[0001] Die Erfindung betrifft eine Einlieferungsstation zum Frankieren von Postsendungen,
die wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung und wenigstens
ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung aufweist.
Ferner ist eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung
und eine Frankiereinheit zur Aufbringung eines Frankiervermerks auf die Postsendung
vorgesehen. Die Recheneinheit hat dabei Zugriff auf Messtoleranzen der Waage und des
Dimensionsmessgerätes.
[0002] Die Erfindung betrifft ferner ein Verfahren zum Frankieren von Postsendungen in einer
solchen Einlieferungsstation.
[0003] Neben der Aufbringung von Postwertzeichen wie Briefmarken ist es auf dem Gebiet der
Freimachung von Postsendungen bekannt, Frankiermaschinen einzusetzen, welche von einem
Nutzer dazu verwendet werden können, größere Mengen von Postsendungen mit einem Freimachungsvermerk
zu versehen. Die Anschaffung einer Frankiermaschine wird jedoch insbesondere von Kunden
mit geringem oder unregelmäßigem Aufkommen an zu frankierenden Postsendungen oftmals
vermieden.
[0004] Kunden können ferner eine größere Menge von unfrankierten Postsendungen in einer
Filiale eines Transport- und Zustelldienstes abgeben. Das Zustellunternehmen führt
eine Frankierung der Sendungen durch, wobei ebenfalls Frankiermaschinen zum Einsatz
kommen können. Dabei sind die Kunden jedoch für die Einlieferung von Sendungen an
festgelegte Öffnungszeiten von Filialen des Zustellunternehmens gebunden.
[0005] Im postalischen Bereich besteht daher der Bedarf nach einer Einlieferungsstation
für Postsendungen, in welche Kunden größere Mengen unfrankierter Postsendungen einliefern
können, wobei die Vorrichtung die Sendungen automatisch frankiert. Die Vorrichtung
könnte in öffentlichen Bereichen aufgestellt werden, um Kunden einen 24-Stundenbetrieb
zu gewährleisten. Dabei setzt eine derartige Vorrichtung ein Verfahren zur automatischen
Ermittlung eines für eine Sendung erforderlichen Portobetrages bzw. Portoentgelts
voraus.
[0006] Eine solche Einlieferungsstation für Briefsendungen ist beispielsweise aus der deutschen
Offenlegungsschrift
DE 10 2005 006 005 A1 bekannt. Die Druckschrift offenbart eine Einlieferungsstation für Postsendungen,
bei der eine Postsendung von einem Annahmemittel in ein für einen Kunden unzugängliches
Gehäuse überführt wird. Innerhalb des Gehäuses werden durch Messeinrichtungen Messwerte
für Gewicht, Länge, Breite und Höhe der Postsendung ermittelt. Zu den so ermittelten
Messwerten werden die Negativtoleranzen der einzelnen Messeinrichtungen addiert und
die Beträge der Positivtoleranzen subtrahiert, um angepasste Messwerte zu erhalten.
Diese angepassten Messwerte werden mit Wertebereichen einer Referenzliste verglichen,
wobei die Referenzliste Wertebereichen der angepassten Messwerte verschiedene Portobeträge
zuordnet und eine Ergebnisliste mit den Portobeträgen erzeugt wird, die den ermittelten
angepassten Messwerten zugeordnet sind. Der kleinste Portobetrag der Ergebnisliste
wird ermittelt und als erforderliches Portoentgelt für die betreffende Postsendung
festgelegt. Daraufhin wird ein Freimachungsvermerk auf die Postsendung aufgebracht,
wobei der Freimachungsvermerk den ermittelten Portobetrag enthält. Durch diese Vorgehensweise
wird sichergestellt, dass ein Kunde nie einen zu hohen Portobetrag entrichten muss.
Dies ist eine wesentliche Voraussetzung für die Zulassung einer solchen Einlieferungsstation,
wenn diese öffentlich aufgestellt wird.
[0007] Für Messgeräte wie beispielsweise Waagen, Tankzapfsäulen und auch Einlieferungsstationen
zum Frankieren von Postsendungen besteht die Notwendigkeit, diese gemäß nationaler
Eichgesetze eichen zu lassen, um eichpflichtige Messungen damit durchführen zu können.
Die Eichung setzt in den meisten Fällen eine Bauartzulassung voraus, das heißt, ein
typisches Exemplar des betreffenden Messgerätes muss von der zuständigen Behörde zugelassen
werden. In der Bundesrepublik Deutschland ist die dafür zuständige Behörde beispielsweise
die Physikalisch Technische Bundesanstalt (PTB).
[0008] Die Behörde prüft üblicherweise die Zulassungsunterlagen und ein Mustergerät nach
den Vorschriften der jeweiligen Eichordnung. Wesentliche Aspekte sind hierbei die
Messrichtigkeit und Messbeständigkeit. Es müssen insbesondere die geltenden Anforderungen
und Fehlergrenzen eingehalten werden. Die Zulassungsprüfung beinhaltet messtechnische,
technische und administrative Prüfungen. Bei den technischen Prüfungen, zu denen auch
Softwareprüfungen gehören, wird untersucht, ob die Bedien-, Anzeige- und Abdruckfunktionen
den Anforderungen genügen und das Gerät ausreichend gegen Bedienungsfehler und Manipulationen
geschützt ist. Da Einlieferungsstationen zum Frankieren von Postsendungen üblicherweise
computergesteuert sind, ist somit auch eine Zulassung und Eichung von Softwarekomponenten
erforderlich.
[0009] War die Zulassungsprüfung erfolgreich, erhält der Antragsteller von der zuständigen
Behörde einen Zulassungsschein und ein Zulassungszeichen, das auf allen Messgeräten
an sichtbarer Stelle aufgebracht werden muss. Hat die Geräte-Bauart eine Zulassung
erhalten, so muss anschließend jedes einzelne Gerät von der zuständigen Eichbehörde
geeicht werden, bevor es beispielsweise im geschäftlichen Verkehr eingesetzt werden
darf.
[0010] Insbesondere im Bereich der Prüfung und Eichung von Software liegen ferner Empfehlungen
der WELMEC (Western European Legal Metrology Cooperation) vor, bei der es sich um
eine europäische Zusammenarbeit im gesetzlichen Messwesen handelt. Als gesetzliches
Messwesen wird die Gesamtheit der technischen und administrativen Verfahren bezeichnet,
die von den öffentlichen Behörden rechtlich verbindlich festgelegt wurden, um die
Qualität der im Rahmen gewerblicher Geschäfte und amtlicher Kontrollen bzw. in den
Bereichen Gesundheitsfürsorge, Sicherheit usw. vorgenommenen Messungen zu garantieren.
Dabei werden Empfehlungen für die Ausführung von eichpflichtiger Software und die
Verarbeitung eichpflichtiger Messwerte und Parameter angegeben.
[0011] Soll eine Einlieferungsstation zur Einlieferung und Frankierung von Postsendungen
geeicht werden, besteht die Möglichkeit, alle Komponenten der Anlage und die Software
in ihrer Gesamtheit prüfen und eichen zu lassen. Dies hat jedoch den Nachteil, dass
Änderungen an der Vorrichtung und/oder der Software mit einer erneuten Prüfung durch
eine Zulassungsbehörde verbunden sind. Eine Veränderung des der Software zugrunde
liegenden Betriebsystems oder sonstiger nicht eichrelevanter Parameter kann daher
in diesem Fall nicht von einem Administrator durchgeführt werden. Da eine Einlieferungsstation
Komponenten im Hardware- und Softwarebereich umfassen kann, die nicht eichpflichtig
sind, besteht jedoch die Möglichkeit, eichpflichtige von nicht-eichpflichtigen Komponenten
zu trennen. Dadurch können die nicht-eichpflichtigen Komponenten frei verändert werden,
ohne dass eine erneute Zulassung oder Eichung der gesamten Anordnung erforderlich
ist. Das deutsche Gebrauchsmuster
DE 296 13 903 U1 offenbart dazu beispielsweise eine Anordnung zur Qualitätssicherung komplexer elektronischer
Messeinrichtungen, die sowohl eichpflichtige als auch nicht-eichpflichtige Komponenten
aufweisen.
[0012] Ferner sind aus der deutschen Offenlegungsschrift
DE 195 27 293 A1 ein Verfahren und eine Vorrichtung zur sicheren Messung und Verarbeitung von Messdaten
im Bereich der Abgasuntersuchung bekannt. Damit ein Computer, der an ein Messmodul
angeschlossen ist, nicht zusammen mit dem Messmodul geeicht werden muss, was zu einer
Einschränkung des zunächst offenen PC-Systems führen würde, schlägt die Druckschrift
vor, dass Messwerte über eine geeignete Schnittstelle zu einem PC übertragen werden.
Der PC muss dabei nicht geeicht werden, sondern kann auch für andere Anwendungen zur
freien Verfügung stehen.
[0013] Bekannte Vorgehensweisen eignen sich jedoch nicht dazu, eine eichfähige Einlieferungsstation
zum Frankieren von Postsendungen so auszubilden, dass eichpflichtige Komponenten von
einer Zulassungsbehörde geprüft und geeicht werden können, während nicht-eichpflichtige
Komponenten frei vom Betreiber der Einlieferungsstation verändert werden können. Es
sind bisher keine Einlieferungsstationen für Postsendungen bekannt, welche die Kriterien
der zuständigen Zulassungsbehörden erfüllen. Aufgabe der Erfindung ist es daher, eine
Einlieferungsstation für Postsendungen bereitzustellen, welche diese Anforderungen
erfüllt.
[0014] Erfindungsgemäß wird diese Aufgabe durch eine Vorrichtung mit den Merkmalen des unabhängigen
Anspruches 1 gelöst. Vorteilhafte Weiterbildungen der Vorrichtung ergeben sich aus
den Unteransprüchen 2-12. Die Aufgabe wird ferner durch ein Verfahren nach Anspruch
13 gelöst. Vorteilhafte Ausführungsformen des Verfahrens ergeben sich aus den Unteransprüchen
14-22.
[0015] Die erfindungsgemäße Einlieferungsstation zum Frankieren von Postsendungen weist
wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung und wenigstens
ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung auf. Ferner
ist eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung vorgesehen,
wobei die Recheneinheit Zugriff auf Messtoleranzen der Waage und des Dimensionsmessgerätes
hat. Eine Frankiereinheit dient zur Aufbringung eines Frankiervermerks auf die Postsendung.
Die Waage und das Dimensionsmessgerät sind jeweils physikalisch versiegelt und stehen
über ebenfalls physikalisch versiegelte Datenkabel in Verbindung mit einer seriellen
Schnittstelle der Recheneinheit. Diese Messgeräte oder eine jeweils zugehörige Schnittstelle
signieren die erzeugten Messwerte. Die Messtoleranzen der Waage und des Dimensionsmessgerätes
und Formatkategorien für Postsendungen sind in einem signierten Einwegspeicher hinterlegt,
auf dessen Daten ein signiertes Messmodul der Recheneinheit ausschließlich lesenden
Zugriff hat. Dieses Messmodul weist ferner Mittel zum Empfangen von Messwerten von
der Waage und dem Dimensionsmessgerät über die serielle Schnittstelle auf.
[0016] Eine Komponente des Messmoduls in Form eines Korrekturmoduls umfasst Mittel zum Addieren
und Subtrahieren der jeweiligen Messtoleranzen der Waage und des Dimensionsmessgerätes
zu den empfangenen Messwerten, um so korrigierte Messwerte zu erzeugen. Das Messmodul
weist ferner ein Formatmodul auf, das Mittel zur Bestimmung der Formatkategorie einer
Postsendung aus den korrigierten Dimensionsmesswerten und den Formatkategorien im
Einwegspeicher umfasst. Darüber hinaus umfasst das Messmodul Mittel zur Bestimmung
der Produktkategorie einer Postsendung aus dem korrigierten Gewichtsmesswert der Postsendung
und der vom Formatmodul ermittelten Formatkategorie der Postsendung. Das Messmodul
hat Zugriff auf eine Datei, die eine Zuordnung zwischen Produktkategorien von Postsendungen
und Portoentgelten enthält, so dass ein daraus ermitteltes Portoentgelt für eine Postsendung
von dem Messmodul der Frankiereinheit zugeführt werden kann. Diese Datei weist vorzugsweise
keine Signatur auf. Das Messmodul weist ferner Mittel zum Signieren von Datensätzen,
bestehend wenigstens aus Messwerten der Waage und des Dimensionsmessegerätes, den
zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung
und ein Speichermodul zur Speicherung eines signierten Datensatzes im signierten Einwegspeicher
auf.
[0017] In einem Ausführungsbeispiel der Erfindung weist die Einlieferungsstation eine Anzeige
in Verbindung mit dem Messmodul auf, auf der wenigstens Messwerte und/oder korrigierte
Messwerte der Waage und des Dimensionsmessgerätes angezeigt werden, wobei eine auf
der Anzeige angezeigte Maske von dem Messmodul erzeugt und signiert wird.
[0018] Vorzugsweise sind das Messmodul und seine Komponenten mit einer Signatur signiert,
die auf einer asymmetrischen Verschlüsselung beruht. Diese Signatur kann mit einem
privaten Schlüssel erzeugt werden, der von einem TPM-Chip (Trusted Platform Module)
der Recheneinheit erzeugt wurde und/oder in diesem gespeichert ist, wobei der TPM-Chip
fest in die Recheneinheit eingebaut ist. Der Zugriff auf den privaten Schlüssel im
TPM-Chip kann durch ein Passwort geschützt werden.
[0019] In einem Ausführungsbeispiel der Erfindung bilden die Waage, das Dimensionsmessgerät
und/oder eine zugehörige Schnittstelle einen Hash-Wert über einen Messwert. Ferner
bildet das Messmodul einen Hash-Wert über einen Datensatz, bestehend aus wenigstens
den Messwerten der Waage und des Dimensionsmessegerätes, den zugehörigen korrigierten
Messwerten und der ermittelten Produktkategorie einer Postsendung.
[0020] Bei dem Messmodul und seinen Komponenten handelt es sich vorzugsweise um Softwarekomponenten
in Form von Java Archiv-Files. Dabei können das Messmodul und seine Softwarekomponenten
auf einem schreibgeschützten Speichermedium gespeichert sein, dessen mechanischer
Schreibschutzschalter physikalisch versiegelt wurde, wobei die Verbindung des Speichermediums
mit der Recheneinheit ebenfalls physikalisch versiegelt wurde. Das Messmodul kann
beispielsweise auf einem USB-Speicherstift oder einer Festplatte mit einem mechanischen
Schreibschutzschalter gespeichert sein.
[0021] Die Erfindung umfasst ferner ein Verfahren zum Frankieren von Postsendungen in einer
solchen Einlieferungsstation. Vorzugsweise werden das Messmodul und seine Komponenten
vor Durchführung der Verfahrensschritte signiert, wobei die Signierung durch eine
asymmetrische Verschlüsselung erfolgt. Auch die Speicherung des Messmoduls und seiner
Softwarekomponenten auf einem schreibgeschützten Speichermedium erfolgt vorzugsweise
vor Durchführung des Verfahrens.
[0022] Die Erfindung hat den Vorteil, dass eine eichfähige Einlieferungsstation zum Frankieren
von Postsendungen bereitgestellt wird, welche die Anforderungen an eine Zulassung
erfüllt. Dabei ist sichergestellt, dass eichpflichtige Software- und Hardwarekomponenten
gegen Manipulationen geschützt sind bzw. mögliche Manipulationen eindeutig festgestellt
werden können. Die Erfindung bringt insbesondere den Vorteil mit sich, dass nicht-eichpflichtige
Komponenten so von den eichpflichtigen Komponenten getrennt sind, dass sie durch diese
nicht beeinflusst werden. Dies bedeutet unter anderem, dass die nicht eichpflichtigen
Komponenten der erfindungsgemäßen Einlieferungsstation vom Betreiber des Automaten
verändert werden können, ohne dass eine erneute Zulassung oder Eichung erforderlich
ist.
[0023] Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben
sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele
anhand der Abbildungen.
[0024] Von den Abbildungen zeigt:
- Fig. 1
- ein Ausführungsbeispiel der erfindungsgemäßen Einlieferungsstation;
- Fig. 2
- eine schematische Darstellung eichpflichtiger und nicht-eichpflichtiger Komponenten
zum Betrieb der erfindungsgemäßen Einlieferungsstation;
- Fig. 3
- eine schematische Darstellung der Verfahrensschritte bei der Portoermittlung für eine
Postsendung mit dem erfindungsgemäßen Verfahren; und
- Fig. 4
- eine schematische Darstellung der Komponenten einer Recheneinheit der erfindungsgemäßen
Einlieferungsstation.
[0025] In Fig. 1 ist ein mögliches Ausführungsbeispiel der erfindungsgemäßen Einlieferungsstation
dargestellt. Bei der Einlieferungsstation 10 handelt es sich um einen Selbstbedienungsautomaten,
an dem Kunden Postsendungen wie Brief- oder Warensendungen anliefern können. Vorzugsweise
handelt es sich dabei um registrierte Kunden, die sich beispielsweise über eine Kundenkarte
identifizieren können, so dass die durch die Einlieferungsstation erbrachten Leistungen
auf einfache Weise beim Kunden abgerechnet werden können. Zu den Leistungen des Automaten
zählt insbesondere die Frankierung von Postsendungen mit dem erforderlichen Portoentgelt.
Der Automat ermittelt dabei vollautomatisch das Format einer Sendung, berechnet das
korrekte Entgelt und druckt dieses als Frankiervermerk auf die Sendung auf. Der Automat
kann auch nicht-registrierten Kunden zur Verfügung gestellt werden, wenn geeignete
Abrechnungsverfahren integriert werden. Neben Brief- und Warensendungen können beispielsweise
auch Postzustellungsaufträge, Einschreiben, Nachnahmesendungen oder eine Anschriftenprüfung
von der Einlieferungsstation 10 durchgeführt werden.
[0026] Mehrere Einlieferungsstationen sind vorzugsweise mit einem Backendsystem verbunden,
welches wenigstens den Betrieb der Automaten und die Abrechnung von Dienstleistungen
bei den Kunden abwickelt. Zum Betrieb der Automaten gehört beispielsweise die Wartung,
die Einstellung von Sammelbehältern für die Aufnahme von Postsendungen und die bedarfsgerechte
Abholung eingelieferter Sendungen. Die Backendsysteme können ferner die Identifikation
und Legimitation von Kunden, die Bestimmung von Einlieferungslimits und eine Nachverfolgung
eingelieferter Sendungen übernehmen. Bei der Gesamtanwendung kann es sich um eine
Client-Server-Anwendung handeln, wobei eine Einlieferungsstation jedoch vorzugsweise
als Rich-Client ausgebildet ist, auf dem sich die Anwendungslogik befindet.
[0027] Um im Außenbereich eingesetzt werden zu können, ist eine Einlieferungsstation 10
zweckmäßigerweise einbruchsicher und wetterbeständig ausgeführt. Eine Einlieferungsstation
umfasst üblicherweise ein für einen Kunden unzugängliches Gehäuse. Sobald der Kunde
die Postsendungen in die Vorrichtung eingebracht hat und der Mess- und Frankierprozess
gestartet wurde, besteht für ihn keine Möglichkeit mehr, auf die Postsendungen zuzugreifen.
Die Vorrichtung ist jedoch für Servicepersonal zugänglich, welches Zugriff auf die
verschiedenen technischen Komponenten hat. Zu diesem Zweck können eine oder mehrere
verschließbare Klappen vorgesehen sein, welche den Zugriff auf die Technik der Vorrichtung
freigeben. Die Vorrichtung ist ferner für Angestellte des Betreibers der Vorrichtung
zugänglich, welche eingelieferte Postsendungen entnehmen und diese dem Transport und
Zustellprozess zuführen.
[0028] Für die Abholung und den anschließenden Transport werden die eingelieferten Postsendungen
20 vorzugsweise in einem oder mehreren Behältern 12 gesammelt, welche ebenfalls durch
eine verschließbare Klappe zugänglich sind. Es kann vorgesehen sein, dass die Vorrichtung
eine Füllstandskontrolle der betreffenden Sammelbehälter durchführt. Sind die Sammelbehälter
bis zu einem vorgebbaren Maß befüllt, wird der Betreiber der Vorrichtung benachrichtigt,
dass eine Entleerung erfolgen muss. Ferner kann die Annahme weiterer Sendungen an
der Vorrichtung verweigert werden.
[0029] Die Vorrichtung gemäß Fig. 1 weist ein Annahmemittel 11 zur Annahme von Postsendungen
20 auf. Dabei handelt es sich vorzugsweise um einen Vereinzeler, welcher einen Stapel
von Postsendungen einzeln in die Vorrichtung einzieht. Bei dem Vereinzeler kann es
sich um eine aus dem Stand der Technik bekannte Vorrichtung handeln, welche einen
Einzeleinzug ermöglicht. Der Kunde legt einen Stapel mit Sendungen beispielsweise
in eine Annahmeöffnung 11 ein und schließt eine Abdeckungsklappe, hinter welcher daraufhin
der Einzug der Sendungen erfolgt. Einzelsendungen können ebenfalls über den Einzug
in die Vorrichtung aufgenommen werden. Die Vorrichtung kann ferner wie herkömmliche
Briefkästen einen Schlitz zum Einwerfen von Einzelsendungen aufweisen.
[0030] Nach der Vereinzelung der Sendungen durchläuft eine Postsendung 20 die Vorrichtung
10 mittels eines oder mehrerer Transportmittel. Bei den Transportmitteln handelt es
sich beispielsweise um Transportbänder und Rollen, welche eine Sendung durch verschiedene
Messvorrichtungen und anschließend durch eine Druckanordnung leiten. Die Sendungen
werden dabei vorzugsweise waagerecht liegend transportiert. Ein hochkanter Transport
ist ebenfalls möglich. Die verschiedenen Messvorrichtungen ermitteln wenigstens das
Gewicht und die Abmessungen der Sendung. Die Ermittlung der einzelnen Messwerte kann
dabei nacheinander oder durch verschiedene Messeinrichtungen gleichzeitig erfolgen.
[0031] Das Gewicht G einer Sendung 20 kann durch verschiedene Verfahren zur Gewichtsermittlung
gemessen werden. In einem besonders bevorzugten Ausführungsbeispiel der Erfindung
wird das Gewicht durch eine dynamische Waage 30 ermittelt. Die Waage kann kalibriert
werden, wobei ferner die Minimal- und Maximaltoleranzwerte ermittelt werden. Die Toleranzwerte
der Waage werden in einem Rechenmittel 50 der Vorrichtung hinterlegt. Die Länge L
und Höhe H einer Sendung können ebenfalls mit verschiedenen bekannten Mitteln bestimmt
werden. Die maximalen und minimalen Toleranzwerte dieser Messung können durch die
Auswertung von Messreihen erhalten werden.
[0032] Die Messung der Breite B einer Sendung erfolgt beispielsweise über eine Bilderkennung
oder über fest installierte Breitenmesssensoren. Dabei ist die Breite B als der kleinste
Abstand zweier gegenüberliegender Kanten einer Sendung zueinander definiert. Die Toleranzwerte
der Messeinrichtung können über Messreihen ermittelt werden.
[0033] Die Messeinrichtungen zur Bestimmung von Länge, Breite und Höhe einer Postsendung
20 werden im Folgenden in ihrer Gesamtheit als Dimensionsmessgerät 40 bezeichnet.
Ein solches Dimensionsmessgerät kann somit aus einem oder mehreren Messgeräten bestehen.
Die verschiedenen Messeinrichtungen sind mit einer Recheneinheit 50 verbunden, die
sich vorzugsweise ebenfalls innerhalb der Vorrichtung 10 befindet. Bei der Recheneinheit
50 kann es sich beispielsweise um einen PC mit einem Prozessor, einem Speicher, mehreren
Festplatten und Wechselmedien handeln. Der PC verfügt ferner über einen Netzwerkanschluss
beispielsweise in Form von Fast Ethernet.
[0034] Durchläuft eine Postsendung 20 die verschiedenen Messeinrichtungen, werden die ermittelten
Messwerte zur Auswertung an die Recheneinheit 50 übergeben. Dabei erzeugt die Recheneinheit
50 aus den Messwerten korrigierte Messwerte, indem die Negativ- und Positivtoleranzen
der einzelnen Messeinrichtungen verarbeitet werden. In einem ersten Schritt werden
diese Toleranzwerte mit den ermittelten Messwerten H für die Höhe, L für die Länge,
G für das Gewicht und B für die Breite der Postsendung verrechnet. Dabei wird jeweils
der Betrag der Negativtoleranz zum gemessenen Messwert addiert, um angepasste Messwerte
H', L', G' und B' zu erhalten. Ferner wird der Betrag der Positivtoleranz vom gemessenen
Messwert subtrahiert, um angepasste Messwerte H", L", G" und B" zu erhalten.
[0035] Weist die Vorrichtung zur Längenmessung beispielsweise eine Toleranz von +2mm und
-3mm auf, wird zu einer gemessenen Länge L = 236mm die Negativtoleranz von 3mm addiert,
wodurch sich ein angepasster Messwert von L' = 239mm ergibt. Ferner wird von dem gemessenen
Längenwert die Positivtoleranz von 2mm subtrahiert, so dass sich ein angepasster Messwert
von L" = 234mm ergibt. Die angepassten Messwerte der übrigen Größen werden im Rechenmittel
50 analog berechnet.
[0036] Anhand der ermittelten angepassten Messwerte H', H", L', L", G', G", B' und B" wird
von der Recheneinheit 50 ein Vergleich der angepassten Messwerte mit den Wertebereichen
einer Referenzliste durchgeführt. Wird ein Produkt bzw. eine Produktklasse ermittelt,
in deren Wertebereich alle angepassten Messwerte liegen, wird der zugeordnete Portobetrag
in eine Ergebnisliste aufgenommen. Enthält diese Ergebnisliste mehrere Portobeträge,
wird der kleinste Betrag ermittelt und als auf die Postsendung aufzubringender Portobetrag
bestimmt. Enthält die Ergebnisliste nur einen Eintrag, wird der betreffende Portobetrag
als aufzubringender Portobetrag ermittelt. Mit dem so ermittelten Portobetrag wird
in einer Frankiereinheit 60 ein Freimachungsvermerk erzeugt und auf die Postsendung
20 aufgedruckt. Als Frankiereinheit können jegliche aus dem Stand der Technik bekannte
Frankiereinheiten zum Einsatz kommen, die beispielsweise einen Frankiervermerk in
Form eines Matrixcodes auf eine Postsendung aufdrucken.
[0037] Ist die Ergebnisliste leer, konnte anhand der Messungen keine Produktklasse bestimmt
werden und die Sendung kann durch die Vorrichtung nicht angenommen werden. In diesem
Fall wird dem Nutzer über ein Anzeigemittel der Vorrichtung eine entsprechende Meldung
angezeigt und die Sendung aus der Vorrichtung ausgeworfen.
[0038] In einem weiteren Ausführungsbeispiel der Erfindung wird die Ermittlung des Portobetrages
durch Angaben eines Nutzers zu der Art der Postsendung ergänzt, so dass es sich um
eine halbautomatische Portoermittlung handelt. Die Art der Sendung kann beispielsweise
Informationen zu Inhalt, Sendungsziel oder Zusatzleistungen umfassen. Diese Informationen
werden in einem Ausführungsbeispiel der Erfindung nicht physikalisch ermittelt, sondern
vom Nutzer durch eine Bedieneinheit 13 der Einlieferungsstation 10 eingegeben. Die
Bedieneinheit kann beispielsweise eine Tastatur, einen Bildschirm oder einen Touchscreen
und ein Kartenlesegerät umfassen.
[0039] Beispielsweise wird von einem Nutzer angegeben, ob das Sendungsziel der Postsendung
national oder international ist. Dies kann auch automatisch durch eine Auswertung
der Sendungsadresse erfolgen. Da jedoch bei unleserlichen Anschriften eine manuelle
Auswertung erforderlich ist, kann vorgesehen sein, dass das Sendungsziel grundsätzlich
vom Nutzer eingegeben wird. Dabei ist es vorteilhaft, dass der Nutzer die Unterscheidung
zwischen nationalen und internationalen Zustellungen nicht für jede Sendung einzeln,
sondern für eine größere Menge zugleich eingelieferter Sendungen angibt.
[0040] Die Einlieferungsstation 10 kann ferner einen Barcodeleser zum Erfassen von auf Postsendungen
befindlichen Barcodes umfassen. Darüber hinaus weist die Vorrichtung vorzugsweise
ein oder mehrere Kameras auf, um Bilder der Postsendungen aufzunehmen. Dabei werden
vorzugsweise Bilder der Adressseite von Postsendungen aufgenommen. Das Bild einer
Postsendung kann beispielsweise dazu verwendet werden, um es einem Kunden auf dem
Bildschirm der Bedieneinheit 13 anzuzeigen. Der Kunde kann die Adressdaten einsehen
und damit ein Einschreiben beauftragen.
[0041] Die Erfindung ist jedoch nicht auf die beschriebene Ausführungsform einer Einlieferungsstation
beschränkt, sondern eignet sich für jegliche Vorrichtungen zur Annahme und Frankierung
von Postsendungen, welche zugelassen und geeicht werden müssen.
[0042] Fig. 2 zeigt eine schematische Darstellung eichpflichtiger und nicht-eichpflichtiger
Komponenten zum Betrieb der erfindungsgemäßen Einlieferungsstation. Hardwarekomponenten
wie eine Waage 30 und die Dimensionsmessgeräte 40 werden dabei vorzugsweise über standardisierte
Schnittstellen an die Recheneinheit 50 der Einlieferungsstation 10 angeschlossen,
so dass sie ausgetauscht werden können. Da beim Prozess der automatischen Sendungsannahme
innerhalb einer Einlieferungsstation 10 das Format der Sendungen und ihr Gewicht mittels
Messeinrichtungen ermittelt wird und aufgrund der Ergebnisse dieser Messungen automatisch
der Preis für das Sendungsentgelt bestimmt wird, unterliegt der gesamte Prozess der
Zulassung und Eichung durch die zuständige Behörde. Die Eichung erstreckt sich dabei
nicht nur auf die Messwerte selbst, sondern auch auf die Datenverarbeitung, die das
Sendungsformat aus den Messwerten ermittelt. Durch die Eichung wird die Korrektheit
der Messung und der Entgeltbestimmung durch einen Eichbeamten bestätigt.
[0043] Der primäre Zweck der Vermessung einer Sendung liegt in der Bestimmung des Sendungsformats
und -gewichts, da diese die Basis für die Produktbestimmung und damit die Entgeltbestimmung
bilden. Das Sendungsformat wird mittels einer Software der Recheneinheit 50 aus der
Gesamtheit der Messergebnisse und deren Toleranzparametern ermittelt. Dieser Teil
der Software unterliegt ebenfalls der Eichung. Dies bedeutet, dass diese Softwarekomponente
der Recheneinheit 50 von einem Eichbeamten mit einem Siegel versehen werden und eine
Manipulation der Softwarekomponenten einwandfrei nachweisbar sein muss.
[0044] Ferner muss der Kunde die Entgeltbestimmung nachvollziehen können, so dass ihm die
Messergebnisse angezeigt werden. Die Anzeige der Messergebnisse unterliegt ebenfalls
dem Eichprozess, da diese nicht manipulierbar sein soll. Falls eine Ausgabe von Einzelmessungen
beispielsweise auf einer Quittung oder einem Bildschirm von der Zulassungsbehörde
nicht gefordert wird, besteht die Möglichkeit, die grundlegenden Daten der Formatbestimmung
in einem Messwertspeicher 55 für eine mögliche nachträgliche Einsichtnahme aufzubewahren.
Dieser Messwertspeicher muss wie die Messwerte selbst gegen Manipulation geschützt
werden, so dass es sich vorzugsweise um einen Einwegspeicher handelt, auf den nur
lesend zugegriffen werden kann. Vorzugsweise wird sowohl die Softwarekomponente, welche
die Schnittstelle zu dem Messwertspeicher 55 bildet, als auch der Einwegspeicher selbst
gegen Manipulationen geschützt.
[0045] Der Messwertspeicher 55 kann beispielsweise in einer Datenbank der Recheneinheit
50 angelegt sein und der Zugriff auf den Messwertspeicher erfolgt nur über eine vorgegebene
Schnittstelle, wobei auf hinterlegte Daten ausschließlich ein lesender Zugriff erfolgen
kann. Die gespeicherten Daten können als binäre Datenbankfiles auf einer Festplatte
liegen. Eine Manipulation der Datenbankfiles kann durch Sicherheitsmechanismen der
Datenbank selbst ausgeschlossen werden, wenn manipulierte Datenbankfiles von der Datenbank
als korrupt identifiziert werden und nicht mehr aktiviert werden können. Ein Löschen
der Datenbankfiles kann zeitgesteuert innerhalb des Datenbankschemas selbst erfolgen.
So besteht keine Löschfunktion von außen. Die Aufbewahrungsdauer von Datensätzen kann
beispielsweise durch den Eichbeamten in dem Messwertspeicher selbst gespeichert und
so jederzeit kontrolliert werden.
[0046] Das Gesamtsystem aus Messgeräten 30 und 40, Messdatenübertragung an die formatbestimmende
Software der Recheneinheit 50, die Formatbestimmung der Recheneinheit 50, der Messwertspeicher
55 und eine Anzeige der Messergebnisse auf einer Anzeige 80 werden üblicherweise vor
Ort durch einen Eichbeamten signiert und verplombt. Eine Produkt- und Preisliste 93,
der für eine ermittelte Produktkategorie das zu entrichtende Porto zu entnehmen ist,
ist dagegen nicht eichpflichtig. Diese kann daher vom Betreiber der Einlieferungsstation
geändert werden, ohne dass eine erneute Eichung durchgeführt werden muss. Ergeben
sich dadurch neue Formatkategorien sind diese jedoch im Messwertspeicher 55 zu hinterlegen.
[0047] Die Software der Recheneinheit 50 muss dabei insbesondere gegen absichtliche Änderungen
mittels gängiger Software-Werkzeuge geschützt sein. Die Schnittstellen zwischen eichpflichtiger
Software und nicht-eichpflichtiger Software müssen rückwirkungsfrei sein, das heißt
die Schnittstellen verhindern die Eingabe von unzulässigen Daten, Parametern und Befehlen.
Messgeräte dürfen beispielsweise nicht unzulässig beeinflusst werden, wenn ihre rückwirkungsfreien
Schnittstellen mit Fremdspannungen beaufschlagt werden. Ferner gibt die Schnittstelle
die Hauptanzeigen in eichfähiger Form an eichpflichtige Zusatzeinrichtungen aus.
[0048] Ferner muss eine Softwareidentifikation vorhanden sein, welche die eichpflichtigen
Programmteile und Parameter umfasst und bei der Eichung überprüft werden kann. Der
Eichbeamte überprüft vor Ort an einer Einlieferungsstation eine von der Zulassungsbehörde
angebrachte Signatur der eichrelevanten Software-Module und versiegelt die Gesamtheit
durch Signierung mit einem eigenen Schlüssel. Die eigentliche Eichung findet mit Eichmaßen
statt, wobei die Korrektheit der von den Messgeräten gemessenen Daten und der um die
Toleranzwerte korrigierten Messdaten stattfindet.
[0049] Die Komponenten der Recheneinheit 50 und ihre Funktionen werden anhand der Darstellung
in Fig. 2 erläutert. Messgeräte wie die Waage 30 und die Dimensionsmessgeräte 40 unterliegen
dem Eichprozess. Um nachträgliche Manipulationen der Einrichtung zu verhindern bzw.
Manipulationen einwandfrei nachzuweisen, werden diese geeichten Messeinrichtungen
üblicherweise mit einem Eichsiegel verplombt. Auch die Transportstrecke von Messdaten
von den Messgeräten zu einer Messwert-Software der Recheneinheit 50 muss verplombt
werden. Solche Verplombungen stellen ein Beispiel für eine physikalische Versiegelung
im Sinne dieser Erfindung dar. Die Waage 30 und die Dimensionsmessgeräte 40 werden
somit geeicht und danach physikalisch versiegelt.
[0050] Die Sendungen werden beispielsweise im automatischen Einzug vereinzelt durch die
Messkette transportiert, und die einzelnen Messgeräte nehmen automatisch ihren Messwert
auf, signieren diesen und senden ihn über eine Schnittstelle 51 an ein Messmodul 52
der Recheneinheit 50. Bei der Schnittstelle 52 handelt es sich vorzugsweise um eine
serielle Schnittstelle, und zu jedem Messgerät liegt ein entsprechender Hardwaretreiber
53 und 54 vor. Die Messgeräte sind über ebenfalls physikalisch versiegelte Datenkabel
80 und 71 mit der Recheneinheit 50 verbunden. Die Messwerte selbst können von den
Messgeräten eigenständig mittels Ereignissen (Events) an das Messmodul 52 gemeldet
werden. Bei einem Ereignis kann es sich entweder um die Meldung eines neuen Messergebnisses
oder die Meldung eines aufgetretenen Fehlers handeln. Die Daten können beispielsweise
im XML-Format über die Schnittstelle ausgetauscht werden. Dabei ist zu berücksichtigen,
dass Messdaten abgerufen, jedoch nicht manipuliert werden können.
[0051] Um eine nachträgliche Manipulation auszuschließen, signieren die Messgeräte ihre
Messdatensätze. Eine mögliche Form der Signatur ist die Bildung eines Hash-Wertes
bzw. Streuwertes über den gelieferten Datensatz. Dabei können beispielsweise kryptographische
Hash-Funktionen wie MD5, SHA-1 oder RIPEMD-160 verwendet werden. Die Verwendung eines
Zertifikats oder eine Verschlüsselung der Daten kann zusätzlich durchgeführt werden.
Dem Eichbeamten muss üblicherweise die Möglichkeit gegeben werden, die Unversehrtheit
der Signatur jedes einzelnen Messwertes im Messwertspeicher zu prüfen. Je nach verwendeter
Signatur muss ihm dazu Zugang zu einem öffentlichen Schlüssel gegeben werden.
[0052] Als ein asymmetrisches kryptographisches Verfahren mit öffentlichen und privaten
Schlüsseln kann bei verschiedenen Signaturen im Bereich der Erfindung beispielsweise
RSA verwendet werden. Asymmetrische Verfahren werden auch als Public-Key-Verfahren
bezeichnet. Bei diesen Verfahren besitzt der Anwender zwei Schlüssel, einen öffentlichen
und einen geheimen Schlüssel. Beide Schlüssel erfüllen bestimmte Aufgaben. Der öffentliche
Schlüssel wird öffentlich gemacht. Jeder andere Anwender kann diesen Schlüssel benutzen,
um an den Eigentümer eine Nachricht zu versenden, die durch Verschlüsselung eines
Klartextes entstanden ist. Der geheime Schlüssel wird vom Besitzer geheim gehalten.
Er dient dazu, an ihn gesendete, verschlüsselte Nachrichten zu entschlüsseln.
[0053] Technisch bedeutet das Signieren einer Nachricht oder einer Binärdatei, dass nach
einem bekannten Verfahren eine Prüfsumme für die Nachricht oder die Binärdatei berechnet
wird und diese dann mit dem privaten Schlüssel eines asymmetrischen Schlüsselpaares
verschlüsselt wird. Soll nun festgestellt werden, ob die vorliegende Nachricht oder
Binärdatei unverändert zu dem Zeitpunkt der Signierung ist, kann dies mit dem öffentlichen
Schlüssel des asymmetrischen Schlüsselpaares festgestellt werden. Dazu werden der
Prüfsummenalgorithmus angewendet, die verschlüsselte Prüfsumme mit dem öffentlichen
Schlüssel entschlüsselt und die Werte verglichen.
[0054] Um bei einem Public-Key-Kryptosystem die Identität des Inhabers eines öffentlichen
Schlüssels sicherzustellen, kann ein öffentlicher Schlüssel mit der Identität einer
dritten Person angelegt werden. Dabei können Zertifikate verwendet werden. Ein Zertifikat
ist eine Art Echtheitsbeweis für einen öffentlichen Schlüssel, wobei ein Zertifikat
aus dem öffentlichen Schlüssel des Inhabers des Zertifikates, einem Identitätsmerkmal
des Inhabers der Zertifikates, dem Namen des Ausstellers des Zertifikates und einem
digitalen Schlüssel des Ausstellers des Zertifikates besteht.
[0055] Die Signierung eines Messwertes kann im physischen Messgerät selbst erfolgen, wenn
beispielsweise ein Schlüssel im EPROM des Messgerätes hinterlegt ist. Die Signierung
kann ferner in der Schnittstelle des jeweiligen Messgerätes erfolgen. In diesem Fall
unterliegt die Schnittstelle der Eichung und die Software muss ebenfalls signiert
werden.
[0056] Der Aufbau des Messmoduls 52 und seine Interaktion mit anderen Komponenten ist Fig.
4 zu entnehmen. Die Softwarekomponenten der Messdatenerfassung und - auswertung liegen
beispielsweise als Java Archiv-Files (Jar-Files) vor. Die Jar-Files können mit einer
Signatur versehen werden, wobei die Signatur im Jar-File selbst gespeichert wird.
Diese Signatur wird mit Hilfe eines privaten Schlüssels erzeugt und kann mit Hilfe
eines öffentlichen Schlüssels verifiziert werden.
[0057] Das dazu benötigte Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel,
kann beispielsweise von einem TPM-Chip der Recheneinheit 50 erzeugt und gespeichert
werden. Bei dem TPM (Trusted Platform Module) handelt es sich um einen Chip, der fest
in die Recheneinheit 50 eingebaut ist. Er ist mit einer auf das Motherboard verlöteten
Smartcard zu vergleichen. Der Chip ist passiv und kann nicht direkt beeinflusst werden.
[0058] Ein TPM-Chip ist somit in der Lage, geheime Daten, Zertifikate, Schlüssel sowie kryptographische
Operationen sicher in einer geschützten Hardware-Umgebung zu speichern bzw. auszuführen.
Der TPM-Chip enthält einen Hardware-Zahlengenerator und kann Daten verschlüsseln,
entschlüsseln und signieren. Der TPM-Chip kann beispielsweise 2048 Bit lange RSA-Schlüssel
direkt auf dem Chip erzeugen. Im nicht-flüchtigen TPM-Speicher liegen dabei mehrere
Schlüssel und der flüchtige Bereich bietet Platz für mehrere temporäre RSA-Schlüssel,
16 bzw. 24 PCRs (Platform Configuration Register), die Hashwerte von Hard- und Softwarekonfigurationen
aufnehmen, und zwei Arten von Handles. Da jeder TPM-Chip ein Unikat ist, der nicht
ausgetauscht werden kann, wird die damit signierte Software an die jeweilige Einlieferungsstation
gebunden.
[0059] Jede Manipulation eines signierten Jar-Files führt zu einer nicht-validen Signatur,
was jederzeit durch eine Überprüfung festgestellt werden kann. Ohne den privaten Schlüssel
ist eine erneute Signatur nicht möglich. Dabei liegt der private Schlüssel nur innerhalb
des TPM-Chips und wird nie nach außen sichtbar. Es stehen lediglich Funktionen zur
Nutzung des privaten Schlüssels zur Verfügung. Der Zugriff auf den privaten Schlüssel
im TPM-Chip kann durch den Eichbeamten mit einem Passwort geschützt werden.
[0060] Sobald alle Messwerte zu einer Sendung 20 vorliegen, wie dies in Fig. 3 als Schritt
1) gekennzeichnet ist, werden diese zu einer Korrekturkomponente 90 innerhalb des
Messmoduls 52 weitergeleitet. Das Korrekturmodul 90 zur Toleranzkorrektur der Messwerte
unterliegt dem Eichprozess. Die gültigen Toleranzwerte liegen innerhalb des gesicherten
Messwertspeichers 55 und werden von dem Korrekturmodul 90 aus diesem abgerufen. Der
Eichbeamte hat diese Toleranzwerte zuvor bei der Eichung mit seinem privaten Schlüssel
signiert. Die Toleranzwerte werden inklusive der Signatur im Messwertspeicher 55 abgelegt.
Über seinen öffentlichen Schlüssel kann der Eichbeamte die Toleranzwerte verifizieren.
[0061] Die aufgenommenen Messwerte werden von dem Korrekturmodul 90 um die abgerufenen Toleranzwerte
aus dem Einwegspeicher 55 korrigiert, wie es in Fig. 3 mit dem Schritt 2) gekennzeichnet
ist. Wie oben beschrieben, lautet der Algorithmus zur Toleranzkorrektur vorzugsweise
wie folgt:
- 1. Addiere für jeden Messwert die messungsspezifische Positiv-Toleranz für den Vergleich
mit dem minimalen Grenzwert der Formatkategorie.
- 2. Subtrahiere von jedem Messwert die messungsspezifische Negativ-Toleranz für den
Vergleich mit dem maximalen Grenzwert der Formatkategorie.
- 3. Errechne den Quotienten aus Messwert Länge plus Positiv-Toleranz der Längenmessung
und Messwert Breite minus Negativ-Toleranz der Breitenmessung für den Vergleich mit
dem minimalen Seitenverhältnis (Ratio) der Formatkategorie.
[0062] Hat das Korrekturmodul 90 auf diese Weise korrigierte Messwerte erzeugt, dürfen für
die weiteren Prozessschritte ausschließlich diese korrigierten Messwerte verwendet
werden. Sowohl die Originalmessdaten als auch die korrigierten Messwerte werden im
Datenpaket zur späteren Speicherung an den Messwertspeicher 55 weitergeleitet. Der
vollständige Messwert-Datensatz wird von dem Messmodul 52 signiert, damit gespeicherte
Werte nicht mehr auf Systemebene manipuliert werden können. Dies kann ebenfalls über
einen Hash-Wert über den vollständigen Datensatz erfolgen.
[0063] Das Messmodul 52 umfasst ferner ein Modul 91 zur Formatbestimmung, wobei dieses Formatmodul
91 ebenfalls dem Eichprozess unterliegt. Das Formatmodul greift dabei auf Formatkategorien
zu, die ebenfalls im Messwertspeicher 55 hinterlegt sind. Die gültigen Formatkategorien
sind zwar Bestandteil der nicht eichpflichtigen Datei 93 mit der Preis- und Produktliste
(PPL), werden aber ebenfalls im gesicherten Messwertspeicher 55 abgelegt. Die Formatkategorien
werden beispielsweise im Backend signiert und an den Automaten 10 geliefert. Dort
werden die Formatkategorien nach erfolgreicher Verifikation der Signatur durch die
Frontend-Software in den Messwertspeicher 55 der Recheneinheit 50 importiert. Die
Formatkategorien werden vom Formatmodul 91 aus dem Speicher 55 abgerufen und das Modul
zur Formatbestimmung vergleicht die korrigierten Messwerte der Sendung mit diesen
hinterlegten Grenzwerten der Formatkategorien. Das Formatmodul 91 bestimmt daraus
die anzuwendende Formatkategorie der Sendung, wie es in Schritt 3) in Fig. 3 gekennzeichnet
ist.
[0064] Nach Feststellung des Sendungsformats wird mit den zusätzlichen Angaben des Kunden
(u. a. bestellter Quality of Service, Zusatzleistungen, ...) das entsprechende Produkt
aus der gültigen Preis- und Produktliste 93 ausgewählt, wie es in Fig. 3 mit dem Schritt
4) gekennzeichnet ist. Diese Preis- und Produktbestimmung unterliegt nicht dem Eichprozess,
da außer der Formatkategorie keine Messwerte zu Grunde liegen, sondern Angaben bzw.
Wünsche des Kunden. Das ermittelte Produkt und sein Preis werden aber vorzugsweise
zu den Messwerten der Sendung im Messwertspeicher 55 festgehalten. Darum wird die
Produktidentifikation mit den Messwerten an ein eichrelevantes Speichermodul 92 des
Messmoduls 52 weitergeleitet.
[0065] Dieses Speichermodul 92 dient zur Speicherung des vollständigen Messdatensatzes.
Dieses Modul 92 unterliegt ebenfalls dem Eichprozess. Nach Vervollständigung des Datensatzes
durch die Informationen aus der Produkt- und Preisbestimmung wird der vollständige
Datensatz signiert, um nachträgliche Veränderungen ausschließen zu können, und anschließend
im Messwertspeicher 55 gespeichert. Dieser Vorgang ist in Fig. 3 als Schritt 5) gekennzeichnet.
Das Messgerät selbst, welches einen Messwert erzeugt hat, ist dabei vorzugsweise durch
eine eindeutige Ident-Nummer identifizierbar. Zu einer Messung kann beispielsweise
je Dimension eine SHA1-Checksumme pro Messwert und Ident-Nummer gebildet werden. Nach
der Korrektur der Messwerte um die Toleranzen wird über den aggregierten Datensatz,
der auch die ermittelte Formatkategorie und die Produkt-ID enthält, ein SHA1-Hashwert
gebildet. Dieser Hashwert und der SHA1-Hashwert über alle eich-relevanten Softwaremodule
werden beispielsweise über eine XOR-Verbindung miteinander verknüpft. Sowohl der Hashwert
über den Datensatz als auch der über die XOR-Verbindung gebildete Hashwert können
verifiziert werden.
[0066] Das durch die genannten Schritte vom Messmodul 52 ermittelte Portoentgelt wird als
Druckauftrag an ein Frankiermodul 60 gesendet, um die Postsendung 20 entsprechend
mit einem Frankiervermerk zu frankieren. Dies ist als Schritt 6) in Fig. 3 dargestellt.
Die frankierte Postsendung wird beispielsweise in einen Sammelbehälter 12 eingebracht.
Der aufgedruckte Portobetrag wird dem Kunden in Rechnung gestellt, und es wird eine
Quittung ausgegeben. Da Kunden üblicherweise mehrere Postsendungen einliefern, wird
die Summe der Frankierleistungen auf der Quittung angegeben, die vorzugsweise am Ende
des Vorgangs ausgedruckt wird.
[0067] Sollte das Messmodul 52 feststellen, dass es sich bei einer Sendung 20 nicht um ein
gültiges Produkt handelt oder die Sendung nicht weiter verarbeitet werden kann, wird
die Sendung ausgeworfen, und die aufgenommenen Messwerte können verworfen werden.
Die Messwerte müssen in diesem Fall nicht im Messwertspeicher 55 gespeichert werden,
da dem Kunden keine Leistung in Rechnung gestellt wird.
[0068] Zusätzlich zum Messprozess bietet das System dem Kunden vorzugsweise die Möglichkeit
an, die Messwerte seiner Sendungen nachträglich einzusehen. Hierzu wird dem Kunden
beispielsweise an einer Bedieneinheit 13 auf einem Bildschirm ein Menüpunkt angeboten,
der es ihm erlaubt, sich innerhalb eines fest definierten Zeitraums (z.B. 90 Tage)
die gespeicherten Messwerte nach Angabe des Datums, der Abrechnungsnummer auf der
Quittung des Kunden oder der Sendungsnummer einer Einzelsendung einzusehen. Diese
Anzeige der Messwerte auf einer Anzeige 80 unterliegt ebenfalls dem Eichprozess, da
eine Manipulation der Daten zwischen Messwertspeicher und Anzeige 80 ausgeschlossen
werden muss. Die anzuzeigende Maske wird daher ebenfalls vom Messmodul 52 erstellt
und signiert.
[0069] Um die Software der Recheneinheit 50 an einen speziellen Automaten zu binden und
weitestgehend vor dem Kopieren zu sichern, kann ein vom Automat beglaubigtes Root-CA
erstellt werden, das ebenfalls den Storage-Root-Key des Trusted Platform Modules (TPM-Chip)
nutzt. Der TPM-Chip enthält eine eindeutige Kennung wie einen Endorsement Key in Form
eines 2048 Bit langen RSA-Schlüsselpaares, das der Hersteller auf den Chip schreibt.
Der TPM-Chip kann somit zur Identifizierung der Recheneinheit und der darauf befindlichen
Software dienen. Die Recheneinheit 50 mit der dazu gehörigen Software wird so davor
geschützt, auf eine andere Einlieferungsstation übertragen zu werden. Die Software
ist somit an eine bestimmte Einlieferungsstation und Hardware gebunden.
[0070] Um die Software endgültig vor Manipulationen zu schützen und physisch an den Automaten
zu binden, kann diese ferner auf einem an dem PC angeschlossenen USB-Speicherstift
aufgespielt werden, der nach Abschluss der Signierung durch den Eichbeamten physisch
mit einem Schreibschutzschalter auf Nur-Lese-Modus eingestellt und vom Eichbeamten
mit Siegeln verplombt wird. Alternativ zu einem USB-Stick kann hierzu auch eine Festplatte
mit mechanischem Schreibschutzschalter eingesetzt werden.
[0071] Ein Eichbeamter wird für seine Hauptaufgabe primär die Konsole des Rechners verwenden,
auf dem die eichrelevanten Softwaremodule installiert sind.
Über die Konsole ist er in der Lage, die Signatur aller eichrelevanten Softwaremodule
zu verifizieren bzw. diese selbst zu signieren. Für die Überprüfung der Toleranzwerte
wird dem Eichbeamten zweckmäßigerweise eine Bildschirmmaske zur Verfügung gestellt.
Die Überprüfung der ermittelten Messwerte kann einerseits unter Verwendung der identischen
Masken der Messwertanzeige wie für den Kunden erfolgen. Da der Eichbeamte aber auch
Zugriff auf die Originalmesswerte der Messgeräte benötigt, wird beispielsweise eine
äquivalente Maske wie die Messwertanzeige des Kunden, aber mit den Originalmesswerten
zur Verfügung gestellt werden. Der Eichbeamte ist dann in beiden Masken in der Lage,
die Signatur der einzelnen Messwerte sowie die Signatur des ganzen Messwertdatensatzes
zu verifizieren. Die Verifizierung kann dabei in der eichrelevanten und damit signierten
Messwert-Software automatisch erfolgen.
[0072] Die Entwicklung der Businesslogik der Einlieferungsstation 10 erfolgt beispielsweise
in der Programmiersprache Java, welche den Vorteil bietet, dass die Software plattformunabhängig
eingesetzt werden kann. Als Laufzeitumgebung kann beispielsweise ein OSGi-Server verwendet
werden. OSGi steht als Abkürzung für die Open Services Gateway Initiative. Im Rahmen
der Open Services Gateway Initiative ist ein auf der Programmiersprache Java basierender
Standard für das Management von hardwareunabhängigen Services-Komponenten festgelegt
worden. Dabei können Services in der Programmiersprache Java realisiert werden, aber
auch aus nativem Code bestehen.
Bezugszeichenliste:
[0073]
- 10
- Einlieferungsstation, Selbstbedienungsautomat
- 11
- Annahmeöffnung, Einzug, Vereinzeler
- 12
- Sammelbehälter
- 13
- Bedieneinheit
- 20
- Postsendung, Brief, Ware
- 30
- Waage
- 40
- Dimensionsmessgerät
- 50
- Recheneinheit, Messsoftware
- 51
- Schnittstelle, seriell
- 52
- Messmodul
- 53,54
- Treiber
- 55
- Messwertspeicher, Einwegspeicher
- 60
- Frankiereinheit
- 70,71
- Datenkabel
- 80
- Messwertanzeige
- 90
- Korrekturmodul
- 91
- Formatmodul
- 92
- Speichermodul
- 93
- Datei, Produkt-Preisliste
1. Einlieferungsstation (10) zum Frankieren von Postsendungen (20), die wenigstens eine
Waage (30) zur Bestimmung des Gewichts einer Postsendung (20), wenigstens ein Dimensionsmessgerät
(40) zur Bestimmung der Abmessungen einer Postsendung (20), eine Recheneinheit (50)
zur Bestimmung des Portoentgelts für eine Postsendung (20) und eine Frankiereinheit
(60) zur Aufbringung eines Frankiervermerks auf die Postsendung (20) umfasst, wobei
die Recheneinheit (50) Zugriff auf Messtoleranzen der Waage (30) und des Dimensionsmessgerätes
(40) hat,
dadurch gekennzeichnet,
dass die Waage (30) und das Dimensionsmessgerät (40) jeweils physikalisch versiegelt sind
und über ebenfalls physikalisch versiegelte Datenkabel (70;71) in Verbindung mit einer
seriellen Schnittstelle (51) der Recheneinheit (50) stehen, und die Waage (30) und
das Dimensionsessgerät (40) oder eine jeweils zugehörige Schnittstelle Mittel zum
Signieren von Messwerten aufweisen, und dass die Messtoleranzen der Waage (30) und
des Dimensionsmessgerätes (40) und Formatkategorien für Postsendungen (20) in einem
signierten Einwegspeicher (55) hinterlegt sind, auf dessen Daten ein signiertes Messmodul
(52) der Recheneinheit (50) ausschließlich lesenden Zugriff hat, wobei das Messmodul
(52) Mittel zum Empfangen von Messwerten von der Waage (30) und dem Dimensionsmessgerät
(40) über die serielle Schnittstelle (51) umfasst, und dass ein Korrekturmodul (90)
des Messmoduls (52) Mittel zum Addieren und Subtrahieren der jeweiligen Messtoleranzen
der Waage (30) und des Dimensionsmessgerätes (40) zu den empfangenen Messwerten umfasst,
um so korrigierte Messwerte zu erzeugen, und dass das Messmodul (52) ferner ein Formatmodul
(91) aufweist, das Mittel zur Bestimmung der Formatkategorie einer Postsendung (20)
aus den korrigierten Dimensionsmesswerten und den Formatkategorien im Einwegspeicher
(55) umfasst, und dass das Messmodul (52) Mittel zur Bestimmung der Produktkategorie
einer Postsendung (20) aus dem korrigierten Gewichtsmesswert der Postsendung (20)
und der vom Formatmodul (91) ermittelten Formatkategorie der Postsendung (20) aufweist,
und dass das Messmodul (52) ferner Zugriff auf eine Datei (93) hat, die eine Zuordnung
zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, so dass ein
daraus ermitteltes Portoentgelt für eine Postsendung (20) von dem Messmodul (52) der
Frankiereinheit (60) zuführbar ist, und dass das Messmodul (52) ferner Mittel zum
Signieren von Datensätzen, bestehend wenigstens aus Messwerten der Waage (30) und
des Dimensionsmessgerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten
Produktkategorie einer Postsendung (20) und ein Speichermodul (92) zur Speicherung
eines signierten Datensatzes im signierten Einwegspeicher (55) aufweist.
2. Einlieferungsstation nach Anspruch 1,
dadurch gekennzeichnet,
dass die Einlieferungsstation (10) eine Anzeige (80) in Verbindung mit dem Messmodul (52)
aufweist, auf der wenigstens Messwerte und/oder korrigierte Messwerte der Waage (30)
und des Dimensionsmessgerätes (40) anzeigbar sind, wobei eine auf der Anzeige (80)
angezeigte Maske von dem Messmodul (52) signierbar ist.
3. Einlieferungsstation nach einem der Ansprüche 1 und 2,
dadurch gekennzeichnet,
dass die Datei (93), die eine Zuordnung zwischen Produktkategorien von Postsendungen und
Portoentgelten enthält, keine Signatur aufweist.
4. Einlieferungsstation nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Komponenten eine Signatur aufweisen, die auf einer asymmetrischen
Verschlüsselung beruht.
5. Einlieferungsstation nach Anspruch 4,
dadurch gekennzeichnet,
dass die Signatur mit einem privaten Schlüssel erzeugt wurde, der von einem TPM-Chip (Trusted
Platform Module) der Recheneinheit (50) erzeugbar und/oder in diesem gespeichert ist,
wobei der TPM-Chip fest in die Recheneinheit (50) eingebaut ist.
6. Einlieferungsstation nach Anspruch 5,
dadurch gekennzeichnet,
dass der Zugriff auf den privaten Schlüssel im TPM-Chip durch ein Passwort geschützt ist.
7. Einlieferungsstation nach einem der Ansprüche 1 bis 6,
dadurch gekennzeichnet,
dass die Waage (30), das Dimensionsmessgerät (40) und/oder eine zugehörige Schnittstelle
Mittel zur Bildung eines Hash-Wertes über einen Messwert aufweisen.
8. Einlieferungsstation nach einem der Ansprüche 1 bis 7,
dadurch gekennzeichnet,
dass das Messmodul (52) Mittel zur Bildung eines Hash-Wertes über einen Datensatz bestehend
aus wenigstens den Messwerten der Waage (30) und des Dimensionsmessgerätes (40), den
zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung
(20) aufweist.
9. Einlieferungsstation nach einem der Ansprüche 1 bis 8,
dadurch gekennzeichnet,
dass es sich bei dem Messmodul (52) und seinen Komponenten um Softwarekomponenten in Form
von Java Archiv-Files handelt.
10. Einlieferungsstation nach Anspruch 9,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Softwarekomponenten auf einem schreibgeschützten Speichermedium
gespeichert sind, dessen mechanischer Schreibschutzschalter physikalisch versiegelt
ist, wobei die Verbindung des Speichermediums mit der Recheneinheit (50) ebenfalls
physikalisch versiegelt ist.
11. Einlieferungsstation nach Anspruch 10,
dadurch gekennzeichnet,
dass das Messmodul (52) auf einem USB-Speicherstift mit einem mechanischen Schreibschutzschalter
gespeichert ist.
12. Einlieferungsstation nach Anspruch 10
dadurch gekennzeichnet,
dass das Messmodul (52) auf einer Festplatte mit einem mechanischen Schreibschutzschalter
gespeichert ist.
13. Verfahren zum Frankieren von Postsendungen in einer Einlieferungsstation (10), bei
dem das Gewicht einer Postsendung von wenigstens einer Waage (30) und die Dimensionen
einer Postsendung (20) von wenigstens einem Dimensionsmessgerät (40) bestimmt und
einer Recheneinheit (50) zugeführt werden, und bei dem die Recheneinheit (50) das
Portoentgelt für eine Postsendung (20) bestimmt und einer Frankiereinheit (60) zuführt,
welche einen Frankiervermerk auf die Postsendung (20) aufbringt, wobei die Recheneinheit
(50) zur Erzeugung von korrigierten Messwerten auf Messtoleranzen der Waage (30) und
des Dimensionsmessgerätes (40) zugreift,
gekennzeichnet durch wenigstens folgende Schritte:
- Signieren der Messwerte für das Gewicht und die Abmessungen der Postsendung (20)
durch die Waage (30) und das Dimensionsmessgerät (40) oder eine jeweils zugehörige Schnittstelle;
- Übermittelung der signierten Messwerte an die Recheneinheit (50) über eine serielle
Schnittstelle (51);
- Abrufen von Toleranzwerten der Waage (30) und des Dimensionsmessgerätes (40) aus
einem signierten Einwegspeicher (55) durch ein Messmodul (52) der Recheneinheit (50);
- Bestimmung von korrigierten Messwerten für das Gewicht und die Dimensionen der Postsendung
(20) durch ein Korrekturmodul (90) des Messmoduls (52), wobei die Toleranzwerte der Waage (30)
und des Dimensionsmessgerätes (40) verwendet werden;
- Abrufen von Formatkategorien für Postsendungen aus dem signierten Einwegspeicher
(55) durch das Messmodul (52);
- Bestimmung einer Formatkategorie für die Postsendung (20) durch ein Formatmodul (91) des Messmoduls (52) anhand der korrigierten Messwerte für die
Dimensionen der Postsendung (20), wobei die abgerufenen Formatkategorien aus dem Einwegspeicher
(55) verwendet werden;
- Ermittlung einer Produktkategorie aus der Formatkategorie der Postsendung (20) und
dem korrigierten Messwert für das Gewicht der Postsendung (20) durch das Messmodul (52),
- Ermittlung eines Portoentgelts aus einer Datei (93), die eine Zuordnung zwischen
Produktkategorien von Postsendungen und Portoentgelten enthält, anhand der ermittelten
Produktkategorie durch das Messmodul (52);
- Zuführung des ermittelten Portoentgelts von dem Messmodul (52) zu der Frankiereinheit
(60) und Aufbringen eines Frankiervermerks auf die Postsendung (20) durch die Frankiereinheit (60); und
- Signieren eines Datensatzes bestehend wenigstens aus Messwerten der Waage (30) und
des Dimensionsmessegerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten
Produktkategorie einer Postsendung (20) und Speichern dieses signierten Datensatzes
im signierten Einwegspeicher (55) durch ein Speichermodul (92) des Messmoduls (52).
14. Verfahren nach Anspruch 13,
dadurch gekennzeichnet,
dass wenigstens Messwerte und/oder korrigierte Messwerte der Waage (30) und des Dimensionsmessgerätes
(40) auf einer Anzeige (80) in Verbindung mit der Recheneinheit (80) angezeigt werden,
wobei eine auf der Anzeige (80) angezeigte Maske von dem Messmodul (52) signiert wird.
15. Verfahren nach einem der Ansprüche 13 und 14,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Komponenten vor Durchführung der Verfahrensschritte
des Anspruchs 13 signiert werden, wobei die Signierung durch eine asymmetrische Verschlüsselung
erfolgt.
16. Verfahren nach Anspruch 15,
dadurch gekennzeichnet,
dass die Signierung mit einem privaten Schlüssel erfolgt, der von einem TPM-Chip (Trusted
Platform Module) der Recheneinheit (50) erzeugt wurde und/oder in diesem gespeichert
wurde, wobei der TPM-Chip fest in die Recheneinheit (50) eingebaut ist.
17. Verfahren nach einem der Ansprüche 13 bis 16,
dadurch gekennzeichnet,
dass die Waage (30), das Dimensionsmessgerät (40) und/oder eine zugehörige Schnittstelle
bei der Signierung eines Messwertes einen Hash-Wert über den Messwert bilden.
18. Verfahren nach einem der Ansprüche 13 bis 17,
dadurch gekennzeichnet,
dass das Messmodul (52) einen Hash-Wert über einen Datensatz, bestehend aus wenigstens
den Messwerten der Waage (30) und des Dimensionsmessgerätes (40), den zugehörigen
korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung (20)
bildet und dieser
Hash-Wert zusammen mit dem Datensatz von dem Speichermodul (92) im Einwegspeicher
(55) gespeichert wird.
19. Verfahren nach einem der Ansprüche 13 bis 18,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Komponenten durch Softwarekomponenten in Form von Java
Archiv-Files gebildet werden.
20. Verfahren nach Anspruch 19,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Softwarekomponenten vor Durchführung der Verfahrensschritte
nach Anspruch 13 auf einem schreibgeschützten Speichermedium gespeichert werden, dessen
mechanischer Schreibschutzschalter nach der Speicherung physikalisch versiegelt wird,
wobei die Verbindung des Speichermediums mit der Recheneinheit (50) ebenfalls physikalisch
versiegelt wird.
21. Verfahren nach Anspruch 20,
dadurch gekennzeichnet,
dass das Messmodul (52) auf einem USB-Speicherstift mit einem mechanischen Schreibschutzschalter
gespeichert wird.
22. Verfahren nach Anspruch 20,
dadurch gekennzeichnet,
dass das Messmodul (52) auf einer Festplatte mit einem mechanischen Schreibschutzschalter
gespeichert wird.