秘密鍵登録システム及び秘密鍵登録方法
【課題】秘密鍵の盗み取りを発生し難くすることができる秘密鍵登録システム及び秘密鍵登録方法を提供する。
【解決手段】車両1と電子キー2の双方に秘密鍵16を登録するには、まず書き込み器18によって、車両1に車載器センター鍵22を書き込むとともに、電子キー2に電子キーセンター鍵23を書き込んでおく。そして、センター20において生成された秘密鍵16を、予め取り込んでおいた車載器センター鍵22により暗号化して車載器登録コードCcrに変換し、これを車両1に送り渡し、更に同じ秘密鍵16を、予め取り込んでおいた電子キーセンター鍵23により暗号化して電子キー登録コードCdkに変換し、これを電子キー2に送り渡す。そして、車両1と電子キー2との各々で、登録コードCcr,Cdkを復号し、復号データを秘密鍵16として各々登録する。
【解決手段】車両1と電子キー2の双方に秘密鍵16を登録するには、まず書き込み器18によって、車両1に車載器センター鍵22を書き込むとともに、電子キー2に電子キーセンター鍵23を書き込んでおく。そして、センター20において生成された秘密鍵16を、予め取り込んでおいた車載器センター鍵22により暗号化して車載器登録コードCcrに変換し、これを車両1に送り渡し、更に同じ秘密鍵16を、予め取り込んでおいた電子キーセンター鍵23により暗号化して電子キー登録コードCdkに変換し、これを電子キー2に送り渡す。そして、車両1と電子キー2との各々で、登録コードCcr,Cdkを復号し、復号データを秘密鍵16として各々登録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号通信による通信が可能な通信端末とその通信相手とに、同通信の暗号鍵である秘密鍵を登録する際に使用する秘密鍵登録システム及び秘密鍵登録方法に関する。
【背景技術】
【0002】
従来から周知のように、多くの車両では、キーが持つ固有のキーコードを無線により発信する電子キーを車両キーとして用いる電子キーシステムが広く採用されている。この種の電子キーシステムの一種には、例えば電子キーでのボタン操作により遠隔操作によって車両ドアのドアロックを施解錠可能なワイヤレスドアロックシステムがある。また、電子キーシステムの他の種類には、車両から発信されるリクエストに応答して、電子キーがIDコードを自動で車両に返し、このIDコードのID照合が成立すれば、ドアロック施解錠やエンジン始動が許可又は実行されるキー操作フリーシステムもある。
【0003】
この電子キーシステムでは、電子キーから発信されるIDコードがもし仮に傍受されても、簡単にIDコードが簡単に割り出されないようにするために、一般的には暗号通信(例えば、特許文献1等参照)が採用されている。この種の暗号鍵としては、例えば秘密鍵暗号(共通鍵暗号)が使用されている。秘密鍵暗号とは、送信側の暗号鍵と、受信側の復号鍵とが同じ鍵となっている暗号である。秘密鍵暗号には、鍵が送信と受信で同じ特性があることから、暗号及び復号の速度が速いという利点があり、車両の暗号通信において広く使用されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−300803号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、電子キーシステムに暗号通信を搭載する場合、この種の暗号通信では車両及び電子キーの両方に秘密鍵が必要である。よって、例えば製造段階や出荷段階等において、製造現場やディーラ等で車両及び電子キーの両方に秘密鍵を各々登録する必要がある。しかし、この秘密鍵登録の際に、もし仮に秘密鍵が盗聴されてしまうと、車両出荷後にこの秘密鍵を使用して不正にID照合が成立されてしまう可能性もあるので、これが車両盗難の問題に繋がる。このため、秘密鍵が盗み取られ難いセキュリティ性の高い暗号鍵の登録方式が必要であった。
【0006】
本発明の目的は、秘密鍵の盗み取りを発生し難くすることができる秘密鍵登録システム及び秘密鍵登録方法を提供することにある。
【課題を解決するための手段】
【0007】
前記問題点を解決するために、本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込む書込手段と、前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、自身が持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に自身が持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させるコード出力手段と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録する鍵登録手段とを備えたことを要旨とする。
【0008】
この構成によれば、車両に暗号通信用の秘密鍵を登録するには、書き込み器から車載器登録用鍵を車両に書き込みつつ、センターから車載器登録コードを車両に登録する。そして、車載器登録コードが車載器登録用鍵により復号されて、その復号データが秘密鍵として車両に登録される。また、電子キーに暗号通信用の秘密鍵を登録するには、書き込み器から電子キー登録用鍵を電子キーに書き込みつつ、センターから電子キー登録コードを車両に登録する。そして、電子キー登録コードが電子キー登録用鍵により復号されて、その復号データが秘密鍵として車両に登録される。
【0009】
従って、本構成の場合は、車両及び電子キーの暗号通信に使用する秘密鍵をセンターが生成するとともに、これを暗号化して車両及び電子キーに発行し、これを車両及び電子キーの各々で登録用鍵により復号して登録する。このため、もし仮に秘密鍵を盗み取るには、書き込み器が管理する登録用鍵(車載器登録用鍵、電子キー登録用鍵)と、センターから発行される登録コード(車載器登録コード、電子キー登録コード)との両方を入手しなければならなくなる。よって、これは秘密鍵の盗難に対して耐性が非常に高いといえるので、秘密鍵が第三者によって盗難される可能性を低く抑えることが可能となる。
【0010】
本発明では、前記暗号化及びその復号化には、前記秘密鍵の登録時の1度のみ使用可能な制限鍵を用いた暗号及び復号が含まれることを要旨とする。
この構成によれば、秘密鍵を暗号化して車両及び電子キーに送る際の暗号鍵として、登録時の1度のみ有効な制限鍵が使用される。このため、秘密鍵を暗号化する鍵が登録の度に毎回変わるので、秘密鍵を一層盗まれ難くすることが可能となる。
【0011】
本発明では、前記車両、前記電子キー及び前記センターが登録モードに入る前に、互いの通信相手の正否を確認する通信相手認証を行い、この認証が成立することを条件に、これら3者全てを前記秘密鍵の登録が可能な前記登録モードとする登録モード切換手段を備えたことを要旨とする。
【0012】
この構成によれば、秘密鍵を車両及び電子キーに登録するには、車両、電子キー及びセンターの間で認証を成立させて、車両及び電子キーを登録モードに切り換えなければならない。よって、秘密鍵を登録する際には、登録モード移行のための認証成立が条件となるので、秘密鍵の不正登録を生じ難くすることが可能となる。
【0013】
本発明では、前記車両、前記電子キー及び前記センターが全て登録モードに入った後、実際の登録動作の前において前記車両と前記電子キーと前記センターとを認証させるモード切換後認証手段を設けたことを要旨とする。
【0014】
この構成によれば、登録モードに入った後にも通信相手の正否を見る認証を行うので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えたことを要旨とする。
【0015】
この構成によれば、登録ツールや作業者の認証成立も登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、前記登録モード後の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えたことを要旨とする。
【0016】
この構成によれば、秘密鍵の登録先である電子キーや車両等のIDが異常IDに含まれている場合には、認証が成立せず、秘密鍵の登録を行うことができない。よって、秘密鍵の不正登録を一層生じ難くすることが可能となる。なお、異常IDとは、例えば盗難登録されたIDや既に登録済みのIDなど、認証成立として認めることができないIDのことをいう。
【0017】
本発明では、前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えたことを要旨とする。
【0018】
この構成によれば、IDの組み合わせ異常がないことも登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込み、前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、該センターが持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に前記センターが持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させ、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録することを要旨とする。
【発明の効果】
【0019】
本発明によれば、秘密鍵の盗み取りを発生し難くすることができる。
【図面の簡単な説明】
【0020】
【図1】第1実施形態における電子キーシステムの概略構成を示すブロック図。
【図2】秘密鍵登録システムの概略構成を示すブロック図。
【図3】書き込み器の概略構成を示すブロック図。
【図4】センターの概略構成を示すブロック図。
【図5】車両の概略構成を示すブロック図。
【図6】電子キーの概略構成を示すブロック図。
【図7】登録ツールの概略構成を示すブロック図。
【図8】秘密鍵登録システムの動作概要を示すフロー図。
【図9】図8の続きを示すフロー図。
【図10】図9の続きを示すフロー図。
【図11】第2実施形態における秘密鍵登録システムの概略構成を示すブロック図。
【図12】登録ツール及びセンターの概略構成を示すブロック図。
【図13】ツールセンターID組み合わせ表。
【図14】電子キー車載器ID組み合わせ表。
【図15】秘密鍵登録システムの動作概要を示すフロー図。
【発明を実施するための形態】
【0021】
(第1実施形態)
以下、本発明を具体化した秘密鍵登録システム及び秘密鍵登録方法の第1実施形態を図1〜図10に従って説明する。
【0022】
図1に示すように、車両1には、車両キーとして使用される電子キー2との間で無線通信によりキー照合を行って、このキー照合の成立を条件にドアロックの施解錠やエンジン始動等が許可又は実行される電子キーシステム3が設けられている。なお、電子キー2は、車両1との間で狭域無線通信が可能であって、電子キー2が固有に持つIDコード(以下、電子キーIDという)を無線通信により車両1に発信して、車両1にキー照合としてID照合を行わせることが可能なキーのことをいう。
【0023】
電子キーシステム3には、電子キー(通称、リモートコントロールキー)2をボタン操作することによって遠隔操作により車両ドアのドアロックを施錠又は解錠するワイヤレスドアロックシステムがある。この場合、車両1には、電子キー2とID照合を行う照合ECU4と、車両1の電源系を管理するメインボディECU5とが設けられ、これらECU4,5が車内の一ネットワークであるバス6を介して接続されている。照合ECU4には、UHF(Ultra High Frequency)帯(約312MHz)の電波を受信可能な車両チューナ7が接続されている。また、メインボディECU5には、ドアロックの施解錠を実行するときの駆動源としてドアロックモータ8が接続されている。
【0024】
また、電子キー2には、電子キー2の各種動作を統括制御する通信制御部9が設けられている。この通信制御部9は、CPU10やメモリ11等の各種デバイスを持ち、電子キー2が持つ固有のキーコードとして電子キーIDがメモリ11に登録されている。電子キー2には、車両ドアを遠隔操作により施錠するときに操作する施錠ボタン12と、車両ドアを遠隔操作により解錠するときに操作する解錠ボタン13とが設けられ、これらボタン12,13の操作有無が通信制御部9によって管理されている。また、通信制御部9には、UHF帯の無線信号を発信可能なキー発信機14が接続され、キー発信機14の信号発信動作が通信制御部9によって管理されている。
【0025】
例えば、施錠ボタン12が操作されると、通信制御部9は、電子キー2の電子キーIDと、車両1にドアロック施錠の動作開始を要求する機能コード(施錠要求コード)とを含んだワイヤレス信号Swlをキー発信機14からUHF帯の信号で発信させて、狭域無線通信(ワイヤレス通信)を実行する。そして、照合ECU4は、車両チューナ7でこのワイヤレス信号Swlを受信すると、ワイヤレス信号Swlに含まれる電子キーIDを、自身のメモリ15に登録された電子キーIDと照らし合わせてID照合(ワイヤレス照合)を行う。照合ECU4は、ワイヤレス照合の成立を確認すると、続く施錠要求コードに従い、メインボディECU5にドアロックの施錠動作を実行させる。
【0026】
ワイヤレス通信には、電子キー2から発信されるワイヤレス信号Swlを暗号化して車両1に送る暗号通信が使用されている。本例の暗号通信には、信号の送り手と受け手とで共通の暗号鍵を使用する秘密鍵暗号方式が採用されている。よって、電子キー2のメモリ11と、車両1(照合ECU4)のメモリ15とには、同じ秘密鍵16が登録されている。そして、電子キー2がワイヤレス信号Swlを発信する際には、電子キー2の秘密鍵16によって暗号化されたワイヤレス信号Swlが発信され、車両1がこのワイヤレス信号Swlを受信すると、車両1側の秘密鍵16でワイヤレス信号Swlが復号される。
【0027】
図2に示すように、車両1及び電子キー2には、これら車両1及び電子キー2に秘密鍵16を発行する秘密鍵登録システム17が設けられている。本例の秘密鍵登録システム17は、車両1及び電子キー2の製造ライン上に置かれた書き込み器18から秘密鍵16を直に車両1と電子キー2とに登録するのではなく、車両1に接続可能なハンディタイプの登録ツール19と、ネットワーク通信網を介して無線通信可能なセンター20と利用して、車両1、電子キー2、書き込み器18、登録ツール19及びセンター20の五者を協同させて、車両1及び電子キー2に秘密鍵16を登録するシステムとなっている。
【0028】
このシステム17の詳細を説明すると、図2及び図3に示すように、書き込み器18のメモリ21(図3参照)には、車両1の照合ECU4に秘密鍵16を登録する際に使用される車載器センター鍵22と、電子キー2に秘密鍵16を登録する際に使用される電子キーセンター鍵23とが登録されている。車載器センター鍵22は、車両1とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、車両1のそれぞれに対して個別に割り振られる鍵である。車載器センター鍵22は、秘密鍵16を車両1と電子キー2に登録するときに、照合ECU4とセンター20との間のデータやり取りで使用する。また、電子キーセンター鍵23は、電子キー2とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、電子キー2のぞれぞれに対して個別に割り振られる鍵である。電子キーセンター鍵23は、秘密鍵16を車両1と電子キー2に登録するときに、電子キー2とセンター20との間のデータやり取りで使用する。書き込み器18は、製造工場等に置かれるものであるので、車載器センター鍵22や電子キーセンター鍵23を持っていても、これらが盗み取られる可能性は低い。なお、車載器センター鍵22が車載器登録用鍵に相当し、電子キーセンター鍵23が電子キー登録用鍵に相当する。
【0029】
また、書き込み器18には、製造時において車両1(照合ECU4)に車載器センター鍵22を書き込む車載器センター鍵書込部24と、製造時において電子キー2に電子キーセンター鍵23を書き込む電子キーセンター鍵書込部25とが設けられている。車載器センター鍵書込部24は、製造ライン上を流れてくる照合ECU4に対し、電気配線24aを介して車載器センター鍵22を有線により直に注入する。また、電子キーセンター鍵書込部25は、製造ライン上を流れてくる電子キー2に対し、通信制御部9のICに電気配線25aを介して電子キーセンター鍵23を有線により直に注入する。なお、これら書込部24,25が書込手段に相当する。
【0030】
図4に示すように、センター20には、照合ECU4に登録されたものと同様の車載器センター鍵22と、電子キー2に登録されたものと同様の電子キーセンター鍵23とが記憶されている。車載器センター鍵22及び電子キーセンター鍵23は、書き込み器18から別途入手するか、或いは書き込み器18へ事前配布されることにより、センター20に登録されている。また、この鍵配布は、センター20から書き込み器18に渡す構成としてもよい。なお、センター20や書き込み器18に車載器センター鍵22や電子キーセンター鍵23を登録するときの登録方法は、入力装置を介して手入力したり、無線通信により入手したりするなど、入手方法は特に問わない。
【0031】
また、センター20のメモリ26には、製品として市場に出回ったどの車両1(照合ECU4)とどの電子キー2とでもペア登録することが可能となっている。これにより、メモリ26には、車載器IDと電子キーIDとが登録される。車載器IDは、車両1(照合ECU4)の固有値として車両1が持っている個別のIDコードである。また、電子キーIDは、電子キー2の固有値として同キー2が持っている個別のIDコードである。更に、センター20のメモリ26には、登録ツール19とセンター20との間で定義付けられた暗号鍵の一種としてツールセンター鍵27が登録されている。ツールセンター鍵27は、秘密鍵16を車両1と電子キー2に登録するときに、登録ツール19とセンター20との間のデータやり取りで使用する暗号鍵である。
【0032】
センター20には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部20aが設けられている。センター20は、このツール接続部20aを介して、無線通信により登録ツール19と通信可能となっている。
【0033】
センター20には、センター20の動作モードを登録モードに切り換えるセンター側登録モード切換部28が設けられている。センター側登録モード切換部28は、登録ツール19との間でチャレンジレスポンス認証が成立することを条件に、センター20の動作モードを登録モードに切り換える。チャレンジレスポンス認証は、発信の度に毎回値が変わる乱数コードをチャレンジとして認証側から受け側に送り、このチャレンジを受け側の計算式に通して計算させ、計算結果をレスポンスとして受け付ける。そして、認証側も同様にチャレンジを自身の計算式により演算してレスポンスを計算し、このレスポンスと受け側のレスポンスとが一致するか否かを見る認証である。
【0034】
センター20には、センター20が登録モードに入った後において、登録の通信相手が正しいか否かを認証するセンター側通信相手認証部29が設けられている。また、センター20には、車両1及び電子キー2が秘密鍵16を登録した際、同じ秘密鍵16を登録した車両1と電子キー2とをペアにしてメモリ26に登録するIDペア登録部30が設けられている。
【0035】
センター20には、同センター20において秘密鍵16を生成する乱数生成器31が設けられている。乱数生成器31は、データを出力する度に値が異なるコードを、電子キーシステム3の秘密鍵16として生成する。即ち、秘密鍵16はセンター20によって生成され、同センター20が秘密鍵16を一括管理する。
【0036】
センター20には、乱数生成器31によって生成された秘密鍵16を、メモリ26内の車載器センター鍵22と電子キーセンター鍵23とにより暗号化する暗号化処理部32が設けられている。暗号化処理部32は、メモリ26内の車載器センター鍵22によって、車載器IDと電子キーIDと秘密鍵16とを暗号化することにより車載器登録コードCcrを生成するとともに、メモリ26内の電子キーセンター鍵23によって、秘密鍵16を暗号化することにより電子キー登録コードCdkを生成する。即ち、車載器登録コードCcr及び電子キー登録コードCdkは、車載器IDと電子キーIDと秘密鍵16とを情報として持ち、車両1や電子キー2に秘密鍵16を登録する際に必要な一条件として使用される。
【0037】
センター20には、暗号化処理部32が生成した車載器登録コードCcr及び電子キー登録コードCdkを、車両1及び電子キー2に対して各々出力する登録コード出力部33が設けられている。登録コード出力部33は、ネットワーク通信網の一種であるIP(Internet Protocol)通信を介して、車両1、電子キー2及び登録ツール19と無線通信が可能である。登録コード出力部33は、車載器登録コードCcrを車両1に発信し、電子キー登録コードCdkを電子キー2に発信する。なお、乱数生成器31、暗号化処理部32、登録コード出力部33がコード出力手段を構成する。
【0038】
図5に示すように、車両1には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部1aが設けられている。登録ツール19は、ケーブルをこのツール接続部1aに繋げることにより、車両1に接続可能となっている。照合ECU4は、このツール接続部1aを介して、有線通信により登録ツール19と通信可能となっている。
【0039】
また、車両1には、IP通信を介して車両1を外部と無線により繋ぐG-Book通信装置34が設けられている。G-Book通信装置34は、例えばバス6を介して照合ECU4と接続されている。G-Book通信装置34は、センター20から発信された車載器登録コードCcrを受信可能であり、この車載器登録コードCcrを照合ECU4に供給可能となっている。
【0040】
また、照合ECU4には、照合ECU4の動作モードを登録モードに切り換える車両側登録モード切換部35が設けられている。車両側登録モード切換部35は、登録モードに入ったセンター20との間でチャレンジレスポンス認証が成立することを条件に、照合ECU4の動作モードを登録モードに切り換える。また、照合ECU4には、照合ECU4が登録モードに入った後において、登録の通信相手が正しいか否かを認証する車両側通信相手認証部36が設けられている。
【0041】
照合ECU4には、製造時において書き込み器18から出力される車載器センター鍵22を取得する車載器センター鍵取得部37が設けられている。照合ECU4には、センター20から発信された車載器登録コードCcrを、G-Book通信装置34を介して取得する車載器登録コード取得部38が設けられている。このように、照合ECU4に車載器センター鍵取得部37と車載器登録コード取得部38とを設けることにより、照合ECU4に車載器センター鍵22と車載器登録コードCcrとを取り込ませることが可能となっている。
【0042】
照合ECU4には、車載器登録コード取得部38によって登録した車載器登録コードCcrを、車載器センター鍵取得部37で取得した車載器センター鍵22により復号する車両側復号化処理部39が設けられている。車両側復号化処理部39によって求まる復号データは、車載器登録コードCcrにかかっている車載器センター鍵22が、書き込み器18から取得した車載器センター鍵22と同一であれば、正しく復号される。
【0043】
照合ECU4には、センター20からG-Book通信装置34を介して取り込んだ車載器登録コードCcrが正しいか否かを判定する車両側登録コード判定部40が設けられている。車両側登録コード判定部40は、車両側復号化処理部39によって車載器登録コードCcrを正しく復号でき、しかもその復号データに含まれる車載器IDが、車両1のものと一致するか否かを見ることにより、登録コードCcrの正否を判定する。車両側登録コード判定部40は、車載器IDのID成立を確認すれば、秘密鍵16の登録を許可し、車載器IDのID成立を確認できなければ、秘密鍵16の登録を不可とする。
【0044】
照合ECU4には、車載器登録コードCcrが正しいことを条件に、車両1に秘密鍵16の登録を実行する車両側秘密鍵登録部41が設けられている。車両側秘密鍵登録部41は、登録コードの判定が正しい際、車載器登録コードCcrに含まれる秘密鍵16を、車両1の暗号鍵としてメモリ15に書き込む。なお、車載器登録コード取得部38、車両側復号化処理部39、車両側登録コード判定部40、車両側秘密鍵登録部41が鍵登録手段を構成する。
【0045】
図6に示すように、電子キー2には、キー2の外部において発信された各種電波を受信するキー受信機42が設けられている。キー受信機42は、例えばUHF(Ultra High Frequency)帯の一種のRF(Radio Frequency)電波を受信可能であり、この受信電波を増幅や復調等して通信制御部9に供給する。このキー受信機42は、例えば電子キーシステム3がキー操作フリーシステム、即ち車両1からのリクエストに応答して電子キー2が電子キーIDを車両1に自動返信してID照合させるシステムの場合、同システム3において車両1から発信される各種電波も受信可能となっている。
【0046】
通信制御部9には、電子キー2の動作モードを登録モードに切り換えるキー側登録モード切換部43が設けられている。キー側登録モード切換部43は、登録モードに入った車両1から登録モード移行要求を受け付けると、電子キー2の動作モードを登録モードに切り換える。また、通信制御部9には、通信制御部9が登録モードに入った後において、登録の通信相手が正しいか否かを認証するキー側通信相手認証部44が設けられている。
【0047】
通信制御部9には、製造時において書き込み器18から出力される電子キーセンター鍵23を取得する電子キーセンター鍵取得部45が設けられている。通信制御部9には、センター20から発信された電子キー登録コードCdkを、キー受信機42を介して取得する電子キー登録コード取得部46が設けられている。このように、通信制御部9に電子キーセンター鍵取得部45と電子キー登録コードCdkとを設けることにより、通信制御部9に電子キーセンター鍵23と電子キー登録コードCdkとを取り込ませることが可能となっている。
【0048】
通信制御部9には、電子キー登録コード取得部46によって登録した電子キー登録コードCdkを、電子キーセンター鍵取得部45で取得した電子キーセンター鍵23により復号するキー側復号化処理部47が設けられている。キー側復号化処理部47によって求まる復号データは、電子キー登録コードCdkにかかっている電子キーセンター鍵23が、書き込み器18から取得した電子キーセンター鍵23と同一であれば、正しく復号される。
【0049】
通信制御部9には、センター20からキー受信機42を介して取り込んだ電子キー登録コードCdkが正しいか否かを判定するキー側登録コード判定部48が設けられている。キー側登録コード判定部48は、キー側復号化処理部47によって電子キー登録コードCdkを正しく復号でき、しかもその復号データに含まれる電子キーIDが、電子キー2のものと一致するか否かを見ることにより、登録コードCdkの正否を判定する。キー側登録コード判定部48は、電子キーIDのID成立を確認すれば、秘密鍵16の登録を許可し、電子キーIDのID成立を確認できなければ、秘密鍵16の登録を不可とする。
【0050】
通信制御部9には、電子キー登録コードCdkが正しいことを条件に、電子キー2に秘密鍵16の登録を実行するキー側秘密鍵登録部49が設けられている。キー側秘密鍵登録部49は、登録コードの判定が正しい際、電子キー登録コードCdkに含まれる秘密鍵16を、電子キー2の暗号鍵としてメモリ11に書き込む。なお、電子キー登録コード取得部46、キー側復号化処理部47、キー側登録コード判定部48、キー側秘密鍵登録部49が鍵登録手段を構成する。
【0051】
図7に示すように、登録ツール19は、車両1及び電子キー2に秘密鍵16を登録する際に携帯するハンディタイプをとっている。よって、車両1及び電子キー2への秘密鍵16の登録は、登録ツール19を携帯操作することによって行う。登録ツール19には、登録ツール19を統括制御するツール制御部50と、各種電波を送受信可能な通信機51と、例えばテンキー等からなる入力部52と、各種画面を表示する表示部53とが設けられている。登録ツール制御部50は、入力部52の入力情報を管理するとともに、表示部53及び通信機51を制御して各種登録動作を実行する。
【0052】
また、ツール制御部50には、登録ツール19における登録動作を管理するツール側登録モード切換部54が設けられている。ツール制御部50には、車両1、電子キー2及びセンター20が全て登録モードに入った後に、登録の通信相手が正しいか否かを認証するツール側通信相手認証部55が設けられている。登録ツール制御部50のメモリ56には、センター20に登録されているものと同様のツールセンター鍵27が登録されている。なお、登録モード切換部28,35,43,54が登録モード切換手段を構成する。通信相手認証部29,36,44,55がモード切換後認証手段を構成し、通信相手認証部29が排除手段も構成する。
【0053】
次に、車両1及び電子キー2に秘密鍵16を登録する手順を図8〜図10に従って説明する。
まずは前提として、照合ECU4の製造ラインにおいて、書き込み器18から車載器センター鍵22を照合ECU4に注入して、照合ECU4に車載器センター鍵22を書き込んでおく。また、同様に、電子キー2の製造ラインにおいて、書き込み器18から電子キーセンター鍵23を電子キー2の通信制御部9に注入して、電子キー2に電子キーセンター鍵23を書き込んでおく。以上により、照合ECU4には車載器センター鍵22が登録されるとともに、電子キー2の通信制御部9には電子キーセンター鍵23が登録された状態となる。
【0054】
続いて、今度は図8に示すように、車両1、電子キー2及び登録ツール19の3つを手元に用意するとともに、これら3者とセンター20とが無線通信可能な態勢を整える。なお、このとき、車両1及び電子キー2に所定操作を加えてこれらを登録の開始状態にするとともに、登録ツール19をケーブル(図示略)によりツール接続部1aに繋ぎ、これに電源を入れることによって登録ツール19も登録の開始状態にし、更にはセンター20にも電源を入れて、センター20も登録の開始状態に設定する。なお、開始状態とは、実際の登録モードの前の準備段階のこととをいい、この開始状態に入る操作形式は種々のものが採用可能である。
【0055】
そして、登録ツール19において入力部52を操作することにより秘密鍵16の登録操作が行われたとする。このときは、ステップ101に示すように、登録操作開始の通知として有線接続コマンドが登録ツール19から照合ECU4に出力される。なお、このときの登録ツール19における登録動作は、ツール側登録モード切換部54によって管理される。
【0056】
照合ECU4は、登録ツール19から有線接続コマンドが入力されると、車両側登録モード切換部35が起動する。このとき、照合ECU4は、有線接続コマンドに応答する形をとって、ステップ102に示すように、自身に登録された車載器IDを登録ツール19に返信する。登録ツール19は、照合ECU4から車載器IDを取得すると、センター20へ秘密鍵16の登録開始を通知すべく、ステップ103に示すように、IP通信を介して登録要求をセンター20に発信する。
【0057】
センター20は、登録ツール19から登録要求を受け付けると、センター側登録モード切換部28が起動する。このとき、センター20は、ステップ104に示すように、ツールセンター鍵27を用いたチャレンジレスポンス認証を開始して、登録ツール19に第1チャレンジを送る。登録ツール19は、センター20から第1チャレンジを受け付けると、自身に登録されたツールセンター鍵27により第1チャレンジのレスポンスとして第1レスポンスを演算し、ステップ105に示すように、この第1レスポンスをセンター20に返信する。
【0058】
センター20は、登録ツール19から第1レスポンスを受け付けると、ステップ106に示すように、受け付けた第1レスポンスと、自身も同様に計算したレスポンスと比較することにより、レスポンス検証を行う。即ち、センター20は登録ツール19を認証する。センター20は、レスポンス検証が成立することを確認すると、次のステップ107に移行して、自身の動作モードを登録モードに切り換える。即ち、センター側登録モード切換部28は、登録ツール19とセンター20との間のチャレンジレスポンス認証が成立することを確認すると、センター20の動作モードを登録モードに切り換える。一方、センター20は、レスポンス検証が成立しないことを確認すると、動作を強制終了する。
【0059】
登録モードに入ったセンター20は、ステップ108に示すように、ハッシュ関数によりツールセンターテンプレート鍵57(以下、ツールセンターtemp鍵57と記す)を作成する。ツールセンターtemp鍵57は、登録ツール19に送った第1チャレンジと、登録ツール19から受け付けた第1レスポンスと、センター20のメモリ26に登録されたツールセンター鍵27とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。ツールセンターtemp鍵57は、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。このツールセンターtemp鍵57は、秘密鍵16の間違った登録を防止するために機能する鍵である。
【0060】
また、登録ツール19は、ステップ109に示すように、センター20と同様の形式によりツールセンターtemp鍵57を作成する。即ち、登録ツール19は、センター20から受け付けた第1チャレンジと、自らが算出した第1レスポンスと、自身のメモリ56に登録されたツールセンター鍵27とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値をツールセンターtemp鍵57として算出する。
【0061】
登録ツール19は、ツールセンターtemp鍵57を作成すると、ステップ110に示すように、照合ECU4に登録モード移行要求を出力する。照合ECU4は、登録ツール19から登録モード移行要求を受け付けると、ステップ111に示すように、自身に登録された車載器IDを登録ツール19に出力する。このとき、照合ECU4は、車載器センター鍵22を用いたチャレンジレスポンス認証も開始し、車載器IDとともに第2チャレンジを登録ツール19に出力する。登録ツール19は、照合ECU4から車載器IDと第2チャレンジとを受け付けると、これらをIP通信によりセンター20に発信する。
【0062】
センター20は、登録ツール19から車載器IDと第2チャレンジを受信すると、ステップ112に示すように、まずは自身のメモリ(データベース)26を参照して、車載器IDに対応する車載器センター鍵22を読み出す。ところで、車載器センター鍵22は各車両1の固有値であり、同じく車両1の固有値である車載器IDとは一義的に対応付けられるので、車載器IDが分かれば、同IDに対応する車載器センター鍵22は読み出すことが可能である。よって、センター20は、車載器IDを手掛かりに、これと対応する車載器センター鍵22を読み出す。
【0063】
また、センター20は、登録ツール19から第2チャレンジを受信すると、第2チャレンジを自身の車載器センター鍵22によって第2レスポンスを計算し、ステップ113に示すように、この第2レスポンスを登録ツール19に返信する。登録ツール19は、第2レスポンスを受信すると、この第2レスポンスを照合ECU4に出力する。
【0064】
照合ECU4は、登録ツール19から第2レスポンスを受け付けると、ステップ114に示すように、受け付けた第2レスポンスと、自身も同様に計算したレスポンスとを比較することにより、レスポンス検証を行う。即ち、照合ECU4はセンター20を認証する。照合ECU4は、レスポンス検証が成立することを確認すると、次のステップ115に移行して、自身の動作モードを登録モードに切り換える。即ち、車両側登録モード切換部35は、照合ECU4とセンター20との間のチャレンジレスポンス認証が成立することを確認すると、照合ECU4の動作モードを登録モードに切り換える。一方、照合ECU4は、レスポンス検証が成立しないことを確認すると、動作を強制終了する。
【0065】
登録モードに入った照合ECU4は、ステップ116に示すように、ハッシュ関数により車載器センターテンプレート鍵58(以下、車載器センターtemp鍵58と記す)を作成する。車載器センターtemp鍵58は、センター20に送った第2チャレンジと、センター20から受け付けた第2レスポンスと、照合ECU4のメモリ15に登録された車載器センター鍵22とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。車載器センターtemp鍵58も、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。車載器センターtemp鍵58は、秘密鍵16の間違った登録を防止するために機能する鍵である。なお、車載器センターtemp鍵58が制限鍵に相当する。
【0066】
また、センター20は、ステップ117に示すように、照合ECU4と同様の形式により車載器センターtemp鍵58を作成する。即ち、センター20は、照合ECU4から受け付けた第2チャレンジと、自らが算出した第2レスポンスと、自身のメモリ26に登録された車載器センター鍵22とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値を車載器センターtemp鍵58として算出する。
【0067】
照合ECU4は、車載器センター鍵22を作成すると、ステップ118に示すように、登録モード移行要求と電子キーID要求とを電子キー2に発信する。電子キー2は、照合ECU4から登録モード移行要求を受け付けると、キー側登録モード切換部43が起動する。なお、このときの無線通信は、電子キーシステム3の通信インフラが使用される。また、登録モード移行要求は、電子キー2を登録モードに移行させる指令である。電子キーID要求は、電子キーIDを車両1に返信させる指令である。
【0068】
電子キー2は、照合ECU4から登録モード移行要求を受け付けると、ステップ119に示すように、自身のメモリ11において既に秘密鍵16が登録されているか否かを確認する。電子キー2は、自身のメモリ11に秘密鍵16が登録されていないことを確認すると、次のステップ120に移行して、自身の動作モードを登録モードに切り換える。即ち、キー側登録モード切換部43は、まだ秘密鍵16がメモリ11に登録されていないことを確認すると、電子キー2の動作モードを登録モードに切り換える。一方、電子キー2は、自身のメモリ11に秘密鍵16が既に登録されていることを確認すると、動作を強制終了する。
【0069】
登録モードに入った電子キー2は、続いて登録モード時における認証を行うために、キー側通信相手認証部44が起動する。このとき、キー側通信相手認証部44は、ステップ121に示すように、自身のメモリ11に登録されている電子キーIDを照合ECU4に発信する。照合ECU4は、電子キーIDを受信すると、車両側通信相手認証部36が起動して、電子キー2から受け付けた電子キーIDを登録ツール19に転送する。
【0070】
登録ツール19は、照合ECU4から電子キーIDを入力すると、ツール側通信相手認証部55が起動する。即ち、ツール側通信相手認証部55は、ステップ122に示すように、センター20とMAC(Message Authentication Code)認証を行うために、暗号文データ59と改竄検出符号データ60とを算出する。MAC認証は、メッセージの改竄や成りすましを防止するための認証の一種であり、メッセージと鍵とを暗号用のアルゴリズムに通すことによって認証コード、いわゆるMACを生成し、これを通信データとして相手側に送って認証を行うものである。MACのアルゴリズムには、例えばブロック暗号(DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等)によるもの、ハッシュ関数によるもの、専用設計されたものなどがある。
【0071】
暗号文データ59は、暗号アルゴリズムに、鍵であるツールセンター鍵27と、平文である車載器ID及び電子キーIDを入力して求まる暗号文により構築されている。また、改竄検出符号データ60は、改竄検出用アルゴリズムに、鍵であるツールセンターtemp鍵57と、平文である前述の暗号文データ59とを入力して求まる符号により構築されている。登録ツール19は、演算したこれら暗号文データ59と改竄検出符号データ60とを、IP通信によりセンター20に発信する。また、登録ツール19は、暗号文データ59と改竄検出符号データ60を発信すると、登録モードを終了する。
【0072】
センター20は、登録ツール19から暗号文データ59及び改竄検出符号データ60を入力すると、センター側通信相手認証部29が起動する。即ち、センター側通信相手認証部29は、ステップ123に示すように、これらデータ59,60を用いてMAC認証と異常ID検証とを実行する。ここで、センター20のメモリ26には、異常IDが登録されたデータベースとして異常IDデータベース61が設けられている。異常IDは、盗難車両の車載器IDや、他車両に登録済みの電子キーIDに相当する。よって、異常ID検出は、登録ツール19から受け付けたIDを異常IDデータベース61に照らし合わせて、受信IDが異常IDに相当するものか否かを見ることにより行われる。センター側通信相手認証部29は、暗号文及び改竄検出符号を正しく復号できることを確認し、かつ各種IDが異常IDに属さないことを確認すると、次のステップ124に移行する。一方、センター20は、MAC認証及び異常ID検証が成立しないことを確認すると、動作を強制終了する。なお、異常IDデータベース61が排除手段を構成する。
【0073】
センター20は、MAC認証及び異常ID検証の成立を確認すると、続いて秘密鍵16の転送動作に入る。このとき、センター20は、ステップ124に示すように、秘密鍵16の暗号化出力処理を実行する。この処理として、まず暗号化処理部32は、メモリ26から電子キーセンター鍵23及び車載器センター鍵22を読み出す。続いて、乱数生成器31は、自身が発生する乱数コードを秘密鍵16として暗号化処理部32に出力する。暗号化処理部32は、乱数生成器31から取得した秘密鍵16を電子キーセンター鍵23により暗号化して電子キー登録コードCdkを生成するとともに、秘密鍵16を車載器センター鍵22により暗号化して車載器登録コードCcrを生成する。
【0074】
センター20は、車載器登録コードCcrを生成すると、ステップ125に示すように、この車載器登録コードCcrを、G-Book通信装置34を使用したIP通信により照合ECU4に発信する。この車載器登録コードCcrには、暗号文データ62と改竄検出符号データ63とが含まれている。暗号文データ62は、暗号アルゴリズムに、鍵である車載器センター鍵22と、秘密鍵16、電子キーID及び車載器IDからなる平文とを入力することにより求まる暗号文によって構築されている。また、改竄検出符号データ63は、改竄検出用アルゴリズムに、鍵である車載器センターtemp鍵58と、平文である前述の暗号文データ62とを入力することにより求まる符号によって構築されている。
【0075】
また、センター20は、電子キー登録コードCdkを生成すると、ステップ126に示すように、この電子キー登録コードCdkを、電子キーシステム3の通信網を介して電子キー2に発信する。この電子キー登録コードCdkは、電子キーセンター鍵23を使用した暗号文データから構成されている。即ち、電子キー登録コードCdkは、暗号アルゴリズムに、鍵である電子キーセンター鍵23と、秘密鍵16、車載器ID及び電子キーIDからなる平文とを入力することにより求まる暗号文によって構築されている。
【0076】
照合ECU4は、センター20から車載器登録コードCcrを受信すると、ステップ127に示すように、車載器登録コードCcr内の暗号文データ62を復号する。即ち、車両側復号化処理部39は、センター20から取得した車載器登録コードCcrを、照合ECU4のメモリ15に書き込まれている車載器センター鍵22に通すことにより、車載器登録コードCcrを復号する。
【0077】
照合ECU4は、ステップ127の復号化が完了すると、今度はステップ128に示すように、改竄検出判定と車載器ID検証とを実行して、センター20を認証する。即ち、車両側登録コード判定部40は、復号データを確認することによりセンター20の認証を行う。改竄検出判定は、照合ECU4が自らも改竄検出符号を求めて、受け付けた同符号の正否を見る認証の一種であり、車載器登録コードCcrに含まれる改竄検出符号に誤りが無いかどうかを見るものである。また、車載器ID検証は、車載器登録コードCcrを車載器センター鍵22で復号することによって取得する車載器IDの正否を見る検証である。照合ECU4は、改竄検出判定及び車載器ID検証の両方が成立することを確認すると次ステップに移行し、これらが成立しないことを確認すると開始状態に戻って、動作を終了する。
【0078】
一方、電子キー2は、センター20から電子キー登録コードCdkを受信すると、ステップ129に示すように、電子キー登録コードCdkを復号する。即ち、キー側復号化処理部47は、センター20から取得した電子キー登録コードCdkを、電子キー2のメモリ11に書き込まれている電子キーセンター鍵23に通すことにより、電子キー登録コードCdkを復号する。
【0079】
電子キー2は、ステップ129の復号化が完了すると、今度はステップ130に示すように、電子キーID検証を実行して、センター20の認証を行う。電子キーID検証は、電子キー登録コードCdkを電子キーセンター鍵23で復号することによって取得する電子キーIDの正否を見る検証である。電子キー2は、電子キーID検証が成立することを確認すると次ステップに移行し、電子キーID検証が成立しないことを確認すると開始状態に戻って、動作を終了する。
【0080】
照合ECU4は、改竄検出判定及び車載器ID検証の成立を確認すると、センター20から受け付けた秘密鍵16の正否を確認するために、秘密鍵16を用いたチャレンジレスポンス認証を開始する。このとき、まず照合ECU4は、ステップ131に示すように、第3チャレンジを電子キー2に発信する。電子キー2は、照合ECU4から第3チャレンジを受信すると、この第3チャレンジを自身の秘密鍵16により演算し、ステップ132に示すように、その演算結果を第3レスポンスとして照合ECU4に返信する。
【0081】
照合ECU4は、電子キー2から第3レスポンスを受信すると、ステップ133に示すように、この第3レスポンスと、自身の秘密鍵16を用いて自らも演算したレスポンスと比較してレスポンス検証を行う。即ち、車両側登録コード判定部40は、レスポンス検証の正否を確認することにより電子キー2の認証を行う。照合ECU4は、レスポンス検証が成立することを確認すると、次ステップに移行し、この検証が成立しないことを確認すると、動作を強制終了する。
【0082】
照合ECU4は、ステップ133においてレスポンス検証が成立することを確認すると、登録の最終確認を行うべく、ステップ134に示すように、車載器センターtemp鍵58に準じた暗号文データ64を、G-Book通信装置34によるIP通信を介してセンター20に発信する。即ち、センター20のIDペア登録部30が起動して、暗号文データ64の発信動作を行う。この暗号文データ64は、暗号アルゴリズムに、車載器センターtemp鍵58と、車載器ID、電子キーID及び電子キー認証確認済み通知からなる平文とを入力することにより求まる暗号文によって構築されている。電子キー認証確認済み通知は、ステップ133のレスポンス認証の成立を確認することを以て出される通知である。
【0083】
センター20は、照合ECU4から暗号文データ64を受信すると、ステップ135に示すように、暗号文データ64に含まれる車載器IDと電子キー認証確認済み通知との検証を行う。即ち、IDペア登録部30は、照合ECU4に電子キーIDが登録されたか否かを確認する。IDペア登録部30は、ステップ135の検証が成立することを確認すると、受け付けた車載器IDと電子キーIDとをペアにして、メモリ26に記憶する。これにより、センター20には、車載器IDと電子キーIDとがペア付けられて登録される。センター20は、このペア登録が完了すると、登録モードを終了する。
【0084】
また、照合ECU4は、ステップ133においてレスポンス検証の成立を確認すると、ステップ137に示すように、センター20から受け付けた秘密鍵16をメモリ15に記憶するとともに、登録の際に電子キー2から受け付けた電子キーIDもメモリ15に登録する。照合ECU4は、メモリ15への秘密鍵16及び電子キーIDの登録を完了すると、登録モードを終了する。
【0085】
更に、電子キー2は、ステップ130において電子キーID検証の成立を確認すると、ステップ138に示すように、センター20から受け付けた秘密鍵16をメモリ11に記憶するとともに、登録の際に照合ECU4から受け付けた車載器IDもメモリ11に登録する。電子キー2は、メモリ11への秘密鍵16及び車載器IDの登録を完了すると、登録モードを終了する。
【0086】
さて、本例の場合、車両1に秘密鍵16を登録するには、まず書き込み器18によって、車両1に車載器センター鍵22を書き込むとともに、電子キー2に電子キーセンター鍵23を書き込んでおく。そして、センター20において生成された秘密鍵16を、予め取り込んでおいた車載器センター鍵22により暗号化して車載器登録コードCcrに変換し、これを車両1に送り渡し、更に同じ秘密鍵16を、予め取り込んでおいた電子キーセンター鍵23により暗号化して電子キー登録コードCdkに変換し、これを電子キー2に送り渡す。そして、車両1と電子キー2との各々で、登録コードCcr,Cdkを復号し、復号データを秘密鍵16として各々登録する。
【0087】
よって、本例においては、車両1及び電子キー2へ秘密鍵16を登録するに際して、書き込み器18及びセンター20が協同することによって実行される。このため、もし仮に秘密鍵16を盗み取ろうとしても、本例の場合は、書き込み器18から鍵22,23を入手しつつ、更にはセンター20から登録コードCcr,Cdkを入手しなければならなくなる。従って、秘密鍵16の盗難は2つの情報を盗み取るという困難性の高いものとなるので、秘密鍵16を盗難され難いものとすることが可能となる。
【0088】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)車両1及び電子キー2への秘密鍵16の登録は、書き込み器18とセンター20とを協同させて行う。このため、秘密鍵16を盗難するには、各々から各種情報を入手しなくてはならなくなるので、秘密鍵16を盗難され難いものとすることができる。
【0089】
(2)車載器登録コードCcrは、登録時の1度のみ有効な車載器センターtemp鍵58により暗号化された情報を含んでいる。このため、車載器登録コードCcrは登録の度に毎回値が変わるものとなるので、車載器登録コードCcrを解析し難くすることができ、ひいては秘密鍵16の耐盗難性も高くすることができる。
【0090】
(3)車両1及び電子キー2に秘密鍵16を登録するには、登録ツール19を用いて、車両1及び登録ツール19の間と、登録ツール19及びセンター20の間とで、チャレンジレスポンス認証を成立させて、これらを登録モードに切り換えなければならない。よって、秘密鍵16の登録に際しては、登録モード移行への認証成立が条件となるので、秘密鍵16の不正登録を発生し難くすることができる。
【0091】
(4)秘密鍵登録システム17が登録モードに入った後、センター20によりMAC認証が行われて登録ツール19が認証されるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0092】
(5)センター20が登録先である車両1や電子キー2を認証する際、これらのIDが異常IDに含まれるかどうかを見る異常ID検証が実行される。よって、車両1や電子キー2のIDが異常ID、即ち盗難車両のIDや他車両に登録済みのIDの場合には、秘密鍵16の登録が不可とされるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0093】
(6)車載器登録コードCcrには、暗号文のみならず改竄検出符号が含まれているので、車載器登録コードCcrを不正解析に対して耐性の強いものとすることができる。
(第2実施形態)
次に、第2実施形態を図11〜図15に従って説明する。なお、第2実施形態は、登録ツール19のIDも合わせて管理する点が第1実施形態と異なっており、他の基本的な部分は同じである。よって、第1実施形態と同一箇所は同一符号を付して詳しい説明を省略し、異なる部分についてのみ説明する。
【0094】
図11に示すように、本例の秘密鍵登録システム17は、車両1と電子キー2との秘密鍵16を登録するに際して、登録作業に関わる情報(登録作業関連情報65)の正否も確認し合い、この認証が成立することも登録を許可する条件としている。この登録作業関連情報65には、例えばそれぞれの登録ツール19が固有のIDとして持つ登録ツールIDとがある。登録ツールIDは、登録ツール19の製造時においてそれぞれに付与される個体番号である。
【0095】
また、登録作業関連情報65には、実際の各種登録作業を行うサービスマンが固有のIDとして持っているサービスマンIDとがある。サービスマンIDは、例えば秘密鍵登録システム17の管理会社に属する社員の登録番号等である。このサービスマンIDは、単なる登録番号のみに限らず、例えば認証情報を加えてもよい。認証情報としては、例えば予め登録しておいた英数字の羅列からなるパスワードや、或いは指紋や音声等により個人認証を行う生体情報等がある。また、本例の場合、ツールセンター鍵27は、登録ツール19のそれぞれに対して割り振られる個別の鍵となっている。なお、サービスマンが作業者に相当する。
【0096】
図12に示すように、ツール制御部50には、登録ツールIDやサービスマンIDを登録ツール19に登録するID登録管理部66が設けられている。ID登録管理部66は、入力部52によって入力されたり、或いは無線通信によって取り込んだりした登録ツールやサービスマンIDを、メモリ56に書き込むことによりID登録を行う。また、サービスマンIDに生体認証が含まれる場合、ID登録管理部66は生体情報も取得可能な構成となっている。ツール制御部50には、登録ツール19に登録された登録ツールIDやサービスマンIDを、センター20に発信可能な登録作業関連情報出力部67が設けられている。
【0097】
センター20には、登録ツール19から受信した登録作業関連情報65(登録ツールID、サービスマンID)の正否を検証する登録作業関連情報検証部68が設けられている。また、センター20のメモリ26には、発行済みとなったサービスマンIDや登録ツールIDが予め登録されている。登録作業関連情報検証部68は、登録ツール19から登録作業関連情報65として登録ツールID及びサービスマンIDを受信すると、受け付けたこれらIDがメモリ26に存在するか否かを見ることにより、受け付けた登録ツールIDやサービスマンIDを認証する。なお、登録作業関連情報検証部68が登録作業関連情報認証手段、排除手段、組み合わせ異常確認手段を構成する。
【0098】
また、センター20のメモリ26には、登録ツールIDうち異常として通知があったものを登録する異常ツールIDデータベース69が設けられている。異常ツールIDデータベース69には、盗難登録されたツールIDが異常IDとして登録されている。登録作業関連情報検証部68は、登録ツールIDを取得すると、受け付けたこの登録IDが異常ツールIDに存在するか否かを見ることにより、異常IDの有無を確認する。なお、異常ツールIDデータベース69が排除手段を構成する。
【0099】
センター20のメモリ26には、登録ツールIDとサービスマンIDとがとるべき組み合わせが設定されたツールサービスマンID表70が登録されている。ツールサービスマンID表70は、図13に示すように、どの番号群のサービスマンIDが、どの番号群の登録ツールIDに対応するのかを決めた一種の表である。登録作業関連情報検証部68は、登録ツールIDとサービスマンIDとを取得すると、これらツールサービスマンID表70を満たす関係をとるか否かを見ることにより、両IDの組み合わせ異常の有無を確認する。なお、ツールサービスマンID表70が組み合わせ異常確認手段を構成する。
【0100】
図12に示すように、センター20には、登録モードに入った後に行う認証において、電子キーIDと車載器IDとの組み合わせ異常の有無を確認する電子キー車載器ID組み合わせ異常確認部71が設けられている。また、メモリ26には、電子キーIDと車載器IDとがとるべき組み合わせが設定された電子キー車載器ID組み合わせ表72が登録されている。電子キー車載器ID組み合わせ表72は、図14に示すように、どの番号群の電子キーIDが、どの番号群の車載器IDに対応するのかを決めた一種の表である。電子キー車載器ID組み合わせ異常確認部71は、電子キーIDと車載器IDとを取得すると、これらIDが電子キー車載器ID組み合わせ表72を満たす関係をとるか否かを見ることにより、両IDの組み合わせ異常の有無を確認する。なお、組み合わせ異常確認部71、組み合わせ表72が組み合わせ異常確認手段を構成する。
【0101】
次に、車両1及び電子キー2に秘密鍵16を登録する手順を図15に従って説明する。なお、図15のフロー図では、第1実施形態と異なる部分のみ図示する。
まずは前提として、サービスマンは、例えば登録ツール19の入力部52を手入力したり、登録ツール備え付けのセンサで生体認証を取り込ませたりすることにより、登録ツール19にサービスマンIDを登録しておく。また、センター20にも、サービスマンID及び登録ツールIDを予め登録しておく。このID登録は、登録ツール19のID登録管理部66によって実行される。
【0102】
登録ツール19は、有線接続コマンドに応答して照合ECU4が返してきた車載器IDを入力すると、ステップ103aに示すように、登録要求、登録ツールID及びサービスマンIDを発信する。即ち、登録作業関連情報出力部67は、メモリ56から登録ツールID及びサービスマンIDを読み出し、これらを登録要求とともにIP通信によりセンター20に発信する。
【0103】
センター20は、登録要求の受け付けをトリガとして、ステップ103bに示すように、登録ツールID及びサービスマンIDのIDを検証する。このとき、まず登録作業関連情報検証部68は、受け付けた登録ツールID及びサービスマンIDがメモリ26に登録されているものかを確認する。また、登録作業関連情報検証部68は、異常ツールIDデータベース69を参照して、取得した登録ツールIDが異常IDでないかどうかも確認する。更に、登録作業関連情報検証部68は、ツールサービスマンID表70を参照して、取得した登録ツールID及びサービスマンIDが正しい組み合わせをとるものかどうかも確認する。登録作業関連情報検証部68は、これら検証が全て成立することを確認すると、ステップ104に移行して処理を継続し、検証が1つでも不成立であると、動作を強制終了する。
【0104】
また、センター20は、ステップ123に示す異常ID検証の際、電子キーIDと車載器IDの組み合わせ異常も確認する。即ち、電子キー車載器ID組み合わせ異常確認部71は、電子キー車載器ID組み合わせ表72を参照することにより、取得した電子キーID及び車載器IDが正しい組み合わせをとるものかどうかを確認する。そして、ステップ123では、異常ID検証において両IDの異常組み合わせがないことも確認すると、登録処理が継続される。
【0105】
本実施形態の構成によれば、第1実施形態の(1)〜(6)に記載の効果に加え、以下の効果を得ることができる。
(7)秘密鍵16の登録の実行条件に、登録ツールIDやサービスマンIDの認証成立を含ませたので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0106】
(8)秘密鍵16の登録の際、登録ツールIDとサービスマンIDとの組み合わせを確認し、この組み合わせに異常がないことを条件に、秘密鍵16の登録が許可される。このため、これらIDの組み合わせが不適当な際には、秘密鍵16の登録が許可されないので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0107】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・ 第1及び第2実施形態において、対センター20のネットワーク通信は、IP通信等に限らず、種々の通信形式が採用可能である。また、通信周波数も適宜変更可能である。
【0108】
・ 第1及び第2実施形態において、登録ツール19とセンター20との通信は、車両1のG-Book通信装置34を介したものとしてもよい。
・ 第1及び第2実施形態において、ツールセンターtemp鍵57や車載器センターtemp鍵58を作成する際に用いる計算式は、必ずしもハッシュ関数に限らず、他の関数や暗号が使用可能である。
【0109】
・ 第1及び第2実施形態において、秘密鍵登録システム17が登録モードに入るときに実行する認証は、必ずしもチャレンジレスポンス認証の成立に限定されず、他の認証方式を採用してもよい。
【0110】
・ 第1及び第2実施形態において、第1〜第3のチャレンジレスポンス認証は、それぞれ使用する鍵が異なることに限定されず、これらの間で同じ鍵を使用してもよい。
・ 第1及び第2実施形態において、ステップ123で実行する認証は、必ずしもMAC認証に限らず、他の認証を採用してもよい。
【0111】
・ 第1及び第2実施形態において、暗号文を生成するときに使用する暗号方式は、AES、DES等、種々の暗号形式を採用可能である。
・ 第1及び第2実施形態において、システムが登録状態に入る際の条件は、必ずしも全員が全員の正否を確認できることに限定されず、例えば所定のものが他の所定のものの正否を確認できること、即ち任意の組み合わせで確認する形式を採用してもよい。
【0112】
・ 第1及び第2実施形態において、車両1とセンター20との通信は、G-Bookを使用した形式に限定されず、これ以外の通信形式を採用してもよい。
・ 第1及び第2実施形態において、電子キー登録コードCdkは、暗号文のみにより構成されることに限らず、例えば車載器登録コードCcrのように改竄検出符号を持つものでもよい。
【0113】
・ 第1及び第2実施形態において、各登録コードCcr,Cdkは、必ずしも暗号文と改竄検出符号とからなるデータや、或いは暗号文のみからなるデータに限定されない。要は、登録コードCcr,Cdkは、暗号化(符号化)されるのであれば、その内容は特に問わない。
【0114】
・ 第1及び第2実施形態において、制限鍵は、必ずしも車載器センターtemp鍵であることに限定されず、要は1度の登録時のみ有効な鍵であれば、その種類は特に問わない。
・ 第1及び第2実施形態において、登録モードに入る前に実行される通信相手認証は、必ずしもチャレンジレスポンス認証に限らず、これ以外の認証形式が採用可能である。
【0115】
・ 第2実施形態において、ID認証は、必ずしもツールIDとサービスマンIDの両方の正否を見ることに限らず、例えば一方のみを見る形式を採用してもよい。
・ 第2実施形態において、作業者に関連するIDは、必ずしも個々のサービスマンに割り当てられるサービスマンIDに限らず、作業者が区別できる情報であればよい。
【0116】
・ 第1及び第2実施形態において、車載器登録用鍵は、車載器センター鍵22という名の通り、車両1とセンター20とに共有に登録される鍵であればよい。また、これは電キー登録用鍵も同様にいえる。
【0117】
・ 第1及び第2実施形態において、書き込み器18による書き込み動作は、必ずしも有線に限らず、無線により行ってもよい。また、この書き込み動作は、必ずしも製造ライン上で実行されることに限らず、実行時期はいつでもよい。なお、このことは、センター20による登録コードCcr,Cdkの登録に関しても同様に言える。
【符号の説明】
【0118】
1…車両、2…電子キー、16…秘密鍵、17…秘密鍵登録システム、18…書き込み器、19…登録ツール、20…センター、22…車載器登録用鍵としての車載器センター鍵、23…電子キー登録用鍵としての電子キーセンター鍵、24…書込手段を構成する車載器センター鍵書込部、25…書込手段を構成する電子キーセンター鍵書込部、28…登録モード切換手段を構成するセンター側登録モード切換部、29…モード切換後認証手段、排除手段を構成するセンター側通信相手認証部、31…コード出力手段を構成する乱数生成器、32…コード出力手段を構成する暗号化処理部、33…コード出力手段を構成する登録コード出力部、35…登録モード切換手段を構成する車両側登録モード切換部、36…モード切換後認証手段を構成する車両側通信相手認証部、38…鍵登録手段を構成する車載器登録コード取得部、39…鍵登録手段を構成する車両側復号化処理部、40…鍵登録手段を構成する車両側登録コード判定部、41…鍵登録手段を構成する車両側秘密鍵登録部、43…登録モード切換手段を構成するキー側登録モード切換部、44…モード切換後認証手段を構成するキー側通信相手認証部、46…鍵登録手段を構成する電子キー登録コード取得部、47…鍵登録手段を構成するキー側復号化処理部、48…鍵登録手段を構成するキー側登録コード判定部、49…鍵登録手段を構成するキー側秘密鍵登録部、54…登録モード切換手段を構成するツール側登録モード切換部、55…モード切換後認証手段を構成するツール側通信相手認証部、58…制限鍵としての車載器センターtemp鍵、61…排除手段を構成する異常IDデータベース、68…登録作業関連情報認証手段、排除手段、組み合わせ異常確認手段を構成する登録作業関連情報検証部、69…排除手段を構成する異常ツールIDデータベース、70…組み合わせ異常確認手段を構成するツールサービスマンID表、71…組み合わせ異常確認手段を構成する電子キー車載器ID組み合わせ異常確認部、73…組み合わせ異常確認手段を構成する電子キー車載器ID組み合わせ表、Ccr…車載器登録コード、Cdk…電子キー登録コード。
【技術分野】
【0001】
本発明は、暗号通信による通信が可能な通信端末とその通信相手とに、同通信の暗号鍵である秘密鍵を登録する際に使用する秘密鍵登録システム及び秘密鍵登録方法に関する。
【背景技術】
【0002】
従来から周知のように、多くの車両では、キーが持つ固有のキーコードを無線により発信する電子キーを車両キーとして用いる電子キーシステムが広く採用されている。この種の電子キーシステムの一種には、例えば電子キーでのボタン操作により遠隔操作によって車両ドアのドアロックを施解錠可能なワイヤレスドアロックシステムがある。また、電子キーシステムの他の種類には、車両から発信されるリクエストに応答して、電子キーがIDコードを自動で車両に返し、このIDコードのID照合が成立すれば、ドアロック施解錠やエンジン始動が許可又は実行されるキー操作フリーシステムもある。
【0003】
この電子キーシステムでは、電子キーから発信されるIDコードがもし仮に傍受されても、簡単にIDコードが簡単に割り出されないようにするために、一般的には暗号通信(例えば、特許文献1等参照)が採用されている。この種の暗号鍵としては、例えば秘密鍵暗号(共通鍵暗号)が使用されている。秘密鍵暗号とは、送信側の暗号鍵と、受信側の復号鍵とが同じ鍵となっている暗号である。秘密鍵暗号には、鍵が送信と受信で同じ特性があることから、暗号及び復号の速度が速いという利点があり、車両の暗号通信において広く使用されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2004−300803号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
ところで、電子キーシステムに暗号通信を搭載する場合、この種の暗号通信では車両及び電子キーの両方に秘密鍵が必要である。よって、例えば製造段階や出荷段階等において、製造現場やディーラ等で車両及び電子キーの両方に秘密鍵を各々登録する必要がある。しかし、この秘密鍵登録の際に、もし仮に秘密鍵が盗聴されてしまうと、車両出荷後にこの秘密鍵を使用して不正にID照合が成立されてしまう可能性もあるので、これが車両盗難の問題に繋がる。このため、秘密鍵が盗み取られ難いセキュリティ性の高い暗号鍵の登録方式が必要であった。
【0006】
本発明の目的は、秘密鍵の盗み取りを発生し難くすることができる秘密鍵登録システム及び秘密鍵登録方法を提供することにある。
【課題を解決するための手段】
【0007】
前記問題点を解決するために、本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込む書込手段と、前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、自身が持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に自身が持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させるコード出力手段と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録する鍵登録手段とを備えたことを要旨とする。
【0008】
この構成によれば、車両に暗号通信用の秘密鍵を登録するには、書き込み器から車載器登録用鍵を車両に書き込みつつ、センターから車載器登録コードを車両に登録する。そして、車載器登録コードが車載器登録用鍵により復号されて、その復号データが秘密鍵として車両に登録される。また、電子キーに暗号通信用の秘密鍵を登録するには、書き込み器から電子キー登録用鍵を電子キーに書き込みつつ、センターから電子キー登録コードを車両に登録する。そして、電子キー登録コードが電子キー登録用鍵により復号されて、その復号データが秘密鍵として車両に登録される。
【0009】
従って、本構成の場合は、車両及び電子キーの暗号通信に使用する秘密鍵をセンターが生成するとともに、これを暗号化して車両及び電子キーに発行し、これを車両及び電子キーの各々で登録用鍵により復号して登録する。このため、もし仮に秘密鍵を盗み取るには、書き込み器が管理する登録用鍵(車載器登録用鍵、電子キー登録用鍵)と、センターから発行される登録コード(車載器登録コード、電子キー登録コード)との両方を入手しなければならなくなる。よって、これは秘密鍵の盗難に対して耐性が非常に高いといえるので、秘密鍵が第三者によって盗難される可能性を低く抑えることが可能となる。
【0010】
本発明では、前記暗号化及びその復号化には、前記秘密鍵の登録時の1度のみ使用可能な制限鍵を用いた暗号及び復号が含まれることを要旨とする。
この構成によれば、秘密鍵を暗号化して車両及び電子キーに送る際の暗号鍵として、登録時の1度のみ有効な制限鍵が使用される。このため、秘密鍵を暗号化する鍵が登録の度に毎回変わるので、秘密鍵を一層盗まれ難くすることが可能となる。
【0011】
本発明では、前記車両、前記電子キー及び前記センターが登録モードに入る前に、互いの通信相手の正否を確認する通信相手認証を行い、この認証が成立することを条件に、これら3者全てを前記秘密鍵の登録が可能な前記登録モードとする登録モード切換手段を備えたことを要旨とする。
【0012】
この構成によれば、秘密鍵を車両及び電子キーに登録するには、車両、電子キー及びセンターの間で認証を成立させて、車両及び電子キーを登録モードに切り換えなければならない。よって、秘密鍵を登録する際には、登録モード移行のための認証成立が条件となるので、秘密鍵の不正登録を生じ難くすることが可能となる。
【0013】
本発明では、前記車両、前記電子キー及び前記センターが全て登録モードに入った後、実際の登録動作の前において前記車両と前記電子キーと前記センターとを認証させるモード切換後認証手段を設けたことを要旨とする。
【0014】
この構成によれば、登録モードに入った後にも通信相手の正否を見る認証を行うので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えたことを要旨とする。
【0015】
この構成によれば、登録ツールや作業者の認証成立も登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、前記登録モード後の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えたことを要旨とする。
【0016】
この構成によれば、秘密鍵の登録先である電子キーや車両等のIDが異常IDに含まれている場合には、認証が成立せず、秘密鍵の登録を行うことができない。よって、秘密鍵の不正登録を一層生じ難くすることが可能となる。なお、異常IDとは、例えば盗難登録されたIDや既に登録済みのIDなど、認証成立として認めることができないIDのことをいう。
【0017】
本発明では、前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えたことを要旨とする。
【0018】
この構成によれば、IDの組み合わせ異常がないことも登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込み、前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、該センターが持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に前記センターが持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させ、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録することを要旨とする。
【発明の効果】
【0019】
本発明によれば、秘密鍵の盗み取りを発生し難くすることができる。
【図面の簡単な説明】
【0020】
【図1】第1実施形態における電子キーシステムの概略構成を示すブロック図。
【図2】秘密鍵登録システムの概略構成を示すブロック図。
【図3】書き込み器の概略構成を示すブロック図。
【図4】センターの概略構成を示すブロック図。
【図5】車両の概略構成を示すブロック図。
【図6】電子キーの概略構成を示すブロック図。
【図7】登録ツールの概略構成を示すブロック図。
【図8】秘密鍵登録システムの動作概要を示すフロー図。
【図9】図8の続きを示すフロー図。
【図10】図9の続きを示すフロー図。
【図11】第2実施形態における秘密鍵登録システムの概略構成を示すブロック図。
【図12】登録ツール及びセンターの概略構成を示すブロック図。
【図13】ツールセンターID組み合わせ表。
【図14】電子キー車載器ID組み合わせ表。
【図15】秘密鍵登録システムの動作概要を示すフロー図。
【発明を実施するための形態】
【0021】
(第1実施形態)
以下、本発明を具体化した秘密鍵登録システム及び秘密鍵登録方法の第1実施形態を図1〜図10に従って説明する。
【0022】
図1に示すように、車両1には、車両キーとして使用される電子キー2との間で無線通信によりキー照合を行って、このキー照合の成立を条件にドアロックの施解錠やエンジン始動等が許可又は実行される電子キーシステム3が設けられている。なお、電子キー2は、車両1との間で狭域無線通信が可能であって、電子キー2が固有に持つIDコード(以下、電子キーIDという)を無線通信により車両1に発信して、車両1にキー照合としてID照合を行わせることが可能なキーのことをいう。
【0023】
電子キーシステム3には、電子キー(通称、リモートコントロールキー)2をボタン操作することによって遠隔操作により車両ドアのドアロックを施錠又は解錠するワイヤレスドアロックシステムがある。この場合、車両1には、電子キー2とID照合を行う照合ECU4と、車両1の電源系を管理するメインボディECU5とが設けられ、これらECU4,5が車内の一ネットワークであるバス6を介して接続されている。照合ECU4には、UHF(Ultra High Frequency)帯(約312MHz)の電波を受信可能な車両チューナ7が接続されている。また、メインボディECU5には、ドアロックの施解錠を実行するときの駆動源としてドアロックモータ8が接続されている。
【0024】
また、電子キー2には、電子キー2の各種動作を統括制御する通信制御部9が設けられている。この通信制御部9は、CPU10やメモリ11等の各種デバイスを持ち、電子キー2が持つ固有のキーコードとして電子キーIDがメモリ11に登録されている。電子キー2には、車両ドアを遠隔操作により施錠するときに操作する施錠ボタン12と、車両ドアを遠隔操作により解錠するときに操作する解錠ボタン13とが設けられ、これらボタン12,13の操作有無が通信制御部9によって管理されている。また、通信制御部9には、UHF帯の無線信号を発信可能なキー発信機14が接続され、キー発信機14の信号発信動作が通信制御部9によって管理されている。
【0025】
例えば、施錠ボタン12が操作されると、通信制御部9は、電子キー2の電子キーIDと、車両1にドアロック施錠の動作開始を要求する機能コード(施錠要求コード)とを含んだワイヤレス信号Swlをキー発信機14からUHF帯の信号で発信させて、狭域無線通信(ワイヤレス通信)を実行する。そして、照合ECU4は、車両チューナ7でこのワイヤレス信号Swlを受信すると、ワイヤレス信号Swlに含まれる電子キーIDを、自身のメモリ15に登録された電子キーIDと照らし合わせてID照合(ワイヤレス照合)を行う。照合ECU4は、ワイヤレス照合の成立を確認すると、続く施錠要求コードに従い、メインボディECU5にドアロックの施錠動作を実行させる。
【0026】
ワイヤレス通信には、電子キー2から発信されるワイヤレス信号Swlを暗号化して車両1に送る暗号通信が使用されている。本例の暗号通信には、信号の送り手と受け手とで共通の暗号鍵を使用する秘密鍵暗号方式が採用されている。よって、電子キー2のメモリ11と、車両1(照合ECU4)のメモリ15とには、同じ秘密鍵16が登録されている。そして、電子キー2がワイヤレス信号Swlを発信する際には、電子キー2の秘密鍵16によって暗号化されたワイヤレス信号Swlが発信され、車両1がこのワイヤレス信号Swlを受信すると、車両1側の秘密鍵16でワイヤレス信号Swlが復号される。
【0027】
図2に示すように、車両1及び電子キー2には、これら車両1及び電子キー2に秘密鍵16を発行する秘密鍵登録システム17が設けられている。本例の秘密鍵登録システム17は、車両1及び電子キー2の製造ライン上に置かれた書き込み器18から秘密鍵16を直に車両1と電子キー2とに登録するのではなく、車両1に接続可能なハンディタイプの登録ツール19と、ネットワーク通信網を介して無線通信可能なセンター20と利用して、車両1、電子キー2、書き込み器18、登録ツール19及びセンター20の五者を協同させて、車両1及び電子キー2に秘密鍵16を登録するシステムとなっている。
【0028】
このシステム17の詳細を説明すると、図2及び図3に示すように、書き込み器18のメモリ21(図3参照)には、車両1の照合ECU4に秘密鍵16を登録する際に使用される車載器センター鍵22と、電子キー2に秘密鍵16を登録する際に使用される電子キーセンター鍵23とが登録されている。車載器センター鍵22は、車両1とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、車両1のそれぞれに対して個別に割り振られる鍵である。車載器センター鍵22は、秘密鍵16を車両1と電子キー2に登録するときに、照合ECU4とセンター20との間のデータやり取りで使用する。また、電子キーセンター鍵23は、電子キー2とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、電子キー2のぞれぞれに対して個別に割り振られる鍵である。電子キーセンター鍵23は、秘密鍵16を車両1と電子キー2に登録するときに、電子キー2とセンター20との間のデータやり取りで使用する。書き込み器18は、製造工場等に置かれるものであるので、車載器センター鍵22や電子キーセンター鍵23を持っていても、これらが盗み取られる可能性は低い。なお、車載器センター鍵22が車載器登録用鍵に相当し、電子キーセンター鍵23が電子キー登録用鍵に相当する。
【0029】
また、書き込み器18には、製造時において車両1(照合ECU4)に車載器センター鍵22を書き込む車載器センター鍵書込部24と、製造時において電子キー2に電子キーセンター鍵23を書き込む電子キーセンター鍵書込部25とが設けられている。車載器センター鍵書込部24は、製造ライン上を流れてくる照合ECU4に対し、電気配線24aを介して車載器センター鍵22を有線により直に注入する。また、電子キーセンター鍵書込部25は、製造ライン上を流れてくる電子キー2に対し、通信制御部9のICに電気配線25aを介して電子キーセンター鍵23を有線により直に注入する。なお、これら書込部24,25が書込手段に相当する。
【0030】
図4に示すように、センター20には、照合ECU4に登録されたものと同様の車載器センター鍵22と、電子キー2に登録されたものと同様の電子キーセンター鍵23とが記憶されている。車載器センター鍵22及び電子キーセンター鍵23は、書き込み器18から別途入手するか、或いは書き込み器18へ事前配布されることにより、センター20に登録されている。また、この鍵配布は、センター20から書き込み器18に渡す構成としてもよい。なお、センター20や書き込み器18に車載器センター鍵22や電子キーセンター鍵23を登録するときの登録方法は、入力装置を介して手入力したり、無線通信により入手したりするなど、入手方法は特に問わない。
【0031】
また、センター20のメモリ26には、製品として市場に出回ったどの車両1(照合ECU4)とどの電子キー2とでもペア登録することが可能となっている。これにより、メモリ26には、車載器IDと電子キーIDとが登録される。車載器IDは、車両1(照合ECU4)の固有値として車両1が持っている個別のIDコードである。また、電子キーIDは、電子キー2の固有値として同キー2が持っている個別のIDコードである。更に、センター20のメモリ26には、登録ツール19とセンター20との間で定義付けられた暗号鍵の一種としてツールセンター鍵27が登録されている。ツールセンター鍵27は、秘密鍵16を車両1と電子キー2に登録するときに、登録ツール19とセンター20との間のデータやり取りで使用する暗号鍵である。
【0032】
センター20には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部20aが設けられている。センター20は、このツール接続部20aを介して、無線通信により登録ツール19と通信可能となっている。
【0033】
センター20には、センター20の動作モードを登録モードに切り換えるセンター側登録モード切換部28が設けられている。センター側登録モード切換部28は、登録ツール19との間でチャレンジレスポンス認証が成立することを条件に、センター20の動作モードを登録モードに切り換える。チャレンジレスポンス認証は、発信の度に毎回値が変わる乱数コードをチャレンジとして認証側から受け側に送り、このチャレンジを受け側の計算式に通して計算させ、計算結果をレスポンスとして受け付ける。そして、認証側も同様にチャレンジを自身の計算式により演算してレスポンスを計算し、このレスポンスと受け側のレスポンスとが一致するか否かを見る認証である。
【0034】
センター20には、センター20が登録モードに入った後において、登録の通信相手が正しいか否かを認証するセンター側通信相手認証部29が設けられている。また、センター20には、車両1及び電子キー2が秘密鍵16を登録した際、同じ秘密鍵16を登録した車両1と電子キー2とをペアにしてメモリ26に登録するIDペア登録部30が設けられている。
【0035】
センター20には、同センター20において秘密鍵16を生成する乱数生成器31が設けられている。乱数生成器31は、データを出力する度に値が異なるコードを、電子キーシステム3の秘密鍵16として生成する。即ち、秘密鍵16はセンター20によって生成され、同センター20が秘密鍵16を一括管理する。
【0036】
センター20には、乱数生成器31によって生成された秘密鍵16を、メモリ26内の車載器センター鍵22と電子キーセンター鍵23とにより暗号化する暗号化処理部32が設けられている。暗号化処理部32は、メモリ26内の車載器センター鍵22によって、車載器IDと電子キーIDと秘密鍵16とを暗号化することにより車載器登録コードCcrを生成するとともに、メモリ26内の電子キーセンター鍵23によって、秘密鍵16を暗号化することにより電子キー登録コードCdkを生成する。即ち、車載器登録コードCcr及び電子キー登録コードCdkは、車載器IDと電子キーIDと秘密鍵16とを情報として持ち、車両1や電子キー2に秘密鍵16を登録する際に必要な一条件として使用される。
【0037】
センター20には、暗号化処理部32が生成した車載器登録コードCcr及び電子キー登録コードCdkを、車両1及び電子キー2に対して各々出力する登録コード出力部33が設けられている。登録コード出力部33は、ネットワーク通信網の一種であるIP(Internet Protocol)通信を介して、車両1、電子キー2及び登録ツール19と無線通信が可能である。登録コード出力部33は、車載器登録コードCcrを車両1に発信し、電子キー登録コードCdkを電子キー2に発信する。なお、乱数生成器31、暗号化処理部32、登録コード出力部33がコード出力手段を構成する。
【0038】
図5に示すように、車両1には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部1aが設けられている。登録ツール19は、ケーブルをこのツール接続部1aに繋げることにより、車両1に接続可能となっている。照合ECU4は、このツール接続部1aを介して、有線通信により登録ツール19と通信可能となっている。
【0039】
また、車両1には、IP通信を介して車両1を外部と無線により繋ぐG-Book通信装置34が設けられている。G-Book通信装置34は、例えばバス6を介して照合ECU4と接続されている。G-Book通信装置34は、センター20から発信された車載器登録コードCcrを受信可能であり、この車載器登録コードCcrを照合ECU4に供給可能となっている。
【0040】
また、照合ECU4には、照合ECU4の動作モードを登録モードに切り換える車両側登録モード切換部35が設けられている。車両側登録モード切換部35は、登録モードに入ったセンター20との間でチャレンジレスポンス認証が成立することを条件に、照合ECU4の動作モードを登録モードに切り換える。また、照合ECU4には、照合ECU4が登録モードに入った後において、登録の通信相手が正しいか否かを認証する車両側通信相手認証部36が設けられている。
【0041】
照合ECU4には、製造時において書き込み器18から出力される車載器センター鍵22を取得する車載器センター鍵取得部37が設けられている。照合ECU4には、センター20から発信された車載器登録コードCcrを、G-Book通信装置34を介して取得する車載器登録コード取得部38が設けられている。このように、照合ECU4に車載器センター鍵取得部37と車載器登録コード取得部38とを設けることにより、照合ECU4に車載器センター鍵22と車載器登録コードCcrとを取り込ませることが可能となっている。
【0042】
照合ECU4には、車載器登録コード取得部38によって登録した車載器登録コードCcrを、車載器センター鍵取得部37で取得した車載器センター鍵22により復号する車両側復号化処理部39が設けられている。車両側復号化処理部39によって求まる復号データは、車載器登録コードCcrにかかっている車載器センター鍵22が、書き込み器18から取得した車載器センター鍵22と同一であれば、正しく復号される。
【0043】
照合ECU4には、センター20からG-Book通信装置34を介して取り込んだ車載器登録コードCcrが正しいか否かを判定する車両側登録コード判定部40が設けられている。車両側登録コード判定部40は、車両側復号化処理部39によって車載器登録コードCcrを正しく復号でき、しかもその復号データに含まれる車載器IDが、車両1のものと一致するか否かを見ることにより、登録コードCcrの正否を判定する。車両側登録コード判定部40は、車載器IDのID成立を確認すれば、秘密鍵16の登録を許可し、車載器IDのID成立を確認できなければ、秘密鍵16の登録を不可とする。
【0044】
照合ECU4には、車載器登録コードCcrが正しいことを条件に、車両1に秘密鍵16の登録を実行する車両側秘密鍵登録部41が設けられている。車両側秘密鍵登録部41は、登録コードの判定が正しい際、車載器登録コードCcrに含まれる秘密鍵16を、車両1の暗号鍵としてメモリ15に書き込む。なお、車載器登録コード取得部38、車両側復号化処理部39、車両側登録コード判定部40、車両側秘密鍵登録部41が鍵登録手段を構成する。
【0045】
図6に示すように、電子キー2には、キー2の外部において発信された各種電波を受信するキー受信機42が設けられている。キー受信機42は、例えばUHF(Ultra High Frequency)帯の一種のRF(Radio Frequency)電波を受信可能であり、この受信電波を増幅や復調等して通信制御部9に供給する。このキー受信機42は、例えば電子キーシステム3がキー操作フリーシステム、即ち車両1からのリクエストに応答して電子キー2が電子キーIDを車両1に自動返信してID照合させるシステムの場合、同システム3において車両1から発信される各種電波も受信可能となっている。
【0046】
通信制御部9には、電子キー2の動作モードを登録モードに切り換えるキー側登録モード切換部43が設けられている。キー側登録モード切換部43は、登録モードに入った車両1から登録モード移行要求を受け付けると、電子キー2の動作モードを登録モードに切り換える。また、通信制御部9には、通信制御部9が登録モードに入った後において、登録の通信相手が正しいか否かを認証するキー側通信相手認証部44が設けられている。
【0047】
通信制御部9には、製造時において書き込み器18から出力される電子キーセンター鍵23を取得する電子キーセンター鍵取得部45が設けられている。通信制御部9には、センター20から発信された電子キー登録コードCdkを、キー受信機42を介して取得する電子キー登録コード取得部46が設けられている。このように、通信制御部9に電子キーセンター鍵取得部45と電子キー登録コードCdkとを設けることにより、通信制御部9に電子キーセンター鍵23と電子キー登録コードCdkとを取り込ませることが可能となっている。
【0048】
通信制御部9には、電子キー登録コード取得部46によって登録した電子キー登録コードCdkを、電子キーセンター鍵取得部45で取得した電子キーセンター鍵23により復号するキー側復号化処理部47が設けられている。キー側復号化処理部47によって求まる復号データは、電子キー登録コードCdkにかかっている電子キーセンター鍵23が、書き込み器18から取得した電子キーセンター鍵23と同一であれば、正しく復号される。
【0049】
通信制御部9には、センター20からキー受信機42を介して取り込んだ電子キー登録コードCdkが正しいか否かを判定するキー側登録コード判定部48が設けられている。キー側登録コード判定部48は、キー側復号化処理部47によって電子キー登録コードCdkを正しく復号でき、しかもその復号データに含まれる電子キーIDが、電子キー2のものと一致するか否かを見ることにより、登録コードCdkの正否を判定する。キー側登録コード判定部48は、電子キーIDのID成立を確認すれば、秘密鍵16の登録を許可し、電子キーIDのID成立を確認できなければ、秘密鍵16の登録を不可とする。
【0050】
通信制御部9には、電子キー登録コードCdkが正しいことを条件に、電子キー2に秘密鍵16の登録を実行するキー側秘密鍵登録部49が設けられている。キー側秘密鍵登録部49は、登録コードの判定が正しい際、電子キー登録コードCdkに含まれる秘密鍵16を、電子キー2の暗号鍵としてメモリ11に書き込む。なお、電子キー登録コード取得部46、キー側復号化処理部47、キー側登録コード判定部48、キー側秘密鍵登録部49が鍵登録手段を構成する。
【0051】
図7に示すように、登録ツール19は、車両1及び電子キー2に秘密鍵16を登録する際に携帯するハンディタイプをとっている。よって、車両1及び電子キー2への秘密鍵16の登録は、登録ツール19を携帯操作することによって行う。登録ツール19には、登録ツール19を統括制御するツール制御部50と、各種電波を送受信可能な通信機51と、例えばテンキー等からなる入力部52と、各種画面を表示する表示部53とが設けられている。登録ツール制御部50は、入力部52の入力情報を管理するとともに、表示部53及び通信機51を制御して各種登録動作を実行する。
【0052】
また、ツール制御部50には、登録ツール19における登録動作を管理するツール側登録モード切換部54が設けられている。ツール制御部50には、車両1、電子キー2及びセンター20が全て登録モードに入った後に、登録の通信相手が正しいか否かを認証するツール側通信相手認証部55が設けられている。登録ツール制御部50のメモリ56には、センター20に登録されているものと同様のツールセンター鍵27が登録されている。なお、登録モード切換部28,35,43,54が登録モード切換手段を構成する。通信相手認証部29,36,44,55がモード切換後認証手段を構成し、通信相手認証部29が排除手段も構成する。
【0053】
次に、車両1及び電子キー2に秘密鍵16を登録する手順を図8〜図10に従って説明する。
まずは前提として、照合ECU4の製造ラインにおいて、書き込み器18から車載器センター鍵22を照合ECU4に注入して、照合ECU4に車載器センター鍵22を書き込んでおく。また、同様に、電子キー2の製造ラインにおいて、書き込み器18から電子キーセンター鍵23を電子キー2の通信制御部9に注入して、電子キー2に電子キーセンター鍵23を書き込んでおく。以上により、照合ECU4には車載器センター鍵22が登録されるとともに、電子キー2の通信制御部9には電子キーセンター鍵23が登録された状態となる。
【0054】
続いて、今度は図8に示すように、車両1、電子キー2及び登録ツール19の3つを手元に用意するとともに、これら3者とセンター20とが無線通信可能な態勢を整える。なお、このとき、車両1及び電子キー2に所定操作を加えてこれらを登録の開始状態にするとともに、登録ツール19をケーブル(図示略)によりツール接続部1aに繋ぎ、これに電源を入れることによって登録ツール19も登録の開始状態にし、更にはセンター20にも電源を入れて、センター20も登録の開始状態に設定する。なお、開始状態とは、実際の登録モードの前の準備段階のこととをいい、この開始状態に入る操作形式は種々のものが採用可能である。
【0055】
そして、登録ツール19において入力部52を操作することにより秘密鍵16の登録操作が行われたとする。このときは、ステップ101に示すように、登録操作開始の通知として有線接続コマンドが登録ツール19から照合ECU4に出力される。なお、このときの登録ツール19における登録動作は、ツール側登録モード切換部54によって管理される。
【0056】
照合ECU4は、登録ツール19から有線接続コマンドが入力されると、車両側登録モード切換部35が起動する。このとき、照合ECU4は、有線接続コマンドに応答する形をとって、ステップ102に示すように、自身に登録された車載器IDを登録ツール19に返信する。登録ツール19は、照合ECU4から車載器IDを取得すると、センター20へ秘密鍵16の登録開始を通知すべく、ステップ103に示すように、IP通信を介して登録要求をセンター20に発信する。
【0057】
センター20は、登録ツール19から登録要求を受け付けると、センター側登録モード切換部28が起動する。このとき、センター20は、ステップ104に示すように、ツールセンター鍵27を用いたチャレンジレスポンス認証を開始して、登録ツール19に第1チャレンジを送る。登録ツール19は、センター20から第1チャレンジを受け付けると、自身に登録されたツールセンター鍵27により第1チャレンジのレスポンスとして第1レスポンスを演算し、ステップ105に示すように、この第1レスポンスをセンター20に返信する。
【0058】
センター20は、登録ツール19から第1レスポンスを受け付けると、ステップ106に示すように、受け付けた第1レスポンスと、自身も同様に計算したレスポンスと比較することにより、レスポンス検証を行う。即ち、センター20は登録ツール19を認証する。センター20は、レスポンス検証が成立することを確認すると、次のステップ107に移行して、自身の動作モードを登録モードに切り換える。即ち、センター側登録モード切換部28は、登録ツール19とセンター20との間のチャレンジレスポンス認証が成立することを確認すると、センター20の動作モードを登録モードに切り換える。一方、センター20は、レスポンス検証が成立しないことを確認すると、動作を強制終了する。
【0059】
登録モードに入ったセンター20は、ステップ108に示すように、ハッシュ関数によりツールセンターテンプレート鍵57(以下、ツールセンターtemp鍵57と記す)を作成する。ツールセンターtemp鍵57は、登録ツール19に送った第1チャレンジと、登録ツール19から受け付けた第1レスポンスと、センター20のメモリ26に登録されたツールセンター鍵27とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。ツールセンターtemp鍵57は、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。このツールセンターtemp鍵57は、秘密鍵16の間違った登録を防止するために機能する鍵である。
【0060】
また、登録ツール19は、ステップ109に示すように、センター20と同様の形式によりツールセンターtemp鍵57を作成する。即ち、登録ツール19は、センター20から受け付けた第1チャレンジと、自らが算出した第1レスポンスと、自身のメモリ56に登録されたツールセンター鍵27とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値をツールセンターtemp鍵57として算出する。
【0061】
登録ツール19は、ツールセンターtemp鍵57を作成すると、ステップ110に示すように、照合ECU4に登録モード移行要求を出力する。照合ECU4は、登録ツール19から登録モード移行要求を受け付けると、ステップ111に示すように、自身に登録された車載器IDを登録ツール19に出力する。このとき、照合ECU4は、車載器センター鍵22を用いたチャレンジレスポンス認証も開始し、車載器IDとともに第2チャレンジを登録ツール19に出力する。登録ツール19は、照合ECU4から車載器IDと第2チャレンジとを受け付けると、これらをIP通信によりセンター20に発信する。
【0062】
センター20は、登録ツール19から車載器IDと第2チャレンジを受信すると、ステップ112に示すように、まずは自身のメモリ(データベース)26を参照して、車載器IDに対応する車載器センター鍵22を読み出す。ところで、車載器センター鍵22は各車両1の固有値であり、同じく車両1の固有値である車載器IDとは一義的に対応付けられるので、車載器IDが分かれば、同IDに対応する車載器センター鍵22は読み出すことが可能である。よって、センター20は、車載器IDを手掛かりに、これと対応する車載器センター鍵22を読み出す。
【0063】
また、センター20は、登録ツール19から第2チャレンジを受信すると、第2チャレンジを自身の車載器センター鍵22によって第2レスポンスを計算し、ステップ113に示すように、この第2レスポンスを登録ツール19に返信する。登録ツール19は、第2レスポンスを受信すると、この第2レスポンスを照合ECU4に出力する。
【0064】
照合ECU4は、登録ツール19から第2レスポンスを受け付けると、ステップ114に示すように、受け付けた第2レスポンスと、自身も同様に計算したレスポンスとを比較することにより、レスポンス検証を行う。即ち、照合ECU4はセンター20を認証する。照合ECU4は、レスポンス検証が成立することを確認すると、次のステップ115に移行して、自身の動作モードを登録モードに切り換える。即ち、車両側登録モード切換部35は、照合ECU4とセンター20との間のチャレンジレスポンス認証が成立することを確認すると、照合ECU4の動作モードを登録モードに切り換える。一方、照合ECU4は、レスポンス検証が成立しないことを確認すると、動作を強制終了する。
【0065】
登録モードに入った照合ECU4は、ステップ116に示すように、ハッシュ関数により車載器センターテンプレート鍵58(以下、車載器センターtemp鍵58と記す)を作成する。車載器センターtemp鍵58は、センター20に送った第2チャレンジと、センター20から受け付けた第2レスポンスと、照合ECU4のメモリ15に登録された車載器センター鍵22とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。車載器センターtemp鍵58も、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。車載器センターtemp鍵58は、秘密鍵16の間違った登録を防止するために機能する鍵である。なお、車載器センターtemp鍵58が制限鍵に相当する。
【0066】
また、センター20は、ステップ117に示すように、照合ECU4と同様の形式により車載器センターtemp鍵58を作成する。即ち、センター20は、照合ECU4から受け付けた第2チャレンジと、自らが算出した第2レスポンスと、自身のメモリ26に登録された車載器センター鍵22とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値を車載器センターtemp鍵58として算出する。
【0067】
照合ECU4は、車載器センター鍵22を作成すると、ステップ118に示すように、登録モード移行要求と電子キーID要求とを電子キー2に発信する。電子キー2は、照合ECU4から登録モード移行要求を受け付けると、キー側登録モード切換部43が起動する。なお、このときの無線通信は、電子キーシステム3の通信インフラが使用される。また、登録モード移行要求は、電子キー2を登録モードに移行させる指令である。電子キーID要求は、電子キーIDを車両1に返信させる指令である。
【0068】
電子キー2は、照合ECU4から登録モード移行要求を受け付けると、ステップ119に示すように、自身のメモリ11において既に秘密鍵16が登録されているか否かを確認する。電子キー2は、自身のメモリ11に秘密鍵16が登録されていないことを確認すると、次のステップ120に移行して、自身の動作モードを登録モードに切り換える。即ち、キー側登録モード切換部43は、まだ秘密鍵16がメモリ11に登録されていないことを確認すると、電子キー2の動作モードを登録モードに切り換える。一方、電子キー2は、自身のメモリ11に秘密鍵16が既に登録されていることを確認すると、動作を強制終了する。
【0069】
登録モードに入った電子キー2は、続いて登録モード時における認証を行うために、キー側通信相手認証部44が起動する。このとき、キー側通信相手認証部44は、ステップ121に示すように、自身のメモリ11に登録されている電子キーIDを照合ECU4に発信する。照合ECU4は、電子キーIDを受信すると、車両側通信相手認証部36が起動して、電子キー2から受け付けた電子キーIDを登録ツール19に転送する。
【0070】
登録ツール19は、照合ECU4から電子キーIDを入力すると、ツール側通信相手認証部55が起動する。即ち、ツール側通信相手認証部55は、ステップ122に示すように、センター20とMAC(Message Authentication Code)認証を行うために、暗号文データ59と改竄検出符号データ60とを算出する。MAC認証は、メッセージの改竄や成りすましを防止するための認証の一種であり、メッセージと鍵とを暗号用のアルゴリズムに通すことによって認証コード、いわゆるMACを生成し、これを通信データとして相手側に送って認証を行うものである。MACのアルゴリズムには、例えばブロック暗号(DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等)によるもの、ハッシュ関数によるもの、専用設計されたものなどがある。
【0071】
暗号文データ59は、暗号アルゴリズムに、鍵であるツールセンター鍵27と、平文である車載器ID及び電子キーIDを入力して求まる暗号文により構築されている。また、改竄検出符号データ60は、改竄検出用アルゴリズムに、鍵であるツールセンターtemp鍵57と、平文である前述の暗号文データ59とを入力して求まる符号により構築されている。登録ツール19は、演算したこれら暗号文データ59と改竄検出符号データ60とを、IP通信によりセンター20に発信する。また、登録ツール19は、暗号文データ59と改竄検出符号データ60を発信すると、登録モードを終了する。
【0072】
センター20は、登録ツール19から暗号文データ59及び改竄検出符号データ60を入力すると、センター側通信相手認証部29が起動する。即ち、センター側通信相手認証部29は、ステップ123に示すように、これらデータ59,60を用いてMAC認証と異常ID検証とを実行する。ここで、センター20のメモリ26には、異常IDが登録されたデータベースとして異常IDデータベース61が設けられている。異常IDは、盗難車両の車載器IDや、他車両に登録済みの電子キーIDに相当する。よって、異常ID検出は、登録ツール19から受け付けたIDを異常IDデータベース61に照らし合わせて、受信IDが異常IDに相当するものか否かを見ることにより行われる。センター側通信相手認証部29は、暗号文及び改竄検出符号を正しく復号できることを確認し、かつ各種IDが異常IDに属さないことを確認すると、次のステップ124に移行する。一方、センター20は、MAC認証及び異常ID検証が成立しないことを確認すると、動作を強制終了する。なお、異常IDデータベース61が排除手段を構成する。
【0073】
センター20は、MAC認証及び異常ID検証の成立を確認すると、続いて秘密鍵16の転送動作に入る。このとき、センター20は、ステップ124に示すように、秘密鍵16の暗号化出力処理を実行する。この処理として、まず暗号化処理部32は、メモリ26から電子キーセンター鍵23及び車載器センター鍵22を読み出す。続いて、乱数生成器31は、自身が発生する乱数コードを秘密鍵16として暗号化処理部32に出力する。暗号化処理部32は、乱数生成器31から取得した秘密鍵16を電子キーセンター鍵23により暗号化して電子キー登録コードCdkを生成するとともに、秘密鍵16を車載器センター鍵22により暗号化して車載器登録コードCcrを生成する。
【0074】
センター20は、車載器登録コードCcrを生成すると、ステップ125に示すように、この車載器登録コードCcrを、G-Book通信装置34を使用したIP通信により照合ECU4に発信する。この車載器登録コードCcrには、暗号文データ62と改竄検出符号データ63とが含まれている。暗号文データ62は、暗号アルゴリズムに、鍵である車載器センター鍵22と、秘密鍵16、電子キーID及び車載器IDからなる平文とを入力することにより求まる暗号文によって構築されている。また、改竄検出符号データ63は、改竄検出用アルゴリズムに、鍵である車載器センターtemp鍵58と、平文である前述の暗号文データ62とを入力することにより求まる符号によって構築されている。
【0075】
また、センター20は、電子キー登録コードCdkを生成すると、ステップ126に示すように、この電子キー登録コードCdkを、電子キーシステム3の通信網を介して電子キー2に発信する。この電子キー登録コードCdkは、電子キーセンター鍵23を使用した暗号文データから構成されている。即ち、電子キー登録コードCdkは、暗号アルゴリズムに、鍵である電子キーセンター鍵23と、秘密鍵16、車載器ID及び電子キーIDからなる平文とを入力することにより求まる暗号文によって構築されている。
【0076】
照合ECU4は、センター20から車載器登録コードCcrを受信すると、ステップ127に示すように、車載器登録コードCcr内の暗号文データ62を復号する。即ち、車両側復号化処理部39は、センター20から取得した車載器登録コードCcrを、照合ECU4のメモリ15に書き込まれている車載器センター鍵22に通すことにより、車載器登録コードCcrを復号する。
【0077】
照合ECU4は、ステップ127の復号化が完了すると、今度はステップ128に示すように、改竄検出判定と車載器ID検証とを実行して、センター20を認証する。即ち、車両側登録コード判定部40は、復号データを確認することによりセンター20の認証を行う。改竄検出判定は、照合ECU4が自らも改竄検出符号を求めて、受け付けた同符号の正否を見る認証の一種であり、車載器登録コードCcrに含まれる改竄検出符号に誤りが無いかどうかを見るものである。また、車載器ID検証は、車載器登録コードCcrを車載器センター鍵22で復号することによって取得する車載器IDの正否を見る検証である。照合ECU4は、改竄検出判定及び車載器ID検証の両方が成立することを確認すると次ステップに移行し、これらが成立しないことを確認すると開始状態に戻って、動作を終了する。
【0078】
一方、電子キー2は、センター20から電子キー登録コードCdkを受信すると、ステップ129に示すように、電子キー登録コードCdkを復号する。即ち、キー側復号化処理部47は、センター20から取得した電子キー登録コードCdkを、電子キー2のメモリ11に書き込まれている電子キーセンター鍵23に通すことにより、電子キー登録コードCdkを復号する。
【0079】
電子キー2は、ステップ129の復号化が完了すると、今度はステップ130に示すように、電子キーID検証を実行して、センター20の認証を行う。電子キーID検証は、電子キー登録コードCdkを電子キーセンター鍵23で復号することによって取得する電子キーIDの正否を見る検証である。電子キー2は、電子キーID検証が成立することを確認すると次ステップに移行し、電子キーID検証が成立しないことを確認すると開始状態に戻って、動作を終了する。
【0080】
照合ECU4は、改竄検出判定及び車載器ID検証の成立を確認すると、センター20から受け付けた秘密鍵16の正否を確認するために、秘密鍵16を用いたチャレンジレスポンス認証を開始する。このとき、まず照合ECU4は、ステップ131に示すように、第3チャレンジを電子キー2に発信する。電子キー2は、照合ECU4から第3チャレンジを受信すると、この第3チャレンジを自身の秘密鍵16により演算し、ステップ132に示すように、その演算結果を第3レスポンスとして照合ECU4に返信する。
【0081】
照合ECU4は、電子キー2から第3レスポンスを受信すると、ステップ133に示すように、この第3レスポンスと、自身の秘密鍵16を用いて自らも演算したレスポンスと比較してレスポンス検証を行う。即ち、車両側登録コード判定部40は、レスポンス検証の正否を確認することにより電子キー2の認証を行う。照合ECU4は、レスポンス検証が成立することを確認すると、次ステップに移行し、この検証が成立しないことを確認すると、動作を強制終了する。
【0082】
照合ECU4は、ステップ133においてレスポンス検証が成立することを確認すると、登録の最終確認を行うべく、ステップ134に示すように、車載器センターtemp鍵58に準じた暗号文データ64を、G-Book通信装置34によるIP通信を介してセンター20に発信する。即ち、センター20のIDペア登録部30が起動して、暗号文データ64の発信動作を行う。この暗号文データ64は、暗号アルゴリズムに、車載器センターtemp鍵58と、車載器ID、電子キーID及び電子キー認証確認済み通知からなる平文とを入力することにより求まる暗号文によって構築されている。電子キー認証確認済み通知は、ステップ133のレスポンス認証の成立を確認することを以て出される通知である。
【0083】
センター20は、照合ECU4から暗号文データ64を受信すると、ステップ135に示すように、暗号文データ64に含まれる車載器IDと電子キー認証確認済み通知との検証を行う。即ち、IDペア登録部30は、照合ECU4に電子キーIDが登録されたか否かを確認する。IDペア登録部30は、ステップ135の検証が成立することを確認すると、受け付けた車載器IDと電子キーIDとをペアにして、メモリ26に記憶する。これにより、センター20には、車載器IDと電子キーIDとがペア付けられて登録される。センター20は、このペア登録が完了すると、登録モードを終了する。
【0084】
また、照合ECU4は、ステップ133においてレスポンス検証の成立を確認すると、ステップ137に示すように、センター20から受け付けた秘密鍵16をメモリ15に記憶するとともに、登録の際に電子キー2から受け付けた電子キーIDもメモリ15に登録する。照合ECU4は、メモリ15への秘密鍵16及び電子キーIDの登録を完了すると、登録モードを終了する。
【0085】
更に、電子キー2は、ステップ130において電子キーID検証の成立を確認すると、ステップ138に示すように、センター20から受け付けた秘密鍵16をメモリ11に記憶するとともに、登録の際に照合ECU4から受け付けた車載器IDもメモリ11に登録する。電子キー2は、メモリ11への秘密鍵16及び車載器IDの登録を完了すると、登録モードを終了する。
【0086】
さて、本例の場合、車両1に秘密鍵16を登録するには、まず書き込み器18によって、車両1に車載器センター鍵22を書き込むとともに、電子キー2に電子キーセンター鍵23を書き込んでおく。そして、センター20において生成された秘密鍵16を、予め取り込んでおいた車載器センター鍵22により暗号化して車載器登録コードCcrに変換し、これを車両1に送り渡し、更に同じ秘密鍵16を、予め取り込んでおいた電子キーセンター鍵23により暗号化して電子キー登録コードCdkに変換し、これを電子キー2に送り渡す。そして、車両1と電子キー2との各々で、登録コードCcr,Cdkを復号し、復号データを秘密鍵16として各々登録する。
【0087】
よって、本例においては、車両1及び電子キー2へ秘密鍵16を登録するに際して、書き込み器18及びセンター20が協同することによって実行される。このため、もし仮に秘密鍵16を盗み取ろうとしても、本例の場合は、書き込み器18から鍵22,23を入手しつつ、更にはセンター20から登録コードCcr,Cdkを入手しなければならなくなる。従って、秘密鍵16の盗難は2つの情報を盗み取るという困難性の高いものとなるので、秘密鍵16を盗難され難いものとすることが可能となる。
【0088】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)車両1及び電子キー2への秘密鍵16の登録は、書き込み器18とセンター20とを協同させて行う。このため、秘密鍵16を盗難するには、各々から各種情報を入手しなくてはならなくなるので、秘密鍵16を盗難され難いものとすることができる。
【0089】
(2)車載器登録コードCcrは、登録時の1度のみ有効な車載器センターtemp鍵58により暗号化された情報を含んでいる。このため、車載器登録コードCcrは登録の度に毎回値が変わるものとなるので、車載器登録コードCcrを解析し難くすることができ、ひいては秘密鍵16の耐盗難性も高くすることができる。
【0090】
(3)車両1及び電子キー2に秘密鍵16を登録するには、登録ツール19を用いて、車両1及び登録ツール19の間と、登録ツール19及びセンター20の間とで、チャレンジレスポンス認証を成立させて、これらを登録モードに切り換えなければならない。よって、秘密鍵16の登録に際しては、登録モード移行への認証成立が条件となるので、秘密鍵16の不正登録を発生し難くすることができる。
【0091】
(4)秘密鍵登録システム17が登録モードに入った後、センター20によりMAC認証が行われて登録ツール19が認証されるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0092】
(5)センター20が登録先である車両1や電子キー2を認証する際、これらのIDが異常IDに含まれるかどうかを見る異常ID検証が実行される。よって、車両1や電子キー2のIDが異常ID、即ち盗難車両のIDや他車両に登録済みのIDの場合には、秘密鍵16の登録が不可とされるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0093】
(6)車載器登録コードCcrには、暗号文のみならず改竄検出符号が含まれているので、車載器登録コードCcrを不正解析に対して耐性の強いものとすることができる。
(第2実施形態)
次に、第2実施形態を図11〜図15に従って説明する。なお、第2実施形態は、登録ツール19のIDも合わせて管理する点が第1実施形態と異なっており、他の基本的な部分は同じである。よって、第1実施形態と同一箇所は同一符号を付して詳しい説明を省略し、異なる部分についてのみ説明する。
【0094】
図11に示すように、本例の秘密鍵登録システム17は、車両1と電子キー2との秘密鍵16を登録するに際して、登録作業に関わる情報(登録作業関連情報65)の正否も確認し合い、この認証が成立することも登録を許可する条件としている。この登録作業関連情報65には、例えばそれぞれの登録ツール19が固有のIDとして持つ登録ツールIDとがある。登録ツールIDは、登録ツール19の製造時においてそれぞれに付与される個体番号である。
【0095】
また、登録作業関連情報65には、実際の各種登録作業を行うサービスマンが固有のIDとして持っているサービスマンIDとがある。サービスマンIDは、例えば秘密鍵登録システム17の管理会社に属する社員の登録番号等である。このサービスマンIDは、単なる登録番号のみに限らず、例えば認証情報を加えてもよい。認証情報としては、例えば予め登録しておいた英数字の羅列からなるパスワードや、或いは指紋や音声等により個人認証を行う生体情報等がある。また、本例の場合、ツールセンター鍵27は、登録ツール19のそれぞれに対して割り振られる個別の鍵となっている。なお、サービスマンが作業者に相当する。
【0096】
図12に示すように、ツール制御部50には、登録ツールIDやサービスマンIDを登録ツール19に登録するID登録管理部66が設けられている。ID登録管理部66は、入力部52によって入力されたり、或いは無線通信によって取り込んだりした登録ツールやサービスマンIDを、メモリ56に書き込むことによりID登録を行う。また、サービスマンIDに生体認証が含まれる場合、ID登録管理部66は生体情報も取得可能な構成となっている。ツール制御部50には、登録ツール19に登録された登録ツールIDやサービスマンIDを、センター20に発信可能な登録作業関連情報出力部67が設けられている。
【0097】
センター20には、登録ツール19から受信した登録作業関連情報65(登録ツールID、サービスマンID)の正否を検証する登録作業関連情報検証部68が設けられている。また、センター20のメモリ26には、発行済みとなったサービスマンIDや登録ツールIDが予め登録されている。登録作業関連情報検証部68は、登録ツール19から登録作業関連情報65として登録ツールID及びサービスマンIDを受信すると、受け付けたこれらIDがメモリ26に存在するか否かを見ることにより、受け付けた登録ツールIDやサービスマンIDを認証する。なお、登録作業関連情報検証部68が登録作業関連情報認証手段、排除手段、組み合わせ異常確認手段を構成する。
【0098】
また、センター20のメモリ26には、登録ツールIDうち異常として通知があったものを登録する異常ツールIDデータベース69が設けられている。異常ツールIDデータベース69には、盗難登録されたツールIDが異常IDとして登録されている。登録作業関連情報検証部68は、登録ツールIDを取得すると、受け付けたこの登録IDが異常ツールIDに存在するか否かを見ることにより、異常IDの有無を確認する。なお、異常ツールIDデータベース69が排除手段を構成する。
【0099】
センター20のメモリ26には、登録ツールIDとサービスマンIDとがとるべき組み合わせが設定されたツールサービスマンID表70が登録されている。ツールサービスマンID表70は、図13に示すように、どの番号群のサービスマンIDが、どの番号群の登録ツールIDに対応するのかを決めた一種の表である。登録作業関連情報検証部68は、登録ツールIDとサービスマンIDとを取得すると、これらツールサービスマンID表70を満たす関係をとるか否かを見ることにより、両IDの組み合わせ異常の有無を確認する。なお、ツールサービスマンID表70が組み合わせ異常確認手段を構成する。
【0100】
図12に示すように、センター20には、登録モードに入った後に行う認証において、電子キーIDと車載器IDとの組み合わせ異常の有無を確認する電子キー車載器ID組み合わせ異常確認部71が設けられている。また、メモリ26には、電子キーIDと車載器IDとがとるべき組み合わせが設定された電子キー車載器ID組み合わせ表72が登録されている。電子キー車載器ID組み合わせ表72は、図14に示すように、どの番号群の電子キーIDが、どの番号群の車載器IDに対応するのかを決めた一種の表である。電子キー車載器ID組み合わせ異常確認部71は、電子キーIDと車載器IDとを取得すると、これらIDが電子キー車載器ID組み合わせ表72を満たす関係をとるか否かを見ることにより、両IDの組み合わせ異常の有無を確認する。なお、組み合わせ異常確認部71、組み合わせ表72が組み合わせ異常確認手段を構成する。
【0101】
次に、車両1及び電子キー2に秘密鍵16を登録する手順を図15に従って説明する。なお、図15のフロー図では、第1実施形態と異なる部分のみ図示する。
まずは前提として、サービスマンは、例えば登録ツール19の入力部52を手入力したり、登録ツール備え付けのセンサで生体認証を取り込ませたりすることにより、登録ツール19にサービスマンIDを登録しておく。また、センター20にも、サービスマンID及び登録ツールIDを予め登録しておく。このID登録は、登録ツール19のID登録管理部66によって実行される。
【0102】
登録ツール19は、有線接続コマンドに応答して照合ECU4が返してきた車載器IDを入力すると、ステップ103aに示すように、登録要求、登録ツールID及びサービスマンIDを発信する。即ち、登録作業関連情報出力部67は、メモリ56から登録ツールID及びサービスマンIDを読み出し、これらを登録要求とともにIP通信によりセンター20に発信する。
【0103】
センター20は、登録要求の受け付けをトリガとして、ステップ103bに示すように、登録ツールID及びサービスマンIDのIDを検証する。このとき、まず登録作業関連情報検証部68は、受け付けた登録ツールID及びサービスマンIDがメモリ26に登録されているものかを確認する。また、登録作業関連情報検証部68は、異常ツールIDデータベース69を参照して、取得した登録ツールIDが異常IDでないかどうかも確認する。更に、登録作業関連情報検証部68は、ツールサービスマンID表70を参照して、取得した登録ツールID及びサービスマンIDが正しい組み合わせをとるものかどうかも確認する。登録作業関連情報検証部68は、これら検証が全て成立することを確認すると、ステップ104に移行して処理を継続し、検証が1つでも不成立であると、動作を強制終了する。
【0104】
また、センター20は、ステップ123に示す異常ID検証の際、電子キーIDと車載器IDの組み合わせ異常も確認する。即ち、電子キー車載器ID組み合わせ異常確認部71は、電子キー車載器ID組み合わせ表72を参照することにより、取得した電子キーID及び車載器IDが正しい組み合わせをとるものかどうかを確認する。そして、ステップ123では、異常ID検証において両IDの異常組み合わせがないことも確認すると、登録処理が継続される。
【0105】
本実施形態の構成によれば、第1実施形態の(1)〜(6)に記載の効果に加え、以下の効果を得ることができる。
(7)秘密鍵16の登録の実行条件に、登録ツールIDやサービスマンIDの認証成立を含ませたので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0106】
(8)秘密鍵16の登録の際、登録ツールIDとサービスマンIDとの組み合わせを確認し、この組み合わせに異常がないことを条件に、秘密鍵16の登録が許可される。このため、これらIDの組み合わせが不適当な際には、秘密鍵16の登録が許可されないので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0107】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・ 第1及び第2実施形態において、対センター20のネットワーク通信は、IP通信等に限らず、種々の通信形式が採用可能である。また、通信周波数も適宜変更可能である。
【0108】
・ 第1及び第2実施形態において、登録ツール19とセンター20との通信は、車両1のG-Book通信装置34を介したものとしてもよい。
・ 第1及び第2実施形態において、ツールセンターtemp鍵57や車載器センターtemp鍵58を作成する際に用いる計算式は、必ずしもハッシュ関数に限らず、他の関数や暗号が使用可能である。
【0109】
・ 第1及び第2実施形態において、秘密鍵登録システム17が登録モードに入るときに実行する認証は、必ずしもチャレンジレスポンス認証の成立に限定されず、他の認証方式を採用してもよい。
【0110】
・ 第1及び第2実施形態において、第1〜第3のチャレンジレスポンス認証は、それぞれ使用する鍵が異なることに限定されず、これらの間で同じ鍵を使用してもよい。
・ 第1及び第2実施形態において、ステップ123で実行する認証は、必ずしもMAC認証に限らず、他の認証を採用してもよい。
【0111】
・ 第1及び第2実施形態において、暗号文を生成するときに使用する暗号方式は、AES、DES等、種々の暗号形式を採用可能である。
・ 第1及び第2実施形態において、システムが登録状態に入る際の条件は、必ずしも全員が全員の正否を確認できることに限定されず、例えば所定のものが他の所定のものの正否を確認できること、即ち任意の組み合わせで確認する形式を採用してもよい。
【0112】
・ 第1及び第2実施形態において、車両1とセンター20との通信は、G-Bookを使用した形式に限定されず、これ以外の通信形式を採用してもよい。
・ 第1及び第2実施形態において、電子キー登録コードCdkは、暗号文のみにより構成されることに限らず、例えば車載器登録コードCcrのように改竄検出符号を持つものでもよい。
【0113】
・ 第1及び第2実施形態において、各登録コードCcr,Cdkは、必ずしも暗号文と改竄検出符号とからなるデータや、或いは暗号文のみからなるデータに限定されない。要は、登録コードCcr,Cdkは、暗号化(符号化)されるのであれば、その内容は特に問わない。
【0114】
・ 第1及び第2実施形態において、制限鍵は、必ずしも車載器センターtemp鍵であることに限定されず、要は1度の登録時のみ有効な鍵であれば、その種類は特に問わない。
・ 第1及び第2実施形態において、登録モードに入る前に実行される通信相手認証は、必ずしもチャレンジレスポンス認証に限らず、これ以外の認証形式が採用可能である。
【0115】
・ 第2実施形態において、ID認証は、必ずしもツールIDとサービスマンIDの両方の正否を見ることに限らず、例えば一方のみを見る形式を採用してもよい。
・ 第2実施形態において、作業者に関連するIDは、必ずしも個々のサービスマンに割り当てられるサービスマンIDに限らず、作業者が区別できる情報であればよい。
【0116】
・ 第1及び第2実施形態において、車載器登録用鍵は、車載器センター鍵22という名の通り、車両1とセンター20とに共有に登録される鍵であればよい。また、これは電キー登録用鍵も同様にいえる。
【0117】
・ 第1及び第2実施形態において、書き込み器18による書き込み動作は、必ずしも有線に限らず、無線により行ってもよい。また、この書き込み動作は、必ずしも製造ライン上で実行されることに限らず、実行時期はいつでもよい。なお、このことは、センター20による登録コードCcr,Cdkの登録に関しても同様に言える。
【符号の説明】
【0118】
1…車両、2…電子キー、16…秘密鍵、17…秘密鍵登録システム、18…書き込み器、19…登録ツール、20…センター、22…車載器登録用鍵としての車載器センター鍵、23…電子キー登録用鍵としての電子キーセンター鍵、24…書込手段を構成する車載器センター鍵書込部、25…書込手段を構成する電子キーセンター鍵書込部、28…登録モード切換手段を構成するセンター側登録モード切換部、29…モード切換後認証手段、排除手段を構成するセンター側通信相手認証部、31…コード出力手段を構成する乱数生成器、32…コード出力手段を構成する暗号化処理部、33…コード出力手段を構成する登録コード出力部、35…登録モード切換手段を構成する車両側登録モード切換部、36…モード切換後認証手段を構成する車両側通信相手認証部、38…鍵登録手段を構成する車載器登録コード取得部、39…鍵登録手段を構成する車両側復号化処理部、40…鍵登録手段を構成する車両側登録コード判定部、41…鍵登録手段を構成する車両側秘密鍵登録部、43…登録モード切換手段を構成するキー側登録モード切換部、44…モード切換後認証手段を構成するキー側通信相手認証部、46…鍵登録手段を構成する電子キー登録コード取得部、47…鍵登録手段を構成するキー側復号化処理部、48…鍵登録手段を構成するキー側登録コード判定部、49…鍵登録手段を構成するキー側秘密鍵登録部、54…登録モード切換手段を構成するツール側登録モード切換部、55…モード切換後認証手段を構成するツール側通信相手認証部、58…制限鍵としての車載器センターtemp鍵、61…排除手段を構成する異常IDデータベース、68…登録作業関連情報認証手段、排除手段、組み合わせ異常確認手段を構成する登録作業関連情報検証部、69…排除手段を構成する異常ツールIDデータベース、70…組み合わせ異常確認手段を構成するツールサービスマンID表、71…組み合わせ異常確認手段を構成する電子キー車載器ID組み合わせ異常確認部、73…組み合わせ異常確認手段を構成する電子キー車載器ID組み合わせ表、Ccr…車載器登録コード、Cdk…電子キー登録コード。
【特許請求の範囲】
【請求項1】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込む書込手段と、
前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、自身が持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に自身が持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させるコード出力手段と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録する鍵登録手段と
を備えたことを特徴とする秘密鍵登録システム。
【請求項2】
前記暗号化及びその復号化には、前記秘密鍵の登録時の1度のみ使用可能な制限鍵を用いた暗号及び復号が含まれることを特徴とする請求項1に記載の秘密鍵登録システム。
【請求項3】
前記車両、前記電子キー及び前記センターが登録モードに入る前に、互いの通信相手の正否を確認する通信相手認証を行い、この認証が成立することを条件に、これら3者全てを前記秘密鍵の登録が可能な前記登録モードとする登録モード切換手段を備えたことを特徴とする請求項1又は2に記載の秘密鍵登録システム。
【請求項4】
前記車両、前記電子キー及び前記センターが全て登録モードに入った後、実際の登録動作の前において前記車両と前記電子キーと前記センターとを認証させるモード切換後認証手段を設けたことを特徴とする請求項1〜3のうちいずれか一項に記載の秘密鍵登録システム。
【請求項5】
前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えたことを特徴とする請求項1〜4のうちいずれか一項に記載の秘密鍵登録システム。
【請求項6】
前記登録モード後の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えたことを特徴とする請求項3〜5のうちいずれか一項に記載の秘密鍵登録システム。
【請求項7】
前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えたことを特徴とする請求項3〜6のうちいずれか一項に記載の秘密鍵登録システム。
【請求項8】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込み、
前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、該センターが持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に前記センターが持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させ、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録することを特徴とする秘密鍵登録方法。
【請求項1】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込む書込手段と、
前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、自身が持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に自身が持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させるコード出力手段と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録する鍵登録手段と
を備えたことを特徴とする秘密鍵登録システム。
【請求項2】
前記暗号化及びその復号化には、前記秘密鍵の登録時の1度のみ使用可能な制限鍵を用いた暗号及び復号が含まれることを特徴とする請求項1に記載の秘密鍵登録システム。
【請求項3】
前記車両、前記電子キー及び前記センターが登録モードに入る前に、互いの通信相手の正否を確認する通信相手認証を行い、この認証が成立することを条件に、これら3者全てを前記秘密鍵の登録が可能な前記登録モードとする登録モード切換手段を備えたことを特徴とする請求項1又は2に記載の秘密鍵登録システム。
【請求項4】
前記車両、前記電子キー及び前記センターが全て登録モードに入った後、実際の登録動作の前において前記車両と前記電子キーと前記センターとを認証させるモード切換後認証手段を設けたことを特徴とする請求項1〜3のうちいずれか一項に記載の秘密鍵登録システム。
【請求項5】
前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えたことを特徴とする請求項1〜4のうちいずれか一項に記載の秘密鍵登録システム。
【請求項6】
前記登録モード後の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えたことを特徴とする請求項3〜5のうちいずれか一項に記載の秘密鍵登録システム。
【請求項7】
前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えたことを特徴とする請求項3〜6のうちいずれか一項に記載の秘密鍵登録システム。
【請求項8】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器から前記車両に書き込むとともに、前記電子キーに前記秘密鍵を登録するための鍵として電子キー登録用鍵を前記書き込み器から前記電子キーに書き込み、
前記秘密鍵の発行を一括管理するセンターにおいて当該秘密鍵を生成し、該センターが持つ前記車載器登録用鍵により該秘密鍵を暗号化して車載器登録コードを生成し、これを前記車両に取得させ、更に前記センターが持つ前記電子キー登録用鍵により該秘密鍵を暗号化して電子キー登録コードを生成し、これを前記電子キーに取得させ、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを該車両に登録するとともに、前記電子キーにおいて前記電子キー登録コードを前記電子キー登録用鍵により復号して前記秘密鍵を生成し、これを該電子キーに登録することを特徴とする秘密鍵登録方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【公開番号】特開2011−20475(P2011−20475A)
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願番号】特願2009−164804(P2009−164804)
【出願日】平成21年7月13日(2009.7.13)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【Fターム(参考)】
【公開日】平成23年2月3日(2011.2.3)
【国際特許分類】
【出願日】平成21年7月13日(2009.7.13)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【出願人】(301021533)独立行政法人産業技術総合研究所 (6,529)
【Fターム(参考)】
[ Back to top ]