專利名稱:保護(hù)安全模塊的方法及實(shí)現(xiàn)此方法的配置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及保護(hù)安全模塊的一種方法��,以及實(shí)現(xiàn)此方法的一種配置�。這種郵政安全模塊尤其適用于蓋郵戳機(jī)及郵政處理機(jī)或者具有郵政處理功能的計(jì)算機(jī)。
諸如US 4746234所公開(kāi)的熱變換蓋郵戳機(jī)這樣的現(xiàn)代蓋郵戳機(jī)使用一個(gè)全數(shù)字的打印裝置�����。因而原則上可以打印任意的文字和特殊符號(hào)在郵戳打印區(qū)以及任意的或與付費(fèi)處相關(guān)的廣告內(nèi)容�。例如蓋郵戳機(jī)T1000具有一個(gè)包裝在保安外殼中的微處理器,外殼上有一個(gè)開(kāi)槽用來(lái)送入信件���。在信件被送入時(shí)一個(gè)機(jī)械的信件傳感器(微動(dòng)開(kāi)關(guān))給出一個(gè)打印請(qǐng)求信號(hào)到微處理器�。郵戳打印內(nèi)容包括用于信件傳遞的事先輸入和存儲(chǔ)的郵政信息����。蓋郵戳機(jī)的控制單元按照軟件完成結(jié)算,必要時(shí)對(duì)數(shù)據(jù)的實(shí)時(shí)性進(jìn)行監(jiān)測(cè)��,以及控制郵資收付差額的裝載���。
US 5606508(DE 4213278B1)和US 5490077已經(jīng)建議了借助于芯片卡對(duì)上述熱變換蓋郵戳機(jī)實(shí)現(xiàn)數(shù)據(jù)輸入的可能性���。一張芯片卡裝新數(shù)據(jù)到蓋郵戳機(jī)中����,一組另外的芯片卡可以通過(guò)插入一張芯片卡來(lái)更改已輸入的相應(yīng)數(shù)據(jù)��。這樣可以比用鍵盤輸入更方便和迅速地實(shí)現(xiàn)數(shù)據(jù)裝載和更改���。用于郵件的蓋郵戳的蓋郵戳機(jī)裝配有一個(gè)用于在郵件上打印郵資印記的打印機(jī)�����,一個(gè)控制打印機(jī)和蓋郵戳機(jī)外設(shè)的控制裝置,一個(gè)用于結(jié)算郵費(fèi)的結(jié)算單元���,至少一個(gè)用來(lái)存儲(chǔ)郵費(fèi)數(shù)據(jù)的非易失存儲(chǔ)器�����,至少一個(gè)用于存儲(chǔ)安全有關(guān)的數(shù)據(jù)的非易失存儲(chǔ)器以及一個(gè)日歷/時(shí)鐘。存儲(chǔ)安全有關(guān)的數(shù)據(jù)的存儲(chǔ)器和/或日歷/時(shí)鐘通常由電池供電����。在現(xiàn)有蓋郵戳機(jī)中安全有關(guān)的數(shù)據(jù)(密鑰等)存儲(chǔ)在非易失存儲(chǔ)器中�。這些存儲(chǔ)器是EEPROM,F(xiàn)RAM或電池保證的SRAM?��,F(xiàn)有蓋郵戳機(jī)常常也提供一個(gè)內(nèi)部實(shí)時(shí)時(shí)鐘(Real Time Clock)RTC�,它由電池供電�。例如現(xiàn)在存在灌注的模塊�����,它們包含有集成電路和鋰電池����。這種模塊在電池壽命到期后必須整個(gè)地被更換和去掉供電��。從科學(xué)和經(jīng)濟(jì)的觀點(diǎn)看僅需更換電池才更有效。然而這就必須打開(kāi)保安外殼�,且然后再封閉它�����,因?yàn)榈挚挂u擊的安全性主要依賴于保安外殼����,它包封了整個(gè)裝置��。EP660269A2(US 5671146)已經(jīng)提出一種合適的方法來(lái)提高蓋郵戳機(jī)的安全性�����,其中保安外殼的授權(quán)和非授權(quán)開(kāi)啟是不同的��。
蓋郵戳機(jī)有時(shí)需要修理�����,如果接近元件是困難的或受到限制����,修理是困難的�����。將來(lái)在大型郵政處理機(jī)或所謂的PC蓋郵戳機(jī)中保安外殼將被壓縮成所謂的郵政安全模塊���,這將改善其他元件的可接近性。為了經(jīng)濟(jì)地更換安全模塊的電池也希望在相對(duì)簡(jiǎn)單的途徑上更換電池�����。為此電池必須在蓋郵戳機(jī)的保安范圍之外�。但是如果電池連接端子也從外部可接近,則可能的襲擊會(huì)發(fā)生�����,即控制電池的電壓?,F(xiàn)在的電池供電的SRAM和RTC對(duì)其工作電壓有不同的要求����。保持SRAM的數(shù)據(jù)所需的電壓低于RTC工作所需電壓��。這意味著電壓降到某個(gè)門限值之下將導(dǎo)致不希望的行為RTC停止運(yùn)動(dòng)����,存儲(chǔ)在SRAM單元中的時(shí)間和SRAM所存儲(chǔ)的內(nèi)容仍然保持著���。至少有的安全措施�,例如長(zhǎng)時(shí)間監(jiān)視器,可能在蓋郵戳機(jī)上是無(wú)效的。長(zhǎng)時(shí)間監(jiān)視器工作于以下情況遠(yuǎn)地?cái)?shù)據(jù)中心預(yù)先給定一個(gè)時(shí)間借貸量或者一個(gè)時(shí)間持續(xù)期���,尤其是一個(gè)天數(shù)或一個(gè)規(guī)定日期���,直到此日期蓋郵戳裝置可以通過(guò)通信連接報(bào)到�。在時(shí)間借貸量或期限抵達(dá)之后不能蓋郵戳�。EP 660270A2(US 5680463)以“產(chǎn)生和檢驗(yàn)安全打印的方法和配置”為題提出了一種方法���,它求出直到下一次存入款項(xiàng)的假設(shè)時(shí)間持續(xù)期��,并且每個(gè)沒(méi)有按期報(bào)到的蓋郵戳機(jī)被數(shù)據(jù)中心視為受懷疑的。受懷疑的蓋郵戳機(jī)被通知給郵局�,郵局對(duì)從受懷疑的蓋郵戳機(jī)出來(lái)的蓋過(guò)戳的信件進(jìn)行檢查�。時(shí)間借貸量或期限的到期也由蓋郵戳裝置查明�。使用者被要求完成關(guān)于到期的通信�。
在有電子數(shù)據(jù)處理設(shè)備以來(lái)安全模塊已為大家所熟悉���。為了抵抗對(duì)電子設(shè)備的襲擊���,EP 417447B1建議了一種封鎖裝置�����,它將供電裝置和信號(hào)收集裝置以及屏蔽裝置包在外殼中�����。此屏蔽裝置由填充物質(zhì)和連接裝置組成�����,在連接裝置上連接供電裝置和信號(hào)收集裝置����。后者對(duì)連接裝置的連接電阻的變化有反應(yīng)。此外安全模塊包含一個(gè)內(nèi)部電池����,一個(gè)由系統(tǒng)電壓轉(zhuǎn)換為電池電壓的電壓轉(zhuǎn)換器��,一個(gè)電源門和一個(gè)短路晶體管及其他傳感器。當(dāng)電壓降到規(guī)定門限值以下時(shí)��,電源門動(dòng)作����。當(dāng)連接電阻���,溫度或光射線改變時(shí)邏輯電路給以響應(yīng)。借助于電源門或借助于邏輯電路短路晶體管的輸出端切換到低電平,這樣存儲(chǔ)在存儲(chǔ)器中的密鑰被清除掉��。然而對(duì)于在蓋郵戳機(jī)或郵政處理機(jī)中的使用而言��,不能更換的電池的使用壽命太短,由此導(dǎo)致安全模塊的使用壽命太短。
大型郵政處理機(jī)例如是JetMail�。郵戳打印在其中是借助于靜態(tài)安置的噴墨打印頭實(shí)現(xiàn)的���,而信件的傳遞是非水平的���,接近于垂直的����。DE 19605105C1提出了打印裝置的一種合適的實(shí)施方案����。郵政處理機(jī)有一個(gè)表盤和一個(gè)基座�����。表盤應(yīng)裝配一個(gè)外殼�����,并使得元件容易被接近�,它必須由一個(gè)郵政安全模塊來(lái)使其能抵抗襲擊,此模塊至少完成郵費(fèi)的結(jié)算��。為了排除對(duì)程序運(yùn)行的影響,EP 789333A2以“蓋郵戳機(jī)”為題建議安全模塊裝配一個(gè)專用電路(ApplicationSpecific Integrated Circuit)ASIC����,它有一個(gè)硬件結(jié)算電路�。此外專用電路控制給打印頭的打印數(shù)據(jù)傳輸��。僅當(dāng)對(duì)于每個(gè)郵件產(chǎn)生唯一的打印內(nèi)容時(shí)該數(shù)據(jù)傳輸才是不需要的。例如在US 5680463��,US 5712916和US 5734723中建議了一種用于產(chǎn)生和檢驗(yàn)一個(gè)安全性打印的合適的方法和配置���。其中一個(gè)專用的安全標(biāo)記用電子方法產(chǎn)生并被嵌入到打印圖形中。
在未公開(kāi)的德國(guó)專利申請(qǐng)19816572.2和19816571.4中也提出了安全模塊在遭到襲擊時(shí)保護(hù)其中存儲(chǔ)的數(shù)據(jù)的其他措施。在有多個(gè)傳感器時(shí)耗電量增加��,并且一個(gè)不是持續(xù)地由系統(tǒng)電壓供電的安全模塊從其內(nèi)部電池吸取傳感器所需之電流�,因此電池被提早耗盡����。電池的容量和耗電量限制了安全模塊的使用壽命���。
與許多其他產(chǎn)品一樣��,蓋郵戳機(jī)結(jié)構(gòu)也實(shí)現(xiàn)了模塊化��。這種模塊化使得出自各種原因的模塊和元件的更換成為可能�����。例如故障模塊可被取下并且通過(guò)檢查,修理或被新的模塊替換�����。因?yàn)樵诟鼡Q那些包含安全相關(guān)數(shù)據(jù)的組件時(shí)要求最高的操作水平�����,通常其更換需由業(yè)務(wù)技術(shù)人員進(jìn)行并采取一些措施,這些措施在安全模塊被不符合規(guī)定的使用或非授權(quán)的更換時(shí)中斷安全模塊的功能執(zhí)行�。但是采取這些措施費(fèi)用很昂貴���。
本發(fā)明的目的在于����,以小的費(fèi)用實(shí)現(xiàn)在安全模塊可更換地安裝時(shí)保證能抵抗對(duì)其的未經(jīng)許可的操縱���。其更換應(yīng)可由任何人以盡可能簡(jiǎn)單的方式進(jìn)行��。
上述任務(wù)通過(guò)權(quán)利要求1所述的方法和權(quán)利要求3所述的配置完成��。
本發(fā)明的出發(fā)點(diǎn)是借助于功能單元來(lái)確認(rèn)蓋郵戳機(jī)�,郵政處理裝置或類似設(shè)備的安全模塊的更換和使用�����,以提供給各種設(shè)備的使用者一個(gè)關(guān)于安全模塊乃至整個(gè)設(shè)備正確地執(zhí)行其功能的保證。安全模塊的更換至少被檢測(cè)出來(lái)并且必要時(shí)����,在安全模塊重新被插上并用系統(tǒng)電壓供電時(shí)事后作為狀態(tài)信號(hào)發(fā)出。安全模塊的狀態(tài)變化借助于第一個(gè)功能單元和一個(gè)由電池供電的檢測(cè)單元來(lái)收集,檢測(cè)單元具有一個(gè)可復(fù)原的自保電路。第一個(gè)功能單元在其重又由系統(tǒng)電壓供電時(shí)能判定各種狀態(tài)。優(yōu)點(diǎn)在于對(duì)安全模塊的狀態(tài)變化的快速反應(yīng)以及檢測(cè)單元電路有小的電池耗電量且不用系統(tǒng)電壓供電�。
這至少避免了在更換時(shí)對(duì)安全模塊的不符合規(guī)定的使用��,在更換時(shí)不僅沒(méi)有系統(tǒng)電壓,而且可更換地安裝的電池也被取走�����。為使更換工作可由不熟悉的人員完成�,并且在將來(lái)完全由使用者來(lái)完成,第二個(gè)功能單元完成對(duì)更換電池時(shí)的電壓下降的監(jiān)測(cè),同時(shí)第一個(gè)功能單元首先清除掉敏感的數(shù)據(jù)并且限制或完全中斷安全模塊的繼續(xù)使用�。在以后的恢復(fù)運(yùn)行過(guò)程中第一個(gè)功能單元強(qiáng)迫安全模塊與一個(gè)遠(yuǎn)地?cái)?shù)據(jù)中心接觸以釋放至少一個(gè)功能單元�。如果安全模塊符合規(guī)定被替換����,在恢復(fù)運(yùn)行時(shí)重新初始化敏感數(shù)據(jù)。為了建立接觸,可以利用采用數(shù)字或模擬傳輸線路的方法�。
保護(hù)安全模塊的方法包括以下步驟·借助于第一,第二和第三功能單元監(jiān)測(cè)安全模塊符合規(guī)定的使用或更換,·至少借助于第二個(gè)功能單元在不符合規(guī)定的使用或更換時(shí)清除敏感的數(shù)據(jù)����,·在更換安全模塊時(shí)借助于第三個(gè)功能單元鎖閉功能�����,·在符合規(guī)定地使用或更換安全模塊之后借助于第一個(gè)功能單元把以前被清除的敏感數(shù)據(jù)重新初始化����,·通過(guò)釋放安全模塊的功能單元恢復(fù)運(yùn)行。
在成功完成動(dòng)態(tài)的插入檢測(cè)之后����,借助于第一個(gè)功能單元與遠(yuǎn)地?cái)?shù)據(jù)中心的通信連接重新初始化�����,在第一個(gè)功能單元檢測(cè)時(shí)經(jīng)過(guò)接口電路回路交換信息���,這些信息無(wú)錯(cuò)的傳遞證明了安全模塊結(jié)構(gòu)符合規(guī)定�。安全模塊的功能單元的釋放通過(guò)其復(fù)原實(shí)現(xiàn)。第一個(gè)功能單元是一個(gè)與其他功能單元相連接的處理器�,它被編程來(lái)確定各種狀態(tài)����。第二個(gè)功能單元是一個(gè)具有可復(fù)原自保電路的電壓監(jiān)測(cè)單元��,第三個(gè)功能單元是一個(gè)具有可復(fù)原自保電路的未插入檢測(cè)電路��。
在其他權(quán)利要求中描述了本發(fā)明的進(jìn)一步優(yōu)化方案����,下面借助于附圖詳細(xì)說(shuō)明本發(fā)明的優(yōu)選實(shí)施方案����。附圖中
圖1是安全模塊的方框圖和接口�����,圖2是蓋郵戳機(jī)的方框電路圖�,圖3是蓋郵戳機(jī)從后面看去的透視圖,圖4是安全模塊(第二種形式)的方框電路圖,圖5是檢測(cè)單元電路圖��,圖6是安全模塊的側(cè)視圖�,圖7是安全模塊的頂視圖,圖8a是安全模塊的右視圖,圖8b是安全模塊的左視圖��,圖1示出安全模塊100的方框圖�����,安全模塊具有用于連接接口8的連接件101�,102和用于電池134的電池接口的電池連接端子103和104����。雖然安全模塊被用固化的灌注物質(zhì)灌注��,安全模塊100的電池134可更換地安裝在電路板上灌注物質(zhì)之外。電路板載有用于連接電池134的電極的電池連接端子103和104�。借助于連接件101�,102安全模塊100被插到主板(母板)9的相應(yīng)接口8上。第一個(gè)連接件101建立與控制裝置的系統(tǒng)總線的通信連接��,第二個(gè)連接件102用于系統(tǒng)電壓對(duì)安全模塊100的供電����。經(jīng)過(guò)連接件101的引腳p3���,p5-p19的是地址和數(shù)據(jù)線117,118以及控制線115��。第一個(gè)連接件101和/或第二個(gè)連接件102被用于對(duì)安全模塊100的插入與否進(jìn)行靜態(tài)和動(dòng)態(tài)的監(jiān)測(cè)����。主板9的系統(tǒng)電壓對(duì)安全模塊100的供電通過(guò)連接件102的引腳p23和p25實(shí)現(xiàn)��,并且通過(guò)引腳p1��,p2和p4由安全單元100實(shí)現(xiàn)動(dòng)態(tài)和動(dòng)態(tài)的非插入檢測(cè)�。
安全模塊100以大家所熟悉的方式具有一個(gè)微處理器120���,它具有一個(gè)圖中未示出的裝有專用程序的集成只讀存儲(chǔ)器(內(nèi)部ROM)�����,該程序是郵局或郵局長(zhǎng)官允許用于蓋郵戳機(jī)的。也可以在內(nèi)部數(shù)據(jù)總線136上連接一個(gè)常用的只讀存儲(chǔ)器ROM或FLASH存儲(chǔ)器��。
安全模塊100以大家所熟悉的方式具有一個(gè)復(fù)位單元130�����,一個(gè)專用電路ASIC 150和一個(gè)邏輯PAL����,它用作ASIC的控制信號(hào)發(fā)生器。復(fù)位單元130��,專用電路150和邏輯PAL以及可能還有其他圖中未示出的存儲(chǔ)器通過(guò)導(dǎo)線191及129由系統(tǒng)電壓Us+供電����,在蓋郵戳機(jī)開(kāi)動(dòng)時(shí)此電壓由主板9給出���。在EP 789333A2中已經(jīng)說(shuō)明了郵政安全模塊PSM的主要部分���,它實(shí)現(xiàn)郵費(fèi)數(shù)據(jù)的結(jié)算和安全�����。
此外系統(tǒng)電壓Us+經(jīng)二極管181和導(dǎo)線136加到電壓監(jiān)測(cè)單元12的輸入端。在電壓監(jiān)測(cè)單元12的輸出端給出第二個(gè)工作電壓Ub+�,它經(jīng)過(guò)導(dǎo)線138供使用���。在更換蓋郵戳裝置時(shí)不存在系統(tǒng)電壓Us+�,而僅有電池電壓Ub+供使用。連接電池負(fù)極的電池連接端子104接地���。從連接電池正極的電池連接端子103給出電池電壓���,經(jīng)導(dǎo)線193,第二個(gè)二極管182和導(dǎo)線136加到電壓監(jiān)測(cè)單元的輸入端����。市售電壓轉(zhuǎn)換器180也可用以替代二個(gè)二極管181����,182����。
電壓監(jiān)測(cè)單元12的輸出通過(guò)導(dǎo)線138連接到處理器120第二個(gè)工作電壓Ub+的輸入端��,此電壓至少被連接于一個(gè)RAM存儲(chǔ)區(qū)122���,124�,并且只要第二個(gè)工作電壓達(dá)到要求的大小�,就保證上述存儲(chǔ)區(qū)的非易失存儲(chǔ)����。最好處理器120含有一個(gè)內(nèi)部RAM 124和一個(gè)實(shí)時(shí)時(shí)鐘(RTC)122����。
安全模塊中的電壓監(jiān)測(cè)單元12具有一個(gè)可復(fù)原的自保電路,它可由處理器120經(jīng)導(dǎo)線164查詢并經(jīng)導(dǎo)線135復(fù)原�。電壓監(jiān)測(cè)單元12具有用于自保電路復(fù)原的電路元件。當(dāng)電池電壓超過(guò)規(guī)定門限值時(shí)復(fù)原才能被觸發(fā)�。導(dǎo)線135和164分別連接于處理器的一個(gè)引腳(引腳1和2)。導(dǎo)線164給一個(gè)狀態(tài)信號(hào)到處理器120,導(dǎo)線135加一個(gè)控制信號(hào)到電壓監(jiān)測(cè)單元12�����。
電壓監(jiān)測(cè)單元12輸入端上的導(dǎo)線136同時(shí)用工作電壓或電池電壓給未插入檢測(cè)單元13供電。未插入檢測(cè)單元13給出狀態(tài)信號(hào)在導(dǎo)線139上送到處理器120的引腳5上�,此信號(hào)給出關(guān)于電路狀態(tài)的指示��。經(jīng)過(guò)導(dǎo)線139未插入檢測(cè)單元13的狀態(tài)被處理器120查詢。處理器可用一個(gè)從處理器120的引腳4經(jīng)導(dǎo)線137給出的信號(hào)復(fù)原未插入檢測(cè)單元13。在此復(fù)原之后對(duì)連接作靜態(tài)檢查�。為此經(jīng)過(guò)導(dǎo)線192查詢地電位,此地電位加在郵政安全模塊PSM 100的接口8的連接端p4上并且僅當(dāng)安全模塊100被正常插入時(shí)才能被查詢到�����。在插入安全模塊100時(shí)郵政安全模塊PSM 100的電池134的負(fù)極104的地電位加到接口8的連接端p23上���,因此它可以被未插入檢測(cè)單元13在接口8的連接端p4上通過(guò)導(dǎo)線192查詢到�����。
在處理器120的引腳6和7上接一個(gè)導(dǎo)線回路,它經(jīng)過(guò)接口8的連接件102的引腳p1和p2對(duì)于處理器120形成回路。為了動(dòng)態(tài)檢查郵政安全模塊PSM 100是否插入主板9上���,處理器120以完全無(wú)規(guī)則的時(shí)間間隔給出變化的信號(hào)電平到引腳6���,7上并經(jīng)過(guò)導(dǎo)線回路返回。
郵政安全模塊PSM 100裝配有一個(gè)長(zhǎng)壽命電池���,在安全模塊沒(méi)有加上郵政處理裝置的系統(tǒng)電壓時(shí)它也可以監(jiān)視使用情況。符合規(guī)定的使用�,運(yùn)行����,安裝或裝入合適的環(huán)境是安全模塊的功能單元所檢查的特性�。原始安裝由郵政安全模塊的生產(chǎn)者進(jìn)行。在原始安裝之后首先僅檢查郵政安全模塊是否從其使用場(chǎng)所(郵政處理裝置)分離����,這種分離通常出現(xiàn)在更換它的時(shí)候�����。
此狀態(tài)的監(jiān)測(cè)由未插入檢測(cè)單元13進(jìn)行���。這時(shí)通過(guò)接到接口8的引腳p4上的地來(lái)監(jiān)測(cè)一個(gè)電壓大小。在更換功能單元時(shí)此與地的連接被斷開(kāi)���,未插入檢測(cè)單元13將其作為信息予以響應(yīng)����。因?yàn)樵诿看伟踩K100與接口8分離時(shí),專用電池供電的電路結(jié)構(gòu)保證了上述信息的存儲(chǔ),此信息的分析利用可隨時(shí)進(jìn)行���,如果希望重新工作的話�。按規(guī)律地判定檢測(cè)單元13的導(dǎo)線139上的這個(gè)分離信號(hào)或未插入信號(hào)使處理器120可以清除敏感數(shù)據(jù)����,而并不改變?cè)贜VRAM存儲(chǔ)器中的結(jié)算和顧客數(shù)據(jù)。郵政安全模塊的這種清除了敏感數(shù)據(jù)的暫時(shí)狀態(tài)可理解為維護(hù)狀態(tài)��,通常在此狀態(tài)下進(jìn)行更換,修理或其他工作�。因?yàn)楣δ軉卧拿舾袛?shù)據(jù)被清除,由于對(duì)郵政安全模塊的不符合規(guī)定的操作而產(chǎn)生的錯(cuò)誤被避免了���。此敏感數(shù)據(jù)例如是密鑰。在維護(hù)狀態(tài)下處理器120停止了郵政安全模塊的核心功能�����,這些功能是例如結(jié)算和/或求取用于安全打印中安全標(biāo)記的安全碼。
為了恢復(fù)工作�,郵政安全模塊PSM首先被插入并與郵政處理裝置的相應(yīng)接口8建立電氣連接��。接著開(kāi)動(dòng)設(shè)備,從而郵政安全模塊重又由系統(tǒng)電壓Us+供電?�;诖颂厥鉅顟B(tài),郵政安全模塊的裝入是否符合規(guī)定必須由其功能單元重新檢查�����。為此進(jìn)行第二級(jí)檢查(動(dòng)態(tài)插入檢測(cè))���。通過(guò)在第一個(gè)功能單元(處理器120)和接口8的電流回路18之間建立的工作連接交換信息��,它的無(wú)錯(cuò)傳輸證實(shí)了安裝符合規(guī)定�。這是成功地重新工作的先決條件�。
為了進(jìn)入工作狀態(tài)現(xiàn)在只需重新初始化敏感數(shù)據(jù)�����。在郵政安全模塊與第三個(gè)部門之間進(jìn)行通信���,以傳遞這些敏感數(shù)據(jù)��。在傳遞完成之后未插入檢測(cè)單元13被復(fù)原并且郵政安全模塊重新進(jìn)入工作狀態(tài),重新工作過(guò)程結(jié)束��。
圖2示出蓋郵戳機(jī)的方框電路圖,它具有一個(gè)用于通過(guò)芯片卡裝載變化數(shù)據(jù)的芯片卡讀寫單元70和一個(gè)由控制裝置1控制的打印裝置2��?�?刂蒲b置1具有一個(gè)裝配有微處理器91和相應(yīng)存儲(chǔ)器92���,93���,94,95的主板9����。
程序存儲(chǔ)器92含有至少用于打印的工作程序,并至少含有與安全有關(guān)的程序����,它用于部分有用數(shù)據(jù)的預(yù)先規(guī)定的格式轉(zhuǎn)換����。
工作存儲(chǔ)器RAM 93用于中間結(jié)果的易失的中間存儲(chǔ)�����。非易失存儲(chǔ)器NVM 94用于數(shù)據(jù)的非易失中間存儲(chǔ)����,數(shù)據(jù)例如是按付費(fèi)處排序的統(tǒng)計(jì)數(shù)據(jù)�����。日歷/時(shí)鐘95必要時(shí)含有可尋址的非易失存儲(chǔ)區(qū)�,用于中間結(jié)果或者公開(kāi)的程序部分(例如DES算法)的非易失中間存儲(chǔ)。控制裝置1與芯片卡讀寫單元70連接����,控制裝置1的微處理器91被編程來(lái)裝載從芯片卡49的存儲(chǔ)區(qū)來(lái)的有效數(shù)據(jù)N到蓋郵戳機(jī)的與其應(yīng)用相應(yīng)的存儲(chǔ)區(qū)。插入芯片卡讀寫單元70的插槽72的第一張芯片卡49允許下載至少用于一種應(yīng)用的數(shù)據(jù)組到蓋郵戳機(jī)中���。芯片卡49具有例如所有通常郵局業(yè)務(wù)按郵局價(jià)目表的郵費(fèi)和一個(gè)郵局標(biāo)記��,以供蓋郵戳機(jī)產(chǎn)生印記圖形并給郵件蓋上郵局價(jià)目��。
控制裝置1構(gòu)成原來(lái)的表盤�����,它具有主板9的裝置91至95并且還包含鍵盤88�����,顯示單元89及專用電路ASIC 90和用于郵政安全模塊PSM 100的接口8�。安全模塊PSM 100通過(guò)總線與ASIC 100和微處理器91連接�,通過(guò)并行μc總線至少與主板9的裝置91至95和顯示單元89連接?���?刂瓶偩€在安全模塊PSM 100和ASIC 90之間連接信號(hào)CE�����,RD和WR����。微處理器91最好有一個(gè)引腳用于由安全模塊PSM 100給出中斷信號(hào)i����,其他連接端用于鍵盤88,一個(gè)串行接口S1-1用于連接芯片卡讀寫單元70��,以及一個(gè)串行接口S1-2用于附加連接一個(gè)調(diào)制解調(diào)器�。借助于調(diào)制解調(diào)器可以例如增加在郵政安全模塊PSM 100的非易失存儲(chǔ)器中存儲(chǔ)的內(nèi)容。
郵政安全模塊PSM 100被包封在一個(gè)保安外殼中����。每次蓋郵戳之前在郵政安全模塊PSM 100中完成硬件的結(jié)算。結(jié)算的完成與付費(fèi)處無(wú)關(guān)���。郵政安全模塊PSM 100內(nèi)部可像歐洲報(bào)告EP 789333A3中詳細(xì)說(shuō)明的那樣被實(shí)現(xiàn)。
ASIC 90有一個(gè)對(duì)郵政業(yè)務(wù)流前接設(shè)備的串行接口電路98��,一個(gè)對(duì)打印裝置2的傳感器和執(zhí)行器件的串行接口電路96��,一個(gè)對(duì)打印頭4的打印控制電路16的串行接口電路,以及一個(gè)對(duì)郵政業(yè)務(wù)流后續(xù)設(shè)備中的打印裝置20的串行接口電路�。DE 19711997是可選用的外設(shè)接口實(shí)施方案,它適用于多外設(shè)(站)����,其題目是實(shí)現(xiàn)郵政處理機(jī)的基站和其他站之間通信及其緊急切斷的配置。
與機(jī)器底座中的接口電路14連接的接口電路96提供至少與傳感器6�����,7�����,17����,與執(zhí)行器件,例如與輥?zhàn)?1的驅(qū)動(dòng)電機(jī)15���,與噴墨打印頭4的凈化和稠度調(diào)節(jié)站RDS 40��,以及與機(jī)器底座中的標(biāo)簽發(fā)生器50的連接�����。主要配置和噴墨打印頭4與RDS 40之間的配合關(guān)系可采用DE 19726642C2提出的方案����,其題目是實(shí)現(xiàn)噴墨打印頭及凈化和稠度調(diào)節(jié)裝置的定位的配置。
安裝在前板上的傳感器7���,17中的一個(gè)是用于信件傳遞中起動(dòng)打印準(zhǔn)備的傳感器17���。傳感器7用于信件傳遞中以起動(dòng)打印為目的的信件起始識(shí)別。傳送裝置由一個(gè)傳送帶10和兩個(gè)輥?zhàn)?1�����,11′組成����。其中一個(gè)輥?zhàn)邮茄b配有電機(jī)15的驅(qū)動(dòng)輥?zhàn)?1,另一個(gè)是從動(dòng)張力輥?zhàn)?1′����。最好驅(qū)動(dòng)輥?zhàn)?1設(shè)計(jì)成齒輪輥?zhàn)樱鄳?yīng)地傳送帶10也設(shè)計(jì)成齒輪傳送帶����,它保證明確的力傳遞。編碼器5��,6與輥?zhàn)?1���,11′中的一個(gè)相耦合�。最好驅(qū)動(dòng)輥?zhàn)?1與一個(gè)增量發(fā)生器5一起固定安裝在一根軸上����。增量發(fā)生器5例如被設(shè)計(jì)成開(kāi)槽圓盤,它與一個(gè)光柵6一起工作�����,并經(jīng)導(dǎo)線19給出編碼信號(hào)到主板9�。
打印頭的各個(gè)打印元件在其外殼中與打印頭電路相連接,并且精密電打印的打印頭是可控的�。打印控制基于路徑控制實(shí)現(xiàn),其中所選的印記配方被考慮到�����,此配方是通過(guò)鍵盤88或者在需要時(shí)通過(guò)芯片卡輸入并非易失地存儲(chǔ)在存儲(chǔ)器NVM 94中的�。計(jì)劃的打印由印記配方(不打印),郵戳打印圖形和必要時(shí)其他用于廣告內(nèi)容的打印圖形���,運(yùn)送信息(選擇打印)和附加可編輯的通知產(chǎn)生�。非易失存儲(chǔ)器NVM 94具有多個(gè)存儲(chǔ)區(qū)。在那里非易失地存儲(chǔ)下載的郵資表�����。
芯片卡讀寫單元70由相應(yīng)的微處理器卡的機(jī)械載體和連接單元74組成�。后者使得芯片卡機(jī)械上可靠地保持在讀出位置上并且明確地指示芯片卡在連接單元中抵達(dá)讀出位置。具有微處理器75的微處理器卡具有對(duì)所有類型的存儲(chǔ)器卡及芯片卡的編程讀出能力����。與蓋郵戳機(jī)的接口是符合RS 232標(biāo)準(zhǔn)的串行接口。數(shù)據(jù)傳輸率最低為1.2K波特���。供電的接通借助于安裝在主板上的開(kāi)關(guān)71實(shí)現(xiàn)���。在接通電源后進(jìn)行自測(cè)并發(fā)出準(zhǔn)備好通知。
圖3示出蓋郵戳機(jī)從后面看去的透視圖���,蓋郵戳機(jī)由表盤1和基座2構(gòu)成�。后者裝配有芯片卡讀寫單元70����,它安裝在前板20的后面并且可從外殼上沿22接近它�。在用開(kāi)關(guān)71開(kāi)動(dòng)蓋郵戳機(jī)之后芯片卡49從上向下插到插入槽72中���。被送入的信件3立在邊緣上,以其被打印的正向躺在前板上��,然后它根據(jù)輸入數(shù)據(jù)被打印上一個(gè)郵戳31�����。信件輸入開(kāi)孔被透明板21和導(dǎo)向板20從側(cè)面限制���。插在表盤1主板9上的安全模塊100的狀態(tài)指示可通過(guò)開(kāi)孔109從外面看到�����。
圖4示出郵政安全模塊PSM 100的一種優(yōu)選形式的方框電路圖�。電池134的負(fù)極連接到地和連接件102的引腳p23上�����。電池134的正極通過(guò)導(dǎo)線193連接到電壓轉(zhuǎn)換器180的輸入端��,并且饋送系統(tǒng)電壓的導(dǎo)線191與電壓轉(zhuǎn)換器180的另一輸入端連接。在PSM 100最大用電量時(shí)壽命可達(dá)3.5年的SL-380/p型電池或壽命可達(dá)6年的SL-386/p型電池適于用作電池134����。市售ADM 8693ARN型電路可用作電壓轉(zhuǎn)換器180。電壓轉(zhuǎn)換器180的輸出端經(jīng)導(dǎo)線136接到電池監(jiān)測(cè)單元12和檢測(cè)單元13����。電池監(jiān)測(cè)單元12和檢測(cè)單元13經(jīng)過(guò)導(dǎo)線135,164和137�����,139與處理器120的引腳1�����,2�����,4和5建立通信連接����。電壓轉(zhuǎn)換器180的輸出還經(jīng)過(guò)導(dǎo)線136連接到第一個(gè)存儲(chǔ)器SRAM的供電輸入端,該存儲(chǔ)器在存在電池134時(shí)轉(zhuǎn)化為第一種工藝的非易失存儲(chǔ)器NVRAM��。
安全模塊經(jīng)過(guò)系統(tǒng)總線115,117���,118與蓋郵戳機(jī)建立連接���。處理器120可經(jīng)過(guò)系統(tǒng)總線和一個(gè)調(diào)制解調(diào)器83與遠(yuǎn)地?cái)?shù)據(jù)中心建立通信連接。結(jié)算由ASIC 150完成并由處理器120檢查�。郵政結(jié)算數(shù)據(jù)被存儲(chǔ)在不同工藝的非易失存儲(chǔ)器中�����。
系統(tǒng)電壓加到第二個(gè)存儲(chǔ)器NV-RAM 114的供電輸入端��。它是第二種工藝的非易失存儲(chǔ)器NVRAM��,(SHADOW-RAM)�。此第二種工藝最好包含一個(gè)RAM和一個(gè)EEPROM,其中后者在系統(tǒng)電壓中斷時(shí)自動(dòng)保存數(shù)據(jù)內(nèi)容�����。第二種工藝的NVRAM 114經(jīng)過(guò)內(nèi)部地址總線和數(shù)據(jù)總線112���,113與ASIC 150的相應(yīng)地址輸入端和數(shù)據(jù)輸入端相連接��。
ASIC 150至少包含一個(gè)用于計(jì)算要存儲(chǔ)的郵政數(shù)據(jù)的硬件結(jié)算單元���。在可編程陣列邏輯(PAL)160中安排了ASIC 150上的存取邏輯���。ASIC 150受邏輯PAL 160控制。主板9的地址總線和數(shù)據(jù)總線117���,115連接到邏輯PAL 160的對(duì)應(yīng)引腳上��,并且PAL 160至少產(chǎn)生一個(gè)用于ASIC 150的控制信號(hào)和一個(gè)對(duì)程序存儲(chǔ)器FLASH 128的控制信號(hào)119�����。處理器120運(yùn)行一個(gè)程序��,它存儲(chǔ)在FLASH 128中�。處理器120�,F(xiàn)LASH 28,ASIC 150和PAL 160通過(guò)模塊內(nèi)部的系統(tǒng)總線相互連接����,總線包括用于數(shù)據(jù)信號(hào),地址信號(hào)和控制信號(hào)的導(dǎo)線110�,111�����,126���,119。
安全模塊100的處理器120通過(guò)內(nèi)部數(shù)據(jù)總線126與FLASH 128和ASIC 150連接�����。FLASH 128由系統(tǒng)電壓Us+供電����。例如它是一個(gè)128K字節(jié)的AM29F01045EC型FLASH存儲(chǔ)器���。郵政安全模塊100的ASIC 150通過(guò)模塊內(nèi)部的地址總線110將地址0至7接到FLASH 128的對(duì)應(yīng)地址輸入端上�����。安全模塊100的處理器120通過(guò)內(nèi)部地址總線111將地址8至15接到FLASH 128的對(duì)應(yīng)地址輸入端上���。安全模塊100的ASIC 150通過(guò)接口8的連接件101與主板9的數(shù)據(jù)總線118,地址總線117和控制總線115建立連接���。
處理器120具有存儲(chǔ)器122�����,124�,從電壓監(jiān)測(cè)單元12來(lái)的工作電壓Ub+通過(guò)導(dǎo)線138給它們供電。尤其是一個(gè)實(shí)時(shí)時(shí)鐘RTC 122和存儲(chǔ)器RAM 128通過(guò)導(dǎo)線138由工作電壓供電��。電壓監(jiān)測(cè)單元(電池觀測(cè)器)12還給出一個(gè)狀態(tài)信號(hào)164并響應(yīng)控制信號(hào)135����。電壓轉(zhuǎn)換器180給出輸出電壓到導(dǎo)線136上對(duì)電池觀測(cè)器12和存儲(chǔ)器116供電,其輸出電壓是其二個(gè)輸入電壓中大的那一個(gè)�。由于此電路根據(jù)電壓Us+和Ub+的大小自動(dòng)用兩個(gè)中較大的一個(gè)供電,因此在正常工作時(shí)電池134可被更換而不會(huì)發(fā)生數(shù)據(jù)丟失�����。
在上述方式下����,在正常工作之外的停止運(yùn)行時(shí)間內(nèi)由安全模塊100的電池134給實(shí)時(shí)時(shí)鐘(RTC)122和/或靜態(tài)RAM(SRAM)124供電,該時(shí)鐘具有日期和/或時(shí)期時(shí)間寄存器����,SRAM保存安全相關(guān)的數(shù)據(jù)�����。如果在電池工作時(shí)電池電壓降到規(guī)定門限值以下�����,則由電壓監(jiān)測(cè)單元12將RTC和SRAM的饋電點(diǎn)接地,直到其復(fù)原��,于是RTC和SRAM的供電電壓為0伏����。這導(dǎo)致包含例如重要的密鑰的SRAM 124很快被清零。同時(shí)RTC 122的寄存器也被清除并且丟失實(shí)時(shí)時(shí)鐘時(shí)間和實(shí)時(shí)日期����。通過(guò)上述動(dòng)作避免了在可能受到通過(guò)操縱電池電壓進(jìn)行的襲擊時(shí)蓋郵戳機(jī)時(shí)鐘122的停止和安全相關(guān)不丟失��。從而不再需要像例如長(zhǎng)時(shí)間定時(shí)器或監(jiān)視器這樣的安全措施來(lái)對(duì)付襲擊���。
復(fù)位單元130通過(guò)導(dǎo)線131與處理器120的引腳3和ASIC 150的一個(gè)連接�。處理器120和ASIC 150在供電電壓下降時(shí)被復(fù)位單位130中產(chǎn)生的復(fù)位信號(hào)復(fù)位�����。
同時(shí)上述電路與電池低電壓指示一起進(jìn)入自保狀態(tài)���,即使后來(lái)電壓升高了也仍保持在此狀態(tài)。在下一次開(kāi)通模塊時(shí)處理器可查詢電路的狀態(tài)(狀態(tài)信號(hào))和/或通過(guò)讀取被清除的存儲(chǔ)器的內(nèi)容來(lái)判定在前面時(shí)間中電池電壓曾經(jīng)降到規(guī)定值以下。處理器可復(fù)原監(jiān)測(cè)電路�,即恢復(fù)其功能��。
未插入檢測(cè)單元13為了測(cè)量輸入電壓��,有一根導(dǎo)線192經(jīng)過(guò)安全模塊的插腳和接口8��,最好經(jīng)蓋郵戳機(jī)母板9上的一個(gè)插座與地連接���。此測(cè)量用作是否插入的靜態(tài)監(jiān)測(cè)并構(gòu)成第一級(jí)監(jiān)測(cè)的基礎(chǔ)��。未插入檢測(cè)單元13具有用于可復(fù)原自保電路的電路元件��,并且當(dāng)測(cè)量電壓線192上的電壓偏離規(guī)定電位時(shí)自保電路起動(dòng)�。同時(shí)被編程并與其他功能連接的處理器120根據(jù)應(yīng)用邏輯保持或改變安全模塊100的相應(yīng)狀態(tài)�����。自保電路的狀態(tài)經(jīng)過(guò)導(dǎo)線139被安全模塊100的處理器120查詢��。當(dāng)安全模塊100正常插入時(shí)導(dǎo)線192上的測(cè)量電壓電位對(duì)應(yīng)地電位�����,導(dǎo)線139上為工作電壓電位�����。當(dāng)安全模塊100沒(méi)插入時(shí)地電壓電位在導(dǎo)線139上�����。處理器120的第5引腳接導(dǎo)線139����,以查詢未插入檢測(cè)單元13的狀態(tài)是否該引腳由自保電路接到地電位上�。為了經(jīng)過(guò)導(dǎo)線137復(fù)原未插入檢測(cè)單元13的自保電路,處理器120采用其第4引腳����。
此外還存在一個(gè)電流回路18,它通過(guò)安全模塊的插腳和蓋郵戳機(jī)主板9上的插座將處理器120的引腳6和7相互連接起來(lái)。處理器120的引腳6和7上的導(dǎo)線僅當(dāng)PSM 100插入主板9上時(shí)才連接成電流回路18��。這個(gè)回路構(gòu)成第二級(jí)上動(dòng)態(tài)監(jiān)測(cè)安全模塊是否插入的基礎(chǔ)。
處理器120內(nèi)部有一個(gè)處理單元CPU 121�,一個(gè)實(shí)時(shí)時(shí)鐘RTC122����,一個(gè)RAM單元124和一個(gè)輸入/輸出單元125�。處理器120的引腳8�����,9輸出至少一個(gè)信號(hào)用以指示安全模塊100的狀態(tài)���。引腳8和9連接輸入/輸出單元125的I/O口,其上接有模塊內(nèi)部的指示裝置���,例如彩色發(fā)光二極管LED 107,108,它們指示安全模塊100的狀態(tài)��。安全模塊在其壽命期內(nèi)可處于不同的狀態(tài)下�����。因而例如必須檢測(cè)模塊是否含有有效密鑰����。此外判定模塊功能正常還是有故障也是重要的。模塊狀態(tài)的精確類型和數(shù)量與模塊實(shí)現(xiàn)的功能和實(shí)現(xiàn)有關(guān)�。
下面借助圖5說(shuō)明檢測(cè)單元13的電路。未插入檢測(cè)單元13具有一個(gè)分壓器�����,它由電阻1310���,1312����,1314的串聯(lián)電路構(gòu)成����,此分壓器接在連接電容器1371的供電電壓電位與導(dǎo)線192上的測(cè)量電位之間�。電路通過(guò)導(dǎo)線136由系統(tǒng)電壓或電池電壓供電����。導(dǎo)線136的供電電壓通過(guò)二次管1369到達(dá)電路的電容器1371上。電路的輸出側(cè)有一個(gè)反相器1320��,1398��。在正常狀態(tài)下反相器的晶體管1320截止����,供電電壓經(jīng)過(guò)電阻1398加到導(dǎo)線139上,所以在正常狀態(tài)下輸出邏輯‘1’即高電平��。最好導(dǎo)線139上的低電平作為未插入狀態(tài)信號(hào)�����,因?yàn)檫@樣在處理器120引腳5中沒(méi)有電流流進(jìn)�,這將增加電池壽命�。二極管1369最好與電解電容器1371一起供電,使得導(dǎo)線136上的電壓被切斷后�,反相器前面的電路在一個(gè)相對(duì)長(zhǎng)的時(shí)間期(大于2s)內(nèi)仍得到供電電壓,保證其功能��。
分壓器1310,1312�����,1314有一個(gè)引出頭1304�����,其上連接電容器1306和比較器1300的同相輸入端���。比較器1300的反相輸入端連接參考電壓源1302���。比較器1300的輸出一方面經(jīng)反相器1320,1398連接導(dǎo)線139��,另一方面與自保電路元件1322的控制輸入端連接���。電路元件1322與分壓器的電阻1310并聯(lián)��,電路元件1316用來(lái)復(fù)原自保電路����,它接在引出頭1304和地之間。分壓器的引出頭1304位于電阻1312和1314的連接點(diǎn)�����。接在引出頭1304和地之間的電容器1306阻止振蕩�����。分壓器的引出頭1304上的電壓在比較器1300中與源1302的參考電壓比較�。如果引出頭1304上被比較的電壓小于源1302的參考電壓,比較器輸出保持低電平���,反相器的晶體管1320截止���。這樣導(dǎo)線139具有工作電壓電位,狀態(tài)信號(hào)為邏輯“1”����。分壓器被設(shè)計(jì)成使得在導(dǎo)線192為地電位時(shí)引出頭1304上的電壓可靠地低于比較器1300的切換門限�。如果因?yàn)榘踩K100從主板9的插座或蓋郵戳機(jī)接口8脫離而使得連接被切斷且導(dǎo)線192不再接地,則引出頭1304上的電壓超過(guò)參考電壓源1302的電壓�,比較器1300反轉(zhuǎn)。比較器輸出切換為高電平��,晶體管1320導(dǎo)通。這樣導(dǎo)線139接地電位����,狀態(tài)信號(hào)為邏輯‘0’。
借助于與分壓器的電阻1310并聯(lián)的晶體管1322實(shí)現(xiàn)未插入檢測(cè)單元13的自保電路�。晶體管1322的控制輸入端被比較器輸出端接到高電平上。因而晶體管1322導(dǎo)通并且跨接在電阻1310上���,從而電壓分壓器僅還由電阻1312和1314構(gòu)成��。這樣切換門限被進(jìn)一步提高��,使得當(dāng)因重新插入安全模塊而使導(dǎo)線192重又接到地電位時(shí)比較器仍保持在反轉(zhuǎn)狀態(tài)���。
電路的狀態(tài)可通過(guò)導(dǎo)線139上的信號(hào)由處理器120查詢。
未插入檢測(cè)單元13具有用來(lái)復(fù)原自保電路的電路元件導(dǎo)線137和電路元件1316���。復(fù)原由處理器120通過(guò)導(dǎo)線137上的信號(hào)觸發(fā)����。
處理器120可隨時(shí)通過(guò)專用電路ASIC 150���,第一個(gè)連接件101��,控制裝置1的系統(tǒng)總線����,以及例如通過(guò)微處理器91經(jīng)調(diào)制解調(diào)器與遠(yuǎn)地?cái)?shù)據(jù)中心建立接觸,此中心檢查結(jié)算數(shù)據(jù)并必要時(shí)傳送其他數(shù)據(jù)到處理器120��。安全模塊100的專用電路ASIC 150經(jīng)過(guò)模塊內(nèi)部的數(shù)據(jù)總線126與處理器120連接���。
在借助于傳送的數(shù)據(jù)成功地結(jié)束了重新初始化之后�����,處理器120可復(fù)原未插入檢測(cè)單元為此通過(guò)加到導(dǎo)線137上的復(fù)原信號(hào)使晶體管1316導(dǎo)通��,從而引出頭1304上的電壓被拉到源1302的參考電壓以下并且晶體管1320和1322截止�。在正常狀態(tài)下晶體管1322截止��,電阻1310和1312串聯(lián)構(gòu)成上述分壓器的上面部分����,從而切換門限重又降到原來(lái)狀態(tài)。
圖6示出安全模塊機(jī)械結(jié)構(gòu)的側(cè)視圖�。此安全模塊構(gòu)造成多芯片模塊�,即多個(gè)功能單元裝在一塊電路板106上。安全模塊100用固化的灌注物質(zhì)105灌注,其中安全模塊100的電池134可更換地安裝在電路板106上灌注物質(zhì)105之外��。例如��,如此用灌注物質(zhì)105灌注��,使得指示裝置107���,108在第一個(gè)位置處從灌注物質(zhì)中伸出����,并且電路板106帶著被安放的電池134從側(cè)面第二個(gè)位置處伸出��。此外電路板106還具有用來(lái)連接電池134的電極的電池連接端子103和104�,它最好在電路板106上方元件安裝面上。為了插郵政安全模塊PSM 100在表盤1的主板上���,連接件101和102被安裝在安全模塊100的電路板106的下面(線路面)��。專用電路ASIC 150通過(guò)第一個(gè)連接件101以圖中未示出的方式與控制裝置1的系統(tǒng)總線建立通信連接�����,第二個(gè)連接件102用于系統(tǒng)電壓對(duì)安全模塊100的供電����。若安全模塊已插在主板上,然后最好這樣將它裝在表盤外殼中����,使得指示裝置107,108接近或者伸進(jìn)開(kāi)孔109中�。表盤外殼最好如此構(gòu)造,使得使用者能從外面看到安全模塊的狀態(tài)指示����。指示裝置的兩個(gè)發(fā)光二極管107和108由處理器120引腳8,9上I/O口的兩個(gè)輸出信號(hào)控制���。兩個(gè)發(fā)光二極管被安置在一個(gè)共同的元件殼中(雙彩色發(fā)光二極管)����,這樣開(kāi)孔的偏差及直徑可保持相對(duì)小些并在指示裝置的數(shù)量級(jí)之內(nèi)���。原則上可呈現(xiàn)三種不同的顏色(紅�、綠�����、橙),然而只用其中兩種(紅和綠)����。為區(qū)別狀態(tài)也可使LED閃爍��,這樣可以區(qū)分8種不同的狀態(tài)組���,它們用以下的LED狀態(tài)來(lái)表示LED不亮�����,LED紅色閃����,LED紅色亮��,LED綠色閃����,LED綠色亮。
圖7示出郵政安全模塊的頂視圖�����。
圖8a和8b示出分別從右或從左看去的安全模塊的視圖。從圖8a和8b����,結(jié)合圖6可清楚看出電路板106下面連接件101和102的位置。
按照本發(fā)明郵政設(shè)備主要是蓋郵戳機(jī)�。但是安全模塊也具有其他結(jié)構(gòu)形式,可以例如插在個(gè)人計(jì)算機(jī)的主板上�,它作為PC-蓋郵戳機(jī)控制一臺(tái)市售的打印機(jī)。
本發(fā)明不限于上述實(shí)施形式��,公開(kāi)的本發(fā)明的其他的配置和實(shí)施方案可以被開(kāi)發(fā)和利用����,它們從本發(fā)明的基本思路出發(fā)并被包含在權(quán)利要求中。
權(quán)利要求
1.保護(hù)安全模塊的方法�,包括步驟·用第一個(gè)(120),第二個(gè)(12)和第三個(gè)功能模塊(13)監(jiān)測(cè)安全模塊的符合規(guī)定的使用�,·在不符合規(guī)定的使用或更換時(shí)至少用第二個(gè)功能單元(12)清除敏感數(shù)據(jù),·在更換安全模塊(100)時(shí)用第三個(gè)功能單元(13)鎖閉安全模塊(100)的功能�����,·在安全模塊(100)符合規(guī)定的使用或更換之后用第一個(gè)功能單元(120)重新初始化已被清除的敏感數(shù)據(jù)��,·通過(guò)釋放安全模塊(100)的功能單元(12,13)重新工作�����。
2.如權(quán)利要求1所述的方法��,其特征在于�,在動(dòng)態(tài)檢測(cè)其是否插入成功地進(jìn)行之后��,第一個(gè)功能單元與遠(yuǎn)地?cái)?shù)據(jù)中心建立通信連接實(shí)現(xiàn)所述重新初始化����,其中在檢測(cè)時(shí)第一個(gè)功能單元(120)通過(guò)接口(8)的電流回路(18)交換信息,其無(wú)錯(cuò)的傳送證實(shí)安裝符合要求�,并且安全模塊的功能單元(12,13)通過(guò)其復(fù)原而釋放���,其中第一個(gè)功能單元是處理器(120)�����,第二個(gè)功能單元是具有可復(fù)原自保電路的電壓監(jiān)測(cè)單元(12)�,并且第三個(gè)功能單元是具有可復(fù)原自保電路的未插入檢測(cè)單元(13)���。
3.用于實(shí)現(xiàn)權(quán)利要求1所述的方法的配置�,其中一個(gè)安全模塊裝配有一個(gè)邏輯電路(120,150���,160)和傳感器(13)����,電池(134)和用系統(tǒng)電壓和用電壓轉(zhuǎn)換器(180)供電的裝置�����,電壓轉(zhuǎn)換器經(jīng)導(dǎo)線(136)與電壓監(jiān)測(cè)單元(12)相連接�,電壓監(jiān)測(cè)單元經(jīng)導(dǎo)線(138)給出工作電壓到存貯器(122,124)�����,其特征在于��,未插入檢測(cè)單元(13)具有用于可復(fù)原自保電路的電路元件(1310�����,1316�,1322,1324),其中在測(cè)量電壓線(192)上的電平偏離規(guī)定電位時(shí)自保電路起動(dòng)�,并且邏輯電路包括一個(gè)與其它功能單元相連接的處理器(120),它被編程來(lái)判定并改變安全模塊(100)的相應(yīng)狀態(tài)�����。
4.如權(quán)利要求3所述的配置�,其特征在于,未插入檢測(cè)單元(13)具有導(dǎo)線(137)和用于自保電路復(fù)原的電路元件(1316)作為電路元件(Schaltungsmittel)�,并且處理器(120)通過(guò)導(dǎo)線(137)上的信號(hào)可引起復(fù)原。
5.如權(quán)利要求3或4中任一項(xiàng)所述的配置��,其特征在于���,未插入檢測(cè)單元(13)具有一個(gè)分壓器,它由電阻(1310�,1312,1314)串聯(lián)電路構(gòu)成并連接在可連接電容器(1371)的供電電壓電位與導(dǎo)線(192)上的測(cè)量電位之間�����,并且導(dǎo)線(136)的供電電壓經(jīng)二極管(1369)加到電容器(1371)上�,分壓器(1310,1312��,1314)具有一個(gè)引出頭(1304),其上連接電容器(1306)和比較器(1300)的同相輸入端��,比較器(1300)的反相輸入端連接參考電壓源(1302)��,比較器(1300)的輸出一方面經(jīng)反相器(1320�����,1398)連接導(dǎo)線(139)��,另一方面與自保電路元件(1322)的控制輸入端連接����,同時(shí)電路元件(1322)與分壓器的電阻(1310)并聯(lián),用于復(fù)原自保電路的元件(1316)接在引出頭(1304)和地之間���。
6.如權(quán)利要求5所述的配置��,其特征在于���,自保電路的狀態(tài)可由安全模塊(100)的處理器(120)經(jīng)導(dǎo)線(139)查詢。
7.如權(quán)利要求6所述的配置��,其特征在于�,當(dāng)安全模塊(100)正常插入時(shí)��,導(dǎo)線(192)上的測(cè)量電位對(duì)應(yīng)地電位且導(dǎo)線(139)上的電位對(duì)應(yīng)工作電位���,另一方面當(dāng)安全模塊(100)未插入時(shí)導(dǎo)線(139)上為地電位。
8.如權(quán)利要求3至7中任一項(xiàng)所述的配置��,其特征在于����,處理器(120)具有存貯器(122,124)���,電壓監(jiān)測(cè)單元(12)輸出的工作電壓Ub+經(jīng)導(dǎo)線(138)送給它����,處理器(120)由系統(tǒng)電壓Us+供電并具有第4個(gè)接點(diǎn)(腿4)���,用來(lái)經(jīng)導(dǎo)線(137)復(fù)原未插入檢測(cè)單元(13)中自保電路的狀態(tài),并且處理器具有第5個(gè)接點(diǎn)(腿5)����,其上連接導(dǎo)線(139),用來(lái)查詢未插入檢測(cè)單元(13)的狀態(tài)�����。
9.如權(quán)利要求8所述的配置,其特征在于�,安全模塊(100)具有專用電路ASIC(150),處理器(120)經(jīng)模塊內(nèi)部的數(shù)據(jù)總線(126)與專用電路ASIC(150)連接��,并且后者經(jīng)第一個(gè)連接件(101)與控制裝置(1)的系統(tǒng)總線建立通信連接�。
10.如權(quán)利要求3至9中任一項(xiàng)所述的配置,其特征在于���,安全模塊(100)用固化的濤注物質(zhì)(105)濤注��,安全模塊(100)的電池(134)可更換地安裝在電路板(106)上濤注物質(zhì)(105)之外�,電路板(106)具有用于連接電池(134)的電極的電池連接端子(103和104)和用于系統(tǒng)電壓對(duì)安全模塊(100)供電的第二個(gè)連接件(102)����,以及至少一個(gè)連接件(101,102)用來(lái)靜態(tài)和動(dòng)態(tài)監(jiān)測(cè)安全模塊(100)是否插入���。
11.如權(quán)利要求10所述的配置�,其特征在于�����,處理器(120)具有用于動(dòng)態(tài)監(jiān)測(cè)安全模塊是否插入的接點(diǎn)(腿6,7)���,其上連接導(dǎo)線�����,當(dāng)安全模塊(100)插入時(shí)此導(dǎo)線接成一個(gè)電流回路(18)�����。
12.如權(quán)利要求3至11中任一項(xiàng)所述的配置�����,其特征在于�,安全模塊(100)的處理器(120)裝配有用以輸出至少一個(gè)指示安全模塊(100)的狀態(tài)的信號(hào)的接點(diǎn)(腿8��,9)����。
13.如權(quán)利要求12所述的配置���,其特征在于�����,指示元件(107����,108)在模塊內(nèi)部連接到處理器(120)的輸入/輸出單元(125)的I/O口上。
全文摘要
本發(fā)明涉及一種保護(hù)安全模塊的方法,其步驟為:利用第一個(gè),第二個(gè)和第三個(gè)功能單元監(jiān)測(cè)其符合規(guī)定的使用,在不符合規(guī)定的使用或更換時(shí)至少用第二個(gè)功能單元清除敏感數(shù)據(jù),在更換安全模塊時(shí)用第三個(gè)功能單元鎖閉其功能,在符合規(guī)定的使用或更換安全模塊之后重新初始化已清除的敏感數(shù)據(jù),以及通過(guò)釋放安全模塊的功能單元來(lái)重新運(yùn)行��。
文檔編號(hào)G07B17/00GK1276579SQ0010387
公開(kāi)日2000年12月13日 申請(qǐng)日期2000年3月10日 優(yōu)先權(quán)日1999年3月12日
發(fā)明者彼得·波斯特, 德克·羅西瑙, 托斯坦·施拉夫 申請(qǐng)人:弗朗科泰普-波斯特利亞兩合公司