(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】2018508858
(43)【公表日】20180329
(54)【発明の名称】ユーザ端末で少なくとも1つの車両の機能を制御するサービスにユーザをサインアップする方法
(51)【国際特許分類】
   G06F 21/31 20130101AFI20180302BHJP
   H04M 11/00 20060101ALI20180302BHJP
   H04M 1/00 20060101ALI20180302BHJP
   H04Q 9/00 20060101ALI20180302BHJP
   B60R 25/24 20130101ALI20180302BHJP
【FI】
   !G06F21/31
   !H04M11/00 302
   !H04M1/00 U
   !H04Q9/00 301B
   !B60R25/24
【審査請求】未請求
【予備審査請求】未請求
【全頁数】23
(21)【出願番号】2017535070
(86)(22)【出願日】20151222
(85)【翻訳文提出日】20170822
(86)【国際出願番号】FR2015053719
(87)【国際公開番号】WO2016108012
(87)【国際公開日】20160707
(31)【優先権主張番号】1463430
(32)【優先日】20141230
(33)【優先権主張国】FR
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,ST,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,KM,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IR,IS,JP,KE,KG,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SA,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US
(71)【出願人】
【識別番号】516000549
【氏名又は名称】ヴァレオ、コンフォート、アンド、ドライビング、アシスタンス
【氏名又は名称原語表記】VALEO COMFORT AND DRIVING ASSISTANCE
【住所又は居所】フランス国クレテイユ、セデックス、リュ、オーギュスト、ペレ、76−ゼッドイ、ウーロパルク
(74)【代理人】
【識別番号】100091982
【弁理士】
【氏名又は名称】永井 浩之
(74)【代理人】
【識別番号】100091487
【弁理士】
【氏名又は名称】中村 行孝
(74)【代理人】
【識別番号】100082991
【弁理士】
【氏名又は名称】佐藤 泰和
(74)【代理人】
【識別番号】100105153
【弁理士】
【氏名又は名称】朝倉 悟
(74)【代理人】
【識別番号】100127465
【弁理士】
【氏名又は名称】堀田 幸裕
(74)【代理人】
【識別番号】100196047
【弁理士】
【氏名又は名称】柳本 陽征
(72)【発明者】
【氏名】エリック、メナール
【住所又は居所】フランス国クレテイユ、セデックス、リュ、オーギュスト、ペレ、76−ゼッドイ、ウーロパルク、ケアオブ、ヴァレオ、コンフォート、アンド、ドライビング、アシスタンス
(72)【発明者】
【氏名】ブリュノ、ベント
【住所又は居所】フランス国クレテイユ、セデックス、リュ、オーギュスト、ペレ、76−ゼッドイ、ウーロパルク、ケアオブ、ヴァレオ、コンフォート、アンド、ドライビング、アシスタンス
(72)【発明者】
【氏名】ファビエンヌ、マッソン
【住所又は居所】フランス国クレテイユ、セデックス、リュ、オーギュスト、ペレ、76−ゼッドイ、ウーロパルク、ケアオブ、ヴァレオ、コンフォート、アンド、ドライビング、アシスタンス
【テーマコード(参考)】
5K048
5K127
5K201
【Fターム(参考)】
5K048BA42
5K048DB01
5K048DC01
5K048EB02
5K127AA36
5K127BA03
5K127BB23
5K127BB33
5K127DA15
5K127GA14
5K127GD16
5K127GE03
5K127JA48
5K201AA09
5K201CB13
5K201EB07
5K201EC06
5K201ED05
5K201ED08
(57)【要約】
ユーザ端末(20)で車両(10)の少なくとも1つの機能を制御するサービスにユーザをサインアップする方法であって、ユーザ識別名および車両(10)に関連付けられた識別名をサーバ(50)に伝達するステップと、サーバ(50)で車両(10)の電子ユニット(11)を認証するステップと、認証に成功した場合は、ユーザ識別名と、車両(10)に関連付けられた識別名とを互いに関連付けて、サーバ(50)で登録するステップとを含む。
【特許請求の範囲】
【請求項1】
ユーザ端末(20;T)で車両(10;V)の少なくとも1つの機能を制御するサービスにユーザ(U)をサインアップする方法であって、
−前記ユーザ(U)の識別名(UID)および前記車両(10;V)に関連付けられた識別名(VID;N)をサーバ(50;S)に伝達するステップと、
−前記サーバ(50;S)で前記車両(10;V)の電子ユニット(11)を認証するステップと、
−前記認証に成功した場合は、前記ユーザ(U)の識別名(UID)と、前記車両(10、V)に関連付けられた識別名(VID;N)とを関連付けて、前記サーバ(50;S)でサインアップするステップとを含むことを特徴とする、方法。
【請求項2】
前記認証するステップが、前記電子ユニット(11)の参照番号(N)と関連付けて記憶された暗号鍵を前記サーバ(50;S)が使用するステップ(E14)を含む、請求項1に記載のサインアップ方法。
【請求項3】
前記認証するステップが、前記ユーザ端末(20、T)を介した前記サーバ(50;S)と前記電子ユニット(11)との間のデータ交換(E16;E22)を含む、請求項1または2に記載のサインアップ方法。
【請求項4】
前記認証するステップが、前記サーバ(50;S)と前記電子制御ユニット(11)との間の相互認証プロセスの一部を形成する、請求項1〜3のいずれか一項に記載のサインアップ方法。
【請求項5】
前記車両(10;V)にリンクする物理的対象に対して、前記ユーザ(U)が行った動作を検知するステップを含み、前記サインアップが、さらに前記検知を条件とする、請求項1〜4のいずれか一項に記載のサインアップ方法。
【請求項6】
前記認証に成功している場合は、前記検知するステップ(E32)が単独で行われる、請求項5に記載のサインアップ方法。
【請求項7】
前記検知するステップに成功した場合は、前記電子ユニット(11)が前記サーバ(50;S)にサービス開始メッセージを送信するステップ(E38)を含み、前記サービス開始メッセージを受け取ると、前記サーバ(50;S)によって、前記サインアップするステップ(E42)が行われる、請求項6に記載のサインアップ方法。
【請求項8】
前記物理的対象が、前記車両(10;V)のドアのロック解除を制御できる物理的な鍵である、請求項5〜7のいずれか一項に記載の方法。
【請求項9】
−前記車両(10;V)に関連付けられた識別名(VID;N)に対応する、電子制御エンティティに宛てた特定のメッセージ(MSG)を含むアプリケーション(APP)を、前記サーバ(50;S)から前記端末(20;T)にダウンロードするステップ(E206)と、
−前記端末(20;T)で前記アプリケーション(APP)を実行した結果として、前記特定のメッセージを前記車両(V)の前記制御ユニット(11)に送信するステップ(E208)とを含む、請求項1〜8のいずれか一項に記載の方法。
【請求項10】
前記ユーザ(U)の識別名(UID)が、前記ユーザ端末(20;T)の識別名である、請求項1〜9のいずれか一項に記載の方法。
【請求項11】
前記認証に成功した場合は、前記サーバ(50;S)および前記電子ユニット(11)のカウンタを初期化するステップ(E36;E40)をさらに含む、請求項1〜10のいずれか一項に記載の方法。
【請求項12】
前記初期化ステップ(E36;E40)で、前記カウンタが、前記サーバ(50;S)および前記電子ユニット(11)に記憶された初期値で初期化され、前記カウンタが、前記サーバ(50;S)および前記電子ユニット(11)に記憶された周期で周期的に増分される、請求項11に記載の方法。
【請求項13】
前記サインアップに続いて、前記端末(20;T)に仮想鍵(VK)を送信するステップを含む、請求項1〜12のいずれか一項に記載のサインアップ方法。
【請求項14】
前記伝達ステップが、前記ユーザ端末(20;T)で、前記ユーザ(U)の識別名(UID)および前記車両(10;V)に関連付けられた識別名(VID;N)を前記サーバ(50;S)に送信することによって実行される、請求項1〜13のいずれか一項に記載の方法。
【請求項15】
前記伝達ステップが、前記ユーザ(U)の識別名(UID)および前記車両(10;V)に関連付けられた識別名(VID;N)を前記サーバ(50;S)に入力することによって実行される、請求項1〜13のいずれか一項に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、携帯電話等のユーザ端末による車両の機能の制御に関する。
【0002】
より詳細には、ユーザ端末で車両の機能を制御するサービスに、ユーザをサインアップする方法に関する。
【0003】
本発明は、この機能が車両のドアのロック解除である場合に、特に好適に適用され得る。
【背景技術】
【0004】
車両のユーザが通常使用する携帯電話等のユーザ端末で、車両のドアのロック解除等の自動車両のいくつかの機能を制御することが提案されている。
【0005】
この制御を、実際に許可されている人物に限定するために、ユーザ端末に記憶された仮想鍵が使用され、この仮想鍵の有効性は、ドアのロック解除を命令する前に、車両の電子制御ユニットによって検証される。
【0006】
このような仮想鍵は、ユーザ端末で機能を制御するサービスにサインアップした人物にのみ配布される。
【発明の概要】
【0007】
この状況において、本発明は、ユーザ端末で車両の少なくとも1つの機能を制御するサービスに、ユーザをサインアップする方法を提案し、この方法は、以下のステップを含む。
−ユーザの識別名および車両に関連付けられた識別名をサーバに伝達するステップと、
−サーバによって車両の電子ユニットを認証するステップと、
−認証に成功した場合は、ユーザ識別名と、車両に関連付けられた識別名とを関連付けて、サーバでサインアップするステップ。
【0008】
したがって、伝達された識別名によって指定された車両の電子ユニットが、サーバで認証されている場合にのみ、車両は、ユーザ識別名(例えば、ユーザ端末の識別名であってもよい)と関連付けてサービスにサインアップされる。
【0009】
随意選択であり、したがって非限定的な他の特徴は、以下の通りである。
−認証は、サーバが、電子ユニットの参照番号と関連付けて記憶された暗号鍵を使用するステップを含む。
−認証は、ユーザ端末を介したサーバと電子ユニットとの間のデータ交換を含む。
−認証するステップは、サーバと電子制御ユニットとの間の相互認証プロセスの一部を形成する。
−サインアップ方法は、車両にリンクする物理的対象に対して、ユーザが行った動作を検知するステップを含む。
−サインアップは、認証に成功することだけでなく、前述の検知が行われることも条件とする。
−認証に成功している場合は、検知するステップは単独で行われる。
−サインアップ方法は、検知に成功した場合は、電子ユニットがサーバにサービス開始メッセージを送信するステップを含み、サービス開始メッセージを受け取ると、サーバによってサインアップが行われる。
−この方法は、サインアップに続いて、端末に仮想鍵を送信するステップを含む。
−物理的対象とは、車両のドアのロック解除を制御できる物理的な鍵である。
−物理的対象とは、車両の手動制御である。
−ユーザ識別名は、ユーザ端末の識別名である。
−この方法は、認証に成功した場合は、サーバおよび電子ユニットのカウンタを初期化するステップをさらに含む。
−カウンタは、初期化するステップにおいて、サーバおよび電子ユニットに記憶された初期値で初期化される。
−カウンタは周期的に増分され、その周期は、サーバおよび電子ユニットに記憶される。
−通信するステップは、例えばユーザ端末を介して、ユーザ識別名と、車両に関連付けられた識別名とを送信することによって行われる。
−通信するステップは、ユーザ識別名と、車両に関連付けられた識別名とをサーバで取得することによって行われる。
【0010】
このサインアップ方法は、以下のステップをさらに含んでもよい。
−車両に関連付けられた識別名に対応する電子制御エンティティに宛てた、特定のメッセージを含む(例えば、事前にカスタマイズされた)アプリケーションを、サーバから端末にダウンロードするステップと、
−端末でアプリケーションを実行した結果として、車両の制御ユニットに特定のメッセージを送信するステップ。
【0011】
この機能とは、例えば、車両のドアをロック解除またはロックすること、あるいは車両のトランクをロックまたはロック解除すること、あるいは車両のグローブボックスをロックまたはロック解除すること、あるいは代替的に車両のエンジンを始動または停止することである。
【0012】
添付の図面を参照する以降の説明は、非限定的な例として提供され、本発明の性質および用途を明らかにするであろう。
【図面の簡単な説明】
【0013】
【図1】特に、車両とユーザ端末とを備える、本発明が適用され得る状況の例を示す。
【図2】本発明の理解に役立つように、図1の自動車両およびユーザ端末の構成部品を概略的に示す。
【図3】ユーザ端末で車両の機能を制御するサービスにサインアップする方法の、主なステップを示す。
【図4】ユーザ端末で車両の機能を制御するサービスにサインアップする方法の例の、主なステップを示す。
【図5】ユーザ端末で車両の機能を制御するサービスにサインアップする方法の別の例の、主なステップを示す。
【発明を実施するための形態】
【0014】
図1は、本発明が適用され得る状況の例を示す。
【0015】
この状況では、車両10は、電子制御ユニット(Electronic Control Unit、ECU)11を備え、これは後述するように、例えば、ユーザ端末20で自動車両10の機能を制御するために(このような機能は、例えば、車両10のドアをロック解除することであってもよい)、ユーザ端末20とデータを交換する目的で、無線リンクを介してユーザ端末20との通信に入ることができ、このユーザ端末20は、例えば、一般的に使用されている英語名によれば、おそらくは「スマートフォン(smartphone)」としても知られている「インテリジェント電話(intelligent telephone)」タイプの携帯電話(またはモバイルフォン)である。
【0016】
電子制御ユニット11とユーザ端末20との間の通信に使用される無線リンクは、例えば、Bluetooth(登録商標)タイプのものである。
【0017】
また、ユーザ端末20は、携帯電話ネットワーク30に接続するように設計され、携帯電話ネットワーク30は特に、ユーザ端末20およびラジオリンクを介して通信する基地局32と、インターネット等の公衆ネットワーク40に接続するためのゲートウェイ34とを備える。
【0018】
サーバ50もまた、ユーザ端末20とサーバ50とが携帯電話ネットワーク30および公衆ネットワーク40を介して通信して、データを交換できるように、公衆ネットワーク40に接続される。この事例では、サーバ50は、電子制御ユニット11の製造者によって管理される。
【0019】
図2は、本発明の理解に役立つように、車両10およびユーザ端末20のいくつかの構成部品を概略的に示す。
【0020】
自動車両10は特に、前述した電子制御ユニット11と、アクチュエータ15(この事例では、車両10のドアをロック解除するために設計される)と、アクチュエータ17(車両を始動させるために設計される)と、無線通信モジュール16と、ユーザインターフェース18とを備える。
【0021】
識別番号VIDが車両10に割り当てられ、通し番号Nが電子制御ユニット11に割り当てられる。車両10の識別番号であるVIDと、この車両10に取り付けられた電子制御ユニット11の通し番号Nとの間の関連性は、サーバ50(車両10の製造者、または供給者であってもよい)によって管理されるデータベースDに記憶される。
【0022】
電子制御ユニットは、プロセッサ12と、書き換え可能な不揮発性メモリまたはハードディスク等の、記憶ユニット14とを備える。
【0023】
記憶ユニット14は、特に、命令を含むコンピュータプログラムを記憶し、プロセッサ12がこの命令を実行すると、電子制御ユニット11が後述する方法を実行できるようになる。
【0024】
また、記憶ユニット14は、後述する方法の状況の中で使用されるデータ、特に、暗号鍵PrK(例えば秘密鍵)およびルート鍵(または親鍵)MKを記憶し、これらは以下の文で説明するように使用される。
【0025】
暗号鍵PrKおよび/またはルート鍵MKは、例えば、この電子制御ユニット11が自動車両10に取り付けられる前の、電子制御ユニット11の製造中に記憶ユニット14に書き込まれる。
【0026】
また、暗号鍵PrKおよびルート鍵MKは、電子制御ユニット11の通し番号Nに関連付けて、サーバ50(前述のように、電子制御ユニット11の製造者によって管理される)にも記憶される。
【0027】
後述するいくつかの用途では、記憶ユニット14は、多様なカウンタを構成するための、カウンタの初期値Iおよびステップの期間P等の情報も記憶する。この情報もまた、この電子制御ユニット11が自動車両10に取り付けられる前に電子制御ユニット11の製造中に、記憶ユニット14に書き込まれてもよく、かつ電子制御ユニット11の通し番号Nに関連付けて、さらにサーバ50に記憶されてもよい。
【0028】
このカウンタは、カウンタを構成するための情報(この事例では初期値Iおよびステップの期間P)が、電子制御ユニットによって異なり、したがって車両によって異なるという点において多様である。言い換えれば、各電子制御ユニット(したがって各車両)は、独自のカウンタ構成情報を記憶する。したがって、前述のように、サーバSは、各電子制御ユニットの通し番号に関連付けて、このカウンタ構成情報を記憶する。
【0029】
ユーザ端末20は、プロセッサ22、メモリ24(例えば、書き換え可能な不揮発性メモリ)、無線通信モジュール26、携帯電話ネットワーク30での通信用のモジュール28を備える。
【0030】
ユーザ端末20の無線通信モジュール26は、車両10の無線通信モジュール16と無線リンク(この事例では、前述のBluetoothタイプのもの)を確立することを可能にし、これを介して、電子制御ユニット11のプロセッサ12と、ユーザ端末20のプロセッサ22とは、特に後述するように、データを交換することができる。
【0031】
通信モジュール28は、ユーザ端末20(あるいはより正確には、このユーザ端末20に取り付けられたプロセッサ22)が、前述のように、携帯電話ネットワーク30、または公衆ネットワーク40に接続された他のデバイス、特にサーバ50とデータを交換できるようにする。いくつかの実施形態では、通信モジュールは、携帯電話サービスへの加入に関連付けられた接続データを記憶して、携帯電話ネットワーク30で接続を確立できる、スマートカードを含んでもよい。
【0032】
図3は、ユーザ端末20で車両10の機能を制御するサービスにサインアップする(または登録する)方法の、主なステップを示す。
【0033】
なお、この方法を実施する前に、ユーザ端末20は、車両10の機能を制御するための特定の準備はされておらず、車両10に関するデータを有していない。この端末は、したがって、例えば、車両10の所有者が現在使用している携帯電話であってもよい。
【0034】
同様に、この方法を実施する前は、ユーザ端末20は車両10に認識されておらず、したがって、車両10は、このユーザ端末20に関連付けられたデータについての情報を有していない。
【0035】
ユーザU(1つの実施形態では車両10の所有者であり、別の実施形態では車両10を運転する人物)は、図3の方法を実行するために、(物理的な鍵等の)従来の手段で車両10(図3において「V」でも参照される)にアクセスすると仮定する。
【0036】
本明細書で述べる実施形態では、ユーザUは、前述のように、一方では、(例えば、Bluetoothタイプの)無線リンクを介して電子制御ユニット11と通信し、他方では、ラジオリンクを介して基地局31と通信した後に、携帯電話ネットワーク30および公衆ネットワーク40を介してサーバ50(図3では「S」で参照される)と通信する、ユーザ端末20を保有して使用する。
【0037】
ユーザ端末20は、したがって、本明細書で述べる実施形態では、後述するように、車両V(より正確には電子制御ユニット11)と、サーバSとの間でデータを交換するためのゲートウェイとして使用されてもよい。
【0038】
変形例では、車両V(すなわち電子制御ユニット11)と、サーバSとの間で、他の通信手段、例えば、車両Vに取り付けられ、車両Vと携帯電話ネットワーク30との間に(直接的な)通信を確立するように設計された、通信モジュール(「テレマティクス制御ユニット(Telematic Control Unit)」と呼ばれる場合がある)を使用することが可能である。
【0039】
図3の方法は、ステップE2から始まり、ユーザUは、サーバS(図1では「50」で参照される)に、ユーザ識別名UIDおよび車両V(図1では「10」で参照される)の識別名VIDを伝達する。実現可能な実施形態では、ユーザUは、このために、(例えば、ユーザ端末20のプロセッサ22が実行したブラウザにサーバSのhttpアドレスを入力して)サーバSに接続し、例えば、前述の識別名UID、VIDをフォームに入力して、これをサーバSに送信する。別の実現可能な実施形態では、事前にユーザ端末20にインストールしたアプリケーションが、ユーザUにこれらの識別名を入力することを要求して、これをサーバ50に送信する。
【0040】
変形例では、ユーザ識別名UIDおよび車両Vの識別名VIDは、例えば、車両Vの購入時に、事前にサーバSに入力されていてもよい。
【0041】
ユーザ識別名UIDは、必要に応じて、例えば、ユーザの氏名および誕生日を含む。しかしながら、変形例では、ユーザを識別するために別のタイプのデータを使用することができ、したがって、ユーザ識別名は、電子メールアドレス、電話番号(例えば、携帯電話サービスへの加入に際して割り当てられたMSISDN番号等の番号)、またはユーザUのユーザ端末の識別名(IMEI番号等)であってもよい。
【0042】
車両の識別名VIDは、例えば、「車両識別番号(Vehicle Identification Number)」として知られているタイプのものである。しかしながら、変形例では、車両10に関連付けられた別の識別名、特に、車両10の電子制御ユニット11の通し番号Nを使用することが可能である。
【0043】
サーバSは、ステップE4において、ユーザ識別名Uおよび車両識別名VIDを受信し、このステップにおいて、ユーザ端末で車両の機能を制御するサービスへのサインアップが進行している車両専用の領域に、これらの識別名を記憶する。
【0044】
電子制御ユニット11の通し番号Nは、例えばステップE2において、例えば、ユーザUによってサーバSに伝達される。このために、通し番号Nはユーザに事前に供給され、これは例えば、車両のユーザマニュアルの中に貼りつけられたラベルに印刷される、かつ/あるいはユーザインターフェース18を介して、ユーザにアクセスすることができる。
【0045】
サーバSは、したがって、ステップE10において、(前述のように)この通し番号Nに関連付けて記憶されていた、暗号鍵PrKを判定することができる。
【0046】
サーバSは次に、乱数RND等の「チャレンジ(challenge)」(英語でこのように知られている)を生成する(ステップE12)。
【0047】
サーバSは次にステップE14において、暗号鍵PrKを用いて暗号関数fを適用することによって、このチャレンジに関連付けられる応答RESPを計算し、これはRESP=f(RND,VK)のように表してもよい。
【0048】
サーバSは、したがって、ステップE16において、チャレンジRNDおよび応答RESPの一部、この事例では、応答RESPの一部を形成する最下位バイト(Least Significant Byte、LSB)を車両V、より正確には電子制御ユニット11に送信することができる。
【0049】
前述のように、この事例では、サーバS(図1では「50」で参照される)は、ユーザ端末20を介して電子制御ユニット11と通信する。
【0050】
電子制御ユニット11は、チャレンジRNDおよび応答の一部LSBを受信し、次に、ステップE18において、前述のように記憶ユニット14に記憶されていた暗号鍵PrKを用いて、受信したチャレンジに暗号関数fを適用することによって、予期される応答RESP’を計算し、これは、RESP’=f(RND,PrK)で表される。
【0051】
電子制御ユニット11は、次に、ステップE20において、ステップE18で計算した応答RESP’の部分LSB’(受信した応答RESPの一部に対応し、この事例では最下位バイト)が、サーバSから受信した応答の一部LSBと実際に等しいことを確認する。
【0052】
この相等性が確認されない場合は、電子制御ユニット11はステップE21に進んで、サインアッププロセスを終了する。実際にこれは、ステップE14の計算に使用された暗号鍵が、ステップE18の計算に使用されたものと異なっており、したがって(例えば、ステップE2で誤った車両識別名が送信されたために)エラーが発生したことを意味する。その後、エラーメッセージが、例えば、車両Vのユーザインターフェース18に表示されてもよい。
【0053】
相等性が確認された場合は、次に、ステップE22において、電子制御ユニット11は、ステップE18で計算した応答RESP’の別の一部、この事例では、最上位バイト(Most Significant Byte)MSB’をサーバSに送信する。
【0054】
サーバSは、応答RESP’のこの他の部分MSB’を受信し、ステップE24において、ステップE14で計算した応答RESPの部分MSB(受信した応答RESP’の部分MSB’に対応し、この事例では最上位バイト)が、電子制御ユニット11から受信した応答MSBの一部と実際に等しいことを確認する。
【0055】
この相等性が確認されない場合は、サーバはステップE25に進んで、サインアッププロセッサを終了する。これは、サーバSの通信相手が、予期される応答を計算できておらず、おそらくはこの相手が予期した車両ではなく、したがって暗号鍵PrKを保持していないためであることを意味する。
【0056】
通常の動作では、相等性が確認され、したがってサーバSと電子制御ユニット11との間で相互認証が行われる。
【0057】
サーバSは、次に、ユーザUが車両Vにいることを確認するコマンドCMDを電子制御ユニット11に送信することによって、このサインアップ方法を継続させる(ステップE26)。
【0058】
コマンドCMDを受け取ると、電子制御ユニット11は、ステップE28において、ユーザインターフェース18に、1つ以上の動作ACTを行うことをユーザUに要求する表示を生成させる。
【0059】
この表示は、視覚的な表示(例えば、光信号またはユーザインターフェース18の画面上での表示)、ならびに/あるいは音声による表示(例えば、特定の音または声によるメッセージ)であってもよい。要求される1つ以上の動作は、物理的な鍵の使用(例えば、場合によっては同時に、物理的な鍵の上の1つ以上のボタンを押下する、もしくは物理的な鍵でエンジンを始動および/または停止する)、ならびに/あるいはユーザインターフェース18のボタンを押下する、ドアを開閉する、エンジンを始動および/または停止する等の、ユーザUが車両Vに対して行う動作を含んでもよい。
【0060】
ユーザは、ステップE30において、要求された(複数の)動作ACTを行う。
【0061】
電子制御ユニット11は、ステップE32において、(例えば、ユーザが動作を完了するための所定の期間を与えている間に)ユーザUが行った動作が、要求した動作ACTと実際に一致するかどうかを検知する。
【0062】
失敗した場合(つまり、与えられた時間内にユーザUが要求された動作を行わない場合)は、電子制御ユニット11は、ステップE34に進んで、サインアッププロセスを終了する。また、エラーメッセージが、車両Vのユーザインターフェース18に表示されてもよい。
【0063】
一方、ユーザが与えられた時間内に要求された動作ACTを正しく行った場合は、サインアップを実施するために必要な全ての条件が満たされ、ユーザ端末で車両の機能を制御するためのサービスを開始できるとみなされる。
【0064】
なお、ユーザ端末20が受信して表示した1回限りのコードを、車両10のユーザインターフェース18に入力する等の、サインアップを検証するための他の条件が可能な場合がある。このような1回限りのコードは、例えば、いくつかの実施形態では、前述したように、ステップE2の複数の識別名を入力できるようにするアプリケーションの実行中に、サーバ50によって、公衆ネットワーク40を介してユーザ端末20に送信されてもよい。変形例では、1回限りのコードは、これも前述したように、特に電話番号がユーザ識別名を形成しているときは、ユーザ端末20が使用する、加入に関連付けられた電話番号(MSISDN番号)を使用して、(例えば、ショートメッセージすなわちSMS(Short Message System)の形式で)ユーザ端末20に送信されてもよい。後者の例では、サーバ50は、電話ネットワークでデータを送信するように設計される。
【0065】
いくつかの実施形態では、次に、前述のように、記憶ユニット14に記憶された構成情報を使用して、電子制御ユニット11内でカウンタを開始するステップに進むことができ、ここで述べる実施形態では、カウンタは、初期値Iに初期化されて、周期Pで周期的に増分される(ステップE36)。カウンタが所与のビット数にわたって記憶されるときは、カウンタが増分されて、最大値(カウンタのビット数によって決まる)を超えて(時折用いられる英語の用語によれば)オーバーフローが引き起こされると、ゼロにリセットされる。
【0066】
電子制御ユニット11は、サーバSに、(電子制御ユニット11の要求でユーザが行った動作ACTによって)ユーザの存在が検知されたことと、したがってサービスを開始できることとを示すメッセージをさらに送信する(ステップE38)。
【0067】
サーバSはこのメッセージを受信し、カウンタが使用される場合は、車両識別名VIDに関連付けて、かつ電子制御エンティティ11の通し番号Nに関連付けて記憶された構成情報に基づいて、その内部カウンタを開始し(ステップE40)、この事例では、構成情報は、初期値Iおよびカウンタの増分の周期Pである。
【0068】
したがってカウンタは、電子制御ユニット11内に記憶されたカウンタと、サーバ50に記憶されたカウンタとのオフセットが、おそらくは非常に小さい状態で(特に、ステップE36とE40との間の時間が短いことにより)、制御ユニット11内とサーバS内とで並行して動作するが、これが弊害をもたらすことはない。
【0069】
次に、サーバSは、ユーザUのサービスへの最終サインアップを実行することを決定してもよく、このために、サービスの加入者用の記憶領域に、ユーザ識別名UID、車両識別名VID、ならびにカウンタが使用される場合は、カウンタの現在の値(周期Pで周期的に増分される)、そして必要に応じて通し番号Nを、関連付けて記憶する(ステップE42)。関連付けて記憶されたユーザ識別名UIDと、車両識別名VIDとは、提示されたサービスに対する、車両の所有権の電子証明とみなすことができる。
【0070】
サーバSは、次に、例えば、ユーザ端末20に仮想鍵VKを送信することによって、車両の機能を制御するサービスへのアクセス権をユーザUに伝達し、仮想鍵VKは、後述する例にあるように、ユーザ端末20がこのような機能(例えば、車両のドアを開ける)を制御することを許可する。仮想鍵VKは、ユーザ端末20に記憶される(ステップE44)。実際に、仮想鍵VKは、事前にユーザ端末20のメモリ24にダウンロードされ、ユーザ端末20のプロセッサ22によって実行可能なアプリケーション、例えば、前述したように、ステップE2を実施するアプリケーションに、サーバ50から送信することができる。変形例では、仮想鍵VKは、これも前述したように、特に電話番号がユーザ識別名を形成しているときは、ユーザ端末20が使用する、加入に関連付けられた電話番号(MSISDN番号)を使用して、ユーザ端末20に送信されてもよい。
【0071】
図4は、(図1では「20」で参照されるタイプの)ユーザ端末Tで、車両V(図1では「10」で参照される)の機能を制御する方法の例の主なステップを示す。
【0072】
必然的に、後述するステップ以外のステップが、車両10の電子制御ユニット11と、ユーザ端末20との間に通信チャネルを確立するために、特に前もって実際に実施され得る。
【0073】
ここで述べる制御方法は、車両Vが、予め定められた期間でユーザに貸し出される場合に、特によく適合する。
【0074】
このために一時仮想鍵VKが使用され、この鍵は、貸出期間開始時のカウンタ(前述したように、車両Vの電子制御ユニット11と、サーバSとに並行して取り付けられる)の値NB1と、貸出期間終了時のカウンタの値NB2とを考慮して導出される。
【0075】
仮想鍵VKを生成するために、サーバSは、例えば、車両貸出業者から、車両識別名VID、貸出開始時間および貸出終了時間を受信し、記憶ユニット14から読み出したカウンタ構成情報に基づいて、関連する電子制御ユニット11(その通し番号Nは、例えば、図3の方法に従って、受信した車両識別名VIDに関連付けられている)に取り付けられ、貸出開始時間に対応するカウンタの値NB1と、貸出終了時間に対応する、このカウンタの値NB2とを決定する。
【0076】
次に、(前述のように、通し番号Nに関連付けて記憶された)ルート鍵MK、開始値NB1および終了値NB2を使用して、例えば、これらの要素に導出関数gを使用することによって仮想鍵VKが生成され、これは、VK=g(MK,NB1,NB2)で表される。
【0077】
サーバSは、次に、ユーザ(車両を借りる人物)の通常端末T(例えば携帯電話)に、例えば、この通常端末Tが本当にサービスを受ける資格があることを(IMEI番号および/またはMSISDN番号等の、端末に関連付けられた加入者番号等の端末の識別名に基づいて)確認するステップの後に、仮想鍵VKおよび値NB1、NB2を送信し、仮想鍵VKおよび値NB1、NB2は、その後端末T内に記憶される。(なお、ここで使用される端末Tは、したがって通常は、図3の状況で使用されるものではない。)
【0078】
車両Vの機能は、その後、端末Tで制御することができる。
【0079】
このために、ステップE102において、端末Tは、開始値NB1および終了値NB2と共に、機能を実行する要求を車両Vの電子制御ユニット11に送信する(ステップE102)。
【0080】
電子制御ユニット11は、次に、ステップE104において、実行するカウンタの現在の値が、実際に値NB1と値NB2との間にあることを確認する(これは、前述した値NB1およびNB2の構成によれば、現在の時点が貸出期間内に含まれることを意味する)。
【0081】
そうでない場合は、電子制御ユニット11は、ステップE106において、要求された機能を実行することなく(すなわち、この場合は車両Vのドアをロック解除することなく)、この方法を終了する。必要に応じて、失敗のメッセージを端末Tに送信してもよく、その結果、対応する表示を端末Tに表示させることができる。
【0082】
ステップE104において、肯定的な確認が行われた場合は、この方法はステップE108に進み、電子制御ユニット11は、(前述のように記憶ユニット14に記憶された)ルート鍵MK、開始値NB1および終了値NB2に基づいて、前述のようにサーバSで実施されたのと同じ計算によって、この場合はこれらの要素に導出関数gを適用することによって、仮想鍵VKを計算し、この事例では、電子制御ユニット11は、VK=g(MK,NB1,NB2)を計算する。
【0083】
電子制御ユニット11は、次に、ステップE110において、乱数RND’等のチャレンジを生成し、このチャレンジをユーザ端末Tに送信する。
【0084】
ユーザ端末Tは、ステップE112において、このチャレンジを受信する。
【0085】
ステップE114において、ユーザ端末T(すなわち、実際にはそのプロセッサ)は、(前述したように、前もってサーバSから受信した)仮想鍵VKを用いて、受信したチャレンジRND’に暗号関数hを適用して応答Rを取得し、これは、R=h(RND’,VK)で表される。必要に応じて、他のデータ、例えば、車両識別名VIDを、このステップで行う計算に使用してもよい。
【0086】
並行して、電子制御ユニットは、(通常動作時に)ステップE115において、予期される応答を取得するために自身の側で同じ計算を行い、この事例では、この計算の結果はR’で示され、これはR’=h(RND’,VK)で表される。
【0087】
ユーザ端末Tは、(ステップE114で計算された)予期される応答Rを電子制御ユニット11に送信する(ステップE116)。
【0088】
電子制御ユニット11は、次にステップE118において、ユーザ端末Tから受信した応答Rが、予期される応答R’と実際に等しいことを確認し、この場合、電子制御ユニット11は、ユーザ端末Tが、車両へのアクセス権を与える仮想鍵VKを実際に保持しているとみなすことができる。
【0089】
ステップE118において、確認に失敗した場合(前述した通常の動作ではなく、おそらくは悪意ある人物が、仮想鍵VKを知ることなく車両にアクセスしようとしている場合)は、電子制御ユニット120は、ステップE120において、要求された機能を行うことなく(すなわち、この場合は車両Vのドアをロック解除することなく)、この方法を終了する。必要に応じて、失敗のメッセージを端末Tに送信してもよく、その結果、対応する表示を端末Tに表示させることができる。
【0090】
ステップE118において、ユーザ端末Tから受信した応答Rと、電子制御ユニット11によって計算された予期される応答R’との相等性が確認された場合は、この方法はステップE122に進み、電子制御ユニットは、アクチュエータ15に(あるいは、車両の始動の場合はアクチュエータ17に)、対応するコマンドを送信することによって、要求された機能、この場合は車両のドアのロック解除を行う。
【0091】
前述の例では、簡単な認証が使用されるが、変形例では、例えば所望される機能が車両の始動であるときは、相互認証が使用されてもよい。
【0092】
また、前述の事例では、車両の貸し出しに特に適した、一時仮想鍵VKが使用される。
【0093】
他の実施形態では、例えば、ルート鍵MKの代わりに記憶ユニット14に記憶された鍵等の、固定の仮想鍵VKを使用することが可能である。ユーザ端末で車両の機能を制御する前述のステップE102およびE110〜E122は、したがってこの固定仮想鍵を使用して実行することができる。仮想鍵VKが記憶されるユーザ端末は、この場合は、図3の方法で使用されるユーザ端末であってもよい。ステップE36、E40およびE104〜E108が省略され、かつステップE102が、カウンタ値を追加することなく機能を実行する、簡単な要求である場合は、前述のカウンタを使用しないことも可能である。
【0094】
図5は、ユーザ端末20で車両10の機能を制御するサービスにサインアップする方法の別の例の、主なステップを示す。
【0095】
この方法は、ステップE200から始まり、ユーザU(通常は車両Vの所有者)は、電子制御ユニット11の通し番号Nと、自身の識別名UID(例えば、IMEI番号、または関連するMSISDN加入者番号等のユーザ端末20の識別名)をサーバSに伝達する。
【0096】
この実施形態では、通し番号Nは、明らかに車両10に関連付けられた識別名として使用されている。
【0097】
この情報をサーバSに伝達するために、ユーザUは、例えば、サーバSに関連付けられたウェブサイトに接続して、情報N、UIDをフォームに入力することができ、フォームはその後、サーバSに送信される。このような動作は、必要に応じて端末20を使用して行ってもよいが、ユーザUのパソコンを使用して行ってもよい。
【0098】
サーバSは、ステップE202において、情報N、UIDを受信し、これを例えば、ユーザ端末で車両の機能を制御するサービスへのサインアップが進行している、車両専用の記憶領域に記憶する。
【0099】
なお、変形例では、この情報N、UIDは、車両Vの購入時にサーバSに入力されてもよい(この場合、ユーザUは、サーバSを管理している組織に、自身に関する情報を提供する)。
【0100】
サーバSは、次に、ステップE204において、端末20向けのアプリケーションAPPを準備し、このアプリケーションは、(ステップE202で通し番号Nを受信した電子制御ユニット11のみによって読み出されるように設計された)特定のメッセージMSGと、アプリケーションAPPに固有の導出鍵Kとを含む。サーバSは、特に、事前に記憶した情報N、UIDに関連付けて、導出鍵Kを記憶する。
【0101】
ステップE206において、アプリケーションAPPは、端末20(以降、「端末T」として参照される)にダウンロードされてインストールされる。このために、サーバSは端末20に、(例えば、E200で識別名UIDとして供給された、あるいはステップE200で識別名UIDの補完物として供給された、MSISDN加入者番号を使用して)httpsリンク等を送信し、このリンクは、ユーザUによって、アプリケーションAPPを端末Tにダウンロードするために後に使用される。
【0102】
続くステップE208(ステップE206とは、より長い、あるいはより短い時間間隔で分離されてもよい)において、ユーザUは、アプリケーションAPPの端末Tでの実行を開始する。
【0103】
車両Vの無線通信モジュール16と、端末Tの無線通信モジュール26との間の無線リンクを初期化する段階の後に、アプリケーションAPPは、車両Vの電子制御ユニット11に送信する特定のメッセージMSGを生成する。
【0104】
この特定のメッセージMSGは、ステップE210において電子制御ユニット11が受信し、特定のメッセージMSGが、実際にこれに宛てたものであることを確認する。この確認が正しく行われない場合は、サインアッププロセスは終了する。
【0105】
電子制御ユニット11が、実際に特定のメッセージMSGの意図された受信者である場合は、電子制御ユニット11は、ステップE210において、例えばその通し番号N(または電子制御ユニット11の他の識別名)と共に、サーバSに認証要求を送信する。このような要求は、例えば、(図3の実施形態に関して前述したように)端末Tを介して、電子制御ユニット11からサーバSに送信される。このために、アプリケーションAPPは、例えば、サーバ50のIPアドレスを含み、このアドレスに、電子制御ユニット11から受信した応答を送信する。変形例では、この要求は、車両Vの通信モジュールによって送信されてもよい。
【0106】
サーバSは認証要求および通し番号Nを受信し、次にステップE212において、端末T(その識別名または関連する加入番号は、前述のように、車両に関連付けられた識別名、この事例では通し番号Nに関連付けてサーバSに記憶されている)にチャレンジXを送信する。
【0107】
端末Tは、チャレンジXを受信して、導出されたデータ要素Yを取得するために、アプリケーションAPPで予め受信した導出鍵Kを用いて(前述のステップE206を参照)、このチャレンジXに暗号関数dを適用し(ステップE214)、ここで、Y=d(X,K)で表される。
【0108】
導出されたデータ要素Yは、ステップE208において前述したように、確立された無線リンクを介して、端末Tから、車両Vの電子制御ユニット11に送信される。
【0109】
電子制御ユニット11は、導出されたデータ要素Yを受信し、ステップE216において、前述のように記憶ユニット14に記憶されていた暗号鍵PrKを用いて、この導出したデータ要素Yに暗号関数fを適用することによって、応答Zを計算し、ここで、Z=f(Y,PrK)で表される。
【0110】
電子制御ユニット11は、ステップE216で計算した応答Zを、例えば、前述のように端末Tを介して(あるいは変形例では、車両Vに取り付けられた通信モジュールによって)、サーバSに送信する。
【0111】
サーバSは、応答Zを受信して、ステップE218において、この応答Zが実際に、予期した応答f(d(X,K),PrK)であると確認することができる。これは、サーバSは、電子制御ユニット11の通し番号Nと関連付けて、(図2を参照して前述したように)暗号鍵PrKおよび導出鍵K(前述のステップE204を参照)を記憶するからであり、またサーバSは、ステップE212で送信したチャレンジXについても既知である。
【0112】
電子制御ユニット11から受信した応答Zが、予期した応答f(d(X,K),PrK)と一致しない場合は、サインアッププロセスは終了する。
【0113】
電子制御ユニット11から受信した応答Zが、予期した応答f(d(X,K),PrK)と一致する場合は、(各々が自身に固有の情報を使用して)応答Zの生成に関与した、端末Tと、車両Vの電子制御ユニット11との各々が、実際にそれぞれ、(識別名UIDで識別された)ユーザUと、(ここでは通し番号Nで識別された)車両Vとに関連付けられたものであることを意味し、したがって、サーバSは、端末Tおよび電子制御ユニット11を認証することができる。
【0114】
次にサーバSは、端末Tで車両Vの機能を制御するサービスへの、ユーザUの最終的なサインアップを実行することを決定し、このために、ステップE220において、サービスの加入者用の記憶領域に、車両に関連付けた車両識別名(この事例では、通し番号N)に関連付けられた、ユーザ識別名UID(例えば前述のように、端末Tに関連付けた識別名)を記憶する。
【0115】
サーバSは次に、例えば、(ステップE222において)端末Tに仮想鍵VKを送信することによって、車両の機能を制御するサービスへのアクセス権をユーザUに伝達し、仮想鍵VKは、前述の例にあるように、端末Tがこれらの機能を制御することを許可する。仮想鍵VKは、したがってユーザ端末Tに記憶されてもよい(ステップE224)。
【0116】
いくつかの実施形態では、最終サインアップ後にアクセス権がすぐに送信されるのではなく、サインアップ後に、例えばユーザUに、(例えば、ステップE200で入力した電子メールアドレスで)電子メールのメッセージを送信した後に、そしてこの電子メールメッセージに応答して、例えば、電子メールメッセージに書かれているコードを端末Tに入力して、ユーザUがサービスを有効にしたことを確認した後に、アクセス権が送信されるようにしてもよい。
【図1】
【図2】
【図3】
【図4】
【図5】
【国際調査報告】