CN102598576B - 数据处理装置 - Google Patents

Abstract

证明装置(101)使用通过解密装置(103)与秘密密钥对应起来的公开密钥和随机数对登记用的特征矢量进行加密，将登记用的加密特征矢量登记到认证装置(102)，在认证时，证明装置使用所述公开密钥和随机数对认证用的特征矢量进行加密，认证装置在对2个加密特征矢量进行了加密的状态下，生成能够在解密装置中通过使用了所述秘密密钥的解密处理导出2个特征矢量间的类似度的加密类似度信息，解密装置(103)对加密类似度信息进行解密而导出明文的类似度，在认证装置(102)中，如果类似度是阈值以上则判定为本人，无需使用明文的特征矢量而能够导出类似度，实现明文的窃取可能性低的安全的本人认证。

Description

数据处理装置

技术领域

本发明涉及使用生物体信息等来进行本人认证的认证技术。 

背景技术

指纹认证、静脉认证等生物体认证是利用指纹的纹理、静脉的形状根据每个个人而不同的情况来进行个人识别的技术。 

近年来，用于大厦的进出管理、个人计算机的登录管理、银行ATM(Automated Teller Machine，自动存取款机)中的本人认证等访问管理。 

在生物体认证中，在用户(被认证者或者证明者)与认证装置(认证者)之间，一般如下所述进行认证。 

预先，在登记阶段，用户将自己的生物体信息登记到认证装置。 

然后，在认证时，用户对认证装置提示生物体信息。 

认证装置对照所登记的生物体信息和所提示的生物体信息，如果其类似度满足某条件，则判断为是用户本人，如果不满足条件，则判断为是他人。 

在这样的生物体认证中，生物体信息是带有个人特征的私密信息，所以希望被保护。 

因此，提出了在登记时对生物体信息进行加密而登记，在认证时也对生物体信息进行加密而对照，从而不会使生物体信息自身暴露地进行生物体认证的方法(例如专利文献1)。 

另外，作为生物体信息的加密中能够利用的密码算法，例如，考虑非专利文献1-4公开的密码算法。 

专利文献1：日本特表2008-521025号公报 

非专利文献1：T.Okamoto、K.Takashima、“Homomorphic  encryption and signatures from vector decomposition”、Pairing 2008、Lecture Notes in Computer Science、Vol.5209、pp.57-74、2008. 

非专利文献2：D.Boneh、E.-J.Goh、K.Nissim、“Evaluating 2-DNF formulas on ciphertexts”、Theory Of Cryptography Conference、Lecture Notes in Computer Science、Vol.3378、pp.325-341、2005. 

非专利文献3：C.Gentry、“Fully homomorphic encryption using ideal lattices”、ACM Symposium on Theory Of Computing、pp.169-178、2009. 

非专利文献4：D.Freeman、M.Scott、E.Teske、“A taxonomy of pairing-friendly elliptic curves”、Journal Of Cryptology、2009年6月. 

发明内容

在专利文献1中，通过使用了公开密钥密码技术的加密，保护生物体信息，但在对生物体信息进行加密时，作为密码算法，使用了Paillier密码、ElGamal密码等通常的同态密码。 

此处，通常的同态密码是指，例如，像能够使用T个密文E(x₁)，E(x₂)，...，E(x_T)来计算密文E(x₁+x₂+...+x_T)那样，能够根据多个密文计算原来的明文之和的密文的密码。 

此处，E(x₁)表示使用某一公开密钥而生成的x₁的密文。 

另外，在上述中以加法为例子，但如果正确地定义，则此处所称的通常的同态密码是指，能够根据多个密文计算对原来的明文实施某1种运算而得到的密文那样的密码。 

作为运算的种类，存在有限域中的加法、乘法等种类，但都是仅能够进行1种运算的密码。 

但是，在使用了这样的通常的同态密码的情况下，在认证时的计算过程中，无法仅通过加密了的生物体信息使所有处理完结，而存在需要明文的生物体信息的部位。 

例如，在专利文献1记载的认证方法的情况下，作为类似度判定的指标，利用根据生物体信息生成的特征矢量的汉明距离(即，构成矢量的比特列彼此的汉明距离)，通过以下那样的步骤进行秘匿对照处理。 

另外，此处，用户并非直接访问认证装置，而访问证明装置，证明装置在与认证装置之间进行通信，来进行生物体信息的登记处理以及认证处理。 

即，设想还包括使用了生物体信息的远程登录的更一般的生物体认证方式。 

另外，在加密时，使用系统共用的公开密钥来进行加密。 

在登记时，证明装置从用户抽出生物体信息，并根据所抽出的生物体信息构成表示用户的特征的特征矢量。 

将该特征矢量设为比特列X＝(x₁，x₂，...，x_T)。 

证明装置对所抽出的特征矢量，使用Paillier密码针对每个比特进行加密来计算加密比特列E(X)＝(E(x₁)，E(x₂)，...，E(x_T))，发送到认证装置而登记。 

在认证时，证明装置与登记时同样地从用户抽出生物体信息比特列Y＝(y₁，y₂，...，y_T)。 

之后，从认证装置接收登记了的加密比特列E(X)＝(E(x₁)，E(x₂)，...，E(x_T))。 

此处，证明装置在计算比特列X与Y的汉明距离d_H(X，Y)的密文时，利用同态密码的以下的性质(式(1))。 

[式1] 

$E\left(d_H(X,Y)\right)=\underset{i=1}{\overset{T}{\mathrm{\Π}}}E({x_i}^2-2x_i{y}_i+{y_i}^2)=\underset{i=1}{\overset{T}{\mathrm{\Π}}}E(x_i-2x_i{y}_i+y_i)=\underset{i=1}{\overset{T}{\mathrm{\Π}}}E\left(x_i\right)E\left(y_i\right){E\left(x_i\right)}^{-2\mathrm{yi}}$

此处，在从第2式向第3式的转移中，x₁、y₁仅取0、1这二值。 

另外，在从第3式向第4式的转移中，Paillier密码是通常的同态密码，基于通过密文彼此之积得到原来的明文之和的密文这样的性质。 

利用该性质，证明装置使用从认证装置接收到的加密比特列E (X)＝(E(x₁)，E(x₂)，...，E(x_T))、和生物体信息比特列Y＝(y₁，y₂，...，y_T)来计算以下的值(式(2))，发送到认证装置。 

[式2] 

$\underset{i=1}{\overset{T}{\mathrm{\Π}}}E\left(y_i\right)E{\left(x_i\right)}^{-2\mathrm{yi}}$

在认证装置中，对所接收到的值乘以以下的值(式(3))，而计算加密汉明距离E(d_H(X，Y))。 

然后，使用安全协议对汉明距离进行解密，来进行类似度判定。 

[式3] 

$\underset{i=1}{\overset{T}{\mathrm{\Π}}}E\left(x_i\right)$

这样，在使用了Paillier密码等通常的同态密码的情况下，在计算-2x_iy_i的密文时计算为E(x_i)^-2yi，所以在指数部分中需要明文y_i。 

即，在同态密码的本质上，无法全部用密文来处理。 

因此，需要从认证装置对证明装置发送一次加密生物体信息E(X)＝(E(x₁)，E(x₂)，...，E(x_T))，证明装置进行使用了明文y_i的计算。 

在发送该加密生物体信息时，在另行通过ID信息等确定了成为认证的对象的用户的所谓1:1认证的情况下，进行1人份量的发送即可，但在成为认证的对象的用户不确定而需要与数据库中保存的大量的用户对照的所谓1:N认证的情况下，需要与用户数成比例的发送。 

因此，存在认证装置和证明装置之间的通信量与用户数成比例地增大这样的课题。 

另外，根据安全性的观点，优选尽可能早地从证明装置删除明文的生物体信息。 

但是，由于如上所述认证需要明文的生物体信息，所以存在特别在1:N认证中直至认证完成为止无法删除终端上的生物体信息，而窃取危险更增加这样的课题。 

本发明的主要目的之一在于解决上述那样的课题，提供一种不需要在认证处理的过程中必要的明文，减少明文的窃取机会，由此安全 性更高的秘匿对照方法。 

另外，其目的还在于，降低认证装置与证明装置之间的通信量。 

本发明的数据处理装置的特征在于，具有： 

公开密钥存储部，存储根据双同态密码算法在解密装置中生成并从所述解密装置分发的公开密钥； 

加密数据存储部，存储使用保有从所述解密装置分发的所述公开密钥的密码装置所保有的所述公开密钥进行了加密的第1数据，来作为加密第1数据； 

加密数据输入部，在将所述加密第1数据存储到所述加密数据存储部之后，输入使用所述密码装置所保有的所述公开密钥进行了加密的第2数据，来作为加密第2数据； 

随机数生成部，使用所述公开密钥的至少一部分，生成随机数；以及 

加密类似度生成部，对所述加密第1数据和所述加密第2数据进行使用了所述公开密钥存储部中存储的所述公开密钥和由所述随机数生成部生成的随机数的运算，在对所述加密第1数据和所述加密第2数据分别进行了加密的状态下，生成能够通过使用了与所述公开密钥对应起来生成的秘密密钥的解密处理来导出所述第1数据与所述第2数据之间的类似度的加密了的信息，来作为加密类似度信息。 

根据本发明，在对加密第1数据和加密第2数据分别进行了加密的状态下，生成能够通过使用了与公开密钥对应起来生成的秘密密钥的解密处理来导出第1数据与第2数据之间的类似度的加密类似度信息，所以无需使用作为明文的第1数据和第2数据而能够导出第1数据与第2数据的类似度，能够实现明文的窃取可能性低的安全的本人认证。 

附图说明

图1是示出实施方式1的生物体认证系统的结构例的图。 

图2是示出实施方式1的证明装置的结构例的图。 

图3是示出实施方式1的认证装置的结构例的图。 

图4是示出实施方式1的解密装置的结构例的图。 

图5是示出实施方式1的设置(setup)处理的例子的流程图。 

图6是示出实施方式1的生物体信息的登记处理的例子的流程图。 

图7是示出是实施方式1的认证处理的例子的流程图。 

图8是示出是实施方式1的认证处理的例子的流程图。 

图9是示出是实施方式1的认证处理的例子的流程图。 

图10是示出实施方式2的生物体信息的登记处理的例子的流程图。 

图11是示出实施方式2的认证处理的例子的流程图。 

图12是示出实施方式2的认证处理的例子的流程图。 

图13是示出实施方式3的设置处理的例子的流程图。 

图14是示出实施方式3的生物体信息的登记处理的例子的流程图。 

图15是示出实施方式3的认证处理的例子的流程图。 

图16是示出实施方式3的认证处理的例子的流程图。 

图17是示出实施方式3的认证处理的例子的流程图。 

图18是示出实施方式4的认证处理的例子的流程图。 

图19是示出实施方式4的认证处理的例子的流程图。 

图20是示出实施方式4的认证处理的例子的流程图。 

图21是示出实施方式1的设置处理的概要的流程图。 

图22是示出实施方式1的生物体信息的登记处理的概要的流程图。 

图23是示出实施方式1的认证处理的概要的流程图。 

图24是示出实施方式1的认证处理的概要的流程图。 

图25是示出实施方式1的证明装置、认证装置、解密装置的硬件结构例的图。 

(附图标记说明) 

101：证明装置；102：认证装置；103：解密装置；201：生物体信息抽出部；202：特征矢量形成部；203：随机数生成部；204：加密部；205：存储部；206：通信部；301：存储部；302：加密类似度生成部；303：判定部；304：通信部；305：随机数生成部；401：参数生成部；402：解密部；403：存储部；404：通信部。 

具体实施方式

在以下所示的实施方式中，作为用于保护生物体信息的密码方式，不仅是通常的同态密码，而且还使用被称为双同态密码(Doubly Homomorphic Encryption)的密码。 

此处，双同态密码是指，与通常的同态密码不同，例如，像能够使用2T个密文E(x₁)，E(x₂)，...，E(x_T)，E(y₁)，E(y₂)，...，E(y_T)来计算密文E(x₁＊y₁+x₂＊y₂+...+x_T＊y_T)那样，能够根据多个密文计算组合了原来的明文的有限域上的和以及积的密文的密码。 

即，在以下所示的实施方式中，登记用的生物体信息由T(T是2以上的整数)个部分数据构成，认证用的生物体信息由T(T是2以上的整数)个部分数据构成。 

而且，导出在所登记的T个部分数据和作为认证用而输入的T个部分数据中的值一致的部分数据的数量、汉明距离等而作为类似度，如果类似度是规定水平以上，则认证为是本人。 

作为双同态密码的具体的算法，例如有非专利文献1至非专利文献3公开的算法。 

为了在生物体认证中利用这些双同态密码，需要对根据生物体信息生成特征矢量的方法、和针对特征矢量的双同态密码的应用方法分别进行研究。 

在生物体认证中，在用于进行本人判定的指标中有各种种类，与其对应地在特征矢量的生成方法中也有各种种类。 

但是，为了发挥双同态密码的特性而在认证处理时不需要明文的 特征矢量，并不可以原样地使用本人判定的指标。 

在以下的实施方式中，公开通过用1、0的比特列来表现有无特征点并以1的比特一致的部位的数量的多少为指标来进行本人判定的方法、通过以比特列彼此的汉明距离为指标来进行本人判定的方法、通过以数值列彼此的欧几里得平方距离(Euclidean squared distance)为指标来进行本人判定的方法。 

另外，还需要与本人判定的方法匹配地研究各文献的密码的应用方法。 

在本发明中，在实施方式1以及实施方式2中公开非专利文献1的应用方法，在实施方式3以及实施方式4中公开非专利文献2的应用方法。 

此处，限定于实施方式1以及实施方式2的说明中需要的范围来说明非专利文献1的冈本-高岛(Okamoto-Takashima)密码的算法。 

冈本-高岛密码是使用了利用椭圆曲线来定义的双对配对(bilinear pairing)矢量空间的密码。 

虽然考虑了多个构成该双对配对矢量空间的方法，但此处，根据由椭圆曲线的直积构成的方法来说明。 

另外，一般将椭圆曲线上的群的运算记述为加法群的运算的情况较多，但此处，包括有限域上的运算在内全部记述为乘法群。 

另外，按照使用了非对称配对的更一般的方式来记述。 

将G、G^、G_T分别设为素数阶数q的群。 

设为F_q＝{0，1，...，q-1}。 

将e：G×G^→G_T设为满足双线性(针对任意的u∈G，v^∈G^，a，b∈F_q成为e(u^a，v^^b)＝e(u，v^)^ab的性质)以及非退化性(存在e(g，g^)≠1那样的g∈G，g^∈G^的性质)的配对。 

将N个群G的直积集合设为V＝G×G×...×G，同样地将N个群G^的直积集合设为V^＝G^×G^×...×G^。 

此时，式(4)所示的关系成立。 

[式4] 

如果针对x＝(g^x1，g^x2，...，g^xN)∈V，y＝(g^y1，g^y2，...，g^yN)∈V，α∈F_q， 

定义为x+y＝(g^x1+y1，g^x2+y2，...，g^xN+yN) 

 αx＝(g^αx1，g^αx2，...，g^αxN) 

则V构成矢量空间。 

同样地， 

如果针对 $\hat{x}=({\hat{g}}^{x1},{\hat{g}}^{x2},...,{\hat{g}}^{\mathrm{xN}})\∈\hat{V},$ $\hat{y}=({\hat{g}}^{y1},{\hat{g}}^{y2},...,{\hat{g}}^{\mathrm{yN}})\∈\hat{V},\mathrm{\α}\∈F_q,$

定义为 $\hat{x}+\hat{y}=({\hat{g}}^{x1+y1},{\hat{g}}^{x2+y2},...,{\hat{g}}^{\mathrm{xN}+\mathrm{yN}})$

$\mathrm{\α}\hat{x}=({\hat{g}}^{\mathrm{\αx}1},{\hat{g}}^{\mathrm{\αx}2},...,{\hat{g}}^{\mathrm{\αxN}})$

则 构成矢量空间。 

另外，在本说明书中， 等的“^”附加在文字之上的记号和G^，g^，v^等的“^”附加在文字的旁边的记号相同。对于后述A^，C^，a^，c^，d^，w^等也是同样的。 

作为2个矢量空间V，V^的配对， 

如式(5)那样定义针对u＝(u₁，u₂，...，u_N)∈V，v^＝(v^₁，v^₂，...，v^_N)∈V^的配对。 

[式5] 

$e(u,\hat{v})=\underset{i=1}{\overset{N}{\mathrm{\Π}}}e(u_i,{\hat{v}}_i)$

在矢量空间V，V^中，式(6)所示的关系成立。 

[式6] 

如果设为 

a₁＝(g，1，1，...，1)，a₂＝(1，g，1，...，1)，...，a_N＝(1，1，1，...，g) 

${\hat{a}}_1=(\hat{g},\mathrm{1,1}...,1),$ ${\hat{a}}_2=(1,\hat{g},1,...,1),...,$ ${\hat{a}}_N=(\mathrm{1,1,1},...,\hat{g})$

则A＝(a₁，a₂，...，a_N)， 分别成为矢量空间V， 的基底。另外，A， 满足 $e(a_i,{\hat{a}}_j)=e{(g,\hat{g})}^{{\mathrm{\δ}}_{i,j}}.$

此处，δ_i，j是克罗内克符号(Kronecker’s delta)。将该基底A， 称为标准基底。 

设为x＝x₁a₁+x₂a₂+...+x_Na_N∈V。 

将矢量空间V中的畸变映射φ_i，j：V→V定义为φ_i，j(x)＝x_ja_i。 

同样地，相对x^＝x₁a^₁+x₂a^₂+...+x_Na^_N∈V^，将φ^_i，j：V^→V^定义为φ^_i，j(x^)＝x_ia^_i。 

能够容易地计算这样的畸变映射。 

像这样，将有标准基底，定义了空间彼此的配对，定义了能够计算的畸变映射的2个矢量空间称为双对配对矢量空间。 

将X＝(X_i，j)，X^＝(X^_i，j)设为各要素由从F_q均匀随机地选出的值构成的N行N列的方阵。 

这样构成的X，X^以极其高的概率成为正则矩阵。 

如果使用这样的正则矩阵如式(7)所示进行定义，则W＝(w₁，w₂，...，w_N)，W^＝(w^₁，w^₂，...，w^_N)也又成为基底。将该基底称为随机基底。 

[式7] 

$w_i=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\mathrm{\χ}}_{i,j}{a}_j,$ ${\hat{w}}_i=\underset{j=1}{\overset{N}{\mathrm{\Σ}}}{\widehat{\mathrm{\χ}}}_{i,j}{\hat{a}}_j$

根据非专利文献1，关于矢量空间V，V^中的随机基底W＝(w₁，w₂，...，w_N)，W^＝(w^₁，w^₂，...，w^_N)，以下的性质成立。 

在提供了F^N _q的要素(x₁，x₂，...，x_N)时，易于得到x＝x₁w₁+x₂w₂+...+x_N w_N，x^＝x₁w^₁+x₂w^₂+...+x_N w^_N。 

但是，在提供了x＝x₁w₁+x₂w₂+...+x_Lw_L，x^＝x₁w^₁+x₂w^₂+...+x_Lw^_L(1＜L≤N)时，已知不使用X＝(X_i，j)，X^＝(X^_i，j)而得到矢量y＝x₁w₁+x₂w₂+...+x_lw_l，y^＝x₁w^₁+x₂w^₂+...+x_lw^_l(1≤l＜L)是存在与一般化了的Diffie-Hellman计算问题相同程度的困难。 

另一方面，如果使用X＝(X_i，j)，X^＝(X^_i，j)，则能够通过以下的算法Deco(式(8))易于计算上述那样的矢量分解。另外，式(8)中的k是整数。 

[式8] 

Deco(x，＜w₁，...，w_l＞，X)： 

(t_i，j)←X^-1

$y\←\underset{i=1}{\overset{L}{\mathrm{\Σ}}}\underset{j=1}{\overset{l}{\mathrm{\Σ}}}\underset{k=1}{\overset{L}{\mathrm{\Σ}}}{t}_{i,j}{x}_{j,k}{\mathrm{\φ}}_{k,i}\left(x\right)$

$\mathrm{Deco}(\hat{x},<{\hat{w}}_1,...,{\hat{w}}_l>,\hat{X}):$

$\left({\hat{t}}_{i,j}\right)\&LeftArrow;{\hat{X}}^{-1}$

$\hat{y}\&LeftArrow;\underset{i=1}{\overset{L}{\mathrm{\&Sigma;}}}\underset{j=1}{\overset{l}{\mathrm{\&Sigma;}}}\underset{k=1}{\overset{L}{\mathrm{\&Sigma;}}}{\hat{t}}_{i,j}{\widehat{\mathrm{\&chi;}}}_{j,k}{\widehat{\mathrm{\&phi;}}}_{k,i}\left(\hat{x}\right)$

根据该性质，能够通过将正则矩阵作为秘密密钥而实现陷门(trapdoor)函数。 

以下，说明使用双对配对矢量空间，在对生物体信息进行了加密的状态下进行生物体认证的方法的例子。 

实施方式1. 

在本实施方式中，以作为生物体认证中使用的特征矢量，准备特征点的数组(array)，在用户保有该特征点的情况下将1保存到数组、在未保有特征点的情况下将0保存到数组，将数组作为特征矢量，在认证时将1一致的部位的数量作为类似度的指标那样的认证方式为例子进行说明。 

更详细而言，在例如指纹认证的情况下，如果将指纹图像分割为小区域并在该区域内调查脊线流动的方向，则每个个人在各区域中的流动的方向上存在特征。 

因此，例如，考虑针对各区域定义4个流动的方向(0度、45度、90度、135度等)，将所检测出的流动的方向设为1并将其以外设为0，针对N个所有区域准备各4个数组并依照检测值确定数组值，从而设为特征矢量那样的认证方式。 

在这样的认证方式中，在同一人物的特征矢量中，1的位置大致相同，所以可期待所登记的特征矢量和认证对象的特征矢量的内积值变大。 

另一方面，在其他人物的特征矢量中，1的位置相比于本人时不同的情况更多，所以可期待2个特征矢量的内积值变小。 

图1是示出实施方式1-4的生物体认证系统的结构例的图。 

在图1中，证明装置101是从用户测定生物体信息，使用所测定出的生物体信息来进行秘匿对照处理的装置。 

认证装置102是对用户的生物体信息进行加密而保存，并且使用所保存的加密了的生物体信息来进行认证的装置。 

解密装置103是对加密数据进行解密的装置。 

另外，证明装置101是密码装置的例子，认证装置是数据处理装置的例子。 

图2是示出证明装置101的内部结构的结构例的图。 

在图2中，生物体信息抽出部201使用光学照相机、红外线照相机等各种传感器，从用户抽出为了进行个人识别而所需的生物体信息。 

特征矢量形成部202根据由生物体信息抽出部201抽出的生物体信息，形成表示个人的特征的特征矢量。 

随机数生成部203使用公开密钥的一部分来生成随机数。 

加密部204使用随机数生成部203生成的随机数对特征矢量进行加密。 

存储部205保存公开密钥等各种数据。存储部205存储的公开密钥是由解密装置103生成，并从解密装置103分发的公开密钥。 

通信部206在与数据库等其他装置之间发送接收数据。 

图3是示出认证装置102的内部结构的结构例的图。 

在图3中，存储部301保存加密了的特征矢量(以下，还称为加密特征矢量)、公开密钥等各种数据。存储部301是公开密钥存储部以及加密数据存储部的例子。 

另外，存储部301存储的加密特征矢量是由证明装置101加密了的登记用的特征矢量。加密前的登记用的特征矢量相当于第1数据的例子，加密特征矢量相当于加密第1数据的例子。 

另外，存储部301存储的公开密钥是由解密装置103生成，并从 解密装置103分发的公开密钥。 

加密类似度生成部302根据所登记的加密特征矢量、和认证用的加密特征矢量，计算加密类似度信息。 

认证用的加密特征矢量是由证明装置101加密了的认证用的特征矢量。加密前的认证用的特征矢量相当于第2数据的例子，加密特征矢量相当于加密第2数据的例子。 

另外，加密类似度信息是能够在解密装置103中通过使用了与公开密钥对应起来生成的秘密密钥的解密处理导出登记用的特征矢量(第1数据)与认证用的特征矢量(第2数据)之间的类似度的加密了的信息。 

判定部303根据所解密出的类似度进行个人识别，判定是否为本人。 

即，判定部303解析类似度，判定认证用的特征矢量的发生源是否为合法。 

通信部304在与证明装置101、解密装置103之间进行数据的发送接收。 

更具体而言，通信部304在将登记用的加密特征矢量保存到了存储部301之后从证明装置101接收认证用的加密特征矢量。 

另外，通信部304将由加密类似度生成部302生成的加密类似度信息发送到解密装置103。 

另外，通信部304接收在解密装置103中对加密类似度信息进行使用了秘密密钥的解密处理而导出的登记用的特征矢量与认证用的特征矢量之间的类似度(明文)。 

通信部304是加密数据输入部、加密类似度输出部以及类似度输入部的例子。 

随机数生成部305使用公开密钥的一部分来生成随机数。 

图4是示出解密装置103的内部结构的结构例的图。 

在图4中，参数生成部401生成公开密钥、秘密密钥等加密和解密中所需的参数。 

解密部402对加密类似度信息进行解密，取出明文的类似度。 

存储部403保存公开密钥、秘密密钥等各种数据。 

通信部404在与数据库等其他装置之间进行数据的发送接收。 

接下来，说明本实施方式的数据处理方法。 

首先，说明动作的整体情况。 

动作被分成设置处理、登记处理、认证处理这3个。 

在设置处理中，解密装置103生成加密和解密中所需的参数。 

在登记处理中，证明装置101对用户的生物体信息进行加密而发送到认证装置102，认证装置102保存到存储部301。 

在认证处理中，首先，证明装置101对用户的生物体信息进行加密而发送到认证装置102。接下来，认证装置102使用存储部301的加密生物体信息和所接收到的加密生物体信息，生成加密类似度信息并发送到解密装置103。接下来，解密装置103对类似度进行解密，对认证装置102发送解密了的类似度。最后，认证装置102比较类似度和阈值，进行认证。 

以下，使用图21-图24，说明各处理的概要。 

图21示出设置处理的概要，图22示出登记处理的概要，图23以及图24示出认证处理的概要。 

首先，参照图21，说明设置处理的概要。 

首先，解密装置103的参数生成部401根据冈本-高岛密码算法，生成秘密密钥sk和公开密钥pk(S2101)。 

接下来，解密装置103的存储部403存储秘密密钥sk，通信部404将公开密钥pk发送到证明装置101以及认证装置102(S2102)。 

接下来，在证明装置101中，通信部206接收公开密钥pk，存储部205存储公开密钥pk，在认证装置102中，通信部304接收公开密钥pk，存储部301存储公开密钥pk(S2103)。 

另外，此处，说明了发送接收公开密钥pk的例子，但对证明装置101以及认证装置102分发公开密钥pk的方法也可以是其他方法。 

例如，也可以是解密装置103将公开密钥pk保存到记录介质， 在证明装置101以及认证装置102中从该记录介质读出并保存公开密钥pk。 

接下来，参照图22，说明登记处理的概要。 

首先，在证明装置101中，生物体信息抽出部201抽出用户的生物体信息(S2201)。 

接下来，证明装置101的特征矢量形成部202生成在S2201中抽出的生物体信息的特征矢量b(S2202)。 

接下来，证明装置101的随机数生成部203使用公开密钥pk的一部分来生成随机数，并且加密部204从存储部205读出公开密钥pk，加密部204使用公开密钥pk和随机数对特征矢量b进行加密(S2203)。 

接下来，证明装置101的通信部206将加密了的特征矢量C发送到认证装置102(S2204)。 

接下来，认证装置102的通信部304接收加密了的特征矢量C，存储部205存储加密了的特征矢量C(S2205)。 

接下来，参照图23以及图24，说明认证处理的概要。 

首先，在证明装置101中，生物体信息抽出部201抽出用户的生物体信息(S2301)。 

接下来，证明装置101的特征矢量形成部202生成在S2301中抽出的生物体信息的特征矢量b’(S2302)。 

接下来，证明装置101的随机数生成部203使用公开密钥pk的一部分来生成随机数，并且加密部204从存储部205读出公开密钥pk，加密部204使用公开密钥pk和随机数对特征矢量b’进行加密(S2303)。 

接下来，证明装置101的通信部206将加密了的特征矢量C^发送到认证装置102(S2304)。 

接下来，认证装置102的通信部304接收加密了的特征矢量C^(S2305)。 

接下来，认证装置102的加密类似度生成部302读出存储部301的加密特征矢量C(S2401)。 

接下来，认证装置102的随机数生成部305使用公开密钥pk的一部分来生成随机数，并且加密类似度生成部302从存储部301读出公开密钥pk，加密类似度生成部302针对从存储部301读出的加密特征矢量C和从证明装置101接收的加密特征矢量C^，使用公开密钥pk和随机数来生成加密类似度信息(S2402)。 

认证装置102无法知道与公开密钥pk对应起来的秘密密钥sk，所以无法对加密特征矢量C以及加密特征矢量C^进行解密。因此，在对加密特征矢量C以及加密特征矢量C^进行了加密的状态下，生成加密类似度信息。 

接下来，认证装置102的通信部304将加密类似度信息发送到解密装置103(S2403)。 

接下来，解密装置103的通信部404接收加密类似度信息(S2404)。 

接下来，解密装置103的解密部402从参数生成部401读出秘密密钥sk，对加密类似度信息使用秘密密钥sk进行解密处理，导出明文的类似度(S2405)。 

接下来，解密装置103的通信部404将明文的类似度发送到认证装置102(S2406)。另外，类似度是表示登记用的特征矢量b和认证用的特征矢量b’类似到何种程度的信息，无法根据类似度计算特征矢量、生物体信息。 

接下来，认证装置102的通信部304接收明文的类似度(S2407)。 

接下来，认证装置102的判定部303判定明文的类似度是否为规定的阈值以上，如果是阈值以上则判定为是本人，在低于阈值的情况下，判定为并非本人(S2408)。 

以下，参照图5-图9，进一步详细说明各处理的动作。 

图5详细示出设置处理，图6详细示出登记处理，图7-图9详细示出认证处理。 

首先，使用图5来说明设置。 

在设置中，解密装置103生成公开密钥pk以及秘密密钥sk。 

该公开密钥pk以及秘密密钥sk既可以是针对每个用户不同的公开密钥以及秘密密钥，也可以在系统中使用1个公开密钥以及秘密密钥。 

此处，为简化说明，说明在系统中使用1个公开密钥以及秘密密钥的情况，但易于将其扩展到针对每个用户的公开密钥以及秘密密钥的情况。 

图5是示出参数生成部401中的公开密钥pk以及秘密密钥sk的生成步骤的流程图。 

首先，在步骤S501中，参数生成部401确定群阶数q、群G、G^、G_T、生成源g∈G、g^∈G^。 

其具体的方法例如公开于非专利文献4，所以此处省略。 

另外，根据安全性水平来确定群阶数，通常，设为200比特、1024比特等大尺寸的素数。 

接下来，在步骤S502中，参数生成部401将矢量空间设为V＝G×G×G、V^＝G^×G^×G^，确定标准基底A＝(a₁，a₂，a₃)、A^＝(a^₁，a^₂，a^₃)。 

其确定方法如上所述。 

接下来，在步骤S503中，参数生成部401从0至q-1的整数均匀随机地取出值9次，并使用它们来确定3行3列的矩阵X＝(X_i，j)。 

该矩阵必须是正则矩阵，通过用该方法确定矩阵以极其高的概率成为正则矩阵。另外，如果进一步期待正确性，则在这样确定了矩阵之后通过计算行列式等方法来判定正则性，如果并非正则则再次随机地选择矩阵的要素即可。 

接下来，在步骤S504中，参数生成部401从0至q-1的整数均匀随机地取出值9次，并使用它们来确定3行3列的矩阵X^＝(X^_i，j)。 

该矩阵以极其高的概率成为正则矩阵，但在未成为正则矩阵的情况下再次随机地选择即可。 

接下来，在步骤S505中，参数生成部401根据以下的式(9)以 及式(10)确定随机基底W＝(w₁，w₂，w₃)，W^＝(w^₁，w^₂，w^₃)。 

[式9] 

$w_i=\underset{j=1}{\overset{3}{\mathrm{\&Sigma;}}}{\mathrm{\&chi;}}_{i,j}{a}_j$

[式10] 

${\hat{w}}_i=\underset{j=1}{\overset{3}{\mathrm{\&Sigma;}}}{\widehat{\mathrm{\&chi;}}}_{i,j}{\hat{a}}_j$

最后，在步骤S506中，参数生成部401将公开密钥pk＝(q、V、V^、e、G_T、A、A^、W、W^)公开，将秘密密钥sk＝(X、X^)保存到存储部403。 

接下来，使用图6，说明生物体信息的登记方法。 

另外，此处，说明用户经由证明装置101在认证装置102中登记生物体信息的情况，但即使在认证装置102上直接登记生物体信息的情况、经由登记用的专用装置而登记的情况等情况下也能够通过同样的步骤来实现。 

图6是示出在证明装置101中登记生物体信息的步骤的流程图。 

首先，在步骤S601中，生物体信息抽出部201抽出用户的生物体信息。 

其中有各种方法，例如通过对指纹照射光并用传感器读取纹理来抽出。 

接下来，在步骤S602中，特征矢量形成部202根据生物体信息形成特征矢量b＝(b₁，b₂，...，b_T)。 

此处，T是保存特征矢量的数组的大小，是通过特征矢量的形成方法确定的值。 

本实施方式的形成方法是对所读取的纹理进行区域分割，在各区域中检测有无特征点，在存在特征点的部位的数组中保存1，在没有特征点的部位的数组中保存0，从而形成特征矢量这样的方法。 

接下来，在步骤S603中，随机数生成部203从0至q-1的整数均匀随机地取出值2T次，设为{r_2，i，r_3，i}i_{＝1，2，...，T}。 

另外，q-1的q是公开密钥pk中包含的q。 

接下来，在步骤S604中，加密部204通过c_i＝b_i w₁+r_2，i w₂+r_3，i w₃计算加密特征矢量C＝(c₁，c₂，...，c_T)。 

另外，作为公开密钥的一部分(W)，从解密装置103分发w₁、w₂、w₃。 

接下来，在步骤S605中，通信部206将加密特征矢量C＝(c₁，c₂，...，c_T)发送到认证装置102。 

此时，优选使用例如SSL(Secure Sockets Layer，安全套接字层)等通信用篡改检测技术而防止在通信的途中被篡改。 

最后，在步骤S606中，在认证装置102中，通信部304接收加密特征矢量C＝(c₁，c₂，...，c_T)，保存到存储部301。 

接下来，使用图7至图9，说明认证方法。 

另外，为简化说明，此处，说明在认证时成为认证的对象的用户是另行通过ID信息等确定了的所谓1:1认证的情况。 

图7、图8、图9是示出进行认证的步骤的流程图。 

首先，在步骤S701中，证明装置101的生物体信息抽出部201抽出用户的生物体信息。 

抽出方法与生物体信息的登记时相同。 

接下来，在步骤S702中，证明装置101的特征矢量形成部202根据生物体信息形成特征矢量b’＝(b’₁，b’₂，...，b’_T)。 

形成方法与生物体信息的登记时相同。 

接下来，在步骤S703中，证明装置101的随机数生成部203从0至q-1的整数均匀随机地取出值2T次，设为{r’_2，i，r’_3，i}_{i＝1，2，...，T}。 

接下来，在步骤S704中，证明装置101的加密部204通过c^_i＝(b’_i w^₁+r’_2，i w^₂+r’_3，i w^₃)计算加密特征矢量C^＝(c^₁，c^₂，...，c^_T)。 

另外，作为公开密钥的一部分(W^)，从解密装置103分发w^₁、w^₂、w^₃。 

接下来，在步骤S705中，证明装置101的通信部206将加密特 征矢量C^＝(c^₁，c^₂，...，c^_T)发送到认证装置102。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

接下来，在步骤S706中，认证装置102的通信部304接收加密特征矢量C^＝(c^₁，c^₂，...，c^_T)。 

接下来，在步骤S707中，在认证装置102中，加密类似度生成部302从存储部301取出加密特征矢量C＝(c₁，c₂，...，c_T)。 

此时，一般，在存储部301中保存了多数用户的加密生物体信息，但对于从其中取出哪个，使用另行提供的ID信息。 

接下来，在步骤S708中，认证装置102的随机数生成部305从0至q-1的整数均匀随机地取出值6T次，设为{s_1，i，s_2，i，s_3，i，s^_1，i，s^_2，i，s^_3，i}_{i＝1，2，...，T}。 

接下来，在步骤S709中，认证装置102的随机数生成部305从0至q-1的整数均匀随机地取出值4次，设为{u₂，u₃，u^₂，u^₃}。 

接下来，在步骤S710中，认证装置102的加密类似度生成部302计算d_i＝c_i+s_1，i w₁+s_2，i w₂+s_3，i w₃。 

加密类似度生成部302针对所有i＝1、2、...、T进行该过程。 

另外，作为公开密钥的一部分(W)，从解密装置103分发w₁、w₂、w₃。 

接下来，在步骤S711中，认证装置102的加密类似度生成部302计算d^_i＝c^_i+s^_1，i w^₁+s^_2，i w^₂+s^_3，i w^₃。 

加密类似度生成部302针对所有i＝1、2、...、T进行该过程。 

另外，作为公开密钥的一部分(W^)，从解密装置103分发w^₁、w^₂、w^₃。 

接下来，在步骤S712中，认证装置102的加密类似度生成部302依照式(11)，计算E。 

[式11] 

$E=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}({\hat{s}}_{1,i}{c}_i+s_{1,i}{\hat{s}}_{1,i}{w}_1)+u_2{w}_2+u_3{w}_3$

接下来，在步骤S713中，认证装置102的加密类似度生成部302 依照式(12)，计算E^。 

[式12] 

$\hat{E}=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}{s}_{1,i}{\hat{c}}_i+{\hat{u}}_2{\hat{w}}_2+{\hat{u}}_3{\hat{w}}_3$

接下来，在步骤S714中，认证装置102的通信部304将(d₁，...，d_T，d^₁，...，d^_T，E，E^)发送到解密装置103。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

另外，上述(d₁，...，d_T，d^₁，...，d^_T，E，E^)成为一体而构成加密类似度信息。 

接下来，在步骤S715中，解密装置103的通信部404接收(d₁，...，d_T，d^₁，...，d^_T，E，E^)。 

接下来，在步骤S716中，解密装置103的解密部402从存储部403取出秘密密钥sk＝(X，X^)。 

接下来，在步骤S717中，解密装置103的解密部402计算X的逆矩阵X^-1＝(t_i，j)以及X^的逆矩阵X^^-1＝(t^_i，j)。 

另外，该值也可以不是每次计算，而是以预先计算出的状态保存到存储部403并将其取出。 

接下来，在步骤S718中，解密装置103依照式(13)计算Z₁。 

[式13] 

$Z_1=\underset{i=1}{\overset{T}{\mathrm{\&Pi;}}}e(\mathrm{Deco}(d_i,<w_1>,X),\mathrm{Deco}({\hat{d}}_i,<{\hat{w}}_1>,\hat{X}))$

此处，Deco算法如以下的式(14)那样进行计算。另外，式(14)中的k是整数。 

[式14] 

Deco(d_i，＜w₁＞，X)： 

$y=\underset{i=1}{\overset{3}{\mathrm{\&Sigma;}}}\underset{k=1}{\overset{3}{\mathrm{\&Sigma;}}}{t}_{i,1}{x}_{1,k}{\mathrm{\&phi;}}_{k,i}\left(d_i\right)$

$\mathrm{Deco}({\hat{d}}_i,<{\hat{w}}_1>,\hat{X}):$

$\hat{y}=\underset{i=1}{\overset{3}{\mathrm{\&Sigma;}}}\underset{k=1}{\overset{3}{\mathrm{\&Sigma;}}}{\hat{t}}_{i,1}{\hat{x}}_{1,k}{\mathrm{\&phi;}}_{k,i}\left({\hat{d}}_i\right)$

接下来，在步骤S719中，解密装置103的解密部402计算Z₂＝e(Deco(E，＜w₁＞，X)，w^₁)·e(w₁，Deco(E^，＜w^₁＞，X^))。 

该Deco算法也与上述同样地计算。 

接下来，在步骤S720中，解密装置103的解密部402计算Z＝Z₁/Z₂。 

接下来，在步骤S721中，解密装置103的解密部402计算以e(g，g^)为底的Z的离散对数d。 

该离散对数d对应于特征点的一致数，表示类似度。 

另外，在目前的计算机能力下，求出离散对数的计算比较困难，但在d小的情况下也能够高效地计算。 

在本实施方式中，d相比于阶数q充分小，所以能够高效地计算。 

接下来，在步骤S722中，解密装置103的通信部404将类似度d发送到认证装置102。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

接下来，在步骤S723中，认证装置102的通信部304接收类似度d。 

接下来，在步骤S724中，判定类似度d是否为阈值以上。 

阈值是预先在系统中考虑所利用的生物体信息的种类、安全性必要条件等各种要素而确定的值。 

如果是阈值以上，则判断为从证明装置101送来的加密生物体信息是用ID指定的本人的信息。 

另一方面，如果小于阈值，则判断为从证明装置101送来的加密生物体信息并非用ID指定的人物的信息而是他人的信息。 

通过以上的步骤，认证装置102能够在与证明装置101之间进行生物体认证。 

根据以上的实施方式，并非在认证装置102中原样地保管特征矢量，而以加密了的状态保管，所以具有如下效果：对于用户，能够降 低作为私密信息的特征矢量被认证装置102的管理者偷看这样的风险。 

另外，对于认证装置102，即使假设加密了的特征矢量被泄漏，由于原来的特征矢量自身没有泄漏，所以具有相比于保管特征矢量自身，能够削减数据管理的劳力这样的效果。 

另外，依照本实施方式的步骤，解密装置103能够解密的仅为类似度这样的指标值，而无法对特征矢量进行解密。 

因此，只要证明装置101和解密装置103没有串通，则在认证的过程中不会显露特征矢量，所以具有能够实现使生物体信息秘匿了的状态下的生物体认证这样的效果。 

另外，根据本实施方式，如果在认证时从证明装置101向认证装置102发送加密特征矢量，则之后能够在认证装置102与解密装置103之间进行认证处理，所以特别在1:N认证中，具有无需在证明装置101与认证装置102之间进行与用户数成比例的次数的通信，而能够降低通信量这样的效果。 

另外，根据本实施方式，如果在认证时从证明装置101向认证装置102发送加密特征矢量，则之后能够在认证装置102与解密装置103之间进行认证处理，所以能够立即删除在证明装置101上取得的生物体信息。 

因此，具有能够降低证明装置101中的生物体信息的窃取机会这样的效果。 

另外，在本实施方式中，在构成特征矢量时，在存在特征点的部位保存1，在没有特征点的部位保存0，在由1和0构成的矢量彼此中取内积，但还能够在其中导入重要度的概念，并针对重要的特征点进行加权(例如代替1而保存5)。 

根据这样的结构，具有相比于简单地取内积的情况，能够实现精度更高的生物体认证这样的效果。 

另外，在本实施方式中公开了使用三维的双对配对矢量空间的方法，但三维仅为一个例子，而也可以不是三维。 

例如还能够通过二维实施，还能够通过四维以上实施。 

在二维的情况下，去掉本实施方式中出现的w₃、w^₃的矢量来实施即可。 

由此，具有能够降低生物体信息的登记时、认证时的计算量这样的效果。 

另外，在四维以上的情况下，使增加的部分的矢量发挥与w₂、w₃、w^₂、w^₃同样的作用即可。 

即，在计算c_i、c^_i、d_i、d^_i时，对增加的部分的矢量乘以随机数系数，并加到w₂、w₃、w^₂、w^₃即可。 

由此，能够制作破译更困难的密文，能够提高安全性。 

另外，在本实施方式中，为了提高安全性，在认证时在步骤S709中选择{u₂，u₃，u^₂，u^₃}，并在步骤S712以及步骤S713中使用，但还能够将其省略。 

由此，认证的步骤能够省略，所以能够降低计算量。 

实施方式2. 

在以上的实施方式1中，公开了将特征点的一致数作为评价指标而进行生物体认证这样的认证方法，但接下来，叙述通过特征矢量的汉明距离或者欧几里得平方距离来进行生物体认证这样的认证方法。 

另外，本实施方式的生物体认证系统的结构例也如图1所示。 

另外，本实施方式的证明装置101、认证装置102、解密装置103的内部结构例也如图2-图4所示。 

在本实施方式中，与实施方式1同样地准备T个数组，由此构成特征矢量，但在此时，作为类似度的指标，使用2个特征矢量的汉明距离或者欧几里得平方距离。将2个特征矢量设为b＝(b₁，b₂，...，b_T)、b’＝(b’₁，b’₂，...，b’_T)。 

此时，通过式(15)提供2个特征矢量的汉明距离(其中b_i，b’_i∈{0，1})，并且通过式(16)提供2个特征矢量的欧几里得平方距离。 

[式15] 

$d_H(b,b^{\&prime;})=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}(b_i\&CirclePlus;b_i^{\&prime;})=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}{(b_i-b_i^{\&prime;})}^2$

[式16] 

$d_{E2}(b,b^{\&prime;})=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}{(b_i-b_i^{\&prime;})}^2$

本实施方式中的参数生成方法与实施方式1的图5相同，所以省略说明。 

接下来，使用图10，说明生物体信息的登记方法。 

另外，此处，说明用户经由证明装置101在认证装置102中登记生物体信息的情况，但即使在认证装置102上直接登记生物体信息的情况、经由登记用的专用装置而登记的情况等情况下也能够通过同样的步骤来实现。 

图10是示出在证明装置101中登记生物体信息的步骤的流程图。 

步骤S1001和步骤S1002与实施方式1相同。 

但是，此处注意在汉明距离的情况下，b_i∈{0，1}，在欧几里得平方距离的情况下，b_i∈{0，1，...，q-1}。 

接下来，在步骤S1003中，随机数生成部203从0至q-1的整数均匀随机地取出值4T次，设为{r_2，i，r_3，i，r^_2，i，r^_3，i }_{i＝1，2，...，T}。 

接下来，在步骤S1004中，加密部204通过c_i＝b_i w₁+r_2，i w₂+r_3，i w₃，c^_i＝b_i w^₁+r^_2，i w^₂+r^_3，i w^₃，计算加密特征矢量C＝(c_1，c₂，...，c_T)、加密特征矢量C^＝(c^₁，c^₂，...，c^_T)。 

另外，作为公开密钥的一部分(W以及W^)，从解密装置103分发w₁、w₂、w₃和w^₁、w^₂、w^₃。 

接下来，在步骤S1005中，通信部206将加密特征矢量C＝(c₁，c₂，...，c_T)、加密特征矢量C^＝(c^₁，c^₂，...，c^_T)发送到认证装置102。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

最后，在步骤S1006中，认证装置102将加密特征矢量C＝(c₁，c₂，...，c_T)、加密特征矢量C^＝(c^₁，c^₂，...，c^_T)保存到存储部301。 

接下来，使用图11、图12、图13，说明认证方法。 

另外，为简化说明，此处，说明在认证时成为认证的对象的用户是另行通过ID信息等确定了的所谓1:1认证的情况。 

步骤S1101和步骤S1102与实施方式1相同。 

但是，此处注意在汉明距离的情况下，b’_i∈{0，1}，在欧几里得平方距离的情况下，b’_i∈{0，1，...，q-1}。 

接下来，在步骤S1103中，证明装置101的随机数生成部203从0至q-1的整数均匀随机地取出值4T次，设为{r’_2，i，r’_3，i，r^’_2，i，r^’_3，i}_{i＝1，2，...，T}。 

接下来，在步骤S1104中，证明装置101的加密部204通过c’_i＝b’_i w₁+r’_2，i w₂+r’_3，i w₃，c^’_i＝b’_i w^₁+r’_2，i w^₂+r’3_，i w^₃，计算加密特征矢量C’＝(c’₁，c’₂，...，c’_T)、加密特征矢量C^’＝(c^’₁，c^’₂，...，c^’_T)。 

接下来，在步骤S1105中，证明装置101的通信部206将加密特征矢量C’＝(c’₁，c’₂，...，c’_T)、加密特征矢量C^’＝(c^’₁，c^’₂，...，c^’_T)发送到认证装置102。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

接下来，在步骤S1106中，认证装置102的通信部206接收加密特征矢量C’＝(c’₁，c’₂，...，c’_T)、加密特征矢量C^’＝(c^’₁，c^’₂，...，c^’_T)。 

接下来，在步骤S1107中，认证装置102的加密类似度生成部302从存储部301取出加密特征矢量C＝(c₁，c₂，...，c_T)、加密特征矢量C^＝(c^₁，c^₂，...，c^_T)。 

此时，一般在存储部301中保存了多数用户的加密生物体信息，但对于从其中取出哪个，使用另行提供的ID信息。 

接下来，在步骤S1108中，认证装置102的随机数生成部305从0至q-1的整数均匀随机地取出值6T次，设为{s_1，i，s_2，i，s_3，i，s^_1，i，s^_2，i，s^_3，i}_{i＝1，2，...，T}。 

接下来，在步骤S1109中，认证装置102的随机数生成部305从 0至q-1的整数均匀随机地取出值4次，设为{u₂，u₃，u^₂，u^₃}。 

接下来，在步骤S1110中，认证装置102的加密类似度生成部302计算d_i＝(c_i-c’_i)+s_1，i w₁+s_2，i w₂+s_3，i w₃。 

另外，作为公开密钥的一部分(W)，从解密装置103分发w₁、w₂、w₃。 

接下来，在步骤S1111中，认证装置102的加密类似度生成部302计算d^_i＝(c^_i-c^’_i)+s^_1，i w^₁+s^_2，i w^₂+s^_3，i w^₃。 

另外，作为公开密钥的一部分(W^)，从解密装置103分发w^₁、w^₂、w^₃。 

接下来，在步骤S1112中，认证装置102的加密类似度生成部302依照式(17)，计算E。 

[式17] 

$E=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}({\hat{s}}_{1,i}(c_i-c_i^{\&prime;})+s_{1,i}{\hat{s}}_{1,i}{w}_1)+u_2{w}_2+u_3{w}_3$

接下来，在步骤S1113中，认证装置102的加密类似度生成部302依照式(18)，计算E^。 

[式18] 

$\hat{E}=\underset{i=1}{\overset{T}{\mathrm{\&Sigma;}}}{s}_{1,i}({\hat{c}}_i-{\hat{c}}_i^{\&prime;})+{\hat{u}}_2{\hat{w}}_2+{\hat{u}}_3{\hat{w}}_3$

接下来，在步骤S1114中，认证装置102的通信部304将(d₁，...，d_T，d^₁，...，d^_T...，E，E^)发送到解密装置103。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

在本实施方式中，(d₁，...，d_T，d^₁，...，d^_T...，E，E^)成为加密类似度信息的例子。 

其以后的步骤与实施方式1相同，所以省略说明。 

根据以上的实施方式，除了起到与实施方式1同样的效果以外，还具有作为类似度的指标能够使用汉明距离或者欧几里得平方距离这样的效果。 

实施方式3. 

以上，在实施方式1以及实施方式2中，公开了使用冈本-高岛密码来进行生物体认证的方法，但接下来，公开使用非专利文献2所示的BGN(Boneh-Goh-Nissim)密码来进行生物体认证的方法。 

另外，本实施方式的生物体认证系统的结构例也如图1所示。 

另外，本实施方式的证明装置101、认证装置102、解密装置103的内部结构例也如图2-图4所示。 

首先，说明BGN密码的算法。 

BGN密码由密钥生成、加密、解密这3个算法构成。 

密钥生成算法如下所述。 

将p、q分别设为素数。 

设为N＝pq，生成以N为阶数的群G、G_T。 

将e：G×G→G_T设为满足双线性以及非退化性的配对。 

将g、u设为从G均匀随机地选择的要素。 

通过h＝u^q确定h。 

而且，将公开密钥设为((G，G_T，N，e)，g，h)，将秘密密钥设为p。 

加密算法如下所述。 

另外，将明文空间设为{0，1，...，L}。从{0，1，...，N-1}均匀随机地选择r。 

将针对x的密文E(x)设为E(x)＝g^xh^r。 

解密算法如下所述。 

如果将密文设为E(x)，则首先，使用秘密密钥p来计算E(x)p。 

根据定义，成为E(x)^p＝(g^xh^r)^p＝(g^p)^x。 

然后，针对该值，求出以g^p为底的离散对数，得到原来的明文x。 

另外，在当前的计算机能力下求出离散对数的计算比较困难，但已知在明文空间的大小L小的情况下，能够通过使用Pollard的拉姆达法(Pollard′s Lambda Method)而以√L程度的计算量来计算。 

叙述使用这样的BGN密码来进行生物体认证的方法。 

在本实施方式中，说明采取与实施方式1同样的特征矢量构成法的情况。 

即，以作为生物体认证中使用的特征矢量，准备特征点的数组，在用户保有该特征点的情况下将1保存到数组、在不具有特征点的情况下将0保存到数组，将数组作为特征矢量，在认证时将1一致的部位的数量作为类似度的指标那样的认证方式为例子而进行说明。 

首先，使用图13来说明设置。 

图13是示出参数生成部401中的公开密钥以及秘密密钥的生成步骤的流程图。 

首先，在步骤S1301中，参数生成部401确定素数p、q、群G、G_T。 

另外，虽然根据安全性水平确定素数，但为了将素数p与q之积作为群阶数，通常，以不能进行质因数分解的方式，将素数设为1024比特、2048比特等大尺寸的素数。 

接下来，在步骤S1302中，参数生成部401从G均匀随机地选择g、u，计算h＝u^q。 

最后，在步骤S1303中，参数生成部401将公开密钥pk＝((G，G_T，N，e)，g，h)公开，将秘密密钥sk＝p保存到存储部403。 

接下来，使用图14，说明生物体信息的登记方法。 

另外，此处，说明用户经由证明装置101在认证装置102中登记生物体信息的情况，但即使在认证装置102上直接登记生物体信息的情况、经由登记用的专用装置而登记的情况等情况下也能够通过同样的步骤来实现。 

图14是示出在证明装置101中登记生物体信息的步骤的流程图。 

首先，在步骤S1401中，生物体信息抽出部201抽出用户的生物体信息。其中有各种方法，例如通过对指纹照射光并用传感器读取纹理来抽出。 

接下来，在步骤S1402中，特征矢量形成部202根据生物体信息形成特征矢量b＝(b₁，b₂，...，b_T)。 

接下来，在步骤S1403中，随机数生成部203从0至N-1的整数均匀随机地取出值T次，设为{r_i}_{i＝1，2，...，T}。 

接下来，在步骤S1404中，加密部204通过c_i＝g^bih^ri计算加密特征矢量C＝(c₁，c₂，...，c_T)。 

另外，作为公开密钥的一部分，从解密装置103分发g、h。 

接下来，在步骤S1405中，通信部206将加密特征矢量C＝(c₁，c₂，...，c_T)发送到认证装置102。 

最后，在步骤S1406中，认证装置102将加密特征矢量C＝(c₁，c₂，...，c_T)保存到存储部301。 

接下来，使用图15至图17，说明认证方法。 

另外，为简化说明，此处，说明在认证时成为认证的对象的用户是另行通过ID信息等确定了的所谓1:1认证的情况。 

图15、图16、图17是示出进行认证的步骤的流程图。 

首先，在步骤S1501中，证明装置101的生物体信息抽出部201抽出用户的生物体信息。 

抽出方法与生物体信息的登记时相同。 

接下来，在步骤S1502中，证明装置101的特征矢量形成部202根据生物体信息形成特征矢量b’＝(b’₁，b’₂，...，b’_T)。 

形成方法与生物体信息的登记时相同。 

接下来，在步骤S1503中，证明装置101的随机数生成部203从0至N-1的整数均匀随机地取出值T次，设为{r’_i}_{i＝1，2，...，T}。 

接下来，在步骤S1504中，证明装置101的加密部204通过c’_i＝g^b’ih^r’i计算加密特征矢量C’＝(c’₁，c’₂，...，c’_T)。 

接下来，在步骤S1505中，证明装置101的通信部206将加密特征矢量C’＝(c’₁，c’₂，...，c’_T)发送到认证装置102。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

接下来，在步骤S1506中，认证装置102的通信部304接收加密特征矢量C’＝(c’₁，c’₂，...，c’_T)。 

接下来，在步骤S1507中，认证装置102的加密类似度生成部302从存储部301取出加密特征矢量C＝(c₁，c₂，...，c_T)。 

接下来，在步骤S1508中，认证装置102的随机数生成部305从0至N-1的整数均匀随机地取出值，设为s。 

接下来，在步骤S1509中，认证装置102的加密类似度生成部302依照式(19)，计算E。 

[式19] 

$E=\underset{i=1}{\overset{T}{\mathrm{\&Pi;}}}e(c_i,{c^{\&prime;}}_i)\&CenterDot;e{(g,h)}^s$

接下来，在步骤S1510中，认证装置102的通信部304将E发送到解密装置103。 

此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

在本实施方式中，E成为加密类似度信息。 

接下来，在步骤S1511中，解密装置103的通信部404接收E。 

接下来，在步骤S1512中，解密装置103的解密部402从存储部403取出秘密密钥p。 

接下来，在步骤S1513中，解密装置103的解密部402计算Z＝E^p。 

接下来，在步骤S1514中，解密装置103的解密部402计算以e(g，g)^p为底的Z的离散对数d。 

在本实施方式中也是该离散对数d相当于类似度。 

接下来，在步骤S1515中，解密装置103的通信部404将d发送到认证装置102。此时，优选使用例如SSL等通信用篡改检测技术而防止在通信的途中被篡改。 

接下来，在步骤S1516中，认证装置102的通信部304接收类似度d。 

接下来，在步骤S1517中，判定部303判定类似度d是否为阈值以上。 

该阈值是预先在系统中考虑所利用的生物体信息的种类、安全性必要条件等各种要素来确定的值。 

如果是阈值以上，则判断为从证明装置101送来的加密生物体信息是用ID指定的本人的信息。 

另一方面，如果小于阈值，则判断为从证明装置101送来的加密生物体信息并非用ID指定的人物的信息而是他人的信息。 

通过以上的步骤，认证装置102能够在与证明装置101之间进行生物体认证。 

根据以上的实施方式，除了起到与实施方式1同样的效果以外，还具有相比于实施方式1，能够降低公开密钥、秘密密钥的数量这样的效果。 

另外，具有相比于实施方式1，能够降低发送到解密装置103的密文的数量这样的效果。 

实施方式4. 

在以上的实施方式3中，公开了计算特征矢量的内积，并通过其值进行生物体认证这样的认证方法，但接下来，叙述通过特征矢量的汉明距离或者欧几里得平方距离进行生物体认证这样的认证方法。 

另外，本实施方式的生物体认证系统的结构例也如图1所示。 

另外，本实施方式的证明装置101、认证装置102、解密装置103的内部结构例也如图2-图4所示。 

本实施方式中的参数生成方法和生物体信息的登记方法与实施方式3相同，所以省略说明。 

接下来，使用图18、图19、图20，说明认证方法。 

另外，为简化说明，此处，说明在认证时成为认证的对象的用户是另行通过ID信息等确定了的所谓1:1认证的情况。 

步骤S1801至S1808与实施方式3相同，所以省略说明。 

在步骤S1809中，认证装置102的加密类似度生成部302依照式(20)，计算E。 

[式20] 

$E=\underset{i=1}{\overset{T}{\mathrm{\&Pi;}}}e(c_i,g)\&CenterDot;e({c^{\&prime;}}_i,g)\&CenterDot;e{(c_i,{c^{\&prime;}}_i)}^{-2}\&CenterDot;e{(g,h)}^s$

其以后的步骤与实施方式3相同，所以省略说明。 

根据以上的实施方式，不仅起到与实施方式2同样的效果，而且还起到与实施方式3同样的效果。 

以上，通过实施方式1至实施方式4，公开了使用了双同态密码的生物体认证方法，但其不限于生物体认证，当然还能够应用于模式匹配领域。 

即，根据实施方式1-4中示出的认证方法，能够在对数据进行了加密的状态下进行数据的类似度判定。 

因此，能够实现对数据进行了加密的状态下的图像检索、运动图像检索、声音检索等。 

在以上的实施方式1-4中，说明了通过使用生物体认证和双同态密码，在对生物体信息进行了加密的状态下实现生物体认证。 

即，以往，使用了通常的同态密码，所以无法在对全部进行了加密的状态下进行认证处理。因此，存在在认证处理中用户与认证装置之间的通信量变大这样的课题。 

通过使用双同态密码，能够在对全部进行了加密的状态下进行认证处理。因此，起到能够降低用户与认证装置之间的通信量这样的效果。 

另外，起到通过该生物体认证和双同态密码的组合，能够实现安全并且通信量效率高的生物体认证这样的效果。 

最后，说明实施方式1-4中示出的证明装置101、认证装置102、解密装置103的硬件结构例。 

图25是示出实施方式1-4所示的证明装置101、认证装置102、解密装置103的硬件资源的一个例子的图。 

另外，图25的结构仅为证明装置101、认证装置102、解密装置103的硬件结构的一个例子，证明装置101、认证装置102、解密装置103的硬件结构不限于图25记载的结构，而也可以是其他结构。 

在图25中，证明装置101、认证装置102、解密装置103具备执行程序的CPU911(Central Processing Unit，还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理器)。 

CPU911经由总线912，例如与ROM(Read Only Memory，只读存储器)913、RAM(Random Access Memory，随机访问存储器)914、通信板915、显示装置901、键盘902、鼠标903、磁盘装置920连接，控制这些硬件设备。 

进而，CPU911也可以与FDD904(Flexible Disk Drive，软盘驱动器)、高密度盘装置905(CDD，compact disk device)、打印装置906连接。另外，证明装置101与用于读取生物体信息的读取装置907连接。另外，也可以代替磁盘装置920，使用光盘装置、存储卡(注册商标)读写装置等存储装置。 

RAM914是易失性存储器的一个例子。ROM913、FDD904、CDD905、磁盘装置920的存储介质是非易失性存储器的一个例子。它们是存储装置的一个例子。 

在实施方式1-4中说明的“存储部”通过RAM914、磁盘装置920等实现。 

通信板915、键盘902、鼠标903、读取装置907、FDD904等是输入装置的一个例子。 

另外，通信板915、显示装置901、打印装置906等是输出装置的一个例子。 

通信板915除了与其他装置连接以外，例如，也可以与LAN(局域网)、因特网、WAN(广域网)、SAN(存储区域网络)等连接。 

在磁盘装置920中，存储了操作系统921(OS)、视窗系统922、程序群923、文件群924。 

CPU911利用操作系统921、视窗系统922来执行程序群923的程序。 

另外，在RAM914中，暂时保存使CPU911执行的操作系统921的程序、应用程序的至少一部分。 

另外，在RAM914中，保存由CPU911执行的处理中所需的各种数据。 

另外，在ROM913中，保存有BIOS(Basic Input Output System， 基础输入输出系统)程序，在磁盘装置920中，保存有引导程序。 

在证明装置101、认证装置102、解密装置103的起动时，执行ROM913的BIOS程序以及磁盘装置920的引导程序，通过BIOS程序以及引导程序，起动操作系统921。 

在上述程序群923中，存储有执行在实施方式1-4的说明中说明为“～部”(除了“存储部”以外，以下也相同)的功能的程序。由CPU911读出并执行程序。 

在文件群924中，将表示在实施方式1-4的说明中说明为“～的判断”、“～的判定”、“～的计算”、“～的比较”、“～的导出”、“～的抽出”、“～的形成”、“～的更新”、“～的设定”、“～的登记”、“～的选择”等的处理的结果的信息、数据、信号值、变量值、参数存储为“～文件”、“～数据库”的各项目。 

将“～文件”、“～数据库”存储到盘、存储器等记录介质。通过CPU911经由读写电路，将盘、存储器等存储介质中存储的信息、数据、信号值、变量值、参数读出到主存储器、高速缓冲存储器，用于抽出·检索·参照·比较·运算·计算·处理·编辑·输出·印刷·显示等CPU的动作。 

在抽出·检索·参照·比较·运算·计算·处理·编辑·输出·印刷·显示的CPU的动作的期间，将信息、数据、信号值、变量值、参数暂时存储到主存储器、寄存器、高速缓冲存储器、缓冲存储器等。 

另外，在实施方式1-4中说明的流程图的箭头的部分主要表示数据、信号的输入输出，将数据、信号值记录到RAM914的存储器、FDD904的软盘、CDD905的高密度盘、磁盘装置920的磁盘、其他光盘、迷你盘(mini disk)、DVD等记录介质。另外，通过总线912、信号线、电缆、其他传送介质，在线传送数据、信号。 

另外，在实施方式1-4的说明中说明为“～部”的部分既可以是“～电路”、“～装置”、“～仪器”，并且也可以是“～步骤”、“～阶段”、“～处理”。即，说明为“～部”的部分也可以通过ROM913中存储的固件来实现。或者，也可以仅通过软件、或者仅通过元件·设备·基板·布线等硬 件、或者通过软件与硬件的组合、进而通过与固件的组合来实施。将固件和软件作为程序存储到磁盘、软盘、光盘、高密度盘、迷你盘、DVD等记录介质。程序由CPU911读出并由CPU911执行。即，程序用于使计算机作为实施方式1-4的“～部”发挥功能。或者，使计算机执行实施方式1-4的“～部”的步骤、方法。 

这样，实施方式1-4所示的证明装置101、认证装置102、解密装置103是具备作为处理装置的CPU、作为存储装置的存储器、磁盘等、作为输入装置的键盘、鼠标、通信板等、作为输出装置的显示装置、通信板等的计算机，如上所述使用这些处理装置、存储装置、输入装置、输出装置来实现示出为“～部”的功能。 

Claims (15)

1.一种数据处理装置，其特征在于，具有：

公开密钥存储部，存储根据双同态密码算法在解密装置中生成并从所述解密装置分发的公开密钥；

加密数据存储部，存储使用保有从所述解密装置分发的所述公开密钥的密码装置所保有的所述公开密钥进行了加密的第1数据，来作为加密第1数据；

加密数据输入部，在将所述加密第1数据存储到所述加密数据存储部之后，输入使用所述密码装置所保有的所述公开密钥进行了加密的第2数据，来作为加密第2数据；

随机数生成部，使用所述公开密钥的至少一部分，生成随机数；以及

加密类似度生成部，对所述加密第1数据和所述加密第2数据进行使用了所述公开密钥存储部中存储的所述公开密钥和由所述随机数生成部生成的随机数的运算，在对所述加密第1数据和所述加密第2数据分别进行了加密的状态下，生成能够通过使用了与所述公开密钥对应起来生成的秘密密钥的解密处理来导出所述第1数据与所述第2数据之间的类似度的加密了的信息，来作为加密类似度信息。

2.根据权利要求1所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：由所述解密装置根据所述双同态密码算法而与秘密密钥对应起来生成的公开密钥，

所述数据处理装置还具有：

加密类似度输出部，将由所述加密类似度生成部生成的加密类似度信息输出到所述解密装置；

类似度输入部，输入在所述解密装置中对所述加密类似度信息进行使用了所述秘密密钥的解密处理而导出的所述第1数据与所述第2数据之间的类似度；以及

判定部，对由所述类似度输入部输入的所述类似度进行解析，而判定所述第2数据的发生源是否合法。

3.根据权利要求1所述的数据处理装置，其特征在于，

所述加密数据存储部存储：由通过所述密码装置对构成所述第1数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第1数据，其中，T是2以上的整数，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第2数据，其中，T是2以上的整数，

所述加密类似度生成部，针对每个部分数据，对所述加密第1数据和所述加密第2数据进行使用了所述公开密钥存储部中存储的所述公开密钥和由所述随机数生成部生成的随机数的运算，作为所述第1数据与所述第2数据之间的类似度，生成能够导出在所述第1数据的T个部分数据和所述第2数据的T个部分数据中的值一致的部分数据的数量的信息。

4.根据权利要求1所述的数据处理装置，其特征在于，

所述加密数据存储部存储：由通过所述密码装置对构成所述第1数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第1数据，其中，T是2以上的整数，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第2数据，其中，T是2以上的整数，

所述加密类似度生成部，针对每个部分数据，对所述加密第1数据和所述加密第2数据进行使用了所述公开密钥存储部中存储的所述公开密钥和由所述随机数生成部生成的随机数的运算，作为所述第1数据与所述第2数据之间的类似度，生成能够导出所述第1数据的T个部分数据和所述第2数据的T个部分数据的汉明距离的信息。

5.根据权利要求1所述的数据处理装置，其特征在于，

所述加密数据存储部存储：由通过所述密码装置对构成所述第1数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第1数据，其中，T是2以上的整数，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据进行加密而得到的T个加密了的部分数据构成的加密第2数据，其中，T是2以上的整数，

所述加密类似度生成部，针对每个部分数据，对所述加密第1数据和所述加密第2数据进行使用了所述公开密钥存储部中存储的所述公开密钥和由所述随机数生成部生成的随机数的运算，作为所述第1数据与所述第2数据之间的类似度，生成能够导出所述第1数据的T个部分数据和所述第2数据的T个部分数据的欧几里得平方距离的信息。

6.根据权利要求1所述的数据处理装置，其特征在于，

所述公开密钥存储部存储根据冈本-高岛密码算法生成的公开密钥，来作为根据所述双同态密码算法生成的公开密钥，

所述加密数据存储部存储：通过基于所述根据冈本-高岛密码算法生成的公开密钥进行的加密而得到的加密第1数据，

所述加密数据输入部输入：通过基于所述根据冈本-高岛密码算法生成的公开密钥进行的加密而得到的加密第2数据。

7.根据权利要求6所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：与作为正则矩阵的秘密密钥对应起来生成的随机基底w₁、w₂、w₃、w^₁、w^₂、w^₃和规定的值q，来作为公开密钥，

所述加密数据存储部存储：由通过保有所述随机基底w₁、w₂、w3的所述密码装置对构成所述第1数据的T个部分数据b_i进行使用了所述随机基底w₁、w₂、w₃的加密而得到的T个加密了的部分数据c_i构成的加密第1数据，其中，T是2以上的整数，下标i是1至T，

所述加密数据输入部输入：由通过保有所述随机基底w^₁、w^₂、w^₃的所述密码装置对构成所述第2数据的T个部分数据b’_i进行使用了所述随机基底w^₁、w^₂、w^₃的加密而得到的T个加密了的部分数据c^_i构成的加密第2数据，其中，T是2以上的整数，下标i是1至T，

所述随机数生成部，根据所述值q生成多个随机数值s_1，i、s_2,i、s_3,i、s^_1，i、s^_2,i、s^_3,i，根据所述值q生成多个随机数值u₂、u₃、u^₂、u^₃，其中，下标i是1至T，

所述加密类似度生成部：

针对下标i从1至T，计算d_i＝c_i+(s_1，i×w₁)+(s_2，i×w₂)+(s₃，_i×w₃)，

针对下标i从1至T，计算d^_i＝c^_i+(s^_1，i×w^₁)+(s^_2，i×w^₂)+(s^_3，i×w^₃)，

计算E＝{(s^_1，i×c_i+s_1，i×s^_1，i×w₁)的关于下标i的1至T的总和}+(u₂×w₂)+(u₃×w₃)，

计算E^＝{(s_1，i×c^_i)的关于下标i的1至T的总和}+(u^₂×w^₂)+(u^₃×w^₃)，

生成包括所计算出的值d_i、d^_i、E以及E^的加密类似度信息。

8.根据权利要求7所述的数据处理装置，其特征在于，

所述加密数据存储部存储加密第1数据，该加密第1数据是由T个部分数据c_i构成的，该T个部分数据c_i是使用通过所述密码装置生成的随机数值r_2,i、r_3，i和所述随机基底w₁、w₂、w₃，通过c_i＝(b_i×w₁)+(r_2，i×w₂)+(r_3，i×w₃)对T个部分数据b_i进行加密而得到的，其中，下标i是1至T，

所述加密数据输入部输入加密第2数据，该加密第2数据是由T个部分数据c^_i构成的，该T个部分数据c^_i是使用通过所述密码装置生成的随机数值r’_2,i、r’_3，i和所述随机基底w^₁、w^₂、w^₃，通过c^_i＝(b’_i×w^₁)+(r’_2，i×w^₂)+(r’_3，i×w^₃)对T个部分数据b’_i进行加密而得到的，其中，下标i是1至T。

9.根据权利要求7所述的数据处理装置，其特征在于，

所述数据处理装置还具有：

加密类似度输出部，将由所述加密类似度生成部生成的加密类似度信息输出到所述解密装置；

类似度输入部，输入在所述解密装置中对所述加密类似度信息进行使用所述秘密密钥的逆矩阵和双对配对矢量空间中的畸变映射的解密处理而导出的所述第1数据与所述第2数据之间的类似度；以及

判定部，对由所述类似度输入部输入的所述类似度进行解析，判定所述第2数据的发生源是否合法。

10.根据权利要求6所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：与作为正则矩阵的秘密密钥对应起来生成的随机基底w₁、w₂、w₃、w^₁、w^₂、w^₃和规定的值q，来作为公开密钥，

所述加密数据存储部存储：由通过保有所述随机基底w₁、w₂、w₃的所述密码装置对构成所述第1数据的T个部分数据b_i进行使用了所述随机基底w₁、w₂、w₃的加密而得到的T个加密了的部分数据c_i、和通过保有所述随机基底w^₁、w^₂、w^₃的所述密码装置对构成所述第1数据的T个部分数据b_i进行使用了所述随机基底w^₁、w^₂、w^₃的加密而得到的T个加密了的部分数据c^_i构成的加密第1数据，其中，T是2以上的整数，下标i是1至T，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据b’_i进行使用了所述随机基底w₁、w₂、w₃的加密而得到的T个加密了的部分数据c’_i、和通过所述密码装置对构成所述第2数据的T个部分数据b’_i进行使用了所述随机基底w^₁、w^₂、w^₃的加密而得到的T个加密了的部分数据c’^_i构成的加密第2数据，其中，T是2以上的整数，下标i是1至T，

所述随机数生成部，根据所述值q生成多个随机数值s_1，i、s_2，i、s_3,i、s^_1，i、s^_2,i、s^_3,i，根据所述值q生成多个随机数值u₂、u₃、u^₂、u^₃，其中，下标i是1至T，

所述加密类似度生成部：

针对下标i从1至T，计算d_i＝(c_i-c’_i)+(s_1，i×w₁)+(s_2，i×w₂)+(s_3，i×w₃)，

针对下标i从1至T，计算d^_i＝(c^_i-c’^_i)+(s^_1，i×w^₁)+(s^_2，i×w^₂)+(s^_3，i×w^₃)，

计算E＝{(s^_1，i×(c_i-c’_i)+s_1，i×s^_1，i×w₁)的关于下标i的1至T的总和}+(u₂×w₂)+(u₃×w₃)，

计算E^＝[{s_1，i×(c^_i-c’^_i)}的关于下标i的1至T的总和]+(u^₂×w^₂)+(u^₃×w^₃)，

生成包括所计算出的值d_i、d^_i、E以及E^的加密类似度信息。

11.根据权利要求10所述的数据处理装置，其特征在于，

所述加密数据存储部存储加密第1数据，该加密第1数据是由T个部分数据c_i以及T个部分数据c^_i构成的，该T个部分数据c_i是使用通过所述密码装置生成的随机数值r_2，i、r_3，i和所述随机基底w₁、w₂、w₃，通过c_i＝(b_i×w₁)+(r_2，i×w₂)+(r_3，i×w₃)对T个部分数据b_i进行加密而得到的，该T个部分数据c^_i是使用通过所述密码装置生成的随机数值r^_2,i、r^_3，i和所述随机基底w^₁、w^₂、w^₃，通过c^_i＝(b_i×w^₁)+(r^_2，i×w^₂)+(r^_3，i×w^₃)对T个部分数据b_i进行加密而得到的，其中，下标i是1至T，

所述加密数据输入部输入加密第2数据，该加密第2数据是由T个部分数据c’_i以及T个部分数据c’^_i构成的，该T个部分数据c’_i是使用通过所述密码装置生成的随机数值r’_2，i、r’_3，i和所述随机基底w₁、w₂、w₃，通过c’_i＝(b’_i×w₁)+(r’_2，i×w₂)+(r’_3，i×w₃)对T个部分数据b’_i进行加密而得到的，该T个部分数据c’^_i是使用通过所述密码装置生成的随机数值r’^_2，i、r’^_3，i以及所述随机基底w^₁、w^₂、w^₃，通过c’^_i＝(b’_i×w^₁)+(r’^_2，i×w^₂)+(r’^_3，i×w^₃)对T个部分数据b’_i进行加密而得到的，其中，下标i是1至T。

12.根据权利要求10所述的数据处理装置，其特征在于，

所述数据处理装置还具有：

加密类似度输出部，将由所述加密类似度生成部生成的加密类似度信息输出到所述解密装置；

类似度输入部，输入在所述解密装置中对所述加密类似度信息进行使用所述秘密密钥的逆矩阵和双对配对矢量空间中的畸变映射的解密处理而导出的所述第1数据与所述第2数据之间的类似度；以及

判定部，对由所述类似度输入部输入的所述类似度进行解析，判定所述第2数据的发生源是否合法。

13.根据权利要求1所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：根据BGN密码算法即Boneh-Goh-Nissim密码算法生成的公开密钥，来作为根据所述双同态密码算法生成的公开密钥，

所述加密数据存储部存储：通过基于根据所述BGN密码算法生成的公开密钥进行的加密而得到的加密第1数据，

所述加密数据输入部输入：通过基于根据所述BGN密码算法生成的公开密钥进行的加密而得到的加密第2数据。

14.根据权利要求13所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：从以N＝p×q为阶数的群G随机地选择出的值g和值u、值h＝u^q、以及规定的值N，来作为公开密钥，其中，p以及q是素数，

所述加密数据存储部存储：由通过保有值g和值h的所述密码装置对构成所述第1数据的T个部分数据b_i进行使用了值g和值h的加密而得到的T个加密了的部分数据c_i构成的加密第1数据，其中，T是2以上的整数，下标i是1至T，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据b’_i进行使用了值g和值h的加密而得到的T个加密了的部分数据c’_i构成的加密第2数据，其中，T是2以上的整数，下标i是1至T，

所述随机数生成部根据所述值N生成随机数值s，

所述加密类似度生成部，针对E＝e(c_i、c’_i)×e(g、h)^s的下标i计算1至T的无穷积，生成包括所计算出的值E的加密类似度信息，其中，e：G×G^→G_T是满足双线性和非退化性的配对。

15.根据权利要求13所述的数据处理装置，其特征在于，

所述公开密钥存储部存储：从以N＝p×q为阶数的群G随机地选择出的值g和值u、值h＝u^q、以及规定的值N，来作为公开密钥，其中，p以及q是素数，

所述加密数据存储部存储：由通过保有值g和值h的所述密码装置对构成所述第1数据的T个部分数据b_i进行使用了值g和值h的加密而得到的T个加密了的部分数据c_i构成的加密第1数据，其中，T是2以上的整数，下标i是1至T，

所述加密数据输入部输入：由通过所述密码装置对构成所述第2数据的T个部分数据b’_i进行使用了值g和值h的加密而得到的T个加密了的部分数据c’_i构成的加密第2数据，其中，T是2以上的整数，下标i是1至T，

所述随机数生成部根据所述值N生成随机数值s，

所述加密类似度生成部，针对E＝e(c_i、g)×e(c’_i、g)×e(c_i×c’_i)^-2×e(g、h)^s的下标i，计算1至T的无穷积，生成包括所计算出的值E的加密类似度信息，其中，e：G×G^→GT是满足双线性和非退化性的配对。