CN102369687B

CN102369687B - 密码系统、密码通信方法、加密装置、密钥生成装置、解密装置、内容服务器装置、程序、存储介质

Info

Publication number: CN102369687B
Application number: CN201080015544.5A
Authority: CN
Inventors: 竹内格; 小林铁太郎; 知加良盛
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2009-04-24
Filing date: 2010-04-23
Publication date: 2014-09-17
Anticipated expiration: 2030-04-23
Also published as: CN102369687A; EP2658164A3; KR101351789B1; US20120027210A1; ES2516390T3; ES2445535T3; EP2658165A3; JPWO2010123122A1; EP2658164B1; US8964982B2; EP2658164A2; WO2010123122A1; EP2424156B1; EP2658165A2; EP2658165B1; JP5253567B2; KR20110134900A; EP2424156A4; EP2424156A1

Abstract

本发明提供可灵活应用的基于谓词密码的密码通信技术。预先决定变换规则信息对，所述变换规则信息对是规定了用于将属性指定信息变换为在谓词密码算法中使用的属性信息的变换规则的属性用变换规则信息、以及规定了用于将谓词指定信息变换为在谓词密码算法中使用的谓词信息的变换规则的谓词用变换规则信息的对。利用在该变换规则信息对中包含的一个变换规则信息，从输入信息得到第1属性信息或第1谓词信息。该信息被用于加密处理。在解密处理中，使用解密密钥，进行密码信息的解密处理，所述解密密钥利用第2属性信息或第2谓词信息而生成，所述第2属性信息或第2谓词信息利用另一个变换规则信息从使用者信息得到。

Description

密码系统、密码通信方法、加密装置、密钥生成装置、解密装置、内容服务器装置、程序、存储介质

技术领域

本发明涉及密码通信技术，更详细地说，涉及基于谓词密码的密码通信技术。

背景技术

迄今为止，作为密码技术，例如已知有公共密钥密码、公开密钥密码等。

公共密钥密码是消息的发送者利用公共密钥对消息进行加密而求出加密消息，接收者与发送者使用相同的公共密钥，对加密消息进行解密从而得到消息的方式。因此，需要在发送者与接收者之间安全地持有公共密钥的程序。

公开密钥密码是(1)接收者准备唯一的公开密钥和与其对应的唯一的秘密密钥，(2)发送者利用接收者的公开密钥对消息进行加密从而求出加密消息，(3)接收者利用该秘密密钥对加密消息进行解密，从而得到消息的方式。因此，发送者在对消息加密之前需要得到接收者的公开密钥。即，若接收者不生成公开密钥则不能加密。

此外，近年来，提出了谓词密码。谓词密码是在发送者加密过程中对加密消息编入某信息X，具有与该信息X满足特定的关系的信息Y的接收者能够进行加密消息的解密、或者无需知道消息就能够得到有关消息的信息的方式。发送者在加密时，没必要一定知道接收者所持有的信息Y。此外，发送者也没必要一定在加密之前确定接收者。发送者能够自由、主动地，持有主导权地决定信息X。理论上，信息X表示为属性I(变量)，信息Y表示为谓词f(命题函数、布尔函数)。在解密时，信息X与信息Y应满足的特定的函数例如是f(I)＝真

现有技术

非专利文献1：NTT情報流通プラツトフォ一ム研究所情報セキュリティプロジェクト、“NTTの暗号要素技術”、因特网URL：http://ifo.isl.ntt.co.jp/crypt/>[平成21年4月14日检索]

非专利文献2：岡本龍明、山本博資著、「シリ一ズ/情報科学の数学現代暗号」、第3版産業図書株式会社、2000年

非专利文献3：J.Katz，A.Sahai and B.Waters，“Predicate Encryption Supporting Disjsjunction，Polyno ial Equations，and Inner Products”，EUROCRYPT 2008，146-162.

发明内容

发明要解决的课题

本发明的目的在于，提供可灵活运用的基于谓词密码的密码通信技术。

用于解决课题的方法

第1观点的本发明的概要如下。

利用谓词密码的密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置。

然后，对各密钥生成装置预先决定秘密密钥以及与该秘密密钥对应的公开密钥。

此外，预先决定一个或多个变换规则信息对，所述变换规则信息对是规定了用于将指定属性的信息(以下，称为属性指定信息)变换为在谓词密码算法中使用的属性信息的变换规则的信息(以下，称为属性用变换规则信息)、以及规定了用于将指定谓词的信息(以下，称为谓词指定信息)变换为在该谓词密码算法中使用的谓词信息的变换规则的信息(以下，称为谓词用变换规则信息)的对。

此外，预先决定用于确定是属性用变换规则信息与谓词用变换规则信息中的哪一个的策略信息。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从该输入信息中得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用第1属性信息或第1谓词信息、以及密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥以及与该公共密钥或在该公共密钥的生成中所使用的信息对应的密码信息。

密钥生成装置进行：第2谓词逻辑信息取得处理，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

解密装置利用解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

或者，第1观点的本发明的概要如下。

此外，预先决定用于确定属性用变换规则信息与谓词用变换规则信息中的哪一个的策略信息。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息中得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用述第1属性信息或第1谓词信息、以及密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥以及与该公共密钥或在该公共密钥的生成中所使用的信息对应的密码信息。

解密装置进行：第2谓词逻辑信息取得处理，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及利用从密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

密钥生成装置进行密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

或者，第1观点的本发明的概要如下。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用第1属性信息或上述第1谓词信息、以及密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息。

密钥生成装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及密钥生成处理，利用第2属性信息或第2谓词信息，以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

解密装置利用上述解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

或者，第1观点的本发明的概要如下。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用第1属性信息或第1谓词信息、以及密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息。

解密装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及利用从上述密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

密钥生成装置进行密钥生成处理，利用第2属性信息或第2谓词信息、该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

第2观点的本发明的概要如下。

在至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统中，对各密钥生成装置预先决定秘密密钥以及与该秘密密钥对应的公开密钥，预先决定一个或多个变换规则信息对，所述变换规则信息对是规定了用于将指定属性的信息(以下，称为属性指定信息)变换为在谓词密码算法中使用的属性信息的变换规则的信息(以下，称为属性用变换规则信息)、以及规定了用于将指定谓词的信息(以下，称为谓词指定信息)变换为在该谓词密码算法中使用的谓词信息的变换规则的信息(以下，称为谓词用变换规则信息)的对，预先决定用于确定是属性用变换规则信息和谓词用变换规则信息中的哪一个的策略信息。

此外，加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息和谓词用变换规则信息中，利用根据加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；加密处理，利用第1属性信息或第1谓词信息、以及密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息。

此外，密钥生成装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码信息的解密中使用的解密密钥。

此外，解密装置利用上述解密密钥，根据谓词密码算法，进行对于密码信息的解密处理。然后解密装置还进行将密码信息还转发给其他的解密装置的转发处理。转发的密码信息可以是从加密装置发送的，也可以是从其他的解密装置转发的。密码系统中包含的解密装置中至少一部分的解密装置具有进行转发处理的功能，但并不要求全部的解密装置具有该转发功能。接收了被转发的密码信息的解密装置根据需要从密钥生成装置接收其所生成的解密密钥，并进行上述解密处理。

或者，第2观点的本发明的概要如下。

此外，解密装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及利用从密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于密码信息的解密处理。

此外，密钥生成装置进行密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码信息的解密中使用的解密密钥。

上述的解密装置还进行将密码信息转发给其他的解密装置的转发处理。转发的密码信息可以是从加密装置发送的，也可以是从其他的解密装置转发的。密码系统中包含的解密装置中至少一部分的解密装置具有进行转发处理的功能，但并不要求全部的解密装置具有该转发功能。接收了被转发的密码信息的解密装置根据需要从密钥生成装置接收其所生成的解密密钥，并进行上述解密处理。

或者，第2观点的本发明的概要如下。

然后，加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息和谓词用变换规则信息中，利用根据加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；加密处理，利用第1属性信息或第1谓词信息、密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息。

此外，密钥生成装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码信息的解密中使用的解密密钥。

此外，解密装置利用解密密钥，根据谓词密码算法，进行对于密码信息的解密处理。然后，该解密装置还进行将密码信息转发给其他的解密装置的转发处理。转发的密码信息可以是从加密装置发送的，也可以是从其他的解密装置转发的。密码系统中包含的解密装置中至少一部分的解密装置具有进行转发处理的功能，但并不要求全部的解密装置具有该转发功能。接收了被转发的密码信息的解密装置根据需要从密钥生成装置接收其所生成的解密密钥，并进行上述解密处理。

或者，第2观点的本发明的概要如下。

此外，解密装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；利用从密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于密码信息的解密处理。

此外，密钥生成装置进行密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

第3观点的本发明的概要如下。

利用谓词密码的密码系统至少包含一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用第1属性信息或第1谓词信息、密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对该内容进行加密的加密内容。

内容服务器装置进行：存储从各加密装置发送来的密码信息以及加密内容；以及发送处理，根据来自解密装置的请求，将加密内容以及与其对应的密码信息发送给该解密装置。

密钥生成装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码信息的解密中使用的解密密钥。

解密装置进行：对于内容服务器装置的解密内容的取得请求处理；利用解密密钥，根据谓词密码算法，对于从内容服务器装置取得的密码信息的解密处理；利用在该解密处理中得到的公共密钥，对从内容服务器装置取得的加密内容进行解密的内容取得处理；以及显示从加密内容解密的内容的处理。

或者，第3观点的本发明的概要如下。

解密装置进行：对于内容服务器装置的解密内容的取得请求处理；第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；利用解密密钥，根据谓词密码算法，对于从内容服务器装置取得的密码信息的解密处理；利用在该解密处理中得到的公共密钥，对从内容服务器装置取得的加密内容进行解密的内容取得处理；以及显示从加密内容解密的内容的处理。

密钥生成装置进行密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码信息的解密中使用的解密密钥。

或者，第3观点的本发明的概要如下。

加密装置进行：第1谓词逻辑信息取得处理，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及加密处理，利用第1属性信息或第1谓词信息、密钥生成装置的公开密钥、内容，根据谓词密码算法，求出对该内容进行加密的加密内容。

内容服务器装置进行：存储从各加密装置发送来的加密内容；以及发送处理，根据来自解密装置的请求，将加密内容发送给该解密装置。

密钥生成装置进行：第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及密钥生成处理，利用第2属性信息或第2谓词信息、以及该密钥生成装置的秘密密钥，生成在密码内容的解密中使用的解密密钥。

解密装置进行：对于内容服务器装置的加密内容的取得请求处理；利用解密密钥，根据谓词密码算法，对于从内容服务器装置取得的加密内容进行解密的解密处理；以及显示从加密内容解密的内容的处理。

或者，第3观点的本发明的概要如下。

解密装置进行：对于内容服务器装置的解密内容的取得请求处理；第2谓词逻辑信息取得处理，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；解密处理，利用解密密钥，根据谓词密码算法，对从内容服务器装置取得的加密内容进行解密；以及显示从加密内容解密的内容的处理。

发明效果

根据本发明，在从变换规则信息对中选择的一个变换规则信息对中包含的属性用变换规则信息与谓词用变换规则信息中，利用根据加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而选择的其中一个变换规则信息，从该输入信息得到属性信息或谓词信息，从而能够灵活地运动基于谓词密码的密码通信。

附图说明

图1是有关第1观点的各实施方式的密码系统的结构图。

图2是表示有关第1观点的各实施方式的密码通信方法的处理步骤的图(其1)。

图3是表示有关第1观点的各实施方式的密码通信方法的处理步骤的图(其2)。

图4是表示有关第1观点的各实施方式的密码通信方法的处理步骤的图(其3)。

图5是有关第1观点的第1实施方式的加密装置的功能方框图。

图6是表示有关第1观点的第1实施方式的加密处理的处理步骤的细节的图。

图7是有关第1观点的第1实施方式的解密装置的功能方框图。

图8是表示有关第1观点的第1实施方式的解密处理的处理步骤的细节的图。

图9是有关第1观点的第1实施方式的密钥生成装置的功能方框图。

图10是表示有关第1观点的第1实施方式的密钥生成处理的处理步骤的细节的图。

图11是图解了根据输入信息或使用者信息利用与策略对应的规划，得到属性信息或谓词信息的情况的图。

图12是图解了根据属性指定信息而使用属性用规划，从而得到属性信息的情况的图。

图13是图解了根据谓词指定信息而使用谓词用规划，从而得到谓词信息的情况的图。

图14是表示策略的一例的图。

图15是表示解密密钥表格的例子的图。

图16是表示认证表格的例子的图。

图17是表示使用者信息表格的例子的图。

图18是有关第1观点的第2实施方式的解密装置的功能方框图。

图19是表示有关第1观点的第2实施方式的解密处理的处理步骤的细节的图。

图20是有关第1观点的第2实施方式的密钥生成装置的功能方框图。

图21是表示有关第1观点的第2实施方式的密钥生成处理的处理步骤的细节的图。

图22是有关第1观点的第3实施方式的加密装置的功能方框图。

图23是表示有关第1观点的第3实施方式的加密处理的处理步骤的细节的图。

图24是有关第1观点的第3实施方式的解密装置的功能方框图。

图25是表示有关第1观点的第3实施方式的解密处理的处理步骤的细节的图。

图26是有关第1观点的第4实施方式的解密装置的功能方框图。

图27是表示有关第1观点的第4实施方式的解密处理的处理步骤的细节的图。

图28是有关第2观点的各实施方式的密码系统的结构图。

图29是表示有关第2观点的各实施方式的密码通信方法的处理步骤的图 (其1)。

图30是表示有关第2观点的各实施方式的密码通信方法的处理步骤的图(其2)。

图31是表示有关第2观点的各实施方式的密码通信方法的处理步骤的图(其3)。

图32是表示有关第2观点的各实施方式的密码通信方法的处理步骤的图(其4)。

图33是有关第2观点的第1实施方式的加密装置的功能方框图。

图34是表示有关第2观点的第1实施方式的加密处理的处理步骤的细节的图。

图35是有关第2观点的第1实施方式的第1解密装置的功能方框图。

图36是表示有关第2观点的第1实施方式的第1解密处理的处理步骤的细节的图。

图37是有关第2观点的第1实施方式的第2解密装置的功能方框图。

图38是表示有关第2观点的第1实施方式的第2解密处理的处理步骤的细节的图。

图39是有关第2观点的第1实施方式的密钥生成装置的功能方框图。

图40是表示有关第2观点的第1实施方式的密钥生成处理的处理步骤(对应于第1解密装置)的细节的图。

图41是表示有关第2观点的第1实施方式的密钥生成处理的处理步骤(对应于第2解密装置)的细节的图。

图42是有关第2观点的第2实施方式的第1解密装置的功能方框图。

图43是表示有关第2观点的第2实施方式的第2解密处理的处理步骤的细节的图。

图44是有关第2观点的第2实施方式的第2解密装置的功能方框图。

图45是表示有关第2观点的第2实施方式的第2解密处理的处理步骤的细节的图。

图46是有关第2观点的第2实施方式的密钥生成处理的功能方框图。

图47是表示有关第2观点的第2实施方式的密钥生成处理的处理步骤(对应于第1解密装置)的细节的图。

图48是表示有关第2观点的第2实施方式的密钥生成处理的处理步骤 (对应于第2解密装置)的细节的图。

图49是有关第2观点的第3实施方式的加密装置的功能方框图。

图50是表示有关第2观点的第3实施方式的加密处理的处理步骤的细节的图。

图51是有关第2观点的第3实施方式的第1解密装置的功能方框图。

图52是表示有关第2观点的第3实施方式的第1解密处理的处理步骤的细节的图。

图53是有关第2观点的第3实施方式的第2解密装置的功能方框图。

图54是表示有关第2观点的第3实施方式的第2解密处理的处理步骤的细节的图。

图55是有关第2观点的第4实施方式的第1解密装置的功能方框图。

图56是表示有关第2观点的第4实施方式的第1解密处理的处理步骤的细节的图。

图57是有关第2观点的第4实施方式的第2解密装置的功能方框图。

图58是表示有关第2观点的第4实施方式的第2解密处理的处理步骤的细节的图。

图59是表示作为电子邮件系统或短信系统而实施的情况下被发送接收的数据的结构的例子的图。

图60是有关第3观点的各实施方式的密码系统的结构图。

图61是表示有关第3观点的各实施方式的密码通信方法的处理步骤的图(其1)。

图62是表示有关第3观点的各实施方式的密码通信方法的处理步骤的图(其2)。

图63是表示有关第3观点的各实施方式的密码通信方法的处理步骤的图(其3)。

图64是表示有关第3观点的各实施方式的密码通信方法的处理步骤的图(其4)。

图65是有关第3观点的第1实施方式的加密装置的功能方框图。

图66是表示有关第3观点的第1实施方式的加密处理的处理步骤的细节的图。

图67是有关第3观点的第1实施方式的内容服务器装置的功能方框图。

图68是有关第3观点的第1实施方式的解密装置的功能方框图。

图69是表示有关第3观点的第1实施方式的解密处理的处理步骤的细节的图。

图70是表示有关第3观点的第1实施方式的密钥生成装置的功能方框图。

图71是表示有关第3观点的第1实施方式的密钥生成处理的处理步骤的细节的图。

图72是表示有关第3观点的第2实施方式的解密装置的功能方框图。

图73是表示有关第3观点的第2实施方式的解密处理的处理步骤的细节的图。

图74是有关第3观点的第2实施方式的密钥生成装置的功能方框图。

图75是表示有关第3观点的第2实施方式的密钥生成处理的处理步骤的细节的图。

图76是表示有关第3观点的第3实施方式的加密装置的功能方框图。

图77是表示有关第3观点的第3实施方式的加密处理的处理步骤的细节的图。

图78是有关第3观点的第3实施方式的解密装置的功能方框图。

图79是表示有关第3观点的第3实施方式的解密处理的处理步骤的细节的图。

图80是有关第3观点的第4实施方式的解密装置的功能方框图。

图81是表示有关第3观点的第4实施方式的解密处理的处理步骤的细节的图。

图82是表示作为内容配发系统而实施的情况下被发送接收的数据的结构的例子的图。

具体实施方式

首先，从第1观点触发，说明能够灵活运用的基于谓词密码的密码通信技术的实施方式。

[第1观点的第1实施方式]

参照图1至图7，说明第1观点的本发明的第1实施方式。

如图1所示，密码系统1包含多个客户装置10、30、一个或多个密钥生成装置20、一个或多个用户信息管理装置40(以下称为管理装置)、变换规则信息对管理装置50(以下称为注册装置)、一个或多个保全装置80、一个或多个认证装置90。这些各个装置经由例如作为因特网的通信网络5而能够相互通信。

客户装置根据处理目的而起到加密装置或者解密装置的作用。因此，从功能的观点出发，将客户装置称为加密装置10或者解密装置30。另外，密码系统1也可以包含仅起到加密装置的作用的客户装置和/或仅起到解密装置的作用的客户装置。

在密码系统1中进行利用了谓词密码的加密和解密。在第1观点的本发明中，所使用的谓词密码算法无限定，例如允许使用在上述非专利文献3中公开的谓词密码算法。在第1观点的第1实施方式中，表示使用了KEM(密钥封装机制)类型的谓词密码算法的例子。

参照图2、3、4、6、8、10，介绍密码系统1中的密码通信方法。针对各装置的功能结构，想参照图5、7、9。

《准备程序》

密钥生成装置10的参数生成单元(未图示)生成在谓词密码算法中使用的秘密密钥与条目(entry)(步骤S1)。条目包含在谓词密码算法中使用的公开参数(在附图中简记为公开P)、密钥生成装置20的地址、密钥生成装置20能够使用的策略(policy)列表、密钥生成装置20能够使用的规划(schema)列表。

公开参数例如包含阶数为q的循环群G₁、G₂、G_T的生成元g₁、g₂、g_T、具有非反馈性的双线性映射e：G₁×G₂→G_T(其中，e(g₁，g₂)＝g_T)、阶数q、(n+1)维的向量空间V的正交基B。秘密密钥包含对偶向量空间V^*的正交基B^*。设代数结构为有限域F_q的情况下，q是质数或质数的幂级数。双线性映射e例如是Tate配对(pairing)或Weil配对。

再对正交基B以及正交基B^*进行说明。设如算式(1)那样，(n+1)维的向量空间V的任意的元被表示为循环群G₁的(n+1)维乘积G₁ ⁿ⁺¹的元。(n+1)维的向量空间V的任意的元还可以利用(n+1)维的向量空间V的标准基A，如算式(2)那样表示。其中a_i设为(n+1)维乘积G₁ ⁿ⁺¹的元、z_i设为(n+1)维乘积F_q ⁿ⁺¹的元。此外，设1是加法单位元。

[数1]

V : (g_{1}^{z_{1}}, . . ., g_{1}^{z_{n + 1}}) &Element; G_{1}^{n + 1} - - - (1)

V：z₁a₁+…+z_n+1a_n+1 (2)

z_{i} &Element; F_{q}^{n + 1}

如算式(3)那样，正交基B作为对标准基A作用了(n+1)维方阵X的结果而得到。记号T表示转置。另外，矩阵X与秘密密钥一样被保密。

[数2]

B＝X·A (3)

B＝^T(b₁，…b_n+1)

X＝^T(x₁，…x_n+1)＝(x_ij)_(n+1)×(n+1) x_ij∈F_q

x_i＝(x_i1，…，x_i(n+1))

b_{i} Σ_{j = 1}^{n + 1} x_{ij} a_{j} = (g_{1}^{x_{i 1}}, . . ., g_{1}^{x_{i (n + 1)}})

同样，设如算式(4)那样，与向量空间V成对的对偶向量空间V^*的任意的元被表示为循环群G₂的(n+1)维乘积G₂ ⁿ⁺¹的元。对偶向量空间V^*的任意的元也可以利用对偶向量空间V^*的标准基A^*而入算式(5)那样表示。其中，设a₁ ^*为(n+1)维乘积G₂ ⁿ⁺¹的元，y₁ ^*为(n+1)维乘积F_q ⁿ⁺¹的元。此外，设1为加法单位元。

[数3]

V^{*} : (g_{2}^{n}, . . ., g_{2}^{y_{n + 1}}) &Element; G_{2}^{n + 1} - - - (4)

V^{*} : y_{1} a_{1}^{*} + . . . + y_{n + 1} a_{n + 1}^{*} - - - (5)

y_{i} &Element; F_{q}^{n + 1}

如算式(6)那样，正交基B^*作为对标准基A^*作用了(n+1)维方阵^T(X^-1)的结果而得到。记号E表示单位矩阵。

[数4]

B^*＝^TX^-1·A^* (6)

B^{*} = {(b_{1}^{*}, . . ., b_{n + 1}^{*})}_{T}

b_{i}^{*} = (g_{2}^{x_{i 1}^{*}}, . . ., g_{2}^{x_{i (n + 1)}^{*}})

X·^T(X^*)＝E，X^*＝^T(X^-1)

接着，再说明规划列表。将变换规则信息对称为规划对，(参照图11-图13)，所述变换规则信息对是以下信息的对：规定将用于指定属性的信息(属性指定信息；即例如具体地唯一确定姓名、出生年月日等属性的信息，又称为属性值)变换为在谓词密码算法中使用的属性信息的变换规则的信息(属性用变换规则信息；又称为属性用规划)；与规定将用于指定谓词的信息(谓词指定信息；即利用逻辑式等具体地设定例如有关年龄、权限等属性的条件的信息，又被称为命题函数)变换为在该谓词密码算法中使用的谓词信息的变换规则的信息(谓词用变换规则信息；又被称为谓词用规划)。一个或多个规划对的集合体(数据列表)为规划列表。各个密钥生成装置20可以自由地决定规划列表。在规划列表中包含的各规划的各数据项目例如由XML(eXtensible Markup Language)或ASN.1(Abstract Notation Number One)来记述。

再说明图12所示的属性用规划的例子。用户的属性指定信息相关联于属性名与数据类型。在图12所示的例子中，例如，对属性名“email1”设定数据类型“字符串”，属性值XXXXXX.ntt.co.jp关联于属性名“email1”以及数据类型“字符串”。

属性用规划规定将要素号关联于属性名与类型变换函数的变换规则。在图12所示的例子中，例如要素号“1”关联于属性名“血型”和类型变换函数。要素号“1”关联的类型变换函数规定若属性值的血型为O型则变换为0，若属性值的血型为A型则变换为1，若属性值的血型为B型则变换为2，若属性值的血型为AB型则变换为3。此外，要素号“2”以及“3”关联于属性名“出生年月日”与类型变换函数。要素号“2”以及“3”对应的类型变换函数规定如下：对要素号2规定将属性值的出生年月日的年变换为要输入的Hash函数的值，对要素号3规定将属性值的出生年月日的月日变换为要输入的Hash函数的值。

图12所示的用户的属性指定信息(属性值)的例子适用了图12所示的属性用规划的例子的结果表示为图12所示的属性信息(向量信息)的例子。将属性用规划的要素号看作向量的要素号，排列类型变换函数的输出值，从而能够将该属性信息考虑为向量。

另外，类型变换函数的输出值在该说明中被例示为整数值或Hash函数的输出值，但实际上基于谓词密码算法，且例如是有限域F_q的元。

再说明图13所示的谓词用规划的例子。作为谓词指定信息，以逻辑式来提供有关属性的条件。在图13所示的例子中，例如，提供设属性名“姓名”的属性值为“田中太郎”、属性名“年龄”的属性值为“20岁以上”的谓词指定信息“姓名＝田中太郎且年龄＝20岁以上”。

谓词用规划规定了对要素号相关联了属性名与类型变换函数的变换规则。在图13所示的例子中，例如，要素号“1”关联于属性名“血型”与类型变换函数。与要素号“1”关联的类型变换函数规定若属性值的血型为O型则变换为0，若属性值的血型为A型则变换为1，若属性值的血型为B型则变换为2，若属性值的血型为AB型则变换为3。此外，要素号“2”与“3”关联于属性名“出生年月日”与类型变换函数。要素号“2”与“3”对应的类型变换函数规定如下：对要素号2规定将属性值的出生年月日的年变换为要输入的Hash函数的值，对要素号3规定将属性值的出生年月日的月日变换为要输入的Hash函数的值。

对图13所示的谓词指定信息的例子适用了图13所示的谓词用规划的例子的结果表示为图13所示的谓词信息(向量信息)的例子。具体来说，在该例子中，通过对谓词指定信息适用谓词用规划而得到具有基于要素号的变量的多变量多项式f，并通过将该多变量多项式f变换为向量信息，从而得到谓词信息(向量信息)。依照图13所示的谓词指定信息的例子进行说明。通过对谓词指定信息“姓名＝田中太郎且年龄＝20岁以上”适用谓词用规划，从而得到与要素号“0”对应的类型变换函数的输出值“Hash(田中太郎)”以及与要素号“23”对应的类型变换函数的输出值“1”。然后，根据将与要素号“0”对应的类型变换函数的输出值“Hash(田中太郎)”作为零点的对应于要素号“0”的变量X₀的一次式、和将与要素号“23”对应的类型变换函数的输出值“1”作为零点的对应于要素号“23”的变量X₂₃的一次式的线性结合，得到多元多次式f＝r₁(X₀-H(田中太郎))+r₂(X₂₃-1)。这里，r₁与r₂是随机数。然后，展开该多元多项式f而排列各项的系数，从而多元多项式f变换为向量信息，得到图13所示的谓词信息(向量信息)的例子。

此外，在用于构成规划对的两个规划之间，要求属性名和类型变换函数的组合、成为输入的属性值的数据类型等统一。

接着，参照图14说明策略列表。将用于确定是属性用规划与谓词用规划中的哪一个的信息称为策略信息(以下称为策略)。记述了该策略的数据列表为策略列表。当密钥生成装置20使用属性用规划与谓词用规划两者的情况下，作为策略而准备两种类型。该两种类型为Cipher_Text_Policy与Key_Policy。当密钥生成装置20仅使用属性用规划的情况下，作为规划而准备一种类型。其为Key_Policy。当密钥生成装置20仅使用谓词用规划的情况下，作为策略而准备一种类型。其为Cipher_Text_Policy。策略例如由XML(eXtensible Markup Language)或ASN.1(Abstract Notation Number One)记述。密钥生成装置20自由决定策略的确定对象仅为属性用规划、或者为谓词用规划、或者是属性用规划与谓词用规划。

接着步骤S1的处理，密钥生成装置20的发送单元将条目发送给认证装置90，认证装置90的接收单元接收条目(步骤S2)。认证装置90的签名附加单元(未图示)例如通过以往的方法对条目附加电子签名(步骤S3)，认证装置90的发送单元将附有签名条目发送给密钥生成装置20，密钥生成装置20的生成单元接收附有签名条目(步骤S4)。然后，密钥生成装置20的发送单元将附有签名条目发送给保全装置80，保全装置80的接收单元接收附有签名条目(步骤S5)。

保全装置80的发送单元对注册装置50发送包含用于确定密钥生成装置20的信息(例如地址)的检索询问，注册装置50的接收单元接收检索询问(步骤S6)。注册装置50的检索单元(未图示)检索有关密钥生成装置20的注册内容(条目)(步骤S7)，注册装置50的发送单元将包含有没有注册以及注册内容的检索结果发送给保全装置80，保全装置80的接收单元接收检索结果(步骤S8)。

保全装置80的检查单元(未图示)对在步骤S5的处理中接收到的附有签名条目、以及在步骤S8的处理中接收到的检索结果进行比较，并检查有没有重复(步骤S9)。在能够确认没有重复的情况下，保全装置80的发送单元将附有签名条目发送给注册装置50，注册装置50的接收单元接收附有签名条目(步骤S10)。注册装置50的注册单元(未图示)将附有签名条目与密钥生成装置20相关联地存储在注册装置50的存储单元(步骤S11)。注册装置50的发送单元将注册结果发送给保全装置80，保全装置的接收单元接收注册结果(步骤S12)。保全装置80的发送单元将注册结果发送给密钥生成装置20，密钥生成装置20接收注册结果(步骤S13)。

当存在多个密钥生成装置20的情况下，各密钥生成装置20独立地进行从步骤S1至步骤S13的各处理。例如，对每个密钥生成装置决定公开参数与秘密密钥。但是，这并不妨碍各密钥生成装置具有共同的公开参数与秘密密钥。此外，各密钥生成装置也可以对相同的注册装置50注册条目，各密钥生成装置也可以对不同的注册装置50注册条目。

当预先设定了秘密密钥、条目、对注册装置50的条目注册等的情况下，允许省略从步骤S1至步骤S13的各处理。

此外，认证装置90和保全装置80可以是相同的硬件实体。另外，当不要求条目注册的情况下，或者确保了在注册装置50中注册着的条目的唯一性的情况下等，还允许密码系统是不具有保全装置80和/或认证装置90的系统结构。

到此《准备程序》结束。

《加密程序》

加密装置10的发送单元14接受未图示的控制单元的控制，将检索条目发送给注册装置50，注册装置50的接收单元接收检索条目(步骤S14)。注册装置50的检索单元检索在注册装置50的存储单元中注册着的条目的一部分或全部，从而选择一个条目(步骤S15)，注册装置50的发送单元将检索结果的条目发送给加密装置10，加密装置10的接收单元接收条目(步骤S16)。在该条目中包含有密钥生成装置的地址、该密钥生成装置的公开参数、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在加密装置10的存储器11中。

另外，当加密装置10预先具有各密钥生成装置20的公开参数、规划列表、策略列表、地址的情况下，省略步骤S14-S16的处理。即，必须要注意还允许密码系统1不包含注册装置50的方式。

加密装置10的第1谓词逻辑信息取得单元12从存储器11读取输入信息与策略以及规划，并求出属性信息(以下称为第1属性信息)或者谓词信息(以下称为第1谓词信息)(步骤S17)。说明该处理的细节(参照图12、图 13)。

首先，当规划列表中记述了多个规划对的情况下，根据用途等选择一个规划对。也可以在由加密装置10的使用者选择规划对而输入其指示信息的情况下，或者根据规定规则，第1谓词逻辑信息取得单元12选择规划对。

然后，根据输入信息是属性指定信息或者谓词指定信息的哪一个，与策略一并选择其中一个规划。可以是由加密装置10的使用者选择策略与其中一个规划而输入其指示信息的情况，或者根据规定的规则，第1谓词逻辑信息取得单元12选择策略和其中一个规划的情况中的其中一个。另外，密钥生成装置20的策略仅准备了一种类型的情况下，根据该策略选择规划对中的一个规划。若被选择的规划与输入信息的种类不对应的情况下，从规划列表再选择规划对，或者从注册装置50再次接受条目的提供即可。

输入信息可以是由加密装置10的使用者输入的信息，或者加密装置10的取得单元(未图示)例如从IC卡39这样的存储介质取得的信息(未图示)。

然后，第1谓词逻辑信息取得单元12根据策略利用从规划对中选择的规划，从输入信息得到第1属性信息或第1谓词信息。当策略为Key_Policy而且被选择的规划为属性用规划的情况下，得到第1属性信息。当策略为Cipher_Text_Policy而且被选择的规划为谓词用规划的情况下，得到第1谓词信息。第1属性信息与第1谓词信息在第1观点的第1实施方式中成为将有限域F_q的元设为分量的向量信息(参照图11-13)。此时，利用规划从输入信息进行必要的属性值的提取与排列。

接着，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)、来自存储器11的公开参数中包含的正交基B(实质性的公开密钥)和明码电文(clear text)M，求出公共密钥K与密码信息C₁与密文C₂(步骤S17b、S17c)。说明这些处理的细节。其中，在第1观点的第1实施方式为将公共密钥K的配发特殊化的实施方式的情况下，不需要密文C₂的生成。

首先，第1加密单元13a根据谓词密码算法，生成有限域F_q的元的随机数r、ρ，从而如算式(7)那样设定公共密钥K，并根据算式(8)求出密码信息C₁(步骤S17b)。H例如是散列函数。在该例子中使用了第1属性信息v，但在使用第1谓词信息的情况下，只要在算式(8)中将v置换为w即可。此外，在该例子中，密码信息C₁是与用于公共密钥K的生成的信息ρ对应的信息，但也可以将密码信息C₁设为与公共密钥K对应的信息。

[数5]

K = H (g_{T}^{ρ}) - - - (7)

C_{i} = r Σ_{i = 1}^{n} v_{i} b_{i} + ρ b_{n + 1} - - - (8)

接着，第2加密单元13b使用公共密钥K与明码电文M，根据算式(9)求出密文C₂(步骤S17c)。利用了公共密钥的加密方法Enc_K可以是公知的方法，例如是在上述非专利文献1中公开的方法。如上述那样，当第1观点的第1实施方式为将公共密钥K的配发特殊化了的实施方式的情况下，省略步骤S17c的处理。即，即使加密装置10具有第2加密单元13b的功能，也不进行步骤S17c的处理。

[数6]

C₂＝Enc_K(M) (9)

接着，加密装置10的发送单元14接受控制单元的控制，从而生成集中了密码信息C₁、(根据需要)密文C₂、来自存储器11的规划对、策略、公开参数、密钥生成装置的地址的密码消息(步骤S17d)。然后加密装置10的发送单元14将密码消息发送给解密装置30，解密装置30的接收单元接收密码消息(步骤S18)。

到此《加密程序》结束。

《解密程序》

解密装置30的发送单元34接受未图示的控制单元的控制，从而将包含密码消息中所包含的密钥生成装置的地址的检索询问发送给注册装置50，注册装置50的接收单元接收检索询问(步骤S19)。注册装置50的检索单元检索由地址所指定的密钥生成装置的条目而选择其(步骤S20)，注册装置50的发送单元将检索结果的条目发送给解密装置30，解密装置30的接收单元接收条目(步骤S21)。该条目中包含有密钥生成装置的地址、该密钥生成装置的公开参数、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在解密装置30的存储器31中。

另外，当解密装置30预先持有各密钥生成装置20的公开参数、规划列表、策略列表、地址的情况下，省略步骤S19-S21的处理。此时，解密装置30从自己的存储器31检索与密码消息中包含的地址对应的密钥生成装置的条目而取得其。

解密装置30的验证单元(未图示)接受控制单元的控制，从而验证在密码消息中包含的规划对与策略是否包含在从注册装置50取得的条目中所包含的策略列表与规划列表中(步骤S22a)。当该验证失败时，设为解密处理失败而结束处理(步骤S22g)。

当该验证成功时，解密装置30的取得单元32例如从IC卡39这样的存储介质读取与该解密装置30的使用者对应的属性指定信息或谓词指定信息(步骤S22f)。根据密码消息中包含的策略来决定读取属性指定信息和谓词指定信息中的哪一个。即，所读取的信息是与用于确定和由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如果策略为Cipher-_Text_Policy的情况下，取得单元32从存储介质读取属性指定信息。如果策略为Key_Policy的情况下，取得单元32从存储介质读取谓词指定信息。以下，将所读取的指定信息称为使用者信息。此外，与后述的密钥生成装置20中的处理《使用者信息取得程序》相同，还允许解密装置30的取得单元32从管理装置40读取与该解密装置30的使用者对应的属性指定信息或者谓词指定信息。另外，在该第1观点的第1实施方式中，任意地进行步骤S22f的处理。例如，当解密装置30预先持有与使用者对应的属性指定信息或谓词指定信息时，根据策略，属性指定信息或谓词指定信息中的一个成为使用者信息。

接着，解密装置30的验证单元验证是否持有为了对密码消息中包含的密码信息进行解密而使用的解密密钥(步骤S22b)。

解密装置30的存储器31中存储有解密密钥表格。例如图15所示，在解密密钥表格中，密钥生成装置的识别符与公开参数、规划对、解密密钥的对象、谓词指定信息、解密密钥相关联。因此，验证单元验证有无与由密码消息中包含的地址判别的密钥生成装置的识别符、公开参数、规划对、解密密钥的对象(其中，其对应于用于确定与由密码消息中包含的策略确定的一个规划成对的另一个规划的策略的内容)对应的解密密钥。如果存在解密密钥，则进行步骤S29的处理。如果不存在解密密钥，则进行步骤S23的处理。

这里，中断《解密程序》的说明，并进行《密钥生成程序》的说明。

若如上所述那样不存在解密密钥的情况下，解密装置30的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、使用者信息(若存在)，认证信息的密钥请求消息。认证信息例如包含使用者的ID和口令。然后，解密装置30的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息(步骤S23)。接收到的密钥请求消息被存储在密钥生成装置20的存储器21中。

密钥生成装置20的验证单元(未图示)接受控制单元的控制，从而验证密钥请求消息中包含的规划对与策略是否包含在该密钥生成装置20所持有的条目(例如在步骤S1中生成的条目)中包含的策略列表与规划列表中、以及密钥请求消息中包含的公开参数是否为该密钥生成装置20的公开参数(步骤S24a)。当该验证失败时，设为密钥生成处理失败而结束处理(步骤S24g)。另外，在步骤S24a的处理中，若密钥请求消息中包含认证信息，则还进行密钥请求消息中包含的认证信息的验证。密钥生成装置20在存储器21中存储有认证表格。例如图16所示，在认证表格中，使用者的ID与口令相关联。因此，验证单元验证密钥请求消息中包含的使用者的ID和口令与认证表格中包含的使用者的ID和口令的匹配性。在该验证失败的情况下，也进行步骤S24g的处理。

在该验证成功时，密钥生成装置20的验证单元验证密钥请求消息中是否包含使用者信息(步骤S24b)。若密钥请求消息中包含有使用者信息则进行步骤S24c的处理，若密钥请求消息中不包含有使用者信息则进行步骤S25的处理。另外，当采用密钥请求消息中一定包含使用者信息的方法的情况下，不需要步骤S24b的处理以及后述的《使用者信息取得程序》。

这里，中断《密钥生成程序》的说明，并进行《使用者信息取得程序》的说明。

密钥生成装置20的发送单元对管理装置40发送包含密钥请求消息中所包含的策略(若存在)与认证信息的要求(request)，管理装置40接收要求(步骤S25)。接收到的要求被存储在管理装置40的存储器中。

管理装置40在存储器中存储有认证表格。在该认证表格中，与上述的认证表格相同，使用者的ID与口令相关联(参照图16)。因此，管理装置40的验证单元(未图示)验证在要求中包含的使用者的ID和口令与在认证表格中包含的使用者的ID和口令的匹配性。

若该验证成功，则管理装置40的检索单元(未图示)根据要求中包含的策略，从存储器中存储着的使用者信息表格检索属性指定信息或者谓词指定信息(步骤S26)。使用者信息表格包含第1表格以及第2表格，所述第1表格例如由使用者的ID和与其相关联的属性名以及属性指定信息构成，所述第2表格由使用者的ID和与其相关联的谓词指定信息构成(参照图17)。根据在要求中包含的策略，决定是读取属性指定信息还是谓词指定信息。即，所读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如果策略为Cipher_Text_Policy的情况下，检索单元从第1表格取得与在要求中包含的使用者的ID对应的属性指定信息。如果策略为Key_Policy的情况下，检索单元从第2表格取得与在要求中包含的使用者的ID对应的谓词指定信息。将所读取的指定信息称为使用者信息。

管理装置40的发送单元接受控制单元的控制，从而将检索结果的使用者信息发送给密钥生成装置20，密钥生成装置20的接收单元接收使用者信息(步骤S27)。接收到的使用者信息被存储在密钥生成装置20的存储器21中。

到此结束《使用者信息取得程序》，再次回到《密钥生成程序》的说明。

当已经持有使用者信息的情况下，或者通过使用者信息取得程序接收了使用者信息的情况下(步骤S27)，密钥生成装置20的第2谓词逻辑信息取得单元23从存储器21读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(称为第2谓词信息)(步骤S24c)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第1观点的第1实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。此时，使用规划从输入信息进行必要的属性值的提取与排列。

接着，密钥生成装置20的密钥生成单元25根据谓词密码算法，基于公开参数的q而生成作为有限域F_q的元的随机数α，从而利用来自存储器21的第2属性信息v_(p)＝(v_(p)1，...，v_(p)n)或者第2谓词信息w_(p)＝(w_(p)1，...，w_(p)n)、以及该密钥生成装置的秘密密钥B^*，根据算式(10)而求出解密密钥R(步骤S24d)。用于与加密处理中的输入信息为属性指定信息的情况相对应地，在该例子中使用第2谓词信息w_(p)，但当输入信息为谓词指定信息的情况下，第2属性信息v_(p)对应，因此在算式(10)中将w_(p)置换为v_(p)即可。

[数7]

R = α Σ_{i = 1}^{n} w_{(p) i} b_{i}^{*} + b_{n + 1}^{*} - - - (10)

接着，密钥生成装置20的发送单元24接受控制单元的控制，从而将解密密钥R发送给解密装置30，解密装置30的接收单元接收解密密钥R(步骤S28)。接收到的解密密钥R被存储在解密装置30的存储器31中。

到此结束《密钥生成程序》，再次回到《解密程序》的说明。

在已经持有解密密钥的情况下，或者通过密钥生成程序接收到解密密钥的情况下(步骤S28)，解密装置30的解密单元33从存储器31读取公开参数、解密密钥R、密码信息C₁、(根据需要)密文C₂，从而求出公共密钥K与明码电文M(步骤S29)。

说明该步骤S29的处理的细节。第1解密单元33a从存储器31读取公开参数、密码信息C₁以及解密密钥R，并根据谓词密码算法，求出e(C₁，R)。该运算结果如算式(11)所示，当输入信息为属性指定信息的情况下，依赖于基于双线性从密码信息C₁与解密密钥R取得的第1属性信息v以及第2谓词信息w_(p)的标准内积的结果。当输入信息为谓词指定信息的情况下，在算式(11)中将v置换为v_(p)，将w_(p)置换为w即可，运算结果依赖于基于双线性从密码信息C₁与解密密钥R取出的第1谓词信息w与第2属性信息v_(p)的标准内积的结果。其中，e(b_i，b_i ^*)如算式(12)那样定义。δ_ij是克罗内克德尔塔符号。

[数8]

e (C_{1}, R)

= e (r Σ_{i = 1}^{n} v_{i} b_{i}, R) \cdot e (ρ b_{n + 1}, R)

= Π_{i = 1}^{n} e {(b_{i}, b_{i}^{*})}^{{rαv}_{i} w_{(p) i}} \cdot e {(b_{n + 1}, b_{n + 1}^{*})}^{ρ} - - - (11)

= g_{T}^{rα Σ_{i = 1}^{n} v_{i} w_{(p) i}} \cdot g_{T}^{ρ}

= g_{T}^{rαv \cdot w_{(p)}} \cdot g_{T}^{ρ}

e (b_{i}, b_{j}^{*})

= Π_{j = 1}^{n + 1} e (g_{1}^{x_{ij}}, g_{2}^{x_{ij}^{*}}) - - - (12)

= g_{T}^{Σ_{j = 1}^{n + 1} x_{ij} x_{ij}^{*}}

= g_{T}^{x_{i} \cdot}

从而，当第1属性信息v与第2谓词信息w_(p)的标准内积为0(或者第1谓词信息w与第2属性信息v_(p)的标准内积为0)的情况下，得到算式(11)的运算结果g_T ^ρ。当得到了该运算结果g_T ^ρ的情况下，解密装置30的第1解密单元33a根据算式(7)得到“正确”的公共密钥K(步骤S22c)。如果第1属性信息v与第2谓词信息w_(p)的标准内积不是0(或者第1谓词信息w与第2属性信息v_(p)的标准内积不是0)的情况下，第1解密单元33a根据算式(7)得到“不正确”的值。在该例子中，设散列函数H被系统共用或者包含在公开参数中。在该例子中，密码信息C₁是与生成公共密钥K时使用的信息ρ对应的信息，但设密码信息C₁为与公共密钥K对应的信息的情况下，算式(11)的运算结果成为公共密钥K(或者不正确的值)。即，解密装置30的合法的使用者持有用于提供与第1属性信息v的标准内积成为0的第2谓词信息w_(p)的谓词指示信息或者用于提供与第1谓词信息w的标准内积成为0的第2属性信息v_(p)的属性指示信息。

接着，第2解密单元33b使用公共密钥K与密文C₂，根据算式(13)求出明码电文M(步骤S22d)。利用了公共密钥的解密方法Dec_k对应于加密方法Enc_k。如以上所述，当第1观点的第1实施方式为将公共密钥K的配发特殊化了的实施方式的情况下，省略步骤S22d的处理。即，解密装置30即使具有第2解密单元33b的功能，也不进行步骤S22d的处理。

[数9]

M＝Dec_K(C₂) (13)

如果基于算式(11)的运算结果是不正确的值的情况下，通过算式(13)不能得到正确的明码电文M。

另外，解密装置30可以将解密密钥R存储在解密密钥表格中。此外，也可以将公共密钥K附加在解密密钥表格中而存储。

到此《解密程序》结束。

[第1观点的第2实施方式]

在第1观点的第2实施方式中，与第1观点的第1实施方式不同，解密装置30生成第2属性信息或者第2谓词信息。伴随该差异，第1观点的第2实施方式在几个方面与第1观点的第1实施方式不同。因此，省略对于第1观点的第1实施方式重复的部分的重复说明(对相同的结构要素分配相同的参照标号)，参照图8～图21说明与第1观点的第1实施方式不同的部分。

从步骤S1至步骤S22b的处理与第1观点的第1实施方式相同。

当在步骤S22b的处理中不持有解密密钥的情况下，解密装置30的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息中得到属性信息(称为第2属性信息)或者谓词信息(称为第2谓词信息)(步骤S23g)。在该处理中，用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第1观点的第2实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S23g的处理之后，进行步骤S23的处理。其中，在该处理中，解密装置30的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或者第2谓词信息的密钥请求消息。然后，解密装置30的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤是24a的处理中验证成功的情况下，进行步骤S24d的处理。密钥生成装置20从解密装置30接收第2属性信息或者第2谓词信息，因此与第1观点的第1实施方式不同，不需要用于生成该信息的功能与处理。

然后，步骤S24d的处理后的步骤S28和步骤S29的各处理与第1观点的第1实施方式相同。

[第1观点的第3实施方式]

在第1观点的第3实施方式中，与第1观点的第1实施方式不同，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)与来自存储器11的公开参数中包含的公开密钥与明码电文M，求出密码信息C₁。即，在第1观点的第3实施方式中，例如利用上述非专利文献3所示的谓词密码算法。伴随该差异，第1观点的第3实施方式在几个方面与第1观点的第1实施方式不同。因此，对于与第1观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，参照图22～图25说明与第1观点的第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第1观点的第1实施方式相同。其中，公开参数等信息成为第1观点的第3实施方式的谓词密码算法所需的信息。具体的信息请参考例如上述非专利文献3等。

在接着步骤S17a的处理的步骤S17b1的处理中，加密装置10的加密单元13根据谓词密码算法，利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)以及来自存储器11的公开参数中所包含的公开密钥与明码电文M，求出密码信息C₁(步骤S17b1)。

接着，在步骤S17b1的处理之后，进行步骤S17d的处理。其中，在该处理中，加密装置10的发送单元14接受控制单元的控制，从而生成集中了密码信息C₁、来自存储器11的规划对、策略、公开参数、密钥生成装置的地址的密码消息(步骤S17d)。

接着步骤S17d的处理的步骤S18至步骤S22b的处理与第1观点的第1实施方式相同。

在接着步骤S28的处理的步骤S22c1的处理中，解密装置30的解密单元33根据谓词加密算法，从存储器31读取公开参数、解密密钥R与密码信息C₁，求出明码电文M(步骤S22c1)。

[第1观点的第4实施方式]

第1观点的第4实施方式相当于第1观点的第2实施方式与第1观点的第3实施方式的组合。即，第1观点的第4实施方式与第1观点的第1实施方式不同，(1)解密装置30生成第2属性信息或第2谓词信息，(2)加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)以及来自存储器11的公开参数中所包含的公开密钥与明码电文M，求出密码信息C₁。伴随该差异，第1观点的第4实施方式在几个方面与第1观点的第1实施方式不同。因此，对于与第1观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，还参照图26和图27来说明与第1观点的第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第1观点的第1实施方式相同。其中，公开参数等信息成为第1观点的第4实施方式的谓词密码算法所需的信息。对于具体的信息，请参考例如上述非专利文献3等。

接着，在步骤S17b1的处理之后，进行步骤S17d的处理。其中，在该处理中，加密装置10的发送单元14接受控制单元的控制，生成集中了密码信息C₁、来自存储器11的规划对、策略、公开参数、密钥生成装置的地址的密码消息(步骤S17d)。

接着步骤S17d的处理的步骤S18至步骤S28的处理与第1观点的第1实施方式相同。

在步骤S22b的处理中，当没有持有解密密钥的情况下，解密装置30的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(第2谓词信息)(步骤S23g)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第1观点的第4实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S23g的处理之后，进行步骤S23的处理。其中，在该处理中，解密装置30的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或第2谓词信息的密钥请求消息。然后，解密装置30的发送单元34对持有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S24a的处理中验证成功的情况下，进行步骤S24d的处理。密钥生成装置20从解密装置30接收第2属性信息或第2谓词信息，因此不需要用于生成该信息的功能与处理。

然后，步骤S24d的处理之后的步骤S28的处理与第1观点的第1实施方式相同。

在接着步骤S28的处理的步骤S22c1的处理中，解密装置30的解密单元33根据谓词密码算法，从存储器31读取公开参数、解密密钥R、密码信息C₁，从而求出明码电文M(步骤S22c1)。

接着，注意上述的第1观点的密码通信技术，从第2观点说明可灵活运用而且可使利用谓词密码加密的密码信息流通的、与基于谓词密码的密码通信技术有关的实施方式。根据该技术，由于解密装置持有转发功能，因此能够使利用谓词密码加密的密码信息流通。

第2观点的密码通信技术的说明包含很多实质上与上述的第1观点的密码通信技术的说明重复的部分，但尽量不省略重复说明与重复附图地说明第2观点的密码通信技术，以便不用参照第1观点的密码通信技术。因此，算式号、表示功能单元的参照标号、表示步骤的参照标号等也在两者中重复，但文理上不存在混乱的顾虑。

[第2观点的第1实施方式]

参照图28至图41，说明第2观点的本发明的第1实施方式。

如图28所示，第2观点的密码系统1包含多个客户装置10、30-1、30-2、一个或多个密钥生成装置20、一个或多个用户信息管理装置40(以下，称为管理装置)、变换规则信息对管理装置50(以下，称为注册装置)、一个或多个保全装置80、一个或多个认证装置90。这些各装置例如经由作为因特网的通信网5，可相互通信。

客户装置根据处理目的，作为加密装置或作为解密装置起作用。因此，从功能的观点，将客户装置称为加密装置10或解密装置。针对后述的密码消息的收发，解密装置被分为在与加密装置10的关系中作为当事者的第1解密装置30-1、不是当事者的第2解密装置30-2。另外，第2观点的密码系统1 也可以包含仅起到加密装置的作用的客户装置和/或仅作为解密装置起作用的客户装置。

在第2观点的密码系统1中，进行利用了谓词密码的加密与解密。在第2观点的本发明中，并不限定于所使用的谓词密码算法，允许使用例如在上述的非专利文献3中公开的谓词密码算法。在第2观点的第1实施方式中，表示利用了KEM(Key Encapsulated M Mechanisms)类型的谓词密码算法的例子。

参照图29、30、31、32、34、36、38、40、41，叙述第2观点的密码系统1中的密码通信方法。对于各装置的功能结构，请参照图33、35、37、39。

《准备程序》

将第1观点的发明的第1实施方式中的《准备程序》的全部说明引用于此，并省略重复说明。另外，作为与该《准备程序》的说明对应的附图请参照图29，对于规划对请参照图11～图13，对于策略请参照图14。到此《准备程序》结束。

《加密程序》

加密装置10的发送单元14接受未图示的控制单元的控制，从而将检索询问发送给注册装置50，注册装置50的接收单元接收检索询问(步骤S14)。注册装置50的检索单元检索在注册装置50的存储单元中注册着的条目的一部分或全部而选择一个条目(步骤S15)，注册装置50的发送单元将检索结果的条目发送给加密装置10，加密装置10的接收单元接收条目(步骤S16)。在该条目中，包含有密钥生成装置的地址、该密钥生成装置的公开参数、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在加密装置10的存储器11中。

另外，在加密装置10预先持有各密钥生成装置20的公开参数、规划列表、策略列表、地址的情况下，省略步骤S14～S16的处理。即，必须要注意还允许密码系统1不包含注册装置50的方式。

加密装置10的第1谓词逻辑信息取得单元12从存储器11读取输入信息和策略以及规划，并求出属性信息(以下，称为第1属性信息)或谓词信息(以下称为第1谓词信息)(步骤S17a)。增加说明该处理的细节(参照图12、图13)。

然后，第1谓词逻辑信息取得单元12根据策略利用从规划对中选择的规划，从输入信息得到第1属性信息或第1谓词信息。当策略为Key_Policy而且被选择的规划为属性用规划的情况下，得到第1属性信息。当策略为Cipher_Text_Policy而且被选择的规划为谓词用规划的情况下，得到第1谓词信息。第1属性信息与第1谓词信息在第2观点的第1实施方式中成为将有限域F_q的元设为分量的向量信息(参照图11-13)。此时，利用规划从输入信息进行必要的属性值的提取与排列。

接着，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)、来自存储器11的公开参数中包含的正交基B(实质性的公开密钥)和明码电文(clear text)M，求出公共密钥K与密码信息C₁与密文C₂(步骤S17b、S17c)。说明这些处理的细节。其中，在第2观点的第1实施方式为将公共密钥K的配发特殊化的实施方式的情况下，不需要密文C₂的生成。

接着，第2加密单元13b使用公共密钥K与明码电文M，根据算式(9) 求出密文C₂(步骤S17c)。利用了公共密钥的加密方法Enc_K可以是公知的方法，例如是在上述非专利文献1中公开的方法。如上述那样，当第2观点的第1实施方式为将公共密钥K的配发特殊化了的实施方式的情况下，省略步骤S17c的处理。即，即使加密装置10具有第2加密单元13b的功能，也不进行步骤S17c的处理。

接着，加密装置10的发送单元14接受控制单元的控制，从而生成集中了密码信息C₁、(根据需要)密文C₂、来自存储器11的规划对、策略、公开参数、密钥生成装置的地址的密码消息(步骤S17d)。然后加密装置10的发送单元14将密码消息发送给第1解密装置30-1，第1解密装置30-1的接收单元接收密码消息(步骤S18)。另外，允许加密装置10对多个第1解密装置30-1发送密码消息。

到此《加密程序》结束。

《第1解密程序》

第1解密装置30-1的发送单元34接受未图示的控制单元的控制，从而将包含密码消息中所包含的密钥生成装置的地址的检索询问发送给注册装置50，注册装置50的接收单元接收检索询问(步骤S19)。注册装置50的检索单元检索由地址指定的密钥生成装置的条目而选择其(步骤S20)，注册装置50的发送单元将检索结果的条目发送给第1解密装置30-1，第1解密装置30-1的接收单元接收条目(步骤S21)。该条目中包含密钥生成装置的地址、该密钥生成装置的公开密钥、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在第1解密装置30-1的存储器31。

另外，当第1解密装置30-1预先持有各密钥生成装置20的公开参数、规划列表、策略列表、地址的情况下，省略步骤S19-S21的处理。此时，第1解密装置30从自己的存储器31检索与密码消息中包含的地址对应的密钥生成装置的条目而取得其。

第1解密装置30-1的验证单元(未图示)接受控制单元的控制，从而验证在密码消息中包含的规划对与策略是否包含在从注册装置50取得的条目中所包含的策略列表与规划列表中(步骤S22a)。当该验证失败时，设为解密处理失败而结束处理(步骤S22g)。

当该验证成功时，第1解密装置30-1的取得单元32例如从IC卡39这样的存储介质读取与该第1解密装置30-1的使用者对应的属性指定信息或谓词指定信息(步骤S22f)。根据密码消息中包含的策略来决定读取属性指定信息和谓词指定信息中的哪一个。即，所读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如何策略为Cipher_Text_Policy的情况下，取得单元32从存储介质读取属性指定信息。如果策略为Key_Policy的情况下，取得单元32从存储介质读取谓词指定信息。以下，将所读取的指定信息称为使用者信息。此外，与后述的密钥生成装置20中的处理《使用者信息取得程序》相同，还允许第1解密装置30-1的取得单元32从管理装置40读取与该第1解密装置30-1的使用者对应的属性指定信息或者谓词指定信息。另外，在该第2观点的第1实施方式中，任意地进行步骤S22f的处理。例如，当第1解密装置30-1预先持有与使用者对应的属性指定信息或谓词指定信息时，根据策略，属性指定信息或谓词指定信息中的一个成为使用者信息。

接着，第1解密装置30-1的验证单元验证是否持有为了对密码消息中包含的密码信息进行解密而使用的解密密钥(步骤S22b)。

第1解密装置30-1的存储器31中存储有解密密钥表格。例如图15所示，在解密密钥表格中，密钥生成装置的识别符与公开参数、规划对、解密密钥的对象、谓词指定信息、解密密钥相关联。因此，验证单元验证有无与由密码消息中包含的地址判别的密钥生成装置的识别符、公开参数、规划对、解密密钥的对象(其中，其对应于用于确定与由密码消息中包含的策略确定的一个规划成对的另一个规划的策略的内容)对应的解密密钥。如果存在解密密钥，则进行步骤S29的处理。如果不存在解密密钥，则进行步骤S23的处理。

若如上所述那样不存在解密密钥的情况下，第1解密装置30-1的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、使用者信息(若存在)，认证信息的密钥请求消息。认证信息例如包含使用者的ID和口令。然后，第1解密装置30-1的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息(步骤S23)。接收到的密钥请求消息被存储在密钥生成装置20的存储器21中。

密钥生成装置20的发送单元对管理装置40发送包含密钥请求消息中所包含的策略与认证信息(若存在)的要求(request)，管理装置40接收要求(步骤S25)。接收到的要求被存储在管理装置40的存储器中。

接着，密钥生成装置20的密钥生成单元25根据谓词密码算法，基于公开参数的q而生成作为有限域F_q的元的随机数α，从而利用来自存储器21的第2属性信息v_(p)＝(v_(p)1，...，v_(p)n)或者第2谓词信息w_(p)＝(w_(p)1，...，w_(p)n)、以及该密钥生成装置的秘密密钥B^*，根据上述算式(10)而求出解密密钥R(步骤S24d)。用于与加密处理中的输入信息为属性指定信息的情况相对应地，在该例子中使用第2谓词信息w_(p)，但当输入信息为谓词指定信息的情况下，第2属性信息v_(p)对应，因此在上述算式(10)中将w_(p)置换为v_(p)即可。

接着，密钥生成装置20的发送单元24接受控制单元的控制，从而将解密密钥R发送给第1解密装置30-1，第1解密装置30-1的接收单元接收解密密钥R(步骤S28。接收到的解密密钥R被存储在第1解密装置30-1的存储器31中。

在已经持有解密密钥的情况下，或者通过密钥生成程序接收到解密密钥的情况下(步骤S28)，第1解密装置30-1的解密单元33从存储器31读取公开参数、解密密钥R、密码信息C₁、(根据需要)密文C₂，从而求出公共密钥K与明码电文M(步骤S29)。

说明该步骤S29的处理的细节。第1解密单元33a从存储器31读取公开参数、密码信息C₁以及解密密钥R，并根据谓词密码算法，求出e(C₁，R)。该运算结果如上述算式(11)所示，当输入信息为属性指定信息的情况下，依赖于基于双线性从密码信息C₁与解密密钥R取得的第1属性信息v以及第2谓词信息w_(p)的标准内积的结果。当输入信息为谓词指定信息的情况下，在算式(11)中将v置换为v_(p)，将w_(p)置换为w即可，运算结果依赖于基于双线性从密码信息C₁与解密密钥R取出的第1谓词信息w与第2属性信息v_(p)的标准内积的结果。其中，e(b_i，b_i ^*)如上述算式(12)那样定义。δ_ij是克罗内克德尔塔符号。

从而，当第1属性信息v与第2谓词信息w_(p)的标准内积为0(或者第1谓词信息w与第2属性信息v_(p)的标准内积为0)的情况下，得到上述算式(11)的运算结果g_T ^ρ。当得到了该运算结果g_T ^ρ的情况下，第1解密装置30-1的第1解密单元33a根据上述算式(7)得到“正确”的公共密钥K(步骤S22c)。如果第1属性信息v与第2谓词信息w_(p)的标准内积不是0(或者第1谓词信息w与第2属性信息v_(p)的标准内积不是0)的情况下，第1解密单元33a根据上述算式(7)得到“不正确”的值。在该例子中，设散列函数H被系统共用或者包含在公开参数中。在该例子中，密码信息C₁是与生成公共密钥K时使用的信息ρ对应的信息，但设密码信息C₁为与公共密钥K对应的信息的情况下，上述算式(11)的运算结果成为公共密钥K(或者不正确的值)。即，第1解密装置30-1的合法的使用者持有用于提供与第1属性信息v的标准内积成为0的第2谓词信息w_(p)的谓词指示信息或者用于提供与第1谓词信息w的标准内积成为0的第2属性信息v_(p)的属性指示信息。

接着，第2解密单元33b使用公共密钥K与密文C₂，根据上述算式(13) 求出明码电文M(步骤S22d)。利用了公共密钥的解密方法Dec_k对应于加密方法Enc_k。如以上所述，当第2观点的第1实施方式为将公共密钥K的配发特殊化了的实施方式的情况下，省略步骤S22d的处理。即，第1解密装置30-1即使具有第2解密单元33b的功能，也不进行步骤S22d的处理。

如果基于上述算式(11)的运算结果是不正确的值的情况下，通过上述算式(13)不能得到正确的明码电文M。

另外，第1解密装置30-1可以将解密密钥R存储在解密密钥表格中。此外，也可以将公共密钥K附加在解密密钥表格中而存储。

到此《解密程序》结束。

《转发程序》

第1解密装置30-1的转发单元37将从加密装置10接收到的密码消息转发给第2解密装置30-2，第2解密装置30-2的接收单元接收密码消息(步骤S30)。转发目的地的解密装置不限于第2解密装置(对于密码消息的收发，与加密装置不是当事者的关系的解密装置)，也可以是其他的第1解密装置(对于密码消息的收发，与加密装置是当事者的关系的解密装置)。此外，在进行说明时，将步骤S30的处理说明为接着步骤S29的处理的处理，但第1解密装置30-1从加密装置10接收了密码消息之后即可。

到此《转发程序》结束。

说明第2解密装置30-2的第2解密程序(包含密钥生成程序，根据需要还包含使用者信息取得程序)。该一系列的处理实质上与第1解密程序相同。此外，第2解密装置30-2的功能结构除了不一定具有转发单元37这一点之外，与第1解密装置30-1相同，因此对于共同的功能结构要素，分配相同的参照标号。

《第2解密程序》

第2解密装置30-2的发送单元34接受未图示的控制单元的控制，从而将包含在密码消息中包含的密钥生成装置的地址的检索询问发送给注册装置50，注册装置50的接收单元接收检索询问(步骤S31)。注册装置50的检索单元检索由地址指定的密钥生成装置的条目而选择其(步骤S32)，注册装置50的发送单元将检索结果的条目发送给第2解密装置30-2，第2解密装置30-2的接收单元接收条目(步骤S33)。在该条目中，包含密钥生成装置的地址、该密钥生成装置的公开参数、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在第2解密装置30-2的存储器31中。

另外，当第2解密装置30-2预先持有各密钥生成装置20的公开参数、规划列表、策略列表、地址的情况下，省略步骤S31-S33的处理。此时，第2解密装置30-2从自己的存储器31检索与在密码消息中包含的地址对应的密钥生成装置的条目而取得其。

第2解密装置30-2的验证单元(未图示)接受控制单元的控制，从而验证在密码消息中包含的规划对与策略是否包含在从注册装置50取得的条目中包含的策略列条与规划列表中(步骤S34a)。当该验证失败的情况下，设为解密处理失败而结束处理(步骤S34g)。

当该验证成功的情况下，第2解密装置30-2的取得单元32例如从IC卡39那样的存储介质，读取与该第2解密装置30-2的使用者对应的属性指定信息或谓词指定信息(步骤S34f)。根据在密码消息中包含的策略来决定是读取属性指定信息还是谓词指定信息。即，被读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如果策略为Cipher_Text_Policy，则取得单元32从存储介质读取属性指定信息。如果策略为Key_Policy，则取得单元32从存储介质读取谓词指定信息。以下，将被读取的指定信息称为使用者信息。此外，与后述的密钥生成装置20中的处理《使用者信息取得程序》相同，还允许第2解密装置30-2的取得单元32从管理装置40读取与该第2解密装置30-2的使用者对应的属性指定信息或者谓词指定信息。另外，在该第2观点的第1实施方式中，任意地进行步骤S34f的处理。例如，当第2解密装置30-2预先持有与使用者对应的属性指定信息或谓词指定信息时，根据策略，属性指定信息或谓词指定信息中的一个成为使用者信息。

接着，第2解密装置30-2的验证单元验证是否持有为了对密码消息中包含的密码信息进行解密而使用的解密密钥(步骤S34b)。

第2解密装置30-2的存储器31中存储有解密密钥表格。例如图15所示，在解密密钥表格中，密钥生成装置的识别符与公开参数、规划对、解密密钥的对象、谓词指定信息、解密密钥相关联。因此，验证单元验证有无与由密码消息中包含的地址判别的密钥生成装置的识别符、公开参数、规划对、解密密钥的对象(其中，其对应于用于确定与由密码消息中包含的策略确定的一个规划成对的另一个规划的策略的内容)对应的解密密钥。如果存在解密密钥，则进行步骤S41的处理。如果不存在解密密钥，则进行步骤S35的处理。

若如上所述那样不存在解密密钥的情况下，第2解密装置30-2的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、使用者信息(若存在)，认证信息的密钥请求消息。认证信息例如包含使用者的ID和口令。然后，第2解密装置30-2的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息(步骤S35)。接收到的密钥请求消息被存储在密钥生成装置20的存储器21中。该密钥生成装置20不需要与第1解密装置30-1的对象的密钥生成装置20相同。

密钥生成装置20的验证单元(未图示)接受控制单元的控制，从而验证密钥请求消息中包含的规划对与策略是否包含在该密钥生成装置20所持有的条目(例如在步骤S1中生成的条目)中包含的策略列表与规划列表中、以及密钥请求消息中包含的公开参数是否为该密钥生成装置20的公开参数(步骤S36a)。当该验证失败时，设为密钥生成处理失败而结束处理(步骤S36g)。另外，在步骤S36a的处理中，若密钥请求消息中包含认证信息，则还进行密钥请求消息中包含的认证信息的验证。密钥生成装置20在存储器21中存储有认证表格。例如图16所示，在认证表格中，使用者的ID与口令相关联。因此，验证单元验证密钥请求消息中包含的使用者的ID和口令与认证表格中包含的使用者的ID和口令的匹配性。在该验证失败的情况下，也进行步骤S36g的处理。

在该验证成功时，密钥生成装置20的验证单元验证密钥请求消息中是否包含使用者信息(步骤S36b)。若密钥请求消息中包含有使用者信息则进行步骤S36c的处理，若密钥请求消息中不包含有使用者信息则进行步骤S37的处理。另外，当采用密钥请求消息中一定包含使用者信息的方法的情况下，不需要步骤S36b的处理以及后述的《使用者信息取得程序》。

密钥生成装置20的发送单元对管理装置40发送包含密钥请求消息中所包含的策略与认证信息(若存在)的要求(request)，管理装置40接收要求(步骤S37)。接收到的要求被存储在管理装置40的存储器中。

若该验证成功，则管理装置40的检索单元(未图示)根据要求中包含的策略，从存储器中存储着的使用者信息表格检索属性指定信息或者谓词指定信息(步骤S38)。使用者信息表格包含第1表格以及第2表格，所述第1表格例如由使用者的ID和与其相关联的属性名以及属性指定信息构成，所述第2表格由使用者的ID和与其相关联的谓词指定信息构成(参照图17)。根据在要求中包含的策略，决定是读取属性指定信息还是谓词指定信息。即，所读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如果策略为Cipher_Text_Policy的情况下，检索单元从第1表格取得与在要求中包含的使用者的ID对应的属性指定信息。如果策略为Key_Policy的情况下，检索单元从第2表格取得与在要求中包含的使用者的ID对应的谓词指定信息。将所读取的指定信息称为使用者信息。

管理装置40的发送单元接受控制单元的控制，从而将检索结果的使用者信息发送给密钥生成装置20，密钥生成装置20的接收单元接收使用者信息(步骤S39)。接收到的使用者信息被存储在密钥生成装置20的存储器21中。

当已经持有使用者信息的情况下，或者通过使用者信息取得程序接收了使用者信息的情况下(步骤S39)，密钥生成装置20的第2谓词逻辑信息取得单元23从存储器21读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(称为第2谓词信息)(步骤S36c)。一般来说，由于第1解密装置30-1的使用者与第2解密装置30-2的使用者不同，因此不保证在该处理中得到的第2属性信息或第2谓词信息与在步骤S24c的处理中得到的第2属性信息或者第2谓词信息相同。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第2观点的第1实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。此时，使用规划从输入信息进行必要的属性值的提取与排列。

接着，密钥生成装置20的密钥生成单元25根据谓词密码算法，基于公开参数的q而生成作为有限域F_q的元的随机数ε，从而利用来自存储器21的第2属性信息v_(p)＝(v_(p)1，...，v_(p)n)或者第2谓词信息w_(p)＝(w_(p)1，...，w_(p)n)、以及该密钥生成装置的秘密密钥B^*，根据算式(14)而求出解密密钥R(步骤S36d)。用于与加密处理中的输入信息为属性指定信息的情况相对应地，在该例子中使用第2谓词信息w’_(p)，但当输入信息为谓词指定信息的情况下，第2属性信息v’_(p)对应，因此在算式(14)中将w’_(p)置换为’v_(p)即可。

[数10]

R^{'} = ϵ Σ_{i = 1}^{n} {w^{'}}_{p (i)} b_{n + 1}^{*} - - - (14)

接着，密钥生成装置20的发送单元24接受控制单元的控制，从而将解密密钥R’发送给第2解密装置30-2，第2解密装置30-2的接收单元接收解密密钥R(步骤S40)。接收到的解密密钥R被存储在第2解密装置30-2的存储器31中。

在已经持有解密密钥的情况下，或者通过密钥生成程序接收到解密密钥的情况下(步骤S40)，第2解密装置30-2的解密单元33从存储器31读取公开参数、解密密钥R’、密码信息C₁、(根据需要)密文C₂，从而求出公共密钥K与明码电文M(根据需要)(步骤S41)。

说明该步骤S41的处理的细节。第1解密单元33a从存储器31读取公开参数、密码信息C₁以及解密密钥R’，并根据谓词密码算法，求出e(C₁，R’)。该运算结果如算式(15)所示，当输入信息为属性指定信息的情况下，依赖于基于双线性从密码信息C₁与解密密钥R’取得的第1属性信息v以及第2谓词信息w’_(p)的标准内积的结果。当输入信息为谓词指定信息的情况下，在算式(15)中将v置换为v’_(p)，将w’_(p)置换为w即可，运算结果依赖于基于双线性从密码信息C₁与解密密钥R’取出的第1谓词信息w与第2属性信息v’_(p)的标准内积的结果。其中，e(b_i，b_i ^*)如上述算式(12)那样定义。

[数11]

e (C_{1}, R^{'}) = e (r Σ_{i = 1}^{n} v_{i} b_{i}, R^{'}) \cdot e (ρ b_{n + 1}, R^{'})

= Π_{i = 1}^{n} e {(b_{i}, b_{i}^{*})}^{rα v_{i} {w^{'}}_{(p) i}} \cdot e {(b_{n + 1}, b_{n + 1}^{*})}^{ρ}

= {g_{T}}^{rα Σ_{i = 1}^{n} v_{i} {w^{′}}_{(p) i}} \cdot {g_{T}}^{ρ}

{g_{T}}^{rαv \cdot {w^{'}}_{(p)}} \cdot {g_{T}}^{ρ} - - - (15)

从而，当第1属性信息v与第2谓词信息w’_(p)的标准内积为0(或者第1谓词信息w与第2属性信息v’_(p)的标准内积为0)的情况下，得到算式(15)的运算结果g_T ^ρ。当得到了该运算结果g_T ^ρ的情况下，第2解密装置30-2的第1解密单元33a根据上述算式(7)得到“正确”的公共密钥K(步骤S34c)。如果第1属性信息v与第2谓词信息w’_(p)的标准内积不是0(或者第1谓词信息w与第2属性信息v’_(p)的标准内积不是0)的情况下，第1解密单元33a根据上述算式(7)得到“不正确”的值。在该例子中，设散列函数H被系统共用或者包含在公开参数中。在该例子中，密码信息C₁是与生成公共密钥K时使用的信息ρ对应的信息，但设密码信息C₁为与公共密钥K对应的信息的情况下，算式(15)的运算结果成为公共密钥K(或者不正确的值)。即，第2解密装置30-2的合法的使用者持有用于提供与第1属性信息v的标准内积成为0的第2谓词信息w’_(p)的谓词指示信息或者用于提供与第1谓词信息w的标准内积成为0的第2属性信息v’_(p)的属性指示信息。

接着，第2解密单元33b使用公共密钥K与密文C₂，根据上述算式(13)求出明码电文M(步骤S34d)。利用了公共密钥的解密方法Dec_k对应于加密方法Enc_k。如以上所述，当第2观点的第1实施方式为将公共密钥K的配发特殊化了的实施方式的情况下，省略步骤S34d的处理。即，第2解密装置30-2即使具有第2解密单元33b的功能，也不进行步骤S34d的处理。

如果基于算式(15)的运算结果是不正确的值的情况下，通过上述算式(13)不能得到正确的明码电文M。

另外，第2解密装置30-2可以将解密密钥R存储在解密密钥表格中。此外，也可以将公共密钥K附加在解密密钥表格中而存储。

到此《第2解密程序》结束。

当第2解密装置30-2具有转发单元37的情况下，第2解密装置30-2也可以将从第1解密装置30-1接收到的密码消息转发给其他的第2解密装置(对于密码消息的收发，与加密装置不是当事者的关系的解密装置)，也可以转发给第1解密装置(对于密码消息的收发，与加密装置是当事者的关系的解密装置)。该转发处理可以在第2解密装置30-2从第1解密装置30-1接收了密码消息后的任意时刻进行。

[第2观点的第2实施方式]

在第2观点的第2实施方式中，与第2观点的第1实施方式不同，第1解密装置30-1与第2解密装置30-2生成第2属性信息或第2谓词信息。伴随该差异，第2观点的第2实施方式在几个方面与第2观点的第1实施方式不同。因此，省略对与第2观点的第1实施方式重复的部分的重复说明(对相同的结构要素分配相同的参照标号)，参照图42～图48说明与第1实施方式不同的部分。

从步骤S1至步骤S22b的处理与第2观点的第1实施方式相同。

当在步骤S22b的处理中不持有解密密钥的情况下，第1解密装置30-1的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息中得到属性信息(称为第2属性信息)或者谓词信息(称为第2谓词信息)(步骤S23g)。在该处理中，用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第2观点的第2实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S23a的处理之后，进行步骤S23的处理。其中，在该处理中，第 1解密装置30-1的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或者第2谓词信息的密钥请求消息。然后，第1解密装置30的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S24a的处理中验证成功的情况下，进行步骤S24d的处理。密钥生成装置20从第1解密装置30-1接收第2属性信息或者第2谓词信息，因此与第2观点的第1实施方式不同，不需要用于生成该信息的功能与处理。

然后，步骤S24d的处理后的步骤S28至步骤S34a的各处理与第2观点的第1实施方式相同。

当在步骤S34b的处理中不持有解密密钥的情况下，第2解密装置30-2的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或者谓词信息(称为第2谓词信息)(步骤S35g)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，利用与由确定的一个规划(谓词用规划)成为的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，利用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第2观点的第2实施方式中成为将有限域F_q的元设为分量的向量信息(参照图11-13)

在步骤S35g处理之后，进行步骤S35的处理。其中，在该处理中，第2解密装置30-2的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或第2谓词信息的密钥请求消息。然后，第2解密装置30-2的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S36a的处理作用验证成功的情况下，进行步骤S36d的处理。密钥生成装置20从第2解密装置30-2接收第2属性信息或第2谓词信息，因此与第2观点的第1实施方式不同，不需要用于生成该信息的功能与处理。

然后，步骤S36d的处理之后的步骤S40与步骤S41的各处理与第2观点的第1实施方式相同。

[第2观点的第3实施方式]

第2观点的第3实施方式与第2观点的第1实施方式不同，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)与来自存储器11的公开参数中包含的公开密钥与明码电文M，请求密码信息C₁。即，在第2观点的第3实施方式中，例如利用上述非专利文献3所示的谓词密码算法。伴随该差异，第2观点的第3实施方式在几个方面与第2观点的第1实施方式不同。因此，对于与第2观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，参照图49～图54说明与第2观点的第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第2观点的第1实施方式相同。其中，公开参数等信息成为第2观点的第3实施方式的谓词密码算法所需的信息。具体的信息请参考例如上述非专利文献3等。

接着步骤S17d的处理的步骤S18至步骤S28的处理与第2观点的第1实施方式相同。

在接着步骤S28的处理的步骤S22c1的处理中，第1解密装置30-2的解密单元33根据谓词加密算法，从存储器31读取公开参数、解密密钥R与密码信息C₁，请求明码电文M(步骤S22c1)。

接着步骤S22c1的处理的步骤S30至步骤S40的处理与第2观点的第1实施方式相同。

在接着步骤S40的处理的步骤S34c1的处理中，第2解密装置30-2的解密单元33根据谓词密码算法，从存储器31读取公开参数、解密密钥R以及密码信息C₁，从而求出明码电文M(步骤S34c1)。

[第2观点的第4实施方式]

第2观点的第4实施方式相当于第2观点的第2实施方式与第2观点的第3实施方式的组合。即，第2观点的第4实施方式与第2观点的第1实施方式不同，(1)第1解密装置30-1与第2解密装置30-2生成第2属性信息或第2谓词信息，(2)加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)以及来自存储器11的公开参数中所包含的公开密钥与明码电文M，求出密码信息C₁。伴随该差异，第2观点的第4实施方式在几个方面与第2观点的第1实施方式不同。因此，对于与第2观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，还参照图55至图58来说明与第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第2观点的第1实施方式相同。其中，公开参数等信息成为第2观点的第4实施方式的谓词密码算法所需的信息。对于具体的信息，请参考例如上述非专利文献3等。

接着步骤S17d的处理的步骤S18至步骤S22b的处理与第2观点的第1实施方式相同。

在步骤S22b的处理中，当没有持有解密密钥的情况下，第1解密装置30-1的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(第2谓词信息)(步骤S23g)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy 的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第2观点的第4实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S23g的处理之后，进行步骤S23的处理。其中，在该处理中，第1解密装置30-1的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或第2谓词信息的密钥请求消息。然后，第1解密装置30-1的发送单元34对持有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S24a的处理中验证成功的情况下，进行步骤S24d的处理。密钥生成装置20从第1解密装置30-1接收第2属性信息或第2谓词信息，因此不需要用于生成该信息的功能与处理。

然后，步骤S24d的处理之后的步骤S28的处理与第2观点的第1实施方式相同。

在接着步骤S28的处理的步骤S22c1的处理中，第1解密装置30-1的解密单元33根据谓词密码算法，从存储器31读取公开参数、解密密钥R、密码信息C₁，从而求出明码电文M(步骤S22c1)。

然后，步骤S22c1的处理之后的步骤S30至步骤S34a的各处理与第2观点的第1实施方式相同。

当步骤S34b的处理中不持有解密密钥的情况下，第2解密装置30-2的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，从使用者信息得到属性信息(称为第2属性信息)或谓词信息(称为第2谓词信息)(步骤S35g)。在该处理中适用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第2观点的第4实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S35g的处理之后，进行步骤S35的处理。其中，在该处理中，第2解密装置30-2的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或第2谓词信息的密钥请求消息。然后，第2解密装置30-2的发送单元34对持有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S36a的处理中验证成功的情况下，进行步骤S36d的处理。密钥生成装置20从第2解密装置30-2接收第2属性信息或第2谓词信息，因此与第1实施方式不同，不需要用于生成该信息的功能与处理。

然后，步骤S36d的处理之后的步骤S40的处理与第2观点的第1实施方式相同。

在接着步骤S40的处理的步骤S34c1的处理中，第2解密装置30-2的解密单元33根据谓词密码算法，从存储器31读取公开参数、解密密钥R、密码信息C₁，从而求出明码电文M(步骤S34c1)。

第2观点的上述各实施方式例如作为电子邮件系统或简讯系统来实施。图59例示被收发的数据的结构。消息整体的基本格式例如基于S/MIME(安全多用途网际邮件扩充：Secure Multipurpose Internet Mail Extensions)，但对从密码消息开始位置标记(marker)至密码消息结束位置标记的数据利用XML(可扩展标记语言：eXtensible Markup Language)等提供适当的数据结构。

密码消息开始位置标记至密码消息结束为止标记表示有关谓词密码的一系列的数据。

在算法识别符块中，指定用于确定在公共密钥的加密中所使用的谓词密码算法以及在消息净荷的加密所使用的公共密钥密码算法的信息。这样，能够指定用于表示算法的识别符以及算法的版本等(PE/VersionX+Camellia(Camellia是注册商标)等)。

数字签名块中记述了数字签名。签名算法能够使用已有的方式。根据运用方式，可省略该项目。

公开参数信息块中指定了用于确定所使用了的公开信息参数的信息。还能够指定用于确定公开信息参数的识别符、或者公开信息参数的数据其本身。

策略字段中指定用于确定所使用的策略的识别符。

规划字段中指定用于确定所使用的规划的识别符，或者记述规划的数据。

密码信息字段中指定通过谓词密码对在消息净荷(明码电文)的加密中所使用的公共密钥进行加密的数据(密码消息)。

在密文字段中记述了对消息净荷(明码电文)进行加密而生成的数据(密文)。

属性字段/谓词字段中能够指定与策略字段对应地表示在加密中使用的属性/谓词的字符串表现。根据运用方式，能够省略这些项目。

附加字段中能够添加例如进行了RSA加密的附加文件等。根据运用方式，能够省略该项目。

此外，例如伴随简讯的安全的通信的情况下，不需要重发对公共密钥进行了加密的密码信息。简讯中通常只要在最初的简讯中能够取得适当的公共密钥，则接收者可以为了在后续的简讯的解密中使用而保存共通密钥。这样，在从发送者对接收者发送后续的简讯时，发送密文，但可以不发送公开参数信息、策略、规划、密码信息。同样，当为不改变所使用的密码算法的运用的情况下，可以省略后续的简讯内的密码算法识别符。

由于谓词密码是不受依赖于接收者的信息的拘束的方式，因此在加密时发送者(装置)对未知的接收者(装置)也能够发送密码消息。换言之，即使存在多个接收者(装置)的情况下，发送者也仅进行一次加密处理(公开密钥密码方式中，需要N次的密码处理)。因此，发送者(装置)能够以低处理成本同时发送密码消息。

此外，在接收者(装置)对第三者(装置)转发密码消息时，能够将从加密装置接收到的密码消息直接转发给第三者(装置)。在公开密钥密码方式中，需要接收者(装置)暂时对密码消息进行解密，并利用第三者(装置)的公开密钥进行加密，并发送该被加密的密码消息的处理，处理成本的负担大。但是，在上述的各实施方式中，由于将从加密装置接收到的密码消息直接转发给第三者(装置)，因此能够以低处理成本转发密码消息。

接着，注意上述的第1观点的密码通信技术，并从第3观点说明有关能够灵活地运用而且能够配发以为此密码进行了加密的内容(加密内容)的、基于谓词密码的密码通信技术的实施方式。根据该技术，通过谓词密码进行了加密的内容(加密内容)被积累在内容服务器装置中，根据来自解密装置的请求发送加密内容，从而能够配发加密内容。

第3观点的密码通信技术的说明包含很多实质上与上述的第1观点的密码通信技术的说明重复的部分，但尽量不省略重复说明与重复附图地说明第3观点的密码通信技术，以便不用参照第1观点的密码通信技术。因此，算式号、表示功能单元的参照标号、表示步骤的参照标号等也在两者中重复，但文理上不存在混乱的顾虑。

[第3观点的第1实施方式]

参照图60至图71，说明第3观点的本发明的第1实施方式。

如图60所示，第3观点的密码系统1包含多个客户装置10、30、一个或多个密钥生成装置20、一个或多个内容服务装置60、一个或多个用户信息管理装置40(以下，称为管理装置)、变换规则信息对管理装置50(以下，称为注册装置)、一个或多个保全装置80、一个或多个认证装置90。这些各装置例如经由作为因特网的通信网5，可相互通信。

客户装置根据处理目的，作为对内容进行加密而生成加密内容的加密装置或作为对加密内容进行解密的解密装置起作用。因此，从功能的观点，将客户装置称为加密装置10或解密装置30。另外，第3观点的密码系统1也可以包含仅起到加密装置的作用的客户装置和/或仅作为解密装置起作用的客户装置。

在第3观点的密码系统1中，进行利用了谓词密码的加密与解密。在第3观点的本发明中，并不限定于所使用的谓词密码算法，允许使用例如在上述的非专利文献3中公开的谓词密码算法。在第3观点的第1实施方式中，表示利用了KEM(Key Encapsulated M Mechanisms)类型的谓词密码算法的例子。

参照图61、62、63、64、66、69、71，叙述密码系统1中的密码通信方法。对于各装置的功能结构，请参照图65、67、68、70。

《准备程序》

将第1观点的发明的第1实施方式中的《准备程序》的全部说明引用于此，并省略重复说明。另外，作为与该《准备程序》的说明对应的附图请参照图61，对于规划对请参照图11～图13，对于策略请参照图14。到此《准备程序》结束。

《加密程序》

加密装置10的第1谓词逻辑信息取得单元12从存储器11读取输入信息和策略以及规划，并求出属性信息(以下，称为第1属性信息)或谓词信息(以下称为第1谓词信息)(步骤S17a)。说明该处理的细节(参照图12、图13)。

然后，第1谓词逻辑信息取得单元12根据策略利用从规划对中选择的规划，从输入信息得到第1属性信息或第1谓词信息。当策略为Key_Policy而且被选择的规划为属性用规划的情况下，得到第1属性信息。当策略为Cipher_Text_Policy而且被选择的规划为谓词用规划的情况下，得到第1谓词信息。第1属性信息与第1谓词信息在第3观点的第1实施方式中成为将有限域F_q的元设为分量的向量信息(参照图11-13)。此时，利用规划从输入信息进行必要的属性值的提取与排列。

接着，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)、来自存储器11的公开参数中包含的正交基B(实质性的公开密钥)和内容(contents)M，求出公共密钥K与密码信息C₁与密文C₂(步骤S17b、S17c)。说明这些处理的细节。

首先，第1加密单元13a根据谓词密码算法，生成有限域F_q的元的随机数r、ρ，从而如上述算式(7)那样设定公共密钥K，并根据上述算式(8)求出密码信息C₁(步骤S17b)。H例如是散列函数。在该例子中使用了第1属性信息v，但在使用第1谓词信息的情况下，只要在上述算式(8)中将v置换为w即可。此外，在该例子中，密码信息C₁是与用于公共密钥K的生成的信息ρ对应的信息，但也可以将密码信息C₁设为与公共密钥K对应的信息。

接着，第2加密单元13b使用公共密钥K与内容M，根据上述算式(9)求出加密内容C₂(步骤S17c)。利用了公共密钥的加密方法Enc_K可以是公知的方法，例如是在上述非专利文献1中公开的方法。

接着，加密装置10的发送单元14接受控制单元的控制，从而生成集中了密码信息C₁、加密内容C₂、来自存储器11的规划对、策略、公开参数、密钥生成装置的地址的密码消息(步骤S17d)。然后加密装置10的发送单元14将密码消息发送给内容服务器装置60，内容服务器装置60的接收单元接收密码消息(步骤S18)。加密内容的上传例如利用FTP(File Transfer Protocol)或WebDAV(Distributed Authoring and Versioning Protocol for the WWW)等公知的方式来进行。

到此《加密程序》结束。

《内容配发程序》

内容服务器装置60在未图示的控制单元的控制下，在其存储器60中存储从各加密装置10发送的密码消息。由此，在密码消息中包含的密码信息与加密内容被存储在内容服务器装置60中。例如在网页上公开在内容服务器装置60中注册有怎样的加密内容。

上述网页例如基于因特网协议，通过解密装置30的浏览器单元38被显示在解密装置30的显示器上(未图示)。解密装置30的使用者进行用于选择期望的加密内容的输入操作。解密装置30的浏览器单元38基于使用者所输入的信息，将用于从内容服务器装置60取得所选择的加密内容的取得请求传递给解密装置30的解密单元33(以下，称为中继单元)(步骤S19)。然后，解密装置30的中继单元33将该取得请求发送给内容服务器装置60，内容服务器装置60的接收单元接收该取得请求(步骤S20)。这样，浏览器单元38与内容服务器装置60的例如基于HTTP(Hiper Text Transfer Protocol)的交换经由中继单元33而进行(例如允许使用WWW浏览器的代理设定)。内容服务器装置60的检索单元62检索包含在取得请求中指定的加密内容的密码消息而选择其(步骤S21)，基于来自检索单元62的指示，内容服务器装置60的发送单元64将密码消息发送给解密装置30，解密装置30的接收单元接收密码消息(步骤S22)。

到此《内容配发程序》结束。

《解密程序》

解密装置30的发送单元34接受未图示的控制单元的控制，从而将包含密码消息中所包含的密钥生成装置的地址的检索询问发送给注册装置50，注册装置50的接收单元接收检索询问(步骤S23)。注册装置50的检索单元检索由地址所指定的密钥生成装置的条目而选择其(步骤S24)，注册装置50的发送单元将检索结果的条目发送给解密装置30，解密装置30的接收单元接收条目(步骤S25)。该条目中包含有密钥生成装置的地址、该密钥生成装置的公开参数、该密钥生成装置能够使用的策略列表、该密钥生成装置能够使用的规划列表。接收到的条目被存储在解密装置30的存储器31中。

解密装置30的验证单元(未图示)接受控制单元的控制，从而验证在密码消息中包含的规划对与策略是否包含在从注册装置50取得的条目中所包含的策略列表与规划列表中(步骤S26a)。当该验证失败时，设为解密处理失败而结束处理(步骤S26g)。

当该验证成功时，解密装置30的取得单元32例如从IC卡39这样的存储介质读取与该解密装置30的使用者对应的属性指定信息或谓词指定信息(步骤S26f)。根据密码消息中包含的策略来决定读取属性指定信息和谓词指定信息中的哪一个。即，所读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如何策略为Cipher-_Text_Policy的情况下，取得单元32从存储介质读取属性指定信息。如果策略为Key_Policy的情况下，取得单元32从存储介质读取谓词指定信息。以下，将所读取的指定信息称为使用者信息。此外，与后述的密钥生成装置20中的处理《使用者信息取得程序》相同，还允许解密装置30的取得单元32从管理装置40读取与该解密装置30的使用者对应的属性指定信息或者谓词指定信息。另外，在第3观点的第1实施方式中，任意地进行步骤S26f的处理。例如，当解密装置30预先持有与使用者对应的属性指定信息或谓词指定信息时，根据策略，属性指定信息或谓词指定信息中的一个成为使用者信息。

接着，解密装置30的验证单元验证是否持有为了对密码消息中包含的密码信息进行解密而使用的解密密钥(步骤S26b)。

解密装置30在存储器31中存储有解密密钥表格。例如图15所示，在解密密钥表格中，密钥生成装置的识别符与公开参数、规划对、解密密钥的对象、谓词指定信息、解密密钥相关联。因此，验证单元验证有无与由密码消息中包含的地址判别的密钥生成装置的识别符、公开参数、规划对、解密密钥的对象(其中，其对应于用于确定与由密码消息中包含的策略确定的一个规划成对的另一个规划的策略的内容)对应的解密密钥。如果存在解密密钥，则进行步骤S33的处理。如果不存在解密密钥，则进行步骤S27的处理。

若如上所述那样不存在解密密钥的情况下，解密装置30的发送单元34接受控制单元的控制，从而生成集中了来自存储器31的公开参数、策略、规划对、使用者信息(若存在)，认证信息的密钥请求消息。认证信息例如包含使用者的ID和口令。然后，解密装置30的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息(步骤S27)。接收到的密钥请求消息被存储在密钥生成装置20的存储器21中。

密钥生成装置20的验证单元(未图示)接受控制单元的控制，从而验证密钥请求消息中包含的规划对与策略是否包含在该密钥生成装置20所持有的条目(例如在步骤S1中生成的条目)中包含的策略列表与规划列表中、以及密钥请求消息中包含的公开参数是否为该密钥生成装置20的公开参数(步骤S28a)。当该验证失败时，设为密钥生成处理失败而结束处理(步骤S28g)。另外，在步骤S28a的处理中，若密钥请求消息中包含认证信息，则还进行密钥请求消息中包含的认证信息的验证。密钥生成装置20在存储器21中存储有认证表格。例如图16所示，在认证表格中，使用者的ID与口令相关联。因此，验证单元验证密钥请求消息中包含的使用者的ID和口令与认证表格中包含的使用者的ID和口令的匹配性。在该验证失败的情况下，也进行步骤S28g的处理。

在该验证成功时，密钥生成装置20的验证单元验证密钥请求消息中是否包含使用者信息(步骤S28b)。若密钥请求消息中包含有使用者信息则进行步骤S28c的处理，若密钥请求消息中不包含有使用者信息则进行步骤S29的处理。另外，当采用密钥请求消息中一定包含使用者信息的方法的情况下，不需要步骤S28b的处理以及后述的《使用者信息取得程序》。

若该验证成功，则管理装置40的检索单元(未图示)根据要求中包含的策略，从存储器中存储着的使用者信息表格检索属性指定信息或者谓词指定信息(步骤S30)。使用者信息表格包含第1表格以及第2表格，所述第1表格例如由使用者的ID和与其相关联的属性名以及属性指定信息构成，所述第2表格由使用者的ID和与其相关联的谓词指定信息构成(参照图17)。根据在要求中包含的策略，决定是读取属性指定信息还是谓词指定信息。即，所读取的信息是与用于确定与由该策略确定的一个规划成对的另一个规划的策略的内容对应的指定信息。如果策略为Cipher_Text_Policy的情况下，检索单元从第1表格取得与在要求中包含的使用者的ID对应的属性指定信息。如果策略为Key_Policy的情况下，检索单元从第2表格取得与在要求中包含的使用者的ID对应的谓词指定信息。将所读取的指定信息称为使用者信息。

管理装置40的发送单元接受控制单元的控制，从而将检索结果的使用者信息发送给密钥生成装置20，密钥生成装置20的接收单元接收使用者信息(步骤S31)。接收到的使用者信息被存储在密钥生成装置20的存储器21中。

当已经持有使用者信息的情况下，或者通过使用者信息取得程序接收了使用者信息的情况下(步骤S31)，密钥生成装置20的第2谓词逻辑信息取得单元23从存储器21读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(称为第2谓词信息)(步骤S28c)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第3观点的第1实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。此时，使用规划从输入信息进行必要的属性值的提取与排列。

接着，密钥生成装置20的密钥生成单元25根据谓词密码算法，基于公开参数的q而生成作为有限域F_q的元的随机数α，从而利用来自存储器21的第2属性信息v_(p)＝(v_(p)1，...，v_(p)n)或者第2谓词信息w_(p)＝(w_(p)1，...，w_(p)n)、以及该密钥生成装置的秘密密钥B^*，根据上述算式(10)而求出解密密钥R(步骤S28d)。用于与加密处理中的输入信息为属性指定信息的情况相对应地，在该例子中使用第2谓词信息w_(p)，但当输入信息为谓词指定信息的情况下，第2属性信息v_(p)对应，因此在上述算式(10)中将w_(p)置换为v_(p)即可。

接着，密钥生成装置20的发送单元24接受控制单元的控制，从而将解密密钥R发送给解密装置30，解密装置30的接收单元接收解密密钥R(步骤S32)。接收到的解密密钥R被存储在解密装置30的存储器31中。

在已经持有解密密钥的情况下，或者通过密钥生成程序接收到解密密钥的情况下(步骤S32)，解密装置30的中继单元33从存储器31读取公开参数、解密密钥R、密码信息C₁、(根据需要)加密内容C₂，从而求出公共密钥K与内容M(步骤S33)。

增加说明该步骤S33的处理的细节。中继单元33包含用于承担解密处理的第1解密单元33a以及第2解密单元33b。

第1解密单元33a从存储器31读取公开参数、密码信息C₁以及解密密钥R，并根据谓词密码算法，求出e(C₁，R)。该运算结果如上述算式(11)所示，当输入信息为属性指定信息的情况下，依赖于基于双线性从密码信息C₁与解密密钥R取得的第1属性信息v以及第2谓词信息w_(p)的标准内积的结果。当输入信息为谓词指定信息的情况下，在上述算式(11)中将v置换为v_(p)，将w_(p)置换为w即可，运算结果依赖于基于双线性从密码信息C₁与解密密钥R取出的第1谓词信息w与第2属性信息v_(p)的标准内积的结果。其中，e(b_i，b_i ^*)如上述算式(12)那样定义。δ_ij是克罗内克德尔塔符号。

从而，当第1属性信息v与第2谓词信息w_(p)的标准内积为0(或者第1谓词信息w与第2属性信息v_(p)的标准内积为0)的情况下，得到上述算式(11)的运算结果g_T ^ρ。当得到了该运算结果g_T ^ρ的情况下，解密装置30的第1解密单元33a根据上述算式(7)得到“正确”的公共密钥K(步骤S26c)。如果第1属性信息v与第2谓词信息w_(p)的标准内积不是0(或者第1谓词信息w与第2属性信息v_(p)的标准内积不是0)的情况下，第1解密单元33a根据算式上述(7)得到“不正确”的值。在该例子中，设散列函数H被系统共用或者包含在公开参数中。在该例子中，密码信息C₁是与生成公共密钥K时使用的信息ρ对应的信息，但设密码信息C₁为与公共密钥K对应的信息的情况下，上述算式(11)的运算结果成为公共密钥K(或者不正确的值)。即，解密装置30的合法的使用者持有用于提供与第1属性信息v的标准内积成为0的第2谓词信息w_(p)的谓词指示信息或者用于提供与第1谓词信息w的标准内积成为0的第2属性信息v_(p)的属性指示信息。

接着，第2解密单元33b使用公共密钥K与内容C₂，根据上述算式(13) 求出内容M(步骤S26d)。利用了公共密钥的解密方法Dec_k对应于加密方法Enc_k。

如果基于上述算式(11)的运算结果是不正确的值的情况下，通过上述算式(13)不能得到正确的内容M。

对加密内容进行解密而得到的内容M从中继单元33传递到浏览器单元38(步骤S34)，通过浏览器单元38，被显示在解密装置30的显示器上(步骤S35)。

到此《解密程序》结束。

[第3观点的第2实施方式]

在第3观点的第2实施方式中，与第3观点的第1实施方式不同，解密装置30生成第2属性信息或者第2谓词信息。伴随该差异，第3观点的第2实施方式在几个方面与第3观点的第1实施方式不同。因此，省略对于第3观点的第1实施方式重复的部分的重复说明(对相同的结构要素分配相同的参照标号)，参照图72～图75说明与第3观点的第1实施方式不同的部分。

从步骤S1至步骤S26b的处理与第3观点的第1实施方式相同。

当在步骤S26b的处理中不持有解密密钥的情况下，解密装置30的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息中得到属性信息(称为第2属性信息)或者谓词信息(称为第2谓词信息)(步骤S27g)。在该处理中，用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第1观点的第2实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S27a的处理之后，进行步骤S27的处理。其中，在该处理中，解密装置30的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或者第2谓词信息的密钥请求消息。然后，解密装置30的发送单元34对具有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S28a的处理中验证成功的情况下，进行步骤S28d的处理。密钥生成装置20从解密装置30接收第2属性信息或者第2谓词信息，因此与第3观点的第1实施方式不同，不需要用于生成该信息的功能与处理。

然后，步骤S28d的处理后的步骤S32至步骤S35的各处理与第3观点的第1实施方式相同。

[第3观点的第3实施方式]

在第3观点的第3实施方式中，与第3观点的第1实施方式不同，加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)与来自存储器11的公开参数中包含的公开密钥与内容M，求出密码信息C₁。即，在第3观点的第3实施方式中，例如利用上述非专利文献3所示的谓词密码算法。伴随该差异，第3观点的第3实施方式在几个方面与第3观点的第1实施方式不同。因此，对于与第3观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，参照图76～图79说明与第3观点的第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第3观点的第1实施方式相同。其中，公开参数等信息成为第3观点的第3实施方式的谓词密码算法所需的信息。具体的信息请参考例如上述非专利文献3等。

在接着步骤S17a的处理的步骤S17b1的处理中，加密装置10的加密单元13根据谓词密码算法，利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)以及来自存储器11的公开参数中所包含的公开密钥与内容M，求出密码信息C₁(步骤S17b1)。

接着步骤S17d的处理的步骤S18至步骤S32的处理与第3观点的第1实施方式相同。

在接着步骤S32的处理的步骤S26c1的处理中，解密装置30的中继单元33根据谓词加密算法，从存储器31读取公开参数、解密密钥R与密码信息C₁，求出内容M(步骤S26c1)。

接着步骤S26c1的处理的步骤S34与步骤S35的各处理与第3观点的第1实施方式相同。

[第3观点的第4实施方式]

第3观点的第4实施方式相当于第3观点的第2实施方式与第3观点的第3实施方式的组合。即，第3观点的第4实施方式与第3观点的第1实施方式不同，(1)解密装置30生成第2属性信息或第2谓词信息，(2)加密装置10的加密单元13利用第1属性信息v＝(v₁，...，v_n)或者第1谓词信息w＝(w₁，...，w_n)以及来自存储器11的公开参数中所包含的公开密钥与内容M，求出密码信息C₁。伴随该差异，第3观点的第4实施方式在几个方面与第3观点的第1实施方式不同。因此，对于与第3观点的第1实施方式重复的部分省略重复说明(对相同的结构要素分配相同的参照标号)，还参照图80和图81来说明与第3观点的第1实施方式不同的部分。

从步骤S1至步骤S17a的处理与第3观点的第1实施方式相同。其中，公开参数等信息成为第3观点的第4实施方式的谓词密码算法所需的信息。对于具体的信息，请参考例如上述非专利文献3等。

接着步骤S17d的处理的步骤S18至步骤S26b的处理与第3观点的第1实施方式相同。

在步骤S26b的处理中，当没有持有解密密钥的情况下，解密装置30的第2谓词逻辑信息取得单元35从存储器31读取策略、规划对、公开参数、使用者信息，并从使用者信息得到属性信息(称为第2属性信息)或谓词信息(第2谓词信息)(步骤S23g)。在该处理中用于使用者信息的规划是与由策略确定的一个规划成对的另一个规划。当策略为Cipher_Text_Policy的情况下，使用与由Cipher_Text_Policy确定的一个规划(谓词用规划)成对的另一个规划(属性用规划)，从使用者信息(属性指定信息)得到第2属性信息。当策略为Key_Policy的情况下，使用与由Key_Policy确定的一个规划(属性用规划)成对的另一个规划(谓词用规划)，从使用者信息(谓词指定信息)得到第2谓词信息。这样，要注意在该处理中使用的规划是与在步骤S17a中使用的规划成对的规划。第2属性信息与第2谓词信息在第3观点的第4实施方式中成为将有限域F_q的元作为分量的向量信息(参照图11-图13)。

在步骤S27g的处理之后，进行步骤S27的处理。其中，在该处理中，解密装置30的发送单元34接受控制单元的控制，生成集中了来自存储器31的公开参数、策略、规划对、认证信息、第2属性信息或第2谓词信息的密钥请求消息。然后，解密装置30的发送单元34对持有来自存储器31的地址的密钥生成装置发送密钥请求消息，该密钥生成装置20的接收单元接收密钥请求消息。

然后，当在步骤S28a的处理中验证成功的情况下，进行步骤S24d的处理。密钥生成装置20从解密装置30接收第2属性信息或第2谓词信息，因此不需要用于生成该信息的功能与处理。

然后，步骤S28d的处理之后的步骤S32的处理与第3观点的第1实施方式相同。

在接着步骤S32的处理的步骤S26c1的处理中，解密装置30的解密单元33根据谓词密码算法，从存储器31读取公开参数、解密密钥R、加密内容C₁，从而求出内容M(步骤S26c1)。

如从第3观点的上述各实施方式可知那样，中继单元进行加密内容的解密。因此，能够将解密处理例如从WWW服务器或WWW浏览器的通常的协议分离而实施，容易转用已有的WWW系统。此外，使用者即使不进行用于进行加密内容的解密处理的操作，也由中继单元进行解密处理，因此使用者的便利性高。

在第3观点的上述的各实施方式中，允许在内容服务器装置60与解密装置30之间的通信路径上设置隐藏服务器装置等的运用(此时，加密内容被隐藏)。

此外，考虑到客户终端装置没有始终连接到通信网络5的运用中的便利性，也可以由中继单元隐藏解密前的加密内容。

此外，为了避免对WWW浏览器的已解密内容的隐藏，也可以将用于使隐藏无效的HTTP隐藏控制报头附加给发往WWW浏览器的报告中。

考虑到多个使用者使用相同的客户终端装置的情况，也可以采用中继单元具有认证功能的系统结构。此时，对WWW浏览器利用HTTP的Basic认证或Digest认证，此外，也可以对中继单元追加用于认证的认证信息(用户ID/口令)的表格等以及有关认证信息的追加/变更/删除的管理功能。

第3观点的上述的各实施方式作为内容配发系统适当实施。由于谓词密码是在加密时不受依赖于接收者的信息的拘束的方式，因此作为有可能由不确定的人进行浏览的内容的访问控制来说是优选的。

图82例示被收发的数据的结构。消息整体的基本格式例如基于S/MIME(Secure Multipurpose Internet Mail Extensions)，但对从密码消息开始位置标记(marker)至密码消息结束位置标记的数据利用XML(可扩展标记语言：eXtensible Markup Language)等提供适当的数据结构。

加密内容有关的数据设为密码块。以下，表示密码块的结构要素。

在算法识别符块中，指定用于确定在公共密钥的加密中所使用的谓词密码算法以及在消息的加密所使用的公共密钥密码算法的信息。这样，能够指定用于表示算法的识别符以及算法的版本等(PE/VersionX+Camellia(Camellia是注册商标)等)。

策略字段中指定用于确定所使用的策略的识别符。

密码信息字段中指定通过谓词密码对在内容的加密中所使用的公共密钥进行加密的数据(密码消息)。

在内容文件名、内容类型、内容文件尺寸分别记述内容的文件名、内容的数据类型(例如：text/html等)、内容的文件尺寸。

密码数据中记述对内容进行加密而生成的加密内容。

通过HTML(超文本链接标示语言：Hyper Text Markup Language)记述内容的基本数据结构，通过HTML内部的注释(comment)字符来制定密码块。

对密码块利用XML(可扩展标记语言：eXtensible Markup Language)等提供适当的数据结构。

在要通过浏览器等直接浏览的情况下，不显示注释字符，显示剩余的HTML的文章，因此在剩余的HTML部分可以记述用于表示时加密内容的消息、或者在解密失败的情况下的错误消息等。

在上述的说明中，设代数结构S为有限域，但也可以是有限环(整数剩余环)。当谓词密码算法例如是利用内积的谓词密码算法的情况下，第1、第2属性信息以及第1、第2谓词信息是将S的元设为分量的向量。

此外，根据代数结构S的体系，公开密钥B是S上的加群V的元的集合，秘密密钥B^*是加群V的双对加群V^*的元的集合，解密密钥R成为双对加群V^*的元。另外，当代数结构S为有限域的情况下，有限域上的加群V是所谓的有限域上的向量空间。此时，加密单元通过进行包含以下运算的运算：对公开密钥B的元进行以第1属性信息的分量为系数的标量倍的运算、或者对公开密钥B的元进行以第1谓词信息的分量为系数的标量倍的运算，从而求出密码信息。然后密钥生成单元通过进行以下运算：对秘密密钥B^*的元进行以第2谓词信息的分量为系数的标量倍的运算、或者对秘密密钥B^*的元进行以第2属性信息的分量为系数的标量倍的运算，从而求出解密密钥R。

密码系统中包含的硬件实体(客户装置、密钥生成装置、注册装置、管理装置、保全装置、认证装置、内容服务器装置)具有可连接键盘等的输入单元、可连接液晶显示器等的输出单元、可连接能够与硬件实体的外部通信的通信装置(例如通信电缆)的通信单元、CPU(中央处理单元)(也可以包含闪存或寄存器等)、作为存储器的RAM和ROM、作为硬盘的外部存储装置、以及在输入单元、输出单元、通信单元、CPU、RAM、ROM、外部存储装置之间可交换数据地连接的总线。此外根据需要，对硬件实体也可以设置能够读写CD-ROM等存储介质的装置(驱动器)等。作为包含这样的硬件资源的物理实体，有通用计算机等。

硬件实体的外部存储装置中存储有实现上述的功能所需的程序以及在该程序的处理中所需的数据等(并不限定于外部存储装置，例如也可以存储在作为调出程序的专用存储装置的ROM等)。此外，通过这些程序的处理而得到的数据等适当地存储在RAM或外部存储装置等。在上述的说明中，将用于存储运算结果和其存储区域的地址等的RAM或寄存器等存储装置简单设为“存储器”。

在硬件实体中，根据需要，向存储器中读取在外部存储装置(或ROM等)存储的各程序以及该各程序的处理所需的数据，从而适当地由CPU分析执行/处理。其结果，CPU实现规定的功能(例如，加密单元、解密单元、密钥生成单元、第1谓词逻辑信息取得单元、第2谓词逻辑信息取得单元，控制单元等)。

在各实施方式中说明的硬件实体的细节中，有时需要数论中的数值计算处理，但数论中的数值计算处理本身与公知技术同样地完成，因此省略了其运算处理方法等详细的说明(作为用于表示这一点的技术水平的可进行数论中的数值计算处理的软件，例举PARI/GP、KANT/KASH等。对于PARI/GP，例如参考因特网<URL：http://pari.math.u-bordeaux.fr/>(2009年4月14日检索)。对于KANT/KASH，例如参考因特网<URL：http://www.math.tu-berlin.de/algebra/>(2009年4月14日检索)。)。此外，作为有关这一点的文献，可举出参考文献A。

(参考文献A)H.Cohen，“A Course in Computational Algebraic Number Theory”，GTM 138，Springer-Verlag，1993.

本发明并不限定于上述的实施方式，在不脱离本发明的意旨的范围内可适当变更。此外，在上述实施方式中说明的处理并不仅仅按照记载的顺序时序地执行，根据执行处理的装置的处理功能或者根据需要，也可以并列地或者单独执行。

此外，当通过计算机来实现在上述实施方式中说明的硬件实体中的处理功能的情况下，通过程序来记述硬件实体应具有的功能的处理内容。然后，通过计算机来执行该程序，从而在计算机上实现在上述的硬件实体中的处理功能。

记述了该处理内容的程序能够预先存储在计算机可读取的存储介质中。作为计算机可读取的存储介质，例如可以是磁存储装置、光盘、光磁存储介质、半导体存储器等中的其中一个。具体来说，作为磁存储装置可以使用硬盘装置、软盘、磁带等，作为光盘能够使用DVD(Digital Versatile Disc)、DVD-RAM(Random Access Memory)、CD-ROM(Compact Disc Read Only Memory)、CD-R(Recordable)/RW(ReWritable)等，作为光磁存储介质，能够使用MO(Magneto-Optical disc)等，作为半导体存储器能够使用EEP-ROM(Electronically Erasable and Programmable-Read Only Memory)等。

此外，该程序的流通例如通过销售、转让、出借存储了该程序的DVD、CD-ROM等可移动存储介质来进行。而且，也可以是以下结构：将该程序预先存储在服务器计算机的存储装置中，并经由网络，从服务器计算机对其他的计算机转发该程序，从而使该程序流通。

用于执行这样的程序的计算机例如首先将存储在可移动存储介质中的程序或者从服务器计算机转发的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取在自己的存储介质中存储了的程序，并根据所读取的程序来执行处理。此外，作为该程序的其他的实施方式，也可以设为计算机从可移动存储介质直接读取程序，并基于该程序执行处理，此外，也可以使该计算机每次从服务器计算机转发程序时，依次执行基于所接受的程序的处理。此外，也可以设为通过以下的服务来执行上述的处理的结构：从服务器计算机对该计算机不转发程序，仅通过其执行指示与结果取得，从而实现处理功能的、所谓的ASP(Application Service Provider)型的服务。另外，设本方式的程序中包含以下信息：作为用于电子计算机的处理的信息且是基于程序的信息(并未是对于计算机的直接的指令但是具有用于规定计算机的处理的性质的数据等)。

此外，在该方式中，通过在计算机上执行规定的程序，从而构成硬件实体，但也可以通过硬件来实现这些处理内容的至少一部分。

《附录》

在本节中，详细叙述能够用于本发明的谓词密码的一例的、利用了内积的谓词密码。另外，在本节中改写了算式号。此外，在说明中，需注意即使是与上述的说明中使用的文字和记号相同的文字和记号，有时意思不同。

[定义]

首先，定义在本方式中使用的用语与记号。

矩阵：“矩阵”表示将已定义了运算的集合的元以矩阵状排列。不仅是以环的元作为元素，以群的元作为元素也可表示为“矩阵”。

(·)^T：(·)^T表示·的转置矩阵。

(·)^-1：(·)^-1表示·的逆矩阵。

∧：∧表示逻辑与。

∨：∨表示逻辑或。

Z：Z表示整数集合。

K：k表示安全参数(k∈Z，k＞0)。

{0，1}^*：{0，1}^*表示任意比特长度的二进制序列。其一例是由整数0以及1构成的序列。但是，{0，1}^*并不限定于由整数0以及1构成的序列。{0，1}^*与阶数2的有限域或其扩张域相同意思。

{0，1}^ζ：{0，1}^ζ表示比特长度为ζ(ζ∈Z，ζ＞0)的二进制序列。其一例是由整数0以及1构成的序列。但是，{0，1}^ζ并不限定于由整数0以及1构成的序列。{0，1}^ζ与阶数2的有限域(ζ＝1的情况)或将其扩大了ζ次的扩张域(ζ＞1的情况)相同意思。

(+)：(+)表示二进制序列之间的异或运算符。例如10110011(+)11100001＝01010010。

F_q：F_q表示阶数q的有限域。阶数q是1以上的整数，例如将质数或质数的幂级数的设为阶数q。即，有限域F_q的例子是质数或将其设为基础域的扩张域。另外，当有限域F_q为质数的情况下的运算例如通过将阶数q设为除数的余数运算而能够容易构成。此外，当有限域F_q为扩张域的情况下的运算例如通过将不可约多项式设为模的剩余运算而能够容易构成。有限域F_q的具体的构成方法例如在参考文献1“ISO/IEC 18033-2：Information technology-Security techniques-Encryption algorithms-Part 2：Asymmetric ciphers”中公开。

0_F：0_F表示有限域F_q的加法单位元。

1_F：1_F表示有限域F_q的乘法单位元。

δ(i，j)：δ(i，j)表示克罗内克德尔塔符号函数。i＝j的情况下满足δ(i，j)＝i_F，i≠j的情况下满足δ(i，j)＝0_F。

E：E表示在有限域F_q上定义的椭圆曲线。E被定义为对由满足仿射坐标版的维尔斯特拉斯方程式

y²+a₁·x·y+a₃·y＝x³+a₂·x²+a₄·x+a₆ (1)

(其中，a₁、a₂ a₃、a₄、a₆∈F_q)的x、y∈F_q构成的点(x，y)的集合附加了被称为无限远点的特别的点O。能够对椭圆曲线E上的任意的两点定义被称为椭圆加法的两项运算+，对椭圆曲线E上的任意的一点能够定义被称为椭圆逆元的单项运算-。此外，普遍知道以下情况：由椭圆曲线E上的有理点构成的有限集合组成有关椭圆加法运算的群；利用椭圆加法运算能够定义被称为椭圆标量倍算的运算；以及椭圆加法运算等的椭圆运算在计算机上的具体的运算方法(例如，参照参考文献1、参考文献2“RFC 5091：Identity-Based Cryptography Standard(IBCS)#1：Supersingular Curve Implementations of the BF and BB1 Cryptosystems”、参考文献3“ィァン·F·ブラケ、ガディェル·セロツシ、ナィジェル·P·スマ一ト＝著、「楕円曲線暗号」、出版＝ピァソン·ェデュケ一ション、ISBN4-89471-431-0”)。

此外，由椭圆曲线E上的有理点构成的有限集合具有位数p(p≥1)的部分组。例如，在设由椭圆曲线E上的有理点构成的有限集合的要素数设为#E，设p为除以#E的大的质数的情况下，由椭圆曲线E的p等分点构成的有限集合E[p]构成由椭圆曲线E上的有理点构成的有限集合的子群。另外，椭圆曲线E的p等分点是指在椭圆曲线E上的点A中，在椭圆曲线E上的满足椭圆标量倍算值p·A＝O的点。

G₁、G₂、G_T：G₁、G₂、G_T表示位数q的循环群。循环群G₁、G₂的具体例是由椭圆曲线E的p等分点构成的有限集合E[p]和其子群。可以是G₁＝G₂，也可以是G₁≠G₂。此外，循环群G_T的具体例是用于构成以有限域F_q作为基础体的扩大体的有限集合。其一例是由有限域F_q的代数闭包中的1的p方根构成的有限集合。

另外，在本方式中，在循环群G₁、G₂上定义的运算表现为加法运算，在循环群G_T上定义的运算表现为乘法运算。即，对于χ∈F_q以及Ω∈G₁的χ·Ω∈G₁表示将在循环群G₁定义的运算对Ω∈G₁实施χ次，对于Ω₁、Ω₂∈G₁的Ω₁+Ω₂∈G₂表示以Ω₁∈G₁与Ω₂∈G₁为被运算符，进行在循环群G₁定义的运算。同样，对于χ∈F_q以及Ω∈G₂的χ·Ω∈G₂表示将在循环群G₂定义的运算对Ω∈G₂实施χ次，对于Ω₁、Ω₂∈G₂的Ω₁+Ω₂∈G₂表示以Ω₁∈G₂与Ω₂∈G₂为被运算符，进行在循环群G₂定义的运算。另一方面，χ∈F_q以及Ω∈G_T的 Ω^χ∈G_T表示将在循环群G₁定义的运算对Ω∈G_T实施χ次，对于Ω₁、Ω₂∈G_T的Ω₁+Ω₂∈G_T表示以Ω₁∈G_T与Ω₂∈G_T为被运算符，进行在循环群G_T定义的运算。

G₁ ⁿ⁺¹：G₁ ⁿ⁺¹表示n+1个(n≥1)个循环群G₁的直积。

G₂ ⁿ⁺¹：G₂ ⁿ⁺¹表示n+1个循环群G₂的直积。

g₁、g₂、g_T：g₁、g₂、g_T表示循环群G₁、G₂、G_T的生成元。

V：V表示由n+1个循环徐G₁的直积构成的n+1维的向量空间。

V^*：V^*表示由n+1个循环群G₂的直积构成的n+1维的向量空间。

e：e表示用于计算将直积G₁ ⁿ⁺¹与直积G₂ ⁿ⁺¹的直积G₁ ⁿ⁺¹×G₂ ⁿ⁺¹映射到循环群G_T的非退化的双线性映射(bilinear map)的函数(称为“双线性函数”)。双线性函数e若输入循环群G₁的n+1个元γ_L(L＝1、...、n+1)与循环群G₂的n+1个元γ_L ^*(L＝1、...、n+1)，则输出循环群G_T的一个元。

e：G₁ ⁿ⁺¹×G₂ ⁿ⁺¹→G_T...(2)

双线性函数e满足以下的性质。

[双线性]针对所有的Г₁∈G₁ ⁿ⁺¹、Г₂∈G₂ ⁿ⁺¹以及v，κ∈F_q满足以下的关系。

e(v·Г₁，κ·Г₂)＝e(Г₁，Г₂)^v·κ...(3)

[非退化性]并非是将所有的

Г₁∈G₁ ⁿ⁺¹，Г₂∈G₂ ⁿ⁺¹...(4)

映射到循环群G_T的单位元的函数。

[可计算性]存在针对所有的Г₁∈G₁ ⁿ⁺¹，Г₂∈G₂ ⁿ⁺¹有效地计算e(Г₁，Г₂)的算法。

在本方式中，利用用于计算将循环群G₁与循环群G₂的直积G₁×G₂映射到循环群G_T的非退化的双线性映射的函数

Pair：G₁×G₂→G_T...(5)

构成双线性函数e。本方式的双线性函数e是针对由循环群G₁的n+1个元γ_L(L＝1、...、n+1)构成的n+1维向量(γ₁、...、γ_n+1)、以及由循环群G₂的n+1个元γ_L ^*(L＝1、...、n+1)构成的n+1维向量(γ₁ ^*、...、γ_n+1 ^*)的输入，输出循环群G_T的一个元

e＝∏_L＝1 ⁿ⁺¹Pair(γ_L，γ_L ^*)...(6)的函数。

另外，双线性函数Pair是若输入循环群G₁的一个元与循环群G₂的一个元的组，则输出循环群G_T的一个元的函数，其满足以下的性质。

[双线性]这对于所有的Ω₁∈G₁，Ω₂∈G₂以及v、κ∈F_q，满足以下的关系。

Pair(v·Ω₁，κ·Ω₂)＝Pair(Ω₁，Ω₂)^v·κ...(7)

[非退化性]并非是将所有的

Ω₁∈G₁，Ω₂∈G₂...(8)

映射到循环群G_T的单位元的函数。

[可计算性]存在针对所有的Ω₁∈G₁，Ω₂∈G₂有效地计算Pair(Ω₁，Ω₂)的算法。

另外，双线性函数Pair的具体例是用于进行Weil配对或Tate配对等配对运算的函数(例如，参照参考文献4“Alfred.J.Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS，KLUWER ACADEMIC PUBLISHERS，ISBN0-7923-9368-6，pp.61-81”等)。此外，根据椭圆曲线E的种类，也可以使用将用于进行Tate配对等配对运算的函数与规定的函数phi进行组合的变更配对函数e(Ω₁，phi(Ω₂))(Ω₁∈G₁，Ω₂∈G₂)作为双线性函数Pair(例如，参照参考文献2)。此外，作为用于在计算机上进行配对运算的算法，存在已知的Miller的算法(参考文献5“V.S.Miller，“Short Programs for functions on Curves，”1986，因特网<http://crypto.stanford.edu/miller/miller.pdf>”)等。此外，普遍知道用于有效地进行配对运算的椭圆曲线和循环群的构成方法(例如，参照参考文献2、参考文献6“A.Miyaji，M.Nakabayashi，S.Takano，″New explicit conditions of elliptic curve Tracesfor FR-Reduction，″IEICE Trans.Fundamentals，vol.E84-A，no05，pp.1234-1243，May 2001”、参考文献7“P.S.L.M.Barreto，B.Lynn，M.Scott，″Constructing elliptic curves with prescribed embedding degrees，″Proc.SCN′2002，LNCS 2576，pp.257-267，Springer-Verlag.2003”、参考文献8“R.Dupont，A.Enge，F.Morain，″Building curves with arbitrary small MOV degree over finite prime fields，″http://eprint.iacr.org/2002/094/”等)。

a_i(i＝1，...，n+1)：表示以循环群G₁的n+1个元作为要素的n+1维的基底向量。基底向量a_i的一例是以κ₁·g₁∈G₁作为第i维的要素，以剩余的n个要素作为循环群G₁的单位元(加法性地表现为“0”)的n+1维的基底向量。此时，分别列举表现n+1维的基底向量a_i(i＝1，...，n+1)的各要素如下。

a₁＝(κ₁·g₁，0，0，...，0)

a₂＝(0，κ₁·g₁，0，...，0)...(9)

a_n+1＝(0，0，0，..，κ₁·g₁)

这里，κ₁是由加法单位元0_F以外的有限域F_q的元构成的常数，κ₁∈F_q的具体例是κ₁＝1_F。基底向量a_i是正交基底，以循环群G₁的n+1个元作为要素的所有的n+1维向量通过n+1维基底向量a_i(i＝1，...，n+1)的线性之和来表示。即，n+1维的基底向量a_i覆盖所述的向量空间V。

a_i ^*(i＝1，...，n+1)：a_i ^*表示以循环群G₂的n+1个元作为要素的n+1维的基底向量。基底向量a_i ^*的一例是以κ₂·g₂∈G₂作为第i维的要素，以剩余的n个要素作为循环群G₂的单位元(加法性地表现为“0”)的n+1维的基底向量。此时，分别列举表现基底向量a_i ^*(i＝1，...，n+1)的各要素如下。

a₁ ^*＝(κ₂·g₂，0，0，...，0)

a₂ ^*＝(0，κ₂·g₂，0，...，0)...(10)

a_n+1 ^*＝(0，0，0，...，κ₂·g₂)

这里，κ₂是由加法单位元0_F以外的有限域F_q的元构成的常数，κ₂∈F_q的具体例是κ₂＝1_F。基底向量a_i ^*是正交基底，以循环群G₂的n+1个元作为要素的所有的n+1维向量通过n+1维基底向量a_i ^*(i＝1，...，n+1)的线性之和来表示。即，n+1维的基底向量a_i ^*覆盖所述的向量空间V^*。

另外，基底向量a_i与基底向量a_i ^*针对0_F之外的有限域F_q的元τ＝κ₁·κ₂满足

e(a_i，a_j ^*)＝g_T ^{τ·δ(i，j)}...(11)

即，当i＝j时，从式(6)、(7)的关系，满足以下式。

e(a_i，a_j ^*)＝Pair(κ₁·g₁，κ₂·g₂)·Pair(0，0)·...·Pair(0，0)

＝Pair(g₁，g₂)^κ1·κ2·Pair(g₁，g₂)^0·0...·Pair(g₁，g₂)^0·0

＝Pair(g₁，g₂)^κ1·κ2＝g_T ^τ

另一方面，当i≠j时，e(a_i，a_j ^*)不包含Pair(κ₁·g₁，κ₂·g₂)，而是成为Pair(κ₁·g₁，0)与Pair(0，κ₂·g₂)以及Pair(0，0)的乘积。而且，从式(7)的关系，满足Pair(g₁，0)＝Pair(0，g₂)＝Pair(g₁，g₂)⁰。因此，在i≠j时，满足以下式。

e(a_i，a_j ^*)＝e(g₁，g₂)⁰＝g_T ⁰

特别地，在τ＝κ₁·κ₂＝1_F时，(例如，κ₁＝κ₂＝1_F时)，满足以下式。

e(a_i，a_j ^*)＝g_T ^δ(i，j)...(12)

这里，g_T ⁰＝1是循环群G_T的单位元，g_T ¹＝g_T是循环群G_T的生成元。此时，基底向量a_i与基底向量a_i ^*是双对正规正交基底，向量空间V与向量空间V^*是可构成双线性映射的双对向量空间[双对配对向量空间(DPVS：Dual Paring Vector space)]。

A：A是以基底向量a_i(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵。例如，当基底向量a_i(i＝1，...，n+1)通过式(9)来表现的情况下，矩阵A如下。

[数12]

A^*：A^*是以基底向量a_i ^*(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵。例如，当基底向量a_i ^*(i＝1，...，n+1)通过式(10)来表现的情况下，矩阵A^*如下。

[数13]

X：X表示以有限域F_q的元作为n+1行n+1列的矩阵。矩阵X用于基底向量a_i的坐标变换。若将矩阵X的i行j列(i＝1，...，n+1，j＝1，...，n+1)的要素设为χ_i，j∈F_q，则矩阵X如下。

[数14]

另外，将矩阵X的各要素χ_i，j称为变换系数。

X^*：X^*表示矩阵X的逆矩阵的转置矩阵X^*＝(X^-1)^T。矩阵X^*用于基底向量a_i ^*的坐标变换。若将矩阵X^*的i行j列的要素设为χ_i，j ^*∈F_q，则矩阵X^*如下。

[数15]

另外，将矩阵X^*的各要素χ_i，j ^*称为变换系数。

此时，若将n+1行n+1列的单位矩阵设为I，则满足X·(X^*)^T＝I。即，针对单位矩阵

[数16]

满足

[数17]

这里，定义

χ_i ^→＝(χ_i，1，...，χ_i，n+1)...(19)

χ_j ^→*＝(χ_j，1 ^*，...，χ_j，n+1 ^*)...(20)。

则，根据式(18)的关系，n+1维向量χ_i ^→与χ_j ^→*的内积成为如下。

χ_i ^→·χ_j ^→*＝δ(i，j)...(21)。

b_i：b_i表示以循环群G₁的n+1个元作为要素的n+1维的基底向量。基底向量b_i通过利用矩阵X对变换基底向量a_i(i＝1，...，n+1)进行坐标变换而得到。具体来说，基底向量b_i通过

b_i＝∑_j＝1 ⁿ⁺¹χ_i，j·a_j...(22)

的运算来得到。例如，当通过式(9)来表现基底向量a_i(i＝1，...，n+1)的情况下，分别列举表现基底向量b_i的各要素如下。

b_i＝(χ_i，1·κ₁·g₁，χ_i，2·κ₁·g₁，...，χ_i，n+1·κ₁·g₁)...(23)

以循环群G₁的n+1个元作为要素的所有的n+1维向量通过n+1维的基底向量b_i(i＝1，...，n+1)的线性之和。即，n+1维的基底向量b_i覆盖所述的向量空间V。

b_i ^*：b_i ^*表示以循环群G₂的n+1个元作为要素的n+1维的基底向量。通过利用矩阵X^*对基底向量a_i ^*(i＝1，...，n+1)进行坐标变换而得到。具体来说，基底向量b_i ^*通过

b_i＝∑_j＝1 ⁿ⁺¹χ_i，j ^*·a_j ^*...(24)

的运算来得到。例如，当通过式(10)来表现基底向量a_j ^*(j＝1，...，n+1)的情况下，分别列举表现基底向量b_i ^*的各要素如下。

b_i ^*＝χ_i，1 ^*·κ₂·g₂，χ_i，2 ^*·κ₂·g₂，...，χ_i，n+1 ^*·κ₂·g₂)...(25)

以循环群G₂的n+1个元作为要素的所有的n+1维向量通过n+1维的基底向量b_i ^*(i＝1，...，n+1)的线性之和。即，n+1维的基底向量b_i ^*覆盖所述的向量空间V^*。

另外，基底向量b_i与基底向量b_i ^*针对0_F之外的有限域F_q的元τ＝κ₁·κ₂满足如下式。

e(b_i，b_j ^*)＝g_T ^{τ·δ(i，j)}...(26)

即，根据式(6)、(21)、(23)、(25)的关系，满足下式。

[数18]

e (b_{i}, {b_{j}}^{*}) = Π_{L = 1}^{n + 1} Pair (χ_{i, L} \cdot κ_{1} \cdot g_{1}, {χ_{j, L}}^{*} \cdot κ_{2} \cdot g_{2})

= Pair (χ_{i, 1} \cdot κ_{1} \cdot g_{1}, {χ_{j, 1}}^{*} \cdot κ_{2} \cdot g_{2}) \cdot . . . \cdot (χ_{i, n} \cdot κ_{1} \cdot g_{1}, {χ_{j, n}}^{*} \cdot κ_{2} \cdot g_{2})

\times Pair (χ_{j, n + 1} \cdot κ_{1} \cdot g_{1}, {χ_{j, n + 1}}^{*} \cdot κ_{2} \cdot g_{2})

= Pair {(g_{1}, g_{2})}^{{κ_{1} \cdot κ_{2} \cdot χ_{i, 1} \cdot χ_{j, 1}}^{*}} \cdot . . . \cdot Pair {(g_{1}, g_{2})}^{{κ_{1} \cdot κ_{2} \cdot χ_{i, 2} \cdot χ_{j, 2}}^{*}}

\times Pair {(g_{1}, g_{2})}^{{κ_{1} \cdot κ_{2} \cdot χ_{i, n + 1} \cdot χ_{j, n + 1}}^{*}}

= Pair {(g_{1}, g_{2})}^{κ_{1} \cdot κ_{2} (χ_{i, 1} \cdot {χ_{j, 1}}^{*} + χ_{i, 2} \cdot {χ_{j, 2}}^{*} + . . . + χ_{i, n + 1} \cdot {χ_{j, n + 1}}^{*})}

= Pair {(g_{1}, g_{2})}^{κ_{1} \cdot κ_{2} \cdot {χ_{i}}^{&RightArrow;} \cdot {χ_{j}}^{&RightArrow; *}}

= Pair {(g_{1}, g_{2})}^{τ \cdot δ (i, j)} = {g_{T}}^{τ \cdot δ (i, j)}

尤其是在τ＝κ₁·κ₂＝1_F的情况下(例如，κ₁＝κ₂＝1_F的情况下)满足下式。

e(b_i，b_j ^*)＝g_T ^δ(i，j)...(27)

此时，基底向量b_i与基底向量b_i ^*是双对配对空间(向量空间V与向量空间V^*)的双对正规正交基底。

另外，若满足式(26)的关系，则也可以使用在式(9)、(10)中例示之外的基底向量a_i以及a_i ^*，或者在式(22)、(24)中例示以外的基底向量b_i以及b_i ^*。

B：B表示以基底向量b_i(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵。满足B＝X·A。例如，当通过式(23)来表现基底向量b_i的情况下，矩阵B成为如下。

[数19]

…(28)

B^*：B^*表示以基底向量b_i ^*(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵。满足B^*＝X^*·A^*。例如，当通过式(25)来表现基底向量b_i ^*(i＝1，...，n+1)的情况下，矩阵B^*成为如下。

[数20]

(29)

w^→：w^→表示以有限域F_q的元作为要素的n维向量。

w^→＝(w₁，...，w_n)∈F_q ⁿ...(30)

w_μ：w_μ：表示n维向量的第μ(μ＝1，...，n)个要素。

v^→：v^→表示以有限域F_q的元作为要素的n维向量。

v^→＝(v₁，...，v_n)∈F_q ⁿ...(31)

v_μ：v_μ表示n维向量的第μ(μ＝1，...，n)个要素。

冲突困难的函数：“冲突困难的函数”表示对充分大的安全参数k满足以下的条件的函数h或看做其的函数。

Pr[A(h)＝(x，y)|h(x)＝h(y)∧x≠y]＜ε(k)...(32)

其中，Pr[·]是[·]的概率，A(h)是用于计算对函数h满足h(x)＝h(y)的值x，y(x≠y)的概率多项式时间算法，ε(k)是对安全参数k的多项式。冲突困难的函数的例子是在参考文献1中公开的“cryptographic hash function”等的hash函数。

单射函数：“单数函数”表示属于值域的元均被表示为其定义域的一个元的像的函数，或看做其的函数。单射函数的例子是在参考文献1中公开的“KDF(Key Derivation Function)”等hash函数。

伪随机函数：“伪随机函数”表示任意的概率性多项式时间算法不能区分集合Ф_ζ与其子集时的、属于该子集的函数，或看作其的函数。其中，集合Ф_ζ是将集合{0，1}^ζ的元映射到集合{0，1}^ζ的元的所有的函数的集合。伪随机函数的例子是上述那样的hash函数。

H₁：H₁表示输入两个二进制序列(ω₁，ω₂)∈{0，1}^k×{0，1}^*，并输出有限域F_q的两个元(ψ₁，ψ₂)∈F_q×F_q的冲突困难的函数。

H₁：{0，1}^k×{0，1}^*→F_q×F_q...(33)

这样的函数H₁的例子是输入ω₁与ω₂的比特联结值ω₁||ω₂，并进行在参考文献1中公开的“cryptographic hash function”等hash函数、“从二进制序列至整数的变换函数(Octet string/integer conversion)”、以及“从二进制序列至有限域的元的变换函数(Octet string and integer/finite field conversion)”，输出有限域F_q的两个元(ψ₁，ψ₂)∈F_q×F_q的函数。另外，函数H₁优选是伪随机函数。

H₂：H₂表示输入循环群G_T的元与二进制序列(ξ，ω₂)∈G_T×{0，1}^*，并输出有限域F_q的一个元ψ∈F_q的冲突困难的函数。

H₂：G_T×{0，1}^*→F_q...(34)

这样的函数H₂的例子是以下的函数：输入循环群G_T的元ξ∈G_T与二进制序列ω₂∈{0，1}^*，并将循环群G_T的元ξ∈G_T输入到在参考文献1中公开的“从有限域的元至二进制序列的变换函数(Octet string and integer/finite field conversion)”而求出二进制序列，并对该二进制序列与二进制序列ω₂∈{0，1}^*的比特联结值进行在参考文献1中公开的“cryptographic hash function”等的hash函数运算，进一步进行“从二进制序列至有限域的元的变换函数(Octet string and integer/finite field conversion)”的运算，并输出有限域F_q的一个元ψ∈F_q。另外，从安全性的观点出发，更期望函数H₂是伪随机函数。

R：R表示输入一个循环群G_T的元ξ∈G_T，并输出一个二进制序列ω∈{0，1}^k的单设函数。

R：G_T→{0，1}^k...(35)

这样的单射函数R的例子是输入循环群G_T的元ξ∈G_T，并进行在参考文献1中公开的“从有限域的元至二进制序列的变换函数(Octet string and integer/finite field conversion)”、在参考文献1中公开的“KDF(Key Derivation Function)”等的hash函数的运算，输出一个二进制序列ω∈{0，1}^k的函数。另外，从安全性的观点出发，期望函数R是冲突困难的函数，更期望是伪随机函数。

Enc：Enc表示用于表示公共密钥密码方式的加密处理的公共密钥密码函数。公共密钥密码方式的具体例是Camellia或AES等。

Enc_k(M)：Enc_k(M)表示利用公共密钥K，根据公共密钥密码函数Enc，对明码电文M进行加密而得到的密码文。

Dec：Dec表示用于表示公共密钥密码方式的解密处理的公共密钥解密函数。

Dec_k(C)：Dec_k(C)表示利用公共密钥K，根据公共密钥解密函数Dec，对密码文C进行解密而得到的解密结果。

[内积谓词密码]

接着，说明内积谓词密码的基本的结构。

<谓词密码>

谓词密码(有时称为“函数密码”)是能够对被称为“属性信息”的信息与被称为“谓词信息”的信息的组合使规定的逻辑式成为“真”的情况下的密码文进行解密的方式。“属性信息”与“谓词信息”中的一个被植入到密码文中，另一个被植入到密钥信息中。以往的谓词密码的结构例如公开在参考文献9“″Predicate Encryption Supporting Disjunctions，Polynomial Equations，and Inner Products，″with Amit Sahai and Brent Waters One of 4papers from Eurocrypt 2008invited to the Journal of Cryptology”等。

<内积谓词密码>

内积谓词密码是利用向量作为属性信息、谓词信息，并在它们的内积成为0时对密码文进行解密的谓词密码。在内积谓词密码中，内积成为0等价于逻辑式成为“真”。

[逻辑式与多项式的关系]

在内积谓词密码中，通过多项式来表现由逻辑或与逻辑与构成的逻辑式。

首先，通过多项式

(x-η₁)·(x-η₂)...(36)

来表现“x是η₁”的命题1与“x是η₂”的命题2的逻辑或(x＝η₁)∨(x＝η₂)。则各真值与式(36)的函数值的关系如下。

[表1]

从[表1]可知，当逻辑或(x＝η₁)∨(x＝η₂)为真的情况下，式(36)的函数值成为0，当逻辑或(x＝η₁)∨(x＝η₂)为假的情况下，式(36)的函数值成为0以外的值。即，逻辑或(x＝η₁)∨(x＝η₂)为帧等价于式(36)的函数值成为0。从而，能够通过式(36)来表现逻辑或。

此外，还可以通过多项式

ι₁·(x-η₁)+ι₂·(x-η₂)...(37)

来表现“x是η₁”的命题1与“x是η₂”的命题2的逻辑与(x＝η₁)∧(x＝η₂)。其中，ι₁与ι₂是随机数。则真值与式(37)的函数值成为如下。

[表2]

从[表2]可知，当逻辑与(x＝η₁)∧(x＝η₂)为帧的情况下，式(37)的函数值成为0，当逻辑与(x＝η₁)∧(x＝η₂)为假的情况下，式(37)的函数值成为0以外的值。即，逻辑与(x＝η₁)∧(x＝η₂)为帧等价于式(37)的函数值成为0。从而，能够通过式(37)来表现逻辑与。

如以上那样，通过利用式(36)与式(37)，能够通过多项式f(x)来表现由逻辑或与逻辑与构成的逻辑式。例如，逻辑式{(x＝η₁)∨(x＝η₂)∨(x＝η₃)}∧(x＝η₄)∧(x＝η₅)能够通过多项式

f(x)＝ι₁·{(x-η₁)·(x-η₂)·(x-η₃)}+ι₂·(x-η₄)+ι₃·(x-η₅)...(38)来表现。

另外，在式(36)中，利用一个不定元x来表现了逻辑或，但还可以利用多个不定元来表现逻辑或。例如，还可以利用两个不定元x₀以及x₁，通过多项式

(x₀-η₀)·(x₁-η₁)

来表现“x₀是η₀”的命题1与“x₁是η₁”的命题2的逻辑或(x₀＝η₀)∨(x₁＝η₁)。还可以利用三个以上的不定元，通过多项式来表现逻辑或。

此外，在式(37)中，利用一个不定元x表现了逻辑与，但也可以利用多个不定元来表现逻辑与。例如，此外还可以通过多项式

ι₀·(x₀-η₀)+ι₁·(x₁-η₁₎

来表现“x₀是η₀”的命题1与“x₁是η₁”的命题2的逻辑与(x₀＝η₀)∧(x₁＝η₁)，还可以利用三个以上的不定元，通过多项式来表现逻辑与。

将利用H(H≥1)种类的不定元x₀、...、x_n-1表现了包含逻辑或与/或逻辑与的逻辑式的多项式表现为f(x₀，...，x_H-1)。此外，将对应于各不定元x₀，...，x_H-1的命题设为“x_h是η_h”。其中，η_h(h＝0，...H-1)是对每个命题决定的常数。此时，表示该逻辑式的多项式f(x₀，...，x_H-1)成为如下的多项式：通过取得不定元 x_h与常数η_h之差的多项式来表现该不定元x_h是该常数η_h的命题，并通过分别表现命题的多项式的积来表现该命题的逻辑或，通过分别表现命题或命题的逻辑或的多项式的线性和来表现该命题或命题的逻辑或的逻辑与，从而表现逻辑式。例如，利用五个不定元x₀，...，x₄，通过若多项式来表现逻辑式{(x₀＝η₀)∨(x₁＝η₁)∨(x₂＝η₂)}∧(x₃＝η₃)∧(x₄＝η₄)，则成为如下。

f(x₀，...，x₄)

＝ι₀·{(x₀-η₀)·(x₁-η₁)·(x₂-η₂)}+ι₁·(x₃-η₃)+ι₂·(x₄-η₄)

[多项式与内积的关系]

表示逻辑式的多项式能够通过两个n维向量的内积来表现。即，多项式f(x₀，...，x_H-1)等价于以该多项式f(x₀，...，x_H-1)的各项的不定元分量作为各要素的向量

v^→＝(v₁，...，v_n)

与以该多项式f(x₀，...，x_H-1)的各项的系数分量作为各要素的向量

w^→＝(w₁，...，w_n)

的内积

f(x₀，...，x_H-1)＝w^→·v^→。

即，表示逻辑式的多项式f(x₀，...，x_H-1)是否为0等价于以多项式f(x₀，...，x_H-1)的各项的不定元分量作为各要素的向量v^→、以多项式f(x₀，...，x_H-1)的各项的系数分量作为各要素的向量w^→的内积是否为0。

f(x₀，...，x_H-1)＝0←→w^→·v^→＝0

例如，通过一个不定元x表现的多项式f(x)＝θ₀·x⁰+θ₁·x+...+θ_n-1·x^n-1能够通过两个n维向量

w^→＝(w₁，...，w_n)＝(θ₀，...，θ_n-1)...(39)

v^→＝(v₁，...，v_n)＝(x⁰，...，x^n-1)...(40)

的内积

f(x)＝w^→·v^→...(41)

来表现。即，表示逻辑式的多项式f(x)是否为0等价于式(41)的内积是否0。

f(x)＝0←→w^→·v^→＝0...(42)

此外，即使将以多项式f(x₀，...，x_H-1)的各项的不定元分量作为各要素的向量设为

w^→＝(w₁，...，w_n)，

并将以多项式f(x₀，...，x_H-1)的各项的系数分量作为各要素的向量设为

v^→＝(v₁，...，v_n)，

表示逻辑式的多项式f(x₀，...，x_H-1)是否为0等价于向量w^→与向量v^→的内积是否为。

例如，即使

w^→＝(w₁，...，w_n)＝(x⁰，...，xⁿ)...(43)

v^→＝(v₁，...，v_n)＝(θ₁，...，θ_n-1)...(44)

代替式(39)、(40)，表示逻辑式的多项式f(x)是否为0等价于式(41)的内积是否0。

在内积谓词密码中，将向量v^→＝(v₁，...，v_n)与向量w^→＝(w₁，...，w_n)的其中一个设为属性信息，将另一个设为谓词信息，属性信息与谓词信息中的一个被植入到密码文中，另一个被植入密钥信息中。例如，n维向量(θ₀，...，θ_n-1)成为谓词信息，n为向量(x⁰，...，x^n-1)成为属性信息，属性信息与谓词信息中的一个被植入到密码文中，另一个被植入到密钥信息中。另外，以下将被植入到密钥信息中的n为向量设为w^→(w₁，...，w_n)，将被植入到密码文中的n为向量设为v^→(v₁，...，v_n)。例如，

谓词信息：w^→(w₁，...，w_n)＝(θ₀，...，θ_n-1)

属性信息：v^→(v₁，...，v_n)＝(x⁰，...，x^n-1)，

或者，

谓词信息：v^→(v₁，...，v_n)＝(θ₀，...，θ_n-1)

属性信息：w^→(w₁，...，w_n)＝(x⁰，...，x^n-1)。

[内积谓词密码的基本结构]

以下，例示利用内积谓词密码，构成密钥封装化机制KEM(Key Encapsulation Mechanisms)时的基本结构。该结构包含Setup(1^k)，GenKey(MSK，w^→)，Enc(PA，v^→)，Dec(SKw，C₂)。

《Setup(1^k)：设置》

-输入：安全参数k

-输出：主密钥信息MSK、公开参数PK

在Setup(1^k)的一例中，首先将安全参数k设为n，选择以n+1维的基底向量a_i(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵A、以基底向量a_i ^*(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵A^*、以及用于坐标变换的n+1行n+1列的矩阵X、X^*。接着，根据式(22)，算出被坐标变换后的n+1维的基底向量b_i(i＝1，...，n+1)，根据式(24)，算出被坐标变换后的n+1维的基底向量b_i ^*(i＝1，...，n+1)。然后，输出以基底向量b_i ^*(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵B^*作为主密钥信息MSK，作为公开参数PK而输出向量空间V、V^*、以基底向量b_i(i＝1，...，n+1)作为要素的n+1行n+1列的矩阵B、安全参数k、有限域F_q、椭圆曲线E、循环群G₁、G₂、G_T、生成元g₁、g₂、g_T、双线性函数e等。

《GenKey(MSK，w^→)：密钥信息生成》

-输入：主密钥信息MSK、向量w^→

-输出：对应于向量w^→的密钥信息D^*

在GenKey(MSK，w^→)的一例中，首先，从有限域F_q选择元α∈F_q。然后，利用作为主密钥信息MSK的矩阵B^*，生成对应于向量w^→的密钥信息

D^*＝α·(∑_μ＝1 ⁿw_μ·b_μ ^*)+b_n+1 ^*∈G₂ ⁿ⁺¹...(45)。

另外，当循环群G₂上的离散对数问题的求解困难时，难以从密钥信息D^*分离提取w_μ·b_μ ^*或b_n+1 ^*的分量。

《Enc(PA，v^→)：加密》

-输入：公开参数PK、向量v^→

-输出：密码文C₂、公共密钥K

在Enc(PA，v^→)的一例中，首先，生成公共密钥K以及作为有限域F_q的元的随机数υ₁。然后，利用矩阵B等的公开参数PK、对应于包含公共密钥K的值的有限域F_q的元υ₂、向量v^→、随机数υ₁，生成密码文

C₂＝υ₁·(∑_μ＝1 ⁿv_μ·b_μ)+υ₂·b_n+1∈G₁ ⁿ⁺¹...(46)。

然后，输出密码文C₂与公共密钥K。公共密钥K的一例是K＝g_T ^τ·υ2∈G_T。这里，标记的υ2表示υ₂。此外，如上所述，τ的一例是τ＝1_F。另外，当循环群G₁上的离散对数问题的求解困难的情况下，难以从密码文C₂分离提取v_μ·b_μ或υ₂·b_n+1的分量。

《Dec(SKw，C₂)：解密/密钥共享》

-输入：对应于向量w^→的密钥信息D₁ ^*、密码文C₂

-输出：公共密钥K

在Dec(SKw，C₂)的一例中，首先对式(2)的双线性函数输入密码文C₂与密钥信息D₁ ^*。则，根据式(3)、(26)的性质，满足以下式。

[数21]

e (C_{2}, D^{*}) = e ({&upsi;}_{1} \cdot (Σ_{μ = 1}^{n} v_{μ} \cdot b_{μ}) + {&upsi;}_{2} \cdot b_{n + 1}, α \cdot (Σ_{μ = 1}^{n} w_{μ} \cdot {b_{μ}}^{*}) + {b_{n + 1}}^{*})

= e ({&upsi;}_{1} \cdot v_{1} \cdot b_{1}, α \cdot w_{1} \cdot {b_{1}}^{*}) \cdot . . . \cdot e ({&upsi;}_{1} \cdot v_{n} \cdot b_{n}, α \cdot w_{n} \cdot {b_{n}}^{*})

\times e ({&upsi;}_{2} \cdot b_{n + 1}, {b_{n + 1}}^{*}) . . . (47)

= e {(b_{1}, {b_{1}}^{*})}^{{&upsi;}_{1} \cdot v_{1} \cdot α \cdot w_{1}} \cdot . . . \cdot e {(b_{n}, {b_{n}}^{*})}^{{&upsi;}_{1} \cdot v_{n} \cdot α \cdot w_{n}} \cdot e {(b_{n + 1}, {b_{n + 1}}^{*})}^{{&upsi;}_{2}}

= {g_{T}}^{τ \cdot {&upsi;}_{1} \cdot v_{1} \cdot α \cdot w_{1}} \cdot . . . \cdot {g_{T}}^{τ \cdot {&upsi;}_{1} \cdot v_{n} \cdot α \cdot w_{n}} {g_{T}}^{τ \cdot {&upsi;}_{2}}

= {g_{T}}^{τ \cdot {&upsi;}_{1} \cdot α \cdot v^{&RightArrow;} \cdot w^{&RightArrow;}} \cdot {g_{T}}^{τ \cdot {&upsi;}_{2}}

这里，若是内积w^→·v^→＝0，则式(47)能够变形为

e (C_{2}, D^{*}) = {g_{T}}^{τ \cdot {&upsi;}_{1} \cdot α \cdot 0} \cdot {g_{T}}^{τ \cdot {&upsi;}_{2}} . . . (48) .

= {g_{T}}^{τ \cdot {&upsi;}_{2}}

根据该结果生成并输出公共密钥K。公共密钥K的一例是K＝g_T ^τ·υ2∈G_T。

这里，表示了利用n+1维的基底向量构成算法的例子，但并不限定于n+1维，设Ξ为2以上的规定的整数，也可以利用n+Ξ维的基底向量b_i ^*(i＝1，...，n+Ξ)构成算法。此时，例如能够代替式(45)而使用式(49)，代替式(46)而使用式(50)。这里，υ_ι是常数或变量(随机数等)等。

D^*＝α·(∑_μ＝1 ⁿw_μ·b_μ ^*)+∑_ι＝n+1 ^n+Ξυ_ι·b_ι ^*∈G₂ ^n+Ξ...(49)

C₂＝υ₁·(∑_μ＝1 ⁿv_μ·b_μ)+∑_ι＝2 ^Ξ+1υ_ι·b_ι+n-1∈G₁ ^n+Ξ...(50)

另外，式(45)也可以是

D^*＝α·(∑_μ＝1 ⁿw_μ·b_μ ^*)+υ_n+1·b_n+1 ^*∈G₂ ⁿ⁺¹。

而且，还可以重新输入输入信息，即在式(45)中将w置换为v，并在式(46)中将v置换为w。

《附录》的说明到此结束。

=========================================

另外，在附图中记载的姓名等信息仅仅是假设的，与实际的人物全无关系。

<总结>

根据第1观点总结本发明如下。

[项目1]

一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

对各上述密钥生成装置预先决定秘密密钥以及与该秘密密钥对应的公开密钥，

预先决定一个或多个变换规则信息对，所述变换规则信息对是规定了用于将指定属性的信息(以下，称为属性指定信息)变换为在谓词密码算法中使用的属性信息的变换规则的信息(以下，称为属性用变换规则信息)、以及规定了用于将指定谓词的信息(以下，称为谓词指定信息)变换为在该谓词密码算法中使用的谓词信息的变换规则的信息(以下，称为谓词用变换规则信息)的对，

预先决定用于确定是上述属性用变换规则信息与上述谓词用变换规则信息中的哪一个的策略信息，

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息与上述谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从该输入信息中得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及

加密单元，利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥以及与该公共密钥或在该公共密钥的生成中所使用的信息对应的密码信息，

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于上述密码信息的解密的解密密钥，

上述解密装置包括：

解密单元，利用上述解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

[项目2]

预先决定用于确定时上述属性用变换规则信息与上述谓词用变换规则信息中的哪一个的策略信息，

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及

解密单元，利用从上述密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理，

上述密钥生成装置包括：

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于上述密码信息的解密的解密密钥。

[项目3]

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息与上述谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及

加密单元，利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息，

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及

密钥生成单元，利用上述第2属性信息或上述第2谓词信息，以及该密钥生成装置的秘密密钥，生成用于上述密码信息的解密的解密密钥，

上述解密装置包括：

[项目4]

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及

上述密钥生成装置包括：

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、该密钥生成装置的秘密密钥，生成用于上述密码信息的解密的解密密钥。

[项目5]

如项目1或项目2所述的密码系统，

上述加密装置的上述加密单元还求出通过上述公共密钥对明码电文进行了加密的密码文，

上述解密装置的上述解密单元还进行在上述解密处理中得到的利用上述公共密钥的上述密码文的第2解密处理、或者在上述解密处理中得到的利用根据在上述公共密钥的生成中使用的上述信息而生成的公共密钥的上述密码文的第2解密处理。

[项目6]

如项目1至项目5的任一项所述的密码系统，

与上述使用者对应的上述属性指定信息和/或上述谓词指定信息被存储在存储介质中，

上述解密装置还包括用户信息取得单元，从上述存储介质取得与该解密装置的使用者对应的上述属性指定信息和/或上述谓词指定信息。

[项目7]

如项目1或项目3所述的密码系统，

上述密钥生成装置所使用的与上述解密装置的使用者对应的上述属性指定信息或上述谓词指定信息是从上述解密装置取得的信息。

[项目8]

如项目1至项目6的任一项所述的密码系统，

上述密码系统还包括一个或多个用户信息管理装置，

各上述用户信息管理装置包含用于存储于上述使用者对应的上述属性指定信息和/或上述谓词指定信息的存储单元，

上述密钥生成装置包括用于从上述用户信息管理装置取得与上述解密装置的使用者对应的上述属性指定信息和/或上述谓词指定信息的用户信息取得单元。

[项目9]

如项目1至项目8的任一项所述的密码系统，

对各上述密钥生成装置的每一个预先决定一个或多个上述变换规则信息对，

上述密码系统还包括一个或多个变换规则信息对管理装置，

各上述变换规则信息对管理装置包括用于存储与各上述密钥生成装置对应的各上述变换规则信息对的存储单元，

上述加密装置包括用于从上述变换规则信息对管理装置取得上述变换规则信息对的变换规则信息对取得单元，

上述解密装置包括用于从上述变换规则信息对管理装置取得上述变换规则信息对的变换规则信息对取得单元。

[项目10]

如项目1至项目8的任一项所述的密码系统，

各上述密钥生成装置还包括用于存储于该密钥生成装置对应的上述变换规则信息对的存储单元，

各上述加密装置还包括用于存储与至少一个以上的上述密钥生成装置对应的各上述变换规则信息对的存储单元，

各上述解密装置还包括用于存储于至少一个以上的上述密钥生成装置对应的各上述变换规则信息对的存储单元。

[项目11]

如项目1至项目10的任一项所述的密码系统，

对每个上述密钥生成装置预先决定上述策略信息的特定对象仅是上述属性用变换规则信息，或者仅是上述谓词用变换规则信息，或者是上述属性用变换规则信息和上述谓词用变换规则信息。

[项目12]

如项目1至项目11的任一项所述的密码系统，

将上述代数结构K设为有限环或有限域，

上述第1、第2属性信息以及上述第1、第2谓词信息是以上述K的元作为分量的向量，

在上述解密单元的上述解密处理中，设输入上述密码信息和上述解密密钥，并进行依赖于上述第1谓词信息与上述第2属性信息的标准内积或上述第1属性信息与上述第2属性信息的标准内积的结果的运算。

[项目13]

如项目12所述的密码系统，

上述公开密钥是K上的加群V的元的集合，

上述秘密密钥是上述加群V的双对加群V*的元的集合，

上述解密密钥是上述双对加群V*的元，

上述加密单元通过进行包含以下运算的运算而求出上述密码信息：对上述公开密钥的元进行以上述第1属性信息的分量为系数的内积运算的运算；或者对上述公开密钥的元进行以上述第1谓词信息的分量为系数的内积的运算，

上述密钥生成单元通过进行包含以下运算的运算而求出上述解密密钥：对上述密码密钥的元进行以上述第2谓词信息的分量为系数的内积运算的运算；或者对上述秘密密钥的元进行以上述第2属性信息的分量为系数的内积运算的运算，

上述解密单元的上述解密处理中使用的上述运算具有双线性，且上述运算的结构依赖于基于双线性而从上述密码信息和上述解密密钥取出的上述第1谓词信息、上述第2属性信息或上述第1属性信息、以及上述第2谓词信息的标准内积的结果。

[项目14]

一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置并利用谓词密码的密码系统，

预先决定用于确定是上述属性用变换规则信息和上述谓词用变换规则信息中的哪一个的策略信息，

所述密码通信方法包括：

第1谓词逻辑信息取得步骤，上述加密装置的第1谓词逻辑信息取得单元在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息和上述谓词用变换规则信息中，利用根据上述加密装置的输入信息是属性指定信息或上述谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从上述输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；

加密步骤，上述加密装置的加密单元利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息；

第2谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

密钥生成步骤，上述密钥生成装置的密钥生成单元利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的解密密钥；以及

解密步骤，上述解密装置的解密单元利用上述解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理。

[项目15]

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

[项目16]

所述密码通信方法包括：

加密步骤，上述加密装置的加密单元利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息；

[项目17]

所述密码通信方法包括：

[项目18]

如项目14或项目15所述的密码通信方法，其中，

上述加密步骤包括密码文生成步骤，还求出上述加密单元通过上述公共密钥对明码电文进行了加密的密码文，

上述解密步骤包括第2解密步骤，上述解密单元利用通过上述解密处理而得到的上述公共密钥对上述密码文进行第2解密处理；或者利用公共密钥对上述加密问进行第2解密处理，所述公共密钥根据通过上述解密处理而得到的与在上述公共密钥的生成中使用的上述信息来生成。

[项目19]

如项目14至项目18的任一项所述的密码通信方法，包括：

取得步骤，上述解密装置的取得单元从存储了与上述使用者对应的上述属性指定信息和/或上述谓词指定信息的存储介质，取得与该解密装置的使用者对应的上述属性指定信息或上述谓词指定信息。

[项目20]

如项目14或项目16所述的密码通信方法，包括：

用户信息发送步骤，上述解密装置的发送单元将与该解密装置的使用者对应的上述属性指定信息或上述谓词指定信息发送给上述密钥生成装置；以及

用户信息接收步骤，上述密钥生成装置的接收单元从上述解密装置接收与上述使用者对应的上述属性指定信息或上述谓词指定信息。

[项目21]

如项目14至项目18的任一项所述的密码通信方法，其中，

上述密码系统包括一个或多个用户信息管理装置，所述用户信息管理装置具有存储单元，所述存储单元存储于上述使用者对应的上述属性指定信息和/或上述谓词指定信息，

所述通信方法包括：用户信息取得步骤，上述密钥生成装置的用户信息取得单元从上述用户信息管理装置取得与上述解密装置的使用者对应的上述属性指定信息或上述谓词指定信息。

[项目22]

如项目14至项目21的任一项所述的密码通信方法，其中，

对各上述密钥生成装置的每一个预先决定多个上述变换规则信息对，

上述密码系统包含一个或多个变换规则信息对管理装置，所述变换规则信息对管理装置具有存储单元，存储于各上述密钥生成装置对应的各上述变换规则信息对，

上述密码通信方法包括：

上述加密装置的变换规则信息对取得单元从上述变换规则信息对管理装置取得上述变换规则信息对的变换规则信息对取得步骤；以及

上述解密装置的变换规则信息对取得单元从上述变换规则信息对管理装置取得上述变换规则信息对的变换规则信息对取得步骤。

[项目23]

如项目14至项目22的任一项所述的密码通信方法，其中，

对上述密钥生成装置的每一个预先决定上述策略信息的确定对象仅是上述属性用变换规则信息、或者仅是上述谓词用变换规则信息、或者是上述属性用变换规则信息与上述谓词用变换规则信息。

[项目24]

如项目14至项目23的任一项所述的密码通信方法，其中，

将上述代数结构K设为有限环或有限域，

在上述解密步骤中，设上述解密单元输入上述密码信息和上述解密密钥，并进行依赖于上述第1谓词信息与上述第2属性信息的标准内积或上述第1属性信息与上述第2属性信息的标准内积的结果的运算。

[项目25]

如项目24所述的密码通信方法，

上述公开密钥是K上的加群V的元的集合，

上述秘密密钥是上述加群V的双对加群V*的元的集合，

上述解密密钥是上述双对加群V*的元，

在上述加密步骤中，上述加密单元通过进行包含以下运算的运算而求出上述密码信息：对上述公开密钥的元进行以上述第1属性信息的分量为系数的内积运算的运算；或者对上述公开密钥的元进行以上述第1谓词信息的分量为系数的内积的运算，

在上述密钥生成步骤中，上述密钥生成单元通过进行包含以下运算的运算而求出上述解密密钥：对上述密码密钥的元进行以上述第2谓词信息的分量为系数的内积运算的运算；或者对上述秘密密钥的元进行以上述第2属性信息的分量为系数的内积运算的运算，

[项目26]

一种加密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述加密装置包括：

加密单元，利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥，根据谓词密码算法，求出公共密钥以及与该公共密钥或在该公共密钥的生成中所使用的信息对应的密码信息。

[项目27]

在所述密码系统中，

所述加密装置包括：

加密单元，利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、明码电文，根据谓词密码算法，求出与该明码电文对应的密码信息。

[项目28]

一种密钥生成装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述密钥生成装置包括：

[项目29]

在所述密码系统中，

所述密钥生成装置包括：

密钥生成单元，利用属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)、以及该密钥生成装置的秘密密钥，生成用于上述密码信息的解密的解密密钥，所述第2属性信息或第2谓词信息是利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息得到。

[项目30]

一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述解密装置包括：

解密单元，利用上述密钥生成装置所生成的解密密钥，根据谓词密码算法，进行对于上述加密装置所生成的密码信息的解密处理。

[项目31]

在所述密码系统中，

所述解密装置包括：

[项目32]

一种程序，使计算机起到项目26或项目27所述的加密装置的作用。

[项目33]

一种程序，使计算机起到项目28或项目29所述的密钥生成装置的作用。

[项目34]

一种程序，使计算机起到项目30或项目31所述的解密装置的作用。

[项目35]

一种存储介质，至少存储了项目32所述的程序、项目33所述的程序、项目34所述的程序中的其中一个，并能够被计算机读取。

从第2观点总结本发明如下。另外，重置项目号，从1开始依次分配项目号。

[项目1]

一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

密码信息发送步骤，上述加密装置的发送单元将上述密码信息发送给第1解密装置；

密码信息接收步骤，上述第1解密装置的接收单元从上述加密装置接收上述密码信息；

密钥生成步骤，上述密钥生成装置的密钥生成单元利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的第1解密密钥；

解密密钥发送步骤，上述密钥生成装置的发送单元将上述第1解密密钥发送给上述第1解密装置；

解密密钥接收步骤，上述第1解密装置的接收单元从上述密钥生成装置接收上述第1解密密钥；

解密步骤，上述解密装置的解密单元利用上述第1解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理；

转发步骤，上述第1解密装置的转发单元将上述密码信息转发给该第1解密装置以外的第2解密装置；

接收步骤，上述第2解密装置的接收单元从上述第1解密装置接收上述密码信息；

第3谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第2解密装置的使用者对应的属性指定信息或上述谓词指定信息得到属性信息(以下，称为第3属性信息)或谓词信息(以下，称为第3谓词信息)；

上述密钥生成装置的密钥生成单元利用上述第3属性信息或上述第3谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的第2解密密钥的密钥生成步骤；

上述密钥生成装置的发送单元对上述第2解密装置发送上述第2解密密钥的解密密钥发送步骤；

上述第2解密装置的接收单元从上述密钥生成装置接收上述第2解密密钥的解密密钥接收步骤；以及

上述第2解密装置的解密单元利用上述第2解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理的解密步骤。

[项目2]

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述第1解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第1解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

逻辑信息发送步骤，上述第1解密装置的发送单元将上述第2属性信息或上述第2谓词信息发送给上述密钥生成装置；

逻辑信息接收步骤，上述密钥生成装置的接收单元从上述第1解密装置接收上述第2属性信息或上述第2谓词信息；

解密步骤，上述第1解密装置的解密单元利用上述的第1解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理的

第3谓词逻辑信息取得步骤，上述第2解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第2解密装置的使用者对应的属性指定信息或上述谓词指定信息得到属性信息(以下，称为第3属性信息)或谓词信息(以下，称为第3谓词信息)；

上述第2解密装置的发送单元将上述第3属性信息或上述第3谓词信息发送给上述密钥生成装置的逻辑信息发送步骤；

上述密钥生成装置的接收单元从上述第2解密装置接收上述第3属性信息或上述第3谓词信息的逻辑信息接收步骤；

上述密钥生成装置的发送单元将上述第2解密密钥发送给上述第2解密装置的解密密钥发送步骤；

[项目3]

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第1解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

解密步骤，上述第1解密装置的解密单元利用上述第1解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理；

转发步骤，上述第1解密装置的转发单元将上述密码信息转发给上述第 1解密装置以外的第2解密装置；

[项目4]

所述密码通信方法包括：

转发步骤，上述第1解密装置的转发单元将上述密码信息转发给上述第1解密装置以外的第2解密装置；

[项目5]

如项目1或项目2所述的密码通信方法，其中，

上述解密步骤包括第2解密步骤，上述解密单元利用通过上述解密处理而得到的上述公共密钥对上述密码文进行第2解密处理；或者利用公共密钥对上述密码文进行第2解密处理，所述公共密钥根据通过上述解密处理而得到的与在上述公共密钥的生成中使用的上述信息来生成。

[项目6]

如项目1至项目5的任一项所述的密码通信方法，包括：

[项目7]

如项目1或项目3所述的密码通信方法，包括：

[项目8]

如项目1至项目6的任一项所述的密码通信方法，其中，

[项目9]

如项目1至项目8的任一项所述的密码通信方法，其中，

上述密码通信方法包括：

[项目10]

如项目1至项目9的任一项所述的密码通信方法，其中，

[项目11]

如项目1至项目10的任一项所述的密码通信方法，其中，

将上述代数结构K设为有限环或有限域，

[项目12]

如项目11所述的密码通信方法，

上述公开密钥是K上的加群V的元的集合，

上述秘密密钥是上述加群V的双对加群V*的元的集合，

上述解密密钥是上述双对加群V*的元，

[项目13]

一种密码系统，利用谓词密码，至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置，

上述加密装置包括：

上述密钥生成装置包括：

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的解密密钥，

上述解密装置包括：

解密单元，利用上述解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理；以及

转发单元，将上述密码信息转发给该解密装置以外的一个以上的解密装置。

[项目14]

一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、或多个解密装置，

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

解密单元，利用从上述密钥生成装置发送的解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理；以及

转发单元，将上述密码信息转发给该解密装置以外的一个以上的解密装置，

上述密钥生成装置包括：

[项目15]

一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置，

上述加密装置包括：

上述密钥生成装置包括：

上述解密装置包括：

[项目16]

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

上述密钥生成装置包括：

[项目17]

如项目13或项目14所述的密码系统，

[项目18]

一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置，

在所述密码系统中，

所述解密装置包括：

解密单元，利用上述密钥生成装置所生成的解密密钥，根据谓词密码算法，进行对于上述加密装置所生成的密码信息的解密处理；以及

[项目19]

一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置一个或多个解密装置，

在所述密码系统中，

所述解密装置包括：

第2谓词逻辑信息取得单元，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

[项目20]

一种程序，使计算机起到项目18或项目19所述的解密装置的作用。

[项目21]

一种存储介质，存储了项目20所述的程序，并能够被计算机读取。

从第3观点总结本发明如下。另外，重置项目号，从1开始依次分配项目号。

[项目1]

一种密码系统，利用为此密码，至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

加密单元，利用上述第1属性信息或上述第1谓词信息、上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对该内容进行加密的加密内容，

上述内容服务器装置包括：

存储单元，存储从各上述加密装置发送来的上述密码信息以及上述加密内容；以及

发送单元，根据来自上述解密装置的请求，将上述的加密内容以及与其对应的上述密码信息发送给该解密装置，

上述密钥生成装置包括：

上述解密装置包括：

浏览器单元以及中继单元，

上述浏览器单元对上述内容服务器装置进行上述加密内容的取得请求处理，并显示从上述加密内容解密的内容，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用上述解密密钥而根据谓词密码算法，进行对于从上述内容服务器装置取得的上述密码信息的解密处理，且进行利用在该解密处理中得到的上述公共密钥，对从上述内容服务器装置取得的上述加密内容进行解密的内容取得处理。

[项目2]

一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息和上述谓词用变换规则信息中，利用根据上述加密装置的输入信息是属性指定信息或上述谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从上述输入信息得到属性信息(以下，称为第1属性信息)或谓词信息(以下，称为第1谓词信息)；以及

加密单元，利用上述第1属性信息或上述第1谓词信息、上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或该公共密钥的生成所使用的信息对应的密码信息、通过该公共密钥对该内容进行了加密的加密内容，

上述内容服务器装置包括：

发送单元，根据来自上述解密装置的请求，对该解密装置发送上述解密内容以及与其对应的上述密码信息，

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；

浏览器单元；以及

中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用从上述密钥生成装置发送来的上述解密密钥而根据谓词密码算法，进行对于从上述内容服务器装置取得的上述密码信息的解密处理，且进行利用在该解密处理中得到的上述公共密钥，对从上述内容服务器装置取得的上述加密内容进行解密的内容取得处理，

上述密钥生成装置包括：

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的解密密钥。

[项目3]

上述加密装置包括：

加密单元，利用上述第1属性信息或上述第1谓词信息、上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出对该内容进行了加密的加密内容，

上述内容服务器装置包括：

存储单元，存储从各上述加密装置发送来的上述加密内容；以及

发送单元，根据来自上述解密装置的请求，将上述加密内容发送给该解密装置，

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密或者的使用者对应的属性指定信息或谓词指定信息得到属性信息(以下，称为第2属性信息)或谓词信息(以下，称为第2谓词信息)；以及

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述加密内容的解密中使用的解密密钥，

上述解密装置包括浏览器单元以及中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密内容的解密处理。

[项目4]

上述加密装置包括：

上述内容服务器装置包括：

上述解密装置包括：

浏览器单元；以及

中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用从上述密钥生成装置发送来的上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密内容的解密处理，

上述密钥生成装置包括：

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述加密内容的解密中使用的解密密钥。

[项目5]

如项目1至项目4的任一项所述的密码系统，其中，

上述解密装置包括用户信息取得单元，从上述存储介质取得与该解密装置的使用者对应的上述属性指定信息或上述谓词指定信息。

[项目6]

如项目1或项目3所述的密码系统，其中，

上述密钥生成装置所使用的、与上述解密装置的使用者对应的上述属性指定信息或上述谓词指定信息是从上述解密装置取得的信息。

[项目7]

如项目1或项目6的任一项所述的密码系统，其中，

上述密码系统还包括一个或多个用户信息管理装置，

各上述用户信息管理装置包含存储单元，存储于上述使用者对应的上述属性指定信息和/或上述谓词指定信息，

上述密钥生成装置包括用户信息取得单元，从上述用户信息管理装置取得与上述解密装置的使用者对应的上述属性指定信息或上述谓词指定信息。

[项目8]

如项目1至项目7的任一项所述的密码系统，其中，

上述密码系统还包括一个或多个变换规则信息对管理装置，

[项目9]

如项目1至项目7的任一项所述的密码系统，

[项目10]

如项目1至项目9的任一项所述的密码系统，

[项目11]

如项目1至项目10的任一项所述的密码系统，

将上述代数结构K设为有限环或有限域，

在上述解密单元的上述解密处理中，进行依赖于上述第1谓词信息与上述第2属性信息的标准内积或上述第1属性信息与上述第2属性信息的标准内积的结果的运算。

[项目12]

如项目11所述的密码系统，

上述公开密钥是K上的加群V的元的集合，

上述秘密密钥是上述加群V的双对加群V*的元的集合，

上述解密密钥是上述双对加群V*的元，

[项目13]

一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置并利用谓词密码的密码系统，

所述密码通信方法包括：

加密步骤，上述加密装置的加密单元利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、通过该公共密钥对该内容进行了加密的解密内容；

发送步骤，上述加密装置的发送单元将上述加密内容以及与其对应的上述密码信息发送给上述内容服务器装置

存储步骤，上述内容服务器装置的存储单元存储从上述加密装置发送来的上述密码信息以及上述加密内容；

取得请求处理步骤，上述解密装置的浏览器单元对上述内容服务器装置进行上述加密内容的取得请求处理；

上述解密装置的中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置的发送步骤；

上述内容服务器装置的发送单元根据来自上述解密装置的请求，将上述加密内容以及与其对应的上述密码信息发送给该解密装置的发送步骤；

接收步骤，上述解密装置的接收单元从上述内容服务器装置接收上述加密内容以及上述密码信息；

密钥生成步骤，上述密钥生成装置的密钥生成单元利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述密码信息的解密中使用的解密密钥；

解密密钥发送步骤，上述密钥生成装置的发送单元将上述解密密钥发送给上述解密装置；

解密密钥接收步骤，上述解密装置的接收单元从上述密钥生成装置接收上述解密密钥；

解密步骤，上述解密装置的中继单元利用上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述密码信息的解密处理，并利用该解密处理中得到的上述公共密钥，进行对从上述内容服务器装置取得的上述加密内容进行解密的内容取得处理；以及

显示步骤，上述解密装置的浏览器单元显示解密了上述加密内容的内容。

[项目14]

所述密码通信方法包括：

加密步骤，上述加密装置的加密单元利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、通过该公共密钥对该内容进行了加密的加密内容；

发送步骤，上述加密装置的发送单元将上述加密内容以及与其对应的上述密码信息发送给上述内容服务器装置；

逻辑信息发送步骤，上述解密装置的发送单元将上述第2属性信息或上述第2谓词信息发送给上述密钥生成装置；

解密步骤，上述解密装置的中继单元利用上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述密码信息的解密处理，并利用通过该解密处理得到的上述公共密钥，进行对从上述内容服务器装置取得上述加密内容进行解密的内容取得处理；以及

[项目15]

所述密码通信方法包括：

加密步骤，上述加密装置的加密单元利用上述第1属性信息或上述第1谓词信息、以及上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出对该内容进行了加密的加密内容；

发送步骤，上述加密装置的发送单元将上述加密内容发送给上述内容服务器装置；

存储步骤，上述内容服务器装置的存储单元存储从上述加密装置发送来的上述加密内容；

上述内容服务器装置的发送单元根据来自上述解密装置的请求，将上述加密内容发送给该解密装置的发送步骤；

接收步骤，上述解密装置的接收单元从上述内容服务器装置接收上述加密内容；

解密步骤，上述解密装置的中继单元利用上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密内容的解密处理；以及

[项目16]

所述密码通信方法包括：

逻辑信息接收步骤，上述密钥生成装置的接收单元从上述解密装置接收上述第2属性信息或上述第2谓词信息；

密钥生成步骤，上述密钥生成装置的密钥生成单元利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成在上述加密内容的解密中使用的解密密钥；

解密步骤，上述解密装置的中继单元利用上述解密密钥，根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密信息的解密处理；以及

[项目17]

一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及存储上述加密内容以及上述密码信息的一个或多个内容服务器装置，

在所述密码系统中，

所述解密装置包括浏览器单元以及中继单元，

[项目18]

一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及存储上述加密内容以及上述密码信息的一个或多个内容服务器装置，

在所述密码系统中，

所述解密装置包括浏览器单元以及中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用上述解密密钥而根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密内容的解密处理。

[项目19]

一种内容服务器装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及一个或多个内容服务器装置，在所述密码系统中，

所述内容服务器装置包括：

发送单元，根据来自上述解密装置的请求，将上述加密内容以及与其对应的上述密码信息发送给该解密装置。

[项目20]

一种内容服务器装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及一个或多个内容服务器装置，

在所述密码系统中，

所述内容服务器装置包括：

发送单元，根据来自上述解密装置的请求，将上述加密内容发送给该解密装置。

[项目21]

一种程序，使计算机起到项目17或项目18所述的解密装置的作用。

[项目22]

一种程序，使计算机起到项目19或项目20所述的内容服务器装置的作用。

[项目23]

一种存储介质，存储了项目21所述的程序和/或项目22所述的程序，并能够被计算机读取。

Claims

1.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

预先决定一个或多个变换规则信息对，所述变换规则信息对是规定了用于将指定属性的信息（以下，称为属性指定信息）变换为在谓词密码算法中使用的属性信息的变换规则的信息（以下，称为属性用变换规则信息）、以及规定了用于将指定谓词的信息（以下，称为谓词指定信息）变换为在该谓词密码算法中使用的谓词信息的变换规则的信息（以下，称为谓词用变换规则信息）的对，

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息与上述谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从该输入信息中得到属性信息（以下，称为第1属性信息）或谓词信息（以下，称为第1谓词信息）；以及

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

上述解密装置包括：

2.如权利要求1所述的密码系统，

上述解密装置的上述解密单元还进行利用在上述解密处理中得到的上述公共密钥的上述密码文的第2解密处理、或者利用根据在上述解密处理中得到的在上述公共密钥的生成中使用的上述信息而生成的公共密钥的上述密码文的第2解密处理。

3.如权利要求1或2所述的密码系统，

上述密码系统包含多个上述解密装置，

多个上述解密装置中的至少一个上述解密装置还包含转发单元，对该解密装置以外的一个以上的解密装置转发上述密码信息。

4.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述的一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

上述密钥生成装置包括：

5.如权利要求4所述的密码系统，

6.如权利要求4或5所述的密码系统，

上述密码系统包含多个上述解密装置，

7.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息与上述谓词用变换规则信息中，利用根据该加密装置的输入信息是属性指定信息或谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从该输入信息得到属性信息（以下，称为第1属性信息）或谓词信息（以下，称为第1谓词信息）；以及

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

上述解密装置包括：

8.如权利要求7所述的密码系统，

上述密码系统包含多个上述解密装置，

9.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

上述加密装置包括：

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与该解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

上述密钥生成装置包括：

10.如权利要求9所述的密码系统，

上述密码系统包含多个上述解密装置，

11.一种密码系统，利用谓词密码，至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

上述内容服务器装置包括：

上述密钥生成装置包括：

上述解密装置包括：

浏览器单元以及中继单元，

12.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

第1谓词逻辑信息取得单元，在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息和上述谓词用变换规则信息中，利用根据上述加密装置的输入信息是属性指定信息或上述谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从上述输入信息得到属性信息（以下，称为第1属性信息）或谓词信息（以下，称为第1谓词信息）；以及

加密单元，利用上述第1属性信息或上述第1谓词信息、上述密钥生成装置的公开密钥、内容，根据谓词密码算法，求出公共密钥、与该公共密钥或该公共密钥的生成所使用的信息对应的密码信息、以及通过该公共密钥对该内容进行了加密的加密内容，

上述内容服务器装置包括：

发送单元，根据来自上述解密装置的请求，对该解密装置发送上述加密内容以及与其对应的上述密码信息，

上述解密装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；

浏览器单元；以及

中继单元，

上述浏览器单元进行对于上述内容服务器装置的上述加密内容的取得请求处理，并显示从上述加密内容解密的内容，

上述密钥生成装置包括：

13.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

上述内容服务器装置包括：

上述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

上述解密装置包括浏览器单元以及中继单元，

14.一种密码系统，利用谓词密码，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置，

上述加密装置包括：

上述内容服务器装置包括：

上述解密装置包括：

浏览器单元；以及

中继单元，

上述密钥生成装置包括：

15.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

第1谓词逻辑信息取得步骤，上述加密装置的第1谓词逻辑信息取得单元在从上述变换规则信息对中选择的一个变换规则信息对中包含的上述属性用变换规则信息和上述谓词用变换规则信息中，利用根据上述加密装置的输入信息是属性指定信息或上述谓词指定信息中的哪一个而与上述策略信息一并选择的其中一个变换规则信息，从上述输入信息得到属性信息（以下，称为第1属性信息）或谓词信息（以下，称为第1谓词信息）；

第2谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；

16.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置并利用谓词密码的密码系统，

预先决定一个或多个变换规则信息对，所述变换规则信息对是规定了用于将指定属性的信息（以下，称为称为属性指定信息）变换为在谓词密码算法中使用的属性信息的变换规则的信息（以下，称为属性用变换规则信息）、以及规定了用于将指定谓词的信息（以下，称为谓词指定信息）变换为在该谓词密码算法中使用的谓词信息的变换规则的信息（以下，称为谓词用变换规则信息）的对，

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；

17.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

18.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

19.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

第3谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第2解密装置的使用者对应的属性指定信息或上述谓词指定信息得到属性信息（以下，称为第3属性信息）或谓词信息（以下，称为第3谓词信息）；

20.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述第1解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第1解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；

解密步骤，上述第1解密装置的解密单元利用上述的第1解密密钥，根据谓词密码算法，进行对于上述密码信息的解密处理；

第3谓词逻辑信息取得步骤，上述第2解密装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第2解密装置的使用者对应的属性指定信息或上述谓词指定信息得到属性信息（以下，称为第3属性信息）或谓词信息（以下，称为第3谓词信息）；

21.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

第2谓词逻辑信息取得步骤，上述密钥生成装置的第2谓词逻辑信息取得单元利用与由上述策略信息确定的上述一个变换规则信息成对的另一个变换规则信息，从与上述第1解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；

22.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、多个解密装置并利用谓词密码的密码系统，

所述密码通信方法包括：

23.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置并利用谓词密码的密码系统，

所述密码通信方法包括：

24.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置并利用谓词密码的密码系统，

所述密码通信方法包括：

存储步骤，上述内容服务器装置的存储单元存储从各个上述加密装置发送来的上述密码信息以及上述加密内容；

25.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置并利用谓词密码的密码系统，

所述密码通信方法包括：

存储步骤，上述内容服务器装置的存储单元存储从各个上述加密装置发送来的上述加密内容；

26.一种密码通信方法，用于至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置、一个或多个内容服务器装置并利用谓词密码的密码系统，

所述密码通信方法包括：

27.一种加密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述加密装置包括：

28.一种加密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述加密装置包括：

29.一种密钥生成装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述密钥生成装置包括：

第2谓词逻辑信息取得单元，利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息，得到属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）；以及

密钥生成单元，利用上述第2属性信息或上述第2谓词信息、以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥。

30.一种密钥生成装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述密钥生成装置包括：

密钥生成单元，利用属性信息（以下，称为第2属性信息）或谓词信息（以下，称为第2谓词信息）、以及该密钥生成装置的秘密密钥，生成用于密码信息的解密的解密密钥，所述第2属性信息或第2谓词信息是利用与在上述策略信息中确定的上述的一个变换规则信息成对的另一个变换规则信息，从与上述解密装置的使用者对应的属性指定信息或谓词指定信息生成的。

31.一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述解密装置包括：

32.一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括一个或多个加密装置、一个或多个密钥生成装置、一个或多个解密装置，

在所述密码系统中，

所述解密装置包括：

33.如权利要求31或32所述的解密装置，

当上述密码系统包含多个解密装置的情况下，

所述解密装置还包括转发单元，对该解密装置以外的一个以上的解密装置转发上述密码信息。

34.一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及存储上述加密内容以及上述密码信息的一个或多个内容服务器装置，

在所述密码系统中，

所述解密装置包括浏览器单元以及中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用解密密钥而根据谓词密码算法，进行对于从上述内容服务器装置取得的上述密码信息的解密处理，且进行利用在该解密处理中得到的上述公共密钥，对从上述内容服务器装置取得的上述加密内容进行解密的内容取得处理。

35.一种解密装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及存储上述加密内容以及上述密码信息的一个或多个内容服务器装置，

在所述密码系统中，

所述解密装置包括浏览器单元以及中继单元，

上述中继单元将来自上述浏览器单元的上述取得请求发送给上述内容服务器装置，并利用解密密钥而根据谓词密码算法，进行对于从上述内容服务器装置取得的上述加密内容的解密处理。

36.一种内容服务器装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出公共密钥、与该公共密钥或在该公共密钥的生成中使用的信息对应的密码信息、以及通过该公共密钥对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及一个或多个内容服务器装置，在所述密码系统中，

所述内容服务器装置包括：

37.一种内容服务器装置，用于利用谓词密码的密码系统，所述密码系统至少包括：根据谓词密码算法求出对内容进行了加密后的加密内容的一个或多个加密装置；一个或多个密钥生成装置；一个或多个解密装置；以及一个或多个内容服务器装置，

在所述密码系统中，

所述内容服务器装置包括：