JP5333239B2 - ストリームデータ管理プログラム、方法、及びシステム - Google Patents
ストリームデータ管理プログラム、方法、及びシステム Download PDFInfo
- Publication number
- JP5333239B2 JP5333239B2 JP2009554184A JP2009554184A JP5333239B2 JP 5333239 B2 JP5333239 B2 JP 5333239B2 JP 2009554184 A JP2009554184 A JP 2009554184A JP 2009554184 A JP2009554184 A JP 2009554184A JP 5333239 B2 JP5333239 B2 JP 5333239B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- data
- original
- signature
- stream data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/40—Client devices specifically adapted for the reception of or interaction with content, e.g. set-top-box [STB]; Operations thereof
- H04N21/43—Processing of content or additional data, e.g. demultiplexing additional data from a digital video stream; Elementary client operations, e.g. monitoring of home network or synchronising decoder's clock; Client middleware
- H04N21/435—Processing of additional data, e.g. decrypting of additional data, reconstructing software from modules extracted from the transport stream
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/235—Processing of additional data, e.g. scrambling of additional data or processing content descriptors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/80—Generation or processing of content or additional data by content creator independently of the distribution process; Content per se
- H04N21/83—Generation or processing of protective or descriptive data associated with content; Content structuring
- H04N21/845—Structuring of content, e.g. decomposing content into time segments
- H04N21/8456—Structuring of content, e.g. decomposing content into time segments by decomposing the content in the time domain, e.g. in time segments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/60—Digital content management, e.g. content distribution
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/34—Flow control; Congestion control ensuring sequence integrity, e.g. using sequence numbers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Description
本発明は、ストリームデータ管理プログラム、方法、及びシステムに係り、特に、部分的に抽出(具体的には変更・抽出・墨塗り等を含む)が発生する動画像や音声といったストリーミングデータに対し、第三者が保証する日時情報と連動した原本ストリームデータからの抽出箇所の特定、ならびに、抽出したデータの正当性を担保・第三者証明可能なプログラム、方法、及びシステムに関する。
近年、店舗や繁華街、集合住宅等での監視カメラ設置や、業務車両へのドライブレコーダ設置等が一般化し、動画像を証拠物件として取り扱う事例が増加している。また、電話による取引やサポート業務のトラブル対策として、顧客とオペレータとの会話を録音し証拠として保持することも常識となりつつある。
現在、動画像や音声を証拠とする場合、ビデオテープや画像・音声ファイルをそのまま提供している。しかし、画像・音声保存のデジタル化が進めば、それらの改ざんや編集は容易になり、証拠として取り扱う場合は署名やタイムスタンプといった第三者証明が必要となる。現に電話オペレータの音声をタイムスタンプ付で録音・記録するサービスや製品が販売されており、今後このような技術のニーズが高まることが予想される。
現在、動画像や音声を証拠とする場合、ビデオテープや画像・音声ファイルをそのまま提供している。しかし、画像・音声保存のデジタル化が進めば、それらの改ざんや編集は容易になり、証拠として取り扱う場合は署名やタイムスタンプといった第三者証明が必要となる。現に電話オペレータの音声をタイムスタンプ付で録音・記録するサービスや製品が販売されており、今後このような技術のニーズが高まることが予想される。
一方で、増加する監視カメラ等に対して、撮影された映像の利用に対するプライバシの保護が問題となり、総務省等で議論が行われている。
また、個人情報保護法の施行等により、個人のプライバシ情報の利用が厳しく制限され、本人の要求があれば、開示や部分的な削除等が必要である。
このような、証拠性とプライバシ保護の両立という課題に対して、電子文書の一部に対する部分的な原本性(完全性)の保証や秘匿(墨塗り)する墨塗り署名技術の研究が進んでいる。
また、個人情報保護法の施行等により、個人のプライバシ情報の利用が厳しく制限され、本人の要求があれば、開示や部分的な削除等が必要である。
このような、証拠性とプライバシ保護の両立という課題に対して、電子文書の一部に対する部分的な原本性(完全性)の保証や秘匿(墨塗り)する墨塗り署名技術の研究が進んでいる。
特に、特許文献1には、ある文書に対して施された署名が、文書の一部を秘匿することによって検証できなくなる問題を解決する電子文書の墨塗り署名技術(以下、本技術をPIATとする)が開示されている。このPIATを適用することにより、署名付き電子文書に対して墨塗りを施した状態でも署名検証が可能、かつ、墨塗り(変更や追加も可能)箇所以外は改変がないことを第三者証明することが可能となる。
また、動画像・音声データの原本性の保証、署名対象からのプライバシ保護可能なデータ抽出、及び署名関連データの大幅なデータ量削減を実現することを目的とした、特願2007−12048号に記載のような技術がある。
更に、特願2007−326801号のような、原本ストリームデータの一部を切り出しても、切り出したストリームデータの再生不能を回避しつつ、原本ストリームデータの一部で、かつ改変がないことを第三者に証明可能とする技術も考案されている。
更に、特願2007−326801号のような、原本ストリームデータの一部を切り出しても、切り出したストリームデータの再生不能を回避しつつ、原本ストリームデータの一部で、かつ改変がないことを第三者に証明可能とする技術も考案されている。
しかしながら、特許文献1では、動画像や音声のように大きなデータ(長時間の映像や音声)の一部を抽出するような場合、署名に関連する情報が非常に大きくなるという課題があった。
更に、この課題を解決した特願2007−12048号の技術では、動画像・音声データのフォーマットに着目されていないため、原本ストリームデータの一部を切り出しても、切り出したストリームデータの再生不能を回避しつつ、原本ストリームデータの一部で、かつ改変がないことを第三者に証明することが困難だった。
更に、この課題を解決した特願2007−12048号の技術では、動画像・音声データのフォーマットに着目されていないため、原本ストリームデータの一部を切り出しても、切り出したストリームデータの再生不能を回避しつつ、原本ストリームデータの一部で、かつ改変がないことを第三者に証明することが困難だった。
更に、この課題を解決した特願2007−326801号の技術では、原本ストリームデータへの署名生成時、切り出しストリームデータの保存時、切り出しストリームデータの署名生成時、ストリームデータの署名検証の際、シーケンスヘッダ(ストリーミングデータ全体のシーケンス情報を格納するヘッダ)が付加されていない部分情報(GOP)の先頭に直近のシーケンスヘッダの内容を付与し、シーケンスヘッダを含めた形でPIAT署名情報の生成・検証を行う手段を提供している。しかしながら、記録されたストリーミングデータの総時間、ならびに切り出された時間の範囲は特定できるが、いつの時点で記録されたかを示す実際の日時までは特定することができなかった。
その対策として、時刻配信機関等から第三者が保証する日時情報を録画終了時に取得し、署名と共に保存することが考えられるが、長時間録画を撮り続けると、ストリーミングデータの情報量が膨大となるため、ある任意の単位(例えば、1時間単位)での保存が求められる。その結果、すべての原本ストリームデータの録画終了時に、時刻配信機関等から第三者が保証する日時情報を取得しなければならず、コストが嵩むこととなる。更に、次の原本ストリームデータを保存するまでに、ある一定の時間的余裕(例えば、1時間)が発生するため、その間に内部者や第三者による改ざんや中抜き等の不正が発生する可能性がある。
本発明は、このような問題点を解消するためになされたもので、ストリームデータの部分切り出しに対して低コストで原本性と実時間の証明を行うことができるストリームデータ管理プログラム、方法、及びシステムを提供することを目的とする。
この発明に係るストリームデータ管理プログラムは、
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納するステップと、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成するステップと、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成するステップと、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成するステップと、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行うステップと
をコンピュータに実行させるものである。
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納するステップと、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成するステップと、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成するステップと、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成するステップと、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行うステップと
をコンピュータに実行させるものである。
本発明の一態様は、
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納し、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成し、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成し、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行うストリームデータ管理方法である。
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納し、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成し、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成し、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行うストリームデータ管理方法である。
また、本発明の一態様は、
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納する原本ストリームデータ生成手段と、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成する原本署名関連情報生成手段と、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成する切り出しストリームデータ生成手段と、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成する切り出し署名関連情報生成手段と、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行う証明手段と
を備えたストリームデータ管理システムである。
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納する原本ストリームデータ生成手段と、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成する原本署名関連情報生成手段と、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成する切り出しストリームデータ生成手段と、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成する切り出し署名関連情報生成手段と、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行う証明手段と
を備えたストリームデータ管理システムである。
この発明によれば、第三者が保証する日時情報を1回取得するだけでストリームデータの部分切り出しに対して低コストで原本性と実時間の証明を行うことが可能となる。
以下、この発明の実施の形態を添付図面に基づいて説明する。
まず、本実施の形態に係るストリームデータ管理システムの構成について図1を用いて説明する。
図1において、1はネットワークである。ただし、1は、インターネット、イントラネット、ワイドエリアネットワーク等のすべての通信回線網を含むものとする。また、2は、電子署名情報を管理する認証機関のサーバである。周知のように電子署名は、署名対象情報を要約(メッセージダイジェスト化)した情報を送信者の秘密鍵で暗号化した署名情報と署名対象情報、及び公開鍵証明書を相手方へ送信し、受信者は、公開鍵証明書の有効性確認を行った上で、暗号化された署名情報を公開鍵証明書に含まれる公開鍵で復号し、署名対象情報から得た要約情報と比較を行う。この比較結果が同一か否かによって、正当な相手からの送信か否かを判断する技術である(詳細は後述する)。
まず、本実施の形態に係るストリームデータ管理システムの構成について図1を用いて説明する。
図1において、1はネットワークである。ただし、1は、インターネット、イントラネット、ワイドエリアネットワーク等のすべての通信回線網を含むものとする。また、2は、電子署名情報を管理する認証機関のサーバである。周知のように電子署名は、署名対象情報を要約(メッセージダイジェスト化)した情報を送信者の秘密鍵で暗号化した署名情報と署名対象情報、及び公開鍵証明書を相手方へ送信し、受信者は、公開鍵証明書の有効性確認を行った上で、暗号化された署名情報を公開鍵証明書に含まれる公開鍵で復号し、署名対象情報から得た要約情報と比較を行う。この比較結果が同一か否かによって、正当な相手からの送信か否かを判断する技術である(詳細は後述する)。
この技術では、証明書の正当性を保証する必要があるため、本実施の形態のように、映像記録端末、時刻配信機関、抽出者の公開鍵を蓄積した認証機関サーバ2を設置していることが一般的である。この認証機関サーバ2は、図2に示すように、映像記録端末、時刻配信機関、抽出者の公開鍵を蓄積した公開鍵DB21、依頼に応じて公開鍵証明書を発行する証明書発行部22、公開鍵証明書の検証を行う証明書検証部23、及びネットワーク1経由での通信を行う通信手段24を有する。
また、3は、後述する映像記録端末4から送信された情報を保存し、署名処理を行う署名生成サーバである。この署名生成サーバ3は、図3に示すように、後述する映像記録端末4から送信された情報及び後述する情報抽出サーバ5へ送信された情報を蓄積する文書管理DB31、文書管理DB31へのアクセス制御を行う文書管理TB32、後述する第三者が保証する日時情報の取得を行うタイムスタンプ取得部33、情報に対して後述する映像記録端末4のPIAT署名情報ならびに電子署名を付加する署名生成部34、及びネットワーク1経由での通信を行う通信手段35を有する。
また、4は、本発明のストリームデータ生成端末を形成する映像記録端末で、対象となる情報、すなわち原本ストリームデータ(以降、原動画情報と説明)の撮影・記録を行うための端末である。例えば、業務用監視カメラ等に相当する。この映像記録端末4は署名生成サーバ3と通信可能である。
また、4は、本発明のストリームデータ生成端末を形成する映像記録端末で、対象となる情報、すなわち原本ストリームデータ(以降、原動画情報と説明)の撮影・記録を行うための端末である。例えば、業務用監視カメラ等に相当する。この映像記録端末4は署名生成サーバ3と通信可能である。
5は、情報抽出サーバである。この情報抽出サーバ5は、図4に示すように、署名生成サーバ3から送られてきた情報の蓄積、及び後述する署名検証サーバ7へ送信された情報を蓄積する文書管理DB51、文書管理DB51へのアクセス制御を行う文書管理TB52、情報に対して抽出者のPIAT署名情報ならびに電子署名を付加する署名生成部53、送られてきた情報に付される電子署名の検証を行う署名検証部54、及びネットワーク経由で通信を行うための通信手段55を有する。
6は、抽出者が情報抽出サーバ5の操作を行うための端末である。この抽出者端末6は情報抽出サーバ5と通信可能である。
6は、抽出者が情報抽出サーバ5の操作を行うための端末である。この抽出者端末6は情報抽出サーバ5と通信可能である。
7は、署名検証サーバである。この署名検証サーバ7は、図5に示すように、情報抽出サーバ5から送られてきた情報を蓄積する文書管理DB71、文書管理DB71へのアクセス制御を行う文書管理TB72、送られてきた情報に付される電子署名ならびにPIAT署名情報の検証を行う署名検証部73、及びネットワーク経由で通信を行うための通信手段74を有する。
8は、検証者が署名検証サーバ7の操作を行うための端末である。この検証者端末8は署名検証サーバ7と通信可能である。
9は、時刻配信機関サーバである。この時刻配信機関サーバ9は、図6に示すように、日時情報を発行し、電子署名を付加するタイムスタンプ発行部91、及びネットワーク経由で通信を行うための通信手段92を有する。
なお、署名生成サーバ3により本発明の原本ストリームデータ生成手段及び原本署名関連情報生成手段が構成され、情報抽出サーバ5により本発明の切り出しストリームデータ生成手段及び切り出し署名関連情報生成手段が構成され、署名検証サーバ7により本発明の証明手段が構成されている。
8は、検証者が署名検証サーバ7の操作を行うための端末である。この検証者端末8は署名検証サーバ7と通信可能である。
9は、時刻配信機関サーバである。この時刻配信機関サーバ9は、図6に示すように、日時情報を発行し、電子署名を付加するタイムスタンプ発行部91、及びネットワーク経由で通信を行うための通信手段92を有する。
なお、署名生成サーバ3により本発明の原本ストリームデータ生成手段及び原本署名関連情報生成手段が構成され、情報抽出サーバ5により本発明の切り出しストリームデータ生成手段及び切り出し署名関連情報生成手段が構成され、署名検証サーバ7により本発明の証明手段が構成されている。
以上のように構成されたシステムの処理動作について以下に説明する。
まず、電子署名処理について説明する。
電子署名においては、送信者は、予め、鍵ペア(秘密鍵及び公開鍵)を生成し、認証機関サーバ2に公開鍵を送信して公開鍵証明書を発行してもらい、送信装置に、この秘密鍵と公開鍵証明書を記憶しておく。送信装置より情報送信を行う際、まず、署名対象情報の要約情報(メッセージダイジェスト)を生成し、この要約情報に対して、送信者の秘密鍵で暗号化したものを署名情報とする。続けて、署名対象情報とこの署名情報、及び送信者の公開鍵証明書を相手方へ送信し、それを受信した相手方(受信者)は、認証機関サーバ2に対して取得した送信者の公開鍵証明書の有効性検証を行い、有効であれば、この公開鍵で署名情報の復号を行う。続けて、署名対象情報の要約を生成し、復号した情報と比較して同一であれば、真に送信者から送信されたもので改変がないことを証明できる。
まず、電子署名処理について説明する。
電子署名においては、送信者は、予め、鍵ペア(秘密鍵及び公開鍵)を生成し、認証機関サーバ2に公開鍵を送信して公開鍵証明書を発行してもらい、送信装置に、この秘密鍵と公開鍵証明書を記憶しておく。送信装置より情報送信を行う際、まず、署名対象情報の要約情報(メッセージダイジェスト)を生成し、この要約情報に対して、送信者の秘密鍵で暗号化したものを署名情報とする。続けて、署名対象情報とこの署名情報、及び送信者の公開鍵証明書を相手方へ送信し、それを受信した相手方(受信者)は、認証機関サーバ2に対して取得した送信者の公開鍵証明書の有効性検証を行い、有効であれば、この公開鍵で署名情報の復号を行う。続けて、署名対象情報の要約を生成し、復号した情報と比較して同一であれば、真に送信者から送信されたもので改変がないことを証明できる。
ここでの要約情報とは、署名対象情報に対して暗号学的一方向性ハッシュ関数を用いて算出された情報(ハッシュ情報)であり、署名対象情報のサイズを圧縮できるという意味で、メッセージダイジェストとも言われる。また、暗号学的一方向性ハッシュ関数で生成されたハッシュ情報は、その署名対象情報からしか生成することができない唯一の情報となり、生成されたハッシュ情報から元の情報を復元することができないという特徴を持っている。このため、情報の暗号化や電子署名生成にはよく使われている。この暗号学的一方向性ハッシュ関数には、MD5、SHA-1、SHA-256のようなアルゴリズムがある。情報に対してどのアルゴリズムを用いて要約情報(ハッシュ情報)を生成しているかについての情報(ハッシュ情報生成アルゴリズム)は公開鍵証明書に記載されている。
電子署名生成の詳細な手順について以下に説明する。
まず、送信装置と認証機関サーバ2との間での公開鍵の登録について、図7のフローチャートを用いて説明する。
なお、図1のシステムにおいては、署名生成サーバ3、情報抽出サーバ5、時刻配信機関サーバ9が電子署名の送信装置となっている。
まず、送信者は、鍵ペア(秘密鍵及び公開鍵)の生成を行う(S1001)。続けて、送信者は、送信装置を操作して、証明書発行依頼情報の入力を行うと(S1002)、送信装置は、その入力された証明書発行依頼情報を公開鍵とともに認証機関サーバ2へ送信する(S1003)。
まず、送信装置と認証機関サーバ2との間での公開鍵の登録について、図7のフローチャートを用いて説明する。
なお、図1のシステムにおいては、署名生成サーバ3、情報抽出サーバ5、時刻配信機関サーバ9が電子署名の送信装置となっている。
まず、送信者は、鍵ペア(秘密鍵及び公開鍵)の生成を行う(S1001)。続けて、送信者は、送信装置を操作して、証明書発行依頼情報の入力を行うと(S1002)、送信装置は、その入力された証明書発行依頼情報を公開鍵とともに認証機関サーバ2へ送信する(S1003)。
この情報を通信手段24にて受信した認証機関サーバ2の証明書発行部22は(S1004)、公開鍵を含む公開鍵証明書を生成し(S1005)、公開鍵DB21に生成した公開鍵証明書を蓄積する(S1006)。
その後、証明書発行部22は、通信手段24を制御し、ネットワーク1を介し、証明書発行依頼情報を送信してきた送信装置へ、発行した公開鍵証明書を送信する(S1007)。
この情報を受信した送信装置は(S1008)、S1001で生成した秘密鍵、及び認証機関サーバ2から発行された公開鍵証明書を自身が有する記憶装置(署名生成サーバ3の署名生成部34内の記憶領域、情報抽出サーバ5の署名生成部53内の記憶領域、時刻配信機関サーバ9のタイムスタンプ発行部91内の記憶領域)に蓄積し(S1009)、その処理を完了する。
その後、証明書発行部22は、通信手段24を制御し、ネットワーク1を介し、証明書発行依頼情報を送信してきた送信装置へ、発行した公開鍵証明書を送信する(S1007)。
この情報を受信した送信装置は(S1008)、S1001で生成した秘密鍵、及び認証機関サーバ2から発行された公開鍵証明書を自身が有する記憶装置(署名生成サーバ3の署名生成部34内の記憶領域、情報抽出サーバ5の署名生成部53内の記憶領域、時刻配信機関サーバ9のタイムスタンプ発行部91内の記憶領域)に蓄積し(S1009)、その処理を完了する。
次に、電子署名付き情報の送受信処理、及び受信装置の検証処理について、図8のフローチャートを用いて説明する。
まず、送信者が、ある署名対象情報に対する電子署名生成及び受信装置に対する送信指示の入力を行うと(S2001)、送信装置は、記憶領域に記憶している秘密鍵により指示された署名対象情報の要約情報(ハッシュ情報)に対して暗号化し(S2002)、同じく記憶している公開鍵証明書とともに受信装置へ送信する(S2003)。
まず、送信者が、ある署名対象情報に対する電子署名生成及び受信装置に対する送信指示の入力を行うと(S2001)、送信装置は、記憶領域に記憶している秘密鍵により指示された署名対象情報の要約情報(ハッシュ情報)に対して暗号化し(S2002)、同じく記憶している公開鍵証明書とともに受信装置へ送信する(S2003)。
これらの情報を受信した受信装置は(S2004)、まず、送られてきた公開鍵証明書の有効期限や失効情報等を確認するため、認証機関サーバ2に対して公開鍵証明書を送信する(S2005)。ここでは、認証機関サーバ2が証明書発行・証明書検証の一連の機能をサポートしているものとする。次に、認証機関サーバ2は受信した公開鍵証明書の有効性検証を行い(S2006)、検証結果を受信装置に対して送信する(S2007)。この有効性検証結果を受信した受信装置は(S2008)、公開鍵証明書が有効かどうかの確認を行い(S2009)、有効性が確認できると、まず、送信装置から取得した送信者の公開鍵証明書に含まれるハッシュ情報生成アルゴリズムを参照し、送信装置より受信した署名対象情報からハッシュ情報を生成する(S2010)。続けて、公開鍵証明書に含まれる公開鍵を利用して、送信装置より受信した署名情報の復号処理を行う(S2011)。受信装置は、S2010で生成されたハッシュ情報と、S2011での復号処理によって得られた情報とを比較し、同一かどうかの判断を行う(S2012)。この判断で同一であることを確認できると、送信装置(送信者)から送られてきた情報であり、改変がないことが証明できたとして(S2013)、それら情報を保管する(S2014)。
一方、ハッシュ情報と復号処理によって得られた情報とが互いに異なる場合、その情報は、送信装置(送信者)からのものと証明できなかった(あるいは通信途中で改変された等)と判断し(S2015)、受信装置の操作者に証明できなかった旨の表示を行う等の通知処理を行う(S2016)。S2009の処理で、公開鍵証明書の有効性が確認できなかった場合も同様に、送信装置(送信者)からのものと証明できなかったと判断し(S2015)、受信装置の操作者に証明できなかった旨の表示を行う等の通知処理を行う(S2016)。
ここで、PIATのアルゴリズムの概要について図9を参照して説明する。
署名者は、署名対象データを部分データに分割し、各部分データのハッシュ情報を計算して、ハッシュ情報集合を生成する。その後、生成したハッシュ情報集合に対して署名者の電子署名を行い、ハッシュ情報集合と電子署名をあわせてPIAT署名情報とする。
抽出者は、署名者がPIAT署名情報を施したデータから、部分データを抽出する(それ以外の部分データは消去する)。その後、署名者と同様の操作を行って、抽出者のPIAT署名情報を生成する。
署名者は、署名対象データを部分データに分割し、各部分データのハッシュ情報を計算して、ハッシュ情報集合を生成する。その後、生成したハッシュ情報集合に対して署名者の電子署名を行い、ハッシュ情報集合と電子署名をあわせてPIAT署名情報とする。
抽出者は、署名者がPIAT署名情報を施したデータから、部分データを抽出する(それ以外の部分データは消去する)。その後、署名者と同様の操作を行って、抽出者のPIAT署名情報を生成する。
検証者は、まず、署名者と抽出者のPIAT署名情報から、ハッシュ情報集合の完全性を検証する。次に、開示された部分データからハッシュ情報集合を生成し、抽出者のPIAT署名情報に含まれるハッシュ情報集合と同一であることを検証する。最後に、署名者と抽出者のハッシュ情報集合を比較することで、ハッシュ情報が同じ部分が元のデータからの抽出位置であることがわかる。もし、抽出データのハッシュ情報が署名者のPIAT署名情報のハッシュ情報が含まれていない場合は、その部分データは改ざんされていることになる。
続けて、本実施の形態で対象とするストリーミング情報について説明・定義を行う。代表的な動画フォーマットとして、MPEG1/2/4、音声フォーマットは、MP3(MPEG1・Audio・Layer−3)、WAV等が存在する。この実施の形態では、MPEG1を対象に説明する。
MPEG1フォーマットには様々なものがあるが、ここでは、比較的映像が単調な動画像への適用を検討し、単純化のために、音声部分を除去したMPEG1のVideoフレームを対象とし、CBR(Constant・Bit・Rate:固定ビットレート)方式、MPEG1符号化された画像のみを扱うES(Elementary・Stream:エレメンタリストリーム)への適用を検討する。以降、対象とするフォーマットを単にMPEG1と記述する。
MPEG1フォーマットには様々なものがあるが、ここでは、比較的映像が単調な動画像への適用を検討し、単純化のために、音声部分を除去したMPEG1のVideoフレームを対象とし、CBR(Constant・Bit・Rate:固定ビットレート)方式、MPEG1符号化された画像のみを扱うES(Elementary・Stream:エレメンタリストリーム)への適用を検討する。以降、対象とするフォーマットを単にMPEG1と記述する。
MPEG1は、ISO/IEC・11172−2で標準化されている動画像符号化技術である。動画像は、静止画像をある程度高速に表示することによって実現される。例えば、テレビジョンでは秒間30枚程度の画像を表示しており、この毎秒表示される画像の枚数をフレームレートと呼ぶ。動画像の符号化技術では、データ量を削減するために符号化による(静止)画像圧縮と、フレーム間予測符号化による圧縮を行っている。MPEG1では静止画像圧縮にDCT技術、フレーム間予測に双方向予測技術を採用している。双方向予測のためにMPEG1では、静止画像の保持方法が三タイプ存在する。図10に、MPEG1の画像タイプとその並びの一例を示す。
Iフレームは表示に必要な全ての画像データを圧縮して保持している。Pフレームはフレーム間予測画像と呼ばれ、直近にデコードされたIフレーム、もしくはPフレームの画像を参照画像とし、そこからの差分等の値だけを保持する。Bフレームは直近にデコードされた未来と過去のIフレーム、Pフレームの画像を参照画像として、その差分値等を保持する。PフレームやBフレームでは、前後の画像との差分をとることで、時間方向の冗長度を削除し、高いデータ圧縮を実現している。また、MPEG1では、図10のように何枚かの画像をまとめて、GOP(Group・of・Pictures)と呼ばれる動画像の最小単位が構成される。GOPはその単位での独立した再生が可能で、動画像を途中から再生したり編集したりするための構造である。
図11に、MPEG1のフレーム構成の一例を示す。MPEG1のVideoフレームは、シーケンスヘッダ(以降、SHと説明)、GOPヘッダ(以降、GHと説明)、ピクチャヘッダ(以降、PHと説明)、ピクチャデータ(PH以下のレイヤのデータのこと、以降、PDと説明)から構成される。特にSHは、画像の大きさを表す情報や一秒間に符号化するフレーム数、通信速度の情報等、ビデオシーケンス全体に渡る共通のパラメータを記録している。
続けて、本実施の形態におけるシステムによるMPEG1へのPIAT適用について、図12〜図16のフローチャートを用いて説明する。
具体的な処理の流れを説明する前に、本実施の形態における前提について定義しておく。まず、原動画情報を記録する映像記録端末4が署名を付加する形態を考える。映像記録端末4は、例えば、監視カメラまたは業務用カメラ等に相当する。更に、この映像記録端末は、時刻配信機関サーバ9とネットワーク1を介して接続されており、第三者によって保証されている日時情報を正しく受信・取得できること、また、記録映像はある任意の時間単位で区切って保存することを想定し、1時間単位での保存を行うことを前提に説明を行う。更に、フレームレート、ならびに各原動画情報の各GOP内に含まれるピクチャ数は一定とし、原動画情報内における再生時間の特定は容易に行えるものとする。
具体的な処理の流れを説明する前に、本実施の形態における前提について定義しておく。まず、原動画情報を記録する映像記録端末4が署名を付加する形態を考える。映像記録端末4は、例えば、監視カメラまたは業務用カメラ等に相当する。更に、この映像記録端末は、時刻配信機関サーバ9とネットワーク1を介して接続されており、第三者によって保証されている日時情報を正しく受信・取得できること、また、記録映像はある任意の時間単位で区切って保存することを想定し、1時間単位での保存を行うことを前提に説明を行う。更に、フレームレート、ならびに各原動画情報の各GOP内に含まれるピクチャ数は一定とし、原動画情報内における再生時間の特定は容易に行えるものとする。
また、本実施の形態には、映像記録端末4の管理責任者、抽出者、検証者の3名の操作者を登場させる。映像記録端末4に装備された録画開始ボタン/録画停止ボタンを押下することで、映像記録端末4に対して映像記録開始・停止指示を発行する管理責任者、対象の原動画情報の一部切り出しを行って切り出し動画情報を生成する抽出者、開示された切り出し動画情報の検証を行う検証者からなる。
また、映像記録端末4、抽出者、検証者に対して以下の条件を設ける。映像記録端末4は、署名することで署名対象の原動画情報の内容を保証する。対象の原動画情報のうちどの部分が抽出されるかわからないという条件下で署名を行う必要がある。抽出者は、映像記録端末4が署名した原動画情報から、部分的にデータを抽出して、切り出し動画情報として検証者に開示する。抽出方法には、抽出者の情報を同時に開示して誰がその抽出処理を行ったかを明示する顕名抽出と、抽出者が抽出処理を匿名で行う匿名抽出の2種類がある。
本実施の形態では、顕名抽出を行うことを前提に説明を行う。検証者は、開示された切り出し動画情報が映像記録端末4によって保証されているかどうかを検証する。開示された切り出し動画情報は、映像記録端末4が署名をした原動画情報の一部であることに加え、その抽出が抽出者によって行われたことを検証する。なお、電子署名の処理については、各装置が上記した電子署名の手順を行うものとする。
本実施の形態では、顕名抽出を行うことを前提に説明を行う。検証者は、開示された切り出し動画情報が映像記録端末4によって保証されているかどうかを検証する。開示された切り出し動画情報は、映像記録端末4が署名をした原動画情報の一部であることに加え、その抽出が抽出者によって行われたことを検証する。なお、電子署名の処理については、各装置が上記した電子署名の手順を行うものとする。
まず、第1の実施の形態について説明する。図12に示すように、映像記録端末4は、署名対象となる原動画情報の記録を開始する(S3001A)。この開始指示は、映像記録端末4の管理責任者によって行われ、例えば、映像記録端末4に装備された録画開始ボタンを押下することで実行される。記録中の映像は、映像記録端末4の記憶領域へ蓄積されていくものとする。
この記録開始と同時に、映像記録端末4は、署名生成サーバ3に対して、日時情報の取得要求を送信する(S3002)。この時、映像記録端末4は、ユニークに割り振られた端末IDを一緒に送信する。
署名生成サーバ3は、通信手段35を介して映像記録端末4からの日時情報の取得要求と端末IDを受信し(S3003)、まず、受信した端末IDを退避させる(S3004)。この退避は、例えば、署名生成サーバ3の文書管理DB31内の記憶領域に一時的に記録することで行われる。
この記録開始と同時に、映像記録端末4は、署名生成サーバ3に対して、日時情報の取得要求を送信する(S3002)。この時、映像記録端末4は、ユニークに割り振られた端末IDを一緒に送信する。
署名生成サーバ3は、通信手段35を介して映像記録端末4からの日時情報の取得要求と端末IDを受信し(S3003)、まず、受信した端末IDを退避させる(S3004)。この退避は、例えば、署名生成サーバ3の文書管理DB31内の記憶領域に一時的に記録することで行われる。
続けて、タイムスタンプ取得部33は、通信手段35を介して時刻配信機関サーバ9に対して、日時情報の発行要求を送信する(S3005)。時刻配信機関サーバ9は、通信手段92を介して署名生成サーバ3からの日時情報の発行要求を受信し(S3006)、タイムスタンプ発行部91は、現時点の日時情報を取得・発行し、発行した日時情報に対して、時刻配信機関の電子署名を付加する(S3007)。時刻配信機関サーバ9は、通信手段92を介して、発行した電子署名付き日時情報を署名生成サーバ3に対して送信する(S3008)。
署名生成サーバ3は、通信手段35を介して時刻配信機関サーバ9から時刻配信機関の電子署名が付加された日時情報を受信し(S3009)、受信した電子署名付き日時情報を退避させる(S3010)。この退避は、例えば、署名生成サーバ3の文書管理DB31内の記憶領域に一時的に記録することにより行われる。署名生成サーバ3は、通信手段35を介して映像記録端末4に対して、日時情報の取得完了通知を送信する(S3011)。
署名生成サーバ3は、通信手段35を介して時刻配信機関サーバ9から時刻配信機関の電子署名が付加された日時情報を受信し(S3009)、受信した電子署名付き日時情報を退避させる(S3010)。この退避は、例えば、署名生成サーバ3の文書管理DB31内の記憶領域に一時的に記録することにより行われる。署名生成サーバ3は、通信手段35を介して映像記録端末4に対して、日時情報の取得完了通知を送信する(S3011)。
映像記録端末4は、署名生成サーバ3から日時情報の取得完了通知を受信する(S3012)。ここまでの日時情報の取得処理の流れ(S3002からS3012の処理)と並行して、映像記録端末4では、原動画情報の記録が継続して行われており(S3001B)、ここで日時情報の取得処理に何らかの異常が発生した場合は(S3013:YES)、管理責任者に何らかの形でその旨が通知される(S3013B)。異常の場合は、この時点で管理責任者により、原動画情報の記録の停止処理が行われ、終了する。
一方、日時情報の取得が正常に完了した旨の通知を受信すると(S3013:NO)、次に原動画情報の記録を終了するかどうかの判定に入る(S3014)。この終了指示は、管理責任者によって行われ、例えば、映像記録端末4に装備された録画停止ボタンを押下することで実行される。この記録終了時(S3014:YES)におけるそれ以降の処理の流れは、S3016Aへ遷移する。これ以降の処理は後述する。
一方、日時情報の取得が正常に完了した旨の通知を受信すると(S3013:NO)、次に原動画情報の記録を終了するかどうかの判定に入る(S3014)。この終了指示は、管理責任者によって行われ、例えば、映像記録端末4に装備された録画停止ボタンを押下することで実行される。この記録終了時(S3014:YES)におけるそれ以降の処理の流れは、S3016Aへ遷移する。これ以降の処理は後述する。
原動画情報の記録終了でない場合には(S3014:NO)、続けて、分割保存単位である1時間が経過したかどうかの判定に入る(S3015)。この記録開始から1時間が経過したかどうかを判断する形態としては、例えば、時刻配信機関サーバ9が日時情報を発行してから1時間が経過したら自動的に通知してくれるサービスを行うものとすると、署名生成サーバ3はこのサービスを利用し、映像記録端末4へ通知することが考えられる。また、別の形態として、署名生成サーバ3がS3009で受信した日時情報から1時間が経過したら、映像記録端末4へ通知することも考えられる。更に、別の形態として、映像記録端末4の内部にカウンター時計を装備し、1時間が経過したことを判断することも考えられる。どの形態にせよ、事後証明として利用する日時情報の取得は、時刻配信機関サーバ9に対してネットワーク1を介して行われ、サーバ間(通信上)を転々する。ここで、この通信上のタイムラグは必ずしもゼロではなく、何らかの対策は必要となる。しかしながら、本実施の形態における実施形態では、このタイムラグは誤差(すなわち考慮しない)とし、時刻配信機関サーバ9からの日時情報取得は誤差なく、タイムリーに行われ、正しく取得できるものと仮定して説明を行う。
1時間が経過していない場合には(S3015:NO)、S3001Bに戻り、原動画情報の記録を継続する。1時間が経過した場合には(S3015:YES)、映像記録端末4は、署名生成サーバ3に対して、署名生成要求を送信する(S3016A)。この時、映像記録端末4は、映像記録端末4の記憶領域に蓄積された1時間分の原動画情報と、1時間経過による署名生成要求であることを、署名生成サーバ3に対して送信する。この送信された時点で、映像記録端末4の記憶領域に蓄積された原動画情報は破棄され(S3016B02)、次の1時間分の記録を継続する。この時、映像記録端末4の記憶領域に余裕がある場合は、送信と同時に破棄せず、記録、もしくは署名生成が終了するまで蓄積する形態もあり得る。また、映像記録端末4は映像の記録機能を主目的とする関係上、映像記録端末4の記憶領域には、ある程度の大容量を確保することが困難であることが想定されることから、送信と同時に破棄しない形態も考えられ、例えば、バックアップ用の蓄積サーバを署名生成サーバ3以外に別途設け、管理する形態もあり得る。
また、管理責任者による記録終了時(S3014:YES)には、映像記録端末4の記憶領域に蓄積された分の原動画情報と、記録終了による署名生成要求であることを、署名生成サーバ3に対して送信する(S3016A)。この送信された時点で、処理を終了する(S3016B01:YES)。
署名生成サーバ3は、通信手段35を介してS3016Aで映像記録端末4から送信された署名生成要求を受信し(S3017)、初めて(1回目)の署名生成要求かどうか判断する(S3018)。この判断は、例えば、署名生成サーバ3が、映像記録端末4からの何回目の署名生成要求かをインクリメンタルカウントにより記憶しておくことで実行できる。
署名生成サーバ3は、通信手段35を介してS3016Aで映像記録端末4から送信された署名生成要求を受信し(S3017)、初めて(1回目)の署名生成要求かどうか判断する(S3018)。この判断は、例えば、署名生成サーバ3が、映像記録端末4からの何回目の署名生成要求かをインクリメンタルカウントにより記憶しておくことで実行できる。
まず、1回目の署名生成要求の場合(S3018:YES)の署名生成処理(S3019A)について説明する。図13は、1回目の署名生成処理のフローチャートを示している。初めに、映像記録端末4から送信された1時間分の原動画情報のSH内のユーザデータ領域にS3004で退避した端末IDを格納する(S3019A01)。同様に、S3010で退避した時刻配信機関の電子署名付き日時情報を格納する(S3019A02)。このSH内のユーザデータ領域の構造、及び格納方法については本実施の形態では言及せず、そのような領域があるものとして説明を行う。
次に、原動画情報に対する署名生成方法について説明する。原動画情報に対する署名生成では、まず、原動画情報を部分情報に分割するところから始まる。MPEG1のデータを抽出可能なように部分データに分割する場合、フレーム間予測技術が用いられている関係上、PD単位の独立性がなく、抽出が制限されることが考えられる。そこで、本発明では、図11のようなフレーム構成において、SHを先頭とし、次のSH(もしくは、SHが存在しなければ、次のGH)が始まる直前のPDまでを1GOP(MPEG1の部分データ)とし、単純化のために、部分データへの分割をGOP単位とする。
更に、記録時間が長い動画像やフレームレートの高い(フレーム数やGOP数が多い)動画像の場合、PIAT署名情報に含まれるハッシュ情報集合のデータ量が増加することが考えられる。この対策として、例えば、上述した特願2007−12048のような発明を利用することで、署名関連データ量の削減を図ることが可能である。上記を踏まえ、PIATアルゴリズムを適用する。なお、動画像データの抽出が目的のため、本発明の実施の形態では、全データのうち、連続するひとつの箇所の動画像を切り出すことを前提とする。
更に、記録時間が長い動画像やフレームレートの高い(フレーム数やGOP数が多い)動画像の場合、PIAT署名情報に含まれるハッシュ情報集合のデータ量が増加することが考えられる。この対策として、例えば、上述した特願2007−12048のような発明を利用することで、署名関連データ量の削減を図ることが可能である。上記を踏まえ、PIATアルゴリズムを適用する。なお、動画像データの抽出が目的のため、本発明の実施の形態では、全データのうち、連続するひとつの箇所の動画像を切り出すことを前提とする。
署名生成部34は、原動画情報に対するPIAT署名情報を生成する。図17は、その生成方法の様子を示している。実際、フレームレートを29.97、1GOPが約500ミリ秒程度、1GOPに含まれるピクチャ数が約18枚程度と想定すると、動画像データの生成条件によっても異なるが、約1時間(60分)分のGOP数は、およそ6000個程度と考えられる。しかしながら、本実施の形態では、説明の簡略化するために、GOP1からGOP5までの5個分のGOP(部分情報)を1時間と仮定し、これら5個のGOPによりひとつの原本データが形成されるものとして説明している。まず、原動画情報をGOPで分割し、各GOPのハッシュ情報を計算する。この時、図18のようなフレーム構成の場合には、どの位置で切り出されるか原動画情報の署名時点ではわからないため、SHが付加されていないGOPには直近のSHの内容を付与し、SHを含めた形でハッシュ情報を生成する。ただし、このSH付与は原動画情報の実体には記録されず、あくまでハッシュ情報の生成を行う際、例えば、記憶領域(メモリ等)上で付与することを意味する。
SHは動画再生等に必要なデータを格納する領域(SHM)と、ユーザが自由なデータを格納可能なユーザデータ領域(SHU)とに分かれる。この時、S3019A01でSHUに格納した端末IDと、S3019A02で同じくSHUに格納した時刻配信機関の電子署名付き日時情報を含むSHの内容を付与して、ハッシュ情報を生成する(S3019A03)。更に、これらハッシュ情報の集まりを用いて、暗号システムで有名なハッシュ情報を二分木で管理する手法(以降、二分木手法と説明)を使用し、ひとつのルートハッシュ情報を生成する。その後、生成したルートハッシュ情報に対して、映像記録端末4の電子署名を生成し、ルートハッシュ情報と電子署名をあわせて、映像記録端末4のPIAT署名情報とする(S3019A04)。
図19は、映像記録端末4のPIAT署名情報の内容を示している。この例では、原動画情報に対する検証情報として、ルートハッシュ情報を記録している。ルートハッシュ情報の生成には、暗号学的一方向性ハッシュ関数として、MD5を使用しており、16バイトの容量で記録されている様子を示している(PIAT1)。また、SIGN1は、検証情報(ルートハッシュ情報)に対する映像記録端末4の電子署名を示している。本実施の形態では、原動画情報に対する検証情報と、映像記録端末4の電子署名は、PIAT署名情報として一体化して記録するようにしているが、原動画情報に対する検証情報と電子署名を別々に記録・管理する形態もあり得る。
このようにして原動画情報のPIAT署名情報の生成が完了すると、署名生成サーバ3内の文書管理TB32を介し、原動画情報とPIAT署名情報をペアにして文書管理DB31に蓄積する(図12のS3020)。このPIAT署名情報の記録・管理形態として、原動画情報に対するハッシュ情報の集まりと電子署名を、PIAT署名情報として一体化して記録・管理する形態と、原動画情報に対するハッシュ情報の集まりと電子署名を別々に記録・管理する形態がある。また、本実施の形態では、二分木手法を利用して、原動画情報に対する検証情報としてルートハッシュ情報を記録しているが、二分木手法を利用するのは、署名データ量の削減目的である。署名データ量の削減を考慮しない場合は、各GOPのハッシュ情報の集まりをそのまま記録する形態もあり得る。
続けて、2回目以降の署名生成要求の場合(S3018:NO)の署名生成処理(S3019B)について説明する。図14は、2回目以降の署名生成処理のフローチャートを示している。初めに、映像記録端末4から送信された1時間分の原動画情報のSHUに格納された直前の原動画情報の端末IDと日時情報を除くSH(SHM)を原動画情報のSHMの実体として付与する(S3019B01)。本実施の形態では、端末IDと日時情報を含むSHは、1回目の原動画情報のみであり、2回目以降の原動画情報には端末IDと日時情報を除くSHMのみが付与される。
続けて、直前の原動画情報の最後のGOP情報(図20中、LGOP)を基に特徴値を生成する(S3019B02)。この特徴値は、直前の原動画情報と連続(連結)していることを示すための情報となる。生成された特徴値は、原動画情報のSHUに格納される(S3019B03)。なお、本実施の形態では、格納した特徴値は、直前の原動画情報の最後のGOP情報(図20中、LGOP)を基に生成したハッシュ情報としているが、例えば、直前の原動画情報のPIAT署名情報を格納してもよい。
続けて、直前の原動画情報の最後のGOP情報(図20中、LGOP)を基に特徴値を生成する(S3019B02)。この特徴値は、直前の原動画情報と連続(連結)していることを示すための情報となる。生成された特徴値は、原動画情報のSHUに格納される(S3019B03)。なお、本実施の形態では、格納した特徴値は、直前の原動画情報の最後のGOP情報(図20中、LGOP)を基に生成したハッシュ情報としているが、例えば、直前の原動画情報のPIAT署名情報を格納してもよい。
次に、原動画情報に対する署名生成方法について説明する。1回目の原動画情報に対する署名生成同様に、署名生成部34は、原動画情報に対するPIAT署名情報を生成する。図20は、その生成方法の様子を示している。まず、原動画情報をGOPで分割し、各GOPのハッシュ情報を計算する。この時、1回目の原動画情報に対する署名生成同様に、SHが付加されていないGOPには直近のSHの内容を付与し、SHを含めた形でハッシュ情報を生成する。このSH付与は原動画情報の実体には記録されず、あくまでハッシュ情報の生成を行う際、例えば記憶領域(メモリ等)上で付与することを意味する。
この時、S3019B03でSHUに格納した直前の原動画情報の最後のGOP情報の特徴値(FGOP)を含むSHの内容を付与して、ハッシュ情報を生成する(S3019B04)。更に、これらハッシュ情報の集まりを用いて、二分木手法を使用し、ひとつのルートハッシュ情報を生成する。その後、生成したルートハッシュ情報に対して、映像記録端末4の電子署名を生成し、ルートハッシュ情報と電子署名をあわせて、映像記録端末4のPIAT署名情報とする(S3019B05)。
この時、S3019B03でSHUに格納した直前の原動画情報の最後のGOP情報の特徴値(FGOP)を含むSHの内容を付与して、ハッシュ情報を生成する(S3019B04)。更に、これらハッシュ情報の集まりを用いて、二分木手法を使用し、ひとつのルートハッシュ情報を生成する。その後、生成したルートハッシュ情報に対して、映像記録端末4の電子署名を生成し、ルートハッシュ情報と電子署名をあわせて、映像記録端末4のPIAT署名情報とする(S3019B05)。
原動画情報のPIAT署名情報の生成が完了すると、署名生成サーバ3内の文書管理TB32を介し、原動画情報とPIAT署名情報をペアにして文書管理DB31に蓄積する(図12のS3020)。2回目以降のPIAT署名情報の記録・管理形態も同様に、原動画情報に対するハッシュ情報の集まりと電子署名を、PIAT署名情報として一体化して記録・管理する形態と、原動画情報に対するハッシュ情報の集まりと電子署名を別々に記録・管理する形態がある。また、本実施の形態では、二分木手法を利用して、原動画情報に対する検証情報としてルートハッシュ情報を記録しているが、二分木手法を利用するのは、署名データ量の削減目的である。署名データ量の削減を考慮しない場合は、各GOPのハッシュ情報の集まりをそのまま記録する形態もあり得る。
これまでの処理で、1回目、及び2回目以降の原動画情報に対する署名生成が完了する。図21は、上記の方法で、原動画情報−1から原動画情報−Nまで生成され、かつ各原動画情報のPIAT署名情報が生成された際の蓄積状態を示している。
これまでの処理で、1回目、及び2回目以降の原動画情報に対する署名生成が完了する。図21は、上記の方法で、原動画情報−1から原動画情報−Nまで生成され、かつ各原動画情報のPIAT署名情報が生成された際の蓄積状態を示している。
S3016Aで1時間経過による署名生成要求が発行されている場合は(S3021:NO)、通信手段35を介して映像記録端末4に対して、署名生成完了通知を送信する(S3022A)。続けて、映像記録端末4は、署名生成完了通知を受信し(S3023A)、処理が正常であれば(S3024A:NO)、次の1時間分の記録を継続する。この時点で署名生成サーバ3から何らかの処理異常を受信すると(S3024A:YES)、管理責任者に何らかの形でその旨が通知される(S3025A)。異常の場合は、この時点で管理責任者により、原動画情報の記録の停止処理が行われ、終了する。
また、S3016Aで記録終了による署名生成要求が発行されている場合は(S3021:YES)、文書管理TB32を介して、文書管理DB31に蓄積された原動画情報−1から原動画情報−Nまでの、すべての原動画情報とPIAT署名情報のペアを取り出し、通信手段35を介して情報抽出サーバ5に対し、取り出したすべての原動画情報とPIAT署名情報を送信する(S3022B)。情報抽出サーバ5は、通信手段55を介してすべての原動画情報とPIAT署名情報のペアを受信し(S3023B)、情報抽出サーバ5内の文書管理TB52を介し、すべての原動画情報とPIAT署名情報をペアにして、文書管理DB51に蓄積する(S3024B)。本実施の形態では、署名生成サーバ3と情報抽出サーバ5を分けて、署名生成する機能と一部を抽出する機能を分けたが、署名生成サーバ3が署名生成処理、保存・管理、一部抽出処理を一括して行う形態も考えられ、その場合、情報抽出サーバ5は必要なくなる。
次に、抽出者は、映像記録端末4の管理責任者から何らかの伝達手段を通じて、原動画情報の生成完了通知を受け、原動画情報の切り出し処理を開始する。この行為は、例えば、ある第三者に対して原動画情報の開示を求められた際、必要な部分だけ抽出して開示する際に行う。具体的には、蓄積された原動画情報のデータ量は膨大であり、すべてを開示するためには、大容量記憶装置を備えたネットワーク共有サーバ等を装備する必要がある等、コストがかかる。よって、一部を切り出して開示したいという要求や、原動画情報の一部にプライバシ情報が含まれるため、原動画情報の一部を切り出したいという要求が発生することが考えられ、このような場面で原動画情報の切り出し処理が発生する。
図15に示すように、抽出者は、抽出者端末6を用いて、情報抽出サーバ5に対し、切り出し対象の原動画情報の取り出し指示を送信する(S4001)。情報抽出サーバ5は、切り出し対象の原動画情報の取り出し指示を受信する(S4002)。情報抽出サーバ5内の文書管理TB52を介して、文書管理DB51に蓄積された切り出し対象の原動画情報とPIAT署名情報を取り出し(S4003)、署名検証部54を介して、PIAT署名情報に付加された電子署名の検証を行う(S4004)。電子署名検証に失敗した場合は(S4005:NO)、なんらかの改変が発生したものとして、その旨、抽出者に通知される(S4099)。電子署名検証が成功した場合は(S4005:YES)、抽出者端末6に、原動画情報の一覧が送信される(S4006)。抽出者端末6に原動画情報の一覧が受信されると(S4007)、抽出者端末6に装備された表示装置に原動画情報の一覧が表示される。続けて、抽出者は、切り出しを行う原動画情報を選択し、原動画情報から必要な部分を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ切り出しデータを作成して、これら切り出しデータからなる切り出し動画情報(切り出しストリームデータ)を生成する(S4008)。
図22は、抽出者による原動画情報の選択操作の一例を示している。まず、文書管理DB51に蓄積された原動画情報の一覧が1時間単位で表示され、抽出者は切り出しを行う原動画情報を選択することができる(PICUPGENPON)。また、切り出し部分を探し出すための簡易的な再生ツールも備え、再生ボタン(PREVIEWGENPON)を押下することにより、切り出し処理を行う前に、再生による切り出し部分の確認を行うことができるようになっている。再生する場合は、情報抽出サーバ5より、指定された原動画情報を取得し、再生が行われる。この操作は既にどの部分を切り出すか予めわかっている場合は操作不要であり、この場合は、切り出しを行う原動画情報を選択(PICUPGENPON)し、切り出しボタンを押下する(EXTRACTRUN)。切り出しボタンを押下後、情報抽出サーバ5より、選択された原動画情報を取得し、切り出し動画情報の生成を行う。図23は、抽出者による原動画情報の抽出操作の一例を示している。
再生ボタン(PREVIEW)により、切り出し動画情報の再生を行いながら、必要な切り出しを行う範囲を指定することで、抽出者は目視による切り出しが可能となる。切り出しの方法としては、まず、シークバー(SEEKBAR)を利用して、切り出しを行う開始位置まで操作し、その位置の時点で開始ボタン(STARTSET)を押下することで、切り出し開始位置を設定する。続けて、同様にシークバー(SEEKBAR)を利用して、切り出しを行う終了位置まで操作し、その位置の時点で終了ボタン(ENDSET)を押下することで、切り出し終了位置を設定する。この操作により、切り出し範囲(CUTAREA)が決定するので、続けて、切り出し動画情報の生成メニューを選択し、切り出し動画情報を生成する。
図11で示したMPEG1のフレーム構成例では、SHは全GOPの先頭に付加されているが、SHは必ずしもGOP毎に付加される必要がないため、GOP単位で見た場合、先頭GOP(GH1)にSHが付加されており、以降のGOPにはSHが付加されていないフレーム構成も存在する。図18は、そのフレーム構成の一例を示している。
GOPがSHから始まる場合は、SHを検出することでGOPの開始と認識可能である。更に、GOPにSHが付加されておらず、GHから始まる場合でも、GHを検出することでGOPの開始と認識可能である。しかしながら、プライバシ保護のための一部切り出しを考慮すると、図18のようなフレーム構成を持つMPEG1への適用にはやや課題が残る。つまり、図18のようなフレーム構成の場合、GH2、GH3、GH4のいずれかで切り出されると、切り出された動画が再生不能に陥る場合がある。これは、再生動作保証のために、ストリーミングデータの先頭GOP(GH1)には必ずSHを含まなければならないというMPEG1標準の決まりがあるために生じる。
GOPがSHから始まる場合は、SHを検出することでGOPの開始と認識可能である。更に、GOPにSHが付加されておらず、GHから始まる場合でも、GHを検出することでGOPの開始と認識可能である。しかしながら、プライバシ保護のための一部切り出しを考慮すると、図18のようなフレーム構成を持つMPEG1への適用にはやや課題が残る。つまり、図18のようなフレーム構成の場合、GH2、GH3、GH4のいずれかで切り出されると、切り出された動画が再生不能に陥る場合がある。これは、再生動作保証のために、ストリーミングデータの先頭GOP(GH1)には必ずSHを含まなければならないというMPEG1標準の決まりがあるために生じる。
このように切り出された動画が再生できない状態を回避するために、以下対策を講じる。
まず、切り出し方法として、複数の原動画情報にまたがらず、各原動画情報内の一部を切り出す場合(1時間以内の切り出し)と、複数の原動画情報にまたがって切り出す場合(1時間以上の切り出し)の2通りの切り出し方法が考えられる。更に、前者の1時間以内の切り出し方法では、原動画情報−2以降の切り出しと、原動画情報−1の切り出しによってそれぞれハッシュ情報の生成方法が異なる。以下より、図24と図25で示す1時間以内の切り出し方法、及び図26で示す1時間以上の切り出し方法の3通りの切り出し例を基に、それぞれの具体的な切り出し動画情報の生成処理、及びPIAT署名情報の生成処理について説明する。
まず、切り出し方法として、複数の原動画情報にまたがらず、各原動画情報内の一部を切り出す場合(1時間以内の切り出し)と、複数の原動画情報にまたがって切り出す場合(1時間以上の切り出し)の2通りの切り出し方法が考えられる。更に、前者の1時間以内の切り出し方法では、原動画情報−2以降の切り出しと、原動画情報−1の切り出しによってそれぞれハッシュ情報の生成方法が異なる。以下より、図24と図25で示す1時間以内の切り出し方法、及び図26で示す1時間以上の切り出し方法の3通りの切り出し例を基に、それぞれの具体的な切り出し動画情報の生成処理、及びPIAT署名情報の生成処理について説明する。
初めに、原動画情報−2における1時間以内の切り出し方法について説明する。図24は、原動画情報−2における中盤部(GOP8、GOP9)の切り出しを行う例を示している。まず、原動画情報−1に格納された端末ID、日時情報、直前の原動画情報の最後のGOP情報の特徴値を含むSHを付与して、切り出し動画情報を生成する。この時、付与したSHは、切り出し動画情報の実体に付加することで、再生不能を回避する。また、図24では、GOP8を先頭としてGOP9まで切り出された例を示しているが、先頭GOPにSHが付加されていれば、切り出し動画情報の再生は可能である。したがって、切り出し動画情報のデータ量削減のため、必ずしもGOP9にはSHを付加する必要はない。
切り出し動画情報の生成が完了すると、情報抽出サーバ5に対して、生成した切り出し動画情報を送信する(S4009)。切り出し動画情報を受信すると(S4010)、情報抽出サーバ5内の署名生成部53は、切り出し動画情報に対するPIAT署名情報を生成する。具体的には、抽出で消去するGOPだけからなる複数のルートハッシュ情報(以降、消去ルートハッシュ情報リストと説明)を生成する。この時、原動画情報に対するPIAT署名情報生成時と同様に、消去部分にSHが付加されていないGOPには直近のSHの内容を付与し、SHを含めた形で消去ルートハッシュ情報リストを生成する。図27は、その生成方法を示している。このSH付与は原動画情報の実体には記録されず、あくまでハッシュ情報の生成を行う際、例えば記憶領域(メモリ等)上で付与することを意味する。この時、SHUに格納した原動画情報−1の最後のGOP情報の特徴値(FGOP1)を含むSHの内容を付与して、ハッシュ情報を生成する。更に、生成した消去ルートハッシュ情報リストに対して、抽出者の電子署名を生成し、消去ルートハッシュ情報リストと電子署名をあわせて、抽出者のPIAT署名情報とする(S4011)。
また、図25では、原動画情報−1における中盤部(GOP3、GOP4)の切り出しを行う例を示している。原動画情報−1では、原動画情報−2以降と比べて、直前の原動画情報の最後のGOP情報の特徴値がSHに含まれていない。よって、原動画情報−1における切り出しでは、原動画情報−1に格納された端末IDと、日時情報を含むSHを付与して、切り出し動画情報を生成する。この時、付与したSHは、切り出し動画情報の実体に付加することで、再生不能を回避する。また、図25も同様に、GOP3を先頭としてGOP4まで切り出された例を示しているが、先頭GOPにSHが付加されていれば、切り出し動画情報の再生は可能である。したがって、切り出し動画情報のデータ量削減のため、必ずしもGOP4にはSHを付加する必要はない。
以降、図25における切り出し動画情報に対するPIAT署名情報の生成の流れも付け加えておく。同様に、消去ルートハッシュ情報リストを生成する際、消去部分にSHが付加されていないGOPには直近のSHの内容を付与し、SHを含めた形で消去ルートハッシュ情報リストを生成する。図28は、その生成方法を示している。このSH付与は原動画情報の実体には記録されず、あくまでハッシュ情報の生成を行う際、例えば記憶領域(メモリ等)上で付与することを意味する。この時、SHUに格納した端末IDと、時刻配信機関の電子署名付き日時情報を含むSHの内容を付与して、ハッシュ情報を生成する。更に、生成した消去ルートハッシュ情報リストに対して、抽出者の電子署名を生成し、消去ルートハッシュ情報リストと電子署名をあわせて、抽出者のPIAT署名情報とする(S4011)。
図29は、抽出者のPIAT署名情報の内容を示している。この例では、切り出し動画情報に対する検証情報として、最初に、基となる原動画情報の総GOP数(MAXGOPCNT)、続けて、切り出し開始位置のGOP番号(STARTGOPNUM)、切り出したGOP数(CUTGOPCNT)、切り出し動画情報の先頭GOPが原動画情報の先頭から数えて何個目のGOPかを示すGOP数の累計情報(COUNTGOPSUM)、最後に消去ルートハッシュ情報リスト(HASHLIST)を順に記録している(PIAT2)。また、SIGN2は、これら検証情報に対する抽出者の電子署名を示している。本実施の形態では、切り出し動画情報に対する検証情報と、抽出者の電子署名は、PIAT署名情報として一体化して記録するようにしているが、切り出し動画情報に対する検証情報と電子署名を別々に記録・管理する形態もあり得る。
切り出し動画情報のPIAT署名情報の生成が完了すると、情報抽出サーバ5内の文書管理TB52を介し、切り出し動画情報とPIAT署名情報をペアにして文書管理DB51に蓄積する(S4012)。続けて、情報抽出サーバ5は、通信手段55を介し、署名検証サーバ7に対して、切り出し動画情報、原動画情報のPIAT署名情報、切り出し動画情報のPIAT署名情報の3情報を送信する(S4013)。署名検証サーバ7は、通信手段74を介し、切り出し動画情報、原動画情報のPIAT署名情報、切り出し動画情報のPIAT署名情報の3情報を受信し(S4014)、署名検証サーバ7内の文書管理TB72を介して、切り出し動画情報、原動画情報のPIAT署名情報、切り出し動画情報のPIAT署名情報の3情報を、文書管理DB71に蓄積する(S4015)。
続けて、1時間以上の切り出し方法について説明する。図26は、原動画情報−1における終盤部(GOP4、GOP5)から、原動画情報−2における序盤部(GOP6、GOP7)にかけて切り出しを行う例を示している。
このような次の1時間分にまたがる、複数の原動画情報を切り出す場合については、まず、切り出し動画情報の生成では、同様に、原動画情報−1に格納された端末ID、日時情報、直前の原動画情報の最後のGOP情報の特徴値を含むSHを付与して、原動画情報−1及び原動画情報−2にそれぞれ対応する切り出しデータである切り出し動画情報−1及び切り出し動画情報−2を生成する。この時、付与したSHは、切り出し動画情報の実体に付加することで、再生不能を回避する。また、図26では、GOP4を先頭としてGOP5まで切り出された例を、更にGOP6を先頭としてGOP7まで切り出された例を示しているが、先頭GOPにSHが付加されていれば、切り出し動画情報の再生は可能である。したがって、切り出し動画情報のデータ量削減のため、必ずしもGOP5、GOP7にはSHを付加する必要はない。
このような次の1時間分にまたがる、複数の原動画情報を切り出す場合については、まず、切り出し動画情報の生成では、同様に、原動画情報−1に格納された端末ID、日時情報、直前の原動画情報の最後のGOP情報の特徴値を含むSHを付与して、原動画情報−1及び原動画情報−2にそれぞれ対応する切り出しデータである切り出し動画情報−1及び切り出し動画情報−2を生成する。この時、付与したSHは、切り出し動画情報の実体に付加することで、再生不能を回避する。また、図26では、GOP4を先頭としてGOP5まで切り出された例を、更にGOP6を先頭としてGOP7まで切り出された例を示しているが、先頭GOPにSHが付加されていれば、切り出し動画情報の再生は可能である。したがって、切り出し動画情報のデータ量削減のため、必ずしもGOP5、GOP7にはSHを付加する必要はない。
続けて、切り出し動画情報に対するPIAT署名情報の生成では、先に説明した図27や図28の方法を用いて、原動画情報−1、原動画情報−2のそれぞれの切り出し動画情報のPIAT署名情報を生成する。つまり、各原動画情報単位で、切り出し動画情報のPIAT署名情報を生成する方法を用いる。図30は、その生成方法を示している。上段は、切り出し動画情報−1の署名生成方法を示しており、下段は、切り出し動画情報−2の署名生成方法を示している。
切り出し動画情報のPIAT署名情報の生成が完了すると、情報抽出サーバ5内の文書管理TB52を介し、切り出し動画情報−1と切り出し動画情報−2、両方の切り出し動画情報に対するPIAT署名情報の各ペアを文書管理DB51に蓄積する(S4012)。続けて、情報抽出サーバ5は、通信手段55を介し、署名検証サーバ7に対して、切り出し動画情報−1、原動画情報−1のPIAT署名情報、切り出し動画情報−1のPIAT署名情報、及び切り出し動画情報−2、原動画情報−2のPIAT署名情報、切り出し動画情報−2のPIAT署名情報の、以上6情報を送信する(S4013)。署名検証サーバ7は、通信手段74を介し、上記6情報を受信し(S4014)、署名検証サーバ7内の文書管理TB72を介して、文書管理DB71に蓄積する(S4015)。
次に、検証者は、抽出者から何らかの伝達手段を通じて、切り出し動画情報の開示通知を受け、開示された切り出し動画情報の確認、及び検証を開始する。
図16に示すように、検証者は、検証者端末8を用いて、署名検証サーバ7に対し、検証対象の切り出し動画情報の取り出し指示を送信する(S5001)。図31は、検証対象の動画情報、及び(PIAT署名情報(検証情報)の選択画面の一例を示している。この例では、署名検証には、切り出し動画情報と、原動画情報の選択が可能で、各動画情報の検証が行えるようになっている(VERIFYTYPE)。例えば、VERIFYTYPEで切り出し動画情報を選択すると、切り出し動画情報と、映像記録端末4のPIAT署名情報、ならびに抽出者のPIAT署名情報を選択できるようになり、各フィールドの参照ボタン(GETSTREAM)を押下することで、エクスプローラー上で各情報を選択することができる。また、参照ボタンを押下することで、署名検証サーバ7内の文書管理DB71に蓄積されている切り出し動画情報を参照・選択できるようになっている。最後に、署名検証ボタン(VERIFYRUN)を押下することで、選択した切り出し動画情報の署名検証処理が実行される。
図16に示すように、検証者は、検証者端末8を用いて、署名検証サーバ7に対し、検証対象の切り出し動画情報の取り出し指示を送信する(S5001)。図31は、検証対象の動画情報、及び(PIAT署名情報(検証情報)の選択画面の一例を示している。この例では、署名検証には、切り出し動画情報と、原動画情報の選択が可能で、各動画情報の検証が行えるようになっている(VERIFYTYPE)。例えば、VERIFYTYPEで切り出し動画情報を選択すると、切り出し動画情報と、映像記録端末4のPIAT署名情報、ならびに抽出者のPIAT署名情報を選択できるようになり、各フィールドの参照ボタン(GETSTREAM)を押下することで、エクスプローラー上で各情報を選択することができる。また、参照ボタンを押下することで、署名検証サーバ7内の文書管理DB71に蓄積されている切り出し動画情報を参照・選択できるようになっている。最後に、署名検証ボタン(VERIFYRUN)を押下することで、選択した切り出し動画情報の署名検証処理が実行される。
また、本実施の形態では、検証者が映像記録端末4のPIAT署名情報、ならびに抽出者のPIAT署名情報を選択することとしていたが、検証者は、これらPIAT署名情報(検証情報)の存在を意識せず、切り出し動画情報のみ選択できる形態もあり得る。例えば、切り出し動画情報の内容を容易に推測・識別可能なタイトルを付与し、検証者には、それらタイトルを集めた一覧を見せ、該一覧から選択させる方法もあり得る。この場合、該一覧中のある動画情報が選択された際、選択された動画情報が、署名検証サーバ7内の文書管理DB71に蓄積されている、どの動画像情報なのかを識別するための、例えば、リンク情報を保持しておく等の対策が必要となる。
また、図31は、1時間以内の切り出し動画情報の開示における検証処理を行う際に表示される画面を示しているが、次の1時間分にまたがる、複数の切り出し動画情報の場合は、動画情報を2情報、選択する必要があり、この場合も検証者は、動画情報とPIAT署名情報が複数に分かれていることを意識せず、切り出し動画情報のみ選択できる形態とする方法もあり得る。
また、図31は、1時間以内の切り出し動画情報の開示における検証処理を行う際に表示される画面を示しているが、次の1時間分にまたがる、複数の切り出し動画情報の場合は、動画情報を2情報、選択する必要があり、この場合も検証者は、動画情報とPIAT署名情報が複数に分かれていることを意識せず、切り出し動画情報のみ選択できる形態とする方法もあり得る。
署名検証処理が実行されると、署名検証サーバ7は、検証対象の切り出し動画情報の取り出し指示を受信する(S5002)。まず、1時間以内の切り出し動画情報の署名検証について説明する。署名検証サーバ7内の文書管理TB72を介して、文書管理DB71に蓄積された切り出し動画情報、原動画情報のPIAT署名情報、切り出し動画情報のPIAT署名情報の3情報を取り出す(S5003)。原動画情報−2が切り出され、開示された場合は、切り出し動画情報−2、原動画情報−2のPIAT署名情報、切り出し動画情報−2のPIAT署名情報の3情報を取り出す。また、原動画情報−1が切り出され、開示された場合は、切り出し動画情報−1、原動画情報−1のPIAT署名情報、切り出し動画情報−1のPIAT署名情報の3情報を取り出す。続けて、署名検証部73を介して、PIAT署名情報に付加された電子署名の検証を行う(S5004)。電子署名検証に失敗した場合は(S5005:NO)、なんらかの改変が発生したものとして、その旨、検証者に通知される(S5099)。
電子署名検証が成功した場合は(S5005:YES)、続けて、切り出し動画情報に対するPIAT署名情報検証を行う(S5006)。図32、図33は、1時間以内の切り出し動画情報に対するPIAT署名情報の検証方法を示している。この時、図24や図25のようにGOPの連続する2つの部分情報の切り出しを行った場合、2つ目以降のGOPにはSHを付加する必要がなかったため、2つ目以降のGOPにSHを含まない状態でハッシュ情報を生成すると、切り出し動画情報に対するPIAT署名情報検証に失敗してしまう。そこで、切り出し動画情報のPIAT署名情報検証時も同様に、SHが付加されていないGOPには直近のSHの内容を付与し、SHを含めた形でハッシュ情報を生成する。
図32では、SHU内の端末IDと日時情報を除き、直前の原動画情報の最後のGOP情報の特徴値を含むSHを付与して、ハッシュ情報を生成する。また、図33では、SHU内の端末IDと日時情報を含むSHを付与して、ハッシュ情報を生成する。
続けて、抽出者のPIAT署名情報(切り出し動画情報のPIAT署名情報)に含まれる消去ルートハッシュ情報リストと共に原動画情報のルートハッシュ情報を復元し、映像記録端末4のPIAT署名情報(原動画情報のPIAT署名情報)と比較・検証を行う。
続けて、抽出者のPIAT署名情報(切り出し動画情報のPIAT署名情報)に含まれる消去ルートハッシュ情報リストと共に原動画情報のルートハッシュ情報を復元し、映像記録端末4のPIAT署名情報(原動画情報のPIAT署名情報)と比較・検証を行う。
同様に、1時間以上の切り出し動画情報の署名検証についても、文書管理DB71に蓄積された切り出し動画情報−1、原動画情報−1のPIAT署名情報、切り出し動画情報−1のPIAT署名情報、切り出し動画情報−2、原動画情報−2のPIAT署名情報、切り出し動画情報−2のPIAT署名情報の6情報を取り出し(S5003)、まず、署名検証部73を介して、PIAT署名情報に付加された電子署名の検証を行う(S5004)。電子署名検証に失敗した場合は(S5005:NO)、なんらかの改変が発生したものとして、その旨、検証者に通知される(S5099)。
電子署名検証が成功した場合は(S5005:YES)、続けて、切り出し動画情報に対するPIAT署名情報検証を行う(S5006)。図34は、1時間以上の切り出し動画情報に対するPIAT署名情報の検証方法を示している。それぞれの検証方法は、図32、図33で示した内容と同じであるため、割愛するが、両検証の結果、原動画情報の一部であり改変がないことが確認できれば、PIAT署名情報検証に成功する。
PIAT署名情報検証に失敗した場合は(S5007:NO)、なんらかの改変が発生したものとして、その旨、検証者に通知される(S5099)。一方、PIAT署名情報検証が成功した場合は(S5007:YES)、上記検証結果を踏まえ、続けて、切り出し動画情報の日時情報の検証に移る(S5008)。
PIAT署名情報検証に失敗した場合は(S5007:NO)、なんらかの改変が発生したものとして、その旨、検証者に通知される(S5099)。一方、PIAT署名情報検証が成功した場合は(S5007:YES)、上記検証結果を踏まえ、続けて、切り出し動画情報の日時情報の検証に移る(S5008)。
以降、1時間以上の切り出し動画情報に対する日時情報の検証方法を例に説明する。図35は、その検証方法を示している。まず、SHU−1、SHU−2に格納されている、時刻配信機関の電子署名が付加された日時情報(以降、2007/11/01AM9:00:00.000で説明する)を取り出し(GETTIME)、時刻配信機関の電子署名検証を行う(VERIFYSIGNTIME)。続けて、切り出し動画情報−1と切り出し動画情報−2が連続していることを確認するため、まず、切り出し動画情報−1の最後のGOP(GOP5)から特徴値を生成する(CREATEHASH)。続けて、切り出し動画情報−2のSHU−2に格納されている特徴値を取り出し(GETHASH)、CREATEHASHで生成した特徴値と比較・検証する(VERIFYMATCH)。一致していれば、切り出し動画情報−1と切り出し動画情報−2が連続していることを確認することができる。更に、SHU−1、SHU−2に格納されている、端末ID(以降、CAMERA−34819AFで説明する)を取り出し(GETDEVID)、同一であることを確認することで、同じ映像記録端末4で、連続した動画像データが開示され、かつ原動画情報の一部であり、改変がないことを確認することができる。
また、VERIFYSIGNTIMEの検証により、日時情報は時刻配信機関により発行され、正当な日時情報であることが証明されたので、本実施の形態における切り出し動画情報の実時間を証明するためには、まず、切り出し動画情報−1の先頭GOP(GOP4)の日時情報を証明できればよい。GETTIMEで取り出した日時情報は、原動画情報−1の映像記録が開始された時点の日時情報であるため、切り出し動画情報−1に格納されたMAXGOPCNT1、STARTGOPNUM1、CUTGOPCNT1、COUNTGOPSUM1の情報を用いて、GOP4の日時を特定する。本実施の形態の場合、切り出し動画情報−1は、5個(MAXGOPCNT1)の部分情報(GOP)をひとかたまりとして構成された原動画情報−1から4個目(STARTGOPNUM1)から2個分(CUTGOPCNT1)のGOPが切り出されたことを意味している。前述のとおり、本実施の形態の前提では、フレームレート、ならびに各原動画情報の各GOP内に含まれるピクチャ数は一定とし、原動画情報内における再生時間の特定は容易に行えるものとしたため、これらの情報から、切り出し動画情報−1の先頭GOP(GOP4)の日時情報も特定することができる。
図36は、切り出し動画情報−1及び切り出し動画情報−2における、各GOPに記録されたピクチャ構成と各ピクチャのフレーム時間の算出方法を示している。例えば、フレームレートが29.97とすると、先頭GOP(GOP1)における最初のピクチャ(GOP1−P1)のフレーム時間は0(ゼロ)秒、2番目のピクチャ(GOP1−P2)のフレーム時間は、1/29.97秒、3番目のピクチャ(GOP1−P3)のフレーム時間は、2/29.97秒・・・という計算でフレーム時間を特定することができ、N番目のピクチャのフレーム時間は、(N−1)/29.97秒の計算式で算出することができる。よって、各GOP内に含まれるピクチャ数とフレームレートの値に基づいて、任意のGOPの先頭ピクチャのフレーム時間を特定することができる。このようにして、切り出し動画情報−1の先頭GOP(GOP4)の先頭ピクチャ(GOP4−P1)のフレーム時間が、例えば62,937/29.97秒と特定される。
また、切り出し開始位置のGOPの先頭ピクチャが、先頭GOP(GOP1)の先頭ピクチャから累計して何ピクチャ目かを事前に算出しておき、一覧として保持しておく形態も考えられる。図37は、各GOP位置における直前までのピクチャ数の累計の一覧を示している。例えば、切り出し開始位置がGOP4の場合、その直前のGOP3の最終ピクチャは、先頭GOP(GOP1)の先頭ピクチャから累計して62,936ピクチャ目であることを本表から確認することができ、結果、切り出し動画情報−1の先頭GOP(GOP4)の先頭ピクチャ(GOP4−P1)は、該情報に1ピクチャ加算した、62,937ピクチャ目であることを確認することができる。
また、先頭GOP(GOP1)における最初のピクチャ(GOP1−P1)の実時間は、GETTIMEで取り出した日時情報(2007/11/01AM9:00:00.000)であり、この日時情報から、62,937/29.97秒を加えた時間(2007/11/01AM9:35:00.000)が、切り出し動画情報−1の最初の実時間ということになる。同様の方法で、切り出し動画情報−2の最後のGOP(GOP7)の最終のフレーム時間についても、152,847/29.97秒を加えた時間(2007/11/01AM10:25:00.000)が切り出し動画情報−2の最後の実時間ということになる。
よって、切り出し動画情報の日時範囲は、2007/11/01AM9:35:00.000から、2007/11/01AM10:25:00.000となり、約50分間切り出されていることが確認できる。
ここまでの検証で、切り出し動画情報は原動画情報の一部で改変がないこと、CAMERA−34819AFの端末IDを持つ映像記録端末4で記録され、2007/11/01AM9:35:00.000から、2007/11/01AM10:25:00.000の日時範囲で切り出されたことを第三者に証明することが可能となる。
よって、切り出し動画情報の日時範囲は、2007/11/01AM9:35:00.000から、2007/11/01AM10:25:00.000となり、約50分間切り出されていることが確認できる。
ここまでの検証で、切り出し動画情報は原動画情報の一部で改変がないこと、CAMERA−34819AFの端末IDを持つ映像記録端末4で記録され、2007/11/01AM9:35:00.000から、2007/11/01AM10:25:00.000の日時範囲で切り出されたことを第三者に証明することが可能となる。
続けて、検証者端末8に、切り出し動画情報のPIAT署名情報検証結果が送信される(S5009)。検証者端末8に切り出し動画情報のPIAT署名検証結果が受信されると(S5010)、検証者端末8に装備された表示装置に切り出し動画情報のPIAT署名情報検証結果が表示される(S5011)。
図38は、検証者端末8に装備された表示装置に示される署名検証結果の一例を示している。検証者は、この検証結果を参照することにより、原動画情報の一部であることの確認に加え、原動画情報のどの部分が切り出されたかを示す切り出し範囲とその実時間、その部分が改変されていないこと、どの映像記録端末4で記録されたかが明示されるため、切り出し動画情報の原本性を確認することが可能である(VERIFY1、VERIFY2)また、映像記録端末4、及び抽出者の電子署名の確認により、原動画情報は映像記録端末4が生成したこと、抽出者によって切り出し動画情報が生成されたことを確認可能である(VERIFY3)。更に、どの映像記録端末4で記録されたかを示す端末IDを確認することも可能である(VERIFY4)。
図38は、検証者端末8に装備された表示装置に示される署名検証結果の一例を示している。検証者は、この検証結果を参照することにより、原動画情報の一部であることの確認に加え、原動画情報のどの部分が切り出されたかを示す切り出し範囲とその実時間、その部分が改変されていないこと、どの映像記録端末4で記録されたかが明示されるため、切り出し動画情報の原本性を確認することが可能である(VERIFY1、VERIFY2)また、映像記録端末4、及び抽出者の電子署名の確認により、原動画情報は映像記録端末4が生成したこと、抽出者によって切り出し動画情報が生成されたことを確認可能である(VERIFY3)。更に、どの映像記録端末4で記録されたかを示す端末IDを確認することも可能である(VERIFY4)。
また、原動画情報に対する検証も可能である。例えば、図31のVERIFYTYPEで、原動画情報を選択すると、切り出し動画情報の署名検証同様に、原動画情報と、映像記録端末4のPIAT署名情報を選択できるようになり(抽出者のPIAT署名情報の選択は不要)、署名検証ボタン(VERIFYRUN)を押下することで、選択した原動画情報の署名検証処理が実行される。
なお、本実施の形態では、PIAT署名情報のデータ量削減を目的として、特願2007−12048のような発明を利用し、ハッシュ情報を二分木で管理する手法を使用する形態で説明したが、各サーバの文書管理DBの記憶容量に余裕がある場合には、ハッシュ情報を二分木で管理する手法を使用せず、WO2006/008847のような方式をそのまま適用し、原動画情報に含まれるGOP単位にハッシュ情報を生成・記録していく形態もあり得る。
なお、本実施の形態では、PIAT署名情報のデータ量削減を目的として、特願2007−12048のような発明を利用し、ハッシュ情報を二分木で管理する手法を使用する形態で説明したが、各サーバの文書管理DBの記憶容量に余裕がある場合には、ハッシュ情報を二分木で管理する手法を使用せず、WO2006/008847のような方式をそのまま適用し、原動画情報に含まれるGOP単位にハッシュ情報を生成・記録していく形態もあり得る。
また、本実施の形態では、最初の原動画情報のSH内に日時情報を格納・記録する形態を示したが、最初の原動画情報のSH内以外に日時情報を格納する形態(例えば、最終GOPの後に格納する形態等)もあり得る。本実施の形態のように、記録開始と同時に、最初の原動画情報のSH内に日時情報を格納する形態にすれば、記録開始直後に映像記録端末4が何らかの故障等により、記録を継続できない場合でも、実際に記録できた分の原本性検証、及び日時保証は可能となるという効果を奏する。
更に、第2の実施形態として、図39のような形態もあり得る。本発明の目的のひとつに、連続する原動画情報に着目し、中抜きや追加等の不正が起きないようにすることが挙げられる。上述した特許文献1のような方式を用いれば、ある任意の単位で分割されたすべての原動画情報の原本性、連続性、時系列性を保証することができる。
具体的には、図39のように、まず、各原動画情報のPIAT署名情報を生成し、生成されたPIAT署名情報の生成順序が判別可能な方法で時系列に一体化する。この時、PIAT署名情報は前述のとおり、1時間単位で保存されるため、その間に改ざん等が発生する可能性がある。そのため、1時間単位で生成されるPIAT署名情報を改ざん不可能な状態(例えば、耐タンパ領域に格納する等の方法)で蓄積する。PIAT署名情報の生成がすべて完了すると、更に、時刻配信機関から取得した電子署名付き日時情報と、映像記録端末4の端末IDを付加し、最後に、これら全体に対して、映像記録端末4の電子署名を付加した映像記録端末4のPIAT署名情報を検証情報として記録・管理する。この実施形態も、日時情報は1度だけ取得すればよく、かつある任意の単位で分割されたすべての原動画情報の原本性、連続性、時系列性を保証することができる。
具体的には、図39のように、まず、各原動画情報のPIAT署名情報を生成し、生成されたPIAT署名情報の生成順序が判別可能な方法で時系列に一体化する。この時、PIAT署名情報は前述のとおり、1時間単位で保存されるため、その間に改ざん等が発生する可能性がある。そのため、1時間単位で生成されるPIAT署名情報を改ざん不可能な状態(例えば、耐タンパ領域に格納する等の方法)で蓄積する。PIAT署名情報の生成がすべて完了すると、更に、時刻配信機関から取得した電子署名付き日時情報と、映像記録端末4の端末IDを付加し、最後に、これら全体に対して、映像記録端末4の電子署名を付加した映像記録端末4のPIAT署名情報を検証情報として記録・管理する。この実施形態も、日時情報は1度だけ取得すればよく、かつある任意の単位で分割されたすべての原動画情報の原本性、連続性、時系列性を保証することができる。
本発明では、プライバシ保護等のために原動画情報の一部を切り出しても、切り出し動画情報の再生不能を回避しつつ、切り出し箇所(位置)の検出、及び切り出し実時間も含めた切り出し動画情報の原本性検証が可能となる。また、抽出者は、PIAT署名情報に対する電子署名から明らかとなるため、仮に抽出者が切り出し動画情報に対して何らかの改変・追加等を施した場合でも、その追跡は可能である。
なお、上記の実施の形態で図示したフローチャートやステップに示された各動作をコンピュータにより実行させるプログラムを提供することにより、本発明に係るストリームデータ管理プログラムを提供することができる。このプログラムはコンピュータにより読取可能な媒体に記録されてコンピュータにより実行させることができる。コンピュータは、パーソナルコンピュータのようなホスト装置、試験装置のコントローラ、記憶装置のMPUやCPUのようなコントローラなどを含む。ここで、コンピュータにより読取可能な媒体としては、CD−ROMやフレキシブルディスク、DVDディスク、光磁気ディスク、ICカード等の可搬型記憶媒体や、コンピュータプログラムを保持するデータベース、或いは、他のコンピュータ並びにそのデータベースや、更に回線上の伝送媒体をも含むものである。
Claims (15)
- コンピュータを、
それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納する原本ストリームデータ生成手段と、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成する原本署名関連情報生成手段と、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成する切り出しストリームデータ生成手段と、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成する署名関連情報生成手段と、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行う証明手段と
して機能させるためのストリームデータ管理プログラム。 - 請求項1に記載のストリームデータ管理プログラムにおいて、
先頭の原本データのシーケンスヘッダに端末IDと日時情報を格納するストリームデータ管理プログラム。 - 請求項2に記載のストリームデータ管理プログラムにおいて、
2番目以降の原本データのシーケンスヘッダに直前の原本データの最後の部分情報の特徴値を格納するストリームデータ管理プログラム。 - 請求項1に記載のストリームデータ管理プログラムにおいて、
シーケンスヘッダが付加されていない部分情報には直近のシーケンスヘッダの内容を付加した上で各部分情報に対するハッシュ情報を生成し、これらのハッシュ情報から得られたひとつのルートハッシュ情報に対してストリームデータ生成端末の電子署名を作成し、ルートハッシュ情報とストリームデータ生成端末の電子署名を合わせて原本データの署名関連情報とするストリームデータ管理プログラム。 - 請求項1に記載のストリームデータ管理プログラムにおいて、
原本ストリームデータからの切り出しが所定の時間単位内でかつ第1の原本データ内の場合には、端末IDと日時情報を含むシーケンスヘッダを付与して切り出しデータを生成するストリームデータ管理プログラム。 - 請求項1に記載のストリームデータ管理プログラムにおいて、
原本ストリームデータからの切り出しが所定の時間単位内でかつ第2〜第nの原本データ内の場合には、端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与して切り出しデータを生成するストリームデータ管理プログラム。 - 請求項1に記載のストリームデータ管理プログラムにおいて、
原本ストリームデータからの切り出しが所定の時間単位を越えて複数の原本データに対して行われる場合には、これら複数の原本データに対し、端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与してそれぞれ切り出しデータを生成するストリームデータ管理プログラム。 - 請求項4に記載のストリームデータ管理プログラムにおいて、
原本ストリームデータからの切り出しにより消去される部分情報に対し、シーケンスヘッダが付加されていない部分情報には直近のシーケンスヘッダの内容を付加した上で消去ルートハッシュ情報を生成し、この消去ルートハッシュ情報に対して抽出者の電子署名を作成し、消去ルートハッシュ情報と抽出者の電子署名と切り出しデータが原本ストリームデータの先頭から何個目の部分情報かを示す累計情報を合わせて切り出しデータの署名関連情報とするストリームデータ管理プログラム。 - 請求項8に記載のストリームデータ管理プログラムにおいて、
原本データの署名関連情報と切り出しデータの署名関連情報にそれぞれ含まれる電子署名の検証を行った後、切り出しストリームデータの原本性の検証を行い、さらに切り出しストリームデータの日時情報の検証を行うストリームデータ管理プログラム。 - 請求項9に記載のストリームデータ管理プログラムにおいて、
切り出しストリームデータ内の各切り出しデータに対してシーケンスヘッダが付加されていない部分情報には直近のシーケンスヘッダの内容を付加した上で各部分情報に対するハッシュ情報を生成し、これらのハッシュ情報と切り出しデータの署名関連情報に含まれる消去ルートハッシュ情報から対応する原本データのルートハッシュ情報を復元し、復元された原本データのルートハッシュ情報と原本データの署名関連情報に含まれるルートハッシュ情報とを比較することにより切り出しストリームデータの原本性の検証を行うストリームデータ管理プログラム。 - 請求項9に記載のストリームデータ管理プログラムにおいて、
切り出しストリームデータ内の各切り出しデータのシーケンスヘッダに含まれる日時情報に付加されている第三者の電子署名の検証を行った後、この日時情報と切り出しデータの署名関連情報に含まれる累計情報とに基づいて切り出しストリームデータの実時間の証明を行うストリームデータ管理プログラム。 - 請求項11に記載のストリームデータ管理プログラムにおいて、
予め設定されているフレームレートと切り出しデータの署名関連情報に含まれる累計情報とに基づいて切り出しデータのフレーム時間を算出し、このフレーム時間を日時情報に加算することで切り出しストリームデータの実時間を算出するストリームデータ管理プログラム。 - 請求項11に記載のストリームデータ管理プログラムにおいて、
切り出しストリームデータが時系列的に連続する複数の切り出しデータを含む場合に、各切り出しデータの最後の部分情報からそれぞれ特徴値を生成し、これらの特徴値を次の切り出しデータのシーケンスヘッダに含まれている特徴値と比較することにより複数の切り出しデータの連続性を検証するストリームデータ管理プログラム。 - 原本ストリームデータ生成手段が、それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納し、
原本署名関連情報生成手段が、端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、
切り出しストリームデータ生成手段が、原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成し、
署名関連情報生成手段が、切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成し、
証明手段が、切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行う
ことを特徴とするストリームデータ管理方法。 - それぞれ複数の部分情報を含み且つ所定の時間単位で区切られた複数の原本データからなる原本ストリームデータをストリームデータ生成端末によって生成し、ストリームデータ生成端末を示す端末IDと原本ストリームデータの生成時に第三者が保証する日時情報とをいずれかの原本データのシーケンスヘッダに格納すると共に直前の原本データの最後の部分情報の特徴値を次の原本データのシーケンスヘッダに格納する原本ストリームデータ生成手段と、
端末IDと日時情報をシーケンスヘッダに格納した原本データに対しては端末IDと日時情報を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成し、他の原本データに対しては直前の原本データの最後の部分情報の特徴値を含めたシーケンスヘッダの内容を付与して原本データの署名関連情報を生成する原本署名関連情報生成手段と、
原本ストリームデータの一部を切り出し、切り出された部分が含まれる原本データ毎にそれぞれ端末IDと日時情報と直前の原本データの最後の部分情報の特徴値を含むシーケンスヘッダを付与した切り出しデータを作成して、これら切り出しデータからなる切り出しストリームデータを生成する切り出しストリームデータ生成手段と、
切り出しデータが端末IDと日時情報をシーケンスヘッダに格納した原本データ内の場合には端末IDと日時情報を含めた形で切り出しデータの署名関連情報を生成し、他の場合には直前の原本データの最後の部分情報の特徴値を含めた形で切り出しデータの署名関連情報を生成する切り出し署名関連情報生成手段と、
切り出しストリームデータと切り出しストリームデータ内の各切り出しデータの署名関連情報と原本ストリームデータ内の各原本データの署名関連情報に基づいて切り出しストリームデータの原本性と実時間の証明を行う証明手段と
を備えたことを特徴とするストリームデータ管理システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2009554184A JP5333239B2 (ja) | 2008-02-19 | 2008-03-31 | ストリームデータ管理プログラム、方法、及びシステム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008037445 | 2008-02-19 | ||
| JP2008037445 | 2008-02-19 | ||
| PCT/JP2008/056363 WO2009104284A1 (ja) | 2008-02-19 | 2008-03-31 | ストリームデータ管理プログラム、方法、及びシステム |
| JP2009554184A JP5333239B2 (ja) | 2008-02-19 | 2008-03-31 | ストリームデータ管理プログラム、方法、及びシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2009104284A1 JPWO2009104284A1 (ja) | 2011-06-16 |
| JP5333239B2 true JP5333239B2 (ja) | 2013-11-06 |
Family
ID=40985179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009554184A Active JP5333239B2 (ja) | 2008-02-19 | 2008-03-31 | ストリームデータ管理プログラム、方法、及びシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9253530B2 (ja) |
| EP (1) | EP2247023B1 (ja) |
| JP (1) | JP5333239B2 (ja) |
| WO (1) | WO2009104284A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8854465B1 (en) * | 2007-01-08 | 2014-10-07 | Jason Charles McIntyre | Vehicle security surveillance system and method for surveillance of a vehicle |
| JP5333239B2 (ja) * | 2008-02-19 | 2013-11-06 | 富士通株式会社 | ストリームデータ管理プログラム、方法、及びシステム |
| JP5548419B2 (ja) * | 2009-09-30 | 2014-07-16 | 富士通株式会社 | 署名生成装置、署名検証装置、署名生成方法、署名検証方法、署名生成プログラム、および署名検証プログラム |
| WO2011104822A1 (ja) * | 2010-02-23 | 2011-09-01 | 富士通株式会社 | 電子署名装置および電子署名方法 |
| JP5434672B2 (ja) * | 2010-02-26 | 2014-03-05 | 富士通株式会社 | データ管理装置、データ管理方法、およびデータ管理プログラム |
| US8607122B2 (en) * | 2011-11-01 | 2013-12-10 | Cleversafe, Inc. | Accessing a large data object in a dispersed storage network |
| CN105306603B (zh) * | 2015-12-04 | 2019-08-02 | 中国联合网络通信集团有限公司 | 网络验证系统及方法、客户端、服务器 |
| KR101772554B1 (ko) | 2016-02-02 | 2017-08-30 | 주식회사 코인플러그 | 파일에 대한 노터리 서비스를 제공하고 상기 노터리 서비스를 사용하여 기록된 파일에 대한 검증을 수행하는 방법 및 서버 |
| CN106101629A (zh) * | 2016-06-30 | 2016-11-09 | 北京小米移动软件有限公司 | 输出图像的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10187836A (ja) * | 1996-10-30 | 1998-07-21 | Fujitsu Ltd | ネットワーク環境における取り引き証明装置および方法 |
| JP2003022007A (ja) * | 2001-07-05 | 2003-01-24 | Kddi Corp | ストリーム転送における電子署名方法、システム、プログラム及びプログラムを記録した記録媒体 |
| JP2007027920A (ja) * | 2005-07-13 | 2007-02-01 | Fujitsu Ltd | 電子画像データ検証プログラム、電子画像データ検証システム及び電子画像データ検証方法 |
| JP2007199764A (ja) * | 2006-01-23 | 2007-08-09 | Mitsubishi Electric Corp | マルチメディアコンテンツ編集装置 |
| JP2008072417A (ja) * | 2006-09-14 | 2008-03-27 | Kddi Corp | デジタル放送用コンテンツ配信装置、デジタル放送用コンテンツ認証システム、デジタル放送用コンテンツ認証方法およびプログラム |
Family Cites Families (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6009176A (en) * | 1997-02-13 | 1999-12-28 | International Business Machines Corporation | How to sign digital streams |
| US6064748A (en) * | 1998-01-16 | 2000-05-16 | Hewlett-Packard Company | Method and apparatus for embedding and retrieving additional data in an encoded data stream |
| AU4944699A (en) * | 1998-06-29 | 2000-01-17 | Limt Technology Ab | Method and apparatus for splicing data streams |
| EP1128598A4 (en) * | 1999-09-07 | 2007-06-20 | Sony Corp | SYSTEM, DEVICE, METHOD AND PROGRAM SUPPORT FOR CONTENT MANAGEMENT |
| DE60110303T2 (de) * | 2000-03-03 | 2006-03-09 | Ntt Docomo, Inc. | Verfahren und Vorrichtung zur Paketübertragung mit Paketenkopfkompression |
| JP2001326940A (ja) * | 2000-05-16 | 2001-11-22 | Matsushita Electric Ind Co Ltd | 符号化動画像ビットストリーム処理方法、及び装置、並びに符号化動画像ビットストリーム処理プログラムを格納した記録媒体 |
| US20020178360A1 (en) * | 2001-02-25 | 2002-11-28 | Storymail, Inc. | System and method for communicating a secure unidirectional response message |
| US7058815B2 (en) * | 2001-01-22 | 2006-06-06 | Cisco Technology, Inc. | Method and system for digitally signing MPEG streams |
| US7231516B1 (en) * | 2002-04-11 | 2007-06-12 | General Instrument Corporation | Networked digital video recording system with copy protection and random access playback |
| JP2004128894A (ja) * | 2002-10-02 | 2004-04-22 | Nec Corp | 電子データ送受信システム |
| JP4325211B2 (ja) * | 2003-02-14 | 2009-09-02 | 富士ゼロックス株式会社 | 情報処理システム |
| CN101241735B (zh) * | 2003-07-07 | 2012-07-18 | 罗威所罗生股份有限公司 | 重放加密的视听内容的方法 |
| JP2005051734A (ja) * | 2003-07-15 | 2005-02-24 | Hitachi Ltd | 電子文書の真正性保証方法および電子文書の公開システム |
| KR100840419B1 (ko) * | 2004-02-24 | 2008-06-20 | 닛본 덴끼 가부시끼가이샤 | 정보 배신 시스템 및 방법과 그 정보 배신 장치, 수신단말기, 정보 중계 장치 |
| WO2006008847A1 (ja) | 2004-07-20 | 2006-01-26 | Fujitsu Limited | 電子文書管理システム |
| JPWO2006030767A1 (ja) * | 2004-09-13 | 2008-05-15 | 松下電器産業株式会社 | データ処理装置 |
| US7737847B2 (en) | 2005-06-30 | 2010-06-15 | Hewlett-Packard Development Company, L.P. | Wireless monitoring for an electronics system |
| TWI266638B (en) | 2005-07-28 | 2006-11-21 | Acxing Ind Co Ltd | Disposable safety syringe |
| DE102005039192A1 (de) * | 2005-08-18 | 2007-03-01 | Siemens Ag | Verfahren zur Störungsanalyse eines Datenstroms, insbesondere eines Echtzeit-Datenstroms, in einem Datennetz, Kommunikationssystem und Überwachungsrechner |
| KR100735276B1 (ko) * | 2005-08-18 | 2007-07-03 | 삼성전자주식회사 | 디지털 비디오 방송 시스템에서 다중 프로토콜 캡슐화순방향 오류 정정 프레임의 복호 방법 및 장치 |
| JP4803436B2 (ja) | 2006-06-07 | 2011-10-26 | 独立行政法人産業技術総合研究所 | 水溶性マンノシルエリスリトールリピッド及びその製造方法 |
| JP4359622B2 (ja) | 2007-01-22 | 2009-11-04 | 富士通株式会社 | 電子署名プログラム、および電子署名装置 |
| JP4584300B2 (ja) | 2007-12-19 | 2010-11-17 | 富士通株式会社 | 電子署名プログラム、コンピュータにより読み取り可能な記録媒体、電子署名装置、電子署名方法 |
| JP5333239B2 (ja) * | 2008-02-19 | 2013-11-06 | 富士通株式会社 | ストリームデータ管理プログラム、方法、及びシステム |
-
2008
- 2008-03-31 JP JP2009554184A patent/JP5333239B2/ja active Active
- 2008-03-31 WO PCT/JP2008/056363 patent/WO2009104284A1/ja active Application Filing
- 2008-03-31 EP EP08739476.3A patent/EP2247023B1/en active Active
-
2010
- 2010-08-18 US US12/858,721 patent/US9253530B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10187836A (ja) * | 1996-10-30 | 1998-07-21 | Fujitsu Ltd | ネットワーク環境における取り引き証明装置および方法 |
| JP2003022007A (ja) * | 2001-07-05 | 2003-01-24 | Kddi Corp | ストリーム転送における電子署名方法、システム、プログラム及びプログラムを記録した記録媒体 |
| JP2007027920A (ja) * | 2005-07-13 | 2007-02-01 | Fujitsu Ltd | 電子画像データ検証プログラム、電子画像データ検証システム及び電子画像データ検証方法 |
| JP2007199764A (ja) * | 2006-01-23 | 2007-08-09 | Mitsubishi Electric Corp | マルチメディアコンテンツ編集装置 |
| JP2008072417A (ja) * | 2006-09-14 | 2008-03-27 | Kddi Corp | デジタル放送用コンテンツ配信装置、デジタル放送用コンテンツ認証システム、デジタル放送用コンテンツ認証方法およびプログラム |
Non-Patent Citations (5)
| Title |
|---|
| CSNG200600913014; 新崎裕隆,荻野剛,上田真太郎,重野寛: '"Merkle Hash TreeとIDAを利用したストリーミング認証方式の提案と評価"' 電子情報通信学会技術研究報告 Vol.106,No.176, 20060714, p.137-144, 社団法人電子情報通信学会 * |
| JPN6008031971; 吉岡孝司,武仲正彦: '"電子文書の訂正・流通を考慮した部分完全性保証技術の提案"' FIT2004 第3回情報科学技術フォーラム 一般講演論文集 第4分冊, 20040820, p.231-232, 社団法人電子情報通信学会 * |
| JPN6013016201; 新崎裕隆,荻野剛,上田真太郎,重野寛: '"Merkle Hash TreeとIDAを利用したストリーミング認証方式の提案と評価"' 電子情報通信学会技術研究報告 Vol.106,No.176, 20060714, p.137-144, 社団法人電子情報通信学会 * |
| JPN7008005218; 吉岡孝司,武仲正彦,大橋隆登,山下清秀: '"動画像・音声データに対する部分完全性保証技術PIATの実現"' 2008年暗号と情報セキュリティシンポジウム 1D1コンテンツ保護(1),1D1-1, 20080122, p.1-6, 社団法人電子情報通信学会 * |
| JPN7008005219; 吉岡孝司,武仲正彦,伊豆哲也: '"部分完全性保証技術PIAT:動画像・音声への適用"' 2007年暗号と情報セキュリティシンポジウム 1B2 コンテンツ保護(1),1B2-2, 20070123, p.1-6, 社団法人電子情報通信学会 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US9253530B2 (en) | 2016-02-02 |
| WO2009104284A1 (ja) | 2009-08-27 |
| JPWO2009104284A1 (ja) | 2011-06-16 |
| EP2247023B1 (en) | 2018-05-09 |
| EP2247023A4 (en) | 2013-10-23 |
| EP2247023A1 (en) | 2010-11-03 |
| US20100312908A1 (en) | 2010-12-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4584300B2 (ja) | 電子署名プログラム、コンピュータにより読み取り可能な記録媒体、電子署名装置、電子署名方法 | |
| JP5333239B2 (ja) | ストリームデータ管理プログラム、方法、及びシステム | |
| US9477846B2 (en) | Signature device and signature method | |
| JP2009200595A (ja) | 署名管理プログラム、署名管理方法及び署名管理装置 | |
| US8667302B2 (en) | Signature generating device and method, signature verifying device and method, and computer product | |
| EP2403245B1 (en) | Image managing method, image managing program, and image managing system | |
| JP4679093B2 (ja) | デジタルコンテンツのためのアクセス制御 | |
| JP4679851B2 (ja) | デジタルコンテンツのためのアクセス制御 | |
| JP2002533824A (ja) | デジタル署名を伴う審査書の伝送 | |
| JP2001515612A (ja) | デジタル署名を有する改訂の送信 | |
| JP5256985B2 (ja) | 音声データの管理方法、音声データの管理プログラム | |
| JP5163727B2 (ja) | 署名管理方法、署名管理システム | |
| KR100900143B1 (ko) | 인증서를 이용한 타이틀 재생 제어 방법 | |
| JP2005347867A (ja) | 電子文書改ざん検出方法及び電子文書改ざん検出装置並びにコンピュータプログラム | |
| JP2005346192A (ja) | 電子文書記録方法、電子文書記録装置、コンピュータプログラム、電子文書管理システム及び電子文書閲覧装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121023 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121225 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130409 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130610 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130702 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130715 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5333239 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |