JP2023049594A - 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末 - Google Patents

車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末 Download PDF

Info

Publication number
JP2023049594A
JP2023049594A JP2021159414A JP2021159414A JP2023049594A JP 2023049594 A JP2023049594 A JP 2023049594A JP 2021159414 A JP2021159414 A JP 2021159414A JP 2021159414 A JP2021159414 A JP 2021159414A JP 2023049594 A JP2023049594 A JP 2023049594A
Authority
JP
Japan
Prior art keywords
key
vehicle
mobile terminal
owner
terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2021159414A
Other languages
English (en)
Other versions
JP2023049594A5 (ja
Inventor
傑 松下
Takashi Matsushita
コチェンスキ マレク
Kociecki Marek
ワシレフスキ ミカエル
Wasilewski Michal
ラテル フィリプ
Later Filip
レヴィンスキ バルトミ
Lewinski Bartlomiej
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Idemia France SAS
Denso Corp
Original Assignee
Idemia France SAS
Denso Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Idemia France SAS, Denso Corp filed Critical Idemia France SAS
Priority to JP2021159414A priority Critical patent/JP2023049594A/ja
Priority to CN202280065467.7A priority patent/CN118020070A/zh
Priority to PCT/JP2022/035811 priority patent/WO2023054297A1/ja
Publication of JP2023049594A publication Critical patent/JP2023049594A/ja
Publication of JP2023049594A5 publication Critical patent/JP2023049594A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • B60R25/241Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user whereby access privileges are related to the identifiers
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Lock And Its Accessories (AREA)

Abstract

【課題】よりセキュリティ性の高い車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末を提供する。【解決手段】サーバは、携帯端末からの要求に基づき、指定された車両を使用するためのサービス鍵と、複数のワンタイム認証鍵を発行し、携帯端末に配信する。ワンタイム認証鍵はサービス鍵を元に生成される使い捨ての認証鍵であって、有効期限が設定されている。ワンタイム認証鍵は、車両用装置が通信相手としての携帯端末を認証する際に消費される。携帯端末は、自身が保持するワンタイム認証鍵を随時入れ替える。【選択図】図1

Description

本開示は、車両を施錠/開錠するための鍵情報であるデジタルキーを生成及び配信する技術に関する。
特許文献1-2には、車両の管理者から発行される鍵情報を、ユーザによって携帯されるデバイスである携帯端末及び車載器のそれぞれに配信することにより、当該携帯端末を車両の電子キーとして使用可能とするシステムが開示されている。携帯端末としては例えばスマートフォンなどのインターネット接続可能な通信端末が想定される。このようにスマートフォンなどの携帯端末を車両キーとして使用することができれば、ユーザは車両使用の際に専用の電子キーを所持する必要がなくなり、利便性がよくなる。なお、特許文献1-2には、車両のオーナと、その他の人物(ゲスト)とで、車両の使用権限を異ならせる構成についても言及されている。
なお、車両に接続するデバイスの正当性を検証する方法としては多様な方法が存在する。例えば特許文献3には、動的に変更されるパラメータである変動符号と、固定的な鍵情報とを組み合わせることで生成される認証コードを用いて、車両に接続するデバイスを認証する方法が開示されている。これら先行技術文献の記載内容は、この明細書における技術的要素の説明として、参照により援用することができる。
特許第6635102号公報 特表2019-536329号公報 特許第6078686号公報
電気的な鍵情報を用いて車両の使用を可能とするシステムにおいては、よりセキュリティを強固にすることが求められる。当該需要に対応する1つの想定構成としては、携帯端末が、固有のサービス鍵を元に使い捨ての認証コードであるワンタイム認証鍵を生成し、当該ワンタイム認証鍵を用いて車両用装置に対して正当性を証明する構成が想定される。しかしながら、当該想定構成では、携帯端末の処理負荷を増大させてしまう。携帯端末としては処理能力が異なる多様なデバイスが想定される。演算能力の低いデバイスでも動作するよう、携帯端末に持たせる機能はなるべく簡素にすることが好ましい。
携帯端末の機能を簡素にするためのさらなる想定構成としては、ワンタイム認証鍵の生成機能をサーバに設け、携帯端末は、車両と通信する際にサーバからリアルタイムにワンタイム認証鍵を取得して使用する構成も考えられる。しかし、携帯端末がいつも通信可能な状況にあるとは限らない。携帯端末が通信圏外にある場合、サーバからワンタイム認証鍵が取得できず、車両が使用できなくなってしまう。すなわち、ユーザの利便性が低下しうる。
本開示は、上記の検討又は着眼点に基づいて成されたものであり、その目的の1つは、セキュリティ性とユーザの利便性を両立可能な車両用デジタルキーシステム、車両用デジタルキー管理方法、携帯端末、車両用装置を提供することにある。
ここに開示される車両用デジタルキーシステムは、車両に搭載されて使用される車両用装置(4)と、ユーザによって携帯される情報処理端末である携帯端末(1)と、車両を使用するための鍵情報として、携帯端末ごとに固有のサービス鍵を生成し、携帯端末及び車両用装置のそれぞれに直接的に又は間接的に配布するサーバ(3)と、を含む車両用デジタルキーシステムであって、車両用装置は、サービス鍵をもとに生成される、使い捨てのワンタイム認証鍵を用いて携帯端末の正当性を判断するように構成されており、サーバは、携帯端末からの要求に基づき、複数のワンタイム認証鍵を生成し、有効期限付きで携帯端末に配信し、携帯端末は、サーバからワンタイム認証鍵を受信し、所定の端末側記憶装置(105)に保存することと、ワンタイム認証鍵ごとの有効期限に基づき、端末側記憶装置に保存されているワンタイム認証鍵の一部又は全部を入れ替えるように構成されている。
上記構成によれば、携帯端末ごとに固有のサービス鍵をもとに生成される、ワンタイム認証鍵を用いて携帯端末(ひいてはユーザ)の認証を行うため、固定的な鍵情報を用いて携帯端末の認証を行う構成に比べてセキュリティを高める事ができる。また、携帯端末は、複数のワンタイム認証鍵を保持するように制御される。よって、携帯端末がサーバと通信不能な環境下にあっても、ユーザが車両を使用できなくなってしまう恐れを低減できる。加えて、上記構成によれば、携帯端末が保持するワンタイム認証鍵は有効期限に基づいて定期的に入れ替えられる。当該構成によれば、有効なワンタイム認証鍵が経時的に変更されるため、セキュリティをより一層強固にすることができる。
また、本開示の車両用デジタルキー管理方法は、ユーザによって携帯される情報処理端末である携帯端末(1)と、車両に搭載されて使用される車両用装置(4)と、車両を使用するための鍵情報として、携帯端末ごとに固有のサービス鍵を生成するサーバ(3)と、によって実行される車両用デジタルキー管理方法であって、サーバが、携帯端末からの要求に基づき、携帯端末のサービス鍵をもとに、複数の使い捨てのワンタイム認証鍵を生成し、有効期限付きで携帯端末に配信することと、携帯端末が、サーバからワンタイム認証鍵を受信し、所定の端末側記憶装置(105)に保存することと、携帯端末が、ワンタイム認証鍵ごとの有効期限に基づき、定期的に端末側記憶装置に保存されているワンタイム認証鍵の一部又は全部を入れ替えることと、車両用装置が、サーバ又は携帯端末との通信により、携帯端末が保有するワンタイム認証鍵のうちの何れか1つを特定することと、車両用装置が、特定されたワンタイム認証鍵を用いて携帯端末の正当性を判断することと、を含む。
上記方法によれば、車両用デジタルキーシステムと同様の作用により、セキュリティをより一層強固にすることができる。
本開示の車両用装置は、車両を使用する権限を有する人物であるユーザによって携帯される情報処理端末である携帯端末(1)、及び、車両を使用するための鍵情報として携帯端末ごとに固有のサービス鍵を生成するサーバ(3)のそれぞれの通信可能に構成された、車両に搭載されて使用される車両用装置であって、ユーザごとのサービス鍵が保存されている車両側記憶装置(45)と、少なくとも1つのプロセッサを用いてなる車両制御部(40)と、を含み、車両制御部は、車両側記憶装置に保存されているサービス鍵に基づいて、使い捨ての認証鍵であるワンタイム認証鍵を生成することと、ワンタイム認証鍵を用いて携帯端末の正当性を判断することと、を実行するように構成されている。
上記車両用装置によれば、携帯端末ごとに固有のサービス鍵をもとに生成される、ワンタイム認証鍵を用いて携帯端末(ひいてはユーザ)の認証を行うため、固定的な鍵情報を用いて携帯端末の認証を行う構成に比べてセキュリティを高める事ができる。
本開示の携帯端末は、車両に搭載されて使用される車両用装置(4)、及び、車両を使用するための鍵情報としてのサービス鍵を生成するサーバ(3)のそれぞれの通信可能に構成された、ユーザによって携帯される情報処理端末である携帯端末であって、サービス鍵のデータを記憶している端末側記憶装置(105)と、車両用装置と所定の近距離無線通信規格に準拠した無線通信である近距離無線通信を実施するための近距離通信部(16)と、インターネットを介してサーバと通信するためのネット接続部(17,18)と、少なくとも1つのプロセッサを用いてなる端末制御部(10)と、を備え、端末制御部は、インターネットに接続できていることを条件として、サーバに対し、サービス鍵を元に生成される有効期限付きのワンタイム認証鍵を複数まとめて配信するように要求する認証鍵要求信号を送信することと、サーバからワンタイム認証鍵を受信して端末側記憶装置に保存することと、ワンタイム認証鍵ごとの有効期限に基づき、端末側記憶装置に保存されているワンタイム認証鍵の一部又は全部を入れ替えることと、を実施するように構成されている。
上記携帯端末によれば、車両用デジタルキーシステムと同様の作用により、セキュリティをより一層強固にすることができる。
なお、特許請求の範囲に記載した括弧内の符号は、一つの態様として後述する実施形態に記載の具体的手段との対応関係を示すものであって、本開示の技術的範囲を限定するものではない。
車両用デジタルキーシステムの全体像を示す図である。 携帯端末の構成を示すブロック図である。 端末制御部の機能ブロック図である。 専用キーの構成を示すブロック図である。 デジタルキーサーバの構成を示すブロック図である。 車両データベースに格納されるデータの種類の一例を示す図である。 ユーザデータベースに格納されるデータの種類の一例を示す図である。 データ処理部の機能ブロック図である。 車両とオーナ鍵とゲスト鍵の関係を説明するための図である。 車載システムの構成を示すブロック図である。 認証ECUの機能ブロック図である。 サービス鍵の発行及び登録にかかる処理の全体像を説明するための図である。 オーナ鍵の発行処理を説明するためのシーケンス図である。 オーナ鍵を車両に登録する処理を説明するためのシーケンス図である。 オーナ鍵を車両へ登録するための携帯端末の表示画面の一例を示す図である。 車両との通信接続にかかる携帯端末の表示画面の一例である。 ゲスト鍵の発行処理を説明するためのシーケンス図である。 ゲスト鍵発行要求信号に含まれるべき情報の一例を示す図である。 ゲスト端末に向けて送信される端末登録用パッケージに含まれるべき情報の一例を示す図である。 ゲスト鍵を車両に登録する処理を説明するためのシーケンス図である。 ゲスト鍵を車両に登録するための携帯端末の表示画面の一例を示す図である。 駐車中における認証ECUの作動例を説明するためのフローチャートである。 認証ECUが携帯端末を認証する処理の一例を示すシーケンス図である。 認証ECUが携帯端末を認証する処理の他の例を示すシーケンス図である。 携帯端末がワンタイム認証鍵を補充する処理のシーケンス図である。 携帯端末が鍵情報記憶部に保管されているワンタイム認証鍵を入れ替える処理のシーケンス図である。 認証ECUが実施する、ECU時刻の修正及び有効期限に基づくゲスト鍵の削除を説明するためのシーケンス図である。 サービス鍵の削除にかかるシーケンスの全体像を説明するための図である。 オーナ鍵を削除する際の携帯端末とDKSとのインタラクションを示すシーケンス図である。 オーナ鍵を削除する際のオーナ端末と認証ECUとのインタラクションを示すシーケンス図である。 ゲスト鍵を削除する際の携帯端末とDKSとのインタラクションを示すシーケンス図である。 ゲスト鍵を削除する際の携帯端末と認証ECUとのインタラクションを示すシーケンス図である。 車載HMIを介してサービス鍵を削除する場合の一連の処理の流れを示すシーケンス図である。 発行件つきゲスト鍵が削除された場合のDKSの作動例を説明するための図である。 オーナが所持する携帯端末が機種変更された場合のDKSの作動を説明するためのフローチャートである。
以下、本開示の車両用デジタルキーシステムSysについて図を用いて説明する。車両用デジタルキーシステムSysは、車両Hvを利用するための電子的な鍵であるサービス鍵を携帯端末1に配布することにより、ユーザが専用キー2を持たずとも車両Hvへのアクセスを可能とするためのシステムである。車両用デジタルキーシステムSysは、図1に示すように、携帯端末1、専用キー2、デジタルキーサーバ(DKS:Digital Key Server)3、及び、車両Hvに搭載された車載システム7を含む。車載システム7は、認証ECU4を含む。ECUはElectronic Control Unitの略であって、電子制御装置を指す。
<前置き>
以下の説明における車両Hvは、一例として個人によって所有される車両である。もちろん、車両Hvは会社組織が保有する社用車や、公的機関が保有する公用車であってもよい。さらに、車両Hvは、貸出サービスに供される車両(いわゆるレンタカー)であってもよいし、カーシェアリングサービスに供される車両(いわゆるシェアカー)であってもよい。車両Hvは、ロボットタクシーなど、旅客輸送サービスに供される車両でもよい。
車両Hvは例えばエンジン車である。もちろん、車両Hvは、ハイブリッド車や、電気自動車であってもよい。ここでのエンジン車は動力源としてエンジンのみを備える車両を指し、ハイブリッド車は動力源としてエンジンとモータを備える車両を指す。電気自動車は、モータのみを駆動源として備える車両を指す。本開示における走行用電源とは、車両Hvが走行するための電源であって、車両がエンジン車である場合にはイグニッション電源を指す。車両Hvが電気自動車やハイブリッド車である場合、システムメインリレーが走行用電源に相当する。本開示は四輪自動車に限らず、トレーラや、二輪自動車、三輪自動車等、道路上を走行可能な多様な車両に搭載可能である。原動機付き自転車も二輪自動車に含めることができる。
以下では、主として1つの車両Hvを対象に車両用デジタルキーシステムSysの説明を行うが、DKS3が管理する車両は複数存在しうる。また、1人のオーナが保持する車両Hvは複数存在してもよい。
本開示のユーザとは、車両用デジタルキーシステムSysが提供するサービスの利用者を指す。車両用デジタルキーシステムSysが提供するサービスを利用するためのアカウントを作成済みの人物、換言すれば、後述するデジタルキーアプリ104をインストール済みの携帯端末1の所有者がユーザに相当する。
本開示の種々のシーケンス図及びフローチャートは何れも一例である。各シーケンス図/フローチャートが備えるステップ数や処理順序、実行条件等は適宜変更可能である。
<全体像の概略>
携帯端末1は、複数のユーザのそれぞれによって所持/携帯されうる汎用的な情報処理端末である。図1に示す携帯端末1aは車両Hvのオーナが所持する携帯端末1を示している。携帯端末1bは例えばオーナの家族が所有する携帯端末1であり、携帯端末1cはオーナの友人が所持する携帯端末1である。携帯端末1には、端末毎に固有の識別情報であるデバイスIDが割り当てられている。
デバイスIDとしては例えばデバイスアドレスや、UUID(Universally Unique Identifier)などを採用可能である。なお、Bluetooth(登録商標)におけるデバイスアドレスは、48ビットで表現されうる。また、UUIDは128ビットで表現されうる。デバイスアドレスは、固定的なパブリックアドレスであってもよいしランダムアドレスであってもよい。パブリックアドレスはEthernet(登録商標)におけるMAC(Media Access Control)アドレスに相当する。その他、デバイスIDは、後述するデジタルキーアプリ104のインストール時に決定される乱数であってもよい。
携帯端末1は、無線基地局8及び広域通信ネットワーク9を介してDKS3とデータ通信可能に構成されている。図1に示す無線基地局8は、例えばセルラー通信用の基地局であっても良いし、Wi-Fi(登録商標)用のアクセスポイントであってもよい。アクセスポイントは、無線LAN(Local Area Network)を形成する通信設備である。アクセスポイントの概念にはルーターの他、路側機も含めることができる。広域通信ネットワーク9は、例えばインターネットである。広域通信ネットワーク9を形成する設備にとって、携帯端末1はユーザ装置(UE:User Equipment)に相当する。
セルラー通信とは、例えば4Gや5Gといった規格に準拠した無線通信を指す。Wi-Fiの規格としては、IEEE802.11nやIEEE802.11ac、IEEE802.11ax(いわゆるWi-Fi6)など、多様な規格を採用可能である。本開示ではWi-Fi(登録商標)規格に準拠した無線通信をWi-Fi通信とも記載する。携帯端末1とDKS3との通信は、暗号化されたセルラー通信又はWi-Fi通信で実施される。
DKS3は、車両Hvの外部に配置されたサーバである。DKS3は、広域通信ネットワーク9に接続可能に構成されている。DKS3は、広域通信ネットワーク9を介して携帯端末1と相互通信を行いうる。DKS3は、携帯端末1からの要求に基づき、所定のユーザに対して車両Hvを使用するためのサービス鍵を発行する。
また、車載システム7と携帯端末1は、近距離無線通信を実施可能に構成されている。ここでの近距離無線通信とは、実質的な通信可能距離が例えば5mから30m、最大でも100m程度となる所定の近距離無線通信規格に準拠した通信を指す。近距離無線通信の規格としては、例えばBLE(Bluetooth Low Energy)や、Bluetooth Classic、Wi-Fi(登録商標)、ZigBee(登録商標)等を採用することができる。近距離無線通信の方式としては、UWB-IR(Ultra Wide Band - Impulse Radio)も採用可能である。本実施形態では一例として車載システム7と携帯端末1は、BLE規格に準拠した無線通信であるBLE通信を実施可能に構成されている場合を例にとって各部の作動を説明する。以下におけるBLE通信との記載は、近距離無線通信と置き換えて実施することができる。通信接続及び暗号通信などにかかる通信方法の細部はBLE規格で規定されるシーケンスによって実施される。
なお、以下では車載システム7が携帯端末1との通信におけるマスターとして振る舞うように設定されている場合について説明する。携帯端末1は、スレーブとして振る舞う。BLE通信におけるスレーブは、間欠的にアドバタイズ信号を送信するとともに、マスターからの要求に基づいてデータの送受信を実行するデバイスである。スレーブは、ペリフェラルとも称される。マスターは、スレーブとの通信接続状態や通信タイミングを制御する。マスターは、セントラルとも称される。他の態様として、携帯端末1が車載システム7との通信におけるマスターとして動作するように設定されていても良い。
車載システム7は、BLE通信を行うためのBLE通信部57と認証ECU4とを含む。認証ECU4は、車載システム7を構成するECUの1つである。認証ECU4が車両用装置に相当する。認証ECU4は、サービス鍵を有する携帯端末1と無線通信による自動的な認証処理を行う。そして、認証が成功していることを条件として、車両Hvに対するユーザの位置に応じた車両制御を実施するパッシブエントリパッシブスタート機能を提供する。ここでの車両制御とは、ドアの施錠/開錠、電源オン/オフ、エンジン始動などである。なお、携帯端末1はユーザに対応するものであるため、携帯端末1を認証することは、ユーザを認証することに相当する。
<サービス鍵の説明>
サービス鍵は、携帯端末1毎に相違する。例えばサービス鍵は、デバイスIDに応じて定まる、携帯端末1ごとに異なるコードである。サービス鍵は、所定の文字数を備える英数字の羅列とする事ができる。例えばDKS3は、デバイスIDに所定の長さを有する乱数を加えた値を、所定のハッシュ関数に入力して得られる出力値をサービス鍵として採用する。ハッシュ関数としては、FNV132や、FNV164、MD-5、SHA-1、SHA-256、SHA-512など多様な関数を採用可能である。サービス鍵の生成に使用する関数は、サービス鍵として必要とされるビット数(出力長)に合わせて適宜選択されうる。
サービス鍵は8ビット以上の長さを有するビット列で表現されうる。サービス鍵は長いほどそのセキュリティ性が強固となり好適である。サービス鍵は例えば16バイト、24バイト、27バイトなどで表現されうる。ここでは一例として、サービス鍵は、24バイトで構成されるものとする。サービス鍵を27バイト以下とする構成によればサービス鍵を1つのBLE暗号通信パケットに収容可能となる。
なお、サービス鍵は、車両Hvと携帯端末1の組み合わせ毎に異なる値とすることが好ましい。例えば車両IDとデバイスIDを結合した値を入力値とする所定のハッシュ関数の出力値をサービス鍵としてもよい。車両IDは車両ごとに割り当てられる固有の識別番号である。車両IDとしては例えば車両識別コード(VIN:Vehicle Identification Number)などを採用可能である。
さらにサービス鍵は、車両IDとデバイスIDにさらに、発行要求を受け付けたエポック秒に対応する値を連結したデータを所定のハッシュ関数に入力して得られる出力値であってもよい。また、必ずしもサービス鍵の生成にハッシュ関数を使用する必要はない。サービス鍵は、デバイスIDに車両IDを乗算、加算、又は連結して得られる値であってもよい。サービス鍵の材料としては、その他、ユーザが設定したパスワードなども採用可能である。例えばサービス鍵は、ユーザが登録した所定文字数のパスワードを所定のハッシュ関数に入れた値であっても良い。
サービス鍵には、複数の種類が存在する。サービス鍵の種類としては大きくはオーナ鍵とゲスト鍵がある。オーナ鍵は、車両Hvのオーナに対して発行されるサービス鍵であって、概ね車両Hvの使用に関する全ての権限を有する。オーナ鍵は、走行用電源のオンオフやドアの施開錠、遠隔操作など、車両Hvの使用にかかる全ての権限を有するとともに、他のユーザのためのサービス鍵を発行する権限を有する。また、オーナ鍵は基本的に有効期限が設定されていない、無期限のサービス鍵である。
ゲスト鍵はゲストのためのサービス鍵であって、基本的にはオーナによって発行される。ここでのゲストとはオーナ以外のユーザを指す。ゲスト鍵は、オーナ鍵よりも権限が制限されたサービス鍵であって、有効期限も設定される。
ゲスト鍵は、より細かくは、他のゲスト鍵を発行する権限を有する発行権付きゲスト鍵と、他のゲスト鍵の発行権限を有さない発行権なしゲスト鍵に区分される。ユースケースの一例として、オーナの家族に対しては、オーナからの要求に基づき発行権付きゲスト鍵が発行されうる。また、オーナの友人/知人などに対しては発行権なしゲスト鍵が発行されうる。
以降ではオーナが所持する携帯端末1、換言すればオーナ鍵が保存されている携帯端末1をオーナ端末と称する。ゲストが所持する携帯端末1、換言すればゲスト鍵が保存されている携帯端末1をゲスト端末と称する。また、ゲスト端末のうち、発行権付きゲスト鍵が付与されている携帯端末1のことを発行権付きゲスト端末と称し、発行権なしゲスト鍵が付与されている携帯端末1のことを発行権なしゲスト端末と称する。図1に示す例においては携帯端末1aがオーナ端末に相当し、携帯端末1bが発行権付きゲスト端末に相当する。また、携帯端末1cが発行権なしゲスト端末に相当する。
オーナ端末を親とすると、オーナ端末が発行したゲスト鍵を有する携帯端末1は、オーナ端末にとっての子に相当する。また発行権付き端末が発行したゲスト鍵を有する携帯端末1はオーナ端末にとっての孫に相当する。各ゲスト鍵の権限は、発行元によって決定される。ゲスト鍵の権限は、発行元よりも小さく(狭く)設定される。ただし、車両用デジタルキーシステムSysは他の態様として、発行元と同等の権限を有するゲスト鍵を発行可能に構成されていても良い。DKS3は、オーナ端末又は発行権付きゲスト端末からの要求に基づき、ゲスト鍵を新規発行する。新規発行されたサービス鍵のタイプや権限設定は、発行元によって指定される。例えばDKS3は、オーナ端末からの要求に基づきゲスト鍵を新規発行する際、当該ゲスト鍵を発行権付きゲスト鍵とするか発行権なしゲスト鍵とするかは、オーナ端末から受信した信号に基づいて決定する。なお、発行権付きゲスト鍵は、発行権なしゲスト鍵しか発行できないように制限される。
<携帯端末の構成及び機能について>
ここではまず携帯端末1が備える構成/機能について図2を用いて説明する。携帯端末1としては、例えば、スマートフォンや、タブレット端末、ウェアラブルデバイスなどを採用することができる。ウェアラブルデバイスは、ユーザの身体に装着されて使用されるデバイスであって、リストバンド型、腕時計型、指輪型、メガネ型、イヤホン型など、多様な形状のものを採用可能である。
携帯端末1は、端末制御部10、ディスプレイ11、タッチパネル12、慣性センサ13、生体認証装置14、近接場通信部15、BLE通信部16、セルラー通信部17、及びWi-Fi通信部18を備える。
端末制御部10は、携帯端末1全体の動作を制御するモジュールである。端末制御部10は、例えば端末プロセッサ101、RAM(Random Access Memory)102、ストレージ103等を備えた、コンピュータとして構成されている。端末プロセッサ101はRAM102と結合された演算処理のためのハードウェア(換言すれば演算コア)である。端末プロセッサ101は、例えばCPU(Central Processing Unit)である。端末プロセッサ101は、ユーザが使用するデバイスで使用されるプロセッサであるため、ユーザプロセッサあるいはUEプロセッサと呼ぶことができる。端末プロセッサ101は、RAM102へのアクセスにより、後述する各機能部の機能を実現するための種々の処理を実行する。RAM102は揮発性の記憶媒体である。ストレージ103は、フラッシュメモリ等の不揮発性の記憶媒体を含む構成である。
デジタルキーアプリ104は、ユーザの認証や、サービス鍵の取得/保存、車載システム7との通信等をセキュアに行うためのアプリケーションソフトウェアである。デジタルキーアプリ104は、例えばストレージ103などにインストールされている。
端末制御部10は、ディスプレイ11、タッチパネル12、慣性センサ13、生体認証装置14、近接場通信部15、BLE通信部16、セルラー通信部17、及びWi-Fi通信部18のそれぞれと相互通信可能に構成されている。端末制御部10が備える機能については後述する。
ディスプレイ11は、例えば液晶ディスプレイや有機ELディスプレイである。ディスプレイ11は端末制御部10からの入力信号に応じた画像を表示する。タッチパネル12は、静電容量式のタッチパネルであって、ディスプレイ11に積層されている。タッチパネル12及びディスプレイ11は、ユーザが携帯端末1に鍵情報を登録したり、携帯端末1と車載システム7とをペアリングしたりするためのインターフェースに相当する。タッチパネル12は入力装置である。タッチパネル12が出力する信号は、携帯端末1に対するユーザの操作に対応する。以降では、タッチパネル12の出力信号を操作信号とも記載する。
慣性センサ13は、携帯端末1に作用する慣性力を検出するセンサである。加速度センサやジャイロセンサが慣性センサ13に相当する。慣性センサ13の出力(検出データ)は端末制御部10に入力される。
生体認証装置14は、例えばユーザの指紋や、顔画像などを用いて、ユーザを認証する装置である。生体認証装置14は、手や指の静脈パターンや、虹彩パターンを用いてユーザを認証する装置であってもよい。また生体認証装置14は、例えば声紋など、発話音声の特徴を用いて認証を行う装置であってもよい。ユーザの認証結果は、端末制御部10に提供される。
近接場通信部15は、NFC(Near Field Communication)の規格に従った無線通信である近接場通信を実施するための通信モジュールである。ここでの近接場通信とは、通信可能な距離が数cmから数十cm程度となる通信を指す。近接場通信は、BLE通信よりも通信可能な距離が十分に小さい通信方式に相当する。通信可能な距離が十分に小さい通信方式とは、通信距離が10分の1以下となる通信方式を指す。近接場通信を実現するための具体的な通信規格としては、例えばISO/IEC 14443やISO/IEC 18092等の多様な規格を採用することができる。近接場通信は、Type-F規格に適合するものであっても良いし、Type-A又はType-B規格に適合するものであってもよい。Type-F規格は、いわゆるFeliCa(登録商標)に相当する。携帯端末1において近接場通信部15は任意の要素であって省略されても良い。
BLE通信部16は、BLE通信を実施するための通信モジュールである。BLE通信部16、57が近距離通信部に相当する。セルラー通信部17は、セルラー通信を実施するための通信モジュールである。セルラー通信部17は、例えばLTE等の無線通信プロトコルにおけるデータリンクレイヤ及び物理レイヤを担当する通信モジュールである。セルラー通信部17は、無線基地局8との接続状況、例えば通信圏外か否かなどを示す情報を端末制御部10に提供する。
Wi-Fi通信部18は、Wi-Fi通信を実施可能に構成されている。Wi-Fi通信部18は、アクセスポイントを介して広域通信ネットワーク9に接続可能に構成されている。Wi-Fiは所定の無線LAN規格の一種である。故に、Wi-Fi通信部18は、無線LAN規格に準拠した通信を実施するための通信モジュールである、無線LANモジュールに相当する。
種々の通信モジュールは、送受信の対象とする周波数帯の電波を送受信可能なアンテナや、通信を制御するマイクロコンピュータである通信マイコン、変復調回路などを備える。なお、携帯端末1は、DKS3との通信手段として、セルラー通信と、Wi-Fi通信の少なくとも何れか一方を実施可能に構成されていればよい。携帯端末1は、セルラー通信部17とWi-Fi通信部18の両方を備えている必要はない。セルラー通信又はWi-Fi通信にて携帯端末1が広域通信ネットワーク9に接続された、いわゆるオンラインの状態にある場合、端末制御部10はDKS3と種々のデータ通信を行う。データ通信は、例えば、TLS(Transport Layer Security)を用いた暗号通信によって実施されうる。セルラー通信部17及びWi-Fi通信部18がネット接続部に相当する。
端末制御部10は、端末プロセッサ101がデジタルキーアプリ104を実行することで発現される機能部として図3に示すようにサービス鍵管理部F1、ワンタイム認証鍵管理部F2、及び車両応答部F3を備える。各種機能部は、デジタルキーアプリ104がユーザを認証している状態において有効となりうる。
ユーザの認証(ログイン)は、デジタルキーアプリ104に対して所定のユーザIDとパスワードを入力することによって行われうる。ユーザの認証は、生体認証装置14を用いて実施されても良い。デジタルキーアプリ104は車両用デジタルキーシステムSysの一部であるため、デジタルキーアプリ104にユーザがログインしている状態は、車両用デジタルキーシステムSysにユーザがログインしている状態に対応する。なお、ログイン状態はログインから所定の有効期限が過ぎた場合に解除され、デジタルキーアプリ104はユーザの再認証が必要なログオフ状態に遷移するものとする。
また、端末制御部10は端末側記憶部105を備える。端末側記憶部105は、サービス鍵など、デジタルキーアプリ104が使用する種々のデータが格納される記憶領域である。端末側記憶部105は、ストレージ103又はRAM102が備える記憶領域を用いて実現される。端末側記憶部105は、鍵情報記憶部M1と、車両用データ一時記憶部M2とを備える。鍵情報記憶部M1は、サービス鍵や後述するワンタイム認証鍵、ユーザIDなどを格納するための記憶領域である。車両用データ一時記憶部M2は、DKS3から受信した車両Hvへ転送するためのデータを一時的に保存するための記憶領域である。端末側記憶部105が端末側記憶装置に相当する。
サービス鍵管理部F1は、DKS3が発行した自端末のユーザ用のサービス鍵を管理する。本開示における自端末とは、端末制御部10から見て自身が設けられている携帯端末1を指す。サービス鍵管理部F1は、タッチパネル12から入力される操作信号に基づいて、自端末向けのサービス鍵の発行を要求したり、自端末用のサービス鍵を削除したりする。自端末向けのサービス鍵とは自端末のユーザのためのサービス鍵に相当する。
サービス鍵管理部F1は、DKS3から自端末向けのサービス鍵を取得し、鍵情報記憶部M1に保存する。サービス鍵管理部F1は、サービス鍵の取得時、サービス鍵そのものとともに、付加的な情報である鍵関連情報を取得する。鍵関連情報とは、例えば、サービス鍵IDや、有効期限、権限設定、タイプなどを指す。これらの情報は1つのデータセットとしてパッケージ化されて配信されうる。
サービス鍵IDとは、サービス鍵を識別するための番号である。サービス鍵IDは、たとえばユーザ毎にユニークな値が設定される。サービス鍵IDは、アカウント作成時に生成された乱数であってもよい。仮にオーナが携帯端末1の機種変更を行ってサービス鍵の値が変更されたとしても、オーナに紐づくサービス鍵IDは変更されない。なお、サービス鍵IDは、車両IDとユーザIDの組み合わせに応じたユニークな値に設定されても良い。
有効期限データは、無期限を示す所定値、又は、発行元が指定した期間/日付を示す。権限設定データは、自端末のユーザに許可されている機能(つまり権限)を示す。権限設定データは、例えばドアごとの施開錠の可否、走行用電源のオン/オフの可否などを示す。サービス鍵タイプはオーナ鍵かゲスト鍵かを示す。タイプ情報は権限設定データと統合されていても良い。
サービス鍵管理部F1は、自端末向けのサービス鍵の取得の他、自端末用のサービス鍵に関するステータス確認画面を表示する処理や、自端末向けのサービス鍵を削除するための処理を実行する。ステータス確認画面は、自端末用のサービス鍵のステータスを示す画面である。サービス鍵のステータスには、有効期限や、権限設定、有効/無効状態などが含まれる。ステータス確認画面に、発行元に相当するユーザの名称等に関する情報を含みうる。
なお、サービス鍵管理部F1が提供する機能は、自端末に割り当てられているサービス鍵のタイプ、換言すればサービス鍵の権限設定によって相違しうる。例えばオーナ端末のサービス鍵管理部F1は、ユーザが指定したゲスト用のゲスト鍵を発行するための処理や、ゲスト鍵を削除/一時的に無効化する処理を実行可能に構成されている。なお、オーナ端末に限っては、ゲスト鍵の発行時に、権限設定の一種として、ゲスト鍵を発行する権限の有無を指定可能に構成されている。また、オーナ端末のサービス鍵管理部F1は、車両Hvにかかるサービス鍵を保有するゲストのリストや、各ゲスト鍵のステータスを示す画面を表示する。オーナ端末は、例えばDKS3よりゲスト鍵の情報を取得して表示しうる。さらに、オーナ端末のサービス鍵管理部F1は、DKS3から取得する所定のデータセットを用いて、オーナ鍵に関する情報を車両Hvに登録する処理も実施可能に構成されている。
また、発行権付き端末が備えるサービス鍵管理部F1は、ユーザが指定したゲストに対して発行権なしゲスト鍵を新規発行する処理を実行可能に構成されている。また、発行権付き端末が備えるサービス鍵管理部F1は、自分自身が発行したゲスト鍵のステータス確認や、当該ゲスト鍵の削除/無効化などを実行可能に構成されている。発行権なし端末のサービス鍵管理部F1は、ステータス確認や、自端末用のサービス鍵の削除/無効化が実施可能に構成されている。その他、ゲスト端末のサービス鍵管理部F1は、有効期限データに基づき、自端末用のサービス鍵の有効期限の確認を実施しうる。なお、ゲスト鍵の有効期限チェックはDKS3が実施してもよい
ワンタイム認証鍵管理部F2は、DKS3から、車両Hvとの認証処理に使用するワンタイム認証鍵を取得し、鍵情報記憶部M1に保存する。ワンタイム認証鍵管理部F2そのものは、ワンタイム認証鍵を生成する機能を備えない。当該構成によればワンタイム認証鍵の生成方法の詳細を秘匿化することができる。ひいては車両用デジタルキーシステムSysのセキュリティ性能を高めることができる。
ワンタイム認証鍵は、サービス鍵に、変動コード(変動因子)を組み合わせることによって得られるコードである。変動コードは、発行ごとに異なる値である。変動コードは、例えばエポック秒や、発行回数のカウント値、又は乱数とすることができる。さらに、変動コードは、所定の初期値から認証鍵の発行回数を減算した値であってもよい。仮にワンタイム認証鍵をKa、サービス鍵をSK、変動コードをCd、ワンタイム認証鍵の生成関数をGとすると、ワンタイム認証鍵は、Ka=G(SK,Cd)で表現されうる。この場合、生成関数Gは、サービス鍵と変動コードの2つの入力を取る関数である。生成関数Gは、1つの入力値をとる関数であっても良く、その場合には、例えばKa=G(SK+Cd)等によってワンタイム認証鍵は生成されうる。SK+Cdは、サービス鍵と変動コードを単純につなぎ合わせた(つまり連結させた)コードであってもよいし、それらに対応する数列を2進数又は16進数の概念で加算したものであってもよい。
なお、ワンタイム認証鍵を生成するための第1因子をサービス鍵とすると、変動コードはワンタイム認証鍵を生成するための第2因子と呼ぶことができる。変動コードは、認証鍵生成因子の1つである。さらに、ワンタイム認証鍵は、サービス鍵と変動コードの他に、所定の第3の因子を用いて生成されても良い。例えばワンタイム認証鍵は、発行回数を示すカウント値と、ECU番号と、サービス鍵とを所定の順に結合してなるビット列を、所定の関数に入力することで生成されても良い。ワンタイム認証鍵は、1回使用されると破棄される、いわゆる使い捨ての認証鍵である。第3の因子は、認証ECU4に事前に登録される情報であることが好ましい。
ワンタイム認証鍵管理部F2は、鍵情報記憶部M1に、所定数以上のワンタイム認証鍵が保存されている状態が維持されるよう、DKS3に対してワンタイム認証鍵の配信を要求する信号を随時送信する。例えばワンタイム認証鍵管理部F2は、鍵情報記憶部M1に保存されているワンタイム認証鍵の残数(Notk)が所定の補充閾値(ThRp)未満となったことに基づいて、補充要否フラグをオンに設定する。ワンタイム認証鍵管理部F2は、補充要否フラグがオンに設定されており、且つ、オンライン状態であることに基づいて、DKS3との通信により、複数のワンタイム認証鍵を取得する。補充閾値は例えば150や300とすることができる。補充要否フラグは任意の要素であって、省略されても良い。補充閾値ThRpは、200や、400、500であってもよい。
なお、ワンタイム認証鍵には、発行日を起算とする有効期限が設定される。有効期限は例えば1ヶ月や3ヶ月、6ヶ月に設定されうる。ワンタイム認証鍵の有効期限もまたDKS3によって設定される。DKS3は、オーナの指示操作に基づき、ワンタイム認証鍵に対する有効期限の長さを変更可能に構成されていても良い。仮に車両Hvがレンタカーである場合には、ワンタイム認証鍵の有効期限はレンタル期間に対応するように設定されうる。なお当該技術思想はゲスト鍵の有効期限設定にも同様に適用可能である。
ワンタイム認証鍵管理部F2は、所定のタイミングで鍵情報記憶部M1に保存されているワンタイム認証鍵の有効期限をチェックし、有効期限切れとなっているワンタイム認証鍵については削除する。ワンタイム認証鍵の有効期限チェックはDKS3が実施してもよい。なお、期限切れのワンタイム認証鍵を削除した結果として、ワンタイム認証鍵の残数が補充閾値未満となった場合には、補充要否フラグをオンに設定するなど、DKS3からワンタイム認証鍵を取得するための処理を実施する。
車両応答部F3は、認証ECU4とBLE通信のリンク(コネクション)が確立したことに基づいて、認証ECU4とBLEによるデータ通信を実行する構成である。例えば車両応答部F3は、認証ECU4とBLE通信リンクが確立したことに基づいて、ユーザ認証のための無線通信を実施する。車載システム-ユーザ間との認証処理は例えばチャレンジ-レスポンス方式によって実施されうる。その場合、車両応答部F3は、認証ECU4から送信されてきたチャレンジコードに対して、ワンタイム認証鍵を用いてレスポンスコードを生成し、認証ECU4に返送する。
また、車両応答部F3は、認証ECU4からの要求に基づき、認証ECU4とDKS3との通信を中継する処理を行う。例えば車両応答部F3は、認証ECU4からBLE通信で受信した時刻要求信号を、セルラー通信のフォーマットに変換してDKS3に送信する。また、DKS3から受信した認証ECU4向けのデータ、例えばサーバ時刻情報などを、BLE通信のフォーマットに変換して認証ECU4に転送する。
その他、携帯端末1は、近接場通信によって、車載システム7との認証処理を実行可能に構成されていても良い。携帯端末1は、近接場通信によって車載システム7とBLE通信にかかるペアリングを実施するように構成されていても良い。また、端末制御部10は、デジタルキーアプリ104の機能として、車両Hvのステータスを確認する画面である車両状態確認画面を表示可能に構成されていてもよい。車両状態確認画面は、ガソリン/バッテリの残量や、各窓及び各ドアの開閉状態、施錠状態、車内温度などを示す画面である。また、端末制御部10は、車両Hvが備える電装設備の一部を遠隔操作可能に構成されていても良い。例えば空調装置のオン/オフや、窓の開閉、ハザードランプの点灯/消灯などを遠隔操作可能に構成されていても良い。なお、車両状態確認や遠隔操作可能な内容は、サービス鍵の権限に応じて変更されても良い。
<専用キーの構成及び機能について>
ここでは専用キー2の構成及び機能について図4を用いて説明する。専用キー2は、車両Hvを操作するための専用の電子キーである。専用キー2は、車両Hvの購入時に、車両Hvのオーナであることの証、又は、実体を有するマスターキーとして、車両Hvとともにオーナに提供される。専用キー2は、基本的にオーナによって所持される。専用キー2は車両Hvの付属物の1つと解することができる。専用キー2は、扁平な直方体型や、扁平な楕円体型(いわゆるフォブタイプ)、カード型など、多様な形状を採用可能である。専用キー2は、車両用携帯機、キーフォブ、キーカード、カードキー、アクセスキーなどと呼ばれうる。
専用キー2には、車両Hvの鍵であることを証明する所定のコードである専用キーコードが登録されている。専用キーコードは、認証ECU4にも登録されている。専用キー2は、認証ECU4と所定の手順で通信することにより、車両Hvにアクセスしようとしている人物がオーナであることを証明可能に構成されている。なお、専用キー2は任意の要素であって、省略されても良い。
専用キー2は、図4に示すように制御回路20、及び近接場通信部21を備える。制御回路20は、専用キー2の動作を制御する回路である。制御回路20は、MCU(Micro Controller Unit)201、RAM202、フラッシュメモリ203などを用いて実現されている。制御回路20はMCUの代わりに、MPU(Micro-Processing Unit)やFPGA(Field-Programmable Gate Array)を用いて実現されていてもよい。フラッシュメモリ203には前述の専用キーコードが保存されている。
近接場通信部21は、近接場通信を実施するための通信モジュールである。専用キー2は、例えば車両Hvが備える近接場通信部56からの電波を電力に変換して機能するパッシブ型の無線タグとして構成されている。制御回路20は、車両Hvが備える近接場通信部56と近接場通信部21が通信接続している場合、認証ECU4からの要求に基づき、専用キーコードそれ自体又は専用キーコードをもとに生成されるレスポンスコードを返送する。認証ECU4は、専用キーコードを用いた認証処理が成功したことに基づいて、オーナ登録可能な状態に遷移しうる。このように専用キー2は、認証ECU4をオーナ情報の登録が可能な状態に切り替えるためのデバイスとして機能しうる。
<DKSの構成及び機能について>
ここではDKS3の構成及び機能について説明する。DKS3は図5に示すように、データ処理部30、ネットワーク接続装置31、車両DB32、及びユーザDB33を備える。部材名称中のDBは、データベース(Database)の略である。
データ処理部30は、ネットワーク接続装置31から入力される信号/データに基づき多様な処理を実行する構成である。データ処理部30はネットワーク接続装置31、車両DB32、及びユーザDB33のそれぞれと相互通信可能に接続されている。データ処理部30は、サーバプロセッサ301、RAM302、ストレージ303を用いて構成されている。サーバプロセッサ301は、各種演算処理を実行する演算コアであって、例えばCPUやGPUなどを用いて実現されている。ストレージ303には、所定のデジタルキー管理プログラムが格納されている。サーバプロセッサ301が当該デジタルキー管理プログラムを実行することにより、後述する種々の機能部が実現される。なお、サーバプロセッサ301が当該デジタルキー管理プログラムを実行することは、当該プログラムに対応する方法である車両用デジタルキー管理方法が実行されることに対応する。
ネットワーク接続装置31は、広域通信ネットワーク9に接続するための通信モジュールである。ネットワーク接続装置31は、例えば光ファイバなどを用いて広域通信ネットワーク9を構成する通信設備と相互通信可能に構成されている。これにより、携帯端末1がオンライン状態である場合、DKS3は携帯端末1とデータ通信可能となる。
車両DB32は、車両用デジタルキーシステムSysが管理する車両についての情報が登録されるデータベースである。車両DB32には図6に示すように、車両ごとの車両IDが、車両モデル情報や、オーナ情報、ゲスト情報と対応付けられて保存されている。車両モデル情報は、対象車両の車種や、年式、グレード、OS(Operating System)などにかかる情報を含む。
車両モデル情報は、認証ECU4で使用されるソフトウェアのバージョンや、ECU番号などを含んでいても良い。ここでのECU番号は、複数の車両のそれぞれで使用される認証ECU4を区別するための番号であって、認証ECU4毎に相違する番号である。ECU番号としては認証ECU4の製造番号などを採用可能である。DKS3は、ECU番号を用いることで、仮に複数の車両Hvに同一モデルの認証ECU4が搭載されている場合であっても、特定の認証ECU4を対象としたデータ配信などを実行可能となる。
オーナ情報は、車両Hvのオーナについての情報であって、例えばユーザIDや、連絡先としての電話番号、メールアドレス、デバイスIDなどを含む。ゲスト情報は、車両Hvに関するサービス鍵が配布されているユーザ(つまりゲスト)についての情報である。例えば車両DB32には車両Hvについてのゲスト情報として、ゲスト毎のユーザIDなどが登録されている。なお、車両DB32は、ゲスト情報を備えていなくともよい。
ユーザDB33は、ユーザについての情報が登録されるデータベースである。ユーザDB33には、ユーザ毎のユーザデータとして、図7に示すように、ユーザID、パスワード、デバイスID、鍵関連情報、備考情報などが保存される。ユーザIDとパスワードは、ユーザを認証するためのデータセットである。ユーザIDとパスワードは、例えばアカウント作成時にユーザによって登録される。サービス利用のためのアカウントは、専用のウェブページ又はデジタルキーアプリ104を介して作成可能である。ユーザが所持する携帯端末1のデバイスIDは、例えばDKS3がデジタルキーアプリ104と通信することで登録されうる。
鍵関連情報は、例えば対象車両情報や、サービス鍵ID、サービス鍵、鍵属性、権限設定、オーナ鍵IDを含む。対象車両情報は、ユーザが使用可能な車両のIDを示す。車両毎のサービス鍵情報が車両DB32で管理される場合、ユーザDB33は鍵関連情報として対象車両情報を備えていなくとも良い。鍵タイプは、例えばオーナ鍵であるか、ゲスト鍵であるかなどを示す。鍵タイプは、対象車両に対するユーザの属性(オーナ/ゲスト)を示す情報と解することもできる。権限設定は前述の通り、施開錠可能なドアや、走行用電源のオン/オフが許可されているか否かなどを示す。オーナ鍵IDは、対象車両のオーナのサービス鍵IDを示す。オーナ鍵IDがオーナ鍵番号に相当する。オーナのユーザデータにおけるオーナ鍵IDの欄は空白であってもよいし、当該オーナ自身のサービス鍵IDが登録されてもよい。
備考欄は、年齢や、運転技能の習熟度などが登録されうる。運転技能の習熟度は初心者か否か、例えば運転免許を取得してから1年以内か否かなどが登録されうる。その他、備考欄には事故の履歴などが登録されていても良い。これらの備考情報は、仮にカーシェアリングサービスなどに適用した場合の利用料金や、保険料金などの算出材料として使用されうる。
車両DB32及びユーザDB33は何れも書き換え可能な不揮発性の記憶媒体を用いて実現されている。また、車両DB32及びユーザDB33は何れもサーバプロセッサ301によるデータの書き込み、読出、削除等が実施可能に構成されている。なお、車両DB32とユーザDB33は統合されていても良い。上述したデータベースの構成は一例である。車両DB32及びユーザDB33は、上述した項目を全て保持している必要はない。また、車両DB32は、別のサーバが備えていても良い。そもそも、本開示のDKS3は、複数のサーバに分けて実施されても良い。サーバ毎の役割分担/機能配置は適宜変更可能である。
データ処理部30は、機能部として図8に示すように、ユーザ管理部G1、ユーザ認証部G2、サービス鍵発行部G3、ワンタイム認証鍵発行部G4、サービス鍵削除部G5、及び機種変更受付部G6を備える。
ユーザ管理部G1は、ユーザ情報を管理する構成である。例えばユーザ管理部G1は、ユーザの新規登録、削除、登録内容の変更をネットワーク接続装置31から入力されるデータに基づいて実施する。ユーザの新規登録/削除とはアカウントの発行/削除に対応する。新規登録、削除、登録内容の変更にかかるユーザ操作/指示は例えば携帯端末1及びネットワーク接続装置31を介して取得する。
以降ではアカウントの作成や削除、登録内容の変更、サービス鍵の発行/削除/無効化等といった、車両用デジタルキーシステムSysに対するユーザの操作/指示に対応する信号のことを、簡略的に操作信号とも記載する。もちろん、ユーザの操作を直接的に受け付けるインターフェースは携帯端末1に限定されない。DKS3は、オフィスや家庭に設置されたコンピュータを介して上記操作信号を取得しうる。つまりDKS3は、デジタルキーアプリ104や専用のウェブページを介してユーザの操作信号を取得可能に構成されている。
ユーザ認証部G2は、ユーザIDとパスワードとの組み合わせからユーザを認証する処理を実施する。ユーザ認証部G2が、認証成功と判定していることに基づいて、サービス鍵発行部G3やワンタイム認証鍵発行部G4、サービス鍵削除部G5、機種変更受付部G6などは、ユーザの操作信号又はデジタルキーアプリ104からの要求に応じた処理を実行する。
サービス鍵発行部G3は、携帯端末1等に対するユーザ操作に基づき、サービス鍵を発行する。具体的には、オーナ端末や発行権付きゲスト端末から送信されてくるサービス鍵の発行要求信号に基づき、要求内容に応じたサービス鍵を発行する。ワンタイム認証鍵発行部G4は、携帯端末1から送信されてくるワンタイム認証鍵発行要求信号に基づき、要求元用のワンタイム認証鍵を発行する。サービス鍵削除部G5は、携帯端末1からの要求に基づき、指定されたサービス鍵を削除する。機種変更受付部G6は、機種変更の申請を受け付け、新たなデバイスIDに応じたサービス鍵を発行する構成である。
ワンタイム認証鍵発行部G4、サービス鍵削除部G5、及び機種変更受付部G6の詳細は別途後述する。
データ処理部30は以上の機能部を備えることにより、システムが管理する車両毎のオーナとゲストとの対応関係を保持する。1つの車両に対して、オーナとなるユーザはただ1人である一方、ゲストは複数存在しうる。データ処理部30は、1つの車両及びオーナに紐づくゲストの情報を統合的に管理する。
図9は1つの車両に対するオーナ鍵とゲスト鍵との対応関係を概念的に示したものである。データ処理部30は、オーナ鍵のサービス鍵ID、つまりオーナ鍵IDを元に、1つの車両及び1つのオーナ鍵に紐づく複数のゲスト鍵を管理する。なお、図9では1つの車両に対して3つのゲスト鍵が発行されている場合を示している。各ゲスト鍵は前述の通り、権限設定や有効期限が相違しうる。
<車載システム7の構成及び機能について>
ここでは車載システム7の構成及び機能について説明する。図10に示すように車載システム7は、認証ECU4、ディスプレイ51、入力装置52、ボディECU53、ロックモータ54、電源ECU55、近接場通信部56、BLE通信部57、及びセルラー通信部58を備える。
認証ECU4は、ディスプレイ51、入力装置52、ボディECU53、電源ECU55、近接場通信部56、BLE通信部57、及びセルラー通信部58のそれぞれと車両内ネットワークNwを介して又は専用の信号線によって相互通信可能に接続されている。ボディECU53はロックモータ54と通信可能に接続されている。車両内ネットワークNwは、車両Hv内に構築されている通信ネットワークである。車両内ネットワークNwの規格としては、Controller Area Network(以降、CAN:登録商標)や、Ethernet(登録商標)、FlexRay(登録商標)など、多様な規格を採用可能である。なお、ボディECU53などの一部は、車両内ネットワークNwを介さずに認証ECU4と専用線で接続されていてもよい。装置同士の接続形態は適宜変更可能である。
認証ECU4は、BLE通信部57等との協働により、携帯端末1の認証処理を実行するECUである。また、認証ECU4は、携帯端末1の認証が成功していることを条件として、ドアの開錠や走行用電源オンなどといった、所定の車両制御を他のECUとの協働により実施する。認証ECU4は上記処理を実行するコアモジュールとして車両制御部40を備える。
当該認証ECU4は、コンピュータを用いて実現されている。すなわち、認証ECU4は、認証プロセッサ41、RAM42、ストレージ43、I/O44、及びこれらの構成を接続するバスラインなどを備えている。認証プロセッサ41は、例えばCPUである。認証プロセッサ41は、RAM42へのアクセスにより、後述する各機能部の機能を実現するための種々の処理を実行する。認証プロセッサ41とRAM42を含む構成が車両制御部40に相当する。認証プロセッサ41は、サーバプロセッサ301と対比して、車両プロセッサと呼ぶこともできる。ストレージ43には、車両Hvにアクセスするユーザ(実態的には携帯端末)の認証処理にかかるプログラムである車両用認証プログラムが格納されている。また、ストレージ43には、認証ECU4のECU番号が保存されていてもよい。I/O44は、他装置と通信するための回路モジュールである。認証ECU4の機能の詳細は後述する。
ディスプレイ51は、画像を表示するデバイスである。例えばディスプレイ51は認証ECU4からの入力に基づき、オーナ登録開始画面やサービス鍵削除画面などを表示しうる。オーナ登録開始画面は、オーナ鍵の登録を開始するための操作画面であって、例えばオーナのパスワードを入力するフォームなどを含みうる。サービス鍵削除画面は、ユーザにて指定されたサービス鍵のデータを車両側記憶部45から削除するための画面である。認証ECU4が保持するオーナ鍵のデータもまた、当該サービス鍵削除画面を介して削除可能に構成されている。ディスプレイ51は、例えばインストゥルメントパネルの車幅方向の中央領域に設けられた、センターディスプレイである。ディスプレイ51は、運転席の正面領域に配置された、いわゆるメータディスプレイであってもよい。
入力装置52は、車載システム7、より具体的には認証ECU4に対するユーザの指示操作を受け付けるための装置である。入力装置52としては、例えばディスプレイ51に積層されたタッチパネルを採用可能である。入力装置52はステアリングホイールやインストゥルメントパネル等に設けられた機械的スイッチであっても良い。入力装置52は、当該装置に対してユーザが行った操作に対応する電気信号を操作信号として認証ECU4に出力する。入力装置52が出力する操作信号は、ユーザの操作内容を示す。ディスプレイ51及び入力装置52は、認証ECU4に対するサービス鍵の登録/削除/動作設定の変更などをユーザが行うためのインターフェースに相当する。ディスプレイ51及び入力装置52をまとめて、車載HMI50とも称する。HMIはヒューマンマシンインターフェース(Human Machine Interface)の略である。
ボディECU53は、認証ECU4からの要求及びユーザの操作信号に基づいてボディ系アクチュエータを制御するECUである。ボディECU53は、種々のボディ系アクチュエータと通信可能に接続されている。ここでのボディ系アクチュエータには、各ドアのロック機構を構成するロックモータ54が含まれる。
電源ECU55は、車両Hvに搭載された走行用電源のオンオフ状態を制御するECUである。例えば電源ECU55は、例えば認証ECU4からの指示信号に基づき、走行用電源をオンに設定する。なお、車両Hvがエンジン車である場合には、電源ECU55は上記指示信号に基づきエンジンを始動させる。
近接場通信部56は、近接場通信を実施するための通信モジュールである。近接場通信部56は、専用キー2からデータを受信するためのリーダとしての機能を有している。近接場通信部56は、通信距離内の専用キー2に近接場通信によってアクセスし、オーナ検証にかかる情報、例えば専用キーコード又は専用キーコードに基づくレスポンスコードを受信する。近接場通信部56は、専用キー2に限らず、携帯端末1等、通信圏内に位置する多様なデバイスとも近接場通信を実施しうる。
近接場通信部56としては、例えば車外用の通信モジュールと、車内用のモジュールとが設けられうる。車外用の近接場通信部56は、施開錠制御に向けた認証を行うための構成に相当する。車内用の近接場通信部56は、走行用電源のオンオフ制御に向けた認証を行うための構成に相当する。車外用の近接場通信部56は、例えば運転席用の外側ドアハンドル付近に設けられている。外側ドアハンドル付近とは例えば外側ドアハンドルから0.2m以内を指す。外側ドアハンドル付近には、外側ドアハンドルの内部も含まれる。また、車内用の近接場通信部56は、車室内の運転席周りに配置されている。例えば車室内用の近接場通信部56は、インストゥルメントパネルに配されたスタートボタン付近に配置されている。車内用の近接場通信部56は、スタートボタンに内蔵されていてもよい。さらに、近接場通信部56は、センターコンソールや、インストゥルメントパネルの車幅方向中央部に設けられていても良い。
BLE通信部57は、BLE通信を実施するための通信モジュールである。BLE通信部57は、例えばセンターコンソールや、車内の天井部、フロント/リアガラスの上端部、Cピラーなどに配置されている。セルラー通信部58はセルラー通信を実施するための通信モジュールである。車載システム7は、セルラー通信部58の代わりに、又は、セルラー通信部58と合わせて、Wi-Fi通信用のモジュールを備えていても良い。
認証ECU4は、DKS3及び携帯端末1と通信することにより、ユーザの認証にかかる処理を実行する。なお、認証ECU4と携帯端末1との通信は、より具体的には、携帯端末1が備えるBLE通信部16と、車載システム7が備えるBLE通信部57の協働によって実現されうる。
認証ECU4は、図11に示すように機能部として、ユーザ管理部H1、及び、認証処理部H2を備える。これらの機能部は例えば認証プロセッサ41が車両用認証プログラムを実行することによって実現される。また、認証ECU4は、オーナ鍵等を記憶するための車両側記憶部45を備える。車両側記憶部45は、ストレージ43又はRAM42が備える記憶領域を用いて実現される。車両側記憶部45は、オーナ鍵記憶部451と、ゲスト鍵記憶部452とを備える。
オーナ鍵記憶部451は、オーナ鍵に関する情報を格納するための記憶領域である。ゲスト鍵記憶部452は、ゲスト鍵に関する情報を格納するための記憶領域である。オーナ/ゲスト鍵に関する情報とは、サービス鍵そのものの他、サービス鍵IDや、ユーザID、ユーザ名などを指す。ゲスト鍵に関する情報には、有効期限や権限設定なども含まれる。ゲスト鍵記憶部452は複数のゲスト鍵を保存可能に構成されている一方、オーナ鍵記憶部451は1つのオーナ鍵しか保存できないように構成されている。故に、新規オーナ鍵の登録は、古いオーナ鍵のデータ削除を伴う。車両側記憶部45が車両側記憶装置に相当する。
DKS3が発行したサービス鍵は、車両側記憶部45に登録されることによって、有効化される。すなわち、ユーザは、当該ユーザ向けのサービス鍵が車両側記憶部45に保存されていることを条件として、サービス鍵に割り当てられている権限の範囲において車両Hvを利用可能となる。
ユーザ管理部H1は、車両Hvを利用可能なユーザ、つまり、車両側記憶部45に保存されているサービス鍵を管理する構成である。ユーザ管理部H1は、別途後述するように、携帯端末1とBLE通信を実施することにより、携帯端末1を介してDKS3が発行したサービス鍵に関するデータを取得し、車両側記憶部45に保存する。また、ユーザ管理部H1は、携帯端末1を介して車両側記憶部45に保存されているサービス鍵を削除するためのデータを取得し、対象となるサービス鍵に関するデータを削除する。
認証ECU4は、動作モードとして、オーナ鍵の登録を受付可能なオーナ登録可能モードと、オーナ登録を受け付けない/拒否するオーナ登録禁止モードとを備える。認証ECU4は、基本的にはオーナ登録禁止モードで動作する。そのため、オーナ登録禁止モードは通常モードと呼ぶことができる。認証ECU4は、別途後述するセキュリティ解除コードが入力されたことに基づいて、一時的にオーナ登録禁止モードからオーナ登録可能モードへと移行する。
認証処理部H2は、BLE通信部57と連携して、通信相手が車両Hvのユーザが所持する携帯端末1であることを確認(換言すれば認証)する処理を実施する。認証のための通信は、暗号化されて実施される。認証方式自体は、チャレンジ-レスポンス方式など多様な方式を用いて実施されうる。本実施形態では一例として、チャレンジコードとワンタイム認証鍵を用いたチャレンジ-レスポンス方式で認証が行われる。認証処理の詳細なシーケンスについては別途後述する。認証処理部H2は、認証処理で必要となるワンタイム認証鍵を動的に生成するワンタイム認証鍵生成部H21をサブ機能部として備える。なお、ワンタイム認証鍵生成部H21は任意の要素であって省略されても良い。
認証処理部H2が認証処理を実施するタイミングは、例えばBLE通信部57と携帯端末1との通信接続が確立したタイミングとすることができる。認証処理部F4は、BLE通信部57と携帯端末1とが通信接続している間、所定の周期で認証処理を実施するように構成されていても良い。また、車両Hvに対する所定のユーザ操作をトリガとして認証処理のための暗号通信を実施するように構成されていても良い。
認証処理の実行トリガとなるユーザ操作としては、ドアボタンの押下/ドアハンドルへのタッチ、スタートボタンの押下、ドアの開閉などが採用可能である。ドアボタンとは、ドアハンドルに設けられた、ドアを開錠/施錠するためのボタンを指す。ドアハンドルのへのタッチは、ドアハンドルに設けられたタッチセンサによって検出されうる。スタートボタンは、インストゥルメントパネルなどの車室内に設けられた、走行用電源のオン/オフを切り替えるためのボタンである。
<オーナ鍵登録シーケンスについて>
ここでは図12、図13、及び図14を用いてオーナ鍵の発行から車両へ登録するまでのシーケンスの一例について説明する。オーナ鍵の発行から車両へ登録するまでのシーケンスは、図12に示すように大きくは発行フェーズPh1と、車両登録フェーズPh2に分けることができる。
発行フェーズPh1は、DKS3が、ユーザからの要求、実態的には携帯端末1から送信される鍵発行要求信号に基づき、サービス鍵を発行するフェーズである。発行されたサービス鍵は、携帯端末1にのみ配布される。DKS3が発行したサービス鍵は、車両Hvに直接配布されることはなく、携帯端末1を経由して車両Hvに登録される。車両登録フェーズPh2は、BLE通信によって携帯端末1が保持しているサービス鍵の情報を車両Hvに登録するフェーズである。DKS3が発行したサービス鍵は車両Hvに登録されて初めて実質的に使用可能な状態、つまり有効化される。そのため車両登録フェーズPh2は、有効化フェーズと呼ぶこともできる。なお、オーナ鍵に限らず、ゲスト鍵の発行~有効化も、発行フェーズPh1と、車両登録フェーズPh2とを含む。
図13は、オーナ鍵の発行フェーズに対応する各デバイスのインタラクションを示すシーケンス図である。オーナ鍵の発行シーケンスは、オーナ端末とDKS3によって実行される。オーナ鍵の発行シーケンスは図13に示すように、ステップS10~S17を含む。
ステップS10は、DKS3が、ユーザ/携帯端末1を認証し、通信相手がオーナ/オーナ端末であることを確認するステップである。オーナであることの認証は、ユーザID及びパスワードを用いて実施されても良いし、生体情報を用いて認証されても良い。生体情報を用いた認証は、生体認証装置14によって実行されうる。なお、ステップS10は携帯端末1のデジタルキーアプリ104がユーザを認証するステップであってもよい。
ステップS11は、オーナ端末としての携帯端末1が、ユーザの操作に基づいて鍵発行要求信号を送信するステップである。ここで送信される鍵発行要求信号は、オーナ鍵の発行を要求する信号であるため、オーナ鍵発行要求信号と呼ぶことができる。鍵発行要求信号は、例えばデバイスID又はユーザIDなど、DKS3が要求元を特定するための情報を含む。また、鍵発行要求信号は、発行対象とするサービス鍵のタイプを含む。なお、発行対象とするサービス鍵がゲスト鍵である場合には、鍵発行要求信号は、権限の設定や有効期限の設定などを示す情報を追加的に含みうる。その他、鍵発行要求信号は、対象とする車両の情報などを含んでいても良い。ただし、対象車両の情報は、ユーザIDなどを検索キーとして車両DB32を参照することにより特定可能であるため、鍵発行要求信号に含まれていなくとも良い。
ステップS12では、DKS3が、オーナ端末から取得したオーナ鍵発行要求信号に基づいて、オーナ鍵としてのサービス鍵及びサービス鍵IDを生成する。ステップS12の実行主体は、より具体的にはサービス鍵発行部G3である。
ステップS13ではDKS3が、ステップS12で生成したサービス鍵をもとに、ワンタイム認証鍵を所定数作成する。ステップS13の実行主体は、より具体的にはワンタイム認証鍵発行部G4である。サービス鍵発行時に生成するワンタイム認証鍵の数である初回発行数は、例えば300など、補充閾値よりも所定量多く設定されている。
ステップS14ではDKS3が、ステップS12~S13で生成した各種データを含むデータセットである端末登録用パッケージをオーナ端末に向けて送信する。端末登録用パッケージは、サービス鍵、サービス鍵ID、複数のワンタイム認証鍵、及び、各ワンタイム認証鍵の生成に用いた変動コードを含む。個々のワンタイム認証鍵は、当該ワンタイムの生成に使用された変動コードと紐付けられている。複数のワンタイム認証鍵及び変動コードを含むデータセットは、認証鍵パッケージとしてサービス鍵を含むデータセットとは別に送信されても良い。
また、端末登録用パッケージは、端末チェックコードと、対象車両に搭載されている認証ECU4のECU番号を含みうる。端末チェックコードは、データの完全性、受信データの正当性、及び改ざんの有無を、受信側である携帯端末1が検証するためのコードである。端末チェックコードは、ハミング符号であってもよいし、ペイロードを所定のハッシュ関数に入力して得られるハッシュ値であってもよい。端末チェックコードは、DKS3と携帯端末1とが暗号通信するための鍵として事前に発行された暗号鍵を用いて生成されても良い。
ステップS15では、オーナ端末としての携帯端末1が、DKS3から配信された端末登録用パッケージを受信し、その中身を鍵情報記憶部M1に保存するステップである。サービス鍵管理部F1は、前述の端末チェックコードを用いて受信データの正当性を検証した上で、受信したサービス鍵及びその関連情報を鍵情報記憶部M1に保存する。
ステップS16は、DKS3が、車両Hvにオーナ情報を登録するためのデータセットである車両登録用パッケージをオーナ端末に向けて送信する。車両登録用パッケージは、サービス鍵、サービス鍵IDの他、車両チェックコードを含みうる。車両チェックコードは、データの完全性、受信データの正当性、及び改ざんの有無を、最終的な受信デバイスである認証ECU4が検証するためのコードである。車両チェックコードは、端末チェックコードと同様にペイロードに応じたハミング符号やハッシュ値であってもよい。車両チェックコードは、DKS3と認証ECU4とが暗号通信するための鍵として事前に発行された暗号鍵を用いて生成されても良い。また、車両チェックコードは、ECU番号をもとに生成されてもよい。なお、車両登録用パッケージには、端末チェックコードが付加されていても良い。当該構成によれば、DKS3と認証ECU4との通信の中継役であるオーナ端末も、受信した車両登録用パッケージの完全性、正当性等を検証可能となる。
ステップS17では、オーナ端末としての携帯端末1が、DKS3から配信された車両登録用パッケージを受信し、その中身を車両用データ一時記憶部M2に保存するステップである。受信処理には、前述の端末チェックコードを用いた検証処理が行われてもよい。なお、本実施形態では車両登録用パッケージと端末登録用パッケージを別々に送信するが、各種データの送信態様はこれに限らない。車両登録用パッケージと端末登録用パッケージは一連のデータとして送信されても良い。その際、重複するデータは省略されても良い。
次の図14を用いてオーナ鍵を車両Hvに登録するシーケンスについて説明する。オーナ鍵の車両Hvへの登録シーケンスは、ステップS20~S29を含む。
まず本シーケンス開始時の初期状態(ステップS20)として、認証ECU4はオーナ登録禁止モード(つまり通常モード)で動作している。ステップS21は、所定のセキュリティ解除ツール又はDKS3が、所定のセキュリティ解除信号を認証ECU4に入力するステップである。セキュリティ解除ツール又はDKS3を用いた認証ECU4へのセキュリティ解除信号の入力は、オーナ又はディーラスタッフによって実行される。
セキュリティ解除信号は、セキュリティ解除コードを含む信号である。セキュリティ解除信号は、1つの局面において、登録者がオーナ自身であることを証明する信号に相当する。セキュリティ解除信号は、認証ECUをオーナ登録禁止モード(通常モード)から、一時的にオーナ登録可能モードに切り替えるための信号に相当する。認証ECU4はセキュリティ解除信号が入力されたことに基づいて、オーナ登録可能モードに移行する(ステップS22)。セキュリティ解除信号がオーナ登録開始信号に相当する。
セキュリティ解除ツールは、例えば専用キー2である。また、セキュリティ解除コードとしては専用キーコードを採用可能である。例えば認証ECU4は、車内用の近接場通信部56が専用キー2と近接場通信を行い、専用キーコードを受信したことに基づいて、オーナ登録可能モードに移行してもよい。なお、認証ECU4は、専用キーコードを受信したことに加えて、車載HMI50を介して所定のパスワードが入力されたことを条件に、オーナ登録可能モードに移行するよう構成されていても良い。
また、セキュリティ解除ツールは、ディーラショップなどで管理される専用ツールであってもよい。専用ツールと認証ECU4との通信方式は、近接場通信であってもよいし、例えばUSBケーブルなどを用いた有線通信であってもよい。DKS3からのセキュリティ解除信号は、セルラー通信部58を介して受信する。なお、DKS3は、オーナ端末からの要求、又は、ディーラショップに設けられた所定の端末からの要求に基づいて、車両Hvを宛先とするセキュリティ解除信号を送信する。当該構成によればオーナ又はディーラショップのスタッフは、オーナ端末又はディーラショップに設けられた所定の端末を操作することにより、認証ECU4をオーナ登録可能モードに切り替えることができる。
認証ECU4は、オーナ登録モードに移行すると、ステップS24aとして所定のスキャン間隔でBLE通信部57を待受状態に設定し、携帯端末1の探索(いわゆるスキャニング)を実施させる。ここでの待受状態とは、アドバタイズ信号を受信可能な状態を指す。本実施形態ではパッシブスキャン方式にて車両周辺に存在する携帯端末1を検出する。他の態様として認証ECU4は、スキャン要求の送信を伴うアクティブスキャン方式によって携帯端末1を探索しても良い。
一方、オーナ端末は、タッチパネル12を介してオーナ鍵の登録開始操作を受け付ける(ステップS23)と、オーナ鍵の登録に向けたアドバタイズの発信を所定の間隔で発信する(ステップS24b)。当該アドバタイズがBLE通信部57を介して認証ECU4で受信されることにより、認証ECU4と携帯端末1は通信接続のための通信を開始する(ステップS25)。なお、オーナ鍵の登録開始操作とは、例えば図15に示すように、ディスプレイ11に表示されるオーナ鍵登録開始ボタンB1の押下である。オーナ鍵の登録開始操作は、オーナ鍵の登録開始を指示する音声コマンドの入力であってもよい。
オーナ端末は、認証ECU4とBLE通信の接続が確立すると、例えば図16に示すペアリング確認画面を表示する。ペアリング確認画面は例えばペアリングを実行するか否かをユーザが選択するためのボタンB2a、B2bを含む。オーナ端末は、タッチパネル12からの信号に基づき肯定ボタンB2aが押下されたことを検知すると(ステップS26)、認証ECU4とのペアリング処理を実行する(ステップS27)。これにより、認証ECU4とオーナ端末との間で暗号化されたデータ通信が可能となる。ここでのペアリング処理には、暗号鍵の交換だけでなく、暗号鍵の保存(いわゆるボンディング)も含まれる。
ペアリング処理が完了し、認証ECU4-オーナ端末間の暗号通信リンクが確立すると、オーナ端末は、車両用データ一時記憶部M2に保管されていた車両登録用パッケージをBLE通信で認証ECU4に送信する(ステップS28)。ステップS24a~S28までの一連の通信が、認証ECU4にとってはオーナ端末からオーナ鍵を取得するための通信に相当する。
認証ECU4は、オーナ端末からBLE通信で車両登録用パッケージを受信すると、当該パッケージに含まれる鍵関連データを車両側記憶部45に保存する。より具体的には、受信したサービス鍵や、サービス鍵ID、をオーナ鍵記憶部451に保存する。これにより、オーナ鍵の車両登録が完了し、オーナ鍵が有効化される。
なお、オーナ登録禁止モードは、例えばオーナ権限を有するサービス鍵の受信又は保存を拒否することによって実現されてもよいし、通信接続そのものを拒否することで実現されても良い。また、1つの態様として認証ECU4は、所定のオーナ登録用IDを含むアドバタイズを起点とする通信リンクで受信したサービス鍵を、オーナ鍵としてオーナ鍵記憶部451に保存するように構成されていてもよい。その場合、認証ECU4は、オーナ登録禁止モード時にはオーナ登録用IDを含むアドバタイズを無視する一方、オーナ登録モードにはオーナ登録用IDを含むアドバタイズに基づく通信接続を行う。オーナ登録用IDは、オーナ情報を登録するための通信であることを示すIDであって、UUID、Major、Minorといった3種類の識別子の組み合わせで表現されうる。
上記の構成によれば、特定のオーナ登録開始信号が入力された場合にしか、オーナ鍵のデータが車両Hvには登録されない。よって、オーナ鍵を常時登録可能な構成よりもセキュリティを高めることができる。
<ゲスト鍵登録シーケンスについて>
次に、図17、図18、図19、図20を用いてゲスト鍵の発行から、当該ゲスト鍵を車両Hvに登録するまでのシーケンスの一例について説明する。ゲスト鍵の発行から車両登録するまでのシーケンスもまた、発行フェーズPh1と、車両登録フェーズPh2とに分けることができる。
図17は、ゲスト鍵の発行フェーズPh1に対応する各デバイスのインタラクションを示すシーケンス図である。ゲスト鍵の発行シーケンスは、オーナ端末と、対象ゲスト端末と、DKS3によって実行される。対象ゲスト端末とは、サービス鍵の発行対象とするゲストに紐づく携帯端末1を指す。ゲスト鍵の発行シーケンスは図17に示すように、ステップS30~S37を含む。
ゲスト鍵の発行及び車両への登録シーケンスの説明におけるゲスト端末とは、対象ゲスト端末を指す。なお以下ではオーナがゲスト鍵を発行する場合について説明するが、ゲスト鍵の発行者は、発行権付きゲスト鍵が付与されているゲストであってもよい。発行権付きゲスト鍵が付与されているゲストのことを、発行権もちゲストとも記載する。ゲスト鍵の発行等の説明におけるオーナ端末/オーナとの記載は、発行権付きゲスト端末/発行権もちゲストと読み替えて実施することができる。
ステップS30は、サービス鍵の発行を希望するゲストの操作に基づいて、ゲスト端末が、オーナ端末に向けてゲスト鍵の発行依頼を送信するステップである。オーナ端末はゲスト端末からの発行依頼を受領すると、DKS3に向けて、ゲスト鍵発行要求信号を送信する(ステップS31)。なお、図示は省略しているが、ゲスト鍵の発行シーケンスもまた、DKS3が、オーナとしてのユーザを認証するステップを含みうる。また、ステップS30は任意の要素である。ゲスト端末からの発行依頼がなくとも、オーナ端末はオーナの操作に基づき所定のゲストを対象とするゲスト鍵発行要求信号を送信しうる。例えばオーナは、ゲストとの電話/メール等のやり取りに基づいてオーナ端末を操作することにより、任意のゲストに対してゲスト鍵を発行可能に構成されている。
ゲスト鍵発行要求信号は、例えば図18に示すように、要求元情報、対象車両情報、対象ユーザID、有効期限情報、及び権限の設定情報のそれぞれを収容するデータフィールドを含む。要求元情報は、ゲスト鍵の発行要求元を示す情報であって、例えばオーナのユーザIDや、サービス鍵ID、デバイスIDなどを採用可能である。対象車両IDは、新規発行するゲスト鍵で利用可能な車両を特定するための情報であって、ここでは車両Hvの車両IDを指す。対象ユーザIDは、ゲスト鍵の発行対象とするゲストのユーザIDである。ユーザIDの代わりにデバイスIDなどが対象ユーザ情報として採用されてもよい。有効期限に対応するデータフィールドには、オーナが指定した期間/日時に対応する値、又は所定値が入力される。権限設定情報は、ゲスト鍵の発行権の有無、走行用電源の切り替え権限の有無、施開錠できるドアなどを示す。
DKS3は、オーナ端末からのゲスト鍵発行要求信号を受信すると、ステップS32として、受信したゲスト鍵発行要求信号に基づいて、対象ゲスト向けのサービス鍵及びサービス鍵IDを生成する。また、ステップS33ではDKS3のワンタイム認証鍵発行部G4が、ステップS32で生成したサービス鍵をもとに、ワンタイム認証鍵を所定の初回発行数だけ作成する。
ステップS34ではDKS3が、ステップS32~S33で生成した各種データを含むデータセットである端末登録用パッケージをゲスト端末に向けて送信する。ゲスト鍵にかかる端末登録用パッケージは、例えば図19に示すように、基本情報に加えて、ゲスト用情報を含みうる。基本情報は、オーナ鍵発行時に配信されるパッケージと概ね同様の項目を有する。つまり基本情報は、サービス鍵、サービス鍵ID、複数のワンタイム認証鍵、及び、ワンタイム認証鍵毎の変動コードを含む。ゲスト用情報は、ゲスト鍵用の付加的な情報である。例えばゲスト用情報は、発行元情報、オーナ鍵ID、対象車両情報、有効期限情報、権限設定情報を含む。発行元情報は、基本的にはオーナを示す。ただし、新規発行されたゲスト鍵が、発行権付きゲスト端末からの要求に基づいて生成されたものである場合、発行元情報のデータフィールド(欄)には、発行元としてのゲストを示す情報が格納されてもよい。端末登録用パッケージは、発行元情報とオーナ鍵IDの何れか一方だけを備えるように構成されていても良い。ゲスト端末に向けて発せられる端末登録用パッケージもまた、端末チェックコードなどを含む。
ステップS35では、ゲスト端末としての携帯端末1が、DKS3から配信された端末登録用パッケージを受信し、その中身を鍵情報記憶部M1に保存する。ステップS36では、DKS3が、車両Hvにゲスト鍵情報を登録するためのデータセットである車両登録用パッケージをゲスト端末に向けて送信する。ゲスト鍵にかかる車両登録用パッケージに含まれる情報種別は、ステップS36で送信される車両登録用パッケージと同様とすることができる。ステップS37では、ゲスト端末としての携帯端末1が、DKS3から配信された車両登録用パッケージを受信し、その中身を車両用データ一時記憶部M2に保存するステップである。
次の図20を用いて、ゲスト端末がDKS3から受領したゲスト鍵を車両Hvに登録するシーケンスについて説明する。ゲスト鍵の車両Hvへの登録シーケンスは、ステップS40~S47を含む。前提としてゲスト端末は車両Hvの周辺、より具体的にはBLE通信可能な位置に存在するものとする。ゲスト端末が実行するステップの、実質的な実行主体は端末プロセッサ101である。また、認証ECU4が実行するステップの、実質的な実行主体は認証プロセッサ41である。
まず本シーケンス開始時の初期状態(ステップS40)として、認証ECU4は通常モードで動作している。認証ECU4はゲスト鍵に関しては通常モードでも登録可能である。そのため、オーナ鍵の登録シーケンスと違い、オーナ及びゲストは、セキュリティ解除ツール等を用いて認証ECU4の動作モードを変更する必要ない。認証ECU4は、通常モード時においても、所定のスキャン間隔でスキャニングを実施する(ステップS42a)。
一方、ゲスト端末は、タッチパネル12を介してゲスト鍵の登録開始操作を受け付けると(ステップS41)、ゲスト鍵の登録に向けたアドバタイズの発信を所定の間隔で発信する(ステップS42b)。当該アドバタイズがBLE通信部57を介して認証ECU4で受信されることにより、認証ECU4と携帯端末1は通信接続のための通信を開始する(ステップS43)。なお、ゲスト鍵の登録開始操作とは、例えば図21に示すように、ディスプレイ11に表示されるゲスト鍵登録開始ボタンB3の押下である。ゲスト鍵の登録開始操作は、所定の音声フレーズの入力であってもよい。
ゲスト端末は、認証ECU4とBLE通信の接続が確立すると、例えば図16に示すペアリング確認画面を表示する。ゲスト端末は、タッチパネル12からの信号に基づき肯定ボタンB2aが押下されたことを検知すると(ステップS44)、認証ECU4とのペアリング処理を実行する(ステップS45)。これにより、認証ECU4とゲスト端末との間で暗号化されたデータ通信が可能となる。
ペアリング処理が完了し、認証ECU4-ゲスト端末間の暗号通信リンクが確立すると、ゲスト端末は、車両用データ一時記憶部M2に保管されていた車両登録用パッケージをBLE通信で認証ECU4に送信する(ステップS46)。
認証ECU4は、ゲスト端末からBLE通信で車両登録用パッケージを受信すると、当該パッケージに含まれる鍵関連データを車両側記憶部45に保存する。より具体的には、受信したサービス鍵や、サービス鍵ID、権限設定、有効期限などをゲスト鍵記憶部452に保存する。これにより、ゲスト鍵の車両Hvへの登録が完了し、ゲスト鍵が有効化される。
上記構成によれば、ゲスト鍵を有効化するためにオーナ端末と認証ECU4とがBLE通信で接続する必要がない。つまり、ゲスト鍵を発行するたびに、オーナが車両Hvの近くまでオーナ端末を持っていく必要がない。よって、上記の構成によれば、ゲスト鍵の有効化にかかるオーナの負担を低減することができる。また、本実施形態では認証ECU4は、オーナ鍵、ゲスト鍵といったサービス鍵のタイプによらずに、携帯端末1とのBLE通信によって車両登録用パッケージを取得し、保存する。当該構成によれば、車両Hvにおけるデータ通信量を抑制可能となる。さらに、車両Hvが地下駐車場など、通信圏外にある場合においても、ユーザの接近に伴ってサービス鍵を車両Hvに登録可能となる。もちろん、他の態様として、認証ECU4は、セルラー通信又はWi-Fi通信によってDKS3から、車両登録用パッケージを取得しても良い。なお、携帯端末1を経由してサービス鍵を車両Hvに送信する構成は、サービス鍵を間接的に認証ECU4に配布する構成に相当する。
<ユーザが車両を使用する場合のシステム作動例>
ここでは図22、図23を用いて、ユーザが車両Hvを利用する際の認証ECUの作動について説明する。前提として、ここで述べるユーザとは、車両Hvのサービス鍵が保存されている携帯端末1を携帯している人物である。つまり、ここでのユーザとはオーナ又はゲストに相当し、携帯端末1とはオーナ端末又はゲスト端末に相当する。
まず、車両Hvが駐車されている間、認証ECU4は定期的にBLE通信部57にスキャニングを実施させ、携帯端末1が車両周辺に存在するか否かを判定する(ステップS51)。携帯端末1が車両周辺に存在するか否かの判定は、アドバタイズ等、携帯端末1から発せられるBLE信号を受信しているか否かに基づいて実施される。仮に携帯端末1からのBLE信号を受信している場合には(ステップS51 YES)、当該携帯端末1と通信接続する(ステップS52)。一方、スキャニングの結果、携帯端末1を発見できなかった場合には本フローを終了する。なお、フローを終了した場合には、所定のスキャン間隔が経過したタイミングでステップS51を再実行する。図22に示すフローチャートは、車両Hvが駐車されている状態において所定のスキャン間隔で繰り返し実施されうる。
認証ECU4は、携帯端末1と通信接続できた場合、ステップS53として認証処理を実行する。認証処理については別途後述する。認証処理の結果として携帯端末1(ひいてはユーザ)の認証が成功した場合には(ステップS54 YES)、スタンバイモードに移行する(ステップS55)。
スタンバイモードは、ドアボタン等に対するユーザ操作に基づいて、開錠/施錠、走行用電源のオン/オフ切り替えなどを実施可能な状態に相当する。スタンバイモードは、1つの側面においてサービス鍵を有する携帯端末1/ユーザが車両周辺に存在すると認証プロセッサ41が認識している状態に対応する。車両周辺には、車外だけでなく車室内も含まれる。本実施形態では一例として、認証成功との判定結果には有効期限が設定される。有効期限は例えば3秒や5秒、10秒などに設定される。
一方、認証処理の結果として携帯端末1の認証に失敗した場合には(ステップS54 NO)、本フローを終了する。なお、認証処理が失敗した場合には、認証が成功していないことをユーザが認識可能なように車載設備を動作させてもよい。例えば、認証処理が成功していない場合には、ディスプレイ51に所定の認証失敗画像を表示しても良いし、サイドミラー等に設けられた灯火装置を所定パターンで点灯させても良い。認証ECU4は、認証処理が失敗した場合、携帯端末1に向けてBLE通信で所定の制御信号を送信する事により、ディスプレイ11に認証失敗画面を表示させてもよい。認証ECU4は、ドア周りの路面に向けて光を発するウェルカムライトを所定パターンで点灯されることで、認証失敗したことを表現してもよい。
ステップS56では、認証プロセッサ41がドアボタンやタッチセンサ、スタートボタンなどからの信号に基づき、車両Hvを使用するためのユーザ操作が行われたか否かを判定する。車両Hvを使用するためのユーザ操作とは、例えばドアハンドルに触れる/握るなどといった、ドアを開けようとする行為を指す。スタートボタンの押下も車両Hvを使用するためのユーザ操作に該当する。
認証プロセッサ41は、上記ユーザ操作に対応する信号が車載センサより入力された場合(ステップS56 YES)、ユーザが操作した部材及び車両Hvの状態に応じた車両制御を実行する(ステップS57)。例えば認証プロセッサ41は、車両Hvが施錠された状態において、ドアボタンが押下/ドアハンドルが把持されたことを検知した場合には、ドアを開錠する。また、認証プロセッサ41は、スタートボタンが押下されたことを検知した場合には、走行用電源をオフからオンに、又はオンからオフに切り替える。
なお、実際に上記ドアの開錠/施錠、走行用電源のオン/オフといった車両制御を行う際には、認証結果だけなく、携帯端末1の推定位置やサービス鍵の権限、車両Hvの状態が参照される。そして、所定の制御実行条件が充足されていない場合には、ユーザ操作に応じた車両制御の実行はキャンセルされうる。制御実行条件が充足されていない場合とは、例えばサービス鍵に設定されている権限が不足している場合や、検出されている携帯端末1の位置が車両から2m以上離れている場合などである。携帯端末1の位置は、携帯端末1からの信号の受信状況に基づき特定されうる。携帯端末1の位置推定材料としては受信強度や、信号の到来方向、ToF(Time of Flight)、RTT(Round-Trip Time)など、多様な指標を採用可能である。
一方、車両Hvを使用するためのユーザ操作が行われていない場合には(ステップS56 NO)、認証結果の有効期限が切れたか否か、すなわち、認証成功と判定してから所定時間経過したか否かを判定する。有効期限内である間は(ステップS58 NO)、スタンバイモードを維持する。一方、有効期限が切れた場合に、認証プロセッサ41は認証処理のための通信を再度実行する。
上記の構成によれば、ユーザは専用キー2や携帯端末1を操作することなく、車両Hvにアクセス可能となる。つまり、パッシブエントリパッシブスタート機能が実現され、ユーザの利便性を高めることができる。
<認証処理について>
ここでは認証ECU4が携帯端末1を認証する処理のシーケンスについて説明する。認証ECU4による携帯端末1の認証処理は、例えば図23に示すようにステップS61~S68を備える。なお、認証処理は、携帯端末1と認証ECU4との暗号化された通信リンクが確立していることを前提として実行される。
ステップS61は認証ECU4から携帯端末1に向けて、チャレンジコードを送信するステップである。チャレンジコードとしては、予め用意された乱数表を用いて生成される所定長の乱数を採用することができる。チャレンジコードは、認証ECU4が備える時刻情報(いわゆるシステム時刻)をSEEDとして用いて生成された乱数であっても良い。チャレンジコードは多様な方法で決定されうる。
ステップS62は携帯端末1が、鍵情報記憶部M1に保存されている任意のワンタイム認証鍵と、受信したチャレンジコードを、所定の方式で組み合わせることにより、レスポンスコードを生成するステップである。ステップS63は携帯端末1が、ステップS62で生成したレスポンスコード、及び、当該レスポンスコードの生成に使用したワンタイム認証鍵に対応する変動コードを、まとめて/別々に認証ECU4に返送するステップである。或るワンタイム認証鍵に対応する変動コードとは、DKS3において当該ワンタイム認証鍵の生成に使用された変動コードを指す。
ステップS64は、認証ECU4が携帯端末1から受信した変動コードと、車両側記憶部45に保存されている、通信相手に対応するサービス鍵とを用いて、DKS3のワンタイム認証鍵発行部G4と同様の手法により、ワンタイム認証鍵を生成する。ここで認証ECU4がワンタイム認証鍵の生成に使用するサービス鍵と変動コードの組み合わせは、携帯端末1がレスポンスコードの生成に使用したワンタイム認証鍵の生成材料と同じである。故にステップS64で認証ECU4が生成するワンタイム認証鍵は、携帯端末1がレスポンスコードの生成に使用したワンタイム認証鍵と同じとなる。このようなステップS64は、携帯端末1から受信した変動コードと自信が保持する携帯端末1のサービス鍵をもとに、携帯端末1がレスポンスコードの生成に使用したワンタイム認証鍵を復元する処理に相当する。
ステップS65では、認証ECU4がステップS64で生成したワンタイム認証鍵と、ステップS61で送信したチャレンジコードをもとに、検証用コードを生成するステップである。検証用コードの生成方法自体は、レスポンスコードの生成と同一である。通信相手が、車両側記憶部45に登録されているサービス鍵を保持する携帯端末1である場合には、検証用コードとレスポンスコードは一致することが期待できる。また、通信相手が未登録のデバイスである場合には、レスポンスコードが返送されないか、又は、レスポンスコードと検証用コードとが不一致となる。よって以上で生成/受信するコードは、通信相手の正当性を検証するための情報として機能する。
ステップS66では、認証ECU4がステップS65で生成した検証用コードと、携帯端末1から受信したレスポンスコードとを比較することで、通信相手の正当性を判断する。つまり、2つのコードが一致している場合には認証成功と判定する(ステップS67)。一方、2つのコードが相違する場合には認証失敗と判定する(ステップS68)。なお、チャレンジコードの送信から所定の応答待機時間が経過してもレスポンスコードが返って来ない場合、認証ECU4は認証失敗と判定しうる。
上記構成によれば、携帯端末1ごとに固有のサービス鍵をもとに生成される、ワンタイム認証鍵を用いて携帯端末1及びユーザの認証を行う。そのため、固定的な鍵情報を用いて携帯端末の認証を行う構成に比べてセキュリティを高める事ができる。また、上記の方法によれば、レスポンスコードの生成に際して認証ECU4と携帯端末1の間でやり取りされる情報は変動コードとチャレンジコードである。認証に際してワンタイム認証鍵自体は認証ECU-携帯端末間で送受信されない。ワンタイム認証鍵の生成には、別途、サービス鍵の発行フェーズで配信されるサービス鍵が必要であり、変動コードを傍受しただけではワンタイム認証鍵の復元はできない。さらに、認証に使用されるワンタイム認証鍵は毎回変更される。よって、上記の方法によれば、無関係な人物が不正に認証処理を成功させる恐れを低減可能となる。ここでの無関係な人物とは、車両Hvのサービス鍵が付与されていない人物を指す。
なお、上述した認証シーケンスは一例であって、これに限らない。携帯端末1と認証ECU4とで、レスポンスコード/検証用コードの生成に使用するワンタイム認証鍵が同一のものとなるように、各デバイスの動作は設計されていれば良い。例えば認証処理は図24に示す手順で実施されても良い。つまり、認証処理は他の一例として、ステップS61a~S69aを備えうる。
なお、図24に示す認証処理パターンを採用する場合、前提構成として、認証ECU4と携帯端末1は共通の複数のワンタイム認証鍵を保持しているものとする。例えば認証ECU4は、車両登録用パッケージとして、複数のワンタイム認証鍵を含むデータセットを受信することにより、携帯端末1が保持するものと同じワンタイム認証鍵を取得する。また、車両側記憶部45に保存されているワンタイム認証鍵が所定の補充閾値未満となった場合には、携帯端末1の認証が成功していることを条件として、携帯端末1から認証ECU4が未取得のワンタイム認証鍵を受信する。これにより、認証ECU4は、車両側記憶部45に保存されているワンタイム認証鍵を補充しうる。なお、携帯端末1は別途後述するように随時DKS3との通信によりワンタイム認証鍵を補充する。認証ECU4はDKS3から直接ワンタイム認証鍵を取得するように構成されていても良い。その他、各ワンタイム認証鍵には、それらを識別するための番号が付与されているものとする。
ステップS61aは、認証ECU4が、携帯端末1に向けて使用鍵確認信号を送信するステップである。使用鍵確認信号は、使用予定鍵の番号を問い合わせる信号である。使用予定鍵は、以降のレスポンスコードの生成に使用するワンタイム認証鍵を指す。使用鍵確認信号が調整メッセージに相当する。
携帯端末1は、使用鍵確認信号を受信すると、ステップS62aとして、使用予定鍵の番号を認証ECU4に通知する。使用予定鍵の決定方法としては任意の方法を採用可能である。例えば携帯端末1が保持するワンタイム認証鍵の中で最も番号が小さいものを使用予定鍵に選定する。
なお、携帯端末1は後述するワンタイム認証鍵の有効期限管理によって有効期限が切れたものを順次削除する。認証ECU4も同様の有効期限管理を行うが、認証ECU4とい携帯端末1の時刻情報は完全に一致しているとは限らない。また、有効期限に基づくワンタイム認証鍵の廃棄処理を行うタイミングも相違しうる。それらの事情から、携帯端末1が保持する使用予定鍵を認証ECU4が保持しているとは限らない。
認証ECU4は、携帯端末1から通知された使用予定鍵を自身が保持していない場合には、別の鍵を使用するように携帯端末1に要求しても良い。ステップS61a~S62aは認証ECU4と携帯端末1の両方が保持するワンタイム認証鍵が選択されるまで繰り返し実施されてもよい。なお、使用予定鍵のすり合わせをより効率的に行うため、使用鍵確認信号は、認証ECU4が保持するワンタイム認証鍵の中からランダムに/所定規則で選択された複数の候補の番号を含んでいても良い。携帯端末1はそれら複数の候補の中からランダムに/所定の規則に則って使用予定鍵を選択して回答するように構成されていても良い。
ステップS63aは、認証ECU4がステップS61と同様に、認証ECU4がチャレンジコードを送信するステップである。ステップS64aは認証ECU4が、携帯端末1から使用予定鍵として通知された番号に対応するワンタイム認証鍵と、ステップS63aで送信したチャレンジコードをもとに検証用コードを生成するステップである。ワンタイム認証鍵自体は、車両側記憶部45に保存されているワンタイム認証鍵が使用される。
ステップS65aは、携帯端末1が、使用予定鍵として選定した番号に対応するワンタイム認証鍵と、認証ECU4から受信したチャレンジコードと、を用いてレスポンスコードを生成するステップである。レスポンスコードの生成に使用されるワンタイム認証鍵自体は、事前にDKS3から取得して端末側記憶部105に保存済みのものである。携帯端末1は、レスポンスコードの生成が完了するとステップS66aとして当該レスポンスコードを認証ECU4に向けて送信する。
認証ECU4は、携帯端末1からレスポンスコードを受信すると、ステップS67aとして、当該レスポンスコードとステップS65aで生成した検証用コードとを比較することで、通信相手の正当性を判断する。つまり、2つのコードが一致している場合には認証成功と判定する(ステップS68a)。一方、2つのコードが相違する場合には認証失敗と判定する(ステップS69a)。
上記の方法によれば、レスポンスコードの生成に際して認証ECU4と携帯端末1の間でやり取りされる情報は、使用予定鍵の番号とチャレンジコードであり、ワンタイム認証鍵自体は通信で送受信されない。鍵番号だけではワンタイム認証鍵を復元することはできない。よって、上記の方法によっても、前述の認証方法と同様に、無関係な人物が不正に認証処理を成功させる恐れを低減可能となる。なお、上記の例では、レスポンスコードの生成前に、携帯端末1が使用予定鍵の番号を認証ECU4に通知する態様を述べたが、処理順序はこれに限らない。携帯端末1はレスポンスコードを生成した後に、認証ECU4に対して、レスポンスコードの生成に使用したワンタイム認証鍵の番号を通知しても良い。
<ワンタイム認証鍵の補充シーケンス>
ここでは図25を用いて、携帯端末1が実行するワンタイム認証鍵補充処理について説明する。ワンタイム認証鍵補充処理は、ワンタイム認証鍵が所定の補充閾値ThRp未満となったら補充する処理である。ワンタイム認証鍵補充処理は、図25に示すようにステップS71~S77を備える。ワンタイム認証鍵補充処理は、例えば所定の残数確認周期で定期的に実行される。ワンタイム認証鍵補充処理は、携帯端末1がオンライン状態であることを条件として実行されても良い。ワンタイム認証鍵補充処理は、その他、DKS3から送信された残数確認指示信号を受信したことや、ユーザが所定の残数確認操作を実施したことに基づいて開始されてもよい。ワンタイム認証鍵補充処理は、後述する保存認証鍵更新処理の一部として実行されても良い。残数確認指示信号の受信や、残数確認操作の受け付けなどが、確認イベントに相当する。
ワンタイム認証鍵補充処理の実行主体としての携帯端末1との表現は、端末プロセッサ101/ワンタイム認証鍵管理部F2と解することができる。
ステップS71は、携帯端末1が、端末側記憶部105に保存されているワンタイム認証鍵の残数(Notk)を確認するステップである。ステップS72は携帯端末1が、ステップS71で取得したワンタイム認証鍵の残数(Notk)が所定の補充閾値(ThRp)未満であるか否かを判定するステップである。Notk<ThRpを充足する場合、携帯端末1はステップS73として認証鍵要求信号をDKS3に向けて送信する。認証鍵要求信号が、ワンタイム認証鍵の配布を要求する信号である。認証鍵要求信号が補充要求信号に相当する。一方、Notk≧ThRpを充足する場合、携帯端末1はワンタイム認証鍵の補充にかかるシーケンスを終了する。
なお、ワンタイム認証鍵の補充の要否は、前述の通り、補充要否フラグで管理されうる。Notk<ThRpを充足する場合、携帯端末1は補充要否フラグをオンに設定する。また、Notk≧ThRpを充足する場合、携帯端末1は補充要否フラグをオフに設定する。仮に携帯端末1がオフライン状態である場合には補充要否フラグをオンに設定した状態を維持し、その後、オンラインとなったことに基づいて認証鍵要求信号を送信しうる。
DKS3が、携帯端末1からの認証鍵要求信号を受信すると、ステップS74として、ユーザDB33から要求元のサービス鍵を読み出す。そして、DKS3は、当該サービス鍵とランダムに/所定の規則で生成される変動コードを用いて、複数のワンタイム認証鍵を生成する(ステップS75)。ステップS75で生成するワンタイム認証鍵の個数は、一定数であってもよいし、補充閾値と残数の差に所定値(例えば100)を加えた値であっても良い。認証鍵要求信号は、DKS3が必要な発行数を特定可能なように、携帯端末1におけるワンタイム認証鍵の残数を示す情報を含んでいても良い。
DKS3は、ワンタイム認証鍵の生成が完了すると、ステップS76として、認証鍵パッケージを携帯端末1に向けて送信する。認証鍵パッケージは、個々のワンタイム認証鍵に変動コードを紐付けたデータセットである。携帯端末1はDKS3から認証鍵パッケージを受信すると、それに含まれるデータを端末側記憶部105に保存する(ステップS77)。
以上の構成によれば、携帯端末1が保持するワンタイム認証鍵が所定値未満となったことに基づいて随時補充される。よって、ワンタイム認証鍵が枯渇することによってユーザが車両Hvを使用不能となる恐れを低減できる。また、補充閾値は例えば100以上の十分に大きい値に設定される。当該設定によれば、ユーザが山間部などの通信圏外に一時的に滞在した場合であっても、通信圏外滞在中にワンタイム認証鍵が不足する恐れを低減できる。なお、デジタルキーアプリ104は、所定の最小値よりも大きい範囲において、ユーザが任意の値を補充閾値として登録可能に構成されていても良い。
<ワンタイム認証鍵の定期更新シーケンス>
ここでは図26を用いて、携帯端末1が実行する保存認証鍵更新処理について説明する。保存認証鍵更新処理は、端末側記憶部105に保存されているワンタイム認証鍵の一部又は全部を定期的に入れ替える処理である。保存認証鍵更新処理は、図26に示すようにステップS81~S83を備える。保存認証鍵更新処理は例えば所定の入れ替え周期で定期的に実行される。保存認証鍵更新処理は、携帯端末1がオンライン状態であることを条件として実行されても良い。保存認証鍵更新処理を構成する処理ステップの実行主体としての携帯端末1との表現は、端末プロセッサ101/ワンタイム認証鍵管理部F2と解することができる。
ステップS81は、携帯端末1が、自身が保持する時刻情報である端末時刻に基づいて、端末側記憶部105に保存されているワンタイム認証鍵毎の有効期限を確認するステップである。携帯端末1は、有効期限が切れているワンタイム認証鍵に関しては削除する(ステップS82)。なお、有効期限の確認は、有効期限として示されている日時と現在の日時とを比較することに相当する。端末時刻は、DKS3などの所定サーバとの通信により随時修正される。
ステップS83は携帯端末1が、DKS3と連携して、ワンタイム認証鍵補充処理を実行するステップである。ワンタイム認証鍵補充処理については前述のとおりである。なお、有効期限に基づく補充処理においては、残数(Notk)が補充閾値(ThRp)未満であるか否かによらず、ステップS82で削除した数だけ補充するように構成されていても良い。例えば携帯端末1は、ステップS82で20個のワンタイム認証鍵を削除した場合には、認証鍵要求信号として、20個のワンタイム認証鍵の発行を要求する信号を送信しても良い。認証鍵要求信号は、発行希望数を示す情報を含んでいても良い。
上記の構成によれば、定期的に携帯端末1に保存されているワンタイム認証鍵の一部又は全部が、有効期限に基づいて入れ替えられる。当該構成によれば、使用可能なワンタイム認証鍵は経時的に変更される。そのため、セキュリティをより一層強固にすることができる。
<認証ECUにおける時刻情報の更新について>
認証ECU4は、自身が保持する時刻情報であるECU内部時刻に基づいてゲスト鍵の有効期限をチェックする。そのため、ECU内部時刻は、DKS3の時刻情報と同期していることが好ましい。ここでは、図27を用いてECU内部時刻をDKS3の時刻情報と同期するように補正した上で、ゲスト鍵の有効期限する処理について説明する。ECU時刻情報の更新及びゲスト鍵の有効期限チェックにかかる一連のシーケンスは、図27に示すように、ステップS91~S97を含む。なお、少なくともECU内部時刻の更新にかかるシーケンスは、認証ECU4と携帯端末1との間でBLEの通信リンクが確立していることを条件として実行される。ここでの携帯端末1は、オーナ端末又はゲスト端末のどちらであってもよい。
ステップS91は、認証ECU4が携帯端末1に向けて時刻要求信号を送信する。時刻要求信号は、DKS3が保持している時刻情報であるサーバ時刻情報を要求する信号である。時刻要求信号は、例えばECU番号あるいは車両IDなどの、要求元を示す情報を含んでいても良い。
携帯端末1は、認証ECU4からの時刻要求信号をBLE通信で受信すると、ステップS92として、セルラー通信又はWi-Fi通信のフォーマットに準拠した時刻要求信号を生成し、DKS3に送信する。ステップS92は認証ECU4からのデータをDKS3に転送するステップに相当する。なお、携帯端末1からDKS3に送信する時刻要求信号には、DKS3がサーバ時刻情報の返送先を特定可能なように、携帯端末1の情報を含んでいることが好ましい。
DKS3は、携帯端末1からの時刻要求信号を受信すると、サーバ時刻情報を要求元の携帯端末1に返送する(ステップS93)。また、携帯端末1は、DKS3から受信したサーバ時刻情報をBLE通信で認証ECU4に転送する(ステップS94)。
認証ECU4は、携帯端末1からサーバ時刻情報を受信すると、当該サーバ時刻情報を用いてECU内部時刻を修正する(ステップS95)。ECU内部時刻は、認証ECU4が保持する時刻情報を指す。なお、各デバイスにおけるデータの受信処理には、チェックコードを用いた正当性の検証処理が含まれていてもよい。チェックコードを用いた検証処理の結果、正当性が認められなかった場合には、要求は棄却されうる。以上で述べたステップS91~S95がECU時刻情報の更新にかかるシーケンスSq1に相当する。
認証ECU4は、例えばECU内部時刻の修正が行われたことに基づいて、修正された時刻情報を用いて車両側記憶部45に登録されているゲスト鍵毎の有効期限を確認する(ステップS96)。そして、認証ECU4は、有効期限が切れているゲスト鍵のデータを削除する(ステップS97)。なお、ステップS97は、鍵データは残したまま、フラグなどを用いて有効期限切れのゲスト鍵を無効化する処理であっても良い。
ステップS96~S97が、ゲスト鍵の有効期限チェックにかかるシーケンスSq2に相当する。なお、ECU時刻情報の更新にかかるシーケンスSq1と、ゲスト鍵の有効期限チェックにかかるシーケンスSq2は、別々に実施されても良い。ゲスト鍵の有効期限のチェックにかかるシーケンスSq2は、ECU時刻情報が更新された場合に限らず、所定の周期で実行されても良い。また、ゲスト鍵の有効期限のチェックは、走行用電源がオンからオフに切り替わったタイミングや、オフからオンに切り替わったことに基づいて実行されても良い。
認証ECU4が備える時刻情報は、認証ECU4が備えるクロック発振器の精度等により、実際の時刻あるいはサーバ時刻とずれうる。以上の構成によれば、携帯端末1と接続するたびに、ECU内部時刻が修正される。そのため、認証ECU4が誤った時刻情報に基づいてゲスト鍵を削除/無効化してしまう恐れを低減できる。
<オーナ鍵の削除処理について>
車両Hvの売買/譲渡におって車両Hvのオーナは変わりうる。オーナが変わった場合には、古いオーナのサービス鍵などは削除されることが好ましい。そのような事情から車両用デジタルキーシステムSysは、ゲスト鍵だけでなく、オーナ鍵の情報を削除可能に構成されている必要がある。
本実施形態のDKS3は、オーナ端末及び車載HMIのどちらのデバイスからもオーナ鍵の削除要求を受付可能に構成されている。DKS3は、オーナ端末に対する操作に基づいてオーナ鍵を削除する場合、処理全体としては図28に示すように端末内データ削除フェーズPh3と、車両内データ削除フェーズPh4とを含みうる。端末内データ削除フェーズPh3は、携帯端末1から指定されたサービス鍵(ここではオーナ鍵)のデータを削除するフェーズである。車両内データ削除フェーズPh4は、認証ECU4から指定されたサービス鍵を削除するフェーズである。ここではオーナ端末に対する操作に基づいてオーナ鍵を削除する場合のシーケンスについて図29、図30を用いて説明する。
図29は、端末内データ削除フェーズPh3に対応する各デバイスのインタラクションを示すシーケンス図である。オーナ鍵データを携帯端末1から削除するシーケンスは、図29に示すように、ステップT10~T18を含む。
ステップT10は、ステップS10と同様に、DKS3が、ユーザ/携帯端末1を認証するステップである。ステップT11は、オーナ端末としての携帯端末1が、ユーザの操作に基づいてオーナ鍵削除要求信号を送信するステップである。オーナ鍵削除要求信号は、例えばデバイスID、ユーザID、又はサービス鍵IDなど、DKS3が要求元を特定するための情報を含む。また、オーナ鍵削除要求信号は、削除対象とするサービス鍵を特定するための情報としてサービス鍵ID、ECU番号、又は車両IDの情報などを含んでいても良い。1人のユーザが複数の車両のオーナである場合を想定すると、オーナ鍵削除要求信号は削除対象とするサービス鍵を特定するための情報を含んでいることが好ましい。
DKS3(サービス鍵削除部G5)は、オーナ端末からオーナ鍵削除要求信号を受信すると、ステップT12として、車両用オーナ削除パッケージをオーナ端末に向けて送信する。車両用オーナ削除パッケージは、車両Hvから全てのサービス鍵に関連するデータを削除するためのデータセットである。車両用オーナ削除パッケージは、端末チェックコードや車両チェックコードを含みうる。オーナ端末は、DKS3から配信された車両用オーナ削除パッケージを受信すると、端末チェックコードを用いてその正当性を検証した上で、車両用データ一時記憶部M2に保存する(ステップT13)。
また、DKS3は、車両Hvに対してゲスト鍵が発行されている場合、オーナ端末からのオーナ鍵削除要求信号に基づいて、ゲスト端末に向けてゲスト鍵削除コマンドを送信する(ステップT14)。車両Hvに対してゲスト鍵が発行されている場合とは、換言すれば削除対象とするオーナ鍵に紐づくゲスト鍵が存在する場合に相当する。ゲスト鍵削除コマンドは、ゲスト端末から車両Hv用のサービス鍵にかかるデータを削除するように指示する信号である。ゲスト鍵削除コマンドは、削除対象とするサービス鍵IDや、端末チェックコードなどの情報を含む。ゲスト端末は、ゲスト鍵削除コマンドを受信すると、端末チェックコードを用いてその正当性を検証した上で、鍵情報記憶部M1から指定されたサービス鍵に関連するデータを全て削除する(ステップT15)。より好ましい態様として、ゲスト端末は、ゲスト鍵の削除処理が完了するとその旨をDKS3に報告する。
DKS3は、オーナ端末からのオーナ鍵削除要求信号に基づいて、オーナ端末に向けてオーナ鍵削除コマンドを送信する(ステップT16)。オーナ鍵削除コマンドは、オーナ端末から車両Hv用のサービス鍵にかかるデータを削除するように指示する信号である。オーナ鍵削除コマンドは、削除対象とするサービス鍵IDや、端末チェックコードなどの情報を含む。オーナ鍵削除コマンド及びゲスト鍵削除コマンドは、サービス鍵を削除するための指示コマンド、すなわちサービス鍵削除コマンドの一種に相当する。
オーナ端末は、オーナ鍵削除コマンドを受信すると、端末チェックコードを用いてその正当性を検証した上で、鍵情報記憶部M1から指定されたサービス鍵に関連するデータを全て削除する(ステップT17)。なお、オーナ鍵削除コマンドは、車両用データ一時記憶部M2に保存されているデータにまでは作用しない。つまり、オーナ端末は、オーナ鍵削除コマンドを受信しても、車両用データ一時記憶部M2に保存されている車両用オーナ削除パッケージは削除せずに所定期間残す。より好ましい態様として、オーナ端末は、オーナ鍵の削除処理が完了するとその旨をDKS3に報告する。
DKS3は、例えばオーナ端末及びゲスト端末からサービス鍵の削除が完了したことを受信したことに基づいて、削除要求されたオーナ鍵に関するデータをユーザDB33及び車両DB32から削除する(ステップT18)。なお、サーバ内データの削除は、車両Hvから、車両内のデータ削除も完了したことの報告を受信してから実行されてもよい。本実施形態では車両用オーナ削除パッケージとオーナ鍵削除コマンドを別々に送信するが、各種データの送信態様はこれに限らない。車両用オーナ削除パッケージとオーナ鍵削除コマンドは一連のデータとしてまとめて送信されても良い。
次の図30を用いて車両Hvからオーナ鍵に関連するデータを削除するシーケンスについて説明する。オーナ鍵に関連する情報には、ゲスト鍵のデータも含まれる。車両Hvからオーナ鍵に関連するデータを削除するシーケンスは、ステップT21~T24を含む。なお、オーナ鍵の登録シーケンスと違って、認証ECU4は通常モードでもオーナ鍵の削除指示は受け付ける。図30の説明における携帯端末1とは、車両用オーナ削除パッケージを保持している携帯端末1であり、旧オーナ端末と呼ぶことができる。
車両用オーナ削除パッケージを保持している携帯端末1が車両HvのBLE通信圏内に入ると、サービス鍵を保持している状態と同様に、認証ECU4は当該携帯端末1とBLEによる通信接続を行う(ステップT21)。そして、暗号通信が開始される(ステップT22)。携帯端末1は、認証ECU4との暗号通信リンクが確立したことに基づき、車両用データ一時記憶部M2に保存されている、車両Hv向けの車両用オーナ削除パッケージを送信する(ステップT23)。
認証ECU4は、携帯端末1から車両用オーナ削除パッケージを受信すると、当該パッケージに含まれる命令/プログラムに基づいて、車両側記憶部45に保存されている全てのサービス鍵に関連するデータを削除する。このようにオーナ端末は、認証ECU4との間にBLE通信のリンクが確立している場合に認証ECU4からオーナ鍵を削除可能に構成されている。
なお、ステップT11~T13を含むシーケンスは、オーナ端末がDKS3と通信接続している状態において実行されても良い。その場合、オーナ端末がDKS3から取得した車両用オーナ削除パッケージは、ステップT23により速やかに認証ECU4へと転送され、車両側記憶部45からもオーナ鍵が削除されうる。なお、認証ECU4は、車両用オーナ削除パッケージを受信した場合、受信データに含まれる車両チェックコードに基づいて受信データの正当性を検証した上で、全てのサービス鍵データの削除を実行してもよい。
<オーナ権限によるゲスト鍵の削除処理について>
ゲストからの申し出や利用規約違反等に基づき、オーナは、有効期限内であってもゲスト鍵を削除可能に構成されていることが好ましい。ここではDKS3は、オーナ端末からの要求に基づき、指定されたゲスト鍵を削除する処理の流れについて図31、図32を用いて説明する。
オーナ鍵の削除と同様に、ゲスト鍵の削除処理も、携帯端末1からゲスト鍵に関連するデータを削除するフェーズPh3と、車両Hvからゲスト鍵のデータを削除するフェーズPh4に分けることができる。図31は、携帯端末1からゲスト鍵データを削除するフェーズPh3に対応する各デバイスのインタラクションを示すシーケンス図である。ゲスト鍵データを携帯端末1から削除するシーケンスは、図31に示すように、ステップT30~T39bを含む。
なお、オーナの操作を受け付けるデバイスは携帯端末1に限らず、デスクトップ/ノートPC(ラップトップ)であってもよい。以降におけるオーナ端末は、オーナが操作するデスクトップ/ノートPCであってもよい。
ステップT30は、オーナ端末におけるデジタルキーアプリ104が、操作者がオーナであることを認証するステップである。デジタルキーアプリ104における認証方法は、パスワードを用いる方法であっても良いし、生体情報を用いる方法であっても良い。オーナであるか否かの検証には、パスワードと生体情報の両方が使用されても良い。ユーザ認証は2段階認証など多用な方法が採用可能である。
ステップT31は、オーナ端末が、タッチパネル12から入力される操作信号に基づき、ディスプレイ11に削除対象選択画面を表示するステップである。削除対象選択画面は、削除対象とするゲスト鍵、又は、それに対応するゲストを選択するための画面である。削除対象選択画面は、ゲスト又はゲスト鍵のリストを含む。なお、削除対象選択画面は、ゲストの一覧を示すゲストリスト画面あるいはゲスト削除画面と呼ぶこともできる。
ステップT32では、オーナ端末が、タッチパネル12の出力信号が示す、削除対象選択画面に対するユーザ操作に基づいて、削除対象とするゲスト鍵を特定する。削除対象とするゲスト鍵を選択するユーザ操作が削除指示操作に相当する。オーナ端末は、削除対象とするゲスト鍵がオーナによって選択されると、当該ゲスト鍵を対象とするゲスト鍵削除要求信号をDKS3に送信する(ステップT33)。ゲスト鍵削除要求信号は、削除対象とするサービス鍵を特定するための情報として、削除対象のサービス鍵ID又はユーザIDを含む。なお、ゲスト鍵削除要求信号は、複数のゲスト鍵をまとめて削除するように要求する信号であっても良い。例えばゲスト鍵削除要求信号は、オーナ鍵に紐づく全てのゲスト鍵をまとめて削除するように要求する信号であっても良い。
DKS3は、ゲスト鍵削除要求信号を受信すると、当該受信信号にて指定されているゲスト鍵に紐づくゲスト端末に向けて、ゲスト鍵削除コマンドを送信する(ステップT34)。ゲスト端末は、ゲスト鍵削除コマンドを受信すると、端末チェックコードを用いてその正当性を検証した上で、指定されたサービス鍵に関連するデータを鍵情報記憶部M1から全て削除する(ステップT35)。ゲスト鍵削除コマンドが削除指示信号に相当する。ゲスト端末は、より好ましい態様として、ゲスト鍵の削除処理が完了するとその旨をDKS3に報告する。
ステップT36は、DKS3が、オーナ端末に向けてゲスト鍵の削除が完了したことを通知するステップである。DKS3は、ゲスト鍵削除コマンドの送信が完了したことに基づいてゲスト鍵削除完了通知を送信してもよいし、ゲスト端末から削除完了の報告を受信してからゲスト鍵削除を送信してもよい。
オーナ端末は、DKS3からゲスト鍵削除完了通知を受信すると、削除完了通知画面をディスプレイ11に表示する(ステップT37)。削除完了通知画面は、削除したゲスト鍵に紐づくユーザ名などを含みうる。
また、DKS3は、オーナ端末、及び、削除対象に設定されたゲスト鍵に対応するゲスト端末に向けて、車両用ゲスト削除パッケージを送信する(ステップT38a、T38b)。各デバイスは、車両用ゲスト削除パッケージを受信すると、それを車両用データ一時記憶部M2に保存する(ステップT39a、T39b)。車両用ゲスト削除パッケージが削除用データセットに相当する。
次に、図32を用いて車両Hvからゲスト鍵に関連するデータを削除するシーケンスについて説明する。車両Hvからゲスト鍵に関連するデータを削除するシーケンスは、ステップT41~T44を含む。車両Hvからゲスト鍵に関連するデータを削除するシーケンスに登場するゲスト端末とは、車両用ゲスト削除パッケージを保持しているゲスト端末に相当する。
オーナ端末又はゲスト端末としての携帯端末1が車両HvのBLE通信圏内に入ると、認証ECU4は当該携帯端末1とBLEによる通信接続を行う(ステップT41)。そして、暗号通信が開始される(ステップT42)。携帯端末1は、認証ECU4との暗号通信リンクが確立したことに基づき、車両用データ一時記憶部M2に保存されている、車両Hv向けの車両用ゲスト削除パッケージを送信する(ステップT43)。
認証ECU4は、オーナ端末/ゲスト端末から車両用ゲスト削除パッケージを受信すると、当該パッケージに含まれる命令/プログラムに基づいて、削除対象に指定されているゲスト鍵に関連するデータを、車両側記憶部45から削除する。
なお、ステップT41~T43を含むシーケンスは、オーナ端末/ゲスト端末がDKS3と通信接続している状態において実行されても良い。また、認証ECU4は、車両用ゲスト削除パッケージを受信した場合、受信データに含まれる車両チェックコードに基づいて受信データの正当性を検証した上で、全てのサービス鍵データの削除を実行してもよい。
上記の構成によれば、オーナは任意のタイミングで任意のゲスト鍵を削除可能となる。よって、ゲストによる車両Hvの利用状況や、オーナの都合に応じて、ゲストによる車両Hvの使用を停止させることが可能となる。
なお、ゲストが車両Hvを使用している際に急にゲスト鍵が削除されると、ゲストに不都合が生じうる。特に、ゲストが車両Hvを用いて本来の車両Hvの保管場所から離れた場所に移動している場合に、急に車両Hvが使用不可となると、ゲストもオーナも不都合が生じうる。そのような事情からゲスト鍵の削除の申請から、実際に削除処理が執行されるまでには一定時間の猶予が設けられうる。ゲスト鍵等の削除は、車両Hvが規定された保管場所に駐車されていることを条件として実行されてもよい。DKS3は、オーナによるゲスト鍵の削除申請が行われたことを示す画面を該当するゲスト端末に表示させても良い。
なお、上記の通り、オーナ端末は、車両に紐づくゲスト鍵を選択的に削除するための操作は受付可能に構成されている。一方、ゲスト鍵を削除せずに有効期限又は権限にかかる設定だけを変更する操作は受け付け不能に構成されている。DKS3もまた、発行済みのサービス鍵に関し、当該サービス鍵を残したまま、権限設定及び有効期限を変更することは不能に構成されている。オーナは、あるゲストに対するサービス鍵の権限設定や有効期限を変更したい場合は、該当するゲスト鍵を一旦削除したのちに、所望の権限設定を行ったゲスト鍵を発行する事となる。
以上では、オーナがオーナ端末等を操作することでゲスト鍵を削除する場合を述べたが、ゲスト鍵はゲスト自身の操作でも削除されうる。DKS3は、ゲストの操作に基づき、ゲスト鍵を削除した場合には、当該ゲスト鍵に紐づくオーナ端末に対してゲスト鍵が削除されたことの通知を送信する。オーナ端末は、当該通知に基づき、例えば削除されたゲスト鍵又はそのユーザ名を含むゲスト削除画面を表示する。あるいは、DKS3からの通知に基づき、ゲストごとのステータス情報を更新する。
<車載HMIを用いてサービス鍵の削除処理について>
ここでは図33を用いて車載HMIに対するユーザ操作に基づき、ユーザにより指定されたサービス鍵を削除する処理の流れについて説明する。車載HMIに対するユーザ操作に基づき、ユーザにより指定されたサービス鍵を認証ECU4及び関連する携帯端末1から削除するシーケンスは、図33に示すように、ステップT50~T57を含む。なお、前提として、DKS3は、車載HMIを介して、操作者の権限に応じたサービス鍵の削除要求を受付可能に構成されている。例えば車載HMI50の操作者がオーナである場合、認証ECU4及びDKS3は、ゲスト鍵のみならず、オーナ鍵に対する削除指示も車載HMI50を介して受付可能に構成されている。図33を構成するステップのうち、認証ECU4が実行するステップについて、その具体的な実行主体は認証プロセッサ41と解することができる。
ステップT50は認証ECU4が、車載HMI50を操作しているユーザを認証するステップである。認証方法としては前述の通り、パスワードの入力を伴う方法や生体情報を用いる方法など多様な方法を採用可能である。当該ステップT50は、車載HMI50の操作者を識別するステップと解することができる。また、認証ECU4によるユーザの認証は、認証ECU4による携帯端末1の認証結果が流用されても良い。認証ECU4は、通信相手としての携帯端末1に対応するユーザを、車載HMI50の操作者とみなしても良い。
ステップT51は、入力装置52から入力される操作信号に基づいて認証ECU4がディスプレイ51にサービス鍵削除画面を表示する。サービス鍵削除画面は、削除対象とするサービス鍵ID、又は、ユーザを選択するための画面である。操作者がオーナであると認識されている場合、サービス鍵削除画面は、削除対象としてオーナ鍵も選択可能に構成されている。サービス鍵削除画面は、操作者としてのユーザの権限で削除可能なサービス鍵のリスト、又は、対応するユーザのリストを含みうる。
ステップT52では認証ECU4が、入力装置52の出力信号が示す、サービス鍵削除画面に対するユーザ操作に基づいて、削除対象とするサービス鍵を特定する。そして認証ECU4は、ステップT53として車両側記憶部45から削除対象に指定されたサービス鍵に関するデータを削除する。認証ECU4は車両側記憶部45からのデータ削除が完了すると、削除完了画面を表示する(ステップT54)。削除完了画面は削除したサービス鍵に紐づくユーザ名などの情報を含みうる。なお、削除完了画面の表示は任意の要素であって省略されても良い。
認証ECU4は、指定されたサービス鍵に関連するデータの削除が完了すると、ステップT55として、サービス鍵の削除シーケンスが完了したことを示す削除完了通知信号をDKS3に向けて送信する。削除完了通知信号は、削除したサービス鍵のID又はそれに対応するユーザIDなどを含む。なお、削除対象としてオーナ鍵が指定された場合には、ステップT53にて、車両側記憶部45からすべてのサービス鍵が削除される。
DKS3は、認証ECU4からの削除完了通知信号を受信すると、当該受信信号にて指定されているサービス鍵に紐づく携帯端末1に向けて、サービス鍵削除コマンドを送信する(ステップT56)。仮に車載HMI50に対する操作に基づき車両側記憶部45からオーナ鍵が削除された場合には、DKS3は、オーナ端末及び当該オーナ端末に紐づくすべてのゲスト端末に向けて、サービス鍵削除コマンドを送信する。
携帯端末1は、サービス鍵削除コマンドを受信すると、端末チェックコードを用いてその正当性を検証した上で、鍵情報記憶部M1から指定されたサービス鍵に関連するデータを全て削除する(ステップT57)。各携帯端末1は、より好ましい態様として、サービス鍵の削除処理が完了するとその旨をDKS3に報告する。
上記の通り、オーナは、車載HMI50を用いても任意のゲストのサービス鍵を削除可能である。また、オーナは、車載HMI50を用いてオーナ鍵も削除可能である。なお、オーナの代わりに、ディーラショップのスタッフが車載HMI50を用いて同様の削除処理を実行可能である。
なお、認証ECU4は、セキュリティ解除ツール又はDKS3からセキュリティ解除信号が入力されたことを条件として車載HMI50を用いたオーナ鍵の削除処理を実行するように構成されていても良い。そのような構成によれば、操作ミスや不正な操作によってオーナ鍵及びそれに紐づく全てのゲスト鍵が削除されてしまう恐れを低減できる。オーナ鍵の削除はゲスト鍵の削除よりもその影響範囲が大きい。故に、オーナ鍵の削除に向けたユーザ認証は、ゲスト鍵の削除に向けたユーザ認証よりも、より高度/複雑に構成されていてもよい。例えばオーナ鍵の削除するためのユーザ認証のステップ数は、ゲスト鍵を削除する際のユーザ認証ステップ数よりも多く設定されていても良い。
また、DKS3は、以上で述べたようにオーナ鍵の削除操作が車載HMI50を介して実施されたか否かに応じて、オーナ端末に対して異なるデータを送信する。例えばオーナ鍵の削除操作がオーナ端末で行われた場合には、DKS3はオーナ端末に向けて、車両用オーナ鍵削除パッケージを送信する一方、オーナ鍵の削除操作が車載HMI50で行われた場合には、DKS3は車両用オーナ鍵削除パッケージを送信しない。当該構成によれば、オーナ端末のデータ通信量を抑制できる。また、そもそもオーナ鍵の削除操作が車載HMI50で行われた場合には、認証ECU4はDKS3から削除用データセットを受信することなく、すべてのサービス鍵を削除する。つまり、DKS3の通信量自体も削減できる。
<DKSによるサービス鍵の管理方法の補足>
DKS3は、1つのオーナ鍵に紐づくゲスト鍵は、何れもオーナ鍵のサービス鍵IDによって管理する。DKS3は、発行権付きゲスト鍵を削除した場合であっても、図34に示すように、当該発行権付きゲスト鍵の権限で発行された、孫世代/第3世代のゲスト鍵は削除しない。孫世代/第3世代のゲスト鍵はオーナ鍵に紐づくゲスト鍵として存続する。なお、図34中の1xはオーナ鍵を、1yは発行権付きゲスト鍵を、1zは孫世代/第3世代のゲスト鍵を、それぞれ示している。1vは、オーナ鍵が発行したゲスト鍵であって、発行権の有無は任意である。便宜上、1つのオーナ鍵に紐づくゲスト鍵のグループをファミリとも称する。ファミリを構成するサービス鍵はオーナ鍵IDで管理される。
さらに、DKS3は、ユーザによる携帯端末1の機種変更の申請を受付可能に構成されている。ユーザによって機種変更が行われた場合、デバイスIDは変化しうる。しかしながら、サービス鍵IDに関しては、機種変更が行われた場合であっても、変更されない。ファミリはオーナ鍵のサービス鍵IDによって形成されるため、仮にオーナが携帯端末1の機種を変更した場合であっても、ゲスト鍵には影響はなく、ファミリ自体は存続する。例えばオーナが携帯端末1の機種を変更した場合であっても、オーナ端末のデバイスID及びサービス鍵が変更されるだけとなる。発行権限付きゲスト鍵を有するゲストの携帯端末1が変更された場合も同様である。つまり、車両用デジタルキーシステムSysは、ゲスト鍵の発行元となる携帯端末1が別のデバイスに変更された場合であっても、他のゲスト鍵に影響を及ぼさないように構成されている。
DKS3は、例えば図35に示す手順で、オーナ端末変更処理を実施する。オーナ端末変更処理は、オーナ端末の機種変更にかかる処理である。図35に示すようにオーナ端末認証処理は、ステップT61~T68を含みうる。オーナ端末変更処理は、携帯端末1又はPCなどから、機種変更の申し出に相当する信号が入力されたことに基づいて開始される。オーナが操作する端末は、機種変更前の携帯端末1である旧端末であってもよいし、機種変更後の携帯端末1である新端末であってもよい。また、オーナが機種変更を申請するデバイスは、デスクトップ/ラップトップPCなど、インターネットにアクセスな端末であれば何でも良い。オーナによる所定のデータ引き継ぎ操作により、新端末にもデジタルキーアプリ104はインストールされ、且つ、ユーザID等の情報が登録されているものとする。
ステップT61は、操作者/申請者がオーナであることを認証するステップである。オーナであることの認証方法は前述の通りである。DKS3は、操作者がオーナであることを認証すると、ユーザID等に基づいてユーザDB33を参照し、オーナの旧デバイスID及びサービス鍵IDを取得する(ステップT62)。旧デバイスIDは、旧端末のデバイスIDを指す。また、DKS3は新端末とデータ通信を実施することで、新端末のデバイスIDである新デバイスIDを取得する(ステップT63)。ステップT64は、DKS3が新デバイスIDを用いてオーナ鍵としてのサービス鍵を新規発行するステップである。具体的なサービス鍵の生成方法は前述のとおりである。
DKS3は、新オーナ鍵を生成すると、ユーザDB33の登録内容を更新する(ステップT65)。例えば、オーナのユーザデータにおいては、旧オーナ鍵を削除して、新オーナ鍵を登録する。旧オーナ鍵とは機種変更前まで使用されていたサービス鍵であって、旧デバイスIDに基づくサービス鍵である。なお、本実施形態ではオーナのデバイスが変更された場合であってもオーナのサービス鍵IDは変更されずに従前のIDが維持されるため、ゲストのユーザデータに関しては特段の処置は不要である。他の態様として、サービス鍵IDも変更される場合には、DKS3は、ゲスト鍵に紐づくオーナのサービス鍵IDを新オーナ鍵IDに置き換えうる。その他、DKS3は、新オーナ鍵を生成すると、新オーナ鍵に対応するワンタイム認証鍵を所定数作成する。
そして、DKS3は、新端末に向けて端末用鍵交換パッケージを送信する(ステップT66)。端末用鍵交換パッケージは、少なくとも新オーナ鍵を含む。端末用鍵交換パッケージは、鍵情報記憶部M1に保存されているオーナ鍵を新オーナ鍵に置き換えさせるコマンド/プログラムであってもよい。端末用鍵交換パッケージは、新オーナ鍵に対応する複数のワンタイム認証鍵と、変動コードと、を含みうる。その他、端末用鍵交換パッケージは、端末チェックコードを含んでいても良い。ワンタイム認証鍵にかかるデータセットは、認証鍵パッケージとして端末用鍵交換パッケージとは別に送信されても良い。
新端末としての携帯端末1は、DKS3から端末用鍵交換パッケージを受信すると、端末チェックコードをもとにデータの正当性を検証したのちに、新オーナ鍵にかかる受信データを鍵情報記憶部M1に保存する。具体的には、端末プロセッサ101は、受信した新オーナ鍵としてのサービス鍵と、変動コードと紐付けられた複数のワンタイム認証鍵を保存する。
また、DKS3は、新オーナ鍵に関するデータを認証ECU4に登録するためのデータセットである車両用鍵交換パッケージを、新端末に送信する。車両用鍵交換パッケージは、新オーナ鍵としてのサービス鍵と、車両チェックコードを含む。車両用鍵交換パッケージは、車両側記憶部45に保存されているオーナ鍵を新オーナ鍵に置き換えさせるコマンド/プログラムであってもよい。
新端末としての携帯端末1は、車両用鍵交換パッケージを受信すると、車両用データ一時記憶部M2に保存する。そして、認証ECU4とBLE暗号通信リンクが確立したことに基づいて、車両用鍵交換パッケージを認証ECU4に転送する。つまり、車両用鍵交換パッケージもまた、車両用登録パッケージと同様に携帯端末1を介して認証ECU4に配信される。
認証ECU4は車両用鍵交換パッケージを受信すると、車両チェックコードをもとにデータの正当性を検証したのちに、新オーナ鍵にかかる受信データを車両側記憶部45に保存する。具体的には、認証プロセッサ41は、受信した新オーナ鍵としてのサービス鍵をオーナ鍵記憶部451に保存する。なお、これに伴い認証ECU4は、オーナ鍵記憶部451に保存されていた旧オーナ鍵を削除する。サービス鍵IDに関しては機種変更後も維持されるため、削除せずに流用しても良い。もちろんサービス鍵IDも一旦削除した後に新規登録されてもよい。
なお、認証ECU4は、オーナ鍵記憶部451にオーナ鍵が保存されている状態で、オーナ鍵の登録操作を受け付けた場合には、所定の警告メッセージをディスプレイ11、51に表示させても良い。警告メッセージは、例えばオーナがすでに登録済みであることを示すメッセージである。その他、認証ECU4は、オーナ鍵記憶部451にオーナ鍵が保存されている状態でオーナ鍵の登録操作を受け付けた場合には、所定のパスワードの入力を促す画面をディスプレイ11、51に表示させても良い。ここで入力を要求するパスワードとしては、例えば、オーナのユーザIDに紐づくパスワード、あるいは、オーナ鍵を削除するための所定コードを採用することができる。
その他、DKS3は、ステップT68として、旧端末に向けてサービス鍵削除コマンドを送信する。これにより、旧端末がオンライン状態を維持している場合には、旧端末からサービス鍵が削除される。なお、ステップT68は任意の要素であって省略されても良い。
<システム全体にかかるその他の補足>
以上では、車両Hvは、一例として個人によって所有される車両とし、オーナもまた個人である場合を想定したが、上記の車両用デジタルキーシステムSysはMaaS(Mobility as a Service)にも適用可能である。オーナは、例えば車両貸し出しサービスやシェアリングサービスを提供する企業/組織であってもよい。その場合、当該企業/組織に属するオペレータとしてのスタッフが、オーナ端末の操作を行いうる。また、オーナが保有する車両Hvは50台や100台など、多数であってもよい。オーナとしてのサービス鍵IDは、複数の車両に対して共通であってもよいし、車両ごとに相違していても良い。DKS3の構成は、事業の形態に応じて、車両情報を管理するサーバと、サービス鍵を管理するサーバと分けられていても良い。
上述した実施形態では認証ECU4はサービス鍵の登録/削除にかかるデータを、携帯端末1から取得する構成について述べたが、これに限らない。認証ECU4はセルラー通信又はWi-Fi通信によって、携帯端末1を介さずにDKS3から各種パッケージを受信するように構成されていても良い。
<付言(1)>
以上で述べた携帯端末1は、
ユーザの操作に基づいて車両を使用するためのサービス鍵を生成するサーバ(3)に向けて、当該ユーザが所有する車両についてのサービス鍵であって、オーナとしての権限を有するオーナ鍵を発行するように要求する、オーナ鍵発行要求信号を送信することと、
オーナ鍵発行要求信号に対するサーバの応答として、サーバからオーナ鍵を受信することと、
受信したオーナ鍵を所定の端末側記憶装置(105)に保存することと、
車両に搭載されている車両用装置(4)と近距離無線通信の通信リンクが確立していることを条件として、オーナ鍵を車両用装置に登録するための通信を開始することと、を実行するように構成されている、携帯可能な汎用的情報処理端末と解することができる。
また、デジタルキーアプリ104は、汎用的なコンピュータを携帯端末1として実行させるコンピュータプログラムと解することができる。加えて、デジタルキーアプリ104が保存されている記憶媒体は、コンピュータを上記の携帯端末1として動作させる命令セットが格納された記憶媒体に相当する。
<付言(2)>
本開示に記載の装置、システム、並びにそれらの手法は、コンピュータプログラムにより具体化された一つ乃至は複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。また、本開示に記載の装置及びその手法は、専用ハードウェア論理回路を用いて実現されてもよい。さらに、本開示に記載の装置及びその手法は、コンピュータプログラムを実行するプロセッサと一つ以上のハードウェア論理回路との組み合わせにより構成された一つ以上の専用コンピュータにより、実現されてもよい。
例えば認証プロセッサが備える機能の一部又は全部はハードウェアとして実現されても良い。或る機能をハードウェアとして実現する態様には、1つ又は複数のICなどを用いて実現する態様が含まれる。プロセッサ(演算コア)としては、CPUや、MPU、GPU、DFP(Data Flow Processor)などを採用可能である。また、認証プロセッサが備える機能の一部又は全部は、複数種類の演算処理装置を組み合わせて実現されていてもよい。認証プロセッサが備える機能の一部又は全部は、システムオンチップ(SoC:System-on-Chip)や、FPGA、ASICなどを用いて実現されていても良い。FPGAはField-Programmable Gate Arrayの略である。ASICはApplication Specific Integrated Circuitの略である。上記補足説明は、端末プロセッサ及びサーバプロセッサついても同様に適用可能である。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体(non- transitory tangible storage medium)に記憶されていてもよい。プログラムの保存媒体としては、HDD(Hard-disk Drive)やSSD(Solid State Drive)、フラッシュメモリ等を採用可能である。
1 携帯端末、2 専用キー、3 デジタルキーサーバ(DKS)、4 認証ECU、7 車載システム、10 端末制御部、11 ディスプレイ、12 タッチパネル(入力装置)、16・57 BLE通信部(近距離通信部)、17 セルラー通信部(ネット接続部)、18 Wi-Fi通信部(ネット接続部)101 端末プロセッサ、104 デジタルキーアプリ、105 端末側記憶部(端末側記憶装置)、M1 怪情報記憶部、M2 車両用データ1次記憶部、20 制御回路、21・56 近接場通信部、30 データ処理部、32 車両データベース、33 ユーザデータベース、301 サーバプロセッサ、303 ストレージ、40 車両制御部、41 認証プロセッサ、45 車両側記憶部(車両側記憶装置)、451 オーナ鍵記憶部、452 ゲスト鍵記憶部、50 車載HMI、51 ディスプレイ、52 入力装置。

Claims (15)

  1. 車両に搭載されて使用される車両用装置(4)と、
    ユーザによって携帯される情報処理端末である携帯端末(1)と、
    前記車両を使用するための鍵情報として、前記携帯端末ごとに固有のサービス鍵を生成し、前記携帯端末及び前記車両用装置のそれぞれに直接的に又は間接的に配布するサーバ(3)と、を含む車両用デジタルキーシステムであって、
    前記車両用装置は、前記サービス鍵をもとに生成される、使い捨てのワンタイム認証鍵を用いて前記携帯端末の正当性を判断するように構成されており、
    前記サーバは、前記携帯端末からの要求に基づき、複数の前記ワンタイム認証鍵を生成し、有効期限付きで前記携帯端末に配信し、
    前記携帯端末は、
    前記サーバから前記ワンタイム認証鍵を受信し、所定の端末側記憶装置(105)に保存することと、
    前記ワンタイム認証鍵ごとの有効期限に基づき、前記端末側記憶装置に保存されている前記ワンタイム認証鍵の一部又は全部を入れ替えるように構成されている車両用デジタルキーシステム。
  2. 請求項1に記載の車両用デジタルキーシステムであって、
    前記車両用装置と前記携帯端末は、所定の近距離無線通信規格に準拠した無線通信である近距離無線通信によって相互にデータ通信可能に構成されており、
    前記ワンタイム認証鍵は、前記サービス鍵に毎回異なる変動コードを組み合わせることによって生成されるコードであって、
    前記携帯端末は、
    前記ワンタイム認証鍵とともに、当該ワンタイム認証鍵の生成に使用された前記変動コードを示す情報を前記サーバから受信することと、
    前記車両用装置との間に前記近距離無線通信のリンクが確立していることを条件として、前記車両用装置に対して前記変動コードを送信することと、を実行し、
    前記車両用装置は、
    前記サーバが発行した前記携帯端末についての前記サービス鍵を保持する車両側記憶装置(45)を備え、
    前記車両側記憶装置に保存されている前記携帯端末の前記サービス鍵と、前記携帯端末から受信した前記変動コードとを組み合わせることで前記ワンタイム認証鍵を生成することと、
    生成した前記ワンタイム認証鍵を用いて前記携帯端末の正当性を判断するように構成されている車両用デジタルキーシステム。
  3. 請求項1に記載の車両用デジタルキーシステムであって、
    前記車両用装置と前記携帯端末は、所定の近距離無線通信規格に準拠した無線通信である近距離無線通信によって相互にデータ通信可能に構成されており、
    前記車両用装置は、
    前記携帯端末に対して発行された複数の前記ワンタイム認証鍵を前記携帯端末又は前記サーバから取得して車両側記憶装置(45)に保存することと、
    前記サーバが発行した複数の前記ワンタイム認証鍵の中から認証処理に使用する前記ワンタイム認証鍵を一致させるための調整メッセージを前記近距離無線通信にて前記携帯端末とやりとりすることと、
    前記調整メッセージに基づき特定される前記ワンタイム認証鍵を用いて前記携帯端末の正当性を判断するように構成されている車両用デジタルキーシステム。
  4. 請求項1から3の何れか1項に記載の車両用デジタルキーシステムであって、
    前記携帯端末は、
    前記端末側記憶装置に保存されている前記ワンタイム認証鍵の残数が所定値未満であるか否かの判定を、定期的に又は所定の確認イベントの発生を検知したことに基づいて実行するように構成されており、
    前記ワンタイム認証鍵の残数が所定値未満であることを検知した際にインターネットにアクセス可能である場合には、前記サーバから前記ワンタイム認証鍵を取得するための通信を実行するように構成されている車両用デジタルキーシステム。
  5. 請求項1から4の何れか1項に記載の車両用デジタルキーシステムであって、
    前記サーバは、
    前記車両のオーナが所持する前記携帯端末であるオーナ端末についての情報が、前記オーナとしての権限を有する前記サービス鍵であるオーナ鍵の情報と対応付けられて保存されているデータベース(33)を備え、
    前記オーナ端末から発せられる所定のゲスト鍵発行要求信号を受信したことに基づき、前記オーナ以外の前記ユーザであるゲストのための前記サービス鍵であるゲスト鍵を発行することを実施可能に構成されており、
    前記ゲスト鍵には、他の前記ゲスト鍵を発行する権限を有する発行権付きゲスト鍵と、他の前記ゲスト鍵の発行権限を有さない発行権なしゲスト鍵の2種類が存在し、
    前記オーナ端末からの要求に基づき前記ゲスト鍵を発行する際、前記オーナ端末から受信した信号に基づき、当該ゲスト鍵を発行権付きゲスト鍵とするか前記発行権なしゲスト鍵とするかを決定するように構成されている車両用デジタルキーシステム。
  6. 請求項5に記載の車両用デジタルキーシステムであって、
    前記発行権付きゲスト鍵を有する前記携帯端末、又は、前記オーナ端末は、ユーザ操作に基づき、前記ゲスト鍵発行要求信号として、新規に発行する前記ゲスト鍵に付与する権限の設定情報を含むデータセットを送信し、
    前記サーバは、前記ゲスト鍵の発行要求元から取得した前記設定情報に応じた制限を有する前記ゲスト鍵を発行する車両用デジタルキーシステム。
  7. 請求項6に記載の車両用デジタルキーシステムであって、
    前記オーナ端末は、前記車両に紐づく前記ゲスト鍵を選択的に削除するための操作は受付可能に構成されている一方、前記ゲスト鍵を削除せずに有効期限又は権限にかかる設定だけを変更する操作は受け付け不能に構成されている車両用デジタルキーシステム。
  8. 請求項5から7の何れか1項に記載の車両用デジタルキーシステムであって、
    前記サーバは、
    1つの前記車両に紐づく複数の前記ゲスト鍵を、前記オーナ鍵に紐づく識別番号であるオーナ鍵番号と対応付けて前記データベースに保存し、
    当該オーナ鍵番号を元に1つの前記車両に紐づく前記サービス鍵を管理するように構成されている車両用デジタルキーシステム。
  9. 請求項8に記載の車両用デジタルキーシステムであって、
    前記サーバは、前記オーナ端末からの要求に基づき前記ゲスト鍵を発行した場合には、前記ゲスト鍵に対応する前記携帯端末であるゲスト端末に対して、前記ゲスト鍵とともに前記オーナ鍵番号を配信するように構成されている車両用デジタルキーシステム。
  10. 請求項8又は9に記載の車両用デジタルキーシステムであって、
    前記サーバは、
    前記ユーザが所持する前記携帯端末の変更を受け付け可能に構成されており、
    前記オーナが所持する前記携帯端末が変更された場合であっても、前記オーナに紐づく前記ゲストに配布した前記サービス鍵は削除しないように構成されている車両用デジタルキーシステム。
  11. 請求項1から10の何れか1項に記載の車両用デジタルキーシステムであって、
    前記車両のオーナ以外の前記ユーザであるゲストのための前記サービス鍵であるゲスト鍵には、当該ゲスト鍵の発行要求元によって指定された有効期限が設定されており、
    前記車両用装置は、有効期限切れとなった前記ゲスト鍵の情報を自動的に削除するように構成されている車両用デジタルキーシステム。
  12. 請求項1から11の何れか1項に記載の車両用デジタルキーシステムであって、
    前記車両用装置と前記携帯端末は、所定の近距離無線通信規格に準拠した無線通信である近距離無線通信によって相互にデータ通信可能に構成されており、
    前記サーバと前記携帯端末は、インターネットを介して通信可能に構成されており、
    前記車両用装置は、
    前記携帯端末との間に前記近距離無線通信のリンクが確立したことに基づいて前記携帯端末を介して前記サーバから時刻情報を取得することと、
    取得した前記時刻情報を用いて、前記車両用装置が保持する時刻情報である内部時刻を修正することと、を実行可能に構成されている車両用デジタルキーシステム。
  13. ユーザによって携帯される情報処理端末である携帯端末(1)と、
    車両に搭載されて使用される車両用装置(4)と、
    前記車両を使用するための鍵情報として、前記携帯端末ごとに固有のサービス鍵を生成するサーバ(3)と、によって実行される車両用デジタルキー管理方法であって、
    前記サーバが、前記携帯端末からの要求に基づき、前記携帯端末の前記サービス鍵をもとに、複数の使い捨てのワンタイム認証鍵を生成し、有効期限付きで前記携帯端末に配信することと、
    前記携帯端末が、前記サーバから前記ワンタイム認証鍵を受信し、所定の端末側記憶装置(105)に保存することと、
    前記携帯端末が、前記ワンタイム認証鍵ごとの有効期限に基づき、定期的に前記端末側記憶装置に保存されている前記ワンタイム認証鍵の一部又は全部を入れ替えることと、
    前記車両用装置が、前記サーバ又は前記携帯端末との通信により、前記携帯端末が保有する前記ワンタイム認証鍵のうちの何れか1つを特定することと、
    前記車両用装置が、特定された前記ワンタイム認証鍵を用いて前記携帯端末の正当性を判断することと、を含む車両用デジタルキー管理方法。
  14. ユーザによって携帯される情報処理端末である携帯端末(1)、及び、車両を使用するための鍵情報として前記携帯端末ごとに固有のサービス鍵を生成するサーバ(3)のそれぞれの通信可能に構成された、前記車両に搭載されて使用される車両用装置であって、
    前記ユーザごとの前記サービス鍵が保存されている車両側記憶装置(45)と、
    少なくとも1つのプロセッサを用いてなる車両制御部(40)と、を含み、
    前記車両制御部は、
    前記車両側記憶装置に保存されている前記サービス鍵に基づいて、使い捨ての認証鍵であるワンタイム認証鍵を生成することと、
    前記ワンタイム認証鍵を用いて前記携帯端末の正当性を判断することと、を実行するように構成されている車両用装置。
  15. 車両に搭載されて使用される車両用装置(4)、及び、前記車両を使用するための鍵情報としてのサービス鍵を生成するサーバ(3)のそれぞれの通信可能に構成された、ユーザによって携帯される情報処理端末である携帯端末であって、
    前記サービス鍵のデータを記憶している端末側記憶装置(105)と、
    前記車両用装置と所定の近距離無線通信規格に準拠した無線通信である近距離無線通信を実施するための近距離通信部(16)と、
    インターネットを介して前記サーバと通信するためのネット接続部(17,18)と、
    少なくとも1つのプロセッサを用いてなる端末制御部(10)と、を備え、
    前記端末制御部は、
    前記インターネットに接続できていることを条件として、前記サーバに対し、前記サービス鍵を元に生成される有効期限付きのワンタイム認証鍵を複数まとめて配信するように要求する認証鍵要求信号を送信することと、
    前記サーバから前記ワンタイム認証鍵を受信して前記端末側記憶装置に保存することと、
    前記ワンタイム認証鍵ごとの有効期限に基づき、前記端末側記憶装置に保存されている前記ワンタイム認証鍵の一部又は全部を入れ替えることと、を実施するように構成されている携帯端末。
JP2021159414A 2021-09-29 2021-09-29 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末 Pending JP2023049594A (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2021159414A JP2023049594A (ja) 2021-09-29 2021-09-29 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末
CN202280065467.7A CN118020070A (zh) 2021-09-29 2022-09-27 车辆用数字钥匙系统、车辆用数字钥匙管理方法、车辆用装置、移动终端
PCT/JP2022/035811 WO2023054297A1 (ja) 2021-09-29 2022-09-27 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021159414A JP2023049594A (ja) 2021-09-29 2021-09-29 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末

Publications (2)

Publication Number Publication Date
JP2023049594A true JP2023049594A (ja) 2023-04-10
JP2023049594A5 JP2023049594A5 (ja) 2024-02-14

Family

ID=85782684

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021159414A Pending JP2023049594A (ja) 2021-09-29 2021-09-29 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末

Country Status (3)

Country Link
JP (1) JP2023049594A (ja)
CN (1) CN118020070A (ja)
WO (1) WO2023054297A1 (ja)

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5333785B2 (ja) * 2010-06-07 2013-11-06 トヨタ自動車株式会社 鍵装置、錠制御装置、制御用プログラムおよび制御方法
WO2015129352A1 (ja) 2014-02-28 2015-09-03 日立オートモティブシステムズ株式会社 認証システム、車載制御装置
JP6888673B2 (ja) 2016-10-27 2021-06-16 株式会社デンソー デバイスを認証および認可するためのシステムおよび方法
JP6635102B2 (ja) 2017-10-24 2020-01-22 トヨタ自動車株式会社 情報処理装置、情報処理方法、プログラム
KR102498326B1 (ko) * 2018-06-19 2023-02-10 주식회사 직방 고유의 마스터 키를 가지는 디지털 도어락 및 그 조작 방법
WO2020174544A1 (ja) * 2019-02-25 2020-09-03 本田技研工業株式会社 車両、車載装置、及び管理方法

Also Published As

Publication number Publication date
WO2023054297A1 (ja) 2023-04-06
CN118020070A (zh) 2024-05-10

Similar Documents

Publication Publication Date Title
US10434988B2 (en) System and method for controlling access
US10645578B2 (en) System for using mobile terminals as keys for vehicles
CN105637916B (zh) 对车辆数据的授权访问
CN108882200A (zh) 在汽车共享系统中操作密钥卡
US9242619B2 (en) Method for controlling a vehicle using driver authentication, vehicle terminal, biometric identity card, biometric identification system, and method for providing a vehicle occupant protection and tracking function using the biometric identification card and the terminal
JP7066366B2 (ja) システム、及びその方法
CN110637328A (zh) 一种基于便携式设备的车辆访问方法
CN109697774A (zh) 钥匙信息管理装置、钥匙信息管理方法及记录介质
WO2016189796A1 (ja) 車両用通信システム、車載装置及び鍵発行装置
CN109698854B (zh) 钥匙信息管理装置、钥匙信息管理方法和存储钥匙信息管理程序的计算机可读介质
JP6633589B2 (ja) カーシェアリングシステム
CN108092991A (zh) 车辆的用户身份识别方法及装置
JP6635103B2 (ja) 情報処理装置、情報処理方法、プログラム
CN109830018A (zh) 基于蓝牙钥匙的车辆借用系统
JP2019191858A (ja) 認証情報発行装置および配送システム
JP2019109630A (ja) 駐車代行サービスの管理装置、その利用支援方法、及びプログラム
JP2014145200A (ja) 施開錠権限付与システム、認証装置、携帯端末、およびプログラム
US20190355198A1 (en) Authentication information issuance apparatus, authentication information issuance method, and delivery system
JP2013258491A (ja) カーシェアリングシステム、カーシェアリング提供方法
JP2019192256A (ja) 認証情報発行装置および配送システム
WO2023054297A1 (ja) 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末
JP2005081995A (ja) 車載端末装置及び車両の運行管理システム
WO2023054296A1 (ja) 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末
WO2023054298A1 (ja) 車両用デジタルキーシステム、車両用デジタルキー管理方法、車両用装置、携帯端末
US11014535B2 (en) Shared vehicle security

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240205

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240205