画像配信システム
【課題】 暗号化対象となる画像データを送信装置により暗号化して、受信装置により復号化する画像配信システムで、暗号に係る鍵の管理を容易にする。
【解決手段】 画像データの暗号化を行う送信装置と、送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる構成において、送信装置は画像データのユーザデータ領域に鍵IDを挿入し、受信装置は暗号化画像データのユーザデータ領域から鍵IDを取り出し、該鍵IDに基づいて鍵管理サーバから対応する鍵を取得する。
【解決手段】 画像データの暗号化を行う送信装置と、送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる構成において、送信装置は画像データのユーザデータ領域に鍵IDを挿入し、受信装置は暗号化画像データのユーザデータ領域から鍵IDを取り出し、該鍵IDに基づいて鍵管理サーバから対応する鍵を取得する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化対象となる画像データを暗号化する画像システムに関し、特に、暗号に係る鍵の管理を容易にすることができる画像配信システムに関する。
【背景技術】
【0002】
インターネットを利用したシステムにおいては、インターネット上での盗聴や改ざんの対策として、IPsec(Security Architecture for Internet Protocol)やSSL(Secure Socket Layer)等の伝送路暗号技術が適用されている。例えば、IPsecの仕様はRFC(Request for Comments)1825〜RFC1829に規定されている(非特許文献1)。
【非特許文献1】RFC1825〜RFC1829
【発明の開示】
【発明が解決しようとする課題】
【0003】
ここで、IPsecはネットワーク層における暗号技術、SSLはアプリケーション層における暗号技術である。IPsec、SSLは暗号処理のオーバヘッドが比較的大きく、例えば、防犯等を目的とする映像監視システムに適用して、監視映像を伝送する場合、フレームレートが低下するなどの課題がある。また、伝送路上における暗号技術であるため、記憶装置に保存すると暗号が解かれた状態になるため、情報漏洩対策を施すためには、別途暗号化するなどの処理が必要である。
【0004】
このような課題を解決するため、アプリケーションレベルで監視映像を暗号化して伝送し、暗号化したまま記録保存が可能な方式が本発明者らにより提案されている(特願2004-264611)。このような方式においては、記録保存された暗号化された画像データを復号して再生する場合にも、暗号化に使用した暗号鍵に対応する復号鍵が必要である。従って、監視端末の暗号鍵を変更した場合、変更前の記録画像を閲覧するには変更前の暗号鍵に対応する復号鍵を保存しておき、必要な時に取出せるように管理しておかなければならない。この場合、システムの規模が大きくなるに従い、使用する鍵の数が増大するため、暗号鍵と復号鍵を対応させる管理が複雑になり、ユーザへの管理負荷が増大するという課題がある。
【0005】
本発明は、このような従来の事情に鑑み為されたもので、暗号に係る鍵の管理を容易にすることができる画像配信システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本発明に係る画像配信システムは、画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる画像配信システムであって、前記送信装置は画像データのユーザデータ領域に前記鍵IDを挿入し、前記受信装置は暗号化画像データのユーザデータ領域から前記鍵IDを取り出し、該鍵IDに基づいて前記鍵管理サーバから対応する鍵を取得する。
【0007】
ここで、暗号化の手法としては、種々な手法が用いられてもよい。
また、上記目的を達成するため、本発明に係る画像配信システムは、画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵を管理する鍵管理サーバとからなる画像配信システムであって、前記送信装置及び前記鍵管理サーバは、前記鍵に基づいてハッシュ値を算出するハッシュ値算出手段を備え、前記送信装置は画像データのユーザデータ領域に前記ハッシュ値を挿入し、前記受信装置は暗号化画像データのユーザデータ領域から前記ハッシュ値を取り出し、該ハッシュ値に基づいて前記鍵管理サーバから対応する鍵を取得する。
【発明の効果】
【0008】
以上説明したように、本発明に係る画像配信システムによると、画像データの暗号化を行う送信装置と、送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる構成において、送信装置は画像データのユーザデータ領域に鍵IDを挿入し、受信装置は暗号化画像データのユーザデータ領域から鍵IDを取り出し、該鍵IDに基づいて鍵管理サーバから対応する鍵を取得するようにしたため、暗号に係る鍵の管理を容易にすることができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明に係る一実施例を図面を参照して説明する。
図1には、本発明の一実施例に係る画像配信システムの構成例を示してある。
図1に示される画像配信システムは、ネットワーク2に接続された複数の監視端末1(1−1〜1−N)、鍵管理サーバ3、画像サーバ4、表示装置5、管理端末6から構成される。なお、以下では、暗号方式に暗号と復号で同一の鍵を使用する共通鍵方式を適用した場合を例に説明するが、暗号方式としては種々な方式が用いられてもよい。
【0010】
ここで、監視端末1は、例えば、店舗、家庭等に設置され、異常情報や、暗号化した画像情報、音声情報等をネットワーク2を介して表示装置5に伝送する装置である。例えば、WebカメラやWebエンコーダ等が本装置に該当する。ネットワーク2に伝送する異常情報、画像情報、音声情報などの暗号化に使用する鍵は、例えば、図2(a)に示すよう鍵IDと暗号鍵との対応テーブルの形式で格納される。
【0011】
鍵管理サーバ3は、監視端末1等が使用する暗号鍵情報を管理する。鍵情報は、例えば、図2(b)に示すように監視端末1等の鍵管理単位に鍵IDと暗号鍵との対応テーブルの形式で格納される。
【0012】
また、画像サーバ4は、監視端末1からの暗号化された画像情報等を記録保存し、表示装置5からの要求に応じて暗号化された画像情報等を配信する。表示装置5は、監視端末1で暗号化された画像情報等を復号し、再生表示する装置である。管理端末6は、システムの管理を行う装置である。
【0013】
次に、図3を参照して本発明の一実施例に係る画像配信システムの動作例について説明する。
監視端末1は、各種センサ等により異常が検出された場合、異常情報を表示装置5に通知する(3a)。通知メッセージには、監視端末1を識別する識別情報と暗号化に使用する暗号鍵に対応する鍵IDが付加される。表示装置5は、通知メッセージを受信すると鍵管理サーバ3に監視端末1を識別する情報と鍵IDを通知し、監視端末1から受信する情報の復号に必要な暗号鍵を鍵管理サーバ3に要求する(3b)。
【0014】
次に、鍵管理サーバ3は、要求された鍵を表示装置5に配信する(3c)。表示装置5は、監視端末1に監視映像の画像データの配信要求を行う(3d)。監視端末1は、暗号化した画像データを表示装置5に配信する(3e、3f)。表示装置5は、受信した暗号化された画像データを鍵管理サーバ3から配信された鍵で復号し、復号映像を表示する。
【0015】
次に、図4を参照して本発明の一実施例に係る監視端末1及び鍵管理サーバ3への暗号鍵登録処理について説明する。
管理端末6は、鍵管理サーバ3に鍵設定メッセージを送信する(4a)。鍵管理サーバ3は、鍵を変更する監視端末1に新しい暗号鍵と対応する鍵IDを、鍵データ設定メッセージとして監視端末1に送信する(4b)。監視端末1は、受信した鍵データ設定メッセージの新しい暗号鍵と対応する鍵IDをテーブルに登録し、鍵管理サーバ3に鍵データ設定完了メッセージを送信する(4c)。鍵管理サーバ3は、監視端末1より鍵データ設定完了メッセージを受信すると、新しい暗号鍵と対応する鍵IDをテーブルに登録し、管理端末6に鍵設定完了メッセージを送信する(4d)。
【0016】
ここで、表示装置5は、例えば、図3に示したようなリアルタイムの映像監視の他、画像サーバに記録された記録画像の再生表示を行う場合がある。この場合、画像の暗号化に使用した暗号鍵を使用する必要がある。以下では、暗号化された画像データに暗号化に使用した暗号鍵情報を書き込むことにより、暗号化された画像データの再生時に、対応する暗号鍵を入手する方法について説明する。
【0017】
一般に監視映像に適用されるMPEG(Motion Picture Experts Group)−4やJPEG(Joint Photographic Expert Group)等の画像符号化方式の符号化フォーマットにはユーザデータを格納できる領域が定義されている。MPEG−4ではGOV(Group of VOP)ヘッダの後、JPEGではAPP0(Application type0)マーカの後にユーザデータ領域を確保することができる。このユーザデータ領域に暗号化に使用した暗号鍵の鍵IDを書込み、画像データの暗号化に使用した鍵との対応を取れるよう構成する。
【0018】
図5には、本発明の一実施例に係るMPEG−4ストリームの暗号フォーマットの一例を示してある。
図5(a)には、MPEG−4のストリーム構成の概略を模式的に示してある。MPEG−4のストリーム構成の実際については、ISO/IEC 14496−2に規定されている通りであるが、概略を模式的に示すと、図5(a)に示すように、MPEG−4の符号化画像データは、video object start codeから始まるVO(Video Object)ヘッダ情報領域、videoobject layer start codeから始まるVOL(Video Object Layer)ヘッダ情報領域、groupvop start codesから始まるGOVヘッダ情報領域、アプリケーションに合わせてユーザが使用可能な領域であり、userdata start codeから始まるユーザデータ領域、vop start codeから始まるVOPヘッダ情報領域、フレームに相当する画像本体の符号化情報であるMB(Macro Block)符号化情報等から構成される。そして、図5(a)に示すように、ユーザデータ領域の後にはVOPヘッダとMBが繰り返し続く構成となっている。
【0019】
図5(b)には、本発明の一実施例に係る暗号化後のMPEG−4のストリーム構成の一例を示してある。図5(b)に示すように、本実施例では、MPEG−4のストリーム構成のうち、MBに対してのみ暗号化を行う。そして、暗号化に使用した暗号化鍵に対応する鍵IDをユーザデータ領域に埋め込む。なお、暗号化を行う部分はMBのみに限られないことは言うまでもない。
【0020】
図6には、本発明の一実施例に係るJPEG画像の暗号フォーマットの一例を示してある。
図6(a)には、JPEG画像データのフォーマット構成の概略を模式的に示してある。図6(a)に示すように、JPEG画像データは、SOI(Start Of Image)、EOI(End Of Image)などの単独マーカと、APP0、SOF0(Start Of Frame type0)、SOS(Start Of Scan)などのマーカと付加情報からなるマーカセグメントと、ユーザデータ領域と、画像本体である符号化セグメントから構成される。
【0021】
図6(b)には、本発明の一実施例に係る暗号化後のJPEG画像データのフォーマット構成の一例を示してある。ここで、図6(b)に示すように、本実施例では、JPEGの符号化画像データのうち、符号化セグメントに対してのみ暗号化を行う。そして、暗号化に使用した暗号化鍵に対応する鍵IDをユーザデータ領域に埋め込む。なお、暗号化を行う部分は符号化セグメントのみに限られないことは言うまでもない。
【0022】
図7には、本発明の一実施例に係るユーザデータの一例を示す。本実施例では、例えば、上述した鍵IDの他に、MACアドレスや監視端末1のカメラ番号や、撮影年月日、時刻等の情報がユーザデータとしてユーザデータ領域に書き込まれる。
【0023】
次に、図8を参照して本発明の一実施例に係る記録画像の再生表示を行う場合の画像配信システムの動作例について説明する。
監視端末1は、監視映像の画像データを暗号化する際、暗号化に使用した暗号鍵の鍵IDをユーザデータ領域に格納する。図8に示すように、記録画像の再生表示の場合、表示端末5は、まず、画像サーバ4に記録画像の配信要求を行う(8a)。画像サーバ4は、表示端末5に要求された画像を配信する(8b)。表示端末5は、画像サーバ4から配信される暗号化された画像データの再生時、ユーザデータ領域に書き込まれた鍵IDを参照し、表示端末5がその鍵IDに対応する鍵データを保持していない場合、鍵管理サーバ3に監視端末1を識別する識別情報と暗号化に使用する鍵IDを送信する(8c)。鍵管理サーバ3は、要求された鍵を表示装置5に配信する(8d)。表示端末5は、画像再生時、ユーザデータ領域に書き込まれた鍵IDに対応し、鍵管理サーバ3から配信された鍵を使用して、暗号化された画像データを復号し、画像データの再生表示を行う。以下、同様に、画像サーバ4から表示端末5に対して画像の配信が行われる(8e、8f)。
【0024】
なお、上述した処理において、インターネット等のネットワーク2を介して鍵の配信や設定等を行う場合、メッセージはSSL等のセキュアなプロトコルを使用して暗号通信を行うが望ましい。また、表示装置5や管理端末6等のなりすましを防ぐため、必要に応じてSSL認証などの認証を行うことが望ましい。
【0025】
また、本実施例では、鍵IDは鍵と一意に対応する数字等から構成される。このことから、暗号鍵のハッシュ値を鍵IDとして使用してもよい。この場合、監視端末1や鍵管理サーバ3等は、暗号鍵のハッシュ値を求めるハッシュ値算出手段を備えるこことになる。ここで、ハッシュ値とは、与えられた原文から一方向関数であるハッシュ関数を使用して生成した固定長の擬似乱数である。ハッシュ値から原文を再現することはできず、また、同じハッシュ値を持つ異なるデータを作成することは極めて困難であるという特徴を有する。従って、鍵IDとしてハッシュ値を用いた場合、例えば、監視端末1や鍵管理サーバ3の双方又は一方では、鍵から鍵IDを導出できるため、鍵データだけを記憶しておいてもよい。なお、ハッシュ関数には、160ビットのハッシュ値を生成するSHA(Secure Hash Algorithm)−1等が知られている。
【0026】
以上のように、本実施例に係る画像配信システムでは、画像や音声などのデータを暗号化して伝送するに際して、暗号化及び又は復号化に使用する鍵情報を管理する鍵管理装置と、データを暗号化する暗号装置と、暗号データを復号する復号装置とから構成され、暗号装置は暗号化において、暗号データにそのデータの暗号化に対応する鍵情報を書き込み、復号装置は暗号データの復号において、暗号データに書き込まれた鍵情報を検索鍵として鍵管理装置から復号に必要な鍵情報を取得し、取得した鍵を使用して暗号データの復号を行う。
【0027】
従って、本実施例に関わる画像配信システムでは、画像や音声などのデータを暗号化して伝送するに際して、ユーザの鍵管理負荷を軽減し、適切な鍵の管理、配信を実現することができる。また、暗号鍵を更新しても、過去の暗号データの鍵を容易に取得できるため、システムにおける暗号データの記録保存を問題なく実現することができる。
【0028】
なお、本実施例では、画像配信システムは、監視端末1、鍵管理サーバ3、画像サーバ4、表示装置5、管理端末6は各々独立したハードウェアで実現される構成を示したが、他の構成例として、一つのハードウェアで複数の装置を実現するような構成等、種々な構成が用いられてもよい。
【0029】
ここで、本発明に係る画像配信システムや監視端末や表示装置などの構成としては、必ずしも以上に示したものに限られず、種々な構成が用いられてもよい。また、本発明は、例えば、本発明に係る処理を実行する方法或いは方式や、このような方法や方式を実現するためのプログラムや当該プログラムを記録する記録媒体などとして提供することも可能であり、また、種々な装置やシステムとして提供することも可能である。
【0030】
また、本発明の適用分野としては、必ずしも以上に示したものに限られず、本発明は、種々な分野に適用することが可能なものである。
また、本発明に係る画像配信システムや監視端末や表示装置などにおいて行われる各種の処理としては、例えばプロセッサやメモリ等を備えたハードウエア資源においてプロセッサがROM(Read Only Memory)に格納された制御プログラムを実行することにより制御される構成が用いられてもよく、また、例えば当該処理を実行するための各機能手段が独立したハードウエア回路として構成されてもよい。
【0031】
また、本発明は上記の制御プログラムを格納したフロッピー(登録商標)ディスクやCD(Compact Disc)−ROM等のコンピュータにより読み取り可能な記録媒体や当該プログラム(自体)として把握することもでき、当該制御プログラムを当該記録媒体からコンピュータに入力してプロセッサに実行させることにより、本発明に係る処理を遂行させることができる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施例に係る画像配信システムの構成例を示す図である。
【図2】本発明の一実施例に係る鍵IDと暗号鍵との対応テーブルの一例を示す図である。
【図3】本発明の一実施例に係る本発明の一実施例に係る画像配信システムの動作例を説明するための図である。
【図4】本発明の一実施例に係る暗号鍵登録処理の一例を説明するための図である。
【図5】本発明の一実施例に係るMPEG−4ストリームの暗号フォーマットの一例を説明するための図である。
【図6】本発明の一実施例に係るJPEG画像の暗号フォーマットの一例を説明するための図である。
【図7】本発明の一実施例に係るユーザデータの一例を示す図である。
【図8】本発明の一実施例に係る画像配信システムの動作例を説明するための図である。
【符号の説明】
【0033】
1:監視端末、2:ネットワーク、3:鍵管理サーバ、4:画像サーバ、5:表示装置、6:管理端末。
【技術分野】
【0001】
本発明は、暗号化対象となる画像データを暗号化する画像システムに関し、特に、暗号に係る鍵の管理を容易にすることができる画像配信システムに関する。
【背景技術】
【0002】
インターネットを利用したシステムにおいては、インターネット上での盗聴や改ざんの対策として、IPsec(Security Architecture for Internet Protocol)やSSL(Secure Socket Layer)等の伝送路暗号技術が適用されている。例えば、IPsecの仕様はRFC(Request for Comments)1825〜RFC1829に規定されている(非特許文献1)。
【非特許文献1】RFC1825〜RFC1829
【発明の開示】
【発明が解決しようとする課題】
【0003】
ここで、IPsecはネットワーク層における暗号技術、SSLはアプリケーション層における暗号技術である。IPsec、SSLは暗号処理のオーバヘッドが比較的大きく、例えば、防犯等を目的とする映像監視システムに適用して、監視映像を伝送する場合、フレームレートが低下するなどの課題がある。また、伝送路上における暗号技術であるため、記憶装置に保存すると暗号が解かれた状態になるため、情報漏洩対策を施すためには、別途暗号化するなどの処理が必要である。
【0004】
このような課題を解決するため、アプリケーションレベルで監視映像を暗号化して伝送し、暗号化したまま記録保存が可能な方式が本発明者らにより提案されている(特願2004-264611)。このような方式においては、記録保存された暗号化された画像データを復号して再生する場合にも、暗号化に使用した暗号鍵に対応する復号鍵が必要である。従って、監視端末の暗号鍵を変更した場合、変更前の記録画像を閲覧するには変更前の暗号鍵に対応する復号鍵を保存しておき、必要な時に取出せるように管理しておかなければならない。この場合、システムの規模が大きくなるに従い、使用する鍵の数が増大するため、暗号鍵と復号鍵を対応させる管理が複雑になり、ユーザへの管理負荷が増大するという課題がある。
【0005】
本発明は、このような従来の事情に鑑み為されたもので、暗号に係る鍵の管理を容易にすることができる画像配信システムを提供することを目的とする。
【課題を解決するための手段】
【0006】
上記目的を達成するため、本発明に係る画像配信システムは、画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる画像配信システムであって、前記送信装置は画像データのユーザデータ領域に前記鍵IDを挿入し、前記受信装置は暗号化画像データのユーザデータ領域から前記鍵IDを取り出し、該鍵IDに基づいて前記鍵管理サーバから対応する鍵を取得する。
【0007】
ここで、暗号化の手法としては、種々な手法が用いられてもよい。
また、上記目的を達成するため、本発明に係る画像配信システムは、画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵を管理する鍵管理サーバとからなる画像配信システムであって、前記送信装置及び前記鍵管理サーバは、前記鍵に基づいてハッシュ値を算出するハッシュ値算出手段を備え、前記送信装置は画像データのユーザデータ領域に前記ハッシュ値を挿入し、前記受信装置は暗号化画像データのユーザデータ領域から前記ハッシュ値を取り出し、該ハッシュ値に基づいて前記鍵管理サーバから対応する鍵を取得する。
【発明の効果】
【0008】
以上説明したように、本発明に係る画像配信システムによると、画像データの暗号化を行う送信装置と、送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる構成において、送信装置は画像データのユーザデータ領域に鍵IDを挿入し、受信装置は暗号化画像データのユーザデータ領域から鍵IDを取り出し、該鍵IDに基づいて鍵管理サーバから対応する鍵を取得するようにしたため、暗号に係る鍵の管理を容易にすることができる。
【発明を実施するための最良の形態】
【0009】
以下、本発明に係る一実施例を図面を参照して説明する。
図1には、本発明の一実施例に係る画像配信システムの構成例を示してある。
図1に示される画像配信システムは、ネットワーク2に接続された複数の監視端末1(1−1〜1−N)、鍵管理サーバ3、画像サーバ4、表示装置5、管理端末6から構成される。なお、以下では、暗号方式に暗号と復号で同一の鍵を使用する共通鍵方式を適用した場合を例に説明するが、暗号方式としては種々な方式が用いられてもよい。
【0010】
ここで、監視端末1は、例えば、店舗、家庭等に設置され、異常情報や、暗号化した画像情報、音声情報等をネットワーク2を介して表示装置5に伝送する装置である。例えば、WebカメラやWebエンコーダ等が本装置に該当する。ネットワーク2に伝送する異常情報、画像情報、音声情報などの暗号化に使用する鍵は、例えば、図2(a)に示すよう鍵IDと暗号鍵との対応テーブルの形式で格納される。
【0011】
鍵管理サーバ3は、監視端末1等が使用する暗号鍵情報を管理する。鍵情報は、例えば、図2(b)に示すように監視端末1等の鍵管理単位に鍵IDと暗号鍵との対応テーブルの形式で格納される。
【0012】
また、画像サーバ4は、監視端末1からの暗号化された画像情報等を記録保存し、表示装置5からの要求に応じて暗号化された画像情報等を配信する。表示装置5は、監視端末1で暗号化された画像情報等を復号し、再生表示する装置である。管理端末6は、システムの管理を行う装置である。
【0013】
次に、図3を参照して本発明の一実施例に係る画像配信システムの動作例について説明する。
監視端末1は、各種センサ等により異常が検出された場合、異常情報を表示装置5に通知する(3a)。通知メッセージには、監視端末1を識別する識別情報と暗号化に使用する暗号鍵に対応する鍵IDが付加される。表示装置5は、通知メッセージを受信すると鍵管理サーバ3に監視端末1を識別する情報と鍵IDを通知し、監視端末1から受信する情報の復号に必要な暗号鍵を鍵管理サーバ3に要求する(3b)。
【0014】
次に、鍵管理サーバ3は、要求された鍵を表示装置5に配信する(3c)。表示装置5は、監視端末1に監視映像の画像データの配信要求を行う(3d)。監視端末1は、暗号化した画像データを表示装置5に配信する(3e、3f)。表示装置5は、受信した暗号化された画像データを鍵管理サーバ3から配信された鍵で復号し、復号映像を表示する。
【0015】
次に、図4を参照して本発明の一実施例に係る監視端末1及び鍵管理サーバ3への暗号鍵登録処理について説明する。
管理端末6は、鍵管理サーバ3に鍵設定メッセージを送信する(4a)。鍵管理サーバ3は、鍵を変更する監視端末1に新しい暗号鍵と対応する鍵IDを、鍵データ設定メッセージとして監視端末1に送信する(4b)。監視端末1は、受信した鍵データ設定メッセージの新しい暗号鍵と対応する鍵IDをテーブルに登録し、鍵管理サーバ3に鍵データ設定完了メッセージを送信する(4c)。鍵管理サーバ3は、監視端末1より鍵データ設定完了メッセージを受信すると、新しい暗号鍵と対応する鍵IDをテーブルに登録し、管理端末6に鍵設定完了メッセージを送信する(4d)。
【0016】
ここで、表示装置5は、例えば、図3に示したようなリアルタイムの映像監視の他、画像サーバに記録された記録画像の再生表示を行う場合がある。この場合、画像の暗号化に使用した暗号鍵を使用する必要がある。以下では、暗号化された画像データに暗号化に使用した暗号鍵情報を書き込むことにより、暗号化された画像データの再生時に、対応する暗号鍵を入手する方法について説明する。
【0017】
一般に監視映像に適用されるMPEG(Motion Picture Experts Group)−4やJPEG(Joint Photographic Expert Group)等の画像符号化方式の符号化フォーマットにはユーザデータを格納できる領域が定義されている。MPEG−4ではGOV(Group of VOP)ヘッダの後、JPEGではAPP0(Application type0)マーカの後にユーザデータ領域を確保することができる。このユーザデータ領域に暗号化に使用した暗号鍵の鍵IDを書込み、画像データの暗号化に使用した鍵との対応を取れるよう構成する。
【0018】
図5には、本発明の一実施例に係るMPEG−4ストリームの暗号フォーマットの一例を示してある。
図5(a)には、MPEG−4のストリーム構成の概略を模式的に示してある。MPEG−4のストリーム構成の実際については、ISO/IEC 14496−2に規定されている通りであるが、概略を模式的に示すと、図5(a)に示すように、MPEG−4の符号化画像データは、video object start codeから始まるVO(Video Object)ヘッダ情報領域、videoobject layer start codeから始まるVOL(Video Object Layer)ヘッダ情報領域、groupvop start codesから始まるGOVヘッダ情報領域、アプリケーションに合わせてユーザが使用可能な領域であり、userdata start codeから始まるユーザデータ領域、vop start codeから始まるVOPヘッダ情報領域、フレームに相当する画像本体の符号化情報であるMB(Macro Block)符号化情報等から構成される。そして、図5(a)に示すように、ユーザデータ領域の後にはVOPヘッダとMBが繰り返し続く構成となっている。
【0019】
図5(b)には、本発明の一実施例に係る暗号化後のMPEG−4のストリーム構成の一例を示してある。図5(b)に示すように、本実施例では、MPEG−4のストリーム構成のうち、MBに対してのみ暗号化を行う。そして、暗号化に使用した暗号化鍵に対応する鍵IDをユーザデータ領域に埋め込む。なお、暗号化を行う部分はMBのみに限られないことは言うまでもない。
【0020】
図6には、本発明の一実施例に係るJPEG画像の暗号フォーマットの一例を示してある。
図6(a)には、JPEG画像データのフォーマット構成の概略を模式的に示してある。図6(a)に示すように、JPEG画像データは、SOI(Start Of Image)、EOI(End Of Image)などの単独マーカと、APP0、SOF0(Start Of Frame type0)、SOS(Start Of Scan)などのマーカと付加情報からなるマーカセグメントと、ユーザデータ領域と、画像本体である符号化セグメントから構成される。
【0021】
図6(b)には、本発明の一実施例に係る暗号化後のJPEG画像データのフォーマット構成の一例を示してある。ここで、図6(b)に示すように、本実施例では、JPEGの符号化画像データのうち、符号化セグメントに対してのみ暗号化を行う。そして、暗号化に使用した暗号化鍵に対応する鍵IDをユーザデータ領域に埋め込む。なお、暗号化を行う部分は符号化セグメントのみに限られないことは言うまでもない。
【0022】
図7には、本発明の一実施例に係るユーザデータの一例を示す。本実施例では、例えば、上述した鍵IDの他に、MACアドレスや監視端末1のカメラ番号や、撮影年月日、時刻等の情報がユーザデータとしてユーザデータ領域に書き込まれる。
【0023】
次に、図8を参照して本発明の一実施例に係る記録画像の再生表示を行う場合の画像配信システムの動作例について説明する。
監視端末1は、監視映像の画像データを暗号化する際、暗号化に使用した暗号鍵の鍵IDをユーザデータ領域に格納する。図8に示すように、記録画像の再生表示の場合、表示端末5は、まず、画像サーバ4に記録画像の配信要求を行う(8a)。画像サーバ4は、表示端末5に要求された画像を配信する(8b)。表示端末5は、画像サーバ4から配信される暗号化された画像データの再生時、ユーザデータ領域に書き込まれた鍵IDを参照し、表示端末5がその鍵IDに対応する鍵データを保持していない場合、鍵管理サーバ3に監視端末1を識別する識別情報と暗号化に使用する鍵IDを送信する(8c)。鍵管理サーバ3は、要求された鍵を表示装置5に配信する(8d)。表示端末5は、画像再生時、ユーザデータ領域に書き込まれた鍵IDに対応し、鍵管理サーバ3から配信された鍵を使用して、暗号化された画像データを復号し、画像データの再生表示を行う。以下、同様に、画像サーバ4から表示端末5に対して画像の配信が行われる(8e、8f)。
【0024】
なお、上述した処理において、インターネット等のネットワーク2を介して鍵の配信や設定等を行う場合、メッセージはSSL等のセキュアなプロトコルを使用して暗号通信を行うが望ましい。また、表示装置5や管理端末6等のなりすましを防ぐため、必要に応じてSSL認証などの認証を行うことが望ましい。
【0025】
また、本実施例では、鍵IDは鍵と一意に対応する数字等から構成される。このことから、暗号鍵のハッシュ値を鍵IDとして使用してもよい。この場合、監視端末1や鍵管理サーバ3等は、暗号鍵のハッシュ値を求めるハッシュ値算出手段を備えるこことになる。ここで、ハッシュ値とは、与えられた原文から一方向関数であるハッシュ関数を使用して生成した固定長の擬似乱数である。ハッシュ値から原文を再現することはできず、また、同じハッシュ値を持つ異なるデータを作成することは極めて困難であるという特徴を有する。従って、鍵IDとしてハッシュ値を用いた場合、例えば、監視端末1や鍵管理サーバ3の双方又は一方では、鍵から鍵IDを導出できるため、鍵データだけを記憶しておいてもよい。なお、ハッシュ関数には、160ビットのハッシュ値を生成するSHA(Secure Hash Algorithm)−1等が知られている。
【0026】
以上のように、本実施例に係る画像配信システムでは、画像や音声などのデータを暗号化して伝送するに際して、暗号化及び又は復号化に使用する鍵情報を管理する鍵管理装置と、データを暗号化する暗号装置と、暗号データを復号する復号装置とから構成され、暗号装置は暗号化において、暗号データにそのデータの暗号化に対応する鍵情報を書き込み、復号装置は暗号データの復号において、暗号データに書き込まれた鍵情報を検索鍵として鍵管理装置から復号に必要な鍵情報を取得し、取得した鍵を使用して暗号データの復号を行う。
【0027】
従って、本実施例に関わる画像配信システムでは、画像や音声などのデータを暗号化して伝送するに際して、ユーザの鍵管理負荷を軽減し、適切な鍵の管理、配信を実現することができる。また、暗号鍵を更新しても、過去の暗号データの鍵を容易に取得できるため、システムにおける暗号データの記録保存を問題なく実現することができる。
【0028】
なお、本実施例では、画像配信システムは、監視端末1、鍵管理サーバ3、画像サーバ4、表示装置5、管理端末6は各々独立したハードウェアで実現される構成を示したが、他の構成例として、一つのハードウェアで複数の装置を実現するような構成等、種々な構成が用いられてもよい。
【0029】
ここで、本発明に係る画像配信システムや監視端末や表示装置などの構成としては、必ずしも以上に示したものに限られず、種々な構成が用いられてもよい。また、本発明は、例えば、本発明に係る処理を実行する方法或いは方式や、このような方法や方式を実現するためのプログラムや当該プログラムを記録する記録媒体などとして提供することも可能であり、また、種々な装置やシステムとして提供することも可能である。
【0030】
また、本発明の適用分野としては、必ずしも以上に示したものに限られず、本発明は、種々な分野に適用することが可能なものである。
また、本発明に係る画像配信システムや監視端末や表示装置などにおいて行われる各種の処理としては、例えばプロセッサやメモリ等を備えたハードウエア資源においてプロセッサがROM(Read Only Memory)に格納された制御プログラムを実行することにより制御される構成が用いられてもよく、また、例えば当該処理を実行するための各機能手段が独立したハードウエア回路として構成されてもよい。
【0031】
また、本発明は上記の制御プログラムを格納したフロッピー(登録商標)ディスクやCD(Compact Disc)−ROM等のコンピュータにより読み取り可能な記録媒体や当該プログラム(自体)として把握することもでき、当該制御プログラムを当該記録媒体からコンピュータに入力してプロセッサに実行させることにより、本発明に係る処理を遂行させることができる。
【図面の簡単な説明】
【0032】
【図1】本発明の一実施例に係る画像配信システムの構成例を示す図である。
【図2】本発明の一実施例に係る鍵IDと暗号鍵との対応テーブルの一例を示す図である。
【図3】本発明の一実施例に係る本発明の一実施例に係る画像配信システムの動作例を説明するための図である。
【図4】本発明の一実施例に係る暗号鍵登録処理の一例を説明するための図である。
【図5】本発明の一実施例に係るMPEG−4ストリームの暗号フォーマットの一例を説明するための図である。
【図6】本発明の一実施例に係るJPEG画像の暗号フォーマットの一例を説明するための図である。
【図7】本発明の一実施例に係るユーザデータの一例を示す図である。
【図8】本発明の一実施例に係る画像配信システムの動作例を説明するための図である。
【符号の説明】
【0033】
1:監視端末、2:ネットワーク、3:鍵管理サーバ、4:画像サーバ、5:表示装置、6:管理端末。
【特許請求の範囲】
【請求項1】
画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる画像配信システムであって、
前記送信装置は画像データのユーザデータ領域に前記鍵IDを挿入し、
前記受信装置は暗号化画像データのユーザデータ領域から前記鍵IDを取り出し、該鍵IDに基づいて前記鍵管理サーバから対応する鍵を取得する、
ことを特徴とする画像配信システム。
【請求項2】
画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵を管理する鍵管理サーバとからなる画像配信システムであって、
前記送信装置及び前記鍵管理サーバは、前記鍵に基づいてハッシュ値を算出するハッシュ値算出手段を備え、
前記送信装置は画像データのユーザデータ領域に前記ハッシュ値を挿入し、
前記受信装置は暗号化画像データのユーザデータ領域から前記ハッシュ値を取り出し、該ハッシュ値に基づいて前記鍵管理サーバから対応する鍵を取得する、
ことを特徴とする画像配信システム。
【請求項1】
画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵と鍵IDを管理する鍵管理サーバとからなる画像配信システムであって、
前記送信装置は画像データのユーザデータ領域に前記鍵IDを挿入し、
前記受信装置は暗号化画像データのユーザデータ領域から前記鍵IDを取り出し、該鍵IDに基づいて前記鍵管理サーバから対応する鍵を取得する、
ことを特徴とする画像配信システム。
【請求項2】
画像データの暗号化を行う送信装置と、前記送信装置から暗号化画像データを取得して暗号の復号化を行う受信装置と、暗号に係る鍵を管理する鍵管理サーバとからなる画像配信システムであって、
前記送信装置及び前記鍵管理サーバは、前記鍵に基づいてハッシュ値を算出するハッシュ値算出手段を備え、
前記送信装置は画像データのユーザデータ領域に前記ハッシュ値を挿入し、
前記受信装置は暗号化画像データのユーザデータ領域から前記ハッシュ値を取り出し、該ハッシュ値に基づいて前記鍵管理サーバから対応する鍵を取得する、
ことを特徴とする画像配信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2006−352265(P2006−352265A)
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願番号】特願2005−172701(P2005−172701)
【出願日】平成17年6月13日(2005.6.13)
【出願人】(000001122)株式会社日立国際電気 (5,007)
【Fターム(参考)】
【公開日】平成18年12月28日(2006.12.28)
【国際特許分類】
【出願日】平成17年6月13日(2005.6.13)
【出願人】(000001122)株式会社日立国際電気 (5,007)
【Fターム(参考)】
[ Back to top ]