DE19534529C2

DE19534529C2 - Process for increasing the security against manipulation of critical data

Info

Publication number: DE19534529C2
Application number: DE1995134529
Authority: DE
Inventors: Ralf Kubatzki; Wolfgang Thiel
Original assignee: Francotyp Postalia GmbH
Current assignee: Francotyp Postalia GmbH
Priority date: 1995-09-08
Filing date: 1995-09-08
Publication date: 2000-05-04
Anticipated expiration: 2015-09-09
Also published as: DE19534529A1

Description

Die Erfindung betrifft ein Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Daten, insbeson dere von Registerdaten in informationsverarbeitenden Einrichtungen zum Frankieren. Solche Daten sind kritische Registerdaten in elektronischen Frankier maschinen oder in einer anderen elektronischen Einrichtung, in welcher sicherheitsrelevante Daten gehändelt werden bzw. in der eine Abrechnung von geldwerten Daten vorgenommen wird und wobei solche Daten vor einer Manipulation geschützt werden müssen.The invention relates to a method for increasing the Protection against manipulation of critical data, in particular of register data in information processing Franking equipment. Such data are critical register data in electronic franking machines or in another electronic Facility in which security-relevant data are traded or in which a statement of monetary data is made and such data must be protected against manipulation.

Frankiermaschinen sind, mit mindestens einem Eingabe mittel, einem Steuermodul, einem Speichermittel und einem Druckermodul ausgerüstet. Im Speichermittel werden nichtflüchtig Daten gespeichert, welche zum Betrieb der Frankiermaschine erforderlich sind sowie Daten, welche Geldmitteln entsprechen. Franking machines are, with at least one entry medium, a control module, a storage medium and equipped with a printer module. In the storage medium non-volatile data stored which are necessary for the operation of the Franking machine are required as well as data which Correspond to funds.

Die Frankiermaschinentypen unterscheiden sich in Form und Ausstattung entsprechend des zu bearbeitenden Postaufkommens. Sollen aber verschiedene Typen an Frankiermaschinen produziert werden dann müssen eine Vielzahl an Schaltkreisen (ASIC's oder/und andere Bauelemente) vorgesehen werden. Gerade die Vielzahl an Bauelementen und Schaltkreisen bietet dann Ansatzpunkte für eine Manipulation, wenn kein alternativer Aufwand getrieben oder ein Sicherheitsgehäuse eingesetzt wird.The franking machine types differ in shape and equipment according to the to be processed Mail volume. But are different types Franking machines must then be produced Variety of circuits (ASIC's and / or others Components) are provided. Especially the variety Components and circuits then offer starting points for manipulation if no alternative effort driven or a safety housing is used.

Aus dem EP 465 236 A2 ist ein ASIC bekannt, welches eine Schaltung zur Drucksteuerung zur Motorsteuerung und zur Abrechnung umfaßt. Die Schaltung zur Druck steuerung umfaßt einen Speicher für feste und einen anderen für variable Daten, welche mit den festen Daten überlagert werden. Ein Motorcontroller ist für ein Aktuieren eines Motorantriebes in Abhängigkeit von der Poststückzuführung vorgesehen. Ein Vorteil ist zweifel los die hohe Manipulationssicherheit aufgrund der Verwendung eines einzigen ASIC, d. h. resultierend allein bereits aus der eingeschränkten Anzahl an An satzpunkten für eine Manipulation. Ein Nachteil der Verwendung eines einzigen ASICs ist die schlechte Verwendbarkeit für unterschiedliche Frankiermaschinen, welche einen unterschiedlichen Drucker und Steuermodul entsprechend eines realisierten Frankiermaschinensystem bzw. Poststraße aufweisen.An ASIC is known from EP 465 236 A2, which a circuit for pressure control for engine control and includes for billing. The circuit for printing control includes a memory for fixed and one others for variable data, which with the fixed data be overlaid. A motor controller is for one Actuating a motor drive depending on the Mail item feed provided. An advantage is doubtful rid of the high security against manipulation due to the Use of a single ASIC, i. H. resulting from the limited number of members points for manipulation. A disadvantage of Using a single ASIC is the bad one Usability for different franking machines, which has a different printer and control module according to a realized franking machine system or Poststrasse.

Aus der US 4 858 138 ist ein modulares System für eine Frankiermaschine mit Meter/Base-Trennung bekannt, wobei ein Sicherheitsmodul (Meter) mit einem Drucksteuermodul (Base) gekoppelt ist. Das Sicherheitsmodul kann Kreditkartenform aufweisen. Als elektrische Verbin dungseinrichtung zum Drucksteuermodul dient hierbei ein als parallele CPU-Schnittstelle ausgebildeter Hochge schwindigkeitskommunikationsbus. Der Drucksteuermodul weist einen Hochgeschwindigkeitsdrucker auf. Von der Tastatur des Drucksteuermoduls eingegebene Portobetrag wird zum Sicherheitsmodul übertragen. Der Sicherheits modul liefert eine digitale Darstellung des festen Teils des Postwertzeichens und eine verschlüsselte Gültigkeitsnummer. Die Gültigkeitsnummer umfaßt den Portobetrag und ggf. weitere Informationen, wie die Frankiermaschinenseriennummer und das Datum. Die ver schlüsselte Gültigkeitsnummer ist geeignet, um ein illegales Drucken eines Geldbetrages, der nicht berechnet wurde, festzustellen. Die Fälschungsicherheit beruht auf einer in einer Sicherheitslogik vorgenom menen Verschlüsselung einer Gültigkeitsnummer, die über eine CPU-Schnittstelle übertragen wird. Diese Lösung bringt aber keinen Vorteil bei Manipulationen, welche im Sicherheitsmodul bzw. am Bus zwischen den Postwertspeichern und der Sicherheitslogik vorgenommen werden. Ein Nachteil ist hier, daß als einziger Schutz nur das Sicherheitsgehäuse des Sicherheitsmoduls vorge sehen ist. Nachteilig ist auch die hohe Anzahl der Leitungen der Meter/Base-Verbindung an der Schnittstel le zur Base und daß eine teure Hochgeschwindigkeits schnittstelle erforderlich ist.From US 4,858,138 is a modular system for one Postage meter with meter / base separation known a safety module (meter) with a pressure control module (Base) is coupled. The security module can Have a credit card shape. As an electrical connection The device for the pressure control module is used here Hochge designed as a parallel CPU interface speed communication bus. The pressure control module has a high speed printer. Of the Keyboard of the print control module entered postage amount is transferred to the security module. The security module provides a digital representation of the fixed Part of the postage stamp and an encrypted Validity number. The validity number includes the Postage amount and possibly further information, such as the Postage meter serial number and the date. The ver Encrypted validity number is suitable to one illegally printing an amount of money that is not was calculated. Counterfeit protection is based on a security logic Encryption of a validity number that over a CPU interface is transmitted. This solution but brings no advantage in manipulations, which in the safety module or on the bus between the Post value stores and the security logic become. A disadvantage here is that the only protection only the security housing of the security module is pre-selected see is. Another disadvantage is the high number of Lines of the meter / base connection at the interface le to the base and that an expensive high speed interface is required.

Eine weitere Manipulationsmöglichkeit besteht während der Dateneingabe beim Nachladen der Frankiermaschine mit einem Guthaben. In üblicher Weise wird von einer Datenzentrale bzw. von einem Speicher eines Übertragungsmittels, vorzugsweise einer Chipkarte, ein Guthaben geladen. Davon werden die durch die Frankiermaschine verbrauchten Portobeträge abgebucht.Another manipulation possibility exists during data entry when reloading the franking machine with a credit. In the usual way, one Data center or from a memory one Transmission means, preferably a chip card Credit loaded. Of which the through Franking machine debited used postage amounts.

Zur Sicherheit gegen betrügerische Manipulationen ist bereits weiterhin aus der DE 38 23 719 bekannt, ein repräsentatives Zeichenmuster ab einem bestimmten Datum auszudrucken. Bei der Prüfung der Post wird im Postamt das Druckdatum und das Zeichen mit dem Muster vergli chen, das für dieses Datum berechtigt ist. Zum Drucken dient eine Berechtigungsvorrichtung, die eine Speicher vorrichtung zur Speicherung einer Anzahl Zeichenmuster- und Datumsdaten aufweist. Die Daten, die das repräsen tative Zeichenmuster einem definierten Datum zuordnen, werden über eine Fernwertvorgabe mittels einer externen Wahlvorrichtung dann aktualisiert, wenn die Anwender der Frankiermaschinen um eine Rekreditierung nach suchen. Die Sicherheit der Daten beruht auf dem Prüfen der Daten in der Datenzentrale bevor ein Nachladen erfolgt und im Prüfen der Frankierabdruckke seitens der Postbehörde. Die Datenzentrale trägt somit zur Erhöhung der Manipulationssicherheit von kritischen Register daten bei. Dieses Sicherheitssystem ist jedoch auf Festnetze beschränkt und für tragbare Frankiermaschi nen, die von einem Ort zu einem anderen Ort mitgeführt werden (mobiles Büro) nicht anwendbar. Eine Selbst prüfung seitens der Frankiermaschine auf Manipulation ist nicht vorgesehen.It is security against fraudulent manipulation already known from DE 38 23 719, a representative character pattern from a certain date to print out. When checking the post is in the post office compare the date of printing and the sign with the pattern that is authorized for this date. For printing serves an authorization device that has a memory device for storing a number of character pattern and has date data. The data that represent that assignative character patterns to a defined date, are determined by means of an external value Voting device updated when the user the franking machines for a credit search. The security of the data is based on checking the data in the data center before reloading done and in the verification of the franking imprint on the part of Postal authority. The data center thus contributes to the increase the security against manipulation of critical registers data at. However, this security system is on Fixed networks and for portable franking machines who carried from one place to another become (mobile office) not applicable. A self Check on the part of the franking machine for manipulation is not scheduled.

Einer Portogebührentabelle ist die für das Poststück erforderliche Portogebühr entnehmbar. Der Portorechner, welcher aus dem Gewicht des Poststückes den gültigen Portobetrag bestimmt, ist gewöhnlich bereits in der an die Frankiermaschine angeschlossenen Waage integriert. Jedoch wurden auch schon Lösungen mit einem in die Frankiermaschine integrierten Portorechner vorge schlagen.A postage fee table is that for the mail piece required postage fee removable. The postage calculator, which is the valid one from the weight of the mail piece Postage amount determined is usually already in the the scales connected to the franking machine. However, solutions with one in the Postage meter integrated postage calculator beat.

Beispielsweise weist eine aus der DE 42 13 278 A1 be kannte transportierbare Frankiermaschine Speichermittel und mit diesen in Verbindung stehende Empfangsmittel für über ein Übertragungsmittel übertragbare Daten auf. Das Speichermittel der Frankiermaschine weist aktuali sierbare Abschnitte für an bestimmte Bedingungen geknüpfte Tabellen auf, beispielsweise für mindestens eine aktuelle Portogebührentabelle, anhand derer die jeweilige Portogebühr ermittelt wird. Die Frankier maschine weist im Steuermodul erste Mittel auf, die bei Inbetriebnahme der Frankiermaschine mindestens eine Portogebührentabelle für die Frankiermaschine aus dem Speicher des Übertragungsmittels über die Empfangs mittel in einen vorbestimmten Speicherraum des Speichermittels laden. Sie enthält zweite Mittel im Steuermodul, die mittels der über dritte Mittel eingegebenen Bedingungen anhand des bereits eingegebenen Absendelandes bzw. -ortes und des Datums die aktuelle in Kraft befindliche Portogebührentabelle auswählen, um diese zu laden. Diese ersten und zweiten Mittel sind hardware- und/oder softwaremäßig als ein fest- oder freiprogrammierbarer Logikmodul bzw. Programm einer Mikroprozessorsteuerung ausgebildet und bewirken bei jedem Einschalten eine Verbindungsaufnahme zum externen Speicher.For example, one from DE 42 13 278 A1 knew transportable franking machine storage means and receiving means associated therewith for data that can be transmitted via a transmission medium. The storage means of the franking machine currently has Sectable sections for certain conditions linked tables, for example for at least a current postage fee table, based on which the respective postage fee is determined. The frankier The machine has first means in the control module, which are at Commissioning of the franking machine at least one Postage fee table for the franking machine from the Memory of the means of transmission on the reception means in a predetermined storage space of the Load storage medium. It contains second resources in the Control module by means of third party means entered conditions based on the already entered country or place of dispatch and the date the current postage fee table in force select to load them. These first and second Means are hardware and / or software as one Fixed or freely programmable logic module or Program of a microprocessor control trained and create a connection each time it is switched on to the external memory.

Solche aktualisierbaren Abschnitte des Speichermittels sind ebenfalls für andere Informationen und/oder Zusatzinformationen vorgesehen. Insbesondere kann die Sicherheit vor betrügerischen Manipulationen dadurch erhöht werden, daß bei der Aktualisierung eine dem Aktualisierungsdatum zugeordnete Anzahl von Funktionen in die Frankiermaschine ladbar sind und die weiteren zu ladenden auslösbaren Funktionen vielfältig und nicht wählbar vorgegeben sind. Zur Sicherheit gegen betrü gerische Manipulationen kann von der nationalen Post behörde, zu der der jeweilige Absendeort gehört, ein nur von der jeweiligen nationalen Postbehörde maschi nenlesbarer Ausdruck vorgegeben sein. Dieser Ausdruck kann beispielsweise die Transaktionsnummer für eine Berechtigungprüfung in Strichcodedarstellung sein oder ein anderes vereinbartes Zeichen, welches unter Verwendung des gleichen oder weiteren Druckers an einer definierten Stelle auf dem Postgut abgedruckt wird.Such updatable sections of the storage means are also for other information and / or Additional information provided. In particular, the Security against fraudulent manipulation be increased so that when updating a Number of functions assigned to the update date can be loaded into the franking machine and the others various functions that can be loaded and not are selectable. For security against fraud Geric manipulations can be done by the National Post authority to which the respective sending location belongs only from the respective national postal authority a readable expression. This expression can, for example, the transaction number for a Authorization check in bar code display or another agreed sign, which under Use the same or another printer on one defined position is printed on the mail.

Solche Sicherheitsmaßnahmen sind geeignet den Einsatz eines Farbkopierers zur unerlaubten Vervielfälltigung eines Frankierabdruckes zu vereiteln. Sie können jedoch nicht die innere Manipulationssicherheit der Daten in der Frankiermaschine erhöhen. Such security measures are suitable for use a color copier for unauthorized reproduction to frustrate a franking imprint. However, you can not the intrinsic security against manipulation of the data the franking machine.

Damit nicht die Speicherinhalte geklont wiederverwertet werden, müßte aber die Abrechnungseinheit wieder mit einem Sicherheitsgehäuse ausgerüstet werden. Anderer seits ist dann aber dadurch weiterhin der Austausch defekter Bauelemente erschwert.So that the memory contents are not cloned and recycled but the accounting unit would have to be included be equipped with a safety housing. Other on the other hand, this means that the exchange continues defective components difficult.

In der EP 560 714 A2 sind die Montageeinheiten durch ein Sicherheitsgehäuse gekapselt. Zur fälschungs sicheren Übertragung von Abrechnungsdaten von einem Speicher in einer defekten Montageeinheit auf den Speicher einer in die Frankiermaschine neu eingesetz ten Montageeinheit wird jede Montageeinheit mit zwei Steckereinheiten ausgerüstet. Zunächst wird der Datenfluß durch eine besondere Übertragungsleitung einer ersten Steckereinheit geschlauft, wobei aber an der gleichen ersten Steckereinheit der alten Monta geeinheit die Schlaufung entfernt und der normale Datenfluß unterbrochen und umgeleitet ist. Vom Speicher der alten Montageeinheit wird über die letztgenannte Stechereinheit und mittels einer zweiten Steckereinheit der neuen Montageeinheit der Datenfluß auf die neue Montageeinheit umgeleitet. Es sind mechanische Verrie gelungsglieder vorgesehen, welche in Wirkverbindung mit einem eine elektronische Erkennungsmarke (Flag) setzenden Schalters stehen, welcher beim Herausnehmen der defekten Montageeinheit betätigt wird. Nach dem Übertragen der Daten auf die neue Montageeinheit wird ein zweites unlöschbares Flag gesetzt, so daß eine zweite Datenübertragung unmöglich gemacht ist. Die Sicherheit beruht im wesentlichen auf der Kapselung von CPU und nichtflüchtigem Speicher auf der Montageeinheit und dem vorgenannten Schalter zum Setzen der Flags. Bei Kenntnis der Lage bzw. Anordnung des Schalters kann ein Eindringen und eine Manipulation in Fälschungsabsicht aber nicht verhindert werden.In EP 560 714 A2 the assembly units are through encapsulated a security housing. For counterfeiting secure transfer of accounting data from one Memory in a defective assembly unit on the Memory newly inserted into the franking machine Each assembly unit is made up of two Plug units equipped. First, the Data flow through a special transmission line looped a first connector unit, but at the same first connector unit of the old Monta unit removed the loop and the normal Data flow is interrupted and redirected. From the store the old assembly unit is over the latter Piercing unit and by means of a second connector unit the new assembly unit the data flow to the new one Assembly unit redirected. They are mechanical locks Gelungsglieder provided which are in operative connection with an electronic identification tag (flag) set switch, which when removing the defective assembly unit is actuated. After this The data is transferred to the new assembly unit set a second indelible flag so that a second data transmission is made impossible. The Security is essentially based on the encapsulation of CPU and non-volatile memory on the mounting unit and the aforementioned switch for setting the flags. At Knowledge of the location or arrangement of the switch can be a Intrusion and manipulation with the intention of forgery but cannot be prevented.

Aus der DE 41 29 302 A1 ist die Verwendung eines Sensors bekannt, welcher beim Öffnen des Frankier maschinengehäuses die Postregister löscht. Jedoch kann damit nicht verhindert werden, daß neue Daten in das Postregister von einem geschickten Manipulator eingeschrieben werden können, wenn das Gehäuse erst einmal geöffnet ist.DE 41 29 302 A1 describes the use of a Known sensor, which when opening the franking machine housing clears the postal register. However, can so that no new data can be prevented in the Postal register from a nifty manipulator can be registered when the housing is open once.

Aus der EP 231 452 A2 ist das periodische Abfragen von Sensoren entsprechend einer Softwareroutine einer CPU bekannt. Der Nachteil dieser Lösung besteht in einer hohen Rechenzeit bedingt durch das periodische Abtasten der Sensoren. Dieser Nachteil wird noch vergrößert, wenn es sich um eine besonders zeitkritische Abfrage handelt. Um möglichst schnell auf eine Zustandsänderung reagieren zu können, muß die Abfragefrequenz hoch gewählt werden. Somit verbringt der Mikroprozessor einen großen Anteil seiner Rechenzeit mit der Abfrage. Außerdem kann nicht die Manipulation einer ausge schalteten Maschine verhindert werden.EP 231 452 A2 describes the periodic interrogation of Sensors according to a software routine of a CPU known. The disadvantage of this solution is one high computing time due to periodic sampling of the sensors. This disadvantage is exacerbated if it is a particularly time-critical query acts. In order to change the state as quickly as possible To be able to react, the polling frequency must be high to get voted. So the microprocessor spends a large proportion of its computing time with the query. Besides, the manipulation of one cannot switched machine can be prevented.

Es wurde bereits in der DE 42 17 830 A1 ein Verfahren zum Betreiben einer Datenverarbeitungsanlage mit einem ersten nichtflüchtigen Speicher, einem Zustandsspeicher und einem zweiten nichtflüchtigen Speicher vorge schlagen. Eine Modulkennung ermöglicht die Fortsetzung des Programms und eine Zustandskennung ermöglicht die Bearbeitung und Fortsetzung des Programmsabschnitts bei dem eine Programmunterbrechung eintrat, d. h. ggf. die Korrektur fehlerhaft eingeschreibener Daten in einem NVM aufgrund redundant vorliegender Daten in dem anderen NVM. Diese Lösung kann aber nicht den Daten inhalt, auf Vorliegen einer Manipulation überprüfen. Beim Klonen von Speicherinhalten werden korrekte Daten auf externe Speicher überspielt. Beim Rückübertragen dieser Speicherinhalte bzw. beim Einsatz dieser exter nen Speicher in die Frankiermaschine zu einem späteren Zeitpunkt wird ein von der Frankiermaschine selbst nicht als fehlerhaft erkennbarer Zustand wiederher gestellt, der zu einem früheren Zeitpunkt einmal korrekt war.A method has already been described in DE 42 17 830 A1 to operate a data processing system with a first non-volatile memory, a state memory and a second non-volatile memory beat. A module identifier enables the continuation of the program and a status identifier enables the Editing and continuation of the program section at the program was interrupted, d. H. possibly the Correction of incorrectly registered data in one NVM due to redundant data in the other NVM. However, this solution cannot use the data content, check for tampering. When you clone memory contents, you get correct data transferred to external storage. When transferring back this memory content or when using this external memory into the franking machine for later The point in time becomes one of the franking machine itself not recovered as a faulty condition put that at an earlier time was correct.

Es ist bereits ein Verfahren zur Verbesserung der Sicherheit von Frankiermaschinen vorgeschlagen worden (DE 43 44 476 A2) indem die Frankiermaschine zwischen autorisierten und unautorisierten Eingriff bzw. Öffnen ihres Gehäuses unterscheiden kann. Das Verfahren setzt aber voraus, daß die Frankiermaschine ständig mit Energie für die Selbstprüfung versorgt wird. In diesem Fall können keine sicherheitsrelevanten Daten aus der Frankiermaschine unerlaubt herausgeladen, abgenommen oder eingespeist werden, ohne daß dies im Rahmen der Selbstprüfung bemerkt würde. Dennoch sind zusätzliche Gehäuse, Siegel und/oder weitere Sicherheitsmaßnahmen erforderlich zum Schutz der ausgeschalteten Maschine.It is already a process for improving Postage meter security has been proposed (DE 43 44 476 A2) by the franking machine between authorized and unauthorized intervention or opening can distinguish their housing. The procedure continues but ahead that the franking machine is always with Energy for self-testing is supplied. In this Case no security-relevant data from the Franking machine unauthorized, removed, accepted or be fed in without this being part of the Self-examination would be noticed. Nevertheless, there are additional ones Housing, seal and / or other security measures required to protect the machine when it is switched off.

Vielfach wird die Forderung erhoben, daß für Reparaturzwecke die Speicherbausteine leicht austausch bar sind, also weder gekapselt noch fest eingelötet sondern gesockelt werden. Nun wäre es damit aber nicht möglich, die tragbaren, d. h. die nicht fest über ein Telefonnetz installierten Frankiermaschinen im ausge schalteten Zustand gegenüber betrügerischen Manipula tionen abzusichern. Im Interesse der Manipulations sicherheit von kritischen Registerdaten muß bisher auf Verbesserungen beim Service für die Maschine verzichtet werden.The demand is often raised that for Easily replace the memory modules for repair purposes are bar, so neither encapsulated nor soldered firmly but be socketed. But it wouldn't be now possible the portable, d. H. who are not firm about a Franking machines installed in the telephone network switched state against fraudulent manipulation to secure In the interest of manipulation The security of critical register data has so far been limited to Improvements to the service for the machine waived become.

Der Erfindung liegt die Aufgabe zugrunde, zur Erhöhung der Manipulationssicherheit von kritischen Daten, ins besondere von Registerdaten, in informationsverarbei tenden Einrichtungen zum Frankieren, ein Verfahren zu entwickeln, um bei leicht auswechselbaren Speicher baulementen die Manipulationssicherheit der Daten zu gewährleisten. The invention has for its object to increase the security against manipulation of critical data, ins special of register data, in information processing devices for franking, a procedure evolve around easily replaceable memory add security against manipulation of the data guarantee.

Die Aufgabe wird mit den Merkmalen des Anspruchs 1 gelöst.The object is achieved with the features of claim 1 solved.

Die Erfindung geht davon aus, daß ein Duplizieren bzw. Klonen des zu schützenden NVMs nicht verhindert werden braucht, sondern auch ein Duplikat des Speicherinhalts, welches gegen den Speicherinhalt des Orginals ausge tauscht wird, weiterverwendet werden kann. Im Repara turfall wird oft ein Kopieren und Rücktausch der Speicherinhalte erforderlich, wobei allerdings voraus gesetzt wird, daß zwischenzeitlich keine gültigen Frankierungen vorgenommen werden.The invention assumes that a duplication or Cloning of the NVM to be protected cannot be prevented needs, but also a duplicate of the memory content, which against the memory content of the original is exchanged, can be reused. In the repair shop turfall is often copied and exchanged Memory contents required, however ahead is set that no valid in the meantime Frankings are made.

Es wird ein interner Prozessorspeicher verwendet, um ein Codewort nichtflüchtig zu speichern. Es ist vorgesehen, daß jedem nichtflüchtigem Speicher oder Speicherbereich ein separates Codewort zugeordnet wird, wobei mindestens eines der vorgenannten separaten Codeworte in einem weiteren internen Speicher eines Prozessorsystems, einer Chipkarte und/oder einer Datenzentrale nichtflüchtig gespeichert worden ist und daß eine Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt und danach eine Einspeicherung der neuen Codewörtern in nichtflüchtigen Speichern vorgenommen wird.It becomes an internal processor memory used to store a code word in a non-volatile manner. It is contemplated that any non-volatile memory or memory area assigned a separate code word is, wherein at least one of the aforementioned separate Code words in another internal memory Processor system, a chip card and / or one Data center has been stored non-volatile and that the formation of new code words from one predetermined time and then a storage of the new code words in non-volatile memories is made.

Diese Lösung verhindert also nicht, daß die Postregister einschließlich Inhalt entfernt werden, um beliebig viele Kopien anzufertigen, sondern sie verhindert, daß mit Hilfe dieser Kopien Postgüter frankiert werden können, ohne daß eine adäquate Abrechnung bei der Datenzentrale bzw. Bezahlung bei der Post vorgenommen wird. Eine Verkapselung der Bau elemente für die herausnehmbaren die Postregister speichernden NV-RAMs mit einem Sicherheitsgehäuse oder das Vorsehen anderer zusätzlicher Maßnahmen zum Schutz vor Entnahme, wie Aufkleben auf die Leiterplatte, Versiegeln oder Vergießen mit Epoxidharz sind nun nicht erforderlich.So this solution does not prevent the postal register including content is removed, to make any number of copies, but rather them prevents using these copies of postal items can be franked without an adequate Billing at the data center or payment at the Post is made. Encapsulating the construction elements for the removable the postal register NV-RAMs with a security housing or the provision of other additional protective measures before removal, such as sticking to the circuit board, Sealing or potting with epoxy resin are not now required.

Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten beruht auf nichtflüchtigen Speicherbausteinen. Bei der ausgeschalteten Frankiermaschine bzw. bei ausgefallener Stromversorgung bleiben die Daten gespeichert. Solche beispielsweise mit einer Lithiumbatterie gestützten CMOS-SRAM's sind während ihrer Lebensdauer von ca. 10 Jahren beliebig oft beschreibbar. Die Batterie kann weder nachgeladen noch entladen werden, ohne den Speicherbaustein zu zerstören. Es wird davon ausgegan gen, daß im Leben einer Frankiermaschine bis zu 150000 Abdrucke möglich sind und daß die Lithiumbatterie während dieser Zeit nicht ausgewechselt werden muß.The internal franking machine safety circuit for Postal register data and other security-related data is based on non-volatile memory chips. In the the franking machine is switched off or if it fails The data remain stored in the power supply. Such for example with a lithium battery CMOS SRAMs are approximately 10 during their lifespan Years can be written as often as required. The battery can neither be reloaded nor discharged without the Destroy memory chip. It is assumed that in the life of a franking machine up to 150,000 Imprints are possible and that the lithium battery no need to be replaced during this time.

Ebenfalls können Speichermittel von anderer Speicher technologie durch die Sicherheitsschaltung entsprechend vor Mißbrauch geschützt werden, wenn zu vorbestimmten Ereignissen sicherheitsrelevante Daten in diese nicht flüchtigen Speicher gespeichert werden.Storage means can also be obtained from other storage devices technology by the safety circuit accordingly be protected from abuse if at predetermined Events in security-related data do not exist in these volatile memory can be saved.

Vom Herstellerwerk der Frankiermaschine wird in die nichtflüchtigen Speicherbausteine (Bat-NV-CMOS-SRAM's und E²PROM) ein Codewort eingespeichert, welches einer vorbestimmten Frankiermaschine zugeordnet ist. Das Codewort kann am Anfang beispielsweise die Seriennummer der Frankiermaschine umfassen oder kann ein Teil einer anderen Nummer sein. Außerdem werden die Register speicherplätze mit Anfangswerten vom Herstellerwerk vorbesetzt.The manufacturer of the franking machine stores a code word in the non-volatile memory modules (Bat-NV-CMOS-SRAM's and E ² PROM), which is assigned to a predetermined franking machine. The code word may initially include, for example, the serial number of the postage meter machine or may be part of another number. In addition, the register memory locations are preset with initial values by the manufacturer.

Diese Lösung gestattet festzustellen, das die nichtflüchtigen Speicher (NV-RAMs, E²PROMs) ausgewechselt und geklont wurden, um später mit den geklonten oder ausgewechselten NV-RAMs bzw. E²PROMs die Frankiermaschine FM zu betreiben. Die Erfindung geht von einem OTP-Prozessor mit einem internen OPT-ROM und internen OTP-RAM aus. Im internen OPT-ROM ist eine Liste von Codewörtern gespeichert, wobei jedes Codewort zeitweise und möglichst nur einmal aktiv ist. Das Codewort wird unabhängig vom Speicherinhalt der NV-RAMs aus der Tabelle - die im von außen nicht zugänglichen internen ROM-Bereich des OTP gespeichert vorliegt - ausgewählt.This solution makes it possible to ascertain that the non-volatile memories (NV-RAMs, E ² PROMs) were replaced and cloned in order to later operate the franking machine FM with the cloned or exchanged NV-RAMs or E ² PROMs. The invention is based on an OTP processor with an internal OPT-ROM and internal OTP-RAM. A list of code words is stored in the internal OPT-ROM, with each code word being active temporarily and possibly only once. The code word is selected regardless of the memory content of the NV-RAMs from the table - which is stored in the internal ROM area of the OTP, which is not accessible from the outside.

Das neue Codewort wird mindestens beim Einschalten der Frankiermaschine der internen OTP-Tabelle entnommen und in den nichtflüchtigen Speichern (NV-RAMs, E²PROMs) abgespeichert, wenn das alte in der Liste das jeweilige Vorgänger-Codewort war.The new code word is taken from the internal OTP table at least when the franking machine is switched on and stored in the non-volatile memories (NV-RAMs, E ² PROMs) if the old one in the list was the respective previous code word.

Das Weiterschalten der Codewörter wird über Flags oder Zeiger, die in einem weiteren nichtflüchtigen Speicher gespeichert sind, realisiert. Der Zeiger wird außerhalb des zu jeweils überprüfenden nichtflüchtigen Speichers (NV-RAMs) in einem ständig eingebauten und/oder während der Laufzeit der Frankiermaschine mit ihrem Prozessor system in Kommunikationsverbindung stehenden und gegen Herausnahme während der Laufzeit der Frankiermaschine abgesicherten Sicherheits-Speicher gespeichert. Zur Verhinderung von Manipulationen in Fälschungsabsicht des vorgenannten ständig eingebauten und gegen Herausnahme abgesicherten Sicherheits-Speicher sollten diese Flag oder Zeiger MAC-gesichert gespeichert sein. The code words are advanced via flags or Pointers in another non-volatile memory are saved, realized. The pointer is outside of the non-volatile memory to be checked in each case (NV-RAMs) in a permanently installed and / or during the running time of the franking machine with its processor system in communication and against Removal during the running time of the franking machine secured security memory. For Prevention of tampering of the aforementioned constantly installed and against Removed secured security storage should these flags or pointers are stored in a MAC-secured manner.

Das Programm für die Auswahl des jeweils neuen Codewortes ist im internen Programmspeicher (internen OTP-ROM bzw. OTP-EPROM) gespeichert. Die Auswahl des neuen Codewortes ist vom vorherigen und/oder vom Zustand der Frankiermaschine zu einem vorbestimmten Zeitpunkt abhängig. Jedem nichtflüchtigem Speicher oder Speicherbereich, der geschützt werden muß, kann ein separates Codewort zugeordnet werden.The program for the selection of the new one Code word is in the internal program memory (internal OTP-ROM or OTP-EPROM) saved. The selection of the new code word is from the previous and / or from State of the franking machine to a predetermined Depending on the time. Any non-volatile memory or Memory area that needs to be protected can be a separate code word can be assigned.

Es ist vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbaren ersten Codewortes auch die Bildung des neuen zweiten Codewortes nach einem identischen Algorithmus zur Bildung des neuen ersten Codewortes erfolgt, um ein identisches neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden.It is envisaged that in one step to education of a new changeable first code word also the Formation of the new second code word after a identical algorithm to form the new first Code word is made to be an identical new second Code word in the non-volatile memory to be protected to load.

Alternativ ist in einer weiteren Variante vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbares ersten Codewortes auch die Bildung des neuen zweiten Codewortes als komplementärer Schatten zum neuen ersten Codewortes erfolgt, um ein komplementäres neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden.Alternatively, another variant provides that in one step to form a new one changeable first code word also the formation of the new second code word as a complementary shadow to the new first code word is done to complementary new second code word in the to protective non-volatile memory.

Es ist in einer anderen Variante vorgesehen, daß in einem Schritt zur Bildung eines neuen veränderbares ersten Codewortes auch die Bildung des neuen zweiten Codewortes als zu dem veränderbaren neuen ersten Codewort identischen Codewort und als komplementärer Schatten zum neuen ersten Codewortes erfolgt, um mindestens ein neues zweites Codewort in die zu schützenden nichtflüchtigen Speicher zu laden oder daß beim Schutz eines entsprechenden Speichers in mindestens einem der Speicherbereiche auch mit dem komplementären Schatten gearbeitet wird.Another variant provides that in a step towards the formation of a new changeable first code word also the formation of the new second Code word as to the changeable new first Codeword identical codeword and as complementary Shadow to the new first code word is made to at least one new second code word in the too protective non-volatile memory or that when protecting a corresponding memory in at least one of the memory areas also with the complementary shadow is worked.

Für eine Anordnung zur Erhöhung der Manipulations sicherheit von kritischen Daten, insbesondere von Registerdaten in Frankiermaschinen mit einer Steuereinrichtung und Speichern, ist vorgesehen, daß die Steuereinrichtung einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) aufweist und im OTP sind neben einem Mikroprozessor CPU auch weitere Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM bzw. im internen OTP-RAM in einem gemeinsamen Bauelementgehäuse untergebracht sind, welche ein erstes Sicherheitsmittel gegen unbefugte Manipulation bilden sowie daß ein externer nichtflüchtiger Speicher NVM 20 ein zweites Sicherheitsmittel gegen unbefugte Manipulation bildet.For an arrangement to increase the security against manipulation of critical data, in particular register data in franking machines with a control device and memories, it is provided that the control device has a microprocessor or an OTP processor (ONE TIME PROGRAMMABLE) and in the OTP there is a microprocessor CPU further circuits and / or programs or data in the internal OTP-ROM or in the internal OTP-RAM are accommodated in a common component housing, which form a first security means against unauthorized manipulation and that an external non-volatile memory NVM 20 is a second security means against unauthorized persons Manipulation forms.

Vorteilhafte Weiterbildungen der Erfindung sind in den Unteransprüchen gekennzeichnet bzw. werden nachstehend zusammen mit der Beschreibung der bevorzugten Ausfüh rung der Erfindung anhand der Figuren näher darge stellt. Es zeigen:Advantageous developments of the invention are in the Sub-claims marked or are below along with the description of the preferred embodiment tion of the invention with reference to the figures Darge poses. Show it:

Fig. 1, Blockschaltbild einer Frankiermaschine mit erfindungsgemäß erhöhter Sicherheit, Fig. 1, block diagram of a franking machine according to the invention increased security,

Fig. 2, Variante mit OTP-Prozessor, Fig. 2, variant with OTP processor,

Fig. 3, Gesamtablaufplan für die Frankiermaschine, Fig. 3, overall flowchart for the franking machine,

Fig. 4, Details des Ablaufplans nach Fig. 3, Fig. 4, details of the flow chart of FIG. 3,

Fig. 5, Ablaufplan für den Frankiermodus, Fig. 5, flow chart for the franking,

Fig. 6, Details des Ablaufplans nach Fig. 4, Fig. 6, details of the flow chart of Fig. 4,

Fig. 7, Flußplan für das erfindungsgemäße Verfahren zur Erhöhung der Manipulationssicherheit, Fig. 7, the flow chart for the inventive method for increasing the security against manipulation,

Fig. 8a bis c, Zeigerstellungen nach dem erfindungs gemäßen Verfahren. FIGS. 8a-c, hand positions according to the fiction, modern methods.

Die Fig. 1 zeigt ein Blockschaltbild der erfindungsgemäßen Frankiermaschine mit einem Drucker modul 1 für ein vollelektronisch erzeugtes Frankier bild, mit mindestens einem mehrere Betätigungselemente aufweisenden Eingabemittel 2, einer Anzeigeeinheit 3, einem die Kommunikation mit einer Datenzentrale herstellenden MODEM 23, welche über einen Ein/Ausgabe- Steuermodul 4 mit einer Steuereinrichtung 6 gekoppelt sind und mit mindestens einem nichtflüchtigen Speicher 5a bzw. 5b für die variablen und einen Speicher 10, 11 für die konstanten Teile des Frankierbildes. Fig. 1 shows a block diagram of the postage meter machine according to the invention with a printer module 1 for a fully electronically generated franking image, having at least one more actuating elements having input means 2, a display unit 3, a communication with a data central producing MODEM 23, which via an A / Output control module 4 are coupled to a control device 6 and with at least one non-volatile memory 5 a or 5 b for the variable and a memory 10 , 11 for the constant parts of the franking image.

Ein Charakterspeicher 9 liefert die nötigen Druckdaten für einen flüchtigen Arbeitsspeicher 7. Der flüchtige Arbeitsspeicher 7 umfaßt beispielsweise einen externen RAM in Verbindung mit einem im Prozessor angeordneten internen RAM 6b. Die Steuereinrichtung 6 weist einen entsprechend ausgebildeten Mikroprozessor µP auf und ist mit dem Ein/Ausgabe-Steuermodul 4, dem Charakter speicher 9, dem flüchtigen Arbeitsspeicher 7, mit einem nichtflüchtigen Kostenstellenspeicher NVM 5a und mit einem nichtflüchtigen Arbeitsspeicher NVM 5b, mit einem anwendungsspezifischen Programmspeicher ASP 10 (Klischee-EPROM), einem Programmspeicher PSP 11 (Programm-EPROM), mit dem Motor einer Transport- bzw. Vorschubvorrichtung ggf. mit Streifenauslösung 12, einem Encoder (Codierscheibe) 13, einem Briefsensor 16 sowie mit einem Uhren/Datums-Baustein 8 verbunden. Ein entsprechendes Verfahren zum Steuern eines spalten weisen Drucks eines Postwertzeichenbildes ist bei spielsweise in der EP 578 042 A2 oder in der EP 576 133 A2 ausführlicher beschrieben.A character memory 9 supplies the necessary print data for a volatile working memory 7 . The volatile working memory 7 comprises, for example, an external RAM in conjunction with an internal RAM 6 b arranged in the processor. The control device 6 has a correspondingly designed microprocessor μP and is with the input / output control module 4 , the character memory 9 , the volatile working memory 7 , with a non-volatile cost center memory NVM 5 a and with a non-volatile working memory NVM 5 b, with an application-specific Program memory ASP 10 (cliché EPROM), a program memory PSP 11 (program EPROM), with the motor of a transport or feed device, possibly with a strip release 12 , an encoder (coding disc) 13 , a letter sensor 16 and with a clock / date -Block 8 connected. A corresponding method for controlling a column-wise printing of a postage stamp image is described in more detail, for example, in EP 578 042 A2 or in EP 576 133 A2.

Die - in der Fig. 2 näher dargestellte - Steuereinrichtung 6 weist einen Mikroprozessor oder einen OTP-Prozessor (ONE TIME PROGRAMMABLE) auf. Im OTP sind neben einem Mikroprozessor CPU 6a auch weitere Schaltungen in einem gemeinsamen Bauelementgehäuse untergebracht. Diese weiteren Schaltungen und/oder Programme bzw. Daten im internen OTP-ROM 6c bzw. im internen OTP-RAM 6b in dem gemeinsamen Prozessorgehäuse bilden eine Sicherheitsschaltung bzw. ein erstes Sicherheitsmittel gegen unbefugte Manipulation. The control device 6 - shown in more detail in FIG. 2 - has a microprocessor or an OTP processor (ONE TIME PROGRAMMABLE). In the OTP are housed next to a microprocessor CPU 6 a also more circuits in a common component housing. These further circuits and / or programs or data in the internal OTP-ROM 6 c or in the internal OTP-RAM 6 b in the common processor housing form a security circuit or a first security means against unauthorized manipulation.

Die übrigen einzelnen Speicher können in mehreren physikalisch getrennten oder in gemäß der Fig. 2 gezeigten Weise in wenigen Bausteinen zusammengefaßt verwirklicht sein. Vorzugsweise sind die Festwert speicher CSP 9 und PSP 11 in einem EPROM und die nichtflüchtigen Speicher NVM 5a und 5b in einem Post registerspeicher zusammengefaßt. Letzterer ist vorzugs weise doppelt vorhanden und wird in seinen Speicher bereichen redundant mit Daten beschrieben. Ein Verfahren zum Speichern sicherheitsrelevanter Daten ist beispielsweise in der EP 615 211 A1 näher ausgeführt.The remaining individual memories can be implemented in a plurality of physically separate modules or combined in a few modules in the manner shown in FIG. 2. The fixed value memories CSP 9 and PSP 11 are preferably combined in an EPROM and the non-volatile memories NVM 5 a and 5 b in a postal register memory. The latter is preferably duplicated and is redundantly written with data in its memory areas. A method for storing security-relevant data is described in more detail, for example, in EP 615 211 A1.

Ein externer nichtflüchtiger Speicher NVM 20 bildet ein zweites Sicherheitsmittel gegen unbefugte Manipulation. In der Fig. 1 wird ein Blockschaltbild der erfindungsgemäßen Frankiermaschine 1 mit einer Chipkarten-Schreib-Lese-Einheit 21 dargestellt. Diese steht über einen BUS 11 mit einem Prozessor 6 direkt oder über Ein/Ausgangsmittel (I/O-Ports) 4 in Verbindung. Weiter ist ein - in der Fig. 1 nicht näher dargestellter - Anschluß eines MODEMs 23 über den BUS 11 direkt oder über vorgenanntes Ein/Ausgangsmittel 4 vorgesehen. Sowohl in der Datenzentrale als auch in einer Chipkarte, welche in die Chipkarten-Schreib-Lese- Einheit 21 eingesteckt werden muß, schließen einen externen nichtflüchtigen Speicher ein, welcher als zweites Sicherheitsmittel gegen unbefugte Manipulation, eingesetzt werden kann.An external non-volatile memory NVM 20 forms a second security device against unauthorized manipulation. In Fig. 1 a block diagram of the postage meter 1 according to the invention with a chip card read-write unit 21 is shown. This is connected via a bus 11 to a processor 6 directly or via input / output means (I / O ports) 4 . Furthermore, a connection of a MODEM 23 via the BUS 11 directly or via the aforementioned input / output means 4 is provided (not shown in more detail in FIG. 1). Both in the data center and in a chip card, which must be inserted into the chip card read / write unit 21 , include an external non-volatile memory which can be used as a second security means against unauthorized manipulation.

Der externe nichtflüchtige Speicher NVM 20 ist in der bevorzugten Variante - wie in der Fig. 1 gezeigt - ein Bestandteil des Prozessorsystems der Frankiermaschine und arbeitet mit dem Programmspeicher 6c (internes EPROM oder ROM) und flüchtige Datenspeicher RAM 6b zusammen.The external non-volatile memory NVM 20 is in the preferred variant - as shown in FIG. 1 - a component of the processor system of the franking machine and works with the program memory 6 c (internal EPROM or ROM) and volatile data memory RAM 6 b.

Durch die Möglichkeit Sicherungsbits zu setzen (bei internen EPROM) bzw. während der Herstellung eine Maskenprogrammierung (bei internen ROM) vorzunehmen, kann das Auslesen des internen Programm-Speichers von außen verhindert werden. Die Sicherungsbits werden durch Programmierung des internen EPROM während der Herstellung der Frankiermaschine im OTP-Prozessor gesetzt. Das Observieren solcher sicherheitsrelevanter Routinen, wie beispielsweise Abrechnungsroutinen, mit einem Emulator/Debugger würde ebenfalls zu einem veränderten Zeitablauf führen, was durch den OTP feststellbar ist. Dieser umfaßt auch eine Taktgeber/Zähler-Schaltung für die Vorgabe von Zeitintervallen bzw. Taktzyklen beispielsweise für die Time-out-Generierung oder Druckersteuerung. Vorteilhaft wird die Taktgeber/Zähler-Schaltung für eine Programm laufzeitüberwachung eingesetzt, welche in der Anmeldung EP 660 269 A2 genauer beschrieben ist. Wenn eine bestimmte Zeit abgelaufen und das erwartete Ereignis nicht eingetreten ist, wird vom der Taktgeber/Zähler- Schaltung ein Interrupt generiert, der dem Mikroprozes sor den ergebnislosen Ablauf der Zeitspanne meldet, woraufhin der Mikroprozessor weitere Maßnahmen veran laßt. Die Überwachungsfunktion wird in vorgenannter Weise durch das vorgenannte erste Sicherheitsmittel übernommen, das Bestandteil des Prozessors (OTP) ist und die in Verbindung mit einer entsprechenden Software während des Betriebes der Frankiermaschine wirksam wird. Bei einer vorteilhaften weiteren Variante der Zeitkontrolle wird ein Codewort im externen NVM 5a, 5b oder 20 gelöscht. Das kann durch Überschreiben mit einem vorbestimmten anderen Wort, beispielsweise 0000 erfolgen. Der Vorteil liegt insbesondere darin, daß die Sicherheitsschaltung während des Betriebes auf eine Manipulation durch unbefugten Eingriff in die Frankiermaschine reagiert.Reading out the internal program memory from the outside can be prevented by the possibility of setting security bits (with internal EPROM) or during mask production (with internal ROM). The security bits are set by programming the internal EPROM during the manufacture of the franking machine in the OTP processor. Observing such security-relevant routines, such as billing routines, with an emulator / debugger would also lead to a change in the timing, which can be determined by the OTP. This also includes a clock generator / counter circuit for the specification of time intervals or clock cycles, for example for time-out generation or printer control. The clock generator / counter circuit is advantageously used for program runtime monitoring, which is described in more detail in the application EP 660 269 A2. When a certain time has elapsed and the expected event has not occurred, the clock / counter circuit generates an interrupt which reports to the microprocessor that the time has elapsed without result, whereupon the microprocessor takes further measures. The monitoring function is carried out in the aforementioned manner by the aforementioned first security means, which is part of the processor (OTP) and which becomes effective in connection with appropriate software during the operation of the franking machine. In an advantageous further variant of the time control, a code word in the external NVM 5 a, 5 b or 20 is deleted. This can be done by overwriting with a predetermined other word, for example 0000. The advantage is in particular that the safety circuit reacts to manipulation by unauthorized intervention in the franking machine during operation.

Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten schützt den Dateninhalt von nichtflüchtigen Speichern, beispielsweise von mit einer Lithiumbatterie gestützten CMOS-SRAM's, gegenüber einer Verwendung unerlaubt geklonter Kopien ohne Abrechnung.The internal franking machine safety circuit for Postal register data and other security-related data protects the data content of non-volatile memories, for example, supported by a lithium battery CMOS SRAM's, prohibited from use cloned copies without billing.

Vorgenannte Lithiumbatterie gestützten CMOS-SRAM's haben eine Lebensdauer von mindestens 10 Jahren. Als nichtflüchtige Speicherbausteine sind beispielsweise von Dallas Semiconductor beim Typ DS1230Y/AB ein Speicherbereich von 256 K oder ein Speicherbereich von 1024 K für ein NV-SRAM beim Typ DS1245Y/AB verfügbar.The aforementioned lithium battery supported CMOS SRAM's have a lifespan of at least 10 years. As Non-volatile memory chips are, for example from Dallas Semiconductor for type DS1230Y / AB Memory area of 256 K or a memory area of 1024 K available for a NV-SRAM for type DS1245Y / AB.

Ebenfalls kann der Uhren/Datums-Baustein 8 nach dem gleichen Verfahren geschützt werden. Dieser vorgenannte Baustein ist ein nichtflüchtiger Zeitgeber-RAM und enthält ebenfalls eine Lithiumbatterie für mindestens 10 Jahre. Der Baustein DS 1642 von Dallas Semiconductor weist einen 2K × 8 NV-SRAM auf.The clock / date module 8 can also be protected by the same method. This module is a non-volatile timer RAM and also contains a lithium battery for at least 10 years. The DS 1642 from Dallas Semiconductor has a 2K × 8 NV-SRAM.

Zusätzlich sind auch Speichermittel von anderer Speichertechnologie entsprechend ihrer Lebensdauer einsetzbar. Die Sicherheitsschaltung speichert in diese nichtflüchtigen Speicher beispielsweise nur Daten zum Zeitpunkt des Einschaltens bzw. Wiederinbetriebnahme der Frankiermaschine nach einem Stand by-Betrieb, also zu Zeitpunkten, wo kein Abrechnungserfordernis vorliegt und keine Frankierung erfolgt. Normale E²PROM-Speicher, insbesondere vom Typ 28256 benötigen keine interne Batterie und lassen mindestens 10000 bis 100000 Schreib-/Lese-Zyklen zu. Die frankiermaschineninterne Sicherheitsschaltung für Postregisterdaten und andere sicherheitsrelevante Daten steuert entsprechend die vorgenannten nichtflüchtigen Speicherbausteine so an, daß die Lebensdauer erhöht bzw. ausreichend ist.In addition, storage media from other storage technology can be used according to their lifespan. The safety circuit stores in this non-volatile memory, for example, only data at the time the franking machine is switched on or restarted after a standby operation, that is to say at times when there is no billing requirement and no franking takes place. Normal E ² PROM memories, especially of type 28256, do not require an internal battery and allow at least 10,000 to 100,000 read / write cycles. The internal postage meter security circuit for postal register data and other security-relevant data accordingly controls the aforementioned non-volatile memory modules so that the service life is increased or sufficient.

Wenn in den nichtflüchtigen Speichern 5a, 5b neben einem Codewort der Dateninhalt der Postregister als Checksumme verschlüsselt gespeichert wird, kann die Manipulation der Postregister wirksam von Anfang an verhindert werden. Beispielsweise wird ein OTP- Prozessor (ONE TIME PROGRAMMABLE) eingesetzt, der im internen ROM einen gespeicherten Algorithmus für ein solches Prüfsummenverfahren aufweist. Gesetzte Flags verhindern ein Auslesen der sicherheitsrelevanten Daten aus dem Prozessor. Ein bekanntes Prüfsummenverfahren beruht auf einem MAC (MESSAGE AUTHENTIFICATION CODE) der an die zu sichernden Daten angehängt wird. Eine solche MAC-Absicherung wird vorteilhaft über die Postregisterdaten gelegt. Im Regelfall genügt jedoch ein Codewort, welches in Zeitabständen geändert wird, um die Sicherheit zu garantieren.If, in addition to a code word, the data content of the postal register is stored in encrypted form as a checksum in the non-volatile memories 5 a, 5 b, manipulation of the postal register can be effectively prevented from the start. For example, an OTP processor (ONE TIME PROGRAMMABLE) is used which has an algorithm stored in the internal ROM for such a checksum method. Set flags prevent the safety-relevant data from being read out of the processor. A known checksum method is based on a MAC (MESSAGE AUTHENTIFICATION CODE) which is attached to the data to be backed up. Such MAC protection is advantageously placed over the postal register data. As a rule, however, a code word, which is changed at intervals, is sufficient to guarantee security.

Als Prozessor kann beispielsweise ein 8051-Prozessor mit einem 16 kByte On-Chip-EPROM als internen Programm speicher eingesetzt werden. Der interne OTP-RAM hat einen Speicherbereich von 256 Byte.An 8051 processor, for example, can be used as the processor with a 16 kbyte on-chip EPROM as internal program memory can be used. The internal OTP RAM has a memory area of 256 bytes.

Erfindungsgemäß ist nun vorgesehen, daß die die Post registerdaten enthaltenen nichtflüchtigen Speicher, insbesondere batteriegestützte CMOS-RAM's (Bat-NV-CMOS- RAM's) ein Codewort enthalten, welches dem letzten Betriebszustand der Frankiermaschine vor dem Ausschal ten bzw. Spannungsausfall oder vor einer gewissen Stillstandszeit (Stand by) bzw. vor Programmunter brechung entsprechend gewählt wurde und daß mindestens zum Zeitpunkt des Einschaltens der Frankiermaschine das alte Codewort durch ein vorbestimmtes neues Codewort ersetzt wird.According to the invention it is now provided that the post non-volatile memory contained in register data, especially battery-supported CMOS-RAM's (Bat-NV-CMOS- RAM's) contain a code word which corresponds to the last one Operating state of the franking machine before the stripping ten or power failure or before a certain Downtime (stand by) or before the program ends refraction was chosen accordingly and that at least at the time the franking machine is switched on old code word by a predetermined new code word is replaced.

Erfindungsgemäß wird also das Codewort zu vorbestimmten Ereignissen durch die betriebsbereite Frankiermaschine automatisch in allen nichtflüchtigen Speichern, welche sicherheitsrelevante Daten händeln, geändert. Eine der artige Maßnahme verhindert, daß ein geklonter Speicher inhalt eines nichtflüchtigen Speichers (Bat-NV-CMOS- RAM's) öfter als einmal verwendet werden kann, weil das Codewort im nichtflüchtigen internen Prozessorspeicher und im Postregister (Bat-NV-CMOS-RAM's) geändert wird, sobald ein vorbestimmter Betriebszustand der Frankier maschine nach dem Einschalten der Maschine bzw. nach Spannungswiederkehr nach einem Ausfall, nach Verlassen des Kommunikationsmodus bzw. dem Nachladen der Frankiermaschine mit einem Guthaben oder nach einer gewissen Stillstandszeit (Stand by) erreicht ist oder nach einer anderen Programmunterbrechung.According to the invention, the code word thus becomes predetermined Events through the operational franking machine automatically in all non-volatile memories, which Handle security-related data, changed. One of the like measure prevents a cloned memory content of a non-volatile memory (Bat-NV-CMOS- RAM's) can be used more than once because that Code word in the non-volatile internal processor memory and is changed in the postal register (Bat-NV-CMOS-RAM's), as soon as a predetermined operating state of the franking machine after switching on the machine or after Return of voltage after a failure, after leaving the communication mode or reloading the Franking machine with a credit or after a certain standstill time has been reached or after another program interruption.

Dabei wird durch o. g. Maßnahme ein Duplizieren bzw. Klonen eines Bat-NV-CMOS-RAM's oder anderen NVRAM's nicht verhindert. Auch ein Duplikat des Speicher inhalts, welches gegen den Speicherinhalt des Orginals ausgetauscht wird, kann weiterverwendet werden. In diesem Fall wird das Codewort des Orginals später ungültig, d. h. ein Rücktausch der Speicherinhalte würde vom Prozessor aufgrund des inzwischen ebenfalls geänderten Codewortes im nichtflüchtigen internen Prozessorspeicher bemerkt werden.Here is by o. G. Measure a duplicate or Cloning a Bat NV CMOS RAM or other NVRAM not prevented. Also a duplicate of the memory content, which is against the storage content of the original can be used again. In In this case, the code word of the original becomes later invalid, d. H. a return of the memory contents would from the processor due to the meanwhile also changed code word in the non-volatile internal Processor memory will be noticed.

Die Veränderung der Codeworte bei gleichgebliebenen Dateninhalt des Speichers kann ohne Kenntnis des Schlüssels und der Parameterdaten vom Manipulator auch nicht vorgenommen werden, wenn der Algorithmus zur Bildung des neuen Codewortes bekannt wäre. Deshalb kann ein bekanntes Verschlüsselungsverfahren, wie beispielsweise DES, eingesetzt werden.The change in code words with the same ones Data content of the memory can be without knowledge of the Key and the parameter data from the manipulator too not be made if the algorithm for Formation of the new code word would be known. Therefore can a well-known encryption method, such as for example DES.

Das Verfahren zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten umfaßt weitere Sicherungs schritte, die in der Fig. 7 dargestellt sind.The method for increasing the security against manipulation of critical register data includes further backup steps, which are shown in FIG. 7.

Im Schritt 106 werden nacheinander die in den zu schützenden nichtflüchtigen Speichern gespeicherten Codewörter gelesen und dann zum Prozessor übertragen. Der Prozessor führt einen Sicherungsschritt 107 zur Überprüfung des bisher gültigen Codewortes und einen Schritt 108 zur entsprechenden Veränderung des Code wortes aus, wenn die Überprüfung die Übereinstimmung bzw. Fehlerfreiheit ergeben hat. Anderenfalls wird vom Schritt 107 auf den Schritt 109 verzweigt, um einen eine den Kill-Mode kennzeichnende Zahl bzw. mindestens aber ein MAC-gesichertes Kill-Mode-Flag im ständig eingebauten nichtflüchtigen externen Sicherheits- Speicher zu setzen.In step 106 , the code words stored in the non-volatile memories to be protected are read in succession and then transmitted to the processor. The processor carries out a security step 107 for checking the previously valid code word and a step 108 for changing the code word accordingly, if the check has shown the correspondence or absence of errors. Otherwise, a branch is made from step 107 to step 109 in order to set a number characterizing the kill mode or at least a MAC-secured kill mode flag in the permanently installed non-volatile external security memory.

In den Fig. 8a bis c werden Zeigerstellungen nach dem erfindungsgemäßen Verfahren dargestellt. Die Fig. 8a zeigt eine Anfangszustandsvoreinstellung. Eine solche wird im Schritt 107 (Fig. 7) benötigt, um das richtige alte Codewort aus der gespeicherten Liste zu ermitteln. Der Zeiger steht beim ersten Initialisieren der Maschine im Herstellerwerk auf einer Zahl 1. Alternativ kann auch die Seriennummer der Frankier maschine eine Anfangszahl bilden. Die Zeigerstellung (Zahl 1 bzw. Anfangszahl) wird gespeichert. Dann wird ein entsprechender erster Code, der in der Liste an einer ersten Stelle steht im zu schützenden NVM 5a bzw. 5b gespeichert. Die Frankiermaschine verläßt das Herstellerwerk auf eine Zahl 1 bzw. Anfangszahl ge stellt. Beim Händler bzw. beim Kunden wird nun die Frankiermaschine eingeschaltet bzw. wiedereinge schaltet (Fig. 8b). Der erste Code wird entsprechend der Zeigerstellung aus der Liste gelesen und mit dem im zu schützenden NVM 5a bzw. 5b gespeichert vorliegenden ersten Code verglichen. Diese erste Phase entspricht dem Schritt 107 der Fig. 7, in welcher festgestellt wird ob ein Speicher zwischenzeitlich ohne abzurechnen herausgenommen und durch einen anderen ersetzt worden war und nun erneut mit alten Datenbestand eingesetzt wurde. Sind die Code gleich, wird entsprechend der Fig. 8c die Zeigerstellung auf ein zweites Codewort in der Liste weitergeschaltet, was dem Schritt 108 in der Fig. 7 entnembar ist. Die Zeigerstellung wird in vorbestimmter Weise verändert. Im einfachsten Fall wird die Zeigerstellung inkrementiert oder dekrementiert. In Figs. 8a-c pointer positions are represented by the novel process. The Fig. 8a shows an initial state preset. This is required in step 107 ( FIG. 7) in order to determine the correct old code word from the stored list. The pointer is at a number 1 when the machine is initialized in the manufacturer's factory. Alternatively, the serial number of the franking machine can also form an initial number. The pointer position (number 1 or starting number) is saved. Then a corresponding first code, which is at a first position in the list, is stored in the NVM 5 a or 5 b to be protected. The franking machine leaves the manufacturer's plant with a number 1 or initial number. At the dealer or at the customer, the franking machine is now switched on or switched on again ( FIG. 8b). The first code is read from the list according to the pointer position and compared with the first code stored in the NVM 5 a or 5 b to be protected. This first phase corresponds to step 107 of FIG. 7, in which it is determined whether a memory has been removed in the meantime without billing and has been replaced by another and has now been used again with old data. If the codes are the same, the pointer position is switched to a second code word in the list in accordance with FIG. 8c, which can be gathered from step 108 in FIG. 7. The pointer position is changed in a predetermined manner. In the simplest case, the pointer position is incremented or decremented.

Der erste Code im zu schützenden NVM 5a bzw. 5b wird nun durch den zweiten Code ausgetauscht, d. h. überschrieben. Wird nun nach dem Ausschalten die Frankiermaschine eingeschaltet bzw. wiedereingeschaltet wird eine Überprüfung auf der Basis des aktuellen Code analog zu der Fig. 8b und Fig. 7, Schritt 107 gezeigten Weise vorgenommen.The first code in the NVM 5 a or 5 b to be protected is now replaced by the second code, ie overwritten. If now after switching the franking machine is powered on or turned on again, a check on the basis of the current code analogous to the Fig. 8b 107 made manner shown and Fig. 7, step.

Im bevorzugten Ausführungsbeispiel wird für zwei nichtflüchtige Speicher NVM 6d und NVM 5a im Schritt 107 zur Überprüfung des bisher gültigen Codewortes V(-1), U(-1) ein für jeden physikalischen Speicher baustein vorgesehenes separates Codewort W(-1), T(-1) verwendet.In the preferred exemplary embodiment, a separate code word W (-1) is provided for two non-volatile memories NVM 6 d and NVM 5 a in step 107 to check the previously valid code word V (-1), U (-1), for each physical memory block. T (-1) used.

Für zwei nichtflüchtige Speicher NVM 20 und NVM 5a wird nach Überprüfung des alten Codewortes im Schritt 107 und vor der entsprechenden Veränderung von Codewörtern V und U zunächst im Schritt 108 ein neues Codewort W' und dannach ein Codewort T' gebildet, nach den Gleichungen:
For two non-volatile memories NVM 20 and NVM 5 a, after checking the old code word in step 107 and before the corresponding change of code words V and U, first a new code word W 'and then a code word T' is formed in step 108 , according to the equations:

W': = F {P1} und (1)
W ': = F {P1} and (1)

T': = F {P2}, (2)
T ': = F {P2}, (2)

wobei P1 und P2 gelistete Codewörter sind.where P1 and P2 are listed code words.

In einer Variante werden mit den gelisteten Codewörtern und mit internen Daten nach einem internen Programm ein neues Codewort mittels einer solchen mathematischen Funktion F erzeugt, welche das externe Nachbilden von Codewörtern wesentlich erschwert, so daß eine Manipulation in Fälschungsabsicht praktisch unmöglich gemacht wird.In a variant with the listed code words and with internal data according to an internal program new code word using such a mathematical Function F generates the external replication of Code words much more difficult, so that a Manipulation with the intention of forgery is practically impossible is made.

Im einfachsten Fall wird im internen NVM 20 ein Zählwert inkrementiert, bevor ein neues Codewort (W', T', U', V') gebildet wird. Als mathematische Funktion F kann beispielsweise eine kryptographische Funktion verwendet werden, welche im internen OTP-ROM als Algorithmus bzw. Programm gespeichert vorliegt. Zum Beispiel kann der DES-Algorithmus (Data-Encryption- Standard) oder eine Zufallsfunktion eingesetzt werden, beispeilsweise um den neuen Zeiger entsprechend F zu ermitteln.In the simplest case, a count value is incremented in the internal NVM 20 before a new code word (W ', T', U ', V') is formed. For example, a cryptographic function can be used as the mathematical function F, which is stored in the internal OTP-ROM as an algorithm or program. For example, the DES algorithm (Data Encryption Standard) or a random function can be used, for example to determine the new pointer in accordance with F.

Das vorgenannte Bilden von Codewörtern umfaßt das Berechnen und/oder das Auswählen aus einer Liste von Codewörtern, welche im internen OTP-ROM gespeichert vorliegt. Im Idealfall soll jedes Codewort nur ein einziges mal zur Absicherung der externen nicht flüchtigen Schreib/Lese-Speicher verwendet werden. Das erfordert aber eine Vielzahl von Codewörtern, welche im internen OTP-ROM gespeichert werden.The aforementioned formation of code words includes this Calculate and / or select from a list of Code words, which are stored in the internal OTP-ROM is present. Ideally, each code word should only contain one the only time not to secure the external volatile read / write memory can be used. The but requires a variety of code words, which in internal OTP-ROM can be saved.

Lediglich die Zeigerstellung oder Zahl die auf die Stellung des jeweiligen Codewortes in der in OTP-ROM gespeicherten Liste hinweist muß extern vom OTP- Prozessor und extern von den zu schützenden nichtflüchtigen Schreib/Lese-Speichern NVM 5a und 5b besonders gesichert gespeichert werden. Dieses Sichern des zweiten Sicherheitsmittels 20 gegen Entnahme aus dem Prozessorsystem kann durch ein Aufkleben oder ein gesichertes Kapseln des vorgenannten Sicherheits- Speichers zusammen mit dem Prozessor gewährleistet werden.Only the pointer position or number that indicates the position of the respective code word in the list stored in OTP-ROM must be stored in a particularly secure manner externally by the OTP processor and externally by the non-volatile read / write memories NVM 5 a and 5 b. This securing of the second security means 20 against removal from the processor system can be ensured by sticking or securely encapsulating the aforementioned security memory together with the processor.

Bei den erfindungsgemäßen Varianten mit Speicherung in der Datenzentrale oder Chipkarte kann auf ein Aufkleben oder ein gesichertes Kapseln mindestens eines der externen nichtflüchtigen Schreib/Lese-Speicher verzich tet werden.In the variants according to the invention with storage in the data center or chip card can be stuck on or a secured capsule of at least one of the no external non-volatile read / write memory be tested.

Diesen Varianten liegt die Voraussetzung zugrunde, daß der Speicher der Datenzentrale bzw. der Chipkarte nicht manipuliert oder geklont werden kann. Ein Manipulator darf das neu zu bildende Codewort vor dem Einschalten nicht abfragen können, um damit seine geklonten Speicher auszurüsten. Die Zeigerstellung bzw. Zahl kann mittels DES verschlüsselt werden, wenn diese zur Datenzentrale übermittelt bzw. zur Chipkarte trans feriert wird. Alternativ wird das Codewort übermittelt, oder nur die Anweisung zu seiner Wiederherstellung oder wesentliche Teile der Anweisung. Die Übermittlung erfolgt wieder verschlüsselt bzw. MAC-gesichert. Ein solches Verfahren hat den Vorteil, daß man ohne o. g. speziellen Prozessor auskommt und daß dennoch alle Postregister-NVRAMs weiterhin gesockelt und somit leicht austauschbar montiert sind.These variants are based on the premise that the memory of the data center or the chip card is not can be manipulated or cloned. A manipulator may the new code word to be formed before switching on can't query to clone his Equip memory. The pointer position or number can be encrypted using DES if they are used for Data center transmitted or trans to the chip card is celebrated. Alternatively, the code word is transmitted or just the instruction to restore it or essential parts of the instruction. The transmission again encrypted or MAC-secured. On Such a method has the advantage that without the above-mentioned. special processor and yet all Postregister NVRAMs continue to be capped and thus are easily interchangeable.

Alternativ ist es auch möglich, daß ein in der Liste gespeichertes Codewort verschlüsselt ausgelesen werden kann, wenn ein spezieller Prozessor vorliegt. Die Codewörter aus dem zu schützenden Speicher und das Codewort aus der vorgenannten Liste, auf welches der Zeiger weist, werden verschlüsselt zur Datenzentrale übermittelt bzw. zur Chipkarte übertragen, wobei letztere den Vergleich zwecks Sicherheitsüberprüfung vornehmen.Alternatively, it is also possible that one in the list stored codeword can be read out encrypted can, if there is a special processor. The Code words from the memory to be protected and that Codeword from the above list to which the Pointer points are encrypted to the data center transmitted or transferred to the chip card, where the latter the comparison for security review make.

In einer weiteren Variante wird von der Frankier maschine das Codewort zum Speicher der Datenzentrale übertragen. Bei jedem Einschalten der Frankiermaschine wird eine Verbindung zur Datenzentrale hergestellt. Die Fehlerfreiheit wird durch Vergleich des extern in der Datenzentrale gespeicherten Codewortes mit dem in den Postregister-NVRAM gespeicherten Codewort festgestellt, um dann ein neues Codewort zu bilden und im NVRAM der Datenzentrale und im Postregister-NVRAM abzuspeichern. Der Vergleich kann in der Datenzentrale oder in der FM durch geführt werden. Eine Alternative besteht im Abspeichern des Codewortes in einem speziellen Übertragungsmittel (z. B. Chipkarte). Eine Telefon verbindung zur Datenzentrale wäre dann keine Voraus setzung zur Inbetriebnahme der Frankiermaschine, wenn zu Beginn die Chipkarte gesteckt wurde. Es ist ein entsprechender Kommunikations-Modus 300 nach dem Einschalten während der Laufzeit der Frankiermaschine vorgesehen.In a further variant, the franking machine transfers the code word to the memory of the data center. Every time the franking machine is switched on, a connection to the data center is established. The absence of errors is determined by comparing the code word stored externally in the data center with the code word stored in the post register NVRAM, in order then to form a new code word and to store it in the NVRAM of the data center and in the post register NVRAM. The comparison can be carried out in the data center or in the FM. An alternative is to store the code word in a special transmission medium (e.g. chip card). A telephone connection to the data center would not be a prerequisite for commissioning the franking machine if the chip card was inserted at the beginning. A corresponding communication mode 300 is provided after switching on during the running time of the postage meter machine.

Das erfindungsgemäße Verfahren ist in einem - in der Fig. 3 dargestellten - Gesamtablaufplan der Frankiermaschine eingebunden. Nach dem Start 100 erfolgen in einem die Startroutine und Initialisierung umfassenden Schritt 101 Maßnahmen zur Sicherheitsüber prüfung und zur Wiederherstellung eines definierten Anfangszustandes.The method according to the invention is integrated in an overall flow chart of the franking machine, shown in FIG. 3. After the start 100 , measures for the security check and for restoring a defined initial state are carried out in a step 101 comprising the start routine and initialization.

Die weiteren Schritte 102 bis 105 erfolgen gegebenen falls zur Wiederherstellung der Betriebbereitschaft beispielsweise nach einer Reparatur der Frankier maschine und sind in der Fig. 7 näher dargestellt.The further steps 102 to 105 take place, if necessary, to restore operational readiness, for example after the franking machine has been repaired, and are shown in more detail in FIG. 7.

In den Schritten 106 bis 109 werden die gelesenen alten Codewörter überprüft und gegen neue Codewörter ausgetauscht. Anschließend wird das neue Codewort auch in die NV-RAMs NVM 5a und NVM 5b übertragen und bildet dort ein entsprechendes Codewort (V', U'). Der Schritt 108 beinhaltet außerdem die Überprüfung des ordnungsge mäßen Einspeicherns der Codewörter (U', V' bzw. W', T'). Wird bei der Überprüfung des bisher gültigen Codewortes eine nicht plausible Abweichung festgestellt, wird zu einem Schritt 109 verzweigt, der Maßnahmen umfaßt, die letztlich weitere Frankierungen mit der Frankier maschine verhindern. Beispielsweise kann ein drittes von einer Datenzentrale vorgegebenes Codewort Y ge löscht werden, dessen Fehlen die Manipulation belegt. Nachfolgend wird auf die Systemroutine (Punkt s) verzweigt.In steps 106 to 109 , the old code words read are checked and exchanged for new code words. The new code word is then also transferred to the NV-RAMs NVM 5 a and NVM 5 b, where it forms a corresponding code word (V ', U'). Step 108 also includes checking that the code words (U ', V' and W ', T') have been stored correctly. If a non-plausible deviation is found when checking the previously valid code word, a branch is made to step 109 , which includes measures which ultimately prevent further franking with the franking machine. For example, a third code word Y specified by a data center can be deleted, the absence of which proves the manipulation. The system routine (point s) is then followed.

Der in der Fig. 3 dargestellte Gesamtablaufplan für die Frankiermaschine weist Schritte 201 bis 206 und 207 bis 208 für eine Überwachung weiterer Kriterien auf. Bei einer Verletzung beispielsweise eines im Schritt 207 überprüften Sicherheitskriteriums tritt die Frankiermaschine in einen entsprechenden Kill-Modus ein (Schritt 208), Die Frankiermaschine tritt aufgrund eines im Schritt 202 überprüften Sicherheitskriteriums in einen Sleeping-(Warn)-Modus (203-206) ein, wenn nach Verbrauch einer vorbestimmten Stückzahl noch keine Verbindung zur Datenzentrale aufgenommen wurde.The overall flowchart for the franking machine shown in FIG. 3 has steps 201 to 206 and 207 to 208 for monitoring further criteria. If, for example, a security criterion checked in step 207 is violated, the franking machine enters a corresponding kill mode (step 208 ). The franking machine enters a sleeping (warning) mode ( 203-206 ) based on a security criterion checked in step 202 , if a connection to the data center has not yet been established after consumption of a predetermined number of pieces

Die Frankiermaschine und die Datenzentrale verabreden jeweils eine vorbestimmte Stückzahl S. d. h. die Menge, die bis zur nächsten Verbindungsaufnahme frankiert werden kann. Falls eine Kommunikation nicht zustande kommt (Stückzahlkontrolle), verlangsamt die Frankier maschine ihre Arbeitsweise (Sleeping Modus-Variante 1), damit bis zu einer nächsten Stückzahlgrenze ohne Anzeige einer Warnung weiter gearbeitet werden kann. Jedoch ist es möglich in immer kürzeren Abständen, d. h. nach einer vorbestimmten Anzahl an Frankierungen, eine erneute Warnung auszugeben, welche so immer dringlicher auf das Erfordernis einer Kommunikation mit der Datenzentrale aufmerksam macht (Sleeping Modus-Variante 2). Schließlich ist es möglich (Sleeping Modus-Variante 3), eine ständige Warnung für ein bevorstehendes Schlafenlegen der Frankierfunktion im Schritt 203 auszugeben, wenn dieser aufgrund des erfüllten Abfrage kriteriums in Schritt 202 ständig durchlaufen werden muß, bevor Schritt 205 erreicht wird. Es ist weiterhin vorgesehen, daß der Schritt 203 einen Subschritt zur Fehlerstatistik entsprechend dem Statistik- und Fehlerauswertungsmodus 213 umfaßt. Diese Variante kommt ohne den vorgenannten Schritt 204 aus. Das Frankieren wird durch den Sleeping Modus nicht beeinträchtigt. Solange die Überprüfung im Schritt 205 ergibt, daß die Stückzahl 5 noch größer Null ist, wird der Schritt 207 erreicht. Lediglich die Warnung erscheint immer öfter in der Anzeige. Anderenfalls wird auf den Schritt 206 verzweigt, wobei beispielsweise ein FLAG gesetzt wird, welches später im Schritt 301 abgefragt und als Kommunikationsersuchen gewertet wird. Im Schritt 206 kann ebenfalls eine zusätzliche Anzeige erfolgen, daß nun automatisch die Kommunikation erfolgt und solange die Frankierfunktion ruht, bis die Kommunikation erfolgreich abgeschlossen ist. Natürlich kann jederzeit der Frankiermaschinenbenutzer schon vorher den Kommu nikationsmodus 300 aufrufen. In einem dem Kommuni kationsmodus 300 vorausgehenden Schritt 207 werden weitere für die Manipulationssicherheit relevante Kriterien überprüft. Bei einer festgestellten Manipula tion der Maschine, die in Fälschungsabsicht vorgenommen wurde, wird zum Schritt 208 verzeigt, um ein Frankieren mit der manipulierten Maschine zu verhindern. Die Maschine würde in einem solchen Fall in den Kill-Mode eintreten. Befindet sich die Frankiermaschine nur im Sleeping-Mode wird ein Frankieren nicht verhindert.The franking machine and the data center each agree on a predetermined number of items S. That is, the amount that can be franked until the next connection is established. If communication fails (quantity control), the franking machine slows down its mode of operation (sleeping mode variant 1 ) so that work can continue without a warning being displayed up to the next quantity limit. However, it is possible to issue a renewed warning at ever shorter intervals, ie after a predetermined number of frankings, which thus more and more urgently draws attention to the need for communication with the data center (sleeping mode variant 2 ). Finally, it is possible (Sleeping mode variant 3 ) to issue a permanent warning that the franking function is about to go to sleep in step 203 if, due to the query criterion being met, it has to be continuously run through in step 202 before step 205 is reached. It is further provided that step 203 comprises a sub-step for error statistics in accordance with the statistics and error evaluation mode 213 . This variant does not require the aforementioned step 204 . Franking is not affected by Sleeping Mode. As long as the check in step 205 shows that the number 5 is even greater than zero, step 207 is reached. Only the warning appears more and more on the display. Otherwise, a branch is made to step 206 , for example a FLAG being set, which is queried later in step 301 and evaluated as a communication request. In step 206 , an additional indication can also be given that communication is now taking place automatically and as long as the franking function is at rest until communication is successfully completed. Of course, the franking machine user can call up the communication mode 300 at any time beforehand. In a step 207 preceding communication mode 300 , further criteria relevant to manipulation security are checked. In the event of a detected manipulation of the machine, which was carried out with the intention of forgery, step 208 is pointed to in order to prevent franking with the manipulated machine. In such a case, the machine would enter kill mode. If the franking machine is only in sleeping mode, franking is not prevented.

Nach der Überprüfung der Kriterien für den Kill-Modus (Schritte 207 bis 208) und für den Sleeping-Modus (Schritte 202 bis 206) wird ein in der Fig. 3 gezeig ter Punkt t erreicht. Im Schritt 209 können Eingaben getätigt werden, bevor der Punkt e erreicht wird.After checking the criteria for the kill mode (steps 207 to 208 ) and for the sleeping mode (steps 202 to 206 ), a point t shown in FIG. 3 is reached. In step 209 , entries can be made before point e is reached.

Mit dem Eintritt in den Kommunikationsmodus 300 besteht für den Nutzer die Möglichkeit eine Kommunikation mit der Datenzentrale herbeizuführen bzw. es wird gegebenenfalls eine Kommunikation mit der Datenzentrale automatisch - gemäß dem in der Fig. 3 gezeigten Gesamtablaufplan - herbeigeführt.Upon entering communication mode 300 , the user has the option of establishing communication with the data center, or communication with the data center is automatically established, if necessary, in accordance with the overall flowchart shown in FIG. 3.

Falls die Kommunikation erfolgreich war, wird im Schritt 211 abgefragt, ob Daten übermittelt wurden. Anschließend wird der Schritt 213 erreicht. Im Schritt 213 werden die aktuellen Daten ermittelt bzw. geladen, welche im Schritt 201 aufgerufen und anschließend wieder beim Vergleich im Schritt 202 benötigt werden. If the communication was successful, a query is made in step 211 as to whether data have been transmitted. Step 213 is then reached. In step 213 , the current data are determined or loaded, which are called in step 201 and then required again for the comparison in step 202 .

Das übermittelte Entscheidungskriterium ist vorzugs weise die neue Stückzahl S'.The transmitted decision criterion is preferred assign the new quantity S '.

Der Auswertemodus im Schritt 213 umfaßt erfindungsgemäß auch die Bildung neuer Codewörter U', V' für die zu schützenden nichtflüchtigen Speicher im Ergebnis eines Nachladevorganges, der in Kommunikationsverbindung mit einer Datenzentrale vorgenommen wurde. Hierbei laufen die in der Fig. 7 für Codewort Y beispielhaft gezeigten Schritte 106 bis 109 in analoger Weise auch für die Codewörter U', V' ab.According to the invention, the evaluation mode in step 213 also includes the formation of new code words U ', V' for the non-volatile memories to be protected as a result of a reloading process which was carried out in communication with a data center. Steps 106 to 109 shown by way of example for code word Y in FIG. 7 also run analogously for code words U ', V'.

Wurde zuvor bei der Datenzentrale eine Eingriffs befugnis für die Frankiermaschine angefordert, wird ein von der Datenzentrale vorgegebenes neues drittes Codewort Y' geladen, welches das alte dritte Codewort Y ersetzen kann. Für Reparaturzwecke ist ein Öffnen der Frankiermaschine und ein Austausch defekter Bauelemente ggf. unvermeidlich. Deshalb sind vorausgehende Maßnah men zur Erlangung einer Eingriffsbefugnis erforderlich, welche den Betrieb der Frankiermaschine nach deren Instandsetzung erlauben. Ein unbefugtes Öffnen der Frankiermaschine wird dabei ausgeschlossen. Wenn die Frankiermaschine nach dem Eingriff wieder in Betrieb genommen wird, kann aufgrund der Eingriffsbefugnis für die Frankiermaschine jenes von einer Datenzentrale vorgegebenes neues dritte Codewort Y' das alte dritte Codewort Y ersetzen, wie dies beispielsweise in der Anmeldung DE 43 44 476 A1 vorgeschlagen wurde.Has previously been an intrusion at the data center authorization for the franking machine is requested new third specified by the data center Code word Y 'loaded, which is the old third code word Y can replace. For repair purposes, opening the Franking machine and an exchange of defective components possibly inevitable. Therefore, previous measures are necessary to obtain an authorization to intervene, which the operation of the franking machine according to its Allow repairs. An unauthorized opening of the Franking machine is excluded. If the Postage meter machine in operation again after the intervention may be taken due to the interference with the franking machine that of a data center predetermined new third code word Y 'the old third Replace code word Y, for example in the Application DE 43 44 476 A1 was proposed.

Sollte also das von einer Datenzentrale vorgegebene alte dritte Codewort Y gelöscht werden, weil die Speicher vollständig ausgetauscht wurden und deren veränderbares Codewort (V, U) nicht vorhanden ist, bzw. nicht mit dem intern gespeicherten übereinstimmt, würde die Frankiermaschine weiterbetrieben werden können. Der Weiterbetrieb der Frankiermaschine ist möglich, weil ein neues drittes Codewort Y' verwendet wird, wobei - wie in der Fig. 7 dargestellt ist - auf den Schritt 108 verzweigt wird, um ein neues veränderbares Codewort (T', W') zu bilden und als Codewort (V', U') in die NV- RAMs zu laden.If the old third code word Y specified by a data center were to be deleted because the memories have been completely replaced and their changeable code word (V, U) is not present or does not match the one stored internally, the franking machine could continue to be operated. The franking machine can continue to be operated because a new third code word Y 'is used, branching to step 108 , as shown in FIG. 7, in order to form a new changeable code word (T', W ') and to be loaded as a code word (V ', U') into the NV-RAMs.

In einer - gegenüber dem in der Fig. 7 gezeigten Flußplan - modifizierten Flußplanvariante kann anstatt mit einem zu dem veränderbaren Codewort (W, T) identi schen Codewort (V, U) auch mit dem komplementären Schatten (V'', U'') in mindestens einem der Speicher bereiche bzw. NVRAM's gearbeitet werden. Entsprechend verändern sich auch die Form der Überprüfung der bisher gültigen Codewörter und deren Ersatz durch neue Code wörter in einem der Speicherbereiche des nichtflüch tigen Speichers NVM 5a, 5b gemäß der - in den Fig. 3 und 5 gezeigten - Schritte 102 bis 105. Nach einem Verifizieren der gegebenenfalls in einem Speicher bereich E des NVM 5a, 5b gespeichert vorliegenden neuen Codewörter V', U' und/oder Y' werden die alten Code wörter gelöscht und die neuen Codewörter entsprechend abrufbar adressiert. Das kann vorteilhaft analog zum Ablauf - wie er in der Fig. 7 in DE 43 44 476 A1 dargestellt ist - erfolgen, indem die neuen Codewörter V', U' und/oder Y' auf die Adresse der alten Codewörter V, U und/oder Y gesetzt werden.In a - compared to the flowchart shown in FIG. 7 - modified flowchart variant, instead of a codeword (V, U) identical to the changeable codeword (W, T), also with the complementary shadow (V '', U '') be worked in at least one of the memory areas or NVRAMs. Correspondingly, the form of checking the previously valid code words and replacing them with new code words in one of the memory areas of the non-volatile memory NVM 5 a, 5 b also change according to steps 102 to 105 shown in FIGS . 3 and 5. After verifying the new code words V ', U' and / or Y 'that may be stored in a memory area E of the NVM 5 a, 5 b, the old code words are deleted and the new code words are appropriately addressed. This can advantageously be carried out analogously to the sequence - as shown in FIG. 7 in DE 43 44 476 A1 - by the new code words V ', U' and / or Y 'pointing to the address of the old code words V, U and / or Y can be set.

Nach einem vorausgehenden Ereignis bzw. einer Programm unterbrechung (Stand by) wird ein Punkt p erreicht und gemäß den - in der Fig. 4 dargestellten - Details des Ablaufplanes wird über Schritte 102 bis 105 ein erster Sicherungsschritt 106 des in der Fig. 7 gezeigten Flußplanes des erfindungsgemäßen Verfahrens erreicht.After a preceding event or a program interruption (stand by), a point p is reached and according to the details of the flowchart shown in FIG. 4, a first saving step 106 of the flowchart shown in FIG. 7 is carried out via steps 102 to 105 reached the method of the invention.

Nur bei einer Inbetriebnahme oder nach Spannungsausfall wird nach einem Initialisieren in einem dem vorgenann ten Punkt p vorgelagerten Schritt 1050 zuerst das aktuelle Programmodul PM entsprechend der Modulkennung aufgerufen, dessen Abschnitte anschließend weiter bearbeitet werden sollen. Der in der Fig. 3 gezeigte Schritt 101 umfaßt mehrere Subschritte, welche nachfolgend anhand der Fig. 4 näher erläutert werden.Only during commissioning or after a power failure, after an initialization in a step 1050 preceding step p above, the current program module PM is first called up in accordance with the module identifier, the sections of which are then to be processed further. Step 101 shown in FIG. 3 comprises several sub-steps, which are explained in more detail below with reference to FIG. 4.

Zunächst laufen im Schritt 1010 übliche Hardware- und Anzeige-Initialisierungsroutinen ab, bevor ein Schritt 1011 zum Timer- und Interrupt-Start erreicht wird. Das interne Programm beginnt dann mit Startsicherheits überprüfungen. In vorteilhafter Weise kann hier im Schritt 1020 bereits geprüft werden, ob ein Codewort oder Speicherinhalt gültig ist. Anschließend wird bei Gültigkeit ein Schritt 1040 zur automatischen Eingabe gespeicherter Daten mit Druckdatenaufbereitung und Einbettung der Bilddaten erreicht.The usual hardware and display initialization routines first run in step 1010 before a step 1011 for timer and interrupt start is reached. The internal program then starts with start safety checks. Advantageously, it can already be checked here in step 1020 whether a code word or memory content is valid. Then, if valid, step 1040 is reached for the automatic input of stored data with print data preparation and embedding of the image data.

Nach dem Aufruf des Merkers oder Zeigers im Schritt 1051 wird in einem weiteren Schritt 1052 getestet, ob der Programmodul weiterabgearbeitet werden muß. Ist das nicht der Fall wird im Schritt 1054 der nächste Programmodul PM(+1) aufgerufen. Anderenfalls wird in einem Schritt 1053 überprüft, ob Programmabschnitte eines vorhergehenden Programmoduls PM(-1) zuende abge arbeitet werden müssen und zu einem Schritt 1056 verzweigt oder zu einem Schritt 1055 verzweigt, wenn ein Programmabschnitt des aktuellen Programmoduls PM weiter abgearbeitet werden muß. Nach Feststellung des aktuellen Programmoduls gemäß den Schritten 1054, 1055 oder 1056 wird auf den Punkt p verzweigt.After calling the flag or pointer in step 1051 , a further step 1052 tests whether the program module has to be processed further. If this is not the case, the next program module PM (+1) is called in step 1054 . Otherwise, it is checked in a step 1053 whether program sections of a previous program module PM (-1) have to be finished and branches to a step 1056 or a step 1055 if a program section of the current program module PM has to be processed further. After determining the current program module in accordance with steps 1054 , 1055 or 1056 , a branch is made to point p.

Für eine Abarbeitung kritischer und unkritischer Pro grammabschnitte innerhalb dieses Programmoduls werden Merker, beispeilsweise eine Phasenkennung gesetzt, wie das aus DE 42 17 830 A1 bekannt ist, oder Zeiger gestellt, welche nach Spannungsausfall und Wieder einschalten eine Rekonstruktion definierter Zustände für die weitere Programmabarbeitung ermöglicht.For processing critical and non-critical professionals Sections of grams within this program module Flag, for example a phase identifier set, such as that is known from DE 42 17 830 A1, or pointer which after power failure and again switch on a reconstruction of defined states enabled for further program execution.

Gemäß der Fig. 3 wird nach Ausführung der Schritte 102 bis 105 und 106 bis 109 der Punkt s und damit die Systemroutine 200 erreicht. Außerdem wird der Punkt s nach Ausführung der Schritte für einen Testmodus 216, für einen Anzeigemodus 215 und für einen Frankiermodus 400 erreicht.According to FIG. 3, after execution of steps 102 to 105 and 106 to 109, point s and thus system routine 200 are reached. In addition, the point s is reached after the steps for a test mode 216 , for a display mode 215 and for a franking mode 400 have been carried out .

Die Erläuterung der Abläufe nach dem - in der Fig. 5 gezeigten - Frankiermodus 400 erfolgt in Verbindung mit dem - in der Fig. 1 dargestellten - Blockschaltbild und in dem - in der Fig. 3 dargestellten - Gesamtab laufplan der elektronischen Frankiermaschine.The explanation of the processes according to the franking mode 400 shown in FIG. 5 takes place in connection with the block diagram shown in FIG. 1 and in the overall flowchart of the electronic franking machine shown in FIG. 3.

Die Erfindung geht davon aus, daß nach dem Einschalten automatisch der Postwert im Wertabdruck entsprechend der letzten Eingabe vor dem Ausschalten der Frankier maschine und das Datum im Tagesstempel entsprechend dem aktuellem Datum vorgegeben werden, daß für den Abdruck die variablen Daten in die festen Daten für den Rahmen und für alle unverändert bleibenden zugehörigen Daten elektronisch eingebettet werden (Fig. 4, Schritt 1040).The invention is based on the fact that, after switching on, the postage value in the imprint corresponding to the last entry before switching off the franking machine and the date in the day stamp corresponding to the current date are specified so that the variable data in the fixed data for the printing Frames and for all associated data that remain unchanged are electronically embedded ( FIG. 4, step 1040 ).

Außerdem läuft die Zeit im batteriegestützten Uhren/ Datums-Baustein 8 ständig auch bei ausgeschalteter Frankiermaschine weiter und wird ständig aktuell mindestens als Datum gespeichert und im Schritt 1040 der Fig. 4 in der Initialisierungsroutine 101 eingebettet.In addition, the time in the battery-assisted clock / date module 8 continues to run even when the franking machine is switched off and is constantly stored at least as a date and is embedded in the initialization routine 101 in step 1040 of FIG. 4.

Wird also nach dem Einschalten der Frankiermaschine, nach der durchgeführten Systemroutine 200 und während des Betriebsmodus der Schritt 401 im Frankiermodus 400 erreicht, kann auch ohne Eingabe auf bereits gespei cherte Daten zurückgegriffen werden. Diese Einstellung betrifft insbesondere die letzte Einstellung der Frankiermaschine hinsichtlich des Portowertes, welche im Schritt 209 angezeigt wird, bevor ggf. eine erneute Eingabe, Anzeige und Druckdatenaufbereitung erfolgt. Hierbei werden die aktuellen variablen Pixelbilddaten (Datum und Porto-Wert) in die festen Rahmenpixel bilddaten eingebettet. Anschließend erfolgt im Schritt 401 eine Abfrage der Eingabemittel auf eventuelle weitere Eingaben. Liegen weitere Eingaben vor wird ein Schleifenzähler im Schritt 403 zurückgesetzt und zum Punkt t (Fig. 3) zurückverzweigt.If step 401 is reached in franking mode 400 after the franking machine has been switched on, after the system routine 200 has been carried out and during the operating mode, data that has already been stored can also be accessed without input. This setting relates in particular to the last setting of the postage meter with regard to the postage value, which is displayed in step 209 , before a new entry, display and print data preparation is carried out, if necessary. The current variable pixel image data (date and postage value) are embedded in the fixed frame pixel image data. Subsequently, in step 401 the input means are queried for any further inputs. If there are further entries, a loop counter is reset in step 403 and branched back to point t ( FIG. 3).

Die Eingabedaten, die mit einer Tastatur 2 oder aber über eine an die Ein/Ausgabeeinrichtung 4 angeschlos sene, den Portowert errechnende, elektronische Waage 22 eingegeben werden, werden automatisch im Speicher bereich D des nichtflüchtigen Arbeitsspeichers NVM 5 gespeichert. Außerdem sind auch Datensätze der Sub speicherbereiche, zum Beispiel B_j, C usw., nichtflüchtig gespeichert. Damit ist gesichert, daß die letzten Eingabegrößen auch beim Ausschalten der Frankiermaschine erhalten bleiben, so daß nach dem Ein schalten automatisch der Portowert im Wertabdruck ent sprechend der letzten Eingabe vor dem Ausschalten der Frankiermaschine und das Datum im Tagesstempel entspre chend dem aktuellem Datum vorgegeben wird. Im Schritt 209 wird die eventuelle Eingabe neuer Werte abgefragt. Wenn beispielsweise kein neuer Portowert eingegeben wurde, dann wird auf den im Speicherbereich gespeichert vorliegenden bisherigen Portowert zurückgegriffen und der Punkt e (Fig. 3) erreicht, um weitere Eingaben abzufragen, bevor der Frankiermodus 400 (Fig. 5) erreicht wird.The input data, which are entered using a keyboard 2 or via an electronic balance 22 connected to the input / output device 4 and calculating the postage value, are automatically stored in the memory area D of the non-volatile working memory NVM 5 . In addition, data records of the sub memory areas, for example B _j , C etc., are also stored in a non-volatile manner. This ensures that the last input values are retained even when the franking machine is switched off, so that after switching on the postage value in the value printout is automatically specified in accordance with the last entry before the franking machine was switched off and the date in the day stamp is given in accordance with the current date. In step 209 , the possible entry of new values is queried. If, for example, no new postage value has been entered, then the previous postage value stored in the memory area is used and point e ( FIG. 3) is reached in order to query further entries before franking mode 400 ( FIG. 5) is reached.

Bei einer im Schritt 401 festgestellten erneuten Eingabeanforderung wird wieder auf den Schritt 209 zurückverzweigt. Anderenfalls wird auf den Schritt 402 verzweigt, um den Schleifenzähler zu inkrementieren. Über den Schritt 404, in welchen die durchlaufenen Schleifenanzahl überprüft wird, wird der Schritt 405 erreicht, um die Druckausgabeanforderung abzuwarten. Durch einen Briefsensor wird ein Brief detektiert, welcher frankiert werden soll. Dadurch wird ein Signal für die Druckausgabeanforderung generiert.If a new input request is found in step 401 , the process branches back to step 209 . Otherwise, branch to step 402 to increment the loop counter. Via step 404 , in which the number of loops passed through is checked, step 405 is reached in order to wait for the print output request. A letter that is to be franked is detected by a letter sensor. This generates a signal for the print output request.

Im Schritt 405 wird die Druckausgabeanforderung abgewartet, um dann über die Schritte 407, 409 und 410 zur Abrechnungs- und Druckroutine im Schritt 406 zu verzweigen. Liegt keine Druckausgabeanforderung (Schritt 405) vor, wird - nach dem in der Fig. 3 gezeigten Gesamtablaufplan - zum Schritt 209 (Punkt t) und gegebenenfalls, wenn kein Kommunikationsersuchen vorliegt über die Schritte 211, 212 und 214 zum Schritt 401 des Frankiermodus 400 zurückverzweigt.In step 405 , the print output request is awaited, in order to then branch via steps 407 , 409 and 410 to the billing and printing routine in step 406 . If there is no print output request (step 405 ), the process branches back to step 209 (point t) and, if there is no communication request, via steps 211 , 212 and 214 to step 401 of franking mode 400 , according to the overall flow chart shown in FIG. 3 .

Wenn nach der - in der Fig. 5 dargestellten - Weise nunmehr zum Punkt t zurückverzweigt und nach Schritt 209 der Schritt 301 erreicht wird, kann jederzeit durch manuelle Eingabe ein Kommunikationsersuchen gestellt oder eine andere Eingabe gemäß den Schritten Testanforderung 212 und Registercheck 214 getätigt werden. Wieder wird Schritt 401 erreicht. Wenn keine Eingabeanforderung erkannt wird, werden weitere Schritte 402 und 404 - wie in der Fig. 5 gezeigt - durchlaufen. Ein weiteres Abfragekriterium kann in einem Schritt 404 abgefragt werden, um im Schritt 408 ein Standby-Flag zu setzen, wenn nach einer durchlaufenen Schleifenanzahl weder eine Eingabe getätigt wurde, noch keine Druckausgabeanforderung vorliegt.If, in the manner shown in FIG. 5, the method now branches back to point t and step 301 is reached after step 209 , a communication request can be made at any time by manual input or another input can be made in accordance with the steps test request 212 and register check 214 . Step 401 is reached again. If no input request is recognized, further steps 402 and 404 - as shown in FIG. 5 - are carried out. A further query criterion can be queried in a step 404 in order to set a standby flag in step 408 if, after a number of loops that have been run through, no input has been made and no printout request has been made.

Der Standby-Modus wird in einer anderen Variante auch erreicht, wenn ein ansich bekannter - in der Fig. 1 dargestellter - Briefsensor 16 in vorbestimmter Zeit keinen nächsten Briefumschlag ermittelt, welcher frankiert werden soll. Der - in der Fig. 4 gezeigte - Schritt 404 im Frankiermodus 400 umfaßt entweder eine Abfrage nach einem Zeitablauf oder nach der Anzahl an Durchläufen durch die Programmschleife, welche letztendlich wieder auf die Eingaberoutine gemäß Schritt 401 führt. Wird das Abfragekriterium erfüllt, wird im Schritt 408 ein Standby-Flag gesetzt und direkt auf den Punkt p oder alternativ dazu auf den Punkt s zur Systemroutine 200 zurückverzweigt, ohne daß die Abrechnungs- und Druckroutine im Schritt 406 durchlaufen wird. Bei einer Verzweigung auf den Punkt p kann ein zusätzlicher Wechsel der Codewörter während des Standby-Modus erzielt werden. Bei einer - in der Fig. 5 nicht dargestellte - Variante mit einer Verzweigung auf den Punkt s kann dagegen nur ein Wechsel der Codewörter nur nach dem Einschalten erzielt werden.The standby mode is also achieved in another variant, if a known per se - shown in the Fig. 1 - letter sensor 16 determines in a predetermined time is no next envelope which is to be franked. Step 404 in franking mode 400, shown in FIG. 4, comprises either a query for a timeout or for the number of passes through the program loop, which ultimately leads back to the input routine in accordance with step 401 . If the query criterion is met, a standby flag is set at step 408 and p directly to the point or, alternatively, s branches back to the point 200 to the system routine, without the accounting and printing routine is run at step 406th When branching to point p, an additional change of the code words can be achieved during the standby mode. In the case of a variant (not shown in FIG. 5) with a branching to point s, however, only a change of the code words can only be achieved after switching on.

Das Standby-Flag wird während der Systemroutine 200 im Schritt 211 abgefragt und gegebenenfalls nach der Checksummenprüfung im Schritt 213 zurückgesetzt, falls kein Manipulationsversuch erkannt wird.The standby flag is queried during the system routine 200 in step 211 and, if necessary, is reset after the checksum check in step 213 if no attempted manipulation is detected.

Das Abfragekriterium im Schritt 211 wird dazu um die Frage erweitert, ob das Standby-Flag gesetzt ist, d. h. ob der Standby Modus erreicht ist. In diesem Fall wird einmal auf den Schritt 213 verzweigt. Eine bevorzugte Variante mit Manipulationsüberwachung während des Standby-Modus besteht darin, ein Codewort Y in der bereits beschriebenen Weise zu löschen, wenn ein Manipulationsversuch im Standby-Modus auf vorgenannte Weise im Schritt 213 festgestellt worden ist. Das Fehlen des Codewortes Y wird im Schritt 207 erkannt und dann auf den Schritt 208 verzweigt. Der Vorteil dieses Verfahrens in Verbindung mit dem ersten Modus besteht darin, daß der Manipulationsversuch statistisch im Schritt 213 erfaßt wird.To this end, the query criterion in step 211 is expanded to include the question of whether the standby flag is set, ie whether the standby mode has been reached. In this case, a branch is made to step 213 . A preferred variant with manipulation monitoring during the standby mode is to delete a code word Y in the manner already described if a manipulation attempt in the standby mode has been determined in step 213 in the aforementioned manner. The absence of code word Y is recognized in step 207 and then branched to step 208 . The advantage of this method in connection with the first mode is that the manipulation attempt is statistically recorded in step 213 .

Somit kann das Standby-Flag im auf den Kommunika tionsmodus 300 folgenden Schritt 211 abgefragt werden. Damit wird nicht auf den Frankiermodus 400 verzweigt, bevor nicht die Checksummenprüfung die Vollzähligkeit und Gültigkeit aller oder mindestens einiger ausgewähl ter sicherheitsrelevanter Programme ergeben hat. The standby flag can thus be queried in step 211 following communication mode 300 . This does not branch to the franking mode 400 until the checksum check has shown that all or at least some selected security-relevant programs are complete and valid.

Falls eine Druckausgabeanforderung im Schritt 405 erkannt wird, werden weitere Abfragen in den nachfol genden Schritten 409 und 410 sowie im Schritt 406 getätigt. Beispielsweise kann im Schritt eine Überprüfung der Registerwerte und zusätzlich des Codewortes Y vorgenommen werden und im Schritt 409 wird die Gültigkeit und zusätzlich das Vorhandensein eines im Schritt 208 (Fig. 3) gesetzten Kill-Mode-Flag's festgestellt, um auf den Schritt 410 zu verzweigen. Anderenfalls wird auf den Schritt 413 zur Statistik- und/oder Fehlerauswertung und Schritt 415 zur Anzeige des Fehlers verzweigt, wenn die Registerwerte nicht authentisch waren.If a print output request is recognized in step 405 , further queries are made in subsequent steps 409 and 410 and in step 406 . For example, a check of the register values and additionally of the code word Y can be carried out in step and in step 409 the validity and additionally the presence of a kill mode flag set in step 208 ( FIG. 3) is determined in order to branch to step 410 . Otherwise, a branch is made to step 413 for statistical and / or error evaluation and step 415 for displaying the error if the register values were not authentic.

Im Schritt 410 wird das Erreichen eines weiteren Stückzahlkriterium abgefragt. War die zum Frankieren vorbestimmte Stückzahl bei der vorhergehenden Frankierung verbraucht, d. h. Stückzahl gleich Null, wird automatisch zum Punkt e verzweigt, um in den Kommunikationsmodus 300 einzutreten, damit von der Datenzentrale eine neue vorbestimmte Stückzahl S wieder kreditiert wird. War jedoch die vorbestimmte Stückzahl noch nicht verbraucht, wird vom Schritt 410 auf die Abrechnungs- und Druckroutine im Schritt 406 verzweigt. Im Schritt 406 werden die in bekannter Weise zur Abrechnung eingezogenen Registerdaten ggf. inhaltlich überprüft und entsprechend geändert. Beispielsweise wird bei einem gültigen Frankieren mit einem Wert < 0 der Stückzähler R4 inkrementiert. Der Registerwert R1 wird verringert und der Registerwert R2 entsprechend erhöht, so daß der Registerwert R3 konstant bleibt. Danach wird eine Prüfsumme (beispielsweise CRC) über jeden der Registerwerte gebildet und im NVM 5a und/oder NVM 5b zusammen mit den zugehörigen Registerwerten gespeichert. Eine solche Absicherung, die über die einzelnen Registerdaten gelegt wurde, um eine Manipulation Verringern von R2 (Verbrauchssumme) und Erhöhung von R1 (Restwert) bei gleichbleibenden R3 während des laufenden Betriebes zu verhindern, wurde bereits in der Anmeldung DE 43 44 476 A1 vorgeschlagen. Der MAC (Message Authentification Code) ist eine verschlüsselte Checksumme, welche an den Registerwert bei Abrechnung im Schritt 406 (Fig. 4) angehängt wird. Geeignet ist beispielsweise eine DES-Verschlüsselung. Im Frankiermodus 400 (Fig. 4) kann bei der Abrechnung zusätzlich noch der Dateninhalt überprüft werden, ob die Registerwertsumme R3 gleich der Summe aus Ascending-Register R1 (Restwert) und Descending- Register R2 ist. Aufgrund der Absicherung mit den verschlüsselten Prüfsummen kann aber auf eine inhalt liche Überprüfung völlig verzichtet werden, zumal eine solche von der Datenzentrale bei jeder Kommunikation mit der Frankiermaschine durchgeführt wird. Sind alle Spalten eines Druckbildes gedruckt worden, wird wieder zur Systemroutine 200 zurückverzweigt.In step 410 , the achievement of a further quantity criterion is queried. If the number of items predetermined for franking was used up in the previous franking, ie number of items equal to zero, the system automatically branches to point e in order to enter communication mode 300 so that a new predetermined number of items S is again credited by the data center. However, if the predetermined number of pieces had not yet been used, the process branches from step 410 to the billing and printing routine in step 406 . In step 406 , the content of the register data which has been used for billing in a known manner is checked and changed accordingly. For example, with a valid franking with a value <0, the piece counter R4 is incremented. The register value R1 is reduced and the register value R2 is increased accordingly, so that the register value R3 remains constant. A checksum (for example CRC) is then formed over each of the register values and stored in the NVM 5 a and / or NVM 5 b together with the associated register values. Such a safeguard, which was placed over the individual register data in order to prevent manipulation of reducing R2 (total consumption) and increasing R1 (residual value) while maintaining R3 during ongoing operation, has already been proposed in application DE 43 44 476 A1. The MAC (Message Authentication Code) is an encrypted checksum which is appended to the register value when billed in step 406 ( FIG. 4). DES encryption is suitable, for example. In franking mode 400 ( FIG. 4), the data content can additionally be checked during billing whether the register value sum R3 is equal to the sum of the ascending register R1 (residual value) and the descending register R2. Due to the security with the encrypted checksums, a content-related check can be completely dispensed with, especially since the data center carries out such checks each time the franking machine communicates. If all columns of a print image have been printed, the system routine 200 branches back.

Die Anzahl von gedruckten Briefen, und die aktuellen Werte in den Postregistern werden entsprechend der eingegebenen Kostenstelle im nichtflüchtigen Speicher 5a der Frankiermaschine während der Abrechnungsroutine 406 registriert und stehen für eine spätere Auswertung zur Verfügung. Ein spezieller Sleeping-Mode-Zähler wird während der unmittelbar vor dem Druck erfolgenden Abrechnungsroutine veranlaßt, einen Zählschritt weiter zuzählen. Die Registerwerte können bei Bedarf im Anzeigemodus 215 (Fig. 3) abgefragt werden. Von diesem wird anschließend zur Systemroutine 200 zurückver zweigt.The number of printed letters, and the current values in the postal registers registered a postage meter during the accounting routine 406 according to the entered cost center in the nonvolatile memory 5 and are available for later evaluation. A special sleeping mode counter is caused to count one step further during the accounting routine which takes place immediately before printing. If necessary, the register values can be queried in display mode 215 ( FIG. 3). From this is then branched back to the system routine 200 .

Für die frankiermaschineninterne Sicherheitsschaltung eignet sich der TMS370 C010 aus der Prozessor-Familie von Texas Instrument. Dieser weist ein internes E²PROM von 256 Bytes als NVM auf.The TMS370 C010 from the Texas Instrument processor family is suitable for the postage meter internal safety circuit. This has an internal E ² PROM of 256 bytes as NVM.

In einer Variante enthalten der nichtflüchtige interne Prozessorspeicher und der zu schützende nichtflüchtige Postregisterspeicher (Bat-NV-CMOS-RAM's) nicht das identische, sondern einer von beiden das komplementäre Codewort. Das prozessorinterne Codewort ist nicht von außen abfragbar.In one variant, the non-volatile internal Processor memory and the non-volatile to be protected Postal register storage (Bat-NV-CMOS-RAM's) not that identical, but one of the two the complementary Code word. The internal processor code word is not from can be queried on the outside.

In einer anderen Variante sind verschiedene Codeworter einzelnen Speichern zugeordnet, wobei die verschiedenen Codewörter jedoch einen gemeinsamen Stamm haben, aus dem sie gebildet wurden und wobei der gemeinsame Stamm vom Prozessor rekonstruiert wird, um die Gültigkeit der einzelnen Codewörter zu überprüfen.In another variant there are different code words assigned to individual memories, the different However, codewords have a common stem to which they were formed and being the common tribe is reconstructed by the processor to determine the validity of the to check individual code words.

Die Routine zum Codewörter-Vergleich bzw. zur Gültigkeitsprüfung wird im Prozessor jeweils nach dem Einschalten bzw. bei Programmfortsetzung abgefragt. Wird beim Vergleich eine Unstimmigkeit festgestellt, wird die Frankiermaschine für den weiteren Betrieb blockiert.The routine for code word comparison or Validation is carried out in the processor after each Switch on or requested when the program is continued. If a discrepancy is found in the comparison, becomes the franking machine for further operation blocked.

Es ist weiterhin vorgesehen, daß die Anzahl der Bildung von neuen Codewörtern ab einem vorbestimmten Zeitpunkt gezählt und nichtflüchtig prozessorintern gespeichert wird. Zum Zeitpunkt einer Kommunikation mit der Datenzentrale wird die vorgenannte Anzahl an in der Vergangenheit gebildeten Codewörtern und das aktuell gültige Codewort abgefragt. Das erlaubt bei einer unabsichtlichen Blockierung der Frankiermaschine aufgrund ungültiger Codewörter dann bei Bedarf die nachträgliche Wiederherstellung des alten Zustandes durch entsprechende Datenübermittlung seitens der Datenzentrale an die Frankiermaschine.It is also envisaged that the number of education new code words from a predetermined point in time counted and stored permanently in the processor becomes. At the time of communication with the Data center will be the aforementioned number in the Past formed code words and that currently valid code word requested. That allows one unintentional blocking of the franking machine due to invalid code words then the subsequent restoration of the old condition through appropriate data transmission on the part of Data center to the franking machine.

Es ist vorgesehen, daß ein dem Codewort entsprechender letzter Betriebszustand der Frankiermaschine einen Zustand im Ergebnis der Herstellung oder einer Nachladung der Frankiermaschine oder einen Zustand vor dem Ausschalten der Frankiermaschine oder einen Zustand vor einem Spannungsausfall oder vor einer Stillstands zeit (Stand by) bzw. vor Programmunterbrechung ein schließt. Ebenfalls können bei der Überwachung weiterer Kriterien solche letzten Betriebszustände eintreten, indem die Frankiermaschine zu einem entsprechenden Modus übergeht. Solche Schritte 202 bzw. 207 für eine Überwachung weiterer Kriterien weist der in der Fig. 3 dargestellte Gesamtablaufplan für die Frankiermaschine auf. Bei einer Verletzung eines der Sicherheits kriterien tritt die Frankiermaschine in einen ent sprechenden Modus ein und führt zusätzlich in entsprechenden Subroutinen die - in der Fig. 7 dargestellten - erfindungsgemäßen Schritte 106 bis 109 aus. Tritt die Frankiermaschine beispielsweise in einen Sleeping-Modus ein, wenn nach Verbrauch einer vorbestimmten Stückzahl noch keine Verbindung zur Datenzentrale aufgenommen wurde, und wird keine manuelle Auslösung einer Kommunikation durch den Nutzer vorgenommen, erfolgt bei Erschöpfung des Stückzahl kredites eine automatische Kommunikation mit der Datenzentrale und eine Durchführung des Verfahrens zur Erhöhung der Manipulationssicherheit von kritischen Registerdaten.It is provided that a last operating state of the franking machine corresponding to the code word is a state as a result of the manufacture or a reloading of the franking machine or a state before the franking machine is switched off or a state before a power failure or before a standstill or before Program interruption includes. Such last operating states can also occur when monitoring further criteria, in that the franking machine switches to a corresponding mode. Such steps 202 and 207 for monitoring further criteria are shown in the overall flow chart for the franking machine shown in FIG. 3. If one of the security criteria is violated, the franking machine enters a corresponding mode and additionally carries out steps 106 to 109 according to the invention, shown in FIG. 7, in corresponding subroutines. If the franking machine enters a sleeping mode, for example, if a connection to the data center has not yet been established after a predetermined number of pieces has been consumed, and if communication is not triggered manually by the user, automatic communication with the data center and takes place when the number of pieces is exhausted an implementation of the method for increasing the security against manipulation of critical register data.

Die Erfindung ist nicht auf die vorliegenden Ausfüh rungsform beschränkt, da offensichtlich weitere andere Anordnungen bzw. Ausführungen des Verfahrens für andere informationsverarbeitende Einrichtungen entwickelt bzw. eingesetzt werden können, die vom gleichen Grund gedanken der Erfindung ausgehend, von den anliegenden Ansprüchen umfaßt werden.The invention is not based on the present embodiment form, since there are obviously other others Orders or executions of the method for others Information processing facilities developed or can be used for the same reason idea of the invention based on the attached Claims are included.

Claims

1. A method for increasing the security against manipulation of critical data, in particular register data, in information processing devices for franking, characterized by the steps:

1. loading a number or a pointer which is assigned to a code word into a first secured non-volatile memory unit ( 20 ) which is permanently connected to the processor module during the runtime of the information processing device,
2. Loading a code word into at least one further memory component (NVM 5 a, 5 b), from a list of code words held in the internal non-volatile memory (NVM 6 c) of the processor module, corresponding to the number loaded in the first secured non-volatile memory unit ( 20 ) or Pointer,
3. Validity check of the code word at least at the time the information processing device is switched on by comparing the reference of the code word stored in the processor module, which is selected by the number or the pointer, to the code word of the at least one further memory element (NVM 5 a, 5 b ) such as
4. Advancing the number or the pointer and replacing the old code word in the at least one further memory component (NVM 5 a, 5 b) with a predetermined new code word if the validity of the old code word is recognized or
5. Blocking of the information processing device if the validity of the old code word is recognized.

2. The method according to claim 1, characterized ge indicates that the information processing device is a franking machine.

3. The method according to claim 2, characterized ge indicates that the selection of the new Code word from the operating state of the franking machine is dependent on a predetermined time.

4. The method according to claims 1 to 3, because characterized in that the predetermined operating state a state in the result the manufacture or reloading of the franking machine or a state before the power is turned off Franking machine or a state before one Power failure or before a downtime (status by) or before the program is interrupted.

5. The method according to claims 1 to 4 characterized by that a Formation of new code words is done comprehensively Calculate and / or select from a list of code words which are stored in the processor, as well as that the number of formation of new code words counted from a predetermined point in time and not is stored temporarily in the processor and currently point of communication with the data center aforementioned number of educated in the past Queried code words and the currently valid code word becomes.

6. The method according to claims 1 to 5, because characterized by that for further separate memory components separate further Code words are used, the latter being related to one from the list of code words using a mathematical function are formed, which in the Processor block are stored internally.

7. The method according to claims 1 to 6 characterized by that new Code words as a function of the list of code words and internal data are formed.

8. The method according to claims 1 to 6 characterized by that further code word is complementary to the first code word.

9. The method according to claims 1 to 7, there characterized in that at Form a new code word a count value is incremented.

10. The method according to claims 1 to 6, because characterized in that the Formation of the new code word depends on the previous one is.

11. The method according to claims 1 to 10, characterized in that the secured non-volatile memory unit ( 20 ) which is constantly in communication with the processor module is a chip card or data center.