Vorrichtung und Verfahren zur Verarbeitung von Messwerten; Verwendung eines Speichermediums zur Sicherung von signierten Softwarekomponenten

Abstract

 Die Erfindung betrifft eine Vorrichtung zur Verarbeitung von Messwerten, die wenigstens ein mechanisch versiegeltes Messgerät (10;30;40) und wenigstens eine signierte Softwarekomponente (52) zur Verarbeitung der Messwerte des Messgerätes (10;30;40) umfasst, wobei das mechanisch versiegelte Messgerät (10;30;40) an eine Recheneinheit (50) angeschlossen ist. Erfindungsgemäß ist die signierte Softwarekomponente (52) auf einem Speichermedium (11) hinterlegt, das einen Schreibschutzschalter aufweist, der mechanisch versiegelt ist. Das Speichermedium (11) ist an die Recheneinheit (50) angeschlossen. Die Erfindung betrifft ferner ein Verfahren zur Verarbeitung von Messwerten mit einer solchen Vorrichtung und die Verwendung eines Speichermediums (11) mit Schreibschutzschalter zur Sicherung von signierten Softwarekomponenten.

Beschreibung

[0001] Die Erfindung betrifft eine Vorrichtung zur Verarbeitung von Messwerten, die wenigstens ein mechanisch versiegeltes Messgerät und wenigstens eine signierte Softwarekomponente zur Verarbeitung der Messwerte des Messgerätes umfasst, wobei das mechanisch versiegelte Messgerät an eine Recheneinheit der Vorrichtung angeschlossen ist.

[0002] Die Erfindung betrifft ferner ein Verfahren zur Sicherung von signierten Softwarekomponenten für eine solche Vorrichtung und die Verwendung eines Speichermediums mit einem Schreibschutzschalter zur Sicherung von signierten Softwarekomponenten einer solchen Vorrichtung.

[0003] Für Messgeräte wie beispielsweise Waagen, Tankzapfsäulen, etc. besteht die Notwendigkeit, diese gemäß nationaler Eichgesetze eichen zu lassen, um eichpflichtige Messungen damit durchführen zu können. Die Eichung setzt in den meisten Fällen eine Bauartzulassung voraus, das heißt ein typisches Exemplar des betreffenden Messgerätes muss von der zuständigen Behörde zugelassen werden. In der Bundesrepublik Deutschland ist die dafür zuständige Behörde beispielsweise die Physikalisch Technische Bundesanstalt (PTB).

[0004] Die Behörde prüft üblicherweise die Zulassungsunterlagen und ein Mustergerät nach den Vorschriften der jeweiligen Eichordnung. Wesentliche Aspekte sind hierbei die Messrichtigkeit und Messbeständigkeit. Es müssen insbesondere die geltenden Anforderungen und Fehlergrenzen eingehalten werden. Die Zulassungsprüfung beinhaltet messtechnische, technische und administrative Prüfungen. Bei den technischen Prüfungen, zu denen auch Softwareprüfungen gehören, wird untersucht, ob die Bedien-, Anzeige- und Abdruckfunktionen den Anforderungen genügen und das Gerät ausreichend gegen Bedienungsfehler und Manipulationen geschützt ist. Da Einlieferungsstationen für Postsendungen üblicherweise computergesteuert sind, ist somit eine Eichung von Softwarekomponenten erforderlich.

[0005] War die Zulassungsprüfung erfolgreich, erhält der Antragsteller von der zuständigen Behörde einen Zulassungsschein und ein Zulassungszeichen, das auf allen Messgeräten an sichtbarer Stelle aufgebracht werden muss. Es gibt innerstaatliche und europäische Zulassungen, wobei man bei den europäischen Zulassungen herkömmliche EWG-Zulassungen und EG-Bauartzulassungen unterscheidet. Hat die Geräte-Bauart eine Zulassung erhalten, so muss anschließend jedes einzelne Gerät von der zuständigen Eichbehörde geeicht werden, bevor es beispielsweise im geschäftlichen Verkehr eingesetzt werden darf.

[0006] Es besteht die Möglichkeit, alle Komponenten einer zu eichenden Messanlage und die Software in ihrer Gesamtheit prüfen und eichen zu lassen. Dies hat jedoch den Nachteil, dass Änderungen an der Vorrichtung und/oder der Software mit einer erneuten Prüfung durch eine Zulassungsbehörde verbunden sind. Eine Veränderung des der Software zugrunde liegenden Betriebsystems oder sonstiger nicht eichrelevanter Parameter kann daher in diesem Fall nicht von einem Administrator durchgeführt werden. Da eine Messanlage Komponenten im Hardware- und Softwarebereich umfassen kann, die nicht eichpflichtig sind, besteht jedoch die Möglichkeit, eichpflichtige von nicht-eichpflichtigen Komponenten zu trennen. Dadurch können die nicht-eichpflichtigen Komponenten frei verändert werden, ohne dass eine erneute Zulassung oder Eichung der gesamten Anordnung erforderlich ist.

[0007] Aus der deutschen Offenlegungsschrift DE 195 27 293 A1 ist dazu beispielsweise ein Verfahren und eine Vorrichtung zur sicheren Messung und Verarbeitung von Messdaten im Bereich der Abgasuntersuchung bekannt. Damit ein Computer, der an ein Messmodul angeschlossen ist, nicht zusammen mit dem Messmodul geeicht werden muss, was zu einer Einschränkung des zunächst offenen PC-Systems führen würde, schlägt die Druckschrift vor, dass Messwerte über eine geeignete Schnittstelle zu einem PC übertragen werden. Der PC muss dabei nicht geeicht werden, sondern kann auch für andere Anwendungen zur freien Verfügung stehen.

[0008] Die genannte deutsche Offenlegungsschrift DE 195 27 293 A1 erwähnt ferner die auf diesem Gebiet gängige Lösung, eichpflichtige Messprogramme auf dem EPROM eines Computers zu hinterlegen, wo sie vor Manipulation geschützt sind. Das EPROM ist jedoch fest eingebaut und in ihm können nur Daten versiegelt werden, die bei Einbau in dem EPROM hinterlegt wurden. Danach können keine Veränderungen mehr vorgenommen werden. Bei einigen Messanlagen ist es jedoch erforderlich, dass ein Eichbeamter die eichpflichtige Software der Anlage vor Ort prüft, zusätzlich eigene Schlüssel, Signaturen und/oder Zertifikate hinterlegt und die gesamte Anlage erst danach gegen nachfolgende Manipulationen geschützt wird. Dies ist jedoch mit einem fest eingebauten EPROM nicht möglich, da sein Inhalt auch von einem Eichbeamten nicht verändert bzw. ergänzt werden kann.

[0009] Auf dem Gebiet der Freimachung von Postsendungen ist es beispielsweise bekannt, Einlieferungsstationen für Postsendungen zu verwenden, in welche Kunden größere Mengen unfrankierter Postsendungen einliefern können, wobei die Vorrichtung die Sendungen automatisch frankiert. Dabei setzt eine derartige Vorrichtung ein Verfahren zur automatischen Ermittlung eines für eine Sendung erforderlichen Portobetrages voraus. Eine solche Einlieferungsstation für Briefsendungen ist beispielsweise aus der deutschen Offenlegungsschrift DE 10 2005 006 005 A1 bekannt und wird im öffentlichen Raum aufgestellt. Eine solche Vorrichtung muss ebenfalls zugelassen und vor Ort geeicht werden.

[0010] Eine Einlieferungs- und Frankierstation für Postsendungen umfasst üblicherweise Hardwarekomponenten wie Messgeräte und eine Software in Verbindung mit einer Rechercheneinheit, welche die Anlage steuert und das Entgelt für eine Postsendung bestimmt. Eichpflichtige Hardwarekomponenten können physikalisch mit Siegeln verplombt werden, während eichpflichtige Softwarekomponenten anderweitig gegen Manipulation geschützt werden müssen.

[0011] Bekannte Vorgehensweisen eignen sich jedoch aufgrund der genannten Nachteile nicht dazu, eine eichpflichtige und computerbetriebene Vorrichtung so auszubilden, dass ein Eichbeamter vor Ort eine eichpflichtige Software prüfen und ergänzen kann, bevor sie manipulationssicher hinterlegt wird. Aufgabe der Erfindung ist es daher, ein Verfahren und eine zugehörige Vorrichtung bereitzustellen, welche diese Anforderungen erfüllt.

[0012] Erfindungsgemäß wird diese Aufgabe durch eine Vorrichtung mit den Merkmalen des unabhängigen Anspruches 1 gelöst. Vorteilhafte Weiterbildungen der Vorrichtung ergeben sich aus den Unteransprüchen 2-6. Die Aufgabe wird ferner durch ein Verfahren nach Anspruch 7 gelöst. Vorteilhafte Ausführungsformen des Verfahrens ergeben sich aus den Unteransprüchen 8 und 9. Ferner wird die Aufgabe durch die Verwendung eines Speichermediums gemäß der Ansprüche 10 und 11 gelöst.

[0013] Die erfindungsgemäße Vorrichtung zur Verarbeitung von Messwerten umfasst wenigstens ein mechanisch versiegeltes Messgerät und wenigstens eine signierte Softwarekomponente zur Verarbeitung der Messwerte des Messgerätes. Dabei ist das mechanisch versiegelte Messgerät an eine Recheneinheit der Vorrichtung angeschlossen. Die signierte Softwarekomponente ist auf einem Speichermedium hinterlegt, das einen Schreibschutzschalter aufweist, der mechanisch versiegelt ist..

[0014] Bei dem Speichermedium kann es sich beispielsweise um einen USB-Stick oder eine Festplatte mit Schreibschutzschalter handeln.

[0015] Das Speichermedium ist ferner an die Recheneinheit angeschlossen, und die Verbindung zwischen dem Speichermedium und der Recheneinheit ist vorzugsweise ebenfalls mechanisch versiegelt. Die Softwarekomponenten können beispielsweise durch ein asymmetrisches Verschlüsselungsverfahren signiert sein.

[0016] In einem bevorzugten Ausführungsbeispiel der Erfindung ist die Vorrichtung eine Einlieferungsstation zum Frankieren von Postsendungen, die wenigstens eine Waage zur Bestimmung des Gewichts einer Postsendung, wenigstens ein Dimensionsmessgerät zur Bestimmung der Abmessungen einer Postsendung, eine Recheneinheit zur Bestimmung des Portoentgelts für eine Postsendung und eine Frankiereinheit zur Aufbringung eines Frankiervermerks auf die Postsendung umfasst. Die Waage und das Dimensionsmessgerät sind jeweils physikalisch versiegelt und stehen über ebenfalls physikalisch versiegelte Datenkabel in Verbindung mit einer seriellen Schnittstelle der Recheneinheit. Ferner weisen die Waage und das Dimensionsgerät oder eine jeweils zugehörige Schnittstelle Mittel zum Signieren von Messwerten auf. Messtoleranzen der Waage und des Dimensionsmessgerätes sowie Formatkategorien für Postsendungen sind in einem signierten Einwegspeicher hinterlegt, auf dessen Daten ein signiertes Messmodul der Recheneinheit ausschließlich lesenden Zugriff hat, wobei das Messmodul Mittel zum Empfangen von Messwerten von der Waage und dem Dimensionsmessgerät über die serielle Schnittstelle umfasst. Ein Korrekturmodul des Messmoduls umfasst Mittel zum Addieren und Subtrahieren der jeweiligen Messtoleranzen der Waage und des Dimensionsmessgerätes zu den empfangenen Messwerten, um so korrigierte Messwerte zu erzeugen. Das Messmodul umfasst ferner ein Formatmodul, das Mittel zur Bestimmung der Formatkategorie einer Postsendung aus den korrigierten Dimensionsmesswerten und den Formatkategorien im Einwegspeicher umfasst. Darüber hinaus weist das Messmodul Mittel zur Bestimmung der Produktkategorie einer Postsendung aus dem korrigierten Gewichtsmesswert der Postsendung und der vom Formatmodul ermittelten Formatkategorie der Postsendung auf, und das Messmodul hat ferner Zugriff auf eine Datei, die eine Zuordnung zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, so dass ein daraus ermitteltes Portoentgelt für eine Postsendung von dem Messmodul einer Frankiereinheit zuführbar ist. Das Messmodul umfasst ferner Mittel zum Signieren von Datensätzen, bestehend wenigstens aus Messwerten der Waage und des Dimensionsmessgerätes, den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung, und das Messmodul weist ein Speichermodul zur Speicherung eines signierten Datensatzes im signierten Einwegspeicher auf. Das Messmodul ist dabei erfindungsgemäß auf einem Speichermedium mit einem Schreibschutzschalter hinterlegt.

[0017] Von der Erfindung umfasst ist ferner ein Verfahren zur Sicherung von signierten Softwarekomponenten für eine Vorrichtung zur Verarbeitung von Messwerten von wenigstens einem Messgerät, bei dem Softwarekomponenten signiert werden und ein Speichermedium, das einen Schreibschutzschalter aufweist, mit einer Recheneinheit der Vorrichtung verbunden wird. Die signierten Softwarekomponenten werden auf dem Speichermedium hinterlegt und der Schreibschutzschalter des Speichermediums aktiviert. Daraufhin erfolgen eine mechanische Versiegelung des Schreibschutzschalters des Speichermediums und eine ebenfalls mechanische Versiegelung der Verbindung zwischen dem Speichermedium und der Recheneinheit.

[0018] Vorzugsweise werden die signierten Softwarekomponenten von der Recheneinheit der Vorrichtung auf das Speichermedium übertragen, und die Recheneinheit greift beim Betrieb der Vorrichtung auf die signierten Softwarekomponenten auf dem versiegelten Speichermedium zu.

[0019] Von der Erfindung umfasst ist ferner die Verwendung eines bekannten Speichermediums mit einem Schreibschutzschalter, bei der das Speichermedium an die Recheneinheit einer Vorrichtung zur Verarbeitung der Messwerte von wenigstens einem mechanisch versiegelten Messgerät angeschlossen ist. Auf dem Speichermedium sind signierte Softwarekomponenten hinterlegt, wobei der Schreibschutzschalter des Speichermediums aktiviert und mechanisch versiegelt ist.

[0020] Besonders vorteilhaft ist diese Verwendung eines Speichermediums für die beschriebene Einlieferungsstation zur Verarbeitung und Frankierung von Postsendungen.

[0021] Die Erfindung bringt den Vorteil mit sich, dass eichpflichtige und von einem Eichbeamten signierte Softwarekomponenten auf einem Speichermedium hinterlegt werden können, wobei der Eichbeamte die Signierung vornehmen kann, bevor das Speichermedium mit der Recheneinheit einer Messvorrichtung verbunden wird. Der Eichbeamte kann so vor Ort Prüfungen und Signierungen durchführen, was mit fest eingebauten und versiegelten Speichermedien wie EPROMS nicht möglich ist. Durch die Aktivierung eines Schreibschutzes und die mechanische Versiegelung des Schreibschutzschalters kann der Speicher auf einfache aber wirksame Weise gegen unbemerkte Manipulationen geschützt werden. Diese neue Vorgehensweise bringt für viele Messanlagen Vorteile mit sich und stellt dabei eine von den Behörden zugelassene Art des Schutzes dar.

[0022] Weitere Vorteile, Besonderheiten und zweckmäßige Weiterbildungen der Erfindung ergeben sich aus der nachfolgenden Darstellung bevorzugter Ausführungsbeispiele anhand der Abbildungen.

[0023] Von den Abbildungen zeigt:

Fig. 1

eine schematische Darstellung der Erfindung;

Fig. 2

die Verfahrensabläufe in einer Einlieferungsstation zur Verarbeitung und Frankierung von Postsendungen; und

Fig. 3

die Anordnung von eichpflichtigen und nicht-eichpflichtigen Komponenten bei den Verfahrensabläufen gemäß Fig. 2.

[0024] In Fig. 1 ist die Erfindung schematisch dargestellt. Die Erfindung sieht eine Vorrichtung zur Bestimmung und Verarbeitung von Messwerten vor, die wenigstens ein eichpflichtiges Messgerät 10 und wenigstens eine eichpflichtige Softwarekomponente zur Verarbeitung der Messwerte umfasst. Ein Messgerät kann beispielsweise ein Gewicht, die Menge oder die Abmessungen eines Gegenstands oder Mediums ermitteln. Waagen ermitteln das Gewicht einer Ware, während beispielsweise eine Benzinzapfsäule den Durchfluss eines Treibstoffs ermittelt. Beide Arten von Messanlagen müssen zugelassen und von Eichbeamten signiert werden. Dabei kann ein zugehöriges Messgerät auf übliche Weise geeicht und signiert werden, indem beispielsweise ein physikalisches Siegel in Form einer Verplombung 12 angebracht wird. Das Messgerät kann nicht manipuliert werden, ohne die Verplombung aufzubrechen, so dass eine Manipulation eindeutig festgestellt werden kann.

[0025] Das Messgerät 10 ist zur Verarbeitung von Messdaten an eine Recheneinheit 50 angeschlossen. Ein Datenkabel 70 von dem Messgerät 10 zur Recheneinheit 50 ist vorzugsweise ebenfalls physikalisch versiegelt, so dass Manipulationen an dieser Verbindung feststellbar sind. Bei der Recheneinheit 50 kann es sich beispielsweise um einen PC mit einem Prozessor, einem Speicher, mehreren Festplatten und Wechselmedien handeln. Der PC verfügt ferner über einen Netzwerkanschluss beispielsweise in Form von Fast Ethernet.

[0026] Auf der Recheneinheit 50 befinden sich nicht-eichpflichtige Softwarekomponenten für die Verarbeitung der Messwerte. Teile der Software zur Verarbeitung der Messwerte unterliegen jedoch der Eichung, damit beispielsweise die Berechnung von Entgelten, die von einem Kunden für eine Ware oder Leistung zu zahlen sind, nicht zu Gunsten oder zum Schaden des Kunden manipuliert werden kann. Zweckmäßigerweise werden für eine solche Software Verschlüsselungsmechanismen eingesetzt, mit denen Messwerte und die Software selbst signiert werden. Dazu bringt der Eichbeamte üblicherweise einen privaten Schlüssel in das System ein, ohne den Daten nicht verändert werden können.

[0027] Die eichpflichtigen und daher signierten Softwarekomponenten befinden sich auf einem Speichermedium 11, das an die Recheneinheit 50 angeschlossen ist. Das Speichermedium weist einen mechanischen Schreibschutzschalter auf, bei dessen Aktivierung der Nur-Lese-Modus des Speichermediums aktiviert werden kann. Als Speichermedium können beispielsweise ein USB-Speicherstift oder eine Festplatte mit Schreibschutzschalter verwendet werden. Ist der Schreibschutzschalter aktiviert, kann nur lesend Zugriff auf die Softwarekomponenten auf dem Speichermedium genommen werden. Ein schreibender Zugriff, also eine Veränderung der Daten, ist dagegen nicht möglich. Damit der Schreibschutzschalter nicht unbemerkt deaktiviert werden kann, ist er physikalisch versiegelt, das heißt verplombt. Beispielsweise kann Siegelmaterial den Schreibschutzschalter so umschließen, dass er nicht betätigt werden kann, ohne das Siegel zu brechen. Auch die Verbindung zwischen dem Speichermedium 11 und der Recheneinheit 50 ist physikalisch mit einer Plombe versiegelt.

[0028] Die eichpflichtige Software wird von einem Eichbeamten signiert und daraufhin auf das Speichermedium 11 überspielt. Der Schreibschutz wird aktiviert und das Speichermedium physikalisch versiegelt, so dass die geeichten Softwarekomponenten nicht mehr unbemerkt manipuliert werden können. Die Sicherung der eichpflichtigen Softwarekomponenten erfolgt somit durch eine softwareseitige Signierung und einen hardwareseitigen Schreibschutz. Können eichpflichtige Softwarekomponenten auf der Recheneinheit 50 realisiert werden, ohne dass eine Signierung durch einen Eichbeamten erforderlich ist, können sich auf der Recheneinheit 50 auch eichpflichtige Softwarekomponenten befinden. Dies ist beispielsweise für Messwertspeicher der Fall, die als Einwegspeicher mit nur lesendem Zugriff ausgebildet sind. Diese Einwegspeicher müssen nicht auf ein Speichermedium ausgelagert werden, sondern können als manipulationssicherer Speicher beispielsweise in einer Datenbank auf der Recheneinheit 50 ausgeführt sein.

[0029] Anhand der Figuren 2 und 3 wird dargestellt, wie die Erfindung besonders vorteilhaft in einer Einlieferungsstation für die Verarbeitung und Frankierung von Postsendungen eingesetzt werden kann. Bei der Einlieferungsstation handelt es sich um einen Selbstbedienungsautomaten, an dem Kunden Postsendungen wie Brief- oder Warensendungen anliefern können. Zu den Leistungen des Automaten zählt insbesondere die Frankierung von Postsendungen mit dem erforderlichen Portoentgelt. Der Automat ermittelt dabei vollautomatisch das Format einer Sendung, berechnet das korrekte Entgelt und druckt dieses als Frankiervermerk auf die Sendung auf. Dieser Vorgang unterliegt der Zulassung und Eichung durch eine zuständige Behörde, da bei der öffentlichen Aufstellung des Automaten sichergestellt werden muss, dass die Ermittlung von Portoentgelten nicht zu Gunsten oder zum Schaden von Kunden manipuliert wird.

[0030] Eine Einlieferungsstation weist ein Annahmemittel zur Annahme von Postsendungen auf. Dabei handelt es sich vorzugsweise um einen Vereinzeler, welcher einen Stapel von Postsendungen einzeln in die Vorrichtung einzieht. Nach der Vereinzelung der Sendungen durchläuft eine Postsendung 20 die Vorrichtung mittels eines oder mehrerer Transportmittel. Die verschiedenen Messvorrichtungen ermitteln wenigstens das Gewicht und die Abmessungen der Sendung. Die Ermittlung der einzelnen Messwerte kann dabei nacheinander oder durch verschiedene Messeinrichtungen gleichzeitig erfolgen.

[0031] Das Gewicht einer Sendung wird von einer Waage 30 ermittelt, während die Messeinrichtungen zur Bestimmung von Länge, Breite und Höhe einer Postsendung im Folgenden in ihrer Gesamtheit als Dimensionsmessgerät 40 bezeichnet werden. Ein solches Dimensionsmessgerät kann somit aus einem oder mehreren Messgeräten bestehen. Die verschiedenen Messeinrichtungen sind mit einer Recheneinheit 50 verbunden, die sich vorzugsweise ebenfalls innerhalb des Automaten befindet.

[0032] Durchläuft eine Postsendung 20 die verschiedenen Messeinrichtungen, werden die ermittelten Messwerte zur Auswertung an die Recheneinheit 50 übergeben. Dabei erzeugt die Recheneinheit 50 aus den Messwerten korrigierte Messwerte, indem die Negativ- und Positivtoleranzen der einzelnen Messeinrichtungen verarbeitet werden. In einem ersten Schritt werden diese Toleranzwerte mit den ermittelten Messwerten H für die Höhe, L für die Länge, G für das Gewicht und B für die Breite der Postsendung verrechnet. Dabei wird jeweils der Betrag der Negativtoleranz zum gemessenen Messwert addiert, um angepasste Messwerte H', L', G' und B' zu erhalten. Ferner wird der Betrag der Positivtoleranz vom gemessenen Messwert subtrahiert, um angepasste Messwerte H", L", G" und B" zu erhalten.

[0033] Anhand der ermittelten angepassten Messwerte H', H", L', L", G', G", B' und B" wird von der Recheneinheit 50 ein Vergleich der angepassten Messwerte mit den Wertebereichen einer Referenzliste durchgeführt. Wird ein Produkt bzw. eine Produktklasse ermittelt, in dessen Wertebereich alle angepassten Messwerte liegen, wird der zugeordnete Portobetrag in eine Ergebnisliste aufgenommen. Enthält diese Ergebnisliste mehrere Portobeträge, wird der kleinste Betrag ermittelt und als auf die Postsendung aufzubringender Portobetrag bestimmt. Enthält die Ergebnisliste nur einen Eintrag, wird der betreffende Portobetrag als aufzubringender Portobetrag ermittelt. Mit dem so ermittelten Portobetrag wird in einer Frankiereinheit 60 ein Freimachungsvermerk erzeugt und auf die Postsendung 20 aufgedruckt. Als Frankiereinheit können jegliche aus dem Stand der Technik bekannte Frankiereinheiten zum Einsatz kommen, die beispielsweise einen Frankiervermerk in Form eines Matrixcodes auf eine Postsendung aufdrucken.

[0034] Fig. 3 zeigt eine schematische Darstellung eichpflichtiger und nicht-eichpflichtiger Komponenten zum Betrieb der erfindungsgemäßen Einlieferungsstation. Hardwarekomponenten wie eine Waage 30 und die Dimensionsmessgeräte 40 werden dabei vorzugsweise über standardisierte Schnittstellen an die Recheneinheit 50 der Einlieferungsstation angeschlossen, so dass sie ausgetauscht werden können. Da beim Prozess der automatischen Sendungsannahme innerhalb einer Einlieferungsstation das Format der Sendungen und ihr Gewicht mittels Messeinrichtungen ermittelt wird und aufgrund der Ergebnisse dieser Messungen automatisch der Preis für das Sendungsentgelt bestimmt wird, unterliegt der gesamte Prozess der Zulassung und Eichung durch die zuständige Behörde. Die Eichung erstreckt sich dabei nicht nur auf die Messwerte selbst, sondern auch auf die Datenverarbeitung, die das Sendungsformat aus den Messwerten ermittelt. Durch die Eichung wird die Korrektheit der Messung und der Entgeltbestimmung durch einen Eichbeamten bestätigt.

[0035] Der primäre Zweck der Vermessung einer Sendung liegt in der Bestimmung des Sendungsformats und -gewichts, da diese die Basis für die Produktbestimmung und damit die Entgeltbestimmung bilden. Das Sendungsformat wird mittels einer Software der Recheneinheit 50 aus der Gesamtheit der Messergebnisse und deren Toleranzparametern ermittelt. Dieser Teil der Software unterliegt ebenfalls der Eichung. Dies bedeutet, dass diese Softwarekomponente der Recheneinheit 50 von einem Eichbeamten mit einem Siegel versehen werden und eine Manipulation der Softwarekomponenten einwandfrei nachweisbar sein muss.

[0036] Ferner muss der Kunde die Entgeltbestimmung nachvollziehen können, so dass ihm die Messergebnisse angezeigt werden. Die Anzeige der Messergebnisse unterliegt ebenfalls dem Eichprozess, da diese nicht manipulierbar sein soll. Falls eine Ausgabe von Einzelmessungen beispielsweise auf einer Quittung oder einem Bildschirm von der Zulassungsbehörde nicht gefordert wird, besteht die Möglichkeit, die grundlegenden Daten der Formatbestimmung in einem Messwertspeicher 55 für eine mögliche nachträgliche Einsichtnahme aufzubewahren. Dieser Messwertspeicher muss, wie die Messwerte selbst, gegen Manipulation geschützt werden, so dass es sich vorzugsweise um einen Einwegspeicher handelt, auf den nur lesend zugegriffen werden kann. Vorzugsweise wird sowohl die Softwarekomponente, welche die Schnittstelle zu dem Messwertspeicher 55 bildet, als auch der Einwegspeicher selbst, gegen Manipulationen geschützt.

[0037] Der Messwertspeicher 55 kann beispielsweise in einer Datenbank der Recheneinheit 50 angelegt sein und der Zugriff auf den Messwertspeicher erfolgt nur über eine vorgegebene Schnittstelle, wobei auf hinterlegte Daten ausschließlich ein lesender Zugriff erfolgen kann. Die gespeicherten Daten können als binäre Datenbankfiles auf einer Festplatte liegen. Eine Manipulation der Datenbankfiles kann durch Sicherheitsmechanismen der Datenbank selbst ausgeschlossen werden, wenn manipulierte Datenbankfiles von der Datenbank als korrupt identifiziert werden und nicht mehr aktiviert werden können. Ein Löschen der Datenbankfiles kann zeitgesteuert innerhalb des Datenbankschemas selbst erfolgen. So besteht keine Löschfunktion von außen. Die Aufbewahrungsdauer von Datensätzen kann beispielsweise durch den Eichbeamten in den Messwertspeicher selbst gespeichert und so jederzeit kontrolliert werden.

[0038] Das Gesamtsystem aus Messgeräten 30 und 40, Messdatenübertragung an die formatbestimmende Software der Recheneinheit 50, die Formatbestimmung der Recheneinheit 50, der Messwertspeicher 55 und eine Anzeige der Messergebnisse auf einer Anzeige 80 werden üblicherweise vor Ort durch einen Eichbeamten signiert und verplombt. Eine Produkt- und Preisliste 93, der für eine ermittelte Produktkategorie das zu entrichtende Porto zu entnehmen ist, ist dagegen nicht eichpflichtig. Diese kann daher vom Betreiber der Einlieferungsstation geändert werden, ohne dass eine erneute Eichung durchgeführt werden muss. Ergeben sich dadurch neue Formatkategorien, sind diese jedoch im Messwertspeicher 55 zu hinterlegen.

[0039] Die Software der Recheneinheit 50 muss dabei insbesondere gegen absichtliche Änderungen mittels gängiger Software-Werkzeuge geschützt sein. Die Schnittstellen zwischen eichpflichtiger Software und nicht-eichpflichtiger Software müssen rückwirkungsfrei sein, das heißt die Schnittstellen verhindern die Eingabe von unzulässigen Daten, Parametern und Befehlen. Messgeräte dürfen beispielsweise nicht unzulässig beeinflusst werden, wenn ihre rückwirkungsfreien Schnittstellen mit Fremdspannungen beaufschlagt werden. Ferner gibt die Schnittstelle die Hauptanzeigen in eichfähiger Form an eichpflichtige Zusatzeinrichtungen aus.

[0040] Ferner muss eine Softwareidentifikation vorhanden sein, welche die eichpflichtigen Programmteile und Parameter umfasst und bei der Eichung überprüft werden kann. Der Eichbeamte überprüft vor Ort an einer Einlieferungsstation eine von der Zulassungsbehörde angebrachte Signatur der eichrelevanten Software-Module und versiegelt die Gesamtheit durch Signierung mit einem eigenen Schlüssel. Die eigentliche Eichung findet mit Eichmaßen statt, wobei die Korrektheit der von den Messgeräten gemessenen Daten und der um die Toleranzwerte korrigierten Messdaten stattfindet.

[0041] Messgeräte wie die Waage 30 und die Dimensionsmessgeräte 40 unterliegen dem Eichprozess und werden üblicherweise mit einem Eichsiegel 32 verplombt. Auch die Transportstrecke von Messdaten von den Messgeräten zu einer Messwert-Software der Recheneinheit 50 muss verplombt werden. Solche Verplombungen stellen ein Beispiel für eine physikalische Versiegelung im Sinne dieser Erfindung dar. Die Waage 30 und die Dimensionsmessgeräte 40 werden somit geeicht und danach physikalisch versiegelt.

[0042] Die Sendungen werden beispielsweise im automatischen Einzug vereinzelt durch die Messkette transportiert, und die einzelnen Messgeräte nehmen automatisch ihren Messwert auf, signieren diesen und senden ihn über eine Schnittstelle 51 an ein Messmodul 52 der Recheneinheit 50. Bei der Schnittstelle 52 handelt es sich vorzugsweise um eine serielle Schnittstelle, und zu jedem Messgerät liegt ein entsprechender Hardwaretreiber 53 und 54 vor. Die Messgeräte sind über ebenfalls physikalisch versiegelte Datenkabel 70 und 71 mit der Recheneinheit 50 verbunden. Die Messwerte selbst können von den Messgeräten eigenständig mittels Ereignissen (Events) an das Messmodul 52 gemeldet werden. Bei einem Ereignis kann es sich entweder um die Meldung eines neuen Messergebnisses oder die Meldung eines aufgetretenen Fehlers handeln. Die Daten können beispielsweise im XML-Format über die Schnittstelle ausgetauscht werden. Dabei ist zu berücksichtigen, dass Messdaten abgerufen, jedoch nicht manipuliert werden können.

[0043] Um eine nachträgliche Manipulation auszuschließen, signieren die Messgeräte ihre Messdatensätze. Eine mögliche Form der Signatur ist die Bildung eines Hash-Wertes bzw. Streuwertes über den gelieferten Datensatz. Dabei können beispielsweise kryptographische Hash-Funktionen wie MD5, SHA-1 oder RIPEMD-160 verwendet werden. Die Verwendung eines Zertifikats oder eine Verschlüsselung der Daten kann zusätzlich durchgeführt werden. Dem Eichbeamten muss üblicherweise die Möglichkeit gegeben werden, die Unversehrtheit der Signatur jedes einzelnen Messwertes im Messwertspeicher zu prüfen. Je nach verwendeter Signatur muss ihm dazu Zugang zu einem öffentlichen Schlüssel gegeben werden.

[0044] Als ein asymmetrisches kryptographisches Verfahren mit öffentlichen und privaten Schlüsseln kann bei verschiedenen Signaturen im Bereich der Erfindung beispielsweise RSA verwendet werden. Asymmetrische Verfahren werden auch als Public-Key-Verfahren bezeichnet. Bei diesen Verfahren besitzt der Anwender zwei Schlüssel, einen öffentlichen und einen geheimen Schlüssel. Beide Schlüssel erfüllen bestimmte Aufgaben. Der öffentliche Schlüssel wird öffentlich gemacht. Jeder andere Anwender kann diesen Schlüssel benutzen, um an den Eigentümer eine Nachricht zu versenden, die durch Verschlüsselung eines Klartextes entstanden ist. Der geheime Schlüssel wird vom Besitzer geheim gehalten. Er dient dazu, an ihn gesendete, verschlüsselte Nachrichten zu entschlüsseln.

[0045] Technisch bedeutet das Signieren einer Nachricht oder einer Binärdatei, dass nach einem bekannten Verfahren eine Prüfsumme für die Nachricht oder die Binärdatei berechnet wird und diese dann mit dem privaten Schlüssel eines asymmetrischen Schlüsselpaares verschlüsselt wird. Soll nun festgestellt werden, ob die vorliegende Nachricht oder Binärdatei unverändert zu dem Zeitpunkt der Signierung ist, kann dies mit dem öffentlichen Schlüssel des asymmetrischen Schlüsselpaares festgestellt werden. Dazu werden der Prüfsummenalgorithmus angewendet, die verschlüsselte Prüfsumme mit dem öffentlichen Schlüssel entschlüsselt und die Werte verglichen.

[0046] Um bei einem Public-Key-Kryptosystem die Identität des Inhabers eines öffentlichen Schlüssels sicherzustellen, kann ein öffentlicher Schlüssel mit der Identität einer dritten Person angelegt werden. Dabei können Zertifikate verwendet werden. Ein Zertifikat ist eine Art Echtheitsbeweis für einen öffentlichen Schlüssel, wobei ein Zertifikat aus dem öffentlichen Schlüssel des Inhabers des Zertifikates, einem Identitätsmerkmal des Inhabers des Zertifikates, dem Namen des Ausstellers des Zertifikates und einem digitalen Schlüssel des Ausstellers des Zertifikates besteht.

[0047] Die Signierung eines Messwertes kann im physischen Messgerät selbst erfolgen, wenn beispielsweise ein Schlüssel im EPROM des Messgerätes hinterlegt ist. Die Signierung kann ferner in der Schnittstelle des jeweiligen Messgerätes erfolgen. In diesem Fall unterliegt die Schnittstelle der Eichung und die Software muss ebenfalls signiert werden.

[0048] Der Aufbau des Messmoduls 52 und seine Interaktion mit anderen Komponenten ist Fig. 3 zu entnehmen. Die Softwarekomponenten der Messdatenerfassung und - auswertung liegen beispielsweise als Java Archiv-Files (Jar-Files) vor. Die Jar-Files können mit einer Signatur versehen werden, wobei die Signatur im Jar-File selbst gespeichert wird. Diese Signatur wird mit Hilfe eines privaten Schlüssels erzeugt und kann mit Hilfe eines öffentlichen Schlüssels verifiziert werden.

[0049] Das dazu benötigte Schlüsselpaar, bestehend aus privatem und öffentlichem Schlüssel, kann beispielsweise von einem TPM-Chip der Recheneinheit 50 erzeugt und gespeichert werden. Bei dem TPM (Trusted Platform Module) handelt es sich um einen Chip, der fest in die Recheneinheit 50 eingebaut ist. Er ist mit einer auf das Motherboard verlöteten Smartcard zu vergleichen. Der Chip ist passiv und kann nicht direkt beeinflusst werden.

[0050] Ein TPM-Chip ist somit in der Lage, geheime Daten, Zertifikate, Schlüssel sowie kryptographische Operationen sicher in einer geschützten Hardware-Umgebung zu speichern bzw. auszuführen. Der TPM-Chip enthält einen Hardware-Zahlengenerator und kann Daten verschlüsseln, entschlüsseln und signieren. Der TPM-Chip kann beispielsweise 2048 Bit lange RSA-Schlüssel direkt auf dem Chip erzeugen. Im nicht-flüchtigen TPM-Speicher liegen dabei mehrere Schlüssel und der flüchtige Bereich bietet Platz für mehrere temporäre RSA-Schlüssel, 16 bzw. 24 PCRs (Platform Configuration Register), die Hashwerte von Hard- und Softwarekonfigurationen aufnehmen, und zwei Arten von Handles. Da jeder TPM-Chip ein Unikat ist, das nicht ausgetauscht werden kann, wird die damit signierte Software an die jeweilige Einlieferungsstation gebunden.

[0051] Jede Manipulation eines signierten Jar-Files führt zu einer nicht-validen Signatur, was jederzeit durch eine Überprüfung festgestellt werden kann. Ohne den privaten Schlüssel ist eine erneute Signatur nicht möglich. Dabei liegt der private Schlüssel nur innerhalb des TPM-Chips und wird nie nach außen sichtbar. Es stehen lediglich Funktionen zur Nutzung des privaten Schlüssels zur Verfügung. Der Zugriff auf den privaten Schlüssel im TPM-Chip kann durch den Eichbeamten mit einem Passwort geschützt werden.

[0052] Sobald alle Messwerte zu einer Sendung 20 vorliegen, wie dies in Fig. 2 als Schritt 1) gekennzeichnet ist, werden diese zu einer Korrekturkomponente 90 innerhalb des Messmoduls 52 weitergeleitet. Das Korrekturmodul 90 zur Toleranzkorrektur der Messwerte unterliegt dem Eichprozess. Die gültigen Toleranzwerte liegen innerhalb des gesicherten Messwertspeichers 55 und werden von dem Korrekturmodul 90 aus diesem abgerufen. Der Eichbeamte hat diese Toleranzwerte zuvor bei der Eichung mit seinem privaten Schlüssel signiert. Die Toleranzwerte werden inklusive der Signatur im Messwertspeicher 55 abgelegt. Über seinen öffentlichen Schlüssel kann der Eichbeamte die Toleranzwerte verifizieren.

[0053] Die aufgenommenen Messwerte werden von dem Korrekturmodul 90 um die abgerufenen Toleranzwerte aus dem Einwegspeicher 55 korrigiert, wie es in Fig. 2 mit dem Schritt 2) gekennzeichnet ist. Wie oben beschrieben, lautet der Algorithmus zur Toleranzkorrektur vorzugsweise wie folgt:

1. Addiere für jeden Messwert die messungsspezifische Positiv-Toleranz für den Vergleich mit dem minimalen Grenzwert der Formatkategorie.

2. Subtrahiere von jedem Messwert die messungsspezifische Negativ-Toleranz für den Vergleich mit dem maximalen Grenzwert der Formatkategorie.

3. Errechne den Quotienten aus Messwert für Länge plus Positiv-Toleranz der Längenmessung und Messwert für Breite minus Negativ-Toleranz der Breitenmessung für den Vergleich mit dem minimalen Seitenverhältnis (Ratio) der Formatkategorie.

[0054] Hat das Korrekturmodul 90 auf diese Weise korrigierte Messwerte erzeugt, dürfen für die weiteren Prozessschritte ausschließlich diese korrigierten Messwerte verwendet werden. Sowohl die Originalmessdaten als auch die korrigierten Messwerte werden im Datenpaket zur späteren Speicherung an den Messwertspeicher 55 weitergeleitet. Der vollständige Messwert-Datensatz wird von dem Messmodul 52 signiert, damit gespeicherte Werte nicht mehr auf Systemebene manipuliert werden können. Dies kann ebenfalls über einen Hash-Wert über den vollständigen Datensatz erfolgen.

[0055] Das Messmodul 52 umfasst ferner ein Modul 91 zur Formatbestimmung, wobei dieses Formatmodul 91 ebenfalls dem Eichprozess unterliegt. Das Formatmodul greift dabei auf Formatkategorien zu, die ebenfalls im Messwertspeicher 55 hinterlegt sind. Die gültigen Formatkategorien sind zwar Bestandteil der nicht eichpflichtigen Datei 93 mit der Preis- und Produktliste (PPL), werden aber ebenfalls im gesicherten Messwertspeicher 55 abgelegt. Die Formatkategorien werden beispielsweise im Backend signiert und an den Automaten 10 geliefert. Dort werden die Formatkategorien nach erfolgreicher Verifikation der Signatur durch die Frontend-Software in den Messwertspeicher 55 der Recheneinheit 50 importiert. Die Formatkategorien werden vom Formatmodul 91 aus dem Speicher 55 abgerufen, und das Modul zur Formatbestimmung vergleicht die korrigierten Messwerte der Sendung mit diesen hinterlegten Grenzwerten der Formatkategorien. Das Formatmodul 91 bestimmt daraus die anzuwendende Formatkategorie der Sendung, wie es in Schritt 3) in Fig. 2 gekennzeichnet ist.

[0056] Nach Feststellung des Sendungsformats wird mit den zusätzlichen Angaben des Kunden (u. a. bestellter Quality of Service, Zusatzleistungen, ...) das entsprechende Produkt aus der gültigen Preis- und Produktliste 93 ausgewählt, wie es in Fig. 2 mit dem Schritt 4) gekennzeichnet ist. Diese Preis- und Produktbestimmung unterliegt nicht dem Eichprozess, da außer der Formatkategorie keine Messwerte zu Grunde liegen, sondern Angaben bzw. Wünsche des Kunden. Das ermittelte Produkt und sein Preis werden aber vorzugsweise zu den Messwerten der Sendung im Messwertspeicher 55 festgehalten. Darum wird die Produktidentifikation mit den Messwerten an ein eichrelevantes Speichermodul 92 des Messmoduls 52 weitergeleitet.

[0057] Dieses Speichermodul 92 dient zur Speicherung des vollständigen Messdatensatzes. Das Modul 92 unterliegt ebenfalls dem Eichprozess. Nach Vervollständigung des Datensatzes durch die Informationen aus der Produkt- und Preisbestimmung wird der vollständige Datensatz signiert, um nachträgliche Veränderungen ausschließen zu können, und anschließend im Messwertspeicher 55 gespeichert. Dieser Vorgang ist in Fig. 2 als Schritt 5) gekennzeichnet. Das Messgerät selbst, welches einen Messwert erzeugt hat, ist dabei vorzugsweise durch eine eindeutige Ident-Nummer identifizierbar. Zu einer Messung kann beispielsweise je Dimension eine SHA1-Checksumme pro Messwert und Ident-Nummer gebildet werden. Nach der Korrektur der Messwerte um die Toleranzen wird über den aggregierten Datensatz, der auch die ermittelte Formatkategorie und die Produkt-ID enthält, ein SHA1-Hashwert gebildet. Dieser Hashwert und der SHA1-Hashwert über alle eich-relevanten Softwaremodule werden beispielsweise über eine XOR-Verbindung miteinander verknüpft. Sowohl der Hashwert über den Datensatz als auch der über die XOR-Verbindung gebildete Hashwert können verifiziert werden.

[0058] Das durch die genannten Schritte vom Messmodul 52 ermittelte Portoentgelt wird als Druckauftrag an ein Frankiermodul 60 gesendet, um die Postsendung 20 entsprechend mit einem Frankiervermerk zu frankieren. Dies ist als Schritt 6) in Fig. 2 dargestellt. Sollte das Messmodul 52 feststellen, dass es sich bei einer Sendung 20 nicht um ein gültiges Produkt handelt oder die Sendung nicht weiter verarbeitet werden kann, wird die Sendung ausgeworfen und die aufgenommenen Messwerte können verworfen werden. Die Messwerte müssen in diesem Fall nicht im Messwertspeicher 55 gespeichert werden, da dem Kunden keine Leistung in Rechnung gestellt werden wird.

[0059] Zusätzlich zum Messprozess bietet das System dem Kunden vorzugsweise die Möglichkeit an, die Messwerte seiner Sendungen nachträglich einzusehen. Hierzu wird dem Kunden beispielsweise an einer Bedieneinheit 13 auf einem Bildschirm ein Menüpunkt angeboten, der es ihm erlaubt, sich innerhalb eines fest definierten Zeitraums (z.B. 90 Tage) die gespeicherten Messwerte nach Angabe des Datums, der Abrechnungsnummer auf der Quittung des Kunden oder der Sendungsnummer einer Einzelsendung einzusehen. Diese Anzeige der Messwerte auf einer Anzeige 80 unterliegt ebenfalls dem Eichprozess, da eine Manipulation der Daten zwischen Messwertspeicher und Anzeige 80 ausgeschlossen werden muss. Die anzuzeigende Maske wird daher ebenfalls vom Messmodul 52 erstellt und signiert.

[0060] Um die Software der Recheneinheit 50 an einen speziellen Automaten zu binden und weitestgehend vor dem Kopieren zu sichern, kann ein vom Automat beglaubigtes Root-CA erstellt werden, das ebenfalls den Storage-Root-Key des Trusted Platform Modules (TPM-Chip) nutzt. Der TPM-Chip enthält eine eindeutige Kennung wie einen Endorsement Key in Form eines 2048 Bit langen RSA-Schlüsselpaares, das der Hersteller auf den Chip schreibt. Der TPM-Chip kann somit zur Identifizierung der Recheneinheit und der darauf befindlichen Software dienen. Die Recheneinheit 50 mit der dazu gehörigen Software wird so davor geschützt, auf eine andere Einlieferungsstation übertragen zu werden. Die Software ist somit an eine bestimmte Einlieferungsstation und Hardware gebunden.

[0061] Um die Softwarekomponenten des Messmoduls 52 endgültig vor Manipulationen zu schützen und physisch an den Automaten zu binden, kann die Erfindung dazu genutzt werden, diese auf einen an den PC angeschlossenen USB-Speicherstift 11 zu spielen, der nach Abschluss der Signierung durch den Eichbeamten mechanisch mit einem Schreibschutzschalter auf Nur-Lese-Modus gestellt und vom Eichbeamten mit Siegeln verplombt wird. Alternativ zu einem USB-Stick kann hierzu auch eine Festplatte mit mechanischem Schreibschutzschalter eingesetzt werden.

Bezugszeichenliste:

[0062] 

10

Messgerät

11

Speichermedium, USB-Speicherstift, Festplatte

12

Physikalisches Siegel, Plombe

20

Postsendung, Brief, Ware

30

Waage

32

Eichsiegel

40

Dimensionsmessgerät

50

Recheneinheit

51

Schnittstelle, seriell

52

Messmodul, eichpflichtige Softwarekomponente

53,54

Treiber

55

Messwertspeicher, Einwegspeicher

60

Frankiereinheit

70,71

Datenkabel

80

Messwertanzeige

90

Korrekturmodul

91

Formatmodul

92

Speichermodul

93

Datei, Produkt-Preisliste

Ansprüche

1. Vorrichtung zur Verarbeitung von Messwerten, die wenigstens ein mechanisch versiegeltes Messgerät (10;30;40) und wenigstens eine signierte Softwarekomponente (52) zur Verarbeitung der Messwerte des Messgerätes (10;30;40) umfasst, wobei das mechanisch versiegelte Messgerät (10;30;40) an eine Recheneinheit (50) der Vorrichtung angeschlossen ist,
dadurch gekennzeichnet,
dass die signierte Softwarekomponente (52) auf einem Speichermedium (11) hinterlegt ist, das einen Schreibschutzschalter aufweist, der mechanisch versiegelt ist, und dass das Speichermedium (11) an die Recheneinheit (50) angeschlossen ist.

2. Vorrichtung nach Anspruch 1,
dadurch gekennzeichnet,
dass das Speichermedium (11) ein USB-Stick mit Schreibschutzschalter ist.

3. Vorrichtung nach Anspruch 1,
dadurch gekennzeichnet,
dass das Speichermedium (11) eine Festplatte mit Schreibschutzschalter ist.

4. Vorrichtung nach einem der Ansprüche 1 bis 3,
dadurch gekennzeichnet,
dass die Verbindung zwischen dem Speichermedium (11) und der Recheneinheit (50) mechanisch versiegelt ist.

5. Vorrichtung nach einem der Ansprüche 1 bis 4,
dadurch gekennzeichnet,
dass die Softwarekomponenten (52) durch ein asymmetrisches Verschlüsselungsverfahren signiert sind.

6. Vorrichtung nach einem der Ansprüche 1 bis 5,
dadurch gekennzeichnet,
dass die Vorrichtung eine Einlieferungsstation (10) zum Frankieren von Postsendungen (20) ist, die wenigstens eine Waage (30) zur Bestimmung des Gewichts einer Postsendung (20), wenigstens ein Dimensionsmessgerät (40) zur Bestimmung der Abmessungen einer Postsendung (20), eine Recheneinheit (50) zur Bestimmung des Portoentgelts für eine Postsendung (20) und eine Frankiereinheit (60) zur Aufbringung eines Frankiervermerks auf die Postsendung (20) umfasst, und dass die Waage (30) und das Dimensionsmessgerät (40) jeweils physikalisch versiegelt sind und über ebenfalls physikalisch versiegelte Datenkabel (70;71) in Verbindung mit einer seriellen Schnittstelle (51) der Recheneinheit (50) stehen, und die Waage (30) und das Dimensionsmessgerät (40) oder eine jeweils zugehörige Schnittstelle Mittel zum Signieren von Messwerten aufweisen, und dass die Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) und Formatkategorien für Postsendungen (20) in einem signierten Einwegspeicher (55) hinterlegt sind, auf dessen Daten ein signiertes Messmodul (52) der Recheneinheit (50) ausschließlich lesenden Zugriff hat, wobei das Messmodul (52) Mittel zum Empfangen von Messwerten von der Waage (30) und dem Dimensionsmessgerät (40) über die serielle Schnittstelle (51) umfasst, und dass ein Korrekturmodul (90) des Messmoduls (52) Mittel zum Addieren und Subtrahieren der jeweiligen Messtoleranzen der Waage (30) und des Dimensionsmessgerätes (40) zu den empfangenen Messwerten umfasst, um so korrigierte Messwerte zu erzeugen, und dass das Messmodul (52) ferner ein Formatmodul (91) aufweist, das Mittel zur Bestimmung der Formatkategorie einer Postsendung (20) aus den korrigierten Dimensionsmesswerten und den Formatkategorien im Einwegspeicher (55) umfasst, und dass das Messmodul (52) Mittel zur Bestimmung der Produktkategorie einer Postsendung (20) aus dem korrigierten Gewichtsmesswert der Postsendung (20) und der vom Formatmodul (91) ermittelten Formatkategorie der Postsendung (20) aufweist, und dass das Messmodul (52) ferner Zugriff auf eine Datei (93) hat, die eine Zuordnung zwischen Produktkategorien von Postsendungen und Portoentgelten enthält, so dass ein daraus ermitteltes Portoentgelt für eine Postsendung (20) von dem Messmodul (52) der Frankiereinheit (60) zuführbar ist, und dass das Messmodul (52) ferner Mittel zum Signieren von Datensätzen, bestehend wenigstens aus Messwerten der Waage (30) und des Dimensionsmessegerätes (40), den zugehörigen korrigierten Messwerten und der ermittelten Produktkategorie einer Postsendung (20) und ein Speichermodul (92) des Messmoduls (52) zur Speicherung eines signierten Datensatzes im signierten Einwegspeicher (55) aufweist, und dass das Messmodul (52) auf einem Speichermedium (11) mit einem Schreibschutzschalter hinterlegt ist.

7. Verfahren zur Sicherung von signierten Softwarekomponenten (52) für eine Vorrichtung zur Verarbeitung von Messwerten von wenigstens einem Messgerät (10;30;40),
gekennzeichnet durch wenigstens folgende Schritte

- Signierung der Softwarekomponenten (52);

- Verbindung eines Speichermediums (11), das einen Schreibschutzschalter aufweist, mit einer Recheneinheit (50) der Vorrichtung;

- Hinterlegung der signierten Softwarekomponenten (52) auf dem Speichermedium (11);

- Aktivierung des Schreibschutzschalters des Speichermediums (11);

- mechanische Versiegelung des Schreibschutzschalters des Speichermediums (11); und

- mechanische Versiegelung der Verbindung zwischen dem Speichermedium (11) und der Recheneinheit (50).

8. Verfahren nach Anspruch 7,
dadurch gekennzeichnet,
dass die signierten Softwarekomponenten von der Recheneinheit (50) der Vorrichtung auf das Speichermedium (11) übertragen werden und dass die Recheneinheit (50) beim Betrieb der Vorrichtung auf die signierten Softwarekomponenten auf dem versiegelten Speichermedium (11) zugreift.

9. Verfahren nach einem der Ansprüche 7 und 8,
dadurch gekennzeichnet,
dass die Softwarekomponenten (52) durch ein asymmetrisches Verschlüsselungsverfahren signiert werden.

10. Verwendung eines Speichermediums (11) mit einem Schreibschutzschalter,
dadurch gekennzeichnet,
dass das Speichermedium (11) an die Recheneinheit (50) einer Vorrichtung zur Verarbeitung der Messwerte von wenigstens einem mechanisch versiegelten Messgerät (10;30;40) angeschlossen ist, und dass auf dem Speichermedium (11) signierte Softwarekomponenten hinterlegt sind, wobei der Schreibschutzschalter des Speichermediums (11) aktiviert und mechanisch versiegelt ist.

11. Verwendung nach Anspruch 10,
dadurch gekennzeichnet,
dass das Speichermedium (11) an die Recheneinheit (50) einer Vorrichtung gemäß Anspruch 6 angeschlossen ist.

Zeichnung