WO2019203305A1

WO2019203305A1 - シェアリングシステム

Info

Publication number: WO2019203305A1
Application number: PCT/JP2019/016643
Authority: WO
Inventors: 将宏荒川; 雅彦大矢; 雄一稲波; 智広土屋
Original assignee: 株式会社東海理化電機製作所
Priority date: 2018-04-20
Filing date: 2019-04-18
Publication date: 2019-10-24
Also published as: JP2019191752A; CN111989723A; US20210162948A1; CN111989723B; JP7028703B2

Abstract

シェアリングシステム（２１）は、シェア対象物（１）に設けられたシェアリング装置（２４）と、主端末（２３ａ）と他端末（２３ｂ）を含む複数の携帯端末（２３）とを備える。各携帯端末は、シェア対象物の使用に必要な鍵情報（Ｄｋ１；Ｄｋ２）を取得し、シェアリング装置との通信を通じて認証された場合にシェア対象物を操作可能となる。シェアリングシステムは、主端末から他端末にシェア対象物の操作権限が付与された場合、主端末とシェアリング装置との通信接続を手動接続に切り替え可能な接続制御部を備える。

Description

シェアリングシステム

　本発明は、シェア対象物を複数人の間で使用可能にするシェアリングシステムに関する。

　従来、１つのシェア対象物を複数人で共通使用するシェアリングシステムとして、１台の車両（シェア車両）を複数人の間で使用するカーシェアリングシステムが周知である（特許文献１，２等参照）。この種のカーシェアリングシステムでは、例えばカーシェア使用の登録を予め行っておき、例えば携帯端末（高機能携帯電話等）で車両予約を行った上で、予約時間内において車両の使用が許可される。

特開２０１６－１１５０７７号公報特開２０１６－７１８３４号公報

　ところで、車両を複数人で使用する場合、１つの携帯端末のみ使用を許可する態様とすると、他ユーザが車両を使用できないため、不便さを感じる。このため、１台の車両に対し、予約者以外のユーザにも車両の使用権限を付与することが想定される。しかし、この場合、例えば車内に携帯端末を置き忘れたまま他の携帯端末で車両ドアをロックしてしまうと、携帯端末を車内に置いたままドアロックに切り替わる状態、いわゆる「置き忘れ」が発生してしまう可能性があった。

　本発明の目的は、携帯端末及びシェアリング装置の間でユーザの意図しない通信確立を生じ難くすることを可能にしたシェアリングシステムを提供することにある。

　一実施形態のシェアリングシステムは、シェア対象物に設けられたシェアリング装置と、主端末と他端末とを含む複数の携帯端末とを備える。各携帯端末は、前記シェア対象物の使用に必要な鍵情報を取得し、前記シェアリング装置との通信を通じて認証された場合に前記シェア対象物を操作可能となる。シェアリングシステムはさらに、前記主端末から前記他端末に前記シェア対象物の操作権限が付与された場合、前記主端末と前記シェアリング装置との通信接続を手動接続に切り替え可能な接続制御部を備えた。

　本構成によれば、主端末から他端末にシェア対象物の操作権限が付与された場合、接続制御部は、主端末とシェアリング装置との通信接続を、通信確立にあたって主端末の手動操作をユーザに課す手動接続へ切り替えることが可能である。よって、主端末及びシェアリング装置の間で、ユーザの意図しない通信確立を生じ難くすることが可能となる。

　前記シェアリングシステムにおいて、前記操作権限は、対応する前記携帯端末と前記シェアリング装置との間の認証で使用される前記鍵情報であり、当該鍵情報は、一度又は一定期間のみ使用可能なワンタイムキーであることが好ましい。この構成によれば、鍵情報が不正に使用されてシェア対象物が操作されてしまう状況が生じ難くなるので、セキュリティを向上するのに有利となる。

　前記シェアリングシステムにおいて、前記他端末を前記主端末と同じグループに設定して、当該他端末に前記シェア対象物の操作権限を付与する権限付与部を備え、前記接続制御部は、前記主端末と同じグループ内の前記他端末に前記操作権限が付与された場合に、前記主端末と前記シェアリング装置との通信接続を前記手動接続に切り替え可能であることが好ましい。この構成によれば、グループ設定された他端末にのみ操作権限を付与することが可能となるので、操作権限の付与のセキュリティ向上に有利となる。

　前記シェアリングシステムにおいて、前記接続制御部は、前記主端末から前記他端末に操作権限が付与された時点で、前記主端末を前記シェアリング装置に自動で繋げる自動接続を停止して、前記主端末と前記シェアリング装置との通信接続を前記手動接続に切り替えることが好ましい。この構成によれば、自動接続が強制的に停止されるので、ユーザの意図しない通信確立の抑制に一層効果が高くなる。

　前記シェアリングシステムは、前記主端末の位置変化に伴って可変するパラメータを検出可能なパラメータ検出部を備え、前記接続制御部は、前記主端末から前記他端末に操作権限が付与された場合、前記パラメータ検出部の検出信号を基に、前記主端末に位置変化が生じていないと判定すると、前記主端末と前記シェアリング装置との接続を強制切断して、前記通信接続を手動接続に切り替えることが好ましい。この構成によれば、主端末が使用されていないことを適切に判断して、主端末及びシェアリング装置の間の通信を強制的に切断することが可能となる。

　本発明によれば、携帯端末及びシェアリング装置の間でユーザの意図しない通信確立を生じ難くすることができる。

第１実施形態のシェアリングシステムの構成図。ユーザ認証の手順を示す説明図。携帯端末による車両操作の手順を示す説明図。他端末に操作権限を付与する手順を示す説明図。自動接続制御の作動を示すフローチャート。手動接続制御の作動を示すフローチャート。操作権限の返却の手順を示すフローチャート。第２実施形態の自動接続制御の作動を示すフローチャート。手動接続制御の作動を示すフローチャート。

　（第１実施形態）
　以下、シェアリングシステムの一実施形態を図１～図７に従って説明する。
　図１に示すように、車両１は、電子キー２との無線によりＩＤ照合を行って車載機器３の作動を実行又は許可する電子キーシステム４を備える。電子キーシステム４は、車両１からの通信を契機に狭域無線によりＩＤ照合（スマート照合）を実行するキー操作フリーシステムである。キー操作フリーシステムは、電子キー２を直に操作することなく自動でＩＤ照合が行われるものである。車載機器３は、例えばドアロック装置５やエンジン６などがある。

　車両１は、ＩＤ照合を行う照合ＥＣＵ（Electronic Control Unit）９と、車載電装品の電源を管理するボディＥＣＵ１０と、エンジン６を制御するエンジンＥＣＵ１１とを備える。これらＥＣＵ９～１１は、車内の通信線１２を介して電気接続されている。通信線１２は、例えばＣＡＮ（Controller Area Network）やＬＩＮ（Local Interconnect Network）である。照合ＥＣＵ９及び電子キー２の各メモリ（図示略）には、車両１に登録された電子キー２の電子キーＩＤと、ＩＤ照合の認証時に使用する電子キー固有暗号鍵とが登録されている。ボディＥＣＵ１０は、車両ドア１３の施解錠を切り替えるドアロック装置５を制御する。

　車両１は、電波を送信する電波送信機１６と、電波を受信する電波受信機１７とを備える。図示しないが、電波送信機１６は、例えば室外に電波を送信する室外用と、室内に電波を送信する室内用とを備える。電波送信機１６は、ＬＦ（Low Frequency）帯の電波を送信する。電波受信機１７は、ＵＨＦ（Ultra High Frequency）帯の電波を受信する。電子キーシステム４は、ＬＦ－ＵＨＦの双方向通信（スマート通信）により電子キー２と通信する。

　電子キー２を起動させるウェイク信号が電波送信機１６からＬＦ送信されているとき、電子キー２は、ウェイク信号の通信エリアに進入して受信すると、待機状態から起動し、照合ＥＣＵ９との通信（スマート通信）を通じ、ＩＤ照合（スマート照合）を実行する。スマート照合には、例えば電子キーＩＤの正否を確認する電子キーＩＤ照合や、暗号鍵（本例では、電子キー固有暗号鍵）を用いたチャレンジレスポンス認証などが含まれる。照合ＥＣＵ９は、室外の電子キー２とＩＤ照合（室外スマート照合）が成立することを確認すると、ボディＥＣＵ１０による車両ドア１３の施解錠を許可又は実行する。

　照合ＥＣＵ９は、室内の電子キー２とＩＤ照合（室内スマート照合）が成立することを確認すると、エンジンスイッチ１８による電源遷移操作を許可する。これにより、例えばブレーキペダルを踏み込んだ状態でエンジンスイッチ１８が操作されると、エンジン６が始動される。

　車両１は、１台の車両１（シェア対象物１９）を複数人で共用するシェアリングシステム２１を備える。本例のシェアリングシステム２１は、暗号化された鍵情報Ｄｋを外部（本例はサーバ２２）から携帯端末２３に登録し、携帯端末２３と車両１に設けたシェアリング装置２４との間で鍵情報Ｄｋの認証を実行し、その認証結果を車両１の操作可否の１条件とするものである。鍵情報Ｄｋは、例えば一度又は一定期間のみ使用が許可されたワンタイムキー（ワンタイムパスワード）であることが好ましい。

　携帯端末２３は、携帯端末２３の作動を制御する端末制御部２７と、ネットワーク通信を行うネットワーク通信モジュール２８と、近距離無線通信を行う近距離無線モジュール２９と、データ書き替えが可能なメモリ３０とを備える。携帯端末２３は、サーバ２２からネットワーク通信を通じて鍵情報Ｄｋを取得した場合、この鍵情報Ｄｋをメモリ３０に書き込み保存する。近距離無線通信は、例えばブルートゥース（Bluetooth：登録商標）であることが好ましい。

　携帯端末２３は、シェアリングシステム２１の作動を管理するユーザインターフェースアプリケーション３１を備える。ユーザインターフェースアプリケーション３１は、例えばサーバ２２からダウンロードされるなどして、端末制御部２７にインストールされる。端末制御部２７は、ユーザインターフェースアプリケーション３１を実行することで、例えば車両１の予約手続き、ユーザ認証、車両操作、操作権限の付与、操作権限の返却など、種々の処理を実現する。

　シェアリング装置２４は、車両１の電子キーシステム４のハードウェアから独立し、車両１に別途取り付けられる。シェアリング装置２４は、例えば車両１の使用予約時間内のときのみ有効になる電子キーの位置付けである。シェアリング装置２４には、車両１のバッテリ＋Ｂから電源が供給されている。

　シェアリング装置２４は、シェアリング装置２４の作動を制御するコントローラ３４と、スマート通信を行うスマート通信ブロック３５と、近距離無線通信を行う近距離無線モジュール３６と、データ書き替え可能なメモリ３７と、日時を管理するタイマ部３８とを備える。コントローラ３４は、携帯端末２３から近距離無線を通じて鍵情報Ｄｋを受信した場合に、メモリ３７内の暗号鍵（本例では、シェアリング装置固有暗号鍵）によって鍵情報Ｄｋを正しく復号できるか否かを確認することにより、携帯端末２３が正当なものか否かを判定する。タイマ部３８は、例えばソフトタイマからなる。シェアリング装置２４は、自らに登録されたシェアリング装置ＩＤが車両ＩＤ（車体番号）と紐付けされることにより、車両１と一対一の関係をとる。

　図２に示すように、ステップ１０１において、携帯端末２３で車両１の使用予約をするにあたり、携帯端末２３は、サーバ２２とネットワーク通信を通じてユーザ認証を実行する。本例のユーザ認証では、例えばログイン（ユーザＩＤ及びパスワードの認証）と、車両予約手続きとが実施される。車両予約手続きでは、例えば使用車両や日時等が入力される。ユーザＩＤ及びパスワードは、携帯端末２３に入力され、ネットワーク通信を通じてサーバ２２に送信される。サーバ２２は、携帯端末２３からユーザＩＤ及びパスワードを受信すると、これらを認証し、認証が成立すれば処理を継続し、認証が不成立であれば処理を強制終了する。

　ステップ１０２において、サーバ２２は、ユーザ認証が成立した場合、鍵情報Ｄｋを生成し、これを携帯端末２３に送信する。本例の場合、サーバ２２は、例えば予約車両に搭載されたシェアリング装置２４の暗号鍵（例えばシェアリング装置固有暗号鍵）を使用して、鍵情報Ｄｋを生成する。本例の鍵情報Ｄｋは、例えば「予約日時」、「端末ＩＤ」、「ユーザ認証鍵」、「グループＩＤ」などのデータ要素を含む平文を、所定の暗号鍵（例えば、シェアリング装置固有暗号鍵等）を用いて暗号式（暗号アルゴリズム）によって暗号化することにより生成された暗号文である。グループＩＤは、各グループの固有ＩＤである。端末ＩＤは、携帯端末２３の固有ＩＤである。ユーザ認証鍵は、例えば携帯端末２３で車両１の操作を行うときに、携帯端末２３及びシェアリング装置２４の間の暗号通信で使用される鍵の一種である。

　ステップ１０３において、携帯端末２３は、予約車両の使用開始時、自身に登録されている鍵情報Ｄｋを近距離無線通信によって送信する。鍵情報Ｄｋは、例えばＢＬＥ（Bluetooth Low Energy）を通じてシェアリング装置２４に送信される。

　ステップ１０４において、シェアリング装置２４は、携帯端末２３から鍵情報Ｄｋを受信すると、鍵情報Ｄｋの認証作業を実行する。本例の場合、シェアリング装置２４は、暗号鍵（例えばシェアリング装置固有暗号鍵等）を用いて鍵情報Ｄｋを復号し、この復号が成功したか否かを確認する。このとき、鍵情報Ｄｋの復号が成功すれば、携帯端末２３から受信した鍵情報Ｄｋが正しいため、鍵情報Ｄｋの認証が成功する。シェアリング装置２４は、鍵情報Ｄｋの認証が成功すれば、鍵情報Ｄｋに含まれていた「予約日時」、「端末ＩＤ」、「ユーザ認証鍵」、「グループＩＤ」を取得することができる。

　シェアリング装置２４は、鍵情報Ｄｋの認証が成立すれば、鍵情報Ｄｋの「認証完了状態」に移行し、シェアリング装置２４を電子キー２として作動させる機能が有効（シェアリング装置２４のキー機能がオン）となる。よって、シェアリング装置２４は、電子キーシステム４を通じたスマート通信（スマート機能）を実行可能となる。また、シェアリング装置２４は、鍵情報Ｄｋの認証が成立した場合、鍵情報Ｄｋやユーザ認証鍵をメモリ３７に書き込み保存する。一方、シェアリング装置２４は、鍵情報Ｄｋの認証が不成立であれば、鍵情報Ｄｋが正しくないとして、認証を失敗とし、ＢＬＥ通信の接続を切断する。

　シェアリング装置２４は、鍵情報Ｄｋの認証が成立した場合、この認証において取得したユーザ認証鍵を近距離無線通信により携帯端末２３に通知する。携帯端末２３は、シェアリング装置２４からユーザ認証鍵を受信すると、これをメモリ３０に登録する。以上により、携帯端末２３及びシェアリング装置２４の両方にユーザ認証鍵が登録される。

　図３に示すように、ステップ２０１において、携帯端末２３は、認証完了状態に移行後、携帯端末２３において操作要求ボタン（画面上の表示ボタン）が操作されると、そのボタンに応じた操作要求信号を近距離無線によりシェアリング装置２４に送信する。操作要求ボタンは、例えば車両ドア１３を解錠するときに操作する解錠要求ボタン、車両ドア１３を施錠するときに操作する施錠要求ボタン、エンジン６の始動を車両１に許可させる際に操作するエンジン始動要求ボタンなどがある。操作要求信号は、操作された操作要求ボタンに応じたコマンドを含む信号である。操作要求信号は、例えばユーザ認証鍵によって暗号化されて送信される。

　ステップ２０２において、シェアリング装置２４は、携帯端末２３から操作要求信号を受信すると、照合ＥＣＵ９との間でスマート通信を実行し、携帯端末２３から受信した操作要求信号を照合ＥＣＵ９に通知する。本例の場合、シェアリング装置２４は、自身に登録された電子キーＩＤ及び暗号鍵を用いたスマート照合を実行し、その照合の過程で、携帯端末２３から受信した操作要求信号を照合ＥＣＵ９に通知する。

　ステップ２０３において、照合ＥＣＵ９は、シェアリング装置２４との間のスマート照合が成立することを確認すると、シェアリング装置２４から通知された操作要求信号に応じた作動を実行する。これにより、車両ドア１３の施解錠や、エンジン始動操作の許可などが実行される。

　図４に示すように、シェアリングシステム２１は、主端末２３ａから他端末２３ｂに車両１の操作権限を付与する権限付与部４０を備える。主端末２３ａは、車両１の予約者が使用する携帯端末である。他端末２３ｂは、予約者とは別のユーザ（例えば、家人等）が所持する携帯端末である。本例の権限付与部４０は、サーバ２２に設けられた第１操作権限付与部４０ａと、主端末２３ａに設けられた第２操作権限付与部４０ｂとを備える。本例の場合、主端末２３ａの所持者、すなわち車両１の予約者を「ユーザＡ」とする。また、他端末２３ｂの所持者、すなわちユーザＡから車両１を借りる同一グループ内の者を「ユーザＢ」とする。さらに、ユーザＡのグループを「グループＩＤ１」とし、ユーザＡのグループ内のユーザ番号をＮｏ「１」とする。

　ステップ３０１において、ユーザＢが車両１を使用する場合、ユーザＢは、ユーザＡに車両１の利用連絡を実行する。この利用連絡は、例えばユーザＢが所持する他端末２３ｂを操作して、ネットワーク通信や近距離無線を通じ、車両利用を望む旨を、ユーザＡが所持する主端末２３ａに通知する作業であることが好ましい。

　ステップ３０２において、ユーザＡは、ユーザＢによる車両１の使用を許可する操作権限の発行操作を行うことにより、ユーザＢの車両利用をサーバ２２に申請する。本例の場合、ユーザＡは、例えば自身の主端末２３ａを操作して、ユーザＢから受けた利用連絡をサーバ２２に通知する。これにより、サーバ２２は、ユーザＢがユーザＡと同じグループであると認識し、ユーザＢに「グループＩＤ１」を付与する。この利用申請のとき、ユーザＢが希望する予約日時等がサーバ２２に通知される。

　ステップ３０３において、サーバ２２は、ユーザＢをユーザＡと同じグループ（グループＩＤＩ）に設定し、グループ内の番号（ユーザＮｏ「２」）を設定した後、ユーザＢに発行する鍵情報（以降、第２鍵情報Ｄｋ２と記す）を生成する。このとき、サーバ２２は、ユーザＡに発行した鍵情報（第１鍵情報Ｄｋ１）とは異なる値の鍵情報（第２鍵情報Ｄｋ２）を生成する。第２鍵情報Ｄｋ２は、例えば「グループＩＤ」（本例の場合、グループＩＤ１）、「予約日時」、「端末ＩＤ」、「ユーザ認証鍵」（ユーザＡに発行された第１鍵情報Ｄｋ１に含まれるものとは別のユーザ認証鍵）、「操作権限情報」などのデータ要素を含む平文を、所定の暗号鍵（例えば、シェアリング装置固有暗号鍵等）を用いて暗号式（暗号アルゴリズム）によって暗号化することにより生成された暗号文であることが好ましい。

　ステップ３０４において、サーバ２２は、ユーザＢ用に生成した第２鍵情報Ｄｋ２を、ユーザＢの他端末２３ｂに送信する。
　ステップ３０５において、第２鍵情報Ｄｋ２を取得した他端末２３ｂは、車両１のシェアリング装置２４と近距離無線通信が接続されたとき、第２鍵情報Ｄｋ２の認証を実行する。第２鍵情報Ｄｋ２の認証は、前述のステップ１０３及びステップ１０４と同様の処理であるので、説明を省略する。そして、第２鍵情報Ｄｋ２の認証が成立すれば、シェアリング装置２４のキー機能がオンに切り替わり、他端末２３ｂに車両１の操作権限が付与されたことになる。このように、本例における操作権限の付与は、鍵情報Ｄｋの付与（登録）と同義である。よって、他端末２３ｂでの車両１の使用が可能となる。

　ここで、ユーザＡ，Ｂとは別グループのユーザＣが自身の携帯端末２３から車両１の使用予約をサーバ２２に行ったとする。このとき、サーバ２２は、ユーザＡ，Ｂに対してユーザＣが別グループであることを識別するので、ユーザＣにグループＩＤとして「グループＩＤ２」を付与する。そして、サーバ２２は、ユーザＣ用の別の鍵情報Ｄｋを生成し、これをユーザＣの携帯端末２３に発行する。ユーザＣの携帯端末２３は、サーバ２２から取得した鍵情報Ｄｋの認証をシェアリング装置２４と実行し、鍵情報Ｄｋの認証が成立すれば、車両１の各種操作が可能となる。なお、ユーザＣが車両１を使用可能な状態となると、ユーザＣとはグループＩＤが異なるユーザＡ，Ｂは、車両１の使用が不可となる。

　図１に戻り、シェアリングシステム２１は、主端末２３ａとシェアリング装置２４との間の通信接続のモードを切り替える接続制御部４１を備える。接続制御部４１は、携帯端末２３（主端末２３ａ）の端末制御部２７に設けられ、例えば、端末制御部２７がユーザインターフェースアプリケーション３１を実行することによって機能的に実現される。本例の接続制御部４１は、主端末２３ａから他端末２３ｂに車両１の操作権限が付与された場合に、主端末２３ａとシェアリング装置２４との間の通信接続を手動接続に切り替え可能である。第１実施形態では、操作権限が他端末２３ｂに付与された時点で、通信接続モードが手動接続制御に切り替えられる。

　次に、図５～図７を用いて、第１実施形態のシェアリングシステム２１の作用及び効果について説明する。図５は、主端末２３ａから他端末２３ｂに操作権限が付与されていない場合の車両操作の手順を示すフローチャートである。接続制御部４１は、主端末２３ａから他端末２３ｂに車両１の操作権限が付与されていない場合、主端末２３ａ及びシェアリング装置２４間の通信接続のモードを、通信が自動で接続される「自動接続制御」に設定する。本例によるブルートゥース通信の場合、自動接続制御とは、主端末２３ａを別途操作せずとも、主端末２３ａがスレーブ側（ここでは、シェアリング装置２４）からのアドバタイズパケット（以下、「アドバタイズ」）に応答してコネクトリクエストを自動で返信して、主端末２３ａがシェアリング装置２４との通信を自動で確立する通信接続モードをいう。

　図５に示すように、ステップ４０１において、シェアリング装置２４は、周囲に接続できる携帯端末２３が存在するか否かを確認するアドバタイズを定期送信する。
　ステップ４０２において、主端末２３ａは、シェアリング装置２４（車両１）に接近してアドバタイズを受信すると、シェアリング装置２４との間で、ブルートゥース通信（ＢＬＥ通信）の接続処理を実行する。すなわち、主端末２３ａから他端末２３ｂに操作権限を付与していないときには、主端末２３ａとシェアリング装置２４との通信接続のモードが接続制御部４１によって「自動接続制御」に設定されている。この場合には、主端末２３ａは、シェアリング装置２４からアドバタイズを受信した時点で、シェアリング装置２４にコネクトリクエストを返信する。これにより、主端末２３ａとシェアリング装置２４との間で通信接続が確立する。接続処理が完了した場合、主端末２３ａとシェアリング装置２４との間で「認証完了状態」への移行が完了していなければ、認証完了状態へ移行するための処理が実行される。

　ステップ４０３において、主端末２３ａは、車両操作（主端末２３ａにおいての操作要求ボタンの操作）が実行されると、その操作に応じた操作要求信号を、近距離無線を通じてシェアリング装置２４に送信する。例えば、主端末２３ａにおいて解錠要求ボタンを押すドアアンロック操作が行われると、解錠要求信号がシェアリング装置２４に送信される。

　ステップ４０４において、シェアリング装置２４は、主端末２３ａから操作要求信号を受信すると、受信した操作要求信号に応じた車両制御を実行する。この場合、シェアリング装置２４は、操作要求信号として解錠要求信号を受信すると、電子キーシステム４の作動を通じて、車両ドア１３を解錠させる。また、操作要求信号として施錠要求信号を受信した場合には、車両ドア１３が施錠され、操作要求信号としてエンジン始動要求信号を受信した場合には、エンジン６の始動が許可される。

　ステップ４０５において、シェアリング装置２４は、車両制御が完了すると、その旨を通知する応答信号を、近距離無線を通じて主端末２３ａに送信する。主端末２３ａは、この応答信号を受信すると、車両制御が完了したことを認識する。この場合、主端末２３ａは、完了した車両制御（車両ドア解錠、車両ドア施錠、エンジン始動許可）を主端末２３ａのディスプレイ等に表示することが好ましい。

　なお、ここでは、主端末２３ａから他端末２３ｂに操作権限が付与されていない。よって、この場合、他端末２３ｂは、シェアリング装置２４との接続機能がない状態となっている。よって、他端末２３ｂでは、車両制御（車両操作）を行うことができない。

　図６は、主端末２３ａから他端末２３ｂに操作権限を付与した場合の車両操作の手順を示すフローチャートである。接続制御部４１は、主端末２３ａから同じグループ内の他端末２３ｂに車両１の操作権限が付与された場合、主端末２３ａ及びシェアリング装置２４間の通信接続のモードを、両者間の通信確立に手動操作を課した「手動接続制御」に設定する。本例によるブルートゥース通信の場合、手動接続制御とは、例えば主端末２３ａにおいてブルートゥース通信接続の手動操作が行われた場合に、主端末２３ａからコネクトリクエストをスレーブ側（ここでは、シェアリング装置２４）に送信する通信接続モードをいう。

　ステップ５０１において、シェアリング装置２４は、周囲に接続できる携帯端末２３が存在するか否かを確認するアドバタイズを定期送信する。
　ステップ５０２において、主端末２３ａは、手動接続制御に設定されているので、シェアリング装置２４からアドバタイズを受信しても、これを無視する。このとき、主端末２３ａは、アドバタイズに対する応答としてコネクトリクエストを送信せず、シェアリング装置２４との通信接続（ブルートゥース接続）を確立しない。

　ステップ５０３において、主端末２３ａは、車両操作（主端末２３ａにおいての操作要求ボタンの操作）を入力すると、自身が「手動接続制御」の状態をとっている場合、この車両操作をトリガにして、接続処理が許可された状態に切り替わる。本例では、主端末２３ａの画面上でのタップ操作が、通信接続の手動操作に相当する。これにより、主端末２３ａは、シェアリング装置２４との接続処理が実行可能となる。

　ステップ５０４において、主端末２３ａは、接続処理が許可された後にアドバタイズを受信するタイミングで、ブルートゥース通信（ＢＬＥ通信）の接続処理を実行する。よって、主端末２３ａ及びシェアリング装置２４の通信接続が確立する。主端末２３ａは、シェアリング装置２４との通信接続が完了すると、車両操作（主端末２３ａにおいての操作要求ボタンの操作）に応じた操作要求信号（ここでは、解錠要求信号）を、近距離無線を通じてシェアリング装置２４に送信する。

　ステップ５０５において、シェアリング装置２４は、主端末２３ａから操作要求信号を受信すると、受信した操作要求信号に応じた車両制御を実行する。この場合、シェアリング装置２４は、操作要求信号として解錠要求信号を受信すると、電子キーシステム４の作動を通じて、車両ドア１３を解錠させる。

　ステップ５０６において、シェアリング装置２４は、車両制御が完了すると、その旨を通知する応答信号を、近距離無線を通じて主端末２３ａに送信する。
　ステップ５０７において、主端末２３ａは、主端末２３ａにおける車両操作としてエンジン始動許可操作を入力すると、シェアリング装置２４との通信の接続処理が許可された状態に切り替わる。よって、以降のアドバタイズ受信のタイミングで接続処理が実行され、通信が確立する。

　ステップ５０８において、主端末２３ａは、シェアリング装置２４との通信接続が許可された状態で、シェアリング装置２４からアドバタイズを受信すると、ブルートゥース通信（ＢＬＥ通信）の接続処理を実行する。そして、主端末２３ａは、車両操作（主端末２３ａにおいてのエンジン始動許可の操作）に応じた操作要求信号（エンジン始動許可要求信号）を、近距離無線を通じてシェアリング装置２４に送信する。

　ステップ５０９において、シェアリング装置２４は、主端末２３ａから操作要求信号（エンジン始動許可要求）を受信すると、電子キーシステム４の作動を通じて、エンジン始動許可を要求する。これにより、電子キーシステム４のスマート機能が有効となる。すなわち、エンジンスイッチ１８の操作による車両１の電源遷移操作が許可される。

　ステップ５１０において、シェアリング装置２４は、車両制御（スマート機能有効切り替え）が完了すると、その旨を通知する応答信号を、近距離無線を通じて主端末２３ａに送信する。よって、主端末２３ａは、エンジン始動許可操作が完了したことを主端末２３ａの画面等に表示する。従って、ブレーキペダルを踏み込みながらエンジンスイッチ１８が押し操作された場合には、エンジン６が始動する。

　なお、ここでは、主端末２３ａから他端末２３ｂに操作権限が付与されている。よって、この場合、他端末２３ｂは、シェアリング装置２４との接続機能がある状態となっている。本例の場合、操作権限が付与された他端末２３ｂは、このときの主端末２３ａと同様に「手動接続制御」によりシェアリング装置２４と通信する。よって、他端末２３ｂで車両操作する場合には、他端末２３ｂを別途手動操作してシェアリング装置２４との通信を接続する必要がある。

　図７は、他端末２３ｂに付与した車両１の操作権限を返却する場合の手順を示すフローチャートである。操作権限の返却は、予約者の主端末２３ａとシェアリング装置２４との間の通信を通じて実行する。

　ステップ６０１において、主端末２３ａは、シェアリング装置２４と通信接続中の状況下において、主端末２３ａで操作権限の返却操作が行われると、返却要求をシェアリング装置２４に送信する。操作権限の返却操作は、主端末２３ａの画面に操作権限返却ボタンを表示し、同ボタンをタップする操作であることが好ましい。

　ステップ６０２において、シェアリング装置２４は、主端末２３ａから返却要求を受信すると、返却対象となった他端末２３ｂについての返却処理を実行する。返却処理は、例えばシェアリング装置２４に保持された第２鍵情報Ｄｋ２（ユーザ認証鍵も含む）を消去する処理であることが好ましい。

　ステップ６０３において、シェアリング装置２４は、返却処理が完了すると、その旨を通知する返却応答を主端末２３ａに送信する。
　ステップ６０４において、主端末２３ａは、シェアリング装置２４から返却応答を受信すると、主端末２３ａとシェアリング装置２４との通信接続のモードを、手動接続制御から自動接続制御に切り替える。すなわち、接続制御部４１は、他端末２３ｂから操作権限が返却されたタイミングで、主端末２３ａの通信接続モードを自動接続制御に戻す。

　ステップ６０５において、主端末２３ａ及びシェアリング装置２４は、主端末２３ａの通信接続モードが自動接続制御に戻された後、通信接続（ＢＬＥ接続）を切断する。以上により、操作権限の返却が完了する。

　さて、本例の場合、主端末２３ａから他端末２３ｂに車両１の操作権限を付与した場合、主端末２３ａとシェアリング装置２４との通信接続のモードが、通信確立にあたって主端末２３ａの手動操作をユーザに課す手動接続制御へ切り替わる。よって、主端末２３ａ及びシェアリング装置２４の間で、ユーザの意図しない通信確立を生じ難くすることができる。

　操作権限は、携帯端末２３とシェアリング装置２４との間の認証で使用される鍵情報Ｄｋであり、鍵情報Ｄｋは、一度又は一定期間のみ使用可能なワンタイムキーである。よって、鍵情報Ｄｋが不正に使用されて車両１が操作されてしまう状況が生じ難くなるので、セキュリティを向上するのに有利となる。

　接続制御部４１は、主端末２３ａと同じグループ内の他端末２３ｂに操作権限が付与された場合に、主端末２３ａとシェアリング装置２４との通信を手動接続に切り替える。よって、グループ設定された他端末２３ｂにのみ操作権限を付与することが可能となるので、操作権限の付与のセキュリティ向上に有利となる。

　特に第１実施形態では、接続制御部４１は、主端末２３ａから他端末２３ｂに操作権限が付与された時点で、主端末２３ａをシェアリング装置２４に自動で繋げる自動接続を停止して、通信接続を手動接続に切り替える。よって、自動接続が強制的に停止されるので、ユーザの意図しない通信確立の抑制に一層効果が高くなる。

　（第２実施形態）
　次に、第２実施形態を図８及び図９に従って説明する。なお、第２実施形態は、第１実施形態の自動接続制御→手動接続制御への切り替え方を変更した実施例である。よって、第１実施形態と同様の部分については説明を省略し、異なる部分のみ詳述する。

　図８は、主端末２３ａから他端末２３ｂに操作権限を付与していない場合の作動の手順を示すフローチャートである。同図に示すように、主端末２３ａは、主端末２３ａの位置変化に伴って可変するパラメータを検出可能なパラメータ検出部４２を備える。本例のパラメータは、例えば主端末２３ａがシェアリング装置２４から受信した電波の受信信号強度（ＲＳＳＩ：Received Signal Strength Indicator）や、主端末２３ａに発生する加速度であることが好ましい。パラメータがＲＳＳＩの場合、主端末２３ａに設けられた受信強度測定部の出力からＲＳＳＩの値を得る。また、パラメータが加速度の場合、主端末２３ａに設けられた加速度センサの出力から加速度の値を得る。

　接続制御部４１は、主端末２３ａから他端末２３ｂに車両１の操作権限が付与されていない場合、主端末２３ａ及びシェアリング装置２４間の通信接続（本例ではブルートゥース通信接続）のモードを「自動接続制御」に設定する。

　一方、接続制御部４１は、主端末２３ａから他端末２３ｂに操作権限が付与された場合、パラメータ検出部４２の検出信号を基に、主端末２３ａが使用されている状態にあるか否かを判定する。そして、接続制御部４１は、主端末２３ａに位置変化が生じていないと判定すると、主端末２３ａ及びシェアリング装置２４との接続を強制切断する。この場合、主端末２３ａ及びシェアリング装置２４の再接続は、主端末２３ａの手動接続によって行われ得る。

　図８の場合、ステップ７０１及びステップ７０２において、主端末２３ａは、シェアリング装置２４から定期送信されるアドバタイズを受信すると、自動接続制御の手順に従って、シェアリング装置２４との接続を自動で繋ぐ接続処理を実行する。すなわち、主端末２３ａがシェアリング装置２４に近づくと両者間の通信が自動で確立される。そして、以降、主端末２３ａが車両１（シェアリング装置２４）から離れなければ、接続が継続される。

　図９は、主端末２３ａから他端末２３ｂに操作権限を付与した場合の車両操作の手順を示すフローチャートである。接続制御部４１は、主端末２３ａから他端末２３ｂに車両１の操作権限が付与された場合、主端末２３ａ及びシェアリング装置２４間の通信接続（ブルートゥース通信接続）のモードを「手動接続制御」に切り替え可能である。第２実施形態では、操作権限が他端末２３ｂに付与され、かつ所定の切り替え条件が満たされた場合に、通信接続モードが手動接続制御に切り替えられる。

　図９の場合、ステップ８０１及びステップ８０２において、主端末２３ａは、前述のステップ７０１及びステップ７０２と同様に、自動接続制御の作動に従い、シェアリング装置２４に近づくと自動で通信を接続する。よって、主端末２３ａ及びシェアリング装置２４が自動で通信接続される。

　ステップ８０３において、主端末２３ａ（接続制御部４１）は、パラメータ検出部４２の検出信号を基に、主端末２３ａに位置変化が生じているか否かを判定する。すなわち、主端末２３ａがユーザに所持され、ユーザの動きに伴って位置変化が生じているか否かが判定される。本例の場合、受信信号強度（ＲＳＳＩ）および／または加速度の変化の有無が判定される。ここで、主端末２３ａに位置変化が発生していた場合、主端末２３ａはユーザに所持されていると判定するのが妥当であり、主端末２３ａに位置変化が発生していない場合、主端末２３ａは車内に置き忘れられている可能性が高い。

　ステップ８０４において、接続制御部４１は、主端末２３ａに位置変化がないと判定すると、主端末２３ａ及びシェアリング装置２４の通信（ブルートゥース通信）を強制切断する。よって、主端末２３ａ及びシェアリング装置２４は、通信することができない状態に移行する。

　ステップ８０５において、主端末２３ａは、通信（ブルートゥース通信）が切断されているので、シェアリング装置２４からアドバタイズを受信しても、これを無視する。すなわち、主端末２３ａは、アドバタイズに対する応答としてコネクトリクエストを送信せず、シェアリング装置２４との通信接続（ブルートゥース接続）を確立しない。

　ステップ８０６において、主端末２３ａは、車両操作（主端末２３ａにおいての操作要求ボタンの操作）が実行されると、通信が切断されている場合、この車両操作をトリガにして、接続処理が許可された状態に切り替わる。すなわち、通信の再接続が「手動接続」となっている。この手動接続の操作により、主端末２３ａは、シェアリング装置２４との接続処理が実行可能な状態になる。

　ステップ８０７において、主端末２３ａは、接続処理が許可された後にアドバタイズを受信するタイミングで、ブルートゥース通信（ＢＬＥ通信）の接続処理を実行し、主端末２３ａ及びシェアリング装置２４の通信接続を確立する。そして、主端末２３ａは、車両操作（主端末２３ａにおいての操作要求ボタンの操作）に応じた操作要求信号（解錠要求信号）を、近距離無線を通じてシェアリング装置２４に送信する。

　ステップ８０８において、シェアリング装置２４は、主端末２３ａから操作要求信号を受信すると、受信した操作要求信号に応じた車両制御を実行する。
　ステップ８０９において、シェアリング装置２４は、車両制御が完了すると、その旨を通知する応答信号を、近距離無線を通じて主端末２３ａに送信する。

　さて、本例の場合、接続制御部４１は、主端末２３ａから他端末２３ｂに操作権限が付与された場合、パラメータ検出部４２の検出信号を基に、主端末２３ａに位置変化が生じていないと判定すると、主端末２３ａとシェアリング装置２４との接続を強制切断して、通信接続を手動接続に切り替える。よって、主端末２３ａが使用されていないことを適切に判断して、主端末２３ａ及びシェアリング装置２４の間の通信を強制的に切断することができる。

　なお、上記各実施形態は、以下のように変更して実施することができる。各実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。

　・各実施形態において、シェアリング装置２４は、車両１に後付けされるものでもよいし、車両１に予め組み付いているものでもよい。
　・各実施形態において、シェアリング装置２４は、照合ＥＣＵ９と一体化されて、これらが１つのユニット部品となっていてもよい。

　・各実施形態において、シェアリング装置２４の搭載場所は、特に限定されない。
　・各実施形態において、車両１の予約手続きは、主端末２３ａで行われることに限らず、他端末２３ｂで実施されてもよい。

　・各実施形態において、車両１の予約手続きは、主端末２３ａを通さずに、他端末２３ｂのみ使用して行う態様としてもよい。
　・各実施形態において、携帯端末２３及びシェアリング装置２４の認証は、鍵情報Ｄｋの認証に限定されず、他の方法に変更可能である。

　・各実施形態において、操作権限の付与は、鍵情報Ｄｋを相手に付与する方式に限定されず、例えば使用許可のコマンドを与える方式など、他の方法に変更してもよい。
　・各実施形態において、手動接続の態様は、携帯端末２３の画面をタップ操作する方式以外に、例えば携帯端末２３に所定の動きを与えるなど、他の方式に変更してもよい。

　・各実施形態において、操作権限は、同一グループ以外のユーザに付与されてもよい。
　・第２実施形態において、検出するパラメータは、ＲＳＳＩや加速度に限定されず、携帯端末２３の位置変化を見ることができる特性値であればよい。

　・各実施形態において、近距離無線通信は、ブルートゥース通信に限定されず、他の通信方式に変更可能である。
　・各実施形態において、鍵情報Ｄｋは、ワンタイムキーに限定されず、使用が制限された情報であればよい。

　・各実施形態において、鍵情報Ｄｋに含ませる内容は、実施形態以外の態様に変更可能である。
　・各実施形態において、鍵情報Ｄｋは、サーバ２２で生成されることに限定されず、外部であれば、どの場所でもよい。

　・各実施形態において、暗号通信に使用する暗号鍵は、例えばシェアリング装置固有暗号鍵、ユーザ認証鍵、電子キー固有暗号鍵のうち、どの鍵を使用してもよい。例えば、処理の途中で使用する暗号鍵を切り替えれば、通信のセキュリティを向上するのに有利となる。また、使用する暗号鍵は、前述した鍵に限定されず、種々のものに変更してもよい。

　・各実施形態において、携帯端末２３は、高機能携帯電話に限定されず、種々の端末に変更可能である。
　・各実施形態において、携帯端末２３やシェアリング装置２４は、ユーザ認証鍵をどのような手順や方式で取得してもよい。

　・各実施形態において、キー機能オンへの切り替えは、何を条件としてもよい。
　・各実施形態において、接続制御部４１、権限付与部４０及びパラメータ検出部４２は、ユーザインターフェースアプリケーション３１によって機能的に生成されるものに限らず、他の方法で生成されるものでもよいし、ハードウェア要素から構築されてもよい。

　・各実施形態において、操作フリーの電子キーシステム４は、車内外に送信機を配置して電子キー２の車内外位置を判定しながらスマート照合を行うシステムに限定されない。例えば、車体の左右にアンテナ（ＬＦアンテナ）を配置し、これらアンテナから送信される電波に対する電子キー２の応答の組み合わせを確認することにより、電子キー２の車内外位置を判定するシステムでもよい。

　・各実施形態において、電子キーシステム４に課すＩＤ照合は、チャレンジレスポンス認証を含む照合に限定されず、少なくとも電子キーＩＤ照合を行うものであればよく、どのような認証や照合を含んでいてもよい。

　・各実施形態において、電子キーシステム４は、例えば電子キー２からの通信を契機にＩＤ照合が実行されるワイヤレスキーシステムとしてもよい。
　・各実施形態において、電子キー２は、スマートキー（登録商標）に限定されず、ワイヤレスキーとしてもよい。

　・各実施形態において、照合ＥＣＵ９及びシェアリング装置２４は、無線によって通信する方式に限定されず、例えば有線によって接続されていてもよい。この場合、シェアリング装置２４から照合ＥＣＵ９に各種コマンドが有線を通じて送信される。このようにしても、シェアリング装置２４からの指令により、照合ＥＣＵ９を作動させることができる。

　・各実施形態において、シェアリング装置２４は、シェア対象物１９を作動させるにあたって、電子キーシステムを利用する構成をとることに限定されない。この場合、シェアリング装置２４は、シェア対象物１９の作動を制御するコントローラ（ＣＰＵ）に指令を直に送り、シェア対象物１９を作動させる。なお、この構成の場合、シェアリング装置２４のキー機能を省略できる。

　・各実施形態において、シェアリングシステム２１は、車両１に適用されることに限らず、例えば住宅（シェアリングハウス）、共用宅配ボックス、コインパーキングなど、他の装置や機器に適用してもよい。よって、シェア対象物１９は車両１に限定されず、他の部材に変更可能である。

　次に、上記各実施形態及び変更例から把握できる技術的思想について記載する。
　（Ａ）シェアリング装置と携帯端末との認証が成立した場合、シェアリング装置は電子キーシステムの無線通信網を通じてスマート照合を行い、スマート照合の成立により、携帯端末によるシェア対象物の作動を許可又は実行する。この構成では、シェアリング装置を電子キーシステムの要素に有線接続せずに済むので、シェアリング装置の配置自由度を向上することが可能となる。

　（Ｂ）主端末と他端末とを含む複数の携帯端末によってシェア対象物を操作可能とするためのシェアリング方法。各携帯端末は、シェア対象物の使用に必要な鍵情報を取り込み、シェアリング装置との通信を通じて認証された場合にシェア対象物を操作可能となる。シェアリング方法は、シェア対象物の操作権限を主端末から他端末に付与すること、及び、操作権限が他端末に付与された時点かまたはそれ以降の時点で前記主端末と前記シェアリング装置との通信接続を手動接続に切り替えることを備える。

Claims

　シェア対象物に設けられたシェアリング装置と、
　主端末と他端末を含む複数の携帯端末であって、各々、前記シェア対象物の使用に必要な鍵情報を取得し、前記シェアリング装置との通信を通じて認証された場合に前記シェア対象物を操作可能となる複数の携帯端末と
を備えるシェアリングシステムであって、
　前記主端末から前記他端末に前記シェア対象物の操作権限が付与された場合、前記主端末と前記シェアリング装置との通信接続を手動接続に切り替え可能な接続制御部を備えたシェアリングシステム。
　前記操作権限は、対応する前記携帯端末と前記シェアリング装置との間の認証で使用される前記鍵情報であり、
　当該鍵情報は、一度又は一定期間のみ使用可能なワンタイムキーである
請求項１に記載のシェアリングシステム。
　前記他端末を前記主端末と同じグループに設定して、当該他端末に前記シェア対象物の前記操作権限を付与する権限付与部を備え、
　前記接続制御部は、前記主端末と同じグループ内の前記他端末に前記操作権限が付与された場合に、前記主端末と前記シェアリング装置との通信接続を前記手動接続に切り替え可能である
請求項１又は２に記載のシェアリングシステム。
　前記接続制御部は、前記主端末から前記他端末に前記操作権限が付与された時点で、前記主端末を前記シェアリング装置に自動で繋げる自動接続を停止して、前記主端末と前記シェアリング装置との通信接続を前記手動接続に切り替える
請求項１～３のうちいずれか一項に記載のシェアリングシステム。
　前記主端末の位置変化に伴って可変するパラメータを検出可能なパラメータ検出部を備え、
　前記接続制御部は、前記主端末から前記他端末に操作権限が付与された場合、前記パラメータ検出部の検出信号を基に、前記主端末に位置変化が生じていないと判定すると、前記主端末と前記シェアリング装置との接続を強制切断して、前記通信接続を前記手動接続に切り替える
請求項１～４のうちいずれか一項に記載のシェアリングシステム。