeiger auf den zweiten Datensatz gesetzt, d.h. der zweite Datensatz wird zum aktuellen Datensatz bestimmt (S55), auf dessen Daten nun als zuverlässige und unveränderliche Daten zurückgegriffen werden kann. Abschließend wird in Schritt S56 der gesamte Inhalt des Datensatzes 2 in den Datensatz 1 kopiert, so daß beide Datensätze identische Daten enthalten.First, the pointer is set to set 1 (step S50). That means that the Sentence 1 is considered to be current storage, the data of which cannot be changed. Then in step S51 the variables of data record 2 are reset to their initial values set. The count nr updates in data record 2 receives the value 0 (S52). Then the checksum is calculated using at least a part of the variable values of data record 2 are generated and at the provided for this Location of data record 2 saved (S53, S54). Now the pointer to the second record set, i.e. the second record becomes the current one Data set determined (S55), on the data of which is now reliable and immutable data can be accessed. Finally, in step S56 copies the entire contents of data record 2 into data record 1 so that both records contain identical data.

    Im laufenden Betrieb erfolgt eine Änderung von Daten nur im nicht aktuellen Datensatz. Gemäß Figur 6 wird im laufenden Betrieb zunächst festgestellt, welcher Datensatz der nicht aktuelle Datensatz ist (S60). In Schritt S61 werden sich ändernde Daten in den nicht aktuellen Datensatz eingeschrieben. Da sich in Schritt S61 die Daten des Datensatzes geändert haben, wird der Zählwert nr updates in Schritt S62 um 1 erhöht. Anschließend wird die Prüfsumme aus Daten des nicht aktuellen Speichers neu gebildet (S63) und im nicht aktuellen Datensatz gespeichert (S64). Nun wird der Zeiger auf den Datensatz gerichtet, in dem soeben die Daten geändert wurden, so daß dieser Satz nun der aktuelle Datensatz ist (S65). Abschließend werden die gesamten Daten des nunmehr aktuellen Datensatzes in den anderen, nicht aktuellen Datensatz kopiert (S66). Beide Datensätze enthalten wiederum die identischen Daten. During operation, data is only changed in the non-current one Record. According to FIG. 6, it is first determined during operation that which data record is the not current data record (S60). In step S61 changing data is written into the non-current data record. Because in Step S61 have changed the data of the data set, the count value no updates increased by 1 in step S62. Then the checksum is made up of data of the non-current memory newly formed (S63) and in the non-current data record saved (S64). Now the pointer is directed to the data record in which the data has just been changed so that this record is now the current one Record is (S65). Finally, the entire data of the now copied current data record into the other, not current data record (S66). Both data records in turn contain the identical data.

    Beim Einschalten der Frankiermaschine und vor dem Aufrufen der Fernwertvorgabe muß überprüft werden, ob eine vorangegangene Transaktion beispielsweise durch ein Spannungsabfall unterbrochen wurde und daher Operationen erforderlich sind, um Inkonsistenzen in den abgespeicherten Daten zu beheben.When switching on the franking machine and before calling up the Remote value specification must be checked whether a previous transaction for example, was interrupted by a voltage drop and therefore Operations are required to avoid inconsistencies in the stored data to fix.

    Für die Prüfung werden folgende Grundvoraussetzungen gemacht:

  • 1. Der Zeiger Act Pointer muß einen zulässigen Wert haben. Wie bereits oben erläutert wurde, sind nur zwei Werte erlaubt, wobei solche Werte gewählt werden, in denen aus dem Wert selbst heraus Bitfehler erkannt werden können.
  • 2. Der aktuelle durch den Zeiger bezeichnete Satz muß eine gültige Prüfsumme haben.
    • The following basic requirements are made for the examination:
  • 1. The Act Pointer pointer must have a permissible value. As already explained above, only two values are allowed, values being selected in which bit errors can be recognized from the value itself.
  • 2. The current record identified by the pointer must have a valid checksum.

    • Ist mindestens eine der vorstehend genannten Voraussetzungen nicht erfüllt, so liegt ein fataler Fehler vor und die Frankiermaschine geht in den Service Modus.If at least one of the above requirements is not met, then there is a fatal error and the franking machine goes into service mode.

    Zur Konsistenzprüfung werden folgende Schritte durchgeführt, die anhand der Figur 7 erläutert werden sollen.The following steps are carried out to check the consistency Figure 7 are to be explained.

    Zunächst wird in Schritt S70 geprüft, ob der Wert des Zeigers zulässig ist. In Schritt S71 wird geprüft, ob die Prüfsumme des aktuellen durch den Zeiger bezeichneten Datensatzes gültig ist. Ist einer der beiden Schritte nicht erfüllt, so schaltet die Frankiermaschine, wie oben bereits erwähnt, in den Service Modus.First, it is checked in step S70 whether the value of the pointer is permissible. In Step S71 checks whether the checksum of the current through the pointer designated record is valid. If one of the two steps is not fulfilled, then switches the franking machine to service mode, as already mentioned above.

    Haben die Prüfungen in den Schritten S70 und S71 dagegen zu einem positiven Ergebnis geführt, wird in Schritt S72 die Gültigkeit der Prüfsumme des nicht aktuellen Speichers überprüft. Fällt diese Prüfung negativ aus, d.h. ist die Prüfsumme nicht gültig, so ist davon auszugehen, daß die Datenspeicherung oder die Datenspiegelung unterbrochen wurden. Zur Korrektur dieses Fehlers wird die Spiegelung wiederholt, d.h. alle Daten des aktuellen Datensatzes werden in den nicht aktuellen Datensatz kopiert (S73). Hat sich die Prüfsumme dagegen als gültig erwiesen, wird in S74 geprüft, ob die Prüfsummen der beiden Datensätze und damit auch ihre Daten gleich sind. Ist dies der Fall, ist die Prüfung beendet. Sind dagegen beide Prüfsummen zwar gültig, aber ungleich, so ist der Datensicherungsvorgang vor der Spiegelung unterbrochen worden. In diesem Falle wird der Datensatz, dessen Zählwert "nr Updates" größer ist als der Zählwert des anderen, als aktueller Satz gewählt. Seine Daten werden in den anderen Datensatz kopiert (S75).On the other hand, the tests in steps S70 and S71 are positive Result is carried out, the validity of the checksum is not in step S72 current memory checked. If this test is negative, i.e. is the checksum not valid, it can be assumed that the data storage or the Mirroring was interrupted. To correct this error, the Mirroring repeated, i.e. all data of the current data record are stored in the Copied non current record (S73). However, the checksum has turned out to be proven valid, it is checked in S74 whether the checksums of the two data records and therefore your data is the same. If this is the case, the test is finished. If, on the other hand, both checksums are valid but not the same, then that is Backup process has been interrupted before mirroring. In this The data record whose count "nr updates" is greater than that will be the case Count value of the other, selected as the current record. His data is in the copied another record (S75).

    Bei einer abgewandelten Ausführungsform kann die Frankiermaschine sowohl für das Voice-Verfahren als auch für das Modemverfahren eingerichtet sein. Mittels einer Wahltaste 58 (Fig. 1) an der Frankiermaschine kann der Benutzer die Art des Kommunikationsverfahrens mit dem Datenzentrum wählen.In a modified embodiment, the franking machine can be used both for the voice procedure as well as for the modem procedure. Means a selection button 58 (Fig. 1) on the franking machine, the user can type the communication method with the data center.

    Claims (4)

    Verfahren zum gesicherten Speichern von veränderlichen Daten durch Erzeugen und Speichern zweier übereinstimmender Datensätze, dadurch gekennzeichnet, daß mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt wird, dessen Daten für eine Abfrage zur Verfügung stehen, daß bei einer Änderung von Daten diese Änderung in dem nicht aktuellen zweiten Datensatz erfolgt, daß anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und daß die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.Method for the secure storage of changeable data by generating and storing two matching datasets, characterized in that a pointer is used to determine a first dataset as the current unchangeable dataset, the data of which are available for a query that when the data changes, this change in the second record, which is not current, is followed by the pointer being used to determine the second record for the current record and the data from the current second record being copied into the non-current first record. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß eine Variable der veränderlichen Daten jedes Datensatzes ein für die Anzahl der vorgenommenen Änderungen repräsentativer Zählwert ist.Method according to claim 1, characterized in that a variable of the variable data of each data record is a count value representative of the number of changes made. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß eine Variable der veränderlichen Daten jedes Datensatzes eine aus mindestens einem Teil der veränderlichen Daten errechnete Prüfsumme ist.Method according to claim 1 or 2, characterized in that a variable of the variable data of each data set is a checksum calculated from at least a part of the variable data. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Wert des Zeigers auf Konsistenz und ausgewählte Daten der Datensätze auf Konsistenz und Gleichkeit geprüft und gegebenenfalls korrigiert werden.Method according to one of claims 1 to 3, characterized in that the value of the pointer for consistency and selected data of the data records are checked for consistency and equality and corrected if necessary.
    EP99100885A 1994-06-24 1995-06-23 Method for securely storing variable data Expired - Lifetime EP0915435B1 (en)

    Applications Claiming Priority (3)

    Application Number Priority Date Filing Date Title
    DE4422263A DE4422263A1 (en) 1994-06-24 1994-06-24 Method for coordinating the data stock between an electronic franking machine and a data center
    DE4422263 1994-06-24
    EP95109864A EP0689170B1 (en) 1994-06-24 1995-06-23 Method for adapting the datafile between an electronic franking machine and a data center

    Related Parent Applications (1)

    Application Number Title Priority Date Filing Date
    EP95109864A Division EP0689170B1 (en) 1994-06-24 1995-06-23 Method for adapting the datafile between an electronic franking machine and a data center

    Publications (3)

    Publication Number Publication Date
    EP0915435A2 true EP0915435A2 (en) 1999-05-12
    EP0915435A3 EP0915435A3 (en) 2000-06-07
    EP0915435B1 EP0915435B1 (en) 2002-10-02

    Family

    ID=6521496

    Family Applications (2)

    Application Number Title Priority Date Filing Date
    EP99100885A Expired - Lifetime EP0915435B1 (en) 1994-06-24 1995-06-23 Method for securely storing variable data
    EP95109864A Expired - Lifetime EP0689170B1 (en) 1994-06-24 1995-06-23 Method for adapting the datafile between an electronic franking machine and a data center

    Family Applications After (1)

    Application Number Title Priority Date Filing Date
    EP95109864A Expired - Lifetime EP0689170B1 (en) 1994-06-24 1995-06-23 Method for adapting the datafile between an electronic franking machine and a data center

    Country Status (5)

    Country Link
    US (1) US5699415A (en)
    EP (2) EP0915435B1 (en)
    AT (2) ATE225544T1 (en)
    DE (3) DE4422263A1 (en)
    ES (2) ES2187080T3 (en)

    Families Citing this family (25)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    DE19617476A1 (en) 1996-05-02 1997-11-06 Francotyp Postalia Gmbh Method and arrangement for data processing in a mail processing system with a franking machine
    DE19617557A1 (en) * 1996-05-02 1997-11-06 Francotyp Postalia Gmbh Method for determining the cheapest carrier and mail processing system with personal computer and with a method for data processing
    DE19617586A1 (en) * 1996-05-02 1997-11-06 Francotyp Postalia Gmbh Method for data processing in a mail processing system with a franking machine and arrangement
    DE19617473A1 (en) * 1996-05-02 1997-11-06 Francotyp Postalia Gmbh Method and arrangement for data processing in a mail processing system with a franking machine
    US5731980A (en) * 1996-08-23 1998-03-24 Pitney Bowes Inc. Electronic postage meter system having internal accounting system and removable external accounting system
    US5812400A (en) * 1996-08-23 1998-09-22 Pitney Bowes Inc. Electronic postage meter installation and location movement system
    US6050486A (en) * 1996-08-23 2000-04-18 Pitney Bowes Inc. Electronic postage meter system separable printer and accounting arrangement incorporating partition of indicia and accounting information
    US5999921A (en) * 1997-04-30 1999-12-07 Pitney Bowes Inc. Electronic postage meter system having plural clock system providing enhanced security
    DE19818708A1 (en) 1998-04-21 1999-11-04 Francotyp Postalia Gmbh Method for reloading a postage credit into an electronic franking device
    DE19830055B4 (en) * 1998-06-29 2005-10-13 Francotyp-Postalia Ag & Co. Kg Method for the secure transmission of service data to a terminal and arrangement for carrying out the method
    US6772180B1 (en) * 1999-01-22 2004-08-03 International Business Machines Corporation Data representation schema translation through shared examples
    DE19913067A1 (en) * 1999-03-17 2000-09-21 Francotyp Postalia Gmbh Method for the automatic installation of franking devices and arrangement for carrying out the method
    DE29913639U1 (en) 1999-07-30 2000-01-13 Francotyp Postalia Gmbh Franking and franking machine
    DE10023145A1 (en) * 2000-05-12 2001-11-15 Francotyp Postalia Gmbh Postage meter and method for releasing a postage meter
    GB2370130B (en) 2000-10-11 2004-10-06 Ford Motor Co A control system for a hybrid electric vehicle
    US20030128843A1 (en) * 2002-01-04 2003-07-10 Andrew Brown Method and apparatus for preserving a strong random number across battery replacement in a security subsystem
    US7613654B2 (en) * 2002-10-30 2009-11-03 Neopost Technologies Use of electronic devices for money transfer
    US6942144B2 (en) * 2002-11-26 2005-09-13 Neopost Industrie Sa Secure remote access to metering product enclosure
    DE10309815A1 (en) * 2003-03-05 2004-09-23 Francotyp-Postalia Ag & Co. Kg Method for data exchange between data processing units
    DE102004014427A1 (en) * 2004-03-19 2005-10-27 Francotyp-Postalia Ag & Co. Kg A method for server-managed security management of deliverable services and arrangement for providing data after a security management for a franking system
    US7877628B2 (en) * 2006-06-08 2011-01-25 International Business Machines Corporation Mirroring data between primary and secondary sites
    US9183590B2 (en) * 2010-07-20 2015-11-10 Neopost Technologies System and method for managing postal accounting data using transient data collectors
    US20120303533A1 (en) * 2011-05-26 2012-11-29 Michael Collins Pinkus System and method for securing, distributing and enforcing for-hire vehicle operating parameters
    US20130060721A1 (en) 2011-09-02 2013-03-07 Frias Transportation Infrastructure, Llc Systems and methods for pairing of for-hire vehicle meters and medallions
    US9992175B2 (en) * 2016-01-08 2018-06-05 Moneygram International, Inc. Systems and method for providing a data security service

    Citations (5)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP0019515A2 (en) * 1979-05-09 1980-11-26 Friden Mailing Equipment Corporation Electronic postage meter having improved security and fault tolerance features
    US4566106A (en) * 1982-01-29 1986-01-21 Pitney Bowes Inc. Electronic postage meter having redundant memory
    EP0222197A2 (en) * 1985-10-16 1987-05-20 Pitney Bowes Inc. Systems for non-volatile storage of data and postage meter systems
    US4706215A (en) * 1984-08-22 1987-11-10 Pitney Bowes Inc. Data protection system for electronic postage meters having multiple non-volatile multiple memories
    US5029093A (en) * 1985-10-15 1991-07-02 Pitney Bowes Inc. Dual redundant electronic postage meter

    Family Cites Families (13)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US3769445A (en) * 1972-02-10 1973-10-30 O Bregenzer Ground conduit construction
    US3792446A (en) 1972-12-04 1974-02-12 Pitney Bowes Inc Remote postage meter resetting method
    US4097923A (en) * 1975-04-16 1978-06-27 Pitney-Bowes, Inc. Remote postage meter charging system using an advanced microcomputerized postage meter
    DE2820658A1 (en) 1978-05-11 1979-11-15 Pitney Bowes Remote postage meter accounting system - has digital computer for converting variable data into coded meter data fed to postage meter station
    DE3126786C3 (en) * 1980-07-14 1997-11-13 Pitney Bowes Inc Improved remote-controlled franking machine reloading system
    US4907161A (en) * 1985-12-26 1990-03-06 Pitney Bowes Inc. Batch mailing system
    US4787045A (en) * 1986-04-10 1988-11-22 Pitney Bowes Inc. Postage meter recharging system
    GB8830423D0 (en) * 1988-12-30 1989-03-01 Alcatel Business Systems Franking system
    US5369401A (en) * 1989-03-23 1994-11-29 F.M.E. Corporation Remote meter operation
    CH678368A5 (en) * 1989-03-29 1991-08-30 Frama Ag
    US5237506A (en) * 1990-02-16 1993-08-17 Ascom Autelca Ag Remote resetting postage meter
    US5224046A (en) * 1990-09-13 1993-06-29 Pitney Bowes Inc. System for recharging a plurality of postage meters
    GB9127477D0 (en) * 1991-12-30 1992-02-19 Alcatel Business Systems Franking meter system

    Patent Citations (5)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    EP0019515A2 (en) * 1979-05-09 1980-11-26 Friden Mailing Equipment Corporation Electronic postage meter having improved security and fault tolerance features
    US4566106A (en) * 1982-01-29 1986-01-21 Pitney Bowes Inc. Electronic postage meter having redundant memory
    US4706215A (en) * 1984-08-22 1987-11-10 Pitney Bowes Inc. Data protection system for electronic postage meters having multiple non-volatile multiple memories
    US5029093A (en) * 1985-10-15 1991-07-02 Pitney Bowes Inc. Dual redundant electronic postage meter
    EP0222197A2 (en) * 1985-10-16 1987-05-20 Pitney Bowes Inc. Systems for non-volatile storage of data and postage meter systems

    Also Published As

    Publication number Publication date
    EP0689170B1 (en) 2005-12-14
    DE59511028D1 (en) 2006-01-19
    US5699415A (en) 1997-12-16
    ES2187080T3 (en) 2003-05-16
    ES2258764T3 (en) 2006-09-01
    ATE225544T1 (en) 2002-10-15
    EP0689170A2 (en) 1995-12-27
    EP0915435A3 (en) 2000-06-07
    EP0689170A3 (en) 1996-12-27
    EP0915435B1 (en) 2002-10-02
    ATE313126T1 (en) 2005-12-15
    DE59510406D1 (en) 2002-11-07
    DE4422263A1 (en) 1996-01-04

    Similar Documents

    Publication Publication Date Title
    EP0915435B1 (en) Method for securely storing variable data
    DE2359776A1 (en) MEMORY MODULE FOR USE IN CONNECTION WITH A DATA PROCESSING UNIT
    DE1499200B2 (en) DATA PROCESSING SYSTEM WITH PRIORITY CONTROLLED PROGRAM INTERRUPTION
    DE10040987A1 (en) Method for improving access to computer database, deals with problem for generating and managing a semantic agreement during the presence of redundant data in relational database
    WO2000068794A1 (en) Process for the secure writing of a pointer for a circular memory
    DE19839680A1 (en) Altering control equipment memory contents involves securing first and/or second programs and/or data by copying before clearing, copying and/or reading in program/data
    DE2536625C2 (en) Parity check circuit for a binary counting register
    WO2021233696A1 (en) Method for the secure use of cryptographic material
    DE3639609C2 (en)
    EP0347970B1 (en) Read-only memory test method, and device for carrying out the method
    DE2733921A1 (en) CIRCUIT ARRANGEMENT FOR AN INDIRECTLY CONTROLLED SWITCHING SYSTEM, IN PARTICULAR TELEPHONE SWITCHING SYSTEM
    DE3242631C2 (en)
    DE19843048C2 (en) Method for a software access change in a network node of a telecommunications network and a network node suitable for performing such a method
    DE19509775C2 (en) Verifiable storage medium
    DE19836254C2 (en) Method for activating and deactivating the source or the sink of a tandem connection in a telecommunications network and the source and sink of such a tandem connection
    EP0570752B1 (en) Method of controlling the read-out and/or alteration of the operating parameters of a program-controlled electrical device
    DE69633083T2 (en) Calculator with test function
    EP1221245A2 (en) System, evaluation device and method for verifying connection-related communication data determined by a digital exchange
    DE3136586A1 (en) Method and circuit arrangement for transmitting signals between any control devices of a clock-controlled highway system which is operated as a function of direction
    EP0567858B1 (en) Method for loading an operation command sequence necessary for operating a program controlled electrical apparatus
    DE2912657A1 (en) Data processor with error program - interrupts processing and detects inadmissible data words by comparing with stored list of admissible words
    WO2000007116A1 (en) Method, arrangement and set of a plurality of arrangements for remedying at least one inconsistency in a group of databases which comprises a database and at least one copy database of the database
    EP1529257A2 (en) Accepting a set of data in a computer unit
    WO1996009523A1 (en) Method and device for a data management system which is capable of calibration
    DE19758588B4 (en) Computer system with checkpoint and restart facility - includes output unit providing accounting information indicating charge payable as result of program execution and checkpoint and restart processes to accounting files.

    Legal Events

    Date Code Title Description
    PUAI Public reference made under article 153(3) epc to a published international application that has entered the european phase

    Free format text: ORIGINAL CODE: 0009012

    AC Divisional application: reference to earlier application

    Ref document number: 689170

    Country of ref document: EP

    AK Designated contracting states

    Kind code of ref document: A2

    Designated state(s): AT BE CH DE ES FR GB IT LI SE

    PUAL Search report despatched

    Free format text: ORIGINAL CODE: 0009013

    AK Designated contracting states

    Kind code of ref document: A3

    Designated state(s): AT BE CH DE ES FR GB IT LI SE

    RIC1 Information provided on ipc code assigned before grant

    Free format text: 7G 07B 17/00 A, 7G 06F 11/14 B

    17P Request for examination filed

    Effective date: 20000710

    17Q First examination report despatched

    Effective date: 20010427

    GRAG Despatch of communication of intention to grant

    Free format text: ORIGINAL CODE: EPIDOS AGRA

    GRAG Despatch of communication of intention to grant

    Free format text: ORIGINAL CODE: EPIDOS AGRA

    GRAH Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOS IGRA

    GRAH Despatch of communication of intention to grant a patent

    Free format text: ORIGINAL CODE: EPIDOS IGRA

    RAP1 Party data changed (applicant data changed or rights of an application transferred)

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    GRAA (expected) grant

    Free format text: ORIGINAL CODE: 0009210

    AC Divisional application: reference to earlier application

    Ref document number: 689170

    Country of ref document: EP

    AK Designated contracting states

    Kind code of ref document: B1

    Designated state(s): AT BE CH DE ES FR GB IT LI SE

    REF Corresponds to:

    Ref document number: 225544

    Country of ref document: AT

    Date of ref document: 20021015

    Kind code of ref document: T

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: FG4D

    Free format text: NOT ENGLISH

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: EP

    REF Corresponds to:

    Ref document number: 59510406

    Country of ref document: DE

    Date of ref document: 20021107

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: NV

    Representative=s name: ROTTMANN, ZIMMERMANN + PARTNER AG

    GBT Gb: translation of ep patent filed (gb section 77(6)(a)/1977)

    Effective date: 20030129

    ET Fr: translation filed
    REG Reference to a national code

    Ref country code: ES

    Ref legal event code: FG2A

    Ref document number: 2187080

    Country of ref document: ES

    Kind code of ref document: T3

    PLBE No opposition filed within time limit

    Free format text: ORIGINAL CODE: 0009261

    STAA Information on the status of an ep patent application or granted ep patent

    Free format text: STATUS: NO OPPOSITION FILED WITHIN TIME LIMIT

    26N No opposition filed

    Effective date: 20030703

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PFA

    Owner name: FRANCOTYP-POSTALIA AG & CO. KG

    Free format text: FRANCOTYP-POSTALIA AG & CO. KG#TRIFTWEG 21-26#16547 BIRKENWERDER (DE) -TRANSFER TO- FRANCOTYP-POSTALIA AG & CO. KG#TRIFTWEG 21-26#16547 BIRKENWERDER (DE)

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: 746

    Effective date: 20130319

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R084

    Ref document number: 59510406

    Country of ref document: DE

    Effective date: 20130314

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: 732E

    Free format text: REGISTERED BETWEEN 20130516 AND 20130522

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: 732E

    Free format text: REGISTERED BETWEEN 20130523 AND 20130529

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: GB

    Payment date: 20140618

    Year of fee payment: 20

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: SE

    Payment date: 20140618

    Year of fee payment: 20

    Ref country code: ES

    Payment date: 20140627

    Year of fee payment: 20

    Ref country code: CH

    Payment date: 20140618

    Year of fee payment: 20

    Ref country code: DE

    Payment date: 20140410

    Year of fee payment: 20

    Ref country code: IT

    Payment date: 20140624

    Year of fee payment: 20

    Ref country code: AT

    Payment date: 20140611

    Year of fee payment: 20

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: BE

    Payment date: 20140620

    Year of fee payment: 20

    PGFP Annual fee paid to national office [announced via postgrant information from national office to epo]

    Ref country code: FR

    Payment date: 20140619

    Year of fee payment: 20

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R082

    Ref document number: 59510406

    Country of ref document: DE

    Representative=s name: PATENTANWAELTE SCHAUMBURG, THOENES, THURN, LAN, DE

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R082

    Ref document number: 59510406

    Country of ref document: DE

    Representative=s name: SCHAUMBURG & PARTNER PATENTANWAELTE GBR, DE

    Effective date: 20150503

    Ref country code: DE

    Ref legal event code: R082

    Ref document number: 59510406

    Country of ref document: DE

    Representative=s name: SCHAUMBURG & PARTNER PATENTANWAELTE GBR, DE

    Effective date: 20150330

    Ref country code: DE

    Ref legal event code: R081

    Ref document number: 59510406

    Country of ref document: DE

    Owner name: FRANCOTYP-POSTALIA GMBH, DE

    Free format text: FORMER OWNER: FRANCOTYP-POSTALIA GMBH, 16547 BIRKENWERDER, DE

    Effective date: 20150330

    REG Reference to a national code

    Ref country code: DE

    Ref legal event code: R071

    Ref document number: 59510406

    Country of ref document: DE

    REG Reference to a national code

    Ref country code: CH

    Ref legal event code: PL

    REG Reference to a national code

    Ref country code: GB

    Ref legal event code: PE20

    Expiry date: 20150622

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: GB

    Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

    Effective date: 20150622

    REG Reference to a national code

    Ref country code: SE

    Ref legal event code: EUG

    REG Reference to a national code

    Ref country code: AT

    Ref legal event code: MK07

    Ref document number: 225544

    Country of ref document: AT

    Kind code of ref document: T

    Effective date: 20150623

    REG Reference to a national code

    Ref country code: ES

    Ref legal event code: FD2A

    Effective date: 20150930

    PG25 Lapsed in a contracting state [announced via postgrant information from national office to epo]

    Ref country code: ES

    Free format text: LAPSE BECAUSE OF EXPIRATION OF PROTECTION

    Effective date: 20150624