説明

郵便物処理のオープンシステムにおける事故回復のためのシステム及び方法

【課題】ボールトに動作的に結合されているホストプロセッサを含む処理システム内のボールトデータを確実にバックアップし、信頼できるように回復するシステム及び方法を提供する。
【解決手段】ボールトは、取引を完了すると、増額レジスタ、減額レジスタ、及び郵便物カウントを含むボールトデータに暗号で署名し、この暗号で署名したボールトデータをホストプロセッサへ送る。ホストプロセッサは、それをそのボールトに割当てられたデータファイル内に格納する。暗号で署名されたボールトデータの各格納には索引が付けられ、ボールト取引の履歴ログが作成される。もしボールトが紛失するか、損傷してボールトデータをボールトから回復できなくなれば、暗号で署名されたボールトデータはホストプロセッサデータファイルから回復され、検証される。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、進歩した郵便料金支払いシステムに関し、より詳しくは事前に計算された郵便料金支払い情報を有する進歩した郵便支払いシステムに関する。
関連出願
本発明は、米国特許出願(代理人ドケット E-415、E-416 、E-417 、E-418 、E-419 、E-4121、E-444 、E-452 、E-463 、及び E-466)に関連している。
【背景技術】
【0002】
暗号化された情報を郵便物上に印刷するために、ディジタルプリンタを使用する郵便料金処理(metering)システムが開発されている。これらの処理システムは、現在では米国郵政公社によってクローズドシステム又はオープンシステムの何れかとして類別されている。クローズドシステムでは、システムの機能は処理動作のみに専用される。クローズドシステム処理装置は、処理機能又は会計機能に機密保護的に結合されている専用プリンタを含んでいる。クローズドシステムでは、プリンタはメータ(meter) に機密保護的に結合され、かつ、専用されているから、印刷は会計なしでは行うことはできない。オープン処理システムでは、システムの機能は処理動作のみに専用されてはいない。オープンシステム処理装置は処理動作に専用ではないプリンタを含んでいるので、システムの機能は、処理機能に加えて多くの異なる用途に対して自由である。オープンシステム処理装置は、安全保護された会計モジュールに機密保護されずに結合されている非専用プリンタを有する郵便料金証明デバイス(PED)である。
【0003】
典型的には、ある郵便物の郵便料金の値は、他のデータと共に暗号化されてディジタルトークンにされ、このディジタルトークンは郵便物上に印刷される郵便料金別納証印を生成するのに使用される。ディジタルトークンは、郵便物上に印刷された情報を認証する暗号化された情報(郵便料金の値を含む)である。ディジタルトークンを生成し、使用するシステムの例は、米国特許第 4,757,537号、4,831,555 号、4,775,246 号、4,873,645 号、及び 4,725,718号に開示されている。これらのシステムは、暗号化アルゴリズムを使用して選択された情報を暗号化し、各郵便物毎に少なくとも1つのディジタルトークンを生成する。情報を暗号化すると、トークンをどのように悪用しても適切な検証手順によって検出できることから、印刷された情報の変更を防ぐ安全保護が得られる。
【0004】
ディジタルトークンの一部として暗号化できる典型的な情報は、発信郵便番号(コード)、販売者識別、PEDを識別するデータ、郵便物カウント、郵便料金金額、日付、及び(オープンシステムの場合には)宛て先郵便番号を含む。まとめて「郵便データ」と称するこれらの情報の項目は、秘密キーを用いて暗号化されて郵便物上に印刷されると、極めて高いレベルの安全保護を与え、郵便収益ブロック又は宛て先郵便番号をどのように意図的に変更しても検出することが可能になる。郵便収益ブロックとは郵便物上に印刷される画像のことであって、郵便料金が支払われたことを証明するために使用されるディジタルトークンを含んでいる。「郵便データ」は、郵便収益ブロック内に暗号化された形態、及び暗号化されない形態の両方で印刷することができる。「郵便データ」は、ディジタルトークンを発生させるための秘密キーを使用する暗号変換計算である「ディジタルトークン変換」への入力として役立つ。「ディジタルトークン変換」の結果、即ちディジタルトークンは、「計算プロセス」が完了しなければ使用することはできない。
【0005】
処理システム内に格納されている取引データは、典型的には、例えば増額レジスタ、減額レジスタ、郵便物カウント、及び各メータの取引毎に高度の完全性を維持しなければならない他の必要情報を含む。これらのデータは、メータが故障した場合、またはメータを紛失した場合に、ユーザに返済するために必要になり得る。
従来は、メータ内のデータの完全性は、冗長非揮発性メモリを使用して維持していた。もしメータが破損すれば、このデータを回復して検証しなければならない。回復するには、メータを開けてメモリチップにクリップを取付け、メモリ内のデータを直接読み取ることが多かった。
オープン処理システムの場合の処理ユニットは、スマートカードまたはPCMCIA( Personal Computer Memory Card International Association ) カードのような携帯用装置であることができる。携帯用処理ユニットは、クローズド処理システムにも使用することができる。これらの携帯用カードは、その携帯用カードを紛失したり、または取引記録が受容できない程損傷を受けている場合には、取引データの回復に問題が生じる。
【図面の簡単な説明】
【0006】
【図1】本発明を動作させることができるPCをベースとする処理システムのブロック線図である。
【図2】PC内に着脱可能なボールトカード及びDLLを含む、図1のPCをベースとする処理システムの概要図である。
【図3】ディジタルトークンを発行し、格納するためにボールトとの会話を含む、図1のPCをベースとする処理システム内のDLLのブロック線図である。
【図4】取引記録に署名し、格納するボールトプロセスの流れ図である。
【図5】図1のPCをベースとする処理システム内の取引収集サブモジュールの流れ図である。
【図6】ボールトカードが破損または紛失した時の回復プロセスの流れ図である。
【発明の概要】
【課題を解決するための手段】
【0007】
本発明は、オープンシステムにおける事故回復のためのシステム及び方法を提供する。オープン処理システムのボールト(vault) は、ボールト内に郵便料金の残額、及び印刷済郵便料金の会計情報を含んでいるので安全保護された装置でなければならない。しかしながら、安全保護の本質上、動作不良が発生した場合に郵便料金資金の回復が困難であり、ボールトは通常の動作によってアクセスすることはできない。本発明は、ユーザのパーソナルコンピュータ(PC)のハードディスクを使用してボールトの会計情報をバックアップすることによって、PCメータシステムの信頼性を向上させる。これは、たとえボールトが動作不良になったり、または紛失したりしても、会計調停のような若干の機能を遂行できるという利点を提供する。このようなバックアップは、普通の郵便料金メータにおいては使用不能である。
【0008】
さらなる安全保護のために、ハードドライブ上に格納させる前に、バックアップ取引データをボールトによって暗号で署名し、不正操作されないようにすることができる。ハードドライブ上に維持される取引の数は、ハードドライブ上の使用可能な格納空間によってのみ制限される。最後の再充足入金以降の少なくとも全部の取引をバックアップとして維持することが好ましい。
本発明の上述した、及び他の目的及び長所は、以下の添付図面に基づく説明から明白になるであろう。なお、全図面を通して同一部品に対しては同一の番号を付してある。
【実施例】
【0009】
図1及び2に示すオープンシステムPCベース郵便料金メータ(meter) 10(PCメータシステムともいう)は、郵便料金資金を格納している着脱可能な処理装置、即ち電子ボールト20に対するホストとして動作するように構成されている普通のパーソナルコンピュータを備えている。本明細書において使用するパーソナルコンピュータなる用語は一般的な呼び方であり、表示装置及びキーボードのようなユーザインタフェース手段、及び格納媒体に動作的に結合されている少なくとも1つのプロセッサを有する現在及び未来のマイクロプロセッシングシステムのことである。パーソナルコンピュータは2人以上の多くのユーザによってアクセス可能なワークステーションである場合がある。
【0010】
PCメータシステム10は、パーソナルコンピュータとそのプリンタとを使用して封筒上に郵便料金を印刷し、同時に受信者の住所を印刷するか、又は返信用住所を記載済の封筒又は大きい郵便物のためのラベルを印刷する。以下に、本発明の好ましい実施例を郵便料金処理システムに関して説明するが、本発明は取引証明を含むどのような価値の処理システムにも適用できることを理解されたい。
PCをベースとする郵便料金メータ10は、パーソナルコンピュータ12、表示装置14、キーボード16、及びレーザまたはインクジェットプリンタであることが好ましい、機密保護されていないディジタルプリンタ18を含んでいる。PC12は、Intel 製の 80486及び Pentiumプロセッサのような普通のプロセッサ22と、普通のハードドライブ24と、フロッピードライブ26と、メモリ28とを含んでいる。PCMCIAカード30のような着脱可能なカード内に収容されている電子ボールト20は、郵便料金資金管理、ディジタルトークン生成、及び伝統的な会計機能のための安全保護用暗号装置である。PCメータシステム10はモデム29をもオプションで含み、このモデムはPC12内に配置することが好ましい。モデム29は、資金を再チャージ(借方または貸方記入)するために、郵政公社または郵便認証販売者と通信するのに使用することができる。モデムによるこのような通信に関しては、米国特許第 4,831,555号を参照されたい。代替実施例では、モデムはPCMCIAカード30内に配置することができる。
【0011】
PCメータシステム10は、「ウィンドウズ」をベースとするPCソフトウェアモジュール34(図3及び4)を更に含み、このモジュールには、普通の「ウィンドウズ」をベースとするワードプロセッシング、データベース、及びスプレッドシート応用プログラムからアクセス可能である。PCソフトウェアモジュール34は、ボールトダイナミックリンクライブラリ(DLL)40、ユーザインタフェースモジュール42、及び処理機能を制御する複数のサブモジュールを含んでいる。DLLは、「ウィンドウズ」をベースとするプログラム内で使用される応用プログラミングインタフェース(API)である。本発明が、「ウィンドウズ」をベースとするプログラム以外に、対応するAPIと共に使用するのにも適していることは明白であろう。
【0012】
DLLモジュール40は、ボールト20と機密保護された通信をし、ユーザインタフェース42を通して「マイクロソフト・ウィンドウズ」をベースとする応用プログラムへのオープンインタフェースを提供する。またDLLモジュール40は、証印画像及びボールトの郵便資金の使用のコピーを安全に格納する。ユーザインタフェースモジュール42は、封筒又はラベルのようなドキュメント上に郵便収益ブロックを印刷するために、DLLモジュール40から電子証印画像へアクセスする応用プログラム36を供給する。更にユーザインタフェースモジュール42は、遠隔再充足入金を開始し、管理機能を遂行する能力を与える応用プログラムをも供給する。
以上のように、PCをベースとするメータシステム10は、関連プリンタを有する普通のパーソナルコンピュータとして動作し、ユーザの要求があると郵便料金メータになる。プリンタ18は、パーソナルコンピュータが通常印刷している全てのドキュメントを印刷する(手紙及び封筒の宛て名の印刷、及び郵便料金別納証印の印刷を含む)。
【0013】
PCをベースとするメータシステム10のキー要素に関しては、PCをベースとするメータシステム10の動作の説明の後に説明することとする。ディジタルトークン生成プロセスの詳細に関しては、米国特許出願(代理人ドケット E-416、E-416 、及び E-416)に開示されており、参考として本明細書にその全体が含まれている。
ボールトはPCMCIA I/O装置、又はカード30内に収容されており、PC12内のPCMCIAコントローラ32を通してアクセスされる。PCMCIAカードは、PCMCIAの標準仕様に適合するクレジットカードサイズ周辺装置またはアダプタである。
図2及び3を参照する。PCMCIAカード30は、マイクロプロセッサ44、非揮発性メモリ(NVM)46、クロック48、暗号化モジュール50、及び会計モジュール52を含んでいる。暗号化モジュール50は、NBSデータ暗号化標準(DES)、又は別の適当な暗号化計画を実現することができる。好ましい実施例では、暗号化モジュール50はソフトウェアモジュールである。暗号化モジュール50は、マイクロプロセッサ44に接続されている別のチップのような分離した装置であることもできることは理解されよう。会計モジュール52は、増額及び減額レジスタ、並びに発信郵便番号(ジップコード)、販売者識別、PCをベースとする郵便料金メータ10を識別するデータ、PCをベースとする郵便料金メータ10が生成した郵便収益ブロックの一連郵便物カウント、郵便料金の金額、及び郵便公社への委託日付のような郵便データを組み入れたEEPROMであることができる。公知のように、処理ユニット内の増額レジスタは消費された(即ち、ボールトが振出した)郵便料金の金額を記録し、減額レジスタは郵便料金が振り出される度に減額される値(即ち、処理ユニット内の郵便料金の残額)を記録する。
【0014】
ボールトのハードウェア設計は、PCMCIAコントローラ32を通してホストプロセッサ22と通信するインタフェース56を含む。物理的な安全保護を付加するために、暗号化を遂行して暗号キーを格納するボールト20の構成要素(マイクロプロセッサ44、ROM47、及びNVM46)は、不正操作を防止するように製造された同一集積回路デバイス/チップ内にパッケージすることが好ましい。このようにパッケージすると、NVM46の内容は暗号化プロセッサ以外は読み出すことができなくなり、その集積回路デバイスの外部からはアクセスできなくなる。代替として、カード30全体を、不正操作を防止するように製造してもよい。
DLL40の機能が、PCをベースとするメータ10のキー要素である。DLL40は、実行可能なコード、及びPC12のハードドライブ24内に常駐するデータ格納領域41の両方を含んでいる。「ウィンドウズ」環境においては、ワードプロセッシング及びスプレッドシートプログラムのような応用プログラム36の大部分は、1またはそれ以上のダイナミックリンクライブラリ(dynamic link library)を使用して互いに通信し合う。PCをベースとするメータ10は、処理に含まれる全ての工程をカプセル封じし、ダイナミックリンクライブラリを使用できる全ての「ウィンドウズ」をベースとする応用からボールト20へのオープンインタフェースを提供する。どの応用プログラム36も、DLL40を通してPCMCIAカード30内のボールトマイクロプロセッサ44と通信することができる。
DLL40は、機密保護通信サブモジュール60、取引収集サブモジュール62、安全保護証印画像作成及び格納サブモジュール64、及び応用インタフェースモジュール66のようなソフトウェアサブモジュールを含んでいる。本発明は、以下に説明する取引収集サブモジュールに関している。PCメータシステム10に関しては、米国特許出願(代理人ドケット E-421)により詳細に開示されている。
【0015】
ハードドライブ上のバックアップ
ボールト20は、ボールト内の郵便料金の残額及び印刷済郵便料金の会計情報を含んでいることから、安全保護装置でなければならない。しかしながら、安全保護の本質上、動作不良が発生した場合には郵便資金の回復は困難であり、ボールトは通常の動作によってアクセスすることはできない。本発明は、ユーザPCのハードディスクを使用してボールトの会計情報をバックアップすることによって、PCメータシステムの信頼性を向上させる。前述したように、取引収集サブモジュール62は、バックアップファイルとして取引ファイルをハードドライブ24上に格納している。これは、たとえボールトが動作不良になっても、会計調停のような若干の機能を遂行できるという利点を提供する。このようなバックアップは、普通の郵便料金メータにおいては使用不能である。
【0016】
さらなる安全保護のために、ハードドライブ24上に格納する前に、バックアップ取引データを暗号化して不正操作されないようにすることができる。ハードドライブ24上に維持されている取引の数は、ハードドライブ24上の使用可能な格納空間によってのみ制限される。最後の再充足入金以降の少なくとも全部の取引をバックアップとして維持することが好ましい。
本発明の好ましい実施例においては、取引記録はメータによって暗号で署名され、メータに関連している取引記録ファイル内のハードドライブ24上に格納される。このように取引記録に署名することによって、ユーザがデータを変更したとしても必ず検出されるようになる。もしユーザがデータの古い値を再現しようとすれば、それはメータ内に残っているどのデータとも一致せず、またメータで支払われた最新郵便物の郵便物カウントと一致しなくなる。署名されたデータはメータベース内に格納することができる。このようにして、本発明はハードドライブ上に格納された署名済データに基づいて、メータの紛失、盗難、または破損に対して資金を信頼できるように回復するシステム及び方法を提供する。同じような機能は、着脱可能なボールトを有するクローズドシステムメータにも設けることが可能である。
【0017】
メータ取引記録データは、例えばメッセージ認証コード(MAC)を使用して暗号で署名される。署名済データはハードドライブ24内の隠れファイル内に格納される。(着脱可能なボールトを有するクローズド処理システムの場合には、署名済データはメータベース内に格納されよう。)PC12のハードドライブ上に格納されたデータは、回収されると、データセンターの最新記録に対して、また記録された最新郵便物カウントに対して検証することができる。ユーザがハードドライブ24上のデータを変更したとしても、それは必ず検出される。もしユーザがデータを削除すれば、資金は回復不能になる。
もしボールト20が紛失したか、または盗難にあったことが報告されれば、ハードドライブ24上の署名済データを使用して、資金の損害を識別することができる。データの認証は、ボールト20によって署名を検証することにより調べることができる。データの新しさは、署名済データ内の郵便物カウントと、郵送した最新郵便物の1つの上の郵便物カウントとを比較することによって調べることができる。例えば、もし郵便公社が証印を頻繁に調べ、各メータ毎に最新郵便物カウントを記録していれば、郵便公社記録を使用してデータの新しさを認証することができる。もしデータセンタがボールト20の最新再充足入金時の郵便物カウントの値を記録していれば、このデータもハードドライブ24上に格納されているバックアップデータの新しさの証明を与えることになる。
【0018】
隠れファイル内の署名済データは、証印が処理される度に更新するか、または履歴取引記録ファイル内に累積することができる。
図4に、取引記録に暗号で署名するプロセスを示す。段階200において取引記録が作成される。これは、例えばボールト20がディジタルトークンを発行した時に、またはボールト20が再充足入金された時に遂行される。段階202において、例えば製造者が、ボールト20内に格納されている取引暗号化キーを入手し、段階204において取引記録にディジタル的に署名する。署名済取引記録はボールト20内に格納され、段階206においてPC12内のDLL40へ送られる。段階208において、署名済取引記録はハードドライブ24上の見えないDLL格納ファイル41内に格納される。段階208の詳細に関して、以下に説明する。
【0019】
本発明によれば、「取引収集」サブモジュール62はボールト20から受信した各取引記録を収集し、取引記録をDLL40及びハードドライブ24上のDLL格納領域41内に記録する。もしハードドライブ24上に余地があれば、これらの取引収集は複数の異なるボールト別に格納することができる。図5を参照する。通信セッションが確立された時点から、段階120において「取引収集」サブモジュール62は、メッセージトラフィックを監視し、トークン生成及び再充足入金のために各取引記録を選択的に収集し、段階124においてこれらの取引記録をDLL40内に格納し、段階126においてDLL格納領域41内の見えない、そして書き込み保護されたファイル83内に格納する。各取引記録毎に格納される情報は、例えば、ボールト一連番号、日付、郵便物カウント、郵便料金、使用可能な郵便資金(減額レジスタ)、トークン、宛て先郵便番号、及びブロックチェック文字を含む。PC12が開始した所定数の最新記録が、索引付き履歴ファイルであるファイル83内に格納される。好ましい実施例では、ファイル83は郵便物カウントに従って索引付けされるが、探索は受信人情報に従って行われる。ファイル83は、暗号化キー及び構成パラメタを除いて、取引時におけるボールト20の鏡像を表している。ハードドライブ24上に取引記録を格納することによって、以下に説明するバックアップ能力が与えられる。
【0020】
図6に、ボールト20から情報を読み出すことができない時に、ボールト情報を回復するプロセスを示す。段階220において、見えない取引記録ファイルがハードドライブ24上のDLLファイル41から読み出される。段階222において、トークンが発行された時にボールト20内の取引記録に署名するのに使用された暗号化キーが、例えば製造者または「データセンタ」のようなエスクロウ保有(escrowed holding)から検索される。段階224において、好ましくは各取引記録の署名が検査されるが、この検査は、全ての取引記録でなくとも十分であると考えられる。段階226において、検査した全ての署名が正しいか否かが決定される。もし正しくなければ、プロセスは段階228に進んで、DLL格納ファイル41が変更されていることを指示する。もし正しければ、段階230において、最後に記録された増額レジスタ、減額レジスタ、及び郵便物カウントが決定される。段階232において、DLL格納ファイル41から読み出された増額レジスタと、再充足入金「データセンタ」データベース内の減額レジスタとが比較される。もし同一でなければ、段階234において、そのファイルは、不正操作が行われたことを指示する古いものであると見做される。もし同一であれば、段階236において、DLL格納ファイル41から読み出された郵便物カウントが郵便物上で検査された最高郵便物カウントと比較される。もし検索された郵便物カウントが検査された郵便物カウントよりも小さいと判断されれば、段階234において、そのファイルは古いものであると見做される。もし小さくないと判断されれば、段階238において、そのファイルは信頼できるものと見做され、検索された情報はボールト20の代わりに使用される。
【0021】
以上説明したように、普通の郵便料金メータのようにメータ内にメータ取引を格納する他に、本発明は取引記録を安全な手法でPCハードドライブ上にも格納する。このようにすることによって本発明は、ボールトカードを紛失したり、該カードが盗難にあったり、または情報を検索できない程損傷した場合に、事故回復のための手段を提供する。
以上に本発明をその一つの実施例に関して説明したが、上述したように種々に変化及び変更できることは明白であろう。従って、これらの変化及び変更は全て本発明の思想及び範囲によってカバーされているものと考えるものである。
【符号の説明】
【0022】
10 PCをベースとする郵便料金メータ(PCメータシステム)
12 パーソナルコンピュータ(PC)
14 表示装置
16 キーボード
18 プリンタ
20 電子ボールト
22 プロセッサ
24 ハードドライブ
26 フロッピードライブ
28 メモリ
30 PCMCIAカード
32 PCMCIAコントローラ
34 PCソフトウェアモジュール
36 応用プログラム
40 ダイナミックリンクライブラリ(DLL)
41 データ格納領域(DLL格納ファイル)
42 ユーザインタフェースモジュール
44 マイクロプロセッサ
46 非揮発性メモリ(NVM)
47 ROM
48 クロック
50 暗号化モジュール
52 勘定モジュール
80 機密保護通信サブモジュール
82 取引収集サブモジュール
83 見えない、書き込み保護ファイル
84 安全保護証印画像作成及び格納サブモジュール
86 応用インタフェースモジュール

【特許請求の範囲】
【請求項1】
電子ボールトを含む郵便料金処理装置であって、
前記電子ボールトは、郵便料金データを会計処理する会計モジュール、前記郵便料金データを暗号化して保護する手段、及び、安全な事故回復のデータファイルとして格納するために前記電子ボールトから暗号化により保護された郵便料金データを送信する手段を含んでおり、
前記郵便料金データには、少なくとも、前記電子ボールトによって消費された郵便料金資金の金額が含まれていることを特徴とする郵便料金処理装置。
【請求項2】
さらに、データ格納手段を備えたホストプロセッサを含んでおり、前記ホストプロセッサは前記電子ボールトと動作的に通信して前記暗号化により保護された郵便料金データを前記電子ボールトから受信し、前記ホストプロセッサが当該暗号化により保護された郵便料金データを安全な事故回復のデータファイルとして前記データ格納手段に格納することにより、前記電子ボールトの前記郵便料金データを利用できな場合に郵便料金データの安全な回復を可能にする、請求項1に記載の郵便料金処理装置。
【請求項3】
前記電子ボールトは増額レジスタ、減額レジスタ及び郵便物カウントを追跡するする手段を含むとともに、前記暗号化により保護された郵便料金データには、前記増額レジスタのデータ、前記減額レジスタのデータ及び郵便物カウントのデータが含まれている、請求項2に記載の郵便料金処理装置。
【請求項4】
前記ホストプロセッサ及びデータ格納手段は、前記電子ボールトと動作的に通信するパーソナルコンピュータの一部である、請求項3に記載の郵便料金処理装置。
【請求項5】
前記電子ボールトは、前記パーソナルコンピュータと着脱可能に接続される携帯用ボールトカードである、請求項4に記載の郵便料金処理装置。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate

【図6】
image rotate


【公開番号】特開2010−146585(P2010−146585A)
【公開日】平成22年7月1日(2010.7.1)
【国際特許分類】
【出願番号】特願2010−10071(P2010−10071)
【出願日】平成22年1月20日(2010.1.20)
【分割の表示】特願平8−359644の分割
【原出願日】平成8年12月19日(1996.12.19)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.PENTIUM
2.フロッピー
【出願人】(592006866)ピットニイ ボウズ インコーポレイテッド (2)
【氏名又は名称原語表記】PITNEY BOWES INCORPORATED