KR20170131785A - 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템 - Google Patents

영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템 Download PDF

Info

Publication number
KR20170131785A
KR20170131785A KR1020160062127A KR20160062127A KR20170131785A KR 20170131785 A KR20170131785 A KR 20170131785A KR 1020160062127 A KR1020160062127 A KR 1020160062127A KR 20160062127 A KR20160062127 A KR 20160062127A KR 20170131785 A KR20170131785 A KR 20170131785A
Authority
KR
South Korea
Prior art keywords
key
ticket
client
server
shared
Prior art date
Application number
KR1020160062127A
Other languages
English (en)
Other versions
KR101847618B1 (ko
Inventor
임강빈
이경률
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020160062127A priority Critical patent/KR101847618B1/ko
Publication of KR20170131785A publication Critical patent/KR20170131785A/ko
Application granted granted Critical
Publication of KR101847618B1 publication Critical patent/KR101847618B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/18Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength
    • G08B13/189Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems
    • G08B13/194Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems
    • G08B13/196Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems using television cameras
    • G08B13/19665Details related to the storage of video surveillance data
    • G08B13/19667Details realated to data compression, encryption or encoding, e.g. resolution modes for reducing data volume to lower transmission bandwidth or memory requirements
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/18Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength
    • G08B13/189Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems
    • G08B13/194Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems
    • G08B13/196Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems using television cameras
    • G08B13/19654Details concerning communication with a camera
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/18Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength
    • G08B13/189Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems
    • G08B13/194Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems
    • G08B13/196Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems using television cameras
    • G08B13/19665Details related to the storage of video surveillance data
    • G08B13/19671Addition of non-video data, i.e. metadata, to video stream
    • G08B13/19673Addition of time stamp, i.e. time metadata, to video stream
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B13/00Burglar, theft or intruder alarms
    • G08B13/18Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength
    • G08B13/189Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems
    • G08B13/194Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems
    • G08B13/196Actuation by interference with heat, light, or radiation of shorter wavelength; Actuation by intruding sources of heat, light, or radiation of shorter wavelength using passive radiation detection systems using image scanning and comparing systems using television cameras
    • G08B13/19678User interface
    • G08B13/1968Interfaces for setting up or customising the system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N21/00Selective content distribution, e.g. interactive television or video on demand [VOD]
    • H04N21/20Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
    • H04N21/25Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
    • H04N21/258Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
    • H04N21/25808Management of client data
    • H04N21/25816Management of client data involving client authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
    • H04N7/181Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast for receiving images from a plurality of remote sources

Landscapes

  • Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Library & Information Science (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Graphics (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

영상 보안 시스템에서 키 관리 방법은 클라이언트가 상기 클라이언트의 식별을 위한 식별 정보 및 타임스탬프를 클라이언트와 인증 서버 간에 미리 공유된 제1 공유키를 기반으로 암호화한 인증 정보 및 식별 정보를 인증 서버로 전송하는 단계, 인증 서버가 식별 정보를 이용하여 데이터베이스에 저장된 키를 검색하는 단계; 인증 서버가 키를 기반으로 인증 정보를 복호화하여 식별 정보와 타임스탬프를 생성하고, 식별 정보와 타임스탬프를 기반으로 클라이언트의 진정성 여부를 확인하는 단계와 인증 서버가 세션키를 생성하고, 세션키, 클라이언트의 클래스 정보 및 타임스탬프를 인증 서버와 키 관리 서버 간에 미리 공유된 제2 공유 키를 기반으로 암호화하여 제1 티켓을 생성하는 단계를 포함할 수 있다.

Description

영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템{Method for privacy object masking and key management for user authentication in video surveillance system and video surveillance system using the same}
본 발명은 영상 보안 시스템에 관한 것으로서, 보다 상세하게는, 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템에 관한 것이다.
IT(information technology) 기술의 발전에 따라 영상 보안 분야에서도 진보된 IT 기술을 접목한 시스템들이 개발되고 있다. 이러한 영상 보안의 진화를 대표하는 것이 네트워크 카메라이며, 더 나아가 다양한 영상 보안 장치들을 통합하고 관제하기 위한 지능형 영상 보안 시스템이 발전하고 있다.
영상 보안 시스템은 범죄, 테러에 대한 대비 등 이로운 목적을 위해 개발된 것이지만, 카메라에 사생활이 노출되어 인권의 침해를 가져올 수 있는 역기능 또한 가지고 있다.
더구나, 과거 VCR(video cassette recorder)의 아날로그 환경에서는 폐쇄적인 성격 때문에 영상 정보에 접근하는 것이 어려웠지만 IT 환경으로 전환되면서 오히려 해킹 등의 악성 행위에 노출되어 영상 정보의 안전성을 위협하고 있다.
이를 해결하기 위해 CCTV(closed circuit television) 용 네트워크 카메라의 침입 방지, 영상 수집 정보에 대한 위조/변조 방지, 안전한 전송 등을 위한 암호 응용 기술이 필요하며 이러한 기능들을 구현하기에 앞서 영상 보안 시스템의 키(key) 관리 기술 및 체계의 확립이 선행되어야 한다.
키는 사용자 인증, 전송 정보의 암호화, 네트워크로의 접근 제어 등 대부분의 기능에서 핵심적인 역할을 하며, 프라이버시 침해가 예상되는 영상에 대해 프라이버시 마스킹을 하거나 비상시 포렌식 관점에서 프라이버시 마스킹 복원 등을 수행함에 있어서도 다양한 사용자에 대한 정보 접근의 수준을 관리하는 중요한 기술이 될 것이다.
따라서, 영상 보안 시스템에서 키를 관리하는 기술은 핵심이라고 할 수 있다. 즉, 키를 어떻게 관리할 것이며, 악의적인 해커에게 키가 노출되지 않으면서 안전하게 키를 분배할 수 있는지에 대한 문제에 대한 연구가 필요하다.
대한민국 특허 출원번호 10-2003-0035501(출원일: 2003년 06월 03일, 발명의 명칭: 프라이버시 보호를 위한 영상 보안 시스템 및 방법)
본 발명이 이루고자 하는 기술적 과제는 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법을 제공한다.
본 발명이 이루고자 하는 다른 기술적 과제는 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법을 수행하는 장치를 제공한다.
본 발명의 한 특징에 따른 영상 보안 시스템에서 키 관리 방법은 클라이언트가 상기 클라이언트의 식별을 위한 식별 정보 및 타임스탬프(timestamp)를 상기 클라이언트와 인증 서버 간에 미리 공유된 제1 공유키를 기반으로 암호화한 인증 정보 및 상기 식별 정보를 인증 서버로 전송하는 단계, 상기 인증 서버가 상기 식별 정보를 이용하여 데이터베이스에 저장된 키를 검색하는 단계, 상기 인증 서버가 상기 키를 기반으로 상기 인증 정보를 복호화하여 상기 식별 정보와 상기 타임스탬프를 생성하고, 상기 식별 정보와 상기 타임스탬프를 기반으로 상기 클라이언트의 진정성 여부를 확인하는 단계, 상기 인증 서버가 세션키를 생성하고, 상기 세션키, 상기 클라이언트의 클래스 정보 및 상기 타임스탬프를 상기 인증 서버와 키 관리 서버 간에 미리 공유된 제2 공유 키를 기반으로 암호화하여 제1 티켓을 생성하는 단계, 그리고 상기 인증 서버가 상기 세션키 및 상기 제1 티켓을 상기 제1 공유키로 암호화하여 상기 클라이언트로 전송하는 단계를 포함할 수 있다.
상기 특징에 따른 영상 보안 시스템에서 키 관리 방법은 상기 클라이언트가 상기 제1 공유키를 기반으로 상기 세션키와 상기 제1 티켓을 추출하는 단계와 상기 클라이언트가 상기 제1 티켓을 키 관리 서버로 전송하는 단계를 더 포함할 수 있다.
또한, 상기 특징에 따른 영상 보안 시스템에서 키 관리 방법은 상기 키 관리 서버가 상기 제1 티켓을 상기 제2 공유키를 기반으로 복호화하여 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 추출하는 단계, 상기 키 관리 서버가 분배키를 생성하고, 상기 분배키와 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 상기 키 관리 서버와 영상 보안 서버 간에 공유된 제3 공유키를 기반으로 암호화하여 제2 티켓을 생성하는 단계, 상기 키 관리 서버가 상기 분배키와 상기 제2 티켓을 상기 세션키로 암호화하는 단계, 그리고 상기 키 관리 서버가 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 클라이언트로 전송하는 단계를 더 포함할 수 있다.
더욱이, 상기 특징에 따른 영상 보안 시스템에서 키 관리 방법은 상기 클라이언트가 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 세션키를 기반으로 복호화하여 상기 분배키와 상기 제2 티켓을 추출하는 단계, 상기 클라이언트가 상기 영상 보안 서버로 상기 제2 티켓을 전송하는 단계 및 상기 영상 보안 서버가 상기 제2 티켓을 복호화하여 상기 분배키와 상기 클래스 정보 및 상기 타임스탬프를 확인하는 단계를 더 포함할 수 있다.
본 발명의 다른 특징에 따른 키 관리 방법을 수행하는 영상 보안 시스템은 식별을 위한 식별 정보 및 타임스탬프(timestamp)를 상기 클라이언트와 상기 인증 서버 간에 미리 공유된 제1 공유키를 기반으로 암호화한 인증 정보 및 상기 식별 정보를 인증 서버로 전송하도록 구현되는 클라이언트, 상기 식별 정보를 이용하여 데이터베이스에 저장된 키를 검색하고, 상기 키를 기반으로 상기 인증 정보를 복호화하여 상기 식별 정보와 상기 타임스탬프를 생성하고, 상기 식별 정보와 상기 타임스탬프를 기반으로 상기 클라이언트의 진정성 여부를 확인하고, 세션키를 생성하고, 상기 세션키, 상기 클라이언트의 클래스 정보 및 상기 타임스탬프를 상기 인증 서버와 키 관리 서버 간에 미리 공유된 제2 공유 키를 기반으로 암호화하여 제1 티켓을 생성하고, 상기 세션키 및 상기 제1 티켓을 상기 제1 공유키로 암호화하여 상기 클라이언트로 전송하도록 구현되는 상기 인증 서버를 포함할 수 있다.
한편, 상기 클라이언트는 상기 제1 공유키를 기반으로 상기 세션키와 상기 제1 티켓을 추출하고, 상기 제1 티켓을 키 관리 서버로 전송하도록 구현될 수 있다.
또한, 상기 특징에 따른 영상 보안 시스템은 상기 제1 티켓을 상기 제2 공유키를 기반으로 복호화하여 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 추출하고, 분배키를 생성하고, 상기 분배키와 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 상기 키 관리 서버와 영상 보안 서버 간에 공유된 제3 공유키를 기반으로 암호화하여 제2 티켓을 생성하고, 상기 분배키와 상기 제2 티켓을 상기 세션키로 암호화하고, 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 클라이언트로 전송하도록 구현되는 상기 키 관리 서버를 더 포함할 수 있다.
또한, 상기 클라이언트는 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 세션키를 기반으로 복호화하여 상기 분배키와 상기 제2 티켓을 추출하고, 상기 영상 보안 서버로 상기 제2 티켓을 전송하도록 구현되고, 상기 영상 보안 서버는 상기 제2 티켓을 복호화하여 상기 분배키와 상기 클래스 정보 및 상기 타임스탬프를 확인하도록 구현될 수 있다.
이러한 특징에 따른 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템에 따르면, 클래스 별로 키를 관리함으로써 기존의 영상 보안 시스템에서 개인별로 키를 관리함으로써 발생하는 비효율성이 감소되고, 사용자는 클래스별로 적절한 영상을 정확하고 빠르게 제공받을 수 있다.
도 1은 영상 보안 시스템을 나타낸 개념도이다.
도 2는 기존의 영상 보안 시스템의 구조 및 키 분배 과정을 나타낸 개념도이다.
도 3은 기존의 영상 보안 시스템의 구조 및 키 분배 과정을 나타낸 개념도이다.
도 4는 본 발명의 실시예에 따른 커버로스를 이용한 클래스별 키 분배 및 관리 방법을 나타낸 개념도이다.
도 5는 본 발명의 실시예에 따른 커버로스 프로토콜을 활용하여 클래스 별로 키를 분배하는 과정을 나타낸 개념도이다.
도 6은 본 발명의 실시예에 따른 라운드 키를 기반으로 클래스 별로 키를 분배하는 과정을 나타낸 개념도이다.
도 7은 본 발명의 실시예에 따른 라운드 키를 기반으로 클래스 별로 키를 분배하는 과정을 나타낸 개념도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조 부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
이하, 본 발명에서는 영상 보안 시스템에서 안전하게 키를 관리하기 위한 방법이 개시된다. 구체적으로 프라이버시 마스킹(privacy masking)이 수행될 경우, 사용자 인증, 권한 설정 등을 적용할 수 있는 방안이 개시된다. 또한 프라이버시 마스킹이 수행될 경우, 발생되는 과도한 키 관리 문제를 해결하기 위한 효과적인 키 관리 방안이 개시된다.
이하, 본 발명의 실시예에서는 영상 보안 시스템의 구조, 영상 보안 시스템의 클래스 별 키 관리 방안(커버로스, 라운드 키, 해쉬 체인을 이용한 키 분배 및 관리 기술)이 개시된다.
도 1은 영상 보안 시스템을 나타낸 개념도이다.
도 1을 참조하면, 영상 보안 시스템은 영상을 제공하기 위한 영상 보안 서버(100), 영상 수집을 위한 카메라(120) 및 카메라(120)로부터 수집된 영상을 수신하는 사용자 장치(140)를 포함할 수 있다.
카메라(120)는 영상 정보를 수집하기 위해 구현될 수 있다. 카메라(120)는 과거 VCR(video cassette recorder) 저장 장치 기반의 아날로그 CCTV 시대에서 DVR(digital video recorder) 기반의 영상 압축 전송 기술을 사용하는 디지털 시대로 발전함에 따라 변화되었다. 현재 카메라(120)는 인터넷 프로토콜 기반 기술이 결합된 네트워크 카메라의 형태로 변화되고 있다.
영상 보안 서버(100)는 카메라(120)를 통해 수집된 영상에 대한 분배와 보안을 위해 구현될 수 있다. 또한, 영상 보안 서버(120)는 사용자 장치(140)로 영상을 전송하고 카메라(120)의 접속 과부하 문제를 해결하기 위해 구현될 수 있다.
복수의 사용자가 카메라(120)로의 직접 연결을 시도할 경우 직접 연결에 따른 과부하로 인해 원활한 데이터의 전송이 이루어지기 어렵다. 따라서, 의도하지 않은 DDoS(distributed denial of service) 공격이 발생할 수 있다. 따라서, 사용자 장치(140)를 통해 영상 보안 서버(120)에 접속하고 카메라(120) 또한 영상 보안 서버(100)에 접속되어 있는 형태를 이루어 접속 과부하 문제가 해결될 수 있다.
사용자 장치(140)는 영상 보안 서버(100)로부터 영상 정보를 제공받기 위해 구현될 수 있다. 사용자 장치(140)는 클래스 레벨을 할당받을 수 있다.
예를 들면, 일반 사용자의 사용자 장치는 클래스1(class1), 관리자의 사용자 장치는 클래스2, 수사 기관의 사용자 장치는 클래스3 등과 같이 클래스 레벨을 사용자 장치별로 할당받을 수 있다. 클래스 레벨은 영상 정보에 대한 접근 제어를 위해 사용될 수 있다. 이러한 클래스 레벨 별 구분은 프라이버시 보호를 위한 영상 정보에 대해 프라이버시 마스킹 기술이 적용되었을 경우 클래스 별로 다른 수준의 프라이버시 마스킹을 위해 사용될 수 있다. 프라이버시 마스킹은 영상 정보에서 프라이버시의 보호를 위해 일부를 마스킹하는 것을 의미할 수 있다.
클래스 레벨이 사용되는 경우, 프라이버시 마스킹의 적용 및 복원에 사용될 키 분배의 어려움이 해결될 수 있다. 만약 개인 별로 키가 분배되는 경우, 분배되어야 하는 키의 수는 클래스 별로 분배되는 키의 수와 견주어 많은 차이를 가질 수 있다. 관리해야 할 키의 수는 키 관리 및 분배의 어려움과 직결된다. 따라서, 클래스 레벨을 기반으로 한 키 분배 방법은 보다 효율적인 방안일 수 있다.
카메라와 영상 보안 서버의 발전과정은 아래의 표 1과 같이 표현될 수 있다.
발전과정 설명
VCR을 통한 아날로그 CCTV 아날로그 카메라를 동축케이블로 VCR에 연결하는 완전한 아날로그 시스템을 의미하며 데이터 저장을 위해 아날로그 테이프를 이용
DVR을 통한 아날로그 CCTV DVR이라는 디지털 저장장치를 이용한 아날로그 방식의 시스템을 의미하며 확보된 영상정보는 디지털화되어 비디오 테이프 대신 하드디스크 등의 디지털 저장장치에 저장
네트워크 DVR을 통한 아날로그 CCTV 기존의 DVR 기능에 추가된 이더넷 포트를 통하여 네트워크 연결이 가능하며 네트워크 DVR이 서버가 되어 원격지에서 촬영된 영상정보를 확인하거나 조정이 가능
비디오 서버를 이용한 네트워크 시스템 아날로그 카메라에 비디오 서버를 연결한 형태로 이더넷을 이용하는 네트워크 환경을 의미
IP 카메라를 이용한 네트워크 시스템 아날로그 요소가 없는 완전한 디지털 시스템으로 네트워크를 통해 영상정보를 전달
표 1을 참조하면, 아날로그 카메라에서 네트워크를 통해 영상 정보를 전송하는 카메라로 발전되었고, 여기에서 발생하는 접속 과부하 및 프라이버시 보호를 해결할 수 있는 방안이 다양하게 연구되었다.
영상 보안 시스템은 영상 분배 서버 및 영상 통합 관제 시스템(centralized management system, CMS)으로 분류될 수 있다.
네트워크 카메라는 기본적으로 낮은 성능의 프로세서를 탑재한 임베디드 시스템으로 구성되었기 때문에 다중의 사용자가 접속하였을 경우에는 대처가 불가능하다는 단점을 필수적으로 가지고 있다. 따라서 복수의 네트워크 카메라로부터 영상을 실시간으로 수집하고 저장하여 복수의 사용자가 접속할 경우 영상을 분배하여 서비스할 수 있는 별도의 영상 분배 서버가 반드시 요구된다. 이를 통해 다중 접근에 의한 과부하를 해결할 수 있다.
영상이 아날로그에서 디지털로 변화함에 따라 영상 정보를 이용하는 방법에 있어 통합적으로 관리할 수 있는 기반이 마련되었다. 영상 보안은 감시를 위해 많이 사용되는데, 전통적으로 영상 보안 시스템은 카메라로부터 중앙 관제실로 영상 정보가 전달되고, 전달된 영상은 DVR에 저장될 수 있다. 하지만 현재 영상 보안 시스템은 보다 정교해지고 지능화되며 대형화되고 있어 현시점에 표준화되지 못한 과거 영상 보안 시스템들은 그 대응이 미흡할 수밖에 없다. 따라서 각종 응용과의 연동이 쉬운 네트워크 기반의 시스템이 영상 보안 시스템의 흐름으로 자리를 잡고 있다.
영상 통합 관제 시스템은 네트워크로 연결된 기존의 DVR/비디오서버/네트워크 카메라 등을 원격지 서버에서 통합 관리하는 시스템이다. 이 시스템에서는 DVR, 비디오 서버, 네트워크 카메라의 모든 기능이 소프트웨어 상에서 관리되며 녹화, 백업, PTZ(pan tilt zoom) 카메라 제어 등 많은 기능이 동시에 수행가능한 장점을 가지고 있다. 또한, 영상 통합 관제 시스템에서는 네트워크 상태, 녹화 상태, 이벤트 발생, 움직임 감지 등이 실시간으로 확인 가능하며, 특별한 움직임을 감지했을 경우 경보를 알리는 등의 기능을 이용하여 지능적인 역할도 수행될 수 있다.
도 2는 기존의 영상 보안 시스템의 구조 및 키 분배 과정을 나타낸 개념도이다.
도 2를 참조하면, 영상 보안 시스템에서는 키 관리가 핵심적인 역할을 할 수 있다. 영상 보안 시스템은 키를 관리하기 위해 키 관리 서버(210)를 별도로 마련하고 있으며, 키 관리 서버(210)에서는 사용자 인증 및 프라이버시 마스킹을 위한 키가 생성되고, 생성된 키는 별도의 데이터베이스를 통해 관리되며, 카메라와 사용자가 키를 요청할 경우 생성된 키가 분배될 수 있다.
일반 사용자의 사용자 장치(220), 관리자의 사용자 장치(220), 수사 기관의 사용자 장치(220) 각각에 대해 키 관리 서버(210)를 기반으로 키가 분배되고, 분배된 키를 기반으로 암호화된 영상이 일반 사용자의 사용자 장치(220), 관리자의 사용자 장치(220), 수사 기관의 사용자 장치(220) 각각으로 전송될 수 있다. 즉, 일반 사용자의 사용자 장치(220), 관리자의 사용자 장치(220), 수사 기관의 사용자 장치(220) 각각으로 전송되는 영상은 할당된 키에 따라 서로 다를 수 있다.
도 3은 기존의 영상 보안 시스템의 구조 및 키 분배 과정을 나타낸 개념도이다.
기존의 영상 보안 시스템에서는 카메라 및 사용자 별로 키가 따로 관리되어야 한다. 따라서, 키의 관리를 위해 매우 광범위하고 많은 정보가 필요할 수 있다.
도 3을 참조하면, 카메라, 사용자를 개별적으로 관리할 경우의 키 분배 과정이 개시된다.
사용자의 수가 N이라고 하는 경우, 네트워크 카메라는 각 사용자가 등록한 프라이버시에 해당하는 영상을 마스킹하기 위해 키 관리 서버에게 사용자 별 키를 요청한다(단계 S300).
키 관리 서버는 등록된 사용자를 검색하고, 사용자 수만큼의 키(N개)를 생성한다(단계 S310).
생성된 키 전부(N개)가 카메라로 전송되고, 접속한 사용자에 해당하는 키(KA, KB, ... , KN)가 사용자에게 전송된다(단계 S320).
키 분배가 완료되면 카메라는 수신한 키를 이용하여 사용자가 등록한 프라이버시에 해당하는 영역을 마스킹하여 전송한다(단계 S330).
사용자 장치는 수신된 영상을 분배된 키를 통해 복원하여 영상을 서비스받는다(단계 S340).
위와 같이 사용자가 개인 별 프라이버시 영역을 지정하고 프라이버시 영역에 대한 마스킹을 수행하는 경우, 정상적으로 서비스받아야 할 사용자임에도 불구하고 다른 사용자가 지정한 프라이버시 영역을 마스킹한 영상을 서비스받을 수 있다.
예를 들어, 사용자 A는 사용자 A에 의해 설정된 프라이버시 영역에서 정상적인 영상을 서비스받을 수 있다. 하지만 사용자 B, C, ... , N이 설정한 영역에 대해서는 해당 키가 없다. 따라서, 사용자 B, C, ... , N에 의해 마스킹된 영상은 서비스받을 수 없다. 즉, 사용자 A는 정상적인 사용자임에도 불구하고 정상적인 서비스를 받지 못한다. 따라서, 구조적으로 새로운 대안이 필요하며 사용자의 수만큼 키를 관리해야 하기 때문에 키를 관리하는 측면에 있어서도 보다 효율적인 방안이 필요하다.
위와 같은 문제점을 해결하기 위하여 본 발명의 실시예에서는 키를 안전하게 분배하고 효율적으로 관리하기 위한 방안이 개시된다. 또한 사용자 별로 키를 관리하는 것이 아닌 사용자의 특성을 분류하여 클래스를 나누어 클래스 별로 키를 관리하는 기술이 개시된다.
본 발명의 실시예에서는 영상 보안 시스템이 접근 권한에 따른 클래스를 구분하고, 사용자가 영상 보안 시스템에 등록될 경우 사용자의 권한에 따른 클래스를 사용자에게 할당하는 방법이 개시된다. 이러한 방법이 사용되는 경우, 사용자는 클래스 별로 그룹화된다. 따라서, 사용자가 클래스 별로 그룹화되는 경우, 프라이버시 마스킹 속도가 감소하고, 관리되는 키의 양이 훨씬 감소하기 때문에 보다 효율적인 시스템이 될 수 있다.
본 발명의 실시예에서는 커버로스(kerberos)를 이용한 클래스별 키 분배 및 관리, 라운드 키(round key)를 이용한 클래스별 키 분배 및 관리, 이중 해쉬체인(hash chain)을 이용한 클래스별 키 분배 및 관리가 개시된다.
도 4는 본 발명의 실시예에 따른 커버로스를 이용한 클래스별 키 분배 및 관리 방법을 나타낸 개념도이다.
도 4에서는 커버로스 프로토콜은 인증 서버와 티켓 승인 서버(Ticket Granting Server, TGS), 클라이언트에게 서비스하는 서비스 서버 및 클라이언트를 기반으로 동작할 수 있다.
클라이언트는 인증 서버와 티켓 승인 서버로부터 티켓을 받급받아 티켓 승인 서버와 서비스 서버로 접근할 수 있다.
클라이언트는 인증 서버(authentication server, AS)로 사용자의 식별 정보를 전송하여(단계 S400), TGS의 사용을 허가하는 티켓을 요청할 수 있다.
인증 서버는 클라이언트와 인증 서버 사이에 사전에 공유된 키를 이용하여 TGS와의 통신에 사용할 키 등과 티켓(EK (C
Figure pat00001
AS)(SG, TG), TG: EK ( TGS
Figure pat00002
AS)(SG))을 클라이언트로 전송할 수 있다(단계 S410).
클라이언트는 인증 서버로부터 수신한 세션키로 커버로스 서버로부터 수신한 티켓을 암호화하여 전송함으로써 TGS에게 서비스 승인 티켓을 요청할 수 있다(단계 S420).
TGS는 티켓을 클라이언트에게 발급할 수 있다(단계 S430).
티켓은 TGS와 클라이언트가 접근하기 원하는 서비스 서버와의 비밀키로 암호화되며, 티켓과 함께 클라이언트와 서비스 서버 간 통신을 위한 세션키로 암호화되어(ESG(K(C
Figure pat00003
S), TS), TS : EK ( TGS
Figure pat00004
S)(K(C
Figure pat00005
S))) 전송될 수 있다.
클라이언트는 티켓을 서비스 서버에 전송함으로써 별도의 승인과정 없이 서버에 접속한다(단계 S440).
본 발명의 실시예에 따른 커버로스 프로토콜을 활용하여 클래스 별로 키를 분배하는 과정은 아래와 같다. 기본적으로 전체적인 구성은 커버로스 프로토콜과 비슷하며, 인증 서버와 키 관리 서버, 영상 보안 서버, 클라이언트로 구성된다. 제안하는 키 분배 과정은 아래의 도 5에 개시된다.
표 2 및 표 3은 도 5에서 사용되는 키 및 용어에 대한 정의이다.
<표 2>
Figure pat00006
<표 3>
Figure pat00007
도 5는 본 발명의 실시예에 따른 커버로스 프로토콜을 활용하여 클래스별로 키를 분배하는 과정을 나타낸 개념도이다.
도 5를 참조하면, 클라이언트는 인증을 위해 식별 정보(ID')를 입력한다(단계 S500).
입력된 식별 정보(ID')와 TimeStamp를 클라이언트와 인증 서버 간 사전에 공유된 키(K(C
Figure pat00008
AS))를 기반으로 암호화한다(단계 S505).
사용자로부터 입력받은 ID'와 암호화된 인증 정보(C1)을 인증 서버로 전송한다(단계 S510).
인증 서버가 수신한 ID'를 이용하여 DB(database)에 저장된 키를 검색한다(단계 S515).
인증 서버가 검색된 키(K(C
Figure pat00009
AS))를 기반으로 수신한 인증 정보(C1)을 복호화하여 ID'과 TimeStamp를 추출한다(단계 S520).
인증 서버가 복호화된 ID'과 ID를 비교하여 올바른 사용자인지 여부를 확인한다(단계 S525).
인증 서버가 클라이언트와 키 관리 서버 간 통신을 위한 세션키(KSS)를 생성한다(단계 S530).
인증 서버가 생성된 세션키(KSS)와 사용자의 클래스 정보(Class), TimeStamp를 인증 서버와 키 관리 서버 간 공유된 키(K(AS
Figure pat00010
KMS))를 기반으로 암호화하여 티켓(T1)을 생성한다(단계 S535).
인증 서버가 생성된 세션키(KSS)와 티켓(T1)을 클라이언트와 인증 서버 간 공유된 키(K(C
Figure pat00011
AS))를 기반으로 암호화(C2)한다(단계 S540).
인증 서버가 클라이언트로 C2를 전송한다(단계S545).
클라이언트는 수신한 C2를 클라이언트와 인증 서버 간 공유된 키(K(C
Figure pat00012
AS))를 기반으로 복호화하여 세션키(KSS)와 티켓(T1)을 추출한다(단계S550).
클라이언트가 추출된 티켓(T1)을 키 관리 서버로 전송한다(단계 S555).
키 관리 서버는 클라이언트로부터 수신한 티켓(T1)을 인증서버와 키 관리 서버 간 공유된 키(K(AS
Figure pat00013
KMS))를 기반으로 복호화하여 세션키(KSS)와 사용자의 클래스 정보(Class), TimeStamp를 추출한다(단계 S560).
키 관리 서버는 영상 보안 서버의 서비스를 받기 위한 분배키(K(C
Figure pat00014
VSS))를 생성한다(단계 S565).
키 관리 서버는 생성된 분배키(K(C
Figure pat00015
VSS))와 사용자의 클래스 정보(Class), TimeStamp를 키 관리 서버와 영상 보안 서버 간 공유된 키(K(KMS
Figure pat00016
VSS))를 기반으로 암호화하여 티켓(T2)를 생성한다(단계 S570).
키 관리 서버는 생성된 분배키(K(C
Figure pat00017
VSS))와 티켓(T2)를 세션키(KSS)로 암호화(C3)한다(단계 S575).
키 관리 서버가 클라이언트로 C3를 전송한다(단계 S580).
클라이언트는 C3를 수신하고, 세션키(TSS)를 이용하여 C3를 복호화하여 분배키(K(C
Figure pat00018
VSS))와 티켓(T2)을 추출한다(단게 S585).
클라이언트는 영상 보안 서버로 티켓(T2)를 전송한다(단계 S590).
영상 보안 서버는 클라이언트로부터 수신한 티켓(T2)를 복호화하여 분배키(K(C
Figure pat00019
VSS))와 사용자의 클래스 정보(Class), TimeStamp를 확인한다(단계 S595).
커버로스를 이용한 클래스별 키 분배 및 관리 방법이 사용되는 경우, 클래스 개수에 해당하는 키를 따로 보관해야 할 수 있다. 클래스 수준이 높은 사용자는 클래스 수준이 낮은 사용자의 키를 모두 가지고 영상에 대한 복원을 수행할 수 있다.
도 6은 본 발명의 실시예에 따른 라운드 키를 기반으로 클래스 별로 키를 분배하는 과정을 나타낸 개념도이다.
라운드 키를 기반으로 클래스 별로 키를 분배하는 과정은 커버로스 프로토콜을 활용하여 클래스 별로 키를 분배하는 과정과 다르게 고정된 형태(예를 들면, 특정 값을 기반으로 항상 같은 값이 생성되는 메커니즘)을 사용할 수 있다.
도 6을 참조하면, 최초 키 생성을 위한 시드 값이 생성되고, 이를 기반으로 라운드 키가 클래스 키로 사용될 수 있다.
만약 클래스가 C1, C2, C3로 존재한다고 가정하면 라운드 별로 생성되는 키인 KR1, KR2, KR3를 클래스키로 사용하여 암호화 기능, 마스킹 기능, 복원 기능이 제공될 수 있다. 키 분배 및 관리가 이와 같이 구성될 경우 최초 시드 값 만을 관리하면 되기 때문에 매우 효율적이라 할 수 있다. 기본적인 통신 과정은 커버로스를 이용한 프로토콜과 기본적으로 동일할 수 있다.
우선, 네트워크 카메라는 프라이버시에 해당하는 영상을 마스킹하기 위하여 키 관리 서버에게 클래스 별 키를 요청한다(단계 S600).
키 관리 서버는 클래스 별 키를 생성하기 위해 시드 값을 생성하고, 생성된 시드 값을 기반으로 라운드 별 키를 생성한다(단계 S610).
예를 들면, 1라운드의 결과 값은 클래스1의 키, 2라운드 결과 값은 클래스2의 키로 하여 전체 클래스 키를 생성하는 구조를 이룬다. 즉, 개별 클래스 별로 별도의 키가 생성되어 클래스 별 사용자 장치로 할당될 수 있다.
키 관리 서버는 생성된 키 전부(N개)를 카메라에 전송하고, 클래스별 키(KR1, KR2, ... , KRN)를 사용자 장치로 전송한다(단계 S620).
클래스1의 키는 클래스1에 대응되는 사용자 장치로 전송되고, 클래스2의 키는 클래스2에 대응되는 사용자 장치로 전송되고, 클래스3의 키는 클래스3에 대응되는 사용자 장치로 전송될 수 있다.
키 관리 서버의 키 분배가 완료되는 경우, 네트워크 카메라는 수신한 키를 이용하여 클래스 별 프라이버시에 해당하는 영역을 마스킹하여 사용자 장치로 전송할 수 있다.
또한, 사용자 장치는 네트워크 카메라로부터 영상 보안 서버를 통해 수신한 영상을 분배된 키를 통해 복원하여 클래스별 영상을 서비스받을 수 있다.
도 7은 본 발명의 실시예에 따른 라운드 키를 기반으로 클래스 별로 키를 분배하는 과정을 나타낸 개념도이다.
해쉬 체인(hash chain)은 특정 시드 값이 주어졌을 때, 이를 토대로 반복적인 일방향 해쉬 함수를 통해 출력되는 값들을 체인 형태로 구성한 것을 의미할 수 있다. 해쉬 체인은 h1(seed), h2(seed), ... , hn(seed)으로 표기되고, n은 해쉬 함수의 반복 횟수를 의미할 수 있다.
단일 해쉬 체인의 경우 hi(seed)로부터 hi+ 1(seed)를 구할 수 있지만 역함수를 구할 수 없는 일방향성을 가진다. 따라서, 단일 해쉬 체인은 영상 보안 시스템의 키 관리에 적용하기에는 무리가 있다. 따라서, 특정 해쉬 값이 주어졌을 때 양방향 모두 계산이 가능한 이중 해쉬 체인을 이용하여 클래스별 키를 분배하고 관리하는 방법이 개시된다.
이중 해쉬 체인을 이용한다면 보다 강인한 키 관리 체계가 구성될 수 있다.
도 7을 참조하면, 키 관리 서버는 2개의 시드 값 x, y를 생성하고, 일방향 해쉬 함수를 이용하여 클래스 최대 값(n)만큼의 길이를 가지는 2개의 해쉬 체인을 생성할 수 있다.
생성된 해쉬 체인을 검증하기 위해 확인자 v(hj(x)hn-j(y))가 생성될 수 있다.
전송되는 메시지는 [j, hj(x), hn-j(y), v(j)] 형태를 이루고 있으며, j는 클래스 정보, hj(x)는 x를 시드값으로 j번만큼 해쉬함수를 반복한 결과, hn-j(y)는 y를 시드값으로 (n-j)번만큼 해쉬함수를 반복한 결과, v(j)는 j번째 확인자 정보를 의미할 수 있다.
카메라 및 사용자 장치는 수신한 j를 토대로 hj(x)를 계산하고 수신한 hn-j(y), v(j)를 이용하여 정상적인 결과인지 확인할 수 있다. 따라서, 이를 토대로 사용자의 권한에 해당하는 클래스 별 키를 생성할 수 있으며, 해쉬 체인 형태이기 때문에 하위 클래스의 키를 모두 생성할 수 있어 보다 효율적인 분배 및 관리를 할 수 있다.
해쉬 체인을 2개로 구성한 이유는 하나의 해쉬 체인을 사용할 경우 무결성을 위협하는 공격에 취약점이 드러나기 때문이다. 만약 공격자가 hj(x)를 탈취했다면 hj+1(x)를 쉽게 계산할 수 있으므로 이를 이용하여 복원이 가능하여 무결성이 보장되지 않는다. 하지만 이중 해쉬 체인의 경우에는 공격자에 의한 변조가 가능하지 않으므로 이중 해쉬 체인이 사용될 수 있다.
전술한 실시예에서는 기존의 영상보안시스템에서 개인별로 키를 관리한다면 마스킹 복원으로 인한 문제점이나 매우 많은 정보를 활용해야 하기 때문에 비효율적이므로 이를 효율적으로 관리하기 위하여 클래스별 키를 관리하는 방안이 개시되었다.
또한 클래스별 키를 안전하게 분배하기 위해 커버로스를 적용한 프로토콜을 제안하였고, 보다 더 효과적인 관리를 할 수 있도록 라운드 키를 이용한 방안과 이중 해쉬 체인을 이용한 방안이 개시되었다.
영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들일 수 있고, 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (8)

  1. 클라이언트가 상기 클라이언트의 식별을 위한 식별 정보 및 타임스탬프(timestamp)를 상기 클라이언트와 인증 서버 간에 미리 공유된 제1 공유키를 기반으로 암호화한 인증 정보 및 상기 식별 정보를 인증 서버로 전송하는 단계,
    상기 인증 서버가 상기 식별 정보를 이용하여 데이터베이스에 저장된 키를 검색하는 단계,
    상기 인증 서버가 상기 키를 기반으로 상기 인증 정보를 복호화하여 상기 식별 정보와 상기 타임스탬프를 생성하고, 상기 식별 정보와 상기 타임스탬프를 기반으로 상기 클라이언트의 진정성 여부를 확인하는 단계,
    상기 인증 서버가 세션키를 생성하고, 상기 세션키, 상기 클라이언트의 클래스 정보 및 상기 타임스탬프를 상기 인증 서버와 키 관리 서버 간에 미리 공유된 제2 공유 키를 기반으로 암호화하여 제1 티켓을 생성하는 단계, 그리고
    상기 인증 서버가 상기 세션키 및 상기 제1 티켓을 상기 제1 공유키로 암호화하여 상기 클라이언트로 전송하는 단계
    를 포함하는 영상 보안 시스템에서 키 관리 방법.
  2. 제1항에서,
    상기 클라이언트가 상기 제1 공유키를 기반으로 상기 세션키와 상기 제1 티켓을 추출하는 단계, 그리고
    상기 클라이언트가 상기 제1 티켓을 키 관리 서버로 전송하는 단계
    를 더 포함하는 영상 보안 시스템에서 키 관리 방법.
  3. 제2항에서,
    상기 키 관리 서버가 상기 제1 티켓을 상기 제2 공유키를 기반으로 복호화하여 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 추출하는 단계,
    상기 키 관리 서버가 분배키를 생성하고, 상기 분배키와 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 상기 키 관리 서버와 영상 보안 서버 간에 공유된 제3 공유키를 기반으로 암호화하여 제2 티켓을 생성하는 단계,
    상기 키 관리 서버가 상기 분배키와 상기 제2 티켓을 상기 세션키로 암호화하는 단계, 그리고
    상기 키 관리 서버가 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 클라이언트로 전송하는 단계
    를 더 포함하는 영상 보안 시스템에서 키 관리 방법.
  4. 제3항에서,
    상기 클라이언트가 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 세션키를 기반으로 복호화하여 상기 분배키와 상기 제2 티켓을 추출하는 단계,
    상기 클라이언트가 상기 영상 보안 서버로 상기 제2 티켓을 전송하는 단계, 그리고
    상기 영상 보안 서버가 상기 제2 티켓을 복호화하여 상기 분배키와 상기 클래스 정보 및 상기 타임스탬프를 확인하는 단계
    를 더 포함하는 영상 보안 시스템에서 키 관리 방법.
  5. 식별을 위한 식별 정보 및 타임스탬프(timestamp)를 클라이언트와 인증 서버 간에 미리 공유된 제1 공유키를 기반으로 암호화한 인증 정보 및 상기 식별 정보를 인증 서버로 전송하도록 구현되는 클라이언트, 그리고
    상기 식별 정보를 이용하여 데이터베이스에 저장된 키를 검색하고, 상기 키를 기반으로 상기 인증 정보를 복호화하여 상기 식별 정보와 상기 타임스탬프를 생성하고, 상기 식별 정보와 상기 타임스탬프를 기반으로 상기 클라이언트의 진정성 여부를 확인하고, 세션키를 생성하고, 상기 세션키, 상기 클라이언트의 클래스 정보 및 상기 타임스탬프를 상기 인증 서버와 키 관리 서버 간에 미리 공유된 제2 공유 키를 기반으로 암호화하여 제1 티켓을 생성하고, 상기 세션키 및 상기 제1 티켓을 상기 제1 공유키로 암호화하여 상기 클라이언트로 전송하도록 구현되는 상기 인증 서버를 포함하는 영상 보안 시스템.
  6. 제5항에서,
    상기 클라이언트는 상기 제1 공유키를 기반으로 상기 세션키와 상기 제1 티켓을 추출하고, 상기 제1 티켓을 키 관리 서버로 전송하도록 구현되는 영상 보안 시스템.
  7. 제6항에서,
    상기 제1 티켓을 상기 제2 공유키를 기반으로 복호화하여 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 추출하고, 분배키를 생성하고, 상기 분배키와 상기 세션키, 상기 클래스 정보 및 상기 타임스탬프를 상기 키 관리 서버와 영상 보안 서버 간에 공유된 제3 공유키를 기반으로 암호화하여 제2 티켓을 생성하고, 상기 분배키와 상기 제2 티켓을 상기 세션키로 암호화하고, 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 클라이언트로 전송하도록 구현되는 상기 키 관리 서버
    를 더 포함하는 영상 보안 시스템.
  8. 제7항에서,
    상기 클라이언트는 상기 세션키로 암호화된 상기 분배키와 상기 제2 티켓을 상기 세션키를 기반으로 복호화하여 상기 분배키와 상기 제2 티켓을 추출하고, 상기 영상 보안 서버로 상기 제2 티켓을 전송하도록 구현되고,
    상기 영상 보안 서버는 상기 제2 티켓을 복호화하여 상기 분배키와 상기 클래스 정보 및 상기 타임스탬프를 확인하도록 구현되는
    영상 보안 시스템.
KR1020160062127A 2016-05-20 2016-05-20 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템 KR101847618B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160062127A KR101847618B1 (ko) 2016-05-20 2016-05-20 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160062127A KR101847618B1 (ko) 2016-05-20 2016-05-20 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템

Publications (2)

Publication Number Publication Date
KR20170131785A true KR20170131785A (ko) 2017-11-30
KR101847618B1 KR101847618B1 (ko) 2018-04-12

Family

ID=60812507

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160062127A KR101847618B1 (ko) 2016-05-20 2016-05-20 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템

Country Status (1)

Country Link
KR (1) KR101847618B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951605B1 (ko) * 2018-11-07 2019-02-22 이종원 영상의 유출을 방지하기 위한 cctv 영상 보안 시스템
KR20200060193A (ko) * 2018-11-21 2020-05-29 고려대학교 산학협력단 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법
KR102197216B1 (ko) * 2020-05-18 2020-12-31 권영훈 음성 신호와 영상 신호를 갖는 기밀 정보 관리 방법 및 장치
WO2024019534A1 (ko) * 2022-07-22 2024-01-25 주식회사 메디컬에이아이 의료 서비스의 개인정보 비식별화를 위한 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4402998B2 (ja) 2004-03-29 2010-01-20 三菱電機株式会社 マスキング機能付き監視システムおよびカメラ、並びに該カメラとともに用いられるマスク解除装置
KR101281103B1 (ko) 2012-01-16 2013-07-30 순천향대학교 산학협력단 티켓인증 기반의 프린터 보안 장치 및 그 프린터 보안 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101951605B1 (ko) * 2018-11-07 2019-02-22 이종원 영상의 유출을 방지하기 위한 cctv 영상 보안 시스템
KR20200060193A (ko) * 2018-11-21 2020-05-29 고려대학교 산학협력단 상호인증 기반 안전한 패치파일 배포를 위한 통합관리 서버 및 그 동작 방법
KR102197216B1 (ko) * 2020-05-18 2020-12-31 권영훈 음성 신호와 영상 신호를 갖는 기밀 정보 관리 방법 및 장치
WO2024019534A1 (ko) * 2022-07-22 2024-01-25 주식회사 메디컬에이아이 의료 서비스의 개인정보 비식별화를 위한 시스템 및 방법

Also Published As

Publication number Publication date
KR101847618B1 (ko) 2018-04-12

Similar Documents

Publication Publication Date Title
EP2270710B1 (en) Method for restricting access to media data generated by a camera
KR101320350B1 (ko) 보안관제서버 및 보안관제서버의 영상데이터 관리 방법
CN108600236B (zh) 视频监控网络智能信息安全综合管理系统
Puthal et al. SEEN: A selective encryption method to ensure confidentiality for big sensing data streams
US7792296B2 (en) Access-controlled encrypted recording method for site, interaction and process monitoring
US9992017B2 (en) Encrypting and storing data
US20170142082A1 (en) System and method for secure deposit and recovery of secret data
JP2018534879A (ja) データストリームの安全な階層暗号
CN111447414B (zh) 一种方便调度便于监控的视频监控系统及方法
KR101847618B1 (ko) 영상 보안 시스템에서 프라이버시 객체 마스킹 및 사용자 인증을 위한 키 관리 방법 및 이러한 방법을 사용하는 영상 보안 시스템
US20170118445A1 (en) Surveillance server, method of processing data of surveillance server, and surveillance system
KR20120035299A (ko) 프라이버시 보호를 위한 영상 보호처리 장치와, 그를 이용한 영상 보안 시스템 및 그 방법
Studer et al. Mobile user location-specific encryption (MULE) using your office as your password
KR101837188B1 (ko) 비디오 보호 시스템
KR101993885B1 (ko) 양자 보안칩 탑재 누수-원격검침 lpwan 서비스 제공 양자보안 통신시스템
CN107947937A (zh) 一种安全音视频加密系统及终端认证实现方法
KR102236235B1 (ko) 공공 다중이용시설 재난재해 동보방송 구내방송장치(PA)와 원격 협업기능 A/V(Audio/Video) 스마트 방송장치 및 폐쇄자가망 시스템
Lee et al. An efficient key management solution for privacy masking, restoring and user authentication for video surveillance servers
Han et al. The privacy protection framework for biometric information in network based CCTV environment
KR101853786B1 (ko) Cctv의 펌웨어 검증코드를 검사하는 보안 디바이스 유닛
JP2005242471A (ja) 情報収集転送取得システム、情報収集制御装置、情報収集制御方法、およびそのプログラム並びにそれらを記録する記録媒体
Park et al. User authentication protocol for blocking malicious user in network CCTV environment
Stathopoulos et al. Secure log management for privacy assurance in electronic communications
KR102580643B1 (ko) 키 교환 암호 프로토콜 기반 cctv 카메라 영상 데이터 보안 전송 시스템 및 방법
US11528132B2 (en) Transmission of secure information in a content distribution network

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant