特開 2024-11652 電子証明書更新システムおよびプログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】公開特許公報(A)

(11)【公開番号】P2024011652

(43)【公開日】2024-01-25

(54)【発明の名称】電子証明書更新システムおよびプログラム

(51)【国際特許分類】

   H04L 9/32 20060101AFI20240118BHJP

   G06F 21/44 20130101ALI20240118BHJP

   G06F 21/64 20130101ALI20240118BHJP

【ＦＩ】

H04L9/32 200D

H04L9/32 200F

G06F21/44

G06F21/64

【審査請求】未請求

【請求項の数】12

【出願形態】ＯＬ

(21)【出願番号】P 2022113845

(22)【出願日】2022-07-15

(71)【出願人】

【識別番号】399048917

【氏名又は名称】日立グローバルライフソリューションズ株式会社

(74)【代理人】

【識別番号】110000350

【氏名又は名称】ポレール弁理士法人

(72)【発明者】

【氏名】加藤 奨一

(72)【発明者】

【氏名】長谷川 亮

(72)【発明者】

【氏名】笠原 賢哉

(57)【要約】

【課題】
失効した電子証明書を安全に更新する。
【解決手段】
電子証明書２２を保持するサーバー２と、第１の通信経路で通信を行う際に前記サーバーから提示された署名を検証するための第１の電子証明書を記憶する記憶部と、他の機器と通信する通信部と、電子証明書１２を更新する更新部を有し、前記通信部が第２の通信経路を経由して、前記第１の通信経路での通信を行う際に前記サーバーから提示された署名を検証するための電子証明書２２を取得する家電１と、前記第２の通信経路を介して前記家電に、電子証明書２２を送信する情報端末３を有し、前記更新部が、電子証明書１２を電子証明書２２に更新する電子証明書更新システム。
【選択図】 図１

【特許請求の範囲】

【請求項1】

電子証明書を保持するサーバーと、
第１の通信経路で通信を行う際に前記サーバーから提示された署名を検証するための第１の電子証明書を記憶する記憶部と、
他の機器と通信する通信部と、
前記第１の電子証明書を更新する更新部を有し、
前記通信部が第２の通信経路を経由して、前記第１の通信経路での通信を行う際に前記サーバーから提示された署名を検証するための第２の電子証明書を取得する家電と、
前記第２の通信経路を介して前記家電に、前記第２の電子証明書を送信する情報端末を有し、
前記更新部が、前記第１の電子証明書を前記第２の電子証明書に更新する電子証明書更新システム。

【請求項2】

請求項１に記載の電子証明書更新システムにおいて、
前記家電は、前記他の機器との通信を行う際に、前記第１の電子証明書が失効しているかを判定する失効判定部をさらに有し、
前記第１の電子証明書が失効したと判定された場合に、前記通信部は前記第２の電子証明書を取得し、前記更新部は前記第１の電子証明書を前記第２の電子証明書に更新する電子証明書更新システム。

【請求項3】

請求項２に記載の電子証明書更新システムにおいて、
前記第１の通信経路にはインターネットが含まれる電子証明書更新システム。

【請求項4】

請求項２に記載の電子証明書更新システムにおいて、
前記情報端末は、前記サーバーから前記第２の電子証明書を取得し、前記家電に、取得された前記第２の電子証明書を送信する電子証明書更新システム。

【請求項5】

請求項２に記載の電子証明書更新システムにおいて、
前記情報端末は、予め前記第２の電子証明書を記憶し、前記家電に、記憶された前記第２の電子証明書を送信する電子証明書更新システム。

【請求項6】

請求項２に記載の電子証明書更新システムにおいて、
前記失効判定部は、前記通信部が前記第１の電子証明書を用いて、前記他の機器と通信する際に、通信エラーを検知した場合に、前記第１の電子証明書が失効したと判定する電子証明書更新システム。

【請求項7】

電子証明書を保持するサーバーと接続可能な家電を、
第１の通信経路で通信を行う際に前記サーバーから提示された署名を検証するための第１の電子証明書を記憶する記憶部と、
他の機器と通信する通信部と、
前記第１の電子証明書を更新する更新部として機能させ、
前記通信部が、第２の通信経路を経由して、前記第１の通信経路での通信を行う際に前記サーバーから提示された署名を検証するための第２の電子証明書を取得し、
前記更新部が、前記第１の電子証明書を前記第２の電子証明書に更新するプログラム。

【請求項8】

請求項７に記載のプログラムにおいて、
前記家電を、前記他の機器との通信を行う際に、前記第１の電子証明書が失効しているかを判定する失効判定部としてさらに機能させ、
前記第１の電子証明書が失効したと判定された場合に、前記更新部は前記第１の電子証明書を前記第２の電子証明書に更新するプログラム。

【請求項9】

請求項８に記載のプログラムにおいて、
前記第１の通信経路にはインターネットが含まれるプログラム。

【請求項10】

請求項８に記載のプログラムにおいて、
前記家電と接続する情報端末が、前記サーバーから前記第２の電子証明書を取得し、
前記通信部は、取得された前記第２の電子証明書を受け付けるプログラム。

【請求項11】

請求項８に記載のプログラムにおいて、
前記家電と接続する情報端末が予め前記第２の電子証明書を記憶しており、
前記通信部は、記憶された前記第２の電子証明書を受け付けるプログラム。

【請求項12】

請求項８に記載のプログラムにおいて、
前記失効判定部は、前記通信部が前記第１の電子証明書を用いて、前記他の機器と通信する際に、通信エラーを検知した場合に、前記第１の電子証明書が失効したと判定するプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、電子証明書を使用してネットワークに接続する家電等に関し、そのなかでも特に電子証明書を更新する技術に関する。

【背景技術】

【0002】

電子証明書を使用した安全な暗号化通信は、従来からパソコンやスマートフォンで使用されてきた技術である。電子証明書を使用した通信を行うことで、なりすましや盗聴、データの改ざんを防いだ安全な通信を行うことが可能である。しかし、電子証明書に使用されている電子署名や暗号化のアルゴリズムに脆弱性が見つかったり、サーバーで保持する秘密鍵が漏洩するなどのインシデントが発生したりした場合には、電子証明書による暗号化通信の安全性が破られてしまう。このような事態に対応するための1つの仕組みとして、電子証明書には有効期限が設けられており、期限内に電子証明書を更新することで安全な状態を保つことができる仕組みがある。ネットワークに接続される機器の電子証明書の更新は、電子証明書が有効なうちに新しい電子証明書をダウンロードすることによって行う。このような電子証明書の更新については、特許文献１が提案されている。特許文献１では、「アプリケーションサーバ（４０１）の正当性を示すＡＰサーバ証明書Ａ（４０２ａ）が正当であることを示すＣＡ証明書Ａ（１０６ａ）と、次に有効となるＣＡ証明書Ｂ（１０６ｂ）を含むＣＡ情報Ｂ（３０１ｂ）が置かれたダウンロードサーバＢ（４０６ｂ）のＵＲＬを示すＵＲＬＢ（３０２ｂ）とが含まれるＣＡ情報Ａ（３０１ａ）を記憶するメモリ（４１８）と、ＣＡ証明書Ａ（１０６ａ）を用いてＡＰサーバ証明書Ａ（４０２ａ）を検証するサーバ認証部（４１６）と、ＵＲＬＢ（３０２ｂ）が示すダウンロードサーバＢ（４０６ｂ）からＣＡ情報Ｂ（３０１ｂ）を取得するＣＡ情報更新部（４１７）等とを備え、サーバ認証部（４１６）は、ＣＡ証明書Ａ（１０６ａ）が失効した後においては、ＣＡ情報更新部（４１７）によって取得されたＣＡ情報Ｂ（３０１ｂ）に含まれるＣＡ証明書Ｂ（１０６ｂ）を用いてアプリケーションサーバ（４０１）の正当性を認証する」ことが記載されている。

【先行技術文献】

【特許文献】

【0003】

【特許文献1】特表２００６－５２２５５２号公報

【発明の概要】

【発明が解決しようとする課題】

【0004】

一方で、近年インターネットに接続できる家電が提供されている。このような家電でも、電子証明書を使用した通信により遠隔操作などネットワーク接続機能を安全に提供することになる。但し、家電はインターネットのような広域ネットワークに接続しない状況でも家電として機能するため、インターネットに接続しないまま内部で保管している電子証明書が失効する（期限切れ）ケースがある。このようなケースでは、家電が再度広域ネットワークに接続しても、電子証明書を用いた安全な通信が行えなくなる。このため、家電においては、サーバーとの電子証明書を利用したネットワーク接続機能が使用できなくなるうえ、更新のための新たな電子証明書をダウンロードすることもできなくなる。したがって、本発明では、家電のようにネットワークと接続しない状況でも機能する機器が保持する電子証明書が失効した場合でも、安全に電子証明書を更新することを課題とする。

【課題を解決するための手段】

【0005】

本発明は、上記の課題を解決するためになされたものであり、家電を含む機器において、第１の通信経路での通信で自身を認証するための第１の電子証明書が失効した場合、第２の通信経路を介して、第２の電子証明書を取得して、これを用いて電子証明書を更新する。

【0006】

より具体的には、電子証明書を保持するサーバーと、第１の通信経路で通信を行う際に前記サーバーから提示された署名を検証するための第１の電子証明書を記憶する記憶部と、他の機器と通信する通信部と、前記第１の電子証明書を更新する更新部を有し、前記通信部が第２の通信経路を経由して、前記第１の通信経路での通信を行う際に前記サーバーから提示された署名を検証するための第２の電子証明書を取得する家電と、前記第２の通信経路を介して前記家電に、前記第２の電子証明書を送信する情報端末を有し、前記更新部が、前記第１の電子証明書を前記第２の電子証明書に更新する電子証明書更新システムである。

【0007】

また、本発明には、電子証明書更新システムを構成する各装置やこれらの一部組合せも含まれる。さらに、各装置を機能させるためのプログラムやこれを格納する記憶媒体も本発明に含まれる。さらに、電子証明書更新システムやこれを構成する各装置やその一部組合せを用いた方法も本発明に含まれる。

【発明の効果】

【0008】

本発明によれば、家電のようなネットワークと接続しない状況でも機能する機器が保持する電子証明書が失効した場合でも、安全に電子証明書を更新することができる。

【図面の簡単な説明】

【0009】

【図1】本発明の一実施形態における電子証明書更新システムのシステム構成図。

【図2】本発明の一実施形態における家電の機能ブロック図。

【図3】本発明の一実施形態におけるサーバーの構成図。

【図4】本発明の一実施形態における有効な電子証明書を用いて、家電とサーバーの通信の安全性を検証する方法を示すシーケンス図。

【図5】本発明の一実施形態における電子証明書が失効した場合の家電とサーバーの通信を示すシーケンス図。

【図6】実施例１における家電の電子証明書の更新方法を示すシーケンス図。

【図7】実施例２におけるルーターの簡易設定機能を用いてネットワーク接続する場合の電子証明書更新方法を示すシーケンス図。

【発明を実施するための形態】

【0010】

以下、本発明の一実施形態を図面に基づいて詳細に説明する。実施形態では、家電等の機器がインターネットと常時接続ではなく、定期的な更新が困難である場合でも電子証明書を更新することを課題とする。以下、この課題を解決するための実施形態を説明する。

【0011】

まず、本実施形態では、家庭内で用いられる家電１を電子証明書の更新対象の一例として説明する。図１に、本実施形態における電子証明書更新システムのシステム構成図を示す。図１に示す電子証明書更新システムにおいては、更新対象である電子証明書１２を保持する家電１が、サーバー２や情報端末３と通信可能である。具体的には、家電１は、ルーター４を通じインターネット８を介してサーバー２と接続される。また、情報端末３は、サーバー２とルーター４を通じインターネット８を介して接続される。但し、情報端末３は、移動通信システム（携帯電話回線網）を介してサーバー２と接続してもよい。

【0012】

そして、家電１は、通信路５を介してルーター４と接続し、さらにこれを経由してサーバー２と接続可能となる。また、情報端末３は、通信路６を介して、ルーター４と接続し、さらにこれを経由してサーバー２と接続可能となる。このため、通信路５や６は、家庭内ＬＡＮ（例えば、無線ＬＡＮ）で実現できる。さらに、家電１と情報端末３は、通信路７を介して接続される。この通信路７は、上述の家庭内ＬＡＮや近距離無線通信で実現できる。つまり、ルーター４を介した接続でも、家電１と情報端末３での直接接続であってもよい。

【0013】

以上の構成により、家電１とサーバー２は、複数の通信経路を介して接続可能である。つまり、家電１とサーバー２は、通信路５－ルーター４－インターネット８との通信経路１や通信路７－情報端末３－ルーター４－インターネット８との通信経路２により接続可能である。なお、これらの通信経路は、複数の通信路、ネットワークを含むが、１つの通信路ないしネットワーク単体で構成してもよい。

【0014】

ここで、家電１としては、例えば洗濯機、電子レンジ、ジャー炊飯器、ＩＨクッキングヒーター、冷蔵庫、掃除機、給湯機、エアコンなどがある。これらはインターネット８などの通信経路を介してサーバー２などとの接続機能を有する。また、サーバー２は主にデータを蓄積し、加工、アクセスするためのプログラムが動き、家電１に対してサービス（付加価値）を提供する機能を有する。例えば、家電１が、ＩＨ調理器、電子レンジのような調理機器の場合、レシピ情報をサーバー２から取得できる。また、家電１が、冷蔵庫の場合、サーバー２と連携して在庫管理を実現できる。さらに、洗濯機や掃除機の場合、サーバー２と連携して稼働制御を実現できる。この場合、サーバー２と通信する際には、サーバー２の正当性を検証するための電子証明書１２が利用される。つまり、電子証明書１２は、インターネット８での通信を行う際に前記サーバーから提示された署名を検証するために用いられる。

【0015】

ここで、家電１は、通信機能を利用しなくとも自身の機能を実現できる。つまり、調理機能、冷蔵機能、掃除機能といった家電１が有する機能は、サーバー２と通信しなくとも、すなわち、インターネット８等のネットワークとの接続機能とは無関係に実現できる。このため、家電１は通信しないまま利用されることがある。例えば、家電１が、購入後にネットワーク接続機能を利用しないまま、稼働することがある。さらに、家電１がインターネット８に接続するには、ルーター４を用いることが多いが、ルーター４の置き換えの際、設定変更しない場合にインターネット８との接続が停止されることがある。このように、家電１が、インターネット８を介してサーバー２と接続しないブランク期間があると、家電１の電子証明書１２の更新（特に、定期的な更新）が困難となる。

【0016】

そして、家電１の購入後しばらくしてから新たにサーバー２のサービスを受けたい場合やルーター４の交換後など接続しないブランク期間後に、サービスを受領するために家電１とサーバー２の接続が要求されることがある。この場合、ブランク期間に電子証明書１２が失効すると、通信、接続が不可能となる。そこで、本実施形態では、家電１の電子証明書１２が失効した場合でも、その更新を実現することを課題とする。

【0017】

以下、この課題を解決するための本実施形態の構成について説明する。まず、家電１は、家電１を家電として機能させ、ネットワークの接続管理などを行うファームウェア１１およびインターネット８を含む通信経路１を経由してサーバー２と通信を行う際の安全性を検証するための電子証明書１２を有する。このため、家電１は、電子証明書１２を用いてサーバー２と通信を行う。また、家電１は調理等の各機能を実行する。これらを実現するための家電１の構成例について説明する。

【0018】

図２は、本実施形態における家電１の機能ブロック図である。このブロック図は、各種家電を代表するものである。図２に示すように、家電１は、制御部１０１、記憶部１０５、表示操作パネル１０６、稼働部１０７および通信部１０８を有する。そして、これらは通信路を介して互いに接続されている。以下、各構成について説明する。

【0019】

まず、制御部１０１は、失効判定部１０２、更新部１０３、制御信号作成部１０４およびサーバー正当性検証部１１０を有する。これらは、図１のファームウェア１１の機能を実行する構成である。つまり、制御部１０１は、制御信号作成部１０４を用いて、洗濯等の当該家電機器の機能を実現するための制御信号を作成、出力し、家電機器の稼働を制御する。また、失効判定部１０２は、記憶部１０５の電子証明書１２が失効しているかを判定し、失効している場合、通信部１０８を介して電子証明書１２の更新ないし取得するための取得通知を送信する。なお、失効判定部１０２は、電子証明書１２の有効性を判定しているとも表現できる。

【0020】

また、更新部１０３は、取得通知に応じて取得された電子証明書を用いて、記憶部１０５の電子証明書１２を電子証明書２２に更新する。また、サーバー正当性検証部１１０は、電子証明書を用いて、署名と暗号情報が確かに所定の装置で作成されたものであるかを検証する。ここで、制御部１０１は、ＭＰＵ（Micro-Processing Unit）で実現可能であり、失効判定部１０２や更新部１０３の各部は上述のファームウェア１１の他、専用ハードウエアやファームウェア１１以外のプログラムといったソフトウエアで実現できる。つまり、家電１を、失効判定部１０２、更新部１０３、記憶部１０５や通信部１０８等として機能させるためのプログラムとして実現できる。このプログラムは、記憶部１０５のような記憶媒体に格納可能である。

【0021】

また、記憶部１０５には、電子証明書１２および機器情報１０９が記憶される。さらに、記憶部１０５には、更新後の電子証明書２２が記憶されることになる。また、表示操作パネル１０６は、ユーザーから家電１に対する操作を受け付けたり、家電１の稼働状況を出力したりする。ここで、機器情報１０９とは、家電１自身の情報である。なお、情報端末３も同様に自身の機器情報を保持しているものとする。

【0022】

また、稼働部１０７は、制御部１０１からの制御に従って、各種機能を実行する。このために、例えば、制御信号作成部１０４で作成された制御信号が用いられる。実行される機能としては、洗濯機能、調理機能、給湯機能、受像機能等であり、ヒータ、圧縮器などで実現できる。これらの機能は、ネットワークとの接続がなくとも実行されることが可能である。なお、制御信号作成部１０４は、表示操作パネル１０６や後述の情報端末３に対するユーザーの操作等に従い、家電１を制御する制御信号を作成することになる。

【0023】

また、通信部１０８は、ルーター４やインターネット８を介した通信や近距離無線通信機能を有する。そして、通信部１０８は、失効判定部１０２に従って取得通知を送信したり、取得通知に応じた電子証明書２２を受信したりする。また、情報端末３から操作指示を受信することも可能である。

【0024】

なお、本実施形態では、制御指令や制御信号の作成を、家電１、情報端末３のいずれで行ってもよいし、これらを連携して実行してもよい。以上で図２の説明を終わり、図１の説明に戻る。

【0025】

サーバー２は、家電１に関するサービス（付加価値）を提供するための機能を有する。このために、サーバー２は、自身に対するアクセスなどをコントロールするサーバーアプリ２１および当該サーバー２と通信を行う際の安全性を検証するための電子証明書２２を有する。なお、この安全性の検証には、インターネット８での通信で自身を認証することが含まれる。このため、サーバー２は、電子証明書２２を発行してもよい。以下、サーバー２の構成例について説明する。なお、電子証明書２２は、サーバー２とは別装置で、別運用元で運用される装置で発行されることが望ましい。

【0026】

図３は、本実施形態におけるサーバー２の構成図である。図３において、サーバー２は、処理装置２０１、通信装置２０２、メモリ２０３および副記憶装置２０４を有し、これらは通信路を介して互いに接続されている。

【0027】

まず、処理装置２０１は、ＣＰＵ（Central Processing Unit）といったプロセッサで実現でき、後述する副記憶装置２０４に記憶されているサービス提供プログラム２０５に従って演算を実行する。つまり、サービス提供プログラム２０５は、サーバーアプリ２１に該当する。

【0028】

また、通信装置２０２は、インターネット８と接続し、他の装置との通信を行う。特に、家電１や情報端末３に更新する電子証明書２２を送信する。

【0029】

また、メモリ２０３は、副記憶装置２０４に記憶されているサービス提供プログラム２０５や処理装置２０１での処理に用いられる情報が展開される。また、副記憶装置２０４は、いわゆるストレージで実現でき、サービス提供プログラム２０５、家電管理情報２０６および更新後の電子証明書２２を記憶する。また、副記憶装置２０４は、外付けのＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）、メモリカードなどの各種記憶媒体で実現してもよい。さらに、データベースのようにサーバー２とは別装置で実現してもよい。

【0030】

ここで、サービス提供プログラム２０５での実現する機能については、後述のシーケンス図を用いて説明する。また、家電管理情報２０６は、家電１や情報端末３と、サーバー２を対応付けた情報であり、家電１や情報端末３が電子証明書で認証されていることを示す情報である。以上で図３の説明を終わり、図１の説明に戻る。

【0031】

情報端末３は、ユーザーからの入力を受け付けたり、サーバー２と接続し、サーバー２の保持する情報を表示したり、家電１を管理、制御するためのアプリケーション３１が動作する。また、情報端末３は、スマートフォン、携帯電話、タブレット、スマートスピーカ、ＰＣなどのコンピュータで実現できる。また、情報端末３は、電子証明書３２を保持する。また、情報端末３は、ＯＳ(Operating System)の更新などにより安全に電子証明書３２を更新する機能も有する。

【0032】

また、ルーター４はインターネット８と家電１や情報端末３の中継を行う機器である。ルーター４は、家庭内に１台で設置されてもよいし、複数台であってもよい。さらに、家電１と情報端末３は、同一のルーター４へ接続されてもよいし、別々のルーターへ接続されてもよい。あるいは家電１や情報端末３はルーター４を介さず４Ｇや５Ｇなどの移動通信システムによってサーバー２と接続されてもよい。また、家電１や情報端末３とルーター４の接続は、主に認証付きの無線接続を想定するが、有線接続であってもよい。

【0033】

ここで、電子証明書１２は、電子証明書２２や電子証明書３２よりも有効期限が先に切れる（失効）ものとする。また、電子証明書３２は、電子証明書２２をダウンロードにより複製したものでもよいし、情報端末３があらかじめ保有しているものであってもよい。電子証明書２２は、他の装置や機器にサーバー２が配布することを想定するが、サーバー２以外の別のサーバーとの安全な通信によって家電１や情報端末３が入手可能な仕組みであってもよい。以上で、本実施形態の構成の説明を終わる。

【0034】

次に、図４は、本実施形態における有効な電子証明書１２を用いて、家電１とサーバー２の通信の安全性を検証する方法を示すシーケンス図である。図４では、家電１とサーバー２の間を、通信経路１（通信路５－ルーター４－インターネット８）を通じて通信される。そして、安全性が検証して通信する場合、家電１は通信開始する際に、サーバー２とハンドシェイク要求を送信する。そして、サーバー２は、ハンドシェイク応答を家電１に送信する。この結果、家電１は、サーバー２でしか作成できない署名と暗号情報を含む情報を受け取る。

【0035】

そして、ステップＳ００１において、家電１の失効判定部１０２は、記憶部１０５が保持する電子証明書１２を使用して、署名がサーバー２で作成したものであることを検証することになる。この結果、ステップＳ００１以降の家電１とサーバー２との通信では上述の暗号情報により暗号化され、互いに送信相手でのみ復号可能な形式で送受信（情報要求や情報応答）が行われる。以上により、家電１とサーバー２の通信の安全性を検証され、安全性が担保された通信が実現されることになる。

【0036】

次に、図５を用いて電子証明書１２が失効して通信の安全性が確認できない場合について説明する。図５は、本実施形態における電子証明書１２が失効した場合の家電１とサーバー２の通信を示すシーケンス図である。図５でも、家電１とサーバー２の間を、通信経路１（通信路５－ルーター４－インターネット８）を通じて通信する場合を例とする。図５では、例えば電子証明書１２の有効期限が過ぎているとする。この場合は、サーバー２との安全性が検証できない。以下、その詳細を説明する。図５では、家電１が通信開始する際、サーバー２とハンドシェイク要求・ハンドシェイク応答を通じ、サーバー２でしか作成できない署名と暗号情報を含む情報を受け取る。このことは、図４と同様である。

【0037】

しかし、ステップＳ１０１において、失効判定部１０２が、電子証明書１２が失効していると判定する。このため、失効判定部１０２は、受け取った署名の正当性を検証することができない。署名の正当性を検証することができないと、通信相手が本当にサーバー２か、悪意のある攻撃者が用意したサーバーかの判別がつかず、安全な通信を行うことができないと判断し、以降の通信を行わない。

【0038】

このように、家電１が所有する電子証明書１２が失効すると、サーバー２と安全な通信を行うことができなくなる。このため、失効前にサーバー２や、他の信頼できるサーバーと安全な通信によって新しい電子証明書２２をダウンロードし、電子証明書を更新する必要がある。ここで、電子証明書１２が失効後では安全な通信が行えないため、電子証明書を、通信経路１を介して、ダウンロードした電子証明書も悪意のある攻撃者が不正に用意したものである可能性がある。しかし、家電１はサーバー２と接続しなくとも調理等の機能を使用できるため、電子証明書１２の失効後に初めてネットワーク接続するユースケースは十分に想定される。このようなユースケースでは、上述のように電子証明書１２を適切に更新できなくなる。そこで、本実施形態では、電子証明書１２の更新を行う。このために、家電１の更新部１０３が、通信経路１とは異なる通信経路の少なくとも一部（例えば、通信経路２の一部）を経由して送信される電子証明書に更新を行う。本実施形態では、失効した電子証明書を、サーバーを介さないネットワーク経由で安全に最新の状態に更新することが実現できる。以下、この更新に関するより具体的な態様である実施例１および２について説明する。

【実施例0039】

図６は、実施例１における家電１の電子証明書の更新方法を示すシーケンス図である。図６では、家電１が初めてネットワークに接続する際の、家電１と、情報端末３と、ルーター４と、サーバー２とのやり取りについて説明する。

【0040】

家電１が初めてネットワークに接続する場合、ルーター４と無線接続するための認証情報のやり取りや、家電１とサーバー２がもつデータとの対応付けが必要な場合がある。そこで、家電１においては、情報端末３の操作により、これらの対応付けを行うペアリングを行う。ペアリングとは、情報端末３から家電１にルーター４の認証情報を伝えて家電１をネットワークに接続し、またサーバー２がもつデータと家電１および情報端末３の関連付けを行う。そして、サーバー２の持つデータを家電１の制御に使ったり、サーバー２を介して家電１と情報端末３の間での通信を可能としたりするための手続きである。ペアリングの過程で、情報端末３から家電１にルーターの認証情報などの情報を送受信するため、それら情報のやり取りに併せて、家電１が保持する電子証明書１２を新しい電子証明書へ更新することになる。

【0041】

このようなペアリングの工程、つまり、電子証明書更新方法は大きく分けてステップＳ１１、ステップＳ１２、ステップＳ１３の３工程に分けられる。まず、ステップＳ１１では、ルーター接続処理を実行する。つまり、家電１が、ルーター４へ接続する。ステップＳ１２では、電子証明書更新処理を実行する。つまり、家電１の電子証明書１２を更新する。ステップＳ１３では、家電管理情報更新処理を実行する。つまり、家電１とサーバー２を接続し、サーバー２の家電管理情報２０６の更新を行う。以下、これらの詳細を説明する。

【0042】

（１）ステップＳ１１（ルーター接続処理）
家電１は、通信部１０８がユーザーからのペアリング開始の指示を受け付けると、ステップＳ２０１でペアリング状態になり、ルーター４の認証情報が送られてくるのを待機する。また、情報端末３もユーザーからのペアリング指示を受けると、ステップＳ２０２で自身をペアリング状態とし、家電１に対してルーター４の認証情報を送信し、応答を受け取る。この結果、情報端末３は、家電１が保持する機器情報１０９を取得する。また、ステップＳ２０３において、家電１の通信部１０８が、ルーター４に対して、接続要求を送信して接続を試みる。この結果、通信部１０８は、ルーター４から接続許可を受信する。以上で、ステップＳ１１を終了し、以降の電子証明書更新処理が実行される。この電子証明書更新処理は、電子証明書の有効性を条件としてもよいし、都度実行されてもよい。

【0043】

また、この条件によらず、ステップＳ１２を実行してもよい。但し、この場合でも、ルーター４の置き換え後や家電１の初回起動を条件としてもよい。さらに、所定周期でステップＳ１２を実行するようにしてもよい。なお、電子証明書の有効性を条件とした場合の処理については、ステップＳ１３の説明の後に説明する。

【0044】

（２）ステップＳ１２（電子証明書更新処理）
ステップＳ２０４において、情報端末３は、サーバー２に対して更新するための電子証明書、つまり、電子証明書２２を要求する。この結果、情報端末３は、サーバー２から電子証明書２２を取得する。また、ステップＳ２０５において、情報端末３は、自身が保持する電子証明書３２を電子証明書２２で上書き更新する。そして、情報端末３は、更新された電子証明書２２を家電１へと送信する。

【0045】

なお、ステップＳ２０４は、省略可能である。この場合、ステップＳ２０５では、情報端末３は、予め電子証明書２２に相当する電子証明書を記憶しておき、これを家電１にこれを送信することになる。ここで、電子証明書２２に相当する電子証明書として、電子証明書３２を用いてもよいし、これとは別の電子証明書を用いてもよい。また、ステップＳ２０５では、情報端末３は、電子証明書３２と電子証明書２２を比較し、有効期限まで期間が長い方を、家電１に送信してもよい。

【0046】

そして、ステップＳ２０６において、家電１の更新部１０３は、電子証明書１２から電子証明書２２へと更新する。例えば、更新部１０３は、電子証明書２２を、記憶部１０５に上書き保存する。

【0047】

（３）ステップＳ１３（家電管理情報更新処理）
まず、家電１は、サーバー２の間でハンドシェイク要求を送信し、これに対するハンドシェイク応答を受け付ける。この結果、家電１の通信部１０８は、サーバー２でしか作成できない署名と暗号情報を含む情報を受け付ける。また、ステップＳ２０７において、家電１のサーバー正当性検証部１１０が、更新された電子証明書２２によって、署名と暗号情報が確かにサーバー２で作成されたものであるかを検証する。この検証の結果、サーバー２から送られてきた署名がサーバー２で作成されたと検証された場合、家電１とサーバー２間の通信の安全性が確保できる。つまり、家電１とサーバー２との通信では、ハンドシェイク要求およびハンドシェイク応答を通じてやり取りした暗号情報により暗号化され、互いに送信相手にのみ復号可能な形式で送受信が行われる。

【0048】

また、ステップＳ２０７で安全性が確保された場合、以下の処理を実行する。まず、家電１および情報端末３は、それぞれサーバー２に対してペアリング要求を送信する。そして、ステップＳ２０８において、サーバー２は家電１や情報端末３とサーバー２自身の持つ情報の関連付けを行う。つまり、サーバー２は、家電管理情報２０６を更新する。また、サーバー２は、家電１および情報端末３へ、ペアリング結果を送信する。この結果、家電１や情報端末３とサーバー２のペアリングが成立する。以上でステップＳ１３の説明を終わる。次に、本実施例の変形例について説明する。

【0049】

まず、ステップＳ１１のルーター接続処理とステップＳ１２の電子証明書更新処理の順序を逆にしてもよい。さらに、ルーター４との接続に認証が不要な場合は、ステップＳ１１を省略してもよい。

【0050】

ここで、ステップＳ１２の電子証明書更新処理について電子証明書の有効性を条件とした場合について説明する。ステップＳ２０２で情報端末３が得た機器情報などにより、電子証明書１２が有効である場合などには、ステップＳ１２を省略できる。

【0051】

さらに、ステップＳ２０４以前に、家電１がサーバー２と接続を試行し、証明書が失効していた場合に、ステップＳ１２を実施してもよい。ステップＳ２０４で、情報端末３が有効な電子証明書３２をあらかじめ所持している場合は、サーバー２からの電子証明書２２の取得や電子証明書３２の更新を省略してもよい。

【0052】

また、電子証明書の有効性の条件には、電子証明書１２の失効が迫っていることが含まれる。ここで、電子証明書１２の失効が迫っているとは、電子証明書１２の残りの有効期間が所定期間以下であることを意味する。この場合、ステップＳ１２として、家電１からサーバー２へ直接取得通知（電子証明書２２の取得のための通知）を送信し、家電１はこれに応じて送信される電子証明書２２を記憶部１０５に上書き保存することが望ましい。

【0053】

また、ステップＳ１１やステップＳ１３で説明した内容は一例であり、追加で情報の送受信を行ったり、手順を入れ替えたり、不要な情報の送受信を省略してもよい。また、図６の示す処理シーケンスでは、ペアリングの過程にて情報端末３から家電１に対して電子証明書３２を転送することを想定している。但し、ペアリングの過程とは別に、ステップＳ１２を実施することで情報端末３から家電１に対して電子証明書３２を転送してもよい。以上で、実施例１の説明を終わる。実施例１によれば、通信経路１といった家電１とサーバー２間の通信経路とは別経路を用いて電子証明書の更新が可能となる。この結果、電子証明書の安全性、真正性を担保することが可能となる。

【実施例0054】

実施例１の図６に示す処理シーケンスでは、情報端末３が家電１へと直接接続してルーターの認証情報を送信する仕組みである。但し、ルーター４の認証情報の設定を簡易化するための簡易設定機能を用いる場合には、情報端末３と家電１の通信が行われなくともよい。そこで、図７を用いて、実施例２における簡易設定機能を用いる場合の電子証明書更新方法を説明する。

【0055】

実施例２の簡易設定機能を用いる場合のペアリングの工程、つまり、電子証明書更新方法は大きく分けてステップＳ２１、ステップＳ２２、ステップＳ２３およびステップＳ２４の４工程に分けられる。まず、ステップＳ２１では、ルーター接続処理を実行する。つまり、家電１が、ルーター４へ接続する。ステップＳ２２では、電子証明書確認処理を実行する。つまり、家電１が、サーバー２へ接続を試行し、電子証明書１２が有効か確認する。言い換えると、電子証明書１２が失効していないかを確認する。

【0056】

また、ステップＳ２３では、電子証明書更新処理を実行する。つまり、家電１の電子証明書を更新する。そして、ステップＳ２４では、家電管理情報更新処理を実行する。つまり、家電１とサーバー２を接続し、家電１や情報端末３とサーバー２の情報を対応付け、家電管理情報２０６を更新する。

【0057】

（１）ステップＳ２１（ルーター接続処理）
家電１は、ユーザーからのペアリング開始の指示を受け付けると、ステップＳ３０１でペアリング状態となる。また、ステップＳ３０２において、家電１の通信部１０８が、ルーター４への接続要求を送信する。この結果、通信部１０８は、ルーター４から接続許可を受信する。以上で、ステップＳ２１を終了し、以降の処理が実行される。

【0058】

（２）ステップＳ２２（電子証明書確認処理）
家電１は、サーバー２との通信でのハンドシェイク要求・ハンドシェイク応答により接続の安全性が検証される。つまり、ステップＳ３０３において、家電１の失効判定部１０２は、記憶部１０５の電子証明書１２が失効しているかを判定する。この結果、失効していると判定された場合、接続の安全性が検証されない。つまり、ハンドシェイク要求・ハンドシェイク応答といった通信に失敗することになる。

【0059】

（３）Ｓ２３（電子証明書更新処理）
ステップＳ２２にて接続に失敗した場合、つまり、電子証明書が失効した場合、電子証明書更新処理を実施する。具体的には、ステップＳ３０４において、家電１は、ルーター４に接続中の各機器に対して電子証明書要求を送信する。例えばＵＤＰ(User Datagram Protocol)のブロードキャストのパケット送信などで実現できる。また、接続に失敗、つまり、通信エラーは、失効判定部１０２が検知することで判定される。

【0060】

また、ステップＳ３０５において、情報端末３は、ルーター４から家電１の電子証明書要求を受け付ける。そして、情報端末３が、サーバー２に対して電子証明書２２を要求する。この結果、情報端末３は、サーバー２から電子証明書２２を取得する。

【0061】

また、ステップＳ３０６において、情報端末３は、自身が所持する電子証明書３２を電子証明書２２で上書き更新する。そして、情報端末３は、更新された電子証明書２２を家電１へ送信する。そして、ステップＳ３０７において、家電１の更新部１０３は、電子証明書１２を電子証明書２２へ上書き保存する。つまり、電子証明書の更新が実行される。

【0062】

（４）ステップＳ２４（家電管理情報更新処理）
まず、家電１は、サーバー２の間でハンドシェイク要求を送信し、これに対するハンドシェイク応答を受け付ける。この結果、家電１の通信部１０８は、サーバー２でしか作成できない署名と暗号情報を含む情報を受け付ける。また、ステップＳ３０８において、家電１のサーバー正当性検証部１１０が、更新された電子証明書２２によって、署名と暗号情報が確かにサーバー２で作成されたものであるかを検証する。この検証の結果、サーバー２から送られてきた署名がサーバー２で作成されたと検証された場合、家電１とサーバー２間の通信の安全性が確保できる。つまり、家電１とサーバー２との通信では、ハンドシェイク要求およびハンドシェイク応答を通じてやり取りした暗号情報により暗号化され、互いに送信相手にのみ復号可能な形式で送受信が行われる。

【0063】

また、ステップＳ３０８で安全性が確保された場合、以下の処理を実行する。まず、家電１および情報端末３は、それぞれサーバー２に対してペアリング要求を送信する。そして、ステップＳ３０９において、サーバーは家電１や情報端末３とサーバー２自身の持つ情報の関連付けを行う。つまり、サーバー２は、家電管理情報２０６を更新する。また、サーバー２は、家電１および情報端末３へ、ペアリング結果を送信する。この結果、家電１や情報端末３とサーバー２のペアリングが成立する。以上でステップＳ１３の説明を終わる。次に、本実施例の変形例について説明する。

【0064】

まず、ステップＳ２２でのサーバー２への接続試行を省略もしくは試行の結果に寄らず、ステップＳ２３の電子証明書更新処理を行ってもよい。また、ステップＳ３０５では、情報端末３が有効な電子証明書２２をあらかじめ所持している場合は、サーバー２からの電子証明書２２の取得と電子証明書３２の更新を省略してもよい。なお、ステップＳ２１やステップＳ２４で行われる情報送受信の内容や手順は一例であり、追加で情報の送受信を行ったり、手順を入れ替えたり、不要な情報の送受信を省略してもよい。さらに、本実施例では、ステップＳ３０４での電子証明書要求の送信は、ルーター４を介した情報の送受信を行っている。但し、家電１と情報端末３を接続する別の手段がある場合はルーター４を介さずともよい。またさらに、ステップＳ３０４での処理は、家電１が起点となって実施しているが、情報端末３が起点としてもよい。つまり、情報端末３が家電１へ、電子証明書更新の要不要を問い合わせたり、要不要にかかわらず更新する電子証明書を送ったりしてもよい。さらに、図７は簡易設定手段を用いた場合であるが、類似のケースとして有線ＬＡＮ(Local Area Network)上での所定の通信規格を用いた通信など、ルーター４との接続に認証が不要な場合であっても同様の手順が当てはまることがある。この場合は、ステップＳ２１を省略してもよい。なお、所定の通信規格には、ＩＥＥＥ８０２．３が含まれる。以上で実施例２の説明を終わる。実施例２では、簡易設定機能を利用して、電子証明書の安全性、真正性を担保した更新が可能となる。 以上のように、各実施例によれば、情報端末３を家電１にインターネット８とは別のネットワーク経由で接続し、電子証明書３２を家電１に転送する。このことで、電子証明書による安全性の検証を行わずともインターネット上のサーバーとの通信によって発生しうるなりすまし、盗聴、データ改ざんを回避した安全な電子証明書の更新が可能となる。