CN102396178A - 信息生成装置、方法、程序以及其记录介质 - Google Patents

Abstract

实现以树结构以外的一般的半顺序结构表现的分层型密码。在信息生成时，生成随机数σ_v、(σ_vj)_j∈w(v)∈Z_q，计算主信息k_v＝σ_v∑_{i∈{1，...，N-1}\w(v)}v_ib_i ^*+b_N ^*，并且对各j∈w(v)计算导出信息k_vj＝σ_vj∑_{i∈{1，...，N-1}\w(v)}v_ib_i ^*+b_j ^*。在信息导出时，生成随机数σ_u、(σ_uj)_j∈w(u)∈Z_q，计算主信息k_u＝σ_u∑_{i∈w(v)\w(u)}u_ik_vi+k_v，并对各j∈w(u)计算导出信息k_uj＝σ_uj∑_{i∈w(v)\w(u)}u_ik_vi+k_vj。

Description

信息生成装置、方法、程序以及其记录介质

技术领域

本发明涉及信息安全技术的应用技术。例如，涉及能够根据解密密钥来导出进一步限制了解密权限的解密密钥的分层型密码。

背景技术

作为分层型密码的以往技术，已知非专利文献1所记载的技术。

现有技术文献

非专利文献1：Craig Gentry，Alice Silverberg，“Hierarchical ID-BasedCryptography”，ASIACRYPT 2002，p.548-566

发明内容

发明要解决的课题

在非专利文献1所记载的技术中，能够根据与树构造的父节点对应的密钥导出与子节点对应的密钥，但是无法实现以树构造以外的一般的半顺序构造s表现的密钥导出。例如，存在如下的课题：对于具有共同的子节点C的父节点A与父节点B，无法根据父节点A的密钥导出共同的子节点C的密钥，并且无法根据父节点B的密钥导出共同的子节点C的密钥。

用于解决课题的手段

为了解决上述课题，技术方案1的信息生成装置，其中，e是对于巡回群G₁的N个元γ_L(L＝1，…，N)(N≥2)和巡回群G₂的N个元γ_L ^*(L＝1，…，N)的输入而输出巡回群G_T的1个元的非退化的双线型函数，b_i∈G₁ ^N(i＝1，…，N)的各个是将上述巡回群G₁的N个元作为元素的N维的基底向量，b_j ^*∈G₂ ^N(j＝1，…，N)的各个是将上述巡回群G₂的N个元作为元素的N维的基底向量，使用在i＝j时成为δ(i，j)＝1_F并且在i≠j时成为δ(i，j)＝O_F的Kronecker的δ函数δ(i，j)，将上述基底向量b_i∈G₁ ^N(i＝1，…，N)的各元素和上述基底向量b_j ^*∈G₂ ^N(j＝1，…，N)的各元素输入到上述双线型函数e而得到的函数值表现为g_T ^{τ·δ(i，j)}∈G_T，O_F为有限域F_q的加法单位元，1_F为有限域F_q的乘法单位元，τ为除了O_F的有限域F_q的元，g_T为上述巡回群G_T的生成元，将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，该信息生成装置包括：随机数生成单元，生成随机数σY∈Z_q、以及与集合w(Y)的各元素j∈w(Y)对应的随机数σ_Yj∈Z_q；主信息生成单元，使用上述生成的随机数σ_Y，计算满足k_Y＝σ_Y∑_{i∈{1， …，N-1}\w(Y)}Y_ib_i ^*+b_N ^*的关系的主信息k_Y；以及导出信息生成单元，使用上述生成的随机数σ_Yj，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝σ_Yj∑_{i∈{1，...，N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系的导出信息k_Yj。

技术方案4的信息生成装置，其中，e是对于巡回群G₁的N个元γ_L(L＝1，...，N)(N≥2)和巡回群G₂的N个元γ_L ^*(L＝1，...，N)的输入而输出巡回群G_T的1个元的非退化的双线型函数，b_i∈G₁ ^N(i＝1，...，N)的各个是将上述巡回群G₁的N个元作为元素的N维的基底向量，b_j ^*∈G₂ ^N(j＝1，…，N)的各个是将上述巡回群G₂的N个元作为元素的N维的基底向量，使用在i＝j时成为δ(i，j)＝1_F并且在i≠j时成为δ(i，j)＝O_F的Kronecker的δ函数δ(i，j)，将上述基底向量b_i∈G₁ ^N(i＝1，...，N)的各元素和上述基底向量b_j ^*∈G₂ ^N(j＝1，...，N)的各元素输入到上述双线型函数e而得到的函数值表现为g_T ^{τ·δ(i，j)}∈G_T，O_F为有限域F_q的加法单位元，1_F为有限域F_q的乘法单位元，τ为除了O_F的有限域F_q的元，g_T为上述巡回群G_T的生成元，将*设为不定字符，将索引Y设为Y＝(Y₁，...，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，将σ_Y ∈Z_q设为随机数，将σ_Yi设为与集合w(Y)的各元素j∈w(Y)对应的随机数，与索引Y对应的主信息k_Y满足k_Y＝σ_Y∑_{i∈{1，…，N-1}\w (Y)}Y_ib_i ^*+b_N ^*的关系，与索引Y对应的导出信息k_Yi满足k_Yj＝σ_{Y j}∑_{i∈{1，…，N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系，将*设为不定字符，将索引v设为v＝(v₁，…，v_N-1)∈I＝(F_q∪{*})^N-1，将索引u设为u＝(u₁，…，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将与索引u对应的集合w(u)设为w(u)＝{i|u_i＝*}，设为

设为v_i＝u_i(i∈{1，…，N-1}\w(v))，该信息生成装置包括：存储单元，存储作为上述主信息k_Y的或者根据上述主信息k_Y和上述导出信息k_Yi导出的与索引v对应的主信息k_v、以及作为上述导出信息k_Yi的或者根据上述导出信息k_Yi导出的与索引v对应的导出信息k_vj；子随机数生成单元，生成随机数σ_u∈Z_q；以及主信息导出单元，使用从上述存储单元读取的主信息k_v、导出信息k_vi以及上述生成的随机数σ_u，计算满足k_u＝σ_u∑_{i∈w(v)\w(u)}u_ik_vi+k_v的关系的、与索引u对应的主信息k_u。

技术方案6的信息生成装置，其中，将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而公开，将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，该信息生成装置包括：随机数生成单元，生成随机数r_Y∈Z_q；第一主信息生成单元，使用上述生成的随机数r_Y，计算满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系的第一主信息k_Y；第二主信息生成单元，使用上述生成的随机数r_Y，计算第二主信息g^rY；以及导出信息生成单元，使用上述生成的随机数r_Y，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝h_j ^rY的关系的导出信息k_Yj。

技术方案9的信息生成装置，其中，将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而公开，将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，将r_Y∈Z_q设为随机数，与索引Y对应的第一主信息k_Y满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系，将g^rY设为与索引Y对应的第二主信息，与索引Y对应的导出信息k_Yi满足k_Yj＝h_j ^rY的关系，将*设为不定字符，将索引v设为v＝(v₁，…，v_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将索引u设为u＝(u₁，…，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引u对应的集合w(u)设为w(u)＝{i|u_i＝*}，设为

设为v_i＝u_i(i∈{1，…，N-1}\w(v))，该信息生成装置包括：随机数生成单元，生成随机数r_u∈Z_q；存储单元，存储作为上述第一主信息k_Y的或者从上述第一主信息k_Y和上述导出信息k_Yi导出的与索引v对应的第一主信息k_v、以及作为上述导出信息k_Yi的或者从上述导出信息k_Yi导出的与索引v对应的导出信息k_vj；第一主信息导出单元，使用从上述存储单元读取的第一主信息k_v和上述导出信息k_vi，计算满足k_u＝k_v(∏_{i∈w(v)\w(u)}k_vi ^ui)(g₃∏_{i∈{1，…，N-1}\w(v)}h_i ^vi∏_{i∈w(v)\w(u)}h_i ^ui)^ru的关系的、与索引u对应的第一主信息k_u；第二主信息导出单元，使用上述生成的随机数r_u，计算第二主信息g^ru。

发明的效果

对于具有共同的子节点C的父节点A与父节点B，能够根据父节点A的信息导出共同的子节点C的信息，能够根据父节点B的信息导出共同的子节点C的信息。

附图说明

图1是第一实施方式的信息生成装置的功能方框图的例子。

图2是第一实施方式的信息生成的流程图的例子。

图3是第一实施方式的信息导出的流程图的例子。

图4是第二实施方式的信息生成装置的功能方框图的例子。

图5是第二实施方式的信息生成的流程图的例子。

图6是第二实施方式的信息导出的流程图的例子。

具体实施方式

以下，详细说明本发明的实施方式。

【术语密码】

首先，对在第一实施方式中使用的概念即术语密码的概要进行说明。

[定义]

首先对在本方式中使用的用语和符号进行定义。

矩阵：“矩阵”表示将定义了运算的集合的元以矩形排列的集合。不仅把将环的元作为元素的集合表现为“矩阵”，也把将群的元作为元素的集合表现为“矩阵”。

(·)^T：(·)^T表示·的转置矩阵。

(·)^-1：(·)^-1表示·的逆矩阵。

∧：∧表示逻辑积。

∨：∨表示逻辑和。

Z：Z表示整数集合。

k：k表示安全参数(k∈Z，k＞0)。

{0，1}^*：{0，1}^*表示任意比特长度的二进制序列。其一例是由整数0和1构成的序列。但是，{0，1}^*不限定于由整数0和1构成的序列。{0，1}^*与位数2的有限域或者其扩展域意思相同。

{0，1}^ζ：{0，1}^ζ表示比特长度为ζ(ζ∈Z，ζ＞0)的二进制序列。其一例是由整数0和1构成的序列。但是，{0，1}^ζ不限定于由整数0和1构成的序列。{0，1}^ζ与位数2的有限域(ζ＝1时)或者将其扩大了ζ次的扩展域(ζ＞1时)意思相同。

(+)：(+)表示二进制序列之间的异或逻辑运算符。例如，满足10110011(+)11100001＝01010010。

F_q：F_q表示位数q的有限域。位数q为1以上的整数，例如将质数或质数的幂乘值作为位数q。即，有限域F_q的例子是质数域、或者将其作为基础域的扩展域。另外，例如通过将位数q作为除数的剩余运算，从而能够容易地构成在有限域F_q为质数域时的运算。此外，例如通过将不可约多项式作为除数的剩余运算，从而能够容易地构成在有限域F_q为扩展域时的运算。有限域F_q的具体的构成方法，例如公开于参考文献1“ISO/IEC 18033-2：Informationtechnology-Security techniques-Encryption algorithms-Part 2：Asymmetricciphers”。

0_F：0_F表示有限域F_q的加法单位元。

1_F：1_F表示有限域F_q的乘法单位元。

δ(i，j)：δ(i，j)表示Kronecker的δ函数。在i＝j时满足δ(i，j)＝1_F，在i≠j时满足δ(i，j)＝0_F。

E：E表示在有限域F_q上定义的椭圆曲线。E被定义成，对由满足如式(1)的affine坐标版的Weierstrass方程式(其中，a₁，a₂，a₃，a₄，a₆∈F_q)的x，y∈F_q构成的点(x，y)的集合附加了被称为无限远点的特别的点O的集合。能够分别对椭圆曲线E上的任意2点定义被称作椭圆加算的二项运算+，对椭圆曲线E上的任意1点定义被称作椭圆逆元的单项运算-。此外，由椭圆曲线E上的有理点构成的有限集合关于椭圆加算而组成群、使用椭圆加算能够定义被称为椭圆标量倍算的运算、以及计算机上的椭圆加算等椭圆运算的具体的运算方法被众所周知(例如，参照参考文献1、参考文献2“RFC 5091：Identity-Based Cryptography Standard(IBCS)#1：Supersingular CurveImplementations of the BF and BB1 Cryptosystems”、参考文献3“イアン·F·ブラケ、ガデイエル·セロツシ、ナイジエル·P·スマ一ト＝著、「楕円曲線暗号」、出版＝ピアソン·エデユケ一シヨン、ISBN4-89471-431-0”等)。

y²+a₁·x·y+a₃·y＝x³+a₂·x²+a₄·x+a₆       ...(1)

此外，由椭圆曲线E上的有理点构成的有限集合具有位数p(p≥1)的部分群。例如，在将由椭圆曲线E上的有理点构成的有限集合的元素数设为#E，将P设为用于切割#E的大的质数的情况下，由椭圆曲线E的p等分点构成的有限集合E[p]构成由椭圆曲线E上的有理点构成的有限集合的部分群。另外，椭圆曲线E的p等分点意味着，在椭圆曲线E上的点A中，椭圆曲线E上的椭圆标量倍算值p·A满足p·A＝O的点。

G₁、G₂、G_T：G₁、G₂、G_T表示位数q的巡回群。巡回群G₁，、G₂的具体例子是，由椭圆曲线E的p等分点构成的有限集合E[p]或者其部分群。既可以是G₁＝G₂，也可以是G₁≠G₂。此外，巡回群G_T的具体例子是，构成将有限域F_q作为基础域的扩展域的有限集合。其一例是，由有限域F_q的代数闭包中的1的p乘根构成的有限集合。

另外，在本方式中，用加法表现在巡回群G₁，、G₂上定义的运算，用乘法表现在巡回群G_T上定义的运算。即，对于χ∈F_q和Ω∈G₁的χ·Ω∈G₁意味着，对Ω∈G₁实施χ次在巡回群G₁中定义的运算，对于Ω₁、Ω₂∈G₁的Ω₁+Ω₂∈G₁意味着，将Ω₁∈G₁和Ω₂∈G₁作为被运算符进行在巡回群G₁中定义的运算。同样地，对于χ∈F_q和Ω∈G₂的χ·Ω∈G₂意味着，对Ω∈G₂实施χ次在巡回群G₂中定义的运算，对于Ω₁、Ω₂∈G₂的Ω₁+Ω₂∈G₂意味着，将Ω₁∈G₂和Ω₂∈G₂作为被运算符进行在巡回群G₂中定义的运算。另一方面，对于χ∈F_q和Ω∈G_T的Ω^χ∈G_T意味着，对Ω∈G_T实施χ次在巡回群G_T中定义的运算，对于Ω₁、Ω₂∈G_T的Ω₁·Ω₂∈G_T意味着，将Ω₁∈G_T和Ω₂∈G_T作为被运算符进行在巡回群G_T中定义的运算。

G₁ ⁿ⁺¹：G₁ ⁿ⁺¹表示n+1(n≥1)个巡回群G₁的直积。

G₂ ⁿ⁺¹：G₂ ⁿ⁺¹表示n+1个巡回群G₂的直积。

g₁、g₂、g_T：g₁、g₂、g_T表示巡回群G₁、G₂、G_T的生成元。

V：V表示由n+1个巡回群G₁的直积构成的n+1维的向量空间。

V^*：V^*表示由n+1个巡回群G₂的直积构成的n+1维的向量空间。

e：e表示用于计算将直积G₁ ⁿ⁺¹和直积G₂ ⁿ⁺¹的直积G₁ ⁿ⁺¹×G₂ ⁿ⁺¹映射到巡回群G_T的非退化的双线型映射(bilinear map)的函数(称为“双线型函数”)。双线型函数e将巡回群G₁的n+1个元γ_L(L＝1，...，n+1)(n≥1)和巡回群G₂的n+1个元γ_L ^*(L＝1，...，n+1)作为输入，输出巡回群G_T的1个元。

e：G₁ ⁿ⁺¹×G₂ ⁿ⁺¹→G_T            ...(2)

双线型函数e满足以下的性质。

[双线型性]对所有的Γ₁∈G₁ ⁿ⁺¹、Γ₂∈G₂ ⁿ⁺¹和ν，κ∈F_q，满足以下的关系。

e(ν·Γ₁，κ·Γ₂)＝e(Γ₁，Γ₂)^ν·κ     ...(3)

[非退化性]不是将所有的

Γ₁∈G₁ ⁿ⁺¹，Γ₂∈G₂ ⁿ⁺¹           ...(4)

映射到巡回群G_T的单位元的函数。

[可计算性]存在对所谓的Γ₁∈G₁ ⁿ⁺¹、Γ₂∈G₂ ⁿ⁺¹有效率地计算e(Γ₁，Γ₂)的算法。

在本方式中，使用用于计算将巡回群G₁和巡回群G₂的直积G₁×G₂映射到巡回群G_T的非退化的双线型映射的函数

Pair：G₁×G₂→G_T         ...(5)

，来构成双线型函数e。本方式的双线型函数e是，对于由巡回群G₁的n+1个元γ_L(L＝1，...，n+1)构成的n+1维向量(γ₁，...，γ_n+1)、由巡回群G₂的n+1个元γ_L ^*(L＝1，...，n+1)构成的n+1维向量(γ₁ ^*，...，γ_n+1 ^*)的输入，输出巡回群G_T的一个元

e＝∏_L＝1 ⁿ⁺¹Pair(γ_L，γ_L ^*)         ...(6)

的函数。

另外，双线型函数Pair是将巡回群G₁的1个元和巡回群G₂的1个元的组合作为输入，输出巡回群G_T的1个元的函数，满足以下的性质。

[双线型性]对所有的Ω₁∈G₁、Ω₂∈G₂和ν，κ∈F_q，满足以下的关系。

Pair(ν·Ω₁，κ·Ω₂)＝Pair(Ω₁，Ω₂)^ν·κ         ...(7)

[非退化性]不是将所有的

Ω₁∈G₁，Ω₂∈G₂            ...(8)

映射到巡回群G_T的单位元的函数。

[可计算性]存在对所谓的Ω₁∈G₁、Ω₂∈G₂有效率地计算Pair(Ω₁，Ω₂)的算法。

另外，双线型函数Pair的具体例子是，用于进行Weil-Pairing或Tate-Pairing等配对运算的函数(例如，参照参考文献4“Alfred.J.Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS，KLUWER ACADEMICPUBLISHERS，ISBN0-7923-9368-6，pp.61-81”等)。此外，根据椭圆曲线E的种类，也可以将组合了用于进行Tate-Pairing等配对运算的函数与规定的函数phi的变形配对函数e(Ω₁，phi(Ω₂))(Ω₁∈G₁，Ω₂∈G₂)作为双线型函数Pair来使用(例如，参照参考文献2等)。此外，作为用于在计算机上进行配对运算的算法，存在众所周知的Miller算法(参考文献5“V.S.Miller，“ShortPrograms for functions on Curves，”1986，因特网<http://crypto.stanford.edu/miller/miller.pdf>”)等。此外，众所周知用于有效率地进行配对运算的椭圆曲线和巡回群的构成方法(例如，参照参考文献2、参考文献6“A.Miyaji，M.Nakabayashi，S.Takano，″New explicit conditions ofelliptic curve Traces for FR-Reduction，″IEICE Trans.Fundamentals，vol.E84-A，no05，pp.1234-1243，May 2001”、参考文献7“P.S.L.M.Barreto，B.Lynn，M.Scott，″Constructing elliptic curves with prescribed embedding degrees，″Proc.SCN′2002，LNCS 2576，pp.257-267，Springer-Verlag.2003”、参考文献8“R.Dupont，A.Enge，F.Morain，″Building curves with arbitrary small MOV degreeover finite prime fields，″http://eprint.iacr.org/2002/094/”等)。

a_i(i＝1，...，n+1)：a_i表示将巡回群G₁的n+1个元作为元素的n+1维的基底向量。基底向量a_i的一例是，将κ₁·g₁∈G₁作为第i维的元素，将剩余的n个元素设为巡回群G₁的单位元(加法上表现为“0”)的n+1维的基底向量。这种情况下，分别列举并表现n+1维的基底向量a_i(i＝1，...，n+1)的各元素，则成为如下。

a₁＝(κ₁·g₁，0，0，...，0)

a₂＝(0，κ₁·g₁，0，...，0)              ...(9)

…

a_n+1＝(0，0，0，...，κ₁·g₁)

这里，κ₁是由加法单位元0_F以外的有限域F_q的元构成的常数，κ₁∈F_q的具体例子是κ₁＝1_F。基底向量a_i是正交基底，将巡回群G₁的n+1个元作为元素的所有的n+1维向量，通过n+1维的基底向量a_i(i＝1，...，n+1)的线性和来表现。即，n+1维的基底向量a_i展开上述的向量空间V。

a_i ^*(i＝1，...，n+1)：a_i ^*表示将巡回群G₂的n+1个元作为元素的n+1维的基底向量。基底向量a_i ^*的一例是，将κ₂·g₂∈G₂作为第i维的元素，将剩余的n个元素设为巡回群G₂的单位元(加法上表现为“0”)的n+1维的基底向量。这种情况下，分别列举并表现基底向量a_i ^*(i＝1，...，n+1)的各元素，则成为如下。

a₁ ^*＝(κ₂·g₂，0，0，...，0)

a₂ ^*＝(0，κ₂·g₂，0，...，0)        ...(10)

…

a_n+1 ^*＝(0，0，0，...，κ₂·g₂)

这里，κ₂是由加法单位元0_F以外的有限域F_q的元构成的常数，κ₂∈F_q的具体例子是κ₂＝1_F。基底向量a_i ^*是正交基底，将巡回群G₂的n+1个元作为元素的所有的n+1维向量，通过n+1维的基底向量a_i ^*(i＝1，...，n+1)的线性和来表现。即，n+1维的基底向量a_i ^*展开上述的向量空间V^*。

另外，关于除了0_F的有限域F_q的元τ＝κ₁·κ₂，基底向量a_i和基底向量a_i ^*满足式(11)。

e(a_i，a_j ^*)＝g_T ^{τ·δ(i，j)}          ...(11)

即，i＝j时，根据式(6)(7)的关系，满足

e(a_i，a_j ^*)＝Pair(κ₁·g₁，κ₂·g₂)·Pair(0，0)·...·Pair(0，0)

＝Pair(g₁，g₂)^κ1·κ2·Pair(g₁，g₂)^0·0·...·Pair(g₁，g₂)^0·0

＝Pair(g₁，g₂)^κ1·κ2＝g_T ^τ。

另一方面，i≠j时，e(a_i，a_j ^*)不包括Pair(κ₁·g₁，κ₂·g₂)，成为Pair(0，κ₂·g₂)与Pair(κ₁·g₁，0)与Pair(0，0)的积。而且，根据式(7)的关系而满足Pair(g₁，0)＝Pair(0，g₂)＝Pair(g₁，g₂)⁰。因此，i≠j时，满足

e(a_i，a_j ^*)＝e(g₁，g₂)⁰＝g_T ⁰。

尤其，在τ＝κ₁·κ₂＝1_F时(例如，κ₁＝κ₂＝1_F时)，满足式(12)。这里，g_T ⁰＝1是巡回群G_T的单位元，g_T ¹＝g_T是巡回群G_T的生成元。这种情况下，基底向量a_i和基底向量a_i ^*是双对正规正交基底，向量空间V和向量空间V^*是可构成双线型映射的双对向量空间[双配对向量空间(DPVS：Dual Paring Vectorspace)]。

e(a_i，a_j ^*)＝g_T ^δ(i，j)        ...(12)

A：A表示将基底向量a_i(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵。例如，通过式(9)表现基底向量a_i(i＝1，...，n+1)的情况下，矩阵A成为数1。

[数1]

A^*：A^*表示将基底向量a_i ^*(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵。例如，通过式(10)表现基底向量a_i ^*(i＝1，...，n+1)的情况下，矩阵A^*成为数2。

[数2]

X：X表示将有限域F_q的元作为元素的n+1行n+1列的矩阵。矩阵X使用于基底向量a_i的坐标变换。如果将矩阵X的i行i列(i＝1，...，n+1，j＝1，...，n+1)的元素设为χ_i，j∈F_q，则矩阵X成为数3。另外，将矩阵X的各元素χ_i，j称为变换系数。

[数3]

...(15)

X^*：X^*表示矩阵X的逆矩阵的转置矩阵X^*＝(X^-1)^T。矩阵X^*使用于基底向量a_i ^*的坐标变换。如果将矩阵X^*的i行i列的元素设为χ_i，j ^*∈F_q，则矩阵X^*成为数4。另外，将矩阵X^*的各元素χ_i，j ^*称为变换系数。

[数4]

这种情况下，如果将n+1行n+1列的单位矩阵设为I，则满足X·(X^*)^T＝I。即，对于如数5的单位矩阵，满足数6。

[数5]

[数6]

...(18)

这里，定义n+1维向量。

χ_i ^→＝(χ_i，1，...，χ_i，n+1)           ...(19)

χ_j ^→*＝(χ_j，1 ^*，...，χ_j，n+1 ^*)        ...(20)

则根据式(18)的关系，n+1维向量χ_i ^→和χ_j ^→*的内积成为式(21)。

χ_i ^→·χ_j ^→*＝δ(i，j)      ...(21)

b_i：b_i表示将巡回群G₁的n+1个元作为元素的n+1维的基底向量。通过使用矩阵X来对基底向量a_i(i＝1，...，n+1)进行坐标变换，从而得到基底向量b_i。具体地，通过式(22)的运算获得基底向量b_i。

b_i＝∑_j＝1 ⁿ⁺¹χ_i，j·a_j      ...(22)

例如，通过式(9)表现基底向量a_j(j＝1，...，n+1)的情况下，如果分别列举基底向量b_i的各元素而表现，则成为如下。

b_i＝(χ_i，1·κ₁·g₁，χ_i，2·κ₁·g₁，...，χ_i，n+1·κ₁·g₁)    ...(23)

将巡回群G₁的n+1个元作为元素的所有的n+1维向量，通过n+1维的基底向量b_i(i＝1，...，n+1)的线性和来表现。即，n+1维的基底向量b_i展开上述的向量空间V。

b_i ^*：b_i ^*表示将巡回群G₂的n+1个元作为元素的n+1维的基底向量。通过使用矩阵X^*来对基底向量a_i ^*(i＝1，...，n+1)进行坐标变换来得到。具体地，通过式(24)的运算获得基底向量b_i ^*。

b_i ^*＝∑_j＝1 ⁿ⁺¹χ_i，j ^*·a_j ^*         ...(24)

例如，通过式(10)表现基底向量a_j ^*(j＝1，...，n+1)的情况下，如果分别列举基底向量b_i ^*的各元素而表现，则成为如下。

b_i ^*＝(χ_i，1 ^*·κ₂·g₂，χ_i，2 ^*·κ₂·g₂，...，χ_i，n+1 ^*·κ₂·g₂)      ...(25)

将巡回群G₂的n+1个元作为元素的所有的n+1维向量，通过n+1维的基底向量b_i ^*(i＝1，...，n+1)的线性和来表现。即，n+1维的基底向量b_i ^*展开上述的向量空间V^*。

另外，关于除了0_F的有限域F_q的元τ＝κ₁·κ₂，基底向量b_i和基底向量b_i ^*满足式(26)。

e(b_i，b_j ^*)＝g_T ^{τ·δ(i，j)}        ...(26)

即，根据式(6)(21)(23)(25)的关系，满足数7。

[数7]

$e(b_i,{b_j}^{*})={\mathrm{\&Pi;}}_{L=1}^{n+1}\mathrm{Pair}({\mathrm{\&chi;}}_{i,L}\&CenterDot;{\mathrm{\&kappa;}}_1\&CenterDot;g_1,{{\mathrm{\&chi;}}_{j,L}}^{*}\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;g_2)$

$=\mathrm{Pair}({\mathrm{\&chi;}}_{i,1}\&CenterDot;{\mathrm{\&kappa;}}_1\&CenterDot;g_1,{{\mathrm{\&chi;}}_{j,1}}^{*}\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;g_2)\&CenterDot;...\&CenterDot;({\mathrm{\&chi;}}_{i,n}\&CenterDot;{\mathrm{\&kappa;}}_1\&CenterDot;g_1,{{\mathrm{\&chi;}}_{j,n}}^{*}\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;g_2)$

$\&times;\mathrm{Pair}({\mathrm{\&chi;}}_{j,n+1}\&CenterDot;{\mathrm{\&kappa;}}_1\&CenterDot;g_1,{{\mathrm{\&chi;}}_{j,n+1}}^{*}\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;g_2)$

$=\mathrm{Pair}{(g_1,g_2)}^{{\mathrm{\&kappa;}}_1\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;{\mathrm{\&chi;}}_{i,1}\&CenterDot;{{\mathrm{\&chi;}}_{j,1}}^{*}}\&CenterDot;...\&CenterDot;\mathrm{Pair}{(g_1,g_2)}^{{\mathrm{\&kappa;}}_1\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;{\mathrm{\&chi;}}_{i,2}\&CenterDot;{{\mathrm{\&chi;}}_{j,2}}^{*}}$

$\&times;\mathrm{Pair}{(g_1,g_2)}^{{\mathrm{\&kappa;}}_1\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;{\mathrm{\&chi;}}_{i,n+1}\&CenterDot;{{\mathrm{\&chi;}}_{j,n+1}}^{*}}$

$=\mathrm{Pair}{(g_1,g_2)}^{{\mathrm{\&kappa;}}_1\&CenterDot;{\mathrm{\&kappa;}}_2({\mathrm{\&chi;}}_{i,1}\&CenterDot;{{\mathrm{\&chi;}}_{j,1}}^{*}+{\mathrm{\&chi;}}_{i,2}\&CenterDot;{{\mathrm{\&chi;}}_{j,2}}^{*}+...+{\mathrm{\&chi;}}_{i,n+1}\&CenterDot;{{\mathrm{\&chi;}}_{j,n+1}}^{*})}$

$=\mathrm{Pair}{(g_1,g_2)}^{{\mathrm{\&kappa;}}_1\&CenterDot;{\mathrm{\&kappa;}}_2\&CenterDot;{{\mathrm{\&chi;}}_i}^{\&RightArrow;}\&CenterDot;{{\mathrm{\&chi;}}_j}^{\&RightArrow;*}}$

$=\mathrm{Pair}{(g_1,g_2)}^{\mathrm{\&tau;}\&CenterDot;\mathrm{\&delta;}(i,j)}={g_T}^{\mathrm{\&tau;}\&CenterDot;\mathrm{\&delta;}(i,j)}$

尤其，在τ＝κ₁·κ₂＝1F时(例如，κ₁＝κ₂＝1_F时)，满足式(27)。这种情况下，基底向量b_i和基底向量b_i ^*是双配对向量空间(向量空间V和向量空间V^*)的双对正规正交基底。

e(b_i，b_j ^*)＝g_T ^δ(i，j)     ...(27)

另外，如果满足式(26)的关系，则可以使用式(9)(10)所例示的向量以外的基底向量a_i和a_i ^*、式(22)(24)所例示的向量以外的基底向量b_i和b_i ^*。

B：B表示将基底向量b_i(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵。满足B＝X·A。例如，通过式(23)表现基底向量b_i的情况下，矩阵B成为数8。

[数8]

$B=\left(\begin{array}{c}{b}_1\\ b_2\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ b_{n+1}\end{array}\right)\&CenterDot;\&CenterDot;\&CenterDot;\left(28\right)$

B^*：B^*表示将基底向量b_i ^*(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵。满足B^*＝X^*·A^*。例如，通过式(25)表现基底向量b_i ^*(i＝1，...，n+1)的情况下，矩阵B^*成为数9。

[数9]

$B^{*}=\left(\begin{array}{c}{b_1}^{*}\\ {b_2}^{*}\\ \&CenterDot;\\ \&CenterDot;\\ \&CenterDot;\\ {b_{n+1}}^{*}\end{array}\right)$

w^→：w^→表示将有限域F_q的元作为元素的n维向量。

w^→＝(w₁，...，w_n)∈F_q ⁿ       ...(30)

w_μ：w_μ表示n维向量的第μ(μ＝1，...，n)个元素。

v^→：v^→表示将有限域F_q的元作为元素的n维向量。

v^→＝(v_1，...，v_n)∈F_q ⁿ       ...(31)

v_μ：v_μ表示n维向量的第μ(μ＝1，...，n)个元素。

冲突困难的函数：“冲突困难的函数”表示对于充分大的安全参数k满足以下的条件的函数h、或者看作该函数h的函数。

Pr[A(h)＝(x，y)|h(x)＝h(y)∧x≠y]＜ε(k)        ...(32)

其中，Pr[·]是事件[·]的概率，A(h)是用于计算对于函数h满足h(x)＝h(y)的值x，y(x≠y)的概率多项式时间算法，ε(k)是对于安全参数k的多项式。冲突困难的函数的例子是参考文献1所公开的“cryptographic hash function”等的hash函数。

单射函数：“单射函数”表示属于值域的任何元表现为该定义域的仅一个元的像的函数、或者看作该函数的函数。

近似的随机函数：“近似的随机函数”表示在任意的概率多项式时间算法无法区别集合Ф_ζ与其子集合Ф_ζ的情况下属于该子集合Ф_ζ的函数、或者看作该函数的函数。其中，集合Ф_ζ是将集合{0，1}^ζ的元映射到集合{0，1}^ζ的元的所有的函数的集合。近似的随机函数的例子是如上所述的hash函数。

H₁：H₁表示将两个二进制序列(ω₁，ω₂)∈{0，1}^k×{0，1}^*作为输入，输出有限域F_q的两个元(ψ₁，ψ₂)∈F_q×F_q的冲突困难的函数。

H₁：{0，1}^k×{0，1}^*→F_q×F_q    ...(33)

这样的函数H₁的例子是，将ω₁和ω₂的比特连结值ω₁||ω₂作为输入，并且进行参考文献1所公开的“cryptographic hash function”等的hash函数、“从二进制序列到整数的变换函数(Octet string/integer conversion)”、“从二进制序列到有限域的元的变换函数(Octet string and integer/finite field conversion)”的运算，而输出有限域F_q的两个元(ψ₁，ψ₂)∈F_q×F_q的函数。另外，函数H₁期望为近似的随机函数。

H₂：H₂表示将巡回群G_T的元和二进制序列(ξ，ω₂)∈G_T×{0，1}^*作为输入，输出有限域F_q的一个元ψ∈F_q的冲突困难的函数。

H₂：G_T×{0，1}^*→F_q    ...(34)

这样的函数H₂的例子是，将巡回群G_T的元ξ∈G_T和二进制序列ω₂∈{0，1}^*作为输入，将巡回群G_T的元ξ∈G_T输入到参考文献1所公开的“从有限域的元到二进制序列的变换函数(Octet string and integer/finite fieldconversion)”来求二进制序列，并对该二进制序列和二进制序列ω₂∈{0，1}^*的比特连结值进行参考文献1所公开的“cryptographic hash function”等的hash函数运算，进一步进行“从二进制序列到有限域的元的变换函数(Octet stringand integer/finite field conversion)”的运算，从而输出有限域F_q的一个元ψ∈F_q的函数。另外，从安全性的观点出发，函数H₂进一步期望为近似的随机函数。

R：R表示将1个巡回群G_T的元ξ∈G_T作为输入，输出1个二进制序列ω∈{0，1}^k的单射函数。

R：G_T→{0，1}^k    ...(35)

这样的单射函数R的例子是，将巡回群G_T的元ξ∈G_T作为输入，进行参考文献1所公开的“从有限域的元到二进制序列的变换函数(Octet string andinteger/finite field conversion)”、参考文献1所公开的“KDF(Key DerivationFunction)”等的hash函数的运算，从而输出1个二进制序列ω∈{0，1}^k的函数。另外，从安全型的观点出发，函数R期望为冲突困难的函数，进一步期望为近似的随机函数。

Enc：Enc表示共同密钥密码函数，该共同密钥密码函数表示共同密钥密码方式的加密处理。共同密钥密码方式的具体例子是Camellia和AES等。

Enc_k(M)：Enc_k(M)表示使用共同密钥K，按照共同密钥密码函数Enc来对平文M进行加密而得到的密码文。

Dec：Dec表示共同密钥解密函数，该共同密钥解密函数表示共同密钥密码方式的解密处理。

Dec_k(C)：Dec_k(C)表示使用共同密钥k，按照共同密钥解密函数Dec对密码文C进行解密而得到的解密结果。

[内积术语密码]

下面，对内积术语密码的基本的结构进行说明。

<术语密码>

术语密码(有时也称为“函数密码”)是，在被称为“属性信息”的信息与被称为“术语信息”的信息的组合使规定的逻辑式为“真”的情况下，能够对密码文进行解密的方式。“属性信息”和“术语信息”的一方嵌入到密码文，另一方嵌入到密钥信息。以往的术语密码的结构，例如公开于参考文献9“″PredicateEncryption Supporting Disjunctions，Polynomial Equations，and Inner Products，″with Amit Sahai and Brent Waters One of 4papers from Eurocrypt 2008invited tothe Journal of Cryptology”等。

<内积术语密码>

内积术语密码是作为属性信息和术语信息而使用向量，并且在其内积成为0的情况下能够对密码文进行解密的术语密码。在内积术语密码中，内积为0与逻辑式为“真”是等价的。

[逻辑式与多项式的关系]

在内积术语密码中，通过多项式来表现由逻辑和与逻辑积构成的逻辑式。

首先，通过式(36)的多项式来表现“x为η₁”的命题1和“x为η₂”的命题2的逻辑和(x＝η₁)∨(x＝η₂)。

(x-η₁)·(x-η₂)         ...(36)

则各真理值与式(36)的函数值的关系成为如下。

[表1]

从[表1]可知，在逻辑和(x＝η₁)∨(x＝η₂)为真的情况下，式(36)的函数值为0，在逻辑和(x＝η₁)∨(x＝η₂)为假的情况下，式(36)的函数值为0以外的值。即，逻辑和(x＝η₁)∨(x＝η₂)为真与式(36)的函数值为0是等价的。因此，能够通过式(36)来表现逻辑和。

此外，通过式(37)的多项式来表现“x为η₁”的命题1和“x为η₂”的命题2的逻辑积(x＝η₁)∧(x＝η₂)。

ι₁·(x-η₁)+ι₂·(x-η₂)    ...(37)

其中，ι₁和ι₂是随机数。则，真理值与式(37)的函数值成为以下的关系。

[表2]

从[表2]可知，在逻辑积(x＝η₁)∧(x＝η₂)为真的情况下，式(37)的函数值为0，在逻辑积(x＝η₁)∧(x＝η₂)为假的情况下，式(37)的函数值为0以外的值。即，逻辑积(x＝η₁)∧(x＝η₂)为真与式(37)的函数值为0是等价的。因此，能够通过式(37)来表现逻辑积。

如以上那样，使用式(36)和式(37)，从而能够通过多项式f(x)来表现由逻辑和和逻辑积构成的逻辑式。例如，能够通过式(38)的多项式来表现逻辑式{(x＝η₁)∨(x＝η₂)∨(x＝η₃)}∧(x＝η₄)∧(x＝η₅)。

f(x)＝ι₁·{(x-η₁)·(x-η₂)·(x-η₃)}+ι₂·(x＝η₄)+ι₃·(x＝η₅)   ...(38)

另外，在式(36)中，使用1个不定元x来表现了逻辑和，但也可以使用多个不定元来表现逻辑和。例如，可以使用2个不定元x₀和x₁，从而通过多项式(x₀-η₀)·(x₁-η₁)来表现“x₀为η₀”的命题1与“x₁为η₁”的命题2的逻辑和(x₀＝η₀)∨(x₁＝η₁)，也可以使用3个以上的不定元，通过多项式来表现逻辑和。

此外，在式(37)中，使用1个不定元x来表现了逻辑积，但也可以使用多个不定元来表现逻辑积。例如，此外，通过多项式ι₀·(x₀-η₀)+ι₁·(x₁-η₁)来表现“x₀为η₀”的命题1与“x₁为η₁”的命题2的逻辑积(x₀＝η₀)∧(x₁＝η₁)，也可以使用3个以上的不定元，通过多项式来表现逻辑积。

将使用H(H≥1)种类的不定元x₀，...，x_H-1来表现了包括逻辑和以及/或者逻辑积的逻辑式的多项式，表现为f(x₀，...，x_H-1)。此外，将与各不定元x₀，...，x_H-1对应的命题设为“x_h为η_h”。其中，η_h(h＝0，...H-1)是对每个命题设定的常数。这种情况下，通过取不定元x_h与常数η_h的差的多项式来表现该不定元x_h为该常数η_h的命题，通过分别表现命题的多项式的积来表现该命题的逻辑和，通过分别表现命题或者命题的逻辑和的多项式的线性和来表现该命题或者命题的逻辑和的逻辑积，由此，表示该逻辑式的多项式f(x₀，...，x_H-1)成为表现了逻辑式的多项式。例如，使用5个不定元x₀，...，x₄，通过多项式表现逻辑式{(x₀＝η₀)∨(x₁＝η₁)∨(x₂＝η₂)}∧(x₃＝η₃)∧(x₄＝η₄)，则成为如下。

f(x₀，...，x₄)

＝ι₀·{(x₀-η₀)·(x₁-η₁)·(x₂-η₂)}+ι₁·(x₃＝η₃)+ι₂·(x₄＝η₄)

[多项式与内积的关系]

表示逻辑式的多项式f(x₀，...，x_H-1)，可以通过2个n维向量的内积来表现。即，多项式f(x₀，...，x_H-1)等于，将该多项式f(x₀，...，x_H-1)的各项的不定元分量作为各元素的向量v^→＝(v₁，...，v_n)和将该多项式f(x₀，...，x_H-1)的各项的系数分量作为各元素的向量w^→＝(w₁，...，w_n)的内积f(x₀，...，x_H-1)＝w^→·v^→。即，表示逻辑式的多项式f(x₀，...，x_H-1)是否为0等价于，将多项式f(x₀，...，x_H-1)的各项的不定元分量作为各元素的向量v^→与将多项式f(x₀，...，x_H-1)的各项的系数分量作为各元素的向量w^→的内积是否为0。

f(x₀，...，x_H-1)＝0←→w^→·v^→＝0

例如，可以通过2个n维向量

w^→＝(w₁，...，w_n)＝(θ₀，...，θ_n-1)        ...(39)

v^→＝(v₁，...，v_n)＝(x⁰，...，x^n-1)          ...(40)

的内积

f(x)＝w^→·v^→        ...(41)

，表现由1个不定元x表现的多项式f(x)＝θ₀·x⁰+θ₁·x+...+θ_n-1·x^n-1。即，表示逻辑式的多项式f(x)是否为0与式(41)的内积是否为0等价。

f(x)＝0←→w^→·v^→＝0          ...(42)

此外，即使将以多项式f(x₀，...，x_H-1)的各项的不定元分量作为各元素的向量设为w^→＝(w₁，....，w_n)，将以多项式f(x₀，...，x_H-1)的各项的系数分量作为各元素的向量设为v^→＝(v₁，...，v_n)，表示逻辑式的多项式f(x₀，...，x_H-1)是否为0也等价于向量w^→与向量v^→的内积是否为0。

例如，即使代替式(39)(40)，而设为

w^→＝(w₁，...，w_n)＝(x⁰，...，xⁿ)       ...(43)

v^→＝(v₁，...，v_n)＝(θ₁，...，θ_n-1)   ...(44)

，表示逻辑式的多项式f(x)是否为0也与式(41)的内积是否为0等价。

在内积术语密码中，将向量v^→＝(v₀，...，v_n-1)和w^→＝(w₀，...，w_n-1)的其中一方作为属性信息，将另一方作为术语信息，并且属性信息和术语信息的一方嵌入到密码文，另一方嵌入到密钥信息。例如，将n维向量(θ₀，...，θ_n-1)作为术语信息，将n维向量(x⁰，...，x^n-1)作为属性信息，属性信息和术语信息的一方嵌入到密码文，另一方嵌入到密钥信息。另外，以下，将被嵌入到密钥信息的n维向量设为w^→＝(w₁，...，w_n)，将被嵌入到密码文的n维向量设为v^→＝(v₁，...，v_n)。例如，

术语信息：w^→＝(w₁，...，w_n)＝(θ₀，...，θ_n-1)

属性信息：v^→＝(v₁，...，v_n)＝(x⁰，...，x^n-1)

，或者，

术语信息：v^→＝(v₁，...，v_n)＝(θ₀，...，θ_n-1)

属性信息：w^→＝(w₁，...，w_n)＝(x⁰，...，x^n-1)。

[内积术语密码的基本结构]

以下，对使用内积术语密码来构成密钥封装机制KEM(Key EncapsulationMechanisms)时的基本结构进行例示。该结构包括Setup(1^k)、GenKey(MSK，w^→)、Enc(PA，v^→)、Dec(SKw，C₂)。

《Setup(1^k)：设置》

-输入：安全参数k

-输出：主密钥信息MSK、公开参数PK

Setup(1^k)的一例中，首先，将安全参数k设为n，并且选择将n+1维的基底向量a_i(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵A、将基底向量a_i ^*(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵A^*、用于坐标变换的n+1行n+1列的矩阵X、X^*。接着，计算按照式(22)进行了坐标变换的n+1维的基底向量b_i(i＝1，...，n+1)，并且计算按照式(24)进行了坐标变换的n+1维的基底向量b_i ^*(i＝1，...，n+1)。然后，以基底向量b_i ^*(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵B^*作为主密钥信息MSK输出，并且作为公开参数PK来输出向量空间V，V^*、以基底向量b_i(i＝1，...，n+1)作为元素的n+1行n+1列的矩阵B、安全参数k、有限域F_q、椭圆曲线E、巡回群G₁，G₂，G_T、生成元g₁，g₂，g_T、双线型函数e等。

《GenKey(MSK，w^→)：密钥信息生成》

-输入：主密钥信息MSK、向量w^→

-输出：与向量w^→对应的密钥信息D^*

在GenKey(MSK，w^→)的一例中，首先，从有限域F_q选择元α∈F_q。然后，使用作为主密钥信息MSK的矩阵B^*来生成与向量w^→对应的密钥信息

D^*＝α·(∑_μ＝1 ⁿw_μ·b_μ ^*)+b_n+1 ^*∈G₂ ⁿ⁺¹      ...(45)

，并进行输出。另外，在巡回群G₂上的离散对数问题的求解困难的情况下，难以从密钥信息D^*分离提取w_μ·b_μ ^*和b_n+1 ^*的分量。

《Enc(PA，v^→)：加密》

-输入：公开参数PK、向量v^→

-输出：密码文C₂、共同密钥K

在Enc(PA，v^→)的一例中，首先，生成作为共同密钥K与有限域F_q的元的随机数υ₁。然后，使用矩阵B等的公开参数PK、与包含共同密钥K的值对应的有限域F_q的元υ₂、向量v^→、随机数υ₁，生成式(46)的密码文。

C₂＝υ₁·(∑_μ＝1 ⁿv_μ·b_μ)+υ₂·b_n+1∈G₁ ⁿ⁺¹      ...(46)

然后，输出密码文C₂和共同密钥K。共同密钥K的一例是K＝g_T ^τ·υ2∈G_T。这里，上标字符υ2意味着υ₂。此外，如上所述，τ的一例是τ＝1_F。另外，在巡回群G₁上的离散对数问题的求解困难的情况下，难以从密码文C₂分离提取v_μ·b_μ和υ₂·b_n+1的分量。

《Dec(SKw，C₂)：解密/密钥共享》

-输入：与向量w^→对应的密钥信息D₁ ^*、密码文C₂

-输出：共同密钥K

在Dec(SKw，C₂)的一例中，首先，密码文C₂和密钥信息D₁ ^*被输入到式(2)的双线型函数e。则根据式(3)(26)的性质，满足数10。

[数10]

$e(C_2,D^{*})=e({\mathrm{\&upsi;}}_1\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&mu;}=1}^n{v}_{\mathrm{\&mu;}}\&CenterDot;b_{\mathrm{\&mu;}})+{\mathrm{\&upsi;}}_2\&CenterDot;b_{n+1},\mathrm{\&alpha;}\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&mu;}=1}^n{w}_{\mathrm{\&mu;}}\&CenterDot;{b_{\mathrm{\&mu;}}}^{*})+{b_{n+1}}^{*})$

$=e({\mathrm{\&upsi;}}_1\&CenterDot;v_1\&CenterDot;b_1,\mathrm{\&alpha;}\&CenterDot;w_1\&CenterDot;{b_1}^{*})\&CenterDot;...\&CenterDot;e({\mathrm{\&upsi;}}_1\&CenterDot;v_n\&CenterDot;b_n,\mathrm{\&alpha;}\&CenterDot;w_n\&CenterDot;{b_n}^{*})$

$\&times;e({\mathrm{\&upsi;}}_2\&CenterDot;b_{n+1},{b_{n+1}}^{*})$

...(47)

$=e{(b_1,{b_1}^{*})}^{{\mathrm{\&upsi;}}_1\&CenterDot;v_1\&CenterDot;\mathrm{\&alpha;}\&CenterDot;w_1}\&CenterDot;...\&CenterDot;e{(b_n,{b_n}^{*})}^{{\mathrm{\&upsi;}}_1\&CenterDot;v_n\&CenterDot;\mathrm{\&alpha;}\&CenterDot;w_n}\&CenterDot;e{(b_{n+1},{b_{n+1}}^{*})}^{{\mathrm{\&upsi;}}_2}$

$={g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_1\&CenterDot;v_1\&CenterDot;\mathrm{\&alpha;}\&CenterDot;w_1}\&CenterDot;...\&CenterDot;{g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_1\&CenterDot;v_n\&CenterDot;\mathrm{\&alpha;}\&CenterDot;w_n}\&CenterDot;{g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_2}$

$={g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_1\&CenterDot;\mathrm{\&alpha;}\&CenterDot;v^{\&RightArrow;}\&CenterDot;w^{\&RightArrow;}}\&CenterDot;{g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_2}$

这里，如果是内积w^→·v^→＝0，则式(47)能够变形为数11。从该结果，生成并输出共同密钥K。共同密钥K的一例是K＝g_T ^τ·υ2∈G_T。

[数11]

$e(C_2,D^{*})={g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_1\&CenterDot;\mathrm{\&alpha;}\&CenterDot;0}\&CenterDot;{g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_2}$ ...(48)

$={g_T}^{\mathrm{\&tau;}\&CenterDot;{\mathrm{\&upsi;}}_2}$

【第一实施方式】

第一实施方式的信息生成装置和方法使用上述的术语密码来实现了分层型密码。具体地，使用在上述的术语密码中出现的基底b^*，从而实现了以树结构以外的一般的半顺序结构来表现的信息导出。

在图1中例示了第一实施方式的信息生成装置的功能方框图。

对各信息附加了索引v。索引v是v＝(v₁，...，v_N-1)∈I＝(F_q∪{*})^N-1，对索引v定义了与其对应的集合w(v)＝{i|v_i＝*}。*是不定字符。以下出现的索引u、索引Y等索引具有与索引v相同的结构，设为索引u＝(u₁，...，u_N-1)∈I＝(F_q∪{*})^N-1、索引Y＝(Y₁，...，Y_N-1)∈I＝(F_q∪{*})^N-1。对于索引u∈I和索引v∈I，在

且v_i＝u_i(i∈{1，...，N-1}\w(v))时，即在

且对于任意的i∈{1，...，N-1}\w(v)而成立v_i＝u_i时，设为索引u≤索引v，并且索引v是比索引u上位的信息。这里，标号“\”意味着集合的减算，例如在集合A＝{1，2，3}、集合B＝{1}时，成立A\B＝{2，3}。

例如，设为索引v＝{v₁，v₂，v₃}＝{2，*，*}，并且索引u＝{u₁，u₂，u₃}＝{2，*，4}。这时，成为w(v)＝{2，3}、w(u)＝{2}，成立

此外，成立v₁＝u₁＝2。因此，索引u≤索引v，可以说索引v是比索引u上位的信息。

以下，将对于根据基底b_i ^*生成的信息的索引标记为索引Y，将对于导出基的信息的索引标记为索引v，将对于根据该导出基的信息而导出的信息的索引标记为索引u。

<信息生成>

信息生成装置和方法在图2的步骤A1至步骤A3中，使用基底b_i ^*来生成与索引Y对应的信息K_Y。信息K_Y包含主信息k_Y和导出信息k_Yj。主信息k_Y在术语密码中，例如作为解密密钥来使用。导出信息k_Yj用于生成比与索引Y对应的信息K_Y下位的信息。

对信息生成装置输入索引Y∈I。

随机数生成单元1生成随机数σ_Y∈Z_q、以及与集合w(Y)的各元素j∈w(Y)对应的随机数σ_Yj∈Z_q(步骤A1)。所生成的随机数σ_Y被送到主信息生成单元2。所生成的随机数σ_Yj被送到导出信息生成单元3。例如，在集合w(Y)＝{2，3}的情况下，随机数生成单元1生成σ_Y、σ_Y2以及σ_Y3的三个随机数。

主信息生成单元2使用上述生成的随机数σ_Y，计算满足k_Y＝σ_Y∑_{i∈{1，...， N-1}\w(Y)}Y_ib_i ^*+b_N ^*的关系的主信息k_Y(步骤A2)。计算出的主信息k_Y被存储到存储单元4。

导出信息生成单元3使用上述生成的随机数σ_Yj，对集合w(Y)的各元素j∈w(Y)的每一个计算满足k_Yj＝σ_Yj∑_{i∈{1，...，N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系的导出信息k_Yj(步骤A3)。计算出的导出信息k_Yj被存储到存储单元4。

<信息导出>

信息生成装置和方法在图3的步骤B1至步骤B3中，设为u≤v，并根据与上位的索引v对应的信息K_v来生成与下位的索引u对应的信息K_u。

与索引v对应的信息K_v包括主信息k_v和导出信息k_vj。主信息k_v在术语密码中例如作为解密密钥来使用。导出信息k_vj用于生成比与索引v对应的信息K_v下位的信息。例如，成立索引v＝Y，信息K_v＝信息K_Y。此外，也可以将通过步骤B1至步骤B3的处理而生成的信息K_u作为新的信息K_v，从而生成比与索引u对应的信息K_u下位的信息K_u’(u’≤u)。

与索引u对应的信息K_u包括主信息k_u和导出信息k_uj。主信息k_u在术语密码中例如作为解密密钥来使用。导出信息k_uj用于生成比与索引u对应的信息K_u下位的信息。

对信息生成装置输入索引v和索引u。

设为在存储单元4中存储有与索引v对应的信息K_v。

随机数生成单元1生成随机数σ_u∈Z_q、以及与集合w(u)的各元素j∈w(u)对应的随机数σ_uj∈Z_q(步骤B1)。所生成的随机数σ_u被送到主信息导出单元5，所生成的随机数σ_uj被送到导出信息导出单元6。

主信息导出单元5使用从存储单元4读取的主信息k_v、导出信息k_vi以及上述生成的随机数σ_u，计算满足k_u＝σ_u∑_{i∈w(v)\w(u)}u_ik_vi+k_v的关系的、与索引u对应的主信息k_u(步骤B2)。计算出的主信息k_u被存储到存储单元4。

导出信息导出单元6使用从存储单元4读取的导出信息k_vj和上述生成的随机数σ_uj，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝σ_uj∑_{i∈w(v)\w(u)}u_ik_vi+k_vj的关系的与索引u对应的导出信息k_uj(步骤B3)。计算出的导出信息k_uj被存储到存储单元4。

由此，通过生成与索引Y对应的信息K_Y，并基于该信息K_Y来导出与下位的索引对应的信息，从而能够对于具有共同的子节点C的父节点A和父节点B，根据父节点A的信息来导出共同的子节点C的信息，并且根据父节点B的信息来导出共同的子节点C的信息。

<具体例1>

以下，说明各节点的信息为术语密码中的密钥，并且说明从术语密码中的密钥的观点看，根据索引v¹的信息生成的索引v³的信息与根据索引v²的信息生成的索引v³的信息一致的情况。以下所示的索引v¹、索引v²、索引v³是一例，可以说对于其他的索引也相同。

设为索引v¹＝{v₁，v₂，*，*}，索引v²＝{*，*，v₃，v₄}，索引v³＝{v₁，v₂，v₃，v₄}。根据定义，成立v¹≥v³、v²≥v³，并且作为父节点的索引v¹和作为父节点的索引v²，作为共同的子节点而具有索引v³。另外，以下，有时将vⁱ(i＝1，2，3)标记为v^i。此外，有时将索引vⁱ的第j个元素标记为v^ij。

设为N＝5，根据N个基底b₁ ^*、b₂ ^*、b₃ ^*、b₄ ^*、b₅ ^*，生成与索引v¹对应的信息K_v^1和与索引v²对应的信息K_v^2。σ_v^1、σ_v^13、σ_{v ^14}、σ_v^2、σ_v^23、σ_v^24、σ_v^3、σ_v^3’是由随机数生成单元1生成的随机数。

与索引v¹对应的信息K_v^1(主信息k_v^1、导出信息k_v^13、k_{v^1 4})成为如下。

k_v^1＝σ_v^1(v₁b₁ ^*+v₂b₂ ^*)+b₅ ^*

k_v^13＝σ_v^13(v₁b₁ ^*+v₂b₂ ^*)+b₃ ^*

k_v^14＝σ_v^14(v₁b₁ ^*+v₂b₂ ^*)+b₄ ^*

此外，与索引v²对应的信息K_v^2(主信息k_v^2、导出信息k_v^21、k_v^22)成为如下。

k_v^2＝σ_v^2(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

k_v^21＝σ_v^23(v₃b₃ ^*+v₄b₄ ^*)+b₁ ^*

k_v^22＝σ_v^24(v₃b₃ ^*+v₄b₄ ^*)+b₂ ^*

根据与索引v¹对应的信息K_v^1导出与索引v³对应的主信息k_v^3，则成为如下，在以下的式中，成立a＝(σ_v^3(v₃σ_v^13+v₄σ_v^14)+σ_v1)、b＝σ_v^3。

k_v^3＝σ_v^3(v₃k_v^13+v₄k_v^14)+k_v^1

＝(σ_v^3(v₃σ_v^13+v₄σ_v^14)+σ_v^1)(v₁b₁ ^*+v₂b₂ ^*)+σ_v^3(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

＝a(v₁b₁ ^*+v₂b₂ ^*)+b(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

                                    …(A)

根据与索引v²对应的信息K_v^2导出与索引v³对应的主信息k_v^3，则成为如下。在以下的式中，成立c＝σ_v^3’、d＝(σ_v^3’(v₁σ_{v ^23}+v₄σ_v^24)+σ_v^2)。

k_v^3＝σ_v^3’(v₁k_v^21+v₂k_v^22)+k_v^2

＝(σ_v^3’(v₁σ_v^23+v₄σ_v^24)+σ_v^2)(v₃b₃ ^*+v₄b₄ ^*)+σ_v^3’(v₁b₁ ^*+v₂b₂ ^*)+b₅ ^*

＝c(v₁b₁ ^*+v₂b₂ ^*)+d(v₃b₃ ^*+v₄b₄ ^*)+b₅ ^*

                                    …(B)

如果对上述式(A)所示的根据信息K_v^1导出的主信息k_v^3、上述(B)式所示的根据信息K_v2导出的主信息k_v3进行比较，虽然值不一致，但在术语密码中成为相同值的密钥。即，如果将(v₁b₁ ^*+v₂b₂ ^*)看作向量(b₁ ^*，b₂ ^*)与向量(v₁，v₂)的内积，则在(A)式和(B)式中向量(v₁，v₂)相对于向量(b₁ ^*，b₂ ^*)的方向一致，同样地，如果将(v₃b₃ ^*+v₄b₄ ^*)看作向量(b₃ ^*，b₄ ^*)与向量(v₃，v₄)的内积，则在(A)式和(B)式中向量(v₃，v₄)相对于向量(b₃ ^*，b₄ ^*)的方向一致，两个密钥在术语密码中成为相同值的密钥。

【第二实施方式】

在图4中例示第二实施方式的信息生成装置的功能方框图。

将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，设为从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而被公开。

<信息生成>

信息生成装置和方法在图5的步骤C1至步骤C4中，使用公开密钥来生成与索引Y对应的信息K_Y。信息K_Y包括第一主信息k_Y和第二主信息g^rY和导出信息k_Yj。第一主信息k_Y和第二主信息g^rY例如作为解密密钥来使用。导出信息k_Yi用于生成比与索引Y对应的信息K_Y下位的信息。

对信息生成装置输入索引Y∈I。

随机数生成单元1生成随机数r_Y∈Z_q(步骤C1)。所生成的随机数r_Y被送到第一主信息生成单元21、第二主信息生成单元22以及导出信息生成单元3。

第一主信息生成单元21使用上述生成的随机数r_Y，计算满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系的第一主信息k_Y(步骤C2)。计算出的第一主信息k_Y被存储到存储单元4。

第二主信息生成单元22使用上述生成的随机数r_Y，计算第二主信息g^rY(步骤C3)。计算出的第二主信息k_Y被存储到存储单元4。

导出信息生成单元3使用上述生成的随机数r_Y，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝h_j ^rY的关系的导出信息k_Yj(步骤C4)。计算出的导出信息k_Yi被存储到存储单元4。

<信息导出>

信息生成装置和方法在图6的步骤D1至步骤D4中，设为u≤v，并根据与上位的索引v对应的信息K_v来生成与下位的索引u对应的信息K_u。

与索引v对应的信息K_v包括第一主信息k_v和第二主信息g^rv和导出信息k_vj。第一主信息k_v和第二主信息g^rv例如作为解密密钥来使用。导出信息k_vj用于生成比与索引v对应的信息K_v下位的信息。例如，成立索引v＝Y，信息K_v＝信息K_Y。此外，也可以将通过步骤D1至步骤D4的处理而生成的信息K_u作为新的信息K_v，从而生成比与索引u对应的信息K_u下位的信息K_u’(u’≤u)。

与索引u对应的信息K_u包括第一主信息k_u和第二主信息g^ru和导出信息k_uj。第一主信息k_u和第二主信息g^ru例如作为解密密钥来使用。导出信息k_uj用于生成比与索引u对应的信息K_u下位的信息。

对信息生成装置输入索引v和索引u。

设为在存储单元4中存储有与索引v对应的信息K_v。

随机数生成单元1生成随机数r_u(步骤D1)。所生成的随机数被送到第一主信息导出单元51、第二主信息导出单元52以及导出信息导出单元6。

第一主信息导出单元51使用上述生成的随机数r_u、从存储单元4读取的第一主信息k_v和导出信息k_vi，计算满足k_u＝k_v(∏_{i∈w(v)\w(u)}k_vi ^ui)(g₃∏_{i∈{1，…，N-1}\w(v)}h_i ^vi∏_{i∈w(v)\w(u)}h_i ^ui)^ru的关系的、与索引u对应的第一主信息k_u(步骤D2)。计算出的第一主信息k_u被存储到存储单元4。

第二主信息导出单元52使用上述生成的随机数r_u，计算第二主信息g^ru(步骤D3)。计算出的第二主信息g^ru被存储到存储单元4。

导出信息导出单元6使用从上述存储单元读取的导出信息k_vi和上述生成的随机数r_u，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝k_vjh_j ^ru的关系的导出信息k_uj(步骤D4)。计算出的导出信息k_uj被存储到存储单元4。

由此，通过生成与索引Y对应的信息K_Y，并基于该信息K_Y来导出与下位的索引对应的信息，从而能够对于具有共同的子节点C的父节点A和父节点B，根据父节点A的信息来导出共同的子节点C的信息，并且根据父节点B的信息来导出共同的子节点C的信息。

<具体例2>

以下，说明各节点的信息为术语密码中的密钥，并且说明从术语密码中的密钥的观点看，根据索引v¹的信息生成的索引v³的信息与根据索引v²的信息生成的索引v³的信息一致的情况。以下所示的索引v¹、索引v²、索引v³是一例，可以说对于其他的索引也相同。

设为索引v¹＝{v₁，v₂，*，*}，索引v²＝{*，*，v₃，v₄}，索引v³＝{v₁，v₂，v₃，v₄}。根据定义，成立v¹≥v³、v²≥v³，并且作为父节点的索引v¹和作为父节点的索引v²，作为共同的子节点而具有索引v³。另外，以下，有时将vⁱ(i＝1，2，3)标记为v^i。此外，有时将索引vⁱ的第j个元素标记为v^ij。

设为N＝5，并且设为g₁＝g^a，g₂，g₃，h₁，h₂，h₃，h₄∈G作为公开密钥而被公开。根据这些公开密钥，生成与索引v¹对应的信息K_{v ^1}和与索引v²对应的信息K_v^2。r_v^1、r_v^2是由随机数生成单元1生成的随机数。

与索引v¹对应的信息K_v^1(第一主信息k_v^1、第二导出信息g^{rv^ 1}、导出信息k_v^13、k_v^14)成为如下。

k_v^1＝g₂ ^a(g₃h₁ ^v1h₂ ^v2)^{rv^1}

g^{rv^1}

k_v^13＝h₃ ^{rv^1}

k_v^14＝h₄ ^{rv^1}

此外，与索引v²对应的信息K_v^2(第一主信息k_v^2、第二主信息g^{rv^2}、导出信息k_v^21、k_v^22)成为如下。

k_v^2＝g₂ ^a(g₃h₃ ^v3h₄ ^v4)^{rv^2}

g^{rv^2}

k_v^21＝h₁ ^{rv^2}

k_v^22＝h₂ ^{rv^2}

根据与索引v¹对应的信息K_v^1导出与索引v³对应的第一主信息k_{v ^3}，则成为如下。另外，r_v^3是由随机数生成单元1生成的随机数，成立r＝r_v^1+r_v^3。

k_v^3＝k_v^1(k_v^13 ^v3k_v^14 ^v4)(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)_rv^3

＝g₂ ^a(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^r  …(C)

根据与索引v²对应的信息K_v^2导出与索引v³对应的主信息k_v^3，则成为如下。另外，r_v^3，是随机数，成立r’＝r_v^2+r_v^3’。

k_v^3＝k_v^2(k_v^21 ^v1 _kv^22 ^v2)(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)_rv^3’

＝g₂ ^a(g₃h₁ ^v1h₂ ^v2h₃ ^v3h₄ ^v4)^r’   …(D)

对上述(C)式所示的根据信息K_v^1导出的第一主信息k_v^3和第二主信息g^{rv^3}、与上述(D)式所示的根据信息K_v^2导出的第一主信息k_{v^ 3}和第二主信息g^{rv^3}进行比较，则这些值虽然不一致，但公开密钥g₃，h₁，h₂，h₃，h₄的指数的比一致，在术语密码中成为相同值的密钥。

【变形例等】

在上述的实施方式中，信息生成装置具有主信息生成单元2、导出信息生成单元3、主信息导出单元5和导出信息导出单元6的全部，但至少具有其中的一个单元即可。例如，可以仅具有主信息生成单元2和导出信息生成单元3。此外，也可以是，仅具有主信息导出单元5和导出信息导出单元6，使用已生成并存储于存储单元4的信息K_v来生成信息K_u。

此外，也可以将在上述的有限域Fq上定义的各运算置换成在位数q的有限环Zq上定义的运算。将在有限域Fq上定义的各运算置换成在有限环Zq上定义的运算的方法的一例是，容许质数或质数的幂乘值以外的q的方法。

信息生成装置可通过计算机来实现。这种情况下，通过程序来记述这些装置应分别具有的功能的处理内容。然后，通过由计算机来执行该程序，从而能够在计算机上实现这些装置中的各处理功能。

记述了该处理内容的信息生成程序能够记录于计算机可读取的记录介质。此外，在该方式中设为，通过使计算机执行规定的程序，从而构成这些装置，但是，也可以设为通过硬件来实现这些处理内容的至少一部分。

该发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围下能够进行适当变更。

Claims (14)

1.一种信息生成装置，其中，

e是对于巡回群G₁的N个元γ_L(L＝1，…，N)(N≥2)和巡回群G₂的N个元γ_L ^*(L＝1，…，N)的输入而输出巡回群G_T的1个元的非退化的双线型函数，b_i∈G₁ ^N(i＝1，…，N)的各个是将上述巡回群G₁的N个元作为元素的N维的基底向量，b_j ^*∈G₂ ^N(j＝1，…，N)的各个是将上述巡回群G₂的N个元作为元素的N维的基底向量，使用在i＝j时成为δ(i，j)＝1_F并且在i≠j时成为δ(i，j)＝O_F的Kronecker的δ函数δ(i，j)，将上述基底向量b_i∈G₁ ^N(i＝1，…，N)的各元素和上述基底向量b_j ^*∈G₂ ^N(j＝1，…，N)的各元素输入到上述双线型函数e而得到的函数值表现为g_T ^{τ·δ(i，j)}∈G_T，O_F为有限域F_q的加法单位元，1_F为有限域F_q的乘法单位元，τ为除了O_F的有限域F_q的元，g_T为上述巡回群G_T的生成元，

将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，

该信息生成装置包括：

随机数生成单元，生成随机数σ_Y ∈Z_q、以及与集合w(Y)的各元素j∈w(Y)对应的随机数σ_Yj∈Z_q；

主信息生成单元，使用上述生成的随机数σ_Y，计算满足k_Y＝σ_Y∑_{i∈ {1，…，N-1}\w(Y)}Y_ib_i ^*+b_N ^*的关系的主信息k_Y；以及

导出信息生成单元，使用上述生成的随机数σ_Yj，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝σ_Yj∑_{i∈{1，...，N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系的导出信息k_Yj。

2.如权利要求1所述的信息生成装置，其中，

将*设为不定字符，将索引v设为v＝(v₁，…，v_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将索引u设为u＝(u₁，…，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引u对应的集合w(u)设为w(u)＝{i|u_i＝*}，设为 设为v_i＝u_i(i∈{1，…，N-1}\w(v))，

该信息生成装置包括存储单元，其存储与索引v对应的主信息k_v和与索引v对应的导出信息k_vj，

上述随机数生成单元还生成随机数σ_u∈Z_q，

该信息生成装置包括主信息导出单元，其使用从上述存储单元读取的主信息k_v、导出信息k_vi以及上述生成的随机数σ_u，计算满足k_u＝σ_u∑_{i ∈w(v)\w(u)}u_ik_vi+k_v的关系的、与索引u对应的主信息k_u。

3.如权利要求2所述的信息生成装置，其特征在于，

上述随机数生成单元还生成与集合w(u)的各元素j∈w(u)对应的随机数σ_uj∈Z_q，

该信息生成装置还包括导出信息导出单元，其使用从上述存储单元读取的导出信息k_vj和上述生成的随机数σ_ui，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝σ_uj∑_{i∈w(v)\w(u)}u_ik_vi+k_vj的关系的与索引u对应的导出信息k_uj。

4.一种信息生成装置，其中，

e是对于巡回群G₁的N个元γ_L(L＝1，...，N)(N≥2)和巡回群G₂的N个元γ_L ^*(L＝1，...，N)的输入而输出巡回群G_T的1个元的非退化的双线型函数，b_i∈G₁ ^N(i＝1，...，N)的各个是将上述巡回群G₁的N个元作为元素的N维的基底向量，b_j ^*∈G₂ ^N(j＝1，…，N)的各个是将上述巡回群G₂的N个元作为元素的N维的基底向量，使用在i＝j时成为δ(i，j)＝1_F并且在i≠j时成为δ(i，j)＝O_F的Kronecker的δ函数δ(i，j)，将上述基底向量b_i∈G₁ ^N(i＝1，...，N)的各元素和上述基底向量b_j ^*∈G₂ ^N(j＝1，...，N)的各元素输入到上述双线型函数e而得到的函数值表现为g_T ^{τ·δ(i，j)}∈G_T，O_F为有限域F_q的加法单位元，1_F为有限域F_q的乘法单位元，τ为除了O_F的有限域F_q的元，g_T为上述巡回群G_T的生成元，

将*设为不定字符，将索引Y设为Y＝(Y₁，...，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，将σ_Y∈Z_q设为随机数，将σ_Yi设为与集合w(Y)的各元素j∈w(Y)对应的随机数，与索引Y对应的主信息k_Y满足k_Y＝σ_Y∑_{i∈{1，…， N-1}\w(Y)}Y_ib_i ^*+b_N ^*的关系，与索引Y对应的导出信息k_Yi满足k_{Y j}＝σ_Yj∑_{i∈{1，…，N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系，

将*设为不定字符，将索引v设为v＝(v₁，…，v_N-1)∈I＝(F_q∪{*})^N-1，将索引u设为u＝(u₁，…，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将与索引u对应的集合w(u)设为w(u)＝{i|u_i＝*}，设为

设为v_i＝u_i(i∈{1，…，N-1}\w(v))，

该信息生成装置包括：

存储单元，存储作为上述主信息k_Y的或者根据上述主信息k_Y和上述导出信息k_Yi导出的与索引v对应的主信息k_v、以及作为上述导出信息k_Yi的或者根据上述导出信息k_Yi导出的与索引v对应的导出信息k_vj；

子随机数生成单元，生成随机数σ_u∈Z_q；以及

主信息导出单元，使用从上述存储单元读取的主信息k_v、导出信息k_{v i}以及上述生成的随机数σ_u，计算满足k_u＝σ_u∑_{i∈w(v)\w(u)}u_ik_vi+k_v的关系的、与索引u对应的主信息k_u。

5.如权利要求4所述的信息生成装置，其特征在于，

上述随机数生成单元还生成与集合w(u)的各元素j∈w(u)对应的随机数σ_uj∈Z_q，

该信息生成装置还包括导出信息导出单元，其使用从上述存储单元读取的导出信息k_vj和上述生成的随机数σ_ui，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝σ_uj∑_{i∈w(v)\w(u)}u_ik_vi+k_vj的关系的导出信息k_uj。

6.一种信息生成装置，其特征在于，

将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而公开，

将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，

该信息生成装置包括：

随机数生成单元，生成随机数r_Y∈Z_q；

第一主信息生成单元，使用上述生成的随机数r_Y，计算满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系的第一主信息k_Y；

第二主信息生成单元，使用上述生成的随机数r_Y，计算第二主信息g^{r Y}；以及

导出信息生成单元，使用上述生成的随机数r_Y，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝h_j ^rY的关系的导出信息k_Yj。

7.如权利要求6所述的信息生成装置，其特征在于，

上述随机数生成单元还生成随机数r_u∈Z_q，

将*设为不定字符，将索引v设为v＝(v₁，...，v_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将索引u设为u＝(u₁，...，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引u对应的集合w(u)设为w(u)＝{i|ui＝*}，设为

设为v_i＝u_i(i∈{1，…，N-1}\w(v))，

该信息生成装置包括：

存储单元，存储与索引v对应的第一主信息k_v、第二主信息g^r以及与索引v对应的导出信息k_vj；

第一主信息导出单元，使用从上述存储单元读取的第一主信息k_v和导出信息k_vi，计算满足k_u＝k_v(∏_{i∈w(v)\w(u)}k_vi ^ui)(g₃∏_{i∈{1，…， N-1}\w(v)}h_i ^vi∏_{i∈w(v)\w(u)}h_i ^ui)^ru的关系的、与索引u对应的第一主信息k_u；以及

第二主信息导出单元，使用上述生成的随机数r_u，计算第二主信息g^{r u}。

8.如权利要求7所述的信息生成装置，其特征在于，还包括：

导出信息导出单元，使用从上述存储单元读取的导出信息k_vi和上述生成的随机数r_u，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝k_vjh_j ^ru的关系的导出信息k_uj。

9.一种信息生成装置，其中，

将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而公开，

将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，

将r_Y∈Z_q设为随机数，与索引Y对应的第一主信息k_Y满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系，将g^rY设为与索引Y对应的第二主信息，与索引Y对应的导出信息k_Yi满足k_Yj＝h_j ^rY的关系，

将*设为不定字符，将索引v设为v＝(v₁，…，v_N-1)∈I＝(F_q∪{*})^N-1，将与索引v对应的集合w(v)设为w(v)＝{i|v_i＝*}，将索引u设为u＝(u₁，…，u_N-1)∈I＝(F_q∪{*})^N-1，将与索引u对应的集合w(u)设为w(u)＝{i|u_i＝*}，设为

设为v_i＝u_i(i∈{1，…，N-1}\w(v))，

该信息生成装置包括：

随机数生成单元，生成随机数r_u∈Z_q；

存储单元，存储作为上述第一主信息k_Y的或者从上述第一主信息k_Y和上述导出信息k_Yi导出的与索引v对应的第一主信息k_v、以及作为上述导出信息k_Yi的或者从上述导出信息k_Yi导出的与索引v对应的导出信息k_{v j}；

第一主信息导出单元，使用从上述存储单元读取的第一主信息k_v和上述导出信息k_vi，计算满足k_u＝k_v(∏_{i∈w(v)\w(u)}k_vi ^ui)(g₃∏_{i∈{1，…， N-1}\w(v)}h_i ^vi∏_{i∈w(v)\w(u)}h_i ^ui)^ru的关系的、与索引u对应的第一主信息k_u；以及

第二主信息导出单元，使用上述生成的随机数r_u，计算第二主信息g^{r u}。

10.如权利要求9所述的信息生成装置，还包括：

导出信息导出单元，使用从上述存储单元读取的导出信息k_vi和上述生成的随机数r_u，对集合w(u)的各元素j∈w(u)的每一个，计算满足k_uj＝k_vjh_j ^ru的关系的导出信息k_uj。

11.一种信息生成方法，其特征在于，

e是对于巡回群G₁的N个元γ_L(L＝1，…，N)(N≥2)和巡回群G₂的N个元γ_L ^*(L＝1，…，N)的输入而输出巡回群G_T的1个元的非退化的双线型函数，b_i∈G₁ ^N(i＝1，…，N)的各个是将上述巡回群G₁的N个元作为元素的N维的基底向量，b_j ^*∈G₂ ^N(j＝1，…，N)的各个是将上述巡回群G₂的N个元作为元素的N维的基底向量，使用在i＝j时成为δ(i，j)＝1_F并且在i≠j时成为δ(i，j)＝O_F的Kronecker的δ函数δ(i，j)，将上述基底向量b_i∈G₁ ^N(i＝1，…，N)的各元素和上述基底向量b_j ^*∈G₂ ^N(j＝1，…，N)的各元素输入到上述双线型函数e而得到的函数值表现为g_T ^{τ·δ(i，j)}∈G_T，O_F为有限域F_q的加法单位元，1_F为有限域F_q的乘法单位元，τ为除了O_F的有限域F_q的元，g_T为上述巡回群G_T的生成元，

将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，

该信息生成方法包括：

随机数生成步骤，随机数生成单元生成随机数σ_Y∈Z_q、以及与集合w(Y)的各元素j∈w(Y)对应的随机数σ_Yj∈Z_q；

主信息生成步骤，主信息生成单元使用上述生成的随机数σ_Y，计算满足k_Y＝σ_Y∑_{i∈{1，…，N-1}\w(Y)}Y_ib_i ^*+b_N ^*的关系的主信息k_Y；以及

导出信息生成步骤，导出信息生成单元使用上述生成的随机数σ_Yj，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝σ_Yj∑_{i∈{1，...， N-1}\w(Y)}Y_ib_i ^*+b_j ^*的关系的导出信息k_Yj。

12.一种信息生成方法，其特征在于，

将G、G_T设为质数位数q的巡回群，将g设为巡回群G的生成元，设为在巡回群G中存在g_T＝e(g，g)成为巡回群G_T的生成元的配对函数e：G×G→G_T，将a设为从Z_p随机选择的随机数，从g和g₁＝g^a∈G和巡回群G随机选择的g₂，g₃，h₁，…，h_N-1∈G作为公开密钥而公开，

将*设为不定字符，将索引Y设为Y＝(Y₁，…，Y_N-1)∈I＝(F_q∪{*})^N-1，将与索引Y对应的集合w(Y)设为w(Y)＝{i|Y_i＝*}，

该信息生成方法包括：

随机数生成步骤，随机数生成单元生成随机数r_Y∈Z_q；

第一主信息生成步骤，第一主信息生成单元使用上述生成的随机数r_Y，计算满足k_Y＝g₂ ^a(g₃∏_{i∈{1，…，N-1}\w(Y)}h_i ^Yi)^rY的关系的第一主信息k_Y；

第二主信息生成步骤，第二主信息生成单元使用上述生成的随机数r_Y，计算第二主信息g^rY；以及

导出信息生成步骤，导出信息生成单元使用上述生成的随机数r_Y，对集合w(Y)的各元素j∈w(Y)的每一个，计算满足k_Yj＝h_j ^rY的关系的导出信息k_Yj。

13.一种信息生成程序，其中，

该信息生成程序用于使计算机作为如权利要求1至10的任一项所述的信息生成装置的各单元而发挥作用。

14.一种计算机可读取的记录介质，其中，

该记录介质记录有如权利要求13所述的信息生成程序。

Images