JP2023082886A - Communication establishment method, mobile device, authentication device, and computer program - Google Patents
Communication establishment method, mobile device, authentication device, and computer program Download PDFInfo
- Publication number
- JP2023082886A JP2023082886A JP2021196871A JP2021196871A JP2023082886A JP 2023082886 A JP2023082886 A JP 2023082886A JP 2021196871 A JP2021196871 A JP 2021196871A JP 2021196871 A JP2021196871 A JP 2021196871A JP 2023082886 A JP2023082886 A JP 2023082886A
- Authority
- JP
- Japan
- Prior art keywords
- mobile device
- authentication
- communication link
- encryption key
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims abstract description 198
- 238000000034 method Methods 0.000 title claims description 68
- 238000004590 computer program Methods 0.000 title claims description 16
- 230000004044 response Effects 0.000 claims description 9
- 238000006243 chemical reaction Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 230000002123 temporal effect Effects 0.000 description 2
- 101001135619 Homo sapiens Tyrosine-protein phosphatase non-receptor type 5 Proteins 0.000 description 1
- 102100033259 Tyrosine-protein phosphatase non-receptor type 5 Human genes 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Lock And Its Accessories (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
本発明は、ユーザにより携帯可能なモバイル装置を認証する認証処理に基づいて被制御装置の動作制御を許可する認証装置が複数のモバイル装置により同時使用される場合における通信確立方法に関連する。本発明は、当該モバイル装置と当該認証装置にも関連する。本発明は、当該モバイル装置と当該認証装置の各々に搭載された処理部により実行可能なコンピュータプログラムにも関連する。 The present invention relates to a communication establishment method when an authentication device that permits operation control of a controlled device based on an authentication process that authenticates a portable mobile device by a user is used simultaneously by a plurality of mobile devices. The invention also relates to the mobile device and the authentication device. The invention also relates to a computer program executable by a processing unit onboard each of the mobile device and the authentication device.
特許文献1は、ユーザに携帯されたモバイル装置の認証処理を行なうために移動体の一例としての車両に搭載された認証装置を開示している。認証処理が成立すると、当該認証装置は、当該車両に搭載された各種の被制御装置の当該ユーザによる使用を許可する。このような認証装置は、モバイル装置との通信リンクが確立されている間、他のモバイル装置は通信リンクを確立できないことが一般的である。 Patent Literature 1 discloses an authentication device mounted on a vehicle as an example of a moving body for performing authentication processing of a mobile device carried by a user. When the authentication process is established, the authentication device permits the user to use various controlled devices mounted on the vehicle. Such authentication devices typically cannot establish a communication link with another mobile device while the communication link is established with the mobile device.
本発明の目的は、ユーザにより携帯可能なモバイル装置を認証することにより被制御装置の動作制御を許可する認証装置を、複数のモバイル装置により同時に使用可能にすることである。 SUMMARY OF THE INVENTION It is an object of the present invention to enable simultaneous use by a plurality of mobile devices of an authentication device that authorizes the operation control of a controlled device by authenticating a portable mobile device by a user.
上記の目的を達成するための一態様は、通信確立方法であって、
ユーザによる携帯が可能であるモバイル装置と、当該モバイル装置を認証する第一認証処理に基づいて被制御装置の動作制御を許可する認証装置との間で第一暗号鍵の共有を通じて第一通信リンクを確立させ、
他のユーザによる携帯が可能である他のモバイル装置との間で第二暗号鍵の共有を通じて第二通信リンクを確立させる処理を前記モバイル装置に実行させ、
前記第二通信リンクが確立されると、前記他のモバイル装置に前記他のユーザと前記他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を送信させ、
前記暗号化された認証情報を、前記モバイル装置に前記認証装置へ中継させ、
前記暗号化された認証情報に基づいて前記他のモバイル装置を認証する第二認証処理を前記認証装置に実行させ、
前記第二認証処理が成立すると、暗号化された第三暗号鍵を前記認証装置に送信させ、
前記暗号化された第三暗号鍵を前記モバイル装置に前記他のモバイル装置へ中継させ、
前記第三暗号鍵を用いて、前記他のモバイル装置と前記認証装置の間で前記モバイル装置を経由するデータ通信を実行させる。
One aspect for achieving the above object is a communication establishment method, comprising:
a first communication link through the sharing of a first cryptographic key between a mobile device that can be carried by a user and an authentication device that authorizes control of the controlled device based on a first authentication process that authenticates the mobile device; to establish
causing the mobile device to establish a second communication link through sharing of a second encryption key with another mobile device that can be carried by another user;
causing the other mobile device to transmit encrypted authentication information identifying at least one of the other user and the other mobile device upon establishment of the second communication link;
causing the mobile device to relay the encrypted authentication information to the authentication device;
causing the authentication device to perform a second authentication process for authenticating the other mobile device based on the encrypted authentication information;
When the second authentication process is established, causing the encrypted third encryption key to be transmitted to the authentication device,
causing the mobile device to relay the encrypted third encryption key to the other mobile device;
Data communication via the mobile device is executed between the other mobile device and the authentication device using the third encryption key.
上記の目的を達成するための一態様は、ユーザによる携帯が可能であるモバイル装置であって、
前記モバイル装置を認証する認証処理に基づいて被制御装置の動作制御を許可する認証装置または他のユーザによる携帯が可能である他のモバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行する処理部を備えており、
前記処理部は、
前記第一通信リンクが前記認証装置との間で確立された場合、
前記他のモバイル装置と第二暗号鍵の共有を通じて第二通信リンクを確立するための処理を実行し、
前記第二通信リンクが確立されると、前記他のモバイル装置から送信された暗号化済みの認証情報を前記認証装置へ中継し、かつ前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置へ中継し、
前記第一通信リンクが前記他のモバイル装置との間で確立された場合、
前記ユーザと前記モバイル装置の少なくとも一方を特定する認証情報を暗号化して前記他のモバイル装置へ送信し、前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置を通じて受信し、
前記他のモバイル装置を経由する前記第三暗号鍵に基づく暗号化データ通信を、前記認証装置との間で開始する。
One aspect of achieving the above objectives is a mobile device capable of being carried by a user, comprising:
Establishing a first communication link through sharing of a first cryptographic key with an authentication device that permits operation control of a controlled device based on an authentication process that authenticates the mobile device or another mobile device that can be carried by another user. It has a processing unit that executes processing for
The processing unit is
when the first communication link is established with the authentication device,
performing a process to establish a second communication link through sharing a second cryptographic key with the other mobile device;
relaying encrypted authentication information sent from the other mobile device to the authentication device when the second communication link is established, and encrypting a third encryption key sent from the authentication device; to said other mobile device;
when the first communication link is established with the other mobile device;
encrypting authentication information identifying at least one of the user and the mobile device and transmitting the encrypted authentication information to the other mobile device; and receiving an encrypted third encryption key transmitted from the authentication device through the other mobile device death,
Encrypted data communication based on the third encryption key via the other mobile device is initiated with the authentication device.
上記の目的を達成するための一態様は、ユーザによる携帯が可能であるモバイル装置を認証する第一認証処理に基づいて被制御装置の動作制御を許可する認証装置であって、
前記モバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行する処理部を備えており、
前記処理部は、
他のユーザによる携帯が可能であり第二暗号鍵の共有を通じて前記モバイル装置との間に第二通信リンクを確立した他のモバイル装置から送信された当該他のユーザと当該他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を前記モバイル装置を通じて受信した場合、当該暗号化された認証情報を復号化して当該他のモバイル装置を認証する第二認証処理を実行し、
前記第二認証処理が成立した場合、暗号化された第三暗号鍵を前記モバイル装置へ送信する。
One aspect for achieving the above object is an authentication device that permits operation control of a controlled device based on a first authentication process that authenticates a mobile device that can be carried by a user,
a processing unit that performs processing for establishing a first communication link through sharing a first encryption key with the mobile device;
The processing unit is
at least one of the other user and the other mobile device transmitted from another mobile device that is capable of being carried by the other user and has established a second communication link with the mobile device through the sharing of a second cryptographic key; If encrypted authentication information identifying one is received through the mobile device, performing a second authentication process to decrypt the encrypted authentication information and authenticate the other mobile device;
If the second authentication process is successful, an encrypted third encryption key is transmitted to the mobile device.
上記の目的を達成するための一態様は、ユーザによる携帯が可能であるモバイル装置に搭載された処理部により実行可能なコンピュータプログラムであって、
実行されることにより、前記モバイル装置は、
前記モバイル装置を認証する認証処理に基づいて被制御装置の動作制御を許可する認証装置または他のユーザによる携帯が可能である他のモバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行し、
前記第一通信リンクが前記認証装置との間で確立された場合、
前記他のモバイル装置と第二暗号鍵の共有を通じて第二通信リンクを確立するための処理を実行し、
前記第二通信リンクが確立されると、前記他のモバイル装置から送信された暗号化済みの認証情報を前記認証装置へ中継し、かつ前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置へ中継し、
前記第一通信リンクが前記他のモバイル装置との間で確立された場合、
前記ユーザと前記モバイル装置の少なくとも一方を特定する認証情報を暗号化して前記他のモバイル装置へ送信し、
前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置を通じて受信し、
前記他のモバイル装置を経由する前記第三暗号鍵に基づく暗号化データ通信を、前記認証装置との間で開始する。
One aspect for achieving the above object is a computer program executable by a processing unit installed in a mobile device that can be carried by a user,
Executed to cause the mobile device to:
Establishing a first communication link through sharing of a first cryptographic key with an authentication device that permits operation control of a controlled device based on an authentication process that authenticates the mobile device or another mobile device that can be carried by another user. perform processing to
when the first communication link is established with the authentication device,
performing a process to establish a second communication link through sharing a second cryptographic key with the other mobile device;
relaying encrypted authentication information sent from the other mobile device to the authentication device when the second communication link is established, and encrypting a third encryption key sent from the authentication device; to said other mobile device;
when the first communication link is established with the other mobile device;
encrypting and transmitting authentication information identifying at least one of the user and the mobile device to the other mobile device;
receiving the encrypted third encryption key transmitted from the authentication device through the other mobile device;
Encrypted data communication based on the third encryption key via the other mobile device is initiated with the authentication device.
上記の目的を達成するための一態様は、ユーザによる携帯が可能であるモバイル装置を認証する第一認証処理に基づいて被制御装置の動作制御を許可する認証装置に搭載された処理部により実行可能なコンピュータプログラムであって、
実行されることにより、前記認証装置は、
前記モバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行し、
他のユーザによる携帯が可能であり第二暗号鍵の共有を通じて前記モバイル装置との間に第二通信リンクを確立した他のモバイル装置から送信された当該他のユーザと当該他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を前記モバイル装置を通じて受信した場合、当該暗号化された認証情報を復号化して当該他のモバイル装置を認証する第二認証処理を実行し、
前記第二認証処理が成立した場合、暗号化された第三暗号鍵を前記モバイル装置へ送信する。
According to one aspect of achieving the above object, a processing unit installed in an authentication device permits operation control of a controlled device based on a first authentication process for authenticating a mobile device that can be carried by a user. A computer program capable of
By being executed, the authentication device
performing a process to establish a first communication link through sharing a first cryptographic key with the mobile device;
at least one of the other user and the other mobile device transmitted from another mobile device that is capable of being carried by the other user and has established a second communication link with the mobile device through the sharing of a second cryptographic key; If encrypted authentication information identifying one is received through the mobile device, performing a second authentication process to decrypt the encrypted authentication information and authenticate the other mobile device;
If the second authentication process is successful, an encrypted third encryption key is transmitted to the mobile device.
上記の各態様に係る構成によれば、特定のモバイル装置と認証装置の間に介在する他のモバイル装置が中継器として機能し、認証装置が単一のモバイル装置とのみ通信リンクを確立可能な仕様であっても、複数のモバイル装置による当該認証装置の同時使用が可能とされる。当該特定のモバイル装置と認証装置の間で送受信されるデータは、介在する他のモバイル装置と認証装置との間で送受信されるデータの暗号化に用いられる暗号鍵と異なる暗号鍵で暗号化されるので、介在する他のモバイル装置に対するセキュリティ性も確保される。 According to the configuration according to each of the above aspects, another mobile device interposed between the specific mobile device and the authentication device functions as a repeater, and the authentication device can establish a communication link only with a single mobile device. Even the specification allows simultaneous use of the authentication device by multiple mobile devices. Data sent and received between the specific mobile device and the authentication device is encrypted with an encryption key different from the encryption key used to encrypt data sent and received between other intervening mobile devices and the authentication device. Therefore, security for other intervening mobile devices is also ensured.
添付の図面を参照しつつ、実施形態の例について以下詳細に説明する。各図面においては、例示される各要素を認識可能な大きさとするために、縮尺を適宜に変更している。 Exemplary embodiments are described in detail below with reference to the accompanying drawings. In each drawing, the scale is changed as appropriate to make each illustrated element recognizable.
図1は、一実施形態に係る認証システム10の構成を例示している。認証システム10は、ユーザによる携帯が可能であるモバイル装置を認証することにより、当該モバイル装置を携帯しているユーザによる車両20の利用を許可するために使用されうる。車両20の形状は、例示に過ぎない。車両20は、移動体の一例である。
FIG. 1 illustrates the configuration of an
認証システム10は、認証装置11を含んでいる。認証装置11は、車両20における適宜の位置に搭載されている。図2に例示されるように、認証装置11は、通信部111を備えている。通信部111は、モバイル装置との短距離無線通信を実行可能なアンテナを備えたインタフェースとして構成されている。
本明細書において用いられる「短距離無線通信」という語は、標準規格であるIEEE802.15またはIEEE802.11に準拠して行なわれる無線通信を意味する。そのような無線通信を実行可能な技術としては、Bluetooth(登録商標)、Bluetooth Low Energy(登録商標)、超広帯域無線通信(Ultra Wide Band; UWB)、ZigBee(登録商標)、Wi-Fi(登録商標)などが挙げられる。本明細書における「短距離無線通信」は、読取装置から送信される電波から微小な電力を得てモバイル装置が情報の送信を行なう非接触通信技術を用いる「近接無線通信」とは区別される。近接無線通信を実行可能な技術としては、RF-IDやNFCなどが挙げられる。 As used herein, the term "short-range wireless communication" refers to wireless communication conducted in accordance with standards IEEE 802.15 or IEEE 802.11. Technologies capable of such wireless communication include Bluetooth (registered trademark), Bluetooth Low Energy (registered trademark), Ultra Wide Band (UWB), ZigBee (registered trademark), and Wi-Fi (registered trademark). trademark), etc. "Short-range wireless communication" in this specification is distinguished from "proximity wireless communication" that uses contactless communication technology in which a mobile device transmits information by obtaining minute power from radio waves transmitted from a reader. . RF-ID, NFC, and the like are examples of technologies capable of implementing close proximity wireless communication.
認証装置11は、モバイル装置を認証する認証処理に基づいて、当該モバイル装置を携帯しているユーザによる車両20に搭載された施解錠装置21の動作制御を許可するように構成されている。施解錠装置21は、車室を開閉するドアを施解錠する装置である。施解錠装置21は、被制御装置の一例である。他の被制御装置の例としては、イグニッション電源、エンジン、空調装置、音響映像機器、照明装置、シートやステアリングホイールの位置調節機構などが挙げられる。
The
認証システム10は、複数のユーザにより共用されうる。図1においては、第一モバイル装置31を携帯している第一ユーザ41と、第二モバイル装置32を携帯している第二ユーザ42が例示されている。他方、認証装置11は、単一のモバイル装置とだけ通信リンクを確立可能に構成されている。
The
本明細書で用いられる「通信リンクを確立する」という表現は、所定の短距離無線通信規格に基づく通信が可能である二つの装置間で特定の暗号鍵が共有される処理が実行されることにより、当該二つの装置間で暗号化されたデータの通信が可能とされることを意味する。特定の暗号鍵が共有される処理は、当該短距離無線通信規格に準じて行なわれる。 As used herein, the expression "establish a communication link" means that a process is performed in which a specific cryptographic key is shared between two devices capable of communication based on a given short-range wireless communication standard. means that encrypted data can be communicated between the two devices. A process in which a specific cryptographic key is shared is performed according to the short-range wireless communication standard.
図2と図3を参照しつつ、第一ユーザ41が携帯する第一モバイル装置31と認証装置11との間で通信リンクが確立されている状況で第二ユーザ42が認証装置11の使用を希望する場合における通信確立方法について説明する。
With reference to FIGS. 2 and 3, when a communication link is established between the first
図2に例示されるように、認証装置11は、処理部112を備えている。処理部112は、通信部111に第一トリガ信号TR1を送信させるように構成されている。第一トリガ信号TR1は、アナログ信号であってもよいし、デジタル信号であってもよい。第一トリガ信号TR1がアナログ信号である場合、通信部111は、D/Aコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部111から送信されるすべての信号またはデータについて適用可能である。
As illustrated in FIG. 2 , the
第一モバイル装置31は、通信部311を備えている。通信部311は、他の機器との短距離無線通信を実行可能なアンテナを備えたインタフェースとして構成されている。すなわち、通信部311は、認証装置11から送信された第一トリガ信号TR1を受信可能に構成されている。第一トリガ信号TR1がアナログ信号である場合、通信部311は、A/Dコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部311が受信する全ての信号またはデータについて適用可能である。
The first
第一モバイル装置31は、処理部312と記憶部313を備えている。処理部312は、通信部311により第一トリガ信号TR1が受信されると、記憶部313から第一認証情報AT1を読み出し、通信部311から認証装置11へ送信するように構成されている。第一認証情報AT1は、第一モバイル装置31と第一ユーザ41の少なくとも一方を特定する情報である。第一認証情報AT1は永続的に記憶される情報であってもよいし、外部のサーバ装置から配信されて一時的に記憶される情報であってもよい。
The first
通信部311から送信される第一認証情報AT1は、アナログデータの形態であってもよいし、デジタルデータの形態であってもよい。第一認証情報AT1がアナログデータの形態である場合、通信部311は、D/Aコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部311から送信されるすべての信号またはデータについて適用可能である。
The first authentication information AT1 transmitted from the
第一認証情報AT1は、認証装置11の通信部111により受信される。第一認証情報AT1がアナログデータの形態である場合、通信部111は、A/Dコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部111が受信する全ての信号またはデータについて適用可能である。
The first authentication information AT1 is received by the
認証装置11は、記憶部113を備えている。認証装置11の処理部112は、通信部111により受信された第一認証情報AT1を、記憶部113に記憶された特定の情報と照合することにより、第一モバイル装置31を認証する認証処理を実行するように構成されている。照合結果が適正である場合、処理部112は、第一モバイル装置31の認証処理が成立したと判断する。処理部112による第一モバイル装置31の認証処理は、第一認証処理の一例である。
The
処理部112は、第一モバイル装置31の認証処理が成立したと判断されると、第一暗号鍵KY1を通信部111から第一モバイル装置31へ送信するように構成されている。第一暗号鍵KY1は、記憶部113に予め記憶されていてもよいし、新たに生成されてもよい。後者の場合、生成された第一暗号鍵KY1は、記憶部113に格納される。
The
第一モバイル装置31の処理部312は、通信部311により受信された第一暗号鍵KY1を記憶部313に格納するように構成されている。これにより、認証装置11と第一モバイル装置31の間で第一暗号鍵KY1が共有され、第一通信リンクが確立される(図3のSTEP11)。以降、認証装置11と第一モバイル装置31の間で送受信されるデータは、第一暗号鍵KY1を用いて暗号化される。
The
第一モバイル装置31の処理部312は、第一通信リンクが確立されたことを確認すると、通信部311を通じて第二トリガ信号TR2を送信するように構成されている。第二トリガ信号TR2は、アナログ信号であってもよいし、デジタル信号であってもよい。
The
第二モバイル装置32は、通信部321を備えている。通信部321は、他の機器との短距離無線通信を実行可能なアンテナを備えたインタフェースとして構成されている。すなわち、通信部321は、第一モバイル装置31から送信された第二トリガ信号TR2を受信可能に構成されている。第二トリガ信号TR2がアナログ信号である場合、通信部321は、A/Dコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部311が受信する全ての信号またはデータについて適用可能である。
The second
第二モバイル装置32は、処理部322と記憶部323を備えている。処理部322は、通信部321により第二トリガ信号TR2が受信されると、記憶部323から第二認証情報AT2を読み出し、通信部321から第一モバイル装置31へ送信するように構成されている。第二認証情報AT2は、第二モバイル装置32と第二ユーザ42の少なくとも一方を特定する情報である。第二認証情報AT2は永続的に記憶される情報であってもよいし、外部のサーバ装置から配信されて一時的に記憶される情報であってもよい。
The second
通信部321から送信される第二認証情報AT2は、アナログデータの形態であってもよいし、デジタルデータの形態であってもよい。第二認証情報AT2がアナログデータの形態である場合、通信部321は、D/Aコンバータを含む適宜の変換回路を備える。この説明は、以降に記載の通信部321から送信されるすべての信号またはデータについて適用可能である。
The second authentication information AT2 transmitted from the
第二認証情報AT2は、第一モバイル装置31の通信部311により受信される。第一モバイル装置31の処理部312は、通信部311により受信された第二認証情報AT2を、記憶部313に記憶された特定の情報と照合することにより、第二モバイル装置32を認証する認証処理を実行するように構成されている。照合結果が適正である場合、処理部312は、第二モバイル装置32の認証処理が成立したと判断する。
The second authentication information AT2 is received by the
処理部312は、第二モバイル装置32の認証処理が成立したと判断されると、第二暗号鍵KY2を通信部311から第二モバイル装置32へ送信するように構成されている。第二暗号鍵KY2は、記憶部313に予め記憶されていてもよいし、新たに生成されてもよい。後者の場合、生成された第二暗号鍵KY2は、記憶部313に格納される。
The
第二モバイル装置32の処理部322は、通信部321により受信された第二暗号鍵KY2を記憶部323に格納するように構成されている。これにより、第一モバイル装置31と第二モバイル装置32の間で第二暗号鍵KY2が共有され、第二通信リンクが確立される(図3のSTEP12)。以降、第一モバイル装置31と第二モバイル装置32の間で送受信されるデータは、第二暗号鍵KY2を用いて暗号化される。
The
第二モバイル装置32の処理部322は、第二通信リンクが確立されたことを確認すると、第二認証情報AT2を暗号化するように構成されている。この暗号化は、認証装置11によっては復号可能であるものの第一モバイル装置31によっては複合不能であるアルゴリズムを通じてなされる。処理部322は、暗号化された第二認証情報AT2を、通信部321から第一モバイル装置31へ送信するように構成されている。
The
第一モバイル装置31の処理部312は、通信部311により受信された暗号化済みの第二認証情報AT2を、通信部311から認証装置11へ送信するように構成されている。すなわち、第二モバイル装置32から送信された暗号化済みの第二認証情報AT2は、第一モバイル装置31から認証装置11へ中継される(図3のSTEP13)。
The
認証装置11の処理部112は、暗号化済みの第二認証情報AT2が通信部111により受信されると、第二認証情報AT2を復号するように構成されている。処理部112は、復号された第二認証情報AT2を、記憶部113に記憶された特定の情報と照合することにより、第二モバイル装置32を認証する認証処理を実行するように構成されている。照合結果が適正である場合、処理部112は、第二モバイル装置32の認証処理が成立したと判断する。処理部112による第二モバイル装置32の認証処理は、第二認証処理の一例である。
The
第二モバイル装置32の認証処理が成立したと判断されると、処理部112は、第三暗号鍵KY3を暗号化するように構成されている。第三暗号鍵KY3は、記憶部113に予め記憶されていてもよいし、新たに生成されてもよい。後者の場合、生成された第三暗号鍵KY3は、記憶部113に格納される。この暗号化は、第二モバイル装置32によっては復号可能であるものの第一モバイル装置31によっては複合不能であるアルゴリズムを通じてなされる。処理部112は、暗号化された第三暗号鍵KY3を、通信部111から第一モバイル装置31へ送信するように構成されている。
The
第一モバイル装置31の処理部312は、通信部311により受信された暗号化済みの第三暗号鍵KY3を、通信部311から第二モバイル装置32へ送信するように構成されている。すなわち、認証装置11から送信された暗号化済みの第三暗号鍵KY3は、第一モバイル装置31から第二モバイル装置32へ中継される(図3のSTEP14)。
The
第二モバイル装置32の処理部322は、通信部321により受信された暗号化済みの第三暗号鍵KY3を復号するように構成されている。これにより、認証装置11と第二モバイル装置32の間で第三暗号鍵KY3が共有される。以降、車両20に搭載された被制御装置の制御を目的として認証装置11と第二モバイル装置32の間で送受信されるデータは、第三暗号鍵KY3を用いて暗号化される。
The
第一モバイル装置31は、第三暗号鍵KY3を用いて暗号化され第二モバイル装置32から送信されたデータを、認証装置11へ中継する。同様に、第一モバイル装置31は、第三暗号鍵KY3を用いて暗号化され認証装置11から送信されたデータを、第二モバイル装置32へ中継する(図3のSTEP15)。
The first
図示を省略するが、第三ユーザにより携帯された第三モバイル装置と認証装置11の間で暗号化通信を行なわせることもできる。例えば、第二モバイル装置32の処理部322は、第一モバイル装置31との間で第二通信リンクが確立されたことを確認すると、通信部321から第三トリガ信号を送信するように構成されうる。第三モバイル装置は、第二トリガ信号TR2と第三トリガ信号のいずれかを受信すると、第三ユーザと第三モバイル装置の少なくとも一方を特定する第三認証情報を、第二トリガ信号TR2と第三トリガ信号の送信元へ送信するように構成されうる。同様の構成を通じて、四つ以上のモバイル装置による認証装置11の同時使用が可能とされる。
Although illustration is omitted, encrypted communication can also be performed between the third mobile device carried by the third user and the
このような構成によれば、特定のモバイル装置と認証装置11の間に介在する他のモバイル装置が中継器として機能し、認証装置11が単一のモバイル装置とのみ通信リンクを確立可能な仕様であっても、複数のモバイル装置による認証装置11の同時使用が可能とされる。当該特定のモバイル装置と認証装置11の間で送受信されるデータは、介在する他のモバイル装置と認証装置11との間で送受信されるデータの暗号化に用いられる暗号鍵と異なる暗号鍵で暗号化されるので、介在する他のモバイル装置に対するセキュリティ性も確保される。
According to such a configuration, another mobile device intervening between a specific mobile device and
すなわち、第一モバイル装置31と第二モバイル装置32の各々は、介在する側のモバイル装置にも介在される側のモバイル装置にもなりうる。図4は、第一モバイル装置31の処理部312と第二モバイル装置32の処理部312の各々により実行されうる処理の流れを例示している。以降の説明においては、第一モバイル装置31の処理部312と第二モバイル装置32の処理部312の各々を、「モバイル装置の処理部」と称する。
That is, each of the first
モバイル装置の処理部は、認証装置11との通信リンク(前述の第一通信リンク)が確立されたかを判断する(STEP20)。例えば、当該判断は、認証装置11から送信される第一暗号鍵KY1に認証装置11を識別するための情報が付加あるいは包含されることによりなされうる。
The processing unit of the mobile device determines whether a communication link (the aforementioned first communication link) with the
認証装置11との第一通信リンクが確立されたと判断されると(STEP20においてYES)、このモバイル装置は、認証装置11と他のモバイル装置の間に介在する装置として振舞うことが決定される。したがって、モバイル装置の処理部は、他のモバイル装置との間に第二通信リンクを確立するための第二トリガ信号TR2の送信を開始する。
When it is determined that the first communication link with
続いて、モバイル装置の処理部は、他のモバイル装置との第二通信リンクが確立されたかを判断する(STEP21)。例えば、当該判断は、受信される第二暗号鍵KY2に他のモバイル装置を識別するための情報が付加あるいは包含されることによりなされうる。第二通信リンクがが確立されたと判断されるまで、当該処理が繰り返される(STEP21においてNO)。 Subsequently, the processing unit of the mobile device determines whether a second communication link has been established with another mobile device (STEP 21). For example, the determination can be made by adding or including information for identifying other mobile devices to the received second encryption key KY2. This process is repeated until it is determined that the second communication link has been established (NO in STEP 21).
他のモバイル装置との第二通信リンクが確立されたと判断されると(STEP21においてYES)、モバイル装置の処理部は、他のモバイル装置から暗号化された認証情報を受信したかを判断する(STEP22)。暗号化された認証情報が受信されたと判断されるまで、当該処理が繰り返される(STEP22においてNO)。 When it is determined that the second communication link with the other mobile device has been established (YES in STEP 21), the processing unit of the mobile device determines whether encrypted authentication information has been received from the other mobile device ( STEP22). This process is repeated until it is determined that the encrypted authentication information has been received (NO in STEP22).
暗号化された認証情報が受信されたと判断されると(STEP22においてYES)、モバイル装置の処理部は、暗号化された認証情報を認証装置11へ中継する(STEP23)。 When it is determined that the encrypted authentication information has been received (YES in STEP22), the processing section of the mobile device relays the encrypted authentication information to the authentication device 11 (STEP23).
続いて、モバイル装置の処理部は、認証装置11から暗号化された第三暗号鍵KY3を受信したかを判断する(STEP24)。暗号化された第三暗号鍵KY3が受信されたと判断されるまで、当該処理が繰り返される(STEP24においてNO)。 Subsequently, the processing unit of the mobile device determines whether or not the encrypted third encryption key KY3 has been received from the authentication device 11 (STEP 24). This process is repeated until it is determined that the encrypted third encryption key KY3 has been received (NO in STEP24).
暗号化された認証情報が受信されたと判断されると(STEP24においてYES)、モバイル装置の処理部は、暗号化された第三暗号鍵KY3を他のモバイル装置へ中継する(STEP25)。 When it is determined that the encrypted authentication information has been received (YES in STEP24), the processing unit of the mobile device relays the encrypted third encryption key KY3 to another mobile device (STEP25).
その後、モバイル装置の処理部は、第三暗号鍵KY3を用いて暗号化され他のモバイル装置から送信されたデータを認証装置11へ中継し、第三暗号鍵KY3を用いて暗号化され認証装置11から送信されたデータを他のモバイル装置へ中継する。
After that, the processing unit of the mobile device relays the data encrypted using the third encryption key KY3 and transmitted from the other mobile device to the
認証装置11との第一通信リンクが確立されていないと判断されると(STEP20においてNO)、モバイル装置の処理部は、他のモバイル装置との通信リンク(前述の第二通信リンク)が確立されたかを判断する(STEP26)。例えば、当該判断は、受信される第二暗号鍵KY2に他のモバイル装置を識別するための情報が付加あるいは包含されることによりなされうる。他のモバイル装置との通信リンクが確立されていないと判断されると(STEP26においてNO)、処理はSTEP20に戻る。
If it is determined that the first communication link with the
他のモバイル装置との通信リンクが確立されたと判断されると(STEP26においてYES)、このモバイル装置は、他のモバイル装置により認証装置11との間に介在される装置として振舞うことが決定される。したがって、モバイル装置の処理部は、自身が保持する認証情報を暗号化し、他のモバイル装置へ送信する(STEP27)。
When it is determined that a communication link with another mobile device has been established (YES in STEP 26), this mobile device is determined to act as a device interposed between the other mobile device and
続いて、モバイル装置の処理部は、認証装置11から送信された暗号化済みの第三暗号鍵KY3を他のモバイル装置を通じて受信したかを判断する(STEP28)。暗号化済みの第三暗号鍵KY3が受信されたと判断されるまで、当該処理が繰り返される(STEP28においてNO)。
Subsequently, the processing unit of the mobile device determines whether the encrypted third encryption key KY3 transmitted from the
暗号化済みの第三暗号鍵KY3が受信されたと判断されると(STEP28においてYES)、モバイル装置の処理部は、第三暗号鍵を用いて暗号化されたデータの送信を開始する(STEP29)。 When it is determined that the encrypted third encryption key KY3 has been received (YES in STEP28), the processing unit of the mobile device starts transmitting data encrypted using the third encryption key (STEP29). .
図4と図5に例示されるように、STEP29における暗号化データ通信の開始後、モバイル装置の処理部は、他のモバイル装置と認証装置11の間の第一通信リンクが切断されたかを判断するように構成されうる(STEP31)。第一通信リンクが切断されたと判断されるまで、当該処理が繰り返される(STEP31においてNO)。
As illustrated in FIGS. 4 and 5, after starting the encrypted data communication in STEP 29, the processing unit of the mobile device determines whether the first communication link between the other mobile device and the
暗号化データ通信の開始後に第一通信リンクが切断されたと判断されると(STEP31においてYES)、モバイル装置の処理部は、認証装置11との通信リンクを確立する処理を自動的に実行する(STEP32)。 When it is determined that the first communication link has been disconnected after starting the encrypted data communication (YES in STEP 31), the processing unit of the mobile device automatically executes processing to establish a communication link with the authentication device 11 ( STEP32).
認証装置11との通信リンクが確立されると、モバイル装置の処理部は、認証装置11との暗号化データ通信を再開する(STEP33)。
When the communication link with the
例えば他のモバイル装置と認証装置11の間の通信が終了したことによって第一通信リンクが切断されたのであれば、他のモバイル装置による不必要な介在なしに、認証装置11との効率的な暗号化データ通信が可能とされる。予期せぬ理由により第一通信リンクが切断されたとしても、認証装置11との暗号化データ通信の継続性が維持されうる。
If the first communication link is broken, e.g. due to termination of communication between the other mobile device and the
なお、STEP32において認証装置11との通信リンクを確立する際にはSTEP28で受信された第三暗号鍵KY3が用いられるが、通信リンクの確立後は暗号鍵の更新がなされうる。すなわち、STEP33において開始される暗号化データ通信は、更新後の暗号鍵を用いてなされうる。
Although the third encryption key KY3 received in STEP28 is used when establishing a communication link with the
各モバイル装置の記憶部には、優先度情報が格納されうる。優先度情報は、認証システム10を共用しうる複数のモバイル装置の間の相対的な優先度の高低を規定する情報である。
Priority information may be stored in the memory of each mobile device. The priority information is information that defines relative priority levels among a plurality of mobile devices that can share the
優先度情報の一例として、モバイル装置を携帯するユーザの属性を示す情報が挙げられる。属性の例としては、車両20のオーナ、当該オーナの家族、当該オーナの友人、当該オーナのカーシェアリングパートナ(以下シェアパートナと略称する)、車両20のディーラなどが挙げられる。
An example of priority information is information indicating attributes of a user carrying a mobile device. Examples of attributes include the owner of the
ユーザの属性は、車両20に搭載された被制御装置の動作制御に係る権限に関連付けられうる。権限は、時間的な権限と制御種別的な権限を含みうる。時間的な権限は、被制御装置の動作制御が可能な期間の長さに対応している。制御種別的な権限は、動作制御が許容される被制御装置と動作の少なくとも一方の種別に対応している。
User attributes can be associated with authority related to operation control of controlled devices mounted on
すなわち、ユーザの属性は、第一属性と第二属性を含みうる。第二属性は、第一属性を有するユーザよりも制限された権限に関連付けられるものとして定義される。例えば、車両20のオーナが第一属性を有する場合、当該オーナの家族は第二属性を有しうる。第一属性に関連付けられた優先度情報が示す優先度は、第二属性に関連付けられた優先度情報が示す優先度よりも高い。
That is, a user's attribute can include a first attribute and a second attribute. A second attribute is defined as being associated with a more restricted authority than the user with the first attribute. For example, if the owner of
優先度情報の別例として、モバイル装置の使用状況を示す情報が挙げられる。使用状況の例としては、累積使用回数、累積使用時間、単位期間あたりの使用頻度などが挙げられる。より大きな値を有する使用状況に関連付けられた優先度情報が示す優先度は、より小さい値を有する使用状況に関連付けられた優先度情報が示す優先度よりも高い。 Another example of priority information is information that indicates usage of the mobile device. Examples of the usage status include the cumulative number of times of use, cumulative usage time, frequency of use per unit period, and the like. The priority indicated by the priority information associated with the usage having a higher value is higher than the priority indicated by the priority information associated with the usage having a lower value.
この場合、図4と図6に例示されるように、モバイル装置の処理部は、STEP29における暗号化データ通信の開始に先立ち、自身が保持する優先度情報が示す優先度が他のモバイル装置の優先度情報が示す優先度よりも高いかを判断するように構成されうる(STEP41)。他のモバイル装置の優先度情報は、この時点において第二通信リンクを通じて取得されてもよいし、第二通信リンクを確立するために受信される第二暗号鍵KY2に付加あるいは包含されてもよい。 In this case, as exemplified in FIGS. 4 and 6, prior to starting encrypted data communication in STEP 29, the processing unit of the mobile device changes the priority indicated by the priority information held by itself to that of another mobile device. It can be configured to determine whether the priority is higher than the priority indicated by the priority information (STEP 41). The priority information of other mobile devices may be obtained over the second communication link at this time and may be added to or included in the second encryption key KY2 received to establish the second communication link. .
モバイル装置が保持する優先度情報が示す優先度が他のモバイル装置の優先度情報が示す優先度よりも低い場合(STEP41においてNO)、処理はSTEP29に進み、他のモバイル装置を経由する暗号化データ通信が開始される。 If the priority indicated by the priority information held by the mobile device is lower than the priority indicated by the priority information of the other mobile device (NO in STEP 41), the process proceeds to STEP 29 to perform encryption via the other mobile device. Data communication is started.
モバイル装置が保持する優先度情報が示す優先度が他のモバイル装置の優先度情報が示す優先度よりも高い場合(STEP41においてYES)、モバイル装置の処理部は、他のモバイル装置に認証装置11との第一通信リンクを切断させる指令を送信する(STEP42)。その後、処理は図5のSTEP31に進む。すなわち、モバイル装置と認証装置11との間で通信リンクが確立され、他のモバイル装置を経由することなく認証装置11との暗号化データ通信が開始される。
If the priority indicated by the priority information held by the mobile device is higher than the priority indicated by the priority information of the other mobile device (YES in STEP 41), the processing unit of the mobile device sends the
第一通信リンクを切断された他のモバイル装置は、モバイル装置との間に第二通信リンクを確立し、モバイル装置を経由する暗号化データ通信を認証装置11と行なう。
The other mobile device whose first communication link has been cut establishes a second communication link with the mobile device and performs encrypted data communication with the
このような構成によれば、より効率的な認証装置11との暗号化データ通信を優先度のより高いモバイル装置に行なわせることができる。
According to such a configuration, it is possible to allow a mobile device with a higher priority to perform more efficient encrypted data communication with the
図7は、認証装置11の処理部112により実行される処理の流れを例示している。まず、処理部112は、モバイル装置との第一通信リンクが確立されたかを判断する(STEP51)。第一通信リンクが確立されたと判断されるまで、当該処理が繰り返される(STEP51においてNO)。
FIG. 7 illustrates the flow of processing executed by the
第一通信リンクが確立されたと判断されると(STEP51においてYES)、処理部112は、通信部111が第一通信リンクに係るモバイル装置を通じて暗号化済みの認証情報を受信したかを判断する(STEP52)。この認証情報は、第一通信リンクに係るモバイル装置との間に第二通信リンクを確立している他のモバイル装置から送信されたものである。暗号化済みの認証情報が受信されたと判断されるまで、当該処理が繰り返される(STEP52においてNO)。
When it is determined that the first communication link has been established (YES in STEP 51), the
暗号化済みの認証情報が受信されたと判断されると(STEP52においてYES)、処理部112は、当該認証情報に基づいて他のモバイル装置を認証する認証処理が成立したかを判断する(STEP53)。認証処理が成立しなかったと判断されると(STEP53においてNO)、処理はSTEP52に戻る。
When it is determined that the encrypted authentication information has been received (YES in STEP52), the
他のモバイル装置の認証処理が成立したと判断されると(STEP53においてYES)、処理部112は、第三暗号鍵KY3を暗号化し、モバイル装置へ送信する(STEP54)。暗号化された第三暗号鍵KY3は、モバイル装置により他のモバイル装置へ中継される。
If it is determined that the authentication processing of the other mobile device has been successful (YES in STEP53),
図7と図8に例示されるように、モバイル装置の処理部は、STEP54における暗号化された第三暗号鍵KY3の送信に先立ち、モバイル装置が保持する優先度情報が示す優先度が他のモバイル装置が保持する優先度情報が示す優先度よりも低いかを判断するように構成されうる(STEP61)。モバイル装置の優先度情報は、この時点において第一通信リンクを通じて取得されてもよいし、第一通信リンクを確立するために受信される第一暗号鍵KY1に付加あるいは包含されてもよい。他のモバイル装置の優先度情報は、この時点において第一通信リンクおよび第二通信リンクを通じて取得されてもよいし、STEP52において受信される暗号化された認証情報に付加あるいは包含されてもよい。 As illustrated in FIGS. 7 and 8, prior to transmitting the encrypted third encryption key KY3 in STEP 54, the processing unit of the mobile device sets the priority indicated by the priority information held by the mobile device to another. It can be configured to determine whether the priority is lower than the priority indicated by the priority information held by the mobile device (STEP 61). The mobile device's priority information may be obtained over the first communication link at this time and may be added to or included in the first encryption key KY1 received to establish the first communication link. The other mobile device's priority information may be obtained over the first and second communication links at this time, and may be appended to or included in the encrypted authentication information received in STEP 52 .
モバイル装置が保持する優先度情報が示す優先度が他のモバイル装置の優先度情報が示す優先度よりも低い場合(STEP61においてYES)、処理はSTEP54に進み、暗号化された第三暗号鍵KY3が送信される。 If the priority indicated by the priority information held by the mobile device is lower than the priority indicated by the priority information of the other mobile device (YES in STEP61), the process proceeds to STEP54 to obtain the encrypted third encryption key KY3. is sent.
モバイル装置が保持する優先度情報が示す優先度が他のモバイル装置の優先度情報が示す優先度よりも高い場合(STEP61においてNO)、処理部112は、モバイル装置に認証装置11との第一通信リンクを切断させる指令を送信する(STEP62)。
If the priority indicated by the priority information held by the mobile device is higher than the priority indicated by the priority information of the other mobile device (NO in STEP 61), the
続いて、処理部112は、他のモバイル装置との通信リンクを確立する処理を自動的に実行する(STEP63)。その後、処理はSTEP54に進み、暗号化された第三暗号鍵KY3が送信される。新たに生成および暗号化された暗号鍵が送信されてもよい。
Subsequently, the
第一通信リンクを切断されたモバイル装置は、他のモバイル装置との間に第二通信リンクを確立し、他のモバイル装置を経由する暗号化データ通信を認証装置11と行なう。
The mobile device whose first communication link has been cut establishes a second communication link with another mobile device, and performs encrypted data communication with the
このような構成によっても、より効率的な認証装置11との暗号化データ通信を優先度のより高いモバイル装置に行なわせることができる。
Such a configuration also allows a mobile device with a higher priority to perform more efficient encrypted data communication with the
図7と図9に例示されるように、認証装置11の処理部112は、第三暗号鍵KY3を用いた暗号化データ通信の開始後に、例えば施解錠装置21の制御要求CRが通信部111により受信されたかを判断しうる(STEP71)。制御要求CRが受信されたと判断されるまで、当該処理が繰り返される(STEP71においてNO)。
As illustrated in FIGS. 7 and 9, the
通信部111によって制御要求CRが受信されたと判断されると(STEP71においてYES)、処理部112は、他のモバイル装置に応答を要求する応答要求RRを送信する(STEP72)。応答要求RRは、モバイル装置により他のモバイル装置へ中継される。
When the
続いて、処理部112は、通信部111により応答RPが受信されたかを判断する(STEP73)。
Subsequently, the
通信部111により応答RPが受信されたと判断されると(STEP73においてYES)、処理部112は、施解錠装置21の動作制御を許可する(STEP74)。具体的には、図2に例示されるように、処理部112は、通信部111から施解錠装置21へ許可信号ENを送信する。許可信号ENの送信は、無線通信を介して行なわれてもよいし、有線通信を介して行なわれてもよい。
When
例えば、施解錠装置21は、許可信号ENが入力されている状態でユーザがドアノブに触れたことがドアノブに内蔵されたタッチセンサにより検出されると、施解錠動作を行なうように構成されうる。あるいは、施解錠装置21は、許可信号ENの入力により直接的に施解錠動作を実行してもよい。
For example, the locking/unlocking
通信部111により応答RPが受信されなかったと判断されると(STEP73においてNO)、処理部112は、施解錠装置21の動作制御を禁止する(STEP75)。
When
このような構成によれば、施解錠装置21の動作制御を要求する制御要求CRが他のモバイル装置から送信されたものであるかを確認できる。他のモバイル装置が不在でありながら受信された制御要求CRに基づいて施解錠装置21の動作制御がなされてしまう事態の発生を抑制できるので、車両20のセキュリティ性を高めることができる。
According to such a configuration, it can be confirmed whether the control request CR requesting operation control of the locking/unlocking
これまで説明した様々な機能を有する認証装置11の処理部112、第一モバイル装置31の処理部312、および第二モバイル装置32の処理部322の各々は、汎用メモリと協働して動作する汎用マイクロプロセッサにより実現されうる。汎用マイクロプロセッサとしては、CPU、MPU、GPUが例示されうる。汎用メモリとしては、ROMやRAMが例示されうる。この場合、ROMには、上述した処理を実行するコンピュータプログラムが記憶されうる。ROMは、コンピュータプログラムを記憶している非一時的なコンピュータ可読媒体の一例である。汎用メモリが記憶部113、記憶部313、および記憶部323の各々として使用されてもよい。汎用マイクロプロセッサは、ROM上に記憶されたコンピュータプログラムの少なくとも一部を指定してRAM上に展開し、RAMと協働して上述した処理を実行する。上記のコンピュータプログラムは、汎用メモリにプリインストールされてもよいし、外部サーバ装置からダウンロードされた後、汎用メモリにインストールされてもよい。この場合、外部サーバ装置は、コンピュータプログラムを記憶している非一時的なコンピュータ可読媒体の一例である。
Each of the
認証装置11の処理部112、第一モバイル装置31の処理部312、および第二モバイル装置32の処理部322の各々は、マイクロコントローラ、ASIC、FPGAなどの上記のコンピュータプログラムを実行可能な専用集積回路によって実現されてもよい。この場合、当該専用集積回路に含まれる記憶素子に上記のコンピュータプログラムがプリインストールされる。当該記憶素子は、コンピュータプログラムを記憶している非一時的なコンピュータ可読媒体の一例である。当該記憶素子が記憶部113、記憶部313、および記憶部323の各々として使用されてもよい。認証装置11の処理部112、第一モバイル装置31の処理部312、および第二モバイル装置32の処理部322の各々は、汎用マイクロプロセッサと専用集積回路の組合せによっても実現されうる。
Each of the
上記の各実施形態は、本発明の理解を容易にするための例示にすぎない。上記の各実施形態に係る構成は、本発明の趣旨を逸脱しなければ、適宜に変更・改良されうる。 Each of the above-described embodiments is merely an example for facilitating understanding of the present invention. The configuration according to each of the embodiments described above can be modified and improved as appropriate without departing from the scope of the present invention.
認証システム10は、車両20以外の移動体にも適用されうる。他の移動体の例としては、鉄道、航空機、船舶などが挙げられる。当該移動体は、運転者を必要としなくてもよい。
The
施解錠装置21により施解錠される開閉体は、移動体のドアに限られない。住宅や施設における扉や窓もまた開閉体の一例になりうる。また、住宅や施設における各種設備もまた、被制御装置の一例になりうる。すなわち、認証装置11と施解錠装置21は、移動体に搭載されることを要しない。
The opening/closing body to be locked/unlocked by the locking/unlocking
11:認証装置、112:処理部、20:車両、21:施解錠装置、31:第一モバイル装置、312:処理部、313:記憶部、32:第二モバイル装置、322:処理部、323:記憶部、41:第一ユーザ、42:第二ユーザ、AT2:第二認証情報、CR:制御要求、KY1:第一暗号鍵、KY2:第二暗号鍵、KY3:第三暗号鍵、RR:応答要求 11: authentication device, 112: processing unit, 20: vehicle, 21: locking/unlocking device, 31: first mobile device, 312: processing unit, 313: storage unit, 32: second mobile device, 322: processing unit, 323 : storage unit, 41: first user, 42: second user, AT2: second authentication information, CR: control request, KY1: first encryption key, KY2: second encryption key, KY3: third encryption key, RR : response request
Claims (13)
他のユーザによる携帯が可能である他のモバイル装置との間で第二暗号鍵の共有を通じて第二通信リンクを確立させる処理を前記モバイル装置に実行させ、
前記第二通信リンクが確立されると、前記他のモバイル装置に前記他のユーザと前記他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を送信させ、
前記暗号化された認証情報を、前記モバイル装置に前記認証装置へ中継させ、
前記暗号化された認証情報に基づいて前記他のモバイル装置を認証する第二認証処理を前記認証装置に実行させ、
前記第二認証処理が成立すると、暗号化された第三暗号鍵を前記認証装置に送信させ、
前記暗号化された第三暗号鍵を前記モバイル装置に前記他のモバイル装置へ中継させ、
前記第三暗号鍵を用いて、前記他のモバイル装置と前記認証装置の間で前記モバイル装置を経由するデータ通信を実行させる、
通信確立方法。 a first communication link through the sharing of a first cryptographic key between a mobile device that can be carried by a user and an authentication device that authorizes control of the controlled device based on a first authentication process that authenticates the mobile device; to establish
causing the mobile device to establish a second communication link through sharing of a second encryption key with another mobile device that can be carried by another user;
causing the other mobile device to transmit encrypted authentication information identifying at least one of the other user and the other mobile device upon establishment of the second communication link;
causing the mobile device to relay the encrypted authentication information to the authentication device;
causing the authentication device to perform a second authentication process for authenticating the other mobile device based on the encrypted authentication information;
When the second authentication process is established, causing the encrypted third encryption key to be transmitted to the authentication device,
causing the mobile device to relay the encrypted third encryption key to the other mobile device;
using the third encryption key to execute data communication between the other mobile device and the authentication device via the mobile device;
Communication establishment method.
請求項1に記載の通信確立方法。 establishing a communication link using the third encryption key between the other mobile device and the authentication device when the first communication link is disconnected;
The method of establishing communication according to claim 1.
請求項1または2に記載の通信確立方法。 disconnecting the first communication link and using the third encryption key between the other mobile device and the authentication device if the priority of the other mobile device is higher than the priority of the mobile device; establish a communication link,
The communication establishment method according to claim 1 or 2.
請求項1から3のいずれか一項に記載の通信確立方法。 When the authentication device receives from the mobile device a request for control of the controlled device by the other mobile device, the authentication device transmits a response request to the other mobile device through the mobile device;
A communication establishment method according to any one of claims 1 to 3.
請求項1から4のいずれか一項に記載の通信確立方法。 The authentication device and the controlled device are mounted on a mobile object,
A communication establishment method according to any one of claims 1 to 4.
前記モバイル装置を認証する認証処理に基づいて被制御装置の動作制御を許可する認証装置または他のユーザによる携帯が可能である他のモバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行する処理部を備えており、
前記処理部は、
前記第一通信リンクが前記認証装置との間で確立された場合、
前記他のモバイル装置と第二暗号鍵の共有を通じて第二通信リンクを確立するための処理を実行し、
前記第二通信リンクが確立されると、前記他のモバイル装置から送信された暗号化済みの認証情報を前記認証装置へ中継し、かつ前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置へ中継し、
前記第一通信リンクが前記他のモバイル装置との間で確立された場合、
前記ユーザと前記モバイル装置の少なくとも一方を特定する認証情報を暗号化して前記他のモバイル装置へ送信し、前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置を通じて受信し、
前記他のモバイル装置を経由する前記第三暗号鍵に基づく暗号化データ通信を、前記認証装置との間で開始する、
モバイル装置。 A mobile device capable of being carried by a user, comprising:
Establishing a first communication link through sharing of a first cryptographic key with an authentication device that permits operation control of a controlled device based on an authentication process that authenticates the mobile device or another mobile device that can be carried by another user. It has a processing unit that executes processing for
The processing unit is
when the first communication link is established with the authentication device,
performing a process to establish a second communication link through sharing a second cryptographic key with the other mobile device;
relaying encrypted authentication information sent from the other mobile device to the authentication device when the second communication link is established, and encrypting a third encryption key sent from the authentication device; to said other mobile device;
when the first communication link is established with the other mobile device;
encrypting authentication information identifying at least one of the user and the mobile device and transmitting the encrypted authentication information to the other mobile device; and receiving an encrypted third encryption key transmitted from the authentication device through the other mobile device death,
starting encrypted data communication based on the third encryption key via the other mobile device with the authentication device;
mobile device.
前記第一通信リンクが前記他のモバイル装置との間で確立された場合、前記処理部は、
前記他のモバイル装置の優先度を示す第二優先度情報を前記他のモバイル装置から取得し、
前記第一優先度情報が示す優先度が前記第二優先度情報が示す優先度よりも高い場合、前記他のモバイル装置に前記第一通信リンクを切断させ、前記第三暗号鍵を用いた第三通信リンクを前記認証装置との間で確立する処理を実行する、
請求項6に記載のモバイル装置。 a storage unit storing first priority information indicating the priority of the mobile device;
When the first communication link is established with the other mobile device, the processing unit
obtaining second priority information indicating the priority of the other mobile device from the other mobile device;
If the priority indicated by the first priority information is higher than the priority indicated by the second priority information, the other mobile device is caused to disconnect the first communication link, and the third encryption key is used for the third encryption key. 3 Performing a process of establishing a communication link with the authentication device;
7. A mobile device according to claim 6.
前記モバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行する処理部を備えており、
前記処理部は、
他のユーザによる携帯が可能であり第二暗号鍵の共有を通じて前記モバイル装置との間に第二通信リンクを確立した他のモバイル装置から送信された当該他のユーザと当該他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を前記モバイル装置を通じて受信した場合、当該暗号化された認証情報を復号化して当該他のモバイル装置を認証する第二認証処理を実行し、
前記第二認証処理が成立した場合、暗号化された第三暗号鍵を前記モバイル装置へ送信する、
認証装置。 An authentication device that permits operation control of a controlled device based on a first authentication process that authenticates a mobile device that can be carried by a user,
a processing unit that performs processing for establishing a first communication link through sharing a first encryption key with the mobile device;
The processing unit is
at least one of the other user and the other mobile device transmitted from another mobile device that is capable of being carried by the other user and has established a second communication link with the mobile device through the sharing of a second cryptographic key; If encrypted authentication information identifying one is received through the mobile device, performing a second authentication process to decrypt the encrypted authentication information and authenticate the other mobile device;
If the second authentication process is successful, transmitting an encrypted third encryption key to the mobile device;
Authenticator.
請求項8に記載の認証装置。 The processing unit is configured to establish a communication link with the other mobile device using the third encryption key when the first communication link is disconnected.
The authentication device according to claim 8.
前記他のモバイル装置の優先度を示す第一優先度情報と前記モバイル装置の優先度を示す第二優先度情報とを取得し、
前記第一優先度情報が示す優先度が前記第二優先度情報が示す優先度よりも高い場合、前記第一通信リンクを切断し、前記他のモバイル装置と前記第三暗号鍵を用いた通信リンクを確立するように構成されている、
請求項8または9に記載の認証装置。 The processing unit is
obtaining first priority information indicating the priority of the other mobile device and second priority information indicating the priority of the mobile device;
If the priority indicated by the first priority information is higher than the priority indicated by the second priority information, disconnect the first communication link and communicate with the other mobile device using the third encryption key. configured to establish a link,
The authentication device according to claim 8 or 9.
請求項8から10のいずれか一項に記載の認証装置。 When the processing unit receives a request for controlling the controlled device by the other mobile device from the mobile device, the processing unit transmits a response request to the other mobile device through the mobile device.
Authentication device according to any one of claims 8 to 10.
実行されることにより、前記モバイル装置は、
前記モバイル装置を認証する認証処理に基づいて被制御装置の動作制御を許可する認証装置または他のユーザによる携帯が可能である他のモバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行し、
前記第一通信リンクが前記認証装置との間で確立された場合、
前記他のモバイル装置と第二暗号鍵の共有を通じて第二通信リンクを確立するための処理を実行し、
前記第二通信リンクが確立されると、前記他のモバイル装置から送信された暗号化済みの認証情報を前記認証装置へ中継し、かつ前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置へ中継し、
前記第一通信リンクが前記他のモバイル装置との間で確立された場合、
前記ユーザと前記モバイル装置の少なくとも一方を特定する認証情報を暗号化して前記他のモバイル装置へ送信し、
前記認証装置から送信された暗号化済みの第三暗号鍵を前記他のモバイル装置を通じて受信し、
前記他のモバイル装置を経由する前記第三暗号鍵に基づく暗号化データ通信を、前記認証装置との間で開始する、
コンピュータプログラム。 A computer program executable by a processing unit onboard a mobile device that can be carried by a user, comprising:
Executed to cause the mobile device to:
Establishing a first communication link through sharing of a first cryptographic key with an authentication device that permits operation control of a controlled device based on an authentication process that authenticates the mobile device or another mobile device that can be carried by another user. perform processing to
when the first communication link is established with the authentication device,
performing a process to establish a second communication link through sharing a second cryptographic key with the other mobile device;
relaying encrypted authentication information sent from the other mobile device to the authentication device when the second communication link is established, and encrypting a third encryption key sent from the authentication device; to said other mobile device;
when the first communication link is established with the other mobile device;
encrypting and transmitting authentication information identifying at least one of the user and the mobile device to the other mobile device;
receiving the encrypted third encryption key transmitted from the authentication device through the other mobile device;
starting encrypted data communication based on the third encryption key via the other mobile device with the authentication device;
computer program.
実行されることにより、前記認証装置は、
前記モバイル装置と第一暗号鍵の共有を通じて第一通信リンクを確立するための処理を実行し、
他のユーザによる携帯が可能であり第二暗号鍵の共有を通じて前記モバイル装置との間に第二通信リンクを確立した他のモバイル装置から送信された当該他のユーザと当該他のモバイル装置の少なくとも一方を特定する暗号化された認証情報を前記モバイル装置を通じて受信した場合、当該暗号化された認証情報を復号化して当該他のモバイル装置を認証する第二認証処理を実行し、
前記第二認証処理が成立した場合、暗号化された第三暗号鍵を前記モバイル装置へ送信する、
コンピュータプログラム。 A computer program executable by a processing unit installed in an authentication device that permits operation control of a controlled device based on a first authentication process that authenticates a mobile device that can be carried by a user,
By being executed, the authentication device
performing a process to establish a first communication link through sharing a first cryptographic key with the mobile device;
at least one of the other user and the other mobile device transmitted from another mobile device that is capable of being carried by the other user and has established a second communication link with the mobile device through the sharing of a second cryptographic key; If encrypted authentication information identifying one is received through the mobile device, performing a second authentication process to decrypt the encrypted authentication information and authenticate the other mobile device;
If the second authentication process is successful, transmitting an encrypted third encryption key to the mobile device;
computer program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021196871A JP2023082886A (en) | 2021-12-03 | 2021-12-03 | Communication establishment method, mobile device, authentication device, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021196871A JP2023082886A (en) | 2021-12-03 | 2021-12-03 | Communication establishment method, mobile device, authentication device, and computer program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2023082886A true JP2023082886A (en) | 2023-06-15 |
Family
ID=86728722
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021196871A Pending JP2023082886A (en) | 2021-12-03 | 2021-12-03 | Communication establishment method, mobile device, authentication device, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2023082886A (en) |
-
2021
- 2021-12-03 JP JP2021196871A patent/JP2023082886A/en active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6903834B2 (en) | ID-based control unit key fob pairing | |
EP3426528B1 (en) | Secure smartphone based access and start authorization system for vehicles | |
US10529158B2 (en) | Locking and unlocking system and key unit | |
US9855918B1 (en) | Proximity confirming passive access system for vehicle | |
JP5999108B2 (en) | Vehicle remote operation information providing device, in-vehicle remote operation information acquisition device, and vehicle remote operation system including these devices | |
US9786108B2 (en) | NFC based secure car key | |
JP5973224B2 (en) | Electronic key registration method | |
US20200111275A1 (en) | Locking and unlocking system, key unit, and server | |
CN110027506A (en) | Vehicle control system and its method without Intelligent key | |
US10943416B2 (en) | Secured communication in passive entry passive start (PEPS) systems | |
JP2011052506A (en) | Electronic key system and id checking method of electronic key | |
JP6790917B2 (en) | In-vehicle device control method and key system using key system | |
CN109649330A (en) | Vehicle shared system | |
JP2023082886A (en) | Communication establishment method, mobile device, authentication device, and computer program | |
US11496445B2 (en) | Electronic device for secure communications with an automobile | |
US11292431B2 (en) | Use of interpretive meta-instructions to implement various RKE protocols | |
JP2021190765A (en) | Control device and computer program | |
JP2023035506A (en) | Authentication system, control unit, and computer program | |
JP2023035509A (en) | Authentication system, authentication device, computer program, and management device | |
JP2023035502A (en) | Authentication system and communication device | |
JP2023061555A (en) | Authentication system | |
JP2023035510A (en) | Authentication system, control unit, and computer program | |
WO2019136332A1 (en) | Multilane message counters to ensure order | |
JP2019068307A (en) | Electronic key system for vehicle | |
WO2023228779A1 (en) | Vehicle control system, vehicle control program, and location confirmation device |