WO2024057411A1

WO2024057411A1 - メモリ更新装置、情報処理システム、メモリ更新方法及びコンピュータ可読媒体

Info

Publication number: WO2024057411A1
Application number: PCT/JP2022/034251
Authority: WO
Inventors: 明子向井; 一彦峯松
Original assignee: 日本電気株式会社
Priority date: 2022-09-13
Filing date: 2022-09-13
Publication date: 2024-03-21

Abstract

メモリの内容を更新する際に、木構造を構成するノードの検証処理を効率的に行うことが可能なメモリ更新装置を提供する。入力部（５０２）は、木構造と更新情報とを入力する。更新判定部（５０４）は、更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。メモリ検証部（５０６）は、木構造において、リーフノードからルートノードへのパスを生成する。メモリ検証部（５０６）は、リーフノードの更新内容が更新前の平文に依存するものでない場合、パスにおけるリーフノード以外のノードのタグを検証する。平文更新部（５０８）は、検証結果が改ざんの検知がないことを示す場合に、更新情報に基づいて、リーフノードにおける更新対象の平文を更新する。タグ更新部（５１０）は、検証結果が改ざんの検知がないことを示す場合に、更新後のタグを生成する。

Description

メモリ更新装置、情報処理システム、メモリ更新方法及びコンピュータ可読媒体

　本開示は、メモリ更新装置、情報処理システム、メモリ更新方法及びコンピュータ可読媒体に関する。

　様々なデバイスがネットワークに接続している昨今、デバイスの格納データの改ざん検知や秘匿などのメモリ保護技術が重要となっている。この技術に関連し、特許文献１、特許文献２、特許文献３及び特許文献４は、メモリ保護のために、対象メモリをリーフノードとした木構造を構成している。

国際公開第２０２１／２１４９２２号米国特許第７４５１３１０号明細書米国特許第９０７６０１９号明細書米国特許第４３０９５６９号明細書

　特許文献４にかかる技術では、木構造におけるハッシュ生成等について処理の並列化が不可能であるため、効率的な処理を行うことができないおそれがある。これに対し、特許文献２及び特許文献３にかかる技術では、メモリの内容の更新処理において各ノードの処理の並列化を可能とする。一方、更新処理において各ノードの処理の並列化が可能になったとはいっても、更新処理においてノードの検証処理をさらに効率的に行うことが望ましい。

　本開示の目的は、このような課題を解決するためになされたものであり、メモリ保護のために木構造を用いる構成において、メモリの内容を更新する際に、木構造を構成するノードの検証処理を効率的に行うことが可能な、メモリ更新装置、情報処理システム、メモリ更新方法及びプログラムを提供することにある。

　本開示にかかるメモリ更新装置は、メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、を有し、前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する。

　本開示にかかる情報処理システムは、改ざん検知を行いたい平文を入力として、少なくとも初期状態の木構造であってメモリを保護するために構成される木構造を出力するメモリ構造初期化装置と、少なくとも改ざんをチェックしたい平文の格納場所と木構造とを入力として、前記格納場所に対応するメモリが改ざんされているか否かを検証するメモリ検証装置と、少なくとも更新したい平文の格納場所とその更新内容、及び前記木構造を入力とし、更新後の木構造、又は、改ざんを検知したことを表すエラーメッセージを出力する、メモリ更新装置と、を有し、前記メモリ更新装置は、前記木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、を有し、前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する。

　本開示にかかるメモリ更新方法は、メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力し、前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定し、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力し、前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新し、前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成する。

　本開示にかかるプログラムは、メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力するステップと、前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定するステップと、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するステップと、前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新するステップと、前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するステップと、をコンピュータに実行させる。

　本開示によれば、メモリ保護のために木構造を用いる構成において、メモリの内容を更新する際に、木構造を構成するノードの検証処理を効率的に行うことが可能な、メモリ更新装置、情報処理システム、メモリ更新方法及びプログラムを提供できる。

メモリ保護システムの構成例を示すブロック図である。第１の実施形態にかかるメモリ構造初期化装置の構成例を示すブロック図である。第１の実施形態にかかるメモリ検証装置の構成例を示すブロック図である。第１の実施形態にかかるメモリ更新装置の構成例を示すブロック図である。第１の実施形態にかかるメモリ構造初期化装置の処理手順の例を示すフローチャートである。第１の実施形態にかかるメモリ検証装置の処理手順の例を示すフローチャートである。第１の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第１の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第１の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第１の実施形態にかかるメモリ保護システムによって構成される木構造の例を示す図である。第１の実施形態にかかるメモリ検証装置におけるタグ検証部によって生成されるパスの例を示す図である。第２の実施形態にかかるメモリ保護システムによって構成される木構造の例を示す図である。第３の実施形態にかかるメモリ保護システムが構成する木構造の例を示す図である。第４の実施形態にかかるメモリ構造初期化装置の構成例を示すブロック図である。第４の実施形態にかかるメモリ検証装置の構成例を示すブロック図である。第４の実施形態にかかるメモリ更新装置の構成例を示すブロック図である。第４の実施形態にかかるメモリ構造初期化装置の処理手順の例を示すフローチャートである。第４の実施形態にかかるメモリ検証装置の処理手順の例を示すフローチャートである。第４の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第４の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第４の実施形態にかかるメモリ更新装置の処理手順の例を示すフローチャートである。第４の実施形態にかかるメモリ保護システムによって構成される木構造の例を示す図である。第５の実施形態にかかるメモリ保護システムが構成する木構造の例を示す図である。第６の実施形態にかかるメモリ保護システムが構成する木構造の例を示す図である。第７の実施形態にかかるメモリ更新装置の構成を示す図である。第７の実施形態にかかるメモリ更新装置によって実行されるメモリ更新方法を示すフローチャートである。各実施形態に係る装置およびシステムを実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。

（本開示にかかる実施形態の概要）
　本開示の実施の形態の説明に先立って、本開示にかかる実施の形態の概要について説明する。なお、以下、本開示の実施形態を説明するが、以下の実施形態は請求の範囲にかかる発明を限定するものではない。また、実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。また、以下の説明において、使用されるインデックス（英文字）は、本明細書全体で共通のものとは限らない。

　ＩｏＴ（Internet of Things）機器など、様々なデバイスがネットワークに接続している昨今、デバイスへの攻撃は、そのデバイスを踏み台にネットワークを経由することで、より大規模な攻撃に繋がる可能性がある。したがって、デバイスの格納データの改ざん検知や秘匿などのメモリ保護技術は、そのデバイスだけでなく、デバイスと繋がるネットワーク上の安全性を保つ上で重要である。

　加えて近年、不揮発性メモリの需要が増加しており、電源を遮断している間もメモリが攻撃に晒される可能性が高まっているという背景からも、更に、メモリ保護技術は、重要となっている。一方、メモリ保護技術においては、近年のメモリの大容量化に伴い、大規模データのごく一部分にアクセスする場合に、アクセス部分のみの改ざん検知を効率的に行うことが求められる。

　また、メモリ保護技術においては、メモリ上にＯｎ－ｃｈｉｐとＯｆｆ－ｃｈｉｐという２つの領域を仮定する。Ｏｎ－ｃｈｉｐは、セキュアな領域である。したがって、Ｏｎ－ｃｈｉｐに格納されたデータに対する、攻撃者による盗聴及び改ざんは不可能である。一方、Ｏｆｆ－ｃｈｉｐはセキュアではない領域である。したがって、Ｏｆｆ－ｃｈｉｐに格納されたデータに対する、攻撃者による盗聴及び改ざんは可能である。例えば、Ｏｎ－ｃｈｉｐはＣＰＵ（Central Processing Unit）内のメモリ等により実現され、Ｏｆｆ－ｃｈｉｐは主記憶装置又は補助記憶装置等により実現される。ここで、Ｏｆｆ－ｃｈｉｐと比較してＯｎ－ｃｈｉｐの実現コストの方が圧倒的に大きいため、より少ないＯｎ－ｃｈｉｐで、大規模データの一部分の改ざん検知を行いたいという課題がある。

　この課題を解決するメモリ保護技術の例として、特許文献１、特許文献２及び特許文献３にかかる技術が挙げられる。上述したように、特許文献１、特許文献２及び特許文献３にかかる技術では、メモリ保護のために、対象メモリをリーフノードとした木構造を構成している。ここで、木構造を構成するにあたって用いられる要素技術として、メッセージ認証コード（Message Authentication Code；ＭＡＣ）及び認証暗号（Authenticated Encryption；ＡＥ）が挙げられる。

　メッセージ認証コード（ＭＡＣ）とは、通信を行う二者間で事前に共有された秘密鍵を用いて、平文メッセージに対して、改ざん検知用の認証タグ計算を行う技術である。通信路にＭＡＣを適用することにより、平文メッセージに対する不正な改ざんの検知が可能となる。木構造を用いたメモリ保護技術においては、Ｏｎ－ｃｈｉｐに秘密鍵を格納し、Ｏｆｆ－ｃｈｉｐに平文メッセージと認証タグとを格納することで、平文メッセージの改ざん検知を行うことができる。

　認証暗号（ＡＥ）とは、通信を行う二者間で事前に共有された秘密鍵を用いて、平文メッセージに対して、暗号化及び改ざん検知用の認証タグ計算を行う技術である。通信路に認証暗号を適用することにより、盗聴に対する内容の秘匿と、暗号文に対する不正な改ざんの検知とが可能となり、結果として通信内容に対して強力な保護が実現される。木構造を用いたメモリ保護技術においては、ＭＡＣと同様に、Ｏｎ－ｃｈｉｐに秘密鍵を格納し、Ｏｆｆ－ｃｈｉｐに暗号文と認証タグとを格納することで、平文メッセージの秘匿と改ざん検知とを行うことができる。

　ここで、上述したように、特許文献２及び特許文献３にかかる技術では、メモリの内容（平文）の更新処理において各ノードの処理の並列化を可能とする。一方、更新処理において各ノードの処理の並列化が可能になったとはいっても、更新処理においてノードの検証処理をさらに効率的に行うことが望ましい。特に、特許文献２及び特許文献３にかかる技術では、更新処理においてノードの検証処理を行う際に、更新内容によっては全てのノードについて検証処理を行う必要がない場合であっても、全てのノードについて検証処理を行うように構成されている。これにより、メモリの内容を更新する際に、ノードの検証処理を効率的に行うことができないおそれがある。これに対し、本実施形態では、以下に説明するように、メモリの内容を更新する際に、ノードの検証処理を効率的に行うことが可能である。

（第１の実施形態）
　以下、実施の形態について、図面を参照しながら説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。なお、第１の実施形態にかかる構成は、上述した特許文献２の構成を改良したものに対応する。

　第１の実施形態では、メモリ保護システムで構成される木構造が、分岐数が２であり、深さがｄの場合の例について説明する。つまり、第１の実施形態におけるリーフノードの数は、２＾ｄ個となる。また、ルートノードの深さは０、リーフノードの深さはｄと定義する。本システムにおいて、ノードの個数及び各ノードのデータ量は、予め定められていると仮定する。ここで、「ノード」とは、木構造を構成する各要素に対応する。また、「ルートノード」は、木構造において最も深さが浅いノードである。また、「リーフノード」は、木構造において最も深さが深いノードである。

　図１は、メモリ保護システム１の構成例を示すブロック図である。メモリ保護システム１は、例えばコンピュータである。したがって、メモリ保護システム１は、情報処理システムとして機能する。なお、メモリ保護システム１は、中央演算装置においてソフトウェアプログラムを実行することで、図１に示す各構成要素を実現してもよい。また、メモリ保護システム１において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　図１に示すように、第１の実施形態にかかるメモリ保護システム１（情報処理システム）は、メモリ構造初期化装置１０と、メモリ検証装置２０と、メモリ更新装置３０と、を備える。メモリ構造初期化装置１０、メモリ検証装置２０およびメモリ更新装置３０は、物理的に一体であってもよいし、別個であってもよい。また、図２～図４を用いて後述する各装置の構成要素が、別の装置で実現されてもよい。メモリ保護システム１は、メモリの改ざん検知を行う。

　なお、後述する他の実施形態で参照する場合、メモリ構造初期化装置１０は、メモリ構造初期化装置１０ａ，１０ｃと表記され得る。同様に、後述する他の実施形態で参照する場合、メモリ検証装置２０は、メモリ検証装置２０ａ，２０ｃと表記され得る。同様に、後述する他の実施形態で参照する場合、メモリ更新装置３０は、メモリ更新装置３０ａ，３０ｃと表記され得る。なお、図２～図４で示す構成要素についても同様である。

　図２は、第１の実施形態にかかるメモリ構造初期化装置１０の構成例を示すブロック図である。図３は、第１の実施形態にかかるメモリ検証装置２０の構成例を示すブロック図である。図４は、第１の実施形態にかかるメモリ更新装置３０の構成例を示すブロック図である。また、図５は、第１の実施形態にかかるメモリ構造初期化装置１０の処理手順の例を示すフローチャートである。図６は、第１の実施形態にかかるメモリ検証装置２０の処理手順の例を示すフローチャートである。図７～図９は、第１の実施形態にかかるメモリ更新装置３０の処理手順の例を示すフローチャートである。図２～図９については後述する。

　第１の実施形態にかかるメモリ保護システム１において、メモリ構造初期化装置１０は、改ざん検知を行いたい平文（平文メッセージ）を入力として、初期状態の木構造を出力する。なお、木構造の各ノードには、各ノードに固有のナンスが対応付けられている。言い換えると、ナンスは、各ノードに固有の値である。したがって、木構造は、ナンスの集合を含んでもよい。このことは、後述する第２の実施形態及び第３の実施形態においても同様である。なお、メモリ構造初期化装置１０は、メモリ処理装置としても機能し得る。

　また、平文は、２＾ｄ個の平文ブロックの結合で表される。つまり、以下の式１が成り立つ。
（式１）
　Ｍ＝Ｍ［１］｜｜Ｍ［２］｜｜・・・｜｜Ｍ［２＾ｄ］
　ここで、Ｍは平文を示し、Ｍ［ｋ］はｋ番目の平文ブロックを示す。また、「｜｜」は連結を表す。また、１つの平文ブロックはＢｌｏｃｋビットと定義される。

　メモリ検証装置２０は、改ざんをチェックしたい平文（平文ブロック）の格納場所と木構造とを入力として、その格納場所に対応するメモリが改ざんされているか否かを検証する。メモリ更新装置３０は、更新したい平文（平文ブロック）の格納場所とその更新内容、および木構造を入力とする。そして、メモリ更新装置３０は、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

　図１０は、第１の実施形態にかかるメモリ保護システム１によって構成される木構造の例を示す図である。図１０には、ｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては後述する。

　また、メモリ保護システム１は、要素技術として、メッセージ認証コード（ＭＡＣ）を用いる。秘密鍵Ｋを用いたＭＡＣ関数ＭＡＣ＿Ｋは、ナンスＮ、および平文Ｍを入力として、認証タグＴａｇを出力する。つまり、メモリ保護システム１は、以下の式２で表される計算を行う。
（式２）
　ＭＡＣ＿Ｋ（Ｎ，Ｍ）＝Ｔａｇ

　また、メモリ保護システム１は、検証を行いたいナンスＮ’、平文Ｍ’、および認証タグＴａｇ’に対しては、ＭＡＣ＿Ｋ（Ｎ’，Ｍ’）を計算し、その計算結果とＴａｇ’の一致／不一致を検証する。もし両者が一致していればナンスＮ’と平文Ｍ’は改ざんされていないと判断され、不一致であればこれらが改ざんされていると判断される。つまり、メモリ保護システム１は、以下の式３で表される計算を行う。
（式３）
　ＭＡＣ＿Ｋ（Ｎ’，Ｍ’）＝Ｔａｇ’’
　メモリ保護システム１は、Ｔａｇ’’＝Ｔａｇ’であれば改ざんなし、Ｔａｇ’’≠Ｔａｇ’であれば改ざんありと判定できる。

［メモリ構造初期化装置の構成の説明］
　図２は、第１の実施形態にかかるメモリ構造初期化装置１０の構成例を示すブロック図である。図２に示すように、第１の実施形態にかかるメモリ構造初期化装置１０は、平文入力部１００と、ナンス割り当て部１０１と、タグ生成部１０２と、を備える。また、メモリ構造初期化装置１０は、リーフノード生成部１０３と、中間ノード生成部１０４と、ルートノード生成部１０５と、木構造出力部１０６と、を備える。

　平文入力部１００は、平文入力手段としての機能を有する。ナンス割り当て部１０１は、ナンス割り当て手段としての機能を有する。タグ生成部１０２は、タグ生成手段としての機能を有する。リーフノード生成部１０３は、リーフノード生成手段としての機能を有する。中間ノード生成部１０４は、中間ノード生成手段としての機能を有する。ルートノード生成部１０５は、ルートノード生成手段としての機能を有する。木構造出力部１０６は、木構造出力手段としての機能を有する。

　メモリ構造初期化装置１０は、例えばコンピュータである。なお、メモリ構造初期化装置１０は、中央演算装置においてソフトウェアプログラムを実行することで、図２に示す各構成要素を実現してもよい。また、メモリ構造初期化装置１０において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　平文入力部１００は、保護対象となる平文Ｍの入力を受け付ける。平文入力部１００は、受け付けた平文Ｍをタグ生成部１０２に出力する。ここで、平文入力部１００が平文Ｍの入力を受け付ける方法は、特定の方法に限定されない。例えば、平文入力部１００が、キーボードなどの文字入力装置を備え、平文Ｍを入力するユーザ操作を受け付けるようにしてもよい。あるいは、平文入力部１００が、他の装置から平文Ｍを受信するようにしてもよい。

　ナンス割り当て部１０１は、木構造の各ノードに、ノード固有のナンス情報を割り当てる。そして、ナンス割り当て部１０１は、ナンス情報を、タグ生成部１０２に出力する。ここで、ナンスは、その性質上、各ノードに対して一意に定まるものである。つまり、ナンス情報は、各ノードに対して固有である。言い換えると、ナンスは、木構造全体で重複がないように、各ノードに割り当てられる。つまり、ナンスは、各ノードに割り当てられたナンス値が他のノードに割り当てられたナンス値と重複がないように、各ノードに割り当てられる。このように、木構造全体で重複がないようにナンスが割り当てられることによって、ノード間のデータ入れ替え攻撃を防止することができる。また、ノードの個数及び各ノードのデータ量は予め定められている。したがって、各ノードの中身の情報を定義する前に、各ノードにナンスを割り当てることが可能である。つまり、各ノードに対するナンスの割り当て方法は予め定められているので、各ノードに対して並列にナンスを割り当てることが可能である。

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、深さｉでｊ＿ｉ番目のノードに割り当てるナンスを、Ｎ（ｉ，ｊ＿ｉ）で表す。なお、「＜＝」は「≦」を意味している。つまり、ａ＜＝ｂは、「ｂはａ以上（又はａはｂ以下）」を意味する。そして、木構造の全てのノードに割り当てられたナンス情報を、ナンス集合Ｎとして、以下の式４のように記述する。
（式４）
　Ｎ＝（Ｎ（０，１），Ｎ（１，１），Ｎ（１，２），Ｎ（２，１），Ｎ（２，２），・・・，Ｎ（ｄ，２＾ｄ－１），Ｎ（ｄ，２＾ｄ））

　ここで、「Ｎ（０，１）」は、ルートノードのナンスに対応する。また、「Ｎ（ｄ，１），・・・，Ｎ（ｄ，２＾ｄ）」は、複数のリーフノードのナンスに対応する。なお、その他は中間ノードのナンスに対応する。また、ナンス集合Ｎは、木構造に含まれ得る。

　また、ナンスをＮ（ａ，ｂ）と表記する場合、ａは、そのナンスが割り当てられるノードの、木構造における深さを示す。また、ｂは、そのナンスが割り当てられるノードの、深さａにおける順番（序数）を示す。このことは、後述するタグの表記Ｔａｇ（ａ，ｂ）についても同様である。

　また、木構造全体で重複がないようにナンスを割り当てるため、ナンスの割り当て方法は、例えば、以下のような条件Ａを満たすようにしてもよい。
　・木構造における深さが浅いノードほど、小さなナンス値が割り当てられる。
　・深さが同じノードでは、その深さにおける順番が早いほど（その深さにおける序数が小さいほど）、小さなナンス値が割り当てられる。
　上記のような条件Ａでナンスが各ノードに割り当てられる場合、式４で示されるナンス集合では、Ｎ（０，１）＜Ｎ（１，１）＜Ｎ（１＜２）＜Ｎ（２＜１）＜Ｎ（２＜２）＜・・・＜Ｎ（ｄ＜２＾ｄ－１）＜Ｎ（ｄ＜２＾ｄ）となる。

　タグ生成部１０２は、平文入力部１００が出力する平文Ｍと、ナンス割り当て部１０１が出力するナンス集合Ｎと、秘密鍵Ｋとを用いて、改ざん検知用のタグを生成する。タグ生成には、上述したＭＡＣ関数が用いられる。まず、タグ生成部１０２は、リーフノードで用いるタグとして、以下の式５で表されるデータを生成する。
（式５）
　ＴａｇＬｅａｆ＝（（Ｍ［１］，Ｔａｇ（ｄ，１）），（Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｍ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））
　Ｔａｇ（ｄ，ｊ＿ｄ）＝ＭＡＣ＿Ｋ（Ｎ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］）
　ただし、１＜＝ｊ＿ｄ＜＝２＾ｄ

　次に、タグ生成部１０２は、中間ノードで用いるタグとして、以下の式６で表されるデータを生成する。
（式６）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，２＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，２ｊ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉ

　次に、タグ生成部１０２は、ルートノードで用いるタグとして、以下の式７で表されるデータを生成する。
（式７）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿Ｋ（Ｎ（０，１），Ｎ（１，１）｜｜Ｎ（１，２））

　式５，式６，式７から、各ノードに対応するタグは、リーフノードでは、自ノードに対応する平文ブロックを平文として、自ノードのナンスとその平文とを入力としたＭＡＣの計算結果に対応する。また、各ノードに対応するタグは、リーフノード以外のノードでは、複数の子ノードのナンスの連結を平文とし、自ノードのナンスとその平文とを入力としたＭＡＣの計算結果に対応する。

　図１０に例示するように、木構造全体の深さｄがｄ＝３の場合、各ノードに対応するタグは、以下の式８で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式８）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝２＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，２ｊ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　そして、タグ生成部１０２は、タグ集合ＴａｇＬｅａｆをリーフノード生成部１０３に出力する。また、タグ生成部１０２は、タグ集合ＴａｇＩｎｔｅｒを中間ノード生成部１０４に出力する。また、タグ生成部１０２は、タグ集合ＴａｇＲｏｏｔをルートノード生成部１０５に出力する。

　リーフノード生成部１０３は、タグ生成部１０２が出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝２＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式９で示すように生成される。
（式９）
　（Ｎ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式１０のように記述する。
（式１０）
　Ｌｅａｆ＝（（Ｎ（ｄ，１），Ｍ［１］，Ｔａｇ（ｄ，１）），（（Ｎ（ｄ，２），Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｎ（ｄ，２＾ｄ），Ｍ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））

　図１０に示すように、木構造全体の深さがｄ＝３の場合、各リーフノードは、以下の式１１のように表される。
（式１１）
　Ｌｅａｆ＝（（Ｎ（３，１），Ｍ［１］，Ｔａｇ（３，１）），（Ｎ（３，２），Ｍ［２］，Ｔａｇ（３，２）），・・・，（Ｎ（３，８），Ｍ［８］，Ｔａｇ（３，８）））

　なお、Ｌｅａｆは、リーフノードの集合を示すデータである。リーフノード生成部１０３は、生成されたリーフノード集合Ｌｅａｆを木構造出力部１０６に出力する。

　中間ノード生成部１０４は、タグ生成部１０２が出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノードを生成する。ここで、中間ノードでは、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉである。そして、深さｉにおけるｊ＿ｉ番目の中間ノードは、以下の式１２で示すように生成される。
（式１２）
　（Ｎ（ｉ，ｊ＿ｉ），Ｔａｇ（ｉ，ｊ＿ｉ））

　また、全ての中間ノードを以下の式１３のように記述する。
（式１３）
　Ｉｎｔｅｒ＝（（Ｎ（１，１），Ｔａｇ（１，１）），（Ｎ（１，２），Ｔａｇ（１，２）），・・・，（Ｎ（ｄ－１，２＾｛ｄ－１｝），Ｔａｇ（ｄ－１，２＾｛ｄ－１｝）））

　図１０に示すように、木構造全体の深さがｄ＝３の場合、各中間ノードは、以下の式１４のように表される。
（式１４）
　Ｉｎｔｅｒ＝（（Ｎ（１，１），Ｔａｇ（１，１）），（Ｎ（１，２），Ｔａｇ（１，２）），・・・，（Ｎ（２，４），Ｔａｇ（２，４）））

　なお、Ｉｎｔｅｒは、中間ノードの集合を示すデータである。中間ノード生成部１０４は、生成された中間ノード集合Ｉｎｔｅｒを木構造出力部１０６に出力する。

　ルートノード生成部１０５は、タグ生成部１０２が出力するタグＴａｇＲｏｏｔを用いて、木構造のルートノードを生成する。ルートノードＲｏｏｔは、以下の式１５で示すように生成される。ルートノード生成部１０５は、生成されたルートノードＲｏｏｔを木構造出力部１０６に出力する。
（式１５）
　Ｒｏｏｔ＝（Ｎ（０，１），Ｔａｇ（０，１））

　木構造出力部１０６は、リーフノード生成部１０３が出力するリーフノード集合Ｌｅａｆと、中間ノード生成部１０４が出力する中間ノード集合Ｉｎｔｅｒと、ルートノード生成部１０５が出力するルートノードＲｏｏｔとを連結する。そして、木構造出力部１０６は、連結されたデータ列を、木構造を示すデータ（木構造Ｔｒｅｅ）として、コンピュータディスプレイやプリンタなどへ出力する。なお、上述したように、木構造を示すデータには、ナンス集合Ｎを示すデータが含まれている。

［メモリ検証装置の構成の説明］
　図３は、第１の実施形態にかかるメモリ検証装置２０の構成例を示すブロック図である。図３に示すように、第１の実施形態にかかるメモリ検証装置２０は、木構造入力部２００と、検証箇所入力部２０２と、タグ検証部２０３と、検証結果出力部２０４と、を備える。

　木構造入力部２００は、木構造入力手段としての機能を有する。検証箇所入力部２０２は、検証箇所入力手段としての機能を有する。タグ検証部２０３は、タグ検証手段としての機能を有する。検証結果出力部２０４は、検証結果出力手段としての機能を有する。

　メモリ検証装置２０は、例えばコンピュータである。なお、メモリ検証装置２０は、中央演算装置においてソフトウェアプログラムを実行することで、図３に示す各構成要素を実現してもよい。また、メモリ検証装置２０において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　木構造入力部２００は、検証対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。そして、木構造入力部２００は、木構造Ｔｒｅｅをタグ検証部２０３に出力する。ここで、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、及び、ルートノードＲｏｏｔにより構成される。木構造Ｔｒｅｅは、木構造出力部１０６によって出力された、リーフノード集合Ｌｅａｆと中間ノード集合ＩｎｔｅｒとルートノードＲｏｏｔとが連結されたデータ列であってもよい。なお、上述したように、ナンス集合Ｎの情報は、木構造Ｔｒｅｅに含まれている。

　検証箇所入力部２０２は、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。そして、検証箇所入力部２０２は、検証箇所ＣｈｅｃｋＮｏｄｅをタグ検証部２０３に出力する。なお、ＣｈｅｃｋＮｏｄｅは、メモリの検証箇所に対応するノードを示すデータである。具体的には、ＣｈｅｃｋＮｏｄｅは、１以上２＾ｄ以下の数値であり、検証箇所がリーフノードのＣｈｅｃｋＮｏｄｅ番目であることを表す。つまり、ＣｈｅｃｋＮｏｄｅは、検証箇所に対応するリーフノードの位置（順番；序数）を示す。

　タグ検証部２０３は、木構造Ｔｒｅｅと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋとを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２０３は、検証結果を検証結果出力部２０４に出力する。まず、タグ検証部２０３は、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。ここで、パスＰａｔｈとは、当該リーフノードからルートノードまでのノードの道のりを示すデータである。パスＰａｔｈは、以下の式１６で表される。
（式１６）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおけるｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式１７で定義される。
（式１７）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／２）
　但し、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　図１１は、第１の実施形態にかかるメモリ検証装置２０におけるタグ検証部２０３によって生成されるパスの例を示す図である。例えば、ｄ＝４、ＣｈｅｃｋＮｏｄｅ＝１０のとき、図１１に示すように、Ｐａｔｈは以下のようになる。
　Ｐａｔｈ＝（（４，１０），（３，５），（２，３），（１，２），（０，１））

　次に、タグ検証部２０３は、木構造入力部２００の出力である木構造Ｔｒｅｅと、秘密鍵Ｋとを用いて、以下の式１８を計算する。
（式１８）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ，ｐ＿ｄ），Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｄ，ｐ＿ｄ）＝ＭＡＣ＿Ｋ（Ｎ（ｄ，ｐ＿ｄ），Ｍ［ｐ＿ｄ］）
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，２ｐ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿Ｋは、第１の実施形態におけるメモリ構造初期化装置１０のタグ生成部１０２で用いられている方式と実質的に同じであるので、説明を省略する。また、Ｔａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのナンスを入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのナンスを２個連結して入力することによって、得られる。

　次に、タグ検証部２０３は、木構造入力部２００の出力である木構造Ｔｒｅｅから、以下の式１９で表される値を取得する。
（式１９）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ，ｐ＿ｄ），Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２０３は、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄのとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３は、検証結果をＡＣＫに設定する。ここで、ＡＣＫは、パスに関わるノードの情報が改ざんされていないことを示す。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄのとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３は、検証結果をＮＣＫに設定する。ここで、ＮＣＫは、パスに関わるノードの情報が改ざんされていることを示す。また、検証結果がＮＣＫであることを、Ｂ＝ＮＣＫと表記する。

　タグ検証部２０３は、検証結果Ｂを検証結果出力部２０４に出力する。
　検証結果出力部２０４は、タグ検証部２０３が出力する検証結果Ｂを、コンピュータディスプレイやプリンタなどへ出力する。

［メモリ更新装置の構成の説明］
　図４は、第１の実施形態にかかるメモリ更新装置３０の構成例を示すブロック図である。図４に示すように、第１の実施形態にかかるメモリ更新装置３０は、木構造入力部３００と、更新箇所入力部３０２と、メモリ検証部３０３と、ナンス更新部３０４と、タグ更新部３０５と、更新結果出力部３０６と、を備える。また、第１の実施形態にかかるメモリ更新装置３０は、更新判定部３１０と、平文更新部３１２と、を備える。

　木構造入力部３００は、木構造入力手段としての機能を有する。更新箇所入力部３０２は、更新箇所入力手段としての機能を有する。メモリ検証部３０３は、メモリ検証手段としての機能を有する。ナンス更新部３０４は、ナンス更新手段としての機能を有する。タグ更新部３０５は、タグ更新手段としての機能を有する。更新結果出力部３０６は、更新結果出力手段としての機能を有する。更新判定部３１０は、更新判定手段としての機能を有する。平文更新部３１２は、平文更新手段としての機能を有する。

　メモリ更新装置３０は、例えばコンピュータである。なお、メモリ更新装置３０は、中央演算装置においてソフトウェアプログラムを実行することで、図４に示す各構成要素を実現してもよい。また、メモリ更新装置３０において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　木構造入力部３００は、更新対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。そして、木構造入力部３００は、図４の一点鎖線で示すように、木構造Ｔｒｅｅをメモリ検証部３０３及びナンス更新部３０４に出力する。また、木構造入力部３００は、木構造Ｔｒｅｅを平文更新部３１２に出力してもよい。ここで、上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、ルートノードＲｏｏｔにより構成される。なお、木構造入力部３００の機能は、第１の実施形態にかかるメモリ検証装置２０における木構造入力部２００の機能と実質的に同じであるので、説明を省略する。

　更新箇所入力部３０２は、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。そして、更新箇所入力部３０２は、図４の点線で示すように、メモリの更新情報ＵｐｄａｔｅＮｏｄｅを、更新判定部３１０、平文更新部３１２、メモリ検証部３０３及びタグ更新部３０５に出力する。ここで、メモリの更新情報ＵｐｄａｔｅＮｏｄｅは、木構造において更新されるノードに関する情報である。ＵｐｄａｔｅＮｏｄｅは、更新されるノード（ノードの位置）を示すデータ、および、更新されるノードに関する平文の更新内容を示すデータを含む。つまり、ＵｐｄａｔｅＮｏｄｅは、更新されるノード（更新箇所）を示すデータ、および、更新対象の平文が含まれるリーフノードの更新内容を示すデータを含む。

　ここで、ＵｐｄａｔｅＮｏｄｅ＝（ＵｐｄａｔｅＩｎｄｅｘ，ＵｐｄａｔｅＩｎｆｏ）と定義する。ＵｐｄａｔｅＩｎｄｅｘは、更新箇所に対応するリーフノードを示すデータである。例えば、更新箇所ＵｐｄａｔｅＩｎｄｅｘは、１以上２＾ｄ以下の数値であり、更新箇所がリーフノードのＵｐｄａｔｅＩｎｄｅｘ番目であることを表す。つまり、ＵｐｄａｔｅＩｎｄｅｘは、深さｄにおける、更新箇所に対応するリーフノードの順番（序数）を示す。

　ＵｐｄａｔｅＩｎｆｏは、更新内容を示すデータである。ＵｐｄａｔｅＩｎｆｏは、ＵｐｄａｔｅＩｎｄｅｘ番目のリーフノードに含まれる情報である平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］を更新するためのＢｌｏｃｋビットの情報を表す。平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］は、更新内容ＵｐｄａｔｅＩｎｆｏに従って、更新され得る。

　更新判定部３１０は、更新情報ＵｐｄａｔｅＮｏｄｅを用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。具体的には、更新判定部３１０は、更新内容ＵｐｄａｔｅＩｎｆｏに基づいて、更新箇所ＵｐｄａｔｅＩｎｄｅｘで示されるリーフノードに含まれる平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］の更新内容を判定する。そして、更新判定部３１０は、更新内容ＵｐｄａｔｅＩｎｆｏが、更新前の平文（平文ブロック）を用いて平文（平文ブロック）が更新されることを示しているか否かを判定する。更新内容ＵｐｄａｔｅＩｎｆｏが、更新前の平文を用いて平文（平文ブロック）が更新されることを示している場合、更新判定部３１０は、更新対象の平文（平文ブロック）が含まれるリーフノードの更新内容が更新前の平文に依存するものであると判定する。一方、更新内容ＵｐｄａｔｅＩｎｆｏが、更新前の平文を用いないで平文（平文ブロック）が更新されることを示している場合、更新判定部３１０は、更新対象の平文（平文ブロック）が含まれるリーフノードの更新内容が更新前の平文に依存するものでないと判定する。

　ここで、更新前の平文ブロックの値をｘとし、更新後の平文ブロックの値をｘ’とする。このとき、ｘ’がｘに依存する場合、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであると判定する。例えば、更新内容ＵｐｄａｔｅＩｎｆｏがｘ’＝ｘ＋１を示す場合、ｘ’はｘに依存する。また、例えば、更新内容ＵｐｄａｔｅＩｎｆｏがｘ’＝２＊ｘを示す場合、ｘ’はｘに依存する。これらの場合、更新前の平文ブロックを用いて平文ブロックが更新される。したがって、この場合、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであると判定する。

　また、ｊ１＿ｄ番目のリーフノードｊ１＿ｄの更新前の平文ブロックの値をｘ１とし、ｊ２＿ｄ番目のリーフノードｊ２＿ｄの更新前の平文ブロックの値をｘ２とする。そして、リーフノードｊ１＿ｄの更新後の平文ブロックの値をｘ１’とする。この場合において、更新内容ＵｐｄａｔｅＩｎｆｏがｘ１’＝ｘ１＋ｘ２を示す場合、ｘ１’は更新前の平文に依存する。つまり、更新前の平文を用いて平文が更新される。したがって、この場合、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであると判定する。

　一方、ｃを固定値とし、更新内容がｘ’＝ｃを示す場合、ｘ’は更新前の平文（平文ブロック）に依存しない。言い換えると、更新に使用される固定値ｃは更新前の平文とは独立している。この場合、更新前の平文ブロックを用いないで平文ブロックが更新される。したがって、この場合、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものでないと判定する。すなわち、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する際に、更新対象の平文を当該平文とは独立した固定値で置き換えるものであるか否かを判定するようにしてもよい。なお、固定値ｃは、更新対象のリーフノードとは異なるリーフノードについて以前のタイミングで更新済みの平文ブロックの値に対応してもよい。ただし、更新前の平文ブロックｘがｘ＝ｘ１＋ｘ２で表されるとし、更新内容がｘ’＝ｃ＋ｘ２を示す場合は、平文ブロックの一部（ｘ１）のみが固定値で置き換わるため、更新内容は更新前の平文（平文ブロックの一部であるｘ２）に依存している。したがって、この場合は、更新判定部３１０は、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであると判定する。

　なお、更新に使用される固定値は、更新内容ＵｐｄａｔｅＩｎｆｏに含まれていてもよい。つまり、更新に使用される固定値は、更新情報ＵｐｄａｔｅＮｏｄｅに含まれていてもよい。また、更新情報ＵｐｄａｔｅＮｏｄｅにおける固定値は、ユーザによって指定されてもよい。これにより、平文（平文ブロック）の更新内容を、ユーザが容易に指定することができる。また、更新判定部３１０は、更新に使用される固定値が更新情報ＵｐｄａｔｅＮｏｄｅに含まれる場合に、更新対象の平文（平文ブロック）が含まれるリーフノードの更新内容が更新前の平文に依存するものでないと判定してもよい。

　あるいは、更新に使用される固定値は、更新内容ＵｐｄａｔｅＩｎｆｏに含まれていなくてもよい。例えば、更新に使用される固定値は、メモリ更新装置３０の記憶装置に予め格納されていてもよい。この場合、更新内容ＵｐｄａｔｅＩｎｆｏは、固定値が格納されている記憶装置の場所（アドレス）を示してもよい。また、この場合、更新に使用される固定値は、メモリのＯｎ－ｃｈｉｐの領域（セキュア領域）に格納されていてもよい。

　メモリ検証部３０３は、木構造Ｔｒｅｅと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３０３は、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３０３が行う処理は、第１の実施形態のメモリ検証装置２０におけるタグ検証部２０３の処理と実質的に同じであるが、出力結果が異なる。第１の実施形態のメモリ検証装置２０におけるタグ検証部２０３は検証結果Ｂを出力するが、メモリ検証部３０３は、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。

　メモリ検証部３０３は、図４の太い破線で示すように、検証結果Ｂを、ナンス更新部３０４、タグ更新部３０５及び更新結果出力部３０６に出力する。また、メモリ検証部３０３は、検証結果Ｂを、平文更新部３１２に出力してもよい。また、メモリ検証部３０３は、図４の太い実線で示すように、パスＰａｔｈを、ナンス更新部３０４及びタグ更新部３０５に出力する。

　Ｐａｔｈは以下の式２０のように表される。
（式２０）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））
　ここでは、メモリ検証部３０３が行う操作から、ｐ＿ｄ＝ＵｐｄａｔｅＩｎｄｅｘとなることが分かる。

　つまり、メモリ検証部３０３は、木構造において、リーフノードからルートノードへのパスＰａｔｈを生成する。また、メモリ検証部３０３は、パスＰａｔｈにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コード（ＭＡＣ）に入力することで検証に用いられるタグを生成（計算）して各ノードに格納されているタグを検証する。つまり、メモリ検証部３０３は、上述した式１８を計算することにより、パスＰａｔｈにおける各ノードについて、タグＴａｇ’を生成する。メモリ検証部３０３は、各ノードについて、生成されたタグＴａｇ’と格納されているタグＴａｇ（Ｔｒｅｅに関するタグ）とを比較して、両者が一致するか否かを判定する。これにより、メモリ検証部３０３は、各ノードについて改ざんがなされていないかを検証する。つまり、メモリ検証部３０３は、各ノードについて完全性検証を行う。そして、メモリ検証部３０３は、検証結果Ｂを出力する。

　ここで、第１の実施形態にかかるメモリ検証部３０３は、更新判定部３１０の判定結果に応じて、リーフノードのタグを検証しない場合がある。具体的には、リーフノードの更新内容が更新前の平文に依存するものでない場合、メモリ検証部３０３は、パスＰａｔｈにおけるリーフノード以外のノードのタグを検証する。一方、リーフノードの更新内容が更新前の平文に依存するものである場合、メモリ検証部３０３は、パスＰａｔｈにおけるリーフノードを含む全てのノードのタグを検証する。

　平文更新部３１２は、検証結果Ｂが改ざんの検知がないことを示す場合に、更新情報ＵｐｄａｔｅＮｏｄｅに基づいて、リーフノードにおける更新対象の平文を更新する。具体的には、平文更新部３１２は、平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］を、更新内容ＵｐｄａｔｅＩｎｆｏに従って、更新する。例えば、更新内容ＵｐｄａｔｅＩｎｆｏに、更新に使用される固定値が含まれる場合、平文更新部３１２は、平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］の値を、その固定値に置き換えることで、平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］を更新する。また、更新内容ＵｐｄａｔｅＩｎｆｏが上述したｘ’＝ｘ＋１を示す場合、平文更新部３１２は、平文ブロックＭ［ＵｐｄａｔｅＩｎｄｅｘ］を、更新前の値ｘから、ｘ’＝ｘ＋１に更新する。平文更新部３１２は、更新後の平文（平文ブロック）に関する情報（ＵｐｄａｔｅＮｏｄｅ）を、タグ更新部３０５に出力する。

　ナンス更新部３０４は、Ｐａｔｈに関するリーフノード（平文ブロック）の更新処理が行われるごとに、そのＰａｔｈに関する各ノードに関するナンスを更新する。これにより、リプレイ攻撃を防止できる。ナンス更新部３０４は、木構造Ｔｒｅｅと、検証結果Ｂと、パスＰａｔｈとを用いて、Ｐａｔｈで指定されるノードのナンスを更新する。具体的には、Ｂ＝ＡＣＫである場合に、ナンス更新部３０４は、Ｐａｔｈで指定されるノードのナンスを更新する。そして、ナンス更新部３０４は、更新結果の新たな木構造ＮｅｗＴｒｅｅ’を、タグ更新部３０５に出力する。一方、Ｂ＝ＮＣＫの場合は、ナンス更新部３０４は処理を行わず、何も出力しない。

　ここで、各ノードに割り当てられたナンスの更新方法は、予め定められている。例えば、上述した条件Ａのようにナンスが各ノードに割り当てられた場合、ルートノードのナンス値Ｎ（０，１）を、更新前において最も大きなナンス値であるＮ（ｄ，２＾ｄ）に１を加算するようにして、更新してもよい。そして、Ｐａｔｈにおける各ノードについて、上記の条件Ａを満たすように、ナンス値を更新してもよい。これにより、Ｐａｔｈにおけるルートノードに含まれる平文ブロックの更新処理が終了しなくても各ノードのナンスを更新可能であるので、各ノードについて並列にナンスの更新が可能である。

　タグ更新部３０５は、更新結果の木構造ＮｅｗＴｒｅｅ’と、ナンス集合Ｎと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋとを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３０５は、０＜＝ｉ＜＝ｄ－１に対して、以下の式２１の計算を行う。
（式２１）
　Ｔａｇ（ｄ，ｐ＿ｄ）←ＭＡＣ＿Ｋ（Ｎ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿Ｋ（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，２ｐ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｐ＿ｉ））

　なお、（ｄ，ｐ＿ｄ）は、更新対象のリーフノードを示し、ｐ＿ｄは、深さｄにおける更新対象のリーフノードの順番（序数）を示す。また、「ＵｐｄａｔｅＩｎｆｏ」は、更新対象のリーフノードにおける更新後の平文ブロックを示す。なお、ＭＡＣ＿Ｋは、第１の実施形態におけるメモリ構造初期化装置１０のタグ生成部１０２や、メモリ検証装置２０のタグ検証部２０３で用いられている方式と同じである。また、Ｔａｇ（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードの更新後のナンスを入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードの更新後のナンスを２個連結して入力することによって、得られる。

　そして、タグ更新部３０５は、更新結果の木構造ＮｅｗＴｒｅｅを、更新結果出力部３０６に出力する。新たな木構造ＮｅｗＴｒｅｅは、更新後のリーフノード集合Ｌｅａｆと、更新後の中間ノード集合Ｉｎｔｅｒと、更新後のルートノードＲｏｏｔとによって構成される。なお、式１１に示すように、更新後の平文の情報は、更新後のリーフノード集合Ｌｅａｆに含まれている。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３０５は処理を行わず、何も出力しない。

　更新結果出力部３０６は、メモリ検証部３０３が出力する検証結果Ｂと、タグ更新部３０５が出力する木構造ＮｅｗＴｒｅｅを用いて、更新結果を出力する。Ｂ＝ＡＣＫである場合、更新結果出力部３０６は、ＮｅｗＴｒｅｅをコンピュータディスプレイやプリンタなどへ出力する。なお、更新結果出力部３０６は、ＮｅｗＴｒｅｅとは別個にＵｐｄａｔｅＮｏｄｅを出力してもよい。一方、Ｂ＝ＮＣＫである場合、更新結果出力部３０６は、検証結果Ｂ＝ＮＣＫをコンピュータディスプレイやプリンタなどへ出力する。

［動作の説明］
　図５は、メモリ構造初期化装置１０の動作（メモリ構造初期化方法）を示すフローチャートである。ステップＳ１０１において、平文入力部１００は、保護対象となる平文Ｍの入力を受け付ける。ステップＳ１０２において、ナンス割り当て部１０１は、木構造の各ノードにナンスを割り当て、ナンス集合Ｎを生成する。ステップＳ１０３において、タグ生成部１０２は、平文Ｍとナンス集合Ｎを用いて、改ざん検知用のタグ集合（ＴａｇＬｅａｆ，ＴａｇＩｎｔｅｒ，ＴａｇＲｏｏｔ）を生成する。

　ステップＳ１０４において、リーフノード生成部１０３は、タグ生成部１０２が出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノード集合Ｌｅａｆを生成する。ステップＳ１０５において、中間ノード生成部１０４は、タグ生成部１０２が出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノード集合Ｉｎｔｅｒを生成する。ステップＳ１０６において、ルートノード生成部１０５は、タグ生成部１０２が出力するタグＴａｇＲｏｏｔを用いて、木構造のルートノードＲｏｏｔを生成する。

　ステップＳ１０７において、木構造出力部１０６は、リーフノード集合Ｌｅａｆと、中間ノード集合Ｉｎｔｅｒと、ルートノードＲｏｏｔとを連結して、木構造を示す連結されたデータ列をコンピュータディスプレイやプリンタなどへ出力する。ステップＳ１０７の後、メモリ構造初期化装置１０は、図５の処理を終了する。

　図６は、メモリ検証装置２０の動作（メモリ検証方法）を示すフローチャートである。ステップＳ２０１において、木構造入力部２００は、検証対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。なお、上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、及び、ルートノードＲｏｏｔにより構成される。また、上述したように、木構造Ｔｒｅｅには、検証対象となるメモリを保護するための木構造に割り当てられているナンス集合Ｎが含まれている。さらに、検証箇所入力部２０２は、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。

　ステップＳ２０２において、タグ検証部２０３は、木構造Ｔｒｅｅと、検証箇所ＣｈｅｃｋＮｏｄｅとを用いて、各ノードのタグの検証を行う。これにより、タグ検証部２０３は、ＣｈｅｃｋＮｏｄｅが指定するメモリが改ざんされていないか否かの検証を行う。さらに、タグ検証部２０３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。ステップＳ２０３において、検証結果出力部２０４は、検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ２０３の後、メモリ検証装置２０は、図６の処理を終了する。

　図７～図９は、メモリ更新装置３０の動作（メモリ更新方法）を示すフローチャートである。ステップＳ３００において、木構造入力部３００は、更新対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、ルートノードＲｏｏｔにより構成される。そして、木構造Ｔｒｅｅは、ナンス集合Ｎを含む。また、ステップＳ３００において、更新箇所入力部３０２は、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。上述したように、更新情報ＵｐｄａｔｅＮｏｄｅは、ＵｐｄａｔｅＮｏｄｅ＝（ＵｐｄａｔｅＩｎｄｅｘ，ＵｐｄａｔｅＩｎｆｏ）と定義される。

　ステップＳ３０１において、更新判定部３１０は、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、更新箇所ＵｐｄａｔｅＩｎｄｅｘに対応する平文ブロックを固定値に置き換えるものであるか否かを判定する。このとき、更新判定部３１０は、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏに固定値が含まれるか否かを判定してもよい。更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、平文ブロックを固定値に置き換えるものである場合（Ｓ３０１の判定結果がＹＥＳの場合）、処理はステップＳ３０２に進む。一方、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、平文ブロックを固定値に置き換えるものでない場合（Ｓ３０１の判定結果がＮＯの場合）、処理はステップＳ３１２に進む。

　図８に示すように、ステップＳ３０２において、メモリ検証部３０３は、木構造Ｔｒｅｅと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノード以外のノードのタグの検証を行う。これにより、メモリ検証部３０３は、各ノードについて改ざんがなされていないかを検証する。さらに、メモリ検証部３０３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。そして、メモリ検証部３０３は、検証結果Ｂ、及び、メモリ検証のために用いたパスＰａｔｈを出力する。Ｂ＝ＡＣＫ、すなわちメモリ改ざんが検知されない場合（Ｓ３０２：Ｂ＝ＡＣＫ（受理）の場合）、処理はステップＳ３０４へ進む。一方、Ｂ＝ＮＣＫ、すなわちメモリ改ざんが検知された場合（Ｓ３０２：Ｂ＝ＮＣＫ（不受理）の場合）、処理はステップＳ３０３へ進む。

　ステップＳ３０３において、更新結果出力部３０６は、メモリ検証部３０３が出力する検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ３０３の後、メモリ更新装置３０は、処理を終了する。

　ステップＳ３０４において、ナンス更新部３０４は、木構造入力部３００が出力する木構造Ｔｒｅｅと、メモリ検証部３０３が出力するパスＰａｔｈを用いて、Ｐａｔｈで指定されるノードのナンスを更新する。そして、ナンス更新部３０４は、更新結果の新たな木構造ＮｅｗＴｒｅｅ’を出力する。

　ステップＳ３０５において、木構造ＮｅｗＴｒｅｅ’と、パスＰａｔｈと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノードの平文、及び、パスＰａｔｈに対応するタグが更新される。具体的には、平文更新部３１２は、更新情報ＵｐｄａｔｅＮｏｄｅで示されるリーフノードの平文（平文ブロック）を更新する。また、タグ更新部３０５は、Ｐａｔｈで示されるノードのタグを更新する。そして、タグ更新部３０５は、更新結果の新たな木構造ＮｅｗＴｒｅｅを出力する。

　ステップＳ３０６において、更新結果出力部３０６は、タグ更新部３０５が出力する木構造ＮｅｗＴｒｅｅを出力する。ステップＳ３０６の後、メモリ更新装置３０は、処理を終了する。

　一方、図９に示すように、ステップＳ３１２において、メモリ検証部３０３は、木構造Ｔｒｅｅと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスの全てのノードのタグの検証を行う。これにより、メモリ検証部３０３は、各ノードについて改ざんがなされていないかを検証する。さらに、メモリ検証部３０３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。そして、メモリ検証部３０３は、検証結果Ｂ、及び、メモリ検証のために用いたパスＰａｔｈを出力する。Ｂ＝ＡＣＫ、すなわちメモリ改ざんが検知されない場合（Ｓ３１２：Ｂ＝ＡＣＫ（受理）の場合）、処理はステップＳ３１４へ進む。一方、Ｂ＝ＮＣＫ、すなわちメモリ改ざんが検知された場合（Ｓ３１２：Ｂ＝ＮＣＫ（不受理）の場合）、処理はステップＳ３１３へ進む。

　Ｓ３０３と同様にして、ステップＳ３１３において、更新結果出力部３０６は、メモリ検証部３０３が出力する検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ３１３の後、メモリ更新装置３０は、処理を終了する。

　Ｓ３０４と同様にして、ステップＳ３１４において、ナンス更新部３０４は、木構造入力部３００が出力するＴｒｅｅと、メモリ検証部３０３が出力するパスＰａｔｈを用いて、Ｐａｔｈで指定されるノードのナンスを更新する。そして、ナンス更新部３０４は、更新結果の新たな木構造ＮｅｗＴｒｅｅ’を出力する。

　Ｓ３０５と同様にして、ステップＳ３１５において、木構造ＮｅｗＴｒｅｅ’と、パスＰａｔｈと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノードの平文、及び、パスＰａｔｈに対応するタグが更新される。具体的には、平文更新部３１２は、更新情報ＵｐｄａｔｅＮｏｄｅで示されるリーフノードの平文（平文ブロック）を更新する。また、タグ更新部３０５は、Ｐａｔｈで示されるノードのタグを更新する。そして、タグ更新部３０５は、更新結果の新たな木構造ＮｅｗＴｒｅｅを出力する。

　Ｓ３０６と同様にして、ステップＳ３１６において、更新結果出力部３０６は、タグ更新部３０５が出力する木構造ＮｅｗＴｒｅｅを出力する。ステップＳ３１６の後、メモリ更新装置３０は、処理を終了する。

［効果の説明］
　第１の実施形態にかかるメモリ更新装置３０は、リーフノードに対応する平文を更新する場合に、更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。そして、メモリ更新装置３０は、リーフノードの更新内容が更新前の平文に依存するものでないときに、リーフノードからルートノードへのパスにおけるリーフノード以外のノードのタグを検証する。ここで、特許文献２にかかる技術では、更新内容によらないで、パスの全てのノードについて検証が行われる。したがって、上記のような構成によって、検証に要する計算量を、特許文献２にかかる技術と比較して削減することが可能となる。したがって、メモリの内容を更新する際に、ノードの検証処理を効率的に行うことが可能となる。

　ここで、メモリの内容を更新する際に、木構造に対して改ざんが行われる可能性がある。したがって、メモリの更新の際に、更新前のリーフノードに含まれる平文が改ざんされる可能性がある。したがって、リーフノードの更新内容が更新前の平文に依存する場合、改ざんされた更新前の平文を用いて平文が更新される可能性があるので、メモリの安全性が損なわれる可能性がある。したがって、パスＰａｔｈにおけるリーフノードを含む全てのノードのタグの検証が必要である。一方、更新対象の平文が固定値で置き換わるなど、リーフノードの更新内容が更新前の平文に依存しない場合、更新前のリーフノードに含まれる平文が改ざんされたとしても、その平文は、改ざんされた平文によらないデータに更新される。したがって、メモリの安全性が損なわれない。

　また、リーフノードのタグは、式５で示すように、そのリーフノードの平文とナンスとに基づいて生成される。したがって、リーフノードのタグは、そのリーフノードの平文とナンスとが正当であれば、正当に生成される。平文については、上述したように、リーフノードの更新内容が更新前の平文に依存しない場合は、正当である。

　ナンスについては、ナンスに改ざんがなされたとしても、その上のノード（親ノード等）での検証によって、改ざんを検出できる。ここで、図１０に示した木構造において、攻撃者がリプレイ攻撃を行うと想定する。そして、攻撃者が、リーフノード（Ｎ（３，１），Ｍ［１］，Ｔａｇ（３，１））のナンスの値Ｎ（３，１）を改ざんして別の値Ｎ（３，１）’にしたとする。この場合、攻撃者は、合わせて、親ノードのＴａｇ（２，１）及びＮ（２，１）を改ざんして、Ｔａｇ（２，１）’及びＮ（２，１）’とする必要がある。そうしなければ、ＭＡＣの安全性により、ノード（Ｎ（２，１），Ｔａｇ（２，１））におけるＭＡＣの完全性検証の際に、改ざんが検出されてしまうからである。なお、Ｔａｇ（２，１）’＝ＭＡＣ＿Ｋ（Ｎ（２，１）’，Ｎ（３，１）’｜｜Ｎ（３，２））である。

　ここで、攻撃者がＴａｇ（２，１）’及びＮ（２，１）’を事前に知っていたとする。つまり、Ｎ（３，１）’＜Ｎ（３，１）且つＮ（２，１）’＜Ｎ（２，１）であること、及び、ＭＡＣ＿Ｋ（Ｎ（２，１）’，Ｎ（３，１）’｜｜Ｎ（３，２））が、事前に攻撃者にとって既知であるとする。この場合、攻撃者は、ロールバックにより、Ｔａｇ（２，１）’及びＮ（２，１）’を正しく偽造することができる。このような改ざんは、ＭＡＣによる完全性検証では検出できない。そして、攻撃者は、同様にして、ノード（Ｎ（２，１），Ｔａｇ（２，１））の親ノードであるノード（Ｎ（１，１），Ｔａｇ（１，１））についても、タグ及びナンスを改ざんして、それぞれ、Ｔａｇ（１，１）’及びＮ（１，１）’とする。このような改ざんは、ＭＡＣによる完全性検証では検出できない。

　一方、攻撃者は、Ｎ（１，１）を改ざんしてＮ（１，１）’としたことで、これに合わせて、ルートノード（Ｎ（０，１），Ｔａｇ（０，１））のＴａｇ（０，１）及びＮ（０，１）も改ざんする必要がある。そうしなければ、ＭＡＣの安全性により、ルートノードにおけるＭＡＣの完全性検証の際に、改ざんが検出されてしまうからである。したがって、攻撃者は、Ｔａｇ（０，１）及びＮ（０，１）を改ざんして、Ｔａｇ（０，１）’及びＮ（０，１）’とする必要がある。なお、Ｔａｇ（０，１）’＝ＭＡＣ＿Ｋ（Ｎ（０，１）’，Ｎ（１，１）’｜｜Ｎ（１，２））であることに留意されたい。しかしながら、Ｎ（０，１）は、セキュアな領域であるＯｎ－ｃｈｉｐに格納されている。したがって、Ｎ（０，１）を改ざんすることは不可能である。したがって、ノード（Ｎ（１，１），Ｔａｇ（１，１））で改ざんが検出されないとしても、ルートノードにおいて必ず改ざんが検出される。したがって、リーフノードの更新内容が更新前の平文に依存しない場合、リーフノードのナンスが改ざんされたとしても、上位のノードにおける検証によって、改ざんが検出されることとなる。したがって、リーフノードの更新内容が更新前の平文に依存しない場合は、リーフノードについてのタグの検証を不要としても、安全性は損なわれない。

　また、全てのノードにおいて検証に必要な計算量が同じと仮定すると、深さｄの木構造の場合、本実施形態にかかるメモリ更新装置３０におけるメモリ検証処理の計算量は、特許文献２にかかる技術にかかる計算量に対して、（ｄ－１）／ｄ倍となる。リーフノードの検証処理のコストがそれ以外のノードの検証処理のコストよりも大きい場合、本実施形態にかかる方法による計算量の削減効果は、より大きくなる。また、深さｄは、通常、整数１桁程度であり、比較的小さい。ここで、（ｄ－１）／ｄは、ｄが小さいほど小さい。したがって、本実施形態にかかる方法による計算量の削減効果は、比較的大きい。

（第２の実施形態）
　次に、第２の実施形態について説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。したがって、以下の説明では、上述した第１の実施形態と異なる箇所について主に説明する。第２の実施形態にかかる構成は、上述した特許文献２の構成を改良したものに対応する。そして、第２の実施形態では、第１の実施形態と比較して、木構造の分岐数が異なる。第２の実施形態では、メモリ保護システムが構成する木構造の分岐数がｂであり、深さがｄである例について説明する。つまり、第２の実施形態におけるリーフノードの数はｂ＾ｄ個となる。

　図１２は、第２の実施形態にかかるメモリ保護システム１によって構成される木構造の例を示す図である。図１２には、分岐数ｂ＝３、深さｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては、上述した第１の実施形態の場合と実質的に同様である。また、第２の実施形態において、分岐数ｂは、３以上の任意の整数であり得る。

　第２の実施形態にかかるメモリ保護システム１は、メモリ構造初期化装置１０ａと、メモリ検証装置２０ａと、メモリ更新装置３０ａと、を備える。第２の実施形態にかかるメモリ構造初期化装置１０ａは、改ざん検知を行いたい平文（平文メッセージ）を入力として、初期状態の木構造を出力する。

　第２の実施形態において、平文は、ｂ＾ｄ個の平文ブロックの結合で表される。つまり、以下の式２２が成り立つ。
（式２２）
　Ｍ＝Ｍ［１］｜｜Ｍ［２］｜｜・・・｜｜Ｍ［ｂ＾ｄ］
　また、１つの平文ブロックはＢｌｏｃｋビットと定義される。

　メモリ検証装置２０ａは、改ざんをチェックしたい平文ブロックの格納場所と木構造とを入力として、その格納場所に対応するメモリが改ざんされているか否かを検証する。メモリ更新装置３０ａは、更新したい平文ブロックの格納場所とその更新内容、および木構造を入力とする。メモリ更新装置３０ａは、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

［メモリ構造初期化装置の構成の説明］
　第２の実施形態にかかるメモリ構造初期化装置１０ａは、平文入力部１００と、ナンス割り当て部１０１ａと、タグ生成部１０２ａと、を備える。また、第２の実施形態にかかるメモリ構造初期化装置１０ａは、リーフノード生成部１０３ａと、中間ノード生成部１０４ａと、ルートノード生成部１０５と、木構造出力部１０６と、を備える。なお、平文入力部１００は、第１の実施形態のメモリ構造初期化装置１０における平文入力部１００と実質的に同じであるので、説明を省略する。

　ナンス割り当て部１０１ａは、ナンス割り当て部１０１と同様に、木構造の各ノードに、ノード固有のナンス情報を割り当てる。ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝ｂ＾｛ｉ｝のとき、深さｉでｊ＿ｉ番目のノードに割り当てるナンスを、Ｎ（ｉ，ｊ＿ｉ）で表す。そして、木構造の全てのノードに割り当てられたナンス情報を、ナンス集合Ｎとして、以下の式２３のように記述する。
（式２３）
　Ｎ＝（Ｎ（０，１），Ｎ（１，１），Ｎ（１，２），・・・，Ｎ（１，ｂ），Ｎ（２，１），Ｎ（２，２），・・・，Ｎ（ｄ，ｂ＾ｄ－１），Ｎ（ｄ，ｂ＾ｄ））

　タグ生成部１０２ａは、タグ生成部１０２と同様に、平文入力部１００が出力する平文Ｍと、ナンス割り当て部１０１ａが出力するナンス集合Ｎと、秘密鍵Ｋとを用いて、改ざん検知用のタグを生成する。まず、タグ生成部１０２ａは、リーフノードで用いるタグとして、以下の式２４で表されるデータを生成する。
（式２４）
　ＴａｇＬｅａｆ＝（（Ｍ［１］，Ｔａｇ（ｄ，１）），（Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｍ［ｂ＾ｄ］，Ｔａｇ（ｄ，ｂ＾ｄ）））
　Ｔａｇ（ｄ，ｊ＿ｄ）＝ＭＡＣ＿Ｋ（Ｎ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］）
　ただし、１＜＝ｊ＿ｄ＜＝ｂ＾ｄ

　次に、タグ生成部１０２ａは、中間ノードで用いるタグとして、以下の式２５で表されるデータを生成する。
（式２５）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，ｂ＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，ｂ・ｊ＿ｉ－（ｂ－１））｜｜・・・｜｜Ｎ（ｉ＋１，ｂ・ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝ｂ＾ｉ
　また、「Ｎ（ｉ＋１，ｂ・ｊ＿ｉ－（ｂ－１））｜｜・・・｜｜Ｎ（ｉ＋１，ｂ・ｊ＿ｉ）」は、ノード（ｉ，ｊ＿ｉ）のｂ個の子ノードのナンスを連結したものである。

　次に、タグ生成部１０２ａは、ルートノードで用いるタグとして、以下の式２６で表されるデータを生成する。
（式２６）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿Ｋ（Ｎ（０，１），Ｎ（１，１）｜｜・・・｜｜Ｎ（１，ｂ））
　なお、「Ｎ（１，１）｜｜・・・｜｜Ｎ（１，ｂ）」は、ルートノード（０，１）のｂ個の子ノードのナンスを連結したものを示す。

　式２４，式２５，式２６から、各ノードに対応するタグは、リーフノードでは、自ノードに対応する平文ブロックを平文として、自ノードのナンスとその平文とを入力としたＭＡＣの計算結果に対応する。また、各ノードに対応するタグは、リーフノード以外のノードでは、複数の子ノードのナンスの連結を平文とし、自ノードのナンスとその平文とを入力としたＭＡＣの計算結果に対応する。

　図１２に例示するように、木構造全体の深さｄがｄ＝３であり、分岐数ｂがｂ＝３である場合、各ノードに対応するタグは、以下の式２７で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式２７）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝３＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，３ｊ＿ｉ－２）｜｜Ｎ（ｉ＋１，３ｊ＿ｉ－１）｜｜Ｎ（ｉ＋１，３ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　そして、タグ生成部１０２ａは、タグ集合ＴａｇＬｅａｆをリーフノード生成部１０３ａに出力する。また、タグ生成部１０２ａは、タグ集合ＴａｇＩｎｔｅｒを中間ノード生成部１０４ａに出力する。また、タグ生成部１０２ａは、タグ集合ＴａｇＲｏｏｔをルートノード生成部１０５に出力する。

　リーフノード生成部１０３ａは、リーフノード生成部１０３と同様に、タグ生成部１０２ａが出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝ｂ＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式２８で示すように生成される。
（式２８）
　（Ｎ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式２９のように記述する。
（式２９）
　Ｌｅａｆ＝（（Ｎ（ｄ，１），Ｍ［１］，Ｔａｇ（ｄ，１）），（（Ｎ（ｄ，２），Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｎ（ｄ，ｂ＾ｄ），Ｍ［ｂ＾ｄ］，Ｔａｇ（ｄ，ｂ＾ｄ）））

　図１２に示すように、木構造全体の深さがｄ＝３の場合、各リーフノードは、以下の式３０のように表される。
（式３０）
　Ｌｅａｆ＝（（Ｎ（３，１），Ｍ［１］，Ｔａｇ（３，１）），（Ｎ（３，２），Ｍ［２］，Ｔａｇ（３，２）），・・・，（Ｎ（３，２７），Ｍ［２７］，Ｔａｇ（３，２７）））
　また、リーフノード生成部１０３ａは、生成されたリーフノード集合Ｌｅａｆを木構造出力部１０６に出力する。

　中間ノード生成部１０４ａは、中間ノード生成部１０４と同様に、タグ生成部１０２ａが出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノードを生成する。ここで、中間ノードでは、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝ｂ＾ｉである。そして、深さｉにおけるｊ＿ｉ番目の中間ノードは、以下の式３１で示すように生成される。
（式３１）
　（Ｎ（ｉ，ｊ＿ｉ），Ｔａｇ（ｉ，ｊ＿ｉ））

　また、全ての中間ノードを以下の式３２のように記述する。
（式３２）
　Ｉｎｔｅｒ＝（（Ｎ（１，１），Ｔａｇ（１，１）），（Ｎ（１，２），Ｔａｇ（１，２）），・・・，（Ｎ（ｄ－１，ｂ＾｛ｄ－１｝），Ｔａｇ（ｄ－１，ｂ＾｛ｄ－１｝）））

　図１２に示すように、木構造全体の深さがｄ＝３の場合、各中間ノードは、以下の式３３のように表される。
（式３３）
　Ｉｎｔｅｒ＝（（Ｎ（１，１），Ｔａｇ（１，１）），（Ｎ（１，２），Ｔａｇ（１，２）），・・・，（Ｎ（２，９），Ｔａｇ（２，９）））
　また、中間ノード生成部１０４ａは、生成された中間ノード集合Ｉｎｔｅｒを木構造出力部１０６に出力する。

　ルートノード生成部１０５は、第１の実施形態のメモリ構造初期化装置１０におけるルートノード生成部１０５と実質的に同じであるので、説明を省略する。木構造出力部１０６は、第１の実施形態のメモリ構造初期化装置１０における木構造出力部１０６と実質的に同じであるので、説明を省略する。

［メモリ検証装置の構成の説明］
　第２の実施形態にかかるメモリ検証装置２０ａは、木構造入力部２００と、検証箇所入力部２０２ａと、タグ検証部２０３ａと、検証結果出力部２０４と、を備える。木構造入力部２００は、第１の実施形態のメモリ検証装置２０における木構造入力部２００と実質的に同じであるので、説明を省略する。なお、木構造入力部２００に入力される木構造Ｔｒｅｅには、上述した式２３で示されるようなナンス集合Ｎが含まれる。

　検証箇所入力部２０２ａは、検証箇所入力部２０２と同様に、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。そして、検証箇所入力部２０２ａは、検証箇所ＣｈｅｃｋＮｏｄｅをタグ検証部２０３ａに出力する。ここで、第２の実施形態において、ＣｈｅｃｋＮｏｄｅは、１以上ｂ＾ｄ以下の数値であり、検証箇所がリーフノードのＣｈｅｃｋＮｏｄｅ番目であることを表す。

　タグ検証部２０３ａは、タグ検証部２０３と同様に、木構造Ｔｒｅｅと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋとを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２０３は、検証結果を検証結果出力部２０４に出力する。まず、タグ検証部２０３は、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。パスＰａｔｈは、以下の式３４で表される。
（式３４）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝ｂ＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおいてｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式３５で定義される。
（式３５）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／ｂ）
　ただし、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　次に、タグ検証部２０３ａは、木構造入力部２００の出力である木構造Ｔｒｅｅと、秘密鍵Ｋとを用いて、以下の式３６を計算する。
（式３６）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ，ｐ＿ｄ），Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｄ，ｐ＿ｄ）＝ＭＡＣ＿Ｋ（Ｎ（ｄ，ｐ＿ｄ），Ｍ［ｐ＿ｄ］）
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿Ｋ（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，ｂ・ｐ＿ｉ－（ｂ－１））｜｜・・・｜｜Ｎ（ｉ＋１，ｂ・ｐ＿ｉ－１）｜｜Ｎ（ｉ＋１，ｂ・ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿Ｋは、第２の実施形態におけるメモリ構造初期化装置１０ａのタグ生成部１０２ａで用いられている方式と実質的に同じであるので、説明を省略する。またＴａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのナンスを入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのナンスをｂ個連結して入力することによって、得られる。

　次に、タグ検証部２０３ａは、木構造入力部２００の出力である木構造Ｔｒｅｅから、以下の式３７で表される値を取得する。
（式３７）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ，ｐ＿ｄ），Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２０３ａは、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄのとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３ａは、検証結果をＡＣＫに設定する。ここで、ＡＣＫは、パスに関わるノードの情報が改ざんされていないことを示す。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄのとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３ａは、検証結果をＮＣＫに設定する。ここで、ＮＣＫは、パスに関わるノードの情報が改ざんされていることを示す。また、検証結果がＮＣＫであることを、Ｂ＝ＮＣＫと表記する。

　タグ検証部２０３ａは検証結果Ｂを検証結果出力部２０４に出力する。
　検証結果出力部２０４は、第１の実施形態のメモリ検証装置２０における検証結果出力部２０４と実質的に同じであるので、説明を省略する。

［メモリ更新装置の構成の説明］
　第２の実施形態にかかるメモリ更新装置３０ａは、木構造入力部３００と、更新箇所入力部３０２ａと、メモリ検証部３０３ａと、ナンス更新部３０４と、タグ更新部３０５ａと、更新結果出力部３０６と、更新判定部３１０と、平文更新部３１２と、を備える。木構造入力部３００は、第１の実施形態のメモリ更新装置３０における木構造入力部３００と実質的に同じであるので、説明を省略する。なお、木構造入力部３００に入力される木構造Ｔｒｅｅには、上述した式２３で示されるようなナンス集合Ｎが含まれる。

　更新箇所入力部３０２ａは、更新箇所入力部３０２と同様に、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。そして、更新箇所入力部３０２ａは、メモリの更新情報ＵｐｄａｔｅＮｏｄｅを、更新判定部３１０、平文更新部３１２、メモリ検証部３０３ａ及びタグ更新部３０５ａに出力する。

　ここで、ＵｐｄａｔｅＮｏｄｅ＝（ＵｐｄａｔｅＩｎｄｅｘ，ＵｐｄａｔｅＩｎｆｏ）と定義する。ＵｐｄａｔｅＩｎｄｅｘは、更新箇所に対応するリーフノードを示すデータである。例えば、ＵｐｄａｔｅＩｎｄｅｘは、１以上ｂ＾ｄ以下の数値であり、更新箇所がリーフノードのＵｐｄａｔｅＩｎｄｅｘ番目であることを表す。つまり、ＵｐｄａｔｅＩｎｄｅｘは、深さｄにおける、更新箇所に対応するリーフノードの順番（序数）を示す。

　更新判定部３１０は、第１の実施形態のメモリ更新装置３０における更新判定部３１０と実質的に同様であるので、説明を省略する。

　メモリ検証部３０３ａは、メモリ検証部３０３と同様に、木構造Ｔｒｅｅと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３０３ａは、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３０３ａが行う検証処理は、第２の実施形態のメモリ検証装置２０ａにおけるタグ検証部２０３ａと実質的に同じであるが、出力結果が異なる。第２の実施形態のメモリ検証装置２０ａにおけるタグ検証部２０３ａは検証結果Ｂを出力するが、メモリ検証部３０３ａは、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。メモリ検証部３０３ａは、検証結果Ｂを、ナンス更新部３０４、平文更新部３１２、タグ更新部３０５ａ及び更新結果出力部３０６に出力する。また、メモリ検証部３０３ａは、パスＰａｔｈを、ナンス更新部３０４及びタグ更新部３０５ａに出力する。

　Ｐａｔｈは以下の式３８のように表される。
（式３８）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））
　ここでは、メモリ検証部３０３ａが行う操作から、ｐ＿ｄ＝ＵｐｄａｔｅＩｎｄｅｘとなることが分かる。

　なお、メモリ検証部３０３ａのその他の機能については、第１の実施形態にかかるメモリ検証部３０３の機能と実質的に同様であるので、説明を省略する。つまり、メモリ検証部３０３ａは、メモリ検証部３０３と同様に、更新判定部３１０の判定結果に応じて、リーフノードのタグを検証しない場合がある。

　平文更新部３１２は、第１の実施形態のメモリ更新装置３０における平文更新部３１２と実質的に同様であるので、説明を省略する。また、ナンス更新部３０４は、第１の実施形態のメモリ更新装置３０におけるナンス更新部３０４と実質的に同じであるので、説明を省略する。

　タグ更新部３０５ａは、更新結果の木構造ＮｅｗＴｒｅｅ’と、ナンス集合Ｎと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋとを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３０５は、０＜＝ｉ＜＝ｄ－１に対して、以下の式３９の計算を行う。
（式３９）
　Ｔａｇ（ｄ，ｐ＿ｄ）←ＭＡＣ＿Ｋ（Ｎ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿Ｋ（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，ｂ・ｐ＿ｉ－（ｂ－１））｜｜・・・｜｜Ｎ（ｉ＋１，ｂ・ｐ＿ｉ））

　なお、ＭＡＣ＿Ｋは、第２の実施形態におけるメモリ構造初期化装置１０ａのタグ生成部１０２ａや、メモリ検証装置２０ａのタグ検証部２０３ａで用いられている方式と実質的に同じであるので、説明を省略する。またＴａｇ（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのナンスを入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのナンスをｂ個連結して入力することによって、得られる。そして、タグ更新部３０５ａは、更新結果の木構造ＮｅｗＴｒｅｅを、更新結果出力部３０６に出力する。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３０５ａは処理を行わず、何も出力しない。

　更新結果出力部３０６は、第１の実施形態のメモリ更新装置３０における更新結果出力部３０６と実質的に同じであるので、説明を省略する。

［効果の説明］
　第２の実施形態が奏する効果は第１の実施形態が奏する効果と実質的に同じである。但し、第１の実施形態では、構成される木構造は２分木を仮定していたが、第２の実施形態では、木構造の分岐数を任意にしている。したがって、任意の分岐数の木構造についても、第１の実施形態が奏する効果を実現できる。

（第３の実施形態）
　次に、第３の実施形態について説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。第３の実施形態は、第１の実施形態を変形したものである。したがって、以下の説明では、上述した第１の実施形態と異なる箇所について主に説明する。第３の実施形態にかかる構成は、上述した特許文献２の構成を改良したものに対応する。そして、第３の実施形態では、メモリ検証に加えて、入力される平文を暗号化して秘匿するメモリ保護システムの例について説明する。但し、第３の実施形態にかかるメモリ保護システム１が構成する木構造は、第１の実施形態と同様に、分岐数が２であり、深さがｄであると定義する。

　図１３は、第３の実施形態にかかるメモリ保護システム１が構成する木構造の例を示す図である。図１３には、分岐数ｂ＝２、深さｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては、上述した第１の実施形態の場合と実質的に同様である。

　第３の実施形態にかかるメモリ保護システム１は、メモリ構造初期化装置１０ｃと、メモリ検証装置２０ｃと、メモリ更新装置３０ｃと、を備える。メモリ保護システム１は、メモリの改ざん検知および秘匿を行う。第３の実施形態にかかるメモリ構造初期化装置１０ｃは、改ざん検知および秘匿を行いたい平文を入力として、初期状態の木構造を出力する。

　メモリ検証装置２０ｃは、改ざんをチェックしたい暗号文ブロックの格納場所と木構造とを入力として、その格納場所に対応するメモリが改ざんされているか否かを検証する。メモリ更新装置３０ｃは、更新したい暗号文ブロックの格納場所とその更新内容、および木構造を入力とする。メモリ更新装置３０ｃは、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

　第３の実施形態にかかるメモリ保護システム１は、第１の実施形態におけるメモリ保護システム１で用いたＭＡＣに加えて、要素技術として認証暗号（ＡＥ）を用いる。秘密鍵Ｋを用いたＡＥは、暗号化関数ＡＥ．Ｅｎｃ＿Ｋと、この暗号化関数ＡＥ．Ｅｎｃ＿Ｋと対となる復号関数ＡＥ．Ｄｅｃ＿Ｋとの、２つの関数により定義される。ＡＥ．Ｅｎｃ＿Ｋは、ナンスＮ、および平文Ｍを入力として、暗号文Ｃと認証タグＴａｇとを出力する。暗号化関数は、以下の式４０のように表される。
（式４０）
　ＡＥ．Ｅｎｃ＿Ｋ（Ｎ，Ｍ）＝（Ｃ，Ｔ）

　ＡＥ．Ｄｅｃ＿Ｋは、ナンスＮ、暗号文Ｃ、および認証タグＴの３つを入力として、改ざんが検知されない場合は復号結果の平文Ｍを出力し、改ざんが検知された場合はエラーメッセージ⊥を出力する。このことを式で記述すると以下の式４１のようになる。
（式４１）
　ＡＥ．Ｄｅｃ＿Ｋ（Ｎ，Ｃ，Ｔ）＝Ｍ（改ざんが検知されない場合）
　ＡＥ．Ｄｅｃ＿Ｋ（Ｎ，Ｃ，Ｔ）＝⊥（改ざんが検知された場合）

［メモリ構造初期化装置の構成の説明］
　第３の実施形態にかかるメモリ構造初期化装置１０ｃは、平文入力部１００と、ナンス割り当て部１０１と、タグ生成部１０２ｃと、を備える。また、第３の実施形態にかかるメモリ構造初期化装置１０ｃは、リーフノード生成部１０３ｃと、中間ノード生成部１０４と、ルートノード生成部１０５と、木構造出力部１０６と、を備える。

　平文入力部１００は、第１の実施形態のメモリ構造初期化装置における平文入力部１００と実質的に同じであるので、説明を省略する。ナンス割り当て部１０１は、第１の実施形態のメモリ構造初期化装置におけるナンス割り当て部１０１と実質的に同じであるので、説明を省略する。

　タグ生成部１０２ｃは、平文入力部１００が出力する平文Ｍと、ナンス割り当て部１０１が出力するナンス集合Ｎと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、改ざん検知用のタグおよび暗号文を生成する。中間ノードとルートノードのためのタグ生成にはＭＡＣを用いるとし、平文（リーフノード）の暗号化およびタグ生成には認証暗号（ＡＥ）を用いるとする。ＡＥのアルゴリズムには、例えばＯＣＢ（Offset CodeBook）などが挙げられる。

　まず、タグ生成部１０２ｃは、リーフノードで用いる暗号文とタグとして、以下の式４２で表されるデータを生成する。
（式４２）
　ＴａｇＬｅａｆ＝（（Ｃ［１］，Ｔａｇ（ｄ，１）），（Ｃ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｃ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））
　（Ｃ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））＝ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（Ｎ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］）
　ただし、１＜＝ｊ＿ｄ＜＝２＾ｄ

　なお、ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（・，・）はＡＥの暗号化関数を表す。また、Ｃ［ｊ＿ｄ］は、ｊ＿ｄ番目の暗号文ブロックを示す。

　次に、タグ生成部１０２ｃは、中間ノードで用いるタグとして、以下の式４３で表されるデータを生成する。
（式４３）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，２＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，２ｊ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉ

　次に、タグ生成部１０２ｃは、ルートノードで用いるタグとして、以下の式４４で表されるデータを生成する。
（式４４）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿｛Ｋ＿２｝（Ｎ（０，１），Ｎ（１，１）｜｜Ｎ（１，２））

　式４２，式４３，式４４から、各ノードに対応するタグは、リーフノードでは、自ノードに対応する平文ブロックを平文として、自ノードのナンスとその平文とを入力としたＡＥの計算結果に対応する。また、この計算結果として、暗号文ブロックが出力される。また、各ノードに対応するタグは、リーフノード以外のノードでは、複数の子ノードのナンスの連結を平文とし、自ノードのナンスとその平文とを入力としたＭＡＣの計算結果に対応する。

　図１３に例示するように、木構造全体の深さｄがｄ＝３の場合、式４２，式４３，式４４は、以下の式４５で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式４５）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝２＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（Ｎ（ｉ，ｊ＿ｉ），Ｎ（ｉ＋１，２ｊ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　（Ｃ［ｊ＿ｉ］，Ｔａｇ（ｉ，ｊ＿ｉ））＝ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（Ｎ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　そして、タグ生成部１０２ｃは、タグ集合ＴａｇＬｅａｆをリーフノード生成部１０３ｃに出力する。また、タグ生成部１０２ｃは、タグ集合ＴａｇＩｎｔｅｒを中間ノード生成部１０４に出力する。また、タグ生成部１０２ｃは、タグ集合ＴａｇＲｏｏｔをルートノード生成部１０５に出力する。

　リーフノード生成部１０３ｃは、タグ生成部１０２ｃが出力する暗号文およびタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝２＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式４６で示すように生成される。
（式４６）
　（Ｎ（ｄ，ｊ＿ｄ），Ｃ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式４７のように記述する。
（式４７）
　Ｌｅａｆ＝（（Ｎ（ｄ，１），Ｃ［１］，Ｔａｇ（ｄ，１）），（（Ｎ（ｄ，２），Ｃ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｎ（ｄ，２＾ｄ），Ｃ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））

　図１３に示すように、木構造全体の深さがｄ＝３の場合、各リーフノードは、以下の式４８のように表される。
（式４８）
　Ｌｅａｆ＝（（Ｎ（３，１），Ｃ［１］，Ｔａｇ（３，１）），（Ｎ（３，２），Ｃ［２］，Ｔａｇ（３，２）），・・・，（Ｎ（３，８），Ｃ［８］，Ｔａｇ（３，８）））
　リーフノード生成部１０３ｃは、生成されたリーフノード集合Ｌｅａｆを木構造出力部１０６に出力する。

　中間ノード生成部１０４は、第１の実施形態のメモリ構造初期化装置１０における中間ノード生成部１０４と実質的に同じであるので、説明を省略する。ルートノード生成部１０５は、第１の実施形態のメモリ構造初期化装置１０におけるルートノード生成部１０５と実質的に同じであるので、説明を省略する。木構造出力部１０６は、第１の実施形態のメモリ構造初期化装置１０における木構造出力部１０６と実質的に同じであるので、説明を省略する。

［メモリ検証装置の構成の説明］
　第３の実施形態にかかるメモリ検証装置２０ｃは、木構造入力部２００と、検証箇所入力部２０２と、タグ検証部２０３ｃと、検証結果出力部２０４と、を備える。木構造入力部２００は、第１の実施形態のメモリ検証装置２０における木構造入力部２００と実質的に同じであるので、説明を省略する。検証箇所入力部２０２は、第１の実施形態のメモリ検証装置２０における検証箇所入力部２０２と実質的に同じであるので、説明を省略する。

　タグ検証部２０３ｃは、木構造Ｔｒｅｅと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２０３ｃは、検証結果を検証結果出力部２０４に出力する。まず、タグ検証部２０３ｃは、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。ここで、パスＰａｔｈとは、当該リーフノードからルートノードまでのノードの道のりを示すもので、以下の式４９で表される。
（式４９）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおけるｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式５０で定義される。
（式５０）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／２）
　但し、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　次に、タグ検証部２０３ｃは、木構造入力部２００の出力である木構造Ｔｒｅｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて以下の式５１を計算する。
（式５１）
　ＡＥ．Ｄｅｃ＿｛Ｋ＿１｝（Ｎ（ｄ，ｐ＿ｄ），Ｃ［ｐ＿ｄ］，Ｔａｇ（ｄ，ｐ＿ｄ））

　上記の計算結果がエラーメッセージ⊥の場合、タグ検証部２０３ｃは、検証結果ＢをＢ＝ＮＣＫと定義し、Ｂを出力して処理を終了する。なお、ＡＥ．Ｄｅｃ＿｛Ｋ＿１｝（・，・，・）は、第３の実施形態におけるメモリ構造初期化装置１０ｃのタグ生成部１０２ｃで用いられている方式ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝に対応する復号関数である。また、ＮＣＫは、パスに関わるノードの情報が改ざんされていることを示す。

　一方、上記の計算結果が平文Ｍ［ｐ＿ｄ］である場合、つまり、暗号文Ｃ［ｐ＿ｄ］が正しく復号されたことを示す場合、タグ検証部２０３ｃは、続けて以下の式５２を計算する。
（式５２）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，２ｐ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿｛Ｋ＿２｝（・）は、第３の実施形態におけるメモリ構造初期化装置１０ｃのタグ生成部１０２ｃで用いられているＭＡＣ方式と実質的に同じであるので、説明を省略する。また、第１の実施形態と同様に、Ｔａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのナンスを入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのナンスを２個連結して入力することによって、得られる。

　次に、タグ検証部２０３ｃは、木構造入力部２００の出力である木構造Ｔｒｅｅから、以下の式５３で表される値を取得する。
（式５３）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２０３ｃは、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄ－１のとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３ｃは、検証結果をＡＣＫに設定する。ここで、ＡＣＫは、パスに関わるノードの情報が改ざんされていないことを示す。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄ－１のとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２０３ｃは、検証結果をＮＣＫに設定する。

　タグ検証部２０３ｃは検証結果Ｂを出力する。
　検証結果出力部２０４は、第１の実施形態のメモリ検証装置２０における検証結果出力部２０４と実質的に同じであるので、説明を省略する。

［メモリ更新装置の構成の説明］
　第３の実施形態にかかるメモリ更新装置３０ｃは、木構造入力部３００と、更新箇所入力部３０２と、メモリ検証部３０３ｃと、ナンス更新部３０４と、タグ更新部３０５ｃと、更新結果出力部３０６と、更新判定部３１０と、平文更新部３１２と、を備える。木構造入力部３００は、第１の実施形態のメモリ更新装置３０における木構造入力部３００と実質的に同じであるので、説明を省略する。更新箇所入力部３０２は、第１の実施形態のメモリ更新装置３０における更新箇所入力部３０２と実質的に同じであるので、説明を省略する。更新判定部３１０は、第１の実施形態のメモリ更新装置３０における更新判定部３１０と実質的に同じであるので、説明を省略する。

　メモリ検証部３０３ｃは、木構造Ｔｒｅｅと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３０３ｃは、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３０３ｃが行う検証処理は、第３の実施形態のメモリ検証装置２０ｃにおけるタグ検証部２０３ｃと実質的に同じであるが、出力結果が異なる。第３の実施形態のメモリ検証装置２０ｃにおけるタグ検証部２０３ｃは検証結果Ｂを出力するが、メモリ検証部３０３ｃは、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。メモリ検証部３０３ｃは、検証結果Ｂを、平文更新部３１２、ナンス更新部３０４、タグ更新部３０５ｃ及び更新結果出力部３０６に出力する。また、メモリ検証部３０３ｃは、パスＰａｔｈを、ナンス更新部３０４及びタグ更新部３０５ｃに出力する。

　なお、メモリ検証部３０３ｃのその他の機能については、第１の実施形態にかかるメモリ検証部３０３の機能と実質的に同様であるので、説明を省略する。つまり、メモリ検証部３０３ｃは、メモリ検証部３０３と同様に、更新判定部３１０の判定結果に応じて、リーフノードのタグを検証しない場合がある。

　タグ更新部３０５ｃは、更新結果の木構造ＮｅｗＴｒｅｅ’と、ナンス集合Ｎと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３０５ｃは、０＜＝ｉ＜＝ｄ－１に対して、以下の式５４の計算を行う。
（式５４）
　（Ｃ［ｐ＿ｄ］，Ｔａｇ（ｄ，ｐ＿ｄ））←ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（Ｎ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿｛Ｋ＿２｝（Ｎ（ｉ，ｐ＿ｉ），Ｎ（ｉ＋１，２ｐ＿ｉ－１）｜｜Ｎ（ｉ＋１，２ｐ＿ｉ））

　なお、ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（・，・）およびＭＡＣ＿｛Ｋ＿２｝（・）、は、第３の実施形態におけるメモリ構造初期化装置１０ｃのタグ生成部１０２ｃや、メモリ検証装置２０ｃのタグ検証部２０３ｃで用いられている方式と実質的に同じである。そして、タグ更新部３０５ｃは、更新結果の木構造ＮｅｗＴｒｅｅを出力する。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３０５ｃは処理を行わず、何も出力しない。

［効果の説明］
　第３の実施形態が奏する効果は、第１の実施形態が奏する効果に加えて、メモリの秘匿が可能であることである。第１の実施形態では、平文メッセージの改ざん検知のためにＭＡＣを用いていた。これに対し、第３の実施形態では、平文メッセージにＡＥ処理を施すことにより、改ざん検知に加えて平文メッセージの秘匿が可能となる。また、一般的に、ＡＥの計算量は、ＭＡＣの計算量以上である。したがって、本実施形態のように、更新処理の際にリーフノードの完全性検証を不要にすることを可能にすることで、計算量の大きなＡＥの計算を削減することができ、これにより、検証に要する計算量をさらに削減することができる。したがって、メモリの内容を更新する際に、ノードの検証処理をさらに効率的に行うことが可能となる。

　また、用いるＡＥが、ＯＣＢのようなレート１の方式、すなわち平文の暗号化と認証タグ生成とを暗号化のみのコストで実現できるという性質を持つ方式であって、かつ、平文と暗号文のデータ量が同一になるような方式を採用できるとする。この場合、第１の実施形態と比較して、木構造全体のデータ量や、各装置で必要な計算量は、ほぼ変化しない。つまり、第３の実施形態は、第１の実施形態と同等のデータ量及び計算量で、改ざん検知に加えて秘匿も可能となる。また、第３の実施形態の木構造では２分木を仮定していたが、第２の実施形態のように、分岐数を増やした木構造を用いることも当然に可能である。

（第４の実施形態）
　次に、第４の実施形態について説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。第４の実施形態にかかる構成は、上述した特許文献３の構成を改良したものに対応する。

　第４の実施形態では、メモリ保護システムで構成される木構造が、分岐数が２であり、深さがｄの場合の例について説明する。つまり、第４の実施形態におけるリーフノードの数は、２＾ｄ個となる。また、ルートノードの深さは０、リーフノードの深さはｄと定義する。

　第４の実施形態にかかるメモリ保護システム１（情報処理システム）は、メモリ構造初期化装置１２と、メモリ検証装置２２と、メモリ更新装置３２と、を備える。第４の実施形態のメモリ保護システム１は、図１のメモリ構造初期化装置１０、メモリ検証装置２０およびメモリ更新装置３０を、それぞれ、メモリ構造初期化装置１２、メモリ検証装置２２およびメモリ更新装置３２に置き換えたものに対応する。メモリ構造初期化装置１２、メモリ検証装置２２およびメモリ更新装置３２は、物理的に一体であってもよいし、別個であってもよい。また、図１４～図１６を用いて後述する各装置の構成要素が、別の装置で実現されてもよい。

　なお、後述する他の実施形態で参照する場合、メモリ構造初期化装置１２は、メモリ構造初期化装置１２ａ，１２ｃと表記され得る。同様に、後述する他の実施形態で参照する場合、メモリ検証装置２２は、メモリ検証装置２２ａ，２２ｃと表記され得る。同様に、後述する他の実施形態で参照する場合、メモリ更新装置３２は、メモリ更新装置３２ａ，３２ｃと表記され得る。なお、図１４～図１６で示す構成要素についても同様である。

　図１４は、第４の実施形態にかかるメモリ構造初期化装置１２の構成例を示すブロック図である。図１５は、第４の実施形態にかかるメモリ検証装置２２の構成例を示すブロック図である。図１６は、第４の実施形態にかかるメモリ更新装置３２の構成例を示すブロック図である。また、図１７は、第４の実施形態にかかるメモリ構造初期化装置１２の処理手順の例を示すフローチャートである。図１８は、第４の実施形態にかかるメモリ検証装置２２の処理手順の例を示すフローチャートである。図１９～図２１は、第４の実施形態にかかるメモリ更新装置３２の処理手順の例を示すフローチャートである。図１４～図２１については後述する。

　第４の実施形態にかかるメモリ保護システム１において、メモリ構造初期化装置１２は、改ざん検知を行いたい平文（平文メッセージ）を入力として、初期状態の木構造と木構造における各ノードのメモリアドレス集合とを出力する。ただし、平文は２＾ｄ個の平文ブロックの結合で表す。つまり、以下の式５５が成り立つ。
（式５５）
　Ｍ＝Ｍ［１］｜｜Ｍ［２］｜｜・・・｜｜Ｍ［２＾ｄ］
　また、１つの平文ブロックはＢｌｏｃｋビットと定義される。

　メモリ検証装置２２は、改ざんをチェックしたい平文（平文ブロック）の格納場所と木構造、および木構造における各ノードのメモリアドレスを入力として、その格納場所に対応するメモリが改ざんされているか否かを検証する。メモリ更新装置３２は、更新したい平文（平文ブロック）の格納場所とその更新内容、木構造、および木構造における各ノードのメモリアドレスを入力とする。そして、メモリ更新装置３２は、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

　図２２は、第４の実施形態にかかるメモリ保護システム１によって構成される木構造の例を示す図である。図２２には、ｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては後述する。

［メモリ構造初期化装置の構成の説明］
　図１４は、第４の実施形態にかかるメモリ構造初期化装置１２の構成例を示すブロック図である。図１４に示すように、第４の実施形態にかかるメモリ構造初期化装置１２は、平文入力部１２０と、メモリアドレス割り当て部１２１と、タグ生成部１２２と、を備える。また、メモリ構造初期化装置１２は、リーフノード生成部１２３と、中間ノード生成部１２４と、ルートノード生成部１２５と、木構造出力部１２６と、メモリアドレス出力部１２７と、を備える。

　平文入力部１２０は、平文入力手段としての機能を有する。メモリアドレス割り当て部１２１は、メモリアドレス割り当て手段としての機能を有する。タグ生成部１２２は、タグ生成手段としての機能を有する。リーフノード生成部１２３は、リーフノード生成手段としての機能を有する。中間ノード生成部１２４は、中間ノード生成手段としての機能を有する。ルートノード生成部１２５は、ルートノード生成手段としての機能を有する。木構造出力部１２６は、木構造出力手段としての機能を有する。メモリアドレス出力部１２７は、メモリアドレス出力手段としての機能を有する。

　メモリ構造初期化装置１２は、例えばコンピュータである。なお、メモリ構造初期化装置１２は、中央演算装置においてソフトウェアプログラムを実行することで、図１４に示す各構成要素を実現してもよい。また、メモリ構造初期化装置１２において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　平文入力部１２０は、保護対象となる平文Ｍの入力を受け付ける。平文入力部１２０は、受け付けた平文Ｍをタグ生成部１２２に出力する。ここで、平文入力部１２０が平文Ｍの入力を受け付ける方法は、特定の方法に限定されない。例えば、平文入力部１２０が、キーボードなどの文字入力装置を備え、平文Ｍを入力するユーザ操作を受け付けるようにしてもよい。あるいは、平文入力部１２０が、他の装置から平文Ｍを受信するようにしてもよい。

　メモリアドレス割り当て部１２１は、木構造の各ノードに、ノード固有のメモリアドレス情報を割り当てる。そして、メモリアドレス割り当て部１２１は、メモリアドレス情報を、タグ生成部１２２及びメモリアドレス出力部１２７に出力する。ここで、ノードの個数及び各ノードのデータ量は予め定められているため、各ノードの中身の情報を定義する前にメモリアドレスを割り当てることが可能である。また、メモリアドレス情報は、その性質上、各ノードに対して一意に定まるものである。つまり、メモリアドレス情報は、各ノードに対して固有である。これにより、ノード間のデータ入れ替え攻撃を防止することができる。

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、深さｉでｊ＿ｉ番目のノードに割り当てるメモリアドレスを、ａｄｄ（ｉ，ｊ＿ｉ）で表す。そして、木構造の全てのノードに割り当てられたメモリアドレス情報を、メモリアドレス集合Ａｄｄとして、以下の式５６のように記述する。
（式５６）
　Ａｄｄ＝（ａｄｄ（０，１），ａｄｄ（１，１），ａｄｄ（１，２），ａｄｄ（２，１），ａｄｄ（２，２），・・・，ａｄｄ（ｄ，２＾ｄ－１），ａｄｄ（ｄ，２＾ｄ））

　ここで、「ａｄｄ（０，１）」は、ルートノードのメモリアドレスに対応する。また、「ａｄｄ（ｄ，１），・・・，ａｄｄ（ｄ，２＾ｄ）」は、複数のリーフノードのメモリアドレスに対応する。なお、その他は中間ノードのメモリアドレスに対応する。

　また、メモリアドレスをａｄｄ（ａ，ｂ）と表記する場合、ａは、そのメモリアドレスが割り当てられるノードの、木構造における深さを示す。また、ｂは、そのメモリアドレスが割り当てられるノードの、深さａにおける順番（序数）を示す。このことは、後述するタグの表記Ｔａｇ（ａ，ｂ）についても同様である。

　タグ生成部１２２は、平文入力部１２０が出力する平文Ｍと、メモリアドレス割り当て部１２１が出力するメモリアドレス集合Ａｄｄと、秘密鍵Ｋとを用いて、改ざん検知用のタグを生成する。タグ生成には、上述したＭＡＣ関数が用いられる。まず、タグ生成部１２２は、リーフノードで用いるタグとして、以下の式５７で表されるデータを生成する。
（式５７）
　ＴａｇＬｅａｆ＝（（Ｍ［１］，Ｔａｇ（ｄ，１）），（Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｍ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））
　Ｔａｇ（ｄ，ｊ＿ｄ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｊ＿ｄ）｜｜ｃｔｒ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］）
　ただし、１＜＝ｊ＿ｄ＜＝２＾ｄ

　なお、ｃｔｒ（ｄ，ｊ＿ｄ）は、深さｄにおけるｊ＿ｄ番目のリーフノードのカウンタ値を表しており、当該ノードが更新されるたびに１が足される。ここでは、全てのｊ＿ｄに対してｃｔｒ（ｄ，ｊ＿ｄ）＝０＾｛ＣＴＲ－１｝｜｜１と定義する。また、ＣＴＲは各ノードに格納されるローカルカウンタ値のビット長であり、「０＾｛ＣＴＲ－１｝」は０がＣＴＲ－１個連結したビット列を表す。ＣＴＲの値は予め決定されていると仮定する。

　次に、タグ生成部１２２は、中間ノードで用いるタグとして、以下の式５８で表されるデータを生成する。
（式５８）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，２＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，２ｊ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉ

　次に、タグ生成部１２２は、ルートノードで用いるタグとして、以下の式５９で表されるデータを生成する。
（式５９）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿Ｋ（ａｄｄ（０，１）｜｜ｃｔｒ（０，１），ｃｔｒ（１，１）｜｜ｃｔｒ（１，２））

　式５７，式５８，式５９から、各ノードに対応するタグは、以下の通りである。すなわち、各ノードに対応するタグは、リーフノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、自ノードに対応する平文ブロックを平文とし、そのナンスと平文とを入力としたＭＡＣの計算結果に対応する。また、各ノードに対応するタグは、リーフノード以外のノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、複数の子ノードのローカルカウンタ値の連結を平文とし、そのナンスと平文とを入力としたＭＡＣの計算結果に対応する。

　図２２に例示するように、木構造全体の深さｄがｄ＝３の場合、各ノードに対応するタグは、以下の式６０で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式６０）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝２＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，２ｊ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　そして、タグ生成部１２２は、タグ集合ＴａｇＬｅａｆをリーフノード生成部１２３に出力する。また、タグ生成部１２２は、タグ集合ＴａｇＩｎｔｅｒを中間ノード生成部１２４に出力する。また、タグ生成部１２２は、タグ集合ＴａｇＲｏｏｔをルートノード生成部１２５に出力する。

　リーフノード生成部１２３は、タグ生成部１２２が出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝２＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式６１で示すように生成される。
（式６１）
　（ｃｔｒ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式６２のように記述する。
（式６２）
　Ｌｅａｆ＝（（ｃｔｒ（ｄ，１），Ｍ［１］，Ｔａｇ（ｄ，１）），（（ｃｔｒ（ｄ，２），Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（ｃｔｒ（ｄ，２＾ｄ），Ｍ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））
　また、リーフノード生成部１２３は、生成されたリーフノード集合Ｌｅａｆを木構造出力部１２６に出力する。

　中間ノード生成部１２４は、タグ生成部１２２が出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノードを生成する。ここで、中間ノードでは、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉである。そして、深さｉにおけるｊ＿ｉ番目の中間ノードは、以下の式６３で示すように生成される。
（式６３）
　（ｃｔｒ（ｉ，ｊ＿ｉ），Ｔａｇ（ｉ，ｊ＿ｉ））
　ただし、全てのｉ，ｊ＿ｉに対してｃｔｒ（ｉ，ｊ＿ｉ）＝０＾｛ＣＴＲ－１｝｜｜１と定義する。

　また、全ての中間ノードを以下の式６４のように記述する。
（式６４）
　Ｉｎｔｅｒ＝（（ｃｔｒ（１，１），Ｔａｇ（１，１）），（ｃｔｒ（１，２），Ｔａｇ（１，２）），・・・，（ｃｔｒ（ｄ－１，２＾｛ｄ－１｝），Ｔａｇ（ｄ－１，２＾｛ｄ－１｝）））

　図２２に示すように、木構造全体の深さがｄ＝３の場合、各中間ノードは、以下の式６５のように表される。
（式６５）
　Ｉｎｔｅｒ＝（（ｃｔｒ（１，１），Ｔａｇ（１，１）），（ｃｔｒ（１，２），Ｔａｇ（１，２）），・・・，（ｃｔｒ（２，４），Ｔａｇ（２，４）））
　また、中間ノード生成部１２４は、生成された中間ノード集合Ｉｎｔｅｒを木構造出力部１２６に出力する。

　ルートノード生成部１２５は、タグ生成部１２２が出力するタグＴａｇＲｏｏｔを用いて、木構造のルートノードを生成する。ルートノードは以下の式６６で示すように生成される。ただし、ｃｔｒ（０，１）＝０＾｛ＣＴＲ－１｝｜｜１と定義する。
（式６６）
　Ｒｏｏｔ＝（ｃｔｒ（０，１），Ｔａｇ（０，１））
　また、ルートノード生成部１２５は、生成されたルートノードＲｏｏｔを木構造出力部１２６に出力する。

　木構造出力部１２６は、リーフノード生成部１２３が出力するリーフノード集合Ｌｅａｆと、中間ノード生成部１２４が出力する中間ノード集合Ｉｎｔｅｒと、ルートノード生成部１２５が出力するルートノードＲｏｏｔとを連結する。そして、木構造出力部１２６は、連結されたデータ列を、木構造を示すデータ（木構造Ｔｒｅｅ）として、コンピュータディスプレイやプリンタなどへ出力する。メモリアドレス出力部１２７は、メモリアドレス割り当て部１２１が出力するメモリアドレスＡｄｄをコンピュータディスプレイやプリンタなどへ出力する。

［メモリ検証装置の構成の説明］
　図１５は、第４の実施形態にかかるメモリ検証装置２２の構成例を示すブロック図である。図１５に示すように、第４の実施形態にかかるメモリ検証装置２２は、木構造入力部２２０と、メモリアドレス入力部２２１と、検証箇所入力部２２２と、タグ検証部２２３と、検証結果出力部２２４と、を備える。

　木構造入力部２２０は、木構造入力手段としての機能を有する。メモリアドレス入力部２２１は、メモリアドレス入力手段としての機能を有する。検証箇所入力部２２２は、検証箇所入力手段としての機能を有する。タグ検証部２２３は、タグ検証手段としての機能を有する。検証結果出力部２２４は、検証結果出力手段としての機能を有する。

　メモリ検証装置２２は、例えばコンピュータである。なお、メモリ検証装置２２は、中央演算装置においてソフトウェアプログラムを実行することで、図１５に示す各構成要素を実現してもよい。また、メモリ検証装置２２において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　木構造入力部２２０は、検証対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。そして、木構造入力部２２０は、木構造Ｔｒｅｅをタグ検証部２２３に出力する。ここで、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、及び、ルートノードＲｏｏｔにより構成される。木構造Ｔｒｅｅは、木構造出力部１２６によって出力された、リーフノード集合Ｌｅａｆと中間ノード集合ＩｎｔｅｒとルートノードＲｏｏｔとが連結されたデータ列であってもよい。

　メモリアドレス入力部２２１は、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。そして、メモリアドレス入力部２２１は、メモリアドレス集合Ａｄｄをタグ検証部２２３に出力する。なお、Ａｄｄは以下の式６７のように記述される。
（式６７）
　Ａｄｄ＝（ａｄｄ（０，１），ａｄｄ（１，１），ａｄｄ（１，２），ａｄｄ（２，１），ａｄｄ（２，２），・・・，ａｄｄ（ｄ，２＾ｄ－１），ａｄｄ（ｄ，２＾ｄ））
　ただし、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、深さｉにおいてｊ＿ｉ番目のノードのメモリアドレスを、ａｄｄ（ｉ，ｊ＿ｉ）で表す。

　検証箇所入力部２２２は、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。そして、検証箇所入力部２２２は、検証箇所ＣｈｅｃｋＮｏｄｅをタグ検証部２２３に出力する。なお、ＣｈｅｃｋＮｏｄｅは、メモリの検証箇所に対応するノードを示すデータである。具体的には、ＣｈｅｃｋＮｏｄｅは、１以上２＾ｄ以下の数値であり、検証箇所がリーフノードのＣｈｅｃｋＮｏｄｅ番目であることを表す。つまり、ＣｈｅｃｋＮｏｄｅは、検証箇所に対応するリーフノードの位置（順番；序数）を示す。

　タグ検証部２２３は、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋとを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２２３は、検証結果を検証結果出力部２２４に出力する。まず、タグ検証部２２３は、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。ここで、パスＰａｔｈとは、当該リーフノードからルートノードまでのノードの道のりを示すデータである。パスＰａｔｈは、以下の式６８で表される。
（式６８）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおいてｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式６９で定義される。
（式６９）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／２）
　ただし、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　次に、タグ検証部２２３は、メモリアドレス入力部２２１の出力であるＡｄｄと、木構造入力部２２０の出力である木構造Ｔｒｅｅと、秘密鍵Ｋとを用いて、以下の式７０を計算する。
（式７０）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ，ｐ＿ｄ），Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｄ，ｐ＿ｄ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），Ｍ［ｐ＿ｄ］）
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，２ｐ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿Ｋは、第４の実施形態におけるメモリ構造初期化装置１２のタグ生成部１２２で用いられている方式と実質的に同じであるので、説明を省略する。また、Ｔａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのアドレスとローカルカウンタとの連結を入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのローカルカウンタを２個連結して入力することによって、得られる。

　次に、タグ検証部２２３は、木構造入力部２２０の出力である木構造Ｔｒｅｅから、以下の式７１で表される値を取得する。
（式７１）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ，ｐ＿ｄ），Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２２３は、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄのとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３は、検証結果をＡＣＫに設定する。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄのとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３は、検証結果をＮＣＫに設定する。また、検証結果がＮＣＫであることを、Ｂ＝ＮＣＫと表記する。

　タグ検証部２２３は、検証結果Ｂを検証結果出力部２２４に出力する。
　検証結果出力部２２４は、タグ検証部２２３が出力する検証結果Ｂを、コンピュータディスプレイやプリンタなどへ出力する。

［メモリ更新装置の構成の説明］
　図１６は、第４の実施形態にかかるメモリ更新装置３２の構成例を示すブロック図である。図１６に示すように、第４の実施形態にかかるメモリ更新装置３２は、木構造入力部３２０と、メモリアドレス入力部３２１と、更新箇所入力部３２２と、メモリ検証部３２３と、カウンタ更新部３２４と、タグ更新部３２５と、更新結果出力部３２６と、を備える。また、第４の実施形態にかかるメモリ更新装置３２は、更新判定部３３０と、平文更新部３３２と、を備える。

　木構造入力部３２０は、木構造入力手段としての機能を有する。メモリアドレス入力部３２１は、メモリアドレス入力手段としての機能を有する。更新箇所入力部３２２は、更新箇所入力手段としての機能を有する。メモリ検証部３２３は、メモリ検証手段としての機能を有する。カウンタ更新部３２４は、カウンタ更新手段としての機能を有する。タグ更新部３２５は、タグ更新手段としての機能を有する。更新結果出力部３２６は、更新結果出力手段としての機能を有する。更新判定部３３０は、更新判定手段としての機能を有する。平文更新部３３２は、平文更新手段としての機能を有する。

　メモリ更新装置３２は、例えばコンピュータである。なお、メモリ更新装置３２は、中央演算装置においてソフトウェアプログラムを実行することで、図１６に示す各構成要素を実現してもよい。また、メモリ更新装置３２において実現される各構成要素は、個々の装置、又は機能部もしくは電子回路として実現してもよい。このことは、後述する他の実施形態についても同様である。

　木構造入力部３２０は、更新対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。そして、木構造入力部３２０は、図１６の一点鎖線で示すように、木構造Ｔｒｅｅをメモリ検証部３２３及びカウンタ更新部３２４に出力する。また、木構造入力部３２０は、木構造Ｔｒｅｅを平文更新部３３２に出力してもよい。ここで、上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、ルートノードＲｏｏｔにより構成される。なお、木構造入力部３２０の機能は、第４の実施形態にかかるメモリ検証装置２２における木構造入力部２２０の機能と実質的に同じであるので、説明を省略する。

　メモリアドレス入力部３２１は、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。そして、メモリアドレス入力部３２１は、図１６の実線で示すように、メモリアドレス集合Ａｄｄを、メモリ検証部３２３及びタグ更新部３２５に出力する。なお、メモリアドレス入力部３２１の機能は、第４の実施形態にかかるメモリ検証装置２２におけるメモリアドレス入力部２２１の機能と実質的に同じであるので、説明を省略する。

　更新箇所入力部３２２は、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。そして、更新箇所入力部３２２は、図１６の点線で示すように、メモリの更新情報ＵｐｄａｔｅＮｏｄｅを、更新判定部３３０、平文更新部３３２、メモリ検証部３２３及びタグ更新部３２５に出力する。ここで、上述したように、メモリの更新情報ＵｐｄａｔｅＮｏｄｅは、木構造において更新されるノードに関する情報である。ＵｐｄａｔｅＮｏｄｅは、上述した第１の実施形態のものと実質的に同様であるので、説明を省略する。

　更新判定部３３０は、更新情報ＵｐｄａｔｅＮｏｄｅを用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。更新判定部３３０の機能は、第１の実施形態にかかる更新判定部３１０の機能と実質的に同様であるので説明を省略する。

　メモリ検証部３２３は、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３２３は、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３２３が行う処理は、第４の実施形態のメモリ検証装置２２におけるタグ検証部２２３の処理と実質的に同じであるが、出力結果が異なる。第４の実施形態のメモリ検証装置２２におけるタグ検証部２２３は検証結果Ｂを出力するが、メモリ検証部３２３は、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。メモリ検証部３２３は、図１６の太い破線で示すように、検証結果Ｂを、カウンタ更新部３２４、タグ更新部３２５及び更新結果出力部３２６に出力する。また、メモリ検証部３２３は、検証結果Ｂを、平文更新部３３２に出力してもよい。また、メモリ検証部３２３は、図１６の太い実線で示すように、パスＰａｔｈを、カウンタ更新部３２４及びタグ更新部３２５に出力する。

　Ｐａｔｈは以下の式７２のように表される。
（式７２）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））
　ここでは、メモリ検証部３２３が行う操作から、ｐ＿ｄ＝ＵｐｄａｔｅＩｎｄｅｘとなることが分かる。

　つまり、メモリ検証部３２３は、木構造において、リーフノードからルートノードへのパスＰａｔｈを生成する。また、メモリ検証部３２３は、パスＰａｔｈにおける各ノードにおいて、少なくとも各ノードで固有のメモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとしてＭＡＣに入力することで検証に用いられるタグを生成する。これにより、メモリ検証部３２３は、各ノードに格納されているタグを検証する。つまり、メモリ検証部３２３は、上述した式７０を計算することにより、パスＰａｔｈにおける各ノードについて、タグＴａｇ’を生成する。メモリ検証部３２３は、各ノードについて、生成されたタグＴａｇ’と格納されているタグＴａｇ（Ｔｒｅｅに関するタグ）とを比較して、両者が一致するか否かを判定する。これにより、メモリ検証部３２３は、各ノードについて改ざんがなされていないかを検証する。つまり、メモリ検証部３２３は、各ノードについて完全性検証を行う。そして、メモリ検証部３２３は、検証結果Ｂを出力する。

　ここで、第４の実施形態にかかるメモリ検証部３２３は、第１の実施形態にかかるメモリ検証部３０３と同様に、更新判定部３３０の判定結果に応じて、リーフノードのタグを検証しない場合がある。具体的には、リーフノードの更新内容が更新前の平文に依存するものでない場合、メモリ検証部３２３は、パスＰａｔｈにおけるリーフノード以外のノードのタグを検証する。一方、リーフノードの更新内容が更新前の平文に依存するものである場合、メモリ検証部３２３は、パスＰａｔｈにおけるリーフノードを含む全てのノードのタグを検証する。

　平文更新部３３２は、検証結果Ｂが改ざんの検知がないことを示す場合に、更新情報ＵｐｄａｔｅＮｏｄｅに基づいて、リーフノードにおける更新対象の平文を更新する。平文更新部３３２の機能は、第１の実施形態にかかる平文更新部３１２の機能と実質的に同様であるので説明を省略する。

　カウンタ更新部３２４は、木構造Ｔｒｅｅと、検証結果Ｂと、パスＰａｔｈとを用いて、Ｐａｔｈで指定されるノードの情報を更新する。Ｂ＝ＡＣＫである場合、以下の処理を行う。まず、カウンタ更新部３２４は、Ｐａｔｈで指定されるノードのカウンタ値に１を足してカウンタ値を更新する。つまり、０＜＝ｉ＜＝ｄに対して、カウンタ更新部３２４は以下の式７３の計算を行う。
（式７３）
　ｃｔｒ（ｉ，ｐ＿ｉ）←ｃｔｒ（ｉ，ｐ＿ｉ）＋１
　ただし、ａ←ｂはａをｂで更新することを表す。そして、カウンタ更新部３２４は、更新結果の木構造ＮｅｗＴｒｅｅ’を、タグ更新部３２５に出力する。一方、Ｂ＝ＮＣＫの場合は、カウンタ更新部３２４は処理を行わず、何も出力しない。

　タグ更新部３２５は、更新結果の木構造ＮｅｗＴｒｅｅ’と、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋとを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３２５は、０＜＝ｉ＜＝ｄ－１に対して、以下の式７４の計算を行う。
（式７４）
　Ｔａｇ（ｄ，ｐ＿ｄ）←ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，２ｐ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｐ＿ｉ））

　なお、ＭＡＣ＿Ｋは、第４の実施形態におけるメモリ構造初期化装置１２のタグ生成部１２２や、メモリ検証装置２２のタグ検証部２２３で用いられている方式と同じである。また、Ｔａｇ（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのアドレスとローカルカウンタとの連結を入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのローカルカウンタを２個連結して入力することによって、得られる。

　そして、タグ更新部３２５は、更新結果の木構造ＮｅｗＴｒｅｅを、更新結果出力部３２６に出力する。新たな木構造ＮｅｗＴｒｅｅは、更新後のリーフノード集合Ｌｅａｆと、更新後の中間ノード集合Ｉｎｔｅｒと、更新後のルートノードＲｏｏｔとによって構成される。なお、式６２に示すように、更新後の平文の情報は、更新後のリーフノード集合Ｌｅａｆに含まれている。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３２５は処理を行わず、何も出力しない。

　更新結果出力部３２６は、メモリ検証部３２３が出力する検証結果Ｂと、タグ更新部３２５が出力する木構造ＮｅｗＴｒｅｅを用いて、更新結果を出力する。Ｂ＝ＡＣＫである場合、更新結果出力部３２６は、ＮｅｗＴｒｅｅをコンピュータディスプレイやプリンタなどへ出力する。なお、更新結果出力部３２６は、ＮｅｗＴｒｅｅとは別個にＵｐｄａｔｅＮｏｄｅを出力してもよい。一方、Ｂ＝ＮＣＫである場合、更新結果出力部３２６は、検証結果Ｂ＝ＮＣＫをコンピュータディスプレイやプリンタなどへ出力する。

［動作の説明］
　図１７は、メモリ構造初期化装置１２の動作（メモリ構造初期化方法）を示すフローチャートである。ステップＳ１２１において、平文入力部１２０は、保護対象となる平文Ｍの入力を受け付ける。ステップＳ１２２において、メモリアドレス割り当て部１２１は、木構造の各ノードにメモリアドレスを割り当て、メモリアドレス集合Ａｄｄを生成する。ステップＳ１２３において、タグ生成部１２２は、平文Ｍとメモリアドレス集合Ａｄｄを用いて、改ざん検知用のタグ集合（ＴａｇＬｅａｆ，ＴａｇＩｎｔｅｒ，ＴａｇＲｏｏｔ）を生成する。

　ステップＳ１２４において、リーフノード生成部１２３は、タグ生成部１２２が出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノード集合Ｌｅａｆを生成する。ステップＳ１２５において、中間ノード生成部１２４は、タグ生成部１２２が出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノード集合Ｉｎｔｅｒを生成する。ステップＳ１２６において、ルートノード生成部１２５は、タグ生成部１２２が出力するタグＴａｇＲｏｏｔを用いて、木構造のルートノードＲｏｏｔを生成する。

　ステップＳ１２７において、木構造出力部１２６は、リーフノード集合Ｌｅａｆと、中間ノード集合Ｉｎｔｅｒと、ルートノードＲｏｏｔとを連結して、木構造を示す連結されたデータ列をコンピュータディスプレイやプリンタなどへ出力する。また、メモリアドレス出力部１２７は、メモリアドレス割り当て部１２１が出力するメモリアドレスＡｄｄをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ１２７の後、メモリ構造初期化装置１２は、図１７の処理を終了する。

　図１８は、メモリ検証装置２２の動作（メモリ検証方法）を示すフローチャートである。ステップＳ２２１において、木構造入力部２２０は、検証対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。なお、上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、及び、ルートノードＲｏｏｔにより構成される。また、メモリアドレス入力部２２１は、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。さらに、検証箇所入力部２２２は、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。

　ステップＳ２２２において、タグ検証部２２３は、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、検証箇所ＣｈｅｃｋＮｏｄｅとを用いて、各ノードのタグの検証を行う。これにより、タグ検証部２２３は、ＣｈｅｃｋＮｏｄｅが指定するメモリが改ざんされていないか否かの検証を行う。さらに、タグ検証部２２３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。ステップＳ２２３において、検証結果出力部２２４は、検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ２２３の後、メモリ検証装置２２は、図１８の処理を終了する。

　図１９～図２１は、メモリ更新装置３２の動作（メモリ更新方法）を示すフローチャートである。ステップＳ３２０において、木構造入力部３２０は、更新対象となるメモリを保護するための木構造Ｔｒｅｅの入力を受け付ける。上述したように、木構造Ｔｒｅｅは、リーフノード集合Ｌｅａｆ、中間ノード集合Ｉｎｔｅｒ、ルートノードＲｏｏｔにより構成される。また、ステップＳ３２０において、メモリアドレス入力部３２１は、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。さらに、ステップＳ３２０において、更新箇所入力部３２２は、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。上述したように、更新情報ＵｐｄａｔｅＮｏｄｅは、ＵｐｄａｔｅＮｏｄｅ＝（ＵｐｄａｔｅＩｎｄｅｘ，ＵｐｄａｔｅＩｎｆｏ）と定義される。

　ステップＳ３２１において、更新判定部３３０は、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、更新箇所ＵｐｄａｔｅＩｎｄｅｘに対応する平文ブロックを固定値に置き換えるものであるか否かを判定する。具体的には、更新判定部３３０は、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏに固定値が含まれるか否かを判定してもよい。更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、平文ブロックを固定値に置き換えるものである場合（Ｓ３２１の判定結果がＹＥＳの場合）、処理はステップＳ３２２に進む。一方、更新情報ＵｐｄａｔｅＮｏｄｅの更新内容ＵｐｄａｔｅＩｎｆｏが、平文ブロックを固定値に置き換えるものでない場合（Ｓ３２１の判定結果がＮＯの場合）、処理はステップＳ３３２に進む。

　図２０に示すように、ステップＳ３２２において、メモリ検証部３２３は、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノード以外のノードのタグの検証を行う。これにより、メモリ検証部３２３は、各ノードについて改ざんがなされていないかを検証する。さらに、メモリ検証部３２３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。そして、メモリ検証部３２３は、検証結果Ｂ、及び、メモリ検証のために用いたパスＰａｔｈを出力する。Ｂ＝ＡＣＫ、すなわちメモリ改ざんが検知されない場合（Ｓ３２２：Ｂ＝ＡＣＫ（受理）の場合）、処理はステップＳ３２４へ進む。一方、Ｂ＝ＮＣＫ、すなわちメモリ改ざんが検知された場合（Ｓ３２２：Ｂ＝ＮＣＫ（不受理）の場合）、処理はステップＳ３２３へ進む。

　ステップＳ３２３において、更新結果出力部３２６は、メモリ検証部３２３が出力する検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ３２３の後、メモリ更新装置３２は、処理を終了する。

　ステップＳ３２４において、カウンタ更新部３２４は、木構造入力部３２０が出力する木構造Ｔｒｅｅと、メモリ検証部３２３が出力するパスＰａｔｈを用いて、Ｐａｔｈで指定されるノードのカウンタを更新する。そして、カウンタ更新部３２４は、更新結果の新たな木構造ＮｅｗＴｒｅｅ’を出力する。

　ステップＳ３２５において、木構造ＮｅｗＴｒｅｅ’と、パスＰａｔｈと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノードの平文、及び、パスＰａｔｈに対応するタグが更新される。具体的には、平文更新部３３２は、更新情報ＵｐｄａｔｅＮｏｄｅで示されるリーフノードの平文（平文ブロック）を更新する。また、タグ更新部３２５は、Ｐａｔｈで示されるノードのタグを更新する。そして、タグ更新部３２５は、更新結果の新たな木構造ＮｅｗＴｒｅｅを出力する。

　ステップＳ３２６において、更新結果出力部３２６は、タグ更新部３２５が出力する木構造ＮｅｗＴｒｅｅを出力する。ステップＳ３２６の後、メモリ更新装置３２は、処理を終了する。

　一方、図２１に示すように、ステップＳ３３２において、メモリ検証部３２３は、パスの全てのノードのタグの検証を行う。具体的には、メモリ検証部３２３は、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスの全てのノードのタグの検証を行う。これにより、メモリ検証部３２３は、各ノードについて改ざんがなされていないかを検証する。さらに、メモリ検証部３２３は、受理（ＡＣＫ）または不受理（ＮＣＫ）を決定し、検証結果Ｂを出力する。そして、メモリ検証部３２３は、検証結果Ｂ、及び、メモリ検証のために用いたパスＰａｔｈを出力する。Ｂ＝ＡＣＫ、すなわちメモリ改ざんが検知されない場合（Ｓ３３２：Ｂ＝ＡＣＫ（受理）の場合）、処理はステップＳ３３４へ進む。一方、Ｂ＝ＮＣＫ、すなわちメモリ改ざんが検知された場合（Ｓ３３２：Ｂ＝ＮＣＫ（不受理）の場合）、処理はステップＳ３３３へ進む。

　Ｓ３２３と同様にして、ステップＳ３３３において、更新結果出力部３２６は、メモリ検証部３２３が出力する検証結果Ｂをコンピュータディスプレイやプリンタなどへ出力する。ステップＳ３３３の後、メモリ更新装置３２は、処理を終了する。

　Ｓ３２４と同様にして、ステップＳ３３４において、カウンタ更新部３２４は、木構造入力部３２０が出力する木構造Ｔｒｅｅと、メモリ検証部３２３が出力するパスＰａｔｈを用いて、Ｐａｔｈで指定されるノードのカウンタを更新する。そして、カウンタ更新部３２４は、更新結果の新たな木構造ＮｅｗＴｒｅｅ’を出力する。

　Ｓ３２５と同様にして、ステップＳ３３５において、木構造ＮｅｗＴｒｅｅ’と、パスＰａｔｈと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅとを用いて、リーフノードの平文、及び、パスＰａｔｈに対応するタグが更新される。具体的には、平文更新部３３２は、更新情報ＵｐｄａｔｅＮｏｄｅで示されるリーフノードの平文（平文ブロック）を更新する。また、タグ更新部３２５は、Ｐａｔｈで示されるノードのタグを更新する。そして、タグ更新部３２５は、更新結果の新たな木構造ＮｅｗＴｒｅｅを出力する。

　Ｓ３２６と同様にして、ステップＳ３３６において、更新結果出力部３２６は、タグ更新部３２５が出力する木構造ＮｅｗＴｒｅｅを出力する。ステップＳ３３６の後、メモリ更新装置３２は、処理を終了する。

［効果の説明］
　第４の実施形態にかかるメモリ更新装置３２は、リーフノードに対応する平文を更新する場合に、更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。そして、メモリ更新装置３２は、リーフノードの更新内容が更新前の平文に依存するものでないときに、リーフノードからルートノードへのパスにおけるリーフノード以外のノードのタグを検証する。ここで、特許文献３にかかる技術では、更新内容によらないで、パスの全てのノードについて検証が行われる。したがって、上記のような構成によって、検証に要する計算量を、特許文献３にかかる技術と比較して削減することが可能となる。したがって、第１の実施形態の場合と同様に、メモリの内容を更新する際に、ノードの検証処理を効率的に行うことが可能となる。

　また、上述したように、メモリの内容を更新する際に、木構造に対して改ざんが行われる可能性がある。一方、第１の実施形態の場合と同様に、第４の実施形態でも、リーフノードの更新内容が更新前の平文に依存しない場合、更新前のリーフノードに含まれる平文が改ざんされたとしても、その平文は、改ざんされた平文によらないデータに更新される。したがって、メモリの安全性が損なわれない。また、ローカルカウンタが改ざんされた場合についても、上述した第１の実施形態おいてナンスに改ざんがなされた場合と同様に、ローカルカウンタの改ざんが検出される。したがって、リーフノードの更新内容が更新前の平文に依存しない場合は、リーフノードについてのタグの検証を不要としても、安全性は損なわれない。

　また、全てのノードにおいて検証に必要な計算量が同じと仮定すると、深さｄの木構造の場合、本実施形態にかかるメモリ更新装置３２におけるメモリ検証処理の計算量は、特許文献２にかかる技術にかかる計算量に対して、（ｄ－１）／ｄ倍となる。リーフノードの検証処理のコストがそれ以外のノードの検証処理のコストよりも大きい場合、本実施形態にかかる方法による計算量の削減効果は、より大きくなる。また、深さｄは、通常、整数１桁程度であり、比較的小さい。ここで、（ｄ－１）／ｄは、ｄが小さいほど小さい。したがって、本実施形態にかかる方法による計算量の削減効果は、比較的大きい。

（第５の実施形態）
　次に、第５の実施形態について説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。第５の実施形態は、第４の実施形態を変形したものである。したがって、以下の説明では、上述した第４の実施形態と異なる箇所について主に説明する。第５の実施形態にかかる構成は、上述した特許文献３の構成を改良したものに対応する。そして、第５の実施形態では、第４の実施形態と比較して、木構造の分岐数が異なる。第５の実施形態では、メモリ保護システムが構成する木構造の分岐数がｂであり、深さがｄである例について説明する。つまり、第５の実施形態におけるリーフノードの数はｂ＾ｄ個となる。

　図２３は、第５の実施形態にかかるメモリ保護システムが構成する木構造の例を示す図である。図２３には、分岐数ｂ＝３、深さｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては、上述した第４の実施形態の場合と実質的に同様である。

　第５の実施形態にかかるメモリ保護システム１は、メモリ構造初期化装置１２ａと、メモリ検証装置２２ａと、メモリ更新装置３２ａと、を備える。第５の実施形態にかかるメモリ構造初期化装置１２ａは、改ざん検知を行いたい平文を入力として、初期状態の木構造と木構造における各ノードのメモリアドレス集合とを出力する。

　第５の実施形態において、平文は、ｂ＾ｄ個の平文ブロックの結合で表される。つまり、以下の式７５が成り立つ。
（式７５）
　Ｍ＝Ｍ［１］｜｜Ｍ［２］｜｜・・・｜｜Ｍ［ｂ＾ｄ］
　また、１つの平文ブロックはＢｌｏｃｋビットと定義される。

　メモリ検証装置２２ａは、改ざんをチェックしたい平文ブロックの格納場所と木構造、および木構造における各ノードのメモリアドレスを入力として、その格納場所に対応するメモリが改ざんされているか否かを検証する。メモリ更新装置３２ａは、更新したい平文ブロックの格納場所とその更新内容、木構造、および木構造における各ノードのメモリアドレスを入力とする。メモリ更新装置３２ａは、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

［メモリ構造初期化装置の構成の説明］
　第５の実施形態にかかるメモリ構造初期化装置１２ａは、平文入力部１２０と、メモリアドレス割り当て部１２１ａと、タグ生成部１２２ａと、を備える。また、第５の実施形態にかかるメモリ構造初期化装置１２ａは、リーフノード生成部１２３ａと、中間ノード生成部１２４ａと、ルートノード生成部１２５と、木構造出力部１２６と、メモリアドレス出力部１２７と、を備える。なお、平文入力部１２０は、第４の実施形態のメモリ構造初期化装置１２における平文入力部１２０と実質的に同じであるので、説明を省略する。

　メモリアドレス割り当て部１２１ａは、木構造の各ノードにメモリアドレス情報を割り当てる。ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝ｂ＾｛ｉ｝のとき、深さｉでｊ＿ｉ番目のノードに割り当てるメモリアドレスを、ａｄｄ（ｉ，ｊ＿ｉ）で表す。そして、木構造の全てのノードに割り当てられたメモリアドレス情報を、メモリアドレス集合Ａｄｄとして、以下の式７６のように記述する。
（式７６）
　Ａｄｄ＝（ａｄｄ（０，１），ａｄｄ（１，１），ａｄｄ（１，２），・・・，ａｄｄ（１，ｂ），ａｄｄ（２，１），ａｄｄ（２，２），・・・，ａｄｄ（ｄ，ｂ＾ｄ－１），ａｄｄ（ｄ，ｂ＾ｄ））

　タグ生成部１２２ａは、タグ生成部１２２と同様に、平文入力部１２０が出力する平文Ｍと、メモリアドレス割り当て部１２１ａが出力するメモリアドレス集合Ａｄｄと、秘密鍵Ｋとを用いて、改ざん検知用のタグを生成する。まず、タグ生成部１２２ａは、リーフノードで用いるタグとして、以下の式７７で表されるデータを生成する。
（式７７）
　ＴａｇＬｅａｆ＝（（Ｍ［１］，Ｔａｇ（ｄ，１）），（Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｍ［ｂ＾ｄ］，Ｔａｇ（ｄ，ｂ＾ｄ）））
　Ｔａｇ（ｄ，ｊ＿ｄ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｊ＿ｄ）｜｜ｃｔｒ（ｄ，ｊ＿ｄ）），Ｍ［ｉ］）
　１＜＝ｊ＿ｄ＜＝ｂ＾ｄ

　次に、タグ生成部１２２ａは、中間ノードで用いるタグとして、以下の式７８で表されるデータを生成する。
（式７８）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，ｂ＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，ｂ・ｊ＿ｉ－（ｂ－１））｜｜・・・｜｜ｃｔｒ（ｉ＋１，ｂ・ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝ｂ＾ｉ
　また、「ｃｔｒ（ｉ＋１，ｂ・ｊ＿ｉ－（ｂ－１））｜｜・・・｜｜ｃｔｒ（ｉ＋１，ｂ・ｊ＿ｉ）」は、ノード（ｉ，ｊ＿ｉ）のｂ個の子ノードのローカルカウンタ値を連結したものである。

　次に、タグ生成部１２２ａは、ルートノードで用いるタグとして、以下の式７９で表されるデータを生成する。
（式７９）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿Ｋ（ａｄｄ（０，１）｜｜ｃｔｒ（０，１），ｃｔｒ（１，１）｜｜・・・｜｜ｃｔｒ（１，ｂ））
　なお、「ｃｔｒ（１，１）｜｜・・・｜｜ｃｔｒ（１，ｂ）」は、ルートノード（０，１）のｂ個の子ノードのローカルカウンタ値を連結したものを示す。

　式７７，式７８，式７９から、各ノードに対応するタグは、以下の通りである。すなわち、各ノードに対応するタグは、リーフノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、自ノードに対応する平文ブロックを平文とし、そのナンスと平文とを入力としたＭＡＣの計算結果に対応する。また、各ノードに対応するタグは、リーフノード以外のノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、複数の子ノードのローカルカウンタ値の連結を平文とし、そのナンスと平文とを入力としたＭＡＣの計算結果に対応する。

　図２３に例示するように、木構造全体の深さｄがｄ＝３であり、分岐数ｂがｂ＝３である場合、各ノードに対応するタグは、以下の式８０で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式８０）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝３＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，３ｊ＿ｉ－２）｜｜ｃｔｒ（ｉ＋１，３ｊ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，３ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　そして、タグ生成部１２２ａは、タグ集合ＴａｇＬｅａｆをリーフノード生成部１２３ａに出力する。また、タグ生成部１２２ａは、タグ集合ＴａｇＩｎｔｅｒを中間ノード生成部１２４ａに出力する。また、タグ生成部１２２ａは、タグ集合ＴａｇＲｏｏｔをルートノード生成部１２５に出力する。

　リーフノード生成部１２３ａは、リーフノード生成部１２３と同様に、タグ生成部１２２ａが出力するタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝ｂ＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式２８で示すように生成される。
（式８１）
　（ｃｔｒ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式８２のように記述する。
（式８２）
　Ｌｅａｆ＝（（ｃｔｒ（ｄ，１），Ｍ［１］，Ｔａｇ（ｄ，１）），（ｃｔｒ（ｄ，２），Ｍ［２］，Ｔａｇ（ｄ，２）），・・・，（ｃｔｒ（ｄ，ｂ＾ｄ），Ｍ［ｂ＾ｄ］，Ｔａｇ（ｄ，ｂ＾ｄ）））
　また、リーフノード生成部１２３ａは、生成されたリーフノード集合Ｌｅａｆを木構造出力部１２６に出力する。

　中間ノード生成部１２４ａは、中間ノード生成部１２４と同様に、タグ生成部１２２ａが出力するタグ集合ＴａｇＩｎｔｅｒを用いて、木構造の中間ノードを生成する。ここで、中間ノードでは、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝ｂ＾ｉである。そして、深さｉにおけるｊ＿ｉ番目の中間ノードは、以下の式８３で示すように生成される。
（式８３）
　（ｃｔｒ（ｉ，ｊ＿ｉ），Ｔａｇ（ｉ，ｊ＿ｉ））
　ただし、全てのｉ，ｊ＿ｉに対してｃｔｒ（ｉ，ｊ＿ｉ）＝０＾｛ＣＴＲ－１｝｜｜１と定義する。

　また、全ての中間ノードを以下の式８４のように記述する。
（式８４）
　Ｉｎｔｅｒ＝（（ｃｔｒ（１，１），Ｔａｇ（１，１）），（ｃｔｒ（１，２），Ｔａｇ（１，２）），・・・，（ｃｔｒ（ｄ－１，ｂ＾｛ｄ－１｝），Ｔａｇ（ｄ－１，ｂ＾｛ｄ－１｝）））

　図１２に示すように、木構造全体の深さがｄ＝３の場合、各中間ノードは、以下の式８５のように表される。
（式８５）
　Ｉｎｔｅｒ＝（（ｃｔｒ（１，１），Ｔａｇ（１，１）），（ｃｔｒ（１，２），Ｔａｇ（１，２）），・・・，（ｃｔｒ（２，９），Ｔａｇ（２，９）））
　また、中間ノード生成部１２４ａは、生成された中間ノード集合Ｉｎｔｅｒを木構造出力部１２６に出力する。

　ルートノード生成部１２５は、第４の実施形態のメモリ構造初期化装置１２におけるルートノード生成部１２５と実質的に同じであるので、説明を省略する。木構造出力部１２６は、第４の実施形態のメモリ構造初期化装置１２における木構造出力部１２６と実質的に同じであるので、説明を省略する。メモリアドレス出力部１２７は、第４の実施形態のメモリ構造初期化装置１２におけるメモリアドレス出力部１２７と実質的に同じであるので、説明を省略する。

［メモリ検証装置の構成の説明］
　第５の実施形態にかかるメモリ検証装置２２ａは、木構造入力部２２０と、メモリアドレス入力部２２１ａと、検証箇所入力部２２２ａと、タグ検証部２２３ａと、検証結果出力部２２４と、を備える。木構造入力部２２０は、第４の実施形態のメモリ検証装置２２における木構造入力部２２０実質的に同じであるので、説明を省略する。

　メモリアドレス入力部２２１ａは、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。そして、メモリアドレス入力部２２１ａは、メモリアドレス集合Ａｄｄをタグ検証部２２３ａに出力する。なお、Ａｄｄは以下の式８６のように記述される。
（式８６）
　Ａｄｄ＝（ａｄｄ（０，１），ａｄｄ（１，１），ａｄｄ（１，２），・・・，ａｄｄ（１，ｂ），ａｄｄ（２，１），ａｄｄ（２，２），・・・，ａｄｄ（ｄ，ｂ＾ｄ－１），ａｄｄ（ｄ，ｂ＾ｄ））
　ただし、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝ｂ＾｛ｉ｝のとき、深さｉにおいてｊ＿ｉ番目のノードのメモリアドレスを、ａｄｄ（ｉ，ｊ＿ｉ）で表す。

　検証箇所入力部２２２ａは、検証箇所入力部２２２と同様に、メモリの検証箇所ＣｈｅｃｋＮｏｄｅの入力を受け付ける。そして、検証箇所入力部２２２ａは、検証箇所ＣｈｅｃｋＮｏｄｅをタグ検証部２２３ａに出力する。ここで、第５の実施形態において、ＣｈｅｃｋＮｏｄｅは、１以上ｂ＾ｄ以下の数値であり、検証箇所がリーフノードのＣｈｅｃｋＮｏｄｅ番目であることを表す。

　タグ検証部２２３ａは、タグ検証部２２３と同様に、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋとを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２２３ａは、検証結果を検証結果出力部２２４に出力する。まず、タグ検証部２２３ａは、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。パスＰａｔｈは、以下の式８７で表される。
（式８７）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝ｂ＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおいてｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式８８で定義される。
（式８８）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／ｂ）
　ただし、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　次にタグ検証部２２３ａは、メモリアドレス入力部２２１ａの出力であるＡｄｄと、木構造入力部２２０の出力であるＴｒｅｅと、秘密鍵Ｋを用いて以下の式８９を計算する。
（式８９）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ，ｐ＿ｄ），Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｄ，ｐ＿ｄ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），Ｍ［ｐ＿ｄ］）
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，ｂ・ｐ＿ｉ－（ｂ－１））｜｜・・・｜｜ｃｔｒ（ｉ＋１，ｂ・ｐ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，ｂ・ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿Ｋは、第５の実施形態におけるメモリ構造初期化装置１２ａのタグ生成部１２２ａで用いられている方式と実質的に同じであるので、説明を省略する。また、Ｔａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのアドレスとローカルカウンタとの連結を入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのローカルカウンタをｂ個連結して入力することによって、得られる。

　次に、タグ検証部２２３ａは、木構造入力部２２０の出力である木構造Ｔｒｅｅから、以下の式９０で表される値を取得する。
（式９０）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ，ｐ＿ｄ），Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２２３ａは、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄのとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３ａは、検証結果をＡＣＫに設定する。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄのとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３ａは、検証結果をＮＣＫに設定する。また、検証結果がＮＣＫであることを、Ｂ＝ＮＣＫと表記する。

　タグ検証部２２３ａは検証結果Ｂを検証結果出力部２２４に出力する。
　検証結果出力部２２４は、第４の実施形態のメモリ検証装置２２における検証結果出力部２２４と実質的に同じであるので、説明を省略する。

［メモリ更新装置の構成の説明］
　第５の実施形態にかかるメモリ更新装置３２ａは、木構造入力部３２０と、メモリアドレス入力部３２１ａと、更新箇所入力部３２２ａと、メモリ検証部３２３ａと、カウンタ更新部３２４と、タグ更新部３２５ａと、更新結果出力部３２６と、を備える。また、第５の実施形態にかかるメモリ更新装置３２は、更新判定部３３０と、平文更新部３３２と、を備える。木構造入力部３２０は、第４の実施形態のメモリ更新装置３２における木構造入力部３２０と実質的に同じであるので、説明を省略する。

　メモリアドレス入力部３２１ａは、検証対象となるメモリを保護するための木構造に割り当てられているメモリアドレス集合Ａｄｄの入力を受け付ける。そして、メモリアドレス入力部３２１ａは、メモリアドレス集合Ａｄｄを、メモリ検証部３２３ａ及びタグ更新部３２５ａに出力する。メモリアドレス入力部３２１ａの機能は、第５の実施形態のメモリ検証装置２２ａにおけるメモリアドレス入力部２２１ａの機能と実質的に同じであるので、説明を省略する。

　更新箇所入力部３２２ａは、メモリの更新情報ＵｐｄａｔｅＮｏｄｅの入力を受け付ける。そして、更新箇所入力部３２２ａは、メモリの更新情報ＵｐｄａｔｅＮｏｄｅを、更新判定部３３０、平文更新部３３２、メモリ検証部３２３ａ及びタグ更新部３２５ａに出力する。ここで、上述したように、メモリの更新情報ＵｐｄａｔｅＮｏｄｅは、木構造において更新されるノードに関する情報である。ＵｐｄａｔｅＮｏｄｅは、上述した第２の実施形態のものと実質的に同様であるので、説明を省略する。

　更新判定部３３０は、第４の実施形態のメモリ更新装置３２における更新判定部３３０と実質的に同様であるので、説明を省略する。

　メモリ検証部３２３ａは、メモリ検証部３２３と同様に、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋとを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３２３ａは、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３２３ａが行う検証処理は、第５の実施形態のメモリ検証装置２２ａにおけるタグ検証部２２３ａと実質的に同じであるが、出力結果が異なる。第５の実施形態のメモリ検証装置２２ａにおけるタグ検証部２２３ａは検証結果Ｂを出力するが、メモリ検証部３２３ａは、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。メモリ検証部３２３ａは、検証結果Ｂを、カウンタ更新部３２４、平文更新部３３２、タグ更新部３２５ａ及び更新結果出力部３２６に出力する。また、メモリ検証部３２３ａは、パスＰａｔｈを、カウンタ更新部３２４及びタグ更新部３２５ａに出力する。

　Ｐａｔｈは以下の式９１のように表される。
（式９１）
Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））
　ここでは、メモリ検証部３２３ａが行う操作から、ｐ＿ｄ＝ＵｐｄａｔｅＩｎｄｅｘとなることが分かる。

　なお、メモリ検証部３２３ａのその他の機能については、第４の実施形態にかかるメモリ検証部３２３の機能と実質的に同様であるので、説明を省略する。つまり、メモリ検証部３２３ａは、メモリ検証部３２３と同様に、更新判定部３３０の判定結果に応じて、リーフノードのタグを検証しない場合がある。

　平文更新部３３２は、第４の実施形態のメモリ更新装置３２における平文更新部３３２と実質的に同様であるので、説明を省略する。カウンタ更新部３２４は、第４の実施形態のメモリ更新装置３２におけるカウンタ更新部３２４と実質的に同じであるので、説明を省略する。

　タグ更新部３２５ａは、更新結果の木構造ＮｅｗＴｒｅｅ’と、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋとを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３２５ａは、０＜＝ｉ＜＝ｄ－１に対して、以下の式９２の計算を行う。
（式９２）
　Ｔａｇ（ｄ，ｐ＿ｄ）←ＭＡＣ＿Ｋ（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿Ｋ（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，ｂ・ｐ＿ｉ－（ｂ－１））｜｜・・・｜｜ｃｔｒ（ｉ＋１，ｂ・ｐ＿ｉ））

　なお、ＭＡＣ＿Ｋは、第５の実施形態におけるメモリ構造初期化装置１２ａのタグ生成部１２２ａや、メモリ検証装置２２ａのタグ検証部２２３ａで用いられている方式と実質的に同じであるので、説明を省略する。Ｔａｇ（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのアドレスとローカルカウンタとの連結を入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのローカルカウンタをｂ個連結して入力することによって、得られる。そして、タグ更新部３２５ａは、更新結果の木構造ＮｅｗＴｒｅｅを、更新結果出力部３２６に出力する。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３２５ａは処理を行わず、何も出力しない。

　更新結果出力部３２６は、第４の実施形態のメモリ更新装置３２における更新結果出力部３２６と実質的に同じであるので、説明を省略する。

［効果の説明］
　第５の実施形態が奏する効果は第４の実施形態が奏する効果と実質的に同じである。但し、第４の実施形態では、構成される木構造は２分木を仮定していたが、第５の実施形態では、木構造の分岐数を任意にしている。したがって、任意の分岐数の木構造についても、第４の実施形態が奏する効果を実現できる。

（第６の実施形態）
　次に、第６の実施形態について説明する。説明の明確化のため、以下の記載及び図面は、適宜、省略、及び簡略化がなされている。また、各図面において、同一の要素には同一の符号が付されており、必要に応じて重複説明は省略されている。第６の実施形態は、第４の実施形態を変形したものである。したがって、以下の説明では、上述した第４の実施形態と異なる箇所について主に説明する。第６の実施形態では、メモリ検証に加えて、入力される平文を暗号化して秘匿するメモリ保護システムの例について説明する。但し、第６の実施形態にかかるメモリ保護システム１が構成する木構造は、第４の実施形態と同様に、分岐数が２であり、深さがｄであると定義する。

　図２４は、第６の実施形態にかかるメモリ保護システム１が構成する木構造の例を示す図である。図２４には、分岐数ｂ＝２、深さｄ＝３の場合の木構造が示されている。なお、Ｒｏｏｔ，Ｉｎｔｅｒ，Ｌｅａｆについては、上述した第４の実施形態の場合と実質的に同様である。

　第６の実施形態にかかるメモリ保護システム１は、メモリ構造初期化装置１２ｃと、メモリ検証装置２２ｃと、メモリ更新装置３２ｃと、を備える。メモリ保護システム１は、メモリの改ざん検知および秘匿を行う。第６の実施形態にかかるメモリ構造初期化装置１２ｃは、改ざん検知および秘匿を行いたい平文を入力として、初期状態の木構造と木構造における各ノードのメモリアドレス集合を出力する。

　メモリ検証装置２２ｃは、改ざんをチェックしたい暗号文ブロックの格納場所と木構造、および木構造における各ノードのメモリアドレスを入力として、そのメモリが改ざんされているかどうか検証する。メモリ更新装置３２ｃは、更新したい暗号文ブロックの格納場所とその更新内容、木構造、および木構造における各ノードのメモリアドレスを入力とする。メモリ更新装置３２ｃは、更新後の木構造、または、改ざんを検知したことを表すエラーメッセージを出力する。

　第６の実施形態にかかるメモリ保護システム１は、第４の実施形態におけるメモリ保護システム１で用いたＭＡＣに加えて、第３の実施形態と同様に、要素技術として認証暗号（ＡＥ）を用いる。秘密鍵Ｋを用いたＡＥは、暗号化関数ＡＥ．Ｅｎｃ＿Ｋと、この暗号化関数ＡＥ．Ｅｎｃ＿Ｋ対となる復号関数ＡＥ．Ｄｅｃ＿Ｋとの２つの関数により定義される。ＡＥ．Ｅｎｃ＿Ｋは、ナンスＮ、および平文Ｍを入力として、暗号文Ｃと認証タグＴａｇとを出力する。暗号化関数を式で記述すると以下の式９３のようになる。
（式９３）
　ＡＥ．Ｅｎｃ＿Ｋ（Ｎ，Ｍ）＝（Ｃ，Ｔ）

　ＡＥ．Ｄｅｃ＿Ｋは、ナンスＮ、暗号文Ｃ、および認証タグの３つを入力として、改ざんが検知されない場合は復号結果の平文Ｍを出力し、改ざんが検知された場合はエラーメッセージ⊥を出力する。このことを式で記述すると以下の式９４のようになる。
（式９４）
　ＡＥ．Ｄｅｃ＿Ｋ（Ｎ，Ｃ，Ｔ）＝Ｍ（改ざんが検知されない場合）
　ＡＥ．Ｄｅｃ＿Ｋ（Ｎ，Ｃ，Ｔ）＝⊥（改ざんが検知された場合）

［メモリ構造初期化装置の構成の説明］
　第６の実施形態にかかるメモリ構造初期化装置１２ｃは、平文入力部１２０と、メモリアドレス割り当て部１２１と、タグ生成部１２２ｃと、を備える。また、第６の実施形態にかかるメモリ構造初期化装置１２ｃは、リーフノード生成部１２３ｃと、中間ノード生成部１２４と、ルートノード生成部１２５と、木構造出力部１２６と、メモリアドレス出力部１２７と、を備える。

　平文入力部１２０は、第４の実施形態のメモリ構造初期化装置における平文入力部１２０と実質的に同じであるので、説明を省略する。メモリアドレス割り当て部１２１は、第４の実施形態のメモリ構造初期化装置におけるメモリアドレス割り当て部１２１と実質的に同じであるので、説明を省略する。

　タグ生成部１２２ｃは、平文入力部１２０が出力する平文Ｍと、メモリアドレス割り当て部１２１が出力するメモリアドレス集合Ａｄｄと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、改ざん検知用のタグおよび暗号文を生成する。中間ノードとルートノードのためのタグ生成にはＭＡＣを用いるとし、平文（リーフノード）の暗号化およびタグ生成には認証暗号（ＡＥ）を用いるとする。

　まず、タグ生成部１２２ｃは、リーフノードで用いる暗号文とタグとして、以下の式９５で表されるデータを生成する。
（式９５）
　ＴａｇＬｅａｆ＝（（Ｃ［１］，Ｔａｇ（ｄ，１）），（Ｃ［２］，Ｔａｇ（ｄ，２）），・・・，（Ｃ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））
　（Ｃ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））＝ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（ａｄｄ（ｄ，ｊ＿ｄ）｜｜ｃｔｒ（ｄ，ｊ＿ｄ），Ｍ［ｊ＿ｄ］）
　ただし、１＜＝ｊ＿ｄ＜＝２＾ｄ

　次に、タグ生成部１２２ｃは、中間ノードで用いるタグとして、以下の式９６で表されるデータを生成する。
（式９６）
　ＴａｇＩｎｔｅｒ＝（Ｔａｇ（１，１），・・・，Ｔａｇ（ｄ－１，２＾｛ｄ－１｝））
　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，２ｊ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｊ＿ｉ））
　ただし、１＜＝ｉ＜＝ｄ－１，１＜＝ｊ＿ｉ＜＝２＾ｉ

　次に、タグ生成部１２２ｃは、ルートノードで用いるタグとして、以下の式９７で表されるデータを生成する。
（式９７）
　ＴａｇＲｏｏｔ＝（Ｔａｇ（０，１））
　Ｔａｇ（０，１）＝ＭＡＣ＿｛Ｋ＿２｝（ａｄｄ（０，１）｜｜ｃｔｒ（０，１），ｃｔｒ（１，１）｜｜ｃｔｒ（１，２））

　式９５，式９６，式９７から、各ノードに対応するタグは、以下の通りである。すなわち、各ノードに対応するタグは、リーフノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、自ノードに対応する平文ブロックを平文とし、そのナンスと平文とを入力としたＡＥの計算結果に対応する。また、この計算結果として、暗号文ブロックが出力される。また、各ノードに対応するタグは、リーフノード以外のノードでは、自ノードのメモリアドレスとローカルカウンタ値との連結をナンスとし、複数の子ノードのローカルカウンタ値の連結を平文とし、そのナンスと平文とを入力としたＭＡＣの計算結果に対応する。

　図２４に例示するように、木構造全体の深さｄがｄ＝３の場合、式９５，式９６，式９７は、以下の式９８で表される。ここで、ｉは深さのインデックスである。また、ｊ＿ｉは、深さｉにおけるノードのインデックス（順序；序数）である。
（式９８）
Ｆｏｒ　０＜＝ｉ＜＝３，１＜＝ｊ＿ｉ＜＝２＾ｉ，
　（Ｆｏｒ　０＜＝ｉ＜＝２）　Ｔａｇ（ｉ，ｊ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），ｃｔｒ（ｉ＋１，２ｊ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｊ＿ｉ））
　（Ｆｏｒ　ｉ＝３）　（Ｃ［ｊ＿ｉ］，Ｔａｇ（ｉ，ｊ＿ｉ））＝ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（ａｄｄ（ｉ，ｊ＿ｉ）｜｜ｃｔｒ（ｉ，ｊ＿ｉ），Ｍ［ｊ＿ｉ］）

　リーフノード生成部１２３ｃは、タグ生成部１２２ｃが出力する暗号文およびタグ集合ＴａｇＬｅａｆを用いて、木構造のリーフノードを生成する。ここで、リーフノードでは、深さｉ＝ｄであるので、１＜＝ｊ＿ｄ＜＝２＾ｄである。そして、ｊ＿ｄ番目のリーフノードは、以下の式９９で示すように生成される。
（式９９）
　（ｃｔｒ（ｄ，ｊ＿ｄ），Ｃ［ｊ＿ｄ］，Ｔａｇ（ｄ，ｊ＿ｄ））

　また、全てのリーフノードを以下の式１００のように記述する。
（式１００）
　Ｌｅａｆ＝（（ｃｔｒ（ｄ，１），Ｃ［１］，Ｔａｇ（ｄ，１）），・・・，（ｃｔｒ（ｄ，２＾ｄ），Ｃ［２＾ｄ］，Ｔａｇ（ｄ，２＾ｄ）））

　図２４に示すように、木構造全体の深さがｄ＝３の場合、各リーフノードは、以下の式１０１のように表される。
（式１０１）
　Ｌｅａｆ＝（（ｃｔｒ（３，１），Ｃ［１］，Ｔａｇ（３，１）），（ｃｔｒ（３，２），Ｃ［２］，Ｔａｇ（３，２）），・・・，（ｃｔｒ（３，８），Ｃ［８］，Ｔａｇ（３，８）））
　リーフノード生成部１２３ｃは、生成されたリーフノード集合Ｌｅａｆを木構造出力部１２６に出力する。

　中間ノード生成部１２４は、第４の実施形態のメモリ構造初期化装置１２における中間ノード生成部１２４と実質的に同じであるので、説明を省略する。ルートノード生成部１２５は、第４の実施形態のメモリ構造初期化装置１２におけるルートノード生成部１２５と実質的に同じであるので、説明を省略する。木構造出力部１２６は、第４の実施形態のメモリ構造初期化装置１２における木構造出力部１２６と実質的に同じであるので、説明を省略する。メモリアドレス出力部１２７は、第４の実施形態のメモリ構造初期化装置１２におけるメモリアドレス出力部１２７と実質的に同じであるので、説明を省略する。

［メモリ検証装置の構成の説明］
　第６の実施形態にかかるメモリ検証装置２２ｃは、木構造入力部２２０と、メモリアドレス入力部２２１と、検証箇所入力部２２２と、タグ検証部２２３ｃと、検証結果出力部２２４と、を備える。木構造入力部２２０は、第４の実施形態のメモリ検証装置２２における木構造入力部２２０と実質的に同じであるので、説明を省略する。メモリアドレス入力部２２１は、第４の実施形態のメモリ検証装置２２におけるメモリアドレス入力部２２１と実質的に同じであるので、説明を省略する。検証箇所入力部２２２は、第４の実施形態のメモリ検証装置２２における検証箇所入力部２２２と実質的に同じであるので、説明を省略する。

　タグ検証部２２３ｃは、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、検証箇所ＣｈｅｃｋＮｏｄｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、ＣｈｅｃｋＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。そして、タグ検証部２２３ｃは、検証結果を検証結果出力部２２４に出力する。まず、タグ検証部２２３ｃは、ＣｈｅｃｋＮｏｄｅ番目のリーフノードからルートノードまでのパスＰａｔｈを生成する。ここで、パスＰａｔｈとは、当該リーフノードからルートノードまでのノードの道のりを示すもので、以下の式１０２で表される。
（式１０２）
　Ｐａｔｈ＝（（ｄ，ｐ＿ｄ），（ｄ－１，ｐ＿｛ｄ－１｝），（ｄ－２，ｐ＿｛ｄ－２｝），・・・，（１，ｐ＿１），（０，ｐ＿０））

　ここで、０＜＝ｉ＜＝ｄ，１＜＝ｊ＿ｉ＜＝２＾｛ｉ｝のとき、Ｐａｔｈの各要素（ｉ，ｊ＿ｉ）は、深さｉにおいてｊ＿ｉ番目のノードを表す。つまり、ｊ＿ｉは、深さｉにおけるノードの序数を示す。なお、ｐ＿ｄ＝ＣｈｅｃｋＮｏｄｅであり、０＜＝ｉ＜＝ｄ－１のとき、ｐ＿ｉは以下の式１０３で定義される。
（式１０３）
　ｐ＿ｉ＝ｃｅｉｌｉｎｇ（ｐ＿｛ｉ＋１｝／２）
　但し、ｃｅｉｌｉｎｇ（・）は天井関数を表す。また、ｐ＿０の値は必ず１となる。

　次に、タグ検証部２２３ｃは、メモリアドレス入力部２２１の出力であるＡｄｄと、木構造入力部２２０の出力であるＴｒｅｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて以下の式１０４を計算する。
（式１０４）
　ＡＥ．Ｄｅｃ＿｛Ｋ＿１｝（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），Ｃ［ｐ＿ｄ］，Ｔａｇ（ｄ，ｐ＿ｄ））

　上記の計算結果がエラーメッセージ⊥の場合、タグ検証部２２３ｃは、検証結果ＢをＢ＝ＮＣＫと定義し、Ｂを出力して処理を終了する。なお、ＡＥ．Ｄｅｃ＿｛Ｋ＿１｝（・，・，・）は、第６の実施形態におけるメモリ構造初期化装置１２ｃのタグ生成部１２２ｃで用いられている方式ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝の復号関数である。また、ＮＣＫは、パスに関わるノードの情報が改ざんされていることを示す。

　一方、上記の計算結果が平文Ｍ［ｐ＿ｄ］である場合、つまり、暗号文Ｃ［ｐ＿ｄ］が正しく復号されたことを示す場合、タグ検証部２２３ｃは、続けて以下の式１０５を計算する。
（式１０５）
　ＰａｔｈＴａｇ’＝（Ｔａｇ’（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ’（０，ｐ＿０））
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝ＭＡＣ＿｛Ｋ＿２｝（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，２ｐ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｐ＿ｉ））
　ただし、０＜＝ｉ＜＝ｄ－１

　ここで、ＭＡＣ＿｛Ｋ＿２｝（・）は、第６の実施形態におけるメモリ構造初期化装置１２ｃのタグ生成部１２２ｃで用いられているＭＡＣ方式と実質的に同じであるので、説明を省略する。また、Ｔａｇ’（ｉ，ｐ＿ｉ）は、ＭＡＣ関数の入力のナンス部分に当該ノードのアドレスとローカルカウンタとの連結を入力し、ＭＡＣ関数の入力の平文部分に当該ノードの子ノードのローカルカウンタを２個連結して入力することによって、得られる。

　また、タグ検証部２２３ｃは、木構造入力部２２０の出力である木構造Ｔｒｅｅから、以下の式１０６で表される値を取得する。
（式１０６）
　ＰａｔｈＴａｇ＝（Ｔａｇ（ｄ－１，ｐ＿｛ｄ－１｝），・・・，Ｔａｇ（０，ｐ＿０））

　そして、タグ検証部２２３ｃは、自身が計算したＰａｔｈＴａｇ’とＴｒｅｅから取得したＰａｔｈＴａｇとが等しいか否かをチェックする。０＜＝ｉ＜＝ｄ－１のとき、全てのｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）＝Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３ｃは、検証結果をＡＣＫに設定する。また、検証結果をＢと表記し、検証結果がＡＣＫであることを、Ｂ＝ＡＣＫと表記する。

　一方、０＜＝ｉ＜＝ｄ－１のとき、あるｉに対して、
　Ｔａｇ’（ｉ，ｐ＿ｉ）≠Ｔａｇ（ｉ，ｐ＿ｉ）
が成立する場合、タグ検証部２２３は、検証結果をＮＣＫに設定する。

　タグ検証部２２３は検証結果Ｂを出力する。
　検証結果出力部２２４は、第４の実施形態のメモリ検証装置２２における検証結果出力部２２４と実質的に同じであるので、説明を省略する。

［メモリ更新装置の構成の説明］
　第６の実施形態にかかるメモリ更新装置３２ｃは、木構造入力部３２０と、メモリアドレス入力部３２１と、更新箇所入力部３２２と、メモリ検証部３２３ｃと、カウンタ更新部３２４と、タグ更新部３２５ｃと、更新結果出力部３２６と、を備える。また、第６の実施形態にかかるメモリ更新装置３２ｃは、更新判定部３３０と、平文更新部３３２と、を備える。木構造入力部３２０は、第４の実施形態のメモリ更新装置３２における木構造入力部３２０と実質的に同じであるので、説明を省略する。メモリアドレス入力部３２１は、第４の実施形態のメモリ更新装置３２におけるメモリアドレス入力部３２１と実質的に同じであるので、説明を省略する。更新箇所入力部３２２は、第４の実施形態のメモリ更新装置３２における更新箇所入力部３２２と実質的に同じであるので、説明を省略する。更新判定部３３０は、第４の実施形態のメモリ更新装置３２における更新判定部３３０と実質的に同じであるので、説明を省略する。

　メモリ検証部３２３ｃは、木構造Ｔｒｅｅと、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、ＵｐｄａｔｅＮｏｄｅによって指定されるメモリが改ざんされていないか検証する。つまり、メモリ検証部３２３ｃは、ＵｐｄａｔｅＮｏｄｅによって指定されるリーフノードに関するパスに対応するノードが改ざんされていないか検証する。メモリ検証部３２３ｃが行う検証処理は、第６の実施形態のメモリ検証装置２２ｃにおけるタグ検証部２２３ｃと実質的に同じであるが、出力結果が異なる。第６の実施形態のメモリ検証装置２２ｃにおけるタグ検証部２２３ｃは検証結果Ｂを出力するが、メモリ検証部３２３ｃは、検証結果Ｂと共に、当該ノードからルートノードまでのパスＰａｔｈも出力する。メモリ検証部３２３ｃは、検証結果Ｂを、平文更新部３３２、カウンタ更新部３２４、タグ更新部３２５ｃ及び更新結果出力部３２６に出力する。また、メモリ検証部３２３ｃは、パスＰａｔｈを、カウンタ更新部３２４及びタグ更新部３２５ｃに出力する。

　なお、メモリ検証部３２３ｃのその他の機能については、第４の実施形態にかかるメモリ検証部３２３の機能と実質的に同様であるので、説明を省略する。つまり、メモリ検証部３２３ｃは、メモリ検証部３２３と同様に、更新判定部３３０の判定結果に応じて、リーフノードのタグを検証しない場合がある。

　平文更新部３３２は、第４の実施形態のメモリ更新装置３２における平文更新部３３２と実質的に同様であるので、説明を省略する。また、カウンタ更新部３２４は、第４の実施形態のメモリ更新装置３２におけるカウンタ更新部３２４と実質的に同じであるので、説明を省略する。

　タグ更新部３２５ｃは、更新結果の木構造ＮｅｗＴｒｅｅ’と、メモリアドレス集合Ａｄｄと、メモリの更新情報ＵｐｄａｔｅＮｏｄｅと、検証結果ＢおよびパスＰａｔｈと、秘密鍵Ｋ＿１，Ｋ＿２とを用いて、Ｐａｔｈで指定されるノードのタグを更新する。Ｂ＝ＡＣＫである場合、タグ更新部３２５ｃは、０＜＝ｉ＜＝ｄ－１に対して、以下の式１０７の計算を行う。
（式１０７）
　（Ｃ［ｐ＿ｄ］，Ｔａｇ（ｄ，ｐ＿ｄ））←ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（ａｄｄ（ｄ，ｐ＿ｄ）｜｜ｃｔｒ（ｄ，ｐ＿ｄ），ＵｐｄａｔｅＩｎｆｏ）
　Ｔａｇ（ｉ，ｐ＿ｉ）←ＭＡＣ＿｛Ｋ＿２｝（ａｄｄ（ｉ，ｐ＿ｉ）｜｜ｃｔｒ（ｉ，ｐ＿ｉ），ｃｔｒ（ｉ＋１，２ｐ＿ｉ－１）｜｜ｃｔｒ（ｉ＋１，２ｐ＿ｉ））

　なお、ＡＥ．Ｅｎｃ＿｛Ｋ＿１｝（・，・）やＭＡＣ＿｛Ｋ＿２｝（・）、ＩｎｃＭＡＣ＿｛Ｋ＿２｝は、第６の実施形態におけるメモリ構造初期化装置１２ｃのタグ生成部１２２ｃや、メモリ検証装置２２ｃのタグ検証部２２３ｃで用いられている方式と実質的に同じである。そして、タグ更新部３２５ｃは、更新結果の木構造ＮｅｗＴｒｅｅを出力する。一方、Ｂ＝ＮＣＫの場合は、タグ更新部３２５ｃは処理を行わず、何も出力しない。

［効果の説明］
　第６の実施形態が奏する効果は、第４の実施形態が奏する効果に加えて、メモリの秘匿が可能であることである。第４の実施形態では、平文メッセージの改ざん検知のためにＭＡＣを用いていた。これに対し、第６の実施形態では、平文メッセージにＡＥ処理を施すことにより、改ざん検知に加えて平文メッセージの秘匿が可能となる。また、一般的に、ＡＥの計算量は、ＭＡＣの計算量以上である。したがって、本実施形態のように、更新処理の際にリーフノードの完全性検証を不要にすることを可能にすることで、計算量の大きなＡＥの計算を削減することができ、これにより、検証に要する計算量をさらに削減することができる。したがって、メモリの内容を更新する際に、ノードの検証処理をさらに効率的に行うことが可能となる。

　また、用いるＡＥが、ＯＣＢのようなレート１の方式、すなわち平文の暗号化と認証タグ生成とを暗号化のみのコストで実現できるという性質を持つ方式であって、かつ、平文と暗号文のデータ量が同一になるような方式を採用できるとする。この場合、第４の実施形態と比較して、木構造全体のデータ量や、各装置で必要な計算量は、ほぼ変化しない。つまり、第６の実施形態は、第４の実施形態と同等のデータ量及び計算量で、改ざん検知に加えて秘匿も可能となる。また、第６の実施形態の木構造では２分木を仮定していたが、第５の実施形態のように、分岐数を増やした木構造を用いることも当然に可能である。

（第７の実施形態）
　次に、第７の実施形態について説明する。
　図２５は、第７の実施形態にかかるメモリ更新装置５００の構成を示す図である。第７の実施形態にかかるメモリ更新装置５００は、上述したメモリ更新装置３０及びメモリ更新装置３２に対応する。メモリ更新装置５００は、入力部５０２と、更新判定部５０４と、メモリ検証部５０６と、平文更新部５０８と、タグ更新部５１０とを有する。入力部５０２は、入力手段としての機能を有する。更新判定部５０４は、更新判定手段としての機能を有する。メモリ検証部５０６は、メモリ検証手段としての機能を有する。平文更新部５０８は、平文更新手段としての機能を有する。タグ更新部５１０は、タグ更新手段としての機能を有する。

　入力部５０２は、上述した木構造入力部３００、木構造入力部３２０、更新箇所入力部３０２及び更新箇所入力部３２２が有している機能と実質的に同様の機能によって実現できる。更新判定部５０４は、上述した更新判定部３１０及び更新判定部３３０が有している機能と実質的に同様の機能によって実現できる。メモリ検証部５０６は、上述したメモリ検証部３０３及びメモリ検証部３２３が有している機能と実質的に同様の機能によって実現できる。平文更新部５０８は、上述した平文更新部３１２及び平文更新部３３２が有している機能と実質的に同様の機能によって実現できる。タグ更新部５１０は、上述したタグ更新部３０５及びタグ更新部３２５が有している機能と実質的に同様の機能によって実現できる。

　入力部５０２は、メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する。更新判定部５０４は、更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する。

　メモリ検証部５０６は、木構造において、リーフノードからルートノードへのパスを生成する。また、メモリ検証部５０６は、パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証する。メモリ検証部５０６は、これによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力する。

　平文更新部５０８は、検証結果が改ざんの検知がないことを示す場合に、更新情報に基づいて、リーフノードにおける更新対象の平文を更新する。タグ更新部５１０は、検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成する。ここで、メモリ検証部５０６は、リーフノードの更新内容が更新前の平文に依存するものでない場合、パスにおけるリーフノード以外のノードのタグを検証する。

　ここで、上述したように、更新判定部５０４は、リーフノードの更新内容が、更新対象の平文を当該平文とは独立した固定値で置き換えるものである場合に、リーフノードの更新内容が更新前の平文に依存するものでないと判定してもよい。この場合、平文更新部５０８は、前記リーフノードにおける更新対象の平文を固定値で置き換えることで、平文を更新してもよい。また、更新判定部５０４は、更新情報に更新対象の平文とは独立した固定値が含まれる場合に、リーフノードの更新内容が更新前の平文に依存するものでないと判定してもよい。また、上記の固定値は、ユーザによって指定されてもよい。

　また、上述した第７の実施形態にかかるメモリ更新装置５００が、第１の実施形態又は第２の実施形態にかかるメモリ更新装置３０に対応する場合、メモリ更新装置５００は、以下のように構成されてもよい。メモリ検証部５０６は、上記のパスにおける各ノードにおいて、各ノードで固有のナンス及び平文、又は、ナンス及び各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成してもよい。また、メモリ更新装置５００は、ナンス更新部３０４に対応する構成要素（ナンス更新部；ナンス更新手段）をさらに有してもよい。この場合、ナンス更新部は、検証結果が改ざんの検知がないことを示す場合に、パスにおける各ノードにおけるナンスの値を更新してもよい。また、この場合、タグ更新部５１０は、各ノードにおける更新後のナンス及び更新後の平文、又は、更新後のナンス及び各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力することで、更新後のタグを生成してもよい。

　また、上述した第７の実施形態にかかるメモリ更新装置５００が、第３の実施形態にかかるメモリ更新装置３０に対応する場合、メモリ更新装置５００は、以下のように構成されてもよい。メモリ検証部５０６は、木構造において、更新対象の暗号文が含まれるリーフノードからルートノードへのパスを生成してもよい。また、メモリ検証部５０６は、パスにおける各ノードにおいて、ナンス及び各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成してもよい。また、メモリ検証部５０６は、ナンスと暗号文と検証に用いられるタグとを認証暗号に入力して、平文が改ざんされていないかを検証することにより、暗号文が改ざんされていないかを検証して、検証結果を出力してもよい。また、タグ更新部５１０は、更新後のナンス及び各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力し、更新後のナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成してもよい。

　また、上述した第７の実施形態にかかるメモリ更新装置５００が、第４の実施形態又は第５の実施形態にかかるメモリ更新装置３２に対応する場合、メモリ更新装置５００は、以下のように構成されてもよい。入力部５０２は、木構造に割り当てられているメモリアドレスを入力してもよい。メモリ検証部５０６は、パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとしてもよい。そして、メモリ検証部５０６は、ナンス及び平文、又は、ナンス及び各ノードの複数の子ノードにおけるローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成してもよい。また、メモリ更新装置５００は、カウンタ更新部３２４に対応する構成要素（カウンタ更新部；カウンタ更新手段）をさらに有してもよい。この場合、カウンタ更新部は、検証結果が改ざんの検知がないことを示す場合に、パスにおける各ノードにおけるローカルカウンタの値を更新してもよい。また、この場合、タグ更新部５１０は、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとしてもよい。そして、タグ更新部５１０は、ナンス及び更新後の平文、又は、ナンス及び各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力することで、更新後のタグを生成してもよい。

　また、上述した第７の実施形態にかかるメモリ更新装置５００が、第６の実施形態にかかるメモリ更新装置３２に対応する場合、メモリ更新装置５００は、以下のように構成されてもよい。メモリ検証部５０６は、木構造において、更新対象の暗号文が含まれるリーフノードからルートノードへのパスを生成してもよい。また、メモリ検証部５０６は、パスにおける各ノードにおいて、各ノードで固有のメモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとしてもよい。また、メモリ検証部５０６は、ナンス及び各ノードの複数の子ノードにおけるローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成してもよい。さらに、メモリ検証部５０６は、ナンスと暗号文と検証に用いられるタグとを認証暗号に入力して、平文が改ざんされていないかを検証することにより、暗号文が改ざんされていないかを検証して、検証結果を出力してもよい。また、タグ更新部５１０は、各ノードで固有のメモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとしてもよい。また、タグ更新部５１０は、ナンス及び各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力し、ナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成してもよい。

　図２６は、第７の実施形態にかかるメモリ更新装置５００によって実行されるメモリ更新方法を示すフローチャートである。入力部５０２は、木構造と、更新情報とを入力する（ステップＳ５０３）。更新判定部５０４は、更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する（ステップＳ５０４）。Ｓ５０４の判定結果がＮＯの場合、つまり、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものでない場合、処理はＳ５０６に進む。一方、Ｓ５０４の判定結果がＹＥＳの場合、つまり、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものである場合、処理はＳ５０８に進む。

　リーフノードの更新内容が更新前の平文に依存するものでない場合（Ｓ５０４のＮＯ）、メモリ検証部５０６は、リーフノードからルートノードへのパスにおけるリーフノード以外のノードのタグを検証する（ステップＳ５０６）。具体的には、メモリ検証部５０６は、木構造において、リーフノードからルートノードへのパスを生成する。また、メモリ検証部５０６は、パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して、リーフノード以外の各ノードに格納されているタグを検証する。そして、メモリ検証部５０６は、検証結果を出力する。そして、検証結果が改ざんの検知がないことを示す場合に、Ｓ５１０及びＳ５１２の処理が実行される。

　一方、リーフノードの更新内容が更新前の平文に依存するものである場合（Ｓ５０４のＹＥＳ）、メモリ検証部５０６は、リーフノードからルートノードへのパスにおける全てのノードのタグを検証する（ステップＳ５０８）。具体的には、メモリ検証部５０６は、木構造において、リーフノードからルートノードへのパスを生成する。また、メモリ検証部５０６は、パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して、リーフノードを含む全てのノードに格納されているタグを検証する。そして、メモリ検証部５０６は、検証結果を出力する。そして、検証結果が改ざんの検知がないことを示す場合に、Ｓ５１０及びＳ５１２の処理が実行される。

　平文更新部５０８は、検証結果が改ざんの検知がないことを示す場合に、更新情報に基づいて、リーフノードにおける更新対象の平文を更新する（ステップＳ５１０）。タグ更新部５１０は、検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成する（ステップＳ５１２）。

　第７の実施形態にかかるメモリ更新装置５００は、上述した実施形態と同様に、検証に要する計算量を、特許文献２及び特許文献３にかかる技術と比較して削減することが可能となる。したがって、メモリの内容を更新する際に、ノードの検証処理を効率的に行うことが可能となる。なお、上述した特許文献４のように、処理の並列化が不可能である場合では、ノードにおけるタグの検証の際に、リーフノードに関するタグの検証を不要とすることができる場合があり得る。しかしながら、特許文献４のように処理の並列化が不可能である場合と、本実施形態のように処理の並列化を可能とする場合とで、木構造が全く異なる。よって、リーフノードに関するタグの検証を不要とすることができるからといって、単に特許文献４の技術を用いて処理の並列化を可能とする木構造に対してリーフノードに関するタグの検証を不要としても、安全性が損なわれる可能性がある。したがって、単に、特許文献４の技術を特許文献２又は特許文献３に技術と組み合わせることで、リーフノードに関するタグの検証を不要とすることができるようにすることは、安全性の観点からは、容易ではない。

（ハードウェア構成例）
　上述した各実施形態に係る装置およびシステムを、１つの計算処理装置（情報処理装置、コンピュータ）を用いて実現するハードウェア資源の構成例について説明する。但し、各実施形態に係る装置（メモリ構造初期化装置、メモリ検証装置、及びメモリ更新装置）は、物理的または機能的に少なくとも２つの計算処理装置を用いて実現されてもよい。また、各実施形態に係る装置は、専用の装置として実現されてもよいし、汎用の情報処理装置で実現されてもよい。

　図２７は、各実施形態に係る装置およびシステムを実現可能な計算処理装置のハードウェア構成例を概略的に示すブロック図である。計算処理装置１０００は、コンピュータである。計算処理装置１０００は、ＣＰＵ１００１、揮発性記憶装置１００２、ディスク１００３、不揮発性記録媒体１００４、及び、通信ＩＦ１００７（ＩＦ：Interface）を有する。したがって、各実施形態に係る装置は、ＣＰＵ１００１、揮発性記憶装置１００２、ディスク１００３、不揮発性記録媒体１００４、及び、通信ＩＦ１００７を有しているといえる。計算処理装置１０００は、入力装置１００５及び出力装置１００６に接続可能であってもよい。計算処理装置１０００は、入力装置１００５及び出力装置１００６を備えていてもよい。また、計算処理装置１０００は、通信ＩＦ１００７を介して、他の計算処理装置、及び、通信装置と情報を送受信することができる。

　不揮発性記録媒体１００４は、コンピュータが読み取り可能な、たとえば、コンパクトディスク（Compact Disc)、デジタルバーサタイルディスク（Digital Versatile Disc）である。また、不揮発性記録媒体１００４は、ＵＳＢ（Universal Serial Bus）メモリ、ソリッドステートドライブ（Solid State Drive）等であってもよい。不揮発性記録媒体１００４は、電源を供給しなくても係るプログラムを保持し、持ち運びを可能にする。なお、不揮発性記録媒体１００４は、上述した媒体に限定されない。また、不揮発性記録媒体１００４の代わりに、通信ＩＦ１００７及び通信ネットワークを介して、係るプログラムが供給されてもよい。

　揮発性記憶装置１００２は、コンピュータが読み取り可能であって、一時的にデータを記憶することができる。揮発性記憶装置１００２は、ＤＲＡＭ（dynamic random Access memory）、ＳＲＡＭ（static random Access memory）等のメモリ等である。

　すなわち、ＣＰＵ１００１は、ディスク１００３に格納されているソフトウェアプログラム（コンピュータ・プログラム：以下、単に「プログラム」と称する）を、実行する際に揮発性記憶装置１００２にコピーし、演算処理を実行する。ＣＰＵ１００１は、プログラムの実行に必要なデータを揮発性記憶装置１００２から読み取る。表示が必要な場合、ＣＰＵ１００１は、出力装置１００６に出力結果を表示する。外部からプログラムを入力する場合、ＣＰＵ１００１は、入力装置１００５からプログラムを取得する。ＣＰＵ１００１は、上述した図２～図４，図１４～図１６，図２５に示される各構成要素の機能（処理）に対応するプログラムを解釈し実行する。ＣＰＵ１００１は、上述した各実施形態において説明した処理を実行する。言い換えると、上述した図２～図４，図１４～図１６，図２５に示される各構成要素の機能は、ディスク１００３又は揮発性記憶装置１００２に格納されたプログラムを、ＣＰＵ１００１が実行することによって実現され得る。

　すなわち、各実施形態は、上述したプログラムによっても成し得ると捉えることができる。さらに、上述したプログラムが記録されたコンピュータが読み取り可能な不揮発性の記録媒体によっても、上述した各実施形態は成し得ると捉えることができる。

（変形例）
　なお、本発明は上記実施形態に限られたものではなく、趣旨を逸脱しない範囲で適宜変更することが可能である。例えば、上述したフローチャートにおいて、各処理（ステップ）の順序は、適宜、変更可能である。また、複数ある処理（ステップ）のうちの１つ以上は、省略されてもよい。

　また、上述した実施形態では、メモリの内容の更新処理において各ノードの処理の並列化を可能とする技術として、特許文献２及び特許文献３にかかる技術を改良したとしているが、本開示は、このような構成に限られない。特許文献２及び特許文献３以外の、ノードの処理の並列化を可能とする技術に対しても、本開示にかかる技術は適用可能である。

　上述の例において、プログラムは、コンピュータに読み込まれた場合に、実施形態で説明された１又はそれ以上の機能をコンピュータに行わせるための命令群（又はソフトウェアコード）を含む。プログラムは、非一時的なコンピュータ可読媒体又は実体のある記憶媒体に格納されてもよい。限定ではなく例として、コンピュータ可読媒体又は実体のある記憶媒体は、random-access memory（RAM）、read-only memory（ROM）、フラッシュメモリ、solid-state drive（SSD）又はその他のメモリ技術、CD-ROM、digital versatile disk（DVD）、Blu-ray（登録商標）ディスク又はその他の光ディスクストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又はその他の磁気ストレージデバイスを含む。プログラムは、一時的なコンピュータ可読媒体又は通信媒体上で送信されてもよい。限定ではなく例として、一時的なコンピュータ可読媒体又は通信媒体は、電気的、光学的、音響的、またはその他の形式の伝搬信号を含む。

　以上、実施の形態を参照して本願発明を説明したが、本願発明は上記によって限定されるものではない。本願発明の構成や詳細には、発明のスコープ内で当業者が理解し得る様々な変更をすることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
　（付記１）
　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、
　前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、
　を有し、
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する、
　メモリ更新装置。
　（付記２）
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものである場合、前記パスにおける前記リーフノードを含む全てのノードのタグを検証する、
　付記１に記載のメモリ更新装置。
　（付記３）
　前記更新判定手段は、前記リーフノードの更新内容が、前記更新対象の平文を当該平文とは独立した固定値で置き換えるものである場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記平文更新手段は、前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　付記１に記載のメモリ更新装置。
　（付記４）
　前記更新判定手段は、前記更新情報に前記固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定する、
　付記３に記載のメモリ更新装置。
　（付記５）
　前記更新判定手段は、前記更新情報に前記更新対象の平文とは独立した固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記平文更新手段は、前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　付記１に記載のメモリ更新装置。
　（付記６）
　前記更新情報における前記固定値は、ユーザによって指定される、
　付記４又は５に記載のメモリ更新装置。
　（付記７）
　前記メモリ検証手段は、前記パスにおける各ノードにおいて、各ノードで固有のナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおけるナンスの値を更新するナンス更新手段をさらに有し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードにおける更新後のナンス及び更新後の平文、又は、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　付記１に記載のメモリ更新装置。
　（付記８）
　前記メモリ検証手段は、前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力し、更新後のナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　付記７に記載のメモリ更新装置。
　（付記９）
　前記入力手段は、前記木構造に割り当てられているメモリアドレスを入力し、
　前記メモリ検証手段は、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおける前記ローカルカウンタの値を更新するカウンタ更新手段をさらに有し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び更新後の平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　付記１に記載のメモリ更新装置。
　（付記１０）
　前記メモリ検証手段は、前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力し、前記ナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　付記９に記載のメモリ更新装置。
　（付記１１）
　改ざん検知を行いたい平文を入力として、少なくとも初期状態の木構造であってメモリを保護するために構成される木構造を出力するメモリ構造初期化装置と、
　少なくとも改ざんをチェックしたい平文の格納場所と木構造とを入力として、前記格納場所に対応するメモリが改ざんされているか否かを検証するメモリ検証装置と、
　少なくとも更新したい平文の格納場所とその更新内容、及び前記木構造を入力とし、更新後の木構造、又は、改ざんを検知したことを表すエラーメッセージを出力する、メモリ更新装置と、
　を有し、
　前記メモリ更新装置は、
　前記木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、
　前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、
　を有し、
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する、
　情報処理システム。
　（付記１２）
　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力し、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定し、
　前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成する、
　メモリ更新方法。
　（付記１３）
　前記リーフノードの更新内容が更新前の平文に依存するものである場合、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記パスにおける前記リーフノードを含む全てのノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証する、
　付記１２に記載のメモリ更新方法。
　（付記１４）
　前記リーフノードの更新内容が、前記更新対象の平文を当該平文とは独立した固定値で置き換えるものである場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　付記１２に記載のメモリ更新方法。
　（付記１５）
　前記更新情報に前記固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定する、
　付記１４に記載のメモリ更新方法。
　（付記１６）
　前記更新情報に前記更新対象の平文とは独立した固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　付記１２に記載のメモリ更新方法。
　（付記１７）
　前記更新情報における前記固定値は、ユーザによって指定される、
　付記１５又は１６に記載のメモリ更新方法。
　（付記１８）
　前記パスにおける各ノードにおいて、各ノードで固有のナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおけるナンスの値を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードにおける更新後のナンス及び更新後の平文、又は、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　付記１２に記載のメモリ更新方法。
　（付記１９）
　前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力し、更新後のナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　付記１８に記載のメモリ更新方法。
　（付記２０）
　前記木構造に割り当てられているメモリアドレスを入力し、
　前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおける前記ローカルカウンタの値を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び更新後の平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　付記１２に記載のメモリ更新方法。
　（付記２１）
　前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力し、前記ナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　付記２０に記載のメモリ更新方法。
　（付記２２）
　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力するステップと、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定するステップと、
　前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するステップと、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新するステップと、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するステップと、
　をコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。

１　メモリ保護システム
１０　メモリ構造初期化装置
１００　平文入力部
１０１　ナンス割り当て部
１０２　タグ生成部
１０３　リーフノード生成部
１０４　中間ノード生成部
１０５　ルートノード生成部
１０６　木構造出力部
１２　メモリ構造初期化装置
１２０　平文入力部
１２１　メモリアドレス割り当て部
１２２　タグ生成部
１２３　リーフノード生成部
１２４　中間ノード生成部
１２５　ルートノード生成部
１２６　木構造出力部
１２７　メモリアドレス出力部
２０　メモリ検証装置
２００　木構造入力部
２０２　検証箇所入力部
２０３　タグ検証部
２０４　検証結果出力部
２２　メモリ検証装置
２２０　木構造入力部
２２１　メモリアドレス入力部
２２２　検証箇所入力部
２２３　タグ検証部
２２４　検証結果出力部
３０　メモリ更新装置
３００　木構造入力部
３０２　更新箇所入力部
３０３　メモリ検証部
３０４　ナンス更新部
３０５　タグ更新部
３０６　更新結果出力部
３１０　更新判定部
３１２　平文更新部
３２　メモリ更新装置
３２０　木構造入力部
３２１　メモリアドレス入力部
３２２　更新箇所入力部
３２３　メモリ検証部
３２４　カウンタ更新部
３２５　タグ更新部
３２６　更新結果出力部
３３０　更新判定部
３３２　平文更新部
５００　メモリ更新装置
５０２　入力部
５０４　更新判定部
５０６　メモリ検証部
５０８　平文更新部
５１０　タグ更新部

Claims

　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、
　前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、
　を有し、
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する、
　メモリ更新装置。
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものである場合、前記パスにおける前記リーフノードを含む全てのノードのタグを検証する、
　請求項１に記載のメモリ更新装置。
　前記更新判定手段は、前記リーフノードの更新内容が、前記更新対象の平文を当該平文とは独立した固定値で置き換えるものである場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記平文更新手段は、前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　請求項１に記載のメモリ更新装置。
　前記更新判定手段は、前記更新情報に前記固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定する、
　請求項３に記載のメモリ更新装置。
　前記更新判定手段は、前記更新情報に前記更新対象の平文とは独立した固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記平文更新手段は、前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　請求項１に記載のメモリ更新装置。
　前記更新情報における前記固定値は、ユーザによって指定される、
　請求項４又は５に記載のメモリ更新装置。
　前記メモリ検証手段は、前記パスにおける各ノードにおいて、各ノードで固有のナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおけるナンスの値を更新するナンス更新手段をさらに有し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードにおける更新後のナンス及び更新後の平文、又は、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　請求項１に記載のメモリ更新装置。
　前記メモリ検証手段は、前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力し、更新後のナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　請求項７に記載のメモリ更新装置。
　前記入力手段は、前記木構造に割り当てられているメモリアドレスを入力し、
　前記メモリ検証手段は、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおける前記ローカルカウンタの値を更新するカウンタ更新手段をさらに有し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び更新後の平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　請求項１に記載のメモリ更新装置。
　前記メモリ検証手段は、前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記タグ更新手段は、前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力し、前記ナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　請求項９に記載のメモリ更新装置。
　改ざん検知を行いたい平文を入力として、少なくとも初期状態の木構造であってメモリを保護するために構成される木構造を出力するメモリ構造初期化装置と、
　少なくとも改ざんをチェックしたい平文の格納場所と木構造とを入力として、前記格納場所に対応するメモリが改ざんされているか否かを検証するメモリ検証装置と、
　少なくとも更新したい平文の格納場所とその更新内容、及び前記木構造を入力とし、更新後の木構造、又は、改ざんを検知したことを表すエラーメッセージを出力する、メモリ更新装置と、
　を有し、
　前記メモリ更新装置は、
　前記木構造と、木構造において更新されるノードに関する情報である更新情報とを入力する入力手段と、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定する更新判定手段と、
　前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して各ノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するメモリ検証手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新する平文更新手段と、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するタグ更新手段と、
　を有し、
　前記メモリ検証手段は、前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記パスにおける前記リーフノード以外のノードのタグを検証する、
　情報処理システム。
　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力し、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定し、
　前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成する、
　メモリ更新方法。
　前記リーフノードの更新内容が更新前の平文に依存するものである場合、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記パスにおける前記リーフノードを含む全てのノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証する、
　請求項１２に記載のメモリ更新方法。
　前記リーフノードの更新内容が、前記更新対象の平文を当該平文とは独立した固定値で置き換えるものである場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　請求項１２に記載のメモリ更新方法。
　前記更新情報に前記固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定する、
　請求項１４に記載のメモリ更新方法。
　前記更新情報に前記更新対象の平文とは独立した固定値が含まれる場合に、前記リーフノードの更新内容が更新前の平文に依存するものでないと判定し、
　前記リーフノードにおける更新対象の前記平文を前記固定値で置き換えることで、前記平文を更新する、
　請求項１２に記載のメモリ更新方法。
　前記更新情報における前記固定値は、ユーザによって指定される、
　請求項１５又は１６に記載のメモリ更新方法。
　前記パスにおける各ノードにおいて、各ノードで固有のナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおけるナンスの値を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードにおける更新後のナンス及び更新後の平文、又は、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　請求項１２に記載のメモリ更新方法。
　前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、前記ナンス及び前記各ノードの複数の子ノードにおけるナンスの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、更新後のナンス及び前記各ノードの複数の子ノードにおける更新後のナンスの連結をメッセージ認証コードに入力し、更新後のナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　請求項１８に記載のメモリ更新方法。
　前記木構造に割り当てられているメモリアドレスを入力し、
　前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、
　前記検証結果が改ざんの検知がないことを示す場合に、前記パスにおける各ノードにおける前記ローカルカウンタの値を更新し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び更新後の平文、又は、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力することで、更新後のタグを生成する、
　請求項１２に記載のメモリ更新方法。
　前記木構造において、更新対象の暗号文が含まれる前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、各ノードで固有の前記メモリアドレスと各ノードにそれぞれ格納されているローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける前記ローカルカウンタの連結をメッセージ認証コードに入力することで検証に用いられるタグを生成し、前記ナンスと前記暗号文と前記検証に用いられるタグとを認証暗号に入力して、前記平文が改ざんされていないかを検証することにより、前記暗号文が改ざんされていないかを検証して、検証結果を出力し、
　前記検証結果が改ざんの検知がないことを示す場合に、各ノードで固有の前記メモリアドレスと各ノードの更新後のローカルカウンタとの連結をナンスとし、前記ナンス及び前記各ノードの複数の子ノードにおける更新後のローカルカウンタの連結をメッセージ認証コードに入力し、前記ナンス及び更新後の平文を認証暗号に入力することで、更新後の暗号文及び更新後のタグを生成する、
　請求項２０に記載のメモリ更新方法。
　メモリを保護するために構成される木構造と、木構造において更新されるノードに関する情報である更新情報とを入力するステップと、
　前記更新情報を用いて、更新対象の平文が含まれるリーフノードの更新内容が更新前の平文に依存するものであるか否かを判定するステップと、
　前記リーフノードの更新内容が更新前の平文に依存するものでない場合、前記木構造において、前記リーフノードからルートノードへのパスを生成し、前記パスにおける各ノードにおいて、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで検証に用いられるタグを生成して前記リーフノード以外のノードに格納されているタグを検証することによって、各ノードについて改ざんがなされていないかを検証して、検証結果を出力するステップと、
　前記検証結果が改ざんの検知がないことを示す場合に、前記更新情報に基づいて、前記リーフノードにおける更新対象の前記平文を更新するステップと、
　前記検証結果が改ざんの検知がないことを示す場合に、少なくとも各ノードで固有のナンスをメッセージ認証コードに入力することで、更新後のタグを生成するステップと、
　をコンピュータに実行させるプログラムが格納された非一時的なコンピュータ可読媒体。