用於驗證數字郵資標記的有效性的方法

2023-10-07 04:22:04

專利名稱：：用於驗證數字郵資標記的有效性的方法描述在實踐中已經出現了帶有數字郵資標記的郵件。為了使郵件的發送者更容易地生成郵資標記，例如，德國郵局AG(DeutschePostAG)所使用的郵資系統允許在顧客系統中生成郵資標記，通過任一接口輸出到印表機。為了防止濫用這種方法，數字郵資標記包含密碼信息，例如包含關於控制郵資標記生成的顧客系統身份的密碼信息。本發明的目的是提供一種方法，這種方法可以用來快速可靠地驗證郵資標記的真實性。具體而言，這種方法適用於對大規模應用的驗證，尤其適用於信件中心或貨物中心的驗證。本發明可通過以下方式達到這一目標，即讀取裝置以圖形方式記錄郵資標記並將其傳送到驗證裝置；驗證裝置控制一系列部分檢查。部分檢查之一優選包含對郵資標記中的密碼信息進行解密。在檢查過程中對密碼信息進行解密使直接記錄郵資標記的真實性成為可能，這意味著可以實現在線驗證，尤其是在處理設備上處理郵件時實現在線驗證。另一優點是部分檢查之一包括對郵資標記的產生日期與當前日期進行比較。結合郵資標記產生日期-特別是以加密形式-加強了對數據的保護，這是因為對郵資標記的產生日期和當前日期進行比較防止了對用於遞送郵件的郵資標記的多次使用。為了進一步提高驗證速度，讀取裝置和驗證裝置使用同步協議交換信息是有利的。在本發明的另一適當的具體實施例中，讀取裝置和驗證裝置使用異步協議互相進行通信。在這種情況下尤其有利的是，讀取裝置向驗證裝置發送數據消息。數據消息優選包含郵資標記的內容。本發明其它的優點、具體特徵、以及有利發展將從本發明的權利要求和隨後參考附圖進行說明的優選實施例中獲得。在附圖中圖1示出安全付費系統的系統部件的原理框圖；圖2示出安全付費系統、手持掃描儀、以及安全付費PC的特定優選實施例；圖3示出郵資標記的產生和驗證的原理圖；圖4示出密碼系統部件的示意圖；圖5示出驗證方法的優選實施方案；圖6示出具有特定優選序列的部分檢查的驗證方法的另一特定優選實施例；以及圖7示出一種用於在中央裝載站(郵資點)和單獨的密碼驗證裝置(密碼伺服器)之間分發密鑰的優選順序。下面將使用PC郵資系統的例子對該發明加以說明。在這種情況下，安全付費中採用的方法步驟獨立於與用來生成郵資標記所使用的系統。雖然進行集中驗證同樣是可能的，但是所描述的單個的檢查站，特別是郵件中心上的本地驗證特別優選。在本發明的第一實施例中，獨立的掃描儀優選以隨機抽樣的方式對郵資標記的真實性進行驗證。適合這一目的的驗證系統優選包括圖1中所描述的組件。圖1示出密碼系統涉及哪些子系統，下面將做簡單說明。掃描儀掃描儀用來從PC郵資設備中讀入郵資標記。郵資標記是數據矩陣格式的二維條形碼代碼，採用ECC200錯誤糾正。根據掃描儀類型，數據通過無線或者電纜傳送，無線掃描儀能夠多行顯示，所以具備輸出能力和觸控螢幕，或者具有一個可進行基本輸入的鍵盤。通過掃描儀控制器和有效性控制器將掃描儀和優選的安全付費計算機郵資系統的其他系統之間的接口形成為部件。雖然掃描儀控制器控制來源於手持掃描儀的能用於檢查且與掃描儀基本保持接觸的矩陣代碼隊列，但是它僅與另外一個系統通過有效性掃描儀接觸。掃描儀控制器/有效性控制器掃描儀控制器，或有效性控制器，用作掃描儀和另外的系統之間的接口，用以驗證二維條形碼。它們接收到由光學記錄轉變而來的進行過錯誤糾正的二維條形碼內容，然後迅速進行驗證，在使用無線掃描儀的情況下，能夠確保輸出讀取和檢查結果，作為檢查器所進行的可能必要的手工結束操作及檢查和其它系統之間的接口。密碼系統密碼系統提供二維條形碼內容的內容和密碼驗證，也提供與安全相關的數據和算法的受保護的存儲內容的驗證。將在以後對單獨的組件進行詳細介紹。費用額裝載站(郵資點)費用額裝載站(郵資點)是PC-郵資設備內的中央系統。其起到與顧客系統的接口的作用。通過這個接口，顧客可以取消預置金額，用於以後的郵資。費用額裝載站(郵資點)用來生成保護方法的密鑰。另外，其還用作帳單系統的接口。下面提供的接口用於PC郵資的優選安全付費系統。●二維條形碼之上的郵寄信息；●對稱密鑰；●主要數據，例如預置金額和帳戶結餘。優選安全付費中心在優選的安全付費中央系統中，與郵寄相關的信息將被收集起來，並用於其它系統。這是創建生成報告的地方，又產生負文件(negativefile，也可稱之為「黑名單」)。此外，安全付費中央系統接收到來自費用額裝載站(郵資點)的當前密鑰數據，並將其轉發到一個單獨的密碼伺服器。數據提供者為了驗證二維條形碼的內容，需要一系列的主要數據，例如與產品和安全付費警告和後續處理代碼相關的負文件、最少付費、有效期限。這些數據將由不同的系統(BDE、VIBRIS、本地安全付費系統)提供。安全付費應用安全付費應用提供了AGB檢查機，其需要完成對取出的PC-付費郵件的檢查，並能夠對郵資進行更加詳細的檢查，其中，檢查結果的描述不為有限的掃描器的輸出選擇所限定。此外，在這種情況下，檢查機也能檢查其它數據，如與當前郵件有關的運費額的有效期、以及所使用的數量和郵資。二維條形碼的自動記錄二維條形碼的自動記錄在SSA中完成。為此，圖像信息被轉發到AFM二維代碼讀取器中，在那裡可以完成圖像到數據矩陣代碼的內容的轉變，緊接著，二維條形碼的內容被傳送到密碼系統中進行檢查，返回的檢查結果被評估並且傳送到光學記錄系統(IMM)以進行郵件的編碼。以這種方式擴展的檢查方法的優選部分在圖2中示出。AFM二維代碼讀取器每一個讀取器(ALM/ILVM)均有一個AFM二維代碼讀取器，通過光記錄系統(IMM)接收郵件的圖像數據，並為了安全付費的目的進一步處理它們。在優選的安全付費PC郵資的情況下，這意味著當已經識別出二維代碼時，將二維數據矩陣代碼從圖像數據中抽取出來，利用ECC200錯誤糾正方法，將其轉換為表示二維條形碼內容的字節串。為了進行校驗，將該字節串傳送到有效性控制器。接著，將檢查結果通過光記錄系統中的接口進行轉發，檢查結果在接口內用來編碼。用於AFM二維代碼讀取機的密碼系統例如，根據密碼卡的特性不同，可期望示範值為每秒鐘執行約27個檢查。由於讀取機的速度是每秒鐘讀取約10個郵件，將每個AFM二維代碼讀取機和密碼系統結合似乎是沒有意義的。此外，也不能假定PC-F郵件100％同時在所有機器上產生。因此，將密碼系統分開以及對多個PC-F讀取器和一個密碼系統進行操作似乎是適當的。在這種情況下，應當選取能夠伸縮的解決方案，即每個信件中心可能有多個密碼系統。舉例來說，這與擁有高發送量和數量較多的讀取機的郵件中心相關，郵件中心初始設置有第二密碼系統。此外，伺服器的數目以後可隨相應需求而增加。在這種情況下，為了降低複雜程度，優選的架構允許單個的讀取機與一個密碼系統固定地關聯，也可以通過附加的反饋配置進行擴展，發生錯誤時，嘗試著轉移到另一密碼系統。將密碼系統與AFM二維代碼讀取機分離的優點還在於機器讀取和手持掃描儀檢查均可利用同一密碼系統實現，因此，相同的功能不必重複實現，這也在實現本發明時提供了額外的顯著優點。向郵件提供數字郵資標記的優選方法的步驟如圖3所示。需要在以下步驟之後進行已經從中央裝載站(郵資點)加載費用金額；郵資標記已經由本地PC生成；郵件也已經隨後交付；附加在郵件上的郵資標記已經被驗證。不管密鑰如何分配，實施的順序如下顧客首先在自己的PC機上載入一定量的郵資。為了識別請求，在這種情況下產生一個隨機數。費用金額裝載站(郵資點)為每個顧客生成新的郵資，傳送的隨機數用以創建關於顧客系統(顧客系統身份聲明，以下稱為郵資ID)和郵資「密碼串」的進一步的信息，密碼串使用存在於費用金額裝載站(郵資點)上的秘密對稱密鑰進行加密。這個密碼串以及相應的郵資隨後被傳送到顧客PC機上，和隨機數一起儲存到這個顧客PC「保險箱」，免於惡意訪問。如果顧客根據這一程序免費郵寄已付郵資的郵件，那麼，對應於二維條形碼的郵寄數據和其它的密碼串、郵資日期、以及郵資金額由隨機數進行擴展，以不加密的形式收集郵資ID，創建一個能清楚識別內容的散列值(hashvalue)。由於隨機數以加密的形式存在於密碼串之內，也以未加密的形式位於散列值內，因此可以保證郵寄日期不會被篡改，或被擅自生成，從而可以推斷出創建者。對應於郵件的數據隨後將轉換成二維條形碼，並作為相應的郵資標記符號通過顧客的印表機列印到郵件上。然後，將做完的郵件放入郵寄程序。在安全付費的一個特定的優選實施例中，通過AFM二維代碼讀取機或手持掃描儀將二維條形碼讀入郵件中心並隨後進行驗證。與此關聯的處理步驟在圖中的操作號5-8中清楚說明。為了驗證二維條形碼的正確性，AFM二維代碼讀取機將完整的郵寄數據傳遞到密碼系統。在那裡，包含在郵寄數據裡的密碼信息(尤其是密碼串信息)被解密，以確定在創建散列值時使用的隨機數。接著，為包含解密隨機數的郵寄數據確定散列值(也稱為消息摘要)。進行驗證，以確定結果是否與二維條形碼所包含的散列值相同。除了密碼有效性之外，也需要進行進一步的內容驗證(操作號7b)，例如檢查可防止二維條形碼被重複使用，也可以檢查顧客是否由於試圖欺騙而引人注意，因此被列入負文件中。隨後，相應的檢查結果傳送到PC-F讀取機上，其將結果轉發到光記錄系統(IMM)上，以對條形碼編碼。條形碼接著印到信上，對負文件進行檢查後，發送郵件。密碼系統架構組件概述圖4給出了密碼系統的子部件的示意圖，其中，標記箭頭表示到外部系統的輸入輸出數據流。當將密鑰從費用金額裝載站(郵資點)分發到本地安全付費系統中的密碼系統時，優選的安全付費中央系統被用作轉臺(turntable)，這些數據需要儲存到緩存中，需要在那兒也提供密碼系統組件，但一般不涉及有效性控制器的使用。密碼系統的子部件將在下面更加詳細的描述。有效性控制器有效性控制器是用於驗證二維條形碼內容完整性的接口。二維條形碼的驗證包括內容驗證和密碼驗證。為了這個目的，掃描儀所讀入的二維條形碼的內容應當通過掃描儀控制器轉發到有效性控制器上。由於用於有線掃描儀和有效性控制器的相關掃描儀控制器位於不同的計算機系統上，有必要在它們之間提供基於TCP/IP的通信，基於其上的協議的使用而不是使用純粹的套接字編程帶來了優點。在使用密碼系統的情況下，在操作數據記錄(BDE)內使用的消息管理器或諸如Corba/IIOP這樣的光記錄系統內使用的協議都適合這種情況。有效性控制器啟動獨立的檢查程序，後者反過來將它們的檢查結果反饋回來。由於具有不同掃描儀的多個AGB檢查器同時處於激活狀態，有效性控制器需要被設計成具有「多會話能力」。也就是說，其必須同時處理多個檢查請求，且引導相應的輸出到正確的掃描儀。此外，其應該被設計以使得能同時執行多個檢查請求以及一些與此並行的檢查步驟，例如散列值檢查和最少付費檢查。在開始一個會話時，通知控制器與其通信的掃描儀類型，分配給其一個機會，通過呼叫返回的方法啟動輸出和手工重新檢查的程序。取決於操作模式和掃描儀類型，要麼在無線掃描儀上輸出結果要麼在安全付費系統上輸出結果，同時記錄手工檢查結果。密碼卡一個特定的問題是保持需要用於對二維條形碼中密碼串進行加密，同時又對密碼串進行解密以進行檢查的密鑰。這個密鑰確保二維條形碼不被偽造，從而排除通過窺視獲得的可能性。所以，必須採取特殊的安全措施以確保該密鑰決不能在硬碟上、內存中、或在傳輸過程中以明文形式存在，除此之外，還通過強大的加密方法進行保護。在這種情況下，完全基於軟體的解決方案不能提供可靠的安全性，這是因為在系統的某一位置處，密鑰實際上以明文形式存在，或者使用調試器從內存中能以明文形式讀取密鑰。這種風險也存在，特別是因為系統可以通過遠程管理，或者離開公司進行修理。此外，加密方法對系統處理器造成高負荷。系統處理器不能為將要執行的操作進行優化。所以推薦使用具有以下特點的密碼處理卡。●特殊的密碼處理器，用於對加密方法進行加速；●封閉的黑箱系統，用於防止對高安全性數據和方法的訪問。滿足這些特徵的密碼卡是自治系統，根據形式，它們通過PCI總線或ISA總線與計算機相連，通過驅動器與軟體系統通信。除了電源緩衝主存儲器之外，密碼卡也有一個flashROM存儲器，在這個存儲器中可以儲存單個的應用代碼。從外部系統直接訪問卡上的主存儲器是不可能實現的，這意味著確保了非常高的安全級別，原因在於，除了通過受保護的驅動器之外，提供安全性的密鑰數據或加密方法均不能被使用。此外，密碼卡利用專用傳感器監控是否存在操縱企圖(取決於密碼卡的設計，例如溫度峰值點，輻射，保護層的打開，電壓峰值點)。如果存在這樣的操縱企圖，電池緩衝主存儲器的內容被迅速刪除，同時關閉卡。對於密碼伺服器，解密郵資ID的功能，檢查散列值的功能，和導入密鑰數據的功能都應該直接加載到卡上，因為這些程序具有高安全相關性。而且，所有密碼系統的密鑰和實施認證所必需的證書的配置同樣應該保存在卡的電源緩衝主存儲器中。如果卡沒有足夠的內存，那麼，卡通常擁有一個主密鑰，這個主密鑰能夠對用來上面所列出的數據加密，然後把它們儲存到系統硬碟上。但是，這需要在首次使用這個信息之前，先對數據再次解密。下表概括了不同製造商適合的卡模型，同時聲明它們的證書。PC郵資優選安全付費系統內的密碼卡的使用除了滿足卡的要求之外，期望得到的BSI證書意味著每個模型當前具有哪些證書和當前在評估過程中有哪些證書也非常重要。在這種情況下，為產品發行的證書分為由不同證書機構制定的三個等級。ITSEC是歐盟委員會發布的標準機制，其目的在於基於安全特性對IT產品和IT系統進行認證。信任度的評定等級分為E0-E6，其中，E0表示安全性能最差，而E6表示安全性最強。進一步發展的與類似的國際標準一致的標準是CC(通用標準)，目前，它處於ISO的標準化過程中(ISO標準15408)。這個控制機制用於評估系統的安全性。目前還沒有上述表中出現的符合CC的證書的產品。但是，IBM模型4758-002目前處於認證階段。標準FIPS的PUB140-1是美國政府發行的用以評估商用密碼設備安全性的標準方案。這個標準方案很大程度上側重於硬體特性。評估分為4個等級，1級代表安全性最低，4級代表安全性最高。除了上面所述的評估標準，存在另外一個標準，它由中央信貸委員會(ZKA)制定，控制對在電子支付領域中操作IT系統和產品的許可。除了卡和所分配的證書的上述特性之外，還有其它一系列進一步的好處，如下所示●創建自己的(籤過名的)軟體並儘可能上載到卡上；●集成的隨機數產生器(經過認證的FIPSPUB140-1)；●硬體上實現的DES，3DES和SHA-1；●RSA-密鑰產生和私鑰/公鑰處理，處理過的密鑰的長度達到2048位；●密鑰管理-功能；●證書管理-功能；●在某種程度上，儘可能在一個系統中並行運行多個密碼卡。密碼接口在密碼卡應用的範圍內，與安全性相關的功能(函數)直接儲存在卡上，因此只能通過卡驅動器從外部訪問。驅動器和有效性控制器之間所使用的接口是密碼接口部分，它通過驅動器把檢查請求轉發給卡。由於計算機內有可能使用多個卡，密碼接口的任務是執行獨立檢查請求的負載分配。此外，特別是當密碼系統的檢查程序由另一個、或取決於郵件中心、多個AFM-二維代碼讀取器使用時，這個功能是有益的。另外一個任務是處理通信以分配密鑰數據。在等級2，存在一種基本的機制，使用這種機制傳送在籤過名的文件中出於安全的目的而被加密的密鑰。對密碼接口的請求包括提供一種用途，允許導入這種文件。密碼系統的功能有效性控制器的檢查順序為了檢查二維條形碼，有效性控制器提供中央檢查功能作為掃描儀或讀取系統的接口。這個檢查功能與獨立的檢查部件的順序協調一致。從用於安全付費事件的獨立的檢查程序部件發送出的代碼根據預定義的錶轉換為適當的安全付費代碼。該表優選位於中央且被傳送到密碼系統。在這個表中，當已經識別出多個安全付費事件時，額外規定優先權，控制分配哪個安全付費代碼。這個安全付費代碼隨後作為檢查結果和描述性文本返回。取決於密碼系統之外系統進一步的處理，這個結果然後輸出到無線掃描儀或安全付費應用系統中，或者在自動檢查時轉換為TIT2代碼並列印到郵件上。因為手持掃描儀系統和自動讀取系統之間的順序是不同的，兩種不同的應用實例應用不同的功能。根據讀取系統和有效性控制器之間應用哪種通信機制，呼叫和返回結果各不相同。如果使用諸如Corba/IIOP這樣的基於同步RPC的協議，當檢查結束時，直接調用檢查方法和傳送檢查結果。然後，客戶端(即掃描儀控制器)以及讀取系統等待實現和檢查結果的返回值。對於後者，有必要為客戶提供一個線程池，能夠在有多個請求時進行並行檢查。在利用TGM的非同步機制的情況下，掃描儀控制器或讀取系統不是直接調用檢查方法，而是將消息發送給包含檢查要求、二維條形碼的內容、以及諸如當前分類程序這樣的其它信息的密碼系統。一旦在密碼系統上收到這種消息，調用和執行檢查功能，讀取和檢查結果反過來作為一個新的消息返回。這種方法的優點在於，在請求系統上該過程不會被阻擋，直至得到結果。用於手持掃描儀系統的檢查手持掃描儀系統的檢查程序等待會話ID和二維條形碼的內容作為輸入值，等待作為附加參數的分類程序ID。分類程序ID也用於確定最少付費。圖5示出了有效性控制器內檢查順序的示意圖，在這個例子中，已經通過手持掃描儀系統觸發檢查。在這種情況下，它是以一個利用無線掃描儀進行檢查，隨後對地址和二維條形碼的內容的手工比較為假設前提的。在有線連接的掃描儀的情況下，安全付費系統或安全付費應用程式以相似的方式顯示。圖5示出了一種利用無線掃描儀、掃描儀控制器、和驗證裝置(有效性控制器)的優選驗證順序。在所說明的特定優選實施例中，驗證裝置控制一系列部分檢查，其中，第一部分檢查包括讀入保存在數字郵資標記上的矩陣代碼。已經讀入的矩陣代碼首先從無線掃描儀傳送到掃描儀控制器，隨後，掃描儀控制器檢查矩陣代碼，並將其傳送到驗證裝置。驗證裝置控制代碼內容的分解。然後，讀取的結果傳送到記錄裝置-圖中示出的是無線掃描儀。結果，例如，讀取裝置的用戶會發現有可能讀取郵資標記，這樣能識別矩陣代碼中包含的內容。隨後，驗證裝置對包含在矩陣代碼中的密碼串進行加密。為此，首先驗證可能用於生成郵資標記的密鑰版本。隨後，驗證密碼串中包含的散列值。另外，檢查所提供的最小付費。此外，驗證控制郵資標記生成的顧客系統的識別號碼(郵資ID)。隨後，檢查負文件列表看是否有這個識別號碼。通過這種特別簡單合理的方式，驗證步驟使得以簡單方式確定未經授權生成的郵資標記成為可能。將傳送的結果作為數字消息傳送，其中，數字消息可以傳送到最初的無線掃描儀。通過這種方式，例如，無線掃描儀用戶可以從郵件程序中取出郵件。然而，在自動實現該方法的變化的情況下，顯然也能夠從正常的郵件處理程序中取去郵件。檢查結果優選記錄到驗證裝置的域中。作為返回值，應該返回屬於安全付費事件的代碼、相關聯的文本消息、以及二維條形碼對象。AFM二維代碼讀取器的檢查順序AFM二維代碼讀取器的檢查程序等待的輸入參數同樣是會話ID、二維條形碼的內容、以及當前工作的分類程序唯一標識符。圖6示出了當所述檢查已經通過讀取系統觸發時，有效性控制器內檢查的順序。為了闡明這個順序，為了解釋檢查的整個背景，圖中還說明了光學記錄系統(IMM系統)和AFM二維代碼讀取器。然而，密碼系統部分局限於檢查二維條形碼和返回值之間的功能和檢查結果的記錄。在使用消息管理接口的情況下，有效性控制器將開始多個服務任務，這些服務任務將等待檢查請求消息，並使用消息內容來調用檢查程序。等待檢查程序的結果，並將檢查程序的結果打包到消息中，並返回發出請求的客戶。圖6描述了另一通過驗證裝置(有效性控制器)控制部分檢查的次序的優選實施例。在優選實施例的情況下，通過自動光學識別系統(Prima/IMM)記錄郵資標記。數據將從光驗證裝置到讀取和記錄裝置(AFM二維代碼讀取器)。在圖6中所示的驗證數字郵資標記真實性的方法的實施例中，數字郵資標記優選以更加自動化的方式讀入，例如，通過光學記錄郵件站，且在郵件站上，郵資標記被優先放置。其它的驗證步驟的實施基本上與圖5中所示的檢查順序一致。檢查程序的返回值首先包括安全付費代碼和相關消息，也包括為郵資ID所擴展的被轉換的內容。這些返回值用來生成消息和將其發送到發出請求讀取的系統。內容檢查二維條形碼內容的分解和重組輸入被掃描的二維條形碼描述在這個功能中，為了實現一個更好的顯示機會和更有效的結束，二維條形碼的80個字節的內容需要被分開並轉換到結構化的對象中(以後被稱作二維條形碼對象)。獨立的欄位和轉換在下面的表中說明在二進位到十進位的轉換中，應當記住，字節序列的左邊的字節為最高字節。由於類型衝突或缺少數據可能不會轉換，因此，有必要生成安全付費事件消息「PC-F-條形碼不可讀」和將其返回到有效性控制器。另一內容或密碼驗證不適合這種情況。返回值二維條形碼對象如果轉換成功，則警告代碼是00，否則，安全付費事件的警告代碼是「PC-F條形碼不可讀」版本號檢查輸入當前二維條形碼對象描述前三個欄位揭示了二維條形碼的版本。從此也能看出郵資標記是否是實際上與德國郵局相關聯的二維條形碼和不是與另外一個服務提供商相關聯的二維條形碼。需要對欄位內容和應用程式中預先設定的有效值列表相比較。如果發現均不匹配，返回安全付費警告「PC-F版本」。進一步驗證內容和密碼方面是沒有意義的，不應當繼續。返回值如果版本驗證成功，則警告代碼是00，否則，安全付費事件的警告代碼是「PC-F版本」驗證郵資ID輸入具有被解密的郵資ID的二維條形碼對象描述二維條形碼中包含的郵資ID通過檢查數字方法(CRC16)進行保護，這種方法需要被驗證。如果驗證失敗，那麼需要返回的結果是安全付費警告「PC-F偽造被懷疑(郵資ID)」。驗證郵資ID需要先對密碼串進行解密。返回值如果檢查成功，代碼為「00」，否則，安全付費事件的警告代碼為「PC-F偽造被懷疑(郵資ID)」超時檢查輸入二維條形碼對象描述這個功能用來自動驗證在郵件中心對PC預繳郵資的信件免費郵寄和處理之間的時間間隔。在兩個日期之間，僅僅允許有一個確定的天數。在這種情況下，天數是基於產品和它的傳送時間加上一天的等待時間。時間段的設置優選儲存在產品有效時間段關係中，而且位於維護任務環境中間。對於每一產品，可能使用PC郵資(二維條形碼欄位)的密鑰，這個關係存儲允許郵件中心免費郵寄和處理之間相應的天數。在簡化的方法中，只設置一個時間段聲明，與標準郵件相關聯，作為常數在系統中儲存。為了進行驗證，形成了在處理過程中的當前試驗日期和二維條形碼中包含的日期之間的天數，例如，08.02.to08.01.＝1day。如果確定的天數大於該貨物的給定值，與警告情形「PC-F-日期(郵資)」下相關聯的安全付費代碼返回有效性控制器；其它情形下，返回證明檢查成功的代碼。如果簡化的方法總與標準郵寄的值相比較，根據給出的檢查結果，存在這樣的可能性，例如，如果當前的產品允許較長的傳送時間，手動操作掃描儀的按鍵，可以糾正驗證結果。另一超時檢查與郵資ID的內容相聯繫。在默認值的情況下下載的郵資和郵資ID具有一個默認的有效時間段，以對郵件進行免費郵寄。郵資ID包含郵費有效的時間上限。如果免費郵寄日期是一個具體的天數，大於這個有效期，這樣，返回與安全付費警告「PC-F-日期(郵費)」相關的安全付費警告代碼。返回值如果檢查成功，代碼是「00」，否則，安全付費警告代碼是「PC-F-日期(郵資額)」或者「PC-F-日期(郵資)」付費檢查輸入二維條形碼對象；當前的分類程序ID描述在這個功能內，檢查包含在二維條形碼中的付費。從而得到最小付費，最小付費是為相關分類程序的發送而定義的。以歐元為單位。通過一個自動接口來傳遞分類程序和最小付費之間的關聯性。簡化的方法能以類似的方式應用於超時檢查中。此處，應用程式的配置文件規定了一個固定的適用於所有發送的最小付費。因此，不需要傳遞分類程序。在隨後的檢查中，將比較是否二維條形碼中包含的最小付費低於該郵票。如果出現這種情況，那麼返回與安全付費事件「PC-F不能免費郵寄」相關的代碼，否則返回表明成功的代碼。返回值如果檢查成功，代碼是「00」，否則，安全付費的警告代碼是「PC-F-不能免費郵寄」與負文件一致輸入帶有解密的郵資ID的二維條形碼對象描述在這個功能中，檢查確定與二維條形碼有關的郵資ID是否包含在負文件(negativefile)中。負文件用作從交付循環中除去來自某些顧客的所有郵件，這些顧客由於試圖濫用而被發現，或者是因為他們的PC已被盜竊。在這種情況下，負文件保存在項目資料庫郵資中。在這個項目的接口的範圍內，需要為本地的信件中央系統確定交換數據的方法。如果維護應用程式，或數據交換可能不存在，那麼在這種情況下需要創建一個轉換機制。這些數據可作為轉換的一部分保存在一個Excel表格中，從中可生成一個csv文件。這個文件通過電子郵件發送到AGB檢查器，由後者使用一種導入機制讀入。然後，通過在優選的安全付費IT-精細概念(ITfineconcept)中定義的路徑傳遞。郵資ID使單個預置值特徵化，顧客可從系統(郵寄點)檢索到這個預置值。預置值儲存在顧客系統上的「保險箱」中，將包括讀取系統的智慧卡或加密狗(dongle)的形式作為硬體部分。保險箱保存預置額度，顧客可以從其中檢索單個的郵資額，而不需要與費用額裝載站(郵寄點)在線連接。通過唯一的ID使每個保險箱特徵化，如果懷疑某個保險箱被濫用，而需要除去相關的郵件，將這個保險箱的ID記錄在負文件中。保險箱的ID由多個欄位組成。除了唯一的密鑰之外，保險箱ID中還包含有其它欄位，如有效日期和驗證數字。為了唯一識別保險箱，保險箱的前三個欄位是確定的。郵資ID的前三個欄位也是如此，這意味著，保險箱和預置值之間存在聯繫。下表中將描述這些欄位。如果當前檢查的郵資的郵資ID的前三個欄位與負文件包含的保險箱ID的前三個欄位相同，那麼返回文件中與顧客相對應的安全付費事件，否則，返回成功代碼。返回值如果驗證成功時，成功代碼是00，否則返回與顧客或負文件中的保險箱相關聯的警告代碼。二維條形碼內容和郵寄明文的比較輸入二維條形碼對象描述為了防止複製二維條形碼，將對編碼在二維條形碼中的發送數據和以明文形式顯示在信件上的數據進行比較。在無線掃描儀中，由於有足夠的表述和輸入可能性，這種比較直接完成是可能的。在有線連接的手持掃描儀的情況下，需要在PC(安全付費系統)上進行檢查。順序是，在運行自動檢查後，有效性控制器促使二維條形碼中的數據輸出到無線掃描儀上，或輸出到安全付費PC上。為此，有效性控制器存在一個呼叫返回方法，這個方法是在一個會話開始時被分配的。有效性控制器利用二維條形碼對象調用這種呼叫返回方法。隨後，掃描儀控制器和安全付費PC負責顯示二維條形碼內容，並返回「00」，或者返回相關錯誤代碼作為返回值(在被檢查器處理之後)。如果評估成功，返回成功代碼，否則返回安全付費警告「PC-F明文」代碼。在自動檢查時，這個驗證是不必要的。此時，最好在離線的集中評估的背景下進行檢查，可以採取對營業額的比較或者對二維條形碼所包含的郵政編碼和目標郵政編碼進行比較。返回值如果檢查成功，代碼是00，否則返回安全付費事件「PC-F明文」的警告代碼。密碼檢查密碼檢查由兩部分組成a)密碼串的解密；以及b)散列值的比較。這兩種方法都需要在密碼卡受到保護的區域內進行，這是因為，如果用戶對處理過程中生成的信息進行窺視，則可以產生有效郵資的散列值。解密密碼串輸入二維條形碼對象描述作為輸入參數，該功能包括把二維條形碼對象從掃描儀結果中分離。根據郵資日期和密鑰號，搜索出適用於這次的對稱密鑰，根據3DESCBC方法，藉助於這個密鑰，對被轉移的對象的密碼串解密。初始化向量需要設定什麼值？是採用內部CBC還是採用外部CBC？塊的長度如何？這些問題都在安全付費系統的接口內決定。如果在密碼系統中不存在二維條形碼所包含的密鑰，那麼同時返回安全付費警告「PC-F偽造被懷疑(密鑰)」和使用密鑰號未找到密鑰的錯誤報文。操作結果由解密後的郵資ID和解密後的隨機數構成。解密後的郵資ID將寫入二維條形碼對象相應欄位裡。出於安全考慮應當對隨機數進行保密，這是因為如果用戶知道這個信息，就可以產生有效的散列值，這樣就偽造了二維條形碼。解密之後，通過這個方法調用散列值計算，並返回它的返回值。散列值計算輸入二維條形碼對象解密後的密碼串的隨機數(不允許在密碼卡之外看到解密後的隨機數)描述散列值計算功能確定了二維條形碼對象包含的原始掃描儀結果的前60個字節。依此，解密後的郵資ID和分配的解密後的隨機數附加在上面。因此，SHA1方法可以計算散列值，隨後和二維條形碼對象包括的散列值比較。如果所有的20個字節都匹配，那麼，密碼的驗證就成功了，並返回相應的返回值。如果不一致的話，安全付費警告「PC-F-偽造被懷疑(散列值)」返回到有效性控制器。作為返回值，所計算的散列值額外傳送，因此，它也可作為檢查結果輸出。返回值所計算的散列值如果檢查成功，則代碼是00，否則返回安全付費事件的警告代碼「PC-F-偽造被懷疑(散列值)」或者「PC-F-偽造被懷疑(密鑰)」。結果輸出呈現檢查和讀取結果描述通過呼叫返回方法，有效性控制器有機會控制在與當前檢查相關的輸出裝置上的輸出結果。為此，它把二維條形碼對象和已確定的安全付費警告代碼轉移到這種呼叫返回方法。返回值可以是由AGB檢查器所選擇的結束方法產生。用於輸出的呼叫返回方法同樣是，在會話開始時，在有效性控制器上註冊時指定的。結果記錄輸入二維條形碼對象，檢查結果代碼描述在有效性控制器運行的系統上的一個文件中以簡化的方法實現結果記錄。通常，結果或者方向集合直接傳到BDE上，通過優選的安全付費BDE接口寫入優選的本地安全付費系統的資料庫中。優選地，郵資ID、序列號、郵資日期、郵資、產品密鑰、郵政編碼、安全付費結果代碼、消息、檢查的長度、檢查的時間、掃描儀的ID、掃描儀的操作模式、記錄模式、以及進一步處理的類型均需要儲存。所有這些值通過分號來分隔輸出，以這種形式進一步評估，例如可以是Excel的形式。如果系統處於「初始記錄」操作模式，那麼為了隨後的記錄，應該在記錄模式欄中輸入一個「e」，而不是「n」。主要數據的提供描述需要一系列的主要數據(masterdata)用於內容驗證。這些是●PC-F負文件●分類程序和最小付費●一般的最小付費●產品密鑰PC-F●每個產品密鑰PC-F的最大傳輸時間●通常的最大傳輸時間●安全付費事件、優先權、以及與另外的處理指令的結合●另外的處理指令除了PC-F負文件和費用額裝載站(郵寄點)的加密密鑰之外，主要數據都能夠在轉換時間提前設置。如果必要，為了一些數據，可以採用簡單處理和分配應用。在那種情況下，應當在Excel表格中實現維護，從中可以產生csv文件。這個文件應該通過電子郵件發送到AGB檢查器，應該由後者使用一種機制讀入。通常，數據分配的方法與在優選的安全付費IT精細概念中所描述的方法一致，也使得對這些數據的訪問成為可能。相關聯的數據結構將在優選的安全付費的精細概念的數據模型中加以描述。密鑰數據的分發對稱密鑰在費用額裝載站(郵寄點)用於保護二維條形碼內容，還用於密碼系統驗證，由於安全原因，將定期進行交換。當用於所有的郵件中心時，密鑰需要自動而安全地從(郵寄點)傳送到密碼系統。在這種情況下，交換應當通過優選的安全付費伺服器實現，這是因為在費用額裝載站(郵資ID)不應該有任何關於哪個優選的本地安全付費系統和哪些密碼系統存在的設置。特別優選的密鑰交換的方法步驟在圖7中描述。優選的密鑰交換在中央裝載站(郵寄點)、一個中央密碼伺服器和多個本地密碼伺服器之間進行。由於對稱密鑰對於二維條形碼的防偽造安全性(corruptionsecurity)具有重要的意義，所以需要通過高加密級別和通信方明確確認的來保護對稱密鑰的交換。配置基本配置/加密硬體的密鑰管理對於加密卡的基本配置需要採取多種措施，需要通過安全管理員實施。採取以下措施●在卡上安裝軟體API●產生或安裝私鑰，用以保護管理應用程式和可加載的軟體根據所選擇的卡的類型和製造商，需要採取不同的措施，用於優選安全付費系統的密碼卡的與應用相關的基本配置包括以下步驟●對對稱密鑰進行安全加密並傳送至卡-例如RSA加密對-同時為公開密鑰和密鑰的輸出生成證書；●為了確保要導入的密鑰已經由費用額裝載站(郵資ID)發布，提前配置用於費用額裝載站(郵寄點)的證書。密碼系統應用的基本配置密碼系統裡的每個掃描儀，每個用戶，每個密碼卡需要以唯一的ID來表示。最後，也有必要通過一個唯一的ID識別每個AFM-二維代碼讀取機。登錄/退出在與有效性控制器的會話開始時，必須首先進行系統登錄。作為參數，此登錄包含掃描儀ID、用戶ID、以及用於手工檢查的呼叫返回方法、或讀取和檢查結果的輸出。返回的返回值是會話ID，在該會話內，以後一旦發生呼叫，就需要傳送會話ID。對於會話ID，會話背景儲存在有效性控制器上，會話背景儲存傳送參數。如果顧客在會話過程中改變操作模式、提前定義的產品、或其它在運行時間配置的會話設置，那麼，在會話背景下為這一目的分配的變量內可重新改變。在系統退出的時候，會話背景相應地被刪除。隨後的對會話ID的檢查呼叫將被拒絕。用戶和口令的管理需要在一個通用的優選安全付費的用戶管理概念內定義。這一定義是優選的安全付費IT精細概念的一部分。讀取系統在執行檢查請求之前需要登錄到有效性控制器。讀取系統的ID和口令被作為參數傳遞。一旦成功登錄，返回的返回值也是會話ID，需要在隨後發生驗證請求時傳送。在關閉讀取系統時，必須需要這個會話ID相應退出。其它專門用戶職責根據安全概念，需要有兩個專門的用戶角色，由兩個不同的人來實現。安全管理員安全管理的職責包括以下任務●創建用於管理加密卡的命令文件●對這些命令文件籤名●對加密卡進行初始化和管理●管理可加載的軟體和相關聯的配置安全管理員使用管理卡的私鑰來鑑別自己。該私鑰儲存在磁碟或智慧卡上，需要被安全管理員嚴格地保存起來。只有使用這個密鑰所籤名的管理命令才可以在加密卡上執行。由於這種機制保護了命令序列和相關聯的參數，對這些命令的執行可以授權給本地系統管理員。安全管理員必須使命令可用，並將其寫入適當的方法指令。另一任務是密碼卡的管理，其中，對於每個卡而言，序列號、安裝有這些加密卡的系統的配置和系統號以及系統的位置需要進行管理，對於預留加密卡，也需要有誰正在持有這些卡的記錄。與安全管理員QA一起，其管理軟體資源和相應的軟體配置，並使它們能夠用於安裝。此外，在卡上和加密伺服器上需要安裝或已安裝的軟體被檢查，卡軟體也能夠被允許使用並被籤名。卡軟體特別需要被檢查以確定是否有一個秘密密鑰在任一位置均可通過驅動接口洩漏到外面，或者是否存在操縱企圖，如儲存之前定義的固定密鑰或使用不安全的加密方法。除了卡中的軟體之外，也有必要檢查連接到所述的卡軟體的密碼伺服器應用軟體。安全管理員以同樣的方式使用私人密鑰進行認證。但是，在這種情況下，涉及到了用於軟體籤名的私人密鑰。但是，在這種情況下存在其它的安全性，為了安裝軟體，要求不僅對軟體籤名，而且相應的安裝命令也要籤名。由於有兩個不同的人(QA管理員和安全管理員)負責，同時相應的密碼在兩個不同的位置保管，所以，在這種情況下保證了較高的安全級別。在安全QA管理員和安全管理員一致同意後才能進行軟體分發。本發明的特定優選實施例提供了兩種不同的認證密鑰，這意味著很大程度地提高了數據的安全性。權利要求1.一種用於驗證附加在郵件上的數字郵資標記的真實性的方法，其中，對所述郵資標記中包含的密碼信息解密，用來驗證所述郵資標記的真實性，其特徵在於讀取裝置以圖形方式記錄所述郵資標記並把它傳送到驗證裝置，所述驗證裝置控制一序列部分檢查。2.根據權利要求1所述的方法，其特徵在於所述部分檢查之一包括對所述郵資標記中包含的密碼信息解密。3.根據權利要求1或2所述的方法，其特徵在於所述部分檢查之一包括將所述郵資標記的產生日期和當前日期進行比較。4.根據以上權利要求中任一項所述的方法，其特徵在於所述讀取裝置和所述驗證裝置使用同步協議進行信息交換。5.根據權利要求4所述的方法，其特徵在於所述協議是基於RPC的。6.根據權利要求1至5中任一項所述的方法，其特徵在於所述讀取裝置和所述驗證裝置通過異步協議相互通信。7.根據權利要求6所述的方法，其特徵在於所述讀取裝置向所述驗證裝置發送數據消息。8.根據權利要求7所述的方法，其特徵在於所述數據消息包含所述郵資標記的內容。9.根據權利要求1至8中任一項所述的方法，其特徵在於所述數據消息包含啟動密碼驗證程序的請求。10.根據權利要求1至9中任一項所述的方法，其特徵在於使用密碼接口執行多個驗證裝置之間的負載分配。11.根據權利要求1至10中任一項所述的方法，其特徵在於所述郵資標記的內容被分為單獨的欄位。12.根據權利要求11所述的方法，其特徵在於從所述郵資標記確定用於控制所述郵資標記產生的顧客系統的識別號碼(郵資ID)。13.根據以上權利要求中任一項所述的方法，其特徵在於在負文件中記錄單個的顧客系統識別規範(郵資ID)，將與這一郵資ID相關聯的郵件從正常的郵件處理程序中取出。14.根據以上權利要求中任一項所述的方法，其特徵在於將所述郵資標記中包含的已加密的接收者地址聲明與用於郵件交付所指明的接收者地址進行比較。15.根據權利要求1至14中任一項所述的方法，其特徵在於能夠改變用於所述方法的驗證參數。16.根據權利要求15所述的方法，其特徵在於僅在輸入與系統管理員相關聯的個人數字密鑰(私人密鑰)之後，才能改變方法的參數。全文摘要本發明涉及一種用於驗證郵件上的郵資標記的方法。根據本發明，對包含在郵資標記中的密碼信息進行解密，並用來驗證郵資標記的真實性。本發明所提供的方法的特徵在於讀取裝置以圖形方式讀取郵資標記並將其傳送到驗證裝置，驗證裝置控制一序列部分檢查。文檔編號G06Q10/00GK1554076SQ02816032公開日2004年12月8日申請日期2002年6月28日優先權日2001年7月1日發明者亞歷山大·德歷特茲,彼得·費裡,于爾根·黑爾穆斯,阿洛伊修斯·霍爾,貢特爾·邁爾,埃爾克·羅貝爾,迪特爾·施圖姆,施圖姆,羅貝爾,邁爾,黑爾穆斯,亞歷山大德歷特茲,修斯霍爾,費裡申請人:德國郵政股份公司