WO2013114970A1 - 電子キー登録方法及び電子キー登録システム - Google Patents

Description

電子キー登録方法及び電子キー登録システム

　この発明は、電子キーを通信対象の制御装置に登録する電子キー登録方法及び電子キー登録システムに関する。

　従来、車両のユーザにより所持される電子キーと車両との間で無線通信を行い、電子キーの認証が成立することに基づいて、ドアの施解錠やエンジンの始動停止等を行う電子キーシステムが知られている。このような電子キーシステムでは、セキュリティ性を維持するために、電子キーと車両との間の通信を保護する必要がある。このため、電子キーシステムでは、電子キーと車両との間で暗号通信が行われている（例えば、特許文献１参照）。暗号通信では、通信内容が暗号化されるので、秘匿性に優れる。

　上記暗号通信の暗号方式としては、共通鍵暗号方式が採用される。共通鍵暗号方式では、暗号化と復号化に同一の暗号鍵を使用する。このため、電子キーと車両との両方に同一の暗号鍵を持たせておく必要がある。電子キー及び車両への暗号鍵の登録は、電子キーを車両の制御装置に登録する過程で行われる。制御装置は、電子キーから無線送信された識別情報と自身に記憶された識別情報との照合によって電子キーとの認証を行う。

特開２００９－３０２８４８号公報

　ところで、電子キーを制御装置に登録する電子キー登録システムにおいては、制御装置と電子キーとの間で紐付けがなければ、どの電子キーでも制御装置に登録することが可能となる。このため、正規の電子キー以外の電子キーが制御装置に登録されるおそれがある。そこで、本願発明者は、電子キーが登録される車両（通信対象）に固有の識別情報であるビークルＩＤを制御装置及び電子キーに予め保存した状態で制御装置及び電子キーを出荷することを考えた。しかしながら、ビークルＩＤが改ざんされた場合には、非正規の電子キーが正規の電子キーであると制御装置が判定してしまうこととなる。また、制御装置と電子キーとをまとめて出荷することも考えられるが煩雑であり、また、電子キーを後から追加登録できなくなってしまう。なお、車両に使用される電子キーシステムに限らず、住宅等の建物に使用される電子キーシステムにおいても同様の課題がある。このため、セキュリティ性を維持しながら、容易に電子キーを登録できる電子キー登録システムが望まれていた。

　この発明は、こうした実情に鑑みてなされたものであり、その目的は、セキュリティ性を維持しながら、容易に電子キーを登録できる電子キー登録方法及び電子キー登録システムを提供することにある。

　第１の側面は、通信対象を制御可能な第１の電子キーを前記通信対象の制御装置に登録する電子キー登録方法である。当該方法は、前記通信対象に固有の識別情報を前記制御装置に保存し、前記第１の電子キーに固有の暗号鍵生成コードと前記第１の電子キーの認証に用いられる暗号鍵とを前記第１の電子キーに保存する初期製造ステップと、前記制御装置に保存された前記識別情報を前記第１の電子キーに書き込み、前記第１の電子キーから前記暗号鍵生成コードを取得して、前記暗号鍵生成コードを使用する暗号鍵生成ロジックによって前記暗号鍵を生成するとともに前記暗号鍵を前記制御装置に保存し、前記暗号鍵に関する暗号鍵情報を前記識別情報に関連付けてデータベースに保存する初期登録ステップとを備える。

　第１の側面によれば、初期製造ステップにおいて、制御装置には、通信対象に固有の識別情報が保存されるが、暗号鍵は保存されない。また、初期登録用の第１の電子キーには、暗号鍵生成コードと暗号鍵とが保存されるが、識別情報は保存されない。すなわち、第１の電子キーと制御装置とに保存されるデータが同じではないので、それらをまとめて出荷しなくてもよい。そして、初期登録ステップにおいて、制御装置に保存された識別情報が第１の電子キーに保存される。また、第１の電子キーから暗号鍵生成コードが取得され、この暗号鍵生成コードを使用する暗号鍵生成ロジックによって暗号鍵が生成され、暗号鍵が制御装置に保存される。このため、電子キーは、識別情報と暗号鍵とが登録された制御装置にのみ対応し、他の通信対象の制御装置に対応しない。さらに、初期登録後に、制御装置に登録された暗号鍵に関する暗号鍵情報がデータベースに保存される。このため、交換された制御装置を製造する際には、データベースから暗号鍵情報を取り出して暗号鍵を制御装置に保存することで、暗号鍵を容易に登録することが可能である。よって、他の通信対象の制御装置への初期登録用の電子キーの登録を排除可能であって、セキュリティ性を維持しながら、電子キーと制御装置とをまとめて出荷する必要がなく、容易に電子キーを登録可能である。

　第２の側面では、前記電子キー登録方法において、前記初期登録ステップは、前記第１の電子キーの前記暗号鍵が前記制御装置に保存された後、前記第１の電子キーに保存された前記暗号鍵生成コードを削除することを含む。

　第２の側面によれば、初期登録ステップにおいて、初期登録後に第１の電子キーから暗号鍵生成コードが削除される。このため、初期登録された電子キーを他の通信対象の制御装置に登録しようとしても、暗号鍵を生成することができず、他の通信対象の制御装置への初期登録された電子キーの登録を排除可能である。

　第３の側面では、前記電子キー登録方法において、前記初期製造ステップは、追加登録用の第２の電子キーの認証に用いる暗号鍵を前記制御装置に保存することを含み、当該電子キー登録方法は更に、前記識別情報と、前記識別情報に関連付けられ、前記データベースに保存された前記第２の電子キーの前記暗号鍵とを前記第２の電子キーに保存する追加キー製造ステップを備える。

　第３の側面によれば、制御装置は、追加登録用の第２の電子キーから暗号鍵を直接取得することなく、第２の電子キーの認証を行うことが可能となる。よって、他の通信対象の制御装置への第２の電子キーの登録を排除可能であって、セキュリティ性を維持しながら、容易に第２の電子キーを追加登録可能である。

　第４の側面では、前記電子キー登録方法は、前記データベースから前記暗号鍵情報を読み出し、前記第１の電子キーの前記暗号鍵と、前記識別情報とを、交換された制御装置に保存する交換制御装置製造ステップと、前記制御装置に保存された前記識別情報が前記第１の電子キーに登録されていることを確認する交換制御装置登録ステップとを備える。

　第４の側面によれば、制御装置と電子キーとの間で暗号鍵をやりとりする必要がなく、識別情報が保存されていない電子キーの制御装置への登録を排除可能である。

　第５の側面では、前記電子キー登録方法は更に、前記鍵生成ロジックを使用後に使用禁止に設定することを備える。

　第５の側面によれば、初期登録用の第１の電子キーを登録した後に暗号鍵生成ロジックが使用禁止になるので、同じ暗号鍵を使用する別の電子キーが制御装置に新たに登録されることを防ぐことが可能となる。

　第６の側面では、前記電子キー登録方法において、前記通信対象に予め設定された前記識別情報を確認することにより生成された発注情報に基づいて、前記通信対象毎に異なる識別情報が、前記交換される制御装置及び前記第２の電子キーにそれらの出荷前に保存される。

　第６の側面によれば、出荷時に、通信対象毎に異なる識別情報が、交換用の制御装置や追加登録用の第２の電子キーに保存される。このため、制御装置や電子キーが市場に出回った段階で、発注と異なる制御装置に電子キーを登録したり、発注と異なる電子キーを制御装置に登録したりすることを防ぐことが可能となる。

　第７の側面は、電子キー登録システムである。当該システムは、通信対象に設けられ、前記通信対象に固有の識別情報を記憶する制御装置と、前記通信対象を制御可能であり、暗号鍵生成コードと暗号鍵とを記憶する電子キーとを備え、前記制御装置は、前記識別情報を前記電子キーに書き込み、前記電子キーから前記暗号鍵生成コードを取得して、前記暗号鍵生成コードを使用する暗号鍵生成ロジックによって前記暗号鍵を演算し、前記暗号鍵に関する暗号鍵情報を前記識別情報に関連付けてデータベースに保存する。

　本発明によれば、セキュリティ性を維持しながら、容易に電子キーを登録できる。

電子キー登録システムの概略構成を示すブロック図。 電子キー登録システムの初期製造を示す図。 電子キー登録システムの初期登録を示す図。 電子キー登録システムの工場における登録動作を示すシーケンスチャート。 電子キー登録システムの追加キーの製造を示す図。 電子キー登録システムの交換ＥＣＵの製造を示す図。 電子キー登録システムの交換ＥＣＵの登録を示す図。 電子キー登録システムのイモビライザＥＣＵを交換する際の登録動作を示すシーケンスチャート。

　以下、電子キー登録システムを車両に具体化した一実施形態について図１～図８を参照して説明する。

　図１に示されるように、車両１には、例えば近距離無線通信（通信距離が約数ｃｍの無線通信）を介して電子キー２によるＩＤ照合を実行するイモビライザシステム３が設けられている。電子キー２には、ＩＤタグ、いわゆるトランスポンダ４が設けられている。イモビライザシステム３では、車両１のコイルアンテナ５から送信される駆動電波によりトランスポンダ４が起動する。そして、このトランスポンダ４から送信されるＩＤコード信号を基にＩＤ照合が行われる。なお、車両１は通信対象の一例である。また、イモビライザシステム３は電子キーシステムの一例である。

　車両１には、イモビライザシステム３を制御するイモビライザＥＣＵ６が設けられている。イモビライザＥＣＵ６は、エンジン１１の動作を制御するエンジンＥＣＵ１２に車内ＬＡＮ１３を介して接続されている。イモビライザＥＣＵ６は、車両１に対応する電子キー２のＩＤコードを記憶するメモリ６７を含む。さらに、イモビライザＥＣＵ６は、例えばＬＦ（Ｌｏｗ　Ｆｒｅｑｕｅｎｃｙ）帯やＨＦ（Ｈｉｇｈ　Ｆｒｅｑｕｅｎｃｙ）帯の電波を送受信可能なコイルアンテナ５に接続されている。コイルアンテナ５は、磁界成分により電波を送信する磁界アンテナであり、キーシリンダに設けられている。なお、イモビライザＥＣＵ６は制御装置の一例である。

　トランスポンダ４は、トランスポンダ４の通信動作を制御する制御部４１と、電子キー２に固有のＩＤコード（トランスポンダコード）を記憶するメモリ４２とを含む。トランスポンダ４は、コイルアンテナ５と同様にＬＦ帯やＨＦ帯の電波を送受信可能な送受信アンテナ２１に接続されている。

　本実施形態の車両１では、乗車したユーザがエンジン１１を始動する際には、電子キー２をキーシリンダに挿入して回動操作を行う。イモビライザＥＣＵ６は、電子キー２がキーシリンダに挿入されたことを検出すると、コイルアンテナ５から駆動電波を断続的に送信する。このとき、トランスポンダ４は、コイルアンテナ５から送信される駆動電波を送受信アンテナ２１で受信し、この駆動電波によって起動する。トランスポンダ４は、起動状態に切り換わると、メモリ４２に記憶されたＩＤコードを含むＩＤコード信号を送受信アンテナ２１から送信する。イモビライザＥＣＵ６は、トランスポンダ４から送信されたＩＤコード信号をコイルアンテナ５で受信し、そのＩＤコード信号に含まれるＩＤコードによりＩＤ照合（イモビライザ照合）を実行する。イモビライザＥＣＵ６は、ＩＤ照合の成立を確認すると、ＩＤ照合成立を示すフラグをメモリ６７に保持する。

　キーシリンダ内には、電子キー２の回動位置を検出するイグニッションスイッチ（ＩＧＳＷ）１４が設けられている。そして、例えば、イグニッションスイッチ１４がエンジンスタート位置まで操作されると、エンジンＥＣＵ１２は、ＩＤ照合の成立を示すフラグがイモビライザＥＣＵ６に保持されているかを確認する。エンジンＥＣＵ１２は、ＩＤ照合成立を確認すると、エンジン１１への点火制御及び燃料噴射制御を開始し、エンジン１１を始動させる。

　イモビライザ照合の認証では、電子キー２のＩＤコードを確認するコード照合の他に、チャレンジレスポンス認証も実行されている。チャレンジレスポンス認証では、車両１が例えば乱数コードとしてチャレンジコードを生成し、このチャレンジコードを電子キー２に送信する。電子キー２は、チャレンジコードに基づいてレスポンスコードを演算し、このレスポンスコードを車両１に返信する。また、車両１も、チャレンジコードに基づいてレスポンスコードを演算する。そして、車両１は、車両１で演算されたレスポンスコードが電子キー２から受信したレスポンスコードと一致するか否かを判断する。イモビライザＥＣＵ６（車両１）とトランスポンダ４（電子キー２）との認証には、共通の暗号鍵を用いる共通鍵暗号方式が採用されている。トランスポンダ４及びイモビライザＥＣＵ６は、共通の暗号鍵を使用してチャレンジコードからレスポンスコードを演算する。

　トランスポンダ４のメモリ４２は、車両１に固有の識別情報であるビークルＩＤ（ＶＩＤ）と、電子キー２の認証に用いる暗号鍵Ｋと、暗号鍵Ｋを生成する際に使用する電子キー２に固有の暗号鍵生成コードとしてのＳＥＥＤコード（ＳＣ）とを記憶する。

　イモビライザＥＣＵ６のメモリ６７は、初期登録フラグと、補給初期フラグとを保持している。初期登録フラグは、イモビライザＥＣＵ６への電子キー２の初期登録を許可するか否かを示す。補給初期フラグは、交換品として補給されたイモビライザＥＣＵ６への電子キー２の初期登録を許可するか否かを示す。また、イモビライザＥＣＵ６のメモリ６７は、車両１に固有の識別情報であるビークルＩＤ（ＶＩＤ）と、電子キー２の認証に用いる暗号鍵Ｋと、暗号鍵Ｋを生成する際に使用する暗号鍵生成ロジックとを保存している。

　また、イモビライザシステム３は、電子キー２をイモビライザＥＣＵ６に登録する電子キー登録システム７を備えている。電子キー登録システム７は、新規に電子キー２をイモビライザＥＣＵ６に登録したり、交換されたイモビライザＥＣＵ６に電子キー２を登録したりする。電子キー登録システム７は、１つのビークルＩＤに対して１つ又は複数の暗号鍵を関連付けて記憶するデータベース９を含む。このデータベース９から暗号鍵又はＳＥＥＤコードが読み出されて、イモビライザＥＣＵ６と電子キー２に暗号鍵が保存される。例えば、データベース９には、車両１に固有のビークルＩＤ（ＶＩＤ－Ａ）に対応する暗号鍵（Ｋ－２）が保存されている（図２参照）。

　電子キー登録システム７では、電子キー２の認証に用いる暗号鍵ＫをイモビライザＥＣＵ６に保存することで、電子キー２をイモビライザＥＣＵ６に登録する。このとき、イモビライザＥＣＵ６は、暗号鍵Ｋそのものではなく、ＳＥＥＤコードを電子キー２から取得して暗号鍵Ｋを生成する。また、暗号鍵Ｋとともに電子キー２に固有のＩＤコードが電子キー２から取得され、イモビライザＥＣＵ６に保存される。

　電子キー登録システム７は、車両１に接続可能な登録ツール８を備えている。電子キー２をイモビライザＥＣＵ６に登録する際には、車両１に接続された登録ツール８によってイモビライザＥＣＵ６の動作モードが登録モードに切り替えられる。登録ツール８は、登録ツール８を制御する制御部８１と、ユーザによる登録操作を検出する操作部８２と、登録内容を表示する表示部８３とを含む。登録ツール８は、新規に電子キー２を登録する初期登録モードが設定されると、イモビライザＥＣＵ６の動作モードを初期登録モードに変更する初期登録信号を車両１に送信する。また、登録ツール８は、交換されたイモビライザＥＣＵ６に電子キー２を初期登録する補給初期登録モードが設定されると、イモビライザＥＣＵ６の動作モードを補給初期登録モードに変更する補給初期登録信号を車両１に送信する。

　イモビライザＥＣＵ６は、動作モードを切り替えるモード切替部６１を含む。モード切替部６１は、登録ツール８から初期登録信号を受信すると、動作モードを初期登録モードに切り替える。モード切替部６１は、登録ツール８から補給初期登録信号を受信すると、動作モードを補給初期登録モードに切り替える。

　また、イモビライザＥＣＵ６は、初期登録する電子キー２にビークルＩＤを書き込むビークルＩＤ書込部６２を含む。ビークルＩＤ書込部６２は、動作モードが初期登録モードに切り替えられると、メモリ６７に記憶されたビークルＩＤを含むビークルＩＤ信号をコイルアンテナ５から電子キー２に送信する。

　また、イモビライザＥＣＵ６は、電子キー２に保存されたビークルＩＤが正しいか否かを確認するビークルＩＤ確認部６３を含む。ビークルＩＤ確認部６３は、動作モードが補給初期モードに切り替えられると、ビークルＩＤ確認信号をコイルアンテナ５から電子キー２に送信する。そして、ビークルＩＤ確認部６３は、電子キー２から送信されたビークルＩＤ信号に含まれるビークルＩＤがメモリ６７に保存されたビークルＩＤと同じであるか否かを確認する。

　また、イモビライザＥＣＵ６は、電子キー２に保存された暗号鍵Ｋを生成するために、ＳＥＥＤを電子キー２から読み込むＳＥＥＤ読込部６４を含む。ＳＥＥＤ読込部６４は、動作モードが初期登録モード又は補給初期登録モードに切り替えられた際に、ＳＥＥＤコードを要求するＳＥＥＤ要求信号をコイルアンテナ５から送信し、電子キー２から送信されたＳＥＥＤ信号からＳＥＥＤコードを取り出す。

　また、イモビライザＥＣＵ６は、暗号鍵Ｋを生成する暗号鍵生成部６５を含む。暗号鍵生成部６５は、初期登録モードにおいて、ＳＥＥＤ読込部６４により取得されたＳＥＥＤコードを使用する鍵生成ロジックｆによって暗号鍵Ｋを生成する。

　また、イモビライザＥＣＵ６は、暗号鍵Ｋを登録するとともに、フラグを変更する暗号鍵登録部６６を含む。初期登録モードにおいて、暗号鍵登録部６６は、暗号鍵生成部６５により生成された暗号鍵Ｋをメモリ６７に保存することでイモビライザＥＣＵ６への暗号鍵Ｋの登録を完了する。暗号鍵登録部６６は、初期登録モードで暗号鍵Ｋを保存した後に初期登録拒否操作を検出すると、鍵生成ロジックｆを使用禁止にしてその後の初期登録を拒否する。なお、初期登録拒否操作は、例えばイグニッションスイッチ１４のオンオフを２０回繰り返す操作である。同様に、暗号鍵登録部６６は、補給初期登録モードで暗号鍵Ｋを保存した後、鍵生成ロジックｆを使用禁止にしてその後の補給初期登録を拒否する。

　電子キー２は、車両１のビークルＩＤを車両１から事前に取得する。例えば、ビークルＩＤを要求する特定操作が車両１に行われると、ディスプレイ１５にビークルＩＤが表示される。なお、電子キー２を追加登録する場合には、既存の電子キー２をキーシリンダに挿入し、イモビライザ照合が成立した際に、ビークルＩＤをディスプレイ１５に表示してもよい。

　次に、電子キー登録システム７によるイモビライザＥＣＵ６への電子キー２の登録動作について図２～図８を参照して説明する。

　まず、図２に示されるように、初期製造ステップにおいて、イモビライザＥＣＵ６のメモリ６７には、鍵生成ロジックｆが保存される。さらに、メモリ６７には、データベース９から車両１のビークルＩＤ（ＶＩＤ－Ａ）と、追加登録用の電子キー２の暗号鍵（Ｋ－２）とが保存される。また、メモリ６７において、初期登録フラグは電子キー２の登録を許可する受入状態に設定され、補給初期フラグは電子キー２の登録を拒否する拒否状態に設定される。また、初期製造ステップにおいて、初期登録用の電子キー２のメモリ４２には、ＳＥＥＤコード（ＳＣ－１）と、ＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって生成された暗号鍵（Ｋ－１）とが保存される。

　次に、工場における電子キー２の登録について説明する。電子キー２のイモビライザＥＣＵ６への初期登録は、初期登録ステップにおいて登録ツール８を車両１に接続して行う。

　図３に示されるように、初期登録ステップでは、イモビライザＥＣＵ６は、電子キー２にビークルＩＤ（ＶＩＤ－Ａ）を書き込む。また、イモビライザＥＣＵ６は、電子キー２からＳＥＥＤコード（ＳＣ－１）を読み込み、このＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）を生成し、この暗号鍵（Ｋ－１）をメモリ６７に保存する。そして、イモビライザＥＣＵ６は、電子キー２のメモリ４２に保存されたＳＥＥＤコードを削除し、ビークルＩＤ（ＩＤ－Ａ）に対応する暗号鍵（Ｋ－１）に関する暗号鍵情報として、ＳＥＥＤコード（ＳＣ－１）をデータベース９に保存する。

　詳しくは、図４に示されるように、ユーザが操作部８２を操作して初期登録モードを選択すると、登録ツール８は、初期登録命令として初期登録信号をイモビライザＥＣＵ６に送信する（ステップＳ１）。イモビライザＥＣＵ６は、初期登録信号を受信すると、動作モードを初期登録モードに切り替える（ステップＳ２）。本実施形態では、モード切替部６１が、初期登録信号に応答して初期登録モードを設定する。

　初期登録モードにおいて、イモビライザＥＣＵ６は、メモリ６７に保存されたビークルＩＤを電子キー２に書き込む（ステップＳ３）。本実施形態では、ビークルＩＤ書込部６２が、メモリ６７に記憶されたビークルＩＤ（ＶＩＤ－Ａ）を含むビークルＩＤ信号をコイルアンテナ５から電子キー２に送信する。

　電子キー２は、ビークルＩＤ信号を受信すると、ビークルＩＤをメモリ４２に書き込む（ステップＳ４）。本実施形態では、トランスポンダ４が、ビークルＩＤ（ＶＩＤ－Ａ）をメモリ４２に保存する。その後、電子キー２は、ビークルＩＤの書き込みをロックする（ステップＳ５）。すなわち、トランスポンダ４は、メモリ４２のビークルＩＤの上書きを禁止する。

　イモビライザＥＣＵ６は、ビークルＩＤの書き込みに続いて、ＳＥＥＤコードを電子キー２から読み込む（ステップＳ６）。本実施形態では、ＳＥＥＤ読込部６４が、ＳＥＥＤコードを要求するＳＥＥＤ要求信号をコイルアンテナ５から送信する。

　電子キー２は、ＳＥＥＤ要求信号を受信すると、ＳＥＥＤ信号を送信する（ステップＳ７）。本実施形態では、トランスポンダ４が、メモリ４２に保存されたＳＥＥＤコード（ＳＣ－１）を含むＳＥＥＤ信号を送信する。

　次いで、イモビライザＥＣＵ６は、鍵生成ロジックｆで暗号鍵（Ｋ－１）を算出する（ステップＳ８）。本実施形態では、ＳＥＥＤ読込部６４が、ＳＥＥＤ信号からＳＥＥＤコード（ＳＣ－１）を取得する。続いて、暗号鍵生成部６５が、ＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）を生成する。よって、イモビライザＥＣＵ６は、電子キー２から暗号鍵（Ｋ－１）を直接取得するのではなく、ＳＥＥＤコード（ＳＣ－１）を取得することで暗号鍵（Ｋ－１）を生成する。

　続いて、イモビライザＥＣＵ６は、暗号鍵（Ｋ－１）をメモリ６７に保存する（ステップＳ９）。本実施形態では、暗号鍵登録部６６が、暗号鍵生成部６５により生成された暗号鍵（Ｋ－１）をメモリ６７に保存することで、イモビライザＥＣＵ６への暗号鍵（Ｋ－１）の登録を完了する。イモビライザＥＣＵ６は、この登録された暗号鍵（Ｋ－１）を使用して、電子キー２のイモビライザ照合を行う。

　続いて、イモビライザＥＣＵ６は、データベース９の情報を更新する（ステップＳ１０）。例えば、イモビライザＥＣＵ６は、データベース更新信号を登録ツール８に送信する。データベース更新信号は、イモビライザＥＣＵ６に登録された暗号鍵（Ｋ－１）を生成するために使用されたＳＥＥＤコード（ＳＣ－１）を含む。データベース更新信号を受信した登録ツール８は、図示しないネットワークを介してデータベース９の情報を更新する（ステップＳ１１）。

　ここで、データベース９は、データベース更新信号に基づいて、ビークルＩＤ（ＶＩＤ－Ａ）に対応する暗号鍵（Ｋ－１）に関する情報としてＳＥＥＤコード（ＳＣ－１）を保存する。

　次いで、イモビライザＥＣＵ６は、ＳＥＥＤ削除信号を電子キー２に送信する（ステップＳ１３）。電子キー２は、このＳＥＥＤ削除信号に応答して、メモリ４２からＳＥＥＤコード（ＳＣ－１）を削除する。その後、イモビライザＥＣＵ６は、初期登録拒否操作を検出する（ステップＳ１４）と、鍵生成ロジックｆを使用禁止にしてその後の初期登録を拒否する（ステップＳ１５）。本実施形態では、イグニッションスイッチ１４のオンオフが２０回繰り返されると、暗号鍵登録部６６は初期登録拒否操作が行われたと判断する。これにより、イモビライザＥＣＵ６への電子キー２の初期登録ができなくなる。

　次に、電子キー２の追加登録について説明する。図５に示されるように、追加キー製造ステップにおいて、電子キー２のメモリ４２には、発注書（発注情報）に従って、車両１のビークルＩＤ（ＶＩＤ－Ａ）が書き込まれる。また、このビークルＩＤ（Ｖ－ＩＤ）に対応する追加登録用の暗号鍵（Ｋ－２）が、データベース９から取得されてメモリ４２に保存される。従って、ビークルＩＤ（ＩＤ－Ａ）と暗号鍵（Ｋ－２）とが保存された電子キー２は、イモビライザＥＣＵ６への電子キー追加登録をすることなく、イモビライザＥＣＵ６によるイモビライザ照合に使用することが可能である。

　次に、イモビライザＥＣＵ６を交換した際における電子キー２の登録について説明する。図６に示されるように、交換されるイモビライザＥＣＵ６を製造する交換制御装置製造ステップ（交換ＥＣＵ製造ステップ）において、イモビライザＥＣＵ６のメモリ６７には、発注書に従って、車両１のビークルＩＤ（ＶＩＤ－Ａ）が書き込まれる。また、このビークルＩＤ（Ｖ－ＩＤ）に対応する暗号鍵（Ｋ－２）がデータベース９から取得され、メモリ６７に保存される。さらに、初期登録時にデータベース９に保存された暗号鍵（Ｋ－１）を生成するＳＥＥＤコード（ＳＣ－１）が、ビークルＩＤ（ＶＩＤ－Ａ）に対応する暗号鍵情報としてデータベース９から取得される。そして、このＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）が生成され、イモビライザＥＣＵ６のメモリ６７に保存される。また、メモリ６７において、初期登録フラグは、電子キー２の登録を拒否する拒否状態に設定され、補給初期フラグは電子キー２の登録を許可する受入状態に設定されている。一方、車両１に登録済みの初期製造された電子キー２のメモリ４２には、車両１のビークルＩＤ（ＶＩＤ－Ａ）と、ＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって生成された暗号鍵（Ｋ－１）とが保存されている。そして、登録ツール８を車両１に接続して、登録操作を行う。

　図７に示されるように、交換制御装置登録ステップ（交換ＥＣＵ登録ステップ）では、イモビライザＥＣＵ６は、電子キー２に保存されたビークルＩＤが、そのイモビライザＥＣＵ６を搭載している車両１のビークルＩＤ（ＶＩＤ－Ａ）であるかを確認する。

　詳しくは、図８に示されるように、交換ＥＣＵ登録ステップにおいて、ユーザが操作部８２を操作して補給初期登録を選択すると、登録ツール８は、補給初期登録命令として補給初期登録信号をイモビライザＥＣＵ６に送信する（ステップＳ４１）。イモビライザＥＣＵ６は、補給初期登録信号を受信すると、動作モードを補給初期登録モードに切り替える（ステップＳ４２）。本実施形態では、モード切替部６１が、交換されたイモビライザＥＣＵ６に初めて電子キー２を登録する補給初期登録モードに切り替える。

　そして、イモビライザＥＣＵ６は、電子キー２に保存されたビークルＩＤを確認する（ステップＳ４３）。本実施形態では、ビークルＩＤ確認部６３が、メモリ６７に保存されたビークルＩＤと電子キー２に保存されたビークルＩＤとが同じであるかを確認するためにビークルＩＤ確認信号をコイルアンテナ５から電子キー２に送信する。

　電子キー２は、ビークルＩＤ確認信号を受信すると、ビークルＩＤ信号を送信する（ステップＳ４４）。本実施形態では、トランスポンダ４が、メモリ４２に保存されたビークルＩＤ（ＶＩＤ－Ａ）を含むビークルＩＤ信号を送信する。

　イモビライザＥＣＵ６（ビークルＩＤ確認部６３）は、電子キー２から受信したビークルＩＤがメモリ６７に保存されたビークルＩＤと一致するか否かを確認する。２つのビークルＩＤが一致する（ステップＳ４５）と、イモビライザＥＣＵ６への電子キー２の登録が完了する（ステップＳ４６）。

　以上のように、電子キー登録システム７では、イモビライザＥＣＵ６は、イモビライザＥＣＵ６に予め登録されたビークルＩＤ（ＶＩＤ－Ａ）を電子キー２に書き込み、電子キー２からＳＥＥＤコード（ＳＣ－１）を取得する。そして、イモビライザＥＣＵ６は、ＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）を生成して、この暗号鍵（Ｋ－１）をイモビライザＥＣＵ６に保存する。従って、初期登録前の電子キー２にはビークルＩＤ（ＶＩＤ－Ａ）が保存されていない。また、初期登録前にはイモビライザＥＣＵ６には暗号鍵（Ｋ－１）が保存されていない。従って、電子キー２とイモビライザＥＣＵ６とをまとめて出荷しなくてもよい。また、初期登録後の電子キー２にはビークルＩＤ（ＶＩＤ－Ａ）が保存されているので、他のイモビライザＥＣＵ６に初期登録後の電子キー２を登録することはできない。

　また、電子キー２の初期登録後、暗号鍵（Ｋ－１）を生成するために使用したＳＥＥＤコード（ＳＣ－１）がデータベース９に保存され、電子キー２に保存されていたＳＥＥＤコード（ＳＣ－１）が削除される。このため、ＳＥＥＤコード（ＳＣ－１）が電子キー２に存在しないので、初期登録された電子キー２を他の車両に登録することはできない。従って、セキュリティ性を向上できる。また、同じ車両にてイモビライザＥＣＵ６を交換する際には、データベース９からＳＥＥＤコード（ＳＣ－１）が取り出され、このＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）が生成され、メモリ６７に保存される。このため、初期登録された電子キー２を、交換されたイモビライザＥＣＵ６に容易に登録できる。さらに、追加登録用の電子キー２には、発注書に従ってビークルＩＤ（ＶＩＤ－Ａ）が書き込まれるとともに、データベース９から暗号鍵（Ｋ－２）が保存される。従って、追加登録用の電子キー２をイモビライザＥＣＵ６に登録する場合には、ＳＥＥＤコードの読み出しや暗号鍵の生成が不要である。よって、セキュリティ性を維持しながら、容易に電子キー２を追加登録することができる。

　以上、説明した実施形態によれば、以下の効果を奏することができる。

　（１）初期製造ステップにおいて、イモビライザＥＣＵ６には、車両１に固有のビークルＩＤ（ＶＩＤ－Ａ）が保存されるが、初期登録用の電子キー２に対応する暗号鍵（Ｋ－１）が保存されていない。また、初期登録用の電子キー２には、ＳＥＥＤコード（ＳＣ－１）と暗号鍵（Ｋ－１）とが保存されるが、ビークルＩＤ（ＶＩＤ－Ａ）が保存されていない。従って、電子キー２とイモビライザＥＣＵ６とに保存されるデータが同じではないので、それらをまとめて出荷しなくてもよい。そして、初期登録ステップにおいて、イモビライザＥＣＵ６に保存されたビークルＩＤ（ＶＩＤ－Ａ）が電子キー２に保存される。また、電子キー２からＳＥＥＤコード（ＳＣ－１）が取得され、このＳＥＥＤコード（ＳＣ－１）を使用する鍵生成ロジックｆによって暗号鍵（Ｋ－１）が生成され、イモビライザＥＣＵ６に保存される。このため、電子キー２はビークルＩＤ（ＶＩＤ－Ａ）と暗号鍵（Ｋ－１）とが登録されたイモビライザＥＣＵ６にのみ対応し、他の車両のイモビライザＥＣＵに対応しない。さらに、初期登録後には、イモビライザＥＣＵ６に保存された暗号鍵（Ｋ－１）に関する暗号鍵情報としてＳＥＥＤコード（ＳＣ－１）がデータベース９に保存される。このため、交換用のイモビライザＥＣＵ６を製造する際には、データベース９に保存されたＳＥＥＤコード（ＳＣ－１）から暗号鍵（Ｋ－１）が生成される。このため、交換されたイモビライザＥＣＵ６に、暗号鍵（Ｋ－１）を有する電子キー２を登録することができる。この方法によれば、他の車両のイモビライザＥＣＵへの初期登録用の電子キー２の登録を排除可能である。このため、セキュリティ性を維持しながら、電子キー２とイモビライザＥＣＵ６とをまとめて出荷する必要なしに、容易に電子キー２を登録することができる。

　（２）初期登録ステップにおいて、初期登録された電子キー２のＳＥＥＤコード（ＳＣ－１）が削除される。このため、初期登録された電子キー２を他の車両のイモビライザＥＣＵに登録しようとしても、暗号鍵Ｋを生成することができず、他の車両のイモビライザＥＣＵへの初期登録された電子キー２の登録を排除できる。

　（３）初期製造ステップにおいて、追加登録用の電子キー２の暗号鍵（Ｋ－２）が予めイモビライザＥＣＵ６に保存される。また、追加キー製造ステップにおいて、追加登録用の電子キー２にビークルＩＤ（ＶＩＤ－Ａ）が保存されるとともに、データベース９に保存された暗号鍵（Ｋ－２）が電子キー２に保存される。このため、電子キー２を追加登録する場合、イモビライザＥＣＵ６は、電子キー２から暗号鍵（Ｋ－２）を直接取得することなく、電子キー２の認証を行うことができる。よって、他の車両のイモビライザＥＣＵへの追加登録用の電子キー２の登録を排除でき、セキュリティ性を維持しながら、容易に追加登録できる。

　（４）交換ＥＣＵ製造ステップにおいて、データベース９の情報に基づいて取得された暗号鍵（Ｋ－１，Ｋ－２）が、交換されたイモビライザＥＣＵ６に保存される。その後、交換ＥＣＵ登録ステップにおいて、交換されたイモビライザＥＣＵ６は、ビークルＩＤ（ＶＩＤ－Ａ）が電子キー２に書き込まれていることを確認する。このため、イモビライザＥＣＵ６と電子キー２との間で暗号鍵（Ｋ－１，Ｋ－２）をやりとりする必要がなく、ビークルＩＤ（ＶＩＤ－Ａ）が保存されていない電子キー２のイモビライザＥＣＵ６への登録を排除できる。

　（５）初期登録用の電子キー２を登録した後に鍵生成ロジックｆが使用禁止になる。従って、初期登録された電子キー２と同じ暗号鍵を使用する他の電子キーがイモビライザＥＣＵ６に新たに登録されることを防ぐことができる。

　（６）出荷時にビークルＩＤ（ＶＩＤ－Ａ）が交換用のイモビライザＥＣＵ６や追加登録用の電子キー２に保存される。このため、それらが市場に出回った段階で、発注と異なるイモビライザＥＣＵ６に電子キー２を登録したり、発注と異なる電子キー２をイモビライザＥＣＵ６に登録したりすることを防ぐことができる。

　なお、上記実施形態は、これを適宜変更した以下の形態にて実施することができる。

　・上記実施形態では、初期登録後に鍵生成ロジックｆを使用禁止としたが、鍵生成ロジックｆ自体を消去してもよい。

　・上記実施形態では、初期登録後に鍵生成ロジックｆを使用禁止としたが、初期登録後も使用可能としてもよい。

　・上記実施形態の初期登録ステップにおいて、初期登録後に電子キー２のメモリ４２に保存されたＳＥＥＤコードを削除したが、ＳＥＥＤコードの取得による暗号鍵の生成の可能性がなければ削除しなくてもよい。

　・上記実施形態では、初期登録ステップ及びキー追加登録ステップにおいて、チャレンジレスポンス認証を行った後に、暗号鍵を登録してもよい。

　・上記実施形態では、初期登録後に、イモビライザＥＣＵ６に登録された暗号鍵（Ｋ－１）に関する暗号鍵情報としてＳＥＥＤコード（ＳＣ－１）をデータベース９に保存したが、暗号鍵（Ｋ－１）を暗号鍵情報としてデータベース９に保存してもよい。このようにすれば、データベース９から交換用のイモビライザＥＣＵ６に暗号鍵Ｋを保存する際に、鍵生成ロジックｆによる演算を省略することができる。

　・上記実施形態では、ビークルＩＤを取得する際に、車両１のディスプレイ１５にビークルＩＤを表示させたが、ビークルＩＤを要求する特定操作を車両１に行うと、ユーザが指定したメールアドレスにビークルＩＤを送信してもよい。このようにすれば、メールを受信したユーザのみビークルＩＤを確認することができ、秘匿性に優れる。

　・上記実施形態では、初期登録拒否操作としてイグニッションスイッチ１４を操作したが、イグニッションスイッチ１４の操作に限らず、他の操作を設定してもよい。

　・上記実施形態では、キーシリンダに電子キー２を挿入するタイプのイモビライザシステム３に本発明を適用したが、車両１によって作られる通信エリアに電子キーが進入することで、通信が可能なタイプの電子キーシステムに本発明を適用してもよい。

　・上記実施形態では、車両１の電子キーシステムに本発明を採用したが、住宅等の建物の電子キーシステムに本発明を採用してもよい。

Claims (7)

1. 　通信対象を制御可能な第１の電子キーを前記通信対象の制御装置に登録する電子キー登録方法であって、
   　前記通信対象に固有の識別情報を前記制御装置に保存し、前記第１の電子キーに固有の暗号鍵生成コードと前記第１の電子キーの認証に用いられる暗号鍵とを前記第１の電子キーに保存する初期製造ステップと、
   　前記制御装置に保存された前記識別情報を前記第１の電子キーに書き込み、前記第１の電子キーから前記暗号鍵生成コードを取得して、前記暗号鍵生成コードを使用する暗号鍵生成ロジックによって前記暗号鍵を生成するとともに前記暗号鍵を前記制御装置に保存し、前記暗号鍵に関する暗号鍵情報を前記識別情報に関連付けてデータベースに保存する初期登録ステップと
   を備える電子キー登録方法。
2. 　請求項１に記載の電子キー登録方法において、
   　前記初期登録ステップは、前記第１の電子キーの前記暗号鍵が前記制御装置に保存された後、前記第１の電子キーに保存された前記暗号鍵生成コードを削除することを含む、電子キー登録方法。
3. 　請求項１又は２に記載の電子キー登録方法において、
   　前記初期製造ステップは、追加登録用の第２の電子キーの認証に用いられる暗号鍵を前記制御装置に保存することを含み、
   　当該電子キー登録方法は更に、
   　前記識別情報と、前記識別情報に関連付けられて前記データベースに保存された前記第２の電子キーの前記暗号鍵とを、前記第２の電子キーに保存する追加キー製造ステップを備える、電子キー登録方法。
4. 　請求項１～３のいずれか一項に記載の電子キー登録方法において、
   　前記データベースから前記暗号鍵情報を読み出し、前記第１の電子キーの前記暗号鍵と前記識別情報とを、新たに交換された制御装置に保存する交換制御装置製造ステップと、
   　前記交換された制御装置に保存された前記識別情報が前記第１の電子キーに登録されていることを確認する交換制御装置登録ステップと
   を備える電子キー登録方法。
5. 　請求項１～４のいずれか一項に記載の電子キー登録方法において、
   　前記暗号鍵生成ロジックをその使用後に使用禁止に設定することを備える電子キー登録方法。
6. 　請求項３に記載の電子キー登録方法において、
   　前記通信対象に予め設定された前記識別情報を確認することにより生成された発注情報に基づいて、前記通信対象毎に異なる識別情報が、前記交換される制御装置及び前記第２の電子キーにそれらの出荷前に保存される、電子キー登録方法。
7. 　電子キー登録システムであって、
   　通信対象に設けられ、前記通信対象に固有の識別情報を記憶する制御装置と、
   　前記通信対象を制御可能であり、暗号鍵生成コードと暗号鍵とを記憶する電子キーとを備え、
   　前記制御装置は、前記識別情報を前記電子キーに書き込み、前記電子キーから前記暗号鍵生成コードを取得して、前記暗号鍵生成コードを使用する暗号鍵生成ロジックによって前記暗号鍵を演算し、前記暗号鍵に関する暗号鍵情報を前記識別情報に関連付けてデータベースに保存する、電子キー登録システム。

Images