电子钥匙登录系统、登录方法及登录工具与流程

本发明涉及一种在通信对象的控制装置上登录电子钥匙的电子钥匙登录系统、登录方法及登录工具。

背景技术：
在车辆的电子钥匙系统中，电子钥匙以无线方式将钥匙ID发送至车载控制装置。车载控制装置进行ID校验，如果ID校验成立就许可或者执行车门的上锁/解锁和发动引擎。在电子钥匙系统中，需要事先将所使用的电子钥匙登录到车载控制装置。例如，在日本国特开7-61328号公报以及日本国特开2004-107959号公报中被公开。本发明人研究了利用因特网通信在车载控制装置上登录电子钥匙的、所谓在线登录方式的电子钥匙登录系统。这个电子钥匙登录系统具备登录工具，该登录工具包括可以通过有线或者无线访问网络的通信电路。操作者将这个登录工具有线连接至车辆，操纵登录工具从而通过网络访问信息中心，并从信息中心取得在钥匙登录中需要的信息以实施钥匙登录。本发明人的目标为提高在线登录方式的电子钥匙登录系统的安全性。

技术实现要素：
本发明目的为，提供一种可以提高安全性的电子钥匙登录系统。本发明的一个实施方式为，一种电子钥匙登录系统，具备：控制装置，该控制装置设置在能够与电子钥匙通信的通信对象；登录工具，其通过有线或无线与所述通信对象连接，在接收到登录许可信号时，实行在所述通信对象的所述控制装置上登录所述电子钥匙的登录处理；以及被连接到网络上的信息中心，所述登录工具包括：操作者ID取得部，其从钥匙登录操作者取得操作者ID；以及通信部，其通过所述网络将所述操作者ID发送至所述信息中心，所述信息中心包括：操作者ID认证部，其对从所述登录工具接收的操作者ID进行认证；以及许可信息通知部，其在所述操作者ID的认证成立的情况下，将所述登录许可信号通过所述网络发送至所述登录工具，并许可所述登录工具实行所述登录处理。根据这个构成，由登录工具取得的操作者ID在信息中心上被认证时，根据登录工具的钥匙登录工作被许可。由登录工具取得的操作者ID在信息中心不被认证，根据登录工具的钥匙登录工作不被许可。因此，能够提高钥匙登录的安全性。附图说明图1是电子钥匙登录系统的框图。图2是一个实施方式的电子钥匙登录系统的框图。图3是显示电子钥匙的登录次序的流程图。图4是说明操作者ID的分配的图。图5是显示操作者ID的分配的图。图6是其他例子中的电子登录系统的框图。具体实施方式下面，对本发明的一个实施方式所涉及的电子钥匙登录系统进行说明。如图1所示，电子钥匙系统3包括：设置在车辆1的校验ECU（ElectronicControlUnit）4及具有电子钥匙ID的电子钥匙2。电子钥匙2将通过从车辆1发送的信号触发的电子钥匙ID发回。电子钥匙系统3通过车辆1和电子钥匙2之间的双向通信判断电子钥匙2的正当性。电子钥匙2只要是可以通过无线发送电子钥匙ID的钥匙就可以，没有特别的限制。电子系统3是例如免钥匙操作系统和发动机防盗锁止系统。车辆1是通信对象的一个例子。校验ECU4对接收的电子钥匙ID进行校验。校验ECU4与车内总线7连接。这个总线7上可以连接管理车载电装饰品的电源的车体ECU5及控制发动机的发动机ECU6。校验ECU4包括储存了作为车辆1固有ID的车载器ID（载体ID）、登录完毕的电子钥匙2的电子钥匙ID、及在密码通信使用的密匙Kcr的存储器4a。密匙Kcr与电子钥匙ID相关联。例如在车辆1上登录了多个的电子钥匙2时，有多组的电子钥匙ID以及密匙Kcr被保存在存储器4a。校验ECU4上连接有一个或多个通信器。在图1中的例子显示了作为该通信器的免钥匙操作系统用的通信器8及发动机防盗锁止系统用的通信器9。通信器8接受/发送LF（LowFrequency）带以及UHF（UltraHighFrequency）带的信号。通信器9接收/发送LF带的信号。通信器8可以包括车外发送器以及车内发送器。校验ECU4是通信对象的控制装置的一个例子。电子钥匙2包括控制电子钥匙的动作的钥匙控制部10。钥匙控制部10包括储存器10a，其储存了例如电子钥匙ID、车载器ID、密匙Kcr等。钥匙控制部10被连接于免钥匙操作系统用的通信部11及发动机防盗锁止系统用的通信部12。对免钥匙操作系统进行说明。通信器8可以包括车外发送器以及车内发送器。车辆驻停时，通信器8的车外发送器向车外发送例如LF带的要求信号Srq。接收到这个要求信号Srq的电子钥匙2回应ID信号SID。校验ECU4执行ID校验（也叫车室外智能校验）。这个ID校验执行对车载器ID和电子钥匙ID校验。电子钥匙2及校验ECU4优选地进行使用密匙Kcr的密码通信。车室外校验成立时，校验ECU4实行或者许可车门的上锁/解锁。电子钥匙在车内时，通信器8的车内发送器向车内发送要求信号Srq，实行与车室外校验同样的车室内校验。车室内校验成立时，校验ECU4许可启动发动机。这时，发动机ECU6可以回应发动机开关13的操作而启动发动机。对发动机防盗锁止系统进行说明。车辆1及电子钥匙2通过近距离（例如从数cm到10cm程度的通信距离）的双向通信方式实行电子钥匙ID的认证。这个通信也可叫发动机防盗锁止通信。在发动机防盗锁止通信电子钥匙2可以根据从车辆1发送的电波发生起电力而驱动。因此，电子钥匙2能在无源的情况下实行发动机防盗锁止通信。近距离无线能使用例如脉冲转发器通信和NFC（NearFieldCommunication）通信等。优选地，近距离无线为用密匙Kcr的密码通信。参照图2，说明将电子钥匙2登录到车辆1上的电子钥匙登录系统14的构造。车辆1的校验ECU4以及电子钥匙2的钥匙控制部10分别包括实行钥匙登录的登录电路15，16。电子钥匙登录系统14包括与车辆1以有线的方式连接的登录工具17。登录工具17被打算在车辆1上登录电子钥匙2的工作人员操纵，根据工作人员的操作在车辆1上登录电子钥匙2。登录工具17设置有控制登录工具17的动作的工具控制部18、人工操作部19、以及显示部20。人工操作部19可以包括电源、文字以及数字等的各种按键。登录工具17包括网络及以与车辆1可以通信的方式和该车辆1连接的接口。在图示的例子，在登录工具17中设置有用于做网络通信的无线通信部21，和用于与车辆1做有线通信的连接端口部22。网络通信例如可以是IP（InternetProtocol）通信。登录工具17的连接端口部22与车辆1的连接端口部23通过例如电缆24以有线的方式连接。在钥匙登录时，车辆1和电子钥匙2进行例如近距离LF双向通信。登录工具17通过网络与信息中心25进行通信，以在线的方式实施钥匙登录。信息中心25可以是管理电子钥匙登录系统14的各种信息或是管理信号的车辆信息管理中心。信息中心25包括车载器数据库26以及电子钥匙数据库27。车载器数据库26针对每个车辆1将车载器ID和电子钥匙ID相对应地储存。在图示的例子中，在车载器数据库26被设置了例如信息栏、车载容器ID栏、电子钥匙ID栏、以及密匙栏等。电子钥匙ID栏以及密匙栏针对每个电子钥匙2进行设置。电子钥匙数据库27针对每个电子钥匙2将电子钥匙ID栏和密匙Kcr栏相对应地储存。在图示的例子中，在电子钥匙数据库27中针对每个电子钥匙2设置了电子钥匙ID栏和密匙栏。信息中心25在每进行钥匙登录时，更新车载器数据库26以及电子钥匙数据库27。电子钥匙登录系统14将实施钥匙登录作业的工作人员的认证成立作为钥匙登录的1个条件。例如，向车辆1登录钥匙时候，登录工具17催促工作人员输入工作人员ID（操作者ID）。如果这个工作人员ID的认证成立，电子钥匙登录系统14就许可钥匙登录。由此，提高钥匙登录的安全性。登录工具17的工具控制部18能包括登录电路28、从工作人员取得工作人员ID的工作人员ID取得部29、向信息中心25通知取得的工作人员ID的工作人员ID通知部30。信息中心25包括工作人员ID数据库31、ID认证部32、以及登录许可信号通知部33。工作人员ID数据库31把分别分配给每个工作人员或者是分别分配给每个店铺的工作人员ID和该工作人员ID的被分配者相互对应地储存。在图所示的例子，在工作人员ID数据库31设置了例如ID被分配者栏、以及工作人员ID栏等。在ID被分配者栏上，可以登录工作人员或者是店铺的位置信息（例如地理地址等）。ID认证部32在钥匙登录时，实行各种ID的认证。例如，ID认证部32参照工作人员ID数据库31判断从登录工具17接收的工作人员ID的正当性（操作者ID认证）。ID认证部32也可以判断钥匙登录的实施地点和实施时间的正当性。当ID认证部32的认证成立时，登录许可信号通知部33将登录许可信号Sok通知至登录工具17。在一个登录许可信号Sok上可以包括许可对登录工具17的钥匙登录动作的钥匙登录许可指令、和应该登录的电子钥匙ID。对电子钥匙登录系统14的动作进行说明。如图3所示，在步骤S101中，登录工具17的登录电路28通过有线通信向车辆1供给钥匙登录开始命令Sst。例如，登录电路28在登录工具17的显示部20上显示包括钥匙登录开始按钮的初始画面，被显示的钥匙登录开始按钮被操纵时，从登录工具17向车辆1输出钥匙登录开始命令Sst。在步骤S102中，登录电路15对从登录工具17接收的钥匙登录开始命令Sst进行回应，从而将被储存在校验ECU4的车载器ID通过有线通信供给至登录工具17。在步骤S103中，登录工具17从操作者取得工作人员ID（操作者ID取得步骤）。例如，操作者ID取得部29可以在显示部20上显示工作人员ID的输入画面。工作人员ID从信息中心25预先被分配至每个工作人员或者每个店铺。在最优选的例子中，用网络、电话或者是FAX向信息中心25对事前被请求的ID进行应答，从而使工作人员ID被分配发放。工作人员一边看显示部20一边操纵人工操作部19向工具控制部18输入工作人员ID。在图4表示的例子，工作人员ID被分配发放给每个象车辆零售商这样的店铺。在图5表示的例子，工作人员ID被分配发放给每个工作人员。在图4的例子中，优选地，工作人员ID由其店铺的管理者保管。优选地，例如，其管理者在钥匙登录时，将操作者ID输入至登录工具17。其管理者可以向进行钥匙登录的工作人员通知该工作人员ID。在图5的例子中，各工作人员管理被分配给自己的工作人员ID。在步骤104中，登录工具17的登录电路28把从车辆1供给的车载器ID和被工作人员输入的工作人员ID通过网络发送至信息中心25（操作者ID发送步骤）。在步骤S105中，信息中心25判断从登录工具17取得的车载器ID以及工作人员ID的正当性的（工作人员ID认证步骤）。此时，ID认证部32参照车载器数据库26，判断接收的车载器ID的正当性（车载器ID认证）。ID认证部32参照操作者ID数据库31，判断接收的工作人员ID的正当性（工作人员ID认证）。优选地，ID认证部32对钥匙登录进行的实施地点(工作地点)的正当性也进行判断。ID认证部32例如可以通过查出工作人员ID经由哪个网络到达信息中心25来特定或判断工作人员ID的发送源的位置信息、即要实施钥匙登录的地点(地区)。优选地，如果ID认证部32判断为，接收的工作人员ID是从与工作人员ID数据库31上登录的正规的ID被分配者位置信息不对应的地点发送的话，就把该接收的工作人员ID视作不正当的ID，不许可钥匙登录。优选地，ID认证部32对现在进行中的钥匙登录的实施时间(工作时间)的正当性进行判断。例如，在店铺的规定营业时间之外进行的钥匙登录操作，有可能为不正当行为。于是，ID认证部32确认受理钥匙登录的时间在上述营业时间之外的话，就将其接收的工作人员ID看作不正当ID，不许可钥匙登录。ID认证部32也可以通过对判定钥匙登录的实施地点以及实施时间进行综合地判定来判断钥匙登录的正当性。例如，优选地，与在第1地点(东海地区)的店铺被实施的钥匙登录时被使用的工作人员ID同样的ID紧接着（例如10分后）被从远离第1地方的第2地方（北海道地区）接收到的时候，ID认证部32把这个ID视作不正当的ID，不进行钥匙登录的许可。由此，ID认证部32在工作人员ID认证中，最好以根据检查接收的操作者ID是否正规、和钥匙登录的实施地点和实施时间来判定钥匙登录工作的正当性。在步骤S106中，登录许可信号通知部33在步骤S105的ID认证向成立时，将登录许可信号Sok通过网络通信无线发送至登录工具17。另外，登录许可信号Sok除了包括登录许可指令及电子钥匙ID之外，还可以包括暗号钥匙Kcr。在步骤S107中，登录电路28通过网络从信息中心25接收登录许可信号Sok，将此登录许可信号Sok转发至车辆1。在步骤S108中，车辆1的登录电路15在校验ECU4的存储器4a上储存从登录工具17接收的登录许可信号Sok内的电子钥匙ID（也可以包括密匙Kcr）。由此，完成向车辆1的电子钥匙ID的登录。在步骤S109中，登录电路15通过双向的LF通信向电子钥匙2无线发送从登录工具17接收的电子钥匙ID（也可以包括密匙Kcr）。在步骤S110中，电子钥匙2登录电路16在钥匙控制部10存储器10a上储存从车辆1接收的电子钥匙ID（包括密匙Kcr也可）。由此，完成向电子钥匙2的电子钥匙ID的登录。根据以上的步骤，完成向车辆1以及电子钥匙2的电子钥匙ID的登录。根据本实施方式的构成，能够获得以下的效果。（1）登录工具17将被输入的工作人员ID通过网络通信发送至信息中心25。信息中心25判断工作人员ID的正当性，如果判断为正当的工作人员ID的话，将登录许可信号Sok通过网络发送至登录工具17，并且许可通过登录工具17的钥匙登录操作。根据这个构成，由于工作人员ID的认证成立被包括在实行钥匙登录的必要条件之中，即使是身边有电子钥匙2以及登录工具17，不知道工作人员ID的第三者也不能正确的完成钥匙登录。因此能够减少或者防止使用登录工具17的电子钥匙不正当的登录，所以能提高电子钥匙登录系统14安全性。（2）如图4所示的例子，给每个店铺分配ID的情况下，由于被分配给某店铺的工作人员ID不能在其他的店铺使用，所以能提高钥匙登录的安全性。（3）如图5所示的例子，给每个工作人员分配操作者ID的情况下，由于被分配给操作者的工作人员ID不会被他人使用或者难以被他人使用，所以能提高钥匙登录的安全性。（4）在信息中心25中的工作人员ID认证成立时，信息中心25将包括登录许可指令以及电子钥匙ID的登录许可信号Sok通过网络发送至登录工具17。登录工具17将接收的电子钥匙ID登录到车辆1及电子钥匙2。如此，因为被登录在信息中心25的电子钥匙ID由信息中心25发放至登录工具17，所以能够减少电子钥匙ID的泄漏，并且在车辆1以及电子钥匙2上能够安全地登录电子钥匙ID。（5）因为信息中心25判断工作人员ID的正当性的同时，也判断钥匙登录的实施地方的正当性，所以能够提高钥匙登录的安全性。（6）因为信息中心25判断操作者ID的正当性同时，也判断钥匙登录的实施时间的正当性，所以能够提高钥匙登录的安全性。实施方式也可以更改为以下的形式。·在图6所示的例子，信息中心25对登录工具17不是发放密匙Kcr本身，而是向登录工具17发放为了隐匿密匙Kcr而生成的SEED编码SC。通过SEED编码SC的追加，能够提高对密匙Kcr的失盗的安全性。在这个例子，在电子钥匙2上事先登录了电子钥匙ID。在信息中心25的车载器数据库26上，追加了显示哪个车辆登录了怎样的车载器中心密匙Kvc的车载器中心密匙栏。车载器中心密匙Kvc为车辆1（校验ECU4）和信息中心25之间相对应的专用钥匙。在信息中心25的电子钥匙数据库27追加了显示哪个电子钥匙2登录了怎样的SEED编码SC的SEED编码栏。SEED编码SC是信息中心25根据用密匙Kcr和对应的车载器中心密匙Kvc的演算而生成。如图6的例子，车辆1的校验ECU4从登录工具17接收电子钥匙2的开始钥匙登录命令，之后接收从电子钥匙2例如电子钥匙ID「ID－3」，将这个电子钥匙ID储存至储存器4a上。校验ECU4通过登录工具17向信息中心25发送生成SEED要求。信息中心25回应生成SEED要求，生成与作为登录对象的电子钥匙2的「ID－3」相对应的SEED编码「ＳＣ－Ａ3」。此时，信息中心25从车载容器数据库26的车辆信息栏确定与车辆A相对应的车载器中心密匙Kvc是「钥匙-A」，通过使用该车载器中心密匙Kvc「钥匙-A」、和对应于追加电子钥匙的密匙「钥匙-3」的演算，生成SEED编码「SC-A3」。信息中心25将生成的SEED编码「ＳＣ－Ａ3」通过登录工具17发送至校验ECU4。校验ECU4接收从信息中心25的SEED编码「ＳＣ－Ａ3」，采用自己的车载器中心密匙「钥匙-A」译码生成密匙「钥匙-3」，将这个密匙「钥匙-3」储存在储存器4a上。还有，在登录过程中从车辆被通知的车载器ID「ID-A」被储存在电子钥匙2的存储器10a。信息中心25从登录工具17接收到生成SEED要求时，因为能够知道今后要登录的电子钥匙2电子钥匙ID，所以将这个电子钥匙2电子钥匙ID「ID-3」反映给车载容器数据库26。还有，信息中心25向登录工具17的SEED编码「SC-A3」的发送之后，将登录的电子钥匙2密匙「钥匙-3」反映给车载器数据库26。用这个登录方式，也可提高钥匙登录的安全性。·新的工作人员ID，可以在信息中心25上逐次登录，也可以从信息中心25删除不用工作人员ID。·工作人员ID也可附带ID被分配者的地域信息。ID认证部32可以根据这个地域信息判定工作人员ID的正当性。·信息中心25可以储存与工作人员ID相关联的登录工具ID。ID认证部32在工作人员ID的认证时，也可以判断工作人员ID和登录工具ID之间的关联性的正当性。·在信息中心25的ID认证至少包括工作人员ID。·在信息中心25的ID认证包括例如判断工作人员ID的有效期间的认证。·工作人员ID可以是奉陪给一个店铺中的多个的工作人员的共同的ID。·网络可以是种种的广域的无线通讯网。·控制装置不仅限定于校验ECU4，也可以变更为例如车体ECU等的其他ECU。·登录工具17也可以与车辆1进行无线通信。·车辆1和电子钥匙2的一方或者双方，能够与信息中心25进行直接通信。·工作人员ID虽是由例如根据各种数字，文字，记号的组合而构筑,但是如果能够识别钥匙登录的操作者的信息或者钥匙登录者所具有的ID的话，用怎样的数据都可以，例如指纹等的生物信息。·登录许可信号Sok如果是至少拥有登录许可指令的信号的话，不必包括电子钥匙ID。·只要是进行钥匙登录的人都可以为操作者。例如，车主等。·车辆1和电子钥匙2可以直接与信息中心25进行通信，取得在登录序列所必要的信息。·车辆1包括混合动力汽车，充电式混合动力汽车，电动汽车，燃料电池汽车等。·本例子的电子登录系统14，可以适用于车辆1以外的机器和装置上。·也可以组合上述多个变形例。