电子钥匙登录系统及登录方法与流程

本发明涉及将电子钥匙登录至通信对象的电子钥匙登录系统。

背景技术：

日本特开2004-300803号公报公开了一种电子钥匙系统，其为了提高从电子钥匙无线发送的ID信号的机密性而采用加密通信。加密通信，从电子钥匙无线发送的ID信号被加密，所以非法地取得ID信号的第3者难以确定电子钥匙ID。

在电子钥匙系统中所使用的电子钥匙事先被登录至车辆。该登录是将电子钥匙固有的电子钥匙ID与初期密匙相对应地登录至搭载在车辆上的控制装置。

本申请发明人注意到：减少或者防止初期密匙的非法地取得的技术不充分。

技术实现要素：

本发明的目的在于提供如下电子钥匙登录系统：其能减少或者防止初期密匙的非法地取得，并且能将电子钥匙事先登录到通信对象。

发明的一个方面提供一种电子钥匙登录系统，其中，具备：搭载在通信对象上的控制装置；初期电子钥匙，具有初期密匙生成编码，并与所述通信对象进行加密通信；追加电子钥匙，与所述通信对象进行加密通信，并与所述初期电子钥匙不同；以及具有追加密匙的信息中心，所述初期电子钥匙被构成为，保持通过用所述初期密匙生成编码和初期密匙生成逻辑的演算而生成的初期密匙，所述控制装置保持所述通信对象固有的识别信息和所述初期密匙生成逻辑，所述控制装置被本程序化为，从所述初期电子钥匙取得所述初期密匙生成编码，并用取得的所述初期密匙生成编码和所述控制装置所保持的所述密匙生成逻辑进行演算而生成初期密匙，并储存生成的初期密匙，所述信息中心被构成为，通过网络将所述追加密匙发送给所述追加电子钥匙及所述控制装置的至少一方。

发明的另一个方面提供一种登录方法，将与通信对象进行加密通信的初期电子钥匙及追加电子钥匙登录至所述通信对象的控制装置上，具备：初期电子钥匙制造步骤，将初期密匙生成编码、及通过用所述初期密匙生成编码和初期密匙生成逻辑的演算而生成的初期密匙储存至所述初期电子钥匙中；初期控制装置制造步骤，将所述通信对象固有的识别信息和所述初期密匙生成逻辑储存至控制装置；钥匙首次登录步骤，从所述电子钥匙取得所述初期密匙生成编码，并用取得的所述初期密匙生成编码和所述控制装置保持的所述密匙生成逻辑进行演算而生成初始密匙，并将生成的初始密匙储存至所述控制装置；以及钥匙追加登录步骤，具有追加密匙的信息中心通过网络将所述追加密匙发送给所述追加电子钥匙及所述控制装置的至少一方。

根据本发明，在将电子钥匙首次登录至控制装置的钥匙首次登录步骤中，使用储存至电子钥匙的初期密匙生成编码生成初期密匙，并将其登录至控制装置。因此，在首次登录电子钥匙时，不需要除电子钥匙与控制装置之间的通信以外的通信，所以电子钥匙的登录能可靠地进行。

附图说明

图1是一实施方式的电子钥匙系统的框图。

图2是示出在车辆和电子钥匙的通信中所使用的无线信号的时序图。

图3是子钥匙登录系统的框图。

图4是用于说明电子钥匙的首次登录的框图。

图5是用于说明电子钥匙的补充登录的框图。

图6是写入器的框图。

图7是信息中心的框图。

图8示出工作人员ID和登录工具ID的对应表。

图9示出电子钥匙ID和车载器ID的对应表。

图10是车辆的框图。

图11是电子钥匙的框图。

图12是登录工具的框图。

图13是首次登录的流程图。

图14、图15、图16、图17是补充登录的流程图。

图18是其他例的电子钥匙登录系统的框图。

具体实施方式

以下，对按照本发明的一实施方式的电子钥匙登录系统进行说明。

如图1所示，电子钥匙系统3包含：设于车辆1的校验ECU（Electronic Control Unit：电子控制单元）4；以及具有电子钥匙ID的电子钥匙2。电子钥匙2由于从车辆1发送的信号而被触发，回复电子钥匙ID。电子钥匙系统3通过车辆1与电子钥匙2之间的双向通信判断电子钥匙2的合法性。电子钥匙2只要是能无线发送电子钥匙ID的钥匙，则没有特别限定。电子钥匙系统3是例如免钥匙操作系统、防盗系统等。车辆1是通信对象的一例。

对电子钥匙系统3是免钥匙操作系统的例子进行说明。车辆1和电子钥匙2利用窄带无线（通信距离：数m）进行认证处理。校验ECU4对接收的电子钥匙ID进行校验。校验ECU4与车内的总线7连接。在该总线7上可连接对车载电气元件的电源进行管理的车体ECU5、对发动机进行控制的发动机ECU6。校验ECU4包含存储器4a，存储器4a存储有登录完成的电子钥匙的电子钥匙ID、使用于询问响应认证处理的初期密匙K、作为车辆1的固有ID的车载设备车载器ID（载体ID）等。初期密匙K与电子钥匙ID相关联。例如，在多个电子钥匙2登录于车辆1的情况下，电子钥匙ID和初期密匙K的多个组储存至存储器4a。在校验ECU4上连接着一个或者多个通信器。图1中示出发送LF（Low Frequency：低频）带的电波的发送器8和接收UHF（Ultra High Frequency：超高频）带的电波的车辆接收器9。发送器8是形成车外通信区域的车外发送器和形成车内通信区域的车内发送器的总称。校验ECU4是通信对象的控制装置的一例。车载设备车载器ID是通信对象固有的识别信息的一例。

电子钥匙2包含钥匙控制部10，钥匙控制部10控制电子钥匙2。钥匙控制部10包含存储器10a，存储器10a存储电子钥匙ID、车载器ID、初期密匙K等。钥匙控制部10与接收部11和发送部12连接，接收部11接收LF电波，发送部12发送UHF电波。

在车辆1停车时（例如车门被上锁，发动机停止时），车外的发送器8从车辆1向数m的车外通信区域以规定的间隔发送唤醒信号Swk，执行车外智能通信。位于车外通信区域内的电子钥匙2当接收唤醒信号Swk时启动，从发送部12发生肯定应答（acknowledgement：承认）信号Sack1。当车辆1的接收器9接收该肯定应答信号Sack1时，校验ECU4从车外的发送器8发送车载器ID信号Svi。电子钥匙2当接收车载器ID信号Svi时，执行车载器ID校验。在车载器ID的校验成立时，电子钥匙2发送肯定应答信号Sack2。

接着，校验ECU4为了执行询问响应认证处理，从车外的发送器8发送询问Sch。询问Sch包含询问编码和钥匙编号，询问编码在每次发送时不同，钥匙编号表示该电子钥匙2是登录至车辆1的第几个电子钥匙。电子钥匙2的钥匙控制部10当接收询问Sch时，首先进行钥匙编号校验，如果钥匙编号校验成立，用接收的询问编码和电子钥匙2的初期密匙K进行演算而生成响应编码。钥匙控制部10发送包含该响应编码和电子钥匙ID的响应Srs。校验ECU4在将询问Sch发送给电子钥匙2前或后，用校验ECU4具有的密匙K和询问编码进行演算而生成响应编码，并将其保持。校验ECU4基于保持的响应编码，对从电子钥匙2接收的响应Srs所包含的响应编码是否正确进行判断（响应校验）。校验ECU4对响应Srs所包含的电子钥匙ID是否正确进行判断（电子钥匙ID校验）。并且，校验ECU4当确认出响应校验和电子钥匙ID校验均成立时，判断为智能校验（车外校验）成立，许可或者执行基于车体ECU5的门锁锁定/解锁。

校验ECU4当利用例如门控开关（省略图示）检测出驾驶员乘车时，从车内的发送器8向车内通信区域发送唤醒信号Swk，开始进行车内智能通信。优选车内通信区域与整个车内相对应。在车内接收该唤醒信号Swk的电子钥匙2和校验ECU4执行车内智能校验。当车内智能校验成立时，校验ECU4许可基于发动机开关13的电源和发动机的操作。

防盗系统的车辆1和电子钥匙2通过近距离（例如10cm程度的通信距离）的无线通信执行认证处理。电子钥匙2能利用从车辆1发送的防盗系统用的电波产生电动势而驱动。因此，电子钥匙2能以无电源进行防盗系统的通信。近距离的无线通信可使用例如NFC（Near Field Communication：近场通信）规格等通信规格。

图3示出用于将电子钥匙2登录至车辆1的电子钥匙登录系统14。电子钥匙登录系统14有：首次登录，将电子钥匙登录至该车辆1（例如校验ECU4）上；以及补充登录，对于至少一个电子钥匙已经被登录的车辆，在例如车辆1出货后，将追加的电子钥匙登录至该车辆1（例如校验ECU4）上（也称为追加登录）。有时将首次登录至车辆的电子钥匙称为初期电子钥匙2a。有时将补充登录至车辆的电子钥匙称为追加电子钥匙2b。初期电子钥匙2a可以是主钥匙。追加电子钥匙2b可以是子钥匙。在一例中，首次登录在车辆1的出货前由制造工厂执行，补充登录在车辆1出货后由车辆销售店或者修理工厂等授权店执行。首次登录可按照使用专用的登录用编码（图4所示的SEED编码Cr）的工具登录方式实施。补充登录可按照使用网络的网络登录方式实施。SEED编码Cr是初期密匙生成编码的一例。

如图4所示，在工具登录方式中，为了生成应登录至初期电子钥匙2a的密匙K1，电子钥匙2a将SEED编码Cr发送给车辆1。车辆1的校验ECU4用接收的SEED编码Cr进行演算而生成密匙K1，并将生成的密匙K1储存。这样，在首次登录中，密匙K1不在电子钥匙2a与校验ECU4之间发送。取而代之，电子钥匙2a和校验ECU4用SEED编码Cr生成密匙K1并将其登录。因此，在首次登录时，能减少或者防止密匙K1的被盗。在优选的例子中，在电子钥匙2a将SEED编码Cr发送给车辆1后，从电子钥匙2a将SEED编码Cr删除。

按照工具登录方式的登录作业在工厂等预先被认可的区域中进行。工具登录方式使用SEED编码Cr，而不使用车载器ID等车辆1的固有ID，将电子钥匙2a登录至车辆1的校验ECU4。

电子钥匙2a的钥匙控制部10包含钥匙侧登录处理器16，钥匙侧登录处理器16执行电子钥匙2a内的钥匙登录动作。SEED编码Cr预先存储至电子钥匙2a的存储器10a。SEED编码Cr仅在首次将电子钥匙登录至车辆1时使用。不同的电子钥匙具有不同的SEED编码。

对可在工具登录方式中使用的登录工具15进行说明。登录工具15包含：控制登录工具15的工具控制部17；检测用户的登录操作的操作部18；以及显示各种画面的显示部19。工具控制部17包含首次登录要求部20，首次登录要求部20按照操作部18的检测结果，将首次登录要求发送给车辆1。例如，当操作部18检测出首次将电子钥匙登录至车辆1的操作时，首次登录要求部20将首次登录要求发送给车辆1，首次登录要求将校验ECU4的动作模式切换为首次登录模式。成为首次登录模式的校验ECU4开始进行首次登录处理。

登录工具15的连接器22通过电缆23与车辆1的连接端口21连接。登录工具15能通过有线通信与校验ECU4进行数据通信。

车辆1的校验ECU4包含车辆侧登录处理器24，车辆侧登录处理器24在车辆1侧执行钥匙登录动作。校验ECU4的存储器4a将密匙生成逻辑f存储，密匙生成逻辑f用于生成密匙K1。校验ECU4在存储器4a设置有登录许可标志Y时，能开始进行电子钥匙2a向该校验ECU4的首次登录。密匙生成逻辑f有时称为初期密匙生成逻辑。

车辆侧登录处理器24包含模式切换部25、车载器ID写入部26、SEED编码读入部27、密匙生成部28、密匙登录部29、以及钥匙ID登录部30。模式切换部25当从登录工具15接收首次登录要求时，将校验ECU4的动作模式切换为首次登录模式。

车载器ID写入部26在校验ECU4是首次登录模式时，将校验ECU4具有的车载器ID无线发送给电子钥匙2a。电子钥匙2a将接收的车载器ID保持。

编码读入部27从电子钥匙2a取得SEED编码Cr。密匙生成部28由该SEED编码Cr生成密匙K1。密匙登录部29将所生成的密匙K1登录到校验ECU4的存储器4a。

在图示的例子中，在电子钥匙ID一个也没有登录至校验ECU4时，登录许可标志Y在存储器4a中立起，在该情况下，能进行电子钥匙2a的首次登录。在一例中，SEED编码读入部27将SEED编码取得要求发送给电子钥匙2a，通过无线从电子钥匙2a取得SEED编码Cr。密匙生成部28通过用取得的SEED编码Cr和密匙生成逻辑f进行演算而生成密匙K1。密匙登录部29和钥匙ID登录部30将所生成的密匙K1和电子钥匙2a的电子钥匙ID相互关联地储存至存储器4a，由此进行电子钥匙2a的首次登录。

在将密匙K1储存至存储器4a后，密匙登录部29为了禁止以后的首次登录处理而禁止密匙生成逻辑f的使用。在校验ECU4、登录工具15或者电子钥匙2a检测出规定的禁止操作时，首次登录处理可以被禁止。规定的禁止操作是将例如车辆1的发动机开关重复开/关规定次数（例如20次）的操作。

对网络登录方式进行说明。图5中电子钥匙登录系统14利用信息中心31和写入器32，信息中心31在按照网络登录方式将电子钥匙登录的情况下与网络连接，并能进行无线通信，写入器32被保管于电子钥匙2和/或校验ECU4的制造工厂等可限制除了被认可的人之外的人的侵扰的场所。通过车辆1、电子钥匙2b、登录工具15、信息中心31以及写入器32协作，从而将电子钥匙2b登录至车辆1。如以下说明的那样，在网络登录方式中，在将追加电子钥匙2b的密匙K2登录至车辆1时，密匙K2不从电子钥匙2b直接发送给车辆1。

在写入器32的存储器32a中储存有：车载器中心钥匙33，其在将密匙K2补充登录（追加登录）至校验ECU4时使用；以及电子钥匙中心钥匙34，其在将密匙K2补充登录（追加登录）至电子钥匙2b时使用。因为写入器32在可限制除了被认可的人之外的人的侵扰的情况下被保管，所以车载器中心钥匙33、电子钥匙中心钥匙34从写入器32被盗的可能性低。车载器中心钥匙33是控制装置专用密匙的一例。电子钥匙中心钥匙34是追加电子钥匙专用密匙的一例。

车载器中心钥匙33共同地被保持在车辆1和信息中心31两者。对不同的车辆分配不同的车载器中心钥匙33。车载器中心钥匙33是在将密匙K2登录至车辆1和电子钥匙2b时，用于对在校验ECU4与信息中心31之间进行的数据通信加密的密匙。电子钥匙中心钥匙34共同地被保持在电子钥匙2b和信息中心31两者。对不同的电子钥匙2b分配不同的电子钥匙中心钥匙34。电子钥匙中心钥匙34是在将密匙K2登录至车辆1和电子钥匙2b时，用于对在电子钥匙2b与信息中心31之间进行的数据通信加密的密匙。

如图6所示，写入器32包含：车载器中心钥匙写入部35，其将车载器中心钥匙33写入车辆1（校验ECU4）；以及电子钥匙中心钥匙写入部36，其将电子钥匙中心钥匙34写入电子钥匙2b。写入器32可设置于例如车辆1的生产线。在优选的例子中，车载器中心钥匙写入部35在生产线中将车载器中心钥匙33通过有线直接发送给校验ECU4。电子钥匙中心钥匙写入部36在生产线中将电子钥匙中心钥匙34通过有线直接发送给电子钥匙2b的钥匙控制部10。

参照图7说明信息中心31。信息中心31包含存储器31a，存储器31a存储有：钥匙数据库37，其被登录电子钥匙ID和电子钥匙中心钥匙34的组；以及车数据库38，其被登录车载器ID和车载器中心钥匙33的组。如上所述，信息中心31具有的车载器中心钥匙33与校验ECU4具有的车载器中心钥匙33相同，信息中心31具有的电子钥匙中心钥匙34与电子钥匙2b具有的电子钥匙中心钥匙34相同。

信息中心31可以从写入器32取得车载器中心钥匙33和电子钥匙中心钥匙34。在另一例子中，信息中心31将信息中心31具有的车载器中心钥匙33和电子钥匙中心钥匙34分发给写入器32。在非限定性的例子中，车载器中心钥匙33和电子钥匙中心钥匙34可通过输入装置以手动输入输入至信息中心31、写入器32。

在图示的例子中，在信息中心31的存储器31a存储有工具数据库40，工具数据库40被登录登录工具15的工具ID和工具中心钥匙39的组。信息中心31通过参照工具数据库40，能对与密匙K2的登录作业有关的登录工具15是否被认可进行判断。在该例子中，被认可的登录工具15的使用是追加电子钥匙2b的登录的一个条件。工具中心钥匙39是在将密匙K2登录至车辆1时，用于对在登录工具15与信息中心31之间进行的数据通信加密的密匙。对不同的登录工具15分配不同的工具中心钥匙39。登录工具ID可以是在登录工具15的制造时赋予给各登录工具15的固定编号。

在图示的例子中，在信息中心31的存储器31a设有工作人员数据库41，工作人员数据库41被登录工作人员ID和密码的组。信息中心31通过参照工作人员数据库41，能对与密匙K2的登录作业有关的工作人员是否是被认可的人进行判断。在该例子中，被认可的工作人员进行登录作业是追加电子钥匙2b的登录的一条件。工作人员ID例如是属于被电子钥匙登录系统14认可的公司、团体的社员（会员）的登录编号。密码在申请认可时由例如工作人员设定。基于工作人员ID和密码的工作人员认证是一例，在另一例中，可采用指纹、声音等活体认证、IC卡认证。

信息中心31包含通信部42，通信部42用于与车辆1以及登录工具15进行双向无线通信。通信部42能通过如IP（Internet Protocol：互联网协议）通信的网络通信与登录工具15进行通信。

信息中心31包含中心侧预登录认证部43，中心侧预登录认证部43对通信对方进行认证。中心侧预登录认证部43在信息中心31与登录工具15之间询问响应认证成立时，将信息中心31的动作模式切换为补充登录模式。

信息中心31包含中心侧登录处理器44，中心侧登录处理器44在进入补充登录模式后实施密匙K2的登录动作。中心侧登录处理器44包含中心侧认证处理部45、随机数生成器46、加密处理部47、登录编码输出部48、ID对登录部49。

中心侧认证处理部45在补充登录模式中执行针对通信对方的认证处理，在认证成立时，许可电子钥匙2b向车辆1的补充登录。

随机数生成器46生成作为在电子钥匙系统3中所使用的密匙K2的随机数。这样，信息中心31生成和管理在电子钥匙系统3中所使用的密匙K2。

加密处理部47利用存储器31a内的车载器中心钥匙33对车载器ID、电子钥匙ID以及密匙K2加密，由此生成车载器登录编码Ccr。另外，加密处理部47利用存储器31a内的电子钥匙中心钥匙34对车载器ID、电子钥匙ID以及密匙K2加密，由此生成电子钥匙登录编码Cdk。车载器登录编码Ccr和电子钥匙登录编码Cdk各自包含车载器ID、电子钥匙ID以及密匙K2作为被加密的信息，所以为了将密匙K2登录至车辆1和电子钥匙2，需要车载器登录编码Ccr和电子钥匙登录编码Cdk的解密。车载器登录编码Ccr是追加控制装置加密编码的一例。电子钥匙登录编码Cdk是追加电子钥匙加密编码的一例。

登录编码输出部48通过例如通信部42，将加密处理部47生成的车载器登录编码Ccr和电子钥匙登录编码Cdk分别提供给车辆1和电子钥匙2b。

ID对登录部49将密匙K2与车辆1以及电子钥匙2b相对应地登录至信息中心31。例如，ID对登录部49当确认出密匙K2向车辆1和电子钥匙2b的正常登录完成时，将被登录相同密匙K2的车辆1以及电子钥匙2b的车载器ID和电子钥匙ID的组储存至存储器31a。这样，车载器ID和电子钥匙ID相关联地成对地储存至信息中心31。

信息中心31的存储器31a存储密匙数据库50，密匙数据库50被登录车载器ID和密匙K（K1，K2）的组。信息中心31通过参照密匙数据库50，能确定与车载器ID相对应的密匙K。密匙数据库50将SEED编码Cr与车载器ID相对应地存储。

信息中心31的存储器31a将异常ID数据库51和异常工具ID数据库52、工具工作人员ID表53、以及电子钥匙车载器ID组合表54存储。异常ID数据库51将登录完成的电子钥匙ID等异常ID存储至例如被盗车辆的车载器ID、其他车辆。异常工具ID数据库52将处于例如被盗的登录工具15的ID等异常工具ID存储。

如图8所示，工具工作人员ID表53示出工作人员ID和登录工具ID的对应关系。如图9所示，电子钥匙车载器ID组合表54示出电子钥匙ID和车载器ID的对应关系。

如图10所示，校验ECU4包含车载器中心钥匙取得部55，车载器中心钥匙取得部55从写入器32取得车载器中心钥匙33，将该车载器中心钥匙33储存至存储器4a。

车辆1能通过与连接端口21连接的登录工具15与信息中心31进行双向通信。通过登录工具15，将从信息中心31发送的车载器登录编码Ccr提供给连接端口21。车辆1可以具备与信息中心31直接进行通信的通信器。该通信器可以是通过总线57与校验ECU4连接的G-Book(TM)通信装置56。

车辆侧登录处理器24具备：车辆侧预登录认证部58，其在进入补充登录模式前对通信对方的合法性进行认证；车辆侧认证处理部59，其在补充登录模式中与通信对方协作地执行各种认证；车载器登录编码取得部60，其从信息中心31通过无线取得车载器登录编码Ccr；解密处理部61，其对车载器登录编码取得部60取得的车载器登录编码Ccr进行解密；车载器登录编码判定部62，其对解密后的车载器登录编码Ccr是否合法进行判定；以及车辆侧登录处理部63。

车辆侧预登录认证部58在通过登录工具15的校验ECU4与信息中心31之间的询问响应认证成立时，将校验ECU4的动作模式切换为补充登录模式。车辆侧认证处理部59在补充登录模式中申请针对的电子钥匙2b的认证，通过登录工具15向信息中心31申请认证。

车载器登录编码取得部60通过G-Book(TM)通信装置56取得从信息中心31发送的车载器登录编码Ccr。解密处理部61利用车载器中心钥匙取得部55从信息中心31取得的车载器中心钥匙33，对车载器登录编码取得部60从写入器32取得的车载器登录编码Ccr解密。如果从信息中心31取得的车载器登录编码Ccr所包含的车载器中心钥匙33与从写入器32取得的车载器中心钥匙33相同，从信息中心31取得的车载器登录编码Ccr被正确地解密。在解密处理部61能对车载器登录编码Ccr正确地解密，而且该解密后数据所包含的车载器ID与车辆1的车载器ID一致时，车载器登录编码判定部62判定为车载器登录编码Ccr正确。

车辆侧登录处理部63在车载器登录编码Ccr正确时，将通过车载器登录编码Ccr的解密而得到的密匙K2登录至车辆1。密匙K2作为车辆1的认证用的钥匙被储存至存储器4a。

如图11所示，电子钥匙2b的钥匙控制部10包含电子钥匙中心钥匙取得部64，电子钥匙中心钥匙取得部64从写入器32取得电子钥匙中心钥匙34。电子钥匙中心钥匙取得部64将从写入器32取得的电子钥匙中心钥匙34储存至存储器10a。

钥匙侧登录处理器16包含钥匙侧预登录认证部65、钥匙侧认证处理部66、电子钥匙登录编码取得部67、解密处理部68、电子钥匙登录编码判定部69、以及钥匙侧登录处理部70。钥匙侧预登录认证部65在进入补充登录模式前对电子钥匙2b的通信对方进行认证，将电子钥匙2b切换为补充登录模式。

钥匙侧认证处理部66在补充登录模式中执行针对通信对方的认证处理。

电子钥匙登录编码取得部67通过接收部11从信息中心31取得电子钥匙登录编码Cdk。解密处理部61利用电子钥匙中心钥匙取得部64从写入器32取得的电子钥匙中心钥匙34对电子钥匙登录编码取得部67从信息中心31取得的电子钥匙登录编码Cdk解密。如果该电子钥匙登录编码Cdk所包含的电子钥匙中心钥匙34与从写入器32取得的电子钥匙中心钥匙34相同，则从信息中心31取得的电子钥匙登录编码Cdk被正确解密。电子钥匙登录编码判定部69在解密处理部61能对电子钥匙登录编码Cdk正确地解密、并且其解密后数据所包含的电子钥匙ID与电子钥匙2的电子钥匙ID一致时，判定为电子钥匙登录编码Cdk正确。

钥匙侧登录处理部70在电子钥匙登录编码Cdk正确时，将从电子钥匙登录编码Cdk得到的密匙K2登录至电子钥匙2b。密匙K2作为电子钥匙2b的认证用的钥匙被存储至存储器10a。

如图12所示，登录工具15包含能收发各种电波的通信部71。登录工具15能通过通信部71与信息中心31进行基于无线的双向通信。另外，登录工具15能通过电缆23与车辆1连接，能与车辆1进行有线通信。登录工具15取在将电子钥匙2b补充登录至车辆1时携带的手持型。

在工具控制部17的存储器17a中被登录工具中心钥匙39，工具中心钥匙39与被登录至信息中心31的工具中心钥匙39同样。这是为了使登录工具15和信息中心31相对应。另外，在工具控制部17的存储器17a存储有登录工具15固有的登录工具ID。

工具控制部17包含工具侧认证部72和ID登录管理部73。工具侧认证部72对登录工具15的通信对方进行认证。工具侧认证部72通过电缆23与车辆1执行有线通信。

ID登录管理部73通过将从操作部18提供或者通过无线通信提供的登录工具ID储存至存储器17a，从而将登录工具ID登录至登录工具15。

接着，对电子钥匙登录系统14的动作进行说明。

首先，使用图4和图13对将电子钥匙首次登录至电子钥匙ID一个也没有被登录的车辆1上的动作进行说明。如图4所示，在车辆1制造时，车载器ID和密匙生成逻辑f被储存至校验ECU4的存储器4a（初期控制装置的制造步骤）。在校验ECU4的存储器4a中登录许可标志Y被立起，登录许可标志Y许可电子钥匙2a向校验ECU4的首次登录。由此，校验ECU4处于能进行电子钥匙2a的首次登录动作的状态。

另外，首次登录至校验ECU4的电子钥匙2a通过将SEED编码Cr和密匙K1储存至存储器10a而被制造（初期电子钥匙的制造步骤）。电子钥匙2a的密匙K1通过用储存至存储器10a的SEED编码Cr和密匙生成逻辑f进行演算而生成，并将其储存至存储器10a。

如图13所示，在步骤S100中，当登录工具15检测出电子钥匙2a的首次登录开始操作时，登录工具15将首次登录要求提供给车辆1的校验ECU4。在图示的例子中，登录工具15利用有线通信将首次登录要求提供给校验ECU4。

在步骤S101中，校验ECU4的模式切换部25当从登录工具15接收首次登录命令时，以在存储器4a中登录许可标志Y立起为条件，将校验ECU4的动作模式切换为电子钥匙首次登录至校验ECU4的首次登录模式。

在步骤S102中，在为首次登录模式时，车载器ID写入部26将储存至校验ECU4的存储器4a的车载器ID从例如发送器8发送给电子钥匙2a。电子钥匙2a将接收的车载器ID储存。

在步骤S103中，电子钥匙2a的钥匙侧登录处理器16当由接收部11接收车载器ID时，将该车载器ID储存至存储器10a。

在步骤S104中，钥匙侧登录处理器16禁止车载器ID向存储器10a的写入。因此，可防止存储器10a内的车载器ID被改写。

在步骤S105中，校验ECU4的SEED编码读入部27在发送车载器ID之后紧接着将SEED编码发送要求从例如发送器8发送给电子钥匙2a。

在步骤S106中，当接收部11接收SEED编码发送要求时，钥匙侧登录处理器16应答该要求，将储存于存储器10a内的SEED编码从发送部12发送。

在步骤S107中，校验ECU4的密匙生成部28当从电子钥匙2a接收SEED编码时，通过用该SEED编码和存储器4a内的密匙生成逻辑f进行演算而生成密匙K1。这样，本例的校验ECU4不是从电子钥匙2a直接取得密匙K1，而是取得SEED编码，通过使用该SEED编码而生成密匙K1。

在步骤S108中，校验ECU4的密匙登录部29将由密匙生成部28生成的密匙K1储存至存储器4a。由此，电子钥匙2a和校验ECU4处于被登录相同的密匙K1的状态，所以在它们之间，询问响应认证等的认证通信能成立。

在步骤S109中，密匙登录部29在密匙K1登录后，将从电子钥匙2a取得的SEED编码废弃。另外，密匙登录部29在密匙K1登录后，作为要求删除SEED编码的通知，将SEED编码删除要求从发送器8发送给电子钥匙2a。

在步骤S110中，当接收部11接收SEED编码删除要求时，钥匙侧登录处理器16将写入到存储器10a的SEED编码删除。

在步骤S111中，密匙登录部29当SEED编码的删除完成时，将登录许可标志Y解除，并且禁止校验ECU4中的密匙生成逻辑f的使用。由此，校验ECU4不能实施电子钥匙的首次登录动作。

在步骤S112中，钥匙侧登录处理器16将登录至存储器10a的电子钥匙ID从发送部12无线发送至车辆1。

在步骤S113中，钥匙ID登录部30将从电子钥匙2a接收的电子钥匙ID与对应的密匙K1相关联地储存至存储器4a。由此，电子钥匙ID、车载器ID以及密匙K1相互相关联地被登录至车辆1和电子钥匙2a两者。步骤S100～S113是钥匙首次登录步骤的一例。

登录工具15通过有线通信取得登录了密匙K1的车载器ID、电子钥匙ID、以及此时使用的SEED编码Cr。并且，作业者将完成登录的车载器ID和SEED编码的组从登录工具15直接发送给信息中心31，或者通过操作信息中心31的操作器而提供给信息中心31。信息中心31将新获取的车载器ID、电子钥匙ID以及SEED编码的组写入到密匙数据库50，并保持于自身。

接着，使用图14～图17对将电子钥匙2b追加至车辆1的补充登录的动作进行说明。首先，作为前提，在校验ECU4的生产线中，从写入器32将车载器中心钥匙33发送给校验ECU4，由此车载器中心钥匙33预先写入到校验ECU4（追加控制装置的制造步骤）。另外，同样，在电子钥匙2b的生产线中，从写入器32将电子钥匙中心钥匙34发送给电子钥匙2b的钥匙控制部10，由此将电子钥匙中心钥匙34预先储存至电子钥匙2b（追加电子钥匙的制造步骤）。如上，处于如下状态：车载器中心钥匙33被登录至校验ECU4，并且电子钥匙中心钥匙34被登录至电子钥匙2b的钥匙控制部10。

另外，工作人员对例如登录工具15的操作部18进行手动输入，或者用配备登录工具的传感器获取活体信息，从而将工作人员ID和密码输入到登录工具15。

接着，在车辆1的附近，在手边准备想要进行补充登录（追加登录）的电子钥匙2b和登录工具15，利用电缆23将登录工具15连接到车辆1，使登录工具15处于能与信息中心31进行无线通信的状态。另外，信息中心31也打开电源，信息中心31也设定为登录的开始状态。此外，所谓开始状态是指实际的补充登录模式前的准备阶段，进入该开始状态的操作能采用各种方式。

并且，在步骤S201中，当通过用登录工具15对操作部18进行操作而进行密匙K2的补充登录操作时，工具侧认证部72将有线连接命令作为补充登录操作开始的通知提供给校验ECU4。

在步骤S202中，车辆侧预登录认证部58当接收该有线连接命令时启动，作为其应答将车载器ID发送给登录工具15。

在步骤S203中，工具侧认证部72当从车辆1取得车载器ID时，将其暂时保持于存储器17a，并且将使信息中心31开始进行电子钥匙2b的补充登录的登录要求、登录至存储器17a的登录工具ID、以及在登录工具15启动时输入的工作人员ID（包含密码）通过无线通信发送给信息中心31。

在步骤S204中，中心侧预登录认证部43应答来自登录工具15的登录要求而启动，对登录工具ID和工作人员ID进行验证。此时的ID验证是对接收的登录工具ID和工作人员ID是否是被登录至存储器31a的ID进行确认的验证。另外，中心侧预登录认证部43参照异常工具ID数据库52，对取得的登录工具ID是否成为异常ID进行确认。而且，中心侧预登录认证部43参照工具工作人员ID表53，对取得的登录工具ID和工作人员ID是否取正确的组合也进行确认。中心侧预登录认证部43当确认出这些验证全部成立时，转移到下一步骤，当验证一个也不成立时，结束处理。

在步骤S205中，中心侧预登录认证部43开始与登录工具15进行基于工具中心钥匙39的询问响应认证。此时，中心侧预登录认证部43将第1询问发送给登录工具15。第1询问是每当发送时值每次变化的随机数编码。

在步骤S206中，工具侧认证部72当从信息中心31接收第1询问时，通过用该第1询问和登录至登录工具15的工具中心钥匙39进行演算而生成第1响应，将该第1响应发送给信息中心31。

在步骤S207中，中心侧预登录认证部43当从登录工具15接收第1响应时，对接收的第1响应和自身也同样地演算的响应进行比较，从而执行响应验证。即，信息中心31对登录工具15的合法性进行认证。中心侧预登录认证部43当确认出与登录工具15的询问响应认证成立时，转移到下一步骤，当确认出询问响应认证不成立时，结束处理。

在步骤S208中，信息中心31转移到补充登录模式，中心侧登录处理器44启动。

在步骤S209中，中心侧认证处理部45利用散列函数制作工具中心临时钥匙（以下记为工具中心temp钥匙74）。工具中心temp钥匙74可以是按照散列函数对发送给登录工具15的第1询问、从登录工具15接收的第1响应、以及登录至信息中心31的存储器31a中的工具中心钥匙39进行演算而生成的散列值。工具中心temp钥匙74是为了防止密匙K2错误的登录而发挥作用的钥匙。

在步骤S210中，工具侧认证部72利用与信息中心31同样的步骤来制作工具中心temp钥匙74。即，工具侧认证部72通过用从信息中心31接收的第1询问、自身算出的第1响应、登录至登录工具15的工具中心钥匙39、以及散列函数进行演算而求出散列值，将该散列值作为工具中心temp钥匙74而算出。

在步骤S211中，工具侧认证部72当制作工具中心temp钥匙74时，将补充登录模式转移要求提供给车辆1的校验ECU4。

在步骤S212中，车辆侧预登录认证部58当从登录工具15接收补充登录模式转移要求时，将登录至校验ECU4的车载器ID提供给登录工具15。此时，车辆侧预登录认证部58也开始进行基于车载器中心钥匙33的询问响应认证，第2询问也与车载器ID一起提供给登录工具15。工具侧认证部72当从车辆1接收车载器ID和第2询问时，将这些无线发送给信息中心31。

在步骤S213中，中心侧认证处理部45当从登录工具15接收车载器ID和第2询问时，首先参照信息中心31的存储器31a，读出与车载器ID对应的车载器中心钥匙33。但是，车载器中心钥匙33是各车辆1的固有值，与同样是车辆1的固有值的车载器ID唯一地相对应。中心侧认证处理部45以接收的车载器ID为线索，读出与其对应的车载器中心钥匙33。

在步骤S214中，中心侧认证处理部45通过用从登录工具15接收的第2询问、在步骤S213中读出的车载器中心钥匙33进行演算而生成第2响应，将该第2响应无线发送给登录工具15。工具侧认证部72当从信息中心31接收第2响应时，将其提供给车辆1。

在步骤S215中，车辆侧预登录认证部58当从登录工具15接收第2响应时，对该第2响应和自身也同样地演算的响应进行比较，从而执行响应验证。即，车辆1对信息中心31的合法性进行认证。车辆侧预登录认证部58当确认出与登录工具15的询问响应认证成立时，转移到下一步骤，当确认出询问响应认证不成立时，结束处理。

在步骤S216中，车辆1、即校验ECU4转移到补充登录模式，车辆侧登录处理器24启动。

在步骤S217中，车辆侧认证处理部59利用散列函数制作车载器中心临时钥匙（以下记为车载器中心temp钥匙75）。车载器中心temp钥匙75可以是通过按照散列函数对发送给信息中心31的第2询问、从信息中心31接收的第2响应、以及登录至校验ECU4的存储器4a的车载器中心钥匙33进行演算而生成的散列值。车载器中心temp钥匙75也在登录时用每次不同的值制作，为登录时的仅1次使用有效的钥匙。车载器中心temp钥匙75是为了防止密匙K2错误的登录而发挥作用的钥匙。

在步骤S218中，中心侧认证处理部45利用与车辆1同样的步骤制作车载器中心temp钥匙75。即，中心侧认证处理部45用从车辆1接收的第2询问、自身算出的第2响应、登录至信息中心31的车载器中心钥匙33、以及散列函数进行演算而求出散列值，将该散列值作为车载器中心temp钥匙75而算出。

在步骤S219中，车辆侧认证处理部59将车载器ID取得要求从发送器8无线发送给电子钥匙2b。车载器ID取得要求是使电子钥匙2b回复车载器ID的要求信号。

在步骤S220中，钥匙侧认证处理部66当由接收部11接收车载器ID取得要求时，将登录至电子钥匙2b的车载器ID读入。但是，如果电子钥匙2b是密匙登录作业已经完成的钥匙，则车载器ID完成登录，从登录对象删除。因此，通过对登录至电子钥匙2的车载器ID进行确认，能对密匙K2已登录／未登录至电子钥匙2b进行验证。

在步骤S221中，钥匙侧认证处理部66从发送部12无线发送车载器ID。此时，如果电子钥匙2b的钥匙登录作业完成，则车载器ID被回复，如果电子钥匙2的钥匙未登录，则车载器ID不被回复。

在步骤S222中，车辆侧认证处理部59对从电子钥匙2b接收的车载器ID进行验证。此时，车辆侧认证处理部59对从电子钥匙2b接收的车载器ID和登录至车辆1的车载器ID进行比较，由此对车载器ID进行验证。并且，如果车载器ID未登录至电子钥匙2b，则车辆侧认证处理部59进入下一步骤，如果车载器ID已登录至电子钥匙2b，则结束处理。

在步骤S223中，校验ECU4将补充登录模式转移要求和电子钥匙ID取得要求从发送器8发送至电子钥匙2b。补充登录模式转移要求是使电子钥匙2b转移到补充登录模式的指令。另外，电子钥匙ID取得要求是使电子钥匙2b向车辆1回复电子钥匙ID的指令。

在步骤S224中，电子钥匙2b、即钥匙控制部10转移到补充登录模式，钥匙侧登录处理器16启动。

在步骤S225中，钥匙侧认证处理部66当由接收部11接收电子钥匙ID取得要求时，将登录至电子钥匙2b的电子钥匙ID读入。

在步骤S226中，钥匙侧认证处理部66将登录至电子钥匙2b的电子钥匙ID从发送部12无线发送至车辆1。

在步骤S227中，车辆侧认证处理部59将从电子钥匙2b接收的电子钥匙ID通过有线通信传送给登录工具15。

在步骤S228中，工具侧认证部72当从车辆1接收电子钥匙ID时，制作密文76和MAC（Message Authentication Code：消息认证码）数据（窜改检测字符数据）77。

在优选的例子中，密文76通过按照加密算法对工具中心钥匙39和明文（车载器ID、电子钥匙ID、第1询问）进行演算而生成。密文76内的第1询问相当于在步骤S205中信息中心31发送给登录工具15的询问。这样，使密文76内包含第1询问是因为：通过确认与步骤S205的第1询问一致，从而确认所发送的密文76是在一连串登录作业中被制作的、即不是以前制作的密文。

MAC数据77是在信息中心31中为了进行MAC认证而使用的数据。MAC认证是为了防止消息窜改的认证的一种，通过用消息、钥匙以及加密用的算法进行演算而生成认证编码、所谓的MAC，将其作为数据发送给通信对方进行认证。MAC的算法可以是例如块加密（DES（Data Encryption Standard：数据加密标准）、AES（Advanced Encryption Standard：高级加密标准）等）、基于散列函数的算法、专用设计的算法等。MAC数据77可以是通过按照MAC算法对用登录工具15生成的工具中心temp钥匙74和作为明文的密文76进行演算而生成的字符。

在步骤S229中，工具侧认证部72将密文76和MAC数据77发送给信息中心31。

在步骤S230中，中心侧认证处理部45使用从登录工具15接收的密文76和MAC数据77，执行MAC验证和异常ID验证。中心侧认证处理部45通过确认用由信息中心31生成的工具中心temp钥匙74是否能正确地对MAC数据77解密，从而对MAC验证的成立可否进行判定，如果MAC验证成立，则正确地取得密文76。并且，中心侧登录处理器44用工具中心钥匙39对该密文76解密，取得车载器ID、电子钥匙ID以及第1询问。

中心侧认证处理部45对从登录工具15接收的车载器ID和电子钥匙ID是否作为异常ID被登录至异常ID数据库51进行调查（异常ID验证）。另外，中心侧认证处理部45通过对密文76内的第1询问是否与在步骤S205中取得的第1询问一致进行调查，从而对密文76是否为正规数据进行判定。

中心侧认证处理部45参照电子钥匙车载器ID组合表54，对取得的电子钥匙ID和车载器ID是否为正确的组合进行调查（异常ID验证）。中心侧认证处理部45在MAC验证和异常ID验证两者成立时转移到步骤S231，但是在MAC验证和异常ID验证的至少一方不成立时结束处理。

在步骤S231中，信息中心31开始进行密匙K2的发送动作。例如，首先随机数生成器46将随机数编码作为密匙K2提供给加密处理部47。加密处理部47将使用的电子钥匙中心钥匙34和车载器中心钥匙33从存储器31a读出，用这些对密匙K2加密。在本例的情况下，利用电子钥匙中心钥匙34对密匙K2加密而生成电子钥匙登录编码Cdk，利用车载器中心钥匙33对密匙K2加密而生成车载器登录编码Ccr。

在步骤S232中，登录编码输出部48通过登录工具15将生成的车载器登录编码Ccr发送给校验ECU4。车载器登录编码Ccr包含密文78和MAC数据79。在优选的例子中，密文78通过按照加密算法对车载器中心钥匙33和由密匙K2、电子钥匙ID以及车载器ID构成的明文进行演算而生成。另外，MAC数据79可以是通过按照MAC算法对车载器中心temp钥匙75和作为明文的所述的密文78进行演算而生成的字符。

在步骤S233中，登录编码输出部48通过登录工具15和车辆1将生成的电子钥匙登录编码Cdk发送给电子钥匙2b。电子钥匙登录编码Cdk可以是利用电子钥匙中心钥匙34加密的密文。在优选的例子中，电子钥匙登录编码Cdk是通过按照加密算法对电子钥匙中心钥匙34和由密匙K2、车载器ID以及电子钥匙ID构成的明文进行演算而生成的密文。

在步骤S234中，校验ECU4的车载器登录编码取得部60取得从信息中心31发送的车载器登录编码Ccr，解密处理部61对该车载器登录编码Ccr解密。在一例中，解密处理部61通过用车载器登录编码Ccr内的密文78和储存至存储器4a的车载器中心钥匙33进行演算而对密文78解密。另外，解密处理部61用在车辆1中生成的车载器中心temp钥匙75对车载器登录编码Ccr内的MAC数据79解密。

在步骤S235中，车载器登录编码判定部62对是否能对MAC数据79正确地解密进行调查（MAC验证）。如果该MAC验证成立，则判断为密文78被正确地解密。另外，车载器登录编码判定部62对通过对密文78解密而得到的车载器ID与登录至车辆1的车载器ID是否一致进行调查（车载器ID验证）。车载器登录编码判定部62在MAC认证和车载器ID验证两者成立时，转移到下一步骤S236，但是如果MAC验证和车载器ID验证的至少一方不成立，则结束处理。

在步骤S236中，钥匙控制部10的电子钥匙登录编码取得部67取得从信息中心31发送的电子钥匙登录编码Cdk，解密处理部61对该电子钥匙登录编码Cdk解密。在一例中，解密处理部61通过用从信息中心31取得的电子钥匙登录编码Cdk和写入到存储器10a的电子钥匙中心钥匙34进行演算而对电子钥匙登录编码Cdk解密。

在步骤S237中，电子钥匙登录编码判定部69对通过对电子钥匙登录编码Cdk解密而得到的电子钥匙ID与登录至电子钥匙2b的电子钥匙ID是否一致进行调查（电子钥匙ID验证）。电子钥匙登录编码判定部69在电子钥匙ID验证成立时，转移到下一步骤S238，但是如果电子钥匙ID验证不成立，则结束处理。

在步骤S238中，车辆侧认证处理部59为了确认从信息中心31接收的密匙K2的正确与否，用密匙K2开始进行询问响应认证。在一例中，车辆侧认证处理部59生成第3询问，将其从发送器8发送给电子钥匙2。

在步骤S239中，钥匙侧认证处理部66当从车辆1接收第3询问时，通过用该第3询问和电子钥匙2b从信息中心31得到的密匙K2进行演算而生成第3响应，将该第3响应从发送部12发送给车辆1。

在步骤S240中，车辆侧认证处理部59对从电子钥匙2b接收的第3响应和车辆侧认证处理部59进行同样的演算而生成的响应进行比较，对两响应是否一致进行验证（响应验证）。车辆侧认证处理部59当确认出与电子钥匙2b的询问响应认证成立时，转移到下一步骤S241，但是如果询问响应认证不成立，则结束处理。

在步骤S241中，车辆侧认证处理部59制作密文80。在优选的例子中，密文80通过按照加密算法对由车辆1制作的车载器中心temp钥匙75和明文（车载器ID、电子钥匙ID、结果）进行演算而生成。密文80所包含的结果可以是示出电子钥匙2b能认证的通知。

在步骤S242中，车辆侧认证处理部59通过登录工具15将制作的密文80提供给信息中心31。

在步骤S243中，中心侧认证处理部45使用密文80执行车载器ID和电子钥匙ID验证。例如，中心侧认证处理部45当从车辆1接收密文80时，用由信息中心31制作的车载器中心temp钥匙75对密文80解密。并且，中心侧认证处理部45对密文80所包含的车载器ID和电子钥匙ID是否符合存储至异常ID数据库51的异常ID进行调查。中心侧认证处理部45在车载器ID和电子钥匙ID验证两者均成立时，转移到下一步骤S244，但是如果车载器ID和电子钥匙ID验证的至少一方不成立，则结束处理。

在步骤S244中，ID对登录部49将成为登录对象的车载器ID、电子钥匙ID以及密匙K2关联地登录至存储器31a。由此，信息中心31中的登录作业完成。

车辆侧登录处理部63在将密文80发送给信息中心31后，在步骤S245中，将成为登录对象的电子钥匙ID和密匙K2关联地登录至存储器4a。由此，车辆1中的登录作业完成。

钥匙侧登录处理部70在将第3响应发送给车辆1后，在步骤S246中，将成为登录对象的车载器ID和密匙K2关联地登录至存储器10a。由此，电子钥匙2b中的登录作业完成。步骤S201～S246是钥匙追加登录步骤的一例。

根据本实施方式，能得到如下效果。

（1）电子钥匙的首次登录（例如由车辆的制造工厂进行的登录）以不通过网络通信的工具登录方式进行，电子钥匙的补充登录（例如在车辆出货后由车辆销售店或者修理工厂进行的登录）以网络登录方式进行。首次登录不通过网络通信进行，所以即使网络通信发生不稳定的状况，钥匙登录作业也不受影响。因此，电子钥匙的首次登录的可靠性提高。另外，能避免由于网络通信的不稳定的状况而使车辆制造工序（车辆生产线）停止。补充登录需要通过网络向信息中心的访问，所以安全性提高。

（2）在首次登录中，通过用SEED编码Cr和密匙生成逻辑f进行演算而生成密匙K1，所以能以安全高的方式生成密匙K1。

（3）在首次登录中，登录工具15被使用，所以能安全性良好地将密匙K1登录至车辆1和电子钥匙2a。另外，在补充登录中，因为登录工具15被使用，所以能安全性良好地将密匙K2登录至车辆1和电子钥匙2b。

（4）在首次登录中密匙K1的登录完成时，SEED编码Cr从电子钥匙2a被删除，所以密匙K2的被盗困难。

（5）车载器登录编码Ccr包含利用在登录时仅1次使用有效的车载器中心temp钥匙75加密的信息。车载器登录编码Ccr具有每当登录时变化的值，所以车载器登录编码Ccr的解析困难，密匙K2的被盗困难。对工具中心temp钥匙74也同样。

（6）在补充登录中，为了将密匙K2登录至车辆1和电子钥匙2b，在车辆1以及登录工具15之间与登录工具15以及信息中心31之间，被要求询问响应认证的成立。因此，密匙K2的非法地登录困难。

（7）在补充登录中，为了将密匙K2登录至车辆1和电子钥匙2b，被要求MAC验证的成立。因此，密匙K2的非法地登录困难。

（8）在补充登录中，为了将密匙K2登录至车辆1和电子钥匙2b，被要求使异常ID验证通过。例如在车辆1、电子钥匙2b的ID是被盗车辆的ID、已登录至其他车辆的ID的情况下，密匙K2的登录不被许可，所以密匙K2的非法地登录困难。

（9）在补充登录中，为了将密匙K2登录至车辆1和电子钥匙2b，被要求登录工具ID和工作人员ID的认证。因此，密匙K2的非法地登录困难。

（10）在补充登录中，为了将密匙K2登录至车辆1和电子钥匙2b，被要求登录工具ID和工作人员ID的组合正确。在登录工具ID和工作人员ID的组合不正确的情况下，密匙K2的登录不被许可。因此，密匙K2的非法地登录困难。

（11）车载器登录编码Ccr包含密文和MAC数据（窜改检测字符），所以车载器登录编码Ccr的解析困难。

实施方式可以变更为如下。

·如图18所示，在补充登录中使用的电子钥匙2b可以具有密匙K2。信息中心31只要将车载器登录编码Ccr仅发送给车辆1即可。在该情况下，能简化密匙K2的登录作业。

·可以将向电子钥匙2的追加登录设为网络方式，向校验ECU4的追加登录设为如下方式：在校验ECU4制造时，将密匙K2预先写入储存至校验ECU4。

·优选在首次登录中将SEED编码Cr从电子钥匙2a删除，但也可以禁止SEED编码Cr的使用。

·在首次登录中密匙K1的生成可以变更为不使用密匙生成逻辑f的其他方式。可以由密匙K1用密匙生成逻辑f的逆函数生成SEED编码Cr。密匙生成逻辑f可以适当变更。

·写入器32的写入动作不必限于有线，也可以通过无线进行。

·可以在1个电子钥匙2中登录多个车辆1（车辆1的ID编码）。在该情况下，在电子钥匙2中被写入1个或者多个密匙K（多个车辆1可共用1个密匙），当将写入到电子钥匙2的密匙K的1个用作其他车辆1的密匙K时，将未使用的密匙K由信息中心31加密并提供给车辆1，在车辆1中对其解密，由此登录至车辆1。在该情况下，能将1个电子钥匙2用作多个车辆1的共用钥匙，所以能使便利性良好。

·钥匙登录（首次登录、补充登录）在例如车内的发送器8进行的情况下，可以设为在车内实施的作业。

·发送器8的发送区域可以在钥匙登录时被调整强度，以使得区域比认证时减小。

·信息中心31的网络通信不限于IP通信等，可采用各种通信形式。另外，通信频率也能适当变更。

·登录工具15和信息中心31的通信可以通过车辆1的G-Book通信装置56。另外，车辆1和登录工具15的通信不限定于有线，可以设为无线。

·制作工具中心temp钥匙74、车载器中心temp钥匙75时使用的计算公式不必限于散列函数，能使用其他函数、加密。

·电子钥匙登录系统14在补充登录时进入登录模式时执行的认证不必限于询问响应认证的成立，可以采用其他的认证方式。

·电子钥匙登录系统14在补充登录时进入登录状态时的条件不必限定于在全部中能确认正确与否，可以采用如下形式：例如规定的内容能对其他规定的内容的正确与否进行确认，即，以任意的组合确认。

·第1～第3的询问响应认证不限定于分别使用的钥匙不同，可以在这些之间使用相同的钥匙。

·在步骤S235、步骤S243中执行的认证不必限于MAC验证，可以采用其他的认证。

·生成密文时使用的加密方式能采用AES、DES等各种加密形式。

·车辆1和信息中心31的通信不限于使用G-Book通信装置56的形式，也可以采用除此以外的通信形式。

·车载器登录编码Ccr不限定于从信息中心31直接发送给车辆1，也可以通过登录工具15提供给车辆1。此外，这即使是电子钥匙登录编码Cdk也可以说同样。

·车载器登录编码Ccr不必限定于由密文和MAC文构成的数据，例如可以是仅由密文构成的数据。

·限制钥匙不必限定于是工具中心temp钥匙74、车载器中心temp钥匙75，总之，只要是仅1次登录时有效的钥匙，其种类没有特别限制。

·确认登录作业者的ID认证不必限定于看工具ID和工作人员ID两者的正确与否，可以采用紧看例如一方的形式。

·与作业者关联的ID不必限于分配给各个工作人员的工作人员ID，只要是能区别作业者的信息即可。

·车载器中心钥匙33只要是共同地保持于车辆1和信息中心31两者的密匙即可。电子钥匙中心钥匙34只要是共同地保持于电子钥匙2和信息中心31两者的密匙即可。

·实施方式中的命令、指令可以是binary digit string等信息。

·电子钥匙系统3可以是被从电子钥匙2发送的信号触发而开始进行认证的无线钥匙系统。

·可以适当变更电子钥匙系统3的通信形式、频率、结构。

·通信对象固有的识别信息在优选的例子中是车载器ID，但是只要是能识别校验ECU4的信息则没有特别限定。

·车辆1和电子钥匙2的一方或者两者如果具有登录工具15和写入器32的功能，则电子钥匙登录系统14可以不具备登录工具15和写入器32的一方或者两者。

·通信对象在优选的例子中是车辆1，但是可以是车辆以外的系统、装置以及设备等。

上述实施方式和其他例包含下面的技术思想。

（a）所述密匙生成编码在首次登录完成后被删除。根据该构成，防止电子钥匙的非法地登录的效果进一步提高。

（b）所述钥匙首次登录步骤和所述钥匙追加登录步骤通过专用的登录工具执行。根据该构成，如果手边没有登录工具，就不能进行钥匙登录的作业，所以防止电子钥匙的非法地登录的效果进一步提高。

（c）在所述钥匙追加登录步骤中，所述加密及其解密包含使用在钥匙登录时仅能使用1次的限制钥匙的加密和解密。根据该构成，因为对密匙加密的钥匙每当登录时每次都改变，所以能使密匙进一步难以被盗。

（d）在所述钥匙追加登录步骤中，在所述通信对象、所述电子钥匙以及所述中心进入登录模式前，进行对相互的通信对方的正确与否进行确认的通信对方认证，以该认证成立为条件，这三者能切换为所述登录模式。根据该构成，在登录密匙时，用于登录模式移行的认证成立为条件，所以能使密匙的非法地登录难以发生。

（e）在所述钥匙追加登录步骤中，在所述车辆、所述电子钥匙以及所述中心全部进入登录模式后，在实际的登录动作之前，使所述车辆、所述电子钥匙以及所述中心认证。根据该构成，在进入登录模式后也进行看通信对方的正确与否的认证，所以能使钥匙的非法地登录进一步难以发生。

（f）在所述钥匙追加登录步骤中，对作为进行所述登录时的操作终端的登录工具和进行所述登录的作业的作业者中至少一方进行认证，以该认证成立为条件，许可所述密匙的登录。根据该构成，登录工具、作业者的认证成立也成为登录执行的条件，所以能使密匙的非法地登录进一步难以发生。

（g）在所述钥匙追加登录步骤中，在所述登录模式后的各认证时，如果通信对方的ID包含于异常ID，则不许可所述密匙的登录。根据该构成，在作为密匙的登录目的地的电子钥匙、车辆等的ID包含于异常ID的情况下，不能进行密匙的登录，所以能使密匙的非法地登录进一步难以发生。

（h）在所述钥匙追加登录步骤中，在所述密匙登录时取得的各种ID不取预定的组合的情况下，不许可所述密匙的登录。根据该构成，因为没有ID的组合异常也成为登录执行的条件，所以能使密匙的非法地登录进一步难以发生。