成像装置、车辆控制装置和成像系统

本申请是申请日为2018年6月1日、发明名称为“信号处理装置、信号处理方法和程序”的申请号为201880038092.9的专利申请的分案申请。

技术领域

本技术涉及信号处理装置、信号处理方法和程序，更特别地，涉及用于在确保安全的同时能够降低处理负荷的信号处理装置、信号处理方法和程序。

背景技术

近年来，装备利用车载照相机的安全功能的汽车的数量越来越多，并且数年后实现自动驾驶的运动是活跃的。

在汽车的自动驾驶中，由于由照相机获得的输出图像被解析，并且基于解析结果控制加速器、制动器等等，所以要求照相机的输出图像的正确性。

所以，要求车载照相机不仅具有检查照相机本身是否在正确运行的功能安全性，还具有输出图像的安全性，即，防止恶意行为例如照相机的替换和输出图像的篡改等安全性功能。

详细地，车载照相机需要确保输出图像的每一帧的安全性。这是因为如果输出图像被篡改，例如可能发生恶意事故。

例如，在监视照相机领域，作为有关图像的安全功能的技术，已经提出了一种利用通过拍摄获得的部分或所有视频数据产生用于证实存在/不存在篡改的署名，并且将署名与视频数据一起输出的技术(例如，参见专利文献1)。

引用目录

专利文献

专利文献1:日本专利申请特开号2017-41841

发明内容

本发明要解决的问题

然而，难以在低成本(即，用上述技术以小的处理量)的情况下确保图像输出的安全性。

例如，可以通过利用现有技术对输出图像本身、用于控制的各种信号等加密来确保输出图像的安全性。同样地，专利文献1中描述的技术可以通过利用全部视频数据生成署名来确保视频数据的安全性。

然而，在这种情况下，由于加密或标记的区域大，所以在照相机以及照相机的后续块中要求高负荷处理，以确保输出图像的安全，即，安全性。

例如，可以通过利用现有技术对输出图像本身、用于控制的各种信号等加密来确保输出图像的安全性。特别地，当考虑车载照相机时，在照相机的后续块中执行对于照相机的输出图像的分析处理和基于解分析结果的有关驾驶例如加速和制动的控制，因此照相机的后续块中的处理负荷是固有地高的。

由于这种高负荷处理引起电力消耗的增加，所以用外壳生产的车载照相机在尺寸和电力消耗方面是不利的。

此外，在专利文献1中所述的技术中，可以利用视频数据的预定区域降低由产生署名引起的处理负荷，但是这样做变得难以确保充分的安全性，特别地，在这种情况下，如果视频数据的待署名的区域泄露，因为要署名的区域总是相同的区域，那么即使视频数据的不需署名的部分被篡改，也不能检测到篡改。

鉴于这种情况，实施了本技术，本技术可以使得能够在确保安全性的同时减少处理负荷。

问题的解决方案

根据本技术的第一方面的信号处理装置包括控制单元，其配置为获取表示在输出数据中要加密的指定部分的指定信息，和加密处理单元，其配置为使用密钥对由所述输出数据中的所述指定信息表示的所述指定部分进行加密，其中由所述指定信息表示的所述指定部分随时间变化。

根据本技术的第一方面的信号处理方法或程序包括以下步骤：获取表示在输出数据中要加密的指定部分的指定信息，和使用密钥对由所述输出数据中的所述指定信息表示的所述指定部分进行加密，其中由所述指定信息表示的所述指定部分随时间变化。

在本技术的第一方面，获取表示在输出数据要加密的指定部分的指定信息，并且利用密钥对由输出数据中的指定信息表示的指定部分进行加密。此外，由指定信息表示的指定部分随时间变化。

根据本技术的第二方面的信号处理装置包括：控制单元，其配置为生成表示将在所获取的数据中加密的指定部分的指定信息，同时随时间改变所述指定部分；通信单元，其配置为传输所述指定信息，和获取单元，其配置为获取通过对由所述所获得的数据中的所述指定信息表示的所述指定部分进行加密而获得的加密数据以及所述所获得的数据。

根据本技术的第二方面的信号处理方法或程序包括以下步骤：生成表示将在所获取的数据中加密的指定部分的指定信息，同时随时间改变所述指定部分，传输所述指定信息，和获取通过对由所述所获得的数据中的所述指定信息表示的所述指定部分进行加密而获得的加密数据以及所述所获得的数据。

在本技术的第二方面，生成表示将在所获得的数据中加密的指定部分的指定信息，同时随着时间改变该指定部分，传输指定信息，并且获得通过对由所获得的数据中的指定信息表示的指定部分进行加密而获得的加密数据以及所所得的数据。

发明的效果

根据本技术的第一和第二方面，可以确保安全性的同时降低处理负荷。

请注意，这里描述的效果不必是限制性的，可能显示本公开中描述的任何效果。

附图说明

图1是描述车辆的配置示例的示意图。

图2是描述图像处理系统的配置示例的示意图。

图3是描述图像传感器的替换的示意图。

图4是描述拍摄图像的篡改的示意图。

图5是说明图像传感器的配置示例的示意图。

图6是说明车辆控制单元的配置示例的示意图。

图7是描述应答处理和连接传感器认证处理的流程图。

图8是描述图像输出处理的流程图。

图9是描述加密图像的嵌入的示意图。

图10是描述图像获取处理的流程图。

图11是说明计算机的配置示例的示意图。

具体实施方式

以下，将参考附图描述应用本技术的实施方式。

<第一实施方式>

<图像处理系统的配置示例>

本技术使得能够通过对车载照相机的拍摄图像的泛音区域进行加密并且将加密数据输出至照相机的后续阶段，并且随着时间改变要加密的区域而在确保安全性的同时降低处理负荷。

也就是说，本技术可以通过仅对拍摄图像的部分区域进行加密而降低照相机以及照相机的后续阶段的处理负荷。

此外，可以通过随时间改变加密的区域(即，通过在拍摄图像的各帧中将任意区域设定为要加密的区域)来确保安全(安全性)。

例如，在随机改变拍摄图像的各帧中要加密的区域的情况下，恶意第三方不能明确要加密的区域，因此不能篡改拍摄图像。所以，可以用小的处理量(即低处理负荷)来确保充分的安全。

此时，即使在某一帧中要加密的区域被恶意第三方明确，在下一帧中要加密的区域也已经被改变。所以，与总是将相同区域设定为要加密的区域的情况不同，可以确保充分的安全。

除车载照相机和使用车载照相机的车载系统之外，还可以将这样的本技术应用于安装在移动体(例如摩托车、脚踏车、电轮椅、个人移动、飞机、船、火车或机器人)上的照相机、使用这种照相机的系统等等。

此外，在本技术中，要确保安全的数据(即，要检测篡改的数据)不限于图像数据，数据可以是任意数据例如声音数据和各种测量数据。

即使在这种情况下，仅要求对要确保安全的目标数据的要加密的指定部分进行加密，同时随时间改变目标数据的指定部分，并将加密获得的加密数据和目标数据输出。具体地，目标数据是声音数据的情况下，例如，仅要求将声音数据中的预定声音部分(范围)指定为要加密的指定部分，并随时间改变该声音部分。这里，目标数据的指定部分的数目可以使一个或多个。

请注意，以下，将作为具体示例描述将本技术应用于包括车载照相机的图像处理系统的情况。在这种情况下，通过拍摄获得的拍摄图像的图像数据对应于上述要确保安全的对象数据，拍摄图像的要加密的部分区域对应于上述指定部分，并且通过对拍摄图像的部分区域进行加密而获得的加密图像对应于上述加密数据。

以下，将描述更多具体的实施方式。

图1是说明应用本技术的包括图像处理系统的车辆的实施方式的配置示例的示意图。

图1中所示的车辆11是汽车，并且多个车载照相机安装在车辆11上以支持正面感测、周围视图感测等等。也就是说，例如，车辆11具备用于拍摄图像的车载照相机21-1到21-4，该拍摄图像用于有关车辆11的驾驶的控制。

这里，照相机21-1是用于获得作为对象的车辆11的前面的区域R11-1的拍摄图像的照相机。

此外，照相机21-2是用于获得作为对象的车辆11的左侧的区域R11-2的拍摄图像的照相机，照相机21-3是用于获得作为对象的车辆11的右侧的区域R11-3的拍摄图像的照相机。

此外，照相机21-4是用于获得作为对象的车辆11的后方的区域R11-4的拍摄图像的照相机。

请注意，以下，照相机21-1到21-4也简称为照相机21，除非照相机21-1到21-4特别地需要彼此区分。

将通过这些照相机21获得的拍摄图像提供给例如布置在车辆11的中心的车辆控制单元22，并且用于有关车辆11的驾驶的控制。

车辆控制单元22包括例如高级驾驶辅助系统(ADAS)芯片等等，执行对从照相机21提供的拍摄图像的图像分析，并且基于图像分析的结果执行有关车辆11的驾驶(例如方向盘、加速器和制动器)的控制。

在车辆11中，包括照相机21和车辆控制单元22的系统是图像处理系统，更详细地，为如图2所示配置该图像处理系统。请注意，在图2中，对应于图1的情况的部分由相同的参考数字表示，并酌情省略其描述。

图2中示出的图像处理系统包括透镜51、图像传感器52、输入/输出单元53、输入/输出单元54和车辆控制单元22。

这里，成像装置例如包括对应于图1所示的一个照相机21的透镜51和图像传感器52。所以，更详细地，图像处理系统装备有四个照相机21，该四个照相机各自包括透镜51和图像传感器52。为了简化起见，图2仅示出了对应于一个照相机21的透镜51和图像传感器52。

透镜51包括一个或多个光学透镜，收集从对象入射的光，并将光引导至图像传感器52的成像表面。

图像传感器52包括例如互补金属氧化物半导体(CMOS)图像传感器等等，并且根据通过输入/输出单元53和输入/输出单元54从车辆控制单元22提供的控制信息来运行。例如，图像传感器52接收通过透镜51入射的光并且对光进行光电转换以拍摄拍摄图像，并将获得的拍摄图像的图像数据提供给输入/输出单元53。请注意，拍摄图像可能是静象或活动图像。这里，拍摄图像假设为活动图像。

输入/输出单元53和输入/输出单元54为用于车辆11中长距离通信的通信接口(I/F)，例如串行器或解串器等，并且执行图像传感器52和车辆控制单元22之间的通信。

例如，输入/输出单元53将从图像传感器52提供的拍摄图像的图像数据以及各种信息从并行数据转换为串行数据，并将串行数据提供给输入/输出单元54。输入/输出单元54将从输入/输出单元53提供的图像数据和各种信息从串行数据转换为并行数据，并将并行数据提供给车辆控制单元22。

类似地，例如，输入/输出单元54将从车辆控制单元22提供的各种信息从并行数据转换为串行数据，并将串行数据提供给输入/输出单元53。输入/输出单元53将从输入/输出单元54提供的各种信息从串行数据转换为并行数据，并将并行数据提供给图像传感器52。

在图2中示出的图像处理系统中，图像传感器52根据车辆控制单元22的控制拍摄拍摄图像，并将由拍摄获得的拍摄图像提供给车辆控制单元22。然后，车辆控制单元22基于由图像传感器52获得的拍摄图像执行有关车辆11的驾驶的控制。

如上所述，图像处理系统执行有关车辆11的驾驶的控制，并因此需要防止由于篡改或恶意第三方的舞弊引起的事故等等。即，需要确保安全(安全性)。

具体地，如图3所示，例如，必须防止包括原来被认为连接至车辆控制单元22的图像传感器52的照相机21被用包照相机所括其他未被授权的图像传感器DC11的移除和替换。

即，需要证实图像传感器52和车辆控制单元22以正确的组合连接，以防止用未被授权的图像传感器DC11替换。

这是因为，例如如果合法图像传感器52被替换为未被授权的图像传感器等等例如廉价的仿造产品，那么不能确保提供给车辆控制单元22的拍摄图像的安全。

例如，如果合法图像传感器52被替换为未被授权的图像传感器DC11，即使车辆控制单元22提供控制信息并且试图执行拍摄设定等，图像传感器DC11不按照车辆控制单元22所指示的操作，并且不能确保拍摄图像的安全。倘若如此，不能恰当地执行有关驾驶的控制，存在发生事故的可能性。

所以，在图像处理系统中，图像传感器52和车辆控制单元22预先存储公用秘密密钥(即相同的秘密密钥)，并且车辆控制单元22使用该秘密密钥认证图像传感器52。换言之，在图像传感器52(拍摄图像的输出源(获取源))和车辆控制单元22(拍摄图像的输出目的地)之间执行使用公用秘密密钥的认证处理。

虽然以下将描述细节，但是通过在认证时在车辆控制单元22和图像传感器52之间交换用秘密密钥加密的认证报文来认证是否正确的图像传感器52连接至车辆控制单元22。在未被授权的图像传感器DC11连接至车辆控制单元22的情况下，未恰当地执行认证。所以，可以通过认证处理检测(感测)到正确图像传感器52的断开。

通过这种认证处理，证实图像传感器52和车辆控制单元22以正确的组合连接，并且可以防止用未被授权的图像传感器DC11的替换。结果，可以确保图像传感器52的安全。

特别地，图像处理系统在激活照相机21时认证图像传感器52。通过认证，可以在车辆11的驾驶的开始(开始)防止由于照相机21等等的替换引起的事故的发生。

此外，为了确保安全(安全性)，图像处理系统确定提供给车辆控制单元22的拍摄图像本身是否被篡改和正确的，从而构建图像传感器52和车辆控制单元22之间的安全(保险)通道。

例如，在违法的未被授权的装置DV11可能插入在图像传感器52和车辆控制单元22之间的情况下，如图4所示。

在图4中所示的示例中，在执行控制信息(例如拍摄设定)的传递的通信路径中未被授权的装置未插入车辆控制单元22和图像传感器52之间，并且车辆控制单元22可以按照既定控制图像传感器52。

然而，在提供拍摄图像的通信路径中未授权装置DV11插入在图像传感器52和车辆控制单元22之间，所以，未被授权的装置DV11可以将从图像传感器52输出的拍摄图像篡改并将拍摄图像提供给车辆控制单元22。

当用这样的方式插入未被授权的装置DV11时，存在拍摄图像被恶意第三方有意篡改从而发生事故的可能性。

所以，图像处理系统利用上述保存在图像传感器52和车辆控制单元22中的秘密密钥来确保各帧拍摄图像的数据。即，感测拍摄图像的篡改以确保安全。

具体地，图像传感器52针对各帧拍摄图像利用存储的秘密密钥对加密区域(由车辆控制单元22指定的拍摄图像上的区域)的一部分的图像进行加密，并将所得加密图像输出至车辆控制单元22。

车辆控制单元22将通过对利用存储的秘密密钥将提供给图像传感器52的拍摄图像的加密区域的一部分的图像进行加密而获得的加密图像与提供给图像传感器52的加密图像进行比较，从而感测拍摄图像已经被篡改。由这种处理，可以确保各帧的拍摄图像的安全。

图像处理系统需要针对各帧执行拍摄图像的感测篡改的处理，但是图像处理系统仅对拍摄图像的部分区域(即，仅仅对加密区域)进行加密，因此可以减少图像传感器52和车辆控制单元22中的处理负荷。

此外，如果作为要感测篡改的处理对象的加密区域较窄(小)，则拍摄图像的安全性降低。图像处理系统针对例如各帧随时间改变加密区域，从而确保拍摄图像的充分安全。

加密区域由车辆控制单元22指定。车辆控制单元22针对各帧可以随机改变例如作为拍摄图像上加密区域的位置和尺寸，以及加密区域的数目。

通过随机改变各帧的加密区域，试图篡改拍摄图像的第三方难以明确各帧的加密区域。此外，即使某一帧中的加密区域被恶意第三方指定，由于加密区域的位置和尺寸在下一帧已经改变，很难篡改拍摄图像以便不被车辆控制单元22感测。

因此，图像处理系统随时间改变加密区域，从而在确保拍摄图像的安全的同时减少图像传感器52和车辆控制单元22的处理负荷。即，根据图像处理系统，可以以低成本构建坚固的图像通道(即，安全的图像通道)，并且可以确保充分的安全性。

此外，仅要求图像处理系统存储秘密密钥并对拍摄图像的部分区域进行加密。所以，不需要大的额外费用，例如向图像传感器52侧或车辆控制单元22侧提供新的模块或者增加大负荷的处理。此外，即使在图像传感器52车辆控制单元22之间交换的控制信息不加密，仅仅要求确保秘密密钥。所以，可以以低成本确保充分的安全性。

<图像传感器的配置示例>

接下来，将描述图2中示出的图像传感器52和车辆控制单元22的更具体的配置示例。

图5是示出图像传感器52的更具体配置示例的示意图。

图5中示出的图像传感器52包括控制单元81、像素阵列单元82、信号处理单元83、加密处理单元84和图像输出单元85。

控制单元81经由输入/输出单元53和输入/输出单元54与车辆控制单元22通信，并且控制图像传感器52的整体操作。例如，控制单元81与车辆控制单元22通信并从车辆控制单元22获得(接收)表示加密区域的加密区域指定信息。

此外，控制单元81包括存储单元101和解密单元102。

存储单元101存储预先提供的秘密密钥。请注意，以下，保存在存储单元101中的秘密密钥也被认为是秘密密钥KYC。

解密单元102利用保存在存储单元101中的秘密密钥KYC对预定信息例如由控制单元81从车辆控制单元22收到的加密的加密区域指定信息进行解密。

像素阵列单元82包括其中多个像素在行方向和列方向上排列的像素阵列，每个像素根据控制单元81的控制接收从对象入射的光并将光进行光电转换生成拍摄图像的图像数据。即，拍摄拍摄图像。像素阵列单元82将通过拍摄获得的拍摄图像提供给信号处理单元83。

信号处理单元83根据控制单元81的控制向从像素阵列单元82提供的拍摄图像施加预定处理例如增益调节和白平衡调节，并将拍摄图像提供给加密处理单元84和图像输出单元85。

加密处理单元84根据控制单元81的控制利用从控制单元81提供的秘密密钥KYC对从信号处理单元83提供的拍摄图像中的加密区域的一部分的图像进行加密，并将所得加密图像提供给图像输出单元85。

图像输出单元85对于从信号处理单元83提供的拍摄图像的一帧在数据的最后部分中嵌入从加密处理单元84提供的加密图像，并经由输入/输出单元53和输入/输出单元54将其中嵌入了加密图像的拍摄图像传送至车辆控制单元22。

<车辆控制单元的配置示例>

此外，例如如图6所示配置车辆控制单元22。

图6中所示的车辆控制单元22包括图像输入单元141、存储器142、记录单元143、控制单元144、通信单元145和总线146。在车辆控制单元22中，将图像输入单元141至通信单元145经由总线146彼此连接。

图像输入单元141经由输入/输出单元54和输入/输出单元53接收已经从图像传感器52的图像输出单元85传送的、带有嵌入的加密图像的拍摄图像，并将拍摄图像输出至存储器142等等。即，图像输入单元141用作从图像传感器52获得加密图像和拍摄图像的获取单元。

存储器142包括易失性存储器，并且暂时记录从图像输入单元141、控制单元144等等提供的各种图像和信息。记录单元143包括非易失性记录单元，并且记录从控制单元144等等提供的各种图像、信息、程序等等，并根据需要将记录的图像和信息提供给控制单元144等等。

控制单元144控制整个车辆控制单元22的操作。控制单元144包括存储单元161、认证处理单元162、设定单元163、加密处理单元164和图像处理单元165。

存储单元161预先存储与图像传感器52的存储单元101中存储的秘密密钥KYC相同的秘密密钥。请注意，以下，保存在存储单元161中的秘密密钥也被认为是秘密密钥KYA。

认证处理单元162利用保存在存储单元161中的秘密密钥KYA执行认证图像传感器52的认证处理。设定单元163执行有关图像传感器52的操作的设定，例如在拍摄拍摄图像时的设定。

加密处理单元164利用保存在存储单元161中的秘密密钥KYA对各种信息和图像进行加密。例如，加密处理单元164对由图像输入单元141接收的拍摄图像中的加密区域的一部分的图像进行加密，以生成加密图像。

图像处理单元165基于由图像输入单元141接收的拍摄图像执行有关车辆11的驾驶的控制。例如，图像处理单元165从拍摄图像检测到障碍等等，根据检测结果生成用于停止车辆11行进的控制信号，并将控制信号输出至制动装置等等。

通信单元145经由输入/输出单元54和输入/输出单元53与图像传感器52的控制单元81通信，并交换各种信息。

<应答处理和连接传感器认证处理的说明>

接下来，将描述图像处理系统的具体操作。

首先，将描述当在指令中给定照相机21的激活时执行的处理。

当在指令中给定照相机21的激活时，作为拍摄图像的输出目的地的车辆控制单元22的认证处理单元162和作为拍摄图像的输出源(获得源)的图像传感器52的控制单元81利用公用秘密密钥开始认证处理。即，通过车辆控制单元22执行连接传感器认证处理，并通过图像传感器52执行应答处理，以便认证图像传感器52。

以下，将参考图7的流程图描述由图像传感器52进行的应答处理和由车辆控制单元22进行的连接传感器认证处理。

在步骤S11中，将图像传感器52通电，并将电力供应给图像传感器52的各单元。

然后，在车辆控制单元22中，在步骤S41中，控制单元144控制通信单元145与图像传感器52通信。

即，例如，控制单元144生成证实照相机21(即，图像传感器52)是否连接的应答要求并将应答要求提供给通信单元145，通信单元145将从控制单元144提供的应答要求传送至图像传感器52。

从通信单元145传送(输出)的应答要求经由输入/输出单元54和输入/输出单元53被提供给图像传感器52的控制单元81。

然后，在图像传感器52中，在步骤S12中，控制单元81经由输入/输出单元53和输入/输出单元54接收从通信单元145传送的应答要求，并根据应答要求应答。

即，控制单元81生成表示已经接收到应答要求的应答信息，并经由输入/输出单元53和输入/输出单元54将应答信息传送至车辆控制22的通信单元145。当通信单元145接收从控制单元81传送的应答信息时，通信单元145经由总线146将应答信息提供给控制单元144。从而，控制单元144可以识别车辆控制单元22与图像传感器52连接并且可以恰当地与图像传感器52通信。

此外，在车辆控制单元22中，在步骤S42中，控制单元144的认证处理单元162针对图像传感器52生成认证报文。例如，认证报文由认证处理单元162等生成的随机数字。

在步骤S43中，加密处理单元164利用保存在存储单元161中的秘密密钥KYA对在步骤S42中的处理中生成的认证报文进行加密，并经由总线146将所得加密报文提供给通信单元145。

在步骤S44中，通信单元145将从加密处理单元164提供的加密报文传送至图像传感器52。经由输入/输出单元54和输入/输出单元53将由通信单元145传送的加密报文提供给图像传感器52的控制单元81。

然后，在图像传感器52中，在步骤S13中，控制单元81接收由通信单元145传送的加密报文。

然后，在步骤S14中，解密单元102利用保存在存储单元101中的秘密密钥KYC对步骤S13中接收的加密报文进行解密。

在步骤S15中，控制单元81经由输入/输出单元53和输入/输出单元54将通过在步骤S14中对加密报文进行解密获得的解密信息传送至车辆控制单元22的通信单元145，并且应答处理结束。

如果秘密密钥KYC和秘密密钥KYA是相同的，通过对加密报文进行解密获得的解密信息应该与步骤S42中生成的认证报文相同。通过对认证报文和解密信息进行比较，车辆控制单元22可以证实图像传感器52是存储预定秘密密钥KYC的合法图像传感器。也就是说，可以执行关于图像传感器52是否是传感器的认证。

当在步骤S15中传送解密信息时，在车辆控制单元22中，在步骤S45中，通信单元145接收从图像传感器52控制单元81传送的解密报文，并经由总线146将接收的解密报文提供给控制单元144。

在步骤S46中，认证处理单元162将步骤S42中生成的认证报文与步骤S45中接收的解密报文进行比较。

通过步骤S42到S46的处理和步骤S13到S15的处理，已经执行了通过密钥加密方法(公用密钥加密方法)进行的、用于利用保存在两侧的秘密密钥执行认证的认证处理，例如高级加密标准(AES)的密码分组链接(CBC)模式、数据加密标准(DES)方法等等。请注意，认证处理中的加密方法不限于AES方法或DES方法，并且可以是任何其他的方法，只要该方法是秘密密钥加密方法。

在步骤S47中，认证处理单元162基于步骤S46中的比较结果来确定连接到车辆控制单元22的图像传感器52是否已经被认证为正确的传感器。

例如，在解密报文与步骤S42中生成的认证报文匹配的情况下，确定为图像传感器52已经被认证为正确的传感器。

在步骤S47中确定图像传感器52已经被认证的情况下，连接传感器认证处理结束，并且其后基于从图像传感器52输出的拍摄图像执行有关车辆11的驾驶的控制。即，执行如下所述的图像获取处理。

另一方面，在步骤S47中确定图像传感器52未被认证为正确的传感器的情况下，控制单元144重激活图像传感器52，并且连接传感器认证处理结束。

即，控制单元144生成给出重激活图像传感器52(即，照相机21)的指令的控制信息，并通过通信单元145将控制信息传送到图像传感器52。图像传感器52的控制单元81经由输入/输出单元53和输入/输出单元54接收从通信单元145传送的、给出重激活的指令的控制信息，并根据接收的控制信息执行重激活。

在应答处理中的步骤S15之后在图像传感器52从车辆控制单元22接收给出重激活的指令的控制信息的情况下，图像传感器根据控制信息执行重激活并且重新执行应答处理。此外，车辆控制单元22也响应于图像传感器52的重激活重新执行连接传感器认证处理。

此时，当即使执行了重激活预定次数也不能获得表示图像传感器52是正确的传感器的认证结果时，控制单元144可以向外部输出通知连接了未被授权的图像传感器的通知等等以便停止后续处理。

如上所述，图像传感器52和车辆控制单元22通过利用彼此共有的秘密密钥KYC和秘密密钥KYA交换认证报文来执行认证。通过这样做，可以防止用未被授权的图像传感器替换并且确保安全。特别地，通过在照相机21(图像传感器52)的激活时执行认证处理可以在车辆11的开始时防止事故的发生。

<图像输出处理的说明>

当执行如上所述的连接传感器认证处理和应答处理并且图像传感器52被认证时，其后，执行其中图像传感器52执行拍摄并且输出拍摄图像的图像输出处理，以及其中车辆控制单元22获得从图像传感器52输出的拍摄图像并执行有关驾驶的控制的图像获取处理。

首先，将参考图8的流程图描述通过图像传感器52执行的图像输出处理。

在步骤S81中，控制单元81经由输入/输出单元53和输入/输出单元54接收从车辆控制单元22传送的初始设定信息。

这里，初始设定信息是表示当拍摄拍摄图像时的初始设定的信息。具体地，例如，初始设定信息是有关拍摄图像例如信息等等，例如拍摄时拍摄图像的帧速率和拍摄图像的尺寸。

在步骤S82中，控制单元81基于步骤S81中接收的初始设定信息执行在拍摄拍摄图像时的初始设定。即，控制单元81基于初始设定信息确定拍摄图像的尺寸、帧速率等等。

在步骤S83中，控制单元81激活图像传感器52的各单元。然后，在步骤S84中，像素阵列单元82拍摄拍摄图像。

即，控制单元81根据初始设定控制像素阵列单元82的操作，像素阵列单元82根据控制单元81的控制执行拍摄并将所得拍摄图像(即拍摄图像的图像数据)提供给信号处理单元83。

在拍摄时，像素阵列单元82经由透镜51接收从对象入射的光并将光进行光电转换以获得拍摄图像。此外，信号处理单元83根据控制单元81的控制对从像素阵列单元82提供的拍摄图像施加预定处理例如增益调节和白平衡调节，并将拍摄图像提供给加密处理单元84和图像输出单元85。

在步骤S85中，控制单元81确定是否改变(更新)拍摄图像的加密区域。例如，在车辆控制单元22改变加密区域的情况下，在适当的定时将表示改变之后的加密区域的加密区域指定信息从车辆控制单元22的通信单元145传送到控制单元81。所以，在将加密区域指定信息从通信单元145传送的情况下，控制单元81在步骤S85确定改变加密区域。

在控制单元81在步骤S85确定不改变加密区域的情况下，不执行步骤S86到S88的处理，其后的处理前进到步骤S89。

对比之下，在控制单元81在步骤S85中确定改变加密区域的情况下，控制单元81在步骤S86中经由输入/输出单元53和输入/输出单元54接收从通信单元145传送的加密区域指定信息。即，控制单元81从车辆控制单元22获得加密区域指定信息。这里，从车辆控制单元22传送的加密区域指定信息为用秘密密钥KYA加密的信息。

在步骤S87中，解密单元102使用保存在存储单元101中的秘密密钥KYC对步骤S86中接收的加密区域指定信息进行解密。

此外，控制单元81将解密之后的加密区域指定信息提供给加密处理单元84并给出改变加密区域的指令。此外，控制单元81将保存在存储单元101中的秘密密钥KY连同加密区域指定信息一起提供给加密处理单元84。

在步骤S88中，加密处理单元84基于从控制单元81提供的加密区域指定信息改变(更新)加密区域，并且处理前进到步骤S89。即，加密处理单元84将拍摄图像上要加密的加密区域改变为由重新提供的加密区域指定信息表示的区域。请注意，由加密区域指定信息表示的加密区域的数目可能上一个或多个。

当步骤S88中的处理已经执行或在步骤S85中确定不改变加密区域时，执行步骤S89中的处理。

即，在步骤S89中，加密处理单元84使用从控制单元81提供的秘密密钥KYC对从信号处理单元83提供的拍摄图像中的加密区域的一部分的图像进行加密，并将所得加密图像提供给图像输出单元85。

从而，将作为从图像传感器52输出至车辆控制单元22的输出数据的拍摄图像的图像数据(即，要确保安全的对象(要检测篡改的对象)的拍摄图像的图像数据)中由加密区域指定信息表示的加密区域的一部分进行加密，并生成加密图像。

在步骤S90中，图像输出单元85在从信号处理单元83提供的拍摄图像中嵌入从加密处理单元84提供的加密图像。

例如，假定针对各帧将拍摄图像按照图9所示的格式从图像输出单元85输出。在图9所示的示例中，从帧开始(FS)到帧结束(FE)的数据为作为活动图像的拍摄图像的一帧的数据，并将数据保存在包中并输出。

即，在本示例中，在包头(PH)和包尾(PF)之间设置用于存储区拍摄图像的一帧的图像数据的区域R51和嵌入数据(Embedded Data)的区域R52。

这里，区域R51是用于存储通过拍摄获得的拍摄图像的一帧的图像数据的区域，区域R51之后的区域R52是用于存储加密图像的图像数据的区域。即，区域R52是嵌入了加密图像的区域。特别地，在本示例中，将区域R52(其是可以存储不同于拍摄图像的图像数据的任意数据的自由区域)用作其中嵌入加密图像的区域。

所以，在本示例中，拍摄图像的一帧的图像数据被存储并在若干个增加了包头和包尾的包中输出。类似地，也存储加密图像并在增加了包头和包尾的包中输出。

例如，在拍摄图像上的区域R53是此帧的加密区域的情况下，加密处理单元84使用秘密密钥KYC对拍摄图像中的区域R53的一部分的图像进行加密，从而生成加密图像。然后，图像输出单元85在拍摄图像的区域R52的一部分中嵌入通过加密获得的加密图像。即，在拍摄图像的一帧的图像数据之后增加加密图像的图像数据。

通过用这样的方式在拍摄图像的一帧的图像数据的最后一部分中(在嵌入数据的部分中)嵌入加密图像，车辆控制单元22能够连同拍摄图像的一帧的图像数据一起获得帧的加密图像。所以，车辆控制单元22可以立即检测到拍摄图像的篡改的存在或不存在。

请注意，这里，已经描述了拍摄图像上的一个区域R53为加密区域的示例。然而，当对于一帧拍摄图像上有多个加密区域时，对各个加密区域的图像进行加密，并生成分别对应于多个加密区域的多个加密图像。

重新参考图8中的流程图的描述，在步骤S91中，图像输出单元85输出其中嵌入了加密图像的拍摄图像。即，在步骤S91中，输出拍摄图像和加密图像。

换言之，图像输出单元85经由输入/输出单元53和输入/输出单元54将其中嵌入了加密图像的拍摄图像传送到车辆控制单元22的图像输入单元141。

针对拍摄图像的各帧执行步骤S84到S91的处理。

在步骤S92中，控制单元81确定是否终止拍摄和输出拍摄图像的处理。例如，在车辆控制单元22等等给出终止拍摄图像的拍摄的指令的情况下，确定将终止处理。

在步骤S92中确定处理还未终止的情况下，处理回到步骤S84并且重复执行上述处理。

另一方面，在步骤S92中确定将要终止处理的情况下，终止图像输出处理。

如上所述，图像传感器52拍摄拍摄图像，对拍摄图像的加密区域的图像进行加密，并输出拍摄图像和加密图像。通过用这样的方式对拍摄图像的称为加密区域的部分区域进行加密以生成加密图像，可以在确保安全的同时减少图像传感器52和车辆控制单元22的处理负荷。

特别地，图像传感器52针对各帧对随时间改变的、由加密区域指定信息指定的加密区域的图像进行加密，从而可以在即使仅加密拍摄图像的一部分的情况下确保充分的安全性。

<图像获取处理的说明>

接下来，将描述当通过图像传感器52执行参考图8描述的图像输出处理时由车辆控制单元22执行的图像获取处理。即，以下，将参考图10的流程图描述通过车辆控制单元22进行的图像获取处理。

在步骤S131中，设定单元163生成初始设定信息，并经由总线146将生成的初始设定信息提供给通信单元145。请注意，可以加密或不特别地加密初始设定信息。

在步骤S132中，通信单元145经由输入/输出单元54和输入/输出单元53将从设定单元163提供的初始设定信息传送到图像传感器52的控制单元81。在参考图8描述的图像输出处理的步骤S81中，按此方式传送的初始设定信息由控制单元81接收。

此外，在改变拍摄期间有关拍摄图像的拍摄的设定(例如，白平衡、亮度等等的设定)的情况下，通过执行类似的处理不仅可以改变拍摄的初始设定也可以改变拍摄的设定。

在这种情况下，设定单元163生成表示有关改变后拍摄的设定的设定信息，并且通信单元145传送该设定信息。然后，在图像传感器52中，控制单元81接收设定信息，并根据接收的设定信息控制像素阵列单元82和信号处理单元83以使这些单元根据设定运行。

在步骤S133中，控制单元144确定是否改变加密区域。

例如，在针对拍摄图像的各帧改变(更新)加密区域的情况下，在一帧的处理结束的时刻确定加密区域的改变。

请注意，除了对于拍摄图像的各帧被改变之外，加密区域可能对于每多个帧而改变。此外，加密区域可能以固定间隔改变或可能以不确定周期(即，在随机时刻)改变。

在步骤S133中确定不改变加密区域的情况下，不执行步骤S134到S136的处理，并且其后的处理前进到步骤S137。

另一方面，在步骤S133中确定改变加密区域的情况下，控制单元144在步骤S134中生成表示改变之后的新加密区域的加密区域指定信息。

例如，控制单元144确定各帧(时间)处的加密区域使得针对各帧随机地改变加密区域的位置和尺寸以及加密区域的数目，并且生成表示所确定的加密区域的加密区域指定信息。

通过用这样的方式随时间改变各帧的加密区域，使得加密区域小于拍摄图像的一帧的整个区域以便减少处理负荷，并且使得加密区域更不容易被明确，从而可以确保充分的安全性。

特别地，通过根据车辆控制单元22(即，控制单元144)的处理能力确定加密区域的尺寸和数目，控制单元144可以实时地在可处理范围内确保最大的安全性。

此外，例如，在拍摄图像上存在重要的安全对象的情况下，可以将包括该对象的区域设定为加密区域。

具体地，假定控制单元144的图像处理单元165从拍摄图像检测到另一车辆在车辆11前面行进，并且基于检测结果控制车辆11的行进速度等，以便不与另一车辆碰撞。

在这种情况下，通过将拍摄图像中包括另一车辆的区域(更具体地，将要包括另一车辆的区域)设定为加密区域，可以必然地感测拍摄图像中包括作为对象的至少该另一车辆的区域的篡改。所以，车辆控制单元22可以恰当地控制行进速度等，以便不与另一车辆相撞，并且可以甚至以小的处理负荷确保充分的安全性。

例如，为了完全确保一帧的拍摄图像的安全性，整个拍摄图像需要被设定为加密区域。然而，如上述示例，通过将必要的对象的区域等等(例如，作为对象拍摄到另一车辆的区域)设定为加密区域，即使加密区域是拍摄图像的若干行的区域也可以确保拍摄图像上至少必要区域的安全性。

在步骤S135中，加密处理单元164使用保存在存储单元161中的秘密密钥KYA对步骤S134中生成的加密区域指定信息进行加密，并经由总线146将加密的加密区域指定信息提供给通信单元145。

通过用这样的方式的对加密区域指定信息进行加密，可以防止加密区域的泄露并提高安全性。即，可以保持安全级别。

请注意，这里，已经描述了作为用于加密拍摄图像的加密区域的图像的参数使用秘密密钥KYA来对指定加密区域的加密区域指定信息进行加密的示例。然而，当除加密区域指定信息之外存在从车辆控制单元22传送到图像传感器52的参数以加密拍摄图像的加密区域的图像时，也使用秘密密钥KYA对该参数进行加密。

在步骤S136中，通信单元145经由输入/输出单元54和输入/输出单元53将已经从控制单元144的加密处理单元164提供的已经加密的加密区域指定信息传送到图像传感器52的控制单元81。

所以，在参考图8描述的图像输出处理的步骤S86中，接收在步骤S136的处理中传送的加密区域指定信息。

在已经执行步骤S136的处理或在步骤S133中确定不改变加密区域的情况下，执行步骤S137的处理。

即，在步骤S137中，图像输入单元141经由输入/输出单元54和输入/输出单元53获得已经从图像传感器52的图像输出单元85输出的、其中嵌入了加密图像的拍摄图像。换言之，图像输入单元141接收由图像输出单元85传送的拍摄图像。从而，获得了作为从图像传感器52获得的获得数据的拍摄图像和嵌入在拍摄图像中的加密图像。

这里，在步骤S137中获得了参考图描述的图像输出处理中的步骤S91中输出的拍摄图像。

图像输入单元141适当地将所接收的拍摄图像提供给存储器142并将拍摄图像存储在存储器142中，或将拍摄图像提供给控制单元144。这里，为了简化描述，假定经由总线146将所接收的拍摄图像从图像输入单元141提供给控制单元144。

在步骤S138中，在从图像输入单元141提供的拍摄图像中，加密处理单元164使用保存在存储单元161中的秘密密钥KYA对由在步骤S134中生成的加密区域指定信息表示的加密区域的图像进行加密。从而，获得使用秘密密钥KYA加密的加密图像。

在步骤S139中，控制单元144将在步骤S137中获得的拍摄图像中嵌入的加密图像与在步骤S138中的处理中生成的加密图像进行比较。这些加密图像是通过使用相同的秘密密钥对拍摄图像上的相同区域的图像进行加密而获得的图像。所以，如果当从图像输出单元85被输出时到在图像输入单元141中被接收时拍摄图像没有被篡改，那么这两个加密图像应该匹配。

在步骤S140中，控制单元144基于步骤S139的比较结果确定是否已经检测到拍摄图像的篡改。

例如，在两个加密图像不匹配，即，拍摄图像中嵌入的加密图像和步骤S138中生成的加密图像在步骤S139中的处理中不相同的情况下，确定已经检测到拍摄图像的篡改。

在步骤S140中确定已经检测到篡改的情况下，不执行步骤S141中的处理并且其后的处理前进至步骤S142。在这种情况下，例如，控制单元144向外部输出表示已经检测(感测)到拍摄图像的篡改的通知等，并适当地执行停止车辆11的自动驾驶等等的处理。

另一方面，在步骤S140中确定没有检测到篡改的情况下，图像处理单元165在步骤S141中基于从图像输入单元141提供的拍摄图像执行预定的图像处理。

例如，图像处理单元165作为图像处理执行拍摄图像的图像分析等等以从拍摄图像中检测前方的车辆、行人等，根据检测结果生成用于控制车辆11的驾驶的驾驶控制信息，并将驾驶控制信息输出至引擎、制动装置等等。

针对拍摄图像的各帧执行步骤S133到S141的处理。通过针对拍摄图像的各帧执行步骤S133到S141的处理，可以确保拍摄图像的所有帧的安全性。当执行步骤S141的处理时，其后的处理前进到步骤S142。

在已经执行了步骤S141中的处理或者在步骤S140中确定已经检测到篡改的情况下，控制单元144在步骤S142中确定是否终止获得拍摄图像和控制有关驾驶的控制的处理。

例如，在步骤S140中确定已经检测到篡改的情况下、在来自外部的指令中给出处理终止的情况下(例如当车辆11停止时终止拍摄图像的拍摄)等等，确定处理的终止。

在步骤S142中确定处理还未终止的情况下，处理回到步骤S133并且重复执行上述处理。

另一方面，在步骤S142中确定要终止处理的情况下，终止图像获取处理。在这种情况下，例如，控制单元144经由通信单元145通知图像传感器52处理的终止。

如上所述，车辆控制单元22从图像传感器52获得拍摄图像，将从所获得的拍摄图像生成的加密图像与拍摄图像中嵌入的加密图像进行比较，并检测拍摄图像的篡改。

从而，可以防止拍摄图像的篡改和确保安全性。此时，通过对拍摄图像的部分区域作为加密区域进行加密以生成加密图像，可以在确保安全的同时减少图像传感器52和车辆控制单元22的处理负荷。

特别地，通过随时间改变加密区域的位置、尺寸等等，可以在确保充分的安全性的同时减少图像传感器52和车辆控制单元22的处理负荷。最初，车辆控制单元22以高处理负荷执行图像处理(例如步骤S141)，并且也要求图像传感器52具有低的功耗。所以，降低确保图像传感器52和车辆控制单元22中的拍摄图像的安全性的处理负荷是非常重要的。

请注意，上述示例是基于秘密密钥KYC和秘密密钥KYA以安全状态在存储单元101和存储单元161中写入的假定下给出的。然而，存在这些秘密密钥不能以安全状态存储的情况。

然而，在这种情况下，可以通过动态更新秘密密钥来确保充分的安全性，虽然安全级别有些降低。

具体地，例如，仅要求车辆控制单元22的通信单元145在适当的时间经由输入/输出单元54和输入/输出单元53将秘密密钥KYC传送到图像传感器52的控制单元81。控制单元81可以通过将从通信单元145接收的秘密密钥KYC提供给存储单元101并将秘密密钥KYC存储在存储单元101中而使用秘密密钥KYC执行上述处理。

如上所述，例如，当将秘密密钥KYC从车辆控制单元22传送到图像传感器52时，秘密密钥KYC针对拍摄图像的各帧进行更新，并酌情从车辆控制单元22传送到各帧的图像传感器52，从而可以进一步提高安全性。

<计算机的配置示例>

顺便提及，可以通过硬件或软件执行上述一系列的处理。在通过软件执行一系列处理的情况下，将构成该软件的程序安装在计算机中。这里，计算机的示例包括结合在专用硬件里的计算机、能够通过安装例如各种农程序执行各种功能的通用个人计算机等等。

图11是通过程序执行上述一系列处理的计算机的硬件的配置示例的方框图。

在计算机中，中央处理器(CPU)501、只读存储器(ROM)502和随机存取存储器(RAM)503通过总线504互相连接。

此外，输入/输出接口505连接至总线504。输入单元506、输出单元507、记录单元508、通信单元509和驱动器510连接至输入/输出接口505。

输入单元506包括键盘、老鼠、麦克风、成像元件等等。输出单元507包括显示器、扬声器等等。记录单元508包括硬盘、非易失存储器等等。通信单元509包括网络接口等等。驱动器510驱动可移除记录介质511例如磁盘、光盘、磁光盘或半导体存储器。

在如上所述配置的计算机中，例如，CPU501经由输入/输出接口505和总线504将记录在记录单元508中的程序装载进入RAM503中并执行程序，从而执行上述一系列处理。

由计算机(CPU501)执行的程序可以例如记录在作为包介质的可移除记录介质511上，并且可以设置。此外，可以经由有线或无线传输介质例如局域网、因特网或数字卫星广播来设置程序。

在计算机中，可以通过将可移除记录介质511附接至驱动器510经由输入/输出接口505将程序安装到记录单元508。此外，程序可以经由有线或无线传输介质由通信单元509接收并安装在记录单元508中。除了上述方法，程序可以预先安装在ROM502中或记录单元508中。

请注意，通过计算机执行的程序可以是根据本说明书中描述的顺序按时间顺序处理的程序，或可以是并行执行或在必要的时间(例如当呼叫时)执行的程序。

此外，本技术的实施方式不限于上述实施方式，并且在不偏离本技术的主旨的情况下可以做出各种修改。

例如，在本技术中，可以采用其中一个功能经由网络被多个装置合作地分担和处理的配置。

进一步地，上述流程图中描述的步骤可以由一个装置执行或者以分担方式由多个装置执行。

此外，在多个处理包括在一个步骤中的情况下，包括在一个步骤中的多个处理可以由一个装置执行或者由多个装置分担和执行。

此外，本技术可以如下配置。

(1)一种信号处理装置，其包含：

控制单元，其配置为获取表示将在输出数据中加密的指定部分的指定信息；和

加密处理单元，其配置为使用密钥对由所述输出数据中的所述指定信息表示的所述指定部分进行加密，

其中由所述指定信息表示的所述指定部分随时间改变。

(2)根据(1)所述信号处理装置，进一步包含：

输出单元，其配置为输出通过所述加密获得的加密数据和所述输出数据。

(3)根据(2)所述信号处理装置，其中

所述控制单元利用带有所述加密数据和所述输出数据的输出目的地的所述密钥执行认证处理。

(4)根据(3)所述信号处理装置，其中

所述控制单元在所述信号处理装置激活时执行所述认证处理。

(5)根据(1)至(4)中任一项所述信号处理装置，其中

所述控制单元获取所述加密指定信息，并利用所述密钥解密所述加密指定信息。

(6)根据(1)至(5)中任一项所述信号处理装置，其中

所述加密处理单元对多个由所述输出数据中的所述指定信息表示的所述指定部分进行加密。

(7)根据(1)至(6)中任一项所述信号处理装置，其中

所述输出数据是图像数据。

(8)一种信号处理方法，其包含以下步骤:

获取指示将在输出数据中加密的指定部分的指定信息；和

使用密钥对由所述输出数据中的所述指定信息表示的所述指定部分进行加密，

其中由所述指定信息表示的所述指定部分随时间改变。

(9)一种程序，其使电脑执行处理，该处理包含以下步骤：

获取指示将在输出数据中加密的指定部分的指定信息；和

使用密钥对由所述输出数据中的所述指定信息表示的所述指定部分进行加密，

其中由所述指定信息表示的所述指定部分随时间改变。

(10)一种信号处理装置，其包含：

控制单元，其配置为生成表示将在所获取的数据中加密的指定部分的指定信息，同时随时间改变所述指定部分；

通信单元，其配置为传输所述指定信息；和

获取单元，其配置为获取通过对由所述所获得的数据中的所述指定信息表示的所述指定部分进行加密而获得的加密数据以及所述所获得的数据。

(11)根据(10)所述的信号处理装置，进一步包含：

加密处理单元，其配置为使用密钥对所述所获得的数据中的所述指定部分进行加密，

其中所述控制单元将由所述获取单元获得的所述加密数据与通过所述加密处理单元加密而获得的加密数据进行比较。

(12)根据(11)所述信号处理装置，其中

所述加密处理单元利用所述密钥对所述指定信息进行加密，和

所述通信单元传输由所述加密处理单元加密的所述指定信息。

(13)根据(11)或(12)所述的信号处理装置，进一步包含：

认证处理单元，其配置为利用带有所述所获得的数据和所述加密数据的获取源的所述密钥执行认证处理。

(14)根据(13)所述信号处理装置，其中

所述认证处理单元在所述获取源激活时执行所述认证处理。

(15)根据(10)至(14)中任一项所述信号处理装置，其中

所述控制单元生成表示多个所述指定部分的所述指定信息。

(16)根据(10)至(15)中任一项所述信号处理装置，其中

所述所获得数据是图像数据。

(17)一种信号处理方法，其包含以下步骤:

生成表示将在所获取的数据中加密的指定部分的指定信息，同时随时间改变所述指定部分；

传输所述指定信息；和

获取通过对由所述所获得的数据中的所述指定信息表示的所述指定部分进行加密而获得的加密数据以及所述所获得的数据。

(18)一种程序，其使电脑执行处理，该处理包含以下步骤：

生成表示将在所获取的数据中加密的指定部分的指定信息，同时随时间改变所述指定部分；

传输所述指定信息；和

获取通过对由所述所获得的数据中的所述指定信息表示的所述指定部分进行加密而获得的加密数据以及所述所获得的数据。

参考符号列表

11车辆

21-1至21-4和21照相机

22车辆控制单元

52图像传感器

81控制单元

82像素阵列单元

84加密处理单元

85图像输出单元

101存储单元

102解密单元

141图像输入单元

144控制单元

145通信单元

161存储单元

162认证处理单元

163设定单元

164加密处理单元

165图像处理单元。