CN109920093A - 认证信息控制系统、认证信息控制方法及非临时性计算机可读记录介质 - Google Patents

Abstract

本发明公开了一种认证信息控制系统，其包括控制单元，该控制单元配置成向满足第一条件的用户终端发布用于禁用锁定/解锁处理的临时认证信息。该控制单元判定第一认证信息是否已经发布到另一用户终端，当第一认证信息还未发布至另一用户终端时将第二认证信息发布至临时认证信息已经发布至的用户终端，并且当第一认证信息已经发布至另一用户终端时以检测到在另一用户终端中对第一认证信息的使用的结束为触发向临时认证信息已经发布至的用户终端发布第二认证信息。

Description

认证信息控制系统、认证信息控制方法及非临时性计算机可 读记录介质

技术领域

本发明涉及一种认证信息控制系统、认证信息控制方法及非临时性计算机可读记录介质，其通过发布用于允许锁定和解锁车辆的认证信息来控制用户对配置为能够锁定/解锁的车辆中的预定区域的进入。

背景技术

近来，由用户指定的车辆的货厢或客厢被用作递送对象的取递地点的后备箱共享系统已经被开发为用于在取递服务的用户与实施取递的快递公司之间有效地执行递送对象(行李)的取递的装置。例如，日本未审专利申请公开第2006-206225(JP2006-206225A)号已经提出了一种系统，其执行快递公司的取递通信设备与安装在指定的车辆中的车辆通信设备之间的认证处理并且当该认证在进行递送对象的取递时已经成功时允许锁定和解锁该指定的车辆。

发明内容

在使用如同后备箱共享系统的车辆执行行李的取递的系统中，当由多个用户使用一个车辆时，车辆经常在预约基础上使用。即，多个用户不能经常同时使用车辆。因此，例如，在后备箱共享系统中，当取递服务的用户已经为一个快递公司指定了车辆中的取递时间段时，其他快递公司可能无法在指定的取递时间段中针对该车辆执行取递。

本发明提供了一种在通过发布用于实行对能够锁定和解锁的车辆的锁定和解锁的认证信息来控制用户对该车辆中的预定区域的进入的系统中能够有助于改善用户进入该预定区域的时间自由度的技术。

通过控制发布认证信息的时机使得进入车辆中的预定区域的时间限制针对意图进入车辆中的预定区域的多个用户中的每个用户减少，本发明的申请人已经实现了上述目标。

更具体地，根据本发明的第一方案，提供了一种认证信息控制系统，其通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述认证信息控制系统包括控制单元。所述控制单元配置成向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息。所述控制单元配置成当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息；当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端；并且当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。

认证信息仅仅发布至临时认证信息已经发布至的用户终端。在临时认证信息已经发布至的多个用户终端之中，该临时认证信息能够发布至较早接近车辆的用户终端。因此，只要临时认证信息已经发布至用户终端，用户终端就可以在用户终端接近车辆时获取认证信息而不被临时限制，并因此能够改善用户进入车辆中的预定区域的时间自由度。例如，在诸如12:00至14:00的时间段的取递时间段中，当第一认证信息发布至临时认证信息已经发布至用户终端但是第一认证信息在用户终端中的使用结束时，第二认证信息能够发布至临时认证信息已经发布至的另一用户终端。即，当在取递时间段中存在临时认证信息已经发布至的多个用户终端时，认证信息能够在取递时间段中顺序发布至一个以上用户终端，并因此，例如，请求行李的取递的用户能够指定一个取递时间段并请求进行多件行李的取递。

例如，当用户是收取并递送行李的取递用户时，第一条件是其为行李的计划取递日那天或前一天或者是车辆和用户终端之间的距离小于预定距离。第一条件中的预定距离例如是大于第一距离的距离。

通过向满足第一条件的用户终端发布临时认证信息并且仅仅向临时认证信息已经发布至的用户终端发布认证信息，能够按天或小时来管理或控制可以进入车辆中的预定区域的用户终端的数量。

第一距离例如是用户可以进入车辆的预定距离以及用户终端可以执行预定的短距离无线通信的距离。该预定的短距离无线通信例如是用以将认证信息发送到安装在车辆中的锁定/解锁控制装置。即，当用户到达车辆并且将要进入车辆中的预定区域时，认证信息被发布到用户终端并且用户可以平稳地进入车辆中的预定区域。

在该方案中，所述控制单元可配置成在已经检测到所述用户终端中对所述第二认证信息的使用的结束后经过预定时间之前，不对所述用户终端进行使所述第二认证信息无效的处理。在该配置中，在从检测到用户终端中对第二认证信息的使用的结束至执行使第二认证信息无效的处理的时间段内，用户终端可使使用锁定/解锁控制装置进行的解锁处理无效并使锁定处理有效。例如，当第二认证信息的有效期终止时并且当指示对第二认证信息的使用的结束的预定操作由用户输入到用户终端时，检测到用户终端中对第二认证信息的使用的结束。

在已经检测到用户终端中对第二认证信息的使用的结束后预定时间终止之前，用户终端不能解锁车辆中的预定区域但能够锁定该预定区域。因此，例如，甚至在指示对第二认证信息的使用的结束的预定操作在用户已经忘记锁定车辆中的预定区域的状态下输入到用户终端之后，用户能够锁定车辆中的预定区域并因此能够维持车辆的安全性。

在该方案中，所述控制单元可配置成在向所述用户终端发布所述第二认证信息的同时设定所述第二认证信息的有效期，并且当所述有效期终止时，检测到所述用户终端中对所述第二认证信息的使用的结束。通过设定第二认证信息中的有效期，能够防止一个用户终端长时间独占地拥有认证信息。

在该方案中，所述控制单元可配置成在发布所述临时认证信息的同时设定所述临时认证信息的有效期，并且所述控制单元可配置成当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的所述距离变得小于所述第一距离时，判定直到所述临时认证信息的所述有效期终止之前的剩余时间是否小于预定时间长度，并且当所述剩余时间小于所述预定时间长度时，不向所述用户终端发布所述第二认证信息。因此，能够防止一个用户终端在临时认证信息的有效期内独占地使用认证信息，并防止另一个用户终端对认证信息的获取受到阻碍。

根据本发明的第一方案的认证信息控制系统可以由诸如计算机的一个或多个处理器构成。当认证信息控制系统由多个处理器构成时，认证信息控制系统的组件被分配给多个处理器，并且处理器彼此协作地实现认证信息控制系统的功能。

根据本发明的第二方案，提供了一种认证信息控制方法，其通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述认证信息控制方法包括：向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息；当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息；并且当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端，并且当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。除非引起技术差异，否则在上面提及的描述中针对认证信息控制系统公开的技术概念也可以应用于认证信息控制方法。

根据本发明的第三方案，提供了一种非临时性计算机可读介质，其存储用于通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入的程序，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述程序使计算机执行方法，所述方法包括：向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息；当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息；并且当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端，并且当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。

根据上面提及的方案，在通过发布用于实行对能够锁定和解锁的车辆的锁定和解锁的认证信息来控制用户对该车辆中的预定区域的进入的系统中能够改善用户进入该预定区域的时间自由度。

附图说明

下面将参照附图描述本发明的示例性实施例的特征、优势以及技术和工业意义，其中相同的附图标记表示相同元件，并且其中：

图1是示意性地图示出包括根据本发明的第一实施例的认证信息控制系统的后备箱共享系统的配置的视图；

图2是图示出构成图1中所图示的后备箱共享系统的车载设备、用户终端、中央服务器以及取递管理服务器的详细配置的视图；

图3是图示出存储在取递管理服务器中的取递信息的数据结构的视图；

图4是图示出存储在取递管理服务器中的车辆管理信息的数据结构的视图；

图5是图示出存储在中央服务器中的发布状态信息的数据结构的视图；

图6是图示出由根据本发明的第一实施例的中央服务器执行的临时发布控制处理的流程图；

图7是图示出由根据本发明的第一实施例的中央服务器执行的正式发布控制处理的流程图；

图8是图示出由根据本发明的第一实施例的取递用户的用户终端执行的临时钥匙管理处理的流程图；

图9是图示出由根据本发明的第一实施例的取递用户的用户终端执行的正式钥匙管理处理的流程图；

图10A是图示出由中央服务器执行的认证信息发布控制的特定实例中的处理顺序的实例的视图；

图10B是图示出由中央服务器执行的认证信息发布控制的特定实例中的处理顺序的实例的视图；

图11是图示出由根据本发明的变型例的中央服务器执行的临时发布控制处理的流程图；并且

图12是图示出由根据本发明的变型例的中央服务器执行的正式发布控制处理的流程图。

具体实施方式

在下文中，将基于附图描述本发明的特定实施例。除非另有说明，否则不旨在将本发明的技术范围仅限于以下实施例中描述的配置。

第一实施例

系统配置

图1是示意性地图示出根据第一实施例的后备箱共享系统1的配置的视图。后备箱共享系统1是通过允许请求递送对象(行李)的取递工作的人员和执行被请求递送对象的取递工作的人员共同使用(共享)由请求者指定的车辆1的货厢，来用于使用货厢作为取递地点来实现取递服务的系统。因此，“请求递送对象的取递工作的人员”和“执行被请求递送对象的取递工作的人员”是使用车辆的货厢的用户，并且前者被称为“请求用户”而后者被称为“取递用户”以将两种人员彼此区分开。货厢是车辆10中的预定区域，该车辆10能够容纳待被取递的行李并且配置成由稍后描述的车载设备10A来锁定和解锁。货厢可以例如是与车辆10的驾驶员等就坐的客厢分隔开的区域，使得货厢和客厢不能从彼此进入。车辆10的货厢被限定为第一实施例中的后备箱。能够用作行李的取递地点的区域不限于后备箱，而是可以例如为客厢中的乘客座椅或后座。车辆10的货厢是权利要求中的预定区域的实例。

在图1中所示的实例中，后备箱共享系统1包括安装在车辆10中的车载设备10A、取递用户的用户终端200、请求用户的用户终端50、中央服务器400以及取递管理服务器500A、500B。车载设备10A、用户终端200、用户终端50、中央服务器400以及取递管理服务器500A、500B经由网络N1彼此连接。例如，网络N1是诸如因特网的全球公共通信网络，并且可以采用广域网(WAN)或其他通信网络。网络N1可以包括移动电话等的电话通信网络和诸如Wi-Fi的无线通信网络。车载设备10A通过包括短距离无线通信网络等的网络N2连接到取递用户的用户终端200。例如，后备箱共享系统包括两个取递管理服务器500A和500B，但是可以包括三个以上取递管理服务器。当在下面的描述中共同总体上提及取递管理服务器时，采用附图标记500。

取递管理服务器500从请求用户的用户终端50接收待被取递的物品(此后也称作“取递行李”)的登记。例如，当从由电子交易提供商建立的产品采购站点购买的物品由取递用户作为取递行李来递送时，通过用于利用使用安装在请求用户的用户终端50中的后备箱共享系统1的服务的应用(此后还称作预定应用)，请求用户能够在取递管理服务器500中登记关于取递行李的取递信息。该取递信息包括在将于后面描述的图3中图示出的请求用户的识别信息以及取递的计划信息。在取递管理服务器500中，请求用户的识别信息预先与请求用户相关的车辆10相关联，并且当要使用的取递地点由请求用户从包括与用户(请求用户)相关联的车辆的取递地点的候选中进行选择时，取递信息还包括所选择的取递地点的信息。在后面的描述中，假定请求用户的取递地点被设定为车辆10。取递信息进一步包括关于取递行李的状态的信息。状态信息的实例是关于取递行李的取递是否已经完成等的信息。

假定图1中图示出的取递管理服务器500A和取递管理服务器500B由不同的快递公司管理。因此，由与基于由取递管理服务器500B管理的取递信息执行取递行李的取递的快递公司不同的快递公司来执行基于由取递管理服务器500A管理的取递信息的取递行李的取递。当对属于管理取递管理服务器500A和500B的快递公司的取递用户彼此进行区分时，在下面的描述中为其添加后缀，如取递用户A和取递用户B。类似地，当区分由取递用户携带的用户终端200时，在下面的描述中为其添加后缀，如用户终端200A和用户终端200B。

当从请求用户的用户终端50接收针对行李的取递的请求并且其取递地点是车辆10时，取递管理服务器500请求中央服务器400向取递用户的用户终端200发布用于锁定/解锁车辆10的货厢的认证信息，其中，取递行李容纳在车辆10中。在该实施例中，以来自取递用户的用户终端200的请求作为触发来发送该请求。中央服务器400基于包括在取递信息中的请求用户的认证信息经由取递管理服务器500向取递用户的用户终端200发送与请求用户的认证信息相关联的针对车辆10的认证信息。取递用户能够通过使用由用户终端200获取的认证信息来锁定/解锁车辆10的货厢来进入车辆10的货厢以递送并收取该取递行李。在此，认证信息是数字信息，通过被从用户终端200通过短距离无线通信发送至车载设备10A并且通过车载设备10A而经历认证处理，该数字信息被用以允许车载设备10A执行针对车辆10的货厢的锁定/解锁处理。针对车辆10的货厢的锁定/解锁处理是通过将在下面描述其细节的车载设备10A来锁定/解锁车辆10的货厢的门的处理，取递行李容纳在车辆10中。

图2是示意性地图示出构成后备箱共享系统1的车载设备10A、取递用户的用户终端200、请求用户的用户终端50、取递管理服务器500以及中央服务器400的配置的框图。下面将参照图2描述车载设备10A、取递用户的用户终端200、请求用户的用户终端50、取递管理服务器500以及中央服务器400的硬件配置和功能配置。

车载设备10A是权利要求中的锁定/解锁控制设备的实例并且包括钥匙单元100和锁定/解锁装置300。钥匙单元100包括与智能钥匙的电子钥匙(以下称为便携式单元)相同的无线接口，并且通过与车载设备10A的现有锁定/解锁装置300通信可以执行车辆10的货厢或客厢的锁定和解锁(当不需要区分货厢和客厢时，下文中可以简单地称为“车辆10的锁定和解锁”)而不使用任何物理钥匙。钥匙单元100执行与取递用户的用户终端200的短距离无线通信，并且基于用于取递用户的用户终端200的认证处理的结果来判定其是否用作车辆10的电子钥匙。

当进入车辆10的货厢用于递送并收取取递行李时，取递用户的用户终端200经由如上所述的取递管理服务器500接收由中央服务器400发布的用于锁定和解锁货厢的认证信息。于是，取递用户的用户终端200向钥匙单元100发送认证信息，并且钥匙单元将所接收的认证信息与提前存储在钥匙单元100中的认证信息进行比较。当认证处理成功时，用户终端200被认证为正确操作车载设备10A的终端。当用户终端200被认证时，钥匙单元100将提前存储在钥匙单元100中并且与认证信息相关联的车辆10的钥匙ID连同锁定/解锁信号一起发送到锁定/解锁装置300。当从钥匙单元100接收的钥匙ID与提前存储在锁定/解锁装置300中的钥匙ID一致时，锁定/解锁装置300锁定或解锁车辆10。钥匙单元100和锁定/解锁装置300利用从安装在车辆10上的电池供应的电力进行操作。提前存储在钥匙单元100中的钥匙ID可以由认证信息进行加密。在这种情况下，当对取递用户的用户终端200的认证处理成功时，钥匙单元100可以用认证信息解密钥匙ID，然后将钥匙ID发送到锁定/解锁装置300。

下面将详细描述锁定/解锁装置300。锁定/解锁装置300是锁定和解锁车辆10的客厢或货厢的门的设备。例如，根据通过射频(以下称为RF)频带的无线电波从对应于车辆10的便携式单元发送的锁定信号和解锁信号，锁定/解锁装置300可锁定和解锁车辆10的门。锁定/解锁装置300还具有发送低频(以下称为LF)频带的无线电波用于搜索便携式单元的功能。

在本实施例中，钥匙单元100替代便携式单元向从锁定/解锁装置300发送和从锁定/解锁装置300接收RF频带和LF频带的无线电波来控制车辆10的门的锁定和解锁。在下文中，除非另有说明，锁定/解锁装置300的通信目的地局限于钥匙单元100。

锁定/解锁装置300包括LF发送器301、RF接收器302、比较ECU 303、车身ECU 304和门锁定致动器305。LF发送器301是发送LF频带(例如，100KHz到300KHz)的无线电波用于检测(轮询)钥匙单元100的装置。例如，LF发送器301集成在客厢中的中央控制台中或转向盘的附近。RF接收器302是接收从钥匙单元100发送的FR频带(例如，100MHz至1GHz)的无线电波的装置。RF接收器302集成在客厢中的任何位置处。

比较ECU 303是基于使用RF频带的无线电波从钥匙单元100发送的信号(锁定信号或解锁信号)执行用于锁定和解锁车辆10的客厢和货厢的门的控制的电脑。比较ECU 303由例如微型计算机构成。在下面的描述中，锁定信号和解锁信号统称为锁定/解锁信号。术语锁定/解锁信号表示锁定信号和解锁信号中的至少一个。

比较ECU 303认证从钥匙单元100发送的锁定/解锁信号是否是从授权设备发送的。具体地，比较ECU 303判定包括在锁定/解锁信号中的钥匙ID是否与提前存储在比较ECU303的存储单元(未图示出)中的钥匙ID一致。然后，比较ECU 303基于该判定结果将解锁命令或锁定命令发送到车身ECU 304。该解锁命令或锁定命令经由诸如控制器局域网络(CAN)的车载网络发送。

门锁定致动器305是锁定和解锁车辆10的门(诸如在进出作为内部空间的客厢时打开和关闭的客厢门，或在于货厢中装载行李时打开和关闭的货厢门)的致动器。门锁定致动器305基于从车身ECU 304发送的信号进行操作。门锁定致动器305可以被配置为独立地锁定和解锁车辆10的客厢门和货厢门。

车身ECU 304是执行车辆10的车身控制的计算机。车身ECU 304具有如下功能：通过基于从比较ECU 303接收的解锁命令或锁定命令控制门锁定致动器305，来同时或独立地执行车辆10的客厢门或货厢门的解锁和锁定。比较ECU 303和车身ECU 304可以实施为单一主体。

现在将描述钥匙单元100。钥匙单元100是布置在车辆10的客厢中的预定位置处(例如，手套箱内)的装置。钥匙单元100具有通过执行与取递用户的用户终端200等的短距离无线通信而认证用户终端200的功能，以及基于认证结果使用RF频带的无线电波来发送锁定/解锁信号的功能。钥匙单元100包括LF接收器101、RF发送器102、短距离通信单元103和控制单元104。

LF接收器101是使用LF频带的无线电波从锁定/解锁装置300发送轮询信号的装置。LF接收器101包括用于接收LF频带的无线电波的天线(以下称为LF天线)。RF发送器102是使用RF频带的无线电波向锁定/解锁装置300发送锁定/解锁信号的装置。

短距离通信单元103是与取递用户的用户终端200通信的装置。短距离通信单元103使用预定的无线通信标准在短距离上(以能够在车辆的内部和外部之间执行通信的距离)执行通信。在本实施例中，短距离通信单元103基于Bluetooth(注册商标)低能耗标准(以下简称BLE)执行数据通信。BLE是使用Bluetooth的低能耗通信标准，并且其特征在于当检测到通信对方时立即启动通信而不需要在装置之间配对。当短距离通信单元103基于BLE执行数据通信时，可通信范围是距离短距离通信单元103(钥匙单元100)大约几米到10米的范围。在本实施例中，举例说明了BLE，但是也可以使用另一无线通信标准。例如，可以使用近场通信(NFC)、超宽带(UWB)或WiFi(注册商标)等。

控制单元104是如下的计算机：其经由短距离通信单元103执行与取递用户的用户终端200的短距离无线通信，并且执行用于认证用户终端200的控制以及用于基于认证结果发送锁定和解锁信号的控制。控制单元104由例如微型计算机构成。

控制单元104包括存储单元1041和认证单元1042。用于控制钥匙单元100的控制程序被存储在存储单元1041中。控制单元104可通过使CPU(未图示出)执行存储在存储单元1041中的控制程序来实现包括认证单元1042的各种功能单元。例如，控制单元104实现如下功能：经由LF接收器101接收从锁定/解锁装置300作为LF频带的无线电波发送的轮询信号的功能；经由RF发送器102向锁定/解锁装置300发送作为RF频带的无线电波的锁定/解锁信号的功能；处理由短距离通信单元103执行的与取递用户的用户终端200的通信的功能；以及当已经由认证单元1042成功认证取递用户的用户终端200时生成锁定/解锁信号的功能。

认证单元1042基于从取递用户的用户终端200发送的锁定请求或解锁请求(下文统称为锁定/解锁请求)中包括的认证信息来执行用户终端200的认证。具体地，认证单元1042将从取递用户的用户终端200发送的认证信息与存储在存储单元1041中的认证信息进行比较，并且当它们满足预定关系时判定认证已经成功。当两条认证信息都不满足预定关系时，则认证单元1042判定认证失败。这里，该预定关系包括如下情况：存储在存储单元1041中的认证信息与从取递用户的用户终端200发送的认证信息一致的情况；诸如使用两条认证信息来加密和解密的预定处理的结果一致的情况；以及对两条认证信息之一的解密的结果与对另一个的解密的结果一致的情况。

当认证单元1042成功认证取递用户的用户终端200时，响应于从用户终端200接收的请求生成的锁定/解锁信号经由RF发送器102发送到锁定/解锁装置300。在下面的描述中，根据需要，存储在钥匙单元100中的认证信息将被称为装置认证信息，并且从取递用户的用户终端200发送的认证信息将被称为终端认证信息。

另外，钥匙单元100将钥匙ID与锁定/解锁信号一起发送到锁定/解锁装置300。钥匙ID可以以明文状态提前存储在钥匙单元100中，或者可以以使用对取递用户的用户终端200唯一的密码加密的状态来存储。当钥匙ID以加密状态存储时，可以使用从取递用户的用户终端200发送的认证信息解密该加密的钥匙ID，以获得原始钥匙ID。

以这种方式，车载设备10A以从用户终端200发送的认证信息作为触发执行如下的一系列处理：使用钥匙单元100执行认证处理；对锁定/解锁装置300进行操作；以及锁定/解锁车辆10的客厢和货厢。该系列处理是车载装置10A进行的锁定/解锁处理，并且其是权利要求中锁定/解锁控制装置进行的锁定/解锁处理的实例。

现在将描述取递用户的用户终端200。用户终端200是小型便携式计算机，诸如智能手机、移动电话、平板终端、个人信息终端或可穿戴计算机(智能手表等)。用户终端200可以是经由诸如作为公共通信网络的因特网的网络N1连接到取递管理服务器500的个人计算机(PC)。取递用户的用户终端200具有短距离通信单元201、通信单元202、控制单元203和输入/输出单元204。

短距离通信单元201是使用与钥匙单元100的短距离通信单元103相同的无线通信标准执行与钥匙单元100的无线通信的装置。在短距离通信单元201和钥匙单元100之间建立的网络被图示为图1中的N2。通信单元202是用于将用户终端200连接到网络N1的通信装置。在本实施例中，用户终端200能够经由使用诸如3G(第三代)或LTE(长期演进)的移动通信服务的网络N1与另一装置(例如，取递管理服务器500)进行通信。

控制单元203是控制用户终端200的计算机。例如，控制单元203执行获取终端认证信息的处理、生成包括所获取的终端认证信息的锁定/解锁请求的处理、将生成的锁定/解锁请求发送到钥匙单元100的处理等。控制单元203由例如微型计算机构成，并且通过使CPU(未图示出)执行存储在存储装置(诸如ROM)(未图示出)中的程序来实现执行上述各种处理的功能。

在控制单元203中，认证信息管理单元2031和锁定/解锁控制单元2032通过使CPU执行程序而实施为功能单元。锁定/解锁控制单元2032经由输入/输出单元204执行与取递用户的交互。输入/输出单元204是接收由取递用户执行的输入操作并将信息呈现给取递用户的装置。具体地说，输入/输出单元204包括触摸板及其控制装置和液晶显示器及其控制装置。在本实施例中，触摸面板和液晶显示器构成为单个触摸面板显示器。

锁定/解锁控制单元2032在输入/输出单元204上显示操作屏幕，并基于已经由取递用户执行的操作来生成锁定请求或解锁请求。例如，锁定/解锁控制单元2032将用于解锁的图标、用于锁定的图标等输出到触摸板显示器，并基于已经由取递用户执行的操作生成解锁请求或锁定请求。由取递用户执行的操作不限于使用触摸板显示器的操作。例如，该操作可以使用硬件开关来执行。

在本实施例中，中央服务器400将临时钥匙信息和正式钥匙信息发布到用户终端200。认证信息管理单元2031管理由中央服务器400发布的临时钥匙信息和正式钥匙信息。例如，在携带用户终端200的取递用户在车辆10中取递行李的计划取递日的业务开始时间之前，临时钥匙信息经由取递管理服务器500而从中央服务器400发送到用户终端200。临时钥匙信息例如是对车辆10的进入权限，并且必须拥有临时钥匙信息才能获取正式钥匙信息。临时钥匙信息不是用于锁定或解锁车辆10的货厢的认证信息，并且使用临时钥匙信息不能锁定或解锁车辆10的货厢。临时钥匙信息是权利要求中的临时认证信息的实例。

临时钥匙信息包括例如指示其是临时钥匙信息的信息(例如，标志)。例如，连同临时钥匙信息一起，请求的用户的识别信息、行李的识别信息、临时钥匙信息的有效期和用于与车辆10的钥匙单元100的短距离通信的信息被发送至用户终端200。用于与车辆10的钥匙单元100的短距离通信的信息可以包括在临时钥匙信息中。与临时钥匙信息相分离地，关于待被收取或递送的包裹的、将在后面描述的图3中图示出的取递信息以及将在后面描述的图4中图示出的作为取递地点的车辆10的车辆管理信息被从取递管理服务器500发送至用户终端200。例如，在由用户终端200接收到从中央服务器400发送的临时钥匙信息时，认证信息管理单元2031将所接收的临时钥匙信息存储在用户终端200的存储装置中(未示出)。然后，例如，在接收到通过执行临时钥匙信息无效处理而由中央服务器400发送的临时钥匙信息无效指令时，认证信息管理单元2031从存储装置删除临时钥匙信息。

此外，认证信息管理单元2031执行从中央服务器400获取正式钥匙信息的处理。正式钥匙信息是用于钥匙单元100来认证用户终端200的终端认证信息。正式钥匙信息(终端认证信息)与由锁定/解锁装置300用来认证钥匙单元100的信息(钥匙ID)不同。由钥匙单元100用以认证用户终端200的终端认证信息是例如与安装在车辆10上的钥匙单元100特有的认证信息相对应的认证信息。正式钥匙信息是权利要求中的预定认证信息的实例。

在本实施例中，当检测到使用短距离通信单元201经由网络N2而建立了与钥匙单元100的连接时，认证信息管理单元2031使用通信单元202经由取递管理服务器500而将正式钥匙信息发布请求发送到中央服务器400。例如，使用短距离通信单元201经由网络N2而建立与钥匙单元100的连接意味着：诸如从钥匙单元100的短距离通信单元103发射的信标信号的无线信号以等于或大于预定阈值的无线电波的接收强度来被接收。

正式钥匙信息发布请求包括用户终端200的识别信息以及用于请求发布钥匙单元100特有的终端认证信息的信号。已经接收到正式钥匙信息发布请求的中央服务器400向用户终端200发送包括安装在车辆10中的钥匙单元100所特有的终端认证信息的正式钥匙信息。因此，用户终端200可以执行解锁车辆10的操作。当用户终端200未存储终端认证信息时，不可能在车辆10的操作屏幕上进行锁定操作和解锁操作。

在本实施例中，由用户终端200获取的正式钥匙信息可以是一次性钥匙。例如，在由用户终端200接收到从中央服务器400发送的正式钥匙信息时，认证信息管理单元2031将正式钥匙信息存储在用户终端200的存储装置(未图示出)中。此后，例如，在通过由中央服务器400执行正式钥匙信息的无效处理而接收到无效指令时，认证信息管理单元2031从存储装置中删除正式钥匙信息。

删除存储在用户终端200的存储装置中的临时钥匙信息和正式钥匙信息的时机不限于上述实例。例如，在从用户终端200接收到从中央服务器400发送的临时钥匙信息和正式钥匙信息时的时间点或当中央服务器400已将临时钥匙信息和正式钥匙信息发送到用户终端200时的时间点已经过去预定时间时，存储在用户终端200的存储装置中的临时钥匙信息和正式钥匙信息可以被删除。正式钥匙信息中包括的终端认证信息不限于如上所述的一次性钥匙，而是可以是仅在预定时间段内有效的受限钥匙。假定无论终端认证信息是一次性钥匙还是受限钥匙，都将与终端认证信息对应的装置认证信息提前存储在钥匙单元100中。

下面将描述请求用户的用户终端50。与用户终端200类似，用户终端50可以是诸如智能手机、移动电话、平板终端、个人信息终端、可穿戴计算机(智能手表等)的小型计算机或者可以是个人计算机(PC)。请求用户的用户终端50包括通信单元51、控制单元52和输入/输出单元53。

通信单元51是用于连接到网络N1的通信装置，其在功能上与通信单元202相同。控制单元52是控制用户终端50的计算机。控制单元52例如由微型计算机构成，并且通过使CPU(未图示出)执行存储在存储装置(诸如ROM)(未图示出)中的程序来实现执行各种处理的功能。例如，控制单元52执行预定的应用程序，并经由输入/输出单元53请求预定快递公司的取递管理服务器500来收取和递送取递行李。输入/输出单元53是如下的装置：其接收由请求用户执行的输入操作并向请求用户提供信息，其在功能上与输入/输出单元204类似。

在图2中，用户终端50并不明确地具有与短距离通信单元201相对应的组件，但是可包括这种组件，并且通过使控制单元52执行从中央服务器400获取终端认证信息的处理并且由短距离无线通信将所获取的终端认证信息发送至钥匙单元100，用户终端50可配置成操作该锁定/解锁装置300。

现在将描述取递管理服务器500。取递管理服务器500具有计算机的一般配置，并且，当多个快递公司参与到后备箱共享系统1时，至少一个取递管理服务器被设置为每个快递公司的管理服务器。取递管理服务器500例如是包括诸如中央处理单元(CPU)或数字信号处理器(DSP)的处理器(未图示出)、诸如随机存取存储器(RAM)和只读存储器(ROM)的主存储单元(未图示出)以及诸如可擦除可编程ROM(EPROM)、硬盘驱动器(HDD)和可移动介质的辅助存储单元(未图示出)的计算机。可移动介质例如是通用串行总线(USB)存储器或诸如压缩盘(CD)或数字通用盘(DVD)的盘记录介质。操作系统(OS)、各种程序、各种表等存储在辅助存储单元中，并且可以通过将存储在其中的程序加载到主存储单元的工作区中、执行加载的程序并通过执行程序控制组成单元来执行与预定目的匹配的功能。

取递管理服务器500包括通信单元501。通信单元501连接到另一装置并执行取递管理服务器500与另一装置(例如，中央服务器400或用户终端200)之间的通信。通信单元501例如是局域网(LAN)接口板和用于无线电通信的无线电通信电路。LAN接口板或无线电通信电路连接到诸如作为公共通信网络的因特网的网络N1。

取递管理服务器500包括存储上述取递信息的取递管理数据库(DB)503。取递管理DB 503配置为将取递信息存储在辅助存储单元中，在该辅助存储单元中执行请求用户与取递信息之间的相关性。通过使由处理器执行的数据库管理系统(DBMS)的程序管理存储在辅助存储单元中的数据来构造取递管理DB 503。取递管理DB 503例如是关系数据库。

下面将参照图3描述存储在取递管理DB 503中的取递信息的结构。图3图示出了取递信息的表格的结构，并且取递信息表格包括请求用户ID、行李ID、取递区别、取递日期和时间、取递地点、取递状态、行李特性以及取递用户终端ID的域。用于识别请求用户的识别信息被输入到请求用户ID域。用于识别要被取递的行李的识别信息被输入到行李ID域。用于指定取递行李是由取递用户收取还是递送的信息被输入到取递区别域中。指示行李的计划取递日期和时间的信息被输入到取递日期和时间域。例如，当存在由请求用户指定的取递日期和时间时，指示由请求用户指定的期望的取递日期和时间的信息被输入到取递日期和时间域。由请求用户从其住宅和车辆中指定的取递地点被输入到取递地点域中。指示是否已经由取递用户完成了取递行李的收取和递送的信息被输入到取递状态域。例如，当已经完成取递行李的收取和递送时，输入“已完成”，而当未完成取递行李的收取和递送时，输入“未完成”。诸如取递行李的重量和尺寸的属性信息被输入到行李属性域。取递用户的用户终端的识别信息被输入到取递用户终端ID域。

在取递管理服务器500中，控制单元502通过由处理器执行程序而形成为功能单元。控制单元502执行取递管理DB 503中的取递信息的登记和更新的管理控制。例如，当请求用户使用其用户终端50请求取递行李的收取和递送时，控制单元502使行李的识别信息、取递日期和时间以及取递地点等与请求用户的识别信息关联，生成与请求用户相对应的取递信息，并将所生成的取递信息存储在取递管理DB 503中。例如，在当存储在取递管理DB503中的取递信息中的待被递送的行李到达递送中心时，或者在当确定了待被收取的行李的取递计划时，控制单元502将针对计划递送待递送或待收取行李的取递用户的用户终端200的临时钥匙信息发布请求发送至中央服务器400。临时钥匙信息发布请求被发布的时机不限于上述时机，并且针对已经到达递送中心或者同时已经请求了收取的行李的临时钥匙信息发布请求可以例如每天一次或几个小时一次地一起发送。

当在生成取递信息之后从请求用户通知诸如取递日期和时间或取递地点的信息的改变时，控制单元502更新存储其中的取递信息以对应于该改变。控制单元502可以将诸如取递日期和时间或取递地点的信息的改变的通知发送到中央服务器400。控制单元502经由通信单元501与取递用户的用户终端200通信，并且还更新关于取递信息中包括的取递行李的状态的信息。例如，控制单元502从用户终端200接收由取递用户经由用户终端200的输入/输出单元204输入的状态信息(例如，指示取递完成的信息)，并更新相应的取递信息。

将请求用户与作为对应的取递地点的车辆10相关联的车辆管理信息也存储在取递管理DB 503中。将参照图4描述车辆管理信息的结构。图4图示出了车辆管理信息的表格结构，并且车辆管理信息表格包括请求用户ID域、车型域、车辆颜色域和车辆号码域，用于识别车辆10的信息(车型、车辆颜色和车辆号码)被输入其中，使得当车辆10已经被请求用户选择为取递地点时，取递用户能够检测车辆10。车辆管理信息表格还包括车辆位置域，关于车辆10所位于的位置的位置信息被输入其中。车辆10的位置信息可以通过经由用户终端50的输入而从请求用户获取，或者通过布置在车辆10中的数据通信装置获取并且发送至中央服务器400的位置信息可以从中央服务器400获取。

基于与请求用户ID相关联的取递信息和车辆管理信息，控制单元502向对应的用户终端200发送取递指令，使得取递用户可以收取并递送车辆10处的取递行李。该取递指令可以多次而非一次地发送到用户终端200。例如，在计划取递日的前一天，与第二天的取递相关的取递指令可以被一起发送到取递用户的用户终端200，并且该取递指令可以在取递的当天再次发送。当已经更新了取递信息时，在再次发送时反映该更新内容。

取递管理服务器500的其中一个功能组件或其一些处理可以通过连接到网络N 1的另一计算机来执行。此外，由取递管理服务器500执行的一系列处理可以由硬件实行或软件实行。

下面将描述中央服务器400。中央服务器400具有计算机的一般配置，并且其基础硬件配置与取递管理服务器500相同。具体地，中央服务器400包括处理器、主存储单元和辅助存储单元(未图示出)。因此，在中央服务器400中，与预定目的匹配的功能能够通过使处理器将存储在辅助存储单元中的程序加载到主存储单元的工作区域中并执行所加载的程序且通过程序的执行控制构成单元等来实现。中央服务器400还包括通信单元401。中央服务器400的通信单元401在功能上与取递管理服务器500的通信单元501相同，并且执行中央服务器400和另一装置(例如，取递管理服务器500等)之间的通信。

此外，中央服务器400包括在辅助存储单元中的存储各种信息的用户信息DB 403、认证信息DB 404和发布状态信息DB 405。这些数据库(DB)通过使由处理器执行的数据库管理系统的程序管理存储在辅助存储单元中的数据来构造。用户信息DB 403、认证信息DB404和发布状态信息DB 405例如是关系数据库。

用户信息DB 403存储使用车辆10的用户的识别信息以及对应的密码。使用车辆10的用户包括例如将取递行李递送到车辆10等的取递用户，以及回收所递送的取递行李的请求用户。

认证信息DB 404存储例如用于车辆10的认证信息，其对应于包括在正式钥匙信息中的终端认证信息以及用于与车辆10的钥匙单元100进行短距离通信的预定信息。车辆10的认证信息是与用于车辆10的识别信息(钥匙ID)相关联的信息。与用于车辆10的识别信息(钥匙ID)相关联的信息例如是特定于车载设备10的钥匙单元100的识别信息。除了用于车辆10的认证信息之外，认证信息DB 404可以存储关于认证信息的有效期(其包括有效时段)的信息、认证信息是否无效的信息等。用于与车辆10的钥匙单元100进行短距离通信的预定信息例如包括钥匙单元100的识别信息，其包括在BLE中从钥匙单元100发射的广告包中。

发布状态信息DB 405存储指示用于取递用户的临时钥匙信息和正式钥匙信息的发布状态的发布状态信息，该取递用户计划收取并递送取递行李，该取递行李的取递地点被指定为车辆10。下面将参照图5描述存储在发布状态信息DB 405中的发布状态信息的结构。图5图示出了发布状态信息的表格结构，并且发布状态信息表格包括请求用户ID、行李ID、取递日期和时间、钥匙发布状态、快递公司ID以及取递用户终端ID的域。

与存储在取递管理DB 503的取递信息表格中的域中的值相同的值被输入请求用户ID域、行李ID域、取递日期和时间域以及取递用户终端ID域。快递公司的识别信息被输入到快递公司ID域。指示“临时发布期间”、“等待正式发布期间”和“正式发布期间”的信息被输入到钥匙发布状态域，“临时发布期间”、“等待正式发布期间”和“正式发布期间”指示临时钥匙信息和正式钥匙信息的发布状态。“临时发布期间”的状态是指示临时钥匙信息已经发布到与对应的行李对应的取递用户的用户终端200的状态。“等待正式发布期间”的状态是指示来自与对应的行李对应的取递用户的用户终端200的正式钥匙信息发布请求暂停的状态。“正式发布期间”的状态是指示已经向与对应的行李对应的取递用户的用户终端200发布了正式钥匙信息的状态。

例如，当临时钥匙信息的有效期终止时或当目标行李的计划递送日期终止时，从发布状态信息DB 405删除发布状态信息DB 405中的发布状态信息。

在中央服务器400中，控制单元402通过使处理器执行程序而实施为功能单元。控制单元402执行与向用户终端200等发布认证信息有关的控制。具体地，控制单元402包括临时发布控制单元4021和正式发布控制单元4022作为功能单元。

临时发布控制单元4021控制临时钥匙信息的发布。在下文中，临时钥匙信息的发布也称为临时发布。临时发布控制单元4021例如从取递管理服务器500接收临时钥匙信息发布请求。例如，临时发布控制单元4021连同临时钥匙信息发布请求一起接收关于待被收取并递送的行李的信息和关于作为发布目的地的取递用户的用户终端200的信息。例如，行李的识别信息、请求用户的识别信息、被指定的取递日期和时间被包括在关于待被收取并递送的行李的信息中。

临时发布控制单元4021经由取递管理服务器500将临时钥匙信息发送到用户终端200。例如，临时钥匙信息包括指示其为临时钥匙信息的信息。临时发布控制单元4021还将行李的识别信息、请求用户的识别信息、关于临时钥匙信息的有效期的信息连同临时钥匙信息一起发送。当预定信息被用于与钥匙单元100的短距离通信时，该信息也连同临时钥匙信息一起发送，或者该信息也包括在临时钥匙信息中。

当已经由请求用户指定了取递时间段时和当未由请求用户指定取递时间段时从计划取递日的业务开始起的24小时，临时钥匙信息的有效期例如被设定成指定的取递时间段。临时发布控制单元4021将关于已经发布了临时钥匙信息的行李的信息和关于计划收取并递送行李的取递用户的用户终端200的信息登记在发布状态信息DB 405中所存储的发布状态信息表格中。钥匙发布状态被登记为“临时发布期间”。

在发布临时钥匙信息时，临时发布控制单元4021将临时发布通知发送到请求用户的用户终端50。临时发布通知包括诸如行李的识别信息、计划取递日期和时间、快递公司以及取递地点等的信息。通过向请求用户的用户终端50发送临时发布通知，可以向请求用户通知递送时间表，并且例如，当计划接收时间段已经改变时，指定的递送时间段等也能够改变。在发布临时钥匙信息时，临时发布控制单元4021可以请求请求用户的用户终端50允许临时发布，并且在已经允许临时发布时发布临时钥匙信息。

正式发布控制单元4022控制正式钥匙信息的发布。正式钥匙信息的发布也被称为正式发布。具体地，正式发布控制单元4022经由取递管理服务器500从取递用户的用户终端200接收正式钥匙信息发布请求。例如，连同正式钥匙信息发布请求一起，正式发布控制单元4022接收作为发布请求源的用户终端200的识别信息以及待被收取并递送的行李的识别信息。

正式发布控制单元4022判定正式钥匙信息是否已经发布到关于作为正式钥匙信息发布请求的目标的请求用户的另一用户终端200。例如，根据是否存在请求用户ID的域的值与发布状态信息DB 405的请求用户的识别信息一致且钥匙发布状态为“正式发布期间”的记录，取得正式钥匙信息是否已经发布到关于作为正式钥匙信息发布请求的目标的请求用户的另一用户终端200。

当正式钥匙信息还未发布到关于作为正式钥匙信息发布请求的目标的请求用户的另一用户终端200时，正式发布控制单元4022将作为对应于钥匙单元100(终端认证信息)的认证信息的正式钥匙信息经由取递管理服务器500发送到用户终端200。随着正式钥匙信息一起，例如，还发送正式钥匙信息的有效期的信息、请求用户的识别信息和行李的识别信息。正式钥匙信息的有效期被设定成在已经从中央服务器400发布正式钥匙信息之后或者在用户终端200已经接收到正式钥匙信息之后的5到30分钟的时间。在这种情况下，正式发布控制单元4022将发布状态信息DB 405中与待被收取并递送的行李的行李ID一致的记录的钥匙发布状态更新为“正式发布期间”。

当正式钥匙信息已被发布到关于作为正式钥匙信息发布请求的目标的请求用户的另一用户终端200时，正式发布控制单元4022使来自作为请求源的用户终端200的正式钥匙信息发布请求等待(暂停请求)。在这种情况下，正式发布控制单元4022将发布状态信息DB 405中与待被收取并递送的行李的行李ID一致的记录的钥匙发布状态更新为“等待正式发布期间”。正式发布控制单元4022可将等待通知发送给作为请求源的用户终端200。

当已经检测到请求用户结束使用正式钥匙信息时，在从检测起已经过去了预定时间之后，正式发布控制单元4022判定是否存在等待关于请求用户的正式发布的用户终端200。当存在等待关于已经结束使用正式钥匙信息的请求用户的正式发布的用户终端200时，正式发布控制单元4022将正式钥匙信息发送至等待期间的用户终端200。

通过正式钥匙信息的有效期终止或者从用户终端200经由取递管理服务器500接收正式钥匙信息返回通知，检测到用户终端200的请求用户使用正式钥匙信息的结束。例如，当由取递用户输入完成取递的操作时，或者当不能以预定的无线电波接收强度从钥匙单元100接收短距离通信电波信号时，用户终端200使正式钥匙信息返回通知经由取递管理服务器500发送到中央服务器400。

当已将检测到请求用户使用正式钥匙信息的结束时，正式发布控制单元4022对用户终端200执行正式钥匙信息无效处理，在从该检测起已经过去了预定时间之后，检测到用户终端200对正式钥匙信息的使用的结束。紧接在已经检测到正式钥匙信息的使用结束后不执行无效处理的原因在于车辆10的锁定功能的有效性在用户终端200中暂停。因此，例如，即便当正式钥匙信息的有效期已经终止时，用户终端200也可以暂时向车辆10发送锁定请求，并且即便当正式钥匙信息的有效期在取递用户忘记车辆10的锁定的状态下已经终止时，能够锁定车辆10。当正式钥匙信息无效处理结束时，正式发布控制单元4022将与发布状态信息DB 405中的待被收取并递送的行李的行李ID一致的记录的钥匙发布状态更新为“临时钥匙发布期间”。

使由临时发布控制单元4021和正式发布控制单元4022执行的临时钥匙信息和正式钥匙信息无效的处理的细节不受特别限制，只要取递用户不能使用已发布的认证信息锁定和解锁车辆10即可。使临时钥匙信息和正式钥匙信息无效的处理的实例如下。(1)中央服务器400指示用户终端200删除临时钥匙信息或正式钥匙信息。(2)中央服务器400指示用户终端200设定临时钥匙信息或正式钥匙信息的无效标志。在这种情况下，用户终端200的控制单元203需要配置成使得包括在其中设定了无效标志的正式钥匙信息中的认证信息不通过短距离无线通信发送到车辆10。(3)中央服务器400指示用户终端200将临时钥匙信息或正式钥匙信息中包含的有效期重写为过去的日期和时间。(4)中央服务器400指示用户终端200不将无效的临时钥匙信息或正式钥匙信息发送到车辆10。

中央服务器400的一个功能组件或其一些处理可以通过连接到网络N1的另一计算机来实现。由中央服务器400执行的一系列处理可以由硬件实行或可以由软件实行。

处理流

图6是图示出由中央服务器400执行的临时发布控制处理的流程图。临时发布控制处理是与由中央服务器400执行的临时钥匙信息发布控制相关的处理。例如，以预定时间间隔执行图6中图示出的处理。图6中图示出的处理流的执行主体是安装在中央服务器400中的处理器，但是为了方便起见，假定作为功能单元的临时发布控制单元4021被用作该主体。图6中图示出的处理流是要对待被收取并传送的单件行李上执行的处理流。

在S101中，临时发布控制单元4021判定是否已经从取递管理服务器500接收到临时钥匙信息发布请求。随着临时钥匙信息发布请求一起，例如，还接收到关于待被收取并递送的行李的信息以及作为发布目的地的取递用户的用户终端200的信息。处理流在当S101的判定结果为肯定时过渡到102，并且处理流在当判定结果为否定时过渡到S103。

在S102中，临时发布控制单元4021判定由请求用户指定的取递日或由取递管理服务器500计划的取递日是当日还是下一个工作日。例如，针对待被收取并递送的行李的指定取递日或计划取递日的信息包括在关于目标行李的取递信息中，该信息随着临时钥匙信息发布请求一起从取递管理服务器500发送。当S102的判定结果为肯定时，处理流过渡到S103。在S102的判定结果为否定时，针对目标行李的临时发布暂停，并且图6中图示出的处理流结束。关于已经暂停的临时发布的行李的临时发布控制处理于下一个工作日再次执行。

在S103中，临时发布控制单元4021设置临时钥匙信息的有效期，并将临时钥匙信息发送到用户终端200。临时钥匙信息的有效期在当由请求用户指定了取递时间段时取递时间段被设定为指定的取递时间段，并且当未由请求用户指定取递时间段时，被设定为自计划取递日的营业开始时间起的24小时。随着临时钥匙信息一起，例如，发送行李的识别信息、请求用户的识别信息、临时钥匙信息的有效期的信息以及用于与钥匙单元100的短距离通信的预定信息。临时发布控制单元4021针对作为临时钥匙信息的发布目的地的用户终端200的取递用户的待收取并递送的行李而登记存储在发布状态信息DB 405中的发布状态信息表中的记录。所登记的记录中的钥匙发布状态域是“临时发布期间”。

在S104中，临时发布控制单元4021经由取递管理服务器500将临时钥匙信息发布通知发送到请求用户的用户终端50。在S105中，临时发布控制单元4021判定是否已经经由取递管理服务器500从请求用户的用户终端50接收到取递改变请求。当S105中的判定结果为肯定时，处理流过渡到S106。当S105中的判定结果为否定时，处理流过渡到S107。

在S106中，临时发布控制单元4021基于取递改变请求的细节执行处理。例如，当指定的取递时间段已经改变时，临时发布控制单元4021发布具有作为有效时间段的指定的改变后的时间段的临时钥匙信息，并将临时钥匙信息发送到相应的取递用户的用户终端200。已经接收到临时钥匙信息的用户终端200将存储的临时钥匙信息更新为新接收的临时钥匙信息。例如，当指定的取递日已经改变时，临时发布控制单元4021对收取并递送相应的行李的取递用户的用户终端200执行临时钥匙信息无效处理。

在S107中，临时发布控制单元4021判定临时钥匙信息的有效期是否已经终止。当S107的判定结果为肯定时，处理流过渡到S108，并且当S107的判定结果为否定时，处理流过渡到S105。

在S108中，由于临时钥匙的有效期已经终止，临时发布控制单元4021执行临时钥匙信息无效处理。临时发布控制单元4021删除存储在发布状态信息DB 405中的针对目标行李的发布状态信息表格中的记录。此后，图6中图示出的处理流结束。

图7是图示出由中央服务器400执行的正式发布控制处理的流程图。正式发布控制处理是与正式钥匙信息发布控制相关的处理。例如，以预定时间间隔执行图7中图示出的处理。图7中图示出的处理流的执行主体是安装在中央服务器400中的处理器，但为了方便起见，假定作为功能单元的正式发布控制单元4022被用作该主体。

在S201中，正式发布控制单元4022判定是否已经经由取递管理服务器500从用户终端200接收到正式钥匙信息发布请求。连同正式钥匙信息发布请求一起，例如，还接收到作为发布请求源的用户终端200的识别信息以及待被收取并递送的行李的识别信息。当S201的判定结果为肯定时，处理流过渡到S202，并且当判定结果为否定时，图7中图示出的处理流结束。

在S202中，正式发布控制单元4022判定发布给作为正式钥匙信息发布请求源的用户终端200的临时钥匙信息的有效期终止之前剩余的时间是否等于或大于α分钟。例如，临时钥匙信息的有效期是当存在由请求用户指定的时间段时为指定的时间段，和当不存在指定的时间段时为自营业开始时间起的24小时。当S202的判定结果为肯定时，处理流过渡到S203，并且当判定结果为否定时，图7中所示的处理流结束。即，在临时钥匙信息的有效期终止之前的α分钟内不执行正式发布。在此，例如，α分钟是与正式钥匙信息的有效期(例如，5到30分钟)的时长相同的长度。因此，能够防止用户终端200在临时钥匙信息的有效期内独占地拥有车辆10的正式钥匙信息。

在S203中，正式发布控制单元4022判定是否已经向另一个用户终端200发布了用于车辆10的正式钥匙信息。例如，根据请求用户ID域的值与随着发布状态信息DB 405中的正式钥匙信息的发布请求一起接收的请求用户的识别信息一致的记录之中是否存在钥匙发布状态域为“正式发布期间”的记录，取得是否已经发布了用于车辆10的正式钥匙信息。当S203的判定结果为肯定时，处理流过渡到S204，并且当判定结果为否定时，处理流过渡到S205。

在S204中，由于用于车辆10的正式钥匙信息已经发布到另一用户终端200，正式发布控制单元4022经由取递管理服务器500向作为正式钥匙信息发布请求源的用户终端200发布等待通知。正式发布控制单元4022将发布状态信息DB 405中对应于目标行李的记录中的钥匙发布状态域更新为“等待正式发布期间”。此后，图7中所示的处理流结束。例如，当即使在将钥匙发布状态域更新为“正式发布等待期间”之后已经过去了预定时间也未向用户终端200发布正式钥匙信息时，正式发布控制单元4022可使钥匙发布状态域可以返回到“临时发布期间”。

在S205中，正式发布控制单元4022经由取递管理服务器500将设定了有效期的正式钥匙信息发送到用户终端200。正式钥匙信息的有效期例如设定为自正式发布控制单元4022发布起或由用户终端200接收起的5到30分钟。

在S206中，正式发布控制单元4022判定是否从用户终端200接收到正式钥匙信息返回通知。当S206的判定结果为肯定时，处理流过渡到S208，并且当判定结果为否定时，处理流过渡到S207。

在S207中，正式发布控制单元4022判定发布给用户终端200的正式钥匙信息的有效期是否已经终止。当S207的判定结果为肯定时，处理流过渡到S208，并且当判定结果为否定时，处理流过渡到S206。

在S208中，由于已经从用户终端200接收到正式钥匙信息返回通知或者发布给用户终端200的正式钥匙信息的有效期已经终止，即，已经检测到正式钥匙信息的使用结束，正式发布控制单元4022判定在已经检测到正式钥匙信息的使用结束之后开始的解锁无效期是否已经终止。解锁无效期是用户终端200能够锁定车辆10但不能解锁车辆10的时段。解锁无效期例如是5分钟到15分钟。当S208的判定结果为肯定时，处理流过渡到S209，并且当判定结果为否定时，重复执行S208的处理。

在S209中，正式发布控制单元4022执行使发布给用户终端200的正式钥匙信息无效的处理。正式发布控制单元4022将发布状态信息DB 405中与用户终端200的待取递行李对应的记录中的钥匙发布状态域更新为“临时发布期间”。

在S210中，正式发布控制单元4022确定是否存在另一个用户终端200等待车辆10的正式发布。例如，根据发布状态信息DB 405中请求用户ID域的值与已经在S209中执行了正式钥匙信息无效处理的用户终端200的待取递行李对应的记录匹配的记录之中是否存在钥匙发布状态域为“等待正式发布期间”的记录，取得是否存在等待车辆10的正式发布的另一个用户终端200。

当S210的判定结果为肯定时，处理流过渡到S204，并且正式钥匙信息被发布给在等待发布正式钥匙信息期间的另一个用户终端200。例如，当存在等待发布正式钥匙信息的多个用户终端200时，可以向具有最长等待时间的用户终端200发布正式钥匙信息或者正式钥匙信息可以被发布到具有临时钥匙信息的有效期终止前的最小剩余时间的用户终端。当存在等待发布正式钥匙信息的多个用户终端200时，选择正式钥匙信息发布至的用户终端200的方法不限于此。当S210的判定结果为否定时，结束图7中图示出的处理。

图8是图示出由取递用户的用户终端200执行的临时钥匙管理处理的处理流的流程图。临时钥匙管理处理是与用户终端200中的临时钥匙信息的管理相关联的处理。例如，以预定时间间隔执行图8中图示出的处理。图8中图示出的处理流的执行主体是对应于用户终端200的控制单元203或安装在计算机中的CPU的计算机，但是为了方便起见，假定作为功能单元的认证信息管理单元2031被用作该主体。

在S301中，认证信息管理单元2031判定是否已经经由取递管理服务器500从中央服务器400接收到临时钥匙信息。当S301的判定结果为肯定时，处理流过渡至S302，并且判定结果为否定时，图8中图示出的处理流结束。在S302中，认证信息管理单元2031将接收的临时钥匙信息存储在控制单元203中设置的存储装置中。

在S303中，认证信息管理单元2031判定是否已经经由取递管理服务器500从中央服务器400接收到使在S301中接收的临时钥匙信息无效的指令。当S303的判定结果为肯定时，处理流过渡至S304。当S303的判定结果为否定时，处理流返回至S202。例如，当临时钥匙信息的有效期已经终止时，从中央服务器400发送使临时钥匙信息无效的指令。

在S304中，认证信息管理单元2031执行临时钥匙信息无效处理。例如，临时钥匙信息无效处理是从存储装置删除临时钥匙信息、针对临时钥匙信息建立无效标志或将临时钥匙信息的有效期重写为过去的日期和时间的处理。此后，图8中图示出的处理流结束。

图9是图示出由取递用户的用户终端200执行的正式钥匙管理处理的处理流的流程图。正式钥匙管理处理是与用户终端200中的正式钥匙信息的管理相关的处理。例如，以预定时间间隔执行图9中图示出的处理。图9中图示出的处理流的执行主体是对应于用户终端200的控制单元203或安装在计算机中的CPU的计算机，但是为了方便起见，假定作为功能单元的认证信息管理单元2031被用作该主体。

在S401中，认证信息管理单元2031判定短距离通信单元201是否已经通过短距离通信连接到车辆10的钥匙单元100。当S401的判定结果为肯定时，处理流过渡至S402，并且当判定结果为否定时，图9中图示出的处理流结束。将用于通过短距离通信与车辆10的钥匙单元100连接的信息与临时钥匙信息一起发送。因此，在第一实施例中，不包括用于车辆10的临时钥匙信息的用户终端200不能通过短距离通信连接至车辆10的钥匙单元100，并因此不能发布正式钥匙信息发布请求。也就是说，为了使用户终端200发布正式钥匙信息发布请求，需要包括临时钥匙信息。

在S402中，认证信息管理单元2031经由取递管理服务器500将正式钥匙信息发布请求发送到中央服务器400。例如，连同正式钥匙信息发布请求一起，还发送作为发布请求源的用户终端200的识别信息以及待被收取并递送的行李的识别信息。在S403中，认证信息管理单元2031判定是否已经经由取递管理服务器500从中央服务器400接收到正式钥匙信息。当S403的判定结果为肯定时，处理流过渡至S406，并且当判定结果为否定时，处理流过渡至S404。

在S404中，认证信息管理单元2031判定是否已经切断了与车辆10的钥匙单元100的短距离通信。当S404的判定结果为肯定时，图9中图示出的处理结束。当S404的判定结果为否定时，处理流过渡至S405。在S405中，认证信息管理单元2031判定从发送正式钥匙信息发布请求起是否已经经过了预定时间。例如，S405中的预定时间与正式钥匙信息的有效期相同，并且是5到30分钟。当S405的判定结果为肯定时，图9中图示出的处理结束。当S405的判定结果为否定时，处理流过渡至S403。也就是说，当短距离通信已经被切断或者自发送正式钥匙信息发布请求起已经经过了预定时间而未收到正式钥匙信息时，图9中图示出的处理流结束。

S406至S412是当已经接收到正式钥匙信息时的处理。在S406中，认证信息管理单元2031判定是否已经断开了与车辆10的钥匙单元100的短距离通信。当S406的判定结果为肯定时，处理流过渡至S408，并且当S406的判定结果为否定时，处理流过渡至S407。

在S407中，认证信息管理单元2031判定是否已经从输入/输出单元204输入了正式钥匙信息返回操作。正式钥匙信息返回操作例如是用于完成行李的取递而输入的操作。当S407的判定结果为肯定时，处理流过渡至S408，并且当判定结果为否定时，处理流过渡至S409。

在S408中，由于已经断开了与车辆10的钥匙单元100的短距离通信或者已经输入了正式钥匙信息返回操作，认证信息管理单元2031将正式钥匙信息返回通知经由取递管理服务器500发送到中央服务器400。

在S409中，认证信息管理单元2031判定正式钥匙信息的有效期是否已经终止。当S409的判定结果为肯定时，处理流过渡至S410，并且当判定结果为否定时，处理流过渡至S406。

在S410中，认证信息管理单元2031使对车辆10的解锁操作无效。对车辆10的锁定操作保持有效。具体地，认证信息管理单元2031向锁定/解锁控制单元2032通知解锁操作的无效，并且即使当从输入/输出单元204输入对车辆10的解锁操作时，锁定/解锁控制单元2032使解锁操作无效。

在S411中，认证信息管理单元2031判定是否已经经由取递管理服务器500从中央服务器400接收到正式钥匙信息无效指令。当S411的判定结果为肯定时，处理流过渡至S412。当S411的判定结果为否定时，处理流返回到S411。例如，当解锁无效期(参见图7)已经终止时，从中央服务器400发送正式钥匙信息无效指令。

在S412中，认证信息管理单元2031执行正式钥匙信息无效处理。正式钥匙信息无效处理例如是如下处理：从存储装置删除正式钥匙信息；针对正式钥匙信息建立无效标志；将正式钥匙信息的有效期重写为过去的日期和时间；或者，不将正式钥匙信息中包含的终端认证信息发送到车辆10。此后，图9中图示出的处理流结束。

特定实例

图10A和图10B是图示出中央服务器400中的认证信息发布控制的特定实例中的处理序列的实例的视图。在图10A和图10B中，图示出了如下情况：请求用户使用终端50向取递管理服务器500A和取递管理服务器500B发送取递请求，并且取递用户A和取递用户B收取并递送行李，该行李由请求用户请求收取和递送。在图10A和图10B中图示出的实例中，假定未指定取递时间段并且取递用户A和取递用户B属于不同的快递公司。

在S11中，中央服务器400从取递管理服务器500A和取递管理服务器500B接收针对目标行李的临时钥匙信息发布请求，并向取递用户A和取递用户B的用户终端200发布临时钥匙信息(图6中的S101至S103)。在S12中，取递用户A的用户终端200A经由取递管理服务器500A从中央服务器400接收用于车辆10的临时钥匙信息。在S13中，取递用户B的用户终端200B经由取递管理服务器500B从中央服务器400接收用于车辆10的临时钥匙信息。尽管未图示出，与S12和S13对应的临时钥匙信息发布通知被从中央服务器400发送到请求用户的用户终端50。

S21的处理及其后续处理是关于计划递送日的处理。在S21中，取递用户A到达可与车辆10进行短距离通信的区域，并且取递用户A的用户终端200A例如使用随着临时钥匙信息一起接收的信息而通过短距离通信连接至车辆10的钥匙单元100(图9中的S401为是)。在S22中，取递用户A的用户终端200A经由取递管理服务器500A向中央服务器400发送正式钥匙信息发布请求(图9中的S402)。

在S23中，由于用于车辆10的正式钥匙信息尚未发布到任何用户终端200，中央服务器400经由取递管理服务器500A将正式钥匙信息发送到取递用户A的用户终端200A(图7中的S203和S205为否时)。

在S24中，取递用户A的用户终端200A经由取递管理服务器500A从中央服务器400接收用于车辆10的正式钥匙信息(图9中的S403为是)。当以这种方式由用户终端200A接收从中央服务器400发送的正式钥匙信息时，可以使用用户终端200A执行锁定和解锁车辆10的货厢的操作。

S31至S34的处理是当取递用户A在正式钥匙信息的有效期内到达车辆10并且收取并递送目标行李时的处理。在S31中，当取递用户A经由用户终端200A的输入/输出单元204执行解锁车辆10的操作时，用户终端200A将包括认证信息的解锁请求发送到钥匙单元100。在S32中，钥匙单元100接收从取递用户A的用户终端200A发送的解锁请求，并通过将包括在解锁请求中的认证信息(终端认证信息(正式钥匙信息))与存储在存储单元1041中的认证信息(装置认证信息)进行比较来执行认证处理。

在S33中，当使用两条认证信息进行的认证已经成功时，钥匙单元100将解锁信号和钥匙ID发送到锁定/解锁装置300。在S34中，锁定/解锁装置300接收从钥匙单元100发送的解锁信号和钥匙ID，基于接收到的钥匙ID执行认证处理，并且当认证已经成功时解锁车辆10的货厢。此时，锁定/解锁装置300可以使应答信号等返回到钥匙单元100。

在车辆10中执行S31至S34的处理。另一方面，在S41中，取递用户B到达可与车辆10进行短距离通信的区域并且取递用户B的用户终端200B使用随着临时钥匙信息一起接收的信息通过短距离通信连接至车辆10的钥匙单元100(图9中的S401为是时)。在S42中，取递用户B的用户终端200B经由取递管理服务器500B将正式钥匙信息发布请求发送到中央服务器400(图9中的S402)。

在S43中，由于已经向取递用户A的用户终端200A发布了用于车辆10的正式钥匙信息(图7中的S203为是时)，中央服务器400经由取递管理服务器500B向取递用户B的用户终端200B发送等待通知(图7中的S204)。

在图10B的S51中，当取递用户A完成车辆10中的行李的收取和递送时，通过解锁处理关闭货厢门，并且经由用户终端200A的输入/输出单元204执行锁定车辆10的操作，用户终端200A向钥匙单元100发送包括认证信息的锁定请求。在S52中，钥匙单元100接收从用户终端200A发送的锁定请求，并通过将包括在从用户终端200A发送的锁定请求中的认证信息(终端认证信息(正式钥匙信息))与存储在存储单元1041中的认证信息(装置认证信息)进行比较来执行认证处理。

在S53中，当使用两条认证信息进行的认证已经成功时，钥匙单元100将锁定信号和钥匙ID发送到锁定/解锁装置300。在S54中，锁定/解锁装置300接收从钥匙单元100发送的锁定信号和钥匙ID，并基于接收到的钥匙ID执行认证处理。结果，当认证已经成功时，锁定车辆10的货厢门。在S35中，钥匙单元100向用户终端200发送指示锁定已完成的通知(锁定通知)。因此，例如，指示锁定已完成的消息被输出到用户的终端200A的触摸面板屏幕上。

在S61中，当取递用户A通过触摸面板屏幕上显示的锁定通知确认已完成行李的收取和递送时，取递用户A经由用户终端200A的输入/输出单元204输入最新的取递状态，即指示收取和递送已经完成的状态，以便更新存储在取递管理服务器500A中的取递信息中的取递状态。在S62中，取递用户A的用户终端200A将最新的取递状态发送到取递管理服务器500A。在S63中，已经接收到最新的取递状态的取递管理服务器500A更新取递信息。在更新取递状态时，代替使取递用户输入信息，当用户终端200A在S55的处理中从钥匙单元100接收锁定通知时，在不需要从取递用户输入的情况下，用户终端200A可以向取递管理服务器500发送更新命令，使得取递状态是收取和递送的完成。

在S64中，取递用户A的用户终端200A接收S61中的收取和递送的完成状态，并且经由取递管理服务器500A将正式钥匙信息返回通知发送到中央服务器400(图9中的S407和S408为是时)。在S65中，中央服务器400从取递用户A的用户终端200A接收正式钥匙信息返回通知，开始解锁无效期，并等待直到解锁无效期终止。

在S66中，解锁无效期终止并且中央服务器400执行正式钥匙信息无效处理(图7中的S208和S209为是时)。在S67中，中央服务器400经由取递管理服务器500A将正式钥匙信息无效指令发送到取递用户A的用户终端200A。在S68中，取递用户A的用户终端200A接收正式钥匙信息无效指令并执行正式钥匙信息无效处理(图9中的S411和S412为是时)。

在S71中，由于取递用户A的用户终端200A独占地拥有车辆10的正式钥匙信息已经终止，中央服务器400将用于车辆10的正式钥匙信息发布给在等待正式发布期间的取递用户B的用户终端200B(图7中的S210和S205为是时)。在S72中，取递用户B的用户终端200B经由取递管理服务器500B从中央服务器400接收用于车辆10的正式钥匙信息(图9中的S403为是时)。此后，如图10A中图示出的S31至S34以及S51至S55，当取递用户B到达车辆10时，通过使取递用户B操作用户终端200B来执行车辆10的货厢的锁定和解锁，并执行行李的收取和递送。

第一实施例的有益效果

在第一实施例中，临时钥匙信息在计划递送日提前发布给用户终端200，并且当临时钥匙信息已经发布至的用户终端200通过短距离通信连接至车辆10时，即，当用户终端200与车辆10之间的距离变为可以在其间进行短距离通信的距离时，正式钥匙信息被发布给用户终端200。然而，当已经向另一用户终端200发布用于车辆10的正式钥匙信息时，在已经检测到另一用户终端200使用正式钥匙信息的结束之后，用于车辆10的正式钥匙信息被发布至用户终端200。

因此，根据第一实施例，临时钥匙信息尚未发布至的用户终端200不能获取正式钥匙信息，并且在临时钥匙信息已经发布至的多个用户终端200之中较早接近车辆10的用户终端200能够独占地拥有正式钥匙信息约5分钟到30分钟。因此，只要临时钥匙信息已经被发布至用户终端200，就可以在接近车辆10的时刻获取正式钥匙信息而不受时间限制，并且减少了对取递用户的取递的时间限制。

通过向多个用户终端200发布临时钥匙信息，多个用户终端200的取递用户可以在单个取递时间段内进入车辆10的货厢，并且请求用户可以指定一个取递时间段并给出多个取递请求。

当用户终端200与车辆10之间的距离变为可进行短距离通信的距离并且已经将用于车辆10的正式钥匙信息发布给另一用户终端200时，用户终端200可以通过等待另一用户终端200使用正式钥匙信息的结束来获取用于车辆10的正式钥匙信息。在图10A和图10B图示出的特定实例中，例如，当车辆10中的取递需要5分钟并且解锁无效期被设定为5分钟时，用户终端200A独占地拥有用于车辆10的正式钥匙信息的从S21到S68的时间最多为10分钟。也就是说，在图10A和图10B图示出的特定实例中，即使当用户终端200A和用户终端200B对车辆10的进入重叠时，用户终端200B也可以在最多10分钟之后进入车辆10。5分钟到30分钟的有效期设置在正式钥匙信息中，并且当有效期终止时，认为正式钥匙信息的使用结束。也就是说，根据第一实施例，可以减少一个用户终端200独占地拥有用于车辆10的正式钥匙信息的时间，并且提高多个取递用户进行车辆10中的收取和递送时的自由度。因此，例如，请求用户可以在从12:00到14:00的时间段内为多个取递用户指定车辆10中的收取和递送。

根据第一实施例，在已经检测到用户终端200使用正式钥匙信息是结束之后设定解锁无效期。因此，在解锁无效期中，用户终端200可以连续地拥有正式钥匙信息并且不能解锁车辆10的货厢而是只能锁定货厢。例如，当正式钥匙信息的有效期在车辆10的货厢针对行李的收取和递送被解锁的状态下终止时，取递用户可以在解锁无效期内锁定车辆的货厢，并因此可以保持车辆10的安全性。

在第一实施例中，用于与车辆10的钥匙单元100进行短距离通信的信息随着临时钥匙信息一起被发送到用户终端200。计划取递日期的有效期设置在临时钥匙信息中。因此，可以限制取递用户的用户终端200能够通过短距离通信进入车辆10的时间并保持安全性。

第一实施例的变型例

在第一实施例中，例如，当行李到达递送中心时或者当已经从请求用户的用户终端50接收到取递请求时，发送临时钥匙信息发布请求并发布临时钥匙信息，并且在通过短距离通信作为触发而将取递用户的用户终端200连接至车辆10的钥匙单元100的情况下，发布正式钥匙信息。相反，在变型例中，基于取递用户的用户终端200的位置信息和车辆10的位置信息发布临时钥匙信息和正式钥匙信息。在第一实施例中，临时钥匙信息的有效期在请求用户还未指定取递时间段时是自计划递送日期的营业开始时间起的24小时的相对长的时间，但是在该变型例中，被设定为已经发布临时钥匙信息之后的1小时到2小时。

例如，通过在用户终端200中安装诸如全球定位系统(GPS)的可以获取位置信息的传感器，可以获取取递用户的用户终端200的位置信息。车辆10的位置由取递管理服务器500管理(参见图4)。在该实施例中，取递用户的用户终端200以预定间隔经由取递管理服务器500将位置信息发送到中央服务器400。中央服务器400基于从取递用户的用户终端200接收的位置信息和车辆10的位置信息发布临时钥匙信息或正式钥匙信息。

图11是图示出在该实施例中由中央服务器400执行的临时发布控制处理的处理流的流程图。在图11中，与根据第一实施例的图6中图示出的临时发布控制处理相同的处理将用相同的附图标记表示并且不再重复其描述。

在S501中，临时发布控制单元4021基于取递用户的用户终端200的位置信息来判定车辆10与取递用户的用户终端200之间的距离是否小于第一距离。例如，第一距离设定为500米至1千米。当S501的判定结果为肯定时，处理流过渡至S502，并且当判定结果为否定时，图11中图示出的处理流结束。

在S502中，临时发布控制单元4021判定当前时间是否在待由用户终端200的取递用户收取并递送的行李的指定取递时间段内。当未指定取递时间段时，S502的判定结果是肯定的。当S502的判定结果为肯定时，处理流过渡至S503，并且当判定结果为否定时，图11中图示出的处理流程结束。

在S503中，临时发布控制单元4021设定临时钥匙信息的有效期，并将临时钥匙信息发送到用户终端200。临时钥匙信息的有效期被设定为例如1小时到2小时。S104至S108的后续处理与图6中图示出的S104至S108的处理相同，并且当有效期终止时临时钥匙信息被无效。

图12是图示出根据该变型例的由中央服务器400执行的正式发布控制处理的处理流的流程图。在图12中，与根据第一实施例的图7中图示出的正式发布控制处理中的处理相同的处理将由相同的附图标记表示并且将不再重复其描述。

在S601中，正式发布控制单元4022基于取递用户的用户终端200的位置信息判定车辆10与取递用户的用户终端200之间的距离是否小于第二距离。第二距离是小于第一距离的距离，并且例如被设定为0m至10m。当S601的判定结果为肯定时，处理流过渡至S602，并且当判定结果为否定时，图12中图示出的处理流结束。

在S602中，正式发布控制单元4022判定是否保持用于车辆10的临时钥匙信息。当S602的判定结果为肯定时，处理流过渡至S202，并且当判定结果为否定时，图12中图示出的处理流结束。此后，S202至S210的处理与图7中的S202至S210的处理相同，并且当在接收到正式钥匙信息返回通知并且有效期终止之后经过了解锁无效期时，正式钥匙信息无效。

根据该变型例，当取递用户进入距离车辆10的第一距离内的区域时，临时钥匙信息被发布给取递用户的用户终端200，并且当取递用户接近车辆10并进入距车辆10的第二距离内的区域时，正式钥匙信息被发布至用户终端200。当用于与车辆10的钥匙单元100进行短距离通信的信息随着临时钥匙信息一起发送时，可以减少取递用户的用户终端200持有信息的时间，从而可以增强安全性。

在该变型例中，中央服务器400执行判定车辆10和取递用户的用户终端200之间的距离的处理(图11中的S501和图12中的S601)，但是本发明不限于此。例如，判定车辆10和取递用户的用户终端200之间的距离的处理(图11中的S501和图12中的S601)可以由用户终端200执行。用户终端200使用递送计划信息等获取车辆10的位置信息。在这种情况下，当判定车辆10与用户终端200之间的距离小于第一距离时，用户终端200经由取递管理服务器500将临时钥匙信息发布请求发送到中央服务器400。在这种情况下，当车辆10与用户终端200之间的距离小于第二距离时，用户终端200经由取递管理服务器500将正式钥匙信息发布请求发送到中央服务器400。

其他

例如，临时钥匙信息可如第一实施例中那样在计划递送日期的营业开始之前或在营业时间期间发布，并且当车辆10和用户终端200之间的距离如在变型例中那样小于第二距离时，可以发布正式钥匙信息。可选地，当车辆10与用户终端200之间的距离如在第二实施例中那样小于第一距离时，可以发布临时钥匙信息，并且当用户终端200如第一实施例中那样通过短距离通信连接到车辆10的钥匙单元100时，可以发布正式钥匙信息。

在上述实施例中，当用户终端200已经使正式钥匙信息返回时或者当正式钥匙信息的有效期已经终止时，用户终端200设定用户终端200的解锁操作的无效。相反，当中央服务器400已经从用户终端200接收到正式钥匙信息返回通知时或者当正式钥匙信息的有效期已经终止时，中央服务器400可以指令用户终端200使解锁操作无效。

在上述实施例中，没有为用于车辆10的临时钥匙信息的发布条数设定上限，但是可以为用于车辆10的临时钥匙信息的发布条数设定上限。例如，可以设定临时钥匙信息的每天或每小时的发布条数的上限。因此，可以限制能够进入车辆10的取递用户的数量。

在上述实施例中，上面已经描述了当钥匙单元100中的认证处理已经成功时由锁定/解锁装置300解锁车辆10的实例，但锁定/解锁装置300可以执行钥匙单元100中的处理。也就是说，锁定/解锁装置300可以包括用于认证从用户终端200接收的认证信息的控制单元(ECU)，并且当用户终端200的认证已经成功时，控制单元可以经由诸如CAN的车载网络向车身ECU 304发送解锁命令或锁定命令。因此，可以在不安装钥匙单元100的情况下以简单的结构实现在车辆10的货厢中取递行李。

在上述实施例中，用户终端200从中央服务器400接收认证信息，当用户终端200基于所接收的认证信息由钥匙单元100认证时锁定/解锁信号被从钥匙单元100发送到锁定/解锁装置300，并且车辆10被锁定/解锁。相反，认证信息可以包括用于锁定/解锁车辆10的钥匙ID的信息，而不包括用于认证用户终端200的信息。

在这种情况下，用户终端200经由取递管理服务器500从中央服务器400接收包括用于锁定/解锁车辆10的钥匙ID的认证信息，并且将接收到的钥匙ID与锁定/解锁信号一起发送到锁定/解锁装置300。锁定/解锁装置300将所接收的钥匙ID与提前存储在锁定/解锁装置300中的钥匙ID进行比较，并且当两个钥匙ID彼此一致时锁定/解锁车辆10。在用户终端200与中央服务器400或锁定/解锁装置300之间以加密状态发送和接收钥匙ID。例如，通过使用预定算法对钥匙ID以及时间信息加密，中央服务器400的正式发布控制单元4022可以生成一次性钥匙。锁定/解锁装置300使用与中央服务器400中相同的算法对接收的一次性钥匙进行解密，并将解密的一次性钥匙与提前存储在锁定/解锁装置300中的钥匙ID进行比较。

通过在认证信息中包括根据钥匙ID以及时间信息生成的一次性钥匙，中央服务器400可以对于每个发布请求生成临时有效的认证信息，并将生成的认证信息发送到用户终端200。

在上述实施例中，上面已经描述了车辆10用作取递地点并且发布用于锁定和解锁车辆10的认证信息的系统，但是实施例中描述的技术的应用不限于此。例如，当诸如车库、仓库、保险箱或储物柜的无人设施被配置为可使用认证信息锁定和解锁时，上述实施例中描述的技术可以应用于该设施被用作取递地点并发布与该设施相对应的认证信息的系统。该设施不限于无人设施，而是例如请求用户的住宅或工作场所可以包括在设施中。

记录介质

使计算机或其他机器或设备(以下称为计算机等)执行上述发布控制的程序可以记录在计算机可读记录介质上。通过使计算机等读取并执行记录介质的程序，计算机等可以用作中央服务器400。

这里，可由计算机等读取的记录介质指的是能够以电、磁、光、机械或化学作用存储诸如数据或程序之类的信息并且可由计算机等读取的非暂时性记录介质。可以从计算机等拆卸的记录介质的实例包括软盘、磁光盘、CD-ROM、CD-R/W、DVD、蓝光盘、DAT、8毫米磁带和诸如闪存的存储卡。固定到计算机等的记录介质的实例包括硬盘和只读存储器(ROM)。固态驱动器(SSD)可以用作能够被从计算机等拆卸的记录介质，并且还可以用作固定到计算机等的记录介质。

Claims (7)

1.一种认证信息控制系统，其通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述认证信息控制系统的特征在于包括控制单元：其中

所述控制单元配置成向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息，并且

所述控制单元配置成

当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息，

当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端，并且

当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。

2.根据权利要求1所述的认证信息控制系统，其特征在于，所述控制单元配置成在已经检测到所述用户终端中对所述第二认证信息的使用的结束后经过预定时间之前，不对所述用户终端进行使所述第二认证信息无效的处理。

3.根据权利要求2所述的认证信息控制系统，其特征在于，在从检测到所述用户终端中对所述第二认证信息的使用的结束至执行使所述第二认证信息无效的所述处理之间的时间段内，所述用户终端使得使用所述锁定/解锁控制装置进行的解锁处理无效并使得使用所述锁定/解锁控制装置进行的锁定处理有效。

4.根据权利要求1至3中的任一项所述的认证信息控制系统，其特征在于，所述控制单元配置成在向所述用户终端发布所述第二认证信息的同时设定所述第二认证信息的有效期，并且当所述有效期终止时，检测到所述用户终端中对所述第二认证信息的使用的结束。

5.根据权利要求1至4中的任一项所述的认证信息控制系统，其特征在于：

所述控制单元配置成在发布所述临时认证信息的同时设定所述临时认证信息的有效期；并且

所述控制单元配置成

当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的所述距离变得小于所述第一距离时，判定直到所述临时认证信息的所述有效期终止之前的剩余时间是否小于预定时间长度，并且

当所述剩余时间小于所述预定时间长度时，不向所述用户终端发布所述第二认证信息。

6.一种认证信息控制方法，其通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述认证信息控制方法的特征在于：

向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息；

当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息；并且

当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端，并且当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。

7.一种非临时性计算机可读介质，其存储用于通过向用户的用户终端发布预定认证信息来控制所述用户对车辆或设施中的预定区域的进入的程序，所述车辆或所述设施容纳行李并且通过使用锁定/解锁控制装置进行的锁定/解锁处理而能够锁定和解锁，所述预定认证信息用于实行使用所述锁定/解锁控制装置进行的所述锁定/解锁处理，所述程序使计算机执行方法，所述方法的特征在于：

向满足第一条件的用户终端发布用于禁用使用所述锁定/解锁控制装置进行的所述锁定/解锁处理的临时认证信息；

当所述临时认证信息已经发布至的所述用户终端与所述车辆或所述设施之间的距离变得小于第一距离时，判定是否已经向另一用户终端发布第一认证信息；并且

当所述第一认证信息还未发布至另一用户终端时，将第二认证信息发布至所述临时认证信息已经发布至的所述用户终端，并且当所述第一认证信息已经发布至所述另一用户终端时，以检测到在所述另一用户终端中对所述第一认证信息的使用的结束为触发，向所述临时认证信息已经发布至的所述用户终端发布所述第二认证信息。