Login| Sign Up| Help| Contact|

Patent Searching and Data


Title:
METHOD FOR SETTING A REFERENCE TIME
Document Type and Number:
WIPO Patent Application WO/2019/052864
Kind Code:
A1
Abstract:
The invention relates to a method for setting a reference time for at least one device (6) of a vehicle (2), in which a signed data packet (14) is transmitted by an infrastructure device (8) to the at least one device (6), said data packet comprising an authentic time, wherein the reference time of the at least one device (6) is set as a function of the authentic time.

Inventors:
PREUSSNER, Felix (Häckergasse 19, Haßfurt, 97437, DE)
HARTOK, Johann (Westring 2, Demling-Großmehring, 85098, DE)
Application Number:
EP2018/073815
Publication Date:
March 21, 2019
Filing Date:
September 05, 2018
Export Citation:
Click for automatic bibliography generation   Help
Assignee:
AUDI AG (Auto-Union-Str. 1, Ingolstadt, 85045, DE)
International Classes:
H04J3/06; H04L29/06; G04G5/00; H04L29/08
Foreign References:
US20160357159A12016-12-08
DE102010045894A12011-07-07
US20160359610A12016-12-08
DE102015205406A12016-09-29
EP1959606A12008-08-20
CH708123A22014-12-15
Download PDF:
Claims:
Patentansprüche

1 . Verfahren zum Einstellen einer Referenzzeit für mindestens ein Gerät (6) eines Fahrzeugs (2), bei dem dem mindestens einen Gerät ( 6) von einer Infrastruktureinrichtung (8) ein signiertes Datenpaket (14) übermittelt wird, das eine authentische Zeit umfasst, wobei die Referenzzeit des mindestens einen Geräts (6) in Abhängigkeit der authentischen Zeit eingestellt wird.

2. Verfahren nach Anspruch 1 , bei dem eine kryptographische Signatur des signierten Datenpakets (14) von dem mindestens einen Gerät ( 6) überprüft wird.

3. Verfahren nach Anspruch 1 oder 2, bei dem ein in dem Datenpaket (14) enthaltener Code von dem mindestens einen Gerät (6) auf Authentizität überprüft wird.

4. Verfahren nach einem der voranstehenden Ansprüche, bei dem die authentische Zeit als primäre Zeit mit einer sekundären Zeit verglichen wird, wobei eine Zeitabweichung zwischen der authentischen Zeit und der sekundären Zeit ermittelt wird, wobei als Referenzzeit die authentische Zeit verwendet wird, wenn die Zeitabweichung mindestens so groß wie ein definierbares bzw. definiertes Zeitintervall ist, und wobei als Referenzzeit die sekundäre Zeit verwendet wird, wenn die Zeitabweichung kleiner als das definierbare bzw. definierte Zeitintervall ist.

5. Verfahren nach einem der voranstehenden Ansprüche, das bei einem Start des Fahrzeugs (2) automatisch ausgeführt wird.

6. Verfahren nach einem der voranstehenden Ansprüche, bei dem das Datenpaket (14) mit der authentischen Zeit von dem mindestens einen Gerät

( 6) bei der Infrastruktureinrichtung (8) angefordert wird.

7. Verfahren nach Anspruch 3 und 6, bei dem ein Datenpaket, mit dem von dem mindestens einen Gerät ( 6) bei der Infrastruktureinrichtung (8) die authentische Zeit angefordert wird, den Code enthält, der von dem

mindestens einen Gerät ( 6) zuvor erzeugt wurde.

8. Verfahren nach einem der voranstehenden Ansprüche, bei dem die Infrastruktureinrichtung (8) einem Hersteller des mindestens einen Geräts (6) zugeordnet ist, wobei das Datenpaket (14) mit der authentischen Zeit von dem Hersteller bereitgestellt wird.

9. System zum Einstellen einer Referenzzeit für mindestens ein Gerät ( 6) eines Fahrzeugs (2), wobei das System (30) das mindestens eine Gerät (6), das in dem Fahrzeug (2) angeordnet ist, und eine Infrastruktureinrichtung (8) aufweist, wobei die I nf rastru ktu rein richtu ng (8) dazu ausgebildet ist, dem mindestens einen Gerät ( 6) ein signiertes Datenpaket (14) zu übermitteln, das eine authentische Zeit umfasst, wobei das mindestens eine Gerät (6) dazu ausgebildet ist, die Referenzzeit des mindestens einen Geräts ( 6) in Abhängigkeit der authentischen Zeit einzustellen.

10. System nach Anspruch 9, bei dem das mindestens eine Gerät (6) eine Echtzeituhr aufweist, für die die Referenzzeit einzustellen ist.

Description:
Verfahren zum Einstellen einer Referenzzeit

Die Erfindung betrifft ein Verfahren zum Einstellen einer Referenzzeit für mindestens ein Gerät eines Fahrzeugs und ein System zum Einstellen einer Referenzzeit für mindestens ein Gerät eines Fahrzeugs.

Ein Fahrzeug kann auf eine Vielzahl verschiedener Zeitquellen,

beispielsweise auf ein Kombi-Instrument oder Systeme, wie GPS sowie UMTS, zurückgreifen . Von diesen Zeitquellen bereitgestellte Informationen zu der Zeit sind jedoch manipulierbar. Ein Angreifer kann dies entweder durch einen Angriff auf eine Luftschnittstelle des Fahrzeugs, über die es Zugang zu GPS und/oder UMTS hat, oder durch eine Manipulation von Bus- Signalen erreichen, da in diesen Fällen eine Datenkommunikation

unverschlüsselt und unsigniert abläuft. Im Falle der Zeit aus dem Kombi- Instrument kann diese sogar manuell gestellt werden.

Allerdings ist es erforderlich, für neue Konzepte und Funktionen eine manipulationssichere Zeitinformation bereitzustellen. Dies erfordert bspw. eine Prüfung von kryptographischen Zertifikaten .

Die Druckschrift DE 10 20 5 205 406 A1 beschreibt eine Vorrichtung, ein Verfahren und ein System zur Erfassung und Auflösung von

Zeitinformationen. Eine aus der Druckschrift EP 1 959 606 A1 bekannte Sicherheitseinheit weist zumindest ein Kryptografiemodul auf, mit dem kryptografische Schlüssel erzeugt, gespeichert, verwaltet und/oder verarbeitet werden.

Ein Verfahren zum Bereitstellen einer sicheren Zeitinformation ist aus der Druckschrift CH 708 123 A2 bekannt. Vor diesem Hintergrund war es eine Aufgabe, einem Fahrzeug eine manipulationssichere Uhrzeit bereitzustellen. Diese Aufgabe wird mit einem Verfahren und einem System mit den

Merkmalen der unabhängigen Patentansprüche gelöst. Ausgestaltungen des Verfahrens und des Systems gehen aus den abhängigen Patentansprüchen und der Beschreibung hervor. Das erfindungsgemäße Verfahren ist zum Einstellen einer Referenzzeit für mindestens ein Gerät eines Fahrzeugs vorgesehen. Hierbei wird dem mindestens einen Gerät von einer Infrastruktureinrichtung ein kryptografisch geschütztes Datenpaket übermittelt, das eine authentische Zeit bzw. Uhrzeit umfasst bzw. aufweist bzw. beinhaltet, wobei die Referenzzeit des mindestens einen Geräts in Abhängigkeit der authentischen Zeit eingestellt wird. Das Datenpaket wird bzw. ist bspw. zusätzlich mit einer TLS- Verschlüsselung, d. h. mit einer Transport-Layer-Security- bzw.

Transportschichtsicherheits-Verschlüsselung, verschlüsselt. Die

Infrastruktureinrichtung ist bspw. als Rechenzentrum ausgebildet, das mindestens einen Zeitserver und ggf. mindestens eine Recheneinheit bzw. mindestens einen Computer aufweist.

Bei dem Verfahren wird mit dem mindestens einen Gerät und der

Infrastruktureinrichtung mindestens eine Authentische-Zeit-Funktion realisiert, mit der die authentische Zeit als eine manipulationssichere Zeit bzw. Zeitinformation zur Verfügung gestellt wird, auf deren Grundlage die Referenzzeit eingestellt wird. Im Gegensatz zu anderen Zeiten im Fahrzeug kann eine Nutzerfunktion darauf vertrauen, dass die bereitgestellte authentische Zeit nicht manipuliert wurde. Die authentische Zeit ist vielleicht nicht so exakt wie andere verfügbare Zeiten, aber sie ist integer. Weiterhin werden eine kryptographische Signatur und ein in dem Datenpaket enthaltener Code, bspw. eine zufällige Prüf-Zeichenkette, als sogenannte Challenge des Datenpakets von dem mindestens einen Gerät überprüft. Durch Überprüfen der Signatur, mit der das Datenpaket signiert ist, und des Codes ist überprüfbar, ob das Datenpaket und dessen Inhalt, d. h. die authentische Zeit bzw. Uhrzeit, ggf. manipuliert wurde bzw. wurden.

In Ausgestaltung wird die authentische Zeit als primäre Zeit bzw. Uhrzeit mit einer sekundären Zeit bzw. Uhrzeit verglichen, die von einer weiteren externen Zeitquelle bereitgestellt wird. Dabei wird eine Zeitabweichung bzw. zeitliche Abweichung zwischen der authentischen Zeit und der sekundären Zeit ermittelt. Als Referenzzeit wird die authentische Zeit verwendet, wenn die Zeitabweichung mindestens so groß wie ein vorgegebenes bzw.

definierbares Zeitintervall ist. Dagegen wird als Referenzzeit die sekundäre Zeit verwendet, wenn die Zeitabweichung kleiner als das definierbare

Zeitintervall ist. Durch das definierbare Zeitintervall wird u. a. eine Zeit berücksichtigt, die erforderlich ist, die authentische Zeit durch die

Infrastruktureinrichtung zu ermitteln, das signierte Datenpaket mit der authentischen Zeit zu erzeugen und üblicherweise über eine

Datenverbindung an das mindestens eine Gerät zu senden.

Das Verfahren wird bei und/oder nach einem Start, üblicherweise Neustart, des Fahrzeugs, zumindest jedoch während und/oder nach einem Start des mindestens einen Geräts des Fahrzeugs ausgeführt. In Ausgestaltung wird von dem mindestens einen Gerät des Fahrzeugs zunächst ein Signal, üblicherweise ein anforderndes und/oder anfragendes Datenpaket mit dem Code (Challenge), einer aktuellen Referenzzeit und einer von der

Infrastruktureinrichtung zuletzt bereitgestellten authentischen Zeit an die Infrastruktureinrichtung gesendet und das Datenpaket mit der authentischen Zeit angefordert, falls eine manipulationssichere integre Uhrzeit erforderlich ist. Es ist auch denkbar, dass nach jedem Start des Fahrzeugs und/oder des Geräts automatisch ein derart anforderndes Datenpaket von dem mindestens einen Gerät an die Infrastruktureinheit gesendet wird. Ferner ist dies nach Bedarf, wenn bspw. von der Nutzerfunktion eine manipulationssichere authentische Zeit benötigt wird, möglich.

Das üblicherweise ebenfalls signierte anfordernde und/oder anfragende Datenpaket, mit dem von dem mindestens einen Gerät bei der

Infrastruktureinrichtung die authentische Zeit angefordert wird, enthält den Code, der von dem mindestens einen Gerät erzeugt wird bzw. erzeugt worden ist. Dieser Code wird von der Infrastruktureinrichtung empfangen und innerhalb des signierten Datenpakets, das die authentische Zeit enthält, an das mindestens eine Gerät zurückgesendet. Der Code, der von dem mindestens einen Gerät vorab selbst erzeugt wurde, wird von diesem auf Richtigkeit überprüft. Nur wenn der empfangene Code dem ursprünglich erzeugten Code entspricht und die Signatur valide bzw. gültig ist, ist sichergestellt, dass das Datenpaket mit der authentischen Zeit nicht manipuliert wurde.

Der Code bzw. die Challenge, der bzw. die hier von der

Infrastruktureinrichtung bzw. dem Backend an das mindestens eine Gerät gesendet wird, ist bei einer unmanipulierten Übertragung des Datenpakets zu dem Code bzw. der Challenge identisch , den bzw. die das mindestens eine Gerät zuvor beim Anfordern und/oder Anfragen der authentischen Zeit an die Infrastruktureinrichtung gesendet hat. Falls die authentische Zeit für das mindestens eine Gerät erforderlich ist, schickt es als Code bzw. Challenge bspw. den Wert 1234. Die Infrastruktureinrichtung schickt diesen Wert ( 234) dann auch wieder im signierten Datenpaket mit. Wenn im Datenpaket ein anderer Wert, bspw. 4321 stehen sollte, ist das Datenpaket alt, manipuliert und/oder falsch.

Die Infrastruktureinrichtung ist einem Dienstleister, bspw. einem Hersteller, des mindestens einen Geräts und/oder Fahrzeugs zugeordnet und/oder wird von dem Dienstleister bereitgestellt. Das Datenpaket mit der authentischen Zeit wird von dem bspw. als Hersteller ausgebildeten Dienstleister

bereitgestellt. Für das Fahrzeug ist mindestens eine Nutzerfunktion durchführbar, die bspw. zur Prüfung eines Zertifikats eine integre Uhrzeit bzw. Referenzzeit von einer integren Zeitquelle benötigt, da bspw. ein Zeitraum für eine Gültigkeit der Nutzerfunktion von einer integren Uhrzeit abhängig ist. Dabei ist es möglich, dass die mindestens eine Nutzerfunktion die authentische Uhrzeit zum

Einstellen der für sie vorgesehenen Referenzzeit abfragt. Allerdings ist es hierbei nicht erforderlich, dass die authentische Zeit immer dann von der Infrastruktureinrichtung abgefragt wird, wenn die mindestens eine

Nutzerfunktion die integre Referenzzeit benötigt. Eine Abfrage der

authentischen Zeit bei der Infrastruktureinrichtung wird periodisch, bspw. einmal pro Start, bspw. nach dem Start durchgeführt. In der Zwischenzeit wird die Referenzzeit, die auf Grundlage einer authentischen Zeit eingestellt ist, die dem mindestens einen Gerät bei einer zuletzt durchgeführten Abfrage von der Infrastruktureinrichtung bereitgestellt wurde, mit der Echtzeituhr des mindestens einen Geräts, bspw. intern von der Authentische-Zeit-Funktion mit Hilfe der Echtzeituhr weitergezählt.

Es ist jedoch möglich, dass das mindestens eine Gerät des Fahrzeugs und somit das Fahrzeug über einen längeren Zeitraum keine Verbindung zu der Infrastruktureinrichtung aufbauen kann. In diesem Fall ist vorgesehen, dass die Referenzzeit auch über den längeren Zeitraum nur intern von der Authentische-Zeit-Funktion und/oder der Echtzeituhr weitergezählt wird.

Allerdings ist es möglich, dass es für mindestens eine bestimmte

Nutzerfunktion unzureichend, ggf. risikobehaftet ist, wenn die Referenzzeit nur intern weitergezählt, jedoch nie mit der Infrastruktureinrichtung bzw. der authentischen Zeit synchronisiert wird. Für diese mindestens eine

Nutzerfunktion wird ein Zeitraum definiert, der angibt, wie lange diese mindestens eine Nutzerfunktion der Referenzzeit vertraut, seit dem diese zuletzt in Abhängigkeit der authentischen Zeit eingestellt wurde, wobei diese authentische Zeit von der Infrastruktureinrichtung bereitgestellt wurde, ohne dass während dieses Zeitraums eine Synchronisation mit der

Infrastruktureinrichtung notwendig ist. So ist für eine erste Nutzerfunktion, bspw. von einem Funktionsentwickler der Nutzerfunktion, ein erster Zeitraum von einigen Tagen, bspw. fünf Tage, definierbar, wohingegen für eine zweite Nutzerfunktion ein zweiter Zeitraum von einigen Wochen, bspw. von drei Wochen definierbar ist. Dabei wird durch die jeweilige Nutzerfunktion überprüft, ob der für sie vorgesehene Zeitraum abgelaufen ist oder nicht. Hierzu wird durch die Nutzerfunktion von der Authentische-Zeit-Funktion die aktuelle Referenzzeit und jener Zeitpunkt abgefragt, zu dem die aktuelle Referenzzeit nach einer Abfrage bei der Infrastruktureinrichtung über die dabei bereitgestellte authentische Zeit aktualisiert und/oder synchronisiert wurde, wobei die aktuelle Referenzzeit seit diesem Zeitpunkt von der Echtzeituhr und/oder der Authentische-Zeit-Funktion intern gezählt wird.

Das erfindungsgemäße System ist zum Einstellen einer Referenzzeit für mindestens ein Gerät eines Fahrzeugs ausgebildet und weist das

mindestens eine Gerät, das in dem Fahrzeug angeordnet ist, und eine Infrastruktureinrichtung auf. Die Infrastruktureinrichtung ist dazu ausgebildet, dem mindestens einen Gerät ein signiertes Datenpaket zu übermitteln, das eine authentische Zeit bzw. Uhrzeit umfasst bzw. aufweist bzw. beinhaltet, wobei das mindestens eine Gerät dazu ausgebildet ist, die Referenzzeit des mindestens einen Geräts in Abhängigkeit der authentischen Zeit einzustellen. Das mindestens eine Gerät des Fahrzeugs und die Infrastruktureinrichtung weisen jeweils eine Antenne zum Austauschen von Signalen bzw. Daten bzw. Datenpaketen über elektromagnetische Wellen auf.

Das mindestens eine Gerät weist eine Echtzeituhr auf, für die die

Referenzzeit einzustellen ist. Sobald im Rahmen des Verfahrens entschieden ist, ob als Referenzzeit die primäre oder sekundäre Zeit zu verwenden ist, wird mit der Echtzeituhr ausgehend von der zuletzt aktualisierten

Referenzzeit die Zeit gemessen und/oder vorgegeben . In der Regel wird das Datenpaket von einem Gerät empfangen und

überprüft, für das auch die Referenzzeit eingestellt wird. Es ist jedoch auch möglich, dass ein erstes Gerät ein Modem umfasst und/oder bspw. als Modem des Fahrzeugs dazu ausgebildet ist, das Datenpaket zu empfangen und an mindestens ein weiteres Gerät, bspw. ein Steuergerät des

Fahrzeugs, zu übermitteln, wobei die Referenzzeit für das mindestens eine weitere Gerät eingestellt wird. Das Datenpaket wird auf dem Gerät auf Authentizität überprüft, dem die authentische Zeit zur Verfügung gestellt wird, so dass es möglich ist, dass eine Manipulation der authentischen Zeit verhindert werden kann.

In Ausgestaltung wird das Datenpaket von lediglich einem Gerät und/oder einer darin implementierten Authentische-Zeit-Funktion überprüft, das bzw. die dann auch die Echtzeituhr unter Berücksichtigung der authentischen Zeit auf die Referenzzeit stellt. Die Integrität der Zeitinformation wird üblicherweise dann sichergestellt, wenn das Datenpaket von dem Gerät überprüft wird, das auch die Echtzeituhr stellt.

Mit dem Verfahren und dem System ist es möglich, dem mindestens einen Gerät des Fahrzeugs eine authentische und/oder manipulationssichere Zeit bzw. Uhrzeit für Nutzerfunktionen mit Lizenz- und Zeitbezug in dem

Fahrzeug bereitzustellen. Dabei gleicht das mindestens eine Gerät des Fahrzeugs eine lokale, unsichere Zeit mit der sicheren, authentischen Zeit von der Infrastruktureinrichtung bzw. einem Backend des Dienstleisters, bspw. dem Hersteller des Fahrzeugs ab, wobei u. a. ein gesicherter

Austausch von Daten bzw. Datenpaketen zwischen dem Fahrzeug und der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters auf Basis kryptographischer Signaturen durchgeführt wird. Die mindestens eine Authentische-Zeit-Funktion des mindestens einen

Geräts des Fahrzeugs fordert dabei bspw. bei jedem Zündungslauf und/oder Neu Start des Fahrzeugs eine kryptographisch signierte Zeitinformation von der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters an. Die mindestens eine Authentische-Zeit-Funktion des mindestens einen Geräts prüft bei Erhalten des Datenpakets mit der authentischen Zeit die Signatur des Datenpakets, sowie den darin enthaltenen Code als Forderung bzw. Challenge, wobei der Code, bspw. dessen Wert, mit jenem Code verglichen wird, den das mindestens eine Gerät bei seiner Anforderung der

authentischen Zeit bei der Infrastruktureinrichtung an diese in dem

üblicherweise ebenfalls signierten anfordernden Datenpaket an die

Infrastruktureinrichtung gesendet hat. Dabei wird der Code von dem mindestens einen Gerät auf Authentizität überprüft, wobei der in dem

Datenpaket enthaltene und von dem mindestens einen Gerät empfangene Code mit dem Code aus der Anforderung verglichen wird. Dadurch ist eine Manipulation des Datenpakets sicher erkennbar. Wurde das Datenpaket nicht manipuliert, vergleicht die mindestens eine Authentische- Zeit-Funktion des mindestens einen Geräts die authentische Zeit im

Datenpaket mit der sekundären Zeit, bspw. mit der aktuellen GPS-Zeit. Ist der Unterschied bzw. die Zeitabweichung zwischen der GPS-Zeit und der authentischen Zeit von der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters höchstens so lang wie das vorgegebene bzw. definierbare Zeitintervall von x Sekunden oder y Minuten, wird die Referenzzeit in dem mindestens einen Gerät des Fahrzeugs auf den Wert der aktuellen GPS-Zeit gestellt, andernfalls wird die Referenzzeit auf den Wert der authentischen Zeit aus der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters eingestellt.

Dadurch wird eine hohe Genauigkeit der Zeit bzw. Zeitinformation erreicht, da durch die Kommunikation zwischen der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters und dem mindestens einen Gerät des

Fahrzeugs, sowie durch Durchführen der kryptographischen Operationen ein zeitlicher Versatz entsteht, der durch einen Abgleich mit der GPS-Zeit entfällt.

Wird eine Manipulation des Datenpakets aus der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters erkannt, so wird das Datenpaket verworfen und die Echtzeituhr nicht neu gestellt. Somit wird dem mindestens einen Gerät des Fahrzeugs eine manipulationssichere Zeit zur Verfügung gestellt, die dennoch über eine hohe Genauigkeit verfügt. Dabei ist eine Implementierung einer authentischen und/oder manipulationssicheren Zeit für Nutzerfunktionen mit Lizenz- und Zeitbezug in dem mindestens einen Gerät des Fahrzeugs möglich. Weiterhin ist es möglich, dass das mindestens eine Gerät des Fahrzeugs eine lokale, unsichere Zeit mit der authentischen bzw. sicheren Zeit von der Infrastruktureinrichtung bzw. dem Backend des Dienstleisters abgleicht. Diese sichere Zeit wird ausgehend von einem ersten Gerät des Fahrzeugs, das das Datenpaket empfängt und überprüft, an mindestens ein weiteres Gerät des Fahrzeugs verteilt und ist von unterschiedlichen Diensten, bspw. von Nutzerfunktionen, nutzbar.

Dem mindestens einen Gerät des Fahrzeugs wird eine manipulationssichere Zeitinformation über die authentische Zeit bereitgestellt, die bspw.

sekundengenau ist.

Die Bereitstellung der authentischen Zeit wird in Ausgestaltung mit Hilfe einer ersten als Software ausgebildeten Authentische-Zeit-Funktion realisiert, die von dem mindestens einen Gerät durchführbar ist und als Authentische-Zeit- Master bezeichnet wird. Zusätzlich ist ein Vermittler für Funktionen und Services bzw. Diensten zwischen dem Authentische-Zeit-Master und der Infrastruktureinrichtung bzw. dem Backend vorgesehen. Dieser Vermittler wird als Authentische-Zeit-Manager bezeichnet, der als zweite als Software ausgebildete Authentische-Zeit-Funktion des mindestens einen Geräts realisierbar ist. Zumindest der Authentische-Zeit-Master ist in dem

mindestens einen Gerät implementiert, das die Echtzeituhr stellt. Der

Authentische-Zeit-Manager wird in der Regel in dem Gerät implementiert, das bspw. ein Modem umfasst sowie die Verbindung zu der

Infrastruktureinrichtung aufbaut und mit dieser Datenpakete austauscht. Der Authentische-Zeit-Manager und der Authentische-Zeit-Master sind in dem mindestens einen Gerät oder in unterschiedlichen Geräten implementiert.

Als primärer Zeitgeber zum Bereitstellen der authentischen Zeit als primäre Zeit werden Zeitserver, z. B. ein NTP(Network Time Protocol)-Server, innerhalb der Infrastruktureinrichtung des Dienstleisters genutzt. Hierbei wird durch die Infrastruktureinrichtung des Dienstleisters die signierte

authentische Zeit bereitgestellt. Als sekundärer, potentiell manipulierbarer, jedoch in dem mindestens einen Gerät des Fahrzeugs verfügbarer Zeitgeber dient das Global Positioning System (GPS) und als Rückfalloption ein Mobilfunkanbieter, der bspw. eine GSM-, UMTS- oder LTE-Zeit bereitstellt. Diese sekundären Zeitgeber bzw. Zeitqueilen werden benötigt, um in dem mindestens einen Gerät des

Fahrzeugs eine genauere Zeit zu gewährleisten. Die primäre bzw.

authentische Zeit von dem Dienstleister dient zur Validierung der sekundären Zeit.

Neben der Bereitstellung der Zeitinformation werden dem mindestens einen Gerät sowie damit durchführbaren Nutzerfunktionen zusätzlich Informationen über die Aktualität der Zeitinformation (Freshness) zur Verfügung gestellt.

Die authentische Zeit ist eine verifizierte Zeitinformation, die einer

Nutzerfunktion des mindestens einen Geräts unter Umsetzung der mindestens einen Authentische-Zeit-Funktion zur Verfügung gestellt wird.

Als primärer Zeitgeber werden Zeitserver (NTP-Server), die in der

Infrastruktureinrichtung, bspw. einer Konzern-IT, des jeweiligen Dienstleisters lokalisiert bzw. verortet sind, genutzt. Hierbei wird durch den Dienstleister ein signierter Zeit-Token bereitgestellt. Das entstehende Datenpaket, das von der Infrastruktureinrichtung des Dienstleisters zu dem Authentische-Zeit- Master übertragen wird, wird als Datenpaket für die authentische und/oder sichere bzw. manipulationssichere Zeit definiert. Nach einer Verifikation und Plausibilisierung des signierten Datenpakets für die authentische Zeit in dem Authentische-Zeit-Master wird das Datenpaket manipulationssicher abgelegt. Ein darin enthaltener Zeitstempel für die authentische Zeit wird auch als Mindestzeit bzw. ursprüngliche Zeit bezeichnet, die in Ausgestaltung so lange zum Einstellen der Referenzzeit verwendet wird, bis bspw. aufgrund einer Anforderung und/oder Abfrage des mindestens einen Geräts von der Infrastruktureinrichtung ein neues signiertes Datenpaket mit einer aktualisierten authentischen Zeit

bereitgestellt wird.

Eine GPS-Zeit als sekundäre Zeit wird zwischen Geräten über ein Bus-Signal übertragen und als aktuelle GPS-Zeit zur Verfügung stellt. Ein Zeit-Delta als Zeitabweichung ist eine Differenz zwischen der authentischen bzw. primären Zeit und der bspw. als GPS-Zeit ausgebildeten sekundären Zeit. Eine RTC- Zeit ist die aktuelle Zeit bzw. Referenzzeit einer Echtzeituhr (RTC) des mindestens einen Geräts. Ein maximales Zeitintervall ist ein zumindest einmalig parametrierbarer Wert für das maximal erlaubte Zeit-Delta.

Die Echtzeituhr bzw. Real Time Clock (RTC) ist eine physikalische

Hardware-Uhr des mindestens einen Geräts, die die Zeit ausgehend von der im Rahmen des Verfahrens eingestellten Referenzzeit auch bei

ausgeschalteter Software des mindestens einen Geräts weiterzählt. Damit ist die Zeit in dem mindestens einen Gerät des Fahrzeugs auch dann verlässlich weiterzuzählen, wenn es nicht mit elektrischer Energie versorgt wird .

Der Authentische-Zeit-Master ist die Komponente des mindestens einen Geräts zur Anforderung und Bereitstellung von Zeitinformationen. Diese umfasst einen Public-Key zur Validierung der von der Infrastruktureinrichtung empfangenen signierten Datenpakete auf Basis asymmetrischer Kryptographie, die die authentische Zeit von dem Dienstleister zu dem mindestens einen Gerät übertragen.

Der Authentische-Zeit-Manager des mindestens einen Geräts sammelt auf Anfrage die Datenpakete für die authentische Zeit, die GPS-Zeit sowie die UMTS-Zeit und stellt sie dem Authentische-Zeit-Master zur Verfügung. Der Authentische-Zeit-Manager wird als Software in dem mindestens einen Gerät oder in einem anderen Gerät implementiert. Die Infrastruktureinrichtung und/oder das Backend als primärer Zeitgeber für die authentische Zeit bzw. Uhrzeit stellt diese dem mindestens einen Gerät signiert, d. h. in Form eines signierten Datenpakets, zur Verfügung. Hierfür wird in der Infrastruktureinrichtung des Dienstleisters eine Webschnittstelle implementiert. Ferner wird, insbesondere von einem Hersteller des

mindestens einen Geräts und/oder des Fahrzeugs, jedem Gerät, mit dem das Verfahren durchführbar und/oder durchzuführen ist, eine geräteseitige Schnittstelle zur Verfügung gestellt, um über die Webschnittstelle das

Datenpaket mit der authentischen Zeit abzurufen sowie zu empfangen, wobei diese geräteseitige Schnittstelle in dem Gerät installiert wird . Die aktuelle authentische Zeit wird dabei z. B. von einem internen NTP-Server des

Dienstleisters bezogen.

Mit einer Diagnose werden ein aktueller Zustand sowie aktuelle und vergangene Fehler diagnostiziert und analysiert.

Der Authentische-Zeit-Master verwendet je nach Situation die sekundäre Zeit, wird jedoch diese nicht aus verschiedenen Quellen , bspw. GPS, GSM, UMTS, und/oder LTE kumulieren, sondern lediglich eine sekundäre Zeit als Rückfall- bzw. Fall-Back-Lösung verwenden. Die von dem GPS

bereitgestellte sekundäre Zeit ist dabei die erste Wahl. Nur falls die Zeit des GPS nicht verfügbar ist, z. B. in einer Tiefgarage, wird auf die Zeit von einem Mobilfunk-Anbieter zurückgegriffen.

Das mindestens eine Gerät des Fahrzeugs, das dazu ausgebildet ist, mit der Infrastruktureinrichtung zu kommunizieren und/oder Daten auszutauschen, weist die geräteseitige Schnittstelle auf. Ferner werden fahrzeugintern weitere Schnittstellen für diejenigen Geräte innerhalb des Fahrzeugs bereitgestellt, um über diese Schnittstellen fahrzeugintern die von der Infrastruktureinheit abgerufene authentische Zeit empfangen zu können bzw. bereitgestellt zu bekommen . Über derartige fahrzeuginterne Schnittstellen wird ebenfalls eine manipulationssichere Kommunikation zwischen den Geräten gewährleistet. Es handelt sich dabei um eine sogenannte sichere Onboard-Kommunikation (SOK). Es ist denkbar, dass die Geräte innerhalb des Fahrzeugs, die die authentische Zeit benötigen, und das mindestens eine Gerät, das dazu ausgebildet ist, mit der Infrastruktureinrichtung zu kommunizieren und/oder Daten auszutauschen, zueinander komplementäre drahtgebundene und/oder drahtlose Kommunikationsschnittstellen

aufweisen, insbesondere IR-Schnittstellen, Bluetooth-Schnittstellen, WiFi- Schnittstellen und/oder NFC-Schnittstellen. Von den genannten

Kommunikationsschnittstellen abweichende bekannte oder zukünftige Kommunikationsschnittstellen liegen innerhalb des Schutzbereichs der vorliegenden Erfindung.

Es versteht sich, dass die voranstehend genannten und die nachstehend noch zu erläuternden Merkmale nicht nur in der jeweils angegebenen

Kombination, sondern auch in anderen Kombinationen oder in Alleinstellung verwendbar sind, ohne den Rahmen der vorliegenden Erfindung zu verlassen. Die Erfindung ist anhand von Ausführungsformen in der Zeichnung schematisch dargestellt und wird unter Bezugnahme auf die Zeichnung schematisch und ausführlich beschrieben. Figur 1 zeigt in schematischer Darstellung eine Ausführungsform des erfindungsgemäßen Systems.

Figur 2 zeigt ein Diagramm zur Durchführung einer Ausführungsform des erfindungsgemäßen Verfahrens mit dem System aus Figur 1 .

Die Figuren werden zusammenhängend und übergreifend beschrieben. Gleichen Komponenten sind dieselben Bezugsziffern zugeordnet.

Figur 1 zeigt in schematischer Darstellung ein Kraftfahrzeug 2, das ein erstes Gerät 4, das als Steuergerät (ECU) ausgebildet ist und ein Modem umfasst, sowie ein zweites als Steuergerät ausgebildetes Gerät 6 aufweist. Außerdem zeigt Figur 1 eine hier ortsfeste Infrastruktureinrichtung 8 eines

Dienstleisters, die hier eine Kommunikationsschnittstelle, insbesondere eine Webschnittstelle 10 zur Bereitstellung der authentischen Zeit von einem der mehrerenebenfaiis von der Infrastruktureinrichtung 8 umfassten Zeitserver 12 aufweist und auch als Backend ausgebildet und/oder zu bezeichnen ist.

Es ist hier vorgesehen, dass die Infrastruktureinheit 8 sowie die beiden vorgestellten Geräte 4, 6 des Fahrzeugs 2 auch als Komponenten der ersten Ausführungsform des erfindungsgemäßen Systems 30 ausgebildet sind.

Bei der mit dem System 30 durchführbaren Ausführungsform des

erfindungsgemäßen Verfahrens wird dem ersten Steuergerät 4 des

Fahrzeugs 2 hier mit einem signierten Datenpaket 14 von der

Infrastruktureinrichtung 8 über die Webschnittstelle 10 eine sichere authentische Zeit übermittelt, die wiederum von dem mindestens einen Zeitserver 12 als Zeitgeber bzw. Uhr der Infrastruktureinrichtung 8 ermittelt wurde. Sobald das erste Gerät 4 die sichere authentische Zeit in dem

Datenpaket 14 empfangen hat, wird sie fahrzeugintern über entsprechende jeweilige geräteseitige Kommunikationsschnittstellen ebenfalls über das Datenpaket 14 an das zweite Gerät 6 des Fahrzeugs 2 übermittelt. Dabei weisen das erste Gerät 4 und das zweite Gerät 6 zueinander komplementäre drahtgebundene und/oder drahtlose Kommunikationsschnittstellen auf, insbesondere IR-Schnittstellen, Bl u etooth -Sch n ittstel I en , WiFi-Schnittstellen und/oder NFC-Schnittstellen. Alternativ dazu kann das Gerät 6 das

Datenpaket 14 auch direkt von der Infrastruktureinrichtung 8 empfangen. Das Gerät 6 umfasst ein erstes Modul 16 und ein zweites Modul 18.

Dabei ist das erste Modul 16 dazu ausgebildet, eine erste Authentische-Zeit- Funktion für einen Authentische-Zeit-Manager 17 durchzuführen. Weiterhin ist das erste Modul 16 dazu ausgebildet, über das erste Gerät 4 eine TLS- Verbindung zu der Infrastruktureinrichtung 8 (Backend) aufzubauen. Das zweite Modul 18 ist dazu ausgebildet, eine zweite Authentische-Zeit-Funktion für einen Authentische-Zeit-Master 20, eine Echtzeituhr (Real-Time-Clock, RTC) 22 und eine Nutzerfunktion 24 auszuführen. Weiterhin ist das zweite Gerät 6 hier mit einem Kommunikations-Netzwerk des Fahrzeugs verbunden.

Das in Figur 2 gezeigte Diagramm zeigt Schritte der Ausführungsform des erfindungsgemäßen Verfahrens zum Einstellen der Referenzzeit für eine Echtzeituhr 22 von mindestens einem Gerät 6 des Fahrzeugs 2. Wenn das mindestens eine Gerät 6 des Fahrzeugs 2 gestartet wird, und/oder sobald das mindestens eine Gerät 6 des Fahrzeugs 2 gestartet ist, sendet dieses an die Infrastruktureinrichtung 8 über ein Signal ein anfragendes und/oder anforderndes Datenpaket, mit dem die authentische Zeit bei der

Infrastruktureinrichtung 8 angefordert wird (Schritt 40). Dieses anfragende und/oder anfordernde Datenpaket, das in Schritt 40 von dem mindestens einen Gerät 6, ggf. über das ein Modem umfassende Gerät 4, an die

Infrastruktureinrichtung 8 gesendet wird, umfasst bzw. enthält einen Code (Challenge), der von dem mindestens einen Gerät 6 selbst erzeugt wird. Dabei ist vorgesehen, dass das mindestens eine Gerät 6 bei jeder neuen Abfrage bzw. Anforderung einen neuen Code erzeugt.

Nachfolgend wird dem mindestens einen Gerät 6 über das Gerät 4 von der Infrastruktureinrichtung 8 das kryptografisch signierte Datenpaket 14 bspw. im Datenformat MOSE übermittelt, das die authentische Zeit sowie einen Code umfasst (Schritt 42), der von dem mindestens einen Gerät 6 erzeugt wurde. Nach Empfang des Datenpakets 14 werden dessen Signatur und Code von dem mindestens einen Gerät 6 überprüft (Schritt 44). Dabei sollte der von dem mindestens einen Gerät 6 empfangene Code dem von ihm zuvor zur Durchführung der Abfrage erzeugten Code entsprechen. Durch Überprüfen des von dem mindestens einen Gerät 6 erzeugten sowie mit der Infrastruktureinrichtung vereinbarten Code ist u. a. feststellbar, ob das mindestens eine Gerät 6 bzw. das Gerät 4 in der Tat auch mit der

Infrastruktureinrichtung 8 kommuniziert. Ein evtl. veraltetes und/oder manipuliertes Datenpaket 14 ist durch Überprüfen des Codes identifizierbar.

Falls sich bei einer derartigen Überprüfung herausstellt, dass das Datenpaket 14 und/oder dessen Inhalt manipuliert ist bzw. sind, ist von dem mindestens einen Gerät 6 ein neues Datenpaket mit der authentischen Zeit anzufordern (Schritt 40). Falls die Signatur und der Code des Datenpakets 14 in Ordnung sind, wird die authentische Zeit als primäre Zeit mit einer sekundären Zeit verglichen, die von einer weiteren Zeitquelle, bspw. von einer Atomuhr einer Anstalt oder einem System, wie GPS, bereitgestellt wird . Falls sich hierbei ergibt, dass die sekundäre Zeit, d. h. ein aktueller Zeitpunkt für die sekundäre Zeit, um eine Zeitabweichung bzw. einen Differenzwert von der authentischen Zeit bzw. einem authentischen Zeitpunkt hierfür abweicht, die bzw. der geringer als ein definierbares Zeitintervall ist, das bspw. einige Minuten beträgt, wird für die Echtzeituhr 22 des mindestens einen Geräts 6 als Referenzzeit die sekundäre Zeit verwendet. Falls die sekundäre Zeit jedoch um eine Zeitabweichung bzw. einen Differenzwert von der

authentischen Zeit abweicht, die bzw. der mindestens so groß wie das definierbare Zeitintervall ist, wird für die Echtzeituhr 22 als Referenzzeit die authentische Zeit eingestellt (Schritt 46). Die für das mindestens eine Gerät 6 somit bereitgestellte Referenzzeit, die von der authentischen Zeit der Infrastruktureinrichtung 8 abhängig ist, ist für unterschiedliche Zwecke verwendbar. So ist es u. a. möglich , dass dem mindestens einen Gerät 6 eine Nutzerfunktion 24 bereitgestellt wird , deren Nutzung jedoch zeitlich begrenzt ist. Eine Gültigkeit eines Zertifikats für diese Nutzerfunktion 24 ist von einer integren Referenzzeit abhängig, die im Rahmen des Verfahrens eingestellt wird.

Zusätzlich zu dem Zeitstempel der aktuellen Referenzzeit als erstem

Parameter werden der Nutzerfunktion 24 noch zwei weitere Parameter bereitgestellt. Dabei enthält ein zweiter Parameter eine Information darüber, wie oft bzw. häufig das mindestens eine Gerät 6 und/oder das Fahrzeug neu gestartet wurde, seitdem dem mindestens einen Gerät 6 von der

Infrastruktureinrichtung 8 das letzte Mal die authentische Zeit bereitgestellt und die Referenzzeit eingestellt wurde. Ein dritter Parameter umfasst einen Zeitpunkt, der angibt, wann dem mindestens einen Gerät 6 von der

Infrastruktureinrichtung 8 das letzte Mal die authentische Zeit bereitgestellt und die Referenzzeit eingestellt wurde.

Jede Nutzerfunktion 24 definiert für sich, wie lang der Zeitraum sein darf, bis diese Nutzerfunktion 24 fordert, dass die Referenzzeit abhängig von der authentischen Zeit einzustellen und/oder wieder mit der

Infrastruktureinrichtung 8 abzugleichen ist. Die Nutzerfunktion 24 definiert bspw. einen Zeitraum, nach dessen Ablauf die Nutzerfunktion 24 der aktuellen Referenzzeit der Echtzeituhr 22 nicht mehr vertraut. Dieser Zeitraum umfasst bspw. einen Monat und ist ausgehend von dem Zeitpunkt für den dritten Parameter einzustellen . Weiterhin ist für die Nutzerfunktion 24 über den zweiten Parameter eine maximal zulässige Anzahl an Starts des mindestens einen Geräts 6 und/oder des Fahrzeugs definierbar, die seit einer letzten Einstellung und/oder Synchronisierung durchgeführt wurden. Falls diese Anzahl überschritten ist, ist die Referenzzeit abhängig von der authentischen Zeit einzustellen und/oder wieder mit der

Infrastruktureinrichtung 8 abzugleichen. Die Nutzerfunktion 24 nutzt die genannten Parameter, um für sich zu entscheiden, ob sie der Referenzzeit der Echtzeituhr 22 noch vertraut.

Bei dem System 30 ist die Echtzeituhr 22 auf jenem Gerät 6 angeordnet und/oder als Funktion realisierbar, auf dem auch die Authentische-Zeit- Funktion des Authentische-Zeit-Masters 20 ausgeführt wird. Hierbei ist vorgesehen, dass die Echtzeituhr 22 auch dann weiterläuft, wenn das Gerät 6 von einer elektrischen Energieversorgung getrennt sein sollte. Dabei ist eine elektrische Energieversorgung bzw. Spannungsversorgung der Echtzeituhr 22 von einem Zustand anderer Komponenten des Geräts 6 und/oder des gesamten Fahrzeugs 2 unabhängig. Die Echtzeituhr 22 ist dazu ausgebildet, die Zeit in einem vorgegebenen Takt bzw. Intervall bspw. in einem Ein-Sekunden-Takt zu zählen. Dabei wird die authentische Zeit als Referenzzeit in der Echtzeituhr 22 von dem Authentische-Zeit-Master 20 gesetzt. Andere Funktionen setzen bzw. stellen die authentische Zeit in der Echtzeituhr 22 nicht ein. Außerdem wird die Echtzeituhr 22 von dem

Authentische-Zeit-Master 20 genutzt. Neben der authentischen Zeit wird im Rahmen des Verfahrens auch mindestens eine sekundäre Zeit verwendet, die bspw. über ein GPS-Signal von einer parametrierbar gestalteten Informationsquelle bereitgestellt wird. Dabei werden von den Geräten 4, 6 des Fahrzeugs 2 verschiedene

Informationsquellen verwendet. Außerdem wird ein Status einer

Zeitverfügbarkeit einer GPS-Zeit als sekundäre Zeit, die über das GPS- Signal bereitgestellt wird, dem Authentische-Zeit-Master 20 übermittelt. Falls eine Zeitinformation nicht verfügbar sein sollte, werden Anfangswerte bzw. Init-Werte übergeben. Der Authentische-Zeit-Master 20 ist dazu ausgebildet, Zeitinformationen anzufordern, zu validieren und bereitzustellen. Dabei ist es möglich, dass der Authentische-Zeit-Master 20 allen Teilnehmern des

Verfahrens bzw. Fahrzeugs, die für ihre Nutzerfunktion eine

manipulationssichere Zeit benötigen, die authentische Zeit bspw. über SOK zur Verfügung stellt.

Für eine Verifikation eines Datenpakets 4 für die authentische Zeit ist im Authentische-Zeit-Master 20 die Verwaltung eines Public Keys vorgesehen . Eine Validierung der kryptographischen Signatur erfolgt auf Basis

asymmetrischer Kryptographie.

In Ausgestaltung wird mit jedem Klemmenwechsel (KL15 EIN) von dem Authentische-Zeit-Master 20 ein Datenpaket 14 für die authentische Zeit über den Authentische-Zeit-Manager 17 von der Infrastruktureinrichtung 8 bzw. dem Backend des Dienstleisters angefordert. Eine Kommunikation geht hierbei von dem Authentische-Zeit-Master 20 aus. Für jede Anforderung der authentischen Zeit wird durch den Authentische-Zeit-Master 20 ein neuer Code bzw. eine neue Challenge für ein neues Datenpaket 14 generiert. Der generierte Code wird zusammen mit dem Zeitstempel der letzten

erfolgreichen Synchronisation mit der Infrastruktureinrichtung 8 und/oder dem Backend aus einem manipulationssicheren Speicher des mindestens einen Geräts sowie der aktuellen Referenzzeit an den Authentische-Zeit- Manager 17 übermittelt.

Der Authentische-Zeit-Manager 17 agiert als Vermittler zwischen der Infrastruktureinrichtung 8 des Dienstleisters und dem Authentische-Zeit- Master 20. Bei Anforderung der authentischen Zeit von der

Infrastruktureinrichtung 8 werden der generierte Code, der Zeitstempel der letzten erfolgreichen Synchronisation mit der Infrastruktureinrichtung 8 als Backend sowie die aktuelle Referenzzeit ebenfalls an die

Infrastruktureinrichtung 8 übermittelt. Der Authentische-Zeit-Manager 17 erhält das Datenpaket 14 mit der authentischen Zeit inklusive der Forderung bzw. Challenge von der Infrastruktureinrichtung 8. Ferner sammelt der Authentische-Zeit-Manager 17 auf Anfrage die GPS-Zeit sowie die UMTS- Zeit ein und stellt dem Authentische-Zeit-Master 20 die authentische Zeit wie auch die GPS- und UMTS-Zeit zur Verfügung.

Außerdem liefert der Authentische-Zeit-Manager 17 dem Authentische-Zeit- Master 20 das Datenpaket 14 mit der authentischen Zeit der

Infrastruktureinrichtung 8 des Dienstleisters und/oder Backends und dem Code bzw. der Challenge, sobald eine Online-Verbindung zwischen dem mindestens einen Gerät 4, 6 und der Infrastruktureinrichtung 8 aufgebaut ist und eine Antwort von der Infrastruktureinrichtung 8 des Dienstleisters verarbeitet ist, zurück. Der Authentische-Zeit-Master 20 wird hierbei im vorliegenden Beispiel von dem zweiten Modul 18 und der Authentische-Zeit- Manager 17 von dem ersten Modul 16 realisiert.

Falls der Authentische-Zeit-Master 20 kein derartiges Datenpaket 14 mit der authentischen Zeit auf die Anfrage nach der authentischen Zeit durch den Authentische-Zeit-Manager 17 erhält, wird dies ignoriert. Eine erneute Anfrage mit einem neuen Code bzw. einer neuen Challenge ist nach Schließen von Klemme 15 für eine elektrische Versorgung des Fahrzeugs 2 zu stellen. Bei jedem zurückgelesenen und als korrekt verifizierten

Datenpaket 14 mit der authentischen Zeit wird das Datenpaket

manipulationssicher gespeichert und für die Korrektur der Referenzzeit der Echtzeituhr 22 genutzt. Der im abgespeicherten Datenpaket 14 mit der authentischen Zeit enthaltene Zeitstempel wird auch als Mindestzeit bezeichnet, die so lange als authentische Zeit verwendet wird, bis über ein neues Datenpaket 14 eine neue authentische Zeit bereitgestellt wird. Im Rahmen des Verfahrens werden Codes bzw. Challenges mit einer Länge von 128 bit generiert. Die Codes werden so lange manipulationssicher abgelegt, bis eine passende Antwort erhalten wurde oder ein neuer Code nach Schließen der Klemme 15 generiert wurde. Daher liegt im

Authentische-Zeit-Master 20 immer nur ein Code.

Der Authentische-Zeit-Master 20 verarbeitet das von dem Authentische-Zeit- Manager 17 erhaltene Datenpaket 14 mit der authentischen Zeit, wobei der im Datenpaket 14 enthaltene Code verifiziert wird. Außerdem werden die Signatur des Datenpakets 14 überprüft und der im Datenpaket 14 enthaltene Zeitstempel für die authentische Zeit verifiziert. Datenpakete 14, die in dem Code, in der Signatur und/oder im Zeitstempel nicht erfolgreich verifiziert wurden, werden verworfen. Der Authentische-Zeit-Master 20 darf keine Zeitstempel akzeptieren, die älter als die aktuell gespeicherte Mindestzeit sind. Nach erfolgreicher Verarbeitung des Datenpakets 14 wird das

Datenpaket 14 manipulationssicher abgelegt. Dabei wird das alte, d.h. bis dahin abgelegte Datenpaket bzw. der darin enthaltene als Mindestzeit abgelegte Zeitstempel überschrieben oder gelöscht. Der in dem aktuell erhaltene Datenpaket 14 enthaltene Zeitstempel wird zukünftig als

Mindestzeit definiert. Der Authentische-Zeit-Master 20 vergleicht die authentische Zeit mit der aktuellen GPS-Zeit als sekundäre Zeit, wobei die Zeitabweichung zwischen der authentischen Zeit und der GPS-Zeit als Zeit-Delta definiert wird. Falls die Zeitabweichung zwischen der primären , d.h. der authentischen Zeit und der sekundären Zeit kleiner das definierbare Zeitintervall für eine maximale Abweichung von bspw. 5 Minuten ist, ist die Echtzeituhr 22 auf den Wert der GPS-Zeit zu setzen. Falls die Zeitabweichung mindestens so groß wie das definierbare Zeitintervall der maximalen Abweichung ist, ist die Echtzeituhr 22 auf den Wert der authentischen Zeit bzw. auf den Wert der Mindestzeit zu stellen . Falls die GPS-Zeit nicht zur Verfügung steht, so wird die UMTS-, GSM- oder LTE-Zeit an Stelle dieser als sekundäre Zeit genutzt.

Falls weder eine GPS-Zeit noch eine UMTS-, GSM- oder LTE-Zeit zur Verfügung steht, wird die Echtzeituhr 22 auf den Wert der authentischen Zeit gesetzt. Die letztendlich genutzte Referenzzeit wird verwendet, um die Echtzeituhr 22 zu stellen.

Weiterhin ist ein Weiterzählen der Referenzzeit umsetzbar, falls ein direktes Setzen der Echtzeituhr 22 auf eine der genannten sekundären Zeiten nicht möglich ist. In diesem Fall werden zukünftige Zeitwerte durch den

Authentische-Zeit-Master 20 berechnet. Dabei werden die aktuelle

Referenzzeit sowie die Echtzeituhr 22 genutzt. Nach der Validierung des Datenpakets mit der authentischen Zeit speichert der Authentische-Zeit-Master 20 den aktuellen Wert der Referenzzeit manipulationssicher ab.

Die Information über die Referenzzeit der Echtzeituhr 22 wird

Nutzerfunktionen 24 zur Verfügung gestellt. Der Zeitstempel für die Nutzerfunktionen 24 wird durch den Authentische- Zeit-Master 20 bereitgestellt. Hierfür wird eine Kommunikationsschnittstelle zu anderen Funktionen zur Verfügung gestellt. Falls für die Echtzeituhr 22 kein Wert gesetzt ist und keine Mindestzeit zur Verfügung steht, wird für beide Werte ein parametrierbarer Init-Wert als Zeitstempei ausgegeben.

Der Authentische-Zeit-Manager 17 ist als Softwaremodul für das mindestens eine Gerät 6 ausgebildet, in dem auch die TLS-Verbindung aufgebaut wird. Auf Anfrage des Authentische-Zeit-Masters 20 wird das Datenpaket 14 mit der authentischen Zeit in einem Challenge-Response-Verfahren durch den Authentische-Zeit-Manager 17 von der Infrastruktureinrichtung 8 bzw. dem Backend des Dienstleisters abgefragt. Der Authentische-Zeit-Manager 17 übermittelt dazu die von dem Authentische-Zeit-Master 20 generierten Codes bzw. Challenges sowie die Mindestzeit und Referenzzeit der Echtzeituhr 22 an die Infrastruktureinrichtung 8. In Ausgestaltung ist es möglich, dass die vorgestellten Geräte 4, 6 und demnach die Module 16, 18 sowie das in Gerät 4 beinhaltete Modem in einem bspw. als Steuergerät ausgebildeten Gerät intergriert und/oder angeordnet sind.

Der Authentische-Zeit-Manager 17 baut eine TLS-Verbindung zu der

Infrastruktureinrichtung 8 zum Breitstellen der authentischen Zeit auf. Der Authentische-Zeit-Manager 17 nimmt Rückmeldungen von der

Infrastruktureinrichtung 8 bzw. dem Backend des Dienstleisters an und stellt sie dem Authentische-Zeit-Master 20 zur Verfügung.

Die von dem Dienstleister bereitgestellte Infrastruktureinrichtung 8 stellt eine Webschnittstelle zum Bereitstellen der authentischen Zeit zur Verfügung. Als primärer Zeitgeber werden z. B. Zeitserver 12 (NTP-Server) innerhalb einer Konzern-IT des Dienstleisters genutzt. Im hier gezeigten Beispiel werden mehrere NTP Server 12, nämlich NTP 1 , NTP 2, NTP 3 und NTP 4 bereitgestellt, die über die Webschnittstelle 10 die authentische Zeit zur Verfügung stellen können bzw. von denen über die Webschnittstelle 10 die authentische Zeit abgerufen bzw. runtergeladen werden kann. Hierbei wird durch die Infrastruktureinrichtung 8 des Dienstleisters die signierte authentische Zeit in Form eines signierten Datenpakets 14 bereitgestellt. Weiterhin signiert ein Webdienst der Infrastruktureinrichtung 8 den konvertierten Zeitstempel und reicht ihn an den Authentische-Zeit-Manager 17 als Datenpaket 14 mit der authentischen Zeit weiter.

Für die Anfrage des Datenpakets 14 mit der authentischen Zeit werden folgende Parameter an die Infrastruktureinrichtung 8 übergeben: der von dem mindestens einen Gerät 6 erzeugte Code bzw. die Challenge, eine zuletzt übermittelte authentische Zeit und die aktuelle Referenzzeit der Echtzeituhr 22.