特許ウォッチ

公開番号2024076233
公報種別公開特許公報(A)
公開日2024-06-05
出願番号2022187708
出願日2022-11-24
発明の名称電子鍵システム
出願人株式会社エヌティーアイ
代理人個人
主分類E05B 49/00 20060101AFI20240529BHJP(錠;鍵;窓または戸の付属品;金庫)
要約【課題】リレーアタックに強い耐性を持つ電子鍵システムを提供する。
【解決手段】電子鍵システムは、自動車と鍵装置との組合せにより構成される。自動車の外空間にいるユーザは、鍵装置のスイッチを押し、鍵装置で生成したOTP1を鍵装置から自動車に送る(S2001～S2003)。自動車は、受取ったOTP1が自動車で生成したOTP1と一致し、且つ自動車の外空間から送られてきたものである場合に錠データを生成し、錠を開錠する(S1001～S1005)。自動車の内空間に入ったユーザは、鍵装置のスイッチを押し、鍵装置で生成したOTP2を鍵装置から自動車に送る(S2004～S2006)。自動車は、受取ったOTP2が自動車で生成したOTP2と一致し、且つ自動車の内空間から送られてきたものである場合にイグニッションデータを生成し、イグニッションスイッチをON状態にする(S1006～S1010)。
【選択図】図6
特許請求の範囲【請求項１】
その両側で内側の空間である内空間と外側の空間である外空間とを区切るものであり、開閉自在とされた扉、
前記扉を開けられないロック状態と、開けられるアンロック状態を任意に選択可能な錠、
無線で所定のデータを受付ける受信部、
情報処理を実行する情報処理装置、
を含む対象物と、
前記対象物と組合せて用いられる、ワンタイムパスワードを生成する鍵装置ワンタイムパスワード生成部、
前記鍵装置ワンタイムパスワード生成部が生成したワンタイムパスワードを無線で送信する送信部、
を備えた鍵装置と、
からなる電子鍵システムであって、
前記対象物の前記情報処理装置は、
前記鍵装置ワンタイムパスワード生成部が生成するのと同じワンタイムパスワードを生成する対象物ワンタイムパスワード生成部と、
前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードが、前記外空間に位置する前記鍵装置から送信されたのか、前記内空間に位置する前記鍵装置から送信されたのかを判定する内外判定部と、
前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致したか否かを判定する認証判定部と、
前記錠のロック状態とアンロック状態とを変化させるとともに、前記錠以外の所定の装置のＯＮ・ＯＦＦを切換える駆動部と、
を備えて構成されており、
前記駆動部は、前記内外判定部によって前記外空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合に前記錠を前記ロック状態から前記アンロック状態へと変化させるようになっているとともに、その後、前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合に前記所定の装置のＯＮ・ＯＦＦを切換えるようになっている、
電子鍵システム。
続きを表示（約 1,100 文字）【請求項２】
前記駆動部は、前記内外判定部によって前記外空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが予め決められた２以上の回数一致した場合に前記錠を前記ロック状態から前記アンロック状態へと変化させるようになっている、
請求項１記載の電子鍵システム。
【請求項３】
前記駆動部は、前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが予め決められた２以上の回数一致した場合に前記所定の装置のＯＮ・ＯＦＦを切換えるようになっている、
請求項１記載の電子鍵システム。
【請求項４】
前記対象物は、前記鍵装置が所定の時間間隔おきに出力する電波を捉えることにより、前記鍵装置が前記外空間に位置するか前記内空間に位置するかを検出して、前記鍵装置が存在する位置に応じた位置データを生成する位置検出装置を備えており、
前記内外判定部は、前記位置検出装置が生成した前記位置データに基づいて、前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードが、前記外空間に位置する前記鍵装置から送信されたのか、前記内空間に位置する前記鍵装置から送信されたのかを判定するようになっている、
請求項１記載の電子鍵システム。
【請求項５】
前記対象物は、乗り物である、
請求項１記載の電子鍵システム。
【請求項６】
前記所定の装置はイグニッションスイッチである、
請求項５記載の電子鍵システム。
【請求項７】
前記対象物は、不動産の部屋である、
請求項１記載の電子鍵システム。
【請求項８】
前記所定の装置は、警備装置又は前記部屋の主電源装置である、
請求項７記載の電子鍵システム。
【請求項９】
前記駆動部は、前記錠が前記ロック状態から前記アンロック状態へと変化させられた後において、前記外空間に位置する前記鍵装置から前記ワンタイムパスワードが送られてきた場合、又は前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合、少なくとも所定の時間前記錠をロック状態に保つようになっている、
請求項１記載の電子鍵システム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、電子鍵システムに関する。
続きを表示（約 7,500 文字）【背景技術】
【０００２】
例えば、扉に設けられた錠のロック状態とアンロック状態とを切換えるために、古くから鍵システムが利用されている。古典的には、鍵システムは、錠と鍵がセットとなったものであり、物理的な形状が錠に対応した鍵を錠に物理的に組合せることにより錠を開錠させることができる。
その後、電子鍵システムが提案され、広く使用されている。典型的な電子鍵システムは、鍵装置と、錠と、錠のロック状態とアンロック状態とを切換える機能を少なくとも有する情報処理装置とを含んで構成される。電子鍵システムでは、鍵装置から情報処理装置へと、無線で、鍵に相当する所定のデータを送信する。送信されたデータが正当なものであれば、情報処理装置は、錠をロック状態からアンロック状態に切換え、それにより錠が開錠されることになる。
電子鍵システムは、古典的な鍵システムで必要となっていた鍵の錠に対する物理的な組合せ（例えば、錠が持つ鍵穴への鍵の物理的な挿入）が不要であるため便利であり、その利用が益々増えている。
【発明の概要】
【発明が解決しようとする課題】
【０００３】
電子鍵システムはその利用が増えてはいるものの、改良の余地がある。
電子鍵システムは例えば、自動車の扉の錠のロック状態、アンロック状態を切換える目的に応用されている。しかしながら、自動車に応用された電子鍵システムは、よく知られているようにリレーアタックという攻撃の標的にされている。
リレーアタックというのは次のような攻撃である。自動車の扉の錠のロック状態からアンロック状態への切換えが、鍵装置から自動車に無線で送られる鍵としての所定のデータによってなされるとする。そして、鍵装置が、自動車に対して鍵としての所定のデータを送ることが不可能なほど、自動車から遠い場所に存在しているとする。
そのような場合、鍵装置から発信されるデータは、自動車に対して届かないので、鍵装置からのデータによって自動車の扉がロック状態からアンロック状態へ切換わることがない。そこに悪意の第三者が介入する。悪意の第三者は、何らかの方法で鍵装置に鍵としての所定のデータを発信させ、そのデータを入手する。そして、鍵に相当する所定のデータを増幅させ、例えば幾つかの中継装置を経由させて、鍵装置から発信された所定のデータを鍵装置から遠く離れた自動車まで到達させる。鍵に相当する所定のデータを受取った自動車は、そのデータに基づいて、錠をロック状態からアンロック状態に変化させる。それにより、悪意の第三者は自動車に乗り込むことができる。
リレーアタックが厄介なのは、自動車が中継装置を経て鍵装置から受取るデータは元々、鍵装置が生成した正規のデータであるから、そのデータを受取った自動車から見た場合にそのデータの送信に不正があったか否かを見分けることが不可能であるという点にある。悪意の第三者は、鍵装置から自動車に送られるデータを丸々盗み取りそれを増幅して転送するだけであるから、送信されたデータの内容を把握する必要がないし、データに暗号化の処理が施されていた場合において暗号化の処理を破る必要もない。つまり、このリレーアタックは、鍵装置から自動車に送られるデータの生成方法を如何に秘匿したりしても、また、そのデータに施す暗号化の処理を如何に高度なものとしたりしても防御することができないという点で極めて厄介なものであるといえる。
【０００４】
上述の例では、悪意の第三者は、自動車の扉の錠をアンロック状態からロック状態にし、自動車に乗り込むことには成功したが、イグニッションスイッチをＯＮにすることまでは成功していない。しかしながら、イグニッションスイッチをＯＮにするための不正な技術には、例えば、イモビカッターが存在する。
また、例えば、イグニッションスイッチを正当にＯＮにするために、鍵装置からもう一度所定のデータを自動車に送信することが予定されているのであれば、悪意の第三者は、上述したリレーアタックをもう一度繰り返すことによりイグニッションスイッチをＯＮにすることができる。
自動車に乗り込んだ悪意の第三者が何らかの方法によりイグニッションスイッチをＯＮにすることができれば、自動車が盗まれることはもはや不可避である。
もちろん、リレーアタックは、電子鍵システムが自動車に応用されている場合のみならず、電子鍵システムが自動車以外の乗り物や、或いは不動産の扉に応用されている場合にも適用可能である。
【０００５】
本願発明は、リレーアタックの如き悪意の第三者からの攻撃に強い電子鍵システムを提供することをその課題とする。
【課題を解決するための手段】
【０００６】
以上の課題を解決するために本願発明者は以下の発明を提案する。
本願発明は、その両側で内側の空間である内空間と外側の空間である外空間とを区切るものであり、開閉自在とされた扉、前記扉を開けられないロック状態と、開けられるアンロック状態を任意に選択可能な錠、無線で所定のデータを受付ける受信部、情報処理を実行する情報処理装置、を含む対象物と、前記対象物と組合せて用いられる、ワンタイムパスワードを生成する鍵装置ワンタイムパスワード生成部、前記鍵装置ワンタイムパスワード生成部が生成したワンタイムパスワードを無線で送信する送信部、を備えた鍵装置と、からなる電子鍵システムである。
対象物は、錠が取付けられることによりロック状態とアンロック状態とを選択可能とされる扉を備えた「物」である。対象物の例は、自動車その他の乗り物であり、或いは扉によって仕切られる不動産の部屋である。扉は、内空間と外空間とを分ける。つまり、対象物の内側には内空間があり、扉の外には外空間が広がる。「内」、「外」の概念は、社会通念にしたがって判断すれば良い。例えば、対象物が自動車や部屋である場合、室内が「内」で室外が「外」である。
前記対象物の前記情報処理装置は、前記鍵装置ワンタイムパスワード生成部が生成するのと同じワンタイムパスワードを生成する対象物ワンタイムパスワード生成部と、前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードが、前記外空間に位置する前記鍵装置から送信されたのか、前記内空間に位置する前記鍵装置から送信されたのかを判定する内外判定部と、前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致したか否かを判定する認証判定部と、前記錠のロック状態とアンロック状態とを変化させるとともに、前記錠以外の所定の装置のＯＮ・ＯＦＦを切換える駆動部と、を備えて構成されている。
そして、前記駆動部は、前記内外判定部によって前記外空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合に前記錠を前記ロック状態から前記アンロック状態へと変化させるようになっているとともに、その後、前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合に前記所定の装置のＯＮ・ＯＦＦを切換えるようになっている。
【０００７】
この電子鍵システムにおける鍵装置は、ワンタイムパスワードを生成する鍵装置ワンタイムパスワード生成部と、鍵装置ワンタイムパスワード生成部が生成したワンタイムパスワードを無線で送信する送信部とを備えている。鍵装置は、鍵装置ワンタイムパスワード生成部が生成したワンタイムパスワードを、無線で、対象物に送信するようになっている。ワンタイムパスワードは、その時限りの使い捨てのデータである。ワンタイムパスワードは、例えば、文字、数字、記号の一つ或いはそれらのうちの２つ以上の組合せの羅列である。ワンタイムパスワードは、事実上の鍵として鍵装置から対象物に無線で送られる。対象物は、その受信部でワンタイムパスワードを受取る。
対して、対象物は、情報処理装置を備えている。情報処理装置は、情報処理を実行する機能を有しており、コンピュータにより、或いはコンピュータを含んで構成されている。
対象物の情報処理装置は、鍵装置ワンタイムパスワード生成部が生成するのと同じワンタイムパスワードを生成する対象物ワンタイムパスワード生成部を備えている。つまり、鍵装置と対象物とは、互いに独立した状態で同じワンタイムパスワードを生成することができるようになっている。離れた場所で同じワンタイムパスワードを生成するための技術は公知或いは周知であり、例えば、インターネットバンキングなどの技術分野で既に広く実用化されている。そのような技術を応用すれば、離れた場所で同じワンタイムパスワードを生成することは可能であり、更にいえば容易でもある。離れた場所で同じワンタイムパスワードを生成するための技術としては、過去に発生させた解（ワンタイムパスワード）の数（或いは発生させられた解の順番（その解が幾つ目の解かということ））に基づき解を同期させる方法（いわゆるイベント同期）や、現在の日時にもとづき解を同期させる方法（いわゆる時刻同期）が知られているが、いずれを採用しても構わない。
情報処理装置は、また、受信部を介して鍵装置から受取ったワンタイムパスワードが、外空間に位置する鍵装置から送信されたのか、内空間に位置する鍵装置から送信されたのかを判定する内外判定部を備えている。内外判定部の機能によって、情報処理装置は、鍵装置から受取ったワンタイムパスワードが、内空間から送られてきたのか外空間から送られてきたのかを把握することができるようになる。
情報処理装置は、また、鍵装置から受取ったワンタイムパスワードと、対象物ワンタイムパスワード生成部が生成したワンタイムパスワードとが一致したか否かを判定する認証判定部を備えている。認証判定部によって、鍵装置から受取ったワンタイムパスワードの正当性を検証することが可能となる。もちろん、対象物ワンタイムパスワード生成部が生成したワンタイムパスワードと一致したのであれば、鍵装置から受取ったワンタイムパスワードが正当なものであるということになる。
情報処理装置は、また、対象物が備える錠のロック状態とアンロック状態とを変化させる機能と、錠以外の所定の装置のＯＮ・ＯＦＦを切換える機能とを有する駆動部を備えている。駆動部によって、錠のロック状態とアンロック状態とが切換えられる。例えば、錠がロック状態からアンロック状態へ切り換われば、扉は開けられる状態になる。駆動部が制御する錠以外の所定の装置は、対象物の種類によって異なる。例えば、対象物が自動車その他の乗り物である場合には、錠以外の所定の装置は、イグニッションスイッチであり得る。例えば、対象物が不動産の部屋である場合には、錠以外の所定の装置は、警備装置又は部屋の主電源装置であり得る。
そして、対象物の情報処理装置における駆動部は、内外判定部によって外空間に位置する鍵装置から送信されたと判定された鍵装置からのワンタイムパスワードと、対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合に錠をロック状態からアンロック状態へと変化させるようになっている。つまり、駆動部は、扉の外側に位置する鍵装置から送られてきたワンタイムパスワードが正当なものであると認定されたのであれば、錠をロック状態からアンロック状態へと変化させることにより、扉を開けられる状態にする。加えて、駆動部は、錠がロック状態からアンロック状態へと変化させられた後に、内外判定部によって内空間に位置する鍵装置から送信されたと判定された鍵装置からのワンタイムパスワードと、対象物ワンタイムパスワード生成部が生成したワンタイムパスワードとが一致した場合に所定の装置のＯＮ・ＯＦＦを切換えるようになっている。つまり、駆動部は、扉の内側に位置する鍵装置から送られてきたワンタイムパスワードが正当なものであると認定されたのであれば、所定の装置のＯＮ・ＯＦＦを切換える。例えば、所定の装置のＯＮ・ＯＦＦが、ユーザがその対象物を利用するために必須のものか少なくともストレス無く利用するために必須のものであれば、駆動部が実行する所定の装置のＯＮ・ＯＦＦの切換えによって扉を介して内空間に入ったユーザは対象物を例えばストレス無く利用できる状態となる。
本願発明によれば、鍵装置から対象物に送られるワンタイムパスワードの正当性の検証は、扉の外側の外空間から送られたワンタイムパスワードと、扉の内側の内空間から送られたワンタイムパスワードとを用いて少なくとも２回行われる。鍵としてのデータであるワンタイムパスワードは、鍵装置から対象物に送信される度に変化するデータであるから、ワンタイムパスワードを複数回送信することによって行われる認証は、複数のワンタイムパスワードの送信順も正確であることが要求されるから、第三者の悪用を許す可能性が小さい。加えて、本願発明では、対象物の錠が開錠された後における所定の装置のＯＮ・ＯＦＦ切換えを目的としたワンタイムパスワードの送信が内空間からの送信であることが要求されるため、リレーアタックのような外空間からのワンタイムパスワードの送信では所定の装置のＯＮ・ＯＦＦの切換えが適切になされることがない。これは例えば、対象物が自動車であり所定の装置がイグニッションスイッチである場合には、悪意の第三者は自動車の扉を開けることができても、イグニッションスイッチをＯＮにすることができないということを意味する。
それ故、本願発明によれば、第三者が電子鍵システムに対して不正を行うことを効果的に抑制できるようになる。
【０００８】
上述したように、本願の電子鍵システムでは、鍵装置から対象物に送られるワンタイムパスワードの正当性の検証は、扉の外側の外空間から送られたワンタイムパスワードと、扉の内側の内空間から送られたワンタイムパスワードとを用いて少なくとも２回行われる。
ここで、前記駆動部は、前記内外判定部によって前記外空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが予め決められた２以上の回数一致した場合に前記錠を前記ロック状態から前記アンロック状態へと変化させるようになっていてもよい。この場合、扉の外側の外空間から送られたワンタイムパスワードの検証が複数回行われ、複数回の検証がすべて成功した場合にのみ、錠がロック状態からアンロック状態へと変化する。
ここで、前記駆動部は、前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが予め決められた２以上の回数一致した場合に前記所定の装置のＯＮ・ＯＦＦを切換えるようになっていてもよい。この場合、扉の内側の内空間から送られたワンタイムパスワードの検証が複数回行われ、複数回の検証がすべて成功した場合にのみ、所定の装置のＯＮ・ＯＦＦ状態が切り換わる。
【０００９】
上述したように内外判定部は、受信部を介して鍵装置から受取ったワンタイムパスワードが、外空間に位置する鍵装置から送信されたのか、内空間に位置する鍵装置から送信されたのかを判定する。かかる判定はどのように行われても構わない。その判定は、例えば以下のようにして行われても良い。
例えば、前記対象物は、前記鍵装置が所定の時間間隔おきに出力する電波を捉えることにより、前記鍵装置が前記外空間に位置するか前記内空間に位置するかを検出して、前記鍵装置が存在する位置に応じた位置データを生成する位置検出装置を備えており、前記内外判定部は、前記位置検出装置が生成した前記位置データに基づいて、前記受信部を介して前記鍵装置から受取った前記ワンタイムパスワードが、前記外空間に位置する前記鍵装置から送信されたのか、前記内空間に位置する前記鍵装置から送信されたのかを判定するようになっていてもよい。
或いは、対象物は、人感センサを備えており、人感センサによって内空間に人がいることが検知されているときに鍵装置からワンタイムパスワードを受取った場合には、当該ワンタイムパスワードが内空間から送られてきたと内外判定部が判定するようにすることもできる。
或いは、対象物の内空間には、鍵装置を丁度嵌め込むことのできる凹部を有するとともに、凹部に鍵装置が嵌め込まれているか否かを検出することのできるベースが配されており、ベースの凹部に鍵装置が嵌め込まれていることを検出している状態で鍵装置からワンタイムパスワードを受取った場合には、当該ワンタイムパスワードが内空間から送られてきたと内外判定部が判定するようにすることもできる。
【００１０】
前記駆動部は、前記錠が前記ロック状態から前記アンロック状態へと変化させられた後において、前記外空間に位置する前記鍵装置から前記ワンタイムパスワードが送られてきた場合、又は前記内外判定部によって前記内空間に位置する前記鍵装置から送信されたと判定された前記鍵装置からの前記ワンタイムパスワードと、前記対象物ワンタイムパスワード生成部が生成した前記ワンタイムパスワードとが一致した場合、少なくとも所定の時間前記錠をロック状態に保つようになっていてもよい。
【図面の簡単な説明】
（【００１１】以降は省略されています）

関連特許