-
Die
Erfindung betrifft Systeme zum Steuern (Kontrollieren) der Gültigkeit
von Druckanzeigen auf Poststücken,
und ist auf Postverarbeitungssysteme anwendbar, und insbesondere
die Sicherheit von Portomesssystemen.
-
Die
digitale Drucktechnologie hat es Versendern ermöglicht, ein digitales, z. B.
Bitmap-adressierbares Drucken auf eine bequeme Weise zu implementieren.
Es ist als wünschenswert
herausgefunden worden, derartige Techniken zum Zweck eines Belegs
einer Zahlung von Porto zu verwenden. Der computergesteuerte Drucker
kann beispielsweise eine Postanzeige an eine gewünschte Stelle auf die Fläche eines
Poststücks
drucken.
-
Wo
es hierin notwendig ist, derartige Portomessgerät-ähnliche Vorrichtungen von einem
typischen Portomessgerät
zu unterscheiden, werden derartige Vorrichtungen hierin als Portobelegvorrichtungen
oder PED's bezeichnet
werden. Es ist jedoch zu verstehen, dass der Ausdruck "Portomessgerät", wie er hierin verwendet
wird, sich auf beide Typen beziehen wird.
-
Wie
auch hierin verwendet, werden Postwert-tragende Anzeigen manchmal
als ein Post-Erlösblock
oder PRB bezeichnet werden. Der PRB enthält typischer Weise Daten wie
etwa den Portobetrag, eine eindeutige Messgerät- oder PED-Identifikationsnummer, das Datum und
in manchen Anwendungen den Namen des Orts, wo die Post herkommt.
-
Aus
der Sicht des Postamts wird erkannt, dass es das digitale Drucken
für jemanden
ziemlich erleichtert, einen PRB zu fälschen, da jedwede geeignete
Computer und Drucker verwendet werden können, um mehrfache Kopien des
Bilds zu erzeugen.
-
Um
ein Poststück
zu validieren, das heißt, um
sicherzustellen, dass eine Abrechnung für den Portobetrag, der auf
das Poststück
gedruckt ist, richtig ausgeführt
worden ist, ist es bekannt, eine verschlüsselte Nummer als ein Teil
der Frankierung einzuschließen
derart, dass beispielsweise der Wert der Frankierung aus der Verschlüsselung
bestimmt werden kann, um zu erfahren, ob der Wert, wie er auf das Poststück gedruckt
ist, korrekt ist. Siehe beispielsweise das U.S.-Patent 4,757,537
und 4,775,246 an Edelmann et al., wie auch das U.S.-Patent 4,649,266 an
Eckert. Es ist auch bekannt, ein Poststück zu authentifizieren, indem
die Adresse als ein weiterer Teil der Verschlüsselung eingeschlossen wird,
wie in dem U.S.-Patent 4,725,718 an Sansone et al. und dem U.S.-Patent
4,743,747 an Fougere et al. beschrieben.
-
Das
U.S.-Patent 5,170.044 an Pastor beschreibt ein System, das binäre Felder
einschließt, und
die tatsächlichen
Felder der Pixel werden abgetastet, um den Lieferant des Poststücks zu identifizieren
und weitere verschlüsselte
Volltextinformation wiederzugewinnen. Das U.S.-Patent 5,142,577
an Pastor beschreibt verschiedene Alternativen zu einem DES-Codieren
zum Verschlüsseln
einer Nachricht und zum Vergleichen der entschlüsselten Postinformation mit
der Volltextinformation auf dem Poststück.
-
Die
US-A-4,934,847 beschreibt ein System, das eine Mehrzahl von Frankiermaschinen
des Typs einsetzt, der eine Computereinrichtung und einen Drucker
zum Drucken einer Anzeige auf dem Poststück zum Anzeigen eines Betrags
eines ausgegebenen Portos auf dem Poststück aufweist. Jede Frankiermaschine
weist eine Vorrichtung zum Erzeugen eines verschlüsselten
Datenblocks und zum Drucken des Datenblocks auf jedes Poststück unter
Verwendung ihres Druckers auf. Der verschlüsselte Datenblock stellt den
Portobetrag und eine Pseudozufallszahl dar. Nach einer Verschlüsselung
wird der Datenblock mit Versand- und Zielgebietscodes kombiniert, wie
auch der Lizenznummer der Frankiermaschine. Die Code-Erzeugungsvorrichtung ändert die
Pseudozufallszahl in vorbestimmten Intervallen, z. B. jeden Tag.
Ein Sicherheitszentrum schließt
eine Vorrichtung zum Erzeugen von Pseudozufallszahlen in Übereinstimmung
mit den Änderungen
in jeder Frankiermaschine ein. Durch ein Lesen der Lizenznummer-Information, die
auf das Poststück
gedruckt ist, ist das Sicherheitszentrum in der Lage, den Datenblock
zu entschlüsseln
und einen Vergleich mit dem Code durchzuführen, der auf das Poststück gedruckt ist.
-
Die
GB-A-2,251,210 an Gilham beschreibt ein Messgerät, das einen elektronischen
Kalender enthält,
um einen Betrieb der Frankiermaschine auf einer periodischen Basis
zu verhindern, um sicherzustellen, dass der Benutzer eine Abrechnungsinformation
zu den Postbehörden
schickt. Das U.S.-Patent 5,008,827
an Sansone et al. beschreibt ein System zum Aktualisieren von Raten-
und Regel-Parametern in jedem Messgerät über ein Kommunikationsnetz zwischen
dem Messgerät
und einem Datenzentrum. Während
das Messgerät
Online ist, werden Statusregister in dem Messgerät überprüft und ein Alarmzustand wird
hochgefahren, wenn eine Anormalität erfasst wird.
-
Obwohl
diese Implementierungen gut arbeiten können, ist kein Vorschlag vorhanden,
wie irgendwelche derartige Konzepte auf einer Gesamtsystemgrundlage
zu implementieren sind, um sie für
große Aufkommen
an Post und große
variable Anzahlen von Versendern, die von dem Postdienst versorgt werden
müssen,
praktisch auszuführen.
-
Es
ist eine Aufgabe der Erfindung, Postbehörden in die Lage zu versetzen,
zu bestimmen, dass ein Poststück,
das aus einem großen
Aufkommen von Poststücken
von unterschiedlichen Quellen genommen wird, ein rechtmäßiges Porto
aufweist, insbesondere dann, wenn die Anzeigen unter Verwendung
eines Computerdruckers gedruckt sind.
-
Es
ist eine weitere Aufgabe, ein Verfahren und eine Vorrichtung für ein Postsystem
bereitzustellen, wobei der Postdienst Poststücke, die von einer großen Anzahl
unterschiedlicher Quellen ankommen, zu verifizieren, um selbst sicherzustellen,
dass Messgeräte
für Post,
die in den Poststrom eingeführt wird,
richtig abrechnen.
-
Es
ist noch eine weitere Aufgabe der Erfindung, ein Verfahren und eine
Vorrichtung für
ein Postsystem bereitzustellen, wobei der Verkäufer des Postsystems in der
Lage ist, die Authentizität
der Poststücke
unter Verwendung einer Information unabhängig von der Postdienstverifikation
zu verifizieren.
-
Gemäß der Erfindung
ist ein System zum Steuern der Gültigkeit
eines Druckens von Anzeigen auf Poststücke von einer Mehrzahl von
Benutzern jeweiliger Poststücke
des Typs, die eine Computereinrichtung und einen Drucker zum Drucken
einer Anzeige auf ein Poststück
aufweisen, um einen Betrag eines entrichteten Portos auf dem Poststück anzuzeigen,
wobei das System eine Vorrichtung umfasst, die in jedem Portomessgerät angeordnet
ist, um einen Code zu erzeugen, und um den Code auf jedes Poststück unter
Verwendung des Druckers zu drucken, wobei der Code ein verschlüsselter
Code ist, der kennzeichnend ist für die Portomessgerät-Vorrichtung,
die die Anzeigen druckt, und andere Information, die eindeutig bestimmend
ist für
die Rechtmäßigkeit
des Betrags eines Portos auf den Poststücken, wobei jede Code-Erzeugungsvorrichtung
ihre Code-Erzeugung in vorbestimmten Intervallen in jedem der Mehrzahl
von Portomessgeräten ändert, und
ein Sicherheitszentrum eine Vorrichtung zum Halten einer Sicherheitscode-Datenbank
und zum Erzeugen von Sicherheitscodes in Übereinstimmung mit den Änderungen
in jeder Code-Erzeugungsvorrichtung und der Information, die auf
das Poststück
durch die Portomessgerät-Vorrichtung
gedruckt ist, zum Vergleich mit dem Code, der auf das Poststück gedruckt ist,
einschließt,
bereitgestellt.
-
In
einem weiteren Aspekt ist ein Portomessgerät des Typs bereitgestellt,
das eine Computereinrichtung und einen Drucker zum Drucken einer
Anzeige auf ein Poststück
zum Anzeigen eines Betrags eines entrichteten Portos auf dem Poststück aufweist,
wobei das System eine Vorrichtung umfasst, die in jedem Portomessgerät angeordnet
ist, um einen ersten und einen zweiten Code zu erzeugen, und um
die Codes auf jedes Poststück
unter Verwendung des Druckers zu drucken, wobei die Codes ein verschlüsselter
Code sind, der die Portomessgerät-Vorrichtung,
die die Anzeigen druckt, und andere Information darstellt, die eindeutig
bestimmend für
die Rechtmäßigkeit
des Betrags des Portos ist, das auf das Poststück gedruckt ist.
-
Für ein besseres
Verständnis
der Erfindung, und um zu zeigen, wie dieselbe verwirklicht werden kann,
wird nun im Wege eines Beispiels auf die zugehörigen Zeichnungen Bezug genommen.
In den Zeichnungen zeigen:
-
1 eine schematische Gesamtansicht
eines Systems in Übereinstimmung
mit einer Ausführungsform
der Erfindung;
-
2 ein Funktionsblockdiagramm
einer Geldmittel-Übertragung
und einer Sicherheitscode-Erzeugung/Verifikation
in Übereinstimmung
mit einer Ausführungsform
der Erfindung;
-
3a und 3b die zu druckende Information in einer
ersten Ausführungsform
eines PRB in Übereinstimmung
mit der Erfindung;
-
4a und 4b eine Alternative zu der in den 3a und 3b gezeigten Information;
-
5 ein geeignetes Strichcodeformat;
-
6 die Messgerät-Druckanordnung
zum Drucken eines ECODE unter Verwendung des gleichen Schlüssels zwischen
vorbestimmten Aktualisierungen;
-
7 ein Blockdiagramm des
Verifikationsprozesses, der der Anordnung der 6 entspricht;
-
8 ein Blockdiagramm einer
Messgerätanordnung
zum Drucken eines ECODE unter Verwendung periodisch geänderter
Schlüssel,
die unter Verwendung eines Master-Schlüssels erzeugt sind;
-
9 ein Blockdiagramm der
Verifikation unter Verwendung der Schlüssel, wie sie in dem Messgerät der 8 erzeugt sind;
-
10 ein Schlüsseländerungsmodul,
wo der Schlüssel
täglich
unter Verwendung des Schlüssels
des vorangehenden Tages geändert
wird;
-
11 ein Schlüsseländerungsmodul,
wo der Schlüssel
nach einem Drucken jedes Umschlags geändert wird;
-
12 ein Blockdiagramm der
Verifikation unter Verwendung der Schlüssel, wie sie in dem Modul
der 11 erzeugt sind;
-
13 ein Anordnung für eine automatische Validierung;
und
-
14 einen Aufdruck-Freigabeprozess.
-
In 1 ist bei 10 allgemein
ein Gesamtsystem in Übereinstimmung
mit einer Ausführungsform der
Erfindung gezeigt. In der veranschaulichten Ausführungsform umfasst das System
ein Messgerät oder
ein PED 12, das mit einer Mehrzahl unterschiedlicher Zentren
wechselwirkt. Ein erstes Zentrum ist ein altbekanntes Messgerät-Geldmittel-Rücksetzzentrum 14 eines
Typs, der beispielsweise in dem U.S.-Patent 4,097,923 beschrieben
ist, der zum Fern-Addieren von Geldmitteln zu dem Messgerät geeignet
ist, um es zu ermöglichen,
den Betrieb eines Entrichtens von Wert-tragenden Anzeigen fortzusetzen.
Es ist auch ein Sicherheits- oder Forensic-Zentrum 16 bereitgestellt,
das natürlich
physikalisch in dem Geldmittel-Rücksetzzentrum 14 angeordnet sein
oder diesem zugeordnet sein kann, aber es ist hier zum besseren
Verständnis
getrennt gezeigt. Alternativ kann das veranschaulichte Sicherheitszentrum
natürlich
eine vollständig
getrennte Einrichtung sein, die beispielsweise, falls gewünscht, von
Postbehörden
betrieben wird. Die gestrichelten Linien in 1 zeigen eine Kommunikation, z. B. eine
Telekommunikation zwischen dem Messgerät 12 und dem Geldmittel-Rücksetzzentrum 14 (und/oder
Sicherheits- oder Forensic-Zentrum 16) an. Typischer Weise
ist ein zugeordnetes Messgerät-Verteilungszentrum 18 vorhanden,
das von einem Hersteller oder Verkäufer benutzt wird, um die Logistik
eines Platzierens von Messgeräten
mit jeweiligen Benutzern zu vereinfachen. Auf ähnliche Weise kann ein Geschäftsverarbeitungszentrum 20 zum
Zweck eines Verarbeitens von Bestellungen für Messgeräte und zur Verwaltung der verschiedenen
Aufgaben, die die Messgerät-Population
als Ganzes betreffen, benutzt werden.
-
Der
Messgeräthersteller,
der bei 22 angezeigt ist, stellt Kunden-angepasste Messgeräte oder PED's für das Verteilungszentrum 18 nach
einem Einrichten der Betriebsfähigkeit
von Wechselwirkungen mit jeweiligen Messgeräten, die sogenannte "Geschäfts"-Überprüfungen benutzen zwischen dem Hersteller
und dem Rücksetzzentrum 14 und
dem Sicherheitszentrum 16 bereit. Das Messgerät oder PED
weist seine Sperrzeiten an der Einrichtung des Benutzers von einem
Kundendienst repräsentativ während Überprüfungen zurückgesetzt
auf, wie hier durch den Kasten 24 angezeigt.
-
In
dem Geldmittel-Rücksetzzentrum 14 wird eine
Datenbank 26, die Messgeräte und Messgerät-Transaktionen
betrifft, gehalten. Die Rücksetzkombinationen
werden durch eine gesicherte Vorrichtung erzeugt, die hier als der
SCHWARZER KASTEN 28 bezeichnet ist. Die Details einer derartigen Rücksetzanordnung
sind in dem U.S.-Patent 4,097,923 zu finden, das hierin unter Bezugnahme spezifisch
eingeschlossen ist, und werden hier nicht weiter beschrieben werden.
-
Eine
Datenbank 30 und eine weitere gesicherte kryptographische
Vorrichtung, die hier als ORANGER KASTEN 32 bezeichnet
ist, werden an dem Sicherheits- oder Forensic-Zentrum 16 gehalten. Der ORANGE
KASTEN 32 verwendet vorzugsweise die DES-Standard-Verschlüsselungstechniken,
um einen verschlüsselten
Ausgang auf der Grundlage der Schlüssel und anderer Information
in der Nachrichtenkette, die diesen bereitgestellt wird, bereitzustellen.
Andere Verschlüsselungstechniken sind
bekannt, und können
anstelle des DES-Standards verwendet werden, als gewünscht. Das
Sicherheitszentrum 16 ist, wo immer es gehalten wird, vorzugsweise über eine
Telekommunikation mit jedweder einer Mehrzahl von Postamt-Überprüfungsstationen
verbunden, wobei eine hier bei 34 angezeigt ist.
-
In
einer bevorzugten Ausführungsform
ist ein Schlagwort-Kasten
für das
Messgerät
von einem Schlagwort-Kastenhersteller
bereitgestellt, der bei 36 angezeigt ist, der die Erzeugung
einer Mehrzahl von Aufschriften und/oder Schlagworten durch das
PED oder das Messgerät 12 ermöglicht.
Die Aufschriften und Schlagworte können von dem Hersteller freigegeben
werden, und werden in einer bevorzugten Ausführungsform auch durch Verwendung
einer Kombination freigegeben, die bei der Lieferlinie des Herstellers
bereitgestellt ist, die bei 38 angezeigt ist. Der Betrieb wird
weiter in Verbindung mit 14 diskutiert,
und weitere Details sind in der britischen Patentanmeldung Nr. GB-A-2,282,566 (die der
U.S.-Anmeldung, Serien-Nr. 08/133,419, eingereicht am 8. Oktober
1993 entspricht) zu finden, die dem Inhaber der vorliegenden Anmeldung übertragen
ist und hierin spezifisch unter Bezugnahme eingeschlossen ist.
-
Zurückkehrend
nun auf das Messgerät 12 schließt das Messgerät, wie veranschaulicht,
eine Uhr 40 ein, die sicher ist, und die verwendet wird,
um eine Kalenderfunktion bereitzustellen, die von dem Hersteller
programmiert ist. Derartige Uhren sind altbekannt und können in
Computer-Routinen
oder in zugewiesenen Chips implementiert werden, die programmierbare
Kalender-Ausgänge
bereitstellen.
-
Auch
sind innerhalb des Messgeräts 12 Register
zum Speichern eines Geldmittel-Rücksetzschlüssels bei 42,
ein geheimer Schlüssel
(geheime Schlüssel)
bei 44, Ablaufdaten bei 46 und vorzugsweise ein
Aufschrift-Freigabemarker in einem Register 48 vorhanden.
Vorzugsweise wird, um das Knacken der Sicherheitscodes, die von
dem Portomessgerät
zu drucken sind, zu verhindern, der Sicherheitsschlüssel in
vorbestimmten Intervallen geändert,
wie untenstehend diskutiert.
-
2 ist ein Funktionsblockdiagramm
des Geldmittelrücksetz- und Sicherheitscode-Erzeugungsverifikationsprozesses.
Wie zuvor in Verbindung mit 1 beschrieben,
schließt
das elektronische Portomessgerät
oder PED 12 eine Uhr (in dieser Fig. nicht gezeigt) und
eine zugeordnete Vorrichtung und/oder Computer-Routinen zum Halten
einer Kalenderfunktion ein, wie in einem Block 50 in dieser Figur
angezeigt. Die anderen Routinen in dem Block 50, die innerhalb
des Messgeräts 12 bereitgestellt sind,
schließen
die notwendigen Messgerät-Geldmittel-Rücksetzroutinen,
Routinen zum Erzeugen einer verschlüsselten Zahl auf der Grundlage
von Daten, die einem bestimmten Messgerät eindeutig zuweisbar sind,
hierin als ECODE bezeichnet, ein, die vollständiger untenstehend und in der
europäischen
Anmeldung EP-A-0 647 924 beschrieben sind (die der U.S.-Anmeldung,
Serien-Nr. 08/133,416 entspricht) und am gleichen Datum hiermit
eingereicht und unter Bezugnahme hierin spezifisch eingeschlossen
ist. Im Betrieb erzeugt das Messgerät den ECODE für jedes Poststück unter
Verwendung des DES-Standards und eines eindeutigen Schlüssels. Der
ECODE wird dann als ein Teil des PRB gedruckt. Es ist gefunden worden,
dass zu Zwecken einer Authentisierung die sich ergebende Chiffre
auf eine gewisse vorbestimmte Anzahl von Stellen gekürzt werden
kann, und diese gekürzte
Nummer anstelle der vollständigen
Chiffre gedruckt werden kann, falls gewünscht. Sowohl die vollständige Verschlüsselung
als auch die gekürzte
Chiffre werden hierin als ECODES bezeichnet werden.
-
Vorzugsweise
schließt
das Messgerät
auch Routinen zum Selbstsperren ein, in dem Fall, dass kein Kontakt
mit einem Zentrum innerhalb eines vorbestimmten Zeitintervalls stattgefunden
hat, wie in der EP-A-0 647 923 beschrieben (die der U.S.-Anmeldung,
Serien-Nr. 08/133,420 entspricht), die am gleichen Datum hiermit
eingereicht ist.
-
Die
Register des Messgeräts 12 halten
geeignet eine Information wie etwa jene, die in einem Block 52 veranschaulicht
ist, die ausgewählte
Daten wie etwa das Datum der letzten Geldmittel-Wiederaufladung,
das Datum der letzten Überprüfung, das Ablaufdatum
und das Datum, zu welchem das Messgerät gesperrt worden ist, wie
auch jedwede andere Information, die wünschenswert ist, einschließen.
-
Ein
Block 54 veranschaulicht die Funktionen des Verteilungszentrums 18.
In dem Verteilungszentrum ist für
jedes Messgerät,
das platziert ist, die Messgerät-Identifikationsnummer
an die Abrechnungsnummer, die dem Messgerät zugewiesen ist, angepasst,
ein geheimer Messgerät-Schlüssel wird eingegeben,
und eine lokale Zeit wird in dem Kalender programmiert. Der geheime
Anfangsschlüssel wird
dem Sicherheits- oder Forensic-Zentrum 16 bereitgestellt,
wo, wie in einem Block 56 gezeigt, die Sicherheitscode-Datenbank
gehalten wird. Alternativ könnte
das Sicherheitszentrum den Anfangsschlüssel zu dem Verteilungszentrum
schicken.
-
Die
Datenbank, wie sie in einem Block 58 veranschaulicht ist,
kann für
jedes Messgerät
eine Messgerät-ID,
eine Zugriffsnummer, den zugeordneten Sicherheitsschlüssel, den
vorangehenden Schlüssel,
den nächsten
Schlüssel,
ein Datum einer Schlüsseländerung,
und den Messgerät-Status
enthalten. In Verbindung mit dem orangen Kasten 32 ist das
Forensic-Zentrum
in der Lage, den identischen ECODE zu erzeugen, der auf jedes Poststück gedruckt
werden sollte, der von dem Messgerät erzeugt wird. Während die
ECODE-Erzeugungsroutinen derartige Codes in dem ORANGEN KASTEN auf
eine sichere Weise betreiben, was nicht einer Manipulation durch
einen Bediener zugänglich
ist, wird dem Gesamtsystem eine viel größere Sicherheit gegeben, da niemand
in einer derartigen Anordnung voll in Kenntnis sämtlicher Aspekte der Code-Erzeugung
ist.
-
Somit
wird in der P.O.-Verifikationsstation 34, wann immer ein
Poststück,
das angeblich von einem bestimmten Versender ist, zu überprüfen ist,
die Information auf dem Poststück
für das
Sicherheitszentrum 16 bereitgestellt, und der erwartete
ECODE wird erzeugt. Eine Übereinstimmung
zeigt an, dass die Poststück-Frankierung
gültig
ist.
-
Um
einen Betrieb des Messgeräts 12 zu
initialisieren und zu verifizieren, führt der Messgerät-Hersteller 22 die
Betriebsschritte durch, die in einem Block 60 angezeigt
sind. Diese schließen
eine Geschäftsüberprüfung, ein
Programmieren der gewünschten
Anzeigen und ein Programmieren des Kalenders ein, die nur eine begrenzte
Zugriffsmöglichkeit
für den
Messgerät-Bediener
aufweisen werden. Es schließt
auch die Schritte eines Eingebens einer Messgerätnummer und eines Geldmittel-Rücksetzschlüssels ein,
der in Verbindung mit einer Kommunikation mit dem Geldmittel-Rücksetzzentrum 14 bestimmt
wird, das die Funktionen bereitstellt, die in einem Block 62 gezeigt
sind. Das Geldmittel-Rücksetzzentrum
hält die
jeweiligen Schlüssel
für jedes der
Messgeräte,
die von der Herstellung zu dem Verteilungszentrum geliefert werden,
und erzeugt eine Messgerät-Bereitschaftsliste
für das
Verteilungszentrum. Wie zuvor bemerkt, stellt das Rücksetzzentrum in
Verbindung mit dem schwarzen Kasten 64 Nummern für die Addition
von Geldmitteln zu den Messgeräten,
die bereits in Dienst sind, bereit.
-
Diese
Datenbank, die in dem Rücksetzzentrum 14 gehalten
wird, ist in einem Block 66 gezeigt. In herkömmlicher
Weise schließt
die gespeicherte Information eine Kontonummer, die jeder Messgerätenummer
zugeordnet ist, den Geldmittel-Rücksetzschlüssel für jedes
Messgerät,
einen Zählwert
der Anzahl von Malen, die das Messgerät erfolgreich mit Geldmitteln
aufgefüllt
worden ist, und den Zugriffscode des Messgerätbenutzers ein.
-
Zurückkehrend
nun auf den Betrieb der Postamt-Verifikationsstation
müssen,
wenn eine automatische Überprüfung des
ECODE gewünscht
wird, sowohl der ECODE als auch die Volltextinformation maschinenlesbar
sein. Eine typische Länge
einer Volltextnachricht ist beispielsweise, und nicht im Wege einer
Beschränkung,
die Summe der Messgerät-ID (typischer
Weise 7 Stellen), eines Datums (2 Stellen, zur Vereinfachung beispielsweise
die letzten 2 Stellen der Nummer von Tagen von einem vorbestimmten
Startdatum wie etwa dem 1. Januar an), der Portobetrag (4 Stellen)
und des Stück-Zählwerks
für eine typische
Gesamtheit von 16 Stellen. Ein Lesen von Vorrichtungen zum Herausholen
der Information entweder von einem Strichcode auf dem Poststück oder als
OCR sind altbekannt, und eine Strichcode- Abtastanordnung wird weiter diskutiert
werden.
-
Ein
DES-Block ist in herkömmlicher
Weise 64 Bit lang, oder ungefähr
20 dezimale Stellen. Ein Chiffre-Block ist eine Verschlüsselung
von 64 Bits von Daten. Es wird erkannt werden, dass eine andere Information
gewählt
werden kann, und dass weniger als die Information, die hier bereitgestellt
ist, in anderen Ausführungsformen
der Erfindung verschlüsselt werden
kann. Es ist jedoch wichtig zu bemerken, dass die zu verschlüsselnde
Information identisch zu jener sein muss, die in der Verifikation
verwendet wird. Zu diesem Zweck kann die Volltextnachricht und/oder
der Strichcode Daten einschließen,
die die bestimmte Information anzeigen, die verschlüsselt ist.
Dies kann die Form einer zusätzlichen
Nummer, einer zusätzlichen
Strichcodierung oder einer Markierung wie etwa des "+"-Zeichen auf dem Poststück annehmen,
wie bei 68 in den 3a und 4b angezeigt. Es ist zu verstehen,
dass die Markierung auf dem Poststück außerhalb des Anzeigenbereichs platziert
werden kann, falls gewünscht.
-
Für die besten
Ergebnisse könnte
in Übereinstimmung
mit einem Aspekt der Erfindung ein zweiter ECODE unter Verwendung
eines DES-Schlüssels
beispielsweise aus einem Satz von Schlüsseln PS-DES, die dem Postdienst
bekannt sind, erzeugt werden. Alternativ könnte der Postdienst es bestimmen,
seinen eigenen Satz von Schlüsseln
zu verwalten, wie in Verbindung mit dem Schlüsselverwaltungssystem beschrieben,
das untenstehend beschrieben ist oder beispielsweise in der EP-A-0
647 924 offenbart ist.
-
Die
Volltextinformation kann unter Verwendung eines PS-DES-Schlüssels verschlüsselt werden,
der aus dem Satz PS-DES gewählt
ist. Die Information, die eingeschlossen ist, kann wie in den 3a oder 3b gewählt sein. Der Postdienst verwendet
dann den gleichen PS-DES-Schlüssel,
um die Nachricht zu entschlüsseln.
Es wird erkannt werden, dass eine zweite Sicherheitsstufe durch
ein Einschließen
des zweiten Sicherheitszentrums-ECODE als ein Teil der Volltextinformation,
die zu verschlüsseln
ist, bereitgestellt ist.
-
In
einer zweiten Ausführungsform
werden zwei ECODES erzeugt und auf das Poststück gedrückt, einer unter Verwendung
eines PS-DES-Schlüssels,
der von dem Postdienst bereitgestellt ist, und der andere unter
Verwendung eines Verkäufer-DES-Schlüssels, der
wie untenstehend beschrieben beispielsweise von einem Hersteller oder
einem Sicherheitszentrum bereitgestellt ist. Der Postdienst kann
dann die Nachricht unter Verwendung seines eigenen Code-Erzeugungs-
und Schlüsselverwaltungssystems
verifizieren, während
der Verkäufer
die Gültigkeit
der Nachricht unter Verwendung des ECODE separat verifizieren kann,
der unter Verwendung seines separaten Schlüsselsystems erzeugt wird. Die 4a und 4b zeigen ein repräsentatives Format dieser zweiten
Ausführungsform.
-
In
den Fällen,
die in den 3a und 4a gezeigt sind, kann der
Postdienst einen Verschlüsselungsschlüssel unter
Verwendung eines Indizes wie etwa einem Zeiger, der in die Anzeigen
gedruckt ist, erhalten. In den Fällen,
die in den 3b und 4b veranschaulicht sind,
kann der Postdienst den Schlüssel von
der Information in den Anzeigen unter Verwendung eines vorbestimmten
Algorithmus erhalten.
-
5 veranschaulicht einen
geeigneten Strichcode, der genug Information für jedwede der zuvor diskutieren
Implementierungen einschließlich einer
Fehlerkorrektur aufweist.
-
6 zeigt die Messgerät-Druckanordnung zum
Drucken eines ECODE mit dem gleichen Schlüssel zwischen vorbestimmten
Aktualisierungen, wie etwa dann, wenn Messgerät-Geldmittel zurückgesetzt
werden, oder zu anderen regulären
festen Intervallen. In der Ausführungsform
wird, wie bei einem Block 100 angezeigt, der DES-Schlüssel in
das Messgerät
zu der Zeit heruntergeladen, zu der beispielsweise Geldmittel zu
dem Messgerät
addiert werden. Es ist zu verstehen, dass die Zeit zu anderen vorbestimmten
Intervallen sein könnte,
aber das wesentliche Merkmal besteht darin, dass der Schlüssel der
gleiche bis zu einer weiteren Kommunikation mit dem Sicherheitszentrum
bleiben wird. Der neue DES-Schlüssel
wird zur Verwendung in der DES-Verschlüsselungseinheit in dem Messgerät gespeichert, wie
bei einem Block 105 veranschaulicht. Falls gewünscht, werden
das Datum einer Einreichung, Block 112, das unterschiedlich
von dem Datum eines Druckens sein kann, und eine Stückzähler-Information,
Block 112, die entweder eine tägliche oder eine kumulative
Stückzählung sein
kann, eine Messgerät-ID,
Block 115, und eine Portobetraginformation, Block 120,
zu dem Anzeigen-Font-Block 125 zur
Volltextformatierung in einem Block 130, wie auch zu einem
Block 135 zum Formatieren in einen 64 Bit-Block einer Information,
die zu der DES-Verschlüsselungseinheit 105 zu
senden ist, geliefert. Der Ausgang der Verschlüsselungseinheit 105 kann
entweder in einem Block 140 gekürzt werden als gewünscht, um
einen ECODE2 zu erzeugen, der zur Authentifizierung verwendet wird
oder vollständig
als ein ECODE1 gedruckt werden. In diesem Fall muss bemerkt werden,
dass typischer Weise der eine oder andere dieser Codes, aber nicht
beide, auf das Poststück
gedruckt werden. In jedem Fall wird ein Block 145 des Anzeigenblocks 125 zum
Einschluss in die Anzeigen, die von dem elektronischen Drucker 150 zu
drucken sind, bei 152 gesendet. Bei 152a ist eine repräsentative
Anzeigeninformation veranschaulicht, die den ECODE1 einschließt, der
für eine
Wiedergewinnung der Volltextinformation geeignet ist, die in die
Anzeigen gedruckt ist. Eine Alternative der Anzeigen ist bei 152b gezeigt,
wo der ECODE2 veranschaulicht ist.
-
7 ist ein Blockdiagramm
des Verifikationsprozesses, der der Druckanordnung der 6 entspricht. Wenn eine Verifikation
eines Poststücks durch
die Postbehörden
gewünscht
wird, wird eine telefonische Kommunikation zwischen dem Postamt und
dem Sicherheitszentrum über
eine Kommunikationseinheit 200 initiiert, und die erforderliche
Information wie etwa eine Messgerät-ID, ein Datum, ein Verifikationscode
und/oder das Porto plus eine weitere Information wird zu dem Zentrum übertragen.
Für vollständig automatische
Transaktionen kann ein Modem verwendet werden. Alternativ können ein
Tastenton oder Sprache verwendet werden, um die gleiche Information
zu kommunizieren. Das Sicherheitszentrum gewinnt den verschlüsselten
Schlüssel
von seiner Datenbank, Block 205 wieder, und entschlüsselt ihm
den ECODE1 dann entweder in Abhängigkeit
von dem Format, um die Volltextinformation zu erhalten, Block 210,
und stellt diese dem Verifikationszentrum, Block 215 bereit,
wo die Legalität
bestimmt wird und das Ergebnis zu dem Postamt übertragen wird, oder entziffert
den Volltext für
den ECODE2 unter Verwendung des gleichen geheimen Schlüssels, wie
er bei einem Erzeugen des ECODE2 in dem Messgerät bei PED, Block 300 verwendet wurde,
und kommuniziert entweder den ECODE2 selbst oder vergleicht ihn
mit dem empfangenen ECODE2 bei einem Block 305 und benachrichtigt den Überprüfer bezüglich der
Ergebnisse, Block 310.
-
8 ist ein Blockdiagramm
einer Messgerätanordnung
zum Drucken eines ECODE unter Verwendung periodisch geänderter
Schlüssel,
beispielsweise täglich
geänderte
Schlüssel,
die unter Verwendung eines Master-Schlüssels erzeugt werden. In dieser
und darauffolgenden Figuren sind die Elemente, die die gleichen
wie in 6 sind, gleich
wie in 6 nummeriert.
In dieser Ausführungsform
ist der Schlüssel,
der von der DES-Verschlüsselungseinheit 105 bereitgestellt
wird, wie angezeigt in dem Schlüsseländerungsmodul 155 eine
Verschlüsselung
von beispielsweise dem Julianischen Datum eines Druckens wie auch
eines anderen vorbestimmten festen Messgerätdatums wie etwa der Messgerät-ID, gezeigt
in einem Block 160. die Daten werden auf eine vorbestimmte
Weise auf 64 Bit in der Formatiereinheit erweitert, Block 165,
und wird in einer DES-Verschlüsselungseinheit 170 zur
Eingabe als der Schlüssel
für die
Verschlüsselungseinheit 105 verschlüsselt. Somit
ist es offensichtlich, dass der Schlüssel täglich geändert wird, und der tägliche Schlüssel K(T)
wird als eine Verschlüsselung
mancher täglich
identifizierbarer Daten wie etwa dem Datum eines Druckens T erhalten.
Der residente Master-Schlüssel
in dem Messgerät
wird bis zu der nächsten Änderung
des Master-Schlüssels
verwendet. Die Anzeige, die bei 172 unter Verwendung dieser
Anordnung gedruckt ist, erfordert zusätzlich den Einschluss des Julianischen
Datums eines Druckens, vorzugsweise gekürzt auf zwei (2) Stellen, wie in
den Informationsblöcken
angezeigt, die für
die Fälle
1 und 2 bei 172a und 172b angezeigt sind.
-
9 ist ein Blockdiagramm
des Verifikationsprozesses unter Verwendung der Schlüssel, wie sie
in dem Messgerät
der 8 erzeugt werden.
Das Sicherheitszentrum 16 muss in diesem Fall den Master-Verschlüsselungsschlüssel, Block 220 wiedergewinnen
und den Verschlüsselungsschlüssel aus
der Datumsinformation, T, bei einem Block 225 wiedergewinnen,
um den Schlüssel
zur Verwendung bei einem Bestimmen der Gültigkeit bereitzustellen. Die anderen
Betriebsschritte des Sicherheitszentrums werden in Verbindung mit 4 beschrieben und werden
hier nicht weiter beschrieben werden.
-
10 zeigt ein Schlüsseländerungsmodul, wo
der Schlüssel
täglich
unter Verwendung des Schlüssels
des vorangehenden Tags geändert
wird, um den neuen Schlüssel
beispielsweise geeignet durch eine Verschlüsselung gewisser täglich identifizierbarer
Daten wie etwa dem Julianischen Datum eines Druckens zu erzeugen.
Wie in den voranstehenden Ausführungsformen
beschrieben, wird ein Master-Schlüssel bereitgestellt. Jedoch
wird er in diesem Fall als ein Eingang in eine Verschlüsselungseinheit 177 des
Schlüsseländerungsmoduls 175 verwendet. Am
Tag eines Rücksetzens
wird die Verschlüsselung dieses
Schlüssels
durch die Verschlüsselungseinheit 177 vorzugsweise
als der Schlüssel
für die
DES-Verschlüsselungseinheit 105 verwendet,
wie in 8 zu ersehen,
aber hier nicht gezeigt. An darauffolgenden Tagen werden variable
Daten für
einen Tag "T", Block 180 eingeschlossen,
und die Datumsinformation wird getestet, um zu bestimmen, ob es
das Rücksetz-Datum,
Block 185 ist, und falls nicht, wird es als der Schlüssel des
Tags für
die DES-Verschlüsselungseinheit 177 verwendet,
deren Ausgang den Schlüssel zur
Verwendung in der DES-Verschlüsselungseinheit 105 liefert.
-
11 zeigt ein Schlüsseländerungsmodul bei 190,
wo der Schlüssel
nach dem Drucken jedes Umschlags geändert wird. In dieser Ausführungsform ist
die variable Information für
den Schlüssel
die Stückzähl-Information,
Block 192, die zusammen mit der Messgerät-ID in einer Formatiereinheit 195 zur Verschlüsselung
in einer Verschlüsselungseinheit 197 formatiert
wird, um den Schlüssel
K(P) für
die DES-Verschlüsselungseinheit 105,
die in dieser Figur nicht zu ersehen ist, bereitzustellen.
-
12 ist ein Blockdiagramm
der Verifikation unter Verwendung der Schlüssel, wie sie in dem Modul
der 11 erzeugt werden.
In dieser Ausführungsform
muss das Postamt die Messgerät-ID
und die Stückzähldaten
bereitstellen. Der Verschlüsselungsschlüssel wird
berechnet, Block 230, aus dem Stückzählwert und dem Master-Schlüssel in Übereinstimmung
mit der Berechnung in dem Schlüsseländerungsmodul
der 11.
-
13 zeigt eine Anordnung
zum Automatisieren der Kommunikation mit dem Sicherheitszentrum.
Der Umschlag 350 wird von einem Scanner wie etwa einem
Laserscanner 352 abgetastet, der die Information zu einem
Modem 354 überträgt, das
mit einem Telefon 356 zur Kommunikation zu dem Sicherheitszentrum 16 verbunden
ist.
-
14 ist ein schematisches
Diagramm des Aufschrift-Freigabeprozesses
für ein
Messgerät
in Übereinstimmung
mit der Erfindung. Die Messgerät-Anforderung
wird in dem Geschäftsverarbeitungszentrum 20 empfangen.
In die Anforderung eingeschlossen ist eine Information betreffend
die verschiedenen einer Mehrzahl von Aufschriften, die der Benutzer
für einen
Betrieb verfügbar
zu machen wünscht.
Die Information wird zu dem Verteilungszentrum 18 geschickt,
das die gewünschten
Aufschrift-Bits freigibt und das Messgerät zu dem Kunden schickt, der
bei 400 angezeigt ist. Ein typisches Beispiel einer Aufschrift-Datenbank
ist bei 402 veranschaulicht, wo die Messgerät-Aufschriften-Nr.
1 für ERSTE
KLASSE ZIP, Nr. 3 für
NON-PROFIT, und Nr. 4 für
MENGENRATE als freigegeben gezeigt sind. Es ist zu versehen, dass
jedwede Kombination von Auswahlmöglichkeiten
auf einfache Weise verfügbar
ist, und, wie von dem Verteilungszentrum gewünscht und konfiguriert, ausgeführt werden
kann.
-
Damit
der Kunde die zum Gebrauch verfügbaren
Aufschriften ändern
kann, ohne das Messgerät physikalisch
zurückzubringen
oder ohne dass ein Service-Vertreter den Kunden anrufen muss, wird
ein Zugriff, die Freigabe-Statusbits zu ändern, durch die Erzeugung
von Kombinationen für
das bestimmte Messgerät
durch einen Kombinationsgenerator 404 gesteuert. Um die Änderung
zu erreichen, ruft der Kunde die Hersteller-Lieferleitung 38 unter Angabe der
Kontonummer und der gewünschten
Transkriptionsnummer an, und im Gegenzug wird dem Kunden eine Kombination
geliefert, die, wenn sie in das Messgerät zusammen mit der Aufschriftnummer
eingegeben wird, dazu führen
wird, dass sich das geeignete entsprechende Freigabebit ändert. Zusätzlich zu
den gezeigten Aufschriften kann der Prozess verwendet werden, um
die Werbe-Schlagworte zu steuern, die von dem Messgerät gedruckt
werden, wie vollständiger
in der GB-A-2,282,566 (die der U.S.-Anmeldung, Serien-Nr. 08/133,419
entspricht) beschrieben.