JP2024518798A - Method, apparatus, system and electronic device for encrypting video data slices - Google Patents

Method, apparatus, system and electronic device for encrypting video data slices Download PDF

Info

Publication number
JP2024518798A
JP2024518798A JP2023571699A JP2023571699A JP2024518798A JP 2024518798 A JP2024518798 A JP 2024518798A JP 2023571699 A JP2023571699 A JP 2023571699A JP 2023571699 A JP2023571699 A JP 2023571699A JP 2024518798 A JP2024518798 A JP 2024518798A
Authority
JP
Japan
Prior art keywords
key
ciphertext
video
management system
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2023571699A
Other languages
Japanese (ja)
Other versions
JPWO2022242607A5 (en
JP7515751B2 (en
Inventor
▲濱▼ 王
思 ▲陳▼
加▲棟▼ ▲陳▼
相振 姚
琳 李
晶晶 黄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Publication of JP2024518798A publication Critical patent/JP2024518798A/en
Publication of JPWO2022242607A5 publication Critical patent/JPWO2022242607A5/ja
Application granted granted Critical
Publication of JP7515751B2 publication Critical patent/JP7515751B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/835Generation of protective data, e.g. certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3252Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using DSA or related signature schemes, e.g. elliptic based signatures, ElGamal or Schnorr schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/80Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
    • H04N21/83Generation or processing of protective or descriptive data associated with content; Content structuring
    • H04N21/845Structuring of content, e.g. decomposing content into time segments
    • H04N21/8456Structuring of content, e.g. decomposing content into time segments by decomposing the content in the time domain, e.g. in time segments

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Multimedia (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

本発明はビデオデータスライスの暗号化方法、装置、システム及び電子デバイスを提供する。当該方法は、ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップと、前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップと、前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含む。当該方法は、ビデオデータスライスの安全性を向上させることができる。The present invention provides a method, apparatus, system and electronic device for encrypting a video data slice, the method including the steps of: a target encryption node obtains a first key ID, and obtains a first protection key from the key management system based on the first key ID; the target encryption node generates a first random number, and uses the first random number as a first video key to encrypt a video data slice to be encrypted to obtain a first video ciphertext; the target encryption node encrypts the first video key with the first protection key to obtain a first key ciphertext; and the target encryption node stores the first key ciphertext and the first key ID in the first video ciphertext. The method can improve the security of the video data slice.

Description

本発明は情報安全性の技術分野に関し、特にビデオデータスライスの暗号化方法、装置、システム及び電子デバイスに関する。 The present invention relates to the technical field of information security, and in particular to a method, apparatus, system and electronic device for encrypting video data slices.

ビデオデータの安全性を向上させるために、ビデオデータの格納や伝送の際には、通常、ビデオデータの暗号化が必要となる。ビデオデータ暗号化の計算量とリソース消費量を削減するために、ビデオスライス及び暗号化技術は徐々にビデオデータ暗号化のための一般的な研究方向となっている。 In order to improve the security of video data, video data encryption is usually required when the video data is stored or transmitted. In order to reduce the computational complexity and resource consumption of video data encryption, video slicing and encryption technology has gradually become a common research direction for video data encryption.

しかし、実際には、従来のビデオスライスの暗号化技術では、同じビデオのすべてのスライスは、通常、同じ鍵を使用して暗号化及び復号化され、安全性が低いことが判明した。 However, in practice, traditional video slice encryption techniques have proven to be less secure, as all slices of the same video are typically encrypted and decrypted using the same key.

以上のことから、本発明は、ビデオデータスライスの暗号化方法、装置及びシステムを提供する。 Based on the above, the present invention provides a method, device, and system for encrypting video data slices.

具体的に、本発明は、以下の技術的解決手段によって実現される。 Specifically, the present invention is realized by the following technical solutions:

本発明の実施形態の第1の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化方法が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記方法は、
前記ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップであって、同じ鍵IDに対応する保護鍵は同じである、ステップと、
前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含む。 According to a first aspect of an embodiment of the present invention, there is provided a method for encrypting a video data slice to be applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, and a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the method comprising:
the target encryption node obtains a first key ID, obtains a first protection key from the key management system based on the first key ID, the target encryption node generates a first random number, and uses the first random number as a first video key to encrypt a video data slice to obtain a first video ciphertext, where the protection keys corresponding to the same key ID are the same;
the target encryption node encrypting the first video key with the first protection key to obtain a first key ciphertext;
the target encryption node storing the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第2の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化装置が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記装置は、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するための取得ユニットであって、同じ鍵IDに対応する保護鍵は同じである、取得ユニットと、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るための暗号化ユニットであって、前記暗号化ユニットはさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる、暗号化ユニットと、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するための処理ユニットと、を含む。 According to a second aspect of an embodiment of the present invention, there is provided an apparatus for encrypting a video data slice to be applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the apparatus comprising:
An acquisition unit for acquiring a first key ID and acquiring a first protection key from the key management system according to the first key ID, where protection keys corresponding to the same key ID are the same;
an encryption unit for generating a first random number and encrypting a video data slice to be encrypted with the first random number as a first video key to obtain a first video ciphertext, the encryption unit being further used to encrypt the first video key with the first protection key to obtain a first key ciphertext;
a processing unit for storing the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第3の態様によれば、ビデオデータスライスの暗号化システムが提供され、前記システムは鍵管理システムと複数の暗号化ノードを含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノードがターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システムが前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。 According to a third aspect of an embodiment of the present invention, there is provided a system for encrypting video data slices, the system comprising a key management system and a plurality of encryption nodes, wherein a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption;
When the encryption node is a target encryption node, obtain a first key ID, obtain a first protection key from the key management system according to the first key ID, generate a first random number, and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext, and the protection keys corresponding to the same key ID are the same;
if the key management system passes the verification of the target encryption node, to transmit the first protection key corresponding to the first key ID to the target encryption node;
if the encryption node is a target encryption node, the encryption node further comprises encrypting the first video key with the first protection key to obtain a first key ciphertext;
If the encryption node is a target encryption node, it is further used to store the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第4の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用される電子デバイスが提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記電子デバイスはプロセッサ及び機械読み取り可能な記憶媒体を含み、前記機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、前記プロセッサは、前記機械実行可能命令を実行することで、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、同じ鍵IDに対応する保護鍵は同じであり、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得、
前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納する動作を実施するように構成される。 According to a fourth aspect of an embodiment of the present invention, there is provided an electronic device adapted to be a target encryption node in an encryption system for video data slices comprising a key management system and a plurality of encryption nodes, the target encryption node being any one of the plurality of encryption nodes, a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the electronic device comprising a processor and a machine-readable storage medium, the machine-readable storage medium storing machine-executable instructions, the processor executing the machine-executable instructions to:
Obtain a first key ID, and obtain a first protection key from the key management system based on the first key ID, and the protection keys corresponding to the same key ID are the same;
generating a first random number, and encrypting the video data slice to be encrypted using the first random number as a first video key to obtain a first video ciphertext;
encrypting the first video key with the first protection key to obtain a first key ciphertext;
The device is configured to perform an operation of storing the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施例に係るビデオデータスライスの暗号化方法は、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、少なくとも2つの暗号化ノードに割り当てて暗号化処理を行い、少なくとも2つの暗号化ノードによって同一のビデオストリーム又はビデオファイルの異なるビデオデータスライスを暗号化することにより、分散暗号化を実現し、ビデオデータスライスの暗号化効率を向上させる。また、ビデオデータスライスを暗号化する際、暗号化ノードは生成された乱数をビデオ鍵とし、鍵管理システムから取得した保護鍵を用いてビデオ鍵を暗号化することができ、これによりビデオ鍵の安全性を確保し、ビデオデータスライスの安全性を向上させる。 A video data slice encryption method according to an embodiment of the present invention assigns multiple video data slices obtained by slicing the same video stream or video file to at least two encryption nodes for encryption processing, and encrypts different video data slices of the same video stream or video file using the at least two encryption nodes, thereby realizing distributed encryption and improving the encryption efficiency of the video data slices. In addition, when encrypting the video data slices, the encryption node can use the generated random number as a video key and encrypt the video key using a protection key obtained from a key management system, thereby ensuring the security of the video key and improving the security of the video data slices.

本発明の一実施形態におけるビデオデータスライスの暗号化方法のフローチャートである。3 is a flowchart of a method for encrypting a video data slice in an embodiment of the present invention; 本発明の一実施形態における、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するフローチャートである。4 is a flow chart of a target encryption node obtaining a first protection key from the key management system based on a first key ID in one embodiment of the present invention. 本発明の一実施形態におけるビデオデータスライスの復号化方法のフローチャートである。4 is a flowchart of a method for decoding a video data slice in an embodiment of the present invention; 本発明の一実施形態におけるビデオデータスライスの暗号化方法の具体的な応用シーンのアーキテクチャ概略図である。FIG. 2 is an architecture schematic diagram of a specific application scenario of the video data slice encryption method in one embodiment of the present invention; 本発明の一実施形態におけるビデオデータスライスの暗号化方法の第1段階~第4段階のフローチャートである。4 is a flow chart of first to fourth steps of a method for encrypting a video data slice in accordance with an embodiment of the present invention; 本発明の一実施形態におけるビデオデータスライスの暗号化装置の構造概略図である。FIG. 2 is a structural schematic diagram of a video data slice encryption device in an embodiment of the present invention; 本発明の別の実施形態における別のビデオデータスライスの暗号化装置の構造概略図である。FIG. 11 is a structural schematic diagram of another video data slice encryption device in another embodiment of the present invention; 本発明の一実施形態における電子デバイスのハードウェアの構造概略図である。FIG. 2 is a schematic diagram of the hardware structure of an electronic device according to an embodiment of the present invention; 本発明の一実施形態におけるビデオデータスライスの暗号化システムの構造概略図である。FIG. 2 is a structural schematic diagram of a video data slice encryption system in one embodiment of the present invention;

ここで、例示的な実施形態について詳細に説明し、その例は図面に示す。以下の説明が図面に関連する場合、特に示されない限り、異なる図面における同じ数字は、同じまたは類似の要素を表す。以下の例示的な実施形態に記載される実施形態は、本発明と一致する全ての実施形態を表すものではない。むしろ、それらは、添付の特許請求の範囲に詳細に記載された、本発明のいくつかの態様と一致する装置及び方法の例に過ぎない。 Now, exemplary embodiments will be described in detail, examples of which are illustrated in the drawings. Where the following description refers to the drawings, the same numerals in different drawings represent the same or similar elements unless otherwise indicated. The embodiments described in the following exemplary embodiments do not represent all embodiments consistent with the present invention. Rather, they are merely examples of apparatus and methods consistent with certain aspects of the present invention, as detailed in the appended claims.

本発明で使用される用語は、本発明を限定するものではなく、特定の実施形態を説明するためのものである。本発明の実施形態及び添付の特許請求の範囲において使用される単数形の「1つ」、「前記」及び「当該」は、文脈が他の意味を明確に示さない限り、複数形を含むことを意図している。 The terms used in the present invention are not intended to limit the present invention but are intended to describe particular embodiments. As used in the embodiments of the present invention and the appended claims, the singular forms "a," "the," and "the" are intended to include the plural forms unless the context clearly indicates otherwise.

当業者が本発明の実施形態によって提供される技術的解決策をよりよく理解し、また、本発明の実施形態の上記目的、特徴、及び利点をより明白かつ理解しやすくするために、本発明の実施形態における技術的解決策を図面と併せて以下にさらに詳細に説明する。 In order to enable those skilled in the art to better understand the technical solutions provided by the embodiments of the present invention, and to make the above-mentioned objectives, features and advantages of the embodiments of the present invention more obvious and understandable, the technical solutions in the embodiments of the present invention will be described in more detail below in conjunction with the drawings.

図1は、本発明の一実施形態によって提供されるビデオデータスライスの暗号化方法のフローチャートである。図1に示すように、ビデオデータスライスの暗号化方法のフローは、ステップS100~ステップS130を含んでもよい。 FIG. 1 is a flowchart of a method for encrypting a video data slice provided by an embodiment of the present invention. As shown in FIG. 1, the flow of the method for encrypting a video data slice may include steps S100 to S130.

本発明の実施形態では、ビデオデータスライスの暗号化の効率及び安全性を向上させるために、ビデオデータスライスの暗号化システムは、複数の暗号化ノードを含んでもよく、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、該当複数の暗号化ノードのうちの少なくとも2つに割り当てて暗号化処理を行ってもよい。 In an embodiment of the present invention, in order to improve the efficiency and security of the encryption of video data slices, the video data slice encryption system may include multiple encryption nodes, and multiple video data slices obtained by slicing the same video stream or video file may be assigned to at least two of the multiple encryption nodes for encryption processing.

例示的に、当該少なくとも2つの暗号化ノードが、割り当てられた異なるビデオデータスライスを暗号化するときに使用する鍵(ビデオ暗号化鍵(Video Encryption Key、VEKと略称する)又はビデオ鍵と呼ばれることができる)は異なる。 Exemplarily, the at least two encryption nodes use different keys (which may be referred to as video encryption keys (abbreviated as VEK) or video keys) when encrypting the different assigned video data slices.

本発明の実施形態では、ビデオデータスライスの安全性をさらに向上させるために、各暗号化ノードがビデオデータスライスを暗号化するときに使用するVEKを暗号化して格納してもよく、VEKを暗号化するための鍵(ビデオ鍵暗号化鍵(Video Key Encryption Key、VKEKと略称する)又は保護鍵と呼ばれることができる)は、ビデオデータスライスの暗号化システムにおける鍵管理システムによって保守してもよい。 In an embodiment of the present invention, to further improve the security of the video data slices, the VEK used by each encryption node when encrypting the video data slices may be encrypted and stored, and the key for encrypting the VEK (which may be referred to as a video key encryption key (abbreviated as VKEK) or a protection key) may be maintained by a key management system in the video data slice encryption system.

例示的に、ステップS100~ステップS130の実行主体は、上記複数の暗号化ノードのいずれか(本明細書では、ターゲット暗号化ノードと呼ぶ)であってもよい。 For example, the execution subject of steps S100 to S130 may be any one of the multiple encryption nodes (referred to as the target encryption node in this specification).

なお、本発明の実施形態における各ステップの番号の大きさは、実行順序の前後を意味するものではなく、各プロセスの実行順序は、本発明の実施形態の実施過程の限定を構成することなく、その機能や固有の論理によって決定されるべきである。 Note that the size of the numbers of each step in the embodiments of the present invention does not imply the order of execution, and the order of execution of each process should be determined by its function and inherent logic, without constituting a limitation on the implementation process of the embodiments of the present invention.

ステップS100において、ターゲット暗号化ノードが第1の鍵識別子(ID)を取得し、第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得する。ここで、第1の保護鍵は、ターゲット暗号化ノードの検証に合格した場合に、鍵管理システムによってターゲット暗号化ノードに送信され、同じ鍵IDに対応する保護鍵は同じである。 In step S100, the target encryption node obtains a first key identifier (ID) and obtains a first protection key from the key management system based on the first key ID. Here, the first protection key is sent to the target encryption node by the key management system if it passes the verification of the target encryption node, and the protection keys corresponding to the same key ID are the same.

ステップS110において、ターゲット暗号化ノードが第1の乱数を生成し、第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得る。 In step S110, the target encryption node generates a first random number and uses the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext.

本発明の実施形態では、ターゲット暗号化ノードが割り当てられたビデオデータスライスを暗号化する必要がある場合、一方で、ターゲット暗号化ノードは1つの乱数(本明細書では第1の乱数と呼ぶ)を生成し、当該第1の乱数をビデオ鍵(本明細書では第1のビデオ鍵と呼ぶ)として、割り当てられた暗号化すべきビデオデータスライス(本明細書では暗号化すべきビデオデータスライスと呼ぶ)を暗号化し、対応するビデオ暗号文(本明細書では第1のビデオ暗号文と呼ぶ)を得てもよい。 In an embodiment of the present invention, when the target encryption node needs to encrypt the assigned video data slice, the target encryption node may generate a random number (referred to herein as a first random number) and use the first random number as a video key (referred to herein as a first video key) to encrypt the assigned video data slice to be encrypted (referred to herein as a video data slice to be encrypted) to obtain a corresponding video ciphertext (referred to herein as a first video ciphertext).

例示的に、ビデオデータの安全性をさらに向上させるために、異なるビデオデータスライスの暗号化に使用されるビデオ鍵は異なってもよい。したがって、1つのビデオ鍵が漏洩しても、他のビデオデータスライスの安全性に影響を与えない。 Exemplarily, to further improve the security of the video data, the video keys used to encrypt different video data slices may be different. Thus, even if one video key is compromised, it does not affect the security of other video data slices.

一方、ターゲット暗号化ノードは、第1のビデオ鍵を暗号化するための保護鍵(本明細書では第1の保護鍵と呼ぶ)を鍵管理システムから取得してもよい。 Meanwhile, the target encryption node may obtain a protection key (referred to herein as the first protection key) for encrypting the first video key from the key management system.

例示的に、保護鍵について、鍵管理システムは、鍵IDと保護鍵との間のマッピング関係の形で保守してもよく、すなわち、鍵管理システムは鍵IDと保護鍵との間のマッピング関係を保守してもよい。暗号化ノードは、鍵IDに基づいて、鍵管理システムから当該鍵IDに対応する保護鍵を取得してもよい。 Exemplarily, for the protection key, the key management system may maintain a mapping relationship between the key ID and the protection key, i.e., the key management system may maintain a mapping relationship between the key ID and the protection key. The encryption node may obtain the protection key corresponding to the key ID from the key management system based on the key ID.

例示的に、鍵IDと保護鍵との間のマッピング関係は1対1のマッピングであってもよく、すなわち、同じ鍵IDが同じ保護鍵に対応し、異なる鍵IDは異なる保護鍵に対応する。 Exemplarily, the mapping relationship between key IDs and protection keys may be a one-to-one mapping, i.e., the same key ID corresponds to the same protection key and different key IDs correspond to different protection keys.

一例では、ターゲット暗号化ノードは、第1の保護鍵を取得するための鍵ID(本明細書では第1の鍵IDと呼ぶ)を生成してもよい。 In one example, the target encryption node may generate a key ID (referred to herein as the first key ID) for obtaining the first protection key.

例えば、ターゲット暗号化ノードは、タイムスタンプに基づいて第1の鍵IDを生成してもよい。 For example, the target encryption node may generate the first key ID based on a timestamp.

例示的に、鍵管理システムは、ターゲット暗号ノードから送信された、第1の鍵IDが付加される保護鍵の取得要求(第1の保護鍵取得要求と呼ぶことができ)を受信したとき、第1の保護鍵と第1の鍵IDとの間のマッピング関係を決定して記録してもよい。 For example, when the key management system receives a request to obtain a protection key (which may be referred to as a first protection key obtainment request) sent from a target cryptographic node and to which a first key ID is attached, the key management system may determine and record a mapping relationship between the first protection key and the first key ID.

例示的に、鍵管理システムは、一定数の保護鍵を予め生成し、第1の保護鍵取得要求を受信したときに、当該一定数の保護鍵から1つの未使用の保護鍵を第1の保護鍵として選択し、第1の保護鍵と第1の鍵IDとの間のマッピング関係を記録してもよい。 For example, the key management system may generate a certain number of protection keys in advance, and upon receiving a first protection key acquisition request, select one unused protection key from the certain number of protection keys as the first protection key, and record the mapping relationship between the first protection key and the first key ID.

あるいは、鍵管理システムは、第1の保護鍵取得要求を受信したときに、第1の保護鍵を生成し、第1の保護鍵と第1の鍵IDとの間のマッピング関係を記録してもよい。 Alternatively, the key management system may generate a first protection key when receiving a first protection key acquisition request and record a mapping relationship between the first protection key and the first key ID.

別の例では、ターゲット暗号化ノードは、第1の保護鍵を取得する必要がある場合、まず鍵管理システムから第1の鍵IDを取得し、その後、第1の鍵IDに基づいて鍵管理システムから第1の保護鍵を取得する。 In another example, when the target encryption node needs to obtain a first protection key, it first obtains a first key ID from the key management system, and then obtains the first protection key from the key management system based on the first key ID.

ステップS120において、ターゲット暗号化ノードが第1の保護鍵を用いて第1のビデオ鍵を暗号化し、第1の鍵暗号文を得る。 In step S120, the target encryption node encrypts the first video key using the first protection key to obtain a first key ciphertext.

ステップS130において、ターゲット暗号化ノードが第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に格納する。 In step S130, the target encryption node stores the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態では、上記方法で第1の保護鍵を取得した場合、第1のビデオ鍵の安全性を向上させるために、ターゲット暗号化ノードは、第1の保護鍵を用いて第1のビデオ鍵を暗号化し、対応する鍵暗号文(本明細書では第1の鍵暗号文と呼ぶ)を得てもよい。 In an embodiment of the present invention, when the first protection key is obtained by the above method, in order to improve the security of the first video key, the target encryption node may encrypt the first video key using the first protection key to obtain a corresponding key ciphertext (referred to as the first key ciphertext in this specification).

第1のビデオ鍵を暗号化して第1の鍵暗号文を得る場合、ターゲット暗号化ノードは、第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に格納してもよい。これにより、正当なノードは、第1のビデオ暗号文中の第1の鍵IDに基づいて鍵管理サーバから第1の保護鍵を取得し、当該第1の保護鍵に基づいて第1の鍵暗号文を復号化して第1のビデオ鍵を得ることができ、さらに、当該第1のビデオ鍵に基づいて第1のビデオ暗号文を復号化し、第1のビデオデータスライスを得ることができる。 When encrypting the first video key to obtain the first key ciphertext, the target encryption node may store the first key ciphertext and the first key ID in the first video ciphertext. This allows the legitimate node to obtain a first protection key from the key management server based on the first key ID in the first video ciphertext, decrypt the first key ciphertext based on the first protection key to obtain the first video key, and further decrypt the first video ciphertext based on the first video key to obtain the first video data slice.

例示的に、上記正当なノードは、上記複数の暗号化ノードのいずれか1つ、又はビデオデータ取得権限を有する他のノードを含んでもよい。 Exemplarily, the legitimate node may include any one of the plurality of encryption nodes, or any other node that has the authority to obtain the video data.

例示的に、ターゲット暗号化ノードは、第1の鍵暗号文と第1の鍵IDを連結する(concatenate)方式で第1のビデオ暗号文に格納してもよく、すなわち、第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に連結してもよい。 Exemplarily, the target encryption node may store the first video ciphertext in a concatenated manner with the first key ciphertext and the first key ID, i.e., concatenate the first key ciphertext and the first key ID into the first video ciphertext.

このように、図1に示す方法のフローでは、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、少なくとも2つの暗号化ノードに割り当てて暗号化され、少なくとも2つの暗号化ノードによって同一のビデオストリーム又はビデオファイルの異なるビデオデータスライスを暗号化することにより、分散暗号化を実現し、ビデオデータスライスの暗号化効率を向上させる。また、ビデオデータスライスを暗号化する際、暗号化ノードは生成された乱数をビデオ鍵とし、鍵管理システムから取得した保護鍵を用いてビデオ鍵を暗号化することができ、これによりビデオ鍵の安全性を確保し、ビデオデータスライスの安全性を向上させる。 Thus, in the method flow shown in FIG. 1, multiple video data slices obtained by slicing the same video stream or video file are assigned to at least two encryption nodes for encryption, and different video data slices of the same video stream or video file are encrypted by the at least two encryption nodes, thereby realizing distributed encryption and improving the encryption efficiency of the video data slices. In addition, when encrypting the video data slices, the encryption node can use the generated random number as a video key and encrypt the video key using a protection key obtained from the key management system, thereby ensuring the security of the video key and improving the security of the video data slices.

いくつかの実施形態では、図2に示すように、ステップS100において、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップは、以下のステップS101~S106で実現され得る。 In some embodiments, as shown in FIG. 2, in step S100, the step in which the target encryption node obtains a first protection key from the key management system based on the first key ID may be realized by the following steps S101 to S106.

ステップS101において、ターゲット暗号化ノードが第2の乱数を生成し、第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成する。 In step S101, the target encryption node generates a second random number and generates key parameters using the elliptic curve dot product algorithm based on the second random number and a base point on the elliptic curve.

ステップS102において、ターゲット暗号化ノードがターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズム(Elliptic curve cryptography、ECC)を用いて、ターゲット暗号化ノードのデバイスID、第1の鍵ID、及び鍵パラメータに署名し、第1の署名データを得る。 In step S102, the target encryption node signs the device ID, the first key ID, and the key parameters of the target encryption node using an elliptic curve cryptography (ECC) algorithm based on the private key of the target encryption node to obtain first signature data.

ステップS103において、ターゲット暗号化ノードがデバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを鍵管理システムに送信することにより、鍵管理システムに、当該デバイスIDに基づいてターゲット暗号化ノードの公開鍵を取得させ、ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、第1の鍵IDに対応する第1の保護鍵を暗号化させ、保護鍵暗号文を得させる。当該第3の鍵は、当該鍵パラメータと鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて鍵管理システムによって生成される。 In step S103, the target encryption node transmits the device ID, the first key ID, the key parameters, and the first signature data to the key management system, thereby causing the key management system to obtain the public key of the target encryption node based on the device ID, and to verify the first signature data using an elliptic curve cryptography algorithm based on the public key of the target encryption node, and if the verification is successful, to encrypt the first protection key corresponding to the first key ID based on a third key to obtain a protection key ciphertext. The third key is generated by the key management system based on the key parameters and the private key of the key management system using an elliptic curve dot product algorithm.

ステップS104において、ターゲット暗号化ノードが鍵管理システムから送信された保護鍵暗号文を受信する。 In step S104, the target encryption node receives the protected key ciphertext sent from the key management system.

ステップS105において、ターゲット暗号化ノードが鍵管理システムの公開鍵と第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成する。 In step S105, the target encryption node generates a fourth key using the elliptic curve dot product algorithm based on the public key of the key management system and the second random number.

ステップS106において、ターゲット暗号化ノードが第4の鍵に基づいて保護鍵暗号文を復号化し、第1の保護鍵を得る。 In step S106, the target encryption node decrypts the protection key ciphertext based on the fourth key to obtain the first protection key.

例示的に、保護鍵の安全性を向上させ、さらにビデオデータスライスの安全性を向上させるために、鍵管理システムから保護鍵を取得する際に、非対称アルゴリズムに基づいて取得側のデバイスを検証してもよい。 For example, to improve the security of the protection key and further improve the security of the video data slices, when obtaining the protection key from the key management system, the obtaining device may be verified based on an asymmetric algorithm.

例示的に、第1の保護鍵を取得する必要がある場合、ターゲット暗号化ノードは、1つの乱数(本明細書では第2の乱数と呼ぶ)を生成し、当該第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成してもよい。楕円曲線については、例えば、楕円曲線デジタル署名アルゴリズム(Elliptic Curve Digital Signature Algorithm、ECDSA)で一般的に使用される曲線を選択してもよく、本発明の実施形態では、楕円曲線の選択について特に制限だれない。楕円曲線が決定されると、その基点も決定される。 For example, when it is necessary to obtain the first protection key, the target encryption node may generate one random number (referred to as the second random number in this specification) and generate key parameters using an elliptic curve dot product algorithm based on the second random number and a base point on an elliptic curve. For the elliptic curve, for example, a curve commonly used in the Elliptic Curve Digital Signature Algorithm (ECDSA) may be selected, and the embodiment of the present invention does not place any particular limitation on the selection of the elliptic curve. Once the elliptic curve is determined, the base point is also determined.

例えば、第2の乱数をrとし、楕円曲線上の基点をGとすると、鍵パラメータRは、以下のように生成することができる:
R=G・r
ここで、「・」は楕円曲線ドット積を表す。 For example, if the second random number is r and the base point on the elliptic curve is G, the key parameter R can be generated as follows:
R = G r
Here, "." represents an elliptic curve dot product.

例示的に、ターゲット暗号化ノードは、上記方法で鍵パラメータを生成した場合、ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、ターゲット暗号化ノードのデバイスID、第1の鍵ID、及び生成された鍵パラメータに署名し、対応する署名データ(本明細書では第1の署名データと呼ぶ)を得てもよい。 For example, when the target encryption node generates key parameters using the above method, the target encryption node may sign the device ID of the target encryption node, the first key ID, and the generated key parameters using an elliptic curve cryptography algorithm based on the private key of the target encryption node to obtain corresponding signature data (referred to as first signature data in this specification).

ターゲット暗号化ノードは、当該デバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを鍵管理システムに送信してもよい。 The target encryption node may send the device ID, the first key ID, the key parameters, and the first signature data to the key management system.

鍵管理システムは、ターゲット暗号化ノードから送信された当該デバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを取得すると、一方では、当該デバイスIDに基づいてターゲット暗号化ノードの公開鍵を照会してもよい。 When the key management system receives the device ID, the first key ID, the key parameters, and the first signature data sent from the target encryption node, it may, on the one hand, query the public key of the target encryption node based on the device ID.

一例として、ビデオデータスライスの暗号化システムにおける各暗号化ノードは、ビデオデータスライスを暗号化する前に、鍵管理システムに登録してもよい。登録プロセスにおいて、身元認証が完了すると、鍵管理システムは暗号化ノードの公開鍵を格納し、暗号化ノードは鍵管理システムの公開鍵を格納してもよい。 As an example, each encryption node in a video data slice encryption system may register with a key management system before encrypting the video data slice. During the registration process, once identity authentication is complete, the key management system may store the encryption node's public key, and the encryption node may store the public key of the key management system.

例示的に、鍵管理システムがターゲット暗号化ノードの公開鍵を照会した場合、ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて第1の署名データを検証してもよい。 For example, if the key management system queries the public key of the target encryption node, the first signature data may be verified using an elliptic curve cryptography algorithm based on the public key of the target encryption node.

一方、鍵管理システムは、受信した鍵パラメータと鍵管理システムの秘密鍵とに基づいて、楕円曲線ドット積アルゴリズムを用いて対応する鍵(本明細書では第3の鍵と呼ぶ)を生成してもよい。 The key management system may, on the other hand, generate a corresponding key (referred to herein as a third key) using an elliptic curve dot product algorithm based on the received key parameters and the key management system's private key.

例えば、鍵パラメータをRとし、鍵管理システムの秘密鍵をsとすると、第3の鍵kは、以下のように生成することができる:
k=R・s For example, given the key parameters R and the private key of the key management system s, the third key k can be generated as follows:
k = R s

鍵管理システムが第1の署名データの検証に合格した場合、ターゲットの暗号化ノードが正当なノードであると判断することができ、このとき、鍵管理システムは、第3の鍵を用いて、第1の鍵IDに対応する保護鍵(例えば、上記第1の保護鍵)を暗号化して保護鍵暗号文を得、当該保護鍵暗号文をターゲット暗号化ノードに送信してもよい。 If the key management system passes the verification of the first signature data, it can determine that the target encryption node is a legitimate node, and in this case, the key management system may use a third key to encrypt a protection key (e.g., the above-mentioned first protection key) corresponding to the first key ID to obtain a protection key ciphertext, and transmit the protection key ciphertext to the target encryption node.

例示的に、ターゲット暗号化ノードは保護鍵暗号文を受信した場合、鍵管理システムの公開鍵と第2の乱数に基づいて楕円曲線ドット積アルゴリズムを用いて対応する鍵(本明細書では第4の鍵と呼ぶ)を生成してもよい。 Exemplarily, when the target encryption node receives the protected key ciphertext, it may generate a corresponding key (referred to herein as the fourth key) using an elliptic curve dot product algorithm based on the public key of the key management system and the second random number.

例えば、第2の乱数をrとし、鍵管理システムの公開鍵をSとすると、第4の鍵k’は、以下のように生成することができる:
k’=S・r For example, if the second random number is r and the public key of the key management system is S, then the fourth key k′ can be generated as follows:
k' = S r

なお、ターゲット暗号ノードと鍵管理システムが共に正当なデバイスである場合、kとk’の値は同じである。 Note that if the target cryptographic node and the key management system are both legitimate devices, the values of k and k' are the same.

ターゲット暗号化ノードが第4の鍵を生成した場合、当該第4の鍵を用いて受信した保護鍵暗号文を復号化し、第1の保護鍵を得てもよい。 If the target encryption node generates a fourth key, it may use the fourth key to decrypt the received protection key ciphertext to obtain the first protection key.

一例では、ステップS106(すなわち、ターゲット暗号化ノードが第4の鍵に基づいて保護鍵暗号文を復号化する)の前に、
ターゲット暗号化ノードが鍵管理システムから送信された鍵パラメータ暗号文を受信するステップであって、鍵パラメータ暗号文は、鍵管理システムによって第3の鍵を用いて鍵パラメータを暗号化することにより得られる、ステップと、
ターゲット暗号化ノードが第4の鍵を用いて鍵パラメータ暗号文を復号化し、復号化して得られた結果が鍵パラメータと一致した場合、第4の鍵に基づいて保護鍵暗号文を復号化する動作を実行することを決定するステップと、をさらに含んでもよい。 In one example, before step S106 (i.e., the target encryption node decrypts the protected key ciphertext based on the fourth key),
receiving, by the target cryptographic node, a key parameter ciphertext sent from the key management system, the key parameter ciphertext being obtained by encrypting the key parameters by the key management system with a third key;
The method may further include the step of the target encryption node decrypting the key parameter ciphertext with the fourth key, and if the decryption result matches the key parameters, deciding to perform an operation to decrypt the protected key ciphertext based on the fourth key.

例示的に、保護鍵の信頼性を向上させ、さらにビデオデータスライスの安全性を向上させるために、鍵管理システムは保護鍵暗号文をターゲット暗号化ノードに送信する前に、第3の鍵を用いて受信した鍵パラメータを暗号化して鍵パラメータ暗号文を得、当該鍵パラメータ暗号文と上記方法で得た保護鍵暗号文をターゲット暗号化ノードに送信してもよい。 For example, to improve the reliability of the protection key and further improve the security of the video data slices, the key management system may encrypt the received key parameters using a third key to obtain a key parameter ciphertext before transmitting the protection key ciphertext to the target encryption node, and transmit the key parameter ciphertext and the protection key ciphertext obtained by the above method to the target encryption node.

ターゲット暗号化ノードは、鍵パラメータ暗号文と保護鍵暗号文を受信した場合、第4の鍵を用いて鍵パラメータ暗号文を復号化し、復号化して得られた結果を上記鍵パラメータと比較し、両者が一致する場合、鍵パラメータ暗号文と保護鍵暗号文が鍵管理システムから送信されたと判断し、このとき、ターゲット暗号化ノードは第4の鍵を用いて保護鍵暗号文を復号化し、第1の保護鍵を得てもよい。 When the target encryption node receives the key parameter ciphertext and the protection key ciphertext, it decrypts the key parameter ciphertext using the fourth key, compares the decryption result with the above key parameters, and if the two match, determines that the key parameter ciphertext and the protection key ciphertext were sent from the key management system. In this case, the target encryption node may decrypt the protection key ciphertext using the fourth key to obtain the first protection key.

なお、ターゲット暗号化ノードが鍵パラメータ暗号文を受信しない場合、又は第4の鍵に基づいて受信した鍵パラメータ暗号文の復号化に失敗した場合、又は復号化して得られた結果が上記鍵パラメータと一致しない場合、受信した保護鍵暗号文は信頼できないと判断してもよく、この場合、ターゲット暗号化ノードは保護鍵暗号文を復号化する必要がない。 In addition, if the target encryption node does not receive the key parameter ciphertext, or if it fails to decrypt the received key parameter ciphertext based on the fourth key, or if the decryption result does not match the above key parameters, it may determine that the received protection key ciphertext is not trustworthy, in which case the target encryption node does not need to decrypt the protection key ciphertext.

いくつかの実施形態では、図3に示すように、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法は、以下のステップS300~ステップS330をさらに含んでもよい。 In some embodiments, as shown in FIG. 3, the video data slice encryption method provided by the embodiment of the present invention may further include the following steps S300 to S330.

ステップS300において、ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出する。 In step S300, if the target encryption node detects a decryption instruction for the second video ciphertext, it extracts the second key ciphertext and the second key ID from the second video ciphertext.

ステップS310において、ターゲット暗号化ノードが第2の鍵IDに基づいて鍵管理システムから第2の保護鍵を取得する。ここで、第2の保護鍵は、ターゲット暗号化ノードの検証に合格した場合に、鍵管理システムによってターゲット暗号化ノードに送信される。 In step S310, the target encryption node obtains a second protection key from the key management system based on the second key ID. Here, the second protection key is sent to the target encryption node by the key management system if the second protection key passes the verification of the target encryption node.

ステップS320において、ターゲット暗号化ノードが第2の保護鍵に基づいて第2の鍵暗号文を復号化し、第2のビデオ鍵を得る。 In step S320, the target encryption node decrypts the second key ciphertext based on the second protection key to obtain a second video key.

ステップS330において、ターゲット暗号化ノードが第2のビデオ鍵に基づいて第2のビデオ暗号文を復号化する。 In step S330, the target encryption node decrypts the second video ciphertext based on the second video key.

例示的に、第2のビデオ暗号文は、上記第1のビデオ暗号文であってもよく、あるいは、第2のビデオ暗号文は、上記第1のビデオ暗号文以外の、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法に従って暗号化された任意の他のビデオ暗号文であってもよい。 Exemplarily, the second video ciphertext may be the first video ciphertext, or the second video ciphertext may be any other video ciphertext other than the first video ciphertext, encrypted according to the video data slice encryption method provided by an embodiment of the present invention.

例示的に、ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、ターゲット暗号化ノードは、第2のビデオ暗号文から当該第2のビデオ暗号文に格納された鍵暗号文(本明細書では、第2の鍵暗号文と呼ぶ)と鍵ID(本明細書では、第2の鍵IDと呼ぶ)を抽出してもよい。 For example, when the target encryption node detects a decryption instruction for the second video ciphertext, the target encryption node may extract from the second video ciphertext a key ciphertext (referred to herein as the second key ciphertext) and a key ID (referred to herein as the second key ID) stored in the second video ciphertext.

なお、第2のビデオ暗号文が上記第1のビデオ暗号文である場合、第2の鍵暗号文は上記第1の鍵暗号文であり、第2の鍵IDは上記第1の鍵IDである。 Note that if the second video ciphertext is the first video ciphertext, the second key ciphertext is the first key ciphertext, and the second key ID is the first key ID.

例示的に、ターゲット暗号化ノードは、抽出して得られた第2の鍵IDに基づいて鍵管理システムから対応する保護鍵(本明細書では第2の保護鍵と呼ぶ)を取得してもよい。 For example, the target encryption node may obtain a corresponding protection key (referred to as the second protection key in this specification) from the key management system based on the extracted second key ID.

例示的に、ターゲット暗号化ノードが第2の鍵IDに基づいて鍵管理システムから第2の保護鍵を取得する具体的な実現は、上記実施形態で説明した、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得することに関連する実現を参照することができ、本発明の実施形態では繰り返さない。 Exemplarily, a specific implementation in which the target encryption node obtains a second protection key from a key management system based on a second key ID may refer to the implementation related to the target encryption node obtaining a first protection key from the key management system based on a first key ID described in the above embodiment, and will not be repeated in the embodiments of the present invention.

ターゲット暗号化ノードは、取得した第2の保護鍵に基づいて第2のビデオ暗号文から抽出された第2の鍵暗号文を復号化し、対応するビデオ鍵(本明細書では第2のビデオ鍵と呼ぶ)を得、第2のビデオ鍵に基づいて第2のビデオ暗号文を復号化してもよい。 The target encryption node may decrypt the second key ciphertext extracted from the second video ciphertext based on the obtained second protection key to obtain a corresponding video key (referred to herein as the second video key), and decrypt the second video ciphertext based on the second video key.

当業者が本発明の実施形態によって提供される技術的解決策をよりよく理解するために、本発明の実施形態によって提供される技術的解決策について、具体的な応用シーンに関連して以下に説明する。 In order to help those skilled in the art better understand the technical solutions provided by the embodiments of the present invention, the technical solutions provided by the embodiments of the present invention will be described below in relation to specific application scenarios.

図4を参照すると、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法の具体的な応用シーンのアーキテクチャ概略図であり、図4に示すように、ビデオデータスライスの暗号化システムは、複数の暗号化ノード(例えば、図4における暗号化ノード1~暗号化ノードN、Nは2以上の正の整数)と鍵管理システム(Key Management System、KMS)を含んでもよい。鍵管理システムは、VKEKを外部に提供してもよく、具体的には、鍵管理システムは、VKEKの生成、配布、破棄などを担当してもよい。いくつかの実施形態では、鍵管理システムは、上記鍵管理サーバを含んでもよい。 Referring to FIG. 4, it is an architecture schematic diagram of a specific application scenario of the video data slice encryption method provided by an embodiment of the present invention. As shown in FIG. 4, the video data slice encryption system may include a plurality of encryption nodes (e.g., encryption node 1 to encryption node N in FIG. 4, where N is a positive integer equal to or greater than 2) and a key management system (KMS). The key management system may provide the VKEK to the outside, and specifically, the key management system may be responsible for generating, distributing, destroying, etc. the VKEK. In some embodiments, the key management system may include the above-mentioned key management server.

図4に示すように、ビデオデータの安全性を向上させるために、ビデオデータ(ビデオストリーム又はビデオファイル)をスライスして複数のビデオデータスライス(例えば、図4のU1~U5)を得、当該複数のビデオデータスライスを各暗号化ノードにプッシュしてもよく、各暗号化ノードは、作業鍵(例えば、上記ビデオ鍵)をランダムに生成し、KMSと対話することによってVKEK(例えば、上記保護鍵)を取得し、取得したVKEKを使用して作業鍵を暗号化して作業鍵暗号文(例えば、上記鍵暗号文)を取得し、生成した作業鍵を用いてビデオデータスライスを暗号化してビデオ暗号文(例えば、図4のEU1~EU5)を取得し、VKEKに対応する鍵ID及び作業鍵暗号文をビデオ暗号文に連結してもよい。 As shown in FIG. 4, in order to improve the security of video data, video data (video stream or video file) may be sliced to obtain multiple video data slices (e.g., U1 to U5 in FIG. 4), and the multiple video data slices may be pushed to each encryption node, and each encryption node may randomly generate a working key (e.g., the above-mentioned video key), obtain a VKEK (e.g., the above-mentioned protection key) by interacting with a KMS, encrypt the working key using the obtained VKEK to obtain a working key ciphertext (e.g., the above-mentioned key ciphertext), encrypt the video data slices using the generated working key to obtain a video ciphertext (e.g., EU1 to EU5 in FIG. 4), and concatenate the key ID corresponding to the VKEK and the working key ciphertext to the video ciphertext.

本実施形態において、ビデオデータスライスの暗号化方式は、登録段階、鍵要求段階、ビデオ暗号化段階、ビデオ復号化段階を含んでもよく、各段階の実現フローを以下に説明する。 In this embodiment, the encryption method for video data slices may include a registration stage, a key request stage, a video encryption stage, and a video decryption stage, and the implementation flow of each stage is described below.

第1段階、登録段階 Phase 1, registration phase

1.1では、暗号化ノードは本ノードの公開鍵(Dと仮定する)とデバイスIDをKMSに送信し、KMSは暗号化ノードの検証に合格した後、当該暗号化ノードの公開鍵DとデバイスIDを関連付けて格納する。 In 1.1, the encryption node sends the node's public key (assumed to be D) and device ID to the KMS, and after the KMS passes the encryption node's verification, it associates and stores the encryption node's public key D and device ID.

例示的に、暗号化ノードの公開鍵は、証明書に付加されてKMSに送信し、KMSによって当該証明書に基づいて暗号化ノードを検証してもよい。KMSが暗号化ノードの検証に合格した場合、KMSは証明書から暗号化ノードの公開鍵を抽出し、当該暗号化ノードのデバイスIDと関連付けて格納してもよい。 Exemplarily, the public key of the encryption node may be attached to a certificate and sent to the KMS, and the encryption node may be verified by the KMS based on the certificate. If the encryption node passes verification by the KMS, the KMS may extract the encryption node's public key from the certificate and store it in association with the device ID of the encryption node.

1.2では、KMSは、KMSの公開鍵(Sと仮定する)を暗号化ノードに送信し、暗号化ノードはKMSの公開鍵を格納する。 In 1.2, the KMS sends the KMS public key (assumed to be S) to the encryption node, which stores the KMS public key.

例示的に、KMSの公開鍵は、証明書に付加されて暗号化ノードに送信し、暗号化ノードによって当該証明書に基づいてKMSを検証してもよい。暗号化ノードがKMSの検証に合格した場合、暗号化ノードは証明書からKMSの公開鍵を抽出し、当該公開鍵を格納してもよい。 Exemplarily, the KMS public key may be attached to a certificate and sent to the encryption node, which may then verify the KMS based on the certificate. If the encryption node passes the KMS verification, the encryption node may extract the KMS public key from the certificate and store the public key.

第2段階、鍵要求段階 Phase 2, key request phase

2.1では、暗号化ノードはランダムにrを生成し、楕円曲線ドット積アルゴリズムを用いてR=G・rを計算し、鍵パラメータRを得る。例示的に、Gは楕円曲線上の基点である。 In 2.1, the encryption node randomly generates r and uses the elliptic curve dot product algorithm to calculate R = G r to obtain the key parameter R. Illustratively, G is the base point on the elliptic curve.

2.2では、暗号化ノードは、ECCアルゴリズムを用いて、暗号化ノードの秘密鍵に基づいて、暗号化ノードのデバイスID、鍵ID(暗号化ノードによって生成されてもよく、例えば、タイムスタンプに基づいて生成されてもよい)、及び鍵パラメータRに署名し、署名データSig(デバイスID||鍵ID||R)(例えば、上記第1の署名データ)を得る。 In 2.2, the encryption node uses an ECC algorithm to sign the encryption node's device ID, key ID (which may be generated by the encryption node or may be generated, for example, based on a timestamp), and key parameters R based on the encryption node's private key, to obtain signature data Sig(Device ID || Key ID || R) (e.g., the first signature data described above).

例として、「||」は文字列の連結を示す。 For example, "||" indicates string concatenation.

2.3では、暗号化ノードは、デバイスID||鍵ID||R||Sig(デバイスID||鍵ID||R)をKMSに送信する。 In 2.3, the encryption node sends device ID || key ID || R || Sig (device ID || key ID || R) to the KMS.

2.4では、KMSは、デバイスIDに応じて暗号化ノードの公開鍵を照会し、当該公開鍵に基づいてECCアルゴリズムを用いてSig(デバイスID||KeyID||R)を検証する。検証に合格した場合、2.5を実行し、合格しない場合はエラーを返す。 In 2.4, the KMS queries the public key of the encryption node according to the device ID, and verifies Sig(Device ID || Key ID || R) using the ECC algorithm based on the public key. If the verification passes, it executes 2.5, otherwise it returns an error.

2.5では、KMSは、KMSの秘密鍵(sと仮定する)と鍵パラメータに基づいて、楕円曲線ドット積アルゴリズムを用いてk=R・sを計算し、対応する鍵k(例えば上記第3の鍵)を得る。 In 2.5, the KMS calculates k = R · s using the elliptic curve dot product algorithm based on the KMS's private key (assumed to be s) and key parameters, and obtains the corresponding key k (e.g., the third key mentioned above).

2.6では、KMSは、鍵IDに基づき、当該鍵IDに対応するVKEK(vと仮定する)を照会する。 In 2.6, the KMS queries the VKEK (assuming it is v) that corresponds to the key ID based on the key ID.

2.7では、KMSは、kを対称鍵としてRとvをそれぞれ暗号化し、対応する暗号文c1(例えば、上記鍵パラメータ暗号文)とc2(例えば、上記保護鍵暗号文)を得る。 In 2.7, the KMS encrypts R and v using k as the symmetric key to obtain corresponding ciphertexts c1 (e.g., the key parameter ciphertext) and c2 (e.g., the protection key ciphertext).

2.8では、KMSはc1とc2を暗号化ノードに送信する。 In 2.8, KMS sends c1 and c2 to the encryption node.

2.9では、暗号化ノードは、KMSの公開鍵Sと上記乱数rに基づき、楕円曲線ドット積アルゴリズムを用いてk’=S・rを計算し、対応する鍵k’(例えば、上記第4の鍵)を得る。 In 2.9, the encryption node calculates k' = S · r using the elliptic curve dot product algorithm based on the KMS public key S and the random number r, and obtains the corresponding key k' (e.g., the fourth key).

2.10では、暗号化ノードはk’を用いてc1を復号化し、復号化して得られた結果がRであれば2.11を実行し、そうでなければエラーを返す。 In 2.10, the encryption node decrypts c1 using k', and if the decrypted result is R, executes 2.11; otherwise, it returns an error.

2.11では、暗号化ノードはk’を用いてc2を復号化し、保護鍵vを取得する。 In 2.11, the encryption node decrypts c2 using k' to obtain the protection key v.

第3段階、ビデオ暗号化段階 Phase 3: Video encryption phase

3.1では、割り当てられたビデオデータスライスのいずれかに対する暗号化の指示が検出された場合、暗号化ノードはタイムスタンプに基づいて鍵IDを生成し、当該鍵IDに基づいてKMSから保護鍵vを取得してもよい。その実施プロセスについては、上記鍵要求段階の説明を参照されたい。 In 3.1, if an encryption instruction for any of the allocated video data slices is detected, the encryption node may generate a key ID based on the timestamp and obtain a protection key v from the KMS based on the key ID. For the implementation process, please refer to the description of the key request phase above.

3.2では、暗号化ノードは乱数vek(例えば上記第1の乱数)を生成し、vekを作業鍵(すなわちビデオ鍵)とする。 In 3.2, the encryption node generates a random number vek (e.g., the first random number described above) and sets vek as the working key (i.e., the video key).

3.3では、暗号化ノードはvekを用いて当該ビデオデータスライスを暗号化し、ビデオ暗号文を得る。 In 3.3, the encryption node encrypts the video data slice using vek to obtain a video ciphertext.

3.4では、暗号化ノードはvを用いてvekを暗号化し、vek暗号文(例えば上記鍵暗号文)を得る。 In 3.4, the encryption node encrypts vek using v to obtain the vek ciphertext (e.g., the key ciphertext above).

3.5では、暗号化ノードはvek暗号文と鍵IDをビデオ暗号文に連結する。 In 3.5, the encryption node concatenates the vek ciphertext and the key ID to the video ciphertext.

第4段階、ビデオ復号化段階 Fourth stage: video decoding stage

4.1では、任意のビデオ暗号文(例えば上記ビデオ暗号化段階で得たビデオ暗号文)に対する復号化の指示が検出されると、暗号化ノードは当該ビデオ暗号文に付加されるvek暗号文と鍵IDを抽出する。 In 4.1, when a decryption instruction is detected for any video ciphertext (e.g., the video ciphertext obtained in the video encryption stage above), the encryption node extracts the vek ciphertext and key ID that are attached to the video ciphertext.

4.2では、暗号化ノードは、鍵IDに基づいてKMSから保護鍵vを取得する。その実施プロセスについては、上記鍵要求段階の説明を参照されたい。 In 4.2, the encryption node obtains the protection key v from the KMS based on the key ID. See the description of the key request stage above for the implementation process.

4.3では、暗号化ノードはvを用いてvek暗号文を復号化し、vekを得る。 In 4.3, the encryption node uses v to decrypt the vek ciphertext and obtain vek.

4.4では、暗号化ノードはvekを用いてビデオ暗号文を復号化する。 In 4.4, the encryption node uses vek to decrypt the video ciphertext.

例示的に、上記第1段階~第4段階のフローチャートを図5に示す。 As an example, a flowchart of the above steps 1 to 4 is shown in Figure 5.

以上、本発明によって提供される方法について説明した。以下、本発明によって提供される装置及びシステムを説明する。 The above describes the method provided by the present invention. Below, we will explain the device and system provided by the present invention.

図6を参照すると、図6は、本発明の一実施形態により提供されるビデオデータスライスの暗号化装置の構造概略図である。当該ビデオデータスライスの暗号化装置は、上記実施形態における暗号化ノードに適用されてもよく、図6に示すように、当該ビデオデータスライスの暗号化装置は、取得ユニット610と、暗号化ユニット620と、処理ユニット630とを含んでもよい。 Referring to FIG. 6, FIG. 6 is a structural schematic diagram of a video data slice encryption device provided by an embodiment of the present invention. The video data slice encryption device may be applied to the encryption node in the above embodiment, and as shown in FIG. 6, the video data slice encryption device may include an acquisition unit 610, an encryption unit 620, and a processing unit 630.

取得ユニット610は、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するために用いられる。ここで、前記第1の保護鍵は、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、同じ鍵IDに対応する保護鍵は同じである。 The acquisition unit 610 is used to acquire a first key ID and acquire a first protection key from the key management system based on the first key ID. Here, the first protection key is sent by the key management system to the target encryption node if it passes the verification of the target encryption node, and the protection keys corresponding to the same key ID are the same.

暗号化ユニット620は、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられる。 The encryption unit 620 is used to generate a first random number and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext.

前記暗号化ユニット620はさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる。 The encryption unit 620 is further used to encrypt the first video key using the first protection key to obtain a first key ciphertext.

処理ユニット630は、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。 The processing unit 630 is used to store the first key ciphertext and the first key ID in the first video ciphertext.

いくつかの実施形態において、前記取得ユニット610が、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得することは、
第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成することと、
前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得ることと、
前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させることであって、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成される、ことと、
前記鍵管理システムから送信された前記保護鍵暗号文を受信することと、
前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成することと、
前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得ることと、を含む。 In some embodiments, the obtaining unit 610 obtains a first protection key from the key management system based on the first key ID, the first protection key being obtained by the obtaining unit 610 comprising:
generating a second random number and generating key parameters based on the second random number and a base point on an elliptic curve using an elliptic curve dot product algorithm;
signing a device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node to obtain first signature data;
sending the device ID, the first key ID, the key parameters, and the first signature data to the key management system, causing the key management system to obtain a public key of the target encryption node based on the device ID, verify the first signature data based on the public key of the target encryption node using an elliptic curve cryptography algorithm, and if the verification is successful, encrypt the first protection key corresponding to the first key ID based on a third key to obtain a protection key ciphertext, wherein the third key is generated by the key management system based on the key parameters and a private key of the key management system using an elliptic curve dot product algorithm;
receiving the protected key ciphertext transmitted from the key management system;
generating a fourth key based on a public key of the key management system and the second random number using an elliptic curve dot product algorithm;
decrypting the protection key ciphertext based on the fourth key to obtain the first protection key.

いくつかの実施形態において、第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、前記取得ユニット610はさらに、
前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られ、
前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定するために用いられる。 In some embodiments, before decrypting the protected key ciphertext based on a fourth key, the obtaining unit 610 further
receiving a key parameter ciphertext transmitted from the key management system, the key parameter ciphertext being obtained by encrypting the key parameters using the third key by the key management system;
The fourth key is used to decrypt the key parameter ciphertext, and if the decryption result matches the key parameters, it is used to determine to perform an operation of decrypting the protection key ciphertext based on the fourth key.

いくつかの実施形態において、図7を参照し、前記装置はさらに、抽出ユニット640と復号化ユニット650とを含み、
抽出ユニット640は、第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出するために用いられ、
前記取得ユニット610はさらに、前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得するために用いられ、前記第2の保護鍵は、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、
復号化ユニット650は、前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得るために用いられ、
前記復号化ユニット650はさらに、前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化するために用いられる。 In some embodiments, referring to FIG. 7, the apparatus further includes an extraction unit 640 and a decoding unit 650;
The extraction unit 640 is used to extract a second key ciphertext and a second key ID from the second video ciphertext when detecting a decryption instruction for the second video ciphertext;
The obtaining unit 610 is further used for obtaining a second protection key from the key management system according to the second key ID, and the second protection key is sent to the target encryption node by the key management system if the second protection key passes the verification of the target encryption node;
a decryption unit 650 is used to decrypt the second key ciphertext based on the second protection key to obtain a second video key;
The decryption unit 650 is further used for decrypting the second video ciphertext based on the second video key.

図8を参照し、図8は、本発明の実施形態によって提供される電子デバイスのハードウェアの構造概略図である。当該電子デバイスは、プロセッサ801及び機械読み取り可能な記憶媒体802を含み、前記機械読み取り可能な記憶媒体802には、機械実行可能命令が記憶される。プロセッサ801及び機械可読記憶媒体802は、システムバス803を介して通信してもよい。そして、機械読み取り可能な記憶媒体802のビデオデータスライスの暗号化制御ロジックに対応する機械実行可能命令を読み出して実行することで、プロセッサ801は、上記ビデオデータスライスの暗号化方法を実行することができる。 Referring to FIG. 8, FIG. 8 is a schematic diagram of the hardware structure of an electronic device provided by an embodiment of the present invention. The electronic device includes a processor 801 and a machine-readable storage medium 802, in which machine-executable instructions are stored. The processor 801 and the machine-readable storage medium 802 may communicate via a system bus 803. The processor 801 can then read and execute the machine-executable instructions corresponding to the encryption control logic of the video data slices in the machine-readable storage medium 802 to execute the encryption method of the video data slices.

本明細書で言及される機械読み取り可能な記憶媒体802は、任意の電子、磁性、光学又は他の物理的記憶装置であってもよく、実行可能なコマンド、データ等の情報を含むか又は記憶することができる。例えば、機械読み取り可能な記憶媒体は、RAM(Random Access Memory、ランダムアクセスメモリ)、揮発性メモリ、不揮発性メモリ、フラッシュメモリ、記憶ドライブ(例えばハードディスクドライブ)、ソリッドステートドライブ、任意のタイプの記憶ディスク(例えば光ディスク、dvd等)、又は類似の記憶媒体、又はそれらの組み合わせであってもよい。 The machine-readable storage medium 802 referred to herein may be any electronic, magnetic, optical, or other physical storage device capable of containing or storing information, such as executable commands, data, etc. For example, the machine-readable storage medium may be a RAM (Random Access Memory), a volatile memory, a non-volatile memory, a flash memory, a storage drive (e.g., a hard disk drive), a solid-state drive, any type of storage disk (e.g., an optical disk, a dvd, etc.), or a similar storage medium, or a combination thereof.

いくつかの実施形態では、機械読み取り可能な記憶媒体を提供し、当該機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、機械実行可能命令がプロセッサによって実行されると、上記ビデオデータスライスの暗号化方法を実施する。例えば、前記機械読み取り可能な記憶媒体は、ROM、RAM、CD-ROM、テープ、フロッピーディスク、光データ記憶装置などであってもよい。 In some embodiments, a machine-readable storage medium is provided that stores machine-executable instructions that, when executed by a processor, perform the method for encrypting the video data slices. For example, the machine-readable storage medium may be a ROM, RAM, CD-ROM, tape, floppy disk, optical data storage device, etc.

図9を参照すると、図9は、本発明の実施形態によって提供されるビデオデータスライスの暗号化システムの構造概略図である。図9に示すように、当該ビデオデータスライスの暗号化システムは、鍵管理システム910と複数の暗号化ノード920を含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスが、前記複数の暗号化ノード920のうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノード920がターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システム910が前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。 9, which is a structural schematic diagram of a video data slice encryption system provided by an embodiment of the present invention. As shown in FIG. 9, the video data slice encryption system includes a key management system 910 and a plurality of encryption nodes 920, and a plurality of video data slices obtained by slicing the same video stream or video file are assigned to at least two of the plurality of encryption nodes 920 for encryption;
When the encryption node 920 is a target encryption node, obtain a first key ID, obtain a first protection key from the key management system according to the first key ID, generate a first random number, and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext, and the protection keys corresponding to the same key ID are the same;
if the key management system 910 passes the verification of the target encryption node, to send the first protection key corresponding to the first key ID to the target encryption node;
If the encryption node 920 is a target encryption node, it is further used to encrypt the first video key with the first protection key to obtain a first key ciphertext;
If the encryption node 920 is the target encryption node, it is further used to store the first key ciphertext and the first key ID in the first video ciphertext.

いくつかの実施形態において、前記暗号化ノード920がターゲット暗号化ノードとする場合、具体的に、第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信するために用いられ、
前記鍵管理システム910が、具体的に、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証し、検証に合格した場合、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて第3の鍵を生成するために用いられ、
前記鍵管理システム910がさらに、具体的に、前記第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化し、保護鍵暗号文を得、前記保護鍵暗号文を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記保護鍵暗号文を受信し、前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる。 In some embodiments, when the encryption node 920 is a target encryption node, the following steps are specifically used: generate a second random number; generate key parameters using an elliptic curve dot product algorithm based on the second random number and a base point on an elliptic curve; sign a device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node, obtain first signature data, and send the device ID, the first key ID, the key parameters, and the first signature data to the key management system;
The key management system 910 is specifically used to verify the first signature data according to the public key of the target encryption node using an elliptic curve cryptography algorithm, and if the verification is passed, generate a third key according to the key parameters and a private key of the key management system using an elliptic curve dot product algorithm;
The key management system 910 is further specifically used for encrypting the first protection key corresponding to the first key ID according to the third key to obtain a protection key ciphertext, and sending the protection key ciphertext to the target encryption node;
When the encryption node 920 is a target encryption node, it is further used to receive the protection key ciphertext sent from the key management system, generate a fourth key using an elliptic curve dot product algorithm based on the public key of the key management system and the second random number, decrypt the protection key ciphertext based on the fourth key, and obtain the first protection key.

いくつかの実施形態において、前記鍵管理システム910がさらに、前記第3の鍵を用いて前記鍵パラメータを暗号化し、鍵パラメータ暗号文を得、前記鍵パラメータ暗号文を前記暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、前記暗号化ノード920がさらに、前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化するために用いられる。 In some embodiments, the key management system 910 is further used to encrypt the key parameters using the third key to obtain a key parameter ciphertext, and send the key parameter ciphertext to the encryption node;
When the encryption node 920 is a target encryption node, the encryption node 920 is further used to receive a key parameter ciphertext sent from the key management system, decrypt the key parameter ciphertext using the fourth key, and if the decryption result matches the key parameters, decrypt the protection key ciphertext based on the fourth key.

なお、本明細書において、第1及び第2のような関係用語は、あるエンティティ又は動作を別のエンティティ又は動作から区別するためにのみ使用され、それらのエンティティ又は動作の間にそのような実際の関係又は順序が存在することを必ずしも要求又は示唆するものではない。さらに、「含む」、「からなる」、又はその他の変形という用語は、非排他的な包含を意図している。それにより、一連の要素を含むプロセス、方法、物品又はデバイスは、それらの要素だけでなく、明示的に列挙されていない他の要素、又はそのようなプロセス、方法、物品又は装置に固有の要素も含む。それ以上の制限がない場合、ある要素が「...を含む」という表現で限定された要素は、当該要素を含むプロセス、方法、物品又はデバイスに別の同じ要素の存在を排除するものではない。 It should be noted that, in this specification, relational terms such as first and second are used only to distinguish one entity or operation from another entity or operation, and do not necessarily require or imply that such an actual relationship or sequence exists between those entities or operations. Furthermore, the terms "comprise", "consist of", or other variations are intended to be non-exclusive inclusive, whereby a process, method, article, or device that includes a set of elements includes not only those elements, but also other elements not expressly listed or elements inherent in such process, method, article, or device. In the absence of further limitations, an element limited by the expression "comprises" does not exclude the presence of other identical elements in the process, method, article, or device that includes the element.

以上は、本発明の実施例に過ぎず、本発明を限定するものではない。当業者にとって、本発明は様々な変更及び変更が可能である。本発明の精神と原理の範囲内で行われたいかなる修正、同等置換、改善などは、本発明の請求項請求の範囲に含まれるべきである。 The above are merely examples of the present invention and are not intended to limit the present invention. Those skilled in the art can make various modifications and changes to the present invention. Any modifications, equivalent replacements, improvements, etc. made within the spirit and principles of the present invention should be included in the scope of the claims of the present invention.

610 取得ユニット
620 暗号化ユニット
630 処理ユニット
640 抽出ユニット
650 復号化ユニット
801 プロセッサ
802 機械読み取り可能な記憶媒体
803 システムバス
910 鍵管理システム
920 暗号化ノード 610 Acquisition unit 620 Encryption unit 630 Processing unit 640 Extraction unit 650 Decryption unit 801 Processor 802 Machine-readable storage medium 803 System bus 910 Key management system 920 Encryption node

以上のことから、本発明は、ビデオデータスライスの暗号化方法、装置システム及び電子デバイスを提供する。 SUMMARY OF THE DISCLOSURE In view of the above, the present invention provides a method, apparatus , system and electronic device for encrypting video data slices.

本発明の実施形態の第1の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化方法が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記方法は、
前記ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップであって、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである、ステップと、
前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含む。 According to a first aspect of an embodiment of the present invention, there is provided a method for encrypting a video data slice to be applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, and a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the method comprising:
the target encryption node obtains a first key ID, obtains a first protection key from the key management system according to the first key ID, the target encryption node generates a first random number, and uses the first random number as a first video key to encrypt a video data slice to obtain a first video ciphertext, where the protection key is used to encrypt the video key, and the protection keys corresponding to the same key ID are the same;
the target encryption node encrypting the first video key with the first protection key to obtain a first key ciphertext;
the target encryption node storing the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第2の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化装置が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記装置は、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するための取得ユニットであって、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである、取得ユニットと、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るための暗号化ユニットであって、前記暗号化ユニットはさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる、暗号化ユニットと、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するための処理ユニットと、を含む。 According to a second aspect of an embodiment of the present invention, there is provided an apparatus for encrypting a video data slice to be applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the apparatus comprising:
an acquiring unit for acquiring a first key ID and acquiring a first protection key from the key management system according to the first key ID, the protection key being used to encrypt a video key, and the protection keys corresponding to the same key ID are the same;
an encryption unit for generating a first random number and encrypting a video data slice to be encrypted with the first random number as a first video key to obtain a first video ciphertext, the encryption unit being further used to encrypt the first video key with the first protection key to obtain a first key ciphertext;
a processing unit for storing the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第3の態様によれば、ビデオデータスライスの暗号化システムが提供され、前記システムは鍵管理システムと複数の暗号化ノードを含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノードがターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システムが前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。 According to a third aspect of an embodiment of the present invention, there is provided a system for encrypting video data slices, the system comprising a key management system and a plurality of encryption nodes, wherein a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption;
When the encryption node is a target encryption node, obtain a first key ID, obtain a first protection key from the key management system according to the first key ID, generate a first random number, and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext, the protection key is used to encrypt the video key, and the protection keys corresponding to the same key ID are the same;
if the key management system passes the verification of the target encryption node, to transmit the first protection key corresponding to the first key ID to the target encryption node;
if the encryption node is a target encryption node, the encryption node further comprises encrypting the first video key with the first protection key to obtain a first key ciphertext;
If the encryption node is a target encryption node, it is further used to store the first key ciphertext and the first key ID in the first video ciphertext.

本発明の実施形態の第4の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用される電子デバイスが提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記電子デバイスはプロセッサ及び機械読み取り可能な記憶媒体を含み、前記機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、前記プロセッサは、前記機械実行可能命令を実行することで、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得、
前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納する動作を実施するように構成される。 According to a fourth aspect of an embodiment of the present invention, there is provided an electronic device adapted to be a target encryption node in an encryption system for video data slices comprising a key management system and a plurality of encryption nodes, the target encryption node being any one of the plurality of encryption nodes, a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the electronic device comprising a processor and a machine-readable storage medium, the machine-readable storage medium storing machine-executable instructions, the processor executing the machine-executable instructions to:
Obtain a first key ID, and obtain a first protection key from the key management system according to the first key ID, the protection key is used to encrypt a video key, and the protection keys corresponding to the same key ID are the same;
generating a first random number, and encrypting the video data slice to be encrypted using the first random number as a first video key to obtain a first video ciphertext;
encrypting the first video key with the first protection key to obtain a first key ciphertext;
The device is configured to perform an operation of storing the first key ciphertext and the first key ID in the first video ciphertext.

ステップS100において、ターゲット暗号化ノードが第1の鍵識別子(ID)を取得し、第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得する。ここで、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである。 In step S100, a target encryption node obtains a first key identifier (ID), and obtains a first protection key from the key management system based on the first key ID, where the protection key is used to encrypt a video key, and the protection keys corresponding to the same key ID are the same.

一方、ターゲット暗号化ノードは、第1のビデオ鍵を暗号化するための保護鍵(本明細書では第1の保護鍵と呼ぶ)を鍵管理システムから取得してもよい。第1の保護鍵は、ターゲット暗号化ノードの検証に合格した場合に、鍵管理システムによってターゲット暗号化ノードに送信される。 Meanwhile, the target encryption node may obtain a protection key (herein referred to as a first protection key) for encrypting the first video key from the key management system , which is sent to the target encryption node by the key management system if the first protection key passes the verification of the target encryption node.

取得ユニット610は、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するために用いられる。ここで、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである。 The obtaining unit 610 is used to obtain a first key ID, and obtain a first protection key from the key management system according to the first key ID, where the protection key is used to encrypt a video key, and the protection keys corresponding to the same key ID are the same.

図9を参照すると、図9は、本発明の実施形態によって提供されるビデオデータスライスの暗号化システムの構造概略図である。図9に示すように、当該ビデオデータスライスの暗号化システムは、鍵管理システム910と複数の暗号化ノード920を含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスが、前記複数の暗号化ノード920のうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノード920がターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システム910が前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。 9, which is a structural schematic diagram of a video data slice encryption system provided by an embodiment of the present invention. As shown in FIG. 9, the video data slice encryption system includes a key management system 910 and a plurality of encryption nodes 920, and a plurality of video data slices obtained by slicing the same video stream or video file are assigned to at least two of the plurality of encryption nodes 920 for encryption;
When the encryption node 920 is a target encryption node, obtain a first key ID, obtain a first protection key from the key management system according to the first key ID, generate a first random number, and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext, the protection key is used to encrypt the video key, and the protection keys corresponding to the same key ID are the same;
if the key management system 910 passes the verification of the target encryption node, to send the first protection key corresponding to the first key ID to the target encryption node;
If the encryption node 920 is a target encryption node, it is further used to encrypt the first video key with the first protection key to obtain a first key ciphertext;
If the encryption node 920 is the target encryption node, it is further used to store the first key ciphertext and the first key ID in the first video ciphertext.

Claims (15)

鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化方法であって、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップであって、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである、ステップと、
前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含むことを特徴とする方法。 A video data slice encryption method applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, wherein a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes and encrypted;
the target encryption node obtains a first key ID, and obtains a first protection key from the key management system based on the first key ID, the protection key is used to encrypt a video key, and the protection keys corresponding to the same key ID are the same;
the target encryption node generating a first random number and encrypting the to-be-encrypted video data slice with the first random number as a first video key to obtain a first video ciphertext;
the target encryption node encrypting the first video key with the first protection key to obtain a first key ciphertext;
the target encryption node storing the first key ciphertext and the first key ID in the first video ciphertext. 前記ターゲット暗号化ノードが前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップは、
前記ターゲット暗号化ノードが第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成するステップと、
前記ターゲット暗号化ノードが前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得るステップと、
前記ターゲット暗号化ノードが前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させるステップであって、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成される、ステップと、
前記ターゲット暗号化ノードが前記鍵管理システムから送信された前記保護鍵暗号文を受信するステップと、
前記ターゲット暗号化ノードが前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成するステップと、
前記ターゲット暗号化ノードが前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るステップと、を含むことを特徴とする請求項1に記載の方法。 The step of the target encryption node obtaining a first protection key from the key management system based on the first key ID, comprising:
the target cryptographic node generating a second random number and generating key parameters based on the second random number and a base point on an elliptic curve using an elliptic curve dot product algorithm;
the target encryption node signing the device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node to obtain first signature data;
the target encryption node sends the device ID, the first key ID, the key parameters, and the first signature data to the key management system, causing the key management system to obtain a public key of the target encryption node based on the device ID, verify the first signature data using an elliptic curve cryptography algorithm based on the public key of the target encryption node, and if the verification is successful, encrypt the first protection key corresponding to the first key ID based on a third key to obtain a protection key ciphertext, wherein the third key is generated by the key management system based on the key parameters and a private key of the key management system using an elliptic curve dot product algorithm;
receiving, by the target cryptographic node, the protected key ciphertext transmitted from the key management system;
the target cryptographic node generating a fourth key based on the public key of the key management system and the second random number using an elliptic curve dot product algorithm;
and the target encryption node decrypting the protection-key ciphertext based on the fourth key to obtain the first protection key. 前記ターゲット暗号化ノードが前記第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、
前記ターゲット暗号化ノードが前記鍵管理システムから送信された鍵パラメータ暗号文を受信するステップであって、鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られる、ステップと、
前記ターゲット暗号化ノードが前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定するステップと、をさらに含むことを特徴とする請求項2に記載の方法。 before the target encryption node decrypts the protection key ciphertext based on the fourth key,
receiving, by the target cryptographic node, a key parameter ciphertext sent from the key management system, the key parameter ciphertext being obtained by encrypting, by the key management system, the key parameters with the third key;
3. The method of claim 2, further comprising: the target encryption node decrypting the key parameter ciphertext with the fourth key, and if the decryption result matches the key parameters, determining to perform an operation to decrypt the protected key ciphertext based on the fourth key. 前記ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出するステップと、
前記ターゲット暗号化ノードが前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得するステップであって、前記第2の保護鍵は、前記ターゲット暗号化ノードから送信された、前記第2の鍵IDが付加される保護鍵の取得要求に応答して、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信される、ステップと、
前記ターゲット暗号化ノードが前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得るステップと、
前記ターゲット暗号化ノードが前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化するステップと、をさらに含むことを特徴とする請求項1に記載の方法。 extracting a second key ciphertext and a second key ID from the second video ciphertext when the target encryption node detects a decryption instruction for the second video ciphertext;
the target encryption node obtaining a second protection key from the key management system based on the second key ID, the second protection key being sent by the key management system to the target encryption node in response to a request sent from the target encryption node for a protection key to which the second key ID is attached, if the second protection key passes verification by the target encryption node;
the target encryption node decrypting the second key ciphertext based on the second protection key to obtain a second video key;
2. The method of claim 1, further comprising the step of the target encryption node decrypting the second video ciphertext based on the second video key. 鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化装置であって、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するための取得ユニットであって、同じ鍵IDに対応する保護鍵は同じである、取得ユニットと、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るための暗号化ユニットであって、前記暗号化ユニットはさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる、暗号化ユニットと、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するための処理ユニットと、を含むことを特徴とする装置。 A video data slice encryption device applied to a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being one of the plurality of encryption nodes, wherein a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes and encrypted;
An acquisition unit for acquiring a first key ID and acquiring a first protection key from the key management system according to the first key ID, where protection keys corresponding to the same key ID are the same;
an encryption unit for generating a first random number and encrypting a video data slice to be encrypted with the first random number as a first video key to obtain a first video ciphertext, the encryption unit being further used to encrypt the first video key with the first protection key to obtain a first key ciphertext;
a processing unit for storing the first key ciphertext and the first key ID in the first video ciphertext. 前記第1の鍵IDに基づいて前記鍵管理システムから前記第1の保護鍵を取得するとき、前記取得ユニットは、
第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、
前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、
前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させ、ここで、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成され、
前記鍵管理システムから送信された前記保護鍵暗号文を受信し、
前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、
前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる、ことを特徴とする請求項5に記載の装置。 When obtaining the first protection key from the key management system based on the first key ID, the obtaining unit:
generating a second random number; and generating key parameters based on the second random number and a base point on an elliptic curve using an elliptic curve dot product algorithm;
signing the device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node to obtain first signature data;
sending the device ID, the first key ID, the key parameters, and the first signature data to the key management system, causing the key management system to obtain a public key of the target encryption node based on the device ID, verify the first signature data based on the public key of the target encryption node using an elliptic curve cryptography algorithm, and if the verification is successful, encrypt the first protection key corresponding to the first key ID based on a third key to obtain a protection key ciphertext, where the third key is generated by the key management system based on the key parameters and a private key of the key management system using an elliptic curve dot product algorithm;
receiving the protected key ciphertext transmitted from the key management system;
generating a fourth key based on the public key of the key management system and the second random number using an elliptic curve dot product algorithm;
6. The apparatus of claim 5, wherein the apparatus is used to decrypt the protection key ciphertext based on the fourth key to obtain the first protection key. 前記第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、前記取得ユニットはさらに、
前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られ、
前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定するために用いられる、ことを特徴とする請求項6に記載の装置。 Before decrypting the protected key ciphertext based on the fourth key, the obtaining unit further:
receiving a key parameter ciphertext transmitted from the key management system, the key parameter ciphertext being obtained by encrypting the key parameters using the third key by the key management system;
7. The apparatus of claim 6, further comprising: a fourth key for decrypting the key parameter ciphertext; and, if the result of the decryption matches the key parameters, determining to perform an operation of decrypting the protection key ciphertext based on the fourth key. 前記装置はさらに、抽出ユニットと復号化ユニットとを含み、
前記抽出ユニットは、第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出するために用いられ、
前記取得ユニットはさらに、前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得するために用いられ、前記第2の保護鍵は、前記ターゲット暗号化ノードから送信された、前記第2の鍵IDが付加される保護鍵の取得要求に応答して、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、
前記復号化ユニットは、前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得るために用いられ、
前記復号化ユニットはさらに、前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化するために用いられる、ことを特徴とする請求項5に記載の装置。 The apparatus further includes an extracting unit and a decoding unit;
The extraction unit is used to extract a second key ciphertext and a second key ID from the second video ciphertext when detecting a decryption instruction for the second video ciphertext;
The obtaining unit is further used to obtain a second protection key from the key management system based on the second key ID, and the second protection key is sent by the key management system to the target encryption node in response to a request for obtaining a protection key with the second key ID attached thereto, if the second protection key passes the verification of the target encryption node;
the decryption unit is used to decrypt the second key ciphertext based on the second protection key to obtain a second video key;
6. The apparatus of claim 5, wherein the decryption unit is further used for decrypting the second video ciphertext based on the second video key. ビデオデータスライスの暗号化システムであって、鍵管理システムと複数の暗号化ノードを含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノードがターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システムが前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる、ことを特徴とするシステム。 A video data slice encryption system, comprising: a key management system and a plurality of encryption nodes, wherein a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption;
When the encryption node is a target encryption node, obtain a first key ID, obtain a first protection key from the key management system according to the first key ID, generate a first random number, and use the first random number as a first video key to encrypt the video data slice to be encrypted to obtain a first video ciphertext, and the protection keys corresponding to the same key ID are the same;
if the key management system passes the verification of the target encryption node, to transmit the protection key corresponding to the first key ID to the target encryption node;
if the encryption node is a target encryption node, the encryption node further comprises encrypting the first video key with the first protection key to obtain a first key ciphertext;
When the encryption node is a target encryption node, the encryption node is further used to store the first key ciphertext and the first key ID in the first video ciphertext. 前記暗号化ノードがターゲット暗号化ノードとする場合、第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信するために用いられ、
前記鍵管理システムが前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証し、検証に合格した場合、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて第3の鍵を生成するために用いられ、
前記鍵管理システムがさらに、前記第3の鍵に基づいて、前記デバイスIDに対応する前記第1の保護鍵を暗号化し、保護鍵暗号文を得、前記保護鍵暗号文を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記保護鍵暗号文を受信し、前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる、ことを特徴とする請求項9に記載のシステム。 if the encryption node is a target encryption node, generating a second random number, generating key parameters using an elliptic curve dot product algorithm based on the second random number and a base point on an elliptic curve, signing a device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node, obtaining first signature data, which is used to send the device ID, the first key ID, the key parameters, and the first signature data to the key management system;
the key management system verifies the first signature data using an elliptic curve cryptography algorithm based on the public key of the target encryption node, and if the verification is successful, generates a third key using an elliptic curve dot product algorithm based on the key parameters and a private key of the key management system;
the key management system is further adapted to encrypt the first protection key corresponding to the device ID based on the third key to obtain a protection key ciphertext, and send the protection key ciphertext to the target encryption node;
10. The system of claim 9, wherein when the encryption node is a target encryption node, the encryption node is further used to receive the protection key ciphertext sent from the key management system, generate a fourth key using an elliptic curve dot product algorithm based on a public key of the key management system and the second random number, and decrypt the protection key ciphertext based on the fourth key to obtain the first protection key. 前記鍵管理システムがさらに、前記第3の鍵を用いて前記鍵パラメータを暗号化し、鍵パラメータ暗号文を得、前記鍵パラメータ暗号文を前記暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記鍵パラメータ暗号文を受信し、前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化するために用いられる、ことを特徴とする請求項10に記載のシステム。 the key management system is further adapted to encrypt the key parameters using the third key to obtain a key parameter ciphertext, and to transmit the key parameter ciphertext to the encryption node;
11. The system of claim 10, wherein when the encryption node is a target encryption node, the encryption node further receives the key parameter ciphertext sent from the key management system, decrypts the key parameter ciphertext using the fourth key, and, if a result of the decryption matches the key parameters, is used to decrypt the protection key ciphertext based on the fourth key. 鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用される電子デバイスであって、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記電子デバイスはプロセッサ及び機械読み取り可能な記憶媒体を含み、
前記機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、
前記プロセッサは、前記機械実行可能命令を実行することで、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、同じ鍵IDに対応する保護鍵は同じであり、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得、
前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納する動作を実施するように構成される、ことを特徴とする電子デバイス。 An electronic device adapted to be a target encryption node in a video data slice encryption system including a key management system and a plurality of encryption nodes, the target encryption node being any one of the plurality of encryption nodes, and a plurality of video data slices obtained by slicing a same video stream or video file are assigned to at least two of the plurality of encryption nodes for encryption, the electronic device including a processor and a machine-readable storage medium;
The machine-readable storage medium has machine-executable instructions stored thereon;
The processor executes the machine-executable instructions to:
Obtain a first key ID, and obtain a first protection key from the key management system based on the first key ID, and the protection keys corresponding to the same key ID are the same;
generating a first random number, and encrypting the video data slice to be encrypted using the first random number as a first video key to obtain a first video ciphertext;
encrypting the first video key with the first protection key to obtain a first key ciphertext;
13. An electronic device configured to perform an operation of storing the first key ciphertext and the first key ID in the first video ciphertext. 前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するとき、前記プロセッサは、さらに、前記機械実行可能命令を実行することで、
第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、
前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、
前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させ、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成され、
前記鍵管理システムから送信された前記保護鍵暗号文を受信し、
前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、
前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得る動作を実施するように構成される、ことを特徴とする請求項12に記載の電子デバイス。 When obtaining a first protection key from the key management system based on the first key ID, the processor further executes the machine-executable instructions to:
generating a second random number; and generating key parameters based on the second random number and a base point on an elliptic curve using an elliptic curve dot product algorithm;
signing the device ID of the target encryption node, the first key ID, and the key parameters using an elliptic curve cryptography algorithm based on a private key of the target encryption node to obtain first signature data;
sending a device ID of the target encryption node, the first key ID, the key parameters, and the first signature data to the key management system, causing the key management system to obtain a public key of the target encryption node based on the device ID, verify the first signature data based on the public key of the target encryption node using an elliptic curve cryptography algorithm, and if the verification is successful, encrypt the first protection key corresponding to the first key ID based on a third key to obtain a protection key ciphertext, the third key being generated by the key management system based on the key parameters and a private key of the key management system using an elliptic curve dot product algorithm;
receiving the protected key ciphertext transmitted from the key management system;
generating a fourth key based on the public key of the key management system and the second random number using an elliptic curve dot product algorithm;
13. The electronic device of claim 12, configured to perform an operation of decrypting the protection key ciphertext based on the fourth key to obtain the first protection key. 前記第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、前記プロセッサはさらに、前記機械実行可能命令を実行することで、
前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られ、
前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定する動作を実施するように構成される、ことを特徴とする請求項13に記載の電子デバイス。 Prior to decrypting the protected key ciphertext based on the fourth key, the processor further executes the machine-executable instructions to:
receiving a key parameter ciphertext transmitted from the key management system, the key parameter ciphertext being obtained by encrypting the key parameters using the third key by the key management system;
14. The electronic device of claim 13, further configured to perform an operation of determining to decrypt the key parameter ciphertext using the fourth key and, if a result of the decryption matches the key parameters, to perform an operation of decrypting the protection key ciphertext based on the fourth key. 前記プロセッサはさらに、前記機械実行可能命令を実行することで、
第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出し、
前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得し、前記第2の保護鍵は、前記ターゲット暗号化ノードから送信された、前記第2の鍵IDが付加される保護鍵の取得要求に応答して、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、
前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得、
前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化する動作を実施するように構成される、ことを特徴とする請求項12に記載の電子デバイス。 The processor further executes the machine-executable instructions to:
When detecting a decryption instruction for the second video ciphertext, extracting a second key ciphertext and a second key ID from the second video ciphertext;
obtaining a second protection key from the key management system based on the second key ID, the second protection key being sent by the key management system to the target encryption node in response to a request sent from the target encryption node for obtaining a protection key to which the second key ID is attached, if the second protection key passes verification by the target encryption node;
decrypting the second key ciphertext based on the second protection key to obtain a second video key;
The electronic device of claim 12 , configured to perform an operation of decrypting the second video ciphertext based on the second video key.
JP2023571699A 2021-05-19 2022-05-16 METHOD, APPARATUS, SYSTEM AND ELECTRONIC DEVICE FOR ENCRYPTION OF VIDEO DATA SLICES Active JP7515751B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN202110546576.8 2021-05-19
CN202110546576.8A CN112995784B (en) 2021-05-19 2021-05-19 Video data slice encryption method, device and system
PCT/CN2022/093116 WO2022242607A1 (en) 2021-05-19 2022-05-16 Method, apparatus, and system for encrypting video data slice, and electronic device

Publications (3)

Publication Number Publication Date
JP2024518798A true JP2024518798A (en) 2024-05-02
JPWO2022242607A5 JPWO2022242607A5 (en) 2024-06-17
JP7515751B2 JP7515751B2 (en) 2024-07-12

Family

ID=76337706

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023571699A Active JP7515751B2 (en) 2021-05-19 2022-05-16 METHOD, APPARATUS, SYSTEM AND ELECTRONIC DEVICE FOR ENCRYPTION OF VIDEO DATA SLICES

Country Status (3)

Country Link
JP (1) JP7515751B2 (en)
CN (1) CN112995784B (en)
WO (1) WO2022242607A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995784B (en) * 2021-05-19 2021-09-21 杭州海康威视数字技术股份有限公司 Video data slice encryption method, device and system
CN113727058A (en) * 2021-08-31 2021-11-30 成都卫士通信息产业股份有限公司 Multimedia conference data processing method, system, equipment and storage medium
CN113890759B (en) * 2021-09-28 2023-10-31 中国电信股份有限公司 File transmission method, device, electronic equipment and storage medium
CN114363011A (en) * 2021-12-13 2022-04-15 浙江加我网络科技有限公司 Ultra-high-definition video leakage-prevention sharing method

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002176419A (en) 2000-12-06 2002-06-21 Hitachi Ltd Right protection method
JP4561146B2 (en) 2004-03-29 2010-10-13 ソニー株式会社 Content distribution system, encryption apparatus, encryption method, information processing program, and storage medium
CN101166259B (en) * 2006-10-16 2010-11-10 华为技术有限公司 Mobile phone TV service protection method, system, mobile phone TV server and terminal
CN101425862B (en) * 2008-12-02 2011-08-10 中兴通讯股份有限公司 Mobile multimedia broadcast service operation management system and method
WO2010067433A1 (en) * 2008-12-11 2010-06-17 三菱電機株式会社 Self-authentication communication device, self-authentication verification communication device, device authentication system, device authentication method for device authentication system, self-authentication communication program, and self-authentication verification communication program
CN101711027B (en) * 2009-12-22 2012-07-04 上海大学 Method for managing dispersed keys based on identities in wireless sensor network
CN101931529B (en) * 2010-08-09 2014-07-16 中兴通讯股份有限公司 Data encryption method, data decryption method and nodes
US20160198202A1 (en) * 2012-12-10 2016-07-07 Koninklijke Kpn N.V. Digital Rights Management for Segmented Content
US9917690B2 (en) * 2015-10-01 2018-03-13 Time Warner Cable Enterprises Llc Encryption management, content recording management, and playback management in a network environment
CN106231346B (en) * 2016-08-05 2020-01-17 中国传媒大学 Distributed encryption method for offline video
CN106254896B (en) * 2016-08-05 2019-11-26 中国传媒大学 A kind of distributed cryptographic method for real-time video
CN111586445B (en) * 2020-05-14 2022-04-12 中国人民公安大学 Video data transmission method and device
CN112995784B (en) * 2021-05-19 2021-09-21 杭州海康威视数字技术股份有限公司 Video data slice encryption method, device and system

Also Published As

Publication number Publication date
CN112995784A (en) 2021-06-18
CN112995784B (en) 2021-09-21
WO2022242607A1 (en) 2022-11-24
JP7515751B2 (en) 2024-07-12

Similar Documents

Publication Publication Date Title
JP7515751B2 (en) METHOD, APPARATUS, SYSTEM AND ELECTRONIC DEVICE FOR ENCRYPTION OF VIDEO DATA SLICES
EP3349393B1 (en) Mutual authentication of confidential communication
CN109067524B (en) Public and private key pair generation method and system
US10015159B2 (en) Terminal authentication system, server device, and terminal authentication method
US8315395B2 (en) Nearly-stateless key escrow service
US9762560B2 (en) Method for generating cryptographic “one-time pads” and keys for secure network communications
CN104836784B (en) A kind of information processing method, client and server
JP6548172B2 (en) Terminal authentication system, server device, and terminal authentication method
US8600061B2 (en) Generating secure device secret key
JP6950745B2 (en) Key exchange device, key exchange system, key exchange method, and key exchange program
CN112351037B (en) Information processing method and device for secure communication
JP6167990B2 (en) Signature verification system, verification device, and signature verification method
JP2013207376A (en) Information processing device and program
JP2020507243A5 (en)
Backes et al. Lazy revocation in cryptographic file systems
CN111314269B (en) Address automatic allocation protocol security authentication method and equipment
EP3482527B1 (en) Apparatus, computer program, and method for securely broadcasting messages
CN115549910B (en) Data transmission method, equipment and storage medium
CN112134693B (en) Secret key encryption storage method, secret key acquisition method and secret key encryption storage device
WO2010067797A1 (en) Communication apparatus, server apparatus and communication program
WO2023198036A1 (en) Key generation method and apparatus, and device
JPWO2022242607A5 (en)
Prasad et al. Implementing Preserved Access of Cloud Networking
WO2022111823A1 (en) Devices and methods for supporting key management system for internet-of-things
CN114584321A (en) Data information encryption deployment method based on PUF device

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231117

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20231117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240607

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20240607

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240624

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240702

R150 Certificate of patent or registration of utility model

Ref document number: 7515751

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150