Verfahren zum gesicherten Speichern von veränderlichen Daten

(19)

(11)

EP 0 915 435 A2

(12)	EUROPÄISCHE PATENTANMELDUNG

(43)	Veröffentlichungstag:
	12.05.1999 Patentblatt 1999/19

(21)	Anmeldenummer: 99100885.5

(22)	Anmeldetag: 23.06.1995

(51)	Internationale Patentklassifikation (IPC)⁶: G07B 17/00

(84)	Benannte Vertragsstaaten:
	AT BE CH DE ES FR GB IT LI SE

(30)

Priorität:

24.06.1994 DE 4422263

(62)	Anmeldenummer der früheren Anmeldung nach Art. 76 EPÜ:
	95109864.9 / 0689170

(71)	Anmelder: Francotyp-Postalia AG & Co.
	16547 Birkenwerder (DE)

(72)	Erfinder:
	Wagner, Andreas 10969 Berlin (DE)

(74)	Vertreter: Schaumburg, Thoenes & Thurn
	Postfach 86 07 48 81634 München 81634 München (DE)


	Bemerkungen:
	Diese Anmeldung ist am 19 - 01 - 1999 als Teilanmeldung zu der unter INID-Kode 62 erwähnten Anmeldung eingereicht worden.

(54)	Verfahren zum gesicherten Speichern von veränderlichen Daten

(57) Bei einem Verfahren zum gesicherten Speichern von veränderlichen Daten durch Erzeugen und Speichern zweier übereinstimmender Datensätze, wird mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt, dessen Daten für eine Abfrage zur Verfügung stehen. Bei einer Änderung von Daten erfolgt diese Änderung in dem nicht aktuellen zweiten Datensatz, wobei anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.

Beschreibung

[0001] Die Erfindung betrifft ein Verfahren zum gesicherten Speichern von veränderlichen Daten, insbesondere den Daten, die sich während einer Fernwertvorgabe ändern können.

[0002] Ein Spannungsausfall kann dazu führen, daß ein Datensatz in einem Speicher fehlerhaft gespeichert wird. Zum Betreiben einer Datenverarbeitungsanlage ist es daher bereits bekannt, einen zweiten Speicher für einen identischen Datensatz und einen Zustandspeicher für eine Zustandskennung vorzusehen, wobei letztere anzeigt, ob der Datensatz aus dem ersten oder dem zweiten Speicher ausgelesen werden soll, wenn die Spannung wiederkehrt.

[0003] Fehler in der Zustandskennung können durch redundantes Abspeichern der Zustandskennung unwirksam gemacht werden. Die häufigste Zustandskennung bei einer Majoritätsprüfung muß aber nicht immer die richtige Zustandskennung sein. Es ist lediglich am wahrscheinlichsten, daß die häufigste Zustandskennung auch die richtige ist. Auch eine zusätzliche Plausibilitätsprüfung überprüft nur die Zugehörigkeit zu einem gültigen Wertebereich, liefert aber keine eindeutige Aussage, ob die Zustandskennung richtig ist oder nicht. Mit dem vorstehend beschriebenen Verfahren wird also ein Fehler nicht erkannt, der am häufigsten gespeichert ist und dabei im gültigen Wertebereich liegt.

[0004] Es ist eine weitere Aufgabe der Erfindung, die Sicherheit beim redundanten Abspeichern mit einfachen Mitteln zu erhöhen und ggf. auftretende Fehler zu beseitigen.

[0005] Zur Lösung dieser Aufgabe wird vorgeschlagen, daß mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt wird, dessen Daten für eine Abfrage zur Verfügung stehen, daß bei einer Änderung von Daten diese Änderung in dem nicht aktuellen zweiten Datensatz erfolgt, daß anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und daß die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.

[0006] Diese vorstehend beschriebenen Verfahrensschritte werden sowohl beim Initialisieren des Speichers, d.h. beim Einspeichern der Anfangsdaten als auch im laufenden Betrieb ausgeführt. Der aktuelle Datensatz ist stets unveränderlich. Seine Daten sind auch bei einem Spannungsausfall nicht gefährdet, da ein Spannungsausfall in der Regel nur zu Fehlern in laufenden Schreibvorgängen führen kann. Das erfindungsgemäße Verfahren arbeitet unabhängig von der Detektion eines Spannungsausfalles während des Speichervorganges. Ein wesentlicher Schritt des erfindungsgemäßen Verfahrens liegt darin, die Konsistenz der gespeicherten Daten sowie die Gleichheit der in den beiden Datensätzen gespeicherten Daten zu überprüfen und ggf. wieder herzustellen, wie dies weiter unten noch genauer beschrieben wird.

[0007] Weitere Merkmale und Vorteile der Erfindung ergeben sich aus den weiteren Unteransprüchen und der folgenden Beschreibung, welche in Verbindung mit den beigefügten Zeichnungen die Erfindung anhand eines Ausführungsbeispieles erläutert. Es zeigen:

Fig. 1: eine schematische Darstellung einer Frankiermaschine und eines Datenzentrums,
Fig. 2a und 2b: eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes für das Voice-Verfahren,
Fig. 3a und 3b: eine schematische Darstellung eines Fernwertvorgabeverfahrens mit Änderung eines Vorgabewertes im Modem-Verfahren,
Fig. 4: die Aufteilung eines Speichers für die gesicherte Speicherung von Daten in Form zweier Datensätze,
Fig. 5: ein Flußdiagramm zur Erläuterung der Initialisierung der Daten in den beiden Datensätzen,
Fig. 6: ein Flußdiagramm zur Erläuterung der Speicherung von Daten im laufenden Betrieb und
Fig. 7: ein Flußdiagramm zur Erläuterung der Prüfung und Korrektur von Daten in den beiden Datensätzen.

[0008] In Figur 1 ist mit 10 eine Benutzerstation bezeichnet, die eine Frankiermaschine 12 und eine Telefon 14 umfaßt. Dieses Telefon oder Kommunikationsendgerät, wie z.B. ein Modem, steht über eine Telefonleitung 15 in Verbindung mit einem Telefon oder Kommunikationsendgerät 16 in einem Datenzentrum 18, das ferner eine Abrechnungseinrichtung 20 enthält.

[0009] Die Frankiermaschine 12 umfaßt eine allgemein mit 22 bezeichnete Datenverarbeitungseinrichtung mit einer CPU 24, einem Guthabenspeicher 26, einem Vorgabewertspeicher 28 und einer kryptografischen Einrichtung 30, die einen Schlüsselspeicher 12 beinhaltet. Die Datenverarbeitungseinrichtung 22 umfaßt selbstverständlich noch weitere Teile, Speicher und Register, die hier jedoch nicht dargestellt sind, da sie für die Beschreibung des erfindungsgemäßen Verfahrens nicht benötigt werden. In einer vorteilhaften Variante können statt der separaten Einrichtung 30 Software-Mittel bzw. Programmspeichermittel der CPU 24 in Verbindung mit dem nicht flüchtigen Schlüsselspeicher 32 eingesetzt werden, um die Verschlüsselung auszuführen. Im Falle eines automatischen Datenaustausches (Modem-Verfahren) ist die Datenverarbeitungseinrichtung 22 über eine Leitung 23 mit dem Kommunikationsendgerät Modem 14 verbunden, welches dann das Telefon 14 ersetzt. Mit der Datenverarbeitungseinrichtung 22 verbunden ist ferner eine Eingabeeinrichtung 34, beispielsweise eine Tastatur, eine Anzeigeeinrichtung 36 und eine Druckeinrichtung 38.

[0010] Die Abrechnungseinrichtung 20 im Datenzentrum 18 umfaßt eine Eingabeeinrichtung 40 sowie eine Datenverarbeitungseinrichtung 42 mit einer CPU 44, einem Vorgabewertspeicher 45, einem Abrechnungsspeicher 46 und einer kryptografischen Einrichtung 48 mit einem Schlüsselspeicher 50. Auch hier kann die Verschlüsselung statt in der Einrichtung 48 in Verbindung mit der CPU 44 und dem nicht flüchtigen Schlüsselspeicher mittels Software erfolgen. Für das Modem-Verfahren ist die Datenverarbeitungseinrichtung 42 über eine Leitung 51 mit dem Modem verbunden, welches in diesem Falle das Telefon 16 ersetzt.

[0011] Beim Voice-Verfahren erfolgt der Datenaustausch zwischen der Benutzerstation 10 und dem Datenzentrum 18 über die Telefone 14 und 16 und zwar vorzugsweise durch fernmündlichen Austausch zwischen dem Benutzer der Frankiermaschine 12 und einem Operator im Datenzentrum 18. Die mit dem Ablauf des Fernwertvorgabeverfahrens in der Frankiermaschine und dem Datenzentrum verbundenen wesentlichen Vorgänge sollen nun anhand der Figuren 2a und 2b erläutert werden, die links die Vorgänge in der Benutzerstation oder Frankiermaschine (FM) und rechts die Vorgänge im Datenzentrum (DZ) zeigen.

[0012] Das in Figur 2 dargestellte Wertänderungs- und Fernwertvorgabeverfahren beginnt dadurch, daß man in die Eingabeeinrichtung 34 der Frankiermaschine 12 eine Identitätsnummer (PAN) eingibt (S1), die durch eine Sondertaste 52 (Fig. 1) bestätigt wird. In der Anzeige erscheint der im Vorgabwertspeicher 28 gespeicherte Vorgabewert. Für den Fall, daß dieser Wert geändert werden soll, verzweigt das Programm der Datenverarbeitungseinrichtung die der Transaktion "Wertänderung" entsprechenden Routine (S2). Anschließend wird der gewünschte Vorgabewert mittels der Eingabeeinrichtung 34 in die Datenverarbeitungseinrichtung eingegeben und durch Betätigung der Sondertaste 52 bestätigt.

[0013] Der Benutzer ruft nun den Operator im Datenzentrum 18 an (S4) und teilt ihm die Identitätsnummer (PAN) mit. Der Operator gibt die Identitätsnummer in die Eingabeeinrichtung 40 der Abrechnungseinrichtung 20 ein, um den Anrufer und die Frankiermaschine 12 der Benutzerstation 10 zu identifizieren. Die Prüfung der Identitätsnummer ist bei S6 dargestellt. Ist die Überprüfung negativ, wird das Verfahren abgebrochen und gegebenenfalls wiederholt. Läßt sich die Frankiermaschine dagegen identifizieren, wird das Verfahren fortgesetzt. Dabei werden dem Operator der Vorgabewunsch des Benutzers sowie gegebenenfalls weitere Informationen über die Frankiermaschine, insbesondere Werte in den Abrechnungsregistern mitgeteilt.

[0014] In der Frankiermaschine wird zur Fortsetzung des Verfahrens aus der Identitätsnummer, dem Vorgabewunsch und einer Zusatzinformation, beispielsweise einem weiteren Registerwert mittels eines Schlüssels K1 eine erste Codezahl berechnet (S7), die in der Anzeigeeinrichtung 36 der Frankiermaschine 12 angezeigt und von dem Benutzer dem Operator im Datenzentrum 18 übermittelt wird. Bei Schritt S8 wird diese Codezahl in dem Datenzentrum 18 überprüft mit Hilfe des im Datenzentrum gespeicherten Schlüssels K1. Bei negativem Prüfungsergebnis wird die Prüfung mit dem bei der vorhergehenden Transaktion verwendeten Schlüssel wiederholt. Gelingt die Verifizierung jetzt, bedeutet das, daß die vorhergehende Transaktion in der Frankiermaschine nicht oder nicht vollständig und korrekt ausgeführt wurde. Die vorhergehende Transaktion wird daher storniert und das Verfahren fortgesetzt. Kann die Codezahl auch mit dem vorhergehenden Schlüssel nicht verifiziert werden, wird das Verfahren abgebrochen. Läßt sich dagegen die erste Codezahl erfolgreich verifizieren, wird der Vorgabewert im Speicher 45 des Datenzentrums gespeichert und die Datenverarbeitungseinrichtung 42 im Datenzentrum 18 berechnet eine zweite Codezahl aus der Identitätsnummer, der Zusatzinformation und dem Schlüssel K1. Ferner wird ein zweiter Schlüssel K2 (S9) berechnet. Diese zweite Codezahl, in die der neue Schlüssel K2 integriert ist, wird dem Benutzer mitgeteilt, der sie in die Eingabeeinrichtung 34 der Frankiermaschine eingibt. Die kryptrographische Vorrichtung 30 in der Frankiermaschine verfiziert die zweite Codezahl, extrahiert aus der übermittelten zweiten Codezahl den Schlüssel K2 und speichert ihn an Stelle des Schlüssels K1. Bei negativem Ergebnis wird das Verfahren abgebrochen, bei positivem Ergebnis wird der eingegebene Vorgabewunsch im Vorgabewertspeicher 28 gespeichert, wobei der frühere Vorgabewert gelöscht wird (S11).

[0015] Damit ist die erste Transaktion beendet und der Vorgabewert geändert. Der Benutzer hat nun die Möglichkeit, das Verfahren zu beenden und durch Betätigung einer weiteren Sondertaste 54 die Frankiermaschine 12 in den Frankiermodus zurückzustellen oder durch nochmalige Betätigung der ersten Sondertaste 52 den Nachladevorgang einzuleiten (S12). Geschieht letzteres, wird in der Frankiermaschine unter Verwendung der Identitätsnummer und der Zusatzinformation mittels des abgespeicherten Schlüssels K2 eine dritte Codezahl berechnet, die dem Datenzentrum mitgeteilt wird (S13). Im Datenzentrum wird die dritte Codezahl verifiziert (S14). Bei negativem Ergebnis wird das Verfahren abgebrochen, bei positivem Ergebnis berechnet das Datenzentrum aus der Identitätsnummer, der Zusatzinformation und dem Schlüssel K2 eine vierte Codezahl (S15), die der Frankiermaschine zusammen mit einem neuen Schlüssel K3 übermittelt wird. In der Frankiermaschine wird wie bei der ersten Transaktion die vierte Codezahl verifiziert (S16) und der neue Schlüssel K3 aus der vierten Codezahl extrahiert und gespeichert, wie dies bei der ersten Transaktion mit dem Schlüssel K2 erfolgte. Im Datenzentrum werden jeweils der alte und der neue Schlüssel gespeichert. Bei negativem Ergebnis wird das Verfahren abgebrochen. Bei positivem Ergebnis wird der im Vorgabewertspeicher 28 der Frankiermaschine gespeicherte Wert zum Restguthaben im Guthabenspeicher 26 der Frankiermaschine und der im Vorgabewertspeicher 45 der Abrechnungseinrichtung 20 gespeicherte Wert zu dem Restguthaben im Abrechnungsspeicher 46 des Datenzentrums 18 addiert (S17). Damit ist auch die zweite Transaktion, das heißt die Fernwertvorgabe mit geändertem Vorgabewert abgeschlossen. Die Frankiermaschine kehrt selbsttätig in den Frankiermodus zurück.

[0016] Wenn eine Änderung des Vorgabewertes nicht gewünscht ist, wird durch Betätigung der Sondertaste 52 oder auch einer wahlweise vorgesehenen dritten Sondertaste der im Vorgabewertspeicher 28 gespeicherte Vorgabewert bestätigt und das Verfahren geht von Schritt S2 unmittelbar zu Schritt 4' in Fig. 2b. Der Benutzer ruft das Datenzentrum an und teilt dem Operator die Identitätsnummer (PAN) und gegebenenfalls weitere Informationen mit (S5'). Ist die Identitätsnummer richtig (S6'), läuft das Fernwertvorgabeverfahren dann entsprechend der vorstehenden Beschreibung von Schritt S13 bis Schritt S17 durch.

[0017] Es versteht sich, daß der Operator weitere Daten über die Frankiermaschine, insbesondere weitere Registerstände abfragen kann, um die Korrektheit aller Abrechnungsdaten in der Frankiermaschine und dem Datenzentrum zu überprüfen. Es ist auch möglich, weitere Informationen und weitere Teilschlüssel in die Berechnung der Codezahl einzubeziehen, wenn dies zur Erhöhung der Sicherheit sinnvoll erscheint. Wenn im Datenzentrum im Schritt S14 eine von der Frankiermaschine übermittelte Codezahl überprüft wird, und das Ergebnis negativ ist, wird stets mit dem in der Frankiermaschine bei der unmittelbar vorhergegangenen Transaktion verwendeten Schlüssel die Prüfung nochmals wiederholt. Damit wird ein Fall erfaßt werden, in dem eine Transaktion in der Frankiermaschine nicht korrekt abgeschlossen wurde, ohne daß das Datenzentrum hiervon Kenntnis erhalten hat. In diesem Falle würde der vom Datenzentrum übermittelte neue Schlüssel in der Frankiermaschine nicht abgespeichert und die Frankiermaschine verschlüsselt daher mit dem alten Schlüssel. Dies gibt die Möglichkeit, die letzte Transaktion zu anullieren oder zu korrigieren und damit Schaden für den Benutzer oder das Datenzentrum zu vermeiden.

[0018] Das Flußdiagramm gemäß den Figuren 3a und 3b zeigt das Wertänderungs- und Nachladeverfahren für den Fall, daß die Kommunikation zwischen der Frankiermaschine und dem Datenzentrum automatisch über Modem erfolgt. Da die Schritte des Verfahrens im wesentlichen die gleichen sind wie bei dem Verfahren gemäß den Figuren 2a und 2b sind die einzelnen Schritte auch mit den gleichen Bezugsziffern vermehrt um die Zahl 20 versehen.

[0019] Wie bei dem anhand der Figuren 2a und 2b beschriebenen Verfahren gibt der Benutzer der Frankiermaschine nach dem Einschalten derselben die Portoaufrufnummer oder Identitatsnummer PAN ein und bestätigt diese Eingabe durch die Betätigung der Sondertaste 52. Es wird nun der abgespeicherte Vorgabewert angezeigt. Entweder bestätigt der Benutzer diesen Wert durch die Betätigung der Sondertaste 52 oder er überschreibt ihn durch einen neuen Vorgabewert, der ebenfalls durch die Betätigung der Sondertaste 52 bestätigt wird. Alle weiteren Schritte laufen nun automatisch ohne Zutun des Benutzers der Frankiermaschine zwischen der Frankiermaschine und dem Datenzentrum ab und zwar in der gleichen Weise, wie dies bei dem anhand der Figuren 2a und 2b beschriebenen Voice-Verfahren erläutert wurde. Der einzige Unterschied besteht darin, daß beim Modem-Verfahren zwischen der Frankiermaschine und dem Datenzentrum nur die Krypto-Meldungen, d.h. die verschlüsselten Meldungen und nicht die aus diesen gewonnenen verkürzten Codezahlen ausgetauscht werden.

[0020] Anhand der Figuren 4 bis 7 wird nun ein Verfahren zum Speichern von sicherheitsrelevanten Daten insbesondere während der Fernwertvorgabe beschrieben.

[0021] Figur 4 zeigt in schematischer Weise die Aufteilung des Speicherplatzes in einem nicht flüchtigen Speicher, beispielsweise einem NVRAM, das in der Frankiermaschine und ggf. auch im Datenzentrum vorhanden ist. Der Speicher muß Platz zum Speichern zweier Datensätze, nämlich Satz 1 und Satz 2 sowie zum Speichern eines Zeigers haben. Jeder Datensatz umfaßt einen variablen Satz "var", der aus beliebig vielen Byte bestehen kann. Ferner umfaßt jeder Datensatz eine Zählervariable "nr Updates" welche die Anzahl von Änderungen des Datensatzes angibt, d.h. bei jeder Änderung oder Erneuerung der Daten eines Satzes um 1 erhöht wird. Schließlich gehört zu einem Datensatz noch eine Prüfsumme "Checksum", die unter Einbeziehung mindestens eines Teils von variablen Daten des Datensatzes ermittelt wird.

[0022] Der Zeiger "Act Pointer" kann nur zwei zulässige Werte haben, die angeben, welcher der beiden Datensätze gerade als der aktuelle Datensatz betrachtet wird. Dabei werden nicht die Werte 0 und 1 abgespeichert, da bei diesen Werten kein Bitfehler erkannt werden kann. Vielmehr werden die Werte 0 x A5 bzw. 0 x 5A verwendet, wobei 0 x andeutet, daß die Werte hexadezimal notiert sind. Bei dieser in binärer Darstellung symmetrisch aufgebauten Zahl können Bitfehler aus der Zahl selbst heraus erkannt werden.

[0023] Das gesamte Verfahren unterteilt sich in drei Schritte:

1. Initialisierung des Speichers für das Speicherverfahren;

2. Abspeichern von Variablen im laufenden Betrieb und

3. Überprüfung der Variablen auf Konsistenz und ggf. Korrektur.

[0024] Gemäß Figur 5 umfaßt das Initialisieren des Speichers die folgenden Schritte:

[0025] Zunächst wird der Zeiger auf Satz 1 gesetzt (Schritt S50). Das bedeutet, daß der Satz 1 als aktueller Speicher betrachtet wird, dessen Daten unveränderlich sind. Dann werden im Schritt S51 die Variablen des Datensatzes 2 auf ihre Anfangswerte gesetzt. Der Zählwert nr Updates in Datensatz 2 erhält den Wert 0 (S52). Anschließend wird die Prüfsumme unter Verwendung mindestens eines Teiles der variablen Werte des Datensatzes 2 erzeugt und an den hierfür vorgesehenen Platz des Datensatzes 2 abgespeichert (S53, S54). Nun wird der Zeiger auf den zweiten Datensatz gesetzt, d.h. der zweite Datensatz wird zum aktuellen Datensatz bestimmt (S55), auf dessen Daten nun als zuverlässige und unveränderliche Daten zurückgegriffen werden kann. Abschließend wird in Schritt S56 der gesamte Inhalt des Datensatzes 2 in den Datensatz 1 kopiert, so daß beide Datensätze identische Daten enthalten.

[0026] Im laufenden Betrieb erfolgt eine Änderung von Daten nur im nicht aktuellen Datensatz. Gemäß Figur 6 wird im laufenden Betrieb zunächst festgestellt, welcher Datensatz der nicht aktuelle Datensatz ist (S60). In Schritt S61 werden sich ändernde Daten in den nicht aktuellen Datensatz eingeschrieben. Da sich in Schritt S61 die Daten des Datensatzes geändert haben, wird der Zählwert nr updates in Schritt S62 um 1 erhöht. Anschließend wird die Prüfsumme aus Daten des nicht aktuellen Speichers neu gebildet (S63) und im nicht aktuellen Datensatz gespeichert (S64). Nun wird der Zeiger auf den Datensatz gerichtet, in dem soeben die Daten geändert wurden, so daß dieser Satz nun der aktuelle Datensatz ist (S65). Abschließend werden die gesamten Daten des nunmehr aktuellen Datensatzes in den anderen, nicht aktuellen Datensatz kopiert (S66). Beide Datensätze enthalten wiederum die identischen Daten.

[0027] Beim Einschalten der Frankiermaschine und vor dem Aufrufen der Fernwertvorgabe muß überprüft werden, ob eine vorangegangene Transaktion beispielsweise durch ein Spannungsabfall unterbrochen wurde und daher Operationen erforderlich sind, um Inkonsistenzen in den abgespeicherten Daten zu beheben.

[0028] Für die Prüfung werden folgende Grundvoraussetzungen gemacht:

1. Der Zeiger Act Pointer muß einen zulässigen Wert haben. Wie bereits oben erläutert wurde, sind nur zwei Werte erlaubt, wobei solche Werte gewählt werden, in denen aus dem Wert selbst heraus Bitfehler erkannt werden können.

2. Der aktuelle durch den Zeiger bezeichnete Satz muß eine gültige Prüfsumme haben.

[0029] Ist mindestens eine der vorstehend genannten Voraussetzungen nicht erfüllt, so liegt ein fataler Fehler vor und die Frankiermaschine geht in den Service Modus.

[0030] Zur Konsistenzprüfung werden folgende Schritte durchgeführt, die anhand der Figur 7 erläutert werden sollen.

[0031] Zunächst wird in Schritt S70 geprüft, ob der Wert des Zeigers zulässig ist. In Schritt S71 wird geprüft, ob die Prüfsumme des aktuellen durch den Zeiger bezeichneten Datensatzes gültig ist. Ist einer der beiden Schritte nicht erfüllt, so schaltet die Frankiermaschine, wie oben bereits erwähnt, in den Service Modus.

[0032] Haben die Prüfungen in den Schritten S70 und S71 dagegen zu einem positiven Ergebnis geführt, wird in Schritt S72 die Gültigkeit der Prüfsumme des nicht aktuellen Speichers überprüft. Fällt diese Prüfung negativ aus, d.h. ist die Prüfsumme nicht gültig, so ist davon auszugehen, daß die Datenspeicherung oder die Datenspiegelung unterbrochen wurden. Zur Korrektur dieses Fehlers wird die Spiegelung wiederholt, d.h. alle Daten des aktuellen Datensatzes werden in den nicht aktuellen Datensatz kopiert (S73). Hat sich die Prüfsumme dagegen als gültig erwiesen, wird in S74 geprüft, ob die Prüfsummen der beiden Datensätze und damit auch ihre Daten gleich sind. Ist dies der Fall, ist die Prüfung beendet. Sind dagegen beide Prüfsummen zwar gültig, aber ungleich, so ist der Datensicherungsvorgang vor der Spiegelung unterbrochen worden. In diesem Falle wird der Datensatz, dessen Zählwert "nr Updates" größer ist als der Zählwert des anderen, als aktueller Satz gewählt. Seine Daten werden in den anderen Datensatz kopiert (S75).

[0033] Bei einer abgewandelten Ausführungsform kann die Frankiermaschine sowohl für das Voice-Verfahren als auch für das Modemverfahren eingerichtet sein. Mittels einer Wahltaste 58 (Fig. 1) an der Frankiermaschine kann der Benutzer die Art des Kommunikationsverfahrens mit dem Datenzentrum wählen.

Ansprüche

1. Verfahren zum gesicherten Speichern von veränderlichen Daten durch Erzeugen und Speichern zweier übereinstimmender Datensätze, dadurch gekennzeichnet, daß mittels eines Zeigers ein erster Datensatz als aktueller unveränderlicher Datensatz bestimmt wird, dessen Daten für eine Abfrage zur Verfügung stehen, daß bei einer Änderung von Daten diese Änderung in dem nicht aktuellen zweiten Datensatz erfolgt, daß anschließend mittels des Zeigers der zweite Datensatz zum aktuellen Datensatz bestimmt wird und daß die Daten aus dem aktuellen zweiten Datensatz in den nicht aktuellen ersten Datensatz kopiert werden.

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, daß eine Variable der veränderlichen Daten jedes Datensatzes ein für die Anzahl der vorgenommenen Änderungen repräsentativer Zählwert ist.

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß eine Variable der veränderlichen Daten jedes Datensatzes eine aus mindestens einem Teil der veränderlichen Daten errechnete Prüfsumme ist.

4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß der Wert des Zeigers auf Konsistenz und ausgewählte Daten der Datensätze auf Konsistenz und Gleichkeit geprüft und gegebenenfalls korrigiert werden.

Zeichnung