CN103384980B - 检索系统、检索系统的检索方法、信息处理装置、以及对应关键字管理装置 - Google Patents
检索系统、检索系统的检索方法、信息处理装置、以及对应关键字管理装置 Download PDFInfo
- Publication number
- CN103384980B CN103384980B CN201280009910.5A CN201280009910A CN103384980B CN 103384980 B CN103384980 B CN 103384980B CN 201280009910 A CN201280009910 A CN 201280009910A CN 103384980 B CN103384980 B CN 103384980B
- Authority
- CN
- China
- Prior art keywords
- keyword
- data
- search key
- key
- occurrence frequency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2123—Dummy operation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
实现具有对频度分析的抗性的隐匿检索。(1)变换规则管理装置(400)生成将检索关键字和变换关键字群对应起来的变换规则表格。(2)数据登记装置(500)基于变换规则表格生成将加密数据和加密关键字对应起来的登记数据,将登记数据登记到服务器装置(300)。(3)信息处理装置(200)从变换规则表格获取与指定的检索关键字对应的变换关键字群,生成加密关键字群,指定加密关键字群来请求数据检索。(4)服务器装置(300)将加密关键字群所包含的加密关键字作为检索关键码来检索与检索关键码对应的加密数据,响应所检索到的加密数据。(5)信息处理装置(200)对所检索到的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出。
Description
技术领域
本发明涉及例如进行隐匿检索的检索系统、检索系统的检索方法、信息处理装置、检索程序、对应关键字管理装置以及对应关键字管理程序。
背景技术
隐匿检索系统使检索者能够指定关键字来检索保存于服务器的数据,并且此时针对服务器而使数据和关键字隐匿。
隐匿检索系统被期待应用到机密数据管理的外包、邮件服务器中的加密邮件的过滤。
因此,作为隐匿检索系统的技术,提出了用于达成各种安全性必要条件的技术、用于削减服务器、检索者的存储、通信开销和运算开销的技术。
特别是,在以确定的密码为基础的隐匿检索技术中,由于相同的关键字对应于相同的加密关键字,所以服务器仅进行基于指定的加密关键字的一致检索即可。因此,能够实现使用了现有的检索技术的高速化。
但是,在使用确定的密码对关键字进行了加密的情况下,关键字的频度信息原样地作为加密关键字的频度信息出现。因此,能够通过调查加密关键字的频度来推测对应的关键字。即,能够进行被称为“频度分析”的攻击。
作为对该频度分析的对策,有插入用于对频度进行干扰的虚拟数据的方法。
在专利文献1中,公开了利用标点符号等在通常检索中不被使用的字符串来生成虚拟数据的方式。通过该方式,无需增加数据库的大小而能够使得具有对频度分析的抗性。
专利文献1:日本特开2005-72917号公报
发明内容
发明要解决的技术问题
在利用虚拟数据的插入的频度干扰方式中,在原来的关键字的频度中有大的偏差的情况下,需要准备与频度的差相当的大量的虚拟数据。
在专利文献1中,利用在检索中不被使用的字符串来防止数据库大小增加,但根据数据库的种类,也有可能“在检索中不被使用的字符串”少或者完全不存在。在该情况下,无法高效地进行频度干扰。
本发明的目的在于例如不论关键字的频度分布是什么样的分布,都可以进行高效的频度干扰,从而能够实现具有对频度分析的抗性的高速的隐匿检索。
解决问题的技术手段
本发明的检索系统具备信息处理装置和检索装置。
所述信息处理装置具备:
对应关键字存储部,将使检索关键字和一个以上的对应关键字对应的对应关键字群作为对应关键字数据而存储;
检索关键字输入部,输入检索关键字;
对应关键字群获取部,从所述对应关键字存储部所存储的对应关键字数据获取与通过所述检索关键字输入部输入的所述检索关键字对应的对应关键字群;
加密关键字群生成部,对由所述对应关键字群获取部获取到的对应关键字群所包含的对应关键字进行加密来生成加密关键字群;
检索请求数据发送部,将包括由所述加密关键字群生成部生成的加密关键字群的检索请求数据发送到所述检索装置;
检索响应数据接收部,接收从所述检索装置发送的检索响应数据;以及
检索结果输出部,对由所述检索响应数据接收部接收到的检索响应数据所包含的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出,
所述检索装置具备:
加密数据存储部,存储对检索数据进行加密而得到的加密数据,并且针对每个检索数据将对该检索数据进行加密而得到的加密数据和对对应关键字进行加密而得到的加密关键字对应起来存储;
检索请求数据接收部,接收从所述信息处理装置发送的检索请求数据;
加密数据检索部,基于由所述检索请求数据接收部接收到的检索请求数据,将所述检索请求数据内的加密关键字群所包含的加密关键字作为检索关键码,从所述加密数据存储部获取与检索关键码对应的加密数据;以及
检索响应数据发送部,发送包括由所述加密数据检索部获取到的加密数据的检索响应数据。
发明的效果
根据本发明,例如,通过将检索数据和多个加密关键字对应起来,不论关键字的频度分布是什么样的分布,都能够进行高效的频度干扰,实现具有对频度分析的抗性的高速的隐匿检索。
附图说明
图1是实施方式1中的隐匿检索系统100的结构图。
图2是实施方式1中的信息处理装置200的功能结构图。
图3是实施方式1中的服务器装置300的功能结构图。
图4是实施方式1中的变换规则管理装置400的功能结构图。
图5是实施方式1中的数据登记装置500的功能结构图。
图6是示出实施方式1中的变换规则管理装置400的变换规则管理方法的流程图。
图7是示出实施方式1中的检索关键字表格491的图。
图8是示出实施方式1中的变换规则计算处理(S110)的一个例子的流程图。
图9是示出实施方式1中的变换规则表格291的图。
图10是示出实施方式1中的数据登记装置500的数据登记方法的流程图。
图11是示出实施方式1中的登记数据表格391的图。
图12是示出实施方式1中的加密关键字的登记频度的图。
图13是示出实施方式1中的信息处理装置200的检索方法的流程图。
图14是示出实施方式1中的服务器装置300的检索方法的流程图。
图15是示出实施方式1中的隐匿检索系统100的硬件资源的一个例子的图。
图16是实施方式2中的变换规则计算处理(S110)的流程图。
图17是示出实施方式2中的检索关键字表格491和已分割频度表格492的图。
图18是实施方式2中的变换规则计算处理(S110)的概要图。
图19是实施方式2中的变换规则计算处理(S110)的概要图。
图20是实施方式2中的变换规则计算处理(S110)的概要图。
图21是实施方式2中的变换规则计算处理(S110)的概要图。
图22是示出实施方式2中的变换规则表格291的图。
图23是示出实施方式2中的加密关键字的登记频度的图。
图24是示出实施方式2中的检索关键字表格491和已分割频度表格492的其他例的图。
图25是示出实施方式2中的变换规则计算处理(S110)的再分割处理(S116B)的流程图。
图26是实施方式2中的再分割处理(S116B)的概要图。
图27是实施方式2中的再分割处理(S116B)的概要图。
图28是示出实施方式2中的已分割频度的最优化的图。
图29是示出实施方式2中的已分割频度的最优化的图。
图30是示出实施方式2中的已分割频度的最优化的图。
图31是实施方式3中的变换规则计算处理(S110)的流程图。
图32是实施方式3中的变换规则计算处理(S110)的概要图。
图33是实施方式3中的变换规则计算处理(S110)的概要图。
图34是示出实施方式3中的变换规则表格291的图。
图35是示出实施方式3中的加密关键字的登记频度的图。
图36是示出实施方式3中的已分割频度表格492的最优化的具体例的图。
图37是示出实施方式3中的变换规则表格291的其他例的图。
图38是示出实施方式3中的加密关键字的登记频度的其他例的图。
图39是示出实施方式4中的变换规则计算处理(S110)的流程图。
图40是示出实施方式4中的检索关键字表格491的图。
图41是示出实施方式4中的变换规则表格291的一个例子的图。
图42是示出实施方式4中的检索关键字和变换关键字的组合的一个例子的图。
图43是示出实施方式4中的检索关键字和变换关键字的组合的一个例子的图。
(符号说明)
100:隐匿检索系统;101:网络;200:信息处理装置;210:检索关键字输入部;220:变换关键字群获取部;230:加密关键字群生成部;240:检索请求部;250:检索结果输出部;280:处理装置通信部;290:处理装置存储部;291:变换规则表格;292:密码密钥数据;293:解密密钥数据;300:服务器装置;310:服务器装置通信部;320:数据检索部;330:数据登记部;390:服务器装置存储部;391:登记数据表格;400:变换规则管理装置;410:变换规则计算部;420:变换关键字群生成部;430:变换规则生成部;440:管理装置通信部;490:管理装置存储部;491:检索关键字表格;492:已分割频度表格;500:数据登记装置;510:登记装置输入部;520:关键字变换部;530:登记数据生成部;540:登记请求部;580:登记装置通信部;590:登记装置存储部;591:检索数据表格;901:CPU;902:总线;903:ROM;904:RAM;905:通信板;911:显示器装置;912:键盘;913:鼠标;914:驱动器装置;920:磁盘装置;921:OS;922:程序群;923:文件群。
具体实施方式
实施方式1.
对使用加密了的检索关键字来进行数据检索的隐匿检索系统的方式、且防止加密了的检索关键字被频度分析的隐匿检索系统的方式进行说明。
图1是实施方式1中的隐匿检索系统100的结构图。
基于图1,对实施方式1中的隐匿检索系统100的概要进行说明。
隐匿检索系统100(检索系统的一个例子)具备信息处理装置200、服务器装置300(检索装置的一个例子)、变换规则管理装置400(对应关键字管理装置的一个例子)以及数据登记装置500(加密数据生成装置的一个例子),各装置经由网络101进行通信。
(1)变换规则管理装置400生成将检索关键字和变换关键字群对应起来的变换规则表格(变换规则生成处理)。
(2)数据登记装置500基于变换规则表格生成将对检索数据进行加密而得到的加密数据和对变换关键字进行加密而得到的加密关键字对应起来的登记数据。然后,数据登记装置500将登记数据登记到服务器装置300(数据登记处理)。
(3)信息处理装置200从变换规则表格获取与使用者指定的检索关键字对应的变换关键字群,对所获取到的变换关键字群进行加密而生成加密关键字群。然后,信息处理装置200指定加密关键字群并向服务器装置300请求数据检索(检索请求处理)。
(4)服务器装置300将由信息处理装置200指定的加密关键字群所包含的加密关键字(keyword)作为检索关键码(key)来检索与检索关键码对应的加密数据。然后,服务器装置300将检索到的加密数据响应给信息处理装置200(检索处理)。
(5)信息处理装置200对由服务器装置300检索到的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出(检索结果输出处理)。
以下,说明隐匿检索系统100的详细情况。
图2是实施方式1中的信息处理装置200的功能结构图。
基于图2,对实施方式1中的信息处理装置200的功能结构进行说明。
信息处理装置200具备检索关键字输入部210、变换关键字群获取部220、加密关键字群生成部230、检索请求部240、检索结果输出部250、处理装置通信部280以及处理装置存储部290。
处理装置存储部290(对应关键字存储部的一个例子)存储在信息处理装置200中使用的数据。
变换规则表格291、密码密钥数据292或者解密密钥数据293是处理装置存储部290所存储的数据的一个例子。
变换规则表格291(对应关键字数据的一个例子)是定义使检索关键字和一个以上的变换关键字(对应关键字)对应了的变换关键字群的数据。例如,变换规则表格291是定义多个检索关键字并且针对每个检索关键字将一个以上的变换关键字定义为变换关键字群的数据。
检索关键字输入部210输入检索关键字(检索关键字输入处理)。
变换关键字群获取部220(对应关键字群获取部的一个例子)从处理装置存储部290所存储的变换规则表格291获取与通过检索关键字输入部210输入的检索关键字对应的变换关键字群(对应关键字群获取处理)。
加密关键字群生成部230对由变换关键字群获取部220获取到的变换关键字群所包含的变换关键字使用密码密钥数据292进行加密来生成加密关键字群(加密关键字群生成处理)。
检索请求部240(检索请求数据发送部、检索响应数据接收部的一个例子)将包括由加密关键字群生成部230生成的加密关键字群的检索请求数据经由处理装置通信部280发送到服务器装置300(检索请求数据发送处理)。
检索请求部240接收从服务器装置300发送的检索响应数据(检索响应数据接收处理)。
检索结果输出部250对由检索请求部240接收到的检索响应数据所包含的加密数据使用解密密钥数据293进行解密,将进行解密而得到的检索数据作为检索结果输出(检索结果输出处理)。
处理装置通信部280进行数据通信。
例如,处理装置通信部280将检索请求数据发送到服务器装置300,从服务器装置300接收检索响应数据。
另外,处理装置通信部280从变换规则管理装置400接收变换规则表格291,将所接收到的变换规则表格291存储到处理装置存储部290中。
图3是实施方式1中的服务器装置300的功能结构图。
基于图3,对实施方式1中的服务器装置300的功能结构进行说明。
服务器装置300具备服务器装置通信部310、数据检索部320、数据登记部330以及服务器装置存储部390。
服务器装置存储部390(加密数据存储部的一个例子)存储在服务器装置300中使用的数据。
登记数据表格391是服务器装置存储部390所存储的数据的一个例子。
登记数据表格391是将对检索数据进行加密而得到的加密数据和对变换关键字进行加密而得到的加密关键字对应起来的数据。例如,登记数据表格391是针对每个检索数据将对该检索数据进行加密而得到的加密数据和对特定的变换关键字进行加密而得到的加密关键字对应起来的数据。
服务器装置通信部310(检索请求数据接收部、检索响应数据发送部的一个例子)进行数据通信。
例如,服务器装置通信部310接收从信息处理装置200发送的检索请求数据(检索请求数据接收处理)。
另外,服务器装置通信部310发送包括由数据检索部320获取的加密数据的检索响应数据(检索响应数据发送处理)。
另外,服务器装置通信部310接收从数据登记装置500发送的登记请求数据(登记请求数据接收处理)。
数据检索部320基于由服务器装置通信部310接收到的检索请求数据,将检索请求数据内的加密关键字群所包含的加密关键字作为检索关键码,从登记数据表格391获取与检索关键码对应的加密数据(数据检索处理)。
数据登记部330将由服务器装置通信部310接收的登记请求数据所包含的登记数据(加密数据、加密关键字)设定到登记数据表格391(数据登记处理)。
图4是实施方式1中的变换规则管理装置400的功能结构图。
基于图4,说明实施方式1中的变换规则管理装置400的功能结构。
变换规则管理装置400(对应关键字管理装置)具备变换规则计算部410、变换关键字群生成部420、变换规则生成部430、管理装置通信部440以及管理装置存储部490。
管理装置存储部490存储在变换规则管理装置400中使用的数据。
检索关键字表格491是管理装置存储部490所存储的数据的一个例子。
检索关键字表格491(出现频度数据的一个例子)是定义检索关键字并且将与特定的检索关键字对应起来的检索数据的比例定义为特定的检索关键字的出现频度的数据。
变换规则计算部410(对应关键字数计算部的一个例子)根据检索关键字表格491中定义的检索关键字的出现频度,计算与检索关键字对应起来的变换关键字的个数,作为变换关键字数(对应关键字数计算处理)。
变换规则计算部410基于检索关键字表格491中定义的检索关键字的出现频度,针对检索关键字的每个变换关键字,计算从检索关键字的变换关键字群选择该变换关键字的比例,作为变换概率(对应关键字选择率)(对应关键字选择率计算处理)。
例如,变换规则计算部410如以下那样计算变换关键字数和变换概率。
变换规则计算部410按照使按各检索关键字的变换关键字数来分割了的分割后的各检索关键字的出现频度相等的方式,计算各检索关键字的变换关键字数。
变换规则计算部410计算各检索关键字的出现频度的最大公约数,针对每个检索关键字计算将检索关键字的出现频度除以最大公约数而得到的值,作为检索关键字的变换关键字数。
变换规则计算部410针对每个检索关键字计算变换关键字数的倒数,作为变换概率。
变换关键字群生成部420(对应关键字群生成部的一个例子)将与由变换规则计算部410计算出的变换关键字数相同的个数的变换关键字生成为变换关键字群(对应关键字群生成处理)。
变换规则生成部430(对应关键字数据生成部的一个例子)将检索关键字、变换关键字群、以及变换概率对应起来,生成变换规则表格291(对应关键字数据、对应关键字选择率数据的一个例子)(对应关键字数据生成处理)。
管理装置通信部440进行数据通信。
例如,管理装置通信部440将由变换规则生成部430生成的变换规则表格291发送到信息处理装置200以及数据登记装置500。
图5是实施方式1中的数据登记装置500的功能结构图。
基于图5,说明实施方式1中的数据登记装置500的功能结构。
数据登记装置500(加密数据生成装置的一个例子)具备登记装置输入部510、关键字变换部520、登记数据生成部530、登记请求部540、登记装置通信部580以及登记装置存储部590。
登记装置存储部590(检索数据存储部、关键字选择率存储部的一个例子)存储在数据登记装置500中使用的数据。
检索数据表格591、变换规则表格291或者密码密钥数据292是登记装置存储部590所存储的数据的一个例子。
检索数据表格591是将检索数据和检索关键字对应起来的数据。
关键字变换部520(对应关键字选择部的一个例子)针对检索数据表格591所包含的每个检索关键字从变换规则表格291获取与检索关键字对应的变换关键字群。
关键字变换部520根据变换规则表格291所包含的变换概率,选择所获取到的变换关键字群所包含的至少某一个变换关键字(对应关键字选择处理)。
登记数据生成部530(加密数据生成部的一个例子)针对检索数据表格591所包含的每个检索数据使用密码密钥数据292对检索数据进行加密而生成加密数据(加密数据生成处理)。
登记数据生成部530针对由关键字变换部520选择的变换关键字使用密码密钥数据292进行加密来生成加密关键字(加密关键字生成处理)。
登记请求部540经由登记装置通信部580将登记请求数据发送到服务器装置300,该登记请求数据是通过将由登记数据生成部530生成的加密数据和加密关键字对应起来而设定的数据(登记请求处理)。
登记装置通信部580进行数据通信。
例如,登记装置通信部580将登记请求数据发送到服务器装置300。
图6是示出实施方式1中的变换规则管理装置400的变换规则管理方法的流程图。
基于图6,说明实施方式1中的变换规则管理装置400的变换规则管理方法。
首先,说明变换规则管理装置400的变换规则管理方法的概要。
变换规则计算部410基于检索关键字的出现频度,计算变换关键字数和各变换关键字的变换概率(S110)。
变换关键字群生成部420生成与变换关键字数相同的数量的变换关键字(变换关键字群)(S120)。
变换规则生成部430将检索关键字、变换关键字群、以及各变换关键字的变换概率对应起来生成变换规则表格291(S130)。
管理装置通信部440将变换规则表格291发送到信息处理装置200以及数据登记装置500(S140)。
接下来,说明变换规则管理装置400的变换规则管理方法的详细情况。
在S110中,变换规则计算部410从管理装置存储部490获取检索关键字表格491。检索关键字表格491预先存储于管理装置存储部490。
图7是示出实施方式1中的检索关键字表格491的图。
如图7所示,检索关键字表格491是将检索关键字和出现频度对应起来的数据。
出现频度表示将对应的检索关键字用作检索关键码的检索数据的比例的意思。例如,在100个检索数据中的25个检索数据中将检索关键字“A公司”用作检索关键码的情况下,检索关键字“A公司”的出现频度是“25%(=25/100)”。
返回图6,继续S110的说明。
在S110中,变换规则计算部410基于检索关键字表格491,计算使各检索关键字的分割后的出现频度均等那样的频度分割数,作为“变换关键字数”。
进而,变换规则计算部410计算变换关键字数的倒数,作为“变换概率”。
例如,图7所示的检索关键字表格491将检索关键字“A公司”的出现频度定义为“25%”、将检索关键字“B公司”的出现频度定义为“15%”、将其他检索关键字的出现频度定义为“5%”。
在该情况下,如果对检索关键字“A公司”的出现频度“25%”进行5分割,对检索关键字“B公司”的出现频度“15%”进行3分割,则分割后的所有出现频度变为均等的值“5%”。
因此,在变换规则计算部410中,计算频度分割数“5”作为检索关键字“A公司”的变换关键字数,计算频度分割数“3”作为检索关键字“B公司”的变换关键字数,计算频度分割数“1”作为其他检索关键字的变换关键字数。
另外,变换规则计算部410计算检索关键字“A公司”的变换概率“1/5”、检索关键字“B公司”的变换概率“1/3”、其他检索关键字的变换概率“1/1”。
例如,变换规则计算部410使用出现频度的最大公约数来计算变换关键字数和变换概率。
图8是示出实施方式1中的变换规则计算处理(S110)的一个例子的流程图。
基于图8,说明使用出现频度的最大公约数来计算变换关键字数和变换概率的变换规则计算处理(S110)。
在S111中,变换规则计算部410基于检索关键字表格491中设定的各检索关键字的出现频度,计算出现频度的最大公约数。
例如,在图7所示的检索关键字表格491的情况下,出现频度的最大公约数是“5%”。
在S111之后,进入S112。
在S112中,变换规则计算部410针对每个检索关键字将出现频度除以最大公约数。于是,进行除法而得到的值是变换关键字数。
例如,在图7的情况下,检索关键字“A公司”的变换关键字数是将出现频度“25%”除以最大公约数“5%”而得到的值“5(=25%÷5%)”。
在S112之后,进入S113。
在S113中,变换规则计算部410针对每个检索关键字数计算变换关键字数的倒数,作为变换概率。
例如,在图7的情况下,检索关键字“A公司”的变换概率是变换关键字数“5”的倒数“1/5”。
通过S113,变换规则计算处理(S110)结束。
返回图6,继续变换规则管理方法的说明。
在S110之后,进入S120。
在S120中,变换关键字群生成部420针对每个检索关键字生成与变换关键字数相同的数量的变换关键字。以下,将与变换关键字数相同的数量的变换关键字称为“变换关键字群”。
例如,在检索关键字“A公司”的变换关键字数是“5”的情况下,变换关键字群生成部420将连续编号附加到检索关键字“A公司”的词尾来生成变换关键字群“A公司-1”、“A公司-2”、“A公司-3”、“A公司-4”、“A公司-5”。
但是,变换关键字也可以不包括检索关键字。例如,也可以将组合了随机选择的字符、数值、记号等而得到的关键字作为变换关键字。另外,也可以为了生成变换关键字而使用单向函数。
在S120之后,进入S130。
在S130中,变换规则生成部430将检索关键字表格491中设定的检索关键字、在S110中计算的变换概率、以及在S120中生成的变换关键字群对应起来生成变换规则表格291。
图9是示出实施方式1中的变换规则表格291的图。
如图9所示,变换规则表格291是将检索关键字、变换概率、以及变换关键字对应起来的数据。
图9所示的变换规则表格291是基于图7所示的检索关键字表格491生成的变换规则表格291。即,各变换关键字的出现频度如图7所说明的那样,是均等的值“5%”。
返回图6,继续变换规则管理方法的说明。
在S130之后,进入S140。
在S140中,管理装置通信部440将在S130中生成的变换规则表格291发送到信息处理装置200以及数据登记装置500。
信息处理装置200的处理装置通信部280接收变换规则表格291,将所接收到的变换规则表格291存储到处理装置存储部290。
另外,数据登记装置500的登记装置通信部580接收变换规则表格291,将所接收到的变换规则表格291存储到登记装置存储部590中。
通过S140,变换规则管理方法的处理结束。
图10是示出实施方式1中的数据登记装置500的数据登记方法的流程图。
基于图10,说明实施方式1中的数据登记装置500的数据登记方法。
首先,说明数据登记装置500的数据登记方法的概要。
登记装置输入部510输入检索数据和检索关键字(S210)。
关键字变换部520从变换规则表格291选择与输入关键字对应的变换关键字(S220)。
登记数据生成部530对输入数据和选择关键字进行加密而生成登记数据(S230)。
登记请求部540将包括登记数据的登记请求数据发送到服务器装置300(S240)。
接下来,说明数据登记装置500的数据登记方法的详细情况。
在S210中,管理者使用键盘、鼠标等输入装置对数据登记装置500指定检索数据和检索关键字的组合。年龄等数值、性别等属性、姓名等字符串、文档等文件是检索数据的一个例子。
登记装置输入部510从输入装置输入由管理者指定的检索数据和检索关键字的组合。
但是,也可以将检索数据和检索关键字的多个组合预先存储于登记装置存储部590,登记装置输入部510从登记装置存储部590逐个输入检索数据和检索关键字的组合。
以下,将在S210中输入了的检索数据和检索关键字分别称为“输入数据”、“输入关键字”。
在S210之后,进入S220。
在S220中,关键字变换部520从登记装置存储部590获取变换规则表格291(参照图9)。
关键字变换部520从变换规则表格291获取与和输入关键字相同的检索关键字对应的变换关键字群。
关键字变换部520从所获取到的变换关键字群随机选择某一个变换关键字。但是,选择各变换关键字的选择概率遵循变换规则表格291中设定的变换概率。
以下,将在S220中选择了的变换关键字称为“选择关键字”。
例如,在图9所示的变换规则表格291的情况下,针对输入关键字“A公司”,选择变换关键字“A公司-1”、“A公司-2”、“A公司-3”、“A公司-4”或者“A公司-5”。选择各变换关键字的概率(变换概率)是“1/5”。
即,在有100个输入关键字“A公司”的情况下,“A公司-1”、“A公司-2”、“A公司-3”、“A公司-4”以及“A公司-5”分别各被选择20次左右。
在S220之后,进入S230。
在S230中,登记数据生成部530从登记装置存储部590获取密码密钥数据292。密码密钥数据292通过规定的密钥生成算法生成,并预先存储于登记装置存储部590。
登记数据生成部530使用密码密钥数据292通过规定的加密算法对输入数据进行加密。以下,将加密了的输入数据称为“加密数据”。
登记数据生成部530使用密码密钥数据292通过规定的加密算法(确定的密码)对选择关键字进行加密。以下,将加密了的选择关键字称为“加密关键字”。
但是,也可以将与输入数据的加密中使用的密码密钥数据不同的密码密钥数据用于选择关键字的加密。另外,也可以将与输入数据的加密中使用的加密算法不同的加密算法用于选择关键字的加密。
以下,将加密数据和加密关键字的组合称为“登记数据”。
在S230之后,进入S240。
在S240中,登记请求部540生成包括在S230中生成的登记数据的登记请求数据,将所生成的登记请求数据经由登记装置通信部580发送到服务器装置300。但是,登记请求部540也可以将包括多个登记数据的登记请求数据发送到服务器装置300。
服务器装置300的服务器装置通信部310接收登记请求数据,在登记数据表格391中登记(设定)所接收到的登记请求数据所包含的登记数据。
通过S240,数据登记方法的处理结束。
图11是示出实施方式1中的登记数据表格391的图。
如图11所示,登记数据表格391(还称为数据库)是包括多个加密关键字和加密数据的组合(登记数据)的数据。即,登记数据表格391是将加密关键字和加密数据对应起来的数据。
“E(x)”表示对“x”进行加密而得到的数据。
如上所述,以变换规则表格291中定义的均等的变换概率,选择各变换关键字(图10、S220)。
因此,在登记数据表格391中登记的登记数据的数量充分多的情况下,登记数据表格391所包含的各加密关键字的数量是大致均等的。
也可以将加密关键字和加密数据分到不同的表格或者存储装置来存储。例如,准备将加密关键字和加密数据的数据ID对应起来的表格、以及将数据ID和加密数据对应起来的表格即可。
图12是示出实施方式1中的加密关键字的登记频度的图。
例如,基于图9所示的变换规则表格291选择变换关键字,在对所选择的变换关键字进行了加密的情况下,登记数据表格391中登记的各加密关键字的比例(登记频度)按照“5%”被均等化(参照图12)。
因此,即使基于服务器装置300所存储的登记数据表格391对加密关键字进行频度分析,也无法根据加密关键字推测检索关键字。其原因是,在加密关键字中几乎没有登记频度的差。
图13是示出实施方式1中的信息处理装置200的检索方法的流程图。
基于图13,说明实施方式1中的信息处理装置200的检索方法。
首先,说明信息处理装置200的检索方法的概要。
检索关键字输入部210输入检索关键字(S310)。
变换关键字群获取部220从变换规则表格291获取与输入关键字对应的变换关键字群(S320)。
加密关键字群生成部230对变换关键字群进行加密而生成加密关键字群(S330)。
检索请求部240将包括加密关键字群的检索请求数据发送到服务器装置300(S340)。
检索请求部240从服务器装置300接收包括加密数据的检索响应数据(S350)。
检索结果输出部250对检索响应数据所包含的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出(S360)。
接下来,说明信息处理装置200的检索方法的详细情况。
在S310中,使用者使用键盘、鼠标等输入装置对信息处理装置200指定检索关键字。
检索关键字输入部210从输入装置输入由使用者指定的检索关键字。
以下,将在S310中输入的检索关键字称为“输入关键字”。
在S310之后,进入S320。
在S320中,变换关键字群获取部220从处理装置存储部290所存储的变换规则表格291获取与输入关键字对应的变换关键字群。
例如,变换关键字群获取部220从图9所示的变换规则表格291获取与输入关键字“A公司”对应的变换关键字群“A公司-1”、“A公司-2”、“A公司-3”、“A公司-4”、“A公司-5”。
在S320之后,进入S330。
在S330中,加密关键字群生成部230从处理装置存储部290获取密码密钥数据292。
加密关键字群生成部230使用密码密钥数据292通过规定的加密算法(确定的密码),对在S320中获取到的变换关键字群所包含的各变换关键字进行加密。
其中,在S330中使用的密码密钥数据292以及加密算法与在登记数据生成时(图10的S230)在检索关键字的加密中使用的密码密钥数据以及加密算法相同。
以下,将加密了的变换关键字称为“加密关键字”,将由加密关键字构成的数据称为“加密关键字群”。
在S330之后,进入S340。
在S340中,检索请求部240生成包括在S330中生成的加密关键字群的检索请求数据,将所生成的检索请求数据经由处理装置通信部280发送到服务器装置300。
例如,在图9所示的变换规则表格291的情况下,在针对输入关键字“A公司”的检索请求数据中,包括加密关键字群“E(A公司-1)”、“E(A公司-2)”、“E(A公司-3)”、“E(A公司-4)”、“E(A公司-5)”。
在S340之后,进入S350。
在S350中,服务器装置300基于检索请求数据检索加密数据,将包括在检索中命中了的一个或者多个加密数据的检索响应数据发送到信息处理装置200。
检索请求部240经由处理装置通信部280接收从服务器装置300发送的检索响应数据。
在S350之后,进入S360。
在S360中,检索结果输出部250从处理装置存储部290获取解密密钥数据293。
检索结果输出部250使用解密密钥数据293通过规定的解密算法,对检索响应数据所包含的各加密数据进行解密。
检索结果输出部250将进行解密而得到的各检索数据作为针对输入关键字的检索结果来输出。例如,检索结果输出部250将检索结果显示于显示装置。
其中,在S360中使用的解密密钥数据293是与在检索数据的加密时(图10的S230)使用的密码密钥数据成对的数据,在S360中使用的解密算法是与在检索数据的加密时使用的加密算法成对的算法。
通过S360,信息处理装置200的检索方法的处理结束。
图14是示出实施方式1中的服务器装置300的检索方法的流程图。
基于图14,说明实施方式1中的服务器装置300的检索方法。
首先,说明服务器装置300的检索方法的概要。
服务器装置通信部310接收包括检索请求关键字群的检索请求数据(S410)。
数据检索部320从登记数据表格391获取与检索请求关键字群内的检索请求关键字对应起来的加密数据(S420)。
服务器装置通信部310将包括加密数据的检索响应数据发送到信息处理装置200(S430)。
接下来,说明服务器装置300的检索方法的详细情况。
在S410中,服务器装置通信部310接收从信息处理装置200发送的检索请求数据。
以下,将检索请求数据所包含的加密关键字群(加密关键字)称为“检索请求关键字群(检索请求关键字)”。
在S410之后,进入S420。
在S420中,数据检索部320将检索请求关键字群所包含的各检索请求关键字作为检索关键码来检索登记数据表格391(参照图11)。即,数据检索部320检索登记数据表格391,确定与至少某一个检索请求关键字一致的加密关键字(OR检索)。
此处,将与检索关键码一致的加密关键字称为“对象关键字”。
然后,数据检索部320从登记数据表格391获取与各对象关键字对应起来的加密数据。
例如,在图11所示的登记数据表格391的情况下,数据检索部320针对检索请求关键字群“E(A公司-1)”、“E(A公司-2)”、“E(A公司-3)”、“E(A公司-4)”、“E(A公司-5)”获取加密数据“E(数据a)”、“E(数据b)”以及“E(数据d)”。
也可以使用以往的检索技术(例如,使用散列表格的技术)而使检索处理(S420)高速化。
在S420之后,进入S430。
在S430中,数据检索部320生成包括在S420中获取到的各加密数据的检索响应数据。
然后,服务器装置通信部310将由数据检索部320生成的检索响应数据发送到信息处理装置200。
通过S430,服务器装置300的检索方法结束。
图15是示出实施方式1中的隐匿检索系统100的硬件资源的一个例子的图。
在图15中,信息处理装置200、服务器装置300、变换规则管理装置400以及数据登记装置500具备CPU901(CentralProcessingUnit:中央处理单元)。CPU901经由总线902来与ROM903、RAM904、通信板905、显示器装置911、键盘912、鼠标913、驱动器装置914、磁盘装置920连接,控制这些硬件设备。驱动器装置914是对FD(FlexibleDiskDrive:软磁盘机)、CD(CompactDisc:光盘)、DVD(DigitalVersatileDisc:数字化通用磁盘)等存储介质进行读写的装置。
通信板905通过有线或者无线,连接到LAN(LocalAreaNetwork:局域网)、因特网、电话线路等通信网。
在磁盘装置920中,存储有OS921(操作系统)、程序群922、文件群923。
在程序群922中,包括执行在实施方式中作为“~部”进行说明的功能的程序。程序由CPU901读出并执行。即,程序用于使计算机作为“~部”发挥功能,并且用于使计算机执行“~部”的步骤、方法。
在文件群923中,包括在实施方式中说明的“~部”所使用的各种数据(输入、输出、判定结果、计算结果、处理结果等)。
在实施方式中结构图以及流程图所包含的箭头主要表示数据、信号的输入输出。
在实施方式中作为“~部”进行说明的既可以是“~电路”、“~装置”、“~设备”,并且也可以是“~步骤”、“~工序”、“~处理”。即,作为“~部”进行说明的部分可以通过固件、软件、硬件或者它们的组合中的任意一个来安装。
在实施方式1中,说明了例如以下那样的隐匿检索系统100。
信息处理装置200在使数据和关键字相对服务器装置300保持隐匿的状态下进行检索。
由于不利用随机密码而利用确定的密码,所以在检索时进行二进制数据的完全一致检索即可。由此,能够实现利用了现有的检索技术的高速化。
确定的密码是指,明文数据和加密数据一对一地对应的密码方式。即,加密数据根据明文数据唯一地确定。
随机密码是指,存在多个与明文数据对应的加密数据的密码方式。加密数据并非根据明文数据唯一地确定。
在隐匿检索系统100中如专利文献1那样不需要虚拟数据。因此,在存储区域的方面是高效的。
变换规则表格291是以使所提供的关键字(例如,加密关键字)的频度信息(出现频度、登记频度)具有对由攻击者进行的频度分析的抗性为目的而生成的。
也可以对变换规则表格291进行加密来提高隐匿性。
也可以对信息处理装置200、服务器装置300、变换规则管理装置400或者数据登记装置500进行合并或者分割。
例如,信息处理装置200也可以具备变换规则管理装置400或者数据登记装置500的功能。
与加密数据对应起来的加密关键字的数量既可以是一个也可以是多个。在将多个加密关键字与加密数据对应起来的情况、检索请求关键字群中包括所有加密关键字的情况、或者包括至少某一个加密关键字的情况下,将该加密数据作为在检索中命中了的数据来进行处理。
另外,也可以将多个加密数据与一个加密关键字对应起来。在该情况下,在检索请求关键字群中包括该加密关键字的情况下,将所有加密数据或者至少某一个加密数据作为在检索中命中了的数据来进行处理。
密码密钥数据292既可以从IC卡等输入,也可以基于口令、生物体信息等使用者信息来自动生成。
实施方式2.
说明满足“k-匿名性”的隐匿检索系统100的方式。
以下,主要说明与实施方式1不同的事项。关于省略说明的事项,与实施方式1相同。
“k-匿名性”是指,通过将登记频度相等的加密关键字的数量设为“k”个以上,使加密关键字的频度分析变得困难的性质。
隐匿检索系统100的装置结构以及各装置的功能结构与实施方式1(参照图1-5)相同。
但是,变换规则管理装置400的变换规则计算部410如以下那样计算变换关键字数和变换概率。
变换规则计算部410计算按照使规定的匿名数“k”以上的检索关键字具有相同的出现频度的方式来分割各检索关键字的出现频度的分割数,作为各检索关键字的变换关键字数(对应关键字数)。
变换规则计算部410计算分割各检索关键字的出现频度的分割比例(后述的已分割频度),作为各检索关键字的变换概率(对应关键字选择率)。
例如,变换规则计算部410如以下那样计算变换关键字数和变换概率。
变换规则计算部410从各检索关键字的出现频度选择第“k”大的出现频度作为运算频度,“k”为规定的匿名数。
变换规则计算部410从运算频度以上的出现频度减去一个以上的运算频度。
变换规则计算部410从进行相减后的各检索关键字的出现频度选择第“k”大的出现频度作为新的运算频度,“k”为匿名数。
变换规则计算部410从新的运算频度以上的出现频度减去一个以上的新的运算频度。
变换规则计算部410针对每个检索关键字计算从出现频度减去之后的各运算频度的数量作为变换关键字数。
变换规则计算部410针对每个检索关键字计算各运算频度相对原来的出现频度的比例作为变换概率。
图16是实施方式2中的变换规则计算处理(S110)的流程图。
基于图16,说明实施方式2中的变换规则计算处理(S110)。
在S111B中,变换规则计算部410生成包括检索关键字表格491的已分割频度表格492。
图17是示出实施方式2中的检索关键字表格491和已分割频度表格492的图。
如图17所示,检索关键字表格491是将“检索关键字”和“出现频度”对应起来的数据。其中,用整数比表示出现频度。
另外,已分割频度表格492是包括检索关键字表格491的数据,是将“检索关键字”、“出现频度”、以及“已分割频度”对应起来的数据。
返回图16,继续变换规则计算处理(S110)的说明。
在S111B之后,进入S112B。
在S112B中,变换规则计算部410从已分割频度表格492选择第k大的出现频度。
此处,设“k”表示被定义为“k-匿名性”的参数值的匿名数“k”的意思。
例如,在“3-匿名性(k=3)”的情况下,变换规则计算部410从图17所示的已分割频度表格492选择第3大的出现频度“28”。
以下,将在S111B中选择的出现频度称为“运算频度”。
在S112B之后,进入S113B。
在S113B中,变换规则计算部410从已分割频度表格492选择运算频度以上的出现频度。以下,将在S113B中选择的出现频度称为“对象频度”。
变换规则计算部410从对象频度减去运算频度来更新对象频度,将运算频度设定为已分割频度。
图18是实施方式2中的变换规则计算处理(S110)的概要图。
在图18的(1)所示的已分割频度表格492中“3-匿名性(k=3)”的运算频度是“28”,对象频度(28以上的出现频度)是“40”、“35”、“28”。
变换规则计算部410如图18的(2)所示,从对象频度“40”减去运算频度“28”而将对象频度更新为“12(=40-28)”。
另外,变换规则计算部410将运算频度“28”设定为已分割频度。
由此,对象频度“40”被分割为进行相减后的对象频度“12”和已分割频度“28”。
同样地,变换规则计算部410将对象频度“35”分割为进行相减后的对象频度“7”和已分割频度“28”,将对象频度“28”分割为进行相减后的对象频度“0”和已分割频度“28”。
但是,在对象频度是运算频度的n倍以上的值的情况下(n是1以上的整数值),变换规则计算部410从对象频度减去n个运算频度来更新对象频度,将n个运算频度设定为已分割频度。
例如,在对象频度是“60”的情况下,变换规则计算部410从对象频度“60”减去2个运算频度“28”而将对象频度更新为“4(=60-28-28)”,将2个运算频度“28”设定为已分割频度。由此,对象频度“60”被分割为进行相减后的对象频度“4”和2个已分割频度“28”、“28”。
返回图16,继续变换规则计算处理(S110)的说明。
在S113B之后,进入S114B。
在S114B中,变换规则计算部410判定在已分割频度表格492中是否残留有“0”以外的出现频度。
在残留有“0”以外的出现频度的情况下(“是”),进入S115B。
在未残留“0”以外的出现频度的情况下(“否”),进入S117B。
在S115B中,变换规则计算部410判定在已分割频度表格492中“0”以外的出现频度是否残留有“k”个以上。
在“0”以外的出现频度残留有“k”个以上的情况下(“是”),返回S112B。例如,在所述图18的(2)所示的已分割频度表格492中“0”以外的出现频度残留7个、即3(=k)个以上。因此,处理返回S112B。
在“0”以外的出现频度仅残留不足“k”个的情况下(“否”),进入S116B。
在S116B中,变换规则计算部410进行再分割以使已分割频度表格492中设定的已分割频度满足k-匿名性。
另行说明S116B的处理的详细情况。
在S116B之后,进入S117B。
在S117B中,变换规则计算部410计算已分割频度表格492中设定的已分割频度的数量作为“变换关键字数”。
另外,变换规则计算部410计算各已分割频度的比例作为“变换概率”。
另行说明变换关键字数以及变换概率的计算方法的具体例。
通过S117B,变换规则计算处理(S110)结束。
图19至图21是实施方式2中的变换规则计算处理(S110)的概要图。
图22是示出实施方式2中的变换规则表格291的图。
基于图19至图22,说明在S115B中“0”以外的出现频度残留有“k”个以上的情况(“是”)的处理的具体例。
在图19中,变换规则计算部410从(2)已分割频度表格492选择第3(=k)大的出现频度“22”作为运算频度(S112B)。
接下来,变换规则计算部410将运算频度“22”以上的出现频度“27”、“23”、“22”、“22”选择为对象频度。然后,变换规则计算部410将对象频度“27”分割为“5”和“22”,将对象频度“23”分割为“1”和“22”,将对象频度“22”分割为“0”和“22”(S113B)。
由此,生成图19所示的(3)已分割频度表格492。
由于在(3)已分割频度表格492中“0”以外的出现频度残留有3(=k)个以上,所以处理返回S112B(S114B-S115B)。以下继续说明。
在图20中,变换规则计算部410从(3)已分割频度表格492选择第3(=k)大的出现频度“7”作为运算频度(S112B)。
接下来,变换规则计算部410将运算频度“7”以上的出现频度“21”、“12”、“7”选择为对象频度。然后,变换规则计算部410将对象频度“21”分割为“0”和3个“7”,将对象频度“12”分割为“5”和“7”,将对象频度“7”分割为“0”和“7”(S113B)。
由此,生成图20所示的(4)已分割频度表格492。
由于在(4)已分割频度表格492中“0”以外的出现频度残留有3(=k)个以上,所以处理返回S112B(S114B-S115B)。以下继续说明。
在图21中,变换规则计算部410从(4)已分割频度表格492选择第3(=k)大的出现频度“1”作为运算频度(S112B)。
接下来,变换规则计算部410将运算频度“1”以上的出现频度“5”、“5”、“1”选择为对象频度。然后,变换规则计算部410将对象频度“5”分割为“0”和5个“1”,将对象频度“1”分割为“0”和“1”(S113B)。
由此,生成图21所示的(5)已分割频度表格492。
在(5)已分割频度表格492中不存在“0”以上的出现频度(S114B),所以变换规则计算部410如以下那样计算各检索关键字的变换关键字数以及变换概率(S117B)。
在(5)已分割频度表格492中,检索关键字“佐藤”的已分割频度是“28”、“7”以及5个“1”。
变换规则计算部410参照(5)已分割频度表格492,计算检索关键字“佐藤”的已分割频度的个数“7”,作为检索关键字“佐藤”的变换关键字数。
进而,变换规则计算部410计算检索关键字“佐藤”的各已分割频度的比例“28/40”、“7/40”、“1/40”作为检索关键字“佐藤”的各变换关键字的变换概率。
关于其他检索关键字的变换关键字数以及变换概率,变换规则计算部410也同样地求出。
基于图21所示的(5)已分割频度表格492生成变换规则表格291。
例如,在变换规则表格291中与检索关键字“佐藤”对应起来地设定与变换关键字数“7”相同的个数的变换关键字“佐藤-1~7”。
另外,在变换规则表格291中,与检索关键字“佐藤”的各变换关键字对应起来地设定变换概率“28/40”、“7/40”、“1/40”。
图23是示出实施方式2中的加密关键字的登记频度的图。
例如,在基于图22所示的变换规则表格291选择变换关键字,并对所选择的变换关键字进行了加密的情况下,以图23所示那样的登记比例在登记数据表格391中登记各加密关键字。
例如,作为登记频度是“28”的加密关键字,存在“E(佐藤-1)”、“E(铃木-1)”、“E(高桥-1)”这3(=k)种加密关键字。因此,无法确定这些3个加密关键字中的哪一个是与检索关键字“佐藤(或者铃木、高桥)”对应的数据。
即,由于“3-匿名性”被保证,所以加密关键字的频度分析是困难的。
同样地,对于其他登记频度“22”、“7”、“1”,也在3(=k)种以上的加密关键字中共用。因此,由于“3-匿名性”被保证,所以加密关键字的频度分析是困难的。
图24是示出实施方式2中的检索关键字表格491和已分割频度表格492的其他例的图。
图25是示出实施方式2中的变换规则计算处理(S110)的再分割处理(S116B)的流程图。
图26、图27是实施方式2中的再分割处理(S116B)的概要图。
基于图24-图27,说明在S115B中“0”以外的出现频度仅残留不足“k”个的情况(“否”)的再分割处理(S116B)。
在基于图24所示的检索关键字表格491,而在S112B-S115B中(参照图16)分割了各检索关键字的出现频度的情况下,得到图24的(1)已分割频度表格492。
(1)已分割频度表格492中残留的“0”以外的出现频度“5”的数量是2个。即,“0”以外的出现频度仅残留不足3个(=k),所以执行图25所示的再分割处理(S116B)。
在S116B-1(参照图25)中,变换规则计算部410基于已分割频度表格492,针对由相同值的已分割频度构成的每个已分割频度组计算已分割频度组所包含的已分割频度的数量。以下,将已分割频度组所包含的已分割频度的数量称为“组内频度数”。
在图24所示的(1)已分割频度表格492中,包括由3个已分割频度“28”构成的“28”已分割频度组、由4个已分割频度“22”构成的“22”已分割频度组、以及由5个已分割频度“7”构成的“7”已分割频度组这3个组。在该情况下,“28”已分割频度组的组内频度数是“3”,“22”已分割频度组的组内频度数是“4”,“7”已分割频度组的组内频度数是“5”。
变换规则计算部410将组内频度数比匿名数“k”多的已分割频度组判定为“分割候补组”。其原因是满足“k-匿名性”。
在图24所示的(1)已分割频度表格492的情况下,“22”已分割频度组和“7”已分割频度组是分割候补组。
变换规则计算部410选择由最小的已分割频度构成的分割候补组作为“再分割频度组”。
在图24所示的(1)已分割频度表格492的情况下,“7”已分割频度组是再分割频度组。
但是,变换规则计算部410既可以选择由最大的已分割频度构成的分割候补组作为再分割频度组,也可以选择组内频度数最多(或者少)的分割候补组作为再分割频度组,也可以从各分割候补组随机地选择再分割频度组。
变换规则计算部410从再分割频度组所包含的多个已分割频度选择返回到出现频度的已分割频度作为“再分割频度”。
例如,变换规则计算部410以与再分割频度组内的剩余的已分割频度对应的检索关键字的数量成为匿名数“k”以上为条件来选择再分割频度。
在图24所示的(1)已分割频度表格492的情况下,变换规则计算部410选择检索关键字“中村”的已分割频度“7”作为再分割频度。
在S116B-1之后,进入S116B-2。
在S116B-2中,变换规则计算部410将再分割频度加到分割源(减法源)的出现频度来更新分割源的出现频度,删除再分割频度。由此,再分割频度从“已分割频度”返回到分割源的“出现频度”。
例如,如果在图26所示的(1)已分割频度表格492中使再分割频度“7”返回到出现频度,则得到(2)已分割频度表格492。
在S116B-2之后,进入S116B-3。
在S116B-3中,变换规则计算部410判定在已分割频度表格492中“0”以外的出现频度是否残留有“k”个以上。
在“0”以外的出现频度残留有“k”个以上的情况下(“是”),进入S116B-4。
在“0”以外的出现频度仅残留不足“k”个的情况下(“否”),返回S116B-1。
在S116B-4中,变换规则计算部410决定用于对已分割频度表格492中残留的各出现频度(≠0)进行分割的已分割频度的组合,以所决定的已分割频度的组合来分割各出现频度。
其中,设变换规则计算部410使用构成已分割频度的组合的所有已分割频度来分割各出现频度。
即,各出现频度通过与其他出现频度相同的已分割频度的组合而来被分割。由此,能够满足“k-匿名性”。
在图27所示的(2)已分割频度表格492中残留有出现频度“5”、“5”、“7”。出现频度“5”、“5”、“7”能够分别组合“3”和“2”来分割。在将出现频度“5”、“5”、“7”分割为已分割频度“3”、“2”的情况下,得到(3)已分割频度表格492。
例如,变换规则计算部410循环地分割各出现频度(分割的穷举搜索)来生成多个组合候补,针对所生成的每个组合候补计算依照该组合候补分割了各出现频度的情况下的已分割频度的总数。然后,变换规则计算部410将已分割频度的总数最少的组合候补选择为已分割频度的组合,以所选择的已分割频度的组合来分割各出现频度。该已分割频度的组合是使变换关键字数的平均值最小的组合。由此,能够使检索请求数据所包含的检索请求关键字(加密关键字)的数量的平均值最小。
例如,出现频度“5”、“5”、“7”还能够以“4”和“1”的组合、“3”和“1”的组合或者“2”和“1”的组合来分割。但是,在以“3”和“2”的组合来分割了各出现频度的情况下已分割频度的总数变得最少。因此,变换规则计算部410将出现频度“5”、“5”、“7”分割为已分割频度“3”、“2”。
但是,变换规则计算部410也可以针对每个组合候补计算依照该组合候补来分割了各出现频度的情况下的变换关键字数的最大值,将变换关键字数的最大值为最小的组合候补选择为已分割频度的组合。由此,能够减小检索请求数据所包含的检索请求关键字的数量的最大值。
通过S116B-4,再分割处理(S116B)结束。
此处,进行图16所示的变换规则计算处理(S110)的补充说明。
在S115B(图16)中,在“0”以外的出现频度残留有“k”个以上的情况下(“是”),也可以通过进行与在图25中说明了的再分割处理(S116B)相同的处理,来使已分割频度最优化。
图28-图30是示出实施方式2中的已分割频度的最优化的图。
基于图20、图28-图30,说明已分割频度的最佳的具体例。
在图20中在(4)已分割频度表格492中新设定的已分割频度“7”的数量比3(=k)个多。
此时,虽然“0”以外的出现频度“5”、“5”、“1”残留有3(=k)个以上,但在剩余的出现频度“5”、“5”、“1”中第3(=k)大的出现频度“1”(运算频度)是规定的频度阈值(例如1)以下。
因此,变换规则计算部410使5个已分割频度“7”中的满足“3-匿名性”的检索关键字“中村”的已分割频度“7”返回到出现频度。由此,得到图28的(5)已分割频度表格492。
变换规则计算部410分割剩余的出现频度“7”、“5”、“5”、“1”而生成已分割频度的组合候补。其中,设各已分割频度的组合候补满足“3-匿名性”。即,满足构成已分割频度的组合候补的各已分割频度与3(=k)个以上的检索关键字对应起来地被设定这样的条件。
然后,变换规则计算部410从所生成的已分割频度的组合候补选择已分割频度的组合,以所选择的已分割频度的组合分割各出现频度“7”、“5”、“5”、“1”。
在图29的(A)已分割频度表格492中示出使变换关键字数的平均值(已分割频度的总数)为最少而得到的分割结果,在图29的(B)已分割频度表格492中示出使变换关键字数的最大值为最小而得到的分割结果。
(A)已分割频度表格492的变换关键字数的平均值是“2.5”,是比图21所示的(5)已分割频度表格492的变换关键字数的平均值“2.875”小的值。
(B)已分割频度表格492的变换关键字数的最大值是“5”(检索关键字:佐藤、中村),是比图21所示的(5)已分割频度表格492的变换关键字数的最大值“7”(检索关键字:佐藤)小的值。
进而,变换规则计算部410也可以针对多个“k-匿名性”生成已分割频度表格492。
在该情况下,变换规则计算部410判定所生成的已分割频度表格492中的满足规定的最优化条件的已分割频度表格492,选择满足规定的最优化条件(例如,检索关键字数的平均值或者最大值)的已分割频度表格492中的“k”的值为最大的已分割频度表格492。
例如,变换规则计算部410生成“3-匿名性”、“4-匿名性”、“5-匿名性”的已分割频度表格492。
图30示出“3-匿名性”的已分割频度表格492以及“4-匿名性”的已分割频度表格492。关于“5-匿名性”的已分割频度表格492,图示省略。
变换规则计算部410计算“3-匿名性”、“4-匿名性”、“5-匿名性”的检索关键字数的平均值。在图30的情况下,“3-匿名性”的检索关键字数的平均值是“2.5”,“4-匿名性”的检索关键字数的平均值是“2.75”。另外,设为“5-匿名性”的检索关键字数的平均值是“3.5”。
变换规则计算部410将各检索关键字数的平均值“2.5”、“2.75”、“3.5”与规定的最优化条件值“3.0”进行比较。在该情况下,“3-匿名性”的检索关键字的平均值“2.5”以及“4-匿名性”的检索关键字的平均值“2.75”是在最优化条件值“3.0”以下,满足最优化条件。
因此,变换规则计算部410选择“3-匿名性”的已分割频度表格492和“4-匿名性”的已分割频度表格492中的“k”的值大的“4-匿名性”的已分割频度表格492。
如上所述,变换规则计算部410也可以使已分割频度表格492最优化。
变换规则管理装置400的变换规则管理方法的其他处理(S120-S140)与实施方式1(参照图6)相同。
另外,数据登记装置500的数据登记方法、信息处理装置200的检索方法以及服务器装置300的检索方法与实施方式1(参照图10、13、14)相同。
在实施方式2中,例如,说明了如以下那样的隐匿检索系统100。
在隐匿检索系统100中作为安全性的指标定义“k-匿名性”这样的指标,基于该指标,变换规则管理装置400生成变换规则。
由此,能够减小在检索时信息处理装置200发送到服务器装置300的检索请求的大小。
k-匿名性是指,在攻击者得到关键字的频度分布、变换规则、加密关键字的频度分布的所有信息的基础上由加密关键字推测关键字的情况下,针对任意的加密关键字,可对应的关键字存在k个以上。
在隐匿检索系统100中,信息处理装置200能够在使数据和关键字相对服务器装置300保持隐匿的状态下进行检索。
通过满足k-匿名性这样的性质,能够防止通过服务器装置300确定关键字,进而相比于实施方式1,能够减小检索请求的大小。
例如,在基于图17所示的检索关键字表格491生成了变换规则表格291的情况下,在实施方式1中,为了使各变换关键字的出现频度均匀,需要针对检索关键字“佐藤”,设置出现频度是“1”的40个变换关键字。另一方面,在实施方式2中,如图22所示,针对检索关键字“佐藤”设置7个变换关键字即可。即,由于实施方式2的变换关键字数更少,所以实施方式2的检索请求数据的大小更小。
实施方式3.
作为满足“k-匿名性”的隐匿检索系统100的方式,说明与实施方式2不同的方式。
以下,主要说明与实施方式1-2不同的事项。关于省略说明的事项,与实施方式1-2相同。
隐匿检索系统100的装置结构以及各装置的功能结构与实施方式1(参照图1-5)相同。
但是,变换规则管理装置400的变换规则计算部410如以下那样计算变换关键字数和变换概率。
变换规则计算部410使用规定的基数的幂值,针对每个检索关键字将检索关键字的出现频度分割为多个出现频度。
变换规则计算部410针对每个检索关键字计算出现频度的分割数作为变换关键字数(对应关键字数)。
变换规则计算部410计算已分割频度(分割后的出现频度)相对分割前的出现频度的比例作为变换概率(对应关键字选择率)。
另外,变换规则计算部410使用基数的幂值来分割各检索关键字的已分割频度中的具有该已分割频度的检索关键字的数量小于规定的匿名数“k”的已分割频度。
图31是实施方式3中的变换规则计算处理(S110)的流程图。
图32、图33是实施方式3中的变换规则计算处理(S110)的概要图。
基于图31-33说明实施方式3中的变换规则计算处理(S110)。
在S111C(参照图31)中,变换规则计算部410使用规定的基数值“p”对已分割频度表格492中设定的各出现频度进行p进制展开,将各出现频度分割为多个已分割频度。
在图32中,关于(1)已分割频度表格492中设定的各出现频度,能够如(2)已分割频度表格492中设定的已分割频度那样进行2进制展开。
例如,检索关键字“佐藤”的出现频度“40”被分割为对基数“2(=p)”进行5次方而得到的值“32”和对基数“2”进行3次方而得到的值“8”。
但是,也可以通过以“2”以外的值(例如,3、5)作为基数的幂值来分割各出现频度。
返回图31,继续变换规则计算处理(S110)的说明。
在S111C之后,进入S112C。
在S112C中,变换规则计算部410基于已分割频度表格492针对已分割频度的每个值计算已分割频度的个数。以下,将已分割频度的个数称为“频度个数”。
变换规则计算部410判定是否有频度个数小于匿名数“k”的已分割频度。
在有频度个数小于匿名数“k”的已分割频度的情况下(“是”),进入S113C。
在无频度个数小于匿名数“k”的已分割频度的情况下(“否”),进入S114C。
在图32的(2)已分割频度表格492的情况下,已分割频度“32”的频度个数是“2”,已分割频度“16”的频度个数是“6”,已分割频度“8”的频度个数是“3”,已分割频度“4”的频度个数是“5”,已分割频度“2”的频度个数是“5”,已分割频度“1”的频度个数是“4”。
在该情况下,已分割频度“32”的频度个数“2”小于“3(=k)”。
因此,处理进入S113C。
返回图31,从S113C继续说明。
在S113C中,变换规则计算部410对频度个数小于匿名数“k”的已分割频度(以下,称为“再分割频度”)进行p进制展开来分割。
图33的(2)已分割频度表格492中设定的再分割频度“32”能够分割为对2(=p)进行4次方而得到的值“16”。由此,得到(3)已分割频度表格492。
返回图31,继续变换规则计算处理(S110)的说明。
在S113C之后,返回S112C。
在图33所示的(3)已分割频度表格492中,所有已分割频度的频度个数都是“3(=k)”以上。
因此,在S112C之后,进入S114C(参照图31)。
在S114C中,变换规则计算部410基于已分割频度表格492针对每个变换关键字计算已分割频度的数量作为“变换关键字数”,计算各已分割频度的比例作为“变换概率”。
在图33的(3)已分割频度表格492的情况下,检索关键字“佐藤”的已分割频度是“16”、“16”、“8”。
因此,变换规则计算部410计算检索关键字“佐藤”的已分割频度的个数“3”作为检索关键字“佐藤”的变换关键字数。
进而,变换规则计算部410计算检索关键字“佐藤”的各已分割频度的比例“16/40”、“16/40”、“8/40”作为检索关键字“佐藤”的各变换关键字的变换概率。
变换规则计算部410针对其他检索关键字的变换关键字数以及变换概率也同样地求出。
图34是示出实施方式3中的变换规则表格291的图。
图35是示出实施方式3中的加密关键字的登记频度的图。
基于图33所示的(3)已分割频度表格492来生成图34所示的变换规则表格291。
例如,在变换规则表格291中与检索关键字“佐藤”对应起来地设定与变换关键字数“3”相同的个数的变换关键字“佐藤-1~3”。
另外,在变换规则表格291中,与检索关键字“佐藤”的各变换关键字对应起来地设定变换概率“16/40”、“16/40”、“8/40”。
在基于图34的变换规则表格291选择变换关键字,并对所选择的变换关键字进行了加密的情况下,各加密关键字以图35所示那样的登记比例被登记到登记数据表格391。
各登记频度在3(=k)种以上的加密关键字中共用。因此,“3-匿名性”被保证,加密关键字的频度分析是困难的。
变换规则计算部410也可以使已分割频度表格492最优化。
例如,变换规则计算部410如以下那样使已分割频度表格492最优化。
参照已分割频度表格492,变换规则计算部410将即使进行合并也仍满足“k-匿名性”的已分割频度的组合判定为“合并候补”。
变换规则计算部410针对每个合并候补合并已分割频度来生成已分割频度表格492。
变换规则计算部410针对每个已分割频度表格492计算变换关键字数的平均值(或者变换关键字数的最大值)。
变换规则计算部410选择变换关键字数的平均值(或者变换关键字数的最大值)最小的已分割频度表格492。
图36是示出实施方式3中的已分割频度表格492的最优化的具体例的图。
在图36所示的(3)已分割频度表格492的情况下,作为满足“3-匿名性”的合并候补,可以举出{16、8}、{16、4}、{16、2}、{16、1}。其原因是,即使选择某个合并候补来合并已分割频度,合并后的各已分割频度在3(=k)个以上的检索关键字中仍共用。
例如,在将合并候补{16、2}合并为已分割频度“18(=16+2)”的情况下,得到图36所示的(4)已分割频度表格492。(4)已分割频度表格492的变换关键字数的平均值是“2.75”。
另外,合并了合并候补{16、8}的情况下的变换关键字数的平均值是“3.0”,合并了合并候补{16、4}的情况下的变换关键字数的平均值是“2.75”,合并了合并候补{16、1}的情况下的变换关键字数的平均值是“2.875”。
即,由于合并了合并候补{16、2}的情况下的变换关键字数的平均值“2.75”最小,所以变换规则计算部410选择合并了合并候补{16、2}的(4)已分割频度表格492。但是,即使在合并了合并候补{16、4}的情况下,由于变换关键字数的平均值也是“2.75”,所以变换规则计算部410可以选择合并了合并候补{16、4}的已分割频度表格492。
图37、38示出基于合并了合并候补{16、2}的(4)已分割频度表格492的变换规则表格291和加密关键字的登记频度。
另外,变换规则计算部410也可以从多个合并候补随机地选择某一个合并候补,采用所选择的合并候补来生成已分割频度表格492。
在上述中,通过p进制法展开对检索关键字的出现频度进行了分割,但也可以依照p进制法以外的分割规则来分割检索关键字的出现频度。
例如,预先定义由多个分割值“1、5、10、50、100、500、…”构成的分割规则。然后,变换规则计算部410依照该分割规则来分割检索关键字的出现频度。在该情况下,出现频度“28”被分割为“10”、“10”、“5”、“1”、“1”、“1”。
变换规则管理装置400的变换规则管理方法的其他处理(S120-S140)与实施方式1(参照图6)相同。
另外,数据登记装置500的数据登记方法、信息处理装置200的检索方法以及服务器装置300的检索方法与实施方式1(参照图10、13、14)相同。
通过实施方式3,能够得到与实施方式2相同的效果。
实施方式4.
对将在攻击者推测关键字时的不确定性(熵)作为安全性指标来计算变换关键字数和变换概率的方式进行说明。
以下,主要说明与实施方式1-3不同的事项。关于省略说明的事项,与实施方式1-3相同。
隐匿检索系统100的装置结构以及各装置的功能结构与实施方式1(参照图1-5)相同。
但是,变换规则管理装置400的变换规则计算部410如以下那样计算变换关键字数和变换概率。
在变换规则计算部410中,基于各检索关键字的出现频度,计算通过规定的组合将检索关键字和特定数量的变换关键字对应起来的概率,作为针对每个检索关键字设置了特定数量的变换关键字的情况下的发生概率值(对应概率值)。
变换规则计算部410基于所计算出的发生概率值来计算检索关键字和特定数量的变换关键字的组合的熵作为熵值。
变换规则计算部410对所计算出的熵值乘以发生概率值来计算熵指标值。
变换规则计算部410将所计算出的熵指标值与规定的熵阈值进行比较。
变换规则计算部410在熵指标值大于熵阈值的情况下,计算变换关键字的特定数量作为变换关键字数。
变换规则计算部410计算变换关键字数的倒数作为变换概率(变换关键字选择率)。
图39是示出实施方式4中的变换规则计算处理(S110)的流程图。
基于图39,说明实施方式4中的变换规则计算处理(S110)。
以下,设作为表示安全性的参数值,提供了登记数据数“N”和熵阈值“H”。
在S111D中,变换规则计算部410对变量“关键字变换数w”设定初始值“1”。但是,初始值也可以是2以上的整数。
在S111D之后,进入S112D。
在S112D中,变换规则计算部410基于各检索关键字的出现频度来计算针对每个检索关键字设置了关键字变换数w的变换关键字的情况下的发生概率值。发生概率值是指,将检索关键字和关键字变换数w的变换关键字通过正确的组合对应起来的概率。
图40是示出实施方式4中的检索关键字表格491的图。
图41是示出实施方式4中的变换规则表格291的一个例子的图。
图42、图43是示出实施方式4中的检索关键字和变换关键字的组合的一个例子的图。
在基于图40所示的检索关键字表格491针对检索关键字“已婚”设置了1(=w)个变换关键字“已婚-1”,针对检索关键字“未婚”设置了1个变换关键字“未婚-1”的情况下,得到图41所示的(1)变换规则表格291。
在将对变换关键字“已婚-1”、“未婚-1”进行加密而得到的加密关键字设为“E(已婚-1)”、“E(未婚-1)”的情况下,检索关键字和加密关键字的组合如图42的(1)、(2)所示存在2组。图42的(1)的组合是正确的组合。
另外,在关键字变换数w是“2”的情况下,基于图40所示的检索关键字表格491来得到图41所示的(2)变换规则表格291。
在该情况下,检索关键字和加密关键字的组合如图43的(1)~(6)所示存在6组。
如图40所示,检索关键字“已婚”的出现频度是“75%(=3/4)”,检索关键字“未婚”的出现频度是“25%(=1/4)”。
因此,加密关键字“E(已婚-1)”的登记频度是“75%(=3/4)”,加密关键字“E(未婚-1)”的登记频度是“25%(=1/4)”。
此处,在登记数据数“N=10”的情况下,存在在登记数据表格391(参照图11)中登记1个加密关键字“E(已婚-1)”和9个加密关键字“E(未婚-1)”的可能性。
另外,还存在登记2个、3个、…、10个加密关键字“E(已婚-1)”的可能性。进而,还存在未登记加密关键字“E(已婚-1)”、即加密关键字“E(已婚-1)”是0个的可能性。
但是,由于变换关键字被加密,所以即使观察加密关键字仍无法判别加密关键字是对哪个变换关键字进行加密而得到的数据。因此,检索关键字和加密关键字的正确的组合不清楚。
例如,如果设在登记数据表格391中登记有6个加密关键字“E(已婚-1)”和4个加密关键字“E(未婚-1)”,则在如图42的(1)所示那样正确地组合了检索关键字和加密关键字的情况下,登记有6个加密关键字“E(已婚-1)”和4个加密关键字“E(未婚-1)”的登记概率是36/410(=(3/4)6×(1/4)4)。该值是基于登记数据数“10”、加密关键字的登记数“6”、“4”以及加密关键字的登记频度“3/4”、“1/4”的值。
同样地,如图42的(2)所示,将检索关键字和加密关键字错误地组合了的情况下的登记概率是34/410(=(3/4)4×(1/4)6)。
因此,图42的(1)的组合是正确的组合的似然度是0.9(=(36/410)/(36/410+34/410))。同样地,图42的(1)的组合是错误的组合的似然度是0.1(=(34/410)/(36/410+34/410))。这些值是使用登记概率“36/410”、“34/410”通过贝叶斯定理来计算的值。以下,将计算出的似然度称为“发生概率值”。
变换规则计算部410针对加密关键字“E(已婚-1)”的每个登记数,如上所述地计算发生概率值。但是,也可以基于蒙特卡洛(MonteCarlo)法,随机地选择一个以上的具有N个登记数据的登记数据表格,针对所选择的每个登记数据表格来计算发生概率值。
在S112D(图39)之后,进入S113D。
在S113D中,变换规则计算部410基于在S112D中计算出的发生概率值,计算检索关键字和变换关键字的组合的熵,作为熵值。但是,变换规则计算部410针对加密关键字“E(已婚-1)”的每个登记数来计算熵值。另外,当针对在S112D中随机地选择出的每个登记数据表格来计算了发生概率值的情况下,变换规则计算部410针对计算了发生概率值的每个登记数据表格来计算熵值。
例如,在发生概率值是“0.9”、“0.1”的情况下,熵值是0.47(≈-(0.9log20.9+0.1log20.1))。
在S113D之后,进入S114D。
在S114D中,变换规则计算部410针对加密关键字“E(已婚-1)”的每个登记数,将在S113D中计算出的熵值A乘以所述登记数的加密关键字“E(已婚-1)”发生的概率B,来计算加权熵值C(=A×B)。
以下,将与加密关键字“E(已婚-1)”的登记数n(n是0以上N以下的整数)对应的加权熵值记为“Cn”。
变换规则计算部410计算加权熵值Cn的合计值作为熵指标值“h”。
在S114D之后,进入S115D。
在S115D中,变换规则计算部410比较在S114D中计算出的熵指标值“h”和预先提供的熵阈值“H”。
在熵指标值“h”是在熵阈值“H”以上的情况下(“是”),进入S117D。
在熵指标值“h”小于熵阈值“H”的情况下(“否”),进入S116D。
在S116D中,变换规则计算部410对关键字变换数“w”加上相加值“1”。但是,相加值也可以是2以上的整数。另外,也可以将关键字变换数“w”进行整数倍运算。
在S116D之后,返回S112D。
在S117D中,变换规则计算部410将关键字变换数“w”作为变换关键字数输出。
另外,变换规则计算部410计算变换关键字数的倒数“1/w”作为各变换关键字的变换概率。
变换规则管理装置400的变换规则管理方法的其他处理(S120-S140)与实施方式1(参照图6)相同。
但是,在变换规则表格291中也可以不针对每个变换关键字设定变换概率。其原因是,由于各变换关键字的变换概率相同,所以另行存储一个变换概率即可。
另外,数据登记装置500的数据登记方法、信息处理装置200的检索方法以及服务器装置300的检索方法与实施方式1(参照图10、13、14)相同。
以下,对实施方式4进行补充说明。
频度分析攻击是指,通过比较检索关键字的频度分布和加密关键字的频度分布来将它们对应起来,推测加密关键字的内容的攻击。
在攻击者充分地得到加密关键字的情况下,可认为加密关键字的频度分布充分接近检索关键字的频度分布。
因此,在各实施方式中,制作多个具有同一频度的加密关键字,防止检索关键字的确定。
在攻击者得到的加密关键字的量少的情况下,加密关键字的频度分布与检索关键字的频度分布不一定一致。
在该情况下,不仅无法确定频度一致的加密关键字的内容,而且推测频度接近的加密关键字的内容也变得困难。
因此,在实施方式4中,假设攻击者得到被限定的量的加密关键字,将加密关键字和检索关键字的对应起来的不确定性(熵)用数值来表示,将该数值作为安全性指标,生成变换规则。
在实施方式4中,例如,说明了以下那样的隐匿检索系统100。
在隐匿检索系统100中,信息处理装置200能够在对服务器装置300隐匿了数据和关键字的状态下进行检索。
能够通过基于熵的安全性来在利用服务器装置300进行的关键字推测中确保某种程度的不确定性,进而相比于实施方式1,能够减小检索请求的大小。
另外,通过使各变换关键字的变换概率(检索关键字的频度分割数)为恒定,能够减小变换规则表格291的数据大小。其原因是,也可以不针对每个变换关键字设定变换概率。
但是,也可以使变换概率针对每个变换关键字是可变的。例如也可以如“关东地方的都县名是10分割”、“近畿地方的府县名是9分割”那样,对检索关键字进行分组来针对每个组使用恒定的变换概率。
在上述说明中,在固定了熵这样的安全性的下限的基础上进行了检索请求大小的削减、变换规则的简化,但也可以在固定了检索请求大小、变换规则的复杂度的基础上提高安全性。
例如,也可以利用将检索请求大小的平均值(关键字变换数w、变换关键字数的平均值)限定为2以下而使熵成为最大的变换规则。另外,在检索关键字的分组中,也可以利用在将组数限定为3个的分割中熵成为最大的变换规则。
Claims (18)
1.一种检索系统,具备信息处理装置、检索装置和对应关键字管理装置,其特征在于,
所述信息处理装置具备:
对应关键字存储部,存储通过所述对应关键字管理装置生成的对应关键字数据,该对应关键字数据是将检索关键字和包括一个以上的对应关键字的对应关键字群对应起来的数据;
检索关键字输入部,输入检索关键字;
对应关键字群获取部,从所述对应关键字存储部所存储的对应关键字数据获取与通过所述检索关键字输入部输入的所述检索关键字对应的对应关键字群;
加密关键字群生成部,对由所述对应关键字群获取部获取到的对应关键字群所包含的对应关键字进行加密来生成加密关键字群;
检索请求数据发送部,将包括由所述加密关键字群生成部生成的加密关键字群的检索请求数据发送到所述检索装置;
检索响应数据接收部,接收从所述检索装置发送的检索响应数据;以及
检索结果输出部,对由所述检索响应数据接收部接收到的检索响应数据所包含的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出,
所述检索装置具备:
加密数据存储部,将对检索数据进行加密而得到的加密数据和对对应关键字进行加密而得到的加密关键字对应起来地存储;
检索请求数据接收部,接收从所述信息处理装置发送的检索请求数据;
加密数据检索部,基于由所述检索请求数据接收部接收到的检索请求数据,将所述检索请求数据内的加密关键字群所包含的加密关键字作为检索关键码,从所述加密数据存储部获取与检索关键码对应的加密数据;以及
检索响应数据发送部,发送包括由所述加密数据检索部获取到的加密数据的检索响应数据,
所述对应关键字管理装置具备:
出现频度存储部,存储出现频度数据,所述出现频度数据定义检索关键字和表示与检索关键字对应起来的检索数据的比例的意思的检索关键字的出现频度;
对应关键字数计算部,根据所述出现频度存储部所存储的出现频度数据中定义的所述检索关键字的出现频度,计算与所述检索关键字对应起来的对应关键字的个数的对应关键字数和对应关键字选择率;
对应关键字群生成部,生成与由所述对应关键字数计算部计算出的对应关键字数相同的个数的对应关键字,作为对应关键字群;以及
对应关键字数据生成部,将所述出现频度数据中定义的检索关键字和由所述对应关键字群生成部生成的对应关键字群和由所述对应关键字数计算部计算出的对应关键字选择率对应起来地生成所述对应关键字数据。
2.根据权利要求1所述的检索系统,其特征在于,
所述对应关键字管理装置的对应关键字数计算部基于所述出现频度数据中定义的检索关键字的出现频度,针对所述检索关键字的每个对应关键字来计算从所述检索关键字的对应关键字群选择该对应关键字的比例,作为对应关键字选择率,
所述对应关键字管理装置的对应关键字数据生成部生成将所述检索关键字、所述对应关键字群以及所述对应关键字选择率对应起来的数据,作为对应关键字选择率数据,
所述检索系统还具备加密数据生成装置,
所述加密数据生成装置具备:
检索数据存储部,将检索数据和检索关键字对应起来地存储;
对应关键字选择率存储部,存储由所述对应关键字管理装置生成的对应关键字选择率数据;
对应关键字选择部,从所述对应关键字选择率数据获取与所述检索数据存储部所存储的检索关键字对应的对应关键字群,根据所述对应关键字选择率数据所包含的对应关键字选择率,选择所获取到的对应关键字群所包含的至少某一个对应关键字;以及
加密数据生成部,对所述检索数据存储部所存储的检索数据进行加密来生成加密数据,对由所述对应关键字选择部选择的对应关键字进行加密来生成加密关键字,
所述检索装置的所述加密数据存储部将由所述加密数据生成装置生成的加密数据和加密关键字对应起来地存储。
3.根据权利要求2所述的检索系统,其特征在于,
所述对应关键字管理装置的对应关键字数计算部计算各检索关键字的对应关键字数,以使得按各检索关键字的对应关键字数来分割了的分割后的各检索关键字的出现频度相等,
所述对应关键字数计算部针对每个检索关键字来计算所述对应关键字数的倒数,作为所述对应关键字选择率。
4.根据权利要求3所述的检索系统,其特征在于,
所述对应关键字数计算部计算各检索关键字的出现频度的最大公约数,针对每个检索关键字来计算将检索关键字的出现频度除以所述最大公约数而得到的值,作为检索关键字的对应关键字数。
5.根据权利要求2所述的检索系统,其特征在于,
所述对应关键字管理装置的对应关键字数计算部计算以使规定的匿名数以上的检索关键字具有相同的出现频度的方式来分割各检索关键字的出现频度的分割数,作为各检索关键字的对应关键字数,计算分割各检索关键字的出现频度的分割比例,作为各检索关键字的对应关键字选择率。
6.根据权利要求2所述的检索系统,其特征在于,
所述对应关键字数计算部从各检索关键字的出现频度选择第k大的出现频度作为运算频度,从所述运算频度以上的出现频度减去一个以上的运算频度,从进行相减后的各检索关键字的出现频度选择第所述k大的出现频度作为新的运算频度,从新的运算频度以上的出现频度减去一个以上的新的运算频度,针对每个检索关键字来计算从出现频度减去的各运算频度的数量,作为对应关键字数,并且计算各运算频度相对原来的出现频度的比例,作为对应关键字选择率,其中k是规定的匿名数。
7.根据权利要求2所述的检索系统,其特征在于,
所述对应关键字数计算部针对每个检索关键字,使用规定的基数的幂值来将检索关键字的出现频度分割为多个出现频度,针对每个检索关键字来计算出现频度的分割数作为对应关键字数,并且计算分割后的出现频度相对分割前的出现频度的比例作为对应关键字选择率。
8.根据权利要求7所述的检索系统,其特征在于,
所述对应关键字数计算部使用所述基数的幂值来分割各检索关键字的分割后的出现频度中的具有该出现频度的检索关键字的数量小于规定的匿名数的出现频度。
9.根据权利要求2所述的检索系统,其特征在于,
所述对应关键字数计算部基于各检索关键字的出现频度,计算表示通过规定的组合来将各检索关键字和特定数量的对应关键字对应起来的概率的对应概率值,基于所计算出的对应概率值来计算所述规定的组合的熵作为熵值,对所计算出的熵值乘以所述对应概率值来计算熵指标值,将所计算出的熵指标值与规定的熵阈值进行比较,在所述熵指标值大于所述熵阈值的情况下,计算所述特定数量,作为对应关键字数,
所述对应关键字数计算部计算所述对应关键字数的倒数,作为所述对应关键字选择率。
10.一种检索系统的检索方法,所述检索系统具备信息处理装置、检索装置和对应关键字管理装置,其特征在于,
所述信息处理装置具备对应关键字存储部,所述对应关键字存储部存储通过所述对应关键字管理装置生成的对应关键字数据,该对应关键字数据是将检索关键字和包括一个以上的对应关键字的对应关键字群对应起来的数据,
所述信息处理装置执行:
检索关键字输入处理,输入检索关键字;
对应关键字群获取处理,从所述对应关键字存储部所存储的对应关键字数据获取与通过所述检索关键字输入处理所输入的所述检索关键字对应的对应关键字群;
加密关键字群生成处理,对通过所述对应关键字群获取处理获取到的对应关键字群所包含的对应关键字进行加密来生成加密关键字群;以及
检索请求数据发送处理,将包括通过所述加密关键字群生成处理生成的加密关键字群的检索请求数据发送到所述检索装置,
所述检索装置具备加密数据存储部,所述加密数据存储部将对检索数据进行加密而得到的加密数据和对对应关键字进行加密而得到的加密关键字对应起来地存储,
所述检索装置执行:
检索请求数据接收处理,接收从所述信息处理装置发送的检索请求数据;
加密数据检索处理,基于通过所述检索请求数据接收处理所接收到的检索请求数据,将所述检索请求数据内的加密关键字群所包含的加密关键字作为检索关键码,从所述加密数据存储部获取与检索关键码对应的加密数据;以及
检索响应数据发送处理,发送包括通过所述加密数据检索处理所获取到的加密数据的检索响应数据,
所述信息处理装置执行:
检索响应数据接收处理,接收从所述检索装置发送的检索响应数据;以及
检索结果输出处理,对通过所述检索响应数据接收处理所接收到的检索响应数据所包含的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出,
所述对应关键字管理装置具备出现频度存储部,所述出现频度存储部存储出现频度数据,所述出现频度数据定义检索关键字和表示与检索关键字对应起来的检索数据的比例的意思的检索关键字的出现频度,并且所述对应关键字管理装置执行:
对应关键字数计算处理,根据所述出现频度存储部所存储的出现频度数据中定义的所述检索关键字的出现频度,计算与所述检索关键字对应起来的对应关键字的个数的对应关键字数和对应关键字选择率;
对应关键字群生成处理,生成与由所述对应关键字数计算处理计算出的对应关键字数相同的个数的对应关键字,作为对应关键字群;以及
对应关键字数据生成处理,将所述出现频度数据中定义的检索关键字和由所述对应关键字群生成处理所生成的对应关键字群和由所述对应关键字数计算处理计算出的对应关键字选择率对应起来地生成所述对应关键字数据。
11.一种对应关键字管理装置,其特征在于,具备:
出现频度存储部,存储出现频度数据,所述出现频度数据定义检索关键字和表示与检索关键字对应起来的检索数据的比例的意思的检索关键字的出现频度;
对应关键字数计算部,根据所述出现频度存储部所存储的出现频度数据中定义的所述检索关键字的出现频度,计算与所述检索关键字对应起来的对应关键字的个数的对应关键字数和对应关键字选择率;
对应关键字群生成部,生成与通过所述对应关键字数计算部所计算出的对应关键字数相同的个数的对应关键字,作为对应关键字群;以及
对应关键字数据生成部,生成将所述出现频度数据中定义的检索关键字和由所述对应关键字群生成部生成的对应关键字群和由所述对应关键字数计算部计算出的对应关键字选择率对应起来的数据,作为对应关键字数据。
12.根据权利要求11所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部基于所述出现频度数据中定义的检索关键字的出现频度,针对所述检索关键字的每个对应关键字来计算从所述检索关键字的对应关键字群选择该对应关键字的比例,作为对应关键字选择率;
所述对应关键字数据生成部生成将所述检索关键字、所述对应关键字群以及所述对应关键字选择率对应起来的数据,作为对应关键字选择率数据。
13.根据权利要求12所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部计算以使规定的匿名数以上的检索关键字具有相同的出现频度的方式来分割各检索关键字的出现频度的分割数,作为各检索关键字的对应关键字数,计算分割各检索关键字的出现频度的分割比例,作为各检索关键字的对应关键字选择率。
14.根据权利要求12所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部从各检索关键字的出现频度选择第k大的出现频度作为运算频度,从所述运算频度以上的出现频度减去一个以上的运算频度,从进行相减后的各检索关键字的出现频度选择第所述k大的出现频度作为新的运算频度,从新的运算频度以上的出现频度减去一个以上的新的运算频度,针对每个检索关键字来计算从出现频度减去的各运算频度的数量,作为对应关键字数,并且计算各运算频度相对原来的出现频度的比例,作为对应关键字选择率,其中k是规定的匿名数。
15.根据权利要求12所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部针对每个检索关键字来使用规定的基数的幂值,将检索关键字的出现频度分割为多个出现频度,针对每个检索关键字来计算出现频度的分割数作为对应关键字数,并且计算分割后的出现频度相对分割前的出现频度的比例作为对应关键字选择率。
16.根据权利要求15所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部使用所述基数的幂值来分割各检索关键字的分割后的出现频度中的具有该出现频度的检索关键字的数量小于规定的匿名数的出现频度。
17.根据权利要求12所述的对应关键字管理装置,其特征在于,
所述对应关键字数计算部基于各检索关键字的出现频度,计算表示通过规定的组合来将各检索关键字和特定数量的对应关键字对应起来的概率的对应概率值,基于所计算出的对应概率值来计算所述规定的组合的熵作为熵值,对所计算出的熵值乘以所述对应概率值来计算熵指标值,将所计算出的熵指标值与规定的熵阈值进行比较,在所述熵指标值大于所述熵阈值的情况下,计算所述特定数量作为对应关键字数,
所述对应关键字数计算部计算所述对应关键字数的倒数,作为所述对应关键字选择率。
18.一种信息处理装置,其特征在于,具备:
对应关键字存储部,存储通过权利要求11至权利要求17的任一项所述的对应关键字管理装置来将检索关键字和包括一个以上的对应关键字的对应关键字群对应起来而生成的对应关键字数据;
检索关键字输入部,输入检索关键字;
对应关键字群获取部,从所述对应关键字存储部所存储的对应关键字数据获取与通过所述检索关键字输入部输入的所述检索关键字对应的对应关键字群;
加密关键字群生成部,基于通过所述对应关键字群获取部所获取到的对应关键字群,对所述对应关键字群所包含的对应关键字进行加密来生成加密关键字群;
检索请求数据发送部,将包括由所述加密关键字群生成部生成的加密关键字群的检索请求数据发送到规定的检索装置;
检索响应数据接收部,接收从所述检索装置发送的检索响应数据;以及
检索结果输出部,对通过所述检索响应数据接收部所接收到的检索响应数据所包含的加密数据进行解密,将进行解密而得到的检索数据作为检索结果输出。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011035677 | 2011-02-22 | ||
| JP2011-035677 | 2011-02-22 | ||
| PCT/JP2012/053948 WO2012115031A1 (ja) | 2011-02-22 | 2012-02-20 | 検索システム、検索システムの検索方法、情報処理装置、検索プログラム、対応キーワード管理装置および対応キーワード管理プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103384980A CN103384980A (zh) | 2013-11-06 |
| CN103384980B true CN103384980B (zh) | 2016-01-13 |
Family
ID=46720808
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280009910.5A Active CN103384980B (zh) | 2011-02-22 | 2012-02-20 | 检索系统、检索系统的检索方法、信息处理装置、以及对应关键字管理装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9418238B2 (zh) |
| EP (1) | EP2680251B1 (zh) |
| JP (1) | JP5442161B2 (zh) |
| CN (1) | CN103384980B (zh) |
| WO (1) | WO2012115031A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5983333B2 (ja) * | 2012-11-13 | 2016-08-31 | 富士通株式会社 | 検索処理方法、データ生成方法及び情報処理装置 |
| JP6034674B2 (ja) * | 2012-11-27 | 2016-11-30 | Kddi株式会社 | 検索情報難読化装置、検索情報難読化方法、およびプログラム |
| WO2014136422A1 (ja) * | 2013-03-06 | 2014-09-12 | 日本電気株式会社 | 匿名化処理を行う情報処理装置及び匿名化方法 |
| JP6089881B2 (ja) * | 2013-03-28 | 2017-03-08 | 富士通株式会社 | データ検索方法、データ追加更新方法、データ検索プログラムおよび中継装置 |
| US9069986B2 (en) * | 2013-06-18 | 2015-06-30 | International Business Machines Corporation | Providing access control for public and private document fields |
| EP3073407B1 (en) * | 2015-03-26 | 2019-12-18 | Nagravision S.A. | Method and system for searching for at least a specific datum in a user unit |
| WO2017122326A1 (ja) | 2016-01-14 | 2017-07-20 | 三菱電機株式会社 | 秘匿検索システム、秘匿検索方法及び秘匿検索プログラム |
| EP3392865B1 (en) | 2016-01-15 | 2021-06-02 | Mitsubishi Electric Corporation | Encryption device, encryption method, and encryption program |
| JP6289768B2 (ja) * | 2016-01-18 | 2018-03-07 | 三菱電機株式会社 | 暗号化装置、暗号化プログラム及び暗号化方法 |
| JP6381861B2 (ja) * | 2016-05-27 | 2018-08-29 | 三菱電機株式会社 | 登録先決定装置、登録装置、秘匿検索システム、登録先決定方法及び登録先決定プログラム |
| WO2018039481A1 (en) * | 2016-08-24 | 2018-03-01 | Robert Bosch Gmbh | Searchable symmetric encryption system and method of processing inverted index |
| WO2018198192A1 (ja) | 2017-04-25 | 2018-11-01 | 三菱電機株式会社 | 検索装置、検索システム、検索方法及び検索プログラム |
| JP6926749B2 (ja) | 2017-07-12 | 2021-08-25 | 富士フイルムビジネスイノベーション株式会社 | 文書管理装置、文書管理システム及びプログラム |
| CN107832439B (zh) * | 2017-11-16 | 2019-03-08 | 百度在线网络技术(北京)有限公司 | 多轮状态追踪的方法、系统及终端设备 |
| US11106813B2 (en) * | 2019-09-20 | 2021-08-31 | International Business Machines Corporation | Credentials for consent based file access |
| CN111061783B (zh) * | 2019-10-10 | 2024-05-31 | 华控清交信息科技(北京)有限公司 | 数据查询方法、相关装置和介质 |
| CN113139194A (zh) * | 2020-01-20 | 2021-07-20 | 华控清交信息科技(北京)有限公司 | 公安数据查询方法、装置、终端设备和介质 |
| US12021817B2 (en) | 2021-06-08 | 2024-06-25 | Proofpoint, Inc. | Misdirected email data loss prevention |
| JP7455287B2 (ja) | 2021-12-14 | 2024-03-25 | 三菱電機株式会社 | 秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラム |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858747A (zh) * | 2006-04-30 | 2006-11-08 | 北京金山软件有限公司 | 一种数据存储/检索方法及系统 |
| CN101276368A (zh) * | 2007-03-28 | 2008-10-01 | 株式会社东芝 | 信息检索装置和方法 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3113814B2 (ja) * | 1996-04-17 | 2000-12-04 | インターナショナル・ビジネス・マシーンズ・コーポレ−ション | 情報検索方法及び情報検索装置 |
| US5963642A (en) * | 1996-12-30 | 1999-10-05 | Goldstein; Benjamin D. | Method and apparatus for secure storage of data |
| JP3607462B2 (ja) * | 1997-07-02 | 2005-01-05 | 松下電器産業株式会社 | 関連キーワード自動抽出装置及びこれを用いた文書検索システム |
| JP2000067081A (ja) * | 1998-08-24 | 2000-03-03 | Matsushita Electric Ind Co Ltd | 文書検索方法、そのプログラムを記録した記録媒体、及び文書検索装置 |
| JP3870666B2 (ja) * | 2000-06-02 | 2007-01-24 | 株式会社日立製作所 | 文書検索方法および装置並びにその処理プログラムを記録した記録媒体 |
| JP4003203B2 (ja) | 2000-08-10 | 2007-11-07 | サイファーゲート株式会社 | 暗号化プログラムを記録した記録媒体及び復号化プログラムを記録した記録媒体 |
| JP4552044B2 (ja) | 2003-08-22 | 2010-09-29 | 独立行政法人情報通信研究機構 | 暗号化データ作成装置および方法ならびにそのプログラム |
| JP4395611B2 (ja) | 2003-10-28 | 2010-01-13 | 独立行政法人情報通信研究機構 | 暗号化データベース検索装置および方法ならびに暗号化データベース検索プログラム |
| US7620625B2 (en) | 2004-05-20 | 2009-11-17 | Ntt Docomo, Inc. | Method and apparatus for communication efficient private information retrieval and oblivious transfer |
| US8639947B2 (en) * | 2004-06-01 | 2014-01-28 | Ben Gurion University Of The Negev Research And Development Authority | Structure preserving database encryption method and system |
| US7512814B2 (en) * | 2004-11-09 | 2009-03-31 | Fortiva Inc. | Secure and searchable storage system and method |
| JP2008061035A (ja) | 2006-08-31 | 2008-03-13 | Toshiba Corp | ファイルシステム、仮想記憶システム、耐タンパ性向上化システムおよび耐タンパ性向上化方法 |
| JP2009271584A (ja) | 2008-04-30 | 2009-11-19 | Tokyo Metropolitan Univ | 類似情報検索システムおよび類似情報検索プログラム |
| CN101593196B (zh) * | 2008-05-30 | 2013-09-25 | 日电(中国)有限公司 | 用于快速密文检索的方法、装置和系统 |
| JP2010231717A (ja) | 2009-03-30 | 2010-10-14 | Hitachi Ltd | 情報秘匿装置、情報秘匿方法、情報秘匿プログラム、および記録媒体 |
| US8819451B2 (en) * | 2009-05-28 | 2014-08-26 | Microsoft Corporation | Techniques for representing keywords in an encrypted search index to prevent histogram-based attacks |
| JP5388727B2 (ja) * | 2009-07-07 | 2014-01-15 | 三菱電機株式会社 | 情報処理システム及び情報処理装置及びサーバ装置及び情報処理方法及びプログラム |
| JP5412414B2 (ja) * | 2010-12-08 | 2014-02-12 | 株式会社日立製作所 | 検索可能暗号処理システム |
| US9852306B2 (en) * | 2013-08-05 | 2017-12-26 | International Business Machines Corporation | Conjunctive search in encrypted data |
-
2012
- 2012-02-20 WO PCT/JP2012/053948 patent/WO2012115031A1/ja active Application Filing
- 2012-02-20 CN CN201280009910.5A patent/CN103384980B/zh active Active
- 2012-02-20 EP EP12748906.0A patent/EP2680251B1/en active Active
- 2012-02-20 JP JP2013501020A patent/JP5442161B2/ja active Active
- 2012-02-20 US US14/001,028 patent/US9418238B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1858747A (zh) * | 2006-04-30 | 2006-11-08 | 北京金山软件有限公司 | 一种数据存储/检索方法及系统 |
| CN101276368A (zh) * | 2007-03-28 | 2008-10-01 | 株式会社东芝 | 信息检索装置和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2680251A4 (en) | 2015-05-27 |
| EP2680251B1 (en) | 2016-05-25 |
| WO2012115031A1 (ja) | 2012-08-30 |
| US20130332729A1 (en) | 2013-12-12 |
| JP5442161B2 (ja) | 2014-03-12 |
| CN103384980A (zh) | 2013-11-06 |
| JPWO2012115031A1 (ja) | 2014-07-07 |
| EP2680251A1 (en) | 2014-01-01 |
| US9418238B2 (en) | 2016-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103384980B (zh) | 检索系统、检索系统的检索方法、信息处理装置、以及对应关键字管理装置 | |
| Fu et al. | Toward efficient multi-keyword fuzzy search over encrypted outsourced data with accuracy improvement | |
| CN106326360B (zh) | 一种云环境中密文数据的模糊多关键词检索方法 | |
| JP5420085B2 (ja) | データ処理装置及びデータ保管装置 | |
| EP3096245B1 (en) | Retrievable cryptograph processing system and retrievable cryptograph processing method | |
| Duriakova et al. | PDMFRec: a decentralised matrix factorisation with tunable user-centric privacy | |
| JP2012164031A (ja) | データ処理装置及びデータ保管装置及びデータ処理方法及びデータ保管方法及びプログラム | |
| JP6910477B2 (ja) | 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム | |
| CN105359155A (zh) | 使用压缩破坏口令攻击 | |
| CN117795499A (zh) | 计算平台上的秘密检测 | |
| CN111753312B (zh) | 数据处理方法、装置、设备和系统 | |
| EP3392864B1 (en) | Data processing system and data processing method | |
| CN115104286B (zh) | 电子邮件客户端加密的加密搜索方法和系统 | |
| CN115053224B (zh) | 无零日泄漏的加密搜索 | |
| JP2013008175A (ja) | 変換処理方法、装置及びプログラム、復元処理方法、装置及びプログラム | |
| JP5983333B2 (ja) | 検索処理方法、データ生成方法及び情報処理装置 | |
| US20180225475A1 (en) | Encrypted database management device, encrypted database management method, encrypted database management program, and encrypted database management system | |
| JP6435815B2 (ja) | 情報秘匿化プログラム、情報秘匿化方法および情報秘匿化装置 | |
| Chu et al. | Decentralized private information sharing protocol on social networks | |
| JP6274669B2 (ja) | 秘匿パターンマッチング装置、端末装置、それらの方法、およびプログラム | |
| JP6305946B2 (ja) | 秘匿パターンマッチング装置、その方法、およびプログラム | |
| KR101321800B1 (ko) | 대표값 치환을 이용한 데이터 보호 방법 및 장치 | |
| Zhang et al. | Secure multi-keyword fuzzy search supporting logic query over encrypted cloud data | |
| JP2012133480A (ja) | 保護レベル算出方法及び保護レベル算出システム | |
| JP2005072917A (ja) | 暗号化データ作成装置および方法ならびにそのプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |