JP2020010217A - 識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 - Google Patents
識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 Download PDFInfo
- Publication number
- JP2020010217A JP2020010217A JP2018130647A JP2018130647A JP2020010217A JP 2020010217 A JP2020010217 A JP 2020010217A JP 2018130647 A JP2018130647 A JP 2018130647A JP 2018130647 A JP2018130647 A JP 2018130647A JP 2020010217 A JP2020010217 A JP 2020010217A
- Authority
- JP
- Japan
- Prior art keywords
- identification
- data
- model
- processing
- request source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
【課題】データの識別処理を識別モデル構築処理から分離させてデータセキュリティを向上させることを可能とするデータ識別装置を提供する。【解決手段】本データ識別装置は、識別処理の対象となるデータを生成又は取得するデータ取得部と、外部から受信した識別処理のための識別モデルを用い、このデータについて識別処理を行うデータ識別手段と、識別処理による識別結果が所定条件を満たす場合に、識別結果に係る情報を、識別処理の要求元へ送信させるアクセス制御手段とを有する。ここで、この識別モデルは、要求元から供給された識別対象に係るデータであって、FHE処理の施されたデータを用いて外部で構築されたものであることも好ましい。さらに、この識別モデルはICN技術を用いた通信ネットワーク内のノードで構築され、データ識別装置は、識別モデルの名前又は識別子を指定してノードからこの識別モデルを取得することも好ましい。【選択図】図3
Description
本発明は、データ、特に画像データを用いて特定の対象を識別する技術に関する。
現在、IT技術を用いて様々な革新的サービスを提供し、住民の生活レベル向上にも貢献するスマートシティの実現が期待されている。例えば、監視用のスマートカメラを適切に利用することによって、シティエリア内での犯罪の発生を防止・抑制し、安全な公共空間を維持することが可能となる。
このようなカメラ画像を用いた監視システムの典型的な従来例を図5に示す。図5によれば、監視用のカメラ9が複数設置されており、各カメラで撮影された画像(映像)データが、暗号化された上でクラウド8へ常時アップロードされている。また、クラウド8では、画像識別用の学習済みモデルが予め構築されている。
次いで、クラウド8は、暗号化された識別要求対象の画像(対象画像)を、要求元である端末7からのキュー(リクエスト)として受け取り、受信した画像データ群について当該学習済みモデルを適用して対象識別結果を生成する。この対象識別結果は、例えば、その時点における対象の画像(又はVDOフレーム)及び対象の位置情報(すなわち背景画像)とすることができる。
最後に、クラウド8は、生成した対象識別結果を、暗号化した上で要求元である端末7へ送信する。これにより、クラウド8は、特定の対象が何処にいるかとの端末7からの質問に答えたことになるのである。
ここで、図5のシステムでは、カメラ9、クラウド8及び端末7の間でやり取りされるデータは全て暗号化されており、攻撃者(例えば盗聴者)による識別対象に係るデータ傍受を阻止可能となっている。ちなみに、この暗号化のための暗号鍵はクラウド8によって管理されることになる。
このような識別対象についてのプライバシーの保護は、画像監視システムにおいて非常に重要な課題となっている。例えば非特許文献1には、画像監視システムにおいてセキュア・ビジュアル・オブジェクト・コーディングを採用し、キューや対象のプライバシーを保護する技術が開示されている。この技術では、ビデオフレームにおける人物(ヒューマンオブジェクト)が符号化され、権限を有さないユーザは、オブジェクトを見ることはできるが、オブジェクトの色彩等の詳細を見ることができないようになっている。
また、例えば非特許文献2は、特徴抽出法の1つであるEigenfaceを用いて人物の顔画像データから特徴量を抽出し、この特徴量に対し準同型符号化方式による暗号化処理を行うことによって、プライバシーの保護を図っている。
ちなみに、以上に述べた非特許文献1及び2のシステムでは、1つのサーバによって画像識別処理が実施されている。この点、例えば非特許文献3に開示された技術では、対象相当の画像部分である前景と、被写体(ブレモーションブラー)によって生じる対象の不明瞭な部分とを分離する処理を実施しており、このような画像データを、複数のファイルに分割してそれぞれ複数の異なるサーバで保存している。
K. Martin and K.N. Plataniotis, "Privacy Protected Surveillance Using Secure Visual Object Coding" IEEE Transactions on Circuits and Systems for Video Technology: Special Issue on Video Surveillance, Vol. 18, No. 8, 2008年,1152〜1162頁
Z. Erkin, Martin. Franz, and J. Guajardo, "Privacy-preserving face recognition" In: Goldberg I., Atallah M.J. (eds) Privacy Enhancing Technologies (PETS) 2009, Lecture Notes in Computer Science book series, Vol 5672. Springer, Berlin, Heidelberg, 2009年
L. Du and Y. Li, "Privacy preserving for human object in video surveillance via visual cryptography", Proceedings 2014 IEEE International Conference on Security, Pattern Analysis, and Cybernetics (SPAC), 2014年,80〜85頁
しかしながら、以上に説明したような従来技術においても依然、識別対象のプライバシーを十分に保護するデータセキュリティの確保について問題を抱えているのが実情である。
例えば、図5に示した画像監視システムでは、例えばクラウド8がウイルス等の侵入を許してしまうと結局、キューやターゲットのプライバシーを保護することができなくなる。すなわち、侵入者も、対象が誰であって何処にいるのかについての情報を取得することができてしまうのである。
また、非特許文献1及び2に開示された技術においても結局、1つのサーバ内で画像の識別処理が実施されている。すなわち、当該サーバにおいて必ず識別対象についての識別結果が生成されるのであり、攻撃者からすると攻撃対象を当該サーバに絞ることができ、傍受を試みることが容易になってしまう。
一方、非特許文献3に記載された技術では、たしかに画像データを、複数のファイルに分割してそれぞれ複数の異なるサーバで処理させている。しかしながら、そもそも当該技術では、対象が誰であるかを特定することができず、結局、識別要求元の質問に答えられないのである。
そこで、本発明は、データの識別処理を識別モデル構築処理から分離させてデータセキュリティを向上させることが可能なデータ識別システム、並びに当該システムを実現可能とするデータ識別装置、データ識別プログラム、及びデータ識別方法を提供することを目的とする。
本発明によれば、識別処理の対象となるデータを生成又は取得するデータ取得部と、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
を有するデータ識別装置が提供される。
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
を有するデータ識別装置が提供される。
この本発明によるデータ識別装置において、当該識別モデルは、当該要求元から供給された識別対象に係るデータを用いて構築されたものであることも好ましい。さらに、当該要求元から供給された識別対象に係るデータは、FHE(Fully Homomorphic Encryption,完全準同型暗号)処理を施された暗号化学習用データであり、データ識別手段は、FHE処理を施した当該データについて当該識別処理を行うことも好ましい。
また、本発明によるデータ識別装置の一実施形態として、当該識別モデルは、ICN(Information-Centric Networking)技術を用いた通信ネットワーク内のノードで構築され、本データ識別装置は、当該識別モデルの名前又は識別子を指定して、当該ノードから当該識別モデルを受信する装置通信インタフェースを更に有することも好ましい。さらに、当該識別モデルは、当該要求元から供給された識別対象に係るデータを用いて構築され、装置通信インタフェースは、当該要求元から当該識別モデルの名前又は識別子を取得することも好ましい。
本発明によれば、また、当該要求元である少なくとも1つの要求元装置と、当該識別モデルを構築する少なくとも1つのノードと、以上に述べた少なくとも1つのデータ識別装置とを備えたデータ識別システムであって、
当該要求元装置は、
識別対象に係るデータと、当該データに対応するラベルとに対し、FHE処理を施して暗号化学習用データを生成する暗号化手段と、
当該暗号化学習用データを当該ノードへ送信する要求元通信インタフェースと
を有し、
当該ノードは、
当該暗号化学習用データを受信するノード通信インタフェースと、
当該暗号化学習用データを用いて当該識別モデルを構築するモデル構築手段と
を有し、
ノード通信インタフェースは、構築された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置のデータ識別手段は、受信された当該識別モデルを用いて、データ所得部によって生成又は取得され、FHE処理の施されたデータについて当該識別処理を行う
ことを特徴とするデータ識別システムが提供される。
当該要求元装置は、
識別対象に係るデータと、当該データに対応するラベルとに対し、FHE処理を施して暗号化学習用データを生成する暗号化手段と、
当該暗号化学習用データを当該ノードへ送信する要求元通信インタフェースと
を有し、
当該ノードは、
当該暗号化学習用データを受信するノード通信インタフェースと、
当該暗号化学習用データを用いて当該識別モデルを構築するモデル構築手段と
を有し、
ノード通信インタフェースは、構築された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置のデータ識別手段は、受信された当該識別モデルを用いて、データ所得部によって生成又は取得され、FHE処理の施されたデータについて当該識別処理を行う
ことを特徴とするデータ識別システムが提供される。
この本発明によるデータ識別システムの一実施形態として、当該ノードは、ICN技術を用いた通信ネットワーク内のノードであり、
要求元通信インタフェースは、当該暗号化学習用データによって構築される当該識別モデルを証明するための署名を、当該ノードへ更に送信し、
ノード通信インタフェースは、構築された当該識別モデルの名前又は識別子を当該要求元装置へ送信し、
要求元通信インタフェースは、当該識別処理の要求元として、当該識別モデルの名前又は識別子を当該データ識別装置へ送信し、
装置通信インタフェースは、当該識別モデルの名前又は識別子を指定して、当該識別モデルの要求を発信し、
当該識別モデルの要求を受信したノード通信インタフェースは、当該署名の付与された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置は、受信された当該識別モデルに付与された署名と、当該識別処理の要求元である当該要求元装置から受信された当該識別モデルの名前又は識別子とが対応するものであるか否かを判定する署名照合手段を更に有し、
当該データ識別装置のデータ識別手段は、対応するとの判定に係る当該識別モデルを用いて当該識別処理を行うことも好ましい。
要求元通信インタフェースは、当該暗号化学習用データによって構築される当該識別モデルを証明するための署名を、当該ノードへ更に送信し、
ノード通信インタフェースは、構築された当該識別モデルの名前又は識別子を当該要求元装置へ送信し、
要求元通信インタフェースは、当該識別処理の要求元として、当該識別モデルの名前又は識別子を当該データ識別装置へ送信し、
装置通信インタフェースは、当該識別モデルの名前又は識別子を指定して、当該識別モデルの要求を発信し、
当該識別モデルの要求を受信したノード通信インタフェースは、当該署名の付与された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置は、受信された当該識別モデルに付与された署名と、当該識別処理の要求元である当該要求元装置から受信された当該識別モデルの名前又は識別子とが対応するものであるか否かを判定する署名照合手段を更に有し、
当該データ識別装置のデータ識別手段は、対応するとの判定に係る当該識別モデルを用いて当該識別処理を行うことも好ましい。
また、本発明によるデータ識別システムの他の実施形態として、要求元通信インタフェースは、当該識別処理の要求元として、当該識別モデルの名前又は識別子とともに公開鍵を、当該データ識別装置へ送信し、装置通信インタフェースは、当該公開鍵による暗号化処理の施された当該識別結果に係る情報を、当該識別処理の要求元である当該要求元装置へ送信することも好ましい。
さらに、本発明によるデータ識別システムの具体的な例として、識別処理の対象となる当該データ及び識別対象に係る当該データは、画像データであり、当該データ識別装置のデータ取得部は、当該画像データを生成するカメラを含み、当該データ識別装置のアクセス制御手段は、当該画像データが識別対象を含むとの識別結果を得た場合に、当該識別対象を含む画像部分データを、当該識別処理の要求元である当該要求元装置へ送信させることも好ましい。
また、この画像データを取り扱う具体例において、当該データ識別装置は、当該画像データから背景データ分を分離する背景分離手段を更に有し、
当該データ識別装置のデータ識別手段は、当該背景データ分の分離された当該画像データについて当該識別処理を行い、
装置通信インタフェースは、当該識別対象を含む画像部分データと、当該背景データとを、当該識別処理の要求元である当該要求元装置へ送信し、
当該要求元装置は、受信された当該識別対象を含む当該画像部分データと当該背景データとを結合させ、当該識別対象を含む画像データを生成する画像合成手段を更に有することも好ましい。
当該データ識別装置のデータ識別手段は、当該背景データ分の分離された当該画像データについて当該識別処理を行い、
装置通信インタフェースは、当該識別対象を含む画像部分データと、当該背景データとを、当該識別処理の要求元である当該要求元装置へ送信し、
当該要求元装置は、受信された当該識別対象を含む当該画像部分データと当該背景データとを結合させ、当該識別対象を含む画像データを生成する画像合成手段を更に有することも好ましい。
本発明によれば、さらに、識別処理の対象となるデータを生成又は取得するデータ取得部を有するデータ識別装置に搭載されたコンピュータを機能させるプログラムであって、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
としてコンピュータを機能させるデータ識別プログラムが提供される。
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
としてコンピュータを機能させるデータ識別プログラムが提供される。
本発明によれば、さらにまた、識別処理の対象となるデータを生成又は取得するデータ取得部を有するデータ識別装置に搭載されたコンピュータにおけるデータ識別方法であって、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うステップと、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるステップと
を有するデータ識別方法が提供される。
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うステップと、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるステップと
を有するデータ識別方法が提供される。
本発明によれば、データの識別処理を識別モデル構築処理から分離させてデータセキュリティを向上させることが可能となる。
以下、本発明の実施形態について、図面を用いて詳細に説明する。
[データ識別システム]
図1は、本発明によるデータ識別システムの一実施形態を示す模式図である。
図1は、本発明によるデータ識別システムの一実施形態を示す模式図である。
図1に示した、本実施形態のデータ識別システム5は、
(a)識別・追跡対象の物体を撮影可能であり、撮影した画像(映像)のデータを用いて当該物体の識別・追跡処理が可能なデータ識別装置である1つ又は複数のカメラ1と、
(b)カメラ1に対し当該物体の識別・追跡処理を要求して識別結果を取得する、識別・追跡処理の要求元装置としての端末3と、
(c)端末3から取得した学習用データを用いて、カメラ1で実施される識別・追跡処理に使用される識別モデルを構築する、通信ネットワークのノードである1つ又は複数のモデル構築サーバ2と
を備えている。
(a)識別・追跡対象の物体を撮影可能であり、撮影した画像(映像)のデータを用いて当該物体の識別・追跡処理が可能なデータ識別装置である1つ又は複数のカメラ1と、
(b)カメラ1に対し当該物体の識別・追跡処理を要求して識別結果を取得する、識別・追跡処理の要求元装置としての端末3と、
(c)端末3から取得した学習用データを用いて、カメラ1で実施される識別・追跡処理に使用される識別モデルを構築する、通信ネットワークのノードである1つ又は複数のモデル構築サーバ2と
を備えている。
ここで、追跡対象となる物体には、人物、動物、自動車等の乗り物や、その他移動し得る物理対象等、撮影可能であれば様々なものが該当する。また、撮影される場所も、特に限定されるものではない。例えば、一般市民、観客、通勤者、買い物客、労働者、歩行者や、ランナー等が追跡対象として映り得る広範な地域エリアといった屋外であってもよく、さらには会社、学校、店舗や、ショッピングモールの内部といった屋内とすることもできる。
同じく図1によれば、本実施形態のデータ識別システム5では、具体的に、
(A)端末3は、識別対象に対する「権限を有する識別処理要求元」として、識別対象に係るデータ(図1では対象人物の画像データ)と、当該データに対応するラベルとに対し、FHE(Fully Homomorphic Encryption,完全準同型暗号)処理を施して「暗号化学習用データ」を生成し、「暗号化学習用データ」をモデル構築サーバ2へ送信し、
(B)モデル構築サーバ2は、「ファンクションプロバイダ」として、受信した「暗号化学習用データ」を用いて「識別モデル」を構築して、構築した「識別モデル」を、(識別モデル要求元である)カメラ1へ送信し、
(C)カメラ1は、「データオーナ」として、自ら生成したデータ(図1では撮影した画像(映像)データ)に対してFHE処理を施し、FHE処理の施されたデータについて、受信した「識別モデル」を用いて識別処理を実施する
ことを特徴としている。
(A)端末3は、識別対象に対する「権限を有する識別処理要求元」として、識別対象に係るデータ(図1では対象人物の画像データ)と、当該データに対応するラベルとに対し、FHE(Fully Homomorphic Encryption,完全準同型暗号)処理を施して「暗号化学習用データ」を生成し、「暗号化学習用データ」をモデル構築サーバ2へ送信し、
(B)モデル構築サーバ2は、「ファンクションプロバイダ」として、受信した「暗号化学習用データ」を用いて「識別モデル」を構築して、構築した「識別モデル」を、(識別モデル要求元である)カメラ1へ送信し、
(C)カメラ1は、「データオーナ」として、自ら生成したデータ(図1では撮影した画像(映像)データ)に対してFHE処理を施し、FHE処理の施されたデータについて、受信した「識別モデル」を用いて識別処理を実施する
ことを特徴としている。
ここで、FHE処理は、当該処理によって暗号化されたデータに対し、復号することなく加法及び乗法を含めた代数演算処理を実施し、暗号化された結果を得ることが可能な処理である。本データ識別システム5では、モデル構築サーバ2が、FHE処理済みの学習用データを用いて「識別モデル」の構築を行い、一方、このサーバ2とは異なる装置であるカメラ1が、同じくFHE処理済みの識別対象データを用いて識別処理を実施している。
これにより、トレーニング・データ及びテスティング・データの機密性をそれぞれの処理場所で確保しつつ、機械学習アルゴリズムの実行を中間ノードに委ねた上で、ターミナルにおけるセキュアな識別処理を実施することが可能となるのである。
さらに、本実施形態において、データ識別システム5の通信ネットワークは、ICN(Information-Centric Networking)技術を用いて構築されている。ICNは、コンテンツをネットワーク内で共有し、サーバ(ロケーション)ではなくコンテンツ名によってネットワーク機能を動作させてコンテンツを要求元に配信可能とする技術である。これにより、コンテンツのダウンロード時間が短縮される。
ICNアーキテクチャでは、具体的に、中間にある各ルータがコンテンツのコピーをキャッシュし、コンテンツを要求元へ転送する。すなわち要求元は、コンテンツ所有者又は発行者に係るサーバとは無関係に、中間ルータからコンテンツのコピーを取得することができる。ここで、要求元は、リクエストパケットであるインタレストパケットを発信し、コンテンツデータであるデータパケットを取得するが、いずれもコンテンツ名によってルーティングされる。
このようなコンテンツ名ルーティング、及びネットワーク内キャッシングによって、従来のIPベースのネットワークに比べ、より効率的且つより高速にコンテンツリトリーバルを実施することが可能となるのである。
このように、モデル構築サーバ2がICN技術を用いた通信ネットワーク内の中間ノードである実施形態をとるデータ識別システム5においては、その特徴として、
(D)端末3は、「暗号化学習用データ」によって構築される「識別モデル」の完全性及び当該モデルへのアクセス権限を証明するための「署名」を、「暗号化学習用データ」と合わせてモデル構築サーバ2へ更に送信し、
(E)モデル構築サーバ2は、構築された「識別モデルの名前又は識別子」を端末3へ送信し、
(F)端末3は、識別処理の要求元として、取得した「識別モデルの名前又は識別子」を(図1では全ての)カメラ1へ送信(同報)し、
(G)「識別モデルの名前又は識別子」を受信した各カメラ1は、当該「識別モデルの名前又は識別子」を指定して、「識別モデルの取得要求」(インタレストパケット)を発信し、
(H)「識別モデルの取得要求」を受信したモデル構築サーバ2は、対応する「署名」の付与された「識別モデル」を、要求元である各カメラ1へ送信し、
(I)各カメラ1は、受信された「識別モデル」に付与された「署名」と、識別処理の要求元である端末3から受信された「識別モデルの名前又は識別子」とが対応するものであるか否かを判定し、対応するとの判定に係る「識別モデル」を用いて識別処理を行う
のである。
(D)端末3は、「暗号化学習用データ」によって構築される「識別モデル」の完全性及び当該モデルへのアクセス権限を証明するための「署名」を、「暗号化学習用データ」と合わせてモデル構築サーバ2へ更に送信し、
(E)モデル構築サーバ2は、構築された「識別モデルの名前又は識別子」を端末3へ送信し、
(F)端末3は、識別処理の要求元として、取得した「識別モデルの名前又は識別子」を(図1では全ての)カメラ1へ送信(同報)し、
(G)「識別モデルの名前又は識別子」を受信した各カメラ1は、当該「識別モデルの名前又は識別子」を指定して、「識別モデルの取得要求」(インタレストパケット)を発信し、
(H)「識別モデルの取得要求」を受信したモデル構築サーバ2は、対応する「署名」の付与された「識別モデル」を、要求元である各カメラ1へ送信し、
(I)各カメラ1は、受信された「識別モデル」に付与された「署名」と、識別処理の要求元である端末3から受信された「識別モデルの名前又は識別子」とが対応するものであるか否かを判定し、対応するとの判定に係る「識別モデル」を用いて識別処理を行う
のである。
このように、カメラ1は、要求元から取得した「識別モデルの名前又は識別子」と、モデル構築元から取得した「署名」とを照合して、要求元の指示により取得した「識別モデル」の使用適否を判断するので、結果的に、要求元の所望する識別処理を確実に実施することが可能となる。
また、カメラ1は、本発明によるデータ識別装置として、
(ア)識別処理の対象となるデータを生成又は取得し(図1では撮影によって画像(映像)データを生成し)、
(イ)外部(図1ではモデル構築サーバ2)から受信した「識別モデル」を用い、生成又は取得した当該データについて識別処理を行い、
(ウ)識別処理による識別結果が所定条件を満たす場合に、識別結果に係る情報を、識別処理の要求元(図1では端末3)へ送信する
ことを特徴としている。
(ア)識別処理の対象となるデータを生成又は取得し(図1では撮影によって画像(映像)データを生成し)、
(イ)外部(図1ではモデル構築サーバ2)から受信した「識別モデル」を用い、生成又は取得した当該データについて識別処理を行い、
(ウ)識別処理による識別結果が所定条件を満たす場合に、識別結果に係る情報を、識別処理の要求元(図1では端末3)へ送信する
ことを特徴としている。
ここで、上記(ウ)の「所定条件」としては、種々の設定が可能であるが、本実施形態では、カメラ1で生成された画像データが、モデル構築の際に学習した識別対象(人物)を含んでいること、と設定されてもよい。
このように、カメラ1は、外部で構築された「識別モデル」を用いることによって、データの識別処理を、識別モデル構築処理から分離させた形で実施する。さらに、カメラ1(カメラ1群)へのアクセス管理制御を複雑にすることなく、正当な要求元に報告すべきデータ識別結果を当該要求元のみに送信することができる。その結果、データセキュリティを向上させることが可能となる。すなわち本実施形態では、端末3が要求する「誰が何処にいるか」といったプライバシーに係る識別結果情報をよりセキュアに生成し、要求元である端末3にだけ、より確実に通知することができるのである。
なお、本実施形態においてカメラ1は、上記(ア)の当該データを自ら「生成」するのであるが、変更態様として、本発明によるデータ識別装置は、例えばカメラ等のデータ生成手段に(例えば外部に対して閉じている有線通信網をもって)接続された装置であってもよい。この場合、当該装置は、当該データ生成手段から当該データを「取得」することになる。
また、本発明によるカメラ1、及びデータ識別システム5において、識別に係るデータに対しFHE処理を実施し、ICN技術を用いた通信ネットワークをベースにすることは必須ではない。しかしながら、これらの技術を採用することによって、上述したようにデータセキュリティを大幅に向上させた、且つより効率的な(すなわちより少ない通信帯域の使用でより低遅延な)データ識別処理が可能となるのである。
さらに、本実施形態のデータ識別システム5では、モデル構築可能な中間ノードとしてのモデル構築サーバ2は1つであるが、複数設置することも可能である。この場合例えば、端末3は、識別対象が存在している可能性の高いエリアに設置されたカメラ1群に対しより近い位置にあるサーバ2を、適宜選択して使用してもよい。
また、カメラ1については、システム5内で1つだけ設置することも可能ではあるが、本実施形態のように複数設置されていることが好ましい。例えば、多数のカメラ1を用いてより広範囲をカバーすることによって、識別対象を含む画像データをより確実に生成し、識別することが可能となるのである。
例えば、スマートシティにおける多ユーザ向け監視サービスにおいて、カメラ1を街中に多数設置することによって分散処理系を構成し、ユーザのプライバシーに係る情報を漏らすことなく、監視カメラの適切な共有が可能となるのである。なお従来、このような監視サービスプラットフォームは、警察のクラウドといった形で中央管理システムの下で運営されてきた。この場合当然に、監視サービスを受けることができるのはデータ所有者のみであった。
ちなみに、本データ識別システム5は、識別対象の監視サービスを要求するユーザ(端末3)が、識別対象に関する権限を有するとの前提の下、以下のW3プライバシーモデルを満たすものとすることができる。
(a)ユーザ(端末3)は対象画像を所有する。ユーザは「誰が対象であるか」を知っており、「対象が何処にいるか」を知ろうとする。
(b)データオーナ(カメラ1)は「誰が対象であるか」を知らないが、対象がカメラ内にいるか否かを知ることができる。
(c)ファンクションプロバイダ(モデル構築サーバ2)は、「誰が対象であるか」、「対象が何処にいるか」、及び「解読/暗号鍵」を知ることはない。
(a)ユーザ(端末3)は対象画像を所有する。ユーザは「誰が対象であるか」を知っており、「対象が何処にいるか」を知ろうとする。
(b)データオーナ(カメラ1)は「誰が対象であるか」を知らないが、対象がカメラ内にいるか否かを知ることができる。
(c)ファンクションプロバイダ(モデル構築サーバ2)は、「誰が対象であるか」、「対象が何処にいるか」、及び「解読/暗号鍵」を知ることはない。
またこの場合、本データ識別システム5においては、ファンクションプロバイダ(モデル構築サーバ2)をサードパーティとして、ユーザ/サードパーティ間、データオーナ/サードパーティ間で暗号鍵を交換することなく、暗号化されたデータに基づいた識別モデル構築を、サードパーティに委託することが可能となるのである。
すなわち、このデータ識別システム5では、トレーニング・プロセスは、テスティング・プロセスとは別のサードパーティで実施され、しかも識別モデルは、FHE処理された暗号化データに基づいて構築されるので、ユーザ/サードパーティ間での暗号鍵の交換が不要となる。さらに、識別モデルに署名を付与することによって、テスティング・プロセスは、識別モデルを取得したデータオーナにおいてセキュアな形で実施される。また、データオーナは、生成・取得データや識別結果をサードパーティに送る必要がない。これにより、サードパーティは「誰が対象であるか」を知ることが一切なく、結果的に一貫してデータのプライバシーが確実に保護されるのである。
なお、以上に説明したデータ識別システム5では画像(映像)データが処理対象となっており、データ識別装置であるカメラ1は、画像(映像)データを生成又は取得している。しかしながら、本発明によるデータ識別装置によって生成・取得され、システムで取り扱われるデータは当然、画像(映像)データに限定されるものではない。例えば、データ識別装置がマイクを含み、システム全体が、識別対象である(人物や設備機械等を含む)音声発生体を特定可能な音声データを処理対象とする構成となっていてもよい。さらに、画像データや音声データ、さらにはその他のセンシングデータが並行して処理され、識別処理に使用される実施形態をとることも可能である。
[要求元装置(端末3)]
図2は、本発明に係る要求元装置及びノードの一実施形態における機能構成を示す機能ブロック図である。
図2は、本発明に係る要求元装置及びノードの一実施形態における機能構成を示す機能ブロック図である。
図2の上方の機能ブロック図に示すように、本実施形態の端末3は、要求元通信インタフェースである端末通信インタフェース(IF)301と、対象画像保存部302と、タッチパネル・ディスプレイ(TP・DP)303と、プロセッサ・メモリとを有する要求元装置となっている。
ここで、このプロセッサ・メモリは、本発明に係るデータ識別要求元プログラムの一実施形態を保存しており、また、コンピュータ機能を有していて、このデータ識別要求元プログラムを実行することによって、データ識別要求元としての情報処理を実施する。このことから、端末3は、データ識別要求元専用装置又はユニットであってもよいが、本発明に係るデータ識別要求元プログラムを搭載した、例えばスマートフォン、タブレット型若しくはノート型コンピュータ、又はパーソナル・コンピュータ(PC)等とすることも可能である。
さらに、このプロセッサ・メモリは、対象画像管理部311と、特徴量抽出部312と、ラベリング部313と、FHE(Fully Homomorphic Encryption)処理部314と、署名管理部315と、モデル検証部321と、公開鍵管理部322と、復号化処理部331と、画像合成部332と、通信制御部341と、入出力制御部342とを有する。なお、これらの機能構成部は、プロセッサ・メモリに保存されたデータ識別要求元プログラムの機能と捉えることができる。また、図2における端末3の機能構成部間を矢印で接続して示した処理の流れは、端末3におけるデータ識別要求元での情報処理方法の一実施形態としても理解される。
同じく図2において、対象画像管理部311は、モデル構築サーバ2の下で識別モデルを構築するための学習用データを生成するのに使用される、識別対象の含まれた画像データ(対象画像データ)や含まれていない画像データを、対象画像保存部302に保存したり、対象画像保存部302から取り出したりして適宜管理する。
特徴量抽出部312は、対象画像管理部311より入力した対象画像データから、特徴量を抽出する。具体的には、対象画像データを、HOG(Histograms of Oriented Gradients)やEigenfaceといった特徴量抽出法によって特徴量(特徴ベクトル)に変換する。この特徴量は対象画像データを特徴付ける量となっている。
ラベリング部313は、対象画像管理部311から入力した画像データに対し、ラベルを付与する。例えば、対象画像データにはラベル「1」を、識別対象を含まない画像データには「0」を付与してもよい。ちなみに、具体的なラベリングの方法として、ラベリング作業者が、例えばタッチパネル・ディスプレイ303に順次表示される画像データを視認しながら、ラベル値を判断して入力することも好ましい。
FHE処理部314は、対象画像データ毎に、抽出された特徴量と対応するラベルとを取り込んで、これらのデータに対し、FHE(完全準同型暗号)処理を施して暗号化学習用データを生成する。
署名管理部315は、FHE処理部314で生成された暗号化学習用データによって構築される識別モデルの完全性及び当該モデルへのアクセス権限を証明するための署名を管理する。この署名は、例えば、対象画像データ及び公開暗号鍵をTPA(Trusted Party Agency,第三者機関)に送付し、その認定証としてこのTPAから取得されたものであってもよい。
同じく図2において、通信制御部341は、端末通信インタフェース301に対し、
(a)FHE処理部314で生成された暗号化学習用データと、
(b)対応する署名と
をモデル構築サーバ2へ送信させる。
(a)FHE処理部314で生成された暗号化学習用データと、
(b)対応する署名と
をモデル構築サーバ2へ送信させる。
また、通信制御部341は、モデル構築サーバ2から端末通信インタフェース301を介して受信した、構築された識別モデルのモデル名又はモデル識別子(ID)をモデル検証部321へ出力する。モデル検証部321は、入力したモデル名又はIDから、モデル構築サーバ2で識別対象用のモデルが構築されたことを検証・確認し、検証・確認結果を通信制御部341へ返す。
次いで、通信制御部341は、端末通信インタフェース301に対し、
(a)当該モデル名又はIDと、
(b)公開鍵管理部322で管理されていた公開鍵と
を全てのカメラ1へ送信(同報)させる。
(a)当該モデル名又はIDと、
(b)公開鍵管理部322で管理されていた公開鍵と
を全てのカメラ1へ送信(同報)させる。
さらに、通信制御部341は、(識別結果を要求元へ報告することを決定した)カメラ1から端末通信インタフェース301を介して受信した、公開鍵によって暗号化された暗号化識別結果を復号化処理部331へ出力する。次いで、復号化処理部331は、予め保持していた対応する秘密鍵によって、入力した暗号化識別結果に対し復号化処理を施し、復号した識別結果を画像合成部332へ出力する。
画像合成部332は、当該復号した識別結果と、カメラ1から合わせて送信されてきた背景画像データ(背景データ)とを用いて、識別対象を含む画像データを生成する。具体的には、当該復号した識別結果は、前景データ、すなわち識別対象の画像部分(識別対象を含む画像部分データ)となっており、画像合成部332は、当該前景データと、当該背景データとを結合させて、識別対象を含む画像データを生成するのである。
また、画像合成部332は、生成した画像データ及び入力した情報に基づいて、識別対象に関する情報を取得してもよい。例えば、当該画像データの発信元であるカメラ1の撮影範囲情報(カメラ設置位置情報)、及び当該画像データ内における識別対象の位置から、識別対象の実空間における所在位置情報を生成することも好ましい。
さらに、ここで生成された識別対象を含む画像データや、生成された識別対象に関する情報は、例えば入出力制御部342を介してタッチパネル・ディスプレイ303へ出力され、例えばユーザの表示要求に応じて表示されてもよい。また、例えば端末3に搭載されたアプリケーション・プログラムに取り込まれて、様々な用途に利用されることも好ましい。例えば、識別対象の刻々の所在位置から、識別対象の実空間における移動経路・滞在位置をグラフィック表示することも可能となる。
[ノード(モデル構築サーバ2)]
次に、本発明に係るノードの機能構成を説明する。図2の下方の機能ブロック図に示すように、本実施形態のモデル構築サーバ2は、ノード通信インタフェース201と、構築モデル保存部202と、プロセッサ・メモリとを有するノードとなっている。
ここで、このプロセッサ・メモリは、本発明に係るモデル構築プログラムの一実施形態を保存しており、また、コンピュータ機能を有していて、このモデル構築プログラムを実行することによって、モデル構築ノードとしての情報処理を実施する。このことから、モデル構築サーバ2は、モデル構築専用装置又はユニットであってもよいが、本発明に係るモデル構築プログラムを搭載した、例えばパーソナル・コンピュータ(PC)やノート型コンピュータ等とすることも可能である。
さらに、このプロセッサ・メモリは、署名付与部211と、モデル構築部212と、構築モデル管理部213と、通信制御部221とを有する。なお、これらの機能構成部は、プロセッサ・メモリに保存されたモデル構築プログラムの機能と捉えることができる。また、図2におけるモデル構築サーバ2の機能構成部間を矢印で接続して示した処理の流れは、モデル構築サーバ2におけるモデル構築方法の一実施形態としても理解される。
同じく図2に示すように、通信制御部221は、端末3からノード通信インタフェース201を介して受信した、暗号化学習用データ及び対応する署名をそれぞれ、モデル構築部212及び署名付与部211へ出力する。
モデル構築部212は、入力した暗号化学習用データを用いて、要求元(端末3)の指定する識別対象を識別する専用の識別モデルを構築する。この識別モデルを構築するための機械学習アルゴリズムとしては、例えばCNN(Convolutional Neural Network,畳み込みニューラルネットワーク)を用いることができる。
ここで、モデル構築に用いられる学習用データは、FHE(完全準同型暗号)処理を施されているので、復号化することなく暗号化されたままでモデル構築に使用可能となっている。ちなみに、このように構築された識別モデルは、そのテスティング・プロセスにおいて、FHE処理されたままの(暗号化されたままの)識別結果データを出力することになる。また、ここで構築された識別モデルには、署名付与部211によって(端末3による)署名が付与される。
構築モデル管理部213は、署名の付与された構築モデルを、構築モデル保存部202に保存しつつ管理する。また、当該構築モデルのモデル名又はIDを決定し、対応する構築モデルに紐づけた上で、要求元の端末3に通知すべく当該モデル名又はIDを通信制御部341へ出力する。
通信制御部221は、ノード通信インタフェース201に対し、構築された識別モデルのモデル名又IDを端末3へ送信させる。
また、通信制御部221は、カメラ1からノード通信インタフェース201を介し、インタレストパケットを受信する。このインタレストパケットは、ICN技術を用いた通信ネットワークにおけるリクエストパケットであり、コンテンツ名又はそのID(本実施形態では「モデル名又はID」)を指定してコンテンツ(本実施形態では識別モデル)を要求するパケットである。ここで、通信制御部221は、当該「モデル名又はID」に該当する識別モデルを構築モデル管理部213から取り寄せ、署名の付与された当該識別モデルを、識別モデル要求元であるカメラ1へ送信させる。
[データ識別装置(カメラ1)]
図3は、本発明によるデータ識別装置の一実施形態における機能構成を示す機能ブロック図である。
図3は、本発明によるデータ識別装置の一実施形態における機能構成を示す機能ブロック図である。
図3によれば、本実施形態のカメラ1は、装置通信インタフェース101と、画像データ保存部102と、カメラ部111aを含むデータ取得部111と、プロセッサ・メモリとを有するデータ識別装置となっている。ここで、このプロセッサ・メモリは、本発明によるデータ識別プログラムの一実施形態を保存しており、また、コンピュータ機能を有していて、このデータ識別プログラムを実行することによって、データ識別処理を実施する。
さらに、このプロセッサ・メモリは、背景減算処理部112と、特徴量抽出部113と、FHE処理部114と、データ識別部115と、復号処理部116と、アクセス制御部117と、公開鍵暗号化部118と、インタレスト要求部121a及び署名照合部121bを含む通信制御部121とを有する。なお、これらの機能構成部は、プロセッサ・メモリに保存されたデータ識別プログラムの機能と捉えることができる。また、図3におけるカメラ1の機能構成部間を矢印で接続して示した処理の流れは、カメラ1におけるデータ識別方法の一実施形態としても理解される。
同じく図3に示すように、通信制御部121は、識別処理要求元である端末3から装置通信インタフェース101を介し、
(a)識別処理に使用すべき識別モデルの「モデル名又はID」と、
(b)返信時暗号化に使用する公開鍵と
を受信する。次いで、通信制御部121のインタレスト要求部121aは、インタレストパケットを発信させる。
(a)識別処理に使用すべき識別モデルの「モデル名又はID」と、
(b)返信時暗号化に使用する公開鍵と
を受信する。次いで、通信制御部121のインタレスト要求部121aは、インタレストパケットを発信させる。
このインタレストパケットは、ICN技術を用いた通信ネットワークにおけるリクエストパケットであり、本実施形態では上記(a)の「モデル名又はID」を指定してコンテンツとしての識別モデルを要求するパケットとなっている。
さらに、通信制御部121は、指定した「モデル名又はID」に該当する、「署名」の付与された識別モデルを、モデル構築サーバ2から装置通信インタフェース101を介して受信する。この際、通信制御部121の署名照合部121bは、上記(a)の「モデル名又はID」と、モデル構築元から取得した「署名」とを照合し、取得された識別モデルの使用適否を判断する。
具体的には、上記(a)の「モデル名又はID」に署名情報が含まれており、署名照合部121bは、当該署名情報と取得した署名とが一致する場合に、取得された識別モデルの使用を許可してもよい。ここで、使用を許可された識別モデルは、データ識別部115へ出力され、識別処理に利用される。
カメラ部111aを含むデータ取得部111は、識別処理の対象となる画像(映像)データを、生成して取得し、画像データ保存部102に適宜保存しつつ管理する。ここで、カメラ部111aは、例えば、CCDイメージセンサ、CMOSイメージセンサ等の固体撮像素子を備えた可視光、近赤外線又は赤外線対応の撮影デバイスである。また、カメラ部111aとしてデプスカメラを用いることも可能である。
さらに、カメラ部111a又はカメラ1全体は、可動であって設置位置、撮影向きや高さを変更可能であることも好ましい。またこの場合、この変更のための制御信号を受信し、当該制御信号に応じた位置等の変更を行う駆動機能を有していてもよい。さらには、カメラ部111a又はカメラ1全体が、移動可能なロボットやドローン等の一部であるような実施形態も可能である。
背景減算処理部112は、データ取得部111から入力した画像データから背景データ分を分離する背景分離手段である。具体的に、背景減算処理部112は、予め多数の画像フレームを収集しておき、これらの画像フレーム内において(所定静止条件を超える)動きを示さない非動作対象の集合を背景画像と特定し、入力した画像データから当該背景画像分を分離し、残った画像部分を識別処理対象の前景データとするのである。また、特定された背景画像である背景データを、端末3へ送信すべく通信制御部121へ出力する。
ちなみに、例えばカメラ1群が公的エリアに設置された監視カメラ群である実施形態では、画像データは、(a)公開データ、及び(b)プライバシーデータの2種に分類される。ここで、背景減算処理部112で生成された背景データは、市民が公的環境・エリアを見る権利を有することからして非センシティブなデータであり、上記(a)の公開データに該当する。したがって、カメラ1で生成された背景データは、要求元である端末3が複数存在している場合において共有可能データの利用効率向上のため、各端末3へ送信されて利用されることも好ましい。
一方、前景データは、画像フレーム内の位置から特定の識別対象(例えば特定人物や特定個人所有の自動車)の所在位置を知ることの可能なセンシティブなデータであり、上記(b)のプライバシーデータに該当することになる。したがって、前景データは、アクセス権限を有するユーザ(本実施形態では要求元の端末3)に対してだけ提供されるのである。なお、本実施形態では上述したように、前景データと背景データとは、識別結果送信先の端末3(の画像合成部332)において結合され、識別対象を含む画像データとなる。
同じく図3において、特徴量抽出部113は、背景減算処理部112から入力した前景データから特徴量を抽出する。具体的には、端末3の特徴量抽出部312(図2)と対応する機能を有し、前景画像データを、HOGやEigenfaceといった特徴量抽出法によって特徴量(特徴ベクトル)に変換する。この特徴量は前景画像データを特徴付ける量となっている。
FHE処理部114は、端末3のFHE処理部314(図2)と対応する機能を有し、特徴量抽出部113で抽出された特徴量に対し、FHE(完全準同型暗号)処理を施して暗号化特徴量を生成する。ここで、FHE処理を実施するのは、モデル構築サーバ2から取得された識別モデルは上述したように、FHE処理済みの学習用データによって構築されたものであるから、当該識別モデルへの入力はFHE処理済みデータでなければならないことによる。
データ識別部115は、モデル構築サーバ2から取得された識別モデルを用い、生成された暗号化特徴量について識別処理を実施し、識別結果を復号化処理部116へ出力する。復号処理部116は、入力した当該識別結果に対してFHEに対する復号化処理を実施し、暗号化されていない本来の識別結果を生成する。
アクセス制御部117は、復号化処理後の識別結果が所定条件を満たす場合にのみ、当該識別結果に係る情報を識別処理要求元の端末3へ送信するように、要求元のアクセスにについて制御を行う。ここで、送信の判断基準となる具体的な所定条件として、本実施形態では、特定の識別対象を識別すべく構築された識別モデルから「入力された特徴量は当該特定の対象に該当する量である」旨の識別結果が出力される、との条件が設定されている。例えば、当該識別モデルが、当該特定の識別対象を含む画像データについてはラベル「1」によって、そうでない画像データについてはラベル「0」によって学習されたものである場合、この所定条件は、「出力されるラベルは「1」である」となる。
公開鍵暗号化部118は、識別要求元の端末3から取得した公開鍵を用いて、アクセス制御部117で送信すべきとされた識別結果に対し暗号化処理を実施する。次いで、通信制御部121は、装置通信インタフェース101に対し、
(a)この暗号化された識別結果と、
(b)背景減算処理部112で生成された背景データと
を、識別処理の要求元である端末3へ送信させる。これにより、カメラ1で生成された識別結果は、当該識別結果を通知すべき正当な要求元である端末3へセキュアな形で移送可能となるのである。
(a)この暗号化された識別結果と、
(b)背景減算処理部112で生成された背景データと
を、識別処理の要求元である端末3へ送信させる。これにより、カメラ1で生成された識別結果は、当該識別結果を通知すべき正当な要求元である端末3へセキュアな形で移送可能となるのである。
[データ識別方法]
図4は、本発明によるデータ識別方法の一実施形態を概略的に示すシーケンス図である。
図4は、本発明によるデータ識別方法の一実施形態を概略的に示すシーケンス図である。
(S101)端末3は、識別対象画像の特徴量及びラベルを生成する。
(S102)端末3は、生成した特徴量及びラベルに対しFHE処理を実施し、暗号化学習用データを生成する。
(S103)端末3は、暗号化学習用データ及び署名をモデル構築サーバ2へ送信する。
(S102)端末3は、生成した特徴量及びラベルに対しFHE処理を実施し、暗号化学習用データを生成する。
(S103)端末3は、暗号化学習用データ及び署名をモデル構築サーバ2へ送信する。
(S104)モデル構築サーバ2は、受信した暗号化学習用データを用いて識別モデルを構築し、当該識別モデルに対し、同じく受信した署名を付与して保存する。
(S105)モデル構築サーバ2は、構築した識別モデルのモデル名を決定して、端末3に通知する。
(S106)端末3は、受信したモデル名から、モデル構築サーバ2で識別対象用のモデルが構築されたことを検証・確認する。
(S105)モデル構築サーバ2は、構築した識別モデルのモデル名を決定して、端末3に通知する。
(S106)端末3は、受信したモデル名から、モデル構築サーバ2で識別対象用のモデルが構築されたことを検証・確認する。
(S111)端末3は、識別対象の識別処理を要求すべく、当該モデル名と返信暗号化用の公開鍵とを、全てのカメラ1に向けてブロードキャストする。
(S112)識別処理要求としての当該モデル名を受信した各カメラ1は、当該モデル名を指定した(ICNノードに向けた)インタレストパケットを発信する。
(S112)識別処理要求としての当該モデル名を受信した各カメラ1は、当該モデル名を指定した(ICNノードに向けた)インタレストパケットを発信する。
(S113)モデル構築サーバ2は、指定されたモデル名に対応した署名付きの識別モデルを、モデル要求元のカメラ1へ送信する。
(S114)各カメラ1は、受信した識別モデルに付与された署名と、識別処理の要求元である端末3から受信したモデル名とが対応するものであるか否かを判定し、対応するとの判定に係る識別モデルを使用することに決定する。
(S114)各カメラ1は、受信した識別モデルに付与された署名と、識別処理の要求元である端末3から受信したモデル名とが対応するものであるか否かを判定し、対応するとの判定に係る識別モデルを使用することに決定する。
(S115)各カメラ1は、撮影動作によって画像データを生成する。
(S116)各カメラ1は、生成した画像データに対し、背景分を分離して前景データを抽出する背景減算処理を実施する。
(S117)各カメラ1は、抽出した前景データについての特徴量を生成する。
(S118)各カメラ1は、生成した特徴量に対し、FHE処理を実施する。
(S116)各カメラ1は、生成した画像データに対し、背景分を分離して前景データを抽出する背景減算処理を実施する。
(S117)各カメラ1は、抽出した前景データについての特徴量を生成する。
(S118)各カメラ1は、生成した特徴量に対し、FHE処理を実施する。
(S119)各カメラ1は、FHE処理の施された特徴量について、署名を検証した識別モデルを用いて識別処理を行い、識別結果を生成する。
(S120)各カメラ1は、生成した識別結果に対し、FHEについての復号化処理を実施し、暗号化されていない識別結果を生成する。
(S120)各カメラ1は、生成した識別結果に対し、FHEについての復号化処理を実施し、暗号化されていない識別結果を生成する。
(S121)各カメラ1は、識別結果が所定条件を満たしているか否か、本実施形態では、識別処理を実施した画像データが識別対象を含んでいるか否か(例えば出力されたラベルが「1」か「0」か)を判定する。
(S122)ステップS121で所定条件を満たしている(識別対象を含んでいる(ラベルが「1」である))との判定を行ったカメラ1は、当該識別結果(識別対象を含む前景データ)に対し、端末3より取得した公開鍵を用いて暗号化処理を実施する。
(S123)当該カメラ1は、暗号化した識別結果(識別対象を含む前景データ)と、ステップS116で分離された背景データとを、識別処理要求元である端末3へ送信する。
(S122)ステップS121で所定条件を満たしている(識別対象を含んでいる(ラベルが「1」である))との判定を行ったカメラ1は、当該識別結果(識別対象を含む前景データ)に対し、端末3より取得した公開鍵を用いて暗号化処理を実施する。
(S123)当該カメラ1は、暗号化した識別結果(識別対象を含む前景データ)と、ステップS116で分離された背景データとを、識別処理要求元である端末3へ送信する。
(S124)端末3は、受信した暗号化した識別結果に対し、予め所持している秘密鍵を用いて復号化処理を実施する。
(S125)端末3は、当該復号化処理の結果として取得された識別対象を含む前景データと、並行して取得した背景データとを結合して識別対象を含む画像データを合成し、当該画像データから、識別対象に関する情報(例えば、識別対象の実空間における所在位置情報)を生成する。
(S125)端末3は、当該復号化処理の結果として取得された識別対象を含む前景データと、並行して取得した背景データとを結合して識別対象を含む画像データを合成し、当該画像データから、識別対象に関する情報(例えば、識別対象の実空間における所在位置情報)を生成する。
以上、データ識別システム5における一連の対象識別処理の一実施形態を説明したが、例えば、上記のステップS115〜S125を繰り返す処理を実施することによって、端末3は、識別対象における刻々の位置情報、すなわち移動経路情報を生成して、当該識別対象を追跡することも可能となる。なおこの場合、ステップS123において毎回、背景データが送信される必要はない。例えばカメラ1が固定されており背景データに変更がないことが見込まれる場合、ステップS123において初回だけ背景データが送信されてもよい。これは、送信される前景データのみが識別対象を含むことによる。
ちなみに、図4に示したシーケンス図から明らかなように、識別モデル構築処理は、ノード(モデル構築サーバ2)で実施され、当該構築処理に使用されるデータは、要求元ユーザ(端末3)ではFHE処理された上で送信されている。したがって、ノード(モデル構築サーバ2)において当該データに係る情報(識別対象に係る情報)が知られることはない。また、データオーナ(カメラ1)と要求元ユーザ(端末3)との間の暗号化通信のためのキー生成は要求元ユーザ(端末3)で行われる。このように、本システムでは、第三者が仲介してキーを取得可能となるいわゆるキーエスクロー問題が、大幅に軽減されているのである。
以上詳細に説明したように、本発明によれば、データの識別処理が、識別モデル構築処理から分離した形で実施される。さらに、データ識別装置へのアクセス管理制御を複雑にすることなく、要求元に報告すべきデータ識別結果のみが当該要求元へ送信される。その結果、データセキュリティを向上させることが可能となる。
ここで、本発明の利用例として、例えばスマートシティにおける多ユーザ向け監視サービスにおいて、データ識別装置としてのカメラを街中に多数設置することによって分散処理系を構成してもよい。これにより、ユーザのプライバシーに係る情報を漏らすことなく、監視カメラの適切な共有が可能となるのである。
また、本発明によるデータ識別装置によって生成・取得され、システムで取り扱われるデータは、画像(映像)データに限定されるものではなく、例えば、識別対象である(人物や設備機械等を含む)音声発生体を特定可能な音声データを処理対象としてもよい。さらに、画像データや音声データ、さらにはその他のセンシングデータが並行して処理され、識別処理に使用される実施形態をとることも可能である。
以上に述べた本発明の種々の実施形態において、本発明の技術思想及び見地の範囲の種々の変更、修正及び省略は、当業者によれば容易に行うことができる。前述の説明はあくまで例であって、何ら制約しようとするものではない。本発明は、特許請求の範囲及びその均等物として限定するものにのみ制約される。
1 カメラ(データ識別装置)
101 装置通信インタフェース
102 画像データ保存部
111 データ取得部
111a カメラ部
112 背景減算処理部
113 特徴量抽出部
114 FHE(Fully Homomorphic Encryption)処理部
115 データ識別部
116 復号処理部
117 アクセス制御部
118 公開鍵暗号化部
121 通信制御部
121a インタレスト要求部
121b 署名照合部
2 モデル構築サーバ(ノード)
201 ノード通信インタフェース
202 構築モデル保存部
211 署名付与部
212 モデル構築部
213 構築モデル管理部
221 通信制御部
3 端末(要求元装置)
301 端末通信インタフェース(要求元通信インタフェース)
302 対象画像保存部
303 タッチパネル・ディスプレイ(TP・DP)
311 対象画像管理部
312 特徴量抽出部
313 ラベリング部
314 FHE処理部
315 署名管理部
321 モデル検証部
322 公開鍵管理部
331 復号化処理部
332 画像合成部
341 通信制御部
342 入出力制御部
5 データ識別システム
7 端末
8 クラウド
9 カメラ
101 装置通信インタフェース
102 画像データ保存部
111 データ取得部
111a カメラ部
112 背景減算処理部
113 特徴量抽出部
114 FHE(Fully Homomorphic Encryption)処理部
115 データ識別部
116 復号処理部
117 アクセス制御部
118 公開鍵暗号化部
121 通信制御部
121a インタレスト要求部
121b 署名照合部
2 モデル構築サーバ(ノード)
201 ノード通信インタフェース
202 構築モデル保存部
211 署名付与部
212 モデル構築部
213 構築モデル管理部
221 通信制御部
3 端末(要求元装置)
301 端末通信インタフェース(要求元通信インタフェース)
302 対象画像保存部
303 タッチパネル・ディスプレイ(TP・DP)
311 対象画像管理部
312 特徴量抽出部
313 ラベリング部
314 FHE処理部
315 署名管理部
321 モデル検証部
322 公開鍵管理部
331 復号化処理部
332 画像合成部
341 通信制御部
342 入出力制御部
5 データ識別システム
7 端末
8 クラウド
9 カメラ
Claims (12)
- 識別処理の対象となるデータを生成又は取得するデータ取得部と、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
を有することを特徴とするデータ識別装置。 - 当該識別モデルは、当該要求元から供給された識別対象に係るデータを用いて構築されたものであることを特徴とする請求項1に記載のデータ識別装置。
- 当該要求元から供給された識別対象に係るデータは、完全準同型暗号化処理を施された暗号化学習用データであり、
前記データ識別手段は、完全準同型暗号化処理を施した、当該識別処理の対象となるデータについて当該識別処理を行う
ことを特徴とする請求項2に記載のデータ識別装置。 - 当該識別モデルは、ICN(Information-Centric Networking)技術を用いた通信ネットワーク内のノードで構築され、
前記データ識別装置は、当該識別モデルの名前又は識別子を指定して、当該ノードから当該識別モデルを受信する装置通信インタフェースを更に有する
ことを特徴とする請求項1から3のいずれか1項に記載のデータ識別装置。 - 当該識別モデルは、当該要求元から供給された識別対象に係るデータを用いて構築され、
前記装置通信インタフェースは、当該要求元から当該識別モデルの名前又は識別子を取得する
ことを特徴とする請求項4に記載のデータ識別装置。 - 当該要求元である少なくとも1つの要求元装置と、当該識別モデルを構築する少なくとも1つのノードと、請求項1から5のいずれか1項に記載された少なくとも1つのデータ識別装置とを備えたデータ識別システムであって、
当該要求元装置は、
識別対象に係るデータと、当該データに対応するラベルとに対し、完全準同型暗号化処理を施して暗号化学習用データを生成する暗号化手段と、
当該暗号化学習用データを当該ノードへ送信する要求元通信インタフェースと
を有し、
当該ノードは、
当該暗号化学習用データを受信するノード通信インタフェースと、
当該暗号化学習用データを用いて当該識別モデルを構築するモデル構築手段と
を有し、
前記ノード通信インタフェースは、構築された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置の前記データ識別手段は、受信された当該識別モデルを用いて、前記データ所得部によって生成又は取得され、完全準同型暗号化処理の施されたデータについて当該識別処理を行う
ことを特徴とするデータ識別システム。 - 当該ノードは、ICN技術を用いた通信ネットワーク内のノードであり、
前記要求元通信インタフェースは、当該暗号化学習用データによって構築される当該識別モデルを証明するための署名を、当該ノードへ更に送信し、
前記ノード通信インタフェースは、構築された当該識別モデルの名前又は識別子を当該要求元装置へ送信し、
前記要求元通信インタフェースは、当該識別処理の要求元として、当該識別モデルの名前又は識別子を当該データ識別装置へ送信し、
前記装置通信インタフェースは、当該識別モデルの名前又は識別子を指定して、当該識別モデルの要求を発信し、
当該識別モデルの要求を受信した前記ノード通信インタフェースは、当該署名の付与された当該識別モデルを、当該識別モデルの要求元である当該データ識別装置へ送信し、
当該データ識別装置は、受信された当該識別モデルに付与された署名と、当該識別処理の要求元である当該要求元装置から受信された当該識別モデルの名前又は識別子とが対応するものであるか否かを判定する署名照合手段を更に有し、
当該データ識別装置のデータ識別手段は、対応するとの判定に係る当該識別モデルを用いて当該識別処理を行う
ことを特徴とする請求項6に記載のデータ識別システム。 - 前記要求元通信インタフェースは、当該識別処理の要求元として、当該識別モデルの名前又は識別子とともに公開鍵を、当該データ識別装置へ送信し、
前記装置通信インタフェースは、当該公開鍵による暗号化処理の施された当該識別結果に係る情報を、当該識別処理の要求元である当該要求元装置へ送信する
ことを特徴とする請求項6又は7に記載のデータ識別システム。 - 識別処理の対象となる当該データ及び識別対象に係る当該データは、画像データであり、
当該データ識別装置の前記データ取得部は、当該画像データを生成するカメラを含み、
当該データ識別装置の前記アクセス制御手段は、当該画像データが識別対象を含むとの識別結果を得た場合に、当該識別対象を含む画像部分データを、当該識別処理の要求元である当該要求元装置へ送信させる
ことを特徴とする請求項6から8のいずれか1項に記載のデータ識別システム。 - 当該データ識別装置は、当該画像データから背景データを分離する背景分離手段を更に有し、
当該データ識別装置の前記データ識別手段は、当該背景データの分離された当該画像データについて当該識別処理を行い、
前記装置通信インタフェースは、当該識別対象を含む画像部分データと、当該背景データとを、当該識別処理の要求元である当該要求元装置へ送信し、
当該要求元装置は、受信された当該識別対象を含む当該画像部分データと当該背景データとを結合させ、当該識別対象を含む画像データを生成する画像合成手段を更に有する
ことを特徴とする請求項9に記載のデータ識別システム。 - 識別処理の対象となるデータを生成又は取得するデータ取得部を有するデータ識別装置に搭載されたコンピュータを機能させるプログラムであって、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うデータ識別手段と、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるアクセス制御手段と
としてコンピュータを機能させることを特徴とするデータ識別プログラム。 - 識別処理の対象となるデータを生成又は取得するデータ取得部を有するデータ識別装置に搭載されたコンピュータにおけるデータ識別方法であって、
外部から受信した当該識別処理のための識別モデルを用い、当該データについて当該識別処理を行うステップと、
当該識別処理による識別結果が所定条件を満たす場合に、当該識別結果に係る情報を、当該識別処理の要求元へ送信させるステップと
を有することを特徴とするデータ識別方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018130647A JP7138498B2 (ja) | 2018-07-10 | 2018-07-10 | 識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018130647A JP7138498B2 (ja) | 2018-07-10 | 2018-07-10 | 識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020010217A true JP2020010217A (ja) | 2020-01-16 |
| JP7138498B2 JP7138498B2 (ja) | 2022-09-16 |
Family
ID=69152322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018130647A Active JP7138498B2 (ja) | 2018-07-10 | 2018-07-10 | 識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP7138498B2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2020195419A1 (ja) * | 2019-03-27 | 2020-10-01 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010262576A (ja) * | 2009-05-11 | 2010-11-18 | Toyota Central R&D Labs Inc | 対象物検出装置及びプログラム |
| JP2012049679A (ja) * | 2010-08-25 | 2012-03-08 | Sony Corp | 端末装置、サーバ、データ処理システム、データ処理方法、及びプログラム |
| JP2012088787A (ja) * | 2010-10-15 | 2012-05-10 | Canon Inc | 画像処理装置、画像処理方法 |
| JP2016119660A (ja) * | 2014-12-22 | 2016-06-30 | パロ アルト リサーチ センター インコーポレイテッド | コンテンツ指向ネットワーキングにおける低コスト認証対象署名委任 |
| JP2017120609A (ja) * | 2015-12-24 | 2017-07-06 | カシオ計算機株式会社 | 感情推定装置、感情推定方法及びプログラム |
-
2018
- 2018-07-10 JP JP2018130647A patent/JP7138498B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010262576A (ja) * | 2009-05-11 | 2010-11-18 | Toyota Central R&D Labs Inc | 対象物検出装置及びプログラム |
| JP2012049679A (ja) * | 2010-08-25 | 2012-03-08 | Sony Corp | 端末装置、サーバ、データ処理システム、データ処理方法、及びプログラム |
| JP2012088787A (ja) * | 2010-10-15 | 2012-05-10 | Canon Inc | 画像処理装置、画像処理方法 |
| JP2016119660A (ja) * | 2014-12-22 | 2016-06-30 | パロ アルト リサーチ センター インコーポレイテッド | コンテンツ指向ネットワーキングにおける低コスト認証対象署名委任 |
| JP2017120609A (ja) * | 2015-12-24 | 2017-07-06 | カシオ計算機株式会社 | 感情推定装置、感情推定方法及びプログラム |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2020195419A1 (ja) * | 2019-03-27 | 2020-10-01 | ||
| JP7308466B2 (ja) | 2019-03-27 | 2023-07-14 | パナソニックIpマネジメント株式会社 | 情報処理システム、情報処理方法、及び、プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7138498B2 (ja) | 2022-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jan et al. | Security and blockchain convergence with Internet of Multimedia Things: Current trends, research challenges and future directions | |
| Usman et al. | P2DCA: a privacy-preserving-based data collection and analysis framework for IoMT applications | |
| Yang et al. | Multimedia recommendation and transmission system based on cloud platform | |
| JP2023533020A (ja) | プライバシー保護画像配信 | |
| Albano et al. | Secure and distributed video surveillance via portable devices | |
| Khazbak et al. | TargetFinder: A privacy preserving system for locating targets through IoT cameras | |
| Rabieh et al. | Privacy-preserving and efficient sharing of drone videos in public safety scenarios using proxy re-encryption | |
| KR101847618B1 (ko) | 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템 | |
| Fitwi et al. | Privacy-preserving selective video surveillance | |
| Mercan et al. | Blockchain‐based video forensics and integrity verification framework for wireless Internet‐of‐Things devices | |
| JP7138498B2 (ja) | 識別要求元のアクセス制御が可能なデータ識別装置、システム、プログラム及び方法 | |
| Rajan et al. | Security and privacy for real time video streaming using hierarchical inner product encryption based publish-subscribe architecture | |
| Fitwi et al. | Prise: Slenderized privacy-preserving surveillance as an edge service | |
| Kumar et al. | An optimized intelligent computational security model for interconnected blockchain-IoT system & cities | |
| Lin et al. | UFace: Your universal password that no one can see | |
| Amanullah et al. | An Effective double verification-based method for certifying information safety in cloud computing | |
| Amin et al. | IoDseC++: authenticated key exchange protocol for cloud-enable internet of drone communication | |
| Dudiki et al. | A Hybrid Cryptography Algorithm to Improve Cloud Computing Security | |
| Li et al. | Anonymous, secure, traceable, and efficient decentralized digital forensics | |
| Mata et al. | Enhanced secure data storage in cloud computing using hybrid cryptographic techniques (AES and Blowfish) | |
| CN109257167A (zh) | 一种在雾计算中保护隐私的资源分配方法 | |
| Kapil et al. | Managing multimedia big data: Security and privacy perspective | |
| Xiong et al. | Secure multimedia distribution in cloud computing using re-encryption and fingerprinting | |
| Baboolal et al. | Preserving privacy of drone videos using proxy re-encryption technique: poster | |
| Chen et al. | Blockchain-based uav-assisted forest supervision and data sharing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200616 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210325 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210423 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210527 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20211029 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20211202 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20211202 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20211214 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20211215 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20220218 |
|
| C211 | Notice of termination of reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C211 Effective date: 20220222 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220405 |
|
| C13 | Notice of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: C13 Effective date: 20220525 |
|
| C302 | Record of communication |
Free format text: JAPANESE INTERMEDIATE CODE: C302 Effective date: 20220623 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220624 |
|
| C22 | Notice of designation (change) of administrative judge |
Free format text: JAPANESE INTERMEDIATE CODE: C22 Effective date: 20220624 |
|
| C23 | Notice of termination of proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C23 Effective date: 20220804 |
|
| C03 | Trial/appeal decision taken |
Free format text: JAPANESE INTERMEDIATE CODE: C03 Effective date: 20220831 |
|
| C30A | Notification sent |
Free format text: JAPANESE INTERMEDIATE CODE: C3012 Effective date: 20220831 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220906 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7138498 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |