|
(11) | EP 1 120 750 A1 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||||||
| (54) | Frankiermaschine |
| (57) Die Erfindung betrifft eine Frankiermaschine zum Frankieren von Postgut mit einem
Drucker (2) zum Drucken eines Postwertstempels auf das Postgut, mit einer Steuereinheit
(1) zum Steuern des Druckens und peripherer Komponenten (7, 8, 9) der Frankiermaschine
und mit einem Sicherheitsmodul (4) zum Abrechnen von Postgebührendaten. Um bei einer
solchen Frankiermaschine Manipulationen, nichtautorisiertes Benutzen und unberechtigtes
Kopieren einer Steuerungssoftware zu verhindern, sind erfindungsgemäß Mittel (41,
42) vorgesehen zur Autorisierung der Steuereinheit (19 durch selbsttätige Abfrage
und Übergabe eines Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul
(4) und zur Deaktivierung des Sicherheitsmodules (4) bei falschem Sicherheitskode
oder fehlender Übergabe des Sicherheitskodes. Im deaktivierten Zustand ist somit eine
Abrechnung und Frankierung nicht mehr möglich. Die Erfindung betrifft außerdem ein
Sicherheitsmodul für eine solche Frankiermaschine. |
[0002] Eine solche Frankiermaschine ist beispielsweise aus der EP 789 333 A2 bekannt. Diese ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer zentralen Steuerung zum Steuern des Druckens und der peripheren Komponenten der Frankiermaschine, miteiner Abrecheneinheit zum Abrechnen von Postgebühren, die in nicht-flüchtigen Speichern gehalten werden, und einer Einheit zum kryptografischen Absichern der Postgebührendaten ausgestattet. Die Abrecheneinheit und/oder die Einheit zum Absichern des Druckens der Postgebührendaten kann von einem sogenannten Sicherheitsmodul realisiert werden.
[0003] Zum Schutz des Sicherheitsmodules ist es bekannt, dieses so auszugestalten, dass es nur ein einziges Mal programmierbar ist und dass sensible Daten darin auslesesicher gespeichert werden. Außerdem kann es zum Schutz vor Manipulationen durch ein Sicherheitsgehäuse gekapselt sein, oder wesentliche Bauelemente des Sicherheitsmodules können in eine Vergussmasse eingegossen sein. Sicherheitsmodule für Frankiermaschinen können als Multi-Chip-Module oder als Ein-Chip-Systeme (zum Beispiel Chipkarten) realisiert werden. Sie sind konstruktiv entweder fest mit der Frankiermaschine verbunden oder steckbar, wobei die Frankiermaschine als Spezialgerät oder durch einen herkömmlichen Computer mit einer speziellen Software und gegebenenfalls zusätzlichen Hardwarebauteilen realisiert sein kann.
[0004] Bei Frankiermaschinen ist es erforderlich, besondere Schutzmaßnahmen gegen nicht-autorisierte Benutzung der Frankiermaschine und gegen jegliche Manipulationen zu treffen. Insbesondere bei durch einen herkömmlichen Computer realisierten Frankiermaschinen ist außerdem zu verhindern, dass die verwendete spezielle Software unerlaubterweise vervielfältigt und auf einem anderen Computer installiert und benutzt werden kann.
[0005] Der Erfindung liegt demnach die Aufgabe zugrunde, eine mit besonderen Schutzmaßnahmen ausgestattete Frankiermaschine anzugeben.
[0007] Der Erfindung liegt dabei der Gedanke zugrunde, dass ein unerlaubtes Kopieren einer Software und ein Betrieb auf einer anderen Hardware dadurch verhindert werden kann, dass eine spezielle Software nur zusammen mit einer speziellen Hardware, d.h. einem einzigen ganz speziellen Gerät, betrieben werden kann. Übertragen auf eine Frankiermaschine bedeutet dies, dass diese erfindungsgemäß so ausgestaltet ist, dass sie nur dann betrieben werden kann und dass insbesondere wesentliche Funktionen wie die Abrechnung von Postgebührendaten und die Erzeugung von Frankierungen nur dann ausgeführt werden können, wenn eine Autorisierung der Steuereinheit beim Sicherheitsmodul durch Abfrage und Übergabe eines vereinbarten Sicherheitskodes erfolgt. Diese Autorisierung erfolgt erfindungsgemäß selbsttätig und ohne Zutun des Benutzers, der davon überhaupt nichts bemerkt. Dadurch wird sichergestellt, dass ein Sicherheitsmodul ausschließlich mit einer speziell dafür autorisierten Steuereinheit betrieben werden kann. Soll dagegen dasselbe Sicherheitsmodul mit einer anderen Steuereinheit betrieben werden, beispielsweise dadurch, dass die Steuerungssoftware einer Frankiermaschine unberechtigterweise kopiert und auf einer anderen Frankiermaschine, zum Beispiel auf einem anderen Computer, betrieben werden, so ist dies bei der erfindungsgemäßen Frankiermaschine nicht möglich, da sich diese Steuereinheit nicht autorisieren kann bzw. einen falschen Sicherheitskode liefern würde.
[0008] Die Frankiermaschine ist erfindungsgemäß dabei so ausgestaltet, dass die Abfrage und Übergabe des Sicherheitskodes nicht nur ein einziges Mal bei Inbetriebnahme der Frankiermaschine erfolgt, sondern insofern regelmäßig, als dass sie mehrfach und dauerhaft während des Betriebes erfolgt. Diese Abfrage kann, wie bei der Ausgestaltung gemäß Anspruch 2 vorgesehen ist, auch in regelmäßigen oder unregelmäßigen Zeitabständen erfolgen, wozu eine Modulrecheneinheit im Sicherheitsmodul vorgesehen ist.
[0009] Der bei der bevorzugten Weiterbildung der Erfindung vorgesehene Zeitgeber dient dazu, eine Zeitdauer vorzugeben, innerhalb derer sich die Steuereinheit beim Sicherheitsmodul autorisieren muss, um eine Deaktivierung des Sicherheitsmodules zu verhindern. Diese Zeitdauer kann entweder einmalig festgesetzt und konstant sein oder auch vom Benutzer individuell festgelegt werden. Um Manipulationen noch weiter zu erschweren kann außerdem vorgesehen sein, dass die Länge der Zeitdauer nach jeder Autorisierung vom Zeitgeber variiert und zufällig festgelegt wird, wozu der Zeitgeber beispielsweise einen Zufallsgenerator aufweist.
[0010] Da ein falscher oder fehlender Sicherheitskode nicht zwangsläufig bedeuten muss, dass eine Manipulation oder nicht-autorisierte Benutzung der Frankiermaschine erfolgt, ist das Sicherheitsmodul gemäß Anspruch 5 derart ausgestaltet, dass es im deaktivierten Zustand jederzeit durch Übergabe des Sicherheitskodes aktivierbar ist. Wenn also beispielsweise aufgrund einer Kommunikationsstörung zwischen Steuereinheit und Sicherheitsmodul der Sicherheitskode nicht übergeben werden konnte und das Sicherheitsmodul deshalb deaktiviert wurde, kann jederzeit nach Behebung der Kommunikationsstörung wieder eine Aktivierung erfolgen.
[0011] Einen besonderen Schutz gegen unberechtigtes Kopieren der Steuerungssoftware der Frankiermaschine bietet die vorteilhafte Weiterbildung gemäß Anspruch 6. Als Sicherheitskode kann dabei beispielsweise die Maschinennummer der Steuereinheit verwendet werden, die dann auch dem Sicherheitsmodul bekannt sein muss.
[0012] Vorteilhafterweise erfolgt die Übergabe des Sicherheitskodes von der Steuereinheit an das Sicherheitsmodul in verschlüsselter Form, wie bei der Ausgestaltung gemäß Anspruch 7 vorgesehen ist. Auch dies bietet einen zusätzlichen Schutz vor Manipulationen beispielsweise durch Abhören der Kommunikation zwischen Sicherheitsmodul und Steuereinheit, um den Sicherheitskode zu erhalten.
[0013] Die Erfindung betrifft außerdem auch ein Sicherheitsmodul für eine solche Frankiermaschine, wie es in Anspruch 8 angegeben ist. Dieses Sicherheitsmodul kann ebenfalls wie im Zusammenhang mit der Frankiermaschine beschrieben ausgestaltet sein.
[0014] Die Erfindung wird nachfolgend anhand der Zeichnungen näher erläutert. Es zeigen:
- Figur 1
- ein Blockschaltbild einer erfindungsgemäßen Frankiermaschine und
- Figur 2
- ein Blockschaltbild der Steuereinheit und des Sicherheitsmodules bei einer solchen Frankiermaschine.
[0015] Figur 1 zeigt ein Blockschaltbild einer erfindungsgemäßen Frankiermaschine mit den wesentlichen Funktionseinheiten. Eine zentrale Steuereinheit 1, die vorliegend durch einen Mikroprozessor (CPU) realisiert ist, steuert den Druck von Postwertstempeln auf Postgut, was mit Hilfe eines Druckers 2 erfolgt. Die Steuereinheit 1 ist über einen Steuerbus 3, der Adress-, Daten- und Steuerleitungen enthält, mit dem Sicherheitsmodul 4 und mit dem Drucker 2 verbunden.
[0016] Weiterhin ist die Steuereinheit 1 über den Steuerbus 3 mit einem nicht-flüchtigen Speicher 5 und einem Arbeitsspeicher 6 verbunden. Im Speicher 5 ist ein zentrales Steuerprogramm für die Steuereinheit 1 als Befehlsfolge sowie Vorlagen zum Zusammenstellen des Druckbildes des Postwertstempels abgelegt. Die Steuereinheit lädt eine gewünschte Vorlage in den Arbeitsspeicher 6 und bearbeitet diese entsprechend den Eingaben einer Bedienperson. Nach diesen Eingaben, zu denen auch die Eingabe des Portowertes zählt, wird das gewünschte Druckbild erzeugt und im Arbeitsspeicher 6 gespeichert.
[0017] Über eine am Steuerbus 3 angeschlossene Tastatur 7 kann die Bedienperson die Frankiermaschine bedienen und zum Beispiel das Druckbild vorgeben. Eine von der Steuereinheit 1 angesteuerte Anzeige 8 informiert die Bedienperson über die Abläufe in der Frankiermaschine. Eine mit dem Steuerbus 3 verbundene Ein/Ausgabeeinheit 9 ist mit nicht dargestellten Antriebselementen der Frankiermaschine und mit Sensoren verbunden, die den Zustand der Frankiermaschine überwachen. An der Ein-/Ausgabeeinheit 9 ist auch ein nicht dargestelltes Transportsystem zum Transportieren des Postgutes angeschlossen.
[0018] Das Sicherheitsmodul 4 enthält im allgemeinen, was nicht gezeigt ist, eine Abrecheneinheit. Von der Abrecheneinheit wird die Abrechnung von Postgebühren durchgeführt, die dem Portowert entsprechen. Hinsichtlich des näheren Aufbaus und der Funktionsweise eines solchen bekannten Sicherheitsmodules sei auf die bereits genannte EP 789 333 A2 und auf die DE 299 05 219 U1 verwiesen.
[0019] In Figur 2 ist die Steuereinheit 1 und das Sicherheitsmodul 4 einer erfindungsgemäßen Frankiermaschine gezeigt, wobei nur die für die Erfindung wesentlichen Funktionsgruppen des Sicherheitsmodules 4 dargestellt sind. Dieses weist eine Modulrecheneinheit 41 auf, die immer wieder während des Betriebes der Frankiermaschine eine Autorisierung der Steuereinheit 1 erzwingt, wozu sie von der Steuereinheit 1 die Übergabe eines vereinbarten Sicherheitskodes über den Steuerbus 3 anfordert. Wenn diese Autorisierung nicht erfolgt oder falsch erfolgt, beispielsweise durch Übergabe eines falschen Sicherheitskodes wegen einer Manipulation oder eines Austauschs der Steuereinheit 1, schaltet die Modulrecheneinheit 41 das Sicherheitsmodul 4 in einen deaktivierten Zustand, so dass keine Abrechnung und auch keine Frankierung von Postgut mehr erfolgen kann. Zur Anzeige des aktuellen Zustandes ist eine Statussignalisierung 43 vorgesehen, wie sie in der DE 299 05 219 U1 beschrieben ist.
[0020] Das Sicherheitsmodul 4 weist außerdem einen Zeitgeber 42 auf, der festlegt, in welchen Zeitabständen eine Autorisierung von der Modulrecheneinheit 41 bei der Steuereinheit 1 angefragt werden soll, bzw. nach welcher Zeitdauer seit der letzten Autorisierung das Sicherheitsmodul 4 automatisch deaktiviert wird, wenn keine neue Autorisierung erfolgt. Der Zeitgeber 42 ist dabei so ausgestaltet, dass diese Zeitdauer variabel ist, sich also nach jeder erfolgten Autorisierung ändert, und zufällig bestimmt wird. Diesträgt zusätzlich zur Vermeidung von Manipulationen der Frankiermaschine bei, da einem potentiellen Manipulierer niemals bekannt ist, in welchem Zeitabständen eine Autorisierung von der Steuereinheit 1 gefordert wird und wie lange ggf. mit einer manipulierten Steuereinheit gearbeitet werden kann. Auch der Zeitgeber 42 ist dazu ausgestaltet, das Sicherheitsmodul 4 zu deaktivieren, wenn innerhalb der gesetzten Zeitdauer keine Autorisierung von der Steuereinheit 1 erfolgt.
[0021] Die Frankiermaschine ist so ausgestaltet, dass auch im deaktivierten Zustand des Sicherheitsmodules 4 jederzeit ohne Anforderung durch die Modulrecheneinheit 41 der Sicherheitskode von der Steuereinheit 1 übergeben werden kann, um das Sicherheitsmodul 4 wieder zu aktivieren. Als Sicherheitskode dient bevorzugt ein die Hardware der Steuereinheit 1 identifizierender Kode, beispielsweise dessen Maschinennummer, die aus Sicherheitsgründen bevorzugt in verschlüsselter Form über den Steuerbus 3 übertragen wird. Dieser Sicherheitskode ist auch dem Sicherheitsmodul 4 bekannt und dort beispielsweise in der Modulrecheneinheit 41 gespeichert, um zu überprüfen, ob der von der Steuereinheit 1 übergebene Sicherheitskode der richtige ist. Dieser Sicherheitskode wird bevorzugt bei der erstenmaligen Inbetriebnahme und Freigabe des Sicherheitsmodules 4 festgelegt.
[0022] Durch die Erfindung wird somit verhindert, dass das Sicherheitsmodul 4 mit einer anderen als der dafür vorgesehenen Steuereinheit 1 betrieben wird. Außerdem wird verhindert, dass die auf der Steuereinheit 1 installierte Software unberechtigterweise kopiert und auf einer anderen Steuereinheit installiert und dort mit einem anderen Sicherheitsmodul betrieben werden kann. Unberechtigtes Vervielfältigen der Frankierungssoftware, sogenannte Raubkopien, können somit wirkungsvoll verhindert werden.
1. Frankiermaschine zum Frankieren von Postgut mit einem Drucker (2) zum Drucken eines
Postwertstempels auf das Postgut, mit einer Steuereinheit (1) zum Steuern des Drucks
und peripherer Komponenten (7, 8, 9) der Frankiermaschine und mit einem Sicherheitsmodul
(4) zum Abrechnen von Postgebührendaten,
dadurch gekennzeichnet, dass Mittel (41, 42) vorgesehen sind zur Autorisierung der Steuereinheit (1) durch selbsttätige Abfrage und Übergabe eines Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des Sicherheitsmoduls (4) bei falschem Sicherheitskode oder fehlender Übergabe des Sicherheitskodes.
dadurch gekennzeichnet, dass Mittel (41, 42) vorgesehen sind zur Autorisierung der Steuereinheit (1) durch selbsttätige Abfrage und Übergabe eines Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des Sicherheitsmoduls (4) bei falschem Sicherheitskode oder fehlender Übergabe des Sicherheitskodes.
2. Frankiermaschine nach Anspruch 1,
dadurch gekennzeichnet, dass die Mittel eine im Sicherheitsmodul (4) angeordnete Modulrecheneinheit (41) zur Abfrage und Überprüfung des Sicherheitskodes in regelmäßigen oder unregelmäßigen Zeitabständen aufweisen.
dadurch gekennzeichnet, dass die Mittel eine im Sicherheitsmodul (4) angeordnete Modulrecheneinheit (41) zur Abfrage und Überprüfung des Sicherheitskodes in regelmäßigen oder unregelmäßigen Zeitabständen aufweisen.
3. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass die Mittel einen im Sicherheitsmodul (4) angeordneten Zeitgeber (42) zur Deaktivierung des Sicherheitsmoduls (4) nach Ablauf einer vom Zeitgeber (42) vorgegebenen Zeitdauer seit der letzten Autorisierung der Steuereinheit (1) aufweisen.
dadurch gekennzeichnet, dass die Mittel einen im Sicherheitsmodul (4) angeordneten Zeitgeber (42) zur Deaktivierung des Sicherheitsmoduls (4) nach Ablauf einer vom Zeitgeber (42) vorgegebenen Zeitdauer seit der letzten Autorisierung der Steuereinheit (1) aufweisen.
4. Frankiermaschine nach Anspruch 3,
dadurch gekennzeichnet, dass der Zeitgeber (42) derart ausgestaltet ist, dass die Länge der Zeitdauer zufällig und variabel ist.
dadurch gekennzeichnet, dass der Zeitgeber (42) derart ausgestaltet ist, dass die Länge der Zeitdauer zufällig und variabel ist.
5. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass das Sicherheitsmodul (4) derart ausgestaltet ist, dass es im deaktivierten Zustand jederzeit durch Übergabe des Sicherheitskodes aktivierbar ist.
dadurch gekennzeichnet, dass das Sicherheitsmodul (4) derart ausgestaltet ist, dass es im deaktivierten Zustand jederzeit durch Übergabe des Sicherheitskodes aktivierbar ist.
6. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass als Sicherheitskode ein die Hardware der Steuereinheit (1) identifizierender Kode verwendet wird.
dadurch gekennzeichnet, dass als Sicherheitskode ein die Hardware der Steuereinheit (1) identifizierender Kode verwendet wird.
7. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, dass die Übergabe des Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) in verschlüsselter Form erfolgt.
dadurch gekennzeichnet, dass die Übergabe des Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) in verschlüsselter Form erfolgt.
8. Sicherheitsmodul für eine Frankiermaschine mit einer Steuereinheit zum Steuern des
Drucks von Postwertstempeln auf Postgut und peripherer Komponenten (7, 8, 9) der Frankiermaschine,
dadurch gekennzeichnet, dass Mittel (41, 42) vorgesehen sind zur Autorisierung der Steuereinheit (1) durch selbsttätige Abfrage und Übergabe eines Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des Sicherheitsmoduls (4) bei falschem Sicherheitskode oder fehlender Übergabe des Sicherheitskodes.
dadurch gekennzeichnet, dass Mittel (41, 42) vorgesehen sind zur Autorisierung der Steuereinheit (1) durch selbsttätige Abfrage und Übergabe eines Sicherheitskodes von der Steuereinheit (1) an das Sicherheitsmodul (4) und zur Deaktivierung des Sicherheitsmoduls (4) bei falschem Sicherheitskode oder fehlender Übergabe des Sicherheitskodes.