專利名稱:保護(hù)安全模塊的方法及實(shí)現(xiàn)此方法的配置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及保護(hù)安全模塊的一種方法��,以及實(shí)現(xiàn)此方法的一種配置���,這種郵政安全模塊尤其適用于蓋郵戳機(jī)及郵政處理機(jī)或者具有郵政處理功能的計(jì)算機(jī)。
諸如US 4746234所公開的熱變換蓋郵戳機(jī)這樣的現(xiàn)代蓋郵戳機(jī)使用一個(gè)全數(shù)字的打印裝置����。因而原則上可以打印任意的文字和特殊符號(hào)在郵戳打印區(qū)以及任意的或與付費(fèi)處相關(guān)的廣告內(nèi)容。例如蓋郵戳機(jī)T1000具有一個(gè)包裝在保安外殼中的微處理器����,外殼上有一個(gè)開槽用來送入信件����。在信件被送入時(shí)一個(gè)機(jī)械的信件傳感器(微動(dòng)開關(guān))給出一個(gè)打印請(qǐng)求信號(hào)到微處理器����。郵戳打印內(nèi)容包括用于信件傳遞的事先輸入和存儲(chǔ)的郵政信息。蓋郵戳機(jī)的控制單元按照軟件完成結(jié)算�,必要時(shí)對(duì)數(shù)據(jù)的實(shí)時(shí)性進(jìn)行監(jiān)測(cè),以及控制郵資收付差額的裝載���。
US 5606508(DE 4213278B1)和US 5490077已經(jīng)建議了借助于芯片卡對(duì)上述熱變換蓋郵戳機(jī)實(shí)現(xiàn)數(shù)據(jù)輸入的可能性��。一張芯片卡裝新數(shù)據(jù)到蓋郵戳機(jī)中���,一組另外的芯片卡可以通過插入一張芯片卡來更改已輸入的相應(yīng)數(shù)據(jù)。這樣可以比用鍵盤輸入更方便和迅速地實(shí)現(xiàn)數(shù)據(jù)裝載和更改���。用于郵件的蓋郵戳的蓋郵戳機(jī)裝配有一個(gè)用于在郵件上打印郵資印記的打印機(jī)�����,一個(gè)控制打印機(jī)和蓋郵戳機(jī)外設(shè)的控制裝置��,一個(gè)用于結(jié)算郵費(fèi)的結(jié)算單元�����,至少一個(gè)用來存儲(chǔ)郵費(fèi)數(shù)據(jù)的非易失存儲(chǔ)器�����,至少一個(gè)用于存儲(chǔ)安全有關(guān)的數(shù)據(jù)的非易失存儲(chǔ)器以及一個(gè)日歷/時(shí)鐘�����。存儲(chǔ)安全有關(guān)的數(shù)據(jù)的存儲(chǔ)器和/或日歷/時(shí)鐘通常由電池供電��。在現(xiàn)有蓋郵戳機(jī)中安全有關(guān)的數(shù)據(jù)(密鑰等)存儲(chǔ)在非易失存儲(chǔ)器中����。這些存儲(chǔ)器是EEPROM����,F(xiàn)RAM或電池保證的SRAM。現(xiàn)有蓋郵戳機(jī)常常也提供一個(gè)內(nèi)部實(shí)時(shí)時(shí)鐘(Real Time Clock)RTC���,它由電池供電�。例如現(xiàn)在存在灌注的模塊,它們包含有集成電路和鋰電池�。這種模塊在電池壽命到期后必須整個(gè)地被更換和去掉供電。從科學(xué)和經(jīng)濟(jì)的觀點(diǎn)看僅需更換電池才更有效�。然而這就必須打開保安外殼,且然后再封閉它����,因?yàn)榈挚挂u擊的安全性主要依賴于保安外殼,它包封了整個(gè)裝置�。EP660269A2(US 5671146)已經(jīng)提出一種合適的方法來提高蓋郵戳機(jī)的安全性,其中保安外殼的授權(quán)和非授權(quán)開啟是不同的�����。
蓋郵戳機(jī)有時(shí)需要修理�����,如果接近元件是困難的或受到限制�����,修理是困難的�����。將來在大型郵政處理機(jī)或所謂的PC蓋郵戳機(jī)中保安外殼將被壓縮成所謂的郵政安全模塊,這將改善其他元件的可接近性�。為了經(jīng)濟(jì)地更換安全模塊的電池也希望在相對(duì)簡(jiǎn)單的途徑上更換電池�����。為此電池必須在蓋郵戳機(jī)的保安范圍之外��。但是如果電池連接端子也從外部可接近���,則可能的襲擊會(huì)發(fā)生���,即控制電池的電壓。現(xiàn)在的電池供電的SRAM和RTC對(duì)其工作電壓有不同的要求�����。保持SRAM的數(shù)據(jù)所需的電壓低于RTC工作所需電壓���。這意味著電壓降到某個(gè)門限值之下將導(dǎo)致不希望的行為RTC停止運(yùn)動(dòng)�,存儲(chǔ)在SRAM單元中的時(shí)間和SRAM所存儲(chǔ)的內(nèi)容仍然保持著���。至少有的安全措施�����,例如長時(shí)間監(jiān)視器�����,可能在蓋郵戳機(jī)上是無效的�。長時(shí)間監(jiān)視器工作于以下情況遠(yuǎn)地?cái)?shù)據(jù)中心預(yù)先給定一個(gè)時(shí)間借貸量或者一個(gè)時(shí)間持續(xù)期,尤其是一個(gè)天數(shù)或一個(gè)規(guī)定日期���,直到此日期蓋郵戳裝置可以通過通信連接報(bào)到���。在時(shí)間借貸量或期限抵達(dá)之后不能蓋郵戳。EP 660270A2(US 5680463)以“產(chǎn)生和檢驗(yàn)安全打印的方法和配置”為題提出了一種方法�����,它求出直到下一次存入款項(xiàng)的假設(shè)時(shí)間持續(xù)期��,并且每個(gè)沒有按期報(bào)到的蓋郵戳機(jī)被數(shù)據(jù)中心視為受懷疑的��。受懷疑的蓋郵戳機(jī)被通知給郵局���,郵局對(duì)從受懷疑的蓋郵戳機(jī)出來的蓋過戳的信件進(jìn)行檢查�����。時(shí)間借貸量或期限的到期也由蓋郵戳裝置查明����。使用者被要求完成關(guān)于到期的通信�。然而此蓋郵戳裝置不具備獨(dú)立的安全模塊。
在有電子數(shù)據(jù)處理設(shè)備以來安全模塊已為大家所熟悉�。為了抵抗對(duì)電子設(shè)備的襲擊,EP 417447B1建議了一種封鎖裝置�����,它將供電裝置和信號(hào)收集裝置以及屏蔽裝置包在外殼中���。此屏蔽裝置由填充物質(zhì)和連接裝置組成�,在連接裝置上連接供電裝置和信號(hào)收集裝置�����。后者對(duì)連接裝置的連接電阻的變化有反應(yīng)���。此外安全模塊包含一個(gè)內(nèi)部電池��,一個(gè)由系統(tǒng)電壓轉(zhuǎn)換為電池電壓的電壓轉(zhuǎn)換器����,一個(gè)電源門和一個(gè)短路晶體管及其他傳感器。當(dāng)電壓降到規(guī)定門限值以下時(shí)�,電源門動(dòng)作。當(dāng)連接電阻���,溫度或光射線改變時(shí)邏輯電路給以響應(yīng)����。借助于電源門或借助于邏輯電路短路晶體管的輸出端切換到低電平���,這樣存儲(chǔ)在存儲(chǔ)器中的密鑰被清除掉�����。然而對(duì)于在蓋郵戳機(jī)或郵政處理機(jī)中的使用而言��,不能更換的電池的使用壽命太短���,由此導(dǎo)致安全模塊的使用壽命太短�����。
大型郵政處理機(jī)例如是JetMail����。郵戳打印在其中是借助于靜態(tài)安置的噴墨打印頭實(shí)現(xiàn)的��,而信件的傳遞是非水平的�����,接近于垂直的�。DE 19605105C1提出了打印裝置的一種合適的實(shí)施方案�。郵政處理機(jī)有一個(gè)表盤和一個(gè)基座。表盤應(yīng)裝配一個(gè)外殼���,并使得元件容易被接近����,它必須由一個(gè)郵政安全模塊來使其能抵抗襲擊��,此模塊至少完成郵費(fèi)的結(jié)算��。為了排除對(duì)程序運(yùn)行的影響,EP 789333A2以“蓋郵戳機(jī)”為題建議安全模塊裝配一個(gè)專用電路(ApplicationSpecific Integrated Circuit)ASIC����,它有一個(gè)硬件結(jié)算電路。此外專用電路控制給打印頭的打印數(shù)據(jù)傳輸���。僅當(dāng)對(duì)于每個(gè)郵件產(chǎn)生唯一的打印內(nèi)容時(shí)該數(shù)據(jù)傳輸才是不需要的����。例如在US 5680463����,US 5712916和US 5734723中建議了一種用于產(chǎn)生和檢驗(yàn)一個(gè)安全性打印的合適的方法和配置。其中一個(gè)專用的安全標(biāo)記用電子方法產(chǎn)生并被嵌入到打印圖形中���。
在未公開的德國專利申請(qǐng)19816572.2和19816571.4中也提出了安全模塊在遭到襲擊時(shí)保護(hù)其中存儲(chǔ)的數(shù)據(jù)的其他措施�。在有多個(gè)傳感器時(shí)耗電量增加�����,并且一個(gè)不是持續(xù)地由系統(tǒng)電壓供電的安全模塊從其內(nèi)部電池吸取傳感器所需之電流��,因此電池被提早耗盡��。電池的容量和耗電量限制了安全模塊的使用壽命。
與許多其他產(chǎn)品一樣���,蓋郵戳機(jī)結(jié)構(gòu)也實(shí)現(xiàn)了模塊化�����。這種模塊化使得出自各種原因的模塊和元件的更換成為可能���。例如故障模塊可被取下并且通過檢查,修理或被新的模塊替換�。因?yàn)樵诟鼡Q那些包含安全相關(guān)數(shù)據(jù)的組件時(shí)要求最高的操作水平,通常其更換需由業(yè)務(wù)技術(shù)人員進(jìn)行并采取一些措施�,這些措施在安全模塊被不符合規(guī)定的使用或非授權(quán)的更換時(shí)中斷安全模塊的功能執(zhí)行。但是采取這些措施費(fèi)用很昂貴���。
本發(fā)明的目的在于,以小的費(fèi)用實(shí)現(xiàn)在安全模塊可更換地安裝時(shí)保證能抵抗對(duì)其的未經(jīng)許可的操縱����。其更換應(yīng)可由任何人以盡可能簡(jiǎn)單的方式進(jìn)行。
上述任務(wù)通過權(quán)利要求1所述的方法和權(quán)利要求10所述的配置完成�。
本發(fā)明的出發(fā)點(diǎn)是借助于功能單元來確認(rèn)蓋郵戳機(jī),郵政處理裝置或類似設(shè)備的安全模塊的更換�,操縱和使用���,以提供給各種設(shè)備的使用者一個(gè)關(guān)于安全模塊乃至整個(gè)設(shè)備正確地執(zhí)行其功能的保證。安全模塊的更換或損害至少被檢測(cè)出來并且必要時(shí)�,在安全模塊重新被插上并用系統(tǒng)電壓供電時(shí)事后作為狀態(tài)信號(hào)發(fā)出。安全模塊的狀態(tài)變化借助于第一個(gè)功能單元和一個(gè)檢測(cè)單元來收集����,檢測(cè)單元具有一個(gè)可復(fù)原的自保電路并由電池電壓供電。第一個(gè)功能單元在其重又由系統(tǒng)電壓供電時(shí)能判定各種狀態(tài)���。優(yōu)點(diǎn)在于對(duì)安全模塊的狀態(tài)變化的快速反應(yīng)以及檢測(cè)單元有小的電池耗電量且不用系統(tǒng)電壓供電�����。
必要時(shí)第二個(gè)功能單元可監(jiān)測(cè)電池電壓���,判定電池的容量是否已耗盡。一個(gè)要求的電池更換被告知�����,當(dāng)然必須保證由系統(tǒng)電壓供電�。這至少避免了在更換時(shí)對(duì)安全模塊的不符合規(guī)定的使用,在更換時(shí)不僅沒有系統(tǒng)電壓�,而且可更換地安裝的電池也被取走�����。為使更換工作可由不熟悉的人員完成��,并且在將來完全由使用者來完成����,第二個(gè)功能單元完成對(duì)更換電池時(shí)的電壓下降的監(jiān)測(cè)�����,同時(shí)第一個(gè)功能單元在必要時(shí)首先清除掉敏感的數(shù)據(jù)并且限制或完全中斷安全模塊的繼續(xù)使用����。在由一個(gè)業(yè)務(wù)員現(xiàn)場(chǎng)檢查安全模塊之后原有的功能可被恢復(fù)且外殼原封未動(dòng)。在以后的恢復(fù)運(yùn)行過程中第一個(gè)功能單元強(qiáng)迫安全模塊與一個(gè)遠(yuǎn)地?cái)?shù)據(jù)中心接觸以釋放至少一個(gè)功能單元�����。
如果不是更換電池��,而是整個(gè)安全模塊被替換���,首先由第二個(gè)功能單元清除敏感的數(shù)據(jù)�,然而可以在恢復(fù)運(yùn)行時(shí)重新初始化這些敏感數(shù)據(jù)����。為了建立接觸,可以利用采用數(shù)字或模擬傳輸線路的方法�。同樣安全模塊的檢查由一次維護(hù)引發(fā)。安全模塊可指示各種狀態(tài)����。因此可以例如離上次與數(shù)據(jù)中心的接觸時(shí)間如此之長,已經(jīng)產(chǎn)生懷疑�����,或者離上次與數(shù)據(jù)中心的接觸時(shí)間太長����,不再允許重新初始化。第一個(gè)功能單元不斷判別第一個(gè)借貸天數(shù)是否用盡�����,當(dāng)此借貸天數(shù)已用盡時(shí)指示受懷疑狀態(tài)�����。通過與數(shù)據(jù)中心的接觸可以恢復(fù)正常的工作狀態(tài),而無需由一次維護(hù)作現(xiàn)場(chǎng)檢查�����。借貸時(shí)間可以是可變的并且對(duì)不同的安全設(shè)備不同����。借貸時(shí)間可由數(shù)據(jù)中心預(yù)先規(guī)定并且在安裝時(shí)裝載到安全裝置的一個(gè)存儲(chǔ)器中。第一個(gè)功能單元不斷判定第二個(gè)借貸天數(shù)是否用盡���。當(dāng)它被用完時(shí)指示“丟失”狀態(tài)�。在此狀態(tài)下�����,也通過一次維護(hù)對(duì)安全模塊作現(xiàn)場(chǎng)檢查�。
保護(hù)安全模塊的方法包括以下步驟·借助于第一,第二和第三功能單元監(jiān)測(cè)安全模塊的狀態(tài)���、符合規(guī)定的使用或更換��,·借助于第一個(gè)功能單元控制指示至少一個(gè)狀態(tài)����,·至少借助于第二個(gè)功能單元在不符合規(guī)定的使用或更換時(shí)清除敏感的數(shù)據(jù)�����。
由以下步驟完成此方法的其他過程·在符合規(guī)定地使用或更換安全模塊之后借助于第一個(gè)功能單元對(duì)以前被清除的敏感數(shù)據(jù)重新初始化�����,·通過釋放安全模塊的功能單元恢復(fù)運(yùn)行�����。
必要時(shí)需要更換安全模塊�。借助于第三個(gè)功能單元也可檢測(cè)機(jī)械或化學(xué)的襲擊之后的損壞狀態(tài),步驟為·在更換安全模塊或在一次襲擊后處于損壞狀態(tài)時(shí)借助于第三個(gè)功能單元鎖閉功能���。
在成功完成動(dòng)態(tài)的插入檢測(cè)之后�����,借助于第一個(gè)功能單元與遠(yuǎn)地?cái)?shù)據(jù)中心的通信連接重新初始化���,在第一個(gè)功能單元檢測(cè)時(shí)經(jīng)過接口電路回路交換信息�����,這些信息無錯(cuò)的傳遞證明了安全模塊結(jié)構(gòu)符合規(guī)定����。安全模塊的功能單元的釋放通過其復(fù)原實(shí)現(xiàn)�����。第一個(gè)功能單元是一個(gè)與其他功能單元相連接的處理器��,它被編程來確定各種狀態(tài)����。第二個(gè)功能單元是一個(gè)具有可復(fù)原自保電路的電壓監(jiān)測(cè)單元�����,第三個(gè)功能單元是一個(gè)具有可復(fù)原自保電路的檢測(cè)電路����,它能檢測(cè)非插入狀態(tài)和受到機(jī)械或化學(xué)的襲擊后的損壞狀態(tài)��。裝置用灌注物質(zhì)灌注,以警戒和保護(hù)安全模塊受到襲擊�����。
實(shí)施該方法的配置有一個(gè)安全模塊,它具有一個(gè)帶有用系統(tǒng)電壓或電池電壓給安全模塊供電的裝置的邏輯電路和多個(gè)監(jiān)測(cè)裝置�����。安全模塊的特征在于第一個(gè),第二個(gè)和第三個(gè)功能單元以及用于裝載至少一個(gè)由數(shù)據(jù)中心規(guī)定的借貸時(shí)間的裝置和一個(gè)指示裝置�����,它與第一個(gè)功能單元相連接��,并且上述裝載在安裝和補(bǔ)充到安全設(shè)備的存儲(chǔ)器中時(shí)進(jìn)行�,第一個(gè)功能單元在時(shí)間流程上判定借貸天數(shù)是否用盡并且控制指示裝置����,用以至少指示時(shí)間流程,特征還在于用以在安全模塊被不符合規(guī)定使用或更換時(shí)清除存儲(chǔ)器中的敏感數(shù)據(jù)的第二個(gè)功能單元裝置。
在其他權(quán)利要求中描述了本發(fā)明的進(jìn)一步優(yōu)化方案,下面借助于附圖詳細(xì)說明本發(fā)明的優(yōu)選實(shí)施方案�。附圖中
圖1是安全模塊的方框圖和接口,圖2是蓋郵戳機(jī)的方框電路圖�����,圖3是蓋郵戳機(jī)從后面看去的透視圖,圖4是安全模塊(第二種形式)的方框電路圖���,圖5是檢測(cè)單元電路圖�����,圖6是安全模塊(第一種形式)的側(cè)視圖,圖7是安全模塊(第一種形式)的頂視圖���,圖8a是安全模塊(第一種形式)的右視圖�����,
圖8b是安全模塊(第一種形式)的左視圖��,圖9是狀態(tài)指示列表����,圖10是系統(tǒng)中對(duì)靜態(tài)和動(dòng)態(tài)可變的狀態(tài)的檢驗(yàn)描述���,圖11是安全模塊(第二種形式)的側(cè)視圖����,圖12是安全模塊(第二種形式)的頂視圖,圖13a是安全模塊(第二種形式)的右視圖��,圖13b是安全模塊(第二種形式)的左視圖�����。
圖1示出安全模塊100的方框圖�,安全模塊具有用于連接接口8的連接件101,102和用于電池134的電池接口的電池連接端子103和104�����。雖然安全模塊被用固化的灌注物質(zhì)灌注����,安全模塊100的電池134可更換地安裝在電路板上灌注物質(zhì)之外。電路板載有用于連接電池134的電極的電池連接端子103和104�。借助于連接件101,102安全模塊100被插到主板(母板)9的相應(yīng)接口8上����。第一個(gè)連接件101建立與控制裝置的系統(tǒng)總線的通信連接,第二個(gè)連接件102用于系統(tǒng)電壓對(duì)安全模塊100的供電。經(jīng)過連接件101的引腳p3���,p5-p19的是地址和數(shù)據(jù)線117��,118以及控制線115����。第一個(gè)連接件101和/或第二個(gè)連接件102被用于對(duì)安全模塊100的插入與否進(jìn)行靜態(tài)和動(dòng)態(tài)的監(jiān)測(cè)�。主板9的系統(tǒng)電壓對(duì)安全模塊100的供電通過連接件102的引腳p23和p25實(shí)現(xiàn),并且通過引腳p1����,p2和p4由安全單元100實(shí)現(xiàn)動(dòng)態(tài)和動(dòng)態(tài)的非插入檢測(cè)。這需要一個(gè)檢測(cè)單元��,它通過導(dǎo)線回路192�����,194連接于連接件102的引腳p4��。導(dǎo)線回路可設(shè)計(jì)成安全模塊100的特殊保安部分并且如此嵌入灌注物質(zhì)中�,使得在有機(jī)械或化學(xué)的襲擊加到安全模塊100的相應(yīng)部分時(shí)與引腳p4的連接被切斷���。
安全模塊100以大家所熟悉的方式具有一個(gè)微處理器120�����,它具有一個(gè)圖中未示出的裝有專用程序的集成只讀存儲(chǔ)器(內(nèi)部ROM)����,該程序是郵局或郵局長官允許用于蓋郵戳機(jī)的。也可以在內(nèi)部數(shù)據(jù)總線136上連接一個(gè)常用的只讀存儲(chǔ)器ROM或FLASH存儲(chǔ)器�����。
安全模塊100以大家所熟悉的方式具有一個(gè)復(fù)位單元130��,一個(gè)專用電路ASIC 150和一個(gè)邏輯PAL����,它用作ASIC的控制信號(hào)發(fā)生器。復(fù)位單元130����,專用電路150和邏輯PAL以及可能還有其他圖中未示出的存儲(chǔ)器通過導(dǎo)線191及129由系統(tǒng)電壓Us+供電,在蓋郵戳機(jī)開動(dòng)時(shí)此電壓由主板9給出����。在EP 789333A2中已經(jīng)說明了郵政安全模塊PSM的主要部分,它實(shí)現(xiàn)郵費(fèi)數(shù)據(jù)的結(jié)算和安全。
此外系統(tǒng)電壓Us+經(jīng)二極管181和導(dǎo)線136加到電壓監(jiān)測(cè)單元12的輸入端��。在電壓監(jiān)測(cè)單元12的輸出端給出第二個(gè)工作電壓Ub+���,它經(jīng)過導(dǎo)線138供使用����。在更換蓋郵戳裝置時(shí)不存在系統(tǒng)電壓Us+����,而僅有電池電壓Ub+供使用。連接電池負(fù)極的電池連接端子104接地�����。從連接電池正極的電池連接端子103給出電池電壓��,經(jīng)導(dǎo)線193�,第二個(gè)二極管182和導(dǎo)線136加到電壓監(jiān)測(cè)單元的輸入端�����。市售電壓轉(zhuǎn)換器180也可用以替代二個(gè)二極管181���,182��。
電壓監(jiān)測(cè)單元12的輸出通過導(dǎo)線138連接到處理器120第二個(gè)工作電壓Ub+的輸入端�����,此電壓至少被連接于一個(gè)RAM存儲(chǔ)區(qū)122�,124,并且只要第二個(gè)工作電壓達(dá)到要求的大小�����,就保證上述存儲(chǔ)區(qū)的非易失存儲(chǔ)�����。最好處理器120含有一個(gè)內(nèi)部RAM 124和一個(gè)實(shí)時(shí)時(shí)鐘(RTC)122�。
安全模塊中的電壓監(jiān)測(cè)單元12具有一個(gè)可復(fù)原的自保電路,它可由處理器120經(jīng)導(dǎo)線164查詢并經(jīng)導(dǎo)線135復(fù)原�����。電壓監(jiān)測(cè)單元12具有用于自保電路復(fù)原的電路元件�����。當(dāng)電池電壓超過規(guī)定門限值時(shí)復(fù)原才能被觸發(fā)。導(dǎo)線135和164分別連接于處理器的一個(gè)引腳(引腳1和2)����。導(dǎo)線164給一個(gè)狀態(tài)信號(hào)到處理器120,導(dǎo)線135加一個(gè)控制信號(hào)到電壓監(jiān)測(cè)單元12����。
電壓監(jiān)測(cè)單元12輸入端上的導(dǎo)線136同時(shí)用工作電壓或電池電壓給未插入檢測(cè)單元13供電。未插入檢測(cè)單元13給出狀態(tài)信號(hào)在導(dǎo)線139上送到處理器120的引腳5上���,此信號(hào)給出關(guān)于電路狀態(tài)的指示�����。經(jīng)過導(dǎo)線139未插入檢測(cè)單元13的狀態(tài)被處理器120查詢����。處理器可用一個(gè)從處理器120的引腳4經(jīng)導(dǎo)線137給出的信號(hào)復(fù)原未插入檢測(cè)單元13�����。在此復(fù)原之后對(duì)連接作靜態(tài)檢查�����。為此經(jīng)過導(dǎo)線192查詢地電位�,此地電位加在郵政安全模塊PSM 100的接口8的連接端p4上并且僅當(dāng)安全模塊100被正常插入時(shí)才能被查詢到。在插入安全模塊100時(shí)郵政安全模塊PSM 100的電池134的負(fù)極104的地電位加到接口8的連接端p23上�,因此它可以被未插入檢測(cè)單元13在接口8的連接端p4上通過導(dǎo)線192查詢到。
在處理器120的引腳6和7上接一個(gè)導(dǎo)線回路�����,它經(jīng)過接口8的連接件102的引腳p1和p2對(duì)于處理器120形成回路����。為了動(dòng)態(tài)檢查郵政安全模塊PSM 100是否插入主板9上,處理器120以完全無規(guī)則的時(shí)間間隔給出變化的信號(hào)電平到引腳6�,7上并經(jīng)過導(dǎo)線回路返回。
郵政安全模塊PSM 100裝配有一個(gè)長壽命電池��,在安全模塊沒有加上郵政處理裝置的系統(tǒng)電壓時(shí)它也可以監(jiān)視使用情況�����。符合規(guī)定的使用����,運(yùn)行,安裝或裝入合適的環(huán)境是安全模塊的功能單元所檢查的特性�����。原始安裝由郵政安全模塊的生產(chǎn)者進(jìn)行。在原始安裝之后首先僅檢查郵政安全模塊是否從其使用場(chǎng)所(郵政處理裝置)分離���,這種分離通常出現(xiàn)在更換它的時(shí)候��。
此狀態(tài)的監(jiān)測(cè)由未插入檢測(cè)單元13進(jìn)行�����。這時(shí)通過接到接口8的引腳p4上的地來監(jiān)測(cè)一個(gè)電壓大小�����。在更換功能單元時(shí)此與地的連接被斷開���,未插入檢測(cè)單元13將其作為信息予以響應(yīng)。因?yàn)樵趯?duì)安全模塊100進(jìn)行機(jī)械或化學(xué)的襲擊以及每次安全模塊100與接口8分離時(shí)�,專用電池供電的電路結(jié)構(gòu)保證了上述信息的存儲(chǔ),此信息的分析利用可隨時(shí)進(jìn)行���,如果希望重新工作的話�����。按規(guī)律地判定檢測(cè)單元13的導(dǎo)線139上的這個(gè)分離信號(hào)或未插入信號(hào)使處理器120可以清除敏感數(shù)據(jù)���,而并不改變?cè)贜VRAM存儲(chǔ)器中的結(jié)算和顧客數(shù)據(jù)。郵政安全模塊的這種清除了敏感數(shù)據(jù)的暫時(shí)狀態(tài)可理解為維護(hù)狀態(tài)���,通常在此狀態(tài)下進(jìn)行更換�,修理或其他工作。因?yàn)楣δ軉卧拿舾袛?shù)據(jù)被清除,由于對(duì)郵政安全模塊的不符合規(guī)定的操作而產(chǎn)生的錯(cuò)誤被避免了��。此敏感數(shù)據(jù)例如是密鑰���。在維護(hù)狀態(tài)下處理器120停止了郵政安全模塊的核心功能,這些功能是例如結(jié)算和/或求取用于安全打印中安全標(biāo)記的安全碼���。
為了恢復(fù)工作����,郵政安全模塊PSM首先被插入并與郵政處理裝置的相應(yīng)接口8建立電氣連接����。接著開動(dòng)設(shè)備,從而郵政安全模塊重又由系統(tǒng)電壓Us+供電���?���;诖颂厥鉅顟B(tài),郵政安全模塊的裝入是否符合規(guī)定必須由其功能單元重新檢查�����。為此進(jìn)行第二級(jí)檢查(動(dòng)態(tài)插入檢測(cè))���。通過在第一個(gè)功能單元(處理器120)和接口8的電流回路18之間建立的工作連接交換信息����,它的無錯(cuò)傳輸證實(shí)了安裝符合規(guī)定�。這是成功地重新工作的先決條件。
為了進(jìn)入工作狀態(tài)現(xiàn)在只需重新初始化敏感數(shù)據(jù)�����。在郵政安全模塊與第三個(gè)部門之間進(jìn)行通信����,以傳遞這些敏感數(shù)據(jù)。在傳遞完成之后未插入檢測(cè)單元13被復(fù)原并且郵政安全模塊重新進(jìn)入工作狀態(tài),重新工作過程結(jié)束�����。
圖2示出蓋郵戳機(jī)的方框電路圖����,它具有一個(gè)用于通過芯片卡裝載變化數(shù)據(jù)的芯片卡讀寫單元70和一個(gè)由控制裝置1控制的打印裝置2�����?��?刂蒲b置1具有一個(gè)裝配有微處理器91和相應(yīng)存儲(chǔ)器92�����,93�,94����,95的主板9。
程序存儲(chǔ)器92含有至少用于打印的工作程序��,并至少含有與安全有關(guān)的程序,它用于部分有用數(shù)據(jù)的預(yù)先規(guī)定的格式轉(zhuǎn)換�。
工作存儲(chǔ)器RAM 93用于中間結(jié)果的易失的中間存儲(chǔ)。非易失存儲(chǔ)器NVM 94用于數(shù)據(jù)的非易失中間存儲(chǔ)��,數(shù)據(jù)例如是按付費(fèi)處排序的統(tǒng)計(jì)數(shù)據(jù)���。日歷/時(shí)鐘95必要時(shí)含有可尋址的非易失存儲(chǔ)區(qū)�,用于中間結(jié)果或者公開的程序部分(例如DES算法)的非易失中間存儲(chǔ)�����?�?刂蒲b置1與芯片卡讀寫單元70連接�����,控制裝置1的微處理器91被編程來裝載從芯片卡49的存儲(chǔ)區(qū)來的有效數(shù)據(jù)N到蓋郵戳機(jī)的與其應(yīng)用相應(yīng)的存儲(chǔ)區(qū)���。插入芯片卡讀寫單元70的插槽72的第一張芯片卡49允許下載至少用于一種應(yīng)用的數(shù)據(jù)組到蓋郵戳機(jī)中�����。芯片卡49具有例如所有通常郵局業(yè)務(wù)按郵局價(jià)目表的郵費(fèi)和一個(gè)郵局標(biāo)記��,以供蓋郵戳機(jī)產(chǎn)生印記圖形并給郵件蓋上郵局價(jià)目���。
控制裝置1構(gòu)成原來的表盤��,它具有主板9的裝置91至95并且還包含鍵盤88����,顯示單元89及專用電路ASIC 90和用于郵政安全模塊PSM 100的接口8�。安全模塊PSM 100通過總線與ASIC 100和微處理器91連接,通過并行μc總線至少與主板9的裝置91至95和顯示單元89連接����?�?刂瓶偩€在安全模塊PSM 100和ASIC 90之間連接信號(hào)CE����,RD和WR。微處理器91最好有一個(gè)引腳用于由安全模塊PSM 100給出中斷信號(hào)i�,其他連接端用于鍵盤88,一個(gè)串行接口S1-1用于連接芯片卡讀寫單元70�,以及一個(gè)串行接口S1-2用于附加連接一個(gè)調(diào)制解調(diào)器。借助于調(diào)制解調(diào)器可以例如增加在郵政安全模塊PSM 100的非易失存儲(chǔ)器中存儲(chǔ)的內(nèi)容��。
郵政安全模塊PSM 100被包封在一個(gè)保安外殼中。每次蓋郵戳之前在郵政安全模塊PSM 100中完成硬件的結(jié)算�。結(jié)算的完成與付費(fèi)處無關(guān)。郵政安全模塊PSM 100內(nèi)部可像歐洲報(bào)告EP 789333A3中詳細(xì)說明的那樣被實(shí)現(xiàn)�。
ASIC 90有一個(gè)對(duì)郵政業(yè)務(wù)流前接設(shè)備的串行接口電路98,一個(gè)對(duì)打印裝置2的傳感器和執(zhí)行器件的串行接口電路96�����,一個(gè)對(duì)打印頭4的打印控制電路16的串行接口電路���,以及一個(gè)對(duì)郵政業(yè)務(wù)流后續(xù)設(shè)備中的打印裝置20的串行接口電路���。DE 19711997是可選用的外設(shè)接口實(shí)施方案,它適用于多外設(shè)(站)�����,其題目是實(shí)現(xiàn)郵政處理機(jī)的基站和其他站之間通信及其緊急切斷的配置���。
與機(jī)器底座中的接口電路14連接的接口電路96提供至少與傳感器6���,7,17���,與執(zhí)行器件���,例如與輥?zhàn)?1的驅(qū)動(dòng)電機(jī)15����,與噴墨打印頭4的凈化和稠度調(diào)節(jié)站RDS 40����,以及與機(jī)器底座中的標(biāo)簽發(fā)生器50的連接。主要配置和噴墨打印頭4與RDS 40之間的配合關(guān)系可采用DE 19726642C2提出的方案��,其題目是實(shí)現(xiàn)噴墨打印頭及凈化和稠度調(diào)節(jié)裝置的定位的配置��。
安裝在前板上的傳感器7�����,17中的一個(gè)是用于信件傳遞中起動(dòng)打印準(zhǔn)備的傳感器17�����。傳感器7用于信件傳遞中以起動(dòng)打印為目的的信件起始識(shí)別�����。傳送裝置由一個(gè)傳送帶10和兩個(gè)輥?zhàn)?1��,11′組成�����。其中一個(gè)輥?zhàn)邮茄b配有電機(jī)15的驅(qū)動(dòng)輥?zhàn)?1�����,另一個(gè)是從動(dòng)張力輥?zhàn)?1′��。最好驅(qū)動(dòng)輥?zhàn)?1設(shè)計(jì)成齒輪輥?zhàn)?��,相?yīng)地傳送帶10也設(shè)計(jì)成齒輪傳送帶��,它保證明確的力傳遞��。編碼器5�����,6與輥?zhàn)?1�����,11′中的一個(gè)相耦合�。最好驅(qū)動(dòng)輥?zhàn)?1與一個(gè)增量發(fā)生器5一起固定安裝在一根軸上。增量發(fā)生器5例如被設(shè)計(jì)成開槽圓盤���,它與一個(gè)光柵6一起工作����,并經(jīng)導(dǎo)線19給出編碼信號(hào)到主板9�����。
打印頭的各個(gè)打印元件在其外殼中與打印頭電路相連接�,并且精密電打印的打印頭是可控的。打印控制基于路徑控制實(shí)現(xiàn)��,其中所選的印記配方被考慮到�,此配方是通過鍵盤88或者在需要時(shí)通過芯片卡輸入并非易失地存儲(chǔ)在存儲(chǔ)器NVM 94中的。計(jì)劃的打印由印記配方(不打印)����,郵戳打印圖形和必要時(shí)其他用于廣告內(nèi)容的打印圖形�,運(yùn)送信息(選擇打印)和附加可編輯的通知產(chǎn)生。非易失存儲(chǔ)器NVM 94具有多個(gè)存儲(chǔ)區(qū)�。在那里非易失地存儲(chǔ)下載的郵資表����。
芯片卡讀寫單元70由相應(yīng)的微處理器卡的機(jī)械載體和連接單元74組成�。后者使得芯片卡機(jī)械上可靠地保持在讀出位置上并且明確地指示芯片卡在連接單元中抵達(dá)讀出位置。具有微處理器75的微處理器卡具有對(duì)所有類型的存儲(chǔ)器卡及芯片卡的編程讀出能力���。與蓋郵戳機(jī)的接口是符合RS 232標(biāo)準(zhǔn)的串行接口�����。數(shù)據(jù)傳輸率最低為1.2K波特����。供電的接通借助于安裝在主板上的開關(guān)71實(shí)現(xiàn)���。在接通電源后進(jìn)行自測(cè)并發(fā)出準(zhǔn)備好通知����。
圖3示出蓋郵戳機(jī)從后面看去的透視圖�����,蓋郵戳機(jī)由表盤1和基座2構(gòu)成��。后者裝配有芯片卡讀寫單元70,它安裝在前板20的后面并且可從外殼上沿22接近它�。在用開關(guān)71開動(dòng)蓋郵戳機(jī)之后芯片卡49從上向下插到插入槽72中。被送入的信件3立在邊緣上��,以其被打印的正向躺在前板上��,然后它根據(jù)輸入數(shù)據(jù)被打印上一個(gè)郵戳31�。信件輸入開孔被透明板21和導(dǎo)向板20從側(cè)面限制。插在表盤1主板9上的安全模塊100的狀態(tài)指示可通過開孔109從外面看到���。
圖4示出郵政安全模塊PSM 100的一種優(yōu)選形式的方框電路圖��。電池134的負(fù)極連接到地和連接件102的引腳p23上�����。電池134的正極通過導(dǎo)線193連接到電壓轉(zhuǎn)換器180的輸入端�����,并且饋送系統(tǒng)電壓的導(dǎo)線191與電壓轉(zhuǎn)換器180的另一輸入端連接����。在PSM 100最大用電量時(shí)壽命可達(dá)3.5年的SL-380/p型電池或壽命可達(dá)6年的SL-386/p型電池適于用作電池134��。市售ADM 8693ARN型電路可用作電壓轉(zhuǎn)換器180���。電壓轉(zhuǎn)換器180的輸出端經(jīng)導(dǎo)線136接到電池監(jiān)測(cè)單元12和檢測(cè)單元13����。電池監(jiān)測(cè)單元12和檢測(cè)單元13經(jīng)過導(dǎo)線135�,164和137,139與處理器120的引腳1����,2,4和5建立通信連接���。電壓轉(zhuǎn)換器180的輸出還經(jīng)過導(dǎo)線136連接到第一個(gè)存儲(chǔ)器SRAM的供電輸入端���,該存儲(chǔ)器在存在電池134時(shí)轉(zhuǎn)化為第一種工藝的非易失存儲(chǔ)器NVRAM。
安全模塊經(jīng)過系統(tǒng)總線115�����,117���,118與蓋郵戳機(jī)建立連接�����。處理器120可經(jīng)過系統(tǒng)總線和一個(gè)調(diào)制解調(diào)器83與遠(yuǎn)地?cái)?shù)據(jù)中心建立通信連接�。結(jié)算由ASIC 150完成并由處理器120檢查。郵政結(jié)算數(shù)據(jù)被存儲(chǔ)在不同工藝的非易失存儲(chǔ)器中���。
系統(tǒng)電壓加到第二個(gè)存儲(chǔ)器NV-RAM 114的供電輸入端���。它是第二種工藝的非易失存儲(chǔ)器NVRAM,(SHADOW-RAM)���。此第二種工藝最好包含一個(gè)RAM和一個(gè)EEPROM�����,其中后者在系統(tǒng)電壓中斷時(shí)自動(dòng)保存數(shù)據(jù)內(nèi)容�。第二種工藝的NVRAM 114經(jīng)過內(nèi)部地址總線和數(shù)據(jù)總線112�����,113與ASIC 150的相應(yīng)地址輸入端和數(shù)據(jù)輸入端相連接�。
ASIC 150至少包含一個(gè)用于計(jì)算要存儲(chǔ)的郵政數(shù)據(jù)的硬件結(jié)算單元��。在可編程陣列邏輯(PAL)160中安排了ASIC 150上的存取邏輯����。ASIC 150受邏輯PAL 160控制���。主板9的地址總線和數(shù)據(jù)總線117,115連接到邏輯PAL 160的對(duì)應(yīng)引腳上���,并且PAL 160至少產(chǎn)生一個(gè)用于ASIC 150的控制信號(hào)和一個(gè)對(duì)程序存儲(chǔ)器FLASH 128的控制信號(hào)119���。處理器120運(yùn)行一個(gè)程序,它存儲(chǔ)在FLASH 128中����。處理器120,F(xiàn)LASH 28����,ASIC 150和PAL 160通過模塊內(nèi)部的系統(tǒng)總線相互連接,總線包括用于數(shù)據(jù)信號(hào)���,地址信號(hào)和控制信號(hào)的導(dǎo)線110���,111��,126��,119����。
安全模塊100的處理器120通過內(nèi)部數(shù)據(jù)總線126與FLASH 128和ASIC 150連接���。FLASH 128由系統(tǒng)電壓Us+供電�。例如它是一個(gè)128K字節(jié)的AM29F01045EC型FLASH存儲(chǔ)器�。郵政安全模塊100的ASIC 150通過模塊內(nèi)部的地址總線110將地址0至7接到FLASH 128的對(duì)應(yīng)地址輸入端上。安全模塊100的處理器120通過內(nèi)部地址總線111將地址8至15接到FLASH 128的對(duì)應(yīng)地址輸入端上����。安全模塊100的ASIC 150通過接口8的連接件101與主板9的數(shù)據(jù)總線118,地址總線117和控制總線115建立連接���。
處理器120具有存儲(chǔ)器122���,124,從電壓監(jiān)測(cè)單元12來的工作電壓Ub+通過導(dǎo)線138給它們供電��。尤其是一個(gè)實(shí)時(shí)時(shí)鐘RTC 122和存儲(chǔ)器RAM 128通過導(dǎo)線138由工作電壓供電。電壓監(jiān)測(cè)單元(電池觀測(cè)器)12還給出一個(gè)狀態(tài)信號(hào)164并響應(yīng)控制信號(hào)135����。電壓轉(zhuǎn)換器180給出輸出電壓到導(dǎo)線136上對(duì)電池觀測(cè)器12和存儲(chǔ)器116供電,其輸出電壓是其二個(gè)輸入電壓中大的那一個(gè)����。由于此電路根據(jù)電壓Us+和Ub+的大小自動(dòng)用兩個(gè)中較大的一個(gè)供電����,因此在正常工作時(shí)電池134可被更換而不會(huì)發(fā)生數(shù)據(jù)丟失。
在上述方式下�����,在正常工作之外的停止運(yùn)行時(shí)間內(nèi)由安全模塊100的電池134給實(shí)時(shí)時(shí)鐘(RTC)122和/或靜態(tài)RAM(SRAM)124供電���,該時(shí)鐘具有日期和/或時(shí)期時(shí)間寄存器���,SRAM保存安全相關(guān)的數(shù)據(jù)。如果在電池工作時(shí)電池電壓降到規(guī)定門限值以下����,則由電壓監(jiān)測(cè)單元12將RTC和SRAM的饋電點(diǎn)接地�,直到其復(fù)原��,于是RTC和SRAM的供電電壓為0伏���。這導(dǎo)致包含例如重要的密鑰的SRAM 124很快被清零��。同時(shí)RTC 122的寄存器也被清除并且丟失實(shí)時(shí)時(shí)鐘時(shí)間和實(shí)時(shí)日期��。通過上述動(dòng)作避免了在可能受到通過操縱電池電壓進(jìn)行的襲擊時(shí)蓋郵戳機(jī)時(shí)鐘122的停止和安全相關(guān)不丟失����。從而不再需要像例如長時(shí)間定時(shí)器或監(jiān)視器這樣的安全措施來對(duì)付襲擊����。所用的安全措施借助于圖9和圖10詳細(xì)說明。
復(fù)位單元130通過導(dǎo)線131與處理器120的引腳3和ASIC 150的一個(gè)連接���。處理器120和ASIC 150在供電電壓下降時(shí)被復(fù)位單位130中產(chǎn)生的復(fù)位信號(hào)復(fù)位�����。
同時(shí)上述電路與電池低電壓指示一起進(jìn)入自保狀態(tài)�����,即使后來電壓升高了也仍保持在此狀態(tài)�����。在下一次開通模塊時(shí)處理器可查詢電路的狀態(tài)(狀態(tài)信號(hào))和/或通過讀取被清除的存儲(chǔ)器的內(nèi)容來判定在前面時(shí)間中電池電壓曾經(jīng)降到規(guī)定值以下����。處理器可復(fù)原監(jiān)測(cè)電路,即恢復(fù)其功能�����。
未插入檢測(cè)單元13為了測(cè)量輸入電壓���,有一根導(dǎo)線192經(jīng)過安全模塊的插腳和接口8,最好經(jīng)蓋郵戳機(jī)母板9上的一個(gè)插座與地連接�。此測(cè)量用作是否插入的靜態(tài)監(jiān)測(cè)并構(gòu)成第一級(jí)監(jiān)測(cè)的基礎(chǔ)。未插入檢測(cè)單元13具有用于可復(fù)原自保電路的電路元件�,并且當(dāng)測(cè)量電壓線192上的電壓偏離規(guī)定電位時(shí)自保電路起動(dòng)。同時(shí)被編程并與其他功能連接的處理器120根據(jù)應(yīng)用邏輯保持或改變安全模塊100的相應(yīng)狀態(tài)�。自保電路的狀態(tài)經(jīng)過導(dǎo)線139被安全模塊100的處理器120查詢。當(dāng)安全模塊100正常插入時(shí)導(dǎo)線192上的測(cè)量電壓電位對(duì)應(yīng)地電位��,導(dǎo)線139上為工作電壓電位�����。當(dāng)安全模塊100沒插入時(shí)地電壓電位在導(dǎo)線139上。處理器120的第5引腳接導(dǎo)線139��,以查詢未插入檢測(cè)單元13的狀態(tài)是否該引腳由自保電路接到地電位上�。為了經(jīng)過導(dǎo)線137復(fù)原未插入檢測(cè)單元13的自保電路,處理器120采用其第4引腳�。
此外還存在一個(gè)電流回路18,它通過安全模塊的插腳和蓋郵戳機(jī)主板9上的插座將處理器120的引腳6和7相互連接起來��。處理器120的引腳6和7上的導(dǎo)線僅當(dāng)PSM 100插入主板9上時(shí)才連接成電流回路18��。這個(gè)回路構(gòu)成第二級(jí)上動(dòng)態(tài)監(jiān)測(cè)安全模塊是否插入的基礎(chǔ)���。
處理器120內(nèi)部有一個(gè)處理單元CPU 121����,一個(gè)實(shí)時(shí)時(shí)鐘RTC122����,一個(gè)RAM單元124和一個(gè)輸入/輸出單元125。處理器120的引腳8��,9輸出至少一個(gè)信號(hào)用以指示安全模塊100的狀態(tài)。引腳8和9連接輸入/輸出單元125的I/O口��,其上接有模塊內(nèi)部的指示裝置��,例如彩色發(fā)光二極管LED 107���,108��,它們指示安全模塊100的狀態(tài)��。安全模塊在其壽命期內(nèi)可處于不同的狀態(tài)下��。因而例如必須檢測(cè)模塊是否含有有效密鑰�。此外判定模塊功能正常還是有故障也是重要的�。模塊狀態(tài)的精確類型和數(shù)量與模塊實(shí)現(xiàn)的功能和實(shí)現(xiàn)有關(guān)。
下面借助圖5說明檢測(cè)單元13的電路����。未插入檢測(cè)單元13具有一個(gè)分壓器���,它由電阻1310����,1312�,1314的串聯(lián)電路構(gòu)成��,此分壓器接在連接電容器1371的供電電壓電位與導(dǎo)線192上的測(cè)量電位之間����。電路通過導(dǎo)線136由系統(tǒng)電壓或電池電壓供電���。導(dǎo)線136的供電電壓通過二次管1369到達(dá)電路的電容器1371上�。電路的輸出側(cè)有一個(gè)反相器1320����,1398。在正常狀態(tài)下反相器的晶體管1320截止�,供電電壓經(jīng)過電阻1398加到導(dǎo)線139上,所以在正常狀態(tài)下輸出邏輯‘1’即高電平����。最好導(dǎo)線139上的低電平作為未插入狀態(tài)信號(hào),因?yàn)檫@樣在處理器120引腳5中沒有電流流進(jìn)�,這將增加電池壽命。二極管1369最好與電解電容器1371一起供電����,使得導(dǎo)線136上的電壓被切斷后,反相器前面的電路在一個(gè)相對(duì)長的時(shí)間期(大于2s)內(nèi)仍得到供電電壓,保證其功能�����。
分壓器1310��,1312����,1314有一個(gè)引出頭1304,其上連接電容器1306和比較器1300的同相輸入端�。比較器1300的反相輸入端連接參考電壓源1302。比較器1300的輸出一方面經(jīng)反相器1320��,1398連接導(dǎo)線139�,另一方面與自保電路元件1322的控制輸入端連接。電路元件1322與分壓器的電阻1310并聯(lián)�����,電路元件1316用來復(fù)原自保電路��,它接在引出頭1304和地之間�。分壓器的引出頭1304位于電阻1312和1314的連接點(diǎn)�。接在引出頭1304和地之間的電容器1306阻止振蕩。分壓器的引出頭1304上的電壓在比較器1300中與源1302的參考電壓比較。如果引出頭1304上被比較的電壓小于源1302的參考電壓�����,比較器輸出保持低電平����,反相器的晶體管1320截止。這樣導(dǎo)線139具有工作電壓電位�����,狀態(tài)信號(hào)為邏輯“1”�。分壓器被設(shè)計(jì)成使得在導(dǎo)線192為地電位時(shí)引出頭1304上的電壓可靠地低于比較器1300的切換門限。如果因?yàn)榘踩K100從主板9的插座或蓋郵戳機(jī)接口8脫離而使得連接被切斷且導(dǎo)線192不再接地�,則引出頭1304上的電壓超過參考電壓源1302的電壓,比較器1300反轉(zhuǎn)���。比較器輸出切換為高電平����,晶體管1320導(dǎo)通���。這樣導(dǎo)線139接地電位��,狀態(tài)信號(hào)為邏輯‘0’����。
借助于與分壓器的電阻1310并聯(lián)的晶體管1322實(shí)現(xiàn)未插入檢測(cè)單元13的自保電路。晶體管1322的控制輸入端被比較器輸出端接到高電平上��。因而晶體管1322導(dǎo)通并且跨接在電阻1310上�,從而電壓分壓器僅還由電阻1312和1314構(gòu)成。這樣切換門限被進(jìn)一步提高��,使得當(dāng)因重新插入安全模塊而使導(dǎo)線192重又接到地電位時(shí)比較器仍保持在反轉(zhuǎn)狀態(tài)��。
電路的狀態(tài)可通過導(dǎo)線139上的信號(hào)由處理器120查詢�����。
未插入檢測(cè)單元13具有用來復(fù)原自保電路的電路元件導(dǎo)線137和電路元件1316�。復(fù)原由處理器120通過導(dǎo)線137上的信號(hào)觸發(fā)。
處理器120可隨時(shí)通過專用電路ASIC 150����,第一個(gè)連接件101,控制裝置1的系統(tǒng)總線���,以及例如通過微處理器91經(jīng)調(diào)制解調(diào)器與遠(yuǎn)地?cái)?shù)據(jù)中心建立接觸����,此中心檢查結(jié)算數(shù)據(jù)并必要時(shí)傳送其他數(shù)據(jù)到處理器120��。安全模塊100的專用電路ASIC 150經(jīng)過模塊內(nèi)部的數(shù)據(jù)總線126與處理器120連接�����。
在借助于傳送的數(shù)據(jù)成功地結(jié)束了重新初始化之后�,處理器120可復(fù)原未插入檢測(cè)單元為此通過加到導(dǎo)線137上的復(fù)原信號(hào)使晶體管1316導(dǎo)通,從而引出頭1304上的電壓被拉到源1302的參考電壓以下并且晶體管1320和1322截止��。在正常狀態(tài)下晶體管1322截止��,電阻1310和1312串聯(lián)構(gòu)成上述分壓器的上面部分�����,從而切換門限重又降到原來狀態(tài)�。
圖6示出安全模塊機(jī)械結(jié)構(gòu)的側(cè)視圖。此安全模塊構(gòu)造成多芯片模塊��,即多個(gè)功能單元裝在一塊電路板106上��。安全模塊100用固化的灌注物質(zhì)105灌注�,其中安全模塊100的電池134可更換地安裝在電路板106上灌注物質(zhì)105之外�����。例如�,如此用灌注物質(zhì)105灌注�,使得指示裝置107,108在第一個(gè)位置處從灌注物質(zhì)中伸出�,并且電路板106帶著被安放的電池134從側(cè)面第二個(gè)位置處伸出。此外電路板106還具有用來連接電池134的電極的電池連接端子103和104��,它最好在電路板106上方元件安裝面上�����。為了插郵政安全模塊PSM 100在表盤1的主板上�,連接件101和102被安裝在安全模塊100的電路板106的下面(線路面)。專用電路ASIC 150通過第一個(gè)連接件101以圖中未示出的方式與控制裝置1的系統(tǒng)總線建立通信連接����,第二個(gè)連接件102用于系統(tǒng)電壓對(duì)安全模塊100的供電。若安全模塊已插在主板上�����,然后最好這樣將它裝在表盤外殼中�,使得指示裝置107�����,108接近或者伸進(jìn)開孔109中��。表盤外殼最好如此構(gòu)造,使得使用者能從外面看到安全模塊的狀態(tài)指示�。指示裝置的兩個(gè)發(fā)光二極管107和108由處理器120引腳8,9上I/O口的兩個(gè)輸出信號(hào)控制����。兩個(gè)發(fā)光二極管被安置在一個(gè)共同的元件殼中(雙彩色發(fā)光二極管),這樣開孔的偏差及直徑可保持相對(duì)小些并在指示裝置的數(shù)量級(jí)之內(nèi)����。原則上可呈現(xiàn)三種不同的顏色(紅、綠�、橙)。為區(qū)別狀態(tài)也可使LED閃爍���,這樣可以區(qū)分8種不同的狀態(tài)組�����,它們用以下的LED狀態(tài)來表示LED綠色亮��,LED紅色亮��,LED橙色亮���,LED紅色閃����,LED綠色閃��,LED橙色閃���,LED紅色亮和橙色閃�,以及LED綠色亮和橙色閃�。
圖7示出郵政安全模塊的頂視圖。
圖8a和8b示出分別從右或從左看去的安全模塊的視圖��。從圖8a和8b��,結(jié)合圖6可清楚看出電路板106下面連接件101和102的位置�����。
按照?qǐng)D9所示的狀態(tài)指示表,得到多個(gè)可能的狀態(tài)指示���。綠色LED 107亮指示正常狀態(tài)220�����,而LED 108亮指示至少靜態(tài)自測(cè)結(jié)果錯(cuò)誤的錯(cuò)誤狀態(tài)230�。由于直接經(jīng)LED 107����,108指示����,這種自測(cè)的結(jié)果不能被篡改。
例如對(duì)于以下情況在前面時(shí)間內(nèi)安全模塊中存儲(chǔ)的密鑰已經(jīng)丟失�����,在動(dòng)態(tài)工作中進(jìn)行的檢查確認(rèn)錯(cuò)誤�����,則橙色LED亮指示這種狀態(tài)240����。在一次關(guān)斷/開動(dòng)之后要求一個(gè)起動(dòng)過程����,因?yàn)榉駝t就不能完成其他工作���。在生產(chǎn)時(shí)忘了安裝密鑰的情況作為狀態(tài)260例如用綠色LED 107閃來指示����。
第一個(gè)功能單元是處理器120����,它不斷地判斷第二個(gè)借貸天數(shù)是否已用盡。在其用盡時(shí)�����,一個(gè)長時(shí)間定時(shí)器運(yùn)行期滿�。如果有太長的時(shí)間數(shù)據(jù)中心沒有被接觸,例如為了裝載余額的接觸�,則長時(shí)間定時(shí)器運(yùn)行期滿。例如數(shù)據(jù)中心可規(guī)定90天作為借貸天數(shù)����,并在安裝或裝載時(shí)裝入安全設(shè)備的存儲(chǔ)器124中。在運(yùn)行了90天后一個(gè)“丟失”狀態(tài)250用紅色LED閃來指示。長時(shí)間定時(shí)器最好是一個(gè)回退計(jì)數(shù)器�����,它在處理器120中實(shí)現(xiàn)��。因?yàn)楫?dāng)時(shí)間期滿時(shí)計(jì)數(shù)器達(dá)到狀態(tài)零���,在“狀態(tài)抵達(dá)后”����,安全模塊與表盤分開時(shí)保持狀態(tài)250����。如果離前次與數(shù)據(jù)中心的接觸已如此之久���,以致已產(chǎn)生懷疑���,則指示懷疑狀態(tài)270。最好一個(gè)也是實(shí)現(xiàn)在處理器120中的回退計(jì)數(shù)器不斷地判斷例如30天的第一個(gè)借貸天數(shù)是否已用盡�����。
對(duì)狀態(tài)280和290的狀態(tài)指示可選用于其他各種檢查。為此可用其他功能單元于模塊中��,特別是一個(gè)溫度敏感元件��。例如若超過某一能引起安全模塊損壞的溫度���,此狀態(tài)280可用LED 107����,108指示��,它們紅色亮����,橙色閃,并且引起交替地紅色/橙色閃的總體效果����。第二個(gè)功能單元可在必要時(shí)監(jiān)測(cè)電池電壓,其容量是否已用盡����。最好要求更換電池的狀態(tài)290用LED 107,108指示綠色亮����,橙色閃���,并且引起交替地綠色/橙色閃的總體效果。
圖10示出系統(tǒng)中對(duì)靜態(tài)和動(dòng)態(tài)可變的狀態(tài)的檢查��。處在狀態(tài)200下的關(guān)機(jī)系統(tǒng)在開機(jī)后經(jīng)轉(zhuǎn)換線“起動(dòng)”201轉(zhuǎn)到狀態(tài)210���,此狀態(tài)下在加上工作電壓后立即由安全模塊進(jìn)行一次靜態(tài)自測(cè)��。轉(zhuǎn)換線202發(fā)生在自測(cè)給出正常結(jié)果(OK)時(shí)�,它轉(zhuǎn)換到狀態(tài)220�,用LED 107綠色亮指示。在此狀態(tài)下根據(jù)需要可進(jìn)行重復(fù)靜態(tài)自測(cè)�,動(dòng)態(tài)壽命測(cè)試,至少一個(gè)周期性的借貸時(shí)間測(cè)試和其他測(cè)試���。在測(cè)試結(jié)果正常時(shí)這些測(cè)試按圖中轉(zhuǎn)換線203引回到狀態(tài)220 LED綠色亮。在動(dòng)態(tài)自測(cè)確認(rèn)故障時(shí)轉(zhuǎn)換線206引導(dǎo)到狀態(tài)240����,LED橙色亮。此故障可通過復(fù)原嘗試即通過設(shè)備的關(guān)機(jī)(轉(zhuǎn)換線211)和再開機(jī)(轉(zhuǎn)換線201)來排除�。然而靜態(tài)故障是不能排除的���。在狀態(tài)210下已開機(jī)的設(shè)備進(jìn)行一次靜態(tài)自測(cè),當(dāng)有故障時(shí)由轉(zhuǎn)換線204轉(zhuǎn)到狀態(tài)230����,LED108紅色亮。在任何時(shí)間如果設(shè)備處于狀態(tài)220(LED綠色)����,一次根據(jù)命令而進(jìn)行的靜態(tài)自測(cè)在有故障時(shí)經(jīng)轉(zhuǎn)換線205轉(zhuǎn)到狀態(tài)230(LED紅色)。從狀態(tài)220(LED綠色)出發(fā)的其他轉(zhuǎn)換線207��,208��,209引導(dǎo)到狀態(tài)270����,250,260��。狀態(tài)270用LED 107����,108橙色閃指示,它表示應(yīng)該建立與數(shù)據(jù)中心的連接����,因?yàn)榘踩O(shè)備已被懷疑����。裝載產(chǎn)生的轉(zhuǎn)換線212重又抵達(dá)狀態(tài)210����。
在狀態(tài)250下用LED 108紅色閃指示“丟失”狀態(tài)。在處理器120的自測(cè)說明有必要裝載密鑰時(shí)�����,轉(zhuǎn)移線209抵達(dá)LED 107綠色閃的狀態(tài)260�����。
從狀態(tài)220(LED 107綠色)出發(fā)能可選地不是轉(zhuǎn)移到LED紅色亮/橙色閃的狀態(tài)280�,就是轉(zhuǎn)移到LED綠色亮/橙色閃的狀態(tài)290。在第一個(gè)可選的轉(zhuǎn)移中溫度測(cè)量產(chǎn)生更換整個(gè)安全模塊的需要�����。在后一個(gè)轉(zhuǎn)換時(shí)電池的容量測(cè)量給出更換電池的要求���。
圖11示出按照第二種形式的安全模塊機(jī)械結(jié)構(gòu)側(cè)視圖���。安全模塊也構(gòu)造成多芯片模塊,并且用固化的灌注物質(zhì)105灌注�����,其中安全模塊100的電池134可更換地安裝在電路板106上灌注物質(zhì)105之外���。由于費(fèi)用的原因���,用灌注物質(zhì)105在第一個(gè)位置處如此灌注,使得指示裝置107����,108和插入的電池134在灌注物質(zhì)之外電路板106的上面第二個(gè)位置處。電路板106也具有用來連接電池134的電極的電池連接端子103和104����,它最好在電路板106上方元件安裝面上。在此形式中指示裝置的兩個(gè)發(fā)光二極管107和108是分開的元件��。指示裝置的兩個(gè)發(fā)光二極管107和108由處理器120引腳8��,9上I/O口的兩個(gè)輸出信號(hào)控制�����。為了區(qū)分狀態(tài),LED也可以控制成閃爍����,這樣可區(qū)別各種狀態(tài)組合。表盤外殼也構(gòu)造成使得使用者能從外部看到安全模塊的狀態(tài)指示�����,例如通過一個(gè)視窗或一個(gè)開孔109看到狀態(tài)指示�。
為了插郵政安全模塊PSM 100在表盤1的主板上,連接件101和102被安裝在安全模塊100的電路板106的下方�。最好連接件101和102具有一個(gè)焊接頭127,并且焊接頭127安裝在電路板106的線路面上����。
圖12是第二種形式郵政安全模塊的頂視圖。灌注物質(zhì)105以方形包住電路板106的第一部分��,而電路板106的第二部分在灌注物質(zhì)之外�,這一部分用于安裝兩個(gè)發(fā)光二極管107和108,可更換地安裝的電池134和焊接頭127(此圖中看不見)����。電池連接端子103和104在圖12中被電池遮擋住��,但是在圖13a的側(cè)視圖中與焊接頭127同樣是可見的。
電路板106的第一部分的灌注既不開孔也不增高�����,這樣給犯罪企圖中的操縱提供小的攻擊點(diǎn)���。灌注物質(zhì)最好是雙成份環(huán)氧樹脂或聚合物及塑料����。EMERSON & CUMING公司的STYCAST2651-40FR適于用作灌注物質(zhì)���,最好用CATALYST9作為第二種成份��。在生產(chǎn)中兩種成份被混合后涂敷在電路板106的第一部分板的兩個(gè)側(cè)面上���。這可例如通過浸入流動(dòng)的混合物中實(shí)現(xiàn)。然后一層保護(hù)層和/或傳感層被覆蓋上�,這一層在最外層灌注后從外部是看不見的,它在灌注物質(zhì)105固化時(shí)與其牢固地結(jié)合在一起���。在最外層灌注之后灌注物質(zhì)固化為堅(jiān)固且不透明的灌注物質(zhì)105���。
圖13a和13b示出第二種形式安全模塊的右視圖和左視圖��。由圖13a和13b����,結(jié)合圖12可清楚地看到電路板106下面具有連接件101和102的焊接頭127的位置����。
此外,焊接頭127也可以例如用圖中未示出的方式安裝在電路板106第二部分的上表面上�。
原則上當(dāng)然也可以采用與郵政設(shè)備相連接的另一個(gè)指示裝置。
按照本發(fā)明郵政設(shè)備主要是蓋郵戳機(jī)�����。安全模塊可以經(jīng)相應(yīng)郵局同意用作郵政安全設(shè)備PSD(POSTAL SECURITY DEVICE)�。
安全模塊及PSD也具有其他結(jié)構(gòu)形式,可以例如插在個(gè)人計(jì)算機(jī)的主板上�,它作為PC-蓋郵戳機(jī)控制一臺(tái)市售的打印機(jī)。
本發(fā)明不限于上述實(shí)施形式���,公開的本發(fā)明的其他的配置和實(shí)施方案可以被開發(fā)和利用��,它們從本發(fā)明的基本思路出發(fā)并被包含在權(quán)利要求中��。
權(quán)利要求
1.保護(hù)安全模塊的方法�,包括步驟·用第一個(gè)(120),第二個(gè)(12)和第三個(gè)功能單元(13)監(jiān)測(cè)安全模塊的狀態(tài)��、符合規(guī)定的使用或其更換����,·在第一個(gè)功能單元(120)控制下指示至少一個(gè)狀態(tài)(220�,230,240����,250,260�,270,280�����,290)���,以及·在不符合規(guī)定的使用或更換時(shí)至少用第二個(gè)功能單元(12)清除敏感數(shù)據(jù)����。
2.如權(quán)利要求1所述的方法,其特征在于�����,用第一個(gè)功能單元(120)檢測(cè)時(shí)間進(jìn)程��,并且用以下步驟實(shí)現(xiàn)后繼過程�,以恢復(fù)功能·在安全模塊符合規(guī)定的使用或更換之后用第一個(gè)功能單元(120)重新初始化已被清除的敏感數(shù)據(jù),并且·通過釋放安全模塊(100)的功能單元(12���,13)重新工作�。
3.如權(quán)利要求1所述的方法����,其特征在于,用第二個(gè)功能單元(12)實(shí)現(xiàn)對(duì)電池(134)符合規(guī)定的插入或狀態(tài)的監(jiān)測(cè)����。
4.如權(quán)利要求1所述的方法,其特征在于���,在更換安全模塊或者在其受到襲擊后處于損壞狀態(tài)時(shí)用第三個(gè)功能單元(13)實(shí)現(xiàn)功能鎖閉���。
5.如權(quán)利要求4所述的方法����,其特征在于����,用第三個(gè)功能單元(13)檢測(cè)機(jī)械的或化學(xué)的襲擊之后的損壞狀態(tài)。
6.如權(quán)利要求2所述的方法����,其特征在于����,第一個(gè)功能單元不斷地判定第一個(gè)借貸天數(shù)是否用盡,并且在其用盡時(shí)指示一個(gè)受懷疑狀態(tài)�����。
7.如權(quán)利要求6所述的方法�����,其特征在于���,通過與數(shù)據(jù)中心的接觸來恢復(fù)正常工作狀態(tài)而無需通過維護(hù)進(jìn)行現(xiàn)場(chǎng)檢查�����。
8.如權(quán)利要求2所述的方法��,其特征在于�,借貸時(shí)間是可變的,并且對(duì)于不同的安全設(shè)備是不同的���,并且在安裝時(shí)裝載到安全設(shè)備的一個(gè)存儲(chǔ)器中���。
9.如權(quán)利要求2所述的方法,其特征在于��,第一個(gè)功能單元(120)不斷地判定第二個(gè)借貸天數(shù)是否用盡�����,它比第一個(gè)借貸天數(shù)長��,并且在其用盡時(shí)指示“丟失”狀態(tài)�����。
10.用于實(shí)現(xiàn)權(quán)利要求1所述的方法的配置,其中一個(gè)安全模塊裝配有一個(gè)邏輯電路(120�,150,160)���,用系統(tǒng)電壓或電池(134)的電壓給安全模塊供電的裝置以及多個(gè)監(jiān)測(cè)裝置�����,其特征在于�����,第一個(gè)(120)�����,第二個(gè)(12)和第三個(gè)功能單元(13),用來裝載至少由數(shù)據(jù)中心給出的借貸時(shí)間的裝置以及與第一個(gè)功能單元(120)相連接的指示裝置(107�,108),并且所述裝載在安裝和補(bǔ)充時(shí)在安全設(shè)備的存儲(chǔ)器(124)中進(jìn)行���,第一個(gè)功能單元(120)在時(shí)間進(jìn)程中判定借貸天數(shù)是否用盡����,指示裝置(107,108)被控制來至少指示時(shí)間進(jìn)程�����,并且第二個(gè)功能單元(12)還具有在安全模塊非符合規(guī)定的使用或更換時(shí)清除存儲(chǔ)器(124)中的敏感數(shù)據(jù)的裝置���。
11.如權(quán)利要求10所述的配置���,其特征在于,第二個(gè)功能單元(12)是一個(gè)電壓監(jiān)測(cè)單元(12)���,它通過導(dǎo)線(136)和安全模塊的供電裝置與系統(tǒng)電壓或電池電壓相連接����,并且第二個(gè)功能單元(12)通過導(dǎo)線(138)將工作電壓給到存儲(chǔ)器(122��,124)�。
12.如權(quán)利要求10所述的配置,其特征在于��,第三個(gè)功能單元(13)是一個(gè)具有用于可復(fù)原自保電路的電路元件(1310���,1316�����,1322��,1324)的檢測(cè)單元�����,其中在測(cè)量電壓線(192)上的電平偏離規(guī)定電位時(shí)自保電路起動(dòng)���,并且與其他功能單元(11����,12)相連接的處理器(120)被編程���,它判定并指示安全模塊(100)的相應(yīng)狀態(tài)�。
13.如權(quán)利要求10至12中任一項(xiàng)所述的配置���,其特征在于,處理器(120)具有存儲(chǔ)器(122�,124),電壓監(jiān)測(cè)單元(12)輸出的工作電壓Ub+經(jīng)導(dǎo)線(138)送給它���,處理器(120)由系統(tǒng)電壓Us+供電并具有第4個(gè)接點(diǎn)(引腳4)��,用來經(jīng)導(dǎo)線(137)復(fù)原檢測(cè)單元(13)中自保電路的狀態(tài)��,并且處理器具有第5個(gè)接點(diǎn)(引腳5)�,其上連接導(dǎo)線(139),用來查詢檢測(cè)單元(13)的狀態(tài)��。
14.如權(quán)利要求10至13中任一項(xiàng)所述的配置�����,其特征在于�,安全模塊(100)用固化的灌注物質(zhì)(105)灌注,安全模塊(100)的電池(134)可更換地安裝在電路板(106)上灌注物質(zhì)(105)之外���,電路板(106)具有用于連接電池(134)的電極的電池連接端子(103和104)和用于系統(tǒng)電壓對(duì)安全模塊(100)供電的第二個(gè)連接件(102)�����,灌注物質(zhì)裝配有在安全模塊(100)受到襲擊時(shí)進(jìn)行告警和必要時(shí)保護(hù)的裝置����,以及至少一個(gè)連接件(101,102)用來靜態(tài)和動(dòng)態(tài)監(jiān)測(cè)安全模塊(100)是否插入和是否受到襲擊�����。
15.如權(quán)利要求10至14中任一項(xiàng)所述的配置�,其特征在于,安全模塊的處理器(120)裝配有用以輸出至少一個(gè)指示安全模塊(100)的狀態(tài)的信號(hào)的接點(diǎn)(引腳8��,9)��。
16.如權(quán)利要求15所述的配置��,其特征在于�,指示裝置(107,108)在模塊內(nèi)部連接到處理器(120)的輸入/輸出單元(125)的I/O口上�。
全文摘要
本發(fā)明涉及一種保護(hù)安全模塊的方法,它用第一個(gè),第二個(gè)和第三個(gè)功能單元監(jiān)測(cè)安全模塊的狀態(tài),符合規(guī)定的使用或更換,用第一個(gè)功能單元控制至少一個(gè)狀態(tài)的指示,以及在不符合規(guī)定的使用或更換時(shí)至少用第二個(gè)功能單元清除敏感數(shù)據(jù)。此外,在更換安全模塊時(shí)用第三個(gè)功能單元閉鎖功能,在符號(hào)規(guī)定的使用或更換安全模塊之后重新初始化已被清除的敏感數(shù)據(jù)并且通過釋放安全模塊的功能單元而重新工作��。
文檔編號(hào)G07B17/00GK1271145SQ0010387
公開日2000年10月25日 申請(qǐng)日期2000年3月10日 優(yōu)先權(quán)日1999年3月12日
發(fā)明者彼得·波斯特, 德克·羅西瑙, 托斯坦·施拉夫 申請(qǐng)人:弗朗科泰普-波斯特利亞兩合公司