JP2004040273A - Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus - Google Patents

Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus Download PDF

Info

Publication number
JP2004040273A
JP2004040273A JP2002191557A JP2002191557A JP2004040273A JP 2004040273 A JP2004040273 A JP 2004040273A JP 2002191557 A JP2002191557 A JP 2002191557A JP 2002191557 A JP2002191557 A JP 2002191557A JP 2004040273 A JP2004040273 A JP 2004040273A
Authority
JP
Japan
Prior art keywords
client
server
electronic information
key
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002191557A
Other languages
Japanese (ja)
Inventor
Nagahiro Ri
李 永浩
Kenbai Lee
李 建培
Heikyoku Lee
李 丙旭
Kotetsu Lee
李 鎬徹
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CRYPTOTELECOM CO Ltd
Cosmo Co Ltd
Original Assignee
CRYPTOTELECOM CO Ltd
Cosmo Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CRYPTOTELECOM CO Ltd, Cosmo Co Ltd filed Critical CRYPTOTELECOM CO Ltd
Priority to JP2002191557A priority Critical patent/JP2004040273A/en
Publication of JP2004040273A publication Critical patent/JP2004040273A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To authenticate and distribute/register an electronic information cipher key between a server and a user, based only on a user's password concealed and shared in advance between the server and the user in a process of transmitting/receiver data through a network, and encipher/decipher data transmitted/received, using the electronic information cipher key as a secret key on a symmetric key cipher algorithm. <P>SOLUTION: The data security maintaining method comprises the steps of generating a trial value of a server according to a connection request signal from a client, sending the trial value to the client, receiving answer values from both clients, receiving an ID from the client, calculating an answer value expected by the client from a password and a trial value corresponding to the ID, comparing with the answer value and authenticating the client, generating an electronic information cipher key; if the authentication result is valid, generating a secret key for enciphering that key, enciphering the key with the secret key used as an element on a symmetric key enciphering algorithm, sending the enciphered key to the client, enciphering electronic information with the secret key used as an element, and sending the enciphered electronic information to the client. <P>COPYRIGHT: (C)2004,JPO

Description

【0001】
【発明の属する技術分野】
本発明は、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間のネットワークを基にするデータ伝送において、保安を維持する方法及び装置に関する。
【0002】
【従来の技術】
一般に、保安はネットワーク環境下におけるシステム保安とネットワーク保安とに分けられる。システム保安は、インターネットを構成しているコンピュータ、ネットワーク装置(ラウター等)に対する保安であって、運用体制、クライアント/サーバアプリケーション、ファイルシステム等の対する保安を含む。
ネットワーク保安は、システムとシステムを連結する通信プロトコルとに対する保安であって、ネットワークを通じて伝送されるデータの保護が最も主な要素である。ネットワーク保安は、TELNET、FTP、HTTP、SMTP等のような全ての通信プロトコルを通じて伝送されるデータの保護を意味するが、ネットワークの特性上、相互運用性(Inter−operability)が要求される分野であるから標準単体により標準化がなされている。
【0003】
現在、イーサネット(Ethernet)(登録商標)を使用するところでは、そのサブネット内でデータの割込みがどのくらいでも可能であるのみならず、甚だしくはこれらを記録してやるプログラムも存在している。
通常、ネットワーク上でデータに対する情報を保護するためには、暗号化方式を多く使用する。単純暗号化のみを通じて間違いに設計されたプロトコルの場合は、再生(Replay)を通じて攻撃受けることもある。ハッカーはデータの内容を知っていなくても観察された通信内容を同一に再生すると同一な結果が得られる。従って、単純な暗号化以外に暗号化通信を行う場合、データはいろいろな情報を含んで暗号化することが普通である。
【0004】
暗号化方式には、ハッシュ暗号化方式、対称鍵暗号化方式、公開鍵暗号化方式等、いろいろなものがある。
対称鍵暗号化方式は、暗号化する鍵と復号化する鍵とが同じとか、或いは、1つを知っていると対称される鍵が容易に分る暗号システムをいう。
対称鍵暗号化方式は、E=Dで、2つの鍵が同じとか、1つの鍵を知った時、他の鍵を容易に分る場合であって、送信者と受信者とが予め鍵を共有していなければならない。該暗号システムの安全性は鍵によるが、これを下記の数1に表す。
【0005】
【数1】

Figure 2004040273
【0006】
対称鍵暗号化方式は、公開鍵暗号化方式に比べてアルゴリズムの内部構造が簡単な置換と順列の組合せからなっており、計算の複雑度が低く、システム環境に合う適切な暗号アルゴリズムの開発を容易に具現することができ、暗号化/復号化の速度が早く、乱数発生機がハッシュ関数のように別の暗号手法等と容易に連動される。対称鍵暗号化方式は、暗号化鍵の大きさが公開鍵暗号システムよりは相対的に小さくて、効率の良い暗号システムを構築することができる。しかし、対称鍵暗号化方式は、情報を交換する当事者間に同じ鍵を共有しなければならないので、多くの人との情報交換時に1人の使用者は多くの鍵を維持管理しなければならない難しさがある。対称鍵暗号化方式の代表的な例としては、SEED、AES(Rijndael)、3DES、GOST、IDEA、SKIPJACK(3)等がある。
【0007】
公開鍵方式(Public Key Method)は、鍵双(Key Pair)を生成した後、1つの鍵(Public Key)を相対側に公開した後、これを用いてデータを保護するとか無欠性、認証、否認封鎖等を満足させることができる方法である。鍵双とは非対称暗号化アルゴリズムの鍵双をいい、1つの鍵で暗号化すると別の1つの鍵のみに復号化することができる。
公開鍵方式は、2つの用途に用いられる。第1に、公開鍵方式は、送信者が受信者の公開鍵で暗号化して伝送した時、受信者でなければ復号化して情報を得ることができないので、データの保護に用いる。第2に、公開鍵方式は、送信者が自分の個人鍵で暗号化したデータを伝送した時、受信者は送信者の公開鍵で受信したデータの情報が得られるので、送信者が送ったデータであることを確認することができ、データを送った事実に対する否認を封鎖することができる機能に用いられる。
公開鍵暗号化方式に使用する鍵は2つで、1つは、暗号化に使用し、もう1つは、復号化に使用する。従って、公開鍵暗号化方式は、暗号化するため鍵を生成すると2つの鍵双(個人鍵、公開鍵)が生成される。ここで、暗号化に使用される鍵は公開鍵で、復号化に使用される鍵は個人鍵である。公開鍵暗号化方式は公開鍵に真偽の可否を容易に確認するために、公開鍵を相対側に公開する前に第3者を通じた公開鍵に認証を受けなければならないし、社会的な基盤施設がよく揃えていなければその使用効率が増大されることができない。
【0008】
ハッシュ暗号化方式は、電子署名に多く使用されている。ハッシュ暗号化方式は、入力Mにハッシュ関数を取った結果であるハッシュコードh(M)に送信者は秘密鍵で署名をし、受信者はこれを公開鍵で確認した後、その結果、h(M)を受信されたMにハッシュ関数を取った結果の値と比較して署名の真偽の可否を明かす。また、ハッシュ暗号化方式は、情報の無欠性(integrity)にも活用されることができる。ハッシュ暗号化方式は、無欠性検証を希望する情報のハッシュコードを計算して安全に保管し、無欠性の検証が必要である時、更にハッシュコードを計算して保管したハッシュコードを値と比較することにより、情報の無欠性を確認することができる。ハッシュ関数hは、その安全度により衝突回避ハッシュ関数(collision free hash function)、または、強い一方向ハッシュ関数(SOWHF, Strong One−Way Hash Function)と弱い一方向ハッシュ関数(WOWHF, Weak One−Way Hash Function)とに分けられる。
ハッシュ関数hは、次のような4つの条件を有しなければならない。第1に、ハッシュ関数hは、任意の大きさの入力Mに適用できなければならない。第2に、ハッシュ関数hは、一定の大きさの出力H=h(M)を出さなければならない。第3に、ハッシュ関数hは、hとMとが与えられた時、H=h(M)の計算が易くなければならない。第4に、ハッシュ関数H=h(M)が与えられた時、Mを求める逆の計算が不可能でなければならない。前記4つの条件は、ハッシュ関数hに共通的に適用され、これはハッシュ関数が有しなければならない最も基本的な定義に属する。
ハッシュアルゴリズムにはMD5アルゴリズムがある。MD5アルゴリズムはRon Rivestが1990年に開発したMD4アルゴリズムを改善したもので、早いソフトウェア具現(software implementation)のためにデザインされたハッシュ関数(hash function)を基にしている。MD5アルゴリズムは大きさが大きいファイルがRSAのように公開鍵(public−key)暗号化システムにおいて個人鍵(private(または、secret)key)と共に暗号化及び圧縮される電子署名(digital signature)応用(application)に主に用いられる目的で考案された。そして、MD5アルゴリズムはMD4アルゴリズムを拡張したもので、MD4よりはわずか遅いが、構造はより堅固である。
【0009】
従来には、インターネット等の通信網の急速な発展により多くの人達が情報を共有することができる長所があるが、逆にこのような長所を有する情報通信技術を犯罪に逆利用する場合が発生している。
従来のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置は、識別子とパスワードを有する特定の使用者でなければ遠隔で使用者が設けた監視カメラ端末装置に接続して作動状態をネットワーク網を通じて観測できない技術が研究されているが、実際にネットワーク網では、暗号化されないデータが伝送されるので、他人が無断に監視カメラの作動状態を観測して犯罪に用いられる保安の問題があった。
従来のネットワーク基礎データ保安維持方法は、使用者認証過程で、使用者の識別子、パスワードが暗号化されない状態でネットワークに露出され、伝送途中に割込みされて、情報が流出される問題があり、公開鍵を第3者から公開鍵認証を受けるためには費用が発生する。
【0010】
【発明が解決しようとする課題】
従って、本発明の目的は、ネットワーク網を通じたデータを送受信過程でサーバと使用者との間で予め隠して共有された使用者のパスワードだけで、サーバと使用者との間の認証、電子情報暗号鍵の分配/登録を行ない、電子情報暗号鍵を対称鍵暗号アルゴリズムの秘密鍵にて使用して送受信するデータの暗号化/復号化を遂行することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明の別の目的は、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵の基盤の暗号アルゴリズムを使用しなく、計算の複雑度が低い対称鍵暗号アルゴリズム、または、ハッシュアルゴリズムを使用して使用者に対する認証及びサーバに対する認証を遂行することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0011】
本発明のさらなる別の目的は、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵の基盤の暗号アルゴリズムを使用せず、計算の複雑度が低い対称鍵暗号アルゴリズムを使用して、マルチメディアデータ、または、制御データ等の暗号化/復号化に必要な対称鍵(電子情報暗号鍵)を分配することができるネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明のさらなる別の目的は、対称鍵暗号アルゴリズムにより分配を受けた対称鍵(電子情報暗号鍵)を用いてサーバとクライアントとの間のマルチメディアデータ、または、制御データ等を対称鍵暗号アルゴリズムで暗号化して送受信することができる両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0012】
本発明のさらなる別の目的は、ネットワーク網を通じたデータを送受信する過程で、サーバから提供される電子情報を権限がない他人が無断で盗用することを防止するために、両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
本発明のさらなる別の目的は、ネットワーク網を通じたデータを送受信する過程で、秘密を維持する必要があるデータを伝送しなければならない時、情報の流出を防止するために両方向で暗号化及び復号化するネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムにおけるデータ保安維持方法及び装置を提供することにある。
【0013】
【課題を解決するための手段】
前記目的の達成のため、本発明の一側面によると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にしたデータ伝送の保安を維持する方法において、クライアントの接続要求信号に応じて、サーバの試み値を生成し、前記生成したサーバの試み値を前記クライアントに伝送し、前記クライアントからクライアントの応答値を受信し、前記クライアントからIDを受信し、前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値を比較認証し、前記認証結果が有効であれば、電子情報暗号鍵を生成し、前記電子情報暗号鍵を暗号化する秘密鍵を生成し、前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、かつ、クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法、前記方法に応ずるシステムを提供することができる。
【0014】
望ましい一実施の形態において、前記試み値は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)の中でいずれかであることができ、前記クライアントの応答値は、前記パスワード及び前記サーバの試み値が適用されたハッシュ関数であることもできる。
望ましいさらなる別の実施の形態において、前記クライアントの応答値は前記クライアントのパスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることができ、前記クライアントの応答値は前記クライアントのパスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることもできる。
望ましいさらなる別の実施の形態において、前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードで、前記IDは、前記クライアントの応答値と同時に、または、時を異にして受信することができる。
望ましい又別の実施の形態において、前記ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置における基礎データ保安維持方法は、前記クライアントにクライアント認証承認信号を伝送することができる。
【0015】
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、ランダムに選択されることができ、前記電子情報暗号化鍵は、予め決まった時間毎に、または、必要な場合に更新し、生成されることができる。
望ましいさらなる別の実施の形態において、前記秘密鍵は、電子情報暗号化鍵の暗号化に必要な対称鍵暗号アルゴリズムの秘密鍵で、前記秘密鍵は、試み値及びパスワードを相互約束された方法により加工し、生成することができる。
望ましいさらなる別の実施の形態において、前記クライアントは、前記クライアント認証承認信号に応じて暗号化された電子情報暗号鍵を復号化し、電子情報暗号鍵の抽出に必要な秘密鍵を生成することができ、前記秘密鍵は、対称鍵暗号アルゴリズムの秘密鍵である。
望ましいさらなる別の実施の形態において、前記秘密鍵は、サーバの試み値及びパスワードを相互約束された方法により加工し、生成することができる。
【0016】
本発明の別の側面によると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にするデータ伝送の保安を維持する方法において、クライアントの接続要求信号に応じてサーバの試み値を生成し、前記生成したサーバの試み値を前記クライアントに伝送し、前記クライアントからクライアントの応答値を受信し、前記クライアントからIDを受信し、前記クライアントからクライアントの試み値を受信し、前記IDに応ずるパスワード及び前記サーバの試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証し、前記認証結果が有効であれば、サーバの応答値を生成し、前記サーバの応答値をクライアントに伝送し、前記クライアントからサーバ認証承認信号を受信し、前記サーバ認証承認信号に応じて電子情報暗号鍵を生成し、前記電子情報暗号鍵を暗号化する秘密鍵を生成し、前記電子情報暗号化鍵を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子暗号鍵を前記クライアントに伝送し、前記電子情報暗号鍵を要素にして電子情報を対称鍵暗号アルゴリズムに暗号化し、前記暗号化された電子情報を前記クライアントに伝送し、かつ、クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法、前記方法に応じるシステムを提供することができる。
【0017】
望ましい一実施の形態において、前記サーバの試み値及びクライアントの試み値は、乱数(Random Number)、順番(Sequence Numbe)、時刻テーブル(Time stamp)の中、いずれかであることもできる。
望ましい別の実施の形態において、前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることもできる。
望ましいさらなる別の実施の形態において、前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用されたハッシュ関数であることができ、前記サーバの応答値及びクライアントの応答値はパスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることもできる。
【0018】
望ましいさらなる別の実施の形態において、前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードで、前記ID及び前記クライアントの試み値は、前記クライアントの応答値と同時に、または、時を異にして受信することができる。
望ましいさらなる別の実施の形態において、前記サーバ認証承認信号は、前記クライアントが前記IDに応ずるパスワード及び前記クライアントの試み値でサーバから期待される応答値を計算し、前記サーバの応答値と比較認証した結果である。
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、前記クライアントが生成することができ、前記クライアントは、前記電子情報暗号鍵を暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵を生成することができる。
望ましいさらなる別の実施の形態において、前記電子情報暗号鍵は、ランダムに選択されることができ、前記電子情報暗号鍵は、予め決まった時間毎に、または、必要な場合に更新し、生成されることができる。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態について添付の図面を参照しながら詳細に説明する。
本発明は、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間にネットワークを基にデータを伝送することにおいて、保安を維持する方法及び装置に関する。
【0020】
前記クライアントの端末装置であるコンピュータは、有/無線を通じてネットワーク網に連結され、個人移動通信端末機は無線ネットワーク網に連結されることができる。そして、前記クライアントは前記端末装置を用いてホームゲートウェイ及びホームオートメーション装置のサーバに接続して使用者の家庭、職場等の場所の映像、音声及び電子機器の状態等の資料を提供受けることができ、制御信号を前記サーバに送信し、電子機器等を制御することができる。例えば、外部から家内の暖房の調節を希望する場合、クライアントは端末装置を用いてホームゲートウェイ及びホームオートメーション装置のサーバに接続して認証手続きを行った後、希望の制御信号を送信することにより、外部から家内の暖房を調節することができる。また、クライアントはネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバに接続し、ネットワークカメラを通じて家内の映像、音声及び電子機器の状態を確認することができる。ここで、前記サーバとクライアントとの間に認証及びデータの送受信は、個人の情報保安のための暗号化及び復号化を伴わなければならない。
【0021】
図1は、本発明の望ましい実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
図1を参照すると、ネットワークを基にするデータを送受信するサーバとクライアントとにおいて、サーバ101は、暗号化/復号化部103、試み値生成部105、制御部107、データベース109、入出力部111を含み、クライアント102a、102b(以下、102という)は、入出力部117a、117b(以下、117という)、暗号化/復号化部119a、119b(以下、119という)、応答値生成部120a、120b(以下120という)及び制御部121a、121b(以下、121という)を含む。ここで、前記サーバ101とクライアント102は、ネットワーク網113を通じて互いに連結されている。前記ネットワーク網113は、有線及び無線ネットワーク網を全て含む。
【0022】
暗号化/復号化部103、119はサーバ101とクライアント102との間に送受信されるデータの中で、必要なデータを暗号化するか、暗号化されたデータを更に復号化する役目を果たす。ここで、前記暗号化方法は、SEED、AES(Rijndael)、3DES等の対称鍵暗号アルゴリズムを使用することができる。
試み値生成部105は、前記クライアント102の接続要求信号に応じて、クライアント認証手続きに必要なサーバの試み値(Cha_S)を生成する役目を果たす。ここで、前記試み値(Chs_S)は、乱数(Random Number)、順番(Sequence
Number)、時刻テーブル(Time stamp)等が用いられる。
応答値生成部120は、サーバとクライアントとの間に約束された方法により前記サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバとクライアントとの間に約束された方法は、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0023】
データベース109は、電子情報及び使用者情報等を格納している。ここで、前記電子情報は、映像データ、音声データ、ホームオートメーション制御データ、電子機器状態情報等を含むことができる。
入出力部111、117は、サーバ101とクライアント102との間の送受信データをネットワーク網113を通じて移動することができるように変換し、送受信する役目を果たす。
制御部107、121は、前記入出力部111、117、暗号化/復号化部103、119、試み値生成部105、応答値生成部120、データベース109等を制御する役目を果たす。
クライアントは、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバに接続し、サービスを営むために認証手続きを行わなければならない。
【0024】
本発明の望ましい実施の形態にかかるサーバとクライアントとの相互間の認証は、第1に、秘密鍵を伴うハッシュアルゴリズムを用いて行うことができる。前記秘密鍵を伴うハッシュ関数を使用して認証手続きを行う過程は、図7を参照しながら詳細に説明する。
第2に、サーバとクライアントとの相互間の認証は、ハッシュアルゴリズムを用いて行うことができる。前記ハッシュ関数を使用して認証手続きを行う過程は、図8を参照しながら詳細に説明する。
第3に、サーバとクライアントとの相互間の認証は、対称鍵暗号アルゴリズムを用いて行うことができる。前記対称鍵暗号アルゴリズムを使用して認証手続きを行う過程は、図9を参照しながら詳細に説明する。
【0025】
本発明の望ましい実施の形態にかかるサーバとクライアントとの相互間の認証は、サーバがクライアントを認証する過程は必須事項で、クライアントがサーバを認証する過程は選択事項である。
図2は、本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図2を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバ201は、映像情報収集部205、音声情報収集部207、使用者変換部215、制御部217、圧縮部219、試み値生成部221、暗号化/復号化部223及び入出力部225を含む。
【0026】
映像情報収集部205は、外部の映像を撮影し、撮影された映像情報を出力する役目を果たし、CCDカメラ、ビデオカメラ等からなることができる。音声情報収集部207は、外部の音声を認識し、認識された音声情報を出力する役目を果たして、マイク等からなる。使用者データ発生部109は、外部の文字、信号、電子機器状態等の情報を認識し、出力する役目を果たす。自動化制御部211はホームオートメーションのための制御及びデータを処理する役目を果たす。マルチプレクス部213は、前記映像情報収集部205、前記音声情報収集部207、前記使用者データ発生部209等のマルチメディアデータ入力から使用者が希望するデータを選択し、出力する役目を果たす。また、前記マルチプレクス部213は使用者から伝送された制御データを選択し、前記自動化制御部211に伝送する役目を果たす。ここで、前記制御データは、使用者が送ったホームオートメーション装置制御データである。
【0027】
データ変換部215は、前記マルチプレクス部213から出力されるマルチメディアデータを、必要の場合、デコーディングの方法を使用してデコーディングし、圧縮部219に伝送する。圧縮部219は、前記データ変換部215で変換されて伝達された映像、音声及び使用者データを圧縮する役目を果たす。試み値生成部221は、使用者認証に必要なサーバの試み値(Chs_S)を果たす。ここで、試み値(Chs_S)としては、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等を用いることができる。
暗号化/復号化部223は、入力データを暗号化し、復号化する役目を果たす。ここで、 暗号化/復号化部223は、暗号化及び復号化のために、対称鍵暗号アルゴリズムを使用することができる。
入出力部225は、前記暗号化/復号化部223で暗号化されたデータをTCP/IP等のパケットに変形し、ネットワーク網204を通じて使用者に伝送するか、ネットワーク網204を通じて伝送された入力データを暗号化及び復号化のためのデータ形式に変形して暗号化/復号化部223に伝送する。
【0028】
制御部217は、データ変換部215、圧縮部219、試み値生成部221、暗号化/復号化部223に連結されてサーバ側の制御状態情報を提供するか、使用者識別子、パスワード等を使用して使用者の応答値(Res_C)を確認する認証を制御する役目を果たし、前記装置等の制御を行うことができる。
ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のクライアント203a、203b(以下、203という)は、入出力部229a、229b(以下、229という)、暗号化/復号化部231a、231b(以下、231という)、応答値生成部232a、232b(以下、232という)及び制御部233a、233b(以下、233という)を含む。
入出力部229は、前述と同様であるので、その説明を省略する。
暗号化/復号化部231は、対称鍵暗号アルゴリズムを使用してサーバ201で暗号化された電子情報が伝送される場合に、これを復号化する機能を果たす。また、暗号化/復号化部231は、ホームオートメーションのための制御信号を暗号化して前記サーバ201に伝送する機能を果たす。
【0029】
応答値生成部232は、サーバとクライアントとの間に約束された方法で前記サーバの試み値(Cha_S)に応じるクライアント203の応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
制御部233は、前記入出力部229、暗号化/復号化部231、応答値生成部232を制御する役目を果たす。クライアントの端末装置は、開設されたウェブサーバ201に接続して識別子及びパスワードの使用により使用者が希望する映像、音声、データ発生装置の作動状態を監視し、家庭用機器を制御することで、コンピュータは有/無線を通じてモデムや専用線等によりネットワーク網204に連結されたもので、ノート型等の可搬型コンピュータ及び個人移動通信端末機の使用も可能である。その際、クライアント203は、サーバ201から伝送した暗号化されたデータを復号化してリアルタイムで実行させることができるユティリティーを予め設けていることを仮定する。
【0030】
図3は、本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図3を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーションシステムは、サーバ201、ネットワーク網204及びクライアント203を含む。各々の構成要素について図2を参照しながら説明した部分と重なる部分はその説明を省略する。
サーバ201は、更に図2に示すような構成要素にデータ格納部301を備える。データ格納部301は、サーバの暗号化/復号化部223で暗号化されたマルチメディアデータを外部メモリやハードディスク等の格納装置に格納する役目を果たす。ここで、前記暗号化されたデータはネットワーク網204を通じてリアルタイムで伝送されるが、データ格納部301に格納されて、使用者が前記データを必要とする場合、何時でも探して見ることができる。
【0031】
図4は、本発明の望ましいさらなる別の実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。図4を参照すると、サーバ10は応答値生成部405を更に備え、クライアント102は試み値生成部410a、410b(以下、410という)及び応答値生成部403a、403b(以下、403という)を更に備える。各々の構成要素について図1を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部405は、サーバ101とクライアント102との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ101とクライアント102との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
試み値生成部401は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、前記試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等が用いられる。
応答値生成部403は、サーバ101とクライアント102との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ101とクライアント102との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム及び対称鍵暗号アルゴリズムが用いられる。
【0032】
図5は、本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図5を参照すると、サーバ201は応答値生成部501を更に備え、クライアント203は試み値生成部502a、502b(以下、502という)及び応答値生成部503a、503b(以下、503という)を更に備える。各々の構成要素について図2を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部501は、サーバ201とクライアント203との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法は、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム及び対称鍵暗号アルゴリズムが用いられる。
試み値生成部502は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)及び時刻テーブル(Time stamp)等が用いられる。応答値生成部503は、サーバ201とクライアント203との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0033】
図6は、本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
図6を参照すると、サーバ201は応答値生成部601を更に備え、クライアント203は試み値生成部602a、602b(以下、602という)及び応答値生成部603a、603b(以下、603という)を更に備える。各々の構成要素について図3を参照しながら説明した部分と重なる部分はその説明を省略する。
応答値生成部601は、サーバ201とクライアント203との間に約束された方法でクライアントの試み値(Cha_C)に応じるサーバの応答値(Res_S)を生成する役目を果たす。ここで、前記サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
試み値生成部602は、サーバの認証に必要なクライアントの試み値(Cha_C)を生成する。ここで、試み値(Chs_C)は、乱数(Random Number)、順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられる。応答値生成部603は、サーバ201とクライアント203との間に約束された方法で サーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)を生成する役目を果たす。ここで、サーバ201とクライアント203との間に約束された方法には、秘密鍵を伴うハッシュアルゴリズム、ハッシュアルゴリズム、対称鍵暗号アルゴリズムが用いられる。
【0034】
図7ないし図10は、本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの間のネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
図7ないし図10を参照すると、ネットワークを基にしてサーバとクライアントとの相互間の認証、データを送受信する過程で暗号化及び復号化する過程に使用される用語に対する説明は、下記の表1の通りである。
【0035】
【表1】
Figure 2004040273
【0036】
図7は、本発明の望ましい一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図7を参照すると、ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバは、クライアントと予め隠して共有しているクライアントのパスワード(Password)を基にして秘密鍵を伴うハッシュアルゴリズムを用いてクライアントを認証(確認)する。
また、サーバは、電子情報を対称鍵暗号アルゴリズムを使用して暗号化/復号化することにおいて、必要な電子情報暗号鍵(セッション鍵、K)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵(ESK)をクライアントに伝送(分配)する。
その後、サーバとクライアントとは相互間に伝送されるマルチメディアデータ、または、制御データ等を電子情報暗号鍵(セッション鍵、K)を対称鍵暗号アルゴリズムの秘密鍵として暗号化して送受信する。
先ず、クライアントからサーバに接続要求信号を伝送(ステップ701)すると、サーバは前記接続要求信号を受信する。
【0037】
サーバは、前記接続要求信号に応じてクライアントに提供されるサーバの試み値(Cha_S)を乱数(RN)で生成(ステップ703)し、前記クライアントに伝送(ステップ705)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外の順番(SequenceNumber)及び時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、秘密鍵を伴うハッシュアルゴリズムを用いて前記クライアントの応答値(Res_C)の生成に必要な秘密鍵(HMAC)をサーバとクライアントとの間に隠して有しているパスワード(Password)を、そのまま、または、サーバとクライアントとの相互間に約束された方法で加工(f)し、生成(ステップ707)する。ここで、前記加工(f)にはサーバの試み値(Cha_S)、クライアント識別子(ID)を含むことができる。
その後、クライアントはサーバとクライアントとの相互間に共有している値(Cha_S, ID, Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)する。ここで、サーバの試み値(Cha_S(RN))、パスワード(Password)は、必ず含まなければならない。その後、クライアントは前記加工(f)された値を秘密鍵(HMAC)と秘密鍵を伴うハッシュアルゴリズムに適用し、前記サーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)を生成(ステップ709)する。
前記クライアントの応答値(Res_C)を生成する式を下記の数2に表す。
【0038】
【数2】
Figure 2004040273
【0039】
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)とクライアント識別子(ID)とをサーバに伝送(ステップ711)し、前記サーバは、前記クライアントの応答値(Res_C)とクライアント識別子(ID)とを受信する。ここで、前記クライアントは時間差をおいて、前記 識別子(ID)をサーバに伝送することができる。
サーバは、使用者のパスワード(Password)、識別子(ID)及びサーバがクライアントに提供した試み値(Cha_S)等をクライアントと同様の方法で秘密鍵を伴うハッシュアルゴリズムに適用してハッシュ値を計算し、クライアントから受けた応答値(Res_C)と比較してクライアント認証手続きを行う(ステップ713)。
前記サーバは、前記比較結果が有効でなければ、クライアントにクライアント認証失敗メッセージを伝送する。
サーバのクライアント認証が確認された後、サーバは電子情報(D)の暗号化/復号化に使用される対称鍵暗号アルゴリズムの電子情報暗号鍵(セッション鍵)(K)をランダムに選択(ステップ715)する。その後、サーバはサーバとクライアントとの間に共有している値(Password、ID、Cha_S) 等の中からサーバとクライアントとの間に約束された方法で選択及び加工(f)し、電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムを使用して暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵(K)を生成(ステップ716)する。
ステップ716を行った後、サーバは電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKとして、電子情報暗号鍵(セッション鍵)(K)の暗号化(g)を行って(ステップ717)、クライアント認証承認信号と共に前記クライアントに伝送(ステップ719)する。前記サーバは、前記クライアント認証承認信号を別に伝送することもできる。ここで、前記サーバは、ある一定の時間毎に、または、必要な場合に、電子情報(D)を暗号化する電子情報暗号鍵(セッション鍵)(K)を新しく生成し、暗号化してクライアントに伝送することができる。電子情報暗号鍵(セッション鍵)(K)を暗号化する式を数3に表す。
【0040】
【数3】
Figure 2004040273
【0041】
クライアントは、前記暗号化された電子情報暗号鍵 (セッション鍵)(K)を受信した後、前記サーバが生成した方法と同様の方法でKを生成(ステップ720)した後、対称鍵暗号アルゴリズムの復号化(g−1)を行って電子情報暗号鍵(セッション鍵)(K)を抽出(ステップ721)する。ここで、前記復号化式を数4に表す。
【0042】
【数4】
Figure 2004040273
【0043】
サーバは、電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムの秘密鍵として使用し、前記クライアントに伝送する電子情報(D)の暗号化(g)を遂行(ステップ723)し、暗号化された電子情報(E)を前記クライアントに伝送(ステップ725)する。ここで、 前記暗号化式を数5に表す。
【0044】
【数5】
Figure 2004040273
【0045】
クライアントは、前記暗号化された電子情報(E)を受信し、ステップ721から抽出した電子情報暗号鍵(セッション鍵)(K)を用いて対称鍵暗号アルゴリズムの復号化(g−1)を行って暗号化された電子情報(E)から電子情報(D)を抽出(ステップ727)する。ここで、前記復号化式を数6に表す。
【0046】
【数6】
Figure 2004040273
【0047】
図8は、本発明の望ましい別の一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図8を参照すると、サーバとクライアントとは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にして、ハッシュアルゴリズムを用いて相互認証(確認)を行う。即ち、サーバは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にしたハッシュアルゴリズムを用いてクライアントを認証(確認)し、クライアントは、サーバとクライアントとの間で予め隠して共有しているクライアントのパスワード(Password)を基にしたハッシュアルゴリズムを用いてサーバを認証(確認)する。
また、サーバは、電子情報(D)を対称鍵暗号アルゴリズムを使用して暗号化/復号化することにおいて、必要な電子情報暗号鍵(セッション鍵、K)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵(ESK)をクライアントに伝送(分配)する。その後、サーバとクライアントとは、相互間に伝送される電子情報(D)を電子情報暗号鍵(セッション鍵、K)を対称鍵暗号アルゴリズムの秘密鍵として暗号化して送受信する。
【0048】
先ず、クライアントからサーバに接続要求信号を伝送(ステップ801)すると、サーバは前記接続要求信号を受信する。
サーバは、前記接続要求信号に応じてサーバがクライアントに提供されるサーバの試み値(Cha_S)を乱数(RN)で生成(ステップ803)し、前記クライアントに伝送(ステップ805)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外の順番(SequenceNumber)、時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、サーバとクライアントとの相互間に共有している値(Cha_S, ID, Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)し、ハッシュアルゴリズムが適用された応答値(Res_C)を生成(ステップ807)する。ここで、試み値(Cha_S(RN))、パスワード(Password)は必ず含まなければならない。
前記クライアントの応答値(Res_C)を生成する式を数7に表す。
【0049】
【数7】
Figure 2004040273
【0050】
クライアントは、クライアントがサーバに提供するクライアントの試み値(Cha_C)を乱数(RN)に生成(ステップ809)する。
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)とクライアント識別子(ID)及びクライアントの試み値(Cha_C)をサーバに伝送する(ステップ811)。その後、前記サーバは前記クライアントの応答値(Res_C)、クライアント識別子(ID)及びクライアントの試み値(Cha_C)を受信する。ここで、クライアントの試み値(Cha_C)及び識別子(ID)は、クライアントの応答値(Res_C)と時間差をおいてサーバに伝送することができる。
サーバは、使用者のパスワード(Password)、識別子(ID)及びサーバがクライアントに提供した試み値(Cha_S)等をクライアントと同様の方法でハッシュアルゴリズムに適用してハッシュ値を計算し、クライアントから受けた応答値(Res_C)と比較してクライアント認証手続きを行う(ステップ813)。
サーバは、クライアントの認証を行った後、クライアントにサーバの認証を受けるためにサーバとクライアントとの相互間に共有している値(Cha_S、Cha_C、ID、Password)をサーバとクライアントとの相互間に約束された方法で選択及び加工(f)して、ハッシュアルゴリズムが適用された前記クライアントの試み値(Cha_C)に応ずるサーバの応答値(Res_S)を生成(ステップ8157)し、クライアントに伝送(ステップ817)する。ここで、試み値(Cha_C)及びクライアントのパスワード(Password)は必ず含まなければならない。
前記サーバの応答値(Res_C)を生成する式を数8に表す。
【0051】
【数8】
Figure 2004040273
【0052】
前記サーバの 応答値(Res_S)を受信したクライアントは、使用者のパスワード(Password)、識別子(ID)、サーバの試み値(Cha_S)及びクライアントがサーバに提供した試み値(Cha_C)等をサーバと同様の方法でハッシュアルゴリズムに適用してハッシュ値を計算し、サーバから受けた応答値(Res_S)と比較してサーバを認証する手続きを遂行(ステップ819)する。
前記クライアントは認証遂行の後、サーバにサーバ認証承認信号を伝送(ステップ821)する。
【0053】
以下、ステップ823ないし835は、図7を参照しながら説明した部分と重なる部分であるので、その説明を省略する。
図9は、本発明の望ましいさらなる別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間に伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
図9を参照すると、サーバとクライアントとは、対称鍵のアルゴリズムを用いて相互認証(確認)を行う。即ち、サーバは対称鍵アルゴリズムを用いてクライアントを認証(確認)し、クライアントは対称鍵暗号アルゴリズムを用いてサーバを認証(確認)する。
クライアントは、電子情報(D)を対称鍵暗号アルゴリズムを使用して暗号化/復号化することに必要な電子情報暗号鍵(セッション鍵)を生成し、対称鍵暗号アルゴリズムを使用して暗号化された電子情報暗号鍵をサーバに登録する。その後、サーバとクライアントとは相互間に伝送される電子情報(D)を電子情報暗号鍵を用いて対称鍵暗号アルゴリズムに暗号化して送受信する。
【0054】
先ず、クライアントからサーバに接続要求信号を伝送(ステップ901)すると、サーバは前記接続要求信号を受信する。
サーバは、前記接続要求信号に応じてサーバがクライアントに提供するサーバの試み値(Cha_S)を乱数(RN)で生成(ステップ903)し、前記クライアントに伝送(ステップ904)する。ここで、前記サーバの試み値(Chs_S)は、前記乱数以外に、順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられることもできる。
前記サーバの試み値(Cha_S)を受信したクライアントは、前記クライアントの応答値(Res_C)を生成するために対称鍵暗号アルゴリズムを使用するが、必要となる対称鍵暗号アルゴリズムの秘密鍵(K)をサーバとクライアントとの間に隠して有しているパスワード(Password)をそのまま、または、サーバとクライアントとの相互間に約束された方法で加工(f)し、生成(ステップ905)する。ここで、前記加工(f)にはサーバの試み値(Cha_S)及びクライアント識別子(ID)を含むことができる。
前記クライアントは、サーバとクライアントとの相互間に共有している値であるCha_S, ID, Passwordの中、少なくとも1つをサーバとクライアントとの相互間に約束された方法で選択及び加工(f)する。ここで、サーバの試み値(Cha_S) は、必ず含まなければならない。その後、前記クライアントは、前記生成した秘密鍵(K)を使用して対称鍵暗号アルゴリズムの暗号化方法により暗号化(g)し、前記サーバの試み値(Cha_S)に応ずるクライアントの応答値(Res_C)を生成(ステップ907)する。
前記クライアントの応答値(Res_C)を生成する式を数9に表す。
【0055】
【数9】
Figure 2004040273
【0056】
クライアントは、クライアントがサーバに提供するクライアントの試み値(Cha_C)を乱数(RN)で生成(ステップ909)する。ここで、前記クライアントの試み値(Chs_S)は、前記乱数以外の順番(Sequence Number)、時刻テーブル(Time stamp)等が用いられることもできる。
前記クライアントは、サーバがクライアントに提供したサーバの試み値(Cha_S)に応じるクライアントの応答値(Res_C)とクライアント識別子(ID)及びクライアントの試み値(Cha_C)をサーバに伝送(ステップ911)する。ここで、前記クライアントは、前記クライアント識別子(ID)及びクライアントの試み値(Cha_C) をクライアントの応答値(Res_C)と時間差をおいて前記サーバに伝送することができる。前記サーバは、前記クライアントの応答値(Res_C)、クライアント識別子(ID)及びクライアントの試み値(Cha_C)を受信する。サーバは、前記受信したクライアントの応答値(Res_C)に対し、対称鍵暗号アルゴリズムの復号化(g−1)を行うことに必要な対称鍵暗号アルゴリズムの秘密鍵(K)を前記クライアントが生成した方法と同様に生成(ステップ913)する。
サーバは、前記受信したクライアントの応答値(Res_C)に対して生成した秘密鍵(K)を対称鍵暗号アルゴリズムの秘密鍵にして対称鍵暗号アルゴリズムの復号化(g−1)を行って、復号化された値がサーバとクライアントとの相互間に共有している値に対して約束された方法で選択及び加工されたデータであるかを確認してクライアントを認証する手続きを行う(ステップ914)。前記復号化(g−1)式を数10に表す。
【0057】
【数10】
Figure 2004040273
【0058】
サーバは、クライアント認証を行った後、クライアントにサーバの認証を受けるために、前記クライアント試み値(Cha_C)に応じるサーバの応答値(Res_S)を対称鍵暗号アルゴリズムの暗号化(g)方式で生成(ステップ915)し、クライアントに伝送(ステップ917)する。ここで、サーバの応答値の生成にはサーバとクライアントとの間に共有している値であるクライアントの試み値、使用者識別子(ID)、クライアントパスワード及びサーバの試み値等がクライアントと予め約束された方法で選択及び加工されて用いられる。
前記サーバの応答値(Res_S)を生成する式を数11に表す。
【0059】
【数11】
Figure 2004040273
【0060】
クライアントは、サーバの応答値(Res_S)を受信し、対称鍵暗号アルゴリズムの 復号化(g−1)を行って、Cha_Cを抽出した後、前記抽出したCha_Cとクライアントとがサーバに送ったクライアントの試み値(Cha_C)に比較してサーバ認証を行う(ステップ919)。前記復号化(g−1)式を数12に表す。
【0061】
【数12】
Figure 2004040273
【0062】
前記サーバの行った後、クライアントは電子情報暗号鍵(セッション鍵)(K)をランダムに選択(ステップ920)し、サーバとクライアントとの間に共有している値(Password、ID、Cha_S、Cha_C)等の中からサーバとクライアントとの間に約束された方法で選択及び加工し(f)、電子情報暗号鍵を対称鍵暗号アルゴリズムを使用して暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵(K)を生成(ステップ921)する。
ステップ921を行った後、クライアントは電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKとして、電子情報暗号鍵(セッション鍵)(K)の暗号化(g)を行って(ステップ922)、前記サーバに伝送(ステップ923)する。前記クライアントは、 ある一定の時間毎に、または、必要な場合に映像、または、データを暗号化する電子情報暗号鍵(セッション鍵)(K)を新しく生成し、暗号化してサーバに伝送することができる。ここで、電子情報暗号鍵(セッション鍵)(K)を暗号化する式を数13に表す。
【0063】
【数13】
Figure 2004040273
【0064】
サーバは、前記暗号化された電子情報暗号鍵(ESK)を受信した後、前記クライアントが生成した、同一な約束された方法でKを生成(ステップ924)した後、対称鍵暗号アルゴリズムの復号化(g−1)を行って、電子情報暗号鍵(セッション鍵)(K)を抽出(ステップ)する。ここで、前記復号化式を数14に表す。
【0065】
【数14】
Figure 2004040273
【0066】
サーバにおいて、電子情報(D)をクライアントに伝送するステップ927からステップ931は図7を参照しながら説明した部分と重なる部分であるから、その説明を省略する。
図10は、本発明の望ましい一実施の形態にかかるクライアントの暗号化された電子情報をサーバに伝送する過程を示すフローチャートである。
図10を参照すると、サーバは、電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムに暗号化することに必要な対称鍵暗号アルゴリズムの秘密鍵をKにして電子情報暗号鍵(セッション鍵)(K)の暗号化(g)を行ってクライアント認証承認信号と共に前記クライアントに伝送(ステップ1001)する。
クライアントは、前記暗号化された電子情報暗号鍵(セッション鍵)(K)を受信した後、前記サーバが生成した、同一な約束された方法でKを生成(ステップ1002)した後、対称鍵暗号アルゴリズムの暗号化(g−1)を行って電子情報暗号鍵(セッション鍵)(K)を抽出(ステップ1003)する。ここで、前記復号化式を数15に表す。
【0067】
【数15】
Figure 2004040273
【0068】
クライアントは、電子情報暗号鍵(セッション鍵)(K)を対称鍵暗号アルゴリズムの秘密鍵として使用して前記サーバに伝送するデータ(D)の暗号化(g)を行って(ステップ1005)、暗号化されたデータ(E)を前記サーバに伝送(ステップ1007)する。ここで、前記暗号化式を数16に表す。
【0069】
【数16】
Figure 2004040273
【0070】
サーバは、前記暗号化されたデータ(E)を受信した後、 電子情報暗号鍵(セッション鍵)(K)を用いて対称鍵暗号アルゴリズムの暗号化(g−1)を行って(ステップ1009)、暗号化されたデータ(E)からデータ(D)を抽出する。ここで、前記復号化式を数17に表す。
【0071】
【数17】
Figure 2004040273
【0072】
その後、前記サーバは抽出したデータ(D)を処理(ステップ1011)する。
図11は、本発明の望ましい一実施の形態にかかる遠隔地マルチメディアデータ監視システムにおける両方向データ保安システムの構成を示す図面である。
図11を参照すると、遠隔地マルチメディアデータの保安のための監視システムは監視サーバ1110、ネットワーク網1105及びクライアント1130とからなる。
【0073】
監視システムのサーバ1110は、映像情報収集部1111、音声情報収集部1112、使用者データ発生部1113、マルチプレクス部1114、データ変換部1115、圧縮部1117、暗号・復号部1118、ネットワーク接続部1120、綜合制御部1116及びデータ格納部1119を含む。
映像情報収集部1111は、外部の映像を撮影し、出力する役目を果たし、CCDカメラ、ビデオカメラ等からなり、音声情報収集部1112は、外部の音声を認識し、出力する役目を果たし、マイク等からなる。使用者データ発生部1113は、外部の文字等の情報を認識し、出力する役目を果たす。マルチプレクス部1114は前記映像情報収集部1111、前記音声情報収集部1112、前記使用者データ発生部1113のマルチメディアデータ入力から使用者が希望するデータを選択し、出力する役目を果たす。
データ変換部1115は、前記マルチプレクス部1114から出力されるマルチメディアデータを必要の場合、デコーディング等の方法を使用してデコーディングし、圧縮部1117に出力する。圧縮部1117は、前記データ変換部1115で変換されて入力された 映像、音声、使用者データを圧縮して符号化させる役目を果たす。
データ暗号・復号部1118は、入力データを暗号化し、復号化する役目を果たす。暗号化(encryption)は、複雑なアルゴリズムのコードを使用し、ネットワーク上で個人の情報を保護することをいい、復号化は前記暗号化された情報の原本を探すのである。
【0074】
サーバ1110において、クライアント1130にデータを暗号化して伝送させる場合のデータ暗号・復号部1118は、対称鍵暗号化方式であるDES(Data Encryption Standard)等の暗号化アルゴリズムを使用する。また、クライアントで暗号化された識別子、パスワードの使用者データが伝送されるとこれらを復号化する機能を行う。ネットワーク接続部1120は、前記暗号・復号部1118で暗号化されたデータをTCP/IP等のパケットに変形して通信ネットワーク1105を通じて出力するか、通信ネットワーク1105を通じて入力されたデータを暗号化及び復号化するためのデータ形式に変形して暗号・復号部1118に出力する。
通信ネットワーク1105のTCP/IPに変換されたデータは直接LAN(Local Area Network)網に連結されるか、モデムを通じてPSTN網(Public Switched Telephone Network;公衆回線交換電話網)に連結され、ケーブル網等に連結されてサーバ1110及びクライアント1130に伝送されることができる。 綜合制御部1116では、マルチプレクス部1114、圧縮部1117、暗号・復号部1118に連結されてサーバ側の制御状態情報を提供するか、使用者識別子、パスワード確認等の制御を行って接続の制限及びハッキングを防止し、サーバ側からの故障有無及びこれらの装置を管理する。通信ネットワーク1105は、インターネット等の加入者がウェブブラウザーを運営してウェブサイトやホームページに接続して希望の情報を検索及び収集するための通信網、または、ネットワークである。監視システムのクライアント1130は、ネットワーク接続部1132a、...、1132b(以下、1132という)、暗号・復号部1134a、1134b(以下、1134という)、使用者端末装置1136a、1136b(以下、1136という)を含む。
【0075】
暗号・復号部1118は、非対称鍵暗号化方式であるRSA(Rivest−Shamir−Adleman)等のアルゴリズムを使用し、サーバ1110で暗号化されたマルチメディアデータが伝送される場合に、これを復号化する機能を果たす。使用者端末装置1130は、前記通信ネットワーク1105に開設されたウェブサーバ1110に接続し、識別子及びパスワードの使用により使用者が希望する映像、音声、データ発生装置の作動様態を監視することで、コンピュータは、有/無線を通じてモデムや専用線等で通信ネットワーク1105に連結されることで、ノート型等の可搬型コンピュータの使用も可能である。その際、クライアント1130には、サーバから伝送した暗号化されたデータを復号化してリアルタイムで実行させることができるマルチメディアプレーヤを予め設けることを仮定する。
一方、データ格納部1119は、サーバにおける暗号化及び復号化で暗号化されたマルチメディアデータを外部メモリやハードディスク等の格納装置に格納する役目を果たす。前記暗号化されたデータは、通信ネットワーク網1105を通じてリアルタイムで伝送されるが、データ格納部1119に格納して使用者が前記データを必要とする場合、何時でも探して見ることができる。
【0076】
図12は、本発明の望ましい又別の実施の形態にかかる保安機能を有する一体型のネットワーク監視カメラの構成を示す図面である。
図12を参照すると、ネットワーク監視カメラ1220は、映像情報収集部1221、音声情報収集部1222、マルチプレクス部1223、データ変換部1224、圧縮部1226、暗号・復号部1227、綜合制御部1225、データ選択部1228及びネットワーク接続部1229を含む。
映像情報収集部1221は、外部の映像を撮影し、出力する役目を果たし、CCDカメラ、ビデオカメラ等からなり、音声情報収集部1222は、外部の音声を認識し、出力する役目を果たし、マイク等からなる。
マルチプレクス部1223は、前記映像情報収集部1221、前記音声情報収集部1222のマルチメディアデータ入力から使用者が希望するデータを選択して出力する役目を果たす。
【0077】
データ変換部1224は、前記マルチプレクス部1223から出力されるマルチメディアデータをデコーディング等の方法を使用してデコーディングして変換させて圧縮部1226に出力する。圧縮部1226は、前記データ変換部1224で変換されて入力された 映像、音声、使用者データを圧縮して符号化させる役目を果たす。
データ暗号・復号部1227は、サーバの映像及び音声データを暗号化するか、クライアントから伝送された暗号化されたデータを使用して使用者データを復号化する役目を果たす。
綜合制御部1225では、通信のための状態情報と内部回路の制御情報を提供し、暗号化により接続の制限及びハッキングを防止する役目を果たす。
【0078】
データ選択部1220では、ネットワークカメラ1228から使用者にデータを伝送させる場合、使用者のデータ暗号化の要求により圧縮されたデータ、または、暗号化及び復号化されたデータの中から選択し、ネットワーク網1105に出力する。これと逆に、ネットワークカメラ1220がネットワーク網1105からデータを受け取る場合、クライアントの暗号化の要求により圧縮部1226、または、暗号・復号部1227に入力データを選択的に受信する。ネットワーク網1105は遠隔地のデータを伝送する役目を果たす。
クライアント1210a、1210b(以下、1210という)は、前記ネットワーク網1105に連結された保安機能を内蔵したネットワークカメラサーバに接続し、使用者が希望する映像、音声データの作動状態を監視する複数のクライアントのコンピュータ等のような使用者端末装置からなる。
【0079】
図13ないし図15は、本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
図13、図14、図15ないし図15を参照すると、ネットワークを基にするデータ送受信過程でデータを対称鍵アルゴリズムと非対称鍵アルゴリズムにより暗号化及び復号化する過程に使用される用語に対する説明は次の通りである。
D:マルチメディアデータ
:電子情報暗号鍵
公開、K 秘密:サーバの公開鍵とサーバの秘密鍵
公開、K 秘密:クライアントの公開鍵とクライアントの秘密鍵
f:非対称鍵暗号アルゴリズム
−1:非対称鍵復号アルゴリズム
g:非対称鍵方式の暗号アルゴリズム
−1:非対称鍵方式の復号アルゴリズム
h:対称鍵方式の暗号アルゴリズム
−1:対称鍵方式の復号アルゴリズム
【0080】
先ず、ステップ1301において、クライアントから接続要求信号をサーバに伝送すると、サーバは前記接続要求信号を受信する。クライアントから接続要求信号を受信すると、ステップ1302でサーバは公開鍵(K 公開)を生成した後、前記生成されたサーバの公開鍵(K 公開)をクライアントに伝送する(ステップ1303)。これに応じてクライアントはサーバの公開鍵(K 公開)を受信する。
その後、クライアントでは使用者が入力した識別子(ID)及びパスワードと前記サーバの公開鍵(K 公開)及びクライアント秘密鍵(K 秘密)を用いて非対称鍵暗号アルゴリズム(f)を使用して、識別子(ID)及びパスワードを暗号化する(ステップ1304)。暗号化式を下記の数18に表す。
【0081】
【数18】
Figure 2004040273
【0082】
ここで、Fは、暗号化された識別子(ID)及びパスワードで、IDは識別子、passwordはパスワード、 K 公開はサーバの公開鍵、K 秘密はクライアント秘密鍵及びfは非対称鍵暗号アルゴリズムを示す。識別子及びパスワードが暗号化される情報になる。 識別子及びパスワードを一次加工(関数e)した後、暗号化することが望ましい。
クライアントが前記暗号化された識別子(ID)、パスワード及びクライアント公開鍵(K 公開)をサーバに伝送(ステップ1305)すると、サーバはこれを受信した後、ステップ1306を行う。クライアント公開鍵(K 公開)は、クライアント秘密鍵(K 秘密)に応じるもので、前記識別子及びパスワードと同時に、または、時刻を異にして伝送されることができる。クライアント公開鍵(K 公開)は後で説明する非対称鍵復号化過程で使用するためのものである。
ステップ1306において、暗号化された識別子(ID)及びパスワードを復号化する過程であって、この過程を通じて使用者が入力した識別子及びパスワードを抽出することができる。復号化過程は下記の数19に表す。
【0083】
【数19】
Figure 2004040273
【0084】
ここで、前記ID、password、F、K 秘密、K 公開、f−1に対する説明は前記の同様である。
本発明の望ましい別の実施の形態において、前記数19を行った後、前記識別子及びパスワードが一次加工(関数e)されたことを原状に復元する過程を追加することができる。
ここで、サーバは前記で抽出した使用者識別子とパスワードとを用いて予め設定されている使用者情報(ここで、使用者情報は、少なくとも使用者識別子及びパスワードを含む)と比較して同じかどうかを判断する。
前記判断結果、同一でなければ、サーバはクライアントにエラーメッセージを伝送することができる。
その後、前記サーバは電子情報暗号鍵(K)を選択(ステップ1307)する。
電子情報暗号鍵(K)を選択する方法はいろいろであるが、本発明の望ましい実施の形態ではランダムに選択することとする。
その後、前記サーバは電子情報暗号鍵(K)を前記クライアントに伝送するための非対称鍵暗号化を行う(ステップ1308)。これを下記の数20に表す。
【0085】
【数20】
Figure 2004040273
【0086】
ここで、Gは、電子情報暗号鍵を暗号化した結果で、g、K、K 公開、K 秘密は、前述の同様である。
その後、サーバは前述の暗号化された電子情報暗号鍵(K)を前記クライアントに伝送する(ステップ1309)。前記クライアントはこれを受信した後、復号化過程を行って前記電子情報暗号鍵(K)を抽出する(ステップ1310)。前記復号化過程を下記の数21に表す。
【0087】
【数21】
Figure 2004040273
【0088】
ここで、 K、g−1、G、K 秘密、K 公開に対する説明は前述と同様であるので、その説明を省略する。
その後、サーバは電子情報(D)を伝送するための対称鍵暗号化を行う(ステップ1501)。前記対称鍵暗号化に対する説明を数22に表す。
【0089】
【数22】
Figure 2004040273
【0090】
ここで、Eは、電子情報を暗号化した結果で、h、D及びKに対しては、前述と同様であるので、その説明を省略する。
次に、サーバは電子情報(D)を対称鍵暗号化した後、前記暗号化された電子情報を前記クライアントに伝送する(ステップ1311、ステップ1312)。クライアントは、暗号化された電子情報を受信した後、復号化過程を行うことにより、電子情報を抽出することができる(ステップ1313)。前記復号化過程を下記の数22に表す。
【0091】
【数23】
Figure 2004040273
【0092】
ここで、D、h−1、E及びKについては、前述と同様であるので、その説明を省略する。
このように、本発明では、非対称鍵暗号化方式によりIDとパスワードとを伝送し、電子情報暗号鍵(K)も非対称暗号化アルゴリズムに暗号化して伝送した後、送信しようとする電子情報(D)を対称鍵に暗号化して伝送する。その際、電子情報暗号鍵(K)は何時でも切り替えられるので、他人に盗用されることを防止することができる。
本発明は、前述の実施の形態に限るのではなく、いろいろの変形が本発明の思想内で当分野で通常の知識を有する者により可能であることは、言うまでもない。
【0093】
【発明の効果】
以上の説明でのように、本発明によると、ネットワーク網を通じたデータの送受信過程において、サーバと使用者との間で予め隠して共有された使用者のパスワードだけでサーバと使用者との間の認証、電子情報暗号鍵の分配/登録を行ない、電子情報暗号鍵を対象鍵暗号アルゴリズムの秘密鍵として使用して送受信するデータの暗号化/復号化を行うことができる。
特に、計算の複雑度が高く、公開鍵認証を受けることにおいて、費用が発生する公開鍵基盤の暗号アルゴリズムを使用しなく、計算の複雑度が低い対称鍵暗号アルゴリズム、または、ハッシュアルゴリズムを使用して使用者に対する認証及びサーバに対する認証を行うことができ、対称鍵暗号アルゴリズムで分配された対象鍵(電子情報暗号鍵、セッション鍵)を用いてサーバとクライアントとの間のマルチメディアデータ、または、制御データ等を対称鍵暗号アルゴリズムで暗号化して両方向に送受信することができる。
また、本発明によると、ネットワーク網を通じたデータを送受信する過程で、サーバから提供する電子情報を権限がない他人が無断盗用することを防止し、ネットワーク網を通じたデータを送受信する過程で、秘密を維持する必要があるデータを伝送しなければならない時、情報の流出を防止することができる。
【図面の簡単な説明】
【図1】本発明の望ましい実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
【図2】本発明の望ましい実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図3】本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図4】本発明の望ましい又別の実施の形態にかかるネットワークを基にするデータを送受信するサーバとクライアントとを概略的に示す図面である。
【図5】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図6】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置におけるデータ保安システムの構成を示す図面である。
【図7】本発明の望ましい一実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図8】本発明の望ましい別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図9】本発明の望ましい又別の実施の形態にかかるネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置であるサーバとクライアントとの間で伝送される電子情報を暗号化して送受信する過程を示す信号フローチャートである。
【図10】本発明の望ましい一実施の形態にかかるクライアントの暗号化された電子情報をサーバに伝送する過程を示すフローチャートである。
【図11】本発明の望ましい一実施の形態にかかる遠隔地マルチメディアデータ監視システムにおける両方向データ保安システムの構成を示す図面である。
【図12】本発明の望ましい又別の実施の形態にかかる保安機能を有する一体型のネットワーク監視カメラの構成を示す図面である。
【図13】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【図14】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【図15】本発明の望ましい一実施の形態にかかるサーバとクライアントとの間にネットワークを基にしてデータを送受信する過程を示す信号フローチャートである。
【符号の説明】
101     サーバ
102a、102b  クライアント
103    暗号化/復号化部
105    試み値生成部
107     制御部
109     データベース
111     入出力部
113     ネットワーク網
117a、117b     入出力部
119a、119b     暗号化/復号化部
121a、121b     制御部
120a、120b     応答値生成部
201      サーバ
203a、203b     クライアント
204     ネットワーク網
205     映像情報収集部
207     音声情報収集部
209     使用者データ発生部
211     自動化制御部
213     マルチプレクス部
215     データ変換部
217     制御部
219     圧縮部
221     試み値生成部
223     暗号化/復号化部
225     入出力部
229a、229b     入出力部
231a、231b     暗号化/復号化部
232a、232b     応答値生成部
233a、233b     制御部
301     データ格納部
1010a、1010b     試み値生成部
1030a、1030b     応答値生成部
1005     応答値生成部
1019     応答値生成部
502a、502b     試み値生成部
503a、503b     応答値生成部
1128     応答値生成部
602a、602b     試み値生成部
1120a、1120b     応答値生成部[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a method and apparatus for maintaining security in network-based data transmission between a server and a client of a network camera, a home gateway, and a home automation device.
[0002]
[Prior art]
Generally, security is divided into system security and network security in a network environment. System security is security for computers and network devices (such as routers) that make up the Internet, and includes security for operation systems, client / server applications, file systems, and the like.
Network security is security of a system and a communication protocol connecting the systems, and protection of data transmitted through a network is the most important factor. Network security refers to protection of data transmitted through all communication protocols such as TELNET, FTP, HTTP, SMTP, etc. However, in a field where inter-operability is required due to the characteristics of a network. Because of this, standardization has been standardized by a single standard.
[0003]
At present, where Ethernet (registered trademark) is used, not only is it possible to interrupt data arbitrarily in the subnet, but also there are programs that record such data.
Usually, in order to protect information on data on a network, many encryption methods are used. If a protocol is incorrectly designed through only simple encryption, it may be attacked through replay. Even if the hacker does not know the content of the data, the same result can be obtained by reproducing the observed communication content in the same manner. Therefore, when performing encrypted communication other than simple encryption, data is usually encrypted including various information.
[0004]
There are various encryption methods such as a hash encryption method, a symmetric key encryption method, and a public key encryption method.
The symmetric key encryption method refers to an encryption system in which a key to be encrypted is the same as a key to be decrypted, or a symmetric key is easily known if one is known.
The symmetric key encryption method is EK= DKIn this case, when two keys are the same or one key is known, the other key is easily known, and the sender and the receiver must share the key in advance. The security of the cryptographic system depends on the key, which is expressed by the following equation (1).
[0005]
(Equation 1)
Figure 2004040273
[0006]
The symmetric key encryption method has a simpler internal structure than the public key encryption method and consists of a combination of permutation and permutation.It has low computational complexity and requires the development of an appropriate encryption algorithm suitable for the system environment. It can be easily implemented, the encryption / decryption speed is fast, and the random number generator is easily linked with another encryption method such as a hash function. In the symmetric key encryption method, the size of the encryption key is relatively smaller than that of the public key encryption system, and an efficient encryption system can be constructed. However, since symmetric key cryptography requires that the same key be shared between parties exchanging information, one user must maintain many keys when exchanging information with many people. There are difficulties. Representative examples of the symmetric key encryption method include SEED, AES (Rijndael), 3DES, GOST, IDEA, SKIPJACK (3), and the like.
[0007]
The public key method (Public Key Method) generates a key pair (Key Pair), then publishes one key (Public Key) to the relative side, and then uses this to protect data or integrity, authentication, This is a method that can satisfy denial blockade and the like. A key twin refers to a key twin of an asymmetric encryption algorithm. When encryption is performed with one key, it can be decrypted into only another key.
The public key method is used for two purposes. First, the public key method is used for data protection because when a sender encrypts and transmits with a recipient's public key, information cannot be obtained by decryption unless the sender is the recipient. Second, in the public key method, when a sender transmits data encrypted with his / her own private key, the receiver can obtain information on the data received with the sender's public key, and the sender sends the information. It is used for a function that can confirm that the data is sent and that can block denial of the fact that the data was sent.
Two keys are used for the public key encryption system, one is used for encryption and the other is used for decryption. Therefore, in the public key encryption method, when a key is generated for encryption, two keys (a personal key and a public key) are generated. Here, the key used for encryption is a public key, and the key used for decryption is a private key. Public key cryptography requires the public key to be authenticated by a third party before the public key is disclosed to the other party in order to easily confirm the authenticity of the public key. If the infrastructure is not well prepared, its use efficiency cannot be increased.
[0008]
Hash encryption is widely used for digital signatures. In the hash encryption method, a sender signs a hash code h (M), which is a result of taking a hash function on an input M, with a secret key, and a receiver checks this with a public key. (M) is compared with a value obtained by taking a hash function on the received M to determine whether the signature is true or false. In addition, the hash encryption method can be used for the integrity of information. The hash encryption method calculates the hash code of the information that you want to verify its integrity and stores it safely. When verification of integrity is needed, further calculates the hash code and compares the stored hash code with the value. By doing so, the integrity of the information can be confirmed. The hash function h is a collision avoidance hash function (collision free hash function), a strong one-way hash function (SOWHF, Strong One-Way Hash Function) and a weak one-way hash function (WOWFH, Weak One-Way-Way-Way-One-Way) depending on its security. Hash @ Function).
The hash function h must have the following four conditions. First, the hash function h must be applicable to an input M of any size. Second, the hash function h must produce a constant magnitude output H = h (M). Third, the hash function h must be easy to calculate for H = h (M) given h and M. Fourth, given a hash function H = h (M), the inverse calculation for M must be impossible. The four conditions apply commonly to the hash function h, which belongs to the most basic definition that a hash function must have.
The hash algorithm includes an MD5 algorithm. The MD5 algorithm is an improved version of the MD4 algorithm developed by Ron @ Rivest in 1990, and is based on a hash @ function designed for fast software implementation. The MD5 algorithm is an electronic signature (digital @ signature) application in which a large file is encrypted and compressed together with a private key (private (or secret) key) in a public-key encryption system such as RSA. It was devised mainly for the purpose of application. And the MD5 algorithm is an extension of the MD4 algorithm and is slightly slower than MD4, but the structure is more robust.
[0009]
Conventionally, the rapid development of communication networks such as the Internet has the advantage that many people can share information.On the contrary, there are cases where information and communication technology having such advantages is used for crimes. are doing.
Conventional network cameras, home gateways, and home automation devices require a specific user having an identifier and a password to connect to a surveillance camera terminal device provided by the user and monitor the operation status through a network. Although research has been conducted, since unencrypted data is actually transmitted on a network, there has been a security problem in which another person observes the operation state of a surveillance camera without permission and is used in a crime.
The conventional network basic data security maintenance method has a problem that during a user authentication process, a user identifier and a password are exposed to a network in an unencrypted state, interrupted during transmission, and information is leaked. Expenses are required to receive public key authentication from a third party.
[0010]
[Problems to be solved by the invention]
Therefore, an object of the present invention is to provide authentication and electronic information between a server and a user only by using the user's password that is previously hidden and shared between the server and the user during the process of transmitting and receiving data through the network. Network camera, home gateway, and home automation system capable of distributing / registering encryption keys and performing encryption / decryption of data to be transmitted / received using an electronic information encryption key as a secret key of a symmetric key encryption algorithm And a data security maintenance method and apparatus.
Another object of the present invention is to provide a symmetric key cryptographic algorithm having a low computational complexity without using a public key-based cryptographic algorithm which has a high computational complexity and is expensive to receive public key authentication. Another object of the present invention is to provide a method and apparatus for maintaining data security in a network camera, a home gateway, and a home automation system that can perform authentication for a user and authentication for a server using a hash algorithm.
[0011]
Yet another object of the present invention is to provide a symmetric key cryptographic algorithm that has a low computational complexity without using a public key-based cryptographic algorithm that has a high computational complexity and is expensive to receive public key authentication. Data security maintenance in network cameras, home gateways and home automation systems that can distribute symmetric keys (electronic information encryption keys) required for encryption / decryption of multimedia data or control data using It is to provide a method and an apparatus.
Still another object of the present invention is to convert multimedia data or control data between a server and a client using a symmetric key (electronic information encryption key) distributed by a symmetric key encryption algorithm. It is an object of the present invention to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which can encrypt and decrypt in both directions, which can be encrypted and transmitted and received.
[0012]
It is still another object of the present invention to encrypt and decrypt data in both directions in order to prevent unauthorized access to electronic information provided by a server in the process of transmitting and receiving data through a network. An object of the present invention is to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which are to be developed.
Still another object of the present invention is to encrypt and decrypt data in both directions in order to prevent leakage of information when data that needs to be kept secret must be transmitted during data transmission / reception through a network. An object of the present invention is to provide a method and an apparatus for maintaining data security in a network camera, a home gateway, and a home automation system, which are to be developed.
[0013]
[Means for Solving the Problems]
According to one aspect of the present invention, there is provided a method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway, and a home automation device. In response to a connection request signal, generate a server trial value, transmit the generated server trial value to the client, receive a client response value from the client, receive an ID from the client, Calculate the response value expected from the client with the password corresponding to the and the trial value, compare and authenticate the response value of the client received from the client, if the authentication result is valid, generate an electronic information encryption key, A secret key for encrypting the electronic information encryption key is generated, and the secret key is required. Encrypting the electronic information encryption key into a symmetric key encryption algorithm, transmitting the encrypted electronic information to the client, encrypting the electronic information using the electronic information encryption key as an element to a symmetric key encryption algorithm, Transmitting the encrypted electronic information to the client, extracting an electronic information encryption key from the encrypted electronic information encryption key received by the client, and using the extracted electronic information encryption key as an element, The present invention can provide a network camera, a home gateway, a method for maintaining basic data security of a home automation device, and a system corresponding to the method, wherein the electronic information is extracted by performing symmetric key decryption of the converted electronic information. .
[0014]
In a preferred embodiment, the trial value may be any one of a random number (Random @ Number), a sequence (Sequence @ Number), and a time table (Time @ stamp), and the response value of the client is the password. And the hash function to which the trial value of the server is applied.
In yet another preferred embodiment, the response value of the client can be a hash function with a secret key to which the password of the client and the attempt value of the server have been applied, and the response value of the client is the client's response value. The password and the trial value of the server may be a symmetric key encryption algorithm applied.
In yet another preferred embodiment, the password is a password of a client previously hidden and shared between the server and the client, and the ID is the same as or different from the response value of the client. Can be received.
In another preferred embodiment, the basic data security maintaining method in the network camera, the home gateway, and the home automation device may transmit a client authentication approval signal to the client.
[0015]
In yet another preferred embodiment, the electronic information encryption key can be selected at random, and the electronic information encryption key can be updated and generated at predetermined time intervals or when necessary. Can be done.
In yet another preferred embodiment, the secret key is a secret key of a symmetric key cryptographic algorithm required for encrypting an electronic information encryption key, and the secret key is configured to transmit a trial value and a password in a mutually agreed manner. Can be processed and generated.
In yet another preferred embodiment, the client can decrypt the encrypted electronic information encryption key in response to the client authentication approval signal and generate a secret key required for extracting the electronic information encryption key. , The secret key is a secret key of a symmetric key encryption algorithm.
In yet another preferred embodiment, the secret key can be generated by processing the server's trial value and password in a mutually agreed manner.
[0016]
According to another aspect of the present invention, there is provided a method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, the method comprising: Generating a server trial value, transmitting the generated server trial value to the client, receiving a client response value from the client, receiving an ID from the client, and receiving a client trial value from the client; Then, a response value expected from the client is calculated based on the password corresponding to the ID and the trial value of the server, the authentication value is compared with the response value of the client received from the client, and the authentication result is valid. Generate a response value and classify the response value of the server. Transmitting to the client, receiving a server authentication approval signal from the client, generating an electronic information encryption key in response to the server authentication approval signal, generating a secret key for encrypting the electronic information encryption key, Encrypting an encryption key into a symmetric key encryption algorithm, transmitting the encrypted electronic encryption key to the client, encrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element, and Transmitting the extracted electronic information to the client, and extracting the electronic information encryption key from the encrypted electronic information encryption key received by the client, and using the extracted electronic information encryption key as an element, Network camera, home gateway, and home automation system for extracting electronic information by performing symmetric key decryption of the obtained electronic information. Basic data security method to maintain Deployment apparatus, it is possible to provide a system which responds to said process.
[0017]
In a preferred embodiment, the server trial value and the client trial value may be any of a random number (Random @ Number), a sequence (Sequence @ Number), and a time table (Time @ stamp).
In another preferred embodiment, the server response value and the client response value may be a hash function with a password and a secret key to which the server attempt value has been applied.
In yet another preferred embodiment, the server response value and the client response value may be a hash function to which a password and the server attempt value are applied, wherein the server response value and the client response value May be a symmetric key encryption algorithm to which a password and the server's trial value are applied.
[0018]
In yet another preferred embodiment, the password is a password of a client that is previously hidden and shared between the server and the client, and the ID and the trial value of the client are simultaneously set with the response value of the client. , Or at different times.
In yet another preferred embodiment, the server authentication approval signal is used to calculate a response value expected from the server by the client with a password corresponding to the ID and a trial value of the client, and compare the response value with the response value of the server. This is the result.
In yet another preferred embodiment, the electronic information encryption key can be generated by the client, and the client generates a secret key of a symmetric key encryption algorithm necessary for encrypting the electronic information encryption key. Can be generated.
In yet another preferred embodiment, the electronic information encryption key may be randomly selected, and the electronic information encryption key may be updated and generated at predetermined time intervals or when necessary. Can be
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.
The present invention relates to a method and apparatus for maintaining security in transmitting data based on a network between a server and a client of a network camera, a home gateway, and a home automation device.
[0020]
The computer as a terminal device of the client may be connected to a network through wired / wireless, and the personal mobile communication terminal may be connected to a wireless network. The client can connect to a server of a home gateway and a home automation device by using the terminal device, and can receive and provide data such as a video, a sound, and a state of an electronic device of a place of a user's home, work, and the like. , A control signal can be transmitted to the server to control an electronic device or the like. For example, if the user wants to control the heating of the house from outside, the client connects to the server of the home gateway and the home automation device using the terminal device, performs an authentication procedure, and transmits a desired control signal. Heating inside the house can be adjusted from the outside. In addition, the client can connect to the network camera, the home gateway, and the server of the home automation device, and check the status of video, audio, and electronic devices in the house through the network camera. Here, authentication and data transmission / reception between the server and the client must involve encryption and decryption for personal information security.
[0021]
FIG. 1 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to a preferred embodiment of the present invention.
Referring to FIG. 1, in a server and a client that transmit and receive data based on a network, a server 101 includes an encryption / decryption unit 103, a trial value generation unit 105, a control unit 107, a database 109, and an input / output unit 111. The client 102a, 102b (hereinafter, referred to as 102) includes input / output units 117a, 117b (hereinafter, referred to as 117), encryption / decryption units 119a, 119b (hereinafter, referred to as 119), a response value generation unit 120a, 120b (hereinafter, referred to as 120) and control units 121a, 121b (hereinafter, referred to as 121). Here, the server 101 and the client 102 are connected to each other through a network 113. The network 113 includes both wired and wireless networks.
[0022]
The encryption / decryption units 103 and 119 serve to encrypt necessary data among data transmitted and received between the server 101 and the client 102 or to further decrypt the encrypted data. Here, the encryption method may use a symmetric key encryption algorithm such as SEED, AES (Rijndael), or 3DES.
The trial value generator 105 plays a role of generating a server trial value (Cha_S) required for a client authentication procedure in accordance with the connection request signal of the client 102. Here, the trial value (Chs_S) is a random number (Random @ Number) and an order (Sequence).
Number), a time table (Time @ stamp) and the like are used.
The response value generation unit 120 serves to generate a response value (Res_C) of the client according to the trial value (Cha_S) of the server according to a method promised between the server and the client. Here, as a method promised between the server and the client, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
[0023]
The database 109 stores electronic information, user information, and the like. Here, the electronic information may include video data, audio data, home automation control data, electronic device status information, and the like.
The input / output units 111 and 117 serve to convert data transmitted and received between the server 101 and the client 102 so that the data can be moved through the network 113 and transmit and receive the data.
The control units 107 and 121 serve to control the input / output units 111 and 117, the encryption / decryption units 103 and 119, the trial value generation unit 105, the response value generation unit 120, the database 109, and the like.
The client must connect to the server of the network camera, the home gateway, and the home automation device and perform an authentication procedure to perform the service.
[0024]
First, the authentication between the server and the client according to the preferred embodiment of the present invention can be performed using a hash algorithm with a secret key. The process of performing an authentication procedure using the hash function with the secret key will be described in detail with reference to FIG.
Second, authentication between the server and the client can be performed using a hash algorithm. The process of performing an authentication procedure using the hash function will be described in detail with reference to FIG.
Third, authentication between the server and the client can be performed using a symmetric key encryption algorithm. The process of performing an authentication procedure using the symmetric key encryption algorithm will be described in detail with reference to FIG.
[0025]
In the authentication between the server and the client according to the preferred embodiment of the present invention, the process of authenticating the client by the server is essential, and the process of authenticating the server by the client is optional.
FIG. 2 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
Referring to FIG. 2, the server 201 of the network camera, the home gateway, and the home automation device includes a video information collection unit 205, an audio information collection unit 207, a user conversion unit 215, a control unit 217, a compression unit 219, and a trial value generation unit. 221, an encryption / decryption unit 223 and an input / output unit 225.
[0026]
The video information collecting unit 205 functions to capture an external video and output the captured video information, and may include a CCD camera, a video camera, and the like. The voice information collecting unit 207 includes a microphone and the like, serving to recognize external voice and output recognized voice information. The user data generation unit 109 has a function of recognizing and outputting information such as external characters, signals, and electronic device states. The automation control unit 211 serves to process control and data for home automation. The multiplex unit 213 plays a role of selecting and outputting data desired by a user from multimedia data inputs of the video information collecting unit 205, the audio information collecting unit 207, the user data generating unit 209, and the like. Also, the multiplex unit 213 plays a role of selecting control data transmitted from a user and transmitting the control data to the automation control unit 211. Here, the control data is home automation device control data sent by the user.
[0027]
The data conversion unit 215 decodes the multimedia data output from the multiplex unit 213 using a decoding method, if necessary, and transmits the decoded data to the compression unit 219. The compression unit 219 serves to compress the video, audio, and user data converted and transmitted by the data conversion unit 215. The trial value generation unit 221 fulfills a trial value (Chs_S) of the server required for user authentication. Here, as the trial value (Chs_S), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time stamp), and the like can be used.
The encryption / decryption unit 223 has a function of encrypting and decrypting input data. Here, the encryption / decryption unit 223 may use a symmetric key encryption algorithm for encryption and decryption.
The input / output unit 225 transforms the data encrypted by the encryption / decryption unit 223 into a packet such as TCP / IP and transmits the packet to the user through the network 204 or the input transmitted through the network 204. The data is transformed into a data format for encryption and decryption and transmitted to the encryption / decryption unit 223.
[0028]
The control unit 217 is connected to the data conversion unit 215, the compression unit 219, the trial value generation unit 221 and the encryption / decryption unit 223 to provide control state information on the server side, or uses a user identifier, a password, and the like. Thus, the device serves to control the authentication for confirming the response value (Res_C) of the user, and can control the device and the like.
The clients 203a and 203b (hereinafter, referred to as 203) of the network camera, the home gateway, and the home automation device include input / output units 229a, 229b (hereinafter, referred to as 229) and encryption / decryption units 231a, 231b (hereinafter, referred to as 231). , And a response value generator 232a, 232b (hereinafter, referred to as 232) and a controller 233a, 233b (hereinafter, referred to as 233).
The input / output unit 229 is the same as described above, and a description thereof will be omitted.
The encryption / decryption unit 231 has a function of decrypting, when electronic information encrypted by the server 201 is transmitted using a symmetric key encryption algorithm. Also, the encryption / decryption unit 231 has a function of encrypting a control signal for home automation and transmitting the encrypted control signal to the server 201.
[0029]
The response value generation unit 232 serves to generate a response value (Res_C) of the client 203 according to the trial value (Cha_S) of the server in a manner promised between the server and the client. Here, as a method promised between the server 201 and the client 203, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
The control unit 233 controls the input / output unit 229, the encryption / decryption unit 231, and the response value generation unit 232. The terminal device of the client connects to the established web server 201, monitors the operation state of the video, audio, and data generation devices desired by the user by using the identifier and the password, and controls the home appliance by The computer is connected to the network 204 via a modem or a dedicated line via wired / wireless communication, and a portable computer such as a notebook type and a personal mobile communication terminal can be used. At this time, it is assumed that the client 203 is provided with a utility capable of decrypting the encrypted data transmitted from the server 201 and executing the decrypted data in real time.
[0030]
FIG. 3 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 3, the network camera, the home gateway, and the home automation system include a server 201, a network 204, and a client 203. The description of the components overlapping with those described with reference to FIG. 2 will be omitted.
The server 201 further includes a data storage unit 301 in a component as shown in FIG. The data storage unit 301 serves to store the multimedia data encrypted by the encryption / decryption unit 223 of the server in a storage device such as an external memory or a hard disk. Here, the encrypted data is transmitted in real time through the network 204, but is stored in the data storage unit 301 so that the user can search and view the data at any time when the user needs the data.
[0031]
FIG. 4 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to another exemplary embodiment of the present invention. Referring to FIG. 4, the server 10 further includes a response value generation unit 405, and the client 102 further includes trial value generation units 410a and 410b (hereinafter, referred to as 410) and response value generation units 403a, 403b (hereinafter, 403). Prepare. The description of the components overlapping with those described with reference to FIG. 1 will be omitted.
The response value generation unit 405 plays a role of generating a response value (Res_S) of the server according to the trial value (Cha_C) of the client in a method promised between the server 101 and the client 102. Here, as a method promised between the server 101 and the client 102, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
The trial value generation unit 401 generates a client trial value (Cha_C) required for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp), and the like are used.
The response value generation unit 403 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the server 101 and the client 102. Here, as a method promised between the server 101 and the client 102, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
[0032]
FIG. 5 is a diagram showing a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 5, the server 201 further includes a response value generation unit 501, and the client 203 further includes trial value generation units 502a and 502b (hereinafter, referred to as 502) and response value generation units 503a, 503b (hereinafter, 503). Prepare. The description of the components overlapping with those described with reference to FIG. 2 will be omitted.
The response value generation unit 501 plays a role of generating a server response value (Res_S) according to the client trial value (Cha_C) in a manner promised between the server 201 and the client 203. Here, as a method promised between the server 201 and the client 203, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
The trial value generator 502 generates a client trial value (Cha_C) necessary for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp) and the like are used. The response value generation unit 503 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the server 201 and the client 203. Here, as a method promised between the server 201 and the client 203, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
[0033]
FIG. 6 is a view illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
Referring to FIG. 6, the server 201 further includes a response value generation unit 601 and the client 203 further includes trial value generation units 602a and 602b (hereinafter, referred to as 602) and response value generation units 603a, 603b (hereinafter, 603). Prepare. The description of the components overlapping those described with reference to FIG. 3 will be omitted.
The response value generation unit 601 plays a role of generating a response value (Res_S) of the server according to the trial value (Cha_C) of the client in a manner promised between the server 201 and the client 203. Here, as a method promised between the server 201 and the client 203, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
The trial value generation unit 602 generates a trial value (Cha_C) of the client required for server authentication. Here, as the trial value (Chs_C), a random number (Random @ Number), an order (Sequence @ Number), a time table (Time @ stamp), and the like are used. The response value generation unit 603 plays a role of generating a response value (Res_C) of the client according to the trial value (Cha_S) of the server in a method promised between the server 201 and the client 203. Here, as a method promised between the server 201 and the client 203, a hash algorithm with a secret key, a hash algorithm, and a symmetric key encryption algorithm are used.
[0034]
7 to 10 are signal flowcharts illustrating a process of transmitting and receiving data based on a network between a server and a client of a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
Referring to FIGS. 7 to 10, explanations of terms used in an encryption process and a decryption process in transmitting and receiving data between a server and a client based on a network are shown in Table 1 below. It is as follows.
[0035]
[Table 1]
Figure 2004040273
[0036]
FIG. 7 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to a preferred embodiment of the present invention. .
Referring to FIG. 7, a server, which is a network camera, a home gateway, and a home automation apparatus, uses a hash algorithm with a secret key based on a password (Password) of a client that is previously hidden and shared with the client, and uses the hash algorithm with a secret key. Authenticate (confirm).
In addition, the server encrypts / decrypts the electronic information using a symmetric key encryption algorithm, and thus requires a necessary electronic information encryption key (session key, K).D), And transmits (distributes) the electronic information encryption key (ESK) encrypted using the symmetric key encryption algorithm to the client.
Thereafter, the server and the client transmit the multimedia data or control data transmitted between them to an electronic information encryption key (session key, KD) Is encrypted as a secret key of the symmetric key encryption algorithm and transmitted and received.
First, when a connection request signal is transmitted from a client to a server (step 701), the server receives the connection request signal.
[0037]
The server sends the server's trial value (Cha_S) provided to the client in response to the connection request signal to a random number (RN).S) (Step 703), and transmitted to the client (Step 705). Here, as the trial value (Chs_S) of the server, an order other than the random number (SequenceNumber), a time table (Time stamp), or the like may be used.
The client that has received the server's trial value (Cha_S) uses a hash algorithm with a secret key to generate a secret key (HMAC) required for generating the client's response value (Res_C).K) Is generated (step 707) by processing (f) the password (Password) which is hidden between the server and the client as it is or by a method promised between the server and the client. . Here, the processing (f) may include a trial value of the server (Cha_S) and a client identifier (ID).
Thereafter, the client selects and processes (f) the values (Cha_S, $ ID, $ Password) shared between the server and the client in a promised manner between the server and the client. Here, the server trial value (Cha_S (RNS)) And password (Password) must be included. Thereafter, the client converts the processed (f) value into a secret key (HMAC).K) And a hash algorithm involving a secret key to generate a response value (Res_C) of the client corresponding to the trial value (Cha_S) of the server (Step 709).
An expression for generating the response value (Res_C) of the client is expressed by the following equation (2).
[0038]
(Equation 2)
Figure 2004040273
[0039]
The client transmits to the server a response value (Res_C) and a client identifier (ID) of the client corresponding to the server trial value (Cha_S) provided by the server to the client (step 711). The response value (Res_C) and the client identifier (ID) are received. Here, the client can transmit the ID (ID) to the server with a time lag.
The server calculates the hash value by applying the user's password (Password), the identifier (ID), the trial value (Cha_S) provided by the server to the client, and the like to the hash algorithm with the secret key in the same manner as the client. The client authentication procedure is performed by comparing with the response value (Res_C) received from the client (step 713).
If the comparison result is not valid, the server transmits a client authentication failure message to the client.
After the client authentication of the server is confirmed, the server sends the electronic information encryption key (session key) (K) of the symmetric key encryption algorithm used for encrypting / decrypting the electronic information (D).D) Is selected at random (step 715). After that, the server selects and processes (f) the values (Password, ID, Cha_S) shared between the server and the client by a method promised between the server and the client (f), and performs electronic information encryption. Key (session key) (KD) Using the symmetric key encryption algorithm, the secret key (KS) Is generated (step 716).
After performing the step 716, the server sends the electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAs an electronic information encryption key (session key) (KD) Is performed (g) (step 717), and transmitted to the client together with the client authentication approval signal (step 719). The server may separately transmit the client authentication approval signal. In this case, the server transmits an electronic information encryption key (session key) (K) for encrypting the electronic information (D) at regular intervals or when necessary.D) Can be newly generated, encrypted and transmitted to the client. Electronic information encryption key (session key) (KD) Is expressed by equation (3).
[0040]
(Equation 3)
Figure 2004040273
[0041]
The client sends the encrypted electronic information encryption key (session key) (KD), After receiving K in a manner similar to that generated by the server.SIs generated (step 720), and the symmetric key encryption algorithm is decrypted (g-1) To perform the electronic information encryption key (session key) (KD) Is extracted (step 721). Here, the above-mentioned decoding equation is shown in Expression 4.
[0042]
(Equation 4)
Figure 2004040273
[0043]
The server sends the electronic information encryption key (session key) (KD) Is used as a secret key of a symmetric key encryption algorithm, and encryption (g) of the electronic information (D) transmitted to the client is performed (step 723), and the encrypted electronic information (E) is transmitted to the client. The transmission is performed (step 725). Here, {circle around (5)} represents the encryption formula.
[0044]
(Equation 5)
Figure 2004040273
[0045]
The client receives the encrypted electronic information (E) and extracts the electronic information encryption key (session key) (K) extracted from step 721.D) To decrypt the symmetric key encryption algorithm (g-1) Is performed to extract the electronic information (D) from the encrypted electronic information (E) (step 727). Here, the above-mentioned decoding equation is expressed by Equation 6.
[0046]
(Equation 6)
Figure 2004040273
[0047]
FIG. 8 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client of a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention. is there.
Referring to FIG. 8, the server and the client perform mutual authentication (confirmation) using a hash algorithm based on the client's password (Password) which is previously hidden and shared between the server and the client. That is, the server authenticates (confirms) the client using a hash algorithm based on the client's password (Password) that is previously hidden and shared between the server and the client. The server is authenticated (confirmed) by using a hash algorithm based on the password (Password) of the client which is previously hidden and shared between the servers.
Further, the server encrypts / decrypts the electronic information (D) by using a symmetric key encryption algorithm, and thus requires a necessary electronic information encryption key (session key, KD), And transmits (distributes) the electronic information encryption key (ESK) encrypted using the symmetric key encryption algorithm to the client. Thereafter, the server and the client exchange the electronic information (D) transmitted between them with an electronic information encryption key (session key, K).D) Is encrypted as a secret key of the symmetric key encryption algorithm and transmitted and received.
[0048]
First, when a connection request signal is transmitted from a client to a server (step 801), the server receives the connection request signal.
In response to the connection request signal, the server sends a server trial value (Cha_S) provided to the client to a random number (RN).S) Is generated (step 803) and transmitted to the client (step 805). Here, as the trial value (Chs_S) of the server, an order other than the random number (SequenceNumber), a time table (Time stamp), or the like may be used.
The client that has received the server's trial value (Cha_S) selects and shares a value (Cha_S, $ ID, $ Password) shared between the server and the client in a promised manner between the server and the client. After processing (f), a response value (Res_C) to which the hash algorithm is applied is generated (step 807). Here, the trial value (Cha_S (RNS)) And password (Password) must be included.
Expression 7 for generating the response value (Res_C) of the client is shown in Expression 7.
[0049]
(Equation 7)
Figure 2004040273
[0050]
The client sends the client's trial value (Cha_C) that the client provides to the server to a random number (RN).C) Is generated (step 809).
The client transmits a client response value (Res_C), a client identifier (ID), and a client trial value (Cha_C) according to the server trial value (Cha_S) provided to the client by the server (step 811). Thereafter, the server receives the response value of the client (Res_C), the client identifier (ID), and the trial value of the client (Cha_C). Here, the client's trial value (Cha_C) and the identifier (ID) can be transmitted to the server with a time difference from the client's response value (Res_C).
The server calculates the hash value by applying the user's password (Password), the identifier (ID), the trial value (Cha_S) provided by the server to the client, etc. to the hash algorithm in the same manner as the client, and receives the hash value from the client. The client authentication procedure is performed in comparison with the response value (Res_C) (step 813).
After authenticating the client, the server transmits values (Cha_S, Cha_C, ID, and Password) shared between the server and the client so that the client can be authenticated by the server. (F), and generates a response value (Res_S) of the server corresponding to the client's trial value (Cha_C) to which the hash algorithm is applied (step 8157) and transmits the response value to the client (step 8157). Step 817). Here, the trial value (Cha_C) and the client password (Password) must be included.
The equation for generating the response value (Res_C) of the server is shown in Expression 8.
[0051]
(Equation 8)
Figure 2004040273
[0052]
The client that has received the response value (Res_S) of the server transmits the user's password (Password), identifier (ID), server's trial value (Cha_S), and the trial value (Cha_C) provided by the client to the server, and the like. In the same manner, a hash value is calculated by applying to a hash algorithm, and compared with a response value (Res_S) received from the server, a procedure for authenticating the server is performed (step 819).
After performing the authentication, the client transmits a server authentication approval signal to the server (step 821).
[0053]
Hereinafter, steps 823 to 835 are portions that overlap with the portions described with reference to FIG. 7, and thus description thereof will be omitted.
FIG. 9 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to still another embodiment of the present invention. It is.
Referring to FIG. 9, the server and the client perform mutual authentication (confirmation) using a symmetric key algorithm. That is, the server authenticates (confirms) the client using the symmetric key algorithm, and the client authenticates (confirms) the server using the symmetric key encryption algorithm.
The client generates an electronic information encryption key (session key) necessary for encrypting / decrypting the electronic information (D) using the symmetric key encryption algorithm, and the client encrypts the electronic information (D) using the symmetric key encryption algorithm. The electronic information encryption key registered in the server. Thereafter, the server and the client transmit and receive the electronic information (D) transmitted between them by encrypting the electronic information (D) with a symmetric key encryption algorithm using an electronic information encryption key.
[0054]
First, when a connection request signal is transmitted from a client to a server (step 901), the server receives the connection request signal.
The server sends a server trial value (Cha_S) provided to the client by the server in response to the connection request signal to a random number (RN).S) (Step 903), and transmitted to the client (step 904). Here, as the trial value (Chs_S) of the server, in addition to the random number, an order (Sequence @ Number), a time table (Time @ stamp), or the like may be used.
The client receiving the server attempt value (Cha_S) uses the symmetric key encryption algorithm to generate the response value (Res_C) of the client, but the secret key (K) of the required symmetric key encryption algorithm is used.A) Is generated (step 905) by processing (f) the password (Password) which is hidden between the server and the client, or as it is or by a method promised between the server and the client. Here, the process (f) may include a trial value of the server (Cha_S) and a client identifier (ID).
The client selects and processes at least one of Cha_S, $ ID, $ Password, which is a value shared between the server and the client, in a promised manner between the server and the client (f). I do. Here, the server's trial value (Cha_S) must always be included. Thereafter, the client sends the generated secret key (KA) By using the encryption method of the symmetric key encryption algorithm (g) to generate a response value (Res_C) of the client corresponding to the trial value (Cha_S) of the server (step 907).
An expression for generating the response value (Res_C) of the client is shown in Expression 9.
[0055]
(Equation 9)
Figure 2004040273
[0056]
The client sends the client's trial value (Cha_C) that the client provides to the server to a random number (RN).C) (Step 909). Here, as the trial value (Chs_S) of the client, an order other than the random numbers (Sequence @ Number), a time table (Time stamp), or the like may be used.
The client transmits a client response value (Res_C), a client identifier (ID), and a client trial value (Cha_C) to the server according to the server trial value (Cha_S) provided to the client by the server (step 911). Here, the client may transmit the client identifier (ID) and the trial value of the client (Cha_C) to the server with a time lag from the response value (Res_C) of the client. The server receives a response value (Res_C) of the client, a client identifier (ID), and a trial value of the client (Cha_C). The server decrypts (g) the symmetric key encryption algorithm with the received response value (Res_C) of the client.-1), The secret key (KA) Is generated in the same manner as the method generated by the client (step 913).
The server generates a secret key (K) for the received client response value (Res_C).A) As the secret key of the symmetric key encryption algorithm, and decryption of the symmetric key encryption algorithm (g-1) To authenticate the client by confirming that the decrypted value is data selected and processed in a promised manner for the value shared between the server and the client. Is performed (step 914). The decryption (g-1Equation (10) is shown in Expression 10.
[0057]
(Equation 10)
Figure 2004040273
[0058]
After performing the client authentication, the server generates a server response value (Res_S) according to the client trial value (Cha_C) by the encryption (g) method of the symmetric key encryption algorithm so that the client is authenticated by the server. (Step 915), and transmit to the client (Step 917). Here, in generating the response value of the server, a trial value of the client, a user identifier (ID), a client password, and a trial value of the server, which are values shared between the server and the client, are promised to the client in advance. It is used after being selected and processed in the specified method.
An equation for generating the response value (Res_S) of the server is shown in Expression 11.
[0059]
[Equation 11]
Figure 2004040273
[0060]
The client receives the response value (Res_S) of the server, and performs decryption (g-1) To extract Cha_C, and compares the extracted Cha_C with the client's trial value (Cha_C) sent to the server by the client to perform server authentication (step 919). The decryption (g-1Equation (12) is shown in Expression 12.
[0061]
(Equation 12)
Figure 2004040273
[0062]
After the server performs, the client sends an electronic information encryption key (session key) (KD) Is selected at random (step 920), and selected from values (Password, ID, Cha_S, Cha_C) shared between the server and the client in a manner promised between the server and the client. (F), and encrypting the electronic information encryption key using the symmetric key encryption algorithm.S) Is generated (step 921).
After performing the step 921, the client sets the electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAs an electronic information encryption key (session key) (KD) Is performed (g) (step 922) and transmitted to the server (step 923). The client may: (1) use an electronic information encryption key (session key) (K) for encrypting video or data at regular intervals or, if necessary,D) Can be newly generated, encrypted and transmitted to the server. Here, the electronic information encryption key (session key) (KD) Is expressed by Expression 13.
[0063]
(Equation 13)
Figure 2004040273
[0064]
The server, after receiving the encrypted electronic information encryption key (ESK), uses the same promised method generated by the client toSIs generated (step 924), and the symmetric key encryption algorithm is decrypted (g-1) To perform an electronic information encryption key (session key) (KD) Is extracted (step). Here, the decoding equation is shown in Expression 14.
[0065]
[Equation 14]
Figure 2004040273
[0066]
In the server, the steps 927 to 931 for transmitting the electronic information (D) to the client overlap with the parts described with reference to FIG.
FIG. 10 is a flowchart illustrating a process of transmitting encrypted electronic information of a client to a server according to an exemplary embodiment of the present invention.
Referring to FIG. 10, the server transmits an electronic information encryption key (session key) (KD) To the symmetric key encryption algorithm, the secret key of the symmetric keySAnd an electronic information encryption key (session key) (KD) Is performed and transmitted to the client together with the client authentication approval signal (step 1001).
The client transmits the encrypted electronic information encryption key (session key) (KD) After receiving K in the same promised manner generated by the server.SIs generated (step 1002), and then encryption (g-1) To perform the electronic information encryption key (session key) (KD) Is extracted (step 1003). Here, the decoding equation is represented by Expression 15.
[0067]
(Equation 15)
Figure 2004040273
[0068]
The client uses the electronic information encryption key (session key) (KD) Is used as a secret key of the symmetric key encryption algorithm to encrypt (g) the data (D) to be transmitted to the server (step 1005), and transmit the encrypted data (E) to the server (step 1005). Step 1007) is performed. Here, the above-mentioned encryption formula is expressed by Expression 16.
[0069]
(Equation 16)
Figure 2004040273
[0070]
After receiving the encrypted data (E), the server sends the electronic information encryption key (session key) (KD) To encrypt the symmetric key encryption algorithm (g-1) (Step 1009) to extract data (D) from the encrypted data (E). Here, the decoding equation is represented by Expression 17.
[0071]
[Equation 17]
Figure 2004040273
[0072]
Thereafter, the server processes the extracted data (D) (step 1011).
FIG. 11 is a view illustrating a configuration of a two-way data security system in a remote multimedia data monitoring system according to a preferred embodiment of the present invention.
Referring to FIG. 11, a monitoring system for securing remote multimedia data includes a monitoring server 1110, a network 1105, and a client 1130.
[0073]
The server 1110 of the monitoring system includes a video information collection unit 1111, an audio information collection unit 1112, a user data generation unit 1113, a multiplex unit 1114, a data conversion unit 1115, a compression unit 1117, an encryption / decryption unit 1118, a network connection unit 1120. , A general control unit 1116 and a data storage unit 1119.
The video information collecting unit 1111 functions to capture and output an external video, and includes a CCD camera, a video camera, and the like. The audio information collecting unit 1112 recognizes and outputs an external voice, and includes a microphone. Etc. The user data generation unit 1113 has a function of recognizing and outputting information such as external characters. The multiplex unit 1114 plays a role of selecting and outputting data desired by the user from the multimedia data input of the video information collecting unit 1111, the audio information collecting unit 1112, and the user data generating unit 1113.
The data conversion unit 1115 decodes the multimedia data output from the multiplex unit 1114 when necessary, using a method such as decoding, and outputs the decoded data to the compression unit 1117. The compression unit 1117 serves to compress and encode the video, audio, and user data input after being converted by the data conversion unit 1115.
The data encryption / decryption unit 1118 serves to encrypt and decrypt input data. Encryption is the use of complex algorithmic codes to protect personal information on a network, and decryption involves looking for the original of the encrypted information.
[0074]
In the server 1110, when encrypting and transmitting data to the client 1130, the data encryption / decryption unit 1118 uses an encryption algorithm such as DES (Data \ Encryption \ Standard) which is a symmetric key encryption method. Further, when the encrypted user data of the identifier and the password is transmitted at the client, the client performs a function of decoding them. The network connection unit 1120 transforms the data encrypted by the encryption / decryption unit 1118 into a packet such as TCP / IP and outputs the packet through the communication network 1105, or encrypts and decrypts the data input through the communication network 1105. The data is converted to a data format for encryption and output to the encryption / decryption unit 1118.
The data converted to TCP / IP of the communication network 1105 is directly connected to a LAN (Local Area Network) network, or connected to a PSTN network (Public Switched Telephone Network) through a modem, and is connected to a cable network or the like. And transmitted to the server 1110 and the client 1130. The integrated control unit 1116 is connected to the multiplex unit 1114, the compression unit 1117, and the encryption / decryption unit 1118 to provide control state information on the server side, or controls connection of the user by controlling a user identifier and a password. To prevent hacking and manage the presence or absence of a failure from the server side and these devices. The communication network 1105 is a communication network or a network for a subscriber such as the Internet to operate a web browser and connect to a website or a homepage to search and collect desired information. The client 1130 of the monitoring system includes a network connection unit 1132a,. . . 1132b (hereinafter, referred to as 1132), encryption / decryption units 1134a, 1134b (hereinafter, referred to as 1134), and user terminal devices 1136a, 1136b (hereinafter, referred to as 1136).
[0075]
The encryption / decryption unit 1118 decrypts the multimedia data encrypted by the server 1110 using an algorithm such as RSA (Rivest-Shamir-Adleman), which is an asymmetric key encryption system, when the multimedia data is transmitted. Perform the function of The user terminal device 1130 connects to the web server 1110 established in the communication network 1105 and monitors the operation mode of the video, audio, and data generation devices desired by the user by using the identifier and the password. Is connected to a communication network 1105 via a modem or a dedicated line via wired / wireless, so that a portable computer such as a notebook computer can be used. At this time, it is assumed that the client 1130 is provided with a multimedia player capable of decrypting the encrypted data transmitted from the server and executing the decrypted data in real time.
On the other hand, the data storage unit 1119 serves to store multimedia data encrypted by encryption and decryption in the server in a storage device such as an external memory or a hard disk. The encrypted data is transmitted in real time through the communication network 1105. When the user needs the data by storing it in the data storage unit 1119, the user can search and view the data at any time.
[0076]
FIG. 12 is a view showing a configuration of an integrated network surveillance camera having a security function according to still another preferred embodiment of the present invention.
Referring to FIG. 12, the network monitoring camera 1220 includes a video information collection unit 1221, an audio information collection unit 1222, a multiplex unit 1223, a data conversion unit 1224, a compression unit 1226, an encryption / decryption unit 1227, an integrated control unit 1225, It includes a selection unit 1228 and a network connection unit 1229.
The video information collecting unit 1221 serves to capture and output an external video, and includes a CCD camera, a video camera, and the like. The audio information collecting unit 1222 recognizes and outputs an external voice, and includes a microphone. Etc.
The multiplex unit 1223 plays a role of selecting and outputting data desired by a user from the multimedia data input of the video information collecting unit 1221 and the audio information collecting unit 1222.
[0077]
The data conversion unit 1224 decodes and converts the multimedia data output from the multiplex unit 1223 using a method such as decoding, and outputs the converted data to the compression unit 1226. The compression unit 1226 serves to compress and encode the video, audio, and user data input after being converted by the data conversion unit 1224.
The data encryption / decryption unit 1227 has a function of encrypting video and audio data of the server or decrypting user data using encrypted data transmitted from the client.
The integrated control unit 1225 provides state information for communication and control information of the internal circuit, and serves to prevent connection restriction and hacking by encryption.
[0078]
When transmitting data from the network camera 1228 to the user, the data selection unit 1220 selects from data compressed by the user's request for data encryption or data encrypted and decrypted, and Output to the network 1105. Conversely, when the network camera 1220 receives data from the network 1105, the compression unit 1226 or the encryption / decryption unit 1227 selectively receives input data in response to a request from the client for encryption. The network 1105 serves to transmit data at a remote location.
Clients 1210a and 1210b (hereinafter referred to as 1210) are connected to a network camera server having a built-in security function connected to the network 1105, and monitor a plurality of clients for operating states of desired video and audio data. User terminal device such as a computer or the like.
[0079]
13 to 15 are signal flowcharts illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention.
Referring to FIGS. 13, 14, 15 and 15, the terms used in the process of encrypting and decrypting data using a symmetric key algorithm and an asymmetric key algorithm in a data transmission / reception process based on a network will be described below. It is as follows.
D: Multimedia data
KD: Electronic information encryption key
KS Release, KS secret: Server public key and server private key
KC Release, KC secret: Client's public key and client's private key
f: Asymmetric key encryption algorithm
f-1: Asymmetric key decryption algorithm
g: Encryption algorithm of asymmetric key method
g-1: Asymmetric key decryption algorithm
h: Symmetric key cryptographic algorithm
h-1: Symmetric key decryption algorithm
[0080]
First, in step 1301, when a connection request signal is transmitted from a client to a server, the server receives the connection request signal. Upon receiving the connection request signal from the client, in step 1302 the server sends the public key (KS Release) Is generated, and then the generated server public key (KS Release) Is transmitted to the client (step 1303). In response, the client sends the server's public key (KS Release) To receive.
Thereafter, in the client, the identifier (ID) and password input by the user and the public key (KS Release) And the client private key (KC secret), The identifier (ID) and the password are encrypted using the asymmetric key encryption algorithm (f) (step 1304). The encryption formula is shown in the following equation (18).
[0081]
(Equation 18)
Figure 2004040273
[0082]
Here, F is an encrypted identifier (ID) and password, where ID is an identifier, password is a password, and $ KS ReleaseIs the server's public key, KC secretDenotes a client secret key and f denotes an asymmetric key encryption algorithm. The identifier and the password become information to be encrypted. It is desirable to encrypt the identifier and the password after the primary processing (function e).
When the client receives the encrypted identifier (ID), password and client public key (KC Release) Is transmitted to the server (step 1305), and after receiving this, the server performs step 1306. Client public key (KC Release) Is the client private key (KC secret) Can be transmitted at the same time as the identifier and the password or at a different time. Client public key (KC Release) Is for use in the asymmetric key decryption process described later.
Step 1306 is a process of decrypting the encrypted identifier (ID) and password. Through this process, the identifier and password input by the user can be extracted. The decoding process is shown in Equation 19 below.
[0083]
[Equation 19]
Figure 2004040273
[0084]
Here, the ID, password, F, KS secret, KC Release, F-1Is the same as described above.
In another preferred embodiment of the present invention, a step of restoring the original state (function e) of the identifier and the password after performing Equation 19 may be added.
Here, the server compares the user information set in advance using the user identifier and the password extracted as described above (here, the user information includes at least the user identifier and the password) to determine whether the same. Judge whether or not.
If not, the server can transmit an error message to the client.
Thereafter, the server sends the electronic information encryption key (KD) Is selected (step 1307).
Electronic information encryption key (KDThere are various methods for selecting ()), but in the preferred embodiment of the present invention, the selection is made at random.
Thereafter, the server sends the electronic information encryption key (KD) Is transmitted to the client (step 1308). This is shown in Equation 20 below.
[0085]
(Equation 20)
Figure 2004040273
[0086]
Here, G is the result of encrypting the electronic information encryption key, and g, KD, KC Release, KS secretIs the same as described above.
Thereafter, the server sends the encrypted electronic information encryption key (KD) Is transmitted to the client (step 1309). After receiving this, the client performs a decryption process and performs the electronic information encryption key (KD) Is extracted (step 1310). The decoding process is represented by Equation 21 below.
[0087]
(Equation 21)
Figure 2004040273
[0088]
Where KD, G-1, G, KC secret, KS ReleaseIs the same as described above, and the description is omitted.
After that, the server performs symmetric key encryption for transmitting the electronic information (D) (step 1501). A description of the symmetric key encryption is shown in Expression 22.
[0089]
(Equation 22)
Figure 2004040273
[0090]
Here, E is the result of encrypting the electronic information, h, D and KDIs the same as described above, and a description thereof will be omitted.
Next, the server encrypts the electronic information (D) with a symmetric key, and transmits the encrypted electronic information to the client (step 1311 and step 1312). After receiving the encrypted electronic information, the client can extract the electronic information by performing a decryption process (step 1313). The decoding process is represented by Equation 22 below.
[0091]
[Equation 23]
Figure 2004040273
[0092]
Where D, h-1, E and KDIs the same as described above, and a description thereof will be omitted.
As described above, in the present invention, the ID and the password are transmitted by the asymmetric key encryption method, and the electronic information encryption key (KD) Is also encrypted with an asymmetric encryption algorithm and transmitted, and then the electronic information (D) to be transmitted is encrypted with a symmetric key and transmitted. At this time, the electronic information encryption key (KD) Can be switched at any time, so that it can be prevented from being stolen by others.
It is needless to say that the present invention is not limited to the above-described embodiments, and that various modifications can be made by those having ordinary knowledge in the art within the spirit of the present invention.
[0093]
【The invention's effect】
As described above, according to the present invention, in the process of transmitting and receiving data through a network, the server and the user can communicate only with the password of the user previously hidden and shared between the server and the user. Authentication and distribution / registration of an electronic information encryption key, and the transmission / reception data can be encrypted / decrypted using the electronic information encryption key as a secret key of a target key encryption algorithm.
In particular, use of a symmetric key cryptographic algorithm or a hash algorithm with low computational complexity does not use public key-based cryptographic algorithms, which require high computational complexity and require public key authentication. Multimedia data between the server and the client using the target key (electronic information encryption key, session key) distributed by the symmetric key encryption algorithm, or Control data and the like can be encrypted by a symmetric key encryption algorithm and transmitted and received in both directions.
Also, according to the present invention, in the process of transmitting and receiving data through a network, it is possible to prevent unauthorized unauthorized stealing of the electronic information provided by the server by an unauthorized person, and in the process of transmitting and receiving data through the network, When data that needs to be maintained must be transmitted, information leakage can be prevented.
[Brief description of the drawings]
FIG. 1 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to a preferred embodiment of the present invention.
FIG. 2 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to a preferred embodiment of the present invention.
FIG. 3 is a diagram showing a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 4 is a diagram schematically illustrating a server and a client that transmit and receive data based on a network according to another embodiment of the present invention;
FIG. 5 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 6 is a diagram illustrating a configuration of a data security system in a network camera, a home gateway, and a home automation device according to another preferred embodiment of the present invention.
FIG. 7 is a signal flowchart showing a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to a preferred embodiment of the present invention. .
FIG. 8 is a signal flowchart illustrating a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to another preferred embodiment of the present invention. is there.
FIG. 9 is a signal flowchart showing a process of encrypting and transmitting electronic information transmitted between a server and a client, which are a network camera, a home gateway, and a home automation device, according to still another preferred embodiment of the present invention. It is.
FIG. 10 is a flowchart illustrating a process of transmitting encrypted electronic information of a client to a server according to an exemplary embodiment of the present invention.
FIG. 11 is a diagram illustrating a configuration of a two-way data security system in a remote multimedia data monitoring system according to a preferred embodiment of the present invention;
FIG. 12 is a diagram showing a configuration of an integrated network surveillance camera having a security function according to still another preferred embodiment of the present invention.
FIG. 13 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to a preferred embodiment of the present invention.
FIG. 14 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention;
FIG. 15 is a signal flowchart illustrating a process of transmitting and receiving data between a server and a client based on a network according to an embodiment of the present invention;
[Explanation of symbols]
101 server
102a, 102b client
103 Encryption / Decryption Unit
105 Trial value generator
107 control unit
109 database
111 input / output unit
113 network
117a, 117b input / output unit
119a, 119b {encryption / decryption unit
121a, 121b control unit
120a, 120b response value generation unit
201 server
203a, 203b @ Client
204 network
205 Video information collection unit
207 Voice information collection unit
209 User data generator
211 Automation control unit
213 Multiplex section
215 Data conversion unit
217 control unit
219 compression section
221 Trial value generator
223 Encryption / decryption unit
225 input / output unit
229a, 229b input / output unit
231a, 231b {encryption / decryption unit
232a, 232b response value generation unit
233a, 233b control unit
301 Data storage unit
1010a, 1010b trial value generation unit
1030a, 1030b response value generation unit
1005 response value generator
1019 Response value generator
502a, 502b @ trial value generation unit
503a, 503b response value generation unit
1128 Response value generator
602a, 602b @ trial value generation unit
1120a, 1120b response value generation unit

Claims (31)

ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間のネットワークを基にしたデータ伝送の保安を維持する方法において、
クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として、前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報鍵を前記クライアントに伝送するステップと、
前記電子情報暗号化鍵を要素として、電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
Generating a server attempt value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Calculating a response value expected from the client with the password and the trial value corresponding to the ID, and comparing and authenticating the response value with the response value of the client received from the client;
If the authentication result is valid, generating an electronic information encryption key;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key into a symmetric key encryption algorithm using the secret key as an element,
Transmitting the encrypted electronic information key to the client;
Encrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information. 前記試み値は、乱数(Random Number)、順番(Sequence Number)、時刻テーブル(Time stamp)の中、いずれかであることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The network camera, home gateway and home automation device according to claim 1, wherein the trial value is one of a random number (Random @ Number), an order (Sequence @ Number), and a time table (Time @ stamp). Basic data security maintenance method. 前記クライアントの応答値は、前記パスワード及び前記サーバの試み値が適用されたハッシュ関数であることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method as claimed in claim 1, wherein the response value of the client is a hash function to which the password and the trial value of the server are applied. 前記クライアントの応答値は、前記クライアントのパスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The basics of claim 1, wherein the response value of the client is a hash function with a secret key to which the password of the client and the trial value of the server are applied. Data security maintenance method. 前記クライアントの応答値は、前記クライアントのパスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The basic data security of a network camera, a home gateway and a home automation device according to claim 1, wherein the response value of the client is a symmetric key encryption algorithm to which the password of the client and the trial value of the server are applied. How to maintain. 前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードであることを特徴とする請求項3ないし5の中、いずれかの記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The network camera, home gateway and home automation according to any one of claims 3 to 5, wherein the password is a password of a client previously hidden and shared between the server and the client. Basic data security maintenance method for equipment. 前記IDは、前記クライアントの応答値と同時に、または、時を異にして受信することができることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method as claimed in claim 1, wherein the ID can be received simultaneously or at a different time from the response value of the client. 前記ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法は、
前記クライアントにクライアント認証承認信号を伝送するステップを更に含むことを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The network camera, the home gateway and the method of maintaining the basic data security of the home automation device,
2. The method of claim 1, further comprising transmitting a client authentication approval signal to the client. 前記電子情報暗号鍵は、電子情報の対称鍵暗号化及び対称鍵復号化に使用されることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method according to claim 1, wherein the electronic information encryption key is used for symmetric key encryption and decryption of electronic information. 前記電子情報暗号鍵は、ランダムに選択されることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The method according to claim 1, wherein the electronic information encryption key is selected at random. 前記電子情報暗号鍵は、予め決まった時間毎に、または、必要な場合に更新して生成されることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The basic data security maintenance of a network camera, a home gateway and a home automation device according to claim 1, wherein the electronic information encryption key is generated at predetermined time intervals or updated when necessary. Method. 前記秘密鍵は、電子情報暗号鍵の暗号化に必要な対称鍵暗号アルゴリズムの秘密鍵であることを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method according to claim 1, wherein the secret key is a secret key of a symmetric key encryption algorithm required for encrypting an electronic information encryption key. 前記秘密鍵は、試み値及びパスワードを相互約束された方法により加工し、生成することを特徴とする請求項1記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。2. The method as claimed in claim 1, wherein the secret key is generated by processing a trial value and a password by a mutually agreed method. 前記クライアントは、前記クライアント認証承認信号に応じて暗号化された電子情報暗号鍵を復号化し、電子情報暗号鍵の抽出に必要な秘密鍵を生成することを特徴とする請求項8記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。9. The network camera according to claim 8, wherein the client decrypts the encrypted electronic information encryption key in response to the client authentication approval signal and generates a secret key required for extracting the electronic information encryption key. , Home gateway and home automation equipment basic data security maintenance method. 前記秘密鍵は、対称鍵暗号アルゴリズムの秘密鍵であることを特徴とする請求項14記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method according to claim 14, wherein the secret key is a secret key of a symmetric key encryption algorithm. 前記秘密鍵は、サーバの試み値及びパスワードを相互約束された方法により加工し、生成されることを特徴とする請求項14記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The method as claimed in claim 14, wherein the secret key is generated by processing a trial value and a password of the server by a mutually agreed method. ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアント相互間にネットワークを基にしたデータ伝送の保安を維持する方法において、
クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記クライアントからクライアントの試み値を受信するステップと、
前記IDに応ずるパスワード及び前記サーバの試み値で前記クライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、サーバの応答値を生成するステップと、
前記サーバの応答値をクライアントに伝送するステップと、
前記クライアントからサーバ認証承認信号を受信するステップと、
前記サーバ認証承認信号に応じて電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報暗号鍵を前記クライアントに伝送するステップと、前記電子情報暗号鍵を要素にして電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method for maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device,
Generating a server attempt value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Receiving a client attempt value from the client;
Calculating a response value expected from the client with a password corresponding to the ID and a trial value of the server, and comparing and authenticating with a response value of the client received from the client;
Generating a server response value if the authentication result is valid;
Transmitting a response value of the server to a client;
Receiving a server authentication approval signal from the client;
Generating an electronic information encryption key in response to the server authentication approval signal;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information encryption key to the client; andencrypting the electronic information to a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information. 前記サーバの試み値及びクライアントの試み値は、乱数(RandomNumber)、順番(Sequence Number)、時刻テーブル(Time stamp)の中、いずれかであることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The network camera according to claim 17, wherein the trial value of the server and the trial value of the client are any of a random number (RandomNumber), an order (Sequence @ Number), and a time table (Time @ stamp). Gateway and home automation equipment basic data security maintenance method. 前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用された秘密鍵を伴うハッシュ関数であることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。The network camera, home gateway and home automation apparatus according to claim 17, wherein the response value of the server and the response value of the client are a hash function with a password and a secret key to which the trial value of the server is applied. Basic data security maintenance method. 前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用されたハッシュ関数であることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The basic data security of a network camera, a home gateway, and a home automation device according to claim 17, wherein the response value of the server and the response value of the client are a hash function to which a password and an attempt value of the server are applied. How to maintain. 前記サーバの応答値及びクライアントの応答値は、パスワード及び前記サーバの試み値が適用された対称鍵暗号アルゴリズムであることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The basics of a network camera, a home gateway and a home automation apparatus according to claim 17, wherein the response value of the server and the response value of the client are a symmetric key encryption algorithm to which a password and an attempt value of the server are applied. Data security maintenance method. 前記パスワードは、前記サーバとクライアントとの間で予め隠して共有しているクライアントのパスワードであることを特徴とする請求項19ないし21の中、いずれかの記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。22. The network camera according to claim 19, wherein the password is a password of a client previously hidden and shared between the server and the client. Basic data security maintenance method for equipment. 前記ID及び前記クライアントの試み値は、前記クライアントの応答値と同時に、または、時を異にして受信することができることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The basics of a network camera, a home gateway and a home automation apparatus according to claim 17, wherein the ID and the trial value of the client can be received simultaneously or at a different time from the response value of the client. Data security maintenance method. 前記サーバ認証承認信号は、前記クライアントがパスワード及び前記クライアントの試み値でサーバから期待される応答値を計算し、前記サーバの応答値と比較認証した結果であることを特徴とする請求項17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The server authentication approval signal according to claim 17, wherein the server calculates a response value expected from the server based on the password and the trial value of the client, and compares and authenticates the response value with the response value of the server. Method for maintaining basic data of network cameras, home gateways and home automation devices. 前記電子情報暗号鍵は、前記クライアントが生成することを特徴とする請求項1、または、17記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。18. The method as claimed in claim 1, wherein the electronic information encryption key is generated by the client. 前記クライアントは、前記電子情報暗号鍵の暗号化に必要な対称鍵暗号アルゴリズムの秘密鍵を生成することを特徴とする請求項25記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。26. The method according to claim 25, wherein the client generates a secret key of a symmetric key encryption algorithm necessary for encrypting the electronic information encryption key. . 前記電子情報暗号鍵は、ランダムに選択されることを特徴とする請求項25記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。26. The method as claimed in claim 25, wherein the electronic information encryption key is randomly selected. 前記電子情報暗号鍵は、予め決まった時間毎に、または、必要な場合に更新して生成されることを特徴とする請求項25記載のネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。26. The basic data security maintenance of a network camera, a home gateway and a home automation device according to claim 25, wherein the electronic information encryption key is generated at predetermined time intervals or updated when necessary. Method. ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間のネットワークを基にしたデータ伝送の保安を維持する方法において、
プログラムが格納されているメモリと、
前記メモリに結合されて前記プログラムを実行するプロセッサを含み、かつ、前記プロセッサは前記プログラムにより、クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記IDに応ずるパスワード及び前記試み値でクライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報暗号鍵を前記クライアントに伝送するステップと、前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持方法。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
A memory where the program is stored,
A processor coupled to the memory for executing the program, and wherein the processor generates, by the program, a server trial value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Calculating a response value expected from the client with the password and the trial value corresponding to the ID, and comparing and authenticating the response value with the response value of the client received from the client;
If the authentication result is valid, generating an electronic information encryption key;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information encryption key to the client; andencrypting the electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
The client extracts an electronic information encryption key from the encrypted electronic information encryption key received, and performs symmetric key decryption of the received encrypted electronic information by using the extracted electronic information encryption key as an element. A method for maintaining basic data security of a network camera, a home gateway, and a home automation device, characterized by extracting information. ネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置のサーバとクライアントとの相互間のネットワークを基にしたデータ伝送の保安を維持する方法において、
プログラムが格納されているメモリと、
前記メモリに結合されて前記プログラムを実行するプロセッサを含み、かつ、前記プロセッサは前記プログラムにより、クライアントの接続要求信号に応じてサーバの試み値を生成するステップと、
前記生成したサーバの試み値を前記クライアントに伝送するステップと、
前記クライアントからクライアントの応答値を受信するステップと、
前記クライアントからIDを受信するステップと、
前記クライアントからクライアントの試み値を受信するステップと、
前記IDに応ずるパスワード及び前記サーバの試み値で前記クライアントから期待される応答値を計算し、前記クライアントから受信したクライアントの応答値と比較認証するステップと、
前記認証結果が有効であれば、サーバの応答値を生成するステップと、
前記サーバの応答値をクライアントに伝送するステップと、
前記クライアントからサーバ認証承認信号を受信するステップと、
前記サーバ認証承認信号に応じて電子情報暗号鍵を生成するステップと、
前記電子情報暗号鍵を暗号化する秘密鍵を生成するステップと、
前記秘密鍵を要素として前記電子情報暗号鍵を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップと、
前記電子情報暗号鍵を要素として電子情報を対称鍵暗号アルゴリズムに暗号化するステップと、
前記暗号化された電子情報を前記クライアントに伝送するステップとを含み、かつ、
クライアントが受信した暗号化された電子情報暗号鍵から電子情報暗号鍵を抽出し、該抽出した電子情報暗号鍵を要素として、前記受信した暗号化された電子情報の対称鍵復号化を行って電子情報を抽出することを特徴とするネットワークカメラ、ホームゲートウェイ及びホームオートメーション装置の基礎データ保安維持システム。A method of maintaining security of network-based data transmission between a server and a client of a network camera, a home gateway and a home automation device, comprising:
A memory where the program is stored,
A processor coupled to the memory for executing the program, and wherein the processor generates, by the program, a server trial value in response to a client connection request signal;
Transmitting the generated server trial value to the client;
Receiving a response value of the client from the client;
Receiving an ID from the client;
Receiving a client attempt value from the client;
Calculating a response value expected from the client with a password corresponding to the ID and a trial value of the server, and comparing and authenticating with a response value of the client received from the client;
Generating a server response value if the authentication result is valid;
Transmitting a response value of the server to a client;
Receiving a server authentication approval signal from the client;
Generating an electronic information encryption key in response to the server authentication approval signal;
Generating a secret key for encrypting the electronic information encryption key;
Encrypting the electronic information encryption key as a symmetric key encryption algorithm with the secret key as an element,
Transmitting the encrypted electronic information to the client;
Encrypting electronic information into a symmetric key encryption algorithm using the electronic information encryption key as an element,
Transmitting the encrypted electronic information to the client; and
An electronic information encryption key is extracted from the encrypted electronic information encryption key received by the client, and the extracted electronic information encryption key is used as an element to perform symmetric key decryption of the received encrypted electronic information to obtain an electronic information. A basic data security maintenance system for a network camera, a home gateway, and a home automation device, which extracts information. ネットワークを基にするデータ伝送の保安を維持する方法において、
クライアントからクライアント公開鍵を受信するステップと、
データ暗号鍵を生成するステップと、
前記クライアント公開鍵及びサーバ秘密鍵を用いて前記データ暗号鍵を非対称鍵暗号化するステップと、
前記暗号化したデータ暗号鍵を前記クライアントに伝送するステップと、
前記データ暗号鍵を用いて電子情報を対称鍵暗号化するステップと、
前記暗号化した電子情報を前記クライアントに伝送するステップとを含むことを特徴とするネットワークの基礎データ保安維持方法。In a method for maintaining security of data transmission based on a network,
Receiving a client public key from the client;
Generating a data encryption key;
Asymmetric key encryption of the data encryption key using the client public key and the server private key,
Transmitting the encrypted data encryption key to the client;
Symmetric key encryption of the electronic information using the data encryption key,
Transmitting the encrypted electronic information to the client.
JP2002191557A 2002-07-01 2002-07-01 Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus Pending JP2004040273A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002191557A JP2004040273A (en) 2002-07-01 2002-07-01 Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002191557A JP2004040273A (en) 2002-07-01 2002-07-01 Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus

Publications (1)

Publication Number Publication Date
JP2004040273A true JP2004040273A (en) 2004-02-05

Family

ID=31701089

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002191557A Pending JP2004040273A (en) 2002-07-01 2002-07-01 Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus

Country Status (1)

Country Link
JP (1) JP2004040273A (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100561488B1 (en) 2004-08-02 2006-03-17 (주)아이트로닉스 Security system having the security camera with encryption circuit and setting up method of password key said system
JP2013539248A (en) * 2010-06-22 2013-10-17 エントロピック・コミュニケーションズ・インコーポレイテッド Secure node authorization in communication networks
KR20140118014A (en) 2013-03-27 2014-10-08 삼성테크윈 주식회사 Method for authenticating client
CN105681253A (en) * 2014-11-18 2016-06-15 北京海尔广科数字技术有限公司 Data encryption transmission method, equipment and gateway in centralized network
CN113783687A (en) * 2021-09-07 2021-12-10 浙江吉利控股集团有限公司 Method and system for generating, encrypting and decrypting electronic anti-theft code of automobile
CN116405734A (en) * 2023-06-08 2023-07-07 深圳奥联信息安全技术有限公司 Data transmission method and system for ensuring data security

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100561488B1 (en) 2004-08-02 2006-03-17 (주)아이트로닉스 Security system having the security camera with encryption circuit and setting up method of password key said system
JP2013539248A (en) * 2010-06-22 2013-10-17 エントロピック・コミュニケーションズ・インコーポレイテッド Secure node authorization in communication networks
KR20140118014A (en) 2013-03-27 2014-10-08 삼성테크윈 주식회사 Method for authenticating client
US9986276B2 (en) 2013-03-27 2018-05-29 Hanwha Techwin Co., Ltd. Authentication system and method of operating the same
CN105681253A (en) * 2014-11-18 2016-06-15 北京海尔广科数字技术有限公司 Data encryption transmission method, equipment and gateway in centralized network
CN105681253B (en) * 2014-11-18 2019-03-22 青岛海尔科技有限公司 Data encryption and transmission method, equipment, gateway in centralized network
CN113783687A (en) * 2021-09-07 2021-12-10 浙江吉利控股集团有限公司 Method and system for generating, encrypting and decrypting electronic anti-theft code of automobile
CN113783687B (en) * 2021-09-07 2023-08-29 浙江吉利控股集团有限公司 Method and system for generating, encrypting and decrypting automobile electronic anti-theft code
CN116405734A (en) * 2023-06-08 2023-07-07 深圳奥联信息安全技术有限公司 Data transmission method and system for ensuring data security
CN116405734B (en) * 2023-06-08 2023-08-25 深圳奥联信息安全技术有限公司 Data transmission method and system for ensuring data security

Similar Documents

Publication Publication Date Title
US7769997B2 (en) System, method and computer program product for guaranteeing electronic transactions
US6874089B2 (en) System, method and computer program product for guaranteeing electronic transactions
US9055047B2 (en) Method and device for negotiating encryption information
JP4336317B2 (en) Authentication apparatus and method for devices constituting home network
US6215878B1 (en) Group key distribution
CN108599925B (en) Improved AKA identity authentication system and method based on quantum communication network
TWI313996B (en) System and method for secure remote access
US8315386B2 (en) Method and apparatus for performing VoIP-based communication using bio keys
CN104113409B (en) The key management method and system of a kind of SIP video monitoring networkings system
WO2003047158A1 (en) A system and method to provide enhanced security in a wireless local area network system
WO2010078755A1 (en) Method and system for transmitting electronic mail, wlan authentication and privacy infrastructure (wapi) terminal thereof
CN101958907A (en) Method, system and device for transmitting key
CN101420587A (en) Network video collecting device, network video monitoring system and method
WO2018002856A1 (en) Systems and methods for authenticating communications using a single message exchange and symmetric key
KR100789354B1 (en) Method and apparatus for mataining data security on network camera, home gateway and home automation
JP2003143128A (en) Communication system and communication method
CN114143050A (en) Video data encryption system
JP2004040273A (en) Data security maintaining method and apparatus in network camera, home gateway, and home automation apparatus
CN112953724B (en) Authentication method of anti-theft chain, and related device and equipment
JP2009065226A (en) Authenticated key exchange system, authenticated key exchange method and program
CN114826659A (en) Encryption communication method and system
JPH0981523A (en) Authentication method
TWI313995B (en) Content protection method
KR20000059049A (en) Method and system for preserving data based on network
KR100381710B1 (en) Method For Security In Internet Server Based Upon Membership Operating System And Server Systems Regarding It

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20031217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040316

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20040405