知財求人 - 知財ポータルサイト「IP Force」
▶ テキサス インスツルメンツ インコーポレイテッドの特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-09-05
(45)【発行日】2023-09-13
(54)【発明の名称】一方向のキーフォブ及び車両ペアリング認証、保持、及び無効化
(51)【国際特許分類】
G09C 1/00 20060101AFI20230906BHJP
G06F 21/44 20130101ALI20230906BHJP
【FI】
G09C1/00 660F
G06F21/44
【請求項の数】
5
(21)【出願番号】P 2019200474
(22)【出願日】2019-11-05
(62)【分割の表示】P 2018110814の分割
【原出願日】2013-08-30
(65)【公開番号】P2020030425
(43)【公開日】2020-02-27
【審査請求日】2019-11-06
【審判番号】
【審判請求日】2022-07-25
(31)【優先権主張番号】61/695,155
(32)【優先日】2012-08-30
(33)【優先権主張国・地域又は機関】US
(31)【優先権主張番号】13/969,133
(32)【優先日】2013-08-16
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】507107291
【氏名又は名称】テキサス インスツルメンツ インコーポレイテッド
(74)【代理人】
【識別番号】230129078
【弁護士】
【氏名又は名称】佐藤 仁
(72)【発明者】
【氏名】ジンメン ホウ
【合議体】
【審判長】吉田 美彦
【審判官】林 毅
【審判官】中村 信也
(56)【参考文献】
【文献】特開2008-193575(JP,A)
【文献】特開2010-179834(JP,A)
【文献】特開2002-47888(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G09C1/00
G06F21/44
(57)【特許請求の範囲】
【請求項1】
システムであって、メッセージを送信する第1のデバイスであって、
第1のカウンタ値と第1の動作鍵とをストアする第1のメモリであって、前記第1のカウンタ値が第1の複数のビットであって前記メッセージが送信される毎に1つインクリメントされる、前記第1のメモリと、
暗号化された第1のカウンタ値を生成するために前記第1のデバイスに関連付けられる前記第1の動作鍵を用いて前記第1のカウンタ値を暗号化する第1のプロセッサであって、前記暗号化された第1のカウンタ値が前記第1の複数のビットのみを暗号化することによって生成される第2の複数のビットである、前記第1のプロセッサと、
前記暗号化された第1のカウンタ値の所定のビットと、暗号化されていない前記第1のカウンタ値の選ばれた複数の下位ビットと、コマンドを示すコマンドデータフィールドとを含む前記メッセージを送信するトランスミッタであって、前記暗号化されていない前記第1のカウンタ値の選ばれた複数の下位ビットが前記第1の複数のビットの全てよりも少ない、前記トランスミッタと、
を含む、前記第1のデバイスと、
前記メッセージを受信する第2のデバイスであって、
前記第1のデバイスにより送信される前記メッセージを受信するレシーバと、
1つ又はそれ以上の動作鍵と第2のカウンタ値とをストアする第2のメモリであって、前記ストアされた1つ又はそれ以上の動作鍵が少なくとも前記第1の動作鍵を含み、前記第2のカウンタ値が第3の複数のビットであって受信された前記メッセージに基づいてインクリメントされる、前記第2のメモリと、
受信された前記第1のカウンタ値の複数の下位ビットに基づいて前記第2のカウンタ値の対応する複数の下位ビットを更新し、前記受信された複数の下位ビットの値が前記対応する複数の下位ビットの値よりも大きくないときに前記対応する複数の下位ビット以外の前記第3の複数のビットのビットにより示される値を1つインクリメントし、前記第1の動作鍵を用いて前記更新された第2のカウンタ値を暗号化し、前記暗号化された第1のカウンタ値の前記所定のビットを前記暗号化された第2のカウンタ値の対応するビットと比較する第2のプロセッサであって、前記第2のデバイスに、前記暗号化された第1のカウンタ値の前記所定のビットが前記暗号化された第2のカウンタ値の前記対応するビットと合致するときに前記コマンドデータフィールドによって示される前記コマンドを実行させる、前記第2のプロセッサと、
を含む、前記第2のデバイスと、
を含む、システム。
【請求項2】
請求項1に記載のシステムであって、前記コマンドが無効化コマンドであり、
前記第2のプロセッサが前記無効化コマンドに応答して前記第2のデバイスに無効化プロセスを行わせるときに、
前記第2のデバイスが、
前記無効化プロセスの間に前記第2のデバイスにより受信されるメッセージに関連付けられる前記1つ又はそれ以上の動作鍵の少なくともどれかに基づいて、前記第2のメモリに保持するための前記第2のメモリにストアされた前記1つ又はそれ以上の動作鍵のどれかを選択し、
前記第2のメモリに前記選択された動作鍵を保持し、
前記第2のメモリから選択されていない動作鍵を削除する、システム。
【請求項3】
請求項2に記載のシステムであって、前記第2のデバイスが、前記無効化プロセスを実行する前に前記レシーバにより受信された最後のメッセージに関連付けられる前記動作鍵を付加的に選択する、システム。
【請求項4】
請求項2に記載のシステムであって、メッセージを送信する第3のデバイスを更に含み、
前記選択されていない動作鍵が前記第3のデバイスに関連付けられる第2の動作鍵を含み、
前記無効化プロセスの後に前記第2のデバイスが前記第3のデバイスにより送信される前記メッセージにおけるコマンドに応答しない、システム。
【請求項5】
請求項4に記載のシステムであって、前記第1及び第3のデバイスがキーフォブデバイスであり、前記第2のデバイスが車両制御ユニットデバイスである、システム。
【発明の詳細な説明】
【技術分野】
【0001】
本願は、概して、セキュリティに向けられ、更に具体的には、キーフォブ車両動作鍵の認証、保持、及び無効化のための方法に向けられる。
【背景技術】
【0002】
キーフォブは、車両ドアの開/閉及びロック/ロック解除などの周知のアクションを行うために、車両制御ユニットなどの制御ユニットとペアリングされ得る。キーフォブは、送信のみが可能であり得、これは、双方向通信ができないことに起因してキーフォブにより送られるコマンドを認証するために制御ユニットから送られるチャレンジメッセージを介して利用可能な承認プロセスを制限する。制御ユニットは、受け取ったコマンドの正当性を認証すること、及び、有効キーフォブからの以前の伝送の再生を含み、承認されていないコマンドをリジェクトすることが可能である必要がある。
【0003】
時折、キーフォブが失われることがあり、又はキーフォブの持ち主が制御ユニットにアクセスすることが承認されなくなる可能性がある。この状況において、どのキーフォブがまだ有効であり、どれが無視されるべきかを、制御ユニットに識別させるプロセスがあるはずである。
【発明の概要】
【0004】
説明される実施例は、制御ユニット認証、保持、及び無効化に対するキーフォブのための方法を提供する。初期ペアリングの後、キーフォブと車両制御ユニットは、秘密の動作鍵(OpKey)を共有する。認証では、キーフォブは識別子を送り、識別子は128ビットカウンタの8最下位(lowest-order)ビット、及び制御ユニットに対するカウンタのAES‐128、OpKey暗号化された値の幾つかのビットであり得る。
【0005】
1つ又は複数のキーフォブが車両制御ユニットなどの制御ユニットとペアリングされた後、各キーフォブは、制御ユニットと秘密裏に共有されるそれ自体のOpKeyを有する。キーフォブは、制御ユニットが車両ドアのロック解除/ロック又は開/閉などの所定のアクションをとるため、共有されたOpKeyの所有を制御ユニットに認証する必要がある。本発明は、送信可能であるが受信不能のキーフォブを介する場合でもこの問題を解決する。また、本明細書に記載される実施例は、第三者が、以前に送信されたメッセージを再生することにより真正のキーフォブに成りすますことを防止する。また、キーフォブがなくなった後、そのOpKeyが無効化され得る一方、残りの又は新たなキーフォブのOpKeyが保持され得る。
【0006】
OpKey無効化及び保持では、残りの又は新たなキーフォブが、認証メッセージを制御ユニットに送るように真正の制御ユニットユーザーによりプロンプトされる。制御ユニットはその後、OpKey保持及び無効化モードに入るようにプロンプトされる。続いて、残りの又は新たなキーフォブの各々が、認証メッセージを制御ユニットに送るようにユーザーによりプロンプトされる。制御ユニットは最終的に、OpKey保持及び無効化モードを出るようにプロンプトされ、それぞれ、OpKey保持及び無効化モードに入る直前及びその間に制御ユニットが有効認証メッセージを受け取ったキーフォブのOpKeyのみを保持する。
【0007】
このように本発明を一般的な用語で説明したので、ここで添付の図面を参照する。
【図面の簡単な説明】
【0008】
【図1】キーフォブ及び制御ユニットの通常オペレーションを図示する。
【0009】
【図2】一実施例においてキーフォブをディアクティベートするために用いることができる、キーフォブ保持及び無効化プロセスを図示する。
【0010】
【図3】一実施例に従ったOpKey認証を用いるキーフォブ及び制御ユニットの通常オペレーションを図示するフローチャートである。
【0011】
【図4】OpKeyの保持及び無効化のためのプロセスを図示するフローチャートである。
【0012】
【図5】一実施例に従った例示のキーフォブのブロック図である。
【0013】
【図6】一実施例に従った例示の制御ユニットのブロック図である。
【発明を実施するための形態】
【0014】
これ以降では、添付の図面を参照して本発明をより詳細に説明する。しかし、本発明は、多くの異なる形式において具現化され得、本明細書に記載の実施例に限定されると理解すべきではない。そうではなく、これらの実施例は、本開示が、行き届き、包括的であるように、そして、本発明の範囲が当業者に完全に理解されるように提供される。当業者であれば、本発明の種々の実施例を用いることが可能であり得る。
【0015】
実施例は、送信可能であるが受信不能であるキーフォブに、秘密のOpKeyのその所有を車両制御ユニットに認証させ得、一方で、第三者が、認証のためにキーフォブにより制御ユニットへ以前送られたメッセージを再生することによって真正のキーフォブに成りすますことを防止する。また、本発明により、真正の車両ユーザーは、失われた又は期限満了したキーフォブのOpKeyを無効化し得るが、各残りの有効キーフォブのOpKeyを保持し得る。
【0016】
図1は、キーフォブ101及び制御ユニット102の通常オペレーションを図示する。初期ペアリングの後、キーフォブ101及び制御ユニット102は、秘密のOpKeyを共有する。例えば、キーフォブ101及び制御ユニット102は、2013年8月16日出願の同時係属中の米国特許出願、出願番号第13/969,154号、発明の名称「一方向キーフォブ及び車両ペアリング」に開示されたシステム及び方法を用いてペアリングされ得、当該出願の開示は、全体として参照のためこの出願に組み込まれている。
【文献】米国特許出願番号第13/969,154号
【0017】
キーフォブ101及び制御ユニット102双方の間で共有されるOpKeyに加えて、いずれのデバイスも128ビットカウンタ103、104を有する。他の実施例において、異なるサイズのカウンタが用いられ得る。通常オペレーションにおいて、キーフォブ101は、カウンタ103のAES‐128、OpKey暗号化された値をつくる。キーフォブ101はその後、128ビットカウンタ103の8最下位ビット、及びカウンタ103のAES‐128、OpKey暗号化された値の幾つかの所定のビットを制御ユニット102に送信する(105)。キーフォブは、各伝送の後そのカウンタ値を1増分し、1などの初期カウンタ値から開始する。メッセージ105自体の送信は、車両ドアのロック解除/ロックなど、キーフォブ101からのコマンドを表し得る。代替として、個別のコマンドデータフィールドが、キーフォブ101からの所望のコマンドを識別するためメッセージ105に含まれ得る。
【0018】
メッセージ105を受信すると、制御ユニット102は、128ビットカウンタ104の8最下位ビットを設定するためキーフォブ101から受け取った8カウンタビットを用い、受け取った8ビットの値がカウンタ104の8最下位ビットの値より大きくない場合、カウンタ104の残りのビットの値を1増分する。また、制御ユニット102は、カウンタ104のAES‐128、OpKey暗号化された値をつくる。制御ユニット102はその後、カウンタ104のそのOpKey暗号化された値からの所定のビットを、カウンタ103のOpKey暗号化された値を表すビットと比較する。制御ユニット102は、これらのビットが合致する場合、メッセージ105を及びそのためOpKeyを認証する。
【0019】
認証が失敗した場合、制御ユニット102は、カウンタ104をその変化の前の値に回復させる。
【0020】
承認されていない又は偽のキーフォブ106が、ペアリングされることなくメッセージ107を制御ユニット102に送ろうと試みる場合、制御ユニット102はそのメッセージ107をリジェクトする。偽のキーフォブ106は、制御ユニット102のための有効OpKeyを有さない。また、偽のキーフォブ106は、有効メッセージのために用いる制御ユニット102のための適切なカウンタ値を知らない。
【0021】
図2は、一実施例においてキーフォブをディアクティベートするために用いることができるキーフォブ保持及び無効化プロセスを図示する。この例では、3つのキーフォブ201~203が同じ制御ユニット204とペアリングされる。各ペアリングされたキーフォブ201~203は、制御ユニット204と共有される固有の秘密のOpKey(OpKey1、OpKey2、OpKey3)を有する。また、各キーフォブ201~203は、それ自体のカウンタ205~207を有する。制御ユニット204は、各キーフォブ201~203に対し個別のカウンタ208~210を維持する。
【0022】
キーフォブ203が失われたとき又は無効化される必要があるとき、ユーザーが下記工程を行い得る。第1に、ユーザーは、OpKey無効化モードに入るように制御ユニット204をプロンプトする。OpKey無効化モードは、残りのキーフォブ201、202からのメッセージにより、又は/及び制御ユニット204への何らかの他の入力により、トリガされ得る。
【0023】
制御ユニット204がOpKey無効化モードにある一方で、ユーザーは、各残りのキーフォブ201、202が制御ユニット204と通常オペレーションを行うようにプロンプトする。例えば、各キーフォブ201、202は、そのOpKeyから導出されるメッセージ105(図1)などのメッセージを制御ユニット204に送る。各残りのキーフォブ201、202がそのメッセージを送ったか又は制御ユニット204とオペレーションを行った後、ユーザーは、OpKey保持モードを出るように制御ユニットをプロンプトする。キーフォブ203は、失われたか又はもはや承認されないため、無効化モードの間メッセージを送らない。
【0024】
制御ユニット204は、無効化モードを出る前に受け取ったOpKeyのみを保持する。一実施例において、制御ユニット204は、無効化モードに入る前に受け取った最後のOpKey、及び無効化モードの間受け取った全てのOpKeyを保持する。他の実施例において、制御ユニット204は、無効化モードの間受け取ったOpKeyのみを保持する。全ての他のOpKey(例えば、OpKey3)は制御ユニット204により削除される。これにより、失くした又は承認されていないキーフォブが、無効化手順の後制御ユニット204と動作しないようにされる。
【0025】
図3は、OpKey認証を用いるキーフォブ及び制御ユニットの通常オペレーションのためのプロセスを図示するフローチャートである。ステップ301において、キーフォブは、128ビットカウンタの8最下位ビットを読む。ステップ302において、キーフォブは、キーフォブカウンタのAES‐128、OpKey暗号化された値を生成する。ステップ303において、キーフォブカウンタの8最下位ビット及びAES‐128、OpKey暗号化された値からの幾つかの選択されたビットが制御ユニットに送られる。この情報は、キーフォブによる特定のコマンド又はリクエストに関連付けられ得る。
【0026】
ステップ304において、制御ユニットは、キーフォブから受け取った8最下位ビットに基づいて制御ユニットカウンタを更新する。一実施例に従って、この更新は、制御ユニットカウンタの8最下位ビットを、キーフォブカウンタの受け取った8最下位ビットに設定することにより、及び、キーフォブカウンタの受け取ったビットの値が制御ユニットカウンタの対応するビットの値より大きくない場合に制御ユニットカウンタの残りのビットの値を1増分することにより成される。ステップ305において、制御ユニットは、更新された制御ユニットカウンタのAES‐128、OpKey暗号化された値を生成する。制御ユニットは、制御ユニットカウンタのAES‐128、OpKey暗号化された値の選択されたビットを、キーフォブから受け取ったキーフォブカウンタのAES‐128、OpKey暗号化された値の選択されたビットと比較する。
【0027】
選択されたビットが合致する場合、これは、両方のデバイスが同じOpKey及びカウンタ値を用いたことを示しており、制御ユニットは、キーフォブからのコマンド又はリクエストを認証する。
【0028】
図4は、OpKeyの保持及び無効化のためのプロセスを図示するフローチャートである。ステップ401において、残りの(即ち、失われていない)又は新たなキーフォブが通常オペレーションを完了した直後、ユーザーは、OpKey無効化モードに入るように制御ユニットをプロンプトする。ユーザーはその後、制御ユニットと通常オペレーションを行うように各残りの又は許可されたキーフォブをプロンプトする。通常オペレーションは、図1及び図3に図示するような送信、又はキーフォブにOpKey暗号化された値を制御ユニットに送らせ得る任意のオペレーションに関与し得る。
【0029】
ステップ403において、ユーザーは、残りの全ての又は許可されたキーフォブが通常オペレーションを完了した後、OpKey無効化モードを出るように制御ユニットをプロンプトする。例えば、ユーザーは、無効化モードを出るように「終了」ボタンをアクティブにし得、又は無効化モードは、一連の時間期間後終了し得る。
【0030】
ステップ404において、制御ユニットは、OpKey無効化モードに入る前に動作した最後のキーフォブに関連付けられるOpKeyと、無効化モードが終了する前に用いられたキーフォブに関連付けられる任意のOpKeyとを除く全てのOpKeyを削除する。失くした又は許可されていないキーフォブは、この短い無効化モード時間期間の間動作しない可能性が高いため、失くした又は許可されていないデバイスのためのOpKeyは、制御ユニットから削除され得る。その結果、失くした及び許可されていないデバイスは、もはや制御ユニットとペアリングされず、コマンドを制御ユニットに送るためにもはや用いられ得ない。別の実施例において、無効化モードの間動作するキーフォブに関連付けられるOpKeyのみが保持され、無効化モード期間の間オペレーションを実施しない全ての他のOpKeyが削除される。
【0031】
図5及び図6は、それぞれ、例示のキーフォブ500及び制御ユニット600のブロック図である。キーフォブ400及び制御ユニット600は各々、プロセッサ501、601、メモリ502、602、及びトランシーバ603又はトランスミッタ503を含む。デバイスのプロセッサ501、601は、カウンタを維持及び更新すること、OpKey暗号化された値を生成すること、及び、ペアリングされたデバイスからのOpKeyのみが用いられることを認証するためにこのような値を比較することなどの、通常オペレーションを行うために用いられ得る。これらのプロセッサは、標準的なCPU、マイクロコントローラ、低電力デジタルシグナルプロセッサなどであり得、短時間に複雑な演算を実行することが可能であり得る。
【0032】
デバイスのメモリ502、602は、OpKey、カウンタ値、暗号化された値、及び、キーフォブと制御ユニットとの間で交換される他のビットをストアするために用いられ得る。メモリは、フラッシュメモリ又はEEPROMなどの不揮発性ストレージデバイスであり得る。
【0033】
キーフォブトランスミッタ503及び制御ユニットトランシーバ603は、有線(図示せず)、ワイヤレス、又はその両方が可能であり得る。トランシーバ及びトランスミッタは、カウンタ値、OpKey暗号化されたデータ、及び、通常オペレーションの間及び無効化モードの間の他のビットを通信するためにデバイスにより用いられ得る。キーフォブにより、車両の又は他のデバイスの遠隔エントリ及び制御が可能となり、それらの伝送のために、Bluetooth、LF、又はUHFなどのワイヤレス技術を用い得る。キーフォブトランスミッタ503は、制御ユニット600からの信号を送信のみ可能であり、受信はしない。
【0034】
当業者であれば、本発明の特許請求の範囲内で、説明した例示の実施例に変形が成され得ること、及び多くの他の実施例が可能であることが分かるであろう。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】