(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023166420
(43)【公開日】2023-11-21
(54)【発明の名称】車両制御システム
(51)【国際特許分類】
G08G 1/00 20060101AFI20231114BHJP
H04L 9/32 20060101ALI20231114BHJP
G06Q 50/30 20120101ALI20231114BHJP
G06Q 30/0645 20230101ALI20231114BHJP
【FI】
G08G1/00 Z
H04L9/32 200B
H04L9/32 200F
G06Q50/30
G06Q30/0645
【審査請求】有
【請求項の数】2
【出願形態】OL
(21)【出願番号】P 2023133179
(22)【出願日】2023-08-17
(62)【分割の表示】P 2021545099の分割
【原出願日】2019-09-13
(71)【出願人】
【識別番号】399035766
【氏名又は名称】エヌ・ティ・ティ・コミュニケーションズ株式会社
(71)【出願人】
【識別番号】304021417
【氏名又は名称】国立大学法人東京工業大学
(74)【代理人】
【識別番号】110001634
【氏名又は名称】弁理士法人志賀国際特許事務所
(72)【発明者】
【氏名】小林 豊幸
(72)【発明者】
【氏名】田畑 雅章
(72)【発明者】
【氏名】武笠 年秀
(72)【発明者】
【氏名】菅谷 友秀
(72)【発明者】
【氏名】渡邉 博美
(72)【発明者】
【氏名】大山 永昭
(72)【発明者】
【氏名】小尾 高史
(72)【発明者】
【氏名】鈴木 裕之
(72)【発明者】
【氏名】平良 奈緒子
(72)【発明者】
【氏名】成田 佳寿美
(57)【要約】
【課題】他者による車両の利用をより安全に制御する。
【解決手段】地点間を複数の利用者で乗り継ぎすることで所定の車両を移動させるサービスにおいて、車両の利用希望者と利用予定車両とを決定する決定部と、利用者情報と、決定された利用予定車両の利用に関する許可申請情報と、を含む利用許可証を生成する利用許可証生成部と、利用許可証に対し秘密鍵で電子署名を付与する暗号化部と、電子署名が付与された利用許可証について、公開鍵で正当な利用許可証であることを示す所定条件が満たされると判定された場合には、決定された車両を利用しようとしている利用希望者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、利用許可証に含まれる利用者情報と、が所定条件を満たす場合に、利用希望者が許可申請情報に基づき車両操作可能にする車両制御部と、を備える。
【選択図】
図1
【特許請求の範囲】
【請求項1】
ある地点から他の地点まで複数の利用者で乗り継ぎを行うことで所定の車両を移動させることについての依頼が輸送依頼者から生じたことに応じて、前記車両を利用することによって前記依頼を受けて前記車両を移動させる利用希望者とその利用予定車両とを決定する決定部と、
車両の利用者に対して固有の情報である利用者情報と、前記決定部によって決定された前記利用予定車両の利用に関する申請への許可内容を示す許可申請情報と、を含む利用許可証を生成する利用許可証生成部と、
前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、
電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と、
前記決定部によって決定された車両を利用しようとしている利用希望者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用希望者が前記許可申請情報に基づき前記車両の操作を可能にする動作を行う車両制御部と、
を備える車両制御システム。
【請求項2】
前記決定部は、ある地点から他の地点まで複数の利用者で乗り継ぎを行うことで、前記ある地点から前記他の地点まで所定の車両を移動させることについての依頼が輸送依頼者から生じたことに応じて、前記車両を利用することによって前記依頼を受けて前記車両を前記ある地点から前記他の地点まで移動させる利用希望者とその利用予定車両とを決定する、請求項1に記載の車両制御システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、車両の利用の制御技術に関する。
【背景技術】
【0002】
近年、カーシェアリングやレンタカー等、複数の者によって車両が利用される場面が生じてきている。従来は、車両の物理的な鍵を有していないと、車両を利用することはできなかった。そのため、車両の物理的な鍵をやりとりすることによって、その車両を利用できる者を制限していた。
【0003】
しかしながら、物理的な鍵のやりとりには、受け渡す者と受け取る者との間で直接の受け渡しや郵送などの手続を取る必要があり、決して利便性は高くなかった。このような課題に対し、ネットワークを介して電子的な一時利用権限を送受信することで、物理的な鍵のやりとりを不要にし、利便性を向上させる技術が提案されている。
【先行技術文献】
【特許文献】
【0004】
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、悪意を有した者によって車両が利用されてしまうと、車両の所有者には不足の不利益が生じてしまうおそれがある。そのため、たとえ一時的であったとしても、車両の利用権限が第三者に不正に取得されることの無いように、セキュリティを向上させる必要があった。
【0006】
上記事情に鑑み、本発明は、他者による車両の利用をより安全に制御することができる技術の提供を目的としている。
【課題を解決するための手段】
【0007】
本発明の一態様は、ある地点から他の地点まで複数の利用者で乗り継ぎを行うことで所定の車両を移動させることについての依頼が輸送依頼者から生じたことに応じて、前記車両を利用することによって前記依頼を受けて前記車両を移動させる利用希望者とその利用予定車両とを決定する決定部と、車両の利用者に対して固有の情報である利用者情報と、前記決定部によって決定された前記利用予定車両の利用に関する申請への許可内容を示す許可申請情報と、を含む利用許可証を生成する利用許可証生成部と、前記利用許可証に対し、所定の秘密鍵を用いて電子署名を付与する暗号化部と、電子署名が付与された前記利用許可証について、前記秘密鍵に対応する公開鍵を用いて正当な利用許可証であることを示す所定の条件が満たされると判定された場合には、前記利用許可証を記憶する記憶媒体と、前記決定部によって決定された車両を利用しようとしている利用希望者の利用者情報又は利用者情報と対となる情報を記憶する個人識別媒体に記憶される情報と、前記記憶媒体に記憶された前記利用許可証に含まれる前記利用者情報と、が所定の条件を満たす場合に、前記利用希望者が前記許可申請情報に基づき前記車両の操作を可能にする動作を行う車両制御部と、を備える車両制御システムである。
【0008】
本発明の一態様は、上記の車両制御システムであって、前記決定部は、ある地点から他の地点まで複数の利用者で乗り継ぎを行うことで、前記ある地点から前記他の地点まで所定の車両を移動させることについての依頼が輸送依頼者から生じたことに応じて、前記車両を利用することによって前記依頼を受けて前記車両を前記ある地点から前記他の地点まで移動させる利用希望者とその利用予定車両とを決定する。
【発明の効果】
【0009】
本発明により、他者による車両の利用をより安全に制御することが可能となる。
【図面の簡単な説明】
【0010】
【
図1】本発明の制御システム100のシステム構成を示す概略ブロック図である。
【
図2】個人識別媒体10の機能構成例を示す図である。
【
図4】個人認証装置30の機能構成例を示す図である。
【
図5】車両認証装置40の機能構成例を示す図である。
【
図6】サービス管理装置50の機能構成例を示す図である。
【
図8】車両識別媒体70の機能構成例を示す図である。
【
図9】制御システム100の基本動作の例を示すシーケンスチャートである。
【
図10】車両60の利用を希望する利用希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図11】車両60の利用を希望する利用希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図12】車両60の提供を希望する提供希望者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。
【
図13】車両60の提供を希望する提供希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図14】車両60の提供を希望する提供希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図15】車両60の提供を希望する提供希望者がサービス管理装置50に提供の申請を行う際の処理の流れを示す図である。
【
図16】車両60の利用を希望する利用希望者がサービス管理装置50に利用の申請を行う際の処理の流れを示す図である。
【
図17】車両60の利用を希望する利用希望者がサービス管理装置50に利用の申請を行う際の処理の流れを示す図である。
【
図18】既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れを示す図である。
【
図19】既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れの具体例を示す図である。
【
図20】既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れの他の具体例を示す図である。
【
図21】運転代行サービスの提供を希望する代行提供者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図22】運転代行サービスの提供を希望する代行提供者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図23】車両60の代行運転の依頼を希望する代行依頼者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。
【
図24】車両60の運転代行の依頼を希望する代行依頼者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図25】車両60の運転代行の依頼を希望する代行依頼者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図26】車両60の運転代行の依頼を希望する代行依頼者がサービス管理装置50に依頼の申請を行う際の処理の流れを示す図である。
【
図27】車両60の運転代行を希望する代行提供者がサービス管理装置50に運転代行の申請を行う際の処理の流れを示す図である。
【
図28】車両60の運転代行を希望する代行提供者がサービス管理装置50に運転代行の申請を行う際の処理の流れを示す図である。
【
図29】既に利用申請情報522が登録されている代行提供者が車両60を利用する(運転代行する)際の処理の流れを示す図である。
【
図30】輸送を希望する運転希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図31】輸送を希望する運転希望者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図32】車両60の運転の依頼を希望する輸送依頼者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れを示す図である。
【
図33】車両60の運転の依頼を希望する輸送依頼者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図34】車両60の運転の依頼を希望する輸送依頼者がサービス管理装置50に登録する際の処理の流れを示す図である。
【
図35】車両60の運転の依頼を希望する輸送依頼者がサービス管理装置50に依頼の申請を行う際の処理の流れを示す図である。
【
図36】車両60の運転を希望する運転希望者がサービス管理装置50に運転の申請を行う際の処理の流れを示す図である。
【
図37】車両60の運転を希望する運転希望者がサービス管理装置50に運転の申請を行う際の処理の流れを示す図である。
【
図38】既に利用申請情報522が登録されている運転希望者が車両60を利用する(運転する)際の処理の流れを示す図である。
【発明を実施するための形態】
【0011】
以下、本発明の具体的な構成例について、図面を参照しながら説明する。
図1は、本発明の制御システム100のシステム構成を示す概略ブロック図である。制御システム100は、個人識別媒体10、通信装置20、個人認証装置30、車両認証装置40、サービス管理装置50、車両60及び車両識別媒体70を含む。個人識別媒体10と通信装置20とは有線通信又は無線通信を行うことでデータを送受信する。車両識別媒体70と通信装置20とは有線通信又は無線通信を行うことでデータを送受信する。車両識別媒体70と車両60とは有線通信又は無線通信を行うことでデータを送受信する。通信装置20、個人認証装置30、車両認証装置40、サービス管理装置50及び車両60は、ネットワークを介して通信可能に接続される。通信装置20、個人認証装置30、車両認証装置40、サービス管理装置50及び車両60の一部は、他の装置が接続されているネットワークとは異なるネットワークを介して通信を行うように構成されてもよい。例えば、通信装置20、個人認証装置30、車両認証装置40、サービス管理装置50及び車両60は、インターネットを介して通信可能に構成されてもよい。
【0012】
個人認証装置30は、個人認証局300によって運用される。個人認証局300は、個人識別媒体10に記録される個人を示す情報について、所定の水準を超えて実際の情報であることを担保できる機関である。例えば、個人認証局300は、個人識別媒体10の発行に際して、その本人による申請であることとその本人に対して受け渡されることなどについて一定の厳格な確認を行うことができる機関である。個人認証局300は、例えば行政機関や、行政機関に準ずる機関(例えば地方公共団体情報システム機構)であってもよい。個人認証局300は、上記の一定の厳格な確認を行うことができる機関であれば、民間の機関であってもよい。個人識別媒体10の具体例として、ユーザが所属する国や行政機関などによって発行される個人識別のための媒体(例えば日本のマイナンバーカード)がある。
【0013】
車両認証装置40は、車両認証局400によって運用される。車両認証局400は、車両識別媒体70に記録される車両を示す情報について、所定の水準を超えて実際の情報であることを担保できる機関であることが望ましい。例えば、車両認証局400は、車両識別媒体70に記録される所定の情報の発行に際して、その車両の正当な所有者による申請であることとその所有者に対して受け渡されることなどについて一定の厳格な確認を行うことができる機関であることが望ましい。車両認証局400は、例えば制御システム100の提供に関与する法人又は個人によって運用される機関であってもよい。車両認証局400は、例えばサービス管理装置50の運用に関与する法人又は個人によって運用される機関であってもよい。車両認証局400は、上記の一定の厳格な確認を行うことができる機関であれば、公的な機関であってもよい。
【0014】
図2は、個人識別媒体10の機能構成例を示す図である。個人識別媒体10は、例えばICチップが搭載されたカード状の媒体である。ただし、個人識別媒体10の実装形態は、上述したカード状の媒体に限定されない。例えば、携帯電話機等の情報機器を用いて実装されてもよいし、RFIDが搭載された媒体(例えば人体に装着可能な物体や、携帯可能な物体)に実装されてもよい。個人識別媒体10は、通信部11、記憶部12及び制御部13を備える。
【0015】
通信部11は、他の装置との間で有線通信又は無線通信を行う。通信部11が通信可能な他の装置の具体例として、通信装置20がある。個人識別媒体10が接触型ICチップを用いて構成されている場合には、通信部11は所定のプロトコルに準拠した有線通信(接触部分を介した通信)を他の装置との間で行う。個人識別媒体10がRFID等の非接触型ICチップを用いて構成されている場合には、通信部11は所定のプロトコルに準拠した無線通信を他の装置との間で行う。
【0016】
記憶部12は、半導体記憶装置等の記憶装置を用いて構成される。記憶部12は、第一電子証明書121、第一秘密鍵122、第二電子証明書123及び第二秘密鍵124を記憶する。第一電子証明書121は、例えば個人認証局300によって発行されてもよい。第一電子証明書121は、例えば個人情報、第一識別情報及び第一公開鍵を含む。個人情報は、個人情報は、個人識別媒体10が発行された自然人に関する情報である。個人情報は、例えば基本四情報(氏名・生年月日・性別・住所)であってもよい。第一識別情報は、第一電子証明書に対して一意に付与された識別情報である。第一公開鍵は、公開鍵暗号方式(Public Key Cryptography)で生成された公開鍵である。第一電子証明書121の具体例として、日本におけるマイナンバーカードの署名用電子証明書がある。
【0017】
第一秘密鍵122は、公開鍵暗号方式で生成された秘密鍵である。第一秘密鍵122は、第一電子証明書121に含まれる第一公開鍵に対応する鍵である。第一秘密鍵122は、乱数もしくは電子文書(又はそのハッシュ値)に対してデジタル署名を行う際に使用される秘密鍵である。言い換えると、第一秘密鍵122は、公開鍵基盤(PKI)を用いた電子認証を実現するために用いられる。電子文書は、例えばサービス管理装置50に対して申請される情報や登録される情報を示すデータであってもよい。
【0018】
第二電子証明書123は、例えば個人認証局300によって発行されてもよい。第二電子証明書123は、第一電子証明書121と対応付けて発行される。第二電子証明書123は、例えば個人情報を含まないように構成されてもよい。第二電子証明書123は、例えば第二識別情報及び第二公開鍵を含む。第二識別情報は、第二電子証明書に対して一意に付与された識別情報である。第一識別情報と第二識別番号とは、一致した情報でなくてもよいが、個人認証装置30において対応付けて記憶されていることが望ましい。第二公開鍵は、公開鍵暗号方式で生成された公開鍵である。第二電子証明書123の具体例として、日本におけるマイナンバーカードの利用者証明用電子証明書がある。なお、以下の説明では、第一秘密鍵及び第二秘密鍵をまとめて個人秘密鍵とよび、第一公開鍵及び第二公開鍵をまとめて個人公開鍵とよぶ。以下の説明で、個人秘密鍵といった場合には、第一秘密鍵又は第二秘密鍵のいずれか一方のみが含まれていてもよいし、その両方が含まれていてもよい。以下の説明で、個人公開鍵といった場合には、第一公開鍵又は第二公開鍵のいずれか一方のみが含まれていてもよいし、その両方が含まれていてもよい。
【0019】
第二秘密鍵124は、公開鍵暗号方式で生成された秘密鍵である。第二秘密鍵124は、第二電子証明書123に含まれる第二公開鍵に対応する鍵である。第二秘密鍵124は、乱数もしくは電子文書(又はそのハッシュ値)に対してデジタル署名を行う際に使用される秘密鍵である。言い換えると、第二秘密鍵124は、公開鍵基盤(PKI)を用いた電子認証を実現するために用いられる。電子文書は、例えばサービス管理装置50に対して申請される情報や登録される情報を示すデータであってもよい。
【0020】
制御部13は、プロセッサーを用いて構成される。制御部13は、プロセッサーがプログラムを実行することによって、通信制御部131及び暗号化部132として機能する。制御部13の各機能の全て又は一部は、ASIC(Application Specific Integrated Circuit)やPLD(Programmable Logic Device)やFPGA(Field Programmable Gate Array)等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD:Solid State Drive)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0021】
通信制御部131は、他の装置から受信される要求に応じて、他の装置から受信される個人第一認証情報に基づいて個人第一認証処理を行う。他の装置が認証された場合には、通信制御部131は暗号化部132に対し、他の装置による要求を通知する。通信制御部131は、暗号化部132によって処理が行われた情報を他の装置へ送信する。個人第一認証情報は、個人識別媒体10を利用しようとしている者が正当な利用者であることを確認するための情報である。個人第一認証情報は、例えば正当な利用者に対して予め通知されているコード(例えばPINコード)や、指紋等の生体情報など、どのような態様の情報であってもよい。個人第一認証処理は、個人第一認証情報に基づいて、個人識別媒体10を利用しようとしている者が正当な利用者であることを確認するための認証処理である。
【0022】
暗号化部132は、デジタル署名を他の装置から要求された場合には、第一秘密鍵122を用いて乱数もしくは電子文書(又はそのハッシュ値)にデジタル署名を行う。暗号化部132は、デジタル署名がなされたデータ(例えば署名付き電子文書)を、通信部11を介して他の装置に送信する。暗号化部132は、デジタル署名を他の装置から要求された場合には、第二秘密鍵124を用いて乱数もしくは電子文書(又はそのハッシュ値)にデジタル署名を行う。なお、暗号化部132は、他の秘密鍵が自装置に記録されている場合には、他の秘密鍵を用いて乱数もしくは電子文書(又はそのハッシュ値)にデジタル署名を行ってもよい。なお、上述したように、電子文書は、例えばサービス管理装置50に対して申請される情報や登録される情報を示すデータであってもよい。
【0023】
図3は、通信装置20の機能構成例を示す図である。通信装置20は、例えばパーソナルコンピューターやスマートフォンやタブレット等の情報処理装置である。通信装置20は、特定のプログラムの実行のみに関して利用可能に構成された情報機器(専用機器)であってもよい。この場合の特定のプログラムとは、例えば個人識別媒体10を利用することによって車両60を利用可能にするためのプログラムであってもよいし、車両識別媒体70を利用することによって車両60を他者に提供可能にするためのプログラムであってもよい。通信装置20は、第一通信部21、第二通信部22、入力部23、出力部24、記憶部25及び制御部26を備える。
【0024】
第一通信部21は、他の装置との間で有線通信又は無線通信を行う。第一通信部21には近距離通信が採用されてもよい。第一通信部21が通信可能な他の装置の具体例として、個人識別媒体10又は車両識別媒体70がある。第一通信部21には、通信対象である個人識別媒体10又は車両識別媒体70に搭載されている通信方式に適応した通信方式が実装される。例えば、第一通信部21は、接触型ICチップと通信するための通信インターフェースを用いて構成されてもよいし、非接触型ICチップと通信するための通信インターフェースを用いて構成されてもよい。第一通信部21は、例えば所謂リーダーライターを用いて構成されてもよい。
【0025】
第二通信部22は、ネットワークを介して他の装置との間で通信を行う。第二通信部22は、いわゆるネットワークインターフェースを用いて構成されてもよい。第二通信部22が通信可能な他の装置の具体例として、個人認証装置30、車両認証装置40、サービス管理装置50及び車両60がある。
【0026】
入力部23は、キーボード、ポインティングデバイス(マウス、タブレット等)、ボタン、タッチパネル等の既存の入力装置を用いて構成される。入力部23は、ユーザーの生体情報を取得して通信装置20に入力する装置を用いて構成されてもよい。入力部23は、ユーザーの指示を通信装置20に入力する際にユーザーによって操作される。入力部23は、入力装置を通信装置20に接続するためのインターフェースであっても良い。この場合、入力部23は、入力装置においてユーザーの入力に応じ生成された入力信号を通信装置20に入力する。入力部23は、マイク及び音声認識装置を用いて構成されてもよい。この場合、入力部23はユーザーによって発話された文言を音声認識し、認識結果の文字列情報を通信装置20に入力する。入力部23は、ユーザーの指示を通信装置20に入力可能な構成であればどのように構成されてもよい。
【0027】
出力部24は、出力装置を用いて構成され、通信装置20のユーザーに対してデータの出力を行う。出力装置は、例えば画像や文字を画面に出力する装置を用いて構成されてもよい。例えば、出力装置は、CRT(Cathode Ray Tube)や液晶ディスプレイや有機EL(Electro-Luminescent)ディスプレイ等を用いて構成できる。また、出力装置は、文字を音声に変換して出力する装置を用いて構成されてもよい。この場合、出力装置は、音声合成装置及び音声出力装置(スピーカー)を用いて構成できる。出力部24は、出力装置を通信装置20に接続するためのインターフェースであってもよい。出力部24は、例えば通信制御部261によって車両識別媒体70から読み出された利用許可証に含まれる許可申請情報を出力してもよい。
【0028】
記憶部25は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部25は、例えば通信装置20が動作するために必要なデータやプログラムを記憶する。
【0029】
制御部26は、CPU(Central Processing Unit)等のプロセッサーを用いて構成される。制御部26は、プログラムを実行することによって通信制御部261として機能する。制御部26の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0030】
通信制御部261は、入力部23を介して入力されたユーザーの指示に応じて、第一通信部21又は第二通信部22を制御して他の装置と通信する。通信制御部261は、他の装置から受信された情報に応じて出力部24を介して情報をユーザーに出力する。例えば、ユーザーが車両60の利用に関する申請を行うことを目的として通信装置20を操作している場合、通信制御部261は他の装置と通信することによって上記の申請をサービス管理装置50に対して行う。
【0031】
図4は、個人認証装置30の機能構成例を示す図である。個人認証装置30は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。個人認証装置30は、そのハードウェアが物理的に高いセキュリティで保護されてもよい。個人認証装置30は、通信部31、記憶部32及び制御部33を備える。
【0032】
通信部31は、ネットワークを介して他の装置との間で通信を行う。通信部31は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部31が通信可能な他の装置の具体例として、通信装置20、車両認証装置40、サービス管理装置50及び車両60がある。
【0033】
記憶部32は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部32は、例えば個人電子証明書情報321及び失効情報322を記憶する。個人電子証明書情報321は、過去に発行された第一電子証明書121と第二電子証明書123とを含む。個人電子証明書情報321では、同一の人物に対して発行された第一電子証明書121と第二電子証明書123とを対応付けて有する。個人電子証明書情報321は、第一秘密鍵122及び第二秘密鍵124をさらに含んでもよい。失効情報322は、個人識別媒体10に対して過去に発行された第一電子証明書121や第二電子証明書123の失効に関する情報である。
【0034】
制御部33は、CPU等のプロセッサーを用いて構成される。制御部33は、プログラムを実行することによって証明制御部331及び失効判定部332として機能する。制御部33の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0035】
証明制御部331は、個人電子証明書情報321の発行や失効に関する処理を行う。失効判定部332は、通信部31を介して他の装置から要求された失効判定要求に応じて、処理対象の第一電子証明書121や第二電子証明書123が失効しているか否かについて判定する。失効判定部332は、判定結果を、要求元である他の装置に対して送信する。
【0036】
図5は、車両認証装置40の機能構成例を示す図である。車両認証装置40は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。車両認証装置40は、そのハードウェアが物理的に高いセキュリティで保護されてもよい。車両認証装置40は、通信部41、記憶部42及び制御部43を備える。
【0037】
通信部41は、ネットワークを介して他の装置との間で通信を行う。通信部41は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部41が通信可能な他の装置の具体例として、通信装置20、個人認証装置30、サービス管理装置50及び車両60がある。
【0038】
記憶部42は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部42は、例えば車両電子証明書情報421及び失効情報422を記憶する。車両電子証明書情報421は、過去に発行された車両電子証明書724に関する情報を含む。車両電子証明書情報421は、車両秘密鍵725をさらに含んでもよい。失効情報422は、車両識別媒体70に対して過去に発行された車両電子証明書724の失効に関する情報である。
【0039】
制御部43は、CPU等のプロセッサーを用いて構成される。制御部43は、プログラムを実行することによって証明制御部431及び失効判定部432として機能する。制御部43の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0040】
証明制御部431は、車両電子証明書情報421の発行や失効に関する処理を行う。失効判定部432は、通信部41を介して他の装置から要求された失効判定要求に応じて、処理対象の車両電子証明書情報421が失効しているか否かについて判定する。失効判定部432は、判定結果を、要求元である他の装置に対して送信する。
【0041】
図6は、サービス管理装置50の機能構成例を示す図である。サービス管理装置50は、例えばパーソナルコンピューターやサーバー装置等の情報処理装置である。サービス管理装置50は、通信部51、記憶部52及び制御部53を備える。
【0042】
通信部51は、ネットワークを介して他の装置との間で通信を行う。通信部51は、いわゆるネットワークインターフェースを用いて構成されてもよい。通信部51が通信可能な他の装置の具体例として、通信装置20、個人認証装置30、車両認証装置40及び車両60がある。
【0043】
記憶部52は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部52は、例えば提供申請情報521、利用申請情報522、実績情報523及び鍵情報524を記憶する。
【0044】
提供申請情報521は、車両60の提供に関して申請された情報である。提供申請情報521は、例えば提供される対象の車両60に関する情報、提供される場所に関する情報、提供される時期を示す情報(例えば、提供開始可能な日時と、提供が終了する日時と、を示す情報)を含む。その他にも提供申請情報521は、車両60の利用に関する制限事項を示す情報を含んでもよい。例えば、提供申請情報521は、車両60内における喫煙に関する情報、車両60を利用可能な地域や環境(路面状態、道路の種別、天候など)に関する情報を含んでもよい。なお、車両60の提供はどのような形で実現されてもよい。たとえば、車両60を所有している者から、その車両60を借り受けて使用したいと希望する者に対して車両60が提供されてもよい(カーシェアリング)。例えば、車両60を所有している者が、その車両60の運転を代行する者に対して車両60が提供されてもよい(運転代行)。例えば、輸送手段としての車両60を第一の地点から他の第二の地点まで運転することを請け負う運転手に対して車両60が提供されてもよい(乗り継ぎ輸送)。
【0045】
利用申請情報522は、車両60の利用に関する申請のうち、車両60の利用の予定が確定した申請に関する情報である。利用申請情報522は、例えば利用者に関する情報、利用される予定の対象の車両60に関する情報、利用が開始される場所に関する情報、利用される時期を示す情報(例えば、利用開始の日時と、利用終了の日時と、を示す情報)を含む。
【0046】
実績情報523は、車両60の利用の実績に関する情報である。実績情報523は、例えば実際に車両60を利用した利用者に関する情報、実際に利用された車両60に関する情報、実際に利用が開始された場所に関する情報、実際に利用された時期を示す情報(例えば、実際に利用が開始された日時と、実際に利用が終了した日時と、を示す情報)を含む。実績情報523は、さらに利用された車両60が通った経路を含んでもよい。
【0047】
鍵情報524は、サービス管理装置50において使用される公開鍵(以下「サービス公開鍵」という。)及び秘密鍵(以下「サービス秘密鍵」という。)を含む。鍵情報524に含まれるサービス公開鍵は利用許可証に含められる。鍵情報524に含まれるサービス秘密鍵は、利用許可証に対するデジタル署名で使用される。鍵情報524に含まれるサービス秘密鍵は、車両識別媒体70にも記録されてもよい。
【0048】
制御部53は、CPU等のプロセッサーを用いて構成される。制御部53は、プログラムを実行することによって情報取得部531、決定部532、利用許可証生成部533及び実績管理部534として機能する。制御部53の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0049】
情報取得部531は、通信装置20等の装置から受信された提供の申請や利用の申請に基づいて、提供申請情報521又は利用の申請に関する情報を取得する。情報取得部531は、例えば、申請に必要な情報の入力欄を有した申請用画面のデータを通信装置20等の装置に送信し、入力欄に入力された各値を受信することによって、申請に必要な情報を取得してもよい。情報取得部531は、取得された情報を記憶部52に記録する。
【0050】
決定部532は、提供申請情報521と利用の申請に関する情報とに基づいて、所定の条件を満たす提供申請と利用申請とを対応付け、車両60の利用に関する情報を決定する。決定部532は、決定に基づいて、利用申請情報522を生成する。決定部532は、生成された利用申請情報522を記憶部52に記録する。例えば、カーシェアリングの場合、情報取得部531によって取得された利用の申請に関する情報に基づいて、利用の申請に応じた提供申請情報521を検索する。申請された利用の条件に応じた提供申請情報521であって予約がなされていない提供申請情報521が存在する場合には、その提供申請情報521を、利用の申請者に対して提供される車両60の情報として決定する。決定部532は、決定された提供申請情報521と利用の申請で取得された情報とに基づいて、利用申請情報522を生成する。決定部532は、生成された利用申請情報522を記憶部52に記録する。
【0051】
利用許可証生成部533は、決定部532において提供される車両60が決定されると、その車両60に関して許可された利用に関する情報を含む利用許可証を生成する。利用許可証は、例えば、利用申請情報522の一部又は全部を含んでもよい。すなわち、利用許可証は、例えば、利用者に関する情報、利用される予定の対象の車両60に関する情報、利用が開始される場所に関する情報、利用される時期を示す情報を含んでもよい。例えば、利用許可証は、利用者の個人識別媒体10に記録されている個人公開鍵を含んでもよい。利用許可証はさらに、鍵情報524に含まれるサービス公開鍵を含んでもよい。利用許可証生成部533は、鍵情報524に含まれるサービス秘密鍵を用いて、利用許可証に対してデジタル署名を行う。そして、利用許可証生成部533は、デジタル署名がなされた利用許可証を、その利用許可証によって利用される対象の車両60に対して送信する。
【0052】
実績管理部534は、利用許可証が送信された先の車両60の利用の実績に関する情報を取得し、実績情報523として記憶部52に記録する。実績管理部534は、例えば利用されている車両60から定期的に位置情報を取得することで利用された車両60が通った経路に関する情報を取得してもよい。実績管理部534は、経路上の各位置における、車両60の通過時刻をさらに取得して実績情報523として記録してもよい。
【0053】
図7は、車両60の機能構成例を示す図である。車両60は、人が移動手段として利用可能な移動体である。車両60は、例えば自動二輪車、自動四輪車、自転車などのように1又は複数の車輪を備えた移動体であってもよい。車両60は、車輪とは異なる移動手段(例えば駆動可能な球体)を備えた移動体であってもよい。
図7には示していないが、車両60は、移動体として必要な様々な機器を備えている。これらの機器は、後述する車両制御部65によって制御される。車両60は、これらの機器に加えてさらに、第一通信部61、第二通信部62、第三通信部63、記憶部64及び車両制御部65を備える。
【0054】
第一通信部61は、他の装置との間で有線通信又は無線通信を行う。第一通信部61には近距離通信が採用されてもよい。第一通信部61が通信可能な他の装置の具体例として車両識別媒体70がある。第一通信部61は、通信装置20の第一通信部21と同様に構成されてもよい。
【0055】
第二通信部62は、ネットワークを介して他の装置との間で通信を行う。第二通信部62は、いわゆるネットワークインターフェースを用いて構成されてもよい。第二通信部62が通信可能な他の装置の具体例として、通信装置20、個人認証装置30、車両認証装置40及びサービス管理装置50がある。
【0056】
第三通信部63は、他の装置との間で有線通信又は無線通信を行う。第三通信部63には近距離通信が採用されてもよい。第三通信部63が通信可能な他の装置の具体例として個人識別媒体10がある。第三通信部63は、通信装置20の第一通信部21と同様に構成されてもよい。
【0057】
記憶部64は、磁気ハードディスク装置や半導体記憶装置等の記憶装置を用いて構成される。記憶部64は、例えば車両制御部65が動作するために必要なデータやプログラムを記憶する。
【0058】
車両制御部65は、CPU等のプロセッサーを用いて構成される。車両制御部65は、プログラムを実行することによって主制御部651及び利用判定部652として機能する。車両制御部65の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0059】
主制御部651は、車両60が移動体として機能するための一般的な各機能を制御する。主制御部651は、例えば車両60に設けられたドアの鍵の開け閉めや、車両60のエンジンのオン又はオフや、車両60のエンジンの動作や、トランスミッションなどを制御する。
【0060】
利用判定部652は、車両60の利用の要求について、利用が許可されるべき者であるか否か判定する。利用判定部652は、利用が許可されるべき者によって利用の要求がなされていると判定すると、主制御部651に対し車両60の利用を可能にすることを指示する。利用を可能にする指示を受けた主制御部651は、車両60の利用(操作)を可能にする制御を行う。例えば、主制御部651は、鍵が掛かっていたドアの鍵を開錠し、エンジンをオンにする。そして、主制御部651は、ハンドルのロックを解除し、利用者が自由に車両60を運転できるように各機器を制御する。
【0061】
図8は、車両識別媒体70の機能構成例を示す図である。車両識別媒体70は、例えばICチップが搭載されたカード状の媒体である。ただし、車両識別媒体70の実装形態は、上述したカード状の媒体に限定されない。例えば、車両識別媒体70は、携帯電話機等の情報機器を用いて実装されてもよいし、RFIDが搭載された媒体(例えば人体に装着可能な物体や、携帯可能な物体)に実装されてもよい。例えば、車両識別媒体70は、車両60の車体のいずれか一部に組み込まれてもよいし、車両60に搭載された車載装置に組み込まれてもよい。車両識別媒体70は、例えば自動車検査証が記録される専用媒体であってもよい。車両識別媒体70は、通信部71、記憶部72及び制御部73を備える。
【0062】
通信部71は、他の装置との間で有線通信又は無線通信を行う。通信部71が通信可能な他の装置の具体例として、通信装置20や車両60がある。車両識別媒体70が接触型ICチップを用いて構成されている場合には、通信部71は所定のプロトコルに準拠した有線通信(接触部分を介した通信)を他の装置との間で行う。車両識別媒体70がRFID等の非接触型ICチップを用いて構成されている場合には、通信部71は所定のプロトコルに準拠した無線通信を他の装置との間で行う。
【0063】
記憶部72は、半導体記憶装置等の記憶装置を用いて構成される。記憶部72は、車両識別情報721、車両属性情報722、所有者情報723、車両電子証明書724、車両秘密鍵725、利用許可証情報726、サービスAP727及びサービス秘密鍵728を記憶する。
【0064】
車両識別情報721は、車両60を一意に識別するための識別情報である。ただし、車両識別情報721は、全世界で車両60を一意に識別できる必要は無く、所定の地域(例えば特定の行政区画、所定の国(例えば日本国内)など)で一意に識別できればよい。例えば、自動車検査証に用いられる自動車登録番号や車台番号などが車両識別情報として用いられてもよい。
【0065】
車両属性情報722は、車両の属性情報を示す。車両属性情報722は、必ずしも一つの値に限られる必要は無い。車両属性情報722は、例えば車体の形状や車両重量など自動車検査証に用いられる項目の値であってもよい。
【0066】
所有者情報723は、車両の所有者を示す情報である。所有者情報723は、例えば第一電子証明書121の第一識別情報や、第二電子証明書123の第二識別情報が所有者情報723として用いられてもよい。
【0067】
車両電子証明書724及び車両秘密鍵725は、証明制御部431によって発行される。車両秘密鍵725は、公開鍵暗号方式で生成された秘密鍵である。車両秘密鍵725は、車両電子証明書724に含まれる車両公開鍵に対応する鍵である。車両秘密鍵725は、乱数もしくは電子文書(又はそのハッシュ値)に対してデジタル署名を行う際に使用される秘密鍵である。
【0068】
利用許可証情報726は、サービス管理装置50の利用許可証生成部533によって発行される。サービスAP727は、サービス管理装置50によるサービスのために使用されるアプリケーションのプログラムである。サービス秘密鍵728は、サービス管理装置50によって発行され車両識別媒体70に記録される秘密鍵である。
【0069】
制御部73は、プロセッサーを用いて構成される。制御部73は、プロセッサーがプログラムを実行することによって、通信制御部731及び暗号化部732として機能する。制御部73の各機能の全て又は一部は、ASICやPLDやFPGA等のハードウェアを用いて実現されても良い。プログラムは、コンピュータ読み取り可能な記録媒体に記録されても良い。コンピュータ読み取り可能な記録媒体とは、例えばフレキシブルディスク、光磁気ディスク、ROM、CD-ROM、半導体記憶装置(例えばSSD)等の可搬媒体、コンピュータシステムに内蔵されるハードディスクや半導体記憶装置等の記憶装置である。プログラムは、電気通信回線を介して送信されても良い。
【0070】
通信制御部731は、他の装置から受信される要求に応じて、他の装置に対し認証要求を行う。通信制御部731は、他の装置から受信される認証情報に基づいて認証処理を行う。他の装置が認証された場合には、通信制御部731は暗号化部732に対し、他の装置による要求を通知する。通信制御部731は、暗号化部732によって処理が行われた情報を他の装置へ送信する。
【0071】
暗号化部732は、デジタル署名を他の装置から要求された場合には、車両秘密鍵725を用いて乱数もしくは電子文書(又はそのハッシュ値)にデジタル署名を行う。暗号化部732は、デジタル署名がなされたデータを、通信部71を介して他の装置に送信する。
制御部73は、サービスAP727を実行することにより、サービスの利用や提供に関する処理を行ってもよい。
【0072】
[基本動作]
図9は、制御システム100の基本動作の例を示すシーケンスチャートである。サービス管理装置50が利用許可証を生成し(ステップS001)、利用許可証に対しデジタル署名を行う(ステップS002)。サービス管理装置50は署名付き利用許可証を、利用許可証の対象となっている車両識別媒体70が接続された通信装置20又は車両60に送信する(ステップS003)。
図9では、車両60に署名付き利用許可証が送信される。車両60は、署名付き利用許可証を受信すると、受信された署名付き利用許可証について、車両公開鍵を用いて改ざんされていないか判定する(ステップS004)。改ざんされている場合には、車両60は処理を停止する。一方、改ざんされていない場合には、車両60は自装置に接続されている車両識別媒体70に対して利用許可証を書き込むための動作を行う(ステップS005)。車両識別媒体70の制御部73は、車両60による制御に応じて利用許可証を記憶部72に記録する(ステップS006)。
【0073】
その後、利用許可証に含まれる利用者識別情報(例えば第二電子証明書123)を記憶している個人識別媒体10を有した利用者が車両60を使用しようとした場合、車両60は、車両60に接続された車両識別媒体70から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す(ステップS007)。利用者の個人識別媒体10は、認証に用いられる情報(認証用情報)を送信する(ステップS008)。その後、利用者が正当な利用者(利用許可証が発行された利用者)であることを示す所定の条件が満たされる場合には、車両60は車両60の利用を許可することを判定する(ステップS009)。一方、上記の所定の条件が満たされない場合には、車両60は自車両の利用を許可しないことを判定する。この判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS010)。
【0074】
車両60における判定の具体例について説明する。車両60は、車両識別媒体70から取得した利用許可証から個人公開鍵を取得する。車両60は、特定の方法で認証用の基礎情報を生成する。例えば、車両60は認証用の基礎情報として乱数を発生させてもよい。この場合、車両60は、乱数を個人識別媒体10に送信する。個人識別媒体10は、個人秘密鍵を用いて乱数を暗号化することにより認証用情報を生成し、車両60に出力する。車両60は、個人識別媒体10から取得した認証用情報を、個人公開鍵で復号する。車両60は、発生させた乱数と、復号された値と、が一致するか否か判定する。車両60は、一致する場合には、車両60の利用を許可することを判定する。車両60は、一致しない場合には、車両60の利用を許可しないことを判定する。なお、車両60における判定の処理は上述した具体例には限定されない。
【0075】
[カーシェアリング]
図10~
図18は、制御システム100がカーシェアリングに適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、
図10及び
図11を用いて、車両60の利用を希望する利用希望者がサービス管理装置50に登録する際の処理の流れについて説明する。利用希望者は、カーシェアリングにおいて、他者が所有している車両60を借りて運転を希望する者である。また、サービス管理装置50は、カーシェアリングにおいて、利用希望者と後述する提供希望者とをとりつぐ仲介業者等によって運用されてもよい。まず、利用希望者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS101)。通信装置20は、利用希望者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS102)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて利用者情報要求を通信装置20に送信する(ステップS103)。利用者情報要求とは、利用希望者に対して固有の情報(利用者情報)の要求である。利用者情報は、例えば第一電子証明書121であってもよい。
【0076】
通信装置20は、利用者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部24に出力させる。利用希望者は、入力部23を操作することによって個人第一認証情報を入力する(ステップS104)。個人第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された個人第一認証情報を個人識別媒体10に送信する(ステップS105)。個人識別媒体10は、受信された個人第一認証情報に基づいて認証処理を実行する(ステップS106)。通信装置20は、個人識別媒体10に対し、登録対象となる利用者情報に関するデジタル署名を要求する(ステップS107)。登録対象となる利用者情報は、利用希望者に関する情報である。利用者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。利用者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0077】
ステップS106における個人第一認証処理の結果、利用希望者が認証された場合には、個人識別媒体10は、ステップS107における要求に応じて、登録対象となる利用者情報について第一秘密鍵122を用いてデジタル署名を行う(ステップS108)。デジタル署名は、例えば利用者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体10は、デジタル署名がなされた利用者情報(署名付き利用者情報)を通信装置20に送信する(ステップS109)。通信装置20は、個人識別媒体10から受信された利用者情報をサービス管理装置50へ送信する(ステップS110)。サービス管理装置50は、受信された利用者情報について、第二認証処理を実行する(ステップS111)。第二認証処理では、サービス管理装置50は利用者情報について改ざんの有無を判定する。
【0078】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された利用者情報に含まれる第一電子証明書について失効判定要求を個人認証装置30に送信する(ステップS112)。個人認証装置30は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う(ステップS113)。個人認証装置30は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS114)。
【0079】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、ステップS110で受信された利用者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を利用会員情報として記憶部52に登録する(ステップS115)。サービス管理装置50は、利用会員情報の登録が完了したことを通信装置20に通知する(ステップS116)。通信装置20は、利用会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS117)。
【0080】
次に、
図12を用いて、車両60の提供を希望する提供希望者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。提供希望者は、カーシェアリングにおいて、自身が所有している車両60を他者に貸すことを希望する者である。まず、提供希望者は、通信装置20の入力部23に対し、車両認証装置40への登録のための操作を行う(ステップS201)。通信装置20は、提供希望者による操作に応じて、新規登録要求を車両認証装置40に送信する(ステップS202)。新規登録要求は、車両識別媒体70に記録されている車両識別情報を含む。車両認証装置40は、新規登録要求を受信すると、受信された新規登録要求に含まれる車両識別情報に対応した車両用鍵ペア(車両秘密鍵及び車両公開鍵)を生成する(ステップS203)。車両認証装置40は、生成された車両秘密鍵及び車両公開鍵を用いて、車両電子証明書を生成する(ステップS204)。車両電子証明書には、例えば車両識別情報、車両公開鍵等の情報が含まれる。車両認証装置40は、生成された車両電子証明書を記憶部42に新規登録する(ステップS205)。
【0081】
車両認証装置40は、新規登録が完了したことを示す新規登録応答を生成する。新規登録応答には、生成された車両電子証明書及び車両秘密鍵が含まれる。車両認証装置40は、通信装置20の操作者(車両識別媒体70の所有者)に対し、セキュリティが確保された手段で、新規登録応答を送信する(ステップS206)。新規登録応答の送信は、セキュリティを確保可能な方法であればどのような方法によって実現されてもよい。通信装置20は、新規登録応答を受信すると、受信された新規登録応答に含まれる車両電子証明書及び車両秘密鍵を車両識別媒体70に送信する(ステップS207)。車両識別媒体70の制御部73は、受信された新規登録情報を記憶部72に記録する(ステップS208)。
【0082】
次に、
図13及び
図14を用いて、車両60の提供を希望する提供希望者がサービス管理装置50に登録する際の処理の流れについて説明する。まず、提供希望者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS301)。通信装置20は、提供希望者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS302)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて提供者/車両情報要求を通信装置20に送信する(ステップS303)。提供者/車両情報要求とは、提供希望者を示す識別情報と、提供対象となっている車両を示す識別情報と、の要求である。
【0083】
通信装置20は、提供者/車両情報要求を受信すると、情報取得プロセスを実行することによって、提供希望者の個人識別媒体10を用いて署名付き提供者情報を取得する。署名付き提供者情報とは、第一秘密鍵を用いたデジタル署名がなされた提供者情報である。署名付き提供者情報を取得するプロセスは、
図10のステップS104~S109において署名付き利用者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、提供者情報は、提供希望者に関する情報である。提供者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。提供者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0084】
また、通信装置20は、車両第一認証情報の入力を促す表示を出力部24に出力させる。提供希望者は、入力部23を操作することによって車両第一認証情報を入力する(ステップS304)。車両第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された車両第一認証情報を車両識別媒体70に送信する(ステップS305)。車両識別媒体70は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する(ステップS306)。通信装置20は、車両識別媒体70に対し、デジタル署名を要求する(ステップS307)。このとき、通信装置20は例えばデジタル署名に用いられる乱数もしくは電子文書(又はそのハッシュ値)を生成し、車両識別媒体70に送信する。
【0085】
ステップS306における認証処理の結果、提供希望者が認証された場合には、車両識別媒体70は、ステップS307における要求に応じて、通信装置20から送信されたデータ(乱数、電子文書、ハッシュ値など)に対し車両秘密鍵725を用いてデジタル署名を行う(ステップS308)。車両識別媒体70は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置20に送信する(ステップS309)。通信装置20は、車両識別媒体70から受信されたデジタル署名応答と、情報取得プロセスで取得された提供希望者の提供者情報と、をサービス管理装置50へ送信する(ステップS310)。サービス管理装置50は、受信された提供者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する(ステップS311)。
【0086】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS112~S114に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置40に送信する(ステップS312)。車両認証装置40は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う(ステップS313)。車両認証装置40は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS314)。
【0087】
サービス管理装置50は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置50は、ステップS310で受信された提供者情報と車両電子証明書に含まれる車両識別情報とを提供会員情報として記憶部52に登録する(ステップS315)。サービス管理装置50は、提供会員情報の登録が完了したことを通信装置20に通知する(ステップS316)。通信装置20は、提供会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS317)。また、サービス管理装置50は、提供初期情報を記憶部52に登録する(ステップS318)。提供初期情報には、鍵情報524が含まれる。例えば、このステップS318のタイミングで、サービス管理装置50が提供希望者に対する鍵情報524を生成し、提供希望者の第一電子証明書121や車両電子証明書と対応付けて記憶してもよい。サービス管理装置50は、提供初期情報を、車両識別媒体70に記録する(ステップS319)。このとき、車両識別媒体70には、例えばサービスAP727と、サービス秘密鍵728と、サービス管理装置50の公開鍵が記録されてもよい。特にサービス秘密鍵728については、セキュアな手段を用いて車両識別媒体70に記録されることが望ましい。
【0088】
次に、
図15を用いて、車両60の提供を希望する提供希望者がサービス管理装置50に提供の申請を行う際の処理の流れについて説明する。まず、提供希望者は、通信装置20の入力部23に対し、サービス管理装置50への提供申請のための操作を行う(ステップS401)。通信装置20は、提供希望者による操作に応じて、提供申請要求をサービス管理装置50に送信する(ステップS402)。サービス管理装置50は、提供申請要求を受信すると、受信された提供申請要求に応じて、提供者情報要求を通信装置20に送信する(ステップS403)。提供者情報要求とは、提供対象となっている車両60の提供元である提供者を示す識別情報の要求である。
【0089】
次に、通信装置20と個人識別媒体10との間で情報取得プロセス(ステップS104~S109)が実行される。情報取得プロセスの実行によって、提供者の個人識別媒体10から提供者情報が取得される。通信装置20は、提供者情報をサービス管理装置50へ送信する(ステップS404)。サービス管理装置50は、受信された提供者情報の第一証明書について、改ざんの有無を判定する(ステップS405)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS112~S114に記載の処理と同様の処理であるため、説明を省略する。
【0090】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、提供条件要求を通信装置20に送信する(ステップS406)。提供条件要求は、提供対象となっている車両の提供に関する条件を示す情報の要求である。
【0091】
通信装置20は、提供条件要求を受信すると、提供対象となっている車両の提供に関する条件を入力することを提供希望者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。提供希望者は、入力部23を操作することによって、提供の条件を通信装置20に入力する(ステップS407)。通信装置20は、入力された提供の条件を示す提供条件応答をサービス管理装置50へ送信する(ステップS408)。
【0092】
サービス管理装置50は、提供条件応答を受信すると、提供対象として登録された車両60に関する車両識別媒体70に対し、存在判定プロセスを実行する(ステップS409)。存在判定プロセスは、例えば特定の信号を車両識別媒体70に対して送信することによって、提供対象の車両60に関する車両識別媒体70が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、提供対象の車両60が利用可能な状態になっていることが確認された場合、サービス管理装置50は、受信された提供条件を示す情報を提供申請情報521として記憶部52に登録する(ステップS410)。一方、存在判定プロセスにおいて、提供対象の車両60が利用可能な状態になっていることが確認されなかった場合、サービス管理装置50は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。サービス管理装置50は、登録が完了すると、提供条件の登録が完了したことを通信装置20に通知する(ステップS411)。通信装置20は、提供条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS412)。
【0093】
次に、
図16及び
図17を用いて、車両60の利用を希望する利用希望者がサービス管理装置50に利用の申請を行う際の処理の流れについて説明する。なお、
図16及び
図17において、車両識別媒体70は車両60の第一通信部61と通信可能に接続されている。例えば、第一通信部61が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体70が差し込まれたままの状態であってもよい。まず、利用希望者は、通信装置20の入力部23に対し、サービス管理装置50への利用申請のための操作を行う(ステップS501)。通信装置20は、利用希望者による操作に応じて、利用申請要求をサービス管理装置50に送信する(ステップS502)。サービス管理装置50は、利用申請要求を受信すると、受信された利用申請要求に応じて、利用者情報要求を通信装置20に送信する(ステップS503)。利用者情報要求とは、利用希望者を示す識別情報の要求である。
【0094】
通信装置20は、利用者情報要求を受信すると、情報取得プロセスを実行することによって、利用希望者の個人識別媒体10を用いて署名付き利用者情報を取得する。署名付き利用者情報を取得するプロセスは、
図10のステップS104~S109と同様である。そのため、詳細の説明を省略する。通信装置20は、署名付き利用者情報をサービス管理装置50へ送信する(ステップS504)。サービス管理装置50は、受信された署名付き利用者情報について、改ざんの有無を判定する(ステップS505)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された署名付き利用許可証に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS112~S114に記載の処理と同様の処理であるため、説明を省略する。
【0095】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、利用条件要求を通信装置20に送信する(ステップS506)。利用条件要求は、車両の利用に関する条件を示す情報の要求である。利用に関する条件は、例えば車両60に関する情報(車種など)、利用の場所に関する情報、利用の時期を示す情報(例えば、利用開始日時と、利用終了日時と、を示す情報)を含む。利用に関する条件は、その他の条件をさらに有してもよい。
【0096】
通信装置20は、利用条件要求を受信すると、車両の利用に関する条件を入力することを利用希望者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。利用希望者は、入力部23を操作することによって、利用の条件を通信装置20に入力する(ステップS507)。通信装置20は、入力された利用の条件を示す利用条件応答をサービス管理装置50へ送信する(ステップS508)。
【0097】
サービス管理装置50は、利用条件応答を受信すると、記憶部52に登録されている提供申請情報521のうち、受信された利用条件を満たす提供申請情報521を検索する。そして、サービス管理装置50は、利用条件を満たす提供申請情報521の中から一つの提供申請情報521を選択し、選択された提供申請情報521に対応する車両を利用予定車両として決定する(ステップS509)。サービス管理装置50は、選択された提供申請情報521と、利用希望者に関する情報と、に基づいて利用申請情報522を生成し、記憶部52に登録する。そして、サービス管理装置50は、決定した利用予定車両を示す情報を通信装置20に通知する(ステップS510)。通信装置20は、利用予定車両の情報通知を受信すると、利用予定車両を示す情報を、出力部24を介して出力する。例えば、通信装置20は、利用申請情報522の一部又は全てを示す画面を出力部24に表示する(ステップS511)。
【0098】
サービス管理装置50は、利用申請情報522に基づいて利用許可証を生成する(ステップS512)。サービス管理装置50は、生成された利用許可証に対しデジタル署名を行う(ステップS513)。サービス管理装置50は、署名付き利用許可証を、利用許可証の対象となっている車両60に送信する(ステップS514)。その後、受信された署名付き利用許可証について、サービス管理装置50の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される(ステップS515)。この判定処理は、車両60において行われてもよいし、車両識別媒体70において行われてもよい。改ざんされている場合には、車両60は処理を停止する。一方、改ざんされていない場合には、車両60は自装置に接続されている車両識別媒体70に対して利用許可証を書き込むための動作を行う(ステップS516)。車両識別媒体70の制御部73は、車両60による制御に応じて利用許可証を記憶部72に記録する(ステップS517)。
【0099】
次に、
図18を用いて、既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れについて説明する。まず、利用希望者は、利用申請の際に用いられた個人識別媒体10を、利用希望の車両60に通信可能に接続する。車両60は、自装置に個人識別媒体10が接続されたことを検知すると、車両60に接続された車両識別媒体70から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す(ステップS601)。また、車両60は、利用者の個人識別媒体10から、認証に用いられる情報(認証用情報)を読み出す(ステップS602)。
【0100】
車両60は、利用者が正当な利用者(利用許可証が発行された利用者)であることを示す所定の条件を満たす場合には、車両60の利用を許可することを判定する(ステップS603)。一方、上記の所定の条件が満たされない場合には、車両60は自車両の利用を許可しないことを判定する。判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS604)。車両60は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両60の操作の履歴を記録する(ステップS605)。車両60は、利用希望者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置50へ送信する。サービス管理装置50は、操作の履歴を受信すると、受信された履歴の情報を実績情報523として記憶部52に記録する。
【0101】
次に、
図19を用いて、既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れの具体例について説明する。
図19の具体例では、チャレンジレスポンスが採用されている。まず、利用希望者は、利用申請の際に用いられた個人識別媒体10を、利用希望の車両60に通信可能に接続する。車両60は、自装置に個人識別媒体10が接続されたことを検知すると、車両60に接続された車両識別媒体70から、車両識別媒体70において生成された乱数を取得する(ステップS701)。車両60は、取得された乱数を個人識別媒体10に送信し、デジタル署名を要求する(ステップS702)。個人識別媒体10は、車両60から乱数を受信すると、自身に記録されている秘密鍵を用いて乱数に対してデジタル署名を行う(ステップS703)。このとき使用される秘密鍵は、第一秘密鍵であってもよいし、第二秘密鍵であってもよい。ただし、いずれの秘密鍵が使用されるかについては、他の装置との間で予め決められている。
【0102】
車両60は、車両識別媒体70から利用許可証を取得する(ステップS704)。個人識別媒体10は、署名付きの乱数を署名結果として車両60に送信する(ステップS705)。このとき送信される署名結果は、
図9のステップS008における認証用情報に相当する。車両60は、利用許可証の電子証明書に含まれる公開鍵と、署名結果と、を用いて車両60の利用者が正当な利用者であるか否か判定する(ステップS706)。このとき使用される公開鍵は、ステップS703の処理で用いられた秘密鍵に対応する公開鍵である。
【0103】
車両60は、利用者が正当な利用者(利用許可証が発行された利用者)であることを示す所定の条件を満たす場合には、車両60の利用を許可することを判定する。一方、上記の所定の条件が満たされない場合には、車両60は自車両の利用を許可しないことを判定する。判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS707)。車両60は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両60の操作の履歴を記録する(ステップS708)。
【0104】
次に、
図20を用いて、既に利用申請情報522が登録されている利用希望者が車両60を利用する際の処理の流れの他の具体例について説明する。
図20の具体例でも、チャレンジレスポンスが採用されている。まず、利用希望者は、利用申請の際に用いられた個人識別媒体10を、利用希望の車両60に通信可能に接続する。車両60は、自装置に個人識別媒体10が接続されたことを検知すると、車両60に接続された車両識別媒体70から、車両識別媒体70において生成された乱数を取得する(ステップS801)。車両60は、取得された乱数を個人識別媒体10に送信し、デジタル署名を要求する(ステップS802)。個人識別媒体10は、車両60から乱数を受信すると、自身に記録されている秘密鍵を用いて乱数に対してデジタル署名を行う(ステップS803)。このとき使用される秘密鍵は、第一秘密鍵であってもよいし、第二秘密鍵であってもよい。ただし、いずれの秘密鍵が使用されるかについては、他の装置との間で予め決められている。
【0105】
個人識別媒体10は、署名付きの乱数を署名結果として車両60に送信する(ステップS805)。このとき送信される署名結果は、
図9のステップS008における認証用情報に相当する。車両60は、個人識別媒体10から署名結果を受信すると、受信された署名結果を車両識別媒体70へ送信する(ステップS805)。車両識別媒体70は、利用許可証の電子証明書に含まれる公開鍵と、署名結果と、を用いて車両60の利用者が正当な利用者であるか否か判定する(ステップS806)。このとき使用される公開鍵は、ステップS803の処理で用いられた秘密鍵に対応する公開鍵である。
【0106】
車両識別媒体70は、判定結果を車両60に送信する(ステップS807)。車両60は、利用者が正当な利用者(利用許可証が発行された利用者)であることを示す判定結果が得られた場合には、車両60の利用を許可することを判定する。一方、上記の所定の条件が満たされないという判定結果が得られた場合には、車両60は自車両の利用を許可しないことを判定する。判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS808)。車両60は、操作の許可がなされると、利用希望者による利用が終了するまで利用希望者による車両60の操作の履歴を記録する(ステップS809)。
【0107】
なお、
図19及び
図20は、
図18の処理の具体例にすぎない。
図18の具体例として他の処理が適用されてもよい。例えば、
図18のステップS602において、認証用情報として個人識別媒体10から第一識別情報又は第二識別情報(以下単に「識別情報」という。)が車両60に送信されてもよい。この場合、車両60は、判定処理(ステップS603)において、車両識別媒体70から取得された利用許可証に含まれる識別情報と、個人識別媒体10から取得された識別情報とが、同一人物を示す場合(例えば一致する場合)に利用を許可すると判断してもよい。
【0108】
このように構成された制御システム100では、個人識別媒体10に記録されている情報を含む利用許可証がサービス管理装置50において生成される。サービス管理装置50において生成された利用許可証は、提供対象の車両60に接続された車両識別媒体70に記録される。そして、利用者が車両60を利用する際には、利用者の個人識別媒体10に記録されている情報を用いて、利用許可証において車両60の使用を許可されている正当な利用者であるかが判定される。そのため、車両60を正当な利用者に対して簡便に提供しつつ、不当な利用者に車両60が提供されてしまうことを防止することが可能となる。
【0109】
また、個人識別媒体10は、一定の厳格な機関である個人認証局300において発行された情報を記憶する。このような個人認証局300において発行された情報を用いて、車両60の正当な利用者であるか否かが判定される。そのため、不当な利用者に車両60が提供されてしまうことを防止することがより厳格に可能となる。また、このような仕組みにより、“正当な利用者”の身元を担保することが可能となり、単にサービス管理装置50にユーザー登録しただけの身元が不明な者に対して車両60が提供されてしまうことを防止することが可能となる。例えば、日本国内においては、マイナンバーカードの署名用電子証明書や利用者証明用電子証明書などを用いることによって、このような厳格な防止が実現されてもよい。
【0110】
また、車両60において正当な利用者であるか否かの判定が行われる際には、車両60から個人識別媒体10に対して特定の情報(例えば乱数)が与えられ、その乱数が個人秘密鍵で暗号化された情報を用いて車両60で判定が行われてもよい。この場合、車両60は、車両識別媒体70に記録されている利用許可証に含まれた個人公開鍵を用いて、暗号化された乱数を復号し、復号で得られた値と、個人識別媒体10に与えられた乱数とが一致する場合に正当な利用者であると判断してもよい。このように構成されることにより、不当な利用者に車両60が提供されてしまうことをより確実に防止することが可能となる。
【0111】
また、車両識別媒体70は、一定の厳格な機関である車両認証局400において発行された情報を記憶する。このような車両認証局400において発行された情報を用いて、提供希望者のサービス管理装置50への登録が行われる。そして、このようにして登録された提供希望者によって提供される車両60が、利用者に対して提供される。そのため、何らかの不正な事情を有している車両60が利用者に対して提供されてしまうことを防止することが可能となる。
【0112】
また、提供希望者がサービス管理装置50へ登録する際には、提供希望者の個人識別媒体10が必要となる。上述したように、個人識別媒体10は、一定の厳格な機関である個人認証局300において発行された情報を記憶する。そのため、“車両60の提供者”の身元を担保することが可能となり、単にサービス管理装置50にユーザー登録しただけの身元が不明な者によって車両60が提供されてしまうことを防止することが可能となる。この観点でも、例えば、日本国内においては、マイナンバーカードの署名用電子証明書や利用者証明用電子証明書などを用いることによって、このような効果が実現されてもよい。
【0113】
また、ステップS409において存在判定プロセスが実行されることによって、提供対象として登録された車両60が使用可能な状態になることが担保される。そのため、その後にこの提供条件に基づいて利用することが決定された利用者が車両60を利用できない、という事態が発生してしまうことを防止できる。
【0114】
(変形例)
サービス管理装置50は、
図15に示される存在判定プロセス(ステップS409)において、車両識別媒体70に記録されている車両状態情報が所定の条件を満たしているか否かを判定してもよい。車両状態情報とは、提供対象の車両60の状態に関する情報である。例えば、車両状態情報は、車両60に関する自動車検査登録制度の登録状況を示す情報であってもよいし、車両60が受けた整備に関する情報であってもよい。車両状態情報は、個別に記憶部72に記録されてもよいし、車両属性情報722に含まれてもよいし、車両電子証明書724に含まれてもよい。車両状態情報の所定の条件とは、車両60の利用に際して故障や法的問題や安全面での問題が生じないことを示す条件である。車両状態情報の所定の条件とは、例えば自動車検査登録制度における登録が切れていないことであってもよいし、特定の整備を受けていることであってもよいし、自動車損害賠償責任保険が切れていない(有効である)ことであってもよい。この場合、サービス管理装置50は、存在判定プロセスにおいて、提供対象の車両60が利用可能な状態になっていることが確認される条件の一つとして、車両状態情報が所定の条件を満たしていることを判定する。
【0115】
サービス管理装置50は、ステップS115における利用会員情報登録を実行する条件や、ステップS512における利用許可証生成の条件として、利用希望者の個人情報が所定の条件を満たしていることを判定してもよい。個人情報が所定の条件を満たしていることの具体例として、利用希望者が車両60を利用することについて安全面での問題や法律面での問題を有していないことがある。より具体的には、利用希望者が所定の年齢未満(例えば75歳未満、80歳未満など)であることや、有効な運転免許を有していること等が個人情報の所定の条件であってもよい。このような条件について判定が行われることによって、運転を行うことについて法律面での問題や安全面での問題を有している者によって車両60が利用されてしまうことを未然に防止することが可能となる。
【0116】
サービス管理装置50は、特定の運転手に関する情報を取得し、その情報に合致する利用者を検索して出力してもよい。特定の運転手とは、例えば交通違反を行った運転手である。特定の運転手に関する情報とは、交通違反車両について判明している情報であり、例えば車両のナンバープレートに関する情報であってもよいし、車体の特徴に関する情報であってもよいし、交通違反が行われた日時及び場所に関する情報であってもよい。サービス管理装置50は、実績情報523や提供申請情報521を参照することによって、上述したような特定の運転手に関する情報に合致する利用者を検索し出力する。このような構成により、誰が、いつ、どの区間を運転していたかを把握できるため、違反をした運転手を特定することができる。
【0117】
[運転代行サービス]
次に、制御システム100が運転代行サービスに適用された場合の動作の流れの具体例について説明する。運転代行サービスでは、車両60を提供する者は、運転代行のサービスを受けることを依頼する依頼者(代行依頼者)である。運転代行サービスでは、車両60を利用する者は、運転代行のサービスを提供するために車両60の運転を代行する者である。このように、運転代行サービスでは、車両60の提供は運転代行サービスの依頼に相当し、車両60の利用は運転代行サービスの提供に相当する。
【0118】
図21~
図29は、制御システム100が運転代行サービスに適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、
図21及び
図22を用いて、運転代行サービスの提供を希望する代行提供者がサービス管理装置50に登録する際の処理の流れについて説明する。代行提供者は、運転代行サービスにおいて、他者が所有している車両60の運転代行を行うことを希望する者である。また、サービス管理装置50は、運転代行サービスにおいて、代行提供者と後述する代行依頼者とをとりつぐ仲介業者等によって運用されてもよい。まず、代行提供者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS1101)。通信装置20は、代行提供者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS1102)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて代行者情報要求を通信装置20に送信する(ステップS1103)。運転代行サービスにおいて、代行者情報要求とは、代行提供者を示す識別情報(代行者情報)の要求である。代行者情報は、例えば第一電子証明書121であってもよい。
【0119】
通信装置20は、代行者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部24に出力させる。代行提供者は、入力部23を操作することによって個人第一認証情報を入力する(ステップS1104)。個人第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された個人第一認証情報を個人識別媒体10に送信する(ステップS1105)。個人識別媒体10は、受信された個人第一認証情報に基づいて認証処理を実行する(ステップS1106)。通信装置20は、個人識別媒体10に対し、登録対象となる代行者情報に関するデジタル署名を要求する(ステップS1107)。登録対象となる代行者情報は、代行提供者に関する情報である。代行者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。代行者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0120】
ステップS1106における個人第一認証処理の結果、代行提供者が認証された場合には、個人識別媒体10は、ステップS1107における要求に応じて、登録対象となる代行者情報について第一秘密鍵122を用いてデジタル署名を行う(ステップS1108)。デジタル署名は、例えば代行者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体10は、デジタル署名がなされた代行者情報(署名付き代行者情報)を通信装置20に送信する(ステップS1109)。通信装置20は、個人識別媒体10から受信された代行者情報をサービス管理装置50へ送信する(ステップS1110)。サービス管理装置50は、受信された代行者情報について、第二認証処理を実行する(ステップS1111)。第二認証処理では、サービス管理装置50は代行者情報について改ざんの有無を判定する。
【0121】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された代行者情報に含まれる第一電子証明書について失効判定要求を個人認証装置30に送信する(ステップS1112)。個人認証装置30は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う(ステップS1113)。個人認証装置30は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS1114)。
【0122】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、ステップS1110で受信された代行者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を代行会員情報として記憶部52に登録する(ステップS1115)。サービス管理装置50は、代行会員情報の登録が完了したことを通信装置20に通知する(ステップS1116)。通信装置20は、代行会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS1117)。
【0123】
次に、
図23を用いて、車両60の代行運転の依頼を希望する代行依頼者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。代行依頼者は、運転代行サービスにおいて、自身が所有している車両60を、運転代行を行う他者(代行提供者)に運転代行を依頼することを希望する者である。まず、代行依頼者は、通信装置20の入力部23に対し、車両認証装置40への登録のための操作を行う(ステップS1201)。通信装置20は、代行依頼者による操作に応じて、新規登録要求を車両認証装置40に送信する(ステップS1202)。ステップS1202以降の処理は、
図12におけるステップS202以降の処理と同じである。そのため、説明を省略する。
【0124】
次に、
図24及び
図25を用いて、車両60の運転代行の依頼を希望する代行依頼者がサービス管理装置50に登録する際の処理の流れについて説明する。まず、代行依頼者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS1301)。通信装置20は、代行依頼者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS1302)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて依頼者/車両情報要求を通信装置20に送信する(ステップS1303)。依頼者/車両情報要求とは、代行依頼者を示す識別情報と、運転代行の対象となっている車両を示す識別情報と、の要求である。
【0125】
通信装置20は、依頼者/車両情報要求を受信すると、情報取得プロセスを実行することによって、代行依頼者の個人識別媒体10を用いて署名付き依頼者情報を取得する。署名付き依頼者情報とは、第一秘密鍵を用いたデジタル署名がなされた依頼者情報である。署名付き依頼者情報を取得するプロセスは、
図21のステップS1104~S1109において署名付き代行者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、依頼者情報は、代行依頼者に関する情報である。依頼者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。依頼者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0126】
また、通信装置20は、車両第一認証情報の入力を促す表示を出力部24に出力させる。代行依頼者は、入力部23を操作することによって車両第一認証情報を入力する(ステップS1304)。車両第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された車両第一認証情報を車両識別媒体70に送信する(ステップS1305)。車両識別媒体70は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する(ステップS1306)。通信装置20は、車両識別媒体70に対し、デジタル署名を要求する(ステップS1307)。このとき、通信装置20は例えばデジタル署名に用いられる乱数もしくは電子文書(又はそのハッシュ値)を生成し、車両識別媒体70に送信する。
【0127】
ステップS1306における認証処理の結果、代行依頼者が認証された場合には、車両識別媒体70は、ステップS1307における要求に応じて、通信装置20から送信されたデータ(乱数、電子文書、ハッシュ値など)に対し車両秘密鍵725を用いてデジタル署名を行う(ステップS1308)。車両識別媒体70は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置20に送信する(ステップS1309)。通信装置20は、車両識別媒体70から受信されたデジタル署名応答と、情報取得プロセスで取得された代行依頼者の依頼者情報と、をサービス管理装置50へ送信する(ステップS1310)。サービス管理装置50は、受信された依頼者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する(ステップS1311)。
【0128】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS1112~S1114に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置40に送信する(ステップS1312)。車両認証装置40は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う(ステップS1313)。車両認証装置40は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS1314)。
【0129】
サービス管理装置50は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置50は、ステップS1310で受信された依頼者情報と車両電子証明書に含まれる車両識別情報とを依頼会員情報として記憶部52に登録する(ステップS1315)。サービス管理装置50は、依頼会員情報の登録が完了したことを通信装置20に通知する(ステップS1316)。通信装置20は、依頼会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS1317)。また、サービス管理装置50は、依頼初期情報を記憶部52に登録する(ステップS1318)。依頼初期情報には、鍵情報524が含まれる。例えば、このステップS1318のタイミングで、サービス管理装置50が代行依頼者に対する鍵情報524を生成し、代行依頼者の第一電子証明書121や車両電子証明書と対応付けて記憶してもよい。サービス管理装置50は、依頼初期情報を、車両識別媒体70に記録する(ステップS1319)。このとき、車両識別媒体70には、例えばサービスAP727と、サービス秘密鍵728と、サービス管理装置50の公開鍵が記録されてもよい。特にサービス秘密鍵728については、セキュアな手段を用いて車両識別媒体70に記録されることが望ましい。
【0130】
次に、
図26を用いて、車両60の運転代行の依頼を希望する代行依頼者がサービス管理装置50に依頼の申請を行う際の処理の流れについて説明する。まず、代行依頼者は、通信装置20の入力部23に対し、サービス管理装置50への依頼申請のための操作を行う(ステップS1401)。通信装置20は、代行依頼者による操作に応じて、依頼申請要求をサービス管理装置50に送信する(ステップS1402)。サービス管理装置50は、依頼申請要求を受信すると、受信された依頼申請要求に応じて、依頼者情報要求を通信装置20に送信する(ステップS1403)。依頼者情報要求とは、運転代行の対象となっている車両60の依頼主である依頼希望者を示す識別情報の要求である。
【0131】
次に、通信装置20と個人識別媒体10との間で情報取得プロセス(ステップS1104~S1109)が実行される。情報取得プロセスの実行によって、依頼希望者の個人識別媒体10から依頼者情報が取得される。通信装置20は、依頼者情報をサービス管理装置50へ送信する(ステップS1404)。サービス管理装置50は、受信された依頼者情報の第一証明書について、改ざんの有無を判定する(ステップS1405)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS1112~S1114に記載の処理と同様の処理であるため、説明を省略する。
【0132】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、依頼条件要求を通信装置20に送信する(ステップS1406)。依頼条件要求は、運転代行の依頼に関する条件を示す情報の要求である。
【0133】
通信装置20は、依頼条件要求を受信すると、運転代行サービスの依頼に関する条件を入力することを代行依頼者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。代行依頼者は、入力部23を操作することによって、依頼の条件を通信装置20に入力する(ステップS1407)。通信装置20は、入力された依頼の条件を示す依頼条件応答をサービス管理装置50へ送信する(ステップS1408)。
【0134】
サービス管理装置50は、依頼条件応答を受信すると、運転代行サービスの対象として登録された車両60に関する車両識別媒体70に対し、存在判定プロセスを実行する(ステップS1409)。存在判定プロセスは、例えば特定の信号を車両識別媒体70に対して送信することによって、運転代行サービスの対象の車両60に関する車両識別媒体70が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、運転代行サービスの対象の車両60が利用可能な状態になっていることが確認された場合、サービス管理装置50は、受信された依頼条件を示す情報を提供申請情報521として記憶部52に登録する(ステップS1410)。一方、存在判定プロセスにおいて、運転代行サービスの対象の車両60が利用可能な状態になっていることが確認されなかった場合、サービス管理装置50は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。サービス管理装置50は、登録が完了すると、依頼条件の登録が完了したことを通信装置20に通知する(ステップS1411)。通信装置20は、依頼条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS1412)。
【0135】
次に、
図27及び
図28を用いて、車両60の運転代行を希望する代行提供者がサービス管理装置50に運転代行の申請を行う際の処理の流れについて説明する。なお、
図27及び
図28において、車両識別媒体70は車両60の第一通信部61と通信可能に接続されている。例えば、第一通信部61が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体70が差し込まれたままの状態であってもよい。まず、代行提供者は、通信装置20の入力部23に対し、サービス管理装置50への代行申請のための操作を行う(ステップS1501)。通信装置20は、代行提供者による操作に応じて、代行申請要求をサービス管理装置50に送信する(ステップS1502)。サービス管理装置50は、代行申請要求を受信すると、受信された代行申請要求に応じて、代行者情報要求を通信装置20に送信する(ステップS1503)。代行者情報要求とは、代行提供者を示す識別情報の要求である。
【0136】
通信装置20は、代行者情報要求を受信すると、情報取得プロセスを実行することによって、代行提供者の個人識別媒体10を用いて署名付き代行者情報を取得する。署名付き代行者情報を取得するプロセスは、
図10のステップS104~S109と同様である。そのため、詳細の説明を省略する。通信装置20は、署名付き代行者情報をサービス管理装置50へ送信する(ステップS1504)。サービス管理装置50は、受信された署名付き代行者情報について、改ざんの有無を判定する(ステップS1505)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された署名付き代行者情報に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS1112~S1114に記載の処理と同様の処理であるため、説明を省略する。
【0137】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、代行条件要求を通信装置20に送信する(ステップS1506)。代行条件要求は、車両の運転代行に関する条件を示す情報の要求である。運転代行に関する条件は、例えば車両60に関する情報(車種や大きさなど)、運転代行の場所に関する情報、運転代行の時期を示す情報(例えば、利用開始日時と、利用終了日時と、を示す情報)を含む。運転代行に関する条件は、その他の条件をさらに有してもよい。
【0138】
通信装置20は、代行条件要求を受信すると、車両の運転代行に関する条件を入力することを代行提供者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。代行提供者は、入力部23を操作することによって、運転代行の条件を通信装置20に入力する(ステップS1507)。通信装置20は、入力された運転代行の条件を示す代行条件応答をサービス管理装置50へ送信する(ステップS1508)。
【0139】
サービス管理装置50は、代行条件応答を受信すると、記憶部52に登録されている提供申請情報521のうち、受信された代行条件を満たす提供申請情報521を検索する。そして、サービス管理装置50は、代行条件を満たす提供申請情報521の中から一つの提供申請情報521を選択し、選択された提供申請情報521に対応する車両を代行予定車両として決定する(ステップS1509)。サービス管理装置50は、選択された提供申請情報521と、代行提供者に関する情報と、に基づいて利用申請情報522を生成し、記憶部52に登録する。そして、サービス管理装置50は、決定した代行予定車両を示す情報を通信装置20に通知する(ステップS1510)。通信装置20は、代行予定車両の情報通知を受信すると、代行予定車両を示す情報を、出力部24を介して出力する。例えば、通信装置20は、利用申請情報522の一部又は全てを示す画面を出力部24に表示する(ステップS1511)。
【0140】
サービス管理装置50は、利用申請情報522に基づいて利用許可証を生成する(ステップS1512)。サービス管理装置50は、生成された利用許可証に対しデジタル署名を行う(ステップS1513)。サービス管理装置50は、署名付き利用許可証を、利用許可証の対象となっている車両60に送信する(ステップS1514)。その後、受信された署名付き利用許可証について、サービス管理装置50の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される(ステップS1515)。上述したように、この判定処理は、車両60において行われてもよいし、車両識別媒体70において行われてもよい。改ざんされている場合には、車両60は処理を停止する。一方、改ざんされていない場合には、車両60は自装置に接続されている車両識別媒体70に対して利用許可証を書き込むための動作を行う(ステップS1516)。車両識別媒体70の制御部73は、車両60による制御に応じて利用許可証を記憶部72に記録する(ステップS1517)。
【0141】
次に、
図29を用いて、既に利用申請情報522が登録されている代行提供者が車両60を利用する(運転代行する)際の処理の流れについて説明する。まず、代行提供者は、代行申請の際に用いられた個人識別媒体10を、代行提供の車両60に通信可能に接続する。車両60は、自装置に個人識別媒体10が接続されたことを検知すると、車両60に接続された車両識別媒体70から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す(ステップS1601)。また、車両60は、利用者(代行提供者)の個人識別媒体10から、認証に用いられる情報(認証用情報)を読み出す(ステップS1602)。
【0142】
車両60は、利用者(代行提供者)が正当な利用者(利用許可証が発行された代行提供者)であることを示す所定の条件を満たす場合には、車両60の利用を許可することを判定する(ステップS1603)。一方、上記の所定の条件が満たされない場合には、車両60は自車両の利用を許可しないことを判定する。判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS1604)。車両60は、操作の許可がなされると、代行提供者による利用が終了するまで代行提供者による車両60の操作の履歴を記録する(ステップS1605)。車両60は、代行提供者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置50へ送信する。サービス管理装置50は、操作の履歴を受信すると、受信された履歴の情報を実績情報523として記憶部52に記録する。なお、
図29に示された処理の具体例として、
図19や
図20に示された処理が適用されてもよい。
【0143】
このように運転代行サービスに適用された制御システム100においても、カーシェアリングに適用された制御システム100と同趣旨の効果を奏することができる。また、このように運転代行サービスに適用された制御システム100は、カーシェアリングに適用された制御システム100と同趣旨の変形がなされてもよい。この場合、
図15に示される存在判定プロセス(ステップS409)は、
図26に示される存在判定プロセス(ステップS1409)に相当する。また、ステップS115における利用会員情報登録を実行する条件や、ステップS512における利用許可証生成の条件は、それぞれステップS1115における代行会員情報登録を実行する条件や、ステップS1512における利用許可証生成の条件に相当する。
【0144】
[乗り継ぎ輸送]
次に、制御システム100が乗り継ぎ輸送に適用された場合の動作の流れの具体例について説明する。乗り継ぎ輸送とは、少なくとも1台の車両60をある地点(始点)から他の地点(終点)まで運転により移動させる際に、複数の運転手で乗り継ぎを行うことである。乗り継ぎ輸送では、車両60を提供する者は、乗り継ぎ輸送を依頼する依頼者(輸送依頼者)である。乗り継ぎ輸送では、車両60を利用する者は、車両60の運転を行う者である。このように、乗り継ぎ輸送では、車両60の提供は輸送の依頼に相当し、車両60の利用は車両60の運転に相当する。
【0145】
乗り継ぎ輸送では、サービス管理装置50は、輸送依頼者によって登録された始点と終点との間に複数の中継地点が設定される。複数の中継地点の設定は、輸送依頼者によって行われてもよいし、サービス管理装置50によって行われてもよい。サービス管理装置50によって行われる場合には、例えばサービスエリア等の駐車が容易な地点として予めサービス管理装置50に登録されている地点の中から、上記中継地点が設定されてもよい。この場合、例えば始点、各中継地点、終点の各間隔が所定の条件を満たすように自動で設定されてもよい。所定の条件とは、例えば予め定められた一般的な速度で移動した場合に要する所要時間が基準値に基づく条件(例えば基準値から前後10分以内)を満たすような条件であってもよいし、予め定められた距離に基づく条件(例えば上記距離から前後10キロメートル以内)を満たすような条件であってもよい。また、輸送依頼者によって設定された数で始点から終点までが分割されるように、略等間隔に分割することで中継地点が設定されてもよい。
【0146】
図30~
図38は、制御システム100が乗り継ぎ輸送に適用された場合の動作の流れの具体例を示すシーケンスチャートである。まず、
図30及び
図31を用いて、輸送を希望する運転希望者がサービス管理装置50に登録する際の処理の流れについて説明する。運転希望者は、乗り継ぎ輸送において、他者が所有している車両60の運転を、他者と乗り継ぎなら行うことを希望する者である。また、サービス管理装置50は、乗り継ぎ輸送において、運転希望者と後述する輸送依頼者とをとりつぐ仲介業者等によって運用されてもよい。まず、運転希望者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS2101)。通信装置20は、運転希望者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS2102)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて運転者情報要求を通信装置20に送信する(ステップS2103)。乗り継ぎ輸送において、運転者情報要求とは、運転希望者を示す識別情報(運転者情報)の要求である。運転者情報は、例えば第一電子証明書121であってもよい。
【0147】
通信装置20は、運転者情報要求を受信すると、個人第一認証情報の入力を促す表示を出力部24に出力させる。運転希望者は、入力部23を操作することによって個人第一認証情報を入力する(ステップ2104)。個人第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された個人第一認証情報を個人識別媒体10に送信する(ステップS2105)。個人識別媒体10は、受信された個人第一認証情報に基づいて認証処理を実行する(ステップS2106)。通信装置20は、個人識別媒体10に対し、登録対象となる運転者情報に関するデジタル署名を要求する(ステップS2107)。登録対象となる運転者情報は、運転希望者に関する情報である。運転者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。運転者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0148】
ステップS2106における個人第一認証処理の結果、運転希望者が認証された場合には、個人識別媒体10は、ステップS2107における要求に応じて、登録対象となる運転者情報について第一秘密鍵122を用いてデジタル署名を行う(ステップS2108)。デジタル署名は、例えば運転者情報から得られるハッシュ値に対して第一秘密鍵を用いた暗号化処理を行うことによって実現されてもよい。個人識別媒体10は、デジタル署名がなされた運転者情報(署名付き運転者情報)を通信装置20に送信する(ステップS2109)。通信装置20は、個人識別媒体10から受信された運転者情報をサービス管理装置50へ送信する(ステップS2110)。サービス管理装置50は、受信された運転者情報について、第二認証処理を実行する(ステップS2111)。第二認証処理では、サービス管理装置50は運転者情報について改ざんの有無を判定する。
【0149】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された運転者情報に含まれる第一電子証明書について失効判定要求を個人認証装置30に送信する(ステップS2112)。個人認証装置30は、失効判定要求を受信すると、処理の対象となっている第一電子証明書について失効判定を行う(ステップS2113)。個人認証装置30は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS2114)。
【0150】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、ステップS2110で受信された運転者情報に含まれる氏名、住所などの情報や、第一電子証明書に含まれる個人情報や第一識別情報を運転会員情報として記憶部52に登録する(ステップS2115)。サービス管理装置50は、運転会員情報の登録が完了したことを通信装置20に通知する(ステップS2116)。通信装置20は、運転会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS2117)。
【0151】
次に、
図32を用いて、車両60の運転の依頼を希望する輸送依頼者が、サービス管理装置50への登録の際に必要となる車両電子証明書を取得するための処理の流れについて説明する。輸送依頼者は、乗り継ぎ輸送において、自身が所有している車両60を、運転を行う他者(運転希望者)に運転を依頼することを希望する者である。まず、輸送依頼者は、通信装置20の入力部23に対し、車両認証装置40への登録のための操作を行う(ステップS2201)。通信装置20は、輸送依頼者による操作に応じて、新規登録要求を車両認証装置40に送信する(ステップS2202)。ステップS2202以降の処理は、
図12におけるステップS202以降の処理と同じである。そのため、説明を省略する。
【0152】
次に、
図33及び
図34を用いて、車両60の運転の依頼を希望する輸送依頼者がサービス管理装置50に登録する際の処理の流れについて説明する。まず、輸送依頼者は、通信装置20の入力部23に対し、サービス管理装置50への登録のための操作を行う(ステップS2301)。通信装置20は、輸送依頼者による操作に応じて、登録要求をサービス管理装置50に送信する(ステップS2302)。サービス管理装置50は、登録要求を受信すると、受信された登録要求に応じて依頼者/車両情報要求を通信装置20に送信する(ステップS2303)。依頼者/車両情報要求とは、輸送依頼者を示す識別情報と、運転の対象となっている車両を示す識別情報と、の要求である。
【0153】
通信装置20は、依頼者/車両情報要求を受信すると、情報取得プロセスを実行することによって、輸送依頼者の個人識別媒体10を用いて署名付き依頼者情報を取得する。署名付き依頼者情報とは、第一秘密鍵を用いたデジタル署名がなされた依頼者情報である。署名付き依頼者情報を取得するプロセスは、
図30のステップS2104~S2109において署名付き運転者情報が取得されるプロセスと同様である。そのため、詳細の説明を省略する。なお、依頼者情報は、代行依頼者に関する情報である。依頼者情報は、通信装置20においてユーザーによって入力されたユーザーの情報(例えば氏名、年齢、住所、性別など)が含まれてもよい。依頼者情報には、第一電子証明書121に含まれる個人情報が含まれてもよい。
【0154】
また、通信装置20は、車両第一認証情報の入力を促す表示を出力部24に出力させる。輸送依頼者は、入力部23を操作することによって車両第一認証情報を入力する(ステップS2304)。車両第一認証情報とは、例えば予め設定されているPINコードであってもよい。通信装置20は、入力部23を介して入力された車両第一認証情報を車両識別媒体70に送信する(ステップS2305)。車両識別媒体70は、受信された車両第一認証情報に基づいて車両第一認証処理を実行する(ステップS2306)。通信装置20は、車両識別媒体70に対し、デジタル署名を要求する(ステップS2307)。このとき、通信装置20は例えばデジタル署名に用いられる乱数もしくは電子文書(又はそのハッシュ値)を生成し、車両識別媒体70に送信する。
【0155】
ステップS2306における認証処理の結果、輸送依頼者が認証された場合には、車両識別媒体70は、ステップS2307における要求に応じて、通信装置20から送信されたデータ(乱数、電子文書、ハッシュ値など)に対し車両秘密鍵725を用いてデジタル署名を行う(ステップS2308)。車両識別媒体70は、デジタル署名がなされたデータと車両電子証明書とを含むデジタル署名応答を通信装置20に送信する(ステップS2309)。通信装置20は、車両識別媒体70から受信されたデジタル署名応答と、情報取得プロセスで取得された輸送依頼者の依頼者情報と、をサービス管理装置50へ送信する(ステップS2310)。サービス管理装置50は、受信された依頼者情報の第一電子証明書と車両電子証明書とについて、改ざんの有無を判定する(ステップS2311)。
【0156】
改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書と車両電子証明書とについて失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS2112~S2114に記載の処理と同様の処理であるため、説明を省略する。車両電子証明書については、失効判定要求を車両認証装置40に送信する(ステップS2312)。車両認証装置40は、失効判定要求を受信すると、処理の対象となっている車両電子証明書について失効判定を行う(ステップS2313)。車両認証装置40は、失効判定の判定結果を含む失効判定応答をサービス管理装置50へ送信する(ステップS2314)。
【0157】
サービス管理装置50は、いずれかの失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、いずれの失効判定結果も失効を示していない場合、サービス管理装置50は、ステップS2310で受信された依頼者情報と車両電子証明書に含まれる車両識別情報とを依頼会員情報として記憶部52に登録する(ステップS2315)。サービス管理装置50は、依頼会員情報の登録が完了したことを通信装置20に通知する(ステップS2316)。通信装置20は、依頼会員情報の登録完了通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS2317)。また、サービス管理装置50は、依頼初期情報を記憶部52に登録する(ステップS2318)。依頼初期情報には、鍵情報524が含まれる。例えば、このステップS2318のタイミングで、サービス管理装置50が輸送依頼者に対する鍵情報524を生成し、輸送依頼者の第一電子証明書121や車両電子証明書と対応付けて記憶してもよい。サービス管理装置50は、依頼初期情報を、車両識別媒体70に記録する(ステップS2319)。このとき、車両識別媒体70には、例えばサービスAP727と、サービス秘密鍵728と、サービス管理装置50の公開鍵が記録されてもよい。特にサービス秘密鍵728については、セキュアな手段を用いて車両識別媒体70に記録されることが望ましい。
【0158】
次に、
図35を用いて、車両60の運転の依頼を希望する輸送依頼者がサービス管理装置50に依頼の申請を行う際の処理の流れについて説明する。まず、輸送依頼者は、通信装置20の入力部23に対し、サービス管理装置50への依頼申請のための操作を行う(ステップS2401)。通信装置20は、輸送依頼者による操作に応じて、依頼申請要求をサービス管理装置50に送信する(ステップS2402)。サービス管理装置50は、依頼申請要求を受信すると、受信された依頼申請要求に応じて、依頼者情報要求を通信装置20に送信する(ステップS2403)。依頼者情報要求とは、運転の対象となっている車両60の依頼主である依頼希望者を示す識別情報の要求である。
【0159】
次に、通信装置20と個人識別媒体10との間で情報取得プロセス(ステップS2104~S2109)が実行される。情報取得プロセスの実行によって、依頼希望者の個人識別媒体10から依頼者情報が取得される。通信装置20は、依頼者情報をサービス管理装置50へ送信する(ステップS2404)。サービス管理装置50は、受信された依頼者情報の第一証明書について、改ざんの有無を判定する(ステップS2405)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS2112~S2114に記載の処理と同様の処理であるため、説明を省略する。
【0160】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、依頼条件要求を通信装置20に送信する(ステップS2406)。依頼条件要求は、運転の依頼に関する条件を示す情報の要求である。
【0161】
通信装置20は、依頼条件要求を受信すると、運転の依頼に関する条件を入力することを輸送依頼者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。輸送依頼者は、入力部23を操作することによって、依頼の条件を通信装置20に入力する(ステップS2407)。通信装置20は、入力された依頼の条件を示す依頼条件応答をサービス管理装置50へ送信する(ステップS2408)。
【0162】
サービス管理装置50は、依頼条件応答を受信すると、運転の対象として登録された車両60に関する車両識別媒体70に対し、存在判定プロセスを実行する(ステップS2409)。存在判定プロセスは、例えば特定の信号を車両識別媒体70に対して送信することによって、対象の車両60に関する車両識別媒体70が利用可能な状態になっていることを確認するためのプロセスである。存在判定プロセスにおいて、対象の車両60が利用可能な状態になっていることが確認された場合、サービス管理装置50は、受信された依頼条件を示す情報を提供申請情報521として記憶部52に登録する(ステップS2410)。一方、存在判定プロセスにおいて、対象の車両60が利用可能な状態になっていることが確認されなかった場合、サービス管理装置50は、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。サービス管理装置50は、登録が完了すると、依頼条件の登録が完了したことを通信装置20に通知する(ステップS2411)。通信装置20は、依頼条件の登録通知を受信すると、登録が完了したことを示す情報を、出力部24を介して出力する。例えば、通信装置20は、登録が完了したことを示す画面を出力部24に表示する(ステップS2412)。
【0163】
次に、
図36及び
図37を用いて、車両60の運転を希望する運転希望者がサービス管理装置50に運転の申請を行う際の処理の流れについて説明する。なお、
図36及び
図37において、車両識別媒体70は車両60の第一通信部61と通信可能に接続されている。例えば、第一通信部61が車載装置を用いて構成されている場合には、車載装置に設けられた差し込み口等の物理的インターフェースに車両識別媒体70が差し込まれたままの状態であってもよい。まず、運転希望者は、通信装置20の入力部23に対し、サービス管理装置50への運転申請のための操作を行う(ステップS2501)。通信装置20は、運転希望者による操作に応じて、運転申請要求をサービス管理装置50に送信する(ステップS2502)。サービス管理装置50は、運転申請要求を受信すると、受信された運転申請要求に応じて、運転者情報要求を通信装置20に送信する(ステップS2503)。運転者情報要求とは、運転希望者を示す識別情報の要求である。
【0164】
通信装置20は、運転者情報要求を受信すると、情報取得プロセスを実行することによって、運転希望者の個人識別媒体10を用いて署名付き運転者情報を取得する。署名付き運転者情報を取得するプロセスは、
図10のステップS104~S109と同様である。そのため、詳細の説明を省略する。通信装置20は、署名付き運転者情報をサービス管理装置50へ送信する(ステップS2504)。サービス管理装置50は、受信された署名付き運転者情報について、改ざんの有無を判定する(ステップS2505)。改ざんがあると判定された場合、サービス管理装置50はこれ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、改ざんがないと判定された場合、サービス管理装置50は、受信された署名付き運転者情報に含まれる第一電子証明書について失効判定を行う。第一電子証明書については、個人認証装置30に対して個人失効判定プロセスを実行する。個人失効判定プロセスは、ステップS2112~S2114に記載の処理と同様の処理であるため、説明を省略する。
【0165】
サービス管理装置50は、失効判定結果が失効を示す場合、これ以上処理を進行させずに処理を終了する。この場合、サービス管理装置50は、通信装置20に対してエラーを通知してもよい。一方、失効判定結果が失効を示していない場合、サービス管理装置50は、運転条件要求を通信装置20に送信する(ステップS2506)。運転条件要求は、車両の運転に関する条件を示す情報の要求である。運転に関する条件は、例えば車両60に関する情報(車種や大きさなど)、運転の場所に関する情報、運転の時期を示す情報(例えば、利用開始日時と、利用終了日時と、を示す情報)を含む。運転に関する条件は、その他の条件をさらに有してもよい。
【0166】
通信装置20は、運転条件要求を受信すると、車両の運転に関する条件を入力することを運転希望者に対して促すための出力を行う。例えば、通信装置20は、条件を入力するための画面を出力部24に表示する。運転希望者は、入力部23を操作することによって、運転の条件を通信装置20に入力する(ステップS2507)。通信装置20は、入力された運転の条件を示す運転条件応答をサービス管理装置50へ送信する(ステップS2508)。
【0167】
サービス管理装置50は、運転条件応答を受信すると、記憶部52に登録されている提供申請情報521のうち、受信された運転条件を満たす提供申請情報521を検索する。そして、サービス管理装置50は、運転条件を満たす提供申請情報521の中から一つの提供申請情報521を選択し、選択された提供申請情報521に対応する車両を運転予定車両として決定する(ステップS2509)。サービス管理装置50は、選択された提供申請情報521と、運転希望者に関する情報と、に基づいて利用申請情報522を生成し、記憶部52に登録する。そして、サービス管理装置50は、決定した運転予定車両を示す情報を通信装置20に通知する(ステップS2510)。通信装置20は、運転予定車両の情報通知を受信すると、運転予定車両を示す情報を、出力部24を介して出力する。例えば、通信装置20は、利用申請情報522の一部又は全てを示す画面を出力部24に表示する(ステップS2511)。
【0168】
サービス管理装置50は、利用申請情報522に基づいて利用許可証を生成する(ステップS2512)。サービス管理装置50は、生成された利用許可証に対しデジタル署名を行う(ステップS2513)。サービス管理装置50は、署名付き利用許可証を、利用許可証の対象となっている車両60に送信する(ステップS2514)。その後、受信された署名付き利用許可証について、サービス管理装置50の公開鍵とデジタル署名とを用いて改ざんされていないかが判定される(ステップS2515)。上述したように、この判定処理は、車両60において行われてもよいし、車両識別媒体70において行われてもよい。改ざんされている場合には、車両60は処理を停止する。一方、改ざんされていない場合には、車両60は自装置に接続されている車両識別媒体70に対して利用許可証を書き込むための動作を行う(ステップS2516)。車両識別媒体70の制御部73は、車両60による制御に応じて利用許可証を記憶部72に記録する(ステップS2517)。
【0169】
次に、
図38を用いて、既に利用申請情報522が登録されている運転希望者が車両60を利用する(運転する)際の処理の流れについて説明する。まず、運転希望者は、運転申請の際に用いられた個人識別媒体10を、提供の車両60に通信可能に接続する。車両60は、自装置に個人識別媒体10が接続されたことを検知すると、車両60に接続された車両識別媒体70から、記録されている利用許可証そのもの又は利用許可証に含まれる情報を読み出す(ステップS2601)。また、車両60は、利用者(運転希望者)の個人識別媒体10から、認証に用いられる情報(認証用情報)を読み出す(ステップS2602)。
【0170】
車両60は、利用者(運転希望者)が正当な利用者(利用許可証が発行された運転希望者)であることを示す所定の条件を満たす場合には、車両60の利用を許可することを判定する(ステップS2603)。一方、上記の所定の条件が満たされない場合には、車両60は自車両の利用を許可しないことを判定する。判定結果に応じて、車両60の主制御部651は車両60の利用を可能にする動作を行う(ステップS2604)。車両60は、操作の許可がなされると、運転希望者による利用が終了するまで運転希望者による車両60の操作の履歴を記録する(ステップS2605)。車両60は、運転希望者による利用が終了すると、それまでの間に記録された操作の履歴をサービス管理装置50へ送信する。サービス管理装置50は、操作の履歴を受信すると、受信された履歴の情報を実績情報523として記憶部52に記録する。なお、
図38に示された処理の具体例として、
図19や
図20に示された処理が適用されてもよい。
【0171】
このように乗り継ぎ輸送に適用された制御システム100においても、カーシェアリングに適用された制御システム100と同趣旨の効果を奏することができる。また、このように乗り継ぎ輸送に適用された制御システム100は、カーシェアリングに適用された制御システム100と同趣旨の変形がなされてもよい。この場合、
図15に示される存在判定プロセス(ステップS409)は、
図35に示される存在判定プロセス(ステップS2409)に相当する。また、ステップS115における利用会員情報登録を実行する条件や、ステップS512における利用許可証生成の条件は、それぞれステップS2115における運転会員情報登録を実行する条件や、ステップS2512における利用許可証生成の条件に相当する。
以上、この発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
【産業上の利用可能性】
【0172】
本発明は、車両の利用の制御技術に適用可能である。
【符号の説明】
【0173】
100…制御システム, 10…個人識別媒体, 121…第一電子証明書, 122…第一秘密鍵, 123…第二電子証明書, 124…第二秘密鍵, 131…通信制御部, 132…暗号化部, 20…通信装置, 300…個人認証局, 30…個人認証装置, 321…個人電子証明書情報, 322…失効情報, 331…証明制御部, 332…失効判定部, 400…車両認証局, 40…車両認証装置, 421…車両電子証明書情報, 422…失効情報, 431…証明制御部, 432…失効判定部, 50…サービス管理装置, 521…提供申請情報, 522…利用申請情報, 523…実績情報, 524…鍵情報, 531…情報取得部, 532…決定部, 533…利用許可証生成部, 534…実績管理部, 60…車両, 70…車両識別媒体, 721…車両識別情報, 722…車両属性情報, 723…所有者情報, 724…車両電子証明書, 725…車両秘密鍵, 726…利用許可証情報, 727…サービスAP, 728…サービス秘密鍵