WO2017033348A1

WO2017033348A1 - 署名生成システム、署名生成装置及び署名生成方法

Info

Publication number: WO2017033348A1
Application number: PCT/JP2016/000861
Authority: WO
Inventors: 勝則古賀田; 正克松尾; 田中　裕之; 武藤　浩二; 英男野口; 哲志有田
Original assignee: パナソニックＩｐマネジメント株式会社
Priority date: 2015-08-21
Filing date: 2016-02-18
Publication date: 2017-03-02
Also published as: US20180176503A1; JP2017041841A

Abstract

カメラにより撮像された原本映像に対する改ざんの有無の検証に用いる署名をカメラにおいて付与し、カメラにより撮像された原本映像の証拠性を向上する。　カメラ（２）は、監視対象のエリアの映像を撮像する撮像部と、撮像部により撮像された監視対象のエリアの映像データの一部又は全部を用いて、映像データの改ざんの有無を検証するための署名を生成するＣＰＵと、ＣＰＵより生成された署名を映像データに付与した署名付き映像データをクライアント端末（４）に対して順次送信するネットワーク通信部とを有する。クライアント端末（４）は、ネットワーク通信部から順次送信されてくる署名付き映像データを受信するネットワーク通信部と、ネットワーク通信部により受信された署名付き映像データに含まれる映像データの改ざんの有無を検証するＣＰＵと、ＣＰＵにおける検証結果を出力するディスプレイ（４３）とを有する。

Description

署名生成システム、署名生成装置及び署名生成方法

　本開示は、撮像装置とユーザ端末とが相互に接続された署名生成システムと、署名生成システムに用いられる署名生成装置及び署名生成方法とに関する。

　従来、設置された撮像装置が監視対象のエリア（例えば事件現場又は何かしらのトラブルが発生した場所）を撮像して得た映像データに署名（つまり、電子署名）を付与して記録することにより、映像データの証拠性を保つ監視映像記録システムが知られている。例えば、特許文献１には、低精度映像（つまり、原本映像）と高精度映像とに署名を紐付けして記録する監視映像記録装置（例えばレコーダ等の記録装置）が開示されている。特許文献１によれば、監視映像記録装置は、例えば複数枚の時系列映像に基づいて１枚の超解像画像を得るために、原本映像である低精度映像を超解像処理した場合であっても画像の証拠性を保つことができる。

特開２０１０－２１９８８９号公報

　本開示は、撮像装置とユーザ端末とが相互に接続された署名生成システムであって、撮像装置は、監視対象のエリアの映像を撮像する撮像部と、撮像部により撮像されたエリアの映像データの一部又は全部を用いて、映像データの改ざんの有無を検証するための署名を生成する署名生成部と、署名生成部より生成された署名を映像データに付与した署名付き映像データを、ユーザ端末に対して順次送信する送信部と、を有し、ユーザ端末は、送信部から順次送信されてくる署名付き映像データを受信する第１受信部と、第１受信部により受信された署名付き映像データに含まれる映像データの改ざんの有無を検証する検証部と、検証部における検証結果を出力する出力部と、を有する、署名生成システムを提供する。

　本開示は、ユーザ端末と接続する署名生成装置であって、監視対象のエリアの映像を撮像する撮像部と、撮像部により撮像されたエリアの映像データの一部又は全部を用いて、映像データの改ざんの有無を検証するための署名を生成する署名生成部と、署名生成部より生成された署名を映像データに付与した署名付き映像データを、ユーザ端末に対して順次送信する送信部と、を備える、署名生成装置を提供する。

　本開示は、ユーザ端末と接続され、撮像部を有する署名生成装置における署名生成方法であって、撮像部において、監視対象のエリアの映像を撮像し、撮像部により撮像されたエリアの映像データの一部又は全部を用いて、映像データの改ざんの有無を検証するための署名を生成し、生成された署名を映像データに付与した署名付き映像データを、ユーザ端末に対して順次送信する、署名生成方法を提供する。

　本開示によれば、カメラにより撮像された原本映像のデータに対する改ざんの有無の検証に用いる署名をカメラが送信する際に付与することができるので、カメラにより撮像された原本映像の証拠性を向上することができる。

図１は、本実施形態の監視システムの概略構成を示すブロック図である。図２は、本実施形態の監視システムのカメラの概略構成を示すブロック図である。図３は、本実施形態の監視システムのカメラにおける署名付き映像データの生成を模式的に示した図である。図４は、本実施形態の監視システムのレコーダの概略構成を示すブロック図である。図５は、本実施形態の監視システムのクライアント端末の概略構成を示すブロック図である。図６は、本実施形態の監視システムのカメラの動作の概要を示すフローチャートである。図７は、本実施形態の監視システムのレコーダの動作の概要を示すフローチャートである。図８は、本実施形態の監視システムのクライアント端末の動作の概要を示すフローチャートである。

　実施の形態の説明に先立ち、従来の技術における問題点を簡単に説明する。上述した特許文献１に記載された技術では、署名が低精度映像の受信側である監視映像記録装置において生成されるため、低精度映像の送信側であるネットワークカメラにより撮像された低精度映像（つまり、原本映像）が監視映像記録装置において受信される以前に改ざんされてしまった場合には、低精度映像の証拠性を保つことができないという課題があった。

　本開示は、従来の課題を解決するために、カメラにより撮像された原本映像のデータに対する改ざんの有無の検証に用いる署名をカメラが送信する際に付与し、カメラにより撮像された原本映像の証拠性を向上する署名生成システム、署名生成装置及び署名生成方法を提供することを目的とする。

　以下、適宜図面を参照しながら、本開示に係る署名生成システム、署名生成装置及び署名生成方法を具体的に開示した実施形態（以下、本実施形態という）を詳細に説明する。但し、必要以上に詳細な説明は省略する場合がある。例えば、既によく知られた事項の詳細説明や実質的に同一の構成に対する重複説明を省略する場合がある。これは、以下の説明が不必要に冗長になるのを避け、当業者の理解を容易にするためである。なお、添付図面及び以下の説明は、当業者が本開示を十分に理解するために提供されるのであって、これらにより請求の範囲に記載の主題を限定することは意図されていない。

　図１は、本実施形態の監視システム１の概略構成を示すブロック図である。同図において、本実施形態の監視システム１は、カメラ２と、レコーダ３と、クライアント端末４とを含む構成である。本実施形態の監視システム１は、監視カメラシステムとして、例えばコンビニエンスストアの店舗内の様子を監視するために用いることができ、又は屋外の交差点付近を行き交う人々や車両等の様子を監視するために用いることができる。

　例えばコンビニエンスストアの店舗内の様子を監視するために用いる場合、カメラ２は店舗内の売り場（例えば店舗内の天井、又はコーナー）に設置され、レコーダ３及びクライアント端末４はコンビニエンスストアの本社又は店舗内の事務室等のバックヤードに設置される。

　一方、例えば交差点付近を行き交う人々や車両等の様子を監視するために用いる場合、カメラ２は交差点（例えば信号機が設置された電柱）に設置され、レコーダ３及びクライアント端末４は交差点の場所を管轄する警察署内に設置される。

　カメラ２とレコーダ３との間、カメラ２とクライアント端末４との間は、それぞれ互いに離れた場所に設置されることが多いため、それぞれの間はインターネットやイントラネット等のネットワークを介して接続される。なお、カメラ２とレコーダ３との間、カメラ２とクライアント端末４との間は、有線接続されてもよいし、無線接続でもよい。

　本実施形態の監視システム１では、カメラ２からはストリーム形式で撮像により得られた映像データが順次、レコーダ３、クライアント端末４のそれぞれに送信される。レコーダ３は、カメラ２より順次送信されてくるストリーム形式の映像データを受信し、ストリーム形式の映像データをファイル化して記録する。なお、レコーダ３にディスプレイ（不図示）が接続されている場合には、レコーダ３を操作するユーザ（例えば監視員）により、レコーダ３に記録された映像データが再生されてディスプレイに表示されてもよい。

　クライアント端末４は、カメラ２よりリアルタイムに順次送信されてくる映像データを受信し、映像データを再生してディスプレイ４３に表示する。また、クライアント端末４は、リアルタイムな映像データを再生してディスプレイ４３に表示する以外に、レコーダ３に記録された映像データを、フラッシュメモリ等の記憶媒体を介して読み出して再生してからディスプレイ４３に表示してもよい。なお、クライアント端末４は、レコーダ３に記録された映像データを、ネットワーク（不図示）を介して、レコーダ３からダウンロードすることでも取得してもよい。

　また、カメラ２より順次送信されてくる映像データには署名が付与されている。つまり、カメラ２は、署名付きの映像データをストリーム形式でレコーダ３、クライアント端末４に順次送信している。以下、カメラ２から順次送信される署名付きの映像データを、単に「署名付き映像データ」又は「署名付きストリーム」という。クライアント端末４は、署名付き映像ストリームに含まれる映像データの通信経路内における第三者による改ざんの有無を検証する。以下、カメラ２、レコーダ３及びクライアント端末４のそれぞれについて詳細に説明する。

　先ず、カメラ２について、図２を参照して説明する。

　図２は、本実施形態の監視システム１のカメラ２の概略構成を示すブロック図である。同図において、カメラ２は、レンズ２１、イメージセンサ２２、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）２３、エンコーダ２４及びネットワーク通信部２５を含む構成である。なお、カメラ２は、撮像装置及び署名生成装置に対応し、レンズ２１とイメージセンサ２２は、撮像装置及び署名生成装置の撮像部２６を構成する。ＣＰＵ２３とエンコーダ２４は、署名生成部を構成する。また、ネットワーク通信部２５は、送信部に対応する。

　レンズ２１は、監視対象のエリアを行き交う人々等の被写体からの反射光を集光し、イメージセンサ２２の受光面上にその光学像を結像させる。イメージセンサ２２は、例えばＣＣＤ（Ｃｈａｒｇｅ　Ｃｏｕｐｌｅｄ　Ｄｅｖｉｃｅ）型イメージセンサ又はＣＭＯＳ（Ｃｏｍｐｌｅｍｅｎｔａｒｙ　Ｍｅｔａｌ　Ｏｘｉｄｅ　Ｓｅｍｉｃｏｎｄｕｃｔｏｒ）型イメージセンサを用いて構成され、レンズ２１によって受光面上に結像された光学像の電気信号（つまり、映像を構成する画像の電気信号）をＣＰＵ２３に出力する。

　ＣＰＵ２３は、カメラ２の各部の動作制御を全体的に統括するための信号処理、他の各部との間のデータの入出力処理、データの演算処理及びデータの記憶処理を行う。ＣＰＵ２３の代わりに、ＭＰＵ（Ｍｉｃｒｏｐｒｏｃｅｓｓｏｒ）又はＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）等のプロセッサを用いて構成されてもよい。例えば、ＣＰＵ２３は、イメージセンサ２２の出力（つまり、画像の電気信号）を用いて、人が認識可能なＲＧＢ（Ｒｅｄ　Ｇｒｅｅｎ　Ｂｌｕｅ）形式の画像データ又はＹＵＶ（輝度、色差）形式の画像データを生成する。

　また、ＣＰＵ２３は、画像データ（つまり、１フレームの画像データ）を生成する度にエンコーダ２４に渡して符号化の実行を指示する。ＣＰＵ２３は、エンコーダ２４により符号化された１フレーム分の画像データを取得してキャッシュ（不図示）又はＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ、不図示）に一時的に保存する。また、ＣＰＵ２３は、１フレーム分の画像データを構成するビット列又はバイナリデータの全部又は一部を用いて、所定の関数（例えば既知のハッシュ関数）によってハッシュ値（ダイジェスト値とも呼ばれる）を計算し、得られたハッシュ値を暗号化して署名を生成する。ＣＰＵ２３は、生成した署名を、一時的に保存している１フレーム分の画像データに付与することで署名付き映像データを生成する。ＣＰＵ２３は、生成した署名付き映像データをネットワーク通信部２５に出力し、ネットワーク通信部２５からレコーダ３及びクライアント端末４へ順次送信させる。

　図３は、本実施形態の監視システム１のカメラ２における署名付き映像データの生成を模式的に示した図である。上記したように、カメラ２からはストリーム形式で署名付き映像データがレコーダ３、クライアント端末４に順次送信される。同図に示すように、１フレームごとの画像データＤｉ（ｉ＝１，２，３，…，ｎ）について、ＣＰＵ２３により、ハッシュ値を求めるための計算が行われるとともに、ハッシュ値の計算により得られたハッシュ値の暗号化が行われて署名が生成される。更に、ＣＰＵ２３により、生成された署名が画像データＤｉに付与された署名付き映像データが送信される。

　図２に戻り、ＣＰＵ２３は、事前（即ち、署名付き映像データの送信を行う前）に公開鍵と秘密鍵とのペアを生成している。ＣＰＵ２３は、ハッシュ値の暗号化処理の際に秘密鍵のデータを用い、例えば認証局（ＣＡ（Ｃｅｒｔｉｆｉｃａｔｅｄ　Ａｕｔｈｏｒｉｔｙ）局）から発行された証明書に公開鍵のデータを格納して保持してもよいし、証明書とは関係なく公開鍵のデータを単独で保持してもよい。例えば本実施形態では、カメラ２からクライアント端末４には、カメラ２の公開鍵のデータが証明書に含まれた状態で渡される。証明書の渡し方としては、本実施形態では、クライアント端末４がカメラ２からダウンロードする方法を採っている。なお、証明書の渡し方の他の方法としては、カメラ２が取得した証明書をメールに添付して送信する方法、署名付き映像データと一緒にストリーム形式で送信する方法がある。また、公開鍵を証明書に含ませて送るのではなく、公開鍵のみ個別に送るようにしても構わない。また、カメラ２が公開鍵を有効期間の関係で更新する場合は、カメラ２が更新した後に上記いずれかの方法で適当な合間に送信すればよい。

　図２中に示す鍵生成処理２３１、ハッシュ計算処理２３２及び暗号処理２３３のそれぞれは、ＣＰＵ２３によるソフトウェア処理として実行される。鍵生成処理２３１では、ＣＰＵ２３により、例えばカメラ２の公開鍵のデータと秘密鍵のデータとが生成される。ハッシュ計算処理２３２では、ＣＰＵ２３により、画像データＤｉの一部又は全部を用いて、ハッシュ値の計算が行われる。暗号処理２３３では、ＣＰＵ２３により、画像データＤｉに付与される署名を生成するために、ハッシュ値の暗号化が行われる。

　エンコーダ２４は、ＣＰＵ２３より１フレーム分の画像データＤｉが与えられるごとに、所定の送信フォーマットに適合するために、画像データＤｉを符号化してＣＰＵ２３に返す。

　ネットワーク通信部２５は、インターネット（又はイントラネット）１０を介してレコーダ３及びクライアント端末４と相互に通信を行う。送信部の一例としてのネットワーク通信部２５は、ＣＰＵ２３により生成された署名付き映像データをストリーム形式で、インターネット（又はイントラネット）１０を介してレコーダ３及びクライアント端末４へ順次送信する。また、ネットワーク通信部２５は、例えばクライアント端末４からのカメラ２の公開鍵のダウンロード要求があった場合に、ＣＰＵ２３により生成された公開鍵のデータをインターネット（又はイントラネット）１０を介してクライアント端末４へ送信する。

　次に、レコーダ３について、図４を参照して説明する。

　図４は、本実施形態の監視システム１のレコーダ３の概略構成を示すブロック図である。同図において、レコーダ３は、ネットワーク通信部３１、記録データメモリ３２、ストレージＩ／Ｆ３３及びＣＰＵ３４を含む構成である。ネットワーク通信部３１は、第２受信部に対応する。また、記録データメモリ３２は、記録部に対応する。

　ネットワーク通信部３１は、インターネット（又はイントラネット）１０を介してカメラ２及びクライアント端末４のそれぞれと相互に通信を行う。記録データメモリ３２は、例えばフラッシュメモリやハードディスクを用いて構成され、映像データを記録する。ストレージＩ／Ｆ３３は、記録データメモリ３２とＣＰＵ３４との間を相互に接続する。

　ＣＰＵ３４は、レコーダ３の各部の動作制御を全体的に統括するための信号処理、他の各部との間のデータの入出力処理、データの演算処理及びデータの記憶処理を行う。ＣＰＵ３４の代わりに、ＭＰＵ又はＤＳＰ等のプロセッサを用いて構成されてもよい。例えば、ＣＰＵ３４は、ネットワーク通信部３１で受信された、カメラ２からのストリーム形式の署名付き映像データをファイル化し、ファイル名及び日時（例えばファイル化日時、記録日時）のインデックスを付けて記録データメモリ３２に記録する。カメラ２からは、ストリーム形式で署名付き映像データがレコーダ３に順次送られてくることから、ＣＰＵ３４は、署名付き映像データに含まれる画像データＤｉが所定量蓄積された時点でファイル化する。例えば、ＣＰＵ３４は、１０分間のフレーム数の署名付き映像データを１単位としてファイル化する。

　次に、クライアント端末４について、図５を参照して説明する。

　図５は、本実施形態の監視システム１のクライアント端末４の概略構成を示すブロック図である。同図において、クライアント端末４は、ネットワーク通信部４１、入力部４２、ディスプレイ４３、ストレージＩ／Ｆ４４、データメモリ４５及びＣＰＵ４６を含む構成である。なお、クライアント端末４は、ユーザ端末に対応する。また、ネットワーク通信部４１は、第１受信部に対応する。また、ＣＰＵ４６は、検証部に対応する。また、ディスプレイ４３とＣＰＵ４６は、出力部を構成する。

　ネットワーク通信部４１は、インターネット（又はイントラネット）１０を介してカメラ２及びレコーダ３のそれぞれと相互に通信を行う。入力部４２は、クライアント端末４を操作するユーザが操作可能なマウスやキーボード等の入力デバイスを用いて構成され、文字の入力やＣＰＵ４６を制御するための各種コマンドの入力を行う。

　ディスプレイ４３は、クライアント端末４を操作するための操作画面の表示や、カメラ２で撮像された監視対象のエリアの映像データを映し出す。ストレージＩ／Ｆ４４は、データメモリ４５とＣＰＵ４６との間を相互に接続する。データメモリ４５は、例えばフラッシュメモリやハードディスクを用いて構成され、署名付き映像データやカメラ２の公開鍵のデータを含む証明書のデータを記憶する。

　ＣＰＵ４６は、ネットワーク通信部４１がカメラ２からダウンロードしたカメラ２の公開鍵のデータを含む証明書のデータをネットワーク通信部４１から取得し、証明書のデータに含まれるカメラ２の公開鍵のデータの正規性を認証する。なお、証明書のデータに含まれるカメラ２の公開鍵のデータの正規性の認証方法は公知技術を用いて実現可能であるため、本実施形態では説明を省略する。ＣＰＵ４６は、正規の公開鍵のデータであることを認証した場合には、カメラ２の公開鍵のデータをデータメモリ４５に記憶させる。また、ＣＰＵ４６は、カメラ２より署名付き映像データが送信されてきた場合、映像データを構成する画像データＤｉの１フレームごとに改ざんの有無を検証する。ＣＰＵ４６は、映像データの改ざんの検証結果を基にして映像データの改ざんがされていないと判断すると、映像データを再生して映像をディスプレイ４３に表示する。一方、ＣＰＵ４６は、映像データの改ざんがされていると判断すると、その時点で映像データの再生を停止するのでディスプレイ４３には映像データを表示させない。これにより、クライアント端末４を操作するユーザ（例えば監視員）は、例えばカメラ２からクライアント端末４までの通信路において署名付き映像データに含まれる映像データが改ざんされてしまった場合でも、その映像データがクライアント端末４において再生されないので、虚偽の映像データを閲覧することがないので、クライアント端末４は、署名付き映像データに改ざんを行った第三者の影響を適正に排除することができる。

　また、ＣＰＵ４６は、レコーダ３の記録データメモリ３２から記録データ（つまり、ファイル化された署名付き映像データ）を読み出した場合、その記録データについて、上記と同様に映像データを構成する画像データＤｉの１フレームごとに改ざんの有無を検証する。ＣＰＵ４６は、映像データの改ざんの検証結果を基に映像データの改ざんがされていないと判断すると、映像データを再生して映像をディスプレイ４３に表示する。一方、ＣＰＵ４６は、映像データの改ざんがされていると判断すると、その時点で映像データの再生を停止するのでディスプレイ４３には映像データを表示させない。なお、クライアント端末４は、レコーダ３の記録データメモリ３２より読み出した記録データをデータメモリ４５に記憶させることは可能であるが、映像データの改ざんがあれば、記録データのデータメモリ４５への記憶を省略してもよい。

　ＣＰＵ４６は、取得した署名付き映像データの署名に対し、データメモリ４５に記憶されている公開鍵を用いて復号する。また、ＣＰＵ４６は、映像データそのものについては、映像データを構成する画像データＤｉを用いてハッシュ値の計算を行う。なお、カメラ２とクライアント端末４とでは、ハッシュ値の計算を行うために、同一のハッシュ関数が使用される。ＣＰＵ４６は、署名を復号して得られたハッシュ値と、署名が付与された画像データＤｉのハッシュ値計算により得られたハッシュ値とを比較する。ＣＰＵ４６は、それぞれのハッシュ値が一致していると判断した場合には、映像データが改ざんされていないと判断して映像データを再生してディスプレイ４３に出力して表示させる。一方、ＣＰＵ４６は、それぞれのハッシュ値が一致していないと判断した場合には、映像データが改ざんされていると判断して映像データの再生を行わず、ディスプレイ４３にも出力しない。

　なお、ＣＰＵ４６は、映像データの改ざんの有無の検証結果を映像データに含めるようにしてもよいし、ディスプレイ４３に表示するようにしてもよい。ＣＰＵ４６は、ディスプレイ４３に表示する場合、例えば、映像データが改ざんされていれば、「改ざんされています」というメッセージを表示し、映像データが改ざんされていなければ、「改ざんされていません」というメッセージを表示する。

　従って、本実施形態の監視システム１によれば、クライアント端末４は、クライアント端末４自身が受信する以前のカメラ２から送信された署名付き映像データに対し、映像データを構成する画像データＤｉの１フレームごとに改ざんの有無を検証することで、映像における僅かな改ざんも見逃すことなく改ざんの有無を正確に把握することが可能となり、映像データの証拠性を高めることができる。また、監視システム１によれば、カメラ２は、カメラ２自身が撮像した原本としての映像データに対する改ざんの有無の検証に用いる署名をカメラ２が送信する際に付与することができるので、カメラ２により接続された後段の装置（例えばクライアント端末４）において署名検証を行うことによって、カメラ２により撮像された映像データの証拠性を向上することができる。

　図５中に示す認証処理４６１、復号処理４６２、ハッシュ計算処理４６３及びハッシュ比較処理４６４のそれぞれは、ＣＰＵ４６によるソフトウェア処理として実行される。認証処理４６１では、ＣＰＵ４６により、例えばカメラ２の公開鍵のデータの正規性の認証が行われる。復号処理４６２では、ＣＰＵ４６により、署名付き映像データに含まれる署名の復号が行われる。ハッシュ計算処理４６３では、ＣＰＵ４６により、署名付き映像データに含まれる映像データを用いてハッシュ値の計算が行われる。ハッシュ比較処理４６４では、ＣＰＵ４６により、復号処理４６２による署名の復号により得られたハッシュ値と、ハッシュ計算処理４６３による映像データを用いたハッシュ計算により得られたハッシュ値との比較が行われる。

　次に、カメラ２、レコーダ３及びクライアント端末４それぞれの動作の概要について、図６～図８を参照して説明する。

　図６は、本実施形態の監視システム１のカメラ２の動作の概要を示すフローチャートである。同図において、ＣＰＵ２３は、まず公開鍵と秘密鍵のペアの各データを生成し、秘密鍵についてはハッシュ値の暗号化処理で使用するために保存し、公開鍵についてはクライアント端末４がダウンロード可能に保存する（Ｓ１）。

　ＣＰＵ２３は、公開鍵及び秘密鍵のペアの各データを生成した後、イメージセンサ２２より出力される画像信号を取り込み、人が認識可能なＲＧＢ形式又はＹＵＶ形式の１フレーム分の画像データＤ_１を生成する。ＣＰＵ２３は、１フレーム分の画像データＤ_１を生成した後、生成した１フレーム分の画像データＤ_１をエンコーダ２４に出力して符号化の実行を指示する。ＣＰＵ２３は、エンコーダ２４に１フレーム分の画像データＤ_１の符号化の実行を指示した後、エンコーダ２４によって符号化された１フレーム分の画像データＤ_１を取得すると、取得した符号化された画像データＤ_１をキャッシュ（不図示）又はＲＡＭ（不図示）に一時的に保存する。

　また、ＣＰＵ２３は、エンコーダ２４によって符号化された１フレーム分の画像データＤ_１を構成するビット列又はバイナリデータの全部又は一部を用いて既知のハッシュ関数によってハッシュ値を計算し（Ｓ２）、このハッシュ値を秘密鍵のデータで暗号化して署名を生成する（Ｓ３）。

　ＣＰＵ２３は、署名を生成した後、生成した署名を一時的に保存している１フレーム分の画像データＤ_１に付与することで署名付き映像データを生成する（Ｓ４）。ＣＰＵ２３は、生成した署名付き映像データをネットワーク通信部２５に出力し、ネットワーク通信部２５からレコーダ３及びクライアント端末４へ送信する（Ｓ５）。ＣＰＵ２３は、最初の１フレーム分の画像データＤ_１に続く画像データＤ_２，Ｄ_３，…Ｄ_ｎに対してステップＳ２～ステップＳ５の処理を繰り返す。

　図７は、本実施形態の監視システム１のレコーダ３の動作の概要を示すフローチャートである。同図において、ＣＰＵ３４は、ネットワーク通信部３１がカメラ２より順次送信されてきたストリーム形式の署名付き映像データを受信すると（Ｓ１０）、カメラ２からのストリーム形式の署名付き映像データをファイル化し、ファイル名及び日時（例えばファイル化日時、記録日時）のインデックスを付けて記録データメモリ３２に記録する（Ｓ１１）。これにより、レコーダ３は、例えばユーザが希望する日時における署名付き映像データの読み出し要求がクライアント端末４から受けた場合に、該当する日時の署名付き映像データを取得してクライアント端末４に渡すことができる。言い換えると、クライアント端末４は、カメラ２からリアルタイムに順次送信されてくる署名付き映像データ以外にも、ユーザ（例えば監視員）が希望する特定の日時における署名付き映像データをレコーダ３から取得することができ、署名検証が成功すれば取得済みの署名付き映像データに含まれる映像データを再生可能となる。

　図８は、本実施形態の監視システム１のクライアント端末４の動作の概要を示すフローチャートである。図８の説明の前提として、ＣＰＵ４６は、ネットワーク通信部４１がカメラ２からダウンロードしたカメラ２の公開鍵のデータを含む証明書のデータをネットワーク通信部４１から取得し、取得したカメラ２の公開鍵のデータが正規の公開鍵のデータであることを認証し、その結果、カメラ２の公開鍵のデータをデータメモリ４５に記憶させているとする。

　図８において、ＣＰＵ４６は、カメラ２より送信されてきた署名付き映像データをネットワーク通信部４１にて受信すると（Ｓ２０Ａ）、受信した署名付き映像データに対し、署名と映像データとを分離する。ＣＰＵ４６は、署名付き映像データから分離した署名についてはデータメモリ４５に記憶させている公開鍵のデータを用いて復号し、ハッシュ値を得る（Ｓ２１）。

　一方、ＣＰＵ４６は、署名付き映像データから分離した映像データについては、映像データを構成する画像データＤｉの最初の１フレームの画像データＤ_１を構成するビット列又はバイナリデータの一部又は全部を用いてハッシュ計算を行い、ハッシュ値を得る（Ｓ２２）。ＣＰＵ４６は、署名から復号したハッシュ値を得るとともに、映像データを構成する画像データＤ_１の１フレーム分から計算してハッシュ値を得ると、これらのハッシュ値を比較し（Ｓ２３）、双方のハッシュ値が一致しているかどうか判定する（Ｓ２４）。

　ＣＰＵ４６は、双方のハッシュ値が一致している（言い換えると、映像データの改ざんがされていない）と判断すると、映像データを再生してディスプレイ４３に出力する（Ｓ２５）。

　一方、ＣＰＵ４６は、双方のハッシュ値が一致していない（言い換えると、映像データの改ざんがされている）と判断すると、映像データを出力しない（Ｓ２６）。ＣＰＵ４６は、最初の１フレーム分の画像データＤ_１に続く画像データＤ_２，Ｄ_３，…，Ｄ_ｎに対して、ステップＳ２１～ステップＳ２６の処理を繰り返す。

　一方、ＣＰＵ４６は、レコーダ３の記録データメモリ３２から記録データを読み出すと（Ｓ２０Ｂ）、カメラ２より送信されてきた署名付き映像データをネットワーク通信部４１にて受信した場合（つまり、ステップＳ２１～ステップＳ２６までの各処理）と同様の処理を行う。

　以上により、本実施形態の監視システム１では、カメラ２は、監視対象のエリアの映像を撮像し、撮像された監視対象のエリアの映像データの一部又は全部を用いて、映像データの改ざんの有無を検証するための署名を生成し、生成された署名を映像データに付与した署名付き映像データを、クライアント端末４に対して順次送信していく。クライアント端末４は、カメラ２から順次送信されてくる署名付き映像データを受信し、受信された署名付き映像データに含まれる映像データの改ざんの有無を検証し、検証結果を出力する。

　これにより、監視システム１によれば、署名送信側のカメラ２は、カメラ２自身が撮像した原本としての映像データに対する改ざんの有無の検証に用いる署名を映像データに付与した署名付き映像データをカメラ２が順次送信する際に付与することができる。また、署名受信側の装置（例えばクライアント端末４）は、カメラ２により付与された署名の検証が成功すれば、カメラ２から署名受信側の装置への通信経路（具体的には、カメラ２からクライアント端末４への通信経路）において改ざんがなかったことを保証できるので、カメラ２により撮像された原本としての映像データの証拠確立性を向上することができる。

　また、本実施形態の監視システム１では、レコーダ３は、カメラ２より順次送信されてくる署名付き映像データを受信し、受信された署名付き映像データを記録する。クライアント端末４は、レコーダ３から読み出した署名付き映像データを用いて、署名付き映像データに含まれる映像データの改ざんの有無を検証する。これにより、監視システム１は、クライアント端末４における署名検証が成功すれば、カメラ２からレコーダ３への通信経路とレコーダ３からクライアント端末４への通信経路の両方において改ざんがなかったことを保証できるので、レコーダ３が記録したカメラ２の撮影映像の証拠確立性を向上することができる。

　また、本実施形態の監視システム１では、カメラ２は、撮像して得られた映像データを構成する画像の１フレームごとに署名を生成する。これにより、監視システム１は、映像データを構成する画像の１フレームごとに改ざんの検証が可能となり、カメラ２により撮像された原本としての映像データの証拠確立性を向上することができる。また、本実施形態の監視システム１では、１フレームごとに署名が生成されることに限定されず、所定個のフレームごとに纏めて署名が生成されてもよい。これにより、クライアント端末４は所定個のうちいずれのフレームにおいて改ざんがあったかの検証は困難となるが、カメラ２における署名生成処理の負荷を軽減することができる。

　また、本実施形態の監視システム１では、クライアント端末４は、署名付き映像データに含まれる映像データが改ざんされていないことを判断した場合に、映像データを再生して出力する。これにより、クライアント端末４を操作するユーザ（例えば監視員）は、改ざんされてしまった映像を観て、誤った認識を行うことがない。

　本開示は、カメラにより撮像された原本映像のデータに対する改ざんの有無の検証に用いる署名をカメラが送信する際に付与することができるので、カメラにより撮像された原本映像の証拠性を向上することができるといった効果を有し、例えばコンビニエンスストア内の監視や交差点の監視等を行う監視カメラシステムへの適用が可能である。

　１　監視システム
　２　カメラ
　３　レコーダ
　４　クライアント端末
　１０　インターネット
　２１　レンズ
　２２　イメージセンサ
　２３，３４，４６　ＣＰＵ
　２４　エンコーダ
　２５，３１　ネットワーク通信部
　２６　撮像部
　３３，４４　ストレージＩ／Ｆ
　３２　記録データメモリ
　４２　入力部
　４３　ディスプレイ
　４５　データメモリ
　２３１　鍵生成処理
　２３２　ハッシュ計算処理
　２３３　暗号処理
　４６１　認証処理
　４６２　復号処理
　４６３　ハッシュ計算処理
　４６４　ハッシュ比較処理

Claims

　撮像装置とユーザ端末とが相互に接続された署名生成システムであって、
　前記撮像装置は、
　監視対象のエリアの映像を撮像する撮像部と、
　前記撮像部により撮像された前記エリアの映像データの一部又は全部を用いて、前記映像データの改ざんの有無を検証するための署名を生成する署名生成部と、
　前記署名生成部より生成された前記署名を前記映像データに付与した署名付き映像データを、前記ユーザ端末に対して順次送信する送信部と、を有し、
　前記ユーザ端末は、
　前記送信部から順次送信されてくる前記署名付き映像データを受信する第１受信部と、
　前記第１受信部により受信された前記署名付き映像データに含まれる映像データの改ざんの有無を検証する検証部と、
　前記検証部における検証結果を出力する出力部と、を有する、
　署名生成システム。
　請求項１に記載の署名生成システムであって、
　前記送信部より順次送信されてくる前記署名付き映像データを受信する第２受信部と、
　前記第２受信部により受信された前記署名付き映像データを記録する記録部と、を有するレコーダ、を更に備え、
　前記検証部は、前記レコーダから読み出した前記署名付き映像データを用いて、前記署名付き映像データに含まれる映像データの改ざんの有無を検証する、
　署名生成システム。
　請求項１又は２に記載の署名生成システムであって、
　前記署名生成部は、前記撮像部から得られた前記映像データを構成する画像の１フレームごとに、前記署名を生成する、
　署名生成システム。
　請求項１又は２に記載の署名生成システムであって、
　前記出力部は、前記署名付き映像データに含まれる映像データが改ざんされていないことが前記検証部により判断された場合に、前記映像データを出力する、
　署名生成システム。
　ユーザ端末と接続する署名生成装置であって、
　監視対象のエリアの映像を撮像する撮像部と、
　前記撮像部により撮像された前記エリアの映像データの一部又は全部を用いて、前記映像データの改ざんの有無を検証するための署名を生成する署名生成部と、
　前記署名生成部より生成された前記署名を前記映像データに付与した署名付き映像データを、前記ユーザ端末に対して順次送信する送信部と、を備える、
　署名生成装置。
　ユーザ端末と接続され、撮像部を有する署名生成装置における署名生成方法であって、
　前記撮像部において、監視対象のエリアの映像を撮像し、
　前記撮像部により撮像された前記エリアの映像データの一部又は全部を用いて、前記映像データの改ざんの有無を検証するための署名を生成し、
　生成された前記署名を前記映像データに付与した署名付き映像データを、前記ユーザ端末に対して順次送信する、
　署名生成方法。