秘密鍵登録システム及び秘密鍵登録方法
【課題】秘密鍵登録時における秘密鍵の盗み取りを生じ難くすることができ、かつ秘密鍵の登録作業も簡素化することができる秘密鍵登録システム及び秘密鍵登録方法を提供する。
【解決手段】秘密鍵16を車両1及び電子キー2に登録するとき、まず書き込み器18によって電子キー2に秘密鍵16を書き込むとともに、同じく書き込み器18によって車両1に車載器センター鍵22を書き込んでおく。そして、センター20に秘密鍵16及び車載器センター鍵22を予め取り込んでおき、これらを暗号化して車載器登録コードCcrを生成し、これを車両1に送信する。車載器登録コードCcrを車両1が受信すると、この車載器登録コードCcrを、車両1に予め書き込んでおいた車載器センター鍵22で復号化して秘密鍵16を生成し、これを車両1に登録する。
【解決手段】秘密鍵16を車両1及び電子キー2に登録するとき、まず書き込み器18によって電子キー2に秘密鍵16を書き込むとともに、同じく書き込み器18によって車両1に車載器センター鍵22を書き込んでおく。そして、センター20に秘密鍵16及び車載器センター鍵22を予め取り込んでおき、これらを暗号化して車載器登録コードCcrを生成し、これを車両1に送信する。車載器登録コードCcrを車両1が受信すると、この車載器登録コードCcrを、車両1に予め書き込んでおいた車載器センター鍵22で復号化して秘密鍵16を生成し、これを車両1に登録する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、秘密鍵の登録に使用する秘密鍵登録システム及び秘密鍵登録方法に関する。
【背景技術】
【0002】
従来から周知のように、多くの車両では、電子キーから無線送信されるキーIDにてキー照合を行う電子キーシステムが搭載されている。この種の電子キーシステムでは、電子キーから送信されるID信号が仮に傍受されても、簡単にキーIDが割り出されないようにするために、一般的に暗号通信が採用されている(特許文献1等参照)。この暗号通信としては、例えば秘密鍵暗号(共通鍵暗号)が広く使用されている。秘密鍵暗号とは、送信側の暗号鍵と、受信側の暗号鍵とが同じ鍵となっている暗号である。秘密鍵暗号には、鍵が送信と受信とで同じであるので、暗号及び復号の速度が速いという利点があり、車両の暗号通信において広く使用されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−300803号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、電子キーシステムに暗号通信を用いる場合、この種の暗号通信では、車両及び電子キーの両方に秘密鍵を登録する必要がある。よって、例えば製造段階や出荷段階において、製造現場やディーラ等で車両及び電子キーに秘密鍵を各々登録する必要が生じる。ところで、この秘密鍵登録の際、仮に秘密鍵が盗聴されてしまうと、車両出荷後に盗難キーIDにて不正にID照合が成立されてしまう可能性があるので、これが車両盗難の可能性に繋がる。このため、秘密鍵が盗み取られ難いセキュリティ性の高い暗号鍵の登録方式が必要とされていた。
【0005】
また、秘密鍵登録がセキュリティ性の高い登録方法をとっていたとしても、仮に登録作業が複雑であると、登録作業が非常に面倒になり、登録の作業効率が悪化してしまう懸念に繋がる。このため、秘密鍵登録時における秘密鍵の盗難防止と、秘密鍵の登録作業の簡素化とを両立することができる新たな技術の開発ニーズがあった。
【0006】
本発明の目的は、秘密鍵登録時における秘密鍵の盗み取りを生じ難くすることができ、かつ秘密鍵の登録作業も簡素化することができる秘密鍵登録システム及び秘密鍵登録方法を提供することにある。
【課題を解決するための手段】
【0007】
前記問題点を解決するために、本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む書込手段と、前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させるコード取得手段と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する鍵登録手段とを備えたことを要旨とする。
【0008】
本発明の構成によれば、車両に暗号通信用の秘密鍵を登録するには、書き込み器から秘密鍵を電子キーに直に書き込むとともに、同じく書き込み器から車載器登録用鍵を書き込んでおく。そして、センターにも同様の秘密鍵及び車載器登録用鍵を用意しておく。センターは、秘密鍵を車載器登録用鍵で暗号化して車載器登録コードを生成し、これを車両に出力する。車両は、車載器登録コードを入力すると、これを自身の車載器登録用鍵で復号化して秘密鍵を割り出し、これを自身に登録する。
【0009】
従って、本構成の場合は、車両に車載器登録用鍵を書き込んでおき、センターから車載器登録コードを送り渡す。そして、車両において車載器登録コードを車載器登録用鍵にて復号化することにより秘密鍵を取得し、これを車両に登録する。このため、車両に秘密鍵を登録する際、秘密鍵をそのままやり取りせずに済むので、秘密鍵の盗難に対するセキュリティ性を確保することが可能となる。
【0010】
また、本構成の場合は、電子キー及び車両に秘密鍵を登録する際、電子キーには秘密鍵を直に書き込むだけで済むので、電子キーに例えば復号化等の処理を課さずに済む。このため、秘密鍵を登録する際の処理を簡素化することが可能となる。また、電子キーに秘密鍵を登録するに際して、電子キーに復号化等の演算が不要となれば、仮に電子キーがマイクロコンピュータを搭載しないキーであっても、同キーに秘密鍵を登録することが可能となる。よって、この点においても効果が高いと言える。
【0011】
本発明では、前記コード取得手段は、前記車両及び前記センターの間で対応付けられた車載器センター鍵と、前記秘密鍵の登録時の1度のみ使用な制限鍵とのうち、少なくとも一方を使用した暗号により前記秘密鍵を暗号化することを要旨とする。この構成によれば、車載器登録コードを車両に出力する際の通信を、車載器センター鍵や制限鍵を使用した暗号通信とするので、秘密鍵の不正読み取り防止に効果が高くなる。
【0012】
本発明では、前記車両には、前記電子キーが複数登録可能であり、前記車両に新たな電子キーを登録する場合、前記秘密鍵が書き込まれた新たな電子キーを用意し、当該電子キーに書き込まれたものと同じ秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することにより当該車両に登録することを要旨とする。この構成によれば、1台の車両に複数の電子キーを登録する場合であっても、秘密鍵を有する電子キーであれば、車両に自由に登録することが可能となる。このため、車両に登録できる電子キーに制限がないので、この点で効果が高いと言える。
【0013】
本発明では、前記電子キーには、予め複数の秘密鍵が書き込まれており、当該電子キーに書き込まれた複数の秘密鍵のうち、未使用の秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することで該車両に登録可能とすることにより、1つの前記電子キーに前記車両が複数登録可能となっていることを要旨とする。この構成によれば、1つの電子キーで複数の車両において共通キーとして共用されるので、利便性を確保することが可能となる。
【0014】
本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む手順と、前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させる手順と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する手順とを備えたことを要旨とする。
【発明の効果】
【0015】
本発明によれば、秘密鍵登録時における秘密鍵の盗み取りを生じ難くすることができ、かつ秘密鍵の登録作業も簡素化することができる。
【図面の簡単な説明】
【0016】
【図1】一実施形態の電子キーシステムの構成図。
【図2】秘密鍵登録システムの概略構成を示すブロック図。
【図3】書き込み器の構成図。
【図4】センターの構成図。
【図5】ツールサービスマンID表の概念図。
【図6】電子キー車載器ID組み合わせ表の概念図。
【図7】車両における秘密鍵登録システムの構成要素のブロック図。
【図8】電子キーにおける秘密鍵登録システムの構成要素のブロック図。
【図9】登録ツールの構成図。
【図10】秘密鍵の登録手順の概要を示すフローチャート。
【図11】図11の続きを示すフローチャート。
【図12】図12の続きを示すフローチャート。
【図13】図13の続きを示すフローチャート。
【図14】1台の車両に複数の電子キーが登録される様子を示す概念図。
【発明を実施するための形態】
【0017】
以下、本発明を具体化した秘密鍵登録システム及び秘密鍵登録方法の一実施形態を図
1〜図14に従って説明する。
図1に示すように、車両1には、電子キー2からの通信を契機に狭域通信により車両1と電子キー(ワイヤレスキー)2とがID照合(ワイヤレス照合)を行うワイヤレスキーシステム3が搭載されている。ワイヤレスキーシステム3は、電子キー2の遠隔操作によって車両ドアの施解錠を実行するものである。電子キー2は、自身が持つ固有のIDコード(以下、電子キーIDと記す)を無線により車両1に送信して、車両1にID照合を実行させることが可能なキーを言う。
【0018】
車両1には、電子キー2とID照合を行う照合ECU(Electronic Control Unit)4と、車載電装品の電源を管理するボディECU5とが設けられ、これらが車内の一ネットワークであるバス6を介して接続されている。照合ECU4には、LF(Low Frequency)帯の電波を受信可能な車両受信機7が接続されている。また、ボディECU5には、ドアロックの施解錠を実行するときの駆動源としてドアロックモータ8が接続されている。
【0019】
また、電子キー2には、電子キー2の各種動作を統括制御する通信制御部9が設けられている。この通信制御部9は、CPU10やメモリ11等から構成され、電子キー2の固有のIDとして電子キーIDがメモリ11に登録されている。通信制御部9には、電子キー2には、車両ドアの施解錠を遠隔操作する際に操作する複数の施錠ボタン12及び解錠ボタン13と、LF電波を送信可能な送信部14とが接続されている。
【0020】
例えば、施錠ボタン12が操作されると、通信制御部9は、電子キー2の電子キーIDと、車両1にドアロック施錠の動作開始を要求する機能コード(施錠要求コード)とを含んだワイヤレス信号Swlを送信部14からLF帯の信号で発信させて、狭域無線通信(ワイヤレス通信)を実行する。照合ECU4は、車両受信機7でこのワイヤレス信号Swlを受信すると、ワイヤレス信号Swl内の電子キーIDでID照合(ワイヤレス照合)を行う。照合ECU4は、ワイヤレス照合の成立を確認すると、続く施錠要求コードに従い、ボディECU5にドアロックの施錠動作を実行させる。
【0021】
ワイヤレス通信には、電子キー2から発信されるワイヤレス信号Swlを暗号化して車両1に送る暗号通信が使用されている。本例の暗号通信には、信号の送り手と受け手とで共通の暗号鍵を使用する秘密鍵暗号方式が採用されている。よって、電子キー2のメモリ11と、車両1(照合ECU4)のメモリ15とには、同じ秘密鍵16が登録されている。そして、電子キー2がワイヤレス信号Swlを発信する際には、電子キー2の秘密鍵16によって暗号化されたワイヤレス信号Swlが発信され、車両1がこのワイヤレス信号Swlを受信すると、車両1側の秘密鍵16でワイヤレス信号Swlが復号される。
【0022】
図2に示すように、車両1及び電子キー2には、これら車両1及び電子キー2に秘密鍵16を発行する秘密鍵登録システム17が設けられている。本例の秘密鍵登録システム17は、車両1と、電子キー2と、製造ライン上にセットされた書き込み器18と、車両1に接続可能なハンディタイプの登録ツール19と、ネットワーク通信網を介してセンター20との5者を協同させて、車両1及び電子キー2に秘密鍵16を登録するものである。また、本例の秘密鍵登録システム17は、書き込み器18から電子キー2に秘密鍵16を直に書き込むことにより、登録処理を簡素化したものでもある。
【0023】
図3に示すように、書き込み器18のメモリ21には、電子キー2に書き込む秘密鍵16と、車両1の照合ECU4に秘密鍵16を登録する際に使用される車載器センター鍵22とが登録されている。車載器センター鍵22は、車両1とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、車両1のそれぞれに対して個別に割り振られる鍵である。車載器センター鍵22は、秘密鍵16を車両1に登録するときに、照合ECU4とセンター20との間のデータやり取りで使用する。書き込み器18は、製造工場等に置かれるものであるので、秘密鍵16や車載器センター鍵22が登録されていても、これらが盗み取られる可能性は低い。なお、車載器センター鍵22が車載器登録用鍵に相当する。
【0024】
また、書き込み器18には、製造時において電子キー2に秘密鍵16を書き込む秘密鍵書込部23と、同じく製造時において車両1(照合ECU4)に車載器センター鍵22を書き込む車載器センター鍵書込部24とが設けられている。秘密鍵書込部23は、製造ライン上を流れてくる電子キー2に対し、配線25を介して、秘密鍵16を通信制御部9のIC回路に直に(有線により)注入する。車載器センター鍵書込部24は、製造ライン上を流れてくる照合ECU4に対し、配線26を介して、車載器センター鍵22を直に(有線により)注入する。なお、秘密鍵書込部23及び車載器センター鍵書込部24が書込手段を構成する。
【0025】
図4に示すように、センター20のメモリ27には、電子キー2に登録されものと同様の秘密鍵16と、照合ECU4に登録されたものと同様の車載器センター鍵22とが登録されている。秘密鍵16及び車載器センター鍵22は、書き込み器18から別途入手するか、或いは書き込み器18へ事前配布されることにより、センター20に登録されている。なお、この配布は、センター20から書き込み器18に渡す構成としてもよい。また、書き込み器18やセンター20への秘密鍵16や車載器センター鍵22の登録方法は、入力装置を用いて手入力したり、無線通信により入手したりするなど、入手方法は特に問わない。
【0026】
センター20のメモリ27には、ペア登録された車載器ID及び電子キーIDが登録されている。車載器IDは、車両1(照合ECU4)の固有値として車両1が持っている個別のIDコードである。また、電子キーIDは、各電子キー2が各々持つ固有のIDコードである。車載器ID及び電子キーIDは、製品として市場に出回ったどの車両1とどの電子キー2とでもペア登録が可能であり、ペア登録後、これらIDが関連付けられてメモリ27に登録される。
【0027】
センター20のメモリ27には、登録ツール19とセンター20との間で定義付けられた暗号鍵の一種としてツールセンター鍵28が登録されている。ツールセンター鍵28は、秘密鍵16を車両1に登録するときに、登録ツール19とセンター20との間のデータやり取りで使用する暗号鍵である。
【0028】
センター20には、車両1や登録ツール19と各種データを無線により双方向通信する無線通信部29が設けられている。無線通信部29は、例えばネットワーク通信網の一種であるIP(Internet Protocol)通信を介して、車両1や登録ツール19との無線による双方向通信が可能である。
【0029】
センター20には、登録モードに入る前に、センター20において通信相手の正当性を認証するセンター側登録動作前認証部30が設けられている。センター側登録動作前認証部30は、登録ツール19との間でチャレンジレスポンス認証が成立することを条件に、センター20の動作モードを登録モードに切り換える。チャレンジレスポンス認証は、発信の度に毎回値が変わる乱数コードをチャレンジとして認証側から受け側に送り、このチャレンジを受け側の計算式に通して計算させ、計算結果をレスポンスとして受け付ける。そして、認証側も同様にチャレンジを自身の計算式により演算してレスポンスを計算し、このレスポンスと受け側のレスポンスとが一致するか否かを見る認証である。
【0030】
センター20には、登録モードに入った後、センター20において秘密鍵16の登録動作を実施するセンター側登録動作実行部31が設けられている。センター側登録動作実行部31には、登録モード中、その時々の通信相手と各種認証処理を実行するセンター側認証処理部32が設けられている。センター側認証処理部32は、登録モード時に課された各種認証が成立することを確認すると、秘密鍵16を車載器センター鍵22にて暗号化して車両1に送信する動作を許可する。
【0031】
センター側登録動作実行部31には、秘密鍵16を暗号化する暗号化処理部33と、暗号化データを車両1に無線により出力する車載器登録コード出力部34とが設けられている。暗号化処理部33は、メモリ27内の車載器IDと電子キーIDと秘密鍵16とを、対応する車載器センター鍵22によって暗号化することにより、車載器登録コードCcrを生成する。車載器登録コードCcrは、車載器IDと電子キーIDと秘密鍵16とを情報として持ち、車両1に秘密鍵16を登録する際に必要な一条件として使用される。車載器登録コード出力部34は、暗号化処理部33が生成した車載器登録コードCcrを、無線通信部29からネットワーク通信によって車両1に無線送信する。なお、暗号化処理部33及び車載器登録コード出力部34がコード取得手段を構成する。
【0032】
センター側登録動作実行部31には、車両1及び電子キー2に正常に登録された秘密鍵16を、車両1及び電子キー2を対応付けてセンター20に登録するIDペア登録部35が設けられている。IDペア登録部35は、秘密鍵16の登録の完了を確認すると、同じ秘密鍵16が登録された車載器IDと電子キーIDとを、1つの組としてメモリ27に登録する。
【0033】
センター20のメモリ27には、サービスマンID及び登録ツールIDが登録されている。これは、秘密鍵16の登録を開始するに際して、登録作業に関わる登録ツール19及びサービスマン36の成否も確認し合い、この認証が成立することも条件とするためである。登録ツールIDは、登録ツール19の製造時において各ツールに付与される固体番号である。サービスマンIDは、例えば秘密鍵登録システム17に登録した会社や団体に属する社員(会員)の登録番号である。
【0034】
なお、サービスマンIDは、単なる登録番号のみに限らず、例えば認証情報を加えてもよい。認証情報としては、例えば予め登録しておいた英数字の羅列からなるパスワードや、或いは指紋や音声等により個人認証を行う生体情報等がある。また、本例の場合、ツールセンター鍵28は、登録ツール19のそれぞれに対して割り振られる個別の鍵となっている。
【0035】
センター20のメモリ27には、異常ID(車載器ID、電子キーID)が登録された異常IDデータベース37と、異常ツールIDが登録された異常ツールIDデータベース38とが設けられている。異常IDは、例えば盗難車両の車載器IDや、他車両に登録済みの電子キーIDである。異常ツールIDは、例えば盗難にあった登録ツール19のIDなどである。
【0036】
センター20のメモリ27には、登録ツールIDとサービスマンIDとがとるべき組み合わせが設定されたツールサービスマンID表39と、電子キーIDと車載器IDとがとるべき組み合わせが設定された電子キー車載器ID組み合わせ表40とが登録されている。ツールサービスマンID表39は、図5に示すように、どの番号群のサービスマンIDが、どの番号群の登録ツールIDに対応するのかを決めた一種の表である。電子キー車載器ID組み合わせ表40は、図6に示すように、どの番号群の電子キーIDが、どの番号群の車載器IDに対応するのかを決めた一種の表である。
【0037】
図7に示すように、照合ECU4には、製造時において書き込み器18から出力される車載器センター鍵22を取得する車載器センター鍵取得部41が設けられている。車載器センター鍵取得部41は、書き込み器18から取得した車載器センター鍵22をメモリ15に書き込む。
【0038】
車両1には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部42が設けられている。登録ツール19は、自身から延びるケーブル43をツール接続部42に繋げることにより、車両1に接続可能となっている。照合ECU4は、このツール接続部42を介して、有線通信により登録ツール19と通信する。
【0039】
車両1には、IP通信によって車両1を外部と無線により繋ぐG−Book通信装置44が設けられている。G−Book通信装置44は、例えばバス6を介して照合ECU4と接続されている。車両1は、G−Book通信装置44を介してセンター20と無線による双方向通信が可能である。G−Book通信装置44は、センター20から発信された車載器登録コードCcrを受信可能であり、この車載器登録コードCcrを照合ECU4に供給可能となっている。
【0040】
車両1には、電子キー2に各種電波を送信する送信部45が設けられている。送信部45は、例えばLF電波を送信可能であり、登録作業時において必要な各種電波を電子キー2に送信する。
【0041】
照合ECU4には、登録モードに入る前に、車両1において通信相手の正当性を認証する車両側登録動作前認証部46が設けられている。車両側登録動作前認証部46は、登録ツール19を経由したセンター20との間のチャレンジレスポンス認証が成立することを条件に、照合ECU4の動作モードを登録モードに切り換える。
【0042】
照合ECU4には、車両1が登録モードに入った後、車両1において秘密鍵16の登録動作を実施する車両側登録動作実行部47が設けられている。車両側登録動作実行部47には、登録モード中、その時々の通信相手と各種認証を実行する車両側認証処理部48が設けられている。車両側認証処理部48は、登録モード時、電子キー2を認証したり、又は登録ツール19を経由してセンター20と認証を行ったりする。
【0043】
車両側登録動作実行部47には、センター20から車載器登録コードCcrを無線により取得する車載器登録コード取得部49と、その取得した車載器登録コードCcrを復号化する復号化処理部50と、復号化後の車載器登録コードCcrの正当性を判定する車載器登録コード判定部51とが設けられている。なお、車載器登録コード取得部49がコード取得手段を構成し、車載器登録コード判定部51が鍵登録手段を構成する。
【0044】
車載器登録コード取得部49は、センター20から発信された車載器登録コードCcrを、G−Book通信装置44を介して取得する。復号化処理部50は、車載器登録コード取得部49が取得した車載器登録コードCcrを、車載器センター鍵取得部41で取得した車載器センター鍵22により復号する。復号データは、車載器登録コードCcrに付されている車載器センター鍵22が、書き込み器18から取得した車載器センター鍵22と同一であれば、正しく復号される。車載器登録コード判定部51は、復号化処理部50によって車載器登録コードCcrを正しく復号でき、しかもその復号データに含まれる車載器IDが、車両1のものと一致するか否かを見ることにより、車載器登録コードCcrの正否を判定する。
【0045】
車両側登録動作実行部47には、車載器登録コードCcrが正しいことを条件に、車両1に秘密鍵16を登録する車両側登録処理部52が設けられている。車両側登録処理部52は、車載器登録コードCcrの正当性が確認できた際、車載器登録コードCcrに含まれる秘密鍵16を、車両1の暗号鍵としてメモリ15に書き込む。なお、車両側登録処理部52が鍵登録手段を構成する。
【0046】
図8に示すように、電子キー2の通信制御部9には、書き込み器18から出力される秘密鍵16を取得する秘密鍵取得部53が設けられている。秘密鍵取得部53は、書き込み器18から取得した秘密鍵16をメモリ15に書き込んで登録する。
【0047】
電子キー2には、キー2の外部において発信された各種電波を受信する受信部54が設けられている。受信部54は、例えばLF帯の電波を受信可能であり、この受信電波を増幅や復調等して通信制御部9に供給する。電子キー2は、この受信部54を介して、車両1からの送信電波を受信する。よって、電子キー2は、送信部14及び受信部54により、車両1と無線による双方向通信が可能である。
【0048】
通信制御部9には、電子キー2において通信相手の正当性を認証するキー側認証部55が設けられている。キー側認証部55は、現在通信相手となっている車両1の車載器IDが自身に登録されているか否かを確認したり、チャレンジレスポンス認証の成立可否を確認したりすることにより、通信相手の正当性を確認する。
【0049】
通信制御部9には、電子キー2に対応する車載器IDをメモリ11に登録するキー側登録動作部56が設けられている。キー側登録動作部56は、キー側認証部55にて各種認証が成立したことを条件に、電子キー2とペアをなす車両1の車載器IDをメモリ11に書き込む。
【0050】
図9に示すように、登録ツール19には、登録ツール19を統括制御するツール制御部57と、各種電波を送受信可能な通信部58と、例えばテンキー等からなる入力部59と、例えば液晶画面からなる表示部60とが設けられている。登録ツール19は、通信部58を介して、センター20と無線による双方向通信が可能である。また、登録ツール19は、車両1から延びるケーブル43がコネクタ61に接続される。登録ツール19は、車両1及び電子キー2に秘密鍵16を登録する際に携帯するハンディタイプをとっている。
【0051】
ツール制御部57のメモリ62には、センター20に登録されているものと同様のツールセンター鍵28が登録されている。これは、登録ツール19とセンター20とを対応付けるためである。また、ツール制御部57のメモリ62には、各登録ツール19個別の登録ツールIDや、登録ツール19に入力されたサービスマンIDが記憶されている。
【0052】
ツール制御部57には、登録ツール19において通信相手の正当性を認証するツール側認証部63が設けられている。ツール側認証部63は、ケーブル43を介して車両1と認証を実行したり、無線通信を介してセンター20と認証を実行したりする。
【0053】
ツール制御部57には、登録ツール19に登録ツールIDやサービスマンIDを登録するID登録管理部64が設けられている。ID登録管理部64は、入力部59によって入力されたり、或いは無線通信によって取り込んだりした登録ツールやサービスマンIDを、メモリ62に書き込むことによりID登録を行う。また、サービスマンIDに生体認証が含まれる場合、ID登録管理部64は生体情報も取得可能である。
【0054】
次に、本例の秘密鍵登録システム17による秘密鍵16の登録手順を、図10〜図14を用いて説明する。
まずは前提として、電子キー2の製造ラインにおいて、書き込み器18から秘密鍵16を電子キー2の通信制御部9に注入して、電子キー2に秘密鍵16を書き込んでおく。また、同様に、照合ECU4の製造ラインにおいて、書き込み器18から車載器センター鍵22を照合ECU4に注入して、照合ECU4に車載器センター鍵22を書き込んでおく。以上により、電子キー2に秘密鍵16が登録されるとともに、照合ECU4に車載器センター鍵22が登録された状態となる。
【0055】
また、サービスマン36は、例えば登録ツール19の入力部59を手入力したり、登録ツール備え付けのセンサで生体認証を取り込ませたりすることにより、登録ツール19にサービスマンIDを登録しておく。また、センター20にも、サービスマンID及び登録ツールIDを予め登録しておく。登録ツール19へのID登録は、登録ツール19のID登録管理部64によって実行される。
【0056】
続いて、車両1、電子キー2及び登録ツール19の3つを手元に用意し、車両1及び登録ツール19がセンター20と無線通信可能な態勢を整える。また、登録ツール19をケーブル43によって車両1に接続し、これに電源を入れることによって登録ツール19も登録の開始状態にし、更にはセンター20にも電源を入れて、センター20も登録の開始状態に設定する。なお、開始状態とは、実際の登録モードの前の準備段階のこととをいい、この開始状態に入る操作形式は種々のものが採用可能である。
【0057】
そして、ステップ101において、登録ツール19で入力部59を操作することにより秘密鍵16の登録操作が開始されると、ツール側認証部63は、登録操作開始の通知として、有線接続コマンドを照合ECU4に出力する。
【0058】
ステップ102において、車両側登録動作前認証部46は、この有線接続コマンドを入力すると起動し、その応答として、車載器IDを登録ツール19に送信する。
ステップ103において、ツール側認証部63は、車両1から車載器IDを取得すると、これをメモリ62に一旦保持するとともに、センター20に秘密鍵登録を開始させる登録要求と、メモリ62に登録された登録ツールID及びサービスマンIDとを、無線通信によりセンター20に送信する。
【0059】
ステップ104において、センター側登録動作前認証部30は、登録ツール19から登録要求を受け付けると起動し、登録ツールID及びサービスマンIDを検証する。このとき、センター側登録動作前認証部30は、受け付けた登録ツールID及びサービスマンIDがメモリ27に登録されているものかを確認する。また、センター側登録動作前認証部30は、異常ツールIDデータベース38を参照して、取得した登録ツールIDが異常IDとなっていないかを確認する。さらに、センター側登録動作前認証部30は、ツールサービスマンID表39を参照して、取得した登録ツールID及びサービスマンIDが正しい組み合わせをとるかどうかも確認する。センター側登録動作前認証部30は、これら検証が全て成立することを確認すると、次ステップに移行し、検証が1つでも不成立になることを確認すると処理を終了する。
【0060】
ステップ105において、センター側登録動作前認証部30は、ツールセンター鍵28によるチャレンジレスポンス認証を登録ツール19と開始する。このとき、センター側登録動作前認証部30は、登録ツール19に第1チャレンジを送信する。第1チャレンジは、送信の度に毎回値が異なる乱数コードである。
【0061】
ステップ106において、ツール側認証部63は、センター20から第1チャレンジを受信すると、この第1チャレンジを、登録ツール19に登録されたツールセンター鍵28に通して第1レスポンスを演算し、この第1レスポンスをセンター20に送信する。
【0062】
ステップ107において、センター側登録動作前認証部30は、登録ツール19から第1レスポンスを受信すると、受け付けた第1レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。即ち、センター20は、登録ツール19の正当性を認証する。センター側登録動作前認証部30は、登録ツール19とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0063】
ステップ108において、センター20は、登録モードに移行し、センター側登録動作実行部31が起動する。
ステップ109において、センター側認証処理部32は、ハッシュ関数によりツールセンターテンポラリ鍵(以下、ツールセンターtemp鍵65と記す)を作成する。ツールセンターtemp鍵65は、登録ツール19に送った第1チャレンジと、登録ツール19から受け付けた第1レスポンスと、センター20のメモリ27に登録されたツールセンター鍵28とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。ツールセンターtemp鍵65は、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。このツールセンターtemp鍵65は、秘密鍵16の間違った登録を防止するために機能する鍵である。
【0064】
ステップ110において、ツール側認証部63は、センター20と同様の手順により、ツールセンターtemp鍵65を作成する。即ち、ツール側認証部63は、センター20から受け付けた第1チャレンジと、自らが算出した第1レスポンスと、登録ツール19に登録されたツールセンター鍵28とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値をツールセンターtemp鍵65として算出する。
【0065】
ステップ111において、ツール側認証部63は、ツールセンターtemp鍵65を作成すると、車両1の照合ECU4に登録モード移行要求を出力する。
ステップ112において、車両側登録動作前認証部46は、登録ツール19から登録モード移行要求を入力すると、照合ECU4に登録された車載器IDを登録ツール19に出力する。このとき、車両側登録動作前認証部46は、車載器センター鍵22によるチャレンジレスポンス認証も開始し、車載器IDとともに第2チャレンジを登録ツール19に出力する。ツール側認証部63は、車両1から車載器ID及び第2チャレンジを入力すると、これらをセンター20に無線送信する。
【0066】
ステップ113において、センター側認証処理部32は、登録ツール19から車載器ID及び第2チャレンジを受信すると、まずはセンター20のメモリ27を参照して、車載器IDに対応する車載器センター鍵22を読み出す。ところで、車載器センター鍵22は、各車両1の固有値であり、同じく車両1の固有値である車載器IDと、一義的に対応付けられる。よって、車載器IDが分かれば、この車載器IDに対応する車載器センター鍵22を読み出すことが可能である。よって、センター側認証処理部32は、受信した車載器IDを手掛かりに、これと対応する車載器センター鍵22を読み出す。
【0067】
ステップ114において、センター側認証処理部32は、登録ツール19から受信した第2チャレンジを、ステップ113にて読み出した車載器センター鍵22に通して第2レスポンスを演算し、この第2レスポンスを登録ツール19に無線送信する。ツール側認証部63は、センター20から第2レスポンスを受信すると、これを車両1に出力する。
【0068】
ステップ115において、車両側登録動作前認証部46は、登録ツール19から第2レスポンスを入力すると、この第2レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。即ち、車両1は、センター20の正当性を認証する。車両側登録動作前認証部46は、登録ツール19とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0069】
ステップ116において、車両1は、登録モードに移行し、車両側登録動作実行部47が起動する。
ステップ117において、車両側認証処理部48は、ハッシュ関数によって車載器センターテンポラリ鍵(以下、車載器センターtemp鍵66と記す)を作成する。車載器センターtemp鍵66は、センター20に送った第2チャレンジと、センター20から受け付けた第2レスポンスと、照合ECU4のメモリ15に登録された車載器センター鍵22とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。車載器センターtemp鍵66も、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。車載器センターtemp鍵66は、秘密鍵16の間違った登録を防止するために機能する鍵である。なお、車載器センターtemp鍵66が制限鍵に相当する。
【0070】
ステップ118において、センター側認証処理部32は、車両1と同様の手順により、車載器センターtemp鍵66を作成する。即ち、センター側認証処理部32は、車両1から受け付けた第2チャレンジと、自らが算出した第2レスポンスと、センター20に登録された車載器センター鍵22とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値を車載器センターtemp鍵66として算出する。
【0071】
ステップ119において、車両側認証処理部48は、車載器ID取得要求を送信部45から電子キー2に無線送信する。車載器ID取得要求は、電子キー2に車載器IDを返信させる要求信号である。
【0072】
ステップ120において、キー側認証部55は、車載器ID取得要求を受信部54で受信すると、電子キー2に登録された車載器IDを読み込む。ところで、電子キー2が既に秘密鍵登録作業の済んだキーであれば、車載器IDが登録済みである。よって、電子キー2に登録された車載器IDを確認することにより、電子キー2に秘密鍵16が登録済/未登録かを検証する。
【0073】
ステップ121において、キー側認証部55は、車載器IDを送信部14から車両1に無線送信する。このとき、電子キー2が鍵登録作業済みであれば、車載器IDが返信され、電子キー2が鍵未登録であれば、車載器IDが返信されない。
【0074】
ステップ122において、車両側認証処理部48は、電子キー2から受信した車載器IDを検証する。このとき、車両側認証処理部48は、電子キー2から受信した車載器IDと、車両1に登録された車載器IDとを比較することにより、車載器IDを検証する。そして、車両側認証処理部48は、電子キー2に車載器IDが未登録であれば、次ステップに進み、電子キー2に車載器IDが登録済みであれば、処理を終了する。
【0075】
ステップ123において、車両側認証処理部48は、電子キーID取得要求を送信部45から電子キー2に無線送信する。電子キーID取得要求は、電子キー2に電子キーIDを返信させる要求信号である。
【0076】
ステップ124において、キー側認証部55は、電子キーID取得要求を受信部54で受信すると、電子キー2に登録された電子キーIDを読み込む。
ステップ125において、キー側認証部55は、電子キー2に登録されている電子キーIDを、送信部14から車両1に無線送信する。
【0077】
ステップ126において、車両側認証処理部48は、電子キー2から受信した電子キー2を、ケーブル43を介して登録ツール19に転送する。
ステップ127において、ツール側認証部63は、車両1から電子キーIDを入力すると、第1暗号文データ67及び第1MAC(Message Authentication Code)データ68を作成する。第1暗号文データ67は、暗号アルゴリズムに、鍵であるツールセンター鍵28と、平文(車載器ID、電子キーID、第1チャレンジ)を入力して求まる暗号文により構築されている。
【0078】
第1MACデータ68は、センター20においてMAC認証を行うために使用するデータである。MAC認証は、メッセージの改竄を防止するための認証の一種であって、メッセージと鍵とを暗号用のアルゴリズムに通すことによって、認証コード、いわゆるMACを生成し、これをデータとして通信相手側に送信して認証を行うものである。MACのアルゴリズムには、例えばブロック暗号(DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等)によるもの、ハッシュ関数によるもの、専用設計されたものなどがある。第1MACデータ68は、MACアルゴリズムに、登録ツール19で生成したツールセンターtemp鍵65と、平文である第1暗号文データ67とを入力して求まる符号にて構築されている。
【0079】
また、第1暗号文データ67内の第1チャレンジは、ステップ105においてセンター20が登録ツール19に送信したチャレンジに相当する。このように、第1チャレンジを登録ツール19からセンター20に送信するのは、ステップ104の第1チャレンジと一致することを確認することにより、送信された第1暗号文データ67が、一連の処理のフローの中で作成されたものであること、つまり以前に作成された暗号文ではないことを確認するためである。
【0080】
ステップ128において、ツール側認証部63は、第1暗号文データ67及び第1MACデータ68を、センター20に無線送信する。
ステップ129において、センター側認証処理部32は、登録ツール19から受信した第1暗号文データ67及び第1MACデータ68を使用して、MAC検証及び異常ID検証を実行する。センター側認証処理部32は、センター20で生成したツールセンターtemp鍵65で第1MACデータ68を正しく復号できるか否かを確認することにより、MAC検証の成立可否を判定し、このMAC検証が成立すれば、第1暗号文データ67を正しく取得する。そして、センター側登録動作実行部31は、この第1暗号文データ67をツールセンター鍵28で復号して、車載器ID、電子キーID及び第1チャレンジを取得する。
【0081】
センター側認証処理部32は、登録ツール19から受信した車載器IDや電子キーIDを異常IDデータベース37に照らし合わせ、受信IDが異常IDとして登録されているかを確認することにより、異常ID検証を実行する。このとき、センター側認証処理部32は、第1暗号文データ67内の第1チャレンジが、ステップ105で送信した第1チャレンジと一致するか否かを確認することにより、第1暗号文データ67が正規データか否かも判定する。
【0082】
また、センター側認証処理部32は、電子キー車載器ID組み合わせ表40を参照して、取得した電子キーID及び車載器IDが正しい組み合わせかどうかを確認することにより、異常ID検証を実行する。センター側認証処理部32は、MAC検証及び異常ID検証の両方が成立することを確認すると、次ステップに移行し、MAC検証及び異常ID検証の少なくとも一方が検証成立しないことを確認すると、処理を終了する。
【0083】
ステップ130において、暗号化処理部33は、センター20のメモリ27から秘密鍵16を読み出す。暗号化処理部33は、暗号アルゴリズムに、センター20に登録された車載器センター鍵22と、平文(秘密鍵16、車載器ID、電子キーID)とを入力することにより、第2暗号文データ69を作成する。暗号化処理部33は、MACアルゴリズムに、センター20で生成した車載器センターtemp鍵66と、平文である第2暗号文データ69とを入力することにより、第2MACデータ70を作成する。
【0084】
ステップ131において、車載器登録コード出力部34は、作成した第2暗号文データ69及び第2MACデータ70を、車載器登録コードCcrとして車両1に無線送信する。
ステップ132において、車載器登録コード判定部51は、車載器登録コード取得部49で車載器登録コードCcrを取得すると、車載器登録コードCcr内の第2暗号文データ69及び第2MACデータ70を使用して、MAC検証及び車載器ID検証を実行する。このとき、まず復号化処理部50は、車両1で生成した車載器センターtemp鍵66で第2MACデータ70を復号化する。そして、車載器登録コード判定部51は、第2MACデータ70を正しく復号できるか否かを確認することにより、MAC検証の成立可否を判定し、このMAC検証が成立すれば、第2暗号文データ69を正しく取得する。
【0085】
MAC検証の成立後、復号化処理部50は、第2暗号文データ69を車載器センター鍵22で復号化する。車載器登録コード判定部51は、この復号化によって、秘密鍵16、車載器ID及び電子キーIDを取得する。そして、車載器登録コード判定部51は、復号した車載器IDを、車両1に登録された車載器IDに照らし合わせ、車載器ID検証を実行する。車載器登録コード判定部51は、MAC検証及び車載器ID検証の両方が成立することを確認すると、次ステップに移行し、MAC認証及び車載器ID検証の少なくとも一方が検証成立しないことを確認すると、処理を終了する。
【0086】
ステップ133において、車両側認証処理部48は、電子キー2とチャレンジレスポンス認証を行うために第3チャレンジを生成し、これを送信部45から電子キー2に無線送信する。
【0087】
ステップ134において、キー側認証部55は、車両1から第3チャレンジを受信すると、この第3チャレンジを、電子キー2に登録された秘密鍵16に通して第3レスポンスを演算し、この第3レスポンスを送信部14から車両1に無線送信する。
【0088】
ステップ135において、車両側認証処理部48は、電子キー2から受信した第3レスポンスを受信すると、この第3レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。車両側認証処理部48は、電子キー2とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0089】
ステップ136において、車両側認証処理部48は、電子キー2に車載器IDを登録するために、車載器IDを送信部45から無線送信する。電子キー2に車載器IDを登録しておくのは、電子キー2を車両1に対応付けておくためである。
【0090】
ステップ137において、キー側登録動作部56は、車両1から車載器IDを受信すると、これを電子キー2のメモリ11に登録する。この登録作業は、車載器IDをメモリ11に書き込むだけの処理で済む。このため、特別なICを有しない現行の電子キー2であっても、ID登録が可能である。これにより、電子キー2における登録作業が完了する。
【0091】
ステップ138において、車両側認証処理部48は、第3レスポンスの検証が成立することを確認すると、第3暗号文データ71を作成する。第3暗号文データ71は、暗号アルゴリズムに、車両1で作成した車載器センターtemp鍵66と、平文(車載器ID、電子キーID、結果)とを入力して求まる暗号文により構築されている。第3暗号文データ71内の結果は、電子キー2に車載器IDが正しく登録されたことを表す通知である。
【0092】
ステップ139において、車両側認証処理部48は、作成した第3暗号文データ71をセンター20に無線送信する。
ステップ140において、車両側登録処理部52は、第3暗号文データ71を送信した後、登録対象となっている電子キーID及び秘密鍵16を、紐付けしてメモリ15に登録する。これにより、車両1における登録作業が完了する。
【0093】
ステップ141において、センター側認証処理部32は、第3暗号文データ71を用いて、車載器ID検証及び電子キーID検証を実行する。このとき、センター側認証処理部32は、車両1から第3暗号文データ71を受信すると、センター20で作成した車載器センターtemp鍵66で第3暗号文データ71を復号化する。そして、センター側認証処理部32は、第3暗号文データ71に含まれていた車載器ID及び電子キーIDを異常IDデータベース37に照らし合わせ、これらが異常IDでないか否かを判定する。センター側認証処理部32は、車載器ID検証及び電子キーID検証が両方とも成立することを確認すると、次ステップに移行し、車載器ID検証及び電子キーID検証の少なくとも一方が成立しないことを確認すると、処理を終了する。
【0094】
ステップ142において、IDペア登録部35は、登録対象となっている車載器ID、電子キーID及び秘密鍵16を、紐付けしてメモリ27に登録する。これにより、センター20における登録作業が完了する。
【0095】
以上により、本例の場合、秘密鍵16を車両1及び電子キー2に登録するとき、まず書き込み器18によって電子キー2に秘密鍵16を書き込むとともに、同じく書き込み器18によって車両1に車載器センター鍵22を書き込んでおく。そして、センター20に秘密鍵16及び車載器センター鍵22を予め取り込んでおき、これらを暗号化して車載器登録コードCcrを生成し、これを車両1に送信する。車載器登録コードCcrを車両1が受信すると、この車載器登録コードCcrを、車両1に予め書き込んでおいた車載器センター鍵22で復号化して秘密鍵16を生成し、これを車両1に登録する。
【0096】
このため、電子キー2に秘密鍵16を登録するに際して、電子キー2には秘密鍵16を直に書き込むだけで済むので、電子キー2に復号化等の演算を課す必要なくなる。よって、秘密鍵16の登録処理の簡素化に効果が高くなる。また、電子キー2に、復号の処理に係る演算領域を設けずに済むので、電子キーの構造簡素化にも寄与する。
【0097】
また、電子キー2には、書き込み器18によって秘密鍵16が直接書き込まれる形式をとるので、仮に電子キー2がマイクロコンピュータを持たないキー(例えば、イモビライザー用キー)であっても、電子キー2に秘密鍵16を登録することが可能となる。よって、電子キー2の構造を、秘密鍵16が登録可能なハードウェア回路に変更せずに済むので、電子キー2の構造複雑化や部品コスト増を招くことがない。
【0098】
また、図14に示すように、電子キー2の登録が済んだ車両1に、サブキーとして他の電子キー2aを登録する場合、登録したい電子キー2aを用意し、この電子キー2aの秘密鍵16を車載器センター鍵22により暗号化して車両1に送信して復号化すれば、電子キー2aの秘密鍵16が車両1に登録された状態となる。即ち、どんな電子キー2であっても、秘密鍵16が登録されたキーであれば、車両1に追加登録することが可能となる。よって、本例は、この点においても効果が高いと言える。
【0099】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)車両1及び電子キー2に秘密鍵16を登録する際、電子キー2には秘密鍵16を直に書き込むだけで済むので、電子キー2に例えば復号化等の処理を課さずに済む。このため、秘密鍵16を登録する際の処理を簡素化することができ、ひいては登録作業時間を短縮することができる。また、電子キー2に秘密鍵16を登録するに際して、電子キー2に復号化等の演算が不要となれば、仮に電子キー2がマイクロコンピュータ等を搭載しないキーであっても、同キーに秘密鍵16を登録することができる。
【0100】
(2)車載器登録コードCcrを車両1に送信する際の無線通信を、車載器センター鍵22や車載器センターtemp鍵66を使用した暗号通信とするので、秘密鍵16の不正読み取り防止に効果が高くなる。
【0101】
(3)1台の車両1に複数の電子キー2を登録する場合であっても、秘密鍵16を有する電子キー2であれば、車両1に自由に登録することができる。このため、車両1に登録できる電子キー2に制限がないので、この点で効果が高いと言える。
【0102】
(4)車両1及び電子キー2への秘密鍵16の登録は、書き込み器18とセンター20とを協同させて行う。このため、秘密鍵16を盗難するには、各々から各種情報を入手しなくてはならなくなるので、秘密鍵16を盗難され難いものとすることができる。
【0103】
(5)車載器登録コードCcrは、登録時の1度のみ有効な車載器センターtemp鍵66により暗号化された情報を含んでいる。このため、車載器登録コードCcrは登録の度に毎回値が変わるものとなるので、車載器登録コードCcrを解析し難くすることができ、ひいては秘密鍵16の耐盗難性も高くすることができる。
【0104】
(6)車両1及び電子キー2に秘密鍵16を登録するには、登録ツール19を用いて、車両1及び登録ツール19の間と、登録ツール19及びセンター20の間とで、チャレンジレスポンス認証を成立させて、これらを登録モードに切り換えなければならない。よって、秘密鍵16の登録に際しては、登録モード移行への認証成立が条件となるので、秘密鍵16の不正登録を発生し難くすることができる。
【0105】
(7)秘密鍵16の登録に際しては、MAC検証の成立が必要となるので、秘密鍵16の不正登録を一層生じ難くすることができる。
(8)秘密鍵16の登録に際しては、異常ID検証が課される。このため、車載器IDや電子キーIDが異常ID、つまり盗難車両のIDや他車両に登録済みのIDの場合には、秘密鍵16の登録が不可とされるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0106】
(9)秘密鍵16の登録条件に、登録ツールIDやサービスマンIDの認証成立を含むので、秘密鍵16の不正登録を一層生じ難くすることができる。
(10)秘密鍵16の登録の際、登録ツールIDとサービスマンIDとの組み合わせを確認し、この組み合わせに異常がないことを条件に、秘密鍵16の登録が許可される。このため、これらIDの組み合わせが不適当な際には、秘密鍵16の登録が許可されないので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0107】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・電子キー2が近距離無線によってID照合を行うイモビライザーシステム用のキーの場合、このキーは、認証のみの機能を有するキーであり、それ以外の機能を持たないことが多い。しかし、本例の秘密鍵登録システム17を採用すれば、このキーにも秘密鍵16を登録することができるので、その点で効果が高いと言える。
【0108】
・電子キーシステムは、例えばキー操作フリーシステムでもよい。この場合、車両1の送信部45と、電子キー2の受信部54は、キー操作フリーシステムの通信インフラを採用してもよい。なお、キー操作フリーシステムとは、車両1からの通信を契機に狭域無線(通信距離:約数m)によって2者がID照合を行う認証システムである。
【0109】
・ワイヤレスキーシステム3で使用する電波の周波数は、LFに限らず、例えばUHF(Ultra High Frequency)等の他の周波数を使用してもよい。
・1つの電子キー2に複数の車両1(車両1のIDコード)が登録可能であってもよい。この場合、電子キー2には、予め複数の秘密鍵16が書き込まれている。そして、電子キー2に書き込まれた秘密鍵のうち、別の車両1の秘密鍵として使用する場合、未使用の秘密鍵16を、センター20から暗号化して車両1に出力し、これを車両1において復号化することで、車両1に登録する。この場合、1つの電子キー2を複数の車両1の共用キーとして使用することが可能となるので、利便性をよくすることができる。
【0110】
・センター20のネットワーク通信は、IP通信等に限らず、種々の通信形式が採用可能である。また、通信周波数も適宜変更可能である。
・登録ツール19とセンター20との通信は、車両1のG-Book通信装置44を介したものとしてもよい。また、車両1と登録ツール19との通信は、有線に限定されず、無線としてもよい。
【0111】
・ツールセンターtemp鍵65や車載器センターtemp鍵66を作成する際に用いる計算式は、必ずしもハッシュ関数に限らず、他の関数や暗号が使用可能である。
・秘密鍵登録システム17が登録モードに入るときに実行する認証は、必ずしもチャレンジレスポンス認証の成立に限定されず、他の認証方式を採用してもよい。
【0112】
・第1〜第3のチャレンジレスポンス認証は、それぞれ使用する鍵が異なることに限定されず、これらの間で同じ鍵を使用してもよい。
・ステップ129やステップ132で実行する認証は、必ずしもMAC検証に限らず、他の認証を採用してもよい。
【0113】
・暗号文を生成するときに使用する暗号方式は、AES、DES等、種々の暗号形式を採用可能である。
・システムが登録状態に入る際の条件は、必ずしも全てにおいて正否を確認できることに限定されず、例えば所定のものが他の所定のものの正否を確認できること、即ち任意の組み合わせで確認する形式を採用してもよい。
【0114】
・車両1とセンター20との通信は、G-Bookを使用した形式に限定されず、これ以外の通信形式を採用してもよい。
・車載器登録コードCcrは、センター20から車両1に直に送信されることに限定されず、登録ツール19を経由して車両1に出力してもよい。
【0115】
・車載器登録コードCcrは、必ずしも暗号文とMAC文とからなるデータに限定されず、例えば単に暗号文のみからなるデータでもよい。
・制限鍵は、必ずしも車載器センターtemp鍵であることに限定されず、要は1度の登録時のみ有効な鍵であれば、その種類は特に問わない。
【0116】
・登録作業者を確認するID認証は、必ずしもツールIDとサービスマンIDの両方の正否を見ることに限らず、例えば一方のみを見る形式を採用してもよい。
・作業者に関連するIDは、必ずしも個々のサービスマンに割り当てられるサービスマンIDに限らず、作業者が区別できる情報であればよい。
【0117】
・車載器登録用鍵は、車載器センター鍵22という名の通り、車両1とセンター20とに共有に登録される鍵であればよい。また、車載器登録用鍵は、車載器センター鍵22に限定されず、車両1とセンター20とが共に持つ鍵であればよい。
【0118】
・書き込み器18による書き込み動作は、必ずしも有線に限らず、無線により行ってもよい。また、この書き込み動作は、必ずしも製造ライン上で実行されることに限らず、実行時期はいつでもよい。なお、このことは、センター20による車載器登録コードCcrの登録に関しても同様に言える。
【0119】
次に、上記実施形態及び別例から把握できる技術的思想について、それらの効果とともに以下に追記する。
(イ)請求項1〜4のいずれかにおいて、前記車両及び前記センターが登録モードに入る前に、通信相手の正当性を確認する通信相手認証を行い、この認証が成立することを条件に、前記車両及び前記センターを前記秘密鍵の登録が可能な登録モードに切り換える登録モード切換手段を備えた。この構成によれば、秘密鍵を登録する際には、登録モード移行のための認証成立が条件となるので、秘密鍵の不正登録を生じ難くすることが可能となる。
【0120】
(ロ)請求項1〜4、前記技術的思想(イ)のいずれかにおいて、登録モードに切り換わった後、通信相手の正当性を確認し合う登録モード後認証手段を設けた。この構成によれば、登録モードに入った後にも通信相手の正否を見る認証を行うので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0121】
(ハ)請求項1〜4、前記技術的思想(イ)、(ロ)のいずれかにおいて、前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えた。この構成によれば、登録ツールや作業者の認証成立も登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0122】
(二)請求項1〜4、前記技術的思想(イ)〜(ハ)のいずれかにおいて、前記登録モード中の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えた。この構成によれば、秘密鍵の登録先である電子キーや車両等のIDが異常IDに含まれている場合には、認証が成立せず、秘密鍵の登録を行うことができない。よって、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0123】
(ホ)請求項1〜4、前記技術的思想(イ)〜(二)のいずれかにおいて、前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えた。この構成によれば、IDの組み合わせ異常がないことも登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【符号の説明】
【0124】
1…車両、2(2a)…電子キー、16…秘密鍵、17…秘密鍵登録システム、18…書き込み器、20…センター、22…車載器登録用鍵としての車載器センター鍵、23…書込手段を構成する秘密鍵書込部、24…書込手段を構成する車載器センター鍵書込部、33…コード取得手段を構成する暗号化処理部、34…コード取得手段を構成する車載器登録コード出力部、49…コード取得手段を構成する車載器登録コード取得部、51…鍵登録手段を構成する車載器登録コード判定部、52…鍵登録手段を構成する車両側登録処理部、66…制限鍵としての車載器センターtemp鍵、Ccr…車載器登録コード。
【技術分野】
【0001】
本発明は、秘密鍵の登録に使用する秘密鍵登録システム及び秘密鍵登録方法に関する。
【背景技術】
【0002】
従来から周知のように、多くの車両では、電子キーから無線送信されるキーIDにてキー照合を行う電子キーシステムが搭載されている。この種の電子キーシステムでは、電子キーから送信されるID信号が仮に傍受されても、簡単にキーIDが割り出されないようにするために、一般的に暗号通信が採用されている(特許文献1等参照)。この暗号通信としては、例えば秘密鍵暗号(共通鍵暗号)が広く使用されている。秘密鍵暗号とは、送信側の暗号鍵と、受信側の暗号鍵とが同じ鍵となっている暗号である。秘密鍵暗号には、鍵が送信と受信とで同じであるので、暗号及び復号の速度が速いという利点があり、車両の暗号通信において広く使用されている。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特開2004−300803号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
ところで、電子キーシステムに暗号通信を用いる場合、この種の暗号通信では、車両及び電子キーの両方に秘密鍵を登録する必要がある。よって、例えば製造段階や出荷段階において、製造現場やディーラ等で車両及び電子キーに秘密鍵を各々登録する必要が生じる。ところで、この秘密鍵登録の際、仮に秘密鍵が盗聴されてしまうと、車両出荷後に盗難キーIDにて不正にID照合が成立されてしまう可能性があるので、これが車両盗難の可能性に繋がる。このため、秘密鍵が盗み取られ難いセキュリティ性の高い暗号鍵の登録方式が必要とされていた。
【0005】
また、秘密鍵登録がセキュリティ性の高い登録方法をとっていたとしても、仮に登録作業が複雑であると、登録作業が非常に面倒になり、登録の作業効率が悪化してしまう懸念に繋がる。このため、秘密鍵登録時における秘密鍵の盗難防止と、秘密鍵の登録作業の簡素化とを両立することができる新たな技術の開発ニーズがあった。
【0006】
本発明の目的は、秘密鍵登録時における秘密鍵の盗み取りを生じ難くすることができ、かつ秘密鍵の登録作業も簡素化することができる秘密鍵登録システム及び秘密鍵登録方法を提供することにある。
【課題を解決するための手段】
【0007】
前記問題点を解決するために、本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む書込手段と、前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させるコード取得手段と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する鍵登録手段とを備えたことを要旨とする。
【0008】
本発明の構成によれば、車両に暗号通信用の秘密鍵を登録するには、書き込み器から秘密鍵を電子キーに直に書き込むとともに、同じく書き込み器から車載器登録用鍵を書き込んでおく。そして、センターにも同様の秘密鍵及び車載器登録用鍵を用意しておく。センターは、秘密鍵を車載器登録用鍵で暗号化して車載器登録コードを生成し、これを車両に出力する。車両は、車載器登録コードを入力すると、これを自身の車載器登録用鍵で復号化して秘密鍵を割り出し、これを自身に登録する。
【0009】
従って、本構成の場合は、車両に車載器登録用鍵を書き込んでおき、センターから車載器登録コードを送り渡す。そして、車両において車載器登録コードを車載器登録用鍵にて復号化することにより秘密鍵を取得し、これを車両に登録する。このため、車両に秘密鍵を登録する際、秘密鍵をそのままやり取りせずに済むので、秘密鍵の盗難に対するセキュリティ性を確保することが可能となる。
【0010】
また、本構成の場合は、電子キー及び車両に秘密鍵を登録する際、電子キーには秘密鍵を直に書き込むだけで済むので、電子キーに例えば復号化等の処理を課さずに済む。このため、秘密鍵を登録する際の処理を簡素化することが可能となる。また、電子キーに秘密鍵を登録するに際して、電子キーに復号化等の演算が不要となれば、仮に電子キーがマイクロコンピュータを搭載しないキーであっても、同キーに秘密鍵を登録することが可能となる。よって、この点においても効果が高いと言える。
【0011】
本発明では、前記コード取得手段は、前記車両及び前記センターの間で対応付けられた車載器センター鍵と、前記秘密鍵の登録時の1度のみ使用な制限鍵とのうち、少なくとも一方を使用した暗号により前記秘密鍵を暗号化することを要旨とする。この構成によれば、車載器登録コードを車両に出力する際の通信を、車載器センター鍵や制限鍵を使用した暗号通信とするので、秘密鍵の不正読み取り防止に効果が高くなる。
【0012】
本発明では、前記車両には、前記電子キーが複数登録可能であり、前記車両に新たな電子キーを登録する場合、前記秘密鍵が書き込まれた新たな電子キーを用意し、当該電子キーに書き込まれたものと同じ秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することにより当該車両に登録することを要旨とする。この構成によれば、1台の車両に複数の電子キーを登録する場合であっても、秘密鍵を有する電子キーであれば、車両に自由に登録することが可能となる。このため、車両に登録できる電子キーに制限がないので、この点で効果が高いと言える。
【0013】
本発明では、前記電子キーには、予め複数の秘密鍵が書き込まれており、当該電子キーに書き込まれた複数の秘密鍵のうち、未使用の秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することで該車両に登録可能とすることにより、1つの前記電子キーに前記車両が複数登録可能となっていることを要旨とする。この構成によれば、1つの電子キーで複数の車両において共通キーとして共用されるので、利便性を確保することが可能となる。
【0014】
本発明では、車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む手順と、前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させる手順と、前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する手順とを備えたことを要旨とする。
【発明の効果】
【0015】
本発明によれば、秘密鍵登録時における秘密鍵の盗み取りを生じ難くすることができ、かつ秘密鍵の登録作業も簡素化することができる。
【図面の簡単な説明】
【0016】
【図1】一実施形態の電子キーシステムの構成図。
【図2】秘密鍵登録システムの概略構成を示すブロック図。
【図3】書き込み器の構成図。
【図4】センターの構成図。
【図5】ツールサービスマンID表の概念図。
【図6】電子キー車載器ID組み合わせ表の概念図。
【図7】車両における秘密鍵登録システムの構成要素のブロック図。
【図8】電子キーにおける秘密鍵登録システムの構成要素のブロック図。
【図9】登録ツールの構成図。
【図10】秘密鍵の登録手順の概要を示すフローチャート。
【図11】図11の続きを示すフローチャート。
【図12】図12の続きを示すフローチャート。
【図13】図13の続きを示すフローチャート。
【図14】1台の車両に複数の電子キーが登録される様子を示す概念図。
【発明を実施するための形態】
【0017】
以下、本発明を具体化した秘密鍵登録システム及び秘密鍵登録方法の一実施形態を図
1〜図14に従って説明する。
図1に示すように、車両1には、電子キー2からの通信を契機に狭域通信により車両1と電子キー(ワイヤレスキー)2とがID照合(ワイヤレス照合)を行うワイヤレスキーシステム3が搭載されている。ワイヤレスキーシステム3は、電子キー2の遠隔操作によって車両ドアの施解錠を実行するものである。電子キー2は、自身が持つ固有のIDコード(以下、電子キーIDと記す)を無線により車両1に送信して、車両1にID照合を実行させることが可能なキーを言う。
【0018】
車両1には、電子キー2とID照合を行う照合ECU(Electronic Control Unit)4と、車載電装品の電源を管理するボディECU5とが設けられ、これらが車内の一ネットワークであるバス6を介して接続されている。照合ECU4には、LF(Low Frequency)帯の電波を受信可能な車両受信機7が接続されている。また、ボディECU5には、ドアロックの施解錠を実行するときの駆動源としてドアロックモータ8が接続されている。
【0019】
また、電子キー2には、電子キー2の各種動作を統括制御する通信制御部9が設けられている。この通信制御部9は、CPU10やメモリ11等から構成され、電子キー2の固有のIDとして電子キーIDがメモリ11に登録されている。通信制御部9には、電子キー2には、車両ドアの施解錠を遠隔操作する際に操作する複数の施錠ボタン12及び解錠ボタン13と、LF電波を送信可能な送信部14とが接続されている。
【0020】
例えば、施錠ボタン12が操作されると、通信制御部9は、電子キー2の電子キーIDと、車両1にドアロック施錠の動作開始を要求する機能コード(施錠要求コード)とを含んだワイヤレス信号Swlを送信部14からLF帯の信号で発信させて、狭域無線通信(ワイヤレス通信)を実行する。照合ECU4は、車両受信機7でこのワイヤレス信号Swlを受信すると、ワイヤレス信号Swl内の電子キーIDでID照合(ワイヤレス照合)を行う。照合ECU4は、ワイヤレス照合の成立を確認すると、続く施錠要求コードに従い、ボディECU5にドアロックの施錠動作を実行させる。
【0021】
ワイヤレス通信には、電子キー2から発信されるワイヤレス信号Swlを暗号化して車両1に送る暗号通信が使用されている。本例の暗号通信には、信号の送り手と受け手とで共通の暗号鍵を使用する秘密鍵暗号方式が採用されている。よって、電子キー2のメモリ11と、車両1(照合ECU4)のメモリ15とには、同じ秘密鍵16が登録されている。そして、電子キー2がワイヤレス信号Swlを発信する際には、電子キー2の秘密鍵16によって暗号化されたワイヤレス信号Swlが発信され、車両1がこのワイヤレス信号Swlを受信すると、車両1側の秘密鍵16でワイヤレス信号Swlが復号される。
【0022】
図2に示すように、車両1及び電子キー2には、これら車両1及び電子キー2に秘密鍵16を発行する秘密鍵登録システム17が設けられている。本例の秘密鍵登録システム17は、車両1と、電子キー2と、製造ライン上にセットされた書き込み器18と、車両1に接続可能なハンディタイプの登録ツール19と、ネットワーク通信網を介してセンター20との5者を協同させて、車両1及び電子キー2に秘密鍵16を登録するものである。また、本例の秘密鍵登録システム17は、書き込み器18から電子キー2に秘密鍵16を直に書き込むことにより、登録処理を簡素化したものでもある。
【0023】
図3に示すように、書き込み器18のメモリ21には、電子キー2に書き込む秘密鍵16と、車両1の照合ECU4に秘密鍵16を登録する際に使用される車載器センター鍵22とが登録されている。車載器センター鍵22は、車両1とセンター20との間で対応付けられた秘密鍵登録用の暗号鍵であって、車両1のそれぞれに対して個別に割り振られる鍵である。車載器センター鍵22は、秘密鍵16を車両1に登録するときに、照合ECU4とセンター20との間のデータやり取りで使用する。書き込み器18は、製造工場等に置かれるものであるので、秘密鍵16や車載器センター鍵22が登録されていても、これらが盗み取られる可能性は低い。なお、車載器センター鍵22が車載器登録用鍵に相当する。
【0024】
また、書き込み器18には、製造時において電子キー2に秘密鍵16を書き込む秘密鍵書込部23と、同じく製造時において車両1(照合ECU4)に車載器センター鍵22を書き込む車載器センター鍵書込部24とが設けられている。秘密鍵書込部23は、製造ライン上を流れてくる電子キー2に対し、配線25を介して、秘密鍵16を通信制御部9のIC回路に直に(有線により)注入する。車載器センター鍵書込部24は、製造ライン上を流れてくる照合ECU4に対し、配線26を介して、車載器センター鍵22を直に(有線により)注入する。なお、秘密鍵書込部23及び車載器センター鍵書込部24が書込手段を構成する。
【0025】
図4に示すように、センター20のメモリ27には、電子キー2に登録されものと同様の秘密鍵16と、照合ECU4に登録されたものと同様の車載器センター鍵22とが登録されている。秘密鍵16及び車載器センター鍵22は、書き込み器18から別途入手するか、或いは書き込み器18へ事前配布されることにより、センター20に登録されている。なお、この配布は、センター20から書き込み器18に渡す構成としてもよい。また、書き込み器18やセンター20への秘密鍵16や車載器センター鍵22の登録方法は、入力装置を用いて手入力したり、無線通信により入手したりするなど、入手方法は特に問わない。
【0026】
センター20のメモリ27には、ペア登録された車載器ID及び電子キーIDが登録されている。車載器IDは、車両1(照合ECU4)の固有値として車両1が持っている個別のIDコードである。また、電子キーIDは、各電子キー2が各々持つ固有のIDコードである。車載器ID及び電子キーIDは、製品として市場に出回ったどの車両1とどの電子キー2とでもペア登録が可能であり、ペア登録後、これらIDが関連付けられてメモリ27に登録される。
【0027】
センター20のメモリ27には、登録ツール19とセンター20との間で定義付けられた暗号鍵の一種としてツールセンター鍵28が登録されている。ツールセンター鍵28は、秘密鍵16を車両1に登録するときに、登録ツール19とセンター20との間のデータやり取りで使用する暗号鍵である。
【0028】
センター20には、車両1や登録ツール19と各種データを無線により双方向通信する無線通信部29が設けられている。無線通信部29は、例えばネットワーク通信網の一種であるIP(Internet Protocol)通信を介して、車両1や登録ツール19との無線による双方向通信が可能である。
【0029】
センター20には、登録モードに入る前に、センター20において通信相手の正当性を認証するセンター側登録動作前認証部30が設けられている。センター側登録動作前認証部30は、登録ツール19との間でチャレンジレスポンス認証が成立することを条件に、センター20の動作モードを登録モードに切り換える。チャレンジレスポンス認証は、発信の度に毎回値が変わる乱数コードをチャレンジとして認証側から受け側に送り、このチャレンジを受け側の計算式に通して計算させ、計算結果をレスポンスとして受け付ける。そして、認証側も同様にチャレンジを自身の計算式により演算してレスポンスを計算し、このレスポンスと受け側のレスポンスとが一致するか否かを見る認証である。
【0030】
センター20には、登録モードに入った後、センター20において秘密鍵16の登録動作を実施するセンター側登録動作実行部31が設けられている。センター側登録動作実行部31には、登録モード中、その時々の通信相手と各種認証処理を実行するセンター側認証処理部32が設けられている。センター側認証処理部32は、登録モード時に課された各種認証が成立することを確認すると、秘密鍵16を車載器センター鍵22にて暗号化して車両1に送信する動作を許可する。
【0031】
センター側登録動作実行部31には、秘密鍵16を暗号化する暗号化処理部33と、暗号化データを車両1に無線により出力する車載器登録コード出力部34とが設けられている。暗号化処理部33は、メモリ27内の車載器IDと電子キーIDと秘密鍵16とを、対応する車載器センター鍵22によって暗号化することにより、車載器登録コードCcrを生成する。車載器登録コードCcrは、車載器IDと電子キーIDと秘密鍵16とを情報として持ち、車両1に秘密鍵16を登録する際に必要な一条件として使用される。車載器登録コード出力部34は、暗号化処理部33が生成した車載器登録コードCcrを、無線通信部29からネットワーク通信によって車両1に無線送信する。なお、暗号化処理部33及び車載器登録コード出力部34がコード取得手段を構成する。
【0032】
センター側登録動作実行部31には、車両1及び電子キー2に正常に登録された秘密鍵16を、車両1及び電子キー2を対応付けてセンター20に登録するIDペア登録部35が設けられている。IDペア登録部35は、秘密鍵16の登録の完了を確認すると、同じ秘密鍵16が登録された車載器IDと電子キーIDとを、1つの組としてメモリ27に登録する。
【0033】
センター20のメモリ27には、サービスマンID及び登録ツールIDが登録されている。これは、秘密鍵16の登録を開始するに際して、登録作業に関わる登録ツール19及びサービスマン36の成否も確認し合い、この認証が成立することも条件とするためである。登録ツールIDは、登録ツール19の製造時において各ツールに付与される固体番号である。サービスマンIDは、例えば秘密鍵登録システム17に登録した会社や団体に属する社員(会員)の登録番号である。
【0034】
なお、サービスマンIDは、単なる登録番号のみに限らず、例えば認証情報を加えてもよい。認証情報としては、例えば予め登録しておいた英数字の羅列からなるパスワードや、或いは指紋や音声等により個人認証を行う生体情報等がある。また、本例の場合、ツールセンター鍵28は、登録ツール19のそれぞれに対して割り振られる個別の鍵となっている。
【0035】
センター20のメモリ27には、異常ID(車載器ID、電子キーID)が登録された異常IDデータベース37と、異常ツールIDが登録された異常ツールIDデータベース38とが設けられている。異常IDは、例えば盗難車両の車載器IDや、他車両に登録済みの電子キーIDである。異常ツールIDは、例えば盗難にあった登録ツール19のIDなどである。
【0036】
センター20のメモリ27には、登録ツールIDとサービスマンIDとがとるべき組み合わせが設定されたツールサービスマンID表39と、電子キーIDと車載器IDとがとるべき組み合わせが設定された電子キー車載器ID組み合わせ表40とが登録されている。ツールサービスマンID表39は、図5に示すように、どの番号群のサービスマンIDが、どの番号群の登録ツールIDに対応するのかを決めた一種の表である。電子キー車載器ID組み合わせ表40は、図6に示すように、どの番号群の電子キーIDが、どの番号群の車載器IDに対応するのかを決めた一種の表である。
【0037】
図7に示すように、照合ECU4には、製造時において書き込み器18から出力される車載器センター鍵22を取得する車載器センター鍵取得部41が設けられている。車載器センター鍵取得部41は、書き込み器18から取得した車載器センター鍵22をメモリ15に書き込む。
【0038】
車両1には、登録ツール19と各種データのやり取りを行う際のデータ入出力口としてツール接続部42が設けられている。登録ツール19は、自身から延びるケーブル43をツール接続部42に繋げることにより、車両1に接続可能となっている。照合ECU4は、このツール接続部42を介して、有線通信により登録ツール19と通信する。
【0039】
車両1には、IP通信によって車両1を外部と無線により繋ぐG−Book通信装置44が設けられている。G−Book通信装置44は、例えばバス6を介して照合ECU4と接続されている。車両1は、G−Book通信装置44を介してセンター20と無線による双方向通信が可能である。G−Book通信装置44は、センター20から発信された車載器登録コードCcrを受信可能であり、この車載器登録コードCcrを照合ECU4に供給可能となっている。
【0040】
車両1には、電子キー2に各種電波を送信する送信部45が設けられている。送信部45は、例えばLF電波を送信可能であり、登録作業時において必要な各種電波を電子キー2に送信する。
【0041】
照合ECU4には、登録モードに入る前に、車両1において通信相手の正当性を認証する車両側登録動作前認証部46が設けられている。車両側登録動作前認証部46は、登録ツール19を経由したセンター20との間のチャレンジレスポンス認証が成立することを条件に、照合ECU4の動作モードを登録モードに切り換える。
【0042】
照合ECU4には、車両1が登録モードに入った後、車両1において秘密鍵16の登録動作を実施する車両側登録動作実行部47が設けられている。車両側登録動作実行部47には、登録モード中、その時々の通信相手と各種認証を実行する車両側認証処理部48が設けられている。車両側認証処理部48は、登録モード時、電子キー2を認証したり、又は登録ツール19を経由してセンター20と認証を行ったりする。
【0043】
車両側登録動作実行部47には、センター20から車載器登録コードCcrを無線により取得する車載器登録コード取得部49と、その取得した車載器登録コードCcrを復号化する復号化処理部50と、復号化後の車載器登録コードCcrの正当性を判定する車載器登録コード判定部51とが設けられている。なお、車載器登録コード取得部49がコード取得手段を構成し、車載器登録コード判定部51が鍵登録手段を構成する。
【0044】
車載器登録コード取得部49は、センター20から発信された車載器登録コードCcrを、G−Book通信装置44を介して取得する。復号化処理部50は、車載器登録コード取得部49が取得した車載器登録コードCcrを、車載器センター鍵取得部41で取得した車載器センター鍵22により復号する。復号データは、車載器登録コードCcrに付されている車載器センター鍵22が、書き込み器18から取得した車載器センター鍵22と同一であれば、正しく復号される。車載器登録コード判定部51は、復号化処理部50によって車載器登録コードCcrを正しく復号でき、しかもその復号データに含まれる車載器IDが、車両1のものと一致するか否かを見ることにより、車載器登録コードCcrの正否を判定する。
【0045】
車両側登録動作実行部47には、車載器登録コードCcrが正しいことを条件に、車両1に秘密鍵16を登録する車両側登録処理部52が設けられている。車両側登録処理部52は、車載器登録コードCcrの正当性が確認できた際、車載器登録コードCcrに含まれる秘密鍵16を、車両1の暗号鍵としてメモリ15に書き込む。なお、車両側登録処理部52が鍵登録手段を構成する。
【0046】
図8に示すように、電子キー2の通信制御部9には、書き込み器18から出力される秘密鍵16を取得する秘密鍵取得部53が設けられている。秘密鍵取得部53は、書き込み器18から取得した秘密鍵16をメモリ15に書き込んで登録する。
【0047】
電子キー2には、キー2の外部において発信された各種電波を受信する受信部54が設けられている。受信部54は、例えばLF帯の電波を受信可能であり、この受信電波を増幅や復調等して通信制御部9に供給する。電子キー2は、この受信部54を介して、車両1からの送信電波を受信する。よって、電子キー2は、送信部14及び受信部54により、車両1と無線による双方向通信が可能である。
【0048】
通信制御部9には、電子キー2において通信相手の正当性を認証するキー側認証部55が設けられている。キー側認証部55は、現在通信相手となっている車両1の車載器IDが自身に登録されているか否かを確認したり、チャレンジレスポンス認証の成立可否を確認したりすることにより、通信相手の正当性を確認する。
【0049】
通信制御部9には、電子キー2に対応する車載器IDをメモリ11に登録するキー側登録動作部56が設けられている。キー側登録動作部56は、キー側認証部55にて各種認証が成立したことを条件に、電子キー2とペアをなす車両1の車載器IDをメモリ11に書き込む。
【0050】
図9に示すように、登録ツール19には、登録ツール19を統括制御するツール制御部57と、各種電波を送受信可能な通信部58と、例えばテンキー等からなる入力部59と、例えば液晶画面からなる表示部60とが設けられている。登録ツール19は、通信部58を介して、センター20と無線による双方向通信が可能である。また、登録ツール19は、車両1から延びるケーブル43がコネクタ61に接続される。登録ツール19は、車両1及び電子キー2に秘密鍵16を登録する際に携帯するハンディタイプをとっている。
【0051】
ツール制御部57のメモリ62には、センター20に登録されているものと同様のツールセンター鍵28が登録されている。これは、登録ツール19とセンター20とを対応付けるためである。また、ツール制御部57のメモリ62には、各登録ツール19個別の登録ツールIDや、登録ツール19に入力されたサービスマンIDが記憶されている。
【0052】
ツール制御部57には、登録ツール19において通信相手の正当性を認証するツール側認証部63が設けられている。ツール側認証部63は、ケーブル43を介して車両1と認証を実行したり、無線通信を介してセンター20と認証を実行したりする。
【0053】
ツール制御部57には、登録ツール19に登録ツールIDやサービスマンIDを登録するID登録管理部64が設けられている。ID登録管理部64は、入力部59によって入力されたり、或いは無線通信によって取り込んだりした登録ツールやサービスマンIDを、メモリ62に書き込むことによりID登録を行う。また、サービスマンIDに生体認証が含まれる場合、ID登録管理部64は生体情報も取得可能である。
【0054】
次に、本例の秘密鍵登録システム17による秘密鍵16の登録手順を、図10〜図14を用いて説明する。
まずは前提として、電子キー2の製造ラインにおいて、書き込み器18から秘密鍵16を電子キー2の通信制御部9に注入して、電子キー2に秘密鍵16を書き込んでおく。また、同様に、照合ECU4の製造ラインにおいて、書き込み器18から車載器センター鍵22を照合ECU4に注入して、照合ECU4に車載器センター鍵22を書き込んでおく。以上により、電子キー2に秘密鍵16が登録されるとともに、照合ECU4に車載器センター鍵22が登録された状態となる。
【0055】
また、サービスマン36は、例えば登録ツール19の入力部59を手入力したり、登録ツール備え付けのセンサで生体認証を取り込ませたりすることにより、登録ツール19にサービスマンIDを登録しておく。また、センター20にも、サービスマンID及び登録ツールIDを予め登録しておく。登録ツール19へのID登録は、登録ツール19のID登録管理部64によって実行される。
【0056】
続いて、車両1、電子キー2及び登録ツール19の3つを手元に用意し、車両1及び登録ツール19がセンター20と無線通信可能な態勢を整える。また、登録ツール19をケーブル43によって車両1に接続し、これに電源を入れることによって登録ツール19も登録の開始状態にし、更にはセンター20にも電源を入れて、センター20も登録の開始状態に設定する。なお、開始状態とは、実際の登録モードの前の準備段階のこととをいい、この開始状態に入る操作形式は種々のものが採用可能である。
【0057】
そして、ステップ101において、登録ツール19で入力部59を操作することにより秘密鍵16の登録操作が開始されると、ツール側認証部63は、登録操作開始の通知として、有線接続コマンドを照合ECU4に出力する。
【0058】
ステップ102において、車両側登録動作前認証部46は、この有線接続コマンドを入力すると起動し、その応答として、車載器IDを登録ツール19に送信する。
ステップ103において、ツール側認証部63は、車両1から車載器IDを取得すると、これをメモリ62に一旦保持するとともに、センター20に秘密鍵登録を開始させる登録要求と、メモリ62に登録された登録ツールID及びサービスマンIDとを、無線通信によりセンター20に送信する。
【0059】
ステップ104において、センター側登録動作前認証部30は、登録ツール19から登録要求を受け付けると起動し、登録ツールID及びサービスマンIDを検証する。このとき、センター側登録動作前認証部30は、受け付けた登録ツールID及びサービスマンIDがメモリ27に登録されているものかを確認する。また、センター側登録動作前認証部30は、異常ツールIDデータベース38を参照して、取得した登録ツールIDが異常IDとなっていないかを確認する。さらに、センター側登録動作前認証部30は、ツールサービスマンID表39を参照して、取得した登録ツールID及びサービスマンIDが正しい組み合わせをとるかどうかも確認する。センター側登録動作前認証部30は、これら検証が全て成立することを確認すると、次ステップに移行し、検証が1つでも不成立になることを確認すると処理を終了する。
【0060】
ステップ105において、センター側登録動作前認証部30は、ツールセンター鍵28によるチャレンジレスポンス認証を登録ツール19と開始する。このとき、センター側登録動作前認証部30は、登録ツール19に第1チャレンジを送信する。第1チャレンジは、送信の度に毎回値が異なる乱数コードである。
【0061】
ステップ106において、ツール側認証部63は、センター20から第1チャレンジを受信すると、この第1チャレンジを、登録ツール19に登録されたツールセンター鍵28に通して第1レスポンスを演算し、この第1レスポンスをセンター20に送信する。
【0062】
ステップ107において、センター側登録動作前認証部30は、登録ツール19から第1レスポンスを受信すると、受け付けた第1レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。即ち、センター20は、登録ツール19の正当性を認証する。センター側登録動作前認証部30は、登録ツール19とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0063】
ステップ108において、センター20は、登録モードに移行し、センター側登録動作実行部31が起動する。
ステップ109において、センター側認証処理部32は、ハッシュ関数によりツールセンターテンポラリ鍵(以下、ツールセンターtemp鍵65と記す)を作成する。ツールセンターtemp鍵65は、登録ツール19に送った第1チャレンジと、登録ツール19から受け付けた第1レスポンスと、センター20のメモリ27に登録されたツールセンター鍵28とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。ツールセンターtemp鍵65は、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。このツールセンターtemp鍵65は、秘密鍵16の間違った登録を防止するために機能する鍵である。
【0064】
ステップ110において、ツール側認証部63は、センター20と同様の手順により、ツールセンターtemp鍵65を作成する。即ち、ツール側認証部63は、センター20から受け付けた第1チャレンジと、自らが算出した第1レスポンスと、登録ツール19に登録されたツールセンター鍵28とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値をツールセンターtemp鍵65として算出する。
【0065】
ステップ111において、ツール側認証部63は、ツールセンターtemp鍵65を作成すると、車両1の照合ECU4に登録モード移行要求を出力する。
ステップ112において、車両側登録動作前認証部46は、登録ツール19から登録モード移行要求を入力すると、照合ECU4に登録された車載器IDを登録ツール19に出力する。このとき、車両側登録動作前認証部46は、車載器センター鍵22によるチャレンジレスポンス認証も開始し、車載器IDとともに第2チャレンジを登録ツール19に出力する。ツール側認証部63は、車両1から車載器ID及び第2チャレンジを入力すると、これらをセンター20に無線送信する。
【0066】
ステップ113において、センター側認証処理部32は、登録ツール19から車載器ID及び第2チャレンジを受信すると、まずはセンター20のメモリ27を参照して、車載器IDに対応する車載器センター鍵22を読み出す。ところで、車載器センター鍵22は、各車両1の固有値であり、同じく車両1の固有値である車載器IDと、一義的に対応付けられる。よって、車載器IDが分かれば、この車載器IDに対応する車載器センター鍵22を読み出すことが可能である。よって、センター側認証処理部32は、受信した車載器IDを手掛かりに、これと対応する車載器センター鍵22を読み出す。
【0067】
ステップ114において、センター側認証処理部32は、登録ツール19から受信した第2チャレンジを、ステップ113にて読み出した車載器センター鍵22に通して第2レスポンスを演算し、この第2レスポンスを登録ツール19に無線送信する。ツール側認証部63は、センター20から第2レスポンスを受信すると、これを車両1に出力する。
【0068】
ステップ115において、車両側登録動作前認証部46は、登録ツール19から第2レスポンスを入力すると、この第2レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。即ち、車両1は、センター20の正当性を認証する。車両側登録動作前認証部46は、登録ツール19とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0069】
ステップ116において、車両1は、登録モードに移行し、車両側登録動作実行部47が起動する。
ステップ117において、車両側認証処理部48は、ハッシュ関数によって車載器センターテンポラリ鍵(以下、車載器センターtemp鍵66と記す)を作成する。車載器センターtemp鍵66は、センター20に送った第2チャレンジと、センター20から受け付けた第2レスポンスと、照合ECU4のメモリ15に登録された車載器センター鍵22とを、ハッシュ関数に入力することにより求まるハッシュ値により構築されている。車載器センターtemp鍵66も、登録の際に毎回異なる値で作成され、登録時の1度のみ使用が有効な鍵となっている。車載器センターtemp鍵66は、秘密鍵16の間違った登録を防止するために機能する鍵である。なお、車載器センターtemp鍵66が制限鍵に相当する。
【0070】
ステップ118において、センター側認証処理部32は、車両1と同様の手順により、車載器センターtemp鍵66を作成する。即ち、センター側認証処理部32は、車両1から受け付けた第2チャレンジと、自らが算出した第2レスポンスと、センター20に登録された車載器センター鍵22とを、ハッシュ関数に通すことによりハッシュ値を求め、このハッシュ値を車載器センターtemp鍵66として算出する。
【0071】
ステップ119において、車両側認証処理部48は、車載器ID取得要求を送信部45から電子キー2に無線送信する。車載器ID取得要求は、電子キー2に車載器IDを返信させる要求信号である。
【0072】
ステップ120において、キー側認証部55は、車載器ID取得要求を受信部54で受信すると、電子キー2に登録された車載器IDを読み込む。ところで、電子キー2が既に秘密鍵登録作業の済んだキーであれば、車載器IDが登録済みである。よって、電子キー2に登録された車載器IDを確認することにより、電子キー2に秘密鍵16が登録済/未登録かを検証する。
【0073】
ステップ121において、キー側認証部55は、車載器IDを送信部14から車両1に無線送信する。このとき、電子キー2が鍵登録作業済みであれば、車載器IDが返信され、電子キー2が鍵未登録であれば、車載器IDが返信されない。
【0074】
ステップ122において、車両側認証処理部48は、電子キー2から受信した車載器IDを検証する。このとき、車両側認証処理部48は、電子キー2から受信した車載器IDと、車両1に登録された車載器IDとを比較することにより、車載器IDを検証する。そして、車両側認証処理部48は、電子キー2に車載器IDが未登録であれば、次ステップに進み、電子キー2に車載器IDが登録済みであれば、処理を終了する。
【0075】
ステップ123において、車両側認証処理部48は、電子キーID取得要求を送信部45から電子キー2に無線送信する。電子キーID取得要求は、電子キー2に電子キーIDを返信させる要求信号である。
【0076】
ステップ124において、キー側認証部55は、電子キーID取得要求を受信部54で受信すると、電子キー2に登録された電子キーIDを読み込む。
ステップ125において、キー側認証部55は、電子キー2に登録されている電子キーIDを、送信部14から車両1に無線送信する。
【0077】
ステップ126において、車両側認証処理部48は、電子キー2から受信した電子キー2を、ケーブル43を介して登録ツール19に転送する。
ステップ127において、ツール側認証部63は、車両1から電子キーIDを入力すると、第1暗号文データ67及び第1MAC(Message Authentication Code)データ68を作成する。第1暗号文データ67は、暗号アルゴリズムに、鍵であるツールセンター鍵28と、平文(車載器ID、電子キーID、第1チャレンジ)を入力して求まる暗号文により構築されている。
【0078】
第1MACデータ68は、センター20においてMAC認証を行うために使用するデータである。MAC認証は、メッセージの改竄を防止するための認証の一種であって、メッセージと鍵とを暗号用のアルゴリズムに通すことによって、認証コード、いわゆるMACを生成し、これをデータとして通信相手側に送信して認証を行うものである。MACのアルゴリズムには、例えばブロック暗号(DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等)によるもの、ハッシュ関数によるもの、専用設計されたものなどがある。第1MACデータ68は、MACアルゴリズムに、登録ツール19で生成したツールセンターtemp鍵65と、平文である第1暗号文データ67とを入力して求まる符号にて構築されている。
【0079】
また、第1暗号文データ67内の第1チャレンジは、ステップ105においてセンター20が登録ツール19に送信したチャレンジに相当する。このように、第1チャレンジを登録ツール19からセンター20に送信するのは、ステップ104の第1チャレンジと一致することを確認することにより、送信された第1暗号文データ67が、一連の処理のフローの中で作成されたものであること、つまり以前に作成された暗号文ではないことを確認するためである。
【0080】
ステップ128において、ツール側認証部63は、第1暗号文データ67及び第1MACデータ68を、センター20に無線送信する。
ステップ129において、センター側認証処理部32は、登録ツール19から受信した第1暗号文データ67及び第1MACデータ68を使用して、MAC検証及び異常ID検証を実行する。センター側認証処理部32は、センター20で生成したツールセンターtemp鍵65で第1MACデータ68を正しく復号できるか否かを確認することにより、MAC検証の成立可否を判定し、このMAC検証が成立すれば、第1暗号文データ67を正しく取得する。そして、センター側登録動作実行部31は、この第1暗号文データ67をツールセンター鍵28で復号して、車載器ID、電子キーID及び第1チャレンジを取得する。
【0081】
センター側認証処理部32は、登録ツール19から受信した車載器IDや電子キーIDを異常IDデータベース37に照らし合わせ、受信IDが異常IDとして登録されているかを確認することにより、異常ID検証を実行する。このとき、センター側認証処理部32は、第1暗号文データ67内の第1チャレンジが、ステップ105で送信した第1チャレンジと一致するか否かを確認することにより、第1暗号文データ67が正規データか否かも判定する。
【0082】
また、センター側認証処理部32は、電子キー車載器ID組み合わせ表40を参照して、取得した電子キーID及び車載器IDが正しい組み合わせかどうかを確認することにより、異常ID検証を実行する。センター側認証処理部32は、MAC検証及び異常ID検証の両方が成立することを確認すると、次ステップに移行し、MAC検証及び異常ID検証の少なくとも一方が検証成立しないことを確認すると、処理を終了する。
【0083】
ステップ130において、暗号化処理部33は、センター20のメモリ27から秘密鍵16を読み出す。暗号化処理部33は、暗号アルゴリズムに、センター20に登録された車載器センター鍵22と、平文(秘密鍵16、車載器ID、電子キーID)とを入力することにより、第2暗号文データ69を作成する。暗号化処理部33は、MACアルゴリズムに、センター20で生成した車載器センターtemp鍵66と、平文である第2暗号文データ69とを入力することにより、第2MACデータ70を作成する。
【0084】
ステップ131において、車載器登録コード出力部34は、作成した第2暗号文データ69及び第2MACデータ70を、車載器登録コードCcrとして車両1に無線送信する。
ステップ132において、車載器登録コード判定部51は、車載器登録コード取得部49で車載器登録コードCcrを取得すると、車載器登録コードCcr内の第2暗号文データ69及び第2MACデータ70を使用して、MAC検証及び車載器ID検証を実行する。このとき、まず復号化処理部50は、車両1で生成した車載器センターtemp鍵66で第2MACデータ70を復号化する。そして、車載器登録コード判定部51は、第2MACデータ70を正しく復号できるか否かを確認することにより、MAC検証の成立可否を判定し、このMAC検証が成立すれば、第2暗号文データ69を正しく取得する。
【0085】
MAC検証の成立後、復号化処理部50は、第2暗号文データ69を車載器センター鍵22で復号化する。車載器登録コード判定部51は、この復号化によって、秘密鍵16、車載器ID及び電子キーIDを取得する。そして、車載器登録コード判定部51は、復号した車載器IDを、車両1に登録された車載器IDに照らし合わせ、車載器ID検証を実行する。車載器登録コード判定部51は、MAC検証及び車載器ID検証の両方が成立することを確認すると、次ステップに移行し、MAC認証及び車載器ID検証の少なくとも一方が検証成立しないことを確認すると、処理を終了する。
【0086】
ステップ133において、車両側認証処理部48は、電子キー2とチャレンジレスポンス認証を行うために第3チャレンジを生成し、これを送信部45から電子キー2に無線送信する。
【0087】
ステップ134において、キー側認証部55は、車両1から第3チャレンジを受信すると、この第3チャレンジを、電子キー2に登録された秘密鍵16に通して第3レスポンスを演算し、この第3レスポンスを送信部14から車両1に無線送信する。
【0088】
ステップ135において、車両側認証処理部48は、電子キー2から受信した第3レスポンスを受信すると、この第3レスポンスと、自身も同様に演算したレスポンスとを比較することにより、レスポンス検証を実行する。車両側認証処理部48は、電子キー2とのチャレンジレスポンス認証が成立することを確認すると、次ステップに移行し、チャレンジレスポンス認証が成立しないことを確認すると、処理を終了する。
【0089】
ステップ136において、車両側認証処理部48は、電子キー2に車載器IDを登録するために、車載器IDを送信部45から無線送信する。電子キー2に車載器IDを登録しておくのは、電子キー2を車両1に対応付けておくためである。
【0090】
ステップ137において、キー側登録動作部56は、車両1から車載器IDを受信すると、これを電子キー2のメモリ11に登録する。この登録作業は、車載器IDをメモリ11に書き込むだけの処理で済む。このため、特別なICを有しない現行の電子キー2であっても、ID登録が可能である。これにより、電子キー2における登録作業が完了する。
【0091】
ステップ138において、車両側認証処理部48は、第3レスポンスの検証が成立することを確認すると、第3暗号文データ71を作成する。第3暗号文データ71は、暗号アルゴリズムに、車両1で作成した車載器センターtemp鍵66と、平文(車載器ID、電子キーID、結果)とを入力して求まる暗号文により構築されている。第3暗号文データ71内の結果は、電子キー2に車載器IDが正しく登録されたことを表す通知である。
【0092】
ステップ139において、車両側認証処理部48は、作成した第3暗号文データ71をセンター20に無線送信する。
ステップ140において、車両側登録処理部52は、第3暗号文データ71を送信した後、登録対象となっている電子キーID及び秘密鍵16を、紐付けしてメモリ15に登録する。これにより、車両1における登録作業が完了する。
【0093】
ステップ141において、センター側認証処理部32は、第3暗号文データ71を用いて、車載器ID検証及び電子キーID検証を実行する。このとき、センター側認証処理部32は、車両1から第3暗号文データ71を受信すると、センター20で作成した車載器センターtemp鍵66で第3暗号文データ71を復号化する。そして、センター側認証処理部32は、第3暗号文データ71に含まれていた車載器ID及び電子キーIDを異常IDデータベース37に照らし合わせ、これらが異常IDでないか否かを判定する。センター側認証処理部32は、車載器ID検証及び電子キーID検証が両方とも成立することを確認すると、次ステップに移行し、車載器ID検証及び電子キーID検証の少なくとも一方が成立しないことを確認すると、処理を終了する。
【0094】
ステップ142において、IDペア登録部35は、登録対象となっている車載器ID、電子キーID及び秘密鍵16を、紐付けしてメモリ27に登録する。これにより、センター20における登録作業が完了する。
【0095】
以上により、本例の場合、秘密鍵16を車両1及び電子キー2に登録するとき、まず書き込み器18によって電子キー2に秘密鍵16を書き込むとともに、同じく書き込み器18によって車両1に車載器センター鍵22を書き込んでおく。そして、センター20に秘密鍵16及び車載器センター鍵22を予め取り込んでおき、これらを暗号化して車載器登録コードCcrを生成し、これを車両1に送信する。車載器登録コードCcrを車両1が受信すると、この車載器登録コードCcrを、車両1に予め書き込んでおいた車載器センター鍵22で復号化して秘密鍵16を生成し、これを車両1に登録する。
【0096】
このため、電子キー2に秘密鍵16を登録するに際して、電子キー2には秘密鍵16を直に書き込むだけで済むので、電子キー2に復号化等の演算を課す必要なくなる。よって、秘密鍵16の登録処理の簡素化に効果が高くなる。また、電子キー2に、復号の処理に係る演算領域を設けずに済むので、電子キーの構造簡素化にも寄与する。
【0097】
また、電子キー2には、書き込み器18によって秘密鍵16が直接書き込まれる形式をとるので、仮に電子キー2がマイクロコンピュータを持たないキー(例えば、イモビライザー用キー)であっても、電子キー2に秘密鍵16を登録することが可能となる。よって、電子キー2の構造を、秘密鍵16が登録可能なハードウェア回路に変更せずに済むので、電子キー2の構造複雑化や部品コスト増を招くことがない。
【0098】
また、図14に示すように、電子キー2の登録が済んだ車両1に、サブキーとして他の電子キー2aを登録する場合、登録したい電子キー2aを用意し、この電子キー2aの秘密鍵16を車載器センター鍵22により暗号化して車両1に送信して復号化すれば、電子キー2aの秘密鍵16が車両1に登録された状態となる。即ち、どんな電子キー2であっても、秘密鍵16が登録されたキーであれば、車両1に追加登録することが可能となる。よって、本例は、この点においても効果が高いと言える。
【0099】
本実施形態の構成によれば、以下に記載の効果を得ることができる。
(1)車両1及び電子キー2に秘密鍵16を登録する際、電子キー2には秘密鍵16を直に書き込むだけで済むので、電子キー2に例えば復号化等の処理を課さずに済む。このため、秘密鍵16を登録する際の処理を簡素化することができ、ひいては登録作業時間を短縮することができる。また、電子キー2に秘密鍵16を登録するに際して、電子キー2に復号化等の演算が不要となれば、仮に電子キー2がマイクロコンピュータ等を搭載しないキーであっても、同キーに秘密鍵16を登録することができる。
【0100】
(2)車載器登録コードCcrを車両1に送信する際の無線通信を、車載器センター鍵22や車載器センターtemp鍵66を使用した暗号通信とするので、秘密鍵16の不正読み取り防止に効果が高くなる。
【0101】
(3)1台の車両1に複数の電子キー2を登録する場合であっても、秘密鍵16を有する電子キー2であれば、車両1に自由に登録することができる。このため、車両1に登録できる電子キー2に制限がないので、この点で効果が高いと言える。
【0102】
(4)車両1及び電子キー2への秘密鍵16の登録は、書き込み器18とセンター20とを協同させて行う。このため、秘密鍵16を盗難するには、各々から各種情報を入手しなくてはならなくなるので、秘密鍵16を盗難され難いものとすることができる。
【0103】
(5)車載器登録コードCcrは、登録時の1度のみ有効な車載器センターtemp鍵66により暗号化された情報を含んでいる。このため、車載器登録コードCcrは登録の度に毎回値が変わるものとなるので、車載器登録コードCcrを解析し難くすることができ、ひいては秘密鍵16の耐盗難性も高くすることができる。
【0104】
(6)車両1及び電子キー2に秘密鍵16を登録するには、登録ツール19を用いて、車両1及び登録ツール19の間と、登録ツール19及びセンター20の間とで、チャレンジレスポンス認証を成立させて、これらを登録モードに切り換えなければならない。よって、秘密鍵16の登録に際しては、登録モード移行への認証成立が条件となるので、秘密鍵16の不正登録を発生し難くすることができる。
【0105】
(7)秘密鍵16の登録に際しては、MAC検証の成立が必要となるので、秘密鍵16の不正登録を一層生じ難くすることができる。
(8)秘密鍵16の登録に際しては、異常ID検証が課される。このため、車載器IDや電子キーIDが異常ID、つまり盗難車両のIDや他車両に登録済みのIDの場合には、秘密鍵16の登録が不可とされるので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0106】
(9)秘密鍵16の登録条件に、登録ツールIDやサービスマンIDの認証成立を含むので、秘密鍵16の不正登録を一層生じ難くすることができる。
(10)秘密鍵16の登録の際、登録ツールIDとサービスマンIDとの組み合わせを確認し、この組み合わせに異常がないことを条件に、秘密鍵16の登録が許可される。このため、これらIDの組み合わせが不適当な際には、秘密鍵16の登録が許可されないので、秘密鍵16の不正登録を一層生じ難くすることができる。
【0107】
なお、実施形態はこれまでに述べた構成に限らず、以下の態様に変更してもよい。
・電子キー2が近距離無線によってID照合を行うイモビライザーシステム用のキーの場合、このキーは、認証のみの機能を有するキーであり、それ以外の機能を持たないことが多い。しかし、本例の秘密鍵登録システム17を採用すれば、このキーにも秘密鍵16を登録することができるので、その点で効果が高いと言える。
【0108】
・電子キーシステムは、例えばキー操作フリーシステムでもよい。この場合、車両1の送信部45と、電子キー2の受信部54は、キー操作フリーシステムの通信インフラを採用してもよい。なお、キー操作フリーシステムとは、車両1からの通信を契機に狭域無線(通信距離:約数m)によって2者がID照合を行う認証システムである。
【0109】
・ワイヤレスキーシステム3で使用する電波の周波数は、LFに限らず、例えばUHF(Ultra High Frequency)等の他の周波数を使用してもよい。
・1つの電子キー2に複数の車両1(車両1のIDコード)が登録可能であってもよい。この場合、電子キー2には、予め複数の秘密鍵16が書き込まれている。そして、電子キー2に書き込まれた秘密鍵のうち、別の車両1の秘密鍵として使用する場合、未使用の秘密鍵16を、センター20から暗号化して車両1に出力し、これを車両1において復号化することで、車両1に登録する。この場合、1つの電子キー2を複数の車両1の共用キーとして使用することが可能となるので、利便性をよくすることができる。
【0110】
・センター20のネットワーク通信は、IP通信等に限らず、種々の通信形式が採用可能である。また、通信周波数も適宜変更可能である。
・登録ツール19とセンター20との通信は、車両1のG-Book通信装置44を介したものとしてもよい。また、車両1と登録ツール19との通信は、有線に限定されず、無線としてもよい。
【0111】
・ツールセンターtemp鍵65や車載器センターtemp鍵66を作成する際に用いる計算式は、必ずしもハッシュ関数に限らず、他の関数や暗号が使用可能である。
・秘密鍵登録システム17が登録モードに入るときに実行する認証は、必ずしもチャレンジレスポンス認証の成立に限定されず、他の認証方式を採用してもよい。
【0112】
・第1〜第3のチャレンジレスポンス認証は、それぞれ使用する鍵が異なることに限定されず、これらの間で同じ鍵を使用してもよい。
・ステップ129やステップ132で実行する認証は、必ずしもMAC検証に限らず、他の認証を採用してもよい。
【0113】
・暗号文を生成するときに使用する暗号方式は、AES、DES等、種々の暗号形式を採用可能である。
・システムが登録状態に入る際の条件は、必ずしも全てにおいて正否を確認できることに限定されず、例えば所定のものが他の所定のものの正否を確認できること、即ち任意の組み合わせで確認する形式を採用してもよい。
【0114】
・車両1とセンター20との通信は、G-Bookを使用した形式に限定されず、これ以外の通信形式を採用してもよい。
・車載器登録コードCcrは、センター20から車両1に直に送信されることに限定されず、登録ツール19を経由して車両1に出力してもよい。
【0115】
・車載器登録コードCcrは、必ずしも暗号文とMAC文とからなるデータに限定されず、例えば単に暗号文のみからなるデータでもよい。
・制限鍵は、必ずしも車載器センターtemp鍵であることに限定されず、要は1度の登録時のみ有効な鍵であれば、その種類は特に問わない。
【0116】
・登録作業者を確認するID認証は、必ずしもツールIDとサービスマンIDの両方の正否を見ることに限らず、例えば一方のみを見る形式を採用してもよい。
・作業者に関連するIDは、必ずしも個々のサービスマンに割り当てられるサービスマンIDに限らず、作業者が区別できる情報であればよい。
【0117】
・車載器登録用鍵は、車載器センター鍵22という名の通り、車両1とセンター20とに共有に登録される鍵であればよい。また、車載器登録用鍵は、車載器センター鍵22に限定されず、車両1とセンター20とが共に持つ鍵であればよい。
【0118】
・書き込み器18による書き込み動作は、必ずしも有線に限らず、無線により行ってもよい。また、この書き込み動作は、必ずしも製造ライン上で実行されることに限らず、実行時期はいつでもよい。なお、このことは、センター20による車載器登録コードCcrの登録に関しても同様に言える。
【0119】
次に、上記実施形態及び別例から把握できる技術的思想について、それらの効果とともに以下に追記する。
(イ)請求項1〜4のいずれかにおいて、前記車両及び前記センターが登録モードに入る前に、通信相手の正当性を確認する通信相手認証を行い、この認証が成立することを条件に、前記車両及び前記センターを前記秘密鍵の登録が可能な登録モードに切り換える登録モード切換手段を備えた。この構成によれば、秘密鍵を登録する際には、登録モード移行のための認証成立が条件となるので、秘密鍵の不正登録を生じ難くすることが可能となる。
【0120】
(ロ)請求項1〜4、前記技術的思想(イ)のいずれかにおいて、登録モードに切り換わった後、通信相手の正当性を確認し合う登録モード後認証手段を設けた。この構成によれば、登録モードに入った後にも通信相手の正否を見る認証を行うので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0121】
(ハ)請求項1〜4、前記技術的思想(イ)、(ロ)のいずれかにおいて、前記登録を行う際の操作端末である登録ツールと、前記登録の作業を行う作業者とのうち、少なくとも一方を認証し、当該認証が成立することを条件に、前記秘密鍵の登録を許可する登録作業関連情報認証手段を備えた。この構成によれば、登録ツールや作業者の認証成立も登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0122】
(二)請求項1〜4、前記技術的思想(イ)〜(ハ)のいずれかにおいて、前記登録モード中の各認証の際、通信相手のIDが異常IDに含まれるものであれば、前記認証の成立を不可とする排除手段を備えた。この構成によれば、秘密鍵の登録先である電子キーや車両等のIDが異常IDに含まれている場合には、認証が成立せず、秘密鍵の登録を行うことができない。よって、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【0123】
(ホ)請求項1〜4、前記技術的思想(イ)〜(二)のいずれかにおいて、前記秘密鍵の登録時において取得する各種IDが、予め決められた組み合わせをとらない場合に、前記認証の成立を不可とする組み合わせ異常確認手段を備えた。この構成によれば、IDの組み合わせ異常がないことも登録実行の条件となるので、秘密鍵の不正登録を一層生じ難くすることが可能となる。
【符号の説明】
【0124】
1…車両、2(2a)…電子キー、16…秘密鍵、17…秘密鍵登録システム、18…書き込み器、20…センター、22…車載器登録用鍵としての車載器センター鍵、23…書込手段を構成する秘密鍵書込部、24…書込手段を構成する車載器センター鍵書込部、33…コード取得手段を構成する暗号化処理部、34…コード取得手段を構成する車載器登録コード出力部、49…コード取得手段を構成する車載器登録コード取得部、51…鍵登録手段を構成する車載器登録コード判定部、52…鍵登録手段を構成する車両側登録処理部、66…制限鍵としての車載器センターtemp鍵、Ccr…車載器登録コード。
【特許請求の範囲】
【請求項1】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む書込手段と、
前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させるコード取得手段と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する鍵登録手段と
を備えたことを特徴とする秘密鍵登録システム。
【請求項2】
前記コード取得手段は、前記車両及び前記センターの間で対応付けられた車載器センター鍵と、前記秘密鍵の登録時の1度のみ使用な制限鍵とのうち、少なくとも一方を使用した暗号により前記秘密鍵を暗号化する
ことを特徴とする請求項1に記載の秘密鍵登録システム。
【請求項3】
前記車両には、前記電子キーが複数登録可能であり、前記車両に新たな電子キーを登録する場合、前記秘密鍵が書き込まれた新たな電子キーを用意し、当該電子キーに書き込まれたものと同じ秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することにより当該車両に登録する
ことを特徴とする請求項1又は2に記載の秘密鍵登録システム。
【請求項4】
前記電子キーには、予め複数の秘密鍵が書き込まれており、当該電子キーに書き込まれた複数の秘密鍵のうち、未使用の秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することで該車両に登録可能とすることにより、1つの前記電子キーに前記車両が複数登録可能となっている
ことを特徴とする請求項1〜3のうちいずれか一項に記載の秘密鍵登録システム。
【請求項5】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む手順と、
前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させる手順と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する手順と
を備えたことを特徴とする秘密鍵登録方法。
【請求項1】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録システムにおいて、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む書込手段と、
前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させるコード取得手段と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する鍵登録手段と
を備えたことを特徴とする秘密鍵登録システム。
【請求項2】
前記コード取得手段は、前記車両及び前記センターの間で対応付けられた車載器センター鍵と、前記秘密鍵の登録時の1度のみ使用な制限鍵とのうち、少なくとも一方を使用した暗号により前記秘密鍵を暗号化する
ことを特徴とする請求項1に記載の秘密鍵登録システム。
【請求項3】
前記車両には、前記電子キーが複数登録可能であり、前記車両に新たな電子キーを登録する場合、前記秘密鍵が書き込まれた新たな電子キーを用意し、当該電子キーに書き込まれたものと同じ秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することにより当該車両に登録する
ことを特徴とする請求項1又は2に記載の秘密鍵登録システム。
【請求項4】
前記電子キーには、予め複数の秘密鍵が書き込まれており、当該電子キーに書き込まれた複数の秘密鍵のうち、未使用の秘密鍵を、前記センターから暗号化して前記車両に出力し、当該秘密鍵を前記車両において復号化することで該車両に登録可能とすることにより、1つの前記電子キーに前記車両が複数登録可能となっている
ことを特徴とする請求項1〜3のうちいずれか一項に記載の秘密鍵登録システム。
【請求項5】
車両及びその電子キーの2者に各種情報を書き込み可能な書き込み器を使用し、これら2者間の暗号通信用の秘密鍵を当該2者に登録する秘密鍵登録方法において、
前記車両に前記秘密鍵を登録するための鍵として車載器登録用鍵を前記書き込み器にて前記車両に書き込むとともに、前記電子キーに前記秘密鍵を前記書き込み器にて直接書き込む手順と、
前記秘密鍵の発行を主に管理するセンターにおいて、当該センターが持つ前記秘密鍵を、同じく該センターが持つ前記車載器登録用鍵により暗号化して車載器登録コードを生成し、これを前記車両に取得させる手順と、
前記車両において前記車載器登録コードを前記車載器登録用鍵により復号して前記秘密鍵を生成し、これを前記車両に登録する手順と
を備えたことを特徴とする秘密鍵登録方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公開番号】特開2013−55420(P2013−55420A)
【公開日】平成25年3月21日(2013.3.21)
【国際特許分類】
【出願番号】特願2011−190890(P2011−190890)
【出願日】平成23年9月1日(2011.9.1)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【Fターム(参考)】
【公開日】平成25年3月21日(2013.3.21)
【国際特許分類】
【出願日】平成23年9月1日(2011.9.1)
【出願人】(000003551)株式会社東海理化電機製作所 (3,198)
【Fターム(参考)】
[ Back to top ]