带有状态信号的安全模件的制作方法

专利名称：带有状态信号的安全模件的制作方法
技术领域：
本发明涉及一种带有状态信号的安全模件，这样一种邮政安全模件尤其适合用于邮资盖印机、邮件处理机或带有邮件处理功能的计算机中。
现代的邮资盖印机或其他用于在邮寄物品上贴邮票、盖邮戳的设备，一般具有一个控制器，用于控制邮资盖印机的印刷和外围部件的工作，一个结算邮寄费用的结算装置，邮资费用存在一个非易失存储器内，还具有一个用于加密保护邮寄费用数据的装置。所述的结算装置和/或保护打印邮寄费用数据的装置，可以采用一个整体的安全模件实现(EP 789 333 A2)。
安全模件的处理器例如是一个OTP(可一次编程)，其中存有可读出的敏感数据，如加密密钥。其外封装由一个安全防护壳提供进一步的保护。
安全模件也可以由其他公知的电子数据处理装置实现，并且在其电子电路中带有防止扰动的保护装置(EP 417 447 B1)。
关于对在安全模件中存有的数据的其他保护措施，在德国未提前公开的专利申请文件198 16 572.2和198 16 571.4内有相应的描述。根据这两个文件的教导，由于使用了多个感应器件，使电流消耗上升，这对于一个不总是由系统电源供电的安全模件而言，所有感应装置所需的电流均由内部的电池供给，结果导致电池能量过早耗尽。电池的容量和电流消耗对安全模件的工作寿命具有不利的影响。
用于邮资盖印机的安全模件可以是多芯片模件或单芯片系统(例如芯片卡)，在结构上，安全模件可以固定连接到所述的邮资盖印机上，或插接在邮资盖印机上。一个可插拔的安全模件在其寿命期内可以具有不同的状态，于是必须进行检测，确定该安全模件是否包含有效的密钥。另一个重要的因素是确定该安全模件是否功能正常或已经损坏。不足之处在于，必须配备一个合适的“状态读取设备”，例如一个邮资盖印机或其他设备，后者可以引起对一个错误的状态信号处理。现有的邮资盖印机的安全模件不具有适合的光学或声学的信号装置，因此它只能间接地通过插入通知音或一个邮资盖印机的显示装置显示其状态。如果能够保证一个状态信号的可靠性，状态显示在系统启动时可以是自动的，或通过邮资盖印机的使用人激活。
本发明的目的是提供一种可插拔的安全模件，具有长寿命，并且能够给出模件状态的可靠信号。
本发明的目的是由权利要求1的技术特征实现的。
带有其中存有可读出的敏感数据的安全模件的处理器的电路以及其他的功能组件均由一个灌注的外壳所保护。因此，一个仪表的主板和一个相应的控制装置被保护在一个保护外壳内，必要时可以对保护外壳加以封闭。所述的安全模件带有一个浇铸的硬外壳，为了便于更换电池或卸下电池电源，最好将电池安装在灌注的外壳之外。一个已经插接的安全模件在维护期间最好能够由电网电源供电，这样可以便于维护人员进行电池的更换工作。
当给本发明的安全模件加运行电压时，给出安全模件状态的光学(或声学)信号是有优点的。如果安全模件通过适合的信号装置只能进行一个粗的声学状态的鉴别，已经是完全可能和足够的了。模件状态的精确方式和数量取决于在模件中所实现的功能和取决于模件执行的情况。
邮资盖印机的安全模件能够对邮资进行结算和/或对邮资数据实现加密保护。根据本发明的特征，采用适合的信号装置或一个显示装置，在直接控制安全模件时，通过安全模件的实际状态进行说明或显示，当安全模件在没有插接状态被转运和/或当电池电压下降到一个预定电位以下时，所述的模件状态发生变化，安全模件由从电池供电切换成由电网电源供电。这时，表示模件状态的信号只是在安全模件由电网电源供电时才激活。应当指出，所述信号装置安装在安全模件的一个电路板的同一个区域内，这个安全模件的外面包围的保护外壳留有一个视窗或一个开孔，用于发送模件状态的信号。这个信号装置最好是一个带显示的装置，在最简单的情况下，可以是一个光电二极管LED，它可以由灌注的材料穿过，此外，可以替换成或增加多个LED或一个液晶显示LCD作为信号装置，并且安装在电路板的非灌注材料部分上。
本发明的其他实施例体现在所附的从属权利要求的特征部分中，下面将结合附图所示的本发明的最佳实施例，进一步描述本发明及其实施例。附图为

图1邮资盖印机后视图；图2安全模件的方框图；图3安全模件的第一实施例的侧视图；图4第一实施例中的安全模件的顶视图；图5a安全模件(第一实施例)的右视图；图5b安全模件(第一实施例)的左视图；图6安全模件的第二实施例的侧视图；图7第二实施例中的安全模件的顶视图；图8a安全模件(第二实施例)的右视图；图8b安全模件(第二实施例)的左视图。
在图1中，展示了从后面看的邮资盖印机的示意图。邮资盖印机由一个仪表1和一个底座2构成，后者带有一个芯片卡写入机/阅读机70，它安装在导板20的后面，靠近外壳上边缘22，当邮资盖印机通过开关71接通电源后，可以从上面向下面插入一个芯片卡49到插卡槽72内，在图中所示的一个传送装置的边缘上立着一封信件3，其盖邮戳的一面靠在导板上，接着相应的输入数据作为一个邮票31被盖在信件上，输入信封的开口通过一个清楚显示板21和所述的导板20所界定。
所述的模件将插入邮资盖印机的仪表的主板上或插入其他合适的设备上，最好能够安置在仪表的外壳内，所述的仪表外壳用作保护性外壳，因此这种仪表外壳应当这样构成，使使用者能够通过一个开孔109从外面看见所述的安全模件的状态显示，因此这个开孔109应当延伸到仪表的可操作表面88、89。
显示器直接由位于模件内的处理器控制，并且不能从外面进行操作。在运行状态，显示器始终工作，施加到安全模件的处理器上的系统电压Us+用于使显示器正常工作是足够的，保证了模件状态的显示和阅读。
图2是本发明一个优选的实施例的邮政安全模件PSM100的方框图。电池134的负极与地连接，并且和触点组102的插头P23相连接。电池134的正极通过导线193与电压变换器180的输入端相连接，系统电源引线191将电源与电压变换器180的另一个输入端相连接。电池134采用SL-389/P型，当最大电流流过PSM 100时，电池的寿命为3.5年，或者是采用SL-386/P型，当最大电流流过PSM 100时，电池的寿命为6年。所述的电压变换器180可以采用由市场上常见的ADM 8693ARN型器件构成的电路。电压变换器180的输出端通过导线136与一个电压监控装置12和一个检测装置13相连接，电压监控装置12和检测装置13通过导线135、164和137、139与处理器120的插头1、2、4和5相连接，电压变换器180的输出端通过导线136与第一存储器SRAM的电源输入侧相连接，通过安装的电池134，第一存储器SRAM的电源被供给一个第一工艺非易失式存储器NVRAM116。
本发明的安全模件与所述的邮资盖印机通过系统总线115、117、118相连接。处理器120可以通过系统总线和一个调制解调器83实现与一个远程数据中心的通信联络。所述的结算工作将完全由ASIC 150完成，邮政结算数据被存入采用不同技术的非易失式存储器中。在一个第二存储器NV-RAM 114的电源输入侧施加系统电压，这样形成了一个第二工艺非易失式存储器NVRAM(SHADOW-RAM)，这种第二工艺最好包括一个RAM和一个EEPROM，后者在系统电压消失时可自动保存数据内容，所述的第二工艺的NVRAM 114带有相关的地址和ASIC 150的数据输入，通过一个内部地址和数据总线112、113相连接。
ASIC 150中含有至少一个用于对存储的邮资数据进行结算的硬件结算。在可编程序阵列逻辑(PAL)160中使用一个适用于ASIC 150的存取逻辑，所述的ASIC 150将由逻辑PAL 160控制工作。仪表1的主板的地址总线和控制总线117、115与所述的逻辑PAL 160的相关的引线相连接，并且PAL 160产生至少一个控制信号给ASIC 150，及一个控制信号119给程序存储器FLASH 128。处理器120处理一个已经存储在存储器FLASH 128内的程序，所述的处理器120、存储器FLASH 128、ASIC 150和PAL 160通过模件内部的系统总线相互连接，连接导线110、111、126、119分别传输数据、地址和控制信号。
复位装置130内通过导线131与处理器120的引线3和ASIC 150的一个引线相连接。处理器120和ASIC 150在电源电压下降时，由复位装置130内的复位发生器实现复原。
处理器120包括一个中央处理器CPU 121、一个实时时钟RTC122、一个RAM装置124和一个输入/输出装置125。安全模件100的处理器120通过一个安全模件内部的数据总线126与一个存储器FLASH 128和ASIC 150相连接，FLASH 128是一个程序存储器，由系统电源供给电压Us+，它例如是一个128KB的型号为AM29F010-45EC的FLASH存储器。邮政安全模件100的ASIC 150通过一个安全模件内部的地址总线110将地址0-7发送给所述的FLASH 128的相应的地址入口。安全模件100的处理器120通过一个内部地址总线111将地址8-15发送给所述的FLASH 128的相应的地址入口。安全模件100的ASIC 150通过接口的触点组101与数据总线118及地址总线117和仪表1的主板的控制线115实现通信连接。
电压变换器180的输出电压通过导线136供给电压监控装置12和存储器116，作为其输入电压，这个电压高于其他电压。采用这样的电路方案，上述的电路取决于电压Us+和Ub+的大小，自动由这两个电压之中较高的一个供电，这样，在正常运行期间，更换电池134不会造成数据丢失。实时时钟RTC 122和存储器RAM 124通过导线138由一个工作电压供电，这个电压由电压监控装置12产生。
在除了正常运行之外的断开时间内，邮资盖印机的电池以提到的方式为带日期的实时时钟122和/或时间记录器和/或静态RAM(SRAM)124供电，后者提供涉及安全性能的时间数据。在电池工作期间，如果电池的电压下降到一个预定数值以下，电路12将RTC和SRAM的供给点与外壳相连接。也就是说，在RTC和SRAM上的电压是0伏特，其结果是，具有重要的加密密钥的SRAM 124很快释放。同时，RTC 122的记录器也释放，于是当时的时间和当时的日期消失。通过这种操作可以阻止有人操纵电池电压中止邮资盖印机实时时钟122，不会造成与安全性能相关的时间消失，由此可以防止有人绕开安全措施操纵机器，例如避开长期监视器的监视。
电压监视装置12的电路应当这样设计，每当导线136上的电池电压下降到2.6伏特以下时，电路12产生响应。同时电路12将带有欠压指示的电池变换到自保状态，直到事后电压升高为止，此外，电路12还发出一个状态信号164。接着模件接通电源，处理器查询电路状态(状态信号)，然后和/或评估已经释放的存储器的内容，电池电压在此期间未超出一个预定的数值。处理器120可以将电压监视装置12复位，也就是说，恢复“清楚、精密”监视状态，响应导线135上的一个控制信号。
导线136是电池监视器12输入端的电源线，同时供给检测装置13运行电压或电池电压，检测装置13可以检测一个未插入式传感器或任何其他的传感器，并且带有一个由处理器可复位的自保电路，处理器120通过导线139查询检测装置13的状态(是自保或未还原)，或者处理器120通过导线137将检测装置13还原或者复位。在复位之后，当正常插入安全模件100时，执行一个接口连接情况的静态校验，为此通过一导线192查询外壳的电位，即查询处于外壳电位的邮政安全模件PSM 100的接口的终端P4，当安全模件100已经插入后，邮政安全模件PSM 100的电池134的负极104是外壳电位，即接口的连接端P23与触点组102等电位，于是检测装置13可通过导线192查询接口的连接端P4上的电位。
处理器120的插头6和7都是连接导线，通过它们使插入仪表1的主板上的安全模件100构成了一个循环回路18。通过这个循环回路，处理器120在整个不规则时间间隔内在所述的插头6、7上变换信号电平，从而动态地检验邮政安全模件PSM 100在仪表1的主板上的连接情况。
处理器120上安装有输入/输出装置125，它们的连接插头8、9用于输出至少一个安全模件100的状态信号，在插头8、9上具有输入/输出装置125的I/O接口，其上连接有模件内部的信号装置，例如彩色光电二极管LED 107、108。信号装置通过设在仪表外壳上的窗口109发出已经插入仪表1的主板上的安全模件100的状态的信号。所述的安全模件100可以在其寿命有效期内呈现不同的状态，因此必须经常检验该模件是否包含有效的加密密钥。此外重要的是确定该安全模件是否功能正常或者出现问题。安全模件状态的精确方式和数量取决于在安全模件内可实现的功能和安全模件执行的情况。
图3表示本发明的第一实施例的安全模件的机械结构的侧视图。所述的安全模件是一种多芯片模件，即多个功能单元集成在一个电路板105上，安全模件100被一个硬的外壳105所封闭，安全模件的电池134安装在电路板106上，为便于更换，电池位于外壳105之外。所述的模件可以这样由灌注材料105所封闭，使信号装置107、108从一个第一位置由外壳105材料中伸出，带有插入的电池134的电路板106从外壳侧面伸出，所述的电路板106带有伸出的电池接触夹子103和104，用于连接电池134的电极，最好设在电路板106上面的装配侧。为了方便插入邮政安全模件PSM 100到仪表1的主板上，在安全模件100的电路板106下面(导轨侧)可以安装触点组101和102，例如一个触点组101用于安全模件100与仪表1的之间的通信，另一个第二触点组102用于由系统电源向安全模件100供电，这两个触点组中至少一个的一侧被所述的灌注外壳105所封闭。用户电路ASIC 150通过第一触点组101(以图中未示出的方式)与控制装置1的系统总线通信连接，第二触点组102负责向安全模件100供给系统电压。如果将安全模件100插入到仪表1的主板上，最好插入到仪表1的外壳内，信号装置107、108靠近窗口109或者从中伸出，仪表1的外壳最好这样构成，让使用人从外面就能看见安全模件的状态显示。所述的信号装置的两个光电二极管107、108由处理器120通过插头8、9上的I/O接口的两个输出信号进行控制。这两个光电二极管安装在一个共同的外壳内(双色光电二极管)，所述的窗口的大小或直径可以比较小，应在所述的信号装置的数量级之内。从原理上说，可以显示三种不同的颜色(红、绿、桔黄)，但是只采用其中两个颜色(红和绿)，为了能够明确确定不同的状态，所述的LED发光二极管可以被控制闪亮，于是可以区分五个不同的状态组，即通过下列LED状态特征标识LED灭，LED红色闪亮，LED红色，LED绿色闪亮，LED绿色。
图4是本发明第一实施例的邮政安全模件的顶视图。外壳105覆盖着矩形电路板106的一个第一部分，而该电路板106的第二部分放置在外壳105的外面，用于为更换已经安装的电池134提供方便，电池接触夹子103和104在这里被电池遮盖着，但是可以从图5A的侧视图观察到。
图5a及5b是本发明第一实施例的安全模件的右视图和左视图。触点组101和102的位置是在电路板106之下，这可以由图5A和5B结合图3清楚观察出。信号装置107、108最好安装在电路板106的第一部分上，它们均由外壳105所封闭(图3、4和5b)。出于能量节约的考虑，仅在安全模件由系统电源供电时，发出关于安全模件状态的信号。
图6是根据本发明第二实施例的一个安全模件机械结构的侧视图。这种安全模件采用多芯片构成，外面由一个硬的外壳105所覆盖，安全模件100的电池134安装在位于外壳105之外面的电路板106上，利于电池的更换。出于降低成本的考虑，仅在一个第一部分上采用灌注材料105形成封闭的外壳，而信号装置107和108及插入的电池134则安装在所述的外壳之外面的一个第二部分上，即电路板106的表面上。电路板106上还带有用于连接电池134电极终端的电池接触夹子103和104，最好位于电路板106上的装配侧。信号装置的两个光电二极管107和108在这个实施例中是两个分立器件，信号装置的两个光电二极管107和108通过两个I/O接口的输出信号与处理器120的插头8和9相连接，受到处理器的控制。为了区分安全模件的不同的状态，同样可以控制所述的LED闪亮，使其能够分别区分五个不同的状态组，例如通过下列LED状态特征标识LED107和108都灭，LED107红色闪亮，LED红色亮，LED108绿色闪亮，LED绿色亮。仪表1的外壳最好这样构成，让使用人从外面就能看见安全模件的状态显示，例如可以通过一个视窗或窗口109看见。
从图中可以看出，在安全模件100的电路板106下面安装有触点组101和102，以便将邮政安全模件PSM 100插入到仪表1的主板上，触点组101和102最好带有一个连接器127，将连接器127安装在电路板106的导轨侧。
图7是本发明第二实施例的邮政安全模件的顶视图，外壳105覆盖着矩形电路板106的一个第一部分，而该电路板106的第二部分放置在外壳105的外面，用于为更换已经安装的电池134提供方便，在电路板的第二部分上还有连接器127(这里图中未示出)。电池接触夹子103和104在图7中被电池遮盖着，但是与连接器127同样，可以从图8A的侧视图观察到。
电路板106的第一部分的封闭外壳既没有开口又没有凸起，这样对于出于恶意犯罪企图的使用人几乎没有提供作用点。外壳105的材料最好是双组分的环氧树脂或聚乙烯或塑料。推荐的外壳材料是由EMERSON&CUMING公司生产的STYCAST2651-40FR，最好采用CATALYST 9作为第二种组分。在制造外壳时，将两种组分的材料混合，形成在电路板106第一部分的两侧上，最后可以将外壳材料浸入新鲜的混合液内，由此制成保护层和/或传感器层，能够形成一个封闭的外壳，从外面看不见其内部，当灌注材料105凝固硬化后完成一个固化的连接，在所述的封闭的外壳硬化之后，灌注材料105形成了牢靠的不透明的外壳。
图8A或8B是本发明的第二个实施例的安全模件的右视图和左视图。带有触点组102和101的连接器127的位置是在电路板106的下面，这可以由图8A或8B结合附图6清楚看出。
可以替换的方案是，例如连接器127以图中未示出的方式安置在电路板106的第二部分的上面。
本发明描述的是邮政设备，特别是邮资盖印机，然而所涉及的安全模件也可以采用其他的结构方案，例如将安全模件插入一个私用计算机的主板，作为PC—邮资盖印机控制一个商业上惯用的邮政印刷操作。
应当指出，本发明并不局限于本文所描述的实施例，一般技术人员在这里用实施例展示的本发明的教导启发下，能够作出各种各样的变化和改进，显然这些变化方案均取自本发明的同一构思，均在本发明的保护范围内。
权利要求
1.带有状态信号和功能装置的安全模件，所述功能装置相互连接，并且由一个灌注外壳所封闭，其特征在于所述灌注外壳(105)至少封闭着连接有所述功能装置的电路板(106)的一个部分，在这部分电路板上安置有相互连接的功能装置，在电路板(106)的一个功能装置上连接有一个光学或声学的信号装置(107，108)，用于发送安全模件的状态信号。
2.根据权利要求1所述的安全模件，其特征在于位于电路板(106)的第一部分上的信号装置(107，108)，在第一部分区域内从封闭的外壳(105)中伸出，伸出之处的封闭一个设备的安全外壳具有一个视窗或一个开口(109)，用于显示所述的安全模件状态信号。
3.根据权利要求1所述的安全模件，其特征在于电路板(106)的第二部分不为外壳所封闭，信号装置(107，108)安置在电路板(106)的第二部分上，封闭一个设备的安全外壳具有一个视窗或一个开口(109)，用于显示所述的安全模件状态信号。
4.根据权利要求2或3所述的安全模件，其特征在于所述的设备是一个仪表(1)，所述的视窗或开口(109)在仪表(1)的操作表面(88，89)上延伸，所述开口的大小或直径处于所述信号装置的数量级内。
5.根据权利要求1-4之一的安全模件，其特征在于所述信号装置是一个显示装置。
6.根据权利要求5所述的安全模件，其特征在于所述的显示装置包括一个或多个发光二极管(LED)。
7.根据权利要求6所述的安全模件，其特征在于通过控制所述的发光二极管LED的闪亮确认不同的安全模件状态。
8.根据权利要求5所述的安全模件，其特征在于所述的显示装置是一个液晶显示器(LCD)。
9.根据权利要求1所述的安全模件，其特征在于电路板(106)的第二部分上安置一个可拆卸的电池(134)，并且不为所述的外壳所封闭，电池接触夹子(103和104)用于电池(134)电极的连接，电路板(106)还具有一个第一触点组(101)和第二触点组(102)，前者将安全模件(100)与仪表(1)通信连接，后者将系统电源供给安全模件(100)，当电池电压下降到一个预定的电平以下时，安全模件状态发生改变，这时安全模件状态信号的发送只能当安全模件由系统电压供给时才有效工作。
10.根据权利要求9所述的安全模件，其特征在于触点组(101，102)中的至少一个的一侧由外壳(105)所覆盖。
11.根据权利要求9所述的安全模件，其特征在于带有触点组(101，102)的一个连接器(127)安装在电路板(106)的上面或下面。
12.根据权利要求11所述的安全模件，其特征在于连接所述的触点组(101，102)的一个连接器(127)安装在电路板(106)的第二部分上，位于电路板的上面或下面，不为外壳(105)所覆盖。
全文摘要
本发明涉及带有信号装置、电池和功能装置的安全模件,所述功能装置相互连接,并且由一个外壳所封闭,一个电池(134)可以拆下地安装在所述的安全模件(100)上,所述的外壳(105)至少封闭着电路板(106)的一个第一部分,在这部分电路板上安置有相互连接的功能装置,电池(134)安装在电路板(106)的不为外壳(105)所覆盖的一个第二部分上,在电路板(106)的上连接有一个光学或声学的信号装置(107,108),用于发送安全模件状态的信号。
文档编号G07B17/00GK1267041SQ0010387
公开日2000年9月20日 申请日期2000年3月10日 优先权日1999年3月12日
发明者彼得·波斯特, 德克·罗西瑙, 托斯坦·施拉夫, 安德烈斯·瓦格纳 申请人:弗朗科泰普-波斯特利亚两合公司