Universell einsetzbares elektronisches Handstempelgerät

Abstract

 Ein universell einsetzbares elektronisches Handstempelgerät, mit einem in einem Druckfenster hin- und her bewegbaren Tintenstrahldruckkopf (32), wobei das Druckfenster in einer während des Druckens einem Druckmedium zugewandten Grundplatte angeordnet ist, mit einer Steuerungseinheit (18), wobei die Steuerungseinheit (18) einen Sicherheitsprozessor (11) einschließt, der mindestens ein Transaktionsmodul aufweist, welches zur Durchführung von kryptographischen Sicherungs- und Zertifizierungsaufgaben in Verbindung mit dem Drucken eines individuell abgesicherten Stempelabdruckes vorgesehen ist und wobei die Steuerungseinheit (18) zum Steuern des Druckens und einer Basisstation (40) programmiert ist, auf welche das Handstempelgerät (1) zu dessen Wartung und Nachladung mit Daten aufgesetzbar ausgebildet ist.

Beschreibung

[0001] Die Erfindung betrifft ein universell einsetzbares elektronisches Handstempelgerät gemäß Oberbegriff des Patentanspruchs 1. Unter einem universell einsetzbaren elektronischen Handstempelgerät sind tragbare Benutzerendgeräte zu verstehen, welche monetäre Daten nicht nur drucken, sondern auch abrechnen und speichern können sowie welche auch andere sicherheitsrelevante Daten erzeugen und speichern bzw. Zertifikate drucken können. Insbesondere kann für einen digitalen Handdrucker mindestens eine weitere Anwendung erschlossen werden, als kleine mobile Handfrankiermaschine mit einem digitalen Drucker. Die Erfindung eignet sich zur Erzeugung von Posteingangsstempel-, Sequenznummern- und Gebührenstempel- sowie Frankier-Aufdrucken mit Sicherheitsmerkmalen bzw. Zertifikaten.

[0002] Ein elektronischer Handfrankierer ist aus den europäischen Patenten EP 755028 B1, EP 750277 B1 bekannt, welcher per Hand unbegrenzt über ein Druckmedium bewegt werden kann. Mit den oben genannten Lösungen können jedoch keine einzigartigen Abdrucke bzw. Zertifikate erzeugt werden.
Ein Verfahren für eine Frankier- und Adressiermaschine nach dem europäischen Patent EP 944 028 B1 nutzt eine Verarbeitung von Signalen der Relativbewegung zwischen Druckkopf und Brief sowie eine Steuerung der Informationsprozesse zur Generierung eines Sicherheitsabdruckes zeitparallel zu bestimmten Druckkopf-Bewegungsabläufen. Der Brief wird in Transportrichtung auf der Kante stehend zugeführt und während des Druckens nicht bewegt. Der Druckkopf kann während des Druckens in eine x/y-Richtung bewegt werden.
Aus dem europäischen Patent EP 1 244 063 B1 geht ein Verfahren und Vorrichtung zum Erzeugen eines Druckbildes in mehreren Schritten hervor, in welchem zwischen dem Drucken von zwei Teilbildern ein Querversatz zwischen dem Druckkopf und dem Druckmedium erzeugt wird, wobei das Druckmedium unbewegt bleibt.
Im Unterschied dazu wird bei gewöhnlich am PC betriebenen Druckern und elektronischen Schreibmaschinen mindestens ein Druckkopf in einer Zeile und das Druckmedium orthogonal dazu bewegt.
Bei gewöhnlichen Frankiermaschinen, wie zum Beispiel bei der Ultimail, wird nur das Druckmedium bewegt (EP 1 170 141 B1).
Bei PC-Frankierlösungen, wie zum Beispiel stampit von der DPAG und bei den Frankiermaschinen (Mymail, Ultimail) der Anmelderin Francotyp Postalia GmbH werden tragbare ortsfeste Geräte betrieben. Dagegen sind Handfrankierer aufgrund ihres geringen Gewichtes besser für den mobilen Einsatz geeignet, als ortsfeste Geräte, die ein höheres Gewicht aufweisen und damit relativ schwer zu tragen sind.
Aus dem europäischen Patent EP 816 106 B1 ist ein Etikettendrucker mit Steuer-, Eingabe- und Anzeigemitteln bekannt, der eine Auswahl von unterschiedlichen Etiketten und Bild-Merkmalen vor derm Drucken erlaubt. Hier ist aber ein stationärer Thermodruckkopf und ein an diesem vorbeigeführtes Etikett vorgesehen.

[0003] Zwar sind schon Labeldrucker bekannt, welche in der Lage sind, zweidimensionale Barcodes zu drucken. Die Druckqualität der bekannten digitalen Handdrucker reicht jedoch nicht für eine solche Anwendung aus, einen Frankierabdruck mit einem zweidimensionalen Barcode zu drucken.

[0004] Aus dem europäischen Patent EP 1 000 758 B1 ist ein Druckmechanismus für einen tragbaren Drucker bekannt, um während des Druckens einen Tintenstrahldruckkopf über ein Druckmedium innerhalb eines Rahmens zu bewegen. Einerseits entfällt eine Transportvorrichtung für das Druckmedium (zum Beispiel Papier) für einen solchen zum Direktdruck befähigten Drucker, der zuvor manuell auf dem Druckmedium platziert wird. Andererseits ist ein Neigungssensor erforderlich, damit der Druck nicht gestartet wird, während sich eine Düsenfläche mit den Düsen des Tintenstrahldruckkopfes des tragbaren Druckers noch in einem Winkel zur zu bedruckenden Oberfläche des Druckmediums befindet. Der Drucker kann auf eine Basisstation aufgesetzt und elektrisch über ein USB-Kabel der Basisstation mit einem Computer verbunden werden, um ein zu druckendes Bildmuster vom Computer in den Drucker zu laden.

[0005] Eine alternative Ausbildung eines tragbaren Druckers ist schon aus dem europäischen Patent EP 564 297 B1 bekannt. Hier ist der tragbare Drucker direkt über ein USB-Kabel mit einem Computer verbunden.

[0006] Es existieren unterschiedliche Druckaufgaben für Anwendungen, wie beispielsweise solche als Posteingangsstempler, Eintrittskartendrucker, Etiketten- und Labeldrucker, u.a. bei denen eine sehr geringe Anzahl an Drucken pro Tag erforderlich werden. Hierbei sind auch die ökonomischen und kaufmännischen Marktfaktoren zu beachten, d.h. ein solcher Drucker soll zu entsprechend günstigen Preisen in großen Stückzahlen verkauft werden. Ein solcher Drucker soll möglichst einfach aufgebaut und universell einsetzbar sein. Eine Transportvorrichtung für das Druckmedium kann vorteilhaft entfallen.
Von der Firma Reiner ist ein Posteingangstempler mit einem digitalen Druck des Typs JetStamp 790 bekannt (DE 20 2004 011 038 U1). Ein solcher Stempler kann an einem PC angeschlossen werden, um beliebige Daten in den Stempler herunter zu laden, was u.a. aus dem deutschen Gebrauchsmuster DE 20 209 997 U1 bekannt ist. Das Stempelgerät des Typs "jet stamp 790" der Firma Ernst Reiner GmbH liefert allerdings ein Druckbild mit vergleichsweise geringer Qualität, die noch nicht für einen maschinenlesbaren zweidimensionalen Barcode ausreicht, wie er für einen Frankierabdruck gefordert ist. Im Stempelgerät "jet stamp 790" ist auch kein physikalischer Sicherheitsbereich vorhanden und die Steuerung kann keine kryptographischen Daten verarbeiten, um einzigartige Stempelaufdrucke zu erzeugen.

[0007] Der Erfindung liegt die Aufgabe zugrunde, ein einfach aufgebautes und universell einsetzbares elektronisches Handstempelgerät zu entwickeln, welches mobil eingesetzt werden kann. Das Handstempelgerät soll Sicherheitsmerkmale aufweisen und dazu ausgebildet sein, um anwendungsspezifische sicherheitskritische Transaktionen auszuführen und um individuell abgesicherte Stempelaufdrucke zu erzeugen, die von geeigneten Lesegeräten auf deren Echtheit überprüft werden können.

[0008] Die Aufgabe wird durch ein universell einsetzbares elektronisches Handstempelgerät mit den Merkmalen nach dem Patentanspruch 1 gelöst.

[0009] Unter einer universellen Einsetzbarkeit soll ein nicht immer nur an einen Ort gebundener Einsatz und ein autarker bzw. offline-Einsatz verstanden werden. Während der Erzeugung eines individuell abgesicherten Stempelabdrucks bedarf es keiner Datenverbindung mit einem Personalcomputer (PC) oder Server.

[0010] Als Transaktion soll eine feste Folge von Operationen verstanden werden, welche als logische Einheit betrachtet wird. Beim Frankieren besteht eine sicherheitskritische Transaktion beispielsweise aus den Operationen: Abrechnen, Generieren eines Sicherheitscodes und Erzeugen eines Sicherheitsabdrucks.

[0011] Ein Sicherheitsprozessor weist mindestens ein Transaktionmodul auf, welches die individuelle Absicherung ermöglicht. Letztere erfolgt in an sich bekannter Weise mittels einer kryptographischen Prüfsumme über ausgewählte oder alle Nutzdaten. Die Prüfsumme wird in Form eines Sicherheitscodes bzw. Sicherheitsmerkmal (zum Beispiel 2-D-Barcode) zusammen mit Klardaten als Sicherheitsabdruck auf die Oberfläche des Druckmediums gedruckt. Das Transaktionmodul ist mittels Hardware und/oder Software realisiert. Weitere Transaktionmodule sind zur Durchführung der jeweiligen Anwendungsprogramme unterschiedlich realisiert.
Die Erfindung geht von dem Gedanken aus, dass ein Gehäuse des Handstempelgeräts mehrteilig ausgefüht wird und einen Sicherheitsbereich als Zugriffschutz auf die Elektronik sowie einen Nicht-Sicherheitsbereich zum Aufbewahren und Kontaktieren der Energiequelle (Batterien oder Akkumulatoren), der Antriebsvorrichtung zum Bewegen des Druckkopfes und des Druckwagens des Tintenstrahldruckkopfes aufweist. Ein Schutz der Ansteuerleitungen des Tintenstrahldruckkopfes vor Manipulation in Fälschungsabsicht ist unnötig. Weil der Tintenstrahldruckkopf einen Sicherheitsabdruck erzeugt und ausdruckt, beispielsweise ein Zertifikat oder einen Frankierabdruck mit individuellen Sicherheitsmerkmal, ist dessen Echtheit und Einzigartigkeit mittels einem Lesegerät nachprüfbar.
Das universell einsetzbares elektronisches Handstempelgerät hat einen in einem Druckfenster hin- und her bewegbaren Tintenstrahldruckkopf mit ½ Zoll Druckbreite. Das Druckfenster besitzt eine Fläche, in welcher der Druckkopf über das Druckmedium bewegt wird. Das Druckfenster wird mittels eines Rahmens begrenzt. Der Druckkopf wird über eine Steuerung elektronisch einerseits angesteuert, um diesen zu bewegen und andererseits, um während der Bewegung Tintentropfen definiert auszustoßen. Ein bestimmtes Druckmuster kann so in hoher Druckqualität erzeugt werden. Das Druckfenster ist in einer Grundplatte angeordnet, welche während des Druckens einem Druckmedium zugewandt ist. Auf der Grundplatte sind Abstandshalter zwischen dem Druckmedium und der Grundplatte befestigt, die ein Verrutschen des Druckfenster auf der zu bedruckenden Oberfläche des Druckmediums verhindern. Eine Steuerung ist mit einem Userinterface, mit einer externen Schnittstelle und mit einer internen Schnittstelle verbunden und ist zur Durchführung von kryptographischen Sicherungs- und Zertifizierungsaufgaben in Verbindung mit dem Drucken eines individuell abgesicherte Stempelabdruckes vorgesehen. Die Steuerung ist über die interne Schnittstelle mit dem Tintenstrahldruckkopf und mit einem Antrieb zur Bewegung des Tintenstrahldruckkopfes betriebsmäßig verbunden. Eine interne Energiequelle ist im physikalischen Nicht-Sicherheitsbereich innerhalb des Gehäuses angeordnet und dient zur netzunabhängigen Versorgung der Steuerung, des Tintenstrahldruckkopfes und dessen Antriebs sowie der Schnittstellen mit Energie. Die Steuerung ist innerhalb des Gehäuses im physikalischen Sicherheitsbereich angeordnet und ermöglicht sicherheitskritische Transaktionen. Sie kann vorteilhaft einen einzigen als Sicherheits-Halbleiterbaustein realisierten Sicherheitsprozessor umfassen, um folgende Aufgaben auszuführen:

• Steuerung,
• Durchführung sicherheitskritischer Aufgaben,
• Datenaufbereitung für den Druck,
• Ansteuerung und Abfrage Userinterface,
• Kommunikation über externe Schnittstelle(n),
• Kommunikation über interne Schnittstelle(n),
• Steuerung des Tintenstrahldruckkopfes,
• Steuerung des Antriebs,
• Abfrage der Druckauslösemittel (Schalter, Starttaste).

[0012] Die Steuerung besteht also aus einem Sicherheitsprozessor, der elektrisch mit Ein- und Ausgabemitteln, einem nichtflüchtigen Speicher, einer Zeile von Einzelanzeigeelementen, einem Treiber für die Antriebe und einer Druckkopfansteuerungselektronik sowie mit Schaltmitteln und mit mindestens einer Schnittstelle verbunden ist. Das universell einsetzbare elektronische Handstempelgerät wird nach dem Drucken zum Energieladen und zur Wartung des Tintendrucktechnik auf eine entsprechend ausgebildete separate Wartungsstation aufgesetzt und kann mit einem Personal-computer betriebsmäig verbunden werden, um Daten nachzuladen bzw. auszutauschen.
Unter dem Ziel einer des universellen Einsetzbarkeit des elektronischen Handstempelgeräts lassen sich folgende auswählbare Modi benennen:

• Anwendung als Posteingangsstempler,
• Anwendung als Sequenznummerndrucker,
• Anwendung als Sequenzdatendrucker oder
• Anwendung als Gebührenstempler.

[0013] Unter dem Ziel einer ortsungebundenen und autarken Durchführung von sicherheitskritischen Transaktionen einschließlich der Erzeugung von individuell abgesicherten Stempelaufdrucken, lassen sich außerdem folgende bei Bedarf auswählbare Modi benennen:

• Anwendung als Zertifikat-Drucker oder
• Anwendung als Hand-Frankierer.

[0014] Der Zusatznutzen des universell einsetzbaren elektronischen Handstempelgeräts mit seinem Sicherheitsprozessor liegt in:

• der Ortsungebundenheit bei der Ausführung von sicherheitskritischen Transaktionen einschließlich der Generierung individuell abgesicherter Stempelaufdrucke,
• der autarken 'offline' Arbeitsweise bei der Ausführung von sicherheitskritischen Transaktionen einschließlich der Generierung individuell abgesicherter Stempelaufdrucke, also ohne die Notwendigkeit einer drahtlosen oder drahtgebundenen Datenverbindung zu einem PC oder Server während des Stempelns,
• dem Schutz der zur Durchführung der sicherheitskritischen Transaktion einschließlich der Generierung individuell abgesicherter Stempelaufdrucke notwendigen vertraulichen Daten und Schlüssel,
• dem geschützten Ausführen der applikationsspezifischen sicherheitskritischen Funktionen.

[0015] Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausführung der Erfindung anhand der Figuren näher dargestellt. Es zeigen:

Figur 1,

Blockschaltbild der Steuerung eines universell einsetzbaren elektronischen Handstempelgeräts,

Figur 2a,

Frontansicht des universell einsetzbaren elektronischen Handstempelgeräts,

Figur 2b,

Seitenansicht des universell einsetzbaren elektronischen Handstempelgeräts von rechts,

Figur 3,

perspektivische Ansicht eines PC's und Ansicht des universell einsetzbaren elektronischen Handstempelgeräts von vorn in einer Wartungsposition auf einer Basisstation stehend,

Figur 4,

Ablaufdiagramm im Modus Frankieren.

[0016] In der Figur 1 wird ein Blockschaltbild der Steuerung eines universell einsetzbaren elektronischen Handstempelgeräts mit Baugruppen 4, 7, 8, 9 12, 13, 14 und 15 der Steuerungseinheit 18 und mit externen Baugruppen 5, 6, 24, 32, 33, 34, 35, 36 sowie 37 bis 49 dargestellt, welche betriebsmäßig mit der Steuerungseinheit 18 verbunden sind.
Die Steuerungseinheit 18 umfasst eine LED-Anzeigezeile 4, Eingabemittel 7, Anzeigemittel 8, akustische Signalmittel 9, einen nichtflüchtigen Speicher 12, eine Druckkopfansteuerungselektronik 13, Treiber 14 für die Antriebe 33, ein internes Interface 15 für mindestens einen Sensor, die Treiber- und die Druckkopfansteuerung sowie ein externes Interface 16, welche mit einem Sicherheitsprozessor 11 verbunden sind. Das Eingabemittel 7 hat mindestens ein Betätigungsmittel und bildet mit dem Anzeigemittel 8, der LED-Anzeigezeile 4 und dem akustischen Signalmittel 9 (Beeper) eine Bedienerschnittstelle (Userinterface), welche(s) zur Statussignalisierung, Dateneingabe und Anwahl des Betriebsmodus dient. Zumindest ein Teil der Elektronik der Steuerungseinheit 18 wird in einer einzigen integrierten Schaltung realisiert. Das mindestens eine Transaktionsmodul ist ein Bestandteil der vorgenannten integrierten Schaltung.
Die externen Baugruppen umfassen mindestens eine Energiequelle (wie Batterien oder Akkumulatoren 5, 6), mindestens einen Tintenstrahldruckkopf 32, mindestens eine Antriebsvorrichtung 33 zum Bewegen eines Druckwagens des Tintenstrahldruckkopfes, mindestens Teile eines Sensors 34 und 35, ein Schalter 24 und eine mit dem externen Interface verbundene Kontaktstelle oder Buchse 36 sowie optional eine Kontaktstelle oder Buchse 39 zum Wiederaufladen der Energiequelle, falls Akkumulatoren 5, 6 eingesetzt werden. Die Kontaktstelle oder Buchse 39 zum Wiederaufladen der Energiequelle entfällt, falls Batterien eingesetzt werden. Der Schalter 24 ist mit einer Starttaste ausgebildet. Letzterer und die Sensoren 34, 35 sind via dem internen Interface 15 mit dem Sicherheitsprozessor 11 verbunden. Der mindestens eine Druckkopf 32 ist via dem internen Interface 15 mit der Ansteuerungselektronik 13 und die Antriebsvorrichtung 33 ist via dem internen Interface 15 mit dem Treiber 14 für Antriebe verbunden. Der Schalter 24 dient als Transaktionsauslöser zur Einleitung von sicherheitskritischen Transaktionen einschließlich der Generierung individuell abgesicherter Stempelaufdrucke.
Die gestrichelt gezeichneten externen Baugruppen 37, 38, 41, 42, 43, 44, 45, 46, 47, 48, 49 und 49.1 umfassen Baugruppen einer Basisstation 40, in welcher das universell einsetzbare elektronische Handstempelgerät 1 gewartet wird. Zwecks Wartung ist eine Reinigungs- und Dichtstation 49 (RDS) in der Basisstation eingebaut, die über eine Steuerleitung 37 mit einem ersten Abzweig eines USB-Verbindungsstücks 47 verbunden ist, an dessen zweitem Abzweig eine handelsübliche USB-Buchse 48 angeschlossen ist. Die Kontaktstelle 46 ist als Stecker ausgebildet, um die Verbindung zur Buchse 36 herzustellen. An der Reinigungs- und Dichtstation 49 ist ein Schalter 49.1 angeschlossen, der geöffnet ist, solange das Handstempelgerät nicht mit der Basisstation in Kontakt gebracht wird. Zur Buchse 39 existiert ein Stecker 41, der mit einer Netzteil- und Lade-Einheit 43 verbunden ist, welche ein Wiederaufladen der Akkumulatoren 5, 6 ermöglicht, sobald das Handstempelgerät mit der Basisstation in Kontakt gebracht wird. Die Netzteil- und Lade-Einheit 43 ist via Netz-Kabel 44 mit einem Netz-Stecker 45 verbunden.
Die gestrichelt gezeichneten externen Baugruppen 37, 38, 41, 42, 43, 44 und 45 können entfallen, falls ausschließlich Batterien als Energiequelle eingesetzt werden.

[0017] Die Figur 2a zeigt eine (vereinfachte) Frontansicht des universell einsetzbaren elektronischen Handstempelgeräts 1, welches mittels vier Fußstücken auf der zu bedruckenden Oberfläche eines Druckmediums 5 steht. Zwei Fußstücke 312 und 313 des Handstempelgeräts sind nahe der Vorderseite sowie zwei nicht sichtbare Fußstücke (311 und 314) sind nahe der Rückseite unter einer Grundplatte 31 als Abstandshalter zum Druckmedium angeordnet. Die Buchsen 36 und 39 können nahe den Fußstücken 312 und 313 oder nahe den Fußstücken der Rückseite auf der Grundplatte 31 angeordnet werden. Die Grundplatte 31 weist eine Druckfensteröffnung (nicht gezeigt) für den Tintenstrahldruckkopf 32 auf.

[0018] Auf der Grundplatte 31 ist ein Gehäuse mit einem Griff 2 angeordnet, welcher eine Starttaste 24 aufweist, die vom Bediener des Handstempelgeräts 1 betätigt wird, um ein Drucken auszulösen. Die Starttaste 24 ist mittig auf der Griffunterseite in ein Mittelstück 21 des Griffs 2 eingebaut.
Das Handstempelgerät bietet eine Korrekturmöglichkeit der Lage des Stempelbildes nur unmittelbar vor dem Aufsetzen des Handstempelgeräts auf ein Druckmedium. Die Sensoren 34, 35 sind im Gehäuseinnern des Handstempelgeräts angeordnet und deshalb gestrichelt gezeichnet, weil diese von aussen nicht sichtbar sind. Der erste Sensor 34 ist als Mikroschalter ausgebildet und signalisiert der Steuerungseinheit 18, wenn das Handstempelgerät auf ein Druckmedium aufgesetzt ist. Ein taktiles Transferstück 341 reicht vom Mikroschalter bis zur Oberfläche des Druckmediums 5 und überträgt eine Auslösekraft auf den Mikroschalter. Die Steuerungseinheit 18 verhindert eine versehentliche Auslösung mittels der Starttaste 24 vor dem Positionieren und Aufsetzen des Handstempelgeräts auf ein Druckmedium. Das Signal des Sensors 34 startet einen Zeitbereich für Berechnungen mittels der Steuerungseinheit 18 vor dem Auslösen des Druckens. Ein Vorteil des Sensors 34 ist, dass bei einer versehentlichen Auslösung der Starttaste 24 vor dem Drucken ein, dass ein Drucken unmöglich wird. Somit wird keine Tinte im Raum verspritzt, solange das Handstempelgerät noch nicht auf das Druckmedium aufgesetzt wurde.
Im Unterschied zum bekannten Stempeln mit einem Handstempelgerät soll beim Frankieren nicht irgendwo der Frankierstempel aufgedruckt werden, sondern in eine vom Postbeförderer definierte Lage auf der Oberfläche des Druckmediums (Poststück). Eine solche manuelle Positionierung gelingt vielleicht nicht beim ersten Versuch und muss evtl. mindestens einmal korrigiert werden. Das Auslösen der Starttaste 24 signalisiert das Ende des Positionierens und befielt den Beginn des Druckens.
Wie auch aus dem Ablaufdiagramm Frankieren (Fig. 4) hervorgeht, soll eine Zustands-Signalisierung (akustisch via Beeper 9 bzw. optisch via LED-Anzeigezeile 4 oder Anzeigemittel 8) erfolgen, wenn das Handstempelgerät noch nicht auf das Druckmedium oder auf die Basisstation aufgesetzt ist, d.h. solange der erste Sensor 34 nicht betätigt wird.
Das Handstempelgerät muss also also vor einem Frankieren/Drucken in seiner Lage oberhalb des Druckmediums ausgerichtet bzw. positioniert werden. Vom Tintendruckkopf wird erst dann Tinte verspritzt, wenn beide der Schalter 24 und Sensor 34 betätigt wurden. Vom Zeitpunkt des Abhebens bis zum Zeitpunkt des Auslösens mittels der Starttaste 24 vergeht ein Zeitabschnitt, welcher zur Positionierung und evtl. zur Abdruckberechnung und -Erzeugung eines Druckbildes ausreichend sein dürfte.
Durch den ersten Sensor wird die Datenverarbeitung gestartet. Die erforderliche Zeit reicht für notwendige kryptographische Berechnungen vor dem Auslösen einer Frankierung eventuell nicht aus. So kann auch ein Zeitabschnitt nach dem Auslösen beider Schalter, des Sensors 34 und der Starttaste 24 für einen verzögerten Beginn der Druckbefehlausführung vorgesehen werden. Der letztere Zeitabschnitt veringert sich, wenn hintereinander mehrere Stempelabdrucke ausgeführt werden. Der Sensor wird auch zum Zeitpunkt des Abhebens des Handstempelgeräts vom Tisch bzw. beim Abheben vom zuletzt bedruckten Druckmedium betätigt. Bereits vor dem Wiederaufsetzen auf das nachfolgende Poststück wird eine kryptographische Vorausberechnung eines Sicherheitscodes gestartet.
Die Sensoren 34, 35 können als Mikroschalter oder Lichtschranke ausgebildet und - in nicht gezeigter Weise - auf der Grundplatte 31 des Handstempelgeräts oder in dessen Gehäuseinnern angeordnet werden.
Bei einer alternativen Verwendung einer Lichtschranke als optischer Sensor 34' wird ein optisches Transferstück 341', vorzugsweise ein Lichtwellenleiter, zur Lichtübertragung eingesetzt.

[0019] Bei einer alternativen Anordnung des taktilen Sensors 34* (Mikrotaster) in der Grundplatte 31 kann ein taktiler Transferstift 341 entfallen.
Bei einer alternativen Anordnung des optischen Sensors 34" in der Grundplatte 31 kann das optische Transferstück 341' entfallen.
Eine LED-Anzeigezeile 4, Eingabemittel 7, Anzeigemittel 8, akustische Signalmittel 9 sind auf der Gehäusevorderseite 25 zwischen dem Griff 2 im oberen Teil des Gehäuses und dem Fußbereich im unteren Teil des Gehäuses sowie zwischen der rechten Gehäuseseitenwand 26 und der linken Gehäuseseitenwand 2 als Bedien- und Signalisierungsmittel angeordnet. Der Griff 2 besteht aus einem Mittelstück 21 und geht beidseitig über gegebenenfalls oben abgeschrägte Seitenstücke 211, 212 teilweise in das Gehäuse über. Die Seitenstücke 211, 212 sind nach unten bis zur Grundplatte 31 verlängert und rungenförmig ausgebildet. Unter Runge wird eine seitliche Haltestange oder ein Halteformteil verstanden. Das Gehäuse ist zwischen den rungenförmig ausgebildeten Teilen der Seitenstücke 211, 212 eingeformt und besitzt eine Gehäuseoberseite 22, eine Gehäuseunterseite 23 sowie die Gehäuseseitenwände 26 und 27.
Zwischen der Gehäuseunterseite 23 und der Grundplatte 31 des Handstempelgeräts 1 existiert ein Abstand, welcher die Höhe eines nach vorne offenen Druckerraumes 30 bildet, dessen Breite durch einen seitlichen Abstand die der Gehäuseseitenwände 26 und 27 und dessen Tiefe durch einen Abstand bis zu einer Gehäuserückwand definiert wird. Im Druckerraum 30 ist mindestens ein Tintenstrahldruckkopf 32 mit mindestens einer - nicht gezeigten - Antriebsvorrichtung angeordnet, zum Bewegen eines - nicht gezeigten - Druckwagens des Tintenstrahldruckkopfes über das Druckmedium 5 mindestens in einer x-Richtung oder entgegengesetzt dazu. Der zweite Sensor 35 kann ebenso wie der erste Sensor 34 aufgebaut sein und meldet ein Aufsetzen des Geräts auf die Basisstation.
Der taktile Transferstift 341 des ersten Sensors 34, welcher ein Aufsetzen des Geräts auf das Druckmedium 5 meldet, ist länger, als ein taktiler Transferstift 351 des zweiten Sensor 35 ausgebildet.

[0020] In der Figur 2b wird eine Seitenansicht des universell einsetzbaren elektronischen Handstempelgeräts 1 von rechts gezeigt. Einige Teile des Gehäuses, die Starttaste 24 im Griff 2, die im Druckerraum eingebaute Antriebsvorrichtung 33 für mindestens einen Tintenstrahldruckkopf 32 und die elektronischen Baugruppen 4, 5, 6, 7, 8 und 9 sind gestrichelt gezeichnet, weil diese von aussen nicht sichtbar sind.
Die nicht sichtbaren Teile der Gehäuseoberseite 22 und Gehäuseunterseite 23 sowie die einen Innenraum begrenzenden nicht sichtbaren Teile des Gehäuses sind gestrichelt gezeichnet. Dabei wird ein Sicherheitsbereich 10 vom Nicht-Sicherheitsbereich 20 unterschieden. Im Sicherheitsbereich 10 ist eine Hauptleiterplatte 19 mit den elektronischen Baugruppen 4, 7, 8 und 9 auf der einen nach vorn gerichteten Seite und mit - nicht gezeigten - sicherheitskritischen elektronischen Baugruppen inclusive Transaktionsmodul auf der nach hinten gerichteten Seite der Hauptleiterplatte 19 angeordnet, welche die Steuerung des universell einsetzbaren elektronischen Handstempelgeräts 1 und on demand insbesondere die Berechnung eines Sicherheitscodes vornehmen können.
Im Nicht-Sicherheitsbereich 20 sind die Batterien oder Akkumulatoren 5, 6 auswechselbar unter einem Deckel 281 angeordnet, der im geschlossenen Zustand einen nicht sichtbere Öffnung in der Rückwand 28 des Gehäuses abdeckt.
Das rungenförmig ausgebildete Teil des Seitenstücks 211 ist vom Gehäuse nach unten verlängert bis zur Grundplatte 31. Es wurde nahe einer Rückwand 29 ausgeschnitten gezeichent, um den innenliegenden taktilen Sensor 34 und die Lage des von dem Sensor 34 via Grundplatte 31 bis zum Druckmediums 5 verlängerten taktilen Transferstifts 35 zu verdeutlichen. Die Rückwand 29 ist zwischen den rungenförmig ausgebildeten Teilen der Seitenstücke angeordnet und geht nach oben in einer Stufe in die Rückwand 28 des Gehäuses über, in welchen die elektronischen und sicherheitskritischen elektronischen Baugruppen angeordnet sind. Die Rückwand 29 geht nach unten in die Grundplatte 31 über bzw. steht auf dieser.
Die Grundplatte 31 ist durch die an der rechten Seite angeordneten Fußstücke 313 und 314 vom Druckmedium 5 beabstandet. Die Buchse 39 ist bodenseitig in das rungenförmig ausgebildete Teil des Seitenstücks 211 angeformt und ragt durch eine (nicht sichtbare) Öffnung der Grundplatte 31, so dass deren Kontaktstellen in Richtung des Druckmediums 5 bzw. alternativ auf die Basisstation gerichtet sind.
In der Figur 2b wird auch prinzipiell die optionale Möglichkeit gezeigt, dass der mindestens eine Tintenstrahldruckkopf 32 mit derselben Antriebsvorrichtung 33 oder mittels einer anderen Antriebsvorrichtung zum Bewegen eines Druckwagens des Tintenstrahldruckkopfes in eine zweite y-Richtung oder entgegengesetzt dazu verfahren werden kann, welche quer zur ersten x-Richtung oder entgegengesetzt dazu liegt.

[0021] In der Figur 3 wird perspektivische Ansicht eines PC's 50 und Ansicht des universell einsetzbaren elektronischen Handstempelgeräts 1 von vorn in einer Wartungsposition auf einer Basisstation 40 stehend gezeigt. Ein handelsüblicher Personalcomputer 50 (PC) weist in an sich bekannter Weise ein Modem, eine Kommunikationsbuchse und eine USB-Buchse auf. In letzte wird ein zugehöriger Steckverbinder 56 gesteckt, der an dem einen Ende des handelsüblichen USB-Kabels 57 angeordnet ist.
Ein Steckverbinder 58 an dem anderen Ende des USB-Kabels 57 wird in eine handelsübliche USB-Buchse der Basisstation 40 gesteckt, mit welcher das Handstempelgerät 1 in mechanischen und elektrischen Kontakt gebracht wurde. In die Kommunikationsbuchse des PCs wird ein Stecker 55 eines Kommunikationskabels 54 gesteckt zur Verbindung mit einem entfernten Datenzentrum 60 via Telefonnetz (nicht gezeigt), um geldwerte Daten via PC 50 und Basisstation 40 in das Handstempelgerät 1 nachzuladen. Die monetären Daten werden im Sicherheitsbereich des Handstempelgeräts 1 in einem Speicher nichtflüchtig, beispielsweise als Guthaben, gespeichert.
Alternativ kann zur Verbindung mit dem entfernten Datenzentrum 60 auch ein Gerät zur drahtlosen Kommunikation eingesetzt werden.
Eine Reinigungs- und Dichtstation 49 (RDS) wurde in die Basisstation eingebaut, um den mindestens einen Tintenstrahldruckkopf 32 zu warten, sobald das Handstempelgerät 1 auf die Basisstation aufgesetzt wird.

[0022] Eine interne Energiequelle, beispielsweise ein Akkumulator, des Handstempelgeräts 1 kann ggf. nachgeladen werden, weil die Basisstation 40 eine Netzteil- und Lade-Einheit 43 aufweist, welche via Netz-Kabel 44 und -Stecker 45 mit einem Stromversorgungsnetz verbunden werden kann.
Vom Sicherheitsprozessor werden die Sensorsignale ständig überwacht. Wenn das Sensorsignal des ersten Sensors 34 von High auf Low wechselt, wurde das Handstempelgerät 1 auf ein Druckmedium aufgesetzt. Das Gerät arbeitet während der Durchführung der sicherheitskritischen Transaktionen offline, d.h. ohne eine Datenverbindung zu einem PC oder einem Server aufzubauen.
Wird das Handstempelgerät 1 auf die Basisstation aufgesetzt, dann ändert sich das Sensorsignal des ersten Sensors 34 nicht, weil der taktile Transferstift 341 über einer Einbuchtung 401 der Basisstation 40 positioniert ist und somit nicht bewegt wird.
Die Basisstation weist eine Ausbuchtung 402 auf, welche unter dem Transferstift 351 des zweiten Sensors 35 positioniert ist und welche den Transferstift 351 bewegt, wenn das Handstempelgerät 1 auf die Basisstation 40 aufgesetzt wird. Wenn das Sensorsignal des zweiten Sensors 35 von Low auf High wechselt, wurde das Handstempelgerät 1 von der Basisstation herunter genommen.
Alternativ kann auch ein Kontakt der am externen Interface angeschlossenen Buchse 36 mit der Kontaktstelle 46 überwacht werden. Letztere ist als Stecker ausgebildet, wobei ein Kontaktstift geerdet bzw. auf Massepotential gelegt ist. Der zweite Sensor 35 kann dann entfallen.
Das externe Interface hat darüber hinausgehend folgende Hauptfunktionen zu erfüllen:

• Stromversorgung und ggf. Nachladung interne Energiequelle,
• Erweiterung des Userinterfaces,
• Datenübertragung vom Sicherheitsprozessor des Handstempelgeräts zur Basisstation zu deren Steuerung zwecks Wartung des Tintenstrahldruckkopfes,
• Nachladen von Daten und Anwendungsprogrammen vom PC in das Handstempelgerät,
• Datenübertragung zum Datenabgleich zwischen Handstempelgerät und PC,
• Nachladen von Daten von einem entfernten Datenzentrum via PC in das Handstempelgerät (wie beispielsweise im Modus Frankierer das Nachladen von monetären Daten, Nachladen von Postprodukten oder Posttariftabellendaten und das ge-sichertes Einladen von Vektoren/Schlüsseln für kryptographische Operationen, die im Sicherheitsprozessor des Handstempelgeräts ausgeführt werden).

[0023] Das universell einsetzbaren elektronischen Handstempelgerät kann ortsungebunden und offline betrieben werden und in dem einen Modus als Frankierer arbeiten, wobei sicherheitskritische Transaktionen ausgeführt und im Ergebnis individuell abgesicherte Stempelaufdrucke erzeugt werden. Die einschlägigen länderabhängig unterschiedlichen Sicherheitsanforderungen der Postorganisationen werden dabei berücksichtigt.

[0024] Bei Bedarf sind außerdem beispielsweise folgende Modi auswählbar:

• Anwendung als Posteingangsstempler,
• Anwendung als Sequenznummerndrucker,
• Anwendung als Gebührenstempler,
• Anwendung als Zertifikat-Drucker.

[0025] Gegebenfalls sind das erforderliche Anwendungsprogramm und Daten vom PC in das Handstempelgerät nachzuladen bzw. bei Bedarf in einzelnen Software-Modulen zu ergänzen, bevor das Handstempelgerät von der Basisstation getrennt wird.

[0026] Im Modus Frankieren lassen sich mindestens folgende Betriebsmodi unterscheiden:

I. Frankieren

II. Geld nachladen

III. Aktualisierung der Sicherheitsdaten

IV. Tariftabellendaten bzw. Postproduktdaten nachladen.

[0027] Für diese Betriebsmodi II bis IV gelten jeweils andere spezielle Ablaufdiagramme des Handstempelgeräts als das nachfolgend in der Figur 4 dargestellte Ablaufdiagramm.

[0028] In der Figur 4 wird ein Ablaufdiagramm 100 des Handstempelgeräts 1 im Betriebsmodus Frankieren gezeigt. Sobald das Handstempelgerät 1 von der Basisstation herunter genommen wird, ist ein erster Schritt 101 erreicht, und das Ablaufdiagramm 100 wird gestartet. Zunächst wird ein Unter-programm im zweiten Schritt 102 gestartet, um die Anwahl des zu fran-kierenden Postproduktes über eine Kurzwahltaste der Eingabemittel 7 festzustellen. Das Unterprogramm umfast mindestens einen ersten und zweiten Abfrageschritt (nicht gezeigt). Anschließend wird in einem dritten Abfrageschritt 103 überprüft, ob eventuell das im Handstelmpelgerät vorhandene Restguthaben zu gering ist, um die Dienstleitung des Postbeförderers in Anspruch zu nehmen. Falls letzteres nicht zutrifft, wird auf einen vierten Abfrageschritt 104 verzweigt. Falls letzteres aber zutrifft erscheint zur Zustandssignalisierung eine Fehleranzeige im dreizehnten Schritt 113. Vom letzteren Schritt 113 wird dann auf den Anfang des zweiten Schritts 102 zurückverzweigt.
Im vierten Abfrageschritt 104 wird nach Abfrage des Sensorsignals des ersten Sensors 34 geprüft, ob das Gerät auf dem Druckmedium steht. Ist letzteres der Fall, dann wird auf einen fünften Abfrageschritt 105 verzweigt. Anderenfalls wird zur Zustandssignalisierung eine Anzeige "Gerät absetzen" im vierzehnten Schritt 114 ausgegeben und dann auf einen sechsten Abfrageschritt 106 verzweigt. Im vorgenannten sechsten Abfrageschritt 106 wird nach Abfrage des Sensorsignals des zweiten Sensors 35 geprüft, ob das Gerät auf der Basisstation steht. Falls letzteres nicht zutrifft, wird auf einen siebenten Schritt 107 verzweigt, um eine kryptographische Vorausberechnung für den Sicherheitscode eines nachfolgenden Stempelabdrucks vorzunehmen. Vom letzteren Schritt 107 wird dann auf den Anfang des zweiten Schritts 102 zurückverzweigt.
Im fünften Abfrageschritt 105 wird geprüft, ob die Starttaste betätigt worden ist. Falls letzteres noch nicht erfolgt ist, wird auf den Anfang des fünften Abfrageschritts 105 zurück verzweigt. Anderenfalls wird auf einen achten Schritt 108 zur Buchung des Portowertes verzweigt, mit dem das Poststück frankiert werden soll. Im nachfolgenden neunten Schritt 109 wird die Berechnung des krytographischen Sicherheitscodes abgeschlossen. Vom neunten Schritt 109 wird auf einen zehnten Schritt 110 verweigt, in welchem eine Druckdatenaufbereitung mit dem DataMatrix 2-D Code vorgenommen wird. Anschließend wird ein elfter Schritt 111 erreicht, in welchem der Stempelabdruck mit dem krytographischen Sicherheitscode inclusive aufgedruckt wird. Dann wird der sechste Abfrageschritt 106 erreicht. Wenn das Gerät auf der Basisstation steht wird vom sechsten Abfrageschritt 106 auf das Ende der Routine 100 im Schritt 112 verzweigt.

[0029] In den folgenden Ausführungen wird die Durchführung von Transaktionen im I.Betriebsmodus 'Frankieren' näher ausgeführt. Bis zum Ende der Transaktion wird folgende grundlegende Schrittabfolge ausgeführt:

a) Nutzdatenbereitstellung im Ergebnis des Unterprogramms 102 zur Anwahl des zu frankierenden Postproduktes über eine Kurzwahltaste.

b) Transaktionsstart im Ergebnis der Betätigung der Starttaste, welches im fünften Abfrage Schritt 105 ermittelt wird,

c) eine anwendungsspezifische Datenverarbeitung zur Buchung des Portowertes bzw. Frankierabrechnung im Schritt 108,

d) Nutzdatenabsicherung im Schritt 109, hier Erzeugung einer kryptographischen Checksumme oder eines Sicherheitscodes,

e) Druckdatenaufbereitung im Schritt 110,

f) Stempelaufdruck im Schritt 111.

[0030] Im Folgenden werden die einzelnen Schritte anhand des Ausführungsbeispiels im I.Betriebsmodus 'Frankieren' genauer beschrieben.

a. Nutzdatenbereitstellung

[0031] Beim Handstempelgerät lassen sich grundsätzlich folgende mögliche Quellen für die Nutzdatenbereitstellung unterscheiden:

• Direkteingabe der Nutzdaten über Tastatur oder
• Auswahl der Nutzdaten über Kurzwahltasten.
  Die Nutzdaten können hier der Portowert (zum Beispiel 0.55 €) für einen Standardbrief oder das auf eine Kurzwahltaste programmierte zu frankierende Produkt (z.B. Standardbrief Inland) sein. Im letzteren Fall werden die Nutzdaten über die Anwahl einer vorprogrammierten Kurzwahltaste des Eingabemittels bereitgestellt. Über die Kurzwahltasten wählt der Bediener das zu frankierende Produkt aus. Die Software des Sicherheitsprozessors, der mit dem Eingabemittel verbunden ist, erkennt eine Statusänderung der Kurzwahltasten und speichert die Auswahl für die Weiterverarbeitung.

b. Transaktionsstart

[0032] Beim Handstempelgerät sind die Quellen für den Start einer Transaktion abzufragen:

• Sensor 34 und
• Schalter 24.

[0033] Im o.g. Ausführungsbeispiel wird die Transaktion vom Bediener durch Betätigen des Starttasters (Schalter 24) gestartet. Dazu muss das Handstempelgerät bereits auf die Oberfläche des Druckmediums (Postgut) aufgesetzt sein. Dieses Aufsetzen wird beispielsweise durch einen durch ein Loch in der Grundplatte hindurch ragenden taktilen Transferstift 341 des Mikroschalters (Sensor 34) abgefragt. Die Transaktion wird automatisch durch Aufsetzen des Handstempelgeräts auf das Druckmedium mittels Mikroschalter vorbereitet.
Der Sicherheitsprozessor der Steuerung ist mit dem Eingabemittel und dem Starttaster 24 und dem Mikroschalter 34 betriebsmäßig verbunden. Die Software des Sicherheitsprozessors prüft den Zustand des Mikroschalters 34 und erkennt die Betätigung des Starttasters 24 durch den Benutzer. Wird nun der Starttaster 24 betätigt, so startet die Software die Transaktion. Andernfalls wird eine Zustandsmeldung ausgegeben.

[0034] Der Sicherheitsprozessor der Steuerung ist mit den nichtflüchtigen Speichern verbunden. Die Software des Sicherheitsprozessors führt die notwendigen Operationen der Transaktion aus.

c. Anwendungsspezifische Datenverarbeitung

[0035] im I. Betriebsmodus 'Frankieren' speichert der Sicherheitsprozessor des Handstempelgeräts unterschiedliche Datensätze und führt folgende Operationen zur Speicherung der Stückzahl und des Werts (value) in den Postregistern aus:

Anwendung / Modus	Speicher-/Registername	Operation
Frankierer/ Frankieren	descending register	DR := DR - value
	ascending register	AR := AR + value
	piece counter	PC := PC + 1

d. Nutzdatenabsicherung

[0036] Die Nutzdaten sollen kryptographisch abgesichert werden. Dazu soll über die Nutzdaten eine Prüfsumme gebildet werden. Diese soll zusammen mit den Nutzdaten im Stempelaufdruck ggf. verschlüsselt als Sicherheitscode (kryptographische Checksumme) erscheinen. Dazu wird ein individuell abgesicherter Stempelaufdruck generiert. Zur Erzeugung der kryptographischen Checksumme können folgende Prinzipien zur Anwendung kommen:

□ Asymmetrische Digitale Signaturen oder

□ Symmetrische Message Authentication Codes (MAC /T-MAC).

[0037] Zur Generierung von asymmetrischen Digitalen Signaturen können u.a. ein Digital Signature Algorithm (DAS), ein Elyptic Curve Digital Signature Algorithm (ECDSA), ein nach den Erfindern Rivest, Shamir und Adleman benanntes RSA-Verfahren oder andere Verfahren eingesetzt werden. Zur Generierung von symmetrischen Message Authentication Codes können u.a. folgende Verfahren:

Data Encryption Standard (DES),

Advanced Encryption Standard (AES),

Hash based Message Authentication Code (HMAC),

Secure Hash Algorithm 256 (SHA256) eingesetzt werden.

[0038] Unabhängig vom eingesetzten Verfahren wird für die Berechnung einer kryptographischen Checksumme ein individueller kryptographischer Schlüssel benötigt. Dieser Schlüssel muss sicher im Handstempelgerät gespeichert werden. Die Speicherung kann in einem nichtflüchtigen Speicherbereich innerhalb des Sicherheitsprozessors oder in verschlüsselter Form in einem mit dem Sicherheitsprozessor verbundenen nichtflüchtigen Speicher geschehen. Im Ausführungsbeispiel wird eine kryptographische Checksumme über die folgenden im Gerät gespeicherten Nutzdaten gebildet:

• Frankierwert (value)
• Lizenznummer (license-ID)
• Datum (date)
• Restguthaben (DR)
• Verbrauchtes Guthaben (AR)
• Stückzähler (PC) u.a.

[0039] Im o.g. Ausführungsbeispiel 'Frankieren' wird ein truncated Message Authentication Code (T-MAC) mittels der Rechenvorschrift AES gebildet. Dabei wird der im Sicherheitsprozessor des Gerätes gespeicherte kryptographische Schlüssel genutzt, der hier indicia key' genannt wird.

e. Druckdatenaufbereitung

[0040] Die Druckdatenaufbereitung überführt die Nutzdaten und die kryptographische Checksumme in eine grafische Präsentation der zu druckenden Daten welche anschließend mittels Tintenstrahldruckkopf auf das Medium gedruckt werden kann. Dabei sind beispielsweise folgende grafische Präsentationen der zu druckenden Daten möglich:

• Klartext
• OCR lesbarer Text
• 1-D Barcode
• 2-D Barcode

[0041] Für die Generierung von OCR lesbaren Text können verschiedene Schriftarten wie z.B. OCR-A nach ISO 1073-1 oder OCR-B nach ISO 1073-2 verwendet werden.

[0042] Für die Generierung von 1-D Barcodes können verschiedene Strichcodearten wie z.B. der Code 128 nach ISO/IEC 15417 oder der Code 2/5 Interleaved nach ISO/IEC 16390 verwendet werden.
Für die Generierung von 2-D Barcodes können verschiedene Varianten wie z.B. der PDF 417 nach ISO/IEC 15438 oder der DataMatrix nach ISO/IEC 16022 verwendet werden.

[0043] Die Auswahl der jeweiligen Präsentation geschieht je nach Anwendungsfall bzw. Länderversion und berücksichtigt die darzustellende Datenmenge und die Anforderungen an die Lesbarkeit des individuell abgesicherten Stempelaufdruckes.

[0044] Im o.g. Ausführungsbeispiel 'Frankieren' sollen die Daten in einem DataMatrix 2-D Barcode dargestellt werden. Daneben werden einzelne Nutzdaten, wie z.B. der Frankierwert, das Datum oder die Lizenznummer als Klartext gedruckt.

f. Stempelaufdruck

[0045] Im Ausführungsbeispiel werden die Daten mit einer Höhe von 12,8 mm gedruckt. Damit ist keine Auslenkung des Tintenstrahldruckkopfes in Y-Richtung erforderlich.

[0046] Der Sicherheitsprozessor führt im Modus 'Frankierer' folgende sicherheitskritische Aufgaben aus:

• Sichere Speicherung des Frankierguthabens,
• sichere Kommunikation mit der Infrastruktur,
• sichere Speicherung des ,indicia' Schlüssels und
• sichere Berechnung des Frankierabdruckes.

[0047] Während des Betriebsmodus 'Frankieren' kann das Transaktionsmodul die sichere Speicherung des Frankierguthabens und Berechnung des Frankierabdruckes vornehmen, um Frankierabdrucke zu erzeugen, zum Beispiel nach dem FrankIT Standard der Deitschen Post AG (DPAG).

[0048] Die Frankierlösung mit dem universell einsetzbaren elektronischen Handstempelgerät hat Vorteile im unteren Marksegment bei einem Durchsatz von ca. 5 Abdrucken am Tag aufgrund ihrer Mobilität, Einfachheit und guter Bedienbarkeit bei hoher Manipulations- bzw. Fälschungssicherheit. Zur Ereichung von niedrigen Herstellungskosten wird vorausgesetzt, dass eine Herstellung in größeren Stückzahlen zu entsprechend günstigen Preisen möglich ist, weil das Einsatzgebiet des Geräts sehr groß ist.

[0049] Im Folgenden werden die einzelnen Schritte allgemein für weitere Ausführungsbeispiele beschrieben, wobei Transaktionen von separaten Transaktionsmodulen für entsprechende Modi durchgeführt werden:

• Anwendung als- Posteingangsstempler,
• Anwendung als Sequenznummerndrucker,
• Anwendung als Sequenzdatendrucker oder
• Anwendung als Gebührenstempler bzw.
• Anwendung als Zertifikatdrucker.

aa. Nutzdatenbereitstellung

[0050] Beim Handstempelgerät lassen sich grundsätzlich folgende mögliche Quellen für die Nutzdatenbereitstellung bei allgemeinen Anwendungen unterscheiden:

• Datum und Uhrzeit des Handstempelgeräts als Quelle für Nutzdaten,
• Betrieb als interner fortlaufender Zähler als Quelle für Nutzdaten,
• vorprogrammierter Betrieb mit Daten aus vorab in das Handstempelgerät geladener Sequenzdatei als Quelle für Nutzdaten und
• Betrieb mit Gebührendaten, die vorab in das Handstempelgerät geladen und über Kurzwahltasten aufgerufen werden.
• Betrieb mit in das Handstempelgerät eingegeben Daten (z.B. Name).

bb. Transaktionsstart

[0051] Es lassen sich beim Handstempelgerät grundsätzlich folgende mögliche Quellen für den Start einer Transaktion unterscheiden:

• Die Transaktion wird vom Bediener durch Druck des Starttasters eingeleitet (Posteingangsstempel) und/oder
• Die Transaktion wird automatisch durch Aufsetzen des Handstempelgeräts auf das Druckmedium mittels Mikroschalter eingeleitet.
  Ein solcher Auslösemechanismus beispielsweise beim Drucken von Sequenznummern sinnvoll, bei denen "hintereinander weg" gestempelt werden soll.

cc. Anwendungsspezifische Datenverarbeitung

[0052] Im Folgenden werden Operationen der anwendungsspezifischen Datenverarbeitung anhand von Beispielen aus unterschiedlichen Anwendungsgebieten erläutert:

Anwendung / Modus	Speichername	Operation
Posteingangsstempler	Kalenderbaustein	actual Date
	Interne Uhr	actual Time
	Sequenzzähler (sequence counter)	SEQ := SEQ +1
Sequenznummerndrucker	Sequenzzähler (sequence counter)	SEQ := SEQ +1
Gebührenstempeldrucker	Stückzähler (piece counter)	PC := PC +1
	Gebührenregister (fee register)	GR := GR - value
Zertifikatdrucker	Name und Mittelungsklasse (class of message)	name class
	Kalenderbaustein	actual Date
	Stückzähler (piece counter)	PC := PC +1

dd. Nutzdatenabsicherung

[0053] Die Nutzdaten bei Drucken eines Zertifikats können kryptographisch abgesichert werden. Dazu soll über die Nutzdaten eine Prüfsumme gebildet werden. Diese soll zusammen mit den Nutzdaten im Zertifikataufdruck ggf. verschlüsselt als digitale Unterschrift bzw. Sicherheitscode (kryptographische Checksumme) erscheinen. Dazu wird wieder ein individuell abgesicherter Stempelaufdruck generiert.

ee. Druckdatenaufbereitung

[0054] Die Druckdatenaufbereitung in den Modi Posteingangsstempler, Sequenznummerndrucker und Gebührenstempeldrucker überführt die Nutzdaten in eine grafische Präsentation (Klartext, OCR-lesbarer Text, 1-D Barcode oder 2-D Barcode) der zu druckenden Daten, die anschließend mittels Tintenstrahldruckkopf auf das Druckmedium gedruckt werden.
Im Modus Zertifikatdrucker besteht die Möglichkeit zum Drucken einer digitalen Unterschrift (signature) oder eines gleichwertigen Sicherheitsmerkmals.

f. Stempelaufdruck

[0055] Die Stempelaufdrucke sollen mittels eines Tintenstrahldruckkopfes erzeugt werden. Die Dimension des Stempelabdruckes bestimmt die Geometrie der Druckeinheit. Übliche Tintenstrahldruckköpfe, wie zum Beispiel die HP TIJ 2.5 Kartuschen, haben eine Druckzeile mit einer Druckhöhe von ½ Zoll, also von 12,8 mm.
Der Tintenstrahldruckkopf wird vom Sicherheitsprozessor angesteuert und mit Druckdaten versorgt. Er ist über einen Antrieb in X-Richtung beweglich aufgehängt. Die Druckzeile überstreicht das Druckmedium.
Wird eine größere Druckhöhe als beispielsweise 12,8 mm gefordert, so ist der Druckkopf auch eine Auslenkung in Y-Richtung notwendig.

[0056] Es ist vorgesehen, dass eine Vielzahl an separaten Transaktionsmodulen für entsprechende Modi Bestandteil der vorgenannten integrierten Schaltung sind.

[0057] Das Handstempelgerät arbeitet während der Durchführung der sicherheitskritischen Transaktionen offline, also ohne eine Datenverbindung zu einem PC oder einem Server aufzubauen. Die Erfindung ermöglicht den Einsatz des Handstempelgeräts in bewegten Transportmitteln, wie zum Beispiel im Inter-City-Express (ICE). Der Tintenstrahldruckkopf kann zwischenzeitlich durch eine Kappe (nicht gezeigt) vor Austrocknung geschützt werden, solange keine Basisstation zu dessen Wartung zur Verfügung steht.

[0058] Die Steuerungseinheit ist zum Steuern des Druckens und der Basisstation programmiert, auf welche das Handstempelgerät zu dessen Wartung und Nachladung mit Daten aufgesetzbar ausgebildet ist.

[0059] Die Erfindung ist nicht auf die vorliegenden Ausführungsformen, d.h. Modi beschränkt. Vielmehr sind weitere Ausführungsformen im Rahmen der Ansprüche denkbar, die eingesetzt werden und die vom gleichen Grundgedanken der Erfindung ausgehend von den anliegenden Ansprüchen umfasst werden.

Ansprüche

1. Universell einsetzbares elektronisches Handstempelgerät, mit einem in einem Druckfenster hin- und her bewegbaren Tintenstrahldruckkopf (32), wobei das Druckfenster in einer während des Druckens einem Druckmedium zugewandten Grundplatte angeordnet ist, mit einer Steuerungseinheit (18), die mit einem Userinterface, mit einer externen Schnittstelle (16) und mit einer internen Schnittstelle (15) verbunden ist, wobei über die interne Schnittstelle (15) der Tintenstrahldruckkopf und ein Antrieb zur Bewegung des Tintenstrahldruckkopfes betriebsmäßig verbunden ist sowie mit einer internen Energiequelle (5, 6) zur Versorgung der Steuerungseinheit (18), des Tintenstrahldruckkopfes (32) und dessen Antriebs (33) sowie der Schnittstellen (15, 16), wobei die Steuerungseinheit (18) einen Sicherheitsprozessor (11) einschließt, der mindestens ein Transaktionsmodul aufweist, welches zur Durchführung von kryptographischen Sicherungs- und Zertifizierungsaufgaben in Verbindung mit dem Drucken eines individuell abgesicherten Stempelabdruckes vorgesehen ist und wobei die Steuerungseinheit (18) zum Steuern des Druckens und einer Basisstation (40) programmiert ist, auf welche das Handstempelgerät (1) zu dessen Wartung und Nachladung mit Daten aufgesetzbar ausgebildet ist.

2. Universell einsetzbares elektronisches Handstempelgerät, nach Anspruch 1, gekennzeichnet dadurch, dass zumindest ein Teil der Elektronik der Steuerungseinheit (18) in einer einzigen integrierten Schaltung realisiert ist.

3. Universell einsetzbares elektronisches Handstempelgerät, nach den Ansprüchen 1 bis 2, gekennzeichnet dadurch, dass das mindestens eine Transaktionsmodul ein Bestandteil der vorgenannten integrierten Schaltung ist.

4. Universell einsetzbares elektronisches Handstempelgerät, nach den Ansprüchen 1 bis 2, gekennzeichnet dadurch, dass eine Vielzahl an separaten Transaktionsmodulen für entsprechende Modi Bestandteil der vorgenannten integrierten Schaltung sind.

5. Universell einsetzbares elektronisches Handstempelgerät, nach den Ansprüchen 3 oder 4, gekennzeichnet dadurch, dass die integrierte Schaltung im Sicherheitsbereich eines Gehäuses des Handstempelgeräts angeordnet ist.

Zeichnung