記録装置、及び記録方法
【課題】データの取得時刻などを証明すること。
【解決手段】カメラ5は、耐タンパ部20において、カメラ部33で撮影した画像データにタイムスタンプを発行する機能を有している。このタイムスタンプは、耐タンパ部20内に記憶してある機器秘密鍵を用いて画像データと内部クロック22の出力時刻をデジタル署名することにより行われる。また、カメラ5は、GPS部34を備えており、撮影時の現在位置を示す位置情報と、撮影時におけるカメラ部33の光学系(焦点距離、絞りなど)を特定する撮影情報も画像データと共に合わせてデジタル署名する。このように、カメラ5は、画像データと共に、時刻情報、位置情報、撮影情報を改竄できないように共に記録する。また、耐タンパ部20では、撮影を行うモードと、時刻監査や時刻補正を行うモードが分けられており、セキュリティレベルの向上が図られている。
【解決手段】カメラ5は、耐タンパ部20において、カメラ部33で撮影した画像データにタイムスタンプを発行する機能を有している。このタイムスタンプは、耐タンパ部20内に記憶してある機器秘密鍵を用いて画像データと内部クロック22の出力時刻をデジタル署名することにより行われる。また、カメラ5は、GPS部34を備えており、撮影時の現在位置を示す位置情報と、撮影時におけるカメラ部33の光学系(焦点距離、絞りなど)を特定する撮影情報も画像データと共に合わせてデジタル署名する。このように、カメラ5は、画像データと共に、時刻情報、位置情報、撮影情報を改竄できないように共に記録する。また、耐タンパ部20では、撮影を行うモードと、時刻監査や時刻補正を行うモードが分けられており、セキュリティレベルの向上が図られている。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、記録装置、及び記録方法に関し、例えば、データが取得された時刻や位置などを証明するものに関する。
【背景技術】
【0002】
保険査定用の事故車両の画像データ、火山ガス濃度の測定、騒音測定、大気汚染物質の測定、水質検査、地震測定、土木建築工事記録画像データなど、記録装置で記録対象のデータを記録する場合、記録を行った時刻や場所などの特定が重要となる場合がある。
このようなデータでは、記録した時刻や場所などの特定がなされていなかったり、不正確であったり、あるいは改竄された場合、これらのデータを用いて行う処理に大きな影響が及ぶ。
【0003】
そのため、データ記録時の時刻や場所を証明する技術が要望されていた。このような要望のうち、時刻証明を行う技術として次の文献で開示されているものがある。
【特許文献1】特開2001−297062公報 この技術は、時刻情報を経時変化情報(気象情報など)と対応づけて合成情報とすることにより、時刻情報の非改竄性を証明しようとするものである。合成情報は、商品に付与され、商品の時刻情報の証明に用いられる。 この技術を用いたサービスとして、画像データを認証センタに送信し、認証センタで画像データに合成情報を付与することにより、画像データの時刻証明を行うものも提案されている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、この技術では、画像データを認証センタに送信するまでにデータ改竄の可能性があった。
【0005】
そこで、本発明の目的は、データの取得時刻などを証明できるようにすることである。
【課題を解決するための手段】
【0006】
本発明は、前記目的を達成するために、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、前記デジタルデータを取得した際の時刻を計測する時計装置と、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名手段と、を具備したことを特徴とする記録装置を提供する(第1の構成)。
第1の構成において、現在時刻送信装置が送信した現在時刻を受信する現在時刻受信手段と、前記受信した現在時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、を具備するように構成することもできる(第2の構成)。
第2の構成において、所定の監査サーバから基準時刻を受信する基準時刻受信手段と、前記所定単位以上の時刻において、前記時計装置の時刻と前記受信した基準時刻が一致する場合に前記署名手段を動作させ、一致しない場合に前記署名手段を停止させる監査結果実行手段と、を具備するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記デジタルデータ取得手段は、光学系を用いて投影された投影像をデジタルデータに変換する電荷結合素子を含んでおり、前記署名手段は、前記デジタルデータを取得した際の前記光学系の状態に関するパラメータを前記記録データに含めるように構成することもできる(第4の構成)。
また、本発明は、デジタルデータ取得手段と、時計装置と、現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、署名手段と、を備えた記録装置に置いて、前記デジタルデータ取得手段によって、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、前記時計装置によって、前記デジタルデータを取得した際の時刻を計測する計測ステップと、前記現在位置情報取得手段によって、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得ステップと、前記署名手段によって、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名ステップ、から構成されたことを特徴とする記録方法を提供する。
【発明の効果】
【0007】
本発明によれば、記録装置がデータにタイムスタンプを発行することにより、データの取得時刻などを証明することができる。
【発明を実施するための最良の形態】
【0008】
(1)実施の形態の概要
カメラ5(図3)は、耐タンパ部20において、カメラ部33で撮影した画像データにタイムスタンプを発行する機能を有している。このタイムスタンプは、耐タンパ部20内に記憶してある機器秘密鍵を用いて画像データと内部クロック22の出力時刻をデジタル署名することにより行われる。
また、カメラ5は、GPS部34を備えており、撮影時の現在位置を示す位置情報と、撮影時におけるカメラ部33の光学系(焦点距離、絞りなど)を特定する撮影情報も画像データと共に合わせてデジタル署名する。
このように、カメラ5は、画像データと共に、時刻情報、位置情報、撮影情報を改竄できないように共に記録する。また、耐タンパ部20では、撮影を行うモードと、時刻監査や時刻補正を行うモードが分けられており、セキュリティレベルの向上が図られている。
【0009】
(2)実施の形態の詳細
図1は、本実施の形態の一例に係る画像データ収集システムのネットワーク構成を示した図である。
画像データ収集システム1は、例えば、保険会社が保険査定用の画像データを収集するシステムである。保険の査定に用いる画像データは、撮影時刻と撮影位置が証明できること、及び、データの非改竄を確認できることが重要である。画像データ収集システム1は、このような要望に応えるものである。
【0010】
画像データ収集システム1は、センタサーバ2、カメラ5、基地局8、監査サーバ12、標準電波送信装置11などがネットワーク4によって接続可能に配設されて構成されている。
センタサーバ2は、保険会社の本社などに設置され、カメラ5から送信されてくる撮影データのタイムスタンプを確認し、これをデータベースに記憶する。データベースに記憶された撮影データは、保険の査定業務などに利用される。
【0011】
カメラ5は、保険会社の支店や代理店などに設置され、例えば、事故現場など、保険の査定に必要な画像データを撮影するのに用いられる。
カメラ5は、撮影した画像データに位置情報を付与し、内部クロックで計測された時刻にてタイムスタンプを発行する。
なお、以下では、被写体を電子データ化したデータを画像データと呼び、画像データに時刻情報、位置情報、タイムスタンプなどの各種の付加的な情報を付与したものを撮影データと呼ぶことにする。
【0012】
監査サーバ12は、監査局が運用するサーバであって、カメラ5の内部クロックを監査する。
一般に、監査局は、カメラ5を運用する者とは第三者である事業体が運用している。そのため、カメラ5のユーザが監査サーバ12の運用者と共謀してタイムスタンプのバックデイトを行うことが事実上不可能になり、極めて高いセキュリティレベルを実現することができる。
【0013】
監査サーバ12は、原子時計と監査用秘密鍵を備えており、原子時計による基準時刻を監査用秘密鍵でデジタル署名して時刻証明書を作成し、これをカメラ5に送信する。
カメラ5は、監査用公開鍵を用いて時刻証明書を復号化し、この時刻証明書を用いて内部クロックが正しい時刻を出力しているか否かを確認する。そして、正しい時刻を出力していない場合、カメラ5は、タイムスタンプの発行を停止するようになっている。このように、監査サーバ12は、カメラ5に基準時刻を送信することにより時刻監査を行うことができる。
【0014】
標準電波送信装置11は、標準電波局が運用し、現在時刻を含む標準電波を不特定多数の受信装置に送信する送信装置であり、現在時刻送信装置として機能している。
カメラ5は、標準電波送信装置11が送信する標準電波を受信し、これを用いて内部クロックを更正する。このようにカメラ5は、現在時刻受信手段と、時刻補正手段を備えている。
なお、カメラ5は、GPS(Global Positioning Systems)を内蔵しており、カメラ5は、GPS信号に含まれる時刻情報を用いて内部クロックを補正するように構成することもできる。
【0015】
基地局8は、カメラ5をネットワーク4に接続するための中継局である。カメラ5が基地局8を介して行う通信は、例えば、SSL(Secure Sockets Layer)などの技術を用いて暗号化され、セキュリティを確保している。
【0016】
図2は、カメラ5のハードウェア的な構成の一例を説明するためのブロック図である。
カメラ5は、耐タンパ部20、CPU(Central Processing Unit)30、ROM(Read Only Memory)31、RAM(Random Access Memory)32、カメラ部33、GPS部34、操作部35、記憶部36、通信部37などがバスラインで接続されて構成されている。
【0017】
耐タンパ部20は、機器認証やタイムスタンプの発行などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
【0018】
耐タンパ仕様とは、例えば、内部構造を解析しようとすると自動的に内部構造を破壊するなど、改竄や複製、内部の論理構造の解読などの不正行為に対して十分な防御手段を講じるための仕様である。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
【0019】
耐タンパ部20は、CPU21、内部クロック22、ROM23、RAM24、EEPROM(Electrically Erasable and Programmable ROM)25、図示しない内部クロックなどがバスラインによって接続されて構成されている。
【0020】
CPU21は、EEPROM25、ROM23、RAM24などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
本実施の形態では、画像データにタイムスタンプを発行したり、時刻監査や時刻の更正などを行う。
【0021】
内部クロック22は、時計装置であって、耐タンパ部20を駆動するためのクロックを発生させるほか、カメラ部33で撮影された画像データにタイムスタンプを発行するための時刻情報を出力する。
内部クロック22は、計測部35の外部クロック28と同期しており、CPU21とCPU30はタイミングを同期させて協働して動作することができる。
【0022】
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
【0023】
EEPROM25は、読み書きが可能な不揮発性の記憶装置であり、プログラムやデータなどが記憶されている。
本実施の形態では、一例として、機器ID、監査用公開鍵、機器秘密鍵、前回証明書のほか、CPU21がタイムスタンプ発行機能を発揮するためのタイムスタンププログラム、CPU21を駆動するための基本的なプログラムであるOS(Operating System)などが記憶されている。これらに付いては後ほど説明する。
このように、EEPROM25は機器秘密鍵を記憶しており、秘密鍵記憶手段として機能している。
【0024】
CPU30は、記憶部36、ROM31、RAM32などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
CPU30は、CPU21と協働して動作し、例えば、カメラ部33で撮影された画像データやGPS部34で検出された位置情報などを耐タンパ部20に入力したり、耐タンパ部20から出力されたタイムスタンプ付き撮影データをセンタサーバ2に送信したりなどする。
【0025】
ROM31は、読み出し専用の記憶装置であって、CPU30を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM32は、読み書き可能な記憶装置であって、CPU30が各種の情報処理を行う際のワーキングエリアを提供する。
【0026】
カメラ部33は、レンズや絞りなどの光学系や、これらを自動調節する調節機構、レンズによって投影された投影像を電気信号に変換するCCD(Charge Coupled Device:電荷結合素子)などから構成されている。カメラ部33によって、撮影対象の画像データが生成される。
カメラ部33は、記録対象(被写体)の情報(画像)をデジタルデータ(画像データ)として取得するデジタルデータ取得手段として機能している。
【0027】
GPS部34は、地球上空を周回する複数のGPS衛生が送信するGPS信号を受信し、カメラ5の現在位置を解析して電気信号として出力するモジュールである。GPS部34は、現在位置情報取得手段として機能している。
操作部35は、担当者がカメラ5を操作するための操作ボタンやシャッターボタンなどから構成されている。また、図示しないが、CPU30には、各種情報を担当者に提示するための液晶表示装置やブザー音などを発生する音声発生装置なども接続されている。
【0028】
記憶部36は、例えば、EEPROMによって構成されており、各種プログラムやデータなどが記憶されている。
記憶部36に記憶しているプログラムをCPU30で実行することにより、センタサーバ2や監査サーバ12などと通信したり、カメラ5にカメラとしての機能を発揮させたりすることができる。
通信部37は、カメラ5をネットワーク4に接続するインターフェースであって、基地局8と無線通信するためのRF回路やアンテナなどを備えている。
【0029】
外部クロック28は、カメラ5を駆動するためのクロックを発生させる。また、一般に外部クロック28は内部クロック22よりも精度が高いため、外部クロック28を標準電波送信装置11の標準電波で更正し、当該更正された外部クロック28を用いて内部クロック22を更正するように構成されている。
【0030】
図3は、カメラ5、監査サーバ12、及びセンタサーバ2の関係を説明するための図である。
監査サーバ12は、時刻証明書に記載する時刻を計測するための原子時計を備え、更に監査用秘密鍵を記憶している。
監査サーバ12がカメラ5に送信する時刻証明書には、基準時刻、制限時間、シリアル番号、固有情報、デジタル署名などが含まれている。
基準時刻は、原子時計が計測した時刻を用いて構成された時刻であり、原子時計の現在時刻をそのまま用いてもよいし、あるいは、通信の遅延が問題になる場合は、遅延時間で現在時刻を補正した値を用いるなど、何らかの補正を施した値を用いてもよい。
【0031】
制限時間は、時刻証明書に記録してある基準時刻の有効期限である。即ち、時刻証明書に記してある基準時刻で監査した内部クロック22の出力時刻は、この制限時間の間、監査局により精度が保証される。
カメラ5は、この制限時間の範囲内でタイムスタンプを発行することができ、このタイムスタンプを発行できる時間を活性化時間と呼ぶ。
【0032】
シリアル番号は、監査サーバ12が発行順に付与する時刻証明書の番号であるが、連番を発行すると、外部から推測が容易になる可能性があることから、本実施の形態では、シリアル番号を乱数により構成した。
固有情報は、例えば、耐タンパ部20のID情報など、カメラ5のハードウェアに固有な情報である。固有情報が一致しない場合、耐タンパ部20はエラーを発する。
【0033】
なお、これらの項目のほかに、時刻証明書の有効期限や、時刻証明書の正当性が確認された後、カメラ5と監査サーバ12の間の通信の共通鍵なども時刻証明書に含めることができる。
【0034】
デジタル署名は、メッセージのダイジェストを監査用秘密鍵で暗号化したものである。
ここで、メッセージは、現在時刻、制限時間、シリアル番号、固有情報など、改竄防止を要する情報であり、ダイジェストはメッセージを、例えば、ハッシュ関数によって演算したハッシュ値である。
時刻証明書の受信者は、メッセージからダイジェストを作成し、更に、デジタル署名を監査用公開鍵で復号化してダイジェストを復元する。そして、両者の一致によって時刻証明書の内容が改竄されていないことを確認することができる。
【0035】
カメラ5は、耐タンパ部20に、先に説明した監査用公開鍵、機器秘密鍵、及び前回証明書を記憶し、内部クロック22を備えるほか、モード切替部51を有している。
モード切替部51は、EEPROM25に記憶されたタイムスタンププログラムをCPU21で実行することにより構成されたものである。
【0036】
監査用公開鍵は、監査サーバ12から送信されてくる時刻証明書を受信し(基準時刻受信手段)、これに付随するデジタル署名を復号化するための公開鍵情報である。
耐タンパ部20は、監査用公開鍵を用いて時刻証明書の正統性を確認することができ、基準時刻の有効性を確認する。
【0037】
機器秘密鍵は、センタサーバ2に送信する撮影データにタイムスタンプを発行するのに用いる。
ここで、メッセージとして用いられる情報は、画像データ、時刻情報、位置情報、撮影情報などからなる撮影データであり、この撮影データのダイジェストを機器秘密鍵でデジタル署名することによりタイムスタンプが発行されている。
このように、撮影データは、デジタルデータ(画像データ)と、時刻(時刻情報)と、現在位置情報(位置情報)を含む記録データとして機能しており、耐タンパ部20は、これにデジタル署名を行う(タイムスタンプを発行する)署名手段を備えている。
【0038】
内部クロック22は、タイムスタンプを発行する際の時刻情報を付与する。即ち、耐タンパ部20は、カメラ部33から画像データを取得した時刻を内部クロック22で計測し、この時刻を以て撮影時刻とし、タイムスタンプを発行する。
【0039】
ここで、内部クロック22の更正について図4を用いてより詳細に説明する。
図4は、内部クロック22が計測する時刻の一例を示しており、一例として「2005年3月30日15時30分20秒2百ミリ秒」となっている。このように内部クロック22は時刻を百ミリ秒単位で計測している。
【0040】
耐タンパ部20は、内部クロック22の時刻を分以上の部分(以下、時刻ラベルと呼ぶ)と秒単位に区分して管理しており、時刻監査は時刻ラベルに対して行い、時刻の更正は秒単位に対して行う。
このため、内部クロック22の時刻のうち、セキュリティを要する部分(時刻ラベル)については改竄を行うことができず、セキュリティを高めることができる。また、品質を提供する部分(秒単位)は、標準電波によって高精度に更正される。
【0041】
なお、本実施の形態では、一例として秒単位を境としてセキュリティに関係する部分と品質保証に関係する部分に時刻を区分したが、これに限定するものではなく、画像データに必要とされる時刻精度応じて、更に大きい単位、あるいは小さい単位で区分することも可能である。
即ち、例えば、タイムスタンプで1秒単位まで正確な時刻が必要な場合は、1秒以上の部分を監査サーバ12で監査し、999ミリ秒以下の時刻を標準電波で更正する。
【0042】
図3に戻り、前回証明書は、前回の時刻監査の際に監査サーバ12から送られてきて使用した時刻証明書をEEPROM25に記憶しておいたものである。即ち、前回証明書は、直近の過去に監査サーバ12から受信した時刻証明書である。
耐タンパ部20は、監査サーバ12から送信されてきた時刻証明書の基準時刻を確認する際に、この基準時刻が前回に監査サーバ12から受信した基準時刻よりも後であることを確認する。
【0043】
タイムスタンプにおいて、最も防がなくてはならないことは、改竄などによりバックデイト(過去の時刻を出力させること)された時刻でタイムスタンプを発行することである。
そのため、耐タンパ部20は、監査サーバ12から送信されてきた基準時刻が前回に監査を行った時刻(前回証明書に記載されている時刻)よりも後であることを確認する。
【0044】
そして、監査サーバ12から送信されてきた基準時刻が前回証明書に記載された時刻よりも前である場合は、エラーメッセージを発するなどして監査モード(後述)で停止し、タイムスタンプの発行を行わない。
【0045】
このように前回の基準時刻を記憶しておき、監査に用いる基準時刻がこれよりも後の時刻であることを確認することにより、バックデイトされた時刻でタイムスタンプが発行されるのを防止することができる。
なお、工場出荷時に、デフォルトの前回証明書をEEPROM25に記憶させておく。
【0046】
モード切替部51は、耐タンパ部20のタイムスタンプ機能に関する動作モードを順次切り替える機能部である。
耐タンパ部20が行う動作モードには、監査モード、同期モード、スタンプモードがある。
これらの各動作モードはそれぞれ独立したモジュールが行い、モジュール間の干渉が生じないようにしてある。
【0047】
監査モードは、監査サーバ12から送信されてきた基準時刻を用いて内部クロック22の時刻ラベルが正しいことを監査する動作モードである。
同期モードは、標準電波送信装置11から標準電波により配信される現在時刻を用いて(より厳密には、標準電波で更正された外部クロック28を用いて)内部クロック22の秒単位の部分を正確な時刻に同期させる(即ち、更正する)動作モードである。
スタンプモードは、計測部35が計測した計測値に対してタイムスタンプを発行する動作モードである。
【0048】
モード切替部51は、耐タンパ部20の動作モードを、図5に示したように、監査モード→同期モード→スタンプモード→監査モード→・・・、といったように、所定の順序にて順次切り替えていく。
これらのモードのうち、監査モードとスタンプモードは、時刻ラベルを扱うため、高いセキュリティを要する動作モードであり(セキュリティモード)、一方、同期モードは秒単位を扱うため、高いセキュリティが必ずしも必要ない動作モード(一般モード)である。
【0049】
そして、モード切替部51は、現在動作中の動作モードが完了するまでは耐タンパ部20を次の動作モードに切り替えない。
そのため、スタンプモードで動作するためには、監査モードと同期モードが完了していることが必要となり、耐タンパ部20は、監査、同期された時刻にてタイムスタンプを発行することができる。このように、モード切替部51は、監査結果実行手段として機能している。
また、耐タンパ部20は、監査モード、同期モードの少なくとも一方でエラーが発生した場合に、タイムスタンプの発行を停止することができる。
【0050】
このように、耐タンパ部20は、セキュリティモードと一般モードを切り替えて動作することにより、高いセキュリティの必要な処理と高いセキュリティの必要のない処理を同時に行うことを防止している。
しかも、各動作モードは独立したモジュールにて動作するため、耐タンパ部20は、セキュリティモードでの処理と一般モードでの処理が耐タンパ部20内で干渉することを防ぐことができ、クラッキングなどの不正アクセスに対して高い耐性を備えている。
【0051】
なお、耐タンパ部20では、セキュリティモードを監査モードとスタンプモードに区分して切り替えているが、これらは何れもセキュリティモードなので、同じモードにて監査とスタンプの発行を行うように構成してもよい。
更に、本実施の形態では、監査モード→同期モード→スタンプモード→監査モード・・・の順序でモードの切り替えを行ったが、モード切り替えの順序はこれに限定するものではなく、例えば、同期モード→監査モード→スタンプモード→同期モード→・・・など、他の順序で動作モードを切り替えてもよい。
【0052】
次に、以上のように構成されたカメラ5が生成したタイムスタンプ付き撮影データ(図3)について説明する。
図3には、タイムスタンプ付き撮影データの論理的な構成が模式的に表されている。
撮影データは、画像データ、時刻情報、位置情報、撮影情報などから構成され、これにタイムスタンプを付与してタイムスタンプ付き撮影データが構成されている。
撮影データは、カメラ5で撮影するごとに生成され、記憶部36に一時記憶され、後ほどセンタサーバ2に送信される。
【0053】
画像データは、カメラ部33において被写体の投影像をCCDによって電子データ化したデータであり、撮影後速やかにカメラ部33から耐タンパ部20に入力されたものである。
時刻情報は、耐タンパ部20が画像データにタイムスタンプを発行する時刻である。カメラ部33が画像データを撮影してから耐タンパ部20がタイムスタンプを発行するまでは僅かな時間差があるが、実用上問題ない程度であるので、タイムスタンプの発行時刻を画像データが撮影された時刻として扱う。
【0054】
位置情報は、画像データの撮影の際に、GPS部34によって検出された撮影時の現在位置情報(緯度経度が特定できる)である。
撮影情報は、撮影時の焦点距離や絞りなど、カメラ部33の光学系に関するパラメータから構成されている。
撮影情報は、画像データが撮影された際の状況を検証するのに用いることができる。例えば、事故車両の偽造写真を被写体として撮影した画像データの場合、焦点距離が本来の値より短くなることが考えられ、焦点距離の検証により、このような偽造を発見することができる。
【0055】
タイムスタンプは、画像データ、時刻情報、位置情報、撮影情報などからなるメッセージのダイジェスト(例えば、ハッシュ値)をカメラ5が機器秘密鍵で暗号化することによりデジタル署名したものである。
撮影データの正統性(即ち、改竄されていないか、また、カメラ5によって作成されたものであるかなど)を検証する者(センタサーバ2など)は、機器公開鍵でダイジェストを復元し、更に、画像データ、時刻情報、位置情報、撮影情報などからダイジェストを生成し、両者の一致を確認すればよい。
【0056】
このように、カメラ5は、タイムスタンプ機能を内蔵しており、撮影と共にタイムスタンプを発行するため、当該撮影データが確かに当該撮影時刻、撮影位置にて撮影されたことを保証することができる。
【0057】
センタサーバ2(図3)は、カメラ5を登録したカメラマスタとカメラ5から送信された画像データを記憶する画像データベースを備えている。
図6(a)は、カメラマスタの論理的な構成の一例を示した図である。
カメラマスタは、「機器ID」、「機器公開鍵」、「型番」、「設置箇所」、「設置日」、・・・などの各項目から構成されている。
機器IDは、カメラ5を識別するのに用いられる。機器公開鍵は画像データのタイムスタンプ(デジタル署名)を確認するのに用いる。また、カメラ5を機器認証するための機器認証情報もカメラマスタに記憶するように構成することもできる。
【0058】
図6(b)は、画像データベースの論理的な構成の一例を示した図である。
画像データベースは、「機器ID」、「受信時刻」、「画像データ」、「時刻情報」、「位置情報」、「撮影情報」、・・・などの項目から構成されている。
機器IDは、画像データの撮影元であるカメラ5の機器IDであり、受信時刻は、センタサーバ2が画像データを受信した時刻である。
画像データ、時刻情報、位置情報、撮影情報は、それぞれ撮影データに含まれていたものである。
センタサーバ2は、カメラ5の機器公開鍵で撮影データのタイムスタンプを検証し、画像データやその他の情報が改竄されていないことを確認してからこれらを画像データベースに登録する。
【0059】
次に、図7のフローチャートを用いてカメラ5が動作する手順について説明する。
ここでは、カメラ5が監査モードに切り替わった時点から説明する。なお、以下のカメラ5の動作は耐タンパ部20が行うものである。
まず、モード切替部51が耐タンパ部20を監査モードに切り替えると、カメラ5は、監査サーバ12に接続し、時刻証明書の送信を要求する(ステップ25)。
【0060】
監査サーバ12は、カメラ5から時刻証明書の送信要求を受けると、原子時計の出力する時刻を用いて時刻証明書作成し、カメラ5に送信する(ステップ30)。
カメラ5は、監査サーバ12から時刻証明書を受信すると、監査用公開鍵を用いて時刻証明書のデジタル署名を確認した後、時刻証明書の基準時刻と、内部クロック22が計測している時刻の時刻ラベル(図4)が一致することを確認する(ステップ35)。
【0061】
時刻ラベルが基準時刻ラベルと一致しない場合、耐タンパ部20では、モード切替部51がモード切り替えを停止し、カメラ5は停止してエラーメッセージを提示する。これによって、ユーザは、カメラ5の異常を検知することができる。
時刻ラベルと基準時刻が一致する場合、モード切替部51は、耐タンパ部20の動作モードを同期モードに切り替える。
【0062】
耐タンパ部20が同期モードに設定されると、耐タンパ部20は、外部クロック28の時刻を用いて内部クロック22の秒単位を更正する(ステップ45)。
外部クロック28は、標準電波送信装置11が放送している標準電波(ステップ40)によって、常時正確な時刻に更正されている。
内部クロック22の秒単位の更正が完了すると、モード切替部51は、耐タンパ部20の動作モードをスタンプモードに切り替える。
【0063】
耐タンパ部20がスタンプモードに切り替わると、カメラ部33での撮影が可能になり、ユーザがカメラ5を用いて被写体を撮影する。
カメラ5は、撮影された画像データから撮影データを生成して記憶部36に記憶しておき、ユーザがカメラ5をセンタサーバ2に接続した際に、撮影データをセンタサーバ2に送信する(ステップ50)。
センタサーバ2は、カメラ5から撮影データを受信し、タイムスタンプを確認した後、画像データに記憶する(ステップ60)。
【0064】
耐タンパ部20は、時刻監査からの期間が活性化時間を経過したか否かを監視しており、活性化時間を経過していない場合(ステップ55;N)、カメラ5は、ステップ50に戻って撮影可能な状態を維持する。
一方、活性化時間を経過した場合(ステップ55;N)、カメラ5は、時刻証明書要求ループを続行するか否かを判断する(ステップ65)。
【0065】
時刻証明書要求ループを続行する場合は(ステップ65;Y)、モード切替部51が耐タンパ部20の動作モードを監査モードに切り替えてカメラ5はステップ25に戻る。時刻証明書要求ループを続行しない場合(ステップ65;N)、カメラ5は動作を終了する。
カメラ5は、通常時刻証明書要求ループで連続的に動作するが、例えば、使用期間が限定されてる場合で使用期限が切れた場合など、時刻証明書要求ループを続行しない場合は自動停止する。
【0066】
次に、図8のフローチャートを用いてカメラ5の時刻監査についてより詳細に説明する。図8のステップ110〜ステップ140は、図7のステップ35に対応する。
カメラ5が時刻証明書を要求し(ステップ25)、これに応じて監査サーバ12が時刻証明書を送信する(ステップ30)。
カメラ5は、監査サーバ12から送信されてきた時刻証明書を受信し、これを耐タンパ部20に入力する。
そして、カメラ5は、時刻証明書に記されている基準時刻と内部クロック22が計測している時刻を比較する(ステップ110)。
【0067】
この比較は時刻ラベル、即ち分単位で行い、秒単位は行わない。例えば、時刻証明書に記載されていた時刻が「2005年3月20日12時30分3秒2百ミリ秒」で、内部クロック22の時刻が「2005年3月20日12時30分0秒5百ミリ秒」であった場合、両者は分単位以上が同じであるので、カメラ5は両者が一致すると判断する。
【0068】
時刻証明書に記載されていた時刻と内部クロック22の時刻が一致しない場合(ステップ115;N)、カメラ5はステップ25に戻り、監査サーバ12に再度時刻証明書の送信を要求する。
両時刻が一致する場合(ステップ115;Y)、カメラ5は、時刻証明書の有効性を確認する(ステップ120)。
【0069】
この有効性は、時刻証明書に付属するデジタル署名を監査用公開鍵で復号化してダイジェストを復元し、更に時刻証明書から監査サーバ12と同じ関数(例えば、ハッシュ関数)を用いてダイジェストを求め、両者の一致を確認することにより行う。
また、時刻証明書に時刻証明書の有効期限が付属している場合は、有効期限内であることを確認する。
【0070】
このように、時刻証明書と内部クロック22の時刻の比較を時刻証明書の有効性の確認の前に行ったのは、時刻の比較をなるべく速やかに行うためである。
即ち、有効性の確認の後に時刻の比較を行うと、有効性の確認に要する時間だけ内部クロック22の時刻が進んでしまい、時刻証明書に記載されている時刻との差が大きくなるためである。
【0071】
時刻証明書が有効でなかった場合(ステップ125;N)、カメラ5はステップ25に戻る。
時刻証明書が有効であった場合(ステップ125;Y)、カメラ5は、前回証明書に記載されている基準時刻と、時刻証明書に記載されている基準時刻との前後関係を比較する(ステップ130)。
【0072】
時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも前の時刻であった場合(ステップ135;N)、カメラ5はステップ25に戻る。
一方、時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも後の時刻であった場合(ステップ135;Y)、前回証明書を今回受け取った時刻証明書にて上書きするなどして置き換える。
【0073】
通信回線の状態などにより、監査エラーが発生する場合があり、この場合、カメラ5は、その都度ステップ25に戻って監査サーバ12に時刻証明書の発行を要求するようになっている。
そして、監査サーバ12は、監査の再実行が所定回数に達した場合は、カメラ5を停止させるコマンドをカメラ5に送信する。
このように、カメラ5で何らかの異常が発生していると考えられる場合、監査サーバ12はカメラ5を停止させることができる。
【0074】
次に、図9のフローチャートを用いて画像データの撮影処理についてより詳細に説明する。図9のステップ200〜ステップ220は、図7のステップ50に対応し、図9のステップ225、230は、図7のステップ60に対応する。
ユーザがカメラ5を操作して撮影操作を行うと、カメラ部33が被写体の投影像を画像データに変換し、撮影が実行される(ステップ200)。
【0075】
カメラ5は、カメラ部33から、画像データと撮影時の撮影情報(焦点距離、絞りなど)をバスラインを介して耐タンパ部20に入力すると共に、撮影時の位置情報をGPS部34からバスラインを介して耐タンパ部20に入力する(ステップ205)。
耐タンパ部20は、これらの情報が入力された時刻を内部クロック22から取得し、この時刻を撮影時刻とする(ステップ210)。
【0076】
次に、カメラ5は、耐タンパ部20内で、撮影データ(画像データ、時刻情報、位置情報、撮影情報など)からなるメッセージのダイジェストを作成し、これを機器秘密鍵でデジタル署名してタイムスタンプを発行する(ステップ215)。
カメラ5は、このようにして生成されたタイムスタンプ付き撮影データを記憶部36に記憶しておく。
【0077】
ユーザが撮影を終えてカメラ5をセンタサーバ2に接続すると、カメラ5は、記憶部36に記憶しておいたタイムスタンプ付き撮影データをセンタサーバ2に送信する(ステップ220)。
なお、カメラ5をセンタサーバ2に接続した際には、センタサーバ2はカメラ5の機器認証を行う。
【0078】
センタサーバ2は、タイムスタンプ付き撮影データをカメラ5から受信すると、当該カメラ5の機器IDを機器マスタで検索して機器公開鍵を取得する。
そして、センタサーバ2は、この機器公開鍵を用いてタイムスタンプの確認を行う(ステップ225)。
タイムスタンプの確認を終えると、センタサーバ2は、撮影データに含まれている画像データ、時刻情報、位置情報、撮影情報などを画像データベースに記憶し、これを更新する(ステップ230)。
【0079】
以上に説明した本実施の形態により次のような効果を得ることができる。
(1)カメラ5にタイムスタンプ機能が内蔵されてるため、画像データがタイムスタンプで証明される時刻に撮影されたものであることを保証することができる。更に、撮影の際の位置情報や撮影情報も保証することができる。
(2)内部クロック22の更正に、標準電波を用いるため、更正用の時刻を配信する設備が必要ない。
(3)時刻の更正は秒単位以下に対してしか行うことができないため、時刻ラベルの改竄を防ぐことができる。
(4)耐タンパ部20の動作をセキュリティモード(時刻監査、タイムスタンプの発行)と一般モード(同期)で切り替えるため、セキュリティを高めることができる。
(5)セキュリティに関する機能は耐タンパ部20の内部に設けられているため高いセキュリティレベルを維持することができる。
【0080】
なお、本実施の形態では、内部クロック22の計測する時刻を時刻ラベルと秒単位に区分し、時刻監査は時刻ラベルに対して行い、時刻の更正は標準電波にて秒単位に対して行ったが、従来技術のように時刻配信サーバを設け、これによって時刻配信を行い、これによって更正された内部クロック22の時刻を時刻監査するように構成してもよい。
【0081】
また、本実施の形態では、記録装置としてカメラ5を用い、画像データを記録対象の情報のデジタルデータとしたが、本実施の形態は、これに限定せず、火山ガス濃度の測定、騒音測定、大気汚染物質の測定、水質検査、地震測定、土木建築工事記録画像データなど、各種のものを対象とすることができる。
例えば、湖の水質検査を行う場合、検査装置に、本実施の形態の耐タンパ部20を備え、水質の検査データに、検査時刻及び検査位置などを付加してデジタル署名するように構成することができる。
【0082】
更に、スタンプモードから監査モードに強制的に移行するスイッチを用意しておき、撮影の前に監査と時刻補正を行っておけば、撮影前に活性化期間を最大限確保しておくことができる。
撮影前に活性化期間を最大限確保しておくことにより、撮影途中にモード切り替えによって撮影が中断される可能性を低減することができる。
【図面の簡単な説明】
【0083】
【図1】画像データ収集システムのネットワーク構成を示した図である。
【図2】カメラのハードウェア的な構成を説明するためのブロック図である。
【図3】カメラ、監査サーバ、及びセンタサーバの関係を説明するための図である。
【図4】内部クロックの更正について説明するための図である。
【図5】モード切替部のモード切替動作を説明するための図である。
【図6】カメラマスタ、画像データベースの論理的な構成を示した図である。
【図7】カメラが動作する手順を説明するためのフローチャートである。
【図8】時刻監査手順を説明するためのフローチャートである。
【図9】撮影手順を説明するためのフローチャートである。
【符号の説明】
【0084】
1 画像データ収集システム
2 センタサーバ
4 ネットワーク
8 基地局
11 標準電波送信装置
12 監査サーバ
【技術分野】
【0001】
本発明は、記録装置、及び記録方法に関し、例えば、データが取得された時刻や位置などを証明するものに関する。
【背景技術】
【0002】
保険査定用の事故車両の画像データ、火山ガス濃度の測定、騒音測定、大気汚染物質の測定、水質検査、地震測定、土木建築工事記録画像データなど、記録装置で記録対象のデータを記録する場合、記録を行った時刻や場所などの特定が重要となる場合がある。
このようなデータでは、記録した時刻や場所などの特定がなされていなかったり、不正確であったり、あるいは改竄された場合、これらのデータを用いて行う処理に大きな影響が及ぶ。
【0003】
そのため、データ記録時の時刻や場所を証明する技術が要望されていた。このような要望のうち、時刻証明を行う技術として次の文献で開示されているものがある。
【特許文献1】特開2001−297062公報 この技術は、時刻情報を経時変化情報(気象情報など)と対応づけて合成情報とすることにより、時刻情報の非改竄性を証明しようとするものである。合成情報は、商品に付与され、商品の時刻情報の証明に用いられる。 この技術を用いたサービスとして、画像データを認証センタに送信し、認証センタで画像データに合成情報を付与することにより、画像データの時刻証明を行うものも提案されている。
【発明の開示】
【発明が解決しようとする課題】
【0004】
しかし、この技術では、画像データを認証センタに送信するまでにデータ改竄の可能性があった。
【0005】
そこで、本発明の目的は、データの取得時刻などを証明できるようにすることである。
【課題を解決するための手段】
【0006】
本発明は、前記目的を達成するために、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、前記デジタルデータを取得した際の時刻を計測する時計装置と、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名手段と、を具備したことを特徴とする記録装置を提供する(第1の構成)。
第1の構成において、現在時刻送信装置が送信した現在時刻を受信する現在時刻受信手段と、前記受信した現在時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、を具備するように構成することもできる(第2の構成)。
第2の構成において、所定の監査サーバから基準時刻を受信する基準時刻受信手段と、前記所定単位以上の時刻において、前記時計装置の時刻と前記受信した基準時刻が一致する場合に前記署名手段を動作させ、一致しない場合に前記署名手段を停止させる監査結果実行手段と、を具備するように構成することもできる(第3の構成)。
第1の構成、第2の構成、又は第3の構成において、前記デジタルデータ取得手段は、光学系を用いて投影された投影像をデジタルデータに変換する電荷結合素子を含んでおり、前記署名手段は、前記デジタルデータを取得した際の前記光学系の状態に関するパラメータを前記記録データに含めるように構成することもできる(第4の構成)。
また、本発明は、デジタルデータ取得手段と、時計装置と、現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、署名手段と、を備えた記録装置に置いて、前記デジタルデータ取得手段によって、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、前記時計装置によって、前記デジタルデータを取得した際の時刻を計測する計測ステップと、前記現在位置情報取得手段によって、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得ステップと、前記署名手段によって、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名ステップ、から構成されたことを特徴とする記録方法を提供する。
【発明の効果】
【0007】
本発明によれば、記録装置がデータにタイムスタンプを発行することにより、データの取得時刻などを証明することができる。
【発明を実施するための最良の形態】
【0008】
(1)実施の形態の概要
カメラ5(図3)は、耐タンパ部20において、カメラ部33で撮影した画像データにタイムスタンプを発行する機能を有している。このタイムスタンプは、耐タンパ部20内に記憶してある機器秘密鍵を用いて画像データと内部クロック22の出力時刻をデジタル署名することにより行われる。
また、カメラ5は、GPS部34を備えており、撮影時の現在位置を示す位置情報と、撮影時におけるカメラ部33の光学系(焦点距離、絞りなど)を特定する撮影情報も画像データと共に合わせてデジタル署名する。
このように、カメラ5は、画像データと共に、時刻情報、位置情報、撮影情報を改竄できないように共に記録する。また、耐タンパ部20では、撮影を行うモードと、時刻監査や時刻補正を行うモードが分けられており、セキュリティレベルの向上が図られている。
【0009】
(2)実施の形態の詳細
図1は、本実施の形態の一例に係る画像データ収集システムのネットワーク構成を示した図である。
画像データ収集システム1は、例えば、保険会社が保険査定用の画像データを収集するシステムである。保険の査定に用いる画像データは、撮影時刻と撮影位置が証明できること、及び、データの非改竄を確認できることが重要である。画像データ収集システム1は、このような要望に応えるものである。
【0010】
画像データ収集システム1は、センタサーバ2、カメラ5、基地局8、監査サーバ12、標準電波送信装置11などがネットワーク4によって接続可能に配設されて構成されている。
センタサーバ2は、保険会社の本社などに設置され、カメラ5から送信されてくる撮影データのタイムスタンプを確認し、これをデータベースに記憶する。データベースに記憶された撮影データは、保険の査定業務などに利用される。
【0011】
カメラ5は、保険会社の支店や代理店などに設置され、例えば、事故現場など、保険の査定に必要な画像データを撮影するのに用いられる。
カメラ5は、撮影した画像データに位置情報を付与し、内部クロックで計測された時刻にてタイムスタンプを発行する。
なお、以下では、被写体を電子データ化したデータを画像データと呼び、画像データに時刻情報、位置情報、タイムスタンプなどの各種の付加的な情報を付与したものを撮影データと呼ぶことにする。
【0012】
監査サーバ12は、監査局が運用するサーバであって、カメラ5の内部クロックを監査する。
一般に、監査局は、カメラ5を運用する者とは第三者である事業体が運用している。そのため、カメラ5のユーザが監査サーバ12の運用者と共謀してタイムスタンプのバックデイトを行うことが事実上不可能になり、極めて高いセキュリティレベルを実現することができる。
【0013】
監査サーバ12は、原子時計と監査用秘密鍵を備えており、原子時計による基準時刻を監査用秘密鍵でデジタル署名して時刻証明書を作成し、これをカメラ5に送信する。
カメラ5は、監査用公開鍵を用いて時刻証明書を復号化し、この時刻証明書を用いて内部クロックが正しい時刻を出力しているか否かを確認する。そして、正しい時刻を出力していない場合、カメラ5は、タイムスタンプの発行を停止するようになっている。このように、監査サーバ12は、カメラ5に基準時刻を送信することにより時刻監査を行うことができる。
【0014】
標準電波送信装置11は、標準電波局が運用し、現在時刻を含む標準電波を不特定多数の受信装置に送信する送信装置であり、現在時刻送信装置として機能している。
カメラ5は、標準電波送信装置11が送信する標準電波を受信し、これを用いて内部クロックを更正する。このようにカメラ5は、現在時刻受信手段と、時刻補正手段を備えている。
なお、カメラ5は、GPS(Global Positioning Systems)を内蔵しており、カメラ5は、GPS信号に含まれる時刻情報を用いて内部クロックを補正するように構成することもできる。
【0015】
基地局8は、カメラ5をネットワーク4に接続するための中継局である。カメラ5が基地局8を介して行う通信は、例えば、SSL(Secure Sockets Layer)などの技術を用いて暗号化され、セキュリティを確保している。
【0016】
図2は、カメラ5のハードウェア的な構成の一例を説明するためのブロック図である。
カメラ5は、耐タンパ部20、CPU(Central Processing Unit)30、ROM(Read Only Memory)31、RAM(Random Access Memory)32、カメラ部33、GPS部34、操作部35、記憶部36、通信部37などがバスラインで接続されて構成されている。
【0017】
耐タンパ部20は、機器認証やタイムスタンプの発行などセキュリティに関わる情報処理を行う機能部であり、例えば、耐タンパ仕様の集積回路を収納したICチップによって構成された耐タンパモジュールである。
【0018】
耐タンパ仕様とは、例えば、内部構造を解析しようとすると自動的に内部構造を破壊するなど、改竄や複製、内部の論理構造の解読などの不正行為に対して十分な防御手段を講じるための仕様である。
そのため、耐タンパ部20は、外部からの解析が著しく困難で一種のブラックボックスとなっており、例えば、機器秘密鍵などの秘密情報を安全に保持することができる。
なお、タンパ(tamper)とは、装置に手を加えるという意味や、情報などを不正に変更するという意味があり、耐タンパとは、これらの操作に対して耐性を保持していることを意味する。
【0019】
耐タンパ部20は、CPU21、内部クロック22、ROM23、RAM24、EEPROM(Electrically Erasable and Programmable ROM)25、図示しない内部クロックなどがバスラインによって接続されて構成されている。
【0020】
CPU21は、EEPROM25、ROM23、RAM24などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
本実施の形態では、画像データにタイムスタンプを発行したり、時刻監査や時刻の更正などを行う。
【0021】
内部クロック22は、時計装置であって、耐タンパ部20を駆動するためのクロックを発生させるほか、カメラ部33で撮影された画像データにタイムスタンプを発行するための時刻情報を出力する。
内部クロック22は、計測部35の外部クロック28と同期しており、CPU21とCPU30はタイミングを同期させて協働して動作することができる。
【0022】
ROM23は、読み出し専用の記憶装置(メモリ)であって、耐タンパ部20を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM24は、読み書き可能な記憶装置であって、CPU21が各種の情報処理を行う際のワーキングエリアを提供する。
【0023】
EEPROM25は、読み書きが可能な不揮発性の記憶装置であり、プログラムやデータなどが記憶されている。
本実施の形態では、一例として、機器ID、監査用公開鍵、機器秘密鍵、前回証明書のほか、CPU21がタイムスタンプ発行機能を発揮するためのタイムスタンププログラム、CPU21を駆動するための基本的なプログラムであるOS(Operating System)などが記憶されている。これらに付いては後ほど説明する。
このように、EEPROM25は機器秘密鍵を記憶しており、秘密鍵記憶手段として機能している。
【0024】
CPU30は、記憶部36、ROM31、RAM32などに記憶されているプログラムに従って各種の情報処理を行う中央処理装置である。
CPU30は、CPU21と協働して動作し、例えば、カメラ部33で撮影された画像データやGPS部34で検出された位置情報などを耐タンパ部20に入力したり、耐タンパ部20から出力されたタイムスタンプ付き撮影データをセンタサーバ2に送信したりなどする。
【0025】
ROM31は、読み出し専用の記憶装置であって、CPU30を駆動するための基本的なプログラムやパラメータなどを格納している。
RAM32は、読み書き可能な記憶装置であって、CPU30が各種の情報処理を行う際のワーキングエリアを提供する。
【0026】
カメラ部33は、レンズや絞りなどの光学系や、これらを自動調節する調節機構、レンズによって投影された投影像を電気信号に変換するCCD(Charge Coupled Device:電荷結合素子)などから構成されている。カメラ部33によって、撮影対象の画像データが生成される。
カメラ部33は、記録対象(被写体)の情報(画像)をデジタルデータ(画像データ)として取得するデジタルデータ取得手段として機能している。
【0027】
GPS部34は、地球上空を周回する複数のGPS衛生が送信するGPS信号を受信し、カメラ5の現在位置を解析して電気信号として出力するモジュールである。GPS部34は、現在位置情報取得手段として機能している。
操作部35は、担当者がカメラ5を操作するための操作ボタンやシャッターボタンなどから構成されている。また、図示しないが、CPU30には、各種情報を担当者に提示するための液晶表示装置やブザー音などを発生する音声発生装置なども接続されている。
【0028】
記憶部36は、例えば、EEPROMによって構成されており、各種プログラムやデータなどが記憶されている。
記憶部36に記憶しているプログラムをCPU30で実行することにより、センタサーバ2や監査サーバ12などと通信したり、カメラ5にカメラとしての機能を発揮させたりすることができる。
通信部37は、カメラ5をネットワーク4に接続するインターフェースであって、基地局8と無線通信するためのRF回路やアンテナなどを備えている。
【0029】
外部クロック28は、カメラ5を駆動するためのクロックを発生させる。また、一般に外部クロック28は内部クロック22よりも精度が高いため、外部クロック28を標準電波送信装置11の標準電波で更正し、当該更正された外部クロック28を用いて内部クロック22を更正するように構成されている。
【0030】
図3は、カメラ5、監査サーバ12、及びセンタサーバ2の関係を説明するための図である。
監査サーバ12は、時刻証明書に記載する時刻を計測するための原子時計を備え、更に監査用秘密鍵を記憶している。
監査サーバ12がカメラ5に送信する時刻証明書には、基準時刻、制限時間、シリアル番号、固有情報、デジタル署名などが含まれている。
基準時刻は、原子時計が計測した時刻を用いて構成された時刻であり、原子時計の現在時刻をそのまま用いてもよいし、あるいは、通信の遅延が問題になる場合は、遅延時間で現在時刻を補正した値を用いるなど、何らかの補正を施した値を用いてもよい。
【0031】
制限時間は、時刻証明書に記録してある基準時刻の有効期限である。即ち、時刻証明書に記してある基準時刻で監査した内部クロック22の出力時刻は、この制限時間の間、監査局により精度が保証される。
カメラ5は、この制限時間の範囲内でタイムスタンプを発行することができ、このタイムスタンプを発行できる時間を活性化時間と呼ぶ。
【0032】
シリアル番号は、監査サーバ12が発行順に付与する時刻証明書の番号であるが、連番を発行すると、外部から推測が容易になる可能性があることから、本実施の形態では、シリアル番号を乱数により構成した。
固有情報は、例えば、耐タンパ部20のID情報など、カメラ5のハードウェアに固有な情報である。固有情報が一致しない場合、耐タンパ部20はエラーを発する。
【0033】
なお、これらの項目のほかに、時刻証明書の有効期限や、時刻証明書の正当性が確認された後、カメラ5と監査サーバ12の間の通信の共通鍵なども時刻証明書に含めることができる。
【0034】
デジタル署名は、メッセージのダイジェストを監査用秘密鍵で暗号化したものである。
ここで、メッセージは、現在時刻、制限時間、シリアル番号、固有情報など、改竄防止を要する情報であり、ダイジェストはメッセージを、例えば、ハッシュ関数によって演算したハッシュ値である。
時刻証明書の受信者は、メッセージからダイジェストを作成し、更に、デジタル署名を監査用公開鍵で復号化してダイジェストを復元する。そして、両者の一致によって時刻証明書の内容が改竄されていないことを確認することができる。
【0035】
カメラ5は、耐タンパ部20に、先に説明した監査用公開鍵、機器秘密鍵、及び前回証明書を記憶し、内部クロック22を備えるほか、モード切替部51を有している。
モード切替部51は、EEPROM25に記憶されたタイムスタンププログラムをCPU21で実行することにより構成されたものである。
【0036】
監査用公開鍵は、監査サーバ12から送信されてくる時刻証明書を受信し(基準時刻受信手段)、これに付随するデジタル署名を復号化するための公開鍵情報である。
耐タンパ部20は、監査用公開鍵を用いて時刻証明書の正統性を確認することができ、基準時刻の有効性を確認する。
【0037】
機器秘密鍵は、センタサーバ2に送信する撮影データにタイムスタンプを発行するのに用いる。
ここで、メッセージとして用いられる情報は、画像データ、時刻情報、位置情報、撮影情報などからなる撮影データであり、この撮影データのダイジェストを機器秘密鍵でデジタル署名することによりタイムスタンプが発行されている。
このように、撮影データは、デジタルデータ(画像データ)と、時刻(時刻情報)と、現在位置情報(位置情報)を含む記録データとして機能しており、耐タンパ部20は、これにデジタル署名を行う(タイムスタンプを発行する)署名手段を備えている。
【0038】
内部クロック22は、タイムスタンプを発行する際の時刻情報を付与する。即ち、耐タンパ部20は、カメラ部33から画像データを取得した時刻を内部クロック22で計測し、この時刻を以て撮影時刻とし、タイムスタンプを発行する。
【0039】
ここで、内部クロック22の更正について図4を用いてより詳細に説明する。
図4は、内部クロック22が計測する時刻の一例を示しており、一例として「2005年3月30日15時30分20秒2百ミリ秒」となっている。このように内部クロック22は時刻を百ミリ秒単位で計測している。
【0040】
耐タンパ部20は、内部クロック22の時刻を分以上の部分(以下、時刻ラベルと呼ぶ)と秒単位に区分して管理しており、時刻監査は時刻ラベルに対して行い、時刻の更正は秒単位に対して行う。
このため、内部クロック22の時刻のうち、セキュリティを要する部分(時刻ラベル)については改竄を行うことができず、セキュリティを高めることができる。また、品質を提供する部分(秒単位)は、標準電波によって高精度に更正される。
【0041】
なお、本実施の形態では、一例として秒単位を境としてセキュリティに関係する部分と品質保証に関係する部分に時刻を区分したが、これに限定するものではなく、画像データに必要とされる時刻精度応じて、更に大きい単位、あるいは小さい単位で区分することも可能である。
即ち、例えば、タイムスタンプで1秒単位まで正確な時刻が必要な場合は、1秒以上の部分を監査サーバ12で監査し、999ミリ秒以下の時刻を標準電波で更正する。
【0042】
図3に戻り、前回証明書は、前回の時刻監査の際に監査サーバ12から送られてきて使用した時刻証明書をEEPROM25に記憶しておいたものである。即ち、前回証明書は、直近の過去に監査サーバ12から受信した時刻証明書である。
耐タンパ部20は、監査サーバ12から送信されてきた時刻証明書の基準時刻を確認する際に、この基準時刻が前回に監査サーバ12から受信した基準時刻よりも後であることを確認する。
【0043】
タイムスタンプにおいて、最も防がなくてはならないことは、改竄などによりバックデイト(過去の時刻を出力させること)された時刻でタイムスタンプを発行することである。
そのため、耐タンパ部20は、監査サーバ12から送信されてきた基準時刻が前回に監査を行った時刻(前回証明書に記載されている時刻)よりも後であることを確認する。
【0044】
そして、監査サーバ12から送信されてきた基準時刻が前回証明書に記載された時刻よりも前である場合は、エラーメッセージを発するなどして監査モード(後述)で停止し、タイムスタンプの発行を行わない。
【0045】
このように前回の基準時刻を記憶しておき、監査に用いる基準時刻がこれよりも後の時刻であることを確認することにより、バックデイトされた時刻でタイムスタンプが発行されるのを防止することができる。
なお、工場出荷時に、デフォルトの前回証明書をEEPROM25に記憶させておく。
【0046】
モード切替部51は、耐タンパ部20のタイムスタンプ機能に関する動作モードを順次切り替える機能部である。
耐タンパ部20が行う動作モードには、監査モード、同期モード、スタンプモードがある。
これらの各動作モードはそれぞれ独立したモジュールが行い、モジュール間の干渉が生じないようにしてある。
【0047】
監査モードは、監査サーバ12から送信されてきた基準時刻を用いて内部クロック22の時刻ラベルが正しいことを監査する動作モードである。
同期モードは、標準電波送信装置11から標準電波により配信される現在時刻を用いて(より厳密には、標準電波で更正された外部クロック28を用いて)内部クロック22の秒単位の部分を正確な時刻に同期させる(即ち、更正する)動作モードである。
スタンプモードは、計測部35が計測した計測値に対してタイムスタンプを発行する動作モードである。
【0048】
モード切替部51は、耐タンパ部20の動作モードを、図5に示したように、監査モード→同期モード→スタンプモード→監査モード→・・・、といったように、所定の順序にて順次切り替えていく。
これらのモードのうち、監査モードとスタンプモードは、時刻ラベルを扱うため、高いセキュリティを要する動作モードであり(セキュリティモード)、一方、同期モードは秒単位を扱うため、高いセキュリティが必ずしも必要ない動作モード(一般モード)である。
【0049】
そして、モード切替部51は、現在動作中の動作モードが完了するまでは耐タンパ部20を次の動作モードに切り替えない。
そのため、スタンプモードで動作するためには、監査モードと同期モードが完了していることが必要となり、耐タンパ部20は、監査、同期された時刻にてタイムスタンプを発行することができる。このように、モード切替部51は、監査結果実行手段として機能している。
また、耐タンパ部20は、監査モード、同期モードの少なくとも一方でエラーが発生した場合に、タイムスタンプの発行を停止することができる。
【0050】
このように、耐タンパ部20は、セキュリティモードと一般モードを切り替えて動作することにより、高いセキュリティの必要な処理と高いセキュリティの必要のない処理を同時に行うことを防止している。
しかも、各動作モードは独立したモジュールにて動作するため、耐タンパ部20は、セキュリティモードでの処理と一般モードでの処理が耐タンパ部20内で干渉することを防ぐことができ、クラッキングなどの不正アクセスに対して高い耐性を備えている。
【0051】
なお、耐タンパ部20では、セキュリティモードを監査モードとスタンプモードに区分して切り替えているが、これらは何れもセキュリティモードなので、同じモードにて監査とスタンプの発行を行うように構成してもよい。
更に、本実施の形態では、監査モード→同期モード→スタンプモード→監査モード・・・の順序でモードの切り替えを行ったが、モード切り替えの順序はこれに限定するものではなく、例えば、同期モード→監査モード→スタンプモード→同期モード→・・・など、他の順序で動作モードを切り替えてもよい。
【0052】
次に、以上のように構成されたカメラ5が生成したタイムスタンプ付き撮影データ(図3)について説明する。
図3には、タイムスタンプ付き撮影データの論理的な構成が模式的に表されている。
撮影データは、画像データ、時刻情報、位置情報、撮影情報などから構成され、これにタイムスタンプを付与してタイムスタンプ付き撮影データが構成されている。
撮影データは、カメラ5で撮影するごとに生成され、記憶部36に一時記憶され、後ほどセンタサーバ2に送信される。
【0053】
画像データは、カメラ部33において被写体の投影像をCCDによって電子データ化したデータであり、撮影後速やかにカメラ部33から耐タンパ部20に入力されたものである。
時刻情報は、耐タンパ部20が画像データにタイムスタンプを発行する時刻である。カメラ部33が画像データを撮影してから耐タンパ部20がタイムスタンプを発行するまでは僅かな時間差があるが、実用上問題ない程度であるので、タイムスタンプの発行時刻を画像データが撮影された時刻として扱う。
【0054】
位置情報は、画像データの撮影の際に、GPS部34によって検出された撮影時の現在位置情報(緯度経度が特定できる)である。
撮影情報は、撮影時の焦点距離や絞りなど、カメラ部33の光学系に関するパラメータから構成されている。
撮影情報は、画像データが撮影された際の状況を検証するのに用いることができる。例えば、事故車両の偽造写真を被写体として撮影した画像データの場合、焦点距離が本来の値より短くなることが考えられ、焦点距離の検証により、このような偽造を発見することができる。
【0055】
タイムスタンプは、画像データ、時刻情報、位置情報、撮影情報などからなるメッセージのダイジェスト(例えば、ハッシュ値)をカメラ5が機器秘密鍵で暗号化することによりデジタル署名したものである。
撮影データの正統性(即ち、改竄されていないか、また、カメラ5によって作成されたものであるかなど)を検証する者(センタサーバ2など)は、機器公開鍵でダイジェストを復元し、更に、画像データ、時刻情報、位置情報、撮影情報などからダイジェストを生成し、両者の一致を確認すればよい。
【0056】
このように、カメラ5は、タイムスタンプ機能を内蔵しており、撮影と共にタイムスタンプを発行するため、当該撮影データが確かに当該撮影時刻、撮影位置にて撮影されたことを保証することができる。
【0057】
センタサーバ2(図3)は、カメラ5を登録したカメラマスタとカメラ5から送信された画像データを記憶する画像データベースを備えている。
図6(a)は、カメラマスタの論理的な構成の一例を示した図である。
カメラマスタは、「機器ID」、「機器公開鍵」、「型番」、「設置箇所」、「設置日」、・・・などの各項目から構成されている。
機器IDは、カメラ5を識別するのに用いられる。機器公開鍵は画像データのタイムスタンプ(デジタル署名)を確認するのに用いる。また、カメラ5を機器認証するための機器認証情報もカメラマスタに記憶するように構成することもできる。
【0058】
図6(b)は、画像データベースの論理的な構成の一例を示した図である。
画像データベースは、「機器ID」、「受信時刻」、「画像データ」、「時刻情報」、「位置情報」、「撮影情報」、・・・などの項目から構成されている。
機器IDは、画像データの撮影元であるカメラ5の機器IDであり、受信時刻は、センタサーバ2が画像データを受信した時刻である。
画像データ、時刻情報、位置情報、撮影情報は、それぞれ撮影データに含まれていたものである。
センタサーバ2は、カメラ5の機器公開鍵で撮影データのタイムスタンプを検証し、画像データやその他の情報が改竄されていないことを確認してからこれらを画像データベースに登録する。
【0059】
次に、図7のフローチャートを用いてカメラ5が動作する手順について説明する。
ここでは、カメラ5が監査モードに切り替わった時点から説明する。なお、以下のカメラ5の動作は耐タンパ部20が行うものである。
まず、モード切替部51が耐タンパ部20を監査モードに切り替えると、カメラ5は、監査サーバ12に接続し、時刻証明書の送信を要求する(ステップ25)。
【0060】
監査サーバ12は、カメラ5から時刻証明書の送信要求を受けると、原子時計の出力する時刻を用いて時刻証明書作成し、カメラ5に送信する(ステップ30)。
カメラ5は、監査サーバ12から時刻証明書を受信すると、監査用公開鍵を用いて時刻証明書のデジタル署名を確認した後、時刻証明書の基準時刻と、内部クロック22が計測している時刻の時刻ラベル(図4)が一致することを確認する(ステップ35)。
【0061】
時刻ラベルが基準時刻ラベルと一致しない場合、耐タンパ部20では、モード切替部51がモード切り替えを停止し、カメラ5は停止してエラーメッセージを提示する。これによって、ユーザは、カメラ5の異常を検知することができる。
時刻ラベルと基準時刻が一致する場合、モード切替部51は、耐タンパ部20の動作モードを同期モードに切り替える。
【0062】
耐タンパ部20が同期モードに設定されると、耐タンパ部20は、外部クロック28の時刻を用いて内部クロック22の秒単位を更正する(ステップ45)。
外部クロック28は、標準電波送信装置11が放送している標準電波(ステップ40)によって、常時正確な時刻に更正されている。
内部クロック22の秒単位の更正が完了すると、モード切替部51は、耐タンパ部20の動作モードをスタンプモードに切り替える。
【0063】
耐タンパ部20がスタンプモードに切り替わると、カメラ部33での撮影が可能になり、ユーザがカメラ5を用いて被写体を撮影する。
カメラ5は、撮影された画像データから撮影データを生成して記憶部36に記憶しておき、ユーザがカメラ5をセンタサーバ2に接続した際に、撮影データをセンタサーバ2に送信する(ステップ50)。
センタサーバ2は、カメラ5から撮影データを受信し、タイムスタンプを確認した後、画像データに記憶する(ステップ60)。
【0064】
耐タンパ部20は、時刻監査からの期間が活性化時間を経過したか否かを監視しており、活性化時間を経過していない場合(ステップ55;N)、カメラ5は、ステップ50に戻って撮影可能な状態を維持する。
一方、活性化時間を経過した場合(ステップ55;N)、カメラ5は、時刻証明書要求ループを続行するか否かを判断する(ステップ65)。
【0065】
時刻証明書要求ループを続行する場合は(ステップ65;Y)、モード切替部51が耐タンパ部20の動作モードを監査モードに切り替えてカメラ5はステップ25に戻る。時刻証明書要求ループを続行しない場合(ステップ65;N)、カメラ5は動作を終了する。
カメラ5は、通常時刻証明書要求ループで連続的に動作するが、例えば、使用期間が限定されてる場合で使用期限が切れた場合など、時刻証明書要求ループを続行しない場合は自動停止する。
【0066】
次に、図8のフローチャートを用いてカメラ5の時刻監査についてより詳細に説明する。図8のステップ110〜ステップ140は、図7のステップ35に対応する。
カメラ5が時刻証明書を要求し(ステップ25)、これに応じて監査サーバ12が時刻証明書を送信する(ステップ30)。
カメラ5は、監査サーバ12から送信されてきた時刻証明書を受信し、これを耐タンパ部20に入力する。
そして、カメラ5は、時刻証明書に記されている基準時刻と内部クロック22が計測している時刻を比較する(ステップ110)。
【0067】
この比較は時刻ラベル、即ち分単位で行い、秒単位は行わない。例えば、時刻証明書に記載されていた時刻が「2005年3月20日12時30分3秒2百ミリ秒」で、内部クロック22の時刻が「2005年3月20日12時30分0秒5百ミリ秒」であった場合、両者は分単位以上が同じであるので、カメラ5は両者が一致すると判断する。
【0068】
時刻証明書に記載されていた時刻と内部クロック22の時刻が一致しない場合(ステップ115;N)、カメラ5はステップ25に戻り、監査サーバ12に再度時刻証明書の送信を要求する。
両時刻が一致する場合(ステップ115;Y)、カメラ5は、時刻証明書の有効性を確認する(ステップ120)。
【0069】
この有効性は、時刻証明書に付属するデジタル署名を監査用公開鍵で復号化してダイジェストを復元し、更に時刻証明書から監査サーバ12と同じ関数(例えば、ハッシュ関数)を用いてダイジェストを求め、両者の一致を確認することにより行う。
また、時刻証明書に時刻証明書の有効期限が付属している場合は、有効期限内であることを確認する。
【0070】
このように、時刻証明書と内部クロック22の時刻の比較を時刻証明書の有効性の確認の前に行ったのは、時刻の比較をなるべく速やかに行うためである。
即ち、有効性の確認の後に時刻の比較を行うと、有効性の確認に要する時間だけ内部クロック22の時刻が進んでしまい、時刻証明書に記載されている時刻との差が大きくなるためである。
【0071】
時刻証明書が有効でなかった場合(ステップ125;N)、カメラ5はステップ25に戻る。
時刻証明書が有効であった場合(ステップ125;Y)、カメラ5は、前回証明書に記載されている基準時刻と、時刻証明書に記載されている基準時刻との前後関係を比較する(ステップ130)。
【0072】
時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも前の時刻であった場合(ステップ135;N)、カメラ5はステップ25に戻る。
一方、時刻証明書に記載されている基準時刻が、前回証明書に記載されている基準時刻よりも後の時刻であった場合(ステップ135;Y)、前回証明書を今回受け取った時刻証明書にて上書きするなどして置き換える。
【0073】
通信回線の状態などにより、監査エラーが発生する場合があり、この場合、カメラ5は、その都度ステップ25に戻って監査サーバ12に時刻証明書の発行を要求するようになっている。
そして、監査サーバ12は、監査の再実行が所定回数に達した場合は、カメラ5を停止させるコマンドをカメラ5に送信する。
このように、カメラ5で何らかの異常が発生していると考えられる場合、監査サーバ12はカメラ5を停止させることができる。
【0074】
次に、図9のフローチャートを用いて画像データの撮影処理についてより詳細に説明する。図9のステップ200〜ステップ220は、図7のステップ50に対応し、図9のステップ225、230は、図7のステップ60に対応する。
ユーザがカメラ5を操作して撮影操作を行うと、カメラ部33が被写体の投影像を画像データに変換し、撮影が実行される(ステップ200)。
【0075】
カメラ5は、カメラ部33から、画像データと撮影時の撮影情報(焦点距離、絞りなど)をバスラインを介して耐タンパ部20に入力すると共に、撮影時の位置情報をGPS部34からバスラインを介して耐タンパ部20に入力する(ステップ205)。
耐タンパ部20は、これらの情報が入力された時刻を内部クロック22から取得し、この時刻を撮影時刻とする(ステップ210)。
【0076】
次に、カメラ5は、耐タンパ部20内で、撮影データ(画像データ、時刻情報、位置情報、撮影情報など)からなるメッセージのダイジェストを作成し、これを機器秘密鍵でデジタル署名してタイムスタンプを発行する(ステップ215)。
カメラ5は、このようにして生成されたタイムスタンプ付き撮影データを記憶部36に記憶しておく。
【0077】
ユーザが撮影を終えてカメラ5をセンタサーバ2に接続すると、カメラ5は、記憶部36に記憶しておいたタイムスタンプ付き撮影データをセンタサーバ2に送信する(ステップ220)。
なお、カメラ5をセンタサーバ2に接続した際には、センタサーバ2はカメラ5の機器認証を行う。
【0078】
センタサーバ2は、タイムスタンプ付き撮影データをカメラ5から受信すると、当該カメラ5の機器IDを機器マスタで検索して機器公開鍵を取得する。
そして、センタサーバ2は、この機器公開鍵を用いてタイムスタンプの確認を行う(ステップ225)。
タイムスタンプの確認を終えると、センタサーバ2は、撮影データに含まれている画像データ、時刻情報、位置情報、撮影情報などを画像データベースに記憶し、これを更新する(ステップ230)。
【0079】
以上に説明した本実施の形態により次のような効果を得ることができる。
(1)カメラ5にタイムスタンプ機能が内蔵されてるため、画像データがタイムスタンプで証明される時刻に撮影されたものであることを保証することができる。更に、撮影の際の位置情報や撮影情報も保証することができる。
(2)内部クロック22の更正に、標準電波を用いるため、更正用の時刻を配信する設備が必要ない。
(3)時刻の更正は秒単位以下に対してしか行うことができないため、時刻ラベルの改竄を防ぐことができる。
(4)耐タンパ部20の動作をセキュリティモード(時刻監査、タイムスタンプの発行)と一般モード(同期)で切り替えるため、セキュリティを高めることができる。
(5)セキュリティに関する機能は耐タンパ部20の内部に設けられているため高いセキュリティレベルを維持することができる。
【0080】
なお、本実施の形態では、内部クロック22の計測する時刻を時刻ラベルと秒単位に区分し、時刻監査は時刻ラベルに対して行い、時刻の更正は標準電波にて秒単位に対して行ったが、従来技術のように時刻配信サーバを設け、これによって時刻配信を行い、これによって更正された内部クロック22の時刻を時刻監査するように構成してもよい。
【0081】
また、本実施の形態では、記録装置としてカメラ5を用い、画像データを記録対象の情報のデジタルデータとしたが、本実施の形態は、これに限定せず、火山ガス濃度の測定、騒音測定、大気汚染物質の測定、水質検査、地震測定、土木建築工事記録画像データなど、各種のものを対象とすることができる。
例えば、湖の水質検査を行う場合、検査装置に、本実施の形態の耐タンパ部20を備え、水質の検査データに、検査時刻及び検査位置などを付加してデジタル署名するように構成することができる。
【0082】
更に、スタンプモードから監査モードに強制的に移行するスイッチを用意しておき、撮影の前に監査と時刻補正を行っておけば、撮影前に活性化期間を最大限確保しておくことができる。
撮影前に活性化期間を最大限確保しておくことにより、撮影途中にモード切り替えによって撮影が中断される可能性を低減することができる。
【図面の簡単な説明】
【0083】
【図1】画像データ収集システムのネットワーク構成を示した図である。
【図2】カメラのハードウェア的な構成を説明するためのブロック図である。
【図3】カメラ、監査サーバ、及びセンタサーバの関係を説明するための図である。
【図4】内部クロックの更正について説明するための図である。
【図5】モード切替部のモード切替動作を説明するための図である。
【図6】カメラマスタ、画像データベースの論理的な構成を示した図である。
【図7】カメラが動作する手順を説明するためのフローチャートである。
【図8】時刻監査手順を説明するためのフローチャートである。
【図9】撮影手順を説明するためのフローチャートである。
【符号の説明】
【0084】
1 画像データ収集システム
2 センタサーバ
4 ネットワーク
8 基地局
11 標準電波送信装置
12 監査サーバ
【特許請求の範囲】
【請求項1】
記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、
前記デジタルデータを取得した際の時刻を計測する時計装置と、
前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得手段と、
秘密鍵を記憶する秘密鍵記憶手段と、
前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名手段と、
を具備したことを特徴とする記録装置。
【請求項2】
現在時刻送信装置が送信した現在時刻を受信する現在時刻受信手段と、
前記受信した現在時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、
を具備したことを特徴とする請求項1に記載の記録装置。
【請求項3】
所定の監査サーバから基準時刻を受信する基準時刻受信手段と、
前記所定単位以上の時刻において、前記時計装置の時刻と前記受信した基準時刻が一致する場合に前記署名手段を動作させ、一致しない場合に前記署名手段を停止させる監査結果実行手段と、
を具備したことを特徴とする請求項2に記載の記録装置。
【請求項4】
前記デジタルデータ取得手段は、光学系を用いて投影された投影像をデジタルデータに変換する電荷結合素子を含んでおり、
前記署名手段は、前記デジタルデータを取得した際の前記光学系の状態に関するパラメータを前記記録データに含めることを特徴とする請求項1、請求項2、又は請求項3に記載の記録装置。
【請求項5】
デジタルデータ取得手段と、時計装置と、現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、署名手段と、を備えた記録装置に置いて、
前記デジタルデータ取得手段によって、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、
前記時計装置によって、前記デジタルデータを取得した際の時刻を計測する計測ステップと、
前記現在位置情報取得手段によって、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得ステップと、
前記署名手段によって、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名ステップ、
から構成されたことを特徴とする記録方法。
【請求項1】
記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、
前記デジタルデータを取得した際の時刻を計測する時計装置と、
前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得手段と、
秘密鍵を記憶する秘密鍵記憶手段と、
前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名手段と、
を具備したことを特徴とする記録装置。
【請求項2】
現在時刻送信装置が送信した現在時刻を受信する現在時刻受信手段と、
前記受信した現在時刻を用いて、前記時計装置が計測する時刻のうち所定単位よりも小さい単位の時刻を補正する時刻補正手段と、
を具備したことを特徴とする請求項1に記載の記録装置。
【請求項3】
所定の監査サーバから基準時刻を受信する基準時刻受信手段と、
前記所定単位以上の時刻において、前記時計装置の時刻と前記受信した基準時刻が一致する場合に前記署名手段を動作させ、一致しない場合に前記署名手段を停止させる監査結果実行手段と、
を具備したことを特徴とする請求項2に記載の記録装置。
【請求項4】
前記デジタルデータ取得手段は、光学系を用いて投影された投影像をデジタルデータに変換する電荷結合素子を含んでおり、
前記署名手段は、前記デジタルデータを取得した際の前記光学系の状態に関するパラメータを前記記録データに含めることを特徴とする請求項1、請求項2、又は請求項3に記載の記録装置。
【請求項5】
デジタルデータ取得手段と、時計装置と、現在位置情報取得手段と、秘密鍵を記憶する秘密鍵記憶手段と、署名手段と、を備えた記録装置に置いて、
前記デジタルデータ取得手段によって、記録対象の情報をデジタルデータとして取得するデジタルデータ取得手段と、
前記時計装置によって、前記デジタルデータを取得した際の時刻を計測する計測ステップと、
前記現在位置情報取得手段によって、前記デジタルデータを取得した際の現在位置情報を取得する現在位置情報取得ステップと、
前記署名手段によって、前記取得したデジタルデータと、前記取得した時刻と、前記取得した現在位置情報と、を含む記録データを生成し、前記記憶した秘密鍵で当該生成した記録データをデジタル署名する署名ステップ、
から構成されたことを特徴とする記録方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【公開番号】特開2007−221551(P2007−221551A)
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願番号】特願2006−40893(P2006−40893)
【出願日】平成18年2月17日(2006.2.17)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
【公開日】平成19年8月30日(2007.8.30)
【国際特許分類】
【出願日】平成18年2月17日(2006.2.17)
【出願人】(000002325)セイコーインスツル株式会社 (3,629)
【Fターム(参考)】
[ Back to top ]