WO2022070737A1

WO2022070737A1 - 認証システム、認証方法および認証プログラム

Info

Publication number: WO2022070737A1
Application number: PCT/JP2021/032039
Authority: WO
Inventors: 孝文一ツ松
Original assignee: 株式会社デンソー
Priority date: 2020-10-01
Filing date: 2021-09-01
Publication date: 2022-04-07
Also published as: US20230192031A1; JP2022059383A

Abstract

認証システムは、接続認証と、動作認証とを含む認証制御を行う認証システムであって、認証対象装置に向けて携帯端末が送信する信号を受信する通信機を備えている。携帯端末は、状態センサと、接続要求信号を受信する受信部と、接続応答信号を送信する送信部と、制御部とを備えている。制御部は、取得部と、判断部とを備えている。制御部は、携帯端末の状態が許可条件を充足している場合に、送信部から接続応答信号を送信し、携帯端末の状態が許可条件を充足していない場合に、送信部から接続応答信号を送信しない実行部を備えている。判断部は、受信部が接続要求信号を受信する前は状態判断を行わず、受信部が接続要求信号を受信した後に状態判断を行う。

Description

認証システム、認証方法および認証プログラム

関連出願の相互参照

　この出願は、２０２０年１０月１日に日本に出願された特許出願第２０２０－１６７０８６号を基礎としており、基礎の出願の内容を、全体的に、参照により援用している。

　この明細書における開示は、認証システム、認証方法および認証プログラムに関する。

　特許文献１は、携帯端末によって送信される信号に基づいて制御対象の施錠状態を制御する状態制御システム、および状態制御方法を開示している。先行技術文献の記載内容は、この明細書における技術的要素の説明として、参照により援用される。

特開２０１３－２１７１４２号公報

　先行技術文献の構成では、携帯端末のユーザが停止していること、つまり歩行していないことを検出した後に、施錠状態を制御するための様々な処理を行っている。ここで、携帯端末は、ユーザが歩行しているか否かの検出を行う度に電力を消費してしまう。上述の観点において、または言及されていない他の観点において、認証システム等にはさらなる改良が求められている。

　開示される１つの目的は、認証制御に関する消費電力を低減可能な認証システム等を提供することにある。

　ここに開示された認証システムは、通信接続を確立するための接続認証と、携帯端末を所持するユーザによる操作を許可するか否かの対象となる認証対象装置を動作させるための動作認証とを含む認証制御を行う認証システムであって、認証対象装置に向けて携帯端末が送信する信号を受信する通信機を備え、携帯端末は、近距離無線通信が可能であり、携帯端末の状態を検出するための状態センサと、通信接続を要求する信号である接続要求信号を受信する受信部と、接続要求信号に応答して送信する信号である接続応答信号を送信する送信部と、近距離無線通信の制御を行う制御部とを備え、制御部は、受信部で受信した情報と状態センサで検出した情報とを取得する取得部と、取得部で取得した情報に基づいて携帯端末の状態を判断する状態判断を行う判断部と、携帯端末の状態が許可条件を充足している場合に、送信部から接続応答信号を送信し、携帯端末の状態が許可条件を充足していない場合に、送信部から接続応答信号を送信しない実行部とを備え、判断部は、受信部が接続要求信号を受信する前は状態判断を行わず、受信部が接続要求信号を受信した後に状態判断を行う。

　また、ここに開示された認証方法は、近距離無線通信が可能な携帯端末と、携帯端末を所持するユーザによる操作を許可するか否かの対象となる認証対象装置に向けて携帯端末が送信する信号を受信する通信機とを用いて、通信接続を確立するための接続認証と認証対象装置を動作させるための動作認証とを含む認証制御を行うための認証方法であって、携帯端末に設けられた受信部で受信した情報と携帯端末の状態を検出するための状態センサで検出した情報とを取得する取得ステップと、取得ステップで取得した情報に基づいて携帯端末の状態を判断する状態判断を行う判断ステップと、携帯端末の状態が許可条件を充足している場合に、携帯端末に設けられた送信部から接続応答信号を送信し、携帯端末の状態が許可条件を充足していない場合に、送信部から接続応答信号を送信しない実行ステップとを含み、判断ステップでは、受信部が接続要求信号を受信する前は状態判断を行わず、受信部が接続要求信号を受信した後に状態判断を行う。

　また、ここに開示された認証プログラムは、近距離無線通信が可能な携帯端末と、携帯端末を所持するユーザによる操作を許可するか否かの対象となる認証対象装置に向けて携帯端末が送信する信号を受信する通信機とを用いて、通信接続を確立するための接続認証と認証対象装置を動作させるための動作認証とを含む認証制御を行うための認証プログラムであって、携帯端末に設けられた受信部で受信した情報と携帯端末の状態を検出するための状態センサで検出した情報とを取得させる取得処理と、取得処理で取得した情報に基づいて携帯端末の状態を判断する状態判断を行わせる判断処理と、携帯端末の状態が許可条件を充足している場合に、携帯端末に設けられた送信部から接続応答信号を送信させ、携帯端末の状態が許可条件を充足していない場合に、送信部から接続応答信号を送信させない実行処理とを含み、　判断処理では、受信部が接続要求信号を受信する前は状態判断を行わせず、受信部が接続要求信号を受信した後に状態判断を行わせる。

　開示された認証システム等によると、受信部が接続要求信号を受信する前は状態判断を行わず、受信部が接続要求信号を受信した後に状態判断を行う。このため、受信部が接続要求信号を受信する前に状態判断を行ってしまうことを抑制できる。したがって、接続要求信号を受信する前から携帯端末の状態判断を行う場合に比べて、状態判断を行う回数を減らし、状態判断を含む認証制御での消費電力を低減できる。よって、認証制御に関する消費電力を低減可能な認証システム等を提供できる。

　この明細書における開示された複数の態様は、それぞれの目的を達成するために、互いに異なる技術的手段を採用する。請求の範囲およびこの項に記載した括弧内の符号は、後述する実施形態の部分との対応関係を例示的に示すものであって、技術的範囲を限定することを意図するものではない。この明細書に開示される目的、特徴、および効果は、後続の詳細な説明、および添付の図面を参照することによってより明確になる。

認証システムの構成を示す構成図である。認証制御に関する携帯端末のブロック図である。認証制御に関する車両側ユニットのブロック図である。車両に設けられたＢＬＥ通信機の配置を示す上面図である。認証制御に関するフローチャートである。図５のステップＳ１２０の処理に関するフローチャートである。第２実施形態における認証制御に関するフローチャートである。図７のステップＳ２２０の処理に関するフローチャートである。

　図面を参照しながら、複数の実施形態を説明する。複数の実施形態において、機能的におよび／または構造的に対応する部分および／または関連付けられる部分には同一の参照符号、または百以上の位が異なる参照符号が付される場合がある。対応する部分および／または関連付けられる部分については、他の実施形態の説明を参照することができる。

　第１実施形態
　認証システム１は、認証が必要な対象である認証対象装置における認証を行うシステムである。認証対象装置としては、後述する車両１１などの移動体や、家や会社などの移動を伴わない施設および設備などに設けられている装置を採用可能である。以下では、認証システム１を車両１１に適用した車両用の認証システム１について説明する。

　認証システム１を用いて、適切に認証対象装置の認証が許可されることで、ユーザが認証対象装置を有する車両１１の様々な操作を実行することができる。ここで、認証には接続認証と動作認証とが含まれている。接続認証とは、通信接続を確立するための認証である。動作認証とは、認証対象装置の動作を実行するための認証である。接続認証が許可され、接続が確立した状態で動作認証が許可されることにより、認証対象装置と接続している装置である携帯端末５０を所持するユーザからの認証対象装置に対する操作が可能な状態となる。例えば、認証対象装置が施解錠を制御する装置である場合には、動作認証が許可された後、ユーザによって解錠操作をすることで、施錠されている車両１１を解錠することができる。一方、接続認証または動作認証が完了していなければ、解錠操作を受け付けず、車両１１が施錠された状態が維持されることとなる。ユーザによる解錠操作は、携帯端末５０の操作と、車両１１に設けられているボタン操作とのどちらによっても実行可能に構成されている。

　通常、認証対象装置を有する車両１１側には、施解錠を操作するためのボタン等の様々なボタンが設けられている。正規のユーザによる認証が許可された状態で、ユーザが車両１１に設けられているボタンを操作することで車両１１の施解錠などを制御することができる。これにより、施解錠などの操作に関してユーザの利便性を高めている。しかしながら、リレーアタックなどの第三者による不正行為で認証が許可されてしまった場合、車両１１に設けられているボタンを操作することで、第三者が車両１１の様々な制御を実行できてしまう。したがって、車両１１において、正規のユーザの意図に反して不正に認証が許可されてしまうことを防止する必要がある。

　図１において、認証システム１は、車両１１と携帯端末５０とを備えている。携帯端末５０は、例えばスマートフォン等の情報処理端末である。スマートフォンは、多機能携帯電話機とも呼ばれる。スマートフォンは、複数の装置と同時に近距離無線通信による通信接続を確立可能な端末である。また、スマートフォンは、後述する認証用アプリケーション以外にも複数のアプリケーションを有していることが想定される。このため、様々な装置のそれぞれと無線通信を行う目的で、スマートフォンの周囲の電波を受信可能に待ち受けている可能性の高い端末であるといえる。携帯端末５０は、ユーザに携帯される。以下では、携帯端末５０がスマートフォンである場合を例に説明を行う。ただし、携帯端末５０は、コネクション型通信を行うものであれば、スマートフォンに限らない。コネクション型通信とは、無線通信を開始する前に通信相手との間で仮想的な専用通信路（つまり、コネクション）を確立し、コネクションを通じて情報の送受信を行う通信方式である。つまり、通信接続を確立して無線通信を行う通信方式である。コネクション型通信では、通信接続を確立する前にも、通信接続を開始するための信号のやり取りは行われる。

　車両１１には、車両側ユニット３が搭載されている。車両側ユニット３は、携帯端末５０との間で無線通信を行い、接続認証や動作認証を行う。車両側ユニット３の詳細については後述する。認証システム１では、コード照合による動作認証が成立したことをもとに、車両ドアの施解錠や車両１１の走行駆動源の始動等の車両１１の制御を許可する。つまり、認証システム１では、携帯端末５０が車両１１の電子キーとして機能する。動作認証の成立時に許可される車両１１の制御は、上述の例に限られない。動作認証の成立時に許可される車両１１の制御として、携帯端末５０からの指示によるエアコンの制御、車両情報の携帯端末５０への送信等を採用してもよい。

　図２を用いて携帯端末５０についての説明を行う。図２に示すように、携帯端末５０は、制御部７０と通信モジュール５１と状態センサ５３とタイマ５４と情報提示部５５と操作入力部５６とを備えている。本実施形態では、便宜上、携帯端末５０のうちの、車両側ユニット３との通信接続および車両１１の制御のための認証に関連する構成以外については説明を省略している。

　通信モジュール５１は、車両側ユニット３との間で通信接続を確立して近距離無線通信を行うための装置である。ここで言うところの近距離無線通信とは、例えば通信範囲が最大でも数十メートル程度におさまる所定の近距離無線通信規格に準拠した通信とする。このような近距離無線通信規格としては、Bluetooth（登録商標） Low Energy（以下、ＢＬＥ）やNear Field Communication（以下、ＮＦＣ）を採用することができる。なお、ＮＦＣは、近距離無線通信の中でも特に通信距離が短い。ＮＦＣは、通信距離が最大でも数十センチメートルである。ＮＦＣなどの通信距離が１メートルに満たない通信を、ＢＬＥなどの１メートル以上の近距離無線通信と区別して、近接場通信ということもできる。ＢＬＥは、通信速度を低く抑えることで、低消費電力とした通信モードである。本実施形態では、近距離無線通信として、ＢＬＥに準拠した通信を行う場合を例に挙げて説明を行う。ＢＬＥでは、２．４ＧＨｚ帯の電波が用いられる。２．４ＧＨｚ帯とは、２４００ＭＨｚから２５００ＭＨｚの電波である。

　通信モジュール５１は、近距離無線信号を受信可能な受信部５１ｒと、近距離無線信号を送信可能な送信部５１ｓとを備えている。受信部５１ｒと送信部５１ｓとは、それぞれ通信用のアンテナを備えている。

　状態センサ５３は、携帯端末５０の状態を検出するためのセンサである。状態センサ５３は、携帯端末５０の動きを３次元で検出するためのセンサである。状態センサ５３としては、加速度を計測する加速度センサや角速度を計測する角速度センサを採用可能である。ただし、状態センサ５３として、上述のセンサ以外のセンサを採用してもよい。状態センサ５３として加速度センサを採用した場合、状態センサ５３が加速度に応じたセンサ値を検出することとなる。また、状態センサ５３として加速度センサを採用した場合、互いに直交するＸ方向とＹ方向とＺ方向との３つの方向について、加速度に応じたセンサ値を検出することとなる。以下では、状態センサ５３が加速度センサである場合を例に説明を行う。

　状態センサ５３は、特定の周期で検出を繰り返す。例えば、検出周期が１００ミリ秒に設定されている場合には、１００ミリ秒を経過するごとに加速度の検出を行う。検出周期は、常に一定でなくてもよい。例えば、携帯端末５０が起動状態の場合には、検出周期を１００ミリ秒とし、携帯端末５０がスリープ状態の場合には、検出周期を６０秒とするなどしてもよい。これによると、起動状態に比べてスリープ状態の方が、状態センサ５３の検出頻度を少なくでき、状態センサ５３で消費する電力を低減できる。

　タイマ５４は、時間を計測するための装置である。タイマ５４は、例えば特定の制御が開始されてから現在に至るまでの経過時間を計測可能である。

　情報提示部５５は、ユーザに向けて情報を提示するための装置である。情報提示部５５としては、表示によって情報を提示する表示装置、音声によって情報を提示する音声出力装置等が挙げられる。

　操作入力部５６は、ユーザからの操作入力を受け付けるための装置である。操作入力部５６は、ユーザからの車両１１の制御に対する要求に関する操作入力（以下、制御要求操作入力）を受け付ける。制御要求操作入力の一例としては、車両ドアの施解錠を要求する操作入力が挙げられる。制御要求操作入力の他の一例としては、車両１１の空調装置の動作を要求する操作入力が挙げられる。制御要求操作入力の他の一例としては、タイヤ空気圧等の車両情報の送信を要求する操作入力が挙げられる。操作入力部５６は、情報提示部５５のうちの表示装置と一体となったタッチパネルであってもよい。

　制御部７０は、例えばプロセッサ、メモリ等からなる。制御部７０は、車両側ユニット３と通信モジュール５１との通信接続を確立するための接続認証に関する制御を行う。制御部７０は、車両側ユニット３と通信モジュール５１との通信接続が確立した状態において、携帯端末５０を所持するユーザからの認証対象装置に対する操作を可能にするための動作認証に関する制御を行う。

　制御部７０は、車両側ユニット３から取得した情報が、情報提示部５５に提示すべき情報であった場合には、この情報を情報提示部５５から提示させる。例えば、車両情報の送信の要求に対して車両側ユニット３から送信される車両情報を取得した場合に、この車両情報を情報提示部５５から提示させる。

　制御部７０は、取得部７１と算出部７２と判断部７３と実行部７４とを備えている。取得部７１は、車両１１に関する情報や携帯端末５０に関する情報を取得する。取得部７１が取得する車両１１に関する情報は、通信接続確立前の接続要求信号や通信接続確立後のリクエスト信号などの受信部５１ｒで受信する情報等である。取得部７１が取得する携帯端末５０に関する情報は、状態センサ５３で検出したセンサ値の情報や操作入力部５６に入力された情報等である。

　算出部７２は、状態センサ５３で検出した情報を用いて、様々な物理量を算出する。算出部７２は、例えば、状態センサ５３で検出したＸ方向の加速度とＹ方向の加速度とＺ方向の加速度から加速度の合成値を算出する。また、算出部７２は、検出したタイミングの異なる複数の合成値から平滑化した値を算出する。

　判断部７３は、算出部７２で算出した値から携帯端末５０の状態を判断する状態判断を行う。実行部７４は、判断部７３の判断結果に基づいて、接続認証に関する制御を実行する。判断部７３の状態判断や、実行部７４で実行する制御の詳細については、後に説明する。

　図３を用いて、車両側ユニット３についての説明を行う。車両側ユニット３は、通信ＥＣＵ３０と車両センサ３１と施解錠スイッチ３２と始動スイッチ３３とを備えている。車両側ユニット３は、ＢＬＥ通信機３５とボデーＥＣＵ３６とパワーユニットＥＣＵ３７と照合ＥＣＵ３８とエアコンＥＣＵ３９とを備えている。通信ＥＣＵ３０と車両センサ３１とボデーＥＣＵ３６とパワーユニットＥＣＵ３７と照合ＥＣＵ３８とエアコンＥＣＵ３９とは、車内ＬＡＮに接続されている。

　車両センサ３１は、自車の各種状態を検出するためのセンサ群である。車両センサ３１としては、自車の各座席の着座状態を検出する着座センサ、自車の車両ドアの開閉状態を検出するためのドアカーテシスイッチ等がある。また、車両センサ３１としては、自車の走行状態、操作状態等を検出するためのセンサがある。このようなセンサとしては、自車の車速を検出する車速センサ、シフトポジションを検出するシフトポジションセンサ等がある。

　施解錠スイッチ３２は、運転席のドア、助手席のドア、トランクルームドアといった車両ドアの施解錠を要求するためのスイッチである。施解錠スイッチ３２は、車両１１のアウタードアハンドル等に設けられている。施解錠スイッチ３２としては、タッチスイッチやメカニカルなボタンスイッチを採用可能である。施解錠スイッチ３２の信号は、ボデーＥＣＵ３６に出力される。

　始動スイッチ３３は、自車の走行駆動源の始動を要求するためのスイッチである。始動スイッチ３３は、運転席前方に設けられている。始動スイッチ３３としては、メカニカルなボタンスイッチを採用可能である。始動スイッチ３３の信号は、照合ＥＣＵ３８に出力される。

　ＢＬＥ通信機３５は、ＩＣとアンテナと通信回路等からなる通信用モジュールを備えている。ＢＬＥ通信機３５は、通信ＥＣＵ３０の指示に従って、ＢＬＥに準拠した無線通信を行う。ＢＬＥ通信機３５は、受信する電波の受信信号強度（以下、ＲＳＳＩ）を計測するＲＳＳＩ計測回路を有している。

　ＢＬＥ通信機３５は、携帯端末５０の通信モジュール５１との間で通信接続を確立した後において、無線通信に用いられる電波のスニッフィング（つまり、傍受）によって、この電波を受信してＲＳＳＩを計測する。また、ＢＬＥ通信機３５は、携帯端末５０の通信モジュール５１との間で通信接続を確立する前において、携帯端末５０の通信モジュール５１から送信される電波も受信してＲＳＳＩを計測する。このような電波の一例としては、通信接続確立前の接続要求の送信に用いられる電波である接続要求信号が挙げられる。

　ＢＬＥ通信機３５は、例えば自車の車室内外の複数箇所に設けられている。ＢＬＥ通信機３５は、各設置場所において、携帯端末５０から送信される電波のＲＳＳＩを計測することが好ましい。例えば、ＢＬＥ通信機３５は、車室外の所定範囲が強電界エリアとなるように、車両ドアの外側面、車両１１の屋根部、ボンネット、ピラー等に配置される。また、ＢＬＥ通信機３５は、車室内の所定範囲が強電界エリアとなるように、センターコンソールとインストルメントパネルとの境界部分、車両ドアの内側面、トランクルーム等に配置される。

　図４において、車両１１は、車室外に配置されるＢＬＥ通信機３５として、車両１１の左右の側面の前部から後部にわたってＢＬＥ通信機３５ａ～３５ｆを備えている。また、車両１１は、車室内に配置されるＢＬＥ通信機３５として、車室内にＢＬＥ通信機３５ｇ～３５ｊを備えている。

　ＢＬＥ通信機３５ａは、車両１１の前部座席の右側ドアの外側面に配置されている。ＢＬＥ通信機３５ｂは、車両１１の後部座席の右側ドアの外側面に配置されている。ＢＬＥ通信機３５ｃは、車両１１の後端部の右コーナー付近に配置されている。ＢＬＥ通信機３５ｄは、車両１１の前部座席の左側ドアの外側面に配置されている。ＢＬＥ通信機３５ｅは、車両１１の後部座席の左側ドアの外側面に配置されている。ＢＬＥ通信機３５ｆは、車両１１の後端部の左コーナー付近に配置されている。

　ＢＬＥ通信機３５ｇは、車両１１のセンターコンソールとインストルメントパネルとの境界部分に配置されている。ＢＬＥ通信機３５ｈは、車両１１の後部座席の右側ドアの内側面に配置されている。ＢＬＥ通信機３５ｉは、車両１１のトランクルームの床部に配置されている。ＢＬＥ通信機３５ｊは、車両１１の後部座席の左側ドアの内側面に配置されている。

　ＢＬＥ通信機３５は、計測したＲＳＳＩを通信ＥＣＵ３０に出力する。ＲＳＳＩは、距離減衰特性を持つ。このため、ＢＬＥ通信機３５で計測したＲＳＳＩを用いて、ＢＬＥ通信機３５と電波の送信元の携帯端末５０との距離を算出することが可能になる。また、ＢＬＥ通信機３５と携帯端末５０との距離から、自車に対する携帯端末５０の位置を特定することが可能になる。

　例えば、３つ以上のＢＬＥ通信機３５で計測したＲＳＳＩのそれぞれから算出した距離、およびこれらのＢＬＥ通信機３５の自車における配置位置を取得する。これにより、取得した情報に基づいて三角測量の原理によって自車の基準点に対する携帯端末５０の位置を特定することができる。

　本実施形態では、ＲＳＳＩを利用して自車に対する携帯端末５０の位置を特定する構成を例に説明を行うが、携帯端末５０の位置の特定方法は、必ずしもこれに限らない。例えば、電波の到来角度を用いて定位を行うＡｏＡ（Angle of Arrival）方式を利用して自車に対する携帯端末５０の位置を特定する構成としてもよい。また、電波の飛行時間を用いて定位を行うＴｏＦ（Time of Flight）方式を利用して自車に対する携帯端末５０の位置を特定する構成としてもよい。他にも、電波の到達時間差を用いて定位を行うＴＤＯＡ（Time Difference of Arrival）方式を利用して自車に対する携帯端末５０の位置を特定する構成としてもよい。

　図３において、ボデーＥＣＵ３６は、例えばプロセッサ、メモリ等からなる電子制御装置である。ボデーＥＣＵ３６は、各車両ドアの施解錠を制御するための駆動信号を各車両ドアに設けられたドアロックモータに出力することで、各車両ドアの施解錠を行う。また、ボデーＥＣＵ３６には、施解錠スイッチ３２が接続されており、施解錠スイッチ３２のオンオフに応じた信号が入力される。

　パワーユニットＥＣＵ３７は、例えばプロセッサ、メモリ等からなる電子制御装置である。パワーユニットＥＣＵ３７は、車両１１の内燃機関またはモータジェネレータといった走行駆動源を制御する。パワーユニットＥＣＵ３７は、照合ＥＣＵ３８から走行駆動源の始動許可信号を取得すると、自車の走行駆動源を始動させる。

　照合ＥＣＵ３８は、例えばプロセッサ、メモリ等からなる電子制御装置である。照合ＥＣＵ３８は、車両１１の利用の許可に関する処理を行う。言い換えると、照合ＥＣＵ３８は、接続認証や認証対象装置の動作認証に関する処理を行う。照合ＥＣＵ３８は、ボデーＥＣＵ３６から入力される信号、車両状態等に応じて、通信ＥＣＵ３０に接続要求信号の送信を要求するためのトリガ（以下、要求トリガ）を入力する。ここで、接続要求信号は、アドバタイジングパケットとも呼ばれる。例えば、照合ＥＣＵ３８は、車両１１が駐車中であって、かつ、車両１１の全ドアが施錠されてから一定時間経過後に、定期的に接続要求信号を送信させるための要求トリガを通信ＥＣＵ３０に入力する。この定期的な接続要求信号の送信の終了タイミングは、例えば自車の走行が開始したタイミングとすることができる。

　また、照合ＥＣＵ３８は、車両１１と通信接続が確立している携帯端末５０に向けて送信させる乱数コードを、通信ＥＣＵ３０に送る。通信ＥＣＵ３０は、ＢＬＥ通信機３５からこの乱数コードを、携帯端末５０に向けて送信させる。照合ＥＣＵ３８は、乱数コードを受信した携帯端末５０から送信される暗号化コードを、ＢＬＥ通信機３５および通信ＥＣＵ３０を介して取得する。そして、照合ＥＣＵ３８は、携帯端末５０から取得した暗号化コードと、携帯端末５０に向けて送信させた乱数コードを共通鍵暗号方式の秘密鍵および暗号化アルゴリズムで暗号化して得られた暗号化コードとのコード照合を行う。他にも、照合ＥＣＵ３８は、通信ＥＣＵ３０で特定する自車に対する携帯端末５０の位置（以下、端末位置）を、通信ＥＣＵ３０から取得する。コード照合は、動作認証の一例を提供する。

　携帯端末５０に向けた乱数コードの送信は、車両１１と携帯端末５０との通信接続の確立中に逐次行わせる構成にできる。また、携帯端末５０に向けた乱数コードの送信は、所定のイベント検出時に行わせる構成としてもよい。所定のイベント検出時としては、施解錠スイッチ３２の操作検出時、始動スイッチ３３の操作検出時、自車との通信接続の確立時、前述の施解錠要求の受信時等が挙げられる。照合ＥＣＵ３８は、施解錠スイッチ３２の操作を施解錠スイッチ３２の信号から検出する。照合ＥＣＵ３８は、始動スイッチ３３の操作を始動スイッチ３３の信号から検出する。照合ＥＣＵ３８は、車両１１との通信接続の確立および施解錠要求の受信を、通信ＥＣＵ３０をモニタすることで検出する。

　照合ＥＣＵ３８は、例えば、以下の４つの条件を全て充足した場合に、各車両ドアの施解錠を許可する信号をボデーＥＣＵ３６に送る。条件の１つは、車両１１が駐車中であることである。条件の１つは、車両ドアが閉じていることである。条件の１つは、前述のコード照合が成立していることである。条件の１つは、携帯端末５０が車室外に位置することである。これら４つの条件が充足されている場合に、各車両ドアの施解錠が許可されることとなる。車両ドアが施錠状態の場合には、車両ドアの解錠を許可する。車両ドアが解錠状態の場合には、車両ドアの施錠を許可する。

　照合ＥＣＵ３８は、前述のコード照合が成立した場合であっても、携帯端末５０が車室外に位置していない場合に、各車両ドアの施解錠を許可する信号をボデーＥＣＵ３６に送らない。この場合、各車両ドアの施解錠は許可されない。照合ＥＣＵ３８は、前述のコード照合が成立しなかった場合にも、各車両ドアの施解錠を許可する信号をボデーＥＣＵ３６に送らない。例えば、自車が駐車中であることは、車両センサ３１のうちの車速センサ、シフトポジションセンサ等で検出する検出結果をもとに特定できる。車両ドアが閉じていることは、車両センサ３１のうちのドアカーテシスイッチの信号をもとに特定できる。携帯端末５０の位置については、通信ＥＣＵ３０から取得する端末位置を利用可能である。

　ボデーＥＣＵ３６は、各車両ドアの施解錠が許可されたことと、施解錠スイッチ３２の操作を検出したこととの条件を満たした場合に、前述の施解錠要求の受信なしに、各車両ドアの施解錠を行う。これにより、スマートエントリーの機能を実現できる。前述の施解錠要求の受信時に各車両ドアの施解錠が許可された場合に、施解錠スイッチ３２の操作を検出しなくても各車両ドアの施解錠を行う構成としてもよい。これにより、キーレスエントリーの機能を実現できる。

　照合ＥＣＵ３８は、例えば始動スイッチ３３の操作検出時には、前述のコード照合が成立し、かつ、携帯端末５０が車室内に位置する場合に、走行駆動源の始動許可信号をパワーユニットＥＣＵ３７に送る。これにより、自車の走行駆動源が始動される。一方、照合ＥＣＵ３８は、前述のコード照合が成立した場合であっても、携帯端末５０が車室内に位置しない場合に、走行駆動源の始動許可信号をパワーユニットＥＣＵ３７に送らない。この場合、自車の走行駆動源は始動されない。照合ＥＣＵ３８は、前述のコード照合が成立しなかった場合にも、走行駆動源の始動許可信号をパワーユニットＥＣＵ３７に送らない。

　エアコンＥＣＵ３９は、例えばプロセッサ、メモリ等からなる電子制御装置である。エアコンＥＣＵ３９は、車両１１の車室内の空調を行う空調装置を制御する。エアコンＥＣＵ３９は、通信ＥＣＵ３０を介して前述の空調制御要求を取得すると、その空調制御要求に従って空調装置を動作させる。空調制御要求に従った空調装置の動作の一例としては、空調装置の動作開始、空調温度の調整等が挙げられる。

　通信ＥＣＵ３０は、例えばプロセッサ、メモリ、Ｉ／Ｏ、これらを接続するバスを備え、メモリに記憶された制御プログラムを実行することで各種の処理を実行する。通信ＥＣＵ３０は、ＢＬＥ通信機３５と照合ＥＣＵ３８と車内ＬＡＮとに接続されている。通信ＥＣＵ３０は、ＢＬＥ通信機３５での通信の制御に関連する各種の処理を実行する。ここで言うところのメモリは、コンピュータによって読み取り可能なプログラムおよびデータを非一時的に格納する非遷移的実体的記憶媒体（non-transitory tangible storage medium）である。また、非遷移的実体的記憶媒体は、半導体メモリまたは磁気ディスクなどによって実現される。

　認証システム１における認証制御のうち、特に接続認証に関する部分について、以下に説明する。図５において、ユーザが携帯端末５０を用いて車両１１の認証を行うためのアプリケーションである認証用アプリケーションを起動すると認証制御が開始される。ただし、認証用アプリケーションを実行中であっても、携帯端末５０の設定が近距離無線通信を許可しない設定になっている場合は、認証制御を開始しない。

　認証制御が開始されると、ステップＳ１０１で制御部７０が接続要求信号の待ち受けを開始する。より詳細には、携帯端末５０が車両１１のＢＬＥ通信機３５から送信される接続要求信号を受信可能な状態とする。ここで、携帯端末５０は、認証用アプリケーションのフォアグラウンド状態とバックグラウンド状態とにおいて、接続要求信号の待ち受けを行う。また、携帯端末５０は、携帯端末５０のスリープ状態においても接続要求信号の待ち受けを行う。接続要求信号の待ち受けを開始した後、ステップＳ１０５に進む。

　ステップＳ１０５では、車両１１のＢＬＥ通信機３５から送信された接続要求信号を、携帯端末５０の受信部５１ｒが検出したか否かを判断部７３が判断する。言い換えると、携帯端末５０が車両１１の近くに存在しているか否かを判断部７３が判断することとなる。ここで、携帯端末５０が車両１１の近くに存在している場合には、ユーザが車両１１に対して施解錠などの操作を行う可能性が高いと判断できる。一方、携帯端末５０が車両１１の遠くに存在している場合には、ユーザが車両１１に対して施解錠などの操作を行う可能性が低いと判断できる。受信部５１ｒが接続要求信号を検出した場合には、携帯端末５０が車両１１に近い位置に存在していると判断し、ステップＳ１２０に進む。一方、受信部５１ｒが接続要求信号を検出していない場合には、携帯端末５０が車両１１から遠い位置に存在していると判断し、ステップＳ１７２に進む。ステップＳ１０５は、取得ステップおよび取得処理の一例を提供する。

　ステップＳ１２０では、制御部７０が状態判断を行う。状態判断の詳細について、以下に説明する。ステップＳ１２０は、判断ステップおよび判断処理の一例を提供する。図６において、状態判断を開始するとステップＳ１２５で、状態センサ５３の検出周期が判断可能周期以下であるか否かを判断部７３が判断する。判断可能周期は、例えば１００ミリ秒である。検出周期が判断可能周期以下である場合には、ステップＳ１３３に進む。一方、検出周期が判断可能周期よりも長い場合には、ステップＳ１２６に進む。

　このステップＳ１２５を実行する目的は、状態判断に必要なデータ数である判断可能数以上の数のセンサ値を取得した上で、認証処理時間内に状態判断を含む認証処理を終了できるか否かを判断することにある。認証処理時間は、認証対象装置が作動するまでの時間がユーザに違和感を与えない程度の時間に設定されている。認証処理時間が２秒であれば、状態判断は２秒よりもさらに短い時間となる。このステップＳ１２５では、認証処理全体のうち状態判断に充てることができる時間内に、状態判断に必要なデータ数を検出可能か否かについて判断することとなる。

　ステップＳ１２６では、制御部７０が検出周期を判断可能周期以下の周期に変更する。これにより、状態判断に必要なデータ数を状態センサ５３が検出可能な状態にする。検出周期を変更した後、ステップＳ１３３に進む。

　ステップＳ１３３では、状態センサ５３がセンサ値を検出する。この時、検出周期は、判断可能周期以下の短い周期であるため、センサ値が細かく検出されることとなる。状態センサ５３である加速度センサは、加速度をセンサ値として検出する。センサ値を検出した後、ステップＳ１３４に進む。センサ値は、状態判断に使用する情報の一例を提供する。

　ステップＳ１３４では、取得部７１がセンサ値を取得する。具体的には、センサ値の検出と取得を複数回繰り返して、検出したタイミングの異なる複数のセンサ値を取得する。仮に、取得したセンサ値が明らかな異常値である場合には、異常値を取得せず、正常値のみをセンサ値として取得してもよい。この場合、状態センサ５３が検出したセンサ値のデータ数と、取得部７１が取得したセンサ値のデータ数とが異なるデータ数となり得る。センサ値を取得した後、ステップＳ１３６に進む。ステップＳ１３４は、取得ステップおよび取得処理の一例を提供する。

　ステップＳ１３６では、取得したセンサ値のデータ数が判断可能数以上か否かを判断部７３が判断する。このステップＳ１３６を実行する目的は、充分な数のセンサ値に基づいて高い精度で状態判断できるか否かを判断することにある。判断可能数は、例えば１０個である。以下では、１０個のデータを取得する場合を例に説明する。取得したセンサ値のデータ数が判断可能数以上である場合には、適切な状態判断が可能であると判断して、ステップＳ１４１に進む。一方、取得したセンサ値のデータ数が判断可能数未満である場合には、適切な状態判断が不可能であると判断して、ステップＳ１５３に進む。

　ステップＳ１４１では、取得したセンサ値から算出部７２が加速度を算出する。より詳細には、Ｘ方向のセンサ値とＹ方向のセンサ値とＺ方向のセンサ値との３つのセンサ値から加速度の合成値を算出するとともに、合成値を平滑化した値を算出する。データ数が１０個である場合には、１０個の異なるタイミングで取得されたセンサ値からタイミングの異なる１０個の加速度の合成値を算出する。さらに、１０個の合成値を平滑化した値を平均加速度として算出する。平滑化にあたっては、単純移動平均法や指数移動平均法などの方法を採用可能である。この平均加速度を状態判断に用いる加速度とする。加速度を算出した後、ステップＳ１４５に進む。

　ステップＳ１４５では、算出した加速度が移動加速度以上であるか否かを判断部７３が判断する。移動加速度の情報は、サーバから携帯端末５０に配信されるなどして更新可能に設定されていることが好ましい。加速度が移動加速度以上である場合には、ステップＳ１５１に進む。一方、加速度が移動加速度未満である場合には、ステップＳ１５２に進む。

　ステップＳ１５１では、判断部７３が携帯端末５０の状態を移動状態と判断する。移動状態とは、携帯端末５０の位置が時間経過とともに変化している状態のことである。移動状態には、携帯端末５０をユーザが手に持って操作中の状態を含む。移動状態には、携帯端末５０を携帯しているユーザが移動中である状態を含む。移動状態と判断した後、ステップＳ１６５に進む。

　ステップＳ１５２では、判断部７３が携帯端末５０の状態を静止状態と判断する。静止状態とは、携帯端末５０の位置が時間経過とともに変化していない状態のことである。静止状態には、携帯端末５０をユーザが操作していない状態を含む。静止状態には、ユーザが携帯端末５０を携帯していない状態を含む。静止状態と判断した後、ステップＳ１６５に進む。

　ステップＳ１５３では、判断部７３が携帯端末５０の状態を不明状態と判断する。不明状態とは、携帯端末５０の位置が時間経過とともに変化しているか否かを判断できない状態である。不明状態には、状態センサ５３に不具合が発生するなどしてセンサ値を検出できない状態を含む。不明状態と判断した後、ステップＳ１６５に進む。

　図５のステップＳ１６５では、携帯端末５０の状態が許可条件を充足するか否かを判断部７３が判断する。許可条件とは、接続認証を許可するための条件である。許可条件には、少なくとも携帯端末５０の状態が移動状態にあることが含まれる。許可条件には、少なくとも携帯端末５０の状態が静止状態にあることが含まれない。許可条件には、携帯端末５０の状態が不明状態にあることが含まれてもよく、含まれなくてもよい。許可条件を充足する場合には、ステップＳ１７１に進む。一方、許可条件を充足しない場合には、ステップＳ１７２に進む。

　ステップＳ１７１では、実行部７４が接続認証を許可する。より詳細には、接続応答信号を生成するとともに、送信部５１ｓからＢＬＥ通信機３５に向かって接続応答信号を送信し、通信接続を確立する。通信接続を確立した状態を維持して、接続認証を終了する。接続認証を許可した後、ステップＳ１８０に進む。ステップＳ１７１は、実行ステップおよび実行処理の一例を提供する。

　ステップＳ１８０では、制御部７０が動作認証を開始する。動作認証においては、リクエスト信号とレスポンス信号のやり取りを行う。リクエスト信号として検出した乱数コードを秘密鍵および暗号化アルゴリズムで暗号化して、レスポンス信号として暗号化コードを生成する。秘密鍵および暗号化アルゴリズムは、共通鍵暗号方式で用いる秘密鍵および暗号化アルゴリズムとする。制御部７０は、生成した暗号化コードをコード照合のためのコードとして通信モジュール５１に出力する。通信モジュール５１は、制御部７０から出力された暗号化コードを車両側ユニット３に送信する。これにより、通信モジュール５１からこの暗号化コードが、２．４ＧＨｚ帯の電波にのせて車両側ユニット３に送信される。コード照合のためのコードは、車両１１の正規のキー情報としてサーバ等から配信されるコードであってもよい。

　動作認証が許可されている状態は、車両１１に関する様々な制御を実行可能な状態である。より詳細には、制御部７０は、操作入力部５６で制御要求操作入力を受け付けた場合に、コネクションを通して、この制御要求操作入力に応じた車両制御要求を車両側ユニット３に送信する。車両制御要求の一例としては、車両ドアの施解錠を要求する操作入力に応じた施解錠要求が挙げられる。車両制御要求の他の一例としては、車両１１の空調装置の動作を要求する操作入力に応じた空調制御要求が挙げられる。車両制御要求の他の一例としては、タイヤ空気圧等の車両情報の送信を要求する操作入力に応じた車両情報要求が挙げられる。例えば、空調制御要求には、車両１１の空調装置の動作の開始、空調温度の設定等の要求が挙げられる。このように、車両１１と携帯端末５０との間での接続認証および動作認証が許可されることで、携帯端末５０の操作により車両１１を制御可能な状態となる。動作認証後、一連の認証制御を終了する。

　ステップＳ１７２では、実行部７４が接続認証を不許可とする。より詳細には、送信部５１ｓからＢＬＥ通信機３５に向かって接続応答信号を送信しない。ＢＬＥ通信機３５から送信された接続要求信号に対して、携帯端末５０から接続応答信号が返されないことで、通信接続が確立されず、接続認証が許可されない状態が維持される。接続認証が許可されていないため、動作認証に進むことができない状態である。接続認証を不許可とした状態で、一連の認証制御を終了する。これにより、第三者が施解錠スイッチ３２などを操作しても、施錠と解錠とを切り替えるような制御が実行されない状態が維持される。ステップＳ１７２は、実行ステップおよび実行処理の一例を提供する。

　上述した実施形態によると、判断部７３は、受信部５１ｒが接続要求信号を受信する前は状態判断を行わず、受信部５１ｒが接続要求信号を受信した後に状態判断を行う。このため、受信部５１ｒが接続要求信号を受信していない場合に、状態判断を行うことがない。したがって、携帯端末５０の状態判断を行う必要のないタイミングで状態判断を行うことを抑制できる。よって、認証制御に関する消費電力を低減可能な認証システム１を提供できる。

　取得部７１は、受信部５１ｒが接続要求信号を受信する前は状態センサ５３で検出した情報を取得せず、受信部５１ｒが接続要求信号を受信した後に状態センサ５３で検出した情報を取得する。このため、受信部５１ｒが接続要求信号を受信していない場合に、センサ値を取得することがない。したがって、携帯端末５０の状態判断を行う必要のないタイミングでセンサ値を取得して加速度を算出するなどの処理を行うことを抑制できる。

　制御部７０は、状態センサ５３で情報を検出する検出周期が判断可能周期よりも長い場合に、検出周期を判断可能周期以下になるように変更する。このため、センサ値のデータ数が少なく、加速度を適切に算出できないといった事態を抑制しやすい。言い換えると、データ数の多いセンサ値に基づいて状態判断を実行できる。ここで、センサ値のデータ数が多いほど加速度などの物理量を正確に算出して、携帯端末５０の状態を正確に判断しやすい。したがって、検出周期を判断可能周期以下の短い周期にすることで、短時間に多くのセンサ値を取得して、状態判断の精度を高めやすい。

　制御部７０は、携帯端末５０が移動状態であることを許可条件としている。このため、携帯端末５０と車両１１との距離が近い場合であっても、携帯端末５０が静止状態にある場合は、認証が許可されない。したがって、第三者による不正な方法で認証が許可されてしまうことを抑制しやすい。また、移動状態には、ユーザが携帯端末５０を操作せずに、携帯端末５０を携帯して移動している状態が含まれる。このため、携帯端末５０がスリープ状態のままであっても、認証を完了させることができる。したがって、認証システム１の利便性を高めやすい。

　判断部７３は、状態判断に使用する情報の数が判断可能数未満である場合に不明状態と判定する。このため、正確な状態判断が困難である場合に、移動状態と静止状態とのどちらにも属さない状態である不明状態と判断することができる。したがって、携帯端末５０の位置が変化しているにも関わらず誤って静止状態と判断してしまうことを抑制できる。また、携帯端末５０の位置が変化していないにも関わらず誤って移動状態と判断してしまうことを抑制できる。

　携帯端末５０は、同時に複数の装置と近距離無線通信によって通信接続可能なスマートフォンである。また、スマートフォンは、認証用アプリケーション以外にも様々なアプリケーションを使用することが想定される端末である。このため、携帯端末５０は、様々な装置のそれぞれと近距離無線信号を用いて通信することを想定して信号を待ち受けることとなる。ここで、近距離無線信号を待ち受けていることで携帯端末５０が消費する電力は、アプリケーションの種類や数によらず一定である。したがって、認証用アプリケーションを使用する場合と使用しない場合とで、近距離無線信号の待ち受け時に携帯端末５０が消費する電力があまり変わらない。よって、消費電力の大幅な増加を抑制しながら、携帯端末５０を用いた認証制御を実行できる。

　認証システム１の認証方法は、受信部５１ｒが接続要求信号を受信する前は状態判断を行わず、受信部５１ｒが接続要求信号を受信した後に状態判断を行う判断ステップを備えている。また、認証システム１の認証プログラムは、受信部５１ｒが接続要求信号を受信する前は状態判断を行わず、受信部５１ｒが接続要求信号を受信した後に状態判断を行う判断処理を備えている。このため、受信部５１ｒが接続要求信号を受信していない場合に、状態判断を行うことがない。したがって、携帯端末５０の状態判断を行う必要のないタイミングで状態判断を行うことを抑制できる。よって、認証制御に関する消費電力を低減可能な認証方法および認証プログラムを提供できる。

　認証制御を開始する前に、携帯端末５０における初期動作確認を行うことが好ましい。初期動作確認では、携帯端末５０が状態センサ５３のセンサ値を取得できるか否かの確認を行う。より詳細には、所定の確認期間においてセンサ値の検出と取得とを繰り返し行い、時間経過によってセンサ値が変化するか否かを確認する。確認期間としては、携帯端末５０のユーザが少なくとも１回は携帯端末５０を持って操作すると考えられる期間を設定する。確認期間は、例えば２４時間である。確認期間中にセンサ値が少しでも変化すれば、センサ値を取得できていると判断して、必要に応じて上述の認証制御を行う。一方、確認期間中にセンサ値が全く変化しなければ、センサ値を取得できないと判断して、センサ値を取得できない旨をユーザに報知する。センサ値を取得できない場合には、状態判断において常に不明状態と判断されてしまう。このため、初期動作確認によって、センサ値が取得できないと確認された場合には、許可条件に携帯端末５０の不明状態を含めるか否かをユーザに設定させることが好ましい。

　状態判断において、平均加速度以外の物理量に基づいて、移動状態と静止状態とを判断してもよい。例えば、加速度の周波数特性に基づいて状態判断を行ってもよい。また、平均角速度に基づいて状態判断を行ってもよい。また、加速度と角速度などの異なる物理量を組み合わせて状態判断を行ってもよい。

　状態判断において、加速度が移動加速度以上か否か以外の状態判断モデルから携帯端末５０の状態を判断してもよい。状態判断モデルとしては、振動パターンによって移動状態と静止状態とを区別するモデルを採用できる。この場合、移動状態と判断する振動パターンと、静止状態と判断するパターンとをあらかじめ設定しておく。移動状態と判断する振動パターンの一例は、ユーザの服のポケットに携帯端末５０が収納され、立ち止まっている状態で得られる振動パターンである。移動状態と判断する振動パターンの一例は、ユーザが携帯端末５０を手に持った状態で立ち止まっている状態で得られる振動パターンである。静止状態と判断するパターンの一例は、スピーカなどの振動を伴う音響装置の上に携帯端末５０を載置した状態で得られる振動パターンである。静止状態と判断するパターンの一例は、電子レンジなどの扉開閉に伴い振動が発生する装置の上に携帯端末５０を載置した状態で得られる振動パターンである。上述のような振動パターンを複数備え、現在の携帯端末５０の振動パターンがどの振動パターンに近いかを判断することで、携帯端末５０の状態を判断することとなる。また、複数の状態判断モデルを用いて状態判断を行ってもよい。複数の状態判断モデルを用いることで、状態判断の精度を高めやすい。

　認証制御を開始する前に、携帯端末５０の状態センサ５３の個体差を補正するようなオフセットを求める処理を実行することが好ましい。これによると、状態判断の精度を高めやすい。

　ステップＳ１８０で開始する動作認証の中で、ステップＳ１２０と同様の状態判断を行ってもよい。より詳細には、接続認証と動作認証との２つの認証のそれぞれで状態判断を行うこととなる。あるいは、接続認証では、状態判断を行わず、動作認証の中で状態判断を行ってもよい。この場合、接続認証の段階では常に移動状態にあると判断し、動作認証に進むように構成可能である。

　ステップＳ１２０で状態判断を行う前に、制御部７０が車両１１側から送信される接続要求信号の待ち受けを停止してもよい。この場合、接続要求信号を検出してから現在までの経過時間が所定の待ち受け再開時間以上である場合に、接続要求信号の待ち受けを再開するように構成できる。これによると、許可条件を充足せず、接続認証を不許可とする制御が短時間に頻繁に繰り返されてしまうことを抑制できる。一方、接続要求信号の待ち受けを停止せず、接続要求信号の待ち受けを維持している場合には、同時に複数の車両１１と認証制御を可能な構成とすることができる。

　第２実施形態
　この実施形態は、先行する実施形態を基礎的形態とする変形例である。この実施形態では、携帯端末５０における一括処理が実行可能か否かを判断し、一括処理が実行可能であれば、一括処理を実行する。また、ユーザ設定情報を取得し、ユーザ設定情報に応じて認証制御に用いる許可条件を変更する。また、活動時間帯を設定し、活動時間帯と活動時間帯以外の時間帯とで、状態判断に用いる移動加速度を変更する。

　認証システム１における認証制御のうち、特に接続認証に関する部分について、以下に説明する。図７において、ユーザが携帯端末５０を用いて認証用アプリケーションを起動すると認証制御が開始される。認証制御が開始されると、ステップＳ２０１で制御部７０が接続要求信号の待ち受けを開始し、ステップＳ２０２に進む。

　ステップＳ２０２では、携帯端末５０において一括処理が可能か否かを判断部７３が判断する。ここで、一括処理とは、取得すべきデータをバッファに貯めておき、バッファから複数のデータをまとめて取得して情報を処理する処理方法である。一括処理は、バッチ処理とも呼ばれる。一括処理が可能か否かは、携帯端末５０におけるバッファサイズを取得することで判断できる。この場合、バッファサイズがゼロであれば一括処理に対応していない機種であり、バッファサイズがゼロよりも大きい値であれば一括処理に対応している機種である。また、携帯端末５０の機種依存情報を取得することで、一括処理が可能か否かを判断してもよい。

　一括処理に対応した機種であっても、一括処理が正常に機能しない場合があり得る。このため、一括処理が正常に機能するか否かの判断をすることが好ましい。一括処理が正常に機能するか否かの判断は、常時取得したセンサ値系列と、同じ時間帯に一括処理で取得したセンサ値系列とを比較して、取得方法の異なる２つのセンサ値系列が略一致するか否かを判断する。２つのセンサ値系列が略一致していれば、一括処理が正常に機能すると判断できる。一方、２つのセンサ値系列が略一致していなければ、一括処理が正常に機能していない可能性があると判断する。一括処理が可能か否かの判断は、携帯端末５０のスリープ中に実行することが好ましい。また、携帯端末５０が一括処理に対応した機種であるか否かの判断は、一連の制御を開始する前に完了させてもよい。この場合、ステップＳ２０２では、一括処理が正常に機能するか否かの判断のみを行うこととなる。一括処理が可能である場合には、ステップＳ２０３に進む。一方、一括処理が不可能である場合には、ステップＳ２０５に進む。

　ステップＳ２０３では、後の処理で一括処理したセンサ値を取得するために状態センサ５３がセンサ値の検出を開始する。検出周期が１００ミリ秒であれば、１００ミリ秒が経過する毎にセンサ値の検出を繰り返す。周期的なセンサ値の検出を維持して、ステップＳ２０５に進む。

　ステップＳ２０５では、車両１１のＢＬＥ通信機３５から送信された接続要求信号を、携帯端末５０の受信部５１ｒが検出したか否かを判断部７３が判断する。受信部５１ｒが接続要求信号を検出した場合には、携帯端末５０が車両１１に近い位置に存在していると判断し、ステップＳ２２０に進む。一方、受信部５１ｒが接続要求信号を検出していない場合には、携帯端末５０が車両１１から遠い位置に存在していると判断し、ステップＳ２７２に進む。ステップＳ２０５は、取得ステップおよび取得処理の一例を提供する。

　ステップＳ２２０では、制御部７０が状態判断を行う。図８において、状態判断を開始するとステップＳ２２１でセンサ値が検出済みであるか否かを判断部７３が判断する。バッファにセンサ値が記憶されていれば、センサ値は検出済みであり、バッファにセンサ値が記憶されていなければ、センサ値は未検出であると判断できる。センサ値が検出済みであればステップＳ２３４に進む。一方、センサ値が未検出であれば、ステップＳ２２３に進み、状態センサ５３がセンサ値の検出を開始する。センサ値を検出した後、ステップＳ２３４に進む。ステップＳ２２０は、判断ステップおよび判断処理の一例を提供する。

　ステップＳ２３４では、取得部７１がセンサ値を取得する。一括処理が可能であれば、複数のセンサ値をまとめて取得する。例えば、１０個の異なるタイミングで検出したセンサ値をまとめて取得する。複数のセンサ値をまとめて取得することで、複数のセンサ値の検出に要した時間よりも短い時間でセンサ値の取得を完了できる。一方、一括処理が不可能であれば、センサ値を１つ検出する度にセンサ値を１つ取得することを繰り返し、複数のセンサ値を取得する。センサ値を取得した後、ステップＳ２３５に進む。ステップＳ２３４は、取得ステップおよび取得処理の一例を提供する。

　ステップＳ２３５では、検出経過時間が判断可能時間未満か否かを判断部７３が判断する。検出経過時間とは、状態センサ５３でセンサ値を検出した時間から現在時刻までの経過時間のことである。仮に、スリープ状態でセンサ値を検出できない携帯端末５０である場合、スリープ状態になる前に検出しておいた古いセンサ値を取得することがある。このステップＳ２３５を実行する目的は、携帯端末５０の直近の状態を反映したセンサ値に基づいて適切に状態判断できるか否かを判断することにある。

　判断可能時間は、任意の時間に設定可能である。判断可能時間を短く設定することで、第三者による不正な方法での認証を防止しやすくなり、安全性を高めやすい。一方、判断可能時間を長く設定することで、認証が許可されやすくなり、ユーザの利便性を高めやすい。このように、判断可能時間は、安全性と利便性との２つの観点を考慮して設定することが好ましい。判断可能時間は、例えば２秒である。

　検出経過時間が判断可能時間未満である場合には、取得したセンサ値が現在の携帯端末５０の状態を反映した値であると判断して、ステップＳ２３６に進む。一方、検出経過時間が判断可能時間以上である場合には、取得したセンサ値が現在の携帯端末５０の状態を反映した値ではないと判断して、ステップＳ２５３に進む。

　ステップＳ２３６では、取得したセンサ値のデータ数が判断可能数以上か否かを判断部７３が判断する。取得したセンサ値のデータ数が判断可能数以上である場合には、適切な状態判断が可能であると判断して、ステップＳ２４１に進む。一方、取得したセンサ値のデータ数が判断可能数未満である場合には、適切な状態判断が不可能であると判断して、ステップＳ２５３に進む。

　ステップＳ２４１では、センサ値から加速度を平滑化した値である平均加速度を算出部７２が算出する。算出した平均加速度を状態判断に用いる加速度とする。加速度を算出した後、ステップＳ２４２に進む。

　ステップＳ２４２では、取得部７１が現在時刻を取得する。現在時刻は、タイマ５４を用いて取得可能である。ただし、現在時刻を外部との通信によって取得してもよい。現在時刻を取得した後、ステップＳ２４３に進む。

　ステップＳ２４３では、制御部７０が現在時刻に応じて移動加速度を変更する。より詳細には、現在時刻が活動時間帯に含まれているか否かを判断して、移動加速度を変更する。ここで、活動時間帯とは、ユーザが携帯端末５０の移動を伴う活動を行いやすい時間帯のことである。活動時間帯は、携帯端末５０の使用状況をサーバに収集して統計処理をすることで算出可能である。ただし、活動時間帯の設定方法は、統計処理に限られない。例えば、ユーザが自ら携帯端末５０を操作して、活動時間帯を設定してもよい。

　現在時刻が活動時間帯に含まれる時刻であれば、移動加速度を小さな値とし、現在時刻が活動時間帯に含まれない時刻であれば、移動加速度を大きな値とする。言い換えると、現在時刻が活動時間帯に含まれていれば、携帯端末５０の状態が移動状態と判断されやすくなるように移動加速度を変更する。一方、現在時刻が活動時間帯に含まれていなければ、携帯端末５０の状態が静止状態と判断されやすくなるように移動加速度を変更する。活動時間帯の設定に代えて、ユーザが携帯端末５０の移動を伴う活動を行いにくい時間帯である非活動時間帯を設定してもよい。この場合、非活動時間帯における移動加速度を変更することで、実質的に活動時間帯における移動加速度を変更することができる。非活動時間帯には、ユーザの睡眠時間帯等が含まれる。移動加速度を変更した後、ステップＳ２４５に進む。

　ステップＳ２４５では、算出した加速度が移動加速度以上であるか否かを判断部７３が判断する。加速度が移動加速度以上である場合には、ステップＳ２５１に進む。一方、加速度が移動加速度未満である場合には、ステップＳ２４６に進む。

　ステップＳ２４６では、算出した加速度が静止加速度未満であるか否かを判断部７３が判断する。静止加速度は、移動加速度よりも小さな値に設定されている。加速度が静止加速度未満である場合には、ステップＳ２５２に進む。一方、加速度が静止加速度以上である場合には、ステップＳ２５３に進む。言い換えると、算出した加速度が移動加速度と静止加速度との間の値である場合には、移動状態や静止状態に判断せず、不明状態と判断する。

　ステップＳ２５１では、判断部７３が携帯端末５０の状態を移動状態と判断する。移動状態と判断した後、ステップＳ２６１に進む。ステップＳ２５２では、判断部７３が携帯端末５０の状態を静止状態と判断する。静止状態と判断した後、ステップＳ２６１に進む。ステップＳ２５３では、判断部７３が携帯端末５０の状態を不明状態と判断する。不明状態と判断した後、ステップＳ２６１に進む。

　図７のステップＳ２６１では、取得部７１が設定モードを取得する。設定モードには、利便性よりも安全性を優先する安全性優先モードと、安全性よりも利便性を優先する利便性優先モードとが含まれている。設定モードは、ユーザによる操作入力部５６の操作によって設定可能である。設定モードを取得した後、ステップＳ２６２に進む。

　ステップＳ２６２では、実行部７４が設定モードに応じて許可条件を変更する。より詳細には、安全性優先モードでは許可条件に不明状態を含めず、利便性優先モードでは許可条件に不明状態を含める。これにより、安全性優先モードでは、利便性優先モードに比べて認証が許可されにくく、セキュリティ上の安全性を高めやすくなる。言い換えると、利便性優先モードでは、安全性優先モードに比べて認証が許可されやすく、利便性を高めやすくなる。許可条件を変更した後、ステップＳ２６５に進む。

　ステップＳ２６５では、携帯端末５０の状態が許可条件を充足するか否かを判断部７３が判断する。許可条件を充足する場合には、ステップＳ２７１に進む。一方、許可条件を充足しない場合には、ステップＳ２７２に進む。

　ステップＳ２７１では、実行部７４が接続認証を許可する。より詳細には、接続応答信号を生成するとともに、送信部５１ｓからＢＬＥ通信機３５に向かって接続応答信号を送信して接続認証を許可する。接続認証を許可した後、ステップＳ２８０に進む。ステップＳ２７１は、実行ステップおよび実行処理の一例を提供する。

　ステップＳ２８０では、制御部７０が動作認証を開始する。動作認証が許可されることにより、ユーザが携帯端末５０を操作することで、様々な車両制御要求を送信して車両１１を制御可能な状態が維持される。動作認証後、一連の認証制御を終了する。

　ステップＳ２７２では、実行部７４が接続認証を不許可とする。より詳細には、接続応答信号を生成せず、送信部５１ｓからＢＬＥ通信機３５に向かって接続応答信号を送信しない。ＢＬＥ通信機３５から送信された接続要求信号に対して、携帯端末５０から接続応答信号が返されないことで、接続認証が許可されない状態が維持される。接続認証が許可されていないため、動作認証に進むことができず、動作認証が許可されることのない状態である。接続認証を不許可とした状態で、認証制御を終了する。これにより、様々な車両制御要求が送信された場合であっても、車両１１を制御不可能な状態が維持される。ステップＳ２７２は、実行ステップおよび実行処理の一例を提供する。

　上述した実施形態によると、判断部７３は、状態判断に使用する情報を検出した検出時刻から現在時刻までの経過時間である検出経過時間が判断可能時間以上である場合に不明状態と判断する。また、判断部７３は、状態判断に使用する情報の数が判断可能数未満である場合に不明状態と判断する。このため、正確な状態判断が困難である場合に、不明状態と判断することができる。したがって、携帯端末５０の位置が変化しているにも関わらず誤って静止状態と判断することを抑制できる。また、携帯端末５０の位置が変化していないにも関わらず誤って移動状態と判断することを抑制できる。

　制御部７０は、安全性優先モードに設定されている場合に、不明状態であることを許可条件に含めず、利便性優先モードに設定されている場合に、不明状態であることを許可条件に含める。このため、不明状態において認証を許可するか否かを、ユーザの好みに合わせて調整できる。したがって、ユーザの好みに合わせて認証システム１の使い勝手を調整することができる。

　現在時刻が活動時間帯に含まれている場合の移動加速度は、現在時刻が活動時間帯に含まれていない場合の移動加速度よりも小さい。言い換えると、判断部７３は、現在時刻が活動時間帯に含まれている場合には、現在時刻が活動時間帯に含まれていない場合に比べて、移動状態であると判断しやすい。このため、状態判断の精度を高めやすい。特に、活動時間帯以外の時間帯で状態センサ５３が微小な振動を検出し、ユーザの意図に反して認証を許可してしまうといった事態を抑制しやすい。

　取得部７１は、携帯端末５０が複数の情報をまとめて処理する一括処理が可能である場合に、状態センサ５３で検出した複数の情報をまとめて取得する。このため、必要なデータ数のセンサ値を短時間に取得することができる。したがって、接続要求信号を検出してから接続認証を許可あるいは不許可するまでに要する時間を短くすることができる。よって、応答時間の短い認証システム１を提供しやすい。

　他の実施形態
　この明細書および図面等における開示は、例示された実施形態に制限されない。開示は、例示された実施形態と、それらに基づく当業者による変形態様を包含する。例えば、開示は、実施形態において示された部品および／または要素の組み合わせに限定されない。開示は、多様な組み合わせによって実施可能である。開示は、実施形態に追加可能な追加的な部分をもつことができる。開示は、実施形態の部品および／または要素が省略されたものを包含する。開示は、１つの実施形態と他の実施形態との間における部品および／または要素の置き換え、または組み合わせを包含する。開示される技術的範囲は、実施形態の記載に限定されない。開示されるいくつかの技術的範囲は、請求の範囲の記載によって示され、さらに請求の範囲の記載と均等の意味および範囲内での全ての変更を含むものと解されるべきである。

　明細書および図面等における開示は、請求の範囲の記載によって限定されない。明細書および図面等における開示は、請求の範囲に記載された技術的思想を包含し、さらに請求の範囲に記載された技術的思想より多様で広範な技術的思想に及んでいる。よって、請求の範囲の記載に拘束されることなく、明細書および図面等の開示から、多様な技術的思想を抽出することができる。

　本開示に記載の制御部およびその手法は、コンピュータプログラムにより具体化された１つないしは複数の機能を実行するようにプログラムされたプロセッサを構成する専用コンピュータにより、実現されてもよい。あるいは、本開示に記載の装置およびその手法は、専用ハードウェア論理回路により、実現されてもよい。もしくは、本開示に記載の装置およびその手法は、コンピュータプログラムを実行するプロセッサと１つ以上のハードウェア論理回路との組み合わせにより構成された１つ以上の専用コンピュータにより、実現されてもよい。また、コンピュータプログラムは、コンピュータにより実行されるインストラクションとして、コンピュータ読み取り可能な非遷移有形記録媒体に記憶されていてもよい。

Claims

　通信接続を確立するための接続認証と、携帯端末（５０）を所持するユーザによる操作を許可するか否かの対象となる認証対象装置を動作させるための動作認証とを含む認証制御を行う認証システムであって、
　前記認証対象装置に向けて前記携帯端末が送信する信号を受信する通信機（３５）を備え、
　前記携帯端末は、
　近距離無線通信が可能であり、
　前記携帯端末の状態を検出するための状態センサ（５３）と、
　通信接続を要求する信号である接続要求信号を受信する受信部（５１ｒ）と、
　前記接続要求信号に応答して送信する信号である接続応答信号を送信する送信部（５１ｓ）と、
　前記近距離無線通信の制御を行う制御部（７０）とを備え、
　前記制御部は、
　前記受信部で受信した情報と前記状態センサで検出した情報とを取得する取得部（７１）と、
　前記取得部で取得した情報に基づいて前記携帯端末の状態を判断する状態判断を行う判断部（７３）と、
　前記携帯端末の状態が許可条件を充足している場合に、前記送信部から前記接続応答信号を送信し、前記携帯端末の状態が前記許可条件を充足していない場合に、前記送信部から前記接続応答信号を送信しない実行部（７４）とを備え、
　前記判断部は、前記受信部が前記接続要求信号を受信する前は前記状態判断を行わず、前記受信部が前記接続要求信号を受信した後に前記状態判断を行う認証システム。
　前記取得部は、前記受信部が前記接続要求信号を受信する前は前記状態センサで検出した情報を取得せず、前記受信部が前記接続要求信号を受信した後に前記状態センサで検出した情報を取得する請求項１に記載の認証システム。
　前記制御部は、前記状態センサで情報を検出する検出周期が判断可能周期よりも長い場合に、前記検出周期を前記判断可能周期以下になるように変更する請求項１または請求項２に記載の認証システム。
　前記判断部は、前記携帯端末が移動している状態である場合に移動状態と判断し、前記携帯端末が静止している状態である場合に静止状態と判断し、
　前記実行部は、前記携帯端末が前記移動状態であることを前記許可条件とする請求項１から請求項３のいずれかに記載の認証システム。
　前記判断部は、前記状態判断に使用する情報を検出した検出時刻から現在時刻までの経過時間である検出経過時間が判断可能時間以上である場合、または、前記状態判断に使用する情報のデータ数が判断可能数未満である場合に不明状態と判断する請求項４に記載の認証システム。
　前記携帯端末は、前記ユーザによって設定される設定モードを入力可能な操作入力部（５６）を備え、
　前記実行部は、前記設定モードが利便性よりも安全性を優先するモードに設定されている場合に、前記不明状態であることを前記許可条件に含めず、前記設定モードが安全性よりも利便性を優先するモードに設定されている場合に、前記不明状態であることを前記許可条件に含める請求項５に記載の認証システム。
　現在時刻を計測するタイマ（５４）を備え、
　前記制御部は、前記ユーザが前記携帯端末の移動を伴う活動を行いやすい時間帯である活動時間帯を設定し、
　前記判断部は、現在時刻が前記活動時間帯に含まれている場合には、現在時刻が前記活動時間帯に含まれていない場合に比べて、前記移動状態であると判断しやすい請求項４から請求項６のいずれかに記載の認証システム。
　前記取得部は、前記携帯端末が複数の情報をまとめて処理する一括処理が可能である場合に、前記状態センサで検出した複数の情報をまとめて取得する請求項１から請求項７のいずれかに記載の認証システム。
　前記携帯端末は、同時に複数の装置と近距離無線通信によって通信接続可能なスマートフォンである請求項１から請求項８のいずれかに記載の認証システム。
　近距離無線通信が可能な携帯端末（５０）と、前記携帯端末を所持するユーザによる操作を許可するか否かの対象となる認証対象装置に向けて前記携帯端末が送信する信号を受信する通信機（３５）とを用いて、通信接続を確立するための接続認証と前記認証対象装置を動作させるための動作認証とを含む認証制御を行うための認証方法であって、
　前記携帯端末に設けられた受信部（５１ｒ）で受信した情報と前記携帯端末の状態を検出するための状態センサ（５３）で検出した情報とを取得する取得ステップ（Ｓ１０５、Ｓ１３４、Ｓ２０５、Ｓ２３４）と、
　前記取得ステップで取得した情報に基づいて前記携帯端末の状態を判断する状態判断を行う判断ステップ（Ｓ１２０、Ｓ２２０）と、
　前記携帯端末の状態が許可条件を充足している場合に、前記携帯端末に設けられた送信部（５１ｓ）から接続応答信号を送信し、前記携帯端末の状態が許可条件を充足していない場合に、前記送信部から前記接続応答信号を送信しない実行ステップ（Ｓ１７１、Ｓ１７２、Ｓ２７１、Ｓ２７２）とを含み、
　前記判断ステップでは、前記受信部が接続要求信号を受信する前は前記状態判断を行わず、前記受信部が前記接続要求信号を受信した後に前記状態判断を行う認証方法。
　近距離無線通信が可能な携帯端末（５０）と、前記携帯端末を所持するユーザによる操作を許可するか否かの対象となる認証対象装置に向けて前記携帯端末が送信する信号を受信する通信機（３５）とを用いて、通信接続を確立するための接続認証と前記認証対象装置を動作させるための動作認証とを含む認証制御を行うための認証プログラムであって、
　前記携帯端末に設けられた受信部（５１ｒ）で受信した情報と前記携帯端末の状態を検出するための状態センサ（５３）で検出した情報とを取得させる取得処理（Ｓ１０５、Ｓ１３４、Ｓ２０５、Ｓ２３４）と、
　前記取得処理で取得した情報に基づいて前記携帯端末の状態を判断する状態判断を行わせる判断処理（Ｓ１２０、Ｓ２２０）と、
　前記携帯端末の状態が許可条件を充足している場合に、前記携帯端末に設けられた送信部（５１ｓ）から接続応答信号を送信させ、前記携帯端末の状態が許可条件を充足していない場合に、前記送信部から前記接続応答信号を送信させない実行処理（Ｓ１７１、Ｓ１７２、Ｓ２７１、Ｓ２７２）とを含み、
　前記判断処理では、前記受信部が接続要求信号を受信する前は前記状態判断を行わせず、前記受信部が前記接続要求信号を受信した後に前記状態判断を行わせる認証プログラム。