JP2017098672A - 通信システム、通信方法及びカメラ装置 - Google Patents

通信システム、通信方法及びカメラ装置 Download PDF

Info

Publication number
JP2017098672A
JP2017098672A JP2015226892A JP2015226892A JP2017098672A JP 2017098672 A JP2017098672 A JP 2017098672A JP 2015226892 A JP2015226892 A JP 2015226892A JP 2015226892 A JP2015226892 A JP 2015226892A JP 2017098672 A JP2017098672 A JP 2017098672A
Authority
JP
Japan
Prior art keywords
certificate
video data
verification
cpu
monitoring camera
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015226892A
Other languages
English (en)
Inventor
尚洋 吉村
Naohiro Yoshimura
尚洋 吉村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Management Co Ltd
Original Assignee
Panasonic Intellectual Property Management Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Management Co Ltd filed Critical Panasonic Intellectual Property Management Co Ltd
Priority to JP2015226892A priority Critical patent/JP2017098672A/ja
Publication of JP2017098672A publication Critical patent/JP2017098672A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Television Signal Processing For Recording (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

【課題】カメラ装置が撮像した映像データとともにカメラ装置に固有の電子証明書を付加して検証装置に出力し、検証装置が映像データとともに取得した電子証明書の移動過程でのすり替えの有無を容易に検出する。【解決手段】映像データ検証システム5では、監視カメラ10は、撮像エリアを撮像する撮像部26を有する。監視カメラ10は、中間CA60により生成されたM2M証明書101と、監視カメラ10により撮像された映像データとを、記録媒体に記録しかつ検出PC40に送信する。検出PC40は、中間CA60の中間CA証明書をメモリに記憶している。検出PC40は、監視カメラ10から送信されたM2M証明書101と中間CA証明書とを用いて、M2M証明書101を検証する。【選択図】図1

Description

本発明は、署名生成側のカメラ装置と署名検証側の検証装置とが通信可能に接続された通信システム及び通信方法と、通信システムに用いられるカメラ装置とに関する。
従来、設置された撮像装置が監視対象のエリア(例えば事件現場又は何かしらのトラブルが発生した場所)を撮像して得た映像データに署名(つまり、電子署名)を付与して記録することにより、映像データの証拠性を保つ監視映像記録システムが知られている。
例えば特許文献1には、低精度映像(つまり、原本映像)と高精度映像とに署名を紐付けして記録する監視映像記録装置(例えばレコーダ等の記録装置)が開示されている。特許文献1によれば、監視映像記録装置は、例えば複数枚の時系列映像に基づいて1枚の超解像画像を得るために、原本映像である低精度映像を超解像処理した場合であっても画像の証拠性を保つことができる。
特開2010−219889号公報
特許文献1では、電子署名の生成に用いられた秘密鍵に対応する公開鍵を証明するための電子証明書は監視カメラから送付されていない。ここで、監視カメラが監視カメラの公開鍵を証明するために、電子署名の生成に用いられた秘密鍵に対応する公開鍵を証明するための電子証明書を低精度映像のデータと併せて送信することを想定する。
特許文献1を含む従来技術では、悪意のある第三者によって通信途中で低精度映像のデータに対応する電子証明書が他の電子証明書にすり替えられてしまうと、そのすり替えを検出する術が無かった。このため、悪意のある第三者によって映像データが改ざんされて、改ざん後映像データに対する署名が改ざん後映像データとともに送られ、かつその署名の生成に使用された秘密鍵に対応する公開鍵を保証するための証明書にすり替えられて送られると、検証側ではその署名の検証が成功するので、映像データの改ざんが検出できないという問題があった。
本発明は、上述した従来の状況に鑑みて案出され、カメラ装置が撮像した映像データとともにカメラ装置に固有の電子証明書を付加して検証装置に出力し、検証装置が映像データとともに取得した電子証明書の移動過程でのすり替えの有無を容易に検出することができる通信システム、通信方法及びカメラ装置を提供することを目的とする。
本発明は、カメラ装置と検証装置とを含む通信システムであって、前記カメラ装置は、撮像エリアを撮像する撮像部を有し、前記カメラ装置に対応して設けられた認証局により生成された第1証明書と、前記撮像部により撮像された前記撮像エリアの映像データとを記録媒体に記録し、前記検証装置は、前記認証局に関する第2証明書を有し、前記記録媒体に記録された映像データ及び証明書を読み出した場合に、前記記録媒体から読み出した前記証明書と前記第2証明書とを用いて、前記カメラ装置と前記検証装置との間における前記第1証明書のすり替えの有無を検証する、通信システムを提供する。
また、本発明は、カメラ装置と検証装置とを含む通信システムにおける通信方法であって、前記カメラ装置は、撮像部を有し、前記撮像部により撮像エリアを撮像し、前記カメラ装置に対応して設けられた認証局により生成された第1証明書と、前記撮像部により撮像された前記撮像エリアの映像データとを記録媒体に記録し、前記検証装置は、前記認証局に関する第2証明書を有しており、前記記録媒体に記録された映像データ及び証明書を読み出した場合に、前記記録媒体から読み出した前記証明書と前記第2証明書とを用いて、前記カメラ装置と前記検証装置との間における前記第1証明書のすり替えの有無を検証する、通信方法を提供する。
本発明によれば、カメラ装置が撮像した映像データとともにカメラ装置に固有の電子証明書を付加して検証装置に出力し、検証装置が映像データとともに取得した電子証明書の移動過程でのすり替えの有無を容易に検出することができる。
本実施形態の映像データ検証システムの概略構成の一例を示す図 本実施形態の監視カメラの内部構成の一例を示すブロック図 本実施形態の検出PCの内部構成の一例を示すブロック図 M2M証明書、中間CA証明書、及びルートCA証明書の構成の一例を示す説明図 本実施形態の監視カメラの製造時の動作手順の一例を示すシーケンス図 本実施形態の記録動作手順の一例を示すフローチャート 本実施形態の改ざん検出時の動作概要の一例を示す図 本実施形態の検出PCにおける検証動作手順の一例を示すフローチャート ステップS11におけるすり替え検出手順の一例を示すフローチャート ステップS15における改ざん検出手順の一例を示すフローチャート 改ざん無しかつすり替え無しの場合に表示される画面の一例を示す図 改ざん無しかつすり替え不明の場合に表示される画面の一例を示す図 改ざん有りの場合に表示される画面の一例を示す図 改ざんの検出が行われる事象の説明図
以下、適宜図面を参照しながら、本発明に係る通信システム、通信方法及びカメラ装置を具体的に開示した実施形態(以下、本実施形態という)を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。なお、添付図面及び以下の説明は、当業者が本開示を十分に理解するために提供されるのであって、これらにより特許請求の範囲に記載の主題を限定することは意図されていない。本実施形態の通信システムは、例えば電子証明書(以下、単に証明書という)を使用して、カメラ装置の一例としての監視カメラにより撮像された映像データを検証する映像データ検証システムに適用される。
図1は、本実施形態の映像データ検証システム5の概略構成の一例を示す図である。映像データ検証システム5は、監視カメラ10と、検出PC(Personal computer)40と、中間認証局(以下、中間CA(Certification Authority)と略記する)60とを含む構成である。監視カメラ10、検出PC40、中間CA60等は、インターネット8に接続され、相互にデータ通信可能である。
監視カメラ10は、監視カメラ製造工場C1で製造及び出荷されるカメラ装置である。監視カメラ製造工場C1には、監視カメラ10の製造状況を管理するための製造管理用PC30と、製造管理用PC30とインターネット8との間の接続を行うためのゲートウェイ33とが設けられている。図1では、監視カメラ10は、製造管理用PC30及びゲートウェイ33を介して、インターネット8に接続されるが、直接にインターネット8に接続されてもよい。監視カメラ10は、既定の撮像エリアを撮像した映像データを出力し、撮像した映像データを提出先C2の検出PC40に送信可能である。なお、インターネット8を経由して提出先C2の検出PC40に映像データを送信する代わりに、提出先C2に対し、監視カメラ10を購入したユーザが直接に映像データを記録した記録媒体を持参してもよい。監視カメラ10の構成及び動作の詳細については後述する。
検出PC40は、映像データの提出先C2(例えば裁判所や検察庁等)に設置された汎用のコンピュータであり、監視カメラ10から送信された映像データに付随する署名や、監視カメラ10の公開鍵を証明するための証明書の検証を行う。検出PC40の構成及び動作の詳細については後述する。
中間CA60は、例えば監視カメラ製造工場C1における監視カメラ10の製造時に製造管理用PC30から送信される公開鍵の証明書署名要求(CSR:Certificate Signing Request))に従い、申請者である監視カメラ10に対して、例えば監視カメラ10の固体毎に異なる証明書を発行する。なお、以下の本実施形態において、証明書とは、例えば図4にも示されているように、証明書の所有者の識別名、証明書の所有者の公開鍵、証明書の発行者の識別名、証明書の発行者の署名、及び証明書の拇印を含み、所有者の公開鍵の真正性を証明するための情報であるとして説明する。
つまり、本実施形態では、監視カメラ10の製造段階で、監視カメラ10の固体毎に1つ1つ異なる証明書が、監視カメラ10に対応して設けられた中間CA60により発行されてそれぞれの監視カメラ10に付与される。このため、それぞれの監視カメラ10は、監視カメラ製造工場C1から出荷される前に、中間CA60により発行された固体毎の証明書がそれぞれの監視カメラ10に対してプリインストールされている。以下、中間CA60によって監視カメラ10に対して発行された個々の証明書をM2M(Machine to Machine)証明書と称する。この中間CA60で発行されたM2M証明書は、監視カメラ10の製造時又は製造途中で、製造管理用PC30によって、監視カメラ10の内部メモリに保存されてプリンインストールされる。
また、本実施形態では、監視カメラ10に対してM2M証明書を発行する認証局は、例えば最上位のルートCA70によって公開鍵の証明書を発行してもらうことで、自らの正当性が証明される中間CA60である。中間CA60は、ルートCA70のように公的な機関でもよいが、公的な機関でなくてもよく、例えば監視カメラ10の製造メーカに関連する企業又は機関でもよい。このように、ルートCA70でなく、例えば監視カメラ10の公開鍵の証明書を発行するための特有の認証局(つまり、中間CA60)がM2M証明書を発行することで、ルートCA70が証明書を発行する場合に比べて、証明書の発行期間を短縮でき、また、発行コストを低く抑えることができる。なお、本実施形態において、中間CA60の代わりに、ルートCA70がM2M証明書を発行してもよい。但し、ルートCA70になり得る認証局になるためには厳しい審査の通過が求められるので、ルートCA70の配置数は現在限られている。このため、ルートCA70における証明書の発行に関する審査が中間CA60における証明書の発行に関する審査に比べて厳しくなるので、証明書の発行期間が長くなり、また、発行コストが高くなることがある。従って、短期間の製造が要求される監視カメラに対する証明書の発行機関として、通常、ルートCA70は相応しくないと考えられる。
図2は、本実施形態の監視カメラ10の内部構成の一例を示すブロック図である。図2において、監視カメラ10は、レンズ21、イメージセンサ22、CPU(Central Processing Unit)23、エンコーダ24、記録媒体27及びネットワーク通信部25を含む構成である。なお、監視カメラ10は、撮像装置に対応し、レンズ21とイメージセンサ22は、撮像装置の撮像部26を構成する。
レンズ21は、監視対象のエリア(つまり、撮像エリア)からの反射光を集光し、イメージセンサ22の受光面上にその光学像を結像させる。イメージセンサ22は、例えばCCD(Charge Coupled Device)型イメージセンサ又はCMOS(Complementary Metal Oxide Semiconductor)型イメージセンサを用いて構成され、レンズ21によって受光面上に結像された光学像の電気信号(つまり、映像を構成する画像の電気信号)をCPU23に出力する。
CPU23は、監視カメラ10の各部の動作制御を全体的に統括するための信号処理、他の各部との間のデータの入出力処理、データの演算処理及びデータの記憶処理を行う。CPU23の代わりに、MPU(Microprocessor)又はDSP(Digital Signal Processor)等のプロセッサを用いて構成されてもよい。例えばCPU23は、イメージセンサ22の出力(つまり、画像の電気信号)を用いて、人が認識可能なRGB(Red Green Blue)形式の画像データ又はYUV(輝度、色差)形式の画像データを生成する。
また、CPU23は、映像データを生成する度にエンコーダ24に渡して符号化の実行を指示する。CPU23は、エンコーダ24により符号化された映像データを取得してキャッシュ(不図示)又はRAM(Random Access Memory、不図示)に一時的に保存する。また、CPU23は、映像データを構成するビット列又はバイナリデータの全部又は一部を用いて、所定の関数(例えば検出PC40との間で予め共有するように既知としたハッシュ関数)によってハッシュ値(ダイジェストとも呼ばれる)を計算し、得られたハッシュ値を監視カメラ10の秘密鍵で暗号化することで署名を生成する。CPU23は、生成した署名を、一時的に保存している映像データに付与することで署名付き映像データを生成する。CPU23は、生成した署名付き映像データをネットワーク通信部25に出力し、ネットワーク通信部25からインターネット8を経由して提出先C2の検出PC40に送信する。
また、CPU23は、事前(即ち、署名付き映像データの送信を行う前)に、監視カメラ10の公開鍵と秘密鍵との鍵ペアのデータを生成している。CPU23は、CSRを中間CA60に送信する前に、監視カメラ10の公開鍵と秘密鍵との鍵ペアを生成する。CPU23は、CSRを生成し、製造管理用PC30を介して中間CA60に送信する。なお、一般的に監視カメラ10と中間CA60との間はSSL(Secure Sockets Layer)/TLS(Transport Layer Security )通信によって暗号化され、監視カメラ10と中間CA60との間におけるCSRの改ざん有無の検出は行われない。また、CPU23は、上記ハッシュ値(つまり、映像データのハッシュ値)の暗号化処理の際に、上記秘密鍵を用いる。
また、CPU23は、中間CA60から発行されたM2M証明書に公開鍵のデータを格納して保持してもよいし、M2M証明書とは関係なく公開鍵のデータを単独で保持してもよい。例えば本実施形態では、監視カメラ10から検出PC40には、監視カメラ10の公開鍵のデータがM2M証明書に含まれた状態で渡される。
証明書の渡し方として、本実施形態では、監視カメラ10が署名付き映像データにM2M証明書を添付して検出PC40に送信し、検出PC40がこれらを受信する。また、監視カメラ10が署名付き映像データとM2M証明書とを記録媒体27に記録し、この記録媒体27を、ユーザが提出先C2に直接持参し、提出先C2に設置された検出PC40が記録媒体27からこれらのデータを読み取ってもよい。
図2中に示す鍵生成処理231、ハッシュ計算処理232、暗号処理233及び証明書管理処理235のそれぞれは、CPU23によるソフトウェア処理として実行される。鍵生成処理231では、CPU23により、監視カメラ10の公開鍵のデータと秘密鍵のデータとが生成される。ハッシュ計算処理232では、CPU23により、映像データの一部又は全部を用いて、ハッシュ値の計算が行われる。暗号処理233では、CPU23により、例えば映像データに付与される署名を生成するためにハッシュ値の暗号化が行われる。証明書管理処理235では、中間CA60で発行された監視カメラ10のM2M証明書が管理される。
エンコーダ24は、CPU23より映像データが与えられる度に、所定の送信フォーマットに適合するために、映像データを符号化してCPU23に返す。
ネットワーク通信部25は、インターネット8を介して中間CA60及び検出PC40と相互に通信を行う。
図3は、本実施形態の検出PC40の内部構成の一例を示すブロック図である。図3において、検出PC40は、ネットワーク通信部41、マウス42、キーボード49、モニタ43、ハードディスクドライブ45、メモリカードリーダ47、メモリ48及びCPU46を含む構成である。
メモリ48には、特定の認証局の情報(以下、「特定CA」ともいう)、つまり、監視カメラ10のM2M証明書を発行するための中間CA60や、中間CA60に関する中間CA証明書を発行するためのルートCA70に関する情報が登録されている。以下、本実施形態における特定の認証局の情報は、例えば中間CA60に関する情報が登録されているとして説明する。これらの特定の認証局の情報は、後述する証明書のすり替えの検証に用いられる(図9参照)。また、これらの特定の認証局に関する情報は、監視カメラ10を製造するメーカがインターネット8上に公開している監視カメラ10に関する製品情報から、例えば検出PC40のユーザの操作によって取得されてからメモリ48に保存されてもよい。また、これらの特定の認証局に関する情報は、監視カメラ10が映像データを検出PC40に送信する際に、監視カメラ10がオプション情報として付加することで取得されてからメモリ48に保存されてもよい。
ハードディスクドライブ45には、改ざん検出処理451に用いられる、改ざん検出ソフトウェアが記憶されている。CPU46は、改ざん検出処理を行う際、ハードディスクドライブ45に記憶されている改ざん検出ソフトウェアをメモリ48にロードして実行する。
ネットワーク通信部41は、インターネット8を介して監視カメラ10と相互に通信を行う。マウス42及びキーボード49は、ユーザが操作可能な入力デバイスであり、文字の入力やCPU46を制御するための各種コマンドの入力を行う。モニタ43は、各種の操作画面や映像データの検証結果の画面等を表示する。
メモリカードリーダ47は、記録媒体27(例えばSDカード等の半導体メモリカード)が挿抜自在であり、挿入された記録媒体27に記憶されたデータを読み取る。記録媒体27には、前述したように、署名付き映像データ及び監視カメラ10のM2M証明書のデータが記憶されており、これらのデータが読み取られる。
CPU46は、監視カメラ10から送信される、署名付き映像データ及びM2M証明書を検証し、M2M証明書の正当性(つまり、M2M証明書のすり替えの有無)及び署名付き映像データの改ざんの有無(つまり、署名が付与された映像データの改ざんの有無)を判定する。CPU46は、署名付き映像データ及びM2M証明書の各検証結果を、モニタ43の画面(図11、図12、図13参照)に表示する。
CPU46は、映像データとともに入力した第1の証明書(以下、入力証明書Aという)を検証する際、その証明書を発行した認証局の情報が、予めメモリ48に記憶されている特定CAの情報と一致するか否か(以下、「第1条件」ともいう。図9のステップS31参照)を判別する。CPU46は、第1条件を満たさない(言い換えると、入力証明書Aに含まれる認証局情報と特定CAの情報とが一致しない)と判別した場合、入力証明書Aが別の証明書にすり替えられたと判定する(図9参照)。また、CPU46は、第1条件を満たす(言い換えると、入力証明書Aの認証局情報と特定CAの情報とが一致する)と判別した場合、入力証明書Aが中間CA60により発行されたM2M証明書の可能性があると判断する。
ここで、特定CA(例えば中間CA60)の情報の取得については、CPU46が、改ざん検出ソフトウェアのインストール時に、特定CAの証明書をメモリ48に登録しておいてもよいし、所定のウェブサイトからインターネットを介して特定CAの証明書をダウンロードしてメモリ48に登録してもよい。また、特定CAの証明書が記録媒体27に記録されている場合に、CPU46が、記録媒体27に記録された署名付き映像データ及びM2M証明書を読み込む時に、オプションとして特定CAの証明書を同時に読み込んで登録しておいてもよい。なお、CAを識別する情報として、ここでは所有者の識別名(DN:Distinguished Name)(図4参照)を用いたが、認証局鍵識別子(Authority Key Identifier)が用いられてもよい。
CPU46は、入力した署名付き映像データの署名に対し、記録媒体27に記憶されているM2M証明書の公開鍵を用いて復号する。また、CPU46は、映像データについてのハッシュ値を計算する。なお、監視カメラ10と検出PC40とでは、ハッシュ値を計算する際、同一のハッシュ関数が使用される。CPU46は、署名を復号して得られたハッシュ値と、署名が付与された映像データの計算により得られたハッシュ値とを比較する。CPU46は、それぞれのハッシュ値が一致していると判断した場合には、映像データが改ざんされていないと判断する。一方、CPU46は、それぞれのハッシュ値が一致していないと判断した場合には、映像データが改ざんされていると判断する。
図3中に示すすり替え検出処理452及び改ざん検出処理451のそれぞれは、CPU46によるソフトウェア処理として実行される。すり替え検出処理452では、M2M証明書のすり替えの有無が検出される。改ざん検出処理451では、映像データの改ざんの有無が検出される。
図4は、M2M証明書101、中間CA証明書102、及びルートCA証明書103の構成の一例を示す図である。M2M証明書101、中間CA証明書102、及びルートCA証明書103のいずれも、所有者の識別名(DN:Distinguished Name)、所有者の公開鍵、発行者の識別名、発行者の署名及び拇印から構成される。
M2M証明書101において、所有者は監視カメラ10である。発行者は中間CA60である。所有者の識別名DNは、機種名enとMACアドレスeaとで表される(図11参照)。本実施形態では、機種名は、監視カメラ10の機種名である。MAC(Media Access Control)アドレスは、監視カメラ10に付与されたインターネット上の固有の識別番号である。所有者の公開鍵は、監視カメラ10の公開鍵である。発行者の識別名は、中間CA60の識別名である。拇印は、所有者の識別名、所有者の公開鍵、及び発行者の識別名を、一方向関数(ハッシュ関数)を用いて計算(導出)したハッシュ値である。なお、一方向性関数として、SHA(Secure Hash Algorithm)、MD5(Message Digest 5)等のハッシュ関数が挙げられる。発行者の署名は、拇印が発行者(中間CA)の秘密鍵により暗号化された情報である。
また、中間CA証明書102において、所有者は中間CA60である。発行者はルートCA70である。所有者の識別名DNは、所有者は中間CA60の識別名である。所有者の公開鍵は、中間CA60の公開鍵である。発行者の識別名は、ルートCA70の識別名である。拇印は、所有者の識別名、所有者の公開鍵、及び発行者の識別名を、一方向関数を用いて導出したハッシュ値である。発行者の署名は、拇印が発行者(ルートCA)の秘密鍵により暗号化された情報である。
また、ルートCA証明書103において、所有者及び発行者はいずれもルートCA70である。ここで、ルートCA70は、更なる上位のCAの認証を受けずに、自身の正当性を証明するために、自ら署名して証明書を発行できる、社会的に信用力の高い機関である。所有者の識別名DNは、ルートCA70の識別名である。所有者の公開鍵は、ルートCA70の公開鍵である。発行者の識別名は、ルートCA70の識別名である。拇印は、所有者の識別名、所有者の公開鍵、及び発行者の識別名を、一方向関数を用いて導出したハッシュ値である。発行者の署名は、拇印が発行者(ルートCA)の秘密鍵により暗号化された情報である。
上記構成を有する映像データ検証システム5の動作を説明する。
図5は、本実施形態の監視カメラ10の製造時の動作手順の一例を示すシーケンス図である。監視カメラ製造工場C1において、監視カメラ10の組み立て及び検査が行われ(T1)、組み立て及び検査が完了すると、製造管理用PC30は、監視カメラ10に対し、鍵生成及び証明書署名要求(CSR:Certificate Signing Request)の生成を要求する(T2)。
監視カメラ10は、製造管理用PC30から、鍵生成及びCSR生成要求を受けると、鍵ペアとなる公開鍵及び暗号鍵を生成する(T3)。更に、監視カメラ10は、CSRを生成し(T4)、このCSRを製造管理用PC30に送る(T5)。
製造管理用PC30は、監視カメラ10からCSRを中間CA60に転送してアップロードする(T6)。中間CA60は、CSRを受信すると、その受信応答を製造管理用PC30に返す(T7)。製造管理用PC30は、CSRの受信応答を受けると、更に、中間CA60に対し、証明書発行要求を行う(T8)。中間CA60は、証明書発行要求を受信すると、その受信応答を製造管理用PC30に返す(T9)。
中間CA60は、監視カメラ10のM2M証明書101を生成する(T10)。そして、製造管理用PC30は、中間CA60に対し、M2M証明書101のダウンロードを要求すると(T11)、中間CA60は、M2M証明書101を製造管理用PC30に送信する(T12)。
製造管理用PC30は、中間CA60からM2M証明書101を受信すると、監視カメラ10に出力する(T13)。監視カメラ10は、製造管理用PC30からM2M証明書101を入力すると、記録媒体27に保存する(T14)。監視カメラ10は、M2M証明書101の記録媒体27への保存を完了すると、その応答を製造管理用PC30に返す(T15)。この後、監視カメラ10は出荷される(T16)。
図6は、本実施形態の記録動作手順の一例を示すフローチャートである。この動作は、監視カメラ10内のCPU23によって行われる。まず、CPU23は、ハッシュ計算処理232において、一方向関数(ハッシュ関数)を用いて、記録対象の映像データのハッシュ値を計算する(S1)。
CPU23は、監視カメラ10の秘密鍵(つまり、図5のステップT3において生成した秘密鍵)で、ステップS1で計算されたハッシュ値を暗号化することで、署名を生成する(S2)。CPU23は、生成した署名を映像データに付加する(S3)。署名の付加は、例えば映像データのヘッダに挿入する、映像データのペイロード(データ本体)のオプション領域に重畳する等、いずれの方法でもよい。
CPU23は、署名が付加された映像データ、及びM2M証明書101を記録媒体27に記録する(S4)。この後、CPU23は記録動作を終了する。
図7は、本実施形態の改ざん検出時の動作概要の一例を示す図である。監視カメラ10は、記録媒体27に記録された、署名が付加された映像データ及びM2M証明書101を、例えばインターネット8を介して、検出PC40に送信する。なお、検出PC40に対し、データを送信する代わりに、図7に示すように、ユーザが記録媒体27を提出先C2に直接持参し、提出先C2の監視室等に設置された、検出PC40に読み込ませるようにしてもよい。
図8は、本実施形態の検出PC40における検証動作手順の一例を示すフローチャートである。この動作は、検出PC40内のCPU46によって実行される。CPU46は、データを受信すると、受信したデータに含まれる証明書のすり替え検出処理を行う(S11)。このすり替え検出処理の詳細については後述する。
CPU46は、すり替え検出処理の結果、証明書のすり替えが検出されたか否かを判別する(S12)。すり替えが検出されなかった場合(S12、NO)、CPU46は、すり替え検出フラグF1を値0にクリアする(S13)。一方、すり替えが検出された場合(S12、YES)、CPU46は、すり替え検出フラグF1を値1にセットする(S14)。
ステップS13、S14の処理後、CPU46は、映像データの改ざんの有無の検出を行う(S15)。この改ざん検出処理の詳細については後述する。
CPU46は、改ざん検出処理の結果、映像データの改ざんが検出されたか否かを判別する(S16)。改ざんが検出されなかった場合(S16、NO)、CPU46は、すり替え検出フラグF1が値1であるか否かを判別する(S17)。
すり替え検出フラグF1が値0である場合(S17、NO)、つまり、証明書のすり替えが行われていない場合、CPU46は、証明書のすり替えが無くかつ改ざんが無かった旨の画面(図11参照)をモニタ43に表示する(S18)。この後、CPU46は図8に示す処理を終了する。
一方、すり替え検出フラグF1が値1である場合(S17、YES)、証明書のすり替えが行われた可能性があるので、CPU46は、証明書のすり替えが不明でありかつ改ざんが無かった旨の画面(図12参照)をモニタ43に表示する(S19)。この場合、改ざんが無いことは確認されたが、すり替えが無いことは確認できなかったので、ユーザに対し、M2M証明書の公開鍵と鍵ペアでない秘密鍵で署名されていることを報知する。つまり、この映像データが監視カメラ10からダウンロードされたものでない可能性があるので、一致しているか否かの確認を促し、注意を喚起する。この後、CPU46は図8に示す処理を終了する。
また、映像データの改ざんが検出された場合(S16、YES)、CPU46は、改ざんが有った旨の画面(図13参照)をモニタ43に表示する(S20)。この後、CPU46は図8に示す処理を終了する。
図9は、ステップS11におけるすり替え検出手順の一例を示すフローチャートである。CPU46は、映像データとともに入力した入力証明書Aを発行した認証局の情報が、予めメモリ48に記憶されている特定CA(つまり、中間CA60)の情報と一致するか否かを判別する(S31)。
ステップS31の処理において、CPU46は、入力証明書Aに含まれる認証局の情報(例えば発行者の識別名)が特定CA(つまり、中間CA60)の情報(つまり、中間CAの識別名)と一致しないと判断した場合(S31、NO)、CPU46は、入力証明書AがM2M証明書から別の証明書にすり替えられたと判定し(S37)、図9に示す処理を終了する。本実施形態では、監視カメラ10から映像データ及びM2M証明書がネットワーク上で送信される過程又は映像データ及びM2M証明書が記録された記録媒体27が物理的な移動によって検出PC40に届くまでの過程ですり替えがされていなければ、検出PC40が入力した入力証明書Aは監視カメラ10のために発行されたM2M証明書である。ところが、ステップS37で入力証明書Aの認証局情報(例えば、発行者の識別名)が中間CA60の識別名でない場合には、入力証明書Aは中間CA60により発行されたM2M証明書ではないことになる。この場合、入力証明書Aは、M2M証明書101ではなく、すり替えられた別の証明書となる。
一方、ステップS31で一致する場合、つまり、入力証明書Aの認証局の情報と特定CAの情報とが同じである場合(S31、YES)、検出PC40のCPU46は、入力証明書A(つまり、この時点ではM2M証明書と判断可能)に含まれる署名を特定CA(つまり、この時点では中間CAと判断可能)に関する中間CA証明書102に含まれる公開鍵(つまり、中間CA60の公開鍵)で復号し、入力証明書Aのハッシュ値Cを導出する(S32)。更に、CPU46は、一方向性関数を用いて、入力証明書Aのハッシュ値Dを計算する(S33)。
CPU46は、ステップS32で復号した入力証明書Aのハッシュ値Cと、ステップS33で計算した入力証明書Aのハッシュ値Dとが一致するか否かを判別する(S34)。一致した場合、CPU46は、入力証明書のすり替え無し、つまり、入力証明書Aが正当な(つまり、改ざんがされていない)M2M証明書であると判定する(S35)。この後、CPU46は図9に示す処理を終了する。一方、ステップS35で一致しなかった場合、すり替え有り、つまり、入力証明書Aが正当な(つまり、改ざんがされていない)M2M証明書でないと判定する(S36)。この後、CPU46は図9に示す処理を終了する。
図10は、ステップS15における改ざん検出手順の一例を示すフローチャートである。CPU46は、映像データに付加された署名を抽出する(S41)。CPU46は、図8に示すステップS12において映像データとともに入手した入力証明書AがM2M証明書であると判断できた場合に、M2M証明書に含まれる監視カメラ10の公開鍵を用いて、署名を復号し、ハッシュ値HAを導出する(S42)。
CPU46は、一方向性関数を用いて、映像データのハッシュ値HBを計算する(S43)。CPU46は、ステップS42で導出されたハッシュ値HAと、ステップS43で計算されたハッシュ値HBとが一致するか否を判別する(S44)。
ハッシュ値HAとハッシュ値HBとが一致する場合、CPU46は、改ざんが無しであると判定する(S45)。一方、ハッシュ値HAとハッシュ値HBとが不一致である場合、CPU46は、改ざんが有りと判定する(S46)。ステップS45、S46の処理後、CPU46は図10に示す処理を終了する。
図11は、改ざん無しかつすり替え無しの場合に表示される画面の一例を示す図である。ステップS18で、映像データの改ざんが無しかつ証明書のすり替えが無しであると判定された場合、モニタ43には、映像データの改ざん及び証明書のすり替えがともに無く、安全であるとして、「OK(安全です)」のメッセージ及びこの背景色(例えば緑)を含む画面がポップアップ表示される。また、この画面の中央には、監視カメラ10の機種名en及びMACアドレスeaが記載されている。これにより、検出PC40は、ユーザに対し、映像データの改ざんが無く、M2M証明書のすり替えが無く、安全であることを簡単に視認させることができる。
図12は、改ざん無しかつすり替え不明の場合に表示される画面の一例を示す図である。ステップS19で、映像データの改ざんが無しかつ証明書のすり替えが有りと判定された場合、モニタ43には、改ざんが無しとして、「OK」のメッセージ及びこの背景色(例えば青)を含む画面がポップアップ表示される。また、この画面には、第三者が署名していること、つまり、M2M証明書でない証明書の公開鍵と鍵ペアである秘密鍵で署名が行われていること、及び使用した証明書が監視カメラ10からダウンロードしたものであるかの確認を促すことが表示される。これにより、検出PC40は、ユーザに対し、証明書が変わっていることの注意喚起を行うことができる。
図13は、改ざん有りの場合に表示される画面の一例を示す図である。ステップS20で、映像データの改ざんが有りと判定された場合、モニタ43には、改ざん有りとして、「改ざん検出」のメッセージ、「×」マーク及び背景色(例えば赤)を含む画面がポップアップ表示される。これにより、検出PC40は、ユーザに対し、映像データが改ざんされていることを警告できる。
以上により、本実施形態の映像データ検証システム5では、次のような事象を防ぐことが可能である。図14は、改ざんの検出が行われる事象の説明図である。監視カメラ10は、撮像された映像データに署名を付加したファイルと、M2M証明書のファイルとの2つのファイルを記録媒体27に記録する。ユーザが記録媒体27を提出先C2に持参し、検出PC40が記録媒体27に記録された2つのファイルを読み込むまでの間に、悪意のあるユーザが改ざん用PC90を用いて映像データを改ざんし、署名及び証明書の両方を差し替えることを想定する。即ち、M2M証明書101は、別の証明書101Aにすり替えられ、監視カメラ10により撮像された映像データに対して生成された署名が別の署名にすり替えられる。ここで、別の署名とは、例えば映像データが悪意のあるユーザによって改ざんされてしまった後の改ざん後映像データに対して生成された署名である。
このような場合、上記別の署名を生成するために、改ざん用PC90で生成された秘密鍵が使用され、上記別の証明書101Aにはその秘密鍵に対応する公開鍵が含まれることになる。従って、署名及び証明書の両方が悪意あるユーザによりすり替えられてしまうと、検出PC40は、改ざん後映像データに対して生成された署名の検証を行う際、別の証明書101Aに含まれる公開鍵(即ち、悪意あるユーザの改ざん用PC90で生成された公開鍵)を使用するので、改ざん後映像データに対する署名の検証が成功し、映像データの改ざんを検出することができない。
しかしながら、本実施形態では、監視カメラ10の製造段階で監視カメラ10に特有のM2M証明書101が中間CA60によって発行され、出荷前に監視カメラ10にM2M証明書101がプリインストールされる。このため、監視カメラ10の映像データに付随する署名は、中間CA60により発行されたM2M証明書101に含まれる公開鍵に対応する秘密鍵で生成される。M2M証明書101は、監視カメラ10に対応して設けられた証明書であり、その発行者である中間CA60に関する中間CA証明書102が検出PC40に取得されていれば、中間CA証明書102によってその正当性が確認される。検出PC40は、上記第1条件を含む図9のフローに従って、証明書のすり替えの有無を判断することができる。従って、映像データ検証システム5によれば、映像データとともに記録されたM2M証明書101が悪意あるユーザによって別の証明書にすり替えられた場合には、そのすり替えを容易に検出することができるので、例えば映像データの真正性(例えば改ざんの有無)を正確に確認することができる。
また、監視カメラ10は、M2M証明書101及び映像データとともに、映像データに付与された署名を検出PC40に送信する。検出PC40は、署名を用いて映像データの改ざんを検出する。このように、正当な証明書を用いることで、映像データの改ざんの有無において、正しい検証結果が得られる。
また、検出PC40は、M2M証明書101を検証した後、映像データの改ざんを検出する。これにより、ユーザに対し、映像データの改ざんが無かったと判定されても、証明書がすり替わっていることの注意喚起を行うことができる。
また、検出PC40は、検証の結果、M2M証明書101の正当性が確認され、かつ、改ざんが検出されなかった場合、M2M証明書101のすり替えが無くかつ改ざんが無かった旨の画面をモニタ43に表示する。これにより、ユーザは、モニタ43の画面でM2M証明書101のすり替え無し及び映像データの改ざん無しであることを視認でき、安全であることを確認できる。
また、検出PC40は、検証の結果、M2M証明書101の正当性が確認されず、かつ、映像データの改ざんが検出されなかった場合、M2M証明書101のすり替えが不明でありかつ改ざんが無かった旨の画面をモニタ43に表示する。これにより、ユーザは、モニタ43の画面でM2M証明書のすり替え有り及び映像データの改ざん無しであることを確認できる。従って、ユーザに対し、映像データが改ざんされている可能性があることの注意喚起を行うことができる。
また、検出PC40は、映像データの改ざんが検出された場合、改ざんが有った旨の画面をモニタ43に表示する。これにより、ユーザは、モニタ43の画面で映像データが改ざんされていることを視認できる。従って、ユーザに対し、映像データが改ざんされていることを警告できる。
以上、図面を参照しながら実施形態について説明したが、本発明はかかる例に限定されないことは言うまでもない。当業者であれば、特許請求の範囲に記載された範疇内において、各種の変更例又は修正例に想到し得ることは明らかであり、それらについても当然に本発明の技術的範囲に属するものと了解される。
本発明は、カメラ装置が撮像した映像データとともにカメラ装置に固有の電子証明書を付加して検証装置に出力し、検証装置が映像データとともに取得した電子証明書の移動過程でのすり替えの有無を容易に検出する通信システム、通信方法として有用であり、また、その通信システムにおいて使用されるカメラ装置としても有用である。
5 映像データ検証システム
8 インターネット
10 監視カメラ
21 レンズ
22 イメージセンサ
23、46 CPU
24 エンコーダ
25 ネットワーク通信部
26 撮像部
27 記録媒体
30 製造管理用PC
33 ゲートウェイ
40 検出PC
41 ネットワーク通信部
42 マウス
43 モニタ
45 ハードディスクドライブ
47 メモリカードリーダ
48 メモリ
49 キーボード
60 中間CA
70 ルートCA
90 改ざん用PC
101 M2M証明書
102 中間CA証明書
103 ルートCA証明書

Claims (8)

  1. カメラ装置と検証装置とを含む通信システムであって、
    前記カメラ装置は、撮像エリアを撮像する撮像部を有し、前記カメラ装置に対応して設けられた認証局により生成された第1証明書と、前記撮像部により撮像された前記撮像エリアの映像データとを記録媒体に記録し、
    前記検証装置は、前記認証局に関する第2証明書を有し、前記記録媒体に記録された映像データ及び証明書を読み出した場合に、前記記録媒体から読み出した前記証明書と前記第2証明書とを用いて、前記カメラ装置と前記検証装置との間における前記第1証明書のすり替えの有無を検証する、
    通信システム。
  2. 請求項1に記載の通信システムであって、
    前記カメラ装置は、前記撮像エリアの映像データに対応する署名を生成して前記映像データに付与し、前記署名が付与された前記映像データを前記第1証明書とともに前記記録媒体に記録し、
    前記検証装置は、前記署名を用いて、前記カメラ装置と前記検証装置との間における前記映像データの改ざんの有無を検証する、
    通信システム。
  3. 請求項2に記載の通信システムであって、
    前記検証装置は、前記第1証明書のすり替えの有無を検証した後、前記署名が付与された前記映像データの改ざんの有無を検証する、
    通信システム。
  4. 請求項2又は3に記載の通信システムであって、
    前記検証装置は、モニタを有し、前記検証の結果、前記第1証明書のすり替えが検出されず、かつ前記映像データの改ざんが検出されなかった場合に、前記第1証明書のすり替えが無くかつ前記映像データの改ざんが無かった旨を前記モニタに表示する、
    通信システム。
  5. 請求項2又は3に記載の通信システムであって、
    前記検証装置は、モニタを有し、前記検証の結果、前記第1証明書のすり替えの有無が検証できず、かつ、前記映像データの改ざんが検出されなかった場合に、前記第1証明書のすり替えが不明でありかつ前記映像データの改ざんが無かった旨を前記モニタに表示する、
    通信システム。
  6. 請求項2又は3に記載の通信システムであって、
    前記検証装置は、モニタを有し、前記映像データの改ざんが検出された場合に、前記映像データの改ざんが有った旨を前記モニタに表示する、
    通信システム。
  7. カメラ装置と検証装置とを含む通信システムにおける通信方法であって、
    前記カメラ装置は、撮像部を有し、前記撮像部により撮像エリアを撮像し、前記カメラ装置に対応して設けられた認証局により生成された第1証明書と、前記撮像部により撮像された前記撮像エリアの映像データとを記録媒体に記録し、
    前記検証装置は、前記認証局に関する第2証明書を有しており、前記記録媒体に記録された映像データ及び証明書を読み出した場合に、前記記録媒体から読み出した前記証明書と前記第2証明書とを用いて、前記カメラ装置と前記検証装置との間における前記第1証明書のすり替えの有無を検証する、
    通信方法。
  8. 請求項1〜6のうちいずれか一項に記載の通信システムに用いられる、
    カメラ装置。
JP2015226892A 2015-11-19 2015-11-19 通信システム、通信方法及びカメラ装置 Pending JP2017098672A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015226892A JP2017098672A (ja) 2015-11-19 2015-11-19 通信システム、通信方法及びカメラ装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015226892A JP2017098672A (ja) 2015-11-19 2015-11-19 通信システム、通信方法及びカメラ装置

Publications (1)

Publication Number Publication Date
JP2017098672A true JP2017098672A (ja) 2017-06-01

Family

ID=58818196

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015226892A Pending JP2017098672A (ja) 2015-11-19 2015-11-19 通信システム、通信方法及びカメラ装置

Country Status (1)

Country Link
JP (1) JP2017098672A (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019047331A (ja) * 2017-09-01 2019-03-22 株式会社リコー データ生成装置、データ生成方法、プログラム及びデータ記録システム
JP2020048091A (ja) * 2018-09-20 2020-03-26 日本放送協会 コンテンツ取得記録装置、コンテンツアップロード装置、コンテンツ検証装置およびそれらのプログラム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019047331A (ja) * 2017-09-01 2019-03-22 株式会社リコー データ生成装置、データ生成方法、プログラム及びデータ記録システム
JP2020048091A (ja) * 2018-09-20 2020-03-26 日本放送協会 コンテンツ取得記録装置、コンテンツアップロード装置、コンテンツ検証装置およびそれらのプログラム
JP7249752B2 (ja) 2018-09-20 2023-03-31 日本放送協会 コンテンツアップロード装置、コンテンツ検証装置およびそれらのプログラム

Similar Documents

Publication Publication Date Title
EP3710974B1 (en) Method and arrangement for detecting digital content tampering
US20220029807A1 (en) Blockchain id connect
KR102450025B1 (ko) 암호화 방법 및 시스템
US9762590B2 (en) System and method for an integrity focused authentication service
US9082279B2 (en) Method for securely dematerializing the transfer of evidence in data-stream production systems, in particular video-surveillance systems
JP4788212B2 (ja) デジタル署名プログラム及びデジタル署名システム
US20030126432A1 (en) Content authentication for digital media based recording devices
CN104349135B (zh) 监控服务器、监控服务器的处理数据的方法以及监控系统
JP2017157926A (ja) 情報処理装置及びプログラム
US20180176503A1 (en) Signature generation system, signature generation apparatus, and signature generation method
JP2000215379A (ja) デジタル計測機器及び画像計測機器
WO2017168901A1 (ja) イメージセンサ、撮像装置、イメージセンサ特定方法、画像偽造防止方法および画像改変制限方法
US20230074748A1 (en) Digital forensic image verification system
US20210383029A1 (en) Information processing program, information processing device, and information processing method
KR101687989B1 (ko) 디지털 포렌식 영상 검증 시스템 및 이에 사용되는 촬영장치와 영상저장장치
US10783278B2 (en) Signature generation device, signature verification device, signature generation method, and signature verification method
JP2017098672A (ja) 通信システム、通信方法及びカメラ装置
JP7026971B2 (ja) デジタル現場調査記録信頼モデルシステム及び方法
JP2013157777A (ja) 情報処理システム及び情報処理方法
JP2005286823A (ja) 画像入力装置、通信システム、制御方法、コンピュータプログラム及び記憶媒体
Bouslimi et al. A telemedicine protocol based on watermarking evidence for identification of liabilities in case of litigation
TW202109373A (zh) 物體辨識系統及方法
US20230012696A1 (en) True secure airgap
JP2009218710A (ja) 撮像装置、情報処理装置、撮像方法、及び情報処理方法
JP4804075B2 (ja) 登録局装置及びシステム