WO2023105744A1

WO2023105744A1 - 検知システム、検知装置、検知方法および検知プログラム

Info

Publication number: WO2023105744A1
Application number: PCT/JP2021/045499
Authority: WO
Inventors: 友貴山中; 浩義瀧口; 正紀篠原; 智大永井; 泰典和田
Original assignee: 日本電信電話株式会社
Priority date: 2021-12-10
Filing date: 2021-12-10
Publication date: 2023-06-15
Also published as: AU2021477492A1

Abstract

ベースステーション（１０）では、探索部（１１ａ）が、ネットワーク内の全てのノードを１度だけ通る周回路を探索する。算出部（１１ｂ）が、ネットワーク内のノードの数と同数のハッシュ値を順に算出する。通知部（１１ｃ）が、各ノードに対し、周回路における順番と、算出されたハッシュ値のうち該順番に応じたハッシュ値と、周回路における後段のノードとを通知する。ノード（２０）では、送付部（２１ａ）が、通知部（１１ｃ）から通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する。ハッシュ検証部（２１ｂ）が、前段のノードから送付されたハッシュ値と、通知されたハッシュ値から所定の方法で算出した値とが一致するか否かを検証する。返送部（２１ｃ）が、ハッシュ値が一致した場合に、送付されたチャレンジに対するレスポンスを返送する。レスポンス検証部（２１ｄ）が、返送されたレスポンスを検証する。

Description

検知システム、検知装置、検知方法および検知プログラム

　本発明は、検知システム、検知装置、検知方法および検知プログラムに関する。

　システムの改ざんを検知するアテステーション技術が注目されている。アテステーション技術では、監視対象のノードのストレージ全体が正常とみなせるある時点でのハッシュ値やチェックサム等のダイジェストを定期的に取得しておく。そして、取得しておいたダイジェストと、監視対象のノードの現在のストレージのダイジェストとを比較することにより、監視対象のノードの完全性確認つまりノード内で改ざんが発生していないかをチェックする。

　このような処理を全てソフトウェアで行うソフトウェアベース・アテステーション技術においては、常に信頼できる検証サーバーに安全に各ノードの秘密情報を保持できることが前提となっている。したがって、検証サーバーが感染すると改ざんを正しく検知することができなくなり、破綻してしまうモデルが多い。

　そこで従来、秘密情報の分散を行い、ノード同士で多数決を行うことにより、検証サーバーを不要とする技術が開示されている（非特許文献１参照）。

Yi　Yang,　Xinran　Wang,　Sencun　Zhu,　and　Guohong　Cao,　"Distributed　Software-based　Attestation　for　Node　Compromise　Detection　in　Sensor　Networks",　26th　IEEE　International　Symposium　on　Reliable　Distributed　Systems

　しかしながら、従来の技術では、ネットワーク内に存在する全ての機器の完全性確認が困難であった。例えば、ネットワーク内に存在する全ての機器の完全性確認を行うためには、大量の通信回数と計算コストとを必要とした。

　本発明は、上記に鑑みてなされたものであって、ネットワーク内に存在する全ての機器の完全性確認を効率よく行うことを目的とする。

　上述した課題を解決し、目的を達成するために、本発明に係る検知システムは、２以上のノードと、各ノードに関する情報を保持するベースステーションとを有する検知システムであって、前記ベースステーションは、ネットワーク内の全てのノードを１度だけ通る周回路を探索する探索部と、ネットワーク内のノードの数と同数のハッシュ値を順に算出する算出部と、各ノードに対し、前記周回路における順番と、算出された前記ハッシュ値のうち該順番に応じたハッシュ値と、前記周回路における後段のノードとを通知する通知部と、を有し、前記ノードは、前記通知部から通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する送付部と、送付された前記ハッシュ値と、通知された前記ハッシュ値から所定の方法で算出した値とが一致するか否かを検証するハッシュ検証部と、前記ハッシュ値が一致した場合に、送付された前記チャレンジに対するレスポンスを返送する返送部と、返送された前記レスポンスを検証するレスポンス検証部と、を有することを特徴とする。

　本発明によれば、ネットワーク内に存在する全ての機器の完全性確認を効率よく行うことが可能となる。

図１は、検知システムの概要を説明するための図である。図２は、検知システムの概要を説明するための図である。図３は、検知システムの概要を説明するための図である。図４は、検知システムの概略構成を例示する模式図である。図５は、ベースステーションの処理を説明するための図である。図６は、検知処理手順を示すシーケンス図である。図７は、検知プログラムを実行するコンピュータを例示する図である。

　以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。

［検知システムの概要］
　図１～図３は、検知システムの概要を説明するための図である。まず、図１には、ノードの１対１の完全性確認について例示されている。１対１の完全性確認では、一方のノードをＶｅｒｉｆｉｅｒ、他方のノードをＰｒｏｖｅｒとして機能させて、チャレンジ・レスポンスの手続きでＰｒｏｖｅｒ上の情報に改ざんが発生したことを漏れなく発見する。

　図１に示す例では、検知システムは、ノード１、ノード２およびベースステーションを含み、共通鍵暗号等により相互に安全に通信可能に構成されている。まず、図１（１）に示すように、Ｖｅｒｉｆｉｅｒであるノード１が、Ｐｒｏｖｅｒであるノード２に対するチャレンジとしてランダム値（Ｎｏｎｃｅ）を送付する。このとき、ノード１は、制限時間内にノード２から正しいレスポンスが返却されることを期待する。ノード２は、チャレンジとして受け取ったランダム値を、自身の持つ乱数生成器のシードとしてセットする。

　また、図１（２）～（３）に示すように、ノード２は、自身のストレージにアクセスして、シードを用いたランダムスキャンを行って、チェックサムまたはハッシュダイジェストをレスポンスとして生成し、ノード１に返送する。

　図１（４）に示すように、ノード１は、レスポンスを検証する。仮にノード２が感染していた場合には、正しいレスポンスを生成することができないため、ノード１はノード２が感染していることを検知できる。そして、ノード１は、図１（５）に示すように、ベースステーションに検証結果を通知する。これにより、ベースステーションが配下のノード２についての完全性確認を行うことが可能となる。

　次に、図２には、３以上のノード間での完全性確認について例示されている。図２に示す例では、各ノードはデプロイの前に、自身に対して送付されるチャレンジと、そのチャレンジに対するレスポンスとの複数の組を計算してメモリ上に保持しておく。そして、図２（ａ）に示すように、ノードがネットワークに配置された際には、自身の保持するチャレンジ／レスポンスの組を近隣のノードに配布し、配布したチャレンジ／レスポンスの組を自身のメモリ上から削除する。その結果、近隣ノードが対象ノードに送付するチャレンジと対応するレスポンスとを保持して、秘密情報が共有されることになる。

　そして、図２（ｂ）に示すように、例えば、適当な投票アルゴリズムを用いてＰｒｏｖｅｒとして選出されたノードは、全ての隣接ノードからチャレンジを受け取り、それぞれに対してレスポンスを算出して返答する。隣接ノードは、返答されたレスポンスと自身が保持する、期待されるレスポンスとを比較して、両者に齟齬があった場合に、このＰｒｏｖｅｒであるノードが感染したものとしてベースステーションに通知する。

　図２に示す例では、●で示すＰｒｏｖｅｒのノードについて、複数の隣接ノードのそれぞれが異なるチャレンジ／レスポンスの組を保持し、Ｐｒｏｖｅｒのノードの完全性確認を行って、例えば多数決で改ざんの有無を判定する。この場合には、Ｐｒｏｖｅｒである１つのノードの完全性確認について、隣接ノードの数だけのチャレンジ／レスポンスの通信と計算が発生する。

　そこで、本実施形態の検知システムは、Ｐｒｏｖｅｒとして１つのノードの完全性確認を行う代わりに、ネットワーク内に感染したノードが１つでもあるか否かをチェックする。具体的には、検知システム１は、図３に示すように、ネットワーク内の全ノードを１度だけ通って１周する周回路であるＨａｍｉｌｔｏｎ閉路を計算し、前段のノードをＶｅｒｉｆｉｅｒ、後段のノードをＰｒｏｖｅｒとして順に１対１の完全性確認を行う。

　この場合には、全ノードが正常である場合か、あるいは全ノードが感染している場合にのみ、全ての完全性確認が成功する。全ノードが感染しているケースは稀で無視できるものと考えられる。したがって、検知システムは、Ｎ個のノードのそれぞれに対してＮ回の完全性確認を行うことなく、ノード群の全体に対する１回の処理で完全性確認を行うことが可能となる。これにより、通信オーバヘッド等を大幅に削減して、通信回数と計算コストとを抑制して完全性確認を行うことが可能となる。

［検知システムの構成］
　図４は、検知システムの概略構成を例示する模式図である。図４に例示するように、検知システム１は、ベースステーション１０および２以上のノード２０を含み、相互に共通鍵暗号等により安全に通信可能に構成される。

　ベースステーション１０は、ネットワーク内の各ノード２０がどのノードの通信範囲内にいるか、各ノード２０がどのノードの秘密情報を保持しているか等の情報を保持して、ノード２０間の１対１の完全性確認を統制する。つまり、ネットワーク内のノード２０についてＨａｍｉｌｔｏｎ閉路を計算し、Ｈａｍｉｌｔｏｎ閉路の順番に、ノード２０で１対１の完全性確認の実行を指示する。そして、各ノード２０は、検知装置として、相互に１対１の完全性確認を行う。その後、ベースステーション１０は、ノード２０間の完全性確認の結果を集約する。

［ベースステーションの構成］
　ベースステーション１０は、ＣＰＵ（Central　Processing　Unit）やＮＰ（Network　Processor）やＦＰＧＡ（Field　Programmable　Gate　Array）等で実現され、メモリに記憶された処理プログラムを実行して、制御部１１として機能する。また、ベースステーション１０は、（Random　Access　Memory）、フラッシュメモリ（Flash　Memory）等の半導体メモリ素子で実現される記憶部１２を有する。また、ベースステーション１０は、図示しない通信制御部を備え、通信制御部を介してノード２０や他のネットワーク装置等と通信する。

　記憶部１２には、ベースステーション１０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部１２は、通信制御部を介して制御部１１と通信する構成でもよい。

　本実施形態において、記憶部１２には、後述する検知処理で用いられるノード情報１２ａを記憶する。ノード情報１２ａは、ネットワーク内の各ノードがどのノードの通信範囲内にいるか、各ノードがどのノードの秘密情報を保持しているか等の情報を含む。

　制御部１１は、メモリに記憶された処理プログラムを実行することにより、図４に例示するように、探索部１１ａ、算出部１１ｂ、通知部１１ｃおよび集約部１１ｄとして機能する。なお、これらの機能部は、それぞれあるいは一部が異なるハードウェアに実装されてもよい。例えば、探索部１１ａおよび算出部１１ｂと、通知部１１ｃおよび集約部１１ｄとは、別々の装置に実装されてもよい。また、制御部１１は、その他の機能部を備えてもよい。

　探索部１１ａは、ネットワーク内の全てのノードを１度だけ通る周回路を探索する。具体的には、探索部１１ａは、ネットワーク内のすべてのノードを対象にＨａｍｉｌｔｏｎ閉路を計算する。探索部１１ａは、ノード情報１２ａのノード２０の通信状況や、後述するチャレンジ・レスポンスの共有状況を参照して、Ｈａｍｉｌｔｏｎ閉路を計算する。

　検知システム１では、後述する検知処理において、Ｈａｍｉｌｔｏｎ閉路の順番に１周するように、前段のノード２０をＶｅｒｉｆｉｅｒ、後段のノード２０をＰｒｏｖｅｒとする１対１の完全性確認を行う。

　ここで、正常なノード２０から感染したノード２０に対してチャレンジが送付された場合には、正しいレスポンスが生成されない。したがって、１周して全てのノード２０で完全性確認が成功するのは、全てのノード２０が正常であるか、あるいは全てのノード２０が感染しているかのいずれかに限られる。全てのノード２０が感染している場合は稀であると考えられることから、後述する検知処理により、全てのノード２０の完全性確認が可能となる。

　算出部１１ｂは、ネットワーク内のノード２０の数Ｎと同数のハッシュ値を順に算出する。また、通知部１１ｃは、各ノード２０に対し、Ｈａｍｉｌｔｏｎ閉路における順番ｉと、算出されたハッシュ値のうち該順番に応じた（Ｎ－ｉ）番目のハッシュ値と、Ｈａｍｉｌｔｏｎ閉路における後段の（ｉ＋１）番目のノード２０とを通知する。具体的には、通知部１１ｃは、Ｈａｍｉｌｔｏｎ閉路の各ノード２０に、該Ｈａｍｉｌｔｏｎ閉路における順番の昇順に、算出されたハッシュ値を算出された順番の降順に通知する。すなわち、通知部１１ｃは、Ｈａｍｉｌｔｏｎ閉路のｉ番目のノード２０に、（Ｎ－ｉ）番目に算出されたハッシュ値を通知する。

　ここで、図５は、ベースステーションの処理を説明するための図である。算出部１１ｂは、初期値Ｘにハッシュ関数を作用させてハッシュ値Ｘ’を算出する。また、ハッシュ値Ｘ’にハッシュ関数を作用させてハッシュ値Ｘ’’を算出する。算出部１１ｂは、図５（ａ）に例示するように、この処理を繰り返すことにより、ネットワーク内のノード２０の数と同数のハッシュ値からなるハッシュチェインを生成する。

　そして、通知部１１ｃは、図５（ｂ）に例示するように、算出部１１ｂが生成したハッシュチェインをひっくり返し（リバースハッシュチェイン）、各ハッシュ値を算出された順番の降順に並べ変える。そして、通知部１１ｃは、図５（ｃ）に例示するように、Ｈａｍｉｌｔｏｎ閉路の順番と、図５（ｂ）のように並べ変えた順番とが対応するように、各ノード２０にハッシュ値を通知する。

　これにより、後述するノード２０のハッシュ検証部２１ｂは、前段のノード２０から送付されたハッシュ値と自身が通知されたハッシュ値とを用いて、前段のノード２０が、ベースステーション１０が期待したノード２０か否かを検証することができる。例えば、ハッシュ検証部１２ｂは、前段のノード２０から送付されたハッシュ値（例えばＸ’’）と、自身が通知されたハッシュ値（例えばＸ’）にハッシュ関数を作用させて算出したハッシュ値（Ｘ’’）とが一致する場合に、期待されたノード２０と確認できる。

　図４の説明に戻る。集約部１１ｄは、後述するノード２０のハッシュ検証部２１ｂまたはレスポンス検証部２１ｄの検証の結果を集約する。これにより、ベースステーション１０は、各ノード２０での後述する検証結果を集約することが可能となる。例えば、各ノード２０の検証結果のうちに、１つでも期待される値と異なる異常の結果が含まれている場合には、集約部１１ｄは、ネットワーク内に感染したノード２０が存在するものとして、アラートを発出する。

［ノードの構成］
　ノード２０は、ＣＰＵやＮＰやＦＰＧＡ等で実現され、メモリに記憶された処理プログラムを実行して、制御部２１として機能する。また、ノード２０は、ＲＡＭ、フラッシュメモリ等の半導体メモリ素子で実現される記憶部２２を有する。また、ノード２０は、図示しない通信制御部を備え、通信制御部を介してベースステーション１０や他のネットワーク装置等と通信する。

　記憶部２２には、ノード２０を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。なお、記憶部２２は、通信制御部を介して制御部２１と通信する構成でもよい。

　本実施形態において、記憶部２２は、ストレージコンテンツ情報２２ａ、チャレンジ／レスポンス情報２２ｂ等を記憶する。ストレージコンテンツ情報２２ａは、後述する検知処理において、返送部２１ｃが前段のノード２０から送付されたチャレンジに対するレスポンスを生成する際に参照される。

　また、チャレンジ／レスポンス情報２２ｂは、ネットワーク内の各ノードに対して送付するチャレンジと該チャレンジに対する正常なレスポンスとの組み合わせである。ノード２０は、上記したように、デプロイされる前に予め、自身に対して送付されるべき複数のチャレンジとそのチャレンジに対するレスポンスとを算出しておく。

　そして、ノード２０がネットワークに配置された際には、自身の保持するチャレンジ／レスポンスの組を近隣のノード２０に配布し、配布したチャレンジ／レスポンスの組を自身のメモリ上から削除する。その結果、近隣のノード２０がそれぞれ、Ｐｒｏｖｅｒのノードに送付するチャレンジと対応するレスポンスとして、チャレンジ／レスポンス情報２２ｂを保持することになる。これによりネットワーク内の各ノードが秘密情報を共有することになる。

　制御部２１は、メモリに記憶された処理プログラムを実行することにより、図４に例示するように、送付部２１ａ、ハッシュ検証部２１ｂ、返送部２１ｃおよびレスポンス検証部２１ｄとして機能する。なお、制御部１１は、その他の機能部を備えてもよい。

　送付部２１ａは、通知部１１ｃから通知された順番ｉに従って、後段のノード２０に、通知されたハッシュ値とチャレンジとを送付する。具体的には、ｉ番目のノード２０の送付部２１ａは、（ｉ＋１）番目のノード２０に、通知部１１ｃから通知された（Ｎ－ｉ）番目のハッシュ値と、（ｉ＋１）番目のノード２０に対するチャレンジとを送付する。

　送付部２１ａは、後段の（ｉ＋１）番目のノードに、チャレンジとして、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照して該後段の（ｉ＋１）番目のノードに対応するチャレンジを送付する。

　ハッシュ検証部２１ｂは、前段のｉ番目のノード２０から送付されたハッシュ値と、通知されたハッシュ値から所定の方法で算出した値とが一致するか否かを検証する。具体的には、ハッシュ検証部２１ｂは、前段のｉ番目のノード２０から送付されたハッシュ値と、通知されたハッシュ値から算出したハッシュ値とが一致するか否かを検証する。

　例えば、（ｉ＋１）番目のノード２０のハッシュ検証部２１ｂは、前段のｉ番目のノード２０から送付された（Ｎ－ｉ）番目のハッシュ値と、自身が通知された（Ｎ－（ｉ＋１））番目のハッシュ値にハッシュ関数を作用させたハッシュ値とが一致するか否かを検証する。一致する場合には、前段のノード２０が、ベースステーション１０が期待したｉ番目のノード２０であることが確認できたことになる。

　そこで、ハッシュ検証部２１ｂは、一致した場合には、以下に示す返送部１２ｃに処理を移行させる。また、ハッシュ検証部２１ｂは、一致しない場合には、例えば、ベースステーション１０の集約部１１ｄにこの検証結果を通知してもよい。

　返送部２１ｃは、ハッシュ検証部２１ｂにおいてハッシュ値が一致した場合に、送付されたチャレンジに対するレスポンスを返送する。具体的には、返送部２１ｃは、チャレンジに含まれるＮｏｎｃｅを取り出してシードとしてセットする。そして、返送部１２ｃは、ストレージコンテンツ情報２２ａを参照してレスポンスを生成し、前段のノード２０に返送する。

　レスポンス検証部２１ｄは、返送されたレスポンスを検証する。具体的には、レスポンス検証部２１ｄは、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照し、返送されたレスポンスが正常なレスポンスと一致するか否かを検証する。レスポンス検証部２１ｄは、一致する場合には、後段のノード２０が正常と判定し、一致しない場合には、後段のノード２０が感染していると判定する。

　また、レスポンス検証部２１ｄは、検証結果をベースステーション１０の集約部１１ｄに通知する。これにより、上述したように、ベースステーション１０は、各ノード２０でレスポンス検証の結果を集約することが可能となる。例えば、各ノード２０のレスポンス検証の結果のうち、１つでも後段のノード２０が感染していると判定結果が含まれている場合には、集約部１１ｄは、ネットワーク内に感染したノード２０が存在するものとして、アラートを発出する。

　なお、集約部１１ｄは、ハッシュ検証部２１ｂが検証結果を通知した場合にも、ベースステーション１０が期待したＨａｍｉｌｔｏｎ閉路の順番に依らない処理が実行されたものとして、アラートを発出する。

［検知処理］
　次に、図６を参照して、本実施形態に係る検知システム１による検知処理について説明する。図６は、検知処理手順を示すシーケンス図である。図６のシーケンスは、例えば、検知処理の開始を指示する操作入力があったタイミングで開始される。

　まず、ベースステーション１０の通知部１１ｃが、各ノード２０に対し、Ｈａｍｉｌｔｏｎ閉路における順番ｉと、算出されたハッシュ値のうち該順番に応じた（Ｎ－ｉ）番目のハッシュ値と、Ｈａｍｉｌｔｏｎ閉路における後段の（ｉ＋１）番目のノード２０とを通知する（ステップＳ１）。

　まず、１番目のノード２０では、送付部２１ａが、２番目のノード２０に、通知部１１ｃから通知された（Ｎ－１）番目のハッシュ値と、２番目のノード２０に対するチャレンジとを送付する（ステップＳ１０）。

　具体的には、送付部２１ａは、後段の２番目のノードに、チャレンジとして、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照して２番目のノードに対応するチャレンジを送付する。

　２番目のノード２０のハッシュ検証部２１ｂは、前段の１番目のノード２０から送付された（Ｎ－１）番目のハッシュ値と、自身が通知された（Ｎ－２）番目のハッシュ値にハッシュ関数を作用させたハッシュ値とが一致するか否かを検証する（ステップＳ１１）。

　ハッシュ検証部２１ｂにおいてハッシュ値が一致した場合に、２番目のノード２０の返送部２１ｃは、送付されたチャレンジに対するレスポンスを返送する（ステップＳ１２）。具体的には、返送部２１ｃは、チャレンジに含まれるＮｏｎｃｅを取り出してシードとしてセットする。そして、返送部２１ｃは、ストレージコンテンツ情報２２ａを参照してレスポンスを生成し、１番目のノード２０に返送する。

　１番目のノード２０のレスポンス検証部２１ｄは、返送されたレスポンスを検証する（ステップＳ１３）。具体的には、レスポンス検証部２１ｄは、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照し、返送されたレスポンスが正常なレスポンスと一致するか否かを検証する。レスポンス検証部２１ｄは、一致する場合には、２番目のノード２０が正常と判定し、一致しない場合には、２番目のノード２０が感染していると判定する。

　また、レスポンス検証部２１ｄは、検証結果をベースステーション１０の集約部１１ｄに通知する（ステップＳ１４）。

　同様に、２番目のノード２０では、送付部２１ａが、３番目のノード２０に、通知部１１ｃから通知された（Ｎ－２）番目のハッシュ値と、３番目のノード２０に対するチャレンジとを送付する（ステップＳ２０）。

　３番目のノード２０のハッシュ検証部２１ｂは、前段の２番目のノード２０から送付された（Ｎ－２）番目のハッシュ値と、自身が通知された（Ｎ－３）番目のハッシュ値にハッシュ関数を作用させたハッシュ値とが一致するか否かを検証する（ステップＳ２１）。

　ハッシュ検証部２１ｂにおいてハッシュ値が一致した場合に、３番目のノード２０の返送部２１ｃは、送付されたチャレンジに対するレスポンスを返送する（ステップＳ２２）。

　２番目のノード２０のレスポンス検証部２１ｄは、返送されたレスポンスが正常なレスポンスと一致するか否かを検証する（ステップＳ２３）。レスポンス検証部２１ｄは、一致する場合には、３番目のノード２０が正常と判定し、一致しない場合には、３番目のノード２０が感染していると判定する。

　また、レスポンス検証部２１ｄは、検証結果をベースステーション１０の集約部１１ｄに通知する（ステップＳ２４）。

　同様に、ｉ番目のノード２０では、送付部２１ａが、（ｉ＋１）番目のノード２０に、通知部１１ｃから通知された（Ｎ－ｉ）番目のハッシュ値と、（ｉ＋１）番目のノード２０に対するチャレンジとを送付する。

　具体的には、送付部２１ａは、後段の（ｉ＋１）番目のノードに、チャレンジとして、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照して該後段の（ｉ＋１）番目のノードに対応するチャレンジを送付する。

　（ｉ＋１）番目のノード２０のハッシュ検証部２１ｂは、前段のｉ番目のノード２０から送付された（Ｎ－ｉ）番目のハッシュ値と、自身が通知された（Ｎ－（ｉ＋１））番目のハッシュ値にハッシュ関数を作用させたハッシュ値とが一致するか否かを検証する。

　ハッシュ検証部２１ｂにおいてハッシュ値が一致した場合に、（ｉ＋１）番目のノード２０の返送部２１ｃは、送付されたチャレンジに対するレスポンスを返送する。

　レスポンス検証部２１ｄは、記憶部２２のチャレンジ／レスポンス情報２２ｂを参照し、返送されたレスポンスが正常なレスポンスと一致するか否かを検証する。レスポンス検証部２１ｄは、一致する場合には、後段のノード２０が正常と判定し、一致しない場合には、後段のノード２０が感染していると判定する。また、レスポンス検証部２１ｄは、検証結果をベースステーション１０の集約部１１ｄに通知する。

　検知システム１では、Ｎ番目のノード２０と１番目のノード２０との間の処理に達するまで、上記と同様の処理を繰り返す。

　そして、集約部１１ｄは、各ノード２０のレスポンス検証の結果のうち、１つでも後段のノード２０が感染していると判定結果が含まれている場合には、ネットワーク内に感染したノード２０が存在するものとして、例えばアラートを発出する。これにより、一連の検知処理が完了する。

［効果］
　以上、説明したように、検知システム１において、ベースステーション１０では、探索部１１ａが、ネットワーク内の全てのノードを１度だけ通る周回路を探索する。算出部１１ｂが、ネットワーク内のノードの数と同数のハッシュ値を順に算出する。また、通知部１１ｃが、各ノードに対し、周回路における順番と、算出されたハッシュ値のうち該順番に応じたハッシュ値と、周回路における後段のノードとを通知する。ノード２０では、送付部２１ａが、通知部１１ｃから通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する。また、ハッシュ検証部２１ｂが、前段のノードから送付されたハッシュ値と、通知されたハッシュ値から所定の方法で算出した値とが一致するか否かを検証する。また、返送部２１ｃが、ハッシュ値が一致した場合に、送付されたチャレンジに対するレスポンスを返送する。また、レスポンス検証部２１ｄが、返送されたレスポンスを検証する。

　これにより、検知システム１は、ノード群の全体に対する１回の処理で完全性確認を行うことが可能となる。これにより、通信オーバヘッド等を大幅に削減して、通信回数と計算コストとを抑制して完全性確認を行うことが可能となる。このように、安全に各ノードの秘密情報を保持できる検証サーバーを不要として、ネットワーク内に存在する全ての機器の完全性確認を効率よく行うことが可能となる。

　また、ノード２０の記憶部２２は、ネットワーク内の各ノードに対して送付するチャレンジと該チャレンジに対する正常なレスポンスとの組み合わせを記憶する。この場合に、送付部２１ａは、後段のノードに、チャレンジとして、記憶部２２を参照して該後段のノードに対応するチャレンジを送付する。また、レスポンス検証部２１ｄは、記憶部２２を参照し、返送されたレスポンスが正常なレスポンスと一致するか否かを検証する。これにより、検知装置としてのノード２０が、安全に各ノードの秘密情報を保持できる検証サーバーを不要として、ネットワーク内に存在する全てのノード２０の完全性確認を高精度かつ効率よく行うことが可能となる。

　また、通知部１１ｃが、周回路の各ノードに、該周回路における順番の昇順に、算出された前記ハッシュ値を算出された順番の降順に通知する。この場合に、ハッシュ検証部２１ｂは、送付されたハッシュ値と、通知されたハッシュ値から算出したハッシュ値とが一致するか否かを検証する。これにより、所定の周回路どおりに効率よくノード２０の完全性確認を行うことが可能となる。

　また、ベースステーション１０において、集約部１１ｄが、ハッシュ検証部２１ｂまたはレスポンス検証部２１ｄの検証の結果を集約する。これにより、１つでも後段のノード２０が感染していると判定することが可能となる。したがって、検知システム１は、ネットワーク内に感染したノード２０が存在するか否かを容易に確認することが可能となる。

［プログラム］
　上記実施形態に係る検知システム１が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、ベースステーション１０およびノード２０は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置をベースステーション１０およびノード２０として機能させることができる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。また、ベースステーション１０およびノード２０の機能を、クラウドサーバーに実装してもよい。

　図７は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０と、ＣＰＵ１０２０と、ハードディスクドライブインタフェース１０３０と、ディスクドライブインタフェース１０４０と、シリアルポートインタフェース１０５０と、ビデオアダプタ１０６０と、ネットワークインタフェース１０７０とを有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１およびＲＡＭ１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０３１に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１０４１に接続される。ディスクドライブ１０４１には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース１０５０には、例えば、マウス１０５１およびキーボード１０５２が接続される。ビデオアダプタ１０６０には、例えば、ディスプレイ１０６１が接続される。

　ここで、ハードディスクドライブ１０３１は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３およびプログラムデータ１０９４を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ１０３１やメモリ１０１０に記憶される。

　また、検知プログラムは、例えば、コンピュータ１０００によって実行される指令が記述されたプログラムモジュール１０９３として、ハードディスクドライブ１０３１に記憶される。具体的には、上記実施形態で説明したベースステーション１０およびノード２０が実行する各処理が記述されたプログラムモジュール１０９３が、ハードディスクドライブ１０３１に記憶される。

　また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ１０９４として、例えば、ハードディスクドライブ１０３１に記憶される。そして、ＣＰＵ１０２０が、ハードディスクドライブ１０３１に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した各手順を実行する。

　なお、検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０３１に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ１０４１等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール１０９３やプログラムデータ１０９４は、ＬＡＮ（Local　Area　Network）やＷＡＮ（Wide　Area　Network）等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。

　１　検知システム
　１０　ベースステーション
　１１、２１　制御部
　１１ａ　探索部
　１１ｂ　算出部
　１１ｃ　通知部
　１１ｄ　集約部
　１２、２２　記憶部
　１２ａ　ノード情報
　２０　ノード（検知装置）
　２１ａ　送付部
　２１ｂ　ハッシュ検証部
　２１ｃ　返送部
　２１ｄ　レスポンス検証部
　２２ａ　ストレージコンテンツ情報
　２２ｂ　チャレンジ／レスポンス情報

Claims

　２以上のノードと、各ノードに関する情報を保持するベースステーションとを有する検知システムであって、
　前記ベースステーションは、
　ネットワーク内の全てのノードを１度だけ通る周回路を探索する探索部と、
　ネットワーク内のノードの数と同数のハッシュ値を順に算出する算出部と、
　各ノードに対し、前記周回路における順番と、算出された前記ハッシュ値のうち該順番に応じたハッシュ値と、前記周回路における後段のノードとを通知する通知部と、を有し、
　前記ノードは、
　前記通知部から通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する送付部と、
　送付された前記ハッシュ値と、通知された前記ハッシュ値から所定の方法で算出した値とが一致するか否かを検証するハッシュ検証部と、
　前記ハッシュ値が一致した場合に、送付された前記チャレンジに対するレスポンスを返送する返送部と、
　返送された前記レスポンスを検証するレスポンス検証部と、
　を有することを特徴とする検知システム。
　前記ノードは、ネットワーク内の各ノードに対して送付するチャレンジと該チャレンジに対する正常なレスポンスとの組み合わせを記憶する記憶部をさらに有し、
　前記送付部は、前記後段のノードに、前記チャレンジとして、前記記憶部を参照して該後段のノードに対応するチャレンジを送付し、
　前記レスポンス検証部は、前記記憶部を参照し、返送された前記レスポンスが正常なレスポンスと一致するか否かを検証する
　ことを特徴とする請求項１に記載の検知システム。
　前記通知部は、前記周回路の各ノードに、該周回路における順番の昇順に、算出された前記ハッシュ値を算出された順番の降順に通知し、
　前記ハッシュ認証部は、送付された前記ハッシュ値と、通知された前記ハッシュ値から算出したハッシュ値とが一致するか否かを検証する
　ことを特徴とする請求項１に記載の検知システム。
　前記ベースステーションが、前記ハッシュ検証部または前記レスポンス検証部の検証の結果を集約する集約部をさらに有することを特徴とする請求項１に記載の検知システム。
　ネットワーク内の各検知装置に対して送付するチャレンジと該チャレンジに対する正常なレスポンスとの組み合わせを記憶する記憶部と、
　ネットワーク内の全ての検知装置を１度だけ通る所定の周回路の順番に従って、後段の検知装置に、前記記憶部を参照して該後段の検知装置に対応するチャレンジを送付する送付部と、
　送付された前記チャレンジに対するレスポンスを返送する返送部と、
　前記記憶部を参照し、返送された前記レスポンスが正常なレスポンスと一致するか否かを検証するレスポンス検証部と、
　を有することを特徴とする検知装置。
　２以上のノードと、各ノードに関する情報を保持するベースステーションとを有する検知システムが実行する検知方法であって、
　ネットワーク内の全てのノードを１度だけ通る周回路を探索する探索工程と、
　ネットワーク内のノードの数と同数のハッシュ値を順に算出する算出工程と、
　各ノードに対し、前記周回路における順番と、算出された前記ハッシュ値のうち該順番に応じたハッシュ値と、前記周回路における後段のノードとを通知する通知工程と、
　前記通知工程で通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する送付工程と、
　送付された前記ハッシュ値と、通知された前記ハッシュ値から所定の方法で算出した値とが一致するか否かを検証するハッシュ検証工程と、
　前記ハッシュ値が一致した場合に、送付された前記チャレンジに対するレスポンスを返送する返送工程と、
　返送された前記レスポンスを検証するレスポンス検証工程と、
　を含んだことを特徴とする検知方法。
　ネットワーク内の全てのノードを１度だけ通る周回路を探索する探索ステップと、
　ネットワーク内のノードの数と同数のハッシュ値を順に算出する算出ステップと、
　各ノードに対し、前記周回路における順番と、算出された前記ハッシュ値のうち該順番に応じたハッシュ値と、前記周回路における後段のノードとを通知する通知ステップと、
　前記通知ステップで通知された順番に従って、後段のノードに、通知されたハッシュ値とチャレンジとを送付する送付ステップと、
　送付された前記ハッシュ値と、通知された前記ハッシュ値から所定の方法で算出した値とが一致するか否かを検証するハッシュ検証ステップと、
　前記ハッシュ値が一致した場合に、送付された前記チャレンジに対するレスポンスを返送する返送ステップと、
　返送された前記レスポンスを検証するレスポンス検証ステップと、
　をコンピュータに実行させるための検知プログラム。