CN102859571B - 密码处理系统、密钥生成装置、加密装置、解密装置、签名处理系统、签名装置以及验证装置 - Google Patents

Abstract

本发明的目的在于提供一种具有大量的密码功能的安全性的函数型密码方式。通过在取值范围程序中应用属性矢量的内积，构成了访问架构。该访问架构在取值范围程序的设计、和属性矢量的设计上具有自由度，在访问控制的设计中具有很高的自由度。另外，通过对该访问架构使用秘密分散的概念，实现了具有大量的密码功能的安全性的函数型密码处理。

Description

密码处理系统、密钥生成装置、加密装置、解密装置、签名处理系统、签名装置以及验证装置

技术领域

本发明涉及函数型密码（Functional Encryption，FE）方式。

背景技术

在非专利文献3-6、10、12、13、15、18中，记载了作为函数型密码方式的一个类型的基于ID的密码（Identity-Based Encryption，IBE）方式。另外，在非专利文献2、7、9、16、19、23-26、28中，记载了作为函数型密码方式的一个类型的基于属性的密码（Attribute-Based Encryption，ABE）方式。

非专利文献1：Beimel，A.，Secure schemes for secret sharingand key distribution.PhD Thesis，Israel Institute of Technology，Technion，Haifa，Israel，1996

非专利文献2：Bethencourt，J.，Sahai，A.，Waters，B.:Ciphertextpolicy attribute-based encryption.In:2007 IEEESymposium on Security and Privacy，pp.321·34.IEEE Press（2007）

非专利文献3：Boneh，D.，Boyen，X.:Efficient selective-IDsecure identity based encryption without random oracles.In:Cachin，C.，Camenisch，J.（eds.）EUROCRYPT 2004.LNCS，vol.3027，pp.223·38.Springer Heidelberg（2004）

非专利文献4：Boneh，D.，Boyen，X.:Secure identity basedencryption without random oracles.In:Franklin，M.K.（ed.）CRYPTO 2004.LNCS，vol.3152，pp.443·59.Springer Heidelberg（2004）

非专利文献5：Boneh，D.，Boyen，X.，Goh，E.:Hierarchicalidentity based encryption with constant size ciphertext.In:Cramer，R.（ed.）EUROCRYPT 2005.LNCS，vol.3494，pp.440·56.Springer Heidelberg（2005）

非专利文献6：Boneh，D.，Franklin，M.:Identity-basedencryption from the Weil pairing.In:Kilian，J.（ed.）CRYPTO2001.LNCS，vol.2139，pp.213·29.Springer Heidelberg（2001）

非专利文献7：Boneh，D.，Hamburg，M.:Generalized identitybased and broadcast encryption scheme.In:Pieprzyk，J.（ed.）ASIACRYPT 2008.LNCS，vol.5350，pp.455·70.SpringerHeidelberg（2008）

非专利文献8：Boneh，D.，Katz，J.，Improved efficiencyfor CCA-secure cryptosystems built using identity based encryption.RSA-CT 2005，LNCS，Springer Verlag（2005）

非专利文献9：Boneh，D.，Waters，B.:Conjunctive，subset，and range queries on encrypted data.In:Vadhan，S.P.（ed.）TCC2007.LNCS，vol.4392，pp.535·54.Springer Heidelberg（2007）

非专利文献10：Boyen，X.，Waters，B.:Anonymoushierarchical identity-based encryption（without random oracles）.In:Dwork，C.（ed.）CRYPTO 2006.LNCS，vol.4117，pp.290·07.Springer Heidelberg（2006）

非专利文献11：Canetti，R.，Halevi S.，Katz J.，Chosen-ciphertext security from identity-based encryption.EUROCRYPT2004，LNCS，Springer-Verlag（2004）

非专利文献12：Cocks，C.:An identity based encryption schemebased on quadratic residues.In:Honary，B.（ed.）IMAInt.Conf.LNCS，vol.2260，pp.360·63.Springer Heidelberg（2001）

非专利文献13：Gentry，C.:Practical identity-based encryptionwithout random oracles.In:Vaudenay，S.（ed.）EUROCRYPT2006.LNCS，vol.4004，pp.445·64.Springer Heidelberg（2006）

非专利文献14：Gentry，C.，Halevi，S.:Hierarchicalidentity-based encryption with polynomially many levels.In:Reingold，O.（ed.）TCC 2009.LNCS，vol.5444，pp.437·56.SpringerHeidelberg（2009）

非专利文献15：Gentry，C.，Silverberg，A.:HierarchicalID-based cryptography.In:Zheng，Y.（ed.）ASIACRYPT2002.LNCS，vol.2501，pp.548·66.Springer Heidelberg（2002）

非专利文献16：Goyal，V.，Pandey，O.，Sahai，A.，Waters，B.:Attribute-based encryption for fine-grained access controlofencrypted data.In:ACM Conference on Computer andCommunication Security 2006，pp.89·8，ACM（2006）

非专利文献17：Groth，J.，Sahai，A.:Efficient non-interactiveproof systems for bilinear groups.In:Smart，N.P.（ed.）EUROCRYPT 2008.LNCS，vol.4965，pp.415·32.SpringerHeidelberg（2008）

非专利文献18：Horwitz，J.，Lynn，B.:Towards hierarchicalidentity-based encryption.In:Knudsen，L.R.（ed.）EUROCRYPT2002.LNCS，vol.2332，pp.466·81.Springer Heidelberg  （2002）

非专利文献19：Katz，J.，Sahai，A.，Waters，B.:Predicateencryption supporting disjunctions，polynomial equations，andinnerproducts.In:Smart，N.P.（ed.）EUROCRYPT 2008.LNCS，vol.4965，pp.146·62.Springer Heidelberg（2008）

非专利文献20：Lewko，A.B.，Waters，B.:Fully secure HIBEwith short ciphertexts.ePrint，IACR，http://eprint.iacr.org/2009/482

非专利文献21：Okamoto，T.，Takashima，K.:Homomorphicencryption and signatures from vector decomposition.In:Galbraith，S.D.，Paterson，K.G.（eds.）Pairing 2008.LNCS，vol.5209，pp.57·4.Springer Heidelberg（2008）

非专利文献22：Okamoto，T.，Takashima，K.:Hierarchicalpredicate encryption for Inner-Products，In:ASIACRYPT 2009，Springer Heidelberg（2009）

非专利文献23：Ostrovsky，R.，Sahai，A.，Waters，B.:Attribute-based encryption with non-monotonic access structures.In:ACM Conference on Computer and Communication Security 2007，pp.195·03，ACM（2007）

非专利文献24：Pirretti，M.，Traynor，P.，McDaniel，P.，Waters，B.:Secure attribute-based systems.In:ACM ConferenceonComputer and Communication Security 2006，pp.99·12，ACM，（2006）

非专利文献25：Sahai，A.，Waters，B.:Fuzzy identity-basedencryption.In:Cramer，R.（ed.）EUROCRYPT 2005.LNCS，vol.3494，pp.457·73.Springer Heidelberg（2005）

非专利文献26：Shi，E.，Waters，B.:Delegating capabilityin predicate encryption systems.In:Aceto，L.，Damgard，I.，Goldberg，L.A.，Halldosson，M.M.，Ingofsdotir，A.，Walukiewicz，I.（eds.）ICALP（2）2008.LNCS，vol.5126，pp.560·78.Springer Heidelberg（2008）

非专利文献27：Waters，B.:Efficient identity based encryptionwithout random oracles.Eurocrypt 2005，LNCS No.3152，pp.443·59.Springer Verlag，2005.

非专利文献28：Waters，B.:Ciphertext-policy attribute-basedencryption:an expressive，efficient，and provably securerealization.ePrint，IACR，http://eprint.iacr.org/2008/290

非专利文献29：Waters，B.:Dual system encryption:Realizingfully secure IBE and HIBE under simple assumptions.In:Halevi，S.（ed.）CRYPTO 2009.LNCS，vol.5677，pp.619·36.SpringerHeidelberg（2009）

发明内容

本发明的目的在于提供一种具有多功能的密码功能的安全的函数型密码方式。

本发明提供一种密码处理系统，具备密钥生成装置、加密装置、以及解密装置，使用关于t=0，...，d（d是1以上的整数）的各整数t的基底B_t和基底B^＊ _t来执行密码处理，其特征在于，

所述密钥生成装置具备：

第1信息输入部，输入作为关于i=1，...，L（L是1以上的整数）的各整数i的变量ρ（i）、并且是识别信息t（t=1，...，d中的某一个整数）和属性矢量v^→ _i：=（v_i，i’）（i’=1，...，n_t，n_t是1以上的整数）的肯定形的组（t，v^→ _i）或者否定形的组中的某一个的变量ρ（i）、以及L行r列（r是1以上的整数）的规定的矩阵M；以及

解密密钥生成部，根据依据具有r个要素的矢量f^→以及w^→、和所述第1信息输入部输入的矩阵M生成的列矢量s^→T：=（s₁，...，s_L）^T：=M·f^→T、值s₀：=w^→·f^→T、以及规定的值θ_i（i=1，...，L），生成要素k^＊ ₀、和关于i=1，...，L的各整数i的要素k^＊ _i，并且

作为基底B^＊ ₀的基底矢量b^＊ _0，p（p是规定的值）的系数而设定值-s₀，作为基底矢量b^＊ _0，q（q是与所述p不同的规定的值）的系数而设定规定的值κ，而生成要素k^＊ ₀，

针对i=1，...，L的各整数i，在变量ρ（i）是肯定形的组（t，v^→ _i）的情况下，作为该组的识别信息t表示的基底B^＊ _t的基底矢量b^＊ _t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’=2，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定θ_iv_i，i’并生成要素k^＊ _i，在变量ρ（i）是否定形的组的情况下，作为该组的识别信息t和i’=1，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定s_iv_i，i’，并生成要素k^＊ _i，

所述加密装置具备：

第2信息输入部，针对t=1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：=（x_t，i’）（i’=1，...，n_t，n_t是1以上的整数）的属性集合Γ；以及

加密数据生成部，根据所述第2信息输入部输入的属性集合Γ，生成要素c₀、和关于所述属性集合Γ中包含的各识别信息t的要素c_t，并且

生成作为基底B₀的基底矢量b_0，p（p是所述p）的系数而设定而随机数值δ、作为基底矢量b_0，q（q是所述q）的系数而设定了规定的值ζ的要素c₀，

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B_t的基底矢量b_t，i’（i’=1，...，n_t）的系数而设定了所述随机数值δ倍后的x_t，i’的要素c_t，

所述解密装置具备：

数据取得部，取得包括所述加密数据生成部生成的要素c₀以及要素c_t、和所述属性集合Γ的加密数据c；

解密密钥取得部，取得包括所述解密密钥生成部生成的要素k^＊ ₀以及要素k^＊ _i、和所述变量ρ（i）的解密密钥sk_S；

补充系数计算部，根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥sk_S中包含的变量ρ（i），确定i=1，...，L的各整数i中的、变量ρ（i）是肯定形的组（t，v^→ _i）并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积为0的i、和变量ρ（i）是否定形的组并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不为0的i的集合I，并且针对所确定的集合I中包含的i计算在合计了α_is_i的情况下成为s₀的补充系数α_i；以及

配对运算部，针对所述加密数据c中包含的要素c₀、要素c_t、和所述解密密钥sk_S中包含的要素k^＊ ₀、要素k^＊ _i，根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数α_i，进行式（1）所示的配对运算，计算值K=g_T ^ζκ，

【式1】

本发明的密码处理系统使用取值范围程序（Span Program）和内积谓词来实现函数型密码，实现了多功能的密码功能。另外，相比于以往的函数型密码方式，安全性更高。

附图说明

图1是矩阵M^的说明图。

图2是矩阵M_δ的说明图。

图3是s₀的说明图。

图4是s^→T的说明图。

图5是执行Key-Policy函数型密码方式的密码处理系统10的结构图。

图6是示出执行Key-Policy函数型密码方式的密码处理系统10的功能的功能框图。

图7是示出Setup算法的处理的流程图。

图8是示出KeyGen算法的处理的流程图。

图9是示出Enc算法的处理的流程图。

图10是示出Dec算法的处理的流程图。

图11是执行Ciphertext-Policy函数型密码方式的算法的密码处理系统10的结构图。

图12是示出执行Ciphertext-Policy函数型密码方式的密码处理系统10的功能的功能框图。

图13是示出KeyGen算法的处理的流程图。

图14是示出Enc算法的处理的流程图。

图15是示出Dec算法的处理的流程图。

图16是签名处理系统20的结构图。

图17是示出签名处理系统20的功能的功能框图。

图18是示出Setup算法的处理的流程图。

图19是示出KeyGen算法的处理的流程图。

图20是示出Sig算法的处理的流程图。

图21是示出Ver算法的处理的流程图。

图22是示出密钥生成装置100、加密装置200、解密装置300、签名装置400以及验证装置500的硬件结构的一个例子的图。

（符号说明）

10：密码处理系统；20：签名处理系统；100：密钥生成装置；110：主密钥生成部；120：主密钥存储部；130：信息输入部；140：解密密钥生成部；141：f矢量生成部；142：s矢量生成部；143：随机数生成部；144：密钥要素生成部；145：隐匿要素生成部；150：密钥分发部；160：签名密钥生成部；161：随机数生成部；162：密钥要素生成部；200：加密装置；210：公开参数取得部；220：信息输入部；230：加密数据生成部；231：随机数生成部；232：密码要素生成部；233：f矢量生成部；234：s矢量生成部；240：数据发送部；300：解密装置；310：解密密钥取得部；320：数据接收部；330：取值范围程序计算部；340：补充系数计算部；350：配对运算部；360：明文信息计算部；400：签名装置；410：签名密钥取得部；420：信息输入部；430：补充系数计算部；440：矩阵生成部；450：签名生成部；451：随机数生成部；452：签名要素生成部；460：数据发送部；500：验证装置；510：公开参数取得部；520：数据接收部；530：加密数据生成部；540：配对运算部；531：随机数生成部；532：密码要素生成部；533：f矢量生成部；534：s矢量生成部。

具体实施方式

以下，根据附图，说明发明的实施方式。

在以下的说明中，处理装置是后述CPU911等。存储装置是后述ROM913、RAM914、磁盘920等。通信装置是后述通信板915等。输入装置是后述键盘902、通信板915等。即，处理装置、存储装置、通信装置、输入装置是硬件。

说明以下的说明中的记载方法。

在A是随机的变量或者分布时，式101表示依照A的分布从A随机地选择y。即，在式101中，y是随机数。

【式101】

$y\stackrel{R}{\←}A$

在A是集合时，式102表示从A均匀地选择y。即，在式102中，y是均匀随机数（uniform random number）。

【式102】

$y\stackrel{U}{\←}A$

式103表示y是用z定义的集合、或者表示y是被代入了z的集合。

【式103】

y:=z

在a是常数时，式104表示机械（算法）A针对输入x输出a。

【式104】

A(x)→a

例如，

A(x)→1

式105即F_q表示阶数q的有限域。

【式105】

F_q

矢量标记表示有限域F_q中的矢量显示。即，是式106。

【式106】

表示

$(x_1,...,x_n)\∈F_q^n$

式107表示式108所示的2个矢量x^→与v^→的式109所示的内积。

【式107】

$\stackrel{\→}{x}\·\stackrel{\→}{v}$

【式108】

$\stackrel{\→}{x}=(x_1,...,x_n),$

$\stackrel{\→}{v}=(v_1,...,v_n)$

【式109】

${\mathrm{\Σ}}_{i=1}^n{x}_i{v}_i$

X^T表示矩阵X的转置矩阵。

在b_i（i=1，...，n）是空间V的矢量的要素时、即在式110时，式111表示通过式112生成的部分空间。

【式110】

b_i∈V(i＝1,...,n)

【式111】

$\mathrm{span}<b_1,...,b_n>\&SubsetEqual;V(\mathrm{resp}.\mathrm{span}<{\stackrel{\&RightArrow;}{x}}_1,...,{\stackrel{\&RightArrow;}{x}}_n>)$

【式112】

$b_1,...,b_n(\mathrm{resp}.{\stackrel{\&RightArrow;}{x}}_1,...,{\stackrel{\&RightArrow;}{x}}_n)$

相对式113所示的基底B和基底B^＊，是式114。

【式113】

B:=(b₁,...,b_N),

$B^{*}:=(b_1^{*},...,b_N^{*})$

【式114】

${(x_1,...,x_N)}_B:={\mathrm{\&Sigma;}}_{i=1}^N{x}_i{b}_i,$

${(y_1,...,y_N)}_{B^{*}}:={\mathrm{\&Sigma;}}_{i=1}^N{x}_i{b}_i^{*}$

另外，在以下的说明中，在以下脚标或者上脚标中表示“nt”的情况下，该nt表示n_t。同样地，在以下脚标或者上脚标中表示“Vt”的情况下，该Vt表示V_t。同样地，在以上脚标中表示“δi，j”的情况下，该δi，j表示δ_i，j。

另外，表示矢量的“→”附加于下脚标文字或者上脚标文字的情况下，该“→”表示以上脚标附加于下脚标文字或者上脚标文字。

另外，在以下脚标示出表示基底的B0，Bd+1的情况下，该B0，Bd+1分别表示B₀，B_d+1。同样地，在以下脚标示出表示基底的B^＊0，B^＊d+1的情况下，该B^＊0，B^＊d+1分别表示B^＊ ₀，B^＊ _d+1。

另外，在以下的说明中，密码处理包括密钥生成处理、加密处理、解密处理，签名处理包括密钥生成处理、签名处理以及验证处理。

实施方式1.

在该实施方式中，说明成为实现之后的实施方式中说明的“函数型密码（Functional Encryption）方式”的基础的概念、和函数型密码的1个结构。

第1，简单说明函数型密码。

第2，说明具有作为用于实现函数型密码的空间的“对偶矢量空间（Dual Pairing Vector Spaces，DPVS）”这样的丰富的数学性的构造的空间。

第3，说明用于实现函数型密码的概念。此处，说明“取值范围程序（Span Program）”、“属性矢量的内积和访问架构”、“秘密分散方式（秘密共享方式）”。

第4，说明该实施方式的“函数型密码方式”。在该实施方式中，说明“Key-Policy函数型密码（Key-Policy Functional Encryption，KP-FE）方式”。因此，首先，说明“Key-Policy函数型密码方式”的基本结构。接下来，说明实现该“Key-Policy函数型密码方式”的“密码处理系统10”的基本结构。然后，详细说明该实施方式的“Key-Policy函数型密码方式”以及“密码处理系统10”。

<第1.函数型密码方式>

函数型密码方式是使加密密钥（encryption-key，ek）、与解密密钥（decryption-key，dk）之间的关系成为更高度化更灵活的密码方式。

在函数型密码方式中，加密密钥和解密密钥分别设定了属性x和属性v。于是，仅限于相对关系R而R（x，v）成立的情况，解密密钥dk_v：=（dk，v）能够对用加密密钥ek_x：=（ek，x）加密了的密文进行解密。

在函数型密码方式中，存在数据库的访问控制、邮件服务、内容分发等各种应用程序（参照非专利文献2，7，9，16，19，23-26，28）。

在仅限于在R是等号关系的情况、即x=v的情况而R（x，v）成立的情况下，函数型密码方式是基于ID的密码方式。

作为比基于ID的密码方式更一般化的函数型密码方式，有基于属性的密码方式。

在基于属性的密码方式中，对加密密钥和解密密钥设定的属性是属性的组。例如，对加密密钥和解密密钥设定的属性分别是X：=（x₁，...，x_d）、和V：=（v₁，...，v_d）。

另外，对于属性的组件，对访问架构S输入每个组件的等号关系（例如，{x_t=v_t}_{t∈{1，...，d}}）。于是，仅在访问架构S受理了输入的情况下，R（X，V）成立。即，能够通过解密密钥对用加密密钥加密了的密文进行解密。

在解密密钥dk_V中嵌入有访问架构S的情况下，基于属性的密码（ABE）方式被称为Key-Policy ABE（KP-ABE）。另一方面，在密文中嵌入有访问架构S的情况下，基于属性的密码（ABE）方式被称为Ciphertext-Policy ABE（CP-ABE）。

非专利文献19记载的内积谓词密码（Inner-Product Encryption，IPE）也是函数型密码的1个类型。此处，对加密密钥和解密密钥设定的属性分别是体或者环上的矢量。例如，对加密密钥和解密密钥分别设定x^→：=（x₁，...，x_n）∈F_q ⁿ和v^→：=（v₁，...，v_n）∈F_q ⁿ。于是，仅限于x^→·v^→=0的情况，R（x^→，v^→）成立。

<第2.对偶矢量空间>

首先，说明对称双线性配对组（Symmetric Bilinear PairingGroups）。

对称双线性配对组（q，G，G^T，g，e）是素数q、阶数q的循环加法组G和阶数q的循环乘法组G^T、g≠0∈G、以及可通过多项式时间计算的非退化双线性配对（Nondegenerate Bilinear Pairing）e：G×G→G_T的组。非退化双线性配对是e（sg，tg）=e（g，g）^st，e（g，g）≠1。

在以下的说明中，式115是以1^λ为输入，输出以保密参数为λ的双线性配对组的参数paramG：=（q，G，G_T，g，e）的值的算法。

【式115】

G_bpg

接下来，说明对偶矢量空间。

对偶矢量空间（q，V，G_T，A，e）能够通过对称双线性配对组（param_G：=（q，G，G^T，g，e））的直积构成。对偶矢量空间（q，V，G_T，A，e）是素数q、式116所示的F_q上的N维矢量空间V、阶数q的循环群G_T、空间V的标准基底A：=（a₁，...，a_N）的组，具有以下的运算（1）（2）。此处，a_i如式117所示。

【式116】

【式117】

运算（1）：非退化双线性配对

空间V中的配对通过式118定义。

【式118】

$e(x,y):={\mathrm{\&Pi;}}_{i=1}^{N}e(G_i,H_i)\&Element;G_T$

此处，

(G₁,...,G_N):=x∈V,

(H₁，...,H_N):=y∈V

这是非退化双线性。即，在e（sx，ty）=e（x，y）^st，且针对所有y∈V而e（x，y）=1的情况下，x=0。另外，针对所有i和j，e（a_i，a_j）=e（g，g）^δi,j。此处，如果i=j，则δ_i，j=1，如果i≠j，则δ_i，j=0。另外，e（g，g）≠1∈G_T。

运算（2）：畸变映射

式119所示的空间V中的线性变换能够进行式120。

【式119】

φ_i,j(a_j)=a_i，

如果k≠j，则φ_i,j(a_k)=0。

【式120】

此处，

(g₁，...g_N):=x

此处，将线性变换称为畸变映射。

在以下的说明中，式121是以1^λ（λ∈自然数）、N∈自然数、双线性配对组的参数param_G：=（q，G，G_T，g，e）的值为输入，而输出保密参数为λ、且设为N维的空间V的对偶矢量空间的参数param_V：=（q，V，G_T，A，e）的值的算法。

【式121】

G_dpvs

另外，此处，说明通过上述的对称双线性配对组构成了对偶矢量空间的情况。另外，还能够通过非对称双线性配对组构成对偶矢量空间。易于将以下的说明应用于通过非对称双线性配对组构成了对偶矢量空间的情况。

<第3.用于实现函数型密码的概念>

<第3-1.取值范围程序>

图1是矩阵M^的说明图。

设{p₁，...，p_n}为变量的集合。M^：=（M，ρ）是带标签的矩阵。此处，矩阵M是F_q上的（L行×r列）的矩阵。另外，ρ是对矩阵M的各行附加的标签，与中的某一个文字常数（literal）对应起来。另外，对M的所有行附加的标签ρ_i（i=1，...，L）与某一个文字常数对应起来。即，

针对所有输入列δ∈{0，1}ⁿ，定义矩阵M的部分矩阵M_δ。矩阵M_δ是由通过输入列δ向标签ρ对应了值“1”的矩阵M的行构成的部分矩阵。即，矩阵M_δ是由与δ_i=1那样的p_i对应起来的矩阵M的行、和与δ_i=0那样的对应起来的矩阵M的行构成的部分矩阵。

图2是矩阵M_δ的说明图。另外，在图2中，设为n=7，L=6，r=5。即，变量的集合是{p₁，...，p₇}，矩阵M是（6行×5列）的矩阵。另外，在图2中，对于标签ρ，设为ρ₁对应于ρ₂对应于p₁，ρ₃对应于p₄，ρ₄对应于ρ₅对应于ρ₆对应于p₅。

此处，设为输入列δ∈{0，1}⁷是δ₁=1，δ₂=0，δ₃=1，δ₄=0，δ₅=0，δ₆=1，δ₇=1。在该情况下，由与虚线包围的文字常数（p₁，p₃，p₆，p₇，）对应起来的矩阵M的行构成的部分矩阵是矩阵M_δ。即，由矩阵M的第1行（M₁）、第2行（M₂）、第4行（M₄）构成的部分矩阵是矩阵M_δ。

换言之，在映射γ：{1，...，L}→{0，1}是[ρ（j）=p_i]∧[δ_i=1]或者的情况下，设为γ（j）=1，在其他情况下，设为γ（j）=0。在该情况下，M_δ：=（M_j）_γ（j）=1。此处，M_j是矩阵M的第j行。

即，在图2中，是映射γ（j）=1（j=1，2，4），映射γ（j）=0（j=3，5，6）。因此，（M_j）_γ（j）=1是M₁，M₂，M₄，是矩阵M_δ。

即，根据映射γ（j）的值是“0”还是“1”，决定矩阵M的第j行是否包含于矩阵M_δ中。

仅限于1^→∈span<M_δ>的情况下，取值范围程序M^受理输入列δ，在其他情况下拒绝输入列δ。即，仅限于对通过输入列δ从矩阵M^得到的矩阵M_δ的行进行线性结合而得到1^→的情况，取值范围程序M^受理输入列δ。另外，1^→是指，各要素是值“1”的行矢量。

例如，如果是图2的例子，则仅限于对由矩阵M的第1、2、4行构成的矩阵M_δ的各行进行线性结合而得到1^→的情况，取值范围程序M^受理输入列δ。即，在存在成为α₁（M₁）+α₂（M₂）+α₄（M₄）=1^→的α₁，α₂，α₄的情况下，取值范围程序M^受理输入列δ。

此处，在标签ρ仅与正的文字常数{p₁，...，p_n}对应起来了的情况下，取值范围程序被称为单调。另一方面，在标签ρ与文字常数{p₁，...，p_n，}对应起来了的情况下，取值范围程序被称为非单调。此处，取值范围程序设为非单调。然后，使用非单调取值范围程序，来构成访问架构（非单调访问架构）。访问架构简单而言是指进行向密码的访问控制。即，进行可否对密文进行解密的控制。

虽然详细情况后述，但取值范围程序并非单调而是非单调，从而利用取值范围程序构成的函数型密码方式的利用范围扩大。

<第3-2.属性矢量的内积和访问架构>

此处，使用属性矢量的内积来计算上述映射γ（j）。即，使用属性矢量的内积，来决定将矩阵M的哪个行包含于矩阵M_δ。

U_t（t=1，...，d且）是部分全集合（sub-universe），是属性的集合。另外，U_t分别包括部分全集合的识别信息（t）、和n_t维矢量（v^→）。即，U_t是（t，v^→）。此处，t∈{1，...，d}，且v^→∈F_q ^nt。

将U_t：=（t，v^→）设为取值范围程序M^：=（M，ρ）中的变量p。即，p：=（t，v^→）。另外，将设为变量（p：=（t，v^→）、（t’，v’^→），...）的取值范围程序M^：=（M，ρ）作为访问架构S。

即，访问架构S：=（M，ρ），且 $\mathrm{\&rho;}:\{1,...,L\}\&RightArrow;\{(t,v^{\&RightArrow;}),$ $(t^{,},v^{,\&RightArrow;}),...,(t,v^{\&RightArrow;})_{\&Not;},(t^{,},v^{,\&RightArrow;}),...\}._{\&Not;}$

接下来，将Γ设为属性的集合。即，Γ：={（t，x^→ _t）|x^→ _t∈Fq^nt，1≦t≦d}。

在对访问架构S提供了Γ的情况下，如以下那样地定义针对取值范围程序M^：=（M，ρ）的映射γ：{1，...，L}→{0，1}。关于i=1，...，L的各整数i，在[ρ（i）=（t，v^→ _i）]∧[（t，x^→ _t）∈Γ]∧[v^→ _i·x^→ _t＝0]、或者、的情况下，设为γ（j）=1，在其他情况下，设为γ（j）=0。

即，根据属性矢量v^→与x^→的内积，计算映射γ。然后，如上所述，通过映射γ，决定将矩阵M的哪个行包含于矩阵M_δ。即，通过属性矢量v^→与x^→的内积，决定将矩阵M的哪个行包含于矩阵M_δ，仅限于1^→∈span<（M_i）_γ（i）=1>的情况，访问架构S：=（M，ρ）受理Γ。

<第3-3.秘密分散方式>

说明针对访问架构S：=（M，ρ）的秘密分散方式。

另外，秘密分散方式是指，使秘密信息分散，而设为无意义的分散信息。例如，使秘密信息s分散为10个，生成10个分散信息。此处，10个分散信息的每一个不具有秘密信息s的信息。因此，即使得到某1个分散信息，关于秘密信息s也得不到任何信息。另一方面，如果得到所有的10个分散信息，则能够复原秘密信息s。

另外，还有即使没有得到全部的10个分散信息，只要仅得到一部分（例如，8个）就能够复原秘密信息s的秘密分散方式。将这样地能够通过10个分散信息中的8个复原秘密信息s的情况称为8-out-of-10。即，将能够通过n个分散信息中的t个来复原秘密信息s的情况称为t-out-of-n。将该t称为阈值。

另外，还有在生成了d₁，...，d₁₀这10个分散信息的情况下，如果是d₁，...，d₈为止的8个分散信息则能够复原秘密信息s，但如果是d₃，...，d₁₀位置的8个分散信息则无法复原秘密信息s这样的秘密分散方式。即，还有不仅根据得到的分散信息的数量，而且还根据分散信息的组合来控制可否复原秘密信息s的秘密分散方式。

图3是s₀的说明图。图4是s^→T的说明图。

将矩阵M设为（L行×r列）的矩阵。将f^→T设为式122所示的列矢量。

【式122】

${\stackrel{\&RightArrow;}{f}}^T:={(f_1,...f_r)}^T\stackrel{U}{\&LeftArrow;}{F}_q^r$

将式123所示的s₀设为共享的秘密信息。

【式123】

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T:={\mathrm{\&Sigma;}}_{k=1}^r{f}_k$

另外，将式124所示的s^→T设为s₀的L个分散信息的矢量。

【式124】

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

然后，将分散信息s_i设为属于ρ（i）。

在访问架构S：=（M，ρ）受理Γ的情况、即针对γ：{1，...，L}→{0，1}而1^→∈span<（M_i）_γ（i）=1>的情况下，存在 的常数{α_i∈F_q|i∈I}。

这也可以根据图2的例子中，在存在成为α₁（M₁）+α₂（M₂）+α₄（M₄）=1^→的α₁，α₂，α₄的情况下，取值范围程序M^受理输入列δ这样的说明而得知。即，在存在成为α₁（M₁）+α₂（M₂）+α₄（M₄）=1^→的α₁，α₂，α₄的情况下，如果取值范围程序M^受理输入列δ，则存在成为α₁（M₁）+α₂（M₂）+α₄（M₄）=1^→的α₁，α₂，α₄。

于是，成为式125。

【式125】

∑_i∈Iα_is_i:=s₀

另外，常数{α_i}能够通过矩阵M的尺寸的多项式时间来计算。

该实施方式以及以下的实施方式的函数型密码方式如上所述，在取值范围程序中应用内积谓词和秘密分散方式来构成访问架构。因此，通过设计取值范围程序中的矩阵M、内积谓词中的属性信息x以及属性信息v（谓词信息），能够自由地设计访问控制。即，能够以非常高的自由度进行访问控制的设计。另外，矩阵M的设计相当于秘密分散方式的阈值等的条件设计。

例如，上述基于属性的密码方式相当于在该实施方式以及以下的实施方式的函数型密码方式中的访问架构中，将内积谓词的设计限定为某条件的情况。即，相比于该实施方式以及以下的实施方式的函数型密码方式中的访问架构，在基于属性的密码方式中的访问架构中，没有设计内积谓词中的属性信息x以及属性信息v（谓词信息）的自由度，与此对应地，访问控制的设计的自由度低。另外，具体而言，基于属性的密码方式相当于将属性信息{x^→ _t}_{t∈{1，...，d}}和{v^→ _t}_{t∈{1，...，d}}限定于针对等号关系的2维矢量、例如x^→ _t：=（1，x_t）和v^→ _t：=（v_t，-1）的情况。

另外，上述内积谓词密码方式相当于在该实施方式以及以下的实施方式的函数型密码方式中的访问架构中，将取值范围程序中的矩阵M的设计限定为某条件的情况。即，相比于该实施方式以及以下的实施方式的函数型密码方式中的访问架构，在内积谓词密码方式中的访问架构中，与无取值范围程序中的矩阵M的设计的自由度的量对应地，访问控制的设计的自由度低。另外，具体而言，内积谓词密码方式是将秘密分散方式限定为1-out-of-1（或者、d-out-of-d）的情况。

特别地，该实施方式以及以下的实施方式的函数型密码方式中的访问架构构成使用了非单调取值范围程序的非单调访问架构。因此，访问控制的设计的自由度更高。

具体而言，在非单调取值范围程序中，包括否定形的文字常数 所以能够设定否定形的条件。例如，设在第1公司中有A部、B部、C部以及D部这4个部门。此处，设为希望进行仅第1公司的B部以外的部门的用户可访问（可解密）这样的访问控制。在该情况下，如果无法进行否定形的条件设定，则需要设定“属于第1公司的A部、C部以及D部中的某一个”这样的条件。另一方面，如果能够进行否定形的条件设定，则能够设定“第1公司的职员、且属于B部以外”这样的条件。即，能够设定否定形的条件，从而能够进行自然的条件设定。另外，此处，部门的数量少，但在部门的数量多的情况等时，非常有效。

<第4.函数型密码方式的基本结构>

<第4-1.Key-Policy函数型密码方式的基本结构>

简单说明Key-Policy函数型密码方式的结构。另外，Key-Policy是指，在解密密钥中嵌入Policy、即嵌入访问架构。

Key-Policy函数型密码方式具备Setup、KeyGen、Enc、Dec这4个算法。

（Setup）

Setup算法是输入保密参数λ和属性的格式μ^→：=（d；n₁，...，n_d），并输出公开参数pk和主密钥sk的概率性的算法。

（KeyGen）

KeyGen算法是以访问架构S：=（M，ρ）、公开参数pk以及主密钥sk为输入，并输出解密密钥sk_S的概率性的算法。

（Enc）

Enc算法是以消息m、作为属性的集合的Γ：={（t，x^→ _t）|x^→ _t∈F_q ^nt，1≦t≦d}、以及公开参数pk为输入，并输出加密数据c的概率性的算法。

（Dec）

Dec算法是以在作为属性的集合的Γ下加密了的加密数据c、针对访问架构S的解密密钥sk_S、以及公开参数pk为输入，并输出消息m、或者识别信息⊥的算法。

在Key-Policy函数型密码方式中，针对所有的访问架构S和属性的集合Γ、正确地生成的公开参数pk、主密钥sk以及式126所示的密文c，在访问架构S受理属性的集合Γ的情况下为m=Dec（pk，sk_S，c）、在访问架构S拒绝属性的集合Γ的情况下为m=Dec（pk，sk_S，c）的概率是可忽略的程度。

【式126】

$c\stackrel{R}{\&LeftArrow;}\mathrm{Enc}(\mathrm{pk},m,\mathrm{\&Gamma;})$

<第4-2.密码处理系统10>

说明执行上述Key-Policy函数型密码方式的算法的密码处理系统10。

图5是执行Key-Policy函数型密码方式的密码处理系统10的结构图。

密码处理系统10具备密钥生成装置100、加密装置200、解密装置300。

密钥生成装置100以保密参数λ、和属性的格式μ^→：=（d；n₁，...，n_d）为输入而执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100以访问架构S为输入而执行KeyGen算法，生成解密密钥sk_S并秘密地分发给解密装置300。

加密装置200以消息m、属性的集合Γ以及公开参数pk为输入而执行Enc算法，生成加密数据c。加密装置200将所生成的加密数据c发送给解密装置300。

解密装置300以公开参数pk、解密密钥sk_S以及加密数据c为输入而执行Dec算法，并输出消息m或者识别信息⊥。

<第4-3.Key-Policy函数型密码方式以及密码处理系统10的详细内容>

根据图6至图10，说明Key-Policy函数型密码方式、以及执行Key-Policy函数型密码方式的密码处理系统10的功能和动作。

图6是示出执行Key-Policy函数型密码方式的密码处理系统10的功能的功能框图。密码处理系统10如上所述，具备密钥生成装置100、加密装置200、解密装置300。

图7和图8是示出密钥生成装置100的动作的流程图。另外，图7是示出Setup算法的处理的流程图，图8是示出KeyGen算法的处理的流程图。图9是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图10是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

另外，在以下的说明中，设为x_t，1：=1。

说明密钥生成装置100的功能和动作。密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130（第1信息输入部）、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备f矢量生成部141、s矢量生成部142、随机数生成部143、密钥要素生成部144。

首先，根据图7，说明Setup算法的处理。

（S101：标准正交基底生成步骤）

主密钥生成部110通过处理装置来计算式127，生成param_μ→，针对t=0，...，d的各整数t，生成基底B_t以及基底B^＊ _t。

【式127】

（1）

$\mathrm{input}{1}^{\mathrm{\&lambda;}},\stackrel{\&RightArrow;}{\mathrm{\&mu;}}:=(d;n_1...{,n}_d)$

（2）

${\mathrm{param}}_G:=(q,G,G_T,g,e)\stackrel{R}{\&LeftArrow;}{G}_{\mathrm{bpg}}\left(1^{\mathrm{\&lambda;}}\right)$

（3）

$\mathrm{\&psi;}\stackrel{U}{\&LeftArrow;}{F}_q^{\&times;},N_0:=5,N_t:=4n_t\mathrm{for\; t}=1,...,d$

针对t=0，...，d的各t，执行（4）至（8）的处理。

（4）

${\mathrm{param}}_{V_t}:=(q,V_t,G_T,A_t,e):=G_{\mathrm{dpvs}}(1^{\mathrm{\&lambda;}},N_t,{\mathrm{param}}_G)$

（5）

$X_t:={\left({\mathrm{\&chi;}}_{t,i,j}\right)}_{i,j}\stackrel{U}{\&LeftArrow;}\mathrm{GL}(N_t,F_q)$

（6）

${\left({\mathrm{\&nu;}}_{t,i,j}\right)}_{i,j}:=\mathrm{\&psi;}\&CenterDot;{\left(X_t^T\right)}^{-1}$

（7）

$B_t:=(b_{t,1},...,b_{t,N_t})$

（8）

$B_t^{*}:=(b_{t,1}^{*},...,b_{t,N_t}^{*})$

（9）

g_T:=e(g,g)ψ，

${\mathrm{param}}_{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}:=\left({\left\{{\mathrm{param}}_{V_t}\right\}}_{t=0,...,d,}{g}_T\right)$

即，主密钥生成部110执行以下的处理。

（1）主密钥生成部110通过输入装置而输入保密参数λ（1^λ）、和属性的格式此处，d是1以上的整数，针对t=1，...，d为止的各整数t，n_t是1以上的整数。

（2）主密钥生成部110以在（1）中输入的保密参数λ（1^λ）为输入，通过处理装置执行算法G_bpg，生成双线性配对组的参数param_G：=（q，G，G_T，g，e）的值。

（3）主密钥生成部110通过处理装置生成随机数ψ，并且对N₀设定5，针对t=1，...，d的各整数t对N_t设定4n_t。

接下来，主密钥生成部110针对t=0，...，d的各整数t执行以下的（4）至（8）的处理。

（4）主密钥生成部110以在（1）中输入的保密参数λ（1^λ）、在（3）中设定的N_t、以及在（2）中生成的param_G：=（q，G，G_T，g，e）的值为输入，通过处理装置执行算法G_dpvs，生成对偶矢量空间的参数param_Vt：=（q，V_T，G_T，A_t，e）的值。

（5）主密钥生成部110以在（3）中设定的N_t、和F_q为输入，通过处理装置随机地生成线性变换X_t：=（χ_t，i，j）_i，j。另外，GL是GeneralLinear的缩写。即，GL是一般线性组，是行列式不为0的方阵的集合，关于乘法为组。另外，（χ_t，i，j）_i，j是与矩阵χ_t，i，j的下标i，j相关的矩阵的意思，此处，i，j=1，...，n_t。

（6）主密钥生成部110通过处理装置，根据随机数ψ和线性变换X_t而生成（ν_t，i，j）_i，j：=ψ·（X_t ^T）^-1。另外，（ν_t，i，j）_i，j也与（χ_{t， i，j}）_i，j同样地，是与矩阵ν_t，i，j的下标i，j相关的矩阵的意思，此处，i，j=1，...，n_t。

（7）主密钥生成部110通过处理装置，根据在（5）中生成的线性变换X_t，依据在（4）中生成的标准基底A_t生成基底B_t。

（8）主密钥生成部110通过处理装置，根据在（6）中生成的（ν_{t， i，j}）_i，j，依据在（4）中生成的标准基底A_t生成基底B^＊ _t。

（9）主密钥生成部110通过处理装置，对g_T设定e（g，g）^ψ。另外，主密钥生成部110对param_μ→设定在（4）中生成的{param_Vt}_{t=0，...， d}、和g_T。另外，针对t=0，...，d和i=1，...，N_t的各整数t，i，g_T=e（b_t，i，b^＊ _t，i）。

即，在（S101）中，主密钥生成部110执行式128所示的算法G_ob，生成param_μ→，针对t=0，...，d的各整数t，生成基底B_t以及基底B^＊ _t。

【式128】

（S102：公开参数生成步骤）

主密钥生成部110通过处理装置，如式129所示，生成在（S101）中生成的基底B₀的部分基底B^₀，针对t=1，...，d的各整数t生成部分基底B^_t。

【式129】

主密钥生成部110将所生成的部分基底B^₀以及部分基底B^_t、在（S101）中输入的保密参数λ（1^λ）、和在（S101）中生成的param_μ→合起来，设为公开参数pk。

（S103：主密钥生成步骤）

主密钥生成部110通过处理装置，如式130所示，生成在（S101）中生成的基底B^＊ ₀的部分基底B^^＊ ₀，针对t=1，...，d的各整数t生成部分基底B^^＊ _t。

【式130】

主密钥生成部110将所生成的部分基底B^^＊ ₀和部分基底B^^＊ _t设为主密钥sk。

（S104：主密钥存储步骤）

主密钥存储部120将包括在（S102）中针对t=0，...，d的各整数t生成的部分基底B^_t的公开参数pk存储到存储装置。另外，主密钥存储部120将包括在（S103）中针对t=0，...，d的各整数t生成的部分基底B^^＊ _t的主密钥sk存储到存储装置。

即，在（S101）至（S103）中，主密钥生成部110执行式131所示的Setup算法，生成公开参数pk和主密钥sk。然后，在（S104）中，主密钥存储部120将所生成的公开参数pk和主密钥sk存储到存储装置。

另外，公开参数例如经由网络而被公开，成为加密装置200、解密装置300可取得的状态。

【式131】

接下来，根据图8，说明KeyGen算法的处理。

（S201：信息输入步骤）

信息输入部130通过输入装置，输入上述访问架构S：=（M，ρ）。另外，对于访问架构S的矩阵M的设定，根据希望实现的系统的条件来设定。另外，对于访问架构S的ρ，例如，设定解密密钥sk_S的使用者的属性信息。

（S202：f矢量生成步骤）

f矢量生成部141通过处理装置，如式132所示，随机地生成具有r个要素的矢量f^→。

【式132】

$\stackrel{\&RightArrow;}{f}\stackrel{U}{\&LeftArrow;}{F}_q^r$

（S203：s矢量生成步骤）

s矢量生成部142通过处理装置，根据在（S201）中输入的访问架构S中包含的（L行×r列）的矩阵M、和在（S202）中生成的矢量f^→，如式133所示，生成矢量s^→T：=（s₁，...，s_L）^T。

【式133】

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部142通过处理装置，根据在（S202）中生成的矢量f^→，如式134所示，生成值s₀。

【式134】

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

（S204：随机数生成步骤）

随机数生成部143通过处理装置，如式135所示，生成随机数η₀，并针对i=1，...，L的各整数i生成随机数θ_i。

【式135】

${\mathrm{\&eta;}}_0,{\mathrm{\&theta;}}_i\stackrel{U}{\&LeftArrow;}{F}_q(i=1,...,L)$

（S205：密钥要素生成步骤）

密钥要素生成部144通过处理装置，如式136所示，生成解密密钥sk_S的要素k^＊ ₀。

【式136】

$k_0^{*}:={({-s}_0,\mathrm{0,1},{\mathrm{\&eta;}}_0,0)}_{B_0^{*}}$

另外，如上所述，在式113中，针对基底B和基底B^＊，是式114。因此，式136表示，作为基底B^＊ ₀的基底矢量b^＊ _0，1的系数设定-s₀，作为基底矢量b^＊ _0，2的系数设定0，作为基底矢量b^＊ _0，3的系数设定1，作为基底矢量b^＊ _0，4的系数设定η₀，作为基底矢量b^＊ _0，5的系数设定0。

另外，密钥要素生成部144通过处理装置，针对i=1，...，L的各整数i，如式137所示，生成解密密钥sk_S的要素k^＊ _i。

【式137】

即，式137与式136同样地，表示在ρ（i）是肯定形的组（t，v^→ _i）的情况下，作为基底B^＊ _t的基底矢量b^＊ _t，1的系数设定s_i+θ_iv_i，1，作为基底矢量b^＊ _t，2，...，b^＊ _t，nt的系数设定θ_iv_i，2，...，θ_iv_i，nt，作为基底矢量b^＊ _t，nt+1，...，b^＊ _t，2nt的系数设定0，作为基底矢量b^＊ _t，2nt+1，...，b^＊ _{t， 3nt}的系数设定η_i，1，...，η_i，nt，作为基底矢量b^＊ _t，3nt+1，...，b^＊ _t，4nt的系数设定0。

另一方面，表示在ρ（i）是否定形的组的情况下，作为基底B^＊ _t的基底矢量b^＊ _t，1，...，b^＊ _t，nt的系数设定s_iv_i，1，...，s_iv_{i， nt}，作为基底矢量b^＊ _t，nt+1，...，b^＊ _t，2nt的系数设定0，作为基底矢量b^＊ _{t， 2nt+1}，...，b^＊ _t，3nt的系数设定η_i，1，...，η_i，nt，作为基底矢量b^＊ _t，3nt+1，...，b^＊ _t，4nt的系数设定0。

（S206：密钥分发步骤）

密钥分发部150将以在（S201）中输入的访问架构S、和在（S205）中生成的k^＊ ₀，k^＊ ₁，...，k^＊ _L为要素的解密密钥sk_S例如通过通信装置经由网络秘密地分发给解密装置300。当然，解密密钥sk_S也可以通过其他方法分发给解密装置300。

即，在（S201）至（S205）中，信息输入部130和解密密钥生成部140执行式138所示的KeyGen算法，生成解密密钥sk_S。然后，在（S206）中，密钥分发部150将所生成的解密密钥sk_S分发到解密装置300。

【式138】

说明加密装置200的功能和动作。加密装置200具备公开参数取得部210、信息输入部220（第2信息输入部）、加密数据生成部230、数据发送部240（数据输出部）。另外，加密数据生成部230具备随机数生成部231、密码要素生成部232。

根据图9，说明Enc算法的处理。

（S301：公开参数取得步骤）

公开参数取得部210例如通过通信装置经由网络，取得密钥生成装置100生成的公开参数pk。

（S302：信息输入步骤）

信息输入部220通过输入装置，输入向解密装置300发送的消息m。另外，信息输入部220通过输入装置，输入属性的集合Γ：={（t，x^→ _t：=（x_t，1，...，x_t，nt∈Fq^nt））|1≦t≦d}。另外，t也可以不是1以上d以下的所有整数，而是1以上d以下的至少一部分的整数。另外，对于属性的集合Γ，例如，设定了可解密的用户的属性信息。

(S303：随机数生成步骤)

随机数生成部231通过处理装置，如式139所示，生成随机数δ、随机数ζ。

【式139】

$\mathrm{\&delta;},{\mathrm{\&phi;}}_0,{\mathrm{\&phi;}}_{t,1},...,{\mathrm{\&phi;}}_{t,n_t},\mathrm{\&zeta;}\stackrel{U}{\&LeftArrow;}{F}_q\mathrm{such\; that}(t,{\stackrel{\&RightArrow;}{x}}_t)\&Element;\mathrm{\&Gamma;}$

(S304：密码要素生成步骤)

密码要素生成部232通过处理装置，如式140所示，生成加密数据c的要素c₀。

【式140】

$c_0:={(\mathrm{\&delta;},0,\mathrm{\&zeta;},0,{\mathrm{\&phi;}}_0)}_{B_0}$

另外，密码要素生成部232通过处理装置，针对Γ中包含的(t，x^→ _t)的各整数t，如式141所示，生成加密数据c的要素c_t。

【式141】

另外，密码要素生成部232通过处理装置，如式142所示，生成加密数据c的要素c_d+1。

【式142】

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}m$

(S305：数据发送步骤)

数据发送部240将以在(S302)中输入的属性的集合Γ、和在(S304)中生成的c₀，c_t，c_d+1为要素的加密数据c例如通过通信装置经由网络发送给解密装置300。当然，加密数据c也可以通过其他方法发送给解密装置300。

即，在(S301)至(S304)中，公开参数取得部210、信息输入部220、加密数据生成部230执行式143所示的Enc算法，生成加密数据c。然后，在(S305)中，数据发送部240将所生成的加密数据c发送给解密装置300。

【式143】

说明解密装置300的功能和动作。解密装置300具备解密密钥取得部310、数据接收部320（数据取得部）、取值范围程序计算部330、补充系数计算部340、配对运算部350、明文信息计算部360。

根据图10，说明Dec算法的处理。

（S401：解密密钥取得步骤）

解密密钥取得部310例如通过通信装置经由网络，取得从密钥生成装置100分发的解密密钥sk_S：=（S，k^＊ ₀，k^＊ ₁，...，k^＊ _L）。另外，解密密钥取得部310取得密钥生成装置100生成的公开参数pk。

（S402：数据接收步骤）

数据接收部320例如通过通信装置经由网络，接收加密装置200发送的加密数据c。

（S403：取值范围程序计算步骤）

取值范围程序计算部330通过处理装置，判定在（S401）中取得的解密密钥sk_S中包含的访问架构S是否受理在（S402）中接收到的加密数据c中包含的Γ。访问架构S是否受理Γ的判定方法如“第3.用于实现函数型密码的概念”中的说明的那样。

取值范围程序计算部330在访问架构S受理Γ的情况（在S403中受理）下，使处理进入（S404）。另一方面，在访问架构S拒绝Γ的情况（在S403中拒绝）下，设为无法用解密密钥sk_S对加密数据c进行解密而结束处理。

（S404：补充系数计算步骤）

补充系数计算部340通过处理装置，计算成为式144的I、和常数（补充系数）{α_i}_i∈I。

【式144】

（S405：配对运算步骤）

配对运算部350通过处理装置，计算式145，生成会话密钥K=g_T ^ζ。

【式145】

另外，如式146所示，通过计算式145而得到密钥K=g_T ^ζ。

【式146】

（S406：明文信息计算步骤）

明文信息计算部360通过处理装置，计算m’=c_d+1/K，生成消息m’（=m）。另外，c_d+1如式142所示，是g_T ^ζm，K是g_T ^ζ，所以如果计算m’=c_d+1/K，则得到消息m。

即，在（S401）至（S406）中，解密装置300执行式147所示的Dec算法，来生成消息m’（=m）。

【式147】

如上所述，密码处理系统10利用使用取值范围程序、内积谓词以及秘密分散构成的访问架构S，来实现密码方式（函数型密码方式）。因此，密码处理系统10实现能够以非常高的自由度进行访问控制的设计的密码方式。

另外，密码处理系统10实现的密码方式的安全性非常高。如上所述，在函数型密码方式的1个类型（最限定的类型）中有基于ID的密码。相比于既存的实用的基于ID的密码，密码处理系统10实现的密码方式在某种意义上安全性也更高。

另外，在上述说明中，在（S101）的（3）中将N₀设定为5，将N_t设定为4n_t（=n_t+n_t+n_t+n_t）。因此，基底A_t、基底B_t、基底B^＊ _t都是4n_t+5维。

但是，也可以设n_t+n_t+n_t+n_t为n_t+u_t+w_t+z_t。即，也可以将第1个n_t原样地设为n_t，将第2个n_t设为u_t，将第3个n_t设为w_t，将第4个n_t设为z_t。即，也可以将N_t设定为n_t+u_t+w_t+z_t。此处，n_t，u_t，w_t，z_t也可以是分别不同的值，如上所述n_t是1以上的整数，u_t，w_t，z_t都是0以上的整数。

在该情况下，如式148那样地改写式131所示的Setup算法。即，基底B^_t和基底B^^＊ _t的基底矢量的下标被变更。

【式148】

另外，如式149那样地改写式138所示的KeyGen算法。

【式149】

另外，如式150那样地改写式143所示的Enc算法。

【式150】

另外，在式147所示的Dec算法中没有变更。

另外，N₀也可以不是5而是2以上的整数。如果N₀是2，则基底B₀和基底B^＊ ₀成为2维。在该情况下，在KeyGen算法中，设为k^＊ ₀：=（-s₀，1）_B＊0，在Enc算法中，设为c₀：=（δ，ζ）_B0即可。

另外，在上述说明中，在KeyGen算法中，设为k^＊ ₀：=（-s₀，0，1，η₀，0）_B＊0。但是，也可以使用规定的值κ，而设为k^＊ ₀：=（-s₀，0，κ，η_0，0）_B＊0。在该情况下，成为通过Dec算法计算的K：=g^ζκ _T，所以在Enc算法中，设为c_d+1：=g^ζκ _Tm即可。

另外，在上述说明中，对于v_i，nt的值没有特别限定。但是，也可以根据安全性的证明的观点，限定为v_i，nt：=1。

另外，根据安全性的证明的观点，关于i=1，...，L的各整数i的ρ（i）也可以限定为关于分别不同的识别信息t的肯定形的组（t，v^→）或者否定形的组

换言之，在ρ（i）=（t，v^→）或者的情况下，将函数ρ~设为是ρ~（i）=t的{1，...，L}→{1，...d}的映射。在该情况下，也可以限定为ρ~是单映射。另外，ρ（i）是上述访问架构S：=（M，ρ（i））的ρ（i）。

实施方式2.

在该实施方式中，说明“Ciphertext-Policy函数型密码（Ciphertext-Policy Functional Encryption，CP-FE）方式”。另外，在该实施方式中说明的“Ciphertext-Policy函数型密码方式”也根据在实施方式1中说明的概念而构成。

在该实施方式中，首先，说明“Ciphertext-Policy函数型密码方式”的基本结构。接下来，说明实现该“Ciphertext-Policy函数型密码方式”的“密码处理系统10”的基本结构。然后，详细说明该实施方式的“Ciphertext-Policy函数型密码方式”以及“密码处理系统10”。

<Ciphertext-Policy函数型密码方式的基本结构>

简单说明Ciphertext-Policy函数型密码方式的结构。另外，Ciphertext-Policy是指，在密文中嵌入Policy、即嵌入访问架构。

Ciphertext-Policy函数型密码方式与Key-Policy函数型密码方式同样地，具备Setup、KeyGen、Enc、Dec这4个算法。

（Setup）

Setup算法是输入保密参数λ和属性的格式μ^→：=（d；n₁，...，n_d），并输出公开参数pk和主密钥sk的概率性的算法。

（KeyGen）

KeyGen算法是以作为属性的集合的Γ：={（t，x^→ _t）|x^→ _t∈F_q ^nt，1≦t≦d}、公开参数pk以及主密钥sk为输入，并输出解密密钥sk_Γ的概率性的算法。

（Enc）

Enc算法是以消息m、访问架构S：=（M，ρ）以及公开参数pk为输入，并输出加密数据c的概率性的算法。

（Dec）

Dec算法是以在访问架构S下加密的加密数据c、针对作为属性的集合的Γ的解密密钥sk_Γ、以及公开参数pk为输入，并输出消息m或者识别信息⊥的算法。

在Ciphertext-Policy函数型密码方式中，针对所有访问架构S和属性的集合Γ、正确地生成的公开参数pk、主密钥sk以及式151所示的密文c，在访问架构S受理属性的集合Γ的情况下为m=Dec（pk，sk_Γ，c）、在访问架构S拒绝属性的集合Γ的情况下成为m=Dec（pk，sk_Γ，c）的概率是可忽略的程度。

【式151】

$c\stackrel{R}{\&LeftArrow;}\mathrm{Enc}(\mathrm{pk},m,S)$

<密码处理系统10>

说明执行上述Ciphertext-Policy函数型密码方式的算法的密码处理系统10。

图11是密码处理系统10的结构图。

密码处理系统10具备密钥生成装置100、加密装置200、解密装置300。

密钥生成装置100以保密参数λ、属性的格式μ^→：=（d；n₁，...，n_d）为输入而执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100以属性的集合Γ为输入而执行KeyGen算法，生成解密密钥sk_Γ并秘密地分发给解密装置300。

加密装置200以消息m、访问架构S以及公开参数pk为输入而执行Enc算法，生成加密数据c。加密装置200将所生成的加密数据c发送给解密装置300。

解密装置300以公开参数pk、解密密钥sk_Γ以及加密数据c为输入而执行Dec算法，输出消息m或者识别信息⊥。

<Ciphertext-Policy函数型密码方式以及密码处理系统10的详细内容>

根据图12至图15，说明Ciphertext-Policy函数型密码方式、以及执行Ciphertext-Policy函数型密码方式的密码处理系统10的功能和动作。

图12是示出执行Ciphertext-Policy函数型密码方式的密码处理系统10的功能的功能框图。如上所述，密码处理系统10具备密钥生成装置100、加密装置200以及解密装置300。

图13是示出密钥生成装置100的动作的流程图，是示出KeyGen算法的处理的流程图。另外，Setup算法与Key-Policy函数型密码方式的情况相同，所以此处省略说明。图14是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图15是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

另外，在以下的说明中，设为x_t，1：=1。

说明密钥生成装置100的功能和动作。密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130（第1信息输入部）、解密密钥生成部140以及密钥分发部150。另外，解密密钥生成部140具备随机数生成部143、密钥要素生成部144。

如上所述，Setup算法与Key-Policy函数型密码方式的情况相同，如式131所示。

根据图13，说明KeyGen算法的处理。

（S501：信息输入步骤）

信息输入部130通过输入装置，输入属性的集合Γ：={（t，x^→ _t：=（x_t，1，...，x_t，nt∈F_q ^nt））|1≦t≦d}。另外，对于属性的集合Γ，例如，设定了解密密钥sk_Γ的使用者的属性信息。

（S502：随机数生成步骤）

随机数生成部143通过处理装置，如式152所示，生成随机数δ、随机数

【式152】

$\mathrm{\&delta;},{\mathrm{\&phi;}}_0,{\mathrm{\&phi;}}_{t,1},...,{\mathrm{\&phi;}}_{t,n_t},\mathrm{\&zeta;}\stackrel{U}{\&LeftArrow;}{F}_q\mathrm{such\; that}(t,{\stackrel{\&RightArrow;}{x}}_t)\&Element;\mathrm{\&Gamma;}$

（S503：密钥要素生成步骤）

密钥要素生成部144通过处理装置，如式153所示，生成解密密钥sk_Γ的要素k^＊ ₀。

【式153】

$k_0^{*}:={(\mathrm{\&delta;},\mathrm{0,1},{\mathrm{\&phi;}}_0,0)}_{B_0^{*}}$

另外，密钥要素生成部144通过处理装置，针对Γ中包含的（t，x^→ _t）的各整数t，如式154所示，生成解密密钥sk_Γ的要素k^＊ _t。

【式154】

（S504：密钥分发步骤）

密钥分发部150将以在（S501）中输入的属性的集合Γ、和在（S503）中生成的k^＊ ₀，k^＊ _t为要素的解密密钥sk_Γ例如通过通信装置经由网络秘密地分发给解密装置300。当然，解密密钥sk_Γ也可以通过其他方法分发到解密装置300。

即，在（S501）至（S503）中，信息输入部130和解密密钥生成部140执行式155所示的KeyGen算法，生成解密密钥sk_Γ。然后，在（S504）中，密钥分发部150将所生成的解密密钥sk_Γ分发给解密装置300。

【式155】

说明加密装置200的功能和动作。加密装置200具备公开参数取得部210、信息输入部220（第2信息输入部）、加密数据生成部230、数据发送部240（数据输出部）。另外，加密数据生成部230具备随机数生成部231、密码要素生成部232、f矢量生成部233、s矢量生成部234。

根据图14，说明Enc算法的处理。

（S601：公开参数取得步骤）

公开参数取得部210例如通过通信装置经由网络，取得密钥生成装置100生成的公开参数pk。

（S602：信息输入步骤）

信息输入部220通过输入装置，输入访问架构S：=（M，ρ）。另外，对于访问架构S的设定，根据希望实现的系统的条件来设定。另外，对于访问架构S的ρ，例如，设定了可解密的用户的属性信息。

另外，信息输入部220通过输入装置，输入向解密装置300发送的消息m。

(S603：f矢量生成步骤)

f矢量生成部233通过处理装置，如式156所示，随机地生成具有r个要素的矢量f^→。

【式156】

$\stackrel{\&RightArrow;}{f}\stackrel{U}{\&LeftArrow;}{F}_q^r$

(S604：s矢量生成步骤)

s矢量生成部234通过处理装置，根据在(S602)中输入的访问架构S中包含的(L行×r列)的矩阵M、和在(S603)中生成的矢量f^→，如式157所示，生成矢量s^→T：＝(s₁，...，s_L)^T。

【式157】

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部234通过处理装置，根据在(S603)中生成的矢量f^→，如式158所示，生成值s₀。

【式158】

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

(S605：随机数生成步骤)

随机数生成部231通过处理装置，如式159所示，生成随机数η₀、关于i＝l，...，L的各整数i生成随机数θ_i以及随机数ζ。

【式159】

${\mathrm{\&eta;}}_0,{\mathrm{\&theta;}}_i,\mathrm{\&zeta;}\stackrel{U}{\&LeftArrow;}{F}_q(i=1,...,L)$

(S606：密码要素生成步骤)

密码要素生成部232通过处理装置，如式160所示，生成加密数据c的要素c₀。

【式160】

$c_0:={({-s}_0,0,\mathrm{\&zeta;},0,{\mathrm{\&eta;}}_0)}_{B_0}$

另外，密码要素生成部232通过处理装置，针对i＝1，...，L的各整数i，如式161所示，生成加密数据c的要素c_i。

【式161】

另外，密码要素生成部232通过处理装置，如式162所示，生成加密数据c的要素c_d+1。

【式162】

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}m$

（S607：数据发送步骤）

数据发送部240将以在（S602）中输入的访问架构S、和在（S606）中生成的c₀，c₁，...，c_L，c_d+1为要素的加密数据c例如通过通信装置经由网络发送给解密装置300。当然，加密数据c也可以通过其他方法发送到解密装置300。

即，在（S601）至（S606）中，公开参数取得部210、信息输入部220、加密数据生成部230执行式163所示的Enc算法，生成加密数据c。然后，在（S607）中，数据发送部240将所生成的加密数据c发送给解密装置300。

【式163】

说明解密装置300的功能和动作。解密装置300具备解密密钥取得部310、数据接收部320（数据取得部）、取值范围程序计算部330、补充系数计算部340、配对运算部350、明文信息计算部360。

根据图15，说明Dec算法的处理。

（S701：解密密钥取得步骤）

解密密钥取得部310例如通过通信装置经由网络，取得从密钥生成装置100分发的解密密钥sk_Γ。另外，解密密钥取得部310取得密钥生成装置100生成的公开参数pk。

（S702：数据接收步骤）

数据接收部320例如通过通信装置经由网络，接收加密装置200发送的加密数据c。

（S703：取值范围程序计算步骤）

取值范围程序计算部330通过处理装置，判定在（S702）中取得的加密数据c中包含的访问架构S是否受理在（S701）中接收到的解密密钥sk_Γ中包含的Γ。访问架构S是否受理Γ的判定方法如“第3.用于实现函数型密码的概念”中说明的那样。

取值范围程序计算部330在访问架构S受理Γ的情况（在S703中受理）下，使处理进入（S704）。另一方面，在访问架构S拒绝Γ的情况（在S703中拒绝）下，设为无法通过解密密钥sk_Γ对加密数据c进行解密而结束处理。

（S704）至（S706）与实施方式1中的图9所示的（S404）和（S406）相同。

即，在（S701）至（S706）中，解密密钥取得部310、数据接收部320、取值范围程序计算部330、补充系数计算部340、配对运算部350执行式164所示的Dec算法，生成消息m’（=m）。

【式164】

实施方式2的密码处理系统10与实施方式1的密码处理系统10同样地，实现能够以非常高的自由度进行访问控制的设计的密码方式。另外，实施方式2的密码处理系统10与实施方式1的密码处理系统10同样地，其安全性高。

另外，也可以与实施方式1同样地，设N_t=n_t+n_t+n_t+n_t为n_t+u_t+w_t+z_t。即，也可以将第1个nt原样地设为n_t，将第2个n_t设为u_t，将第3个n_t设为w_t，将第4个n_t设为z_t。即，也可以将N_t设定为n_t+u_t+w_t+z_t。此处，n_t，u_t，w_t，z_t也可以是分别不同的值，如上所述，n_t是1以上的整数，u_t，w_t，z_t都是0以上的整数。

在该情况下，与实施方式1同样地如式148那样地改写Setup算法。

另外，如式165那样地改写式155所示的KeyGen算法。

【式165】

另外，如式166那样地改写式163所示的Enc算法。

【式166】

另外，在式164所示的Dec算法中无变更。

另外，N₀也可以不是5而是2以上的整数即可。如果N₀是2，则基底B₀和基底B^＊ ₀成为2维。在该情况下，在KeyGen算法中，设为k^＊ ₀：=（δ，1）_B＊0，在Enc算法中，设为c₀：=（-s₀，ζ）_B0即可。

另外，在上述说明中，在KeyGen算法中，设为 但是，也可以使用规定的值κ，设为 在该情况下，成为通过Dec算法计算的K：=g^ζκ _T，所以在Enc算法中，设为c_d+1：=g^ζκ _Tm即可。

另外，在上述说明中，对于v_i，nt的值，没有特别限定。但是，也可以根据安全性的证明的观点，限定为v_i，nt：=1。

另外，根据安全性的证明的观点，关于i=1，...，L的各整数i的ρ（i）也可以限定为关于分别不同的识别信息t的肯定形的组（t，v^→）或者否定形的组

换言之，将函数ρ^～设为在ρ（i）=（t，v^→）或者 的情况下是ρ~（i）=t的{1，...，L}→{1，...d}的映射。在该情况下，也可以限定于ρ~是单映射。另外，ρ（i）是上述访问架构S：=（M，ρ（i））的ρ（i）。

另外，在实施方式1中，说明了使解密密钥sk_S具有访问架构S，使加密数据c具有属性集合Γ的Key-Policy函数型密码。另外，在实施方式2中，说明了使加密数据c具有访问架构S，使解密密钥sk_Γ具有属性集合Γ的Ciphertext-Policy函数型密码。

但是，也可以准备2个访问架构S₁和S₂，使解密密钥具有一方的访问架构S₁，使加密数据c具有另一方的访问架构S₂，并且使解密密钥具有与访问架构S₂对应的属性集合Γ₂，使加密数据c具有与访问架构S₁对应的属性集合Γ₁。另外，也可以设为仅在访问架构S₁受理了属性集合Γ₁、并且访问架构S₂受理了属性集合Γ₂的情况下，能够用解密密钥对加密数据c进行解密。

即，也可以设为组合了Key-Policy函数型密码和Ciphertext-Policy函数型密码的组合的密码方式。

实施方式3.

在该实施方式中，说明应用了在实施方式2中说明的“Ciphertext-Policy函数型密码方式”的签名方式。

在该实施方式中，首先，说明“基于Ciphertext-Policy函数型密码方式的签名方式”的基本结构。接下来，说明实现该“签名方式”的“签名处理系统20”的基本结构。然后，详细说明该实施方式的“签名方式”以及“签名处理系统20”。

<基于Ciphertext-Policy函数型密码方式的签名方式的基本结构>

基于Ciphertext-Policy函数型密码方式的签名方式具备Setup、KeyGen、Sig、Ver这4个算法。

（Setup）

Setup算法是输入保密参数λ、和属性的格式μ^→：=（d；n₁，...，n_d），并输出公开参数pk和主密钥sk的概率性的算法。

（KeyGen）

KeyGen算法是以作为属性的集合的Γ：={（t，x^→ _t）|x^→ _t∈F_q ^nt，1≦t≦d}、公开参数pk以及主密钥sk为输入，并输出签名密钥sk_Γ的概率性的算法。

（Sig）

Sig算法是以消息m、签名密钥sk_Γ、访问架构S：=（M，ρ）、以及公开参数pk为输入，并输出签名数据sig的概率性的算法。

Ver算法是以消息m、访问架构S：=（M，ρ）、签名数据sig、以及公开参数pk为输入，并输出表示签名的验证成功了的值“1”、或者输出表示签名的验证失败了的值“0”的算法。

<签名处理系统20>

说明执行上述签名处理的算法的签名处理系统20。

图16是签名处理系统20的结构图。

签名处理系统20具备密钥生成装置100、签名装置400、验证装置500。

密钥生成装置100以保密参数λ、和属性的格式μ^→：=（d；n₁，...，n_d）为输入而执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100以属性的集合Γ为输入而执行KeyGen算法，生成签名密钥sk_Γ并秘密地分发给签名装置400。

签名装置400以消息m、访问架构S、公开参数pk以及签名密钥sk_Γ为输入而执行Sig算法，来生成签名矢量s^→＊。签名装置400将所生成的签名矢量s^→＊、消息m以及访问架构S发送给验证装置500。

验证装置500以签名矢量s^→＊、消息m、访问架构S以及公开参数pk为输入而执行Ver算法，输出值“1”或者值“0”。

<签名方式以及签名处理系统20的详细内容>

根据图17至图21，说明签名方式以及签名处理系统20的功能和动作。

图17是示出签名处理系统20的功能的功能框图。如上所述，签名处理系统20具备密钥生成装置100、签名装置400、验证装置500。

图18和图19是示出密钥生成装置100的动作的流程图。图18是示出Setup算法的处理的流程图，图19是示出KeyGen算法的处理的流程图。图20是示出签名装置400的动作的流程图，是示出Sig算法的处理的流程图。图21是示出验证装置500的动作的流程图，是示出Ver算法的处理的流程图。

另外，在以下的说明中，设为x_t，1：=1。

说明密钥生成装置100的功能和动作。密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130（第1信息输入部）、签名密钥生成部160、密钥分发部150。另外，签名密钥生成部160具备随机数生成部161、密钥要素生成部162、隐匿要素生成部163。

首先，根据图18，说明Setup算法的处理。

（S801：标准正交基底生成步骤）

主密钥生成部110通过处理装置，计算式167，生成param_μ→，针对针对t=0，...，d+2的各整数t，生成基底B_t以及基底B^＊ _t。

【式167】

（1）

$\mathrm{input}{1}^{\mathrm{\&lambda;}},\stackrel{\&RightArrow;}{\mathrm{\&mu;}}:=(d;n_1...{,n}_d)$

（2）

${\mathrm{param}}_G:=(q,G,G_T,g,e)\stackrel{R}{\&LeftArrow;}{G}_{\mathrm{bpg}}\left(1^{\mathrm{\&lambda;}}\right)$

（3）

$\mathrm{\&psi;}\stackrel{U}{\&LeftArrow;}{F}_q^{\&times;},n_0:=n_{d+1}:=1,n_{d+2}:=2,N_t:={4n}_t\mathrm{for\; t}=0,...,d+2$

针对t=0，...，d+2的各t，执行（4）至（8）的处理。

（4）

${\mathrm{param}}_{V_t}:=(q,V_t,G_T,A_t,e):=G_{\mathrm{dpvs}}(1^{\mathrm{\&lambda;}},N_t,{\mathrm{param}}_G)$

（5）

$X_t:={\left({\mathrm{\&chi;}}_{t,i,j}\right)}_{i,j}\stackrel{U}{\&LeftArrow;}\mathrm{GL}(N_t,F_q)$

（6）

${\left({\mathrm{\&nu;}}_{t,i,j}\right)}_{i,j}:=\mathrm{\&psi;}\&CenterDot;{\left(X_t^T\right)}^{-1}$

（7）

$B_t:=(b_{t,1},...,b_{t,N_t})$

（8）

$B_t^{*}:=(b_{t,1}^{*},...,b_{t,N_t}^{*})$

（9）

g_T:=e(g,g)ψ，

${\mathrm{param}}_{\stackrel{\&RightArrow;}{\mathrm{\&mu;}}}:=\left({\left\{{\mathrm{param}}_{V_t}\right\}}_{t=0,...,d+2,}{g}_T\right)$

对于式167，仅说明与实施方式1中的（S101）所示的式127不同的部分。首先，在式167中，在（3）中对n₀，n_d+1设定1，对n_d+2设定2。然后，针对t=0，...，d+2的各整数t，对N_t设定4n_t。然后，针对t=0，...，d+2的各整数t重复进行（4）至（8）的处理。

即，在（S801）中，主密钥生成部110执行式168所示的算法G_ob，生成param_μ→，针对t=0，...，d+2的各整数t，生成基底B_t以及基底B^＊ _t。

【式168】

（S802：部分基底B^_t生成步骤）

主密钥生成部110通过处理装置，针对t=1，...，d+2的各整数t，如式169所示，生成部分基底B^_t。

【式169】

（S803：部分基底B^^＊ _t生成步骤）

主密钥生成部110通过处理装置，针对t=1，...，d+2的各整数t，如式170所示，生成部分基底B^^＊ _t。

【式170】

${\hat{B}}_t^{*}:=(b_{t,1}^{*},...,b_{t,n_t}^{*},b_{t,{2n}_t+1}^{*},...,b_{t,{3n}_t}^{*})$

（S804：主密钥存储步骤）

主密钥生成部110将关于t=0，...，d+2的各整数t的部分基底B^_t、关于t=1，...，d+2的各整数t的部分基底B^^＊ ₀、基底矢量b^＊ _0，3、在（S101）中输入的保密参数λ（1^λ）、以及在（S101）中生成的param_μ→合起来，设为公开参数pk。

另外，主密钥生成部110将基底矢量b^＊ _0，1作为主密钥sk。

然后，主密钥存储部120将公开参数pk和主密钥sk存储到存储装置。

即，在（S801）至（S803）中，主密钥生成部110执行式171所示的Setup算法，生成公开参数pk和主密钥sk。然后，在（S804）中，主密钥存储部120将所生成的公开参数pk和主密钥sk存储到存储装置。

另外，公开参数例如经由网络而被公开，成为签名装置400、验证装置500可取得的状态。

【式171】

接下来，根据图19，说明KeyGen算法的处理。

（S901：信息输入步骤）

信息输入部130通过输入装置，输入属性的集合Γ：={（t，x^→ _t：=（x_t，1，...，x_t，nt∈F_q ^nt））|1≦t≦d}。另外，对于属性的集合Γ，例如，设定了签名密钥sk_Γ的使用者的属性信息。

（S902：随机数生成步骤）

随机数生成部161通过处理装置，针对t=1，...，d、ι=1，...，n_t的各整数t和ι，如式172所示，生成随机数δ、随机数

【式172】

$\mathrm{\&delta;},{\mathrm{\&phi;}}_0,{\mathrm{\&phi;}}_{t,i},{\mathrm{\&phi;}}_{d+2,i},{\mathrm{\&phi;}}_{d+3,i}\stackrel{U}{\&LeftArrow;}{F}_q$

for t=1,.,d,ι＝1,.,n_t

（S903：密钥要素生成步骤）

密钥要素生成部162通过处理装置，如式173所示，生成签名密钥sk_Γ的要素k^＊ ₀。

【式173】

$k_0^{*}:={(\mathrm{\&delta;},0,{\mathrm{\&phi;}}_0,0)}_{B_0^{*}}$

另外，密钥要素生成部162通过处理装置，针对Γ中包含的（t，x^→ _t）的各整数t，如式174所示，生成签名密钥sk_Γ的要素k^＊ _t。

【式174】

另外，密钥要素生成部162通过处理装置，如式175所示，生成签名密钥sk_Γ的要素k^＊ _d+2和要素k^＊ _d+3。

【式175】

$k_{d+2}^{*}:={(\mathrm{\&delta;}\left(\mathrm{1,0}\right),\mathrm{0,0},{\mathrm{\&phi;}}_{d+\mathrm{2,1}},{\mathrm{\&phi;}}_{d+\mathrm{2,2}},\mathrm{0,0})}_{B_{d+2}^{*}},$

$k_{d+3}^{*}:={(\mathrm{\&delta;}\left(\mathrm{0,1}\right),\mathrm{0,0},{\mathrm{\&phi;}}_{d+\mathrm{3,1}},{\mathrm{\&phi;}}_{d+\mathrm{3,2}},\mathrm{0,0})}_{B_{d+2}^{*}}$

（S904：密钥分发步骤）

密钥分发部150将以在（S901）中输入的属性的集合Γ、和在（S903）中生成的k^＊ ₀，k^＊ _t，k^＊ _d+2，k^＊ _d+3为要素的签名密钥sk_Γ例如通过通信装置经由网络秘密地分发给签名装置400。当然，签名密钥sk_Γ也可以通过其他方法分发给签名装置400。

即，在（S901）至（S903）中，信息输入部130和签名密钥生成部160执行式176所示的KeyGen算法，生成签名密钥sk_Γ。然后，在（S904）中，密钥分发部150将所生成的签名密钥sk_Γ分发给签名装置400。

【式176】

说明签名装置400的功能和动作。签名装置400具备签名密钥取得部410、信息输入部420（第2信息输入部）、补充系数计算部430、矩阵生成部440、签名生成部450、数据发送部460（数据输出部）。另外，签名生成部450具备随机数生成部451、签名要素生成部452。

根据图20，说明Sig算法的处理。

（S1001：签名密钥取得步骤）

签名密钥取得部410例如通过通信装置经由网络，取得从密钥生成装置100分发的签名密钥sk_Γ：=（Γ，k^＊ ₀，k^＊ _t，k^＊ _d+2，k^＊ _d+3）。另外，签名密钥取得部410取得密钥生成装置100生成的公开参数pk。

（S1002：信息输入步骤）

信息输入部420通过输入装置，输入访问架构S：=（M，ρ）。另外，设为此处输入的访问架构S受理在（S1001）中输入的签名密钥sk_Γ中包含的属性的集合Γ。

另外，信息输入部420通过输入装置，输入附加签名的消息m。

（S1003：补充系数计算步骤）

补充系数计算部430通过处理装置，计算成为式177的I、和常数（补充系数）{α_i}_i∈I。

【式177】

另外，M_i是指矩阵M的第i行。

（S1004：行追加步骤）

矩阵生成部440通过处理装置，如式178所示，生成对矩阵M追加的矢量M_L+1及其标签ρ（L+1）。

【式178】

$M_{L+1}:=\stackrel{\&RightArrow;}{1}\&Element;{F_q}^r,$

$\mathrm{\&rho;}(L+1):=\&Not;(d+1,{\stackrel{\&RightArrow;}{v}}_{L+1})$

此处，设为v^→ _L+1：=（1）。

（S1005：随机数生成步骤）

随机数生成部451通过处理装置，如式179所示，生成随机数ξ。

【式179】

$\mathrm{\&xi;}\stackrel{U}{\&LeftArrow;}{F}_q$

（S1006：签名要素生成步骤）

签名要素生成部452通过处理装置，如式180所示，生成作为签名矢量s^→ _＊的要素的s^＊ ₀。

【式180】

$s_0^{*}:=\mathrm{\&xi;}{k}_0^{*}+r_0^{*}$

此处，

$r_0^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{\mathrm{0,3}}^{*}>$

另外，签名要素生成部452通过处理装置，针对i=1，...，L+1的各整数i，如式181所示，生成作为签名矢量s^→＊的要素的s^＊ _i。

【式181】

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&beta;}}_i\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^{n_t}{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*})+r_i^{*}$

此处，如以下那样地定义

$r_i^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{t,2n_t+1}^{*},...,b_{t,{3n}_t}^{*}>$

另外，如以下那样地定义γ_i和

另外，如以下那样的定义β_i。

$\left\{{\mathrm{\&beta;}}_i\right\}\stackrel{U}{\&LeftArrow;}\left\{\right\{{\mathrm{\&beta;}}_i\left\}\right|{\mathrm{\&Sigma;}}_{i=1}^{L+1}{\mathrm{\&beta;}}_i{M}_i=\stackrel{\&RightArrow;}{0}\}$

另外，签名要素生成部452通过处理装置，如式182所示，生成作为签名矢量s^→＊的要素的s^＊ _L+2。

【式182】

$s_{L+2}^{*}:=\mathrm{\&xi;}(k_{d+2}^{*}+m\&CenterDot;k_{d+3}^{*})+r_{L+2}^{*}$

此处，

$r_{L+2}^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{d+\mathrm{2,5}}^{*},b_{d+\mathrm{2,6}}^{*}>$

（S1007：数据发送步骤）

数据发送部460将包括在（S1002）中输入的消息m、访问架构S：=（M，ρ）、以及在（S1006）中生成的s^＊→的签名数据sig例如通过通信装置经由网络发送给验证装置500。当然，签名数据sig也可以通过其他方法发送给验证装置500。

即，在（S1001）至（S1006）中，签名密钥取得部410、信息输入部420、补充系数计算部430、矩阵生成部440、签名生成部450执行式183所示的Sig算法，生成签名数据sig。然后，在（S1007）中，数据发送部460将所生成的签名数据发送给验证装置500。

【式183】

说明验证装置500的功能和动作。验证装置500具备公开参数取得部510、数据接收部520（数据取得部）、加密数据生成部530、配对运算部540。加密数据生成部530具备随机数生成部531、密码要素生成部532、f矢量生成部533、s矢量生成部534。

根据图21，说明Ver算法的处理。

（S1101：公开参数取得步骤）

公开参数取得部510例如通过通信装置经由网络，取得密钥生成装置100生成的公开参数pk。

（S1102：数据接收步骤）

数据接收部520例如通过通信装置经由网络，接收签名装置400发送的签名数据sig。

（S1103：f矢量生成步骤）

f矢量生成部533通过处理装置，如式184所示，随机地生成具有r个要素的矢量f^→。

【式184】

$\stackrel{\&RightArrow;}{f}\stackrel{R}{\&LeftArrow;}{F_q}^r$

（S1104：s矢量生成步骤）

s矢量生成部534通过处理装置，根据在（S1102）中接收到的访问架构S中包含的（L行×r列）的矩阵M、和在（S1103）中生成的矢量f^→，如式185所示，生成矢量s^→T：=（s₁，...，s_L）^T。

【式185】

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部534通过处理装置，根据在（S1103）中生成的矢量f^→，如式186所示，生成值s₀和值s_L+1。

【式186】

$s_0:{=s}_{L+1}:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

（S1105：随机数生成步骤）

随机数生成部531通过处理装置，针对i=1，...，L+2的各整数i，如式187所示，生成随机数η₀，η_L+2、1，η_L+2、2，θ_i，sL+2。

【式187】

${\mathrm{\&eta;}}_0,{\mathrm{\&eta;}}_{L+\mathrm{2,1}},{\mathrm{\&eta;}}_{L+\mathrm{2,2}},{\mathrm{\&theta;}}_i,s_{L+2}\stackrel{U}{\&LeftArrow;}{F}_q$

（S1106：密码要素生成步骤）

密码要素生成部532通过处理装置，如式188所示，生成加密数据c的要素c₀。

【式188】

c₀:=(-s₀-s_L+2,0,0，η₀)B₀

另外，密码要素生成部532通过处理装置，针对i=1，...，L+1的各整数i，如式189所示，生成加密数据c的要素c_i。

【式189】

另外，密码要素生成部532通过处理装置，如式190所示，生成加密数据c的要素c_L+2。

【式190】

c_L+2:=(s_L+2-θ_L+2m,θ_L+2,0,0,0,0，η_L+2,1，η_L+2,2)B_d+2

（S1107：配对运算步骤）

配对运算部540通过处理装置，计算式191。

【式191】

$\underset{i=0}{\overset{L+2}{\mathrm{\&Sigma;}}}e(c_i,s_i^{*})$

另外，此处，设为 $\mathrm{\&rho;}(L+1):=(d+1,{v^{\&RightArrow;}}_{L+1}:=\left(1\right))_{\&Not;}.$

在配对运算部540中，如果计算式191而得到的结果是值“1”则输出值“1”，如果是其他值则输出值“0”。此处，如果计算式191而得到的结果是值“1”则表示签名能够验证，如果是其他值，则表示签名无法验证。

另外，如式192所示，如果签名数据sig是正确的数据，则通过计算式191而得到值“1”。

【式192】

$\underset{i=0}{\overset{L+2}{\mathrm{\&Pi;}}}e(c_i,s_i^{*})=e(c_0,s_0^{*})\&CenterDot;\underset{i\&Element;I}{\mathrm{\&Pi;}}e{(c_i,k_i^{*})}^{{\mathrm{\&xi;\&gamma;}}_i}\&CenterDot;\underset{i=1}{\overset{L+1}{\mathrm{\&Pi;}}}e{(c_i,\underset{\mathrm{\&iota;}=1}{\overset{n_t}{\mathrm{\&Pi;}}}{\left(b_{t,\mathrm{\&iota;}}^{*}\right)}^{y_{i,\mathrm{\&iota;}}})}^{{\mathrm{\&beta;}}_i}\&CenterDot;e(c_{L+2},s_{L+2}^{*})$

$=g_T^{\mathrm{\&xi;\&delta;}({-s}_0-s_{L+2})}\&CenterDot;\underset{i\&Element;I}{\mathrm{\&Pi;}}{g}_T^{\mathrm{\&xi;\&delta;}{\mathrm{\&alpha;}}_i{s}_i}\&CenterDot;\underset{i=1}{\overset{L+1}{\mathrm{\&Pi;}}}{g}_T^{{\mathrm{\&beta;}}_i{s}_i}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_{L+2}}$

$=g_T^{\mathrm{\&xi;\&delta;}({-s}_0-s_{L+2})}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_0}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_{L+2}}=1$

即，在（S1101）至（S1107）中，公开参数取得部510、数据接收部520、加密数据生成部530、配对运算部540执行式193所示的Ver算法，验证签名数据sig。

【式193】

如上所述，签名处理系统20利用使用取值范围程序、内积谓词、以及秘密分散而构成的访问架构S，实现签名方式。

另外，在Sig算法中，使用随机数ξ、随机数r来生成签名矢量s^→＊的要素的原因是为了使作为签名矢量s^→＊的要素的生成源的信息的签名密钥sk_Γ的要素k的变量δ、变量随机化。通过使签名密钥sk_Γ的要素k的变量δ、变量随机化，能够防止从作为签名数据的要素的s^→＊读取这些变量。即，能够防止读取签名数据是根据哪个签名密钥sk_Γ生成的。即，能够提高链路能力。

另外，在上述说明中，将（S801）的N_t设定为4n_t（=n_t+n_t+n_t+n_t）。

但是，也可以使n_t+n_t+n_t+n_t成为n_t+u_t+w_t+z_t。即，也可以将第1个n_t原样地设为n_t，将第2个n_t设为u_t，将第3个n_t设为w_t，将第4个n_t设为z_t。即，也可以将N_t设定为n_t+u_t+w_t+z_t。此处，n_t，u_t，w_t，z_t也可以是分别不同的值，如上所述，n_t是1以上的整数，u_t，w_t，z_t都是0以上的整数。

在该情况下，如式194那样的改写式171所示的Setup算法。即，基底B^_t和基底B^^＊ _t的基底矢量的下标被变更。

【式194】

另外，如式195那样的改写式176所示的KeyGen算法。

【式195】

另外，如式196那样地改写式183所示的Sig算法。

【式196】

另外，如式197那样地改写式193所示的Ver算法。

【式197】

另外，N₀、N_d+1也可以不是4而是1以上的整数即可。如果N₀是1，则基底B₀和基底B^＊ ₀成为1维。在该情况下，在KeyGen算法中，设为k^＊ _0，j：=（δ）_B＊0，在Ver算法中，设为c₀：=（-s₀-s_L+2）_B0即可。

另外，N_d+2也可以不是8而是2以上的整数即可。如果N_d+2是2，则基底B_d+2和基底B^＊ _d+2成为2维。在该情况下，在KeyGen算法中，设为k^＊ _d+2：=（δ_j（1，0））_B＊d+2、k^＊ _d+3：=（δ_j（0，1））_B＊d+2，在Ver算法中，设为c₀：=（s_L+2-θ_L+2m，θ_L+2）_Bd+2即可。

另外，在上述说明中，对于v_i，nt的值，没有特别限定。但是，也可以根据安全性的证明的观点，限定为v_i，nt：=1。

另外，也可以根据安全性的证明的观点，将关于i=1，...，L的各整数i的ρ（i）分别设为关于不同的识别信息t的肯定形的组（t，v^→）或者否定形的组

换言之，将函数ρ^～设为在ρ（i）=（t，v^→）或者 的情况下是ρ~（i）=t的{1，...，L}→{1，...d}的映射。在该情况下，ρ~也可以是单映射。另外，ρ（i）是上述访问架构S：=（M，ρ（i））的ρ（i）。

另外，在上述说明中，在Sig算法中，在行追加步骤（S1004）中，对矩阵M，作为第L+1行而追加了矢量M_L+1的1行。但是，对于对矩阵M追加的行，只要是1行以上，则也可以是任意行。另外，设为追加了的M_L+1：=1^→。但是，所追加的行不限于1^→而也可以是其他矢量。

另外，在上述说明中，设为追加了的第L+1行的标签 但是，所追加的行的标签的设定不限于此，只要使处理成立即可。

即，在Ver算法的配对运算步骤（S1107）中进行了配对运算的情况下，以使所追加的行的信息为0的方式来设定所追加的行、所追加的行的标签即可。

另外，在所追加的行是2行以上的情况下，有时需要根据所追加的行数来变更Sig算法、Ver算法中的处理的重复次数。

另外，也可以为了提高签名处理的安全性，也可以如式198那样地变更式171所示的Setup算法，如式199那样地变更式183所示的Sig算法。

【式198】

【式199】

即，在Setup算法中生成设定了随机数值的隐匿矢量p^＊ _t，ι，在Sig算法中使用该隐匿矢量p^＊ _t，ι来生成签名矢量s^→＊的要素s^＊ _i的点被变更了。另外，在Setup算法中，不是将基底B^^＊ _t包含于公开参数pk而是包含于主密钥sk而设为秘密的点被变更了。由此，签名处理的安全性变高。

另外，即使在这样变更了Setup算法和Sig算法的情况下，如式200所示，只要签名数据sig是正确的数据，则在算法中，通过计算配对运算就能得到值“1”。

【式200】

$\underset{i=0}{\overset{L+2}{\mathrm{\&Pi;}}}e(c_i,s_i^{*})=e(c_0,s_0^{*})\&CenterDot;\underset{i\&Element;I}{\mathrm{\&Pi;}}e{(c_i,k_i^{*})}^{{\mathrm{\&xi;\&gamma;}}_i}\&CenterDot;\underset{i=1}{\overset{L+1}{\mathrm{\&Pi;}}}e{(c_i,\underset{\mathrm{\&iota;}=1}{\overset{n_t}{\mathrm{\&Pi;}}}{\left(b_{t,\mathrm{\&iota;}}^{*}\right)}^{y_{i,\mathrm{\&iota;}}})}^{{\mathrm{\&beta;}}_i}\&CenterDot;e(c_{L+2},s_{L+2}^{*})$

$=g_T^{\mathrm{\&xi;\&delta;}({-s}_0-s_{L+2})}\&CenterDot;\underset{i\&Element;I}{\mathrm{\&Pi;}}{g}_T^{\mathrm{\&xi;\&delta;}{\mathrm{\&alpha;}}_i{s}_i}\&CenterDot;\underset{i=1}{\overset{L+1}{\mathrm{\&Pi;}}}{g}_T^{{\mathrm{\&beta;}}_i{s}_i}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_{L+2}}$

$=g_T^{\mathrm{\&xi;\&delta;}({-s}_0-s_{L+2})}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_0}\&CenterDot;g_T^{{\mathrm{\&xi;\&delta;s}}_{L+2}}=1$

另外，在Ver算法中，在密码要素生成步骤（S1106）中，也可以不生成c₀而设为c_L+2：=（s₀-θ_L+2m，θ_L+2，0，0，0，0，η_L+2，1，η_{L+2， 2}）。另外，也可以在配对运算步骤（S1107）中计算Π_i=1 ^L+2e（c_i，s^＊ _i）。

即，在上述说明中，在用随机数s_L+2来结合c₀和c_L+2并进行了配对运算的情况下，在c₀与c_L+2之间，s_L+2被消除了。但是，也可以预先不使用s_L+2，而简化处理。

在该情况下，无需在KeyGen算法中生成k^＊ ₀。同样地，无需在Sig算法中生成s^＊ ₀。

实施方式4.

在实施方式1中，说明了也可以根据安全性的证明的观点而将关于i=1，...，L的各整数i的ρ（i）设为关于分别不同的识别信息t的肯定形的组（t，v^→）或者否定形的组即，说明了ρ~也可以是单映射。但是，ρ~也可以并非单映射。

在该情况下，也可以根据安全性的证明的观点，如以下那样地变更在实施方式1中说明过的Key-Policy函数型密码的Setup算法、KeyGen算法、Enc算法。此处，仅说明关于实施方式1中说明的Key-Policy函数型密码的各算法的变更部分。

在该实施方式中，将设为式201所示的值。

【式201】

对于Setup算法，在输入了（1^λ，μ^→：=（d；n₁，...，n_d））的情况下，执行Setup（1^λ，μ’^→：=（d；n₁’，...，n_d’））。此处，对于t=1，...，d的各整数t，

对于KeyGen算法，设k^＊ _i的生成方法如式202所示。

【式202】

对于Enc算法，设c_t的生成方法如式203所示。

【式203】

此处，仅针对实施方式1中说明的Key-Policy函数型密码，说明了ρ~并非单映射时的处理的变更方法。但是，也可以根据同样的考虑方法，变更在其他实施方式中说明的密码处理、签名处理。

实施方式5.

在以上的实施方式中，说明了在双重矢量空间中实现密码处理以及签名处理的方法。在该实施方式中，说明在对偶模（dual module）中实现密码处理以及签名处理的方法。

即，在以上的实施方式中，在素数阶数q的循环群中实现了密码处理。但是，在使用复合数M如式204那样表示了环R的情况下，即使在以环R为系数的模块（module）中，也能够应用在上述实施方式中说明的密码处理。

【式204】

R:=Z/MZ

此处，

Z：整数

M：复合数

例如，如果在以环R为系数的模块中实现在实施方式1中说明的Key-Policy函数型密码，则如式205至式208所示。

【式205】

此处，

【式206】

【式207】

【式208】

此处，示出了在以环R为系数的模块中仅实现在实施方式1中说明的Key-Policy函数型密码的方法。但是，作为原则，通过将在以上的实施方式中说明为体F_q的处理置换为环R，对于在以上的实施方式中说明的其他密码处理、签名处理，也能够在以环R为系数的模块中实现。

另外，对于以上的实施方式中的Setup算法，在密码处理系统10或者签名处理系统20的安装（set up）时执行一次即可，而无需每次生成解密密钥都执行。另外，在上述说明中，设为由密钥生成装置100执行Setup算法和KeyGen算法，但也可以由分别不同的装置执行Setup算法和KeyGen算法。

另外，在以上的实施方式中，对于取值范围程序M^，设为仅限于对通过输入列δ从矩阵M^得到的矩阵M_δ的行进行线性结合而得到1^→的情况，受理输入列δ。但是，对于取值范围程序M^，也可以设为仅限于得到其他矢量v^→而非1^→的情况下，受理输入列δ。

在该情况下，在KeyGen算法中设为s₀：=v^→·f^→T而非s₀：=1^→·f^→T即可。同样地，在Sig算法中计算α_i时，计算成为Σ_i∈Iα_iM_i=v_→的α_i即可。

另外，在上述说明中的密码处理中，还能够进行权限的转让。权限的转让是指，具有解密密钥的人生成权限比该解密密钥弱的下位的解密密钥。此处，权限弱是指可解密的加密数据受限定的意思。

例如，在第1层次（最上位）中，使用t=1的基底B_t和基底B^＊ _t，在第2层次中，使用t=1，2的基底B_t和基底B^＊ _t，…，在第k层次中，使用t＝1，...，k的基底B_t和基底B^＊ _t。伴随所使用的基底B_t和基底B^＊ _t的增加，相应地设定更多的属性信息。因此，进一步限定了解密密钥的权限。

接下来，说明实施方式中的密码处理系统10（密钥生成装置100、加密装置200、解密装置300）、和签名处理系统20（密钥生成装置100、签名装置400、验证装置500）的硬件结构。

图22是示出密钥生成装置100、加密装置200、解密装置300、签名装置400、验证装置500的硬件结构的一个例子的图。

如图22所示，密钥生成装置100、加密装置200、解密装置300、签名装置400、验证装置500具备执行程序的CPU911（Central·Processing·Unit、还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理器）。CPU911经由总线912而与ROM913、RAM914、LCD901（Liquid Crystal Display，液晶显示器）、键盘902（K/B）、通信板915、磁盘装置920连接，并控制这些硬件设备。也可以代替磁盘装置920（固定盘装置），而设为光盘装置、存储卡读写装置等存储装置。磁盘装置920经由规定的固定盘接口进行连接。

ROM913、磁盘装置920是非易失性存储器的一个例子。RAM914是易失性存储器的一个例子。ROM913、RAM914以及磁盘装置920是存储装置（存储器）的一个例子。另外，键盘902、通信板915是输入装置的一个例子。另外，通信板915是通信装置（网络接口）的一个例子。进而，LCD901是显示装置的一个例子。

在磁盘装置920或者ROM913等中存储有操作系统921（OS）、视窗系统922、程序组923、文件组924。由CPU911、操作系统921、视窗系统922执行程序组923的程序。

在程序组923中，存储有执行在上述的说明中说明为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“解密密钥生成部140”、“密钥分发部150”、“公开参数取得部210”、“信息输入部220”、“加密数据生成部230”、“数据发送部240”、“解密密钥取得部310”、“数据接收部320”、“取值范围程序计算部330”、“补充系数计算部340”、“配对运算部350”、“明文信息计算部360”、“签名密钥取得部410”、“信息输入部420”、“补充系数计算部430”、“签名生成部450”、“数据发送部460”、“公开参数取得部510”、“数据接收部520”、“加密数据生成部530”、“配对运算部540”等的功能的软件、程序以及其他程序。程序由CPU911读出并执行。

在文件组924中，作为“文件”、“数据库”的各项目而存储在上述的说明中说明为“公开参数pk”、“主密钥sk”、“加密数据c”、“解密密钥sk_S”、“解密密钥sk_Γ”、“访问架构S”、“属性的集合Γ”、“消息m”、“签名数据sig”等的信息、数据、信号值、变量值、参数。“文件”、“数据库”存储于盘、存储器等记录介质。由CPU911经由读写电路将盘、存储器等存储介质中存储的信息、数据、信号值、变量值、参数读出到主存储器、闪存存储器，用于提取、检索、参照、比较、运算、计算、处理、输出、印刷、显示等CPU911的动作。在提取、检索、参照、比较、运算、计算、处理、输出、印刷、显示的CPU911的动作的期间，将信息、数据、信号值、变量值、参数临时存储到主存储器、闪存存储器、缓冲存储器。

另外，上述说明的流程图的箭头的部分主要表示数据、信号的输入输出，将数据、信号值记录到RAM914的存储器、其他光盘等记录介质、IC芯片。另外，通过总线912、信号线、电缆以及其他传送介质、电波，在线传送数据、信号。

另外，在上述说明中说明为“~部”的部分可以是“~电路”、“~装置”、“~仪器”、“~单元”、“~功能”，也可以是“~步骤”、“~阶段”、“~处理”。另外，说明为“~装置”的部分既可以是“~电路”、“～仪器”、“~单元”、“~功能”，并且也可以是“~步骤”、“~阶段”、“~处理”。进而，说明为“~处理”的部分也可以是“~步骤”。即，说明为“~部”的部分也可以通过ROM913中存储的固件实现。或者，也可以仅通过软件、或者仅通过元件·器件·基板·布线等硬件、或者通过软件和硬件的组合、进而通过与固件的组合来实施。将固件和软件作为程序存储到ROM913等记录介质。程序由CPU911读出并由CPU911执行。即，程序用于使计算机等作为在上述中叙述的“~部”发挥功能。或者，使计算机等执行在上述中叙述的“~部”的步骤、方法。

Claims (15)

1.一种密码处理系统，其特征在于，具备密钥生成装置、加密装置以及解密装置，使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理，

所述密钥生成装置具备：

第1信息输入部，输入变量ρ(i)以及L行r列(r是1以上的整数)的规定的矩阵M，上述变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；以及

解密密钥生成部，根据依据具有r个要素的矢量f^→以及w^→和所述第1信息输入部输入的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T、以及规定的值θ_i(i＝1，...，L)，生成要素k^* ₀和关于i＝1，...，L的各整数i的要素k^* _i，即

作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是规定的值)的系数而设定值-s₀，作为基底矢量b^＊ _0，q(q是与所述p不同的规定的值)的系数而设定规定的值κ，从而生成要素k^＊ ₀，

针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B^＊ _t的基底矢量b^＊ _t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定θ_iv_i，i’，从而生成要素k^* _i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定s_iv_{i， i’}，从而生成要素k^＊ _i，

所述加密装置具备：

第2信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；以及

加密数据生成部，根据所述第2信息输入部输入的属性集合Γ，生成要素c₀、和关于所述属性集合Γ中包含的各识别信息t的要素c_t，即

生成作为基底B₀的基底矢量b_0，p(p是所述p)的系数设定了随机数值δ，并且作为基底矢量b_0，q(q是所述q)的系数设定了规定的值ζ的要素c₀，

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B_t的基底矢量b_t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素c_t，

所述解密装置具备：

数据取得部，取得包括所述加密数据生成部生成的要素c₀以及要素c_t、和所述属性集合Γ的加密数据c；

解密密钥取得部，取得包括所述解密密钥生成部生成的要素k^＊ ₀以及要素k^＊ _i、和所述变量ρ(i)的解密密钥sk_S；

补充系数计算部，根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥sk_S中包含的变量ρ(i)，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i计算在合计了α_is_i的情况下成为s₀的补充系数α_i；以及

配对运算部，针对所述加密数据c中包含的要素c₀、要素c_t、和所述解密密钥sk_S中包含的要素k^＊ ₀、要素k^＊ _i，根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数α_i，计算式(1)所示的配对运算，计算值K＝g_T ^ζκ，

【式1】

2.根据权利要求1所述的密码处理系统，其特征在于，

所述密码处理系统使用至少具有基底矢量b_0，i(i＝1，...，5)的基底B₀、至少具有基底矢量b_t，i(i＝1，...，n_t，...，n_t+u_t，...，n_t+u_t+w_t，...，n_t+u_t+w_t+z_t)(u_t，w_t，z_t是1以上的整数)的基底B_t(t＝1，...，d)、至少具有基底矢量b^＊ _0，i(i＝1，...，5)的基底B^＊ ₀、以及至少具有基底矢量b^＊ _t，i(i＝1，...，n_t，...，n_t+u_t，...，n_t+u_t+w_t，...，n_t+u_t+w_t+z_t)的基底B^＊ _t(t＝1，...，d)，执行密码处理，

所述密钥生成装置的所述解密密钥生成部根据随机数值η₀和规定的值κ生成式(2)所示的要素k^＊ ₀，并且在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，根据随机数值θ_i，η_i，i’(i＝1，...，L，i’＝1，...，w_t)，生成式(3)所示的要素k^＊ _i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，根据随机数值η_i，i’(i＝1，...，L，i’＝1，...，w_t)，生成式(4)所示的要素k^＊ _i，

所述加密装置的所述加密数据生成部根据随机数值δ，和规定的值ζ生成式(5)所示的要素c₀，并且根据所述随机数值δ，(i＝1，...，z_t)，生成式(6)所示的要素c_t，

【式2】

【式3】

【式4】

【式5】

【式6】

3.一种密钥生成装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，生成解密密钥sk_S，该密钥生成装置具备：

第1信息输入部，输入变量ρ(i)以及L行r列(r是1以上的整数)的规定的矩阵M，该变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；

解密密钥生成部，根据依据具有r个要素的矢量f^→以及w^→、和所述第1信息输入部输入的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T、以及规定的值θ_i(i＝1，...，L)，生成要素k^＊ ₀、和关于i＝1，...，L的各整数i的要素k^＊ _i，即

作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是规定的值)的系数而设定值-s₀，作为基底矢量b^＊ _0，q(q是与所述p不同的规定的值)的系数而设定规定的值κ，从而生成要素k^＊ ₀，

针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B^＊ _t的基底矢量b^＊ _t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定θ_iv_i，i’，从而生成要素k^＊ _i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数而设定s_iv_{i， i’}，从而生成要素k^＊ _i；以及

密钥分发部，将包括所述第1信息输入部输入的变量ρ(i)、和所述解密密钥生成部生成的要素k^＊ ₀以及要素k^＊ _i的数据作为解密密钥sk_S分发。

4.一种加密装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，生成加密数据c，该加密装置具备：

第2信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；

加密数据生成部，根据所述第2信息输入部输入的属性集合Γ，生成要素c₀、和关于所述属性集合Γ中包含的各识别信息t的要素c_t，即

生成作为基底B₀的基底矢量b_0，p(p是规定的值)的系数设定了随机数值δ，且作为基底矢量b_0，q(q是与所述p不同的规定的值)的系数设定了规定的值ζ的要素c₀，

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B_t的基底矢量b_t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素c_t；以及

数据输出部，将所述第2信息输入部输入的属性集合Γ、和所述加密数据生成部生成的要素c₀以及要素c_t作为加密数据c输出。

5.一种解密装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，用解密密钥sk_S对加密数据c进行解密，该解密装置具备：

数据取得部，作为加密数据c，与属性集合Γ一起取得针对t＝1，...，d的至少1个以上的整数t而根据具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的所述属性集合Γ生成的要素c₀、和要素c_t(所述属性集合Γ中包含的各整数)、即

作为基底B₀的基底矢量b_0，p(p是规定的值)的系数设定了随机数值δ、且作为基底矢量b_0，q(q是与所述p不同的规定的值)的系数设定了规定的值ζ的要素c₀、和

针对所述属性集合Γ中包含的各识别信息t，作为基底B_t的基底矢量b_t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素c_t；

解密密钥取得部，作为解密密钥sk_S，与变量ρ(i)一起取得根据依据具有r个(r是1以上的整数)要素的矢量f^→以及w^→和L行r列的规定的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T及值s₀：＝w^→·f^→T、规定的值θ_i(i＝1，...，L)、以及是关于i＝1，...，L(L是1以上的整数)的各整数i的所述变量ρ(i)且是识别信息t(t＝1，...，d中的某一个整数)以及属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个的变量ρ(i)生成的要素k^＊ ₀、和要素k^＊ _i(i＝1，...，L的各整数)、即

作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是所述p)的系数设定了值-s₀、作为基底矢量b^＊ _0，q(q是所述q)的系数设定了规定的值κ的要素k^＊ ₀，

是针对i＝1，...，L的各整数i而在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B^＊ _t的基底矢量b^＊ _{t， 1}的系数设定了s_i+θ_iv_i，1、且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数设定了θ_iv_i，i’的要素k^＊ _i，且是在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b^＊ _t，i’的系数设定了s_iv_i，i’的要素k^＊ _i；

补充系数计算部，根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥sk_S中包含的变量ρ(i)，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i计算在合计了α_is_i的情况下成为s₀的补充系数α_i；以及

配对运算部，针对所述加密数据c中包含的要素c₀以及要素c_t、和所述解密密钥sk_S中包含的要素k^＊ ₀以及要素k^＊ _i，根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数α_i，进行式(7)所示的配对运算而计算值K＝g_T ^ζκ，

【式7】

6.一种密码处理系统，其特征在于，具备密钥生成装置、加密装置以及解密装置，使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理，

所述密钥生成装置具备：

第1信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；以及

解密密钥生成部，根据所述第1信息输入部输入的属性集合Γ，生成要素k^＊ ₀、和关于所述属性集合Γ中包含的各识别信息t的要素k^＊ _t，即

生成作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是规定的值)的系数设定了随机数值δ，且作为基底矢量b^＊ _0，q(q是与所述p不同的规定的值)的系数设定了规定的值κ的要素k^＊ ₀，

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素k^＊ _t，

所述加密装置具备：

第2信息输入部，输入变量ρ(i)、以及L行r列(r是1以上的整数)的规定的矩阵M，该变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；以及

加密数据生成部，根据依据具有r个要素的矢量f^→以及w^→、和所述第2信息输入部输入的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T、以及规定的值θ_i(i＝1，...，L)，生成要素c₀和关于i＝1，...，L的各整数i的要素c_i，即

作为基底B₀的基底矢量b_0，p(p是所述p)的系数，设定值-s₀，作为基底矢量b_0，q(q是所述q)的系数设定规定的值ζ，从而生成要素c₀，

针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B_t的基底矢量b_t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定θ_iv_i，i’，从而生成要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定s_iv_i，i’，从而生成要素c_i，

所述解密装置具备：

数据取得部，取得包括所述加密数据生成部生成的要素c₀以及要素c_t、和所述变量ρ(i)的加密数据c；

解密密钥取得部，取得包括所述解密密钥生成部生成的要素k^＊ ₀以及要素k^＊ _i、和所述属性集合Γ的解密密钥sk_Γ；

补充系数计算部，根据关于所述数据取得部取得的加密数据c中包含的i＝1，...，L的各整数i的变量ρ(i)、和所述解密密钥取得部取得的解密密钥sk_Γ中包含的属性集合Γ，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i计算在合计了α_is_i的情况下成为s₀的补充系数α_i；以及

配对运算部，针对所述加密数据c中包含的要素c₀以及要素c_t、和所述解密密钥sk_Γ中包含的要素k^＊ ₀以及要素k^＊ _i，根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数α_i，进行式(8)所示的配对运算而计算值K＝g_T ^ζκ，

【式8】

7.根据权利要求6所述的密码处理系统，其特征在于，

所述密码处理系统使用至少具有基底矢量b_0，i(i＝1，...，5)的基底B₀、至少具有基底矢量b_t，i(i＝1，...，n_t，...，n_t+u，...，n_t+u_t+w_t，...，n_t+u_t+w_t+z_t)(u_t，w_t，z_t是1以上的整数)的基底B_t(t＝1，...，d)、至少具有基底矢量b^＊ _0，i(i＝1，...，5)的基底B^＊ ₀、以及至少具有基底矢量b^＊ _t，i(i＝1，...，n_t，...，n_t+u_t，...，B_t+u_t+w_t，...，n_t+u_t+w_t+z_t)的基底B^＊ _t(t＝1，...，d)来执行密码处理，

所述密钥生成装置的所述解密密钥生成部根据随机数值δ、和规定的值κ生成式(9)所示的要素k^＊ ₀，并且根据所述随机数值δ、 (i＝1，...，w_t)生成式(10)所示的要素k^＊ _t，

所述加密装置的所述加密数据生成部根据随机数值η₀和规定的值ζ生成式(11)所示的要素c₀，并且在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，根据随机数值θ_i、η_i，i’(i＝1，...，L，i’＝1，...，z_t)，生成式(12)所示的要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，根据随机数值η_i，i’(i＝1，...，L，i’＝1，...，z_t)，生成式(13)所示的要素c_i，

【式9】

【式10】

【式11】

【式12】

【式13】

8.一种密钥生成装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，生成解密密钥sk_Γ，具备：

第1信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；

解密密钥生成部，根据所述第1信息输入部输入的属性集合Γ，生成要素k^＊ ₀、和关于所述属性集合Γ中包含的各识别信息t的要素k^＊ _t，即

生成作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是规定的值)的系数设定了随机数值δ，并且作为基底矢量b^＊ _0，q(q是与所述p不同的规定的值)的系数设定了规定的值κ的要素k^＊ ₀，

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素k^＊ _t；以及

密钥分发部，将包括所述第1信息输入部输入的属性集合Γ、和所述解密密钥生成部生成的要素k^＊ ₀以及要素k^＊ _i的数据作为解密密钥sk_Γ分发。

9.一种加密装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，生成加密数据c，该加密装置具备：

第2信息输入部，输入变量ρ(i)以及L行r列(r是1以上的整数)的规定的矩阵M，该变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；

加密数据生成部，根据依据具有r个要素的矢量f^→以及w^→、和所述第2信息输入部输入的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T、以及规定的值θ_i(i＝1，...，L)，生成要素c₀和关于i＝1，...，L的各整数i的要素c_i，即

作为基底B₀的基底矢量b_0，p(p是所述p)的系数而设定值-s₀，作为基底矢量b_0，q(q是所述q)的系数而设定规定的值ζ，从而生成要素c₀，

针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B_t的基底矢量b_t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定θ_iv_i，i’，从而生成要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定s_iv_i，i’，从而生成要素c_i；以及

数据输出部，将所述第2信息输入部输入的变量ρ(i)、和所述加密数据生成部生成的要素c₀以及要素c_t作为加密数据c输出。

10.一种解密装置，其特征在于，在使用关于t＝0，...，d(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行密码处理的密码处理系统中，用解密密钥sk_Γ对加密数据c进行解密，该解密装置具备：

数据取得部，作为加密数据c，与变量ρ(i)一起取得根据依据具有r个(r是1以上的整数)要素的矢量f^→以及w^→和L行r列的规定的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T及值s₀：＝w^→·f^→T、规定的值θ_i(i＝1，...，L)、以及是关于i＝1，...，L(L是1以上的整数)的各整数i的所述变量ρ(i)且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个的变量ρ(i)生成的要素c₀和要素c_i(i＝1，...，L的各整数)，即

作为基底B₀的基底矢量b_0，p(p是规定的值)的系数设定了值-s₀、作为基底矢量b_0，q(q是与所述p不同的规定的值)的系数设定了规定的值ζ的要素c₀，

针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下作为该组的识别信息t表示的基底B_t的基底矢量b_t，1的系数设定了s_i+θ_iv_i，1、并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b_t，i’的系数设定了θ_iv_i，i’的要素c_i、在变量ρ(i)是否定形的组(t，v^→ _i)的情况下作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b_t，i’的系数设定了s_iv_i，i’的要素c_i；

解密密钥取得部，作为解密密钥sk_Γ，与属性集合Γ一起取得针对t＝1，...，d的至少1个以上的整数t而根据具有识别信息t和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的所述属性集合Γ生成的要素k^＊ ₀和要素k^＊ _t(t是所述属性集合Γ中包含的各整数)，即

作为基底B^＊ ₀的基底矢量b^＊ _0，p(p是所述p)的系数设定了随机数值δ、并且作为基底矢量b^＊ _0，q(q是所述q)的系数设定了规定的值κ的要素k^＊ ₀，

针对所述属性集合Γ中包含的各识别信息t，作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数设定了所述随机数值δ倍了的x_t，i’的要素k^＊ _t；

补充系数计算部，根据所述数据取得部取得的加密数据c中包含的变量ρ(i)、和所述解密密钥取得部取得的解密密钥sk_S中包含的属性集合Γ，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i计算在合计了α_is_i的情况下成为s₀的补充系数α_i；以及

配对运算部，针对所述加密数据c中包含的要素c₀以及要素c_t、和所述解密密钥sk_S中包含的要素k^＊ ₀以及要素k^＊ _i，根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数α_i，进行式(14)所示的配对运算而计算值K＝g_T ^ζκ，

【式14】

11.一种签名处理系统，其特征在于，具备密钥生成装置、签名装置以及验证装置，使用关于t＝1，...，d，d+2(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行签名处理，

所述密钥生成装置具备：

第1信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；以及

签名密钥生成部，根据所述第1信息输入部输入的属性集合Γ，生成关于所述属性集合Γ中包含的各识别信息t的要素k^＊ _t、要素k^＊ _d+2以及要素k^＊ _d+3，即

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数设定了随机数值δ倍了的x_t，i’的要素k^＊ _t，

生成作为基底B^＊ _d+2的基底矢量b^＊ _d+2，p’(p’是规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+2，

生成作为基底B^＊ _d+2的基底矢量b^＊ _d+2，q’(q’是与所述p’不同的规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+3，

所述签名装置具备：

第2信息输入部，输入变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M、以及消息m，该变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；

签名密钥取得部，作为签名密钥sk_Γ而取得所述签名密钥生成部生成的要素k^＊ _t、要素k^＊ _d+2、要素k^＊ _d+3、以及所述属性集合Γ；

补充系数计算部，根据关于i＝1，...，L的各整数i的变量ρ(i)、和所述签名密钥取得部取得的签名密钥sk_Γ中包含的属性集合Γ，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i，根据所述第2信息输入部输入的矩阵M的第i行的要素即M_i，计算在合计了α_iM_i的情况下成为规定的矢量w^→的补充系数α_i；

签名生成部，根据所述变量ρ(i)、所述属性集合Γ、所述补充系数计算部确定的集合I以及所述补充系数计算部计算出的补充系数α_i，生成关于i＝1，...，L的各整数i的s^＊ _i、和s^＊ _X，即

将β_i设为在针对表示矩阵M的各行编号的各整数i而合计了β_iM_i的情况下所有要素成为0的值，

针对表示矩阵M的各行编号的各整数i，

在i∈I、变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0、并且y_i，1＝1的矢量，

在i∈I、变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i/(v^→ _i·x^→ _t)，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

在并非i∈I、而变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0、且y_i，1＝1的矢量，

在并非i∈I、而变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

如式(15)所示，生成关于表示矩阵M的各行编号的各整数i的s^＊ _i、和s^＊ _X，

所述验证装置具备：

数据取得部，取得包括所述签名生成部生成的s^＊ _i以及s^＊ _X、消息m、变量ρ(i)以及矩阵M的签名数据sig；

加密数据生成部，根据依据具有r个要素的矢量f^→、所述矢量w^→以及所述数据取得部取得的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T、以及规定的值θ_i(i是矩阵M的各行编号和X)，生成关于表示矩阵M的各行编号的各整数i的要素c_i和要素c_X，即

针对表示所述矩阵M的各行编号的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B_t的基底矢量b_t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定θ_iv_i，i’，从而生成要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定s_iv_i，i’，从而生成要素c_i，

对基底B_d+2的基底矢量b_d+2，p’(p’是所述p’)设定s₀-θ_Xm，并且对基底矢量b_d+2，q’(q’是所述q’)设定θ_X，从而生成要素c_X；以及

配对运算部，针对表示矩阵M的各行编号和X的各整数i，进行式(16)所示的配对运算，验证所述签名数据sig的合法性，

【式15】

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&beta;}}_i\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^{n_t}{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*})+r_i^{*},$

$s_X^{*}:=\mathrm{\&xi;}(k_{d+2}^{*}+m\&CenterDot;k_{d+3}^{*})+r_X^{*}$

此处，

ξ，是规定的值

【式16】

$\mathrm{\&Pi;e}(c_i,s_i^{*}).$

12.根据权利要求11所述的签名处理系统，其特征在于，

所述签名处理系统使用至少具有基底矢量b_0，i(i＝1，...，4)的基底B₀、至少具有基底矢量b_t，i(i＝1，...，n_t，...，n_t+u_t，...，n_t+u_t+w_t，...，n_t+u_t+w_t+z_t)(u_t，w_t，z_t是1以上的整数)的基底B_t(t＝1，...，d)、至少具有基底矢量b_d+1，i(i＝1，...，4)的基底B_d+1、至少具有基底矢量b_d+2，i(i＝1，...，8)的基底B_d+2、至少具有基底矢量b^＊ _0，i(i＝1，...，4)的基底B^＊ ₀、至少具有基底矢量b^＊ _t，i(i＝1，...，n_t，...，n_t+u_t，...，n_t+u_t+w_t，...，n_t+u_t+w_t+z_t)的基底B^＊ _t(t＝1，...，d)、至少具有基底矢量b^＊ _d+1，i(i＝1，...，4)的基底B^＊ _d+1、以及至少具有基底矢量b^＊ _{d+2， i}(i＝1，...，8)的基底B^＊ _d+2来执行签名处理，

所述密钥生成装置的所述签名密钥生成部针对所述属性集合Γ中包含的各识别信息t、和ι＝1，...，w_t的各整数ι，根据随机数值δ，如式(17)所示，生成要素k^＊ ₀、要素k^＊ _t、要素k^＊ _d+2以及要素k^＊ _d+3，

所述签名装置还具备对所述矩阵M的第L+1行追加规定的行矢量M_L+1的矩阵生成部，

所述签名装置的所述签名生成部根据要素k^＊ ₀、要素k^＊ _t、要素k^＊ _d+2、要素k^＊ _d+3以及随机数值ξ，如式(18)所示，作为关于i＝1，...，L+1的各整数i的s^＊ _i和s^＊ _X而生成s^＊ ₀以及s^＊ _L+2，

所述验证装置的所述加密数据生成部针对i＝1，...，L+1的各整数i、和i‘＝1，...，z_t的各整数i’，根据随机数值θ_i，η_i，i’，η_L+2，1，η_{L+2， 2}，如式(19)所示，作为要素c_i和要素c_X而生成要素c₀以及要素c_L+2，

所述配对运算部针对i＝0，...，L+2的各整数i，进行所述配对运算，

【式17】

【式18】

$s_0^{*}:=\mathrm{\&xi;}{k}_0^{*}+r_0^{*},$

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&beta;}}_i\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^{n_t}{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*})+r_i^{*},$

$s_{L+2}^{*}:=\mathrm{\&xi;}(k_{d+2}^{*}+m\&CenterDot;k_{d+3}^{*})+r_{L+2}^{*}$

此处，

ξ，是规定的值，

【式19】

13.一种密钥生成装置，其特征在于，在使用关于t＝1，...，d，d+2(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行签名处理的签名处理系统中，生成签名密钥sk_Γ，该密钥生成装置具备：

第1信息输入部，针对t＝1，...，d的至少1个以上的整数t，输入具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ；

签名密钥生成部，根据所述第1信息输入部输入的属性集合Γ，生成关于所述属性集合Γ中包含的各识别信息t的要素k^＊ _t、要素k^＊ _d+2以及要素k^＊ _d+3，即

针对所述属性集合Γ中包含的各识别信息t，生成作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数设定了随机数值δ倍了的x_t，i’的要素k^＊ _t，

生成作为基底B^＊ _d+2的基底矢量b^＊ _d+2，p’(p’是规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+2，

生成作为基底B^＊ _d+2的基底矢量b^＊ _d+2，q’(q’是与所述p’不同的规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+3；以及

密钥分发部，将包括所述第1信息输入部输入的属性集合Γ、所述签名密钥生成部生成的要素k^＊ _t、要素k^＊ _d+2以及要素k^＊ _d+3的数据作为签名密钥sk_Γ分发。

14.一种签名装置，其特征在于，在使用关于t＝1，...，d，d+2(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行签名处理的签名处理系统中，生成签名数据sig，该签名装置具备：

第2信息输入部，输入变量ρ(i)、L行r列(r是1以上的整数)的规定的矩阵M、以及消息m，该变量ρ(i)是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)，并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个；

签名密钥取得部，作为签名密钥sk_Γ，与属性集合Γ一起取得针对t＝1，...，d的至少1个以上的整数t而根据具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的所述属性集合Γ生成的要素k^＊ _t(t是所述属性集合Γ中包含的各识别信息)、要素k^＊ _d+2以及要素k^＊ _d+3，即

针对所述属性集合Γ中包含的各识别信息t，作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数而设定了所述随机数值δ倍了的x_t，i’的要素k^＊ _t，

作为基底B^＊ _d+2的基底矢量b^＊ _d+2，p’(p’是规定的值)的系数而设定了所述随机数值δ的要素k^＊ _d+2，以及

作为基底B^＊ _d+2的基底矢量b^＊ _d+2，q’(q’是与所述p’不同的规定的值)的系数而设定了所述随机数值δ的要素k^＊ _d+3；

补充系数计算部，根据关于i＝1，...，L的各整数i的变量ρ(i)、和所述签名密钥取得部取得的签名密钥sk_Γ中包含的属性集合Γ，确定i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，并且针对所确定的集合I中包含的i，根据所述第2信息输入部输入的矩阵M的第i行的要素即M_i，计算在合计了α_iM_i的情况下成为规定的矢量w^→的补充系数α_i；

签名生成部，根据所述变量ρ(i)、所述属性集合Γ、所述补充系数计算部确定的集合I、以及所述补充系数计算部计算出的补充系数α_i，生成关于表示矩阵M的各行编号的各整数i的s^＊ _i和s^＊ _X，即

将β_i设为在针对表示矩阵M的各行编号的各整数i合计了β_iM_i的情况下所有要素成为0的值，

针对表示矩阵M的各行编号的各整数i，

在i∈I、变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0、且y_i，1＝1的矢量，

在i∈I、变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i/(v^→ _i·x^→ _t)，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

在并非i∈I、而变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0、且y_i，1＝1的矢量，

在并非i∈I、而变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

如式(20)所示，生成关于表示矩阵M的各行编号的各整数i的s^＊ _i和s^＊ _X；以及

数据输出部，将包括所述第2信息输入部输入的变量ρ(i)、矩阵M、消息m、所述签名生成部生成的s^＊ ₀、s^＊ _i以及s^＊ _X的数据作为签名数据sig输出，

【式20】

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&beta;}}_i\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^{n_t}{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*})+r_i^{*},$

$s_X^{*}:=\mathrm{\&xi;}(k_{d+2}^{*}+m\&CenterDot;k_{d+3}^{*})+r_X^{*}$

此处，

ξ，是规定的值。

15.一种验证装置，其特征在于，在使用关于t＝1，...，d，d+2(d是1以上的整数)的各整数t的基底B_t和基底B^＊ _t来执行签名处理的签名处理系统中，验证签名数据sig，该验证装置具备：

数据取得部，取得包括下列数据中的s^＊ _i、s^＊ _X和消息m、变量ρ(i)以及矩阵M的签名数据sig：

针对t＝1，...，d的至少1个以上的整数t根据具有识别信息t、和属性矢量x^→ _t：＝(x_t，i’)(i’＝1，...，n_t，n_t是1以上的整数)的属性集合Γ生成的要素k^＊ _t(t是所述属性集合Γ中包含的各识别信息)、要素k^＊ _d+2以及要素k^＊ _d+3，即

针对所述属性集合Γ中包含的各识别信息t，作为基底B^＊ _t的基底矢量b^＊ _t，i’(i’＝1，...，n_t)的系数而设定了随机数值δ倍了的x_t，i’的要素k^＊ _t，

作为基底B^＊ _d+2的基底矢量b^＊ _d+2，p’(p’是规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+2，

作为基底B^＊ _d+2的基底矢量b^＊ _d+2，q’(q’是与所述p’不同的规定的值)的系数设定了所述随机数值δ的要素k^＊ _d+3；

根据是关于i＝1，...，L(L是1以上的整数)的各整数i的变量ρ(i)、并且是识别信息t(t＝1，...，d中的某一个整数)和属性矢量v^→ _i：＝(v_i，i’)(i’＝1，...，n_t，n_t是1以上的整数)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个的变量ρ(i)、以及所述属性集合Γ计算出的集合I和补充系数α_i，即

i＝1，...，L的各整数i中的、变量ρ(i)是肯定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)并且该组的v^→ _i与该组的识别信息t表示的Γ中包含的x^→ _t的内积不成为0的i的集合I，

针对集合I中包含的i，根据输入的矩阵M的第i行的要素即M_i，在合计了α_iM_i的情况下成为规定的矢量w^→的补充系数α_i；

根据所述变量ρ(i)、所述属性集合Γ、所述集合I以及所述补充系数α_i生成的s^＊ _i(i＝1，...，L的各整数)和s^＊ _X，即

将β_i设为在针对表示矩阵M的各行编号的各整数i合计了β_iM_i的情况下所有要素成为0的值，

针对表示矩阵M的各行编号的各整数i，

在i∈I、变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i，并将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0且y_i，1＝1的矢量，

在i∈I、变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝α_i/(v^→ _i·x^→ _t)，并将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

在并非i∈I、而变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，并将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是0且y_i，1＝1的矢量，

在并非i∈I、而变量ρ(i)是否定形的组(t，v^→ _i)的情况下，设为值γ_i：＝0，并将矢量y^→ _i：＝(y_i，ι)(ι：＝1，...，n_t)设为y^→ _i与v^→ _i的内积是1的矢量，

从而如式(21)所示生成的s^＊ _i和s^＊ _X；

加密数据生成部，根据依据具有r个(r是1以上的整数)要素的矢量f^→、所述矢量w^→、以及第2信息输入部输入的矩阵M生成的列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T、值s₀：＝w^→·f^→T以及规定的值θ_i(i是矩阵M的各行编号和X)，生成关于i＝1，...，L的各整数i的要素c_i和要素c_X，即

针对表示矩阵M的各行编号的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为该组的识别信息t表示的基底B_t的基底矢量b_t，1的系数而设定s_i+θ_iv_i，1，并且作为所述识别信息t和i’＝2，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定θ_iv_i，i’，从而生成要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，作为该组的识别信息t和i’＝1，...，n_t的各整数i’表示的基底矢量b_t，i’的系数而设定s_iv_i，i’，从而生成要素c_i，

对基底B_d+2的基底矢量b_d+2，p’(p’是所述p’)设定s₀-θ_Xm，并且对基底矢量b_d+2，q’(q’是所述q’)设定θ_X，从而生成要素c_X；以及

配对运算部，针对表示矩阵M的各行编号和X的各整数i，进行式(22)所示的配对运算，验证所述签名数据sig的合法性，

【式21】

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&beta;}}_i\&CenterDot;({\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^{n_t}{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*})+r_i^{*},$

$s_X^{*}:=\mathrm{\&xi;}(k_{d+2}^{*}+m\&CenterDot;k_{d+3}^{*})+r_X^{*}$

此处，

ξ，是规定的值，

【式22】

$\mathrm{\&Pi;e}(c_i,s_i^{*}).$