Einlieferungsstation für Postsendungen und Verfahren zum Einliefern von Postsendungen

Abstract

 Die Erfindung betrifft eine Einlieferungsstation (10) zum Einliefern und Frankieren von Postsendungen (20), die wenigstens eine Waage (30) zur Bestimmung des Gewichts einer Postsendung (20), wenigstens ein Dimensionsmessgerät (40) zur Bestimmung der Abmessungen einer Postsendung (20), eine Recheneinheit (50) zur Bestimmung des Portoentgelts für eine Postsendung (20) und eine Frankiereinheit (60) zur Aufbringung eines Frankiervermerks auf die Postsendung (20) umfasst, wobei die Recheneinheit (50) Zugriff auf Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) hat.
Die Einlieferungsstation zeichnet sich dadurch aus, dass die Einlieferungsstation (10) ein Messmodul (52) mit einem Mittel zum Empfangen von Messwerten von der Waage (30) und/oder dem Dimensionsmessgerät (40) aufweist und dass das Messmodul (52) und/oder eine Komponente des Messmoduls (52) mit einer TPM-Einheit verbindbar ist.
Die Erfindung betrifft ferner ein Verfahren zum Einliefern und frankieren von Postsendungen.

Beschreibung

[0001] Die Erfindung betrifft eine Einlieferungsstation für Postsendungen und ein Verfahren zum Einliefern von Postsendungen.

[0002] Insbesondere betrifft die Erfindung eine Einlieferungsstation, beziehungsweise ein Verfahren, bei dem Postsendungen frankiert werden.

[0003] Neben der Aufbringung von Postwertzeichen wie Briefmarken ist es auf dem Gebiet der Freimachung von Postsendungen bekannt, Frankiermaschinen einzusetzen, welche von einem Nutzer dazu verwendet werden können, größere Mengen von Postsendungen mit einem Freimachungsvermerk zu versehen. Die Anschaffung einer Frankiermaschine wird jedoch insbesondere von Kunden mit geringem oder unregelmäßigem Aufkommen an zu frankierenden Postsendungen oftmals vermieden.

[0004] Kunden können ferner eine größere Menge von unfrankierten Postsendungen in einer Filiale eines Transport- und Zustelldienstes abgeben. Das Zustelluntemehmen führt eine Frankierung der Sendungen durch, wobei ebenfalls Frankiermaschinen zum Einsatz kommen können. Dabei sind die Kunden jedoch für die Einlieferung von Sendungen an festgelegte Öffnungszeiten von Filialen des Zustellunternehmens gebunden.

[0005] Im postalischen Bereich besteht daher der Bedarf nach einer Einlieferungsstation für Postsendungen, in welche Kunden größere Mengen unfrankierter Postsendungen einliefern können, wobei die Vorrichtung die Sendungen automatisch frankiert. Die Vorrichtung könnte in öffentlichen Bereichen aufgestellt werden, um Kunden einen 24-Stundenbetrieb zu gewährleisten. Dabei setzt eine derartige Vorrichtung ein Verfahren zur automatischen Ermittlung eines für eine Sendung erforderlichen Portobetrages bzw. Portoentgelts voraus.

[0006] Eine solche Einlieferungsstation für Briefsendungen ist beispielsweise aus der deutschen Offenlegungsschrift DE 10 2005 006 005 A1 bekannt. Die Druckschrift offenbart eine Einlieferungsstation für Postsendungen, bei der eine Postsendung von einem Annahmemittel in ein für einen Kunden unzugängliches Gehäuse überführt wird. Innerhalb des Gehäuses werden durch Messeinrichtungen Messwerte für Gewicht, Länge, Breite und Höhe der Postsendung ermittelt. Zu den so ermittelten Messwerten werden die Negativtoleranzen der einzelnen Messeinrichtungen addiert und die Beträge der Positivtoleranzen subtrahiert, um angepasste Messwerte zu erhalten. Diese angepassten Messwerte werden mit Wertebereichen einer Referenzliste verglichen, wobei die Referenzliste Wertebereichen der angepassten Messwerte verschiedene Portobeträge zuordnet und eine Ergebnisliste mit den Portobeträgen erzeugt wird, die den ermittelten angepassten Messwerten zugeordnet sind. Der kleinste Portobetrag der Ergebnisliste wird ermittelt und als erforderliches Portoentgelt für die betreffende Postsendung festgelegt. Daraufhin wird ein Freimachungsvermerk auf die Postsendung aufgebracht, wobei der Freimachungsvermerk den ermittelten Portobetrag enthält. Durch diese Vorgehensweise wird sichergestellt, dass ein Kunde nie einen zu hohen Portobetrag entrichten muss. Dies ist eine wesentliche Voraussetzung für die Zulassung einer solchen Einlieferungsstation, wenn diese öffentlich aufgestellt wird.

[0007] Für Messgeräte wie beispielsweise Waagen, Tankzapfsäulen und auch Einlieferungsstationen zum Frankieren von Postsendungen besteht die Notwendigkeit, diese gemäß nationaler Eichgesetze eichen zu lassen, um eichpflichtige Messungen damit durchführen zu können. Die Eichung setzt in den meisten Fällen eine Bauartzulassung voraus, das heißt, ein typisches Exemplar des betreffenden Messgerätes muss von der zuständigen Behörde zugelassen werden. In der Bundesrepublik Deutschland ist die dafür zuständige Behörde beispielsweise die Physikalisch Technische Bundesanstalt (PTB).

[0008] Die Behörde prüft üblicherweise die Zulassungsunterlagen und ein Mustergerät nach den Vorschriften der jeweiligen Eichordnung. Wesentliche Aspekte sind hierbei die Messrichtigkeit und Messbeständigkeit. Es müssen insbesondere die geltenden Anforderungen und Fehlergrenzen eingehalten werden. Die Zulassungsprüfung beinhaltet messtechnische, technische und administrative Prüfungen. Bei den technischen Prüfungen, zu denen auch Softwareprüfungen gehören, wird untersucht, ob die Bedien-, Anzeige- und Abdruckfunktionen den Anforderungen genügen und das Gerät ausreichend gegen Bedienungsfehler und Manipulationen geschützt ist. Da Einlieferungsstationen zum Frankieren von Postsendungen üblicherweise computergesteuert sind, ist somit auch eine Zulassung und Eichung von Softwarekomponenten erforderlich.

[0009] War die Zulassungsprüfung erfolgreich, erhält der Antragsteller von der zuständigen Behörde einen Zulassungsschein und ein Zulassungszeichen, das auf allen Messgeräten an sichtbarer Stelle aufgebracht werden muss. Hat die Geräte-Bauart eine Zulassung erhalten, so muss anschließend jedes einzelne Gerät von der zuständigen Eichbehörde geeicht werden, bevor es beispielsweise im geschäftlichen Verkehr eingesetzt werden darf.

[0010] Insbesondere im Bereich der Prüfung und Eichung von Software liegen ferner Empfehlungen der WELMEC (Western European Legal Metrology Cooperation) vor, bei der es sich um eine europäische Zusammenarbeit im gesetzlichen Messwesen handelt. Als gesetzliches Messwesen wird die Gesamtheit der technischen und administrativen Verfahren bezeichnet, die von den öffentlichen Behörden rechtlich verbindlich festgelegt wurden, um die Qualität der im Rahmen gewerblicher Geschäfte und amtlicher Kontrollen bzw. in den Bereichen Gesundheitsfürsorge, Sicherheit usw. vorgenommenen Messungen zu garantieren. Dabei werden Empfehlungen für die Ausführung von eichpflichtiger Software und die Verarbeitung eichpflichtiger Messwerte und Parameter angegeben.

[0011] Soll eine Einlieferungsstation zur Einlieferung und Frankierung von Postsendungen geeicht werden, besteht die Möglichkeit, alle Komponenten der Anlage und die Software in ihrer Gesamtheit prüfen und eichen zu lassen. Dies hat jedoch den Nachteil, dass Änderungen an der Vorrichtung und/oder der Software mit einer erneuten Prüfung durch eine Zulassungsbehörde verbunden sind. Eine Veränderung des der Software zugrunde liegenden Betriebssystems oder sonstiger nicht eichrelevanter Parameter kann daher in diesem Fall nicht von einem Administrator durchgeführt werden. Da eine Einlieferungsstation Komponenten im Hardware- und Softwarebereich umfassen kann, die nicht eichpflichtig sind, besteht jedoch die Möglichkeit, eichpflichtige von nicht-eichpflichtigen Komponenten zu trennen. Dadurch können die nicht-eichpflichtigen Komponenten frei verändert werden, ohne dass eine erneute Zulassung oder Eichung der gesamten Anordnung erforderlich ist. Das deutsche Gebrauchsmuster DE 296 13 903 U1 offenbart dazu beispielsweise eine Anordnung zur Qualitätssicherung komplexer elektronischer Messeinrichtungen, die sowohl eichpflichtige als auch nicht-eichpflichtige Komponenten aufweisen.

[0012] Ferner sind aus der deutschen Offenlegungsschrift DE 195 27 293 A1 ein Verfahren und eine Vorrichtung zur sicheren Messung und Verarbeitung von Messdaten im Bereich der Abgasuntersuchung bekannt. Damit ein Computer, der an ein Messmodul angeschlossen ist, nicht zusammen mit dem Messmodul geeicht werden muss, was zu einer Einschränkung des zunächst offenen PC-Systems führen würde, schlägt die Druckschrift vor, dass Messwerte über eine geeignete Schnittstelle zu einem PC übertragen werden. Der PC muss dabei nicht geeicht werden, sondern kann auch für andere Anwendungen zur freien Verfügung stehen.

[0013] Es ist wünschenswert, eine Einlieferungsstation für Postsendungen bereitzustellen, die flexibel eingesetzt werden kann.

[0014] Erfindungsgemäß wird diese Aufgabe durch eine Einlieferungsstation mit den Merkmalen des unabhängigen Anspruches 1 gelöst. Vorteilhafte Weiterbildungen der Einlieferungsstation ergeben sich aus den Unteransprüchen 2 bis 9. Die Aufgabe wird ferner durch ein Verfahren nach Anspruch 10 gelöst. Vorteilhafte Ausführungsformen des Verfahrens ergeben sich aus den Unteransprüchen 11 bis 13.

[0015] Die Erfindung beinhaltet eine Einlieferungsstation zum Frankieren von Postsendungen, die wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung, wenigstens ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung, eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung und eine Frankiereinheit zur Aufbringung eines Frankiervermerks auf die Postsendung umfasst, wobei die Recheneinheit Zugriff auf Messtoleranzen der Waage und des Dimensionsmessgerätes hat.

[0016] Erfindungsgemäß wird diese Einlieferungsstation so ausgestaltet, dass sie ein Messmodul mit einem Mittel zum Empfangen von Messwerten von der Waage und/oder dem Dimensionsmessgerät aufweist und dass das Messmodul und/oder eine Komponente des Messmoduls mit einer TPM-Einheit verbindbar ist.

[0017] Die Erfindung beinhaltet eine TPM-Einheit zum Kalibrieren und/oder Eichen von Software.

[0018] Bei der TPM-Einheit handelt es sich beispielsweise um ein Modul, das sicherstellt, dass nur zugelassene Software/Hardware versendet werden kann.

[0019] In einer besonders bevorzugten Ausführungsform der Erfindung handelt es sich bei der TPM-Einheit um derartiges Modul, das in der vorliegenden Anmeldung auch als TPM (Trusted Platform Module) bezeichnet wird.

[0020] Das Merkmal "Trusted" beinhaltet mehrere Bedeutungen und umfasst insbesondere einen englischen Begriff, der besagt, dass sichergestellt und/oder vorausgesetzt wird, dass ein entsprechend ausgestattetes Modul sich entsprechend vorgebbarer Merkmale verhält.

[0021] Beispielsweise bedeutet dies bei einer Waage, dass sichergestellt wird, auf welche Weise Messwerte ermittelt werden und dass auch eine sichere, nicht abänderbare Übermittlung der Messwerte sicher gestellt wird.

[0022] Eine entsprechende Sicherheit wird auch bei den anderen mit einer TPM-Einheit ausgestatteten Bestandteilen der Einlieferungsstation, insbesondere einzelner, mehrerer oder sämtlicher für eine Frankierung relevanten Modulen bzw. Komponenten, beispielsweise einer Größenmesseinrichtung gewährleistet.

[0023] Die Waage und/oder die Größenmesseinrichtung sind besonders bevorzugte Module, bei denen ein Kalibrieren und/oder Eichen mittels einer TPM-Einheit erfolgt.

[0024] Durch die TPM-Einheit wird sichergestellt, dass nur genehmigte, vorzugsweise geeichte Software in dem System verwendet wird.

[0025] Durch eine hierzu berechtigte Instanz erfolgt eine Eichung der Software. Das Ergebnis der Eichung wird protokolliert und dokumentiert. Die Ergebnisse der Protokollierung werden in einem elektronischen Speicher vermerkt und sind somit jederzeit abrufbar.

[0026] Die Eichung der Software ist Grundlage für eine Genehmigung für den Einsatz der Software.

[0027] Genehmigte Software kann für einen Einsatz in dem erfindungsgemäßen System zugelassen werden.

[0028] Durch eine Überprüfungseinheit wird sichergestellt, dass nur die zugelassene, das heißt genehmigte und/oder geeichte Software in dem Einlieferungssystem eingesetzt wird.

[0029] Ferner existieren Überprüfungseinheiten der Echtheit von in den Modulen eingesetzten TPM-Einheiten.

[0030] Mit der TPM-Einheit kann sichergestellt werden, dass nur die genehmigte ("geeichte") Software in einem System verwendet wird.

[0031] Die TPM-Einheit könnte dabei verhindern, dass nicht-geeichte Software verwendet werden kann.

[0032] Zweckmäßigerweise erfolgt eine möglichst regelmäßige Prüfung des Systems. Hierbei wird insbesondere die Funktionsfähigkeit der Überprüfungskomponenten geprüft. Hiermit wird sichergestellt, dass Überprüfungskomponenten eingesetzt werden, die ausschließlich einen Einsatz von zuvor genehmigter und/oder geeichter Software sicherstellen.

[0033] Zum Ändern von Einstellungen der TPM-Einheit, z. B. um neue Software freizugeben, kann ein autorisierter Nutzer auf die TPM-Einheit zugreifen.

[0034] Weiterbildungen der Erfindung zeichnen sich dadurch aus, dass eine Schnittstelle für ein Zusammenwirken zwischen geeichter und ungeeichter Software vorgesehen ist.

[0035] Die Schnittstelle ist so beschaffen, dass Veränderungen der geeichten Software durch geeignete Zugriffsrechte/Managementsysteme nur durch besonders autorisierte Benutzer erfolgen kann.

[0036] Änderungen der mit der geeichten Software zusammenwirkenden ungeeichten Software sind hiervon unabhängig vornehmbar.

[0037] Dies hat den Vorteil, dass Updates, beispielsweise Service-Updates zur Integration neuer Funktionen der Einlieferungsstation, vorzugsweise für das Erstellen von Benachrichtigungen oder die Dokumentation von Einschreiben variabel geändert werden können, während eine Integrität und Authentizität der gesicherten geeichten Software weiterhin sichergestellt wird.

[0038] In einer Weiterbildung der Erfindung werden bestimmte Funktionen der geeichten TPM-Module, insbesondere von TPM-Software -Modulen und andere Funktionen von "freier" (gleich ungeeichter) Software durchgeführt.

[0039] Die freie Software ist beliebig änderbar, so dass beispielsweise Masken für nichteichrelevante Aufgaben ohne neue Eichung des Gesamtsystems angepasst werden können.

[0040] Eichrelevante Funktionen des Systems, insbesondere Funktionen, die eine Überprüfung von für eine Entgeltabrechnung relevanten Parameter wie Sendungsgröße und/oder Sendungsgewicht beinhalten, werden von geeichten Software-Modulen durchgeführt.

[0041] Die Einlieferungsstation enthält wenigstens eine Überprüfungseinheit zur Überprüfung der Echtheit der geeichten Software-Module. Zweckmäßigerweise wird von dieser Überprüfungsseinheit überprüft, ob das Software-Modul mit einer elektronischen Bestätigung eines Eichvermerks (elektronischer Eichvermerk) versehen ist.

[0042] Gemäß einer Weiterbildung der Erfindung werden die geeichten Software-Module in ein Framework eingebettet. Das Framework enthält vorgebbare Anforderungen für einen Einsatz von Software-Modulen einschließlich Informationen über Funktionen, die ausschließlich von den geeichten Software-Modulen vorgenommen werden dürfen, beispielsweise alle Prozesse, welche eine Entgeltabrechnung der Postsendungen ermöglichen beziehungsweise zumindest unterstützen.

[0043] Es ist besonders vorteilhaft, das Messmodul und/oder einzelne, mehrere oder sämtliche seiner Komponenten so auszugestalten, dass sie eine Signatur erzeugen können.

[0044] In einer bevorzugten Ausführungsform der Erfindung handelt es sich bei der TPM-Einheit um eine miniaturisierte elektronische Schaltung - nachfolgend vereinfachend als "Chip" bezeichnet.

[0045] Insbesondere ist es vorteilhaft, die TPM-Einheit in ein System - insbesondere das Einlieferungssystem - einzubinden, wobei eine feste Einbindung hierbei im Kontext der Erfindung auch als Framework bezeichnet wird.

[0046] Gemäß einer Weiterbildung der Erfindung ist der Chip passiv, das heißt, er ist so gestaltet, dass er weder den Bootvorgang noch den Betrieb des Systems beeinflussen kann.

[0047] Dies hat den Vorteil, dass ein erhöhter Schutz vor Manipulationen gewährleistet wird.

[0048] Es ist jedoch alternativ gleichfalls möglich, dass der Chip aktiv ist und den Bootvorgang und/oder den Betrieb des Systems direkt beeinflussen kann.

[0049] Eine bevorzugte Weiterbildung der Erfindung sieht vor, dass die TPM-Einheit eine eindeutige Kennung enthält und ihre Identifizierung ermöglicht.

[0050] Zusätzlich ist es möglich, dass ein System, das eine Komponente oder ein Modul, das die TMP-Einheit enthält, durch die eindeutige Kennung der TPM-Einheit identifiziert wird.

[0051] Durch die TPM-Einheit können mehrfache Funktionen realisiert werden.

[0052] Insbesondere ist es möglich, eine Versiegelung (sealing) vorzunehmen.

[0053] Eine derartige Versiegelung stellt eine zweckmäßige Weiterentwicklung der Erfindung dar. Es ist besonders vorteilhaft, dass die TPM-Einheit die Versiegelung unter Einsatz eines Hash-Wertes durchführt.

[0054] Durch das Bilden des Hash-Wertes aus der System-Konfiguration (Hard- und Software) können Daten an eine eindeutig identifizierbare TPM-Einheit verknüpft werden. Hierbei erfolgt eine Verschlüsselung mittels des Hash-Wertes.

[0055] Bei einer Weiterbildung der Erfindung erfolgt die Verschlüsselung so, dass eine Entschlüsselung nur dann gelingt, wenn der gleiche Hash-Wert wieder ermittelt wird. Eine Sicherheitsüberprüfung erfolgt dadurch, dass die Hash-Werte verglichen werden. Nur diejenigen Hash-Werte, die vollständig übereinstimmen, zeigen an, dass das System (insbesondere das Einlieferungssystem) unverändert blieb.

[0056] Eine Weiterbildung der Erfindung beinhaltet auch einen Schutz eines oder mehrerer kryptographischer Schlüssel.

[0057] Kryptographische Schlüssel werden vorzugsweise innerhalb der TPM-Einheit erzeugt, benutzt und sicher abgelegt. Dies erhöht den Schutz gegen externe Attacken, und zwar sowohl gegen softwarebezogene Angriffe als auch gegen hardwarebezogene Angriffe.

[0058] Zur weiteren Erhöhung des Schutzes vor hardwarebezogenen Angriffen ist es zweckmäßig, die TPM-Einheiten so herzustellen, dass die in ihnen enthaltenen Daten bei einer äußeren Einwirkung - insbesondere einer mechanischen Einwirkung - gelöscht werden.

[0059] Es ist besonders vorteilhaft, unter Einbeziehung der Einlieferungsstation erzeugte Frankiervermerke zu beglaubigen.

[0060] Die Integration einer Beglaubigungsfunktion in die TPM-Einheit beziehungsweise in mehrere der TPM-Einheiten ermöglicht einen zuverlässigen Nachweis der Echtheit von entgeltrelevanten Messwerten und/oder Frankiervermerken, die im Bereich der Einlieferungsstation erzeugt wurden.

[0061] Ferner ist es möglich, die Funktionsfähigkeit und/oder Echtheit der Einlieferungsstation beziehungsweise der in ihr enthaltenen Komponenten durch die vorgenommene Beglaubigung nachzuweisen.

[0062] Eine Weiterentwicklung der Erfindung beinhaltet, dass der kryptographische Schlüssel ein privater Schlüssel eines asymetrischen Verschlüsselungssystems ist und dass die Signatur mit diesem privaten Schlüssel erzeugt wird, wobei der private Schlüssel selbst durch die TPM-Einheit erzeugbar ist.

[0063] Insbesondere ist es vorteilhaft, dass der private Schlüssel in der TPM-Einheit, insbesondere in einem TPM-Chip integriert ist.

[0064] Hierbei ist es ferner vorteilhaft, dass die TPM-Einheit, insbesondere der TPM-Chip, fest in die Recheneinheit eingebaut ist.

[0065] Eine Weiterentwicklung der Erfindung beinhaltet, dass ein Zugriff auf den privaten Schlüssel in die TPM-Einheit durch ein Passwort geschützt ist.

[0066] Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus den Unteransprüchen und der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele anhand der Abbildungen.

Von den Abbildungen zeigt:

[0067] 

Fig. 1

eine Architekturübersicht eines erfindungsgemäßen Systems;

Fig. 2

Verfahrensschritte für eine Erstinitialisierung eines erfingungsgemäßen Systems;

Fig. 3

bevorzugte Verfahrensschritte zur Anforderung und/oder Übernahme von Sicherheitsdaten;

Fig. 4

eine Prüfung einer Gültigkeit von Sicherheitsinformationen

Fig. 5

Verfahrensschritte zur Erzeugung eines auf eine Postsendung aufbringbaren Matrixcodes;

Fig. 6

Verfahrensschritte zu einer Überprüfung von Authentifizierungsdaten

Fig. 7

Verfahrensschritte zum Schließen eines Crypto-Stores;

Fig. 8

eine erfindungsgemäße Schlüsselhierarchie;

Fig. 9

eine Prinzipdarstellung eines erfindungsgemäßen TCG Software-Stacks;

Fig. 10

ein bevorzugter Aufbau einer erfindungsgemäßen TPM-Einheit und

Fig. 11

ein Ausführungsbeispiel einer erfindungsgemäßen Einlieferungsstation.

[0068] Die Erfindung beinhaltet eine Einlieferungsstation zum Frankieren von Postsendungen, die wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung und wenigstens ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung aufweist. Ferner ist eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung und eine Frankiereinheit zur Aufbringung eines Frankiervermerks auf die Postsendung vorgesehen. Die Recheneinheit hat dabei Zugriff auf Messtoleranzen der Waage und des Dimensionsmessgerätes.

[0069] Erfindungsgemäß wird ein System zur Einlieferung und/oder sonstigen Bearbeitung von Postsendungen bereitgestellt, das an verschiedene Anforderungen angepasst werden kann.

[0070] Es ist möglich, erfindungsgemäße Einlieferungsstationen auf vielfältige Weise auszuführen.

[0071] Insbesondere handelt es sich bei der Einlieferungsstation um einen Selbstbedienungsautomaten, an dem Kunden Postsendungen wie Brief- oder Paketsendungen anliefern können.

[0072] Vorzugsweise ist der Selbstbedienungsautomat so ausgestaltbar, dass eine Einbeziehung sowohl von registrierten Kunden als auch von nicht registrierten Kunden möglich ist.

[0073] Bei einer Ausgestaltung der Einlieferungsstation für eine Bearbeitung von Postsendungen registrierter Kunden ist es zweckmäßig, dass die Kunden sich auf geeignete Weise - beispielsweise über eine Kundenkarte - identifizieren, so dass die durch die Einlieferungsstation erbrachten Leistungen auf einfache Weise bei dem Kunden abgerechnet werden können.

[0074] Zu den Leistungen der Einlieferungsstation zählt beispielsweise die Frankierung von Postsendungen.

[0075] In einer besonders bevorzugten Ausführungsform der Erfindung ermittelt die Einlieferungsstation vollautomatisch entgeltrelevante Angaben von Sendungen - beispielsweise durch eine vollautomatische Ermittlung von Format und/oder Gewicht der Sendung.

[0076] In einer besonders bevorzugten Ausführungsform der Erfindung druckt die Einlieferungsstation beziehungsweise ein Bestandteil der Einlieferungsstation einen Frankiervermerk und/oder weitere sendungsrelevante Angaben auf die Sendung (Post- oder Paketsendung) auf.

[0077] Bei einer Integration geeigneter Abrechnungsverfahren ist es möglich, eine Nutzung der Einlieferungsstation durch nicht-registrierte Kunden zu ermöglichen.

[0078] Je nach Ausführungsform der Einlieferungsstation ist es möglich, zusätzlich zu den Brief- oder Paketsendungen auch Warensendungen zu bearbeiten und Zusatzfunktionen, beispielsweise Postzustellungsaufträge, Einschreiben, Nachnahmesendung, Anschriftenüberprüfungen oder Benachrichtigungsfunktionen ... durchzuführen/abzurechnen.

[0079] Bei der nachfolgenden Darstellung bevorzugter Ausführungsformen der Erfindung werden die nachfolgend genannten Abkürzungen und Definitionen eingesetzt:

Abkürzungen und Definitionen

Abkürzung	Beschreibung
CSP	Cryptography Service Provider
CryptoString	Kryptographische Bytefolge aus dem Postage-Point zur Einbringung in den Matrixcode eines jeden Labeldrucks
EPOS	Elektronischer Postschalter Schaltersystem der Postfilialen ("Kasse der Deutschen Post")
gB	Geschützter Bereich auf einem EPOS-Frontend Gerät, der von der Cryptostore.dll verwaltet wird (auch Cryptostore oder Cryptostore-Datei genannt)
msecret	Bei der Schlüsselinformation handelt es sich um den vom Postage-Point stammenden Zahlenwert msecret mit einer Länge von 16 Byte, der dem geschützten Bereich in nochmals verschlüsselter Form als (msecret)meter zur Verfügung gestellt wird
Pmeter	Öffentlicher Schlüssel Einer der beiden Schlüssel eines Schlüsselpaares. Mit dem öffentlichen Schlüssel werden Informationen verschlüsselt und Unterschriften verifiziert. Mit Hilfe des öffentlichen Schlüssels einer Person kann niemand an den entsprechenden privaten Schlüssel gelangen.
PKCS	Public-Key Cryptography Standard PKCS sind eine Reihe von Spezifikationen, die von der Firma RSA Data PKCS Security herausgegeben werden. Diese Papiere beschäftigen sich mit Themen der Anwendung von asymmetrischen Verschlüsselungsverfahren wie RSA. Solche Anwendungen sind z.B. die Erzeugung und Verwendung von digitalen Signaturen und den zugehörigen Zertifikaten.
Postage-ID	16 Byte verschlüsselte Identifikation mit folgendem Inhalt:
	Hersteller Modell Gerätenummer Lfd. Nr. Postage-ID Key-Phase Währung Portobonitätslimit Gültigkeitsdatum Reserve
PP	Postage-Point
	Der Postage Point stellt das zentrale Back-Office-System für die Frankierung dar und fungiert als Schnittstelle zu den betroffenen Frontend-Systemen der Deutschen Post. Es werden Sicherheitsinformationen generiert und zur Verfügung gestellt. Über das Interface PostagePoint können sich registrierte Clients / Benutzer beim Postage Point anmelden (Iogin) und die für sie freigegebenen Dienste (Services) in Anspruch nehmen.
Smeter	Privater Schlüssel
	Der geheime Teil eines Schlüsselpaares, mit dem Informationen unterschrieben und entschlüsselt werden. Der private Schlüssel eines Benutzers sollte geheim gehalten werden und nur diesem bekannt sein.
RSA-Schlüssel	Abkürzung von RSA Data Security
	Steht für die Firmenchefs Ron Rivest, Adi Shamir und Len Adleman und bezieht sich auf den von ihnen erfundenen Algorithmus. Der RSA-Algorithmus wird in der Kryptographie mit öffentlichen Schlüsseln verwendet. Seine Funktionsweise beruht auf der Tatsache, dass zwei große Primzahlen zwar leicht miteinander zu multiplizieren sind, aber das Produkt nur schwer wieder in sie zu zerlegen ist.
TCG	Trusted Computing Group
TMS	Transaktions-Management-System
	IT-System in das alle Transaktionen, die an den Frontends erzeugt werden, hineinlaufen und verarbeitet werden, um anschließend an Umsysteme weitergegeben zu werden
TPM	Trusted Platform Module
TSS	TCG Software Stack
VGA	Vorgangsart
XML	eXtensible Markup Language

[0080] Der Begriff TCG beinhaltet Implementierungen entsprechend der Trusted Computing Group, ebenso wie Systemkomponenten oder Trusted Computing Platforms, welche entsprechend den Standards der Trusted Computing Group gestaltet sind.

[0081] Eine Weiterbildung der Erfindung beinhaltet einen Einsatz eines Cryptostores.

[0082] Vorzugsweise ist der Cryptostore so ausgebildet, dass er wenigstens ein TPM-Element enthält und/oder an das TPM-Element angepasst werden kann.

[0083] Der (TPM-)angepasste Cryptostore ist die Umsetzung des so genannten "geschützten Bereiches" (gB). Der geschützte Bereich ist das Kernstück der kryptographischen Filialfreimachung mit EPOS (VGA 1114 und VGA1158). Zur Gewährleistung hoher Fälschungssicherheit werden die Freimachungslabel mit maschinenlesbaren Matrixcodes versehen. Diese Matrixcodes enthalten kryptographische Elemente, die ausschließlich über den geschützten Bereich realisiert werden. Diese kryptographischen Elemente werden von dem geschützten Bereich vor dem Ausdruck des Freimachungslabels unter Verwendung hinterlegter Sicherheitsinformationen individuell errechnet und in den Matrixcode eingebracht. Die Bereitstellung der Sicherheitsinformationen erfolgt durch den PostagePoint (PP). TMS wird als Transportschicht genutzt.

[0084] Fig. 1 beinhaltet eine Übersicht, auf der die beteiligten Systeme für die Anforderung und Übernahme der Sicherheitsinformationen gezeigt werden.

[0085] Hierbei werden Sicherheitsanforderungen des für die Erzeugung des digitalen Freimachungsvermerkes bei EPOS (Matrix-Code) erfüllt.

[0086] Der angepasste Cryptostore ist weiterhin als Carbon Basisdienst verwendbar. Die Schnittstellen zu EPOS FE V31.x und Carbon V 4.x sowie die Schnittstelle vom Cryptostore zum PostagePoint (über TPM) bleiben unverändert.

[0087] Die Anpassung des Cryptostore erfolgt derart, dass auch ein Betrieb ohne TPM Unterstützung auf EPOS FE Clients mit Windows NT möglich ist. Der TPMangepasste Cryptostore verhält sich auf Windows NT EPOS FE Clients wie die Vor-Version vom Cryptostore ohne TPM Anpassung.

[0088] In einer besonders bevorzugten Ausführungsform der Erfindung wird mindestens eine Einlieferungsstation mit dem Trusted Platform Module (TPM)ausgestattet, der mittels kryptographischer Verfahren die Integrität sowohl der Software-Datenstrukturen als auch der Hardware messen kann und diese Werte nachprüfbar abspeichert. Das Betriebssystem des Computers, aber auch geeignete Anwendungsprogramme können dann diese Messwerte überprüfen und damit entscheiden, ob die Hard- oder Software-Konfiguration gegebenenfalls verändert wurde und darauf entsprechend reagieren. Dies kann von einer Warnung an den Benutzer bis zum Programmabbruch führen.

[0089] Insbesondere ist es zweckmäßig, die Einlieferungsstation mit einem Betriebssystem auszustatten, das die in dem vorangegangen Absatz dargstellten Integritätsprüfungen veranlasst und gegebenenfalls auch auswertet.

[0090] Eine derartige Ausführungsform ist auch mit einer lediglich passiv wirkenden TPM-Einheit durchführbar.

[0091] Es ist besonders zweckmäßig, die Einlieferunsstation so auszustatten, dass sie eine an die TPM-Einheit, beziehungsweise die TPM-Einheiten angepasste Systemstruktur aufweist.

[0092] Insbesondere wird hierbei eine Sicherheitsplattform bereitgestellt, bei der die sicherheitsrelevanten Prozesse bereits auf der untersten Ebene der Plattform erfolgen.

[0093] Es ist besonders zweckmäßig, durch die TPM-Einheit oder mehrere der TPM-Einheiten eine geschlossene Sicherheitskette zu realisieren.

[0094] Die TPM-Einheit wirkt hierbei als Hardware-Sicherheits-Referenz und stellt die Wurzel ("Root of Trust") der gesamten Sicherheitskette dar.

[0095] Vorteilhafterweise wird zu einem möglichst frühen Zeitpunkt überprüft, ob sich die Signatur und damit die Konfiguration der Einlieferungsstation verändert hat. Somit ist es möglich, durch eine Prüfung der Signatur sicherzustellen, dass keine Änderungen der Einliefungsstation, zumindest keine Änderung von geeichten Prozessen an relevanten Bestandteilen der Einliefungsstation erfolgten.

[0096] Änderungen von Betriebsparametern der Einlieferungsstation führen zu einer Veränderung der Signatur und können daher durch Prüfung der Signatur ermittelt werden.

[0097] Auf entsprechende Weise wird überprüft, ob eine der Komponenten entfernt und/oder ersetzt wurde.

[0098] Ähnliche Überprüfungsmechanismen mit Hilfe der TPM-Einheit verifizieren dann nacheinander die Korrektheit (Unverändertheit gleich Integrität) einzelner oder mehrerer Komponenten, beispielsweise des BIOS, des Bootblocks und des Bootens selbst, sowie die jeweils nächst höheren Schichten beim Starten des Betriebssystems. Während des ganzen Startvorgangs, aber auch später, ist damit der Sicherheits- und Vertrauenszustand des Systems über den TPM abfragbar.
Damit kann aber auch eine kompromittierte Plattform sicher von anderen identifiziert werden und der Datenaustausch auf das angemessene Maß eingeschränkt werden. Trusted-Computing-Systeme können die Voraussetzung schaffen, dass eine wesentliche Weiterentwicklung moderner, vernetzter Plattform-Strukturen auch unter dem Gesichtspunkt der Sicherheit und des gegenseitigen Vertrauens erst möglich wird.

[0099] Kernstück einer erfindungsgemäßen Trusted Computing Base ist die TPM-Einheit. Diese TPM-Einheit ist beispielsweise eine zusätzliche Hardware-Komponente, die einzelne oder mehrere kryptographische Funktionen bereitstellt, die für die Labelfreimachung mit EPOS genutzt werden sollen.

[0100] Im Gegensatz zum "ursprünglichen" Cryptostore werden die Sicherheitsdaten hardwareseitig vom TPM gespeichert und kryptographische Berechnungen ausschließlich von ihm durchgeführt. Damit ist sichergestellt, dass die Sicherheitsinformationen nicht von Unberechtigten ausgelesen und verändert werden können und dass kontrollierbare Algorithmen den Berechnungen zugrunde liegen

[0101] Alle Verschlüsselungen, Entschlüsselungen und andere sicherheitsrelevanten Prozesse sowie die Registerverwaltung werden gegen unberechtigte Zugriffe von der TPM -Einheit geschützt. Ohne TPM bzw. mit dem TPM eines anderen Rechners ist kein Zugriff auf die Daten möglich.

[0102] Die in Fig. 1 dargestellte Architekturübersicht zeigt eine Integration eines Cryptostores mit wenigstens einer TPM-Einheit in ein Bearbeitungssystem.

Beschreibung Cryptostore

[0103] Der Cryptostore dient zur Ablage von sicherheitsrelevanten Daten für die digitale Freimachung. Der Cryptostore ist als dII-Bibliothek als Carbon-Basisdienst ausgeführt (angebotene Schnittstelle, bleibt unverändert). Der Cryptostore nutzt Schnittstellen vom TPM (neue Schnittstelle) und EPOS/TMS zum PostagePoint (Nutzung der Schnittstellen bleibt unverändert). Folgende Funktionalitäten werden realisiert:

• Verwaltung des geschützten Bereiches
• Generierung RSA-Schlüsselpaar
• Erzeugung der signierten Lizenz
• Verschlüsselte Speicherung von Daten
• Update der Ladungsdaten
• Erzeugen des Hashcodes für den Matrixcode
• Behandlung des Bytestrings (Öffnen der Cryptostore-Datei)

[0104] Zweckmäßigerweise werden geeignete Schnittstellen für einen Einsatz des erfindungsgemäßen Systems bereitgestellt.

[0105] Nachfolgend werden zunächst Komponenten einer Schnittstelle zwischen dem Cryptostore zu EPOS/Carbon bereitgestellt. Hierbei können bekannte Schnittstellen (Signatur und Dateninhalte) eingesetzt werden.

[0106] Zweckmäßigerweise ist der Cryptostore an den Einsatz der TPM-Einheiten angepasst.

[0107] Insbesondere ist es zweckmäßig, hierbei die folgenden Funktionen einzusetzen:

[0108] Zweckmäßige Verfahrensschritte für eine Erstinitialisierung sind in Fig. 2 dargstellt.

[0109] In nachfolgenden Verfahrensschritten erfolgt eine Anforderung und/oder Übernahme von Sicherheitsdaten.

[0110] Bevorzugte Verfahrensschritte für eine Anforderung und Übernahme der Sicherheitsdaten sind in Fig. 3 dargestellt.

[0111] Die Begriffe "Sicherheitsdaten" und "Sicherheitsinformationen" sind jeweils in ihrer weitest möglichen Bedeutung gemeint. Für das Fachgebiet der Erfindung ist es klar, dass die Ausführungen zu den Sicherheitsdaten sich auch auf die Sicherheitsinformationen beziehen und das umgekehrt die Ausführungen zu den Sicherheitsinformationen auch auf die Sicherheitsdaten beziehen.

[0112] Unter Einbeziehung der Sicherheitsdaten/Sicherheitsinformationen ist es möglich, einen Frankiervermerk, beispielsweise als Matrixcode bereitzustellen.

[0113] Bevorzugte Verfahrensschritte für die Erzeugung des als Frankiervermerk einsetzbaren Matrixcodes sind in Fig. 5 dargestellt.

[0114] Im Bedarfsfall und/oder innerhalb vorgebbarer Prüfungszeiträume erfolgt die - beispielhaft in Fig. 6 dargestellte - Prüfung der Authentifizierungsdaten.

[0115] In dieser Anmeldung wird eine besonders bevorzugte Ausführungsform eines erfindungsgemäßen Cryptostores nachfolgend als EPOS FE-Cryptostore bezeichnet.

[0116] Verfahrensschritte zur Prüfung von Authentifizierungsdaten im EPOS FE-Cryptostore sind in Fig. 6 dargestellt.

[0117] Fig. 7 zeigt Verfahrensschritte zum Schließen des Cryptostores.

[0118] Aufrufe CryptoStore -> Cryptography Service Provider (CSP) / MSCAPI

Tabelle 3: Anforderung/Übernahme der Sicherheitsdaten

Anforderung/Übernahme der Sicherheitsdaten
Nr	Aufruf EPOS->CS	Aufrufe Im CS	Aufruf CS->.NET Cryptograpy / MSCAPI
1	int IsNewLoadDataReq uestRecommended( )	_intemalStore.IsNewLoadData RequestRecommended() ->.. ... ->	byte[] Store.ReadData(string id){
		GetDaysBeforeEndOfValidity() -> _store.ReadData(	// CCurrently only Rijndael128-CBC is supported
		DAYS_BEFORE_END_OF_VA LIDITY)	plaintext= decryptAES128CBCwithSalt(_lo calKey,salt,_localIV,data);
2	GetSignedLicenseA sBase64EncodedX eAsXML() ML()	_internalStore.GetSignedLicens -> GetPendingLicense() ..-> GetLicense(PENDING_LICENS E) -> store.ReadData(PENDING_LIC ENSE) -> GetActiveLicense() ..-> GetLicense(ACTIVE_LICENSE) -> store.ReadData(ACTIVE LICENSE) -> new SignedLicenseMessage()	Siehe 4.5.2 Nr. 1 (store.ReadData)
3	int SetLoadDataAsBase 64EncodedXML(stri ng base64String)	_internalStore.SetLoadDataAsX ML(xmIData) // jdi: get from xmIData/msg: newPostageld, encryptedMSecret,cryptoStr	Siehe 4.5.2 Nr. 1 (store.ReadData) Und
		-> new MSecret(GetActiveRSAKeyPair (), encryptedMSecret); -> GetRSAKeyPair(ACTIVE_KEY PAIR) -> _store.ReadData(ACTIVE_KEY PAIR) -> SetMSecret(mSecret) -> _store.WriteData(M_SECRET, mSecret.Bytes)	Siehe 4.5.1 Nr. 2b (store.WriteData)

Tabelle 4: Prüfung Gültigkeit der Sicherheitsinformationen

Prüfung Gültigkeit der Sicherheitsinformationen
Nr.	Aufruf EPOS->CS	Aufrufe Im CS	Aufruf CS->.NET Cryptograpy / MSCAPI
1	int GetPostageld(out byte[] postageld)	_internalStore.GetPostageldAsB ytes() -> _store.ReadData(POSTAGE_ID )	Siehe 4.5.2 Nr. 1 (store.ReadData)

Tabelle 5: Generierung Matrixcode

Generierung Matrixcode
Nr	Aufruf EPOS->CS	Aufrufe Im CS	Aufruf CS->.NET Cryptograpy / MSCAPI
1	int AddTruncatedHashV alue( ref byte[] matrixCodeBytes)	AddUpdateRegister(matrixCode. Value) AddTotalRegister(matrixCode.V alue) GetSerialNumber() IncrementMailingSequence() GetMSecret() -> _store.ReadData(M_SEC RET)	Siehe 4.5.2 Nr. 1 (store.ReadData)
2		matrixCode.ComputeTruncated HashValue(postageld, mSecret)	SHA1 sha1 = new SHA1 CryptoServiceProvider() sha1.ComputeHash(bytesToHa sh)

Tabelle 6: Prüfung Authentifizierungsdaten EPOS FE - Cryptostore

Prüfung Authentifizierungsdaten EPOS FE - Cryptostore
Nr.	Aufruf EPOS->CS	Aufrufe Im CS	Aufruf CS->.NET Cryptograpy / MSCAPI
1	int GetEPOSDeviceNu mber( out string eposDeviceNumber)	_store.ReadData(SERIAL_NU MBER)	Siehe 4.5.2 Nr. 1 (store.ReadData)
2	string GetRiposteGroupld()	_store.ReadData(SERIAL_NU MBER)	Siehe 4.5.2 Nr. 1 (store.ReadData)
3	string GetRiposteNodeld()	_store.ReadData(SERIAL_NU MBER)	Siehe 4.5.2 Nr. 1 (store.ReadData)
4	int UpdateRipostelds(st ring riposteGroupld, string riposteNodeld)	_store.WriteData(id, UTF8.GetBytes(value) CreateNewKeyPair()	Siehe 4.5.1 Nr. 2b (store.WriteData)

Tabelle 7: Schließen Cryptostores

Schließen Cryptostore
Nr	Aufruf EPOS->CS	Aufrufe Im CS	Aufruf CS->.NET Cryptograpy / MSCAPI
1	int CloseStore()	internalStore.Dispose()

[0119] Bevorzugte Verfahrensschritte zur Verwendung des TPM-Elements sind nachfolgend dargestellt.

[0120] Beim Initialisieren (Open / Create Store) des Cryptostores wird geprüft, ob der Cryptostore unter Windows NT oder Windows XP genutzt wird. Wird der Cryptostore unter Windows NT genutzt, wird kein TPM verwendet, d.h. der Cryptostore verwendet den Software Cryptography Service Provider und verhält sich wie bisher. Wird der Cryptostore unter Windows XP genutzt, wird TPM verwendet, d.h. der entsprechende TPM Hardware CSP genutzt.
Damit die bisherige Cryptostore-Implementierung TPM verwendet werden kann, wird anstatt des bisher genutzten Software Cryptography Service Provider (CSP) der zum TPM Chip mitgelieferte TPM-Hardware CSP verwendet bzw. referenziert. Aus Sicherheitsgründen wird der Providername und -type fest im Code verankert:

CSP_ProviderName = "Infineon TPM Platform Cryptographic Provider";

CSP_ProviderType = 12;

[0121] Voraussetzungen sind:

• Installation Infineon TPM Professional Package V2.0.2 und
• Initialisierung TPM Chip (Take_Ownership).
  Durch Verwendung des TPM-CSP wird den Anforderungen des Auftraggebers, die erweiterte Sicherung des Cryptostores durch Verwendung des TPM, entsprochen.

[0122] Das TPM wird für folgende Funktionen und zu sichernden Daten genutzt:

• TPM gesicherte Speicherung des Cryptostores

[0123] Durch das TPM wird mittels des TPM-Hardware Storage Root Key per RSA (2048) ein persistenter Cryptostore Storage Key als RSA-Objekt erzeugt, mit dem der Cryptostore Daten verschlüsselt, auf der Festplatte ablegt.

[0124] Hierdurch sind alle Daten, die sich im Cryptostore befinden, nur in Kombination mit der TPM-Hardware (genauer: dessen eindeutigen Storage

[0125] Root Key) verwendbar. Durch diesen Mechanismus sind insbesondere folgende Daten ohne TPM- Hardware nicht mehr verwendbar.

[0126] Daten des geschützten Bereiches (des bisherigen non-TPM Cryptostore).
Diese sind:

○ Das Schlüsselpaar S_meter / P_meter

○ Sicherheitsinformationen vom PostagePoint (m_secret, Postage-ID, CryptoString)

○ Aufsteigende Register (Gesamt und seit letzter Ladung)

○ Laufende Sendungsnummer

○ Riposte GroupID/-NodeID, FE Gerätekennung

○ Meter-ID
• Hashwertbildung

[0127] Ein Hash-Wert wird durch direkte Verwendung der TPM-CSP nach SHA-1 gebildet (Input: postalische Inhalte Matrixcode, Postage-ID, m_secret). m_secret wird dazu entschlüsselt der Methode übergeben. Im Matrixcode werden die ersten vier Bytes des Hash-Wertes verwendet.

[0128] Eine bevorzugte Schlüsselhierarchie ist in Fig. 8 dargestellt. Durch das TPM-Element verschlüsselte und/oder gesicherte Daten werden auf einem geeigneten Speichermedium, beispielsweise einer Festplatte permanent und persistent gespeichert.

[0129] Die Anwendung EPOS implementiert die Funktionalität zum Ansprechen des TPM über die Service Provider Schnittstelle (siehe Architektur-Abbildung, TCG). Der TCG Software Stack (TSS) ist Teil einer TCG konformen Plattform und stellt Funktionen zur Verfügung, die von erweiterten Betriebssystemen und Applikationen verwendet werden können. Der TCG Service Provider wird durch den Basisdienst ,CryptoStore' aus EPOS heraus angesteuert.

[0130] Der Basisdienst wird auf der Grundlage von Carbon 4.0 und .Net 2.0 implementiert. Die Anlage 8.1 zeigt die vollständige Softwarearchitektur des TPM.
Für die konkrete Entscheidung, welche Implementierung / Bibliothek für die Anbindung des TPM zu verwenden ist, ist in Hinblick auf die Lizenzierung zu prüfen, welche Tools/Implementierung der TPM-Test-Hardware schon beiliegen, und ob die in Frage kommenden TPM Bibliotheken die Funktionen zur Verfügung stellen, die für die o. g. Umsetzung der angepassten Cryptostore benötigt werden.

Fehlerbehandlung / Logging

[0131] Der CryptoStore schreibt Infonachrichten in ein InfoLog (TracingLevel.InfoLog) als Information (LoggingEntryType.Information) unter dem Switch EPOS.CryptoStore. Ein erfolgreiches Anlegen des Cryptostores unter TPM wird folgendermaßen geloggt:
Tracelnfo("Neuer Sicherer Bereich wurde mittels TPM erzeugt für Gerät \"" + eposDeviceNumber + "\" mit Riposte Group ID \""+ riposteGroupld + "\" und " + " Node ID \"" + riposteNodeld + "\".");

[0132] Das erfolgreiche Öffnen mittels TPM:
Tracelnfo("Sicherer Bereich wurde mittels TPM geöffnet von Datei " + _filePath1 + ".");

[0133] Die sich im Fehlerfall ergebenden Ausnahmen werden in das InfoExceptionLog (TracingLevel.InfoExceptionLog) als Error (LoggingEntryType.Error) unter dem Switch EPOS.CryptoStore geschrieben. Zusätzlich gibt die jeweilige Methode einen negativen Retumcode zurück. Bei TPM Fehlersituationen wird der Code -6 (Fehler bei den Argumenten) an EPOS zurückgegeben.
Hinweis: Für Aktivitäten am TPM gibt es keinen direkten Logging-Mechanismus. Einzig auf Transport Ebene gibt es einen optionalen Logging-Mechanismus für den allerdings geprüft werden muss, ob die vorliegende Kombination aus Hardware/ TPM-Treiber diesen unterstützt. Für das Projekt DigiMarke_TPM ist eine Verwendung nicht vorgesehen.

Schutz Cryptostore.dII

[0134] .NET-Lösungen lassen sich nicht nur disassemblieren, sondern auch dekompilieren. Ohne besondere Schutzmaßnahmen wird quasi der Sourcecode mitgeliefert. Microsoft liefert mit dem Visual Studio .NET ein Werkzeug zum "Verschleiern" einer DLL, die Dotfuscator Community Edition. Aufgrund seiner Funktionsbeschränktheit ist seitens des Auftraggebers zu prüfen, ob ein anderes, leistungsfähigeres, Tool genutzt werden soll.
Bis zur Entscheidung wird die Dotfuscator Community Edition genutzt.

[0135] Eine für einen Einsatz der Erfindung geeignete Entwicklungsumgebung enthält beispielsweise einzelne, mehrere oder sämtliche der folgenden Komponenten:

[0136] Software

■ VSS für Versionsverwaltung

■ Visual Studio .NET 2005

■ Carbon 4.0

■ Cryptostore.dII mit entsprechendem Testrahmen

■ TPM-Bibliotheken / Suites: Infineon TPM Professional Package 2.0 Hardware

■ Neues Filial Frontend-Gerät von Wincor Nixdorf

[0137] Eine Prinzipdarstellung eines bevorzugten erfindungsgemäßen Software-Stacks entsprechend der TCG-Spezifikation ist in Fig. 9 dargestellt.

[0138] Eine Prinzipdarstellung eines inneren Aufbaus einer TCG-Einheit ist in Fig. 10 dargestellt.

[0139] Die TPM-Einheit weist vorzugsweise eine funktionale Einheit, einen nicht flüchtigen Speicher und einen flüchtigen Speicher auf.

[0140] Die funktionale Einheit enthält vorzugsweise Komponenten, welche mit anderen Bestandteilen des Systems wechselwirken können, beispielsweise einen

[0141] Zufallszahlgenerator, einen Hash-Wert-Generator, einen RSA-Schlüsselgenerator und/oder ein Mittel zur Ver- und Entschlüsselung - beispielsweise anhand der RSA-Spezifikation.

[0142] Der nicht flüchtige Speicher enthält vorzugsweise solche Schlüsselinformationen bzw. Schlüssel, die nicht verändert werden sollen, beispielsweise einen Endorsement Key, einen Storage Root Key oder eine Owner Auth Secret-Key.

Nachrichtenformate zwischen EPOS (CryptoStore) und PostagePoint

Allgemeine Festiegungen

[0143] Die Nachrichten sind vorzugsweise als XML-Dokumente formatiert.
Die XML-Dokumente werden vom Postage-Point bzw. dem sicheren Bereich generiert und verarbeitet und sind ohne Änderungen von dazwischen liegenden Softwaremodulen und Softwareprodukten zu übertragen.
Werden die XML-Dokumente als Dateien gespeichert, ist das folgende Format für den Dateinamen zu verwenden. Es ist in Augmented Backus Naur Form (ABNF) spezifiziert. Ein Beispiel für Ladedaten ist LD-12345-123-2003-05-27.xml.

file-name = descriptor "-" riposte-group-id "-" riposte-node-id

year "-" month "-" day extension

descriptor = 2CHAR

riposte-group-id = *DIGIT

riposte-node-id = *DIGIT

year = 4DIGIT

month = 2DIGIT

day = 2DIGIT

extension = ".xml"

Signierte Lizenz

XML-Dokument

[0144] Das XML-Dokument für die signierte Lizenz besteht aus dem Root-Element signed-license-message.

[0145] Es enthält ein Element signed-license in dessen Attribut das Binärformat der signierten Lizenz in Base64-Kodierung gespeichert ist. Im Anhang A sind die verwendete XML-Schemadefinition sowie die DTD-Definition angegeben.
Hier ein Beispiel mit gekürztem Base64-Wert.
<?xml version="1.0" encoding="utf-8"?>
<signed-license-message>
<signed-license
value="AAAAFAAAAAHxAXTnAgEAAQEAOXc...Zc2yGW53DQTJhY=" />
</signed-license-message>

[0146] Als Abkürzung im Dateinamen ist SL zu verwenden. Ein Beispiel für einen Dateinamen ist SL-12345-123-2003-05-27.xml

Binärformat

[0147] Das Binärformat der signierten Lizenz besteht aus den Lizenzdaten auf die eine Signatur folgt. Das Signaturformat ist PKCS#1 Version 1.5. Zur Signatur wird der in der Nachricht enthaltene öffentliche Schlüssel verwendet.

[0148] Die Lizenzdaten bestehen aus Nachrichtensegmenten, die mit einem Segmentkopf versehen sind. Der Segmentkopf besteht aus zwei vorzeichenlosen Ganzzahlen mit je vier Byte im Big-Endian-Format. Die erste Ganzzahl gibt die Länge des Segments inklusive des Segmentkopfs in Byte an. Die zweite Ganzzahl enthält den Typkode für das Segment. Segmente werden nicht "aligned".

[0149] Folgende Tabelle gibt ein Überblick über die Typkodes:

[0150] Aus der Bytefolge aller Segmente wird dann der Hash mit dem angegebenen Hashalgorithmus berechnet und dieser Hash wird mit dem angegeben Signaturverfahren signiert.

[0151] Es folgt die Beschreibung der Syntax in Augmented Backus Naur Form:

signed-license = body signature

body = *segment end-segment

segment = segment-length segment-type segment-data

segment-length = 4OCTET ; big-endian integer

segment-type = 4OCTET ; big-endian integer

segment-data = *OCTET ; byte sequence

end-segment = %x00.00.00.08 %xff.ff.ff.ff

signature = *OCTET ; signature in the PKCS#1-v1.5 format

Die Ladungsdaten

[0152] Die Ladungsdaten werden vom Postage-Point nach Prüfung der Lizenz erzeugt. Das XML-Dokument beinhaltet das Root-Element load-data-message. Dieses Root-Element enthält ein einzelnes Element mit dem Tag load-data. Dieses Element integriert in Folge die Elemente riposte-group-id, riposte-node-id, postage-id, cryptostring und encrypted-m-secret. Die Riposte-Ids werden als Strings angegeben, dabei werden Leerzeichen ignoriert. Das Binärformat für die Postage-Id ist im Dokument "Kryptographische Filialfreimachung mit EPOS" beschrieben. Der Cryptostring ist aus Sicht von EPOS eine Bytefolge ohne eine spezifische Struktur.

[0153] Das M-Secret wird nach PKCS#1 v1.5 verschlüsselt mit dem öffentlichen Schlüssel übertragen. (Die Anwendung von OAEP wird im .Net Framework nicht unter allen Windows-Versionen unterstützt.)

[0154] Alle binären Daten sind base64-kodiert in das XML-Dokument aufzunehmen.

[0155] Ein Beispiel für die Ladungsdaten mit gekürzten Base64-Werten. <?xml version="1.0" encoding="utf-8"?> <load-data-message> <load-data> <riposte-group-id>12345</riposte-group-id> <riposte-node-id>123</riposte-node-id> <postage-id>8QF05wIAAAACAQAD6DqbAA==</postage-id> <crypto-string>Iv0VGHXJ...mw18FN7nK+9bO2Ew=</crypto-string> <encrypted-m-secret>CL4ub4cYBrFh8...WtyQnE6Y4Pty/oY=</encrypted-m-secret> </load-data> </load-data-message>

[0156] Als Abkürzung für den Dateinamen ist LD zu verwenden. Ein Beispiel für einen Dateinamen ist LD-12345-123-2003-05-27.xml.

Messdatenspeicherung

[0157] Jedes Workflowelement der Einlieferungsstation kapselt Funktionen der Geschäftsobjekte:

• Ein Messdatum ist ebenso Teil des Geschäftsobjekts wie andere Merkmale
• Nach streng objektorientierter Logik ist die Funktion der Messdatenspeicherung so gestaltet, dass nur die Schnittstelle der Messeinrichtung darauf schreibenden und autorisierten Zugriff darauf hat.
• Alle anderen Workflowelemente haben nur lesenden Zugriff

[0158] Ein Produkt in der Einlieferungsstation setzt sich aus Verkaufs- und Annahme-Workflowkomponenten zusammen:

• Während des Verkaufsvorgangs wird je nach Produktkategorie das mögliche Einzelprodukt soweit eingegrenzt, dass nur noch die Kategorie Format bestimmt werden muss
• Die Eingrenzung kann ähnlich Access Control Lists aus verschiedenen Aspekten heraus erfolgen: Produkt, Vertrag, Aktion, konkreter Maschinentyp
• Die Formatermittlung ist Teil der Sendungsannahme und ergänzt die vorher schon gewonnen Produktinformationen zu einem konkreten Einzelprodukt. Die Formatermittlung ist immer maschinenspezifisch

[0159] In Fig. 11 ist ein mögliches Ausführungsbeispiel der erfindungsgemäßen Einlieferungsstation dargestellt. Bei der Einlieferungsstation 10 handelt es sich um einen Selbstbedienungsautomaten, an dem Kunden Postsendungen wie Brief- oder Warensendungen anliefern können. Vorzugsweise handelt es sich dabei um registrierte Kunden, die sich beispielsweise über eine Kundenkarte identifizieren können, so dass die durch die Einlieferungsstation erbrachten Leistungen auf einfache Weise beim Kunden abgerechnet werden können. Zu den Leistungen des

[0160] Automaten zählt insbesondere die Frankierung von Postsendungen mit dem erforderlichen Portoentgelt. Der Automat ermittelt dabei vollautomatisch das Format einer Sendung, berechnet das korrekte Entgelt und druckt dieses als Frankiervermerk auf die Sendung auf. Der Automat kann auch nicht-registrierten Kunden zur Verfügung gestellt werden, wenn geeignete Abrechnungsverfahren integriert werden. Neben Brief- und Warensendungen können beispielsweise auch Postzustellungsaufträge, Einschreiben, Nachnahmesendungen oder eine Anschriftenprüfung von der Einlieferungsstation 10 durchgeführt werden.

[0161] Mehrere Einlieferungsstationen sind vorzugsweise mit einem Backendsystem verbunden, welches wenigstens den Betrieb der Automaten und die Abrechnung von Dienstleistungen bei den Kunden abwickelt. Zum Betrieb der Automaten gehört beispielsweise die Wartung, die Einstellung von Sammelbehältern für die Aufnahme von Postsendungen und die bedarfsgerechte Abholung eingelieferter Sendungen. Die Backendsysteme können ferner die Identifikation und Legimitation von Kunden, die Bestimmung von Einlieferungslimits und eine Nachverfolgung eingelieferter Sendungen übernehmen. Bei der Gesamtanwendung kann es sich um eine Client-Server-Anwendung handeln, wobei eine Einlieferungsstation jedoch vorzugsweise als Rich-Client ausgebildet ist, auf dem sich die Anwendungslogik befindet.

[0162] Um im Außenbereich eingesetzt werden zu können, ist eine Einlieferungsstation 10 zweckmäßigerweise einbruchsicher und wetterbeständig ausgeführt. Eine Einlieferungsstation umfasst üblicherweise ein für einen Kunden unzugängliches Gehäuse. Sobald der Kunde die Postsendungen in die Vorrichtung eingebracht hat, besteht für ihn keine Möglichkeit mehr, auf die Postsendungen zuzugreifen. Die Vorrichtung ist jedoch für Servicepersonal zugänglich, welches Zugriff auf die verschiedenen technischen Komponenten hat. Zu diesem Zweck können eine oder mehrere verschließbare Klappen vorgesehen sein, welche den Zugriff auf die Technik der Vorrichtung freigeben. Die Vorrichtung ist ferner für Angestellte des Betreibers der Vorrichtung zugänglich, welche eingelieferte Postsendungen entnehmen und diese dem Transport und Zustellprozess zuführen.

[0163] Für die Abholung und den anschließenden Transport werden die eingelieferten Postsendungen 20 vorzugsweise in einem oder mehreren Behältern 12 gesammelt, welche ebenfalls durch eine verschließbare Klappe zugänglich sind. Es kann vorgesehen sein, dass die Vorrichtung eine Füllstandskontrolle der betreffenden Sammelbehälter durchführt. Sind die Sammelbehälter bis zu einem vorgebbaren Maß befüllt, wird der Betreiber der Vorrichtung benachrichtigt, dass eine Entleerung erfolgen muss. Ferner kann die Annahme weiterer Sendungen an der Vorrichtung verweigert werden.

[0164] Die Vorrichtung gemäß Fig. 11 weist ein Annahmemittel 11 zur Annahme von Postsendungen 20 auf. Dabei handelt es sich vorzugsweise um einen Vereinzeler, welcher einen Stapel von Postsendungen einzeln in die Vorrichtung einzieht. Bei dem Vereinzeler kann es sich um eine aus dem Stand der Technik bekannte Vorrichtung handeln, welche einen Einzeleinzug ermöglicht. Der Kunde legt einen Stapel mit Sendungen beispielsweise in eine Annahmeöffnung 11 ein und schließt eine Abdeckungsklappe, hinter welcher daraufhin der Einzug der Sendungen erfolgt. Einzelsendungen können ebenfalls über den Einzug in die Vorrichtung aufgenommen werden. Die Vorrichtung kann ferner wie herkömmliche Briefkästen einen Schlitz zum Einwerfen von Einzelsendungen aufweisen.

[0165] Nach der Vereinzelung der Sendungen durchläuft eine Postsendung 20 die Vorrichtung 10 mittels eines oder mehrerer Transportmittel. Bei den Transportmitteln handelt es sich beispielsweise um Transportbänder und Rollen, welche eine Sendung durch verschiedene Messvorrichtungen und anschließend durch eine Druckanordnung leiten. Die Sendungen werden dabei vorzugsweise hochkant stehend transportiert. Die verschiedenen Messvorrichtungen ermitteln wenigstens das Gewicht und die Abmessungen der Sendung. Die Ermittlung der einzelnen Messwerte kann dabei nacheinander oder durch verschiedene Messeinrichtungen gleichzeitig erfolgen.

[0166] Das Gewicht G einer Sendung 20 kann durch verschiedene Verfahren zur Gewichtsermittlung gemessen werden. In einem besonders bevorzugten Ausführungsbeispiel der Erfindung wird das Gewicht durch eine dynamische Waage 30 ermittelt. Die Waage kann kalibriert werden, wobei ferner die Minimal- und Maximaltoleranzwerte ermittelt werden. Die Toleranzwerte der Waage werden in einem Rechenmittel 50 der Vorrichtung hinterlegt.

[0167] Die Länge L einer Sendung kann ebenfalls mit verschiedenen bekannten Mitteln bestimmt werden. Die Messung der Höhe H einer Sendung kann gleichfalls über bekannte Verfahren erfolgen.

[0168] Die Messung der Breite B eine Sendung erfolgt beispielsweise über eine Bilderkennung oder über fest installierte Breitenmesssensoren. Dabei ist die Breite B als der kleinste Abstand zweier gegenüberliegender Kanten einer Sendung zueinander definiert. Die Toleranzwerte der Messeinrichtung können über Messreihen ermittelt werden.

[0169] Die Messeinrichtungen zur Bestimmung von Länge, Breite und Höhe einer Postsendung 20 werden im Folgenden in ihrer Gesamtheit als Dimensionsmessgerät 40 bezeichnet. Ein solches Dimensionsmessgerät kann somit aus einem oder mehreren Messgeräten bestehen. Die verschiedenen Messeinrichtungen sind mit einer Recheneinheit 50 verbunden, die sich vorzugsweise ebenfalls innerhalb der Vorrichtung 10 befindet. Bei der Recheneinheit 50 kann es sich beispielsweise um einen PC mit einem Prozessor, einem Speicher, mehreren Festplatten und Wechselmedien handeln. Der PC verfügt ferner über einen Netzwerkanschluss beispielsweise in Form von Fast Ethernet.

[0170] Durchläuft eine Postsendung 20 die verschiedenen Messeinrichtungen, werden die ermittelten Messwerte zur Auswertung an die Recheneinheit 50 übergeben. Dabei erzeugt die Recheneinheit 50 aus den Messwerten korrigierte Messwerte, indem die Negativ- und Positivtoleranzen der einzelnen Messeinrichtungen verarbeitet werden. In einem ersten Schritt werden diese Toleranzwerte mit den ermittelten Messwerten H für die Höhe, L für die Länge, G für das Gewicht und B für die Breite der Postsendung verrechnet. Dabei wird jeweils der Betrag der Negativtoleranz zum gemessenen Messwert addiert, um angepasste Messwerte H', L', G' und B' zu erhalten. Ferner wird der Betrag der Positivtoleranz vom gemessenen Messwert subtrahiert, um angepasste Messwerte H", L", G" und B" zu erhalten.

[0171] Wird ein Produkt bzw. eine Produktklasse ermittelt, in deren Wertebereich alle angepassten Messwerte liegen, wird der zugeordnete Portobetrag in eine Ergebnisliste aufgenommen. Enthält diese Ergebnisliste mehrere Portobeträge, wird der kleinste Betrag ermittelt und als auf die Postsendung aufzubringender Portobetrag bestimmt. Enthält die Ergebnisliste nur einen Eintrag, wird der betreffende Portobetrag als aufzubringender Portobetrag ermittelt. Mit dem so ermittelten Portobetrag wird in einer Frankiereinheit 60 ein Freimachungsvermerk erzeugt und auf die Postsendung 20 aufgedruckt. Als Frankiereinheit können jegliche aus dem Stand der Technik bekannte Frankiereinheiten zum Einsatz kommen, die beispielsweise einen Frankiervermerk in Form eines Matrixcodes auf eine Postsendung aufdrucken.

[0172] Ist die Ergebnisliste leer, konnte anhand der Messungen keine Produktklasse bestimmt werden und die Sendung kann durch die Vorrichtung nicht angenommen werden. In diesem Fall wird dem Nutzer über ein Anzeigemittel der Vorrichtung eine entsprechende Meldung angezeigt und die Sendung aus der Vorrichtung ausgeworfen.

[0173] In einem weiteren Ausführungsbeispiel der Erfindung wird die Ermittlung des Portobetrages durch Angaben eines Nutzers zu der Art der Postsendung ergänzt, so dass es sich um eine halbautomatische Portoermittlung handelt. Die Art der Sendung kann beispielsweise Informationen zu Inhalt, Sendungsziel oder Zusatzleistungen umfassen. Diese Informationen werden in einem Ausführungsbeispiel der Erfindung nicht physikalisch ermittelt, sondern vom Nutzer durch eine Bedieneinheit 13 der Einlieferungsstation 10 eingegeben. Die Bedieneinheit kann beispielsweise eine Tastatur, einen Bildschirm oder einen Touchscreen und ein Kartenlesegerät umfassen.

[0174] Beispielsweise wird von einem Nutzer angegeben, ob das Sendungsziel der Postsendung national oder international ist. Dies kann auch automatisch durch eine Auswertung der Sendungsadresse erfolgen. Da jedoch bei unleserlichen Anschriften eine manuelle Auswertung erforderlich ist, kann vorgesehen sein, dass das Sendungsziel grundsätzlich vom Nutzer eingegeben wird. Dabei ist es vorteilhaft, dass der Nutzer die Unterscheidung zwischen nationalen und internationalen Zustellungen nicht für jede Sendung einzeln, sondern für eine größere Menge zugleich eingelieferter Sendungen angibt.

[0175] Die Einlieferungsstation 10 kann ferner einen Barcodeleser zum Erfassen von auf Postsendungen befindlichen Barcodes umfassen. Darüber hinaus weist die Vorrichtung vorzugsweise ein oder mehrere Kameras auf, um Bilder der Postsendungen aufzunehmen. Dabei werden vorzugsweise Bilder der Adressseite von Postsendungen aufgenommen. Das Bild einer Postsendung kann beispielsweise dazu verwendet werden, um es einem Kunden auf dem Bildschirm der Bedieneinheit 13 anzuzeigen. Der Kunde kann die Adressdaten einsehen und damit ein Einschreiben beauftragen.

[0176] Die Erfindung ist jedoch nicht auf die beschriebene Ausführungsform einer Einlieferungsstation beschränkt, sondern eignet sich für jegliche Vorrichtungen zur Annahme und Frankierung von Postsendungen, welche zugelassen und geeicht werden müssen.

[0177] Bei der Einlieferungsstation kann es sich in Weiterbildungen der Erfindung auch um eine Annahmstelle für Postsendungen handeln, die sich beispielsweise in einer Filiale eines Postdienstleistungsunternehmens befindet.

Ansprüche

1. Einlieferungsstation (10) zum Einliefern und Frankieren von Postsendungen (20), die wenigstens eine Waage (30) zur Bestimmung des Gewichts einer Postsendung (20), wenigstens ein Dimensionsmessgerät (40) zur Bestimmung der Abmessungen einer Postsendung (20), eine Recheneinheit (50) zur Bestimmung des Portoentgelts für eine Postsendung (20) und eine Frankiereinheit (60) zur Aufbringung eines Frankiervermerks auf die Postsendung (20) umfasst, wobei die Recheneinheit (50) Zugriff auf Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) hat,
dadurch gekennzeichnet,
dass die Einlieferungsstation (10) ein Messmodul (52) mit einem Mittel zum Empfangen von Messwerten von der Waage (30) und/oder dem Dimensionsmessgerät (40) aufweist und dass das Messmodul (52) und/oder eine Komponente des Messmoduls (52) mit einer TPM-Einheit verbindbar ist.

2. Einlieferungsstation nach Anspruch 1,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Komponenten eine Signatur aufweisen, die auf einer asymmetrischen Verschlüsselung beruht.

3. Einlieferungsstation nach Anspruch 2,
dadurch gekennzeichnet,
dass die Signatur mit einem privaten Schlüssel erzeugt wurde, der von der TPM-Einheit erzeugbar ist und/oder in der TPM-Einheit gespeichert ist.

4. Einlieferungsstation nach einem der vorangegangenen Ansprüche,
dadurch gekennzeichnet,
dass die TPM-Einheit fest in die Recheneinheit (50) eingebaut ist.

5. Einlieferungsstation nach einem der Ansprüche 3 oder 4,
dadurch gekennzeichnet,
dass ein Zugriff auf den privaten Schlüssel in TPM-Einheit durch ein Passwort geschützt ist.

6. Einlieferungsstation nach einem der vorangegangenen Ansprüche,
dadurch gekennzeichnet,
dass die Waage (30), das Dimensionsmessgerät (40) und/oder eine zugehörige Schnittstelle Mittel zur Bildung eines Hash-Wertes über einen Messwert aufweisen.

7. Einlieferungsstation nach einem der vorangegangenen Ansprüche,
dadurch gekennzeichnet,
dass das Messmodul (52) Mittel zur Bildung eines Hash-Wertes über einen Datensatz bestehend aus wenigstens den Messwerten der Waage (30) und des Dimensionsmessegerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung (20) aufweist.

8. Einlieferungsstation nach einem der vorangegangenen Ansprüche,
dadurch gekennzeichnet,
dass es sich bei dem Messmodul (52) und seinen Komponenten um Softwarekomponenten in Form von Java Archiv-Files handelt.

9. Einlieferungsstation nach anspruch 8,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Softwarekomponenten auf einem schreibgeschützten Speichermedium gespeichert sind, dessen mechanischer Schreibschutzschalter physikalisch versiegelt ist, wobei die Verbindung des Speichermediums mit der Recheneinheit (50) ebenfalls physikalisch versiegelt ist.

10. Verfahren zum Einliefern und Frankieren von Postsendungen in einer Einlieferungsstation (10), bei dem das Gewicht einer Postsendung von wenigstens einer Waage (30) und die Dimensionen einer Postsendung (20) von wenigstens einem Dimensionsmessgerät (40) bestimmt und einer Recheneinheit (50) zugeführt werden, und bei dem die Recheneinheit (50) das Portoentgelt für eine Postsendung (20) bestimmt und einer Frankiereinheit (60) zuführt, welche einen Frankiervermerk auf die Postsendung (20) aufbringt, wobei die Recheneinheit (50) zur Erzeugung von korrigierten Messwerten auf Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) zugreift, gekennzeichnet durch wenigstens folgende Schritte:

- Übermitteln von Messwerten von der Waage (30) und/oder dem Dimensionsmessgerät (40) an ein Messmodul (52);

- Empfangen der Messwerte durch das Messmodul (52);

- Signieren der Messwerte für das Gewicht und die Abmessungen der Postsendung (20) durch die Waage (30) und das Dimensionsmessgerät (40) oder eine jeweils zugehörige Schnittstelle mit Hilfe eines TPM-Moduls;

- Übermittlung der signierten Messwerte an die Recheneinheit (50) über eine gesicherte Schnittstelle (51);

- Abrufen von Toleranzwerten der Waage (30) und des Dimensionsmessgerätes (40) aus einem signierten Einwegspeicher (55) durch ein Messmodul (52) der Recheneinheit (50);

- Ermittlung eines Portoentgelts aus einer Datei (93), die eine Zuordnung zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, anhand der ermittelten Produktkategorie durch das Messmodul (52);

- Zuführung des ermittelten Portoentgelts von dem Messmodul (52) zu der Frankiereinheit (60) und Aufbringen eines Frankiervermerks auf die Postsendung (20) durch die Frankiereinheit (60); und

- Signieren eines Datensatzes bestehend wenigstens aus Messwerten der Waage (30) und des Dimensionsmessegerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung (20) und Speichern dieses signierten Datensatzes im signierten Einwegspeicher (55) durch ein Speichermodul (92) des Messmoduls (52);

- Und dass die Signierung mit einem privaten Schlüssel erfolgt, der von einem TPM-Chip (Trusted Platform Module) der Recheneinheit (50) erzeugt wurde und/oder in diesem gespeichert wurde, wobei der TPM-Chip fest in die Recheneinheit (50) eingebaut ist.

11. Verfahren nach Anspruch 10,
dadurch gekennzeichnet,
dass wenigstens Messwerte und/oder korrigierte Messwerte der Waage (30) und des Dimensionsmessgerätes (40) auf einer Anzeige (80) in Verbindung mit der Recheneinheit (50) angezeigt werden, wobei eine auf der Anzeige (80) angezeigte Maske von dem Messmodul (52) signiert wird.

12. Verfahren nach einem der Ansprüche 10 oder 11,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Komponenten vor Durchführung der Verfahrensschritte des Anspruchs 13 signiert werden, wobei die Signierung durch eine asymmetrische Verschlüsselung erfolgt.

13. Verfahren nach einem der Ansprüche 10 bis 12,
dadurch gekennzeichnet,
dass das Messmodul (52) und seine Softwarekomponenten vor Durchführung der Verfahrensschritte nach Anspruch 11 auf einem schrelbgeschützten Speichermedium gespeichert werden, dessen mechanischer Schreibschutzschalter nach der Speicherung physikalisch versiegelt wird, wobei die Verbindung des Speichermediums mit der Recheneinheit (50) ebenfalls physikalisch versiegelt wird.

Zeichnung