专利名称:数据加密/解密方法以及监视系统的制作方法
技术领域:
本发明涉及一种数据加密/解密方法及监视系统。本发明特别涉及在这样的系统中的密钥管理方法的改进即,在所述系统中,分发诸如运动图像等的连续数据的装置不同于密钥管理装置,该密钥管理装置管理用于加密和解密的密钥从而为该连续数据提供安全性。
为了实现连续数据的安全性,需要根据适当时机改变对数据进行加密和解密的密钥。
背景技术:
有这样一种作为现有技术的系统,其中,具有位于监视区域内的诸如监视摄像机等的多个图像分发单元的图像分发装置将图像数据经由网络传输到图像再生装置中,并且图像再生装置对接收到的图像数据进行再生和显示。
JP-A-2004-274478公开了这样一种系统,其中,图像分发装置对将被分发的图像数据进行加密,并且图像再生装置对该图像数据进行解密,以再生被解密的图像数据。
将JP-A-2004-274478(第三页的段落 )称作现有技术。
图5是示出作为现有技术的示例性监视系统的示例性结构的框图。该系统具有图像分发装置10,其位于监视区域内,并且包括多个用于产生诸如运动图像等的连续图像数据的图像分发单元11(例如,监视摄像机);图像再生装置30,其对经由网络20从图像分发装置10接收到的图像数据进行再生;以及密钥管理装置40,其对用于加密和解密的密钥进行管理以实现连续数据的安全性。
为了实现连续数据的安全性,监视系统对该连续数据的密钥进行管理,例如,对顺序号或数据的时间戳等进行管理。现将对密钥管理处理进行详细描述。
(1)对与时间相关的密钥进行管理用于产生数据的图像分发装置10经由网络20a从密钥管理装置40获得对于在特定时间或规定时间段使用的指定密钥,或将该指定密钥经由网络20a传输到密钥管理装置40。图像分发装置10使用该指定密钥来加密数据,或当通过图像再生装置30对数据进行解密时,针对该相关时间,图像分发装置10经由网络20a从密钥管理装置40获得指定密钥,以对该数据进行解密。
(2)对与顺序号相关的密钥进行管理用于产生数据的图像分发装置10经由网络20a从密钥管理装置40获得相关顺序号的指定密钥,或将该密钥传输到密钥管理装置40。
图像分发装置10使用该指定密钥来加密数据,或当图像再生装置30将对数据进行解密时,针对该相关顺序号,图像分发装置10经由网络20a从密钥管理装置40获得指定密钥,以对数据进行解密。
然而,当使用作为现有技术的监视系统时,会遇到如下问题。
在执行与时间相关的密钥管理的情况(1)中,当管理并提供密钥的密钥管理装置40不同于使用该密钥的装置(图像分发装置10或图像再生装置30)时,这两个装置之间的时间同步是必要的。
然而,难以获得准确时间的同步,另外也会增加有关的成本。此外,当在图像分发装置10的时间改变的同时发生时间逆转时,不能正确地执行密钥管理。
在执行与顺序号相关的密钥管理的情况(2)中,当由于诸如复位等某些原因而引起顺序号重复时,难以正确地执行密钥管理。
发明内容
本发明的目的在于提供一种数据加密/解密方法以及监视系统,该监视系统具有管理密钥的密钥管理装置、加密连续数据的装置以及再生解密数据的装置,在该监视系统中,在保持高安全性的同时,该密钥管理装置的数据库中的密钥数据可以适当地用于加密和解密分发的数据,并且还可容易执行密钥管理。
本发明提供一种在监视系统中执行的数据加密/解密方法,所述监视系统包括分发装置、再生装置以及密钥管理装置,所述分发装置对连续数据进行加密,并且经由网络分发所述加密的连续数据;所述再生装置对经由所述网络分发的加密数据进行解密,以再生所述连续数据;所述密钥管理装置具有密钥管理数据库,其中,所述分发装置从所述密钥管理装置获得与所述分发装置相关联的密钥号以及与所述密钥号相关联的密钥信息,使用所述获得的密钥信息对数据进行加密,并且分发具有所述获得的密钥号的所述加密数据,以及所述再生装置将附加在所述加密数据上的密钥号传输到所述密钥管理装置,获得与传输的密钥号相关联的密钥信息,并且使用所述获得的密钥信息对所述加密数据进行解密。
根据该数据加密/解密方法,由于与分发装置和再生装置分离地设置的密钥管理装置可以对密钥进行管理,所以,密钥管理是容易的。此外,在保持高安全性的同时,由密钥管理装置管理的密钥数据可以有效地用于对分发数据的加密和解密。
本发明还提供一种监视系统,包括分发装置,其对连续数据进行加密,并且经由网络分发加密的连续数据;再生装置,其对经由所述网络分发的加密数据进行解密,以再生所述连续数据;以及密钥管理装置,其具有密钥管理数据库,其中,所述分发装置从所述密钥管理装置获得与所述分发装置相关联的密钥号以及与所述密钥号相关联的密钥信息,使用所述获得的密钥信息对数据进行加密,并且分发具有所述获得的密钥号的所述加密数据,以及所述再生装置将附加在所述加密数据上的密钥号传输到所述密钥管理装置,获得与传输的密钥号相关联的密钥信息,并且使用所述获得的密钥信息对所述加密数据进行解密根据该监视系统,还可通过有效地使用由密钥管理装置管理的密钥数据来执行在保持高安全性的同时执行的加密和解密。密钥管理处理也是容易的。
在该监视系统中,连续数据是图像数据、音频数据、或从设置在监视系统中的传感器获得的测量数据中的至少一种数据。
在该监视系统中,包括在所述密钥管理装置中的密钥管理数据库存储相互关联的密钥号和密钥信息,以及存储相互关联的用于识别所述分发装置的识别号和所述分发装置当前正在使用的密钥号。
根据该数据加密/解密方法以及该监视系统,由于通过有效地使用由密钥管理装置管理的密钥信息来执行对分发数据的加密和解密,所以,可以容易地为加密和解密提供高安全性。
在使用密钥管理数据库的同时由密钥管理装置提供的密钥管理处理非常简单,并且易于执行。
此外,当使用密钥对连续数据进行加密的装置不同于管理该密钥的装置时,密钥管理处理也是简单的。而且,既不需要由作为现有技术的系统执行的耗费成本的时间同步处理,也不需要在产生数据的装置被复位时执行的对顺序号的存储。
图1是示出根据本发明的监视系统的实施例的框图;图2是示出在密钥管理数据库中的示例性密钥管理表的示图;图3是示出在密钥管理数据库中的示例性装置管理表的示图;图4是示出根据本发明的监视系统的另一实施例的框图;以及图5是示出作为现有技术的示例性监视系统的结构的框图。
具体实施例方式
现将参照附图对本发明的实施例进行详细描述。将对数据加密/解密方法以及监视系统进行描述。在实施例中,使用通过监视摄像机获得的图像数据。图1示出根据本发明的监视系统的实施例。
图1所示的监视系统具有包括诸如监视摄像机等的图像分发单元111的图像分发装置110、图像再生装置130、以及密钥管理装置140。在本实施例中,图像分发装置110将加密的图像数据经由网络120分发到图像再生装置130。因此,不需要为了保证图像数据的安全而利用IPsec或SSL来保护通信路径的安全。
另一方面,经由密钥管理装置140与图像分发装置110之间的以及密钥管理装置140与图像再生装置130之间的网络120a,按照以虚线箭头表示的方向传输密钥信息。在本实施例中,在密钥管理装置140与图像分发装置110之间,以及在密钥管理装置140与图像再生装置130之间,必须利用IPsec或SSL来进行安全通信。
将对监视系统中的每一装置的操作如下说明。
(1)密钥管理装置140具有密钥管理数据库,并且在密钥管理数据库中,检索图像分发装置110使用的最新密钥号以及与该最新密钥号相关联的密钥信息。密钥管理装置140将该密钥号与该密钥信息传输到图像分发装置110中。
(2)图像分发装置110产生连续数据,通过使用与获得的密钥号相关联的密钥信息加密该产生的图像数据,并且分发被附加密钥号的加密的图像数据。
(3)图像再生装置130从接收到的图像数据中获得密钥号,将该密钥号传输到密钥管理装置140中,并请求相关联的密钥信息。
(4)密钥管理装置140将与密钥号相关联的密钥信息传输到图像再生装置130中。
(5)图像再生装置130使用获得的密钥信息来对该被加密分发的图像数据进行解密,然后显示解密的图像数据。
现将对密钥管理数据库进行详细的说明。在密钥管理装置140具有的密钥管理数据库(例如,关系数据库)中,存储有图2所示的密钥管理表与图3所示的装置管理表。
密钥管理表是存储将由图像分发装置110和图像再生装置130使用的密钥号以及与该密钥号相关联的密钥信息的管理表。如图2所示,密钥号(1,2,3,…)与密钥信息(Key1,Key2,Key3,…)相互关联。主键(key)是密钥号。
装置管理表是管理图像分发装置110的信息的表。如图3所示,该装置管理表存储装置号(1,2,3,…)、当前使用的密钥号(例如,3,1,5,…)以及附加信息(例如,装置名、装置的IP地址或认证密钥等),它们是相互关联的。在这种情况下,主键就是装置号。装置号是用于唯一地识别图像分发装置110的识别号。
当前使用的密钥号是图像分发装置110当前正在使用的密钥号。能从图2所示的密钥管理表中获得相关联的密钥信息。
根据需要,附加信息对装置名、装置的IP地址或认证密钥等进行定义。在图像分发装置110安装于因特网上,并且获得访问认证作为用以防止DOS攻击的措施时,认证密钥发挥其效果。
利用图2和图3所示的密钥管理数据库,密钥管理装置140提供密钥号与密钥信息,该密钥号与该密钥信息由图像分发装置110使用来对图像数据进行加密并且由图像再生装置130使用来对图像数据进行解密。
图像分发装置110执行的图像分发顺序(数据加密/解密方法)如下起动时(1)图像分发装置110从密钥管理装置140请求密钥号和密钥信息。
(2)密钥管理装置140从密钥管理数据库中搜索图像分发装置110使用的最新密钥号和相关联的密钥信息,将该密钥号和该密钥信息传输到图像分发装置110。
(3)图像分发装置110使用接收到的密钥信息来加密图像数据,并将操作状态转换到图像分发允许状态。
图像分发允许状态(4)图像分发装置110从图像再生装置130中接收图像分发请求。
(5)图像分发装置110利用先前从密钥管理装置140获得的密钥信息来加密图像数据,并且将被附加密钥号的加密图像数据传输到图像再生装置130。
由图像再生装置130进行的图像再生顺序如下(1)图像再生装置130从图像分发装置110中获得所期望的将要再生的图像数据。
(2)获得的图像数据包括密钥号和加密的图像数据。图像再生装置130将该密钥号传输到密钥管理装置140,并获得相关联的密钥信息。
(3)图像再生装置130使用获得的密钥信息来对被加密的图像数据进行解密,并且再生明文(plaintext)图像数据。
尽管在上面实施例中已使用图像数据作为示例,但本发明并不限于图像数据。本发明能应用于产生连续数据的装置不同于管理用于加密和解密数据的密钥的密钥管理装置的情况,并且可以应用于例如图4所示的摄像机监视系统。
在图4中,分发数据的信息分发装置100具有本实施例的图像分发装置110、多频道(CH1,CH2,…)的音频分发装置1110、以及诸如传感器等的多信息分发装置1120。
将信息分发装置100输出的各种类型的实况信息分发到数据再生/显示装置130a或记录装置160。
当将实况信息分发到数据再生/显示装置130a时,以与本实施例中描述的相同方式对该信息进行加密或解密。
当将实况信息分发到记录装置160时,进行如下的处理。像本实施例一样,信息分发装置100使用密钥信息对该实况信息进行加密,并将被附加密钥号的加密的实况信息分发到记录装置160。然后,记录装置160记录该加密的实况信息。
数据再生/显示装置130a从记录装置160中获得期望再生的数据。如此获得的数据包括密钥号和加密的数据。此后,数据再生/显示装置130a从密钥管理装置140中获得与密钥号相关的密钥信息,使用如此获得的密钥信息对加密的数据进行解密,并且再生/显示解密的数据。
本发明并不限于上述实施例,只要不脱离本发明的实质,还能包括更多的变化和变型。
权利要求
1.一种在监视系统中执行的数据加密/解密方法,所述监视系统包括分发装置、再生装置以及密钥管理装置,所述分发装置对连续数据进行加密,并且经由网络分发所述加密的连续数据;所述再生装置对经由所述网络分发的加密数据进行解密,以再生所述连续数据;所述密钥管理装置具有密钥管理数据库,其中,所述分发装置从所述密钥管理装置获得与所述分发装置相关联的密钥号以及与所述密钥号相关联的密钥信息,使用所述获得的密钥信息对数据进行加密,并且分发具有所述获得的密钥号的所述加密数据,以及所述再生装置将附加在所述加密数据上的密钥号传输到所述密钥管理装置,获得与传输的密钥号相关联的密钥信息,并且使用所述获得的密钥信息对所述加密数据进行解密。
2.一种监视系统,包括分发装置,其对连续数据进行加密,并且经由网络分发加密的连续数据;再生装置,其对经由所述网络分发的加密数据进行解密,以再生所述连续数据;以及密钥管理装置,其具有密钥管理数据库,其中,所述分发装置从所述密钥管理装置获得与所述分发装置相关联的密钥号以及与所述密钥号相关联的密钥信息,使用所述获得的密钥信息对数据进行加密,并且分发具有所述获得的密钥号的所述加密数据,以及所述再生装置将附加在所述加密数据上的密钥号传输到所述密钥管理装置,获得与传输的密钥号相关联的密钥信息,并且使用所述获得的密钥信息对所述加密数据进行解密。
3.根据权利要求2所述的监视系统,其中,所述连续数据是图像数据、音频数据或从设置在所述监视系统中的传感器获得的测量数据这些数据中的至少一种。
4.根据权利要求2所述的监视系统,其中,包括在所述密钥管理装置中的密钥管理数据库存储相互关联的密钥号和密钥信息,以及存储相互关联的用于识别所述分发装置的识别号和所述分发装置当前正在使用的密钥号。
全文摘要
公开一种监视系统,具有分发装置,其对连续数据进行加密,并且经由网络分发加密的连续数据;再生装置,其对经由网络分发的加密数据进行解密,以再生连续数据;以及密钥管理装置,其具有密钥管理数据库。该分发装置从密钥管理装置获得与分发装置相关联的密钥号以及与密钥号相关联的密钥信息,使用获得的密钥信息对数据进行加密,并且分发具有获得的密钥号的加密数据。该再生装置将附加在加密数据上的密钥号传输到密钥管理装置,获得与传输的密钥号相关联的密钥信息,并且使用获得的密钥信息对加密数据进行解密。
文档编号H04N7/18GK1791212SQ20051013049
公开日2006年6月21日 申请日期2005年12月13日 优先权日2004年12月14日
发明者伊藤和幸, 宫泽和纪 申请人:横河电机株式会社