非法终端估计系统、非法终端估计装置以及通信终端装置

摘要

本发明提供一种估计在中继途中进行了分组篡改或中继拒绝等的妨碍攻击的通信终端装置。本发明的非法终端估计装置(100)通过多跳网络与多个通信终端装置(IDi)连接，估计进行了非法动作的通信终端装置(IDi)，该非法终端估计装置(100)具有：通信终端信息管理部(120)，其对形成网络的通信终端装置(IDi)的识别信息或密钥信息进行管理；发送部(160)，其向通信终端装置(IDi)发送质询信息；接收部(170)，其从通信终端装置(IDi)接收与质询信息对应的应答信息；应答信息验证部(130)，其验证应答信息内包含的认证符；以及非法终端装置估计处理部(140)，其在应答信息不合法的情况下，请求各通信终端装置(IDi)重发接收生成信息，根据接收生成信息估计进行了非法动作的通信终端装置。

说明书

技术领域

本发明涉及非法终端估计系统、非法终端估计装置以及通信终端装置。

背景技术

近年来，提出了由具有无线通信功能的多个传感器设备形成的传感器网络。这里，假定传感器网络是通信终端间的分组收发由1个以上的通信终端装置中继分送的多跳网络(multi-hop network)。

在无线多跳网络中，作为可以应对非法的中继终端装置的非法动作的技术，例如在专利文献1中记载了一种自组织(Ad Hoc)无线网络系统及其非法管理方法，即在对根据来自用户的请求从基站向用户发送的信息进行了篡改或破坏等的非法行为时，该系统估计其地点，而且控制路径建立，以便不建立经由非法地点的路径。

此外，例如在专利文献2中记载了一种方法，该方法为了在无线多跳网络中防止非法分组的投入，使用仅由网络已认证的通信终端知道的第1秘密信息来生成第1分组检查数据，并使用在与分组的目的地终端之间共享的第2秘密信息来生成第2分组检查数据，生成附加有所生成的上述第1分组检查数据和第2分组检查数据的分组，从而防止非法分组的投入。

专利文献1：日本特开2005-286956号公报

专利文献2：日本特许第3749679号公报

然而，形成传感器网络的无线通信终端装置由于一般是重视低成本而开发的，因而不一定能假定安装有高成本的防篡改性的存储器(物理保护密钥信息等的秘密信息的泄漏/篡改的装置)。即，由于攻击者非法获取密钥信息，网络已认证的合法的通信终端装置存在进行非法动作的威胁。这些合法的(识别为合法的)通信终端装置由于是多跳网络的分组中继终端装置，因而可将篡改分组等的非法动作作为已认证的行为来执行。为了使网络正常执行功能，需要检测上述进行非法动作的合法的(识别为合法的)通信终端装置的技术。

在上述现有技术中，没有设想由识别为合法的通信终端装置进行的非法动作。即，没有设想的是，即使附加给分组的检查数据或签名的验证成功，由该检查数据或签名所保证的分组也不一定是合法的。

发明内容

因此，本发明是鉴于上述问题而作成的，本发明的目的在于，提供一种为了从网络中排除在中继途中进行分组的篡改或中继拒绝等的妨碍攻击且被识别为合法的通信终端装置，可估计出进行了非法动作的通信终端装置的新型且改良的非法终端估计系统、非法终端估计装置以及通信终端装置。

为了解决上述课题，根据本发明的一个观点，提供了一种非法终端估计系统，其中，多个通信终端装置和非法终端估计装置通过多跳网络连接，使用非法终端估计装置来估计进行了非法动作的通信终端装置，其特征在于，上述非法终端估计装置具有：通信终端信息管理部，其对形成网络的通信终端装置的识别信息或密钥信息进行管理；生成部，其生成用于估计上述非法动作的质询信息；发送部，其向上述通信终端装置发送上述质询信息；接收部，其从上述通信终端装置接收与上述质询信息对应的应答信息；应答信息验证部，其验证从上述通信终端装置回送的上述应答信息内包含的认证符是否正确；以及非法终端装置估计处理部，其在验证结果是上述应答信息不合法的情况下，请求上述各通信终端装置重发接收生成信息，根据重发的接收生成信息估计进行了非法动作的通信终端装置；上述通信终端装置具有：接收部，其从其它通信终端装置或上述非法终端装置直接或者通过分送中继来接收上述质询信息；认证符生成部，其生成包含上述识别信息和上述密钥信息的认证符；接收生成信息存储部，其保持上述接收生成信息，该上述接收生成信息是在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符而得到的；应答信息生成部，其在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符而生成上述应答信息；以及发送部，其向其它通信终端装置或上述非法终端装置直接或者通过分送中继来发送上述应答信息或上述接收生成信息。

根据上述结构，从非法终端估计装置向通信终端装置发送用于估计非法动作的质询信息，从通信终端装置向非法终端估计装置发送与质询信息对应的应答信息。验证应答信息内包含的认证符是否正确，在验证结果是应答信息不合法的情况下，请求各通信终端装置重发接收生成信息，根据重发的接收生成信息估计进行了非法动作的通信终端装置。因此，在通过多跳网络连接有多个通信终端装置的系统中，可估计进行了非法动作的通信终端装置。

此外，上述进行了非法动作的通信终端装置可以是冒充了真正的通信终端装置的通信终端装置、或者篡改了真正数据的通信终端装置。

此外，为了解决上述课题，根据本发明的另一观点，提供了一种非法终端估计装置，其通过多跳网络与多个通信终端装置连接，估计进行了非法动作的通信终端装置，其特征在于，该非法终端估计装置具有：通信终端信息管理部，其对形成网络的通信终端装置的识别信息或密钥信息进行管理；生成部，其生成用于估计上述非法动作的质询信息；发送部，其向上述通信终端装置发送上述质询信息；接收部，其从上述通信终端装置接收与上述质询信息对应的应答信息；应答信息验证部，其验证从上述通信终端装置回送的上述应答信息内包含的认证符是否正确；以及非法终端装置估计处理部，其在验证结果是上述应答信息不合法的情况下，请求上述各通信终端装置重发接收生成信息，根据重发的接收生成信息估计进行了非法动作的通信终端装置。

根据上述结构，从非法终端估计装置向通信终端装置发送用于估计非法动作的质询信息，从通信终端装置向非法终端估计装置接收与质询信息对应的应答信息。验证应答信息内包含的认证符是否正确，在验证结果是应答信息不合法的情况下，请求各通信终端装置重发接收生成信息，根据重发的接收生成信息估计进行了非法动作的通信终端装置。因此，可估计与非法终端估计装置连接的多个通信终端装置中的进行了非法动作的通信终端装置。

此外，该非法终端估计装置可以还具有生成上述质询信息的质询信息生成部。根据该结构，可向通信终端装置发送由非法终端估计装置生成的质询信息。

此外，上述进行了非法动作的通信终端装置可以是冒充了真正的通信终端装置的通信终端装置、或者篡改了真正的数据的通信终端装置。

此外，为了解决上述课题，根据本发明的另一观点，提供了一种通信终端装置，其通过多跳网络与多个其他通信终端装置和非法终端估计装置连接，其特征在于，该通信终端装置具有：接收部，其从其它通信终端装置或上述非法终端装置直接或者通过分送中继来接收用于估计非法动作的质询信息；认证符生成部，其生成包含自身的识别信息和密钥信息的认证符；接收生成信息存储部，其保持接收生成信息，该接收生成信息是在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符而得到的；应答信息生成部，其在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符而重新生成应答信息；以及发送部，其向其它通信终端装置或上述非法终端装置直接或者通过分送中继来发送上述应答信息或上述接收生成信息。

根据上述结构，从其它通信终端装置或上述非法终端装置直接或者通过分送中继来接收质询信息，生成包含自身的识别信息和密钥信息的认证符，保持在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符而得到的接收生成信息。在从其它通信终端装置接收到的上述应答信息上加上上述通信终端装置自身生成的上述认证符来重新生成应答信息。在非法终端估计装置中的验证结果是应答信息不合法的情况下，可从各通信终端装置向非法终端估计装置重发接收生成信息，可根据所重发的接收生成信息估计进行了非法动作的通信终端装置。因此，可估计进行了非法动作的通信终端装置。

根据本发明，可提供一种能可靠地估计非法的通信终端装置的新型且改良的非法终端估计系统、非法终端估计装置以及通信终端装置。

附图说明

图1是示出本发明的一个实施方式中的非法终端估计装置的内部结构的框图。

图2是示出从通信终端装置向非法终端估计装置回送的应答信息的一例的示意图。

图3是示出接收生成信息的一例的示意图。

图4是示出非法终端估计处理过程的流程图。

图5是上接图4示出非法终端估计处理过程的流程图。

图6是示出本实施方式中的通信终端装置IDi的内部结构的框图。

图7是示出本实施方式的非法终端估计系统的动作的示意图。

图8是示出本实施方式的非法终端估计系统的动作的示意图。

图9是示出本实施方式的非法终端估计系统的动作的示意图。

图10是示出本实施方式的非法终端估计系统的动作的示意图。

具体实施方式

以下，参照附图对本发明的优选实施方式进行详细说明。另外，在本说明书和附图中，对具有实质相同的功能结构的结构要素赋予相同标号而省略重复说明。

在以下说明的实施方式中，具有以下特征，即：形成多跳网络的通信终端装置IDi生成对接收到的质询(challenge)信息的应答(response)信息，把所生成的应答信息分送到非法终端估计装置100，非法终端估计装置100验证上述应答信息是否合法，在验证失败的情况下，判断为在与应答信息的分送相关的通信终端装置IDi中存在进行了非法动作的通信终端装置IDi，非法终端估计装置100请求上述各通信终端装置IDi重发接收信息和生成信息，从而估计进行了非法动作的通信终端装置IDi。

本实施方式涉及一种估计在形成多跳网络的多个通信终端装置IDi中的进行了非法动作的通信终端装置IDi的技术。“进行非法动作”是指例如假设在多跳网络中中继通信信息的通信终端装置IDi篡改中继途中的消息，或者废弃(中继拒绝)中继途中的消息。

图1是示出本发明的一个实施方式中的非法终端估计装置100的内部结构的框图。在图1中，非法终端估计装置100具有：质询信息生成部110、通信终端信息管理部120、应答信息验证部130、非法终端装置估计处理部140、接收生成信息验证部150、发送部160以及接收部170。

质询信息生成部110生成质询信息。将所生成的质询信息提供给发送部160和应答信息验证部130。质询信息可以是例如随机数信息，也可以是想要分送到形成网络的各通信终端装置IDi的消息。

通信终端信息管理部120对由形成网络的各通信终端保持的识别信息和密钥信息进行管理。识别信息假定是形成网络的各通信终端所固有的位串，例如，对各通信终端装置IDi唯一的MAC地址、仅在上述网络内唯一的网络地址等，然而未作特别限定。密钥信息假定是非法终端估计装置100和各通信终端装置IDi一对一地秘密共享的密钥信息。密钥信息可以将用于防止重发攻击的计数信息与密钥信息一起保持。通信终端信息管理部120把自身管理的通信终端装置IDi的识别信息和密钥信息提供给应答信息验证部130和接收生成信息验证部150。

应答信息验证部130使用从通信终端信息管理部120所提供的密钥信息和从质询信息生成部110所提供的质询信息，来验证从非法终端装置估计处理部140所提供的应答信息的认证符。应答信息验证部130在验证结果一致的情况下，把验证结果成功消息回送到非法终端装置估计处理部140，另一方面，在验证结果不一致的情况下，把验证结果失败消息回送到非法终端装置估计处理部140。

接收生成信息验证部150使用从通信终端信息管理部120所提供的该接收生成信息的发送源通信终端装置IDi的密钥信息，来验证从接收部170所提供的接收生成信息内包含的认证符(Gi)，在验证成功的情况下，把该接收生成信息和认证符(Gi)验证成功消息提供给非法终端装置估计处理部140，在验证失败的情况下，把认证符(Gi)验证失败消息提供给非法终端装置估计处理部140。并且，接收生成信息验证部150在规定时间期间未能被提供认证符(Gi)的验证成功的接收生成信息的情况下，把无回送消息提供给非法终端装置估计处理部140。

发送部160把从质询信息生成部110所提供的质询信息发送到网络的通信终端装置IDi。并且，把从非法终端装置估计处理部140所提供的接收生成信息重发请求消息发送到通信终端装置IDi。

接收部170把从通信终端接收到的应答信息提供给非法终端估计装置100。并且，把从通信终端接收到的接收生成信息提供给接收生成信息验证部150。

图2示出从通信终端装置IDi向非法终端估计装置100回送的应答信息的一例。如图2所示，应答信息中包含有分送中继了应答信息的所有通信终端装置ID1、ID2、ID3、…的识别符。在图2中，认证符(F1、G1)是利用由通信终端装置ID1和非法终端估计装置100秘密共享的密钥信息而生成的信息。用于验证从非法终端装置起第i跳的通信终端装置IDi生成的接收生成信息的认证符Fi由以下的式1表示。

Fi＝F(KIDi，…，IDi，M)    …(式1)

这里，函数F(·)是把以下作为输入的值，即：由非法终端估计装置100和通信终端装置IDi秘密共享的密钥(KIDi)、与应答信息的分送中继相关的通信终端装置IDi的识别符(…，IDi)、以及质询信息(M)，函数F(·)例如设想了针对由应答信息的分送中继相关的通信终端装置IDi的识别符和质询信息构成的位串“…‖IDi‖M”(‖表示位连结)利用密钥信息KIDi而生成的MAC(Message Authentication Code：消息认证代码)或HMAC(keyed-Hashing for Message Authentication：消息认证用的密钥散列)。用于验证通信终端装置的质询信息的接收的认证符Gi由以下的式2表示，其中该质询信息是由从非法终端装置起第i跳的通信终端装置IDi生成的。

Gi＝G(KIDi，…，ID(i+1)，F(i+1)，G(i+1)，IDi，Fi)

                                            …(式2)

这里，函数G(·)是把以下作为输入的值，即：由非法终端估计装置100和通信终端装置IDi秘密共享的密钥(KIDi)、应答信息到通信终端装置Idi之前的分送中继相关的通信终端装置的识别符(…)(有时不存在)、通信终端装置(i+1)(在从非法终端装置起第i+1跳的通信终端装置中，通信终端装置i接受中继请求的装置)的识别符(ID(i+1))、从通信终端装置(i+1)接收到的认证符(F(i+1)，G(i+1))(有时不存在)、通信终端装置IDi的识别符(IDi)、以及通信终端装置IDi所生成的认证符(Fi)，函数G(·)例如设想了针对由上述密钥KIDi以外的信息构成的位串“…‖ID(i+1)‖F(i+1)‖G(i+1)‖IDi‖Fi”(‖表示位连结)利用密钥信息KIDi而生成的MAC(MessageAuthentication Code：消息认证代码)或HMAC(keyed-Hashing for MessageAuthentication：消息认证用的密钥散列)。

应答信息验证部130从非法终端装置估计处理部140被提供应答信息和识别符(Gi)的验证请求，从而使用从质询信息生成部110所提供的质询信息M和从通信终端信息管理部120所提供的该通信终端装置IDi的密钥信息，来验证认证符(Gi)是否正确，把验证结果回送到非法终端装置估计处理部140。并且，应答信息验证部130从非法终端装置估计处理部140被提供应答信息和认证符(Fi)的验证请求，从而使用从质询信息生成部110所提供的质询信息M和从通信终端信息管理部120所提供的该通信终端装置IDi的密钥信息，来验证认证符(Fi)是否正确，把验证结果回送到非法终端装置估计处理部140。

非法终端装置估计处理部140估计在网络内存在的进行了非法动作的通信终端装置IDi。非法终端装置估计处理部140为了验证附加给从接收部170所提供的应答信息的认证符(Gi)，向应答信息验证部130提供上述应答信息和认证符(Gi)的验证请求。然后，从应答信息验证部130回送验证结果成功消息，从而将与上述应答信息的分送相关的通信终端装置IDi(应答信息内所包含的识别符所表示的所有通信终端装置IDi)设为合法的通信终端装置。然后，知道质询信息M正确地到达上述通信终端装置。

另一方面，通过被回送验证结果失败消息，来判断为有在与上述应答信息的分送相关的通信终端装置IDi(应答信息内所包含的识别符所表示的所有通信终端装置IDi)内隐藏非法的通信终端装置的可能性，进行非法终端估计处理。非法终端估计处理针对被判断为有隐藏上述非法的通信终端装置的可能性的路径上存在的通信终端装置IDi，从自非法终端估计装置100起的跳数少的通信终端装置IDi开始依次(将应答信息最后中继分送到非法终端估计装置100的通信终端装置ID1→ID2→ID3→…)进行。

以下，参照图4和图5的流程图，对非法终端估计处理过程进行说明。首先，为了验证应答信息的发送源是否真的是通信终端装置ID1，向应答信息验证部130提供应答信息和认证符(F1)的验证请求(图4的步骤S2)。然后，从应答信息验证部130被回送验证失败消息，从而检测出有以下2种非法的可能性，并结束非法终端装置估计处理(步骤S4)。

·应答信息的发送源终端不是通信终端装置ID1(进行了针对通信终端装置ID1的冒充攻击)。

·通信终端装置ID1进行了非法动作。

另一方面，通过被回送验证成功消息，非法终端装置估计处理部140将应答信息的发送源终端认证为是通信终端装置ID1。并且，知道质询信息M确实到达了通信终端ID1的情况(步骤S3)。接着，非法终端装置估计处理部140为了请求通信终端装置ID1分送接收生成信息，生成接收生成信息重发请求消息，提供给发送部160(步骤S5)。然后，等待从接收生成信息验证部150提供接收生成信息(步骤S6)。接收生成信息验证部150接受接收生成信息Gi并验证Gi(步骤S7)。

这里，图3示出接收生成信息的一例。在图3中，通信终端装置的识别符(…，ID3，ID2)和认证符(F2，G2)是从通信终端装置ID2接收的应答信息。通信终端装置ID1的识别符(ID1)和认证符(F1，G1)是由于通信终端装置ID1中继应答信息而新产生的信息。非法终端装置估计处理部140从接收生成信息验证部150被提供认证符(G1)验证失败消息，从而检测出有以下非法的可能性(步骤S9)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1存在以下嫌疑：由于害怕被检测为进行了非法动作，而回送认证符验证不成功的接收生成信息)。

·接收生成信息的发送源终端不是通信终端装置ID1(进行了针对通信终端装置ID1的冒充攻击)。

然后，被从接收生成信息验证部150提供无回送消息，从而检测出有以下非法的可能性，结束非法终端装置估计处理(步骤S8)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1存在以下嫌疑：由于害怕被检测为进行了非法动作，而废弃了接收生成信息的重发请求)。

另一方面，非法终端装置估计处理部140从接收生成信息验证部150被提供接收生成信息和认证符(G1)验证成功消息，从而进行接收生成信息的验证处理(步骤S10)。在接收生成信息的验证处理中，非法终端估计装置100验证已从通信终端装置ID1接收到的应答信息内所包含的信息(…，ID3，ID2，ID1，F1，G1)是否与接收生成信息内包含的信息一致(步骤S11)。在验证失败的情况下，检测出有以下非法的可能性，结束非法终端装置估计处理(步骤S13)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1有在中继时篡改了应答信息的嫌疑)。

另一方面，在验证成功的情况下，知道在接收生成信息内包含的信息中的“从通信终端装置ID2接收到的应答信息”有错误(步骤S12)。接着，针对随后中继分送了应答信息的通信终端装置ID2也进行非法终端估计处理(图5的步骤S14)。首先，为了验证通信终端装置ID1的接收生成信息内包含的“从通信终端装置ID2接收到的应答信息”的发送源是否真的是通信终端装置ID2，向应答信息验证部130提供上述应答信息和认证符(F2)的验证请求(步骤S15)。然后，从应答信息验证部130回送验证失败消息，从而检测出有以下3种非法的可能性，并结束非法终端装置估计处理(步骤S17)。

·应答信息的发送源终端不是通信终端装置ID2(进行了针对通信终端装置ID2的冒充攻击)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1有篡改并中继分送了质询信息M的嫌疑)。

·通信终端装置ID2进行了非法动作。

另一方面，通过被回送验证结果成功消息，非法终端装置估计处理部140认证为应答信息的发送源终端是通信终端装置ID2。并且，知道质询信息M确实到达了通信终端ID2的情况(步骤S16)。接着，非法终端装置估计处理部140为了请求通信终端装置ID2分送接收生成信息，生成接收生成信息重发请求消息，并提供给发送部160(步骤S18)。然后，等待从接收生成信息验证部150提供接收生成信息(步骤S19)。接收生成信息验证部150接受接收生成信息Gi，并验证Gi(步骤S20)。非法终端装置估计处理部140从接收生成信息验证部150被提供认证符(G2)验证结果失败消息，从而检测出有以下非法的可能性(步骤S22)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1存在以下嫌疑：由于害怕被检测为进行了非法动作，而篡改并中继分送了来自通信终端装置ID2的接收生成信息)。

·通信终端装置ID2进行了非法动作。

·接收生成信息的发送源终端不是通信终端装置ID2(进行了针对通信终端装置ID2的冒充攻击)。

然后，从接收生成信息验证部150被提供无回送消息，从而检测出有以下非法的可能性，并结束非法终端装置估计处理(步骤S21)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1存在以下嫌疑：由于害怕被检测为进行了非法动作，而拒绝了接收生成信息重发请求消息或接收生成信息的中继)。

·通信终端装置ID2进行了非法动作(通信终端装置ID2存在以下嫌疑：由于害怕被检测为进行了非法动作，而废弃了接收生成信息重发请求)。

另一方面，非法终端装置估计处理部140从接收生成信息验证部1 50被提供接收生成信息和认证符(G2)验证成功消息，从而进行接收生成信息的验证处理(步骤S23)。在接收生成信息的验证处理中，非法终端装置100验证已从通信终端装置ID1接收到的、从通信终端装置ID2所接收的应答信息内所包含的信息(…，ID3，ID2，F2，G2)与接收生成信息内包含的信息是否一致(步骤S24)。在验证失败的情况下，检测出有以下非法的可能性，并结束非法终端装置估计处理(步骤S26)。

·通信终端装置ID1进行了非法动作(通信终端装置ID1有在中继时篡改了应答信息的嫌疑)。

·通信终端装置ID2进行了非法动作(通信终端装置ID2有在中继时篡改了应答信息的嫌疑)。

另一方面，在验证成功的情况下，知道接收生成信息内包含的信息中的“从通信终端装置ID3接收到的应答信息”有错误(步骤S25)。接着，针对随后中继分送了应答信息的通信终端装置ID3也进行非法终端估计处理(步骤S14)。重复以上的非法终端估计处理。

如上所述，根据本实施方式，通过验证Fi来确认发送源终端。并且，通过验证Gi来确认是否篡改了接收生成信息。如图4和图5的流程图所示，Fi、Gi的验证是从接近非法终端估计装置100侧的通信终端装置IDi开始依次进行的。

图6是示出本实施方式中的通信终端装置IDi的内部结构的框图。在图6中，通信终端装置IDi具有：质询信息存储部210、通信终端信息存储部220、应答信息存储部230、接收证明信息生成部240、认证符生成部250、接收生成信息存储部260、应答信息生成部270、发送部280以及接收部290。

质询信息存储部210存储从接收部240所提供的质询信息M。质询信息存储部210把保持的质询信息M提供给接收证明信息生成部240。

通信终端信息存储部220保持自身的识别符(IDi)和密钥信息(KIDi)。通信终端信息存储部220把保持的识别符和密钥信息提供给接收证明信息生成部240和认证符生成部250。

应答信息存储部230从接收部290被提供其它通信终端装置IDi的应答信息(…，ID(i+1)，F(i+1)，G(i+1))，从而把该应答信息内包含的与应答信息的分送中继相关的所有通信终端的识别符(…，ID(i+1))提供给接收证明信息生成部240，并把所提供的应答信息(…，ID(i+1)，F(i+1)，G(i+1))提供给认证符生成部250。

接收证明信息生成部240根据从质询信息生成部210提供的质询信息M、从通信终端信息存储部220提供的自身的识别符(IDi)和密钥信息(KIDi)、以及从应答信息存储部230提供的识别符(…，ID(i+1))，生成认证符(Fi)(参照式1)。然而，在自身成为触发而开始应答信息的回送的情况下，上述识别符(…，ID(i+1))可以不从应答信息存储部提供。接收证明信息生成部240把所生成的认证符(Fi)提供给认证符生成部250。

认证符生成部250根据从应答信息存储部230提供的应答信息(…，ID(i+1)，F(i+1)，G(i+1))、从通信终端信息存储部220提供的自身的识别符(IDi)和密钥信息(KIDi)、以及从接收证明信息生成部240提供的认证符(Fi)，生成认证符(Gi)(参照式2)。认证符生成部250把上述应答信息(…，ID(i+1)，F(i+1)，G(i+1))、自身的识别符(IDi)、认证符(Fi)以及所生成的认证符(Gi)提供给接收生成信息存储部260。然而，在自身成为触发而开始应答信息的回送的情况下，上述应答信息(…，ID(i+1)，F(i+1)，G(i+1))可以不从应答信息存储部230提供，也可以不提供给接收生成信息存储部260。

接收生成信息存储部260保持从认证符生成部250所提供的应答信息(…，ID(i+1)，F(i+1)，G(i+1))、自身的识别符(IDi)、认证符(Fi)以及认证符(Gi)。然而，在自身成为触发而开始应答信息的回送的情况下，上述应答信息(…，ID(i+1)，F(i+1)，G(i+1))可以不从认证符生成部250提供。接收生成信息存储部260把上述所提供的信息中的应答信息的识别符(…，ID(i+1))、自身的识别符(IDi)、认证符(Fi)以及认证符(Gi)提供给应答信息生成部270。并且，接收生成信息存储部260从接收部290被提供接收生成信息重发请求消息，从而向发送部提供所保持的接收生成信息。

应答信息生成部270从接收生成信息存储部260被提供应答信息的识别符(…，ID(i+1))、自身的识别符(IDi)、认证符(Fi)以及认证符(Gi)，从而生成应答信息(…，ID(i+1)，IDi，Fi，Gi)，把所生成的应答信息提供给发送部280。然而，在自身成为触发而开始应答信息的回送的情况下，上述应答信息(…，ID(i+1)，F(i+1)，G(i+1))可以不从接收生成信息存储部260提供。

发送部280把从应答信息生成部270提供的应答信息分送(或者请求分送)到非法终端估计装置100。并且，把从接收生成信息存储部260提供的接收生成信息分送(或者请求分送)到非法终端估计装置100。

接收部290把所提供的质询信息M提供给质询信息存储部210。并且，把接受到其它通信终端装置ID(i+1)的分送请求的应答信息提供给应答信息存储部230。并且，把从非法终端估计装置100提供的接收生成信息重发请求消息提供给接收生成信息存储部。

下面，参照图7至图10对本实施方式的非法终端估计系统的动作进行说明。这里，本实施方式的密钥分送系统的动作大致由4阶段的动作(S101，S102，S103，S104)构成。

“第1阶段S101(质询信息M的分送)”

第1阶段S101如图7所示，按以下过程执行。

·非法终端估计装置100通过质询信息生成部110生成质询信息M，通过发送部160分送到通信终端装置IDi。

·通信终端装置IDi通过接收部290接收质询信息M，保持在质询信息存储部210内。

“第2阶段S102(应答信息的回送)”

第2阶段S102如图8所示，按以下过程执行。

·通信终端装置ID3在接收证明信息生成部240中生成认证符F3。而且，在认证符生成部250中生成认证符G3。通信终端装置ID3把所生成的信息(ID3，F3，G3)保持在接收生成信息存储部260内，然后在应答信息生成部270中生成应答信息(ID3，F3，G3)，通过发送部280发送到非法终端估计装置100。

·通信终端装置ID3所发送的应答信息(ID3，F3，G3)被提供给通信终端装置ID2的应答信息存储部230。通信终端装置ID2在接收证明信息生成部240中生成认证符F2。而且，在认证符生成部250中生成认证符G2。通信终端装置ID2把从通信终端装置ID3接收到的应答信息和所生成的信息作为接收生成信息(ID3，F3，G3，ID2，F2，G2)保持在接收生成信息存储部260内，然后在应答信息生成部270中生成应答信息(ID3，ID2，F2，G2)，通过发送部280发送到非法终端估计装置100。

·通信终端装置ID2所发送的应答信息(ID3，ID2，F2，G2)被提供给通信终端装置ID1的应答信息存储部230。通信终端装置ID1在接收证明信息生成部240中生成认证符F1。而且，在认证符生成部250中生成认证符G1。通信终端装置ID1把从通信终端装置ID2接收到的应答信息和所生成的信息作为接收生成信息(ID3，ID2，F2，G2，ID1，F1，G1)保持在接收生成信息存储部260内，接着在应答信息生成部270中生成应答信息(ID3，ID2，ID1，F1，G1)，通过发送部280发送到非法终端估计装置100。

“第3阶段S103(应答信息的验证)”

第3阶段S103如图9所示，按以下过程执行。

·非法终端估计装置100接收应答信息，在应答信息验证部130中验证应答信息内所包含的认证符G1。在验证成功的情况下，知道质询信息M已正确地到达应答信息内所包含的识别符表示的通信终端装置IDi。在验证失败的情况下，开始非法终端装置估计处理(接S104)。

“第4阶段S104(非法终端估计处理的执行)”

第4阶段S104如图10所示，按以下过程执行。

·非法终端估计装置100在非法终端装置估计处理部140中开始非法终端装置估计处理。这里，按照图4、图5所示的流程图来估计非法终端。

·在应答信息验证部130中进行应答信息的发送源终端的验证(认证符Fi的验证)。

·在接收生成信息验证部150中进行从通信终端接收到的接收生成信息的篡改检查(认证符Gi的验证)。

如上所述，Fi、Gi的验证是从接近非法终端估计装置100侧的通信终端装置IDi开始依次进行的。

根据本实施方式，形成多跳网络的通信终端装置IDi生成对接收到的质询信息的应答信息，把所生成的应答信息分送到非法终端估计装置100，非法终端估计装置100验证上述应答信息是否合法，在验证失败的情况下，判断为在与应答信息的分送相关的通信终端装置IDi中存在进行了非法动作的通信终端装置IDi，非法终端估计装置100请求上述各通信终端装置IDi重发接收信息和生成信息，从而可估计进行了非法动作的通信终端装置IDi。

在图7至图10所示的动作说明图中，把通信终端装置ID2作为非法终端装置，使用以下A～H的8种模式来例示非法终端估计装置100中的非法终端估计处理的结果。在以下模式A～H中，使各步骤与图4和图5的流程图的各步骤相对应来说明。

(模式A)

通信终端装置ID2把质询信息M篡改为M’而向通信终端装置ID3进行了中继分送的情况

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(步骤S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(步骤S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(步骤S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3、ID2、ID1、F1、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(步骤S10→S11→S12→S14→)

(f)非法终端估计装置100在F2的验证成功的情况下，知道应答信息是经由ID2到来的。并且，知道正确的质询信息M到达了ID2。(步骤S15→S16→)

(g)非法终端估计装置100从通信终端装置ID2取得接收生成信息。(步骤S18→S19→)

(h)非法终端估计装置100通过验证接收生成信息的G2’，来确认为接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100确认从通信终端装置ID1接收到的接收生成信息内所包含的、从通信终端装置ID2接收到的ID3、ID2、F2、G2’与同样从通信终端装置ID2接收到的接收生成信息内所包含的信息是否一致。(步骤S23→S24→S25→S14→)

(j)非法终端估计装置100在F3的验证失败的情况下，估计有以下3种可能性。(步骤S15→S17→)

·通信终端装置ID3进行了非法动作。

·通信终端装置ID2进行了非法动作。

·其它装置冒充通信终端装置ID3回送了应答信息。

(模式B)

通信终端装置ID2篡改了从通信终端装置ID3接收到的应答信息内包含的通信终端装置ID3的识别符的情况(ID3→ID3’)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1’的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(步骤S1→S2→S3→)

(c)非法终端估计装置1 00从通信终端装置ID1取得接收生成信息。(步骤S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(步骤S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3’、ID2、ID1、F1’、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(步骤S10→S11→S12→S14)

(f)非法终端估计装置100在F2’的验证成功的情况下，知道应答信息是经由ID2到来的。并且，知道正确的质询信息M到达了ID2。(步骤S15→S16→)

(g)非法终端估计装置100从通信终端装置ID2取得接收生成信息。(步骤S18→S19→)

(发送了作为接收生成信息的篡改前的认证符ID3的情况)：

(h)非法终端估计装置100通过验证接收生成信息的G2’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100检测出从通信终端装置ID1接收到的接收生成信息内所包含的视为从通信终端装置ID2接收到的应答信息内包含的识别符ID3与同样从通信终端装置ID2接收到的接收生成信息内所包含的识别符ID3’不一致，从而估计有以下可能性。(步骤S23→S24→S26)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

(作为接收生成信息发送了篡改后的接收生成信息ID3’的情况)：

(j)非法终端估计装置100通过验证接收生成信息的G2’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(k)非法终端估计装置100确认从通信终端装置ID1所接收的接收生成信息内包含的从通信终端装置ID2接收到的ID3’、ID2、F2’、G2’与从通信终端装置ID2接收到的接收生成信息内所包含的信息是否一致。(步骤S23→S24→S25→S14→)

(l)非法终端估计装置100在F3’的验证失败的情况下，估计有以下3种可能性。(步骤S15→S17)

·通信终端装置ID3进行了非法动作。

·通信终端装置ID2进行了非法动作。

·其它装置冒充通信终端装置ID3回送了应答信息。

(模式C)

通信终端装置ID2篡改了从通信终端装置ID3接收到的应答信息内所包含的认证符F3的情况(F3→F3’)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(步骤S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(步骤S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(步骤S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3、ID2、ID1、F1、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(步骤S10→S11→S12→S14→)

(f)非法终端估计装置100在F2的验证成功的情况下，知道应答信息是经由ID2到来的。并且，知道正确的质询信息M到达了ID2。(步骤S15→S16→)

(g)非法终端估计装置100从通信终端装置ID2取得接收生成信息。(步骤S18→S19→)

(作为接收生成信息发送了篡改前的认证符F3的情况)：

(将接收生成信息的认证符G2’重新生成为G2来发送的情况)：

(h)非法终端估计装置100在接收生成信息的G2的验证成功的情况下，确认为接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100检测出从通信终端装置ID1接收到的接收生成信息内所包含的、从通信终端装置ID2接收到的应答信息内所包含的认证符G2’与从通信终端装置ID2接收到的接收生成信息内所包含的认证符G2不一致，从而估计有以下可能性。(步骤S23→S24→S26→)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

(发送了接收生成信息的认证符G2’的情况)：

(j)非法终端估计装置100在接收生成信息的G2’的验证失败的情况下，估计有以下可能性。(步骤S20→S22→)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了接收生成信息。

(作为接收生成信息发送了篡改后的接收生成信息F3’的情况)：

(h)非法终端估计装置100通过验证接收生成信息的G2’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100确认从通信终端装置ID1接收到的接收生成信息内所包含的、从通信终端装置ID2接收到的ID3、ID2、F2、G2’与从通信终端装置ID2接收到的接收生成信息内所包含的信息是否一致。(步骤S23→S24→S25→S14→)

(j)非法终端估计装置100在F3’的验证失败的情况下，估计有以下可能性。(步骤S15→S17)

·通信终端装置ID3进行了非法动作。

·通信终端装置ID2进行了非法动作。

·其它装置冒充通信终端装置ID3回送了应答信息。

(模式D)

通信终端装置ID2篡改了从通信终端装置ID3接收到的应答信息内所包含的认证符G3的情况(G3→G3’)

与模式A的(a)～(f)相同

(g)非法终端估计装置100从通信终端装置ID2取得接收生成信息。(步骤S18→S19→)

(在(g)中通信终端装置ID2作为接收生成信息发送了篡改后的认证符G3’的情况)：

(h)非法终端估计装置100通过验证接收生成信息的G2’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100确认从通信终端装置ID1接收到的接收生成信息内所包含的ID3、ID2、F2、G2’与从通信终端装置ID2接收到的接收生成信息内所包含的信息是否一致。(步骤S23→S24→S25→S14→)

(j)非法终端估计装置100在F3的验证成功的情况下，知道应答信息是经由ID3到来的。并且，知道正确的质询信息M到达了ID3。(步骤S15→S16→)

(k)非法终端估计装置100从通信终端装置ID3取得接收生成信息。(步骤S18→S19→)

(l)非法终端估计装置100通过验证接收生成信息的G3，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID3发送的。(步骤S20→)

(m)非法终端估计装置100检测出从通信终端装置ID2接收到的接收生成信息内所包含的G3’与从通信终端装置ID3接收到的接收生成信息内所包含的G3不一致，从而估计有以下可能性。(步骤S23→S24→S26)

·通信终端装置ID3进行了非法动作。

·通信终端装置ID2进行了非法动作。

(在(g)中通信终端装置ID2作为接收生成信息发送了篡改前的认证符G3的情况)：

(h)非法终端估计装置100在接收生成信息的G2’的验证失败的情况下，估计有以下可能性。(步骤S20→S22→)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了接收生成信息。

(模式E)

通信终端装置ID2伪造了自身的识别符的情况(ID2→ID2’)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1’的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(步骤S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认  接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3、ID2’、ID1、F1’、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(S10→S11→S12→S14→)

(f)非法终端估计装置100在F2’的验证失败的情况下，估计有以下可能性。(S15→S17)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了应答信息。

(模式F)

通信终端装置ID2未附加合法的认证符F2的情况(F2→F2’)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3、ID2、ID1、F1、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(S10→S11→S12→S14→)

(f)非法终端估计装置100在F2’的验证失败的情况下，估计有以下可能性。(S15→S17→)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了应答信息。

(模式G)

通信终端装置ID2未附加合法的认证符G2的情况(G2→G2’)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID3、ID2、ID1、F1、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(S10→S11→S12→S14→)

(f)非法终端估计装置100在F2的验证成功的情况下，知道应答信息是经由ID2到来的。并且，知道正确的质询信息M到达了ID2。(S15→S16→)

(g)非法终端估计装置100从通信终端装置ID2取得接收生成信息。(S18→S19→)

(作为接收生成信息发送了篡改前的认证符G2的情况)：

(h)非法终端估计装置100在接收生成信息的G2的验证成功的情况下，确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID2发送的。(步骤S20→)

(i)非法终端估计装置100检测出从通信终端装置ID1接收到的接收生成信息内包含的、视为从通信终端装置ID2接收到的应答信息内所包含的认证符G2’与从通信终端装置ID2接收到的接收生成信息内所包含的认证符G2不一致，从而估计有以下可能性。(步骤S23→S24→S26)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

(作为接收生成信息发送了篡改后的认证符G2’的情况)：

(h)非法终端估计装置100在接收生成信息的G2’的验证失败的情况下，估计有以下可能性。(步骤S20→S22)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了接收生成信息。

(模式H)

通信终端装置ID2删除了分送中继了应答信息的通信终端装置的识别符的情况(从应答信息中删除ID3)

(a)非法终端估计装置100在G1’的验证失败的情况下，开始非法终端估计处理。

(b)非法终端估计装置100在F1’的验证成功的情况下，知道应答信息是经由ID1到来的。并且，知道正确的质询信息M到达了ID1。(步骤S1→S2→S3→)

(c)非法终端估计装置100从通信终端装置ID1取得接收生成信息。(步骤S5→S6→)

(d)非法终端估计装置100通过验证接收生成信息的G1’，来确认接收生成信息在中继途中未被篡改，并是从通信终端装置ID1发送的。(步骤S7→)

(e)非法终端估计装置100确认从通信终端装置ID1接收到的应答信息ID2、ID1、F1’、G1’与同样从通信终端装置ID1接收到的接收生成信息内所包含的信息是否一致。(步骤S10→S11→S12→S14→)

(f)非法终端估计装置100在F2的验证失败的情况下，估计有以下可能性。(步骤S15→S17)

·通信终端装置ID2进行了非法动作。

·通信终端装置ID1进行了非法动作。

·其它装置冒充通信终端装置ID2回送了应答信息。

如以上说明那样，根据本实施方式，可以在识别为合法的通信终端装置进行了非法动作时，估计出进行了非法动作的通信终端装置是哪个装置。因此，由于攻击者非法获得密钥信息而在已由网络认证的合法的通信终端装置中存在进行非法动作的威胁的情况下，可估计这些进行了非法动作的通信终端装置。由此，例如，可进行从网络断开被估计为非法的通信终端装置的通信终端装置的处理。

另一方面，作为本发明的另一效果，非法终端估计装置100在应答信息的验证成功的情况下，知道质询信息M正确地到达了与应答信息的分送中继相关的所有通信终端装置(应答信息内包含的识别符所表示的通信终端装置)。例如，通过设定想要正确地到达网络内的通信终端装置的重要消息作为质询信息，可确认出该重要消息是否可靠地到达了通信终端装置。

以上，参照附图对本发明的优选实施方式作了说明，然而本发明当然不限于上述示例。显然，只要是本领域技术人员，就可以在权利要求所述的范畴内想到各种变更例或修正例，应理解的是，该各种变更例或修正例当然也属于本发明的技术范围内。

在上述各实施方式的说明中，提到了各种变形实施方式，进一步可列举出以下例示的变形实施方式。

例如，可以针对应答信息的验证失败的多个路径，分别进行非法终端装置估计处理，根据该估计结果的统计信息来估计非法终端装置。

并且，当非法终端估计装置100完全把握了分送中继了应答信息的路径时，应答信息可以不一定包含与该应答信息的分送相关的通信终端装置IDi的识别符。

非法终端估计装置100可以不分送质询信息，而由其它装置来分送质询信息。非法终端估计装置100只要能使用另外的手段安全获得所分送的质询信息即可。

对多跳网络结构未作特别限定。可以是树型网络，也可以是网(mesh)型网络。

分送中继应答信息的路径不作特别限定。可以遵照通信终端装置IDi所保持的路由表，也可以随机决定。并且，非法终端估计装置100可以使用任何方法来指定。可以是环状，也可以重复任意节点。并且，应答信息可以从任意的通信终端装置IDi通过多个路径来回送。