保护安全模块的方法及实现此方法的配置的制作方法

专利名称：保护安全模块的方法及实现此方法的配置的制作方法
技术领域：
本发明涉及保护安全模块的一种方法，以及实现此方法的一种配置，这种邮政安全模块尤其适用于盖邮戳机及邮政处理机或者具有邮政处理功能的计算机。
诸如US 4746234所公开的热变换盖邮戳机这样的现代盖邮戳机使用一个全数字的打印装置。因而原则上可以打印任意的文字和特殊符号在邮戳打印区以及任意的或与付费处相关的广告内容。例如盖邮戳机T1000具有一个包装在保安外壳中的微处理器，外壳上有一个开槽用来送入信件。在信件被送入时一个机械的信件传感器(微动开关)给出一个打印请求信号到微处理器。邮戳打印内容包括用于信件传递的事先输入和存储的邮政信息。盖邮戳机的控制单元按照软件完成结算，必要时对数据的实时性进行监测，以及控制邮资收付差额的装载。
US 5606508(DE 4213278B1)和US 5490077已经建议了借助于芯片卡对上述热变换盖邮戳机实现数据输入的可能性。一张芯片卡装新数据到盖邮戳机中，一组另外的芯片卡可以通过插入一张芯片卡来更改已输入的相应数据。这样可以比用键盘输入更方便和迅速地实现数据装载和更改。用于邮件的盖邮戳的盖邮戳机装配有一个用于在邮件上打印邮资印记的打印机，一个控制打印机和盖邮戳机外设的控制装置，一个用于结算邮费的结算单元，至少一个用来存储邮费数据的非易失存储器，至少一个用于存储安全有关的数据的非易失存储器以及一个日历/时钟。存储安全有关的数据的存储器和/或日历/时钟通常由电池供电。在现有盖邮戳机中安全有关的数据(密钥等)存储在非易失存储器中。这些存储器是EEPROM，FRAM或电池保证的SRAM。现有盖邮戳机常常也提供一个内部实时时钟(Real Time Clock)RTC，它由电池供电。例如现在存在灌注的模块，它们包含有集成电路和锂电池。这种模块在电池寿命到期后必须整个地被更换和去掉供电。从科学和经济的观点看仅需更换电池才更有效。然而这就必须打开保安外壳，且然后再封闭它，因为抵抗袭击的安全性主要依赖于保安外壳，它包封了整个装置。EP660269A2(US 5671146)已经提出一种合适的方法来提高盖邮戳机的安全性，其中保安外壳的授权和非授权开启是不同的。
盖邮戳机有时需要修理，如果接近元件是困难的或受到限制，修理是困难的。将来在大型邮政处理机或所谓的PC盖邮戳机中保安外壳将被压缩成所谓的邮政安全模块，这将改善其他元件的可接近性。为了经济地更换安全模块的电池也希望在相对简单的途径上更换电池。为此电池必须在盖邮戳机的保安范围之外。但是如果电池连接端子也从外部可接近，则可能的袭击会发生，即控制电池的电压。现在的电池供电的SRAM和RTC对其工作电压有不同的要求。保持SRAM的数据所需的电压低于RTC工作所需电压。这意味着电压降到某个门限值之下将导致不希望的行为RTC停止运动，存储在SRAM单元中的时间和SRAM所存储的内容仍然保持着。至少有的安全措施，例如长时间监视器，可能在盖邮戳机上是无效的。长时间监视器工作于以下情况远地数据中心预先给定一个时间借贷量或者一个时间持续期，尤其是一个天数或一个规定日期，直到此日期盖邮戳装置可以通过通信连接报到。在时间借贷量或期限抵达之后不能盖邮戳。EP 660270A2(US 5680463)以“产生和检验安全打印的方法和配置”为题提出了一种方法，它求出直到下一次存入款项的假设时间持续期，并且每个没有按期报到的盖邮戳机被数据中心视为受怀疑的。受怀疑的盖邮戳机被通知给邮局，邮局对从受怀疑的盖邮戳机出来的盖过戳的信件进行检查。时间借贷量或期限的到期也由盖邮戳装置查明。使用者被要求完成关于到期的通信。然而此盖邮戳装置不具备独立的安全模块。
在有电子数据处理设备以来安全模块已为大家所熟悉。为了抵抗对电子设备的袭击，EP 417447B1建议了一种封锁装置，它将供电装置和信号收集装置以及屏蔽装置包在外壳中。此屏蔽装置由填充物质和连接装置组成，在连接装置上连接供电装置和信号收集装置。后者对连接装置的连接电阻的变化有反应。此外安全模块包含一个内部电池，一个由系统电压转换为电池电压的电压转换器，一个电源门和一个短路晶体管及其他传感器。当电压降到规定门限值以下时，电源门动作。当连接电阻，温度或光射线改变时逻辑电路给以响应。借助于电源门或借助于逻辑电路短路晶体管的输出端切换到低电平，这样存储在存储器中的密钥被清除掉。然而对于在盖邮戳机或邮政处理机中的使用而言，不能更换的电池的使用寿命太短，由此导致安全模块的使用寿命太短。
大型邮政处理机例如是JetMail。邮戳打印在其中是借助于静态安置的喷墨打印头实现的，而信件的传递是非水平的，接近于垂直的。DE 19605105C1提出了打印装置的一种合适的实施方案。邮政处理机有一个表盘和一个基座。表盘应装配一个外壳，并使得元件容易被接近，它必须由一个邮政安全模块来使其能抵抗袭击，此模块至少完成邮费的结算。为了排除对程序运行的影响，EP 789333A2以“盖邮戳机”为题建议安全模块装配一个专用电路(ApplicationSpecific Integrated Circuit)ASIC，它有一个硬件结算电路。此外专用电路控制给打印头的打印数据传输。仅当对于每个邮件产生唯一的打印内容时该数据传输才是不需要的。例如在US 5680463，US 5712916和US 5734723中建议了一种用于产生和检验一个安全性打印的合适的方法和配置。其中一个专用的安全标记用电子方法产生并被嵌入到打印图形中。
在未公开的德国专利申请19816572.2和19816571.4中也提出了安全模块在遭到袭击时保护其中存储的数据的其他措施。在有多个传感器时耗电量增加，并且一个不是持续地由系统电压供电的安全模块从其内部电池吸取传感器所需之电流，因此电池被提早耗尽。电池的容量和耗电量限制了安全模块的使用寿命。
与许多其他产品一样，盖邮戳机结构也实现了模块化。这种模块化使得出自各种原因的模块和元件的更换成为可能。例如故障模块可被取下并且通过检查，修理或被新的模块替换。因为在更换那些包含安全相关数据的组件时要求最高的操作水平，通常其更换需由业务技术人员进行并采取一些措施，这些措施在安全模块被不符合规定的使用或非授权的更换时中断安全模块的功能执行。但是采取这些措施费用很昂贵。
本发明的目的在于，以小的费用实现在安全模块可更换地安装时保证能抵抗对其的未经许可的操纵。其更换应可由任何人以尽可能简单的方式进行。
上述任务通过权利要求1所述的方法和权利要求10所述的配置完成。
本发明的出发点是借助于功能单元来确认盖邮戳机，邮政处理装置或类似设备的安全模块的更换，操纵和使用，以提供给各种设备的使用者一个关于安全模块乃至整个设备正确地执行其功能的保证。安全模块的更换或损害至少被检测出来并且必要时，在安全模块重新被插上并用系统电压供电时事后作为状态信号发出。安全模块的状态变化借助于第一个功能单元和一个检测单元来收集，检测单元具有一个可复原的自保电路并由电池电压供电。第一个功能单元在其重又由系统电压供电时能判定各种状态。优点在于对安全模块的状态变化的快速反应以及检测单元有小的电池耗电量且不用系统电压供电。
必要时第二个功能单元可监测电池电压，判定电池的容量是否已耗尽。一个要求的电池更换被告知，当然必须保证由系统电压供电。这至少避免了在更换时对安全模块的不符合规定的使用，在更换时不仅没有系统电压，而且可更换地安装的电池也被取走。为使更换工作可由不熟悉的人员完成，并且在将来完全由使用者来完成，第二个功能单元完成对更换电池时的电压下降的监测，同时第一个功能单元在必要时首先清除掉敏感的数据并且限制或完全中断安全模块的继续使用。在由一个业务员现场检查安全模块之后原有的功能可被恢复且外壳原封未动。在以后的恢复运行过程中第一个功能单元强迫安全模块与一个远地数据中心接触以释放至少一个功能单元。
如果不是更换电池，而是整个安全模块被替换，首先由第二个功能单元清除敏感的数据，然而可以在恢复运行时重新初始化这些敏感数据。为了建立接触，可以利用采用数字或模拟传输线路的方法。同样安全模块的检查由一次维护引发。安全模块可指示各种状态。因此可以例如离上次与数据中心的接触时间如此之长，已经产生怀疑，或者离上次与数据中心的接触时间太长，不再允许重新初始化。第一个功能单元不断判别第一个借贷天数是否用尽，当此借贷天数已用尽时指示受怀疑状态。通过与数据中心的接触可以恢复正常的工作状态，而无需由一次维护作现场检查。借贷时间可以是可变的并且对不同的安全设备不同。借贷时间可由数据中心预先规定并且在安装时装载到安全装置的一个存储器中。第一个功能单元不断判定第二个借贷天数是否用尽。当它被用完时指示“丢失”状态。在此状态下，也通过一次维护对安全模块作现场检查。
保护安全模块的方法包括以下步骤·借助于第一，第二和第三功能单元监测安全模块的状态、符合规定的使用或更换，·借助于第一个功能单元控制指示至少一个状态，·至少借助于第二个功能单元在不符合规定的使用或更换时清除敏感的数据。
由以下步骤完成此方法的其他过程·在符合规定地使用或更换安全模块之后借助于第一个功能单元对以前被清除的敏感数据重新初始化，·通过释放安全模块的功能单元恢复运行。
必要时需要更换安全模块。借助于第三个功能单元也可检测机械或化学的袭击之后的损坏状态，步骤为·在更换安全模块或在一次袭击后处于损坏状态时借助于第三个功能单元锁闭功能。
在成功完成动态的插入检测之后，借助于第一个功能单元与远地数据中心的通信连接重新初始化，在第一个功能单元检测时经过接口电路回路交换信息，这些信息无错的传递证明了安全模块结构符合规定。安全模块的功能单元的释放通过其复原实现。第一个功能单元是一个与其他功能单元相连接的处理器，它被编程来确定各种状态。第二个功能单元是一个具有可复原自保电路的电压监测单元，第三个功能单元是一个具有可复原自保电路的检测电路，它能检测非插入状态和受到机械或化学的袭击后的损坏状态。装置用灌注物质灌注，以警戒和保护安全模块受到袭击。
实施该方法的配置有一个安全模块，它具有一个带有用系统电压或电池电压给安全模块供电的装置的逻辑电路和多个监测装置。安全模块的特征在于第一个，第二个和第三个功能单元以及用于装载至少一个由数据中心规定的借贷时间的装置和一个指示装置，它与第一个功能单元相连接，并且上述装载在安装和补充到安全设备的存储器中时进行，第一个功能单元在时间流程上判定借贷天数是否用尽并且控制指示装置，用以至少指示时间流程，特征还在于用以在安全模块被不符合规定使用或更换时清除存储器中的敏感数据的第二个功能单元装置。
在其他权利要求中描述了本发明的进一步优化方案，下面借助于附图详细说明本发明的优选实施方案。附图中

图1是安全模块的方框图和接口，图2是盖邮戳机的方框电路图，图3是盖邮戳机从后面看去的透视图，图4是安全模块(第二种形式)的方框电路图，图5是检测单元电路图，图6是安全模块(第一种形式)的侧视图，图7是安全模块(第一种形式)的顶视图，图8a是安全模块(第一种形式)的右视图，
图8b是安全模块(第一种形式)的左视图，图9是状态指示列表，图10是系统中对静态和动态可变的状态的检验描述，图11是安全模块(第二种形式)的侧视图，图12是安全模块(第二种形式)的顶视图，图13a是安全模块(第二种形式)的右视图，图13b是安全模块(第二种形式)的左视图。
图1示出安全模块100的方框图，安全模块具有用于连接接口8的连接件101，102和用于电池134的电池接口的电池连接端子103和104。虽然安全模块被用固化的灌注物质灌注，安全模块100的电池134可更换地安装在电路板上灌注物质之外。电路板载有用于连接电池134的电极的电池连接端子103和104。借助于连接件101，102安全模块100被插到主板(母板)9的相应接口8上。第一个连接件101建立与控制装置的系统总线的通信连接，第二个连接件102用于系统电压对安全模块100的供电。经过连接件101的引脚p3，p5-p19的是地址和数据线117，118以及控制线115。第一个连接件101和/或第二个连接件102被用于对安全模块100的插入与否进行静态和动态的监测。主板9的系统电压对安全模块100的供电通过连接件102的引脚p23和p25实现，并且通过引脚p1，p2和p4由安全单元100实现动态和动态的非插入检测。这需要一个检测单元，它通过导线回路192，194连接于连接件102的引脚p4。导线回路可设计成安全模块100的特殊保安部分并且如此嵌入灌注物质中，使得在有机械或化学的袭击加到安全模块100的相应部分时与引脚p4的连接被切断。
安全模块100以大家所熟悉的方式具有一个微处理器120，它具有一个图中未示出的装有专用程序的集成只读存储器(内部ROM)，该程序是邮局或邮局长官允许用于盖邮戳机的。也可以在内部数据总线136上连接一个常用的只读存储器ROM或FLASH存储器。
安全模块100以大家所熟悉的方式具有一个复位单元130，一个专用电路ASIC 150和一个逻辑PAL，它用作ASIC的控制信号发生器。复位单元130，专用电路150和逻辑PAL以及可能还有其他图中未示出的存储器通过导线191及129由系统电压Us+供电，在盖邮戳机开动时此电压由主板9给出。在EP 789333A2中已经说明了邮政安全模块PSM的主要部分，它实现邮费数据的结算和安全。
此外系统电压Us+经二极管181和导线136加到电压监测单元12的输入端。在电压监测单元12的输出端给出第二个工作电压Ub+，它经过导线138供使用。在更换盖邮戳装置时不存在系统电压Us+，而仅有电池电压Ub+供使用。连接电池负极的电池连接端子104接地。从连接电池正极的电池连接端子103给出电池电压，经导线193，第二个二极管182和导线136加到电压监测单元的输入端。市售电压转换器180也可用以替代二个二极管181，182。
电压监测单元12的输出通过导线138连接到处理器120第二个工作电压Ub+的输入端，此电压至少被连接于一个RAM存储区122，124，并且只要第二个工作电压达到要求的大小，就保证上述存储区的非易失存储。最好处理器120含有一个内部RAM 124和一个实时时钟(RTC)122。
安全模块中的电压监测单元12具有一个可复原的自保电路，它可由处理器120经导线164查询并经导线135复原。电压监测单元12具有用于自保电路复原的电路元件。当电池电压超过规定门限值时复原才能被触发。导线135和164分别连接于处理器的一个引脚(引脚1和2)。导线164给一个状态信号到处理器120，导线135加一个控制信号到电压监测单元12。
电压监测单元12输入端上的导线136同时用工作电压或电池电压给未插入检测单元13供电。未插入检测单元13给出状态信号在导线139上送到处理器120的引脚5上，此信号给出关于电路状态的指示。经过导线139未插入检测单元13的状态被处理器120查询。处理器可用一个从处理器120的引脚4经导线137给出的信号复原未插入检测单元13。在此复原之后对连接作静态检查。为此经过导线192查询地电位，此地电位加在邮政安全模块PSM 100的接口8的连接端p4上并且仅当安全模块100被正常插入时才能被查询到。在插入安全模块100时邮政安全模块PSM 100的电池134的负极104的地电位加到接口8的连接端p23上，因此它可以被未插入检测单元13在接口8的连接端p4上通过导线192查询到。
在处理器120的引脚6和7上接一个导线回路，它经过接口8的连接件102的引脚p1和p2对于处理器120形成回路。为了动态检查邮政安全模块PSM 100是否插入主板9上，处理器120以完全无规则的时间间隔给出变化的信号电平到引脚6，7上并经过导线回路返回。
邮政安全模块PSM 100装配有一个长寿命电池，在安全模块没有加上邮政处理装置的系统电压时它也可以监视使用情况。符合规定的使用，运行，安装或装入合适的环境是安全模块的功能单元所检查的特性。原始安装由邮政安全模块的生产者进行。在原始安装之后首先仅检查邮政安全模块是否从其使用场所(邮政处理装置)分离，这种分离通常出现在更换它的时候。
此状态的监测由未插入检测单元13进行。这时通过接到接口8的引脚p4上的地来监测一个电压大小。在更换功能单元时此与地的连接被断开，未插入检测单元13将其作为信息予以响应。因为在对安全模块100进行机械或化学的袭击以及每次安全模块100与接口8分离时，专用电池供电的电路结构保证了上述信息的存储，此信息的分析利用可随时进行，如果希望重新工作的话。按规律地判定检测单元13的导线139上的这个分离信号或未插入信号使处理器120可以清除敏感数据，而并不改变在NVRAM存储器中的结算和顾客数据。邮政安全模块的这种清除了敏感数据的暂时状态可理解为维护状态，通常在此状态下进行更换，修理或其他工作。因为功能单元的敏感数据被清除，由于对邮政安全模块的不符合规定的操作而产生的错误被避免了。此敏感数据例如是密钥。在维护状态下处理器120停止了邮政安全模块的核心功能，这些功能是例如结算和/或求取用于安全打印中安全标记的安全码。
为了恢复工作，邮政安全模块PSM首先被插入并与邮政处理装置的相应接口8建立电气连接。接着开动设备，从而邮政安全模块重又由系统电压Us+供电。基于此特殊状态，邮政安全模块的装入是否符合规定必须由其功能单元重新检查。为此进行第二级检查(动态插入检测)。通过在第一个功能单元(处理器120)和接口8的电流回路18之间建立的工作连接交换信息，它的无错传输证实了安装符合规定。这是成功地重新工作的先决条件。
为了进入工作状态现在只需重新初始化敏感数据。在邮政安全模块与第三个部门之间进行通信，以传递这些敏感数据。在传递完成之后未插入检测单元13被复原并且邮政安全模块重新进入工作状态，重新工作过程结束。
图2示出盖邮戳机的方框电路图，它具有一个用于通过芯片卡装载变化数据的芯片卡读写单元70和一个由控制装置1控制的打印装置2。控制装置1具有一个装配有微处理器91和相应存储器92，93，94，95的主板9。
程序存储器92含有至少用于打印的工作程序，并至少含有与安全有关的程序，它用于部分有用数据的预先规定的格式转换。
工作存储器RAM 93用于中间结果的易失的中间存储。非易失存储器NVM 94用于数据的非易失中间存储，数据例如是按付费处排序的统计数据。日历/时钟95必要时含有可寻址的非易失存储区，用于中间结果或者公开的程序部分(例如DES算法)的非易失中间存储。控制装置1与芯片卡读写单元70连接，控制装置1的微处理器91被编程来装载从芯片卡49的存储区来的有效数据N到盖邮戳机的与其应用相应的存储区。插入芯片卡读写单元70的插槽72的第一张芯片卡49允许下载至少用于一种应用的数据组到盖邮戳机中。芯片卡49具有例如所有通常邮局业务按邮局价目表的邮费和一个邮局标记，以供盖邮戳机产生印记图形并给邮件盖上邮局价目。
控制装置1构成原来的表盘，它具有主板9的装置91至95并且还包含键盘88，显示单元89及专用电路ASIC 90和用于邮政安全模块PSM 100的接口8。安全模块PSM 100通过总线与ASIC 100和微处理器91连接，通过并行μc总线至少与主板9的装置91至95和显示单元89连接。控制总线在安全模块PSM 100和ASIC 90之间连接信号CE，RD和WR。微处理器91最好有一个引脚用于由安全模块PSM 100给出中断信号i，其他连接端用于键盘88，一个串行接口S1-1用于连接芯片卡读写单元70，以及一个串行接口S1-2用于附加连接一个调制解调器。借助于调制解调器可以例如增加在邮政安全模块PSM 100的非易失存储器中存储的内容。
邮政安全模块PSM 100被包封在一个保安外壳中。每次盖邮戳之前在邮政安全模块PSM 100中完成硬件的结算。结算的完成与付费处无关。邮政安全模块PSM 100内部可像欧洲报告EP 789333A3中详细说明的那样被实现。
ASIC 90有一个对邮政业务流前接设备的串行接口电路98，一个对打印装置2的传感器和执行器件的串行接口电路96，一个对打印头4的打印控制电路16的串行接口电路，以及一个对邮政业务流后续设备中的打印装置20的串行接口电路。DE 19711997是可选用的外设接口实施方案，它适用于多外设(站)，其题目是实现邮政处理机的基站和其他站之间通信及其紧急切断的配置。
与机器底座中的接口电路14连接的接口电路96提供至少与传感器6，7，17，与执行器件，例如与辊子11的驱动电机15，与喷墨打印头4的净化和稠度调节站RDS 40，以及与机器底座中的标签发生器50的连接。主要配置和喷墨打印头4与RDS 40之间的配合关系可采用DE 19726642C2提出的方案，其题目是实现喷墨打印头及净化和稠度调节装置的定位的配置。
安装在前板上的传感器7，17中的一个是用于信件传递中起动打印准备的传感器17。传感器7用于信件传递中以起动打印为目的的信件起始识别。传送装置由一个传送带10和两个辊子11，11′组成。其中一个辊子是装配有电机15的驱动辊子11，另一个是从动张力辊子11′。最好驱动辊子11设计成齿轮辊子，相应地传送带10也设计成齿轮传送带，它保证明确的力传递。编码器5，6与辊子11，11′中的一个相耦合。最好驱动辊子11与一个增量发生器5一起固定安装在一根轴上。增量发生器5例如被设计成开槽圆盘，它与一个光栅6一起工作，并经导线19给出编码信号到主板9。
打印头的各个打印元件在其外壳中与打印头电路相连接，并且精密电打印的打印头是可控的。打印控制基于路径控制实现，其中所选的印记配方被考虑到，此配方是通过键盘88或者在需要时通过芯片卡输入并非易失地存储在存储器NVM 94中的。计划的打印由印记配方(不打印)，邮戳打印图形和必要时其他用于广告内容的打印图形，运送信息(选择打印)和附加可编辑的通知产生。非易失存储器NVM 94具有多个存储区。在那里非易失地存储下载的邮资表。
芯片卡读写单元70由相应的微处理器卡的机械载体和连接单元74组成。后者使得芯片卡机械上可靠地保持在读出位置上并且明确地指示芯片卡在连接单元中抵达读出位置。具有微处理器75的微处理器卡具有对所有类型的存储器卡及芯片卡的编程读出能力。与盖邮戳机的接口是符合RS 232标准的串行接口。数据传输率最低为1.2K波特。供电的接通借助于安装在主板上的开关71实现。在接通电源后进行自测并发出准备好通知。
图3示出盖邮戳机从后面看去的透视图，盖邮戳机由表盘1和基座2构成。后者装配有芯片卡读写单元70，它安装在前板20的后面并且可从外壳上沿22接近它。在用开关71开动盖邮戳机之后芯片卡49从上向下插到插入槽72中。被送入的信件3立在边缘上，以其被打印的正向躺在前板上，然后它根据输入数据被打印上一个邮戳31。信件输入开孔被透明板21和导向板20从侧面限制。插在表盘1主板9上的安全模块100的状态指示可通过开孔109从外面看到。
图4示出邮政安全模块PSM 100的一种优选形式的方框电路图。电池134的负极连接到地和连接件102的引脚p23上。电池134的正极通过导线193连接到电压转换器180的输入端，并且馈送系统电压的导线191与电压转换器180的另一输入端连接。在PSM 100最大用电量时寿命可达3.5年的SL-380/p型电池或寿命可达6年的SL-386/p型电池适于用作电池134。市售ADM 8693ARN型电路可用作电压转换器180。电压转换器180的输出端经导线136接到电池监测单元12和检测单元13。电池监测单元12和检测单元13经过导线135，164和137，139与处理器120的引脚1，2，4和5建立通信连接。电压转换器180的输出还经过导线136连接到第一个存储器SRAM的供电输入端，该存储器在存在电池134时转化为第一种工艺的非易失存储器NVRAM。
安全模块经过系统总线115，117，118与盖邮戳机建立连接。处理器120可经过系统总线和一个调制解调器83与远地数据中心建立通信连接。结算由ASIC 150完成并由处理器120检查。邮政结算数据被存储在不同工艺的非易失存储器中。
系统电压加到第二个存储器NV-RAM 114的供电输入端。它是第二种工艺的非易失存储器NVRAM，(SHADOW-RAM)。此第二种工艺最好包含一个RAM和一个EEPROM，其中后者在系统电压中断时自动保存数据内容。第二种工艺的NVRAM 114经过内部地址总线和数据总线112，113与ASIC 150的相应地址输入端和数据输入端相连接。
ASIC 150至少包含一个用于计算要存储的邮政数据的硬件结算单元。在可编程阵列逻辑(PAL)160中安排了ASIC 150上的存取逻辑。ASIC 150受逻辑PAL 160控制。主板9的地址总线和数据总线117，115连接到逻辑PAL 160的对应引脚上，并且PAL 160至少产生一个用于ASIC 150的控制信号和一个对程序存储器FLASH 128的控制信号119。处理器120运行一个程序，它存储在FLASH 128中。处理器120，FLASH 28，ASIC 150和PAL 160通过模块内部的系统总线相互连接，总线包括用于数据信号，地址信号和控制信号的导线110，111，126，119。
安全模块100的处理器120通过内部数据总线126与FLASH 128和ASIC 150连接。FLASH 128由系统电压Us+供电。例如它是一个128K字节的AM29F01045EC型FLASH存储器。邮政安全模块100的ASIC 150通过模块内部的地址总线110将地址0至7接到FLASH 128的对应地址输入端上。安全模块100的处理器120通过内部地址总线111将地址8至15接到FLASH 128的对应地址输入端上。安全模块100的ASIC 150通过接口8的连接件101与主板9的数据总线118，地址总线117和控制总线115建立连接。
处理器120具有存储器122，124，从电压监测单元12来的工作电压Ub+通过导线138给它们供电。尤其是一个实时时钟RTC 122和存储器RAM 128通过导线138由工作电压供电。电压监测单元(电池观测器)12还给出一个状态信号164并响应控制信号135。电压转换器180给出输出电压到导线136上对电池观测器12和存储器116供电，其输出电压是其二个输入电压中大的那一个。由于此电路根据电压Us+和Ub+的大小自动用两个中较大的一个供电，因此在正常工作时电池134可被更换而不会发生数据丢失。
在上述方式下，在正常工作之外的停止运行时间内由安全模块100的电池134给实时时钟(RTC)122和/或静态RAM(SRAM)124供电，该时钟具有日期和/或时期时间寄存器，SRAM保存安全相关的数据。如果在电池工作时电池电压降到规定门限值以下，则由电压监测单元12将RTC和SRAM的馈电点接地，直到其复原，于是RTC和SRAM的供电电压为0伏。这导致包含例如重要的密钥的SRAM 124很快被清零。同时RTC 122的寄存器也被清除并且丢失实时时钟时间和实时日期。通过上述动作避免了在可能受到通过操纵电池电压进行的袭击时盖邮戳机时钟122的停止和安全相关不丢失。从而不再需要像例如长时间定时器或监视器这样的安全措施来对付袭击。所用的安全措施借助于图9和图10详细说明。
复位单元130通过导线131与处理器120的引脚3和ASIC 150的一个连接。处理器120和ASIC 150在供电电压下降时被复位单位130中产生的复位信号复位。
同时上述电路与电池低电压指示一起进入自保状态，即使后来电压升高了也仍保持在此状态。在下一次开通模块时处理器可查询电路的状态(状态信号)和/或通过读取被清除的存储器的内容来判定在前面时间中电池电压曾经降到规定值以下。处理器可复原监测电路，即恢复其功能。
未插入检测单元13为了测量输入电压，有一根导线192经过安全模块的插脚和接口8，最好经盖邮戳机母板9上的一个插座与地连接。此测量用作是否插入的静态监测并构成第一级监测的基础。未插入检测单元13具有用于可复原自保电路的电路元件，并且当测量电压线192上的电压偏离规定电位时自保电路起动。同时被编程并与其他功能连接的处理器120根据应用逻辑保持或改变安全模块100的相应状态。自保电路的状态经过导线139被安全模块100的处理器120查询。当安全模块100正常插入时导线192上的测量电压电位对应地电位，导线139上为工作电压电位。当安全模块100没插入时地电压电位在导线139上。处理器120的第5引脚接导线139，以查询未插入检测单元13的状态是否该引脚由自保电路接到地电位上。为了经过导线137复原未插入检测单元13的自保电路，处理器120采用其第4引脚。
此外还存在一个电流回路18，它通过安全模块的插脚和盖邮戳机主板9上的插座将处理器120的引脚6和7相互连接起来。处理器120的引脚6和7上的导线仅当PSM 100插入主板9上时才连接成电流回路18。这个回路构成第二级上动态监测安全模块是否插入的基础。
处理器120内部有一个处理单元CPU 121，一个实时时钟RTC122，一个RAM单元124和一个输入/输出单元125。处理器120的引脚8，9输出至少一个信号用以指示安全模块100的状态。引脚8和9连接输入/输出单元125的I/O口，其上接有模块内部的指示装置，例如彩色发光二极管LED 107，108，它们指示安全模块100的状态。安全模块在其寿命期内可处于不同的状态下。因而例如必须检测模块是否含有有效密钥。此外判定模块功能正常还是有故障也是重要的。模块状态的精确类型和数量与模块实现的功能和实现有关。
下面借助图5说明检测单元13的电路。未插入检测单元13具有一个分压器，它由电阻1310，1312，1314的串联电路构成，此分压器接在连接电容器1371的供电电压电位与导线192上的测量电位之间。电路通过导线136由系统电压或电池电压供电。导线136的供电电压通过二次管1369到达电路的电容器1371上。电路的输出侧有一个反相器1320，1398。在正常状态下反相器的晶体管1320截止，供电电压经过电阻1398加到导线139上，所以在正常状态下输出逻辑‘1’即高电平。最好导线139上的低电平作为未插入状态信号，因为这样在处理器120引脚5中没有电流流进，这将增加电池寿命。二极管1369最好与电解电容器1371一起供电，使得导线136上的电压被切断后，反相器前面的电路在一个相对长的时间期(大于2s)内仍得到供电电压，保证其功能。
分压器1310，1312，1314有一个引出头1304，其上连接电容器1306和比较器1300的同相输入端。比较器1300的反相输入端连接参考电压源1302。比较器1300的输出一方面经反相器1320，1398连接导线139，另一方面与自保电路元件1322的控制输入端连接。电路元件1322与分压器的电阻1310并联，电路元件1316用来复原自保电路，它接在引出头1304和地之间。分压器的引出头1304位于电阻1312和1314的连接点。接在引出头1304和地之间的电容器1306阻止振荡。分压器的引出头1304上的电压在比较器1300中与源1302的参考电压比较。如果引出头1304上被比较的电压小于源1302的参考电压，比较器输出保持低电平，反相器的晶体管1320截止。这样导线139具有工作电压电位，状态信号为逻辑“1”。分压器被设计成使得在导线192为地电位时引出头1304上的电压可靠地低于比较器1300的切换门限。如果因为安全模块100从主板9的插座或盖邮戳机接口8脱离而使得连接被切断且导线192不再接地，则引出头1304上的电压超过参考电压源1302的电压，比较器1300反转。比较器输出切换为高电平，晶体管1320导通。这样导线139接地电位，状态信号为逻辑‘0’。
借助于与分压器的电阻1310并联的晶体管1322实现未插入检测单元13的自保电路。晶体管1322的控制输入端被比较器输出端接到高电平上。因而晶体管1322导通并且跨接在电阻1310上，从而电压分压器仅还由电阻1312和1314构成。这样切换门限被进一步提高，使得当因重新插入安全模块而使导线192重又接到地电位时比较器仍保持在反转状态。
电路的状态可通过导线139上的信号由处理器120查询。
未插入检测单元13具有用来复原自保电路的电路元件导线137和电路元件1316。复原由处理器120通过导线137上的信号触发。
处理器120可随时通过专用电路ASIC 150，第一个连接件101，控制装置1的系统总线，以及例如通过微处理器91经调制解调器与远地数据中心建立接触，此中心检查结算数据并必要时传送其他数据到处理器120。安全模块100的专用电路ASIC 150经过模块内部的数据总线126与处理器120连接。
在借助于传送的数据成功地结束了重新初始化之后，处理器120可复原未插入检测单元为此通过加到导线137上的复原信号使晶体管1316导通，从而引出头1304上的电压被拉到源1302的参考电压以下并且晶体管1320和1322截止。在正常状态下晶体管1322截止，电阻1310和1312串联构成上述分压器的上面部分，从而切换门限重又降到原来状态。
图6示出安全模块机械结构的侧视图。此安全模块构造成多芯片模块，即多个功能单元装在一块电路板106上。安全模块100用固化的灌注物质105灌注，其中安全模块100的电池134可更换地安装在电路板106上灌注物质105之外。例如，如此用灌注物质105灌注，使得指示装置107，108在第一个位置处从灌注物质中伸出，并且电路板106带着被安放的电池134从侧面第二个位置处伸出。此外电路板106还具有用来连接电池134的电极的电池连接端子103和104，它最好在电路板106上方元件安装面上。为了插邮政安全模块PSM 100在表盘1的主板上，连接件101和102被安装在安全模块100的电路板106的下面(线路面)。专用电路ASIC 150通过第一个连接件101以图中未示出的方式与控制装置1的系统总线建立通信连接，第二个连接件102用于系统电压对安全模块100的供电。若安全模块已插在主板上，然后最好这样将它装在表盘外壳中，使得指示装置107，108接近或者伸进开孔109中。表盘外壳最好如此构造，使得使用者能从外面看到安全模块的状态指示。指示装置的两个发光二极管107和108由处理器120引脚8，9上I/O口的两个输出信号控制。两个发光二极管被安置在一个共同的元件壳中(双彩色发光二极管)，这样开孔的偏差及直径可保持相对小些并在指示装置的数量级之内。原则上可呈现三种不同的颜色(红、绿、橙)。为区别状态也可使LED闪烁，这样可以区分8种不同的状态组，它们用以下的LED状态来表示LED绿色亮，LED红色亮，LED橙色亮，LED红色闪，LED绿色闪，LED橙色闪，LED红色亮和橙色闪，以及LED绿色亮和橙色闪。
图7示出邮政安全模块的顶视图。
图8a和8b示出分别从右或从左看去的安全模块的视图。从图8a和8b，结合图6可清楚看出电路板106下面连接件101和102的位置。
按照图9所示的状态指示表，得到多个可能的状态指示。绿色LED 107亮指示正常状态220，而LED 108亮指示至少静态自测结果错误的错误状态230。由于直接经LED 107，108指示，这种自测的结果不能被篡改。
例如对于以下情况在前面时间内安全模块中存储的密钥已经丢失，在动态工作中进行的检查确认错误，则橙色LED亮指示这种状态240。在一次关断/开动之后要求一个起动过程，因为否则就不能完成其他工作。在生产时忘了安装密钥的情况作为状态260例如用绿色LED 107闪来指示。
第一个功能单元是处理器120，它不断地判断第二个借贷天数是否已用尽。在其用尽时，一个长时间定时器运行期满。如果有太长的时间数据中心没有被接触，例如为了装载余额的接触，则长时间定时器运行期满。例如数据中心可规定90天作为借贷天数，并在安装或装载时装入安全设备的存储器124中。在运行了90天后一个“丢失”状态250用红色LED闪来指示。长时间定时器最好是一个回退计数器，它在处理器120中实现。因为当时间期满时计数器达到状态零，在“状态抵达后”，安全模块与表盘分开时保持状态250。如果离前次与数据中心的接触已如此之久，以致已产生怀疑，则指示怀疑状态270。最好一个也是实现在处理器120中的回退计数器不断地判断例如30天的第一个借贷天数是否已用尽。
对状态280和290的状态指示可选用于其他各种检查。为此可用其他功能单元于模块中，特别是一个温度敏感元件。例如若超过某一能引起安全模块损坏的温度，此状态280可用LED 107，108指示，它们红色亮，橙色闪，并且引起交替地红色/橙色闪的总体效果。第二个功能单元可在必要时监测电池电压，其容量是否已用尽。最好要求更换电池的状态290用LED 107，108指示绿色亮，橙色闪，并且引起交替地绿色/橙色闪的总体效果。
图10示出系统中对静态和动态可变的状态的检查。处在状态200下的关机系统在开机后经转换线“起动”201转到状态210，此状态下在加上工作电压后立即由安全模块进行一次静态自测。转换线202发生在自测给出正常结果(OK)时，它转换到状态220，用LED 107绿色亮指示。在此状态下根据需要可进行重复静态自测，动态寿命测试，至少一个周期性的借贷时间测试和其他测试。在测试结果正常时这些测试按图中转换线203引回到状态220 LED绿色亮。在动态自测确认故障时转换线206引导到状态240，LED橙色亮。此故障可通过复原尝试即通过设备的关机(转换线211)和再开机(转换线201)来排除。然而静态故障是不能排除的。在状态210下已开机的设备进行一次静态自测，当有故障时由转换线204转到状态230，LED108红色亮。在任何时间如果设备处于状态220(LED绿色)，一次根据命令而进行的静态自测在有故障时经转换线205转到状态230(LED红色)。从状态220(LED绿色)出发的其他转换线207，208，209引导到状态270，250，260。状态270用LED 107，108橙色闪指示，它表示应该建立与数据中心的连接，因为安全设备已被怀疑。装载产生的转换线212重又抵达状态210。
在状态250下用LED 108红色闪指示“丢失”状态。在处理器120的自测说明有必要装载密钥时，转移线209抵达LED 107绿色闪的状态260。
从状态220(LED 107绿色)出发能可选地不是转移到LED红色亮/橙色闪的状态280，就是转移到LED绿色亮/橙色闪的状态290。在第一个可选的转移中温度测量产生更换整个安全模块的需要。在后一个转换时电池的容量测量给出更换电池的要求。
图11示出按照第二种形式的安全模块机械结构侧视图。安全模块也构造成多芯片模块，并且用固化的灌注物质105灌注，其中安全模块100的电池134可更换地安装在电路板106上灌注物质105之外。由于费用的原因，用灌注物质105在第一个位置处如此灌注，使得指示装置107，108和插入的电池134在灌注物质之外电路板106的上面第二个位置处。电路板106也具有用来连接电池134的电极的电池连接端子103和104，它最好在电路板106上方元件安装面上。在此形式中指示装置的两个发光二极管107和108是分开的元件。指示装置的两个发光二极管107和108由处理器120引脚8，9上I/O口的两个输出信号控制。为了区分状态，LED也可以控制成闪烁，这样可区别各种状态组合。表盘外壳也构造成使得使用者能从外部看到安全模块的状态指示，例如通过一个视窗或一个开孔109看到状态指示。
为了插邮政安全模块PSM 100在表盘1的主板上，连接件101和102被安装在安全模块100的电路板106的下方。最好连接件101和102具有一个焊接头127，并且焊接头127安装在电路板106的线路面上。
图12是第二种形式邮政安全模块的顶视图。灌注物质105以方形包住电路板106的第一部分，而电路板106的第二部分在灌注物质之外，这一部分用于安装两个发光二极管107和108，可更换地安装的电池134和焊接头127(此图中看不见)。电池连接端子103和104在图12中被电池遮挡住，但是在图13a的侧视图中与焊接头127同样是可见的。
电路板106的第一部分的灌注既不开孔也不增高，这样给犯罪企图中的操纵提供小的攻击点。灌注物质最好是双成份环氧树脂或聚合物及塑料。EMERSON & CUMING公司的STYCAST2651-40FR适于用作灌注物质，最好用CATALYST9作为第二种成份。在生产中两种成份被混合后涂敷在电路板106的第一部分板的两个侧面上。这可例如通过浸入流动的混合物中实现。然后一层保护层和/或传感层被覆盖上，这一层在最外层灌注后从外部是看不见的，它在灌注物质105固化时与其牢固地结合在一起。在最外层灌注之后灌注物质固化为坚固且不透明的灌注物质105。
图13a和13b示出第二种形式安全模块的右视图和左视图。由图13a和13b，结合图12可清楚地看到电路板106下面具有连接件101和102的焊接头127的位置。
此外，焊接头127也可以例如用图中未示出的方式安装在电路板106第二部分的上表面上。
原则上当然也可以采用与邮政设备相连接的另一个指示装置。
按照本发明邮政设备主要是盖邮戳机。安全模块可以经相应邮局同意用作邮政安全设备PSD(POSTAL SECURITY DEVICE)。
安全模块及PSD也具有其他结构形式，可以例如插在个人计算机的主板上，它作为PC-盖邮戳机控制一台市售的打印机。
本发明不限于上述实施形式，公开的本发明的其他的配置和实施方案可以被开发和利用，它们从本发明的基本思路出发并被包含在权利要求中。
权利要求
1.保护安全模块的方法，包括步骤·用第一个(120)，第二个(12)和第三个功能单元(13)监测安全模块的状态、符合规定的使用或其更换，·在第一个功能单元(120)控制下指示至少一个状态(220，230，240，250，260，270，280，290)，以及·在不符合规定的使用或更换时至少用第二个功能单元(12)清除敏感数据。
2.如权利要求1所述的方法，其特征在于，用第一个功能单元(120)检测时间进程，并且用以下步骤实现后继过程，以恢复功能·在安全模块符合规定的使用或更换之后用第一个功能单元(120)重新初始化已被清除的敏感数据，并且·通过释放安全模块(100)的功能单元(12，13)重新工作。
3.如权利要求1所述的方法，其特征在于，用第二个功能单元(12)实现对电池(134)符合规定的插入或状态的监测。
4.如权利要求1所述的方法，其特征在于，在更换安全模块或者在其受到袭击后处于损坏状态时用第三个功能单元(13)实现功能锁闭。
5.如权利要求4所述的方法，其特征在于，用第三个功能单元(13)检测机械的或化学的袭击之后的损坏状态。
6.如权利要求2所述的方法，其特征在于，第一个功能单元不断地判定第一个借贷天数是否用尽，并且在其用尽时指示一个受怀疑状态。
7.如权利要求6所述的方法，其特征在于，通过与数据中心的接触来恢复正常工作状态而无需通过维护进行现场检查。
8.如权利要求2所述的方法，其特征在于，借贷时间是可变的，并且对于不同的安全设备是不同的，并且在安装时装载到安全设备的一个存储器中。
9.如权利要求2所述的方法，其特征在于，第一个功能单元(120)不断地判定第二个借贷天数是否用尽，它比第一个借贷天数长，并且在其用尽时指示“丢失”状态。
10.用于实现权利要求1所述的方法的配置，其中一个安全模块装配有一个逻辑电路(120，150，160)，用系统电压或电池(134)的电压给安全模块供电的装置以及多个监测装置，其特征在于，第一个(120)，第二个(12)和第三个功能单元(13)，用来装载至少由数据中心给出的借贷时间的装置以及与第一个功能单元(120)相连接的指示装置(107，108)，并且所述装载在安装和补充时在安全设备的存储器(124)中进行，第一个功能单元(120)在时间进程中判定借贷天数是否用尽，指示装置(107，108)被控制来至少指示时间进程，并且第二个功能单元(12)还具有在安全模块非符合规定的使用或更换时清除存储器(124)中的敏感数据的装置。
11.如权利要求10所述的配置，其特征在于，第二个功能单元(12)是一个电压监测单元(12)，它通过导线(136)和安全模块的供电装置与系统电压或电池电压相连接，并且第二个功能单元(12)通过导线(138)将工作电压给到存储器(122，124)。
12.如权利要求10所述的配置，其特征在于，第三个功能单元(13)是一个具有用于可复原自保电路的电路元件(1310，1316，1322，1324)的检测单元，其中在测量电压线(192)上的电平偏离规定电位时自保电路起动，并且与其他功能单元(11，12)相连接的处理器(120)被编程，它判定并指示安全模块(100)的相应状态。
13.如权利要求10至12中任一项所述的配置，其特征在于，处理器(120)具有存储器(122，124)，电压监测单元(12)输出的工作电压Ub+经导线(138)送给它，处理器(120)由系统电压Us+供电并具有第4个接点(引脚4)，用来经导线(137)复原检测单元(13)中自保电路的状态，并且处理器具有第5个接点(引脚5)，其上连接导线(139)，用来查询检测单元(13)的状态。
14.如权利要求10至13中任一项所述的配置，其特征在于，安全模块(100)用固化的灌注物质(105)灌注，安全模块(100)的电池(134)可更换地安装在电路板(106)上灌注物质(105)之外，电路板(106)具有用于连接电池(134)的电极的电池连接端子(103和104)和用于系统电压对安全模块(100)供电的第二个连接件(102)，灌注物质装配有在安全模块(100)受到袭击时进行告警和必要时保护的装置，以及至少一个连接件(101，102)用来静态和动态监测安全模块(100)是否插入和是否受到袭击。
15.如权利要求10至14中任一项所述的配置，其特征在于，安全模块的处理器(120)装配有用以输出至少一个指示安全模块(100)的状态的信号的接点(引脚8，9)。
16.如权利要求15所述的配置，其特征在于，指示装置(107，108)在模块内部连接到处理器(120)的输入/输出单元(125)的I/O口上。
全文摘要
本发明涉及一种保护安全模块的方法,它用第一个,第二个和第三个功能单元监测安全模块的状态,符合规定的使用或更换,用第一个功能单元控制至少一个状态的指示,以及在不符合规定的使用或更换时至少用第二个功能单元清除敏感数据。此外,在更换安全模块时用第三个功能单元闭锁功能,在符号规定的使用或更换安全模块之后重新初始化已被清除的敏感数据并且通过释放安全模块的功能单元而重新工作。
文档编号G07B17/00GK1271145SQ0010387
公开日2000年10月25日 申请日期2000年3月10日 优先权日1999年3月12日
发明者彼得·波斯特, 德克·罗西瑙, 托斯坦·施拉夫 申请人:弗朗科泰普-波斯特利亚两合公司