JP2015187940A - 電池ユニット - Google Patents

電池ユニット Download PDF

Info

Publication number
JP2015187940A
JP2015187940A JP2014064705A JP2014064705A JP2015187940A JP 2015187940 A JP2015187940 A JP 2015187940A JP 2014064705 A JP2014064705 A JP 2014064705A JP 2014064705 A JP2014064705 A JP 2014064705A JP 2015187940 A JP2015187940 A JP 2015187940A
Authority
JP
Japan
Prior art keywords
information
battery
unit
battery unit
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2014064705A
Other languages
English (en)
Inventor
遠矢 正一
Shoichi Toya
正一 遠矢
大森 基司
Motoji Omori
基司 大森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2014064705A priority Critical patent/JP2015187940A/ja
Publication of JP2015187940A publication Critical patent/JP2015187940A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E60/00Enabling technologies; Technologies with a potential or indirect contribution to GHG emissions mitigation
    • Y02E60/10Energy storage using batteries

Landscapes

  • Secondary Cells (AREA)
  • Charge And Discharge Circuits For Batteries Or The Like (AREA)

Abstract

【課題】不適切な機器により使用されることを抑制し得る電池ユニットを提供する。【解決手段】サーバ90と通信する機器20aから取得した認証用情報に基づく機器認証を行う電池ユニット10aは、サーバ90に対して無効機器特定用情報の送信要求を行わせる要求送信指示情報を機器20aに送信する要求指示部15と、無効機器特定用情報及び認証用情報を機器20aから受信する受信部16と、受信部16により受信された無効機器特定用情報が送信要求に応じてサーバ90から送信されたものであることを検証し、無効機器特定用情報が送信要求に応じて送信されたものであると検証された場合、機器認証に際して無効機器特定用情報を用いて認証用情報についての検証を行う認証部14と、認証用情報に基づく機器認証に成功した場合に機器との間で電力の授受を行わせる制御部12とを備える。【選択図】図3

Description

本発明は、電池に関し、特に電池との間で電力の授受を行う機器を制限するための技術に関する。
近年、電動アシスト自転車等の各種車両や各種機器に利用される電池の交換や充電の技術が開発されている。特許文献1には、機器に装着される電池パックが模造品であれば使用できないようにする電池パック認証システムが示されている。
特開2006−331815号公報
しかしながら、特許文献1の技術では、不適切な機器により電池が使用されることを抑制できない。
そこで、本発明は、不適切な機器により使用されることを抑制し得る電池ユニットを提供する。
本発明の一態様に係る電池ユニットは、サーバと通信する機器から取得した認証用情報に基づく機器認証を行う電池ユニットであって、前記サーバに対して無効機器特定用情報の送信要求を行わせる要求送信指示情報を、前記機器に送信する要求指示部と、無効機器特定用情報及び認証用情報を前記機器から受信する受信部と、前記受信部により受信された前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであることを検証し、前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであると検証された場合、前記機器認証に際して当該無効機器特定用情報を用いて前記認証用情報についての検証を行う認証部と、前記認証用情報に基づく機器認証に成功した場合に、前記機器との間で電力の授受を行わせる制御部とを備える電池ユニットである。
本発明の電池ユニットは、不適切な機器により使用されることを抑制し得る。
実施の形態に係る電池管理システムを示す概略図である。 機器が電池ユニットを使用する状態を示す図である。 電池管理システムを構成する装置類の機能ブロック図である。 電池情報の構成例を示す図である。 公開鍵証明書の構成を示す図である。 証明書失効リスト(CRL)の構成を示す図である。 電池ユニットの動作を示すフローチャートである。 機器の動作を示すフローチャートである。 実施の形態1における電池ユニットとサーバとの間でのデータ送受のシーケンスを示す図である。 電池ユニットと機器との間での機器認証のシーケンスを示す図である。 実施の形態2における電池ユニットとサーバとの間でのデータ送受のシーケンスを示す図である。 実施の形態3における電池ユニットとサーバとの間でのデータ送受のシーケンスを示す図である。 実施の形態4における電池ユニットとサーバとの間でのデータ送受のシーケンスを示す図である。
不適切な機器により使用されることを抑制すべく、本発明の一態様に係る電池ユニットは、サーバと通信する機器から取得した認証用情報に基づく機器認証を行う電池ユニットであって、前記サーバに対して無効機器特定用情報の送信要求を行わせる要求送信指示情報を、前記機器に送信する要求指示部と、無効機器特定用情報及び認証用情報を前記機器から受信する受信部と、前記受信部により受信された前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであることを検証し、前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであると検証された場合、前記機器認証に際して当該無効機器特定用情報を用いて前記認証用情報についての検証を行う認証部と、前記認証用情報に基づく機器認証に成功した場合に、前記機器との間で電力の授受を行わせる制御部とを備える電池ユニットである。
これにより、機器認証に成功した場合に機器による使用が可能となるので、不適切な機器により使用されることが抑制される。なお、認証用情報を検証するための無効機器特定用情報がサーバから送信要求に応じて送信されたものであることを検証しているため、認証用情報の検証が適切に行われ、この結果として不適切な機器による使用の抑制が適切になされ得る。
ここで、例えば、前記機器認証は、公開鍵暗号を用いた認証であり、前記認証用情報は、公開鍵証明書を含み、前記無効機器特定用情報は、証明書失効リストであり、前記制御部は、前記機器認証に失敗した場合に前記機器との間での電力の授受を抑止することとしてもよい。
これにより、公開鍵基盤(PKI:Public Key Infrastructure)に基づく機器認証を適切に行えるようになり、不適切な機器による使用が適切に抑制されるようになる。
また、例えば、前記要求指示部は、前記機器に前記送信要求としての所定情報を前記サーバに対して送信させるべく、当該所定情報を前記要求送信指示情報に含ませて前記機器へ送信し、前記認証部は、前記受信部により受信された前記無効機器特定用情報についての前記検証を、前記所定情報に基づいて行うこととしてもよい。
これにより、サーバが所定情報で検証可能に無効機器特定用情報を生成して送信することを前提とすれば、送信要求に応じて送信されたサーバからの無効機器特定用情報を比較的容易に検証することができるようになる。
また、前記電池ユニットは、当該電池ユニットに関する情報である電池情報を記憶する記憶部を有し、前記所定情報は、前記電池情報を含むこととしてもよい。
これにより、電池情報をサーバに伝達することで、電池情報により検証可能な無効機器特定用情報を要求することができデータ送受の効率化を図ることができる。
また、前記電池ユニットは、当該電池ユニットに関する情報である電池情報を記憶する記憶部を有し、前記要求指示部は、前記機器に前記送信要求としての前記電池情報を前記サーバに対して送信をさせるべく、当該電池情報を前記要求送信指示情報に含ませて前記機器へ送信することとしてもよい。
これにより、電池情報をサーバに伝達することで無効機器特定用情報を要求することができデータ送受の効率化を図ることができる。
また、前記電池ユニットの前記記憶部が記憶する前記電池情報は、当該電池ユニットの状態を示す情報を含み、前記電池ユニットの前記制御部は、当該電池ユニットの状態に応じて前記電池情報を更新することとしてもよい。
これにより、電池ユニットの使用により変化する状態を示す電池情報がサーバに伝送されるので、サーバにおいて電池ユニットの状態を把握及び管理し得るようになる。
また、前記電池ユニットは、前記機器との間での電力の授受に際して、当該機器から取得した前記認証用情報に基づく当該機器の識別用の情報を前記電池情報に含め、当該電力の授受において異常が生じた場合には異常を示す情報を前記電池情報に含めることとしてもよい。
これにより、機器により不適切な使用がなされた場合(異常が生じた場合)に、そのことをサーバに通知することができるようになる。なお、サーバにおいては不適切な使用をした機器を把握することができる。そして、サーバにおいて、例えば、その不適切な使用をした機器を示すように無効機器特定用情報を更新する等の対処をし得るようになる。
また、前記要求指示部は、前記機器との間での電力の授受に際して、前記要求送信指示情報を送信し、前記認証部は、前記機器との間での電力の授受に際して、前記認証用情報の前記検証を行うこととしてもよい。
これにより、機器により使用がなされる際(例えば機器が使用の準備をしている間や使用している間等)に、無効機器特定用情報により、機器が不適切な機器であるかどうかを確認することができるようになる。
また、前記要求指示部は、前記機器との間での電力の授受に際して、前回の前記要求送信指示情報の送信から所定期間経過している場合に新たに前記要求送信指示情報を送信することとしてもよい。
これにより、新たな無効機器特定用情報を取得できるようになる。
また、前記要求指示部は、前記受信部により受信された前記証明書失効リストに示された、次回の証明書失効リストの発行予定時が経過した場合に新たに前記要求送信指示情報を送信することとしてもよい。
これにより、効率的に新たな証明書失効リストを取得できるようになる。
また、前記電池ユニットは、二次電池と、前記二次電池への充電を実行する充電回路と、前記二次電池からの放電を実行する放電回路と、前記機器と着脱自在に接続する接続部とを有し、前記制御部は、前記機器から受信した認証用情報に基づく機器認証に成功した場合に、前記接続部を介して、前記放電回路又は前記充電回路により、当該機器との間で電力の授受を行わせることとしてもよい。
これにより、機器認証に成功した場合において、電池ユニットと接続した機器に対しての放電、又は電池ユニットと接続した機器からの充電が可能となる。
また、本発明の一態様に係る機器は、電池ユニットとの間で電力の授受を行う機器であって、前記電池ユニットから要求を受けた場合、サーバに証明書失効リストの送信要求を行う要求送信部と、前記サーバから前記証明書失効リストを受信する受信部と、公開鍵証明書を含む認証用情報と、前記サーバから受信した証明書失効リストとを前記電池ユニットに送信する認証送信部とを備える機器である。
この機器により、電池ユニットがサーバからの証明書失効リストを取得することができるようになる。従って、この機器が電池ユニットを使用した後に、この電池ユニットが不適切な機器で使用されようとした場合に、証明書失効リストでの検証を用いた機器認証によってその不適切な機器による使用を抑制できる可能性が高まる。
また、前記電池ユニットからの要求は、当該電池ユニットに関する情報である電池情報の伝達によりなされ、前記要求送信部は、前記電池ユニットから前記電池情報を受けると、前記証明書失効リストの送信要求として当該電池情報を前記サーバに送信することとしてもよい。
これにより、機器が電池情報をサーバに伝達することで、証明書失効リストを要求することができデータ送受の効率化を図ることができる。
なお、これらの包括的又は具体的な各種態様には、装置、システム、方法、集積回路、コンピュータプログラム、コンピュータで読み取り可能な記録媒体等の1つ又は複数の組み合わせが含まれる。
以下、実施の形態について、図面を参照しながら説明する。
ここで示す実施の形態は、いずれも本発明の好ましい一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置及び接続形態、並びに、ステップ(工程)及びステップの順序等は、一例であって本発明を限定するものではない。以下の実施の形態における構成要素のうち、本発明の最上位概念を示す独立請求項に記載されていない構成要素については、任意に付加可能な構成要素である。また、各図は、模式図であり、必ずしも厳密に図示されたものではない。
各実施の形態では、主に、機器に利用される際に公開鍵暗号を用いて機器認証をする電池ユニットについて説明する。この電池ユニットは、二次電池であり、過充電、過放電等により電池寿命が短縮されないように適切に定められた規格等に従った一定基準を満たす機器に使用され、その基準を満たさない機器には使用されないようにするために、機器認証を行う。この電池ユニットは、機器を介してサーバから取得した証明書失効リスト(CRL:Certificate Revocation List)により、機器認証に用いる機器の公開鍵証明書を検証する特徴を有する。ここで、電池ユニットは、電池セル、電池セルの集合体である電池モジュール、電池モジュールの集合体である電池パック等といった二次電池の単位として用いられるもの全てを表し、また、プロセッサ及びメモリを含む制御回路が付加されているものを表す。
(実施の形態1)
以下、本発明の一実施態様である実施の形態1について説明する。
(構成)
図1は、本発明の実施の形態に係る電池管理システム100を示す概略図である。
電池管理システム100は、各種機器に脱着され得る複数の電池ユニットそれぞれについて例えば所在位置(装着中の機器)、電池状態等をサーバが把握して適切な使用がなされるように管理するためのシステムである。図1に示すように電池管理システム100は、電池ユニット10a〜10d等と、機器20a〜20c等と、各機器とネットワーク99を介して通信可能なサーバ90(コンピュータ)とを備える。
電池ユニット10a〜10d等は、例えば同一形状で同一な平均出力電圧(同一仕様)を有する等により互いに互換性を有し、いずれも電池セル及び制御回路を含んで構成される。そして、これらの電池ユニットは、電動アシスト自転車、掃除機、芝刈り機、電動工具その他の各種機器及び充電器に使用される。なお、電池ユニットについての使用とは、電力の授受を行うことをいう。1つの電池ユニットが上述の一定基準を満たす複数の機器(複数台の電動アシスト自転車、充電器、その他の機器等)に交互に装着されて使用されてもよい。電池ユニット10a〜10dの制御回路は、プロセッサ及びメモリを含み、電池の温度、電圧等といった電池の状態を監視する電池コントローラ、機器との接続インタフェース回路(接続部)等を含んで構成される。電池コントローラは、電池への充電を実行するための充電回路、電池からの放電を実行するための放電回路等を含んでもよい。なお、接続部は、機器との間で信号の授受が可能なように接続するものであればよいが、例えば機器との間で着脱自在に接続するための機構を有していてもよい。
機器20a〜20cは、いずれも上述の一定基準を満たし電池ユニットを装着して使用し得る可能な機器であり、サーバ90と通信するための通信回路、電源回路及び制御回路(プロセッサ、メモリ等)を有する。
図2は、機器20aが電池ユニット10aを使用する状態を示す図である。同図に例示するように機器20aは、充電器であり、室内の壁面に設けられた電源端子及びLAN端子を有するコンセントプレート30に電源ケーブル31及びLANケーブル32により接続されている。この機器20aは、電池ユニット10aを装着し、電源ケーブル31を介して電力系統からの電力(例えば100Vの単相交流)を受けて電池ユニット10aを充電する。そして、LANケーブル32の先に接続された通信機器(ルーター等)やネットワーク99を介してサーバ90と通信を行い得る。電池ユニット10aは、直接的にネットワークにアクセスして通信を行う機能を有さないが、機器20aとの間でデータの送受を行い得る。即ち、電池ユニット10aは、機器20aに装着されている際には、電池の状態等を示す電池情報を、機器20aを介してサーバ90に送信することができる。電池ユニット10aは、充電器により充電された後には例えば電動アシスト自転車等の機器に装着されて機器の駆動のために用いられる。
以下、電池管理システム100を構成する各装置類の機能について説明する。
図3は、電池管理システム100を構成する装置類の機能ブロック図である。同図では、電池ユニット10a、機器20a及びサーバ90の機能構成を示し、その他の装置類は省略している。
電池ユニット10aは、機能面では図3に示すように、電池部11、制御部12、記憶部13、認証部14、要求指示部15及び受信部16を有する。なお、他の電池ユニットも同様の機能構成を有する。
電池部11は、電力を蓄積するための1又は複数の電池セルである。
制御部12は、制御回路の電池コントローラにより構成され、電池部11である電池セルの充電回路による充電及び放電回路による放電を制御し、電池の状態を測定して測定値等を記憶部13に記録し、電池の状態等を示す電池情報を更新する機能を有する。
記憶部13は、例えば制御回路内の不揮発性メモリ等で実現され、電池の状態等を示す電池情報、認証に用いる情報等を記憶する機能を有する。
認証部14は、制御回路により実現され、受信部16に受信され、記憶部13に記憶されている情報等を用いて、サーバから送信されたCRLの検証、及び、公開鍵暗号を用いて機器認証を行う機能を有する。なお、認証部14による機器認証の結果として、機器認証に成功した場合のみ制御部12が機器との間での電力の授受を行わせる。
要求指示部15は、制御回路により実現され、機器にCRLの送信要求をサーバ90に対して送信させるべく、機器に接続インタフェース回路を介して要求する機能を有する。この要求は、CRLの送信要求をサーバに対して送信させるよう指示する要求送信指示情報を機器に送信することによりなされる。
受信部16は、制御回路により実現され、機器から接続インタフェース回路を介してCRL及び認証用情報を受信することにより取得する機能を有する。
また、機器20aは、機能面では図3に示すように、電力制御部21、記憶部22、認証部23、要求送信部24、受信部25及び認証送信部26を有する。なお、他の機器も、電池ユニットと関係しない機能においては様々であるが、電池ユニットと関係する機能(図3の機能構成で示す機能)については、電池ユニットからの電力供給を受ける機器であっても電池ユニットに電力供給する機器であっても同様である。
電力制御部21は、電源回路であり、電池ユニット10aの制御部12と接続し、電池部11の電池セルへの電力供給を行う機能又はその電池セルからの電力供給を受ける機能を有する。機器20aは、充電器であるので電力制御部21が外部の電力系統からの電力を電池部11の電池セルへ供給する。電池ユニットの電力を受ける機器においては、電力制御部21は、電池部11の電池セルから供給された電力を負荷の駆動に用いる。
記憶部22は、例えば制御回路内の不揮発性メモリ等で実現され、機器認証に用いるための情報等を記憶する機能を有する。
認証部23は、制御回路により実現され、記憶部22に記憶されている情報を用いて、電池ユニット10aとの間での認証を行う機能を有する。
要求送信部24は、制御回路及び通信回路により実現され、電池ユニット10aからの要求送信指示情報を受信するとサーバ90に対して、CRLの送信要求を行う機能を有する。
受信部25は、制御回路及び通信回路により実現され、サーバ90から送信されたCRLを受信する機能を有する。
認証送信部26は、制御回路により実現され、受信部25により受信されたCRLを電池ユニット10aに送信することで伝達する機能を有する。
また、サーバ90は、各電池ユニットの状態を把握して適切な使用がなされるよう管理するためのコンピュータであり、メモリ、ハードディスク装置等の記憶媒体、プロセッサ、通信回路等を備える。このサーバ90は、機能面では図3に示すように、記憶部91及び電池管理部92を有する。
記憶部91は、例えば不揮発性メモリ等の記憶媒体で実現され、各電池ユニットについての電池情報、認証に用いる情報、配布用のCRL等を記憶する機能を有する。
電池管理部92は、ネットワーク99を介して機器20a〜20cの各々と通信可能であり、電池ユニットの電池情報が機器を介して送られた場合にこれを受信することにより取得して記憶部91の電池情報を更新する機能を有する。また、電池管理部92は、機器からCRLの送信要求を受けると、記憶部91内の最新のCRLを機器に送信する機能も有する。これらの機能は、通信回路により実現され、また、サーバ90のメモリに格納された制御プログラムをプロセッサが実行することで実現される。また、電池管理部92は、外部の端末装置等からの電池情報の照会に対応して、電池情報の一部を送信する等のサービス機能を有していてもよい。これにより端末装置を用いて電池ユニットの情報(現在使用中の機器を示す情報)等をサーバ90から得ることが可能になる。
以下、電池ユニット10a、機器20a及びサーバ90に注目して、上述の構成を備える電池管理システム100で取り扱うデータ及び電池管理システム100の動作について順に説明する。
(データ構成)
電池管理システム100で取り扱うデータ(電池情報、公開鍵証明書及びCRL)について説明する。
図4は、電池情報40の構成例を示す図である。電池情報40は、電池の状態等を表し、電池ユニット10aの制御部12により記憶部13に格納され、機器20aを介してサーバ90に対して送信されるデータである。この電池情報40は、図4に示すように、電池ユニット10aについての電池ID41、異常フラグ42、温度履歴43、過放電履歴44、機器履歴45等を含んで構成される。
電池ID41は、電池ユニットそれぞれの中で電池ユニット10aを識別する情報である。異常フラグ42は、通常時はオフであり、電池ユニット10aが何らかの異常状態となった場合にオンされるフラグである。異常フラグ42は、例えば、機器から一定レベル以上の過充電を受けたり、一定レベル以上の過放電にされたり等といった、機器との間での電力の授受において異常が生じた場合には、オンにされ、異常を示すことになる。温度履歴43は、電池ユニット10aが所定温度以上(例えば摂氏60度以上)になった期間を示す情報であり、制御部12が計測する温度に基づいて記録される。過放電履歴44は、電池ユニット10aの放電により、充電率が所定の閾値(例えば容量の10%)を下回った回数を示す情報であり、制御部12が計測する電圧の変化に基づいて記録される。機器履歴45は、電池ユニット10aを使用した機器から取得した機器固有の識別情報(例えば機器の公開鍵等)である機器ID45aと、使用状態(例えば充電、放電の区別や使用日時等)である状態45bとを含んで構成される。サーバ90は、各電池ユニットについて図4に示すような電池情報40を、各機器を介して受信することにより、各電池ユニットの状態を管理することができ、例えば外部の端末装置等からの電池情報の照会に対応することができるようになる。
図5は、公開鍵証明書50の構成を示す図である。公開鍵証明書50は、公開鍵暗号を用いた認証において公開鍵とその所有者の関係を証明するために利用される情報である。この公開鍵証明書50は図5に示すように、バージョン番号(Version)51、シリアルナンバー(Serial Number)52、署名情報(Signature)53、発行者名(Issuer)54、有効期限(Validity)55、所有者名(Subject)56及び公開鍵(Subject Public Key Info)57を含んで構成される(例えば国際電気通信連合の電気通信標準化部門によるITU−T X.509参照)。この公開鍵証明書50は認証局により発行され、署名情報53は、認証局の署名であり、所有者名56は公開鍵57の所有者の名前である。公開鍵の所有者は、認証の相手に公開鍵証明書50を送信することで、正当な所有者からのものとして公開鍵(公開鍵証明書50に含まれるもの)を配送することができる。電池管理システム100においては、サーバ90が認証局の1つとして機能する。
図6は、CRL60の構成を示す図である。CRL60は、失効した公開鍵証明書のリストである。このCRL60は図6に示すように、署名(Signature)61、発行者(Issuer)62、最終のアップデート(This Update)63、次回のアップデート(Next Update)64及び失効した証明書(Revoked Certificates)65を含んで構成される。このCRL60は認証局により発行され、署名61は認証局の署名である。失効した証明書65は、失効した公開鍵証明書50のシリアルナンバー52を含む。次回のアップデート64は、次の定期的なアップデートの予定時を示す。公開鍵証明書の失効の申請(例えば公開鍵と対となる秘密鍵が漏洩した場合等になされる)を受けると認証局がその公開鍵証明書をCRLに追加する。なお、機器による電池ユニットの使用が不適切なことにより異常フラグがオンとされた電池情報を受信したサーバ90(認証局)は、この電池情報を公開鍵証明書の失効の申請と看做し、電池情報の機器ID45aが示す機器の公開鍵証明書をCRLに追加する。
(動作)
以下、上述の構成を備え、上述のデータを取り扱う電池管理システム100の各装置類の動作を説明する。
図7は、電池ユニット10aの動作を示すフローチャートである。
電池ユニット10aの要求指示部15は、機器20aに装着されて使用される際にCRL要求条件が成立する(満たされる)か否かを判定する(ステップS11)。CRL要求条件は、例えば、既に取得しているCRLの次回のアップデート64に示される時が経過しており、かつ、機器に装着されている状態であるときである。これにより、CRLが定期的にアップデートされる毎にCRLを取得することが可能となる。なお、CRL中の次回のアップデート64は定期的なアップデートには適しているが、不定期な緊急のアップデートも可能にすることを考慮すると、CRL要求条件を、機器との間での電力の授受の際(例えば機器による使用開始時)という条件としてもよい。また、頻繁にCRL要求条件が成立するようにすると利便性が低下し得ることに鑑みて、例えば機器による使用の開始時において前回の使用開始から所定時間(例えば24時間)以上が経過しているときにだけ満たされる条件等としてもよい。つまり、CRL要求条件は、例えば前回のCRL要求から所定時間(例えば24時間)が経過しているという条件であってもよい。
CRL要求条件が満たされる場合には(ステップS11)、要求指示部15は、機器20aにCRLの送信要求をサーバ90に対して送信させるべく、機器20aに接続インタフェース回路を介して要求する(ステップS12)。つまり、要求指示部15は、機器20aに要求送信指示情報を送信することでCRL要求を行う。これに応じて機器20aがサーバ90に対するCRLの送信要求を行って返送されるCRLを受信して、電池ユニット10aに伝達するので、受信部16は、機器20aからCRLを受信することにより取得し認証部14に伝達する(ステップS13)。電池ユニット10aの認証部14は、CRLが伝達されると、機器20aについて機器認証を行う(ステップS14)。この機器認証に際しては、認証部14は伝達されたCRLの検証と、機器20aから取得した認証用情報に基づき、機器20aの公開鍵証明書がCRLに記載されていないかの検証及び公開鍵暗号を用いた機器20aの認証を行う。なお、認証に係るデータ送受の詳細については後述する。
機器認証に成功した場合には(ステップS15)、制御部12の制御下で、電池部11と機器20aとの間での電力の授受が行われ(ステップS16)、機器認証に失敗した場合には電力の授受が抑止される(ステップS17)。そして、電池部11と機器20aとの間での電力の授受が終了すれば、制御部12は記憶部13内の電池情報40を更新する(ステップS18)。なお、制御部12の制御下で、ステップS16において機器20aとの間での電力の授受が行われている間に、過充電や過放電等の異常が生じた場合には、制御部12は、電池情報40の異常フラグ42をオンにする。このとき、電池情報40の機器ID45aには、機器20aの識別情報(例えば公開鍵等)が記録される。
図8は、機器20aの動作を示すフローチャートである。機器20aは、電池ユニット10aを装着して使用するときに同図に示す動作を行う。
機器20aの要求送信部24は、電池ユニット10aから要求送信指示情報を受信することによりCRL要求を受け付けた場合に(ステップS21)、サーバに対してネットワーク99を介してCRL送信を要求し、電池ユニット10aとサーバ90との間のデータ伝送を中継する(ステップS22)。即ち、機器20aは、電池ユニット10aからのサーバ宛のデータを受け取るとサーバ90に送信し、サーバ90から電池ユニット宛のデータを受信すると電池ユニット10aに伝達する。これにより、サーバ90から電池ユニット10aにはCRLが伝送されることになる。その後、機器20aの認証部23は、電池ユニット10aに公開鍵証明書等の認証用情報を伝達することにより、電池ユニット10aとの間での認証を行う(ステップS23)。そして、認証に成功した場合には(ステップS24)、電力制御部21により、電池ユニット10aとの間での電力の授受を実行し(ステップS25)、認証に失敗した場合には、電池ユニット10aとの間での電力の授受を抑止する(ステップS26)。なお、機器20aは、具体的には充電器であるので、ステップS16及びステップS25においては、機器20aから電池ユニット10aへの電力の供給が行われ、電池部11に蓄電がなされることになる。また、充電器以外の機器の場合では、ステップS16及びステップS25においては、電池ユニットからその機器への電力の供給が行われることになる。
サーバ90においては、電池ユニット10aのCRL要求に応じた機器20aからCRLの送信要求の送信を受信すると、記憶部91に格納された最新のCRLを機器20aに送信し、電池ユニット10aは機器20aからCRLを受け取る。
以下、上述の図7及び図8に示す電池ユニット10a及び機器20aの動作の一部(ステップS12〜S14、S21〜S22)に関連するところの電池ユニットとサーバとの間でのCRLの送受に係る具体的な処理手順を、図9を用いて説明する。
図9は、電池ユニット10aとサーバ90との間でのデータ送受のシーケンスを示す図である。なお、同図では、電池ユニット10aとサーバ90とのデータ送受を中継する機器20aについては省略している。
CRLの送受の前提として、電池ユニット10aは、記憶部13に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_A)、公開鍵証明書(Cert_A)及び以前に受領しているCRLを予め記憶している。また、電池管理システム100では楕円鍵曲線暗号を用いた認証を行うこととする。このため、電池ユニット10aは、楕円曲線暗号を処理するための楕円曲線暗号処理部を有する。また、電池ユニット10aは、電池管理システム100におけるシステムパラメータである楕円曲線上のベースポイントを予め記憶している。また、サーバ90は、記憶部91に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_C)、公開鍵証明書(Cert_C)及びCRLを予め記憶している。そしてサーバ90も、楕円曲線暗号処理部を有し、楕円曲線上のベースポイントを予め記憶している。以下、図9に示す処理手順(1)〜(6)を順に説明する。
(1)電池ユニット10aは、乱数Kを生成し、CRL要求として、この乱数K及び自己の公開鍵証明書Cert_Aを機器20aに伝達し(図7のステップS12)、機器20aはその乱数K及び公開鍵証明書Cert_Aを受け取る(図8のステップS21)。ここでは、乱数K及び公開鍵証明書Cert_Aが要求送信指示情報に相当する。
(2)機器20aはその乱数K及び公開鍵証明書Cert_Aをサーバ90に送信する(図8のステップS22)。この送信は、サーバに対して、CRLの送信要求を行っている意味を有する。
(3)サーバ90は乱数K及び公開鍵証明書Cert_Aを受信し、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Aを検証し、保持しているCRLに公開鍵証明書Cert_Aのシリアルナンバーが記載されていないかをチェックする。
(4)サーバ90は、自己が保持する最新のCRLと受信した乱数Kとを結合したデータに対して、秘密鍵SK_Cを用いて署名する。この署名によりデータS1が生成される。
(5)サーバ90は、電池ユニット10a宛の公開鍵証明書Cert_C、データS1及び最新のCRLを、機器20aに送信する。機器20aは受信した公開鍵証明書Cert_C及びデータS1と共に受信した最新のCRLを電池ユニット10aに伝達する(図8のステップS22)。
(6)電池ユニット10aは、機器20aからCRLと共に公開鍵証明書Cert_C及びデータS1を取得する(図7のステップS13)。そして電池ユニット10aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Cを検証し、保持しているCRLに公開鍵証明書Cert_Cのシリアルナンバーが記載されていないかをチェックする。そして、取得したCRLが正しいかどうかを検証する。即ち、公開鍵証明書Cert_C中の公開鍵PK_Cを用いてデータS1を復号した結果が取得したCRLと乱数Kとを結合したものと一致することを確認することにより、データS1が取得したCRLと乱数Kとを結合したものに対する署名であることを検証する。
なお、これらの処理手順中において検証に失敗した場合、及び、CRLにシリアルナンバーが記載されていた公開鍵証明書を用いていた場合には、電池ユニット10aは、機器認証の前提とも言える最新のCRLの取得ができない。最新のCRLの取得ができなかった電池ユニット10aは、機器認証(図7のステップS14)に失敗したものと扱う。
以下、電池ユニット10aと機器20aとの間での機器認証(図7のステップS14及び図8のステップS23)に係る具体的な処理手順を、図10を用いて説明する。
図10は、電池ユニット10aと機器20aとの間での機器認証のシーケンスを示す図である。この機器認証は、基本的には電池ユニット10aが、予め定められた規格等に従った一定基準を満たす機器にだけ、自己の使用を認めるためになされるものである。
機器認証の前提として、電池ユニット10aは、記憶部13に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_A)、公開鍵証明書(Cert_A)及び一定基準を満たす機器の識別情報(例えば一定基準を満たす機器の公開鍵リスト)を予め記憶している。なお、一定基準を満たす機器にしか認証局の署名付きの公開鍵証明書が配布されないこととしてもよく、この場合においては、一定基準を満たす機器の識別情報は必要ない。また、電池ユニット10aは、図7のステップS13においてCRLを取得している。機器20aは、記憶部22に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_B)及び公開鍵証明書(Cert_B)を予め記憶している。そして電池ユニット10a及び機器20aはそれぞれ、楕円曲線暗号処理部を有し、楕円曲線上のベースポイントを予め記憶している。以下、図10に示す処理手順(1)〜(9)を順に説明する。
(1)機器20aは、乱数yを生成する。
(2)機器20aは、その乱数yと公開鍵証明書Cert_Bとを含む認証用情報を電池ユニット10aに伝達する。
(3)電池ユニット10aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Bを検証し、取得したCRLに公開鍵証明書Cert_Bのシリアルナンバーが記載されていないかをチェックする。そして、乱数xを生成する。
(4)電池ユニット10aは、その乱数xと公開鍵証明書Cert_Aとを機器20aに伝達する。
(5)機器20aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Aを検証し、取得した乱数xに対して秘密鍵SK_Bを用いて署名する。この署名によりデータS1が生成される。
(6)機器20aは、データS1を電池ユニット10aに伝達する。
(7)電池ユニット10aは、既に取得した公開鍵証明書Cert_B内の公開鍵PK_Bを用いてデータS1を復号した結果が乱数xと一致することの確認により、データS1が乱数xに対する機器20aの署名であることを検証する。そして、乱数yに対して秘密鍵SK_Aを用いて署名する。この署名によりデータS0が生成される。
(8)電池ユニット10aは、データS0を機器20aに伝達する。
(9)機器20aは、既に取得した公開鍵証明書Cert_A内の公開鍵PK_Aを用いてデータS0を復号した結果が乱数yと一致することの確認により、データS0が乱数yに対する電池ユニット10aの署名であることを検証する。
なお、これらの処理手順中において検証に失敗した場合、及び、CRLにシリアルナンバーが記載されていた公開鍵証明書を用いていた場合には、電池ユニット10aは、機器認証(図7のステップS14)に失敗したものと扱う。機器認証に失敗した場合においては、機器20aは電池ユニット10aを使用できないこととなる。また、電池ユニット10aは、記憶部13に記憶している一定基準を満たす機器の識別情報(例えば一定基準を満たす機器の公開鍵リスト)に基づいて、機器20aの公開鍵PK_Bをチェックする。これにより、機器20aが、一定基準を満たす機器であれば機器認証(図7のステップS14)が成功となり、電池ユニット10aの使用が認められる。なお、一定基準を満たす機器にしか認証局の署名付きの公開鍵証明書が配布されないこととする場合においては、電池ユニット10aは、機器認証に失敗しなければ、一定基準を満たす機器の識別情報に基づくチェックを行わずに機器認証に成功したものと扱う。
上述の処理により、電池ユニット10aは、一定基準を満たす機器との間でのみ電力の授受を行うようになっている。なお、電池ユニット10aは、自己を使用する機器を介して電池情報を、サーバ90に送信する。この送信は、例えば機器による使用の開始時において前回の使用開始から所定時間(例えば24時間)以上が経過しているときに行われる等として、定期的に電池の状態をサーバに報告することとしてもよい。また、電池ユニット10aは、自己を使用する機器を介してサーバ90との間でCRLの送受を行う際に、電池情報の送信を行ってもよい。
(考察)
以下、上述の電池管理システム100における電池ユニット(例えば電池ユニット10a)の特徴について説明する。
電池ユニット10aは、一定基準を満たす機器のみに使用を認めるために、機器を介してサーバ90(認証局)から最新のCRLを取得した上で機器認証を行う特徴を有する。このように使用を認める機器を制限するのは、電池ユニット10aを使用しようとする機器が一定基準を満たさない機器(不適切な機器)である場合には過充電や過放電がなされて電池寿命が短縮する等の不適切な事態が生じるおそれがあるからである。
ある日時T1において一定基準を満たす機器であったものが、その後の日時T2において一定基準を満たさないように変化した場合においては、その機器の公開鍵証明書の失効の申請を認証局に行うように運用される。また、日時T1において一定基準を満たす機器の秘密鍵がその後の日時T2において漏洩して模造品が現れ得る状況となった場合においても同様に、その機器の公開鍵証明書の失効の申請を認証局に行うように運用される。これらの場合において、認証局は、その機器の公開鍵証明書を失効させるべくCRLに追加して、そのCRLを提供可能にする。従って、電池ユニット10aは、機器認証の必要がある場合に、日時T2以後に発行された最新のCRLを取得して利用することにより、不適切な機器(模造品等)による使用を認めないことが可能となる。なお、日時T2以後に発行された最新のCRLにはその機器(不適切な機器)の公開鍵証明書は記載されているが、日時T1までに発行されたCRLにはその機器の公開鍵証明書は記載されていない。
電池ユニット10aは、直接的にサーバ90と通信する構成を有しないので、電池ユニット10aを装着した機器であってサーバ90と通信可能な機器にCRL要求をしてその機器を介してサーバ90からCRLを取得することになる。機器は、電池ユニット10aを使用するためにCRL要求に従うことになる。ところで、その機器が日時T2以後において不適切な機器である可能性がある。不適切な機器は、電池ユニット10aがCRL要求を行った場合に、自己の公開鍵証明書が記載されていない日時T1のCRL(保存していたもの)を電池ユニット10aに伝達して、電池ユニット10aを欺こうとするおそれがある。
しかし、電池ユニット10aは、機器から伝達されたCRLについて、自らのCRL要求に応じてサーバ90から送信されたCRLであることを検証するので、機器が電池ユニット10aを欺くことはできないようになっている。即ち、電池ユニット10aは、図9に示すように、所定情報(自ら生成した乱数Kを含む)がサーバ90に伝達されるようにし、その所定情報を反映してサーバ90からのCRLの送信がなされていることを、その所定情報に基づいて検証している。従って、電池ユニット10aは、サーバ90から最新のCRLを取得した上で機器認証を行うことができる。そして、最新のCRLには不適切な機器の公開鍵証明書が記載されているため、不適切な機器は機器認証に失敗し、電池ユニット10aの不適切な機器による使用が抑止される。
(実施の形態2)
以下、本発明の一実施態様である実施の形態2について説明する。
実施の形態2に係る電池管理システムは、実施の形態1で説明した電池管理システム100と同様の構成を有し、電池ユニットとサーバとの間でのCRLの送受に係る具体的な処理手順において相違する。なお、電池管理システムの各構成要素については実施の形態1と同じ符号を用いて説明する。
以下、実施の形態2における電池ユニット10aとサーバ90との間でのCRLの送受に係る具体的な処理手順を、図11を用いて説明する。この処理手順は、電池ユニット10aが図7のステップS12〜S14を行う際の手順となる。
図11は、電池ユニット10aとサーバ90との間でのデータ送受のシーケンスを示す図である。なお、同図では、電池ユニット10aとサーバ90とのデータ送受を中継する機器20aについては省略している。
特にCRLの送受の前提として、電池ユニット10aは、記憶部13に、電池情報(AH、図4参照)、認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_A)、公開鍵証明書(Cert_A)及び以前に受領しているCRLを予め記憶している。また、サーバ90は、記憶部91に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_C)、公開鍵証明書(Cert_C)及びCRLを予め記憶している。以下、図11に示す処理手順(1)〜(6)を順に説明する。
(1)電池ユニット10aは、乱数Kを生成し、乱数Kと電池情報AHとを結合したデータに対して、秘密鍵SK_Aを用いて署名する。この署名によりデータS0が生成される。そして、CRL要求として、自己の公開鍵証明書Cert_A、乱数K、電池情報AH及びデータS0を機器20aに伝達する(図7のステップS12)。ここでは、公開鍵証明書Cert_A、乱数K、電池情報AH及びデータS0が要求送信指示情報に相当する。
(2)機器20aは電池ユニット10aから伝達された公開鍵証明書Cert_A、乱数K、電池情報AH及びデータS0をサーバ90に送信する。この送信は、サーバに対して、CRLの送信要求を行っている意味を有する。
(3)サーバ90は公開鍵証明書Cert_A、乱数K、電池情報AH及びデータS0を受信し、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Aを検証する。そして、保持しているCRLに公開鍵証明書Cert_Aのシリアルナンバーが記載されていないかをチェックする。そして、受信したデータS0を検証する。即ち、公開鍵証明書Cert_A中の公開鍵PK_Aを用いてデータS0を復号した結果が受信した電池情報AHと乱数Kとを結合したものと一致することの確認により、データS0が受信した電池情報AHと乱数Kとの結合に対する署名であることを検証する。
(4)サーバ90は、自己が保持する最新のCRLと受信した乱数Kとを結合したデータに対して、秘密鍵SK_Cを用いて署名する。この署名によりデータS1が生成される。
(5)サーバ90は、電池ユニット10a宛の公開鍵証明書Cert_C、データS1及び最新のCRLを、機器20aに送信する。機器20aは受信した公開鍵証明書Cert_C及びデータS1と共に受信した最新のCRLを電池ユニット10aに伝達する。
(6)電池ユニット10aは、機器20aからCRLと共に公開鍵証明書Cert_C及びデータS1を取得する(図7のステップS13)。そして電池ユニット10aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Cを検証し、保持しているCRLに公開鍵証明書Cert_Cのシリアルナンバーが記載されていないかをチェックする。そして、取得したCRLが正しいかどうかを検証する。即ち、公開鍵証明書Cert_C中の公開鍵PK_Cを用いてデータS1を復号した結果が取得したCRLと乱数Kとを結合したものと一致することを確認することにより、データS1が取得したCRLと乱数Kとを結合したものに対する署名であることを検証する。
なお、これらの処理手順中において検証に失敗した場合、及び、CRLにシリアルナンバーが記載されていた公開鍵証明書を用いていた場合には、電池ユニット10aは、機器認証(図7のステップS14)に失敗したものと扱う。
これらの処理手順により、電池ユニット10aは、サーバ90から最新のCRLを取得することができる。なお、電池ユニット10aは、所定情報(乱数Kを含む)がサーバ90に伝達されるようにし、その所定情報を反映してサーバ90からのCRLの送信がなされていることを、その所定情報に基づいて検証している。
また、サーバ90は、電池ユニット10aから電池情報AHを取得することができ、電池ユニット10aの状況を把握し管理することが可能となる。また、CRLの伝送と電池情報AHの伝送とが連携していると、効率的な伝送が可能となる。
なお、電池情報AHには、図4に示すように異常フラグが含まれており、異常フラグがオンであればサーバ90は、この電池情報を公開鍵証明書の失効の申請と看做し、電池情報の機器ID45aが示す機器の公開鍵証明書をCRLに追加する。電池ユニット10aにおいて電池情報AHを反映したデータS0が生成され、サーバ90においてデータS0が検証されるので、電池ユニット10aとサーバ90の通信を中継する機器が電池情報AHを改竄しても検出されるようになっている。
(実施の形態3)
以下、本発明の一実施態様である実施の形態3について説明する。
実施の形態3に係る電池管理システムも、実施の形態1で説明した電池管理システム100と同様の構成を有し、電池ユニットとサーバとの間でのCRLの送受に係る具体的な処理手順において相違する。なお、電池管理システムの各構成要素については実施の形態1と同じ符号を用いて説明する。
以下、実施の形態3における電池ユニット10aとサーバ90との間でのCRLの送受に係る具体的な処理手順を、図12を用いて説明する。この処理手順は、電池ユニット10aが図7のステップS12〜S14を行う際の手順となる。
図12は、電池ユニット10aとサーバ90との間でのデータ送受のシーケンスを示す図である。なお、同図では、電池ユニット10aとサーバ90とのデータ送受を中継する機器20aについては省略している。
特にCRLの送受の前提として、電池ユニット10aは、記憶部13に、電池情報(AH、図4参照)、認証局の公開鍵(PK_CA)及び以前に受領しているCRLを予め記憶している。また、サーバ90は、記憶部91に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_C)、公開鍵証明書(Cert_C)及びCRLを予め記憶している。以下、図12に示す処理手順(1)〜(4)を順に説明する。
(1)電池ユニット10aは、CRL要求として電池情報AHを機器20aに伝達する(図7のステップS12)。ここでは、電池情報AHが要求送信指示情報に相当する。そして機器20aは電池ユニット10aから伝達された電池情報AHをサーバ90に送信する。この送信は、サーバに対して、CRLの送信要求を行っている意味を有する。
(2)サーバ90は電池情報AHを受信し、受信した電池情報AHと自己が保持する最新のCRLとを結合したデータに対して、秘密鍵SK_Cを用いて署名する。この署名によりデータS1が生成される。
(3)サーバ90は、電池ユニット10a宛の公開鍵証明書Cert_C、データS1及び最新のCRLを、機器20aに送信する。機器20aは受信した公開鍵証明書Cert_C及びデータS1と共に受信した最新のCRLを電池ユニット10aに伝達する。
(4)電池ユニット10aは、機器20aからCRLと共に公開鍵証明書Cert_C及びデータS1を取得する(図7のステップS13)。そして電池ユニット10aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Cを検証し、保持しているCRLに公開鍵証明書Cert_Cのシリアルナンバーが記載されていないかをチェックする。そして、取得したCRLが正しいかどうかを検証する。即ち、公開鍵証明書Cert_C中の公開鍵PK_Cを用いてデータS1を復号した結果が電池情報AHと取得したCRLとを結合したものと一致することの確認により、データS1が電池情報AHと取得したCRLとの結合に対する署名であることを検証する。
なお、これらの処理手順中において検証に失敗した場合、及び、CRLにシリアルナンバーが記載されていた公開鍵証明書を用いていた場合には、電池ユニット10aは、機器認証(図7のステップS14)に失敗したものと扱う。
これらの処理手順により、電池ユニット10aは、サーバ90から最新のCRLを取得することができる。なお、電池ユニット10aは、所定情報(電池情報を含む)がサーバ90に伝達されるようにし、その所定情報を反映してサーバ90からのCRLの送信がなされていることを、その所定情報に基づいて検証している。
また、サーバ90は、電池ユニット10aから電池情報AHを取得することができ、電池ユニット10aの状況を把握し管理することが可能となる。なお、電池ユニット10aにおいて機器20aに伝達した電池情報AHを用いて、サーバ90からのデータS1(電池情報AHを反映したもの)を検証しているため、機器が電池情報AHを改竄した場合にはこの検証が失敗するようになっている。
(実施の形態4)
以下、本発明の一実施態様である実施の形態4について説明する。
実施の形態4に係る電池管理システムも、実施の形態1で説明した電池管理システム100と同様の構成を有し、電池ユニットとサーバとの間でのCRLの送受に係る具体的な処理手順において相違する。なお、電池管理システムの各構成要素については実施の形態1と同じ符号を用いて説明する。
以下、実施の形態4における電池ユニット10aとサーバ90との間でのCRLの送受に係る具体的な処理手順を、図13を用いて説明する。
図13は、電池ユニット10aとサーバ90との間でのデータ送受のシーケンスを示す図である。なお、同図では、電池ユニット10aとサーバ90とのデータ送受を中継する機器20aについては省略している。機器20aは、電池ユニット10aからサーバ90宛のデータが伝達されるとサーバ90に対して送信し、サーバ90から電池ユニット10a宛のデータを受信すると電池ユニット10aに伝達する。
特にCRLの送受の前提として、電池ユニット10aは、記憶部13に、電池情報(AH、図4参照)、認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_A)、公開鍵証明書(Cert_A)及び以前に受領しているCRLを予め記憶している。また、サーバ90は、記憶部91に認証局の公開鍵(PK_CA)、自己の秘密鍵(SK_C)、公開鍵証明書(Cert_C)及びCRLを予め記憶している。以下、図13に示す処理手順(1)〜(15)を順に説明する。
(1)電池ユニット10aは、乱数xを生成する。
(2)電池ユニット10aは、CRL要求として乱数x及び公開鍵証明書Cert_Aを機器20aに伝達する(図7のステップS12)。ここでは、乱数x及び公開鍵証明書Cert_Aが要求送信指示情報に相当する。機器20aは電池ユニット10aから伝達された乱数x及び公開鍵証明書Cert_Aをサーバ90に送信する。
(3)サーバ90は乱数x及び公開鍵証明書Cert_Aを受信し、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Aを検証し、保持しているCRLに公開鍵証明書Cert_Aのシリアルナンバーが記載されていないかをチェックする。そして乱数yを生成する。
(4)サーバ90は、電池ユニット10a宛の乱数y及び公開鍵証明書Cert_Cを機器20aに送信する。機器20aは受信した乱数y及び公開鍵証明書Cert_Cを電池ユニット10aに伝達する。
(5)電池ユニット10aは、機器20aから乱数y及び公開鍵証明書Cert_Cを取得する。そして電池ユニット10aは、認証局の公開鍵PK_CAを用いて公開鍵証明書Cert_Cを検証し、保持しているCRLに公開鍵証明書Cert_Cのシリアルナンバーが記載されていないかをチェックする。そして、電池ユニット10aは、乱数x’を生成し、ベースポイントGに乗じてなるx’Gを生成し、x’Gと乱数yとを結合したデータに対して、秘密鍵SK_Aを用いて署名する。この署名によりデータS0が生成される。
(6)電池ユニット10aは、サーバ90宛のx’G及びデータS0を機器20aに伝達する。機器20aは受け取ったx’G及びデータS0をサーバ90に送信する。
(7)サーバ90は、x’G及びデータS0を受信し、公開鍵証明書Cert_A中の公開鍵PK_Aを用いてデータS0を復号した結果が受信したx’Gと乱数yとを結合したものと一致することを確認することにより、データS0がx’Gと乱数yとを結合したものに対する署名であることを検証する。そして、サーバ90は、乱数y’を生成し、ベースポイントGに乗じてなるy’Gを生成し、y’Gと乱数xとを結合したデータに対して、秘密鍵SK_Cを用いて署名する。この署名によりデータS1が生成される。
(8)サーバ90は、電池ユニット10a宛のy’G及びデータS1を機器20aに送信する。機器20aは、y’G及びデータS1を電池ユニット10aに伝達する。
(9)電池ユニット10aは、y’G及びデータS1を取得し、公開鍵証明書Cert_C中の公開鍵PK_Cを用いてデータS1を復号した結果が受信したy’Gと乱数xとを結合したものと一致することを確認することにより、データS1がy’Gと乱数xとを結合したものに対する署名であることを検証する。
(9a)電池ユニット10aは、乱数x’をy’Gに乗じてなるx’(y’G)を計算し計算結果であるKを得る。
(9b)サーバ90は、乱数y’をx’Gに乗じてなるy’(x’G)を計算し計算結果であるK’を得る。
この(9a)及び(9b)の処理手順により得られたK及びK’は、等価なはずである。このK及びK’は、以後の処理手順(10)〜(13)において、共通鍵(秘密鍵)として、例えばDES(Data Encryption Standard)、AES(Advanced Encryption Standard )等の共通鍵暗号に用いられる。
(10)電池ユニット10aは、電池情報AHを共通鍵Kにより暗号化して、データC0を生成する。
(11)電池ユニット10aは、サーバ90宛のデータC0を機器20aに伝達する。そして機器20aは、データC0をサーバ90に送信する。
(12)サーバ90はデータC0を受信し、受信したデータC0を共通鍵K’により復号して、電池情報AHを取得する。
(13)サーバ90は最新のCRLを共通鍵K’により暗号化して、データC1を生成する。
(14)サーバ90は、電池ユニット10a宛のデータC1を機器20aに送信する。そして機器20aは、データC1を電池ユニット10aに伝達する。
(15)電池ユニット10aは、データC1を取得し、取得したデータC1を共通鍵Kにより復号して、最新のCRLを取得する(図7のステップS13)。
なお、処理手順(1)〜(9b)までは、CRL要求のタイミングとは別個に先行して少なくとも1回行われることとしてもよい。この場合においては、図7のステップS12におけるCRL要求は、処理手順(11)でのデータC0の機器20aへの伝達により実現される。また、電池ユニット10aとサーバ90との間で相互認証及び共通鍵の共有を行うための処理手順であれば、図13に示したデータ送受のシーケンス(1)〜(9b)を、他の処理手順に置き換えてもよい。
これらの処理手順により、電池ユニット10aは、サーバ90から最新のCRLを取得することができ、サーバ90は、電池ユニット10aから電池情報AHを取得することができる。なお、電池ユニット10aとサーバ90との間で共通鍵が共有され、共通鍵暗号によりCRL及び電池情報AHの伝送がなされるため、伝送を中継する機器によるCRL或いは電池情報AHのすり替え等は防止される。
(他の実施の形態等)
以上、電池管理システムの各実施の形態について説明したが、上述した各実施の形態は一例にすぎず、各種の変更が可能であることは言うまでもない。
例えば、上述の実施の形態で示した電池情報は電池ユニットの状態を示すものであれば、その構成内容は必ずしも図4に示す通りのものでなくてもよい。電池情報は、例えば、電池の内部抵抗値、電池ユニットが現在までに充電された回数、急速充電をされた回数等を含んでもよいし、使用した機器の種別や負荷レベル等を示す情報や使用日時を示す情報等を含んでもよい。
また、電池管理システム100においては、サーバ90から機器を介して電池ユニットに対してCRLを伝送し、電池ユニットは、機器との間での機器認証に際してそのCRLを用いて機器から取得した認証用情報(公開鍵証明書等)を検証することとした。このCRLは、機器が所有する公開鍵について認証局による署名が付されてなる公開鍵証明書の失効を示すものであるが、電池管理システムにおいてCRLの代わりに機器が無効であることを特定するための何らかの情報(無効機器特定用情報)を用いてもよい。無効機器特定用情報は、例えば、無効な機器についての機器の識別情報(例えば機器の公開鍵)をリストアップした情報であってもよい。
また、電池管理システム100では楕円鍵曲線暗号(公開鍵暗号)を用いた認証を行うこととしたが、機器認証に他の方法を用いてもよい。
また、サーバ90は認証局であることとしたが、認証局ではない装置であって認証局配下で認証局から適宜最新のCRLを取得する装置でもよい。
また、電池ユニット10aは、電池情報の異常フラグをオンにするような事態が生じた場合には、可能な限り速やかに機器を介してサーバ90に電池情報を送信するようにしてもよい。なお、電池ユニット10aは、異常フラグを、一定レベル以上の過充電や過放電の場合にオンとすることとしたが、これは例示にすぎず、予め定めた基準等に基づき異常な状態が生じたと判断した場合にオンすることとしてもよい。例えば、一定レベル以上に高温となった場合に異常フラグをオンにしてもよい。
なお、上述した各装置類による各種処理(図7〜図13に示す処理手順等)の全部又は一部は、各装置類の機構(ハードウェア)により実行されても、ソフトウェアにより実行されてもよい。なお、ソフトウェアによる処理の実行は、各装置類に含まれるプロセッサがメモリに記憶された制御プログラムを実行することにより実現されるものである。また、その制御プログラムを記録媒体に記録して頒布や流通させてもよい。例えば、頒布された制御プログラムを装置類にインストールして、装置類のプロセッサに実行させることで、装置類に各種処理(図7〜図13に示す処理手順等)を行わせることが可能となる。
その他、上述した各実施の形態に対して当業者が当然に思いつく各種変形を施して得られる形態、又は、各実施の形態で示した構成要素及び機能を任意に組み合わせることで実現される形態も本発明の範囲に含まれる。
本発明は、機器に使用される電池に適用可能である。
10a〜10d 電池ユニット
11 電池部
12 制御部
13 記憶部
14 認証部
15 要求指示部
16 受信部
20a〜20c 機器
21 電力制御部
22 記憶部
23 認証部
24 要求送信部
25 受信部
26 認証送信部
30 コンセントプレート
31 電源ケーブル
32 LANケーブル
90 サーバ
91 記憶部
92 電池管理部
99 ネットワーク
100 電池管理システム

Claims (13)

  1. サーバと通信する機器から取得した認証用情報に基づく機器認証を行う電池ユニットであって、
    前記サーバに対して無効機器特定用情報の送信要求を行わせる要求送信指示情報を、前記機器に送信する要求指示部と、
    無効機器特定用情報及び認証用情報を前記機器から受信する受信部と、
    前記受信部により受信された前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであることを検証し、前記無効機器特定用情報が前記送信要求に応じて前記サーバから送信されたものであると検証された場合、前記機器認証に際して当該無効機器特定用情報を用いて前記認証用情報についての検証を行う認証部と、
    前記認証用情報に基づく機器認証に成功した場合に、前記機器との間で電力の授受を行わせる制御部とを備える
    電池ユニット。
  2. 前記機器認証は、公開鍵暗号を用いた認証であり、
    前記認証用情報は、公開鍵証明書を含み、
    前記無効機器特定用情報は、証明書失効リストであり、
    前記制御部は、前記機器認証に失敗した場合に前記機器との間での電力の授受を抑止する
    請求項1記載の電池ユニット。
  3. 前記要求指示部は、前記機器に前記送信要求としての所定情報を前記サーバに対して送信させるべく、当該所定情報を前記要求送信指示情報に含ませて前記機器へ送信し、
    前記認証部は、前記受信部により受信された前記無効機器特定用情報についての前記検証を、前記所定情報に基づいて行う
    請求項2記載の電池ユニット。
  4. 前記電池ユニットは、当該電池ユニットに関する情報である電池情報を記憶する記憶部を有し、
    前記所定情報は、前記電池情報を含む
    請求項3記載の電池ユニット。
  5. 前記電池ユニットは、当該電池ユニットに関する情報である電池情報を記憶する記憶部を有し、
    前記要求指示部は、前記機器に前記送信要求としての前記電池情報を前記サーバに対して送信をさせるべく、当該電池情報を前記要求送信指示情報に含ませて前記機器へ送信する
    請求項2記載の電池ユニット。
  6. 前記電池ユニットの前記記憶部が記憶する前記電池情報は、当該電池ユニットの状態を示す情報を含み、
    前記電池ユニットの前記制御部は、当該電池ユニットの状態に応じて前記電池情報を更新する
    請求項5記載の電池ユニット。
  7. 前記電池ユニットは、前記機器との間での電力の授受に際して、当該機器から取得した前記認証用情報に基づく当該機器の識別用の情報を前記電池情報に含め、当該電力の授受において異常が生じた場合には異常を示す情報を前記電池情報に含める
    請求項5記載の電池ユニット。
  8. 前記要求指示部は、前記機器との間での電力の授受に際して、前記要求送信指示情報を送信し、
    前記認証部は、前記機器との間での電力の授受に際して、前記認証用情報の前記検証を行う
    請求項2記載の電池ユニット。
  9. 前記要求指示部は、前記機器との間での電力の授受に際して、前回の前記要求送信指示情報の送信から所定期間経過している場合に新たに前記要求送信指示情報を送信する
    請求項2記載の電池ユニット。
  10. 前記要求指示部は、前記受信部により受信された前記証明書失効リストに示された、次回の証明書失効リストの発行予定時が経過した場合に新たに前記要求送信指示情報を送信する
    請求項2記載の電池ユニット。
  11. 前記電池ユニットは、
    二次電池と、
    前記二次電池への充電を実行する充電回路と、
    前記二次電池からの放電を実行する放電回路と、
    前記機器と着脱自在に接続する接続部とを有し、
    前記制御部は、前記機器から受信した認証用情報に基づく機器認証に成功した場合に、前記接続部を介して、前記放電回路又は前記充電回路により、当該機器との間で電力の授受を行わせる
    請求項2記載の電池ユニット。
  12. 電池ユニットとの間で電力の授受を行う機器であって、
    前記電池ユニットから要求を受けた場合、サーバに証明書失効リストの送信要求を行う要求送信部と、
    前記サーバから前記証明書失効リストを受信する受信部と、
    公開鍵証明書を含む認証用情報と、前記サーバから受信した証明書失効リストとを前記電池ユニットに送信する認証送信部とを備える
    機器。
  13. 前記電池ユニットからの要求は、当該電池ユニットに関する情報である電池情報の伝達によりなされ、
    前記要求送信部は、前記電池ユニットから前記電池情報を受けると、前記証明書失効リストの送信要求として当該電池情報を前記サーバに送信する
    請求項12記載の機器。
JP2014064705A 2014-03-26 2014-03-26 電池ユニット Pending JP2015187940A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014064705A JP2015187940A (ja) 2014-03-26 2014-03-26 電池ユニット

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014064705A JP2015187940A (ja) 2014-03-26 2014-03-26 電池ユニット

Publications (1)

Publication Number Publication Date
JP2015187940A true JP2015187940A (ja) 2015-10-29

Family

ID=54430077

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014064705A Pending JP2015187940A (ja) 2014-03-26 2014-03-26 電池ユニット

Country Status (1)

Country Link
JP (1) JP2015187940A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021157259A1 (ja) * 2020-02-04 2021-08-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 管理装置、管理システム、管理方法、および、プログラム
JP2022003593A (ja) * 2016-02-24 2022-01-11 パナソニックIpマネジメント株式会社 蓄電池パックの管理システム、蓄電池パックの管理方法、及び、蓄電池貸与システム
JP7527131B2 (ja) 2020-02-04 2024-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 管理装置、管理システム、管理方法、および、プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022003593A (ja) * 2016-02-24 2022-01-11 パナソニックIpマネジメント株式会社 蓄電池パックの管理システム、蓄電池パックの管理方法、及び、蓄電池貸与システム
JP7352886B2 (ja) 2016-02-24 2023-09-29 パナソニックIpマネジメント株式会社 蓄電池パックの管理システム、蓄電池パックの管理方法、及び、蓄電池貸与システム
WO2021157259A1 (ja) * 2020-02-04 2021-08-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 管理装置、管理システム、管理方法、および、プログラム
JP7527131B2 (ja) 2020-02-04 2024-08-02 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 管理装置、管理システム、管理方法、および、プログラム

Similar Documents

Publication Publication Date Title
CN108544933B (zh) 充电认证方法和***、认证芯片和存储介质
US11046201B2 (en) Electric vehicle charging station system
WO2017222703A1 (en) Technologies for device commissioning
CN104661219B (zh) 一种无线设备的通讯方法、无线设备和服务器
TW201834887A (zh) 管理裝置、管理系統、車輛以及記錄介質
JP5742587B2 (ja) 充電システム、充電制御装置、充電装置、及び充電方法
US20160277195A1 (en) Method of authenticating devices using certificates
JP6410189B2 (ja) 認証システムおよび認証方法
JP5751103B2 (ja) バッテリ保守システム、及びバッテリ保守方法
US11362521B2 (en) Offline mutual authentication for battery swapping
JP7466566B2 (ja) 電池交換ステーションのサーバ、電池の充電方法、システム、デバイス及び媒体
JP2015187940A (ja) 電池ユニット
EP4195587A1 (en) Method and device for installing certificate on basis of encryption and decryption of contract certificate private key
JP2021533528A (ja) バッテリー交換装置及びその制御方法
EP4086109A1 (en) Bootstrap method of electric vehicle charging station
JP2024059807A (ja) 電気自動車に対する契約証明書の設置支援方法及び装置
JP2011172000A (ja) 認証システム及び認証方法
JP5855212B1 (ja) 充電システム
US10609027B2 (en) Communication system, communication method, and management device
CN115943604A (zh) 相互认证方法及用于提供方法的认证装置
US20230219454A1 (en) Battery swap authentication method and apparatus, electronic device, battery swap station, and electrical apparatus
JP7527383B2 (ja) 電気自動車に対する契約証明書の設置支援方法及び装置
EP4219225A1 (en) Device and method for mutual authentication for electric vehicle charging