JP4237131B2 - 暗号化データ通信装置 - Google Patents
暗号化データ通信装置 Download PDFInfo
- Publication number
- JP4237131B2 JP4237131B2 JP2004344533A JP2004344533A JP4237131B2 JP 4237131 B2 JP4237131 B2 JP 4237131B2 JP 2004344533 A JP2004344533 A JP 2004344533A JP 2004344533 A JP2004344533 A JP 2004344533A JP 4237131 B2 JP4237131 B2 JP 4237131B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- encrypted
- stream
- header
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Description
本発明は、暗号化データを送信する送信端末装置や、暗号化データを受信する受信端末装置といった暗号化データ通信装置に関し、特に、効果的な暗号化データを通信する技術に関する。
ネットワーク伝送技術が進歩したことで、WEBカメラ等の撮影装置により撮影した映像データを、ネットワークを通してリアルタイムにモニタリングすることが可能となった。その一方で、ネットワーク上を流れるパケットデータを盗み見たり、改竄を行おうとする第三者に対するセキュリティの確保が重要な課題となった。そこで、第三者からの攻撃を回避するための暗号化技術がネットワーク伝送には必須技術となり、現在研究が進められている。
通常、ネットワークを使った伝送では帯域が制限されるため、撮影した映像データをMPEG−4やJPEG等の圧縮アルゴリズムを使用して圧縮し、この圧縮ストリームをRFC規格に準拠したIPパケットに分割して伝送している。セキュリティを確保する既存技術にはネットワークレイヤでIPパケットを暗号化/認証するIPsecやアプリケーションレイヤで認証及びセッションを暗号化するSSLなどがあるが、IPsecはクライアント側の負荷が重いこと、SSLはアプリケーションに依存するなどいくつかの課題がある。
通常、ネットワークを使った伝送では帯域が制限されるため、撮影した映像データをMPEG−4やJPEG等の圧縮アルゴリズムを使用して圧縮し、この圧縮ストリームをRFC規格に準拠したIPパケットに分割して伝送している。セキュリティを確保する既存技術にはネットワークレイヤでIPパケットを暗号化/認証するIPsecやアプリケーションレイヤで認証及びセッションを暗号化するSSLなどがあるが、IPsecはクライアント側の負荷が重いこと、SSLはアプリケーションに依存するなどいくつかの課題がある。
特に、Webカメラを使った遠隔監視システムにおいては、システム設定が簡易であり、撮影装置の設置場所の自由度等のように構築/運用が柔軟にできること、ランニングコストが抑えられること、及びアプリケーションに依存することなく高い安全性が確保できることが求められる。このため、Webカメラを使った遠隔監視システムにおいては、第三者による盗み見や改竄といった攻撃に対しセキュリティを確保することが重要な問題となる。例えば、アプリケーションレイヤでコンテンツデータそのものに暗号をかけ、既存のネットワーク機器に影響を与えずにセキュリティを高める製品の開発も進められており、コンテンツそのものに暗号化をかける方法が主流となりつつある。
製品採用されている暗号アルゴリズムには、NIST(米国標準技術局)の公募により認められた3DES(3 Data Encryption Standard)やAES(Advanced Encryption Standard)等のブロック暗号方式や、高速で大容量通信での暗号化処理に適したMUGI(Multi Giga cipher)やMULTI−S01等のストリーミング暗号方式がある。
本従来例及び後述する実施例では、一例として、電子政府が推奨しているストリーミング暗号化方式の1つであるMUGIを例に説明する。
本従来例及び後述する実施例では、一例として、電子政府が推奨しているストリーミング暗号化方式の1つであるMUGIを例に説明する。
図6には、MUGIにおける暗号化処理部の内部機能ブロックの一例を示してある。
MUGIの暗号化処理部は、128ビットの秘密鍵と128ビットの初期ベクタを入力すると一意に決まる乱数列を生成する擬似乱数発生器51と、擬似乱数発生器51により生成された乱数列と入力である平文ストリームとを排他的に論理和した暗号化ストリームを出力する演算部52から構成されている。
秘密鍵と初期ベクタを入力すると擬似乱数発生器51は内部状態を初期化した後に状態遷移を繰り返しながら乱数列を生成し、この乱数列と入力した平文ストリームとをビット毎に排他的論理和した結果である暗号化ストリームが演算部52から出力される。
MUGIの暗号化処理部は、128ビットの秘密鍵と128ビットの初期ベクタを入力すると一意に決まる乱数列を生成する擬似乱数発生器51と、擬似乱数発生器51により生成された乱数列と入力である平文ストリームとを排他的に論理和した暗号化ストリームを出力する演算部52から構成されている。
秘密鍵と初期ベクタを入力すると擬似乱数発生器51は内部状態を初期化した後に状態遷移を繰り返しながら乱数列を生成し、この乱数列と入力した平文ストリームとをビット毎に排他的論理和した結果である暗号化ストリームが演算部52から出力される。
図7には、MUGIにおける復号化処理部の内部機能ブロックの一例を示してある。
復号化処理部も、暗号化処理部と同様に、128ビットの秘密鍵と128ビットの初期ベクタを入力すると一意に決まる乱数列を生成する擬似乱数発生器61と、擬似乱数生成器61により生成された乱数列と入力である暗号化ストリームとを排他的に論理和して暗号化前の平文ストリームを出力する演算部62から構成されている。
つまり、暗号化時と復号時で2回の排他的論理和を実行することで、必ず元の平文ストリームに戻る仕組みになっている。従って、運用にあたっては、送受信端末装置の擬似乱数発生器51、61から生成する乱数列が一致(同期)していることが前提となる。
復号化処理部も、暗号化処理部と同様に、128ビットの秘密鍵と128ビットの初期ベクタを入力すると一意に決まる乱数列を生成する擬似乱数発生器61と、擬似乱数生成器61により生成された乱数列と入力である暗号化ストリームとを排他的に論理和して暗号化前の平文ストリームを出力する演算部62から構成されている。
つまり、暗号化時と復号時で2回の排他的論理和を実行することで、必ず元の平文ストリームに戻る仕組みになっている。従って、運用にあたっては、送受信端末装置の擬似乱数発生器51、61から生成する乱数列が一致(同期)していることが前提となる。
通常、ネットワークを使った伝送では、輻輳等によりIPパケットのロスが発生する。このため、本来届くはずのIPパケットが失われ、MUGIを使ったストリーミング暗号化方式の場合には、送信側の擬似乱数発生器51と受信側の擬似乱数発生器61との同期外れが発生する。一度、同期が外れるとそれ以降の暗号ストリームを復号化処理部では正しい平文ストリームに復号できなくなるので、システム運用上問題となる。
このような問題に対応すべく、従来は、定期的に擬似乱数発生器51、61の秘密鍵若しくは初期ベクタを更新し或いはリセットし、擬似乱数発生器51、61により生成される乱数列を定期的に送受信端末装置で合わせ込んだり、或いはパケットロスの際にロスに相当したダミーデータを復号化処理部にて挿入して乱数列が不一致となることを回避する対策がとられてきた。
例えば、復号するための鍵を所定の送信間隔で送信するといった従来例がある(例えば、特許文献1参照。)。
特に、MPEG−4等のデータストリームを暗号化する場合には、規格上、ストリームシンタックスとして予めユーザが割り当てられているuser_dataを使って、鍵や初期ベクタを記述して定期的に更新させながら、擬似乱数発生器51、61により生成する乱数列を一致させるような方法がとられている。
例えば、復号するための鍵を所定の送信間隔で送信するといった従来例がある(例えば、特許文献1参照。)。
特に、MPEG−4等のデータストリームを暗号化する場合には、規格上、ストリームシンタックスとして予めユーザが割り当てられているuser_dataを使って、鍵や初期ベクタを記述して定期的に更新させながら、擬似乱数発生器51、61により生成する乱数列を一致させるような方法がとられている。
図8には、MPEG−4のストリームシンタックスを示してある。
MPEG−4ストリームのシンタックスはISO/IEC14496により規定されている。概略的には、Stream_Header部と、Application_Data部に分類することができる。
Stream_Header部はコーデックに依存したヘッダ部分であり、主にストリーム構成に関する情報が記述されており、Application_Data部の中に出現することが禁止されたビットパターンで構成された4つのユニークヘッダ、すなわち、VS(visual_object_sequence_start_code)ヘッダ、VO(visual_object_start_code)ヘッダ、VOH(video_object_start_code)ヘッダ、VOL(video_object_layer_start_code)ヘッダと、スタートコードやマーカビットといったストリームの情報(Steam info)が含まれる。
MPEG−4ストリームのシンタックスはISO/IEC14496により規定されている。概略的には、Stream_Header部と、Application_Data部に分類することができる。
Stream_Header部はコーデックに依存したヘッダ部分であり、主にストリーム構成に関する情報が記述されており、Application_Data部の中に出現することが禁止されたビットパターンで構成された4つのユニークヘッダ、すなわち、VS(visual_object_sequence_start_code)ヘッダ、VO(visual_object_start_code)ヘッダ、VOH(video_object_start_code)ヘッダ、VOL(video_object_layer_start_code)ヘッダと、スタートコードやマーカビットといったストリームの情報(Steam info)が含まれる。
Application_Data部はGOV(group_vop_start_codes)ヘッダから始まり、アプリケーションに合わせてユーザが使用することのできるuser_data領域の後に、ユニークなVOP(vop_start_code)ヘッダとフレームに相当するMB(Macro_Block)データとが交互に続いた構成となっている。VOPとMBとの組からフレーム(frame)が構成され、最初のフレームではMB(I−VOP)が用いられる。
なお、前記したユニークなVOPヘッダについては、MPEGの規格により、当該ヘッダとして決められている値が、マクロブロック(MB)等のデータ部分に出現しないように保証されている。但し、マクロブロック(MB)等を暗号化すると、偶然に、ユニークなヘッダ値と同じ値が生成されてしまう可能性はある。
なお、前記したユニークなVOPヘッダについては、MPEGの規格により、当該ヘッダとして決められている値が、マクロブロック(MB)等のデータ部分に出現しないように保証されている。但し、マクロブロック(MB)等を暗号化すると、偶然に、ユニークなヘッダ値と同じ値が生成されてしまう可能性はある。
ここで、Application_Data部の後に再びStream_Header部が出現するリフレッシュタイミングは、規格で決められてはおらず、圧縮する画像のサイズとビットレートの設定によりその周期は毎回変動する。
このため、受信側の復号化処理部では、暗号化ストリームのいずれのビット列が鍵或いは初期ベクタに相当するのかを識別することが非常に困難である。そこで、従来の暗号化技術では、コーデックに依存したStream_Header部を暗号化ストリーム上で同期マーカとして使うために暗号化せず、MPEG−4ストリームのApplication_Data部のMBだけに暗号をかけている。
このように、従来では、受信側で受信した暗号化ストリームの同期検出の問題から、MPEG−4等の圧縮ストリームに暗号をかける場合には、ストリームの情報を記述したStream_Header部は暗号化していない。
このため、受信側の復号化処理部では、暗号化ストリームのいずれのビット列が鍵或いは初期ベクタに相当するのかを識別することが非常に困難である。そこで、従来の暗号化技術では、コーデックに依存したStream_Header部を暗号化ストリーム上で同期マーカとして使うために暗号化せず、MPEG−4ストリームのApplication_Data部のMBだけに暗号をかけている。
このように、従来では、受信側で受信した暗号化ストリームの同期検出の問題から、MPEG−4等の圧縮ストリームに暗号をかける場合には、ストリームの情報を記述したStream_Header部は暗号化していない。
上記のように、従来の暗号化の方法では、圧縮ストリーム情報を記述したStream_Header部が暗号化されないため、例えば、定期的にやり取りされるパケットを収集することで、第三者により、アプリケーションデータの種類及び付加した初期ベクタを含むストリームの情報が推測され、秘匿性の低下につながる可能性があった。
また、暗号化したMBの部分に、同期マーカとして使用するStream_Header部のユニークコードが偶然に出現してしまう可能性があり、Stream_Header部のユニークコードを同期マーカとする従来の方法では、誤認識を回避するための処理が必要となり回路規模が大きくなっていた。
また、暗号化したMBの部分に、同期マーカとして使用するStream_Header部のユニークコードが偶然に出現してしまう可能性があり、Stream_Header部のユニークコードを同期マーカとする従来の方法では、誤認識を回避するための処理が必要となり回路規模が大きくなっていた。
具体的には、同期マーカの誤認識を回避する処理を行うために、例えば、メモリを用意してデータの比較を行う等のための回路規模が大きくなる。一例として、誤認識を回避するためには、同期マーカの前後のデータについても認識するようにして何らかの判定を行い、本来の同期マーカであるか或いは偶然出現した同期マーカと同じ値であるかを区別することができるようにする。
なお、暗号化する前のマクロブロック(MB)には、ユニークコードと同じ値は出現しないように規格により保証されているが、そのマクロブロック(MB)を暗号化した場合には、暗号化した結果、規格外の値、すなわち、ユニークコードが出現する可能性がある。
なお、暗号化する前のマクロブロック(MB)には、ユニークコードと同じ値は出現しないように規格により保証されているが、そのマクロブロック(MB)を暗号化した場合には、暗号化した結果、規格外の値、すなわち、ユニークコードが出現する可能性がある。
また、MPEGストリームのフレームに相当するMBのデータ量は入力画像に依存して増減するため、例えば、データ量の大きいMBが続くような場合には、暗号化処理の負荷が大きくなり装置全体のパフォーマンスの低下につながってしまった。特に、メガピクセルに対応したストリームデータを暗号化/復号処理するような場合には、処理負荷の変動がパフォーマンスの低下につながる問題が大きかった。
このように、従来の暗号化の方法では、主に、3つの課題があった。
このように、従来の暗号化の方法では、主に、3つの課題があった。
本発明は、このような従来の課題を解決するために為されたもので、効果的な暗号化データを通信することができる暗号化データ通信装置を提供することを目的とする。
具体的には、本発明では、例えば、秘匿性を向上させることや、回路規模を小さくすることや、装置のパフォーマンスを向上させることが可能な、暗号化データを送信する送信端末装置や、暗号化データを受信する受信端末装置を提供することを目的とする。
具体的には、本発明では、例えば、秘匿性を向上させることや、回路規模を小さくすることや、装置のパフォーマンスを向上させることが可能な、暗号化データを送信する送信端末装置や、暗号化データを受信する受信端末装置を提供することを目的とする。
上記目的を達成するため、本発明に係る暗号化データ通信装置では、次のような構成により、暗号化データを通信する。
すなわち、データ処理手段が、通信対象となるデータの圧縮ストリームに含まれるヘッダ(Header)及びユーザデータ(user_data)の部分に相当する固定長ビットストリームの全部又は一部を暗号化する暗号化方式に対応した処理を実行する。データ通信手段が、前記データ処理手段により処理される暗号化データを通信する。
すなわち、データ処理手段が、通信対象となるデータの圧縮ストリームに含まれるヘッダ(Header)及びユーザデータ(user_data)の部分に相当する固定長ビットストリームの全部又は一部を暗号化する暗号化方式に対応した処理を実行する。データ通信手段が、前記データ処理手段により処理される暗号化データを通信する。
例えば、送信端末装置では、通信対象となるデータを圧縮して圧縮ストリームを取得する圧縮処理手段と、前記取得された圧縮ストリームに含まれるヘッダ及びユーザデータの部分に相当する固定長ビットストリームの全部又は一部を暗号化する暗号化処理手段(データ処理手段)と、当該暗号化されたデータ(暗号化データ)を送信する送信手段(データ通信手段)を備える。
また、受信端末装置では、暗号化データを受信する受信手段(データ通信手段)と、当該受信された暗号化データにおける暗号化部分を復号する復号処理手段(データ処理手段)と、当該復号により取得された圧縮ストリームを伸張する伸張処理手段を備える。
また、受信端末装置では、暗号化データを受信する受信手段(データ通信手段)と、当該受信された暗号化データにおける暗号化部分を復号する復号処理手段(データ処理手段)と、当該復号により取得された圧縮ストリームを伸張する伸張処理手段を備える。
従って、例えば、圧縮ストリームに含まれるヘッダが暗号化されることによりデータの秘匿性を向上させることができ、また、暗号化される対象となる部分が固定長であるため暗号化対象となるデータ量の変動を抑えることができることから装置のパフォーマンスを向上させることができ、これらにより、効果的な暗号化データを通信することができる。
ここで、通信対象となるデータとしては、例えば、テキストデータや、映像(画像)データや、音声データなど、種々なものが用いられてもよい。
また、圧縮方式としては、種々な方式が用いられてもよい。
また、暗号化の手法としては、種々な手法が用いられてもよい。
また、圧縮ストリームに含まれるヘッダ及びユーザデータの部分に相当する固定長ビットストリームの全部が暗号化されてもよく、或いは、一部が暗号化されてもよい。なお、他の部分については、暗号化されない。
ここで、通信対象となるデータとしては、例えば、テキストデータや、映像(画像)データや、音声データなど、種々なものが用いられてもよい。
また、圧縮方式としては、種々な方式が用いられてもよい。
また、暗号化の手法としては、種々な手法が用いられてもよい。
また、圧縮ストリームに含まれるヘッダ及びユーザデータの部分に相当する固定長ビットストリームの全部が暗号化されてもよく、或いは、一部が暗号化されてもよい。なお、他の部分については、暗号化されない。
本発明に係る暗号化データ通信装置では、一構成例として、次のような構成とした。
すなわち、前記データ処理手段は、前記圧縮ストリームに含まれるアプリケーションデータ(Application_Data)部における非暗号化部分に所定のコードを挿入して当該コードを同期コード(同期マーカ)の全部又は一部として使用する方式に対応した処理を実行する。
すなわち、前記データ処理手段は、前記圧縮ストリームに含まれるアプリケーションデータ(Application_Data)部における非暗号化部分に所定のコードを挿入して当該コードを同期コード(同期マーカ)の全部又は一部として使用する方式に対応した処理を実行する。
例えば、送信端末装置では、前記暗号化処理手段(前記データ処理手段)が、前記圧縮ストリームに含まれるアプリケーションデータ部における非暗号化部分に、所定のコードを挿入する。
また、受信端末装置では、前記復号処理手段(前記データ処理手段)が、当該コードのみ或いは当該コードと他のデータ部分との組を同期コードとして使用して、暗号化データにおける暗号化部分を復号し、また、当該コードを削除する。
また、受信端末装置では、前記復号処理手段(前記データ処理手段)が、当該コードのみ或いは当該コードと他のデータ部分との組を同期コードとして使用して、暗号化データにおける暗号化部分を復号し、また、当該コードを削除する。
従って、例えば、所定のコードが挿入されて同期コードとして使用されることにより同期コードの誤認識回避のための回路を省いて回路規模を小さくすることが可能であり、また、非暗号化部分に所定のコードが挿入されることによりデータの秘匿性を向上させることができ、これらにより、効果的な暗号化データを通信することができる。
ここで、所定のコードとしては、種々なコードが用いられてもよい。
また、所定のコードから同期コードの全部が構成されてもよく、或いは、所定のコードから同期コードの一部が構成されてもよい。
また、所定のコードが挿入される位置としては、種々な位置が用いられてもよい。
ここで、所定のコードとしては、種々なコードが用いられてもよい。
また、所定のコードから同期コードの全部が構成されてもよく、或いは、所定のコードから同期コードの一部が構成されてもよい。
また、所定のコードが挿入される位置としては、種々な位置が用いられてもよい。
本発明に係る暗号化データ通信装置では、一構成例として、次のような構成とした。
すなわち、前記圧縮ストリームは、MPEG方式によりデータが圧縮されたものである。
また、前記データ処理手段は、所定のフレームのMBに前記所定のコードを挿入する方式に対応した処理を実行する。
例えば、送信端末装置では、前記暗号化処理手段(前記データ処理手段)が、MPEG方式による圧縮ストリームを暗号化するに際して、所定のフレームのMBに前記所定のコードを挿入する。
従って、MPEG方式による圧縮ストリームを通信するに際して、効果的な暗号化データを通信することができる。
ここで、所定のフレームとしては、種々なものが用いられてもよい。
すなわち、前記圧縮ストリームは、MPEG方式によりデータが圧縮されたものである。
また、前記データ処理手段は、所定のフレームのMBに前記所定のコードを挿入する方式に対応した処理を実行する。
例えば、送信端末装置では、前記暗号化処理手段(前記データ処理手段)が、MPEG方式による圧縮ストリームを暗号化するに際して、所定のフレームのMBに前記所定のコードを挿入する。
従って、MPEG方式による圧縮ストリームを通信するに際して、効果的な暗号化データを通信することができる。
ここで、所定のフレームとしては、種々なものが用いられてもよい。
本発明は、以上のような各種の処理を行う方法や、プログラムや、プログラムを記憶した記録媒体として提供することも可能である。
例えば、本発明に係る装置を構成するコンピュータに実行させるプログラムであって、以上のような各種の処理を行う機能を当該コンピュータにより実現することを特徴とするプログラムを提供することが可能である。
また、本発明に係る装置を構成するコンピュータに実行させるプログラムを当該コンピュータの入力手段により読み取り可能に記憶した記録媒体であって、当該プログラムは以上のような各種の処理を当該コンピュータに実行させることを特徴とする記録媒体を提供することが可能である。
例えば、本発明に係る装置を構成するコンピュータに実行させるプログラムであって、以上のような各種の処理を行う機能を当該コンピュータにより実現することを特徴とするプログラムを提供することが可能である。
また、本発明に係る装置を構成するコンピュータに実行させるプログラムを当該コンピュータの入力手段により読み取り可能に記憶した記録媒体であって、当該プログラムは以上のような各種の処理を当該コンピュータに実行させることを特徴とする記録媒体を提供することが可能である。
以上説明したように、本発明に係る暗号化データ通信装置によると、通信対象となるデータの圧縮ストリームに含まれるヘッダ(Header)及びユーザデータ(user_data)の部分に相当する固定長ビットストリームの全部又は一部を暗号化するようにしたため、効果的な暗号化を実現することができる。
また、本発明に係る暗号化データ通信装置によると、前記圧縮ストリームに含まれるアプリケーションデータ(Application_Data)部における非暗号化部分に所定のコードを挿入して、当該コードを同期コード(同期マーカ)の全部又は一部として使用するようにしたため、効果的な暗号化データ通信を実現することができる。
また、本発明に係る暗号化データ通信装置によると、前記圧縮ストリームに含まれるアプリケーションデータ(Application_Data)部における非暗号化部分に所定のコードを挿入して、当該コードを同期コード(同期マーカ)の全部又は一部として使用するようにしたため、効果的な暗号化データ通信を実現することができる。
本発明に係る一実施例を図面を参照して説明する。
図1には、本発明の一実施例に係る暗号化データ通信システムの構成例を示してある。
本例の暗号化データ通信システムは、送信端末装置1と受信端末装置2とをネットワーク3を介して接続して構成されている。
送信端末装置1は、その内部機能ブロックとして、入力部11と、圧縮部12と、暗号化処理部13と、LAN(Local Area Network)インターフェイス部14を備えている。
受信端末装置2は、その内部機能ブロックとして、LANインターフェイス部21と、復号化処理部22と、伸張部23と、出力部24を備えている。
図1には、本発明の一実施例に係る暗号化データ通信システムの構成例を示してある。
本例の暗号化データ通信システムは、送信端末装置1と受信端末装置2とをネットワーク3を介して接続して構成されている。
送信端末装置1は、その内部機能ブロックとして、入力部11と、圧縮部12と、暗号化処理部13と、LAN(Local Area Network)インターフェイス部14を備えている。
受信端末装置2は、その内部機能ブロックとして、LANインターフェイス部21と、復号化処理部22と、伸張部23と、出力部24を備えている。
送信端末装置1により行われる概略的な動作の一例を示す。
入力部1は、例えばカメラなど(図示せず)から入力されるアナログ映像の信号をデジタル映像の信号へ変換して圧縮部12へ出力する。
圧縮部12は、JPEG或いはMPEG等の圧縮アルゴリズムを使用して、入力部11から入力されるデジタル映像信号の映像を圧縮し、当該圧縮により得られる圧縮ストリームを暗号化処理部13へ出力する。
暗号化処理部13は、圧縮部12から入力される圧縮ストリームに対して所定の暗号化処理を行って、当該圧縮ストリームを暗号化ストリームへ変換してLANインターフェイス部14へ出力する。
LANインターフェイス部14は、暗号化処理部13から入力される暗号化ストリームをパケットに分割して、例えばRFC規格に準拠したパケットヘッダを付加した後に、IPパケットとしてネットワーク3へ送出する。
ネットワーク3は、送信端末装置1から出力されるIPパケットを受信端末装置2へ伝送する。
入力部1は、例えばカメラなど(図示せず)から入力されるアナログ映像の信号をデジタル映像の信号へ変換して圧縮部12へ出力する。
圧縮部12は、JPEG或いはMPEG等の圧縮アルゴリズムを使用して、入力部11から入力されるデジタル映像信号の映像を圧縮し、当該圧縮により得られる圧縮ストリームを暗号化処理部13へ出力する。
暗号化処理部13は、圧縮部12から入力される圧縮ストリームに対して所定の暗号化処理を行って、当該圧縮ストリームを暗号化ストリームへ変換してLANインターフェイス部14へ出力する。
LANインターフェイス部14は、暗号化処理部13から入力される暗号化ストリームをパケットに分割して、例えばRFC規格に準拠したパケットヘッダを付加した後に、IPパケットとしてネットワーク3へ送出する。
ネットワーク3は、送信端末装置1から出力されるIPパケットを受信端末装置2へ伝送する。
受信端末装置2により行われる概略的な動作の一例を示す。
LANインターフェイス部21は、ネットワーク3を経由して受け取ったIPパケットについて、当該IPパケットのヘッダ部とペイロード部を分離し、分離したペイロード部を連結した暗号化ストリームに戻して復号化処理部22へ出力する。
復号化処理部22は、LANインターフェイス部21から入力される暗号化ストリームに対して復号処理を行って、当該暗号化ストリームを平文の圧縮ストリームへ変換して伸張部23へ出力する。
伸張部23は、復号化処理部22から入力される圧縮ストリームに対して伸張処理を行って、当該圧縮ストリームを非圧縮デジタル信号へ伸張して出力部24へ出力する。
出力部24は、伸張部23から入力される非圧縮デジタル信号を再生機(図示せず)に合わせたフォーマットに変換して再生機へ出力する。
なお、送信側の圧縮部12で行われる圧縮処理の方式と受信側の伸張部23で行われる伸張処理の方式とは対応しており、送信側の暗号化処理部13で行われる暗号化処理の方式と受信側の復号化処理部22で行われる復号処理の方式とは対応している。
LANインターフェイス部21は、ネットワーク3を経由して受け取ったIPパケットについて、当該IPパケットのヘッダ部とペイロード部を分離し、分離したペイロード部を連結した暗号化ストリームに戻して復号化処理部22へ出力する。
復号化処理部22は、LANインターフェイス部21から入力される暗号化ストリームに対して復号処理を行って、当該暗号化ストリームを平文の圧縮ストリームへ変換して伸張部23へ出力する。
伸張部23は、復号化処理部22から入力される圧縮ストリームに対して伸張処理を行って、当該圧縮ストリームを非圧縮デジタル信号へ伸張して出力部24へ出力する。
出力部24は、伸張部23から入力される非圧縮デジタル信号を再生機(図示せず)に合わせたフォーマットに変換して再生機へ出力する。
なお、送信側の圧縮部12で行われる圧縮処理の方式と受信側の伸張部23で行われる伸張処理の方式とは対応しており、送信側の暗号化処理部13で行われる暗号化処理の方式と受信側の復号化処理部22で行われる復号処理の方式とは対応している。
次に、送信側の暗号化処理部13により行われる動作及び受信側の復号化処理部22により行われる動作について詳しく説明する。
本例では、送信側の圧縮部12で用いる圧縮アルゴリズムはMPEG−4であるとし、送信側の暗号化処理部13及び受信側の復号化処理部22で用いる暗号化アルゴリズムはMUGIであるとして、説明する。
なお、本例では、映像を扱う場合を示すが、処理対象としては映像に限定されず、例えば、ユニークなストリームヘッダを有する種々なアプリケーションの全てに対応することが可能である。
本例では、送信側の圧縮部12で用いる圧縮アルゴリズムはMPEG−4であるとし、送信側の暗号化処理部13及び受信側の復号化処理部22で用いる暗号化アルゴリズムはMUGIであるとして、説明する。
なお、本例では、映像を扱う場合を示すが、処理対象としては映像に限定されず、例えば、ユニークなストリームヘッダを有する種々なアプリケーションの全てに対応することが可能である。
図2には、本例の送信側の暗号化処理部13の内部機能ブロックの一例を示してある。
本例の暗号化処理部13は、擬似乱数発生器31と、演算部32と、ヘッダ検出部33と、冗長コード挿入部34を備えている。
図3には、本例の受信側の復号化処理部22の内部機能ブロックの一例を示してある。
本例の復号化処理部22は、擬似乱数発生器41と、演算部42と、冗長コード検出部43と、冗長コード削除部44を備えている。
本例の暗号化処理部13は、擬似乱数発生器31と、演算部32と、ヘッダ検出部33と、冗長コード挿入部34を備えている。
図3には、本例の受信側の復号化処理部22の内部機能ブロックの一例を示してある。
本例の復号化処理部22は、擬似乱数発生器41と、演算部42と、冗長コード検出部43と、冗長コード削除部44を備えている。
図4には、MPEG−4の圧縮ストリームのシンタックスと、本例において暗号化する部分を示してある。この圧縮ストリームは、圧縮部12から出力される信号に相当し、暗号化処理部13で暗号化される。
本例では、固定長であるストリームヘッダ部(Stream_Header部)の全て、及び可変長であるアプリケーションデータ部(Aplication_Data部)のGOVからユーザデータ(user_data)までのビット列を暗号化し、当該user_dataの直後のVOPヘッダから次にVSヘッダが現れるリフレッシュタイミングまでのApplication_Data部については暗号化処理を施さない。
本例では、固定長であるストリームヘッダ部(Stream_Header部)の全て、及び可変長であるアプリケーションデータ部(Aplication_Data部)のGOVからユーザデータ(user_data)までのビット列を暗号化し、当該user_dataの直後のVOPヘッダから次にVSヘッダが現れるリフレッシュタイミングまでのApplication_Data部については暗号化処理を施さない。
ここで、他の構成例として、暗号化強度を高めるために、Application_Data部に含まれるユニークコードであるVOPヘッダを暗号化することも可能である。なお、各マクロブロック(MB)のサイズは固定ではないため、VOPヘッダを暗号化する場合には、各MBの領域を把握するために、各MBのデータサイズなどの情報をストリームに付加する処理を行う。
本例では、Application_Data部の一部は暗号化しない(非暗号化とする)が、Application_Data部そのものが圧縮ストリームであるため、ネットワーク上で仮にストリームが盗み見られたとしても、再生に圧縮アルゴリズムに対応した伸張処理が必要になること、また、ストリームの改竄が行われたとしてもMPEG−4特有のフレーム相関により正しく表示される可能性が低いことから、この非暗号化が暗号化強度の劣化にはつながらない。
なお、再生に圧縮アルゴリズムに対応した伸張処理が必要になるとは、単にMPEG−4のデコーダがあっても伸張はできず、Stream_Header部の情報が伸張には必要であるということである。本例では、マクロブロック(MB)を非暗号化データとする代わりに、その伸張に必要なStream_Header部を暗号化しているため、暗号化強度の劣化には繋がらない。
なお、再生に圧縮アルゴリズムに対応した伸張処理が必要になるとは、単にMPEG−4のデコーダがあっても伸張はできず、Stream_Header部の情報が伸張には必要であるということである。本例では、マクロブロック(MB)を非暗号化データとする代わりに、その伸張に必要なStream_Header部を暗号化しているため、暗号化強度の劣化には繋がらない。
ここで、Stream_Header部のどのような情報が伸張に必要な情報であるかの具体例を示す。なお、必ずしも本具体例に限定されなくともよい。
例えば、VSヘッダ、VOヘッダ、VOHヘッダ、VOLヘッダは4バイトのユニークコードであり、伸張時にストリームの先頭を識別するための同期マーカとして必要となる。また、例えば、vop_time_increment_resolutionの情報は、16ビットの情報で、1モジュロ・タイムベースを等間隔に分割するサブインターバルの数を示しており、この情報がないと正常にフレームを再生表示することができない。
例えば、VSヘッダ、VOヘッダ、VOHヘッダ、VOLヘッダは4バイトのユニークコードであり、伸張時にストリームの先頭を識別するための同期マーカとして必要となる。また、例えば、vop_time_increment_resolutionの情報は、16ビットの情報で、1モジュロ・タイムベースを等間隔に分割するサブインターバルの数を示しており、この情報がないと正常にフレームを再生表示することができない。
また、本例では、受信側で暗号化したビット列を特定するために、暗号化処理をしないApplication_Data部の所定の位置に、規格上においてApplication_Data部では出現が禁止されているユニークコードを送信側で挿入して同期マーカとする。受信側では、この同期マーカに基づいて、暗号化部分のビット列を特定して、復号処理を行う。同期マーカとして用いる値は、例えば、エンコーダ側(送信側)と共に予めデコーダ側(受信側)にも設定しておく。また、例えば、「同期マーカ(本例では、VOP+VS)から102バイト前までの期間が暗号化部分のビット列である」などのように、同期マーカに基づいて暗号化部分のビット列の位置を特定することが可能な情報を予めデコーダ側に設定しておく。
図5には、暗号化ストリームにユニークな冗長コードを挿入する位置のフォーマットの一例を示してある。
本例では、Application_Data部のuser_dataに続くVOPヘッダの直後に、VSヘッダのビット列と一致するユニークな4バイトのビット列(以下で、VSヘッダと言う)を挿入する。この場合、4バイトのVOPヘッダと4バイトのVSヘッダとが連続するため、8バイトが同期マーカに割り当てられる。
更に、規格上、user_dataに続くVOPヘッダの直後にはイントラ符号化されたMB(I−VOP)がくることになっているため、ユニークな冗長コードをI−VOPに挿入することで、それ以降に続くMBは冗長コードを含んだI−VOPを参照することなる。つまり、仮に、VOPヘッダからストリーム構造が推測できたとしても、参照フレームに冗長コードを挿入するため、このままではフレーム相関をとっている以降のフレームは正しく再生できない。ここで、イントラ符号化では、一般に、他のピクチャの情報を使用せずに、それ自身のピクチャの情報のみで符号化が行われる。
本例では、Application_Data部のuser_dataに続くVOPヘッダの直後に、VSヘッダのビット列と一致するユニークな4バイトのビット列(以下で、VSヘッダと言う)を挿入する。この場合、4バイトのVOPヘッダと4バイトのVSヘッダとが連続するため、8バイトが同期マーカに割り当てられる。
更に、規格上、user_dataに続くVOPヘッダの直後にはイントラ符号化されたMB(I−VOP)がくることになっているため、ユニークな冗長コードをI−VOPに挿入することで、それ以降に続くMBは冗長コードを含んだI−VOPを参照することなる。つまり、仮に、VOPヘッダからストリーム構造が推測できたとしても、参照フレームに冗長コードを挿入するため、このままではフレーム相関をとっている以降のフレームは正しく再生できない。ここで、イントラ符号化では、一般に、他のピクチャの情報を使用せずに、それ自身のピクチャの情報のみで符号化が行われる。
なお、本例では、4バイトのVOPヘッダの直後にVSヘッダに一致するユニークな4バイトを挿入して8バイトが同期マーカとして割り当てられる場合を示すが、ユニークな情報を挿入する位置は他の位置であってもよい。また、ユニークな情報のビット数(バイト数)は、4バイトに限らず、種々な情報量であってもよい。
また、本例では、ユニークな情報としてVSヘッダに一致する情報を用いるが、他の構成例として、VOヘッダや、VOHヘッダや、VOLヘッダや、GOVヘッダや、VOPヘッダなどのように、他のユニークコードに一致する情報を用いることも可能である。
また、本例では、ユニークな情報としてVSヘッダに一致する情報を用いるが、他の構成例として、VOヘッダや、VOHヘッダや、VOLヘッダや、GOVヘッダや、VOPヘッダなどのように、他のユニークコードに一致する情報を用いることも可能である。
ここで、本例では、暗号化をかけた位置を特定するために、同期マーカとして、ユニークなコードをMBに入れていることから、MBに余計なデータを入れる結果として、第三者は映像を正しく再生できないという効果も得られる。
なお、一般に、I−VOPのVOPヘッダとP−VOPのVOPヘッダとは互いに異なる値であり、P−VOPのVOPヘッダは共通である。このため、一連のApplication_Data部に1個のI−VOPのみが含まれる場合には当該I−VOPのVOPヘッダを同期マーカとして使用することが可能であるが、一般には、2個以上のI−VOPがApplication_Data部に含まれ得る。P−VOPは、一般に、過去のピクチャを参照して予測符号化されたものである。また、過去と将来のピクチャを参照して双方向予測符号化されるB−VOPも考えられる。
なお、一般に、I−VOPのVOPヘッダとP−VOPのVOPヘッダとは互いに異なる値であり、P−VOPのVOPヘッダは共通である。このため、一連のApplication_Data部に1個のI−VOPのみが含まれる場合には当該I−VOPのVOPヘッダを同期マーカとして使用することが可能であるが、一般には、2個以上のI−VOPがApplication_Data部に含まれ得る。P−VOPは、一般に、過去のピクチャを参照して予測符号化されたものである。また、過去と将来のピクチャを参照して双方向予測符号化されるB−VOPも考えられる。
図2に示される暗号化処理部13により行われる動作の一例を示す。
暗号化処理部13への入力は、図4に示されるような圧縮ストリームであり暗号化前のものである。
ヘッダ検出部33は、圧縮ストリームを入力して、当該圧縮ストリームに含まれるユニークコードを検出し、これに基づいて、暗号化するビット列として、Stream_Header部及びApplication_Data部におけるUser_Data部分までを抽出する。
ヘッダ検出部33は、例えば、MPEG−4規格上、4バイトのユニークコードであるVSヘッダ(00 00 01 B0h)を見つけたら、このVSヘッダからApplication_Data部のUser_Data部の末尾までの102バイト(Bytes)に相当する期間は信号レベルをハイ(High)にする一方でそれ以外の期間は信号レベルをロウ(Low)にする識別情報を出力する。なお、この102バイトというビット数(バイト数)は、一例であり、他の値が用いられてもよい。一般に、VSヘッダからGOVヘッダまでは規格で定まっているが、user_data領域のビット数(バイト数)は種々である。
また、他の例として、VOHヘッダ(00 00 01 01h)を見つけた場合には、このVOHヘッダからApplication_Data部のUser_Data部の末尾までの92バイト(Bytes)に相当する期間の信号レベルをハイにする一方でそれ以外の期間は信号レベルをロウにする識別情報を出力するようにしてもよい。
暗号化処理部13への入力は、図4に示されるような圧縮ストリームであり暗号化前のものである。
ヘッダ検出部33は、圧縮ストリームを入力して、当該圧縮ストリームに含まれるユニークコードを検出し、これに基づいて、暗号化するビット列として、Stream_Header部及びApplication_Data部におけるUser_Data部分までを抽出する。
ヘッダ検出部33は、例えば、MPEG−4規格上、4バイトのユニークコードであるVSヘッダ(00 00 01 B0h)を見つけたら、このVSヘッダからApplication_Data部のUser_Data部の末尾までの102バイト(Bytes)に相当する期間は信号レベルをハイ(High)にする一方でそれ以外の期間は信号レベルをロウ(Low)にする識別情報を出力する。なお、この102バイトというビット数(バイト数)は、一例であり、他の値が用いられてもよい。一般に、VSヘッダからGOVヘッダまでは規格で定まっているが、user_data領域のビット数(バイト数)は種々である。
また、他の例として、VOHヘッダ(00 00 01 01h)を見つけた場合には、このVOHヘッダからApplication_Data部のUser_Data部の末尾までの92バイト(Bytes)に相当する期間の信号レベルをハイにする一方でそれ以外の期間は信号レベルをロウにする識別情報を出力するようにしてもよい。
擬似乱数発生器31は、秘密鍵と初期ベクタを入力して、乱数列を生成して演算部32へ出力する。
演算部32は、ヘッダ検出部33から出力される識別情報に従って信号レベルがハイ(High)である期間に、擬似乱数発生器31により生成された乱数列と入力される圧縮ストリームとの排他的論理和を実行するように制御を行って、当該圧縮ストリームに対して部分的に暗号化処理を施し、これにより得られた暗号化ストリームを冗長コード挿入部34へ出力する。
冗長コード挿入部34は、ヘッダ検出部33から出力される識別情報の信号レベルがハイ(High)からロウ(Low)へ切り替わって、予め設定した所定時間(本例では、VOPヘッダに相当する時間)が経過したら、演算部32から入力される暗号化ストリームにユニークな冗長コード(本例では、VSヘッダに一致するもの)を強制的に数バイト挿入し、これにより得られる図5に示されるような暗号化ストリームを後段のLANインターフェイス部14へ送る。
演算部32は、ヘッダ検出部33から出力される識別情報に従って信号レベルがハイ(High)である期間に、擬似乱数発生器31により生成された乱数列と入力される圧縮ストリームとの排他的論理和を実行するように制御を行って、当該圧縮ストリームに対して部分的に暗号化処理を施し、これにより得られた暗号化ストリームを冗長コード挿入部34へ出力する。
冗長コード挿入部34は、ヘッダ検出部33から出力される識別情報の信号レベルがハイ(High)からロウ(Low)へ切り替わって、予め設定した所定時間(本例では、VOPヘッダに相当する時間)が経過したら、演算部32から入力される暗号化ストリームにユニークな冗長コード(本例では、VSヘッダに一致するもの)を強制的に数バイト挿入し、これにより得られる図5に示されるような暗号化ストリームを後段のLANインターフェイス部14へ送る。
図3に示される復号化処理部22により行われる動作の一例を示す。
復号化処理部22への入力は、前段のLANインターフェイス部21においてIPパケットからペイロード部のみを抽出して連結しなおした暗号化ストリームである。
冗長コード検出部43は、入力される暗号化ストリームをスキャンして、送信端末装置1で強制的に挿入されたユニークな冗長コード(本例では、VSヘッダに一致するもの)を検出し、当該検出結果の情報(検出情報)を出力する。本例では、送信端末装置1で本来禁止されているユニークな冗長コードをApplication_Data部に挿入しているため、受信端末装置2では誤検出することなく挿入された冗長コードを検出することができ、冗長コードから所定バイト離れた位置の暗号化ビット列を特定することが可能である。なお、本例では、このユニークな4バイトの冗長コードを検出するに際して、その直前に配置されたVOPヘッダも合わせて8バイト分のビット列を検査する。
復号化処理部22への入力は、前段のLANインターフェイス部21においてIPパケットからペイロード部のみを抽出して連結しなおした暗号化ストリームである。
冗長コード検出部43は、入力される暗号化ストリームをスキャンして、送信端末装置1で強制的に挿入されたユニークな冗長コード(本例では、VSヘッダに一致するもの)を検出し、当該検出結果の情報(検出情報)を出力する。本例では、送信端末装置1で本来禁止されているユニークな冗長コードをApplication_Data部に挿入しているため、受信端末装置2では誤検出することなく挿入された冗長コードを検出することができ、冗長コードから所定バイト離れた位置の暗号化ビット列を特定することが可能である。なお、本例では、このユニークな4バイトの冗長コードを検出するに際して、その直前に配置されたVOPヘッダも合わせて8バイト分のビット列を検査する。
擬似乱数発生器41は、秘密鍵と初期ベクタを入力して、乱数列を生成して演算部42へ出力する。
演算部42は、冗長コード検出部43から出力される検出情報に基づいて、擬似乱数発生器41により生成された乱数列と暗号化ストリームに含まれる暗号化ビット列との排他的論理和を行って、これにより平文に戻した圧縮ストリームを冗長コード削除部44へ出力する。
冗長コード削除部44は、冗長コード検出部43から出力される検出情報に基づいて、演算部42から入力される圧縮ストリームから、送信端末装置1で挿入された冗長コードを削除し、これにより得られた圧縮ストリームを伸張部23へ出力する。
演算部42は、冗長コード検出部43から出力される検出情報に基づいて、擬似乱数発生器41により生成された乱数列と暗号化ストリームに含まれる暗号化ビット列との排他的論理和を行って、これにより平文に戻した圧縮ストリームを冗長コード削除部44へ出力する。
冗長コード削除部44は、冗長コード検出部43から出力される検出情報に基づいて、演算部42から入力される圧縮ストリームから、送信端末装置1で挿入された冗長コードを削除し、これにより得られた圧縮ストリームを伸張部23へ出力する。
以上のように、本例の暗号化データ通信システムでは、ネットワーク3を使ってコンテンツデータを暗号化して伝送する際に、コンテンツデータの圧縮ストリームに含まれるヘッダ及び所定のユーザデータに相当する固定長データビットストリームに暗号をかけることが行われる。
また、本例の暗号化データ通信システムでは、ネットワーク3を使ってコンテンツデータを暗号化して伝送する際に、コンテンツデータの圧縮ストリームに含まれるアプリケーションデータにユニークな冗長コードを埋め込むことが行われる。また、特に、コンテンツデータがMPEGデータである場合には、ユニークな冗長コードをI−VOPのMBに挿入して、秘匿性を高めることが行われる。
また、本例の暗号化データ通信システムでは、ネットワーク3を使ってコンテンツデータを暗号化して伝送する際に、コンテンツデータの圧縮ストリームに含まれるアプリケーションデータにユニークな冗長コードを埋め込むことが行われる。また、特に、コンテンツデータがMPEGデータである場合には、ユニークな冗長コードをI−VOPのMBに挿入して、秘匿性を高めることが行われる。
具体的には、本例の暗号化データ通信システムでは、コンテンツデータの圧縮ストリームを暗号化するに際して、次のような処理を行う。
すなわち、送信側の暗号化処理部13では、Stream_Header部とそれに続くuser_dataまでの固定長のデータビット列のみを暗号化し、Application_Data部におけるそれ以降の部分は暗号化せずにそのまま伝送する。また、Application_Data部における暗号化しない部分の所定の位置に、暗号化したデータビット列の領域を識別するためのユニークな冗長コードを埋め込み、これを同期マーカ(本例では、同期マーカの一部)として使用する。
また、受信側の復号化処理部22では、暗号化処理部13で埋め込まれた同期マーカをもとに、受信した暗号化ストリームのStream_Header部とそれに続くuser_dataまでの固定長データビット列の位置を検知して、復号処理を行う。また、同時に、暗号化処理部13で挿入された冗長コードを削除する。
すなわち、送信側の暗号化処理部13では、Stream_Header部とそれに続くuser_dataまでの固定長のデータビット列のみを暗号化し、Application_Data部におけるそれ以降の部分は暗号化せずにそのまま伝送する。また、Application_Data部における暗号化しない部分の所定の位置に、暗号化したデータビット列の領域を識別するためのユニークな冗長コードを埋め込み、これを同期マーカ(本例では、同期マーカの一部)として使用する。
また、受信側の復号化処理部22では、暗号化処理部13で埋め込まれた同期マーカをもとに、受信した暗号化ストリームのStream_Header部とそれに続くuser_dataまでの固定長データビット列の位置を検知して、復号処理を行う。また、同時に、暗号化処理部13で挿入された冗長コードを削除する。
従って、本例の暗号化データ通信システムでは、暗号化ストリームの秘匿性の低下を抑えることや、回路規模を小さく抑えることや、入力画像に依存していた暗号化処理負荷やその変動を軽減してパフォーマンスの低下を抑えることを実現することができ、効率の良い暗号化処理及び復号処理を実現することができる。また、例えば、メガピクセルに対応したデータストリームの暗号化処理及び復号処理に対応することもできる。
具体的には、本例の暗号化データ通信システムでは、ストリームの情報を記述したStream_Header部を暗号化するため、第三者により、定期的にやり取りされるパケットが収集されたとしても、付加された初期ベクタを推測することは困難であり、秘匿性の強化につながる。
また、本例の暗号化データ通信システムでは、規格でApplication_Data部での出現が禁止されているユニークな冗長コードを暗号化ストリームの同期マーカに使うことから、受信端末装置2で同期マーカを誤認識することを防ぐことができ、このため、従来必要であった同期マーカの誤認識回避用処理が不要となり、回路規模を小さくすることができる。
なお、暗号化したStream_Header部に同期マーカとして使うユニークな冗長コードに一致するビット列が出現する可能性はあるが、この条件としてはStream_Header部のユニークコード(4バイト)と“0”が32ビット(ユニークコード4バイト相当)連続する乱数列との排他的論理和をとるときであり、確率としては{1/(2の32乗)}である。また、同期コード全体の8バイトだと、更に確率は小さくなる。
なお、暗号化したStream_Header部に同期マーカとして使うユニークな冗長コードに一致するビット列が出現する可能性はあるが、この条件としてはStream_Header部のユニークコード(4バイト)と“0”が32ビット(ユニークコード4バイト相当)連続する乱数列との排他的論理和をとるときであり、確率としては{1/(2の32乗)}である。また、同期コード全体の8バイトだと、更に確率は小さくなる。
また、MBに挿入する同期マーカを構成するユニークコードをより長い値とすれば、対応するユニークコードが暗号化したヘッダ部に出現する可能性は低くなる。なお、従来におけるMBを暗号化をする方式では、いずれかのユニークヘッダを同期マーカとしていたため、同期マーカのデータ長を長くすることができなかった。
また、通常、MB(従来における暗号化部分)のデータ長と比べて、ヘッダ及び所定のユーザデータ(本例における暗号化部分)のデータ長の方が短いため、ユニークコードに一致するビット列が偶然に出現する確率は低くなる。
なお、本例では、VOPヘッダと挿入したコード(本例では、VSヘッダに一致するコード)とを合わせたものを同期マーカとしたが、例えば、挿入したコードのみを同期マーカとして使用することも可能である。
また、通常、MB(従来における暗号化部分)のデータ長と比べて、ヘッダ及び所定のユーザデータ(本例における暗号化部分)のデータ長の方が短いため、ユニークコードに一致するビット列が偶然に出現する確率は低くなる。
なお、本例では、VOPヘッダと挿入したコード(本例では、VSヘッダに一致するコード)とを合わせたものを同期マーカとしたが、例えば、挿入したコードのみを同期マーカとして使用することも可能である。
また、本例の暗号化データ通信システムでは、暗号化するビット列のサイズを常に固定にすることができ、ストリームのリフレッシュタイミングに合わせた周期的処理となるため、暗号化処理による負荷を軽減することができ、入力画像に影響を受けていた暗号化処理の負荷変動を抑えて、パフォーマンスの低下を回避することができる。
また、固定長のストリーム(本例では、Stream_Header部やuser_data領域)を暗号化するため、例えば、メガピクセルに対応した撮像装置であっても、暗号化処理及び復号処理の処理量を従来と同等程度に抑えることが可能である。つまり、メガピクセルの画像ではMBのデータ量が大きくなるが、MBの暗号化をする場合には処理負荷が大きくなる一方、本例では、MBを暗号化せず、その代わりにStream_Header部やuser_data領域を暗号化する構成であるため、暗号化の処理量を抑えることができる。
また、固定長のストリーム(本例では、Stream_Header部やuser_data領域)を暗号化するため、例えば、メガピクセルに対応した撮像装置であっても、暗号化処理及び復号処理の処理量を従来と同等程度に抑えることが可能である。つまり、メガピクセルの画像ではMBのデータ量が大きくなるが、MBの暗号化をする場合には処理負荷が大きくなる一方、本例では、MBを暗号化せず、その代わりにStream_Header部やuser_data領域を暗号化する構成であるため、暗号化の処理量を抑えることができる。
また、処理が重くストリーミングに適さないとされてきたブロック暗号方式についても、同様に対応することができる。
また、本例では、MPEG−4に適用した場合を示したが、これに限らず、MPEG−2やJPEG等のように、他の画像圧縮方式に適用することも可能であり、また、映像(画像)に限らず、音声等に適用することも可能である。
また、本例では、MPEG−4に適用した場合を示したが、これに限らず、MPEG−2やJPEG等のように、他の画像圧縮方式に適用することも可能であり、また、映像(画像)に限らず、音声等に適用することも可能である。
また、本例では、送信側の暗号化処理部13において、圧縮ストリームに含まれるVSヘッダを検出してから102バイト分を暗号化する構成とし、つまり、Stream_Header部の全てとApplication_Data部の最初からuser_dataまでの全てを暗号化する構成としたが、本例で暗号化することとしたビット列の中に暗号化を除外する部分を設けることも可能である。つまり、Stream_Header部からuser_data部分までの全てを暗号化するのではなく、例えば、user_data領域など、一部の領域については暗号化を行わない構成とすることも可能である。例えば、VSヘッダを検出してから最初の30バイト分の後における5バイト分は暗号化しないでその後の40バイトは暗号化するといった構成や、或いは、いずれかの所定の3バイト分は暗号化しないといった構成などを用いることも可能である。
また、本例では、I−VOPのMBにユニークコードを挿入したが、ユニークコードを挿入するVOPは、I−VOPに限られず、P−VOPであってもよい。但し、P−VOPにユニークコードを挿入する場合には、例えば「同期マーカ(本例では、VOP+VS)から所定バイト前までの期間が暗号化部分のビット列である」などということが、単純には言えなくなる。図5を例とすると、本例ではフレーム1(frame1)のI−VOPのMBにユニークコードを挿入したが、この代わりに、フレーム2(frame2)のP−VOPのMBにユニークコードを挿入する場合には、暗号化部分のビット列の位置を特定するために、直前のフレーム1のI−VOPのMBのサイズを把握することが必要となる。これは、MBのサイズは固定長ではなく、それ以外の部分は固定長であり予めサイズの把握が可能であるためである。従って、例えば、フレーム2のP−VOPのMBにユニークコードを挿入するような構成とする場合には、予め送信側でフレーム1のI−VOPのMBのサイズを受信側へ伝える仕組みを設ける。この仕組みとしては、例えば、付加ビットを設けてそこにI−VOPのサイズの情報を入れるなどを用いることができる。このようにすることで、受信側では、送信側から伝えられるフレーム1のI−VOPのMBのサイズを参照して、暗号化部分のビット列の位置を特定することができる。また、他の構成例として、送信側からフレーム1のI−VOPのMBのサイズを受信側へ伝える仕組みを設けなくとも、受信側においてフレーム1のVOPコードからフレーム2のVOPコードまでのサイズを調べることによりフレーム1のI−VOPのMBのサイズを把握するような構成とすることもできる。
また、MPEG−4ではVOPという表現を用いるが、例えば、MPEG−2で用いられるIピクチャやPピクチャなどのように、他の表現が用いられる場合についても、適用することが可能である。
また、MPEG−4ではVOPという表現を用いるが、例えば、MPEG−2で用いられるIピクチャやPピクチャなどのように、他の表現が用いられる場合についても、適用することが可能である。
なお、本例の送信端末装置1では、圧縮部12の機能により圧縮処理手段が構成されており、暗号化処理部13の機能により暗号化処理手段(データ処理手段)が構成されており、LANインターフェイス部14の機能により送信手段(データ通信手段)が構成されている。
また、本例の受信端末装置2では、LANインターフェイス部21の機能により受信手段(データ通信手段)が構成されており、復号化処理部22の機能により復号処理手段(データ処理手段)が構成されており、伸張部23の機能により伸張処理手段が構成されている。
また、本例の受信端末装置2では、LANインターフェイス部21の機能により受信手段(データ通信手段)が構成されており、復号化処理部22の機能により復号処理手段(データ処理手段)が構成されており、伸張部23の機能により伸張処理手段が構成されている。
ここで、本発明に係る送信端末装置や受信端末装置や通信システムなどの構成としては、必ずしも以上に示したものに限られず、種々な構成が用いられてもよい。また、本発明は、例えば、本発明に係る処理を実行する方法或いは方式や、このような方法や方式を実現するためのプログラムや当該プログラムを記録する記録媒体などとして提供することも可能であり、また、種々な装置やシステムとして提供することも可能である。
また、本発明の適用分野としては、必ずしも以上に示したものに限られず、本発明は、種々な分野に適用することが可能なものである。
また、本発明に係る送信端末装置や受信端末装置や通信システムなどにおいて行われる各種の処理としては、例えばプロセッサやメモリ等を備えたハードウエア資源においてプロセッサがROM(Read Only Memory)に格納された制御プログラムを実行することにより制御される構成が用いられてもよく、また、例えば当該処理を実行するための各機能手段が独立したハードウエア回路として構成されてもよい。
また、本発明は上記の制御プログラムを格納したフロッピー(登録商標)ディスクやCD(Compact Disc)−ROM等のコンピュータにより読み取り可能な記録媒体や当該プログラム(自体)として把握することもでき、当該制御プログラムを当該記録媒体からコンピュータに入力してプロセッサに実行させることにより、本発明に係る処理を遂行させることができる。
また、本発明の適用分野としては、必ずしも以上に示したものに限られず、本発明は、種々な分野に適用することが可能なものである。
また、本発明に係る送信端末装置や受信端末装置や通信システムなどにおいて行われる各種の処理としては、例えばプロセッサやメモリ等を備えたハードウエア資源においてプロセッサがROM(Read Only Memory)に格納された制御プログラムを実行することにより制御される構成が用いられてもよく、また、例えば当該処理を実行するための各機能手段が独立したハードウエア回路として構成されてもよい。
また、本発明は上記の制御プログラムを格納したフロッピー(登録商標)ディスクやCD(Compact Disc)−ROM等のコンピュータにより読み取り可能な記録媒体や当該プログラム(自体)として把握することもでき、当該制御プログラムを当該記録媒体からコンピュータに入力してプロセッサに実行させることにより、本発明に係る処理を遂行させることができる。
1・・送信端末装置、 2・・受信端末装置、 3・・ネットワーク、 11・・入力部、 12・・圧縮部、 13・・暗号化処理部、 14、21・・LANインターフェイス部、 22・・復号化処理部、 23・・伸張部、 24・・出力部、 31、41、51、61・・擬似乱数発生器、 32、42、52、62・・演算部、 33・・ヘッダ検出部、 34・・冗長コード挿入部、 43・・冗長コード検出部、 44・・冗長コード削除部、
Claims (3)
- 暗号化データを通信する暗号化データ通信装置において、
通信対象となるデータの圧縮ストリームに含まれるヘッダ及びユーザデータの部分に相当する固定長ビットストリームの全部又は一部を暗号化する暗号化方式に対応した処理、及び前記圧縮ストリームに含まれるアプリケーションデータ部における非暗号化部分に所定のコードを挿入して当該コードを同期コードの全部又は一部として使用する方式に対応した処理を実行するデータ処理手段と、
前記データ処理手段により処理される暗号化データを通信するデータ通信手段と、
を備えたことを特徴とする暗号化データ通信装置。 - 請求項1に記載の暗号化データ通信装置において、
前記圧縮ストリームは、MPEG方式によりデータが圧縮されたものであり、
前記データ処理手段は、所定のフレームのMBに前記所定のコードを挿入する方式に対応した処理を実行する、
ことを特徴とする暗号化データ通信装置。 - 請求項2に記載の暗号化データ通信装置において、
前記データ処理手段は、前記アプリケーションデータ部に含まれる前記ユーザデータに続くVOPヘッダの直後に前記所定のコードを挿入し、
前記同期コードとして、前記VOPヘッダと前記所定のコードを合わせたものを用いる、
ことを特徴とする暗号化データ通信装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004344533A JP4237131B2 (ja) | 2004-11-29 | 2004-11-29 | 暗号化データ通信装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004344533A JP4237131B2 (ja) | 2004-11-29 | 2004-11-29 | 暗号化データ通信装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006157426A JP2006157426A (ja) | 2006-06-15 |
| JP4237131B2 true JP4237131B2 (ja) | 2009-03-11 |
Family
ID=36635181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004344533A Expired - Fee Related JP4237131B2 (ja) | 2004-11-29 | 2004-11-29 | 暗号化データ通信装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4237131B2 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2456996B (en) | 2006-12-26 | 2011-09-21 | Fujitsu Ltd | Data compression apparatus and data decompression apparatus |
| EP2141923A1 (en) * | 2008-06-30 | 2010-01-06 | Thomson Licensing | Methods and apparatuses for selective data encryption |
| JP5393886B2 (ja) * | 2010-06-01 | 2014-01-22 | 三菱電機株式会社 | メディア暗号化装置、メディア暗号復号装置、メディア暗号化方法およびメディア暗号復号方法 |
| JP5290372B2 (ja) * | 2011-09-22 | 2013-09-18 | Kddi株式会社 | 送信装置および受信装置 |
| JP2012054945A (ja) * | 2011-09-22 | 2012-03-15 | Kddi Corp | 送信装置および受信装置 |
| WO2021084944A1 (ja) * | 2019-10-30 | 2021-05-06 | ソニー株式会社 | 情報処理システム、情報処理方法、撮像装置、情報処理装置 |
-
2004
- 2004-11-29 JP JP2004344533A patent/JP4237131B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006157426A (ja) | 2006-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100734577B1 (ko) | 암호화방법, 암호화장치, 데이터축적 전송장치 및 데이터 전송시스템 | |
| JP4188958B2 (ja) | 暗号化方法及びデータ配信システム及び暗号化装置及びデータ蓄積配信装置 | |
| US7668314B2 (en) | System and method for communicating encrypted data | |
| KR101760092B1 (ko) | 하드웨어 보안모듈을 이용한 cctv 보안강화 장치 및 그 방법 | |
| US7151832B1 (en) | Dynamic encryption and decryption of a stream of data | |
| US20020129243A1 (en) | System for selective encryption of data packets | |
| US20050193206A1 (en) | Digital watermarking system using a cryptographic key | |
| US7706532B2 (en) | Encryption/decryption device and method | |
| JP2009505516A (ja) | エレメンタリストリームコンテンツの保護 | |
| WO2009093292A1 (ja) | 動画像送受信システム | |
| US20020118828A1 (en) | Encryption apparatus, decryption apparatus, and authentication information assignment apparatus, and encryption method, decryption method, and authentication information assignment method | |
| US9031227B2 (en) | Pattern-free encryption | |
| JP4237131B2 (ja) | 暗号化データ通信装置 | |
| US20240098220A1 (en) | Surveillance camera system | |
| JP4499631B2 (ja) | 画像受信装置及びプログラム | |
| JP2012114654A (ja) | 監視カメラおよび蓄積装置、並びに監視画像改ざん検出方法 | |
| JP6018880B2 (ja) | 暗号化装置、復号装置、暗号化プログラム、および復号プログラム | |
| JP2007311842A (ja) | データストリーム無線送信装置、データストリーム無線受信装置、無線伝送システム、撮像装置、再生装置、データストリーム無線送信方法及びプログラム | |
| EP2829072B1 (en) | Encryption-resistant watermarking | |
| JP2009213083A (ja) | 画像圧縮方法及び画像圧縮装置 | |
| JP2013150147A (ja) | 暗号化装置、復号装置、暗号化プログラム、および復号プログラム | |
| JP2010068318A (ja) | 動画像圧縮装置及び動画像伸張装置 | |
| JP2015082829A (ja) | 暗号化装置、復号装置、暗号化プログラム、および復号プログラム | |
| KR100726138B1 (ko) | 감시카메라의 오동작 감지 및 영상 암호 시스템 및 그방법 | |
| JP2015139008A (ja) | 暗号化装置、復号装置、暗号化プログラム、および復号プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070928 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20070928 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071016 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20080901 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080916 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081030 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20081125 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20081217 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4237131 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20111226 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121226 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131226 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |