JP2009239846A - Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus - Google Patents
Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus Download PDFInfo
- Publication number
- JP2009239846A JP2009239846A JP2008086665A JP2008086665A JP2009239846A JP 2009239846 A JP2009239846 A JP 2009239846A JP 2008086665 A JP2008086665 A JP 2008086665A JP 2008086665 A JP2008086665 A JP 2008086665A JP 2009239846 A JP2009239846 A JP 2009239846A
- Authority
- JP
- Japan
- Prior art keywords
- data
- encryption
- decryption
- encryption key
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Landscapes
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Description
暗号化装置で暗号化した暗号文を復号する場合に、暗号文の復号鍵を指定することなく、復号装置側で暗号文を復号できる技術に関する。 The present invention relates to a technique capable of decrypting a ciphertext on the decryption device side without specifying a decryption key of the ciphertext when decrypting the ciphertext encrypted by the encryption device.
デジタル化社会の到来を受けて、認証やデータ送信など様々な分野でデータの暗号化技術が利用されている。データを暗号化して利用する場合は、データを暗号化する暗号装置とデータを復号する復号装置とは独立して設置されることが多く、ネットワーク或いはデータ記憶メディアによって、復号装置側に入力される暗号文を復号する際は、暗号文を復号する復号鍵を直接的に指定するデータを復号装置側に送信することが必要であった。 With the advent of the digital society, data encryption technology is used in various fields such as authentication and data transmission. When data is encrypted and used, an encryption device for encrypting data and a decryption device for decrypting data are often installed independently, and are input to the decryption device by a network or a data storage medium. When decrypting a ciphertext, it is necessary to transmit data directly specifying a decryption key for decrypting the ciphertext to the decryption apparatus side.
例えば、半導体集積回路を実装したICカードを利用したICカードシステムにおいては、非特許文献1に記載されているように、ICカードに記憶されるデータファイルを、暗号鍵以外のデータを記憶するデータファイル(WEF)と暗号鍵を記憶するデータファイル(IEF)とに区別し、それぞれのデータファイルにファイルIDが付与され、端末装置から、IEFのファイルIDによって、暗号文の復号に利用される復号鍵が直接的に指定される。
For example, in an IC card system using an IC card on which a semiconductor integrated circuit is mounted, as described in Non-Patent
しかしながら、暗号文の復号に利用する復号鍵を直接的に指定するデータ、例えば、ファイルIDが漏洩してしまうと、データ復号装置に記憶されている復号鍵の中から、暗号文の復号に利用する復号鍵が特定できるため、DPA攻撃も含め、様々な暗号鍵解読攻撃を復号鍵が受けてしまう可能性がある。
そこで、本発明は、データの復号に利用する復号鍵を直接的に指定するデータ(例えば、ファイルID)を復号装置側に受け渡さなくとも、データ復号装置に記憶されている復号鍵の中から、暗号文の復号に利用する復号鍵を特定できるデータ暗号化復号方法、データ暗号化復号システム、データ暗号化装置およびデータ復号装置を提供することを目的とする。 Therefore, the present invention can select from among the decryption keys stored in the data decryption device without passing the data (for example, file ID) directly specifying the decryption key used for data decryption to the decryption device. An object of the present invention is to provide a data encryption / decryption method, a data encryption / decryption system, a data encryption device, and a data decryption device that can specify a decryption key used for decrypting a ciphertext.
上述した課題を解決する第1の発明は、データ暗号化装置が、データオブジェクトを暗号化するときに利用したデータ暗号鍵を用い、所定の暗号アルゴリズムに従い、指定された素データから暗号鍵認証コードを生成するステップa1が実行されるデータ暗号化工程と、データ復号装置が、前記データ復号装置が記憶しているデータ復号鍵それぞれを用いて、所定の検証アルゴリズムに従い、前記素データから前記暗号鍵認証コードを生成することができるか検証するステップb1、前記暗号鍵認証コードの検証に成功した一つの前記データ復号鍵を用いて、前記データオブジェクトの暗号文を復号するステップb2が実行されるデータ復号工程と、を含むことを特徴とするデータ暗号化復号方法である。 According to a first invention for solving the above-described problem, a data encryption device uses a data encryption key used when encrypting a data object, and uses an encryption key authentication code from specified raw data according to a predetermined encryption algorithm. And a data encryption step in which step a1 is generated, and the data decryption device uses the data decryption key stored in the data decryption device according to a predetermined verification algorithm to generate the encryption key from the raw data. Data in which step b1 for verifying whether an authentication code can be generated, step b2 for decrypting the ciphertext of the data object using one data decryption key that has been successfully verified for the encryption key authentication code A data encryption / decryption method comprising: a decryption step.
更に、第2の発明は、第1の発明に記載のデータ暗号化復号方法であって、前記データ暗号化工程において、前記データ暗号化装置は複数の前記データ暗号鍵を記憶し、前記ステップa1の前に、前記データ暗号化装置が記憶している複数の前記データ暗号鍵の中から、前記データオブジェクトの暗号化および前記暗号鍵認証コードの生成に利用する前記データ暗号鍵をランダムに選択するステップa0が実行されることを特徴とするデータ暗号化復号方法である。 Furthermore, the second invention is the data encryption / decryption method according to the first invention, wherein in the data encryption step, the data encryption device stores a plurality of the data encryption keys, and the step a1 Before the data encryption device, the data encryption key used for encryption of the data object and generation of the encryption key authentication code is randomly selected from the plurality of data encryption keys stored in the data encryption device The data encryption / decryption method is characterized in that step a0 is executed.
更に、第3の発明は、データ暗号鍵を用いて、データオブジェクトを暗号化するデータ暗号手段と、前記データオブジェクトを暗号化した前記データ暗号鍵を用い、所定の暗号アルゴリズムに従い、指定された素データから暗号鍵認証コードを生成する暗号鍵認証コード生成手段と、を備えたデータ暗号装置と、複数のデータ復号鍵を記憶し、それぞれの前記データ復号鍵を用いて、所定の検証アルゴリズムに従い、前記素データから前記暗号鍵認証コードが生成できるか検証し、検証に成功した一つの前記データ復号鍵を選択するデータ復号鍵選択手段と、前記データ復号鍵選択手段が選択した前記データ復号鍵を用いて、入力された前記データオブジェクトの暗号文を復号するデータ復号手段と、を備えたデータ復号装置と、から少なくとも構成されるデータ暗号化復号システムである。 Furthermore, a third invention uses a data encryption means for encrypting a data object using a data encryption key, and uses the data encryption key for encrypting the data object, and specifies a specified element according to a predetermined encryption algorithm. An encryption key authentication code generating means for generating an encryption key authentication code from the data, storing a plurality of data decryption keys, and using each of the data decryption keys according to a predetermined verification algorithm, Verify whether the encryption key authentication code can be generated from the raw data, and select a data decryption key selection unit that selects one data decryption key that has been successfully verified, and the data decryption key selected by the data decryption key selection unit And a data decryption device comprising: a data decryption means for decrypting a ciphertext of the input data object. It is also configured data encryption decryption system.
更に、第4の発明は、第3の発明に記載のデータ暗号化復号システムであって、前記データ暗号化装置は、複数の前記データ暗号鍵を記憶し、更に、記憶している複数の前記データ暗号鍵の中から、前記データオブジェクトの暗号化および前記暗号鍵認証コードの生成に利用する前記データ暗号鍵をランダムに選択するデータ暗号鍵選択手段を備えていることを特徴とするデータ暗号化復号システムである。 Furthermore, a fourth invention is the data encryption / decryption system according to the third invention, wherein the data encryption device stores a plurality of the data encryption keys, and further stores a plurality of the stored data encryption keys. Data encryption characterized by comprising data encryption key selection means for randomly selecting the data encryption key used for encryption of the data object and generation of the encryption key authentication code from among the data encryption keys Decoding system.
更に、第5の発明は、データ暗号鍵を用いて、指定されたデータオブジェクトを暗号化するデータ暗号手段と、前記データオブジェクトを暗号化した前記データ暗号鍵を用い、所定の暗号アルゴリズムに従い、指定された素データから暗号鍵認証コードを生成する暗号鍵認証コード生成手段と、を備えたデータ暗号装置である。 Further, the fifth invention uses a data encryption means for encrypting a specified data object using a data encryption key, and uses the data encryption key for encrypting the data object to specify according to a predetermined encryption algorithm. And a cryptographic key authentication code generating means for generating a cryptographic key authentication code from the raw data.
更に、第6の発明は、第5の発明に記載のデータ暗号装置において、前記データ暗号化装置は、複数の前記データ暗号鍵を記憶し、更に、記憶している複数の前記データ暗号鍵の中から、前記データオブジェクトの暗号化および前記暗号鍵認証コードの生成に利用する前記データ暗号鍵をランダムに選択するデータ暗号鍵選択手段を備えていることを特徴とするデータ暗号化装置である。 Furthermore, a sixth invention is the data encryption device according to the fifth invention, wherein the data encryption device stores a plurality of the data encryption keys, and further stores a plurality of the stored data encryption keys. A data encryption apparatus comprising data encryption key selection means for randomly selecting the data encryption key used for encryption of the data object and generation of the encryption key authentication code.
更に、第7の発明は、複数のデータ復号鍵を記憶し、それぞれの前記データ復号鍵を用いて、所定の検証アルゴリズムに従い、前記素データから前記暗号鍵認証コードが生成できるか検証し、検証に成功した一つの前記データ復号鍵を選択するデータ復号鍵選択手段と、前記データ復号鍵選択手段が選択した前記データ復号鍵を用いて、入力された前記データオブジェクトの暗号文を復号するデータ復号手段と、を備えたデータ復号装置である。 Further, the seventh invention stores a plurality of data decryption keys, verifies whether the encryption key authentication code can be generated from the raw data according to a predetermined verification algorithm using each of the data decryption keys, and verifies A data decryption key selection means for selecting one of the data decryption keys that has succeeded, and a data decryption for decrypting the ciphertext of the input data object using the data decryption key selected by the data decryption key selection means And a data decoding device.
上述した本発明によれば、データ暗号装置が生成する暗号鍵認証コードは、データオブジェクトの暗号化に利用したデータ暗号鍵を用いて素データから生成されるため、データ複合装置が記憶しているデータ複合鍵それぞれを用いて、素データから暗号鍵認証コードが生成できるか検証し、検証に成功したデータ復号鍵は、データオブジェクトの暗号化に利用したデータ暗号鍵と対になるデータ復号鍵になるため、データオブジェクトの復号に利用するデータ復号鍵を直接的に指定するデータ(例えば、ファイルID)をデータ復号装置側に受け渡さなくとも、データ復号装置側で、複数のデータ復号鍵の中から、一つのデータ復号鍵を選択できるようになる。 According to the above-described present invention, the encryption key authentication code generated by the data encryption device is generated from the raw data using the data encryption key used for encrypting the data object, and therefore stored in the data composite device. Each data composite key is used to verify whether an encryption key authentication code can be generated from the raw data. The data decryption key that has been successfully verified is used as the data decryption key that is paired with the data encryption key that was used to encrypt the data object. Therefore, even if data (for example, a file ID) directly specifying a data decryption key used for decrypting a data object is not passed to the data decryption device, the data decryption device has a plurality of data decryption keys. Thus, one data decryption key can be selected.
また、データ暗号装置が記憶している複数のデータ暗号鍵の中から、一つのデータ暗号鍵をランダムに選択して利用することで、データオブジェクトを暗号化するデータ暗号鍵は一意に定まることはなくなるため、暗号化されたデータオブジェクトが復号される可能性は低減される。 In addition, by randomly selecting and using one data encryption key from a plurality of data encryption keys stored in the data encryption device, the data encryption key for encrypting the data object is uniquely determined. This eliminates the possibility of decrypting the encrypted data object.
ここから、本発明に係るデータ暗号復号方法、データ暗号化復号システム、データ暗号化装置、データ復号装置およびコンピュータプログラムについて、図を参照しながら詳細に説明する。 The data encryption / decryption method, data encryption / decryption system, data encryption apparatus, data decryption apparatus, and computer program according to the present invention will be described in detail with reference to the drawings.
図1は、本発明に係るデータ暗号化復号システムが適用されたカメラ映像記録システム1を説明する図で、図1のカメラ映像記録システム1には、監視カメラや車載カメラなどのCCDカメラ30と、本発明に係るデータ暗号化装置として機能する映像処理装置10と、映像処理装置10によって暗号化された映像ファイルが記憶されるネットワークアタッチトストレージ40(NAS: Network-Attached Storage)と、本発明に係るデータ復号装置として機能する映像再生装置20とから少なくとも構成される。
FIG. 1 is a diagram for explaining a camera
映像処理装置10は、CCDカメラ30から送信される映像に含まれる映像のフレームを圧縮・暗号化することで、圧縮・暗号化した映像ファイルをNAS40に記憶させる装置で、圧縮した映像のフレームを暗号化する際に、映像処理装置10の内部で、本発明に係るデータ暗号化復号方法のデータ暗号化工程が実行される。
The
映像再生装置20は、NAS40に記憶され、圧縮・暗号化された映像ファイルを復号し再生する機能を備え、暗号化された映像ファイルを復号する際に、映像再生装置20の内部で、本発明に係るデータ暗号化復号方法のデータ復号工程が実行される。
The
まず、図1のカメラ映像記録システムを構成、本発明に係るデータ暗号化装置として機能する映像処理装置10について説明する。図2は、映像処理装置10のハードウェアブロック図で、図3は、映像処理装置10の機能ブロック図である。
First, a description will be given of a
図2に図示したように、映像処理装置10はハードウェアとして、入力出力インターフェースとして、CCDカメラ30が撮像した映像のNTSCコンポジット信号の入力端子であるビデオインターフェース121と、LANと接続するための物理的なインターフェースであるLANインターフェース130とを備え、更に、映像処理装置10は、ビデオインターフェース121から入力されたNTSCコンポジット信号をデジタル変換するNTSCデコーダ120と、CPU110a、RAM110b、フラッシュメモリ110cおよびMPEG4エンコーダ110dを備えたコンピュータボードである映像処理モジュール110と、映像処理モジュール110とは独立したモジュールで、本発明に係るデータ暗号化装置として機能し、CPU100a、RAM100b、EEPROM100cおよび暗号演算コプロセッサ100dを備えた暗号演算モジュール100(例えば、SIM)を備えている。
As shown in FIG. 2, the
また、図3に図示したように、映像処理装置10の映像処理モジュール110は機能として、NTSCエンコーダがデジタル変換した映像のフレームを圧縮することで、CCDカメラ30が撮影した映像を圧縮する映像圧縮手段111と、映像を暗号化した暗号鍵の確認に利用する暗号鍵認証コードを演算処理モジュールに生成させる暗号鍵認証コード生成手段112を備え、映像圧縮手段111および暗号鍵認証コード生成手段112として映像処理モジュール110を機能させるためのコンピュータプログラムが、映像処理モジュール110のフラッシュメモリ110cに記憶されている。
Also, as shown in FIG. 3, the
更に、映像処理装置10の暗号演算モジュール100は、映像のフレームを暗号化するときに利用する複数のデータ暗号鍵104(ここでは、3つ)をEEPROM100cに記憶し、暗号演算モジュール100は機能として、暗号演算コプロセッサ100dを利用して、映像処理モジュール110から送信されるデータ、ここでは、圧縮した映像のフレームを暗号化するデータ暗号化手段101と、データ暗号化手段101が利用するデータ暗号鍵104を選択するデータ暗号鍵選択手段103と、映像処理モジュール110から送信された素データから暗号鍵認証コードを演算する暗号鍵認証コード演算手段102とを備え、データ暗号化手段101、データ暗号鍵選択手段103および暗号鍵認証コード演算手段102として暗号演算モジュール100を機能させるためのコンピュータプログラムは、暗号演算モジュール100のEEPROM100cに記録されている。
Furthermore, the
映像処理装置10の映像処理モジュール110に備えられた映像圧縮手段111は、NTSCデコーダ120から送信された映像のフレームをRAM110bに一時的に記憶し、MPEG4エンコーダ110dを用いて、RAM110bに記憶している映像のフレームを圧縮する。
The video compression means 111 provided in the
映像処理装置10の映像処理モジュール110は、暗号演算モジュール100を用いて、圧縮した映像のフレームを暗号化し、圧縮・暗号化された映像のフレームをNAS40にLANを介して送信することで、NAS40に圧縮・暗号化された映像ファイルを記憶させる。なお、暗号演算モジュール100に圧縮した映像のフレームを暗号化させる前に、映像処理モジュール110は、データ暗号鍵104の選択を要求するメッセージを暗号演算モジュール100に送信し、暗号演算モジュール100にデータ暗号鍵104を選択させる。
The
映像処理装置10の映像処理モジュール110に備えられた暗号鍵認証コード生成手段112は、CCDカメラ30から送信された映像を暗号化した後に作動する手段で、暗号鍵認証コード生成手段112は、暗号演算モジュール100利用したデータ暗号鍵104を確認するために利用される暗号鍵認証コードの素となる素データを生成し、生成した素データを含み、暗号鍵認証コードの生成を要求するメッセージを暗号演算モジュール100に送信することで、暗号鍵認証コードを暗号演算モジュール100に生成させる。
The encryption key authentication
そして、映像処理装置10の映像処理モジュール110に備えられた暗号鍵認証コード生成手段112は、暗号演算モジュール100から暗号鍵認証コードを取得すると、素データおよび暗号鍵認証コードをNAS40に送信し、圧縮・暗号化された映像ファイルに関連付けて、生成した素データおよび暗号演算モジュール100から受信した暗号鍵認証コードを記憶させる。
Then, when the encryption key authentication
映像処理装置10の暗号演算モジュール100に備えられたデータ暗号鍵選択手段103は、暗号演算モジュール100が記憶している複数のデータ暗号鍵104の中から、受信したデータ、ここでは、圧縮された映像のフレームを暗号化する一つのデータ暗号鍵104を選択する手段で、データ暗号鍵104の選択を要求するメッセージを映像処理モジュール110から受信すると、暗号演算モジュール100の内部で乱数を生成し、生成した乱数を利用して暗号演算モジュール100に記憶されている複数のデータ暗号鍵104の中から、圧縮された映像のフレームを暗号化するために利用する一つのデータ暗号鍵104をランダムに選択する。
The data encryption key selection means 103 provided in the
映像処理装置10の暗号演算モジュール100に備えられたデータ暗号化手段101は、圧縮された映像のフレームを暗号化するために利用する一つのデータ暗号鍵104をランダムに選択した後に、圧縮された映像のフレームを暗号化するメッセージを映像処理モジュール110から受信すると、データ暗号鍵選択手段103が選択したデータ暗号鍵104を用いて、圧縮された映像のフレームを暗号化し、圧縮された映像のフレームの暗号文を映像処理モジュール110に返信する。
The
映像処理装置10の暗号演算モジュール100に備えられた暗号鍵認証コード演算手段102は、データ暗号鍵選択手段103が選択したデータ暗号鍵104を用い特定のアルゴリズムに従い、映像処理モジュール110から送信された素データから暗号鍵認証コードを生成し、生成した暗号鍵認証コードを映像処理モジュール110に返信する。
The encryption key authentication code calculation means 102 provided in the
ここから、映像処理装置10の内部で実行される手順について説明する。図4は、映像処理装置10の内部で実行される手順を示したフロー図で、このフロー図は、データ暗号化復号方法に含まれるデータ暗号化工程の手順を説明するための図でもある。
From here, the procedure performed inside the
映像処理装置10がCCDカメラ30から映像データを受信開始すると、映像処理装置10の映像処理モジュール110は、NTSCデコーダ120がデジタルに変換した映像のフレームをRAM110bに一時的に記憶開始すると共に、暗号演算モジュール100に対し、データ暗号鍵104の選択を要求するメッセージを送信する(S1)。
When the
なお、データ暗号鍵104の選択を要求するメッセージは、データ暗号鍵104の選択を要求する専用のメッセージであってもよく、暗号演算モジュール100に暗号化を要求する最初のメッセージであってもよい。
The message requesting the selection of the
映像処理装置10の暗号演算モジュール100は、データ暗号鍵104の選択を要求するメッセージを受信すると、データ暗号鍵選択手段103を作動させ、データ暗号鍵選択手段103は、暗号演算モジュール100内部で乱数を生成し、生成した乱数を参照して、複数のデータ暗号鍵104の中から、一つのデータ暗号鍵104を選択し、データ暗号鍵104を選択したことを示すメッセージを映像処理モジュール110に送信する(S2)。
When the
映像処理装置10の映像処理モジュール110は、データ暗号鍵104を選択したことを示すメッセージを受信すると、MPEG4エンコーダ110dを利用して、RAM110bに記憶している映像のフレームを圧縮し(S3)、圧縮された映像のフレームの暗号化を要求するメッセージを暗号演算モジュール100に送信する(S4)。
When receiving the message indicating that the
暗号演算モジュール100が、圧縮した映像のフレームの暗号化を要求するメッセージを映像処理モジュール110から受信すると、暗号演算モジュール100に備えられたデータ暗号化手段101が作動し、データ暗号化手段101は、選択したデータ暗号鍵104を用いて、映像処理モジュール110から受信したデータ(ここでは、圧縮された映像のフレーム)を暗号化し、データの暗号文(ここでは、圧縮された映像のフレームの暗号文)を映像処理モジュール110に返信する(S5)。
When the
映像処理モジュール110は、圧縮された映像のフレームの暗号文を暗号演算モジュール100から受信すると、圧縮された映像のフレームの暗号文をNAS40に送信し、受信した圧縮された映像のフレームの暗号文を記憶させることで、圧縮・暗号化された映像ファイルを生成する(S6)。
When the
受信した圧縮された映像のフレームの暗号文をNAS40に送信し、受信した圧縮された映像のフレームの暗号文を記憶させると、映像処理モジュール110は、すべての映像のフレームを圧縮・暗号化したか確認し(S7)、映像のフレームを圧縮・暗号化していない映像のフレームがRAMにあれば、S4に戻り、映像のフレームを圧縮・暗号化して、NAS40上の映像ファイルに追記する。
When the received encrypted video frame ciphertext is sent to the
すべての映像のフレームを圧縮・暗号化すると、映像処理モジュール110の暗号鍵認証コード生成手段112を作動させ、映像処理モジュール110の暗号鍵認証コード生成手段112は、生成した乱数やこの時の時刻を素データとし、素データを含み、暗号鍵認証コードの生成を要求するメッセージを暗号演算モジュール100に送信する(S8)。
When all the video frames are compressed / encrypted, the encryption key authentication code generation means 112 of the
暗号鍵認証コードの生成を要求するメッセージを暗号演算モジュール100が受信すると、暗号演算モジュール100の暗号鍵認証コード演算手段102が作動し、暗号鍵認証コード演算手段102は、選択したデータ暗号鍵104を用い所定のアルゴリズムに従い、受信した素データから暗号鍵認証コードを演算し、演算した暗号鍵認証コードを映像処理モジュール110に送信する(S9)。
When the
素データから暗号鍵認証コードを生成するアルゴリズムは、データ暗号鍵104の種別に依存し、例えば、データ暗号鍵104が共通暗号方式の暗号鍵であるならば、素データのMAC(MAC: Message Authentication Code)を暗号鍵認証コードとして利用することができ、また、データ暗号鍵104が公開暗号方式の暗号鍵であるならば、素データのデジタル署名を暗号鍵認証コードとして利用することができる。
The algorithm for generating the encryption key authentication code from the raw data depends on the type of the
暗号演算モジュール100が演算した暗号鍵認証コードを映像処理モジュール110が受信すると、映像処理モジュール110は、生成した素データと暗号演算モジュール100から受信した暗号鍵認証コードを、NAS40に送信し、NAS40に記憶させた映像ファイルに関連付けて、素データおよび暗号鍵認証コードをNAS40に記憶させ(S10)、図4の手順は終了する。
When the
ここで、NAS40上の映像ファイルに関連付けて記憶させるとは、例えば、映像ファイルの最後に、素データおよび暗号鍵認証コードを記憶させたり、映像ファイルと同一ファイル名で属性の異なるデータファイルに素データおよび暗号鍵認証コードを記憶させることを意味する。
Here, storing in association with a video file on the
次に、本発明に係るデータ復号装置として機能する映像再生装置20について説明する。図5は、映像再生装置20のハードウェアブロック図で、図6は、映像再生装置20の機能ブロック図である。
Next, the
図5に図示したように、映像再生装置20はハードウェアとして、入力出力インターフェースとして、映像再生装置20が再生した映像のNTSCコンポジット信号の出力端子であるビデオインターフェース221と、LANと接続するための物理的なインターフェースであるLANインターフェース231とを備え、更に、映像再生装置20は、CPU210a、RAM210b、フラッシュメモリ210cおよびMPEG4デコーダ210dを備えたコンピュータボードである映像再生モジュール210と、映像再生モジュール210から出力された映像をNTSCコンポジット信号に変換するNTSCエンコーダ220と、映像再生モジュール210とは独立したモジュールで、本発明に係るデータ復号装置として機能し、CPU200a、RAM200b、EEPROM200cおよび暗号演算コプロセッサ200dを備えたする復号演算モジュール200(例えば、SIM)を備えている。
As shown in FIG. 5, the
また、図6に図示したように、映像再生装置20の映像再生モジュール210は機能として、圧縮された映像のフレームを解凍する映像解凍手段211と、フレームレートに従い解凍した映像のフレームをNTSCエンコーダ220に送信することで映像を再生する映像再生手段212と備え、映像解凍手段211および映像再生手段212として映像再生モジュール210を機能させるためのコンピュータプログラムが、映像再生モジュール210のフラッシュメモリ210cに記憶されている。
As shown in FIG. 6, the
映像再生装置20の復号演算モジュール200は、圧縮された映像のフレームの暗号文を復号するデータ復号手段201と、データ復号手段201が利用するデータ暗号鍵104を選択するデータ復号鍵選択手段203と、圧縮された映像のフレームの暗号文を復号するときに利用する複数のデータ復号鍵203(ここでは、5つ)を記憶し、データ復号手段201およびデータ復号鍵選択手段203として復号演算モジュール200を機能させるためのコンピュータプログラムが、復号演算モジュール200のEEPROM200cに記録されている。
The
映像処理装置10の暗号演算モジュール100が記憶しているデータ暗号鍵104の数よりも、映像再生装置20の復号演算モジュール200が記憶しているデータ復号鍵203の数が多いには、すべての映像処理装置10に記憶されているデータ暗号鍵104を映像再生装置20が記憶しているからである。すべての映像処理装置10に記憶されているデータ暗号鍵104を映像再生装置20が記憶していれば、すべての映像処理装置10で記憶された映像ファイルを、映像再生装置20は再生できるようになる。
The number of
映像再生装置20の映像再生モジュール210に備えられたデータ復号手段201は、圧縮・暗号化された映像のフレームを、NAS40に記憶されている映像ファイルから取得すると、復号演算モジュール200を用いて映像のフレームの暗号文を復号した後、MPEG4デコータを用いて解凍し、解凍した映像のフレームをRAM210bに記憶する。
When the data decrypting means 201 provided in the
なお、復号演算モジュール200に圧縮した映像のフレームを暗号化させる前に、映像再生モジュール210は、再生する映像ファイルに関連付けられた素データおよび暗号鍵認証コードをNAS40から取得し、再生する映像ファイルに関連付けられた素データおよび暗号鍵認証コードを含み、データ暗号鍵104の選択を要求するメッセージを復号演算モジュール200に送信し、復号演算モジュール200にデータ復号鍵を選択させる。
Before the
映像再生装置20の映像再生モジュール210に備えられた映像再生手段212は、映像再生モジュール210のRAM210bに記憶されているフレームを、定められたフレームレート(例えば、30fps)で、NTSCエンコーダ220に送信することで、映像ファイルを再生する手段である。
The video playback means 212 provided in the
映像再生装置20の復号演算モジュール200に備えられたデータ復号鍵選択手段203は、再生する映像ファイルに関連付けられた素データおよび暗号鍵認証コードを含み、データ復号鍵の選択を要求するメッセージを受信したときに作動し、復号演算モジュール200に記憶されたデータ復号鍵203(ここでは、5個)を用いて、素データおよび暗号鍵認証コードの組み合わせを検証し、検証に成功したデータ復号鍵203を、データを復号するデータ復号鍵203として選択する。
The data decryption key selection means 203 provided in the
映像再生装置20のデータ復号モジュールに備えられたデータ復号手段201は、圧縮された映像のフレームの暗号文を映像再生モジュール210の復号を要求するメッセージを映像再生モジュール210から受信すると、データ復号鍵選択手段203が選択したデータ復号鍵203を用いて、圧縮された映像のフレームの暗号文を復号し、圧縮された映像のフレームを映像再生モジュール210に返信する。
When the data decryption means 201 provided in the data decryption module of the
ここから、映像再生装置20の内部で実行される手順について説明する。図7は、映像再生装置20の内部で実行される手順を示したフロー図で、このフロー図は、データ暗号化復号方法に含まれるデータ復号工程の手順を説明するための図でもある。
From here, the procedure performed inside the
NAS40に記憶され、圧縮・暗号化された映像ファイルを映像再生装置20が再生開始するとき、映像再生装置20の映像再生モジュール210は、再生する映像ファイルに関連付けて記憶された素データおよび暗号鍵認証コードを取得し、素データおよび暗号鍵認証コードを含み、データ復号鍵203の選択を要求するメッセージを復号演算モジュール200に送信することで、復号演算モジュール200にデータ復号鍵203の選択を要求する(S20)。
When the
素データおよび暗号鍵認証コードを含み、データ復号鍵203の選択を要求するメッセージを復号演算モジュール200が受信すると、復号演算モジュール200のデータ復号鍵選択手段203が作動し、データ復号鍵選択手段203は、復号演算モジュール200に記憶されている複数のデータ復号鍵203を用いて、素データおよび暗号鍵認証コードの組み合わせを検証することで、複数のデータ復号鍵203の中から、一つのデータ復号鍵203を選択し、データ暗号鍵104を選択したことを示すメッセージを映像再生モジュール210に送信する(S21)。
When the
例えば、データ復号鍵203が共通暗号方式の暗号鍵で、暗号鍵認証コードが素データのMACである場合、データ復号鍵選択手段は、復号演算モジュール200に記憶されているデータ復号鍵203を用いて、素データからMACを演算し、暗号鍵認証コードとMACが一致するデータ復号鍵203を選択する。
For example, when the
また、データ復号鍵203が公開暗号方式の暗号鍵で、暗号鍵認証コードが素データのデジタル署名である場合、データ復号鍵選択手段は、復号演算モジュール200に記憶されているデータ復号鍵203を用いて、暗号鍵認証コードを複合し、暗号鍵認証コードの復号文と素データが一致するデータ復号鍵203を選択する。
When the
データ暗号鍵104を選択したことを示すメッセージを映像再生モジュール210が受信すると、映像再生モジュール210は、NAS40に記憶された映像ファイルから、圧縮・暗号化された映像のフレームを取得し、圧縮・暗号化された映像のフレームの復号を要求するメッセージを復号演算モジュール200に送信する(S22)。
When the
圧縮・暗号化された映像のフレームの復号を要求するメッセージを復号演算モジュール200が受信すると、復号演算モジュール200は、選択したデータ復号鍵203を用いて、圧縮・暗号化された映像のフレームを復号し、復号文を映像再生モジュール210に送信する(S23)。
When the
映像再生モジュール210は、復号演算モジュール200から復号文、すなわち、圧縮された映像のフレームを受信すると、映像解凍手段211を用いて、圧縮された映像のフレームを解凍し、解凍した映像のフレームをRAM210cに一時的にバッファリングして、映像を再生する(S24)。
When the
映像再生モジュール210は、映像の再生を開始した後、再生する映像ファイルに含まれる映像のフレームをすべて復号・解凍しているか確認し(S25)、復号・解凍していない映像のフレームがあれば、S22に戻り、NAS40に映像ファイルに含まれる映像のフレームを復号・解凍する。
After starting the video playback, the
そして、映像再生モジュール210は、NAS40に映像ファイルに含まれる映像のフレームすべてを復号・解凍し、映像を再生終了するとこの手順を終了する。
Then, the
このように、データ暗号装置である映像処理装置10の暗号演算モジュール100が生成する暗号鍵認証コードは、圧縮された映像のフレームの暗号化に利用したデータ暗号鍵104を用いて素データから生成されるため、データ復号装置でわる映像再生装置20の復号演算モジュール200が、素データおよび暗号鍵認証コードの組合わせの検証に成功したデータ復号鍵203は、暗号化に利用されたデータ暗号鍵104と対になるデータ復号鍵203になるため、映像再生装置20の復号演算モジュール200側で、複数のデータ復号鍵203の中から、一つのデータ復号鍵203を選択できるようになる。
In this way, the encryption key authentication code generated by the
また、データ暗号装置である映像処理装置10の暗号演算モジュール100が、記憶している複数のデータ暗号鍵104の中から、一つのデータ暗号鍵104をランダムに選択して利用することで、暗号化するデータ暗号鍵104は一意に定まることはなくなるため、暗号化されたデータが復号される可能性は低減される。
In addition, the
1 カメラ映像記録システム
10 映像処理装置
100 暗号演算モジュール
101 データ暗号化手段
102 暗号鍵認証コード演算手段
103 データ暗号鍵選択手段
104 データ暗号鍵
110 映像処理モジュール
111 映像圧縮手段
112 暗号鍵認証コード生成手段
20 映像再生装置
200 復号演算モジュール
201 データ復号手段
202 データ復号鍵選択手段
203 データ復号鍵
210 映像再生モジュール
211 映像解凍手段
212 映像再生手段
DESCRIPTION OF
Claims (7)
データ復号装置が、前記データ復号装置が記憶しているデータ復号鍵それぞれを用いて、所定の検証アルゴリズムに従い、前記素データから前記暗号鍵認証コードを生成することができるか検証するステップb1、前記暗号鍵認証コードの検証に成功した一つの前記データ復号鍵を用いて、前記データオブジェクトの暗号文を復号するステップb2が実行されるデータ復号工程と、を含むことを特徴とするデータ暗号化復号方法。 Data encryption in which step a1 is executed by the data encryption device to generate an encryption key authentication code from the specified raw data according to a predetermined encryption algorithm using the data encryption key used when encrypting the data object Process,
A step of verifying whether the data decryption device can generate the encryption key authentication code from the raw data according to a predetermined verification algorithm using each data decryption key stored in the data decryption device; And a data decryption step in which step b2 of decrypting the ciphertext of the data object is performed using the one data decryption key that has been successfully verified as an encryption key authentication code. Method.
複数のデータ復号鍵を記憶し、それぞれの前記データ復号鍵を用いて、所定の検証アルゴリズムに従い、前記素データから前記暗号鍵認証コードが生成できるか検証し、検証に成功した一つの前記データ復号鍵を選択するデータ復号鍵選択手段と、前記データ復号鍵選択手段が選択した前記データ復号鍵を用いて、入力された前記データオブジェクトの暗号文を復号するデータ復号手段と、を備えたデータ復号装置と、
から少なくとも構成されるデータ暗号化復号システム。 Using a data encryption key for encrypting a data object and a data encryption key for encrypting the data object, the encryption key authentication code is generated from the specified raw data according to a predetermined encryption algorithm. A data encryption device comprising: an encryption key authentication code generating means for performing
A plurality of data decryption keys are stored, each data decryption key is used to verify whether the encryption key authentication code can be generated from the raw data according to a predetermined verification algorithm, and one data decryption that has been successfully verified A data decryption key comprising: a data decryption key selection means for selecting a key; and a data decryption means for decrypting a ciphertext of the input data object using the data decryption key selected by the data decryption key selection means. Equipment,
A data encryption / decryption system comprising at least
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008086665A JP2009239846A (en) | 2008-03-28 | 2008-03-28 | Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2008086665A JP2009239846A (en) | 2008-03-28 | 2008-03-28 | Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009239846A true JP2009239846A (en) | 2009-10-15 |
Family
ID=41253214
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008086665A Withdrawn JP2009239846A (en) | 2008-03-28 | 2008-03-28 | Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2009239846A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928756A (en) * | 2022-05-27 | 2022-08-19 | 浙江大华技术股份有限公司 | Video data protection, encryption and verification method, system and equipment |
-
2008
- 2008-03-28 JP JP2008086665A patent/JP2009239846A/en not_active Withdrawn
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114928756A (en) * | 2022-05-27 | 2022-08-19 | 浙江大华技术股份有限公司 | Video data protection, encryption and verification method, system and equipment |
CN114928756B (en) * | 2022-05-27 | 2023-03-17 | 浙江大华技术股份有限公司 | Video data protection, encryption and verification method, system and equipment |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101172093B1 (en) | Digital audio/video data processing unit and method for controlling access to said data | |
JP4113190B2 (en) | Portable data storage device with encryption system | |
US8972300B2 (en) | Content distribution system | |
JP4596256B2 (en) | Transmission / reception system and method, transmission device and method, reception device and method, and program | |
CN101719910B (en) | Terminal equipment for realizing content protection and transmission method thereof | |
US8930688B2 (en) | Apparatus and method for providing security service of user interface | |
JP4188958B2 (en) | ENCRYPTION METHOD, DATA DISTRIBUTION SYSTEM, ENCRYPTION DEVICE, AND DATA STORAGE / DISTRIBUTION DEVICE | |
JP4561893B2 (en) | Data transmitting apparatus, data receiving apparatus, data transmitting method and data receiving method | |
KR101964229B1 (en) | Surveillance server, method of data processing thereof, and surveillance system | |
US20110170687A1 (en) | Content decoding apparatus, content decoding method and integrated circuit | |
JP6608436B2 (en) | Encoder, decoder and method using partial data encryption | |
JP4261724B2 (en) | Signature data generation apparatus and image verification apparatus | |
CN106131008B (en) | Video and audio monitoring equipment, security authentication method thereof and video and audio display equipment | |
JP5080908B2 (en) | Confidential information processing apparatus, confidential information processing apparatus, and confidential information processing method | |
JP2012114654A (en) | Monitoring camera, storage device, and method for detecting tampering of monitoring image | |
JP2008028575A (en) | Receiver | |
CN111954035A (en) | Method and device for encrypting video-audio signal stream | |
JP2009239846A (en) | Data encryption decoding method, data encryption decoding system, data encryption apparatus, and data decoding apparatus | |
JP2010147749A (en) | Moving image distribution module, moving-image receiving module, and moving-image transmission system | |
JP2007318650A (en) | Client/server system | |
JPH11225140A (en) | Data encryption device, decoder and its program recoding medium | |
CN107493172B (en) | Wireless radio frequency authentication system and authentication method | |
KR100561488B1 (en) | Security system having the security camera with encryption circuit and setting up method of password key said system | |
JP2006279244A (en) | Data transmission apparatus | |
JP2008311806A (en) | Content providing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20110607 |