|
(11) | EP 1 120 751 A1 |
| (12) | EUROPÄISCHE PATENTANMELDUNG |
|
|
|
|
|||||||||||||||||||||||
| (54) | Frankiermaschine mit Zugangssicherung |
| (57) Die Erfindung betrifft eine Frankiermaschine zum Frankieren von Postgut sowie ein
Verfahren zum Schutz sicherheitsrelevanter Funktionen und/oder Daten einer solchen
Frankiermaschine vor unberechtigtem Zugriff. Zu Reparatur- oder Wartungszwecken oder
zum Einspielen von Software-Updates ist es bisweilen erforderlich, dass einzelne Personen
einen Zugriff auf sicherheitsrelevante Funktionen und/oder Daten, wie beispielsweise
die Abrecheneinheit oder Postgebührendaten, erhalten. Um dies zu ermöglichen, gleichzeitig
aber auszuschließen, dass unberechtigte Personen einen solchen Zugriff erhalten, die
dann an der Frankiermaschine Manipulationen vornehmen könnten, ist erfindungsgemäß
vorgesehen, dass ein bei einem solchen Zugriff abgefragter Sicherheitskode (81, 82)
im Sicherheitsmodul (4) verschlüsselt wird, dass der verschlüsselte Sicherheitskode
(S) mit einem auf einem angeforderten Speichermedium (11) gespeicherten verschlüsselten
Zugangskode (Z) verglichen wird und dass bei Übereinstimmung des verschlüsselten Sicherheitskodes
(S) mit dem verschlüsselten Zugangskode (Z) der Zugriff auf die sicherheitsrelevanten
Funktionen und/oder Daten freigegeben wird. |
[0001] Die Erfindung betrifft eine Frankiermaschine zum Frankieren von Postgut gemäß dem Oberbegriff des Anspruches 1 sowie ein Verfahren zum Schutz sicherheitsrelevanter Funktionen und/oder Daten einer Frankiermaschine vor unberechtigtem Zugriff gemäß dem Oberbegriff des Anspruches 6.
[0002] Eine solche Frankiermaschine und ein solches Verfahren sind beispielsweise aus der EP 789 333 A2 bekannt. Die dort beschriebene Frankiermaschine ist mit einem Drucker zum Drucken des Postwertstempels auf das Postgut, mit einer Steuereinheit zum Steuern des Druckens und peripherer Komponenten der Frankiermaschine, mit einer Abrecheneinheit zum Abrechnen von Postgebühren, die in nicht-flüchtigen Speichern gehalten werden, und eine Einheit zum kryptografischen Absichern der Postgebührendaten ausgestattet. Die Abrecheneinheit und/oder die Einheit zum Absichern des Druckens der Postgebührendaten kann von einem Sicherheitsmodul realisiert werden.
[0003] Frankiermaschinen sind entweder eigenständige spezielle Geräte, oder es werden vermehrt herkömmliche gegebenenfalls mit spezieller Hard- und Software ausgerüstete Computer als Frankiermaschinen verwendet. Sicherheitsmodule für Frankiermaschinen können als Multi-Chip-Module oder Ein-Chip-Systeme (zum Beispiel Chipkarten) realisiert werden. Sie sind entweder konstruktiv fest mit der Frankiermaschine verbunden, in diese einsteckbar oder als externes Gerät anschließbar.
[0004] Zum Schutz sicherheitsrelevanter Funktionen und/oder Daten wie zum Beispiel der Abrechnungsfunktion, der Postgebührendaten oder verwendeter kryptografischer Schlüssel ist es bekannt, als Prozessor des Sicherheitsmodules ein OTP (One Time Programmable) zu verwenden, auf dem sensible Daten auslesesicher gespeichert werden. Außerdem kann das Sicherheitsmodul in einem einbruchsicheren Sicherheitsgehäuse gekapselt sein.
[0005] Es gibt jedoch Situationen, in denen es erforderlich ist, bestimmten Personen Zugriff auf alle oder bestimmte sicherheitsrelevante Funktionen und/oder Daten zu ermöglichen. Dies ist beispielsweise zu Reparatur- oder Wartungsarbeiten, zum Einspielen einer neuen Software oder anderen Servicezwecken erforderlich. Es muss jedoch zuverlässig gewährleistet sein, dass nur die dafür berechtigten Personen einen solchen Zugriff erhalten.
[0006] Aus der DE-OS 36 27 124 ist eine Frankiermaschine bekannt, bei der zur Absicherung des Betriebs vor der Benutzung ein Kennwort abgefragt wird. Die Kennworte verschiedener Benutzer sind dabei in der Frankiermaschine gespeichert und bei Eingabe eines Kennworts wird dieses mit den gespeicherten Kennwörtern verglichen. Eine Freigabe der Frankiermaschine für eine Frankierung erfolgt nur, wenn das eingegebene Kennwort mit dem gespeicherten Kennwort übereinstimmt.
[0007] Als nachteilig bei einer solchen Frankiermaschine erweist sich jedoch, dass eine Person nur in den Besitz eines Kennworts kommen muss, um Frankierungen zu ermöglichen. Als Schutzmechanismus für sicherheitsrelevante Funktionen und/oder Daten einer Frankiermaschine eignet sich dieses Verfahren jedoch nicht, da die Gefahr zu groß ist, dass eine Person in den Besitz eines Kennwortes gelangt.
[0008] Der Erfindung liegt deshalb die Aufgabe zugrunde, eine Frankiermaschine zu schaffen, bei der mit großer Sicherheit nur den dazu berechtigten Personen Zugriff auf sicherheitsrelevante Funktionen und/oder Daten ermöglicht wird. Außerdem soll ein entsprechendes Verfahren zum Schutz einer Frankiermaschine vor unberechtigtem Zugriff angegeben werden.
[0009] Diese Aufgaben werden durch eine Frankiermaschine gemäß Anspruch 1 bzw. durch ein Verfahren gemäß Anspruch 6 gelöst.
[0010] Der Erfindung liegt dabei der Gedanke zugrunde, beim Zugriff auf sicherheitsrelevante Funktionen und/oder Daten quasi eine doppelte Sicherung einzubauen. Um den gewünschten Zugriff zu erhalten, ist erstens ein Sicherheitskode einzugeben, der erst im Sicherheitsmodul verschlüsselt wird, und zweitens muss ein Speichermedium, zum Beispiel eine Diskette oder eine Chipkarte, vorhanden sein, auf dem ein bereits verschlüsselter Zugangskode gespeichert ist. Dieses Speichermedium muss ebenfalls der Leseeinheit zugeführt werden, damit der darauf verschlüsselte gespeicherte Zugangskode für den Benutzer unsichtbar gelesen werden kann, welcher anschließend mit dem verschlüsselten Sicherheitskode verglichen wird. Nur wenn diese beiden Kodes übereinstimmen, wird anschließend der gewünschte Zugriff freigegeben. Es genügt also weder allein der Besitz des Sicherheitskodes noch allein der Besitz eines Speichermediums mit darauf gespeichertem verschlüsseltem Zugangskode. Weder allein aus dem unverschlüsselten Sicherheitskode noch allein aus dem verschlüsselten Zugangskode, der unter normalen Umständen von einem Benutzer gar nicht ausgelesen werden kann, ist es möglich, einen solchen Zugriff zu erreichen. Ohne Kenntnis des Verschlüsselungsalgorithmus ist es weder möglich, aus dem unverschlüsselten Sicherheitskode den verschlüsselten Zugangskode zu entwickeln, um ihn auf einem Speichermedium zu speichern, noch ist es möglich, aus dem verschlüsselten Zugangskode, falls es gelänge, ihn von einem Speichermedium auszulesen, den unverschlüsselten Sicherheitskode zu entwickeln. Ein zusätzlicher Schutz wird auch dadurch gewährt, dass der Sicherheitskode in unverschlüsseltem Zustand weder in der Frankiermaschine, wie dies bei der DE-OS 36 27 124 der Fall ist, noch auf dem benötigtem Speichermedium gespeichert ist.
[0011] Die Erfindung bietet somit wirksamen Schutz gegen unberechtigte Zugriffe auf sicherheitsrelevante Funktionen und/oder Daten. Nur eine Person, die einen bestimmten Sicherheitskode kennt und im Besitz eines Speichermediums mit darauf gespeichertem zugehörigem Zugangskode ist, kann bei einer erfindungsgemäßen Frankiermaschine den gewünschten Zugriff erhalten. Die entsprechenden Sicherheitskodes und Zugangskodes bzw. die entsprechende Verschlüsselung werden dabei von einer zentralen Sicherheitsstelle, zum Beispiel einem Postdienst vergeben, der auch im Besitz des Verschlüsselungsalgorithmus ist und den verschlüsselten Zugangskode auf einem Speichermedium speichert. Auf einem solchen Speichermedium können sich dann auch Serviceprogramme, Diagnosedaten, Software-Updates oder dergleichen befinden.
[0012] Der Zugriff kann auch auf spezielle Funktionen und/oder Daten der Frankiermaschine mittels des Sicherheits- und des Zugangskodes beschränkt werden. Dazu können von der zentralen Sicherheitsstelle mehrere Sicherheitskodes und mit zugehörigen Zugriffskodes eingerichtet werden, denen jeweils unterschiedliche Zugriffsberechtigungen zugeordnet sind.
[0013] In einer Ausgestaltung der Erfindung ist vorgesehen, dass als Sicherheitskode eine Benutzerkennung und ein Benutzerpasswort benutzt werden, wobei als Benutzerkennung bevorzugt der Benutzername verwendet wird. Benutzerkennung und Benutzerpasswort sind dann bei einem gewünschten Zugriff auf die Frankiermaschine an einer Bedienungseinheit einzugeben, vergleichbar mit dem Anmeldevorgang bei einem Computernetzwerk. In einer Weiterbildung davon ist außerdem vorgesehen, dass das Benutzerpasswort, das weder in der Frankiermaschine noch auf dem Speichermedium gespeichert ist, als Schlüssel für die in dem Sicherheitsmodul stattfindende Verschlüsselung des Sicherheitskodes verwendet wird. Jeder Benutzer, der somit einen Zugriff auf sicherheitsrelevante Funktionen und/oder Daten einer Frankiermaschine erreichen will, hat somit einen eigenen Schlüssel.
[0014] In einer weiteren Ausgestaltung ist vorgesehen, dass das Sicherheitsmodul zur Verschlüsselung des Sicherheitskodes mit einem Standard-Verschlüsselungsalgorithmus ausgestattet ist. Dies kann beispielsweise ein DES-Algorithmus sein (DES = Data Encryption Standard), wie er in "Angewandte Kryptografie-Protokolle, Algorithmen und Sourcecode in C", Bruce Schneier, Addison-Wesley beschrieben ist.
[0015] Bevorzugt ist in einer weiteren Ausgestaltung vorgesehen, dass der verschlüsselte Zugangskode auf jedem Speichermedium enthalten ist, mit dem sicherheitsrelevante Funktionen und/oder Daten gelesen, geschrieben, gelöscht und/oder verändert werden sollen. Dies dient einer weiteren Erhöhung des Schutzes vor unberechtigten oder ungewollten Manipulationen einer Frankiermaschine. So ist es beispielsweise nicht möglich, dass eine Person, die aus irgendeinem Grunde in den Besitz des Sicherheitskodes und eines Speichermediums mit zugehörigem verschlüsselten Zugangskode gelangt ist und sich somit Zugriff auf die Frankiermaschine verschaffen kann, auf einem weiteren Speichermedium beispielsweise die Abrechnungssoftware oder Abrechnungsdaten kopiert oder einer darauf enthaltenen selbst entwickelten Software manipuliert oder überschreibt.
[0016] Ein Verfahren zum Schutz einer Frankiermaschine vor unberechtigtem Zugriff auf sicherheitsrelevante Funktionen und/oder Daten ist in Anspruch 6 angegeben. Dieses Verfahren kann in entsprechender Weise wie die Frankiermaschine und wie oben beschrieben weitergebildet sein.
[0017] Die Erfindung wird nachfolgend anhand der Zeichnungen näher erläutert. Es zeigen:
- Figur 1
- ein Blockschaltbild einer erfindungsgemäßen Frankiermaschine und
- Figur 2
- eine schematische Darstellung zur Erläuterung der Erfindung.
[0018] Figur 1 zeigt ein Blockschaltbild einer erfindungsgemäßen Frankiermaschine mit wesentlichen Funktionseinheiten. Eine Steuereinheit 1, zum Beispiel ein zentraler Mikroprozessor (CPU), steuert den Druck von Postwertstempeln, was mit Hilfe eines Druckers 2 erfolgt. Die Steuereinheit 1 ist über einen Steuerbus 3, der Adress-, Daten- und Steuerleitungen enthält, mit einem Sicherheitsmodul 4 und mit dem Drucker 2 verbunden.
[0019] Weiter ist die Steuereinheit 1 über den Steuerbus 3 mit einem nicht-flüchtigen Speicher 5 und einem Arbeitsspeicher 6 verbunden. Im Speicher 5 ist ein zentrales Steuerprogramm für die Steuereinheit 1 als Befehlsfolge abgelegt. Außerdem sind im Speicher 5 Vorlagen zum Zusammenstellen des Druckbildes des Postwertstempels gespeichert. Die Steuereinheit 1 lädt die gewünschte Vorlage in den Arbeitsspeicher 6 und bearbeitet die Vorlage entsprechend den Eingaben einer Bedienperson. Nach diesen Eingaben, zu denen auch die Eingabe des Portowertes zählt, wird das gewünschte Druckbild erzeugt und im Arbeitsspeicher 6 gespeichert.
[0020] Über eine am Steuerbus 3 angeschlossene Tastatur 7 kann die Bedienperson die Frankiermaschine bedienen und zum Beispiel das Druckbild vorgeben. Eine von der Steuereinheit 1 angesteuerte Anzeige 8 informiert die Bedienperson über die Abläufe in der Frankiermaschine. Eine mit dem Steuerbus 3 verbundene Ein/Ausgabeeinheit 9 ist mit einem Lesegerät 10 verbunden, das beispielsweise ein Diskettenlaufwerk, ein Chipkarten-Lesegerät oder ein anderes Lesegerät zum Aufnehmen und Lesen eines Speichermediums sein kann. Außerdem ist die Ein/Ausgabeeinheit 9 mit nicht dargestellten Antriebselementen der Frankiermaschine und mit Sensoren verbunden, die den Zustand der Frankiermaschine überwachen. Auch ein nicht dargestelltes Transport- und Wiegesystem für das Postgut kann dort angeschlossen sein.
[0021] Das Sicherheitsmodul 4 umfasst im wesentlichen eine Abrecheneinheit und eine Verschlüsselungseinheit. Hinsichtlich der Funktionsweise und des Aufbaus der Abrecheneinheit sei auf die bereits genannte EP 789 333 A2 verwiesen.
[0022] Die Funktionsweise der Erfindung soll anhand der Figur 2 näher erläutert werden. Wenn eine Person, beispielsweise ein Servicetechniker wegen einer Störung der Frankiermaschine, einen Zugriff auf sicherheitsrelevante Funktionen und/oder Daten, beispielsweise auf die Abrecheneinheit oder Abrechnungsdaten, haben muss, so laufen bei einer erfindungsgemäßen Frankiermaschine folgende Vorgänge ab: Zunächst wird die Person auf der Anzeige 8 aufgefordert, als Sicherheitskode Name und Passwort in den Eingabefeldern 81, 82 einzugeben. Mittels eines auf dem Sicherheitsmodul 4 installierten und ablaufenden Verschlüsselungsalgorithmus 41 wird aus diesen Eingabedaten der verschlüsselte Sicherheitskode S gebildet und einer Prüfeinheit 42 zugeführt. Außerdem muss im Lesegerät (10 in Figur 1) ein Speichermedium, im Beispiel eine Diskette 11, eingelegt sein, auf der ein verschlüsselter Zugangskode Z gespeichert ist. Dieser wird von der Diskette 11 ausgelesen und ebenfalls der Prüfeinheit 42 zugeführt. Dann erfolgt ein Vergleich des verschlüsselten Sicherheitskodes S mit dem verschlüsselten Zugangskode Z. Bei einer Übereinstimmung wird anschließend der Zugriff freigegeben, während bei Nicht-Übereinstimmung der Zugriff verwehrt wird. Der Zugriff wird auch verwehrt, wenn entweder Name 81 und/oder Passwort 82 falsch sind oder nicht zu dem auf der Diskette 11 gespeicherten Zugangskode Z gehören. Auch bei fehlender Diskette 11 ist kein Zugriff möglich.
[0023] Die Frankiermaschine kann so ausgestaltet sein, dass der Zugriff nur so lange freigegeben ist, wie auch das Speichermedium 11 in das Lesegerät 10 eingeführt ist. Dazu kann beispielsweise vorgesehen sein, dass der verschlüsselte Zugangskode Z in regelmäßigen Zeitabständen immer wieder von der Diskette 11 gelesen und mit dem Sicherheitskode S verglichen wird. Dadurch kann beispielsweise ausgeschlossen werden, dass ein Zugriff auch noch dann möglich ist, wenn die zugriffsberechtigte Person sich zwar von der Frankiermaschine entfernt und auch die Diskette 11 entnommen hat, Name 81 und Passwort 82 jedoch noch eingegeben sind.
[0024] Wie unmittelbar erkennbar ist, können die erfindungsgemäße Frankiermaschine und das erfindungsgemäße Verfahren auch anders als in den Figuren gezeigt ausgestaltet sein. Beispielsweise kann zur Speicherung des verschlüsselten Zugangskodes Z ein anderes Speichermedium als eine Diskette verwendet werden, und der Sicherheitskode muss nicht zwingend aus Name und Passwort bestehen. Die Realisierung der Frankiermaschine erfolgt vorteilhafterweise auf einem handelsüblichen PC mit angeschlossenem Drucker und mit gegebenenfalls zusätzlichen Hardwarebauteilen.
1. Frankiermaschine zum Frankieren von Postgut mit einer Steuereinheit (1) zum Steuern
der Komponenten (2 bis 10) der Frankiermaschine, mit einem Sicherheitsmodul (4) zum
Abrechnen von Postgebührendaten und zum Verschlüsseln und Entschlüsseln von Daten,
mit einer Bedienungseinheit (7) zum Bedienen der Frankiermaschine und mit einer Leseeinheit
(9, 10) zum Lesen von Daten von einem Speichermedium (11), wobei die Steuereinheit
(1) ausgestaltet ist zur Abfrage eines Sicherheitskodes (81, 82) bei einem Zugriff
auf sicherheitsrelevante Funktionen und/oder Daten der Frankiermaschine,
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) ausgestaltet ist zur Verschlüsselung des Sicherheitskodes (81, 82), zum Vergleich des verschlüsselten Sicherheitskodes (S) mit einem auf einem angeforderten Speichermedium (11) gespeicherten verschlüsselten Zugangskode (Z) und zur Freigabe des Zugriffs auf die sicherheitsrelevanten Funktionen und/oder Daten bei Übereinstimmung des verschlüsselten Sicherheitskodes (S) mit dem verschlüsselten Zugangskode (Z).
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) ausgestaltet ist zur Verschlüsselung des Sicherheitskodes (81, 82), zum Vergleich des verschlüsselten Sicherheitskodes (S) mit einem auf einem angeforderten Speichermedium (11) gespeicherten verschlüsselten Zugangskode (Z) und zur Freigabe des Zugriffs auf die sicherheitsrelevanten Funktionen und/oder Daten bei Übereinstimmung des verschlüsselten Sicherheitskodes (S) mit dem verschlüsselten Zugangskode (Z).
2. Frankiermaschine nach Anspruch 1,
dadurch gekennzeichnet, daß als Sicherheitskode eine Benutzerkennung (81) und ein Benutzerpasswort (82) verwendet werden.
dadurch gekennzeichnet, daß als Sicherheitskode eine Benutzerkennung (81) und ein Benutzerpasswort (82) verwendet werden.
3. Frankiermaschine nach Anspruch 2,
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) derart ausgestaltet ist, daß das Benutzerpasswort (82) als Schlüssel für die Verschlüsselung verwendet wird.
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) derart ausgestaltet ist, daß das Benutzerpasswort (82) als Schlüssel für die Verschlüsselung verwendet wird.
4. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) zur Verschlüsselung des Sicherheitskodes (81, 82) mit einem Standard-Verschlüsselungsalgorithmus ausgestattet ist.
dadurch gekennzeichnet, daß das Sicherheitsmodul (4) zur Verschlüsselung des Sicherheitskodes (81, 82) mit einem Standard-Verschlüsselungsalgorithmus ausgestattet ist.
5. Frankiermaschine nach einem der vorhergehenden Ansprüche,
dadurch gekennzeichnet, daß der verschlüsselte Zugangskode (Z) auf jedem Speichermedium (11) enthalten ist, mit dem sicherheitsrelevante Funktionen und/oder Daten gelesen, geschrieben, gelöscht und/oder verändert werden sollen.
dadurch gekennzeichnet, daß der verschlüsselte Zugangskode (Z) auf jedem Speichermedium (11) enthalten ist, mit dem sicherheitsrelevante Funktionen und/oder Daten gelesen, geschrieben, gelöscht und/oder verändert werden sollen.
6. Verfahren zum Schutz sicherheitsrelevanter Funktionen und/oder Daten einer Frankiermaschine
vor unberechtigtem Zugriff, wobei die Frankiermaschine eine Steuereinheit (1) zum
Steuern der Komponenten (2 bis 10) der Frankiermaschine, ein Sicherheitsmodul (4)
zum Abrechnen von Postgebührendaten und zum Verschlüsseln und Entschlüsseln von Daten,
eine Bedienungseinheit (7) zum Bedienen der Frankiermaschine und eine Leseeinheit
(10) zum Lesen von Daten von einem Speichermedium (11) aufweist, und wobei bei einem
Zugriff auf sicherheitsrelevante Funktionen und/oder Daten der Frankiermaschine ein
Sicherheitskode (81, 82) abgefragt wird,
dadurch gekennzeichnet, daß der Sicherheitskode (81, 82) verschlüsselt wird, daß der verschlüsselte Sicherheitskode (S) mit einem auf einem angeforderten Speichermedium (11) gespeicherten verschlüsselten Zugangskode (Z) verglichen wird und daß bei Übereinstimmung des verschlüsselten Sicherheitskodes (S) mit dem verschlüsselten Zugangskode (Z) der Zugriff auf die sicherheitsrelevanten Funktionen und/oder Daten freigegeben wird.
dadurch gekennzeichnet, daß der Sicherheitskode (81, 82) verschlüsselt wird, daß der verschlüsselte Sicherheitskode (S) mit einem auf einem angeforderten Speichermedium (11) gespeicherten verschlüsselten Zugangskode (Z) verglichen wird und daß bei Übereinstimmung des verschlüsselten Sicherheitskodes (S) mit dem verschlüsselten Zugangskode (Z) der Zugriff auf die sicherheitsrelevanten Funktionen und/oder Daten freigegeben wird.