專利名稱::用于驗(yàn)證數(shù)字郵資標(biāo)記的有效性的方法描述在實(shí)踐中已經(jīng)出現(xiàn)了帶有數(shù)字郵資標(biāo)記的郵件�����。為了使郵件的發(fā)送者更容易地生成郵資標(biāo)記��,例如�,德國郵局AG(DeutschePostAG)所使用的郵資系統(tǒng)允許在顧客系統(tǒng)中生成郵資標(biāo)記,通過任一接口輸出到打印機(jī)。為了防止濫用這種方法����,數(shù)字郵資標(biāo)記包含密碼信息,例如包含關(guān)于控制郵資標(biāo)記生成的顧客系統(tǒng)身份的密碼信息���。本發(fā)明的目的是提供一種方法����,這種方法可以用來快速可靠地驗(yàn)證郵資標(biāo)記的真實(shí)性���。具體而言��,這種方法適用于對大規(guī)模應(yīng)用的驗(yàn)證�����,尤其適用于信件中心或貨物中心的驗(yàn)證��。本發(fā)明可通過以下方式達(dá)到這一目標(biāo)�,即讀取裝置以圖形方式記錄郵資標(biāo)記并將其傳送到驗(yàn)證裝置���;驗(yàn)證裝置控制一系列部分檢查��。部分檢查之一優(yōu)選包含對郵資標(biāo)記中的密碼信息進(jìn)行解密�����。在檢查過程中對密碼信息進(jìn)行解密使直接記錄郵資標(biāo)記的真實(shí)性成為可能����,這意味著可以實(shí)現(xiàn)在線驗(yàn)證,尤其是在處理設(shè)備上處理郵件時(shí)實(shí)現(xiàn)在線驗(yàn)證���。另一優(yōu)點(diǎn)是部分檢查之一包括對郵資標(biāo)記的產(chǎn)生日期與當(dāng)前日期進(jìn)行比較��。結(jié)合郵資標(biāo)記產(chǎn)生日期-特別是以加密形式-加強(qiáng)了對數(shù)據(jù)的保護(hù),這是因?yàn)閷︵]資標(biāo)記的產(chǎn)生日期和當(dāng)前日期進(jìn)行比較防止了對用于遞送郵件的郵資標(biāo)記的多次使用�����。為了進(jìn)一步提高驗(yàn)證速度�,讀取裝置和驗(yàn)證裝置使用同步協(xié)議交換信息是有利的。在本發(fā)明的另一適當(dāng)?shù)木唧w實(shí)施例中���,讀取裝置和驗(yàn)證裝置使用異步協(xié)議互相進(jìn)行通信����。在這種情況下尤其有利的是,讀取裝置向驗(yàn)證裝置發(fā)送數(shù)據(jù)消息���。數(shù)據(jù)消息優(yōu)選包含郵資標(biāo)記的內(nèi)容�。本發(fā)明其它的優(yōu)點(diǎn)�、具體特征、以及有利發(fā)展將從本發(fā)明的權(quán)利要求和隨后參考附圖進(jìn)行說明的優(yōu)選實(shí)施例中獲得�。在附圖中圖1示出安全付費(fèi)系統(tǒng)的系統(tǒng)部件的原理框圖;圖2示出安全付費(fèi)系統(tǒng)��、手持掃描儀�����、以及安全付費(fèi)PC的特定優(yōu)選實(shí)施例���;圖3示出郵資標(biāo)記的產(chǎn)生和驗(yàn)證的原理圖�;圖4示出密碼系統(tǒng)部件的示意圖�;圖5示出驗(yàn)證方法的優(yōu)選實(shí)施方案;圖6示出具有特定優(yōu)選序列的部分檢查的驗(yàn)證方法的另一特定優(yōu)選實(shí)施例����;以及圖7示出一種用于在中央裝載站(郵資點(diǎn))和單獨(dú)的密碼驗(yàn)證裝置(密碼服務(wù)器)之間分發(fā)密鑰的優(yōu)選順序。下面將使用PC郵資系統(tǒng)的例子對該發(fā)明加以說明����。在這種情況下���,安全付費(fèi)中采用的方法步驟獨(dú)立于與用來生成郵資標(biāo)記所使用的系統(tǒng)。雖然進(jìn)行集中驗(yàn)證同樣是可能的�����,但是所描述的單個(gè)的檢查站�,特別是郵件中心上的本地驗(yàn)證特別優(yōu)選。在本發(fā)明的第一實(shí)施例中�����,獨(dú)立的掃描儀優(yōu)選以隨機(jī)抽樣的方式對郵資標(biāo)記的真實(shí)性進(jìn)行驗(yàn)證�。適合這一目的的驗(yàn)證系統(tǒng)優(yōu)選包括圖1中所描述的組件。圖1示出密碼系統(tǒng)涉及哪些子系統(tǒng)���,下面將做簡單說明。掃描儀掃描儀用來從PC郵資設(shè)備中讀入郵資標(biāo)記���。郵資標(biāo)記是數(shù)據(jù)矩陣格式的二維條形碼代碼�,采用ECC200錯(cuò)誤糾正�。根據(jù)掃描儀類型�����,數(shù)據(jù)通過無線或者電纜傳送�,無線掃描儀能夠多行顯示�����,所以具備輸出能力和觸摸屏�,或者具有一個(gè)可進(jìn)行基本輸入的鍵盤。通過掃描儀控制器和有效性控制器將掃描儀和優(yōu)選的安全付費(fèi)計(jì)算機(jī)郵資系統(tǒng)的其他系統(tǒng)之間的接口形成為部件����。雖然掃描儀控制器控制來源于手持掃描儀的能用于檢查且與掃描儀基本保持接觸的矩陣代碼隊(duì)列,但是它僅與另外一個(gè)系統(tǒng)通過有效性掃描儀接觸�����。掃描儀控制器/有效性控制器掃描儀控制器����,或有效性控制器,用作掃描儀和另外的系統(tǒng)之間的接口���,用以驗(yàn)證二維條形碼�。它們接收到由光學(xué)記錄轉(zhuǎn)變而來的進(jìn)行過錯(cuò)誤糾正的二維條形碼內(nèi)容,然后迅速進(jìn)行驗(yàn)證�,在使用無線掃描儀的情況下,能夠確保輸出讀取和檢查結(jié)果�����,作為檢查器所進(jìn)行的可能必要的手工結(jié)束操作及檢查和其它系統(tǒng)之間的接口����。密碼系統(tǒng)密碼系統(tǒng)提供二維條形碼內(nèi)容的內(nèi)容和密碼驗(yàn)證,也提供與安全相關(guān)的數(shù)據(jù)和算法的受保護(hù)的存儲內(nèi)容的驗(yàn)證��。將在以后對單獨(dú)的組件進(jìn)行詳細(xì)介紹���。費(fèi)用額裝載站(郵資點(diǎn))費(fèi)用額裝載站(郵資點(diǎn))是PC-郵資設(shè)備內(nèi)的中央系統(tǒng)����。其起到與顧客系統(tǒng)的接口的作用��。通過這個(gè)接口��,顧客可以取消預(yù)置金額����,用于以后的郵資。費(fèi)用額裝載站(郵資點(diǎn))用來生成保護(hù)方法的密鑰�。另外,其還用作帳單系統(tǒng)的接口�。下面提供的接口用于PC郵資的優(yōu)選安全付費(fèi)系統(tǒng)?����!穸S條形碼之上的郵寄信息�����;●對稱密鑰�����;●主要數(shù)據(jù)�,例如預(yù)置金額和帳戶結(jié)余。優(yōu)選安全付費(fèi)中心在優(yōu)選的安全付費(fèi)中央系統(tǒng)中����,與郵寄相關(guān)的信息將被收集起來,并用于其它系統(tǒng)�。這是創(chuàng)建生成報(bào)告的地方,又產(chǎn)生負(fù)文件(negativefile,也可稱之為“黑名單”)���。此外�,安全付費(fèi)中央系統(tǒng)接收到來自費(fèi)用額裝載站(郵資點(diǎn))的當(dāng)前密鑰數(shù)據(jù)����,并將其轉(zhuǎn)發(fā)到一個(gè)單獨(dú)的密碼服務(wù)器。數(shù)據(jù)提供者為了驗(yàn)證二維條形碼的內(nèi)容����,需要一系列的主要數(shù)據(jù),例如與產(chǎn)品和安全付費(fèi)警告和后續(xù)處理代碼相關(guān)的負(fù)文件��、最少付費(fèi)����、有效期限。這些數(shù)據(jù)將由不同的系統(tǒng)(BDE�、VIBRIS、本地安全付費(fèi)系統(tǒng))提供��。安全付費(fèi)應(yīng)用安全付費(fèi)應(yīng)用提供了AGB檢查機(jī)���,其需要完成對取出的PC-付費(fèi)郵件的檢查�,并能夠?qū)︵]資進(jìn)行更加詳細(xì)的檢查,其中��,檢查結(jié)果的描述不為有限的掃描器的輸出選擇所限定����。此外���,在這種情況下���,檢查機(jī)也能檢查其它數(shù)據(jù),如與當(dāng)前郵件有關(guān)的運(yùn)費(fèi)額的有效期��、以及所使用的數(shù)量和郵資����。二維條形碼的自動記錄二維條形碼的自動記錄在SSA中完成。為此�,圖像信息被轉(zhuǎn)發(fā)到AFM二維代碼讀取器中,在那里可以完成圖像到數(shù)據(jù)矩陣代碼的內(nèi)容的轉(zhuǎn)變�����,緊接著�,二維條形碼的內(nèi)容被傳送到密碼系統(tǒng)中進(jìn)行檢查,返回的檢查結(jié)果被評估并且傳送到光學(xué)記錄系統(tǒng)(IMM)以進(jìn)行郵件的編碼。以這種方式擴(kuò)展的檢查方法的優(yōu)選部分在圖2中示出��。AFM二維代碼讀取器每一個(gè)讀取器(ALM/ILVM)均有一個(gè)AFM二維代碼讀取器����,通過光記錄系統(tǒng)(IMM)接收郵件的圖像數(shù)據(jù),并為了安全付費(fèi)的目的進(jìn)一步處理它們���。在優(yōu)選的安全付費(fèi)PC郵資的情況下����,這意味著當(dāng)已經(jīng)識別出二維代碼時(shí)����,將二維數(shù)據(jù)矩陣代碼從圖像數(shù)據(jù)中抽取出來,利用ECC200錯(cuò)誤糾正方法�,將其轉(zhuǎn)換為表示二維條形碼內(nèi)容的字節(jié)串。為了進(jìn)行校驗(yàn)��,將該字節(jié)串傳送到有效性控制器�。接著,將檢查結(jié)果通過光記錄系統(tǒng)中的接口進(jìn)行轉(zhuǎn)發(fā)��,檢查結(jié)果在接口內(nèi)用來編碼��。用于AFM二維代碼讀取機(jī)的密碼系統(tǒng)例如,根據(jù)密碼卡的特性不同��,可期望示范值為每秒鐘執(zhí)行約27個(gè)檢查�。由于讀取機(jī)的速度是每秒鐘讀取約10個(gè)郵件,將每個(gè)AFM二維代碼讀取機(jī)和密碼系統(tǒng)結(jié)合似乎是沒有意義的�。此外��,也不能假定PC-F郵件100%同時(shí)在所有機(jī)器上產(chǎn)生����。因此,將密碼系統(tǒng)分開以及對多個(gè)PC-F讀取器和一個(gè)密碼系統(tǒng)進(jìn)行操作似乎是適當(dāng)?shù)?。在這種情況下,應(yīng)當(dāng)選取能夠伸縮的解決方案��,即每個(gè)信件中心可能有多個(gè)密碼系統(tǒng)���。舉例來說����,這與擁有高發(fā)送量和數(shù)量較多的讀取機(jī)的郵件中心相關(guān)����,郵件中心初始設(shè)置有第二密碼系統(tǒng)��。此外����,服務(wù)器的數(shù)目以后可隨相應(yīng)需求而增加�。在這種情況下,為了降低復(fù)雜程度���,優(yōu)選的架構(gòu)允許單個(gè)的讀取機(jī)與一個(gè)密碼系統(tǒng)固定地關(guān)聯(lián)��,也可以通過附加的反饋配置進(jìn)行擴(kuò)展����,發(fā)生錯(cuò)誤時(shí)�,嘗試著轉(zhuǎn)移到另一密碼系統(tǒng)。將密碼系統(tǒng)與AFM二維代碼讀取機(jī)分離的優(yōu)點(diǎn)還在于機(jī)器讀取和手持掃描儀檢查均可利用同一密碼系統(tǒng)實(shí)現(xiàn)��,因此�����,相同的功能不必重復(fù)實(shí)現(xiàn)�,這也在實(shí)現(xiàn)本發(fā)明時(shí)提供了額外的顯著優(yōu)點(diǎn)。向郵件提供數(shù)字郵資標(biāo)記的優(yōu)選方法的步驟如圖3所示�。需要在以下步驟之后進(jìn)行已經(jīng)從中央裝載站(郵資點(diǎn))加載費(fèi)用金額���;郵資標(biāo)記已經(jīng)由本地PC生成;郵件也已經(jīng)隨后交付�����;附加在郵件上的郵資標(biāo)記已經(jīng)被驗(yàn)證���。不管密鑰如何分配,實(shí)施的順序如下顧客首先在自己的PC機(jī)上載入一定量的郵資��。為了識別請求�����,在這種情況下產(chǎn)生一個(gè)隨機(jī)數(shù)���。費(fèi)用金額裝載站(郵資點(diǎn))為每個(gè)顧客生成新的郵資�,傳送的隨機(jī)數(shù)用以創(chuàng)建關(guān)于顧客系統(tǒng)(顧客系統(tǒng)身份聲明��,以下稱為郵資ID)和郵資“密碼串”的進(jìn)一步的信息�,密碼串使用存在于費(fèi)用金額裝載站(郵資點(diǎn))上的秘密對稱密鑰進(jìn)行加密。這個(gè)密碼串以及相應(yīng)的郵資隨后被傳送到顧客PC機(jī)上����,和隨機(jī)數(shù)一起儲存到這個(gè)顧客PC“保險(xiǎn)箱”��,免于惡意訪問���。如果顧客根據(jù)這一程序免費(fèi)郵寄已付郵資的郵件,那么����,對應(yīng)于二維條形碼的郵寄數(shù)據(jù)和其它的密碼串、郵資日期��、以及郵資金額由隨機(jī)數(shù)進(jìn)行擴(kuò)展��,以不加密的形式收集郵資ID����,創(chuàng)建一個(gè)能清楚識別內(nèi)容的散列值(hashvalue)。由于隨機(jī)數(shù)以加密的形式存在于密碼串之內(nèi)��,也以未加密的形式位于散列值內(nèi)����,因此可以保證郵寄日期不會被篡改,或被擅自生成����,從而可以推斷出創(chuàng)建者�����。對應(yīng)于郵件的數(shù)據(jù)隨后將轉(zhuǎn)換成二維條形碼�,并作為相應(yīng)的郵資標(biāo)記符號通過顧客的打印機(jī)打印到郵件上�����。然后�����,將做完的郵件放入郵寄程序�����。在安全付費(fèi)的一個(gè)特定的優(yōu)選實(shí)施例中���,通過AFM二維代碼讀取機(jī)或手持掃描儀將二維條形碼讀入郵件中心并隨后進(jìn)行驗(yàn)證。與此關(guān)聯(lián)的處理步驟在圖中的操作號5-8中清楚說明�。為了驗(yàn)證二維條形碼的正確性,AFM二維代碼讀取機(jī)將完整的郵寄數(shù)據(jù)傳遞到密碼系統(tǒng)�。在那里��,包含在郵寄數(shù)據(jù)里的密碼信息(尤其是密碼串信息)被解密��,以確定在創(chuàng)建散列值時(shí)使用的隨機(jī)數(shù)�����。接著����,為包含解密隨機(jī)數(shù)的郵寄數(shù)據(jù)確定散列值(也稱為消息摘要)���。進(jìn)行驗(yàn)證����,以確定結(jié)果是否與二維條形碼所包含的散列值相同�。除了密碼有效性之外,也需要進(jìn)行進(jìn)一步的內(nèi)容驗(yàn)證(操作號7b)�,例如檢查可防止二維條形碼被重復(fù)使用,也可以檢查顧客是否由于試圖欺騙而引人注意��,因此被列入負(fù)文件中���。隨后�,相應(yīng)的檢查結(jié)果傳送到PC-F讀取機(jī)上,其將結(jié)果轉(zhuǎn)發(fā)到光記錄系統(tǒng)(IMM)上���,以對條形碼編碼����。條形碼接著印到信上�,對負(fù)文件進(jìn)行檢查后,發(fā)送郵件���。密碼系統(tǒng)架構(gòu)組件概述圖4給出了密碼系統(tǒng)的子部件的示意圖����,其中���,標(biāo)記箭頭表示到外部系統(tǒng)的輸入輸出數(shù)據(jù)流����。當(dāng)將密鑰從費(fèi)用金額裝載站(郵資點(diǎn))分發(fā)到本地安全付費(fèi)系統(tǒng)中的密碼系統(tǒng)時(shí)����,優(yōu)選的安全付費(fèi)中央系統(tǒng)被用作轉(zhuǎn)臺(turntable),這些數(shù)據(jù)需要儲存到緩存中�����,需要在那兒也提供密碼系統(tǒng)組件��,但一般不涉及有效性控制器的使用��。密碼系統(tǒng)的子部件將在下面更加詳細(xì)的描述�����。有效性控制器有效性控制器是用于驗(yàn)證二維條形碼內(nèi)容完整性的接口�����。二維條形碼的驗(yàn)證包括內(nèi)容驗(yàn)證和密碼驗(yàn)證���。為了這個(gè)目的�����,掃描儀所讀入的二維條形碼的內(nèi)容應(yīng)當(dāng)通過掃描儀控制器轉(zhuǎn)發(fā)到有效性控制器上��。由于用于有線掃描儀和有效性控制器的相關(guān)掃描儀控制器位于不同的計(jì)算機(jī)系統(tǒng)上�����,有必要在它們之間提供基于TCP/IP的通信���,基于其上的協(xié)議的使用而不是使用純粹的套接字編程帶來了優(yōu)點(diǎn)�����。在使用密碼系統(tǒng)的情況下�����,在操作數(shù)據(jù)記錄(BDE)內(nèi)使用的消息管理器或諸如Corba/IIOP這樣的光記錄系統(tǒng)內(nèi)使用的協(xié)議都適合這種情況��。有效性控制器啟動獨(dú)立的檢查程序�,后者反過來將它們的檢查結(jié)果反饋回來���。由于具有不同掃描儀的多個(gè)AGB檢查器同時(shí)處于激活狀態(tài)��,有效性控制器需要被設(shè)計(jì)成具有“多會話能力”����。也就是說�����,其必須同時(shí)處理多個(gè)檢查請求�����,且引導(dǎo)相應(yīng)的輸出到正確的掃描儀�。此外,其應(yīng)該被設(shè)計(jì)以使得能同時(shí)執(zhí)行多個(gè)檢查請求以及一些與此并行的檢查步驟�,例如散列值檢查和最少付費(fèi)檢查。在開始一個(gè)會話時(shí)����,通知控制器與其通信的掃描儀類型,分配給其一個(gè)機(jī)會�,通過呼叫返回的方法啟動輸出和手工重新檢查的程序。取決于操作模式和掃描儀類型�,要么在無線掃描儀上輸出結(jié)果要么在安全付費(fèi)系統(tǒng)上輸出結(jié)果,同時(shí)記錄手工檢查結(jié)果�。密碼卡一個(gè)特定的問題是保持需要用于對二維條形碼中密碼串進(jìn)行加密,同時(shí)又對密碼串進(jìn)行解密以進(jìn)行檢查的密鑰����。這個(gè)密鑰確保二維條形碼不被偽造,從而排除通過窺視獲得的可能性���。所以�����,必須采取特殊的安全措施以確保該密鑰決不能在硬盤上����、內(nèi)存中、或在傳輸過程中以明文形式存在�,除此之外,還通過強(qiáng)大的加密方法進(jìn)行保護(hù)����。在這種情況下,完全基于軟件的解決方案不能提供可靠的安全性�����,這是因?yàn)樵谙到y(tǒng)的某一位置處��,密鑰實(shí)際上以明文形式存在���,或者使用調(diào)試器從內(nèi)存中能以明文形式讀取密鑰���。這種風(fēng)險(xiǎn)也存在���,特別是因?yàn)橄到y(tǒng)可以通過遠(yuǎn)程管理�,或者離開公司進(jìn)行修理。此外����,加密方法對系統(tǒng)處理器造成高負(fù)荷。系統(tǒng)處理器不能為將要執(zhí)行的操作進(jìn)行優(yōu)化���。所以推薦使用具有以下特點(diǎn)的密碼處理卡�����?����!裉厥獾拿艽a處理器����,用于對加密方法進(jìn)行加速���;●封閉的黑箱系統(tǒng)����,用于防止對高安全性數(shù)據(jù)和方法的訪問。滿足這些特征的密碼卡是自治系統(tǒng)�����,根據(jù)形式���,它們通過PCI總線或ISA總線與計(jì)算機(jī)相連���,通過驅(qū)動器與軟件系統(tǒng)通信。除了電源緩沖主存儲器之外����,密碼卡也有一個(gè)flashROM存儲器,在這個(gè)存儲器中可以儲存單個(gè)的應(yīng)用代碼�。從外部系統(tǒng)直接訪問卡上的主存儲器是不可能實(shí)現(xiàn)的,這意味著確保了非常高的安全級別�,原因在于,除了通過受保護(hù)的驅(qū)動器之外�,提供安全性的密鑰數(shù)據(jù)或加密方法均不能被使用。此外����,密碼卡利用專用傳感器監(jiān)控是否存在操縱企圖(取決于密碼卡的設(shè)計(jì)����,例如溫度峰值點(diǎn)���,輻射���,保護(hù)層的打開��,電壓峰值點(diǎn))���。如果存在這樣的操縱企圖�,電池緩沖主存儲器的內(nèi)容被迅速刪除���,同時(shí)關(guān)閉卡�。對于密碼服務(wù)器����,解密郵資ID的功能,檢查散列值的功能�,和導(dǎo)入密鑰數(shù)據(jù)的功能都應(yīng)該直接加載到卡上,因?yàn)檫@些程序具有高安全相關(guān)性����。而且��,所有密碼系統(tǒng)的密鑰和實(shí)施認(rèn)證所必需的證書的配置同樣應(yīng)該保存在卡的電源緩沖主存儲器中�。如果卡沒有足夠的內(nèi)存�����,那么�,卡通常擁有一個(gè)主密鑰,這個(gè)主密鑰能夠?qū)τ脕砩厦嫠谐龅臄?shù)據(jù)加密��,然后把它們儲存到系統(tǒng)硬盤上���。但是�����,這需要在首次使用這個(gè)信息之前�,先對數(shù)據(jù)再次解密�。下表概括了不同制造商適合的卡模型,同時(shí)聲明它們的證書�����。PC郵資優(yōu)選安全付費(fèi)系統(tǒng)內(nèi)的密碼卡的使用除了滿足卡的要求之外,期望得到的BSI證書意味著每個(gè)模型當(dāng)前具有哪些證書和當(dāng)前在評估過程中有哪些證書也非常重要����。在這種情況下,為產(chǎn)品發(fā)行的證書分為由不同證書機(jī)構(gòu)制定的三個(gè)等級�。ITSEC是歐盟委員會發(fā)布的標(biāo)準(zhǔn)機(jī)制,其目的在于基于安全特性對IT產(chǎn)品和IT系統(tǒng)進(jìn)行認(rèn)證���。信任度的評定等級分為E0-E6����,其中����,E0表示安全性能最差�����,而E6表示安全性最強(qiáng)�����。進(jìn)一步發(fā)展的與類似的國際標(biāo)準(zhǔn)一致的標(biāo)準(zhǔn)是CC(通用標(biāo)準(zhǔn)),目前����,它處于ISO的標(biāo)準(zhǔn)化過程中(ISO標(biāo)準(zhǔn)15408)。這個(gè)控制機(jī)制用于評估系統(tǒng)的安全性�����。目前還沒有上述表中出現(xiàn)的符合CC的證書的產(chǎn)品���。但是�,IBM模型4758-002目前處于認(rèn)證階段�����。標(biāo)準(zhǔn)FIPS的PUB140-1是美國政府發(fā)行的用以評估商用密碼設(shè)備安全性的標(biāo)準(zhǔn)方案�����。這個(gè)標(biāo)準(zhǔn)方案很大程度上側(cè)重于硬件特性�����。評估分為4個(gè)等級�,1級代表安全性最低���,4級代表安全性最高。除了上面所述的評估標(biāo)準(zhǔn)�����,存在另外一個(gè)標(biāo)準(zhǔn)��,它由中央信貸委員會(ZKA)制定�����,控制對在電子支付領(lǐng)域中操作IT系統(tǒng)和產(chǎn)品的許可�。除了卡和所分配的證書的上述特性之外,還有其它一系列進(jìn)一步的好處��,如下所示●創(chuàng)建自己的(簽過名的)軟件并盡可能上載到卡上���;●集成的隨機(jī)數(shù)產(chǎn)生器(經(jīng)過認(rèn)證的FIPSPUB140-1);●硬件上實(shí)現(xiàn)的DES�����,3DES和SHA-1����;●RSA-密鑰產(chǎn)生和私鑰/公鑰處理���,處理過的密鑰的長度達(dá)到2048位;●密鑰管理-功能���;●證書管理-功能����;●在某種程度上���,盡可能在一個(gè)系統(tǒng)中并行運(yùn)行多個(gè)密碼卡�����。密碼接口在密碼卡應(yīng)用的范圍內(nèi)���,與安全性相關(guān)的功能(函數(shù))直接儲存在卡上,因此只能通過卡驅(qū)動器從外部訪問�����。驅(qū)動器和有效性控制器之間所使用的接口是密碼接口部分����,它通過驅(qū)動器把檢查請求轉(zhuǎn)發(fā)給卡���。由于計(jì)算機(jī)內(nèi)有可能使用多個(gè)卡,密碼接口的任務(wù)是執(zhí)行獨(dú)立檢查請求的負(fù)載分配��。此外��,特別是當(dāng)密碼系統(tǒng)的檢查程序由另一個(gè)����、或取決于郵件中心、多個(gè)AFM-二維代碼讀取器使用時(shí)�,這個(gè)功能是有益的。另外一個(gè)任務(wù)是處理通信以分配密鑰數(shù)據(jù)�。在等級2,存在一種基本的機(jī)制���,使用這種機(jī)制傳送在簽過名的文件中出于安全的目的而被加密的密鑰�����。對密碼接口的請求包括提供一種用途,允許導(dǎo)入這種文件�����。密碼系統(tǒng)的功能有效性控制器的檢查順序?yàn)榱藱z查二維條形碼,有效性控制器提供中央檢查功能作為掃描儀或讀取系統(tǒng)的接口���。這個(gè)檢查功能與獨(dú)立的檢查部件的順序協(xié)調(diào)一致����。從用于安全付費(fèi)事件的獨(dú)立的檢查程序部件發(fā)送出的代碼根據(jù)預(yù)定義的表轉(zhuǎn)換為適當(dāng)?shù)陌踩顿M(fèi)代碼��。該表優(yōu)選位于中央且被傳送到密碼系統(tǒng)���。在這個(gè)表中�,當(dāng)已經(jīng)識別出多個(gè)安全付費(fèi)事件時(shí)���,額外規(guī)定優(yōu)先權(quán)���,控制分配哪個(gè)安全付費(fèi)代碼。這個(gè)安全付費(fèi)代碼隨后作為檢查結(jié)果和描述性文本返回�����。取決于密碼系統(tǒng)之外系統(tǒng)進(jìn)一步的處理����,這個(gè)結(jié)果然后輸出到無線掃描儀或安全付費(fèi)應(yīng)用系統(tǒng)中��,或者在自動檢查時(shí)轉(zhuǎn)換為TIT2代碼并打印到郵件上��。因?yàn)槭殖謷呙鑳x系統(tǒng)和自動讀取系統(tǒng)之間的順序是不同的�,兩種不同的應(yīng)用實(shí)例應(yīng)用不同的功能����。根據(jù)讀取系統(tǒng)和有效性控制器之間應(yīng)用哪種通信機(jī)制,呼叫和返回結(jié)果各不相同��。如果使用諸如Corba/IIOP這樣的基于同步RPC的協(xié)議����,當(dāng)檢查結(jié)束時(shí),直接調(diào)用檢查方法和傳送檢查結(jié)果��。然后����,客戶端(即掃描儀控制器)以及讀取系統(tǒng)等待實(shí)現(xiàn)和檢查結(jié)果的返回值。對于后者��,有必要為客戶提供一個(gè)線程池�����,能夠在有多個(gè)請求時(shí)進(jìn)行并行檢查���。在利用TGM的非同步機(jī)制的情況下�����,掃描儀控制器或讀取系統(tǒng)不是直接調(diào)用檢查方法�,而是將消息發(fā)送給包含檢查要求���、二維條形碼的內(nèi)容����、以及諸如當(dāng)前分類程序這樣的其它信息的密碼系統(tǒng)�����。一旦在密碼系統(tǒng)上收到這種消息����,調(diào)用和執(zhí)行檢查功能,讀取和檢查結(jié)果反過來作為一個(gè)新的消息返回。這種方法的優(yōu)點(diǎn)在于�����,在請求系統(tǒng)上該過程不會被阻擋�����,直至得到結(jié)果��。用于手持掃描儀系統(tǒng)的檢查手持掃描儀系統(tǒng)的檢查程序等待會話ID和二維條形碼的內(nèi)容作為輸入值���,等待作為附加參數(shù)的分類程序ID�����。分類程序ID也用于確定最少付費(fèi)���。圖5示出了有效性控制器內(nèi)檢查順序的示意圖,在這個(gè)例子中���,已經(jīng)通過手持掃描儀系統(tǒng)觸發(fā)檢查����。在這種情況下,它是以一個(gè)利用無線掃描儀進(jìn)行檢查���,隨后對地址和二維條形碼的內(nèi)容的手工比較為假設(shè)前提的�����。在有線連接的掃描儀的情況下,安全付費(fèi)系統(tǒng)或安全付費(fèi)應(yīng)用程序以相似的方式顯示�����。圖5示出了一種利用無線掃描儀�、掃描儀控制器、和驗(yàn)證裝置(有效性控制器)的優(yōu)選驗(yàn)證順序�����。在所說明的特定優(yōu)選實(shí)施例中�����,驗(yàn)證裝置控制一系列部分檢查��,其中��,第一部分檢查包括讀入保存在數(shù)字郵資標(biāo)記上的矩陣代碼。已經(jīng)讀入的矩陣代碼首先從無線掃描儀傳送到掃描儀控制器�,隨后,掃描儀控制器檢查矩陣代碼�����,并將其傳送到驗(yàn)證裝置����。驗(yàn)證裝置控制代碼內(nèi)容的分解。然后�����,讀取的結(jié)果傳送到記錄裝置-圖中示出的是無線掃描儀��。結(jié)果�����,例如�����,讀取裝置的用戶會發(fā)現(xiàn)有可能讀取郵資標(biāo)記���,這樣能識別矩陣代碼中包含的內(nèi)容�。隨后,驗(yàn)證裝置對包含在矩陣代碼中的密碼串進(jìn)行加密�����。為此���,首先驗(yàn)證可能用于生成郵資標(biāo)記的密鑰版本。隨后����,驗(yàn)證密碼串中包含的散列值。另外����,檢查所提供的最小付費(fèi)。此外����,驗(yàn)證控制郵資標(biāo)記生成的顧客系統(tǒng)的識別號碼(郵資ID)。隨后�����,檢查負(fù)文件列表看是否有這個(gè)識別號碼。通過這種特別簡單合理的方式���,驗(yàn)證步驟使得以簡單方式確定未經(jīng)授權(quán)生成的郵資標(biāo)記成為可能�。將傳送的結(jié)果作為數(shù)字消息傳送���,其中�,數(shù)字消息可以傳送到最初的無線掃描儀���。通過這種方式�,例如��,無線掃描儀用戶可以從郵件程序中取出郵件�。然而,在自動實(shí)現(xiàn)該方法的變化的情況下��,顯然也能夠從正常的郵件處理程序中取去郵件�����。檢查結(jié)果優(yōu)選記錄到驗(yàn)證裝置的域中���。作為返回值����,應(yīng)該返回屬于安全付費(fèi)事件的代碼、相關(guān)聯(lián)的文本消息�����、以及二維條形碼對象����。AFM二維代碼讀取器的檢查順序AFM二維代碼讀取器的檢查程序等待的輸入?yún)?shù)同樣是會話ID、二維條形碼的內(nèi)容�����、以及當(dāng)前工作的分類程序唯一標(biāo)識符�����。圖6示出了當(dāng)所述檢查已經(jīng)通過讀取系統(tǒng)觸發(fā)時(shí)�����,有效性控制器內(nèi)檢查的順序�。為了闡明這個(gè)順序���,為了解釋檢查的整個(gè)背景����,圖中還說明了光學(xué)記錄系統(tǒng)(IMM系統(tǒng))和AFM二維代碼讀取器。然而�,密碼系統(tǒng)部分局限于檢查二維條形碼和返回值之間的功能和檢查結(jié)果的記錄。在使用消息管理接口的情況下��,有效性控制器將開始多個(gè)服務(wù)任務(wù)�����,這些服務(wù)任務(wù)將等待檢查請求消息��,并使用消息內(nèi)容來調(diào)用檢查程序��。等待檢查程序的結(jié)果�,并將檢查程序的結(jié)果打包到消息中,并返回發(fā)出請求的客戶��。圖6描述了另一通過驗(yàn)證裝置(有效性控制器)控制部分檢查的次序的優(yōu)選實(shí)施例����。在優(yōu)選實(shí)施例的情況下,通過自動光學(xué)識別系統(tǒng)(Prima/IMM)記錄郵資標(biāo)記�。數(shù)據(jù)將從光驗(yàn)證裝置到讀取和記錄裝置(AFM二維代碼讀取器)����。在圖6中所示的驗(yàn)證數(shù)字郵資標(biāo)記真實(shí)性的方法的實(shí)施例中���,數(shù)字郵資標(biāo)記優(yōu)選以更加自動化的方式讀入�,例如�,通過光學(xué)記錄郵件站,且在郵件站上�,郵資標(biāo)記被優(yōu)先放置。其它的驗(yàn)證步驟的實(shí)施基本上與圖5中所示的檢查順序一致����。檢查程序的返回值首先包括安全付費(fèi)代碼和相關(guān)消息,也包括為郵資ID所擴(kuò)展的被轉(zhuǎn)換的內(nèi)容�。這些返回值用來生成消息和將其發(fā)送到發(fā)出請求讀取的系統(tǒng)。內(nèi)容檢查二維條形碼內(nèi)容的分解和重組輸入被掃描的二維條形碼描述在這個(gè)功能中�����,為了實(shí)現(xiàn)一個(gè)更好的顯示機(jī)會和更有效的結(jié)束�,二維條形碼的80個(gè)字節(jié)的內(nèi)容需要被分開并轉(zhuǎn)換到結(jié)構(gòu)化的對象中(以后被稱作二維條形碼對象)��。獨(dú)立的字段和轉(zhuǎn)換在下面的表中說明在二進(jìn)制到十進(jìn)制的轉(zhuǎn)換中���,應(yīng)當(dāng)記住���,字節(jié)序列的左邊的字節(jié)為最高字節(jié)�����。由于類型沖突或缺少數(shù)據(jù)可能不會轉(zhuǎn)換���,因此,有必要生成安全付費(fèi)事件消息“PC-F-條形碼不可讀”和將其返回到有效性控制器�����。另一內(nèi)容或密碼驗(yàn)證不適合這種情況��。返回值二維條形碼對象如果轉(zhuǎn)換成功���,則警告代碼是00��,否則��,安全付費(fèi)事件的警告代碼是“PC-F條形碼不可讀”版本號檢查輸入當(dāng)前二維條形碼對象描述前三個(gè)字段揭示了二維條形碼的版本�����。從此也能看出郵資標(biāo)記是否是實(shí)際上與德國郵局相關(guān)聯(lián)的二維條形碼和不是與另外一個(gè)服務(wù)提供商相關(guān)聯(lián)的二維條形碼��。需要對字段內(nèi)容和應(yīng)用程序中預(yù)先設(shè)定的有效值列表相比較�����。如果發(fā)現(xiàn)均不匹配���,返回安全付費(fèi)警告“PC-F版本”��。進(jìn)一步驗(yàn)證內(nèi)容和密碼方面是沒有意義的����,不應(yīng)當(dāng)繼續(xù)���。返回值如果版本驗(yàn)證成功���,則警告代碼是00,否則�����,安全付費(fèi)事件的警告代碼是“PC-F版本”驗(yàn)證郵資ID輸入具有被解密的郵資ID的二維條形碼對象描述二維條形碼中包含的郵資ID通過檢查數(shù)字方法(CRC16)進(jìn)行保護(hù)��,這種方法需要被驗(yàn)證��。如果驗(yàn)證失敗��,那么需要返回的結(jié)果是安全付費(fèi)警告“PC-F偽造被懷疑(郵資ID)”�����。驗(yàn)證郵資ID需要先對密碼串進(jìn)行解密����。返回值如果檢查成功,代碼為“00”�,否則,安全付費(fèi)事件的警告代碼為“PC-F偽造被懷疑(郵資ID)”超時(shí)檢查輸入二維條形碼對象描述這個(gè)功能用來自動驗(yàn)證在郵件中心對PC預(yù)繳郵資的信件免費(fèi)郵寄和處理之間的時(shí)間間隔�。在兩個(gè)日期之間,僅僅允許有一個(gè)確定的天數(shù)�。在這種情況下,天數(shù)是基于產(chǎn)品和它的傳送時(shí)間加上一天的等待時(shí)間�。時(shí)間段的設(shè)置優(yōu)選儲存在產(chǎn)品有效時(shí)間段關(guān)系中,而且位于維護(hù)任務(wù)環(huán)境中間�。對于每一產(chǎn)品,可能使用PC郵資(二維條形碼字段)的密鑰��,這個(gè)關(guān)系存儲允許郵件中心免費(fèi)郵寄和處理之間相應(yīng)的天數(shù)。在簡化的方法中����,只設(shè)置一個(gè)時(shí)間段聲明,與標(biāo)準(zhǔn)郵件相關(guān)聯(lián)�,作為常數(shù)在系統(tǒng)中儲存。為了進(jìn)行驗(yàn)證��,形成了在處理過程中的當(dāng)前試驗(yàn)日期和二維條形碼中包含的日期之間的天數(shù)�����,例如�,08.02.to08.01.=1day。如果確定的天數(shù)大于該貨物的給定值�����,與警告情形“PC-F-日期(郵資)”下相關(guān)聯(lián)的安全付費(fèi)代碼返回有效性控制器�����;其它情形下�����,返回證明檢查成功的代碼。如果簡化的方法總與標(biāo)準(zhǔn)郵寄的值相比較���,根據(jù)給出的檢查結(jié)果,存在這樣的可能性�����,例如��,如果當(dāng)前的產(chǎn)品允許較長的傳送時(shí)間�����,手動操作掃描儀的按鍵����,可以糾正驗(yàn)證結(jié)果。另一超時(shí)檢查與郵資ID的內(nèi)容相聯(lián)系����。在默認(rèn)值的情況下下載的郵資和郵資ID具有一個(gè)默認(rèn)的有效時(shí)間段,以對郵件進(jìn)行免費(fèi)郵寄���。郵資ID包含郵費(fèi)有效的時(shí)間上限����。如果免費(fèi)郵寄日期是一個(gè)具體的天數(shù),大于這個(gè)有效期���,這樣����,返回與安全付費(fèi)警告“PC-F-日期(郵費(fèi))”相關(guān)的安全付費(fèi)警告代碼��。返回值如果檢查成功��,代碼是“00”���,否則�,安全付費(fèi)警告代碼是“PC-F-日期(郵資額)”或者“PC-F-日期(郵資)”付費(fèi)檢查輸入二維條形碼對象�;當(dāng)前的分類程序ID描述在這個(gè)功能內(nèi),檢查包含在二維條形碼中的付費(fèi)�����。從而得到最小付費(fèi)����,最小付費(fèi)是為相關(guān)分類程序的發(fā)送而定義的�����。以歐元為單位����。通過一個(gè)自動接口來傳遞分類程序和最小付費(fèi)之間的關(guān)聯(lián)性�。簡化的方法能以類似的方式應(yīng)用于超時(shí)檢查中�����。此處�,應(yīng)用程序的配置文件規(guī)定了一個(gè)固定的適用于所有發(fā)送的最小付費(fèi)。因此�,不需要傳遞分類程序。在隨后的檢查中�����,將比較是否二維條形碼中包含的最小付費(fèi)低于該郵票�。如果出現(xiàn)這種情況,那么返回與安全付費(fèi)事件“PC-F不能免費(fèi)郵寄”相關(guān)的代碼��,否則返回表明成功的代碼���。返回值如果檢查成功����,代碼是“00”,否則���,安全付費(fèi)的警告代碼是“PC-F-不能免費(fèi)郵寄”與負(fù)文件一致輸入帶有解密的郵資ID的二維條形碼對象描述在這個(gè)功能中��,檢查確定與二維條形碼有關(guān)的郵資ID是否包含在負(fù)文件(negativefile)中��。負(fù)文件用作從交付循環(huán)中除去來自某些顧客的所有郵件�,這些顧客由于試圖濫用而被發(fā)現(xiàn)�����,或者是因?yàn)樗麄兊腜C已被盜竊��。在這種情況下�,負(fù)文件保存在項(xiàng)目數(shù)據(jù)庫郵資中。在這個(gè)項(xiàng)目的接口的范圍內(nèi)����,需要為本地的信件中央系統(tǒng)確定交換數(shù)據(jù)的方法。如果維護(hù)應(yīng)用程序,或數(shù)據(jù)交換可能不存在�,那么在這種情況下需要?jiǎng)?chuàng)建一個(gè)轉(zhuǎn)換機(jī)制。這些數(shù)據(jù)可作為轉(zhuǎn)換的一部分保存在一個(gè)Excel表格中����,從中可生成一個(gè)csv文件。這個(gè)文件通過電子郵件發(fā)送到AGB檢查器�����,由后者使用一種導(dǎo)入機(jī)制讀入����。然后���,通過在優(yōu)選的安全付費(fèi)IT-精細(xì)概念(ITfineconcept)中定義的路徑傳遞��。郵資ID使單個(gè)預(yù)置值特征化�,顧客可從系統(tǒng)(郵寄點(diǎn))檢索到這個(gè)預(yù)置值�����。預(yù)置值儲存在顧客系統(tǒng)上的“保險(xiǎn)箱”中��,將包括讀取系統(tǒng)的智能卡或加密狗(dongle)的形式作為硬件部分。保險(xiǎn)箱保存預(yù)置額度���,顧客可以從其中檢索單個(gè)的郵資額�,而不需要與費(fèi)用額裝載站(郵寄點(diǎn))在線連接���。通過唯一的ID使每個(gè)保險(xiǎn)箱特征化��,如果懷疑某個(gè)保險(xiǎn)箱被濫用��,而需要除去相關(guān)的郵件�����,將這個(gè)保險(xiǎn)箱的ID記錄在負(fù)文件中�����。保險(xiǎn)箱的ID由多個(gè)字段組成�����。除了唯一的密鑰之外�����,保險(xiǎn)箱ID中還包含有其它字段����,如有效日期和驗(yàn)證數(shù)字。為了唯一識別保險(xiǎn)箱����,保險(xiǎn)箱的前三個(gè)字段是確定的。郵資ID的前三個(gè)字段也是如此�,這意味著,保險(xiǎn)箱和預(yù)置值之間存在聯(lián)系���。下表中將描述這些字段�。如果當(dāng)前檢查的郵資的郵資ID的前三個(gè)字段與負(fù)文件包含的保險(xiǎn)箱ID的前三個(gè)字段相同��,那么返回文件中與顧客相對應(yīng)的安全付費(fèi)事件�����,否則����,返回成功代碼�����。返回值如果驗(yàn)證成功時(shí),成功代碼是00���,否則返回與顧客或負(fù)文件中的保險(xiǎn)箱相關(guān)聯(lián)的警告代碼��。二維條形碼內(nèi)容和郵寄明文的比較輸入二維條形碼對象描述為了防止復(fù)制二維條形碼�,將對編碼在二維條形碼中的發(fā)送數(shù)據(jù)和以明文形式顯示在信件上的數(shù)據(jù)進(jìn)行比較����。在無線掃描儀中,由于有足夠的表述和輸入可能性�����,這種比較直接完成是可能的��。在有線連接的手持掃描儀的情況下���,需要在PC(安全付費(fèi)系統(tǒng))上進(jìn)行檢查�。順序是���,在運(yùn)行自動檢查后���,有效性控制器促使二維條形碼中的數(shù)據(jù)輸出到無線掃描儀上���,或輸出到安全付費(fèi)PC上。為此�����,有效性控制器存在一個(gè)呼叫返回方法����,這個(gè)方法是在一個(gè)會話開始時(shí)被分配的。有效性控制器利用二維條形碼對象調(diào)用這種呼叫返回方法�。隨后,掃描儀控制器和安全付費(fèi)PC負(fù)責(zé)顯示二維條形碼內(nèi)容����,并返回“00”,或者返回相關(guān)錯(cuò)誤代碼作為返回值(在被檢查器處理之后)�����。如果評估成功���,返回成功代碼���,否則返回安全付費(fèi)警告“PC-F明文”代碼。在自動檢查時(shí)�,這個(gè)驗(yàn)證是不必要的。此時(shí)�����,最好在離線的集中評估的背景下進(jìn)行檢查�,可以采取對營業(yè)額的比較或者對二維條形碼所包含的郵政編碼和目標(biāo)郵政編碼進(jìn)行比較。返回值如果檢查成功����,代碼是00,否則返回安全付費(fèi)事件“PC-F明文”的警告代碼�����。密碼檢查密碼檢查由兩部分組成a)密碼串的解密��;以及b)散列值的比較����。這兩種方法都需要在密碼卡受到保護(hù)的區(qū)域內(nèi)進(jìn)行,這是因?yàn)?���,如果用戶對處理過程中生成的信息進(jìn)行窺視���,則可以產(chǎn)生有效郵資的散列值。解密密碼串輸入二維條形碼對象描述作為輸入?yún)?shù)��,該功能包括把二維條形碼對象從掃描儀結(jié)果中分離�����。根據(jù)郵資日期和密鑰號�����,搜索出適用于這次的對稱密鑰�����,根據(jù)3DESCBC方法����,借助于這個(gè)密鑰,對被轉(zhuǎn)移的對象的密碼串解密�����。初始化向量需要設(shè)定什么值���?是采用內(nèi)部CBC還是采用外部CBC�����?塊的長度如何��?這些問題都在安全付費(fèi)系統(tǒng)的接口內(nèi)決定�。如果在密碼系統(tǒng)中不存在二維條形碼所包含的密鑰�,那么同時(shí)返回安全付費(fèi)警告“PC-F偽造被懷疑(密鑰)”和使用密鑰號未找到密鑰的錯(cuò)誤報(bào)文。操作結(jié)果由解密后的郵資ID和解密后的隨機(jī)數(shù)構(gòu)成���。解密后的郵資ID將寫入二維條形碼對象相應(yīng)字段里���。出于安全考慮應(yīng)當(dāng)對隨機(jī)數(shù)進(jìn)行保密,這是因?yàn)槿绻脩糁肋@個(gè)信息��,就可以產(chǎn)生有效的散列值�����,這樣就偽造了二維條形碼��。解密之后,通過這個(gè)方法調(diào)用散列值計(jì)算���,并返回它的返回值�。散列值計(jì)算輸入二維條形碼對象解密后的密碼串的隨機(jī)數(shù)(不允許在密碼卡之外看到解密后的隨機(jī)數(shù))描述散列值計(jì)算功能確定了二維條形碼對象包含的原始掃描儀結(jié)果的前60個(gè)字節(jié)���。依此���,解密后的郵資ID和分配的解密后的隨機(jī)數(shù)附加在上面。因此�����,SHA1方法可以計(jì)算散列值�,隨后和二維條形碼對象包括的散列值比較。如果所有的20個(gè)字節(jié)都匹配�,那么,密碼的驗(yàn)證就成功了��,并返回相應(yīng)的返回值�。如果不一致的話,安全付費(fèi)警告“PC-F-偽造被懷疑(散列值)”返回到有效性控制器�����。作為返回值,所計(jì)算的散列值額外傳送�����,因此���,它也可作為檢查結(jié)果輸出。返回值所計(jì)算的散列值如果檢查成功�����,則代碼是00���,否則返回安全付費(fèi)事件的警告代碼“PC-F-偽造被懷疑(散列值)”或者“PC-F-偽造被懷疑(密鑰)”��。結(jié)果輸出呈現(xiàn)檢查和讀取結(jié)果描述通過呼叫返回方法���,有效性控制器有機(jī)會控制在與當(dāng)前檢查相關(guān)的輸出裝置上的輸出結(jié)果。為此�,它把二維條形碼對象和已確定的安全付費(fèi)警告代碼轉(zhuǎn)移到這種呼叫返回方法。返回值可以是由AGB檢查器所選擇的結(jié)束方法產(chǎn)生��。用于輸出的呼叫返回方法同樣是,在會話開始時(shí)�����,在有效性控制器上注冊時(shí)指定的�。結(jié)果記錄輸入二維條形碼對象,檢查結(jié)果代碼描述在有效性控制器運(yùn)行的系統(tǒng)上的一個(gè)文件中以簡化的方法實(shí)現(xiàn)結(jié)果記錄�。通常,結(jié)果或者方向集合直接傳到BDE上���,通過優(yōu)選的安全付費(fèi)BDE接口寫入優(yōu)選的本地安全付費(fèi)系統(tǒng)的數(shù)據(jù)庫中�����。優(yōu)選地�,郵資ID����、序列號、郵資日期��、郵資���、產(chǎn)品密鑰����、郵政編碼、安全付費(fèi)結(jié)果代碼��、消息��、檢查的長度��、檢查的時(shí)間�����、掃描儀的ID����、掃描儀的操作模式����、記錄模式、以及進(jìn)一步處理的類型均需要儲存���。所有這些值通過分號來分隔輸出����,以這種形式進(jìn)一步評估,例如可以是Excel的形式�。如果系統(tǒng)處于“初始記錄”操作模式,那么為了隨后的記錄���,應(yīng)該在記錄模式欄中輸入一個(gè)“e”�����,而不是“n”����。主要數(shù)據(jù)的提供描述需要一系列的主要數(shù)據(jù)(masterdata)用于內(nèi)容驗(yàn)證���。這些是●PC-F負(fù)文件●分類程序和最小付費(fèi)●一般的最小付費(fèi)●產(chǎn)品密鑰PC-F●每個(gè)產(chǎn)品密鑰PC-F的最大傳輸時(shí)間●通常的最大傳輸時(shí)間●安全付費(fèi)事件�����、優(yōu)先權(quán)����、以及與另外的處理指令的結(jié)合●另外的處理指令除了PC-F負(fù)文件和費(fèi)用額裝載站(郵寄點(diǎn))的加密密鑰之外����,主要數(shù)據(jù)都能夠在轉(zhuǎn)換時(shí)間提前設(shè)置����。如果必要����,為了一些數(shù)據(jù),可以采用簡單處理和分配應(yīng)用��。在那種情況下����,應(yīng)當(dāng)在Excel表格中實(shí)現(xiàn)維護(hù)���,從中可以產(chǎn)生csv文件����。這個(gè)文件應(yīng)該通過電子郵件發(fā)送到AGB檢查器����,應(yīng)該由后者使用一種機(jī)制讀入。通常���,數(shù)據(jù)分配的方法與在優(yōu)選的安全付費(fèi)IT精細(xì)概念中所描述的方法一致�����,也使得對這些數(shù)據(jù)的訪問成為可能��。相關(guān)聯(lián)的數(shù)據(jù)結(jié)構(gòu)將在優(yōu)選的安全付費(fèi)的精細(xì)概念的數(shù)據(jù)模型中加以描述�。密鑰數(shù)據(jù)的分發(fā)對稱密鑰在費(fèi)用額裝載站(郵寄點(diǎn))用于保護(hù)二維條形碼內(nèi)容,還用于密碼系統(tǒng)驗(yàn)證����,由于安全原因,將定期進(jìn)行交換�����。當(dāng)用于所有的郵件中心時(shí)���,密鑰需要自動而安全地從(郵寄點(diǎn))傳送到密碼系統(tǒng)����。在這種情況下����,交換應(yīng)當(dāng)通過優(yōu)選的安全付費(fèi)服務(wù)器實(shí)現(xiàn),這是因?yàn)樵谫M(fèi)用額裝載站(郵資ID)不應(yīng)該有任何關(guān)于哪個(gè)優(yōu)選的本地安全付費(fèi)系統(tǒng)和哪些密碼系統(tǒng)存在的設(shè)置���。特別優(yōu)選的密鑰交換的方法步驟在圖7中描述�。優(yōu)選的密鑰交換在中央裝載站(郵寄點(diǎn))、一個(gè)中央密碼服務(wù)器和多個(gè)本地密碼服務(wù)器之間進(jìn)行�����。由于對稱密鑰對于二維條形碼的防偽造安全性(corruptionsecurity)具有重要的意義����,所以需要通過高加密級別和通信方明確確認(rèn)的來保護(hù)對稱密鑰的交換。配置基本配置/加密硬件的密鑰管理對于加密卡的基本配置需要采取多種措施����,需要通過安全管理員實(shí)施。采取以下措施●在卡上安裝軟件API●產(chǎn)生或安裝私鑰���,用以保護(hù)管理應(yīng)用程序和可加載的軟件根據(jù)所選擇的卡的類型和制造商,需要采取不同的措施�,用于優(yōu)選安全付費(fèi)系統(tǒng)的密碼卡的與應(yīng)用相關(guān)的基本配置包括以下步驟●對對稱密鑰進(jìn)行安全加密并傳送至卡-例如RSA加密對-同時(shí)為公開密鑰和密鑰的輸出生成證書;●為了確保要導(dǎo)入的密鑰已經(jīng)由費(fèi)用額裝載站(郵資ID)發(fā)布�����,提前配置用于費(fèi)用額裝載站(郵寄點(diǎn))的證書��。密碼系統(tǒng)應(yīng)用的基本配置密碼系統(tǒng)里的每個(gè)掃描儀,每個(gè)用戶��,每個(gè)密碼卡需要以唯一的ID來表示�����。最后����,也有必要通過一個(gè)唯一的ID識別每個(gè)AFM-二維代碼讀取機(jī)。登錄/退出在與有效性控制器的會話開始時(shí)���,必須首先進(jìn)行系統(tǒng)登錄�。作為參數(shù)���,此登錄包含掃描儀ID����、用戶ID���、以及用于手工檢查的呼叫返回方法�����、或讀取和檢查結(jié)果的輸出�。返回的返回值是會話ID,在該會話內(nèi)�,以后一旦發(fā)生呼叫,就需要傳送會話ID�。對于會話ID,會話背景儲存在有效性控制器上���,會話背景儲存?zhèn)魉蛥?shù)�����。如果顧客在會話過程中改變操作模式�、提前定義的產(chǎn)品�、或其它在運(yùn)行時(shí)間配置的會話設(shè)置,那么�,在會話背景下為這一目的分配的變量內(nèi)可重新改變。在系統(tǒng)退出的時(shí)候����,會話背景相應(yīng)地被刪除���。隨后的對會話ID的檢查呼叫將被拒絕�����。用戶和口令的管理需要在一個(gè)通用的優(yōu)選安全付費(fèi)的用戶管理概念內(nèi)定義�。這一定義是優(yōu)選的安全付費(fèi)IT精細(xì)概念的一部分。讀取系統(tǒng)在執(zhí)行檢查請求之前需要登錄到有效性控制器�����。讀取系統(tǒng)的ID和口令被作為參數(shù)傳遞��。一旦成功登錄�,返回的返回值也是會話ID,需要在隨后發(fā)生驗(yàn)證請求時(shí)傳送�����。在關(guān)閉讀取系統(tǒng)時(shí)�����,必須需要這個(gè)會話ID相應(yīng)退出�。其它專門用戶職責(zé)根據(jù)安全概念,需要有兩個(gè)專門的用戶角色�����,由兩個(gè)不同的人來實(shí)現(xiàn)。安全管理員安全管理的職責(zé)包括以下任務(wù)●創(chuàng)建用于管理加密卡的命令文件●對這些命令文件簽名●對加密卡進(jìn)行初始化和管理●管理可加載的軟件和相關(guān)聯(lián)的配置安全管理員使用管理卡的私鑰來鑒別自己�。該私鑰儲存在磁盤或智能卡上,需要被安全管理員嚴(yán)格地保存起來�。只有使用這個(gè)密鑰所簽名的管理命令才可以在加密卡上執(zhí)行。由于這種機(jī)制保護(hù)了命令序列和相關(guān)聯(lián)的參數(shù)�,對這些命令的執(zhí)行可以授權(quán)給本地系統(tǒng)管理員。安全管理員必須使命令可用�,并將其寫入適當(dāng)?shù)姆椒ㄖ噶睢A硪蝗蝿?wù)是密碼卡的管理�,其中,對于每個(gè)卡而言���,序列號��、安裝有這些加密卡的系統(tǒng)的配置和系統(tǒng)號以及系統(tǒng)的位置需要進(jìn)行管理����,對于預(yù)留加密卡��,也需要有誰正在持有這些卡的記錄����。與安全管理員QA一起����,其管理軟件資源和相應(yīng)的軟件配置����,并使它們能夠用于安裝����。此外,在卡上和加密服務(wù)器上需要安裝或已安裝的軟件被檢查����,卡軟件也能夠被允許使用并被簽名?��?ㄜ浖貏e需要被檢查以確定是否有一個(gè)秘密密鑰在任一位置均可通過驅(qū)動接口泄漏到外面��,或者是否存在操縱企圖�,如儲存之前定義的固定密鑰或使用不安全的加密方法����。除了卡中的軟件之外,也有必要檢查連接到所述的卡軟件的密碼服務(wù)器應(yīng)用軟件�����。安全管理員以同樣的方式使用私人密鑰進(jìn)行認(rèn)證。但是���,在這種情況下�����,涉及到了用于軟件簽名的私人密鑰����。但是����,在這種情況下存在其它的安全性,為了安裝軟件��,要求不僅對軟件簽名����,而且相應(yīng)的安裝命令也要簽名。由于有兩個(gè)不同的人(QA管理員和安全管理員)負(fù)責(zé)���,同時(shí)相應(yīng)的密碼在兩個(gè)不同的位置保管�,所以,在這種情況下保證了較高的安全級別�。在安全QA管理員和安全管理員一致同意后才能進(jìn)行軟件分發(fā)。本發(fā)明的特定優(yōu)選實(shí)施例提供了兩種不同的認(rèn)證密鑰�,這意味著很大程度地提高了數(shù)據(jù)的安全性�。權(quán)利要求1.一種用于驗(yàn)證附加在郵件上的數(shù)字郵資標(biāo)記的真實(shí)性的方法,其中��,對所述郵資標(biāo)記中包含的密碼信息解密���,用來驗(yàn)證所述郵資標(biāo)記的真實(shí)性���,其特征在于讀取裝置以圖形方式記錄所述郵資標(biāo)記并把它傳送到驗(yàn)證裝置,所述驗(yàn)證裝置控制一序列部分檢查�����。2.根據(jù)權(quán)利要求1所述的方法���,其特征在于所述部分檢查之一包括對所述郵資標(biāo)記中包含的密碼信息解密����。3.根據(jù)權(quán)利要求1或2所述的方法�����,其特征在于所述部分檢查之一包括將所述郵資標(biāo)記的產(chǎn)生日期和當(dāng)前日期進(jìn)行比較。4.根據(jù)以上權(quán)利要求中任一項(xiàng)所述的方法���,其特征在于所述讀取裝置和所述驗(yàn)證裝置使用同步協(xié)議進(jìn)行信息交換�����。5.根據(jù)權(quán)利要求4所述的方法��,其特征在于所述協(xié)議是基于RPC的�。6.根據(jù)權(quán)利要求1至5中任一項(xiàng)所述的方法��,其特征在于所述讀取裝置和所述驗(yàn)證裝置通過異步協(xié)議相互通信�。7.根據(jù)權(quán)利要求6所述的方法,其特征在于所述讀取裝置向所述驗(yàn)證裝置發(fā)送數(shù)據(jù)消息���。8.根據(jù)權(quán)利要求7所述的方法�,其特征在于所述數(shù)據(jù)消息包含所述郵資標(biāo)記的內(nèi)容����。9.根據(jù)權(quán)利要求1至8中任一項(xiàng)所述的方法,其特征在于所述數(shù)據(jù)消息包含啟動密碼驗(yàn)證程序的請求�����。10.根據(jù)權(quán)利要求1至9中任一項(xiàng)所述的方法,其特征在于使用密碼接口執(zhí)行多個(gè)驗(yàn)證裝置之間的負(fù)載分配�。11.根據(jù)權(quán)利要求1至10中任一項(xiàng)所述的方法,其特征在于所述郵資標(biāo)記的內(nèi)容被分為單獨(dú)的字段���。12.根據(jù)權(quán)利要求11所述的方法��,其特征在于從所述郵資標(biāo)記確定用于控制所述郵資標(biāo)記產(chǎn)生的顧客系統(tǒng)的識別號碼(郵資ID)。13.根據(jù)以上權(quán)利要求中任一項(xiàng)所述的方法���,其特征在于在負(fù)文件中記錄單個(gè)的顧客系統(tǒng)識別規(guī)范(郵資ID)�,將與這一郵資ID相關(guān)聯(lián)的郵件從正常的郵件處理程序中取出�。14.根據(jù)以上權(quán)利要求中任一項(xiàng)所述的方法,其特征在于將所述郵資標(biāo)記中包含的已加密的接收者地址聲明與用于郵件交付所指明的接收者地址進(jìn)行比較�。15.根據(jù)權(quán)利要求1至14中任一項(xiàng)所述的方法,其特征在于能夠改變用于所述方法的驗(yàn)證參數(shù)�。16.根據(jù)權(quán)利要求15所述的方法,其特征在于僅在輸入與系統(tǒng)管理員相關(guān)聯(lián)的個(gè)人數(shù)字密鑰(私人密鑰)之后�,才能改變方法的參數(shù)。全文摘要本發(fā)明涉及一種用于驗(yàn)證郵件上的郵資標(biāo)記的方法���。根據(jù)本發(fā)明�����,對包含在郵資標(biāo)記中的密碼信息進(jìn)行解密�����,并用來驗(yàn)證郵資標(biāo)記的真實(shí)性����。本發(fā)明所提供的方法的特征在于讀取裝置以圖形方式讀取郵資標(biāo)記并將其傳送到驗(yàn)證裝置,驗(yàn)證裝置控制一序列部分檢查�����。文檔編號G06Q10/00GK1554076SQ02816032公開日2004年12月8日申請日期2002年6月28日優(yōu)先權(quán)日2001年7月1日發(fā)明者亞歷山大·德歷特茲,彼得·費(fèi)里,于爾根·黑爾穆斯,阿洛伊修斯·霍爾,貢特爾·邁爾,埃爾克·羅貝爾,迪特爾·施圖姆,施圖姆,羅貝爾,邁爾,黑爾穆斯,亞歷山大德歷特茲,修斯霍爾,費(fèi)里申請人:德國郵政股份公司