WO2018230366A1

WO2018230366A1 - 信号処理装置および方法、並びにプログラム

Info

Publication number: WO2018230366A1
Application number: PCT/JP2018/021143
Authority: WO
Inventors: 達也金子; 裕一本橋
Original assignee: ソニーセミコンダクタソリューションズ株式会社
Priority date: 2017-06-16
Filing date: 2018-06-01
Publication date: 2018-12-20
Also published as: CN110771090A; US20210150036A1; CN117221473A; US11868487B2; EP3641214A4; JPWO2018230366A1; EP3641214A1; JP7229647B2; US11361085B2; US20220237305A1; US20230071178A1; CN115766989A; EP4149054A1; CN110771090B

Abstract

本技術は、安全性を確保しつつ処理負荷を低減させることができるようにする信号処理装置および方法、並びにプログラムに関する。信号処理装置は、出力データの暗号化対象とする指定部分を示す指定情報を取得する制御部と、出力データにおける指定情報により示される指定部分を、鍵を用いて暗号化する暗号化処理部とを備える。また、指定情報により示される指定部分は時間とともに変化するようになされている。本技術は車載用のカメラに適用することができる。

Description

信号処理装置および方法、並びにプログラム

　本技術は、信号処理装置および方法、並びにプログラムに関し、特に、安全性を確保しつつ処理負荷を低減させることができるようにした信号処理装置および方法、並びにプログラムに関する。

　近年、車載用のカメラを用いた安全機能を搭載する自動車が増えてきており、数年後には自動運転を実現させようとする動きが活発化している。

　自動車の自動運転では、カメラで得られた出力画像が解析され、その解析結果に基づいてステアリングホイールやアクセル、ブレーキなどの制御が行われるため、カメラの出力画像の正しさが求められている。

　したがって、車載用のカメラに対しては、カメラ自体が正しく動作しているかをチェックするための機能安全だけでなく、出力画像の安全性、つまりカメラのすげ替えや出力画像の改竄等の悪意のある行為を防止するためのセキュリティ機能も求められている。

　特に、車載用のカメラでは出力画像の各フレームについて安全性を確保する必要がある。これは、例えば出力画像が改竄されると、悪意のある事故が発生してしまうおそれがあるからである。

　例えば監視カメラの分野では、画像のセキュリティ機能に関する技術として、撮影により得られた映像データの一部または全部を用いて改竄の有無を検証するための署名を生成し、署名付き映像データを出力するものが提案されている（例えば、特許文献１参照）。

特開２０１７－４１８４１号公報

　ところが、上述した技術では低コスト、つまり少ない処理量で出力する画像の安全性を確保することは困難であった。

　例えば既存の技術を用いれば、出力画像自体や制御のための各種の信号などを暗号化することで、出力画像の安全性を確保することは可能である。上述した特許文献１に記載の技術においても同様に、映像データ全体を用いて署名を生成すれば、映像データの安全性を確保することができる。

　しかしながら、この場合、暗号化や署名の対象となる領域が大きいので、出力画像の安全性、つまりセキュリティ性を確保するためにはカメラやカメラの後段のブロックにおいて高負荷な処理が必要となる。

　特に車載用のカメラを考えると、カメラの後段ではカメラの出力画像に対する解析処理や、その解析結果に基づくアクセルやブレーキなどの運転に関する制御が行われるため、そもそもカメラの後段のブロックにおける処理負荷は高い。

　このような高負荷な処理は消費電力の増加要因となるので、小さな筐体で作成される車載カメラではサイズや消費電力の面で不利になってしまう。

　また、上述した特許文献１に記載の技術では、映像データの予め定めた一部の領域を用いて署名を生成すれば処理負荷を低減させることが可能であるが、そうすると十分な安全性を確保することが困難となる。特に、この場合、映像データの署名対象とする領域が漏えいすると、署名対象とする領域は常に同じ領域であることから映像データの署名対象ではない部分を改竄しても、そのような改竄を検出することができなくなってしまう。

　本技術は、このような状況に鑑みてなされたものであり、安全性を確保しつつ処理負荷を低減させることができるようにするものである。

　本技術の第１の側面の信号処理装置は、出力データの暗号化対象とする指定部分を示す指定情報を取得する制御部と、前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する暗号化処理部とを備え、前記指定情報により示される前記指定部分は時間とともに変化する。

　本技術の第１の側面の信号処理方法またはプログラムは、出力データの暗号化対象とする指定部分を示す指定情報を取得し、前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化するステップを含み、前記指定情報により示される前記指定部分は時間とともに変化する。

　本技術の第１の側面においては、出力データの暗号化対象とする指定部分を示す指定情報が取得され、前記出力データにおける前記指定情報により示される前記指定部分が、鍵が用いられて暗号化される。また、前記指定情報により示される前記指定部分は時間とともに変化する。

　本技術の第２の側面の信号処理装置は、取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成する制御部と、前記指定情報を送信する通信部と、前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する取得部とを備える。

　本技術の第２の側面の信号処理方法またはプログラムは、取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成し、前記指定情報を送信し、前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得するステップを含む。

　本技術の第２の側面においては、取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報が生成され、前記指定情報が送信され、前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データが取得される。

　本技術の第１の側面および第２の側面によれば、安全性を確保しつつ処理負荷を低減させることができる。

　なお、ここに記載された効果は必ずしも限定されるものではなく、本開示中に記載された何れかの効果であってもよい。

車両の構成例について説明する図である。画像処理システムの構成例について説明する図である。イメージセンサのすげ替えについて説明する図である。撮影画像の改竄について説明する図である。イメージセンサの構成例を示す図である。車両制御部の構成例を示す図である。応答処理および接続センサ認証処理を説明するフローチャートである。画像出力処理を説明するフローチャートである。暗号化画像の埋め込みについて説明する図である。画像取得処理を説明するフローチャートである。コンピュータの構成例を示す図である。

　以下、図面を参照して、本技術を適用した実施の形態について説明する。

〈第１の実施の形態〉
〈画像処理システムの構成例〉
　本技術は、車載用のカメラの撮影画像の一部の領域を暗号化してカメラの後段に出力するようにするとともに、暗号化の対象となる領域を時間とともに変化させることで、安全性を確保しつつ処理負荷を低減させることができるようにするものである。

　すなわち、撮影画像の一部分の領域のみを暗号化することで、カメラやそのカメラの後段における処理負荷の低減が可能である。

　また、暗号化の対象となる領域を時間とともに変化させることで、つまり撮影画像の各フレームにおいて暗号化の対象とする領域を任意の領域とすることができるようにすることで、安全性（セキュリティ性）を確保することができる。

　例えば撮影画像のフレームごとにランダムで暗号化対象の領域を変化させた場合、悪意の第三者には暗号化対象の領域を特定することができないので、撮影画像の改竄が困難となり、少ない処理量、つまり低い処理負荷でも十分な安全性を確保することができる。

　このとき、たとえ、あるフレームにおける暗号化対象の領域が悪意の第三者に特定されたとしても、次のフレームでは既に暗号化対象の領域が変化しているので、常に同じ領域を暗号化対象としている場合と異なり、十分な安全性を確保することができる。

　このような本技術は、車載用のカメラや車載用のカメラを用いた車内システムの他、自動二輪車、自転車、電動車椅子、パーソナルモビリティ、飛行機、船舶、電車、ロボット等の移動体に搭載するカメラや、そのようなカメラを用いたシステム等に適用可能である。

　また、本技術において安全性確保の対象となるデータ、つまり改竄検出の対象となるデータは、画像データに限らず、音声データや各種の計測データなどの任意のデータとすることができる。

　そのような場合においても、安全性確保の対象となる対象データの暗号化対象とする指定部分を時間とともに変化させながら対象データの指定部分を暗号化し、暗号化により得られた暗号化データと対象データとを出力すればよい。具体的には、例えば対象データが音声データである場合には、音声データにおける所定の音声区間（範囲）を暗号化対象とする指定部分とし、その音声区間を時間とともに変化させればよい。ここで、対象データの指定部分は１つであってもよいし、複数であってもよい。

　なお、以下では、本技術を車載用のカメラを有する画像処理システムに適用した場合を具体的な例として説明を行う。この場合、撮影により得られた撮影画像の画像データが上述の安全性確保の対象となる対象データに対応し、撮影画像の暗号化の対象とされる一部の領域が上述の指定部分に対応し、撮影画像の一部の領域を暗号化して得られた暗号化画像が上述の暗号化データに対応することになる。

　それでは以下、より具体的な実施の形態について説明する。

　図１は、本技術を適用した画像処理システムを有する車両の一実施の形態の構成例を示す図である。

　図１に示す車両１１は自動車であり、この車両１１にはフロントセンシングやアラウンドビューセンシングなどへの対応により、複数の車載用のカメラが搭載されている。すなわち、例えば車両１１には、車両１１の運転に関する制御に用いられる撮影画像を得るための車載用のカメラ２１－１乃至カメラ２１－４が設けられている。

　ここで、カメラ２１－１は、車両１１の前方の領域Ｒ１１－１を被写体として撮影画像を得るためのカメラである。

　また、カメラ２１－２は、車両１１の左側方の領域Ｒ１１－２を被写体として撮影画像を得るためのカメラであり、カメラ２１－３は、車両１１の右側方の領域Ｒ１１－３を被写体として撮影画像を得るためのカメラである。

　さらに、カメラ２１－４は、車両１１の後方の領域Ｒ１１－４を被写体として撮影画像を得るためのカメラである。

　なお、以下、カメラ２１－１乃至カメラ２１－４を特に区別する必要のない場合、単にカメラ２１とも称することとする。

　これらのカメラ２１で得られた撮影画像は、例えば車両１１の中央に配置された車両制御部２２に供給され、車両１１の運転に関する制御に用いられる。

　車両制御部２２は、例えばADAS（Advanced Driving Assistant System）チップなどからなり、カメラ２１から供給された撮影画像に対して画像解析を行うとともに、その画像解析の結果に基づいて、ステアリングホイールやアクセル、ブレーキなどの車両１１の運転に関する制御を行う。

　車両１１では、カメラ２１と車両制御部２２とを有するシステムが画像処理システムとされており、より詳細には画像処理システムは、図２に示すように構成される。なお、図２において図１における場合と対応する部分には同一の符号を付してあり、その説明は適宜省略する。

　図２に示す画像処理システムは、レンズ５１、イメージセンサ５２、入出力部５３、入出力部５４、および車両制御部２２を有している。

　ここで、例えばレンズ５１およびイメージセンサ５２を有する撮像装置が図１に示した１つのカメラ２１に対応する。したがって、より詳細には、画像処理システムには、レンズ５１およびイメージセンサ５２を有するカメラ２１が４つ設けられているが、図２では説明を簡単にするため、１つのカメラ２１に対応するレンズ５１およびイメージセンサ５２のみが図示されている。

　レンズ５１は、１または複数の光学レンズからなり、被写体から入射した光を集光してイメージセンサ５２の撮像面へと導く。

　イメージセンサ５２は、例えばCMOS（Complementary Metal Oxide Semiconductor）イメージセンサなどからなり、入出力部５３および入出力部５４を介して車両制御部２２から供給された制御用の情報に応じて動作する。例えばイメージセンサ５２は、レンズ５１から入射した光を受光して光電変換することで撮影画像を撮影し、得られた撮影画像の画像データを入出力部５３に供給する。なお、撮影画像は静止画像であっても動画像であってもよいが、ここでは撮影画像は動画像であるとする。

　入出力部５３および入出力部５４は、例えばシリアライザやデシリアライザなどの車両１１内における長距離通信用の通信I/F（Interface）であり、イメージセンサ５２と車両制御部２２との間の通信を実現する。

　例えば入出力部５３は、イメージセンサ５２から供給された撮影画像の画像データや各種の情報をパラレルデータからシリアルデータに変換し、入出力部５４に供給する。入出力部５４は、入出力部５３から供給された画像データや各種の情報をシリアルデータからパラレルデータに変換して車両制御部２２に供給する。

　同様に、例えば入出力部５４は、車両制御部２２から供給された各種の情報をパラレルデータからシリアルデータに変換し、入出力部５３に供給する。入出力部５３は、入出力部５４から供給された各種の情報をシリアルデータからパラレルデータに変換してイメージセンサ５２に供給する。

　図２に示す画像処理システムでは、イメージセンサ５２が車両制御部２２による制御に従って撮影画像を撮影したり、撮影により得られた撮影画像を車両制御部２２に供給したりする。そして車両制御部２２は、イメージセンサ５２で得られた撮影画像に基づいて、車両１１の運転に関する制御を行う。

　このように画像処理システムでは、車両１１の運転に関する制御が行われるため、悪意の第三者による改竄や不正に起因する事故等を防止する必要がある。すなわち、安全性（セキュリティ性）を確保することが必要となる。

　具体的には、例えば図３に示すように本来、車両制御部２２に接続されるべきイメージセンサ５２を含むカメラ２１が取り外されて、他の不正なイメージセンサDC11を有するカメラにすげ替えられることを防止する必要がある。

　すなわち、イメージセンサ５２と車両制御部２２とが正しい組み合わせで接続されていることを確認し、不正なイメージセンサDC11への交換を防止する必要がある。

　これは、例えば正規のイメージセンサ５２が安価なコピー商品等、不正なイメージセンサなどにすげ替えられると、車両制御部２２に供給される撮影画像の安全性を担保することができなくなるからである。

　例えば正規のイメージセンサ５２が不正なイメージセンサDC11にすげ替えられると、車両制御部２２が制御用の情報を供給して撮影の設定等を行おうとしても、イメージセンサDC11が車両制御部２２の指示通りに動作しないこともあり、撮影画像の安全性を確保することができない。そうすると、運転に関する制御を正しく行うことができず、事故が発生してしまう可能性がある。

　そこで、画像処理システムでは、イメージセンサ５２と車両制御部２２のそれぞれに、予め共通の秘密鍵、つまり同じ秘密鍵が保持されるようにされており、車両制御部２２は秘密鍵を用いてイメージセンサ５２の認証を行う。すなわち、撮影画像の出力元（取得元）であるイメージセンサ５２と、撮影画像の出力先である車両制御部２２とにおいて、共通の秘密鍵を用いた認証処理が行われる。

　詳細については後述するが、認証時には秘密鍵で暗号化された認証用のメッセージの交換を双方で行うことで、車両制御部２２に正しいイメージセンサ５２が接続されているかの認証が行われる。車両制御部２２に不正なイメージセンサDC11が接続されている場合には、認証が正しく行われないので、正しいイメージセンサ５２が接続されていないことを認証処理により検出（検知）することができる。

　このような認証処理により、イメージセンサ５２と車両制御部２２とが正しい組み合わせで接続されていることを確認し、不正なイメージセンサDC11へのすげ替えを防止することができる。その結果、イメージセンサ５２の安全性を確保することができる。

　特に、画像処理システムでは、カメラ２１の起動時にイメージセンサ５２の認証が行われるようになされている。これにより、車両１１の運転開始時（発進時）から、カメラ２１のすげ替え等による事故発生を防止することができる。

　また、画像処理システムにおいては、安全性（セキュリティ性）を確保するために、車両制御部２２に供給される撮影画像自体が改竄されていない正しいものであるかの判定を行うことで、イメージセンサ５２と車両制御部２２との間でセキュア（安全）なチャネルが構築される。

　例えば図４に示すようにイメージセンサ５２と車両制御部２２との間に正規のものでない不正デバイスDV11が挿入されることも考えられる。

　図４に示す例では、撮影の設定等の制御用の情報の授受が行われる通信経路に関しては、車両制御部２２とイメージセンサ５２との間には不正なデバイスが挿入されておらず、車両制御部２２はイメージセンサ５２を意図した通りに制御することができる。

　しかし、撮影画像が供給される通信経路、つまりチャネル（以下、画像用チャネルとも称する）に関しては、イメージセンサ５２と車両制御部２２との間に、不正デバイスDV11が挿入されている。そのため、不正デバイスDV11がイメージセンサ５２から出力された撮影画像を改竄して車両制御部２２に供給することができる状態となっている。

　このように不正デバイスDV11が挿入されると、事故が発生するように、意図的に悪意の第三者によって撮影画像の改竄が行われてしまう可能性がある。

　そこで、画像処理システムでは、イメージセンサ５２と車両制御部２２に保持されている上述の秘密鍵を利用して撮影画像の各フレームのデータの保障が行われる。すなわち、安全性の確保のために撮影画像の改竄の検知が行われる。

　具体的には、イメージセンサ５２は、撮影画像のフレームごとに、撮影画像上における車両制御部２２により指定された領域である暗号化領域の部分の画像を保持している秘密鍵で暗号化し、その結果得られた暗号化画像を車両制御部２２に対して出力する。

　車両制御部２２では、イメージセンサ５２から供給された撮影画像の暗号化領域の部分の画像を保持している秘密鍵で暗号化して得られた暗号化画像と、イメージセンサ５２から供給された暗号化画像とを比較することで、撮影画像が改竄されていないかを検知することができる。このような処理によって、各フレームについて撮影画像の安全性を確保することができる。

　画像処理システムでは、フレームごとに撮影画像の改竄を検知する処理を行う必要があるが、撮影画像の一部分の領域のみ、つまり暗号化領域のみを対象として暗号化を行うため、イメージセンサ５２や車両制御部２２における処理負荷を低減させることができる。

　また、改竄を検知する処理の対象となる暗号化領域が狭い（小さい）と撮影画像の安全性が低下することになるが、画像処理システムでは、フレームごとなど時間とともに暗号化領域を変化させることで、撮影画像の十分な安全性の確保が図られている。

　暗号化領域は車両制御部２２により指定されるが、例えば車両制御部２２は、フレームごとにランダムに撮影画像上における暗号化領域とする領域の位置や大きさ、暗号化領域の数を変化させることが可能である。

　フレームごとにランダムに暗号化領域を変化させれば、撮影画像の改竄を試みようとしている第三者には、各フレームにおける暗号化領域を特定することが困難である。また、仮にあるフレームにおける暗号化領域が悪意の第三者に特定されたとしても、次のフレームでは暗号化領域の位置や大きさが変化しているため、車両制御部２２において検知できないように撮影画像を改竄することは困難である。

　このように画像処理システムでは、時間とともに暗号化領域を変化させることで、撮影画像の安全性を確保しつつイメージセンサ５２や車両制御部２２における処理負荷を低減させることができる。すなわち、画像処理システムによれば低コストでも頑健な、つまりセキュアな画像用チャネルを構築することができ、十分な安全性を確保することができる。

　しかも、画像処理システムでは、秘密鍵を保持し、撮影画像の一部の領域を暗号化するだけでよいため、イメージセンサ５２側にも車両制御部２２側にも、新たなブロックを設けたり、負荷の大きい処理を追加したりするなど、大きな追加コストが必要となることはない。また、イメージセンサ５２と車両制御部２２との間で授受される制御用の情報を暗号化しなくても秘密鍵が保障されればよいため、低コストで十分な安全性を確保することができる。

〈イメージセンサの構成例〉
　続いて、図２に示したイメージセンサ５２と車両制御部２２のより詳細な構成例について説明する。

　図５は、イメージセンサ５２のより詳細な構成例を示す図である。

　図５に示すイメージセンサ５２は、制御部８１、画素アレイ部８２、信号処理部８３、暗号化処理部８４、および画像出力部８５を有している。

　制御部８１は、入出力部５３および入出力部５４を介して車両制御部２２と通信し、イメージセンサ５２の全体の動作を制御する。例えば制御部８１は、車両制御部２２と通信し、車両制御部２２から暗号化領域を示す暗号化領域指定情報を取得（受信）する。

　また、制御部８１は保持部１０１および復号部１０２を有している。

　保持部１０１は、予め供給された秘密鍵を保持している。なお、以下、保持部１０１に保持されている秘密鍵を秘密鍵KYCとも称することとする。

　復号部１０２は、保持部１０１に保持されている秘密鍵KYCを用いて、制御部８１により車両制御部２２から受信された、暗号化された暗号化領域指定情報等の所定の情報を復号する。

　画素アレイ部８２は、行方向および列方向に複数の画素が配列された画素アレイからなり、制御部８１の制御に従って各画素が被写体から入射した光を受光して光電変換することで撮影画像の画像データを生成する。すなわち、撮影画像が撮影される。画素アレイ部８２は、撮影により得られた撮影画像を信号処理部８３に供給する。

　信号処理部８３は、制御部８１の制御に従って、画素アレイ部８２から供給された撮影画像に対してゲイン調整やホワイトバランス調整等の所定の処理を施して暗号化処理部８４および画像出力部８５に供給する。

　暗号化処理部８４は、制御部８１の制御に従って、制御部８１から供給された秘密鍵KYCを用いて、信号処理部８３から供給された撮影画像における暗号化領域の部分の画像を暗号化し、その結果得られた暗号化画像を画像出力部８５に供給する。

　画像出力部８５は、暗号化処理部８４から供給された暗号化画像を、信号処理部８３から供給された撮影画像の１フレーム分のデータの最後の部分に埋め込んで、暗号化画像が埋め込まれた撮影画像を入出力部５３および入出力部５４を介して車両制御部２２に送信する。

〈車両制御部の構成例〉
　また、車両制御部２２は、例えば図６に示すように構成される。

　図６に示す車両制御部２２は、画像入力部１４１、メモリ１４２、記録部１４３、制御部１４４、通信部１４５、およびバス１４６を有している。車両制御部２２では、画像入力部１４１乃至通信部１４５がバス１４６を介して相互に接続されている。

　画像入力部１４１は、イメージセンサ５２の画像出力部８５から送信された、暗号化画像が埋め込まれた撮影画像を、入出力部５４および入出力部５３を介して受信し、メモリ１４２等に出力する。すなわち、画像入力部１４１は、イメージセンサ５２から暗号化画像および撮影画像を取得する取得部として機能する。

　メモリ１４２は、揮発性のメモリからなり、画像入力部１４１や制御部１４４などから供給された各種の画像や情報を一時的に記録する。記録部１４３は、不揮発性の記録部からなり、制御部１４４等から供給された各種の画像や情報、プログラムなどを記録するとともに、必要に応じて記録している画像や情報を制御部１４４等に供給する。

　制御部１４４は、車両制御部２２全体の動作を制御する。制御部１４４は、保持部１６１、認証処理部１６２、設定部１６３、暗号化処理部１６４、および画像処理部１６５を有している。

　保持部１６１は、イメージセンサ５２の保持部１０１に保持されている秘密鍵KYCと同じ秘密鍵を予め保持している。なお、以下、保持部１６１に保持されている秘密鍵を秘密鍵KYAとも称することとする。

　認証処理部１６２は、保持部１６１に保持されている秘密鍵KYAを用いてイメージセンサ５２を認証する認証処理を行う。設定部１６３は、撮影画像の撮影時の設定等のイメージセンサ５２における動作に関する設定を行う。

　暗号化処理部１６４は、保持部１６１に保持されている秘密鍵KYAを用いて各種の情報や画像を暗号化する。例えば暗号化処理部１６４は、画像入力部１４１により受信された撮影画像における暗号化領域の部分の画像を暗号化し、暗号化画像を生成する。

　画像処理部１６５は、画像入力部１４１により受信された撮影画像に基づいて、車両１１の運転の制御に関する処理を行う。例えば画像処理部１６５は、撮影画像から障害物等を検出し、その検出結果に応じて車両１１の走行を停止させるための制御信号を生成してブレーキ装置等に出力する。

　通信部１４５は、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１と通信を行い、各種の情報を授受する。

〈応答処理および接続センサ認証処理の説明〉
　次に、画像処理システムの具体的な動作について説明する。

　まず、カメラ２１の起動が指示されたときに行われる処理について説明する。

　カメラ２１の起動が指示されると、撮影画像の出力先である車両制御部２２の認証処理部１６２と、撮影画像の出力元（取得元）であるイメージセンサ５２の制御部８１とは、共通の秘密鍵を用いた認証処理を開始する。すなわち、車両制御部２２により接続センサ認証処理が行われ、イメージセンサ５２により応答処理が行われて、イメージセンサ５２の認証が行われる。

　以下、図７のフローチャートを参照して、イメージセンサ５２による応答処理と、車両制御部２２による接続センサ認証処理について説明する。

　ステップＳ１１において、イメージセンサ５２は電源がオンされ、イメージセンサ５２の各部に電力が供給される。

　そして、車両制御部２２では、ステップＳ４１において制御部１４４は、通信部１４５を制御して、イメージセンサ５２と通信を行う。

　すなわち、例えば制御部１４４は、カメラ２１、つまりイメージセンサ５２が接続されているかを確認するための応答要求を生成して通信部１４５に供給し、通信部１４５は、制御部１４４から供給された応答要求をイメージセンサ５２へと送信する。

　通信部１４５から送信（出力）された応答要求は、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１へと供給される。

　すると、イメージセンサ５２では、ステップＳ１２において、制御部８１は、入出力部５３および入出力部５４を介して通信部１４５から送信されてきた応答要求を受信し、その応答要求に応じた応答を行う。

　すなわち、制御部８１は、例えば応答要求を受信した旨の応答情報を生成し、その応答情報を入出力部５３および入出力部５４を介して車両制御部２２の通信部１４５に送信する。通信部１４５は、制御部８１から送信された応答情報を受信すると、その応答情報をバス１４６を介して制御部１４４に供給する。これにより制御部１４４は、車両制御部２２にイメージセンサ５２が接続されており、そのイメージセンサ５２と正しく通信可能であることを知ることができる。

　また、車両制御部２２では、ステップＳ４２において、制御部１４４の認証処理部１６２は、イメージセンサ５２の認証用のメッセージを生成する。例えば、認証用のメッセージは認証処理部１６２により生成された乱数などとされる。

　ステップＳ４３において、暗号化処理部１６４は、保持部１６１に保持されている秘密鍵KYAを用いて、ステップＳ４２の処理で生成された認証用のメッセージを暗号化し、その結果得られた暗号化メッセージを、バス１４６を介して通信部１４５に供給する。

　ステップＳ４４において、通信部１４５は、暗号化処理部１６４から供給された暗号化メッセージをイメージセンサ５２に送信する。通信部１４５により送信された暗号化メッセージは、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１に供給される。

　すると、イメージセンサ５２では、ステップＳ１３において制御部８１は、通信部１４５により送信された暗号化メッセージを受信する。

　そして、ステップＳ１４において、復号部１０２は、保持部１０１に保持されている秘密鍵KYCを用いて、ステップＳ１３で受信された暗号化メッセージを復号する。

　ステップＳ１５において、制御部８１は、ステップＳ１４において暗号化メッセージを復号することで得られた復号メッセージを、入出力部５３および入出力部５４を介して車両制御部２２の通信部１４５へと送信し、応答処理は終了する。

　秘密鍵KYCと秘密鍵KYAが同じものであれば、暗号化メッセージを復号して得られる復号メッセージは、ステップＳ４２で生成された認証用のメッセージと同じものとなるはずである。車両制御部２２では、認証用のメッセージと復号メッセージとを比較することで、イメージセンサ５２が予め定められた秘密鍵KYCを保持している正規のイメージセンサであることを確認することができる。つまり、イメージセンサ５２が正しいものであるかの認証を行うことができる。

　ステップＳ１５において復号メッセージが送信されると、車両制御部２２では、ステップＳ４５において通信部１４５はイメージセンサ５２の制御部８１により送信された復号メッセージを受信し、受信した復号メッセージを、バス１４６を介して制御部１４４に供給する。

　ステップＳ４６において、認証処理部１６２は、ステップＳ４２で生成された認証用のメッセージと、ステップＳ４５で受信された復号メッセージとを比較する。

　以上のステップＳ４２乃至ステップＳ４６の処理と、ステップＳ１３乃至ステップＳ１５の処理とによって、例えばAES（Advanced Encryption Standard）方式のCBC（Cipher Block Chaining）モードや、DES（Data Encryption Standard）方式など、双方で保持している秘密鍵を用いて認証を行う秘密鍵暗号方式（共通鍵暗号方式）での認証処理が行われたことになる。なお、認証処理における暗号方式は、秘密鍵暗号方式であれば、AES方式やDES方式に限らず、他のどのようなものであってもよい。

　ステップＳ４７において、認証処理部１６２は、ステップＳ４６の比較の結果に基づいて、車両制御部２２に接続されているイメージセンサ５２が正しいものであると認証されたか否かを判定する。

　例えば復号メッセージがステップＳ４２で生成した認証用のメッセージと一致する場合、イメージセンサ５２が正しいものであると認証されたと判定される。

　ステップＳ４７において認証されたと判定された場合、接続センサ認証処理は終了し、その後、イメージセンサ５２から出力される撮影画像に基づいて、車両１１の運転に関する制御が行われる。すなわち、後述する画像取得処理が行われる。

　これに対して、ステップＳ４７においてイメージセンサ５２が正しいものと認証されなかったと判定された場合、制御部１４４は、イメージセンサ５２の再起動を行い、接続センサ認証処理は終了する。

　すなわち、制御部１４４は、イメージセンサ５２、つまりカメラ２１の再起動を指示する制御情報を生成し、通信部１４５によりイメージセンサ５２に制御情報を送信する。イメージセンサ５２の制御部８１は、通信部１４５から送信された再起動を指示する制御情報を、入出力部５３および入出力部５４を介して受信し、受信した制御情報に応じて再起動を行う。

　応答処理においてステップＳ１５の後、車両制御部２２から再起動を指示する制御情報を受信した場合、イメージセンサ５２は制御情報に応じて再起動を行い、新たに応答処理を行う。また、車両制御部２２もイメージセンサ５２の再起動に応じて、新たに接続センサ認証処理を行う。

　このとき、予め定めた所定回数だけ再起動を行ってもイメージセンサ５２が正しいものであるとの認証結果が得られないときには、制御部１４４が、不正なイメージセンサが接続されている旨の通知等を外部に出力し、その後の処理が行われないようにしてもよい。

　以上のようにしてイメージセンサ５２と車両制御部２２は、互いに共通する秘密鍵KYCと秘密鍵KYAを用いて認証用のメッセージを授受することで認証を行う。このようにすることで、不正なイメージセンサへのすげ替えを防止し、安全性を確保することができる。特に、カメラ２１（イメージセンサ５２）の起動時に認証処理を行うことで、車両１１の発進時から事故の発生を防止することができる。

〈画像出力処理の説明〉
　以上において説明した接続センサ認証処理と応答処理が行われ、イメージセンサ５２が認証されると、その後、イメージセンサ５２が撮影を行って撮影画像を出力する画像出力処理と、車両制御部２２がイメージセンサ５２から出力された撮影画像を取得して運転に関する制御を行う画像取得処理が行われる。

　まず、図８のフローチャートを参照して、イメージセンサ５２により行われる画像出力処理について説明する。

　ステップＳ８１において、制御部８１は、入出力部５３および入出力部５４を介して車両制御部２２から送信されてきた初期設定情報を受信する。

　ここで、初期設定情報は、撮影画像を撮影するときの初期設定を示す情報である。具体的には、例えば初期設定情報は、撮影開始時における撮影画像のフレームレートや撮影画像のサイズなどの撮影画像に関する情報などとされる。

　ステップＳ８２において制御部８１は、ステップＳ８１で受信した初期設定情報に基づいて撮影画像の撮影時の初期設定を行う。すなわち、制御部８１は、初期設定情報に基づいて撮影画像のサイズやフレームレート等を決定する。

　ステップＳ８３において制御部８１はイメージセンサ５２の各部を起動させる。そして、ステップＳ８４において画素アレイ部８２は撮影画像を撮影する。

　すなわち、制御部８１は初期設定に従って画素アレイ部８２の動作を制御し、画素アレイ部８２は制御部８１の制御に従って撮影を行い、その結果得られた撮影画像、つまり撮影画像の画像データを信号処理部８３に供給する。

　撮影時には、画素アレイ部８２はレンズ５１を介して被写体から入射した光を受光して光電変換することで撮影画像を得る。また、信号処理部８３は、制御部８１の制御に従って画素アレイ部８２から供給された撮影画像に対してゲイン調整やホワイトバランス調整等の処理を施して、暗号化処理部８４および画像出力部８５に供給する。

　ステップＳ８５において、制御部８１は撮影画像の暗号化領域を変更（更新）するか否かを判定する。例えば車両制御部２２が暗号化領域を変更する場合、車両制御部２２の通信部１４５から制御部８１には、変更後の暗号化領域を示す暗号化領域指定情報が適切なタイミングで送信されてくる。そこで、通信部１４５から暗号化領域指定情報が送信されてきた場合、制御部８１はステップＳ８５において暗号化領域を変更すると判定する。

　ステップＳ８５において暗号化領域を変更しないと判定された場合、ステップＳ８６乃至ステップＳ８８の処理は行われず、その後、処理はステップＳ８９へと進む。

　これに対して、ステップＳ８５において暗号化領域を変更すると判定された場合、ステップＳ８６において制御部８１は、入出力部５３および入出力部５４を介して通信部１４５から送信されてきた暗号化領域指定情報を受信する。すなわち、制御部８１は、車両制御部２２から暗号化領域指定情報を取得する。ここで、車両制御部２２から送信されてくる暗号化領域指定情報は、秘密鍵KYAによって暗号化されたものとなっている。

　ステップＳ８７において、復号部１０２は保持部１０１に保持されている秘密鍵KYCを用いて、ステップＳ８６で受信された暗号化領域指定情報を復号する。

　また、制御部８１は復号後の暗号化領域指定情報を暗号化処理部８４に供給し、暗号化領域の変更を指示する。さらに、制御部８１は、暗号化領域指定情報とともに、保持部１０１に保持されている秘密鍵KYCも暗号化処理部８４に供給する。

　ステップＳ８８において、暗号化処理部８４は、制御部８１から供給された暗号化領域指定情報に基づいて暗号化領域を変更（更新）し、処理はステップＳ８９へと進む。すなわち、暗号化処理部８４は、撮影画像上の暗号化対象とする暗号化領域を、新たに供給された暗号化領域指定情報により示される領域に変更する。なお、暗号化領域指定情報により示される暗号化領域は１つであってもよいし複数であってもよい。

　ステップＳ８８の処理が行われたか、またはステップＳ８５において暗号化領域を変更しないと判定されると、ステップＳ８９の処理が行われる。

　すなわち、ステップＳ８９において暗号化処理部８４は、制御部８１から供給された秘密鍵KYCを用いて、信号処理部８３から供給された撮影画像における暗号化領域の部分の画像を暗号化し、その結果得られた暗号化画像を画像出力部８５に供給する。

　これにより、イメージセンサ５２から車両制御部２２へと出力される出力データである撮影画像の画像データ、すなわち安全性確保の対象（改竄検出の対象）とされる撮影画像の画像データにおける、暗号化領域指定情報により示される暗号化領域の部分が暗号化されて暗号化画像が生成されたことになる。

　ステップＳ９０において、画像出力部８５は、信号処理部８３から供給された撮影画像に暗号化処理部８４から供給された暗号化画像を埋め込む。

　例えば画像出力部８５から、フレームごとに図９に示す形式で撮影画像が出力されるとする。図９に示す例では、FS（Frame Start）からFE（Frame End）までのデータが動画像である撮影画像の１フレーム分のデータとされ、そのデータがパケットに格納されて出力される。

　すなわち、この例ではPH（Packet Header）からPF（Packet Footer）の間に撮影画像の１フレーム分の画像データが格納される領域R51と、Embedded Dataの領域R52とが設けられている。

　ここで、領域R51は撮影により得られた撮影画像の１フレーム分の画像データが格納される領域であり、その領域R51の後に続く領域R52は、暗号化画像の画像データが格納される領域である。つまり領域R52は暗号化画像が埋め込まれる領域である。特に、この例では、撮影画像の画像データとは異なる任意のデータを格納可能な自由領域である領域R52が、暗号化画像が埋め込まれる領域として利用されている。

　したがって、この例では撮影画像の１フレーム分の画像データが、パケットヘッダとパケットフッタが付加されたいくつかのパケットに格納されて出力される。同様に、暗号化画像もパケットヘッダとパケットフッタが付加されたパケットに格納されて出力される。

　例えば撮影画像上における領域R53がこのフレームの暗号化領域とされている場合、暗号化処理部８４は、撮影画像における領域R53の部分の画像を秘密鍵KYCで暗号化して暗号化画像を生成する。そして、画像出力部８５は、暗号化により得られた暗号化画像を撮影画像の領域R52の部分に埋め込む。つまり、撮影画像の１フレーム分の画像データの後ろに暗号化画像の画像データが付加される。

　このように撮影画像の１フレーム分の画像データの最後の部分、つまりEmbedded Dataの部分に暗号化画像を埋め込むことで、車両制御部２２では撮影画像の１フレーム分の画像データとともに、そのフレームについての暗号化画像を取得することができる。したがって、車両制御部２２において、即時に撮影画像の改竄の有無の検出を行うことができる。

　なお、ここでは撮影画像上の１つの領域R53が暗号化領域とされる例について説明した。しかし、１フレーム分の撮影画像上に複数の暗号化領域があるときには、それらの各暗号化領域の画像が暗号化され、複数の暗号化領域のそれぞれに対応する複数の暗号化画像のそれぞれが生成される。

　図８のフローチャートの説明に戻り、ステップＳ９１において、画像出力部８５は、暗号化画像が埋め込まれた撮影画像を出力する。すなわち、ステップＳ９１では撮影画像と暗号化画像が出力される。

　換言すれば、画像出力部８５は、暗号化画像が埋め込まれた撮影画像を、入出力部５３および入出力部５４を介して車両制御部２２の画像入力部１４１に送信する。

　以上のステップＳ８４乃至ステップＳ９１の処理は、撮影画像のフレームごとに行われる。

　ステップＳ９２において制御部８１は、撮影画像を撮影して出力する処理を終了するか否かを判定する。例えば車両制御部２２等により撮影画像の撮影終了が指示された場合、処理を終了すると判定される。

　ステップＳ９２において、まだ処理を終了しないと判定された場合、処理はステップＳ８４に戻り、上述した処理が繰り返し行われる。

　これに対して、ステップＳ９２において処理を終了すると判定された場合、画像出力処理は終了する。

　以上のようにしてイメージセンサ５２は、撮影画像を撮影するとともに、撮影画像における暗号化領域の画像を暗号化して暗号化画像を生成し、撮影画像と暗号化画像を出力する。このように暗号化領域という撮影画像の一部分の領域を暗号化して暗号化画像とすることで、安全性を確保しつつイメージセンサ５２および車両制御部２２における処理負荷を低減させることができる。

　特に、イメージセンサ５２では、フレームごとに、時間とともに変化する暗号化領域指定情報により指定された暗号化領域の画像を暗号化するようにしたので、撮影画像の一部のみを暗号化する場合でも十分な安全性を確保することができる。

〈画像取得処理の説明〉
　続いて、イメージセンサ５２により図８を参照して説明した画像出力処理が行われるときに車両制御部２２により行われる画像取得処理について説明する。すなわち、以下、図１０のフローチャートを参照して、車両制御部２２による画像取得処理について説明する。

　ステップＳ１３１において、設定部１６３は初期設定情報を生成し、生成した初期設定情報をバス１４６を介して通信部１４５に供給する。なお、この初期設定情報は暗号化されるようにしてもよいが、特に暗号化されなくてもよい。

　ステップＳ１３２において、通信部１４５は設定部１６３から供給された初期設定情報を、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１に送信する。このようにして送信された初期設定情報は、図８を参照して説明した画像出力処理のステップＳ８１において制御部８１により受信される。

　また、撮影の初期設定に限らず、撮影中に撮影画像の撮影に関する設定、例えばホワイトバランスや明るさなどの設定を変更する場合においても、ステップＳ１３１およびステップＳ１３２と同様の処理を行うことで、撮影の設定を変更することが可能である。

　この場合、設定部１６３により変更後の撮影に関する設定を示す設定情報が生成され、その設定情報が通信部１４５により送信される。そして、イメージセンサ５２では、制御部８１が設定情報を受信するとともに、受信した設定情報に応じて画素アレイ部８２や信号処理部８３を制御し、設定に応じた動作を行わせる。

　ステップＳ１３３において、制御部１４４は暗号化領域を変更するか否かを判定する。

　例えば暗号化領域が撮影画像のフレームごとに変更（更新）される場合、１フレーム分の処理が終了したタイミングで暗号化領域を変更すると判定される。

　なお、暗号化領域は、撮影画像のフレームごとに変更される他、複数フレームごとに変更されるようにしてもよい。また、暗号化領域は一定期間ごとに変更されるようにしてもよいし、不定周期で、つまりランダムなタイミングで変更されるようにしてもよい。

　ステップＳ１３３において暗号化領域を変更しないと判定された場合、ステップＳ１３４乃至ステップＳ１３６の処理は行われず、その後、処理はステップＳ１３７へと進む。

　これに対して、ステップＳ１３３において暗号化領域を変更すると判定された場合、ステップＳ１３４において、制御部１４４は、変更後の新たな暗号化領域を示す暗号化領域指定情報を生成する。

　例えば制御部１４４は、フレームごとに暗号化領域の位置や大きさ、暗号化領域の数がランダムで変化するように、各フレーム（時刻）における暗号化領域を決定し、その決定された暗号化領域を示す暗号化領域指定情報を生成する。

　このようにしてフレームごとに、つまり時間とともに暗号化領域を変化させることで、暗号化領域を撮影画像の１フレームの全領域よりも少なくして処理負荷を低減させるとともに、暗号化領域を特定されにくくして十分な安全性を確保することができる。

　特に、車両制御部２２、すなわち制御部１４４の処理能力に応じて暗号化領域の大きさや数を定めるようにすれば、制御部１４４がリアルタイムで処理可能な範囲で最大限の安全性を確保することができるようになる。

　また、例えば安全上、重要な被写体が撮影画像上にある場合には、その被写体を含む領域が暗号化領域とされるようにしてもよい。

　具体的には、制御部１４４の画像処理部１６５が撮影画像から車両１１の前方を走行する他の車両を検出し、その検出結果に基づいて他の車両に追突しないように車両１１の走行速度等を制御するとする。

　この場合、撮影画像における他の車両を含む領域、より詳細には他の車両が含まれるであろう領域を暗号化領域とすれば、撮影画像の少なくとも他の車両を被写体として含む領域の改竄は必ず検知することができる。したがって、車両制御部２２により他の車両に追突しないように正しく走行速度等の制御を行うことができ、少ない処理負荷でも十分な安全性を確保することができる。

　例えば１フレーム分の撮影画像の安全性を完全に保障するのであれば、撮影画像全体を暗号化領域とする必要がある。しかし、上述した例のように他の車両が被写体として写っている領域等、必要な被写体の領域等を暗号化領域とすれば、暗号化領域が撮影画像の数ライン分の領域であったとしても、少なくとも撮影画像上の必要な領域の安全性は完全に確保することができる。

　ステップＳ１３５において、暗号化処理部１６４は、保持部１６１に保持されている秘密鍵KYAにより、ステップＳ１３４で生成された暗号化領域指定情報を暗号化し、暗号化された暗号化領域指定情報をバス１４６を介して通信部１４５に供給する。

　このようにして暗号化領域指定情報を暗号化することで、暗号化領域の漏洩を防止することができ、安全性を向上させることができる。すなわち、セキュアレベルを維持することができる。

　なお、ここでは撮影画像の暗号化領域の画像の暗号化に用いられるパラメータとして、暗号化領域を指定する暗号化領域指定情報が秘密鍵KYAにより暗号化される例について説明した。しかし、その他、暗号化領域指定情報以外にも撮影画像の暗号化領域の画像の暗号化を行うために車両制御部２２からイメージセンサ５２に対して送信するパラメータがあるときには、そのパラメータも秘密鍵KYAにより暗号化される。

　ステップＳ１３６において、通信部１４５は、制御部１４４の暗号化処理部１６４から供給された、暗号化された暗号化領域指定情報を、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１に送信する。

　これにより、図８を参照して説明した画像出力処理のステップＳ８６において、ステップＳ１３６の処理で送信された暗号化領域指定情報が受信される。

　ステップＳ１３６の処理が行われたか、またはステップＳ１３３において暗号化領域を変更しないと判定された場合、ステップＳ１３７の処理が行われる。

　すなわち、ステップＳ１３７において、画像入力部１４１は、イメージセンサ５２の画像出力部８５により出力された、暗号化画像が埋め込まれた撮影画像を、入出力部５４および入出力部５３を介して取得する。換言すれば、画像入力部１４１は、画像出力部８５により送信された撮影画像を受信する。これにより、イメージセンサ５２から取得する取得データとしての撮影画像と、その撮影画像に埋め込まれた暗号化画像とが取得されたことになる。

　ここでは、図８を参照して説明した画像出力処理におけるステップＳ９１において出力された撮影画像がステップＳ１３７で取得される。

　画像入力部１４１は、受信した撮影画像を適宜、メモリ１４２に供給して保持させたり、制御部１４４に供給したりする。ここでは、説明を簡単にするため、受信された撮影画像が画像入力部１４１からバス１４６を介して制御部１４４に供給されるものとする。

　ステップＳ１３８において、暗号化処理部１６４は、画像入力部１４１から供給された撮影画像における、ステップＳ１３４で生成された暗号化領域指定情報により示される暗号化領域の画像を、保持部１６１に保持されている秘密鍵KYAを用いて暗号化する。これにより、秘密鍵KYAを用いて暗号化された暗号化画像が得られる。

　ステップＳ１３９において、制御部１４４は、ステップＳ１３７で取得された撮影画像に埋め込まれている暗号化画像と、ステップＳ１３８の処理で生成された暗号化画像とを比較する。これらの暗号化画像は、撮影画像上の同じ領域の画像を同じ秘密鍵で暗号化して得られた画像である。したがって、撮影画像が画像出力部８５から出力されてから画像入力部１４１で受信されるまでの間に改竄されていなければ、それらの２つの暗号化画像は一致するはずである。

　ステップＳ１４０において、制御部１４４は、ステップＳ１３９の比較の結果に基づいて、撮影画像の改竄が検出されたか否かを判定する。

　例えばステップＳ１３９の処理において、２つの暗号化画像が一致しない、つまり撮影画像に埋め込まれた暗号化画像と、ステップＳ１３８で生成した暗号化画像とが同じものでない場合、撮影画像の改竄が検出されたと判定される。

　ステップＳ１４０において改竄が検出されたと判定された場合、ステップＳ１４１の処理は行われずに、その後、処理はステップＳ１４２へと進む。この場合、例えば制御部１４４は、撮影画像の改竄が検出（検知）された旨の通知等を外部に出力し、車両１１の自動運転を停止させるなどの処理を適宜行う。

　これに対して、ステップＳ１４０において改竄が検出されなかったと判定された場合、ステップＳ１４１において、画像処理部１６５は画像入力部１４１から供給された撮影画像に基づいて所定の画像処理を行う。

　例えば画像処理部１６５は、画像処理として、撮影画像に対して画像解析等を行うことで撮影画像から前方の車両や歩行者等を検出し、その検出結果に応じて車両１１の運転を制御するための運転制御情報を生成してエンジンやブレーキ装置等に出力する。

　以上のステップＳ１３３乃至ステップＳ１４１の処理は、撮影画像のフレームごとに行われる。撮影画像のフレームごとにステップＳ１３３乃至ステップＳ１４１の処理を行うことで、撮影画像の全フレームについて安全性を確保することができる。ステップＳ１４１の処理が行われると、その後、処理はステップＳ１４２へと進む。

　ステップＳ１４１の処理が行われたか、またはステップＳ１４０において改竄が検出されたと判定された場合、ステップＳ１４２において、制御部１４４は、撮影画像を取得して運転に関する制御を行う処理を終了するか否かを判定する。

　例えばステップＳ１４０において改竄が検出されたと判定された場合や、車両１１が停車するなどして撮影画像の撮影を終了するときなど、外部から処理の終了が指示された場合に処理を終了すると判定される。

　ステップＳ１４２において、まだ処理を終了しないと判定された場合、処理はステップＳ１３３に戻り、上述した処理が繰り返し行われる。

　これに対して、ステップＳ１４２において処理を終了すると判定された場合、画像取得処理は終了する。この場合、例えば制御部１４４は、イメージセンサ５２に対して、通信部１４５を介して処理の終了を通知する。

　以上のようにして、車両制御部２２は、イメージセンサ５２から撮影画像を取得するとともに、取得した撮影画像から生成された暗号化画像と、撮影画像に埋め込まれている暗号化画像とを比較して撮影画像の改竄を検出する。

　これにより、撮影画像の改竄を防止し、安全性を確保することができる。このとき、撮影画像の一部の領域を暗号化領域として暗号化画像を生成することで、安全性を確保しつつイメージセンサ５２および車両制御部２２における処理負荷を低減させることができる。

　特に、時間とともに暗号化領域の位置や大きさ等を変化させることで、十分な安全性を確保しつつイメージセンサ５２や車両制御部２２での処理負荷を低減させることができる。もともと車両制御部２２ではステップＳ１４１等の処理負荷の高い画像処理が行われ、イメージセンサ５２でも低消費電力が求められるため、イメージセンサ５２や車両制御部２２での撮影画像の安全性確保のための処理の負荷を低減さることには大きな意義がある。

　なお、以上において説明した例では、秘密鍵KYCと秘密鍵KYAがセキュアな状態で保持部１０１および保持部１６１に予め書き込まれていることが前提となっているが、これらの秘密鍵をセキュアな状態で保持しておくことができないこともある。

　しかし、そのような場合には、多少セキュアレベルは低下するものの動的に秘密鍵を更新することで、十分な安全性を確保することが可能である。

　具体的には、例えば適切なタイミングで車両制御部２２の通信部１４５が、入出力部５４および入出力部５３を介してイメージセンサ５２の制御部８１に秘密鍵KYCを送信すればよい。制御部８１は、通信部１４５から受信した秘密鍵KYCを保持部１０１に供給して保持させておけば、秘密鍵KYCを用いて上述した処理を行うことが可能である。

　このように適宜、車両制御部２２からイメージセンサ５２に秘密鍵KYCが送信されるときには、例えば撮影画像のフレームごとに秘密鍵KYCが更新され、車両制御部２２からイメージセンサ５２へと各フレームで秘密鍵KYCが送信されるようにすれば、安全性をさらに向上させることができる。

〈コンピュータの構成例〉
　ところで、上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウェアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどが含まれる。

　図１１は、上述した一連の処理をプログラムにより実行するコンピュータのハードウェアの構成例を示すブロック図である。

　コンピュータにおいて、CPU（Central Processing Unit）５０１，ROM（Read Only Memory）５０２，RAM（Random Access Memory）５０３は、バス５０４により相互に接続されている。

　バス５０４には、さらに、入出力インターフェース５０５が接続されている。入出力インターフェース５０５には、入力部５０６、出力部５０７、記録部５０８、通信部５０９、及びドライブ５１０が接続されている。

　入力部５０６は、キーボード、マウス、マイクロフォン、撮像素子などよりなる。出力部５０７は、ディスプレイ、スピーカなどよりなる。記録部５０８は、ハードディスクや不揮発性のメモリなどよりなる。通信部５０９は、ネットワークインターフェースなどよりなる。ドライブ５１０は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブル記録媒体５１１を駆動する。

　以上のように構成されるコンピュータでは、CPU５０１が、例えば、記録部５０８に記録されているプログラムを、入出力インターフェース５０５及びバス５０４を介して、RAM５０３にロードして実行することにより、上述した一連の処理が行われる。

　コンピュータ（CPU５０１）が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブル記録媒体５１１に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線または無線の伝送媒体を介して提供することができる。

　コンピュータでは、プログラムは、リムーバブル記録媒体５１１をドライブ５１０に装着することにより、入出力インターフェース５０５を介して、記録部５０８にインストールすることができる。また、プログラムは、有線または無線の伝送媒体を介して、通信部５０９で受信し、記録部５０８にインストールすることができる。その他、プログラムは、ROM５０２や記録部５０８に、あらかじめインストールしておくことができる。

　なお、コンピュータが実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。

　また、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。

　例えば、本技術は、１つの機能をネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。

　また、上述のフローチャートで説明した各ステップは、１つの装置で実行する他、複数の装置で分担して実行することができる。

　さらに、１つのステップに複数の処理が含まれる場合には、その１つのステップに含まれる複数の処理は、１つの装置で実行する他、複数の装置で分担して実行することができる。

　さらに、本技術は、以下の構成とすることも可能である。

（１）
　出力データの暗号化対象とする指定部分を示す指定情報を取得する制御部と、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する暗号化処理部と
　を備え、
　前記指定情報により示される前記指定部分は時間とともに変化する
　信号処理装置。
（２）
　前記暗号化により得られた暗号化データ、および前記出力データを出力する出力部をさらに備える
　（１）に記載の信号処理装置。
（３）
　前記制御部は、前記暗号化データおよび前記出力データの出力先と、前記鍵を用いた認証処理を行う
　（２）に記載の信号処理装置。
（４）
　前記制御部は、前記信号処理装置の起動時に前記認証処理を行う
　（３）に記載の信号処理装置。
（５）
　前記制御部は、暗号化された前記指定情報を取得し、前記暗号化された前記指定情報を前記鍵を用いて復号する
　（１）乃至（４）の何れか一項に記載の信号処理装置。
（６）
　前記暗号化処理部は、前記出力データにおける前記指定情報により示される複数の前記指定部分を暗号化する
　（１）乃至（５）の何れか一項に記載の信号処理装置。
（７）
　前記出力データは画像データである
　（１）乃至（６）の何れか一項に記載の信号処理装置。
（８）
　出力データの暗号化対象とする指定部分を示す指定情報を取得し、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する
　ステップを含み、
　前記指定情報により示される前記指定部分は時間とともに変化する
　信号処理方法。
（９）
　出力データの暗号化対象とする指定部分を示す指定情報を取得し、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する
　ステップを含む処理をコンピュータに実行させ、
　前記指定情報により示される前記指定部分は時間とともに変化する
　プログラム。
（１０）
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成する制御部と、
　前記指定情報を送信する通信部と、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する取得部と
　を備える信号処理装置。
（１１）
　前記取得データにおける前記指定部分を、鍵を用いて暗号化する暗号化処理部をさらに備え、
　前記制御部は、前記取得部により取得された前記暗号化データと、前記暗号化処理部による暗号化により得られた暗号化データとを比較する
　（１０）に記載の信号処理装置。
（１２）
　前記暗号化処理部は、前記鍵を用いて前記指定情報を暗号化し、
　前記通信部は、前記暗号化処理部により暗号化された前記指定情報を送信する
　（１１）に記載の信号処理装置。
（１３）
　前記取得データおよび前記暗号化データの取得元と、前記鍵を用いた認証処理を行う認証処理部をさらに備える
　（１１）または（１２）に記載の信号処理装置。
（１４）
　前記認証処理部は、前記取得元の起動時に前記認証処理を行う
　（１３）に記載の信号処理装置。
（１５）
　前記制御部は、複数の前記指定部分を示す前記指定情報を生成する
　（１０）乃至（１４）の何れか一項に記載の信号処理装置。
（１６）
　前記取得データは画像データである
　（１０）乃至（１５）の何れか一項に記載の信号処理装置。
（１７）
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成し、
　前記指定情報を送信し、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する
　ステップを含む信号処理方法。
（１８）
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成し、
　前記指定情報を送信し、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する
　ステップを含む処理をコンピュータに実行させるプログラム。

　１１　車両，　２１－１乃至２１－４，２１　カメラ，　２２　車両制御部，　５２　イメージセンサ，　８１　制御部，　８２　画素アレイ部，　８４　暗号化処理部，　８５　画像出力部，　１０１　保持部，　１０２　復号部，　１４１　画像入力部，　１４４　制御部，　１４５　通信部，　１６１　保持部，　１６２　認証処理部，　１６３　設定部，　１６４　暗号化処理部，　１６５　画像処理部

Claims

　出力データの暗号化対象とする指定部分を示す指定情報を取得する制御部と、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する暗号化処理部と
　を備え、
　前記指定情報により示される前記指定部分は時間とともに変化する
　信号処理装置。
　前記暗号化により得られた暗号化データ、および前記出力データを出力する出力部をさらに備える
　請求項１に記載の信号処理装置。
　前記制御部は、前記暗号化データおよび前記出力データの出力先と、前記鍵を用いた認証処理を行う
　請求項２に記載の信号処理装置。
　前記制御部は、前記信号処理装置の起動時に前記認証処理を行う
　請求項３に記載の信号処理装置。
　前記制御部は、暗号化された前記指定情報を取得し、前記暗号化された前記指定情報を前記鍵を用いて復号する
　請求項１に記載の信号処理装置。
　前記暗号化処理部は、前記出力データにおける前記指定情報により示される複数の前記指定部分を暗号化する
　請求項１に記載の信号処理装置。
　前記出力データは画像データである
　請求項１に記載の信号処理装置。
　出力データの暗号化対象とする指定部分を示す指定情報を取得し、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する
　ステップを含み、
　前記指定情報により示される前記指定部分は時間とともに変化する
　信号処理方法。
　出力データの暗号化対象とする指定部分を示す指定情報を取得し、
　前記出力データにおける前記指定情報により示される前記指定部分を、鍵を用いて暗号化する
　ステップを含む処理をコンピュータに実行させ、
　前記指定情報により示される前記指定部分は時間とともに変化する
　プログラム。
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成する制御部と、
　前記指定情報を送信する通信部と、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する取得部と
　を備える信号処理装置。
　前記取得データにおける前記指定部分を、鍵を用いて暗号化する暗号化処理部をさらに備え、
　前記制御部は、前記取得部により取得された前記暗号化データと、前記暗号化処理部による暗号化により得られた暗号化データとを比較する
　請求項１０に記載の信号処理装置。
　前記暗号化処理部は、前記鍵を用いて前記指定情報を暗号化し、
　前記通信部は、前記暗号化処理部により暗号化された前記指定情報を送信する
　請求項１１に記載の信号処理装置。
　前記取得データおよび前記暗号化データの取得元と、前記鍵を用いた認証処理を行う認証処理部をさらに備える
　請求項１１に記載の信号処理装置。
　前記認証処理部は、前記取得元の起動時に前記認証処理を行う
　請求項１３に記載の信号処理装置。
　前記制御部は、複数の前記指定部分を示す前記指定情報を生成する
　請求項１０に記載の信号処理装置。
　前記取得データは画像データである
　請求項１０に記載の信号処理装置。
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成し、
　前記指定情報を送信し、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する
　ステップを含む信号処理方法。
　取得データの暗号化対象とする指定部分を時間とともに変化させながら、前記指定部分を示す指定情報を生成し、
　前記指定情報を送信し、
　前記取得データにおける前記指定情報により示される前記指定部分を暗号化して得られた暗号化データ、および前記取得データを取得する
　ステップを含む処理をコンピュータに実行させるプログラム。