WO2013111251A1

WO2013111251A1 - 鍵管理システム、鍵管理方法、および通信装置

Info

Publication number: WO2013111251A1
Application number: PCT/JP2012/008397
Authority: WO
Inventors: 芳賀　智之; 松崎　なつめ; 勇二海上
Original assignee: パナソニック株式会社
Priority date: 2012-01-25
Filing date: 2012-12-27
Publication date: 2013-08-01
Also published as: US20140059352A1; CN103404075B; CN103404075A; US9258283B2; JP5967549B2; JPWO2013111251A1

Abstract

　鍵管理システムにおいて、ＲＦＩＤタグ（７０）は、マスター鍵で暗号化された第１鍵である暗号化第１鍵を復号し、復号した第１鍵をサービス鍵格納領域に格納し（Ｓ３０２）、３ｒｄパーティサーバー（３０）によって第１鍵で暗号化された第２鍵を復号し（Ｓ３０４）、復号した第２鍵をマスター鍵で暗号化し、マスター鍵で暗号化された第２鍵である暗号化第２鍵をモバイル情報端末（４０）のアプリケーションに送信し（Ｓ３０５）、アプリケーションから返信された暗号化第２鍵を復号し、復号した第２鍵をサービス鍵格納領域に格納する（Ｓ３０６）。

Description

鍵管理システム、鍵管理方法、および通信装置

　本発明は、モバイル情報端末と家電との間の通信を用いて家電内の鍵をセキュアに更新する鍵管理システムおよび鍵管理方法等に関する。

　近年、パソコンの機能をベースとして作られた多機能携帯電話である、いわゆるスマートフォンが急速に普及している。これにより、スマートフォンと家電とを連携させたサービスが実現可能となってきている。

　例えば、スマートフォンと、家電との通信を利用して、家電の中に蓄積保持されている様々な当該家電に関する情報（以下、単に「家電情報」という）を、スマートフォンで読み取ることが可能となる。

　また、家電から読み出した家電情報を、スマートフォンに保持するのではなく、スマートフォンの通信機能を介してクラウド側のサーバーへ送信して蓄積するサービスも考えられる。これにより、サーバー側に蓄積された家電情報を元に、ユーザに適した様々なサービスを提供することが可能となる。

　一方で、スマートフォンにインストールされるアプリケーションプログラム（以下、単に「アプリケーション」という）は、自由に配布できる。このため、スマートフォンにおいては、正規アプリケーションを改ざんしたマルウェアが発見されるなど、セキュリティ上の課題が多く存在する。

　したがって、上述した家電情報が、特に、家電の操作履歴や家電の消費電力量情報といったプライバシー情報である場合には、プライバシー情報の漏洩を防ぐために家電情報を暗号化して送信することが必要となる。

　例えば、スマートフォンを介して家電情報をサーバーへ送信する場合は、スマートフォンにインストールされたマルウェアが中間者として攻撃を行う危険性がある。したがって、家電とサーバーとの間におけるＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信が必要となる。

　ここで、Ｅｎｄ－ｔｏ－Ｅｎｄの暗号化通信に用いる鍵は、サーバーと、家電とにそれぞれ予め格納されることによって、家電とサーバーとの間で共有され、通常、安全性確保のために更新が必要である。

　上記のような鍵の更新は、サービスプラットフォームを管理する管理者（管理サーバー）にて行われる。具体的には、以下のように、鍵の更新が行われる。

　まず、管理サーバーと家電とにはそれぞれ、予め管理者のみが知るマスター鍵が格納されている。ここで、管理サーバーは、マスター鍵によって暗号化した鍵である暗号化鍵を家電に送信する。

　そして、家電が受信した暗号化鍵は、予め家電内に格納されたマスター鍵を用いて復号される。復号された鍵は、家電内の所定の記憶領域に書き込まれる。

　鍵の更新は、以上のように行われる。

　ここで、上記管理者以外のサービス会社（以下、３ｒｄパーティと記載する）が管理者が管理するサービスプラットフォームを用いて独自にサービスの提供する場合がある。この場合、３ｒｄパーティのサーバーと、家電との間で使用する鍵（３ｒｄパーティ鍵）の更新時に、当該鍵がマスター鍵で暗号化されて家電に送信される必要がある。つまり、３ｒｄパーティ鍵の更新時には、３ｒｄパーティのサーバーは、管理サーバーに３ｒｄパーティ鍵を提供し、マスター鍵による暗号化を依頼する必要がある。

特開平１０－２００５２２号公報特許第４３６８２７４号公報

日経エレクトロニクス　２０１１年３月２１日号（Ｐ５６－Ｐ６３）

　ここで、セキュリティ上、３ｒｄパーティは、３ｒｄパーティ鍵を管理サーバーに公開しないほうがよい。すなわち、３ｒｄパーティは、３ｒｄパーティ鍵を管理サーバーに公開することなく、３ｒｄパーティ鍵の更新をすることができないことが課題である。

　そこで、本発明は、管理サーバーに３ｒｄパーティ鍵を公開することなく、安全に３ｒｄパーティ鍵を家電内に書き込むことができる鍵管理システム等を提供することを目的とする。

　上記の課題を解決するために、本発明の一態様に係る鍵管理システムは、マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行うモバイル情報端末を用いて、前記第２サーバーと家電機器との間の暗号化通信に用いられる前記第２鍵を前記家電機器内に書き込むための鍵管理システムであって、前記鍵管理システムは、前記モバイル情報端末と、前記家電機器とを備え、前記家電機器は、前記モバイル情報端末と通信を行う通信部と、前記マスター鍵が予め格納されたマスター鍵格納領域と、前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、前記モバイル情報端末は、前記第１サーバーまたは前記第２サーバーから、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵を受信した場合、前記暗号化第１鍵とともに第１の鍵書き込み要求を前記通信部へ送信し、前記通信部が、前記暗号化第１鍵とともに前記第１の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、前記モバイル情報端末は、前記第２サーバーから、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を受信した場合、前記第１鍵で暗号化された前記第２鍵を前記通信部へ送信し、前記通信部が、前記第１鍵で暗号化された前記第２鍵を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、前記家電機器は、復号した前記第２鍵を保持し、前記モバイル情報端末は、前記通信部に対して、前記家電機器が保持している前記第２鍵の読み出し要求を送信し、前記通信部が、前記第２鍵の読み出し要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電機器が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記モバイル情報端末に送信し、前記モバイル情報端末は、前記通信部から前記暗号化第２鍵を受信し、前記暗号化第２鍵とともに第２の鍵書き込み要求を前記通信部へ送信し、前記通信部が、前記暗号化第２鍵とともに前記第２の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む。

　なお、これらの包括的または具体的な態様は、装置、方法、集積回路、コンピュータプログラムまたはコンピュータ読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、装置、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本発明によれば、サービスプラットフォームを管理する管理サーバーに３ｒｄパーティ鍵を公開することなく安全に３ｒｄパーティ鍵を家電内に書き込むことができる。

図１は、実施の形態１に係るＲＦＩＤタグサービスシステムの構成図である。図２は、実施の形態１に係るモバイル情報端末の構成図である。図３は、実施の形態１に係る家電の構成図である。図４は、実施の形態１に係るＲＦＩＤタグの構成図である。図５は、実施の形態１に係るＲＦＩＤタグサービスシステムにおける暗復号処理に利用する鍵の関係図である。図６は、実施の形態１に係るＲＦＩＤタグと管理サーバー間の暗号化通信シーケンス図である。図７は、実施の形態１に係るＲＦＩＤタグと３ｒｄパーティサーバー間の暗号化通信シーケンス図である。図８は、実施の形態１に係る管理サーバーが管理する家電情報管理データベースを示す図である。図９は、実施の形態１に係る３ｒｄパーティ鍵書き込みシーケンスの概要図である。図１０は、実施の形態１に係る３ｒｄパーティ鍵書き込みシーケンスの詳細図である。図１１は、実施の形態１に係る３ｒｄパーティ鍵書き込みシーケンス詳細図である。図１２は、実施の形態１に係る３ｒｄパーティ鍵書き込みシーケンス詳細図である。図１３は、実施の形態２に係るＲＦＩＤタグの構成図である。図１４は、実施の形態２に係るサービス鍵格納領域をロック状態に設定するときのシーケンス図である。図１５は、実施の形態２に係るサービス鍵格納領域のロック状態を解除するときのシーケンス図である。

　（本発明の基礎となった知見）
　背景技術で説明したように、スマートフォンと家電とを連携させたサービスが実現可能となってきている。ここで、スマートフォンと家電とが近距離無線通信技術を用いて通信を行う場合が考えられる。

　近距離無線通信技術のうち、１３．５６ＭＨｚ帯の周波数を利用するＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　Ｉｄｅｎｔｉｆｉｃａｔｉｏｎ）の規格には、ＩＳＯ　１４４４３　Ｔｙｐｅ　Ａ、ＩＳＯ　１４４４３　Ｔｙｐｅ　Ｂ、およびＩＳＯ　１５６９３がある。また、これらのＲＦＩＤ規格を一括して扱えるように策定された国際標準規格としてＮＦＣ（Ｎｅａｒ　Ｆｉｅｌｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ）規格がある。

　スマートフォンでは、上記ＮＦＣが採用されており、これに伴って、スマートフォン以外の機器（例えば、ウェルネス機器や白物家電など）にもＮＦＣが組み込まれる可能性が高まっている（非特許文献１参照）。

　ＮＦＣタグが家電に組み込まれれば、スマートフォンと家電とを連携させたサービスが実現可能となる。例えば、家電情報をスマートフォンの通信機能を介してクラウド側のサーバーへ送信して蓄積するサービスも考えられる。

　ここで、上述のように、スマートフォンを介した通信には、セキュリティ上の課題が多く存在するため、ＮＦＣタグとサーバー間でＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信が必要となる。また、暗号化通信の鍵は、通常、安全性確保のため、更新が必要である。

　鍵の更新に関する技術として、例えば、ＩＣカードの鍵を更新する方法が非特許文献１に開示されている。非特許文献１では、ＩＣカードに対応する管理鍵で暗号化した鍵がＩＣカードへ送られる。ＩＣカード内では管理鍵を使って、送られてきた鍵が復号される。そして、復号された鍵は所定の位置に書き込まれる。

　また、特許文献２には、特許文献１とは異なる技術が開示されている。特許文献２においても、更新鍵は、ＩＣカード内の鍵と同一の鍵で暗号化される。暗号化された更新鍵は、ＩＣカードに送られる。暗号化された更新鍵は、ＩＣカード内で復号される。ここで、復号して得られた結果が特定の条件と等しいか比較される。復号して得られた結果が特定の条件と等しければ、復号された更新鍵は所定の記憶領域に書き込まれる。

　特許文献１および特許文献２では、ＩＣカード内に埋め込まれているマスター鍵で暗号化した鍵をＩＣカードへ送り、ＩＣカード内で復号して鍵を更新している。つまり、ＩＣカードがマスター鍵で暗号化された鍵を受信した場合のみ、ＩＣカード内に鍵が書き込まれる。ＮＦＣタグ内に格納される鍵の更新に、上記のような技術を利用することで鍵更新をすることが可能である。

　ところで、ＮＦＣタグに予め格納されるマスター鍵は、ＮＦＣタグを用いたサービスプラットフォームを管理する管理サーバーが保持する鍵である。３ｒｄパーティが上記サービスプラットフォームを用いて独自にサービスの提供する場合、３ｒｄパーティ鍵の更新時には、３ｒｄパーティのサーバーは、管理サーバーに３ｒｄパーティ鍵を提供し、マスター鍵による暗号化を依頼する必要がある。

　すなわち、３ｒｄパーティは、３ｒｄパーティ鍵を管理サーバーに公開することなく、３ｒｄパーティ鍵の更新をすることができないことが課題である。

　上記従来の課題を解決するために、本発明の一形態に係る鍵管理システムは、マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行うモバイル情報端末を用いて、前記第２サーバーと家電機器との間の暗号化通信に用いられる前記第２鍵を前記家電機器内に書き込むための鍵管理システムであって、前記鍵管理システムは、前記モバイル情報端末と、前記家電機器とを備え、前記家電機器は、前記モバイル情報端末と通信を行う通信部と、前記マスター鍵が予め格納されたマスター鍵格納領域と、前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、前記モバイル情報端末は、前記第１サーバーまたは前記第２サーバーから、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵を受信した場合、前記暗号化第１鍵とともに第１の鍵書き込み要求を前記通信部へ送信し、前記通信部が、前記暗号化第１鍵とともに前記第１の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、前記モバイル情報端末は、前記第２サーバーから、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を受信した場合、前記第１鍵で暗号化された前記第２鍵を前記通信部へ送信し、前記通信部が、前記第１鍵で暗号化された前記第２鍵を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、前記家電機器は、復号した前記第２鍵を保持し、前記モバイル情報端末は、前記通信部に対して、前記家電機器が保持している前記第２鍵の読み出し要求を送信し、前記通信部が、前記第２鍵の読み出し要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電機器が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記モバイル情報端末に送信し、前記モバイル情報端末は、前記通信部から前記暗号化第２鍵を受信し、前記暗号化第２鍵とともに第２の鍵書き込み要求を前記通信部へ送信し、前記通信部が、前記暗号化第２鍵とともに前記第２の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む。

　この構成によれば、サービスプラットフォームを管理する管理サーバー（第１サーバー）とは異なる、３ｒｄパーティサーバー（第２サーバー）が管理する３ｒｄパーティ鍵（第２鍵）を、管理サーバーに公開することなく安全に、家電機器内のサービス鍵格納領域に書き込むことが可能となる。

　また、このようにモバイル通信機器を用いることによって、上記サーバーと通信を行うための十分な機能を有しない家電機器においても、当該家電機器内に３ｒｄパーティ鍵を安全に書き込むことができる。

　また、例えば、前記モバイル情報端末には、前記第２のサーバである複数のサーバーそれぞれと前記家電機器との間の暗号化通信を行うための複数のアプリケーションプログラムであって、前記複数のサーバーそれぞれに対応する前記複数のアプリケーションプログラムがインストールされており、前記モバイル情報端末は、前記通信部から前記複数のアプリケーションプログラムそれぞれに対応する複数の前記暗号化第２鍵を受信し、受信した前記複数の前記暗号化第２鍵を保持し、前記モバイル情報端末は、前記複数のアプリケーションプログラムの切り替えを行った時に、切り替え後の前記アプリケーションプログラムに対応する前記暗号化第２鍵である対象暗号化第２鍵を前記第２の鍵書き込み要求とともに前記通信部に送信し、前記通信部が、前記対象暗号化第２鍵とともに鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記対象暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込んでもよい。

　この構成によれば、モバイル情報端末は、複数のアプリケーションそれぞれに対応する複数の暗号化第２鍵を保持することができる。そして、モバイル情報端末は、サービス鍵格納領域への次回の鍵の書き込みの際に、モバイル情報端末内で保持している暗号化第２鍵を家電機器に対して送信することができる。この結果、モバイル情報端末に複数のアプリケーションプログラムがインストールされている場合に、アプリケーションプログラムを切り替えた後の第２鍵の書き込み処理の時間を短縮することができる。

　また、モバイル情報端末が複数の暗号化第２鍵を保持することで、サービス鍵格納領域のメモリサイズは、鍵１つ分のみでよいこととなる。

　また、例えば、前記家電機器は、前記家電機器に関する情報である家電情報を保持しており、前記通信部が前記家電機器から前記家電情報を受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電情報を暗号化し、前記マスター鍵で暗号化された前記家電情報を前記モバイル情報端末に送信し、前記モバイル情報端末は、前記マスター鍵で暗号化された前記家電情報を前記通信部から受信し、前記マスター鍵で暗号化された前記家電情報を前記第１サーバーに送信してもよい。

　この構成によれば、家電機器内のマスター鍵格納領域に格納されたマスター鍵を利用した、管理サーバーと家電機器との間の暗号化通信が可能となる。このため、家電機器に蓄積されたプライバシー情報を含んだ家電情報の盗聴を防止することができる。

　また、例えば、前記家電機器は、前記家電機器に関する情報である家電情報を保持しており、前記通信部が前記家電機器から前記家電情報を受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第２鍵を用いて、前記家電情報を暗号化し、前記第２鍵で暗号化された前記家電情報を前記モバイル情報端末に送信し、前記モバイル情報端末は、前記第２鍵で暗号化された前記家電情報を前記通信部から受信し、前記第２鍵で暗号化された前記家電情報を前記第２サーバーに送信してもよい。

　この構成によれば、家電機器内のサービス鍵格納領域に格納された第２鍵を利用した、３ｒｄパーティサーバーと家電機器との間の暗号化通信が可能となる。このため、家電機器に蓄積されたプライバシー情報を含んだ家電情報の盗聴を防止することができる。

　さらに、この構成によれば、管理サーバーおよび３ｒｄパーティサーバーは、家電機器内の互いに異なる格納領域に格納された鍵を用いて、家電機器とのＥｎｄ－ｔｏ－Ｅｎｄ通信を行うことができる。したがって、ユーザは、モバイル情報端末において、管理サーバーに対応するアプリケーションと、３ｒｄパーティサーバーに対応するアプリケーションとを同時利用することができる。

　また、例えば、前記家電機器は、さらに、前記サービス鍵格納領域の状態を、鍵の書き換えが不可能な状態であるロック状態および鍵の書き換えが可能な状態であるアンロック状態のいずれかの状態に設定するためのロック情報を保持するロック状態保持部と、前記ロック状態保持部に保持されている前記ロック情報を更新することにより、前記サービス鍵格納領域の状態を前記ロック状態または前記アンロック状態に設定するロック状態設定部とを備え、前記モバイル情報端末は、前記通信部に対して、前記サービス鍵格納領域に格納されている鍵の書き換え要求とともに第１の認証情報を送信し、前記家電機器は、前記通信部が受信した前記第１の認証情報を保持し、前記ロック状態設定部は、前記モバイル情報端末による鍵の書き換え要求に対する処理の完了後に、前記サービス鍵格納領域の状態を前記ロック状態に設定し、前記モバイル情報端末は、前記通信部に対して、前記ロック状態の解除要求とともに第２の認証情報を送信し、前記家電機器は、前記第１の認証情報と前記第２の認証情報とが同一である場合にのみ、前記ロック状態設定部に対して、前記ロック状態の解除要求を送信し、前記ロック状態設定部は、前記家電機器から前記ロック状態の解除要求を受信した後に、前記サービス鍵格納領域の状態を前記アンロック状態に設定してもよい。

　この構成によれば、モバイル情報端末のアプリケーションのうち、第１の認証情報を生成した３ｒｄパーティアプリケーションのみが、サービス鍵格納領域のロック状態を解除できる。このため、不正な３ｒｄパーティアプリケーションが、サービス鍵格納領域の鍵を不正に書き換えることを防止することができる。

　また、例えば、前記通信部は、前記モバイル情報端末と近距離無線通信を行うＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　ＩＤｅｎｔｉｆｉｃａｔｉｏｎ）タグであってもよい。

　また、本発明の一態様に係る通信装置は、通信装置であって、マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行う装置である第２の通信装置と通信を行う通信部と、前記マスター鍵が予め格納されたマスター鍵格納領域と、前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、前記通信部が、前記第１サーバーにより、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵と第１の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、前記通信部が、前記第２サーバーにより、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、前記通信装置は、復号した前記第２鍵を保持し、前記通信部が、前記通信装置が保持している前記第２鍵の読み出し要求を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記通信装置が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記第２の通信装置に送信し、前記通信部が、前記第２の通信装置に送信した前記暗号化第２鍵と第２の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む。

　また、例えば、前記通信装置は、さらに、前記サービス鍵格納領域の状態を、鍵の書き換えが不可能な状態であるロック状態および鍵の書き換えが可能な状態であるアンロック状態のいずれかの状態に設定するためのロック情報を保持するロック状態保持部と、前記ロック状態保持部に保持されている前記ロック情報を更新することにより、前記サービス鍵格納領域の状態を前記ロック状態または前記アンロック状態に設定するロック状態設定部とを備え、前記通信部が、前記サービス鍵格納領域に格納されている鍵の書き換え要求とともに第１の認証情報を前記第２の通信装置から受信した場合に、前記通信装置は、前記通信部が受信した前記第１の認証情報を保持し、前記ロック状態設定部は、前記第２の通信装置による鍵の書き換え要求に対する処理の完了後に、前記サービス鍵格納領域の状態を前記ロック状態に設定し、前記通信部が、前記ロック状態の解除要求とともに第２の認証情報を前記第２の通信装置から受信した場合に、前記通信装置は、前記第１の認証情報と前記第２の認証情報とが同一である場合にのみ、前記ロック状態設定部に対して、前記ロック状態の解除要求を送信し、前記ロック状態設定部は、前記通信装置から前記ロック状態の解除要求を受信した後に、前記サービス鍵格納領域の状態を前記アンロック状態に設定してもよい。

　また、例えば、前記通信装置は、家電機器であり、前記第２の通信装置は、モバイル情報端末であってもよい。

　また、例えば、前記通信部は、前記第２の通信装置と近距離無線通信を行うＲＦＩＤ（Ｒａｄｉｏ　ＦｒｅｑｕｅｎｃｙＩ　Ｄｅｎｔｉｆｉｃａｔｉｏｎ）タグであってもよい。

　また、本発明の一態様に係る通信装置は、マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行い、前記第２サーバーと第２の通信装置との間の暗号化通信に用いられる前記第２鍵を前記第２の通信装置内に書き込むための通信装置であって、前記第１サーバーまたは前記第２サーバーから、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵を受信した場合、前記暗号化第１鍵とともに第１の鍵書き込み要求を前記第２の通信装置へ送信し、前記第２サーバーから、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を受信した場合、前記第１鍵で暗号化された前記第２鍵を前記第２の通信装置へ送信し、前記第２の通信装置に対して、前記第２の通信装置が保持している前記第２鍵の読み出し要求を送信した後、前記マスター鍵を用いて前記第２鍵を暗号化した暗号化第２鍵を受信した場合、前記暗号化第２鍵とともに第２の鍵書き込み要求を前記第２の通信装置へ送信する通信装置である。

　この場合、通信装置は、例えば、モバイル情報端末であり、第２の通信装置は、例えば、家電機器である。

　以下、実施の形態について、図面を参照しながら説明する。

　なお、以下で説明する実施の形態は、いずれも包括的または具体的な例を示すものである。以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置位置および接続形態、ステップ、ステップの順序などは、一例であり、本発明を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。

　（実施の形態１）
　＜ＲＦＩＤタグサービスシステムの構成＞
　図１は、実施の形態１に係るＲＦＩＤタグ通信を利用して家電・サーバー間でサービスを行うＲＦＩＤタグサービスシステム１０の構成図である。

　ＲＦＩＤタグサービスシステム１０は、鍵管理システムに相当する。ＲＦＩＤタグサービスシステム１０は、管理サーバー２０（第１サーバー）と、３ｒｄパーティサーバー３０（第２サーバー）と、モバイル情報端末４０と、ＲＦＩＤタグ７０（通信部）が実装された家電６０とから構成される。モバイル情報端末４０は、近距離無線通信機能が搭載された携帯電話やスマートフォンなどのモバイル機器である。

　本実施の形態における近距離無線通信機能とは、例えば、１３．５６ＭＨｚ帯の周波数を利用するＲＦＩＤ規格に規定されている通信機能である。ＲＦＩＤ規格は、ＩＳＯ　１４４４３　Ｔｙｐｅ　Ａ、ＩＳＯ　１４４４３　Ｔｙｐｅ　Ｂ、およびＩＳＯ　１５６９３に規定されている。また、近距離無線通信機能とは、それらのＲＦＩＤ規格を一括して扱えるように策定された近距離無線通信技術の国際標準規格であるＮＦＣ規格であってもよい。以降、本実施の形態では、近距離無線通信機能によって実現される通信がＲＦＩＤ通信である場合について説明する。

　管理サーバー２０は、ＲＦＩＤタグ７０を利用したサービスプラットフォームを提供する業者が運営するサーバーである。

　３ｒｄパーティサーバー３０は、このプラットフォーム上で独自にサービスを展開したいサービス業者が運営するサーバーである。

　モバイル情報端末４０と、管理サーバー２０および３ｒｄパーティサーバー３０とはネットワークを介して接続されている。ここでのネットワークは、例えば、携帯電話通信網である。

　モバイル情報端末４０には、ＲＦＩＤタグリーダ・ライタ機能を利用したアプリケーション５０がインストールされている。アプリケーション５０は、ＲＦＩＤタグ７０を介して家電６０内に蓄積されている家電情報を読み取る。

　モバイル情報端末４０は、ＲＦＩＤ通信で読み取った家電６０内の家電情報を、管理サーバー２０もしくは３ｒｄパーティサーバー３０へ送信する。管理サーバー２０や３ｒｄパーティサーバー３０は、蓄積した家電情報を元にユーザにサービスを提供する。

　サービス例として、各家電の消費電力量などの履歴をユーザに対して提示したり、サーバー側から家電を制御コマンドや、家電の設定情報などを送信したりすることが挙げられる。なお、このようなサービスの詳細については、本発明の本質ではないので本実施の形態では言及しない。

　＜モバイル情報端末の構成＞
　図２は、実施の形態１に係るモバイル情報端末４０の構成図である。

　モバイル情報端末４０は、ネットワーク制御部４１０と、ＲＦＩＤタグリーダ・ライタ制御部４２０と、アプリケーション５０とから構成される。

　ネットワーク制御部４１０は、外部ネットワークデバイスへ接続するためのネットワークデバイスの制御を行う。外部ネットワークデバイスとは、無線ネットワークデバイスや有線ネットワークデバイスである。つまり、ネットワーク制御部４１０は、ＩＰ網への接続あるいは携帯電話の通信網への接続を制御する。

　ＲＦＩＤタグリーダ・ライタ制御部４２０は、ＲＦＩＤタグ７０に対するリーダ・ライタ機能を制御する。

　アプリケーション５０は、タグサービスプラットフォーム提供業者がリリースした管理アプリケーション５１０と、タグサービスプラットフォーム提供業者とは異なる３ｒｄパーティのサービス業者がリリースした３ｒｄパーティアプリケーション５２０および５３０とを含む。

　管理アプリケーション５１０と、３ｒｄパーティアプリケーション５２０および５３０とは、具体的には、ＲＦＩＤタグリーダ・ライタ機能を利用するＲＦＩＤアプリケーションである。これらのアプリケーションは、モバイル情報端末４０にプリインストールされていてもよいし、図示されないアプリ配信サーバーからモバイル情報端末４０にダウンロードされた後にインストールされてもよい。

　本実施の形態では、３ｒｄパーティアプリケーション５２０と３ｒｄパーティアプリケーション５３０とは、それぞれ異なる３ｒｄパーティサービス業者がリリースしたアプリケーションであるとする。また、各３ｒｄパーティサービス業者は、ＲＦＩＤタグサービスプラットフォームの利用を許可された正規の３ｒｄパーティサービス業者であるとする。管理アプリケーション５１０と、正規３ｒｄパーティサービス業者が発行した３ｒｄパーティアプリケーション５２０および５３０とのみがＲＦＩＤタグ７０を介して家電６０にアクセスできるようにアクセス制御が行われる。このアクセス制御の仕組みについては、図５の鍵関係図を用いて説明する。

　各サービス業者は、各自が管理可能なサーバーを保有し、自身が作成したアプリケーションを介して家電６０の家電情報を収集する。具体的には、管理アプリケーション５１０により収集された家電情報は、管理サーバー２０へ送信される。また、３ｒｄパーティアプリケーション５２０により収集された家電情報は、３ｒｄパーティサーバー３０へ送信される。３ｒｄパーティアプリケーション５３０により収集された家電情報は、図示しない３ｒｄパーティアプリケーション５３０に対応する３ｒｄパーティサーバーへ送信される。

　＜家電の構成＞
　図３は、実施の形態１に係る家電６０の構成図である。

　家電６０は、ＲＦＩＤタグ７０を備えており、ＲＦＩＤタグ７０との通信を制御するタグ通信部６２０と、家電コマンドを受け付ける家電コマンド受付部６３０と、受け付けたコマンドを処理する家電コマンド処理部６４０と、家電情報保持部６６０に保持されている情報を制御する家電情報制御部６５０と、ＲＦＩＤタグ７０内に設定されている鍵の書き換え制御を行う鍵書き換え制御部６７０と、書き換えるための鍵を一時的に保持しておく鍵情報格納部６８０とから構成される。

　家電情報保持部６６０は、家電情報６６１と、家電を識別するための機器ＩＤ６６２とを保持する。家電情報６６１には、例えば、家電の設定情報、家電の履歴情報、および家電の消費電力情報などが含まれる。

　家電コマンド受付部６３０は、モバイル情報端末４０内のアプリケーション５０からＲＦＩＤタグ７０を介して家電コマンドを受け付ける。さらに、家電コマンド受付部６３０は、ユーザが家電６０のボタンを押下した場合に、押下されたボタンに対応するコマンド処理を行う。家電コマンド受付部６３０は、具体的には、例えば、リモコン経由でユーザのコマンドを受け付ける。

　ここで、家電６０とは、ＴＶやＤＶＤプレイヤー、ＢＤプレイヤーなどのＡＶ家電や、冷蔵庫、洗濯機、掃除機、電子レンジ、炊飯器等の生活家電や、血圧計、体組成計、活動量計などのウェルネス家電や、血糖値計などの医療系機器である。なお、本実施の形態では、家電６０は、ＩＰ網などのネットワークに接続されていないものとする。すなわち、家電６０は、管理サーバー２０および３ｒｄパーティサーバー３０とは直接通信を行わないものとする。

　＜ＲＦＩＤタグの構成＞
　図４は、ＲＦＩＤタグの構成図である。

　ＲＦＩＤタグ７０は、モバイル情報端末４０とのＲＦＩＤ通信の制御を行う非接触通信部７１０と、ＲＦＩＤタグ７０と家電６０との通信を制御する家電通信部７４０と、マスター鍵を格納するエリアであるマスター鍵格納領域７２０と、３ｒｄパーティのサービス用の鍵を格納するエリアであるサービス鍵格納領域７３０と、暗復号処理部７５０と、サービス鍵格納領域７３０に格納されている鍵を書き換える処理を行う鍵書き込み処理部７６０とを備える。

　サービス鍵格納領域７３０は、ＲＦＩＤタグ７０がマスター鍵で暗号化された鍵を受信した場合にしか、鍵が書き込まれない領域である。これは正規の３ｒｄパーティアプリから書き込み依頼された鍵だけがサービス鍵格納領域７３０に書き込まれるようにするためである。本実施の形態では、サービス鍵格納領域７３０に格納できる鍵の個数は１つであるとする。

　ＲＦＩＤタグ７０は、非接触通信部７１０を用いて暗号化データを受信する。暗復号処理部７５０は、マスター鍵格納領域７２０に格納されている鍵、またはサービス鍵格納領域７３０に格納されている鍵を用いて暗号化データを復号する。復号した結果得られたデータは、家電通信部７４０を介して家電６０へ送信される。

　一方、ＲＦＩＤタグ７０は、家電通信部７４０を用いて、家電６０から、家電情報保持部６６０に保持された家電情報６６１を受信する。受信した家電情報６６１は、ＲＦＩＤタグ７０の暗復号処理部７５０にて、マスター鍵格納領域７２０に格納されている鍵、またはサービス鍵格納領域７３０に格納されている鍵で暗号化処理される。

　その後、暗号化された家電情報６６１は、非接触通信部７１０を介して行われるＲＦＩＤ通信によって、モバイル情報端末４０に送信される。さらに、モバイル情報端末４０は、受け取った暗号化された家電情報６６１を管理サーバー２０または３ｒｄパーティサーバー３０に送信する。管理サーバー２０または３ｒｄパーティサーバー３０は、受信した暗号化された家電情報６６１を復号して平文のデータとしてデータベースに蓄積し、様々なサービスに利用する。

　以下、データの暗復号と鍵処理の関係について、図５を用いて詳細に説明する。

　＜データの暗復号と鍵処理との関係＞
　図５は、ＲＦＩＤタグサービスシステム１０における暗復号処理に利用する鍵の関係図である。

　管理サーバー２０は、マスター鍵２１を保持している。管理サーバー２０は、正規３ｒｄパーティのリスト（図示せず）を保持している。管理サーバー２０は、正規３ｒｄパーティサーバーからの第１鍵３１の暗号化依頼があれば、管理サーバー２０で保持しているマスター鍵２１で暗号化された第１鍵３１を暗号化第１鍵として正規３ｒｄパーティサーバーに返す。

　ＲＦＩＤタグ７０は、マスター鍵７２１を保持している。マスター鍵７２１は、家電６０の製造工程においてマスター鍵格納領域７２０に書き込まれる。また、マスター鍵７２１とマスター鍵２１とは同じ鍵である。

　ＲＦＩＤタグ７０のサービス鍵格納領域７３０は、製造工程の段階では空の状態である。３ｒｄパーティサービス業者がリリースした３ｒｄパーティアプリケーション５２０からの書き込み依頼処理により、３ｒｄパーティサーバー３０が保持する第１鍵３１もしくは第２鍵３２は、サービス鍵格納領域７３０に書き込まれる。

　ここで、サービス鍵格納領域７３０へは正規の３ｒｄパーティアプリケーションからのみ鍵が書き込まれるようにする必要がある。そこで、サービス鍵格納領域７３０に書き込まれる鍵は、マスター鍵２１で暗号化された鍵を復号して得られる鍵に制限される。そのため、第１鍵３１および第２鍵３２がサービス鍵格納領域７３０に書き込まれるためには、ＲＦＩＤタグ７０は、マスター鍵２１で暗号化された第１鍵３１およびマスター鍵２１で暗号化された第２鍵３２の各々を、それぞれの鍵書き込み依頼とともに受信する必要がある。

　第１鍵３１は、管理サーバー２０に公開される鍵であり、管理サーバー２０によりマスター鍵２１で暗号化される。また第１鍵３１は、サービス鍵格納領域７３０に一時的に格納される。

　これに対し、第２鍵３２は、管理サーバー２０に公開されない鍵であり、３ｒｄパーティサーバー３０とＲＦＩＤタグ７０とのＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信に利用される。

　第２鍵３２がサービス鍵格納領域７３０に書き込まれるためには、第１鍵３１と同様に、マスター鍵２１で暗号化された第２鍵（以下、単に「暗号化第２鍵」ともいう）がＲＦＩＤタグ７０に入力される必要がある。マスター鍵で暗号化された第２鍵は、管理サーバー２０ではなく、ＲＦＩＤタグ７０のＲＦＩＤ通信を利用して生成される。この生成処理も含めた第１鍵３１および第２鍵３２のサービス鍵格納領域７３０への書き込み処理は、図９、図１０、図１１、図１２のシーケンス図を用いて詳細に説明する。したがって、ここでは、書き込み処理の説明は省略される。

　これにより、正規３ｒｄパーティアプリケーションは、管理サーバー２０に非公開な鍵であって自身のみが知る鍵である第２鍵を用いて暗号化通信を行うことができる。よって、管理サーバー２０から第２鍵が漏洩するリスクは低く、管理サーバー２０から情報が盗難されることを防ぐことができる。

　家電情報保持部６６０に蓄積された家電情報６６１は、モバイル情報端末４０にインストールされたアプリケーション５０によって、管理サーバー２０あるいは３ｒｄパーティサーバー３０に送信される。家電情報６６１は、ＲＦＩＤタグ７０内の暗復号処理部７５０にて暗号化され、モバイル情報端末４０へＲＦＩＤ通信で送信される。モバイル情報端末４０から管理サーバー２０または３ｒｄパーティサーバー３０への暗号化家電情報の送信には、ネットワーク通信が利用される。

　管理アプリケーション５１０から管理サーバー２０へ送信される暗号化家電情報は、ＲＦＩＤタグ７０の暗復号処理部７５０によって、マスター鍵格納領域７２０に格納されているマスター鍵７２１を用いて家電情報６６１を暗号化することにより生成された情報である。管理サーバー２０が受信した暗号化家電情報は、マスター鍵２１によって復号された後、家電情報管理データベース２３に蓄積される。

　一方、３ｒｄパーティアプリケーション５２０から３ｒｄパーティサーバー３０へ送信される暗号化家電情報は、ＲＦＩＤタグ７０の暗復号処理部７５０によって、サービス鍵格納領域７３０に格納されている第２鍵７３２を用いて家電情報６６１を暗号化することにより生成された情報である。３ｒｄパーティサーバー３０が受信した暗号化家電情報は、第２鍵３２によって復号された後、家電情報管理データベース３３に蓄積される。

　このようにＲＦＩＤタグ７０と管理サーバー２０間のＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信と、ＲＦＩＤタグ７０と３ｒｄパーティサーバー３０間のＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信が行われる。

　以下、それぞれの暗号化通信について、図６と図７を用いて詳細に説明する。

　＜ＲＦＩＤタグと管理サーバーとの間の暗号化通信シーケンス＞
　図６は、ＲＦＩＤタグ７０と管理サーバー２０間の暗号化通信シーケンス図である。

　ここでは、ＲＦＩＤタグサービスシステム１０を利用するユーザは、サービスを利用するためのユーザ登録が済んでおり、管理サーバー２０は、ユーザ登録情報としてユーザＩＤとパスワードを管理している場合について説明する。

　また、家電６０は、ユーザ操作により、家電操作履歴を家電情報として家電情報保持部６６０に記憶している状態である（Ｓ１０１）として、以降の説明を行う。

　まず、モバイル情報端末４０にインストールされている管理アプリケーション５１０が起動される（Ｓ１０２）。

　次に、管理アプリケーション５１０は、ユーザに対しログインを要求し、ユーザは、ユーザＩＤとパスワードとを入力する。管理サーバー２０は、管理アプリケーション５１０から受信したユーザＩＤとパスワードとを、管理サーバー２０が管理するユーザ登録データベースと照合する。ここで、ユーザＩＤとパスワードとがユーザ登録データベースとマッチすれば、管理サーバー２０は、管理アプリケーション５１０にログイン完了通知を送信する。（Ｓ１０３）。ステップＳ１０３における管理サーバー２０とモバイル情報端末４０との間の通信は、例えば、ＳＳＬ（Ｓｅｃｕｒｅ　Ｓｏｃｋｅｔ　Ｌａｙｅｒ）等の暗号化通信である。

　次に、ユーザは、管理アプリケーション５１０を起動した状態でモバイル情報端末４０を、ＲＦＩＤタグ７０に近づける。これにより、管理アプリケーション５１０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信によりＲＦＩＤタグ７０に対して機器ＩＤ読み出し要求を送信する（Ｓ１０４）。

　次に、ＲＦＩＤタグ７０は、非接触通信部７１０を用いて機器ＩＤ読み出し要求を受付ける。そして、ＲＦＩＤタグ７０は、上記機器ＩＤ読み出し要求を、家電通信部７４０を利用して家電６０のタグ通信部６２０へ送信する（Ｓ１０５）。

　次に、家電６０の家電情報制御部６５０は、家電情報保持部６６０に保持している機器ＩＤ６６２を読み取り、タグ通信部６２０を利用してＲＦＩＤタグ７０へ機器ＩＤ６６２を送信する（Ｓ１０６）。

　次に、ＲＦＩＤタグ７０は、機器ＩＤ６６２を家電通信部７４０で受け取り、非接触通信部７１０を用いて管理アプリケーション５１０へ送信する（Ｓ１０７）。

　次に、ユーザは、管理アプリケーション５１０を起動した状態でモバイル情報端末４０を、ＲＦＩＤタグ７０に近づける。これにより、管理アプリケーション５１０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信によりＲＦＩＤタグ７０に対してマスター鍵７２１による家電情報読み出し要求を送信する（Ｓ１０８）。

　次に、ＲＦＩＤタグ７０は、非接触通信部７１０でマスター鍵７２１による家電情報読み出し要求を受付ける。そして、ＲＦＩＤタグ７０は、その家電情報読み出し要求を、家電通信部７４０を用いて家電６０のタグ通信部６２０へ送信する（Ｓ１０９）。

　次に、家電６０の家電情報制御部６５０は、家電情報保持部６６０に保持されている家電情報６６１を読み取り、タグ通信部６２０を利用してＲＦＩＤタグ７０へ家電情報６６１を送信する（Ｓ１１０）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、家電通信部７４０で受け取った家電情報６６１を、マスター鍵格納領域７２０に格納されているマスター鍵７２１で暗号化することにより暗号化家電情報を生成する（Ｓ１１１）。そして、暗復号処理部７５０は、生成された暗号化家電情報を、非接触通信部７１０を利用して管理アプリケーション５１０へ送信する（Ｓ１１２）。

　次に、管理アプリケーション５１０は、ステップＳ１０７において受信した機器ＩＤ６６２とステップＳ１１２において受信した暗号化家電情報とを、ネットワーク制御部４１０を介して管理サーバー２０へ送信する（Ｓ１１３）。

　次に、管理サーバー２０は、ステップＳ１１３において受信した暗号化家電情報を、管理サーバー２０が管理するマスター鍵２１で復号する（Ｓ１１４）。

　次に、管理サーバー２０は、ステップＳ１１４において復号した家電情報６６１と、ステップＳ１０３において入力されたユーザＩＤと、ステップＳ１１３で受信した機器ＩＤ６６２とを関連づけて家電情報管理データベース２３に記録する（Ｓ１１５）。

　以上で、ＲＦＩＤタグ７０と管理サーバー２０間の暗号化通信シーケンスの説明を終わる。

　なお、本実施の形態では、機器ＩＤ６６２は、ＲＦＩＤタグ７０内のマスター鍵７２１で暗号化されずに出力されているが、家電情報６６１と同様にマスター鍵７２１で暗号化されてもよい。

　＜ＲＦＩＤタグと管理サーバーとの間の暗号化通信シーケンス＞
　図７は、ＲＦＩＤタグ７０と３ｒｄパーティサーバー３０間の暗号化通信シーケンス図である。

　図７において、図６と異なるのは、主として次の３点である。１点目は、利用されるアプリケーションが３ｒｄパーティアプリケーション５２０である点である。２点目は、家電情報６６１を暗号化する鍵が、サービス鍵格納領域７３０に格納されている鍵である点である。そして、３点目は、暗号化家電情報の送り先が３ｒｄパーティサーバー３０である点である。これらの３点以外のシーケンスは、基本的に図７と同じである。

　ここでも、図７と同様に、ＲＦＩＤタグサービスシステム１０を利用するユーザは、サービスを利用するためのユーザ登録が済んでおり、３ｒｄパーティサーバー３０は、ユーザ登録情報としてユーザＩＤとパスワードとを管理している場合について説明する。

　また、家電６０は、ユーザ操作により、家電操作履歴を家電情報として家電情報保持部６６０に記憶している状態である（Ｓ２０１）として、以降の説明を行う。

　まず、モバイル情報端末４０にインストールされている３ｒｄパーティアプリケーション５２０が起動される（Ｓ２０２）。

　次に、３ｒｄパーティアプリケーション５２０は、ユーザに対しログインを要求し、ユーザは、ユーザＩＤとパスワードとを入力する。３ｒｄパーティサーバー３０は、３ｒｄパーティアプリケーション５２０から受信したユーザＩＤとパスワードとを、３ｒｄパーティサーバー３０が管理するユーザ登録データベースと照合する。ここで、ユーザＩＤとパスワードとがユーザ登録データベースとマッチすれば、３ｒｄパーティサーバー３０は、３ｒｄパーティアプリケーション５２０にログイン完了通知を送信する。（Ｓ２０３）。ステップＳ２０３における３ｒｄパーティサーバー３０とモバイル情報端末４０との間の通信は、例えば、ＳＳＬ等の暗号化通信である。

　次に、ユーザは、３ｒｄパーティアプリケーション５２０を起動した状態でモバイル情報端末４０をＲＦＩＤタグ７０に近づける。これにより、３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信によりＲＦＩＤタグ７０に対して機器ＩＤ読み出し要求を送信する（Ｓ２０４）。

　次に、ＲＦＩＤタグ７０は、非接触通信部７１０を用いて機器ＩＤ読み出し要求を受付ける。そして、ＲＦＩＤタグ７０は、上記機器ＩＤ読み出し要求を、家電通信部７４０を利用して家電６０のタグ通信部６２０へ送信する（Ｓ２０５）。

　次に、家電６０の家電情報制御部６５０は、家電情報保持部６６０に保持している機器ＩＤ６６２を読み取り、タグ通信部６２０を利用してＲＦＩＤタグ７０へ機器ＩＤ６６２を送信する（Ｓ２０６）。

　次に、ＲＦＩＤタグ７０は、機器ＩＤ６６２を家電通信部７４０によって受信し、非接触通信部７１０を用いて３ｒｄパーティアプリケーション５２０へ送信する（Ｓ２０７）。

　次に、ユーザは、３ｒｄパーティアプリケーション５２０を起動した状態でモバイル情報端末４０をＲＦＩＤタグ７０に近づける。これにより、３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信により、ＲＦＩＤタグ７０に対して３ｒｄパーティ鍵（第２鍵７３２）による家電情報読み出し要求を行う（Ｓ２０８）。

　次に、ＲＦＩＤタグ７０は、非接触通信部７１０で３ｒｄパーティ鍵による家電情報読み出し要求を受付ける。そして、ＲＦＩＤタグ７０は、その家電情報読み出し要求を、家電通信部７４０を用いて家電６０のタグ通信部６２０へ送信する（Ｓ２０９）。

　次に、家電６０の家電情報制御部６５０は、家電情報保持部６６０に保持されている家電情報６６１を読み取り、タグ通信部６２０を利用してＲＦＩＤタグ７０へ家電情報６６１を送信する（Ｓ２１０）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、家電通信部７４０が受信した家電情報６６１を、サービス鍵格納領域７３０に格納されている第２鍵７３２で暗号化することにより暗号化家電情報を生成する（Ｓ２１１）。そして、暗復号処理部７５０は、生成された暗号化家電情報を、非接触通信部７１０を利用して３ｒｄパーティアプリケーション５２０へ送信する（Ｓ２１２）。

　次に、３ｒｄパーティアプリケーション５２０は、ステップＳ２０７において受信した機器ＩＤ６６２と、ステップＳ２１２において受信した暗号化家電情報とを、ネットワーク制御部４１０を介して３ｒｄパーティサーバー３０へ送信する（Ｓ２１３）。

　次に、３ｒｄパーティサーバー３０は、ステップＳ２１３において受信した暗号化家電情報を、３ｒｄパーティサーバー３０が管理する第２鍵７３２で復号する（Ｓ２１４）。

　次に、管理サーバー２０は、ステップＳ２１４において復号した家電情報６６１と、ステップＳ１０３において入力されたユーザＩＤと、ステップＳ２１３において受信した機器ＩＤ６６２とを関連づけて家電情報管理データベース３３に記録する（Ｓ２１５）。

　なお、本実施の形態では、機器ＩＤ６６２は、ＲＦＩＤタグ７０内の第２鍵７３２で暗号化されずに出力されているが、家電情報６６１と同様に第２鍵７３２で暗号化されてもよい。

　図６および図７では、家電情報を管理サーバー２０または３ｒｄパーティサーバー３０へ送信するシーケンスにおける、ＲＦＩＤタグ７０内の暗復号処理部７５０における暗号化処理を説明した。しかし、逆に、管理サーバー２０もしくは３ｒｄパーティサーバー３０から家電６０への鍵の書き換えやコマンド制御を行う場合は、サーバー側で暗号化されたデータがＲＦＩＤタグ７０へ送信される。そして、暗復号処理部７５０にて、サーバー側で暗号化されたデータの復号処理が行われる。

　また、図６および図７のシーケンスでは詳細な説明を省いたが、サービス鍵格納領域７３０には第１鍵３１が書き込まれた後に第２鍵３２が書き込まれる。サービス鍵格納領域７３０への鍵書き込み処理については、図９、図１０、図１１、および図１２のシーケンス図を用いて詳細な説明をする。

　＜家電情報管理データベース＞
　図８は、図６のステップＳ１１５において、管理サーバー２０が管理する家電情報管理データベース２３を示す図である。

　家電情報管理データベース２３は、ユーザＩＤ２４と、機器ＩＤ２５と、家電情報２６とから構成される。

　図８では、ユーザＩＤ２４がＵｓｅｒＡまたはＵｓｅｒＢである２人のユーザが、管理サーバー２０にユーザ登録されている。ＵｓｅｒＡは、機器ＩＤ２５が１０００１である電子レンジと、機器ＩＤが２０００１である冷蔵庫と、機器ＩＤが３０００１である炊飯器とを所有している。

　家電情報管理データベース２３には、電子レンジの家電情報２６として電子レンジ履歴情報１と電子レンジ履歴情報２とが記録されている。また、家電情報管理データベース２３には、冷蔵庫の家電情報２６として冷蔵庫履歴情報１と冷蔵庫履歴情報２とが記録されている。さらに、管理データベースには、炊飯器の家電情報２６として炊飯器履歴情報１が記録されている。ＵｓｅｒＢについての家電情報も同様であるため説明を省略する。

　なお、３ｒｄパーティサーバー３０が管理する家電情報管理データベース３３も、図９と同等の構成であるので説明を省略する。

　＜３ｒｄパーティ鍵書き込みシーケンス概要＞
　以降、図９、図１０、図１１、および図１２を用いてサービス鍵格納領域７３０への３ｒｄパーティ鍵である第１鍵３１と第２鍵３２との書き込みシーケンスについて説明する。

　図９は、３ｒｄパーティ鍵書き込みの概要シーケンスである。図１０から図１２は、図９に示される各ステップをさらに詳細に示したシーケンスである。

　まず、図９の概要シーケンスについて説明する。

　３ｒｄパーティサーバー３０は、第１鍵３１を管理サーバー２０へ送信し、管理サーバー２０から、マスター鍵２１で暗号化された第１鍵３１を暗号化第１鍵として取得する（Ｓ３０１）。

　次に、モバイル情報端末４０は、３ｒｄパーティサーバー３０から暗号化第１鍵を取得し、暗号化第１鍵をＲＦＩＤタグ７０へ送信する。ＲＦＩＤタグ７０は、受信した暗号化第１鍵を、マスター鍵格納領域７２０に格納されているマスター鍵７２１によって復号し、サービス鍵格納領域７３０に第１鍵７３１を格納する（Ｓ３０２）。

　次に、３ｒｄパーティサーバー３０は、第１鍵３１で暗号化した第２鍵３２を暗号化第２鍵としてモバイル情報端末４０へ送信する(Ｓ３０３）。

　次に、モバイル情報端末４０は、暗号化第２鍵をＲＦＩＤタグ７０に送信する。ＲＦＩＤタグ７０は、受信した暗号化第２鍵を、サービス鍵格納領域７３０に格納されている第１鍵によって復号し、平文となった第２鍵を家電６０へ送信する。家電６０は、ＲＦＩＤタグ７０によって復号された第２鍵を一時的に保持しておく（Ｓ３０４）。

　次に、モバイル情報端末４０は、ステップＳ３０４において家電６０が保持している第２鍵の読み出し要求を、ＲＦＩＤタグ７０に送信する。そして、ＲＦＩＤタグ７０は、家電６０が保持している第２鍵を、マスター鍵７２１で暗号化することにより暗号化第２鍵を生成する。モバイル情報端末４０は、ＲＦＩＤタグ７０によって生成された暗号化第２鍵を取得する（Ｓ３０５）。

　次に、モバイル情報端末４０は、ステップＳ３０５において取得した暗号化第２鍵（マスター鍵７２１で暗号化された第２鍵）をＲＦＩＤタグ７０に送信する。ＲＦＩＤタグ７０は、受信した暗号化第２鍵を、マスター鍵格納領域７２０に格納されているマスター鍵７２１によって復号し、サービス鍵格納領域７３０に第２鍵７３２を格納する（Ｓ３０６）。

　以上が、３ｒｄパーティ鍵書き込み概要シーケンスである。

　＜３ｒｄパーティ鍵書き込みシーケンス詳細＞
　ここからは、図１０、図１１、図１２を用いて、３ｒｄパーティ鍵書き込みの詳細シーケンスについて説明する。

　図９と、図１０から図１２との対応関係は、以下のとおりである。図９のステップＳ３０１は、図１０のステップＳ１００１からステップＳ１００５に対応する。図９のステップＳ３０２は、図１０のステップＳ１００６からステップＳ１０１４に対応する。図９のステップＳ３０３は、図１１のステップＳ１０１５からステップＳ１０１８に対応する。図９のステップＳ３０４は、ステップＳ１０１９からステップＳ１０２５に対応する。図９のステップＳ３０５は、図１２のステップＳ１０２６からステップＳ１０３１に対応する。図９のステップＳ３０６は、図１２のステップＳ１０３２からステップＳ１０３８に対応する。

　まず、図９のステップＳ３０１の詳細シーケンスについて、図１０を用いて説明する。

　３ｒｄパーティサーバー３０は、３ｒｄパーティ鍵である第１鍵３１を生成する（Ｓ１００１）。

　次に、３ｒｄパーティサーバー３０は、管理サーバー２０に、第１鍵３１の暗号化要求を送信する（Ｓ１００２）。

　次に、管理サーバー２０は、第１鍵３１のメッセージ認証コード（Ｍｅｓｓａｇｅ　Ａｕｔｈｅｎｔｉｃａｔｉｏｎ　Ｃｏｄｅ：ＭＡＣ）値を生成する（Ｓ１００３）。管理サーバー２０は、第１鍵３１をマスター鍵２１で暗号化することにより、暗号化第１鍵を生成する（Ｓ１００４）。

　次に、管理サーバー２０は、ステップＳ１００４において生成された暗号化第１鍵と、ステップＳ１００３において生成された第１鍵３１のＭＡＣ値とを３ｒｄパーティサーバー３０に送信する（Ｓ１００５）。なお、ステップＳ１００５において、管理サーバー２０は、暗号化第１鍵と第１鍵３１のＭＡＣ値とをモバイル情報端末４０に送信してもよい。この場合、後述のステップＳ１００７は、省略される。

　ここからは、図９のステップＳ３０２の詳細シーケンスについて、図１０を用いて説明する。

　モバイル情報端末４０は、３ｒｄパーティアプリケーション５２０を起動する（Ｓ１００６）。モバイル情報端末４０は、暗号化第１鍵と第１鍵３１のＭＡＣ値とを管理サーバー２０から受信する（Ｓ１００７）。

　次に、３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信により、ステップＳ１００７において受信した暗号化第１鍵および第１鍵３１のＭＡＣ値とともに、３ｒｄパーティ鍵書き込み要求をＲＦＩＤタグ７０に送信する（Ｓ１００８）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、受信した暗号化第１鍵を、マスター鍵格納領域７２０内のマスター鍵７２１によって復号する（Ｓ１００９）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、復号した第１鍵のＭＡＣ値を生成する（Ｓ１０１０）。

　次に、暗復号処理部７５０は、ステップＳ１００８において受信したＭＡＣ値と、ステップＳ１０１０において生成したＭＡＣ値とを比較する（Ｓ１０１０）。ステップＳ１０１０における比較の結果、ＭＡＣ値が等しくない場合、ＲＦＩＤタグ７０は、エラー通知を出力する（Ｓ１０１１）。

　ステップＳ１０１０における比較の結果、ＭＡＣ値が等しい場合、ＲＦＩＤタグ７０の鍵書き込み処理部７６０は、暗復号処理部７５０から第１鍵を取得し、サービス鍵格納領域７３０に第１鍵７３１を書き込む（Ｓ１０１３）。

　ステップＳ１０１０における第１鍵７３１の書き込みの完了後、ＲＦＩＤタグ７０は、書き込み完了通知を３ｒｄパーティアプリケーション５２０に送信する（Ｓ１０１４）。

　ここからは、図９のステップＳ３０３の詳細シーケンスについて、図１１を用いて説明する。

　３ｒｄパーティサーバー３０は、３ｒｄパーティ鍵である第２鍵３２を生成する（Ｓ１０１５）。

　次に、３ｒｄパーティサーバー３０は、第２鍵３２のＭＡＣ値を生成する（Ｓ１０１６）。３ｒｄパーティサーバー３０は、３ｒｄパーティサーバー３０が管理する第１鍵３１で第２鍵３２を暗号化することにより、暗号化第２鍵を生成する（Ｓ１０１７）。

　次に、３ｒｄパーティサーバー３０は、ステップＳ１０１７において生成した暗号化第２鍵と、ステップＳ１０１６において生成したＭＡＣ値とを、モバイル情報端末４０の３ｒｄパーティアプリケーション５２０に送信する（Ｓ１０１８）。

　ここからは、図９のステップＳ３０４の詳細シーケンスについて、図１１を用いて説明する。

　３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信により、ステップＳ１０１８において受信した暗号化第２鍵および第２鍵３２のＭＡＣ値とともに、３ｒｄパーティ鍵書き込み要求をＲＦＩＤタグ７０に送信する（Ｓ１０１９）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、受信した暗号化第２鍵を、サービス鍵格納領域７３０内の第１鍵７３１で復号する（Ｓ１０２０）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、復号した第２鍵のＭＡＣ値を生成する（Ｓ１０２１）。

　次に、暗復号処理部７５０は、ステップＳ１０１９において受信したＭＡＣ値と、ステップＳ１０２１において生成したＭＡＣ値とを比較する（Ｓ１０２２）。ステップＳ１０２２における比較の結果、ＭＡＣ値が等しくない場合、ＲＦＩＤタグ７０は、エラー通知を出力する（Ｓ１０２３）。

　ステップＳ１０２２における比較の結果、ＭＡＣ値が等しい場合、ＲＦＩＤタグ７０の鍵書き込み処理部７６０は、暗復号処理部７５０から第２鍵を取得し、取得した第２鍵を家電通信部７４０を介して家電６０へ送信する（Ｓ１０２４）。

　次に、家電６０の家電情報制御部６５０は、タグ通信部６２０から第２鍵を取得し、家電情報保持部６６０に第２鍵を一時的に記録する（Ｓ１０２５）。

　ここからは、図９のステップＳ３０５の詳細シーケンスについて、図１２を用いて説明する。

　３ｒｄパーティアプリケーション５２０は、第２鍵をサービス鍵格納領域７３０に格納するために、マスター鍵で暗号化された第２鍵を取得する必要がある。そこで、３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグ７０に対して、家電６０に保持されている第２鍵の読み出し要求を送信する（Ｓ１０２６）。

　次に、ＲＦＩＤタグ７０から読み出し要求を受け付けた家電６０は、家電情報保持部６６０に記録されている第２鍵を読み出す（Ｓ１０２７）。家電６０は、タグ通信部６２０を介して、読み出した第２鍵をＲＦＩＤタグ７０へ送信する（Ｓ１０２８）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、ステップＳ１０２８において受信した第２鍵のＭＡＣ値を生成する（Ｓ１０２９）。さらに、暗復号処理部７５０は、マスター鍵格納領域７２０のマスター鍵７２１で第２鍵を暗号化することにより、暗号化第２鍵を生成する（Ｓ１０３０）。ＲＦＩＤタグ７０は、非接触通信部７１０を利用したＲＦＩＤ通信により、ステップＳ１０３０において生成された暗号化第２鍵と、ステップＳ１０２９において生成されたＭＡＣ値とを、３ｒｄパーティアプリケーション５２０へ送信する（Ｓ１０３１）。

　ここからは、図９のステップＳ３０６の詳細シーケンスについて、図１２を用いて説明する。

　３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグリーダ・ライタ制御部４２０を利用したＲＦＩＤ通信により、ステップＳ１０３１において受信した暗号化第２鍵（マスター鍵で暗号化された第２鍵）およびＭＡＣ値とともに、３ｒｄパーティ鍵書き込み要求をＲＦＩＤタグ７０に送信する（Ｓ１０３２）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、受信した暗号化第２鍵を、マスター鍵格納領域７２０内のマスター鍵７２１によって復号する（Ｓ１０３３）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、復号した第２鍵のＭＡＣ値を生成する（Ｓ１０３４）。

　次に、暗復号処理部７５０は、ステップＳ１０３２において受信したＭＡＣ値と、ステップＳ１０３４において生成したＭＡＣ値とを比較する（Ｓ１０３５）。ステップＳ１０３５における比較の結果、ＭＡＣ値が等しくない場合は、ＲＦＩＤタグ７０は、エラー通知を出力する（Ｓ１０３６）。

　ステップＳ１０３５における比較の結果、ＭＡＣ値が等しい場合は、ＲＦＩＤタグ７０の鍵書き込み処理部７６０は、暗復号処理部７５０から第２鍵を取得し、サービス鍵格納領域７３０に第２鍵７３２を書き込む（Ｓ１０３７）。

　書き込みが完了後、ＲＦＩＤタグ７０は、書き込み完了通知を３ｒｄパーティアプリケーション５２０に送信する（Ｓ１０３８）。

　以上のようにすることで、３ｒｄパーティサーバー３０とＲＦＩＤタグ７０との間のＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信には、管理サーバー２０に非公開にしている第２鍵を利用することができる。

　このため、管理サーバー２０から第２鍵が漏洩するリスクは低く、管理サーバー２０から情報が盗聴されることも防ぐことができる。

　なお、ステップＳ１０２５において家電６０が保持している第２鍵は、読み出された後は消去されることが好ましい。このようにすることで、家電６０が不正に解析されることにより、第２鍵が不正に取得されることを防止することができる。

　さらに、ステップＳ１０３１において、３ｒｄパーティアプリケーション５２０は、マスター鍵で暗号化された第２鍵（暗号化第２鍵）とＭＡＣ値とを取得している。このとき、３ｒｄパーティアプリケーション５２０は、この暗号化第２鍵とＭＡＣ値とを保持しておくことが好ましい。これにより、サービス鍵格納領域７３０に第２鍵を再度書き込む際に、図９の処理は、全て実行される必要がなくなる。具体的には、図９のステップＳ３０６だけが実行されれば第２鍵がサービス鍵格納領域７３０に書き込まれるので、第２鍵の書き込み処理を短縮化できる。

　さらに、モバイル情報端末４０が複数の３ｒｄパーティアプリケーションを備える場合、それぞれの３ｒｄパーティアプリケーションが、当該３ｒｄパーティアプリケーションに対応する、ステップＳ１０３１において受信した暗号化第２鍵とＭＡＣ値とを保持しておくことが好ましい。この場合、３ｒｄパーティアプリケーションを切り替えるタイミングで、図９のステップＳ３０６の処理だけが実行されれば、切替後の３ｒｄパーティアプリケーションに対応する第２鍵の書き込み処理が行われる。したがって、３ｒｄパーティアプリケーションの切り替え処理の時間が短縮できる。

　また、家電６０が直接第２鍵をＲＦＩＤタグ７０のサービス鍵格納領域７３０に書き込んでもよい。この場合、３ｒｄパーティアプリケーションに対応する第２鍵が家電もしくはＲＦＩＤタグに記憶されなければならない。

　ここで、家電６０やＲＦＩＤタグ７０は、通常、十分なリソースを持たない場合が多く、複数の３ｒｄパーティアプリケーションにそれぞれ対応する複数の第２鍵を記憶することができない場合が多い。これに対し、本実施の形態のような方法では、十分なリソースを持ったモバイル情報端末４０を用い、モバイル情報端末４０側から第２鍵を書き込むため、複数の３ｒｄパーティアプリケーションにも対応可能である。

　また、モバイル情報端末４０のアプリケーションを事後的に更新することによって、十分なリソースを持たない家電６０やＲＦＩＤタグ７０内に第２鍵を生成できる点においても、本実施の形態のようなモバイル情報端末４０を用いる方法は有効である。

　なお、本実施の形態では、鍵の正当性を確認するために、ＭＡＣ値を用いたが、ＭＡＣ値の代わりにデジタル署名やハッシュ関数などの一般に広く知られる技術を利用してもよい。

　また、本実施の形態では、図９に示されるように、生活家電（例えば、電子レンジ、冷蔵庫、または炊飯器など）の情報を収集する場合を一例として説明した。この場合、３ｒｄパーティサーバー３０は、ユーザに対して各ユーザが所有している家電の消費電力情報、使用履歴、料理メニューのレシピ、または家電の情報をサービスとして提供することが考えられる。

　また、家電６０がウェルネス家電（例えば、血圧計、体組成計、または活動量計など）または医療機器（例えば、血糖値計など）であれば、３ｒｄパーティは、医療機関であってもよい。特に、プライバシー情報（例えば、ユーザの体重または血圧など）は、ＲＦＩＤサービスプラットフォームを管理する管理サーバー２０にも秘匿にして通信することが望まれる。そこで、本実施の形態で示されるように、管理サーバー２０に公開されない鍵で家電６０の情報を暗号化して収集することにより、サービスを行う医療機関は、ユーザに対してプライバシー情報を保護したサービスを提供することが可能となる。

　また、本実施の形態では、管理サーバー２０で収集した家電情報は、管理サーバー２０でのみ管理されるものとしているが、事前にユーザの許諾を得て、管理サーバー２０から３ｒｄパーティサーバー３０へ家電情報を提供してもよい。このようなサーバー間の連携処理により、多様なサービスを実現することが可能となる。

　また、本実施の形態では、管理サーバー２０とＲＦＩＤタグ７０との間でマスター鍵による暗号化通信が行われているが、モバイル情報端末４０の管理アプリケーション５１０とＲＦＩＤタグ７０との間でマスター鍵による暗号化通信が行われてもよい。この場合、管理アプリケーション５１０がマスター鍵を保持する。

　同様に、本実施の形態では、３ｒｄパーティサーバー３０とＲＦＩＤタグ７０との間で３ｒｄパーティ鍵である第２鍵による暗号化通信が行われているが、モバイル情報端末４０の３ｒｄパーティアプリケーション５２０とＲＦＩＤタグ７０との間で３ｒｄパーティ鍵による暗号化通信が行われてもよい。この場合、３ｒｄパーティアプリケーション５２０が第２鍵を保持する。

　このようにすることで、例えば、家電６０に制御コマンドを送信する際に、モバイル情報端末４０は、暗号化コマンドの生成をサーバーに問い合わせることなく、暗号化コマンドをアプリケーション内で生成可能となる。よって、サーバーへの問い合わせにより生じるオーバーヘッドを少なくすることができる。

　また、本実施の形態では、サービス鍵格納領域７３０に格納される鍵の個数は１つとしていたが、サービス鍵格納領域７３０には、複数の鍵が格納されてもよい。この場合は、鍵同士が互いに識別できるようにサービス鍵格納領域７３０に格納されればよい。

　このようにすることで、複数の３ｒｄパーティアプリケーションのそれぞれに対応する複数の鍵が、予めサービス鍵格納領域７３０に格納されるため、複数のアプリケーションの切り替え時に鍵を書き込む処理が不要となり、アプリケーションの切り替えをさらに高速化することが可能となる。

　（実施の形態２）
　続いて、実施の形態２に係るＲＦＩＤタグサービスシステムについて説明する。

　実施の形態２では、３ｒｄパーティアプリケーション５２０がサービス鍵格納領域７３０の鍵を書き換えた後に、書き換えた３ｒｄパーティアプリケーション以外の３ｒｄパーティアプリケーション５３０がサービス鍵格納領域７３０の鍵を不正に書き換えできないようにサービス鍵格納領域７３０のロック制御が行われる。なお、ロック制御以外の処理は、実施の形態１と同様であるため、実施の形態１と異なる箇所のみを説明する。

　図１３は、実施の形態２に係るＲＦＩＤタグの構成図である。

　実施の形態２に係るＲＦＩＤタグ７０は、図４に示されるＲＦＩＤタグ７０が備える構成要素に加えて、鍵書き込み可否の判断に利用するロック情報を保持するロック状態保持部７７０と、ロック状態保持部７７０に保持されているロック情報を更新することにより、ロック状態もしくはアンロック状態を設定するロック状態設定部７８０とを備える。

　ロック状態とは、サービス鍵格納領域７３０内の鍵の書き換えが不可能な状態である。つまり、ロック状態では、サービス鍵格納領域７３０への鍵の書き込みは、禁止される。一方、アンロック状態とは、サービス鍵格納領域７３０内の鍵の書き換えが可能な状態である。

　まず、サービス鍵格納領域７３０をロック状態にするための動作について説明する。

　図１４は、サービス鍵格納領域７３０をロック状態に設定する場合のシーケンス図である。なお、図１４は、３ｒｄパーティアプリケーション５２０が図９のステップＳ３０６に示される書き込み処理を完了した後のシーケンスを示す。

　まず、モバイル情報端末４０内の３ｒｄパーティアプリケーション５２０は、乱数を生成する（Ｓ２００１）。３ｒｄパーティアプリケーション５２０は、生成した乱数を３ｒｄパーティサーバー３０に送信する（Ｓ２００２）。なお、このとき、３ｒｄパーティサーバー３０と３ｒｄパーティアプリケーション５２０との間の通信は、ＳＳＬなどの暗号化通信であることが好ましい。

　次に、３ｒｄパーティサーバー３０は、ステップＳ２００２において受信した乱数を第２鍵３２を用いて暗号化することにより、暗号化乱数を生成する（Ｓ２００３）。３ｒｄパーティサーバー３０は、暗号化乱数を３ｒｄパーティアプリケーション５２０に送信する（Ｓ２００４）。

　次に、３ｒｄパーティアプリケーション５２０は、ステップＳ２００４において受信した暗号化乱数を、サービス鍵格納領域７３０に格納されている鍵で復号する要求とともにＲＦＩＤタグ７０に送信する（Ｓ２００５）。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、サービス鍵格納領域７３０の第２鍵７３２で暗号化乱数を復号する（Ｓ２００６）。暗復号処理部７５０は、復号した乱数を家電６０へ送信する（Ｓ２００７）。

　次に、家電６０は、ステップＳ２００７において受信した乱数を家電情報保持部６６０に保存する。

　次に、家電６０は、ＲＦＩＤタグ７０に対し、ロック要求を送信する（Ｓ２００９）。ロック要求とは、サービス鍵格納領域７３０の状態をロック状態に設定することを要求する情報である。ここでは、ＲＦＩＤタグ７０は、家電通信部７４０からのみロック要求を受け付ける。つまり、ＲＦＩＤタグ７０は、ロック要求を、非接触通信部７１０から受け付けない。これにより、ロック要求が漏洩した場合に、サービス鍵格納領域７３０が任意の３ｒｄパーティアプリケーションによってロック制御されてしまうことを防ぐことができる。

　次に、ＲＦＩＤタグ７０のロック状態設定部７８０は、ロック状態保持部７７０が保持しているロック情報を「ロック状態」に設定する（Ｓ２０１０）。つまり、ロック状態設定部７８０は、サービス鍵格納領域７３０の状態をロック状態に設定する。そして、ロック状態設定部７８０は、３ｒｄパーティアプリケーション５２０にロック完了通知を送信する（Ｓ２０１１）。

　次に、サービス鍵格納領域７３０のロック状態を解除するための動作について説明する。

　図１５は、サービス鍵格納領域７３０のロック状態を解除する場合のシーケンス図である。

　まず、３ｒｄパーティアプリケーション５２０は、サービス処理を実施する（Ｓ２０１２）。例えば、３ｒｄパーティアプリケーション５２０は、ＲＦＩＤタグ７０を介して家電情報を収集し、収集した家電情報を３ｒｄパーティサーバー３０に送信する。また、３ｒｄパーティアプリケーション５２０は、３ｒｄパーティサーバー３０からのコマンドを、ＲＦＩＤタグ７０を介して家電６０に送信する。なお、ステップＳ２０１２における３ｒｄパーティサーバーとＲＦＩＤタグ７０との間の通信は、実施の形態１で説明しているようにＥｎｄ－ｔｏ－Ｅｎｄの暗号化通信である。

　次に、３ｒｄパーティアプリケーション５２０は、暗号化通信の必要がなくなった時点で、ステップＳ２００４において受信した暗号化乱数とともに、ロック解除要求をＲＦＩＤタグ７０へ送信する（Ｓ２０１３）。ロック解除要求とは、ロック状態の解除要求である。つまり、サービス鍵格納領域７３０の状態をアンロック状態に設定することを要求する情報である。

　次に、ＲＦＩＤタグ７０の暗復号処理部７５０は、サービス鍵格納領域７３０に格納されている第２鍵７３２を用いて暗号化乱数を復号する（Ｓ２０１４）。暗復号処理部７５０は、復号された乱数を家電６０へ送信する（Ｓ２０１５）。

　次に、家電６０は、ステップＳ２０１５において受信した乱数と、ステップＳ２００８において家電情報保持部６６０に格納した乱数とを比較する（Ｓ２０１６）。ステップ２０１６における比較の結果、乱数が等しくない場合、家電６０は、ＲＦＩＤタグ７０へエラーを通知する（Ｓ２０１７）。そして、ＲＦＩＤタグ７０は、３ｒｄパーティアプリケーション５２０にロック解除エラーを通知する（Ｓ２０１８）。

　ステップ２０１６における比較の結果、乱数が等しい場合、家電６０は、ＲＦＩＤタグ７０にロック解除要求を送信する（Ｓ２０１９）。

　次に、ＲＦＩＤタグ７０のロック状態設定部７８０は、ロック状態保持部７７０が保持しているロック情報を「アンロック状態」に設定する（Ｓ２０２０）。つまり、ロック状態設定部７８０は、サービス鍵格納領域７３０の状態をアンロック状態に設定する。そして、ロック状態設定部７８０は、３ｒｄパーティアプリケーション５３０にロック解除完了通知を送信する（Ｓ２０２１）。

　次に、ロック解除完了通知を受信した３ｒｄパーティアプリケーション５２０は、当該実行中のサービス処理（アプリケーション）を終了する（Ｓ２０２２）。

　次に、ロック状態保持部７７０が保持しているロック情報が「アンロック状態」に設定されていれば、３ｒｄパーティアプリケーション５２０とは異なる３ｒｄパーティアプリケーション５３０がサービス鍵格納領域７３０に３ｒｄパーティアプリケーション５３０の鍵を書き込み、Ｅｎｄ－ｔｏ－Ｅｎｄの暗号化通信を行う（Ｓ２０２３）。

　このように、サービス鍵格納領域７３０のロック解除処理は、サービス鍵格納領域７３０をロック状態に設定した３ｒｄアプリケーションからしか行えない。よって、一の３ｒｄパーティアプリケーションのサービス実行中に、他の不正なアプリケーションによって鍵が上書きされて、サービスが妨害されることを防ぐことが可能となる。

　以上で実施の形態２の説明を終わる。

　なお、実施の形態２では、３ｒｄパーティアプリケーション５２０は、ステップＳ２００１において乱数を生成したが、３ｒｄパーティアプリケーション５２０は、乱数以外の認証情報を用いてもよい。３ｒｄパーティアプリケーション５２０は、例えば、デジタル署名等を生成してもよい。この場合、認証情報は、３ｒｄパーティアプリケーション５２０以外のアプリケーションに知られていない認証情報であればよい。

　なお、実施の形態２では、３ｒｄパーティサーバー３０が乱数を暗号化しているが、モバイル情報端末４０が乱数の暗号化を行ってもよい。

　なお、本発明を上記実施の形態に基づいて説明してきたが、本発明は、上記の実施の形態に限定されないのはもちろんである。

　上記実施の形態では、ＲＦＩＤタグサービスシステムを鍵管理システムに相当するものとして説明したが、鍵管理システムは、その他のサービスシステムにも適用可能である。また、鍵管理システムには、管理サーバー２０と、３ｒｄパーティサーバー３０とは含まれなくてもよい。

　上記実施の形態では、家電６０と、モバイル情報端末４０とは、ＲＦＩＤタグ通信を用いて通信を行ったが、他の通信方法を用いてもよい。例えば、家電６０と、モバイル情報端末４０とは、ＩＰ網や、携帯電話通信網を用いて通信を行ってもよい。

　すなわち、家電６０は、モバイル情報端末４０と通信を行うことが可能な通信装置であればよい。同様に、モバイル情報端末４０は、家電６０、管理サーバー２０、および３ｒｄパーティサーバー３０と通信可能な通信装置であればよい。

　また、以下のような場合も本発明に含まれる。

　（１）上記の各装置は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、及びマウスなどから構成されるコンピュータシステムである。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の各装置を構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭおよびＲＡＭなどを含むコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部または全てを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）や、ＬＳＩ内部の回路セルの接続や設定を再構成可能なリコンフィギュラブル・プロセッサを利用しても良い。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（３）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭおよびＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　（４）本発明は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、前記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ　Ｄｉｓｃ）、または半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている前記デジタル信号であるとしてもよい。

　また、本発明は、前記コンピュータプログラムまたは前記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、またはデータ放送等を経由して伝送するものとしてもよい。

　また、本発明は、マイクロプロセッサとメモリとを備えたコンピュータシステムであって、前記メモリは、上記コンピュータプログラムを記憶しており、前記マイクロプロセッサは、前記コンピュータプログラムにしたがって動作するとしてもよい。

　また、前記プログラムまたは前記デジタル信号を前記記録媒体に記録して移送することにより、または前記プログラムまたは前記デジタル信号を、前記ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（５）上記実施の形態及び上記変形例をそれぞれ組み合わせるとしてもよい。

　以上、一つまたは複数の態様に係る鍵管理システムについて、実施の形態に基づいて説明したが、本発明は、この実施の形態に限定されるものではない。本発明の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したものや、異なる実施の形態における構成要素を組み合わせて構築される形態も、一つまたは複数の態様の範囲内に含まれてもよい。

　本発明は、ＲＦＩＤタグを利用したサービスを提供するＲＦＩＤタグサービスシステムとして利用することができる。

　１０　ＲＦＩＤタグサービスシステム
　２０　管理サーバー
　２１、７２１　マスター鍵
　２３、３３　家電情報管理データベース
　２４　ユーザＩＤ
　２５、６６２　機器ＩＤ
　２６、６６１　家電情報
　３０　３ｒｄパーティサーバー
　３１、７３１　第１鍵
　３２、７３２　第２鍵
　４０　モバイル情報端末
　５０　アプリケーション
　６０　家電
　７０　ＲＦＩＤタグ
　４１０　ネットワーク制御部
　４２０　ＲＦＩＤタグリーダ・ライタ制御部
　５１０　管理アプリケーション
　５２０、５３０　３ｒｄパーティアプリケーション
　６２０　タグ通信部
　６３０　家電コマンド受付部
　６４０　家電コマンド処理部
　６５０　家電情報制御部
　６６０　家電情報保持部
　６７０　鍵書き換え制御部
　６８０　鍵情報格納部
　７１０　非接触通信部
　７２０　マスター鍵格納領域
　７３０　サービス鍵格納領域
　７４０　家電通信部
　７５０　暗復号処理部
　７６０　鍵書き込み処理部
　７７０　ロック状態保持部
　７８０　ロック状態設定部

Claims

　マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行うモバイル情報端末を用いて、前記第２サーバーと家電機器との間の暗号化通信に用いられる前記第２鍵を前記家電機器内に書き込むための鍵管理システムであって、
　前記鍵管理システムは、前記モバイル情報端末と、前記家電機器とを備え、
　前記家電機器は、
　前記モバイル情報端末と通信を行う通信部と、
　前記マスター鍵が予め格納されたマスター鍵格納領域と、
　前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、
　前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、
　前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、
　前記モバイル情報端末は、前記第１サーバーまたは前記第２サーバーから、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵を受信した場合、前記暗号化第１鍵とともに第１の鍵書き込み要求を前記通信部へ送信し、
　前記通信部が、前記暗号化第１鍵とともに前記第１の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、
　前記モバイル情報端末は、前記第２サーバーから、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を受信した場合、前記第１鍵で暗号化された前記第２鍵を前記通信部へ送信し、
　前記通信部が、前記第１鍵で暗号化された前記第２鍵を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、
　前記家電機器は、復号した前記第２鍵を保持し、
　前記モバイル情報端末は、前記通信部に対して、前記家電機器が保持している前記第２鍵の読み出し要求を送信し、
　前記通信部が、前記第２鍵の読み出し要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電機器が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記モバイル情報端末に送信し、
　前記モバイル情報端末は、前記通信部から前記暗号化第２鍵を受信し、前記暗号化第２鍵とともに第２の鍵書き込み要求を前記通信部へ送信し、
　前記通信部が、前記暗号化第２鍵とともに前記第２の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む
　鍵管理システム。
　前記モバイル情報端末には、前記第２のサーバである複数のサーバーそれぞれと前記家電機器との間の暗号化通信を行うための複数のアプリケーションプログラムであって、前記複数のサーバーそれぞれに対応する前記複数のアプリケーションプログラムがインストールされており、
　前記モバイル情報端末は、前記通信部から前記複数のアプリケーションプログラムそれぞれに対応する複数の前記暗号化第２鍵を受信し、受信した前記複数の前記暗号化第２鍵を保持し、
　前記モバイル情報端末は、前記複数のアプリケーションプログラムの切り替えを行った時に、切り替え後の前記アプリケーションプログラムに対応する前記暗号化第２鍵である対象暗号化第２鍵を前記第２の鍵書き込み要求とともに前記通信部に送信し、
　前記通信部が、前記対象暗号化第２鍵とともに鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記対象暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む
　請求項１に記載の鍵管理システム。
　前記家電機器は、前記家電機器に関する情報である家電情報を保持しており、
　前記通信部が前記家電機器から前記家電情報を受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電情報を暗号化し、前記マスター鍵で暗号化された前記家電情報を前記モバイル情報端末に送信し、
　前記モバイル情報端末は、前記マスター鍵で暗号化された前記家電情報を前記通信部から受信し、前記マスター鍵で暗号化された前記家電情報を前記第１サーバーに送信する
　請求項１または２に記載の鍵管理システム。
　前記家電機器は、前記家電機器に関する情報である家電情報を保持しており、
　前記通信部が前記家電機器から前記家電情報を受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第２鍵を用いて、前記家電情報を暗号化し、前記第２鍵で暗号化された前記家電情報を前記モバイル情報端末に送信し、
　前記モバイル情報端末は、前記第２鍵で暗号化された前記家電情報を前記通信部から受信し、前記第２鍵で暗号化された前記家電情報を前記第２サーバーに送信する
　請求項１または２に記載の鍵管理システム。
　前記家電機器は、さらに、
　前記サービス鍵格納領域の状態を、鍵の書き換えが不可能な状態であるロック状態および鍵の書き換えが可能な状態であるアンロック状態のいずれかの状態に設定するためのロック情報を保持するロック状態保持部と、
　前記ロック状態保持部に保持されている前記ロック情報を更新することにより、前記サービス鍵格納領域の状態を前記ロック状態または前記アンロック状態に設定するロック状態設定部とを備え、
　前記モバイル情報端末は、前記通信部に対して、前記サービス鍵格納領域に格納されている鍵の書き換え要求とともに第１の認証情報を送信し、
　前記家電機器は、前記通信部が受信した前記第１の認証情報を保持し、
　前記ロック状態設定部は、前記モバイル情報端末による鍵の書き換え要求に対する処理の完了後に、前記サービス鍵格納領域の状態を前記ロック状態に設定し、
　前記モバイル情報端末は、前記通信部に対して、前記ロック状態の解除要求とともに第２の認証情報を送信し、
　前記家電機器は、前記第１の認証情報と前記第２の認証情報とが同一である場合にのみ、前記ロック状態設定部に対して、前記ロック状態の解除要求を送信し、
　前記ロック状態設定部は、前記家電機器から前記ロック状態の解除要求を受信した後に、前記サービス鍵格納領域の状態を前記アンロック状態に設定する
　請求項１～４のいずれか１項に記載の鍵管理システム。
　前記通信部は、前記モバイル情報端末と近距離無線通信を行うＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　ＩＤｅｎｔｉｆｉｃａｔｉｏｎ）タグである
　請求項１～５のいずれか１項に記載の鍵管理システム。
　通信装置であって、
　マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行う装置である第２の通信装置と通信を行う通信部と、
　前記マスター鍵が予め格納されたマスター鍵格納領域と、
　前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、
　前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、
　前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、
　前記通信部が、前記第１サーバーにより、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵と第１の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、
　前記通信部が、前記第２サーバーにより、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、前記通信装置は、復号した前記第２鍵を保持し、
　前記通信部が、前記通信装置が保持している前記第２鍵の読み出し要求を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記通信装置が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記第２の通信装置に送信し、
　前記通信部が、前記第２の通信装置に送信した前記暗号化第２鍵と第２の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む
　通信装置。
　前記通信装置は、さらに、
　前記サービス鍵格納領域の状態を、鍵の書き換えが不可能な状態であるロック状態および鍵の書き換えが可能な状態であるアンロック状態のいずれかの状態に設定するためのロック情報を保持するロック状態保持部と、
　前記ロック状態保持部に保持されている前記ロック情報を更新することにより、前記サービス鍵格納領域の状態を前記ロック状態または前記アンロック状態に設定するロック状態設定部とを備え、
　前記通信部が、前記サービス鍵格納領域に格納されている鍵の書き換え要求とともに第１の認証情報を前記第２の通信装置から受信した場合に、
　前記通信装置は、前記通信部が受信した前記第１の認証情報を保持し、
　前記ロック状態設定部は、前記第２の通信装置による鍵の書き換え要求に対する処理の完了後に、前記サービス鍵格納領域の状態を前記ロック状態に設定し、
　前記通信部が、前記ロック状態の解除要求とともに第２の認証情報を前記第２の通信装置から受信した場合に、
　前記通信装置は、前記第１の認証情報と前記第２の認証情報とが同一である場合にのみ、前記ロック状態設定部に対して、前記ロック状態の解除要求を送信し、
　前記ロック状態設定部は、前記通信装置から前記ロック状態の解除要求を受信した後に、前記サービス鍵格納領域の状態を前記アンロック状態に設定する
　請求項７に記載の通信装置。
　前記通信装置は、家電機器であり、
　前記第２の通信装置は、モバイル情報端末である
　請求項７または８に記載の通信装置。
　前記通信部は、前記第２の通信装置と近距離無線通信を行うＲＦＩＤ（Ｒａｄｉｏ　Ｆｒｅｑｕｅｎｃｙ　ＩＤｅｎｔｉｆｉｃａｔｉｏｎ）タグである
　請求項７～９のいずれか１項に記載の通信装置。
　マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行うモバイル情報端末を用いて、前記第２サーバーと家電機器との間の暗号化通信に用いられる前記第２鍵を前記家電機器内に書き込むための鍵管理方法であって、
　前記家電機器は、
　前記モバイル情報端末と通信を行う通信部と、
　前記マスター鍵が予め格納されたマスター鍵格納領域と、
　前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、
　前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、
　前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、
　前記モバイル情報端末は、前記第１サーバーまたは前記第２サーバーから、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵を受信した場合、前記暗号化第１鍵とともに第１の鍵書き込み要求を前記通信部へ送信し、
　前記通信部が、前記暗号化第１鍵とともに前記第１の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、
　前記モバイル情報端末は、前記第２サーバーから、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を受信した場合、前記第１鍵で暗号化された前記第２鍵を前記通信部へ送信し、
　前記通信部が、前記第１鍵で暗号化された前記第２鍵を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、
　前記家電機器は、復号した前記第２鍵を保持し、
　前記モバイル情報端末は、前記通信部に対して、前記家電機器が保持している前記第２鍵の読み出し要求を送信し、
　前記通信部が、前記第２鍵の読み出し要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記家電機器が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記モバイル情報端末に送信し、
　前記モバイル情報端末は、前記通信部から前記暗号化第２鍵を受信し、前記暗号化第２鍵とともに第２の鍵書き込み要求を前記通信部へ送信し、
　前記通信部が、前記暗号化第２鍵とともに前記第２の鍵書き込み要求を前記モバイル情報端末から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む
　鍵管理方法。
　通信装置における鍵管理方法であって、
　前記通信装置は、
　マスター鍵を管理する第１サーバー、および第１鍵と第２鍵とを管理する第２サーバーと通信を行う装置である第２の通信装置と通信を行う通信部と、
　前記マスター鍵が予め格納されたマスター鍵格納領域と、
　前記第１鍵および前記第２鍵を格納するためのサービス鍵格納領域と、
　前記通信部が、前記マスター鍵で暗号化された前記第１鍵または前記マスター鍵で暗号化された前記第２鍵を受信した場合にのみ、前記サービス鍵格納領域に前記第１鍵または前記第２鍵を書き込む鍵書き込み処理部と、
　前記マスター鍵格納領域に格納されている前記マスター鍵、または前記サービス鍵格納領域に格納されている前記第１鍵もしくは前記第２鍵を用いて、暗復号処理を行う暗復号処理部とを備え、
　前記通信部が、前記第１サーバーにより、前記第１サーバーが管理する前記マスター鍵で暗号化された前記第１鍵である暗号化第１鍵と第１の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて前記暗号化第１鍵を復号し、前記鍵書き込み処理部は、復号された前記第１鍵を前記サービス鍵格納領域に書き込み、
　前記通信部が、前記第２サーバーにより、前記第２サーバーが管理する前記第１鍵で暗号化された前記第２鍵を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記サービス鍵格納領域に格納されている前記第１鍵を用いて、前記第１鍵で暗号化された前記第２鍵を復号し、前記通信装置は、復号した前記第２鍵を保持し、
　前記通信部が、前記通信装置が保持している前記第２鍵の読み出し要求を前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記通信装置が保持している前記第２鍵を暗号化した暗号化第２鍵を生成し、生成した前記暗号化第２鍵を前記第２の通信装置に送信し、
　前記通信部が、前記第２の通信装置に送信した前記暗号化第２鍵と第２の鍵書き込み要求とを前記第２の通信装置から受信した場合に、前記暗復号処理部は、前記マスター鍵格納領域に格納されている前記マスター鍵を用いて、前記暗号化第２鍵を復号し、前記鍵書き込み処理部は、復号された前記第２鍵を前記サービス鍵格納領域に書き込む
　鍵管理方法。
　請求項１２に記載の鍵管理方法をコンピュータに実行させるためのプログラム。
　請求項１３に記載のプログラムが記録された非一時的な記録媒体。