-
TECHNISCHES GEBIET DER
ERFINDUNG
-
Die
vorliegende Erfindung betrifft im allgemeinen ein System und ein
Verfahren für
die Überprüfung der
Echtheit von Gütern
oder der Zahlung von hiermit verknüpften Verbrauchssteuern. Insbesondere
betrifft die Erfindung ein System und ein Verfahren für das Sichern
von einem oder mehreren Produktmerkmalen für die Verwendung bei der Authentifizierung
von Produkten oder beim Erheben einer Steuer.
-
HINTERGRUND DER ERFINDUNG
-
Die
US-A-5,822,739 beschreibt ein System und ein Verfahren für das entfernte
Frankieren mit Postwertzeichen, einschließlich des Anforderns eines
gewünschten
Portowertes und das nachfolgende Aufdrucken der Postfreistemplung
auf einem Poststück.
-
Viele
Typen von Massenprodukten haben verschiedene Steuern, wie z.B. Verbrauchssteuern, die
auf das Produkt erhoben werden entweder auf Bundesebene, Staatsebene
oder beidem. Beispielsweise unterliegen Zigaretten einem unterschiedlichen
Besteuerungsgrad in unterschiedlichen Staaten der Vereinigten Staaten.
Folglich werden Steuerstempel, die an die Zigaretten angebracht
werden und anzeigen, daß die
richtige Steuer gezahlt wurde, nicht bei dem Hersteller oder dem
Produktherkunftsort angebracht. Stattdessen sendet der Hersteller
die Produkte zu den verschiedenen Großhändlern, die dann Steuerstempel
kaufen, die mit der Bundessteuer und/oder der einmaligen Staatssteuer
verknüpft sind,
und bringen die Steuerstempel an dem Produkt an. Die Kosten, die
mit der Steuer verknüpft
sind, werden dann an den Einzelhändler
und schließlich
an den Konsumenten weitergegeben.
-
Da
die Steuer, die mit einigen Produkten verknüpft ist, wie z.B. bei Zigaretten,
extrem hoch ist, ist dies ein Ansporn für betrügerische Aktivitäten, beispielsweise
kann ein Individuum eine große
Anzahl von gültigen
Steuerstempeln stehlen oder gültige Steuerstempel
duplizieren. Es ist klar, daß unter
solchen Umständen
ein unehrliches Individuum oder unehrliche Individuen gestohlene
oder duplizierte Steuerstempel an die Güter anbringen kann bzw. können, ohne
Steuern zu zahlen, und entweder den Einzelhändlern den vollen Preis berechnen,
wodurch sie den gesamten Profit, der mit der Steuer verknüpft ist,
einsacken, oder die "entgangenen
Steuer"-Profite mit
skrupellosen Einzelhändlern
teilen. Folglich wurden verschiedene Verfahren und Systeme entwickelt, um
solche illegalen Aktivitäten
zu durchkreuzen.
-
Ein
solches Verfahren, das entwickelt wurde, um die Fälschung
zu minimieren, ist die Kryptographie mit öffentlichem Schlüssel. Die
Kryptographie mit öffentlichem
Schlüssel
(Public-Key-Kryptographie)
ist ein gängiges
Protokoll, das verwendet wird, um die Echtheit einer Nachricht bereitzustellen,
und beinhaltet die Verschlüsselung
einer Nachricht oder eines Codes mit einem geheimen Schlüsselabschnitt eines öffentlichen-geheimen
Schlüsselpaars.
Der entsprechende öffentliche
Schlüsselabschnitt
wird dann der Partei bereitgestellt, die diesen im allgemeinen verwenden wird,
um die Nachricht oder den Code zurück in seine ursprüngliche
Form (typischerweise eine Klartextnachricht oder ein Klartextcode) zu
entschlüsseln.
Daher ist, solange der Absender der Nachricht oder des Codes den
privaten Schlüssel geheimhält, jedermann,
der die Nachricht oder den Code entschlüsselt, sicher, daß die Nachricht
oder der Code von dem Sender kommt, wenn der Klartext oder der Code
erfolgreich rekonstruiert wird.
-
In
dem Beispiel des Zigarettensteuerstempels wird das öffentliche
Schlüsselkryptographieprotokoll
verwendet, um den Steuerstempel auf den Zigaretten in der folgenden
Art und Weise zu authentifizieren, wie in der 1 des
Standes der Technik dargestellt ist. In einem Beispiel werden Zigaretten 10 an
einem Herstellungsort 12 hergestellt ohne die Anbringung
des Stempels, da jeder Großhändlerort unterschiedliche
Verbrauchssteueranforderungen haben kann. Die Zigaretten 10 werden
dann an den Ort eines Großhändlers 14 versendet,
wobei an diesem Punkt ein Steuerstempel 16 auf die Zigaretten 10 in
Form einer digitalen Signatur aufgebracht wird. Die digitale Signatur
ist typischerweise ein verschlüsselter
Code oder eine verschlüsselte
Nachricht und ist einmalig, d.h. jede digitale Signatur ist einzigartig und
keine Duplikate werden gemacht.
-
Die
Zigaretten 10 werden dann verkauft und zu verschiedenen
Einzelhändlern 18 verteilt
für den letzten
Verkauf an die Konsumenten. Eine Person, die den Steuerstempel auf
den Zigaretten 10 verwendet, beispielsweise ein Steuerinspektor,
reist zu verschiedenen Einzelhändlerorten 18 und
inspiziert die digitalen Signaturen 16 mit einem Lesegerät 20,
wie z.B. einem Strichcodeleser usw. Der Steuerinspektor inspiziert
den Steuerstempel 16 beispielsweise durch Entschlüsseln von
diesem unter Verwendung des verknüpften öffentlichen Schlüssels, um
seinen Ursprung zu bestimmen. Eine weitere Untersuchung von anderen ähnlich markierten
Produkten stellt eine Überprüfung der
Einmaligkeit dar. Daher überprüft der Inspektor,
um zu sehen, daß die
digitale Signatur 16 ein gültiger Code ist und daß der Code
vorher nicht verwendet wurde (d.h. keine Fälschung ist).
-
Obgleich
das oben beschriebene Public-Key-Kryptographiesystem und das Verfahren
zuverlässig
und bescheiden effektiv ist, ist es immer wünschenswert, solche Systeme
und Verfahren weiter zu verbessern.
-
ZUSAMMENFASSUNG DER ERFINDUNG
-
Die
vorliegende Erfindung betrifft ein System und ein Verfahren zum
Sichern der Echtheit oder der Steuereintreibungsmerkmale für verschiedene
Güter an
einem Merkmalsanbringungsort, wie z.B. einem Großhändlervertriebsort. Die Merkmale
bzw. "Indicia" residieren vorzugsweise
in einer Datei und werden gesichert durch Einsetzen der Verschlüsselungstechnologie
bei den Merkmalen und durch weiterhin Verschlüsseln eines privaten Verschlüsselungsschlüssels, der
verwendet wurde, um solche Merkmale an einem Merkmalsanwendungsort
zu entschlüsseln. Der
verschlüsselte
geheime Schlüssel
wird an dem Merkmalsanwendungsort mit einem codegeschützten Schlüssel, der
nicht entziffert oder auf andere Weise gelesen werden kann, entschlüsselt, und
dient somit dazu, die Merkmale gegenüber Diebstahl, Manipulation
oder Duplizierung zu schützen.
Mit der Entschlüsselung
des privaten bzw. geheimen Verschlüsselungsschlüssels mit
dem codegeschützten
Schlüs sel
wird der geheime Verschlüsselungsschlüssel verwendet,
um die verschlüsselten
Merkmale zu entschlüsseln,
die dann an den Gütern
angebracht werden.
-
Die
vorliegende Erfindung beinhaltet weiterhin das Einsetzen eines verschlüsselten
Logfiles an dem Merkmalsanbringungsort. Der Logfile bzw. die Logdatei
beinhaltet vorzugsweise Benutzungsinformation, die die Namen von
verschiedenen Merkmalsdateien anzeigt, die an dem Merkmalsanbringungsort und/oder
zu den Zeiten, zu denen eine solche Verarbeitung auftrat, verarbeitet
wurden. Die Logdatei beinhaltet ebenso vorzugsweise zumindest ein
Merkmal von jeder der vorher verarbeiteten Merkmalsdateien. Die
verschlüsselte
Logdatei wird an dem Merkmals- bzw. Freimachungsvermerkanbringungsort
mit einem geheimen Verschlüsselungsschlüssel entschlüsselt und
verwendet, um die Integrität
der Merkmalsdatei zu bewerten. Die Integrität wird beispielsweise durch
Bestimmen überprüft, ob die
Merkmalsdatei Duplikatproduktmerkmale enthält, durch Vergleichen der entschlüsselten
Produktmerkmalsdatei mit der Liste von Merkmalen von vorher verarbeiteten Dateien.
Wenn eine Übereinstimmung
gefunden wird, dann sind zumindest einige der Merkmale innerhalb
der Datei nicht einzigartig und ein Beweis des Mißbrauchs,
der Manipulation oder des Diebstahls wurde identifiziert.
-
Die
vorliegende Erfindung beinhaltet ebenso eine verbesserte Sicherheit
der Authentifizierung oder der Steuereintreibungsmerkmale in dem
Merkmalsanbringungsprozeß.
Mit der Entschlüsselung der
Merkmalsdatei werden ein oder mehrere Merkmale bzw. Freimachungsvermerke
an die verschiedenen Güter
beispielsweise über
das Drucken angebracht. Nachdem jeder Freimachungsvermerk bzw. jedes
Merkmal gedruckt ist, wird der Speicherort innerhalb der Merkmalsdatei,
an dem das gedruckte Merkmal residierte, mit anderen Daten, wie
z.B. einem Nulldatensatz, überschrieben,
um effektiv alle Merkmale, nachdem sie verwendet wurden, "zu zerstören". Zusätzlich werden
mit der Unterbrechung des Druckens, wenn die Datei nicht vollständig verwendet
wurde (die Datei enthält
immer noch nicht verwendete Merkmale), die verbleibenden Merkmale wieder
verschlüsselt
und gespeichert, um die Sicherheit von diesen beizubehalten.
-
Gemäß einem
Aspekt der vorliegenden Erfindung wird ein Verfahren nach Anspruch
1 bereitgestellt. Somit wird ein Verfahren zum Sichern von einem
oder mehreren Produktmerkmalen für
die Verwendung bei der Authentifizierung von Produkten oder der
Erhebung einer Steuer beschrieben. Das Verfahren beinhaltet das
Erzeugen von einem oder mehreren Produktmerkmalen und das Verschlüsseln des
einen oder der mehreren Produktmerkmale mit einem öffentlichen
Verschlüsselungsschlüssel, um eine
verschlüsselte
Merkmalsdatei zu bilden. Danach wird die Merkmalsdatei zu einem
Merkmalsanbringungsort übertragen
für das
Anbringen des einen oder der mehreren Produktmerkmale an das eine bzw.
die mehreren Produkte. Die Produktmerkmale werden sicher verarbeitet,
während
das eine oder die mehreren Produktmerkmale an das eine oder die mehreren
Produkte angebracht werden, wodurch eine Manipulation, ein Mißbrauch
oder ein Diebstahl von einem oder mehreren Produktmerkmalen an dem
Merkmalsanbringungsort verhindert wird. Die sichere Verarbeitung
beinhaltet die Verwendung von Informationen in einer verschlüsselten
Logdatei, die mit einer oder mehreren Gruppen von Produktmerkmalen
verknüpft
ist, um die nachfolgenden Verwendungen derselben Logdatei zu verhindern
und um die Gültigkeit
der Produktmerkmale zu bestimmen einschließlich der Entschlüsselung
der verschlüsselten Logdatei,
der Überprüfung der
Information auf Gültigkeit
und der Bestimmung, ob das eine oder die mehreren Produktmerkmale
gültig
sind unter Verwendung der Überprüfung.
-
Gemäß einer
Ausführungsform
der vorliegenden Erfindung werden die Produktmerkmale sicher verarbeitet
durch Entschlüsseln
eines verschlüsselten
privaten Schlüssels,
der mit dem verschlüsselten
Merkmal verknüpft
ist unter Verwendung eines codegeschützten Schlüssel an dem Merkmalsanbringungsort.
Die Produktmerkmale werden dann entschlüsselt unter Verwendung des
geheimen Schlüssels
und werden an das eine bzw. die mehreren Produkte angebracht.
-
Gemäß einem
anderen Aspekt der vorliegenden Erfindung werden Verfahren nach
den Ansprüchen
12, 24 und 25 bereitgestellt.
-
Entsprechend
einem anderen Aspekt der vorliegenden Erfindung wird ein System
nach Anspruch 20 bereitgestellt. Somit wird ein System für das Sichern
von einem oder mehreren Produktmerkmalen für die Verwendung bei der Authentifizierung von
Produkten oder bei der Eintreibung einer Steuer beschrieben. Das
System beinhaltet einen Prozessor und einen Lese-/Schreibspeicher,
der mit dem Prozessor verknüpft.
Der Lese-/Schreibspeicher speichert in sich eine Produktmerkmalsdatei
in einer verschlüsselten
Form, die ein oder mehrere Produktmerkmale enthält. Der Lese/Schreibspeicher
beinhaltet ebenso eine private bzw. geheime Schlüsseldatei, die einen privaten
Verschlüsselungsschlüssel in
einer verschlüsselten
Form beinhaltet. Der verschlüsselte
private Verschlüsselungsschlüssel ist
mit einem öffentlichen
Verschlüsselungsschlüssel verknüpft, der
verwendet wird, um die Produktmerkmale in der Produktmerkmalsdatei
zu verschlüsseln.
-
Das
System beinhaltet ebenso einen codegeschützten Hardwareverschlüsselungsschlüssel und
einen zweckbestimmten Prozessor, der mit dem Prozessor verknüpft ist.
Der codegeschützte
Hardwareverschlüsselungsschlüssel und
der zweckbestimmte Prozessor speichern in ihm einen codegeschützten Verschlüsselungsschlüssel, der
verwendet wird, um den privaten bzw. geheimen Verschlüsselungsschlüssel in
dem Lese-/Schreibspeicher zu verschlüsseln und zu entschlüsseln. Der
codegeschützte
Verschlüsselungsschlüssel kann
nicht entziffert, gelesen oder auf andere Weise zurück umgearbeitet werden,
ohne den codegeschützten
Speicher funktionslos zu machen.
-
Eine
Druckeinrichtung ist ebenso mit dem Prozessor verknüpft. Der
Prozessor ist derart ausgelegt, daß er den codegeschützten Verschlüsselungsschlüssel verwendet,
um den privaten Verschlüsselungsschlüssel zu
entschlüsseln
und den entschlüsselten
privaten Verschlüsselungsschlüssel zu
verwenden, um das eine oder die mehreren Produktmerkmale in der
Produktmerkmalsdatei und der Logdatei zu entschlüsseln. Der Prozessor ist weiterhin derart
ausgelegt, daß er
das eine oder die mehreren entschlüsselten Produktmerkmale zu
der Druckeinrichtung überträgt, um diese
auszudrucken. In der oben beschriebenen Art und Weise bewirkt das
System eine sichere Übertragung
der Produktmerkmale zu den Gütern
ohne die Bedrohung eines Mißbrauchs,
einer Manipulation oder eines Diebstahls.
-
Der
Lese-/Schreibspeicher speichert weiterhin in sich eine Logdatei,
die Benutzungsinformation betreffend die Entschlüsselung von einer oder mehreren
Produktmerkmalsdateien enthält
und wobei der Prozessor weiterhin ausgelegt ist, um einen Schlüssel in
der öffentlichen/privaten
Schlüs seldatei
zu verwenden, um die Logdatei zu entschlüsseln und die entschlüsselte Logdatei
zu verwenden, um die Wiederverwendung derselben Logdatei zu verhindern und
um zu bestimmen, ob die entschlüsselten
Produktmerkmale gültig
sind.
-
Für die Verwirklichung
der vorhergehenden und in Bezug stehenden Zielen weist die Erfindung die
im folgenden vollständig
beschriebenen Merkmale auf, auf die die Ansprüche besonders hinweisen. Die
folgende Beschreibung und die Figuren führen im Detail bestimmte anschauliche
Ausführungsformen der
Erfindung aus. Diese Ausführungsformen
zeigen jedoch nur wenige der verschiedenen Wege auf, in denen die
Prinzipien der Erfindung eingesetzt werden können. Andere Ziele und Vorteile
der Erfindung werden deutlich anhand der folgenden detaillierten Beschreibung
der Erfindung, wenn sie in Verbindung mit den Figuren betrachtet
wird.
-
KURZE BESCHREIBUNG DER
FIGUREN
-
1 ist
ein Blockdiagramm gemäß dem Stand
der Technik, das eine Vertriebskette für ein Produkt, wie z.B. Zigaretten,
zeigt,
-
2 ist
ein Flußdiagramm
des Standes der Technik, das ein Verfahren zum Verhindern von Diebstahl
im Zusammenhang mit den Authentifizierungs- oder Steuereintreibungsmerkmalen
betrifft,
-
3 ist
ein Flußdiagramm,
das ein Verfahren zum Sichern von Produktmerkmalen zeigt für die Verwendung
bei der Authentifizierung von Produkten oder dem Erheben einer Steuer
gemäß der vorliegenden
Erfindung,
-
4 ist
ein Blockdiagramm, das ein System darstellt für das Sichern von Produktmerkmalen
für die
Verwendung bei der Echtheitsprüfung
von Produkten oder der Erhebung einer Steuer gemäß der vorliegenden Erfindung,
-
5 ist
ein Flußdiagramm,
das die Schritte darstellt, die bei der sicheren Verarbeitung der
Produktmerkmale an dem Merkmalsanbringungsort involviert sind, gemäß der vorliegenden
Erfindung,
-
6 ist
ein Flußdiagramm,
das die Schritte darstellt, die beim sicheren Drucken der Produktmerkmale
an dem Merkmalsanbringungsort gemäß der vorliegenden Erfindung
involviert sind,
-
7A und 7B sind
Blockdiagramme, die das Lesen von Daten von einem Lese/Schreibtypspeicher
und das Schreiben von Daten in diesen gemäß der vorliegenden Erfindung
darstellen,
-
8 ist
ein Flußdiagramm,
das die Schritte darstellt, die bei der sicheren Verarbeitung der
Produktmerkmale an dem Produktanbringungsort gemäß einer anderen beispielhaften
Ausführungsform der
vorliegenden Erfindung involviert sind,
-
9 ist
ein Flußdiagramm,
das die Schritte darstellt, die bei dem sicheren Drucken der Produktmerkmale
involviert sind, gemäß einer
anderen beispielhaften Ausführungsform
der vorliegenden Erfindung und
-
10A und 10B sind
Flußdiagramme, die
Schritte darstellen, die bei dem Sichern der Produktmerkmale involviert
sind, wenn der Produktmerkmalsaufbringungsprozeß unterbrochen wird, gemäß der vorliegenden
Erfindung.
-
DETAILLIERTE BESCHREIBUNG
DER ERFINDUNG
-
Obgleich
Public-Key-Kryptographiesysteme und Verfahren bescheiden effektiv
sind bei dem Verhindern von Betrug, der mit Steuerstempeln oder ähnlichen
Produktauthentifizierungsverfahren verknüpft ist, wurde von den Erfindern
der vorliegenden Erfindung entdeckt, daß solche Systeme des Standes
der Technik von der Sicherheit des Druckprozesses an dem Ort des
Großhändlers 14 (oder
einem anderen Codeanbringungsort) abhängen, um effektiv zu sein.
Das heißt,
daß von
dem Moment, zu dem die digitalen Signaturen oder Codes erzeugt werden,
bis zu dem Moment, bei dem die digitalen Signaturen oder Codes ausgedruckt
und an dem Produkt befestigt werden, die digitalen Signaturen oder
Codes gestohlen werden können.
Es ist dieser kritische Weg, wo Betrug am effektivsten wäre, da,
sobald die Codes auf die Produkte aufgebracht sind und die Produkte
in die verschiedenen Vertriebskanäle freigegeben werden (z.B.
Fabrikeinzelhändler),
ein Fälscher eine
große
Anstrengung aufbringen muß,
um viele der gültigen
Codes zu kopieren, da viele solcher gültigen Codes notwendig sind,
um die Wahrscheinlichkeit zu verringern, daß ein Steuerinspektor oder
ein anderer Typ von Inspektor bzw. Kontrolleur die duplizierten
digitalen Signaturen oder Codes erfassen wird.
-
Im
Gegensatz dazu werden zwischen dem Zeitpunkt, zu dem die digitalen
Signaturen oder Codes kreiert werden, und dem Zeitpunkt, zu dem
sie auf die Produkte aufgebracht werden, eine große Anzahl
von gültigen
Codes in einer Computerdatei konzentriert, die als die Eingabe für den Druckprozeß verwendet
wird. Folglich ist ein Diebstahl der digitalen Signaturen oder Codes
an dieser Verbindung für den
Dieb oder Fälscher
von Vorteil. Daher wurde von dem Erfinder der vorliegenden Erfindung
erkannt, daß ein
System und ein Verfahren bereitgestellt werden muß, das es
für einen
Dieb extrem schwierig macht, die gültige digitale Signatur oder
die Codedatei zwischen dem Zeitpunkt, zu dem die Datei erzeugt wird,
und dem Zeitpunkt, zu dem die Datei verwendet wird, um die digitalen
Signaturen oder Codes auf den Produkten aufzubringen, zu erhalten.
-
Eine
Art und Weise oder ein Verfahren 22 zum Verbessern der
Sicherheit solcher digitaler Signaturen oder Codes ist in 2 dargestellt.
Ein Satz von Steuerstempeln oder digitalen Signaturen wird erzeugt 24,
beispielsweise an einem Herstellerort oder durch eine Regierungsbehörde, und
an Großhändler verkauft.
Vor der Übertragung
der Steuerstempel wird jedoch die Datei, die die Codes enthält, mit
einem öffentlichen
Verschlüsselungsschlüssel 26 verschlüsselt. Die
verschlüsselte
Datei von Steuerstempeln oder Codes wird dann zu dem Großhändler 28 übertragen,
wobei sie an diesem Punkt gespeichert werden, bis sie an die verschiedenen
Güter angebracht
werden. Die verschlüsselten
Codes werden dann entschlüsselt
an dem Ort des Großhändlers 13 unter
Verwendung eines geheimen Verschlüsselungsschlüssels, der
mit dem öffentlichen
Verschlüsselungsschlüssel verknüpft ist,
der verwendet wurde, um die Codes zu verschlüsseln. Die entschlüsselten Steuerstempel
oder Codes werden dann an die Güter an
dem Ort des Großhändlers 32,
beispielsweise durch Drucken, aufgebracht.
-
Das
obige Verfahren 22 verbessert die Sicherheit der Codes,
da der Diebstahl der Codes durch einen Dritten im allgemeinen ineffektiv
ist. Solch ein Diebstahl ist ineffektiv, da ohne den geheimen Verschlüsselungsschlüssel (den
nur der Großhändler besitzt)
die gestohlenen Codes nutzlos sind, da sie verschlüsselt sind.
Unglücklicherweise
nimmt das Verfahren 22 von 2 an, daß der Ort
des Großhändlers sicher
ist, was häufig
nicht der Fall ist. Beispielsweise sind viele Großhandelsorte
Warenhaus-Geschäftsbereiche,
die typischerweise keine sicheren Anlagen sind. Daher kann ein Dritter
in der Lage sein, den Großhändlerort
zu betreten und sowohl die Codes als auch den geeigneten geheimen Verschlüsselungsschlüssel zu
stehlen. Alternativ könnte
der Großhändler selbst
oder die Angestellten des Großhändlers skrupellos
sein und solche Codes entweder stehlen und/oder kopieren. Daher
verbessert die vorliegende Erfindung die Sicherheit von Steuerstempeln
oder anderen Authentifizierungsmerkmalen gegenüber dem Verfahren 22 von 2 dadurch
weiter, daß Diebstahl
oder Betrug am Ort des Großhändlers (oder
einem anderen Merkmalsanbringungsort) schwieriger gemacht wird.
-
Die
vorliegende Erfindung wird nun unter Bezug auf die Figuren beschrieben,
wobei gleiche Bezugszahlen verwendet werden, um durchgängig auf gleiche
Elemente Bezug zu nehmen. Die vorliegende Erfindung betrifft ein
System und ein Verfahren zum Sichern der Authentifikation oder der
Steuereintreibungsmerkmale, wie z.B. digitaler Signaturen, so daß Diebstahl
oder Betrug, der mit solchen Merkmalen verknüpft ist, eliminiert wird. Digitale
Signaturen werden innerhalb einer Datei unter Verwendung eines öffentlichen
Verschlüsselungsschlüssels verschlüsselt und
die verschlüsselte
Datei wird dann entweder physikalisch oder elektronisch zu einem Merkmalsanbringungsort,
wie z.B. einem Großhändlerort, übertragen.
-
Ein
geheimer Schlüssel,
der verwendet wird, um die digitale Signaturdatei zu entschlüsseln, ist selbst
verschlüsselt
und kann zusammen mit dem digitalen Signaturfile übertragen
werden, oder kann alternativ an dem Merkmalsanbringungsort aufbewahrt werden.
Der verschlüsselte
geheime Schlüssel
wird mit einem codegeschützten
Hardwareverschlüsselungsschlüssel in
einem speziellen Prozessor entschlüsselt, wobei der Schlüssel im
Speicher, wie z.B. einer maskenprogrammierten Nur-Lese-Speichereinrichtung
an dem Merkmalsanbringungsort, residieren kann. Der codegeschützte Schlüssel stellt
eine erhöhte
Sicherheit an dem Merkmalsanbringungsort zur Verfügung, da
Versuche, den codegeschützten Schlüssel zu
entziffern, zu lesen oder auf andere Weise rückwärts zu bearbeiten, entweder
unmöglich sind
oder den Schlüssel
funktionsunfähig
machen. Der entschlüsselte
geheime Schlüssel
wird im folgenden verwendet, um die verschlüsselte digitale Signaturdatei
zu entschlüsseln,
und die digitalen Signaturen werden dann an die verschiedenen Güter angebracht.
Die vorliegende Erfindung beinhaltet ebenso zusätzliche Sicherheitsmerkmale,
die unten detaillierter erörtert
werden.
-
Ein
Verfahren 100 für
das sichere Markieren von Gütern
für die
Zwecke der Echtheitsprüfung
oder der Steuererhebung ist in 3 dargestellt.
Ursprünglich
werden eine Mehrzahl von Produktmerkmalen, wie z.B. Strichcodes,
alphanumerischen Codes, zweidimensionalen digitalen Signaturen usw., an
einem Ort entfernt von dem Merkmalsanbringungsort erzeugt 102.
Vorzugsweise ist der Erzeugungs- oder Ursprungsort für die Authentifizierungstypmerkmale
bei dem Hersteller der Güter
oder mit diesem verknüpft,
während
die Steuereintreibungstypmerkmale bei einer Regierungsbehörde oder
-entität
erzeugt werden oder damit verknüpft sein
werden, jedoch wurden andere Orte von der vorliegenden Erfindung
in Betracht gezogen. Die Produktmerkmale werden dann verschlüsselt 104 mit
einem öffentlichen
Verschlüsselungsschlüssel. Der öffentliche
Verschlüsselungsschlüssel ist
vorzugsweise ein Teil eines öffentlichen/privaten
Verschlüsselungsschlüsselpaares,
wobei der verknüpfte
private Verschlüsselungsschlüssel zusammen
mit den Merkmalen übertragen
wird oder an dem Merkmalsanbringungsort lokalisiert sein wird.
-
Das
eine oder die mehreren Produktmerkmale sind in der Produktmerkmalsdatei
enthalten und werden zu dem Merkmalsanbringungsort, wie z.B. einem
Großhändlerort, übertragen
106. Alternativ dazu kann der Merkmalsanbringungsort irgendeinen
Ort beinhalten, an dem die Produktmerkmale an den Gütern befestigt
werden, beispielsweise am Ort des Einzelhändlers usw. Solch eine Dateiübertragung
kann entweder physikalisch oder elektronisch, wie z.B. über ein
Modem oder über
das Internet oder über
irgendeinen anderen Typ eines Datennetzwerks erfolgen. Irgendeine
Art und Weise der Übertragung
der Produktmerkmalsdatei zu dem Merkmalsanbringungsort kann benutzt
werden und wird als in den Schutzbereich der vorliegenden Erfindung
fallend in Betracht gezogen.
-
Die
Produktmerkmalsdatei wird dann an dem Merkmalsanbringungsort empfangen
108 und in einer Speichereinrichtung gespeichert. Wenn die Anbringung
der Produktmerkmale an den Gütern
eingeleitet wird, werden die Produktmerkmale sicher an dem Merkmalsanbringungsort
verarbeitet 110, so daß der
private Verschlüsselungsschlüssel, der
verwendet wird, um die Produktmerkmalsdatei zu entschlüsseln, nicht
gelesen, nicht entziffert oder auf andere Weise verwendet werden
kann, um eine nicht-autorisierte Entschlüsselung der Produktmerkmale
zu bewirken. Folglich verhindert Schritt 110 einen Diebstahl,
eine Manipulation oder einen Mißbrauch
der Produktmerkmale an dem Merkmalsanbringungsort.
-
Sobald
sie in Schritt 110 sicher verarbeitet sind, werden die
Produktmerkmale in Schritt 112 sicher gedruckt und dann
an den Gütern 114 angebracht.
Obgleich das Verfahren 100 die Druck- und Anbringungsschritte 112, 114 als
getrennte Schritte darstellt, wie z.B. das Ausdrucken eines Produktmerkmals
auf einem Anhänger
bzw. Etikett und Anbringen des Anhängers an den Gütern, können die Schritte 112, 114 alternativ
einen einzelnen Anwendungsschritt beinhalten, wobei die Produktmerkmale direkt
an den Gütern
befestigt werden.
-
Der
sichere Druckschritt 112 beinhaltet das Drucken der Produktmerkmale
und im folgenden das Zerstören
der Produktmerkmale innerhalb der Produktmerkmalsdatei nach ihrer
Verwendung. Gemäß einer
beispielhaften Ausführungsform
der vorliegenden Erfindung werden die verwendeten Produktmerkmale
zerstört
nach deren Verwendung durch Überschreiben
des Datenorts im Speicher, wo die Produktmerkmale residieren, mit
Daten, die nicht zu irgendwelchen Produktmerkmalen korrespondieren, z.B.
einem Nulldatensatz. Alternativ kann irgendein Verfahren zum Eliminieren
oder zum auf andere Weise Entfernen der Produktmerkmale von ihrem
Speicherplatz nach der Verwen dung verwendet werden und wird als
innerhalb des Schutzbereichs der vorliegenden Erfindung fallend
in Betracht gezogen.
-
Ein
System für
das Sichern von Produktmerkmalen für die Authentifizierung oder
die Zwecke der Steuererhebung ist in 4 bei der
Bezugszahl 150 dargestellt. Das System 150 beinhaltet
vorzugsweise einen Computer 152 mit einem Prozessor 154 mit
einem Lese-/Schreibspeicher 156 und einem hiermit verknüpften codegeschützten Speicher 158, wobei
die Verknüpfung
vorzugsweise über
eine direkte elektrische Verbindung besteht. Der Prozessor 154 ist
vorzugsweise ein X86-Typ-Prozessor,
wobei jedoch andere Typen von Prozessoren mit unterschiedlichen
Architekturen benutzt werden können und
als in den Schutzbereich der vorliegenden Erfindung fallend in Betracht
gezogen wurden. Der Lese-/Schreibspeicher 156 ist vorzugsweise
ein konventioneller flüchtiger
Speicher oder ein nicht-flüchtiger
Speicher, wie z.B. ein RAM oder ein Festplattenlaufwerk usw., der
es erlaubt, daß Daten
hierauf geschrieben und hiervon gelesen werden können.
-
Der
codegeschützte
Hardwareverschlüsselungsschlüssel- und
der zugehörige
Prozessor oder die Einheit 158 beinhaltet vorzugsweise
eine maskenprogrammierte Nur-Lese-Speichereinrichtung oder ist alternativ
ein eingebrannter programmierbarer ROM. Ein kommerziell erhältliches
Produkt, das verwendet werden kann, ist beispielsweise die Cylink PrivateCard,
hergestellt von Cylink, Inc., ansässig in 910 Hermosa Court,
Sunnyvale, CA 94086, obgleich andere Produkte benutzt werden können und
als in den Schutzbereich der vorliegenden Erfindung fallend in Betracht
gezogen wurden. Der codegeschützte
Hardwareverschlüsselungsschlüssel und
der spezielle Prozessor 158 ist in dem Sinne codegeschützt, daß der Befehlssatz,
der in dem Speicher enthalten ist, sobald er hierin geschrieben
ist, nicht gelesen werden kann, nicht entziffert werden kann oder
auf andere Weise zurückverfolgt
werden kann, ohne die Einrichtung außer Funktion zu bringen. Um
beispielsweise die Daten des maskenprogrammierten Nur-Lese-Speichers,
der keine äußeren Datenausgangsleitungen
besitzt, zu bestimmen, muß man
ein Reverse Engineering der Vorrichtung durchführen, d.h. die Vorrichtung
von ihrer Abdeckung befreien und die Einrichtung destruktiv analysieren
unter Verwendung von Halbleiterfehleranalysetyptechniken. Solch
eine Analyse zerstört
jedoch die Einrichtung, so daß,
obwohl die Daten identifiziert wurden, solch ein Wissen nicht von
Vorteil ist, da die Einrichtung, die mit den Daten verknüpft ist,
nun nicht funktionsfähig
ist. Obgleich eine maskenprogrammierte Nur-Lese-Speichereinrichtung
mit Daten, die in die Hardware eingebrannt sind, die bevorzugte
Einrichtung ist, kann irgendein Typ von codegeschützten Speichereinrichtungen
verwendet werden, der jemanden davon abhält, die Daten zu lesen oder
auf andere Weise zu entziffern, und wird als in den Schutzbereich
der vorliegenden Erfindung fallend in Betracht gezogen.
-
Eine
Druckeinrichtung 160, wie z.B. ein Drucker, ist ebenso
mit dem Prozessor 154, vorzugsweise über eine elektrische Verbindung,
verknüpft,
und ist betreibbar, um Produktmerkmale an den Gütern zu befestigen. Die Druckeinrichtung 160 kann
die Produktmerkmale an Anhängern
befestigen, die danach an den Gütern
befestigt werden, oder kann alternativ ein Direktaufbringungsgerät sein.
In solch einem Fall kann das Aufbringen aus einem Druckprozeß bestehen
oder kann aus einer hochentwickelteren Einrichtung bestehen, wie
z.B. einem Laser usw. Jede Form einer Produkt merkmalsaufbringungseinrichtung
kann verwendet werden und wird als in den Schutzbereich der vorliegenden
Erfindung fallend in Betracht gezogen.
-
Das
System 150 gemäß einer
bevorzugten Ausführungsform
der vorliegenden Erfindung arbeitet, um Produktmerkmale an einem
Merkmalsanbringungsort in der folgenden Art und Weise zu sichern. Der
Computer 152 ist vorzugsweise an einem Produktmerkmalsanbringungsort
lokalisiert, wie z.B. einem Großhändlervertriebsort,
und empfängt
ein oder mehrere Produktmerkmale von einem Ursprungsort (z.B. einem
Herstellerort oder einer Regierungsbehörde). Vorzugsweise empfängt der
Computer 152 solche Merkmale elektronisch über ein
Modem (nicht gezeigt) oder ein Datennetzwerk, wie z.B. das Internet.
Alternativ können
jedoch die Merkmale physikalisch empfangen werden durch Versenden
der Merkmale, die in einem traditionellen Speichermedium abgelegt
sind, wie z.B. einer Diskette oder CD, und können in den Lese-/Schreibspeicher 156 geladen
werden über
ein Diskettenlaufwerk (nicht gezeigt). In jedem Fall werden die
Produktmerkmale in dem Lese/Schreibspeicher 156 als eine
digitale Signaturdatei 162 gespeichert.
-
Wie
oben erörtert,
werden die Produktmerkmale oder digitalen Signaturen in der digitalen
Signaturdatei 162 vorzugsweise mit einem öffentlichen Verschlüsselungsschlüssel verschlüsselt. Eine
private bzw. geheime Schlüsseldatei 164 existiert
ebenso in dem Lese-/Schreibspeicher 156 und enthält den privaten
Verschlüsselungsschlüssel, der
mit dem öffentlichen
Verschlüsselungsschlüssel verknüpft ist, der
verwendet wurde, um die digitalen Signaturen in der digitalen Signaturdatei 162 zu
verschlüsseln.
Gemäß einer
beispielhaften Ausführungsform
der vorliegenden Erfindung wird der private Verschlüsselungsschlüssel zu
dem Merkmalsanbringungsort zusammen mit der digitalen Signaturdatei 162 gesendet.
-
Der
private Verschlüsselungsschlüssel ist selbst
verschlüsselt,
um eine nicht-autorisierte Verwendung oder einen Diebstahl des Schlüssels zu verhindern.
Der verschlüsselte
private Verschlüsselungsschlüssel in
der privaten Schlüsseldatei 164 wird
von dem Prozessor 154 entschlüsselt unter Verwendung eines
Verschlüsselungsschlüssels innerhalb
des codegeschützten
Speichers 158. Wenn somit ein Befehl zu dem Computer 152 gegeben
wird, das Drucken eines Produktmerkmals (über beispielsweise ein Eingabegerät (nicht
gezeigt)) zu initiieren, verwendet der Prozessor 154 einen
Verschlüsselungsschlüssel innerhalb
der privaten Schlüsseldatei 164 und
verwendet den privaten Verschlüsselungsschlüssel, um
das Produktmerkmal oder die digitalen Signaturen innerhalb der digitalen
Signaturdatei 162 zu entschlüsseln, und sendet die digitalen
Signaturen zu der Druckeinrichtung 160 für die Anbringung
an den Gütern.
-
Der
codegeschützte
Hardwareverschlüsselungsschlüssel und
der spezielle Prozessor 158 stellen eine zusätzliche
Sicherheit der Produktmerkmale über
Systeme des Standes der Technik zur Verfügung durch das Eliminieren
jedes Vorteils, der mit einem Diebstahl der digitalen Signaturdatei 162 und der
privaten Schlüsseldatei 164 verbunden
ist. Da der private Verschlüsselungsschlüssel innerhalb
der privaten Schlüsseldatei 164 verschlüsselt ist,
kann man die digitale Signaturdatei nicht entschlüsseln. Weiterhin
ist ein Versuch, den Verschlüsselungsschlüssel innerhalb
des codegeschützten
Hardwareverschlüsselungsschlüssels und
des speziellen Prozessors 158 zu stehlen, ineffektiv, da
der Befehlssatz, der den Verschlüsselungsschlüssel in
sich enthält,
nicht gelesen, entzif fert oder auf andere Weise bestimmt werden
kann, ohne die Einheit 158 unbrauchbar zu machen. Nur der
spezielle Prozessor, der mit dem codegeschützten Hardwareverschlüsselungsschlüssel verknüpft ist,
kann den privaten Verschlüsselungsschlüssel in
der privaten Schlüsseldatei 164 entschlüsseln. Folglich
kann nur der Computer 152 an dem Merkmalsanbringungsort
die Merkmale an die Güter
anbringen, da der Prozessor 154 und der codegeschützte Hardwareverschlüsselungsschlüssel und
der zugehörige
Prozessor 158 nicht trennbar sind in Bezug auf ihre Funktionalität.
-
Gemäß einer
beispielhaften Ausführungsform
der vorliegenden Erfindung kann der Prozessor 154 und der
codegeschützte
Hardwareverschlüsselungsschlüssel und
der zugehörige
Prozessor 158 als spezialisierte Zustandsmaschine aufgefaßt werden,
die in sich einen eingebetteten Verschlüsselungsschlüssel enthält, der
bestimmte Dateien in einem verschlüsselten Zustand hält, wenn
sie nicht von der Zustandsmaschine und ihren Prozessen verwendet
werden. Dieser Verschlüsselungsschlüssel kann entweder
ein symmetrischer geheimer Schlüssel sein
oder kann selbst aus einem öffentlichen/privaten Schlüsselpaar
bestehen. In jedem Fall ist der Schlüssel oder sind die Schlüssel innerhalb
des Befehlssatzes der Zustandsmaschine eingebettet, und der Befehlssatz
wird in eine beständige
Speichereinrichtung "eingebrannt", die Teil der physikalischen
Maschine ist, die die Zustandsmaschine aufweist. Da die beständige Speichereinrichtung
codegeschützt
ist, kann sie einmal beschrieben, kann im folgenden jedoch nicht
ohne destruktive Analyse ausgelesen werden, was somit den Prozessor 154 und
den codegeschützten
Hardwareverschlüsselungsschlüssel und den
zugehörigen
Prozessor 158 untrennbar macht. Der Befehlssatz kann nicht
kopiert werden und die Zustandsmaschine an dem Merkmalsanwendungsort kann
gegenüber
jedem anderen Computer einzigartig gemacht werden.
-
Gemäß einer
bevorzugten Ausführungsform der
vorliegenden Erfindung kann das System 10 die Sicherheit
von Produktmerkmalen an dem Merkmalanbringungsort bereitstellen
unter Verwendung einer Logdatei 166 innerhalb des Lese-/Schreibspeichers 156.
Die Logdatei 166 enthält
vorzugsweise einen Eintrag von Benutzerinformation, so daß man durch Untersuchen
der Logdatei 166 die Zeiten feststellen kann, zu denen
auf die digitale Signaturdatei 162 zugegriffen wurde, sowie
auch die Zeiten, zu denen auf die Logdatei 166 zugegriffen
wurde. Solch eine Information kann sich als nützlich erweisen, wenn die Manipulation
oder der Mißbrauch
der digitalen Signaturdatei 162 und/oder der Logdatei 166 vermutet
wird. Zusätzlich
enthält
die Logdatei 166 zumindest ein Produktmerkmal oder eine
digitale Signatur von jeder vorher verarbeiteten digitalen Signaturdatei.
Beispielsweise wird für
jede digitale Signaturdatei 162, die für die Verwendung zu dem Merkmalsanbringungsort
transferiert wird, zumindest eine der digitalen Signaturen in die
Logdatei 166 kopiert und gesichert. Die Liste der vorher
verarbeiteten digitalen Signaturen wird dann mit einer neuen digitalen
Signaturdatei 162 verglichen (nachdem die digitale Signaturdatei
entschlüsselt
wird). Wenn eine Übereinstimmung
während
des Vergleichs auftritt, dann verursacht der Prozessor 154 einen
Anzeiger und/oder unterbricht den Merkmalsaufbringungsprozeß, da eine Übereinstimmung
anzeigt, daß die
digitale Signaturdatei 162 eine gefälschte Datei ist, da jede der
digitalen Signaturen innerhalb jeder digitalen Signaturdatei als
einmalig angenommen wird.
-
Gemäß einer
bevorzugten Ausführungsform der
vorliegenden Erfindung wird die Logdatei 166 selbst mit
einem Verschlüsselungsschlüssel verschlüsselt, der
in der verschlüsselten öffentlichen/privaten
Schlüsseldatei 164 enthalten
ist (entweder derselbe Verschlüsselungsschlüssel, der
verwendet wird, um die Produktmerkmale zu verschlüsseln/entschlüsseln, oder
dessen eigener getrennter Schlüssel).
Folglich kann man die Logdatei 166 nicht öffnen oder
manipulieren. Stattdessen besteht der einzige Weg, die Produktmerkmale
oder digitalen Signaturen in der digitalen Signaturendatei 162 unter
Verwendung der Logdatei 166 zu verarbeiten, darin, zuerst die
Logdatei 166 über
den Prozessor 154 und einen Schlüssel innerhalb der öffentlichen/privaten
Schlüsseldatei 164 zu
entschlüsseln
(sobald die Datei 164 entschlüsselt ist). Zusätzlich stellt
gemäß einer
bevorzugten Ausführungsform
der vorliegenden Erfindung der zugehörige Prozessor innerhalb der
Einheit 158 vor der erneuten Verschlüsselung der Logdatei 166 eine
Versionsnummer zur Verfügung,
die zu der Logdatei 166 hinzugefügt wird. Zusätzlich wird
jedesmal, wenn die Logdatei 166 daraufhin verschlüsselt wird,
die Versionsnummer verändert
(beispielsweise um 1 erhöht,
mit einer Zufallszahl verändert
oder gemäß einem
vorbestimmten Algorithmus verändert) und
in dem codegeschützten
Speicher in der Einheit 158 gesichert.
-
Sobald
die Logdatei 166 entschlüsselt wird, vergleicht der
Prozessor 154 die Liste von vorher verarbeiteten digitalen
Signaturen mit der entschlüsselten
digitalen Signaturdatei 162 und, wenn keine Übereinstimmungen
gefunden werden, setzt das System 150 fort und bringt die
digitalen Signaturen über
die Druckeinrichtung 160 an den Gütern an.
-
Die
entschlüsselte
Logdatei 166 stellt die folgenden Vorteile zur Verfügung. Es
ist wünschenswert,
die Logdatei 166 von Zeit zu Zeit von der Autorität bzw. Behörde, die
die digitalen Signaturdateien ausgibt, zu überprüfen, um zu bestimmen, ob nicht genehmigte
Aktivitäten
mit dem System stattgefunden haben. Um die Logdatei 166 zu
untersuchen, behält
die die digitale Signatur ausstellende Behörde für sich selbst eine Kopie des
privaten oder geheimen Schlüssels,
der verwendet wird, um die Logdatei 166 zu verschlüsseln, so
daß eine
Untersuchung stattfinden kann. In dem unwahrscheinlichen Fall, daß der private
oder geheime Schlüssel,
der verwendet wird, um die Logdatei 166 zu entschlüsseln, gestohlen wird,
kann die Systemsicherheit relativ einfach wiederhergestellt werden
durch einfaches Ersetzen der gegenwärtigen öffentlichen/privaten Schlüsseldatei mit
einer neuen solchen Datei. Daher stellt das Verschlüsseln der
Logdatei 166 mit einem Schlüssel innerhalb der öffentlichen/privaten
Schlüsseldatei 164 die
einfache Kontrolle zur Verfügung
und erlaubt leicht eine Wiederherstellung der Systemsicherheit in dem
Fall, daß der
Schlüssel
gestohlen wird.
-
Die
verschlüsselte
Logdatei 166, die mit einem Schlüssel innerhalb der öffentlichen/privaten Schlüsseldatei 164 verschlüsselt wird
und an die eine Versionsnummer oder ein Versionssymbol angehängt wird,
stellt ebenso einen anderen Sicherheitsvorteil zur Verfügung. In
dem Fall, daß ein
skrupelloses Individuum eine Kopie der digitalen Signaturdatei 162 und
der Logdatei 166 macht, könnte der Benutzer dann versuchen,
die kopierten Dateien zurück
auf das System 150 zu bringen und die digitale Signaturdatei 162 wiederzuverwenden
und könnte
denken, daß das
System 150 die Wiederverwendung nicht erfassen würde, da
die gegenwärtige
Logdatei 166 durch die vorher gesi cherte Kopie ersetzt
wurde. Durch das Verschlüsseln
der Logdatei 166 mit einem Schlüssel innerhalb der öffentlichen/privaten
Schlüsseldatei 164 und
durch das regelmäßige Verändern der
Versionsnummer in der Logdatei 166 jedesmal, wenn sie erneut
verschlüsselt
wird, wird jede Logdatei, die mit der Entschlüsselung eine Versionsnummer
oder ein Symbol hat, die bzw. das nicht die gegenwärtig erwartete
Versionsnummer oder das erwartete Symbol ist, wie von der Einheit 158 vorgegeben
wird, eine Verweigerung der Druckdienste verursachen. Somit kann
niemand eine Kopie der digitalen Signaturdatei 162, der
verschlüsselten
Logdatei 166 und deren verknüpften öffentlichen/privaten Schlüsseldatei 164 für die Wiederverwendung
zu einem späteren
Zeitpunkt sichern.
-
Entsprechend
einer alternativen Ausführungsform
der vorliegenden Erfindung wird die Logdatei 166 verschlüsselt und
der Verschlüsselungsschlüssel, der
verwendet wird, um die Logdatei 166 zu entschlüsseln, ist
in dem codegeschützten
Hardwareverschlüsselungsschlüssel und
den zugehörigen
Prozessor 158 enthalten (entweder derselbe Speicher 158 wie
oben erörtert
oder ein Speicher eines ähnlichen
Typs). Folglich kann man die Logdatei 166 nicht öffnen oder
manipulieren. Stattdessen ist es der einzige Weg, die Produktmerkmale
oder digitalen Signaturen in der digitalen Signaturdatei 162 unter
Verwendung der Logdatei 166 zu verarbeiten, zunächst die
Logdatei 166 über
den Prozessor 154 und den codegeschützten Hardwareverschlüsselungsschlüssel und
den zugehörigen
Prozessor 158 zu entschlüsseln. Mit der Entschlüsselung
vergleicht der Prozessor 154 die Liste der vorher verarbeiteten digitalen
Signaturen mit der entschlüsselten
digitalen Signaturdatei 162 und, falls keine Übereinstimmungen
gefunden werden, setzt das System 150 fort und bringt die
digitalen Signaturen über
die Druckeinrichtung 160 an den Gütern an.
-
Unter
Rückkehr
auf das Verfahren 100 von 3 soll nun
der Schritt 110 der sicheren Verarbeitung der Produktmerkmale
an dem Merkmalsanbringungsort gemäß einer bevorzugten Ausführungsform der
vorliegenden Erfindung genauer in Verbindung mit den 4 und 5 beschrieben
werden. Der sichere Verarbeitungsschritt 110 beginnt vorzugsweise in
Schritt 180 durch das Entschlüsseln der öffentlichen/privaten Schlüsseldatei 164 an
dem Merkmalsanbringungsort unter Verwendung eines codegesicherten
Verschlüsselungsschlüssels, so
wie z.B. der hardwareeingebettete Schlüssel (z.B. eine maskenprogrammierte
Festwertspeichereinrichtung mit einem eingebrannten Befehlssatz).
Beispielsweise benutzt der Prozessor 154 den Verschlüsselungsschlüssel in
der codegesicherten Hardware und dem zugehörigen Prozessor 158,
um die öffentliche/private
Schlüsseldatei 164 in
dem Lese-/Schreibspeicher 156 zu entschlüsseln. Folglich
wird die Logdatei 166 an dem Merkmalsanbringungsort in
Schritt 182 entschlüsselt
unter Verwendung eines Schlüssels
aus der öffentlichen/privaten
Schlüsseldatei 164.
-
Die
entschlüsselte öffentliche/private
Schlüsseldatei 164 beinhaltet
das öffentliche/private
Verschlüsselungsschlüsselpaar,
das mit dem öffentlichen
Schlüssel
verknüpft
ist, der verwendet wurde, um die digitale Signaturdatei 162 zu
verschlüsseln, und
wird dann von dem Prozessor 154 verwendet, um die digitale
Signaturdatei in Schritt 184 zu entschlüsseln. Die entschlüsselte digitale
Signaturdatei 162 beinhaltet ein oder mehrere Produktmerkmale oder
digitale Signaturen für
die Verwendung bei der Anbringung an den Gütern. Nachdem die digitale
Signaturdatei 162 richtig entschlüsselt wurde, vergleicht der
Prozessor 154 die Produktmerkmale oder digitalen Signaturen
darin in Schritt 186 mit der entschlüsselten Logdatei 166,
die die Liste von vorher verarbeiteten Merkmalen oder digitalen
Signaturen enthält.
Falls der Prozessor 154 eine Übereinstimmung findet, sind
die Merkmale oder digitalen Signaturen innerhalb der digitalen Signaturdatei 162 nicht einmalig
und der Prozessor 154 stellt eine Anzeige entweder einem
Benutzer oder einem Sicherheitspersonal an dem Merkmalsanbringungsort
oder einem Sicherheitspersonal an dem Ursprungsort oder beiden,
wie es gewünscht
sein kann, zur Verfügung und
unterbricht das Verfahren 100, um Mißbrauch zu verhindern. Falls
jedoch keine Übereinstimmung
gefunden wird, bestimmt der Prozessor 154, daß die digitale
Signaturdatei 162 echt ist und das Verfahren 100 von 3 setzt
mit Schritt 112 fort, um ein sicheres Drucken der Merkmale
zu bewirken.
-
Ein
bevorzugtes Verfahren zum sicheren Drucken der Merkmale an dem Merkmalsanbringungsort
(Schritt 112) ist in 6 dargestellt
und wird im Detail in Verbindung mit 4 erörtert. Das
sichere Drucken beginnt in Schritt 200, wo der Prozessor 154 ein
Produktmerkmal oder eine digitale Signatur in der digitalen Signaturdatei 162 zu
der Druckeinrichtung 160, wie z.B. einem Laserdrucker oder
einem Tintenstrahldrucker, sendet. Nach dem Senden der Merkmale
zu der Druckeinrichtung 160 überwacht der Schritt 202 den
Druckprozeß,
um sicherzustellen, daß der
Druckprozeß richtig
fortgesetzt wird. Falls der Druckprozeß ein vorbestimmtes Zeitintervall
(nicht gezeigt) überschreitet,
folgert der Prozessor 154, daß entweder ein Hardwareproblem
existiert oder irgendjemand versucht, ein gültiges Produktmerkmal abzufangen,
zu manipulieren oder auf andere Weise zu stehlen, und der Prozessor 154 stellt eine
Anzeige eines solchen Status einem Benutzer oder einem Sicherheitspersonal
zur Verfügung,
so wie dies gewünscht
wird, und unterbricht den Druckprozeß 112.
-
Wenn
das Drucken der Merkmale innerhalb des vorbestimmten Zeitintervalls
in Schritt 202 vollständig
ist (JA), zerstört
der Prozessor 154 die verwendete Merkmale in Schritt 204.
Entsprechend einer bevorzugten Ausführungsform der vorliegenden Erfindung
bedeutet das Zerstören
des verwendeten Codes das Überschreiben
des Datenorts in der digitalen Signaturdatei 162 innerhalb
des Lese-/Schreibspeichers 156, wo die verwendeten Merkmale
residieren, so daß die
verwendeten Merkmale nicht wiederverwendet werden können. Ein
beispielhafter Weg des "Zerstörens" der verwendeten
Merkmale ist in den 7A und 7B dargestellt.
-
Die 7A und 7B sind
Blockdiagramme, die eine Mehrzahl von Speicherorten 206 in
dem Lese-/Schreibspeicher 156 darstellen, wo ein beispielhaftes
Produktmerkmal "F04AC38" in Hexadezimalform
an einem ersten Speicherort 206A lokalisiert ist. Wenn
der Prozessor 154 ein Produktmerkmal zu der Druckeinrichtung 160 sendet,
wählt der
Prozessor 154 die Merkmale am Speicherort, zu dem der Lesezeiger
(RD PTR) gegenwärtig
zeigt (Ort 206A) aus. Nach der Übertragung der Merkmale zu
der Druckeinrichtung 160 bewegt sich der Lesezeiger zu dem "nächsten" Speicherort 206B, während der Schreibzeiger
(WR PTR) immer noch auf den vorherigen Datenort 206A zeigt.
Danach zerstört
der Prozessor 154 das verwendete Produktmerkmal "F04AC38" durch Überschreiben
des Datenorts 206A, der mit dem Schreibzeiger (WR PTR)
verknüpft
ist, mit Daten, die nicht irgendeinem gültigen Produktmerkmal entsprechen.
Vorzugsweise sind solche Überschreibdaten
ein Nulldatensatz, wie in 7B gezeigt
ist, wobei jedoch die Überschreibdaten
vari ieren können,
wie dies gewünscht
ist. Nachdem das Überschreiben
vollendet ist, wird der Schreibzeiger auf den nächsten Datenort 206B erhöht. Gemäß einer
bevorzugten Ausführungsform der
vorliegenden Erfindung ist der nächste
Datenort die nächste
inkrementelle Adresse in dem Lese/Schreibspeicher 156.
Alternativ dazu könnte
der "nächste" Datenort einer anderen
Adresse entsprechen, wie von der Konfiguration des Prozessors 154 und/oder
der Konfiguration der digitalen Signaturdatei 162, so wie
dies gewünscht
wird, vorgegeben wird.
-
Zurück in 6 fragt
der Prozessor 154, nachdem die verwendeten Produktmerkmale
in Schritt 204 "zerstört" wurden, in Schritt 210 ab,
ob die digitale Signaturdatei 162 leer ist. Wenn der Prozessor 154 bestimmt,
daß alle
Merkmale gedruckt wurden (JA), unterbricht der Prozessor 154 den
Prozeß 112 in
Schritt 212 und sendet eine Nachricht zu dem Benutzer,
daß die
digitale Signaturdatei 162 erschöpft ist und eine neue digitale
Signaturdatei 162 benötigt
wird, um den Druckprozeß fortzusetzen.
Anderenfalls, wenn die digitale Signaturdatei 162 nicht leer
ist (NEIN), fragt der Prozessor 154 in Schritt 214 ab,
ob ein weiteres Produktmerkmal zu drucken ist. Typischerweise wird
der Prozessor 154 eine JA-Antwort auf die Anfrage von Schritt 214 nicht
erwarten, es sei denn, ein Benutzer zeigt über ein externes Eingabegerät (nicht
gezeigt) an, daß der
Druckprozeß enden
muß. Ohne
solch eine Anzeige setzt der Prozeß 112 zu Schritt 16 fort
durch Identifizieren des nächsten
Merkmals in der digitalen Signaturdatei 162, beispielsweise
durch Identifizieren des Orts des Lesezeigers von den 7A und 7B.
Der Prozessor 154 wiederholt dann die Schritte 200 bis 214, in
denen die Merkmale nacheinander gedruckt werden, bis eine Anzeige
bereitgestellt wird in Schritt 214, daß der Druck stoppen muß (NO).
Typischerweise tritt dies am Ende des Arbeitsdienstes auf, wenn
die digitale Signaturdatei 162 nicht leer ist, der Druckprozeß 112 jedoch
nichtsdestotrotz stoppen muß.
-
Wenn
in Schritt 214 eine Anzeige, das Drucken zu unterbrechen,
bereitgestellt wird, werden die verbleibenden Merkmale in der digitalen
Signaturdatei 162 erneut verschlüsselt durch den Prozessor 154 unter
Verwendung eines Verschlüsselungsschlüssels innerhalb
der privaten Schlüsseldatei 164 in
Schritt 218, und die verschlüsselten Merkmale werden erneut
in dem Lese/Schreibspeicher 156 in Schritt 220 gespeichert.
Folglich ist es bevorzugt, daß die
private Schlüsseldatei 164 sowohl
private als auch öffentliche
Verschlüsselungsschlüssel in
dem öffentlichen/privaten
Schlüsselpaar
enthält,
und daß der Prozessor 154 den
codegeschützten
Speicher 158 verwendet, um die private Schlüsseldatei 164 zu
entschlüsseln,
um die Verschlüsselung
der digitalen Signaturdatei 162 in Schritt 218 zu
bewirken.
-
Wie
in den 7A bis 7B gezeigt
wurde, stellt die vorliegende Erfindung ein System und ein Verfahren
zum Sichern von Produktmerkmalen an einem Merkmalsanbringungsort
zur Verfügung. Der
private Verschlüsselungsschlüssel, der
verwendet wird, um die digitale Signaturdatei zu entschlüsseln, ist
selbst verschlüsselt
und der Schlüssel,
der verwendet wurde, um den verschlüsselten privaten Schlüssel zu
entschlüsseln,
ist in die Hardware des Systems an dem Merkmalsanbringungsort eingebettet.
Der eingebettete Schlüssel
kann nicht gelesen, entziffert oder rückwärts abgeleitet werden, ohne
den Schlüssel
zu zerstören,
und dient daher dazu, eine digitale Signaturdatei einem spezifischen
Merkmalsanbringungsort eindeutig zuzuweisen. Weitere Sicherheitsmerkma le
beinhalten eine verschlüsselte Logdatei,
die verwendet wird, um doppelte Merkmale zu identifizieren, und
ein Überschreibmerkmal,
das verwendet wird während
des Merkmalsanbringungsprozesses, das benutzte Merkmale zerstört und somit
verhindert, daß Merkmale
dupliziert oder mißbraucht
werden, nachdem sie gedruckt wurden oder auf andere Weise benutzt
wurden.
-
Gemäß einer
weiteren Ausführungsform
der vorliegenden Erfindung wird ein Verfahren zum Sichern von Produktmerkmalen
an dem Merkmalsanbringungsort in Verbindung mit den 8, 9, 10A und 10B beschrieben
und wird mit der Bezugszahl 300 bezeichnet. Das Verfahren 300 beinhaltet
die detaillierten Schritte, die unternommen werden, um die Merkmale
an einem Merkmalsanbringungsort, wie z.B. einem Vertriebsort eines
Zigarettengroßhändlers,
zu sichern. Das Verfahren 300 wird beispielhaft in Verbindung
mit dem System 150 von 4 in einem
Beispiel beschrieben, wo Zigarettensteuerstempel an den Zigaretten
angebracht werden, um zu kennzeichnen, daß die geeignete Steuer, die mit
den Zigaretten verknüpft
ist, bezahlt wurde. Es sollte jedoch verstanden sein, daß die vorliegende Erfindung
bei anderen Produktmerkmalaufbringungen anwendbar ist und daß solche
Anbringungen als in den Schutzbereich der vorliegenden Erfindung
fallend in Betracht gezogen wurden.
-
Das
Verfahren 300 beginnt in Schritt 302 und setzt
mit Schritt 304 fort, wobei an diesem Punkt der Prozessor 154 abfragt,
ob die Logdatei 166 innerhalb des Lese-/Schreibspeichers 156 existiert.
Wenn der Prozessor 154 die Logdatei 166 nicht
finden kann (NEIN), unterbricht der Prozessor 154 in Schritt 306 den
Prozeß 300.
Wenn jedoch der Prozessor 154 die Logdatei 166 in
dem Lese-/Schreibspeicher 156 findet (JA), setzt der Prozessor 154 mit
Schritt 308 fort und fragt ab, ob eine pp-Schlüsseldatei
(Public/Private-Schlüsseldatei)
in dem Lese-/Schreibspeicher 156 existiert. In dieser beispielhaften
Ausführungsform der
vorliegenden Erfindung ist die pp-Schlüsseldatei die öffentliche/private
Schlüsseldatei 164 von 4. Wenn
der Prozessor 154 die pp-Schlüsseldatei 164 nicht
findet (NEIN), wird der Prozeß 300 in
Schritt 310 unterbrochen.
-
Wenn
der Prozessor 154 in Schritt 308 die pp-Schlüsseldatei 164 findet
(JA), setzt das Verfahren 300 mit Schritt 312 fort
und der Prozessor 154 entschlüsselt die pp-Schlüsseldatei 164 unter
Verwendung eines Verschlüsselungsschlüssels innerhalb
der codegeschützten
Einheit 158, vorzugsweise ein hardwareeingebetteter Schlüssel, der
innerhalb eines Befehlssatzes existiert, der in eine Nur-Lese-Speichereinrichtung
eingebrannt ist. Der Prozessor 154 analysiert dann die
entschlüsselte pp-Schlüsseldatei 164 in
Schritt 314, um zu bestimmen, ob die pp-Schlüsseldatei 164 gültig ist,
beispielsweise durch Betrachten der pp-Schlüsseldatei 164 und
Bestimmen, ob die Entschlüsselung
korrekt funktioniert. Wenn beispielsweise die Entschlüsselung
Mülldaten
in der pp-Schlüsseldatei 164 erzeugt (NEIN),
dann bestimmt der Prozessor 154, daß die pp-Schlüsseldatei 164 ungültig ist
(z.B. die falsche Datei oder die Datei wurde manipuliert), und der
Prozessor 154 unterbricht in Schritt 316 den Prozeß. Wenn
jedoch die Entschlüsselung
korrekt den Verschlüsselungsschlüssel erzeugt
(JA), dann ist die pp-Schlüsseldatei 164 gültig und
der Prozeß 300 setzt
mit Schritt 318 fort.
-
Der
Entschlüsselungsschritt 318 wird
in dem Prozessor 154 unter Verwendung eines codegeschützten Verschlüsselungsschlüssels durchgeführt, vorzugsweise
unter Verwendung eines Schlüssels, der
in die Hardware des Systems 150 eingebettet ist, wie z.B.
eine maskenprogrammierte Nur-Lese-Speichereinrichtung der Einheit 158.
Der Prozessor 154 analysiert dann die entschlüsselte Logdatei 166 in Schritt 320,
um zu bestimmen, ob die Logdatei 166 gültig ist, beispielsweise durch
Anschauen des Dateinamens, des letzten Datums in der Logdatei oder durch
Analysieren anderer Daten, die für
die Datei eindeutig sind, wie z.B. die Versionsnummer oder das Versionssymbol,
um zu bestimmen, ob an der Logdatei 166 manipuliert wurde.
Falls der Prozessor 154 bestimmt, daß die Logdatei 166 nicht
gültig
ist (NEIN), unterbricht der Prozessor 154 den Prozeß 300 in
Schritt 320, anderenfalls (JA) setzt das Verfahren 300 mit
Schritt 324 fort.
-
In
Schritt 324 bestimmt der Prozessor 154, ob eine
Initialisierungsdatei (inifile) vorhanden ist. Die inifile stellt
grundlegende Funktionen vom "Buchhaltungs"-Typ zur Verfügung, wie
z.B. das Speichern der Adressen des Lesezeigers und des Schreibzeigers usw.
Wenn die Datei, die die verschlüsselten
Produktmerkmale (die Stempeldatei) enthält, eine neue Datei ist, existiert
die inifile nicht (NEIN) und der Prozessor 154 führt einen
Benutzer durch eine Anzahl von Schritten, um die Initialisierungsdatei
einzustellen. Als erstes fragt der Prozessor 154 in Schritt 326 den
Benutzer nach der Eingabe eines neuen Stempeldateinamens und der
Prozessor entbündelt
bzw. entkomprimiert die Stempeldatei in Schritt 328 (falls die
Stempeldatei 162 und die pp-Schlüsseldatei 164, die
hiermit verknüpft
ist, zu dem Anbringungsort zusammen in der Form einer einzelnen
gebündelten Datei
gesendet wird). Der Prozessor 154 sichert dann den Stempeldateinamen
in der ini-Datei in Schritt 330. Schließlich bestätigt der Prozessor 154 den
Verschlüsselungsschlüssel, der
in der tar-Stempel-Datei
enthalten ist, in Schritt 332, um einen Beweis bereitzustellen,
daß die
tar-Stempel-Datei empfangen und entbündelt wurde, in dem Fall, daß ein skrupelloser
Großhändler danach
behauptet, daß die Datei
verloren wurde oder niemals empfangen wurde.
-
Falls
die ini-Datei bereits in Schritt 324 existiert (JA), dann
ist die Stempeldatei 12 keine neue Datei und der Prozessor 154 setzt
damit fort, die Stempeldatei 162 unter Verwendung des Verschlüsselungsschlüssels innerhalb
der pp-Schlüsseldatei 164 in
Schritt 334 zu entschlüsseln,
wobei die entschlüsselte
Stempeldatei als "clearfile" bezeichnet wird.
In ähnlicher
Weise wird, selbst wenn die Stempeldatei 162 neu ist, diese,
nachdem sie entbündelt und
der Schlüssel
bestätigt
wurde, in Schritt 334 entschlüsselt. Wenn der Prozessor 154 in
Schritt 336 feststellt, daß die Stempeldatei neu ist,
prüft der
Prozessor 154, um zu sehen, ob die Logdatei 166 gültig ist,
und falls nicht (NEIN), unterbricht er den Prozeß in Schritt 338.
Falls jedoch die Logdatei 166 gültig ist (JA), aktualisiert
der Prozessor 154 die Logdatei 166 durch Eingabe
eines Datumsstempels der Stempeldatei in Schritt 340.
-
Nachdem
die Logdatei 166 in Schritt 344 aktualisiert wurde,
verschlüsselt
der Prozessor 154 die Logdatei 166 erneut in Schritt 342 unter
Verwendung des Schlüssels
in der pp-Schlüsseldatei 164,
um einen Benutzer daran zu hindern, die Logdatei 166 zu manipulieren.
Da die pp-Schlüsseldatei 164 bereits verwendet
wurde, um die Stempeldatei 162 in die clearfile zu entschlüsseln, wird
die pp-Schlüsseldatei 164 durch
den codegeschützten
Schlüssel
in Schritt 344 erneut verschlüsselt. Der Prozessor 154 stellt dann
die Lese- und Schreib- (Lösch-)
Zeiger in Schritt 346 ein, um mit dem Drucken der entschlüsselten Steuerstempel
innerhalb des clearfile in Schritt 348 zu beginnen.
-
Wie
man in dem bevorzugten Verfahren 300 von 8 sehen
kann, verwendet der Prozessor Verschlüsselungsschlüssel in
dem codegeschützten Hardwareverschlüsselungsschlüssel und
den zugehörigen
Prozessor 158, um die pp-Schlüsseldatei 164 zu entschlüsseln, und
verwendet einen Schlüssel
in der pp-Schlüsseldatei 164,
um die Logdatei 166 zu entschlüsseln, um eine zusätzliche
Sicherheit für die
Steuerstempel an dem Vertriebsort des Großhändlers bereitzustellen. Die
vorliegende Erfindung stellt ebenso weitere Sicherheitsmerkmale
in dem Druckprozeß 348 von 9 zur
Verfügung.
Bei dem Drucken der Steuerstempel (dem Aufbringen der Stempel auf
den Gütern),
die in dem clearfile residieren, liest der Prozessor 154 den "nächsten" Steuerstempel, wie es von dem Lesezeiger
in Schritt 350 vorgegeben wird, sichert den Steuerstempel
in einem Pufferspeicher in Schritt 352 und sendet den Steuerstempel
zu der Druckeinrichtung 160 in Schritt 354.
-
Sobald
der Prozessor 154 den Steuerstempel zu der Druckeinrichtung 160 sendet,
wartet der Prozessor 154 eine vorbestimmte Zeitperiode
in Schritt 356, um zu überprüfen, ob
der Steuerstempel korrekt gedruckt wird (358). Falls der
Steuerstempel nicht in Schritt 358 gedruckt wird (NEIN),
wird dem Benutzer die Möglichkeit
bereitgestellt, dies in Schritt 360 erneut zu tun. Wenn
der Benutzer in Schritt 360 in Großbuchstaben NEIN anzeigt, initiiert
das Verfahren 300 eine Shutdown-Prozedur mitten im Drucken (shutdown
1) in Schritt 362. Wenn jedoch der Benutzer oder eine Voreinstellung
in dem Prozessor 154 anzeigt, es in Schritt 360 erneut
zu versuchen (JA), wird der Steuerstempel "zurückerstattet" in Schritt 364 durch
Wiederaufrufen des Steuerstempels von dem Pufferspeicher und erneutes
Senden dieses zu dem Drucker in Schritt 366. Der Prozessor 154 wartet erneut
eine vorbestimmte Zeit in Schritt 368 und wiederholt die
Schritte 358 bis 368, falls notwendig, anderenfalls
setzt das Verfahren 300 zu Schritt 370 fort, wo
der Lesezeiger auf die Adresse des nächsten Steuerstempels in dem
clearfile vorgerückt
wird.
-
Der
Prozessor 154 schreibt dann einen Nulldatensatz an die
Löschposition,
die die Adresse ist, die von dem Schreibzeiger in Schritt 372 vorgegeben wird.
Der Lösch-
oder Schreibzeiger wird dann in Schritt 374 auf den nächsten Steuerstempel
vorgerückt.
Die Schritte 370 bis 374 stellen ein zusätzliches
Sicherheitsmerkmal des Zerstörens
verwendeter Steuerstempel bereit durch Überschreiben des Datenorts
in dem clearfile, so daß verwendete
Codes später
nicht dupliziert werden können.
-
Das
Verfahren 300 setzt mit Schritt 376 fort, wo der
Prozessor 154 abfragt, ob sich der Lesezeiger dem Ende
des clearfiles nähert,
d.h. ob das System 150 den clearfile bald schließt, so daß alle Steuerstempel
gedruckt wurden. Falls der Lesezeiger nahe dem Ende des clearfiles
ist (JA) (wobei "nahe" von dem Benutzer
festgelegt werden kann und eine Funktion der Größe des vollen clearfiles sein
kann), wird eine Warnnachricht einem Benutzer angezeigt oder automatisch
elektronisch zu entsprechendem Personal entweder an dem Großhändlerort
oder sonstwo in Schritt 378 übertragen, so daß zusätzliche Steuerstempel
bestellt oder heruntergeladen werden können, falls sie notwendig sind.
Falls die Antwort auf die Anfrage in Schritt 376 NEIN ist,
kehrt das Verfahren 300 zu Schritt 350 zurück und der
Prozeß des Druckens
des nächsten
Steuerstempels wird fortge setzt. In gleicher Weise setzt der Prozeß 300,
nach dem Anzeigen der Warnnachricht, wenn der clearfile nicht leer
ist in Schritt 380 (NEIN), mit Schritt 350 fort. Wenn
jedoch das clearfile 380 leer ist (JA), wurden alle Steuerstempel
in dem clearfile gedruckt und Dateiende-Shutdown-Prozedur (shutdown
2) setzt in Schritt 382 fort.
-
Die
Herunterfahr- bzw. Shutdown-Prozeduren 362 und 382 der 10A bzw. 10B stellen eine
sichere Prozedur für
das Unterbrechen des Druckprozesses zur Verfügung, wenn der clearfile entweder
immer noch gültige
Steuerstempel enthält oder
leer ist. Die Shutdown-Prozedur 362 von 10A ist auf ein Verfahren zum Unterbrechen des Druckprozesses
gerichtet, wenn der clearfile immer noch einen oder mehrere gültige Steuerstempel
enthält.
Die Prozedur 362 beginnt durch Senden eines leeren Stempels
zu der Druckeinrichtung 160, um sicherzustellen, daß keine
gültigen
Steuerstempel in der Druckerwarteschlange in Schritt 392 sind.
Der Prozessor 154 entschlüsselt dann die pp-Schlüsseldatei 164 in
Schritt 394 und die Logdatei 166 in Schritt 396 mit
den Verschlüsselungsschlüsseln in der
codegeschützten
Einheit 158 bzw. der pp-Schlüsseldatei 164. Der
Prozessor 154 aktualisiert dann in Schritt 358 die
Logdatei 166 durch Einfügen
eines Datumsstempels, der anzeigt, wann das Drucken unterbrochen
wurde. Danach verändert
der Prozessor 154 die Versionsnummer oder das Symbol der
Logdatei über
die codegeschützte
Hardwareeinheit 158 und verschlüsselt die Logdatei 166 erneut über einen Schlüssel in
der pp-Schlüsseldatei 164 in
Schritt 400.
-
Der
Prozessor 154 setzt die Shutdown- bzw. Abschalt-Prozedur 362 in
Schritt 406 fort durch Öffnen
der ini-Datei und durch Aktualisieren dieser, um zumindest die Adressen
der Lese- und Schreibzeiger zu reflektieren. Der Prozessor 154 verschlüsselt dann
in Schritt 408 den clearfile zurück in die Stempeldatei unter
Verwendung des entschlüsselten Schlüssels innerhalb
der pp-Schlüsseldatei 164.
Der Prozessor 154 überschreibt
dann den clearfile-Speicher, wodurch somit die Speicherorte zerstört werden,
an denen vorherige Steuerstempel in den Schritten 410 und 412 residierten,
wodurch verhindert wird, daß gültige Steuerstempel
dupliziert werden. Der Prozessor 154 verschlüsselt dann
die pp-Schlüsseldatei 164 in
Schritt 414 erneut unter Verwendung des Schlüssels innerhalb
der codegeschützten
Einheit 158, um die Shutdown-Prozedur 362 in Schritt 416 zu beenden.
-
Die
Shutdown-Prozedur 382 von 10B betrifft
das sichere Herunterfahren oder Abbrechen des Druckprozesses, nachdem
alle Steuerstempel in dem clearfile verwendet wurden. Die Prozedur 382 startet
in Schritt 392 und setzt mit Schritt 400 in einer Art
und Weise ähnlich
zu der Prozedur 362 von 10A fort.
Das heißt,
der Prozessor 154 sendet einen leeren Stempel zu der Druckeinrichtung 160, um
sicherzustellen, daß die
Druckerwarteschlange leer ist, entschlüsselt die pp-Schlüsseldatei 164 und die
Logdatei 166 unter Verwendung der geeigneten Verschlüsselungsschlüssel und
aktualisiert die Logdatei 166 (einschließlich der
Versionsnummer oder des Symbols der Logdatei).
-
Alles,
was in dem clearfile verbleibt (nicht die Steuerstempel), wird in
Schritt 408 erneut verschlüsselt und der clearfile-Speicher
wird überschrieben, um
den clearfile in den Schritten 410 und 412 zu
löschen.
Der Prozessor 154 löscht
dann alle Files in dem Lese-/Schreibspeicher 156 mit dem
Stempeldateinamen in Schritt 420 und löscht die ini-Datei in Schritt 422.
Schließlich
verschlüsselt der
Prozessor 154 die pp-Schlüsseldatei 164 in Schritt 414 erneut und
beendet die Prozedur 382 bei Schritt 424.
-
In
der obigen Beschreibung wird die gesamte Stempeldatei verschlüsselt und
mit der Entschlüsselung
wird ein clearfile erzeugt, der Merkmale in einer "bereit zu drucken"-Form enthält. In einer
anderen alternativen Ausführungsform
der vorliegenden Erfindung enthält
das clearfile eine Liste von Merkmalen, die weiter verschlüsselt werden
durch beispielsweise den Abschnitt des öffentlichen Schlüssels aus
der pp-Schlüsseldatei.
In solch einer Ausführungsform muß vor dem
Schritt 350 von 9 eine Entschlüsselung
des nächsten
Merkmals vor dem "Lesen" des Merkmals stattfinden.
In noch einer anderen alternativen Ausführungsform der vorliegenden
Erfindung werden alle Merkmale einzeln entschlüsselt in ihre "bereit zum Druck"-Form, um hierdurch
die Anzahl von lesbaren Merkmalen zu jedem Zeitpunkt auf eins (1)
zu begrenzen. Andere Ausführungsformen
im Geiste der obigen alternativen Ausführungsformen wurden ebenso
als in den Schutzbereich der vorliegenden Erfindung fallend in Betracht
gezogen.
-
Obgleich
die Erfindung in Bezug auf eine bestimmte, bevorzugte Ausführungsform
oder Ausführungsformen
gezeigt und beschrieben wurde, ist es offensichtlich, daß äquivalente
Veränderungen
und Modifikationen sich dem Fachmann aufdrängen mit Lesen und Verstehen
dieser Spezifizierung und den angefügten Zeichnungen. Insbesondere
hinsichtlich der verschiedenen Funktionen, die von den oben beschriebenen
Komponenten (Baugruppen, Vorrichtungen, Schaltkreise usw. sind die
Begriffe einschließlich eines
Bezugs auf "Mittel" bzw. "Einrichtungen") verwendet wurden,
um solche Komponenten zu beschreiben, dafür vorgesehen, irgendeiner Komponente
zu entsprechen, solange nichts anderes ausgedrückt wird, die die spezifizierte
Funktion der beschriebenen Komponente durchführt (d.h. die funktional äquivalent
ist), selbst wenn sie strukturell nicht äquivalent zu der beschriebenen
Struktur ist, die die Funktion in den hier beschriebenen, beispielhaften Ausführungsformen
der Erfindung durchführt.
Zusätzlich,
während
ein bestimmtes Merkmal der Erfindung in Bezug auf nur eine von verschiedenen
Ausführungsformen
beschrieben sein kann, kann solch ein Merkmal mit einem oder mehreren
anderen Merkmalen der anderen Ausführungsformen kombiniert werden,
wie es gewünscht
sein kann und für
irgendeine gegebene oder bestimmte Anwendung vorteilhaft sein kann.