保護安全模塊的方法及實現此方法的配置的製作方法

2023-11-02 10:08:42 2

專利名稱：保護安全模塊的方法及實現此方法的配置的製作方法
技術領域：
本發明涉及保護安全模塊的一種方法，以及實現此方法的一種配置。這種郵政安全模塊尤其適用於蓋郵戳機及郵政處理機或者具有郵政處理功能的計算機。
諸如US 4746234所公開的熱變換蓋郵戳機這樣的現代蓋郵戳機使用一個全數字的列印裝置。因而原則上可以列印任意的文字和特殊符號在郵戳列印區以及任意的或與付費處相關的廣告內容。例如蓋郵戳機T1000具有一個包裝在保安外殼中的微處理器，外殼上有一個開槽用來送入信件。在信件被送入時一個機械的信件傳感器(微動開關)給出一個列印請求信號到微處理器。郵戳列印內容包括用於信件傳遞的事先輸入和存儲的郵政信息。蓋郵戳機的控制單元按照軟體完成結算，必要時對數據的實時性進行監測，以及控制郵資收付差額的裝載。
US 5606508(DE 4213278B1)和US 5490077已經建議了藉助於晶片卡對上述熱變換蓋郵戳機實現數據輸入的可能性。一張晶片卡裝新數據到蓋郵戳機中，一組另外的晶片卡可以通過插入一張晶片卡來更改已輸入的相應數據。這樣可以比用鍵盤輸入更方便和迅速地實現數據裝載和更改。用於郵件的蓋郵戳的蓋郵戳機裝配有一個用於在郵件上列印郵資印記的印表機，一個控制印表機和蓋郵戳機外設的控制裝置，一個用於結算郵費的結算單元，至少一個用來存儲郵費數據的非易失存儲器，至少一個用於存儲安全有關的數據的非易失存儲器以及一個日曆/時鐘。存儲安全有關的數據的存儲器和/或日曆/時鐘通常由電池供電。在現有蓋郵戳機中安全有關的數據(密鑰等)存儲在非易失存儲器中。這些存儲器是EEPROM，FRAM或電池保證的SRAM。現有蓋郵戳機常常也提供一個內部實時時鐘(Real Time Clock)RTC，它由電池供電。例如現在存在灌注的模塊，它們包含有集成電路和鋰電池。這種模塊在電池壽命到期後必須整個地被更換和去掉供電。從科學和經濟的觀點看僅需更換電池才更有效。然而這就必須打開保安外殼，且然後再封閉它，因為抵抗襲擊的安全性主要依賴於保安外殼，它包封了整個裝置。EP660269A2(US 5671146)已經提出一種合適的方法來提高蓋郵戳機的安全性，其中保安外殼的授權和非授權開啟是不同的。
蓋郵戳機有時需要修理，如果接近元件是困難的或受到限制，修理是困難的。將來在大型郵政處理機或所謂的PC蓋郵戳機中保安外殼將被壓縮成所謂的郵政安全模塊，這將改善其他元件的可接近性。為了經濟地更換安全模塊的電池也希望在相對簡單的途徑上更換電池。為此電池必須在蓋郵戳機的保安範圍之外。但是如果電池連接端子也從外部可接近，則可能的襲擊會發生，即控制電池的電壓。現在的電池供電的SRAM和RTC對其工作電壓有不同的要求。保持SRAM的數據所需的電壓低於RTC工作所需電壓。這意味著電壓降到某個門限值之下將導致不希望的行為RTC停止運動，存儲在SRAM單元中的時間和SRAM所存儲的內容仍然保持著。至少有的安全措施，例如長時間監視器，可能在蓋郵戳機上是無效的。長時間監視器工作於以下情況遠地數據中心預先給定一個時間借貸量或者一個時間持續期，尤其是一個天數或一個規定日期，直到此日期蓋郵戳裝置可以通過通信連接報到。在時間借貸量或期限抵達之後不能蓋郵戳。EP 660270A2(US 5680463)以「產生和檢驗安全列印的方法和配置」為題提出了一種方法，它求出直到下一次存入款項的假設時間持續期，並且每個沒有按期報到的蓋郵戳機被數據中心視為受懷疑的。受懷疑的蓋郵戳機被通知給郵局，郵局對從受懷疑的蓋郵戳機出來的蓋過戳的信件進行檢查。時間借貸量或期限的到期也由蓋郵戳裝置查明。使用者被要求完成關於到期的通信。
在有電子數據處理設備以來安全模塊已為大家所熟悉。為了抵抗對電子設備的襲擊，EP 417447B1建議了一種封鎖裝置，它將供電裝置和信號收集裝置以及屏蔽裝置包在外殼中。此屏蔽裝置由填充物質和連接裝置組成，在連接裝置上連接供電裝置和信號收集裝置。後者對連接裝置的連接電阻的變化有反應。此外安全模塊包含一個內部電池，一個由系統電壓轉換為電池電壓的電壓轉換器，一個電源門和一個短路電晶體及其他傳感器。當電壓降到規定門限值以下時，電源門動作。當連接電阻，溫度或光射線改變時邏輯電路給以響應。藉助於電源門或藉助於邏輯電路短路電晶體的輸出端切換到低電平，這樣存儲在存儲器中的密鑰被清除掉。然而對於在蓋郵戳機或郵政處理機中的使用而言，不能更換的電池的使用壽命太短，由此導致安全模塊的使用壽命太短。
大型郵政處理機例如是JetMail。郵戳列印在其中是藉助於靜態安置的噴墨列印頭實現的，而信件的傳遞是非水平的，接近於垂直的。DE 19605105C1提出了列印裝置的一種合適的實施方案。郵政處理機有一個錶盤和一個基座。錶盤應裝配一個外殼，並使得元件容易被接近，它必須由一個郵政安全模塊來使其能抵抗襲擊，此模塊至少完成郵費的結算。為了排除對程序運行的影響，EP 789333A2以「蓋郵戳機」為題建議安全模塊裝配一個專用電路(ApplicationSpecific Integrated Circuit)ASIC，它有一個硬體結算電路。此外專用電路控制給列印頭的列印數據傳輸。僅當對於每個郵件產生唯一的列印內容時該數據傳輸才是不需要的。例如在US 5680463，US 5712916和US 5734723中建議了一種用於產生和檢驗一個安全性列印的合適的方法和配置。其中一個專用的安全標記用電子方法產生並被嵌入到列印圖形中。
在未公開的德國專利申請19816572.2和19816571.4中也提出了安全模塊在遭到襲擊時保護其中存儲的數據的其他措施。在有多個傳感器時耗電量增加，並且一個不是持續地由系統電壓供電的安全模塊從其內部電池吸取傳感器所需之電流，因此電池被提早耗盡。電池的容量和耗電量限制了安全模塊的使用壽命。
與許多其他產品一樣，蓋郵戳機結構也實現了模塊化。這種模塊化使得出自各種原因的模塊和元件的更換成為可能。例如故障模塊可被取下並且通過檢查，修理或被新的模塊替換。因為在更換那些包含安全相關數據的組件時要求最高的操作水平，通常其更換需由業務技術人員進行並採取一些措施，這些措施在安全模塊被不符合規定的使用或非授權的更換時中斷安全模塊的功能執行。但是採取這些措施費用很昂貴。
本發明的目的在於，以小的費用實現在安全模塊可更換地安裝時保證能抵抗對其的未經許可的操縱。其更換應可由任何人以儘可能簡單的方式進行。
上述任務通過權利要求1所述的方法和權利要求3所述的配置完成。
本發明的出發點是藉助於功能單元來確認蓋郵戳機，郵政處理裝置或類似設備的安全模塊的更換和使用，以提供給各種設備的使用者一個關於安全模塊乃至整個設備正確地執行其功能的保證。安全模塊的更換至少被檢測出來並且必要時，在安全模塊重新被插上並用系統電壓供電時事後作為狀態信號發出。安全模塊的狀態變化藉助於第一個功能單元和一個由電池供電的檢測單元來收集，檢測單元具有一個可復原的自保電路。第一個功能單元在其重又由系統電壓供電時能判定各種狀態。優點在於對安全模塊的狀態變化的快速反應以及檢測單元電路有小的電池耗電量且不用系統電壓供電。
這至少避免了在更換時對安全模塊的不符合規定的使用，在更換時不僅沒有系統電壓，而且可更換地安裝的電池也被取走。為使更換工作可由不熟悉的人員完成，並且在將來完全由使用者來完成，第二個功能單元完成對更換電池時的電壓下降的監測，同時第一個功能單元首先清除掉敏感的數據並且限制或完全中斷安全模塊的繼續使用。在以後的恢復運行過程中第一個功能單元強迫安全模塊與一個遠地數據中心接觸以釋放至少一個功能單元。如果安全模塊符合規定被替換，在恢復運行時重新初始化敏感數據。為了建立接觸，可以利用採用數字或模擬傳輸線路的方法。
保護安全模塊的方法包括以下步驟·藉助於第一，第二和第三功能單元監測安全模塊符合規定的使用或更換，·至少藉助於第二個功能單元在不符合規定的使用或更換時清除敏感的數據，·在更換安全模塊時藉助於第三個功能單元鎖閉功能，·在符合規定地使用或更換安全模塊之後藉助於第一個功能單元把以前被清除的敏感數據重新初始化，·通過釋放安全模塊的功能單元恢復運行。
在成功完成動態的插入檢測之後，藉助於第一個功能單元與遠地數據中心的通信連接重新初始化，在第一個功能單元檢測時經過接口電路迴路交換信息，這些信息無錯的傳遞證明了安全模塊結構符合規定。安全模塊的功能單元的釋放通過其復原實現。第一個功能單元是一個與其他功能單元相連接的處理器，它被編程來確定各種狀態。第二個功能單元是一個具有可復原自保電路的電壓監測單元，第三個功能單元是一個具有可復原自保電路的未插入檢測電路。
在其他權利要求中描述了本發明的進一步優化方案，下面藉助於附圖詳細說明本發明的優選實施方案。附圖中

圖1是安全模塊的方框圖和接口，圖2是蓋郵戳機的方框電路圖，圖3是蓋郵戳機從後面看去的透視圖，圖4是安全模塊(第二種形式)的方框電路圖，圖5是檢測單元電路圖，圖6是安全模塊的側視圖，圖7是安全模塊的頂視圖，圖8a是安全模塊的右視圖，圖8b是安全模塊的左視圖，圖1示出安全模塊100的方框圖，安全模塊具有用於連接接口8的連接件101，102和用於電池134的電池接口的電池連接端子103和104。雖然安全模塊被用固化的灌注物質灌注，安全模塊100的電池134可更換地安裝在電路板上灌注物質之外。電路板載有用於連接電池134的電極的電池連接端子103和104。藉助於連接件101，102安全模塊100被插到主板(母板)9的相應接口8上。第一個連接件101建立與控制裝置的系統總線的通信連接，第二個連接件102用於系統電壓對安全模塊100的供電。經過連接件101的引腳p3，p5-p19的是地址和數據線117，118以及控制線115。第一個連接件101和/或第二個連接件102被用於對安全模塊100的插入與否進行靜態和動態的監測。主板9的系統電壓對安全模塊100的供電通過連接件102的引腳p23和p25實現，並且通過引腳p1，p2和p4由安全單元100實現動態和動態的非插入檢測。
安全模塊100以大家所熟悉的方式具有一個微處理器120，它具有一個圖中未示出的裝有專用程序的集成只讀存儲器(內部ROM)，該程序是郵局或郵局長官允許用於蓋郵戳機的。也可以在內部數據總線136上連接一個常用的只讀存儲器ROM或FLASH存儲器。
安全模塊100以大家所熟悉的方式具有一個復位單元130，一個專用電路ASIC 150和一個邏輯PAL，它用作ASIC的控制信號發生器。復位單元130，專用電路150和邏輯PAL以及可能還有其他圖中未示出的存儲器通過導線191及129由系統電壓Us+供電，在蓋郵戳機開動時此電壓由主板9給出。在EP 789333A2中已經說明了郵政安全模塊PSM的主要部分，它實現郵費數據的結算和安全。
此外系統電壓Us+經二極體181和導線136加到電壓監測單元12的輸入端。在電壓監測單元12的輸出端給出第二個工作電壓Ub+，它經過導線138供使用。在更換蓋郵戳裝置時不存在系統電壓Us+，而僅有電池電壓Ub+供使用。連接電池負極的電池連接端子104接地。從連接電池正極的電池連接端子103給出電池電壓，經導線193，第二個二極體182和導線136加到電壓監測單元的輸入端。市售電壓轉換器180也可用以替代二個二極體181，182。
電壓監測單元12的輸出通過導線138連接到處理器120第二個工作電壓Ub+的輸入端，此電壓至少被連接於一個RAM存儲區122，124，並且只要第二個工作電壓達到要求的大小，就保證上述存儲區的非易失存儲。最好處理器120含有一個內部RAM 124和一個實時時鐘(RTC)122。
安全模塊中的電壓監測單元12具有一個可復原的自保電路，它可由處理器120經導線164查詢並經導線135復原。電壓監測單元12具有用於自保電路復原的電路元件。當電池電壓超過規定門限值時復原才能被觸發。導線135和164分別連接於處理器的一個引腳(引腳1和2)。導線164給一個狀態信號到處理器120，導線135加一個控制信號到電壓監測單元12。
電壓監測單元12輸入端上的導線136同時用工作電壓或電池電壓給未插入檢測單元13供電。未插入檢測單元13給出狀態信號在導線139上送到處理器120的引腳5上，此信號給出關於電路狀態的指示。經過導線139未插入檢測單元13的狀態被處理器120查詢。處理器可用一個從處理器120的引腳4經導線137給出的信號復原未插入檢測單元13。在此復原之後對連接作靜態檢查。為此經過導線192查詢地電位，此地電位加在郵政安全模塊PSM 100的接口8的連接端p4上並且僅當安全模塊100被正常插入時才能被查詢到。在插入安全模塊100時郵政安全模塊PSM 100的電池134的負極104的地電位加到接口8的連接端p23上，因此它可以被未插入檢測單元13在接口8的連接端p4上通過導線192查詢到。
在處理器120的引腳6和7上接一個導線迴路，它經過接口8的連接件102的引腳p1和p2對於處理器120形成迴路。為了動態檢查郵政安全模塊PSM 100是否插入主板9上，處理器120以完全無規則的時間間隔給出變化的信號電平到引腳6，7上並經過導線迴路返回。
郵政安全模塊PSM 100裝配有一個長壽命電池，在安全模塊沒有加上郵政處理裝置的系統電壓時它也可以監視使用情況。符合規定的使用，運行，安裝或裝入合適的環境是安全模塊的功能單元所檢查的特性。原始安裝由郵政安全模塊的生產者進行。在原始安裝之後首先僅檢查郵政安全模塊是否從其使用場所(郵政處理裝置)分離，這種分離通常出現在更換它的時候。
此狀態的監測由未插入檢測單元13進行。這時通過接到接口8的引腳p4上的地來監測一個電壓大小。在更換功能單元時此與地的連接被斷開，未插入檢測單元13將其作為信息予以響應。因為在每次安全模塊100與接口8分離時，專用電池供電的電路結構保證了上述信息的存儲，此信息的分析利用可隨時進行，如果希望重新工作的話。按規律地判定檢測單元13的導線139上的這個分離信號或未插入信號使處理器120可以清除敏感數據，而並不改變在NVRAM存儲器中的結算和顧客數據。郵政安全模塊的這種清除了敏感數據的暫時狀態可理解為維護狀態，通常在此狀態下進行更換，修理或其他工作。因為功能單元的敏感數據被清除，由於對郵政安全模塊的不符合規定的操作而產生的錯誤被避免了。此敏感數據例如是密鑰。在維護狀態下處理器120停止了郵政安全模塊的核心功能，這些功能是例如結算和/或求取用於安全列印中安全標記的安全碼。
為了恢復工作，郵政安全模塊PSM首先被插入並與郵政處理裝置的相應接口8建立電氣連接。接著開動設備，從而郵政安全模塊重又由系統電壓Us+供電。基於此特殊狀態，郵政安全模塊的裝入是否符合規定必須由其功能單元重新檢查。為此進行第二級檢查(動態插入檢測)。通過在第一個功能單元(處理器120)和接口8的電流迴路18之間建立的工作連接交換信息，它的無錯傳輸證實了安裝符合規定。這是成功地重新工作的先決條件。
為了進入工作狀態現在只需重新初始化敏感數據。在郵政安全模塊與第三個部門之間進行通信，以傳遞這些敏感數據。在傳遞完成之後未插入檢測單元13被復原並且郵政安全模塊重新進入工作狀態，重新工作過程結束。
圖2示出蓋郵戳機的方框電路圖，它具有一個用於通過晶片卡裝載變化數據的晶片卡讀寫單元70和一個由控制裝置1控制的列印裝置2。控制裝置1具有一個裝配有微處理器91和相應存儲器92，93，94，95的主板9。
程序存儲器92含有至少用於列印的工作程序，並至少含有與安全有關的程序，它用於部分有用數據的預先規定的格式轉換。
工作存儲器RAM 93用於中間結果的易失的中間存儲。非易失存儲器NVM 94用於數據的非易失中間存儲，數據例如是按付費處排序的統計數據。日曆/時鐘95必要時含有可尋址的非易失存儲區，用於中間結果或者公開的程序部分(例如DES算法)的非易失中間存儲。控制裝置1與晶片卡讀寫單元70連接，控制裝置1的微處理器91被編程來裝載從晶片卡49的存儲區來的有效數據N到蓋郵戳機的與其應用相應的存儲區。插入晶片卡讀寫單元70的插槽72的第一張晶片卡49允許下載至少用於一種應用的數據組到蓋郵戳機中。晶片卡49具有例如所有通常郵局業務按郵局價目表的郵費和一個郵局標記，以供蓋郵戳機產生印記圖形並給郵件蓋上郵局價目。
控制裝置1構成原來的錶盤，它具有主板9的裝置91至95並且還包含鍵盤88，顯示單元89及專用電路ASIC 90和用於郵政安全模塊PSM 100的接口8。安全模塊PSM 100通過總線與ASIC 100和微處理器91連接，通過並行μc總線至少與主板9的裝置91至95和顯示單元89連接。控制總線在安全模塊PSM 100和ASIC 90之間連接信號CE，RD和WR。微處理器91最好有一個引腳用於由安全模塊PSM 100給出中斷信號i，其他連接端用於鍵盤88，一個串行接口S1-1用於連接晶片卡讀寫單元70，以及一個串行接口S1-2用於附加連接一個數據機。藉助於數據機可以例如增加在郵政安全模塊PSM 100的非易失存儲器中存儲的內容。
郵政安全模塊PSM 100被包封在一個保安外殼中。每次蓋郵戳之前在郵政安全模塊PSM 100中完成硬體的結算。結算的完成與付費處無關。郵政安全模塊PSM 100內部可像歐洲報告EP 789333A3中詳細說明的那樣被實現。
ASIC 90有一個對郵政業務流前接設備的串行接口電路98，一個對列印裝置2的傳感器和執行器件的串行接口電路96，一個對列印頭4的列印控制電路16的串行接口電路，以及一個對郵政業務流後續設備中的列印裝置20的串行接口電路。DE 19711997是可選用的外設接口實施方案，它適用於多外設(站)，其題目是實現郵政處理機的基站和其他站之間通信及其緊急切斷的配置。
與機器底座中的接口電路14連接的接口電路96提供至少與傳感器6，7，17，與執行器件，例如與輥子11的驅動電機15，與噴墨列印頭4的淨化和稠度調節站RDS 40，以及與機器底座中的標籤發生器50的連接。主要配置和噴墨列印頭4與RDS 40之間的配合關係可採用DE 19726642C2提出的方案，其題目是實現噴墨列印頭及淨化和稠度調節裝置的定位的配置。
安裝在前板上的傳感器7，17中的一個是用於信件傳遞中起動列印準備的傳感器17。傳感器7用於信件傳遞中以起動列印為目的的信件起始識別。傳送裝置由一個傳送帶10和兩個輥子11，11′組成。其中一個輥子是裝配有電機15的驅動輥子11，另一個是從動張力輥子11′。最好驅動輥子11設計成齒輪輥子，相應地傳送帶10也設計成齒輪傳送帶，它保證明確的力傳遞。編碼器5，6與輥子11，11′中的一個相耦合。最好驅動輥子11與一個增量發生器5一起固定安裝在一根軸上。增量發生器5例如被設計成開槽圓盤，它與一個光柵6一起工作，並經導線19給出編碼信號到主板9。
列印頭的各個列印元件在其外殼中與列印頭電路相連接，並且精密電列印的列印頭是可控的。列印控制基於路徑控制實現，其中所選的印記配方被考慮到，此配方是通過鍵盤88或者在需要時通過晶片卡輸入並非易失地存儲在存儲器NVM 94中的。計劃的列印由印記配方(不列印)，郵戳列印圖形和必要時其他用於廣告內容的列印圖形，運送信息(選擇列印)和附加可編輯的通知產生。非易失存儲器NVM 94具有多個存儲區。在那裡非易失地存儲下載的郵資表。
晶片卡讀寫單元70由相應的微處理器卡的機械載體和連接單元74組成。後者使得晶片卡機械上可靠地保持在讀出位置上並且明確地指示晶片卡在連接單元中抵達讀出位置。具有微處理器75的微處理器卡具有對所有類型的存儲器卡及晶片卡的編程讀出能力。與蓋郵戳機的接口是符合RS 232標準的串行接口。數據傳輸率最低為1.2K波特。供電的接通藉助於安裝在主板上的開關71實現。在接通電源後進行自測並發出準備好通知。
圖3示出蓋郵戳機從後面看去的透視圖，蓋郵戳機由錶盤1和基座2構成。後者裝配有晶片卡讀寫單元70，它安裝在前板20的後面並且可從外殼上沿22接近它。在用開關71開動蓋郵戳機之後晶片卡49從上向下插到插入槽72中。被送入的信件3立在邊緣上，以其被列印的正向躺在前板上，然後它根據輸入數據被列印上一個郵戳31。信件輸入開孔被透明板21和導向板20從側面限制。插在錶盤1主板9上的安全模塊100的狀態指示可通過開孔109從外面看到。
圖4示出郵政安全模塊PSM 100的一種優選形式的方框電路圖。電池134的負極連接到地和連接件102的引腳p23上。電池134的正極通過導線193連接到電壓轉換器180的輸入端，並且饋送系統電壓的導線191與電壓轉換器180的另一輸入端連接。在PSM 100最大用電量時壽命可達3.5年的SL-380/p型電池或壽命可達6年的SL-386/p型電池適於用作電池134。市售ADM 8693ARN型電路可用作電壓轉換器180。電壓轉換器180的輸出端經導線136接到電池監測單元12和檢測單元13。電池監測單元12和檢測單元13經過導線135，164和137，139與處理器120的引腳1，2，4和5建立通信連接。電壓轉換器180的輸出還經過導線136連接到第一個存儲器SRAM的供電輸入端，該存儲器在存在電池134時轉化為第一種工藝的非易失存儲器NVRAM。
安全模塊經過系統總線115，117，118與蓋郵戳機建立連接。處理器120可經過系統總線和一個數據機83與遠地數據中心建立通信連接。結算由ASIC 150完成並由處理器120檢查。郵政結算數據被存儲在不同工藝的非易失存儲器中。
系統電壓加到第二個存儲器NV-RAM 114的供電輸入端。它是第二種工藝的非易失存儲器NVRAM，(SHADOW-RAM)。此第二種工藝最好包含一個RAM和一個EEPROM，其中後者在系統電壓中斷時自動保存數據內容。第二種工藝的NVRAM 114經過內部地址總線和數據總線112，113與ASIC 150的相應地址輸入端和數據輸入端相連接。
ASIC 150至少包含一個用於計算要存儲的郵政數據的硬體結算單元。在可編程陣列邏輯(PAL)160中安排了ASIC 150上的存取邏輯。ASIC 150受邏輯PAL 160控制。主板9的地址總線和數據總線117，115連接到邏輯PAL 160的對應引腳上，並且PAL 160至少產生一個用於ASIC 150的控制信號和一個對程序存儲器FLASH 128的控制信號119。處理器120運行一個程序，它存儲在FLASH 128中。處理器120，FLASH 28，ASIC 150和PAL 160通過模塊內部的系統總線相互連接，總線包括用於數據信號，地址信號和控制信號的導線110，111，126，119。
安全模塊100的處理器120通過內部數據總線126與FLASH 128和ASIC 150連接。FLASH 128由系統電壓Us+供電。例如它是一個128K字節的AM29F01045EC型FLASH存儲器。郵政安全模塊100的ASIC 150通過模塊內部的地址總線110將地址0至7接到FLASH 128的對應地址輸入端上。安全模塊100的處理器120通過內部地址總線111將地址8至15接到FLASH 128的對應地址輸入端上。安全模塊100的ASIC 150通過接口8的連接件101與主板9的數據總線118，地址總線117和控制總線115建立連接。
處理器120具有存儲器122，124，從電壓監測單元12來的工作電壓Ub+通過導線138給它們供電。尤其是一個實時時鐘RTC 122和存儲器RAM 128通過導線138由工作電壓供電。電壓監測單元(電池觀測器)12還給出一個狀態信號164並響應控制信號135。電壓轉換器180給出輸出電壓到導線136上對電池觀測器12和存儲器116供電，其輸出電壓是其二個輸入電壓中大的那一個。由於此電路根據電壓Us+和Ub+的大小自動用兩個中較大的一個供電，因此在正常工作時電池134可被更換而不會發生數據丟失。
在上述方式下，在正常工作之外的停止運行時間內由安全模塊100的電池134給實時時鐘(RTC)122和/或靜態RAM(SRAM)124供電，該時鐘具有日期和/或時期時間寄存器，SRAM保存安全相關的數據。如果在電池工作時電池電壓降到規定門限值以下，則由電壓監測單元12將RTC和SRAM的饋電點接地，直到其復原，於是RTC和SRAM的供電電壓為0伏。這導致包含例如重要的密鑰的SRAM 124很快被清零。同時RTC 122的寄存器也被清除並且丟失實時時鐘時間和實時日期。通過上述動作避免了在可能受到通過操縱電池電壓進行的襲擊時蓋郵戳機時鐘122的停止和安全相關不丟失。從而不再需要像例如長時間定時器或監視器這樣的安全措施來對付襲擊。
復位單元130通過導線131與處理器120的引腳3和ASIC 150的一個連接。處理器120和ASIC 150在供電電壓下降時被復位單位130中產生的復位信號復位。
同時上述電路與電池低電壓指示一起進入自保狀態，即使後來電壓升高了也仍保持在此狀態。在下一次開通模塊時處理器可查詢電路的狀態(狀態信號)和/或通過讀取被清除的存儲器的內容來判定在前面時間中電池電壓曾經降到規定值以下。處理器可復原監測電路，即恢復其功能。
未插入檢測單元13為了測量輸入電壓，有一根導線192經過安全模塊的插腳和接口8，最好經蓋郵戳機母板9上的一個插座與地連接。此測量用作是否插入的靜態監測並構成第一級監測的基礎。未插入檢測單元13具有用於可復原自保電路的電路元件，並且當測量電壓線192上的電壓偏離規定電位時自保電路起動。同時被編程並與其他功能連接的處理器120根據應用邏輯保持或改變安全模塊100的相應狀態。自保電路的狀態經過導線139被安全模塊100的處理器120查詢。當安全模塊100正常插入時導線192上的測量電壓電位對應地電位，導線139上為工作電壓電位。當安全模塊100沒插入時地電壓電位在導線139上。處理器120的第5引腳接導線139，以查詢未插入檢測單元13的狀態是否該引腳由自保電路接到地電位上。為了經過導線137復原未插入檢測單元13的自保電路，處理器120採用其第4引腳。
此外還存在一個電流迴路18，它通過安全模塊的插腳和蓋郵戳機主板9上的插座將處理器120的引腳6和7相互連接起來。處理器120的引腳6和7上的導線僅當PSM 100插入主板9上時才連接成電流迴路18。這個迴路構成第二級上動態監測安全模塊是否插入的基礎。
處理器120內部有一個處理單元CPU 121，一個實時時鐘RTC122，一個RAM單元124和一個輸入/輸出單元125。處理器120的引腳8，9輸出至少一個信號用以指示安全模塊100的狀態。引腳8和9連接輸入/輸出單元125的I/O口，其上接有模塊內部的指示裝置，例如彩色發光二極體LED 107，108，它們指示安全模塊100的狀態。安全模塊在其壽命期內可處於不同的狀態下。因而例如必須檢測模塊是否含有有效密鑰。此外判定模塊功能正常還是有故障也是重要的。模塊狀態的精確類型和數量與模塊實現的功能和實現有關。
下面藉助圖5說明檢測單元13的電路。未插入檢測單元13具有一個分壓器，它由電阻1310，1312，1314的串聯電路構成，此分壓器接在連接電容器1371的供電電壓電位與導線192上的測量電位之間。電路通過導線136由系統電壓或電池電壓供電。導線136的供電電壓通過二次管1369到達電路的電容器1371上。電路的輸出側有一個反相器1320，1398。在正常狀態下反相器的電晶體1320截止，供電電壓經過電阻1398加到導線139上，所以在正常狀態下輸出邏輯『1』即高電平。最好導線139上的低電平作為未插入狀態信號，因為這樣在處理器120引腳5中沒有電流流進，這將增加電池壽命。二極體1369最好與電解電容器1371一起供電，使得導線136上的電壓被切斷後，反相器前面的電路在一個相對長的時間期(大於2s)內仍得到供電電壓，保證其功能。
分壓器1310，1312，1314有一個引出頭1304，其上連接電容器1306和比較器1300的同相輸入端。比較器1300的反相輸入端連接參考電壓源1302。比較器1300的輸出一方面經反相器1320，1398連接導線139，另一方面與自保電路元件1322的控制輸入端連接。電路元件1322與分壓器的電阻1310並聯，電路元件1316用來復原自保電路，它接在引出頭1304和地之間。分壓器的引出頭1304位於電阻1312和1314的連接點。接在引出頭1304和地之間的電容器1306阻止振蕩。分壓器的引出頭1304上的電壓在比較器1300中與源1302的參考電壓比較。如果引出頭1304上被比較的電壓小於源1302的參考電壓，比較器輸出保持低電平，反相器的電晶體1320截止。這樣導線139具有工作電壓電位，狀態信號為邏輯「1」。分壓器被設計成使得在導線192為地電位時引出頭1304上的電壓可靠地低於比較器1300的切換門限。如果因為安全模塊100從主板9的插座或蓋郵戳機接口8脫離而使得連接被切斷且導線192不再接地，則引出頭1304上的電壓超過參考電壓源1302的電壓，比較器1300反轉。比較器輸出切換為高電平，電晶體1320導通。這樣導線139接地電位，狀態信號為邏輯『0』。
藉助於與分壓器的電阻1310並聯的電晶體1322實現未插入檢測單元13的自保電路。電晶體1322的控制輸入端被比較器輸出端接到高電平上。因而電晶體1322導通並且跨接在電阻1310上，從而電壓分壓器僅還由電阻1312和1314構成。這樣切換門限被進一步提高，使得當因重新插入安全模塊而使導線192重又接到地電位時比較器仍保持在反轉狀態。
電路的狀態可通過導線139上的信號由處理器120查詢。
未插入檢測單元13具有用來復原自保電路的電路元件導線137和電路元件1316。復原由處理器120通過導線137上的信號觸發。
處理器120可隨時通過專用電路ASIC 150，第一個連接件101，控制裝置1的系統總線，以及例如通過微處理器91經數據機與遠地數據中心建立接觸，此中心檢查結算數據並必要時傳送其他數據到處理器120。安全模塊100的專用電路ASIC 150經過模塊內部的數據總線126與處理器120連接。
在藉助於傳送的數據成功地結束了重新初始化之後，處理器120可復原未插入檢測單元為此通過加到導線137上的復原信號使電晶體1316導通，從而引出頭1304上的電壓被拉到源1302的參考電壓以下並且電晶體1320和1322截止。在正常狀態下電晶體1322截止，電阻1310和1312串聯構成上述分壓器的上面部分，從而切換門限重又降到原來狀態。
圖6示出安全模塊機械結構的側視圖。此安全模塊構造成多晶片模塊，即多個功能單元裝在一塊電路板106上。安全模塊100用固化的灌注物質105灌注，其中安全模塊100的電池134可更換地安裝在電路板106上灌注物質105之外。例如，如此用灌注物質105灌注，使得指示裝置107，108在第一個位置處從灌注物質中伸出，並且電路板106帶著被安放的電池134從側面第二個位置處伸出。此外電路板106還具有用來連接電池134的電極的電池連接端子103和104，它最好在電路板106上方元件安裝面上。為了插郵政安全模塊PSM 100在錶盤1的主板上，連接件101和102被安裝在安全模塊100的電路板106的下面(線路面)。專用電路ASIC 150通過第一個連接件101以圖中未示出的方式與控制裝置1的系統總線建立通信連接，第二個連接件102用於系統電壓對安全模塊100的供電。若安全模塊已插在主板上，然後最好這樣將它裝在錶盤外殼中，使得指示裝置107，108接近或者伸進開孔109中。錶盤外殼最好如此構造，使得使用者能從外面看到安全模塊的狀態指示。指示裝置的兩個發光二極體107和108由處理器120引腳8，9上I/O口的兩個輸出信號控制。兩個發光二極體被安置在一個共同的元件殼中(雙彩色發光二極體)，這樣開孔的偏差及直徑可保持相對小些並在指示裝置的數量級之內。原則上可呈現三種不同的顏色(紅、綠、橙)，然而只用其中兩種(紅和綠)。為區別狀態也可使LED閃爍，這樣可以區分8種不同的狀態組，它們用以下的LED狀態來表示LED不亮，LED紅色閃，LED紅色亮，LED綠色閃，LED綠色亮。
圖7示出郵政安全模塊的頂視圖。
圖8a和8b示出分別從右或從左看去的安全模塊的視圖。從圖8a和8b，結合圖6可清楚看出電路板106下面連接件101和102的位置。
按照本發明郵政設備主要是蓋郵戳機。但是安全模塊也具有其他結構形式，可以例如插在個人計算機的主板上，它作為PC-蓋郵戳機控制一臺市售的印表機。
本發明不限於上述實施形式，公開的本發明的其他的配置和實施方案可以被開發和利用，它們從本發明的基本思路出發並被包含在權利要求中。
權利要求
1.保護安全模塊的方法，包括步驟·用第一個(120)，第二個(12)和第三個功能模塊(13)監測安全模塊的符合規定的使用，·在不符合規定的使用或更換時至少用第二個功能單元(12)清除敏感數據，·在更換安全模塊(100)時用第三個功能單元(13)鎖閉安全模塊(100)的功能，·在安全模塊(100)符合規定的使用或更換之後用第一個功能單元(120)重新初始化已被清除的敏感數據，·通過釋放安全模塊(100)的功能單元(12，13)重新工作。
2.如權利要求1所述的方法，其特徵在於，在動態檢測其是否插入成功地進行之後，第一個功能單元與遠地數據中心建立通信連接實現所述重新初始化，其中在檢測時第一個功能單元(120)通過接口(8)的電流迴路(18)交換信息，其無錯的傳送證實安裝符合要求，並且安全模塊的功能單元(12，13)通過其復原而釋放，其中第一個功能單元是處理器(120)，第二個功能單元是具有可復原自保電路的電壓監測單元(12)，並且第三個功能單元是具有可復原自保電路的未插入檢測單元(13)。
3.用於實現權利要求1所述的方法的配置，其中一個安全模塊裝配有一個邏輯電路(120，150，160)和傳感器(13)，電池(134)和用系統電壓和用電壓轉換器(180)供電的裝置，電壓轉換器經導線(136)與電壓監測單元(12)相連接，電壓監測單元經導線(138)給出工作電壓到存貯器(122，124)，其特徵在於，未插入檢測單元(13)具有用於可復原自保電路的電路元件(1310，1316，1322，1324)，其中在測量電壓線(192)上的電平偏離規定電位時自保電路起動，並且邏輯電路包括一個與其它功能單元相連接的處理器(120)，它被編程來判定並改變安全模塊(100)的相應狀態。
4.如權利要求3所述的配置，其特徵在於，未插入檢測單元(13)具有導線(137)和用於自保電路復原的電路元件(1316)作為電路元件(Schaltungsmittel)，並且處理器(120)通過導線(137)上的信號可引起復原。
5.如權利要求3或4中任一項所述的配置，其特徵在於，未插入檢測單元(13)具有一個分壓器，它由電阻(1310，1312，1314)串聯電路構成並連接在可連接電容器(1371)的供電電壓電位與導線(192)上的測量電位之間，並且導線(136)的供電電壓經二極體(1369)加到電容器(1371)上，分壓器(1310，1312，1314)具有一個引出頭(1304)，其上連接電容器(1306)和比較器(1300)的同相輸入端，比較器(1300)的反相輸入端連接參考電壓源(1302)，比較器(1300)的輸出一方面經反相器(1320，1398)連接導線(139)，另一方面與自保電路元件(1322)的控制輸入端連接，同時電路元件(1322)與分壓器的電阻(1310)並聯，用於復原自保電路的元件(1316)接在引出頭(1304)和地之間。
6.如權利要求5所述的配置，其特徵在於，自保電路的狀態可由安全模塊(100)的處理器(120)經導線(139)查詢。
7.如權利要求6所述的配置，其特徵在於，當安全模塊(100)正常插入時，導線(192)上的測量電位對應地電位且導線(139)上的電位對應工作電位，另一方面當安全模塊(100)未插入時導線(139)上為地電位。
8.如權利要求3至7中任一項所述的配置，其特徵在於，處理器(120)具有存貯器(122，124)，電壓監測單元(12)輸出的工作電壓Ub+經導線(138)送給它，處理器(120)由系統電壓Us+供電並具有第4個接點(腿4)，用來經導線(137)復原未插入檢測單元(13)中自保電路的狀態，並且處理器具有第5個接點(腿5)，其上連接導線(139)，用來查詢未插入檢測單元(13)的狀態。
9.如權利要求8所述的配置，其特徵在於，安全模塊(100)具有專用電路ASIC(150)，處理器(120)經模塊內部的數據總線(126)與專用電路ASIC(150)連接，並且後者經第一個連接件(101)與控制裝置(1)的系統總線建立通信連接。
10.如權利要求3至9中任一項所述的配置，其特徵在於，安全模塊(100)用固化的濤注物質(105)濤注，安全模塊(100)的電池(134)可更換地安裝在電路板(106)上濤注物質(105)之外，電路板(106)具有用於連接電池(134)的電極的電池連接端子(103和104)和用於系統電壓對安全模塊(100)供電的第二個連接件(102)，以及至少一個連接件(101，102)用來靜態和動態監測安全模塊(100)是否插入。
11.如權利要求10所述的配置，其特徵在於，處理器(120)具有用於動態監測安全模塊是否插入的接點(腿6，7)，其上連接導線，當安全模塊(100)插入時此導線接成一個電流迴路(18)。
12.如權利要求3至11中任一項所述的配置，其特徵在於，安全模塊(100)的處理器(120)裝配有用以輸出至少一個指示安全模塊(100)的狀態的信號的接點(腿8，9)。
13.如權利要求12所述的配置，其特徵在於，指示元件(107，108)在模塊內部連接到處理器(120)的輸入/輸出單元(125)的I/O口上。
全文摘要
本發明涉及一種保護安全模塊的方法,其步驟為:利用第一個,第二個和第三個功能單元監測其符合規定的使用,在不符合規定的使用或更換時至少用第二個功能單元清除敏感數據,在更換安全模塊時用第三個功能單元鎖閉其功能,在符合規定的使用或更換安全模塊之後重新初始化已清除的敏感數據,以及通過釋放安全模塊的功能單元來重新運行。
文檔編號G07B17/00GK1276579SQ0010387
公開日2000年12月13日 申請日期2000年3月10日 優先權日1999年3月12日
發明者彼得·波斯特, 德克·羅西瑙, 託斯坦·施拉夫 申請人:弗朗科泰普-波斯特利亞兩合公司