WO2020226053A1

WO2020226053A1 - 中継装置、プログラム及び、中継方法及び車両の開閉装置制御システム

Info

Publication number: WO2020226053A1
Application number: PCT/JP2020/017244
Authority: WO
Inventors: 雅大遠藤
Original assignee: 株式会社オートネットワーク技術研究所; 住友電装株式会社; 住友電気工業株式会社
Priority date: 2019-05-08
Filing date: 2020-04-21
Publication date: 2020-11-12
Also published as: JP2020183185A

Abstract

中継装置は、車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、前記車載制御装置との通信を制御する制御部を備え、前記制御部は、前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する。

Description

中継装置、プログラム及び、中継方法及び車両の開閉装置制御システム

　本開示は、中継装置、プログラム及び、中継方法及び車両の開閉装置制御システムに関する。
　本出願は、２０１９年５月８日出願の日本出願第２０１９－０８８４３０号に基づく優先権を主張し、前記日本出願に記載された全ての記載内容を援用するものである。

　配達業者により配達される配達物の受け取り場所を車両とし、当該車両の収容部を開閉することにより配達物を収容する配達物受取システムが知られている（例えば特許文献１参照）。特許文献１の配達物受取システムは、配達業者の配達用通信装置と通信を行う車両用通信装置を備え、車両用通信装置は、配達用通信装置から配達の通信要求を受けて認証が成立すると、収容部を開く。

特開２００６－２０６２２５号公報

　本開示の一態様に係る中継装置は、車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、前記車載制御装置との通信を制御する制御部を備え、前記制御部は、前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する。

実施形態１に係る中継装置を含む車両の開閉装置制御システムの構成を例示する模式図である。中継装置等の構成を例示するブロック図である。荷物情報サーバに保存される発注管理情報の一態様を例示する説明図である。車両情報サーバに保存される車両管理情報の一態様を例示する説明図である。中継装置等による各処理の一態様を例示する説明図（シーケンス図）である。中継装置の制御部の処理を例示するフローチャートである。実施形態２（荷受人端末に送信）に係る中継装置の制御部の処理を例示するフローチャートである。実施形態３（限定的な開要求信号）に係る中継装置の制御部の処理を例示するフローチャートである。

［本開示が解決しようとする課題］
　特許文献１の配達用通信装置は、直接的に配達業者の配達用通信装置と通信し認証を行うため、更なるセキュリティの強化が望まれる。

　本開示の目的は、配達業者による操作に対する車両のセキュリティを強化することができる中継装置等を提供する。

［本開示の効果］
　本開示の一態様によれば、配達業者による操作に対する車両のセキュリティを強化することができる。

［本開示の実施形態の説明］
　最初に本開示の実施態様を列挙して説明する。また、以下に記載する実施形態の少なくとも一部を任意に組み合わせてもよい。

（１）本開示の一態様に係る中継装置は、車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、
　前記車載制御装置との通信を制御する制御部を備え、
　前記制御部は、
　前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する。

　本態様にあたっては、中継装置の制御部は、鍵認証装置を介して、配達業者の情報端末（配達用情報端末）から送信されるデータを取得し、取得したデータに含まれる荷物鍵に関する情報に基づき、開閉装置を開くことを要求する開要求信号を車載制御装置に出力する。従って、中継装置は直接的に配達業者の情報端末と通信せず、鍵認証装置を介して、配達業者の情報端末から送信されるデータを取得するため、配達業者による操作に対する車両のセキュリティを強化することができる。

（２）本開示の一態様に係る中継装置は、前記制御部は、
　前記荷物鍵を照合するための照合用荷物鍵を前記車両外の荷物情報サーバから取得し、
　取得した前記照合用荷物鍵と、前記荷物鍵との照合が肯定された場合、前記開閉装置を開くための開要求信号を前記車載制御装置に出力する。

　本態様にあたっては、中継装置の制御部は、荷物鍵を照合するための照合用荷物鍵を車両外の荷物情報サーバから取得するため、配達業者の情報端末から送信されるデータに含まれる荷物鍵の正当性の判定を確実に行い、配達業者による操作に対する車両のセキュリティを強化することができる。

（３）本開示の一態様に係る中継装置は、前記配達用情報端末から送信されるデータは、前記車両に関連付けられて生成された車両鍵を含み、
　前記制御部は、前記車両鍵が前記鍵認証装置によって承認された場合、前記配達用情報端末から送信されるデータを、前記鍵認証装置を介して取得する。

　本態様にあたっては、配達業者側の情報端末から送信されるデータに含まれる車両鍵に関する認証処理は、鍵認証装置が行い、中継装置の制御部は、車両鍵が鍵認証装置によって承認された場合、配達用情報端末から送信されるデータを、鍵認証装置を介して取得する。従って、中継装置の制御部は、配達用情報端末から送信されるデータに含まれる車両鍵が鍵認証装置によって承認後、鍵認証装置を介して配達用情報端末から送信されるデータを取得するため、配達業者による操作に対する車両のセキュリティを強化することができる。また、中継装置が、車両鍵に関する認証処理を行うことを不要とし、中継装置の情報処理負荷を低減させることができる。

（４）本開示の一態様に係る中継装置は、自装置の状態は、前記車載制御装置と通信を行う起動状態と、前記車載制御装置と通信を行わない停止状態とを含み、
　前記制御部は、前記自装置が停止状態の際に前記鍵認証装置を介して前記配達用情報端末から送信されるデータを取得する場合、前記自装置を停止状態から起動状態に状態遷移させる。

　本態様にあたっては、配達物の配達が行われるのは、中継装置が停止状態であるため、中継装置も停止状態となっている場合が想定されるところ、制御部は、データを取得する場合、自装置である中継装置を停止状態から起動状態に状態遷移させる。従って、制御部は、中継装置を停止状態から起動状態に状態遷移させることにより、車載制御装置と確実に通信することができる。制御部はデータを取得する場合、鍵認証装置が当該データの送信に前もって送信するウェイクアップ信号に基づき、中継装置を停止状態から起動状態に状態遷移させるものであってもよい。または、制御部は、例えばデータのプリアンブル等が入力されることにより鍵認証装置からデータが送信されたことを検知し、中継装置を停止状態から起動状態に状態遷移させるものであってもよい。

（５）本開示の一態様に係る中継装置は、前記制御部は、前記開要求信号の出力後に前記車両内における荷重が増加した場合、予め決定されている情報端末に前記配達物の配達完了を示す報知信号を出力する。

　本態様にあたっては、制御部は、開要求信号の出力後に車両内における荷重が増加した場合、予め決定されている情報端末に配達物の配達完了を示す報知信号を出力するため、例えば車両の所有者等の当該情報端末を有する者に配達完了の旨を報知することができる。

（６）本開示の一態様に係る中継装置は、前記鍵認証装置を介して取得したデータは、前記車両に関連付けて生成された車両鍵に関する情報を含み、
　前記制御部は、
　前記取得したデータから前記車両鍵に関する情報を抽出し、
　抽出した前記車両鍵に基づき、前記開閉装置を開くことに限定した前記開要求信号を前記車載制御装置に出力する。

　本態様にあたっては、中継装置は、車両鍵に基づき、開閉装置を開くことに限定した開要求信号を車載制御装置に出力する。従って、車両に対し許容される操作を限定し、車両のセキュリティを向上させることができる。

（７）本開示の一態様に係るプログラムは、コンピュータに、
　車両の開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を、前記開閉装置の開閉を制御する車載制御装置に出力する
　処理を実行させる。

　本態様にあたっては、コンピュータを配達業者による操作に対する車両のセキュリティを強化することができる中継装置として機能させることができる。

（８）本開示の一態様に係る中継方法は、車両の開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を、前記開閉装置の開閉を制御する車載制御装置に出力する。

　本態様にあたっては、配達業者による操作に対する車両のセキュリティを強化することができる中継方法を提供することができる。

（９）本開示の一態様に係る車両の開閉装置制御システムは、車両に実装される開閉装置と、
　前記開閉装置の開閉を制御する車載制御装置と、
　前記車載制御装置と通信可能に接続される中継装置と、
　前記中継装置と通信可能に接続される鍵認証装置とを備え、
　前記鍵認証装置は、
　前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを取得し、
　前記取得したデータに、前記車両に関連付けられて生成される車両鍵が含まれる場合、前記取得したデータに基づき生成した第２データを出力し、
　前記中継装置は、
　前記鍵認証装置が出力した第２データを取得し、
　前記第２データに、前記配達物に関連付けられて生成される荷物鍵が含まれる場合、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する。

　本態様にあたっては、コンピュータを配達業者による操作に対する車両のセキュリティを強化することができる車両の開閉装置制御システムを提供することができる。

（１０）本開示の一態様に係る中継装置は、車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、
　前記車載制御装置との通信を制御する制御部を備え、
　前記制御部は、
　前記開閉装置を開くことにより配達物を車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを確認する開操作確認信号を予め決定されている情報端末に送信し、
　前記情報端末からの返信に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する。

　本態様にあたっては、中継装置の制御部は、鍵認証装置を介して、配達業者の情報端末（配達用情報端末）から送信されるデータを取得し、取得したデータに含まれる荷物鍵に関する情報に基づき、開閉装置を開くことを要求する開要求信号を車載制御装置又は予め決定されている情報端末（車所有者）に出力する。従って、中継装置は直接的に配達業者の情報端末と通信せず、鍵認証装置を介して、配達業者の情報端末から送信されるデータを取得するため、配達業者による操作に対する車両のセキュリティを強化することができる。

［本開示の実施形態の詳細］
　本開示をその実施の形態を示す図面に基づいて具体的に説明する。本開示の実施形態に係る中継装置２を、以下に図面を参照しつつ説明する。なお、本開示はこれらの例示に限定されるものではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

（実施形態１）
　以下、実施の形態について図面に基づいて説明する。図１は、実施形態１に係る中継装置２を含む車両Ｃの開閉装置制御システムＳの構成を例示する模式図である。図２は、中継装置２等の構成を例示するブロック図である。

　車両Ｃの開閉装置制御システムＳは、車両Ｃに搭載された車外通信装置１、中継装置２、鍵認証装置５、車載ＥＣＵ３（Electronic Control Unit／車載制御装置）及び開閉装置８を含む。車両Ｃの開閉装置制御システムＳは、車外のネットワークを介して接続された荷物情報サーバＳＳ１との通信を行うことにより、配達業者の配達用情報端末ＳＴ１からのデータ送信に応じて、開閉装置８の開閉制御を行い、配達業者により配達される荷物を車両Ｃの収納部８１に受け入れる。すなわち、車両Ｃの開閉装置制御システムＳは、例えば、車両Ｃの所有者である荷受人が、荷受人端末ＳＴ２から自身に配達する荷物の受け取り場所として自身の車両Ｃを指定し、配達業者が当該荷物を指定された車両Ｃに配達するにあたり用いられる。配達業者は、指定された車両Ｃの開閉装置８を開く操作を行うにあたり、配達用情報端末ＳＴ１を用いて、当該車両Ｃに所定のデータ（情報）を送信する。開閉装置制御システムＳに含まれる鍵認証装置５及び中継装置２は、送信されたデータの正当性を後述する車両鍵及び荷物鍵に基づき判定し、正当である場合は開閉装置８を開く。

　車両情報サーバＳＳ２は、例えばインターネット又は公衆回線網等の車外のネットワークに接続されているサーバ等のコンピュータである。車両情報サーバＳＳ２には、車両Ｃに関する種々情報及び車両鍵（図４参照）が保存されている。

　荷物情報サーバＳＳ１は、例えばインターネット又は公衆回線網等の車外のネットワークに接続されているサーバ等のコンピュータである。荷物情報サーバＳＳ１には、配達される荷物に関する種々情報及び荷物鍵（図３参照）が保存されている。

　荷受人端末ＳＴ２は、例えばスマートホン、タブレットパソコン等の無線通信機能を有する携帯型のコンピュータである。車両Ｃを配達先として指定する荷受人は、荷受人端末ＳＴ２を用いて、例えばインターネット上でのＥＣサイト等にて商品を発注し、当該商品（荷物）の配達を要求する。荷物の配達要求がされた場合、当該配達要求に基づき荷物情報サーバＳＳ１にレコードが追加され、当該レコードに関連付けられた荷物鍵が生成される。

　配達用情報端末ＳＴ１は、例えばスマートホン、タブレットパソコン等の無線通信機能を有する携帯型のコンピュータである。配達用情報端末ＳＴ１には、配達する荷物に関するレコードが、荷物情報サーバＳＳ１からダウンロードされる。配達業者は、配達用情報端末ＳＴ１を用いて車両情報サーバＳＳ２にアクセスし、荷物の配達先となる車両Ｃの車両鍵を当該車両情報サーバＳＳ２から取得する。配達用情報端末ＳＴ１には、配達する荷物の荷物鍵及び配達先となる車両Ｃの車両鍵が一時的に保存される。配達用情報端末ＳＴ１から、車両Ｃに搭載される鍵認証装置５へ送信されるデータには、車両鍵及び荷物鍵が含まれる。

　車両Ｃには、車外通信装置１、中継装置２、車載ＥＣＵ３及び鍵認証装置５が搭載される。車外通信装置１、中継装置２、車載ＥＣＵ３及び鍵認証装置５は、例えばＣＡＮ（Control Area Network／登録商標）又はイーサネット（Ethernet／登録商標）等の通信線４１によって構成される車内ＬＡＮ４により通信可能に接続される。

　車外通信装置１は、車外通信部１１及び、中継装置２と通信するための入出力Ｉ／Ｆ（インターフェイス）１２を含む。車外通信部１１は、３Ｇ、ＬＴＥ、４Ｇ、ＷｉＦｉ等の移動体通信のプロトコルを用いて無線通信をするための通信装置であり、車外通信部１１に接続された広域用アンテナ１３を介して荷物情報サーバＳＳ１又は車両情報サーバＳＳ２等の外部サーバとデータの送受信を行う。車外通信装置１と外部サーバとの通信は、例えば公衆回線網又はインターネット等の車外のネットワークを介して行われる。

　入出力Ｉ／Ｆ１２は、中継装置２と、例えばシリアル通信するための通信インターフェイスである。車外通信装置１と中継装置２とは、入出力Ｉ／Ｆ１２及び入出力Ｉ／Ｆ１２に接続されたシリアルケーブル等のハーネスを介して相互に通信する。本実施形態では、車外通信装置１は、中継装置２と別装置とし、入出力Ｉ／Ｆ１２等によってこれら装置を通信可能に接続しているが、これに限定されない。車外通信装置１は、中継装置２の一構成部位として、中継装置２に内蔵されるものであってもよい。

　中継装置２は、制御部２０、記憶部２１、入出力Ｉ／Ｆ２２、及び車内通信部２３を含む。中継装置２は、例えば、制御系の車載ＥＣＵ３、安全系の車載ＥＣＵ３及び、ボディ系の車載ＥＣＵ３等の複数の通信線４１による系統のセグメントを統括し、これらセグメント間での車載ＥＣＵ３同士の通信を中継するゲートウェイである。中継装置２は、車外通信装置１が無線通信によってＯＴＡ（Over-The-Air）サーバ等の外部サーバから受信した更新プログラムを、車外通信装置１を介して取得し、車内ＬＡＮ４を介して当該更新プログラムを所定の車載ＥＣＵ３に送信するように構成されているリプロマスターであってもよい。

　制御部２０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部２１に予め記憶された制御プログラム及びデータを読み出して実行することにより、種々の制御処理及び演算処理等を行うようにしてある。制御部２０は、当該制御プログラムを実行することにより、車外通信装置１を介して荷物情報サーバＳＳ１から荷物鍵（認証用荷物鍵）を取得する荷物鍵取得部として機能する。制御部２０は、当該制御プログラムを実行することにより、鍵認証装置５から出力されるデータに荷物鍵が含まれているか又は、当該荷物鍵と、荷物情報サーバＳＳ１から取得した認証用荷物鍵とを照合して、鍵認証装置５から出力されるデータに含まれる荷物鍵が正当な鍵であるかを判定する荷物鍵判定部として機能する。

　記憶部２１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、制御プログラム及び処理時に参照するデータがあらかじめ記憶してある。記憶部２１に記憶された制御プログラムは、中継装置２が読み取り可能な記録媒体２１１から読み出された制御プログラムを記憶したものであってもよい。また、図示しない通信網に接続されている図示しない外部コンピュータから制御プログラムをダウンロードし、記憶部２１に記憶させたものであってもよい。記憶部２１には、車両情報サーバＳＳ２及び荷物情報サーバＳＳ１と通信するための夫々のアドレス（ＩＰアドレス）が記憶されている。記憶部２１には、荷物の配達が完了した際に、配達完了を示す報知信号の送信先となる荷受人端末ＳＴ２のアドレス（ＩＰアドレス又は電話番号）が登録されている。当該荷受人端末ＳＴ２が、予め決定されている情報端末に相当する。

　入出力Ｉ／Ｆ２２は、車外通信装置１の入出力Ｉ／Ｆ１２と同様に、例えばシリアル通信するための通信インターフェイスである。入出力Ｉ／Ｆ２２を介して、中継装置２は、車外通信装置１及び、車両の起動と停止を行うＩＧスイッチ（図示せず）と通信可能に接続される。

　車内通信部２３は、例えばＣＡＮ又はイーサネット（Ethernet）等の通信プロトコルを用いた入出力インターフェイスであり、制御部２０は、車内通信部２３を介して車内ＬＡＮ４に接続されている車載ＥＣＵ３、鍵認証装置５、又は他の中継装置等の車載機器と相互に通信する。車内通信部２３は、複数個設けられており、車内通信部２３夫々に、車内ＬＡＮ４を構成する通信線４１が接続されている。このように車内通信部２３を複数個設けることにより、車内ＬＡＮ４は複数個のセグメントに分け、各セグメントに車載ＥＣＵを、当該車載ＥＣＵの機能（制御系機能、安全系機能、ボディ系機能）に応じて接続する。

　車載ＥＣＵ３は、制御部３０、記憶部３１、車内通信部３２及び入出力Ｉ／Ｆ３３を含み、例えば、車両のボディ系の車載器又は車載装置を制御するボディＥＣＵである。

　記憶部３１は、ＲＡＭ（Random Access Memory）等の揮発性のメモリ素子又は、ＲＯＭ（Read Only Memory）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）若しくはフラッシュメモリ等の不揮発性のメモリ素子により構成してあり、車載ＥＣＵ３のプログラム又はデータが記憶されている。

　制御部３０は、ＣＰＵ（Central Processing Unit）又はＭＰＵ（Micro Processing Unit）等により構成してあり、記憶部３１（動作面）に記憶されたプログラム及びデータを読み出し実行して制御処理等を行い、当該車載ＥＣＵ３を含む車載機器又は、車載ＥＣＵ３と入出力Ｉ／Ｆ３３を介して通信可能に接続された車載装置が制御される。入出力Ｉ／Ｆ３３は、車外通信装置１の入出力Ｉ／Ｆ１２と同様に、例えばシリアル通信するための通信インターフェイスである。

　車載ＥＣＵ３と通信可能に接続された車載装置は、撮像装置６、重量検知装置７及び開閉装置８を含む。すなわち、撮像装置６、重量検知装置７及び開閉装置８は、入出力Ｉ／Ｆ３３を介して車載ＥＣＵ３とシリアルケーブル等のワイヤーハーネスにて車載ＥＣＵ３と通信可能に接続されている。

　撮像装置６は、例えば、ＣＭＯＳカメラ、ＣＣＤカメラ、赤外線カメラ等であり、車両Ｃの天井又はトランクルームの上部等のトランク内の空間を撮像できる場所に配置されている。撮像装置６は、トランク内等の車内空間に係る動画又は静止画を撮像し、撮像して得た画像データ（動画又は静止画）を車載ＥＣＵ３に出力（送信）する。

　重量検知装置７は、複数個の圧電素子等の圧力センサにより構成され、車両の収納部８１であるトランク又は荷室の床面（荷物の載置面）の下に配置されている。重量検知装置７は、収納部８１に収納されている荷物の荷重を検出し、検出された荷重量及び荷重分布等を含む荷重データを車載ＥＣＵ３に出力（送信）する。

　開閉装置８は、収納部８１を閉塞するリアハッチ（バックドア）を含み、当該リアハッチの開閉駆動を行う装置であり、リアハッチを閉状態に保つロック機構を解除する装置である。開閉装置８は、モータ等の駆動機構を含み、モータを回動させることにより、リアハッチを開閉動作させるものであってもよい。

　収納部８１は、トランク又は荷室（ラゲッジスペース）と称され、荷物が載置される。車両を荷物の配達先とした場合、当該荷物は、収納部８１に載置されることにより配達される。なお、収納部８１をトランクとし、リアハッチが収納部８１を閉塞するとしたが、これに限定されない。荷物を載置する場所である収納部８１を例えば車両の後部座席とするものであってもよい。この場合、後部座席のドアがリアハッチに相当し、開閉装置８は、当該後部座席のドアの開閉動作を制御する。

　鍵認証装置５は、狭域用アンテナ５１、暗号鍵承認部５２（ＣＡＡ：cryptography-key authentication apparatus）及び電子鍵受付部５３（ＫＥＳ：Keyless Entry System）を含み（図１参照）、配達業者が保持する配達用情報端末ＳＴ１による操作により、配達用情報端末ＳＴ１から送信されるデータに含まれる車両鍵の正当性を判定する。鍵認証装置５は、中継装置２と同様に制御部（図示せず）、記憶部（図示せず）及び車内通信部（図示せず）を含み、車内通信部を介して中継装置２と通信可能に接続されている。これら制御部、記憶部は、暗号鍵承認部５２及び電子鍵受付部５３にて夫々が別個に備えるものであってもよく、又はこれら制御部、記憶部は、暗号鍵承認部５２及び電子鍵受付部５３にて共通のものであってもよい。

　暗号鍵承認部５２は、Ｗｉｆｉ、Ｂｌｕｅｔｏｏｔｈ等（登録商標）の通信プロトコルを用いた無線通信機能を有し、狭域用アンテナ５１を介して配達用情報端末ＳＴ１から送信されるデータを取得（受信）する。暗号鍵承認部５２は、取得したデータに含まれる車両鍵の正当性を判定し、車両鍵が正当である場合、電子鍵受付部５３に、配達用情報端末ＳＴ１から送信されたデータを出力（フォワード）する。

　鍵認証装置５の記憶部には、自車の車両鍵又は車両鍵の検証用データが記憶されており、暗号鍵承認部５２は、例えば、記憶部に記憶されている車両鍵と、配達用情報端末ＳＴ１から取得したデータに含まれる車両鍵とを照合することにより、配達用情報端末ＳＴ１から取得したデータに含まれる車両鍵の正当性を判定（車両鍵を認証）する。

　電子鍵受付部５３は、ＦＯＢキー等の車両Ｃの電子鍵（図示せず）から送信されるＲＦ（Radio frequency）信号を受信し、当該ＲＦ信号に基づき、車両Ｃのドア等の施錠又は開錠を行うものであり、キーレスエントリーシステムと称される。電子鍵受付部５３は、暗号鍵承認部５２と内部バス又はワイヤーハーネス等により通信可能に接続されており、暗号鍵承認部５２から出力されたデータを取得し、取得したデータを中継装置２に出力（送信）する。

　図３は、荷物情報サーバＳＳ１に保存される発注管理情報の一態様を例示する説明図である。荷物情報サーバＳＳ１の記憶部等、荷物情報サーバＳＳ１からアクセス可能な記憶領域には、配達する荷物に関するレコードが記憶されている。車両Ｃを配達場所に指定し荷物の配達を要求する荷受人が操作する荷受人端末ＳＴ２から、荷物情報サーバＳＳ１に送信されたデータに基づき、荷物情報サーバＳＳ１は、新規のレコードを生成し記憶部に記憶する。

　図３に示すとおり、配達する荷物に関するレコードは、発注者ＩＤ、自動車登録番号、発注日、発注商品、配達日時、配達場所及び荷物鍵を含み、レコードの生成に併せて発番されるユニークな発注番号に関連付けられ、例えばテーブル形式のデータとして管理される。

　発注者ＩＤは、荷物の配達の発注者を示すＩＤ（識別番号）であり、荷物情報サーバＳＳ１において発注者としてユーザ登録することにより生成されるＩＤである。荷受人が自ら荷物の配達を発注し、配達先を自身の車両Ｃとする場合、発注者ＩＤは荷受人及び車両Ｃの所有者を示すものとなる。

　自動車登録番号は、荷受人である発注者が、配達先として指定することができる車両Ｃの自動車登録番号であり、例えば荷受人が所有又は管理する車両Ｃの自動車登録番号である。自動車登録番号は、ナンバープレートに記載されている番号であり、配達業者は、ナンバープレートに記載されている番号に基づき、配達先となる車両Ｃを特定することができる。

　発注日は、発注者が荷物の発注を行った日であり、発注商品は、発注者が発注した商品等を示す商品名又は商品コードである。

　配達日時は、荷受人である発注者が指定した配達日時であり、配達業者は指定された配達日時に荷物を荷受人の車両Ｃに配達する。

　配達場所は、指定された配達日時において、配達先である車両Ｃが位置する場所を示す。荷受人である発注者は、配達場所として、例えば、自宅の車庫又は勤務先の駐車場など、予め登録した場所を配達場所として指定することができる。又は、荷受人である発注者は、車両Ｃの位置を示すＧＰＳ情報を用いて、配達場所として指定するものであってもよい。

　荷物鍵は、配達する荷物に関するレコードの生成に併せて生成される暗号鍵であり、いわゆるワンタイム鍵として生成されるものであってもよい。

　荷物情報サーバＳＳ１は、生成した荷物鍵を含めたデータを、配達用情報端末ＳＴ１に送信する。又、荷物情報サーバＳＳ１は、生成した荷物鍵を含めたデータを、当該荷物鍵に関連付けられた自動車登録番号の車両Ｃに送信する。

　図４は、車両情報サーバＳＳ２に保存される車両管理情報の一態様を例示する説明図である。車両情報サーバＳＳ２の記憶部等、車両情報サーバＳＳ２からアクセス可能な記憶領域には、当該車両情報サーバＳＳ２により管理される車両Ｃに関するレコードが記憶されている。

　図４に示すとおり、車両Ｃに関するレコードは、所有者ＩＤ、自動車登録番号、車両識別番号、登録配達業者及び車両鍵を含む。所有者ＩＤは、車両Ｃの所有者を示すＩＤ（識別番号）である。自動車登録番号は、ナンバープレートに記載されている番号であり、陸運局に登録されている番号である。

　車両識別番号は、ＶＩＮ（Vehicle Identification Number）とも称され、個々の車両Ｃを識別するために使用しているシリアル番号を含んだ一意のコードであり、ＩＳＯ３８３３によって規定されており１７桁の英数字で構成される。

　登録配達業者は、車両Ｃを荷物の配達先として指定するにあたり、荷物の配達業者に関する事項（配達業者の識別番号等）である。すなわち、車両Ｃの所有者は、自身の車両Ｃを荷物の配達先として指定し、荷物（注文した商品等）の配達を要求するにあたり、車両情報サーバＳＳ２にアクセスし、自身の車両Ｃに荷物を配達することを許可する配達業者を登録する。

　車両鍵は、当該車両鍵に関連付けられた車両識別番号の車両Ｃに対し、当該車両Ｃにおける操作を許容するための暗号鍵である。許容される操作とは、例えば当該車両Ｃのリアハッチ又はドアを開く操作（開操作）である。

　車両情報サーバＳＳ２は、配達用情報端末ＳＴ１から特定の車両Ｃの車両鍵の送信を要求された際、当該車両Ｃに関するレコードに含まれる登録配達業者と、当該配達用情報端末ＳＴ１の配達業者とが一致した場合、車両鍵を配達用情報端末ＳＴ１に送信する。

　図５は、中継装置２等による各処理の一態様を例示する説明図（シーケンス図）である。図５において、中継装置２による荷物鍵の認証を、鍵認証装置５、車載ＥＣＵ３及び荷物情報サーバＳＳ１等の処理を含むシーケンス図を用いて説明する。

　荷物の配達を要求する荷受人の操作により、荷受人端末ＳＴ２から荷物情報サーバＳＳ１に荷物の配達要求に関するデータが送信される（Ｓ１）。当該配達要求に関するデータには、配達日時及び、荷受人の車両Ｃが配達先として指定された情報が含まれる。

　荷物情報サーバＳＳ１は、荷物鍵を生成し（Ｓ２）、当該荷物鍵を含むレコードを新規登録する。

　荷物情報サーバＳＳ１は、生成した荷物鍵を含む配達情報を配達用情報端末ＳＴ１に出力（送信）する（Ｓ３）。

　荷物鍵を含む配達情報を取得（受信）した配達用情報端末ＳＴ１は、荷物鍵を自端末の記憶部に記憶する。配達用情報端末ＳＴ１は、取得した配達情報から、配達先として指定されている車両Ｃに関する情報（自動車登録番号）を抽出し、自動車登録番号に基づき、車両情報サーバＳＳ２から当該車両Ｃの車両鍵を取得する（Ｓ４）。

　配達用情報端末ＳＴ１は、取得した荷物鍵及び車両鍵を含むデータを、配達先として指定されている車両Ｃの鍵認証装置５に出力（送信）する（Ｓ５）。

　鍵認証装置５は、配達用情報端末ＳＴ１から送信されたデータを取得（受信）し、当該データに含まれる車両鍵を認証（Ｓ６）、すなわち車両鍵が正当な鍵であるか否かを判定する。

　車両鍵が正当である場合、鍵認証装置５は、荷物鍵又は、荷物鍵及び車両鍵を含むデータを中継装置２に出力（送信）する（Ｓ７）。鍵認証装置５は、配達用情報端末ＳＴ１から送信されたデータの全てを、中継装置２に転送するものであってもよい。鍵認証装置５は、荷物鍵及び車両鍵を含むデータを出力する前処理として、中継装置２を停止状態から起動状態に状態遷移させるためのウェイクアップ信号を出力するものであってもよい。

　中継装置２は、鍵認証装置５から送信されたデータが入力された場合、又はウェイクアップ信号を受信した場合、停止状態から起動状態に状態遷移し、当該データに含まれる荷物鍵又は、荷物鍵及び車両鍵を取得し、自装置の記憶部２１に記憶する。中継装置２は、車外通信装置１を介して、荷物情報サーバＳＳ１から荷物鍵を取得する（Ｓ８）。

　中継装置２は、鍵認証装置５から送信されたデータに含まれる荷物鍵と、荷物情報サーバＳＳ１から取得した荷物鍵とを照合し、鍵認証装置５から送信されたデータに含まれる荷物鍵の認証を行う（Ｓ９）。

　当該認証結果が肯定的である場合、すなわち鍵認証装置５から送信されたデータに含まれる荷物鍵と、荷物情報サーバＳＳ１から取得した荷物鍵とが一致した場合、中継装置２は、鍵認証装置５から送信されたデータに含まれる荷物鍵、すなわち配達用情報端末ＳＴ１から送信されたデータに含まれる荷物鍵は、正当な鍵であると判定する。そして、中継装置２は、開閉装置８が接続してある車載ＥＣＵ３に対し、開操作要求信号（開要求信号）を出力（送信）する（Ｓ１０）。

　中継装置２から送信された開操作要求信号を受信した車載ＥＣＵ３は、開閉装置８に開制御信号を出力（送信）する（Ｓ１１）。開閉装置８は、開制御信号に応じてリアハッチを開く。リアハッチが開かれることにより、車両Ｃの収納部８１が開放され、配達業者は、荷物を収納部８１に載置することにより、配達を行うことができる。荷物が収納部８１に載置されることにより、重量検知装置７は、当該荷物による荷重を検出し、検出値を車載ＥＣＵ３に出力する。

　車載ＥＣＵ３は、重量検知装置７から出力された重量検知結果（荷重に関する検出値）を中継装置２に出力（送信）する（Ｓ１２）。

　車載ＥＣＵ３から中継装置２への重量検知結果の出力は、定常的又は定期的に実施されており、中継装置２は、開操作要求信号の出力の前後において、重量検知結果の変化、すなわち収納部８１の載置面に加えられる荷重の変化の有無を検知することができる。中継装置２は、開操作要求信号の出力の前後において、収納部８１の載置面に加えられる荷重が増加した場合、配達された荷物が載置されたと判定し、車載ＥＣＵ３へ閉操作要求信号を出力（送信）する（Ｓ１３）。

　閉操作要求信号を受信した車載ＥＣＵ３は、開閉装置８に閉制御信号を出力（送信）し（Ｓ１４）、閉操作完了結果を中継装置２に出力（送信）する（Ｓ１５）。

　閉操作完了結果を受信した中継装置２は、荷受人端末ＳＴ２等の予め決定されている情報端末に、配達完了を示すデータを出力する（Ｓ１６）。

　本実施形態において、配達用情報端末ＳＴ１は、車両情報サーバＳＳ２から車両鍵を取得するとしたが、これに限定されない。車両鍵は、荷物情報サーバＳＳ１を介して、荷受人端末ＳＴ２から取得するものであってもよい。この場合、荷受人端末ＳＴ２は、荷物情報サーバＳＳ１からの車両鍵の送信要求に対し、例えば、車両情報サーバＳＳ２から車両鍵を取得し、取得した車両鍵を荷物情報サーバＳＳ１に送信する。又は、荷受人端末ＳＴ２の記憶部には、車両鍵が予め記憶されており、荷受人端末ＳＴ２は、この車両鍵を荷物情報サーバＳＳ１に送信するものであってもよい。荷物情報サーバＳＳ１に送信された車両鍵は、配達用情報端末ＳＴ１に送信（転送）されることにより、配達用情報端末ＳＴ１は、車両鍵を取得することができる。

　図６は、中継装置２の制御部２０の処理を例示するフローチャートである。中継装置２の制御部２０は、車両Ｃが停止状態（ＩＧスイッチがオフ）において、定常的に以下の処理を行う。

　本実施形態におけるフローチャートは、中継装置２が鍵認証装置５から荷物鍵を含むデータ（情報）を取得するにあたり、これの前提的な処理となる鍵認証装置５の処理（Ｓ１０１，Ｓ１０２）を含む。鍵認証装置５は、配達用情報端末ＳＴ１から送信された情報（車両鍵及び荷物鍵を含むデータ）を取得し（Ｓ１０１）、当該情報に含まれる車両鍵が正当か否かの判定を行う（Ｓ１０２）。鍵認証装置５の記憶部には、例えば、当該車両鍵の正当性判定を行うための検証用の車両鍵が記憶されており、これら車両鍵を照合することにより、配達用情報端末ＳＴ１から送信された車両鍵の正当性を判定することができる。車両鍵が正当でないと判定した場合（Ｓ１０２：ＮＯ）、又は取得した情報に車両鍵が含まれていない場合、鍵認証装置５（暗号鍵承認部５２）は、処理を終了（中断）する。車両鍵が正当であると判定した場合（Ｓ１０２：ＹＥＳ）、鍵認証装置５は、荷物鍵又は、荷物鍵及び車両鍵を含む情報を中継装置２に出力（送信）する。

　中継装置２の制御部２０は、荷物鍵を含む情報を取得する（Ｓ１０３）。中継装置２の制御部２０は、鍵認証装置５から出力された情報を取得する。当該情報には、荷物鍵又は、荷物鍵及び車両鍵が含まれている。中継装置２の制御部２０は、取得した情報から荷物鍵又は、荷物鍵及び車両鍵を抽出し、抽出した荷物鍵又は、荷物鍵及び車両鍵を記憶部２１に記憶する。鍵認証装置５は配達用情報端末ＳＴ１に含まれる車両鍵が正当な場合、配達用情報端末ＳＴ１から出力された情報を中継装置２に出力する。従って、中継装置２は、鍵認証装置５によって車両鍵が認証された場合（車両鍵が正当であると判定された場合）、鍵認証装置５を介して、配達用情報端末ＳＴ１から出力された情報を取得する。このように鍵認証装置５を介して配達用情報端末ＳＴ１から出力された情報を取得することにより、配達用情報端末ＳＴ１等の車外の情報端末からのアクセスに対する中継装置２の堅牢性を向上させることができる。車両鍵の認証は鍵認証装置５が行うため、中継装置２の演算負荷を低減させることができる。

　中継装置２の制御部２０は、車外通信装置１を介して、荷物情報サーバＳＳ１から認証用の荷物鍵を取得する（Ｓ１０４）。中継装置２の記憶部には、荷物情報サーバＳＳ１にアクセスするためのＩＰアドレス等のアドレスが記憶されている。中継装置２の制御部２０は、車外通信装置１を介して荷受人端末ＳＴ２等の車両Ｃの所有者又は管理者の情報端末と通信し、当該情報端末から荷物情報サーバＳＳ１にアクセスするためのアドレスを取得し、取得したアドレスを記憶部に記憶するものであってもよい。中継装置２の制御部２０は記憶部を参照し当該アドレスを読み出し、車外通信装置１を介して荷物情報サーバＳＳ１にアクセスし、荷物情報サーバＳＳ１から認証用の荷物鍵を取得（照合用荷物鍵）する。中継装置２の制御部２０は、荷物情報サーバＳＳ１に荷物鍵の送信を要求するにあたり、車両Ｃの自動車登録番号を含むデータを出力して、荷物情報サーバＳＳ１にアクセスする。荷物情報サーバＳＳ１には、配達する荷物に関するレコードが登録されており、荷物情報サーバＳＳ１は中継装置２の制御部２０から出力された自動車登録番号及び、配達日時に相当する中継装置２からの送信時の日時に基づき、発注番号を確定し、当該発注番号に関連付けられた荷物鍵を中継装置２に出力（送信）する。

　中継装置２の制御部２０は、鍵認証装置５から出力された荷物鍵、すなわち配達用情報端末ＳＴ１から出力された荷物鍵が正当か否かの判定を行う（Ｓ１０５）。中継装置２の制御部２０は、荷物情報サーバＳＳ１から取得した荷物鍵（照合用荷物鍵）と、鍵認証装置５から取得した荷物鍵（配達用情報端末ＳＴ１から出力された荷物鍵）とを照合し、これら荷物鍵が一致した場合等、当該照合が肯定された場合、配達用情報端末ＳＴ１から出力された荷物鍵は正当であると判定する。荷物鍵の照合は、例えば、共通鍵方式に基づきこれら荷物鍵の同一性を検証する、又は予め決定されているハッシュ関数を用いて変換したハッシュ値に基づき同一性を検証するものであってもよい。

　中継装置２の制御部２０は、荷物情報サーバＳＳ１から取得した荷物鍵（照合用荷物鍵）と、鍵認証装置５から取得した荷物鍵（配達用情報端末ＳＴ１から出力された荷物鍵）とを照合することにより、配達用情報端末ＳＴ１から出力された荷物鍵の正当性を判定（認証）するとしたが、これに限定されない。中継装置２の制御部２０は、荷物情報サーバから取得した荷物鍵（照合用荷物鍵）及び鍵認証装置５から取得した荷物鍵（配達用情報端末ＳＴ１から出力された荷物鍵）を、例えば車外通信装置１を介して、車外の外部認証サーバに送信し、外部認証サーバから返信された照合結果に基づき、配達用情報端末ＳＴ１から出力された荷物鍵の正当性を判定（認証）するものであってもよい。

　荷物鍵が正当でない場合（Ｓ１０５：ＮＯ）、すなわち鍵認証装置５から出力された荷物鍵が不正な鍵である場合、又は鍵認証装置５から出力された情報に荷物鍵に相当するデータが含まれていない場合、中継装置２の制御部２０は鍵認証装置５から出力された荷物鍵は不正であると判定し、不正アクセスに関する情報を、例えば荷受人端末ＳＴ２に出力する（Ｓ１０５１）。鍵認証装置５から出力された荷物鍵が不正であるとは、鍵認証装置５に情報を出力した配達用情報端末ＳＴ１が不正な情報端末であることが想定される。

　中継装置２の制御部２０は、このような不正な情報端末からアクセス（攻撃）された旨を不正アクセスに関する情報として、荷受人端末ＳＴ２に出力することにより、荷受人端末ＳＴ２を所有する荷受人に注意喚起を行うことができる。不正アクセスに関する情報は、配達用情報端末ＳＴ１（不正な情報端末）から出力された車両鍵及び荷物鍵を含むものであってもよい。配達用情報端末ＳＴ１に成りすました不正な情報端末から出力された車両鍵及び荷物鍵に基づき、当該不正な情報端末を特定することが期待できる。

　荷物鍵が正当である場合（Ｓ１０５：ＹＥＳ）、中継装置２の制御部２０は、開操作要求信号を車載ＥＣＵ３に出力する（Ｓ１０６）。開操作要求信号を受信した車載ＥＣＵ３が、収納部８１を閉塞するリアハッチを開くことにより、収納部８１は開放状態となり、配達業者は荷物を収納部８１に載置し配達を行う。荷物が収納部８１に載置されることにより、重量検知装置７からの重量検知値が増加する。

　鍵認証装置５から出力される情報が荷物鍵及び車両鍵を含む場合、中継装置２の制御部２０は、当該車両鍵に基づき、開操作要求信号を生成し、車載ＥＣＵ３に出力するものであってもよい。中継装置２の制御部２０は、リアハッチ又はドア等のボディ系の車載装置を制御する車載ＥＣＵ３に対し、特定のボディ系の車載装置に対する操作要求信号を生成し、出力することができる。その上で、中継装置２の制御部２０は、取得した車両鍵に基づき、収納部８１を閉塞するリアハッチのみを開操作（ロックを解除）するための開操作要求信号を生成し、出力するものであってもよい。このように操作対象のボディ系の車載装置を限定した開操作要求信号を生成、出力することにより、車両Ｃに対する不要な操作を抑制することができる。

　中継装置２の制御部２０は、重量が増加したか否かを判定する（Ｓ１０７）。車載ＥＣＵ３は、重量検知装置７から取得した重量検知値を定期的、定常的に中継装置２に出力している。中継装置２は、車載ＥＣＵ３から取得した重量検知値の変化に基づき、収納部８１の載置面の荷重（収納部８１に収容されている全荷物の重量）が増加したか否かを判定する。

　重量が増加していない場合（Ｓ１０７：ＮＯ）、中継装置２の制御部２０は、再度Ｓ１０７の処理を実行すべくループ処理を行う。

　重量が増加した場合（Ｓ１０７：ＹＥＳ）、中継装置２の制御部２０は、閉操作要求信号を車載ＥＣＵ３に出力する（Ｓ１０８）。閉操作要求信号を受信した車載ＥＣＵ３は、リアハッチをロックする又はリアハッチを回動させ閉めることにより、収納部８１は閉塞状態となる。車載ＥＣＵ３は、リアハッチをロック等した後、閉操作完了結果を示す情報を中継装置２に出力する。なお、荷物の配達がされたことを検知するために重量が増加したか否かの判定は必須でなく、中継装置２の制御部２０は、例えば撮像装置が撮像した撮像データに基づき、荷物の配達がされたことを検知するものであってもよい。

　中継装置２の制御部２０は、閉操作完了結果を取得したか否かを判定する（Ｓ１０９）。中継装置２の制御部２０は、車載ＥＣＵ３から出力される閉操作完了結果を示す情報を取得（受信）したか否かを判定する。

　閉操作完了結果を取得していない場合（Ｓ１０９：ＮＯ）、中継装置２の制御部２０は、再度Ｓ１０９の処理を実行すべくループ処理を行う。

　閉操作完了結果を取得した場合（Ｓ１０９：ＹＥＳ）、中継装置２の制御部２０は、配達完了に関する情報を、例えば荷受人端末ＳＴ２に出力する（Ｓ１１０）。配達完了に関する情報を荷受人端末ＳＴ２に出力することにより、荷受人端末ＳＴ２を所有する荷受人に荷物が配達されたことを報知することができる。

　中継装置２の制御部２０は、Ｓ１１０又はＳ１０５１の処理を実行後、本フローチャートの処理を終了する。中継装置２の制御部２０は、本フローチャートの処理を終了した後、自装置を起動状態から停止状態に状態遷移させてもよい。

　中継装置２は、鍵認証装置５を介して配達用情報端末ＳＴ１から送信されるデータ（情報）を取得することにより、データの流れ方向において配達用情報端末ＳＴ１を上流側とし、配達用情報端末ＳＴ１、鍵認証装置５及び中継装置２による直列の接続形態（ネットワークトポロジー）が形成される。中継装置２は、鍵認証装置５によって車両鍵の正当性が担保（車両鍵が認証）された場合、配達用情報端末ＳＴ１から送信されるデータ（情報）を取得するため、中継装置２の堅牢性を向上させることができる。中継装置２は、鍵認証装置５を介して、配達用情報端末ＳＴ１から取得したデータに含まれる荷物鍵の正当性を判定する。従って、鍵認証装置５に接続された中継装置２を用いることにより、二段階の判定（二段階認証）を行うものとなり、配達用情報端末ＳＴ１等の車外の情報端末からのアクセスに対するセキュリティを向上させることができる。

　中継装置２は、配達用情報端末ＳＴ１から出力された荷物鍵の正当性を判定（荷物鍵の認証）するにあたり、荷物情報サーバＳＳ１から照合用の荷物鍵（照合用荷物鍵）を取得するため、正当性判定の信頼性を担保することができる。

　配達用情報端末ＳＴ１から車両Ｃに情報が出力（送信）された場合、中継装置２は、鍵認証装置５から出力される情報に基づき、自装置を停止状態から起動状態に状態遷移させる。更に中継装置２は、配達業者による配達が完了した後、自装置を起動状態から停止状態に状態遷移させる。従って、配達業者による配達が行われる際に中継装置２は停止状態から起動状態に状態遷移するため、車両Ｃの停止時における中継装置２の消費電力量（中継装置２に流れる暗電流値）を小さくすることができる。

　中継装置２は、重量検知装置７からの重量検知値に基づき、収納部８１に荷物が載置されたことを検出する。従って、当該荷物が車両Ｃの収納部８１に配達されたことを確実に検出することができる。本実施形態において、重量検知装置７により荷物が収納部８１に載置されたことを判定するものとしたが、これに限定されない。中継装置２は、撮像装置６から出力された撮像データを取得し、取得した撮像データに基づき、荷物が収納部８１に載置されたことを判定するものであってもよい。

　本実施形態において、鍵認証装置５は、中継装置２とは別個の装置として説明したがこれに限定されない。鍵認証装置５は、中継装置２に含まれる、中継装置２の一部位として機能するものであってもよい。この場合、中継装置２は、車両鍵及び荷物鍵の夫々の暗号鍵の正当性を判定することにより、車両鍵及び荷物鍵を用いた二段階認証装置として機能するものであってもよい。

（実施形態２）
　図７は、実施形態２（荷受人端末ＳＴ２に送信）に係る中継装置２の制御部２０の処理を例示するフローチャートである。実施形態２の中継装置２の制御部２０は、開操作確認信号を荷受人端末ＳＴ２に送信した後、荷受人端末ＳＴ２からの返信に基づき開操作要求信号を車載ＥＣＵ３に出力する点で、実施形態１と異なる。

　実施形態２の中継装置２の制御部２０は、実施形態１と同様に車両Ｃが停止状態（ＩＧスイッチがオフ）において、定常的に以下の処理を行う。実施形態２におけるフローチャートも、実施形態１の鍵認証装置５の処理（Ｓ１０１，Ｓ１０２）と同様に、中継装置２が鍵認証装置５から荷物鍵を含むデータ（情報）を取得するにあたり、これの前提的な処理となる鍵認証装置５の処理（Ｓ２０１，Ｓ２０２）を含む。

　実施形態２の中継装置２の制御部２０は、実施形態１の処理（Ｓ１０３、Ｓ１０４、Ｓ１０５）と同様に、Ｓ２０３、Ｓ２０４及びＳ２０５の処理を行う。荷物鍵が正当でない場合（Ｓ２０５：ＮＯ）、実施形態２の中継装置２の制御部２０は、実施形態１の処理（Ｓ１０５１）と同様に、Ｓ２０５１の処理を行う。

　荷物鍵が正当である場合（Ｓ２０５：ＹＥＳ）、中継装置２の制御部２０は、開確認要求信号を、荷受人端末ＳＴ２に送信する（Ｓ２０６）。

　中継装置２の制御部２０は、荷受人端末ＳＴ２からの返信を受信したか否かを判定する（Ｓ２０７）。荷受人端末ＳＴ２からの返信を受信していない場合（Ｓ２０７：ＮＯ）、中継装置２の制御部２０は、再度Ｓ２０７の処理を実行すべくループ処理を行う。

　荷受人端末ＳＴ２からの返信を受信した場合（Ｓ２０７：ＹＥＳ）、中継装置２の制御部２０は、実施形態１の処理（Ｓ１０６）と同様に開操作要求信号を車載ＥＣＵ３に出力する（Ｓ２０８）。

　実施形態２の中継装置２の制御部２０は、実施形態１の処理（Ｓ１０７、Ｓ１０８、Ｓ１０９、Ｓ１１０）と同様に、Ｓ２０９、Ｓ２１０、Ｓ２１１及びＳ２１２の処理を行う。

　中継装置２の制御部２０は、Ｓ２１２又はＳ２０５１の処理を実行後、本フローチャートの処理を終了する。中継装置２の制御部２０は、本フローチャートの処理を終了した後、自装置を起動状態から停止状態に状態遷移させてもよい。

　中継装置２の制御部２０は、荷物鍵の正当性を判定（荷物鍵を認証）した上で、収納部８１を閉塞するリアハッチの開操作を実施することを確認するための開操作確認信号を、予め決定されている荷受人端末ＳＴ２に送信し、当該荷受人端末ＳＴ２からの返信を受信した場合、収納部８１を閉塞するリアハッチの開操作を行うための閉操作要求信号を車載ＥＣＵ３に出力する。従って、配達用情報端末ＳＴ１等、車外からの情報端末による車両Ｃの操作に対するセキュリティを更に向上させることができる。

（実施形態３）
　図８は、実施形態３（限定的な開要求信号）に係る中継装置２の制御部２０の処理を例示するフローチャートである。実施形態３の中継装置２の制御部２０は、鍵認証装置５から出力された情報に含まれる車両鍵に基づき、限定的な開操作要求信号を生成し、車載ＥＣＵ３に出力する点で、実施形態１と異なる。

　実施形態３の中継装置２の制御部２０は、実施形態１と同様に車両Ｃが停止状態（ＩＧスイッチがオフ）において、定常的に以下の処理を行う。実施形態３におけるフローチャートも、実施形態１の鍵認証装置５の処理（Ｓ１０１，Ｓ１０２）と同様に、中継装置２が鍵認証装置５から荷物鍵及び車両鍵を含むデータ（情報）を取得するにあたり、これの前提的な処理となる鍵認証装置５の処理（Ｓ３０１，Ｓ３０２）を含む。

　実施形態３の中継装置２の制御部２０は、荷物鍵及び車両鍵を含む情報を取得する（Ｓ３０３）。中継装置２の制御部２０は、実施形態１との処理（Ｓ１０３）と同様に鍵認証装置５から出力された情報を取得する。当該情報には、荷物鍵及び車両鍵が含まれている。鍵認証装置５から出力された情報に荷物鍵及び車両鍵が含まれているとは、当該情報に荷物鍵及び車両鍵そのものが含まれている場合に限定されず、例えば荷物鍵及び車両鍵を予め決定されているハッシュ関数により変換したハッシュ値夫々を含むものであってもよい。すなわち、荷物鍵及び車両鍵が含まれている情報とは、当該荷物鍵、車両鍵又は、荷物鍵及び車両鍵の組合せによる併合鍵との相関を有する情報を含むことを意味する。

　中継装置２の制御部２０は、実施形態１の処理（Ｓ１０４、Ｓ１０５）と同様に、Ｓ３０４及びＳ３０５の処理を行う。荷物鍵が正当でない場合（Ｓ３０５：ＮＯ）、実施形態３の中継装置２の制御部２０は、実施形態１の処理（Ｓ１０５１）と同様に、Ｓ３０５１の処理を行う。

　中継装置２の制御部２０は、鍵認証装置５から取得した情報に、車両鍵が含まれているか否かの判定を行う（Ｓ３０６）。中継装置２と鍵認証装置５との通信は、鍵認証装置５を介して配達用情報端末ＳＴ１から送信された情報を通信する場合と、鍵認証装置５がＦＯＢキー等の電子鍵からのアクセスに基づき行う通信とを含む。ＦＯＢキー等の電子鍵からのアクセスに基づき行う通信の場合、鍵認証装置５からの出力される情報に基づき、中継装置２の制御部２０は、開閉装置８の開閉操作に関する信号及び車両Ｃを起動するためのＩＧスイッチへのオンに関する信号を出力する。これに対し、中継装置２の制御部２０は、鍵認証装置５を介して配達用情報端末ＳＴ１から送信された情報を取得する場合、当該情報に配達用情報端末ＳＴ１から送信された車両鍵が含まれているか否かの判定を行う。中継装置２の記憶部２１には、配達用情報端末ＳＴ１から送信された車両鍵と同一の車両鍵、又は当該車両鍵を検証するための検証用データが記憶されており、中継装置２の制御部２０は、当該検証用データ等に基づき、鍵認証装置５を介して配達用情報端末ＳＴ１から送信された情報に車両鍵が含まれているか否かの判定を行う。鍵認証装置５から取得した情報に車両鍵が含まれていない場合（Ｓ３０６：ＮＯ）、中継装置２の制御部２０は、不正アクセスに関する情報を例えば荷受人端末ＳＴ２に出力する（Ｓ３０５１）。

　中継装置２に情報を出力する鍵認証装置５は、ＦＯＢキー等の電子鍵に加え、配達用情報端末ＳＴ１等の車両Ｃの外部から種々の情報端末によりアクセスされるところ、万が一、鍵認証装置５による車両鍵等の暗号鍵が不正に突破された場合であっても、中継装置２により更に暗号鍵の照合を行うことにより、車両Ｃに対するセキュリティを強化することができる。

　鍵認証装置５から取得した情報に車両鍵が含まれている場合（Ｓ３０６：ＹＥＳ）、中継装置２の制御部２０は、開閉装置８を開操作することのみを許容する限定的な開操作要求信号を車載ＥＣＵ３に出力する（Ｓ３０７）。上述のとおり、中継装置２の制御部２０は、ＦＯＢキーのアクセスを受信した鍵認証装置５から取得した情報に基づき、車両Ｃの起動に関する様々な信号をＩＧスイッチ等の車載装置に出力する。これに対し、鍵認証装置５を介して配達用情報端末ＳＴ１から情報を取得した際、当該情報に配達業者が荷物を配達するための車両鍵が含まれる場合、当該荷物を配達するために限定した開操作要求信号を生成し、車載ＥＣＵ３に当該限定した開操作要求信号を出力（送信）する。限定した開操作要求信号とは、収納部８１（トランク）の開閉装置８のみを開く信号である。当該限定した開操作要求信号を受信した車載ＥＣＵ３は、収納部８１（トランク）の開閉装置８のみを開き、例えばドア用開閉装置の他開閉装置を開かず、当該ドア用開閉装置を閉状態に維持する。このように、中継装置２の制御部２０は、配達業者が荷物を配達するための車両鍵に基づき、車両Ｃに対し許容される操作を限定する開操作要求信号を生成、出力することにより、車両Ｃに対するセキュリティを強化することができる。

　実施形態３の中継装置２の制御部２０は、実施形態１の処理（Ｓ１０７、Ｓ１０８、Ｓ１０９、Ｓ１１０）と同様に、Ｓ３０８、Ｓ３０９、Ｓ３１０及びＳ３１１の処理を行う。中継装置２の制御部２０は、Ｓ３１１又はＳ３０５１の処理を実行後、本フローチャートの処理を終了する。中継装置２の制御部２０は、本フローチャートの処理を終了した後、自装置を起動状態から停止状態に状態遷移させてもよい。

　本実施形態において、中継装置２の制御部２０は、鍵認証装置５を介して配達用情報端末ＳＴ１から出力された情報を取得し、荷物鍵及び車両鍵に対する処理を順次に別個で行うものとしたがこれに限定されない。中継装置２の制御部２０は、鍵認証装置５を介して配達用情報端末ＳＴ１から出力された情報を取得し、車両鍵に対する処理を行った後、荷物鍵に対する処理を行うものであってもよい。配達用情報端末ＳＴ１から出力された情報が鍵認証装置５によって加工され、例えば配達用情報端末ＳＴ１から出力された情報に含まれる車両鍵及び荷物鍵が併合された併合鍵として、鍵認証装置５から中継装置２に出力された場合、中継装置２は、当該併合鍵から車両鍵及び荷物鍵を抽出し、夫々の鍵に対する処理を行うものであってもよい。又は、中継装置２は、荷物情報サーバＳＳ１から取得した商品鍵と、例えば車両情報サーバＳＳ２から取得した車両鍵とを用いて、同様に併合鍵を生成し、当該生成した併合鍵と、鍵認証装置５から取得した併合鍵とを照合することにより、荷物鍵及び車両鍵の正当性を判定（認証）するものであってもよい。

　今回開示された実施形態はすべての点で例示であって、制限的なものではないと考えられるべきである。本発明の範囲は、上記した意味ではなく、請求の範囲によって示され、請求の範囲と均等の意味及び範囲内でのすべての変更が含まれることが意図される。

　Ｃ　車両
　Ｓ　開閉装置制御システム
　ＳＳ１　荷物情報サーバ
　ＳＳ２　車両情報サーバ
　ＳＴ１　配達用情報端末
　ＳＴ２　荷受人端末（予め決定された情報端末）
　１　車外通信装置
　１１　車外通信部
　１２　入出力Ｉ／Ｆ
　１３　広域用アンテナ
　２　中継装置（ＧａｔｅＷａｙ）
　２０　制御部
　２１　記憶部
　２１１　記録媒体
　２２　入出力Ｉ／Ｆ
　２３　車内通信部
　３　車載ＥＣＵ（車載制御装置、ボディＥＣＵ）
　３０　制御部
　３１　記憶部
　３２　車内通信部
　３３　入出力Ｉ／Ｆ
　４　車内ＬＡＮ
　４１　通信線
　５　鍵認証装置
　５１　狭域用アンテナ
　５２　暗号鍵承認部
　５３　電子鍵受付部
　６　撮像装置
　７　重量検知装置
　８　開閉装置
　８１　収納部（トランク）

Claims

　車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、
　前記車載制御装置との通信を制御する制御部を備え、
　前記制御部は、
　前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する
　中継装置。
　前記制御部は、
　前記荷物鍵を照合するための照合用荷物鍵を前記車両外の荷物情報サーバから取得し、
　取得した前記照合用荷物鍵と、前記荷物鍵との照合が肯定された場合、前記開閉装置を開くための開要求信号を前記車載制御装置に出力する
　請求項１に記載の中継装置。
　前記配達用情報端末から送信されるデータは、前記車両に関連付けられて生成された車両鍵を含み、
　前記制御部は、前記車両鍵が前記鍵認証装置によって承認された場合、前記配達用情報端末から送信されるデータを、前記鍵認証装置を介して取得する
　請求項１又は請求項２に記載の中継装置。
　自装置の状態は、前記車載制御装置と通信を行う起動状態と、前記車載制御装置と通信を行わない停止状態とを含み、
　前記制御部は、前記自装置が停止状態の際に前記鍵認証装置を介して前記配達用情報端末から送信されるデータを取得する場合、前記自装置を停止状態から起動状態に状態遷移させる
　請求項１から請求項３のいずれか一項に記載の中継装置。
　前記制御部は、前記開要求信号の出力後に前記車両内における荷重が増加した場合、予め決定されている情報端末に前記配達物の配達完了を示す報知信号を出力する
　請求項１から請求項４のいずれか一項に記載の中継装置。
　前記鍵認証装置を介して取得したデータは、前記車両に関連付けて生成された車両鍵に関する情報を含み、
　前記制御部は、
　前記取得したデータから前記車両鍵に関する情報を抽出し、
　抽出した前記車両鍵に基づき、前記開閉装置を開くことに限定した前記開要求信号を前記車載制御装置に出力する
　請求項１から請求項５のいずれか一項に記載の中継装置。
　コンピュータに、
　車両の開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を、前記開閉装置の開閉を制御する車載制御装置に出力する
　処理を実行させるプログラム。
　車両の開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを要求する開要求信号を、前記開閉装置の開閉を制御する車載制御装置に出力する
　中継方法。
　車両に実装される開閉装置と、
　前記開閉装置の開閉を制御する車載制御装置と、
　前記車載制御装置と通信可能に接続される中継装置と、
　前記中継装置と通信可能に接続される鍵認証装置とを備え、
　前記鍵認証装置は、
　前記開閉装置を開くことにより配達物を前記車両内に配達する配達業者の配達用情報端末から送信されるデータを取得し、
　前記取得したデータに、前記車両に関連付けられて生成される車両鍵が含まれる場合、前記取得したデータに基づき生成した第２データを出力し、
　前記中継装置は、
　前記鍵認証装置が出力した第２データを取得し、
　前記第２データに、前記配達物に関連付けられて生成される荷物鍵が含まれる場合、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する
　車両の開閉装置制御システム。
　車両に実装される開閉装置を制御する車載制御装置と通信可能に接続される中継装置であって、
　前記車載制御装置との通信を制御する制御部を備え、
　前記制御部は、
　前記開閉装置を開くことにより配達物を車両内に配達する配達業者の配達用情報端末から送信されるデータを、前記車両に搭載される鍵認証装置を介して取得し、
　前記取得したデータに含まれる荷物鍵に関する情報に基づき、前記開閉装置を開くことを確認する開操作確認信号を予め決定されている情報端末に送信し、
　前記情報端末からの返信に基づき、前記開閉装置を開くことを要求する開要求信号を前記車載制御装置に出力する
　中継装置。