電動移動體、管理設備和驅動管理方法

專利名稱：電動移動體、管理設備和驅動管理方法
技術領域：
本發明涉及一種電動移動體、管理設備和驅動管理方法。
背景技術：
近年來，一種被稱為“智能電網(smart grid) ”的技術引起了注意。智能電網是一 種通過構建伴隨有通信信道的新輸電網并使用該智能輸電網來實現有效的電力使用的技 術構架。智能電網的背景想法是實現對電力使用的有效管理、當事故發生時對事故的迅速 處理、對電力使用的遠程控制、使用不受電力公司控制的發電設施的分布式發電、或者電動 移動體的充電管理。具體地講，由普通家庭或操作員(而非電力公司)對使用可再生能量 的家用發電站的有效利用以及對各種電動移動體(典型地包括電動汽車)的充電管理已經 引起了相當多的注意。順便提一句，可再生能量是不需要使用化石燃料而產生的能量。由電力公司之外的普通家庭或操作員產生的電力被發電操作員使用。發電操作員 使用之后的剩余電力目前被電力公司收購。然而，收購不受電力公司控制的發電設施所供 應的電力對于電力公司而言是沉重的負擔。例如，光伏發電設施所供應的電量取決于天氣。 另外，普通家庭的家用發電站所供應的電量取決于普通家庭的電力使用，而普通家庭的電 力使用逐天變化很大。因此，電力公司難以從不受電力公司控制的發電設施接收穩定的電 力供應。出于上述原因，電力公司在未來可能很難收購電力。因此近來，在將不受電力公司控制的發電設施所產生的電力暫時存儲在電池中之 后使用該電力的家用電池構想已經引起了注意。例如，考慮這樣一種使用光伏發電設施所 產生的電力的方法將此類電力存儲在電池中并補償晚上或壞天氣時的不足。另外，考慮這 樣一種方法根據電池存儲量限制從電力公司接收的電力量，或者通過在電費較低的晚上 將電力公司所供應的電力存儲在電池中而在電費較高的白天使用存儲在電池中的電力。另 外，電池可將電力存儲為DC，這使得傳輸過程中不需要DC/AC轉換或AC/DC轉換，從而可減 少轉換過程中的損失。因此，關于電力管理的各種期望在智能電網構想中彼此混合。為了實現這樣的電 力管理，智能電網構想以輸電網伴隨有通信信道為前提。即，假設通過使用該智能輸電網來 交換關于電力管理的信息。然而，在已經建立了通信基礎設施的區域，代替將輸電網用作 通信信道，可通過使用已經部署好的通信基礎設施所構建的網絡來交換關于電力管理的信 息。即，智能電網構想中重要的是如何對沒有統一管理的發電設施和存儲設施進行有效管 理。如上所述，智能電網構想中的電力管理包括對電動移動體的充電管理。電動移動 體(EV)的典型例子是電動汽車。然而，除了電動汽車之外，例如電動自行車、電動公共汽 車、電動貨車、電動船舶和電動飛機也可以被視作電動移動體。當然，電動移動體上安裝有 蓄電池或電容器(以下，稱作電池)。使用存儲在電池中的電力來驅動馬達驅動的可移動 體。電池表示能夠以某種形式存儲能量并再次放出能量的任何單元。其典型例子包括蓄電池和電容器。作為蓄電池，例如，可以給出諸如鋰離子電池、鎳氫電池(nickel-metal hydride battery)、鉛蓄電池和NAS電池的一般蓄電池作為例子。另外，除了目前可使用的這些一般 蓄電池之外，未來可用的任何蓄電池也可用作本發明所述的蓄電池。另一方面，作為電容 器，例如，可使用諸如場效應電容器和陶瓷電容器之類的一般電容器或者近年來正在開發 的大容量雙電層電容器。作為以可再放電形式存儲電能的系統，可給出抽水蓄能發電系統作為例子。抽水 蓄能發電系統將電能轉換為勢能以用于存儲。然后，當再放出電能時，勢能用于產生電力。 例如，使用電能將水抽到更高位置并且當放出電能時，利用引起水下落的能量來進行水力 發電。因此，將電能轉換為勢能的系統也可被考慮作為一種電池。作為以可再放電形式存儲電能的機構，利用水電解的結構是已知的。在該機構中， 當存儲電能時，利用電能進行水電解，并且存儲產生的氫。然后，當再放出電能時，存儲的氫 被燃燒以產生電力，或者存儲的氫用于利用燃料電池來產生電力。這樣的機構也可被考慮 作為一種電池。如上所述，能夠通過某種方法暫時存儲電能并再次提供電能的所有結構都可被考 慮作為一種電池。現在，設立在普通家庭中的充電設施或由各種操作員設立的充電設施用于對電動 移動體的電池充電。為了從充電設施對電動移動體進行充電管理，允許充電設施識別各電 動移動體的機構是必要的。關于從充電設施對電動移動體進行充電管理的機制，JP-A-2007-228695公開了一 種通過利用ETC卡的信息來執行電動移動體(汽車)的認證的技術。該專利文件的技術用 于充電設施，以在開始或結束從充電設施至電動移動體的電力饋送時，從電動移動體獲取 ETC卡的信息并識別充電的用戶，從而防止盜用電力。另外，JP-A-2007-252016公開了一種 用于電動移動體(汽車)的技術，其從車輛防盜系統的應答器鑰匙(transponder key)讀 取ID碼，認證該ID碼，并將認證結果發送給充電設施。應答器鑰匙是設置有小電子通信芯 片的鑰匙。

發明內容
通過采用上述專利文件中公開的認證技術，充電設備能夠正確地識別電動移動 體。然而，上述專利文件中公開的技術是使充電設備識別電動移動體的技術，難以將該技術 延伸為直接或間接地管理來自充電設備外部的電動移動體的技術。為了在充電時向電動移 動體的用戶提供除了充電服務之外的附加服務，必須構建能夠通過充電設施或者從充電設 施外部對電動移動體進行更高級的管理的機制。例如，在零售店的停車場處提供充電服務的情況下，允許在商店內使用IC卡等繳 納充電費的機制可能是必要的。另外，根據購物總量向在商店中購物的用戶提供充電費折 扣服務的機制可能是必要的。另外，允許商店充當代理并征收根據電動移動體充電瓦時所 征的稅的機制可能是必要的。為了實現這些機制，有必要考慮一種安全地管理用于識別電 動移動體的識別信息并且使提供服務的電動移動體、充電設施和外部裝置(以下，稱為管 理裝置)利用所述識別信息來彼此協作的新機制。
在研究這樣的機制的過程中，本發明的發明人發明出一種在充電期間通過使用存 儲在應答器鑰匙、非接觸式IC卡等(以下，稱為安全令牌)中的電動移動體所唯一具有的 識別信息來促進商店的利用率，并執行電動移動體的驅動管理的機制。依據上述描述，期望 提供一種新的、改進的電動移動體、管理設備和驅動管理方法，其能夠鼓勵電動移動體的使 用者在充電期間，通過使用存儲在安全令牌中的電動移動體所特有的識別信息，而不可避 免地走到管理裝置的安裝場所。根據本發明的實施例，提供一種電動移動體，包括電池，用于存儲電力；連接單 元，用于連接與管理裝置通信的充電器，所述管理裝置能夠從被拿到附近或接觸的安全令 牌讀取每個電動移動體所特有的識別信息；驅動禁止單元，在充電器連接到連接單元之后， 在與電池的充電有關的預定處理開始的情況下，禁止驅動機構的操作；驅動許可單元，在管 理裝置從安全令牌讀取電動移動體的識別信息之后，允許驅動機構的操作。在從安全令牌讀取到電動移動體的識別信息，并且管理裝置基于所述識別信息向 連接到連接單元的充電器通知了用于允許充電的充電許可之后，所述充電器可根據所述充 電許可開始對所述電池充電。所述電動移動體還可包括信息發送單元，在電池被充電時將電動移動體的識別 信息以及關于充電瓦時的信息發送給征稅服務器，所述征稅服務器征收與充電瓦時對應的 量的稅；信息接收單元，從所述征稅服務器接收征稅處理的完成通知，所述征稅處理是基于 由信息發送單元發送的電動移動體的識別信息以及關于充電瓦時的信息執行的。所述驅動 許可單元可在信息接收單元接收到所述完成通知之后允許驅動機構的操作。所述電動移動體還可包括認證處理單元，在所述管理裝置從安全令牌讀取認證 信息并且管理裝置向充電器提供所述認證信息之后，基于所述認證信息與充電器之間執行 認證處理，所述認證信息用于與所述電動移動體的識別信息所對應的電動移動體之間執行 認證處理。在認證處理單元認證成功的情況下，所述信息發送單元和驅動禁止單元分別開 始處理。 所述安全令牌可控制能夠進行讀取的時間，使得無法以短于預定時間的時間間隔 連續讀取所述認證信息。根據本發明的另一實施例，提供一種管理設備，包括讀取單元，從被拿到附近或 接觸的安全令牌讀取信息；識別信息獲取單元，利用所述讀取單元獲取每個電動移動體所 特有的識別信息；驅動許可通知單元，將允許驅動機構的操作的驅動許可通知給電動移動 體中與所述識別信息獲取單元所獲取的識別信息對應的電動移動體，所述電動移動體具有 在與電池充電有關的預定處理開始的情況下禁止驅動機構的操作的功能并且其驅動機構 的操作已經通過所述功能而被禁止。在驅動許可通知單元通知所述驅動許可之后，電動移 動體允許驅動機構的操作。所述管理設備還可包括充電許可通知單元，把充電許可通知給充電器，所述充電 許可用于允許對與識別信息獲取單元所獲取的識別信息對應的電動移動體的電池進行充 電，所述充電器用于向所連接的電動移動體供應電力。所述充電器可根據所述充電許可開 始對電動移動體的電池充電。根據本發明的另一實施例，提供一種由電動移動體執行的驅動管理方法，所述電 動移動體包括存儲電力的電池以及將連接到與管理裝置通信的充電器的連接單元，所述管理裝置能夠從被拿到附近或接觸的安全令牌讀取每個電動移動體所特有的識別信息，所述 方法包括步驟在充電器連接到連接單元之后，在與電池的充電有關的預定處理開始的情 況下，禁止驅動機構的操作；在管理裝置從安全令牌讀取電動移動體的識別信息之后，允許 驅動機構的操作。根據本發明的另一實施例，提供一種驅動管理方法，包括以下步驟利用讀取設備 獲取每個電動移動體所特有的識別信息，所述讀取設備從被拿到附近或接觸的安全令牌讀 取信息；將允許驅動機構的操作的驅動許可通知給電動移動體中與在獲取識別信息的步驟 中獲取的識別信息對應的電動移動體，所述電動移動體具有在與電池充電有關的預定處理 開始的情況下禁止驅動機構的操作的功能并且其驅動機構的操作已經通過所述功能而被 禁止。根據本發明的另一實施例，提供一種用于使計算機實現電動移動體中所包括的每 個結構元件的功能的程序。另外，根據本發明的另一實施例，提供一種用于使計算機實現管 理設備中所包括的每個結構元件的功能的程序。另外，根據本發明的另一實施例，提供一種 記錄有所述程序的記錄介質，所述記錄介質能夠被計算機讀取。根據上述本發明的實施例，可實現一種鼓勵電動移動體的使用者在充電期間，通 過使用存儲在安全令牌中的電動移動體所特有的識別信息，而不可避免地走到管理裝置的 安裝場所的機制。


圖1是示出根據本發明實施例的充電系統的系統構造實例的說明圖；圖2是示出根據實施例的用于電動移動體的認證處理的公共密鑰證書的構造實 例的說明圖；圖3A是示出根據實施例的充電設備的功能構造實例的說明圖；圖3B是示出根據實施例的充電設備的功能構造實例的說明圖；圖4是示出根據實施例的電動移動體的功能構造實例的說明圖；圖5是示出根據實施例的管理設備的功能構造實例的說明圖；圖6是示出在管理設備從安全令牌讀取認證信息時所執行的處理流程的說明圖；圖7是示出根據實施例的在充電設備和電動移動體之間執行的認證處理的流程 的說明圖；圖8是示出根據實施例的在充電設備和電動移動體之間執行的相互認證處理的 詳細流程的說明圖；圖9是示出根據實施例的電動移動體的驅動管理方法、征稅處理方法和管理電動 移動體的充電的方法的說明圖；圖10是示出根據實施例的修改例的充電系統的系統構造實例的說明圖；圖11是示出根據修改例的充電系統的系統構造實例的說明圖；圖12是示出根據修改例的電動移動體的驅動管理方法、征稅處理方法和管理電 動移動體的充電的方法的說明圖；以及圖13是示出根據實施例的能夠執行認證處理和簽名產生/簽名驗證處理的硬件 構造實例的說明圖。
具體實施例方式以下，將參照附圖詳細描述本發明的優選實施例。需要注意的是，在該說明書和附 圖中，具有基本上相同的功能和結構的結構元件用相同標號指代，將省略對這些結構元件 的重復說明。將簡要提及以下描述的本發明實施例的描述流程。首先，將參照圖1描述根據本 發明實施例的充電系統的系統構造。接下來，將參照圖2描述用于認證處理的根據實施例 的電動移動體50所使用的公共密鑰證書的構造。接著，將參照圖3描述根據實施例的充電 設備40的功能構造。接著，將參照圖4描述根據實施例的電動移動體50的功能構造。然 后，將參照圖5描述根據實施例的管理設備60的功能構造。接下來，將參照圖6描述根據實施例的由管理設備60從安全令牌80讀取認證信 息的處理。接著，將參照圖7和圖8描述根據實施例的在充電設備40和電子移動體50之 間執行的認證處理的流程。然后，將參照圖9描述根據實施例的電動移動體50的驅動管理 方法和管理電動移動體50的充電的方法。這里還將詳細描述通過征稅服務器20的用于征 稅處理的信息交換。接下來，將參照圖10和圖11描述根據實施例的修改例的充電系統的系統構造。然 后，將參照圖12描述根據實施例的修改例的電動移動體50的驅動管理方法和管理電動移 動體50的充電的方法。接下來，將參照圖13描述根據實施例的能夠實現認證處理和簽名 產生/簽名驗證處理的硬件構造實例。最后，將總結實施例的技術想法，并簡要描述從所述 技術想法獲得的操作效果。(描述項目)1 實施例1-1 引言1-2 充電系統的總體構造1-2-1 系統構造1-2-2 征稅處理流程，驅動管理1-3 充電設備40的功能構造1-4 電動移動體50的功能構造1-5 管理設備60的功能構造1-6 充電期間的驅動管理方法2 修改例(向充電設施提供認證功能的構造)2-1 系統構造2-2 充電期間的驅動管理方法3 硬件構造實例4 總結<1:實施例〉在下文中，將描述本發明的實施例。本實施例涉及一種鼓勵電動移動體的使用者 在充電期間，通過使用存儲在安全令牌中的電動移動體特有的識別信息，而必然走到管理 裝置的安裝場所的機制。另外，本實施例涉及一種安全可靠地征收電動移動體充電時所征的稅的機制。<1-1:引言〉考慮根據充電瓦時(watt-hour)的征稅處理來設計根據本實施例的充電系統。因 此，將簡要描述關于電動移動體(這里將以電動汽車作為例子)征稅的問題。為了對電動 汽車征稅，用于識別與電動汽車征稅有關的裝置的信息將是必要的。在對電動汽車充電時 可以管理的信息包括，例如關于充電設施的信息、關于電動汽車的信息以及關于充電瓦時 的信息。如果使用此類信息，則可以實現例如能夠根據充電期間所充的瓦時對電費進行計 費和結算的機制。然而，實現能夠根據充電期間充電瓦時對電動汽車上所征的稅執行征稅 處理的機制伴隨有較大困難。移動體的汽油費通常包括諸如公路稅和碳排放稅之類的稅。公路稅是移動體所特 有的稅，是出于移動體駕駛者負擔與道路有關的成本的目的而征收的。另一方面，碳排放稅 是對所有使用化石燃料的人所征的稅，是出于將該稅收用于環境保護的目的。如果應該對 普通家庭中使用的所有電力征與公路稅對應的稅，則征稅處理將簡單很多，但是新的問題 出現對并非用于電動汽車充電的電費也征收了移動體所特有的稅。如果提供了專用于電 動汽車充電的插口(outlet)，則可提供一種只在專用插口被使用時才征稅的機制，但是有 關方將肩負沉重的成本負擔，因為專用插口的安裝成本以及各個專用插口的費用管理將是 必要的，這將會阻礙電動汽車使用的普及。電動汽車征稅存在上述這樣的問題。因此，為了解決此類問題，本實施例提出了這 樣一種機制，其利用智能電網基礎設施并在電動汽車和征稅者之間直接執行征稅處理。另 外，為了實現這一機制，提出了在電動汽車與征稅人之間安全交換信息的機制。另外，提出 了在充電期間防止逃稅的機制。通過組合這些機制，可解決上述與電動汽車征稅處理有關 的困難。另外，應該注意的是，盡管以電動汽車作為例子進行了說明，但是與征稅處理有關 的問題也能應用于其他電動移動體。在下文中，首先將在簡單描述與征稅處理有關的機制的同時，描述利用安全令牌 實現促銷服務的機制。然后，將詳細描述在充電時從電動移動體安全可靠地收稅的機制。<1-2 充電系統的總體構造>首先，將參照圖1描述根據本實施例的充電系統的總體構造。圖1是示出根據本 實施例的充電系統的系統構造實例以及在充電期間在充電系統中執行的征稅處理的流程 (概要)的說明圖。另外，圖1所示的充電系統的系統構造僅是例子，在可保持根據本實施 例的技術特征的范圍內，可任意修改該系統構造。下面將依次描述系統構造和征稅處理流程。(1-2-1:系統構造)如圖1所示，充電系統由證書管理機構10、征稅服務器20、充電設備40、電動移動 體50、管理設備60和讀取器/寫入器70組成。征稅服務器20經網絡30連接到充電設備 40。(證書管理機構10)證書管理機構10是發放公共密鑰證書的組織。證書管理機構10由例如國家來控 制。證書管理機構10保存秘密密鑰SktlW及與秘密密鑰Sktl成對的公共密鑰Plv另外，證 書管理機構10保存利用秘密密鑰Sktl產生的公共密鑰證書Q。公共密鑰證書Ctl包含公共密鑰Pktl。(征稅服務器20)征稅服務器20是對電動移動體50的所有者執行征稅處理的裝置。征稅服務器20 受例如國家稅務機關控制。征稅服務器20保存秘密密鑰Skt以及與秘密密鑰Skt成對的公 共密鑰P kt。另外，征稅服務器20保存由證書管理機構10利用秘密密鑰Sktl產生的公共 密鑰證書Ct。公共密鑰證書Ct包含公共密鑰pkt。(充電設備40)充電設備40是用于為連接到插頭的電動移動體50供應電力的裝置。另外，充電 設備40可向管理設備60發送信息，或者從管理設備60接收信息。充電設備40還可經管 理設備60連接到網絡30，并且經過管理設備60向征稅服務器20發送信息或從征稅服務 器20接收信息。另外，充電設備40可向連接到插頭的電動移動體50發送信息，或者從連 接到插頭的電動移動體50接收信息。(電動移動體50)電動移動體50上安裝有用于存儲電力的電池。電動移動體50還包括用于利用存 儲在電池中的電力來驅動的驅動機構。另外，電動移動體50可經充電設備40、管理設備60 和網絡30，向征稅服務器20發送信息或從征稅服務器20接收信息。電動移動體50還可經 充電設備40向管理設備60發送信息或從管理設備60接收信息。另外，電動移動體50保存秘密密鑰s Ii1以及與秘密密鑰s Ii1成對的公共密鑰Pk115 另外，電動移動體50保存由證書管理機構10利用秘密密鑰Sktl產生的公共密鑰證書C1。該 公共密鑰證書C1包含公共密鑰Pk115(管理設備60、管理終端62、讀取器/寫入器70)管理設備60是用于對連接到充電設備40的電動移動體50執行充電管理和驅動 管理的裝置。除了驅動管理和充電管理之外，管理設備60還可被構造為執行電動移動體的 停車費管理。另外，管理設備60連接到多個管理終端62。各管理終端62連接到讀取器/ 寫入器70。管理終端62安裝在例如零售店或停車場中。讀取器/寫入器70對被拿到附近 或接觸的安全令牌80中的信息進行讀取或寫入。另外，從安全令牌80讀取的信息經管理 終端62輸入到管理設備60。(安全令牌8O)安全令牌80安全地保存用于識別電動移動體50的識別信息。安全令牌80還安 全地保存用于產生密文(ciphertext)的密鑰信息。另外，安全令牌80包括隨機數產生器， 所述隨機數產生器用于在安全令牌80內產生隨機數。安全令牌80還包括密碼產生器，所 述密碼產生器利用被安全保存的密鑰信息來產生密文。例如，應答器鑰匙或非接觸式IC卡 可用作安全令牌80。(1-2-2 征稅處理流程，驅動管理)首先，電動移動體50的使用者將電動移動體50停在安裝有充電設備40的地方。 然后，電動移動體50的使用者將他/她的安全令牌80拿到安裝在零售店、停車場等中的讀 取器/寫入器70附近或與其接觸。此時，讀取器/寫入器70從安全令牌80讀取識別信 息。然后，由讀取器/寫入器70讀取的識別信息經管理終端62被輸入到管理設備60。接 下來，管理設備60將從讀取器/寫入器70輸入的識別信息輸入給充電設備40。
當電動移動體50和充電設備40通過插頭連接時(步驟1)，充電設備40利用從管 理設備60輸入的識別信息來檢測電動移動體50。在連接有多個電動移動體50的情況下， 充電設備40利用識別信息檢測作為處理目標的電動移動體50。當電動移動體50的檢測成 功時，充電設備40適當地執行認證處理。成功進行檢測和認證處理的充電設備40經管理 設備60建立充電設備40與電動移動體50之間的通信路徑以及充電設備40與征稅服務器 20之間的通信路徑(步驟2)。另外，在充電設備40與電動移動體50之間執行相互認證的情況下，管理設備60 利用管理終端62和讀取器/寫入器70獲取電動移動體50的識別信息、隨機數和密文，并 將其輸入到充電設備40。該隨機數是由安全令牌80的隨機數產生器產生的。另外，該密文 是利用密碼產生器基于安全令牌80所保存的密鑰信息加密的所述隨機數。在這種情況下， 充電設備40利用從管理設備60輸入的識別信息、隨機數和密文執行與電動移動體50的相 互認證，并在成功進行相互認證之后，建立與征稅服務器20的通信路徑。當電動移動體50與征稅服務器20之間的通信路徑建立時，在電動移動體50和征 稅服務器20之間執行認證處理(例如，IS09798-3)(步驟3)。在步驟3中，首先由征稅服務器20產生隨機數并將其發送給電動移動體50。 在接收隨機數艮之后，電動移動體50產生隨機數R1,以利用電動移動體50的秘密密鑰Sk1 為包含隨機數R1和艮(如果必要，還可包含征稅服務器20的識別IDt)的消息產生數字簽 名S1。然后，電動移動體50將公共密鑰證書C1、隨機數R1和數字簽名S1發送給征稅服務器 20。在接收公共密鑰證書C1、隨機數R1和數字簽名S1之后，征稅服務器20從預先自證 書管理機構10獲取的公共密鑰證書Ctl提取公共密鑰Pktl,從而使用提取的公共密鑰Pktl驗 證公共密鑰證書C115在驗證成功之后，征稅服務器20從公共密鑰證書C1提取公共密鑰Pk1, 以使用提取的公共密鑰Pk1驗證數字簽名Sp如果驗證成功，則征稅服務器20認證電動移 動體50為真。然后，征稅服務器20交換隨機數和隨機數R1的順序，以利用秘密密鑰Skt 為包含隨機數R1和艮(如果必要，包含電動移動體50的識別IDtl)的消息產生數字簽名St。 然后，征稅服務器20將其公共密鑰證書Ct和數字簽名St發送給電動移動體50。在接收公共密鑰證書Ct和數字簽名St之后，電動移動體50從預先自證書管理機 構10獲取的公共密鑰證書Ctl提取公共密鑰Pktl,以使用提取的公共密鑰Pktl驗證公共密鑰 證書Ct。在驗證成功之后，電動移動體50從公共密鑰證書Ct提取公共密鑰pkt，以使用提 取的公共密鑰Pkt驗證數字簽名St。如果驗證成功，則電動移動體50認證征稅服務器20為 真。如果電動移動體50和征稅服務器20中均認證成功，則步驟3中的認證處理完成。如果不應執行像上述一樣的復雜認證處理，則步驟3中的處理可如下所述改變。在步驟3中，電動移動體50首先利用其秘密密鑰Sk1為包含其識別IDev的消息產 生數字簽名S1'，并將電動移動體50的公共密鑰證書C1和數字簽名S1'發送給征稅服務 器20 ο在接收到公共密鑰證書C1和數字簽名S/之后，征稅服務器20從預先自證書管 理機構10獲取的公共密鑰證書Ctl提取公共密鑰Pktl,以使用提取的公共密鑰Pktl驗證公共 密鑰證書Q。在驗證成功之后，征稅服務器20從公共密鑰證書C1提取公共密鑰Pk1,以使 用提取的公共密鑰Pk1驗證數字簽名S/。如果驗證成功，則征稅服務器20認證電動移動體50為真，并隨著該處理，完成步驟3中的認證處理。在這種情況下，如果惡意第三方攔截過去交換的數字簽名S/，則該第三方可利 用該信息通過認證處理，但是否被濫用可通過下面的處理來確定。步驟3中的處理還通過以如下所述方式改變該處理來進一步簡化。在步驟3中，公共密鑰證書Ct首先從征稅服務器20發送到電動移動體50。接下 來，公共密鑰證書C1從電動移動體50發送到征稅服務器20。在從征稅服務器20接收到公 共密鑰證書Ct之后，電動移動體50從預先自證書管理機構10獲取的公共密鑰證書Ctl提取 公共密鑰Pktl,以使用提取的公共密鑰Pktl驗證公共密鑰證書Ct。另一方面，在從電動移動體50接收到公共密鑰證書C1之后，征稅服務器20從預先 自證書管理機構10獲取的公共密鑰證書Ctl提取公共密鑰Pktl,以使用提取的公共密鑰Pktl 驗證公共密鑰證書Cp電動移動體50和征稅服務器20中均成功驗證完成了步驟3中的認 證處理。同樣在此情況下，惡意第三方可通過某種方法獲取電動移動體50的公共密鑰證 書C1,從而通過認證處理，但是否被濫用可通過下面的處理來確定。如果在步驟3中成功完成認證處理，則充電設備40通過向電動移動體50供應電 力來為電動移動體50的電池充電(步驟4)。此時，電動移動體50禁止驅動機構(例如，馬 達)的操作。當電池的充電完成時，電動移動體50和征稅服務器20開始征稅處理(步驟 5)。由于認證在步驟3中成功完成，所以征稅服務器20已經正確地識別出電動移動體50 的所有者(公共密鑰證書C1中所包含的電動移動體50的ID信息(上述識別IDEV))，并以 該所有者作為應納稅人來執行征稅處理。在步驟5中，電動移動體50首先將關于充電瓦時的信息發送給征稅服務器20 (充 電瓦時通知)。在從電動移動體50接收到關于充電瓦時的信息之后，征稅服務器20基于充 電瓦時執行征稅處理。例如，征稅服務器20依據充電瓦時計算稅金量，并將計算出的稅金 量與電動移動體50的所有者相關聯地記錄。當這樣的征稅處理完成時，征稅服務器20將 指示征稅處理完成的信息發送給電動移動體50 (征稅完成通知)。電動移動體50從征稅服 務器20接收指示征稅處理完成的信息，并維持征稅處理完成時的狀態(以下，稱為征稅完 成狀態)。當電動移動體50的使用者再次將安全令牌80拿到讀取器/寫入器70附近或與 其接觸時，管理設備60經讀取器/寫入器70從安全令牌80獲取識別信息。接下來，管理 設備60將獲取的識別信息輸入給充電設備40。當識別信息被輸入時，充電設備40檢測與 管理設備60所輸入的識別信息對應的電動移動體50。然后，充電設備40將指示允許驅動 機構的操作的許可信息發送給電動移動體50。在電動移動體50處于征稅完成狀態的情況 下，電動移動體50依據所述許可信息的接收來允許驅動機構的操作。另一方面，在電動移 動體50不處于征稅完成狀態的情況下，電動移動體50在接收到所述許可信息之后依據征 稅完成通知來允許驅動機構的操作。在前面的描述中，簡要描述了系統構造和征稅處理流程。根據這樣的機制，電動移 動體50在安全令牌80被拿到安裝在商店、停車場等中的讀取器/寫入器70附近或與其接 觸之前將不會移動，因此使用者將不可避免地走到讀取器/寫入器70的安裝場所。另外， 電動移動體50在征稅處理完成之前將不會移動，因此可可靠地收稅。另外，盡管識別信息將被導出到電動移動體50之外，但是將使用安全令牌80，因此識別信息將被安全地管理。(證書管理機構10的修改例)在圖1的實例中，從一個位置控制證書管理機構10。然而，如果電動移動體50的 數量增加，則證書管理機構10的負擔也增加。因此，如圖2所示，可進行修改以分級控制證 書管理機構10。以下將簡要描述所述修改。如圖2所示，證書管理機構10具有分級結構， 包括高級證書管理機構12和低級證書管理機構14和16。高級證書管理機構12保存秘密密鑰Sktl以及與秘密密鑰Sktl成對的公共密鑰plv 另外，高級證書管理機構12保存利用秘密密鑰Sktl產生的公共密鑰證書Q。低級證書管理 機構14保存秘密密鑰Sktll以及與秘密密鑰Sktll成對的公共密鑰Pktll。另外，低級證書管理 機構14保存由高級證書管理機構12利用秘密密鑰Sktl產生的公共密鑰證書Ctllt5低級證書管理機構16保存秘密密鑰Sktl2以及與秘密密鑰Sktl2成對的公共密鑰 Pkc^另外，低級證書管理機構16保存由高級證書管理機構12利用秘密密鑰吐^產生的公 共密鑰證書Q。公共密鑰證書Ctl包含公共密鑰Pktl,公共密鑰證書Ctll包含公共密鑰Pktll， 公共密鑰證書Ctl2包含公共密鑰Pktl2。電動移動體50 (EVl)保存秘密密鑰Sk1以及與秘密密鑰Sk1成對的公共密鑰Pk115 另外，電動移動體50 (EVl)保存由低級證書管理機構14利用秘密密鑰Sktll產生的公共密鑰 證書Q。相似地，電動移動體50 (EV2)保存秘密密鑰吐2以及與秘密密鑰吐2成對的公共密 鑰Pb。另外，電動移動體50(EV2)保存由低級證書管理機構14利用秘密密鑰Sktll產生的 公共密鑰證書C2。電動移動體50 (EV3)保存秘密密鑰Sk3以及與秘密密鑰Sk3成對的公共密鑰pk3。 另外，電動移動體50 (EV3)保存由低級證書管理機構16利用秘密密鑰Sktl2產生的公共密鑰 證書C3。相似地，電動移動體50 (EV4)保存秘密密鑰Sk4以及與秘密密鑰Sk4成對的公共密 鑰pk4。另外，電動移動體50(EV4)保存由低級證書管理機構16利用秘密密鑰Sktl2產生的 公共密鑰證書C4。因此，如果證書管理機構10的構造被修改為分級構造，則上述步驟3中所示的認 證處理(1-2-2 征稅處理流程，驅動處理)如下所示修改。這里，以電動移動體50 (EVl)作 為例子，將僅描述修改的公共密鑰證書的交換。在步驟3中從征稅服務器20發送到電動移動體50(EV1)的公共密鑰證書僅包括 公共密鑰證書Ct。除了公共密鑰證書C1之外，從電動移動體50 (EVl)發送到征稅服務器20 的公共密鑰證書還包括預先由電動移動體50 (EVl)從低級證書管理機構14獲取的公共密 鑰證書Ctllt5在從征稅服務器20接收到公共密鑰證書Ct之后，電動移動體50 (EVl)從預先 自高級證書管理機構12獲取的公共密鑰證書Ctl提取公共密鑰Pktl,以利用提取的公共密鑰 Pk0驗證公共密鑰證書Ct。另一方面，在從電動移動體50 (EVl)接收到公共密鑰證書Ctll之后，征稅服務器20 從預先自高級證書管理機構12獲取的公共密鑰證書Ctl提取公共密鑰Pktl,以利用提取的公 共密鑰Pktl驗證公共密鑰證書Ctllt5如果驗證成功，則征稅服務器20從公共密鑰證書Ctll提 取公共密鑰Pktll，以利用提取的公共密鑰Pktll驗證從電動移動體50 (EVl)接收的公共密鑰 證書Cp后續處理與上面的描述相同，并且如果電動移動體50 (EVl)與征稅服務器20中均 認證成功，則步驟3中的認證成功。對于電動移動體50 (EV2)、電動移動體50 (EV3)和電動移動體50 (EV4)，可相似地執行認證處理。在前面的描述中，已經描述了證書管理機構10的構造的修改例。如上所述，根據本實施例的充電系統通過在電動移動體50與征稅服務器20之間 直接交換信息來執行征稅處理。通過采用這樣的構造，可以實現能夠對電動移動體50的所 有者征收電動移動體50所特有的稅的機制，而不需要提供專用于對電動移動體50充電的 特殊插口。另外，在開始充電之后，電動移動體50阻止驅動機構的操作，直到征稅處理完成。 通過采用這樣的構造，可可靠地向電動移動體50的所有者征稅。另外，由于在充電開始時 或在離開時，在將安全令牌80拿到讀取器/寫入器70附近或與其接觸之前，電動移動體50 將不會移動，所以使用者將不可避免地走到讀取器/寫入器70的安裝場所。結果，通過精 心設計讀取器/寫入器70的安裝方法或讀取器/寫入器70的使用定時，可鼓勵用戶在充 電期間使用其他服務。盡管至此描述了根據本實施例的充電系統的總體系統構造，但是以下將更詳細地 描述構成充電系統的充電設備40、電動移動體50和管理設備60的功能構造。<1-3 充電設備40的功能構造>首先，將參照圖3A描述充電設備40的功能構造。圖3A是示出充電設備40的功 能構造的說明圖。如圖3A所示，充電設備40主要包括通信單元402、控制單元404、輸入/輸出單元 406和電力供應單元408。(功能描述)通信單元402是用于與管理設備60通信的裝置。通信單元402還可經管理設備 60連接到網絡30，并與征稅服務器20通信。控制單元404是用于控制通信單元402、輸入 /輸出單元406和電力供應單元408的操作的裝置。輸入/輸出單元406是用于向經插頭 連接的電動移動體50供應電力的裝置。輸入/輸出單元406還向經插頭連接的電動移動 體50發送信息，或從經插頭連接的電動移動體50接收信息。電力供應單元408是電源(發 電裝置或電池)，其經輸入/輸出單元406向經插頭連接的電動移動體50供應電力。另外， 通信裝置402是用于經網絡30與征稅服務器20通信并用于與管理設備60交換信息的裝 置。(操作描述)當電動移動體50連接到插頭時，輸入/輸出單元406檢測到電動移動體50已連 接到插頭。然后，輸入/輸出單元406通知控制單元404電動移動體50已連接。在輸入/ 輸出單元406通知電動移動體50已連接之后，控制單元404控制通信單元402通過管理設 備60建立到征稅服務器20的通信路徑。另外，當經通信單元402從管理設備60輸入隨機數、密文和識別信息時，控制單元 404使用所述隨機數、密文和識別信息執行與電動移動體50的相互認證。在相互認證成功 的情況下，控制單元404經輸入/輸出單元406建立到電動移動體50的通信路徑。另外， 控制單元404經通信單元402從管理設備60接收指示允許充電的充電許可命令。接收到 該充電許可命令的控制單元404將處于能夠對電動移動體50進行電力供應的狀態。當建立了到電動移動體50的通信路徑時，輸入/輸出單元406接收由電動移動體50發送來的用于認證處理的公共密鑰證書(以下，稱為移動體證書)。然后，輸入/輸出單 元406將從電動移動體50接收的移動體證書輸入給控制單元404。控制單元404經通信單 元402將通過輸入/輸出單元406輸入的移動體證書發送給征稅服務器20。通信單元402還接收由征稅服務器20發送來的用于認證的公共密鑰證書(以下， 稱為服務器證書)。然后，通信單元402將從征稅服務器20接收的服務器證書輸入給控制 單元404。控制單元404經輸入/輸出單元406將通信單元402所輸入的服務器證書發送 給電動移動體50。如果征稅服務器20對移動體證書的驗證成功，并且電動移動體50對服 務器證書的驗證成功，則控制單元404經輸入/輸出單元406將從電力供應單元408輸入 的電力供應給電動移動體50。當電動移動體50的充電完成時，控制單元404使得對電動移動體50的電力供應 停止。另一方面，輸入/輸出單元406接收由電動移動體50發送來的關于充電瓦時的信息。 然后，輸入/輸出單元406將從電動移動體50接收的關于充電瓦時的信息輸入給控制單元 404。控制單元404經通信單元402將輸入/輸出單元406所輸入的關于充電瓦時的信息 發送給征稅服務器20。當通過征稅服務器20的征稅處理完成時，通信單元402接收由征稅服務器20發 送來的指示征稅處理完成的信息。然后，通信單元402將從征稅服務器20接收到的指示征 稅處理完成的信息輸入給控制單元404。控制單元404將由通信單元402輸入的指示征稅 處理完成的信息經輸入/輸出單元406發送給電動移動體50。另外，當經通信單元402從管理設備60輸入電動移動體50驅動許可和識別信息 時，控制單元404檢測與輸入的識別信息對應的電動移動體50，并向電動移動體50發送許 可信息。然后，當電動移動體50從插頭移走時，輸入/輸出單元406檢測到電動移動體50 已經從插頭移走。然后，輸入/輸出單元406通知控制單元404電動移動體50已移走。在前面的描述中，已經描述了充電設備40的功能和操作。在上面的描述中，充電 瓦時由電動移動體50管理，但是充電設備40的控制單元404可被構造為管理充電瓦時。例 如，控制單元404可被構造為記錄關于充電瓦時的信息并且在充電完成之后將記錄的關于 充電瓦時的信息通知給征稅服務器20。如果采用這樣的構造，則操作將簡化，因為在電動移 動體50與充電設備40之間關于充電瓦時的信息的交換將是不必要的。(修改實例關于連接到網絡的方法的修改)圖3A所示的充電設備40具有經管理設備60連接到網絡30的通信單元402。然 而，為了實現根據本實施例的充電系統的功能，充電設備40并非必須能夠經管理設備60連 接到網絡30。例如，如圖:3B所示，通過使用充電設備40外部的網絡通信單元45，能使得網 絡30可連接。作為使用網絡通信單元45的方法，例如，一種在充電設備40中設置用于連接到網 絡通信單元45的外部通信單元的方法是可用的，如圖:3B所示。如果采用這樣的構造，則即 使沒有提供能夠經管理設備60連接到網絡30的環境，或者經管理設備60網絡30的連接 由于某種問題而中斷，也可使用外部網絡通信單元45來實現連接到網絡30的連接功能。代替在充電設備40中設置外部通信單元412，一種電動移動體50直接利用網絡 通信單元45實現到網絡30的連接的方法是可用的。在此情況下，通過網絡30發送來的地 址為充電設備40的信息經網絡通信單元45、電動移動體50和輸入/輸出單元406被輸入給充電設備40。如果存在將通過網絡30從充電設備40發送的信息，則經輸入/輸出單元 406、電動移動體50和網絡通信單元45發送所述信息。網絡通信單元45可以是任何通信裝置，只要所述通信裝置處于充電設備40外部。 作為網絡通信單元45，例如，可使用諸如移動電話、移動信息終端和筆記本計算機之類的任 何移動通信設備。通過使用此類移動通信設備作為通信裝置，充電設備40可節省對網絡30 的通信功能。還可將圖:3B所示的充電設備40的構造與圖3A所示的充電設備40的構造結合。 在此情況下，使用網絡通信單元45的通信功能可用作通過通信單元402的通信功能無法很 好地起作用(無法連接到網絡30)時使用的備用裝置。以這樣的方式，充電設備40的通信 裝置可以各種方式進行修改。另外，通過依據充電設備40的設置環境或利用形式將這些各 種通信裝置結合，可實現更安全和方便的充電系統。<1-4 電動移動體50的功能構造>接下來，將參照圖4描述電動移動體50的功能構造。圖4是示出電動移動體50 的功能構造實例的說明圖。如圖4所示，電動移動體50主要包括輸入/輸出單元502、電池504、控制單元506、 存儲單元508、驅動控制單元510和驅動單元512。(功能描述)輸入/輸出單元502是用于在連接到插頭的同時接收來自充電設備40的電力供 應的裝置。輸入/輸出單元502在連接到插頭的同時向充電設備40發送信息或從充電設 備40接收信息。電池504是用于存儲經輸入/輸出單元502從充電設備40供應的電力的
直ο控制單元506是用于控制輸入/輸出單元502、電池504、存儲單元508和驅動控 制單元510的操作的裝置。控制單元506具有與禁止和許可驅動單元512的操作有關的驅 動管理功能以及與許可電池504充電有關的充電管理功能。存儲單元508是用于保存諸如 秘密密鑰、公共密鑰和公共密鑰證書之類的信息的裝置。驅動控制單元510是用于控制驅 動單元512的操作的裝置。驅動單元512是電動移動體50的驅動機構，包括馬達。(操作描述)當電動移動體50連接到插頭時，輸入/輸出單元502檢測電動移動體50與插頭 的連接的完成。然后，輸入/輸出單元502通知控制單元506電動移動體50的連接完成。 在由輸入/輸出單元502通知電動移動體50的連接完成之后，控制單元506執行與充電設 備40的相互認證。如果相互認證成功，并且建立了到充電設備40的通信路徑，則控制單元 506從存儲單元508讀取用于認證處理的公共密鑰證書(移動體證書)。然后，控制單元 506將從存儲單元508讀取的移動體證書經輸入/輸出單元502發送給充電設備40，同時 還將該移動體證書發送給征稅服務器20。輸入/輸出單元502經充電設備40接收由征稅服務器20發送來的用于認證處理 的公共密鑰證書(服務器證書)。然后，輸入/輸出單元502將經充電設備40接收的服務 器證書輸入給控制單元506。控制單元506驗證通過輸入/輸出單元502輸入的服務器證 書。如果服務器證書驗證成功，并且征稅服務器20對移動體證書的驗證也成功，則控制單 元506經輸入/輸出單元502向充電設備40請求電力供應。
控制單元506還通過控制驅動控制單元510來禁止驅動單元512的操作。另外，控 制單元506允許輸入/輸出單元502對電池504充電。當從充電設備40供應電力時，輸入 /輸出單元502將從充電設備40供應的電力供應給電池504。控制單元506監控電池504 所存儲的電荷量，如果電池504所存儲的電荷量達到預定量，則控制輸入/輸出單元502停 止對電池504充電。控制單元506經輸入/輸出單元502將關于瓦時的信息發送給充電設 備40，同時還將該關于瓦時的信息發送給征稅服務器20。在通過征稅服務器20的征稅處理完成之后，輸入/輸出單元502經充電設備40 接收由征稅服務器20發送來的指示征稅處理完成的信息。然后，輸入/輸出單元502將經 充電設備40從征稅服務器20接收到的指示征稅處理完成的信息輸入給控制單元506。另 外，輸入/輸出單元502經充電設備40接收從管理設備60發送來的驅動許可，并將其輸入 給控制單元506。在通過輸入/輸出單元502輸入指示征稅處理完成的信息和驅動許可之 后，控制單元506控制驅動控制單元510以允許驅動單元512的操作。然后，電動移動體50 從插頭移走，以成為實際上可驅動的。在前面的描述中，已經描述了電動移動體50的功能和操作。在上面的描述中，充 電瓦時由控制單元506管理，但是充電設備40可被構造為管理充電瓦時。如果采用這樣的 構造，則操作將簡化，因為在電動移動體50與充電設備40之間將不必交換關于充電瓦時的
fn息ο<1-5 管理設備60的功能構造>接下來，將參照圖5描述管理設備60的功能構造。圖5是示出管理設備60的功 能構造實例的說明圖。(功能描述)如圖5中所示，管理設備60主要包括通信單元602、驅動許可單元604、信息獲取 單元606和充電許可單元608。另外，管理設備60的一部分功能可被分配給管理終端62。通信單元602是用于經網絡30發送/接收信息的裝置。另外，通信單元602還是 用于向充電設備40發送信息或從充電設備40接收信息的通信裝置。驅動許可單元604是 用于向連接到充電設備40的電動移動體50發出許可驅動的驅動許可命令的裝置。信息獲 取單元606是用于經管理終端62控制讀取器/寫入器70并且用于使用讀取器/寫入器70 從安全令牌80獲取信息的裝置。例如，信息獲取單元606獲取存儲在安全令牌80中的電 動移動體50的識別信息、隨機數、密文等。充電許可單元608是用于發出允許對連接到充 電設備40的電動移動體50充電的充電許可命令的裝置。(操作描述)當安全令牌80被拿到讀取器/寫入器70附近或與其接觸時，信息獲取單元606 經讀取器/寫入器70獲取存儲在安全令牌80中的電動移動體50的識別信息。另外，信息 獲取單元606獲取由安全令牌80產生的隨機數以及通過基于存儲在安全令牌80中的密鑰 信息對該隨機數加密而獲得的密文。當獲取這些識別信息、隨機數和密文時，信息獲取單元 606將獲取的識別信息、隨機數和密文輸入給充電許可單元608。充電許可單元608基于由信息獲取單元606輸入的識別信息，發出用于與所述識 別信息對應的電動移動體50的充電許可命令。然后，充電許可單元608將發出的充電許可 命令、識別信息、隨機數和密文經通信單元602發送給充電設備40。如已經描述的，充電設備40通過使用識別信息來識別將被充電的電動移動體50，并使用所述隨機數和密文來執 行與識別出的電動移動體50的相互認證。如果相互認證成功，則充電設備40依據充電許 可命令開始向電動移動體50供應電力。例如，在充電期間，電動移動體50的使用者結束在商店等中的購物。然后，在離開 之前，使用者將安全令牌80拿到讀取器/寫入器70附近或與之接觸。在讀取器/寫入器 70安裝在商店等的付款臺處的情況下，使用者在商店等處付款的同時，將安全令牌80拿到 讀取器/寫入器70附近或與之接觸。另外，在能夠在付款時支付充電費或稅的情況下，驅動許可單元604經通信單元 602從電動移動體50或充電設備40獲取關于瓦時的信息。設置在管理設備60中的結算裝 置(未示出；包括例如充電費和稅金量的顯示裝置以及檢查充電費和稅金量支付完畢的檢 查裝置)請求使用者支付充電費和稅金量。例如，管理設備60在顯示裝置上顯示充電費。 另外，管理設備60通過檢查裝置檢查支付完畢。當通過結算裝置確認支付時，指示支付完 畢的支付完畢通知被輸入到驅動許可單元604。當從結算裝置輸入支付完畢通知，并且通過信息獲取單元606從安全令牌80讀取 的電動移動體50的識別信息被輸入時，驅動許可單元604以所述識別信息所指示的電動移 動體50為地址發出驅動許可。由驅動許可單元604發出的驅動許可連同所述識別信息一 起經通信單元602被發送到充電設備40。當接收到識別信息和驅動許可時，充電設備40檢 測與接收到的識別信息對應的電動移動體50，并將驅動許可發送給該電動移動體50。當接 收到征稅處理完成通知和驅動許可時，電動移動體50允許驅動機構的操作。在前面的描述中，已經描述了管理設備60的功能和操作。如上所述，管理設備60 從被拿到讀取器/寫入器70附近或與之接觸的安全令牌80獲取信息，并依據獲取的信息 類型或獲取定時來執行電動移動體50的充電管理和驅動管理。如果采用這樣的構造，可使 電動移動體50的使用者不可避免地走到讀取器/寫入器70的安裝場所。另外，上述充電許可單元608(和充電設備40)的操作可如下修改。首先，充電許 可單元608將由信息獲取單元606輸入的識別信息發送給充電設備40。然后，充電設備40 檢測與接收到的識別信息對應的電動移動體50，并將檢測結果(關于檢測到的電動移動體 50的信息)發送給管理設備60。發送給管理設備60的檢測結果被輸入給充電許可單元 608。然后，充電許可單元608向檢測結果所指示的電動移動體50發送充電許可命令、隨機 數和密文。以這樣的方式，通過檢測將給予充電許可的電動移動體50，然后向連接到電動移 動體50的充電設備40提供認證處理所必要的信息，不必向沒有連接到允許充電的電動移 動體50的其他充電設備40發送不需要的信息。<1-6 充電期間的驅動管理方法>以下，將依次說明根據本實施例的驅動管理方法、與使用安全令牌80的驅動管理 有關的處理流程以及征稅處理流程。(驅動管理的細節)首先，將參照圖6至圖8描述根據本實施例的驅動管理方法。圖6是示出管理設 備60與安全令牌80之間的信息交換的流程圖。圖7是示出充電設備40和電子移動體50 之間的信息交換的流程圖。圖8是示出充電設備40和電動移動體50之間執行的相互認證的處理順序的說明圖。首先，將參照圖6。當安全令牌80被拿到讀取器/寫入器70附近或與之接觸時， 管理設備60與安全令牌80執行相互認證610 。這里，該相互認證可被其他認證方法替 代。考慮將使用的安全令牌80的用法或其便利性來優選地確定步驟S102中的認證方法的 替代。這里，假設在步驟S102中執行相互認證。如果步驟S102中執行的相互認證成功，則在管理設備60與安全令牌80之間建立 通信路徑。然后，管理設備60發出從安全令牌80讀取識別信息IDev的讀取命令，并將該讀 取命令發送給安全令牌80 (S104)。接下來，當接收到讀取命令時，安全令牌80將識別信息 IDev發送給管理設備60 (S106)。接下來，當從安全令牌80接收到識別信息IDev時，管理設備60發出讀取認證信 息的讀取命令，并將所述讀取命令發送給安全令牌80 (S108)，所述認證信息用于充電設 備40與電動移動體50之間的相互認證。接下來，當接收到讀取命令時，安全令牌80產生 隨機數(SllO)。然后，安全令牌80使用安全保存的密鑰信息對產生的隨機數加密，并產 生密文(SlU)。接著，安全令牌80將包括所述密文和隨機數的認證信息發送給管理設備 60(S114)。然后，管理設備60將從安全令牌80讀取的識別信息IDev和認證信息發送給充電 設備40。接下來，將參照圖7。充電設備40接收從管理設備60發送來的識別信息IDev和 認證信息(S12》。如上所述，所述認證信息包括隨機數和密文。因此，充電設備40使用 包括在認證信息中的密文作為認證密鑰。然后，充電設備40將隨機數發送給電動移動體 50 (S124)。接下來，當從充電設備40接收到隨機數時，電動移動體50使用接收的隨機數產 生認證密鑰(S126)。然后，在充電設備40和電動移動體50之間執行相互認證(見圖8)。如果相互認證成功，則充電設備40向電動移動體50發出禁止驅動機構的操作的 驅動禁止命令，并將所述驅動禁止命令發送給電動移動體50 (S130)。然后，電動移動體50 經充電設備40執行征稅處理(見圖9)(S13》。另外，在征稅處理中執行充電處理。同時， 在商店等中結束購物的電動移動體50的使用者在執行付款處理等的同時再次將安全令牌 80拿到安裝在商店的收款臺處的讀取器/寫入器70附近或與之接觸。如已經描述的，此時 讀取識別信息IDev和認證信息。從讀取器/寫入器70接收到識別信息IDev和認證信息的管理終端62將這些信息 發送給管理設備60。接收到這些信息的管理設備60使充電設備40檢測具有該識別信息 IDev的電動移動體50，并將驅動許可命令發送給已檢測到電動移動體50的充電設備40。另外，管理設備60具有充電設備40和電動移動體50的ID的組合，以及具有以列 表來管理的諸如付款處理、征稅處理和充電處理之類的一連串操作，在從管理終端62接收 到識別信息IDct時搜索對應的充電設備40，并將驅動許可命令僅發送給已找到的充電設備 40。以這樣的方式，不必要使充電設備40執行電動移動體50的檢測操作。已接收到識別信息IDev和驅動許可命令(S134)的充電設備40檢測具有該識別信 息IDev的電動移動體50(S136)，檢查檢測到的電動移動體50的征稅處理和充電處理完成， 然后向電動移動體50發出驅動許可命令(S138)。一旦從充電設備40接收到驅動許可命 令，電動移動體50就允許驅動機構的操作(S140)。在這種情況下，電動移動體50被構造為即使接收到征稅處理完成通知，也不允許驅動機構的操作。另外，從維護安全的角度來看， 上述認證密鑰的可用時間優選地被限制為預定時間，或者其可用次數優選地被限制為預定 次數。另外，不使用驅動禁止命令和驅動許可命令的構造也是可能的。例如，如圖9所 示，由于電動移動體50在征稅處理開始時轉變為驅動禁止狀態，所以可省略驅動禁止命令 處理。另一方面，可通過使用征稅處理完成通知來實現不使用驅動許可命令。當步驟S132 的征稅處理完成時，征稅服務器20發送征稅處理完成通知。由于通信路徑經過管理設備60 和充電設備40，所以該完成通知被它們之一保存。然后，代替向電動移動體50發出驅動許 可命令，該完成通知被發送。這能夠省略準備新命令或發出獨立于關于征稅處理的通知的 命令的麻煩。在前面的描述中，已經描述了根據本實施例的驅動管理方法。這里，將參照圖8補 充性地描述步驟SU8中的相互認證。步驟SU8中的相互認證如下執行。另外，假設充電 設備40和電動移動體50保存用于認證的共享密鑰(認證密鑰)。首先，充電設備40產生隨機數&(S15》。然后，充電設備40將隨機數&和識別 信息IDc發送給電動移動體50 (S154)。然后，電動移動體50產生隨機數REV(S156)。然后， 電動移動體50使用隨機數Rev、隨機數&和識別信息1 產生密文Eev(S158)。然后，電動移 動體50將密文Eev發送給充電設備40 (S160)。然后，充電設備40對從電動移動體50接收 的密文Eev進行解密(S162)。接下來，充電設備40檢查在步驟S162中通過解密處理獲得的隨機數&和識別信 息IDe是否與充電設備40所保存的隨機數&和識別信息1 相同(S164)。在檢查結果為 相同的情況下，充電設備40產生會話密鑰K(S166)。然后，充電設備40通過對隨機數&和 Rev以及會話密鑰K加密來產生密文&6168)。然后，充電設備40將密文&發送給電動移 動體 50 (S 170)。接下來，電動移動體50對從充電設備40接收的密文&解密(S17》。然后，電動 移動體50檢查在步驟S172中通過解密處理獲得的隨機數&和Rev是否與電動移動體50所 保存的隨機數相同(S174)。在檢查結果為相同的情況下，電動移動體50與充電設 備40之間的相互認證成功。然后，在電動移動體50與充電設備40之間建立基于會話密鑰 K的安全通信路徑。在前面的描述中，已經描述了在步驟SU6中執行的相互認證的處理順序。(征稅處理的細節)接下來，將參照圖9更詳細地描述在充電期間執行的根據本實施例的驅動管理方 法中所包括的征稅處理。圖9是示出與充電期間執行的根據本實施例的驅動管理方法有關 的一系列處理的流程的說明圖。圖9是詳細具體地示出與電動移動體50和征稅服務器20 之間執行的征稅處理有關的信息交換的說明圖。如圖9所示，電動移動體50首先連接到充電設備40的插頭(S202)。接下來，電動 移動體50檢測到插頭的連接完成(S204)。接下來，電動移動體50經充電設備40建立到 征稅服務器20的通信路徑(S206)。此時，電動移動體50將電動移動體50的識別信息IDev 通知給征稅服務器20，或者與征稅服務器20執行相互認證。識別信息IDev是每個電動移動體50所特有的ID信息。因此，征稅服務器20可基于識別信息IDct識別電動移動體50的所有者(納稅人)。另外，識別信息IDct可例如包含 移動體證書而被發送，可在將數字簽名附加到消息之后以包含識別信息IDct的消息的形式 被發送，或者可通過根據預定相互認證協議執行處理而被發送。當通過步驟S206中的處理在電動移動體50與征稅服務器20之間建立通信路徑 時，征稅服務器20產生管理號M1 (S208)。管理號M1是用于管理每個電動移動體50每次充 電時所通知的信息(例如，充電瓦時和稅金量)的號碼。管理號M1是在避免重復的同時隨 機選擇或依次分配的。接下來，征稅服務器20基于識別信息IDev和管理號M1來產生數字簽名ο i (S210)。 例如，征稅服務器20通過將識別信息IDev和管理號M1輸入使用征稅服務器20的秘密密鑰 skt的簽名產生算法Sig來產生數字簽名ο lt)接下來，征稅服務器20將管理號M1和數字簽名σ工發送給電動移動體50 (S212)。 在從征稅服務器20接收到管理號M1和數字簽名ο i之后，電動移動體50利用管理號Mp 數字簽名σ i和電動移動體50所保存的識別信息IDct驗證管理號M1的有效性(S214)。例 如，電動移動體50通過將識別信息IDev、管理號M1和數字簽名σ工輸入使用征稅服務器20 的公共密鑰Pkt的簽名驗證算法Ver來驗證簽名。如果識別信息IDev、管理號M1和數字簽名σ工被接受，則電動移動體50產生充電 開始請求Hi1,以用于從征稅服務器20接收開始充電的許可(S216)。充電開始請求Hi1是例 如包含從征稅服務器20接收的管理號M1和電動移動體50的識別信息IDev的電子文檔。接下來，電動移動體50基于充電開始請求Hi1產生數字簽名O2(S218)。例如，電 動移動體50通過將充電開始請求Hi1輸入使用電動移動體50的秘密密鑰Sk1的簽名產生算 法Sig來產生數字簽名o2。接下來，電動移動體50將充電開始請求Hi1和數字簽名02發 送給征稅服務器20(S220)。在從電動移動體50接收到充電開始請求Hi1和數字簽名ο 2之后，征稅服務器20 利用數字簽名σ2驗證充電開始請求叫的有效性(S22》。例如，征稅服務器20通過將充 電開始請求Hi1和數字簽名σ 2輸入使用電動移動體50的公共密鑰Pk1的簽名驗證算法Ver 來驗證簽名。如果充電開始請求Hi1和數字簽名σ 2被接受，則征稅服務器20產生充電開始許 可M2,以用于允許開始充電(S224)。充電開始許可M2是例如包含從電動移動體50接收的 充電開始請求Hi1的電子文檔。接下來，征稅服務器20基于充電開始許可M2產生數字簽名 σ 3(S226)。例如，征稅服務器20通過將充電開始許可M2輸入使用征稅服務器20的秘密密 鑰Skt的簽名產生算法Sig來產生數字簽名o3。接下來，征稅服務器20將充電開始許可 M2和數字簽名σ 3發送給電動移動體50 (S228)。在從征稅服務器20接收到充電開始許可M2和數字簽名ο 3之后，電動移動體50 利用數字簽名σ3驗證充電開始許可禮的有效性(S230)。例如，電動移動體50通過將充 電開始許可M2和數字簽名ο 3輸入使用征稅服務器20的公共密鑰pkt的簽名驗證算法Ver 來驗證簽名。如果充電開始許可M2和數字簽名03被接受，則電動移動體50禁止馬達(驅 動單元51 驅動(S23》。另外，電動移動體50可在接收到由管理設備60發出并經充電設 備40發送的驅動禁止命令之后禁止馬達驅動。接下來，電動移動體50發送充電請求以使充電設備40開始供應電力(S234)。當從電動移動體50接收到充電請求，并且接收到由管理設備60發出的充電許可時，充電設備 40開始向電動移動體50供應電力。當充電完成時，電動移動體50獲取關于充電瓦時的信息m2(S236)。例如，電動移 動體50監控電池504的存儲電荷量，并根據充電前后的存儲電荷量之差計算充電瓦時。作 為另外一種選擇，電動移動體50向充電設備40詢問充電瓦時，以從充電設備40獲取關于 充電瓦時的信息m2。接下來，電動移動體50基于充電開始許可M2和關于充電瓦時的信息 m2產生數字簽名o4(S238)。例如，電動移動體50通過將充電開始許可M2和關于充電瓦 時的信息m2輸入使用電動移動體50的秘密密鑰Sk1的簽名產生算法Sig來產生數字簽名 O40接下來，電動移動體50將關于充電瓦時的信息叫和數字簽名Q4發送給征稅服務器 20 (SMO)。另外，在充電費和稅金量的結算將由管理設備60執行的構造的情況下，電動移動 體50經充電設備40將關于充電瓦時的信息m2發送給管理設備60。另外，在充電設備40 管理充電瓦時的情況下，關于充電瓦時的信息m2從充電設備40發送到管理設備60。在從電動移動體50接收到關于充電瓦時的信息m2和數字簽名ο 4之后，征稅服務 器20利用數字簽名O4驗證關于充電瓦時的信息叫的有效性(SM2)。例如，征稅服務器 20通過將關于充電瓦時的信息m2、數字簽名ο 4和征稅服務器20所保存的充電開始許可M2 輸入使用電動移動體50的公共密鑰Pk1的簽名驗證算法Ver來驗證簽名。如果充電開始 許可M2、關于充電瓦時的信息m2和數字簽名ο 4被接受，則征稅服務器20將識別信息IDev、 管理號M1以及關于充電瓦時的信息m2相關聯并記錄(SM4)。接下來，征稅服務器20產生指示征稅處理完成的完成通知M3 (S246)。完成通知M3 是例如包含關于充電瓦時的信息m2的電子文檔。接下來，征稅服務器20基于完成通知M3 產生數字簽名g5(S248)。例如，征稅服務器20通過將完成通知M3輸入使用征稅服務器20 的秘密密鑰Skt的簽名產生算法Sig來產生數字簽名o5。接下來，征稅服務器20將完成 通知M3和數字簽名σ 5發送給電動移動體50 (S250)。在從征稅服務器20接收到完成通知M3和數字簽名ο 5之后，電動移動體50利用 數字簽名σ 5驗證完成通知M3的有效性(S252)。例如，電動移動體50通過將完成通知M3 和數字簽名σ 5輸入使用征稅服務器20的公共密鑰pkt的簽名驗證算法Ver來驗證簽名。 如果完成通知M3和數字簽名ο 5被接受，并且接收到由管理設備60發出的驅動許可，則電 動移動體50允許馬達(驅動單元51 驅動(S254)。在這樣的方式，電動移動體50利用公共密鑰簽名來與征稅服務器20交換用于征 稅的信息。此外，電動移動體50在開始充電之后禁止馬達操作，并在征稅處理完成之后允 許馬達操作。因此，當充電時，電動移動體50的使用者在征稅處理完成之前難以驅動電動 移動體50。結果，可以防止非法逃稅的行為。另外，由于電動移動體50的驅動管理依據安 全令牌80被拿到讀取器/寫入器70附近或與之接觸的定時來執行，所以可使使用者走到 讀取器/寫入器70的安裝場所。在確保足夠的安全性的范圍內，上述步驟S220、S228、S240和S250中發送的電子 文檔和數字簽名的構造可適當改變。例如，除了識別信息IDct和管理號M1之外，充電開始請 求叫還可包含數字簽名σ10另外，充電開始許可M2可包含數字簽名σ2。另外，可基于關 于充電瓦時的信息m2、充電開始許可M2和數字簽名03來產生數字簽名σ4。另外，除了關于充電瓦時的信息m2之外，完成通知M3還可包含充電開始許可M2和數字簽名σ4。此外， 識別每個電子文檔的索引號可被包含在步驟S212、S220、S2^、S240和S250中發送的電子 文檔中。另外，可在消息中包含隨時間改變的數據(例如，時戳)，以防止過去使用過的電子 文檔被重新使用。在前面的描述中，已經描述了根據本實施例的電動移動體50的驅動管理方法。另 外，已經詳細描述了根據本實施例的征稅處理中所執行的信息交換處理。通過采用這樣的 構造，能可靠地征收電動移動體所特有的稅，而不需提供專用于對電動移動體充電的插口。 結果，從電動移動體收稅的額外成本負擔可被抑制，從而促進電動移動體使用的普及。另 外，通過在商店等中安裝讀取器/寫入器70，可使電動移動體的使用者進入商店。結果，可 使用充電服務來進行促銷。(補充說明1)順便提一句，用于上述認證處理的公共密鑰證書的有效日期優選地被設定為電動 移動體50的法定維護日期。例如，如果電動移動體50是電動汽車，則法定維護日期指的是 電動汽車的汽車檢修日期。然而，公共密鑰證書的有效日期并非必須與法定維護日期完全 匹配，例如，可允許一個月的延長期以允許更新，或者可將有效日期設定在法定維護日期之 前以在使用汽車時警告臨近汽車檢修日期。因此，有效日期可被設定為比法定維護日期靠 前或靠后預定天數或預定時間。向電動移動體50發放公共密鑰證書及其提供可通過網絡來進行。然而，鑒于管理 發放日期所必要的負擔以及防止公共密鑰證書非法發放的對策，優選的是采用在汽車檢修 期間重新發放公共密鑰證書的機制。即，通過采用在地區陸路交通管理局的控制下在汽車 檢修期間發放公共密鑰證書的機制，可更容易地發放公共密鑰證書，并且可減少偽造公共 密鑰證書或竊聽的風險。(補充說明2)順便提一句，已經描述了從安全令牌80讀取電動移動體50的識別信息的構造。 本實施例具有這樣的特征依據該識別信息的讀取處理來給出充電許可命令和驅動許可命 令。由管理設備60經管理終端62獲取識別信息。因此，管理設備60可利用充電服務掌握 電動移動體50的停放狀態和充電狀態。因此，本發明的發明人想出由管理設備60來管理 電動移動體50的管理列表的構造，以有效管理電動移動體50的停放狀態和充電狀態。該 管理列表包括從安全令牌80獲取的識別信息。該管理列表還包括關于獲取識別信息的定 時的信息(關于次數的信息，指示第一次還是第二次等)。通過使管理設備60產生這樣的 管理列表，并且通過在管理設備60處管理所述管理列表，能夠根據停放狀態還是充電狀態 來提供服務。另外，上述管理列表的產生和管理可部分地由管理終端62來執行。<2 修改例(為充電設施提供認證功能的構造)>
接下來，將描述本實施例的修改例。在上述充電系統中，在電動移動體50和征稅服務器20之間執行公共密鑰認證和 簽名處理。如果采用這樣的系統構造，沒有必要在充電設備40中存儲公共密鑰證書，這使 得公共密鑰證書的管理和充電設備40的安裝更容易。然而，技術上可以使充電設備40保 存公共密鑰證書。例如，如圖10所示，可以分別為普通家庭中的配電板52或者獨立于配電板52的電動移動體專用充電插口 M發放公共密鑰證書。電動移動體專用充電插口 M表示(例 如)安裝在停車場等中并從獨立于配電板52的變電站(substation)設施接收電力供應的 充電設施。不需要說的是，電動移動體專用充電插口 M的安裝場所和電力供應源可依據使 用模式或安裝環境而適當改變。本修改例涉及這樣的系統構造實例，其分別為配電板52或與充電設備40對應的 電動移動體專用充電插口 M發放公共密鑰證書。<2-1:系統構造〉根據本修改例的充電系統的系統構造基本上與圖1相同，不同的是圖1中的充電 設備40改變為配電板52和電動移動體專用充電插口 54 (見圖10)。另外，充電機制被改變 為使得電動移動體50連接到插口 522，所述插口 522連接到配電板52或電動移動體專用充 電插口 54，以進行充電。然后，如圖11所示，低級證書管理機構15和17的管理者被改變為電力公司等。采 用這樣的系統構造的優點在于能夠從征稅服務器20 —方識別充電設施。例如，公共密鑰 證書經合同電力公司被發放給配電板52或電動移動體專用充電插口 M。通常針對每個配 電板52存在不止一個插口 522，因此可為每個插口 522發放公共密鑰證書，盡管成本方面的 浪費因此增加。即，合同電力公司管理用戶的電力設施(配電板52或電動移動體專用充電插口 54) 0在此情況下，分配每個配電板52和電動移動體專用充電插口 M特有的ID信息。因 此，征稅服務器20可識別每個配電板52和電動移動體專用充電插口 M。對每個配電板52 和電動移動體專用充電插口 M的承包人征稅。即，對每個配電板52和電動移動體專用充 電插口 M所特有的ID信息執行征稅處理。由合同電力公司等進行收稅。下面將描述將上 述充電期間的驅動管理方法應用于根據本修改例的系統構造的情況。<2-2 充電期間的驅動管理方法>將參照圖12描述根據本修改例的充電期間所執行的驅動管理方法。圖12是示出 根據本修改例的與充電期間所執行的驅動管理方法有關的一連串處理的流程的說明圖。這 里，作為實例，將描述在連接有電動移動體50的配電板52與征稅服務器20之間執行的征 稅處理。如果用電動移動體專用充電插口 M的處理代替配電板52的處理，則將獲得在電 動移動體專用充電插口討與征稅服務器20之間執行的征稅處理流程。如圖12所示，電動移動體50首先連接到配電板52的插口 522 (S302)。接下來，電 動移動體50檢測到插口 522的連接完成(S304)。接下來，電動移動體50將認證信息IDev 發送給配電板52(S306)。配電板52保存從電動移動體50接收的認證信息IDev。因此，通 過以這樣的方式保存電動移動體50的認證信息IDev，可識別電動移動體50的所有者。接下來，配電板52建立到征稅服務器20的通信路徑(S308)。此時，配電板52將 配電板52的識別信息ID。通知給征稅服務器20。識別信息ID。是每個配電板52所特有的 ID信息。因此，征稅服務器20可基于識別信息ID。識別配電板52的承包人(納稅人)。例 如，識別信息ID。通過被包括在發放給配電板52的公共密鑰證書中來發送。識別信息ID。 還可在將數字簽名附加到消息之后以包含識別信息ID。的消息的形式發送，或者可通過根 據預定相互認證協議執行處理來發送。當通過步驟S308中的處理在配電板52與征稅服務器20之間建立通信路徑時，征稅服務器20產生管理號M1 (S310)。管理號M1是用于管理每個配電板52每次充電時所通知 的信息(例如，充電瓦時和稅金量)的號碼。管理號M1是在避免重復的同時隨機選擇或依次 分配的。接下來，征稅服務器20基于識別信息ID。和管理號M1來產生數字簽名0l(S312)。 例如，征稅服務器20通過將識別信息ID。和管理號M1輸入使用征稅服務器20的秘密密鑰 skt的簽名產生算法Sig來產生數字簽名ο lt)接下來，征稅服務器20將管理號M1和數字簽名O1發送給配電板52(S314)。在 從征稅服務器20接收到管理號M1和數字簽名ο i之后，配電板52利用管理號M1、數字簽名 σ ！和配電板52所保存的識別信息ID。驗證管理號M1的有效性(S316)。例如，配電板52通 過將識別信息ID。、管理號M1和數字簽名σ工輸入使用征稅服務器20的公共密鑰pkt的簽 名驗證算法Ver來驗證簽名。如果識別信息ID。、管理號M1和數字簽名ο工被接受，則配電 板52產生充電開始請求Hi1,以用于從征稅服務器20接收開始充電的許可(S318)。充電開 始請求Hi1是例如包含從征稅服務器20接收的管理號M1和配電板52的識別信息ID。的電 子文檔。接下來，配電板52基于充電開始請求Hi1產生數字簽名O2(S320)。例如，配電板 52通過將充電開始請求Hi1輸入使用配電板52的秘密密鑰Sk1的簽名產生算法Sig來產 生數字簽名σ2。接下來，配電板52將充電開始請求Hi1和數字簽名O2發送給征稅服務器 20(S32》。在從配電板52接收到充電開始請求Hi1和數字簽名O2之后，征稅服務器20利 用數字簽名σ2驗證充電開始請求叫的有效性(S324)。例如，征稅服務器20通過將充電 開始請求Hi1和數字簽名σ 2輸入使用配電板52的公共密鑰Pk1的簽名驗證算法Ver來驗 證簽名。如果充電開始請求Hi1和數字簽名ο 2被接受，則征稅服務器20產生允許開始充電 的充電開始許可M2 (S326)。充電開始許可M2是例如包含從配電板52接收的充電開始請求 Hi1的電子文檔。接下來，征稅服務器20基于充電開始許可M2產生數字簽名O3(S3^)。例 如，征稅服務器20通過將充電開始許可M2輸入使用征稅服務器20的秘密密鑰Skt的簽名 產生算法Sig來產生數字簽名σ3。接下來，征稅服務器20將充電開始許可M2和數字簽名 σ3發送給配電板52(S330)。在從征稅服務器20接收到充電開始許可M2和數字簽名ο 3之后，配電板52利用 數字簽名σ3驗證充電開始許可禮的有效性(S332)。例如，配電板52通過將充電開始許 可M2和數字簽名ο 3輸入使用征稅服務器20的公共密鑰pkt的簽名驗證算法Ver來驗證 簽名。如果充電開始許可M2和數字簽名O3被接受，則配電板52向電動移動體50發送禁 止馬達驅動的驅動禁止命令(S334)。在接收到驅動禁止命令之后，電動移動體50禁止馬達 驅動(S336)。在禁止馬達驅動之后，配電板52向電動移動體50供應電力。當充電完成時，配電板52產生關于充電瓦時的信息m2(S338)。接下來，配電板52 基于充電開始許可M2和關于充電瓦時的信息叫產生數字簽名o4(S340)。例如，配電板52 通過將充電開始許可M2和關于充電瓦時的信息m2輸入使用配電板52的秘密密鑰Sk1的簽 名產生算法Sig來產生數字簽名o4。接下來，配電板52將關于充電瓦時的信息叫和數字 簽名σ4發送給征稅服務器20(S342)。順便提一句，關于充電瓦時的信息m2可由電動移動 體50的控制單元506產生并經輸入/輸出單元502發送到配電板52。在從配電板52接收到關于充電瓦時的信息m2和數字簽名ο 4之后，征稅服務器20利用數字簽名σ 4驗證關于充電瓦時的信息m2的有效性(S344)。例如，征稅服務器20通 過將關于充電瓦時的信息m2、數字簽名ο 4以及征稅服務器20所保存的充電開始許可禮輸 入使用配電板52的公共密鑰Pk1的簽名驗證算法Ver來驗證簽名。如果充電開始許可M2、 關于充電瓦時的信息m2和數字簽名ο 4被接受，則征稅服務器20將識別信息ID。、管理號M1 以及關于充電瓦時的信息m2相關聯并進行記錄(S346)。接下來，征稅服務器20產生指示征稅處理完成的完成通知M3 (S348)。完成通知M3 是例如包含關于充電瓦時的信息m2的電子文檔。接下來，征稅服務器20基于完成通知M3 產生數字簽名g5(S350)。例如，征稅服務器20通過將完成通知M3輸入使用征稅服務器20 的秘密密鑰Skt的簽名產生算法Sig來產生數字簽名o5。接下來，征稅服務器20將完成 通知M3和數字簽名σ5發送給配電板52(S352)。在從征稅服務器20接收到完成通知M3和數字簽名ο 5之后，配電板52利用數字 簽名σ 5驗證完成通知M3的有效性(S354)。例如，配電板52通過將完成通知M3和數字簽 名σ 5輸入使用征稅服務器20的公共密鑰pkt的簽名驗證算法Ver來驗證簽名。如果完成 通知M3和數字簽名σ 5被接受，則配電板52向電動移動體50發送允許馬達驅動的驅動許 可命令(S356)。例如，如果用安裝在充電站等中的電動移動體專用充電插M代替配電板52，則可 以這樣的方式進行修改從使用者收電費和稅金量的步驟插入到上述步驟S356之前，并且 僅在完成收費之后，處理才進行至步驟S356中的處理。以這樣的方式，配電板52通過利用公共密鑰簽名來與征稅服務器20交換用于征 稅的信息。配電板52在開始充電之前禁止電動移動體50的驅動，并且在征稅處理完成之 后允許驅動。因此，在充電時，禁止電動移動體50的使用者驅動電動移動體50，直到征稅處 理完成為止。因此，可防止非法逃避征稅處理的行為。另外，由于電動移動體50的驅動管 理依據安全令牌80被拿到讀取器/寫入器70附近或與之接觸的定時來執行，所以可使使 用者走到讀取器/寫入器70的安裝場所。<3 硬件構造實例>可使用例如圖13所示的硬件構造實現上述充電管理、驅動管理、認證處理和簽名 產生處理。即，可通過使用計算機程序控制圖13所示的硬件來實現各相關元件的功能。如圖13所示，該硬件主要包括CPU 902、ROM 904和RAM906、主機總線908和橋 910。另外，該硬件包括外部總線912、接口 914、輸入單元916、輸出單元918、存儲單元920、 驅動器922、連接端口擬4和通信單元926。另外，CPU是中央處理單元的縮寫。另外，ROM 是只讀存儲器的縮寫。另外，RAM是隨機存取存儲器的縮寫。CPU 902用作例如計算處理單元或控制單元，并基于記錄在ROM 904、RAM 906、存 儲單元920或可拆卸記錄介質擬8上的各種程序控制各結構元件的全部操作或一部分操 作。ROM 904是用于存儲例如算術運算中使用的載入CPU 902中的程序或數據等的裝置。 RAM 906臨時或永久性地存儲例如在程序運行中任意改變的載入CPU 902的程序或各種參數等。這些結構元件通過例如能夠執行高速數據傳輸的主機總線908彼此連接。對于主 機總線908，例如，主機總線908通過橋910連接到數據傳輸速度相對低的外部總線912。另 外，輸入單元916是例如鼠標、鍵盤、觸摸面板、按鈕、開關或操作桿。另外，輸入單元916可以是可使用紅外線或其他無線電波傳輸控制信號的遙控器。例如，輸出單元918是可以視覺上或聽覺上將獲取的信息通知給用戶的顯示裝置 (諸如CRT、IXD、PDP或ELD)、音頻輸出裝置(諸如揚聲器或頭戴式耳機)、打印機、移動電 話或傳真機。另外，CRT是陰極射線管的縮寫。LCD是液晶顯示器的縮寫。PDP是等離子顯 示面板的縮寫。另外，ELD是電致發光顯示器的縮寫。存儲單元920是用于存儲各種數據的裝置。例如，存儲單元920是諸如硬盤驅動 器(HDD)的磁存儲裝置、半導體存儲裝置、光學存儲裝置或磁光存儲裝置。HDD是硬盤驅動 器的縮寫。驅動器922是讀取記錄在可拆卸記錄介質9 (例如，磁盤、光盤、磁光盤或半導體 存儲器)上的信息或將信息寫入可拆卸記錄介質928的裝置。例如，可拆卸記錄介質928 是DVD介質、藍光介質、HD-DVD介質、各種類型的半導體存儲器介質等。當然，可拆卸記錄 介質擬8可以是例如安裝有非接觸式IC芯片的電子器件或IC卡。IC是集成電路的縮寫。連接端口擬4是諸如USB端口、IEEE1394端口、SCSI、RS_232C端口或用于連接外 部連接裝置930(例如，光學音頻終端)的端口之類的端口。外部連接裝置930是例如打印 機、移動音樂播放器、數碼相機、數碼攝像機或IC記錄器。另外，USB是通用串行總線的縮 寫。另外，SCSI是小型計算機系統接口的縮寫。通信單元擬6是將要連接到網絡932的通信裝置，并且是例如用于有線或無線 LAN、藍牙(注冊商標)、或WUSB的通信卡、光學通信路由器、ADSL路由器、或各種通信調制 解調器。連接到通信單元926的網絡932是由有線連接或無線連接的網絡構造的，并且是 例如互聯網、家用LAN、紅外通信、可見光通信、廣播、或衛星通信。另外，LAN是局域網的縮 寫。另外，WUSB是無線USB的縮寫。另外，ADSL是不對稱數字用戶線路的縮寫。<4:總結〉最后，將總結根據本發明實施例的技術內容。如上所述，根據本實施例的技術可應 用于電動移動體。這里，電動移動體包括例如電動汽車、電動自行車、電動公共汽車、電動貨 車、電動船舶和電動飛機。另外，根據本實施例的技術所應用的電動移動體并非必須意在乘 坐。如果根據本實施例的技術應用于此類電動移動體，其構造假設如下。上述電動移動體包括電池，用于存儲電力；連接單元，用于連接與管理裝置通信 的充電器，所述管理裝置能夠從被拿到附近或接觸的安全令牌讀取每個電動移動體所特有 的識別信息；驅動禁止單元，用于在充電器連接到連接單元之后，開始與電池充電有關的預 定處理的情況下，禁止驅動機構的操作；驅動許可單元，在從安全令牌讀取電動移動體的識 別信息，并且由管理裝置基于所述識別信息向電動移動體通知了允許驅動機構的操作的驅 動許可之后，允許驅動機構的操作。如上所述，通過禁止電動移動體的操作直到從安全令牌讀取識別信息為止，使用 者如果不走到安全令牌的信息讀取裝置的安裝場所，就不允許移動電動移動體。因此，管理 裝置的管理者可將使用者引導至信息讀取裝置的安裝場所。例如，通過將信息讀取裝置安 裝在商店中，可引導使用者進入商店，從而為商店銷售做出貢獻。(注釋)輸入/輸出單元502是連接單元、信息發送單元和信息接收單元的實例。上述控 制單元506是驅動禁止單元、驅動許可單元和認證處理單元的實例。上述讀取器/寫入器70是讀取單元的實例。上述信息獲取單元606是識別信息獲取單元的實例。上述驅動許可 單元604是驅動許可通知單元的實例。充電許可單元608是充電許可通知單元的實例。本領域技術人員應該理解，在不脫離所附權利要求或其等同物的范圍的情況下， 根據設計要求和其他因素可進行各種修改、組合、子組合和替換。例如，在上述實施例的描述中，假設電動移動體50和征稅服務器20經充電設備40 通信，但是通信方法不必限于此。例如，如果電動移動體50具有無線或有線通信功能并且 可以在沒有充電設備40的幫助下連接到網絡30，則電動移動體50可被構造為在沒有充電 設備40的幫助下與征稅服務器20通信。本申請包含的主題涉及2009年12月16日提交到日本專利局的日本優先權專利 申請JP 2009-285442中公開的主題，所述申請的全部內容通過引用合并于此。
權利要求
1.一種電動移動體，包括存儲電力的電池；連接單元，所述連接單元將連接與管理裝置通信的充電器，所述管理裝置能夠從被拿 到附近或接觸的安全令牌讀取每個電動移動體所特有的識別信息；驅動禁止單元，所述驅動禁止單元在所述充電器連接到所述連接單元之后，在與所述 電池的充電有關的預定處理開始的情況下，禁止驅動機構的操作；驅動許可單元，所述驅動許可單元在所述管理裝置從所述安全令牌讀取所述電動移動 體的識別信息之后，允許所述驅動機構的操作。
2.根據權利要求1所述的電動移動體，其中在從所述安全令牌讀取所述電動移動體的 識別信息，并且所述管理裝置基于所述識別信息向連接到所述連接單元的所述充電器通知 了用于允許充電的充電許可之后，所述充電器根據所述充電許可開始對所述電池充電。
3.根據權利要求2所述的電動移動體，還包括信息發送單元，所述信息發送單元在所述電池將被充電時把所述電動移動體的識別信 息以及關于充電瓦時的信息發送給征稅服務器，所述征稅服務器征收與充電瓦時對應的量 的稅；信息接收單元，所述信息接收單元從所述征稅服務器接收征稅處理的完成通知，所述 征稅處理是基于由所述信息發送單元發送的所述電動移動體的識別信息以及關于充電瓦 時的信息執行的，其中所述驅動許可單元在所述信息接收單元接收到所述完成通知之后允許所述驅動 機構的操作。
4.根據權利要求3所述的電動移動體，還包括認證處理單元，所述認證處理單元在所述管理裝置從安全令牌讀取認證信息并且所述 管理裝置向所述充電器提供所述認證信息之后，基于所述認證信息與所述充電器之間執行 認證處理，所述認證信息用于與所述電動移動體的識別信息所對應的電動移動體之間執行 認證處理，其中在所述認證處理單元認證成功的情況下，所述信息發送單元和所述驅動禁止單元 分別開始處理。
5.根據權利要求4所述的電動移動體，其中所述安全令牌控制能夠進行讀取的時間， 使得無法以短于預定時間的時間間隔連續讀取所述認證信息。
6.一種管理設備，包括讀取單元，所述讀取單元從被拿到附近或接觸的安全令牌讀取信息；識別信息獲取單元，所述識別信息獲取單元利用所述讀取單元獲取每個電動移動體所 特有的識別信息；驅動許可通知單元，將允許驅動機構的操作的驅動許可通知給電動移動體中與所述識 別信息獲取單元所獲取的識別信息對應的電動移動體，所述電動移動體具有在與電池充電 有關的預定處理開始的情況下禁止驅動機構的操作的功能并且其驅動機構的操作已經通 過所述功能而被禁止，其中在所述驅動許可通知單元通知所述驅動許可之后，所述電動移動體允許所述驅動 機構的操作。
7.根據權利要求6所述的管理設備，還包括充電許可通知單元，所述充電許可通知單元把充電許可通知給充電器，所述充電許可 用于允許對與所述識別信息獲取單元所獲取的識別信息對應的電動移動體的電池進行充 電，所述充電器用于向所連接的電動移動體供應電力，其中所述充電器根據所述充電許可開始對所述電動移動體的電池充電。
8.一種由電動移動體執行的驅動管理方法，所述電動移動體包括存儲電力的電池以及 將連接到與管理裝置通信的充電器的連接單元，所述管理裝置能夠從被拿到附近或接觸的 安全令牌讀取每個電動移動體所特有的識別信息，所述方法包括以下步驟在所述充電器連接到所述連接單元之后，在與所述電池的充電有關的預定處理開始的 情況下，禁止驅動機構的操作；在所述管理裝置從所述安全令牌讀取所述電動移動體的識別信息之后，允許所述驅動 機構的操作。
9.一種驅動管理方法，包括以下步驟利用讀取設備獲取每個電動移動體所特有的識別信息，所述讀取設備從被拿到附近或 接觸的安全令牌讀取信息；將允許驅動機構的操作的驅動許可通知給電動移動體中與在獲取識別信息的步驟中 獲取的識別信息對應的電動移動體，所述電動移動體具有在與電池充電有關的預定處理開 始的情況下禁止驅動機構的操作的功能并且其驅動機構的操作已經通過所述功能而被禁 止。
全文摘要
本發明涉及電動移動體、管理設備和驅動管理方法。本發明提供一種電動移動體，其包括電池，用于存儲電力；連接單元，用于連接與管理裝置通信的充電器，所述管理裝置能夠從被拿到附近或接觸的安全令牌讀取每個電動移動體所特有的識別信息；驅動禁止單元，用于在充電器連接到連接單元之后，在與電池充電有關的預定處理開始的情況下，禁止驅動機構的操作；驅動許可單元，在所述管理裝置從安全令牌讀取了電動移動體的識別信息之后，允許驅動機構的操作。
文檔編號H02J7/00GK102104593SQ201010568249
公開日2011年6月22日 申請日期2010年12月1日 優先權日2009年12月16日
發明者石橋義人 申請人:索尼公司