JP2004040273A - Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus - Google Patents
Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus Download PDFInfo
- Publication number
- JP2004040273A JP2004040273A JP2002191557A JP2002191557A JP2004040273A JP 2004040273 A JP2004040273 A JP 2004040273A JP 2002191557 A JP2002191557 A JP 2002191557A JP 2002191557 A JP2002191557 A JP 2002191557A JP 2004040273 A JP2004040273 A JP 2004040273A
- Authority
- JP
- Japan
- Prior art keywords
- client
- server
- electronic information
- key
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
【0001】
【発明の属する技術分野】
本発明は、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間のネットワークを基にするデータ伝送において、保安を維持する方法及び装置に関する。
【0002】
【従来の技術】
一般に、保安はネットワーク環境下におけるシステム保安とネットワーク保安とに分けられる。システム保安は、インターネットを構成しているコンピュータ、ネットワーク装置(ラウター等)に対する保安であって、運用体制、クライアント/サーバアプリケーション、ファイルシステム等の対する保安を含む。
ネットワーク保安は、システムとシステムを連結する通信プロトコルとに対する保安であって、ネットワークを通じて伝送されるデータの保護が最も主な要素である。ネットワーク保安は、TELNET、FTP、HTTP、SMTP等のような全ての通信プロトコルを通じて伝送されるデータの保護を意味するが、ネットワークの特性上、相互運用性(Inter−operability)が要求される分野であるから標準単体により標準化がなされている。
【0003】
現在、イーサネット(Ethernet)(登録商標)を使用するところでは、そのサブネット内でデータの割込みがどのくらいでも可能であるのみならず、甚だしくはこれらを記録してやるプログラムも存在している。
通常、ネットワーク上でデータに対する情報を保護するためには、暗号化方式を多く使用する。単純暗号化のみを通じて間違いに設計されたプロトコルの場合は、再生(Replay)を通じて攻撃受けることもある。ハッカーはデータの内容を知っていなくても観察された通信内容を同一に再生すると同一な結果が得られる。従って、単純な暗号化以外に暗号化通信を行う場合、データはいろいろな情報を含んで暗号化することが普通である。
【0004】
暗号化方式には、ハッシュ暗号化方式、対称鍵暗号化方式、公開鍵暗号化方式等、いろいろなものがある。
対称鍵暗号化方式は、暗号化する鍵と復号化する鍵とが同じとか、或いは、1つを知っていると対称される鍵が容易に分る暗号システムをいう。
対称鍵暗号化方式は、EK=DKで、2つの鍵が同じとか、1つの鍵を知った時、他の鍵を容易に分る場合であって、送信者と受信者とが予め鍵を共有していなければならない。該暗号システムの安全性は鍵によるが、これを下記の数1に表す。
【0005】
【数1】
【0006】
対称鍵暗号化方式は、公開鍵暗号化方式に比べてアルゴリズムの内部構造が簡単な置換と順列の組合せからなっており、計算の複雑度が低く、システム環境に合う適切な暗号アルゴリズムの開発を容易に具現することができ、暗号化/復号化の速度が早く、乱数発生機がハッシュ関数のように別の暗号手法等と容易に連動される。対称鍵暗号化方式は、暗号化鍵の大きさが公開鍵暗号システムよりは相対的に小さくて、効率の良い暗号システムを構築することができる。しかし、対称鍵暗号化方式は、情報を交換する当事者間に同じ鍵を共有しなければならないので、多くの人との情報交換時に1人の使用者は多くの鍵を維持管理しなければならない難しさがある。対称鍵暗号化方式の代表的な例としては、SEED、AES(Rijndael)、3DES、GOST、IDEA、SKIPJACK(3)等がある。
【0007】
公開鍵方式(Public Key Method)は、鍵双(Key Pair)を生成した後、1つの鍵(Public Key)を相対側に公開した後、これを用いてデータを保護するとか無欠性、認証、否認封鎖等を満足させることができる方法である。鍵双とは非対称暗号化アルゴリズムの鍵双をいい、1つの鍵で暗号化すると別の1つの鍵のみに復号化することができる。
公開鍵方式は、2つの用途に用いられる。第1に、公開鍵方式は、送信者が受信者の公開鍵で暗号化して伝送した時、受信者でなければ復号化して情報を得ることができないので、データの保護に用いる。第2に、公開鍵方式は、送信者が自分の個人鍵で暗号化したデータを伝送した時、受信者は送信者の公開鍵で受信したデータの情報が得られるので、送信者が送ったデータであることを確認することができ、データを送った事実に対する否認を封鎖することができる機能に用いられる。
公開鍵暗号化方式に使用する鍵は2つで、1つは、暗号化に使用し、もう1つは、復号化に使用する。従って、公開鍵暗号化方式は、暗号化するため鍵を生成すると2つの鍵双(個人鍵、公開鍵)が生成される。ここで、暗号化に使用される鍵は公開鍵で、復号化に使用される鍵は個人鍵である。公開鍵暗号化方式は公開鍵に真偽の可否を容易に確認するために、公開鍵を相対側に公開する前に第3者を通じた公開鍵に認証を受けなければならないし、社会的な基盤施設がよく揃えていなければその使用効率が増大されることができない。
【0008】
ハッシュ暗号化方式は、電子署名に多く使用されている。ハッシュ暗号化方式は、入力Mにハッシュ関数を取った結果であるハッシュコードh(M)に送信者は秘密鍵で署名をし、受信者はこれを公開鍵で確認した後、その結果、h(M)を受信されたMにハッシュ関数を取った結果の値と比較して署名の真偽の可否を明かす。また、ハッシュ暗号化方式は、情報の無欠性(integrity)にも活用されることができる。ハッシュ暗号化方式は、無欠性検証を希望する情報のハッシュコードを計算して安全に保管し、無欠性の検証が必要である時、更にハッシュコードを計算して保管したハッシュコードを値と比較することにより、情報の無欠性を確認することができる。ハッシュ関数hは、その安全度により衝突回避ハッシュ関数(collision free hash function)、または、強い一方向ハッシュ関数(SOWHF, Strong One−Way Hash Function)と弱い一方向ハッシュ関数(WOWHF, Weak One−Way Hash Function)とに分けられる。
ハッシュ関数hは、次のような4つの条件を有しなければならない。第1に、ハッシュ関数hは、任意の大きさの入力Mに適用できなければならない。第2に、ハッシュ関数hは、一定の大きさの出力H=h(M)を出さなければならない。第3に、ハッシュ関数hは、hとMとが与えられた時、H=h(M)の計算が易くなければならない。第4に、ハッシュ関数H=h(M)が与えられた時、Mを求める逆の計算が不可能でなければならない。前記4つの条件は、ハッシュ関数hに共通的に適用され、これはハッシュ関数が有しなければならない最も基本的な定義に属する。
ハッシュアルゴリズムにはMD5アルゴリズムがある。MD5アルゴリズムはRon Rivestが1990年に開発したMD4アルゴリズムを改善したもので、早いソフトウェア具現(software implementation)のためにデザインされたハッシュ関数(hash function)を基にしている。MD5アルゴリズムは大きさが大きいファイルがRSAのように公開鍵(public−key)暗号化システムにおいて個人鍵(private(または、secret)key)と共に暗号化及び圧縮される電子署名(digital signature)応用(application)に主に用いられる目的で考案された。そして、MD5アルゴリズムはMD4アルゴリズムを拡張したもので、MD4よりはわずか遅いが、構造はより堅固である。
【0009】
従来には、インターネット等の通信網の急速な発展により多くの人達が情報を共有することができる長所があるが、逆にこのような長所を有する情報通信技術を犯罪に逆利用する場合が発生している。
従来のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置は、識別子とパスワードを有する特定の使用者でなければ遠隔で使用者が設けた監視カメラ端末装置に接続して作動状態をネットワーク網を通じて観測できない技術が研究されているが、実際にネットワーク網では、暗号化されないデータが伝送されるので、他人が無断に監視カメラの作動状態を観測して犯罪に用いられる保安の問題があった。
従来のネットワーク基礎データ保安維持方法は、使用者認証過程で、使用者の識別子、パスワードが暗号化されない状態でネットワークに露出され、伝送途中に割込みされて、情報が流出される問題があり、公開鍵を第3者から公開鍵認証を受けるためには費用が発生する。
【0010】
【発明が解決しようとする課題】
従って、本発明の目的は、ネットワーク網を通じたデータを送受信過程でサーバと使用者との間で予め隠して共有された使用者のパスワードだけで、サーバと使用者との間の認証、電子情報暗号鍵の分配/登録を行ない、電子情報暗号鍵を対称鍵暗号アルゴリズムの秘密鍵にて使用して送受信するデータの暗号化/復号化を遂行することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明の別の目的は、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵の基盤の暗号アルゴリズムを使用しなく、計算の複雑度が低い対称鍵暗号アルゴリズム、または、ハッシュアルゴリズムを使用して使用者に対する認証及びサーバに対する認証を遂行することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0011】
本発明のさらなる別の目的は、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵の基盤の暗号アルゴリズムを使用せず、計算の複雑度が低い対称鍵暗号アルゴリズムを使用して、マルチメディアデータ、または、制御データ等の暗号化/復号化に必要な対称鍵(電子情報暗号鍵)を分配することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明のさらなる別の目的は、対称鍵暗号アルゴリズムにより分配を受けた対称鍵(電子情報暗号鍵)を用いてサーバとクライアントとの間のマルチメディアデータ、または、制御データ等を対称鍵暗号アルゴリズムで暗号化して送受信することができる両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0012】
本発明のさらなる別の目的は、ネットワーク網を通じたデータを送受信する過程で、サーバから提供される電子情報を権限がない他人が無断で盗用することを防止するために、両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明のさらなる別の目的は、ネットワーク網を通じたデータを送受信する過程で、秘密を維持する必要があるデータを伝送しなければならない時、情報の流出を防止するために両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0013】
【課題を解決するための手段】
前記目的の達成のため、本発明の一側面によると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にしたデータ伝送の保安を維持する方法において、クライアントの接続要求信号に応じて、サーバの試み値を生成し、前記生成したサーバの試み値を前記クライアントに伝送し、前記クライアントからクライアントの応答値を受信し、前記クライアントからIDを受信し、前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値を比較認証し、前記認証結果が有効であれば、電子情報暗号鍵を生成し、前記電子情報暗号鍵を暗号化する秘密鍵を生成し、前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、かつ、クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法、前記方法に応ずるシステムを提供することができる。
【0014】
望ましい一実施の形態において、前記試み値は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)の中でいずれかであることができ、前記クライアントの応答値は、前記パスワード及び前記サーバの試み値が適用されたハッシュ関数であることもできる。
望ましいさらなる別の実施の形態において、前記クライアントの応答値は前記クライアントのパスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることができ、前記クライアントの応答値は前記クライアントのパスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることもできる。
望ましいさらなる別の実施の形態において、前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードで、前記IDは、前記クライアントの応答値と同時に、または、時を異にして受信することができる。
望ましい又別の実施の形態において、前記ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置における基礎データ保安維持方法は、前記クライアントにクライアント認証承認信号を伝送することができる。
【0015】
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、ランダムに選択されることができ、前記電子情報暗号化鍵は、予め決まった時間毎に、または、必要な場合に更新し、生成されることができる。
望ましいさらなる別の実施の形態において、前記秘密鍵は、電子情報暗号化鍵の暗号化に必要な対称鍵暗号アルゴリズムの秘密鍵で、前記秘密鍵は、試み値及びパスワードを相互約束された方法により加工し、生成することができる。
望ましいさらなる別の実施の形態において、前記クライアントは、前記クライアント認証承認信号に応じて暗号化された電子情報暗号鍵を復号化し、電子情報暗号鍵の抽出に必要な秘密鍵を生成することができ、前記秘密鍵は、対称鍵暗号アルゴリズムの秘密鍵である。
望ましいさらなる別の実施の形態において、前記秘密鍵は、サーバの試み値及びパスワードを相互約束された方法により加工し、生成することができる。
【0016】
本発明の別の側面によると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にするデータ伝送の保安を維持する方法において、クライアントの接続要求信号に応じてサーバの試み値を生成し、前記生成したサーバの試み値を前記クライアントに伝送し、前記クライアントからクライアントの応答値を受信し、前記クライアントからIDを受信し、前記クライアントからクライアントの試み値を受信し、前記IDに応ずるパスワード及び前記サーバの試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証し、前記認証結果が有効であれば、サーバの応答値を生成し、前記サーバの応答値をクライアントに伝送し、前記クライアントからサーバ認証承認信号を受信し、前記サーバ認証承認信号に応じて電子情報暗号鍵を生成し、前記電子情報暗号鍵を暗号化する秘密鍵を生成し、前記電子情報暗号化鍵を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子暗号鍵を前記クライアントに伝送し、前記電子情報暗号鍵を要素にして電子情報を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、かつ、クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法、前記方法に応じるシステムを提供することができる。
【0017】
望ましい一実施の形態において、前記サーバの試み値及びクライアントの試み値は、乱数(Random Number)、順番(Sequence Numbe)、時刻テーブル(Time stamp)の中、いずれかであることもできる。
望ましい別の実施の形態において、前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることもできる。
望ましいさらなる別の実施の形態において、前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用されたハッシュ関数であることができ、前記サーバの応答値及びクライアントの応答値はパスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることもできる。
【0018】
望ましいさらなる別の実施の形態において、前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードで、前記ID及び前記クライアントの試み値は、前記クライアントの応答値と同時に、または、時を異にして受信することができる。
望ましいさらなる別の実施の形態において、前記サーバ認証承認信号は、前記クライアントが前記IDに応ずるパスワード及び前記クライアントの試み値でサーバから期待される応答値を計算し、前記サーバの応答値と比較認証した結果である。
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、前記クライアントが生成することができ、前記クライアントは、前記電子情報暗号鍵を暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵を生成することができる。
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、ランダムに選択されることができ、前記電子情報暗号鍵は、予め決まった時間毎に、または、必要な場合に更新し、生成されることができる。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について添付の図面を参照しながら詳細に説明する。
本発明は、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にデータを伝送することにおいて、保安を維持する方法及び装置に関する。
【0020】
前記クライアントの端末装置であるコンピュータは、有/無線を通じてネットワーク網に連結され、個人移動通信端末機は無線ネットワーク網に連結されることができる。そして、前記クライアントは前記端末装置を用いてホームゲートウェイ及びホームオートメーション装置のサーバに接続して使用者の家庭、職場等の場所の映像、音声及び電子機器の状態等の資料を提供受けることができ、制御信号を前記サーバに送信し、電子機器等を制御することができる。例えば、外部から家内の暖房の調節を希望する場合、クライアントは端末装置を用いてホームゲートウェイ及びホームオートメーション装置のサーバに接続して認証手続きを行った後、希望の制御信号を送信することにより、外部から家内の暖房を調節することができる。また、クライアントはネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバに接続し、ネットワークカメラを通じて家内の映像、音声及び電子機器の状態を確認することができる。ここで、前記サーバとクライアントとの間に認証及びデータの送受信は、個人の情報保安のための暗号化及び復号化を伴わなければならない。
【0021】
図1は、本発明の望ましい実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
図1を参照すると、ネットワークを基にするデータを送受信するサーバとクライアントとにおいて、サーバ101は、暗号化/復号化部103、試み値生成部105、制御部107、データベース109、入出力部111を含み、クライアント102a、102b(以下、102という)は、入出力部117a、117b(以下、117という)、暗号化/復号化部119a、119b(以下、119という)、応答値生成部120a、120b(以下120という)及び制御部121a、121b(以下、121という)を含む。ここで、前記サーバ101とクライアント102は、ネットワーク網113を通じて互いに連結されている。前記ネットワーク網113は、有線及び無線ネットワーク網を全て含む。
【0022】
暗号化/復号化部103、119はサーバ101とクライアント102との間に送受信されるデータの中で、必要なデータを暗号化するか、暗号化されたデータを更に復号化する役目を果たす。ここで、前記暗号化方法は、SEED、AES(Rijndael)、3DES等の対称鍵暗号アルゴリズムを使用することができる。
試み値生成部105は、前記クライアント102の接続要求信号に応じて、クライアント認証手続きに必要なサーバの試み値(Cha_S)を生成する役目を果たす。ここで、前記試み値(Chs_S)は、乱数(Random Number)、順番(Sequence
Number)、時刻テーブル(Time stamp)等が用いられる。
応答値生成部120は、サーバとクライアントとの間に約束された方法により前記サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバとクライアントとの間に約束された方法は、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0023】
データベース109は、電子情報及び使用者情報等を格納している。ここで、前記電子情報は、映像データ、音声データ、ホームオートメーション制御データ、電子機器状態情報等を含むことができる。
入出力部111、117は、サーバ101とクライアント102との間の送受信データをネットワーク網113を通じて移動することができるように変換し、送受信する役目を果たす。
制御部107、121は、前記入出力部111、117、暗号化/復号化部103、119、試み値生成部105、応答値生成部120、データベース109等を制御する役目を果たす。
クライアントは、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバに接続し、サービスを営むために認証手続きを行わなければならない。
【0024】
本発明の望ましい実施の形態にかかるサーバとクライアントとの相互間の認証は、第1に、秘密鍵を伴うハッシュアルゴリズムを用いて行うことができる。前記秘密鍵を伴うハッシュ関数を使用して認証手続きを行う過程は、図7を参照しながら詳細に説明する。
第2に、サーバとクライアントとの相互間の認証は、ハッシュアルゴリズムを用いて行うことができる。前記ハッシュ関数を使用して認証手続きを行う過程は、図8を参照しながら詳細に説明する。
第3に、サーバとクライアントとの相互間の認証は、対称鍵暗号アルゴリズムを用いて行うことができる。前記対称鍵暗号アルゴリズムを使用して認証手続きを行う過程は、図9を参照しながら詳細に説明する。
【0025】
本発明の望ましい実施の形態にかかるサーバとクライアントとの相互間の認証は、サーバがクライアントを認証する過程は必須事項で、クライアントがサーバを認証する過程は選択事項である。
図2は、本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図2を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバ201は、映像情報収集部205、音声情報収集部207、使用者変換部215、制御部217、圧縮部219、試み値生成部221、暗号化/復号化部223及び入出力部225を含む。
【0026】
映像情報収集部205は、外部の映像を撮影し、撮影された映像情報を出力する役目を果たし、CCDカメラ、ビデオカメラ等からなることができる。音声情報収集部207は、外部の音声を認識し、認識された音声情報を出力する役目を果たして、マイク等からなる。使用者データ発生部109は、外部の文字、信号、電子機器状態等の情報を認識し、出力する役目を果たす。自動化制御部211はホームオートメーションのための制御及びデータを処理する役目を果たす。マルチプレクス部213は、前記映像情報収集部205、前記音声情報収集部207、前記使用者データ発生部209等のマルチメディアデータ入力から使用者が希望するデータを選択し、出力する役目を果たす。また、前記マルチプレクス部213は使用者から伝送された制御データを選択し、前記自動化制御部211に伝送する役目を果たす。ここで、前記制御データは、使用者が送ったホームオートメーション装置制御データである。
【0027】
データ変換部215は、前記マルチプレクス部213から出力されるマルチメディアデータを、必要の場合、デコーディングの方法を使用してデコーディングし、圧縮部219に伝送する。圧縮部219は、前記データ変換部215で変換されて伝達された映像、音声及び使用者データを圧縮する役目を果たす。試み値生成部221は、使用者認証に必要なサーバの試み値(Chs_S)を果たす。ここで、試み値(Chs_S)としては、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等を用いることができる。
暗号化/復号化部223は、入力データを暗号化し、復号化する役目を果たす。ここで、 暗号化/復号化部223は、暗号化及び復号化のために、対称鍵暗号アルゴリズムを使用することができる。
入出力部225は、前記暗号化/復号化部223で暗号化されたデータをTCP/IP等のパケットに変形し、ネットワーク網204を通じて使用者に伝送するか、ネットワーク網204を通じて伝送された入力データを暗号化及び復号化のためのデータ形式に変形して暗号化/復号化部223に伝送する。
【0028】
制御部217は、データ変換部215、圧縮部219、試み値生成部221、暗号化/復号化部223に連結されてサーバ側の制御状態情報を提供するか、使用者識別子、パスワード等を使用して使用者の応答値(Res_C)を確認する認証を制御する役目を果たし、前記装置等の制御を行うことができる。
ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のクライアント203a、203b(以下、203という)は、入出力部229a、229b(以下、229という)、暗号化/復号化部231a、231b(以下、231という)、応答値生成部232a、232b(以下、232という)及び制御部233a、233b(以下、233という)を含む。
入出力部229は、前述と同様であるので、その説明を省略する。
暗号化/復号化部231は、対称鍵暗号アルゴリズムを使用してサーバ201で暗号化された電子情報が伝送される場合に、これを復号化する機能を果たす。また、暗号化/復号化部231は、ホームオートメーションのための制御信号を暗号化して前記サーバ201に伝送する機能を果たす。
【0029】
応答値生成部232は、サーバとクライアントとの間に約束された方法で前記サーバの試み値(Cha_S)に応じるクライアント203の応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
制御部233は、前記入出力部229、暗号化/復号化部231、応答値生成部232を制御する役目を果たす。クライアントの端末装置は、開設されたウェブサーバ201に接続して識別子及びパスワードの使用により使用者が希望する映像、音声、データ発生装置の作動状態を監視し、家庭用機器を制御することで、コンピュータは有/無線を通じてモデムや専用線等によりネットワーク網204に連結されたもので、ノート型等の可搬型コンピュータ及び個人移動通信端末機の使用も可能である。その際、クライアント203は、サーバ201から伝送した暗号化されたデータを復号化してリアルタイムで実行させることができるユティリティーを予め設けていることを仮定する。
【0030】
図3は、本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図3を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムは、サーバ201、ネットワーク網204及びクライアント203を含む。各々の構成要素について図2を参照しながら説明した部分と重なる部分はその説明を省略する。
サーバ201は、更に図2に示すような構成要素にデータ格納部301を備える。データ格納部301は、サーバの暗号化/復号化部223で暗号化されたマルチメディアデータを外部メモリやハードディスク等の格納装置に格納する役目を果たす。ここで、前記暗号化されたデータはネットワーク網204を通じてリアルタイムで伝送されるが、データ格納部301に格納されて、使用者が前記データを必要とする場合、何時でも探して見ることができる。
【0031】
図4は、本発明の望ましいさらなる別の実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。図4を参照すると、サーバ10は応答値生成部405を更に備え、クライアント102は試み値生成部410a、410b(以下、410という)及び応答値生成部403a、403b(以下、403という)を更に備える。各々の構成要素について図1を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部405は、サーバ101とクライアント102との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ101とクライアント102との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
試み値生成部401は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、前記試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等が用いられる。
応答値生成部403は、サーバ101とクライアント102との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ101とクライアント102との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム及び対称鍵暗号アルゴリズムが用いられる。
【0032】
図5は、本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図5を参照すると、サーバ201は応答値生成部501を更に備え、クライアント203は試み値生成部502a、502b(以下、502という)及び応答値生成部503a、503b(以下、503という)を更に備える。各々の構成要素について図2を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部501は、サーバ201とクライアント203との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法は、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム及び対称鍵暗号アルゴリズムが用いられる。
試み値生成部502は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等が用いられる。応答値生成部503は、サーバ201とクライアント203との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0033】
図6は、本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図6を参照すると、サーバ201は応答値生成部601を更に備え、クライアント203は試み値生成部602a、602b(以下、602という)及び応答値生成部603a、603b(以下、603という)を更に備える。各々の構成要素について図3を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部601は、サーバ201とクライアント203との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
試み値生成部602は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられる。応答値生成部603は、サーバ201とクライアント203との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0034】
図7ないし図10は、本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの間のネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
図7ないし図10を参照すると、ネットワークを基にしてサーバとクライアントとの相互間の認証、データを送受信する過程で暗号化及び復号化する過程に使用される用語に対する説明は、下記の表1の通りである。
【0035】
【表1】
【0036】
図7は、本発明の望ましい一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図7を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバは、クライアントと予め隠して共有しているクライアントのパスワード(Password)を基にして秘密鍵を伴うハッシュアルゴリズムを用いてクライアントを認証(確認)する。
また、サーバは、電子情報を対称鍵暗号アルゴリズムを使用して暗号化/復号化することにおいて、必要な電子情報暗号鍵(セッション鍵、KD)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵(ESK)をクライアントに伝送(分配)する。
その後、サーバとクライアントとは相互間に伝送されるマルチメディアデータ、または、制御データ等を電子情報暗号鍵(セッション鍵、KD)を対称鍵暗号アルゴリズムの秘密鍵として暗号化して送受信する。
先ず、クライアントからサーバに接続要求信号を伝送(ステップ701)すると、サーバは前記接続要求信号を受信する。
【0037】
サーバは、前記接続要求信号に応じてクライアントに提供されるサーバの試み値(Cha_S)を乱数(RNS)で生成(ステップ703)し、前記クライアントに伝送(ステップ705)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外の順番(SequenceNumber)及び時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、秘密鍵を伴うハッシュアルゴリズムを用いて前記クライアントの応答値(Res_C)の生成に必要な秘密鍵(HMACK)をサーバとクライアントとの間に隠して有しているパスワード(Password)を、そのまま、または、サーバとクライアントとの相互間に約束された方法で加工(f)し、生成(ステップ707)する。ここで、前記加工(f)にはサーバの試み値(Cha_S)、クライアント識別子(ID)を含むことができる。
その後、クライアントはサーバとクライアントとの相互間に共有している値(Cha_S, ID, Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)する。ここで、サーバの試み値(Cha_S(RNS))、パスワード(Password)は、必ず含まなければならない。その後、クライアントは前記加工(f)された値を秘密鍵(HMACK)と秘密鍵を伴うハッシュアルゴリズムに適用し、前記サーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)を生成(ステップ709)する。
前記クライアントの応答値(Res_C)を生成する式を下記の数2に表す。
【0038】
【数2】
【0039】
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)とクライアント識別子(ID)とをサーバに伝送(ステップ711)し、前記サーバは、前記クライアントの応答値(Res_C)とクライアント識別子(ID)とを受信する。ここで、前記クライアントは時間差をおいて、前記 識別子(ID)をサーバに伝送することができる。
サーバは、使用者のパスワード(Password)、識別子(ID)及びサーバがクライアントに提供した試み値(Cha_S)等をクライアントと同様の方法で秘密鍵を伴うハッシュアルゴリズムに適用してハッシュ値を計算し、クライアントから受けた応答値(Res_C)と比較してクライアント認証手続きを行う(ステップ713)。
前記サーバは、前記比較結果が有効でなければ、クライアントにクライアント認証失敗メッセージを伝送する。
サーバのクライアント認証が確認された後、サーバは電子情報(D)の暗号化/復号化に使用される対称鍵暗号アルゴリズムの電子情報暗号鍵(セッション鍵)(KD)をランダムに選択(ステップ715)する。その後、サーバはサーバとクライアントとの間に共有している値(Password、ID、Cha_S) 等の中からサーバとクライアントとの間に約束された方法で選択及び加工(f)し、電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムを使用して暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵(KS)を生成(ステップ716)する。
ステップ716を行った後、サーバは電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKSとして、電子情報暗号鍵(セッション鍵)(KD)の暗号化(g)を行って(ステップ717)、クライアント認証承認信号と共に前記クライアントに伝送(ステップ719)する。前記サーバは、前記クライアント認証承認信号を別に伝送することもできる。ここで、前記サーバは、ある一定の時間毎に、または、必要な場合に、電子情報(D)を暗号化する電子情報暗号鍵(セッション鍵)(KD)を新しく生成し、暗号化してクライアントに伝送することができる。電子情報暗号鍵(セッション鍵)(KD)を暗号化する式を数3に表す。
【0040】
【数3】
【0041】
クライアントは、前記暗号化された電子情報暗号鍵 (セッション鍵)(KD)を受信した後、前記サーバが生成した方法と同様の方法でKSを生成(ステップ720)した後、対称鍵暗号アルゴリズムの復号化(g−1)を行って電子情報暗号鍵(セッション鍵)(KD)を抽出(ステップ721)する。ここで、前記復号化式を数4に表す。
【0042】
【数4】
【0043】
サーバは、電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムの秘密鍵として使用し、前記クライアントに伝送する電子情報(D)の暗号化(g)を遂行(ステップ723)し、暗号化された電子情報(E)を前記クライアントに伝送(ステップ725)する。ここで、 前記暗号化式を数5に表す。
【0044】
【数5】
【0045】
クライアントは、前記暗号化された電子情報(E)を受信し、ステップ721から抽出した電子情報暗号鍵(セッション鍵)(KD)を用いて対称鍵暗号アルゴリズムの復号化(g−1)を行って暗号化された電子情報(E)から電子情報(D)を抽出(ステップ727)する。ここで、前記復号化式を数6に表す。
【0046】
【数6】
【0047】
図8は、本発明の望ましい別の一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図8を参照すると、サーバとクライアントとは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にして、ハッシュアルゴリズムを用いて相互認証(確認)を行う。即ち、サーバは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にしたハッシュアルゴリズムを用いてクライアントを認証(確認)し、クライアントは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にしたハッシュアルゴリズムを用いてサーバを認証(確認)する。
また、サーバは、電子情報(D)を対称鍵暗号アルゴリズムを使用して暗号化/復号化することにおいて、必要な電子情報暗号鍵(セッション鍵、KD)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵(ESK)をクライアントに伝送(分配)する。その後、サーバとクライアントとは、相互間に伝送される電子情報(D)を電子情報暗号鍵(セッション鍵、KD)を対称鍵暗号アルゴリズムの秘密鍵として暗号化して送受信する。
【0048】
先ず、クライアントからサーバに接続要求信号を伝送(ステップ801)すると、サーバは前記接続要求信号を受信する。
サーバは、前記接続要求信号に応じてサーバがクライアントに提供されるサーバの試み値(Cha_S)を乱数(RNS)で生成(ステップ803)し、前記クライアントに伝送(ステップ805)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外の順番(SequenceNumber)、時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、サーバとクライアントとの相互間に共有している値(Cha_S, ID, Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)し、ハッシュアルゴリズムが適用された応答値(Res_C)を生成(ステップ807)する。ここで、試み値(Cha_S(RNS))、パスワード(Password)は必ず含まなければならない。
前記クライアントの応答値(Res_C)を生成する式を数7に表す。
【0049】
【数7】
【0050】
クライアントは、クライアントがサーバに提供するクライアントの試み値(Cha_C)を乱数(RNC)に生成(ステップ809)する。
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)とクライアント識別子(ID)及びクライアントの試み値(Cha_C)をサーバに伝送する(ステップ811)。その後、前記サーバは前記クライアントの応答値(Res_C)、クライアント識別子(ID)及びクライアントの試み値(Cha_C)を受信する。ここで、クライアントの試み値(Cha_C)及び識別子(ID)は、クライアントの応答値(Res_C)と時間差をおいてサーバに伝送することができる。
サーバは、使用者のパスワード(Password)、識別子(ID)及びサーバがクライアントに提供した試み値(Cha_S)等をクライアントと同様の方法でハッシュアルゴリズムに適用してハッシュ値を計算し、クライアントから受けた応答値(Res_C)と比較してクライアント認証手続きを行う(ステップ813)。
サーバは、クライアントの認証を行った後、クライアントにサーバの認証を受けるためにサーバとクライアントとの相互間に共有している値(Cha_S、Cha_C、ID、Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)して、ハッシュアルゴリズムが適用された前記クライアントの試み値(Cha_C)に応ずるサーバの応答値(Res_S)を生成(ステップ8157)し、クライアントに伝送(ステップ817)する。ここで、試み値(Cha_C)及びクライアントのパスワード(Password)は必ず含まなければならない。
前記サーバの応答値(Res_C)を生成する式を数8に表す。
【0051】
【数8】
【0052】
前記サーバの 応答値(Res_S)を受信したクライアントは、使用者のパスワード(Password)、識別子(ID)、サーバの試み値(Cha_S)及びクライアントがサーバに提供した試み値(Cha_C)等をサーバと同様の方法でハッシュアルゴリズムに適用してハッシュ値を計算し、サーバから受けた応答値(Res_S)と比較してサーバを認証する手続きを遂行(ステップ819)する。
前記クライアントは認証遂行の後、サーバにサーバ認証承認信号を伝送(ステップ821)する。
【0053】
以下、ステップ823ないし835は、図7を参照しながら説明した部分と重なる部分であるので、その説明を省略する。
図9は、本発明の望ましいさらなる別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図9を参照すると、サーバとクライアントとは、対称鍵のアルゴリズムを用いて相互認証(確認)を行う。即ち、サーバは対称鍵アルゴリズムを用いてクライアントを認証(確認)し、クライアントは対称鍵暗号アルゴリズムを用いてサーバを認証(確認)する。
クライアントは、電子情報(D)を対称鍵暗号アルゴリズムを使用して暗号化/復号化することに必要な電子情報暗号鍵(セッション鍵)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵をサーバに登録する。その後、サーバとクライアントとは相互間に伝送される電子情報(D)を電子情報暗号鍵を用いて対称鍵暗号アルゴリズムに暗号化して送受信する。
【0054】
先ず、クライアントからサーバに接続要求信号を伝送(ステップ901)すると、サーバは前記接続要求信号を受信する。
サーバは、前記接続要求信号に応じてサーバがクライアントに提供するサーバの試み値(Cha_S)を乱数(RNS)で生成(ステップ903)し、前記クライアントに伝送(ステップ904)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外に、順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、前記クライアントの応答値(Res_C)を生成するために対称鍵暗号アルゴリズムを使用するが、必要となる対称鍵暗号アルゴリズムの秘密鍵(KA)をサーバとクライアントとの間に隠して有しているパスワード(Password)をそのまま、または、サーバとクライアントとの相互間に約束された方法で加工(f)し、生成(ステップ905)する。ここで、前記加工(f)にはサーバの試み値(Cha_S)及びクライアント識別子(ID)を含むことができる。
前記クライアントは、サーバとクライアントとの相互間に共有している値であるCha_S, ID, Passwordの中、少なくとも1つをサーバとクライアントとの相互間に約束された方法で選択及び加工(f)する。ここで、サーバの試み値(Cha_S) は、必ず含まなければならない。その後、前記クライアントは、前記生成した秘密鍵(KA)を使用して対称鍵暗号アルゴリズムの暗号化方法により暗号化(g)し、前記サーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)を生成(ステップ907)する。
前記クライアントの応答値(Res_C)を生成する式を数9に表す。
【0055】
【数9】
【0056】
クライアントは、クライアントがサーバに提供するクライアントの試み値(Cha_C)を乱数(RNC)で生成(ステップ909)する。ここで、前記クライアントの試み値(Chs_S)は、前記乱数以外の順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられることもできる。
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)とクライアント識別子(ID)及びクライアントの試み値(Cha_C)をサーバに伝送(ステップ911)する。ここで、前記クライアントは、前記クライアント識別子(ID)及びクライアントの試み値(Cha_C) をクライアントの応答値(Res_C)と時間差をおいて前記サーバに伝送することができる。前記サーバは、前記クライアントの応答値(Res_C)、クライアント識別子(ID)及びクライアントの試み値(Cha_C)を受信する。サーバは、前記受信したクライアントの応答値(Res_C)に対し、対称鍵暗号アルゴリズムの復号化(g−1)を行うことに必要な対称鍵暗号アルゴリズムの秘密鍵(KA)を前記クライアントが生成した方法と同様に生成(ステップ913)する。
サーバは、前記受信したクライアントの応答値(Res_C)に対して生成した秘密鍵(KA)を対称鍵暗号アルゴリズムの秘密鍵にして対称鍵暗号アルゴリズムの復号化(g−1)を行って、復号化された値がサーバとクライアントとの相互間に共有している値に対して約束された方法で選択及び加工されたデータであるかを確認してクライアントを認証する手続きを行う(ステップ914)。前記復号化(g−1)式を数10に表す。
【0057】
【数10】
【0058】
サーバは、クライアント認証を行った後、クライアントにサーバの認証を受けるために、前記クライアント試み値(Cha_C)に応じるサーバの応答値(Res_S)を対称鍵暗号アルゴリズムの暗号化(g)方式で生成(ステップ915)し、クライアントに伝送(ステップ917)する。ここで、サーバの応答値の生成にはサーバとクライアントとの間に共有している値であるクライアントの試み値、使用者識別子(ID)、クライアントパスワード及びサーバの試み値等がクライアントと予め約束された方法で選択及び加工されて用いられる。
前記サーバの応答値(Res_S)を生成する式を数11に表す。
【0059】
【数11】
【0060】
クライアントは、サーバの応答値(Res_S)を受信し、対称鍵暗号アルゴリズムの 復号化(g−1)を行って、Cha_Cを抽出した後、前記抽出したCha_Cとクライアントとがサーバに送ったクライアントの試み値(Cha_C)に比較してサーバ認証を行う(ステップ919)。前記復号化(g−1)式を数12に表す。
【0061】
【数12】
【0062】
前記サーバの行った後、クライアントは電子情報暗号鍵(セッション鍵)(KD)をランダムに選択(ステップ920)し、サーバとクライアントとの間に共有している値(Password、ID、Cha_S、Cha_C)等の中からサーバとクライアントとの間に約束された方法で選択及び加工し(f)、電子情報暗号鍵を対称鍵暗号アルゴリズムを使用して暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵(KS)を生成(ステップ921)する。
ステップ921を行った後、クライアントは電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKSとして、電子情報暗号鍵(セッション鍵)(KD)の暗号化(g)を行って(ステップ922)、前記サーバに伝送(ステップ923)する。前記クライアントは、 ある一定の時間毎に、または、必要な場合に映像、または、データを暗号化する電子情報暗号鍵(セッション鍵)(KD)を新しく生成し、暗号化してサーバに伝送することができる。ここで、電子情報暗号鍵(セッション鍵)(KD)を暗号化する式を数13に表す。
【0063】
【数13】
【0064】
サーバは、前記暗号化された電子情報暗号鍵(ESK)を受信した後、前記クライアントが生成した、同一な約束された方法でKSを生成(ステップ924)した後、対称鍵暗号アルゴリズムの復号化(g−1)を行って、電子情報暗号鍵(セッション鍵)(KD)を抽出(ステップ)する。ここで、前記復号化式を数14に表す。
【0065】
【数14】
【0066】
サーバにおいて、電子情報(D)をクライアントに伝送するステップ927からステップ931は図7を参照しながら説明した部分と重なる部分であるから、その説明を省略する。
図10は、本発明の望ましい一実施の形態にかかるクライアントの暗号化された電子情報をサーバに伝送する過程を示すフローチャートである。
図10を参照すると、サーバは、電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKSにして電子情報暗号鍵(セッション鍵)(KD)の暗号化(g)を行ってクライアント認証承認信号と共に前記クライアントに伝送(ステップ1001)する。
クライアントは、前記暗号化された電子情報暗号鍵(セッション鍵)(KD)を受信した後、前記サーバが生成した、同一な約束された方法でKSを生成(ステップ1002)した後、対称鍵暗号アルゴリズムの暗号化(g−1)を行って電子情報暗号鍵(セッション鍵)(KD)を抽出(ステップ1003)する。ここで、前記復号化式を数15に表す。
【0067】
【数15】
【0068】
クライアントは、電子情報暗号鍵(セッション鍵)(KD)を対称鍵暗号アルゴリズムの秘密鍵として使用して前記サーバに伝送するデータ(D)の暗号化(g)を行って(ステップ1005)、暗号化されたデータ(E)を前記サーバに伝送(ステップ1007)する。ここで、前記暗号化式を数16に表す。
【0069】
【数16】
【0070】
サーバは、前記暗号化されたデータ(E)を受信した後、 電子情報暗号鍵(セッション鍵)(KD)を用いて対称鍵暗号アルゴリズムの暗号化(g−1)を行って(ステップ1009)、暗号化されたデータ(E)からデータ(D)を抽出する。ここで、前記復号化式を数17に表す。
【0071】
【数17】
【0072】
その後、前記サーバは抽出したデータ(D)を処理(ステップ1011)する。
図11は、本発明の望ましい一実施の形態にかかる遠隔地マルチメディアデータ監視システムにおける両方向データ保安システムの構成を示す図面である。
図11を参照すると、遠隔地マルチメディアデータの保安のための監視システムは監視サーバ1110、ネットワーク網1105及びクライアント1130とからなる。
【0073】
監視システムのサーバ1110は、映像情報収集部1111、音声情報収集部1112、使用者データ発生部1113、マルチプレクス部1114、データ変換部1115、圧縮部1117、暗号・復号部1118、ネットワーク接続部1120、綜合制御部1116及びデータ格納部1119を含む。
映像情報収集部1111は、外部の映像を撮影し、出力する役目を果たし、CCDカメラ、ビデオカメラ等からなり、音声情報収集部1112は、外部の音声を認識し、出力する役目を果たし、マイク等からなる。使用者データ発生部1113は、外部の文字等の情報を認識し、出力する役目を果たす。マルチプレクス部1114は前記映像情報収集部1111、前記音声情報収集部1112、前記使用者データ発生部1113のマルチメディアデータ入力から使用者が希望するデータを選択し、出力する役目を果たす。
データ変換部1115は、前記マルチプレクス部1114から出力されるマルチメディアデータを必要の場合、デコーディング等の方法を使用してデコーディングし、圧縮部1117に出力する。圧縮部1117は、前記データ変換部1115で変換されて入力された 映像、音声、使用者データを圧縮して符号化させる役目を果たす。
データ暗号・復号部1118は、入力データを暗号化し、復号化する役目を果たす。暗号化(encryption)は、複雑なアルゴリズムのコードを使用し、ネットワーク上で個人の情報を保護することをいい、復号化は前記暗号化された情報の原本を探すのである。
【0074】
サーバ1110において、クライアント1130にデータを暗号化して伝送させる場合のデータ暗号・復号部1118は、対称鍵暗号化方式であるDES(Data Encryption Standard)等の暗号化アルゴリズムを使用する。また、クライアントで暗号化された識別子、パスワードの使用者データが伝送されるとこれらを復号化する機能を行う。ネットワーク接続部1120は、前記暗号・復号部1118で暗号化されたデータをTCP/IP等のパケットに変形して通信ネットワーク1105を通じて出力するか、通信ネットワーク1105を通じて入力されたデータを暗号化及び復号化するためのデータ形式に変形して暗号・復号部1118に出力する。
通信ネットワーク1105のTCP/IPに変換されたデータは直接LAN(Local Area Network)網に連結されるか、モデムを通じてPSTN網(Public Switched Telephone Network;公衆回線交換電話網)に連結され、ケーブル網等に連結されてサーバ1110及びクライアント1130に伝送されることができる。 綜合制御部1116では、マルチプレクス部1114、圧縮部1117、暗号・復号部1118に連結されてサーバ側の制御状態情報を提供するか、使用者識別子、パスワード確認等の制御を行って接続の制限及びハッキングを防止し、サーバ側からの故障有無及びこれらの装置を管理する。通信ネットワーク1105は、インターネット等の加入者がウェブブラウザーを運営してウェブサイトやホームページに接続して希望の情報を検索及び収集するための通信網、または、ネットワークである。監視システムのクライアント1130は、ネットワーク接続部1132a、...、1132b(以下、1132という)、暗号・復号部1134a、1134b(以下、1134という)、使用者端末装置1136a、1136b(以下、1136という)を含む。
【0075】
暗号・復号部1118は、非対称鍵暗号化方式であるRSA(Rivest−Shamir−Adleman)等のアルゴリズムを使用し、サーバ1110で暗号化されたマルチメディアデータが伝送される場合に、これを復号化する機能を果たす。使用者端末装置1130は、前記通信ネットワーク1105に開設されたウェブサーバ1110に接続し、識別子及びパスワードの使用により使用者が希望する映像、音声、データ発生装置の作動様態を監視することで、コンピュータは、有/無線を通じてモデムや専用線等で通信ネットワーク1105に連結されることで、ノート型等の可搬型コンピュータの使用も可能である。その際、クライアント1130には、サーバから伝送した暗号化されたデータを復号化してリアルタイムで実行させることができるマルチメディアプレーヤを予め設けることを仮定する。
一方、データ格納部1119は、サーバにおける暗号化及び復号化で暗号化されたマルチメディアデータを外部メモリやハードディスク等の格納装置に格納する役目を果たす。前記暗号化されたデータは、通信ネットワーク網1105を通じてリアルタイムで伝送されるが、データ格納部1119に格納して使用者が前記データを必要とする場合、何時でも探して見ることができる。
【0076】
図12は、本発明の望ましい又別の実施の形態にかかる保安機能を有する一体型のネットワーク監視カメラの構成を示す図面である。
図12を参照すると、ネットワーク監視カメラ1220は、映像情報収集部1221、音声情報収集部1222、マルチプレクス部1223、データ変換部1224、圧縮部1226、暗号・復号部1227、綜合制御部1225、データ選択部1228及びネットワーク接続部1229を含む。
映像情報収集部1221は、外部の映像を撮影し、出力する役目を果たし、CCDカメラ、ビデオカメラ等からなり、音声情報収集部1222は、外部の音声を認識し、出力する役目を果たし、マイク等からなる。
マルチプレクス部1223は、前記映像情報収集部1221、前記音声情報収集部1222のマルチメディアデータ入力から使用者が希望するデータを選択して出力する役目を果たす。
【0077】
データ変換部1224は、前記マルチプレクス部1223から出力されるマルチメディアデータをデコーディング等の方法を使用してデコーディングして変換させて圧縮部1226に出力する。圧縮部1226は、前記データ変換部1224で変換されて入力された 映像、音声、使用者データを圧縮して符号化させる役目を果たす。
データ暗号・復号部1227は、サーバの映像及び音声データを暗号化するか、クライアントから伝送された暗号化されたデータを使用して使用者データを復号化する役目を果たす。
綜合制御部1225では、通信のための状態情報と内部回路の制御情報を提供し、暗号化により接続の制限及びハッキングを防止する役目を果たす。
【0078】
データ選択部1220では、ネットワークカメラ1228から使用者にデータを伝送させる場合、使用者のデータ暗号化の要求により圧縮されたデータ、または、暗号化及び復号化されたデータの中から選択し、ネットワーク網1105に出力する。これと逆に、ネットワークカメラ1220がネットワーク網1105からデータを受け取る場合、クライアントの暗号化の要求により圧縮部1226、または、暗号・復号部1227に入力データを選択的に受信する。ネットワーク網1105は遠隔地のデータを伝送する役目を果たす。
クライアント1210a、1210b(以下、1210という)は、前記ネットワーク網1105に連結された保安機能を内蔵したネットワークカメラサーバに接続し、使用者が希望する映像、音声データの作動状態を監視する複数のクライアントのコンピュータ等のような使用者端末装置からなる。
【0079】
図13ないし図15は、本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
図13、図14、図15ないし図15を参照すると、ネットワークを基にするデータ送受信過程でデータを対称鍵アルゴリズムと非対称鍵アルゴリズムにより暗号化及び復号化する過程に使用される用語に対する説明は次の通りである。
D:マルチメディアデータ
KD:電子情報暗号鍵
KS 公開、KS 秘密:サーバの公開鍵とサーバの秘密鍵
KC 公開、KC 秘密:クライアントの公開鍵とクライアントの秘密鍵
f:非対称鍵暗号アルゴリズム
f−1:非対称鍵復号アルゴリズム
g:非対称鍵方式の暗号アルゴリズム
g−1:非対称鍵方式の復号アルゴリズム
h:対称鍵方式の暗号アルゴリズム
h−1:対称鍵方式の復号アルゴリズム
【0080】
先ず、ステップ1301において、クライアントから接続要求信号をサーバに伝送すると、サーバは前記接続要求信号を受信する。クライアントから接続要求信号を受信すると、ステップ1302でサーバは公開鍵(KS 公開)を生成した後、前記生成されたサーバの公開鍵(KS 公開)をクライアントに伝送する(ステップ1303)。これに応じてクライアントはサーバの公開鍵(KS 公開)を受信する。
その後、クライアントでは使用者が入力した識別子(ID)及びパスワードと前記サーバの公開鍵(KS 公開)及びクライアント秘密鍵(KC 秘密)を用いて非対称鍵暗号アルゴリズム(f)を使用して、識別子(ID)及びパスワードを暗号化する(ステップ1304)。暗号化式を下記の数18に表す。
【0081】
【数18】
【0082】
ここで、Fは、暗号化された識別子(ID)及びパスワードで、IDは識別子、passwordはパスワード、 KS 公開はサーバの公開鍵、KC 秘密はクライアント秘密鍵及びfは非対称鍵暗号アルゴリズムを示す。識別子及びパスワードが暗号化される情報になる。 識別子及びパスワードを一次加工(関数e)した後、暗号化することが望ましい。
クライアントが前記暗号化された識別子(ID)、パスワード及びクライアント公開鍵(KC 公開)をサーバに伝送(ステップ1305)すると、サーバはこれを受信した後、ステップ1306を行う。クライアント公開鍵(KC 公開)は、クライアント秘密鍵(KC 秘密)に応じるもので、前記識別子及びパスワードと同時に、または、時刻を異にして伝送されることができる。クライアント公開鍵(KC 公開)は後で説明する非対称鍵復号化過程で使用するためのものである。
ステップ1306において、暗号化された識別子(ID)及びパスワードを復号化する過程であって、この過程を通じて使用者が入力した識別子及びパスワードを抽出することができる。復号化過程は下記の数19に表す。
【0083】
【数19】
【0084】
ここで、前記ID、password、F、KS 秘密、KC 公開、f−1に対する説明は前記の同様である。
本発明の望ましい別の実施の形態において、前記数19を行った後、前記識別子及びパスワードが一次加工(関数e)されたことを原状に復元する過程を追加することができる。
ここで、サーバは前記で抽出した使用者識別子とパスワードとを用いて予め設定されている使用者情報(ここで、使用者情報は、少なくとも使用者識別子及びパスワードを含む)と比較して同じかどうかを判断する。
前記判断結果、同一でなければ、サーバはクライアントにエラーメッセージを伝送することができる。
その後、前記サーバは電子情報暗号鍵(KD)を選択(ステップ1307)する。
電子情報暗号鍵(KD)を選択する方法はいろいろであるが、本発明の望ましい実施の形態ではランダムに選択することとする。
その後、前記サーバは電子情報暗号鍵(KD)を前記クライアントに伝送するための非対称鍵暗号化を行う(ステップ1308)。これを下記の数20に表す。
【0085】
【数20】
【0086】
ここで、Gは、電子情報暗号鍵を暗号化した結果で、g、KD、KC 公開、KS 秘密は、前述の同様である。
その後、サーバは前述の暗号化された電子情報暗号鍵(KD)を前記クライアントに伝送する(ステップ1309)。前記クライアントはこれを受信した後、復号化過程を行って前記電子情報暗号鍵(KD)を抽出する(ステップ1310)。前記復号化過程を下記の数21に表す。
【0087】
【数21】
【0088】
ここで、 KD、g−1、G、KC 秘密、KS 公開に対する説明は前述と同様であるので、その説明を省略する。
その後、サーバは電子情報(D)を伝送するための対称鍵暗号化を行う(ステップ1501)。前記対称鍵暗号化に対する説明を数22に表す。
【0089】
【数22】
【0090】
ここで、Eは、電子情報を暗号化した結果で、h、D及びKDに対しては、前述と同様であるので、その説明を省略する。
次に、サーバは電子情報(D)を対称鍵暗号化した後、前記暗号化された電子情報を前記クライアントに伝送する(ステップ1311、ステップ1312)。クライアントは、暗号化された電子情報を受信した後、復号化過程を行うことにより、電子情報を抽出することができる(ステップ1313)。前記復号化過程を下記の数22に表す。
【0091】
【数23】
【0092】
ここで、D、h−1、E及びKDについては、前述と同様であるので、その説明を省略する。
このように、本発明では、非対称鍵暗号化方式によりIDとパスワードとを伝送し、電子情報暗号鍵(KD)も非対称暗号化アルゴリズムに暗号化して伝送した後、送信しようとする電子情報(D)を対称鍵に暗号化して伝送する。その際、電子情報暗号鍵(KD)は何時でも切り替えられるので、他人に盗用されることを防止することができる。
本発明は、前述の実施の形態に限るのではなく、いろいろの変形が本発明の思想内で当分野で通常の知識を有する者により可能であることは、言うまでもない。
【0093】
【発明の効果】
以上の説明でのように、本発明によると、ネットワーク網を通じたデータの送受信過程において、サーバと使用者との間で予め隠して共有された使用者のパスワードだけでサーバと使用者との間の認証、電子情報暗号鍵の分配/登録を行ない、電子情報暗号鍵を対象鍵暗号アルゴリズムの秘密鍵として使用して送受信するデータの暗号化/復号化を行うことができる。
特に、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵基盤の暗号アルゴリズムを使用しなく、計算の複雑度が低い対称鍵暗号アルゴリズム、または、ハッシュアルゴリズムを使用して使用者に対する認証及びサーバに対する認証を行うことができ、対称鍵暗号アルゴリズムで分配された対象鍵(電子情報暗号鍵、セッション鍵)を用いてサーバとクライアントとの間のマルチメディアデータ、または、制御データ等を対称鍵暗号アルゴリズムで暗号化して両方向に送受信することができる。
また、本発明によると、ネットワーク網を通じたデータを送受信する過程で、サーバから提供する電子情報を権限がない他人が無断盗用することを防止し、ネットワーク網を通じたデータを送受信する過程で、秘密を維持する必要があるデータを伝送しなければならない時、情報の流出を防止することができる。
【図面の簡単な説明】
【図1】本発明の望ましい実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
【図2】本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図3】本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図4】本発明の望ましい又別の実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
【図5】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図6】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図7】本発明の望ましい一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図8】本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図9】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図10】本発明の望ましい一実施の形態にかかるクライアントの暗号化された電子情報をサーバに伝送する過程を示すフローチャートである。
【図11】本発明の望ましい一実施の形態にかかる遠隔地マルチメディアデータ監視システムにおける両方向データ保安システムの構成を示す図面である。
【図12】本発明の望ましい又別の実施の形態にかかる保安機能を有する一体型のネットワーク監視カメラの構成を示す図面である。
【図13】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【図14】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【図15】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【符号の説明】
101 サーバ
102a、102b クライアント
103 暗号化/復号化部
105 試み値生成部
107 制御部
109 データベース
111 入出力部
113 ネットワーク網
117a、117b 入出力部
119a、119b 暗号化/復号化部
121a、121b 制御部
120a、120b 応答値生成部
201 サーバ
203a、203b クライアント
204 ネットワーク網
205 映像情報収集部
207 音声情報収集部
209 使用者データ発生部
211 自動化制御部
213 マルチプレクス部
215 データ変換部
217 制御部
219 圧縮部
221 試み値生成部
223 暗号化/復号化部
225 入出力部
229a、229b 入出力部
231a、231b 暗号化/復号化部
232a、232b 応答値生成部
233a、233b 制御部
301 データ格納部
1010a、1010b 試み値生成部
1030a、1030b 応答値生成部
1005 応答値生成部
1019 応答値生成部
502a、502b 試み値生成部
503a、503b 応答値生成部
1128 応答値生成部
602a、602b 試み値生成部
1120a、1120b 応答値生成部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a method and apparatus for maintaining security in network-based data transmission between a server and a client of a network camera, a home gateway, and a home automation device.
[0002]
[Prior art]
Generally, security is divided into system security and network security in a network environment. System security is security for computers and network devices (such as routers) that make up the Internet, and includes security for operation systems, client / server applications, file systems, and the like.
Network security is security of a system and a communication protocol connecting the systems, and protection of data transmitted through a network is the most important factor. Network security refers to protection of data transmitted through all communication protocols such as TELNET, FTP, HTTP, SMTP, etc. However, in a field where inter-operability is required due to the characteristics of a network. Because of this, standardization has been standardized by a single standard.
[0003]
At present, where Ethernet (registered trademark) is used, not only is it possible to interrupt data arbitrarily in the subnet, but also there are programs that record such data.
Usually, in order to protect information on data on a network, many encryption methods are used. If a protocol is incorrectly designed through only simple encryption, it may be attacked through replay. Even if the hacker does not know the content of the data, the same result can be obtained by reproducing the observed communication content in the same manner. Therefore, when performing encrypted communication other than simple encryption, data is usually encrypted including various information.
[0004]
There are various encryption methods such as a hash encryption method, a symmetric key encryption method, and a public key encryption method.
The symmetric key encryption method refers to an encryption system in which a key to be encrypted is the same as a key to be decrypted, or a symmetric key is easily known if one is known.
The symmetric key encryption method is EK= DKIn this case, when two keys are the same or one key is known, the other key is easily known, and the sender and the receiver must share the key in advance. The security of the cryptographic system depends on the key, which is expressed by the following equation (1).
[0005]
(Equation 1)
[0006]
The symmetric key encryption method has a simpler internal structure than the public key encryption method and consists of a combination of permutation and permutation.It has low computational complexity and requires the development of an appropriate encryption algorithm suitable for the system environment. It can be easily implemented, the encryption / decryption speed is fast, and the random number generator is easily linked with another encryption method such as a hash function. In the symmetric key encryption method, the size of the encryption key is relatively smaller than that of the public key encryption system, and an efficient encryption system can be constructed. However, since symmetric key cryptography requires that the same key be shared between parties exchanging information, one user must maintain many keys when exchanging information with many people. There are difficulties. Representative examples of the symmetric key encryption method include SEED, AES (Rijndael), 3DES, GOST, IDEA, SKIPJACK (3), and the like.
[0007]
The public key method (Public Key Method) generates a key pair (Key Pair), then publishes one key (Public Key) to the relative side, and then uses this to protect data or integrity, authentication, This is a method that can satisfy denial blockade and the like. A key twin refers to a key twin of an asymmetric encryption algorithm. When encryption is performed with one key, it can be decrypted into only another key.
The public key method is used for two purposes. First, the public key method is used for data protection because when a sender encrypts and transmits with a recipient's public key, information cannot be obtained by decryption unless the sender is the recipient. Second, in the public key method, when a sender transmits data encrypted with his / her own private key, the receiver can obtain information on the data received with the sender's public key, and the sender sends the information. It is used for a function that can confirm that the data is sent and that can block denial of the fact that the data was sent.
Two keys are used for the public key encryption system, one is used for encryption and the other is used for decryption. Therefore, in the public key encryption method, when a key is generated for encryption, two keys (a personal key and a public key) are generated. Here, the key used for encryption is a public key, and the key used for decryption is a private key. Public key cryptography requires the public key to be authenticated by a third party before the public key is disclosed to the other party in order to easily confirm the authenticity of the public key. If the infrastructure is not well prepared, its use efficiency cannot be increased.
[0008]
Hash encryption is widely used for digital signatures. In the hash encryption method, a sender signs a hash code h (M), which is a result of taking a hash function on an input M, with a secret key, and a receiver checks this with a public key. (M) is compared with a value obtained by taking a hash function on the received M to determine whether the signature is true or false. In addition, the hash encryption method can be used for the integrity of information. The hash encryption method calculates the hash code of the information that you want to verify its integrity and stores it safely. When verification of integrity is needed, further calculates the hash code and compares the stored hash code with the value. By doing so, the integrity of the information can be confirmed. The hash function h is a collision avoidance hash function (collision free hash function), a strong one-way hash function (SOWHF, Strong One-Way Hash Function) and a weak one-way hash function (WOWFH, Weak One-Way-Way-Way-One-Way) depending on its security. Hash @ Function).
The hash function h must have the following four conditions. First, the hash function h must be applicable to an input M of any size. Second, the hash function h must produce a constant magnitude output H = h (M). Third, the hash function h must be easy to calculate for H = h (M) given h and M. Fourth, given a hash function H = h (M), the inverse calculation for M must be impossible. The four conditions apply commonly to the hash function h, which belongs to the most basic definition that a hash function must have.
The hash algorithm includes an MD5 algorithm. The MD5 algorithm is an improved version of the MD4 algorithm developed by Ron @ Rivest in 1990, and is based on a hash @ function designed for fast software implementation. The MD5 algorithm is an electronic signature (digital @ signature) application in which a large file is encrypted and compressed together with a private key (private (or secret) key) in a public-key encryption system such as RSA. It was devised mainly for the purpose of application. And the MD5 algorithm is an extension of the MD4 algorithm and is slightly slower than MD4, but the structure is more robust.
[0009]
Conventionally, the rapid development of communication networks such as the Internet has the advantage that many people can share information.On the contrary, there are cases where information and communication technology having such advantages is used for crimes. are doing.
Conventional network cameras, home gateways, and home automation devices require a specific user having an identifier and a password to connect to a surveillance camera terminal device provided by the user and monitor the operation status through a network. Although research has been conducted, since unencrypted data is actually transmitted on a network, there has been a security problem in which another person observes the operation state of a surveillance camera without permission and is used in a crime.
The conventional network basic data security maintenance method has a problem that during a user authentication process, a user identifier and a password are exposed to a network in an unencrypted state, interrupted during transmission, and information is leaked. Expenses are required to receive public key authentication from a third party.
[0010]
[Problems to be solved by the invention]
Therefore, an object of the present invention is to provide authentication and electronic information between a server and a user only by using the user's password that is previously hidden and shared between the server and the user during the process of transmitting and receiving data through the network. Network camera, home gateway, and home automation system capable of distributing / registering encryption keys and performing encryption / decryption of data to be transmitted / received using an electronic information encryption key as a secret key of a symmetric key encryption algorithm And a data security maintenance method and apparatus.
Another object of the present invention is to provide a symmetric key cryptographic algorithm having a low computational complexity without using a public key-based cryptographic algorithm which has a high computational complexity and is expensive to receive public key authentication. Another object of the present invention is to provide a method and apparatus for maintaining data security in a network camera, a home gateway, and a home automation system that can perform authentication for a user and authentication for a server using a hash algorithm.
[0011]
Yet another object of the present invention is to provide a symmetric key cryptographic algorithm that has a low computational complexity without using a public key-based cryptographic algorithm that has a high computational complexity and is expensive to receive public key authentication. Data security maintenance in network cameras, home gateways and home automation systems that can distribute symmetric keys (electronic information encryption keys) required for encryption / decryption of multimedia data or control data using It is to provide a method and an apparatus.
Still another object of the present invention is to convert multimedia data or control data between a server and a client using a symmetric key (electronic information encryption key) distributed by a symmetric key encryption algorithm. It is an object of the present invention to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which can encrypt and decrypt in both directions, which can be encrypted and transmitted and received.
[0012]
It is still another object of the present invention to encrypt and decrypt data in both directions in order to prevent unauthorized access to electronic information provided by a server in the process of transmitting and receiving data through a network. An object of the present invention is to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which are to be developed.
Still another object of the present invention is to encrypt and decrypt data in both directions in order to prevent leakage of information when data that needs to be kept secret must be transmitted during data transmission / reception through a network. An object of the present invention is to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which are to be developed.
[0013]
[Means for Solving the Problems]
According to one aspect of the present invention, there is provided a method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway, and a home automation device. In response to a connection request signal, generate a server trial value, transmit the generated server trial value to the client, receive a client response value from the client, receive an ID from the client, Calculate the response value expected from the client with the password corresponding to the and the trial value, compare and authenticate the response value of the client received from the client, if the authentication result is valid, generate an electronic information encryption key, A secret key for encrypting the electronic information encryption key is generated, and the secret key is required. Encrypting the electronic information encryption key into a symmetric key encryption algorithm, transmitting the encrypted electronic information to the client, encrypting the electronic information using the electronic information encryption key as an element to a symmetric key encryption algorithm, Transmitting the encrypted electronic information to the client, extracting an electronic information encryption key from the encrypted electronic information encryption key received by the client, and using the extracted electronic information encryption key as an element, The present invention can provide a network camera, a home gateway, a method for maintaining basic data security of a home automation device, and a system corresponding to the method, wherein the electronic information is extracted by performing symmetric key decryption of the converted electronic information. .
[0014]
In a preferred embodiment, the trial value may be any one of a random number (Random @ Number), a sequence (Sequence @ Number), and a time table (Time @ stamp), and the response value of the client is the password. And the hash function to which the trial value of the server is applied.
In yet another preferred embodiment, the response value of the client can be a hash function with a secret key to which the password of the client and the attempt value of the server have been applied, and the response value of the client is the client's response value. The password and the trial value of the server may be a symmetric key encryption algorithm applied.
In yet another preferred embodiment, the password is a password of a client previously hidden and shared between the server and the client, and the ID is the same as or different from the response value of the client. Can be received.
In another preferred embodiment, the basic data security maintaining method in the network camera, the home gateway, and the home automation device may transmit a client authentication approval signal to the client.
[0015]
In yet another preferred embodiment, the electronic information encryption key can be selected at random, and the electronic information encryption key can be updated and generated at predetermined time intervals or when necessary. Can be done.
In yet another preferred embodiment, the secret key is a secret key of a symmetric key cryptographic algorithm required for encrypting an electronic information encryption key, and the secret key is configured to transmit a trial value and a password in a mutually agreed manner. Can be processed and generated.
In yet another preferred embodiment, the client can decrypt the encrypted electronic information encryption key in response to the client authentication approval signal and generate a secret key required for extracting the electronic information encryption key. , The secret key is a secret key of a symmetric key encryption algorithm.
In yet another preferred embodiment, the secret key can be generated by processing the server's trial value and password in a mutually agreed manner.
[0016]
According to another aspect of the present invention, there is provided a method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, the method comprising: Generating a server trial value, transmitting the generated server trial value to the client, receiving a client response value from the client, receiving an ID from the client, and receiving a client trial value from the client; Then, a response value expected from the client is calculated based on the password corresponding to the ID and the trial value of the server, the authentication value is compared with the response value of the client received from the client, and the authentication result is valid. Generate a response value and classify the response value of the server. Transmitting to the client, receiving a server authentication approval signal from the client, generating an electronic information encryption key in response to the server authentication approval signal, generating a secret key for encrypting the electronic information encryption key, Encrypting an encryption key into a symmetric key encryption algorithm, transmitting the encrypted electronic encryption key to the client, encrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element, and Transmitting the extracted electronic information to the client, and extracting the electronic information encryption key from the encrypted electronic information encryption key received by the client, and using the extracted electronic information encryption key as an element, Network camera, home gateway, and home automation system for extracting electronic information by performing symmetric key decryption of the obtained electronic information. Basic data security method to maintain Deployment apparatus, it is possible to provide a system which responds to said process.
[0017]
In a preferred embodiment, the server trial value and the client trial value may be any of a random number (Random @ Number), a sequence (Sequence @ Number), and a time table (Time @ stamp).
In another preferred embodiment, the server response value and the client response value may be a hash function with a password and a secret key to which the server attempt value has been applied.
In yet another preferred embodiment, the server response value and the client response value may be a hash function to which a password and the server attempt value are applied, wherein the server response value and the client response value May be a symmetric key encryption algorithm to which a password and the server's trial value are applied.
[0018]
In yet another preferred embodiment, the password is a password of a client that is previously hidden and shared between the server and the client, and the ID and the trial value of the client are simultaneously set with the response value of the client. , Or at different times.
In yet another preferred embodiment, the server authentication approval signal is used to calculate a response value expected from the server by the client with a password corresponding to the ID and a trial value of the client, and compare the response value with the response value of the server. This is the result.
In yet another preferred embodiment, the electronic information encryption key can be generated by the client, and the client generates a secret key of a symmetric key encryption algorithm necessary for encrypting the electronic information encryption key. Can be generated.
In yet another preferred embodiment, the electronic information encryption key may be randomly selected, and the electronic information encryption key may be updated and generated at predetermined time intervals or when necessary. Can be
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
The present invention relates to a method and apparatus for maintaining security in transmitting data based on a network between a server and a client of a network camera, a home gateway, and a home automation device.
[0020]
The computer as a terminal device of the client may be connected to a network through wired / wireless, and the personal mobile communication terminal may be connected to a wireless network. The client can connect to a server of a home gateway and a home automation device by using the terminal device, and can receive and provide data such as a video, a sound, and a state of an electronic device of a place of a user's home, work, and the like. , A control signal can be transmitted to the server to control an electronic device or the like. For example, if the user wants to control the heating of the house from outside, the client connects to the server of the home gateway and the home automation device using the terminal device, performs an authentication procedure, and transmits a desired control signal. Heating inside the house can be adjusted from the outside. In addition, the client can connect to the network camera, the home gateway, and the server of the home automation device, and check the status of video, audio, and electronic devices in the house through the network camera. Here, authentication and data transmission / reception between the server and the client must involve encryption and decryption for personal information security.
[0021]
FIG. 1 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to a preferred embodiment of the present invention.
Referring to FIG. 1, in a server and a client that transmit and receive data based on a network, a
[0022]
The encryption /
The
Number), a time table (Time @ stamp) and the like are used.
The response value generation unit 120 serves to generate a response value (Res_C) of the client according to the trial value (Cha_S) of the server according to a method promised between the server and the client. Here, as a method promised between the server and the client, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
[0023]
The
The input /
The
The client must connect to the server of the network camera, the home gateway, and the home automation device and perform an authentication procedure to perform the service.
[0024]
First, the authentication between the server and the client according to the preferred embodiment of the present invention can be performed using a hash algorithm with a secret key. The process of performing an authentication procedure using the hash function with the secret key will be described in detail with reference to FIG.
Second, authentication between the server and the client can be performed using a hash algorithm. The process of performing an authentication procedure using the hash function will be described in detail with reference to FIG.
Third, authentication between the server and the client can be performed using a symmetric key encryption algorithm. The process of performing an authentication procedure using the symmetric key encryption algorithm will be described in detail with reference to FIG.
[0025]
In the authentication between the server and the client according to the preferred embodiment of the present invention, the process of authenticating the client by the server is essential, and the process of authenticating the server by the client is optional.
FIG. 2 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
Referring to FIG. 2, the
[0026]
The video
[0027]
The
The encryption /
The input /
[0028]
The
The
The input / output unit 229 is the same as described above, and a description thereof will be omitted.
The encryption /
[0029]
The response value generation unit 232 serves to generate a response value (Res_C) of the client 203 according to the trial value (Cha_S) of the server in a manner promised between the server and the client. Here, as a method promised between the
The control unit 233 controls the input / output unit 229, the encryption /
[0030]
FIG. 3 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 3, the network camera, the home gateway, and the home automation system include a
The
[0031]
FIG. 4 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to another exemplary embodiment of the present invention. Referring to FIG. 4, the server 10 further includes a response
The response
The trial value generation unit 401 generates a client trial value (Cha_C) required for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp), and the like are used.
The response value generation unit 403 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the
[0032]
FIG. 5 is a diagram showing a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 5, the
The response
The trial value generator 502 generates a client trial value (Cha_C) necessary for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp) and the like are used. The response value generation unit 503 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the
[0033]
FIG. 6 is a view illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 6, the
The response
The trial value generation unit 602 generates a trial value (Cha_C) of the client required for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp), and the like are used. The response value generation unit 603 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the
[0034]
7 to 10 are signal flowcharts illustrating a process of transmitting and receiving data based on a network between a server and a client of a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
Referring to FIGS. 7 to 10, explanations of terms used in an encryption process and a decryption process in transmitting and receiving data between a server and a client based on a network are shown in Table 1 below. It is as follows.
[0035]
[Table 1]
[0036]
FIG. 7 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to a preferred embodiment of the present invention. .
Referring to FIG. 7, a server, which is a network camera, a home gateway, and a home automation apparatus, uses a hash algorithm with a secret key based on a password (Password) of a client that is previously hidden and shared with the client, and uses the hash algorithm with a secret key. Authenticate (confirm).
In addition, the server encrypts / decrypts the electronic information using a symmetric key encryption algorithm, and thus requires a necessary electronic information encryption key (session key, K).D), And transmits (distributes) the electronic information encryption key (ESK) encrypted using the symmetric key encryption algorithm to the client.
Thereafter, the server and the client transmit the multimedia data or control data transmitted between them to an electronic information encryption key (session key, KD) Is encrypted as a secret key of the symmetric key encryption algorithm and transmitted and received.
First, when a connection request signal is transmitted from a client to a server (step 701), the server receives the connection request signal.
[0037]
The server sends the server's trial value (Cha_S) provided to the client in response to the connection request signal to a random number (RN).S) (Step 703), and transmitted to the client (Step 705). Here, as the trial value (Chs_S) of the server, an order other than the random number (SequenceNumber), a time table (Time stamp), or the like may be used.
The client that has received the server's trial value (Cha_S) uses a hash algorithm with a secret key to generate a secret key (HMAC) required for generating the client's response value (Res_C).K) Is generated (step 707) by processing (f) the password (Password) which is hidden between the server and the client as it is or by a method promised between the server and the client. . Here, the processing (f) may include a trial value of the server (Cha_S) and a client identifier (ID).
Thereafter, the client selects and processes (f) the values (Cha_S, $ ID, $ Password) shared between the server and the client in a promised manner between the server and the client. Here, the server trial value (Cha_S (RNS)) And password (Password) must be included. Thereafter, the client converts the processed (f) value into a secret key (HMAC).K) And a hash algorithm involving a secret key to generate a response value (Res_C) of the client corresponding to the trial value (Cha_S) of the server (Step 709).
An expression for generating the response value (Res_C) of the client is expressed by the following equation (2).
[0038]
(Equation 2)
[0039]
The client transmits to the server a response value (Res_C) and a client identifier (ID) of the client corresponding to the server trial value (Cha_S) provided by the server to the client (step 711). The response value (Res_C) and the client identifier (ID) are received. Here, the client can transmit the ID (ID) to the server with a time lag.
The server calculates the hash value by applying the user's password (Password), the identifier (ID), the trial value (Cha_S) provided by the server to the client, and the like to the hash algorithm with the secret key in the same manner as the client. The client authentication procedure is performed by comparing with the response value (Res_C) received from the client (step 713).
If the comparison result is not valid, the server transmits a client authentication failure message to the client.
After the client authentication of the server is confirmed, the server sends the electronic information encryption key (session key) (K) of the symmetric key encryption algorithm used for encrypting / decrypting the electronic information (D).D) Is selected at random (step 715). After that, the server selects and processes (f) the values (Password, ID, Cha_S) shared between the server and the client by a method promised between the server and the client (f), and performs electronic information encryption. Key (session key) (KD) Using the symmetric key encryption algorithm, the secret key (KS) Is generated (step 716).
After performing the step 716, the server sends the electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAs an electronic information encryption key (session key) (KD) Is performed (g) (step 717), and transmitted to the client together with the client authentication approval signal (step 719). The server may separately transmit the client authentication approval signal. In this case, the server transmits an electronic information encryption key (session key) (K) for encrypting the electronic information (D) at regular intervals or when necessary.D) Can be newly generated, encrypted and transmitted to the client. Electronic information encryption key (session key) (KD) Is expressed by equation (3).
[0040]
(Equation 3)
[0041]
The client sends the encrypted electronic information encryption key (session key) (KD), After receiving K in a manner similar to that generated by the server.SIs generated (step 720), and the symmetric key encryption algorithm is decrypted (g-1) To perform the electronic information encryption key (session key) (KD) Is extracted (step 721). Here, the above-mentioned decoding equation is shown in Expression 4.
[0042]
(Equation 4)
[0043]
The server sends the electronic information encryption key (session key) (KD) Is used as a secret key of a symmetric key encryption algorithm, and encryption (g) of the electronic information (D) transmitted to the client is performed (step 723), and the encrypted electronic information (E) is transmitted to the client. The transmission is performed (step 725). Here, {circle around (5)} represents the encryption formula.
[0044]
(Equation 5)
[0045]
The client receives the encrypted electronic information (E) and extracts the electronic information encryption key (session key) (K) extracted from step 721.D) To decrypt the symmetric key encryption algorithm (g-1) Is performed to extract the electronic information (D) from the encrypted electronic information (E) (step 727). Here, the above-mentioned decoding equation is expressed by Equation 6.
[0046]
(Equation 6)
[0047]
FIG. 8 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client of a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention. is there.
Referring to FIG. 8, the server and the client perform mutual authentication (confirmation) using a hash algorithm based on the client's password (Password) which is previously hidden and shared between the server and the client. That is, the server authenticates (confirms) the client using a hash algorithm based on the client's password (Password) that is previously hidden and shared between the server and the client. The server is authenticated (confirmed) by using a hash algorithm based on the password (Password) of the client which is previously hidden and shared between the servers.
Further, the server encrypts / decrypts the electronic information (D) by using a symmetric key encryption algorithm, and thus requires a necessary electronic information encryption key (session key, KD), And transmits (distributes) the electronic information encryption key (ESK) encrypted using the symmetric key encryption algorithm to the client. Thereafter, the server and the client exchange the electronic information (D) transmitted between them with an electronic information encryption key (session key, K).D) Is encrypted as a secret key of the symmetric key encryption algorithm and transmitted and received.
[0048]
First, when a connection request signal is transmitted from a client to a server (step 801), the server receives the connection request signal.
In response to the connection request signal, the server sends a server trial value (Cha_S) provided to the client to a random number (RN).S) Is generated (step 803) and transmitted to the client (step 805). Here, as the trial value (Chs_S) of the server, an order other than the random number (SequenceNumber), a time table (Time stamp), or the like may be used.
The client that has received the server's trial value (Cha_S) selects and shares a value (Cha_S, $ ID, $ Password) shared between the server and the client in a promised manner between the server and the client. After processing (f), a response value (Res_C) to which the hash algorithm is applied is generated (step 807). Here, the trial value (Cha_S (RNS)) And password (Password) must be included.
Expression 7 for generating the response value (Res_C) of the client is shown in Expression 7.
[0049]
(Equation 7)
[0050]
The client sends the client's trial value (Cha_C) that the client provides to the server to a random number (RN).C) Is generated (step 809).
The client transmits a client response value (Res_C), a client identifier (ID), and a client trial value (Cha_C) according to the server trial value (Cha_S) provided to the client by the server (step 811). Thereafter, the server receives the response value of the client (Res_C), the client identifier (ID), and the trial value of the client (Cha_C). Here, the client's trial value (Cha_C) and the identifier (ID) can be transmitted to the server with a time difference from the client's response value (Res_C).
The server calculates the hash value by applying the user's password (Password), the identifier (ID), the trial value (Cha_S) provided by the server to the client, etc. to the hash algorithm in the same manner as the client, and receives the hash value from the client. The client authentication procedure is performed in comparison with the response value (Res_C) (step 813).
After authenticating the client, the server transmits values (Cha_S, Cha_C, ID, and Password) shared between the server and the client so that the client can be authenticated by the server. (F), and generates a response value (Res_S) of the server corresponding to the client's trial value (Cha_C) to which the hash algorithm is applied (step 8157) and transmits the response value to the client (step 8157). Step 817). Here, the trial value (Cha_C) and the client password (Password) must be included.
The equation for generating the response value (Res_C) of the server is shown in Expression 8.
[0051]
(Equation 8)
[0052]
The client that has received the response value (Res_S) of the server transmits the user's password (Password), identifier (ID), server's trial value (Cha_S), and the trial value (Cha_C) provided by the client to the server, and the like. In the same manner, a hash value is calculated by applying to a hash algorithm, and compared with a response value (Res_S) received from the server, a procedure for authenticating the server is performed (step 819).
After performing the authentication, the client transmits a server authentication approval signal to the server (step 821).
[0053]
Hereinafter, steps 823 to 835 are portions that overlap with the portions described with reference to FIG. 7, and thus description thereof will be omitted.
FIG. 9 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to still another embodiment of the present invention. It is.
Referring to FIG. 9, the server and the client perform mutual authentication (confirmation) using a symmetric key algorithm. That is, the server authenticates (confirms) the client using the symmetric key algorithm, and the client authenticates (confirms) the server using the symmetric key encryption algorithm.
The client generates an electronic information encryption key (session key) necessary for encrypting / decrypting the electronic information (D) using the symmetric key encryption algorithm, and the client encrypts the electronic information (D) using the symmetric key encryption algorithm. The electronic information encryption key registered in the server. Thereafter, the server and the client transmit and receive the electronic information (D) transmitted between them by encrypting the electronic information (D) with a symmetric key encryption algorithm using an electronic information encryption key.
[0054]
First, when a connection request signal is transmitted from a client to a server (step 901), the server receives the connection request signal.
The server sends a server trial value (Cha_S) provided to the client by the server in response to the connection request signal to a random number (RN).S) (Step 903), and transmitted to the client (step 904). Here, as the trial value (Chs_S) of the server, in addition to the random number, an order (Sequence @ Number), a time table (Time @ stamp), or the like may be used.
The client receiving the server attempt value (Cha_S) uses the symmetric key encryption algorithm to generate the response value (Res_C) of the client, but the secret key (K) of the required symmetric key encryption algorithm is used.A) Is generated (step 905) by processing (f) the password (Password) which is hidden between the server and the client, or as it is or by a method promised between the server and the client. Here, the process (f) may include a trial value of the server (Cha_S) and a client identifier (ID).
The client selects and processes at least one of Cha_S, $ ID, $ Password, which is a value shared between the server and the client, in a promised manner between the server and the client (f). I do. Here, the server's trial value (Cha_S) must always be included. Thereafter, the client sends the generated secret key (KA) By using the encryption method of the symmetric key encryption algorithm (g) to generate a response value (Res_C) of the client corresponding to the trial value (Cha_S) of the server (step 907).
An expression for generating the response value (Res_C) of the client is shown in Expression 9.
[0055]
(Equation 9)
[0056]
The client sends the client's trial value (Cha_C) that the client provides to the server to a random number (RN).C) (Step 909). Here, as the trial value (Chs_S) of the client, an order other than the random numbers (Sequence @ Number), a time table (Time stamp), or the like may be used.
The client transmits a client response value (Res_C), a client identifier (ID), and a client trial value (Cha_C) to the server according to the server trial value (Cha_S) provided to the client by the server (step 911). Here, the client may transmit the client identifier (ID) and the trial value of the client (Cha_C) to the server with a time lag from the response value (Res_C) of the client. The server receives a response value (Res_C) of the client, a client identifier (ID), and a trial value of the client (Cha_C). The server decrypts (g) the symmetric key encryption algorithm with the received response value (Res_C) of the client.-1), The secret key (KA) Is generated in the same manner as the method generated by the client (step 913).
The server generates a secret key (K) for the received client response value (Res_C).A) As the secret key of the symmetric key encryption algorithm, and decryption of the symmetric key encryption algorithm (g-1) To authenticate the client by confirming that the decrypted value is data selected and processed in a promised manner for the value shared between the server and the client. Is performed (step 914). The decryption (g-1Equation (10) is shown in Expression 10.
[0057]
(Equation 10)
[0058]
After performing the client authentication, the server generates a server response value (Res_S) according to the client trial value (Cha_C) by the encryption (g) method of the symmetric key encryption algorithm so that the client is authenticated by the server. (Step 915), and transmit to the client (Step 917). Here, in generating the response value of the server, a trial value of the client, a user identifier (ID), a client password, and a trial value of the server, which are values shared between the server and the client, are promised to the client in advance. It is used after being selected and processed in the specified method.
An equation for generating the response value (Res_S) of the server is shown in Expression 11.
[0059]
[Equation 11]
[0060]
The client receives the response value (Res_S) of the server, and performs decryption (g-1) To extract Cha_C, and compares the extracted Cha_C with the client's trial value (Cha_C) sent to the server by the client to perform server authentication (step 919). The decryption (g-1Equation (12) is shown in Expression 12.
[0061]
(Equation 12)
[0062]
After the server performs, the client sends an electronic information encryption key (session key) (KD) Is selected at random (step 920), and selected from values (Password, ID, Cha_S, Cha_C) shared between the server and the client in a manner promised between the server and the client. (F), and encrypting the electronic information encryption key using the symmetric key encryption algorithm.S) Is generated (step 921).
After performing the step 921, the client sets the electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAs an electronic information encryption key (session key) (KD) Is performed (g) (step 922) and transmitted to the server (step 923). The client may: (1) use an electronic information encryption key (session key) (K) for encrypting video or data at regular intervals or, if necessary,D) Can be newly generated, encrypted and transmitted to the server. Here, the electronic information encryption key (session key) (KD) Is expressed by Expression 13.
[0063]
(Equation 13)
[0064]
The server, after receiving the encrypted electronic information encryption key (ESK), uses the same promised method generated by the client toSIs generated (step 924), and the symmetric key encryption algorithm is decrypted (g-1) To perform an electronic information encryption key (session key) (KD) Is extracted (step). Here, the decoding equation is shown in Expression 14.
[0065]
[Equation 14]
[0066]
In the server, the steps 927 to 931 for transmitting the electronic information (D) to the client overlap with the parts described with reference to FIG.
FIG. 10 is a flowchart illustrating a process of transmitting encrypted electronic information of a client to a server according to an exemplary embodiment of the present invention.
Referring to FIG. 10, the server transmits an electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAnd an electronic information encryption key (session key) (KD) Is performed and transmitted to the client together with the client authentication approval signal (step 1001).
The client transmits the encrypted electronic information encryption key (session key) (KD) After receiving K in the same promised manner generated by the server.SIs generated (step 1002), and then encryption (g-1) To perform the electronic information encryption key (session key) (KD) Is extracted (step 1003). Here, the decoding equation is represented by Expression 15.
[0067]
(Equation 15)
[0068]
The client uses the electronic information encryption key (session key) (KD) Is used as a secret key of the symmetric key encryption algorithm to encrypt (g) the data (D) to be transmitted to the server (step 1005), and transmit the encrypted data (E) to the server (step 1005). Step 1007) is performed. Here, the above-mentioned encryption formula is expressed by Expression 16.
[0069]
(Equation 16)
[0070]
After receiving the encrypted data (E), the server sends the electronic information encryption key (session key) (KD) To encrypt the symmetric key encryption algorithm (g-1) (Step 1009) to extract data (D) from the encrypted data (E). Here, the decoding equation is represented by Expression 17.
[0071]
[Equation 17]
[0072]
Thereafter, the server processes the extracted data (D) (step 1011).
FIG. 11 is a view illustrating a configuration of a two-way data security system in a remote multimedia data monitoring system according to a preferred embodiment of the present invention.
Referring to FIG. 11, a monitoring system for securing remote multimedia data includes a
[0073]
The
The video
The
The data encryption /
[0074]
In the
The data converted to TCP / IP of the
[0075]
The encryption /
On the other hand, the
[0076]
FIG. 12 is a view showing a configuration of an integrated network surveillance camera having a security function according to still another preferred embodiment of the present invention.
Referring to FIG. 12, the
The video
The
[0077]
The
The data encryption /
The
[0078]
When transmitting data from the
[0079]
13 to 15 are signal flowcharts illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention.
Referring to FIGS. 13, 14, 15 and 15, the terms used in the process of encrypting and decrypting data using a symmetric key algorithm and an asymmetric key algorithm in a data transmission / reception process based on a network will be described below. It is as follows.
D: Multimedia data
KD: Electronic information encryption key
KS Release, KS secret: Server public key and server private key
KC Release, KC secret: Client's public key and client's private key
f: Asymmetric key encryption algorithm
f-1: Asymmetric key decryption algorithm
g: Encryption algorithm of asymmetric key method
g-1: Asymmetric key decryption algorithm
h: Symmetric key cryptographic algorithm
h-1: Symmetric key decryption algorithm
[0080]
First, in
Thereafter, in the client, the identifier (ID) and password input by the user and the public key (KS Release) And the client private key (KC secret), The identifier (ID) and the password are encrypted using the asymmetric key encryption algorithm (f) (step 1304). The encryption formula is shown in the following equation (18).
[0081]
(Equation 18)
[0082]
Here, F is an encrypted identifier (ID) and password, where ID is an identifier, password is a password, and $ KS ReleaseIs the server's public key, KC secretDenotes a client secret key and f denotes an asymmetric key encryption algorithm. The identifier and the password become information to be encrypted. It is desirable to encrypt the identifier and the password after the primary processing (function e).
When the client receives the encrypted identifier (ID), password and client public key (KC Release) Is transmitted to the server (step 1305), and after receiving this, the server performs
[0083]
[Equation 19]
[0084]
Here, the ID, password, F, KS secret, KC Release, F-1Is the same as described above.
In another preferred embodiment of the present invention, a step of restoring the original state (function e) of the identifier and the password after performing Equation 19 may be added.
Here, the server compares the user information set in advance using the user identifier and the password extracted as described above (here, the user information includes at least the user identifier and the password) to determine whether the same. Judge whether or not.
If not, the server can transmit an error message to the client.
Thereafter, the server sends the electronic information encryption key (KD) Is selected (step 1307).
Electronic information encryption key (KDThere are various methods for selecting ()), but in the preferred embodiment of the present invention, the selection is made at random.
Thereafter, the server sends the electronic information encryption key (KD) Is transmitted to the client (step 1308). This is shown in Equation 20 below.
[0085]
(Equation 20)
[0086]
Here, G is the result of encrypting the electronic information encryption key, and g, KD, KC Release, KS secretIs the same as described above.
Thereafter, the server sends the encrypted electronic information encryption key (KD) Is transmitted to the client (step 1309). After receiving this, the client performs a decryption process and performs the electronic information encryption key (KD) Is extracted (step 1310). The decoding process is represented by Equation 21 below.
[0087]
(Equation 21)
[0088]
Where KD, G-1, G, KC secret, KS ReleaseIs the same as described above, and the description is omitted.
After that, the server performs symmetric key encryption for transmitting the electronic information (D) (step 1501). A description of the symmetric key encryption is shown in Expression 22.
[0089]
(Equation 22)
[0090]
Here, E is the result of encrypting the electronic information, h, D and KDIs the same as described above, and a description thereof will be omitted.
Next, the server encrypts the electronic information (D) with a symmetric key, and transmits the encrypted electronic information to the client (
[0091]
[Equation 23]
[0092]
Where D, h-1, E and KDIs the same as described above, and a description thereof will be omitted.
As described above, in the present invention, the ID and the password are transmitted by the asymmetric key encryption method, and the electronic information encryption key (KD) Is also encrypted with an asymmetric encryption algorithm and transmitted, and then the electronic information (D) to be transmitted is encrypted with a symmetric key and transmitted. At this time, the electronic information encryption key (KD) Can be switched at any time, so that it can be prevented from being stolen by others.
It is needless to say that the present invention is not limited to the above-described embodiments, and that various modifications can be made by those having ordinary knowledge in the art within the spirit of the present invention.
[0093]
【The invention's effect】
As described above, according to the present invention, in the process of transmitting and receiving data through a network, the server and the user can communicate only with the password of the user previously hidden and shared between the server and the user. Authentication and distribution / registration of an electronic information encryption key, and the transmission / reception data can be encrypted / decrypted using the electronic information encryption key as a secret key of a target key encryption algorithm.
In particular, use of a symmetric key cryptographic algorithm or a hash algorithm with low computational complexity does not use public key-based cryptographic algorithms, which require high computational complexity and require public key authentication. Multimedia data between the server and the client using the target key (electronic information encryption key, session key) distributed by the symmetric key encryption algorithm, or Control data and the like can be encrypted by a symmetric key encryption algorithm and transmitted and received in both directions.
Also, according to the present invention, in the process of transmitting and receiving data through a network, it is possible to prevent unauthorized unauthorized stealing of the electronic information provided by the server by an unauthorized person, and in the process of transmitting and receiving data through the network, When data that needs to be maintained must be transmitted, information leakage can be prevented.
[Brief description of the drawings]
FIG. 1 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to a preferred embodiment of the present invention.
FIG. 2 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
FIG. 3 is a diagram showing a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 4 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to another embodiment of the present invention;
FIG. 5 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 6 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 7 is a signal flowchart showing a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to a preferred embodiment of the present invention. .
FIG. 8 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to another preferred embodiment of the present invention. is there.
FIG. 9 is a signal flowchart showing a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to still another preferred embodiment of the present invention. It is.
FIG. 10 is a flowchart illustrating a process of transmitting encrypted electronic information of a client to a server according to an exemplary embodiment of the present invention.
FIG. 11 is a diagram illustrating a configuration of a two-way data security system in a remote multimedia data monitoring system according to a preferred embodiment of the present invention;
FIG. 12 is a diagram showing a configuration of an integrated network surveillance camera having a security function according to still another preferred embodiment of the present invention.
FIG. 13 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to a preferred embodiment of the present invention.
FIG. 14 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention;
FIG. 15 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention;
[Explanation of symbols]
101 server
102a, 102b client
103 Encryption / Decryption Unit
105 Trial value generator
107 control unit
109 database
111 input / output unit
113 network
117a, 117b input / output unit
119a, 119b {encryption / decryption unit
121a, 121b control unit
120a, 120b response value generation unit
201 server
203a, 203b @ Client
204 network
205 Video information collection unit
207 Voice information collection unit
209 User data generator
211 Automation control unit
213 Multiplex section
215 Data conversion unit
217 control unit
219 compression section
221 Trial value generator
223 Encryption / decryption unit
225 input / output unit
229a, 229b input / output unit
231a, 231b {encryption / decryption unit
232a, 232b response value generation unit
233a, 233b control unit
301 Data storage unit
1010a, 1010b trial value generation unit
1030a, 1030b response value generation unit
1005 response value generator
1019 Response value generator
502a, 502b @ trial value generation unit
503a, 503b response value generation unit
1128 Response value generator
602a, 602b @ trial value generation unit
1120a, 1120b response value generation unit
Claims (31)
クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として、前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報鍵を前記クライアントに伝送するステップと、
前記電子情報暗号化鍵を要素として、電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
Generating a server attempt value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Calculating a response value expected from the client with the password and the trial value corresponding to the ID, and comparing and authenticating the response value with the response value of the client received from the client;
If the authentication result is valid, generating an electronic information encryption key;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key into a symmetric key encryption algorithm using the secret key as an element,
Transmitting the encrypted electronic information key to the client;
Encrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information.
前記クライアントにクライアント認証承認信号を伝送するステップを更に含むことを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The network camera, the home gateway and the method of maintaining the basic data security of the home automation device,
2. The method of claim 1, further comprising transmitting a client authentication approval signal to the client.
クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記クライアントからクライアントの試み値を受信するステップと、
前記IDに応ずるパスワード及び前記サーバの試み値で前記クライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、サーバの応答値を生成するステップと、
前記サーバの応答値をクライアントに伝送するステップと、
前記クライアントからサーバ認証承認信号を受信するステップと、
前記サーバ認証承認信号に応じて電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報暗号鍵を前記クライアントに伝送するステップと、前記電子情報暗号鍵を要素にして電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device,
Generating a server attempt value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Receiving a client attempt value from the client;
Calculating a response value expected from the client with a password corresponding to the ID and a trial value of the server, and comparing and authenticating with a response value of the client received from the client;
Generating a server response value if the authentication result is valid;
Transmitting a response value of the server to a client;
Receiving a server authentication approval signal from the client;
Generating an electronic information encryption key in response to the server authentication approval signal;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information encryption key to the client; andencrypting the electronic information to a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information.
プログラムが格納されているメモリと、
前記メモリに結合されて前記プログラムを実行するプロセッサを含み、かつ、前記プロセッサは前記プログラムにより、クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報暗号鍵を前記クライアントに伝送するステップと、前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
A memory where the program is stored,
A processor coupled to the memory for executing the program, and wherein the processor generates, by the program, a server trial value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Calculating a response value expected from the client with the password and the trial value corresponding to the ID, and comparing and authenticating the response value with the response value of the client received from the client;
If the authentication result is valid, generating an electronic information encryption key;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information encryption key to the client; andencrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information.
プログラムが格納されているメモリと、
前記メモリに結合されて前記プログラムを実行するプロセッサを含み、かつ、前記プロセッサは前記プログラムにより、クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記クライアントからクライアントの試み値を受信するステップと、
前記IDに応ずるパスワード及び前記サーバの試み値で前記クライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、サーバの応答値を生成するステップと、
前記サーバの応答値をクライアントに伝送するステップと、
前記クライアントからサーバ認証承認信号を受信するステップと、
前記サーバ認証承認信号に応じて電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップと、
前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持システム。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
A memory where the program is stored,
A processor coupled to the memory for executing the program, and wherein the processor generates, by the program, a server trial value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Receiving a client attempt value from the client;
Calculating a response value expected from the client with a password corresponding to the ID and a trial value of the server, and comparing and authenticating with a response value of the client received from the client;
Generating a server response value if the authentication result is valid;
Transmitting a response value of the server to a client;
Receiving a server authentication approval signal from the client;
Generating an electronic information encryption key in response to the server authentication approval signal;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information to the client;
Encrypting electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
An electronic information encryption key is extracted from the encrypted electronic information encryption key received by the client, and the extracted electronic information encryption key is used as an element to perform symmetric key decryption of the received encrypted electronic information to obtain an electronic information. A basic data security maintenance system for a network camera, a home gateway, and a home automation device, which extracts information.
クライアントからクライアント公開鍵を受信するステップと、
データ暗号鍵を生成するステップと、
前記クライアント公開鍵及びサーバ秘密鍵を用いて前記データ暗号鍵を非対称鍵暗号化するステップと、
前記暗号化したデータ暗号鍵を前記クライアントに伝送するステップと、
前記データ暗号鍵を用いて電子情報を対称鍵暗号化するステップと、
前記暗号化した電子情報を前記クライアントに伝送するステップとを含むことを特徴とするネットワークの基礎データ保安維持方法。In a method for maintaining security of data transmission based on a network,
Receiving a client public key from the client;
Generating a data encryption key;
Asymmetric key encryption of the data encryption key using the client public key and the server private key,
Transmitting the encrypted data encryption key to the client;
Symmetric key encryption of the electronic information using the data encryption key,
Transmitting the encrypted electronic information to the client.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002191557A JP2004040273A (en) | 2002-07-01 | 2002-07-01 | Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002191557A JP2004040273A (en) | 2002-07-01 | 2002-07-01 | Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2004040273A true JP2004040273A (en) | 2004-02-05 |
Family
ID=31701089
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002191557A Pending JP2004040273A (en) | 2002-07-01 | 2002-07-01 | Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2004040273A (en) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100561488B1 (en) | 2004-08-02 | 2006-03-17 | (주)아이트로닉스 | Security system having the security camera with encryption circuit and setting up method of password key said system |
JP2013539248A (en) * | 2010-06-22 | 2013-10-17 | エントロピック・コミュニケーションズ・インコーポレイテッド | Secure node authorization in communication networks |
KR20140118014A (en) | 2013-03-27 | 2014-10-08 | 삼성테크윈 주식회사 | Method for authenticating client |
CN105681253A (en) * | 2014-11-18 | 2016-06-15 | 北京海尔广科数字技术有限公司 | Data encryption transmission method, equipment and gateway in centralized network |
CN113783687A (en) * | 2021-09-07 | 2021-12-10 | 浙江吉利控股集团有限公司 | Method and system for generating, encrypting and decrypting electronic anti-theft code of automobile |
CN116405734A (en) * | 2023-06-08 | 2023-07-07 | 深圳奥联信息安全技术有限公司 | Data transmission method and system for ensuring data security |
-
2002
- 2002-07-01 JP JP2002191557A patent/JP2004040273A/en active Pending
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100561488B1 (en) | 2004-08-02 | 2006-03-17 | (주)아이트로닉스 | Security system having the security camera with encryption circuit and setting up method of password key said system |
JP2013539248A (en) * | 2010-06-22 | 2013-10-17 | エントロピック・コミュニケーションズ・インコーポレイテッド | Secure node authorization in communication networks |
KR20140118014A (en) | 2013-03-27 | 2014-10-08 | 삼성테크윈 주식회사 | Method for authenticating client |
US9986276B2 (en) | 2013-03-27 | 2018-05-29 | Hanwha Techwin Co., Ltd. | Authentication system and method of operating the same |
CN105681253A (en) * | 2014-11-18 | 2016-06-15 | 北京海尔广科数字技术有限公司 | Data encryption transmission method, equipment and gateway in centralized network |
CN105681253B (en) * | 2014-11-18 | 2019-03-22 | 青岛海尔科技有限公司 | Data encryption and transmission method, equipment, gateway in centralized network |
CN113783687A (en) * | 2021-09-07 | 2021-12-10 | 浙江吉利控股集团有限公司 | Method and system for generating, encrypting and decrypting electronic anti-theft code of automobile |
CN113783687B (en) * | 2021-09-07 | 2023-08-29 | 浙江吉利控股集团有限公司 | Method and system for generating, encrypting and decrypting automobile electronic anti-theft code |
CN116405734A (en) * | 2023-06-08 | 2023-07-07 | 深圳奥联信息安全技术有限公司 | Data transmission method and system for ensuring data security |
CN116405734B (en) * | 2023-06-08 | 2023-08-25 | 深圳奥联信息安全技术有限公司 | Data transmission method and system for ensuring data security |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7769997B2 (en) | System, method and computer program product for guaranteeing electronic transactions | |
US6874089B2 (en) | System, method and computer program product for guaranteeing electronic transactions | |
US9055047B2 (en) | Method and device for negotiating encryption information | |
JP4336317B2 (en) | Authentication apparatus and method for devices constituting home network | |
US6215878B1 (en) | Group key distribution | |
CN108599925B (en) | Improved AKA identity authentication system and method based on quantum communication network | |
TWI313996B (en) | System and method for secure remote access | |
US8315386B2 (en) | Method and apparatus for performing VoIP-based communication using bio keys | |
CN104113409B (en) | The key management method and system of a kind of SIP video monitoring networkings system | |
WO2003047158A1 (en) | A system and method to provide enhanced security in a wireless local area network system | |
WO2010078755A1 (en) | Method and system for transmitting electronic mail, wlan authentication and privacy infrastructure (wapi) terminal thereof | |
CN101958907A (en) | Method, system and device for transmitting key | |
CN101420587A (en) | Network video collecting device, network video monitoring system and method | |
WO2018002856A1 (en) | Systems and methods for authenticating communications using a single message exchange and symmetric key | |
KR100789354B1 (en) | Method and apparatus for mataining data security on network camera, home gateway and home automation | |
JP2003143128A (en) | Communication system and communication method | |
CN114143050A (en) | Video data encryption system | |
JP2004040273A (en) | Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus | |
CN112953724B (en) | Authentication method of anti-theft chain, and related device and equipment | |
JP2009065226A (en) | Authenticated key exchange system, authenticated key exchange method and program | |
CN114826659A (en) | Encryption communication method and system | |
JPH0981523A (en) | Authentication method | |
TWI313995B (en) | Content protection method | |
KR20000059049A (en) | Method and system for preserving data based on network | |
KR100381710B1 (en) | Method For Security In Internet Server Based Upon Membership Operating System And Server Systems Regarding It |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20031217 |
|
A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040316 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20040405 |