技术领域

本发明总体上涉及一种在开放系统中证明邮资已付的邮资计费系统和方 法，尤其涉及一种在虚拟计费结构中证明邮资已付的邮资计费系统和方法。

                            相关申请

本发明与以下国际专利申请有关(律师档案号E-731，E-733，E-734，E -735和E-736)，这些申请同时提交，并都被转让给本发明的受让人，所有申 请通过引用作为整体包括在此。

                            背景技术

已开发了各种邮资计费系统，这些系统将加密信息印刷在邮件上，作为证明 邮资已付的邮戳的一部分。加密信息包括邮件的邮资以及其它与邮件和印刷邮戳 的邮资计费器相关的邮政数据。加密信息一般称为数字令牌或数字签名，它可以 验证并保护信息的完整性，包括印在邮件上的邮资值，供日后核验邮资已付之 用。由于数字令牌包含与证明邮资已付有关的加密信息，所以通过标准的核验程 序可以检测出改变邮戳之印刷信息的行为。美国专利第4,725,718号、第 4,757,537号、第4,775,246号和第4,873,645号描述了几例产生并印刷这类邮 戳的系统，这些专利都已转让给本发明的受让人。

目前，存在两种类型的邮资计费装置，一类是封闭系统，另一类是开放系统。 在封闭系统中，系统功能专用于计费活动。封闭系统的计费装置也称为邮资证明 装置，例子包括传统的数字和模拟(机械的和电子的)邮资计费器，在这种系统 中，将专用打印机与一计费或计帐功能安全地耦合。在封闭系统中，一般将打印 机与计费器安全地耦合，并专供计费器使用，并且在邮资证明未计帐的情况下， 不打印邮资证明。在开放系统中，打印机并不供计费活动专用，除计费活动之外， 系统功能还可以自由地适应多种不同的应用。开放系统计费装置的例子包括带有 单/多任务操作系统、多用户应用程序和数字打印机的基于个人计算机(PC)的装 置。开放系统计费装置是具有非专用打印机的邮资证明装置，打印机不与保密计 帐模块安全地耦合。通过连续核验打印于邮件上的加密邮资证明中包含收件人的 信息，使得由非专用打印机打印的开放系统邮戳安全可靠。参见美国专利第 4,725,718号和第4,831,555号，这些专利都已转让给本发明的受让人。

美国邮政部门(“USPS”)已提议使用一种基于信息的邮戳程序(“IBIP”)， 它是一种分布式的信托系统，用新的称为基于信息之邮戳的邮资已付证明来更新 和扩充现有的邮资计费器。该邮戳程序利用数字签名技术为每张信封产生一邮 戳，邮戳的发源地可以验证，但内容不可以改变。除了目前一般靠邮资计费器在 邮件上打印邮戳的方法外，能期望IBIP支持新的应用邮资的方法。IBIP要求在 邮件上打印一个较大的、高密度的两维(“2-D”)条形码。2-D条形码对信息编 码，并用数字签名签字。

USPS已公布了IBIP的草案。于1996年6月13日公布并于1997年7月23 日修订的基于信息的邮戳程序(IBIP)邮戳规定(“IBIP”邮戳规定)确定了关于用 IBIP产生的、将被加盖在邮件上的新邮戳的推荐性要求。于1996年6月13日公 布并于1997年7月23日修订的基于信息的邮戳程序邮政保密装置规定确立了关 于邮政保密装置(“PSD”)的推荐性要求，该邮政保密装置是一种基于处理器的 保密计帐装置，可以对存储其中的邮资值进行分配和计帐，以支持产生一种新的 “基于信息的”邮资邮政标记或邮戳，加到采用IBIP进行处理的邮件上。于1996 年10月9日公布的基于信息的邮戳程序主系统规定确立了关于IBIP主系统单元 的推荐性要求(“IBIP主规定”)。IBIP包括与用户连接口、邮政和卖家的基础 结构，它们是程序的系统单元。于1997年4月25日公布的基于信息的邮戳程序 密钥管理计划规定确立了USPS产品/服务提供器和PSD所用的加密密钥的产生、 分布、使用和替换(称“IBIP KMS规定”)。各项规定在此统称为“IBIP规定”。

IBIP规定确立了一种独立开放计费系统，这里称为PC计费器，它包括与个 人计算机(“PC机”)耦合的PSD，该计算机作为主系统运行，有一打印机与之相 连(“主PC机”)。主PC运行计费应用软件和相关的库(这里统称为“主应用程 序”)，并与一个或多个相连的PSD通信。PC计费器只能访问与主PC机耦合的 PSD。PC计费器不能访问远程的PSD。

PC计费器在主PC上处理有关分配邮资、登记以及再注入的事务。处理在主 PC机和与之耦合的PSD之间局域地完成的。例如，对于登记和再注入事务。与数 据中心的连接是从主PC机通过本地或网络调制解调器/互联网连接局域地完成 的。将借贷计帐入PSD也是局域地进行的，将事务记录在主PC机上。主PC机可 以容纳不止一个PSD，例如每个串行口支持一个PSD。在主PC机上运行的几个应 用程序，诸如字处理程序或信封设计程序，可以访问主应用程序。

IBIP规定不访问在网络环境上的BIP开放计费系统。但是，规定并不禁止这 种基于网络的系统。一般情况下，在网络环境中，网络服务器控制在网络上的客 户PC机请求的远程打印。当然，客户PC机控制任何本地的打印。

一种版本的网络计费系统称为“虚拟邮资计费系统10”，它具有许多主PC 机，但不耦合任何PSD。主PC机运行主应用程序，但是所有PSD功能都在位于数 据中心的一个或多个服务器上实现。数据中心处的PSD功能可以在连接数据中心 计算机的保密装置中完成，或者在数据中心计算机本身内完成。各主PC机必须 与数据中心相连，以便处理诸如邮资分配、计费登记或计费再注入等事务。由主 PC机提出事务请求，并将其发送至数据中心进行远程处理，在数据中心集中处理 事务，并且将结果返回给主PC机。资金计帐和事务处理集中在数据中心。例如， 参见美国专利第5,454,038号和第4,873,645号，该专利已转让给本发明的受让 人。

虚拟邮资计费系统10不符合IBIP规定的所有的现行要求。特别是，IBIP 规定不允许PSD功能在数据中心完成。但是，应该理解，使每个邮寄者的PSD都 放置于数据中心的虚拟邮资计费系统10的结构可以提供与IBIP规定所要求的相 等的保密等级。

在常规的封闭系统机械和电子邮资计费器中，在打印和计帐功能之间需要一 条保密链路。对于在单个保密盒内完成打印和计帐功能的邮资计费器，通过对计 费器进行周期性检查来监视保密盒的完整性。新近，数字打印邮资计费器一般 包括一种与计费(计帐)装置耦合的数字打印机，此处称它为邮政保密装置 (PSD)。数字打印邮资计费器通过加密方式使计帐和打印机构之间的链路保密， 从而不需要实际的检查。实质上，新的数字打印邮资计费器在PSD和打印头之间 产生一条保密的点对点通信链路。例子参见颁发给Christopher B.Wright等人 的美国专利第4,802,218号，该专利现已转让给本发明的受让人。进行打印头保 密通信的数字打印邮资计费器的一个例子是由Connecticut，Stamford的Pitney Bowes股份有限公司制造的个人邮局TM。

在美国专利第4,873,645号和第5,454,3,038号中，揭示了一种虚拟邮资计 费系统和方法，在该系统和方法中，邮政计帐和令牌产生发生在远离邮资证明打 印机的数据中心。尽管数据中心可能是一保密装置，但仍存在一些固有的保密性 问题，因为计帐和令牌产生功能不是在靠近邮资打印机的保密装置中发生的。虚 拟邮资计费系统包括一计算机，计算机与一非保密的打印机和一远程数据计费系 统耦合。邮政计帐和令牌产生发生在数据中心。

数据中心是由诸如Pitney Bowes或邮政部门等计费器卖家控制的集中化的 设施。因此，与客户直接处理计费器的环境相比，这被认为是安全的。但是，数 据中心的全体人员都可访问存储在数据中心的数据，因此最低限度，至少这类人 员会进行无意地更改。对存储在数据中心的用户和计费数据进行任何未授权的更 改都会损害虚拟计费系统的完整性。

                            发明内容

已确认有一种虚拟邮资计费系统能够提供常规邮资计费系统不能获得的好 处。对邮电局来说，虚拟邮资计费系统可以对所有的邮资进行中心管理，不需要 管理实际的计费器或PSD。另一个好处是，与每次复位相反，有机会将邮寄者与 每个邮件直接关联，对邮寄者来说，不需要计费硬件，即不需要邮资计费器或 PSD。邮寄者也不需要保留有效地址的当前清单，诸如用购得的CD-ROM。邮寄者 可以根据需要获得邮资。最后，计费器卖家不必跟踪实际的计费器。虚拟邮资计 费系统避免了计费器被窃或重新安置等问题，并且总体上简化了计费器的管理。

虚拟邮资计费系统由一本地PC机构成，该PC机从远离数据中心的PSD获取 邮资值。PC机包括用于访问数据中心的调制解调器或互联网连接。

依照本发明，虚拟邮资计费系统和方法提供了对应于邮资计费交易的增值服 务。资金不存储在用户一侧，可以减少未授权更改帐户余额的危险。有一数据库 记录每个邮件，因此所有有效邮件都是已知的，所以这意味着核验工作将得到 改善。另外，本发明可使邮局在收到实际邮件之前就知道需处理的邮寄量。由于 可以获得更多的邮寄者数据(例如，用户通常何时邮寄，每天的邮寄量、平均邮 资金额)，虚拟邮资计费系统可使邮政部门预测邮寄处理方式。最后，就用户来 说，可以选择支付方式，与当前系统相比，在该情况下，资金必须在被下载到计 费器之前存入，尽管如此下载的资金在使用之前可能在计费器中保存数个星期。

本发明提供了一种用于证明邮件上邮资的方法，它包括以下步骤：在数据中 心接收与邮件相关的邮政信息，所述邮政信息包括了邮件的收件人地址信息；为 邮件产生数字令牌，所述数字令牌包括根据所述收件人地址信息而对邮件加密的 信息；产生事务记录，所述事务记录包括数字令牌和邮政信息；对事务记录签字； 将事务记录存储在数据中心的数据库中；并且用事务记录进行增值服务。

本发明还提供了一种用于分配邮资值的系统，它包括：数据中心，它以通信 方式与多个远程处理器耦合，用户通过所述远程处理器向数据中心发出分配邮资 值的请求，所述邮资值用与远程处理器耦合的打印机打印，数据中心包括：存储 装置，由于存储数据记录，所述数据记录包括用户帐户和与所述用户关联的计费 器帐户；第一加密模块，它与所述存储装置耦合，所述第一加密模块包括用于对 用户帐户中包括的用户验证密钥进行解密的第一密钥，所述用户验证密钥用于对 用户进行验证；和第二加密模块，它与所述存储装置耦合，所述第二加密模块包 括用于对计费器帐户中包括的令牌密钥进行解密的第二密钥，所述令牌密钥用于 产生数字令牌，所述第二加密模块还包括用于对事务记录签字的第三密钥，所述 事务记录与产生的数字令牌关联，所述经签字的事务记录存储在存储装置中；其 中数据中心通过网络将数字令牌发送到远程处理器。

在上述系统中，所述数字中心还包括：第三加密模块，它与所述存储装置耦 合，所述第三加密模块包括用于对用户事务记录签字的第四密钥，所述用户事务 记录存储在所述存储装置中。

在上述系统中，所述第一、第二、第三和第四密钥是相同的。

在上述系统中，所述数字中心还包括：密钥管理系统，用于管理所述第一、 第二和第三密钥。

在上述系统中，所述网络是因特网。

本发明还提供了一种执行邮资证明事务的方法，该方法包括以下步骤：在数 据中心接收来自远程计算机的邮资证明请求，所述请求包括与邮寄者相关的信 息；在数据中心处，将存储在数据中心中的与邮寄者关联的第一记录提供给第一 加密模块，所述第一加密模块使用第一密钥对第一记录中包含的用户验证密钥进 行解密，所述用户验证密钥用于对邮寄者进行验证；在数据中心处，将第二记录 提供给第二加密模块，所述第二加密模块使用第二密钥对第二记录中包含的令牌 密钥进行解密，所述第二加密模块使用令牌密钥产生数字令牌，所述第二加密模 块还产生与产生的数字令牌关联的事务记录；使用第三密钥对事务记录签字；将 经签字的事务记录存储在数据中心中；和将数字令牌发送到远程计算机，作为邮 件的邮资证明。

在上述方法中，还包括：每当用户访问数据中心时，产生用户事务记录；用 第四密钥对用户事务记录签字；和将经签字的用户事务记录存储在数据中心中。

在上述方法中，还包括：当请求下一事务时，核验用户事务记录。

在上述方法中，还包括：为邮寄者提供增值范围，所述增值范围包括联机定 价、特殊的邮递服务、地址清除以及邮政编码服务中的至少一个。

在上述方法中，还包括：提供对数据中心处理的所有邮政事务的联机跟踪。

在上述方法中，所述第一、第二和第三密钥是相同的。

                            附图概述

结合附图阅读以下详细描述，将清楚本发明的上述和其它目的和优点，在所 有附图中，相同的标号表示相同的部件，附图有：

图1是一方框图，示出了应用本发明原理的用于分配邮资的虚拟邮资计费系 统；

图2是一方框图，示出了关于图1中虚拟邮资计费系统的数据中心数据库服 务器和保密盒；

图3是邮资计费系统进行邮资验证和打印的过程；

图4是一流程图，示出了用图1虚拟邮资计费系统证明邮资的过程；

图5是一流程图，示出了在图1虚拟邮资计费系统的保密计费器盒中进行的 过程；

图6是一流程图，示出了依照本发明用涓流补充法将资金计帐和分配给多个 积存点的过程；

图7是一流程图，示出了将资金计帐和分配给多个积存点的预付法。

                        本发明的详细说明

以下参照附图，描述本发明。由图1可见，虚拟邮资计费系统一般用标号10 表示。虚拟邮资计费系统10打印开放系统的邮戳，以便为邮资提供保密证明。 虚拟邮资计费系统10包括多个个人计算机(PC)系统(图中仅画出一个)，一般用 标号20表示。每个个人计算机系统可以连接一个打印机22，用于在信封或标签 上打印邮资证明。PC20与事务处理数据中心30相连，而事务处理数据中心30 则履行邮资的邮政计帐和邮资证明。虚拟邮资计费系统10根据需要允许每个邮 寄者用常规的PC机获取远距离处的邮资已付证明。与传统的邮资计费系统不同 的是，虚拟邮资计费系统10在邮寄者一侧不包括任何计费器硬件。在邮寄者一 侧也不存储任何邮政资金。所有资金计费和计帐都发生在使用功能性软件和数据 库记录的数据中心30中，其中数据库记录代表每个邮寄者的“邮资计费器”， 这里称为“计费器帐户”

虚拟邮资计费系统10的计帐方法可以是传统的预付或后付系统。较佳的方 法是预付法，该方法要求每个邮寄者将最小数额的钱存入邮寄者的虚拟邮资计费 系统10的帐户中。当帐户资金低于规定水平时，会要求把钱再存入邮寄者的帐 户。另一种适用于虚拟邮资计费系统的计帐方法是实时付费方法，在该方法中， 当发生事务时，事务额被记入邮寄者的信用卡帐户内。由于邮寄者直到准备打印 邮件时才对邮件付费，所以这里将该方法称为“涓流补充”邮资支付法，

在虚拟邮资计费系统中，“计费器”的卖家(诸如Pitney Bowes股份有限公 司)为邮寄者提供在PC 20上运行的客户软件，例如，可以从卖家的互联网服务 器上下载客户软件。另一方面，客户软件可以是基于互联网浏览器的主页，用户 可以借此与数据中心30交互作用。计费器卖家还对数据中心30进行管理。客户 软件起动与数据中心30的通信，数据中心30进行计费事务，为单个邮件和批量 邮件提供邮资证明。在较佳实施例中，客户软件建立至数据中心的连接，并通过 提供与诸如，邮资金额、收件人信息以及(可选的)每个邮件的积存地等所请求的 事务相关的邮政信息来要求邮资。数据中心30接收邮政信息，确定邮件积存地 的邮政编码，完成计帐功能，并产生关于邮资已付的加密证明(诸如，令牌或数 字签名)，然后将包含该令牌的邮戳信息发送给PC20。PC20接收邮戳信息，产 生邮戳位图，邮戳位图可以显示在PC监视器(未示出)上，并且由打印机22将邮 戳位图打印在邮件上。然后，PC20中断与数据中心30的连接，或者请求另一次 事务。PC20与数据中心30之间的连接可以通过诸如互联网上的网络服务提供 器，或者用PC调制解调器直接拨打来实现。

虚拟邮资计费系统10不需要在每个邮寄者一侧保留和构成传统的计费装 置，为每个邮寄者从多个积存地发出的处理请求提供灵活性。虚拟邮资计费系统 10还提供了传统计费装置没有的增值服务，诸如实时地址清理(address hygiene)、直销服务和涓流补充邮资支付等。虚拟邮资计费系统10通过数据中 心30为用户提供验证，以便用有效帐户识别邮寄者。当用例如用户姓名、密码 或其它常规方法就每个请求对邮寄者作出验证时，数据中心30为该请求服务， 并将邮戳信息返回PC20，然后PC20的产生邮戳并将其打印在邮件上。

再参照图1，邮寄者通过运行PC20中的客户软件，起动邮资证明事务，这 时PC20与数据中心30接触。在数据中心30，通信服务器32支持来自各种通信 技术和协议的连通性。通信服务器合并所有输入的通信量，并且将其传送到功能 服务器34。功能服务器34包括支持邮寄者签字、邮资分配和邮政报告的应用软 件。可以从数据库服务器36中访问所有的邮寄者信息和计费器信息，如下所述， 这些信息是通过保密加密过程和协议安全地存储在数据库服务器36中的。数据 中心30为数据库服务器36中的每个计费器帐户保留加密密钥。加密密钥用来进 行邮资证明和核验，并对存储在数据库服务器36中的记录保密。密钥管理系统 38管理虚拟邮资计费系统10中使用的所有加密密钥。加密密钥可以分配给远处 的核验器。美国专利申请第08/553812号描述了这样一种密钥管理系统，该申请 于1995年10月23日提出，并且已转让给本发明的受让人。

邮寄者可以通过与数据中心30发生的联机签约过程，建立计费器帐户。在 签约过程中，邮寄者用PC20输入诸如用户姓名、密码和支付方式等帐户信息。 任何登记费都可在此时收取。数据中心30最好由计费器卖家(例如，Pitney Bowes 股份有限公司)来管理，数据中心30在其邮寄者和邮局之间安排所有的计费器许 可证和协议。

在本发明中，不存在PSD，即没有与请求支付邮资的PC机耦合的计费装置。 虚拟邮资计费系统10用PC20中的计费软件以及在数据中心30中执行和更新的 邮寄者帐户信息代替了PSD的计帐和计费功能。虚拟邮资计费系统10为每个邮 寄者提供一计费系统，该系统具有从多个积存地起动事务的能力。例如，参见上 面提及的国际专利申请(律师档案号E-735)。

可以用各种方法确定所请求的事务积存地。例如，美国专利申请第 08/775,818号揭示了一种方法，该方法用来自电话呼叫的呼叫者ID确定积存地 的邮政编码，上述专利申请是于1996年12月31日提出的，并已转让给本发明 的受让人，该申请通过引用作为整体包括在此。

依照本发明，在数据中心30内放置一个或多个加密模块，这里称为保密 “盒”，用于加密处理。每个保密盒是一个保密的、窜改—明显和窜改—响应装 置，它包括处理器和存储器，用于存储加密密钥并用该装置中保密边界内的密钥 进行加密操作。数据中心30包括以下描述的几种类型的保密盒。在较佳实施例 中，数据中心30包括每种类型的多个盒，以便冗余和运行。

密钥管理系统38包括一制造盒(未示出)，它提供的高级密钥用于产生随机 数据，以便加入其余每一个保密盒中。通过共享一个公用加密密钥，保密盒可以 在数据中心30内安全通信。密钥管理系统38还包括一“钢”盒(未示出)，它与 计费器盒44(在下面描述)共享一个公用密钥，以便就每个计费器帐户的邮资证明 事务对主令牌密钥进行加密/解密。钢盒将卖家密钥和邮政密钥合并成密码文本 中的一条记录。对于每个计费器帐户，数据中心30通过以下方式在数据库服务 器36中产生一个逻辑计费器，即一条计费器记录，即用卖家密钥和邮政密钥产 生一令牌密钥，启动计费寄存器(升值和降值)、计费器新数据(以下将作描述)和 其他邮政信息作为计费器记录的一部分，然后将计费器记录存储在数据库服务器 36中。

数据中心30还包括计费器盒44，它与钢盒共享一秘密密钥，用于对在计费 器记录中加密的令牌密钥解密。计费器盒44还持有用于事务记录数字签名的密 钥，而事务记录被存储在数据库服务器36中。存储在计费器盒44中的另一唯一 的信息是关于由计费器盒44处理的每条计费器记录的新数据。对于每次邮政事 务，计费器盒44至少产生一个数字令牌或对邮政事务签字，并且更新与该事务 对应的计费器记录。数据库服务器36中的每条计费器记录包括邮政资金以及密 码文本中的令牌密钥。计费器盒44用令牌密钥产生令牌，更新计费器记录中的 邮政资金，并对更新后的计费器记录签名。用这种方式，计费器盒执行和控制对 每次事务的保密计帐。计费器盒44还可用来核验令牌或事务签名，从而证实事 务的邮资证明。

数据中心30还包括一验证盒40，它与钢盒共享一个不同的秘密密钥，以便 对用密码文本存储在数据库服务器36中的用户验证密钥进行解密。验证盒40还 用解密后的验证密钥进行验证运算，以对邮寄者进行验证。可以对密钥管理系统 38的钢盒增加该功能，从而避免在数据中心30使用一个分立的盒。

最后，数据中心30包括一事务盒42，它与钢盒共享另一个秘密密钥，以便 对诸如注册和注册史记录等用户事务记录签名而不是由计费器盒44进行的计费 器记录签名。之后，当请求下一次事务时，事务盒42要核验该事务记录签名。

现在参照图2，该图示出了数据服务器36的结构，它包括计费器数据库60、 邮寄者数据库62和计费器记录数据库64。计费器数据库60包括与每个计费器帐 户相关的计费器信息，诸如计费器序号、记录更新计数、升值寄存器、降值寄存 器和其它邮政值。计费器数据库60还包括存储由计费器盒44签过字的事务记 录。例如，事务记录包括发源地的邮政编码、事务日期/时间、邮戳日期、送达 地的邮政编码、令牌、邮资金额和数字签名。邮寄者数据库62包括邮寄者信息 以及将邮寄者与计费器帐户相联系的信息。

在工作过程中，通信服务器32从邮寄者的PC20接收到一条计费器事务的 请求。功能服务器34中的应用软件控制对事务请求的处理。功能服务器34访问 邮寄者数据库62和计费器数据库60，以获得包括适当计费器记录64的各种记 录，这些记录对应于发出请求的邮寄者的计费器帐户。功能服务器34将来自邮 寄者数据库62的邮寄者记录发送给验证盒40，然后验证盒40对请求事务的邮寄 者进行验证。一旦验证了邮寄者，那么功能服务器34将合适的计费器记录64发 送给计费器盒44，计费器盒44对记录的签名和新数据进行核验。计费器盒44对 存储在计费器记录64内的加密密钥解密，在计费器记录64中的升值和降值寄存 器上完成计帐功能，并用密钥为所请求的事务产生一令牌。然后，计费器盒44 产生邮戳数据，并再次对计费器记录64签名。然后，将更新后和经签名的记录 发送回数据库服务器36，将其作为计费器数据库60的一部分存储起来。

在数据中心30，在明码文本中不能获得验证密钥，但必须将其分配给邮寄 者。可以使用常规的为每位邮寄者分配和更新验证密钥的方法。例如，参见上述 美国专利申请第08/553,812号，该申请描述了一种用于向保密盒和邮寄者PC机 分配和更新加密密钥的密钥管理系统。

密钥管理系统38的重要任务之一是，获得邮政密钥并将其与卖家密钥相联 系。在密钥管理系统38中，钢盒为每个计费器帐户在一个计费器记录64中产生 一个计费器序号、制造号、卖家和邮政密钥。

对于加密/解密运算，用一组三个DES密钥对加密密钥加密，从而产生邮戳 的令牌或签名。用另一组三个DES密钥对计费器记录签字。计费器盒44安全地 存储这两组三个DES密钥。为了避免只使用一个密钥来对整个计费器密钥组加密 而产生邮戳的令牌或签名，可以使用一个导出密钥。第一组三个DES密钥通过对 每条计费器记录中的计费(计帐)序号加密来导出三个DES密钥。然后，被导出的 三个DES密钥对将被存储在数据库服务器36中的邮戳的加密密钥加密。用于签 字的第二组三个DES密钥使用类似的方案，以类似方式导出签名密钥，即把计费 序号当作数据来导出密钥。应该理解，可以用一组三个DES密钥来实现两个目的。 但是，希望每组密钥只用于一个目的。

在本发明的较佳实施例中，可用一个公用密钥对要求数字签名的所有事务和 记录签字，诸如计费器记录、邮政事务、资金转帐记录、主计帐记录等。将每个 盒中的多个盒用于冗余，并用于分担事务数量增长时的工作量。诸如计费器盒44 或验证盒40等签字盒还将核验记录的签名。

关于计费器记录64的签名运算，可以用消息验证代码(MAC)为敏感的虚拟邮 资计费系统10的记录提供消息的完整性。该MAC包括数据加密标准(DES)的多个 应用。用当前的年月更新签名密钥。在制造期间，把两个初始的主密钥输入计费 器盒44的非易失性存储器(NVM)中。NVM用于永久存储和防止外界获取密钥信息 两个方面。可以用诸如上面描述的常规方式导出邮戳密钥和签名密钥。虚拟邮资 计费系统10记录签名核验运算，简单地用计费器记录64内的签名运算和数据重 新计算计费器记录64的签名，并将计算得到的签名与计费器记录64中的签名比 较。

现参照图3，该图示出了邮资授权和打印的一般流程。该过程包括了发生在 邮资计费系统之四个模块中的操作，这四个模块是：邮寄发生模块80，定价模块 82，计帐模块84和加密模块86。邮寄发生模块80包括地址清单和邮政定价参数。 定价模块82包括当前定价表和用于验证当前定价表的定价表签名。计帐模块84 包括升值寄存器(AR)、降值寄存器(DR)和邮件计数器。加密模块86包括加密密 钥、发源地的邮政编码信息以及邮资计费系统的标识符(计费器ID)。

在虚拟邮资计费系统10中，邮寄发生模块80驻留在PC20中，而定价、计 帐和加密模块驻留在数据中心30中。加密模块86驻留在计费器盒44中，而计 帐模块84一部分驻留在计费器盒44中(AR，DR和邮件计数器)，一部分驻留在数 据库服务器36(计帐功能)中。定价模块82最好驻留在数据库服务器36中，但是 定价模块可以驻留在PC20中。在PC计费系统中，计帐和加密模块应驻留在PSD 和邮寄发生器中，而定价模块应驻留在主PC中。

以下描述对单个邮件进行邮资证明事务的过程。不用说，该过程也可以用作 批量邮件的邮资证明事务。

邮寄发生模块80起动邮资请求，该过程就开始。在请求邮资之前，用户从 地址清单中选择(对每一邮件)邮寄地址，并输入或默认邮件的各种定价参数。 定价模块82接收请求和定价参数，计算邮资金额并请求邮资证明。请注意，用 户可以输入定价参数之一的邮资金额，在该情况下，定价模块将服从输入的邮资 金额。计帐模块84同意对邮资证明的请求，从降值寄存器中减去邮资金额，将 邮资金额加入升值寄存器，并增加邮件计数器。一旦完成计帐，便进行加密过程。 加密模块86用邮政和卖家密钥、发源地的邮政编码(从邮寄发生器模块接收到 的)、计费器ID、AR和DR以及邮件计数器(统称为邮政数据)来实现加密功能。 加密功能是一种加密变换计算，例如它用秘密密钥产生数字令牌/签名，为上述 邮政数据提供一个或多个数字令牌或数字签名。邮政数据和数字令牌/签名统称 为邮戳数据。邮寄发生器接收邮戳数据，可选择地核验是否已支付了足够的邮 资，并打印邮戳。

现在参照图4，描述在虚拟邮资计费系统中安全地进行邮资证明事务的过 程。在步骤100，通信服务器32从邮寄者PC 20接收邮资证明请求，在步骤105， 功能服务器34请求访问存储在数据库服务器36中的邮寄者帐户信息。在步骤 110，数据库服务器36发送邮寄者信息和计费器信息(包括与发出请求的邮寄者 有关的计费器记录)。在步骤115，功能服务器34将邮寄者信息发送给验证盒40。 当在步骤120对邮寄者验证时，然后在步骤125，功能服务器34将包括计费器记 录的计费器信息发送给计费器盒44。在步骤130，计费器盒44验证计费器记录， 对作为记录一部分的加密令牌密钥解密，核验记录的新度，进行计帐，产生令牌， 更新新数据并对计费器记录签名，然后将其送回功能服务器34。在步骤135，功 能服务器34将更新后的、经签名的计费器记录发送给数据库服务器36，并将产 生邮戳所需的令牌和相关邮政信息发送给通信服务器32。在步骤140，数据库服 务器36存储更新后的、经签名的计费器记录。在步骤145，通信服务器32将令 牌和邮政信息发送给邮寄者PC20。

现在参照图5，描述在虚拟邮资计费系统的保密计费器盒内执行的过程。在 步骤200，计费器盒44接收经签名的计费器记录。在步骤205，核验计费器记录 的签名。如果在步骤210未被核验通过，那么在步骤215，计费器盒终止事务， 并向功能服务器34报警可能有窜改。如果签名被核验通过，那么在步骤220，计 费器盒将为每个计费器帐户存储在计费器盒中的新数据与作为计费器记录一部 分存储起来的新数据比较。选择用于该比较的新数据必须是每次事务的专用数 据。在较佳实施例中，使用记录更新计数器，但也可以使用随机数、时间标记或 其它现时标志。步骤220进行的比较过程防止在虚拟邮资计费事务期间无意或故 意地用当前计费器记录代替旧的计费器记录。

在步骤225，如果被比较的新数据不一致，那么在步骤230，计费器盒终止 事务，并向功能服务器34报警可能有窜改。如果存储在计费器记录中的新数据 与存储在计费器盒中的与计费器记录相关的新数据一致，那么在步骤235，计费 器盒对作为计费器记录一部分并按加密形式接收到的令牌密钥解密。在步骤 240，计费器盒完成对事务的计帐功能，诸如使升值寄存器增加，降值寄存器减 小，并使记录更新计数器增加。在步骤245，更新计费器记录中的新数据。在步 骤250，更新存储在计费器盒44中的新数据。在步骤255，计费器盒用经解密的 令牌密钥产生令牌。在步骤260，计费器盒通过把新的寄存器值和记录更新计数 存储在计费器记录中，对计费器记录进行更新，然后用存储在计费器记录盒中的 密钥对更新后的记录签字。在步骤265，计费器盒将更新后的、经签字的计费器 记录发送给数据库服务器36，用于存储，直至该计费器帐户的下一次事务分配给 计费器记录。

现在参照图6，依照涓流补充支付法分配资金的过程从步骤300开始，邮寄 者通过PC 20将信用卡帐户的使用授权给诸如银行等资金控制中心。(这种授权 可以通过数据中心通知资金控制中心。)在步骤305，资金控制中心确认这一授 权，并通知数据中心30。在步骤310，数据中心通过把邮寄者的信用卡帐户分配 给邮寄者的PSA来激励邮寄者的PSA，并且通知邮寄者。在步骤315，邮寄者通 过PC20启动一个请求以从数据中心30获得邮戳信息，并提供诸如邮资金额和 目的地信息等邮政信息。在步骤320，数据中心30通过以下操作对请求作出响应， 即核验是否有充足的资金、补充邮寄者的信用卡帐户、确定请求的有效发源的邮 政编码、计算由请求提出的邮政信息相对应的数字令牌或数字签名，以及将包括 数字令牌的邮戳信息发送给PC20。数据中心30还存储有关每次事务的信息作为 历史记录，并以预定时间间隔发送给邮政部门。在步骤325，PC20从数据中心 30获得邮戳信息，产生邮戳位图，并将邮戳打印在邮件上。在步骤330，数据中 心30以预定的时间间隔(例如每天)通过把历史记录发送给邮政部门，向邮政部 门通报每个计费器ID(PSA)与发源地邮政编码之组合的总邮资金额。在步骤335， 邮政部门对每个发源地邮政编码的事务进行合并，以便确定欠每个发源地邮政编 码的(本地)邮局的金额。在步骤340，邮政部门将合适的资金金额从资金控制中 心分配到每个本地邮局。另一种方式是，可以在数据中心或资金控制中心完成步 骤335和340。

现参照图7，依照本发明的预付形式来分配资金的过程从步骤400开始，邮 寄者通过PC 20将资金发送给诸如银行等资金控制中心。在步骤405，资金控制 中心确认该授权，并通知数据中心30。在步骤410，数据中心调节邮寄者的PSA， 对附加资金进行计帐并通知邮寄者。在步骤415，邮寄者通过PC20请求从数据 中心30获取邮戳信息，并提供诸如邮资金额和目的地信息等邮政信息。在步骤 420，数据中心30通过以下操作对请求作出响应，即核验是否有充足的资金、计 入邮寄者帐户的借方、确定请求的有效发源地邮政编码、计算与请求一起提供的 邮政信息相对应的数字令牌或数字签名，以及将包括数字令牌的邮戳信息发送给 PC20。数据中心30还存储有关每次事务的信息作为历史记录，并以预定的时间 间隔向邮政部门发送。在步骤425，PC20从数据中心30获得邮戳信息，产生邮 戳位图，并将邮戳打印在邮件上。在步骤430，数据中心30以预定的时间间隔(例 如每天)通过把历史记录发送给邮政部门，向邮政部门通报每个计费器ID(PSA) 与发源地邮政编码之组合的总邮资金额。在步骤435，邮政部门对每个发源地邮 政编码的事务进行合并，以便确定欠每个发源地邮政编码的(本地)邮局的金额。 在步骤440，邮政部门将合适的资金金额从资金控制中心分配到每个本地邮局。

功能服务器34就用户签约执行以下过程。功能服务器34使从PC20接收到 的签约信息生效。通过访问数据库服务器36，功能服务器34从数据库获得下一 个有效的主帐户ID号和下一个有效的客户ID号。然后，功能服务器34产生一 条新的主帐户记录，并与密钥管理系统服务器38结合产生新计费器帐户的密钥。 功能服务器34将资金从新创建的主帐户转移到新的计费器帐户中。功能服务器 34建立一条新的计费器记录64，该记录存储在数据库服务器36中的计费器数据 库60中，还建立一条新邮寄者记录，该记录存储在数据库服务器36中的邮寄者 数据库62中。

在与新邮寄者签约期间，在PC20处输入邮寄者的地址信息。在PC20上运 行的虚拟邮资计费系统10的客户软件从用户输入的地址信息中选择邮政编码。 检查该邮政编码是一有效的邮政编码，则将其分配为用户帐户的积存地。。将签 约请求发送给数据中心30。功能服务器34接收关于新邮寄者帐户的请求，并如 上所述处理该请求，以建立一新的计费器记录64。然后，将计费器记录与来自签 约请求的积存地相关联，该积存地成为计费器记录64的缺省积存地。

当从PC20接收到关于邮资事务的请求时，功能服务器34执行以下过程。功 能服务器34检查与请求一起接收到的邮政数据的有效性，诸如邮寄日期、邮资 金额、发源地的邮政编码，以及目的地的地址等。如果无效，功能服务器34退 出该过程。如果有效，功能服务器34与数据库服务器36通信，检索与发出请求 的用户对应的计费器记录64。功能服务器34就所请求的事务核验用户帐户中是 否有足够的资金。如果资金充足，功能服务器34将计费器记录和邮政数据发送 给执行上述过程的计费器盒44。当计费器盒完成计帐过程时，功能服务器34构 造能反映已完成的事务的邮资事务记录，对其签字并将其发送给数据库服务器 36，进行存储。功能服务器34还将从计费器盒44接收到的更新后的计费器记录 64发送给数据库服务器36，进行存储。

数据库服务器36包括邮寄量以及将邮政资金计帐到其数据库中的记录。通 过访问数据中心30，邮政部门对可从数据中心3获得的所选信息进行联机跟踪。 这些信息包括已处理或正在处理的邮件量，将资金分配给起点邮局以及计费器帐 户使用。这种联机跟踪可使邮政部门以更有效的方式管理其资源。例如，邮政部 门可以识别具有最大工作量的地点，并通过将邮寄量与所期望的邮政收入比较可 以确定邮寄欺诈的地点。

虚拟邮资计费系统10的基础是存储在数据库服务36中的文件和记录内的信 息。如上所述，数据中心30提供典型的与计费相关的管理服务，诸如证明邮资、 创建用户帐户、验证用户、登记新的计费器帐户、使计费器帐户起作用或不起作 用、管理邮政资金的以及记录事务和计费使用等。数据中心30将关于邮资事务 和计费器使用的报告提供给用户、诸如Pitney Bowes股份有限公司等管理者以 及邮政部门。根据需要，可以用用户帐户(用户的部门帐户)、邮戳序号和/或发 源地邮政编码来管理诸报告。

数据中心30有能力同时处理多种事务的执行，诸如联机和延迟的事务执行。 数据中心30可以同时接收、排列和执行多种请求/服务。

数据中心30“制造”计费器，即计费器帐户，寄存器计费器、许可证计费器； 激励有效的计费器；并从正常工作(即从服务计费器当中)中对无效的计费器除去 激励。制造计费器必须使制造号与计费器密钥(诸如邮政密钥和卖家密钥)相关 联。密钥被秘密安装并被核验。功能服务器34与密钥管理系统服务器38连接， 以便安装密钥、核验密钥和登记计费器。通过为一个或多个用户分配使用计费器 帐户的特权，激励计费器。使计费器与计费器记录相关联，其中计费器记录包括 邮戳序号、制造号、邮政密钥、卖家密钥和邮件计数。

使计费器(即，邮戳序号)与发源地邮政编码(例如，起始点的邮政编码)相关 联，以便适应邮政的积存限制以及对邮政资金的计帐。数据中心30通过使邮戳 序号与发源地的邮政编码关联，以及填写合适的邮政表格而向邮政部门登记计费 器。如果计费器的发源地邮政编码为“00000”，那么用户能够选择积存地。可 变的积存地“00000”可使客户从不同的地点使用其联机计费器。

数据中心30创立、删除、修改和验证用户。数据中心30设立和修改访问权， 以便用户请求事务、购买邮资和接受管理服务。因资金不足、检查、信用滥用或 计费器滥用，可以暂时或永久地对正常工作的计费器除去激励。

                          增值服务

虚拟邮资计费系统10为用户和邮政部门提供增值服务。数据中心30允许用 户访问用户帐户信息、联机价格、特殊的邮递服务、地址清除和邮政编码服务等。 数据中心30允许邮政部门访问邮政收入计帐(发源地邮政编码所使用的邮资)， 并转移包括地址变更的文件。用户可以用主帐户、部门、计费器和使用者来请求 计帐服务。

数据中心30能够清除地址(即，纠正无效地址)，并联系邮政编码。例如， 参见美国专利第5,454,038号。数据中心30提供国内和国际邮政价格。将PC20 与一比例相结合，以便输入邮政定价程序。数据中心30提供诸如被鉴定邮件和 特殊接收等联机服务。数据中心30可以为经授权的邮政人员提供对邮政资金和 邮寄量的联机跟踪。

数据中心30为用户提供改变地址的服务。数据中心应提供用于从邮局接收 地址清单并管理该清单的机制。对照来自邮局的清单，检查从用户那里接收到地 址，以便确定是否改变了任何地址。数据中心应将已更改的地址通知用户。

虚拟邮资计费系统10包括这样的通信结构，它能够了解应用服务的场所以 及与每个服务器相连的用户数。该信息可使通信结构控制以下特征，即虚拟计费 器服务器的动态负载平衡、冗余和地理分布。

动态负载平衡是一种根据服务器现时有多忙而允许多个服务器与新用户相 连接的方法。冗余是一种允许多个虚拟计费器服务器同时驻留在网络上的方法， 如果主服务器因任何原因而停止工作，那么备用服务器将所有信息传送给其余相 应的联机服务器。地理分布是这样一种能力，它通过广域网将服务器从本地放置 在网络上。

虚拟邮资计费系统10用分布式处理对数据中心30处的服务器进行负载平 衡，以便改善性能。通信服务器接收每个访问数据中心30的PC20所发出的服 务请求。在启动时就对功能服务器进行登记。通信服务器选择一个功能服务器处 理服务请求。将服务请求加入功能服务器等候队列中。当功能服务器达到80％的 使用率时，则再产生一个功能服务器，与现用服务器一起登记。功能服务器检查 服务请求的等候队列，并处理这些请求。闲置的功能或通信服务器不登记并关 闭，将它们从现用的服务器清单中排除。类似于功能服务器，数据库服务器被登 记用来接受数据库请求。多个服务器同时运行，处理工作量。

不用说，尽管将本发明的实施例描述为邮资计费系统，但本发明适用于包括 事务证明的任何计值系统，诸如货币事务、项目事务和信息事务等。尽管已参照 一个实施例描述和揭示了本发明，但如上所述，显然可以进行各种变化和修改， 诸如用公开密钥代替私人密钥。因此，意图是使以下的权利要求书覆盖每一种落 在本发明真实精神和范围内的变化和修改。

个人邮局(Personal Post Office)是Pitney Bowes股份有限公司的商标。