WO2022249553A1

WO2022249553A1 - 情報処理装置および方法、並びにプログラム

Info

Publication number: WO2022249553A1
Application number: PCT/JP2022/004217
Authority: WO
Inventors: 義行小林; 卓也五十嵐
Original assignee: ソニーグループ株式会社
Priority date: 2021-05-25
Filing date: 2022-02-03
Publication date: 2022-12-01
Also published as: JPWO2022249553A1

Abstract

本技術は、映像の真正性を保証することができるようにする情報処理装置および方法、並びにプログラムに関する。情報処理装置は、映像の複数のフレームからなるタイムブロックに付与された識別情報と、映像のフレームと、公開鍵暗号方式の第１の秘密鍵とに基づいて、フレームごとの第１の署名を生成する署名生成部と、識別情報を含む証明書を生成する証明書生成部と、証明書、映像、および第１の署名を出力する出力部とを備える。本技術はトランスコーダに適用することができる。

Description

情報処理装置および方法、並びにプログラム

　本技術は、情報処理装置および方法、並びにプログラムに関し、特に、映像の真正性を保証することができるようにした情報処理装置および方法、並びにプログラムに関する。

　例えばカメラにより撮影されて送信される映像、すなわち連続する静止画像が通信路上で改竄されていないことを保証するための技術が提案されている。

　そのような技術においては、カメラ自身により映像の各フレームに対する公開鍵暗号方式による電子署名が生成され、映像の受信者によりフレームごとに電子署名が検証される。

　例えば、共通鍵暗号方式による署名の生成および検証の方式も数多く提案されているが、そのような方式は、当事者間で事前にセキュアに共通鍵を共有する必要があるため、実用的であるとはいえない。

　そこで、公開鍵暗号方式により署名の生成および検証を行う方式の技術が提案されている（例えば、特許文献１参照）。

　例えば、公開鍵暗号方式により署名の生成および検証を行う方式として、ハッシュ関数と公開鍵暗号方式とを組み合わせたものも提案されている。

　具体的には、送信側においてデジタルデータMがハッシュ関数Hにより圧縮され、その結果として得られた一定長の出力hが暗号鍵（秘密鍵）Keにより暗号化されてデジタル署名データsが求められる。そして、デジタルデータMとデジタル署名データsとが一組とされて出力される。

　また、受信側では、デジタルデータMとデジタル署名データsとが受信されると、デジタル署名データsが暗号鍵（秘密鍵）Keに対応する復号鍵（公開鍵）Kdで復号され、出力h’’が生成される。さらに、デジタルデータMがハッシュ関数Hにより圧縮されて出力h’が求められ、得られた出力h’と出力h’’とが比較される。

　そして、それらの出力h’と出力h’’が一致した場合、デジタルデータMは不正な処理のされていない正当なデータであるとされ、出力h’と出力h’’が一致しない場合には、デジタルデータMは不正な処理が施されたデータとされる。

　以上の例では、ハッシュ関数Hと暗号鍵（秘密鍵）Keにより生成されたデジタル署名データsが用いられて、デジタルデータMに対する修正、改竄、偽造、合成等が検出される。

特許第４２６１７２４号公報

　しかしながら、上述した技術では、十分に映像の真正性が保証されているとはいえなかった。

　例えば、上述した技術では、フレーム単位で署名の生成および検証が行われるため、映像のフレームの抜き取りやフレームの順番の入れ替えなどの改竄が行われた場合には、そのような改竄を検知することができない。

　本技術は、このような状況に鑑みてなされたものであり、映像の真正性を保証することができるようにするものである。

　本技術の第１の側面の情報処理装置は、映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の第１の秘密鍵とに基づいて、前記フレームごとの第１の署名を生成する署名生成部と、前記識別情報を含む証明書を生成する証明書生成部と、前記証明書、前記映像、および前記第１の署名を出力する出力部とを備える。

　本技術の第１の側面の情報処理方法またはプログラムは、本技術の第１の側面の情報処理装置に対応する情報処理方法またはプログラムである。

　本技術の第１の側面においては、映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の第１の秘密鍵とに基づいて、前記フレームごとの第１の署名が生成され、前記識別情報を含む証明書が生成され、前記証明書、前記映像、および前記第１の署名が出力される。

　本技術の第２の側面の情報処理装置は、映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の第１の秘密鍵に対応する第１の公開鍵、および前記第１の秘密鍵に基づき生成された前記フレームごとの第１の署名とを取得する取得部と、前記証明書、前記映像、および前記第１の公開鍵に基づいて、前記第１の署名を検証する署名検証部とを備える。

　本技術の第２の側面の情報処理方法またはプログラムは、本技術の第２の側面の情報処理装置に対応する情報処理方法またはプログラムである。

　本技術の第２の側面においては、映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の第１の秘密鍵に対応する第１の公開鍵、および前記第１の秘密鍵に基づき生成された前記フレームごとの第１の署名とが取得され、前記証明書、前記映像、および前記第１の公開鍵に基づいて、前記第１の署名が検証される。

検証手法１におけるカメラの映像の出力例を示す図である。検証手法２におけるカメラの映像の出力例を示す図である。検証手法２におけるトランスコーダの映像の出力例を示す図である。検証手法３におけるカメラの映像の出力例を示す図である。検証手法３におけるトランスコーダの映像の出力例を示す図である。映像配信システムの構成例を示す図である。カメラの構成例を示す図である。映像出力処理を説明するフローチャートである。トランスコーダの構成例を示す図である。検証処理を説明するフローチャートである。映像出力処理を説明するフローチャートである。クライアントの構成例を示す図である。検証処理を説明するフローチャートである。コンピュータの構成例を示す図である。

　以下、図面を参照して、本技術を適用した実施の形態について説明する。

〈第１の実施の形態〉
〈検証手法１について〉
　本技術は、例えばカメラが撮影して送信する映像（連続する静止画像）が通信路上で改竄されていないことを保証するためのものである。すなわち、本技術は、カメラが撮影して送信する映像の真正性を保証することができるようにするものである。

　例えば報道用カメラやセキュリティカメラなどにおいては、どのカメラで撮影された映像であるのかを特定できることや、カメラ等から送信された映像が改竄されていないことを保証すること、つまり映像の真正性を保証することは重要である。

　そこで、本技術では、映像のタイムブロックごとの識別子を用いることで、フレームの抜き取りやフレームの順番の入れ替えなどの改竄を検知できるようにし、映像の真正性を保証することができるようにした。特に本技術は、通信路上で映像をトランスコードしてクライアントに送信する場合においても、元の映像を追跡できる電子署名および公開鍵証明書の生成方式に関するものである。

　それでは、以下、本技術について具体的に説明する。

　例えば、カメラが撮影して送信する映像の真正性を保証するために、カメラが映像に対してフレームごとに電子署名（以下、単に署名とも称する）を付加して送信を行うとする。この場合、映像の受信者は、受信した映像のフレーム（以下、映像フレームとも称する）ごとに電子署名を検証することで、フレーム単位の真正性を検証できる。

　具体的には、例えば映像の先頭からｉ番目のフレームをFrame[i]とする。

　このとき、例えば次式（１）に示すようにハッシュ関数であるSHA256（Secure Hash Algorithm 256-bit）関数（以下、単にハッシュ関数SHA256とも称する）によりFrame[i]のハッシュ値を求めることで、メッセージm[i]が求められる。

　また、メッセージm[i]と、カメラによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{dev_pri}とに基づいて次式（２）が計算され、映像のフレームFrame[i]の署名Signature[i]が生成される。

　すなわち、式（２）では、楕円曲線暗号（ECDSA（Elliptic Curve Digital Signature Algorithm））により、秘密鍵K_{dev_pri}でメッセージm[i]を暗号化することで、署名Signature[i]が得られる。

　さらに、秘密鍵K_{dev_pri}と、楕円曲線上の生成元Gとに基づいて次式（３）が計算され、公開鍵暗号方式の秘密鍵K_{dev_pri}に対応する公開鍵K_{dev_pub}が生成される。

　映像の撮影および送信を行う側の装置（送信側の装置）は、以上のようにして得られた公開鍵K_{dev_pub}と署名Signature[i]と映像のフレームFrame[i]とを同時に公開する。

　すなわち、送信側の装置は、以下の式（４）に示すように公開鍵K_{dev_pub}と署名Signature[i]とを連結することで公開鍵証明書Certificate[i]を生成し、公開鍵証明書Certificate[i]と映像のフレームFrame[i]とを順次、送信する。

　これにより、例えばFrame[1]，Certificate[1]，Frame[2]，Certificate[2]，・・・のように、映像の各フレームについて、公開鍵証明書Certificate[i]と映像のフレームFrame[i]が受信側の装置へと送信される。

　なお、式（４）において、「K_{dev_pub}||Signature[i]」は、公開鍵K_{dev_pub}と署名Signature[i]を、公開鍵K_{dev_pub}と署名Signature[i]の順番に連結すること、つまり公開鍵K_{dev_pub}の後ろに署名Signature[i]を連結することを示している。この連結を示す「||」については、以下において説明する式においても同様である。

　また、受信側の装置では、受信した公開鍵証明書Certificate[i]から公開鍵K_{dev_pub}と署名Signature[i]が取り出され、楕円曲線暗号による署名Signature[i]の検証が行われる。

　すなわち、受信した映像のフレームFrame[i]に基づいて、上述した式（１）と同様の計算が行われてメッセージm[i]が生成される。

　そして、メッセージm[i]、公開鍵K_{dev_pub}、および署名Signature[i]に基づいて、以下の式（５）により署名Signature[i]の検証が行われる。

　すなわち、式（５）では、楕円曲線暗号により、受信側の装置でフレームFrame[i]から求められたメッセージm[i]と公開鍵K_{dev_pub}で署名Signature[i]が検証される。これにより、映像のｉ番目のフレームFrame[i]の真正性を検証することができる。

　しかしながら、以上において説明した手法では、映像のフレーム（Frame[i]）が抜き取られた場合や、フレームの順番が入れ替えられた場合、すなわちフレームの抜き取りや順番入れ替えといった改竄がなされたときには、そのような改竄を検知できない。

　そこで、例えば、以下で説明する本技術の検証手法１により公開鍵証明書および電子署名を生成すれば、フレームの抜き取りや順番入れ替えといった改竄を検知することができる。

　検証手法１では、映像が所定時間長の時間区間であるタイムブロック（Time-Block）に分割されるとともに、タイムブロックごとに、映像の識別子に相当するセッションIDが付与（生成）されて署名対象データに格納される。このセッションIDは、各タイムブロックを一意に識別可能な識別情報である。また、例えば１０秒分の映像フレーム群を１つのタイムブロックとすることができる。

　いま、映像における先頭からｊ番目のタイムブロックの中で、そのタイムブロックの先頭からｉ番目のフレーム（映像フレーム）をFrame[j][i]とする。

　また、映像における先頭からｊ番目のタイムブロックを識別するセッションIDをsession-id[j]とする。例えばsession-id[j]のサイズは、16バイトなどとすることができる。

　さらに、例えばｊ番目のタイムブロックの先頭からｉ番目にある上述のフレームFrame[j][i]の映像全体における位置を示す情報、つまり映像の先頭を基準とする位置を示す情報をフレーム位置情報t[i]とする。

　例えばフレーム位置情報t[i]は、フレームFrame[j][i]の映像先頭からのフレーム番号、またはフレームFrame[j][i]のタイムコードなどとすることができる。また、例えばフレーム位置情報t[i]のサイズは、16バイトなどとすることができる。

　検証手法１では、session-id[j]とt[i]を参照して、フレームFrame[j][i]ごとに以下の検証が行われる。

　次式（６）に示すようにハッシュ関数SHA256に基づき、フレームFrame[j][i]と、session-id[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出することで、フレームFrame[j][i]についてのメッセージm[j][i]が求められる。

　そして、メッセージm[j][i]と、カメラによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{dev_pri}とに基づいて次式（７）が計算され、映像のフレームFrame[j][i]の署名Signature[j][i]が生成される。

　すなわち、式（７）では、楕円曲線暗号（ECDSA）により、秘密鍵K_{dev_pri}でメッセージm[j][i]を暗号化することで、署名Signature[j][i]が得られる。

　さらに、上述の式（３）により秘密鍵K_{dev_pri}に対応する公開鍵K_{dev_pub}が生成（計算）され、公開鍵K_{dev_pub}と署名Signature[j][i]が同時に公開される。

　具体的には、例えば以下の式（８）に示すように、公開鍵K_{dev_pub}と、session-id[j]と、署名Signature[j][i]とが連結されて公開鍵証明書Certificate[j][i]が生成される。

　そして、例えば図１に示すように、映像のフレームFrame[j][i]と、公開鍵証明書Certificate[j][i]とが順次、送信される。

　図１に示す例では、Frame[1][1]，Certificate[1][1]，Frame[1][2]，Certificate[1][2]，・・・のように、映像の各フレームについて、フレームFrame[j][i]と、公開鍵証明書Certificate[j][i]とが受信側の装置へと順番に送信される。特に、この例では、１つのタイムブロックがn個のフレームにより構成されていることが分かる。

　一方、映像の受信者側、つまり映像の受信側の装置では、映像のフレームFrame[j][i]と公開鍵証明書Certificate[j][i]が受信されると、署名Signature[j][i]の検証が行われる。

　すなわち、受信側の装置では、受信した公開鍵証明書Certificate[j][i]から公開鍵K_{dev_pub}、session-id[j]、および署名Signature[j][i]が抽出される。

　また、受信した映像の先頭からフレームをカウントし、そのカウント結果を保持することで、各フレームについてのフレーム位置情報t[i]が生成される。

　次に、ハッシュ関数SHA256に基づき、受信した映像のフレームFrame[j][i]についてメッセージm[j][i]が求められる。

　すなわち、上述した式（６）により、フレームFrame[j][i]、session-id[j]、およびフレーム位置情報t[i]が連結されて得られるデータのハッシュ値が算出され、フレームFrame[j][i]についてのメッセージm[j][i]が求められる。

　そして、メッセージm[j][i]、公開鍵K_{dev_pub}、および署名Signature[j][i]に基づいて、以下の式（９）により署名Signature[j][i]の検証が行われる。

　すなわち、式（９）では、楕円曲線暗号により、受信側の装置でフレームFrame[j][i]から求められたメッセージm[j][i]と公開鍵K_{dev_pub}で署名Signature[j][i]が検証される。

　これにより、映像のフレーム単位で各フレームFrame[j][i]の真正性を検証することができる。特に、メッセージm[j][i]にはsession-id[j]およびフレーム位置情報t[i]が含まれているため、フレームの抜き取りや順番入れ替えといった改竄を検知することができる。

　具体的には、例えばメッセージm[j][i]に、session-id[j]を含めることで、フレームの抜き取りや、タイムブロックを跨ぐフレームの順番入れ替え、複数の異なる映像を繋ぎ合わせた映像の改竄などを検知することができる。また、メッセージm[j][i]にフレーム位置情報t[i]を含めることで、フレームの抜き取りや順番入れ替えなどを検知することができる。

〈検証手法２について〉
　ところで、検証手法１では、フレームの抜き取りや順番入れ替えなどの改竄を検知することはできるが、映像に対するトランスコード時に元映像へのリンクがなくなる。

　そのため、映像受信者側では、トランスコード後の映像に関する真正性は検証できるが、トランスコードするにあたり映像差し替えや改竄などが行われていないことを検証することができない。すなわち、トランスコード前の映像に関する証跡が全くなくなってしまう。

　これは、トランスコード後には、トランスコード前の映像フレームFrame[j][i]の署名Signature[j][i]を保持し続けていても、その署名Signature[j][i]の検証に必要となるトランスコード前の映像フレームFrame[j][i]そのものが消失しており、検証が不可能となるからである。

　そこで、映像のトランスコード前後で公開鍵証明書を連鎖できるようにする本技術の検証手法２について説明する。すなわち、以下、トランスコードされる前の映像とトランスコードされた後の映像の関係性を検証できるようにするための公開鍵証明書の生成手法について説明する。

　検証手法２では、トランスコード前の映像には公開鍵暗号方式の秘密鍵K_{trans_pri}が付加されており、トランスコーダは、その秘密鍵K_{trans_pri}を用いたトランスコード後の映像の公開鍵証明書への署名生成を行う。トランスコード前の映像に付加されていた秘密鍵K_{trans_pri}を用いて署名を生成することで、トランスコード前の映像とトランスコード後の映像の関係性が検証可能になる。

　また、署名生成後には秘密鍵K_{trans_pri}は廃棄され、トランスコード後の映像に対して新規に公開鍵暗号方式の秘密鍵K’_{trans_pri}が生成されて付加される。トランスコード後の映像を受信したさらに別のトランスコーダは秘密鍵K’_{trans_pri}を用いてさらにトランスコード後の映像の公開鍵証明書への署名生成を行う。このトランスコード前の映像に付与された秘密鍵K_{trans_pri}による署名の連鎖により、受信した映像からカメラで撮影されたオリジナル映像までの関係性が検証可能となる。

　特に、ここでは、公開鍵証明書Certificate[j][i]を連鎖させるための公開鍵暗号方式の秘密鍵と公開鍵のペア（鍵ペア）である｛K_{trans_pri}，K_{trans_pub}｝，｛K’_{trans_pri}，K’_{trans_pub}｝，｛K’’_{trans_pri}，K’’_{trans_pub}｝，・・・を導入することとする。特に、ここでは映像がトランスコードされるたびに新たな鍵ペアが生成されていく。

　なお、秘密鍵に対応する公開鍵は、上述の式（３）と同様の計算で得ることができる。すなわち、K_{trans_pub}＝K_{trans_pri}G，K’_{trans_pub}＝K’_{trans_pri}G，K’’_{trans_pub}＝K’’_{trans_pri}G，・・・である。

　以下、検証手法２について、より具体的に説明する。

　まず、映像トランスコードではない、カメラでのオリジナルの映像の撮影および配信時における署名生成として、以下の処理が行われる。

　すなわち、カメラでは、撮影により得られた映像に対してタイムブロックごとにセッションIDであるsession-id[j]が付与されるとともに、オリジナルの映像に対する公開鍵暗号方式の鍵ペアである秘密鍵K_{trans_pri}と公開鍵K_{trans_pub}が生成される。

　そして、次式（１０）に示すように、カメラによりセキュアに保持される秘密鍵K_{dev_pri}に対応する公開鍵K_{dev_pub}と、session-id[j]と、公開鍵K_{trans_pub}とが連結されて、映像のフレームFrame[j][i]についての署名対象データc[j][i]が生成される。

　また、映像の先頭からフレームをカウントし、そのカウント結果を保持することで、各フレームについてのフレーム位置情報t[i]が生成される。

　さらに、次式（１１）に示すようにハッシュ関数SHA256に基づき、フレームFrame[j][i]と、署名対象データc[j][i]と、フレーム位置情報t[i]とが連結されて、フレームFrame[j][i]についてのメッセージm[j][i]が求められる。

　次に、メッセージm[j][i]と、カメラによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{dev_pri}とに基づいて次式（１２）が計算され、映像のフレームFrame[j][i]の署名Signature[j][i]が生成される。

　すなわち、式（１２）では、楕円曲線暗号により、秘密鍵K_{dev_pri}でメッセージm[j][i]を暗号化することで、署名Signature[j][i]が得られる。

　次に、次式（１３）に示すように、署名対象データc[j][i]と、署名Signature[j][i]とが連結されて公開鍵証明書Certificate[j][i]が生成される。

　さらに、次式（１４）に示すように公開鍵証明書Certificate[j][i]と、秘密鍵K_{trans_pri}とが連結されて、映像のフレームFrame[j][i]に付加するデータとされる。

　そして、例えば図２に示すように、映像のフレームFrame[j][i]と、公開鍵証明書Certificate[j][i]および秘密鍵K_{trans_pri}とが順次、送信される。

　図２では、Frame[1][1]，Certificate[1][1]，K_{trans_pri}，Frame[1][2]，Certificate[1][2]，K_{trans_pri}，・・・のように、映像の各フレームについて、フレームFrame[j][i]と公開鍵証明書Certificate[j][i]と秘密鍵K_{trans_pri}とが受信側の装置へと順番に送信される。この例では１つのタイムブロックがn個のフレームにより構成されている。

　映像受信者側、つまり映像の受信側の装置では、カメラが撮影および配信したオリジナルの映像を直接受信した場合、つまりトランスコードが発生しなかった場合には、映像のフレームFrame[j][i]ごとに署名Signature[j][i]の検証が行われる。

　ここでは、トランスコーダがカメラからオリジナルの映像のフレームFrame[j][i]、公開鍵証明書Certificate[j][i]、および秘密鍵K_{trans_pri}を受信したとする。

　この場合、トランスコーダでは、受信した公開鍵証明書Certificate[j][i]から署名対象データc[j][i]および署名Signature[j][i]が抽出される。

　すなわち、上述した式（１１）により、フレームFrame[j][i]、署名対象データc[j][i]、およびフレーム位置情報t[i]が連結されてハッシュ値が算出され、メッセージm[j][i]が求められる。

　そして、メッセージm[j][i]、署名対象データc[j][i]に含まれている公開鍵K_{dev_pub}、および署名Signature[j][i]に基づいて、以下の式（１５）により署名Signature[j][i]の検証が行われる。

　式（１５）では、楕円曲線暗号により、トランスコーダでフレームFrame[j][i]から求められたメッセージm[j][i]と公開鍵K_{dev_pub}で署名Signature[j][i]が検証される。

　これにより、映像のフレーム単位で各フレームFrame[j][i]の真正性を検証することができる。特に、メッセージm[j][i]にはsession-id[j]およびフレーム位置情報t[i]が含まれているため、検証手法１における場合と同様に、フレームの抜き取りや順番入れ替え等の改竄を検知することができる。

　このような署名Signature[j][i]の検証後、トランスコーダがカメラから受信した映像に対してトランスコードを行い、その結果としてオリジナルの映像の各フレームFrame[j][i]に対応する、トランスコード後の映像の各フレームFrame’[j][i]が得られたとする。

　なお、ここでは、トランスコード時において、フレームレート変換や2:3pull-downなど、タイムコードが変わってしまうような変換は行われないものとする。

　また、トランスコーダでは、公開鍵暗号方式の秘密鍵K_{transcoder_pri}がセキュアに保持されており、その秘密鍵K_{transcoder_pri}に対応する公開鍵がK_{transcoder_pub}＝K_{transcoder_pri}Gであるとする。

　この場合、トランスコーダは、カメラでのオリジナルの映像フレームFrame[j][i]に対する署名生成と同様にして、トランスコード後の各Frame’[j][i]に対する署名を生成する。

　すなわち、トランスコーダでは、トランスコード後の映像に対してタイムブロックごとにセッションIDであるsession-id[j]が付与されるとともに、さらに別のトランスコーダが署名生成を行うための公開鍵暗号方式の鍵ペアである秘密鍵K’_{trans_pri}と公開鍵K’_{trans_pub}が生成される。

　そして、次式（１６）に示すように、トランスコーダによりセキュアに保持される秘密鍵K_{transcoder_pri}に対応する公開鍵K_{transcoder_pub}と、session-id[j]と、公開鍵K’_{trans_pub}とが連結されて署名対象データc’[j][i]が生成（構成）される。

　この署名対象データc’[j][i]は、１つのタイムブロック内の各映像フレームFrame’[j][i]で共通なデータである。

　署名対象データc’[j][i]に公開鍵K’_{trans_pub}が含まれるようにすることで、トランスコード後の映像と、後述する公開鍵証明書Certificate’[j][i]を受信した第三者は、公開鍵証明書Certificate’[j][i]に含まれる署名対象データc’[j][i]中の公開鍵K’_{trans_pub}を用いた署名検証をすることができる。これにより、トランスコード後の映像フレームに付加される公開鍵証明書が、トランスコード後の映像フレームFrame’[j][i]に付加された秘密鍵K’_{trans_pri}により生成された署名を含んでいることを検証することが可能となる。

　また、次式（１７）に示すように、ハッシュ関数SHA256に基づき、フレームFrame’[j][i]と、式（１６）で得られた署名対象データc’[j][i]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出することで、フレームFrame’[j][i]についてのメッセージm’[j][i]が求められる。

　その後、メッセージm’[j][i]と、トランスコーダによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{transcoder_pri}とに基づいて次式（１８）が計算され、映像フレームFrame’[j][i]の署名Signature[j][i]が生成される。

　すなわち、式（１８）では、楕円曲線暗号により、秘密鍵K_{transcoder_pri}でメッセージm’[j][i]を暗号化することで、署名Signature[j][i]が得られる。

　さらに、トランスコード後の映像フレームFrame’[j][i]に対しては、秘密鍵K_{transcoder_pri}による署名生成に加えて、カメラから映像フレームFrame[j][i]とともに受信した秘密鍵K_{trans_pri}による署名生成も行われる。

　すなわち、次式（１９）に示すように、カメラから受信した公開鍵証明書Certificate[j][i]と、秘密鍵K_{transcoder_pri}に対応する公開鍵K_{transcoder_pub}と、公開鍵K’_{trans_pub}とが連結されて署名対象データc’[j][i]が生成（構成）される。この署名対象データc’[j][i]は、式（１６）で得られるものとは異なるものである。

　さらに、式（１９）で得られた署名対象データc’[j][i]と、カメラから受信した秘密鍵K_{trans_pri}とに基づいて次式（２０）が計算され、公開鍵証明書Certificate[j][i]を含む署名対象データc’[j][i]に対する署名Signature’[j][i]が生成される。

　すなわち、式（２０）では、楕円曲線暗号により、秘密鍵K_{trans_pri}で署名対象データc’[j][i]を暗号化することで、署名Signature’[j][i]が得られる。

　このようにして得られた署名Signature’[j][i]を、フレームFrame’[j][i]の公開鍵証明書Certificate’[j][i]に格納することで、公開鍵証明書Certificate[j][i]と秘密鍵K_{trans_pri}とを連結して得られた上述の式（１４）に示したデータが付加されたフレームFrame[j][i]を変換してフレームFrame’[j][i]を生成したことが検証可能となる。すなわち、フレームFrame[j][i]がフレームFrame’[j][i]の元映像であることを特定（追跡）することができる。

　以上のようにして署名Signature[j][i]および署名Signature’[j][i]が生成されると、その後、次式（２１）により公開鍵証明書Certificate’[j][i]が生成される。

　すなわち、式（２１）では、式（１９）で得られた署名対象データc’[j][i]と、式（１８）で得られた署名Signature[j][i]と、式（２０）で得られた署名Signature’[j][i]とが連結されて公開鍵証明書Certificate’[j][i]が生成される。

　さらに、次式（２２）に示すように公開鍵証明書Certificate’[j][i]と、秘密鍵K’_{trans_pri}とが連結されて、映像のフレームFrame’[j][i]に付加するデータとされる。

　そして、例えば図３に示すように、映像のフレームFrame’[j][i]と、公開鍵証明書Certificate’[j][i]および秘密鍵K’_{trans_pri}とが順次、送信される。

　図３では、Frame’[1][1]，Certificate’[1][1]，K’_{trans_pri}，Frame’[1][2]，Certificate’[1][2]，K’_{trans_pri}，・・・のように、映像の各フレームについて、フレームFrame’[j][i]と公開鍵証明書Certificate’[j][i]と秘密鍵K’_{trans_pri}とが受信側の装置へと順番に送信される。この例では１つのタイムブロックがn個のフレームにより構成されている。

　また、上述したように映像フレームFrame’[j][i]の生成時には、フレームレート変換や2:3pull-downなど、タイムコードが変化する変換は行われないものとする。トランスコード前後で映像フレームのタイムコードが変化すると、トランスコード前後の映像でタイムブロックやフレーム位置情報t[i]が１対１対応ではなくなってしまうからである。

　また、トランスコーダからの映像の受信者側、つまり映像の受信側の装置（クライアント）では、トランスコード後の映像を受信した場合、つまりトランスコードが発生した場合には、映像フレームFrame’[j][i]ごとに署名の検証が行われる。

　ここでは、クライアントがトランスコーダからトランスコード後の映像のフレームFrame’[j][i]、公開鍵証明書Certificate’[j][i]、および秘密鍵K’_{trans_pri}を受信したとする。

　この場合、クライアントでは、受信した公開鍵証明書Certificate’[j][i]から、公開鍵証明書Certificate[j][i]、公開鍵K_{transcoder_pub}、公開鍵K’_{trans_pub}、署名Signature[j][i]、および署名Signature’[j][i]が抽出される。さらに、抽出した公開鍵証明書Certificate[j][i]から、セッションID（session-id[j]）と公開鍵K_{trans_pub}も抽出される。

　また、受信した映像の先頭からフレームをカウントし、そのカウント結果を保持することで、各映像フレームFrame’[j][i]についてのフレーム位置情報t[i]が生成される。

　次に、上述した式（１６）により、公開鍵K_{transcoder_pub}と、session-id[j]と、公開鍵K’_{trans_pub}とが連結されて、タイムブロック内で共通な署名対象データc’[j][i]が生成（構成）され、フレームFrame’[j][i]ごとに以下の検証が行われる。

　すなわち、フレームFrame’[j][i]、式（１６）により得られた署名対象データc’[j][i]、およびフレーム位置情報t[i]を連結して得られるデータと、ハッシュ関数SHA256とに基づいて上述した式（１７）によりメッセージm’[j][i]が求められる。

　そして、メッセージm’[j][i]、公開鍵K_{transcoder_pub}、および署名Signature[j][i]に基づいて、以下の式（２３）により署名Signature[j][i]の検証が行われる。

　式（２３）では、楕円曲線暗号により、クライアントでフレームFrame’[j][i]から求められたメッセージm’[j][i]と公開鍵K_{transcoder_pub}で署名Signature[j][i]が検証される。

　これにより、映像のフレーム単位で、映像フレームFrame’[j][i]の真正性が検証されたことになる。特に、メッセージm’[j][i]には、session-id[j]およびフレーム位置情報t[i]が含まれているため、検証手法１における場合と同様に、フレームの抜き取りや順番入れ替え等の改竄を検知することができる。

　さらに、クライアントでは、署名Signature’[j][i]の検証も行われる。

　すなわち、公開鍵証明書Certificate[j][i]、公開鍵K_{transcoder_pub}、および公開鍵K’_{trans_pub}が連結されて、上述の式（１９）に示した署名対象データc’[j][i]が生成される。

　そして、署名対象データc’[j][i]、公開鍵K_{trans_pub}、および署名Signature’[j][i]に基づいて、以下の式（２４）により署名Signature’[j][i]の検証が行われる。

　式（２４）では、楕円曲線暗号により、クライアントにおいて公開鍵証明書Certificate[j][i]から求められた署名対象データc’[j][i]と公開鍵K_{trans_pub}で署名Signature’[j][i]が検証される。

　これにより、映像のフレーム単位で、映像フレームFrame’[j][i]に付加された公開鍵証明書Certificate[j][i]の真正性が検証されたことになる。換言すれば、フレームFrame[j][i]を変換してフレームFrame’[j][i]を生成したこと、つまりフレームFrame[j][i]がフレームFrame’[j][i]の元映像であることが検証されたことになる。

　以上のように、検証手法２によれば、トランスコード後の映像に関する真正性を保証するとともに、トランスコード前の映像に関する真正性の保証、すなわち元映像の追跡も実現することができる。

〈検証手法３について〉
　ところで、検証手法２では、同じタイムブロック内において、各映像フレームFrame’[j][i]に付加される公開鍵証明書Certificate’[j][i]内にある公開鍵証明書Certificate[j][i]については、署名Signature[j][i]以外の署名対象データc[j][i]は共通となっている。換言すれば、公開鍵証明書Certificate’[j][i]は冗長性を有する構造となっている。

　また、検証手法２では、映像フレームFrame’[j][i]ごとに署名検証を２回行う必要がある。すなわち、映像フレームFrame’[j][i]ごとに、署名Signature’[j][i]と署名Signature[j][i]の検証を行う必要がある。

　そこで、公開鍵証明書Certificate[j][i]からタイムブロック内で共通の値を分離し、分離した値をタイムブロックの先頭に配置するようにしてもよい。以下では、そのような手法を検証手法３と呼ぶこととする。

　検証手法３によれば、公開鍵証明書Certificate[j][i]の構造の冗長性を排除し、かつ署名検証の回数を低減させることができる。すなわち、検証手法３では、映像フレームごとに１回の署名検証を行い、タイムブロックごとに１回の署名検証を行えばよい。

　以下、検証手法３について、より具体的に説明する。

　そして、次式（２５）に示すように、カメラによりセキュアに保持される秘密鍵K_{dev_pri}に対応する公開鍵K_{dev_pub}と、session-id[j]と、公開鍵K_{trans_pub}とが連結されて、session-id[j]により示されるタイムブロックについての署名対象データc[j]が生成される。

　次に、式（２５）により得られた署名対象データc[j]と、カメラによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{dev_pri}とに基づいて次式（２６）が計算され、タイムブロックごとの署名Sig[j]が生成される。

　すなわち、式（２６）では、楕円曲線暗号により、秘密鍵K_{dev_pri}で署名対象データc[j]を暗号化することで、署名Sig[j]が得られる。

　また、次式（２７）に示すように、署名対象データc[j]と署名Sig[j]とが連結されて、タイムブロックごとの公開鍵証明書Certificate[j]が生成される。

　さらに、次式（２８）に示すように公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}とが連結されて、session-id[j]により示されるタイムブロックの先頭に付加するデータとされる。

　次に、映像フレームFrame[j][i]ごとに署名Signature[j][i]が生成される。

　すなわち、次式（２９）に示すように、ハッシュ関数SHA256に基づき、フレームFrame[j][i]と、署名対象データc[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出することで、フレームFrame[j][i]についてのメッセージm[j][i]が求められる。

　そして、式（２９）により得られたメッセージm[j][i]と、カメラによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{dev_pri}とに基づいて次式（３０）が計算され、映像フレームFrame[j][i]の署名Signature[j][i]が生成される。

　すなわち、式（３０）では、楕円曲線暗号により、秘密鍵K_{dev_pri}でメッセージm[j][i]を暗号化することで、署名Signature[j][i]が得られる。

　このようにして得られた署名Signature[j][i]が、次式（３１）に示すように、フレームFrame[j][i]に付加されるデータとされる。

　そして、例えば図４に示すように公開鍵証明書Certificate[j]および秘密鍵K_{trans_pri}と、映像フレームFrame[j][i]と、映像フレームFrame[j][i]に付加された署名Signature[j][i]とが順次、送信される。

　図４では、Certificate[1]，K_{trans_pri}，Frame[1][1]，Signature[1][1]，Frame[1][2]，Signature[1][2]，・・・，Certificate[2]，K_{trans_pri}，Frame[2][1]，Signature[2][1]，Frame[2][2]，Signature[2][2]，・・・のように各データが送信される。

　すなわち、タイムブロックの先頭で公開鍵証明書Certificate[j]および秘密鍵K_{trans_pri}が送信され、その後、映像の各フレームについて、フレームFrame[j][i]と署名Signature[j][i]が受信側の装置へと順番に送信される。この例では１つのタイムブロックがn個のフレームにより構成されている。

　映像受信者側、つまり映像の受信側の装置では、カメラが撮影および配信したオリジナルの映像を直接受信した場合、つまりトランスコードが発生しなかった場合には、以下の検証が行われる。

　ここでは、トランスコーダがカメラから公開鍵証明書Certificate[j]、秘密鍵K_{trans_pri}、オリジナルの映像のフレームFrame[j][i]、および署名Signature[j][i]を受信したとする。

　この場合、トランスコーダでは、受信した公開鍵証明書Certificate[j]から公開鍵K_{dev_pub}、session-id[j]、公開鍵K_{trans_pub}、および署名Sig[j]が抽出される。

　換言すれば、公開鍵K_{dev_pub}、session-id[j]、および公開鍵K_{trans_pub}からなる式（２５）の署名対象データc[j]と、署名Sig[j]とが公開鍵証明書Certificate[j]から抽出される。

　そして、署名対象データc[j]、公開鍵K_{dev_pub}、および署名Sig[j]に基づいて、次式（３２）によりタイムブロックごとの署名Sig[j]の検証が行われる。

　式（３２）では、楕円曲線暗号により、トランスコーダで公開鍵証明書Certificate[j]から抽出された（読み出された）署名対象データc[j]と公開鍵K_{dev_pub}で署名Sig[j]が検証される。これにより、公開鍵証明書Certificate[j]の真正性を検証することができる。

　また、トランスコーダでは、受信した映像の先頭からフレームFrame[j][i]をカウントし、そのカウント結果を保持することで、各フレームFrame[j][i]についてのフレーム位置情報t[i]が生成される。

　さらに、フレームFrame[j][i]、署名対象データc[j]、およびフレーム位置情報t[i]を連結して得られるデータと、ハッシュ関数SHA256とに基づいて上述した式（２９）によりメッセージm[j][i]が求められる。

　そして、メッセージm[j][i]、公開鍵K_{dev_pub}、および署名Signature[j][i]に基づいて、以下の式（３３）により署名Signature[j][i]の検証が行われる。

　式（３３）では、楕円曲線暗号により、トランスコーダでフレームFrame[j][i]から求められたメッセージm[j][i]と公開鍵K_{dev_pub}で署名Signature[j][i]が検証される。

　これにより、映像のフレーム単位で、映像フレームFrame[j][i]の真正性が検証されたことになる。特に、この例では、メッセージm[j][i]にはsession-id[j]やフレーム位置情報t[i]も含まれているため、検証手法１における場合と同様に、フレームの抜き取りや順番入れ替え、複数の異なる映像を繋ぎ合わせた映像の改竄などを検知することができる。

　以上のようなタイムブロックごとの署名Sig[j]とフレームごとの署名Signature[j][i]の検証後、トランスコーダがカメラから受信した映像に対してトランスコードを行い、その結果としてオリジナルの映像の各フレームFrame[j][i]に対応する、トランスコード後の映像の各フレームFrame’[j][i]が得られたとする。

　なお、検証手法３においてもトランスコード時において、フレームレート変換や2:3pull-downなど、タイムコードが変化する変換は行われないものとする。すなわち、タイムコードが変化しないトランスコードが行われるとする。

　また、トランスコーダでは、検証手法２における場合と同様に、公開鍵暗号方式の秘密鍵K_{transcoder_pri}がセキュアに保持されているとする。

　この場合、トランスコーダは、以下のようにして、トランスコード後の映像配信時における署名生成を行う。

　すなわち、トランスコーダでは、トランスコード後の映像に対する公開鍵暗号方式の鍵ペアである秘密鍵K’_{trans_pri}と公開鍵K’_{trans_pub}が生成される。

　次に、次式（３４）に示すように公開鍵証明書Certificate[j]と、トランスコーダによりセキュアに保持される秘密鍵K_{transcoder_pri}に対応する公開鍵K_{transcoder_pub}と、公開鍵K’_{trans_pub}とが連結されて署名対象データc’[j]が生成（構成）される。

　そして、式（３４）により得られた署名対象データc’[j]と、トランスコーダによりセキュアに保持される秘密鍵K_{transcoder_pri}とに基づいて次式（３５）が計算され、公開鍵証明書Certificate[j]に対するタイムブロックごとの署名Sig1’[j]が生成される。

　すなわち、式（３５）では、楕円曲線暗号により、秘密鍵K_{transcoder_pri}で署名対象データc’[j]を暗号化することで、署名Sig1’[j]が得られる。

　同様にして、式（３４）により得られた署名対象データc’[j]と、カメラから受信した秘密鍵K_{trans_pri}とに基づいて次式（３６）が計算され、公開鍵証明書Certificate[j]に対するタイムブロックごとの署名Sig2’[j]が生成される。

　すなわち、式（３６）では、楕円曲線暗号により、秘密鍵K_{trans_pri}で署名対象データc’[j]を暗号化することで、署名Sig2’[j]が得られる。

　また、次式（３７）に示すように、署名対象データc’[j]と、署名Sig1’[j]と、署名Sig2’[j]とが連結されて、タイムブロックごとの公開鍵証明書Certificate’[j]が生成される。

　さらに、次式（３８）に示すように公開鍵証明書Certificate’[j]と秘密鍵K’_{trans_pri}とが連結され、session-id[j]により示されるタイムブロックの先頭に付加するデータとされる。

　このように、検証手法３では、映像のフレームFrame’[j][i]に対して生成された秘密鍵K’_{trans_pri}が付加されて映像の送信が行われる。

　このようにすることで、受信側において映像フレームFrame’[j][i]をさらにトランスコードし、フレームFrame’’[j][i]を生成する場合に、公開鍵証明書Certificate’[j]を含む署名対象データを秘密鍵K’_{trans_pri}で暗号化し、署名Sig2’’[j]を生成することができる。

　これにより、公開鍵証明書Certificate’[j]と、フレームFrame’’[j][i]についての公開鍵証明書Certificate’’[j]との関係性、すなわちトランスコード前後の映像の関係性を検証することができる。

　タイムブロックの先頭に付加するデータが得られると、次に、映像フレームFrame’[j][i]ごとに署名Signature’[j][i]が生成される。

　すなわち、次式（３９）に示すように公開鍵K_{transcoder_pub}と、session-id[j]と、公開鍵K’_{trans_pub}とが連結されて署名対象データc’[j]が生成（構成）される。この署名対象データc’[j]は、式（３４）で得られるものとは異なるものである。

　また、次式（４０）に示すようにハッシュ関数SHA256に基づき、フレームFrame’[j][i]と、署名対象データc’[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出することで、フレームFrame’[j][i]についてのメッセージm’[j][i]が求められる。

　そして、式（４０）により得られたメッセージm’[j][i]と、トランスコーダによりセキュアに保持される公開鍵暗号方式の秘密鍵K_{transcoder_pri}とに基づいて次式（４１）が計算され、映像フレームFrame’[j][i]の署名Signature’[j][i]が生成される。

　すなわち、式（４１）では、楕円曲線暗号により、秘密鍵K_{transcoder_pri}でメッセージm’[j][i]を暗号化することで、署名Signature’[j][i]が得られる。

　さらに、次式（４２）に示すように署名Signature’[j][i]が映像のフレームFrame’[j][i]に付加するデータとされる。

　そして、例えば図５に示すように公開鍵証明書Certificate’[j]および秘密鍵K’_{trans_pri}と、映像フレームFrame’[j][i]と、映像フレームFrame’[j][i]に付加された署名Signature’[j][i]とが順次、送信される。

　図５では、Certificate’[1]，K’_{trans_pri}，Frame’[1][1]，Signature’[1][1]，Frame’[1][2]，Signature’[1][2]，・・・，Certificate’[2]，K’_{trans_pri}，Frame’[2][1]，Signature’[2][1]，Frame’[2][2]，Signature’[2][2]，・・・のように各データが送信される。

　すなわち、タイムブロックの先頭で公開鍵証明書Certificate’[j]および秘密鍵K’_{trans_pri}が送信され、その後、映像の各フレームについて、フレームFrame’[j][i]と署名Signature’[j][i]が受信側の装置（クライアント）へと順番に送信される。この例では１つのタイムブロックがn個のフレームにより構成されている。

　また、この例では、カメラから受信した秘密鍵K_{trans_pri}は、署名Sig2’[j]の生成後に破棄され、クライアントへは送信されない。

　トランスコーダからの映像の受信者側、つまり映像の受信側の装置（クライアント）では、トランスコード後の映像を受信した場合、つまりトランスコードが発生した場合には、以下の検証が行われる。

　ここでは、クライアントがトランスコーダから公開鍵証明書Certificate’[j]、秘密鍵K’_{trans_pri}、トランスコード後の映像のフレームFrame’[j][i]、および署名Signature’[j][i]を受信したとする。

　この場合、クライアントでは、受信した公開鍵証明書Certificate’[j]から、公開鍵証明書Certificate[j]、公開鍵K_{transcoder_pub}、公開鍵K’_{trans_pub}、署名Sig1’[j]、および署名Sig2’[j]が抽出される。さらに、抽出した公開鍵証明書Certificate[j]から、署名対象データc[j]、すなわち公開鍵K_{dev_pub}、session-id[j]、および公開鍵K_{trans_pub}と、署名Sig[j]とが抽出される。

　また、受信した映像の先頭からフレームFrame’[j][i]がカウントされ、そのカウント結果が保持されて、各フレームFrame’[j][i]についてのフレーム位置情報t[i]が生成される。

　クライアントでは、まず署名対象データc[j]、公開鍵K_{dev_pub}、および署名Sig[j]に基づいて、上述した式（３２）によりタイムブロックごとの署名Sig[j]の検証が行われる。

　続いて、上述の式（３４）のように、公開鍵証明書Certificate[j]、公開鍵K_{transcoder_pub}、および公開鍵K’_{trans_pub}を連結することで、署名対象データc’[j]が生成される。

　そして、生成された署名対象データc’[j]、公開鍵K_{transcoder_pub}、および署名Sig1’[j]に基づいて、次式（４３）によりタイムブロックごとの署名Sig1’[j]の検証が行われる。

　式（４３）では、楕円曲線暗号により、トランスコーダで公開鍵証明書Certificate[j]から生成された署名対象データc’[j]と公開鍵K_{transcoder_pub}で署名Sig1’[j]が検証される。

　同様に、生成された署名対象データc’[j]、公開鍵K_{trans_pub}、および署名Sig2’[j]に基づいて、次式（４４）によりタイムブロックごとの署名Sig2’[j]の検証が行われる。

　式（４４）では、楕円曲線暗号により、トランスコーダで公開鍵証明書Certificate[j]から生成された署名対象データc’[j]と公開鍵K_{trans_pub}で署名Sig2’[j]が検証される。

　以上の署名Sig1’[j]および署名Sig2’[j]の検証によって、公開鍵証明書Certificate[j]の真正性、および公開鍵証明書Certificate’[j]の真正性が検証されるとともに、公開鍵証明書Certificate[j]と公開鍵証明書Certificate’[j]の関係性、すなわちトランスコード前後の映像の関係性も検証されたことになる。

　また、公開鍵証明書Certificate[j]に含まれている公開鍵K_{dev_pub}から、その公開鍵K_{dev_pub}に対応するカメラによって、トランスコード前のオリジナルの映像が出力されたことを特定することができる。

　同様に、公開鍵証明書Certificate’[j]に含まれている公開鍵K_{transcoder_pub}から、その公開鍵K_{transcoder_pub}に対応するトランスコーダによって、トランスコード後の映像が出力されたことを特定することができる。

　さらに、その後、クライアントでは、署名Signature’[j][i]の検証も行われる。

　すなわち、上述の式（３９）により公開鍵K_{transcoder_pub}と、session-id[j]と、公開鍵K’_{trans_pub}とが連結されて署名対象データc’[j]が生成される。

　また、上述の式（４０）により、ハッシュ関数SHA256に基づき、フレームFrame’[j][i]と、署名対象データc’[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値が算出されてメッセージm’[j][i]が求められる。

　そして、式（４０）により得られたメッセージm’[j][i]、公開鍵K_{transcoder_pub}、および署名Signature’[j][i]に基づいて、以下の式（４５）により署名Signature’[j][i]の検証が行われる。

　式（４５）では、楕円曲線暗号により、クライアントでフレームFrame’[j][i]から求められたメッセージm’[j][i]と公開鍵K_{transcoder_pub}で署名Signature’[j][i]が検証される。

　これにより、映像のフレーム単位で、映像フレームFrame’[j][i]の真正性が検証されたことになる。特に、メッセージm’[j][i]には、session-id[j]やフレーム位置情報t[i]が含まれているため、検証手法１における場合と同様に、フレームの抜き取りや順番入れ替え等の改竄を検知することができる。

　以上のように、検証手法３によれば、トランスコード後の映像に関する真正性を保証するとともに、トランスコード前の映像に関する真正性の保証、すなわち元映像の追跡も実現することができる。

　しかも検証手法３では、署名対象データc[j]等のタイムブロックで共通するデータを含む公開鍵証明書Certificate’[j]がタイムブロックごとに生成される。これにより、検証手法２における場合よりも送信するデータの冗長性を低減させるとともに、行うべき署名検証の回数、つまり検証のための処理量も低減させることができる。

　なお、秘密鍵K_{dev_pri}や秘密鍵K_{transcoder_pri}に対応する公開鍵K_{dev_pub}や公開鍵K_{transcoder_pub}に関しては、公開鍵管理基盤での運用を採用することが考えられる。

　そうすれば、カメラ等のデバイスについて、メーカとデバイス個体をワールドワイドに識別可能なデバイス識別子と公開鍵K_{dev_pub}とを紐づけ、メーカとトランスコーダ個体をワールドワイドに識別可能なソフトウェア識別子と公開鍵K_{transcoder_pub}を紐づけすることができる。

　また、秘密鍵K_{dev_pri}や秘密鍵K_{transcoder_pri}に対応する公開鍵K_{dev_pub}や公開鍵K_{transcoder_pub}に対して、しかるべき認証機関による署名を付けた公開鍵証明書を映像受信者に配布しておくこともできる。

　そのような場合、公開鍵証明書Certificate[j]内に公開鍵K_{dev_pub}を格納する必要がなくなり、公開鍵K_{dev_pub}の所有者を示すID情報を格納することで運用可能となる。この場合、クライアントは、ID情報に基づいて公開鍵K_{dev_pub}を動的に取得することができる。

　同様に、公開鍵証明書Certificate’[j]内に公開鍵K_{transcoder_pub}を格納する必要がなくなり、公開鍵K_{transcoder_pub}の所有者を示すID情報を格納することで運用可能となる。

　その他、以上においては楕円曲線暗号（ECDSA）により署名を生成する例について説明したが、署名の生成方式はRSA暗号方式など、他のどのような方式であってもよい。

〈映像配信システムの構成例〉
　続いて、以上において説明した本技術を適用した、より具体的な実施の形態について説明する。特に、以下においては、上述した検証手法３を適用した例について説明する。

　図６は、本技術を適用した映像配信システムの一実施の形態の構成例を示す図である。

　図６に示す映像配信システムは、カメラ１１、トランスコーダ１２、およびクライアント１３を有している。

　カメラ１１は、配信対象となる映像を撮影し、得られた映像をトランスコーダ１２に送信する。例えばカメラ１１からトランスコーダ１２には、図４に示した形式で映像が送信（配信）される。

　トランスコーダ１２は、カメラ１１から受信した映像に関する検証を行うとともに、受信した映像をトランスコードし、トランスコード後の映像をクライアント１３へと送信する。例えばトランスコーダ１２からクライアント１３には、図５に示した形式で映像が送信（配信）される。

　クライアント１３は、トランスコーダ１２から映像を受信し、受信した映像に関する検証を行うとともに、受信した映像を表示したり記録したりする。

〈カメラの構成例〉
　図７は、カメラ１１の構成例を示す図である。

　カメラ１１は、例えば撮影機能を有するカメラ等のデバイスであり、撮影部４１、証明書生成部４２、署名生成部４３、および出力部４４を有している。

　撮影部４１は、例えばイメージセンサなどからなり、所定の被写体を撮影し、その結果得られた映像（連続する静止画像）を証明書生成部４２、署名生成部４３、および出力部４４に供給する。

　証明書生成部４２は、撮影部４１から供給された映像に対して、映像を分割して得られるタイムブロックごとに公開鍵証明書を生成して出力部４４に供給するとともに、署名の生成に必要な各種の情報（データ）を署名生成部４３に供給する。

　署名生成部４３は、撮影部４１から供給された映像と、証明書生成部４２から供給された情報とに基づいて、映像に対する署名を生成し、出力部４４に供給する。

　出力部４４は、証明書生成部４２から供給された公開鍵証明書、撮影部４１から供給された映像、および署名生成部４３から供給された署名をトランスコーダ１２に出力（送信）する。

〈映像出力処理の説明〉
　次に、カメラ１１の動作について説明する。すなわち、以下、図８のフローチャートを参照して、カメラ１１により行われる映像出力処理について説明する。

　ステップＳ１１において撮影部４１は被写体を撮影し、その結果得られた映像のフレームFrame[j][i]を順次、証明書生成部４２、署名生成部４３、および出力部４４に供給する。

　ステップＳ１２において証明書生成部４２は、撮影部４１から供給された映像のフレームFrame[j][i]に基づいて、タイムブロックごとの署名Sig[j]を生成する。

　すなわち、証明書生成部４２は、撮影部４１から供給された映像をタイムブロックに分割し、各タイムブロックに対してsession-id[j]を付与する。

　また、証明書生成部４２は、カメラ１１の図示せぬ記録部にセキュアに保持されている、カメラ１１の秘密鍵K_{dev_pri}と公開鍵K_{dev_pub}を読み出す。なお、公開鍵K_{dev_pub}は、予め記録されていてもよいし、証明書生成部４２によって、秘密鍵K_{dev_pri}に基づいて上述の式（３）により導出されるようにしてもよい。

　さらに、証明書生成部４２は、乱数を生成することで、映像フレームFrame[j][i]に対する秘密鍵K_{trans_pri}を生成するとともに、秘密鍵K_{trans_pri}に基づいて上述の式（３）と同様の計算を行って公開鍵K_{trans_pub}を導出（生成）する。

　そして証明書生成部４２は、式（２５）により公開鍵K_{dev_pub}、session-id[j]、および公開鍵K_{trans_pub}を連結してタイムブロックごとの署名対象データc[j]を生成する。

　さらに、証明書生成部４２は、式（２５）の署名対象データc[j]と秘密鍵K_{dev_pri}に基づいて式（２６）を計算し、タイムブロックごとの署名Sig[j]を生成する。

　ステップＳ１３において証明書生成部４２は、ステップＳ１２で得られたタイムブロックごとの署名Sig[j]を含む公開鍵証明書Certificate[j]を生成する。

　すなわち、証明書生成部４２は、式（２７）に示したように、式（２５）により得られた署名対象データc[j]と、署名Sig[j]とを連結することで、タイムブロックごとの公開鍵証明書Certificate[j]を生成する。

　証明書生成部４２は、このようにして得られた公開鍵証明書Certificate[j]と、秘密鍵K_{trans_pri}とを式（２８）に示したように連結し、出力部４４へと供給する。

　また、証明書生成部４２は、映像フレームFrame[j][i]ごとの署名Signature[j][i]に必要となる秘密鍵K_{dev_pri}および署名対象データc[j]を署名生成部４３に供給する。

　ステップＳ１４において署名生成部４３は、撮影部４１から供給された映像フレームFrame[j][i]と、証明書生成部４２から供給された秘密鍵K_{dev_pri}および署名対象データc[j]とに基づいて、映像フレームFrame[j][i]ごとの署名Signature[j][i]を生成する。

　例えば署名生成部４３は、撮影部４１から供給された映像について、その映像先頭からフレーム数をカウントし、フレームFrame[j][i]ごとにフレーム位置情報t[i]を生成するとともに式（２９）を計算することでメッセージm[j][i]を算出する。

　すなわち、署名生成部４３は、ハッシュ関数SHA256に基づき、フレームFrame[j][i]と、式（２５）の署名対象データc[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出することで、フレームFrame[j][i]についてのメッセージm[j][i]を算出する。

　また、署名生成部４３は、式（２９）の計算により得られたメッセージm[j][i]と、秘密鍵K_{dev_pri}とに基づいて上述の式（３０）を計算することで、映像フレームFrame[j][i]ごとの署名Signature[j][i]を生成し、出力部４４に供給する。

　ステップＳ１５において出力部４４は、撮影部４１から供給された映像を、有線または無線のネットワークやケーブル等を介してトランスコーダ１２へと出力し、映像出力処理は終了する。

　すなわち、出力部４４は、例えば図４に示したように、タイムブロックの先頭において、証明書生成部４２から供給された公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}を出力する。また、出力部４４は、映像のフレームごとに、撮影部４１から供給された映像フレームFrame[j][i]と、署名生成部４３から供給された署名Signature[j][i]とを出力する。

　以上のようにしてカメラ１１は、タイムブロックごとにsession-id[j]が含まれる署名Sig[j]を生成するとともに、フレームFrame[j][i]ごとに、session-id[j]やフレーム位置情報t[i]、フレームFrame[j][i]が含まれる署名Signature[j][i]を生成する。

　このようにすることで、映像に関する真正性を保証するとともに、カメラ１１の後段において、元映像の追跡を行うことができるようになるだけでなく、検証のための処理量も低減させることができるようになる。

〈トランスコーダの構成例〉
　次に、図６に示したトランスコーダ１２の構成と動作について説明する。

　図９は、トランスコーダ１２の構成例を示す図である。

　トランスコーダ１２は、例えばトランスコード機能を有するコンピュータ等の情報処理装置からなり、取得部７１、検証部７２、変換部７３、証明書生成部７４、署名生成部７５、および出力部７６を有している。

　取得部７１は、カメラ１１の出力部４４から出力された公開鍵証明書Certificate[j]、秘密鍵K_{trans_pri}、映像フレームFrame[j][i]、および署名Signature[j][i]を取得（受信）し、検証部７２に供給する。

　検証部７２は、取得部７１から供給された公開鍵証明書Certificate[j]および署名Signature[j][i]を検証し、その検証結果に応じて映像フレームFrame[j][i]を変換部７３に供給する。また、検証部７２は、公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}を証明書生成部７４に供給するとともに、公開鍵証明書Certificate[j]を署名生成部７５に供給する。

　検証部７２は、公開鍵証明書Certificate[j]の検証を行う証明書検証部８１と、署名Signature[j][i]の検証を行う署名検証部８２とを有している。

　変換部７３は、検証部７２から供給された映像フレームFrame[j][i]に対してトランスコードを行うことで、映像フレームFrame[j][i]を映像フレームFrame’[j][i]に変換する。変換部７３では、タイムコードが変化しないトランスコードが行われるため、映像フレームFrame[j][i]と映像フレームFrame’[j][i]とで、session-id[j]およびフレーム位置情報t[i]は変化しない（同じである）。

　変換部７３は、トランスコードにより得られた映像フレームFrame’[j][i]を証明書生成部７４、署名生成部７５、および出力部７６に供給する。

　証明書生成部７４は、検証部７２から供給された公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}、および変換部７３から供給された映像フレームFrame’[j][i]に基づいて、タイムブロックごとの公開鍵証明書Certificate’[j]を生成し、出力部７６に供給する。

　また、証明書生成部７４は、署名Signature’[j][i]の生成に必要な各種の情報（データ）を署名生成部７５に供給する。

　署名生成部７５は、検証部７２から供給された公開鍵証明書Certificate[j]、変換部７３から供給された映像フレームFrame’[j][i]、および証明書生成部７４から供給された情報に基づいて、映像フレームFrame’[j][i]ごとに署名Signature’[j][i]を生成し、出力部７６に供給する。

　出力部７６は、証明書生成部７４から供給された公開鍵証明書Certificate’[j]、変換部７３から供給された映像フレームFrame’[j][i]、および署名生成部７５から供給された署名Signature’[j][i]等をクライアント１３に出力（送信）する。

〈検証処理の説明〉
　トランスコーダ１２は、カメラ１１から映像等が送信されてくると、検証処理を開始する。以下、図１０のフローチャートを参照して、トランスコーダ１２による検証処理について説明する。

　ステップＳ４１において取得部７１は、カメラ１１から送信されてきた公開鍵証明書Certificate[j]、秘密鍵K_{trans_pri}、映像フレームFrame[j][i]、および署名Signature[j][i]を取得（受信）し、検証部７２に供給する。

　ステップＳ４２において証明書検証部８１は、取得部７１から供給された、タイムブロックごとの公開鍵証明書Certificate[j]を検証する。

　例えば証明書検証部８１は、公開鍵証明書Certificate[j]から、公開鍵K_{dev_pub}、session-id[j]、および公開鍵K_{trans_pub}からなる署名対象データc[j]と、署名Sig[j]とを抽出する。

　そして証明書検証部８１は、抽出した署名対象データc[j]、公開鍵K_{dev_pub}、および署名Sig[j]に基づいて上述した式（３２）の演算を行うことで、タイムブロックごとの公開鍵証明書Certificate[j]、すなわち署名Sig[j]の検証を行う。

　ステップＳ４３において署名検証部８２は、取得部７１から供給された、映像フレームFrame[j][i]ごとの署名Signature[j][i]を検証する。

　すなわち、署名検証部８２は、受信した映像の先頭からフレーム数をカウントすることで、フレームFrame[j][i]ごとにフレーム位置情報t[i]を生成する。

　また、署名検証部８２は、フレームFrame[j][i]と、証明書検証部８１で抽出された署名対象データc[j]と、フレーム位置情報t[i]とを連結して得られるデータと、ハッシュ関数SHA256とに基づいて上述した式（２９）によりメッセージm[j][i]を求める。

　そして、署名検証部８２は、メッセージm[j][i]、証明書検証部８１で抽出された公開鍵K_{dev_pub}、および署名Signature[j][i]に基づいて、上述の式（３３）により署名Signature[j][i]を検証する。これにより、映像のフレーム単位で、映像フレームFrame[j][i]の真正性が検証されたことになる。特に、この例では、フレームの抜き取りや順番入れ替え、複数の異なる映像を繋ぎ合わせた映像の改竄などを検知することができる。

　検証部７２は、公開鍵証明書Certificate[j]と署名Signature[j][i]が検証され、真正性が確認されると、映像フレームFrame[j][i]を変換部７３に供給する。

　また、検証部７２は、公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}を証明書生成部７４に供給するとともに、公開鍵証明書Certificate[j]を署名生成部７５に供給し、検証処理は終了する。

　以上のようにしてトランスコーダ１２は、カメラ１１から受信した映像について、公開鍵証明書Certificate[j]と署名Signature[j][i]を検証する。このようにすることで、映像の改竄等を検知することができる。

〈映像出力処理の説明〉
　また、トランスコーダ１２は、公開鍵証明書Certificate[j]と署名Signature[j][i]が検証されると、その後、任意のタイミングで、映像をトランスコードして出力する映像出力処理を開始する。以下、図１１のフローチャートを参照して、トランスコーダ１２による映像出力処理について説明する。

　ステップＳ７１において変換部７３は、検証部７２から供給された映像フレームFrame[j][i]に対してトランスコードを行い、その結果得られた映像フレームFrame’[j][i]を証明書生成部７４、署名生成部７５、および出力部７６に供給する。

　ステップＳ７２において証明書生成部７４は、検証部７２から供給された公開鍵証明書Certificate[j]と秘密鍵K_{trans_pri}、および変換部７３から供給された映像フレームFrame’[j][i]に基づいて、タイムブロックごとの署名を生成する。

　すなわち、証明書生成部７４は、トランスコーダ１２の図示せぬ記録部にセキュアに保持されている、トランスコーダ１２の秘密鍵K_{transcoder_pri}および公開鍵K_{transcoder_pub}を読み出す。なお、公開鍵K_{transcoder_pub}は、予め記録されていてもよいし、証明書生成部７４によって、秘密鍵K_{transcoder_pri}に基づき上述の式（３）と同様の演算により導出されるようにしてもよい。

　また、証明書生成部７４は、乱数を生成することで、映像フレームFrame’[j][i]に対する秘密鍵K’_{trans_pri}を生成するとともに、秘密鍵K’_{trans_pri}に基づいて上述の式（３）と同様の計算を行って公開鍵K’_{trans_pub}を導出（生成）する。

　そして証明書生成部７４は、式（３４）により公開鍵証明書Certificate[j]と、公開鍵K_{transcoder_pub}と、公開鍵K’_{trans_pub}とを連結して署名対象データc’[j]を生成する。

　証明書生成部７４は、得られた署名対象データc’[j]と秘密鍵K_{transcoder_pri}に基づいて上述の式（３５）の演算を行うことで、公開鍵証明書Certificate[j]に対するタイムブロックごとの署名Sig1’[j]を生成する。

　さらに証明書生成部７４は、得られた署名対象データc’[j]と、秘密鍵K_{trans_pri}とに基づいて上述の式（３６）の演算を行うことで、公開鍵証明書Certificate[j]に対するタイムブロックごとの署名Sig2’[j]を生成する。

　署名Sig2’[j]が生成されると、その後、証明書生成部７４は秘密鍵K_{trans_pri}を破棄する。すなわち、トランスコーダ１２で生成される公開鍵証明書Certificate’[j]には秘密鍵K_{trans_pri}は格納されない。このようにすることで、公開鍵証明書Certificate[j]に対する改竄を検知することができるようになる。

　ステップＳ７３において証明書生成部７４は、ステップＳ７２で生成した署名対象データc’[j]、署名Sig1’[j]、および署名Sig2’[j]に基づいて公開鍵証明書Certificate’[j]を生成する。

　例えば証明書生成部７４は、上述の式（３７）により、署名対象データc’[j]と、署名Sig1’[j]と、署名Sig2’[j]とを連結することで、タイムブロックごとの公開鍵証明書Certificate’[j]を生成する。

　また、証明書生成部７４は、式（３８）により公開鍵証明書Certificate’[j]と秘密鍵K’_{trans_pri}とを連結して、タイムブロックの先頭に付加するデータとし、出力部７６に供給する。

　さらに証明書生成部７４は、署名Signature’[j][i]の生成に必要な秘密鍵K_{transcoder_pri}、公開鍵K_{transcoder_pub}、および公開鍵K’_{trans_pub}を署名生成部７５に供給する。

　ステップＳ７４において署名生成部７５は、映像フレームFrame’[j][i]ごとの署名Signature’[j][i]を生成し、出力部７６に供給する。

　例えば署名生成部７５は、検証部７２から供給された各タイムブロックの公開鍵証明書Certificate[j]からsession-id[j]を抽出する。

　また、署名生成部７５は、変換部７３から供給された映像の先頭からフレーム数をカウントすることで、フレームFrame’[j][i]ごとにフレーム位置情報t[i]を生成する。

　そして署名生成部７５は、上述の式（３９）により証明書生成部７４から供給された公開鍵K_{transcoder_pub}と、session-id[j]と、証明書生成部７４から供給された公開鍵K’_{trans_pub}とを連結することで署名対象データc’[j]を生成する。

　さらに署名生成部７５は、式（４０）により、ハッシュ関数SHA256に基づき、フレームFrame’[j][i]と、式（３９）により得られた署名対象データc’[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を算出し、メッセージm’[j][i]を求める。

　署名生成部７５は、得られたメッセージm’[j][i]と、証明書生成部７４から供給された秘密鍵K_{transcoder_pri}とに基づいて上述の式（４１）の演算を行うことで、映像フレームFrame’[j][i]ごとの署名Signature’[j][i]を生成し、出力部７６に供給する。

　ステップＳ７５において出力部７６は、変換部７３から供給された映像を、有線または無線のネットワークやケーブル等を介してクライアント１３へと出力し、映像出力処理は終了する。

　すなわち、出力部７６は、例えば図５に示したように、タイムブロックの先頭において、証明書生成部７４から供給された公開鍵証明書Certificate’[j]と秘密鍵K’_{trans_pri}を出力する。また、出力部７６は、映像のフレームごとに、変換部７３から供給された映像フレームFrame’[j][i]と、署名生成部７５から供給された署名Signature’[j][i]とを出力する。

　以上のようにしてトランスコーダ１２は、タイムブロックごとに、もとの公開鍵証明書Certificate[j]を含む公開鍵証明書Certificate’[j]を生成するとともに、映像フレームFrame’[j][i]ごとに署名Signature’[j][i]を生成する。

　このようにすることで、トランスコード後の映像に関する真正性を保証するとともに、トランスコード前の映像に関する真正性の保証、すなわち元映像の追跡を行うことができるだけでなく、検証のための処理量も低減させることができる。

〈クライアントの構成例〉
　次に、図６に示したクライアント１３の構成と動作について説明する。

　図１２は、クライアント１３の構成例を示す図である。

　クライアント１３は、例えばコンピュータ等の情報処理装置からなり、取得部１１１および検証部１１２を有している。

　取得部１１１は、トランスコーダ１２の出力部７６から出力（送信）された公開鍵証明書Certificate’[j]、秘密鍵K’_{trans_pri}、映像フレームFrame’[j][i]、および署名Signature’[j][i]を取得（受信）し、検証部１１２に供給する。

　検証部１１２は、取得部１１１から供給された公開鍵証明書Certificate’[j]および署名Signature’[j][i]を検証する。

　検証部１１２は、公開鍵証明書Certificate’[j]の検証を行う証明書検証部１２１と、署名Signature’[j][i]の検証を行う署名検証部１２２とを有している。

〈検証処理の説明〉
　クライアント１３は、トランスコーダ１２から映像等が送信されてくると、検証処理を開始する。以下、図１３のフローチャートを参照して、クライアント１３による検証処理について説明する。

　ステップＳ１０１において取得部１１１は、トランスコーダ１２から送信されてきた公開鍵証明書Certificate’[j]、秘密鍵K’_{trans_pri}、映像フレームFrame’[j][i]、および署名Signature’[j][i]を取得（受信）し、検証部１１２に供給する。

　ステップＳ１０２において証明書検証部１２１は、取得部１１１から供給された、タイムブロックごとの公開鍵証明書Certificate’[j]を検証する。

　すなわち、例えば証明書検証部１２１は、公開鍵証明書Certificate’[j]から、公開鍵証明書Certificate[j]、公開鍵K_{transcoder_pub}、公開鍵K’_{trans_pub}、署名Sig1’[j]、および署名Sig2’[j]を抽出する。また、証明書検証部１２１は、公開鍵証明書Certificate[j]から、署名対象データc[j]、すなわち公開鍵K_{dev_pub}、session-id[j]、および公開鍵K_{trans_pub}と、署名Sig[j]とを抽出する。

　証明書検証部１２１は、署名対象データc[j]、公開鍵K_{dev_pub}、および署名Sig[j]に基づいて、上述の式（３２）の演算を行うことで、タイムブロックごとの署名Sig[j]の検証を行う。次に、証明書検証部１２１は、上述の式（３４）により公開鍵証明書Certificate[j]、公開鍵K_{transcoder_pub}、および公開鍵K’_{trans_pub}を連結し、署名対象データc’[j]を生成する。

　そして証明書検証部１２１は、生成された署名対象データc’[j]、公開鍵K_{transcoder_pub}、および署名Sig1’[j]に基づいて上述の式（４３）の演算を行うことで、タイムブロックごとの署名Sig1’[j]の検証を行う。

　同様に、証明書検証部１２１は、生成された署名対象データc’[j]、公開鍵K_{trans_pub}、および署名Sig2’[j]に基づいて上述の式（４４）の演算を行うことで、タイムブロックごとの署名Sig2’[j]の検証を行う。

　これらの署名Sig1’[j]や署名Sig2’[j]の検証により、公開鍵証明書Certificate[j]と公開鍵証明書Certificate’[j]の真正性が検証されるとともに、公開鍵証明書Certificate[j]と公開鍵証明書Certificate’[j]の関係性、すなわちトランスコード前後の映像の関係性も検証されたことになる。

　また、公開鍵K_{dev_pub}から元の映像フレームFrame[j][i]の出力元であるカメラ１１が特定され、公開鍵K_{transcoder_pub}からトランスコード後の映像フレームFrame’[j][i]の出力元であるトランスコーダ１２も特定される。

　ステップＳ１０３において署名検証部１２２は、取得部１１１から供給された、映像フレームFrame’[j][i]ごとの署名Signature’[j][i]を検証する。

　すなわち、署名検証部１２２は、取得部１１１から供給された映像の先頭からフレーム数をカウントすることで、フレームFrame’[j][i]ごとにフレーム位置情報t[i]を生成する。

　また、署名検証部１２２は、上述の式（３９）により、証明書検証部１２１で抽出された公開鍵K_{transcoder_pub}と、session-id[j]と、公開鍵K’_{trans_pub}とを連結して署名対象データc’[j]を生成する。

　署名検証部１２２は、上述の式（４０）により、ハッシュ関数SHA256に基づき、フレームFrame’[j][i]と、式（３９）により得られた署名対象データc’[j]と、フレーム位置情報t[i]とを連結して得られるデータのハッシュ値を求めてメッセージm’[j][i]を算出する。

　さらに署名検証部１２２は、式（４０）により得られたメッセージm’[j][i]と、公開鍵K_{transcoder_pub}と、署名Signature’[j][i]とに基づいて上述の式（４５）の演算を行うことで、署名Signature’[j][i]の検証を行う。これにより、映像のフレーム単位で、映像フレームFrame’[j][i]の真正性が検証されたことになる。

　署名Signature’[j][i]の検証が行われると、検証処理は終了する。

　以上のようにしてクライアント１３は、トランスコーダ１２から受信した映像について、公開鍵証明書Certificate’[j]と署名Signature’[j][i]を検証する。

　このようにすることで、トランスコード後の映像に関する真正性を検証するとともに、トランスコード前の映像に関する真正性の検証、すなわち元映像の追跡を行うことができるだけでなく、検証のための処理量も低減させることができる。

〈コンピュータの構成例〉
　ところで、上述した一連の処理は、ハードウェアにより実行することもできるし、ソフトウェアにより実行することもできる。一連の処理をソフトウェアにより実行する場合には、そのソフトウェアを構成するプログラムが、コンピュータにインストールされる。ここで、コンピュータには、専用のハードウェアに組み込まれているコンピュータや、各種のプログラムをインストールすることで、各種の機能を実行することが可能な、例えば汎用のパーソナルコンピュータなどが含まれる。

　図１４は、上述した一連の処理をプログラムにより実行するコンピュータのハードウェアの構成例を示すブロック図である。

　コンピュータにおいて、CPU（Central Processing Unit）５０１，ROM（Read Only Memory）５０２，RAM（Random Access Memory）５０３は、バス５０４により相互に接続されている。

　バス５０４には、さらに、入出力インターフェース５０５が接続されている。入出力インターフェース５０５には、入力部５０６、出力部５０７、記録部５０８、通信部５０９、及びドライブ５１０が接続されている。

　入力部５０６は、キーボード、マウス、マイクロフォン、撮像素子などよりなる。出力部５０７は、ディスプレイ、スピーカなどよりなる。記録部５０８は、ハードディスクや不揮発性のメモリなどよりなる。通信部５０９は、ネットワークインターフェースなどよりなる。ドライブ５１０は、磁気ディスク、光ディスク、光磁気ディスク、又は半導体メモリなどのリムーバブル記録媒体５１１を駆動する。

　以上のように構成されるコンピュータでは、CPU５０１が、例えば、記録部５０８に記録されているプログラムを、入出力インターフェース５０５及びバス５０４を介して、RAM５０３にロードして実行することにより、上述した一連の処理が行われる。

　コンピュータ（CPU５０１）が実行するプログラムは、例えば、パッケージメディア等としてのリムーバブル記録媒体５１１に記録して提供することができる。また、プログラムは、ローカルエリアネットワーク、インターネット、デジタル衛星放送といった、有線または無線の伝送媒体を介して提供することができる。

　コンピュータでは、プログラムは、リムーバブル記録媒体５１１をドライブ５１０に装着することにより、入出力インターフェース５０５を介して、記録部５０８にインストールすることができる。また、プログラムは、有線または無線の伝送媒体を介して、通信部５０９で受信し、記録部５０８にインストールすることができる。その他、プログラムは、ROM５０２や記録部５０８に、あらかじめインストールしておくことができる。

　なお、コンピュータが実行するプログラムは、本明細書で説明する順序に沿って時系列に処理が行われるプログラムであっても良いし、並列に、あるいは呼び出しが行われたとき等の必要なタイミングで処理が行われるプログラムであっても良い。

　また、本技術の実施の形態は、上述した実施の形態に限定されるものではなく、本技術の要旨を逸脱しない範囲において種々の変更が可能である。

　例えば、本技術は、１つの機能をネットワークを介して複数の装置で分担、共同して処理するクラウドコンピューティングの構成をとることができる。

　また、上述のフローチャートで説明した各ステップは、１つの装置で実行する他、複数の装置で分担して実行することができる。

　さらに、１つのステップに複数の処理が含まれる場合には、その１つのステップに含まれる複数の処理は、１つの装置で実行する他、複数の装置で分担して実行することができる。

　さらに、本技術は、以下の構成とすることも可能である。

（１）
　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の第１の秘密鍵とに基づいて、前記フレームごとの第１の署名を生成する署名生成部と、
　前記識別情報を含む証明書を生成する証明書生成部と、
　前記証明書、前記映像、および前記第１の署名を出力する出力部と
　を備える情報処理装置。
（２）
　前記署名生成部は、前記第１の秘密鍵に対応する第１の公開鍵、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成する
　（１）に記載の情報処理装置。
（３）
　前記署名生成部は、前記映像における前記フレームの位置を示す位置情報、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成する
　（１）または（２）に記載の情報処理装置。
（４）
　前記署名生成部は、前記映像に対して生成された公開鍵暗号方式の第２の秘密鍵に対応する第２の公開鍵、前記第１の公開鍵、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成し、
　前記証明書生成部は、前記識別情報および前記第２の公開鍵を含む前記証明書を生成し、
　前記出力部は、前記証明書、前記第２の秘密鍵、前記映像、および前記第１の署名を出力する
　（２）に記載の情報処理装置。
（５）
　前記証明書生成部は、前記タイムブロックごとに前記証明書を生成する
　（４）に記載の情報処理装置。
（６）
　前記証明書生成部は、
　　前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて、前記タイムブロックごとの第２の署名を生成し、
　　前記第２の署名、前記識別情報、および前記第２の公開鍵を含む前記証明書を生成する
　（５）に記載の情報処理装置。
（７）
　前記映像が元の映像に対するトランスコードにより生成された場合、
　前記証明書生成部は、
　　前記識別情報が含まれる前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて前記第２の署名を生成し、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記元の映像の前記第２の秘密鍵に基づいて第３の署名を生成し、
　　前記元の映像の前記証明書、前記第２の署名、前記第３の署名、および前記第２の公開鍵を含む前記証明書を生成する
　（６）に記載の情報処理装置。
（８）
　情報処理装置が、
　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の秘密鍵とに基づいて、前記フレームごとの署名を生成し、
　前記識別情報を含む証明書を生成し、
　前記証明書、前記映像、および前記署名を出力する
　情報処理方法。
（９）
　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の秘密鍵とに基づいて、前記フレームごとの署名を生成し、
　前記識別情報を含む証明書を生成し、
　前記証明書、前記映像、および前記署名を出力する
　ステップを含む処理をコンピュータに実行させるプログラム。
（１０）
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の第１の秘密鍵に対応する第１の公開鍵、および前記第１の秘密鍵に基づき生成された前記フレームごとの第１の署名とを取得する取得部と、
　前記証明書、前記映像、および前記第１の公開鍵に基づいて、前記第１の署名を検証する署名検証部と
　を備える情報処理装置。
（１１）
　前記第１の署名は、前記映像における前記フレームの位置を示す位置情報、前記識別情報、前記映像の前記フレーム、前記第１の公開鍵、および前記第１の秘密鍵に基づき生成される
　（１０）に記載の情報処理装置。
（１２）
　前記第１の署名は、前記映像に対して生成された公開鍵暗号方式の第２の秘密鍵に対応する第２の公開鍵、前記識別情報、前記映像の前記フレーム、前記第１の公開鍵、および前記第１の秘密鍵に基づき生成され、
　前記証明書には、前記識別情報および前記第２の公開鍵が含まれており、
　前記取得部は、前記証明書、前記第２の秘密鍵、前記映像、および前記第１の署名を取得する
　（１０）または（１１）に記載の情報処理装置。
（１３）
　前記証明書には、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて生成された第２の署名が含まれており、
　前記第１の公開鍵、および前記第２の公開鍵に基づいて前記第２の署名を検証する証明書検証部をさらに備える
　（１２）に記載の情報処理装置。
（１４）
　前記映像が元の映像に対するトランスコードにより生成された場合、
　前記証明書には、
　　前記識別情報と、前記元の映像の前記第２の公開鍵とを含む、前記元の映像の前記証明書と、
　　前記第２の公開鍵と、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて生成された前記第２の署名と、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記元の映像の前記第２の秘密鍵に基づいて生成された第３の署名と
　が含まれており、
　前記証明書検証部は、前記元の映像の前記証明書、前記第１の公開鍵、および前記第２の公開鍵に基づいて前記第３の署名を検証する
　（１３）に記載の情報処理装置。
（１５）
　情報処理装置が、
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の秘密鍵に対応する公開鍵、および前記秘密鍵に基づき生成された前記フレームごとの署名とを取得し、
　前記証明書、前記映像、および前記公開鍵に基づいて、前記署名を検証する
　情報処理方法。
（１６）
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の秘密鍵に対応する公開鍵、および前記秘密鍵に基づき生成された前記フレームごとの署名とを取得し、
　前記証明書、前記映像、および前記公開鍵に基づいて、前記署名を検証する
　ステップを含む処理をコンピュータに実行させるプログラム。

　１１　カメラ，　１２　トランスコーダ，　１３　クライアント，　４２　証明書生成部，　４３　署名生成部，　４４　出力部，　７４　証明書生成部，　７５　署名生成部，　７６　出力部，　８１　証明書検証部，　８２　署名検証部，　１１１　取得部，　１２１　証明書検証部，　１２２　署名検証部

Claims

　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の第１の秘密鍵とに基づいて、前記フレームごとの第１の署名を生成する署名生成部と、
　前記識別情報を含む証明書を生成する証明書生成部と、
　前記証明書、前記映像、および前記第１の署名を出力する出力部と
　を備える情報処理装置。
　前記署名生成部は、前記第１の秘密鍵に対応する第１の公開鍵、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成する
　請求項１に記載の情報処理装置。
　前記署名生成部は、前記映像における前記フレームの位置を示す位置情報、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成する
　請求項１に記載の情報処理装置。
　前記署名生成部は、前記映像に対して生成された公開鍵暗号方式の第２の秘密鍵に対応する第２の公開鍵、前記第１の公開鍵、前記識別情報、前記フレーム、および前記第１の秘密鍵に基づいて前記第１の署名を生成し、
　前記証明書生成部は、前記識別情報および前記第２の公開鍵を含む前記証明書を生成し、
　前記出力部は、前記証明書、前記第２の秘密鍵、前記映像、および前記第１の署名を出力する
　請求項２に記載の情報処理装置。
　前記証明書生成部は、前記タイムブロックごとに前記証明書を生成する
　請求項４に記載の情報処理装置。
　前記証明書生成部は、
　　前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて、前記タイムブロックごとの第２の署名を生成し、
　　前記第２の署名、前記識別情報、および前記第２の公開鍵を含む前記証明書を生成する
　請求項５に記載の情報処理装置。
　前記映像が元の映像に対するトランスコードにより生成された場合、
　前記証明書生成部は、
　　前記識別情報が含まれる前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて前記第２の署名を生成し、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記元の映像の前記第２の秘密鍵に基づいて第３の署名を生成し、
　　前記元の映像の前記証明書、前記第２の署名、前記第３の署名、および前記第２の公開鍵を含む前記証明書を生成する
　請求項６に記載の情報処理装置。
　情報処理装置が、
　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の秘密鍵とに基づいて、前記フレームごとの署名を生成し、
　前記識別情報を含む証明書を生成し、
　前記証明書、前記映像、および前記署名を出力する
　情報処理方法。
　映像の複数のフレームからなるタイムブロックに付与された識別情報と、前記映像の前記フレームと、公開鍵暗号方式の秘密鍵とに基づいて、前記フレームごとの署名を生成し、
　前記識別情報を含む証明書を生成し、
　前記証明書、前記映像、および前記署名を出力する
　ステップを含む処理をコンピュータに実行させるプログラム。
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の第１の秘密鍵に対応する第１の公開鍵、および前記第１の秘密鍵に基づき生成された前記フレームごとの第１の署名とを取得する取得部と、
　前記証明書、前記映像、および前記第１の公開鍵に基づいて、前記第１の署名を検証する署名検証部と
　を備える情報処理装置。
　前記第１の署名は、前記映像における前記フレームの位置を示す位置情報、前記識別情報、前記映像の前記フレーム、前記第１の公開鍵、および前記第１の秘密鍵に基づき生成される
　請求項１０に記載の情報処理装置。
　前記第１の署名は、前記映像に対して生成された公開鍵暗号方式の第２の秘密鍵に対応する第２の公開鍵、前記識別情報、前記映像の前記フレーム、前記第１の公開鍵、および前記第１の秘密鍵に基づき生成され、
　前記証明書には、前記識別情報および前記第２の公開鍵が含まれており、
　前記取得部は、前記証明書、前記第２の秘密鍵、前記映像、および前記第１の署名を取得する
　請求項１０に記載の情報処理装置。
　前記証明書には、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて生成された第２の署名が含まれており、
　前記第１の公開鍵、および前記第２の公開鍵に基づいて前記第２の署名を検証する証明書検証部をさらに備える
　請求項１２に記載の情報処理装置。
　前記映像が元の映像に対するトランスコードにより生成された場合、
　前記証明書には、
　　前記識別情報と、前記元の映像の前記第２の公開鍵とを含む、前記元の映像の前記証明書と、
　　前記第２の公開鍵と、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記第１の秘密鍵に基づいて生成された前記第２の署名と、
　　前記元の映像の前記証明書、前記第１の公開鍵、前記第２の公開鍵、および前記元の映像の前記第２の秘密鍵に基づいて生成された第３の署名と
　が含まれており、
　前記証明書検証部は、前記元の映像の前記証明書、前記第１の公開鍵、および前記第２の公開鍵に基づいて前記第３の署名を検証する
　請求項１３に記載の情報処理装置。
　情報処理装置が、
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の秘密鍵に対応する公開鍵、および前記秘密鍵に基づき生成された前記フレームごとの署名とを取得し、
　前記証明書、前記映像、および前記公開鍵に基づいて、前記署名を検証する
　情報処理方法。
　映像の複数のフレームからなるタイムブロックに付与された識別情報を含む、前記タイムブロックごとの証明書と、前記映像と、前記識別情報、前記映像の前記フレーム、公開鍵暗号方式の秘密鍵に対応する公開鍵、および前記秘密鍵に基づき生成された前記フレームごとの署名とを取得し、
　前記証明書、前記映像、および前記公開鍵に基づいて、前記署名を検証する
　ステップを含む処理をコンピュータに実行させるプログラム。