CN105900148A

CN105900148A - 时间同步

Info

Publication number: CN105900148A
Application number: CN201480063063.XA
Authority: CN
Inventors: 克里斯蒂安·卡斯滕斯; 克里斯托夫·道茨; 约亨·扬森; 拉明·本茨; 亚历山德拉·德米特里恩科; 斯坦尼斯拉夫·布雷金; 马库斯·利珀特
Original assignee: Deutsche Post AG
Current assignee: Deutsche Post AG
Priority date: 2013-12-05
Filing date: 2014-12-04
Publication date: 2016-08-24
Anticipated expiration: 2034-12-04
Also published as: US9852567B2; DE102014105246A1; EP3043684A1; EP3047459B1; EP3047459A1; US9959692B2; EP3053149B1; WO2015082617A1; DE102014105247B4; CN105793898A; EP3053149A1; US9940768B2; CN105900148B; EP3043684B1; EP3077998B1; DE102014105245A1; US11132856B2; DE102014105247A1; CN106028881B; CN105793875B

Abstract

本发明尤其涉及一种使用第一装置(69)执行的方法。该方法具有以下步骤：获得被传达至该第一装置(69)的时间信息；执行以下测试中的一项或多项：测试以确定该第一装置(69)是否处于初始操作之后、电池替换或其他电力中断之后、或者重置之后的状态中，测试以确定时钟的时间信息与所传达的时间信息之间的偏差是否小于或者小于或等于规定的、或根据规定的规则确定的阈值，并且测试以确定所传达的时间信息是否具有与该时钟的该时间信息相同的日期；并且如果一个或多个预定的条件中的所有条件被满足的话则使用所传达的时间信息同步该时钟，其中，该一个或多个条件中的一个条件要求该一项或多项被执行的测试中的至少一项测试具有肯定结果。本发明另外涉及一种在第二装置(68、61)上执行的相应方法、涉及被分配给该方法的多种计算机程序、并且涉及一种包括所述装置(61、68、69)的系统(6)。

Description

时间同步

技术领域

本发明的示例性实施例涉及一种用于同步第一设备的时钟的方法、一种用于将时间信息从第二设备传达至第一设备的方法、以及相应的设备、计算机程序和包括这些设备的系统。本发明的示例性实施例具体地涉及通过由便携式电子设备传达的时间信息同步访问控制设备的时钟。

背景技术

访问控制设备用于各个方面，例如控制人如在酒店、办公综合楼或实验室的情况中对建筑物中的房间的访问，例如对事件或者甚至对抽象形式的功能、资源或服务(例如，计算机功能或计算机资源或服务器服务)的访问。

访问控制设备的一个特定的应用还通过控制人访问容器(如，例如，保险箱或物品递送容器，具体为包裹盒)的开口而形成。包裹盒允许即使当其不在场时仍希望在其住宅处或附近接收或发送包裹的人递送/拾取包裹的新颖形式。为此，包裹盒通常被安装在包裹盒用户的住宅前方-类似于邮箱的方式，但是具有更大的接收体积-并且包裹然后由递送代理通过将其放置于包裹盒中而被递送或者通过将其从包裹盒中取出而被拾取。为了防止误用和盗窃，包裹盒需要上锁。递送代理和包裹盒用户两者然后都需要配备有物理的或电子的密钥以便能够使用包裹盒。电子密钥可以被存储为例如在被称为令牌上、例如在移动电话或RFID标签上的数据记录。

发明内容

使用电子密钥根本上令人期望的是使这些密钥的有效时间段能够被限制从而使得在同意的或确认的使用时间已经过去之后电子密钥可以继续被正确地使用。为此目的，电子密钥可以包括一个或多个访问授权参数，例如，该一个或多个访问授权参数定义了在其期间密钥可以用于对锁进行操作的时间段。为了作为访问授权检查的一部分执行的以便确定此时间段是否还未过去的检查，该锁需要时钟。然而，特别地电池供电锁的时钟没有无关紧要的目标时间偏差(例如，每月几分钟的数量级)，从而使得确保锁的时钟与生成定义了密钥的使用时间段的访问授权参数的设备的时钟的同步需要提供选项用于同步锁的时钟。

进一步地，诸位发明人已经认识到，在访问控制设备的时钟的同步的背景下，不存在可以被黑客利用以便获取未授权访问的无关紧要的操纵机会。具体地，可以进行尝试以关于时间再次通过将锁的时钟与在针对已经过去的密钥的使用间隔中的(错误)时间同步而重新激活已经过去的密钥。

因此，本发明完成了克服这些问题并且用目标时间偏差提供同步时钟的安全方式的目标。

根据本发明的第一方面，披露了一种由第一设备执行的方法，该方法包括以下各项：

-获得被传达至第一设备的时间信息，并且

-执行以下检查中的一项或多项：

-检查以确定第一设备是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中，

-检查以确定来自时钟的时间信息与所传达的时间信息之间的偏差是否小于或者小于或等于预定的、或根据预定的规则而确定的阈值，

-检查以确定所传达的时间信息是否具有与来自时钟的时间信息相同的日期，

-如果一个或多个预定的条件中的所有条件被满足的话则使用所传达的时间信息对时钟进行同步，其中，该一个或多个条件之一要求该一项或多项执行的检查中的至少一项产生肯定结果。

根据本发明的第一方面，另外披露了第二设备用于将时间信息传达至根据本发明的第一方面的第一设备的用途。

根据本发明的第二方面，披露了一种由第二设备执行的方法，该方法包括以下各项：

-将使用第二设备的时钟获得的时间信息传达至第一设备，以便使得第一设备能够执行以下检查中的一项或多项：

-检查以确定来自第一设备的时钟的时间信息与所传达的时间信息之间的偏差是否小于或者小于或等于预定的或根据预定的规则确定的阈值，

-检查以确定所传达的时间信息是否具有与来自第一设备的时钟的时间信息相同的日期，

其中，如果一个或多个预定的条件中的所有条件被满足的话则第一设备使用所传达的时间信息对其时钟进行同步，该一个或多个条件之一要求该一项或多项执行的检查中的至少一项产生肯定结果。

根据本发明的这些方面中的每个方面，另外披露以下各项中的每一项：

-一种计算机程序，该计算机程序包括多条程序指令，这些程序指令在该计算机程序在处理器上运行时致使该处理器执行和/或控制根据本发明的各方面所述的方法。在本说明书中，处理器旨在被理解为尤其意味着控制单元、微处理器、微控制单元，如微控制器、数字信号处理器(DSP)、专用集成电路(ASIC)或现场可编程序门阵列(FPGA)。在这种背景下，或者有可能控制该方法的所有步骤或执行该方法的所有步骤、或者控制一个或多个步骤并执行一个或多个步骤。举例来讲，计算机程序可以经由网络(如互联网、电话网络或移动无线电网络和/或局域网)是可分布的。计算机程序可以至少部分地是处理器的软件和/或固件。其可以等同地至少部分地实现为硬件。举例来讲，计算机程序可以被存储在计算机可读存储介质上，例如，磁的、电的、电磁的、光的和/或其他类型的存储介质。举例来讲，存储介质可以是处理器的一部分，例如，处理器的(非易失性或易失性)程序存储器或其一部分。

-一种设备，该设备被配置成用于执行和/或控制根据本发明的各方面所述的方法或者包括用于执行根据本发明的各方面所述的方法的这些步骤的对应的装置。在这种背景下，或者可以控制该方法的所有步骤或可以执行该方法的所有步骤、或者可以控制一个或多个步骤并且可以执行一个或多个步骤。这些装置中的一个或多个装置也可以由相同的单元执行和/或控制。举例来讲，这些装置中的一个或多个装置可以由一个或多个处理器形成。

-一种设备，该设备包括至少一个处理器以及至少一个包含程序代码的存储器，其中，该存储器和该程序代码被配置成用于致使具有至少一个处理器的设备来至少执行和/或控制根据本发明的各方面所述的方法。在这种背景下，或者可以控制该方法的所有步骤或可以执行该方法的所有步骤、或者可以控制一个或多个步骤并且可以执行一个或多个步骤。

根据本发明的第三方面，披露了一种系统，该系统包括以下各项：

-根据本发明的第一方面的第一设备，以及

-根据本发明的第二方面的第二设备。

举例来讲，在用于递送和/或拾取货物的系统中使用本发明的第一、第二和第三方面。

在一些示例性情况中，本发明的这三个方面尤其具有以下描述的这些特性。

举例来讲，此第一设备可以是访问控制设备或其一部分。访问控制设备用于执行访问控制，例如，控制对建筑物(例如，酒店、办公综合楼、实验室)中的房间或设备、对事件(例如，音乐会、体育事件)、对功能(例如，计算机的功能，例如，经由登录)、对资源或对服务(例如，由服务器提供的服务，例如，网上银行、社交网络、电子邮件账户)的访问。例如，对设备中的空间的访问的示例是对储藏设备的储藏空间的访问，如，例如，保险箱、储物柜、冰箱、物品递送容器、邮箱、包裹盒或组合式邮件包裹盒，其中的每一个由门关闭并且由锁紧装置使之安全。

举例来讲，访问控制设备可以是一个或多个处理器，该一个或多个处理器可以控制一个或多个锁紧装置(例如，可电致动锁)并且因此例如致使打开和/或关闭该锁。例如，该锁可以配备有卡扣功能，从而使得访问控制设备仅需控制锁的打开(例如借助于电动机例如通过至少间歇地将卡扣切换至打开状态)，而该锁是由用户借助于后者使用卡扣功能并且例如通过关紧门、驱使卡扣从关闭状态切换至打开状态并且在关紧已经结束之后该卡扣例如借助于弹簧负载再次自动地返回至关闭位置而被手动地关闭的。

访问控制设备还可以包括关闭装置和另外的部件。访问控制设备可以是控制对其的访问的设备(例如，储藏设备)的一部分。举例来讲，例如，访问控制设备可以是电池供电的并且没有特别恒定的电气连接。

举例来讲，例如，第一设备可以被配置从而使得在操作期间其被专门地配置成用于与第二设备(例如，访问授权验证设备)进行通信(具体为用于获得时间信息)，而不被配置成用于与第三设备(例如，访问授权生成设备)进行通信。举例来讲，例如，第一设备未连接至移动无线电网络、局域网(LAN)、无线局域网(WLAN)或互联网，并且其因此是“离线”设备。举例来讲，第一设备的无线通信可以被配置成用于与在靠近第一设备周围(例如，低于100m)中的设备进行通信。举例来讲，第一设备的无线通信可以被限制为借助于射频识别(RFID)和/或近场通信(NFC)和/或蓝牙(例如，蓝牙版本2.1和/或4.0)进行通信。例如，RFID和NFC是基于ISO标准18000,11784/11785和ISO/IEC标准14443-A和15693规定的。蓝牙规范可在www.bluetooth.org上获得。例如，第一设备然而可以具有通用串行总线(USB)接口，该USB接口例如可以用于服务第一设备。

第一设备用于获得传达的时间信息。时间信息具体地从第二设备传达(例如，发送或传输，例如，借助于无线传输，具体为借助于蓝牙)至第一设备。举例来讲，时间信息可以是由第二设备的时钟指示的当前日期、以及一天的当前时间或表示其的值，例如从预定的日期(例如，如指示从1970年1月1日00:00时UTC开始的秒数的Unix时间)开始运行的计数器。例如，时间信息可以具有秒、分钟、小时或只是天的粒度。以此方式，第一设备的时钟可以以简单的方式被同步并且因此不必具有特别高的准确性或者是无线电时钟的形式。然而，例如，第二设备的时钟可以是无线电时钟的形式。替代地，例如，第二设备的时钟可以例如借助于无线地或有线地传输至第二设备的信息被另外的设备同步。例如，该另外的设备然后可以具有无线电时钟。例如，如将在以下更详细解释的，时间信息可以例如至少在同一通信会话中与访问授权信息一起被传达至第一设备。

可以例如通过将传达的时间信息接受为第一设备的时钟的新时间信息使用(获得的)传达的时间信息执行第一设备的时钟的同步。然而，同步与多个条件相关联以便防止不正确地同步至错误的时间。因此，本发明需要当(特别地仅当)一个或多个预定的条件中的所有条件被满足时执行第一设备的时钟的同步。举例来讲，可以因此仅有一个或多个条件被预定，但是在两种情况中，这些预定的条件中的所有条件然后必须在各自的情况中被满足。一个或多个预定的条件中的一个条件(另外的条件稍后被讨论)要求来自一项或多项执行的检查中的一项检查产生肯定结果(也就是说，与该检查有关的问题必须得到肯定的回答)。有可能仅有一项检查被执行，或者多项检查可以被执行。然而，不管多少项检查被执行，这些检查中的至少一项检查必须具有肯定结果从而使得该一个或多个条件中的一个条件被满足。

该一项或多项检查具体包括以下检查，这些检查被连续地编号以简化讨论，然而，例如，这不旨在指示针对检查的优选的或规定的顺序：

-第一检查用于确定第一设备是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中，

-第二检查用于确定来自时钟的时间信息与所传达的时间信息之间的偏差是否小于或者小于或等于预定的或根据预定的规则确定的阈值，

-第三检查用于确定所传达的时间信息是否具有与来自时钟的时间信息相同的日期。

在这种情况中，记法“小于或等于”指示已知的关系“≤”。

举例来讲，例如在第一设备的操作期间使用的第二和第三检查彼此是可替换的(也就是说，举例来讲，不是立刻在第一启动、电池更换(或其他电力故障)或重置之后，而是，举例来讲，在这些事件之一以及在这个事件之后的至少一个同步已经发生之后)，以便防止由该同步将第一设备的时钟调整为大于可以为时钟预期的目标时间偏差的可能不正确的范围中。相比之下，第一检查是针对多个情况定做的，在这些情况中，例如在第一启动、电池更换(或其他电力故障)或者重置之后在第一设备的时钟与所传达的时间信息之间必然产生更大的偏差。针对这些事件，例如，如果第一设备的时钟被设置为标准时间或者为上一次同步的(存储的)时间并且然后从这个标准时间或时间开始运行，那么关于后续的同步尝试有很大的可能性使得所传达的时间信息与来自第一设备的时钟的时间信息大大地不同。然而为了这些特殊情况中的(初始)同步，因此许可同步发生。可选地，然而，如稍后将解释的，在此有可能强加另外的条件使得同步可以仅在未来的方向上而不是在过去的方向上调整来自第一设备的时钟的时间信息。这考虑了以下假设，即，与事件发生的时间相比标准时间或上一次同步的时间将通常是在过去。

举例来讲，针对第一检查，有可能使用与已经发生的同步相关的信息，以便决定第一设备是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中。举例来讲，这类信息在初始启动时可能还未被存储在第一设备中和/或即使其在如电池更换或其他电力故障或者重置之后存在于第一设备中也可以被擦除。这可以仅仅是指示至少一个同步已经发生的设置位(或寄存器)，或者举例来讲可以是对同步的数量进行计数和/或(例如，用时间戳)存储了与对应的同步相关的信息的一条更详细的信息。由于检查以确定这类信息是否被存储在第一设备中，然后有可能决定第一设备是否处于所例举的这些状态之一中。

第二检查可以涉及将偏差确定为例如两条时间信息之差的绝对值。举例来讲，预定的阈值可以是被规定过一次并且然后一直被使用的阈值。举例来讲，可以通过将第一设备的时钟中的平均目标时间偏差(例如，其从针对时钟的数据单中已知)和估计的同步频率考虑在内而规定阈值。例如，如果第一设备的时钟中的平均目标时间偏差为每月6分钟并且预期至少每两个月进行一次同步，那么阈值可以被选择为例如12分钟(如果需要的话具有几分钟的附加安全裕度)以便在没有用于恶意操纵的大量机会的情况中确保可靠的操作。预定阈值的示例为5、10、15、20或30分钟或者1、2或5小时。举例来讲，阈值围绕来自时钟的时间信息定义了同步间隔，其中，仅当所传达的第二设备的时间信息在此同步间隔中时发生同步(根据第一检查)。这尤其可以防止进行用欺骗的意图将访问控制设备的时钟调整为另一个日期(特别是过去的日期)的尝试，以便然后能够例如使用针对这个其他日期可获得的访问授权信息来获得对访问控制设备的访问。替代地，可以(例如通过第一设备，例如在每次第一检查时)根据预定的规则并且可以在过程中不仅将平均目标时间偏差而且将从上一次同步以来过去的时间考虑在内而(例如动态地)确定阈值，例如以便也覆盖同步发生得没有预期的那么频繁的情况。

如已经提及的，例如，第三检查可以被提供作为第二检查的替代方案(也就是说，在第一设备中仅可以执行第二检查或第三检查中的任一项，而不是两项一起)。第三检查是计算上简单的检查(具体为与第二检查相比)并且其确保第一设备的时钟的日期不可以被提前。例如，这可以是适当的测量关于有待由第一设备检查的访问授权是否在每种情况中具有每日时间有效性。只要所传达的时间信息不致使日期的更改(也就是说，仅在一天之内调整时间)，因此可以许可同步。

这些检查因此确保同步仅在要求确保第一设备的功能性的程度上发生，但是同时几乎不为来自第一设备的时钟的时间信息的恶意操作提供余地。

如以下更精确解释的，时钟还有可能被设置为从来自时钟加上或减去阈值(例如，或根据预定的规则预定的或确定的阈值)的时间信息获得的时间，而不是使用所传达的时间信息对时钟进行同步。在这种情况中，例如，这些检查中没有一项必须实现肯定结果。

然而，如已经提及的，与多个实例或第一至第三检查中的所有检查(例如，第一和第二检查或者第一和第三检查)被执行的场景一样，本发明的第一方面旨在被理解为意味着仅第一检查、仅第二检查或仅第三检查被执行。因此，根据如在有待执行的检查的列表中包括仅第一、仅第二或仅第三检查以及还包括这些检查中的两项或三项检查的所有可能组合的本发明的所有三个方面，本发明也适合于有待被理解为所披露的这些方法、设备、计算机程序和系统，例如，也就是说包括其以下的方法和相应的设备、计算机程序和系统：

·一种由第一设备执行的方法，该方法包括以下各项：获得被传达至第一设备的时间信息；执行以下检查中的一项或多项：检查以确定来自时钟的时间信息与所传达的时间信息之间的偏差是否小于或者小于或等于预定的、或根据预定的规则而确定的阈值；并且如果一个或多个预定的条件中的所有条件被满足的话则使用传达的时间信息对时钟进行同步，其中，该一个或多个条件之一要求该一项或多项执行的检查中的至少一项检查产生肯定结果。

·一种由第一设备执行的方法，该方法包括以下各项：获得被传达至第一设备的时间信息；执行以下检查中的一项或多项：检查以确定第一设备是否处于初始启动之后、电池更换之后或重置之后的状态中；并且如果一个或多个预定的条件中的所有条件被满足的话则使用传达的时间信息对时钟进行同步，其中，该一个或多个条件之一要求该一项或多项执行的检查中的至少一项检查产生肯定结果。

然而，针对这些执行的检查中的至少一项检查的正面检查结果的可用性是用于同步的必要条件(可能包括一个或多个其他条件)。

例如，根据本发明的第二方面所述的将时间信息传达至第一设备的第二设备可以是便携式电子设备。例如，该设备与用户(例如，第一设备或与后者相关联的设备的一个用户)相关联并且因此以下被称为“用户设备”。举例来讲，如果第一设备是访问控制设备，那么第二设备可以既用于将用于同步的时间信息传达至第一设备又用于将访问授权信息传达至第一设备，以便获取对第一设备或对与第一设备相关联的设备的访问。举例来讲，第二设备具有图形用户接口和/或专用的电源。举例来讲，第二设备是移动电话、个人数字助理(PDA)、媒体播放器(例如，iPod)或导航设备。如果第一设备是针对包裹盒的访问控制设备的形式，那么第二设备可以属于包裹盒用户(例如，也就是说包裹盒的所有者)例如或者属于被许可使用包裹盒人以接收包裹或对放置它们以由递送代理拾取。在这个背景下，递送代理不被理解为用户。例如，第二设备被配置成用于例如经由蓝牙和/或RFID和/或NFC与第一设备进行无线通信。举例来讲，第二设备能够使用蜂窝式移动无线电网络(例如，基于全球移动通信系统(GSM)、通用移动电信系统(UMTS)和/或长期演进(LTE)系统的移动无线电网络)进行通信。

举例来讲，具体地如果第一设备作为访问控制设备与包裹盒相关联，那么第二设备可以是递送代理的便携式电子设备。此设备随后被称为“递送代理设备”。举例来讲，第二设备然后具有图形用户接口以及用于无线地从包裹采集信息的功能性，例如借助于光扫描包裹签条和/或例如当包裹具有RFID标签或NFC标签时通过无线电(例如，RFID)或磁场(例如，NFC)从包裹采集信息。举例来讲，第二设备可以能够使用蜂窝式移动无线电网络进行通信，但这也可以不是这种情况。举例来讲，第二设备可以能够使用WLAN和/或使用蜂窝式移动无线电系统(具体为使用GPRS)进行通信。举例来讲，第二设备可以能够使用蓝牙和/或NFC进行通信，例如甚至借助于适当的升级。第二设备的示例是手持式扫描仪，例如，霍尼韦尔LXE Tecton MX7。

如果第二设备(具体为用户设备和/或递送代理设备)借助于蓝牙与第一设备进行通信，那么对第二设备有利的是了解第一设备的介质访问控制(MAC)地址，因为蓝牙通信然后可以在不需要费时的蓝牙配对的情况中开始。

以下基于示例性实施例描述了本发明的进一步特性和优点，其披露内容旨在等同地应用于本发明的所有三个方面以及所有对应的类别(方法、设备/系统、计算机程序)。

在本发明的所有方面的一个示例性实施例中，一个或多个条件中的另一个条件要求第二设备将时间信息传达至第一设备以成功地向第一设备认证其自身。除了至少一个最终正面的检查之外，如果同步旨在发生，则因此有必要存在第二设备的真实性。举例来讲，第一设备可以基于由第二设备传达的信息和存在于第一设备中的信息检查第二设备的真实性。例如，当第二设备的真实性已经被确定时，第一设备可以假定第二设备是其冒充的并且第一设备然后可以信任的那个设备。不管这个关于真实性的检查，尽管第二设备被第一设备标识为可靠的，如果第二设备的用户不正确地使用此第二设备，那么将基本上有可能执行不正确的同步。即使在第二设备的真实性被检查的情况中，针对该同步的这些发明的检查/条件因此是有利的。举例来讲，该真实性检查可以有利地用于检查以确定是否可以基于由第二设备传达的时间信息执行同步并且用于检查以确定从第二设备传达至第一设备的一条访问授权信息是否授权访问第一设备或与其相关联的设备，然而，该真实性检查然后需要被执行仅一次(具体为如果时间信息和访问授权信息两者在同一通信会话中都被传达至第一设备的话)。

举例来讲，向第一设备认证第二设备可以是基于第三密钥，该第三密钥与第四密钥形成对称的或非对称的密钥对，该第四密钥至少在检查第二设备的真实性时存在于第一设备中。举例来讲，密钥对可以是对称的密钥对，这意味着第一密钥和第二密钥是完全相同的。例如，可以根据高级加密标准(AES)、DES(数据加密标准)、数据加密算法(DEA)、三重DES、IDEA(国际数据加密算法)或Blowfish方法(仅举几例)执行使用这种密钥对的加密和解密。例如，可以在伪随机的基础上选择对称密钥。相比之下，关于非对称的密钥对，例如，在基于RSA(李维斯特(Rivest)、沙米尔(Shamir)、阿德尔曼(Adleman))方法或基于根据麦克利斯(McEliece)、拉宾(Rabin)、列维斯特(Chor-Rivest)或厄格玛尔(Elgamal)所述的方法的非对称密钥对的情况中两个密钥是不同的。用于生成对称和非对称密钥、用于生成数字签名、报文认证码(MAC)并且用于加密和解密的多种方法在美国商务部的国家标准技术局(NIST)的出版物“针对密码密钥生成的特殊出版物800-133推荐(Special Publication 800-133Recommendation for Cryptographic Key Generation)”中被规定。

举例来讲，第二设备的认证是基于第三密钥，从而使得如果第二设备可以证明拥有第三密钥(例如，借助于第二设备将使用第三密钥已经生成的信息传达至第一设备)那么第一设备就假定第二设备的真实性。例如，第一设备然后可以使用第四密钥检查此信息以便认证第二设备。

举例来讲，然而，多个第二设备有可能将时间信息传达至第一设备，其中，来自该多个第二设备的包括该第二设备的至少两个设备的至少一组使用相同的第三密钥向第一设备认证它们自身。在这种情况中，第三密钥因此用于认证不是针对第一设备的单个第二设备而是针对第一设备的一组第二设备。在这种情况中，对第一设备进行不正确的同步的机会因此不是针对单个第二设备而是针对整组第二设备被限制，这意味着有更多的理由来执行这些发明的检查中的发明的一项或多项检查并且以仅在这些检查中的至少一项检查产生肯定结果的情况中执行同步。举例来讲，对多个第二设备使用相同的第三密钥具有这样的优点，即，第三密钥的生成和分布与第三密钥在其中在单独的设备基础上被使用的变体相比被显著地简化了。

举例来讲，认证第二设备可以包括使用该第三密钥对时间信息执行密码操作以获得检查信息并将该检查信息传达至第一设备，该第一设备然后可以基于该获得的检查信息、该获得的时间信息以及该第四密钥检查第二设备的真实性。举例来讲，检查信息可以与时间信息一起被传达至第一设备。检查信息是由第二设备生成的。

举例来讲，第三密钥和第四密钥可以形成非对称密钥对。举例来讲，第一检查信息然后可以使用第三密钥借由时间信息被生成为数字签名并且使用第四密钥在第一设备上被检查。非对称密钥对的第三和第四密钥然后是不同的。举例来讲，第三密钥是私钥而第四密钥是公钥，或反之亦然。举例来讲，密钥对可以根据RSA算法生成。举例来讲，数字签名是借助于哈希值(具体为在访问授权生成设备中)形成的，该哈希值是例如根据来自如由国家标准技术局(NIST)规定的安全哈希算法(SHA)族的算法(例如，SHA-1、SHA-224或SHA-256，仅举几例)借由时间信息而形成的。例如，哈希值然后使用第三密钥被加密以便获得检查信息。替代地，时间信息也可以在没有哈希值信息的情况中被加密。为了检查签名，使用第四密钥解密该检查信息，并且将因此获得的哈希值与根据相同的算法借由所传达的时间信息本地形成的哈希值进行比较。如果这些哈希值匹配，那么时间信息的真实性(并因此已传达了时间信息和检查信息的第二设备的真实性)以及时间信息的完整性(完整无缺)可以被假定。如果没有哈希值形成发生，那么借助于解密获得的时间信息直接地与所传达的时间信息进行比较。

替代地，由第三和第四密钥形成的密钥对是对称密钥对。该对称的密钥对然后包括相同的密钥两次，例如，AES密钥，例如，AES-128密钥。当在非对称密钥对的情况中时，检查信息可以(在第二设备中)使用第三密钥借助于访问授权参数或来自其中的哈希值的加密而被生成。然后使用第四密钥(其与第三密钥完全相同)解密所传达的检查信息并且将该结果与所传达的时间信息或者根据相同的算法本地生成的针对所传达的时间信息的哈希值中的任一个进行比较而执行检查。如果存在匹配，那么时间信息的真实性(并因此已传达了时间信息和检查信息的第二设备的真实性)以及时间信息的完整性被假定。举例来讲，加密/解密可以涉及使用分组密码，例如，如本领域技术人员已知的电子密码本(ECB)、密文分组链接(CBC)、密文反馈(CFB)、输出反馈或计数器操作模式，以便允许对比分组密码的分组更长的信息进行加密/解密。取决于操作模式(例如，CPC或CFM操作模式)，在这种情况中除了用于加密/解密的密钥之外可能需要初始化向量(IV)。针对每一条时间信息，所述初始化向量可以或者被牢牢地安排于(并且然后例如被存储在第一设备中)或者被传达至第一设备。还有可能使用报文认证码(MAC)来生成第一检查信息，而不是对时间信息或其哈希值进行加密/解密来获得第一检查信息，所述码是借由时间信息以及同样地考虑(具体为对称的)第三密钥而形成的。MAC的示例是报文认证算法(MAA)、密钥哈希报文认证码(HMAC)或基于密文的报文认证码(CMAC)，其是由NIST规定的。在MAC的情况中，例如，一种针对访问授权参数的哈希值是在组合式过程中产生的并且这还考虑了第三密钥。该结果形成第一检查信息。为了检查该检查信息，第一设备用于根据完全相同的规范使用第四密钥(其与第三密钥完全相同)借由所传达的时间信息形成MAC，并且结果(本地生成的检查信息)与所传达的检查信息进行比较。如果存在匹配，那么时间信息的真实性(并因此还有已传达了此时间信息和检查信息的第二设备的真实性)以及时间信息的完整性被证明。

在本发明的所有方面的一个示例性实施例中，第一设备用于对被传达至第一设备的信息进行解密，该信息至少包括至少使用一个第一密钥加密的第四密钥，并且至少使用一个第二密钥解密所加密的第四密钥以便获得该第四密钥。如果第四密钥以加密的形式被传输至第一设备并且第一设备可以解密此密钥，那么这为第一设备提供了能够认证第二设备的机会，该第二设备使用第三密钥用于认证。在这种配置中，第三和第四密钥可以例如每天如期望的那样进行互换。举例来讲，例如在同一通信会话中，第一设备以加密形式获得第四密钥连同以通信形式获得时间信息。例如，第二密钥然后充当信任锚，所述第二密钥被不变地存储在第一设备中并且与第一密钥一起形成机密，该机密仅对第一设备以及使用第一密钥加密第四密钥的第三设备是已知的。第一密钥可以特定地不对第二设备已知。第一设备然后首先信任其获得的第四密钥已经由第三设备输出并且其可以将使用第三密钥多个第二设备分类为信任的。

举例来讲，第一密钥可以被存储在第三设备上，其中，该第三设备生成至少包括使用第一密钥加密的第四密钥的信息并且将此信息和第三密钥传达至第二设备。举例来讲，第三设备还可以例如每天重新生成第三密钥和第四密钥，从而使得每天获得其他的第三和第四密钥。举例来讲，如以下将甚至更详细解释的，第三设备可以是访问授权生成设备(具体为服务器)，该访问授权生成设备生成访问授权信息并将其传达至第二设备，从而使得该第二设备可以使用此访问授权信息以获得对第一设备或对与其相关联的设备的访问。第三密钥(例如，以非加密的形式)被传达至第二设备从而使得后者可以使用第三密钥以向第一设备认证。相比之下，第四密钥以加密的形式被传达至第二设备以与第一设备进行通信，该第一设备然后解密该加密的第四密钥。有利地，举例来讲，然后因此使用在第三设备和第一设备之间存在的并且由第一和第二密钥表示的信任结构，以便将向第一设备认证第二设备所需要的密钥对(由第三和第四密钥形成的)中的一个部分(第四密钥)传达至第一设备，以便允许后者使第二设备的认证成为基于由第二设备传达的时间信息的同步的必要条件。

举例来讲，第一密钥和第二密钥形成对称的或非对称的密钥对。已经以上在第三和第四密钥的描述中详细解释了这种密钥对及相关联的加密/解密机制。

第四密钥还可以另外用于对检查信息进行检查，该检查信息已经在第二设备上使用第三密钥借由访问授权信息形成并且被传达至第一设备，以便确定访问授权信息被第二设备传达并且具有完整性。第四密钥可以因此用于基于借由时间信息形成的检查信息并且基于借由访问授权信息形成的检查信息来认证第二设备。

在本发明的所有方面的一个示例性实施例中，第一设备用于获得访问授权信息和检查信息，该访问授权信息被传达至第一设备并且包括至少一个访问授权参数，该至少一个访问授权参数定义了时间段，在该时间段内访问授权信息提供授权以访问第一设备或受其控制的设备，并且该检查信息被传达至第一设备，该检查信息由第三设备使用第一密钥对该访问授权信息执行密码操作而被生成；并且用于决定访问是否可以被授权，其中，授权访问的多个必要条件是：基于使用第二密钥和所传达的访问授权信息在第一设备中对所传达的检查信息的评估，确定所传达的检查信息已经使用第一密钥对对应于所传达的访问授权信息的信息执行密码操作而被生成；以及检查使得为来自时钟的时间信息位于由该至少一个访问授权参数定义的时间段内。

第一设备因此用于获得传达的访问授权信息以及传达的检查信息。例如，两条信息都是由第三设备生成的并且被传达至第二设备(例如，直接地或间接地，也就是说，经由一个或多个另外的设备)，该第三设备可以例如是访问授权生成设备(具体为服务器)，该第二设备然后将该多条信息传达至第一设备(例如，无线地)。举例来讲，该多条信息可以通过以下方式被传达至第二设备：借助于将它们存储在(例如，第二设备的)标签(具体为NFC标签)上或者举例来讲借助于经由到(例如，第二设备的)用户设备(具体为移动电话)上的一款软件(“App”)的安全连接将它们传输并存储于其上、或者借助于例如经由网络将它们传输至计算机，该计算机然后将该多条信息有线地(例如，经由对接站)或无线地传输至(例如，第二设备的)递送代理设备(具体为手持式扫描仪)。在该多条信息已经被从第二设备传达至第一设备之后，检查信息和第二密钥可以用于在第一设备上确定在第一设备上获得的访问授权信息和检查信息的真实性和完整性(并且因此还有该多条信息最终来自其的第三设备的真实性)。如以上已经解释的，举例来讲，检查信息可以是数字标签或者使用第一密钥借由访问授权信息形成的MAC并且然后因此在第一设备上使用第二密钥被交叉检查。获得的该多条信息的确定的真实性和完整性是用于授权访问的第一必要条件。

例如，该访问授权信息包括一个或多个访问授权参数。在本说明书中，该一个或多个访问授权参数还一起被称为访问授权。这覆盖了访问授权参数，访问授权参数定义了时间段(例如，在一端或两端受限)，在该时间段内访问授权信息提供授权以访问第一设备或受其控制的设备。时间段因此可以由一个访问授权参数(例如，在多个预定时间段的情况中，这些预定时间段然后由访问授权参数标引)或多个访问授权参数定义。举例来讲，“起始日期”和“结束日期”可以根据访问授权参数定义此时间段。此外或替代地，“一天的开始时间”和“一天的结束时间”可以变得与指示在一天的什么时间内可以授权访问的访问授权参数有关。举例来讲，此当日时间限制可以与具有由日期声明定义的时间段的任何一天或者仅与针对其规定了“一天的开始时间”的第一天和针对其规定了“一天的结束时间”的最后一天相关。例如，这些当日时间声明旨在被理解为是预定的，从而使得一致性盛行。例如，一个可能的时间段因此是从2014年3月27日00:00:00时到2014年3月28日23:59:59时(或者替代性定义从2014年3月27日到2014年3月28日，在每个情况中从08:00:00时到20:00:00时)。在这些示例中，时间段在两端都被限制了。举例来讲，时间段还可以仅由一个显式的限制定义，另一个限制被隐式地获得。举例来讲，时间段可以由端(也就是说，在版本“至2014年1月1日23:59:59”中)来定义，并且可以然后从产生授权信息的时间(隐式的开始)到此端期间为有效的。以相同的方式，开始也可以被显式地提供并且隐式地结束(例如，在版本“从2014年5月5日23:59:59”中)，这意味着时间段从2014年5月5日23:59:59变化到无穷远，对应于在一端受限制的时间段。

授权访问的必要条件现在是检查的结果为来自第一设备的时钟的时间信息位于由至少一个访问授权参数定义的时间段内。在前一段落中例举的示例中，其中，时间段被定义为从2014年3月27日00:00:00时到2014年3月28日23:59:59时，因此在检查的时候如果第一设备的时钟将指示2014年3月28日为日期并且15:00:00时为当日时间则授权访问，因为针对两个示例这将位于定义的时间段内。然而，如果来自时钟的时间信息将指示2014年3月29日为日期并且8:00时为当日时间，那么将不授权访问。只有在第一设备的时钟被拨回8小时的情况中当前的访问授权信息可以因此获得访问，然而，如以上所描述的，这将被第二检查(例如，在阈值为10分钟的情况中)并且被第三检查(由于与尝试向后调整相关的日期的变更)两者挫败。

举例来讲，如果决定访问可以被授权，那么例如借助于控制信号被发送至例如锁而授权访问，例如以便解锁和/或打开通向一个或多个空间(例如，储藏设备中的储藏空间)的门以便允许访问该一个或多个空间。可以不同程度地授权访问，例如，当存在多个储藏空间时，有可能仅授权针对特定的储藏空间或多组储藏空间的访问。例如，可以在访问授权信息的访问授权参数中定义访问的范围。

根据本示例性实施例执行的访问控制具有一系列的优点。因为第一设备和第三设备将密钥对当做机密，第三设备首先专门地针对第一设备自身准备好并且能够产生访问授权信息。第一设备其次可以信任由第三设备生成的访问授权信息。因此，访问授权参数还有可能以基本上未加密的形式被传达至第一设备：密钥对中的第二密钥可以用于充分地证实所述访问授权参数的完整性以及访问授权信息的真实性。因为第一设备使用本地参考信息(如，例如，源自第一设备的时钟的时间信息)来检查所传达的访问授权参数，所以第一设备实质上是自主的并不需要网络连接。这还减少了功耗，其在电池供电设备的情况中同样是值得考虑的。此外，在第一设备中对所传达的访问授权参数而不是对本地存在的多个参数执行密码操作。这特别地允许将对所获得的多条信息的完整性的检查与对其内容的检查分开。举例来讲，如果“预期的”第一检查信息在第一设备中被替代性地计算并且然后与所传达的第一检查信息进行比较，那么将需要根据被用作访问授权参数的时间有效性的粒度(例如，1分钟、10分钟、1小时)针对多个时间形成预期的第一检查信息并且将其与所传达的第一检查信息进行比较以便用至少一条预期的第一检查信息精确地“命中”所传达的检查信息。相反，所传达的时间段的完整性是在当前情况中确定的，并且此时间段与来自第一设备的时钟的时间信息进行比较以便不论差异是否仍在预定的容许度之内确定得更加轻易且迅速。

在本发明的所有方面的作为前一实施例的替代方案的一个示例性实施例中，获得被传达至第一设备的访问授权信息，该访问授权信息包括至少一个访问授权参数，该至少一个访问授权参数定义了(特别限制的)时间段，在该时间段内访问授权信息提供授权以访问第一设备或受其控制的设备，并且做出决定关于访问是否可以被授权，其中，授权访问的必要条件是检查的结果为来自时钟的时间信息位于由该至少一个访问授权参数定义的时间段内。在这个实施例中，对比于之前呈现的实施例，没有检查信息借由访问授权信息被形成并且在第一设备上被检查。然而，针对来自第一设备的时钟的时间信息对时间段的检查不会发生并且所述检查的肯定结果形成授权访问的必要条件。对本实施例的特性和优点(具体为由一个或多个访问授权参数对时间段的定义以及在第一设备中针对后者的检查)的描述因此对应于与之前呈现的实施例有关的描述，其中，对第一设备的真实性和完整性的检查的方面被省略。

在之前所描述的两个实施例中，所传达的访问授权信息可以另外包括访问授权参数，该访问授权参数指示是否可以执行第一设备的时钟的同步，并且其中，该一个或多个条件中的另一个条件要求该访问授权参数指示可以执行第一设备的时钟的同步。在访问授权信息中包括涉及对第一设备的时钟进行同步的容许性的访问授权参数进一步限制希望对时钟执行不正确的同步的潜在攻击者的机会，因为他然后将还需要操纵访问授权参数或将需要使访问授权信息可用，其中，此访问授权参数在需要的时候被选择从而使得同步可以被执行。如最近描述的两个实施例中的第一个实施例中的情况，具体地如果密码操作是使用第一密钥对访问授权信息为了生成检查信息而执行的，那么此访问授权参数的操纵会受到阻碍。举例来讲，访问授权参数可以由多个比特组成，这些比特可以被单独地置位以便指示与访问授权信息相关的特定权限。举例来讲，一个比特可以被置位以便指示同步可以被执行。举例来讲，另外或替代地，另一个比特可以被置位从而指示对第一设备或受其控制的设备的访问需要被授权，例如以便打开包裹盒的一个或多个门。举例来讲，因此有可能出现如下情况：相同的访问授权信息提供针对多个动作的授权，例如，授权对第一设备以及受其控制的设备的访问并且允许对第一设备的时钟进行同步。

在本发明的所有方面的一个示例性实施例中，所传达的访问授权参数另外包括一个或多个另外的访问授权参数，并且其中，一个或多个条件的另外的实例要求至少在检查的时候针对存在于第一设备中对应的多条参考信息检查该一个或多个另外的访问授权参数中的每个参数以得到对应的访问参数反映访问授权信息的有效性。另外的访问授权参数的示例是针对第一设备的标识符(其例如针对第一设备的标识符进行比较，其作为参考信息被存储在第一设备中)，和/或访问授权信息的最大许可的使用的数量(其例如针对已经在第一设备上发生了的对此访问授权信息的使用的相应的计数器进行比较)。具体地，这些附加的访问授权参数和在其上针对对应的参考信息的检查显著地限制了随意滥用访问授权信息(具体为不正确地对时钟进行同步)。

在本发明的所有方面的一个示例性实施例中，时钟的同步发生在所述检查以确定来自时钟的时间信息是否位于由该至少一个访问授权参数定义的时间段内之前。这确保当检查被执行时第一设备的时钟是最新的以确定访问授权信息在定时方面是否仍然有效。

在本发明的所有方面的一个示例性实施例中，时间信息和访问授权信息在同一通信会话中被传达至第一设备。举例来讲，通信会话是由在第二设备与第一设备之间的通信链路的建立与该两个设备之间的此通信链路的清除之间发生的通信定义的。举例来讲，通信链路可以是有线连接，具体为蓝牙连接。因此，用于对第一设备的时钟进行同步的访问授权信息和时间信息两者在同一通信会话中例如相继地被传达。举例来讲，然后在此通信会话中仅需要在第一设备上对第四密钥进行一次性的解密(例如，如以上所解释的，基于第二密钥)。

在本发明的所有方面的一个示例性实施例中，由至少一个访问授权参数定义的时间段对应于一天。访问授权信息然后有效持续一天(例如，从00:00:00时至23:59:59时)。在这种情况中，第二检查和第三检查(即使替代性地)都可以是有用的，第三检查计算上较不复杂。

在本发明的所有方面的一个示例性实施例中，第一设备用于获得访问授权信息，该访问授权信息被传达至第一设备并且包括至少一个访问授权参数，该至少一个访问授权参数指示是否可以执行第一设备的时钟的同步，并且其中，该一个或多个条件中的另一个条件要求访问授权参数指示可以执行第一设备的时钟的同步。在这个实施例中，对比于较早前描述的实施例中的一些实施例，访问授权信息不需要也包括为访问授权信息定义了有效性时间段的访问授权参数。如以上已经解释的，包括涉及同步的容许性的访问授权参数阻碍了操纵。

在本发明的所有方面的一个示例性实施例中，获得被传达至第一设备的访问授权信息，该访问授权信息包括定义了(特别限制的)时间段的至少一个访问授权参数，其中，该一个或多个条件中的另一个条件要求所传达的时间信息位于该时间段内。举例来讲，该至少一个访问授权参数可以是在已经描述的示例性实施例中出现的该至少一个访问授权参数，该至少一个访问授权参数定义了时间段，在该时间段内访问授权信息提供授权以访问第一设备或受其控制的设备。该时间段然后对于访问第一设备的可能时间以及对于对第一设备的时钟进行同步的可能时间两者而言都是关键的。举例来讲，相比所传达的时间信息(其例如来自第二设备)，访问授权信息来自不同的设备(例如第三设备)。

在一个示例性实施例中，一个或多个条件中的另一个条件要求所传达的时间信息的日期晚于时钟的上一次同步或设置的时间的日期(例如，以下将描述的将来自时钟的时间信息设置为从来自时钟减去或加上阈值的时间信息获得的时间)。因此，举例来讲，例如，有可能避免其可以用于操纵的时钟的多次同步或设置在一天内受影响。例如，时钟的上一次同步或设置的时间的日期-或可以从其中获得此日期的时间信息-可以在时钟的每次同步或设置时被存储在第一设备中。

在本发明的所有方面的一个示例性实施例中，第一设备的时钟被自动地设置为预定的时间，初始启动时、电池更换或其他电力故障之后或者重置之后的上一次同步的时间或者存储在第一设备中的另一个时间，并且从所述时间开始运行。举例来讲，预定的时间可以是1970年1月1日00:00:00时，并且该时间然后可以从此时间以一秒的步长增加，从而使得时间信息从此时间开始对应于秒计数器。举例来讲，上一次同步的时间可以被第一设备的时钟规定为时间戳并且被存储在永久性存储器中，该永久性存储器甚至在电力故障的情况中也保留其数据。这个时间还可以被表示为从参考点(例如，1970年1月1日00:00:00时)开始的秒数。举例来讲，存储在第一设备中的其他时间可以是针对在事件存储器中由第一设备管理的条目(例如，出于分析目的可以被读取的“日志”)的最近的时间戳，或者由第一设备以规则的或不规则的间隔存储的时间戳或时间。举例来讲，存储在第一设备中的其他时间可以是与第一设备中的状态改变和/或请求的重置相关联的时间。举例来讲，每次(或每第n次，n是不等于0的预定的自然数)第一设备改变为预定的状态(具体为节能状态)或改变为活跃状态(并且此外或替代地，例如，甚至当第一设备接收到重置信号并且然后执行重置时)，此状态改变的时间可以被存储。举例来讲，该时间戳或时间可以用一种专用于为了具有最新时间的目的的方式被存储，该最新时间在电池更换或其他电力故障或重置的情况中有可能可用于重置第一设备的时钟。举例来讲，其他时间可以被存储在第一设备的永久性存储器中并且举例来讲同样地被表示为从参考点(例如，1970年1月1日00:00:00时)开始的秒数。

在本发明的所有方面的一个示例性实施例中，检查以确定第一设备是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中另外涉及检查所传达的时间信息是否晚于来自第一设备的时钟的时间信息或者晚于来自第一设备的时钟的时间信息减去(或替代地加上)根据预定的规则预定的或确定的阈值，并且其中，仅当确定该设备处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中并且所传达的时间信息晚于来自第一设备的时钟的时间信息或者晚于来自第一设备的时钟的时间信息减去(或替代地加上)预定的阈值时获得此检查的肯定结果。在这种情况中，第一检查被扩展至如下效果：不仅在特定的事件(初始启动、电池更换或其他电力故障、重置)之后的状态需要被确定，而且另外所传达的时间信息也需要晚于来自第一设备的时钟的时间信息(可能减去阈值)(也就是说，例如，由所传达的时间信息定义的时间必须在由来自第一设备的时间信息(可能减去阈值)定义的时间之后)。这甚至在第一设备的这个特殊的操作状态下甚至更大程度地限制了攻击者的操纵机会，并且尤其当第一设备的时钟在所述事件之一之后不被设置成(通常很久以前的)标准时间而是被设置成稍后的时间(具体为上一次同步的时间)时可以是有用的，该稍后的时间可能仅具有与当前时间轻微的偏差(例如，几个小时)。

在本发明的所有方面的一个示例性实施例中，根据其确定阈值的预定的规则至少将每单位时间在时钟中的平均目标时间偏差考虑在内并且将自从上一次执行的同步或对时钟的调整以来已经过去的时间(也就是说，举例来讲，上一次执行的同步或对时间的调整的时间与由第一设备的时钟当前指示的时间之间的时间差)考虑在内。举例来讲，如以上已经解释的，时钟可以在第一设备的初始启动时、电池更换或其他电力故障之后或重置之后时被调整。随后有可能发生或不发生同步。例如，如果时间T(例如，以天为单位)自从上一次执行的同步或时钟调整以来至今已过去，并且每单位时间(例如，天)在时钟中的平均目标时间偏差为D，那么用于确定阈值K的法则可以被确定为K＝m*T*D+L，例如，其中，T*D是预期的平均绝对目标时间偏差，m是旨在补偿平均目标时间偏差中的偏差并且确保K不被选择得过小的安全因数，而L是旨在将通过将来自第二设备的时间信息传达至第一设备并且在第一设备中处理所述信息而生成的延迟考虑在内的常数值。举例来讲，因数m可以被选择为大于1并且小于10，例如5。举例来讲，值L可以借助于测量平均传输时间和处理时间而被确定，并且可以例如在1秒与10分钟之间。例如，如果第一设备的时钟中的平均目标时间偏差现在为D＝0.5秒/天，并且T＝10天自从第一设备的时钟的上一次同步或调整以来已经过去，选择m＝5并且L＝5分钟将产生阈值K＝25s+300s＝325s。受时钟中的目标时间偏差影响的K的被加数m*T*D可以在同步或时钟调整的情况(其进一步地是在过去)中变得更加重要。例如，如果第一设备的时钟针对T＝60天的时间段还未被同步，那么用以上针对D、m和L的假设获得阈值K＝150s+300s＝450s。根据预定的规则确定阈值因此允许在其中来自第一设备的时钟的时间信息的同步可以被调整的时间段缩小到具有技术意义的程度，并且因此允许获得在针对攻击的最大可能的安全性与用于在必要的程度上进行同步的技术需求之间的平衡。

在本发明的所有方面的一个示例性实施例中，如果检查结果为来自时钟的时间信息与所传达的时间信息之间的偏差既不小于也不小于或等于阈值，那么执行以下操作：

-如果所传达的信息小于来自时钟的时间信息减去阈值，那么将时钟设置为从来自时钟的时间信息减去阈值所获得的时间；并且

-如果所传达的信息不小于来自时钟的时间信息减去阈值，那么将时钟设置为从来自时钟的时间信息加上阈值所获得的时间。

尽管第二检查的结果意味着使用所传达的时间信息对时钟进行同步因此是不可能的，时钟然而至少在所传达的时间信息的方向上但是仅在受阈值限制的程度上被调整。举例来讲，可以针对这种每天能够仅发生一次的时钟设置作出规定以便避免操纵。举例来讲，如以上已经描述的，这可以借助于一个或多个条件中的另一个条件发生，该进一步实例要求所传达的时间信息的日期晚于时钟的上一次同步或设置的时间的日期。

在本发明的所有方面的一个示例性实施例中，时间信息是从第二设备的时钟获得的并且被无线地传达至第一设备。举例来讲，第二设备的时钟可以是电子钟。举例来讲，第二设备的时钟可以通过从第四设备接收到的时间信息被同步。举例来讲，这可以是经由其第二设备获得访问授权信息的设备。举例来讲，第四设备可以同步多个第二设备的时钟。例如，如果第二设备是递送代理设备(具体为手持式扫描仪)，那么第四设备可以是递送基地个人计算机(ZBPC)。举例来讲，第四设备可以具有无线电时钟(也就是说，时钟借助于从如例如DCF-77的时间信号发射机接收到的信号被重新调整)或者使其定时借助于网络同步服务(例如，pool.ntp.org)被同步。举例来讲，生成访问授权信息的第三设备可以使用同种类型的时间同步技术(例如，无线电时钟或网络同步服务(如pool.ntp.org))。这确保了第一设备和第三设备使用相同的时间。然而，不管第三设备从何处获得其时间，第四设备的同步也可以由从第三设备接收到的时间信号完成。

在本发明的所有方面的一个示例性实施例中，第一设备控制对容器(具体为包裹盒)的访问。举例来讲，对通向容器的一个或多个隔室的一个或多个门的上锁和/或解锁可以被控制。

在本发明的所有方面的一个示例性实施例中，第二设备是针对货物(例如，包裹或邮件)的递送代理的电子便携式设备，具体为手持式扫描仪。

在本发明的所有方面的一个示例性实施例中，时间信息借助于无线通信(具体为经由蓝牙或NFC)被传达至第一设备。

以上所描述的在本发明的所有方面的示例性实施例和示例性改进还旨在被理解为以所有的彼此组合所披露。

附图说明

本发明的进一步有利的示例性改进可以在接下来对本发明的几个示例性实施例的详细描述中(尤其结合这些附图)找到。然而，本申请所附的这些附图旨在仅用于说明性目的，而不用于确定本发明的保护范围。这些附图不必按比例绘制并且仅旨在通过举例反映本发明的一般概念。具体地，包括在这些附图中的附图决不旨在被认为是本发明的必需部分。

在附图中：

图1：示出了根据本发明的系统的示例性实施例的示意图，

图2：示出了根据本发明的设备的示例性实施例的示意图，

图3A/B：示出了根据本发明的方法的示例性实施例的流程图(在两张图之上延伸)；

图3C：示出了根据本发明的方法的示例性实施例的在图3A/B中示出的流程图的替代性结束；

图4：示出了根据本发明的系统的进一步示例性实施例的示意图；并且

图5：示出了根据本发明的在示例性实施例中操作包裹盒的可能的顺序的流程图。

具体实施方式

图1中示出了系统4的概观，本发明的第一设备1和第二设备2的示例性实施例可以在该系统中被使用。系统4包括第三设备3(例如，访问授权生成设备)、第二设备2(例如，访问授权验证设备)以及第一设备1(例如，访问控制设备)。特别地，第二设备2和第一设备1可以存在多于一次，但是为了简化说明各自仅被表示一次。部件1和2是根据本发明的第一和第二方面的对应的示例性设备，其特性已经被详细地概述了。图1因此主要作用以弄清哪些密钥被存储在这些单独的部件中并且哪些信息在这些部件之间进行互换。第三设备3特定地存储第一密钥S1，该第一密钥在第一设备1中与第二密钥S2形成密钥对(S1，S2)。此对可以形成对称的或非对称的密钥对，其中，在对称密钥对的情况中两个密钥是相同的(也就是说，例如，S1＝S2＝S为真)，而在非对称密钥对的情况中S1≠S2为真。

第三设备3生成并将以下信息传输至第二设备2：

-访问授权信息B和第一检查信息V，

-使用S1加密的作为信息A的一部分的第四密钥H4，以及

-第三密钥H3。

该多条信息可以在同一通信会话中或者在不同通信会话中例如至少部分地(或全部地)在第三设备3与第二设备2之间(也就是说，举例来讲，在第三设备3与第二设备2之间的通信链路的设立与清除之间)被传输。

具体地，如果第二设备2是便携式用户设备(例如，移动电话)或便携式递送代理设备(例如，手持式扫描仪)，那么可以将该多条信息至少部分无线地(例如，通过移动无线电或WLAN)从第三设备3传输至第二设备2。在这种情况中，如以下甚至更详细讨论的，该传输不必直接地发生而是可以经由一个或多个中间站发生。举例来讲，如果第二设备2是标签(例如，RFID或NFC标签)，那么信息的传输可以逻辑上被理解为并且可以意味着信息被传输至标签的产生系统的服务器并且被存储在其中的标签之中。

在这种情况中，例如，第三密钥H3和第四密钥H4进而形成密钥对(H3，H4)，该密钥对可以是对称的(也就是说，H3＝H4＝H)或者非对称的(也就是说，H3≠H4)。

从第三设备3传输到第二设备2的信息中的除了第三密钥H3之外的基本上所有信息从第二设备2向前传输至第一设备1并且然后在第一设备1中被使用以检查此信息是否为真并具有完整性并且在访问授权信息B的情况中用户是否可以被授权对第二设备2的访问。

在这种情况中，举例来讲，第三密钥H3被存储在第二设备2中并且被用作第二设备2与第一设备1之间的相互认证的一部分，后者已经以加密的形式(信息A)接收了的第三密钥H3的配对物的传输物(即，第三密钥H4)并且至少根据解密间歇地存储了所述第四密钥。

此外，时间信息T(也被称为时间同步信息T)与一条相关联的检查信息在第二设备2与第一设备1之间(并且例如只在这些设备之间)被传输。

图2示出了根据本发明的设备5的示例性实施例的示意图。举例来讲，设备5可以表示图1中的第二设备2或第一设备1。

设备5包括处理器50、具体有相关联的主存储器52和程序存储器51。举例来讲，处理器执行存储在程序存储器51中的多条程序指令。这些程序指令执行根据本发明的第一或第二方面的方法和/或控制所述方法。因此，程序存储器51包含根据本发明的第一或第二方面的计算机程序并且是用于存储其的计算机程序产品。

处理器50包括时钟501，例如，实时时钟。然而，时钟501也可以是与处理器50分开的单元。举例来讲，时钟501可以例如以秒或百分秒的分辨率来测量日期和时间。然而，时钟501可以具有目标值偏差，也就是说，在由时钟指示的时间与实际时间的偏差。根据本发明的示例性实施例，例如，借助于采用外部时间信息作为时钟的新时间信息，时钟501因此根据外部时间信息被同步。

举例来讲，例如，程序存储器51可以是永久性存储器，如只读存储器(ROM)。程序存储器可以例如永久地连接于处理器50但是也可以例如替代地可拆卸地连接于处理器50，如存储卡、软盘或光数据存储介质(例如，CD或DVD)。程序存储器51或单独的存储器还可以存储进一步的信息。如果设备5是第二设备2，将有可能使用程序存储器51来存储例如从第三设备3获得的信息(具体为B、V、A、H3)。如果设备5是第一设备1，那么存储在程序存储器51中的信息可以包括密钥S2以及还有参考信息，该参考信息用于检查获得的访问授权参数以确定它们各自是否提供了用于授权访问的授权(例如，针对访问控制设备的标识符等)。

举例来讲，主存储器52用于在执行这些程序指令期间存储临时结果，举例来讲，其是易失性存储器，例如，如随机存取存储器(RAM)。

此外，例如，处理器50操作性地连接于通信单元53，该通信单元允许与外部设备进行信息交换。

如果设备5以用户设备或递送代理设备的形式表示第二设备2，那么通信单元53可以包括以下各项，例如：

-用于接收来自第三设备3的信息的移动无线电接口(其已经将此信息传递至移动通信网络的接口服务器，例如，用于传输至第二设备2)，

-用于无线地(例如，通过WLAN)或有线地(例如，经由对接站)接收来自第四设备的信息的接口(例如，第三设备3已经将用于传输至第二设备2的此信息传输至其的递送基地个人计算机(ZBPC))，

-用于与访问控制设备2进行通信的无线电接口，具体为蓝牙接口和/或RFID接口和/或NFC接口。

如果设备5以标签的形式表示第二设备2，那么通信单元53可以包括以下各项，例如：

-用于与第一设备1进行通信的无线电接口，具体为蓝牙接口和/或RFID接口和/或NFC接口。

具体地，如果设备5是用户设备或递送代理设备形式的第三设备3，那么设备5还可以包含进一步的部件，例如图形用户接口，以便允许用户与设备5进行交互。举例来讲，如果设备5表示递送代理设备，那么具体地用于光采集信息的单元(例如，扫描仪)有可能由设备5和/或举例来讲用于采集手写体输入(如，例如，签名)的用户接口组成。

举例来讲，如果设备5表示第一设备1，同样有可能提供视觉和/或听觉用户接口，例如以便能够向用户输出关于第一设备1的和/或尝试使用有待授权针对第一设备1的访问的访问授权信息的状态的信息。在第一设备1的情况中，设备5还可以包括用于在关于访问是否可以被授权的决定的基础上控制上锁单元(例如，同样用于解锁)的控制装置。举例来讲，具体地，上锁单元可以包括可电致动锁。在图4至图7的示例性实施例的描述的背景中，至少包括处理器50、存储器51和52以及上锁单元的单元被称为“锁”。在第一设备1的情况中，设备5还可以另外包括一个或多个传感器，例如，用于检测上锁单元的当前上锁状态。在第一设备1的情况中，设备5可以包括例如具体地作为唯一电源的电池(例如，可再充电的或以其他方式)。在第一设备1的情况中，设备5可以例如不连接至有线网络(也就是说，具体地不连接至LAN)和/或可以例如不连接至WLAN或移动无线电网络(具体为蜂窝式移动无线电网络)。

在具有标签形式的第二设备2的情况中，设备5可以例如不包括专用的电源并且从第一设备1的读取单元的场中获得其功率用于通信。这种标签还可以不具有用户接口。

举例来讲，部件50至53可以是模块或单元在一起的形式，或者可以至少部分地是单个模块的形式以便确保在任何故障的情况中容易替换。

图3A/B示出了根据本发明的方法300的示例性实施例的流程图。举例来讲，该方法由图1中的第一设备1(例如通过其处理器50(参见图2))执行，在这种情况中，程序存储器51可以包含程序代码，该程序代码驱使处理器50来执行或控制方法300。

在图3A/B中，可选的方法步骤以虚线示出并且至少针对本实施例所需要的(而不是针对发明自身必需的)步骤以实线示出。具体地，在这个情况中，步骤302、303、304、305、306和309的动作是可选的。如果这些步骤不存在，流程图例如直接在步骤306处开始。因此，图3A/B中的流程图还旨在被理解为仅被披露从而使得其从图3B中的步骤306开始并且与图3A中的步骤环绕连接的元素不存在。

在步骤301中，时间信息T首先在第一设备1上例如经由第一设备1的通信接口53被接收。具体地，时间信息T来自第二设备2并且包含例如从设备2的时钟采集的日期以及在采集时的时间。

可选地，如果第二设备2将访问授权信息B传达至第一设备1，那么具有子步骤302a和302b的步骤302然后可以继续。访问授权信息B然后将在步骤302a在第一设备1上被获得(步骤302a)并且在步骤302b中被检查以确定在访问授权信息中是否存在访问授权参数指示第一设备的时钟501的同步是被许可的。举例来讲，这种访问授权参数是访问授权参数“许可”，稍后将对其进行讨论。如果步骤302b确定存在针对同步的授权，那么流程图300行进至步骤303a，否则执行被终止并且该过程跳到流程图300的结束。

在步骤302b中，可选地还有可能使得来自B的一个或多个进一步访问授权参数针对对应的参考变量相比较以便确定访问授权信息是有效的并且因此还使得同步是被许可的。举例来讲，访问授权信息包含的访问授权参数LockID(即，具体地，针对锁的显式的标识符)和/或MaxUses(即，许可使用的数量的上限)至少在检查时针对存在于第一设备1中的对应的参考信息(例如，存储在其中的LockID、对应于其中的MaxUses的计数器)被交叉检查，并且只有当存在匹配时可以假定同步的有效的访问授权以及许可性(在这点上，参见以下在图5中的流程图400的步骤404的描述)。访问授权信息可能包含的并且指示访问授权的时间有效性(例如，有效时间段的开始和结束)的进一步的访问授权参数在用于确定是否存在许可的访问授权可用并且因此时钟的同步被许可的检查期间优选地不被检查，因为在那种情况中将存在风险使得访问授权例如由于时钟中的严重的目标时间偏差就定时而言不再被认为是有效的并且使得同步不可能。由于缺乏对限定了有效时间段的访问授权参数的考虑，可以借助于本发明针对用于执行同步的自由度并且因此如以下针对步骤306至310解释的针对可能的滥用设置窄限制在控制之下带来或多或少在没有任何时间限制的情况中访问授权针对同步为有效的该缺点。

然而，在步骤302b中，除了检查以确定在访问授权信息中是否存在指示第一设备的时钟501的同步被许可的访问授权参数之外，可选地有可能来检查时间信息T是否位于访问授权的有效时间段内，该有效时间段例如由访问授权信息包含的一个或多个访问授权参数(例如，以有效时间段的开始和结束的信息的形式)指示。举例来讲，用于确定在访问授权信息中是否存在指示第一设备的时钟501的同步被许可的访问授权参数的检查以及用于确定时间信息T是否位于访问授权的有效时间段内的附加检查成功地继续进行然后都是有必要的，从而使得步骤302b传递整体的正面检查结果，也就是说，步骤303a被执行而不是被直接分支到流程图300的结束。举例来讲，附加检查用于针对访问授权的有效时间段检查时间信息的一致性，举例来讲，这是有利的，因为有效时间段和时间信息来自不同的实体。举例来讲，这可以防止第二设备的错误的时钟致使发生第一设备的时钟的错误的同步，因为时间信息不匹配由第二设备产生的访问授权信息的有效时间段。在这种情况中，有效时间段不必考虑访问的提供(例如，提供给第一设备或受其控制的设备)，而是可以例如专门地考虑同步的执行。例如，访问授权信息因此可以不授权访问，而可以非常好地允许时钟的同步并且规定在其中这本是有可能的时间段(有效时间段)。然而，同样很好可能的是有效时间段来规定访问什么时候是可能的并且时钟的同步(和/或设置)什么时候是可能的两者。

举例来讲，有可能检查时间信息是否大于或者大于或等于“起始”变量并且同时小于或者小于或等于“结束”变量。在这种情况中，例如，“起始”变量对应于以下甚至更详细讨论的“起始日期”访问授权参数(例如，当有效时间段仅用一天的精度指示时)或者对应于用以下甚至更大的精度定义的“起始日期”与“一天的起始时间”访问授权参数的组合(例如，当有效时间段是用比一天的精度更细化地指定的时候，例如，用一小时的精度或者一分钟的精度)。在这种情况中，例如，“结束”变量对应于以下甚至更详细讨论的“结束日期”访问授权参数或者对应于用以下甚至更准确地定义的“结束日期”与“一天的结束时间”访问授权参数的组合。

此外或替代地，在步骤302b中，有可能检查时间信息T的日期是否晚于上一次同步的日期。举例来讲，这可以防止同步一天发生多于一次。举例来讲，鉴于图3C中的步骤312和313，这可以是不利的。举例来讲，指定在每个情况中上一次同步的时间或者至少上一次同步的日期的变量可以被存储在第一设备1中，例如，作为参考信息。举例来讲，第一设备的时钟501的本地时间T本地每次被同步时可以更新此变量。举例来讲，针对每次同步，该变量被设置成与时钟501的(同步的)本地时间T本地相同的值。举例来讲，此变量的设置可以因此发生在图3B的步骤310中或者在图3C的步骤310、312或313。

举例来讲，用于确定在访问授权信息中是否存在指示第一设备的时钟501的同步被许可的访问授权参数的检查以及用于确定时间信息T的日期是否大于上一次同步的日期的检查(举例来讲，以及还有用于确定时间信息T是否位于访问授权的有效时间段内的检查)两者然后需要针对步骤302b按顺序地成功以传递整体的正面检查结果，也就是说，步骤303a被执行并且过程不直接地分支到流程图300的结束。

然而，具体地，当访问授权授权同步和访问第一设备1或受其控制的设备时，还可以在时钟的同步之后自然地执行针对第一设备1的时钟对指示访问授权的时间有效性的进一步访问授权参数的检查。

替代地，可以想象的是用访问授权包含的时间信息在时钟的同步之前被执行针对第一设备的时钟对指示访问授权的时间有效性的进一步访问授权参数的检查，并且同步只有当访问授权被确定为在定时方面也是有效的时候被执行。如果时钟中的目标值偏差如此之大使得来自时钟的时间信息不再位于由进一步访问授权参数定义的有效时间段内并且因此访问授权被认为整体无效，那么举例来讲有可能使用具有显著扩展的有效时间段的访问授权(具体地，特别地仅针对同步扩展的)以便同步时钟。

举例来讲，如果在步骤302a中获得的访问授权信息通过第三设备3使用第一密钥已经配备有检查信息V(例如，MAC或数字签名)，那么具有子步骤303a和303b能够被执行的步骤303进而是可选的步骤。这类检查信息V然后将在步骤303a中被接收，并且检查然后将在步骤303b中基于B、V和S2被执行以确定B是否具有完整性并且来自第三设备3(也就是说，关于第三设备3也为真)。如果不是这种的情况，那么执行被终止并且过程跳到流程图300的结束，否则流程图300前进至下一步骤304a。

举例来讲，如果挑战/响应方法形式的认证方法在第一设备1与第二设备2之间被执行，那么具有子步骤304a至304d能够被执行的步骤304进而是可选的步骤。这是基于第二设备2中的密钥H3的知识并且基于第一设备1中的密钥H4的知识。在步骤304a中，这涉及获得一条认证信息A，该认证信息包含加密形式的(使用第一密钥S1加密的)密钥H4。在步骤304b中，A是使用S2被解密的以便获得H4。然后生成挑战(例如，如随机字符串，例如，如二进制随机字符串)并且在步骤304d中获得针对该挑战的响应。按照对挑战和多条信息B和/或V(例如，如MAC或数字签名)的密码操作，例如使用密钥H3在第二设备2中生成响应。在步骤304e中，B和/或V、挑战、响应和H4然后用于检查B和/或V是否具有完整性并且来自第二设备2(也就是说，关于第二设备2为真)。如果不是这种的情况，那么执行被终止并且过程跳到流程图300的结束，否则流程图300前进至下一步骤305a。

举例来讲，如果第二设备2借由时间信息T计算一条检查信息VT，第一设备可以使用该检查信息来检查时间信息T的完整性和真实性，那么具有子步骤305a至305d能够被执行的步骤305进而是可选的步骤。这可以进而涉及针对时间信息的数字签名或MAC，例如，该数字签名或MAC是使用第三密钥H3计算而得的。在步骤305a中，这还涉及认证信息A被接收-如果这在可选步骤304a中还未发生的话。然后，在步骤305b中，第四密钥H4将通过使用S2解密A而获得-如果这在可选步骤304b中还未发生的话。在步骤305c中，检查信息VT然后将被接收。在步骤305d中，T、VT和H4然后将用于检查T是否具有完整性并且来自第二设备2(也就是说，关于第二设备2为真)。如果不是这种的情况，那么执行被终止并且过程跳到流程图300的结束，否则流程图300前进至下一步骤306。

步骤306是可选的并且仅当在下一步骤307中旨在使用根据预定的规则确定的(动态的)阈值D而不是预定的阈值D(例如，10分钟)时被执行。举例来讲，如已经解释的，在步骤306中确定的阈值D可以至少取决于自从第一设备1的时钟501的上一次同步或调整以来过去的时间并且取决于每单位时间的平均目标值偏差。

在步骤307中，在步骤306中确定的阈值D或者预定的阈值D中的任一者然后用于检查所接收到的时间T与来自第一设备的时钟501的本地时间T本地之间的偏差是否小于或等于阈值D。这对应于以上已经讨论过的“第二检查”。如果第二检查在步骤308中实现肯定结果，那么用所接收到的时间信息T对本地时间T本地进行同步可以发生(步骤310)。否则，不管T与T本地之间的相对大的时间偏差，在步骤308中执行检查(“第一检查”)以确定特殊状态(第一设备1处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中)的存在是否没有证明许可同步是正当的。如果这种状态存在，那么有可能或者使得在步骤310中用所接收到的时间信息T对来自第一设备的时钟501的本地时间信息T本地进行同步，或者使得预先执行另外的可选检查步骤309，其中，检查被执行以确定所接收到的时间T是否等于或晚于本地时间T本地。如果不是这种情况，同步可以被否决并且过程可以跳到流程300的结束。否则，同步在步骤310中被执行。

替代地，有可能例如在步骤309中检查所接收到的时间T是否等于或大于本地时间T本地与阈值D之差T本地-D。因此，这个替代性检查因此还可以将由阈值D体现的容许度考虑在内。如果不是这种情况，同步可以被否决并且过程可以跳到流程300的结束。否则，同步在步骤310中被执行。

在流程图300中执行的这些步骤(包括可选步骤以及它们在彼此之间的对应步骤)的顺序不受约束。举例来讲，“第一检查”308(可能在步骤309中)可以在“第二检查”307之前发生。可选步骤302至305也可以使其步骤调换。在这种情况中，应当特别注意的是，该多条信息B、V、V’、A、T、VT不必必须单独地一个另一个地被接收；举例来讲，该多条信息可以至少以两条或更多条信息的组一起被接收，并且可以例如在同一通信会话中全部从第二设备2传达至第一设备1。

还有可能执行已经解释过的简化的“第三检查”而不是步骤307中的“第二检查”，借助于其检查仅被执行以确定T与T本地是否具有相同的日期并且如果它们不具有相同的日期的话是否许可进行同步。仅通过“第三检查”和流程图300，步骤中的“第二检查”然后将以其他方式保持不变。

图3C示出了图3A/3B中的流程图300的替代性结束。换言之，图3A和图3C形成了根据本发明的方法的作为图3A/3B中的流程图300的替代方案的实施例。举例来讲，该方法进而由图1中的第一设备1(例如通过其处理器50(参见图2))执行，程序存储器51然后能够包含程序代码，该程序代码驱使处理器50来执行或控制该方法。

在图3C中，对应于图3B中的那些的框配备有相同的参考符号。

如以上参照图3B已经描述的，如果预定的阈值D未被使用，那么如在图3C中示出的，在步骤可选步骤306中，阈值D进而被确定。如在图3B中体现的，步骤306之后是步骤308。如以上参照图3B已经描述的，针对步骤308中的正面检查结果执行可选步骤309。如果步骤309中的检查具有肯定结果-或者如果步骤309不存在-那么执行步骤310并且使用时间信息T执行本地时间T本地的同步，也就是说，例如将本地时间T本地设置为时间信息T的值。如果步骤309中的检查具有负面结果，那么相反地使用时间信息T进行同步不会发生。

对照于图3B，步骤308中的负面检查结果不致使分支到方法的结束(也就是说，执行同步)，而是致使分支到步骤307，这在功能方面进而对应于图3B中的步骤307。步骤307中的正面检查致使该方法分支到步骤310。

如果步骤307中的检查具有负面结果(也就是说，时间信息T与本地时间T本地之间的偏差大于阈值D)，那么可选地有可能使得步骤311至313跟随(否则该方法然后可以分支到结束而不进行同步)。在步骤311至313中，尽管没有使用时间信息T执行同步(对照于步骤310)，但是至少在由阈值D设置的限制内执行本地时间T本地的校正。为此，步骤311涉及执行检查以确定时间信息是否小于差值T本地-D。如果是这种情况，本地时间T本地在步骤312中被设置为值T本地-D(也就是说，当前本地时间T本地减去值D)。如果不是这种情况，本地时间T本地在步骤313中被设置为值T本地+D(也就是说，当前本地时间T本地增加值D)。因此，在时间信息T的方向上校正本地时间T本地因此发生，但是仅发生在由阈值D设置的限制内。在给定的情况中，这可以仍然足够以将第一设备的仅轻微错误的时钟校正为值(T本地-D或T本地+D)，尽管它不对应于值T，其然而意味着更新的本地时间T本地现在处于访问授权的有效时间段内并且举例来讲可以授权访问(如果合适的授权以“许可”形式可用)，关于这一点参见图5的步骤1106。

下文参考图4以便呈现访问控制系统6的实体化的示例性实施例，其中，可以使用本发明的第一、第二和第三方面的实施例。在这个访问控制系统6的情况中，第三设备3是密钥服务器60的形式(参见图4)，第一设备1是与用户63(例如，登记以使用包裹盒的用户)相关联的包裹盒69(或其访问控制单元，具体为“锁”)的形式，而第二设备2是递送代理70的手持式扫描仪68或标签74的形式或者是用户63的移动电话61或标签62的形式，其被统称为“令牌”。在这种情况中，举例来讲，用户63是包裹盒的所有者或者是已经登记以便能够接收货物(具体为包裹盒69)或者能够使所述货物从其中被拾取的其他人员(例如，来自同一家庭或者邻居)。用户63还被称为包裹盒用户。举例来讲，递送代理70可以是包裹递送代理、组合式递送代理(递送邮件和包裹两者的人)或者邮件递送代理。举例来讲，针对包裹递送代理和组合式递送代理而言，重要的是能够打开包裹盒以便能够将包裹交付于其中或从其中拾取包裹。举例来讲，针对组合式递送代理和邮件递送代理而言，重要的是能够打开包裹盒以便能够通过打开包裹盒将有时不适合包裹盒的投邮口的大板式信件(例如，最大尺寸的信件)递送至包裹盒中。

然而，在图4中执行的对部件1、2和3的实体化以及相关联的描述仅起解释性目的作用并且不旨在被理解为是本质的或限制的。具体地，以此方式(甚至以一般形式，也就是说以与这些部件的特定实施例分离的方式)实体化的部件1、2和3的交互作用旨在被理解为所披露的。这同样适用于出于解释性目的实体化的传输技术(具体为蓝牙或NFC)，这些传输技术旨在被理解为仅作为第二设备2与第一设备1之间的无线传输的可能形式的示例。

包裹盒69是具有至少一个可上锁的门的容器，该容器被配置成用于储藏包裹，例如，至少一个具有尺寸为45×35×20cm的包裹(对应于被称为“L型包裹(L Packset)”的包裹)或者至少两个或三个这种包裹。例如，包裹盒69还可以具有邮件隔室(但是替代地也可以没有邮件隔室)，信件可以通过具有或者没有覆盖翻板的投邮口被邮递至该邮件隔室中。邮件隔室可以用专用的门(具有机械锁或电子锁)上锁，或者可以替代地与被提供用于储藏包裹的包裹隔室一起借由包裹盒69的门被锁上。如果为包裹隔室提供一个门并且为邮件隔室提供一个门，那么有可能使得第一设备1被提供为共享访问控制设备，例如，共享访问控制设备根据访问授权或者打开一个门(例如，包裹隔室的门，例如，针对递送代理70)或者打开两个门(例如，针对用户63)。包裹盒69可以被设置成安装在墙壁(例如，住宅墙壁)之中或之上或者成固定于地面的独立式单元(例如，在住宅前面)。例如，通过电子邮件和/或SMS告知用户63有关最近递送的货物(包裹和/或信件)。还有可能使得用户63将免费邮寄的货物放置在包裹盒69中并且线上或者通过电话请求拾取。如果拾取未被授权，那么货物有时当递送代理下一次打开包裹盒并发现货物在其中时在一些延迟之后被拾取。作为货物已经被拾取的证据，递送代理例如在包裹盒中留下收据。

举例来讲，密钥服务器60是在递送公司(具体为德国邮政DHL(Deutsche Post DHL))的合适的计算机中心操作的。所述密钥服务器生成必不可少的密钥，例如，对称的或非对称的密钥对S1，S2以及对称的或非对称的密钥对H3，H4，例如，在密钥对的产生或启动过程中，其第一密钥S1保留在密钥服务器60中而第二密钥S2被存储在锁中。密钥对S1，S2可以针对每个包裹盒69被不同地选择，但是也可以针对部分或所有包裹盒69是相同的。举例来讲，密钥对H3，H4可以针对每个手持式扫描仪68是相同的，或者针对系统6的部分或所有扫描仪68是不同的。此外，密钥服务器生成访问授权B和相关联的检查信息V。举例来讲，访问授权可以针对不同的包裹盒69是不同的，例如因为它们包含不同的LockID。在那种情况中，相关联的该多条检查信息V因此也是不同的。然而，基本上可能使得完全相同的访问授权B还用于一个或多个包裹盒(例如，如果它/它们不包含LockID的话)。密钥服务器还通过用第一密钥S1加密第四密钥H4而生成认证信息A。根据密钥对S1，S2在每种情况中针对包裹盒69是否是被单独地选择的并且密钥对H3，H4在每种情况中针对手持式扫描仪是否是被单独地选择的，该多条认证信息A也可以是单独针对包裹盒69和/或手持式扫描仪68的。举例来讲，密钥服务器60针对多个手持式扫描仪68将访问授权B、检查信息V、认证信息A和第三密钥H3分别传输至提供服务器66。举例来讲，这可以以规律的间隔发生，例如，每天以新密钥和/或新授权重新发生。举例来讲，提供服务器66然后将手持式扫描仪68针对递送区域所需要的并且从密钥服务器60获得的对应的该多条信息(B、V、A、H3)分组，并且直接地或间接地(例如，借由插入计算机)使它们可用于手持式扫描仪68。针对递送区域的递送代理70由此获得基于其手持式扫描仪68针对在其附近的包裹盒69的在每种情况中的对应打开所需要的所有信息。有待传输至手持式扫描仪68的对应的该多条信息通过考虑区域划分而被分配，也就是说，将递送区域分配给递送代理70是由分配服务器67执行的。并行地，包裹接收方63也获得他们可以使用以打开包裹盒69的其密钥和访问授权信息，也就是说，例如，B、V、A和H3。针对用户63，然而，除了或者作为移动电话61的替代物之外，提供标签62，该标签通常仅打开与用户62相关联的对应的包裹盒69。如由图4中的虚线所指示的，包含在标签上的访问授权信息和密钥同样地由密钥服务器60生成并且然后被存储在标签上。这些标签不扮演同步的基本角色并且因此在当前情况中不被详细描述。

例如，当用户63使用移动电话来打开包裹盒69时，此移动电话可以使用软件应用(随后被称为“App”)来与密钥服务器60进行通信。

以下更详细地描述了图4中的访问控制系统6的一些方面。

访问授权B是由密钥服务器60下发的。举例来讲，访问授权可以包含以下访问授权参数的一个或多个参数：

··LockID：锁的ID

··起始日期：“有效起始”日期(年/月/日)

··结束日期：“有效终止”日期(年/月/日)

··一天的起始时间：访问授权从其处开始有效的时刻(标准，例如00:00:00)

··一天的结束时间：访问授权在其之前有效的时刻(标准，例如23:59:59)

··MaxUses：使用的数量，标准0意味“无限制”

··许可：针对安全性首要的操作设置常量

在这种情况中，两个参数“起始日期”和“结束日期”例如以一天的精度定义了访问授权的有效时间段。“起始日期”规定了首次使用的日期并且“结束日期”规定了有效时间段中的最后一天。“一天的起始时间”另外指定了有效时间段从其处开始的时刻，而“一天的结束时间”指定了所述有效时间段结束的时刻。举例来讲，精度为一秒。“MaxUses”定义了可以多频繁地使用密钥以便打开锁。在这种情况中，例如，值“0”规定了密钥可以在时间段中没有限制地被使用。“许可”例如通过在字节中设置单独的位编码令牌被许可来执行什么样的安全性首要的操作(被设置成1的比特然后指示在每种情况中的授权存在)，例如，是否在每种情况中打开包裹隔室、是否打开包裹隔室和邮件隔室和/或是否执行时间同步被许可(也就是说，如已经针对图3A/B中的流程图300的步骤302所解释的，是否可以执行锁的时钟的同步)

举例来讲，在令牌(例如，手持式扫描仪68)已经通过传输(例如，通过蓝牙)有效的访问授权认证自己之后将锁打开。如已经提及的，访问授权还可以用于传达时间信息T以同步锁的时钟以及在锁的这个方面中的检查信息VT，但是这还可以发生在同一通信会话的单独的通信中否则在单独的通信会话中。

从锁(例如，第一设备)的视角来看，检查打开是否会发生的过程基本上如其已经在图3A/3B中的流程图300的步骤302至304中所呈现的关于对用于同步的授权的检查，但是具有差异，即步骤302b不(或不仅仅)涉及执行检查以确定同步是否被许可(基于在“许可”中恰当地设置位)，而是执行检查以确定访问授权B包含的与存储在锁中的对应的参考信息有关的访问授权参数是否提供用于打开的授权。举例来讲，在最简单的情况中，检查被执行仅用于确定提供授权以打开包裹盒69的一个或多个门的位在“许可”中是否被设置。可选地，另外有可能使得如LockID和/或MaxUses的访问授权参数能够针对存储在锁中的LockID或针对至今已经发生的打开操作的计数器被检查，并且例如仅当存在对应的匹配时被检查，其然后有可能确定存在授权以打开包裹盒69。具体地，时间访问授权参数“起始日期”和“结束日期”(并且可选地还有进一步的参数“一天的起始时间”和“一天的结束时间”)也可以与锁的时钟进行比较以便确定从定时的角度来看访问授权信息实际上是否仍然有效，也就是说，举例来讲，由锁的时钟指示的时间以及定义了时间的日期位于由时间访问授权参数定义的时间段内。

在这个检查以确定打开是否可以发生的情况中，例如，仅步骤302(如所描述的具有经修改的子步骤302b)然后是必要的，而步骤303和304各自可以反而是可选的。步骤302至304以及它们各自包含的子步骤的顺序也是任意的。

例如，如果除了步骤302(如所描述的具有经修改的子步骤302b)之外步骤303和304的一个或多个步骤被执行，那么仅当这些步骤中的所有步骤产生肯定结果时用于打开包裹盒69的授权被确定成为可用的。

有利地，例如，在相同的访问授权信息B中，在“许可”中合适位的设置用于针对同步以及针对打开包裹盒69两者授权访问，以在每种情况中在步骤302b中检查这些授权的可用性并且以与时间信息T一起传输访问授权信息B。原因在于如果然后另外获得该多条信息V、A和针对挑战的响应，那么在步骤303和304中的检查有利地需要被执行仅一次以便关于第三设备(例如，密钥服务器60)和第二设备(例如，手持式扫描仪68)确定B的完整性和真实性。

因此，然后在同一过程中高效地带来时钟的同步及其打开，具体地仅在用访问授权验证设备(例如，手持式扫描仪68、移动电话61或标签62)进行通信的背景中甚至当锁是电池供电并且从节能睡眠模式切换至活跃模式时这是有利的。此切换(并且锁保持在活跃模式中持续一定的时间)然后仅需要一次而不是两次，降低了电源要求并且增加了电池的寿命。

如已经概述的，在包裹盒69的锁电子装置中实现了时钟(具体为实时时钟)。举例来讲，此时钟在锁的处理器中集成(比较图2中的处理器50的时钟501)并且独立于处理器的操作状态操作(只要电池供电存在)。例如，此时钟包含一天的当前时间以及日期，并且作为针对日志条目和/或针对门监控的时间戳被用于检查访问授权的时间有效性。举例来讲，时钟具有针对低或最低功耗设计的专用时钟发生器。举例来讲，时钟具有≤6分钟/月的最大偏差。在电池被插入锁中之后，时钟例如在预定的起始时间(例如，日期2014年1月1日，00:00:00时)处、或者在上一次同步(如果已经发生了一次同步的话)的时间处(否则，有可能例如再次使用预定的起始时间)、或者在另一个存储的时间(例如，基于预定的事件规律存储的时间)处开始。如果时钟未被同步，那么时间从这个起始时间开始运行。

偶尔，锁的时钟的定时需要被同步从而使得安装在锁中的时钟的不准确性不会变得太大。如果这不受影响，有效的访问授权可以由锁错误地拒绝。

锁通常是在离线模式中操作的，从而使得不可能在服务器上监控或重置时间。然而，时间同步可以涉及例如手持式扫描仪68(和/或移动电话61)的使用。这要求设备68/61被锁认为是用于校正时间的可信任的源，也就是说，优选地是被认证的。

例如，当前时间借由蓝牙连接被传输至锁。为了执行时间同步，手持式扫描仪68(或移动电话61)需要访问授权B，在该访问授权中，校正授权位在“许可”中被设置(如以上已经描述的)。相同的访问授权也可以用于打开包裹盒的一个或多个门。换言之，可以或多或少“以分段方式”通过用于提供访问的访问授权来传达授权信息。

手持式扫描仪68(或移动电话61)将其运行时间和日期传输(例如，经由蓝牙)为时间信息T和确认特征VT用于例如使用手持式扫描仪68或移动电话61的第三密钥H3至少借由T借助于密码操作来生成例如数字签名或MAC。举例来讲，例如，在同一通信会话中，T和VT然后与B和V一起(或与之分开地)被传输至锁。基于B的内容，然后在锁中做出决定以确定是否存在可用于时间同步的授权，并且其所要求的值是在对VT的检查(使用H4)之后从T得到的。此方法已经使用图3A/B的示例被解释过了。

在锁已经针对同步授权检查了相关的访问授权B并且已经接收了以上指示的数据T和VT之后，以下步骤被执行，例如：

1.如果所传输的时间T位于定义的时间窗之中(例如，在当前锁时间之前或之后不多于10-30分钟)，那么锁采用所传输的时间。

2.如果锁确定其处于初始启动之后、或者重置之后、或者电池更换或其他电力故障之后的状态中和/或使得时间同步针对第一时间发生，那么时间T当其大于(晚于)当前锁时间(可能减去阈值)时被采用。如以上提及的，例如，当前锁时间是从规定的标准时间、上一次同步的时间或另一个存储的时间提前的时间。举例来讲，具体地，当针对处理器的故意的供电中断发生时(例如，由于锁上的重置按钮的操作或者由于从令牌接收到的命令)发生重置。举例来讲，锁可以从标志位被设置为0(举例来讲，其仅在时间同步之后被设置为1并且事件重置时、电池更换或其他电力故障中的每个事件再次自动地返回至0，例如，因为该标志位存储在需要电源的存储器中)或者针对已经发生的时间同步的计数器(该计数器在重置/电池更换/其他电力故障时被设置为0并且在递送时被设置为0)仍为0的事实中分辨其是否处于重置之后、电池更换或其他电力故障或者在初始启动的状态中。

3.在时间同步之后，根据1.或2.，“解锁”协议被执行，也就是说，访问授权B被确认(如果这还未发生的话)并且被检查并且如果需要的话锁被打开。

如果同步时间相对于锁时间位于可定义的范围内或者锁处于预定义的状态中，那么这个解决方案允许时间同步在没有手持式扫描仪68或移动电话61的情况下被执行。举例来讲，手持式扫描仪68或移动电话61的时钟在每种情况中可以是无线电时钟的形式并因此根据时间信号发射机被同步，密钥服务器60也根据该时间信号发射机同步自己。替代地，密钥服务器可以基于网络同步服务被同步，并且针对这个的时间然后也可以用作手持式扫描仪68和移动电话61的同步的基础，例如，借助于手持式扫描仪68的对接站连接于计算机，该计算机每当其被充电/供电时将手持式扫描仪68同步至网络同步服务的时间(举例来讲，这是已经提及的从提供服务器66获得针对在手持式扫描仪68的递送区域中的包裹盒的访问授权和密钥并且然后经由对接站或替代地经由WLAN将它们传输至手持式扫描仪68的计算机)。举例来讲，移动电话61可以基于网络同步服务的时间经由移动无线电提供商或者经由至使用网络同步服务的服务器的数据连接(例如，经由移动电话61的App，该App还用于确定至密钥服务器的连接)而被同步。

关于图4的系统6，应注意的是，在其中使用的访问授权信息和检查信息的类型(也就是说，具体地，该多条信息B、V、A、H3)仅是示例性的并且当取决于时间信息的不同种访问授权信息被使用时在手持式扫描仪68(或移动电话61)与锁/包裹盒69之间执行的同步也可以以相同的方式被使用。举例来讲，密钥服务器60可以针对每个锁包括机密的单独的标识符或者机密的单独的密码(例如，对称密钥，例如，AES密钥)，其因此在每种情况中也被存储在锁中。举例来讲，然后可以通过根据规定的(例如，密码的)规范将例如从时钟获得的时间信息联系至锁特定的密码而生成针对特定锁的时间受限的访问信息以便获得访问授权信息。举例来讲，来自时钟的对应的一天的当前时间(例如，以分钟或小时为单位，可能以日期为单位)被使用并且(例如，对称地)使用锁特定的密码被加密。在锁中，所获得的访问授权信息使用锁密码被解密并且与来自锁的时刻进行比较(相应地，以分钟或小时为单位，可能以日期为单位)。如果从解密的访问授权信息获得的时刻位于根据预定的规则确定的间隔内(例如，围绕锁的当前时间10分钟、或1小时、或1天或者在相同的小时或者在同一天)，那么访问授权被假定。也在这种情况中，针对密钥服务器和锁的这些时钟的时间同步是必不可少的。

图5示出了示例性流程图1100，该流程图呈现了根据本发明的在锁中的操作的可能的顺序。总体上旨在由锁执行的那些操作可以例如使用一个或多个命令被传达至令牌。根据期望的操作，以上描述的并且在图1中呈现的值B、V、A、T、VT中的一个或多个值然后被从令牌(例如，手持式扫描仪68)传输至锁。

在开始1101之后，令牌认证(使用密钥H4，比较图3A/B中的步骤304)可以被执行(步骤1104)或者针对锁软件的固件更新(步骤1110)可以被执行。图5旨在被理解为意味着每个操作基本上是可选的，也就是说，举例来讲，如果期望的话可以仅执行仅步骤1104和步骤1105。此外，还可以因此在每个操作之后(例如，在步骤1108之后)终止执行。

在成功的令牌认证1104之后，有可能或者使得电子装置针对有待请求(步骤1108)的锁的状态被重置(在步骤1109中重置)或者使得对获得的访问授权B的检查被执行(步骤1105)。在两个步骤之后，可选地还有可能使得重置被执行(步骤1109)。例如，如果访问授权B提供授权以打开包裹盒69的一个或多个门，那么这个/这些门被打开(步骤1106)。如果访问授权B例如另外指示存在针对时间同步的授权，那么锁的时钟的同步因此被执行(步骤1107)。此后，如果存在授权，那么可选地有可能使得门被打开(步骤1106)或者重置被执行(步骤1109)。还在针对状态的请求(步骤1108)之后，如果存在授权，则可选地有可能使得门被打开(步骤1106)。

如可从图5中所见的，重置(步骤1109)或固件更新(步骤1110)之后，门未被打开。

以下另外旨在被披露为本发明的示例性实施例：

示例性实施例1至27：这些实施例在权利要求1至27中被定义。

示例性实施例28：

一种由第二设备(2)执行的方法，该方法包括：

-将使用该第二设备的时钟获得的时间信息(T)传达至一个第一设备(1)，以便使得该第一设备能够执行以下检查中的一项或多项：

-检查(308)以确定该第一设备(1)是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中，

-检查(307)以确定来自该第一设备(1)的时钟(501)的时间信息(T本地)与所传达的时间信息(T)之间的偏差是否小于或者小于或等于预定的、或根据一个预定的规则确定的一个预定的阈值(D)，

-检查以确定所传达的时间信息(T)是否具有与来自该第一设备(1)的时钟(501)的该时间信息(T本地)相同的日期，

其中，如果一个或多个预定的条件中的所有条件被满足的话则该第一设备(1)使用所传达的时间信息(T)对其时钟(501)进行同步，该一个或多个条件之一要求该一项或多项执行的检查中的至少一项产生肯定结果。

示例性实施例29

根据示例性实施例28所述的方法，其中，该一个或多个条件中的另一个条件要求该第二设备(2)已经成功地向该第一设备(1)认证其自身。

示例性实施例30：

根据示例性实施例29所述的方法，其中，所述向该第一设备认证该第二设备是基于一个第三密钥(H3)，该第三密钥与一个第四密钥(H4)形成一个对称的或非对称的密钥对(H3，H4)，该第四密钥至少在检查该第二设备(2)的真实性时存在于该第一设备(1)中。

示例性实施例31：

根据示例性实施例30所述的方法，其中，多个第二设备(2)可以将时间信息(T)传达至该第一设备(1)，并且其中，来自该多个第二设备的包括该第二设备(2)的至少两个设备的至少一组使用相同的第三密钥(H3)向该第一设备(1)认证它们自身。

示例性实施例32：

根据示例性实施例30和31中任一项所述的方法，其中，所述认证该第二设备(2)包括使用该第三密钥(H3)对该时间信息(T)执行密码操作(KRYPT)以获得检查信息(VT)并将该检查信息(VT)传达至该第一设备(1)，该第一设备可以基于该获得的检查信息(VT)、该获得的时间信息(T)以及该第四密钥(H4)检查该第二设备(2)的真实性。

示例性实施例33：

根据示例性实施例30至32之一所述的方法，该方法进一步包括：

-将至少包括至少使用一个第一密钥加密的该第四密钥的信息(A)传达至该第一设备(1)，从而使得该第一设备(1)可以至少使用一个第二密钥(S2)解密该加密的第四密钥以便获得该第四密钥(H4)。

示例性实施例34：

根据示例性实施例33所述的方法，其中，该第一密钥(S1)是该第二设备(2)未知的。

示例性实施例35：

根据示例性实施例33和34中任一项所述的方法，其中，该第一密钥(S1)被存储在一个第三设备(3)中，其中，该第三设备(3)生成至少包括使用该第一密钥(S1)加密的该第四密钥(H4)的信息(A)并且将此信息(A)和该第三密钥(H3)传达至该第二设备(2)。

示例性实施例36：

根据示例性实施例35所述的方法，该方法进一步包括：

-将访问授权信息(B)和检查信息(V)传输至该第一设备(1)，该访问授权信息包括至少一个访问授权参数，该至少一个访问授权参数定义了一个时间段，在该时间段内该访问授权信息(B)授权访问该第一设备(1)或访问受后者控制的一个设备(69)，而该检查信息(V)由该第三设备(3)使用该第一密钥(S1)对该访问授权信息(B)执行密码操作(KRYPT)而被生成，以便使得该第一设备(1)能够决定访问是否可以被授权，其中，所述授权访问的多个必要条件是：基于使用该第二密钥(S’)和所传达的访问授权信息(B)在第一设备(1)中所传达的检查信息(V)的评估，确定所传达的检查信息(V)已经使用该第一密钥(S1)对对应于所传达的访问授权信息(B)的信息执行密码操作(KRYPT)而被生成；并且，检查得到来自时钟(501)的该时间信息(T本地)位于由该至少一个访问授权参数定义的时间段内。

示例性实施例37：

根据示例性实施例28至35之一所述的方法，该方法进一步包括：

-将访问授权信息(B)传输至该第一设备(1)，该访问授权信息包括至少一个访问授权参数，该至少一个访问授权参数定义了一个时间段，在该时间段内该访问授权信息(B)授权访问该第一设备(1)或访问受后者控制的一个设备(69)，以便使得该第一设备(1)能够决定访问是否可以被授权，其中，所述授权访问的必要条件是检查得到来自时钟(501)的该时间信息(T本地)位于由该至少一个访问授权参数定义的时间段内。

示例性实施例38：

根据示例性实施例36和37中任一项所述的方法，其中，所传达的访问授权信息(B)另外包括一个访问授权参数，该访问授权参数指示是否可以执行该第一设备(1)的时钟(501)的同步，并且其中，该一个或多个条件中的另一个条件要求该访问授权参数指示可以执行该第一设备(1)的时钟(501)的同步。

示例性实施例39：

根据示例性实施例36至38之一所述的方法，其中，时钟(501)的所述同步发生在所述检查以确定来自时钟(501)的该时间信息(T本地)是否位于由该至少一个访问授权参数定义的时间段内之前。

示例性实施例40：

根据示例性实施例36至39之一所述的方法，其中，该时间信息(T)和该访问授权信息(B)在同一通信会话中被传达至该第一设备(1)。

示例性实施例41：

根据示例性实施例36至40之一所述的方法，其中，该时间段对应于一天。

示例性实施例42：

根据示例性实施例28至41之一所述的方法，该方法进一步包括：

-将访问授权信息(B)传达至该第一设备(1)，该访问授权信息包括至少一个访问授权参数，该至少一个访问授权参数指示是否可以执行该第一设备(1)的时钟(501)的同步，并且其中，该一个或多个条件中的另一个条件要求该访问授权参数指示可以执行该第一设备(1)的时钟(501)的同步。

示例性实施例43：

根据示例性实施例28至42之一所述的方法，该方法进一步包括：

-将访问授权信息传达至该第一设备，该访问授权信息包括至少一个访问授权参数，该至少一个访问授权参数定义了一个时间段，其中，该一个或多个条件中的另一个条件要求所传达的时间信息位于该时间段内。

示例性实施例44：

根据示例性实施例28至43之一所述的方法，其中，该一个或多个条件中的另一个条件要求所传达的时间信息的日期晚于时钟的上一次同步或设置的时间的日期。

示例性实施例45：

根据示例性实施例28至44之一所述的方法，其中，如果所述检查得到来自时钟的该时间信息与所传达的时间信息之间的该偏差既不小于也不小于或等于该阈值，那么执行以下操作：

-如果所传达的信息小于来自时钟的时间信息减去阈值，那么将时钟设置为由来自时钟的时间信息减去阈值所产生的时间；并且

-如果所传达的信息不小于来自时钟的时间信息减去阈值，那么将时钟设置为由来自时钟的时间信息加上阈值所产生的时间。

示例性实施例46：

根据示例性实施例28至45之一所述的方法，其中，该第一设备(1)的时钟(501)在初始启动时、电池更换或其他电力故障之后或者重置之后被自动地设置为一个预定的时间、上一次同步的时间或者存储在该第一设备(1)中的另一个时间，并且从所述时间开始运行。

示例性实施例47：

根据示例性实施例28至46之一所述的方法，其中，所述检查以确定该第一设备(1)是否处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中另外涉及检查(309)所传达的时间信息(T)是否晚于来自该第一设备(1)的时钟(501)的时间信息(T本地)或者晚于来自该第一设备(1)的时钟的该时间信息(T)减去一个预定的、或根据一个预定的规则而确定的一个阈值(D)，并且其中，仅当确定该设备(1)处于初始启动之后、电池更换或其他电力故障之后或者重置之后的状态中并且所传达的时间信息(T)晚于来自该第一设备(1)的时钟(501)的该时间信息(T本地)或者晚于来自该第一设备(1)的时钟(501)的该时间信息(T)减去该预定的阈值时获得此检查的肯定结果。

示例性实施例48：

根据示例性实施例28至47之一所述的方法，其中，该预定的规则至少将时钟(501)中关于时间段的平均目标时间偏差以及自从时钟(501)的上一次执行的同步以来已经过去的时间考虑在内。

示例性实施例49：

根据示例性实施例28至48之一所述的方法，其中，该时间信息(T)是从该第二设备(2)的时钟获得的并且被无线地传达至该第一设备(1)。

示例性实施例50：

根据示例性实施例28至49之一所述的方法，其中，该第一设备(1)控制对一个容器的访问，具体为一个包裹盒(69)。

示例性实施例51：

根据示例性实施例28至50之一所述的方法，其中，该第二设备(2)是一个货物递送代理的一个电子便携式设备，具体为一个手持式扫描仪(68)。

示例性实施例52：

根据示例性实施例28至51之一所述的方法，其中，该时间信息(T)借助于无线通信被传达至该第一设备(1)，具体为经由蓝牙或NFC。

示例性实施例53：

一种第二设备(2)，该第二设备被配置成用于执行和/或控制根据示例性实施例28至52之一所述的方法或者包括用于执行和/或控制根据示例性实施例28至52之一所述的方法的这些步骤的对应的装置。

示例性实施例54：

一种计算机程序，该计算机程序包括多条程序指令，这些程序指令在该计算机程序在处理器(50)上运行时致使该处理器(50)执行和/或控制根据示例性实施例1至25或28至52之一所述的方法。

示例性实施例55：

一种系统(4)，包括：

-根据示例性实施例26所述的第一设备(1)，

-根据示例性实施例53所述的第二设备(2)。

在本说明书中所描述的本发明的示例性实施例旨在被理解为首先单个地在每个情况中但也以所有的彼此组合所披露。具体地，在当前情况中，除非显式地进行相反解释，实施例包括的对特征的描述也不旨在被理解为意味着该特征针对示例性实施例的功能是不可或缺或重要的。在本说明书中在各个单独流程图中概述的这些方法步骤的顺序不是必要的，并且这些方法步骤的替代性顺序是可以想到的。这些方法步骤可以用不同的方式实现，在软件(借助于程序指令)、硬件或两者组合中的实现方式因此可能用于实现这些方法步骤。在本专利权利要求书中使用的术语，如“包括(comprise)”、“具有(have)”、“包含(contain)”、“包括(include)”等不排除进一步的元素或步骤。用语“至少部分地”包括“部分地”情况和“完全地”情况两者。用语“和/或”旨在被理解为意味着旨在披露替代和组合两者，也就是说，“A和/或B”意味着“(A)或(B)或(A和B)”。在本说明书的上下文中，多个(a plurality of)单元、人员等意味着许多(multiple)单元、人员等。不定冠词的使用不排除复数个。单个设备可以执行在本专利权利要求书中引用的许多单元或设备的功能。在本专利权利要求书中指定的参考符号不旨在被认为是对这些所采用的装置和步骤的限制。

Claims

1.一种由第一设备(1)执行的方法，该方法包括：

-获得(301)被传达至该第一设备(1)的时间信息(T)，并且

-执行以下检查中的一项或多项：

-检查(308)该第一设备(1)是否处于初次启动之后、电池更换或其他电力故障之后或者重置之后的状态中，

-检查(309)来自时钟(501)的时间信息(T本地)与所传达的时间信息(T)之间的偏差是否小于或者小于或等于一个预定的阈值(D)或者根据一个预定的规则而确定的一个阈值(D)，

-检查以确定所传达的时间信息(T)是否具有与来自该时钟(501)的该时间信息(T本地)相同的日期，

-如果一个或多个预定的条件中的所有条件被满足的话则使用所传达的时间信息(T)对该时钟(501)进行同步(310)，其中，该一个或多个条件之一要求所执行的该一项或多项检查中的至少一项产生肯定结果。

2.如权利要求1所述的方法，其中，该一个或多个条件中的另一个条件要求将该时间信息(T)传达至该第一设备(1)的第二设备(2)相对于该第一设备(1)成功地完成认证。

3.如权利要求2所述的方法，其中，该第二设备相对于该第一设备进行的认证是基于一个第三密钥(H3)，该第三密钥与一个第四密钥(H4)形成一个对称的或非对称的密钥对(H3，H4)，该第四密钥至少在该第二设备(2)的真实性检查时存在于该第一设备(1)中。

4.如权利要求3所述的方法，其中，多个第二设备(2)能够将时间信息(T)传达至该第一设备(1)，并且其中，至少一组来自该多个第二设备的、包括该第二设备(2)的至少两个第二设备使用相同的第三密钥(H3)相对于该第一设备(1)进行认证。

5.如权利要求3和4任一项所述的方法，其中，所述该第二设备(2)的认证包括使用该第三密钥(H3)对该时间信息(T)执行密码操作(KRYPT)以获得检查信息(VT)并将该检查信息(VT)传达至该第一设备(1)，该第一设备能够基于该获得的检查信息(VT)、该获得的时间信息(T)以及该第四密钥(H4)检查该第二设备(2)的真实性。

6.如权利要求3至5任一项所述的方法，进一步包括：

-获得(305a)信息(A)，该信息被传达至该第一设备(1)并且至少包括至少使用一个第一密钥加密的该第四密钥，并且

-至少使用一个第二密钥(S2)解密(305b)该加密的第四密钥，以便获得该第四密钥(H4)。

7.如权利要求6所述的方法，其中，该第一密钥(S1)对于该第二设备(2)而言是未知的。

8.如权利要求6和7任一项所述的方法，其中，该第一密钥(S1)存储在一个第三设备(3)中，其中，该第三设备(3)生成信息(A)，该信息至少包括使用该第一密钥(S1)加密的该第四密钥(H4)，并且将此信息(A)和该第三密钥(H3)传达至该第二设备(2)。

9.如权利要求8所述的方法，该方法进一步包括：

-获得访问授权信息(B)和检查信息(V)，该访问授权信息被传达至该第一设备(1)并且包括至少一个访问授权参数，该访问授权参数定义了一个时间段，在该时间段内该访问授权信息(B)授权访问该第一设备(1)或访问受该第一设备控制的一个设备(69)，并且该检查信息被传达至该第一设备(1)，该检查信息由该第三设备(3)使用该第一密钥(S1)对该访问授权信息(B)执行密码操作(KRYPT)而生成，并且

-决定关于是否允许授权访问，其中，所述授权访问的多个必要条件是：基于使用该第二密钥(S’)和所传达的访问授权信息(B)在该第一设备(1)中对所传达的检查信息(V)的评估，确定所传达的检查信息(V)是通过使用该第一密钥(S1)对与所传达的访问授权信息(B)相应的信息执行密码操作(KRYPT)而生成；并且，检查得出：来自该时钟(501)的该时间信息(T本地)位于由该至少一个访问授权参数定义的该时间段内。

10.如权利要求1至8任一项所述的方法，该方法进一步包括：

-获得访问授权信息(B)，该访问授权信息被传达至该第一设备(1)并且包括至少一个访问授权参数，该访问授权参数定义了一个时间段，在该时间段内该访问授权信息授权访问该第一设备(1)或访问受该第一设备控制的一个设备(69)，并且

-决定是否允许授权访问，其中，所述授权访问的必要条件是检查得出：来自该时钟(501)的该时间信息(T本地)位于由该至少一个访问授权参数定义的该时间段内。

11.如权利要求9和10任一项所述的方法，其中，所传达的访问授权信息(B)进一步包括一个访问授权参数，该访问授权参数指示是否能够执行该第一设备(1)的该时钟(501)的同步，并且其中，该一个或多个条件中的另一个条件要求：该访问授权参数指示允许执行该第一设备(1)的该时钟(501)的同步。

12.如权利要求9至11任一项所述的方法，其中，该时钟(501)的所述同步发生在对来自该时钟(501)的该时间信息(T本地)是否位于由该至少一个访问授权参数定义的该时间段内而进行的所述检查之前。

13.如权利要求9至12任一项所述的方法，其中，该时间信息(T)和该访问授权信息(B)在同一通信会话中被传达至该第一设备(1)。

14.如权利要求9至13任一项所述的方法，其中，该时间段相当于一天。

15.如权利要求1至14任一项所述的方法，该方法进一步包括：

-获得访问授权信息(B)，该访问授权信息被传达至该第一设备(1)并且包括至少一个访问授权参数，该至少一个访问授权参数指示是否允许执行该第一设备(1)的该时钟(501)的同步，并且其中，该一个或多个条件中的另一个条件要求该访问授权参数指示允许执行该第一设备(1)的该时钟(501)的同步。

16.如权利要求1至15任一项所述的方法，该方法进一步包括：

-获得访问授权信息(B)，该访问授权信息被传达至该第一设备(1)并且包括定义了一个时间段的至少一个访问授权参数，其中，该一个或多个条件中的另一个条件要求所传达的时间信息(T)位于该时间段内。

17.如权利要求1至16任一项所述的方法，其中，该一个或多个条件中的另一个条件要求所传达的时间信息(T)的日期晚于该时钟(501)上一次同步或设置的时间点的日期。

18.如权利要求1至17任一项所述的方法，其中，如果所述检查得出：来自该时钟(501)的该时间信息(T本地)与所传达的时间信息(T)之间的该偏差既不小于也不小于或等于该阈值(D)，那么执行以下操作：

-如果所传达的信息小于来自该时钟的该时间信息减去该阈值，那么将该时钟(501)设置为由来自该时钟的该时间信息(T本地)减去该阈值(D)所得出的时间；并且

-如果所传达的信息不小于来自该时钟的该时间信息减去该阈值，那么将该时钟(501)设置为由来自该时钟的该时间信息(T本地)加上该阈值(D)所得出的时间。

19.如权利要求1至18任一项所述的方法，其中，该第一设备(1)的该时钟(501)在初次启动时、电池更换或其他电力故障之后或者重置之后自动地设置为一个预定的时间、上一次同步的时间或者存储在该第一设备(1)中的另一个时间，并且从所述时间开始运行。

20.如权利要求1至19任一项所述的方法，其中，在用于确定该第一设备(1)是否处于初次启动之后、电池更换或其他电力故障之后或者重置之后的状态中的所述检查中进一步检查(309)：所传达的时间信息(T)是否晚于来自该第一设备(1)的时钟(501)的时间信息(T本地)或者晚于来自该第一设备(1)的该时钟(501)的该时间信息(T)减去预定的或根据一个预定的规则确定的一个阈值(D)，并且其中，仅当确定该设备(1)处于初次启动之后、电池更换或其他电力故障之后或者重置之后的状态中并且所传达的时间信息(T)晚于来自该第一设备(1)的该时钟(501)的该时间信息(T本地)或者晚于来自该第一设备(1)的该时钟(501)的该时间信息(T)减去该阈值(D)时获得此检查的肯定结果。

21.如权利要求1至20任一项所述的方法，其中，该预定的规则至少将该时钟(501)就时间间隔方面的平均额定时间偏差以及自从该时钟(501)上一次执行的同步以来已经过去的时间考虑在内。

22.如权利要求1至21任一项所述的方法，其中，该时间信息(T)是从一个第二设备(2)的时钟获得的并且被无线地传达至该第一设备(1)。

23.如权利要求1至22任一项所述的方法，其中，该第一设备(1)控制对一个容器的访问，具体为一个包裹盒(69)。

24.如权利要求1至23任一项所述的方法，其中，该第二设备(2)是一个货物递送代理的一个电子便携式设备，具体为一个手持式扫描仪(68)。

25.如权利要求1至24任一项所述的方法，其中，该时间信息(T)借助于无线通信被传达至该第一设备(1)，具体为经由蓝牙或NFC。

26.一种第一设备(1)，该第一设备配置成用于执行和/或控制如权利要求1至25任一项所述的方法或者包括用于执行和/或控制如权利要求1至25任一项所述的方法的步骤的对应的装置。

27.一种第二设备(2)用于将该时间信息(T)传达至如权利要求26所述的第一设备(1)的用途。

28.一种由第二设备(2)执行的方法，该方法包括：

-检查(307)来自该第一设备(1)的时钟(501)的时间信息(T本地)与所传达的时间信息(T)之间的偏差是否小于或者小于或等于一个预定的或根据一个预定的规则而确定的阈值(D)，

-检查所传达的时间信息(T)是否具有与来自该第一设备(1)的该时钟(501)的该时间信息(T本地)相同的日期，

其中，如果一个或多个预定的条件中的所有条件被满足的话则该第一设备(1)使用所传达的时间信息(T)对其时钟(501)进行同步，其中该一个或多个条件之一要求所执行的该一项或多项检查中的至少一项产生肯定结果。

29.一种第二设备(2)，该第二设备配置成用于执行和/或控制如权利要求28所述的方法或者包括用于执行和/或控制如权利要求28所述的方法的步骤的对应的装置。

30.一种计算机程序，该计算机程序包括多条程序指令，这些程序指令在该计算机程序在处理器(50)上运行时致使该处理器(50)执行和/或控制如权利要求1至25任一项或根据权利要求28所述的方法。

31.一种系统(4)，该系统包括：

-如权利要求26所述的第一设备(1)，

-如权利要求29所述的第二设备(2)。