監視システム
【課題】監視データのみならず再生用アプリケーション・プログラムに対する改ざんについても検出可能とする。
【解決手段】映像蓄積装置2からクライアント端末3へ映像データを配信する際に、映像蓄積装置2において上記映像データとこの映像データを再生するためのダウンロード映像再生用ソフトに対しそれぞれ共通の秘密鍵を用いて生成した署名を付加すると共に公開鍵のフィンガプリントを付加して配信する。クライアント端末3では上記映像データとその署名、ダウンロード映像再生用ソフトとその署名及びフィンガプリントを一組にしてフォルダに保存する。そして、上記映像データを、他のクライアント端末10に移して再生しようとする場合に、クライアント端末10において先ず上記ダウンロード映像再生用ソフトの署名を検証し、その正当性が確認されたとき映像データの署名を検証し再生する。
【解決手段】映像蓄積装置2からクライアント端末3へ映像データを配信する際に、映像蓄積装置2において上記映像データとこの映像データを再生するためのダウンロード映像再生用ソフトに対しそれぞれ共通の秘密鍵を用いて生成した署名を付加すると共に公開鍵のフィンガプリントを付加して配信する。クライアント端末3では上記映像データとその署名、ダウンロード映像再生用ソフトとその署名及びフィンガプリントを一組にしてフォルダに保存する。そして、上記映像データを、他のクライアント端末10に移して再生しようとする場合に、クライアント端末10において先ず上記ダウンロード映像再生用ソフトの署名を検証し、その正当性が確認されたとき映像データの署名を検証し再生する。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、例えば施設や河川等の状態をカメラ等を用いて遠隔監視する監視システムに関する。
【背景技術】
【0002】
遠隔監視システムは、例えば監視対象の複数のサイトにネットワークカメラ等の撮像装置を配置し、これらの撮像装置で撮像された時系列の監視映像データを映像蓄積装置で受信して蓄積する。そして、クライアント端末からの配信要求に応じて、上記映像蓄積装置が該当する監視映像データを読み出して上記要求元のクライアント端末へ配信し、当該クライアント端末において上記配信された監視映像データを再生するように構成される(例えば、特許文献1を参照。)。
【特許文献1】特開2005−143016号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、最近監視データの改ざんを防止してその正当性を維持するために、監視データに署名やメッセージ認証コードなどの認証情報を付加する対策が採られている。しかしながら、仮に悪意を持つ第三者が、クライアント端末にインストールされている監視データ再生用のアプリケーション・プログラムを他の端末にコピーし、その際当該プログラムが有している監視データに対する認証チェック機能を無効にしたとすると、上記他の端末では監視データの改ざんチェックが行われないことになり、その結果監視データの正当性が担保されなくなる。
【0004】
この発明は上記事情に着目してなされたもので、その目的とするところは、監視データのみならず監視データ再生用のアプリケーション・プログラムに対する改ざんも検出可能とした監視システムを提供することにある。
【課題を解決するための手段】
【0005】
上記目的を達成するためにこの発明の一観点は、監視データを蓄積する監視データ蓄積装置と、この監視データ蓄積装置から通信ネットワークを介して配信された監視データを受信し再生する端末装置とを備える監視システムにあって、
上記監視データ蓄積装置において、上記監視データ及び当該監視データを再生するために使用するアプリケーション・プログラムに対しそれぞれ第1の鍵情報を用いて生成される認証情報を付加し、この認証情報が付加された監視データ及び再生用アプリケーション・プログラムを上記通信ネットワークを介して上記端末装置へ送信する。
【0006】
一方、上記端末装置においては、上記監視データ蓄積装置から送信された、上記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを受信しメモリに記憶すると共に、上記第1の鍵情報に対応する第2の鍵情報を取得する。そして、上記受信された監視データの再生に先立ち、上記メモリに記憶された再生用アプリケーション・プログラムに付加された認証情報に対し、上記第2の鍵情報をもとに第1の検証処理を行い、この第1の検証処理の結果、上記再生用アプリケーション・プログラムに対する正当性が確認された場合に、上記記憶された監視データに付加された認証情報に対し、上記第2の鍵情報をもとに第2の検証処理を行い、この第2の検証処理の結果上記監視データに対する正当性が確認された場合に、上記再生用アプリケーション・プログラムにより当該監視データの再生処理を実行するように構成したものである。
【発明の効果】
【0007】
したがってこの発明によれば、端末装置が監視データを再生する際には、先ず当該監視データと共に監視データ蓄積装置からダウンロードされた再生用アプリケーション・プログラムに対し署名またはメッセージ認証コード等の認証情報を用いた検証処理が行われる。そして、この検証の結果再生用アプリケーション・プログラムの正当性が確認された場合にのみ上記監視データの署名が検証され、その正当性が確認された場合に、上記再生用アプリケーション・プログラムにより上記監視データの再生が行われる。このため、仮に悪意を持つ第三者が、再生用アプリケーション・プログラムを改ざんした上で他の端末に移して監視データを再生しようとしても、再生用アプリケーション・プログラムに対する検証処理により改ざんが認められた場合には監視データに対する認証チェックが行われず、その結果監視データの再生は行われない。
【0008】
すなわち、監視データのみならず再生用アプリケーション・プログラムに対する改ざんについても検出可能とし、これにより再生用アプリケーション・プログラムの改ざんによる監視データの無制限な再生を確実に防止することが可能な監視システムを提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面を参照してこの発明の実施形態を説明する。
(第1の実施形態)
図1は、この発明に係わる監視システムの第1の実施形態を示す概略構成図である。この監視システムは、監視場所に設置されたネットワークカメラ1と、クライアントが使用するクライアント端末3と、これらのネットワークカメラ1及びクライアント端末3が通信ネットワーク4を介して接続される映像蓄積装置2とを備えている。
【0010】
ネットワークカメラ1はカメラ部と通信インタフェース部とを有し、監視対象をカメラ部により連続的に又は一定時間置きに撮像し、その映像データを通信インタフェース部により通信ネットワーク4を介して映像蓄積装置2へ送信する。
【0011】
映像蓄積装置2は例えば蓄積配信機能を有するサーバ装置からなり、上記ネットワークカメラ1から送られた映像データを映像記憶部5に記憶する。なお、映像蓄積装置2は他に映像記憶部6,7を有しており、このうち映像記憶部6には上記映像記憶部5に記憶された映像データのうち過去の映像データが転送されて蓄積され、また映像記憶部7には他のネットワークカメラから送られた映像データが記憶される。
【0012】
また映像蓄積装置2は、アプリケーション記憶部9を有しており、このアプリケーション記憶部9には、クライアント端末3が上記映像データをダウンロードして再生するために使用するアプリケーション・プログラム(以後、ダウンロード映像再生用ソフトと称する)が記憶されている。映像蓄積装置2は、クライアント端末3からの送信要求に応じて上記映像データを要求元のクライアント端末3へダウンロードする際に、上記ダウンロード映像再生用ソフトを併せてダウンロードする。
【0013】
クライアント端末3は例えばパーソナル・コンピュータからなり、上記映像蓄積装置2からダウンロードされた映像データ及びダウンロード映像再生用ソフトを対にしてフォルダに保存する。またクライアント端末3は、事前にインストールされた映像再生用のアプリケーション・プログラム(以後、再生ソフトと称する)を再生ソフト記憶部8に記憶しており、上記フォルダに記憶された映像データを当該再生ソフトにより再生する。
【0014】
なお、図中10は例えば第三者が使用するクライアント端末であり、再生ソフトが事前にインストールされていない。このクライアント端末10において上記監視映像データを再生する場合には、上記クライアント端末3から再生しようとする監視映像データと、この映像データに対応するダウンロード映像再生用ソフトとをロードする。そして、このロードしたダウンロード映像再生用ソフトについて署名の検証を行った上で、当該ロードしたダウンロード映像再生用ソフトを用いて映像データを再生する。
【0015】
図2は、上記映像蓄積装置2及びクライアント端末3の、この発明に係わる要部の機能構成を示すブロック図である。現実のシステムでは映像蓄積装置2は複数台用いられるので、同図では複数の映像蓄積装置21〜2Nを例示している。なお、映像蓄積装置21〜2Nの構成は同一なので、ここでは映像蓄積装置21のみについて説明する。
【0016】
映像蓄積装置21は、署名生成部211,221及び配信部231を備える。署名生成部221は、配信対象の監視映像データに対しディジタル署名を付加するもので、記憶部5〜7から選択的に読み出された映像データStream(1) のハッシュ値を算出し、この算出されたハッシュ値を予め用意された秘密鍵S_key(1) を用いて暗号化することにより署名Stream_Sig(1) を生成する。署名生成部211は、ダウンロード映像再生用ソフトに対しディジタル署名を付加するもので、ソフト記憶部9から読み出されたダウンロード映像再生用ソフトSoft(1) のハッシュ値を求め、この算出されたハッシュ値を上記映像データの署名を生成するために使用した秘密鍵と同一の秘密鍵S_key(1) を用いて暗号化することにより署名Soft_Sig(1) を生成する。
【0017】
配信部231は、上記署名生成部221により生成された署名Stream_Sig(1) を映像データStream(1) に付加すると共に、上記署名生成部211により生成された署名Soft_Sig(1) をダウンロード映像再生用ソフトSoft(1) に付加する。そして、それぞれ署名Stream_Sig(1) ,Soft_Sig(1) が付加された映像データStream(1) 及びダウンロード映像再生用ソフトSoft(1) を、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) のハッシュ値(フィンガプリント)FPを付加フィンガプリントFPと共に、要求元のクライアント端末3へ向け配信する。
【0018】
クライアント端末3は、再生ソフト記憶部8と、ダウンロードデータの記憶部31を備えている。ダウンロードデータの記憶部31は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には映像データがダウンロードされるごとに作成された複数のフォルダFD(1) 〜FD(N) が設けられる。これらのフォルダFD(1) 〜FD(N) にはそれぞれ、映像蓄積装置21〜2Nからダウンロードされた映像データとその署名、ダウンロード映像再生用ソフトとその署名、及びフィンガプリントFPが一組として保存される。
【0019】
一方、再生ソフトを有していないクライアント端末10は、以下のように構成される。図3はその機能構成を示すブロック図である。すなわち、このクライアント端末10は、ダウンロードデータの記憶部101を備えている。この記憶部101は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には上記クライアント端末3から例えばUSBメモリを用いて映像データ等が移されるごとに作成された複数のフォルダFD(1) 〜FD(N) と、鍵フォルダFDKが設けられる。上記フォルダFD(1) 〜FD(N) にはそれぞれ、上記クライアント端末3から移された映像データとその署名、ダウンロード映像再生用ソフトとその署名、及びフィンガプリントFPが一組として保存される。また鍵フォルダFDKには、記録ディスクDK1から読み込んだ公開鍵P_key(1) 〜P_key(N) が保存される。
【0020】
なお、上記映像蓄積装置21〜2Nが署名を生成するために使用する秘密鍵S_key(1) 〜S_key(N) と、上記クライアント端末10が署名を検証するために使用する公開鍵P_key(1) 〜P_key(N) は、工場出荷時に監視システムのメーカが、或いは監視システムのシステム管理者が、鍵発行ツールを使用して発行する。そして、この発行された秘密鍵S_key(1) 〜S_key(N) 及び公開鍵P_key(1) 〜P_key(N) は、映像蓄積装置21〜2N内に設けられたセキュアなメモリに記憶される。一方、公開鍵P_key(1) 〜P_key(N) はCD−ROM等の記録ディスクDK1に書き込まれて、クライアント端末10内にインストールされる。
【0021】
次に、以上のように構成された監視システムの動作を説明する。
クライアント端末3から映像データの配信要求を受信すると、映像蓄積装置21は以下のように映像データの配信処理を実行する。図4はその処理手順と処理内容を示すフローチャートである。
【0022】
すなわち、映像蓄積装置21は先ずステップST41において、配信対象の映像データStream(1) を記憶部5〜7から選択的に読み出し、この読み出した映像データStream(1) のハッシュ値を計算する。そして、ステップST42により、上記計算された映像データStream(1) のハッシュ値を秘密鍵S_key(1) を用いて暗号化して、映像データStream(1) の署名Stream_Sig(1) を生成する。
【0023】
映像蓄積装置21は次に、ステップST43においてソフト記憶部9からダウンロード映像再生用ソフトSoft(1) を読み出し、この読み出したダウンロード映像再生用ソフトSoft(1) のハッシュ値を計算する。そして、ステップST44において、上記計算されたダウンロード映像再生用ソフトSoft(1) のハッシュ値を、上記映像データStream(1) の署名Stream_Sig(1) を生成するために用いた秘密鍵と同じ秘密鍵S_key(1) を用いて暗号化し、これによりダウンロード映像再生用ソフトSoft(1) の署名Soft_Sig(1) を生成する。
続いて映像蓄積装置21は、ステップST45において、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) を内部メモリから読み出す。そして、この公開鍵P_key(1) のハッシュ値を計算し、この計算されたハッシュ値をフィンガプリントFPとする。
【0024】
さて、そうして署名及びフィンガプリントの生成が終了すると映像蓄積装置21は、ステップST46において、上記生成された署名Stream_Sig(1) を映像データStream(1) に付加すると共に、署名Soft_Sig(1) をダウンロード映像再生用ソフトSoft(1) に付加する。そして、上記映像データStream(1)とその署名Stream_Sig(1)、ダウンロード映像再生用ソフトSoft(1)とその署名Soft_Sig(1) 、及び上記公開鍵P_key(1) のフィンガプリントFPを、要求元のクライアント端末3へ向け送信する。
【0025】
上記映像蓄積装置21から映像データ等が配信されると、クライアント端末3はダウンロードデータを保存するためのフォルダFD(1) を新たに作成する。そして、このフォルダFD(1) に、上記映像蓄積装置21から配信された、映像データStream(1) とその署名Stream_Sig(1) 、ダウンロード映像再生用ソフトSoft(1) とその署名Soft_Sig(1) 、及びフィンガプリントFPを、一組として保存する。
【0026】
以後同様に映像蓄積装置21は、クライアント端末3から映像データの配信要求が到来するごとに、映像データStream(1) 及びダウンロード映像再生用ソフトSoft(1) に対しそれぞれ共通の秘密鍵S_key(1) を用いて署名を付加し、さらに公開鍵のフィンガプリントを生成して、これらを一組として要求元のクライアント端末3へ向け送信する。一方、クライアント端末3は、上記映像蓄積装置21から配信された映像データ等を一組としてフォルダに保存する。なお、他の映像蓄積装置22〜2Nにおいても同様の動作が行われ、クライアント端末3では上記映像蓄積装置22〜2Nから配信された映像データ等がそれぞれ一組として別々のフォルダに保存される。
【0027】
さて、上記クライアント端末3に保存された映像データを、ユーザが再生ソフトがインストールされていない他のクライアント端末10で再生しようとする場合には、次のように行われる。
すなわち、ユーザは先ずクライアント端末3に保存された映像データ等をフォルダ単位で例えばUSBメモリに一旦記憶させ、このUSBメモリを介して上記映像データ等をクライアント端末10のフォルダに記憶させる。また、記録ディスクDK1に記録された公開鍵P_key(1) 〜P_key(N) を読み込んで、鍵フォルダFDK に保存させる。
【0028】
そして、この状態でユーザがクライアント端末10において映像データの再生操作を行ったとする。そうするとクライアント端末10では次のように再生制御が実行される。図5及び図6はその処理手順と処理内容を示すフローチャートである。
すなわち、クライアント端末10は先ずステップST51により、鍵フォルダFDKから公開鍵P_key(1) 〜P_key(N) を読み込む。そして、ステップST52により上記鍵フォルダFDKに公開鍵が保存されていたか否かを判定し、保存されていなければ図6のステップST64に移行して、ここで「公開鍵が見つかりませんでした」なるメッセージをディスプレイに表示させる。
【0029】
これに対し、上記鍵フォルダFDKに公開鍵が保存されていたとする。この場合クライアント端末10はステップST53に移行し、読み込んだ公開鍵P_key(1)〜P_key(N)の各々についてそのハッシュ値を計算する。つまり、公開鍵P_key(1)〜P_key(N)の各フィンガプリントを求める。
【0030】
次にクライアント端末10は、ステップST54において再生対象の映像データが保存されたフォルダFD(1) からフィンガプリントFPを読み出し、この読み出したフィンガプリントFPを上記計算により求めた各フィンガプリントと比較する。そして、計算により求めた各フィンガプリントの中に上記読み出したフィンガプリントFPと一致するフィンガプリントがあるか否かを判定する。
【0031】
この判定の結果、一致するフィンガプリントが見つからなければ、図6に示すステップST52に移行し、ここで上記鍵フォルダFDKに保存された公開鍵は前記映像データの署名生成に使用した秘密鍵と対をなすものではないと判断し、ステップST63により「公開鍵が正しくない可能性があります、正しい鍵を設定してください。」なるメッセージをディスプレイに表示させる。
【0032】
一方、上記計算により求めた各フィンガプリントの中に、上記読み出したフィンガプリントFPと一致するフィンガプリントが見つかったとする。そうするとクライアント端末10は、ダウンロード映像再生用ソフトの署名検証処理を次のように実行する。
すなわち、先ずステップST55において、再生対象の映像データが保存されたフォルダFD(1) からダウンロード映像再生用ソフトSoft(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST56において、上記再生対象の映像データが保存されたフォルダFD(1) からダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) を読み出し、この署名Soft_Sig(1) を上記フィンガプリントが一致した公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST57により上記値Aと値Bが一致するか否かを判定する。
【0033】
この判定の結果、一致しなければステップST60に移行し、上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) は無効と判断する。そして、ステップST61に移行して、ここで「再生ソフトが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの署名検証処理に移行せずにそのまま制御を終了する。
【0034】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10は、ステップST58により上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) は有効と判断し、ステップST59に移行してここで「再生ソフトの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。
【0035】
上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) の正当性が確認されると、クライアント端末10は次に映像データStream(1) の署名検証処理を実行する。
すなわち、先ず図6に示すステップST65において、フォルダFD(1) から再生対象の映像データStream(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST66において、上記フォルダFD(1) から再生対象の映像データStream(1) に付加された署名Stream_Sig(1) を読み出し、この署名Stream_Sig(1) を上記フィンガプリントが一致した公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST67により上記値Aと値Bが一致するか否かを判定する。
【0036】
この判定の結果、一致しなければステップST70に移行し、上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は無効と判断する。そして、ステップST71に移行して、ここで「映像データが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの再生処理を行わずにそのまま制御を終了する。
【0037】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10は、ステップST68により上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は有効と判断し、ステップST69に移行してここで「映像データの改ざんはありませんでした。」なるメッセージを生成してディスプレイに表示させる。そして、クライアント端末10は以後、上記再生対象の映像データStream(1) の再生処理を実行する。かくして、クライアント端末10のディスプレイには上記再生対象の映像データStream(1) が表示され、ユーザはこの表示を視認することにより監視対象の様子を確認することが可能となる。
【0038】
以上述べたように第1の実施形態では、映像蓄積装置21〜2Nからクライアント端末3へ映像データを配信する際に、映像蓄積装置2において上記映像データとこの映像データを再生するためのダウンロード映像再生用ソフトに対しそれぞれ共通の秘密鍵を用いて生成した署名を付加すると共に公開鍵のフィンガプリントを付加して配信し、クライアント端末3では上記配信された映像データとその署名、ダウンロード映像再生用ソフトとその署名及びフィンガプリントを一組にしてフォルダに保存する。そして、上記配信された映像データを、再生ソフトがインストールされていない他のクライアント端末10に移して再生しようとする場合に、クライアント端末10において先ず上記ダウンロード映像再生用ソフトの署名を検証し、その正当性が確認された場合に映像データの署名を検証して再生を行うようにしている。
【0039】
したがって、再生ソフトがインストールされていないクライアント端末10が映像データを再生する際には、先ず当該映像データと共にダウンロードされたダウンロード映像再生用ソフトの署名が検証され、その結果ダウンロード映像再生用ソフトの正当性が確認された場合にのみ映像データの署名検証が行われ、その正当性が確認された場合に当該映像データが上記ダウンロード映像再生用ソフトにより再生される。このため、仮に悪意を持つ第三者が、ダウンロード映像再生用ソフトを改ざんした上で他のクライアント端末10において映像データを再生しようとしても、映像データの再生は行われない。すなわち、映像データのみならずダウンロード映像再生用ソフトに対する改ざんについても検出可能とし、これによりダウンロード映像再生用ソフトの改ざんによる映像データの無制限な再生を確実に防止することができる。
【0040】
(第2の実施形態)
この発明の第2の実施形態は、次のように構成したことを特徴とするものである。
すなわち、ダウンロード映像再生用ソフトにソフト用秘密鍵を用いて生成した署名を付加すると共に、当該ソフト用秘密鍵と対をなす公開鍵のフィンガプリントを生成し、この署名が付加されたダウンロード映像再生ソフト及びフィンガプリントを映像蓄積装置に提供する。
【0041】
映像蓄積装置は、クライアント端末に映像データを配信する際に、映像データに対しデータ用秘密鍵を用いて生成した署名を付加すると共に、このデータ用秘密鍵と対をなす公開鍵のフィンガプリントを生成し、これらをクライアント端末へ配信する。また映像蓄積装置は、最初の映像データ配信時にのみ、上記署名が既に付加されたダウンロード映像再生ソフト及びフィンガプリントを配信する。
【0042】
再生ソフトがインストールされていない他のクライアント端末は、上記配信された映像データ再生する際に、先ず工場から提供されたソフト用公開鍵を用いてダウンロード映像再生用ソフトの署名を検証する。そして、その正当性が確認された場合に、データ用公開鍵を用いて映像データの署名を検証し、その正当性が確認された場合に上記ダウンロード映像再生用ソフトを用いて映像データを再生する。
【0043】
図7は、上記映像蓄積装置2′及びクライアント端末3′のこの発明に係わる要部の機能構成を示すブロック図である。現実のシステムでは映像蓄積装置2′は複数台用いられるので、同図では複数の映像蓄積装置21′〜2N′を例示している。なお、映像蓄積装置21′〜2N′の構成は同一なので、ここでは映像蓄積装置21′のみについて説明する。
【0044】
映像蓄積装置21′は、データ用の署名生成部241及び配信部251を備える。データ用の署名生成部241は、配信対象の監視映像データに対し署名を付加するもので、記憶部5〜7から選択的に読み出された映像データStream(1) のハッシュ値を算出し、この算出されたハッシュ値を予め用意されたデータ用秘密鍵S_key(1) を用いて暗号化することにより署名Stream_Sig(1) を生成する。また、映像蓄積装置21′のソフト記憶部9には、工場において予め署名Soft_Sigが付加されたダウンロード映像再生用ソフトSoftと、当該署名Soft_Sigを生成するために使用したソフト用秘密鍵S_key_Softと対をなす公開鍵P_key_SoftのフィンガプリントFP_softが記憶されている。
【0045】
配信部251は、上記署名生成部241により生成された署名Stream_Sig(1) を映像データStream(1) に付加する。また、上記データ用秘密鍵S_key(1) と対をなす公開鍵P_key(1) のハッシュ値(フィンガプリント)FP(1) を計算する。そして、上記署名Stream_Sig(1)が付加された映像データStream(1) 及びそのフィンガプリントFP(1) と、上記ソフト記憶部9に記憶された署名Soft_Sig付のダウンロード映像再生用ソフトSoft及びフィンガプリントFP_softを、要求元のクライアント端末3′へ向け配信する。
【0046】
クライアント端末3′は、再生ソフト記憶部8と、ダウンロードデータの記憶部31′を備えている。ダウンロードデータの記憶部31′は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には映像データがダウンロードされるごとに作成された複数のフォルダFD(1) 〜FD(N) が設けられる。これらのフォルダFD(1) 〜FD(N) にはそれぞれ、映像蓄積装置21′〜2N′からダウンロードされた映像データとその署名及びフィンガプリントが保存される。また上記記憶部31′の記憶媒体には、再生ソフト用フォルダFDSが設けられる。この再生ソフト用フォルダFDSには、上記映像蓄積装置21′〜2N′から映像データと共に配信された、ダウンロード映像再生用ソフトSoftとその署名Soft_Sig及びフィンガプリントFP_softが一組として保存される。
【0047】
一方、再生ソフトを有していないクライアント端末10′は、以下のように構成される。図8はその機能構成を示すブロック図である。すなわち、このクライアント端末10′は、ダウンロードデータの記憶部101′を備えている。この記憶部101′は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には上記クライアント端末3から例えばUSBメモリを用いて映像データ等が移されるごとに作成される複数のデータ用のフォルダFD(1) 〜FD(N) と、再生ソフト用のフォルダFDSと、鍵フォルダFDKが記憶される。上記データ用のフォルダFD(1) 〜FD(N) にはそれぞれ、クライアント端末3′から移された映像データとその署名及びフィンガプリントが一組として保存される。また再生ソフト用のフォルダFDSには、上記クライアント端末3′から移されたダウンロード映像再生用ソフトSoftとその署名Soft_Sig及びフィンガプリントFP_softが一組として保存される。鍵フォルダFDK には、記録ディスクDK2から読み込んだ、ソフト用公開鍵P_key_softと、データ用公開鍵P_key(1) 〜P_key(N) が保存される。
【0048】
なお、署名Soft_Sig付ダウンロード映像再生用ソフトSoftと、公開鍵P_key_SoftのフィンガプリントFP_softは、工場において以下のように作成される。図9はその処理手順と処理内容を示す図である。
すなわち、工場には署名付加装置11が用意されている。署名付加装置11は、署名生成部111と、合成部121とを備える。署名生成部111は、ダウンロード映像再生用ソフトSoftのハッシュ値を算出し、この算出されたハッシュ値を予め用意されたソフト用秘密鍵S_key_Softを用いて暗号化することにより署名Soft_Sigを生成する。また、署名Soft_Sigを生成するために使用したソフト用秘密鍵S_key_Softと対をなす公開鍵P_key_Softのハッシュ値を算出し、この算出されたハッシュ値をソフト用のフィンガプリントFP_softとする。
【0049】
合成部121は、上記署名生成部111により生成された署名Soft_Sigをダウンロード映像再生用ソフトSoftに付加し、さらにこれに上記ソフト用秘密鍵S_key_Soft と対をなすソフト用公開鍵P_key_SoftのフィンガプリントFP_softを付加する。そして、映像蓄積装置21′〜2N′の出荷時に、上記署名Soft_Sigが付加されたダウンロード映像再生用ソフトSoftと、ソフト用公開鍵P_key_SoftのフィンガプリントFP_softを一組として、映像蓄積装置21′〜2N′のソフト記憶部9に格納する。
【0050】
また工場では、上記ソフト用公開鍵P_key_Softと、映像蓄積装置21′〜2N′が映像データに署名を付加するために使用するデータ用秘密鍵S_key(1) 〜S_key(N) と対をなす公開鍵P_key(1) 〜P_key(N) をCD−ROM等の記録ディスクDK2に書き込み、この記録ディスクDK2をユーザに頒布する。
【0051】
次に、以上のように構成された監視システムの動作を説明する。
クライアント端末3′から映像データの配信要求を受信すると、映像蓄積装置21′は以下のように映像データの配信処理を実行する。図10はその処理手順と処理内容を示すフローチャートである。
【0052】
すなわち、映像蓄積装置21′は先ずステップST101において、配信対象の映像データStream(1) を記憶部5〜7から選択的に読み出し、この読み出した映像データStream(1) のハッシュ値を計算する。そして、ステップST102により、上記計算された映像データStream(1) のハッシュ値を秘密鍵S_key(1) を用いて暗号化して、映像データStream(1) の署名Stream_Sig(1) を生成する。映像蓄積装置21′は次に、ステップST103において、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) を内部メモリから読み出す。そして、この公開鍵P_key(1) のハッシュ値を計算し、この計算されたハッシュ値をフィンガプリントFP(1) とする。
【0053】
さて、そうして映像データStream(1) に対する署名Stream_Sig(1) 及びフィンガプリントFP(1) の生成が終了すると映像蓄積装置21′は、ステップST104において、上記生成された署名Stream_Sig(1) 及びフィンガプリントFP(1)を映像データStream(1) に付加する。そして、この署名Stream_Sig(1) 及びフィンガプリントFP(1) が付加された映像データStream(1) と、ソフト記憶部9から読み出した、署名Soft_Sig及びフィンガプリントFP_softが付加されたダウンロード映像再生用ソフトSoftを、要求元のクライアント端末3′へ向け送信する。
【0054】
上記映像蓄積装置21′から映像データ等が配信されると、クライアント端末3′はダウンロードデータを保存するためのフォルダFD(1) を新たに作成する。そして、このフォルダFD(1) に、上記映像蓄積装置21′から配信された、映像データStream(1) とその署名Stream_Sig(1) 及びフィンガプリントFP(1) を格納する。また、同時に映像蓄積装置21′から配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softを、再生ソフト用のフォルダFDSに格納する。
【0055】
以後同様に映像蓄積装置21′は、クライアント端末3′から映像データの配信要求が到来するごとに、映像データStream(1) に対しデータ用秘密鍵S_key(1) を用いて署名Stream_Sig(1)を付加し、さらにそれに対応する公開鍵P_Key(1) のフィンガプリントFP(1) を生成して、これらを一組として要求元のクライアント端末3′へ向け送信する。一方、クライアント端末3′は、上記映像蓄積装置21′から配信された映像データStream(1) とその署名Stream_Sig(1) 及びフィンガプリントFP(1) を一組としてフォルダFD(1) に保存する。
【0056】
また、他の映像蓄積装置22′〜2N′においても同様に、映像データStream(2)〜Stream(N)に署名Stream_Sig(2)〜Stream_Sig(N)及びフィンガプリントFP(2)〜FP(N)が付加されて、これらが一組として要求元のクライアント端末3′へ配信される。クライアント端末3′では、上記映像蓄積装置22′〜2N′から配信された映像データStream(2)〜Stream(N)とその署名Stream_Sig(2)〜Stream_Sig(N)及びフィンガプリントFP(2)〜FP(N)がそれぞれ一組として別々のフォルダFD(2) 〜FD(N) に保存される。
【0057】
すなわち、配信元が映像蓄積装置21′であっても、また他の映像蓄積装置22′〜2N′であっても、上記2回目以降の映像データを配信する場合には、再生ソフト用のフォルダFDSには1回目の映像データ配信のときに配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softが既に格納されているため、ダウンロード映像再生用ソフトSoft は配信されない。
【0058】
さて、上記クライアント端末3′に保存された映像データを、ユーザが再生ソフトがインストールされていない他のクライアント端末10′で再生しようとする場合には、次のように行われる。
すなわち、ユーザは先ずクライアント端末3′の記憶部31′に保存された映像データを、フォルダ単位で例えばUSBメモリを用いてクライアント端末10′のデータ用のフォルダに移す。またそれと共に、クライアント端末3′の再生ソフト用のフォルダFDS に格納されているダウンロード映像再生用ソフトSoft を、同様にUSBメモリを用いてクライアント端末10′の再生ソフト用のフォルダFDS に移す。さらに、記録ディスクDK2に記録されたソフト用公開鍵P_key_Soft及び公開鍵P_key(1) 〜P_key(N) を読み込んで、鍵フォルダFDKに保存させる。
【0059】
そして、この状態でユーザがクライアント端末10′において映像データの再生操作を行ったとする。そうするとクライアント端末10′では次のように再生制御が実行される。図11及び図12はその処理手順と処理内容を示すフローチャートである。
すなわち、クライアント端末10′は先ずステップST111により、鍵フォルダFDKからソフト用公開鍵P_key_Softを読み込む。そして、ステップST112により上記鍵フォルダFDKにソフト用公開鍵P_key_Softが保存されていたか否かを判定し、保存されていなければ図12のステップST124に移行して、ここで「公開鍵が見つかりませんでした」なるメッセージをディスプレイに表示させる。
【0060】
これに対し、上記鍵フォルダFDKにソフト用公開鍵P_key_Softが保存されていたとする。この場合クライアント端末10′はステップST113に移行し、読み込んだソフト用公開鍵P_key_Softについてそのハッシュ値を計算する。つまり、ソフト用公開鍵P_key_Softのフィンガプリントを求める。
【0061】
次にクライアント端末10′は、ステップST114において再生ソフト用のフォルダFDSからフィンガプリントFP_softを読み出し、この読み出したフィンガプリントFP_softを上記計算により求めた各フィンガプリントと比較する。そして、計算により求めたフィンガプリントが上記読み出したフィンガプリントFP_soft と一致するか否かを判定する。
【0062】
この判定の結果、フィンガプリントが一致しなければ、図12に示すステップST122に移行し、ここで上記鍵フォルダFDKに保存されたソフト用公開鍵P_key_Softは前記ダウンロード映像再生ソフトSoftの署名生成に使用した秘密鍵S_Key_Softと対をなすものではないと判断し、ステップST123により「公開鍵が正しくない可能性があります、正しい鍵を設定してください」なるメッセージをディスプレイに表示させる。
【0063】
一方、上記計算により求めたフィンガプリントが上記読み出したフィンガプリントFP_softと一致したとする。そうするとクライアント端末10′は、ダウンロード映像再生用ソフトSoftの署名検証処理を次のように実行する。
すなわち、先ずステップST115において、再生ソフト用のフォルダFDSからダウンロード映像再生用ソフトSoftを読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST116において、上記ダウンロード映像再生用ソフトSoftに付加された署名Soft_Sigを、上記公開鍵P_key_Softを用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST117により上記値Aと値Bが一致するか否かを判定する。
【0064】
この判定の結果、一致しなければステップST120に移行し、上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig は無効と判断する。そして、ステップST121に移行して、ここで「再生ソフトが改ざんされた可能性があります」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの署名検証処理に移行せずにそのまま制御を終了する。
【0065】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10′は、ステップST118により上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig は有効と判断し、ステップST119に移行してここで「再生ソフトの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。
【0066】
上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig の正当性が確認されると、クライアント端末10′は次に映像データStream(1) の署名検証処理を実行する。
すなわち、図12のステップST125において、映像蓄積装置21′からダウンロードした、映像用の公開鍵のフィンガプリントがクライアント端末10′が持っている公開鍵のフィンガプリント(最大N個)のどれと一致するかを調べる。そして、一致する場合には、図12のステップST126において、データ用のフォルダFD(1) から再生対象の映像データStream(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST127において、上記データ用のフォルダFD(1) から再生対象の映像データStream(1) に付加された署名Stream_Sig(1) を読み出し、この署名Stream_Sig(1) を上記フィンガプリントが一致したデータ用公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST128により上記値Aと値Bが一致するか否かを判定する。
【0067】
一方、上記ステップST125において、どれとも一致しなかった場合には、ステップST133に移行し、映像データの署名作成に用いた秘密鍵と検証に用いた公開鍵とはペアではないと判断し、ステップST134に移行して「公開鍵は正しくない可能性があります。正しい鍵を設定してください」なるメッセージを生成してディスプレイに表示させ、制御を終了する。すなわち、映像データの再生処理を行わずに制御を終了する。
【0068】
この判定の結果、一致しなければステップST131に移行し、上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は無効と判断する。そして、ステップST132に移行して、ここで「映像データが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの再生処理を行わずにそのまま制御を終了する。
【0069】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10′は、ステップST129により上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は有効と判断し、ステップST130に移行してここで「映像データの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。そして、クライアント端末10′は以後、上記再生対象の映像データStream(1) の再生処理を実行する。かくして、クライアント端末10′のディスプレイには上記再生対象の映像データStream(1) が表示され、ユーザはこの表示を視認することにより監視対象の様子を確認することが可能となる。
【0070】
以上述べたように第2の実施形態では次のように構成している。すなわち、映像蓄積装置21′〜2N′からクライアント端末3′へ映像データを配信する際に、映像蓄積装置21′〜2N′において上記映像データStreamに対しデータ用秘密鍵S_Keyを用いて生成した署名Stream_Sigを付加すると共に上記データ用秘密鍵S_Keyと対をなす公開鍵P_KeyのフィンガプリントFPを付加し、これらを署名Soft_Sig付のダウンロード映像再生用ソフトSoft及びフィンガプリントFP_softと共に、要求元のクライアント端末3′へ向け配信する。クライアント端末3′では、上記配信された映像データStreamとその署名Stream_Sigをデータ用のフォルダFDに保存すると共に、ダウンロード映像再生用ソフトsoftとその署名Soft_Sig及びフィンガプリントFP_softを再生ソフト用のフォルダFDSに格納する。そして、上記配信された映像データStreamを、再生ソフトがインストールされていない他のクライアント端末10′に移して再生しようとする場合に、クライアント端末10′において先ず上記ダウンロード映像再生用ソフトsoftの署名Soft_Sigを検証し、その正当性が確認された場合に映像データStreamの署名Stream_Sigを検証して再生を行うようにしている。
【0071】
したがって、前記第1の実施形態と同様に、再生ソフトがインストールされていないクライアント端末10′が映像データStreamを再生する際には、先ず当該映像データStreamと共にダウンロードされたダウンロード映像再生用ソフトSoftの署名Soft_Sigが検証され、その結果ダウンロード映像再生用ソフトSoftの正当性が確認された場合にのみ映像データStreamの署名検証が行われ、その正当性が確認された場合に当該映像データStreamが上記ダウンロード映像再生用ソフトSoftにより再生される。このため、仮に悪意を持つ第三者が、ダウンロード映像再生用ソフトSoftを改ざんした上で他のクライアント端末10′において映像データStreamを再生しようとしても、映像データStreamの再生は行われない。すなわち、映像データStreamのみならずダウンロード映像再生用ソフトSoftに対する改ざんについても検出可能とし、これによりダウンロード映像再生用ソフトSoftの改ざんによる映像データStreamの無制限な再生を確実に防止することができる。
【0072】
また、映像蓄積装置22′〜2N′から2回目以降の映像データを配信する場合には、キライアント端末3′の再生ソフト用のフォルダFDSには1回目の映像データ配信のときに配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softが既に格納されているため、ダウンロード映像再生用ソフトSoft は配信されない。したがって、映像データを配信するごとに毎回ダウンロード映像再生用ソフトSoft を配信する場合に比べ、伝送量を減らして通信時間の短縮を図ることができる。
【0073】
(その他の実施形態)
前記実施形態では、映像データを配信する場合を例にとって説明したが、映像データに限らず音データやテキストデータを配信する場合にも、この発明は適用可能である。また、前記各実施形態では映像データ及びダウンロード映像再生ソフトにそれぞれ署名を付加してその検証を行う場合を例にとって説明したが、メッセージ認証コード(MAC;Message Authentication Code)を付加して検証を行う場合にも、この発明は適用可能である。ただし、この場合には秘密鍵及び公開鍵に代えて共通鍵が用いられる。
その他、映像蓄積装置の構成と処理手順及び処理内容、クライアント装置の構成と処理手順及び処理内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0074】
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【図面の簡単な説明】
【0075】
【図1】この発明に係わる監視システムの第1の実施形態を示す概略構成図である。
【図2】図1に示した監視システムにおける映像蓄積装置及びクライアント端末(再生ソフト有り)の機能構成を示すブロック図である。
【図3】図1に示した監視システムにおけるクライアント端末(再生ソフト無し)の機能構成を示すブロック図である。
【図4】図2に示した映像蓄積装置による映像配信制御の処理手順と処理内容を示すフローチャートである。
【図5】図3に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の前半部分を示すフローチャートである。
【図6】図3に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の後半部分を示すフローチャートである。
【図7】この発明の第2の実施形態における映像蓄積装置及びクライアント端末(再生ソフト有り)の機能構成を示すブロック図である。
【図8】この発明の第2の実施形態におけるクライアント端末(再生ソフト無し)の機能構成を示すブロック図である。
【図9】図7に示した映像蓄積装置に与える再生用アプリケーション・プログラムの作成手法と、図8に示したクライアント端末(再生ソフト無し)が使用する公開鍵が記憶された記録ディスクの構成を示す図である。
【図10】図7に示した映像蓄積装置による映像配信制御の処理手順と処理内容を示すフローチャートである。
【図11】図8に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の前半部分を示すフローチャートである。
【図12】図8に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の後半部分を示すフローチャートである。
【符号の説明】
【0076】
1…ネットワークカメラ、2,21〜2N,21′〜2N′…映像蓄積装置、3,3′…クライアント端末(再生ソフト有り)、4…通信ネットワーク、5,6,7…映像記憶部、8…再生ソフト記憶部、9…ダウンロード映像用再生ソフト記憶部、10,10′…クライアント端末(再生ソフト無し)、11…署名付加装置、211〜21N…ダウンロード映像用再生ソフトに対する署名生成部、221〜22N,241〜24N…映像に対する署名生成部、231〜23N,251〜25N…配信部、31…クライアント端末(再生ソフト有り)の記憶部、101…クライアント端末(再生ソフト無し)の記憶部、DK1,DK2…公開鍵記録用の記録ディスク。
【技術分野】
【0001】
この発明は、例えば施設や河川等の状態をカメラ等を用いて遠隔監視する監視システムに関する。
【背景技術】
【0002】
遠隔監視システムは、例えば監視対象の複数のサイトにネットワークカメラ等の撮像装置を配置し、これらの撮像装置で撮像された時系列の監視映像データを映像蓄積装置で受信して蓄積する。そして、クライアント端末からの配信要求に応じて、上記映像蓄積装置が該当する監視映像データを読み出して上記要求元のクライアント端末へ配信し、当該クライアント端末において上記配信された監視映像データを再生するように構成される(例えば、特許文献1を参照。)。
【特許文献1】特開2005−143016号公報
【発明の開示】
【発明が解決しようとする課題】
【0003】
ところで、最近監視データの改ざんを防止してその正当性を維持するために、監視データに署名やメッセージ認証コードなどの認証情報を付加する対策が採られている。しかしながら、仮に悪意を持つ第三者が、クライアント端末にインストールされている監視データ再生用のアプリケーション・プログラムを他の端末にコピーし、その際当該プログラムが有している監視データに対する認証チェック機能を無効にしたとすると、上記他の端末では監視データの改ざんチェックが行われないことになり、その結果監視データの正当性が担保されなくなる。
【0004】
この発明は上記事情に着目してなされたもので、その目的とするところは、監視データのみならず監視データ再生用のアプリケーション・プログラムに対する改ざんも検出可能とした監視システムを提供することにある。
【課題を解決するための手段】
【0005】
上記目的を達成するためにこの発明の一観点は、監視データを蓄積する監視データ蓄積装置と、この監視データ蓄積装置から通信ネットワークを介して配信された監視データを受信し再生する端末装置とを備える監視システムにあって、
上記監視データ蓄積装置において、上記監視データ及び当該監視データを再生するために使用するアプリケーション・プログラムに対しそれぞれ第1の鍵情報を用いて生成される認証情報を付加し、この認証情報が付加された監視データ及び再生用アプリケーション・プログラムを上記通信ネットワークを介して上記端末装置へ送信する。
【0006】
一方、上記端末装置においては、上記監視データ蓄積装置から送信された、上記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを受信しメモリに記憶すると共に、上記第1の鍵情報に対応する第2の鍵情報を取得する。そして、上記受信された監視データの再生に先立ち、上記メモリに記憶された再生用アプリケーション・プログラムに付加された認証情報に対し、上記第2の鍵情報をもとに第1の検証処理を行い、この第1の検証処理の結果、上記再生用アプリケーション・プログラムに対する正当性が確認された場合に、上記記憶された監視データに付加された認証情報に対し、上記第2の鍵情報をもとに第2の検証処理を行い、この第2の検証処理の結果上記監視データに対する正当性が確認された場合に、上記再生用アプリケーション・プログラムにより当該監視データの再生処理を実行するように構成したものである。
【発明の効果】
【0007】
したがってこの発明によれば、端末装置が監視データを再生する際には、先ず当該監視データと共に監視データ蓄積装置からダウンロードされた再生用アプリケーション・プログラムに対し署名またはメッセージ認証コード等の認証情報を用いた検証処理が行われる。そして、この検証の結果再生用アプリケーション・プログラムの正当性が確認された場合にのみ上記監視データの署名が検証され、その正当性が確認された場合に、上記再生用アプリケーション・プログラムにより上記監視データの再生が行われる。このため、仮に悪意を持つ第三者が、再生用アプリケーション・プログラムを改ざんした上で他の端末に移して監視データを再生しようとしても、再生用アプリケーション・プログラムに対する検証処理により改ざんが認められた場合には監視データに対する認証チェックが行われず、その結果監視データの再生は行われない。
【0008】
すなわち、監視データのみならず再生用アプリケーション・プログラムに対する改ざんについても検出可能とし、これにより再生用アプリケーション・プログラムの改ざんによる監視データの無制限な再生を確実に防止することが可能な監視システムを提供することができる。
【発明を実施するための最良の形態】
【0009】
以下、図面を参照してこの発明の実施形態を説明する。
(第1の実施形態)
図1は、この発明に係わる監視システムの第1の実施形態を示す概略構成図である。この監視システムは、監視場所に設置されたネットワークカメラ1と、クライアントが使用するクライアント端末3と、これらのネットワークカメラ1及びクライアント端末3が通信ネットワーク4を介して接続される映像蓄積装置2とを備えている。
【0010】
ネットワークカメラ1はカメラ部と通信インタフェース部とを有し、監視対象をカメラ部により連続的に又は一定時間置きに撮像し、その映像データを通信インタフェース部により通信ネットワーク4を介して映像蓄積装置2へ送信する。
【0011】
映像蓄積装置2は例えば蓄積配信機能を有するサーバ装置からなり、上記ネットワークカメラ1から送られた映像データを映像記憶部5に記憶する。なお、映像蓄積装置2は他に映像記憶部6,7を有しており、このうち映像記憶部6には上記映像記憶部5に記憶された映像データのうち過去の映像データが転送されて蓄積され、また映像記憶部7には他のネットワークカメラから送られた映像データが記憶される。
【0012】
また映像蓄積装置2は、アプリケーション記憶部9を有しており、このアプリケーション記憶部9には、クライアント端末3が上記映像データをダウンロードして再生するために使用するアプリケーション・プログラム(以後、ダウンロード映像再生用ソフトと称する)が記憶されている。映像蓄積装置2は、クライアント端末3からの送信要求に応じて上記映像データを要求元のクライアント端末3へダウンロードする際に、上記ダウンロード映像再生用ソフトを併せてダウンロードする。
【0013】
クライアント端末3は例えばパーソナル・コンピュータからなり、上記映像蓄積装置2からダウンロードされた映像データ及びダウンロード映像再生用ソフトを対にしてフォルダに保存する。またクライアント端末3は、事前にインストールされた映像再生用のアプリケーション・プログラム(以後、再生ソフトと称する)を再生ソフト記憶部8に記憶しており、上記フォルダに記憶された映像データを当該再生ソフトにより再生する。
【0014】
なお、図中10は例えば第三者が使用するクライアント端末であり、再生ソフトが事前にインストールされていない。このクライアント端末10において上記監視映像データを再生する場合には、上記クライアント端末3から再生しようとする監視映像データと、この映像データに対応するダウンロード映像再生用ソフトとをロードする。そして、このロードしたダウンロード映像再生用ソフトについて署名の検証を行った上で、当該ロードしたダウンロード映像再生用ソフトを用いて映像データを再生する。
【0015】
図2は、上記映像蓄積装置2及びクライアント端末3の、この発明に係わる要部の機能構成を示すブロック図である。現実のシステムでは映像蓄積装置2は複数台用いられるので、同図では複数の映像蓄積装置21〜2Nを例示している。なお、映像蓄積装置21〜2Nの構成は同一なので、ここでは映像蓄積装置21のみについて説明する。
【0016】
映像蓄積装置21は、署名生成部211,221及び配信部231を備える。署名生成部221は、配信対象の監視映像データに対しディジタル署名を付加するもので、記憶部5〜7から選択的に読み出された映像データStream(1) のハッシュ値を算出し、この算出されたハッシュ値を予め用意された秘密鍵S_key(1) を用いて暗号化することにより署名Stream_Sig(1) を生成する。署名生成部211は、ダウンロード映像再生用ソフトに対しディジタル署名を付加するもので、ソフト記憶部9から読み出されたダウンロード映像再生用ソフトSoft(1) のハッシュ値を求め、この算出されたハッシュ値を上記映像データの署名を生成するために使用した秘密鍵と同一の秘密鍵S_key(1) を用いて暗号化することにより署名Soft_Sig(1) を生成する。
【0017】
配信部231は、上記署名生成部221により生成された署名Stream_Sig(1) を映像データStream(1) に付加すると共に、上記署名生成部211により生成された署名Soft_Sig(1) をダウンロード映像再生用ソフトSoft(1) に付加する。そして、それぞれ署名Stream_Sig(1) ,Soft_Sig(1) が付加された映像データStream(1) 及びダウンロード映像再生用ソフトSoft(1) を、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) のハッシュ値(フィンガプリント)FPを付加フィンガプリントFPと共に、要求元のクライアント端末3へ向け配信する。
【0018】
クライアント端末3は、再生ソフト記憶部8と、ダウンロードデータの記憶部31を備えている。ダウンロードデータの記憶部31は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には映像データがダウンロードされるごとに作成された複数のフォルダFD(1) 〜FD(N) が設けられる。これらのフォルダFD(1) 〜FD(N) にはそれぞれ、映像蓄積装置21〜2Nからダウンロードされた映像データとその署名、ダウンロード映像再生用ソフトとその署名、及びフィンガプリントFPが一組として保存される。
【0019】
一方、再生ソフトを有していないクライアント端末10は、以下のように構成される。図3はその機能構成を示すブロック図である。すなわち、このクライアント端末10は、ダウンロードデータの記憶部101を備えている。この記憶部101は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には上記クライアント端末3から例えばUSBメモリを用いて映像データ等が移されるごとに作成された複数のフォルダFD(1) 〜FD(N) と、鍵フォルダFDKが設けられる。上記フォルダFD(1) 〜FD(N) にはそれぞれ、上記クライアント端末3から移された映像データとその署名、ダウンロード映像再生用ソフトとその署名、及びフィンガプリントFPが一組として保存される。また鍵フォルダFDKには、記録ディスクDK1から読み込んだ公開鍵P_key(1) 〜P_key(N) が保存される。
【0020】
なお、上記映像蓄積装置21〜2Nが署名を生成するために使用する秘密鍵S_key(1) 〜S_key(N) と、上記クライアント端末10が署名を検証するために使用する公開鍵P_key(1) 〜P_key(N) は、工場出荷時に監視システムのメーカが、或いは監視システムのシステム管理者が、鍵発行ツールを使用して発行する。そして、この発行された秘密鍵S_key(1) 〜S_key(N) 及び公開鍵P_key(1) 〜P_key(N) は、映像蓄積装置21〜2N内に設けられたセキュアなメモリに記憶される。一方、公開鍵P_key(1) 〜P_key(N) はCD−ROM等の記録ディスクDK1に書き込まれて、クライアント端末10内にインストールされる。
【0021】
次に、以上のように構成された監視システムの動作を説明する。
クライアント端末3から映像データの配信要求を受信すると、映像蓄積装置21は以下のように映像データの配信処理を実行する。図4はその処理手順と処理内容を示すフローチャートである。
【0022】
すなわち、映像蓄積装置21は先ずステップST41において、配信対象の映像データStream(1) を記憶部5〜7から選択的に読み出し、この読み出した映像データStream(1) のハッシュ値を計算する。そして、ステップST42により、上記計算された映像データStream(1) のハッシュ値を秘密鍵S_key(1) を用いて暗号化して、映像データStream(1) の署名Stream_Sig(1) を生成する。
【0023】
映像蓄積装置21は次に、ステップST43においてソフト記憶部9からダウンロード映像再生用ソフトSoft(1) を読み出し、この読み出したダウンロード映像再生用ソフトSoft(1) のハッシュ値を計算する。そして、ステップST44において、上記計算されたダウンロード映像再生用ソフトSoft(1) のハッシュ値を、上記映像データStream(1) の署名Stream_Sig(1) を生成するために用いた秘密鍵と同じ秘密鍵S_key(1) を用いて暗号化し、これによりダウンロード映像再生用ソフトSoft(1) の署名Soft_Sig(1) を生成する。
続いて映像蓄積装置21は、ステップST45において、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) を内部メモリから読み出す。そして、この公開鍵P_key(1) のハッシュ値を計算し、この計算されたハッシュ値をフィンガプリントFPとする。
【0024】
さて、そうして署名及びフィンガプリントの生成が終了すると映像蓄積装置21は、ステップST46において、上記生成された署名Stream_Sig(1) を映像データStream(1) に付加すると共に、署名Soft_Sig(1) をダウンロード映像再生用ソフトSoft(1) に付加する。そして、上記映像データStream(1)とその署名Stream_Sig(1)、ダウンロード映像再生用ソフトSoft(1)とその署名Soft_Sig(1) 、及び上記公開鍵P_key(1) のフィンガプリントFPを、要求元のクライアント端末3へ向け送信する。
【0025】
上記映像蓄積装置21から映像データ等が配信されると、クライアント端末3はダウンロードデータを保存するためのフォルダFD(1) を新たに作成する。そして、このフォルダFD(1) に、上記映像蓄積装置21から配信された、映像データStream(1) とその署名Stream_Sig(1) 、ダウンロード映像再生用ソフトSoft(1) とその署名Soft_Sig(1) 、及びフィンガプリントFPを、一組として保存する。
【0026】
以後同様に映像蓄積装置21は、クライアント端末3から映像データの配信要求が到来するごとに、映像データStream(1) 及びダウンロード映像再生用ソフトSoft(1) に対しそれぞれ共通の秘密鍵S_key(1) を用いて署名を付加し、さらに公開鍵のフィンガプリントを生成して、これらを一組として要求元のクライアント端末3へ向け送信する。一方、クライアント端末3は、上記映像蓄積装置21から配信された映像データ等を一組としてフォルダに保存する。なお、他の映像蓄積装置22〜2Nにおいても同様の動作が行われ、クライアント端末3では上記映像蓄積装置22〜2Nから配信された映像データ等がそれぞれ一組として別々のフォルダに保存される。
【0027】
さて、上記クライアント端末3に保存された映像データを、ユーザが再生ソフトがインストールされていない他のクライアント端末10で再生しようとする場合には、次のように行われる。
すなわち、ユーザは先ずクライアント端末3に保存された映像データ等をフォルダ単位で例えばUSBメモリに一旦記憶させ、このUSBメモリを介して上記映像データ等をクライアント端末10のフォルダに記憶させる。また、記録ディスクDK1に記録された公開鍵P_key(1) 〜P_key(N) を読み込んで、鍵フォルダFDK に保存させる。
【0028】
そして、この状態でユーザがクライアント端末10において映像データの再生操作を行ったとする。そうするとクライアント端末10では次のように再生制御が実行される。図5及び図6はその処理手順と処理内容を示すフローチャートである。
すなわち、クライアント端末10は先ずステップST51により、鍵フォルダFDKから公開鍵P_key(1) 〜P_key(N) を読み込む。そして、ステップST52により上記鍵フォルダFDKに公開鍵が保存されていたか否かを判定し、保存されていなければ図6のステップST64に移行して、ここで「公開鍵が見つかりませんでした」なるメッセージをディスプレイに表示させる。
【0029】
これに対し、上記鍵フォルダFDKに公開鍵が保存されていたとする。この場合クライアント端末10はステップST53に移行し、読み込んだ公開鍵P_key(1)〜P_key(N)の各々についてそのハッシュ値を計算する。つまり、公開鍵P_key(1)〜P_key(N)の各フィンガプリントを求める。
【0030】
次にクライアント端末10は、ステップST54において再生対象の映像データが保存されたフォルダFD(1) からフィンガプリントFPを読み出し、この読み出したフィンガプリントFPを上記計算により求めた各フィンガプリントと比較する。そして、計算により求めた各フィンガプリントの中に上記読み出したフィンガプリントFPと一致するフィンガプリントがあるか否かを判定する。
【0031】
この判定の結果、一致するフィンガプリントが見つからなければ、図6に示すステップST52に移行し、ここで上記鍵フォルダFDKに保存された公開鍵は前記映像データの署名生成に使用した秘密鍵と対をなすものではないと判断し、ステップST63により「公開鍵が正しくない可能性があります、正しい鍵を設定してください。」なるメッセージをディスプレイに表示させる。
【0032】
一方、上記計算により求めた各フィンガプリントの中に、上記読み出したフィンガプリントFPと一致するフィンガプリントが見つかったとする。そうするとクライアント端末10は、ダウンロード映像再生用ソフトの署名検証処理を次のように実行する。
すなわち、先ずステップST55において、再生対象の映像データが保存されたフォルダFD(1) からダウンロード映像再生用ソフトSoft(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST56において、上記再生対象の映像データが保存されたフォルダFD(1) からダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) を読み出し、この署名Soft_Sig(1) を上記フィンガプリントが一致した公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST57により上記値Aと値Bが一致するか否かを判定する。
【0033】
この判定の結果、一致しなければステップST60に移行し、上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) は無効と判断する。そして、ステップST61に移行して、ここで「再生ソフトが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの署名検証処理に移行せずにそのまま制御を終了する。
【0034】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10は、ステップST58により上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) は有効と判断し、ステップST59に移行してここで「再生ソフトの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。
【0035】
上記ダウンロード映像再生用ソフトSoft(1) に付加された署名Soft_Sig(1) の正当性が確認されると、クライアント端末10は次に映像データStream(1) の署名検証処理を実行する。
すなわち、先ず図6に示すステップST65において、フォルダFD(1) から再生対象の映像データStream(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST66において、上記フォルダFD(1) から再生対象の映像データStream(1) に付加された署名Stream_Sig(1) を読み出し、この署名Stream_Sig(1) を上記フィンガプリントが一致した公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST67により上記値Aと値Bが一致するか否かを判定する。
【0036】
この判定の結果、一致しなければステップST70に移行し、上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は無効と判断する。そして、ステップST71に移行して、ここで「映像データが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの再生処理を行わずにそのまま制御を終了する。
【0037】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10は、ステップST68により上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は有効と判断し、ステップST69に移行してここで「映像データの改ざんはありませんでした。」なるメッセージを生成してディスプレイに表示させる。そして、クライアント端末10は以後、上記再生対象の映像データStream(1) の再生処理を実行する。かくして、クライアント端末10のディスプレイには上記再生対象の映像データStream(1) が表示され、ユーザはこの表示を視認することにより監視対象の様子を確認することが可能となる。
【0038】
以上述べたように第1の実施形態では、映像蓄積装置21〜2Nからクライアント端末3へ映像データを配信する際に、映像蓄積装置2において上記映像データとこの映像データを再生するためのダウンロード映像再生用ソフトに対しそれぞれ共通の秘密鍵を用いて生成した署名を付加すると共に公開鍵のフィンガプリントを付加して配信し、クライアント端末3では上記配信された映像データとその署名、ダウンロード映像再生用ソフトとその署名及びフィンガプリントを一組にしてフォルダに保存する。そして、上記配信された映像データを、再生ソフトがインストールされていない他のクライアント端末10に移して再生しようとする場合に、クライアント端末10において先ず上記ダウンロード映像再生用ソフトの署名を検証し、その正当性が確認された場合に映像データの署名を検証して再生を行うようにしている。
【0039】
したがって、再生ソフトがインストールされていないクライアント端末10が映像データを再生する際には、先ず当該映像データと共にダウンロードされたダウンロード映像再生用ソフトの署名が検証され、その結果ダウンロード映像再生用ソフトの正当性が確認された場合にのみ映像データの署名検証が行われ、その正当性が確認された場合に当該映像データが上記ダウンロード映像再生用ソフトにより再生される。このため、仮に悪意を持つ第三者が、ダウンロード映像再生用ソフトを改ざんした上で他のクライアント端末10において映像データを再生しようとしても、映像データの再生は行われない。すなわち、映像データのみならずダウンロード映像再生用ソフトに対する改ざんについても検出可能とし、これによりダウンロード映像再生用ソフトの改ざんによる映像データの無制限な再生を確実に防止することができる。
【0040】
(第2の実施形態)
この発明の第2の実施形態は、次のように構成したことを特徴とするものである。
すなわち、ダウンロード映像再生用ソフトにソフト用秘密鍵を用いて生成した署名を付加すると共に、当該ソフト用秘密鍵と対をなす公開鍵のフィンガプリントを生成し、この署名が付加されたダウンロード映像再生ソフト及びフィンガプリントを映像蓄積装置に提供する。
【0041】
映像蓄積装置は、クライアント端末に映像データを配信する際に、映像データに対しデータ用秘密鍵を用いて生成した署名を付加すると共に、このデータ用秘密鍵と対をなす公開鍵のフィンガプリントを生成し、これらをクライアント端末へ配信する。また映像蓄積装置は、最初の映像データ配信時にのみ、上記署名が既に付加されたダウンロード映像再生ソフト及びフィンガプリントを配信する。
【0042】
再生ソフトがインストールされていない他のクライアント端末は、上記配信された映像データ再生する際に、先ず工場から提供されたソフト用公開鍵を用いてダウンロード映像再生用ソフトの署名を検証する。そして、その正当性が確認された場合に、データ用公開鍵を用いて映像データの署名を検証し、その正当性が確認された場合に上記ダウンロード映像再生用ソフトを用いて映像データを再生する。
【0043】
図7は、上記映像蓄積装置2′及びクライアント端末3′のこの発明に係わる要部の機能構成を示すブロック図である。現実のシステムでは映像蓄積装置2′は複数台用いられるので、同図では複数の映像蓄積装置21′〜2N′を例示している。なお、映像蓄積装置21′〜2N′の構成は同一なので、ここでは映像蓄積装置21′のみについて説明する。
【0044】
映像蓄積装置21′は、データ用の署名生成部241及び配信部251を備える。データ用の署名生成部241は、配信対象の監視映像データに対し署名を付加するもので、記憶部5〜7から選択的に読み出された映像データStream(1) のハッシュ値を算出し、この算出されたハッシュ値を予め用意されたデータ用秘密鍵S_key(1) を用いて暗号化することにより署名Stream_Sig(1) を生成する。また、映像蓄積装置21′のソフト記憶部9には、工場において予め署名Soft_Sigが付加されたダウンロード映像再生用ソフトSoftと、当該署名Soft_Sigを生成するために使用したソフト用秘密鍵S_key_Softと対をなす公開鍵P_key_SoftのフィンガプリントFP_softが記憶されている。
【0045】
配信部251は、上記署名生成部241により生成された署名Stream_Sig(1) を映像データStream(1) に付加する。また、上記データ用秘密鍵S_key(1) と対をなす公開鍵P_key(1) のハッシュ値(フィンガプリント)FP(1) を計算する。そして、上記署名Stream_Sig(1)が付加された映像データStream(1) 及びそのフィンガプリントFP(1) と、上記ソフト記憶部9に記憶された署名Soft_Sig付のダウンロード映像再生用ソフトSoft及びフィンガプリントFP_softを、要求元のクライアント端末3′へ向け配信する。
【0046】
クライアント端末3′は、再生ソフト記憶部8と、ダウンロードデータの記憶部31′を備えている。ダウンロードデータの記憶部31′は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には映像データがダウンロードされるごとに作成された複数のフォルダFD(1) 〜FD(N) が設けられる。これらのフォルダFD(1) 〜FD(N) にはそれぞれ、映像蓄積装置21′〜2N′からダウンロードされた映像データとその署名及びフィンガプリントが保存される。また上記記憶部31′の記憶媒体には、再生ソフト用フォルダFDSが設けられる。この再生ソフト用フォルダFDSには、上記映像蓄積装置21′〜2N′から映像データと共に配信された、ダウンロード映像再生用ソフトSoftとその署名Soft_Sig及びフィンガプリントFP_softが一組として保存される。
【0047】
一方、再生ソフトを有していないクライアント端末10′は、以下のように構成される。図8はその機能構成を示すブロック図である。すなわち、このクライアント端末10′は、ダウンロードデータの記憶部101′を備えている。この記憶部101′は例えばハードディスクを記憶媒体として使用したもので、この記憶媒体には上記クライアント端末3から例えばUSBメモリを用いて映像データ等が移されるごとに作成される複数のデータ用のフォルダFD(1) 〜FD(N) と、再生ソフト用のフォルダFDSと、鍵フォルダFDKが記憶される。上記データ用のフォルダFD(1) 〜FD(N) にはそれぞれ、クライアント端末3′から移された映像データとその署名及びフィンガプリントが一組として保存される。また再生ソフト用のフォルダFDSには、上記クライアント端末3′から移されたダウンロード映像再生用ソフトSoftとその署名Soft_Sig及びフィンガプリントFP_softが一組として保存される。鍵フォルダFDK には、記録ディスクDK2から読み込んだ、ソフト用公開鍵P_key_softと、データ用公開鍵P_key(1) 〜P_key(N) が保存される。
【0048】
なお、署名Soft_Sig付ダウンロード映像再生用ソフトSoftと、公開鍵P_key_SoftのフィンガプリントFP_softは、工場において以下のように作成される。図9はその処理手順と処理内容を示す図である。
すなわち、工場には署名付加装置11が用意されている。署名付加装置11は、署名生成部111と、合成部121とを備える。署名生成部111は、ダウンロード映像再生用ソフトSoftのハッシュ値を算出し、この算出されたハッシュ値を予め用意されたソフト用秘密鍵S_key_Softを用いて暗号化することにより署名Soft_Sigを生成する。また、署名Soft_Sigを生成するために使用したソフト用秘密鍵S_key_Softと対をなす公開鍵P_key_Softのハッシュ値を算出し、この算出されたハッシュ値をソフト用のフィンガプリントFP_softとする。
【0049】
合成部121は、上記署名生成部111により生成された署名Soft_Sigをダウンロード映像再生用ソフトSoftに付加し、さらにこれに上記ソフト用秘密鍵S_key_Soft と対をなすソフト用公開鍵P_key_SoftのフィンガプリントFP_softを付加する。そして、映像蓄積装置21′〜2N′の出荷時に、上記署名Soft_Sigが付加されたダウンロード映像再生用ソフトSoftと、ソフト用公開鍵P_key_SoftのフィンガプリントFP_softを一組として、映像蓄積装置21′〜2N′のソフト記憶部9に格納する。
【0050】
また工場では、上記ソフト用公開鍵P_key_Softと、映像蓄積装置21′〜2N′が映像データに署名を付加するために使用するデータ用秘密鍵S_key(1) 〜S_key(N) と対をなす公開鍵P_key(1) 〜P_key(N) をCD−ROM等の記録ディスクDK2に書き込み、この記録ディスクDK2をユーザに頒布する。
【0051】
次に、以上のように構成された監視システムの動作を説明する。
クライアント端末3′から映像データの配信要求を受信すると、映像蓄積装置21′は以下のように映像データの配信処理を実行する。図10はその処理手順と処理内容を示すフローチャートである。
【0052】
すなわち、映像蓄積装置21′は先ずステップST101において、配信対象の映像データStream(1) を記憶部5〜7から選択的に読み出し、この読み出した映像データStream(1) のハッシュ値を計算する。そして、ステップST102により、上記計算された映像データStream(1) のハッシュ値を秘密鍵S_key(1) を用いて暗号化して、映像データStream(1) の署名Stream_Sig(1) を生成する。映像蓄積装置21′は次に、ステップST103において、上記秘密鍵S_key(1) と対をなす公開鍵P_key(1) を内部メモリから読み出す。そして、この公開鍵P_key(1) のハッシュ値を計算し、この計算されたハッシュ値をフィンガプリントFP(1) とする。
【0053】
さて、そうして映像データStream(1) に対する署名Stream_Sig(1) 及びフィンガプリントFP(1) の生成が終了すると映像蓄積装置21′は、ステップST104において、上記生成された署名Stream_Sig(1) 及びフィンガプリントFP(1)を映像データStream(1) に付加する。そして、この署名Stream_Sig(1) 及びフィンガプリントFP(1) が付加された映像データStream(1) と、ソフト記憶部9から読み出した、署名Soft_Sig及びフィンガプリントFP_softが付加されたダウンロード映像再生用ソフトSoftを、要求元のクライアント端末3′へ向け送信する。
【0054】
上記映像蓄積装置21′から映像データ等が配信されると、クライアント端末3′はダウンロードデータを保存するためのフォルダFD(1) を新たに作成する。そして、このフォルダFD(1) に、上記映像蓄積装置21′から配信された、映像データStream(1) とその署名Stream_Sig(1) 及びフィンガプリントFP(1) を格納する。また、同時に映像蓄積装置21′から配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softを、再生ソフト用のフォルダFDSに格納する。
【0055】
以後同様に映像蓄積装置21′は、クライアント端末3′から映像データの配信要求が到来するごとに、映像データStream(1) に対しデータ用秘密鍵S_key(1) を用いて署名Stream_Sig(1)を付加し、さらにそれに対応する公開鍵P_Key(1) のフィンガプリントFP(1) を生成して、これらを一組として要求元のクライアント端末3′へ向け送信する。一方、クライアント端末3′は、上記映像蓄積装置21′から配信された映像データStream(1) とその署名Stream_Sig(1) 及びフィンガプリントFP(1) を一組としてフォルダFD(1) に保存する。
【0056】
また、他の映像蓄積装置22′〜2N′においても同様に、映像データStream(2)〜Stream(N)に署名Stream_Sig(2)〜Stream_Sig(N)及びフィンガプリントFP(2)〜FP(N)が付加されて、これらが一組として要求元のクライアント端末3′へ配信される。クライアント端末3′では、上記映像蓄積装置22′〜2N′から配信された映像データStream(2)〜Stream(N)とその署名Stream_Sig(2)〜Stream_Sig(N)及びフィンガプリントFP(2)〜FP(N)がそれぞれ一組として別々のフォルダFD(2) 〜FD(N) に保存される。
【0057】
すなわち、配信元が映像蓄積装置21′であっても、また他の映像蓄積装置22′〜2N′であっても、上記2回目以降の映像データを配信する場合には、再生ソフト用のフォルダFDSには1回目の映像データ配信のときに配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softが既に格納されているため、ダウンロード映像再生用ソフトSoft は配信されない。
【0058】
さて、上記クライアント端末3′に保存された映像データを、ユーザが再生ソフトがインストールされていない他のクライアント端末10′で再生しようとする場合には、次のように行われる。
すなわち、ユーザは先ずクライアント端末3′の記憶部31′に保存された映像データを、フォルダ単位で例えばUSBメモリを用いてクライアント端末10′のデータ用のフォルダに移す。またそれと共に、クライアント端末3′の再生ソフト用のフォルダFDS に格納されているダウンロード映像再生用ソフトSoft を、同様にUSBメモリを用いてクライアント端末10′の再生ソフト用のフォルダFDS に移す。さらに、記録ディスクDK2に記録されたソフト用公開鍵P_key_Soft及び公開鍵P_key(1) 〜P_key(N) を読み込んで、鍵フォルダFDKに保存させる。
【0059】
そして、この状態でユーザがクライアント端末10′において映像データの再生操作を行ったとする。そうするとクライアント端末10′では次のように再生制御が実行される。図11及び図12はその処理手順と処理内容を示すフローチャートである。
すなわち、クライアント端末10′は先ずステップST111により、鍵フォルダFDKからソフト用公開鍵P_key_Softを読み込む。そして、ステップST112により上記鍵フォルダFDKにソフト用公開鍵P_key_Softが保存されていたか否かを判定し、保存されていなければ図12のステップST124に移行して、ここで「公開鍵が見つかりませんでした」なるメッセージをディスプレイに表示させる。
【0060】
これに対し、上記鍵フォルダFDKにソフト用公開鍵P_key_Softが保存されていたとする。この場合クライアント端末10′はステップST113に移行し、読み込んだソフト用公開鍵P_key_Softについてそのハッシュ値を計算する。つまり、ソフト用公開鍵P_key_Softのフィンガプリントを求める。
【0061】
次にクライアント端末10′は、ステップST114において再生ソフト用のフォルダFDSからフィンガプリントFP_softを読み出し、この読み出したフィンガプリントFP_softを上記計算により求めた各フィンガプリントと比較する。そして、計算により求めたフィンガプリントが上記読み出したフィンガプリントFP_soft と一致するか否かを判定する。
【0062】
この判定の結果、フィンガプリントが一致しなければ、図12に示すステップST122に移行し、ここで上記鍵フォルダFDKに保存されたソフト用公開鍵P_key_Softは前記ダウンロード映像再生ソフトSoftの署名生成に使用した秘密鍵S_Key_Softと対をなすものではないと判断し、ステップST123により「公開鍵が正しくない可能性があります、正しい鍵を設定してください」なるメッセージをディスプレイに表示させる。
【0063】
一方、上記計算により求めたフィンガプリントが上記読み出したフィンガプリントFP_softと一致したとする。そうするとクライアント端末10′は、ダウンロード映像再生用ソフトSoftの署名検証処理を次のように実行する。
すなわち、先ずステップST115において、再生ソフト用のフォルダFDSからダウンロード映像再生用ソフトSoftを読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST116において、上記ダウンロード映像再生用ソフトSoftに付加された署名Soft_Sigを、上記公開鍵P_key_Softを用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST117により上記値Aと値Bが一致するか否かを判定する。
【0064】
この判定の結果、一致しなければステップST120に移行し、上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig は無効と判断する。そして、ステップST121に移行して、ここで「再生ソフトが改ざんされた可能性があります」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの署名検証処理に移行せずにそのまま制御を終了する。
【0065】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10′は、ステップST118により上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig は有効と判断し、ステップST119に移行してここで「再生ソフトの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。
【0066】
上記ダウンロード映像再生用ソフトSoft に付加された署名Soft_Sig の正当性が確認されると、クライアント端末10′は次に映像データStream(1) の署名検証処理を実行する。
すなわち、図12のステップST125において、映像蓄積装置21′からダウンロードした、映像用の公開鍵のフィンガプリントがクライアント端末10′が持っている公開鍵のフィンガプリント(最大N個)のどれと一致するかを調べる。そして、一致する場合には、図12のステップST126において、データ用のフォルダFD(1) から再生対象の映像データStream(1) を読み出し、そのハッシュ値を計算する。このとき計算されたハッシュ値を値Aと呼称する。次にステップST127において、上記データ用のフォルダFD(1) から再生対象の映像データStream(1) に付加された署名Stream_Sig(1) を読み出し、この署名Stream_Sig(1) を上記フィンガプリントが一致したデータ用公開鍵P_key(1) を用いて復号する。この復号後の値を値Bと呼称する。そして、ステップST128により上記値Aと値Bが一致するか否かを判定する。
【0067】
一方、上記ステップST125において、どれとも一致しなかった場合には、ステップST133に移行し、映像データの署名作成に用いた秘密鍵と検証に用いた公開鍵とはペアではないと判断し、ステップST134に移行して「公開鍵は正しくない可能性があります。正しい鍵を設定してください」なるメッセージを生成してディスプレイに表示させ、制御を終了する。すなわち、映像データの再生処理を行わずに制御を終了する。
【0068】
この判定の結果、一致しなければステップST131に移行し、上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は無効と判断する。そして、ステップST132に移行して、ここで「映像データが改ざんされた可能性があります。」なるメッセージを生成してディスプレイに表示させ、そのまま制御を終了する。すなわち、映像データの再生処理を行わずにそのまま制御を終了する。
【0069】
これに対し、上記値Aと値Bが一致したとする。この場合クライアント端末10′は、ステップST129により上記再生対象の映像データStream(1) に付加された署名Stream_Sig(1) は有効と判断し、ステップST130に移行してここで「映像データの改ざんはありませんでした」なるメッセージを生成してディスプレイに表示させる。そして、クライアント端末10′は以後、上記再生対象の映像データStream(1) の再生処理を実行する。かくして、クライアント端末10′のディスプレイには上記再生対象の映像データStream(1) が表示され、ユーザはこの表示を視認することにより監視対象の様子を確認することが可能となる。
【0070】
以上述べたように第2の実施形態では次のように構成している。すなわち、映像蓄積装置21′〜2N′からクライアント端末3′へ映像データを配信する際に、映像蓄積装置21′〜2N′において上記映像データStreamに対しデータ用秘密鍵S_Keyを用いて生成した署名Stream_Sigを付加すると共に上記データ用秘密鍵S_Keyと対をなす公開鍵P_KeyのフィンガプリントFPを付加し、これらを署名Soft_Sig付のダウンロード映像再生用ソフトSoft及びフィンガプリントFP_softと共に、要求元のクライアント端末3′へ向け配信する。クライアント端末3′では、上記配信された映像データStreamとその署名Stream_Sigをデータ用のフォルダFDに保存すると共に、ダウンロード映像再生用ソフトsoftとその署名Soft_Sig及びフィンガプリントFP_softを再生ソフト用のフォルダFDSに格納する。そして、上記配信された映像データStreamを、再生ソフトがインストールされていない他のクライアント端末10′に移して再生しようとする場合に、クライアント端末10′において先ず上記ダウンロード映像再生用ソフトsoftの署名Soft_Sigを検証し、その正当性が確認された場合に映像データStreamの署名Stream_Sigを検証して再生を行うようにしている。
【0071】
したがって、前記第1の実施形態と同様に、再生ソフトがインストールされていないクライアント端末10′が映像データStreamを再生する際には、先ず当該映像データStreamと共にダウンロードされたダウンロード映像再生用ソフトSoftの署名Soft_Sigが検証され、その結果ダウンロード映像再生用ソフトSoftの正当性が確認された場合にのみ映像データStreamの署名検証が行われ、その正当性が確認された場合に当該映像データStreamが上記ダウンロード映像再生用ソフトSoftにより再生される。このため、仮に悪意を持つ第三者が、ダウンロード映像再生用ソフトSoftを改ざんした上で他のクライアント端末10′において映像データStreamを再生しようとしても、映像データStreamの再生は行われない。すなわち、映像データStreamのみならずダウンロード映像再生用ソフトSoftに対する改ざんについても検出可能とし、これによりダウンロード映像再生用ソフトSoftの改ざんによる映像データStreamの無制限な再生を確実に防止することができる。
【0072】
また、映像蓄積装置22′〜2N′から2回目以降の映像データを配信する場合には、キライアント端末3′の再生ソフト用のフォルダFDSには1回目の映像データ配信のときに配信されたダウンロード映像再生用ソフトSoft とその署名Soft_Sig、及びフィンガプリントFP_softが既に格納されているため、ダウンロード映像再生用ソフトSoft は配信されない。したがって、映像データを配信するごとに毎回ダウンロード映像再生用ソフトSoft を配信する場合に比べ、伝送量を減らして通信時間の短縮を図ることができる。
【0073】
(その他の実施形態)
前記実施形態では、映像データを配信する場合を例にとって説明したが、映像データに限らず音データやテキストデータを配信する場合にも、この発明は適用可能である。また、前記各実施形態では映像データ及びダウンロード映像再生ソフトにそれぞれ署名を付加してその検証を行う場合を例にとって説明したが、メッセージ認証コード(MAC;Message Authentication Code)を付加して検証を行う場合にも、この発明は適用可能である。ただし、この場合には秘密鍵及び公開鍵に代えて共通鍵が用いられる。
その他、映像蓄積装置の構成と処理手順及び処理内容、クライアント装置の構成と処理手順及び処理内容等についても、この発明の要旨を逸脱しない範囲で種々変形して実施できる。
【0074】
要するにこの発明は、上記各実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記各実施形態に開示されている複数の構成要素の適宜な組み合せにより種々の発明を形成できる。例えば、各実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態に亘る構成要素を適宜組み合せてもよい。
【図面の簡単な説明】
【0075】
【図1】この発明に係わる監視システムの第1の実施形態を示す概略構成図である。
【図2】図1に示した監視システムにおける映像蓄積装置及びクライアント端末(再生ソフト有り)の機能構成を示すブロック図である。
【図3】図1に示した監視システムにおけるクライアント端末(再生ソフト無し)の機能構成を示すブロック図である。
【図4】図2に示した映像蓄積装置による映像配信制御の処理手順と処理内容を示すフローチャートである。
【図5】図3に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の前半部分を示すフローチャートである。
【図6】図3に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の後半部分を示すフローチャートである。
【図7】この発明の第2の実施形態における映像蓄積装置及びクライアント端末(再生ソフト有り)の機能構成を示すブロック図である。
【図8】この発明の第2の実施形態におけるクライアント端末(再生ソフト無し)の機能構成を示すブロック図である。
【図9】図7に示した映像蓄積装置に与える再生用アプリケーション・プログラムの作成手法と、図8に示したクライアント端末(再生ソフト無し)が使用する公開鍵が記憶された記録ディスクの構成を示す図である。
【図10】図7に示した映像蓄積装置による映像配信制御の処理手順と処理内容を示すフローチャートである。
【図11】図8に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の前半部分を示すフローチャートである。
【図12】図8に示したクライアント端末(再生ソフト無し)による映像再生制御の処理手順と処理内容の後半部分を示すフローチャートである。
【符号の説明】
【0076】
1…ネットワークカメラ、2,21〜2N,21′〜2N′…映像蓄積装置、3,3′…クライアント端末(再生ソフト有り)、4…通信ネットワーク、5,6,7…映像記憶部、8…再生ソフト記憶部、9…ダウンロード映像用再生ソフト記憶部、10,10′…クライアント端末(再生ソフト無し)、11…署名付加装置、211〜21N…ダウンロード映像用再生ソフトに対する署名生成部、221〜22N,241〜24N…映像に対する署名生成部、231〜23N,251〜25N…配信部、31…クライアント端末(再生ソフト有り)の記憶部、101…クライアント端末(再生ソフト無し)の記憶部、DK1,DK2…公開鍵記録用の記録ディスク。
【特許請求の範囲】
【請求項1】
監視データを蓄積する監視データ蓄積装置と、この監視データ蓄積装置から通信ネットワークを介して配信された監視データを受信し再生する端末装置とを備える監視システムであって、
前記監視データ蓄積装置は、
前記監視データ及び当該監視データを再生するために使用するアプリケーション・プログラムに対しそれぞれ第1の鍵情報を用いて生成される認証情報を付加する手段と、
前記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを前記通信ネットワークを介して前記端末装置へ送信する手段と
を備え、
前記端末装置は、
前記監視データ蓄積装置から送信された、前記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを受信しメモリに記憶する手段と、
前記第1の鍵情報に対応する第2の鍵情報を取得する手段と、
前記受信された監視データの再生に先立ち、前記メモリに記憶された再生用アプリケーション・プログラムに付加された認証情報に対し、前記第2の鍵情報をもとに検証処理を行う第1の検証手段と、
前記第1の検証手段の検証処理の結果、前記再生用アプリケーション・プログラムに対する正当性が確認された場合に、前記記憶された監視データに付加された認証情報に対し、前記第2の鍵情報をもとに検証処理を行う第2の検証手段と、
前記第2の検証手段による検証処理の結果、前記監視データに対する正当性が確認された場合に、前記再生用アプリケーション・プログラムにより当該監視データの再生処理を実行する手段と
を備えることを特徴とする監視システム。
【請求項1】
監視データを蓄積する監視データ蓄積装置と、この監視データ蓄積装置から通信ネットワークを介して配信された監視データを受信し再生する端末装置とを備える監視システムであって、
前記監視データ蓄積装置は、
前記監視データ及び当該監視データを再生するために使用するアプリケーション・プログラムに対しそれぞれ第1の鍵情報を用いて生成される認証情報を付加する手段と、
前記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを前記通信ネットワークを介して前記端末装置へ送信する手段と
を備え、
前記端末装置は、
前記監視データ蓄積装置から送信された、前記認証情報が付加された監視データ及び再生用アプリケーション・プログラムを受信しメモリに記憶する手段と、
前記第1の鍵情報に対応する第2の鍵情報を取得する手段と、
前記受信された監視データの再生に先立ち、前記メモリに記憶された再生用アプリケーション・プログラムに付加された認証情報に対し、前記第2の鍵情報をもとに検証処理を行う第1の検証手段と、
前記第1の検証手段の検証処理の結果、前記再生用アプリケーション・プログラムに対する正当性が確認された場合に、前記記憶された監視データに付加された認証情報に対し、前記第2の鍵情報をもとに検証処理を行う第2の検証手段と、
前記第2の検証手段による検証処理の結果、前記監視データに対する正当性が確認された場合に、前記再生用アプリケーション・プログラムにより当該監視データの再生処理を実行する手段と
を備えることを特徴とする監視システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【公開番号】特開2009−81756(P2009−81756A)
【公開日】平成21年4月16日(2009.4.16)
【国際特許分類】
【出願番号】特願2007−250489(P2007−250489)
【出願日】平成19年9月27日(2007.9.27)
【出願人】(000001122)株式会社日立国際電気 (5,007)
【Fターム(参考)】
【公開日】平成21年4月16日(2009.4.16)
【国際特許分類】
【出願日】平成19年9月27日(2007.9.27)
【出願人】(000001122)株式会社日立国際電気 (5,007)
【Fターム(参考)】
[ Back to top ]