防盗方法和系统及防盗装置和动力源控制装置、运输设备.pdf

一种防盗系统，包括：用于移动体的防盗的防盗装置；控制移动体移动用的动力源的动力源控制装置；可进行数据通信地连接在所述防盗装置和所述动力源控制装置之间的通信线。防盗装置包括：使用者输入识别数据用的识别数据输入部；将所输入的识别数据经所述通信线发送到所述动力源控制装置的识别数据发送部。所述动力源控制装置具有：识别数据对照部，其执行将经所述通信线发送来的识别数据与识别源数据相对照、判断输入了所述识别数据的使用者是否为正当的使用者的对照处理；启动控制部，其以判断为输入了识别数据的使用者为正当的使用者为条件，而可以启动所述动力源。

1、  一种防盗系统，其特征在于，包括：
防盗装置，用于移动体的防盗；
动力源控制装置，控制移动体移动用的动力源；
通信线，可进行数据通信地连接在所述防盗装置和所述动力源控制装置之间，
所述防盗装置包括：
使用者输入识别数据用的识别数据输入装置；
识别数据发送装置，将由该识别数据输入装置输入的识别数据经所述通信线发送到所述动力源控制装置，
所述动力源控制装置包括：
识别数据接收装置，接收从所述识别数据发送装置经所述通信线发送来的识别数据；
识别源数据存储装置，存储与由该识别数据接收装置接收的识别数据对照用的识别源数据；
识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置所存储的识别源数据对照、判断输入了所述识别数据的使用者是否为正当的使用者的对照处理；
启动控制装置，以通过该识别数据对照装置而判断为输入了所述识别数据的使用者是正当的使用者为条件，可启动所述动力源。

2、  根据权利要求1所述的防盗系统，其特征在于，所述防盗装置进一步包括：
第一识别程序存储装置，存储有确定由所述识别数据对照装置进行的对照顺序的识别程序；
识别程序发送装置，经所述通信线将该第一识别程序存储装置中存储的识别程序发送到所述动力源控制装置，
所述动力源控制装置进一步包括：
识别程序接收装置，接收从所述识别程序发送装置经所述通信线发送来的识别程序；
第二识别程序存储装置，存储由该识别程序接收装置接收的识别程序，
所述识别数据对照装置包括程序执行装置，该程序执行装置根据所述第二识别程序存储装置中存储的识别程序，执行所述对照处理。

3、  根据权利要求2所述的防盗系统，其特征在于，所述动力源控制装置至少能够获取：禁止由所述启动控制装置进行的动力源的启动的启动锁定状态；通过所述识别数据对照装置判断输入了所述识别数据的使用者为正当使用者并可以进行由所述启动控制装置进行的所述动力源的启动的启动锁定解除状态，
所述动力源控制装置进一步包括如下的装置，其以该动力源控制装置为所述启动锁定解除状态为条件，允许向所述第二识别程序存储装置写入识别程序，当该动力源控制装置为所述启动锁定解除状态之外的状态时，禁止向所述第二识别程序存储装置写入识别程序。

4、  根据权利要求2所述的防盗系统，其特征在于，所述防盗装置进一步包括识别程序加密装置，该识别程序加密装置加密所述第一识别程序存储装置中存储的识别程序，所述识别程序发送装置将由所述识别程序加密装置加密后的识别程序经所述通信线发送到所述动力源控制装置，
所述识别程序接收装置接收所述加密后的识别程序，所述动力源控制装置进一步包括识别程序解码装置，该识别程序解码装置解密所述加密后的识别程序而进行解码，所述第二识别程序存储装置存储由所述识别程序解码装置解码后的识别程序。

5、  根据权利要求4所述的防盗系统，其特征在于，所述动力源控制装置进一步包括：生成所述识别程序的加密所使用的密钥数据的密钥生成装置；将由该密钥生成装置生成的密钥数据经所述通信线发送到所述防盗装置的装置，
所述防盗装置进一步包括接收经所述通信线从所述动力源控制装置发送来的密钥数据的装置，
所述识别程序加密装置使用所述接收的密钥数据加密所述识别程序，
所述识别程序解码装置使用对应于所述密钥数据的解码数据，解密所述加密后的识别程序而进行解码。

6、  根据权利要求1～5中任一项所述的防盗系统，其特征在于，所述识别数据输入装置包括检测出使用者的身体信息、将所检测出的身体信息作为所述识别数据输出的身体信息检测装置。

7、  一种防盗装置，可装载在具有控制移动体移动用的动力源的动力源控制装置、和连接到该动力源控制装置的用于数据通信的通信线的移动体上，可进行数据通信地连接到所述通信线上，其特征在于，包括：
使用者输入识别数据用的识别数据输入装置；
识别数据发送装置，将通过该识别数据输入装置输入的识别数据经所述通信线发送到所述动力源控制装置。

8、  根据权利要求7所述的防盗装置，其特征在于，进一步包括：
识别程序存储装置，存储了确定由所述识别数据输入装置输入的识别数据的对照顺序的识别程序；
识别程序发送装置，将该识别程序存储装置中存储的识别程序经所述通信线发送到所述动力源控制装置。

9、  根据权利要求8所述的防盗装置，其特征在于，进一步包括：接收经所述通信线从所述动力源控制装置发送来的密钥数据的装置；
识别程序加密装置，使用所述接收的密钥数据加密所述识别程序存储装置中存储的识别程序，
所述识别程序发送装置经所述通信线将由所述识别程序加密装置加密后的识别程序发送到所述动力源控制装置。

10、  根据权利要求7～9中任一项所述的防盗装置，其特征在于，所述识别数据输入装置包括身体信息检测装置，检测出使用者的身体信息，并将所检测出的身体信息作为所述识别数据输出。

11、  一种动力源控制装置，其为控制移动体移动用的动力源，同时能够经装载在移动体上的通信线与防盗装置之间进行数据通信，其特征在于，包括：
识别数据接收装置，从所述防盗装置经所述通信线接收使用者输入的识别数据；
识别源数据存储装置，存储与由该识别数据接收装置接收的识别数据对照用的识别源数据；
识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置中存储的识别源数据对照、判断输入了所述识别数据的使用者是否为正当的使用者的对照处理；
启动控制装置，以通过该识别数据对照装置而判断输入了所述识别数据的使用者为正当的使用者为条件，可启动所述动力源。

12、  根据权利要求11所述的动力源控制装置，其特征在于，进一步包括：识别程序接收装置，该识别程序接收装置接收经所述通信线从所述防盗装置发送来的识别程序；
识别程序存储装置，存储由该识别程序接收装置接收的识别程序，
所述识别数据对照装置包括程序执行装置，该程序执行装置根据所述识别程序存储装置中存储的识别程序，执行所述对照处理。

13、  根据权利要求12所述的动力源控制装置，其特征在于，所述动力源控制装置至少能够获取：禁止由所述启动控制装置进行的动力源的启动的启动锁定状态；通过所述识别数据对照装置判断输入了所述识别数据的使用者为正当使用者并可以进行由所述启动控制装置进行的所述动力源的启动的启动锁定解除状态，
所述动力源控制装置进一步包括如下的装置，其以该动力源控制装置为所述启动锁定解除状态为条件，允许向所述识别程序存储装置写入识别程序，当该动力源控制装置为所述启动锁定解除状态之外的状态时，禁止向所述识别程序存储装置写入识别程序。

14、  根据权利要求12或13所述的动力源控制装置，其特征在于，所述防盗装置经所述通信线将加密后的识别程序发送到该动力源控制装置，
所述动力源控制装置进一步包括：
密钥生成装置，生成所述识别程序的加密所使用的密钥数据；
将由该密钥生成装置生成的密钥数据经所述通信线发送到所述防盗装置的装置；
识别程序解码装置，使用对应于所述密钥数据的解码数据，解密所述加密后的识别程序而进行解码，
所述识别程序存储装置存储由所述识别程序解码装置解码后的识别程序。

15、  一种运输设备，是具有用于移动的动力源的运输设备，其特征在于，包括：
防盗装置，用于该运输设备的防盗；
动力源控制装置，控制所述动力源；
通信线，可进行数据通信地连接在所述防盗装置和所述动力源控制装置之间，
所述防盗装置包括：
使用者输入识别数据用的识别数据输入装置；
识别数据发送装置，经所述通信线将由该识别数据输入装置输入的识别数据发送到所述动力源控制装置，
所述动力源控制装置包括：
识别数据接收装置，接收从所述识别数据发送装置经所述通信线发送来的识别数据；
识别源数据存储装置，存储与通过该识别数据接收装置接收的识别数据对照用的识别源数据；
识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置中存储的识别源数据对照、判断输入了所述识别数据的使用者是否为正当使用者的对照处理；
启动控制装置，以通过该识别数据对照装置判断输入了所述识别数据的使用者为正当使用者为条件，可以启动所述动力源。

16、  根据权利要求15所述的运输设备，其特征在于，
所述防盗装置进一步包括：
第一识别程序存储装置，存储有确定由所述识别数据对照装置进行的对照顺序的识别程序；
识别程序发送装置，经所述通信线向所述动力源控制装置发送该第一识别程序存储装置中存储的识别程序，
所述动力源控制装置进一步包括：
识别程序接收装置，接收经所述通信线从所述识别程序发送装置发送来的识别程序；
第二识别程序接收装置，存储由该识别程序接收装置接收的识别程序，
所述识别数据对照装置包括：根据所述第二识别程序存储装置中所存储的识别程序、执行所述对照处理的程序执行装置。

17、  一种防盗方法，其特征在于，包括：
经通信线可进行数据通信地连接用于移动体的防盗的防盗装置、和控制用于移动体移动的动力源的动力源控制装置的步骤；
使用者从所述防盗装置中具有的识别数据输入装置输入识别数据的步骤；
识别数据发送步骤，经所述通信线向所述动力源控制装置发送由所述识别数据输入装置输入的识别数据；
在所述动力源控制装置中具有的识别源数据存储装置中预先存储识别源数据的步骤；
识别数据对照步骤，通过所述动力源控制装置中具有的识别数据对照装置，将经所述通信线从所述防盗装置发送来的识别数据与所述识别源数据存储装置中存储的识别源数据相对照，而判断输入了所述识别数据的使用者是否为正当的使用者；
以通过该识别数据对照步骤而判断输入了所述识别数据的使用者为正当使用者为条件，允许启动所述动力源的步骤。

18、  根据权利要求17所述的防盗方法，其特征在于，进一步包括：
经所述通信线将确定由所述识别数据对照装置进行的对照顺序的识别程序从所述防盗装置发送到所述动力源控制装置的步骤；
在所述动力源控制装置中具有的识别程序存储装置中存储所述识别程序的步骤，
所述识别数据对照步骤包括根据所述识别程序存储装置中存储的识别程序、对照从所述防盗装置发送来的识别数据与所述识别源数据存储装置中存储的识别源数据的步骤。

防盗方法和系统及防盗装置和动力源控制装置、运输设备
技术领域
本发明涉及以车辆、船舶、航空器等运输设备为代表的移动体的防盗用的防盗系统和防盗方法。另外，本发明涉及适合构成防盗系统的防盗装置和动力源控制装置。进一步，本发明涉及具有防盗系统的运输设备。
背景技术
车辆的防盗用的防盗装置(イモビライザ)的一例公开在特开2003-34234号公报中。该防盗装置是利用指纹识别。即，该防盗装置具有预先登录了车辆的正当使用者的指纹的存储器、读取要使用车辆的人的指纹的指纹读取装置、对照由指纹读取装置读取出的指纹与所述存储器中登录的指纹的识别部、根据该识别部的对照结果向发动机ECU(电子控制单元)提供发动机启动允许指令或发动机启动禁止指令的控制微计算机。即，若识别部识别为所比较的一对指纹一致，则控制微计算机将发动机启动允许信号提供给发动机ECU。另一方面，若识别部识别为所比较的一对指纹不一致，则控制微计算机将发动机启动禁止信号提供给发动机ECU。
最近，车辆中装载的多个电子设备可通过车辆内形成的局域网(车载LAN)，相互进行数据通信。因此，在前述现有技术的防盗装置的情况下，可经车载LAN进行防盗装置和发动机ECU之间的通信。
但是，在车载LAN上交换的数据容易受到截听，同时，来自外部的数据的流入也很容易。因此，盗窃团伙截听从同种防盗装置中发送的发动机启动允许信号。并且，使信号发生器产生与该所截听的发动机启动允许信号相同的信号，而流入到要盗取的车辆的车载LAN中。由此，可绕过指纹识别处理，来启动发动机。这样，盗窃团伙可以回避防盗功能，来窃取车辆。
发明内容
本发明的目的是提供一种使绕过防盗功能来启动移动体的动力源变得困难、提高防盗效果的移动体防盗系统和防盗方法。
本发明的另一目的是提供一种适合构成如前所述的防盗系统的防盗装置和动力源控制装置。
本发明的又一目的是提供一种具有前述的防盗系统的运输设备。
本发明的移动体防盗系统，包括：防盗装置，用于移动体的防盗；动力源控制装置，控制移动体移动用的动力源；通信线，可进行数据通信地连接在所述防盗装置和所述动力源控制装置之间。所述防盗装置包括：使用者输入识别数据用的识别数据输入装置；识别数据发送装置，将由该识别数据输入装置输入的识别数据经所述通信线发送到所述动力源控制装置。所述动力源控制装置包括：识别数据接收装置，接收从所述识别数据发送装置经所述通信线发送来的识别数据；识别源数据存储装置，存储与由该识别数据接收装置接收的识别数据对照用的识别源数据；识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置中所存储的识别源数据对照、而判断输入了所述识别数据的使用者是否为正当的使用者的对照处理；启动控制装置，以通过该识别数据对照装置而判断输入了所述识别数据的使用者为正当的使用者为条件，可启动所述动力源。
根据该结构，从防盗装置中具有的识别数据输入装置输入的识别数据从识别数据发送装置经通信线发送到动力源控制装置。由识别数据接收装置接收发送到动力源控制装置的识别数据，并与识别源数据存储装置中预先存储的识别源数据相对照，判断是否为正当使用者的识别数据。若是正当使用者的识别数据，则通过启动控制装置，启动移动体的动力源。
仅在正当使用者要启动移动体的动力源时，在通信线上出现正当使用者输入的识别数据。即，在正当使用者不在的状况下，当盗窃者想要窃取移动体时，不在通信线上出现识别数据。
与在防盗装置侧进行识别数据的对照处理的情况不同，不在通信线上出现动力源启动指令信号。因此，不能截听动力源启动指令信号，另外，即使将信号产生器产生的动力源启动指令信号注入到通信线上，也不能启动动力源。
这样，由于绕过防盗功能来启动移动体地动力源变得极其困难，所以可以提高防盗效果。
所述移动体的典型例为运输人或物体的运输设备。作为运输设备的例子，可以举出有作为陆上运输设备的车辆(包括机动二轮车)、作为水上运输设备的船舶、以及作为空中运输设备的航空器。
因此，动力源的例子包括可驱动这些运输设备的动力源。具体的，动力源也可以是内燃机、电动机、燃料电池、喷射发动机、气体涡轮发动机等。
作为通信线的例子，可举出有装载在移动体上的局域网。
所述防盗装置最好进一步包括：第一识别程序存储装置，存储确定由所述识别数据对照装置进行的对照顺序的识别程序；识别程序发送装置，经所述通信线将该第一识别程序存储装置中存储的识别程序发送到所述动力源控制装置。所述动力源控制装置最好进一步包括：识别程序接收装置，接收从所述识别程序发送装置经所述通信线发送来的识别程序；第二识别程序存储装置，存储由该识别程序接收装置接收的识别程序。这时，所述识别数据对照装置最好包括程序执行装置，根据所述第二识别程序存储装置中存储的识别程序，执行所述对照处理。
根据该结构，动力源控制装置中具有的识别数据对照装置根据识别程序进行动作，执行所述对照处理。将该识别程序存储在防盗装置中具有的第一识别程序存储装置中。该识别程序通过识别程序发送装置，经通信线发送到动力源控制装置。动力源控制装置包括经通信线接收识别程序的识别程序接收装置。将由该识别程序接收装置接收的识别程序存储在第二识别程序存储装置中，用于由识别数据对照装置进行的对照处理。
这样，由于为将识别程序从防盗装置发送到动力源控制装置的结构，所以可仅替换防盗装置，而不替换动力源控制装置。例如，可以将与现有的防盗装置动作不同的新防盗装置与现有的动力源控制装置组合使用。
更具体的，例如，在组合使用对识别输入装置施加了改进的新的防盗装置与现有的动力源控制装置的情况下，从防盗装置向动力源控制装置传送对应于该改进后的识别数据输入装置的识别程序，可实现该改进后的识别数据输入装置的功能的活用。
另外，在现有的防盗装置出现故障，而与同种的新防盗装置进行替换的情况下，还考虑在该新防盗装置中存储修改了的识别程序的状况。这时，由于将修改后的识别程序传送到动力源控制装置，所以可以改善识别数据的对照处理。这样，可以弹性应对防盗装置的替换。
所述程序执行装置例如也可以是微计算机。
所述动力源控制装置也可以至少获取：禁止由所述启动控制装置进行的动力源的启动的启动锁定状态、和通过所述识别数据对照装置判断输入了所述识别数据的使用者为正当使用者，而可进行由所述启动控制装置进行的所述动力源的启动的启动锁定解除状态。这时，所述动力源控制装置最好进一步包括如下的装置，其以该动力源控制装置为所述启动锁定解除状态为条件，允许向所述第二识别程序存储装置写入识别程序；当该动力源控制装置为所述启动锁定解除状态之外的状态时，禁止向所述第二识别程序存储装置写入识别程序。
根据该构成，仅在启动锁定解除状态时，可以向第二识别程序存储装置写入识别程序。因此，若没有经过由正当使用者进行的认证顺序，不能改变动力源控制装置的识别数据处理的内容。由此，正当使用者可以享受由防盗装置的替换带来的利益，另一方面，可以阻止恶意第三人进行的防盗装置的替换。
所述动力源控制装置最好包括通过切断向该动力源控制装置的电源供给、从启动锁定解除状态移到启动锁定状态的装置。由此，由于通过电源切断，自动成为启动锁定状态，所以可以有效防止移动体的盗窃。
另外，所述动力源控制装置除了所述启动锁定状态和启动锁定解除状态之外，还可获取暂时停止防盗功能的防盗功能停止状态。即，该防盗功能停止状态中，例如，即使切断向动力源控制装置的电源供给，也不将动力源控制装置移到所述启动锁定状态。这种防盗功能停止状态例如在接受移动体的修理和检修的维修服务的情况下很方便。
所述动力源控制装置最好进一步包括如下的装置，其以所述动力源控制装置为所述启动锁定解除状态为条件，允许移到所述防盗功能停止状态，当所述动力源控制装置为所述启动锁定解除状态之外的状态时，禁止移到所述防盗功能停止状态。
所述防盗装置也可进一步包括识别程序加密装置，加密所述第一识别程序存储装置中存储的识别程序。这时，所述识别程序发送装置将由所述识别程序加密装置加密后的识别程序经所述通信线发送到所述动力源控制装置。另外，所述识别程序接收装置接收所述加密后的识别程序。并且，所述动力源控制装置最好进一步包括识别程序解码装置，解密所述加密后的识别程序而进行解码。这时，所述第二识别程序存储装置存储由所述识别程序解码装置解码后的识别程序。
根据该结构，将防盗装置中存储的识别程序由识别程序加密装置加密后送到通信线。由此，可以防止因来自通信线的截听盗取了识别程序的具体内容，可进一步提高防盗效果。并且，即使盗取了识别程序的具体内容，也并非可以容易窃取移动体。这是因为，本发明中，不在通信线上出现直接启动动力源用的指令信号。
所述动力源控制装置也可进一步包括：密钥生成装置，生成所述识别程序的加密所使用的密钥数据；将通过该密钥生成装置生成的密钥数据经所述通信线发送到所述防盗装置的装置。这时，所述防盗装置最好进一步包括接收经所述通信线从所述动力源控制装置发送来的密钥数据的装置。并且，所述识别程序加密装置使用所述接收的密钥数据加密所述识别程序，所述识别程序解码装置使用对应于所述密钥数据的解码数据，解密所述加密后的识别程序而进行解码。
根据该结构，由于使用由动力源控制装置中具有的密钥生成装置生成的密钥数据加密识别程序，所以使解密加密后的识别程序更困难。即，由于在动力源控制装置侧生成密钥数据，所以在动力源控制装置侧可容易导出密钥数据与解码数据的对应关系。因此，动力源控制装置不需要使用一定的密钥数据，而可以将从多种密钥数据中所选择出的任意密钥数据提供给防盗装置。当然，若密钥数据与解码数据不同，则即使从通信线截听了密钥数据，解密从防盗装置送出的加密后的识别程序也是极其困难的。
所述密钥生成装置最好使用如移动体的移动距离(例如，车辆的行驶距离)那样的、在密钥数据生成时刻固有的移动体的信息，来生成密钥数据。由此，解密加密后的识别程序可进一步变得困难。进一步，若基于密钥数据生成时刻固有的移动体的信息与随机数的组合来生成密钥数据，则解密加密后的识别程序进一步变得困难。
若在防盗装置新连接到通信线时进行从防盗装置向动力源控制装置的识别程序的传送就足够了。因此，所述密钥生成装置最好响应于检测出了将防盗装置连接到通信线的情况，来生成密钥数据。也可在识别程序的传送错误等的不良状况下，进行多次密钥数据的生成和发送。但是，密钥数据的生成和发送最好将次数限制为一定次数(例如，3次左右)。
所述识别数据输入装置最好包括身体信息检测装置，检测出使用者的身体信息，将所检测出的身体信息作为所述识别数据输出。
根据该构成，由于将使用者的身体信息作为识别数据使用，所以可以进一步提高防盗效果。另外，根据采用将识别程序从防盗装置传送到动力源控制装置的上述结构，可得到更好的效果。即，这时，当市场上提供了具有改进后的身体信息检测装置的新的种类的防盗装置时，可将这种新防盗装置与现有的防盗装置替换。由此，可有效地将显著进步的身体信息识别技术用于移动体的防盗。
作为识别数据输入装置，除了身体信息检测装置之外，还可示例密码输入装置(例如，键盘)。识别数据输入装置没有必要为一种，也可包括两种以上的识别数据输入装置。
本发明的防盗装置可装载在具有控制移动体移动用的动力源的动力源控制装置、和连接到该动力源控制装置的用于进行数据通信的通信线的移动体上，可进行数据通信地连接到所述通信线上。该防盗装置包括：使用者输入识别数据用的识别数据输入装置；将通过该识别数据输入装置输入的识别数据经所述通信线发送到所述动力源控制装置的识别数据发送装置。即，识别数据的对照处理不在防盗装置中进行，而在动力源控制装置中进行。由此，由于绕过防盗装置的功能来启动移动体的动力源很困难，所以可以提高防盗效果。
该防盗装置最好进一步包括：识别程序存储装置，存储确定由所述识别数据输入装置输入的识别数据的对照顺序的识别程序；识别程序发送装置，将该识别程序存储装置中存储的识别程序经所述通信线发送到所述动力源控制装置。由此，即使替换了防盗装置，也可在动力源控制装置侧，进行对应于替换后的防盗装置的识别数据对照处理。
所述装置最好进一步包括：接收经所述通信线从所述动力源控制装置发送来的密钥数据的装置；使用所述接收的密钥数据加密所述识别程序存储装置中存储的识别程序的识别程序加密装置。这时，所述识别程序发送装置经所述通信线将由所述识别程序加密装置加密后的识别程序发送到所述动力源控制装置。根据该结构，可以使经通信线传送的识别程序的解密变得困难，可以进一步提高防盗效果。
所述识别数据输入装置最好包括身体信息检测装置，检测出使用者的身体信息，并将所检测出的身体信息作为所述识别数据输出。
本发明的动力源控制装置，控制移动体移动用的动力源，同时可经装载在移动体上的通信线与防盗装置之间进行数据通信。该动力源控制装置包括：识别数据接收装置，从所述防盗装置经所述通信线接收使用者输入的识别数据；识别源数据存储装置，存储与由该识别数据接收装置接收的识别数据对照用的识别源数据；识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置中存储的识别源数据相对照、而判断输入了所述识别数据的使用者是否为正当的使用者的对照处理；启动控制装置，以通过该识别数据对照装置而判断输入了所述识别数据的使用者是正当的使用者为条件，可以启动所述动力源。
根据该结构，由于不在防盗装置侧进行识别数据的对照，而在动力源控制装置侧进行识别数据的对照处理，所以绕过防盗功能变得困难，可以提高防盗效果。
所述动力源控制装置最好进一步包括：识别程序接收装置，接收经所述通信线从所述防盗装置发送来的识别程序；识别程序存储装置，存储由该识别程序接收装置接收的识别程序。这时，所述识别数据对照装置最好包括程序执行装置，根据所述识别程序存储装置中存储的识别程序，执行所述对照处理。根据该结果，可弹性应对防盗装置的替换。
所述动力源控制装置也可至少获取：禁止由所述启动控制装置进行的动力源的启动的启动锁定状态；和通过所述识别数据对照装置判断输入了所述识别数据的使用者为正当使用者、而可进行由所述启动控制装置进行的所述动力源的启动的启动锁定解除状态。这时，所述动力源控制装置最好进一步包括如下的装置，其以该动力源控制装置为所述启动锁定解除状态为条件，允许向所述识别程序存储装置写入识别程序；当该动力源控制装置为所述启动锁定解除状态之外的状态时，禁止向所述识别程序存储装置写入识别程序。根据该结构，正当使用者可以享受由防盗装置的替换带来的利益，另一方面，可以阻止由恶意第三人进行的防盗装置的替换。
所述防盗装置在经所述通信线将加密后的识别程序发送到该动力源控制装置的情况下，所述动力源控制装置最好进一步包括：密钥生成装置，生成所述识别程序的加密所使用的密钥数据；将通过该密钥生成装置生成的密钥数据经所述通信线发送到所述防盗装置的装置；识别程序解码装置，使用对应于所述密钥数据的解码数据，解密所述加密后的识别程序而进行解码。并且，所述识别程序存储装置还最好存储由所述识别程序解码装置解码后的识别程序。根据该结构，解密经通信线传送的识别程序变得困难，可以提高防盗效果。
本发明的运输设备是包括移动用的动力源的运输设备，包括：防盗装置，用于该运输设备的防盗；动力源控制装置，控制所述动力源；通信线，可进行数据通信地连接在所述防盗装置和所述动力源控制装置之间。并且，所述防盗装置包括：使用者输入识别数据用的识别数据输入装置；识别数据发送装置，经所述通信线将由该识别数据输入装置输入的识别数据发送到所述动力源控制装置。所述动力源控制装置包括：识别数据接收装置，接收从所述识别数据发送装置经所述通信线发送来的识别数据；识别源数据存储装置，存储与通过该识别数据接收装置接收的识别数据对照用的识别源数据；识别数据对照装置，执行将由所述识别数据接收装置接收的识别数据与所述识别源数据存储装置中存储的识别源数据对照，判断输入了所述识别数据的使用者是否为正当使用者的对照处理；启动控制装置，以通过该识别数据对照装置而判断输入了所述识别数据的使用者为正当使用者为条件，可以启动所述动力源。根据该结构，绕过防盗功能来启动运输设备的驱动源变得困难，可以有效防止运输设备的盗窃。
所述防盗装置最好进一步包括：第一识别程序存储装置，存储确定由所述识别数据对照装置进行的对照顺序的识别程序；识别程序发送装置，经所述通信线向所述动力源控制装置发送该第一识别程序存储装置中存储的识别程序。所述动力源控制装置最好进一步包括：识别程序接收装置，接收经所述通信线从所述识别程序发送装置发送来的识别程序；第二识别程序接收装置，存储由该识别程序接收装置接收的识别程序。这时，所述识别数据对照装置最好包括根据所述第二识别程序存储装置中所存储的识别程序、执行所述对照处理的程序执行装置。根据该结构，可以弹性应对防盗装置的替换。
本发明的防盗方法，其特征在于，包括：经通信线可进行数据通信地连接用于移动体的防盗的防盗装置、和控制移动体移动用的动力源的动力源控制装置的步骤；使用者从所述防盗装置中具有的识别数据输入装置输入识别数据的步骤；识别数据发送步骤，经所述通信线向所述动力源控制装置发送由所述识别数据输入装置输入的识别数据；在所述动力源控制装置中具有的识别源数据存储装置中预先存储识别源数据的步骤；识别数据对照步骤，通过所述动力源控制装置中具有的识别数据对照装置，将经所述通信线从所述防盗装置发送来的识别数据与所述识别源数据存储装置中存储的识别源数据相对照，而判断输入了所述识别数据的使用者是否为正当的使用者；以通过该识别数据对照步骤而判断输入了所述识别数据的使用者为正当使用者为条件，允许启动所述动力源的步骤。根据该方法，由于绕过防盗功能启动动力源变得困难，所以可以提高防盗效果。
所述方法最好进一步包括：经所述通信线将确定由所述识别数据对照装置进行的对照顺序的识别程序从所述防盗装置发送到所述动力源控制装置的步骤；在所述动力源控制装置中具有的识别程序存储装置中存储所述识别程序的步骤。这时，所述识别数据对照步骤最好包括根据所述识别程序存储装置中存储的识别程序、对照从所述防盗装置发送来的识别数据与所述识别源数据存储装置中存储的识别源数据的步骤。根据该方法，可以弹性应对防盗装置的替换。
本发明的上述或其他的目的、特征和效果可以通过参照附图的下面所述的实施形式的说明进一步清楚。
附图说明
图1是表示装载了本发明的一实施形式的车辆防盗系统的车辆的电气结构的框图；
图2是说明解除发动机锁定后移动车辆、之后直到停车或存车来进行发动机锁定的处理用的流程图；
图3是表示图2的接着的处理的流程图；
图4是说明暂时停止防盗装置的功能用的处理的流程图；
图5是说明登录新的识别源数据的处理用的流程图；
图6是表示图5的接着的处理的流程图；
图7是说明替换防盗装置时的处理用的流程图；
图8是说明图7的接着的处理用的流程图。
具体实施方式
图1是表示装载了本发明的一实施例的车辆防盗系统1(イモビライザ)的车辆的电气结构的框图。这时的车辆可以是四轮汽车，也可以是机动二轮车。下面的说明以机动二轮车的情况为例。
车辆防盗系统1包括：可替换的防盗装置2；固定在车体上、进行作为移动车辆用的动力源的发动机4的动作控制的作为动力源控制装置的发动机ECU(电子控制单元)3。防盗装置2和发动机ECU3与作为通信线的车辆LAN(局域网)9电连接。即，防盗装置2和发动机ECU3分别包括可执行程序处理的微计算机，进一步，可经车载LAN9，彼此进行数据通信。符号9a、9b表示终端电阻。
进一步将计量模块6和AT控制单元7连接到车载LAN9。计量模块6是汇集了监视该车辆的动作状态用的显示部和该车辆的操作用的各操作开关的模块。AT控制单元7是进行AT(自动·变速器)8的动作控制的单元。
当因故障、修改、其他理由需要替换现有的防盗装置2时，可替代该防盗装置2，将新的防盗装置5安装到车载LAN9上。
防盗装置2例如包括：将指纹作为消息数据进行检测的指纹传感器21；从由指纹传感器21检测出的消息数据中提取指纹的特征的特征提取部22；进行密码输入等用的多个操作按键23；显示各种信息的显示装置24。指纹传感器21和特征提取部22具有检测出使用者的指纹、将该指纹的特征数据(身体信息数据)作为识别数据输出的作为识别数据输入装置的功能。另外，操作按键23具有接收由使用者输入的密码，并将其输出的作为另一识别数据输入装置的功能。
防盗装置2进一步具有：可存储经车载LAN9从发动机ECU3侧送来的密钥数据的密钥数据存储部25；使用该密钥数据来加密后述的识别程序的作为识别程序加密装置的加密部26；存储加密前的识别程序的作为第一识别程序存储装置的识别程序存储部27；可经车载LAN9与其他装置等之间进行数据和信号的发送接收的通信控制部28；控制这些各个部分的主控制部20。另外，防盗装置2中具有存储表示发动机锁定状态、发动机锁定解除状态或防盗功能暂时停止状态的其中之一的状态数据用的状态数据存储器20M。发动机锁定状态(启动锁定状态)、发动机锁定解除状态(启动锁定解除状态)和防盗功能暂时停止状态都是发动机ECU3的状态。发动机锁定状态是禁止由发动机ECU3进行的发动机的启动的状态。相对于此，发动机锁定解除状态是允许由发动机ECU3进行的发动机的启动的状态。进一步，防盗功能暂时停止状态即使钥匙关闭，防盗功能也不工作的状态、即也不为发动机锁定状态的状态。
主要通过防盗装置2中具有的微计算机执行规定的程序而实现主控制部20、特征提取部22和加密部26的功能。
将特征提取部22提取的特征数据作为识别使用者用的识别数据，从通信控制部28经车载LAN9发送到发动机ECU3。另外，从操作按键23输入的密码也作为识别数据，从通信控制部28经车载LAN9发送到发动机ECU3。即，通信控制部28具有将识别数据发送到发动机ECU3的作为识别数据发送装置的功能。除此之外，通信控制部28还具有作为从发动机ECU3接收所述密钥数据的装置的功能和对发动机ECU3发送由所述加密部26加密了的识别程序的作为识别程序发送装置的功能。
操作按键23包括：0～9的数字键(十位按键)群231；暂时停止防盗装置2的功能(防盗功能)用的功能停止按键232；再次确认防盗功能的停止用的功能停止确认按键233；将防盗功能设为有效用的设定按键234；新登录或更新识别源数据用的设定变更按键235；在设定密码来作为识别源数据时所操作的密码设定按键236；登录身体信息数据(指纹的特征数据)来作为识别源数据时所操作的身体信息登录按键237。操作按键23例如也可通过显示装置24显示的按键群与在该显示装置24的画面上设置的触摸屏的组合来构成。这时，不需要在显示装置24的画面上同时显示所有的操作按键23，例如，数字键群231可以仅在密码输入时所显示的密码输入画面上显示，而不在其他画面上显示。
发动机ECU3包括：控制其内部的各个部分的主控制部30；可经车载LAN9与其他装置等之间进行数据和信号的发送接收的通信控制部31；预先存储变化参数的存储器32；使用该存储器32中存储的参数生成动态变化的密钥数据的密钥生成部33。存储器32中存储了如发动机ECU3管理的时间、车辆的行驶距离数据等这样的、随车辆的使用而随时变化的数据来作为参数。密钥生成部33例如，通过组合存储器32中存储的参数与随机数，来生成动态变化的密钥数据。将这种密钥数据传递到防盗装置2，而从防盗装置2经车载LAN9向发动机ECU3发送使用该密钥数据加密后的识别程序。
发动机ECU3进一步具有：解密加密后的识别程序来进行解码的作为识别程序解码装置的解码部34；存储该解码后的识别程序用的作为第二识别程序存储装置的识别程序存储部35；对通过车载LAN9路径从防盗装置2送来的识别数据进行对照处理的作为识别数据对照装置的对照部36；根据该对照结果、计数使用者的操作次数的操作次数计数器37；预先存储该对照处理用的识别源数据的识别源数据存储部38a；暂时记录由对照部36对照的识别数据的暂时存储部38b；根据对照部36的对照结果等控制发动机4的启动·停止动作的作为启动控制装置的发动机控制部39；存储表示发动机锁定状态、发动机锁定解除状态或防盗功能暂时停止状态的其中之一的状态数据用的状态数据存储器30M。解码部34根据密钥生成部33生成的密钥数据(更具体的说，根据对应于密钥数据的解码数据)，解密通过车载LAN9从防盗装置2侧接受的加密了的识别程序而进行解码。
对照部36根据该解码后的识别程序，对照识别数据和识别源数据。由于从防盗装置2提供了识别程序，所以对照部36执行防盗装置2所固有的对照处理。换而言之，识别程序是使发动机ECU3的对照部36至少作用为使用中的防盗装置2专用的识别数据对照装置的程序。
通过由发动机ECU3具有的作为程序执行装置的微计算机执行规定的程序处理来实现主控制部30、密钥生成部33、解码部34和对照部36的各功能。
通信控制部31承担接收从防盗装置2送来的识别数据的识别数据接收装置、接收从防盗装置2送来的识别程序的识别程序接收装置、和将密钥生成部33生成的密钥数据发送到防盗装置2的装置的作用。
在将防盗装置2替换为新的防盗装置5的情况下，该新的防盗装置5通过车载LAN9向发动机ECU3发送固有的识别程序。若将该识别程序登录在发动机ECU3上，则该发动机ECU3的对照部36作用为新防盗装置5专用的识别数据对照装置。
新防盗装置5例如指纹传感器和特征提取部的性能不同，但其基本结构与防盗装置2相同。即，新防盗装置5包括指纹传感器51、特征提取部52、操作按键53、显示装置54、密钥数据存储部55、加密部56、识别程序存储部57、通信控制部58、主控制部50和状态数据存储器50M。
通过可将防盗装置2替换为其他防盗装置5，而具有如下优点。例如，检测使用者的身体信息用的人体特征传感器有以指纹传感器、网膜血管传感器和虹膜传感器为代表的各种传感器，可根据使用者的喜好来划分。若可替换防盗装置2、5，则可选择具有使用者希望形式的传感器的防盗装置来进行装载。另外，在利用了身体信息的个人认证领域中，因技术进步显著、传感器的改进、识别算法的改进，识别率日益提高。因此，替换为装载了高性能传感器或识别算法的防盗装置自然是使用者的希望，在提高防盗效果方面也很好。进一步，通过可以替换防盗装置，可大幅度提高车辆防盗系统整体结构的自由。
根据检测对象的身体信息，所提取的特征数据也不同，对其的对照处理也不同。另外，根据所使用的传感器和识别算法，例如，所提取的特征数据不同，对其的对照处理也不同。因此，若替换防盗装置，而不对应更新识别数据的对照处理的内容，则不能充分发挥新的防盗装置的功能。因此，本实施例中，预先在防盗装置2、5中存储识别程序，将该识别程序传送到发动机ECU，该发动机ECU3中具有进行基于该识别程序的对照处理的结构。
如后所述，对于将新防盗装置5安装在车载LAN9上来使用，需要将现有的防盗装置2同时连接到车载LAN9状态下的预先准备。即，必须预先使用现有的防盗装置2，进行使用者的认证，解除禁止发动机4启动的发动机锁定状态。仅可在这种发动机锁定解除状态中，将发动机ECU3的识别程序更新为对应于新防盗装置5的识别程序。
发动机4包括：喷油器41、点火线圈42、发动机旋转脉冲发生器(脉冲传感器)43、氧气传感器44、吸入空气量传感器45、节流位置传感器46和发动机水温传感器47、由发动机ECU3的发动机控制部39进行控制。
计量模块6包括：显示速度计及其他计量器类的指示值的显示部61、包括按键和开关类的操作部62、可插入钥匙的钥匙插口部(点火钥匙孔)63、进行这些控制处理的显示·操作处理部65、控制计量模块6的电源的电源控制部66、经车载LAN9与其他装置等之间进行数据和信号的发送接收的通信控制部67、启动发动机4用的启动按键68。进一步，计量模块6经钥匙插口部63连接到把手锁定装置64。计量模块6具有微计算机，通过由微计算机执行规定的程序处理来实现显示操作处理部65和电源控制部66的功能。
另外，AT控制单元7包括：经车载LAN9与其他装置等之间进行数据和信号的发送接收的通信控制部71、进行AT8的控制处理的AT控制处理部72。
接着，参照图2～图8，说明由车辆防盗系统1进行的处理。
图2和图3是说明通常动作用的流程图。这时，所谓“通常动作”，是指从通过车辆防盗系统1的功能设为不能启动发动机2的发动机锁定状态开始，解除该发动机锁定状态而移动车辆，到之后停车或存车而再次设为发动机锁定状态的动作。钥匙关闭状态中，防盗装置2、发动机ECU3和计量模块6的电源都为切断状态。这时，通常，发动机ECU3为发动机锁定状态。即，在状态数据存储器30M、20M中写入了表示发动机锁定状态的状态数据。
首先，如图2所示，若使用者向计量模块6的钥匙插口部63插入钥匙(步骤S1)，则将表示该情况的信号经车载LAN9发送到防盗装置2和发动机ECU3。接收了该信号后，在接通防盗装置2的电源的同时(步骤S2)，还接通发动机ECU3的电源(步骤S3)。由此，防盗装置2中，通过由主控制部20进行的控制，进行识别数据(这里为指纹的特征数据)的读取引导(步骤S4)。作为该读取引导，例如，可以示例出点亮指纹传感器21中具有的LED(图中未示)，或从车辆中装载的扬声器(图中未示)发出“请将手指放置在(指纹)传感器上”这样的声音引导消息。另外，也可使显示装置24显示引导消息。
主控制部20判断指纹传感器21是否检测出了指纹(步骤S5A)，另外，判断是否通过操作按键23的数字键群231的操作输入了密码(步骤S5B)。主控制部20待机到检测出了指纹或输入了密码的其中之一。若在检测出指纹之前，使用者操作数字键群231输入了密码(步骤S6)，则主控制部20将该密码看作对照对象的识别数据。另一方面，在输入密码之前，判断为在指纹传感器21上放置了使用者的手指的情况下，由特征提取部22提取指纹的特征后输出特征数据(步骤S7)。这时，主控制部20将该特征数据看作对照对象的识别数据。
将这些识别数据传递到通信控制部28。通信控制部28经车载LAN9，将识别数据(密码数据或指纹的特征数据)发送到发动机ECU3(步骤S8)。
发动机ECU3通过通信控制部31接收识别数据(步骤S10)。将该识别数据暂时存储在暂时存储部38b中。对照部36从识别源数据存储部38a中读出识别源数据后，与暂时存储部38b中存储的识别数据相对照，而判断两者是否相符。由此，可以识别识别数据是否为由正当使用者输入的。
识别源数据通过后述的登录操作(参照图5和图6)，正当使用者可以预先登录在识别源数据存储部38a中。可以登录正当使用者任意决定的密码数据(密码源数据)和/或正当使用者的指纹的特征数据(指纹特征源数据)来作为识别源数据。正当使用者并不限于一人。因此，对于车辆的所有者和通过该所有者允许使用的人可登录各自的识别源数据。
若从防盗装置2接收的识别数据为密码数据，则对照部36从识别源数据存储部38a中读出密码源数据。另外，若从防盗装置2接收的识别数据为指纹的特征数据，则对照部36从识别源数据存储部38a中读出指纹特征源数据。
对照部36在判断为所输入的识别数据与识别源数据一致时(步骤S11为OK)，接收该判断结果，发动机控制部39可启动发动机4(步骤S12)。由此，发动机ECU3的状态从发动机锁定状态转移到发动机锁定解除状态。
另一方面，对照部36在判断为所输入的识别数据与识别源数据不一致的情况下(步骤S11的NG)，接受该判断结果，发动机控制部39维持为不可启动发动机4的状态(发动机锁定状态)(步骤S13)。另外，接收了该不一致的判断结果，主控制部30将操作次数计数器37的计数值增加“1”(步骤S14)。
主控制部30判断操作次数计数器37的计数值是否为一定值(本实施形式中为“3”)或一定值以上(步骤S15)。若该计数值为“3”或“3”以上，则主控制部30推定为由不正当的使用者进行的操作，而切断发动机ECU3的电源(步骤S16)。这时，维持在为不能启动发动机4的状态(发动机锁定状态)。
另一方面，所述步骤S15中，计数值为“2”或“2”以下的情况下，主控制部30经通信控制部31和车载LAN9，将应再次进行从所述步骤S4开始的认证处理内容的指令信号提供给防盗装置2(步骤S15A)。由此，重复从对于使用者的指纹读取引导开始的处理。
因此，识别数据和识别源数据的不一致允许为两次。但是，若三次判断为不一致，则在不能解除发动机锁定状态的情况下，而切断发动机ECU3的电源。这时，如下面所说明的，若没有经过一定时间(30分钟)，则不能启动发动机4。
主控制部30在电源接通(步骤S3)后，判断是否从上次的钥匙关闭(从钥匙插口部63拔出钥匙)开始经过了一定时间(本实施形式中为30分钟)(步骤S17)。在从上次的钥匙关闭开始经过了30分钟以上的情况下(步骤S17为“是”)，主控制部30将操作次数计数器37的计数值设为“0”(步骤S18)。另一方面，在从上次的钥匙关闭开始没有经过30分钟以上的情况下(步骤S17为“否”)，主控制部30不复位操作次数计数器37的计数值，而进行所述步骤S10之下的处理。这时，若操作次数计数器37的计数值为“2”或“2”以下，则开始指纹或密码的认证顺序，但是若计数器达到了“3”，则直接切断发动机ECU3的电源。
这样，允许两次因使用者的输入误差或识别处理的错误引起的识别数据/识别源数据的不一致判断，同时在不一致判断达到三次时，在30分钟期间使认证顺序无效化。由此，可以实现正当使用者的方便性，且可有效阻止由盗窃者进行的发动机4的启动。
所述步骤S12中，在发动机控制部39为可启动发动机4的状态的情况下，发动机控制部39经通信控制部31和车载LAN9，将操作锁定解除信号发送到计量模块6(图3的步骤S19)。该操作锁定解除信号是为可由使用者解除把手锁定的状态用的信号。把手锁定的解除本身由使用者自行进行。
另外，发动机ECU3的主控制部30应解除AT8的锁定，从通信控制部31经车载LAN9向AT控制单元7发送AT锁定解除信号(步骤S20)。由此，AT控制单元7解除AT8的锁定(步骤S21)。
进一步，主控制部30将表示发动机锁定解除状态的状态数据写入到状态数据存储器30M中(步骤S20A)。与此同时，主控制部30从通信控制部31经车载LAN9向防盗装置2送出该状态数据。在接收了该数据的防盗装置2中，通过通信控制部28接收该状态数据，而传递到主控制部20。主控制部20将该状态数据写入到状态数据存储器20M中。这样，由发动机ECU3和防盗装置2共用状态数据，即使在防盗装置2侧也可把握发动机锁定的状态(发动机锁定状态、发动机锁定解除状态或防盗功能暂时停止状态)。
计量模块6通过通信控制部67接收经车载LAN9从发动机ECU3发送来的把手锁定解除信号。响应于此，显示·操作处理部65使把手锁定装置64动作，而可解除把手锁定。另外，显示·操作处理部65使显示部61进行把手锁定解除和发动机锁定解除(防盗解除)的显示(步骤S22)。由此，使用者手动进行把手锁定的解除操作(步骤S23)。之后，使用者在处于钥匙打开位置的状态下，通过打开操作(启动操作)启动按键68(步骤S24)，而可启动发动机4。若操作了启动按键68，则启动指令信号从通信控制部67经车载LAN9，送到发动机ECU3和AT控制单元7。
接收了来自车载LAN9的启动指令信号的发动机ECU3通过发动机控制部39进行发动机4的启动控制(步骤S25)。与此同时，在从车载LAN9接收了启动指令信号的AT控制单元7中，通过AT控制处理部72，开始AT8的控制(步骤S26)。由此，使用者可以通过车辆来行驶(步骤S26)，在计量模块6中，通过显示部61进行时速等的行驶显示(步骤S27)。
当然，计量模块6只要没有接收到操作锁定解除信号，即使操作了启动按键68，也不发送启动指令信号。另外，如上所述，发动机ECU3的发动机控制部39只要没有判断为识别数据与识别源数据一致，也不为可启动发动机4的状态。因此，只要没有判断为识别数据与识别源数据一致，例如，即使向车载LAN9流入了启动指令信号，也不启动发动机4。
若终止行驶，则使用者进行钥匙关闭操作(将钥匙旋转到关闭位置的操作)(步骤S28)。由此，切断计量模块6的电源(步骤S29)。同时，发动机ECU3的发动机控制部39控制为停止发动机4(步骤S30)。并且，通过主控制部30，切断发动机ECU3的电源(步骤S31)。进一步，在AT控制单元7中，由AT控制处理部72进行AT8的锁定(步骤S32)，而切断AT控制单元7的电源(步骤S33)。另外，防盗装置2中，通过主控制部20切断电源(图2的步骤S9)。
发动机ECU3的主控制部30在切断电源之前，将表示发动机锁定状态的状态数据写入到状态数据存储器30中(步骤S30A)。与此同时，主控制部30经车载LAN9从通信控制部31向防盗装置2发送该状态数据。接收了该数据的防盗装置2中，通过通信控制部28接收该状态数据，并传递到主控制部20。主控制部20将该状态数据写入到状态数据存储器20M中。这样，发动机ECU3和防盗装置2中，保持了表示发动机锁定状态的公共的状态数据。
使用者在钥匙关闭操作(步骤S28)后，判断是否进行把手锁定(步骤S34)，在进行把手锁定的情况下，将钥匙旋转到把手锁定位置后，拔出钥匙(步骤S35)，而进行把手锁定(步骤S36)。另一方面，在不进行把手锁定的情况下，不将钥匙旋转到操作锁定位置，而在钥匙关闭的位置拔出钥匙(步骤S37)。
这样，终止了从启动发动机开始经过车辆的行驶后、到停止发动机的一连串的处理。发动机控制部39为了再次成为可启动发动机4的状态，必须经过识别数据的对照处理。即，通过切断发动机ECU3的电源，该发动机ECU3的状态从发动机控制部39作为可启动发动机4的状态的发动机锁定解除状态转移到作为不能启动发动机4的状态的发动机锁定状态。
图4是说明暂时停止防盗功能用的处理的流程图。在前述的通常动作中，在成为可启动发动机4的状态(发动机锁定解除状态)中，可暂时停止防盗功能。
例如，即使是如进行车辆的维护·修理的操作员那样的除使用者之外的善意者，也存在想要移动车辆的情况。这种情况下，暂时停止防盗装置2的功能。仅可在正当使用者通过进行认证手续、而设为发动机锁定解除状态的情况下进行防盗功能的暂时停止。因此，没有损坏防盗效果的问题。
当然，防盗功能的暂时停止过程中，不能更新识别源数据存储部38a的登录内容(识别源数据(身体信息和密码))。
首先，使用者通过进行图2所示的操作，而将该防盗系统设为发动机锁定解除状态。在此状态下，使用者长时间按压(例如，是指1秒以上的连续按压操作，下面相同)防盗装置2的操作按键23中的功能停止按键232(步骤S41)。接收了该操作，防盗装置2的主控制部20参照状态数据存储器20M，而确认是否为发动机锁定解除状态(步骤S42A)。以在该状态数据存储器20M中保持了表示发动机锁定解除状态的状态数据为条件，来继续以后的处理。否则，主控制部20例如在显示装置24上显示“请在发动机锁定解除后进行操作”等的操作引导消息(步骤S42B)，而终止处理。
若确认为是发动机锁定解除状态(步骤S42A为“是”)，主控制部20使该显示装置24进行例如包含“是要进行防盗功能停止吗？”等的确认消息的功能停止警告显示(步骤S42)。其是为了在使用者误按了功能停止按键232按键的情况下，来警告使用者。另外，也可在计量模块6的操作部62上设置与功能停止按键232相同的按键。
接着，使用者为了进行再次确认，按压功能停止确认按键233(步骤S43)。也可在计量模块6的操作部62上设置与该功能停止确认按键233相同的按键。
防盗装置2的主控制部20使显示装置24显示功能停止警告消息，另一方面，判断是否操作了功能停止确认按键233(步骤S44)。若在显示功能停止警告消息后，在一定时间内没有按压功能停止确认按键233(步骤S44为“否”)，则取消功能停止功能(步骤S45)。另一方面，在所述一定时间内按压了功能停止确认按键233的情况下(步骤S44为“是”)，主控制部20从通信控制部28经车载LAN9，对发动机ECU3发送防盗功能停止数据(步骤S46)。
发动机ECU3中，通过通信控制部31接收防盗功能停止数据(步骤S47)。响应于此，主控制部30参照状态数据存储器30M中存储的状态数据。若该状态数据不表示发动机锁定解除状态(即，若表示发动机锁定状态)，则主控制部30不停止防盗功能，而将发动机ECU3保持为发动机锁定状态(步骤S47A为“否”)。因此，不停止防盗功能。这种动作例如在恶意的第三人从信号发生器向车载LAN9注入了防盗功能停止数据的情况下产生。这种情况下，由于不停止功能，而保持发动机锁定状态，所以不能启动发动机4。
另一方面，若状态数据存储器30M的状态数据表示发动机锁定解除状态(步骤S47A为“是”)，主控制部30将所接收的防盗功能停止数据存储到暂时存储部38b中(步骤S48)。当暂时存储部38b中存储了防盗功能停止数据时，主控制部30对发动机控制部39提供应暂时停止防盗功能的内容的指令信号。这时，只要向发动机ECU3接通了电源，发动机控制部39就保持为可启动发动机4的状态，而与由对照部36进行的判断无关。这样，发动机锁定解除过程中，可暂时停止防盗装置2的功能。另外，即使切断发动机ECU3的电源，也可在暂时存储部38b中保持防盗功能停止数据。因此，当再次向发动机ECU3接通电源时，可不经过使用了识别数据的识别手续，启动发动机4。
这样，若暂时停止防盗功能，主控制部30将表示防盗功能暂时停止过程中的状态数据写入到状态数据存储器30M中。另外，将该状态数据经车辆LAN9传递到防盗装置2，并通过主控制部20的动作，写入到状态数据存储器20M中。
当在状态数据存储器20M中存储了表示防盗功能停止状态的状态数据的状态下钥匙关闭时，在防盗装置2中，主控制部20在切断电源前，在显示装置24中进行防盗功能为停止过程中的内容的警告显示。
接着，使用图4，说明恢复暂时停止的防盗功能的处理。该处理中，还是不能更新识别源数据存储部38a中存储的识别源数据(身体信息和密码)。
首先，使用者操作钥匙打开(步骤S51)，并长时间按压防盗装置2的操作按键23中的设定按键234(步骤S52)。由此，防盗装置2中，主控制部20使显示装置24进行包含“设定了防盗功能”等的引导消息的防盗功能设定显示(步骤S53)。并且，防盗装置2的主控制部20从通信控制部28经车载LAN9向发动机ECU3发送防盗功能设定数据(步骤S54)。由此，发动机ECU3中，通过通信控制部31接收防盗功能设定数据(步骤S55)。并且，从暂时存储部38B中删除所述步骤S48中所记录的防盗功能停止数据，而解除防盗功能的停止(步骤S56)。通过这种处理，可再次启动暂时停止了的防盗装置2的功能。
另外，也可在计量模块6的操作部62上设置与设定按键234同样的按键。
若解除了防盗功能的停止，则发动机ECU3的主控制部30向状态数据存储器30M写入表示发动机锁定解除状态的状态数据。该状态数据进一步经车载LAN9向防盗装置2发送，并通过主控制部20的动作，写入到状态数据存储器20M中。
图5和图6是说明在发动机ECU3的识别源数据存储部中登录新的识别源数据(指纹的特征数据这样的身体信息和密码)用的处理的流程图。若没有经图2所示的处理而成为发动机锁定解除状态，则不能执行识别源数据的新登录或变更。在发动机锁定状态时毫无疑问，即使通过进行图4的操作暂时停止防盗功能时，也不能新登录或更新识别源数据。若购入新车时，通过输入出厂之前预先设定的密码，解除了发动机锁定，则可新登录或变更识别源数据。
因此，使用者首先进行图2所示的操作，解除发动机锁定。在此基础上，使用者长时间按压防盗装置2的操作按键23中的设定变更按键235(步骤S61)。还可在计量模块6的操作部62上设置同样的设定变更按键。
若长时间按压了设定变更按键235，则防盗装置2进行判断是否为发动机锁定解除状态的处理(步骤S61A)。具体的说，主控制部20参照状态数据存储器20M。以在该状态数据存储器20M中保持了表示发动机锁定解除状态的状态数据为条件，来继续以后的处理。否则，主控制部20例如在显示装置24上显示“请在发动机锁定解除后进行操作”等的操作引导消息(步骤S61B)，而终止处理。
若为发动机锁定解除状态，则使用者可移到下一操作。即，使用者进一步判断登录密码或身体信息中的哪一个(步骤S62)，在登录密码的情况下，按压防盗装置2的操作按键23中的密码设定按键236。由此，主控制部20使显示装置24显示包含例如“请输入新的密码”等的操作引导消息和数字键群231的显示的密码输入画面(步骤S63)。
接着，使用者按压计量模块6的操作部62或防盗装置2的操作按键23中的数字键群231(密码输入按键)而输入密码(步骤S64)。接收了该输入的防盗装置2通过主控制部20的工作，使显示装置24显示包括例如“为确认，请再次输入”等的操作引导消息和数字键群231的显示的密码确认输入画面(步骤S65)。
接着，使用者再次输入相同的密码(步骤S66)。接收该密码的防盗装置2中，主控制部20判断所述步骤S64、S66中输入、并分别接收的两个密码是否一致(步骤S67)。并且，在判断为不一致的情况下(步骤S67为NG)，主控制部20使显示装置24显示包含例如“号码错误。请重新输入新的号码”等的操作引导消息和数字键群231的显示的密码再输入画面(步骤S68)。由此，使用者需要再次进行从上述步骤S64开始的动作，防盗装置2成为接收新输入密码的状态。
主控制部20在判断为两次输入的密码一致的情况下(步骤S67为“是”)，从通信控制部28经车载LAN9，向发动机ECU3发送新的密码数据来作为识别源数据(步骤S69)。发动机ECU3中，通过通信控制部31接收该新的密码数据(步骤S70)。
接收了该号码，主控制部30参照状态数据存储器30M中存储的状态数据。若该状态数据不表示发动机锁定解除状态(即，表示发动机锁定状态)，主控制部30不进行密码数据的登录处理，而将发动机ECU3保持为发动机锁定状态(步骤S70A为“否”)。这种动作例如在恶意第三人从信号产生器向车载LAN9注入密码数据时产生。这种情况下，不新登录或变更密码。
另一方面，若状态数据存储器30M的状态数据表示发动机锁定解除状态(步骤S70A为“是”)，则主控制部30将所接收的新的密码数据记录到识别源数据存储部38a中而进行登录(步骤S71)。之后，主控制部30从通信控制部31经车载LAN9，向防盗装置2发送登录完成信号(步骤S72)。防盗装置2通过通信控制部28，接收该登录完成信号(步骤S73)。并且，防盗装置2的主控制部20使显示装置24进行包含“登录了新的密码”等的引导消息的变更完成显示(步骤S74)。
也可在识别源数据存储部38a中登录多个密码数据，但是从提高防盗效果的观点来看，最好可仅登录一个密码。即，最好通过前述操作，删除识别源数据存储部38a的现有的密码数据，将新的密码数据登录到识别源数据存储部38a中。
从所述步骤S62分支，在登录了指纹的特征数据这样的身体信息的情况下，进入到图6所示的身体登录处理。即，使用者按压防盗装置2的操作按键23中的身体信息登录按键237。由此，防盗装置2的主控制部20使显示装置24显示包含“请将手指放置在传感器的上面”等的操作引导消息的画面(步骤S81)。
受该消息所催促，使用者将手指放置在指纹传感器21上(步骤S82)。由此，防盗装置2中，进行指纹读取动作(步骤S83)。即，由特征提取部22生成由指纹传感器21检测出的指纹的特征数据。若完成了该读取动作，主控制部20使显示装置24进行读取完成显示(步骤S84)。并且，主控制部20从通信控制部28经车载LAN9，向发动机ECU3发送新的指纹的特征数据来作为识别源数据(步骤S85)。由此，发动机ECU3中，通信控制部31接收新的特征数据(步骤S86)。
接收了该特征数据，主控制部30参照状态数据存储器30M中存储的状态数据。若该状态数据不表示为发动机锁定解除状态(即，若表示发动机锁定状态)，主控制部30拒绝接受所接收的特征数据，而将发动机ECU3保持为发动机锁定状态(步骤S86A为“否”)。这种动作例如在恶意第三人从信号产生器向车载LAN9注入特征数据的情况下产生。这时，不新登录或变更作为识别源数据的特征数据。
若状态数据存储器30M的状态数据表示发动机锁定解除状态(步骤S86A为“是”)，则主控制部30将所接收的特征数据记录在暂时存储部38b中(步骤S87)。
另一方面，防盗装置2的主控制部20使显示装置24显示包含“为确认，请再次放置手指”等的操作引导消息的画面(步骤S88)。
受该消息催促，使用者再次将手指放置在指纹传感器21上(步骤S89)。由此，防盗装置2中，由特征提取部22进行指纹的读取动作(步骤S90)，而提取该特征数据。若读取完成，则主控制部20使显示装置24进行读取完成显示(步骤S91)。将所读取的指纹的特征数据作为确认用数据，从通信控制部28经车载LAN9向发动机ECU3发送(步骤S92)。发动机ECU3中，由通信控制部31接收该确认用的特征数据(步骤S93)。
接收了该数据的主控制部30参照状态数据存储器30M中存储的状态数据。若该状态数据不表示为发动机锁定解除状态，则主控制部30拒绝接受所接收的特征数据，而将发动机ECU3保持为发动机锁定状态(步骤S93A为“否”)。若状态数据存储器30M的状态数据表示发动机锁定解除状态(步骤S93A为“是”)，则主控制部30通过对照部36，对照暂时存储部38b中存储的最初的特征数据和由上述步骤S93接收的确认用特征数据(步骤S94)。在判断该对照的结果、为上述两个数据一致的情况下(步骤S94的OK)，将新的特征数据记录在识别源数据存储部38a中(步骤S95)。并且，主控制部30从通信控制部31经车载LAN9，向防盗装置2发送登录完成信号(步骤S96)。防盗装置2中，通过通信控制部28，接收该登录完成信号(步骤S97)。响应于此，主控制部20使显示装置24进行包含“登录了新的(指纹)数据”等的引导消息的变更完成显示(步骤S98)。
另一方面，上述步骤S94中，在判断对照部36的对照结果、为上述两个特征数据不一致的情况下(步骤S94的NG)，发动机ECU3的主控制部30从通信控制部31经车载LAN9向防盗装置2发送对照失败信号(步骤S99)。防盗装置2中，通过通信控制部28，接收该对照失败信号(步骤S100)。并且，防盗装置2的主控制部20使显示装置24显示包含“对照失败了。请重新登录”等的操作引导消息的重新登录的显示(步骤S101)。
通过以上说明的处理，可在发动机锁定解除过程中进行识别源数据的登录。本实施形式中，防盗装置2中不具有对照识别数据用的装置，而在发动机ECU3侧设置了对照识别数据用的对照部36。因此，登录识别源数据时，两次输入的识别数据的对照处理还在发动机ECU3侧进行。由于对于密码的对照，其处理比较简单，所以该实施形式中，在防盗装置2侧进行该源数据登录时的对照。当然，即使在发动机ECU3侧进行密码的源数据登录时的对照处理也不妨碍。
发动机ECU3的主控制部30以在状态数据存储器30M中存储表示为发动机锁定解除状态的状态数据为条件，而变为接受新识别源数据的接收(步骤S70，S86)的动作状态。即，当状态数据存储器30M中存储的状态数据表示发动机锁定状态或防盗功能暂时停止过程中时，假设即使经车载LAN9发送了新识别源数据，也拒绝接受，不进行识别源数据的新登录处理或更新处理。因此，只要不由正当使用者进行发动机锁定解除操作，例如，即使将个人计算机连接到车载LAN9中，也不能进行发动机ECU3的识别源数据存储部38a中存储的识别源数据的追加或写入。
图7和图8是说明将防盗装置2替换为新的防盗装置5的情况下的处理用的流程图。防盗装置的替换，例如在防盗装置2的指纹传感器21上产生了不良状态的情况下，或者例如在出现了可进行由更高性能的传感器进行的指纹读取或高性能的特征提取处理的防盗装置情况下进行。该实施形式中，并不限于由发动机ECU3进行识别数据的对照处理，任何情况下都可仅替换防盗装置，而不需要替换发动机ECU3。因此，经济性很好。
若通过图2所示的操作，没有成为发动机锁定解除状态，则不能执行防盗装置的替换。当通过进行图4的操作，暂时停止了防盗功能时，不能替换防盗装置。
因此，使用者首先通过进行图2所示的操作，解除发动机锁定。在此基础上，使用者将新防盗装置5连接到车载LAN9上(步骤S111)。由此，新防盗装置5的主控制部50从通信控制部58经车载LAN9，向发动机ECU3发送模块识别信号(步骤S112)。该模块识别信号由分配给每个防盗装置的新的识别号码构成，用作防盗装置的特定。
发动机ECU3通过通信控制部31接收新的模块识别信号。并将该模块识别信号传递到主控制部30。接收了该信号，主控制部30判断为连接了新防盗装置5(步骤S113)。主控制部30参照状态数据存储器30M，而确认是否为发动机锁定解除状态。若不是发动机锁定解除状态，则忽略所接收的模块识别信号，不进行以后的处理(步骤S113A)。或者，主控制部30也可从通信控制部31经车载LAN9向新防盗装置5发送不能替换信号(步骤S135)。这时，新防盗装置5中，由通信控制部58接收不能替换信号(步骤S136)。接收了该信号的主控制部50使显示装置54进行不能替换显示(步骤S137)。由此，使用者放弃新防盗装置5的替换而将其从车载LAN9拆下(步骤S138)。
在状态数据存储器30M中存储表示为发动机锁定解除状态的状态数据(步骤S113为“是”)，而以确认为发动机锁定解除状态为条件，主控制部30从密钥生成部33中生成密钥数据。将该密钥数据从通信控制部31经车载LAN9，发送到新防盗装置5(步骤S114)。由此，新防盗装置5中，通过通信控制部58接收该密钥数据。将该密钥数据记录到密钥数据存储部55中(步骤S115)。并且，新防盗装置5的主控制部50从识别程序存储部57中读出对应于该新防盗装置5的识别程序后输入到加密部56。加密部56使用密钥数据存储部55中记录的密钥数据，来加密识别程序(步骤S116)。将该加密后的识别程序从通信控制部58经车载LAN9发送到发动机ECU3(步骤S117)。
发动机ECU3中，由通信控制部31接收上述加密后的识别程序(步骤S118)。将该加密后的识别程序传递到解码部34。解码部34通过对应于由密钥生成部33生成的密钥数据的解码数据，解密该加密后的识别程序而进行解码(步骤S119)。由此，若解码成功，主控制部30从通信控制部31经车载LAN9，向新防盗装置5发送程序接收完成信号(步骤S120)。
虽然密钥数据和解码数据可以相同，但是通常使其不同，从而可以使识别程序的不正当解密变得困难。例如，若适用公开密钥系统，则车载LAN9上出现的密钥数据对应于公开密钥数据，发动机ECU3内保持的解码数据对应于秘密密钥数据。这时，由于即使使用密钥数据也不能解码加密后的识别程序，所以即使截听车载LAN9上出现的密钥数据，也不能解码加密后的识别程序。
接着，新防盗装置5中，通过通信控制部58，接收来自发动机ECU3的程序接收完成信号(步骤S121)。并且，如图8所示，主控制部50从通信控制部58经车载LAN9，向发动机ECU3发送测试数据(步骤S122)。由此，发动机ECU3中，由通信控制部31接收测试数据，而记录在暂时存储部38b中(步骤S123)。该测试数据为虚拟的识别数据，用于判断来自新防盗装置5的信号是否由发动机ECU3正确读取并进行处理。
接着，新防盗装置5的主控制部50从通信控制部58经车载LAN9，向发动机ECU3发送测试确认数据(步骤S124)。由此，发动机ECU3中，由通信控制部31接收测试确认数据(步骤S125)。虽然该测试确认数据是虚拟的识别数据，但是为与上述测试数据不同的数据。例如，即使在同一使用者将相同的手指放置在指纹传感器上的情况下，因其放置方法的不同，特征提取结果有一些不同。因此，作为指纹的特征数据的识别数据不一定为定值。因此，将测试数据和与其有一些不同的测试确认数据发送到发动机ECU3上，进行对照处理的测试。
发动机ECU3中，对照部36对照暂时存储部38b中存储的最初测试数据和由上述步骤S125接收的测试确认数据(步骤S126)。在判断该对照的结果、为上述两个数据符合的情况下(步骤S126的OK)，主控制部30从通信控制部31经车载LAN9向新防盗装置5发送对照完成信号(步骤S127)。与此同时，主控制部30将上述解码后的识别程序记录在识别程序存储部35中(步骤S128)。这样，发动机ECU3的对照部36之后根据对应于新防盗装置5的识别程序，进行识别数据的对照处理。即，对照部36进行新防盗装置5专用的识别数据对照处理。
接着，旧防盗装置2中，由通信控制部28接收对照完成信号(步骤S129)。接收了该信号的主控制部20使显示装置24进行替换完成显示(步骤S130)。由此，使用者从车载LAN9拆下旧防盗装置2(步骤S131)。之后，使用者为了使用新防盗装置5登录识别源数据(指纹的特征数据)，而执行从图6的步骤S81开始的处理。
另一方面，对照部36在判断为上述测试数据和测试确认数据不符合的情况下(步骤S128的NG)，主控制部30将由操作次数计数器37计数的失败计数值加“1”(步骤S132)。主控制部30判断操作次数计数器37的计数值是否为“3”或“3”以上(步骤S133)。在操作次数计数器37的计数值为“2”或“2”以下的情况下，主控制部30从通信控制部31经车载LAN9，向新防盗装置5发送对照失败信号(步骤S134)，而从所述步骤S114开始重新进行处理。另一方面，步骤S133中，在主控制部30判断为操作次数计数器37的计数值为“3”或“3”以上的情况下，推定为新防盗装置5为次品，并从通信控制部31经车载LAN9向新防盗装置5发送不能替换信号(步骤S135)。
新防盗装置5中，通过通信控制部58接收不能替换信号(步骤S136)。接收了该信号的主控制部50使显示装置54进行不能替换显示(步骤S137)。由此，使用者放弃替换新防盗装置5，而将其从车载LAN9拆下(步骤S138)。
通过如上的处理，以通过正当使用者设为发动机锁定解除状态为条件，而可将旧防盗装置2替换为新防盗装置5。
如上所说明的那样，根据本实施形式，防盗装置2不进行所输入的识别数据(指纹的特征数据或密码数据)的正当性判断，而原样送到发动机ECU3侧。并且，发动机ECU3通过进行识别数据的对照处理，而判断输入了识别数据的使用者是否为正当使用者。因此，即使使用信号发生器等向车载LAN9注入了发动机启动指令信号，也不能启动发动机4。由此，可以使由盗窃集团进行的车辆窃取变得非常困难。这样，可以实现提高了防盗效果的防盗系统。
本实施形式中，在防盗装置2、5侧保持识别程序，向发动机ECU3发送该识别程序来进行登录。由此，发动机ECU3的对照部36可进行对应于连接到车载LAN9的防盗装置2、5的识别数据对照处理。由此，即使在将现有的防盗装置2与新防盗装置5替换的情况下，也不需要替换发动机ECU3，而可构筑利用了新防盗装置5的防盗系统。
上面，虽然说明了本发明的一实施形式，但是本发明还可由其他形式来实施。例如，上述实施形式中，虽然说明了具有发动机来作为动力源的车辆的防盗用的装置，但是对于通过电机等其他种类的动力源来移动的移动体，也可适用本发明。
虽然详细说明了本发明的实施形式，但是其不过是用于理解本发明的技术内容的具体例，本发明不应解释为限于这些具体例，仅由附加的权利要求来限定本发明的精神和范围。
本申请对应于2003年9月29日向日本专利局提出的特愿2003-338253号，该发明的全部公开内容在这里通过引用而被组入。