电子钥匙系统以及电子钥匙使用方法

专利名称：电子钥匙系统以及电子钥匙使用方法
技术领域：
本发明涉及一种电子钥匙系统以及电子钥匙使用方法，用于将电子钥匙存储于IC卡等器件内，并判断可否提供各种服务。本发明尤其涉及在多个使用者之间共用电子钥匙的电子钥匙方法和电子钥匙系统。
背景技术：
作为判断可否提供各种服务的设备，公开了使用存储于IC卡内的电子钥匙的一种服务提供方法(特开2002-279360)。具体而言，将所预约旅馆的房屋、或者租用汽车的钥匙作为电子钥匙存储于IC卡内，然后设置于服务提供场所内的判断可否提供服务的装置，从该IC卡内读出电子钥匙，在判断所读出的电子钥匙信息为正当的情况下，进行门的开锁等。
另外，还公开了一种从IC卡内读出电子钥匙、判断电子钥匙的信息的正当性、并判断可否提供服务的装置(参见特开2002-279360号公报以及特开平7-233663号公报)。
在上述已有技术中，没有公开多个使用者共用电子钥匙来共同使用服务的方法。作为共用电子钥匙的简单方法，自然可考虑将同一电子钥匙复制到使用者所持有的IC卡内，来共用电子钥匙的方法，但是这种方法产生了以下问题。例如，在复制有相同电子钥匙的IC卡中的任何一个丢失或是被盗的情况下，为了防止不正当使用被丢失等的IC卡，必须令该电子钥匙在服务提供者装置内成为无效。但是，在相同的多个电子钥匙中的任何一个成为无效的情况下，其它剩余的电子钥匙也全会变为无效。

发明内容
本发明是考虑了上述情况而作出的，本发明的目的是即便把使用者所共用的电子钥匙的一部分变为无效的情况下，其它电子钥匙不一定成为无效。
为了解决上述问题，本发明于将由作为第1识别符的主ID数据以及作为第2识别符的子ID数据所构成的电子钥匙数据存储到使用者所持有的IC卡等使用者模块内，而且在判断可否利用服务的服务提供设备内，有服务许可表和服务拒绝表这2个表，由服务提供设备判断该电子钥匙数据的正当性。
例如，在使用电子钥匙来进行服务提供的电子钥匙系统中，包括使用者模块以及服务提供设备。其中，使用者模块存储了包括用于识别电子钥匙的主ID以及子ID的电子钥匙数据；而服务提供设备用于判断可否提供服务。
而且，本发明提供了以下的电子系统所述使用者模块包括接受来自服务提供设备的电子钥匙的发送请求的接受单元，以及将电子钥匙数据发送到所述服务提供设备的发送单元。所述服务提供设备包括存储单元、接受单元、第1判断单元、以及第2判断单元。其中，所述存储单元存储用于许可提供服务的服务许可信息、以及用于拒绝提供服务的服务拒绝信息；所述接受单元用于接受来自使用者模块的电子钥匙数据；所述第1判断单元用于判断所述服务许可信息内是否存在所接受的电子钥匙数据的主ID。所述第2判断单元用于判断在所述服务拒绝信息内是否存在所接受的电子钥匙数据的子ID。所述服务提供设备包括根据所述第1和第2判断结果来判断可否提供服务的提供判断单元。


图1是本发明第1实施例的系统结构图。
图2是本发明第1实施例的硬件结构图。
图3是本发明第1实施例的功能结构图。
图4是本发明第1实施例的数据结构图。
图5是本发明第1实施例的电子钥匙使用处理流程框图。
图6是本发明第1实施例的电子钥匙使用处理的流程图。
图7是本发明第1实施例的电子钥匙共用处理的流程图。
图8是本发明第1实施例的电子钥匙共用时的数据值的例子。
图9是本发明第1实施例的电子钥匙共用时的数据值的例子。
图10是本发明第1实施例的电子钥匙无效化处理的流程图。
图11是本发明第1实施例的画面显示例子。
图12是本发明第2实施例的数据结构图。
图13是本发明第2实施例的电子钥匙购买处理的流程图。
图14是本发明第2实施例的画面显示例子。
具体实施例方式
以下，将对有关本发明的第1实施例进行说明。本实施方式是将电子钥匙应用为住宅门钥匙情况下的实施例。
图1显示了应用了本发明的电子钥匙系统的系统结构图。
如图所示，本实施例的系统包括使用者模块100、使用者终端200、电子钥匙管理装置300以及服务提供设备400。这些设备通过互联网等网络520而相互连接。
使用者模块100是存储电子钥匙数据、并根据后述规定处理来进行电子钥匙数据的发送、产生等的设备。为了防止伪造、不正当复制电子钥匙等情况，使用者模块100最好使用IC卡等具有防篡改性的器件。
使用者终端200是希望使用服务的使用者所保有的终端。便携式终端200通过移动电话网等网络510而连接至网络520。
电子钥匙管理装置300进行根据来自使用者的请求而发行电子钥匙、使电子钥匙无效化等电子钥匙的各种管理。例如是WEB(万维网)站点等。服务提供设备400用于判断使用者模块100内存储的电子钥匙的正当性，并根据其结果判断可否提供服务。在本实施例中，服务提供设备400安装在使用者的住宅门上，与电磁式门锁等连接并判断电子钥匙的正当性，在有正当性的电子钥匙的情况下对门进行开锁或是上锁。
接下来，就电子钥匙系统的硬件结构进行说明。
如图2所示，图2显示了使用者模块100、使用者终端200、电子钥匙管理装置300、服务提供设备400的各装置的硬件结构。
使用者终端200例如能够使用包括以下装置的普通计算机系统，该计算机系统包括按照程序进行数据的加工、运算等的CPU 901；CPU 901可直接读写的存储器902；硬盘等外部存储装置903；用于与外部系统进行数据通信的通信装置904；键盘、按钮、音频输入装置等输入装置905；以及，显示屏或打印机等输出装置906。具体而言，是移动电话、使用者简易便携式电话(PHSPersonal Handy-Phone System-个人手持电话系统)、PDA(Personal Digital Assistant-个人数字助理)、PC(PersonalComputer-个人计算机)等。
电子钥匙管理装置300能够使用与所述使用者终端200相同的普通计算机系统。具体而言，是服务器、主计算机等。
使用者模块100是这样一种计算机装置，，至少包括图2中的根据程序来进行数据加工、运算的CPU 901；CPU 901可直接读写的存储器902；以及，用于与外部系统进行数据通信的通信装置904，能够利用例如是IC卡等。
服务提供装置400是这样一种计算机装置，其至少包括图2中的根据程序来进行数据加工、运算的CPU 901；CPU 901可直接读写的存储器902；以及，用于与外部系统进行数据通信的通信装置904。
接下来就电子钥匙系统的功能结构进行说明。
图3图示了图1中各装置的功能结构。通过在使用者模块100程序的情况下由使用者模块100的CPU 901、在使用者终端200用的程序的情况下由使用者终端200的CPU 901、在电子钥匙管理装置300用的程序的情况下由电子钥匙管理装置300的CPU 901、而在服务提供设备400用的程序的情况下由服务提供设备400的CPU 901来相应地执行调入或存储于各存储器902内的规定程序，从而实现所述各装置的各种功能。
使用者模块100包括控制部181、存储部182、使用者终端通信部(以下称为“UT通信部”)183、以及近距离无线通信部184。控制部181进行使用者模块100内的各部的控制。存储部182将程序以及数据存储于存储器902内。UT通信部183通过通信装置904进行与使用者终端200的数据发送/接收。而且，近距离无线通信部184通过通信装置904，借助于无线通信而与服务提供设备400或者其它使用者模块100进行数据的发送/接收。作为这种无线通信的一个例子，有无线LAN、ISO/IEC 14443等。另外，也可以这样构成使用者终端200包括近距离无线通信部184，使用者模块100通过使用者终端200与服务提供设备400等进行通信。
使用者终端200包括控制部281、存储部282、输入部283、远距离无线通信部284、显示部285以及使用者模块通信部(以下称为“UM通信部”)286。控制部281进行使用者终端200内的各部的控制。存储部282将程序以及数据存储于外部存储装置903内。输入部282将程序以及数据存储于外部存储装置903内。输入部283通过输入装汉子905接受来自使用者的数据输入。远距离无线通信部284通过通信装置904，与电子钥匙管理装置300或其它使用者终端200进行数据的收发。显示部285通过输出装置906向使用者显示数据。而且，UM通信部286与使用者模块100进行数据的收发。
电子钥匙管理装置300包括控制部381、存储部382以及通信部383。控制部381进行电子钥匙管理装置300内的各部的控制。存储部382将程序以及数据存储于外部存储装置903内。通信部383通过网络520，借助于通信装置904，与使用者终端100或服务提供设备200进行数据的收发。
服务提供设备400包括控制部481、存储部482、通信部483、以及近距离无线通信部248。控制部481进行服务提供设备400内的各部的控制。存储部482将程序以及数据存储于存储器902内。通信部483利用通信装置904，与电子钥匙管理装置300进行数据的收发。远距离无线通信部248与使用者模块100进行数据收发。
接下来，就用于电子钥匙系统的各种数据的数据结构进行说明。
图4显示了电子钥匙系统中使用的各种数据的数据结构图。如图所示，使用者模块100、电子钥匙管理装置300、服务提供设备400中存储了以下说明的各种数据。
使用者模块100中，存储有作为加密密钥的使用者模块认证密钥数据(以下称为“UM认证密钥数据”)110、以及使用者电子钥匙表120。UM认证密钥数据110是后述相互认证处理中使用的加密密钥数据。考虑在加密密钥数据中，例如使用公共加密系统中的公共密钥。作为公共密钥加密系统的一个例子，可以举出DES(Data Encryption Standard)、AES(Advanced Encryption Standard)等。
使用者电子钥匙表120是存储了使用者保有的电子钥匙信息的数据集合。使用者电子钥匙表120包括作为用于显示电子钥匙名称的钥匙名称、识别电子钥匙的第1标识符的主ID的经历；以及，作为用于显示电子钥匙可共用范围的共用分级、识别电子钥匙的第2标识符的子ID的经历。
钥匙名称将成为电子钥匙的对象的服务提供设备400设定为用于识别使用者的名称(例如“某某宅”等)。在主ID中，为了与发行过的其它电子钥匙相识别，设定与其它电子钥匙的主ID不同的包括专一性(唯一性)的ID。例如，考虑在电子钥匙管理装置300内，管理序列序号、每当发行电子钥匙就对其值计数完毕，并设定顺序计数完毕的值。
共用分级中设定了“0”或“1”以上的数值。“0”的情况下意味着不可能共用电子钥匙。例如在共用分级中设定了“2”的情况下，其电子钥匙作为第1共用分级，由使用者A许可使用者B与之共用，另外，作为第2共用分级，由使用者B许可使用者C与之共用。在共用分级中设定了“1”的情况下，作为第1共用分级，由使用者A许可使用者B与之共用，另外，作为第2共用分级，由使用者B禁止使用者C与之共用。并没有将意味着电子钥匙不可能共用的值限制为“0”，也可以是预先确定的规定值。
子ID是用于识别电子密钥的第2标识符，在子ID履历中能够存储多个子ID数据。在电子钥匙管理装置300向使用者发性或提供新的使用者模块时，于子ID履历内，设定了后述顾客表330的子ID内设定的数据。在本实施例中，将使用者的移动电话号码用作子ID。
在电子钥匙管理装置300内，存储了服务设备确认密钥数据(以下，称为“SD确认密钥数据”)310、UM确认密钥数据320以及顾客表330。SD确认密钥数据310以及UM确认密钥数据320，是与UM确认密钥数据110同样的、由相互确认处理所使用的加密密钥数据。在使用公共加密系统的情况下，将电子钥匙管理装置300的UM确认密钥数据320设定为与使用者模块100的UM确认密钥数据110相同值的数据。
顾客表330是管理有关使用者的各种信息的数据的集合。顾客表33含有由专门识别使用者的会员编号、用于确认使用者的英文数字串等构成的口令；在共用电子钥匙的情况下，用于在共用者之间识别使用者的子ID；用于识别分配给该使用者的电子钥匙的主ID；以及SD地址。在主ID中，设定了与申请使用服务的使用者模块100内设定的主ID相同的值。对子ID进行设置，使得将与最初设定的子ID数据相同的值设定到所述使用者电子钥匙表120的子ID内。另外，在服务本实施例中，子ID使用便携式电话号码。SD地址是网络520中服务提供设备400的网络地址，是为了进行电子钥匙管理装置300对服务提供设备400的数据的收发而使用的。具体而言，使用IP地址等。
服务提供设备400内存储了SD确认密钥数据410、UM确认密钥数据420、服务许可表430以及服务拒绝表440。SD确认密钥数据410以及UM确认密钥数据420时间与UM确认密钥数据110等相同的、由相互确认处理所使用的加密密钥数据。使用公共密钥加密系统的情况下，将服务提供设备400的SD确认密钥数据410设定为与电子钥匙管理装置300的SD确认密钥数据310同值的数据。将服务提供设备400的UM确认密钥数据420设定为与电子钥匙管理装置300的UM确认密钥数据320以及使用者模块100的UM确认密钥数据110同值的数据。
服务许可表430，在服务提供设备400中，是用于识别被许可使用服务的电子钥匙的表，包括被许可使用服务的主ID的数据。服务拒绝表440在服务提供设备400内是用于识别禁止使用服务的电子钥匙的表，包括禁止使用服务的主ID和副ID的数据。在服务许可表430和服务拒绝表440的主ID中，被设定了与使用该服务提供设备400的使用者模块内设定的主ID相同的值。
在本实施例中，设图4所示的各种数据除了服务拒绝表440的数据之外，都是预先设定在各装置的存储器902或外部存储装置903内的。例如，在使用者向服务提供者申请使用服务的时刻，电子钥匙管理装置300将规定数据设定到各装置的存储器902或外部存储装置903中，进行使用者模块100、服务提供设备400等的配置以及设置。
接下来，参照图5，来说明本实施例中使用者接受服务提供(为主宅门开锁)时的处理流程。
服务提供设备400的近距离无线通信部484将电子钥匙发送请求消息定期发送给使用者模块100(步骤101)。使用者模块100的近距离无线通信部184在接收该消息后，与服务提供设备400的控制部491之间进行相互确认处理(步骤S102)。该相互确认处理例如使用使用者模块100和服务提供设备400的各个UM确认密钥数据110、420，按照作为使用公共密钥的相互确认顺序的规定的ISO/IEC 9798-2内记载的“5.2.2 Threepass authentication”来进行。通过进行这种相互确认处理，防止了恶意的第三者利用假的使用者模块100而接受到服务提供。对于伪造的服务提供设备400，使用者模块100使电子钥匙发生错误之后进行传输，其结果防止了暴露电子钥匙的内容。
最好在该相互确认结束后，借助对话密钥对以后的传输消息内容进行加密。作为该对话密钥，有在所述“Three pass authentication”的处理中使用所产生的随机数的方法。通过进行这种消息的加密，能够防止由于盗听消息而暴露电子钥匙的情况。
接下来，使用者模块100的近距离无线通信部184将电子钥匙发送消息发送给服务提供设备400(步骤103)。设该消息至少含有使用者电子钥匙表120内所保持的数据中的、ID数据和子ID的履历数据。
服务提供设备400的近距离无线通信部484接收该消息，接下来，控制部481判断所接受的主ID数据是否存在于服务许可表430内(步骤104)。在主ID数据存在的情况下(步骤104中为YES的情况下)，控制部481判断所接收的子ID履历数据中包含的子ID数据是否存在于服务拒绝表440(步骤105)。控制部481在该判断中，在即便是所接收的子ID履历数据中包含的子ID数据中只有一个包含于服务拒绝表440内的情况下，也会判断为“存在”。因此，拒绝对包括以下之使用者密钥表的使用者模块提供服务，这种使用者密钥表，其子ID履历内包括存在于服务拒绝表440内的子ID数据。由此，能够根据该子ID而使得不能使用被许可共用的使用者模块(比该子ID还要下位的共用对象(日文共用先)的使用者模块)，能够防止由于丢失或被盗的使用者模块而对电子钥匙进行复制等恶意使用的情况。
在判断为子ID不存在(在步骤105中为NO)的情况下，控制部481实行许可服务提供的处理(步骤106)。在本实施例中进行居所门的开锁处理。
在判断为子ID存在(在步骤105中为YES)的情况下，控制部481拒绝服务提供，并终止处理(步骤107)。在本实施例中不进行居所门的开锁处理，而是保持上锁状态不变。在服务许可表内不存在主ID(步骤104内为NO)的情况下，控制部481也拒绝提供服务，并终止处理(步骤107)。
上述处理尽管是就使用者模块100通过近距离无线通信184来发送电子钥匙的方式进行的说明，但也可以通过其他方式进行发送。例如，也可以通过网络510以及网络520来传输。以下，说明这种情况下的处理的流程。本处理与图5的处理相比较，由于仅仅是电子钥匙收发处理的部分(步骤101到步骤103)不同，其他部分与图5的处理相同，因此，以下将参照图6仅仅对不同部分进行说明。
图6图示了使用者使用使用者终端200接受服务提供时的电子钥匙收发处理的流程。
在使用者终端200的输入部283接受了使用者的操作指示后，UM部286将电子钥匙发送请求消息发送给使用者模块(步骤201)。在使用者模块100的UT通信部138接收了该消息后，控制部181与服务提供设备400的控制部481之间进行相互确认处理(步骤202)。该相互确认处理以使用者终端200网络510以及网络520为媒介而进行。该相互确认处理中，对所使用的确认密钥数据、相互确认顺序、其后的消息的加密等而言，是与图5的步骤102的处理相同的处理。
接下来，使用者模块100的UT通信部138将电子发送消息发送到服务提供设备400(步骤203)。该消息发送中，以使用者终端200、网络510等为媒介之处与步骤202相同。步骤203的处理之后，服务提供设备400进行图5所记载的步骤104之后的处理。
通过以各种网络为媒介来进行电子钥匙的发送，能够应对例如是以下情况保有作为电子钥匙的使用者模块100的使用者，在外处而不在自己屋里时，在熟人拜访自己家的情况下，能够使用者终端200远距离进行自家屋门的开锁，令熟人在自家屋里等待。
接下来，就服务使用者之间共用电子钥匙情况下的处理进行说明。图7显示了电子钥匙的共用处理的流程。图11图示了共用处理中，使用者终端200上显示的显示画面的一个例子。在本处理中，设成为电子钥匙共用源(日文共用元)的使用者所保有的使用者模块100以及使用者终端200，为第1使用者模块100以及第1使用者终端200。设成为电子钥匙共用源的使用者所保有的使用者模块100以及使用者终端200，为第2使用者模块100以及第2使用者终端200。图11的显示画面例子中，与子ID内使用了便携式电话号码。
首先，一开始，在第1使用者终端200的输入部283接受了共用源的使用者的操作指示后，UM通信部284将电子钥匙一览表请求消息发送给第1使用者模块100(步骤301)。第1使用者模块100的UT通信部183接收来消息，接下来，控制部181将使用者电子钥匙表120内存储的每条记录的钥匙名称数据以及主ID数据的数据对，设定为存储记录的数目所需的电子钥匙一览表应答消息。于是，UT通信部183将电子钥匙一览表应答消息发送给第1使用者终端200(步骤302)。
第1使用者终端200的UM通信部284接收该消息，显示部285将所接收的钥匙名称数据的一览表显示于输出装置906上(画面31)。于是，第1使用者终端200的输入装置905接受了使用者根据选择数据的一览表所选择的钥匙名称的选择指示(步骤303)。
接下来，第1使用者终端200的显示部285将子ID数据输入画面显示于输出装置906中(画面32)。于是输入装置905接受使用者输入的子ID数据。子ID数据是在使用者模块100丢失或被盗的情况下，用于仅使该使用者模块100的电子钥匙无效所必需的数据，使用在共用电子钥匙的使用者的组中为唯一的数据。本实施例中，将使用者的电话号码用作子ID。于是，UM通信部284将共用开始消息发送给第1使用者消息100(步骤304)。该消息包含在步骤303所选择的主ID数据、以及在步骤304输入的子ID数据。发送给消息后，第1使用者终端200的显示部285将“复制处理中”的画面显示于输出装汉子906内(画面33)。
第1使用者模块100的UT通信部183接收该消息，控制部181产生发送至共用源的第2使用者模块100的使用者电子钥匙表120的数据(步骤305)。使用者电子钥匙表120是图4中说明的数据的集合。主ID中设定了共用开始消息内包含的主ID数据，钥匙名称中设定了由该主ID数据所指定的记录的钥匙名称。共用分级中设定了将该记录的共用分级的值减1所得到的值。但是，在相减后的值为负数的情况下，判断为不允许共用上述这个电子钥匙，不进行以后的处理，并结束处理。对子ID履历数据进行设定，对其追加了共用开始消息中包含的子ID数据。
接着，第1使用者模块100和第2使用者模块100进行相互确认处理(步骤306)。该相互确认处理中，将各个使用者模块所保持的UM确认密钥数据110用作确认密钥。该相互确认处理通过各个使用者终端100以及网络510来进行。也可以通过各个近距离无线通信部184，而在第1使用者模块100和第2使用者模块100之间进行进行该相互确认处理。对于其他该相互确认处理与图5的步骤102相同，且以后的消息加密也相同。
接下来，第1使用者模块100将电子钥匙写入消息发送给第2使用者模块100(步骤307)。此时，就该消息的发送通路而言，与步骤306的情况相同。该消息含有步骤305中产生的使用者电子钥匙表120的数据。第2使用者模块200接收电子钥匙写入消息，并将该消息中的使用者电子钥匙表120的数据(记录)追加到已有的使用者电子钥匙表120中(步骤308)。本处理结束后，第1使用者终端200的显示部285将“复制结束”的画面显示于输出装置906中(画面34)。通过以上处理而结束了电子钥匙的共用处理。
接下来，对电子钥匙共用处理中的使用者电子钥匙表120进行说明。图8显示了第1使用者模块100的使用者电子钥匙表121(以下，称为“第1使用者电子钥匙表”)中设置的共用分级的值为“1”时的第1使用者模块100、以及第2使用者模块100的使用者电子钥匙表122(以下，称为“第2使用者电子钥匙表”)。
第1使用者电子钥匙表121在电子钥匙的共用处理前后，数据没有改变。第2使用者电子钥匙表122中，钥匙名称、主ID被设置为与第1使用者电子钥匙表121相同的值；将第1使用者电子钥匙表121的值减去“1”所得到的值“0”设置为共用分级；将设定了从第1使用者终端200输入的便携式编号的记录新追加到子履历ID中。该情况由于第2使用者电子钥匙表的共用分级为“0”，因此第2使用者不能进行电子钥匙的共用处理。
图9显示了作为共用源的第1使用者电子钥匙表121的共用分级为“3”时，第1使用者电子钥匙表121、第2使用者电子钥匙表122、第3使用者电子钥匙表123(第3使用者模块100的使用者电子钥匙表)、以及第4使用者电子钥匙表124(第4使用者模块100的使用者电子钥匙表)。
在第2使用者电子钥匙表122内，将第1使用者电子钥匙表121的值减去“1”所得到的值“2”设定到共用分级中，其他就是新追加与图8相同的记录。接下来，在第3使用者电子钥匙表123中，将第2使用者电子钥匙表122的值减去“1”所得到的值“1”设定到共用分级中，将于设定了从第2使用者电子钥匙表122内设置了便携式编号以及从第2使用者终端200输入的便携式编号的记录新追加到子履历ID中。接下来，第3使用者电子钥匙表124内，与上述情况相同，共用分级内设定为“0”，子履历ID内新追加了设置了3个移动电话的记录。这种情况由于第4使用者密钥表的共用分级为“0”，因此，第4使用者不能进行电子钥匙的共用处理。
接下来，参照图10和图11来说明使电子钥匙无效时的处理流程。作为使电子钥匙无效的情况，有使用者模块100的都是或被盗等情况。由于从步骤401到步骤405是可以利用已有的WEB浏览器以及WEB服务器来实现的处理，因此，省略对其的详细说明。在图11的显示画面例子中，子ID内使用了便携式电话号码。
首先，一开始，使用者终端200的显示部285根据使用者的操作指示，显示接受会员编号以及口令输入的画面(画面41)、接受来自使用者的会员编号以及口令输入、远距离无线通信部284将登录请求消息发送给电子钥匙管理装置300(步骤401)。在登录请求消息内含有由使用者输入的会员编号以及口令的数据。在电子钥匙管理装置300的通信部383接收到该消息后，控制部381检索顾客表330，判断该会员编号是否存在且口令是否一致。在该会员编号存在且口令一致的情况下，将服务的菜单显示消息发送到使用者终端200(步骤402)。在会员编号不存在的情况下，或是在口令不一致的情况下，控制部381不进行以后的处理，并结束处理。该菜单显示消息含有用于在使用者终端200的输出装置906内显示菜单画面的指令标识符或页记述语言。作为这种页记述语言，例如有HTML(Hype Text Markup Language)。
使用者终端200的远距离无线通信部284接收菜单显示消息，显示部285将菜单选择画面(画面42)显示于该输出装置906中。于是，输入部283接受通过输入单元905输入的使用者的菜单选择，其结果由远距离无线通信部284作为选择菜单消息发送到电子钥匙管理装置300(步骤403)。电子钥匙管理装置300的通信部383接收该消息，控制部381在判断该消息选择登录无效(无效化处理)的菜单的情况下，将子ID输入请求消息发送到使用者终端200(步骤404)。在本实施例中，设没有无效化处理之外的服务菜单。
使用者终端200的远距离无线通信部284接收子ID输入请求消息，显示部285于输出装置906中显示子ID输入接受画面(画面43)。于是，输入部283接受输入单元905输入的子ID数据，远距离无线通信部284将子ID登录消息发送到电子钥匙管理装置300(步骤405)。该消息中含有输入的子ID数据。该消息发送后，在使用者终端200的输出装置906内，显示“无效化登录中”的画面(画面44)。
在电子钥匙管理装置300的通信部383接收了子ID登录消息后，控制部281与服务提供河北400之间进行相互确认处理(步骤406)。此时，作为确认密钥，使用电子钥匙管理装置300以及服务提供设备400的各个SD确认密钥数据310、410。成为通信对象的服务提供设备400的网络地址由登录的会员编号数据所指定，作为顾客表330的SD地址数据。对于其他部分的处理，与图5的步骤102的相互确认处理相同。
接下来，电子钥匙管理装置300的控制部381将登录处理(步骤402)中接收的会员编号数据作为关键字，来检索顾客表330，以获取该会员编号的子ID(便携式电话号码)数据。于是，控制部381判断由使用者终端200接收的子ID登录消息中是否含有子ID数据、以及判断所述电话号码是否一致(步骤407)。在接收的子ID数据与顾客表的子ID数据一致的情况下，由于为共用源的使用者模块由于都是或被盗而引起的无效化，因此，进行使包括该使用模块的主ID的电子钥匙全部无效化的全体无效化处理。另一方面，所接收的子ID数据与顾客表的子ID数据不一致的情况下，由于是使用源以外的使用者模块(即使用源的使用者模块)，则进行仅使包括该子ID的使用模块无效化的部分无效化处理。利用该部分无效化处理，也可使由包括该子ID的使用模块许可共用电子钥匙的使用模块无效，能够防止由于丢失等原因而导致的使用模块的恶意使用。
作为部分无效化处理，电子钥匙管理装置300的通信部383向服务提供设备400发送追加请求消息(步骤408)。该消息包含该会员编号的记录的主ID数据、以及接收的子ID登录消息内的子ID数据。服务提供设备400的通信部483接收该追加请求消息；控制部481将主ID数据和子ID数据作为一条记录追加到服务拒绝表440内(步骤409)。进行部分无效化处理(步骤409)的情况下，不进行接下来将要描述的全体无效化处理(步骤410)，而进行无效化结束通知(步骤412)。
作为全体无效化处理，电子钥匙管理装置300的通信部383向服务提供设备400发送删除请求消息(步骤410)。该消息含有该会员编号的记录的主ID数据。服务提供设备400的通信部483接收该删除请求消息；控制部481从服务许可表430中删除当前主ID数据(步骤411)。
在结束了部分无效化处理或全体无效化处理后，电子钥匙管理装置300的通信部383将无效化结束通知消息发送给使用者终端200(步骤412)。使用者终端200的远距离无线通信部284接收该消息；显示部285将“无效化结束”画面(画面45)显示于输出装置906内。
由此，结束了使电子钥匙无效时的处理。
在本实施例中，也可通过加密或单方向函数而使得服务提供设备400内存储的子ID数据、或发送至服务提供设备400的消息内含有的子ID数据摘要化。在这种结构的情况下，能够防止服务提供设备400被盗、通过分析其内部而暴露出子ID数据(例如在将电话号码作为子ID数据而使用的情况下，暴露了电话号码)的情况。作为单方向函数的一个例子有SHA-1(Secure Hash Algorithm)、MD5(Message Digest 5)等。作为加密单元的一个例子，有DES(Data Encryption Standard)、AES(Advanced EncryptionStandard)等的公共密钥加密系统、或椭圆曲线加密等公开的密钥加密系统。
在本实施例中，子ID数据尽管是从使用者终端200由使用者输入的，但也可以预先存储于共用源的使用者的使用者终端200或使用者模块100内。这种情况，在电子钥匙共用处理(参见图7)的共用密钥产生处理(步骤305)中，不需要从使用者终端200输入子ID，在共用电子钥匙数据的产生中使用该预先存储的子ID数据。或者也可以在共用源的使用者的使用者终端200或使用者模块100内，存储子ID数据。这种情况下，在电子钥匙共用处理(参见图7)的共用密钥产生处理(步骤305)中，在子ID履历内不产生新的子ID数据，在电子钥匙写入处理(步骤308)内，将该存储过的子ID数据追加到使用者电子钥匙表120的子ID履历内。
接下来，就本发明的第2实施例进行说明。
本实施例是将电子钥匙应用于租赁汽车的门的情况下的实施方式。由于与第1实施例相同点很多，因此，下述的说明是以不同点为主进行的。
本实施例的系统结构与第1实施例的情况基本相同(参见图1)。但是，本实施例中，假设服务提供设备400是这样一种装置，使其安装于租赁轿车的门上，并根据电子钥匙数据的正当性判断来进行门的开锁。或者也可以是这样一种设备设置在租赁轿车的附近，根据所述正当性判断来解除租赁轿车的固定装置。
其硬件结构和功能结构与第1实施例的情况(参见图2、图3)基本相同。
接下来，在图12只能给显示了本实施例的电子钥匙系统中使用的各种数据的数据结构。各种数据的数据结构，省略了与第1实施例相同点，以下，将就不同点进行说明。
在电子钥匙管理装置300的顾客表330没有将主ID数据和SD地址数据作为数据项这一点上，它与第1实施例中的顾客表330不同。在第1实施例中，由于预先固定了使用者和该使用者使用的服务提供设备(判断使用者主宅门上安装的电子钥匙的正当性的设备)，因此，与会员编号一向交易表340中新追加了包括迄今为止所说明的主ID数据、商品ID数据、以及会员编号数据的记录。
接下来，电子钥匙管理装置300的控制部381与服务提供设备400之间进行相互确认处理(步骤509)。将电子钥匙管理装置300的SD确认密钥数据310和服务提供设备400的SD确认密钥数据410用作确认密钥。作为通信对象的服务提供设备400的网络地址，设定商品数据350的对应SD地址数据。将步骤505中接收的商品ID数据作为检索关键字来指定该对应SD地址数据。
接下来，电子钥匙管理装置300的通信部383，将包含步骤507中产生的主ID数据的登录请求消息发送给服务提供设备(步骤510)。
服务提供设备400的通信部483接收该登录请求消息，控制部向服务许可表430内追加所接收的主ID数据(步骤512)。
接下来，电子钥匙管理装置300的通信部383经由使用者终端200的UM通信部286，将含有在步骤508内产生的电子钥匙数据的电子钥匙写入消息发送到使用者模块100内(步骤511)。使用者模块100的UT通信部183接收电子钥匙数据，控制部181将该电子数据追加到使用者电子钥匙表120内(步骤513)。其后，在使用者终端200的输出装置906中显示结束画面(画面55)。
通过上述操作，结束了使用者购买电子钥匙时的处理。通过本处理，既便在使用者使用没有预先固定的任意的服务提供设备的情况下，也可能接受使用电子钥匙的服务提供(购买租赁轿车的钥匙)。
电子钥匙使用处理和电子钥匙共用处理与第1实施例(参见图5、6、7)相同，电子钥匙共用处理中的使用者终端200的显示画面如图14所示。
电子钥匙无效化处理在以下几点上与第1实施例的情况(参见图10)不同。设作为相互确认处理(步骤406)的通信对象的服务提供设备400的网络地址，为由本实施例中登录处理(步骤502)中所接收的会员编号数据所指定的商品表350的SD地址数据。具体而言，将会员编号数据作为检索关键字而从交易表340中指定商品ID，将该商品ID作为检索关键字来指定商品表350的SD地址数据。
部分无效化处理(步骤408)和全体无效化处理(步骤410)中发送的消息中包含的主ID数据，是将登录处理(步骤402)中接收的会员编号数据作为检索关键字来检索交易表340从而获取的。电子钥匙无效化处理中的使用者终端200的显示画面如图14所示。
通过以上操作，来说明有关本发明的第2实施例。根据本处理，与第1实施例相同，既便在使用者使用没有预先固定的任意的服务提供设备的情况下，不仅可以进行使包括相同主ID的所有使用者模块无效的全体无效化处理，而且也可能进行仅使包括该子ID的使用者模块无效的部分无效化处理。
根据如上所述的本发明，在由多个使用者共用电子钥匙，共同使用服务的情况下，既便在由于盗窃或丢失等原因而引起任何人的电子钥匙无效的情况下，也不必一定使全体电子钥匙无效。即，能够防止在使用者一人丢失(或被盗窃)了电子钥匙，其电子钥匙无效后，必须拒绝与该使用者共用电子钥匙的全体使用者使用服务的情况。
本发明并不仅仅被限制于上述实施例，在其主旨范围内还有多种变形。例如，有旅馆房屋的电子钥匙、电子锁的电子钥匙等。
例如，在第1实施例的使用处理中，服务提供设备400包括服务许可表430以及服务拒绝表440，它进行是否进行服务提供的判断。但是，电子钥匙管理装置300也可以保持各服务提供设备400的服务许可表430以及服务拒绝表440，并进行可否提供服务的判断。具体而言，考虑将图5中的电子钥匙传输(步骤103)的发送目的地址作为电子钥匙管理装置300，电子钥匙管理装置300进行可否提供服务的判断(步骤104-步骤107)，并将其判断结果发送到服务提供设备400。
在第1实施例的共用处理中，使用者模块100包括使用者电子钥匙表120，产生共用电子钥匙数据。但是，也可以是电子钥匙管理装置300保持各使用者模块的使用者电子钥匙表120，并进行一元管理，根据来自使用者终端的共用请求，重新产生公用电子钥匙数据。具体而言，考虑将图7中的第1使用者终端200的电子钥匙一览获取(步骤301)的传输目的地址作为电子钥匙管理装置，由电子钥匙管理装置300来进行以后的第1使用者模块100的处理(电子钥匙一览表应答、公共电子钥匙产生等)。
如上所述，根据本发明，可以使多个使用者共用电子钥匙，共同使用服务。在使共用的电子钥匙无效的情况下，不仅可以使所有共用的电子钥匙无效，而且还可以仅仅使部分电子钥匙无效。
权利要求
1.一种电子钥匙系统，用于使用电子钥匙来进行服务提供，其特征在于，包括存储含有用于识别电子钥匙的主ID和子ID的电子钥匙数据的使用者模块，以及判断可否提供服务的服务提供设备；所述使用者模块包括接受来自服务提供设备的电子钥匙的发送请求的接受单元，以及将所述电子钥匙数据发送到所述服务提供设备的发送单元；所述服务提供设备包括存储单元，存储用来允许提供服务的服务许可信息，以及用来拒绝提供服务的服务拒绝信息；接受单元，接受来自使用者模块的电子钥匙数据；第1判断单元，判断所述服务许可信息内是否存在所述接受的电子钥匙数据的主ID；第2判断单元，用于判断所述服务拒绝信息内是否存在所述接受的电子钥匙数据的子ID；所述服务提供设备包括通过所述第1和第2判断结果来判断可否提供服务的提供判断单元。
2. 如权利要求1所述的一种电子钥匙系统，其特征在于，所述提供判断单元，在所述第1判断单元中，当判断所述服务许可信息内存在主ID，且在所述第2判断单元中，判断所述服务拒绝信息内不存在子ID的情况下，允许提供服务。
3.如权利要求1所述的一种电子钥匙系统，其特征在于所述电子钥匙数据包括表示是否可以共用电子钥匙的共用分级；所述使用者模块包括在共用分级数据为可共用的情况下，产生主ID相同且子ID不同的用于共用的电子钥匙的产生单元。
4.如权利要求1所述的一种电子钥匙系统，其特征在于，所述电子钥匙系统包括管理电子钥匙服务的电子钥匙管理装置；所述电子钥匙管理装置包括存储含有识别使用者的会员编号和子ID的顾客表的单元；接受单元，用于接受来自外部系统的会员编号以及子ID；无效化判断单元，判断与所接受的会员编号对应的所述顾客表的子ID与所接受的子ID是否一致，并基于所述判断单元，来判断是进行使包括相同主ID的使用者模块全部无效的全体无效化处理，或是进行仅使包括相同子ID的使用者模块无效的部分无效化处理；发送单元，将所述无效化判断结果发送到所述服务提供设备；所述服务提供设备包括变更单元，用于根据所述无效化判断结果，来进行服务拒绝表或服务许可表的变更。
5.一种使用者模块，存储有进行服务提供的服务提供设备为了判断可否提供服务所使用的电子钥匙数据，其特征在于，所述电子钥匙数据包括用于识别电子钥匙的主ID数据以及子ID数据；所述使用者模块包括发送要求接受单元，接受来自所述服务提供设备的电子钥匙的发送请求；发送单元，将电子钥匙数据发送到所述服务提供设备。
6.如权利要求5所述的使用者模块，其特征在于，所述电子钥匙数据包括表示可否共用电子钥匙的共用分级数据；所述使用者模块包括共用请求接受单元，接受电子钥匙的共用请求；产生单元，在可共用情况下，产生主ID相同且子ID不同的共用电子钥匙数据；以及发送单元，将所述产生的共用电子钥匙数据发送到外部系统。
7.如权利要求6所述的使用者模块，其特征在于，所述使用者模块包括共用判断单元，在共用分级数据为规定值的情况下判断为不可共用，在共用分级数据值为规定值以外的情况下判断为可共用；所述产生单元将电子钥匙数据的共用分级数据值变更为减“1”后得到的值，来产生共用电子钥匙数据。
8.一种服务提供设备，利用使用者模块内存储的电子钥匙数据来判断可否提供服务，其特征在于，包括存储单元，存储用来允许提供服务的服务许可信息、以及用来拒绝提供服务的服务拒绝信息；接受单元，接受来自使用者模块的电子钥匙数据；判断单元，基于所述接受的电子钥匙数据、所述服务许可信息、以及所述服务拒绝信息，判断可否进行所述接受的电子钥匙数据的服务提供。
9.如权利要求8所述的服务提供设备，其特征在于，所述电子钥匙数据包括用于识别电子钥匙的主ID数据以及子ID数据；所述判断单元包括第1判断单元，判断在所述服务许可信息内是否存在所述接受的电子钥匙数据的主ID；以及第2判断单元，判断在所述服务拒绝信息内是否存在所述接受的电子钥匙数据的子ID。所述判断单元根据所述第1和第2判断结果，判断可否进行所述接受的电子钥匙数据的服务提供。
10.一种服务提供设备，利用使用者模块中存储的电子钥匙数据来判断可否提供服务，其特征在于，所述电子钥匙数据包括用于识别电子钥匙的主ID数据和子ID数据；所述服务提供设备包括存储单元，存储用来允许服务提供的服务许可信息、以及用来拒绝服务的服务拒绝信息；无效化接受单元，接受来自使用者模块的电子钥匙的部分无效化指示或全体无效化指示；追加单元，在接受部分无效化指示的情况下，将所述指示内包含的主ID数据以及子ID数据追加到所述服务拒绝信息内；以及删除单元，在接受全体无效化指示的情况下，从所述服务许可信息中删除所述指示内包含的主ID数据。
11.一种电子钥匙管理装置，管理用于接受服务提供的电子钥匙数据，其特征在于，所述电子钥匙管理装置包括存储单元，存储含有用来识别电子钥匙的主ID数据、用来识别电子钥匙的子ID数据、以及表示电子钥匙的可共用范围的共用分级数据的电子钥匙数据；共用请求单元，接受含有从利用网络连接的终端装置输入的子ID数据的电子钥匙的共用请求；共用判断单元，参照共用分级数据来判断是否可共用；以及产生单元，在可共用的情况下，产生用于共用的电子钥匙数据。
12.一种电子钥匙管理装置，管理用来接受服务提供的电子钥匙数据，其特征在于，所述电子钥匙管理装置包括存储单元，存储用来允许服务提供的服务许可信息、以及用来拒绝服务的服务拒绝信息；接受单元，接受来自外部系统的电子钥匙数据；判断装置，根据所述接受的电子钥匙数据、所述服务许可信息、以及所述服务拒绝信息，来判断可否进行所述接受的电子钥匙数据的服务提供。
13.一种门的开锁上锁系统，使用电子钥匙来进行住宅门的开锁或上锁，其特征在于，包括存储有包括用于识别电子钥匙的主ID和子ID的电子钥匙数据的IC卡、以及判断所述电子钥匙数据的正当性并进行门的开锁或上锁的设备；所述IC卡包括接受来自所述设备的电子钥匙的发送请求，并将电子钥匙数据发送到所述设备的发送单元；所述设备包括存储单元，存储用来允许服务提供的服务许可信息、以及用来拒绝服务的服务拒绝信息；接受单元，接受来自IC卡的电子钥匙数据；第1判断装置，判断在所述服务许可信息内是否存在所述接受的电子钥匙数据的主ID；以及第2判断单元，判断在所述服务拒绝信息内是否存在所述接受的电子钥匙数据的子ID；所述设备还包括执行单元，根据所述第1和第2判断结果来判断所述接受的电子钥匙数据的正当性，并进行门的开锁或上锁。
14.一种租用汽车服务系统，将电子钥匙用作租用汽车的钥匙，并将租用汽车的钥匙提供给使用者，其特征在于，包括存储有包括用来识别电子钥匙的主ID以及子ID的电子钥匙数据的IC卡、判断所述电子钥匙数据的正当性并允许使用租用汽车的设备、以及管理用来接受服务提供的电子钥匙数据的电子钥匙管理装置；所述电子钥匙管理装置包括产生单元，产生包括识别由外部系统选择的租用汽车的主ID以及子ID的电子钥匙；将所产生的电子钥匙发送给使用者的IC卡的发送单元；以及将主ID发送到所述设备的发送单元；所述IC卡包括存储所述产生的电子钥匙的存储单元；所述设备包括存储单元，用于将所述被发送的主ID存储于用来允许提供服务的服务许可信息内。
15.一种使用程序，在判断可否提供服务的服务提供设备为了判断可否提供服务所使用的计算机装置中使用，其特征在于，能够使以下单元实现其功能将用于识别电子钥匙的主ID数据以及子ID数据存储于所述计算机装置内的存储单元；接受来自所述服务提供设备的电子钥匙的发送请求的发送请求接受单元；以及将所述电子钥匙数据发送到所述服务提供设备的发送单元。
16.一种如权利要求15所述的使用程序，其特征在于，能够使以下单元实现其功能将表示可否共用电子钥匙的共用分级数据存储于所述计算机装置内的存储单元；接受电子钥匙共用请求的共用请求接受单元；在可共用的情况下，产生主ID相同且子ID不同的共用电子钥匙数据的产生单元；以及将所产生的用于共用的电子钥匙数据发送给外部系统的发送单元。
17.一种可否提供服务判断程序，使用存储于使用者模块内的电子钥匙数据来让计算机装置判断可否提供服务，其特征在于作为以下单元发挥功能存储单元，将用于允许服务提供的服务许可信息、以及用于拒绝服务提供的服务拒绝信息存储于计算机装置内；接受单元，接受来自使用者模块的电子钥匙数据；以及判断单元，根据所述接受的电子钥匙数据、所述服务许可信息、以及所述服务拒绝信息，来判断可否进行所述接受的电子钥匙数据的服务提供。
18.一种电子钥匙使用方法，用于使用电子钥匙来进行服务提供，其特征在于，包括以下步骤存储步骤，存储用于允许服务提供的服务许可信息、以及用于拒绝服务提供的服务拒绝信息；接受步骤，接受来自外部系统的含有用来识别电子钥匙的主ID数据以及子ID数据的电子钥匙数据；第1判断步骤，判断在所述服务许可信息内是否存在所述接受的电子钥匙数据的主ID；第2判断步骤，判断在所述服务拒绝信息内是否存在所述接受的电子钥匙数据的子ID；以及可否提供判断步骤，根据所述第1和第2判断步骤的结果，来判断可否进行所述接受的电子钥匙数据的服务提供。
全文摘要
本发明提供了在由多个使用者通过共用电子钥匙而共用服务的情况下，仅使部分人的电子钥匙无效的方法。使用者保有的使用者模块100内存储的电子钥匙数据包括主ID数据和子ID履历数据这2个数据。服务提供设备400保持服务许可表和服务拒绝表这2个表，在从使用者模块100接收电子钥匙数据时，只有在电子钥匙的主ID数据存在于服务许可表内(步骤104)，且子ID履历数据内包含的子ID数据不存在于服务拒绝表内的情况下(步骤105)，才允许使用服务(步骤106)。
文档编号E05B49/00GK1540550SQ20041003721
公开日2004年10月27日 申请日期2004年4月22日 优先权日2003年4月23日
发明者寺村健, 齐藤元伸, 桑名利幸, 伸, 幸 申请人:株式会社日立制作所