IP Force 特許公報掲載プロジェクト 2022.1.31 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 杭州海康威視数字技術股▲フン▼有限公司の特許一覧

特許7515751ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス
<>
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図1
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図2
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図3
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図4
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図5
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図6
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図7
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図8
  • 特許-ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス 図9
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-04
(45)【発行日】2024-07-12
(54)【発明の名称】ビデオデータスライスの暗号化方法、装置、システム及び電子デバイス
(51)【国際特許分類】
   H04L 9/08 20060101AFI20240705BHJP
   G06F 21/60 20130101ALI20240705BHJP
   H04L 9/32 20060101ALI20240705BHJP
【FI】
H04L9/08 C
G06F21/60 320
H04L9/08 F
H04L9/32 200B
【請求項の数】 6
(21)【出願番号】P 2023571699
(86)(22)【出願日】2022-05-16
(65)【公表番号】
(43)【公表日】2024-05-02
(86)【国際出願番号】 CN2022093116
(87)【国際公開番号】W WO2022242607
(87)【国際公開日】2022-11-24
【審査請求日】2023-11-17
(31)【優先権主張番号】202110546576.8
(32)【優先日】2021-05-19
(33)【優先権主張国・地域又は機関】CN
【早期審査対象出願】
(73)【特許権者】
【識別番号】508219313
【氏名又は名称】杭州海康威視数字技術股▲フン▼有限公司
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】王 ▲濱▼
(72)【発明者】
【氏名】▲陳▼ 思
(72)【発明者】
【氏名】▲陳▼ 加▲棟▼
(72)【発明者】
【氏名】姚 相振
(72)【発明者】
【氏名】李 琳
(72)【発明者】
【氏名】黄 晶晶
【審査官】平井 誠
(56)【参考文献】
【文献】中国特許出願公開第106231346(CN,A)
【文献】特開2005-284525(JP,A)
【文献】特開2002-176419(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00-40
G06F 21/00-88
(57)【特許請求の範囲】
【請求項1】
鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化方法であって、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップと
前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含み、
ここで、ビデオ鍵はビデオデータスライスを暗号化するために用いられ、保護鍵はビデオ鍵を暗号化するために用いられ、前記第1の保護鍵は、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、同じ鍵IDに対応する保護鍵は同じであり、
前記ターゲット暗号化ノードが前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップは、
前記ターゲット暗号化ノードが第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成するステップと、
前記ターゲット暗号化ノードが前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得るステップと、
前記ターゲット暗号化ノードが前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させるステップであって、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成される、ステップと、
前記ターゲット暗号化ノードが前記鍵管理システムから送信された前記保護鍵暗号文を受信するステップと、
前記ターゲット暗号化ノードが前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成するステップと、
前記ターゲット暗号化ノードが前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るステップと、を含むことを特徴とする方法。
【請求項2】
前記ターゲット暗号化ノードが前記第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、
前記ターゲット暗号化ノードが前記鍵管理システムから送信された鍵パラメータ暗号文を受信するステップであって、鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られる、ステップと、
前記ターゲット暗号化ノードが前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定するステップと、をさらに含むことを特徴とする請求項に記載の方法。
【請求項3】
前記ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出するステップと、
前記ターゲット暗号化ノードが前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得するステップであって、前記第2の保護鍵は、前記ターゲット暗号化ノードから送信された、前記第2の鍵IDが付加される保護鍵の取得要求に応答して、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信される、ステップと、
前記ターゲット暗号化ノードが前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得るステップと、
前記ターゲット暗号化ノードが前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化するステップと、をさらに含むことを特徴とする請求項1に記載の方法。
【請求項4】
鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化装置であって、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するための取得ユニットであって、前記第1の保護鍵は、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、同じ鍵IDに対応する保護鍵は同じである、取得ユニットと、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るための暗号化ユニットであって、前記暗号化ユニットはさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる、暗号化ユニットと、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するための処理ユニットと、を含み、
前記第1の鍵IDに基づいて前記鍵管理システムから前記第1の保護鍵を取得するとき、前記取得ユニットは、
第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、
前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、
前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させ、ここで、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成され、
前記鍵管理システムから送信された前記保護鍵暗号文を受信し、
前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、
前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる、ことを特徴とする装置。
【請求項5】
ビデオデータスライスの暗号化システムであって、鍵管理システムと複数の暗号化ノードを含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノードがターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、同じ鍵IDに対応する保護鍵は同じであり
前記鍵管理システムが前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信するために用いられ、
前記鍵管理システムが前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証し、検証に合格した場合、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて第3の鍵を生成するために用いられ、
前記鍵管理システムがさらに、前記第3の鍵に基づいて、前記デバイスIDに対応する前記第1の保護鍵を暗号化し、保護鍵暗号文を得、前記保護鍵暗号文を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記保護鍵暗号文を受信し、前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる、ことを特徴とするシステム。
【請求項6】
前記鍵管理システムがさらに、前記第3の鍵を用いて前記鍵パラメータを暗号化し、鍵パラメータ暗号文を得、前記鍵パラメータ暗号文を前記暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記鍵パラメータ暗号文を受信し、前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化するために用いられる、ことを特徴とする請求項5に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報安全性の技術分野に関し、特にビデオデータスライスの暗号化方法、装置、システム及び電子デバイスに関する。
【背景技術】
【0002】
ビデオデータの安全性を向上させるために、ビデオデータの格納や伝送の際には、通常、ビデオデータの暗号化が必要となる。ビデオデータ暗号化の計算量とリソース消費量を削減するために、ビデオスライス及び暗号化技術は徐々にビデオデータ暗号化のための一般的な研究方向となっている。
【0003】
しかし、実際には、従来のビデオスライスの暗号化技術では、同じビデオのすべてのスライスは、通常、同じ鍵を使用して暗号化及び復号化され、安全性が低いことが判明した。
【発明の概要】
【課題を解決するための手段】
【0004】
以上のことから、本発明は、ビデオデータスライスの暗号化方法、装置システム及び電子デバイスを提供する。
【0005】
具体的に、本発明は、以下の技術的解決手段によって実現される。
【0006】
本発明の実施形態の第1の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化方法が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記方法は、
前記ターゲット暗号化ノードが第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、前記ターゲット暗号化ノードが第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るステップであって、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである、ステップと、
前記ターゲット暗号化ノードが前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るステップと、
前記ターゲット暗号化ノードが前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するステップと、を含む。
【0007】
本発明の実施形態の第2の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用されるビデオデータスライスの暗号化装置が提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記装置は、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するための取得ユニットであって、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである、取得ユニットと、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るための暗号化ユニットであって、前記暗号化ユニットはさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる、暗号化ユニットと、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するための処理ユニットと、を含む。
【0008】
本発明の実施形態の第3の態様によれば、ビデオデータスライスの暗号化システムが提供され、前記システムは鍵管理システムと複数の暗号化ノードを含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノードがターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システムが前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノードがターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。
【0009】
本発明の実施形態の第4の態様によれば、鍵管理システムと複数の暗号化ノードとを含むビデオデータスライスの暗号化システムにおけるターゲット暗号化ノードに適用される電子デバイスが提供され、前記ターゲット暗号化ノードは前記複数の暗号化ノードのいずれかであり、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスは、前記複数の暗号化ノードのうちの少なくとも2つに割り当てられて暗号化され、前記電子デバイスはプロセッサ及び機械読み取り可能な記憶媒体を含み、前記機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、前記プロセッサは、前記機械実行可能命令を実行することで、
第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得、
前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得、
前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納する動作を実施するように構成される。
【発明の効果】
【0010】
本発明の実施例に係るビデオデータスライスの暗号化方法は、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、少なくとも2つの暗号化ノードに割り当てて暗号化処理を行い、少なくとも2つの暗号化ノードによって同一のビデオストリーム又はビデオファイルの異なるビデオデータスライスを暗号化することにより、分散暗号化を実現し、ビデオデータスライスの暗号化効率を向上させる。また、ビデオデータスライスを暗号化する際、暗号化ノードは生成された乱数をビデオ鍵とし、鍵管理システムから取得した保護鍵を用いてビデオ鍵を暗号化することができ、これによりビデオ鍵の安全性を確保し、ビデオデータスライスの安全性を向上させる。
【図面の簡単な説明】
【0011】
図1】本発明の一実施形態におけるビデオデータスライスの暗号化方法のフローチャートである。
図2】本発明の一実施形態における、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するフローチャートである。
図3】本発明の一実施形態におけるビデオデータスライスの復号化方法のフローチャートである。
図4】本発明の一実施形態におけるビデオデータスライスの暗号化方法の具体的な応用シーンのアーキテクチャ概略図である。
図5】本発明の一実施形態におけるビデオデータスライスの暗号化方法の第1段階~第4段階のフローチャートである。
図6】本発明の一実施形態におけるビデオデータスライスの暗号化装置の構造概略図である。
図7】本発明の別の実施形態における別のビデオデータスライスの暗号化装置の構造概略図である。
図8】本発明の一実施形態における電子デバイスのハードウェアの構造概略図である。
図9】本発明の一実施形態におけるビデオデータスライスの暗号化システムの構造概略図である。
【発明を実施するための形態】
【0012】
ここで、例示的な実施形態について詳細に説明し、その例は図面に示す。以下の説明が図面に関連する場合、特に示されない限り、異なる図面における同じ数字は、同じまたは類似の要素を表す。以下の例示的な実施形態に記載される実施形態は、本発明と一致する全ての実施形態を表すものではない。むしろ、それらは、添付の特許請求の範囲に詳細に記載された、本発明のいくつかの態様と一致する装置及び方法の例に過ぎない。
【0013】
本発明で使用される用語は、本発明を限定するものではなく、特定の実施形態を説明するためのものである。本発明の実施形態及び添付の特許請求の範囲において使用される単数形の「1つ」、「前記」及び「当該」は、文脈が他の意味を明確に示さない限り、複数形を含むことを意図している。
【0014】
当業者が本発明の実施形態によって提供される技術的解決策をよりよく理解し、また、本発明の実施形態の上記目的、特徴、及び利点をより明白かつ理解しやすくするために、本発明の実施形態における技術的解決策を図面と併せて以下にさらに詳細に説明する。
【0015】
図1は、本発明の一実施形態によって提供されるビデオデータスライスの暗号化方法のフローチャートである。図1に示すように、ビデオデータスライスの暗号化方法のフローは、ステップS100~ステップS130を含んでもよい。
【0016】
本発明の実施形態では、ビデオデータスライスの暗号化の効率及び安全性を向上させるために、ビデオデータスライスの暗号化システムは、複数の暗号化ノードを含んでもよく、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、該当複数の暗号化ノードのうちの少なくとも2つに割り当てて暗号化処理を行ってもよい。
【0017】
例示的に、当該少なくとも2つの暗号化ノードが、割り当てられた異なるビデオデータスライスを暗号化するときに使用する鍵(ビデオ暗号化鍵(Video Encryption Key、VEKと略称する)又はビデオ鍵と呼ばれることができる)は異なる。
【0018】
本発明の実施形態では、ビデオデータスライスの安全性をさらに向上させるために、各暗号化ノードがビデオデータスライスを暗号化するときに使用するVEKを暗号化して格納してもよく、VEKを暗号化するための鍵(ビデオ鍵暗号化鍵(Video Key Encryption Key、VKEKと略称する)又は保護鍵と呼ばれることができる)は、ビデオデータスライスの暗号化システムにおける鍵管理システムによって保守してもよい。
【0019】
例示的に、ステップS100~ステップS130の実行主体は、上記複数の暗号化ノードのいずれか(本明細書では、ターゲット暗号化ノードと呼ぶ)であってもよい。
【0020】
なお、本発明の実施形態における各ステップの番号の大きさは、実行順序の前後を意味するものではなく、各プロセスの実行順序は、本発明の実施形態の実施過程の限定を構成することなく、その機能や固有の論理によって決定されるべきである。
【0021】
ステップS100において、ターゲット暗号化ノードが第1の鍵識別子(ID)を取得し、第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得する。ここで、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである。
【0022】
ステップS110において、ターゲット暗号化ノードが第1の乱数を生成し、第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得る。
【0023】
本発明の実施形態では、ターゲット暗号化ノードが割り当てられたビデオデータスライスを暗号化する必要がある場合、一方で、ターゲット暗号化ノードは1つの乱数(本明細書では第1の乱数と呼ぶ)を生成し、当該第1の乱数をビデオ鍵(本明細書では第1のビデオ鍵と呼ぶ)として、割り当てられた暗号化すべきビデオデータスライス(本明細書では暗号化すべきビデオデータスライスと呼ぶ)を暗号化し、対応するビデオ暗号文(本明細書では第1のビデオ暗号文と呼ぶ)を得てもよい。
【0024】
例示的に、ビデオデータの安全性をさらに向上させるために、異なるビデオデータスライスの暗号化に使用されるビデオ鍵は異なってもよい。したがって、1つのビデオ鍵が漏洩しても、他のビデオデータスライスの安全性に影響を与えない。
【0025】
一方、ターゲット暗号化ノードは、第1のビデオ鍵を暗号化するための保護鍵(本明細書では第1の保護鍵と呼ぶ)を鍵管理システムから取得してもよい。第1の保護鍵は、ターゲット暗号化ノードの検証に合格した場合に、鍵管理システムによってターゲット暗号化ノードに送信される。
【0026】
例示的に、保護鍵について、鍵管理システムは、鍵IDと保護鍵との間のマッピング関係の形で保守してもよく、すなわち、鍵管理システムは鍵IDと保護鍵との間のマッピング関係を保守してもよい。暗号化ノードは、鍵IDに基づいて、鍵管理システムから当該鍵IDに対応する保護鍵を取得してもよい。
【0027】
例示的に、鍵IDと保護鍵との間のマッピング関係は1対1のマッピングであってもよく、すなわち、同じ鍵IDが同じ保護鍵に対応し、異なる鍵IDは異なる保護鍵に対応する。
【0028】
一例では、ターゲット暗号化ノードは、第1の保護鍵を取得するための鍵ID(本明細書では第1の鍵IDと呼ぶ)を生成してもよい。
【0029】
例えば、ターゲット暗号化ノードは、タイムスタンプに基づいて第1の鍵IDを生成してもよい。
【0030】
例示的に、鍵管理システムは、ターゲット暗号ノードから送信された、第1の鍵IDが付加される保護鍵の取得要求(第1の保護鍵取得要求と呼ぶことができ)を受信したとき、第1の保護鍵と第1の鍵IDとの間のマッピング関係を決定して記録してもよい。
【0031】
例示的に、鍵管理システムは、一定数の保護鍵を予め生成し、第1の保護鍵取得要求を受信したときに、当該一定数の保護鍵から1つの未使用の保護鍵を第1の保護鍵として選択し、第1の保護鍵と第1の鍵IDとの間のマッピング関係を記録してもよい。
【0032】
あるいは、鍵管理システムは、第1の保護鍵取得要求を受信したときに、第1の保護鍵を生成し、第1の保護鍵と第1の鍵IDとの間のマッピング関係を記録してもよい。
【0033】
別の例では、ターゲット暗号化ノードは、第1の保護鍵を取得する必要がある場合、まず鍵管理システムから第1の鍵IDを取得し、その後、第1の鍵IDに基づいて鍵管理システムから第1の保護鍵を取得する。
【0034】
ステップS120において、ターゲット暗号化ノードが第1の保護鍵を用いて第1のビデオ鍵を暗号化し、第1の鍵暗号文を得る。
【0035】
ステップS130において、ターゲット暗号化ノードが第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に格納する。
【0036】
本発明の実施形態では、上記方法で第1の保護鍵を取得し、第1のビデオ鍵を用いて暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得た場合、第1のビデオ鍵の安全性を向上させるために、ターゲット暗号化ノードは、第1の保護鍵を用いて第1のビデオ鍵を暗号化し、対応する鍵暗号文(本明細書では第1の鍵暗号文と呼ぶ)を得てもよい。
【0037】
第1のビデオ鍵を暗号化して第1の鍵暗号文を得る場合、ターゲット暗号化ノードは、第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に格納してもよい。これにより、正当なノードは、第1のビデオ暗号文中の第1の鍵IDに基づいて鍵管理サーバから第1の保護鍵を取得し、当該第1の保護鍵に基づいて第1の鍵暗号文を復号化して第1のビデオ鍵を得ることができ、さらに、当該第1のビデオ鍵に基づいて第1のビデオ暗号文を復号化し、第1のビデオデータスライスを得ることができる。
【0038】
例示的に、上記正当なノードは、上記複数の暗号化ノードのいずれか1つ、又はビデオデータ取得権限を有する他のノードを含んでもよい。
【0039】
例示的に、ターゲット暗号化ノードは、第1の鍵暗号文と第1の鍵IDを連結する(concatenate)方式で第1のビデオ暗号文に格納してもよく、すなわち、第1の鍵暗号文と第1の鍵IDを第1のビデオ暗号文に連結してもよい。
【0040】
このように、図1に示す方法のフローでは、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスを、少なくとも2つの暗号化ノードに割り当てて暗号化され、少なくとも2つの暗号化ノードによって同一のビデオストリーム又はビデオファイルの異なるビデオデータスライスを暗号化することにより、分散暗号化を実現し、ビデオデータスライスの暗号化効率を向上させる。また、ビデオデータスライスを暗号化する際、暗号化ノードは生成された乱数をビデオ鍵とし、鍵管理システムから取得した保護鍵を用いてビデオ鍵を暗号化することができ、これによりビデオ鍵の安全性を確保し、ビデオデータスライスの安全性を向上させる。
【0041】
いくつかの実施形態では、図2に示すように、ステップS100において、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するステップは、以下のステップS101~S106で実現され得る。
【0042】
ステップS101において、ターゲット暗号化ノードが第2の乱数を生成し、第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成する。
【0043】
ステップS102において、ターゲット暗号化ノードがターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズム(Elliptic curve cryptography、ECC)を用いて、ターゲット暗号化ノードのデバイスID、第1の鍵ID、及び鍵パラメータに署名し、第1の署名データを得る。
【0044】
ステップS103において、ターゲット暗号化ノードがデバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを鍵管理システムに送信することにより、鍵管理システムに、当該デバイスIDに基づいてターゲット暗号化ノードの公開鍵を取得させ、ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、第1の鍵IDに対応する第1の保護鍵を暗号化させ、保護鍵暗号文を得させる。当該第3の鍵は、当該鍵パラメータと鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて鍵管理システムによって生成される。
【0045】
ステップS104において、ターゲット暗号化ノードが鍵管理システムから送信された保護鍵暗号文を受信する。
【0046】
ステップS105において、ターゲット暗号化ノードが鍵管理システムの公開鍵と第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成する。
【0047】
ステップS106において、ターゲット暗号化ノードが第4の鍵に基づいて保護鍵暗号文を復号化し、第1の保護鍵を得る。
【0048】
例示的に、保護鍵の安全性を向上させ、さらにビデオデータスライスの安全性を向上させるために、鍵管理システムから保護鍵を取得する際に、非対称アルゴリズムに基づいて取得側のデバイスを検証してもよい。
【0049】
例示的に、第1の保護鍵を取得する必要がある場合、ターゲット暗号化ノードは、1つの乱数(本明細書では第2の乱数と呼ぶ)を生成し、当該第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成してもよい。楕円曲線については、例えば、楕円曲線デジタル署名アルゴリズム(Elliptic Curve Digital Signature Algorithm、ECDSA)で一般的に使用される曲線を選択してもよく、本発明の実施形態では、楕円曲線の選択について特に制限だれない。楕円曲線が決定されると、その基点も決定される。
【0050】
例えば、第2の乱数をrとし、楕円曲線上の基点をGとすると、鍵パラメータRは、以下のように生成することができる:
R=G・r
ここで、「・」は楕円曲線ドット積を表す。
【0051】
例示的に、ターゲット暗号化ノードは、上記方法で鍵パラメータを生成した場合、ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、ターゲット暗号化ノードのデバイスID、第1の鍵ID、及び生成された鍵パラメータに署名し、対応する署名データ(本明細書では第1の署名データと呼ぶ)を得てもよい。
【0052】
ターゲット暗号化ノードは、当該デバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを鍵管理システムに送信してもよい。
【0053】
鍵管理システムは、ターゲット暗号化ノードから送信された当該デバイスID、第1の鍵ID、鍵パラメータ、及び第1の署名データを取得すると、一方では、当該デバイスIDに基づいてターゲット暗号化ノードの公開鍵を照会してもよい。
【0054】
一例として、ビデオデータスライスの暗号化システムにおける各暗号化ノードは、ビデオデータスライスを暗号化する前に、鍵管理システムに登録してもよい。登録プロセスにおいて、身元認証が完了すると、鍵管理システムは暗号化ノードの公開鍵を格納し、暗号化ノードは鍵管理システムの公開鍵を格納してもよい。
【0055】
例示的に、鍵管理システムがターゲット暗号化ノードの公開鍵を照会した場合、ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて第1の署名データを検証してもよい。
【0056】
一方、鍵管理システムは、受信した鍵パラメータと鍵管理システムの秘密鍵とに基づいて、楕円曲線ドット積アルゴリズムを用いて対応する鍵(本明細書では第3の鍵と呼ぶ)を生成してもよい。
【0057】
例えば、鍵パラメータをRとし、鍵管理システムの秘密鍵をsとすると、第3の鍵kは、以下のように生成することができる:
k=R・s
【0058】
鍵管理システムが第1の署名データの検証に合格した場合、ターゲットの暗号化ノードが正当なノードであると判断することができ、このとき、鍵管理システムは、第3の鍵を用いて、第1の鍵IDに対応する保護鍵(例えば、上記第1の保護鍵)を暗号化して保護鍵暗号文を得、当該保護鍵暗号文をターゲット暗号化ノードに送信してもよい。
【0059】
例示的に、ターゲット暗号化ノードは保護鍵暗号文を受信した場合、鍵管理システムの公開鍵と第2の乱数に基づいて楕円曲線ドット積アルゴリズムを用いて対応する鍵(本明細書では第4の鍵と呼ぶ)を生成してもよい。
【0060】
例えば、第2の乱数をrとし、鍵管理システムの公開鍵をSとすると、第4の鍵k’は、以下のように生成することができる:
k’=S・r
【0061】
なお、ターゲット暗号ノードと鍵管理システムが共に正当なデバイスである場合、kとk’の値は同じである。
【0062】
ターゲット暗号化ノードが第4の鍵を生成した場合、当該第4の鍵を用いて受信した保護鍵暗号文を復号化し、第1の保護鍵を得てもよい。
【0063】
一例では、ステップS106(すなわち、ターゲット暗号化ノードが第4の鍵に基づいて保護鍵暗号文を復号化する)の前に、
ターゲット暗号化ノードが鍵管理システムから送信された鍵パラメータ暗号文を受信するステップであって、鍵パラメータ暗号文は、鍵管理システムによって第3の鍵を用いて鍵パラメータを暗号化することにより得られる、ステップと、
ターゲット暗号化ノードが第4の鍵を用いて鍵パラメータ暗号文を復号化し、復号化して得られた結果が鍵パラメータと一致した場合、第4の鍵に基づいて保護鍵暗号文を復号化する動作を実行することを決定するステップと、をさらに含んでもよい。
【0064】
例示的に、保護鍵の信頼性を向上させ、さらにビデオデータスライスの安全性を向上させるために、鍵管理システムは保護鍵暗号文をターゲット暗号化ノードに送信する前に、第3の鍵を用いて受信した鍵パラメータを暗号化して鍵パラメータ暗号文を得、当該鍵パラメータ暗号文と上記方法で得た保護鍵暗号文をターゲット暗号化ノードに送信してもよい。
【0065】
ターゲット暗号化ノードは、鍵パラメータ暗号文と保護鍵暗号文を受信した場合、第4の鍵を用いて鍵パラメータ暗号文を復号化し、復号化して得られた結果を上記鍵パラメータと比較し、両者が一致する場合、鍵パラメータ暗号文と保護鍵暗号文が鍵管理システムから送信されたと判断し、このとき、ターゲット暗号化ノードは第4の鍵を用いて保護鍵暗号文を復号化し、第1の保護鍵を得てもよい。
【0066】
なお、ターゲット暗号化ノードが鍵パラメータ暗号文を受信しない場合、又は第4の鍵に基づいて受信した鍵パラメータ暗号文の復号化に失敗した場合、又は復号化して得られた結果が上記鍵パラメータと一致しない場合、受信した保護鍵暗号文は信頼できないと判断してもよく、この場合、ターゲット暗号化ノードは保護鍵暗号文を復号化する必要がない。
【0067】
いくつかの実施形態では、図3に示すように、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法は、以下のステップS300~ステップS330をさらに含んでもよい。
【0068】
ステップS300において、ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出する。
【0069】
ステップS310において、ターゲット暗号化ノードが第2の鍵IDに基づいて鍵管理システムから第2の保護鍵を取得する。ここで、第2の保護鍵は、ターゲット暗号化ノードの検証に合格した場合に、鍵管理システムによってターゲット暗号化ノードに送信される。
【0070】
ステップS320において、ターゲット暗号化ノードが第2の保護鍵に基づいて第2の鍵暗号文を復号化し、第2のビデオ鍵を得る。
【0071】
ステップS330において、ターゲット暗号化ノードが第2のビデオ鍵に基づいて第2のビデオ暗号文を復号化する。
【0072】
例示的に、第2のビデオ暗号文は、上記第1のビデオ暗号文であってもよく、あるいは、第2のビデオ暗号文は、上記第1のビデオ暗号文以外の、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法に従って暗号化された任意の他のビデオ暗号文であってもよい。
【0073】
例示的に、ターゲット暗号化ノードが第2のビデオ暗号文に対する復号化の指示を検出した場合、ターゲット暗号化ノードは、第2のビデオ暗号文から当該第2のビデオ暗号文に格納された鍵暗号文(本明細書では、第2の鍵暗号文と呼ぶ)と鍵ID(本明細書では、第2の鍵IDと呼ぶ)を抽出してもよい。
【0074】
なお、第2のビデオ暗号文が上記第1のビデオ暗号文である場合、第2の鍵暗号文は上記第1の鍵暗号文であり、第2の鍵IDは上記第1の鍵IDである。
【0075】
例示的に、ターゲット暗号化ノードは、抽出して得られた第2の鍵IDに基づいて鍵管理システムから対応する保護鍵(本明細書では第2の保護鍵と呼ぶ)を取得してもよい。
【0076】
例示的に、ターゲット暗号化ノードが第2の鍵IDに基づいて鍵管理システムから第2の保護鍵を取得する具体的な実現は、上記実施形態で説明した、ターゲット暗号化ノードが第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得することに関連する実現を参照することができ、本発明の実施形態では繰り返さない。
【0077】
ターゲット暗号化ノードは、取得した第2の保護鍵に基づいて第2のビデオ暗号文から抽出された第2の鍵暗号文を復号化し、対応するビデオ鍵(本明細書では第2のビデオ鍵と呼ぶ)を得、第2のビデオ鍵に基づいて第2のビデオ暗号文を復号化してもよい。
【0078】
当業者が本発明の実施形態によって提供される技術的解決策をよりよく理解するために、本発明の実施形態によって提供される技術的解決策について、具体的な応用シーンに関連して以下に説明する。
【0079】
図4を参照すると、本発明の実施形態によって提供されるビデオデータスライスの暗号化方法の具体的な応用シーンのアーキテクチャ概略図であり、図4に示すように、ビデオデータスライスの暗号化システムは、複数の暗号化ノード(例えば、図4における暗号化ノード1~暗号化ノードN、Nは2以上の正の整数)と鍵管理システム(Key Management System、KMS)を含んでもよい。鍵管理システムは、VKEKを外部に提供してもよく、具体的には、鍵管理システムは、VKEKの生成、配布、破棄などを担当してもよい。いくつかの実施形態では、鍵管理システムは、上記鍵管理サーバを含んでもよい。
【0080】
図4に示すように、ビデオデータの安全性を向上させるために、ビデオデータ(ビデオストリーム又はビデオファイル)をスライスして複数のビデオデータスライス(例えば、図4のU1~U5)を得、当該複数のビデオデータスライスを各暗号化ノードにプッシュしてもよく、各暗号化ノードは、作業鍵(例えば、上記ビデオ鍵)をランダムに生成し、KMSと対話することによってVKEK(例えば、上記保護鍵)を取得し、取得したVKEKを使用して作業鍵を暗号化して作業鍵暗号文(例えば、上記鍵暗号文)を取得し、生成した作業鍵を用いてビデオデータスライスを暗号化してビデオ暗号文(例えば、図4のEU1~EU5)を取得し、VKEKに対応する鍵ID及び作業鍵暗号文をビデオ暗号文に連結してもよい。
【0081】
本実施形態において、ビデオデータスライスの暗号化方式は、登録段階、鍵要求段階、ビデオ暗号化段階、ビデオ復号化段階を含んでもよく、各段階の実現フローを以下に説明する。
【0082】
第1段階、登録段階
【0083】
1.1では、暗号化ノードは本ノードの公開鍵(Dと仮定する)とデバイスIDをKMSに送信し、KMSは暗号化ノードの検証に合格した後、当該暗号化ノードの公開鍵DとデバイスIDを関連付けて格納する。
【0084】
例示的に、暗号化ノードの公開鍵は、証明書に付加されてKMSに送信し、KMSによって当該証明書に基づいて暗号化ノードを検証してもよい。KMSが暗号化ノードの検証に合格した場合、KMSは証明書から暗号化ノードの公開鍵を抽出し、当該暗号化ノードのデバイスIDと関連付けて格納してもよい。
【0085】
1.2では、KMSは、KMSの公開鍵(Sと仮定する)を暗号化ノードに送信し、暗号化ノードはKMSの公開鍵を格納する。
【0086】
例示的に、KMSの公開鍵は、証明書に付加されて暗号化ノードに送信し、暗号化ノードによって当該証明書に基づいてKMSを検証してもよい。暗号化ノードがKMSの検証に合格した場合、暗号化ノードは証明書からKMSの公開鍵を抽出し、当該公開鍵を格納してもよい。
【0087】
第2段階、鍵要求段階
【0088】
2.1では、暗号化ノードはランダムにrを生成し、楕円曲線ドット積アルゴリズムを用いてR=G・rを計算し、鍵パラメータRを得る。例示的に、Gは楕円曲線上の基点である。
【0089】
2.2では、暗号化ノードは、ECCアルゴリズムを用いて、暗号化ノードの秘密鍵に基づいて、暗号化ノードのデバイスID、鍵ID(暗号化ノードによって生成されてもよく、例えば、タイムスタンプに基づいて生成されてもよい)、及び鍵パラメータRに署名し、署名データSig(デバイスID||鍵ID||R)(例えば、上記第1の署名データ)を得る。
【0090】
例として、「||」は文字列の連結を示す。
【0091】
2.3では、暗号化ノードは、デバイスID||鍵ID||R||Sig(デバイスID||鍵ID||R)をKMSに送信する。
【0092】
2.4では、KMSは、デバイスIDに応じて暗号化ノードの公開鍵を照会し、当該公開鍵に基づいてECCアルゴリズムを用いてSig(デバイスID||KeyID||R)を検証する。検証に合格した場合、2.5を実行し、合格しない場合はエラーを返す。
【0093】
2.5では、KMSは、KMSの秘密鍵(sと仮定する)と鍵パラメータに基づいて、楕円曲線ドット積アルゴリズムを用いてk=R・sを計算し、対応する鍵k(例えば上記第3の鍵)を得る。
【0094】
2.6では、KMSは、鍵IDに基づき、当該鍵IDに対応するVKEK(vと仮定する)を照会する。
【0095】
2.7では、KMSは、kを対称鍵としてRとvをそれぞれ暗号化し、対応する暗号文c(例えば、上記鍵パラメータ暗号文)とc(例えば、上記保護鍵暗号文)を得る。
【0096】
2.8では、KMSはc1とc2を暗号化ノードに送信する。
【0097】
2.9では、暗号化ノードは、KMSの公開鍵Sと上記乱数rに基づき、楕円曲線ドット積アルゴリズムを用いてk’=S・rを計算し、対応する鍵k’(例えば、上記第4の鍵)を得る。
【0098】
2.10では、暗号化ノードはk’を用いてcを復号化し、復号化して得られた結果がRであれば2.11を実行し、そうでなければエラーを返す。
【0099】
2.11では、暗号化ノードはk’を用いてcを復号化し、保護鍵vを取得する。
【0100】
第3段階、ビデオ暗号化段階
【0101】
3.1では、割り当てられたビデオデータスライスのいずれかに対する暗号化の指示が検出された場合、暗号化ノードはタイムスタンプに基づいて鍵IDを生成し、当該鍵IDに基づいてKMSから保護鍵vを取得してもよい。その実施プロセスについては、上記鍵要求段階の説明を参照されたい。
【0102】
3.2では、暗号化ノードは乱数vek(例えば上記第1の乱数)を生成し、vekを作業鍵(すなわちビデオ鍵)とする。
【0103】
3.3では、暗号化ノードはvekを用いて当該ビデオデータスライスを暗号化し、ビデオ暗号文を得る。
【0104】
3.4では、暗号化ノードはvを用いてvekを暗号化し、vek暗号文(例えば上記鍵暗号文)を得る。
【0105】
3.5では、暗号化ノードはvek暗号文と鍵IDをビデオ暗号文に連結する。
【0106】
第4段階、ビデオ復号化段階
【0107】
4.1では、任意のビデオ暗号文(例えば上記ビデオ暗号化段階で得たビデオ暗号文)に対する復号化の指示が検出されると、暗号化ノードは当該ビデオ暗号文に付加されるvek暗号文と鍵IDを抽出する。
【0108】
4.2では、暗号化ノードは、鍵IDに基づいてKMSから保護鍵vを取得する。その実施プロセスについては、上記鍵要求段階の説明を参照されたい。
【0109】
4.3では、暗号化ノードはvを用いてvek暗号文を復号化し、vekを得る。
【0110】
4.4では、暗号化ノードはvekを用いてビデオ暗号文を復号化する。
【0111】
例示的に、上記第1段階~第4段階のフローチャートを図5に示す。
【0112】
以上、本発明によって提供される方法について説明した。以下、本発明によって提供される装置及びシステムを説明する。
【0113】
図6を参照すると、図6は、本発明の一実施形態により提供されるビデオデータスライスの暗号化装置の構造概略図である。当該ビデオデータスライスの暗号化装置は、上記実施形態における暗号化ノードに適用されてもよく、図6に示すように、当該ビデオデータスライスの暗号化装置は、取得ユニット610と、暗号化ユニット620と、処理ユニット630とを含んでもよい。
【0114】
取得ユニット610は、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得するために用いられる。ここで、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じである。
【0115】
暗号化ユニット620は、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられる。
【0116】
前記暗号化ユニット620はさらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられる。
【0117】
処理ユニット630は、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。
【0118】
いくつかの実施形態において、前記取得ユニット610が、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得することは、
第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成することと、
前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得ることと、
前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信することにより、前記鍵管理システムに、前記デバイスIDに基づいて前記ターゲット暗号化ノードの公開鍵を取得させ、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証させ、検証に合格した場合、第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化させ、保護鍵暗号文を得させることであって、前記第3の鍵は、前記鍵管理システムによって、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて生成される、ことと、
前記鍵管理システムから送信された前記保護鍵暗号文を受信することと、
前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成することと、
前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得ることと、を含む。
【0119】
いくつかの実施形態において、第4の鍵に基づいて前記保護鍵暗号文を復号化する前に、前記取得ユニット610はさらに、
前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記鍵パラメータ暗号文は、前記鍵管理システムによって前記第3の鍵を用いて前記鍵パラメータを暗号化することにより得られ、
前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化する動作を実行することを決定するために用いられる。
【0120】
いくつかの実施形態において、図7を参照し、前記装置はさらに、抽出ユニット640と復号化ユニット650とを含み、
抽出ユニット640は、第2のビデオ暗号文に対する復号化の指示を検出した場合、前記第2のビデオ暗号文から第2の鍵暗号文と第2の鍵IDを抽出するために用いられ、
前記取得ユニット610はさらに、前記第2の鍵IDに基づいて前記鍵管理システムから第2の保護鍵を取得するために用いられ、前記第2の保護鍵は、前記ターゲット暗号化ノードの検証に合格した場合に、前記鍵管理システムによって前記ターゲット暗号化ノードに送信され、
復号化ユニット650は、前記第2の保護鍵に基づいて前記第2の鍵暗号文を復号化し、第2のビデオ鍵を得るために用いられ、
前記復号化ユニット650はさらに、前記第2のビデオ鍵に基づいて前記第2のビデオ暗号文を復号化するために用いられる。
【0121】
図8を参照し、図8は、本発明の実施形態によって提供される電子デバイスのハードウェアの構造概略図である。当該電子デバイスは、プロセッサ801及び機械読み取り可能な記憶媒体802を含み、前記機械読み取り可能な記憶媒体802には、機械実行可能命令が記憶される。プロセッサ801及び機械可読記憶媒体802は、システムバス803を介して通信してもよい。そして、機械読み取り可能な記憶媒体802のビデオデータスライスの暗号化制御ロジックに対応する機械実行可能命令を読み出して実行することで、プロセッサ801は、上記ビデオデータスライスの暗号化方法を実行することができる。
【0122】
本明細書で言及される機械読み取り可能な記憶媒体802は、任意の電子、磁性、光学又は他の物理的記憶装置であってもよく、実行可能なコマンド、データ等の情報を含むか又は記憶することができる。例えば、機械読み取り可能な記憶媒体は、RAM(Random Access Memory、ランダムアクセスメモリ)、揮発性メモリ、不揮発性メモリ、フラッシュメモリ、記憶ドライブ(例えばハードディスクドライブ)、ソリッドステートドライブ、任意のタイプの記憶ディスク(例えば光ディスク、dvd等)、又は類似の記憶媒体、又はそれらの組み合わせであってもよい。
【0123】
いくつかの実施形態では、機械読み取り可能な記憶媒体を提供し、当該機械読み取り可能な記憶媒体には、機械実行可能命令が記憶され、機械実行可能命令がプロセッサによって実行されると、上記ビデオデータスライスの暗号化方法を実施する。例えば、前記機械読み取り可能な記憶媒体は、ROM、RAM、CD-ROM、テープ、フロッピーディスク、光データ記憶装置などであってもよい。
【0124】
図9を参照すると、図9は、本発明の実施形態によって提供されるビデオデータスライスの暗号化システムの構造概略図である。図9に示すように、当該ビデオデータスライスの暗号化システムは、鍵管理システム910と複数の暗号化ノード920を含み、同一のビデオストリーム又はビデオファイルをスライスして得られた複数のビデオデータスライスが、前記複数の暗号化ノード920のうちの少なくとも2つに割り当てられて暗号化され、
前記暗号化ノード920がターゲット暗号化ノードとする場合、第1の鍵IDを取得し、前記第1の鍵IDに基づいて前記鍵管理システムから第1の保護鍵を取得し、第1の乱数を生成し、前記第1の乱数を第1のビデオ鍵として、暗号化すべきビデオデータスライスを暗号化して第1のビデオ暗号文を得るために用いられ、保護鍵はビデオ鍵を暗号化するために用いられ、同じ鍵IDに対応する保護鍵は同じであり、
前記鍵管理システム910が前記ターゲット暗号化ノードの検証に合格した場合に、前記第1の鍵IDに対応する前記第1の保護鍵を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の保護鍵を用いて前記第1のビデオ鍵を暗号化し、第1の鍵暗号文を得るために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記第1の鍵暗号文と前記第1の鍵IDを前記第1のビデオ暗号文に格納するために用いられる。
【0125】
いくつかの実施形態において、前記暗号化ノード920がターゲット暗号化ノードとする場合、具体的に、第2の乱数を生成し、前記第2の乱数と楕円曲線上の基点に基づいて、楕円曲線ドット積アルゴリズムを用いて鍵パラメータを生成し、前記ターゲット暗号化ノードの秘密鍵に基づいて、楕円曲線暗号アルゴリズムを用いて、前記ターゲット暗号化ノードのデバイスID、前記第1の鍵ID、及び前記鍵パラメータに署名し、第1の署名データを得、前記デバイスID、前記第1の鍵ID、前記鍵パラメータ、及び前記第1の署名データを前記鍵管理システムに送信するために用いられ、
前記鍵管理システム910が、具体的に、前記ターゲット暗号化ノードの公開鍵に基づいて、楕円曲線暗号アルゴリズムを用いて前記第1の署名データを検証し、検証に合格した場合、前記鍵パラメータと前記鍵管理システムの秘密鍵とに基づいて楕円曲線ドット積アルゴリズムを用いて第3の鍵を生成するために用いられ、
前記鍵管理システム910がさらに、具体的に、前記第3の鍵に基づいて、前記第1の鍵IDに対応する前記第1の保護鍵を暗号化し、保護鍵暗号文を得、前記保護鍵暗号文を前記ターゲット暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、さらに、前記鍵管理システムから送信された前記保護鍵暗号文を受信し、前記鍵管理システムの公開鍵と前記第2の乱数に基づいて、楕円曲線ドット積アルゴリズムを用いて第4の鍵を生成し、前記第4の鍵に基づいて前記保護鍵暗号文を復号化し、前記第1の保護鍵を得るために用いられる。
【0126】
いくつかの実施形態において、前記鍵管理システム910がさらに、前記第3の鍵を用いて前記鍵パラメータを暗号化し、鍵パラメータ暗号文を得、前記鍵パラメータ暗号文を前記暗号化ノードに送信するために用いられ、
前記暗号化ノード920がターゲット暗号化ノードとする場合、前記暗号化ノード920がさらに、前記鍵管理システムから送信された鍵パラメータ暗号文を受信し、前記第4の鍵を用いて前記鍵パラメータ暗号文を復号化し、復号化して得られた結果が前記鍵パラメータと一致した場合、前記第4の鍵に基づいて前記保護鍵暗号文を復号化するために用いられる。
【0127】
なお、本明細書において、第1及び第2のような関係用語は、あるエンティティ又は動作を別のエンティティ又は動作から区別するためにのみ使用され、それらのエンティティ又は動作の間にそのような実際の関係又は順序が存在することを必ずしも要求又は示唆するものではない。さらに、「含む」、「からなる」、又はその他の変形という用語は、非排他的な包含を意図している。それにより、一連の要素を含むプロセス、方法、物品又はデバイスは、それらの要素だけでなく、明示的に列挙されていない他の要素、又はそのようなプロセス、方法、物品又は装置に固有の要素も含む。それ以上の制限がない場合、ある要素が「...を含む」という表現で限定された要素は、当該要素を含むプロセス、方法、物品又はデバイスに別の同じ要素の存在を排除するものではない。
【0128】
以上は、本発明の実施例に過ぎず、本発明を限定するものではない。当業者にとって、本発明は様々な変更及び変更が可能である。本発明の精神と原理の範囲内で行われたいかなる修正、同等置換、改善などは、本発明の請求項請求の範囲に含まれるべきである。
【符号の説明】
【0129】
610 取得ユニット
620 暗号化ユニット
630 処理ユニット
640 抽出ユニット
650 復号化ユニット
801 プロセッサ
802 機械読み取り可能な記憶媒体
803 システムバス
910 鍵管理システム
920 暗号化ノード
図1
図2
図3
図4
図5
図6
図7
図8
図9