CN103444126B - 密码处理系统、密钥生成装置、加密装置、解密装置以及密码处理方法 - Google Patents

Abstract

目的在于提供一种系统整体的保密性不依赖于1个机关的分散多管理者函数型密码。多个密钥生成装置（100）中的、任意的一个密钥生成装置（100）生成gparam，各密钥生成装置（100）根据gparam生成管理者公开密钥apk和管理者秘密密钥ask。然后，多个密钥生成装置（100）中的至少一部分的密钥生成装置（100）根据管理者秘密密钥ask生成用户的解密密钥usk_{gid，（t，xt）}的一部分。用户将至少一部分的密钥生成装置100生成的解密密钥usk_{gid，（t，xt）}合起来作为1个解密密钥，对加密数据ct_S进行解密。

Description

密码处理系统、密钥生成装置、加密装置、解密装置以及密码 处理方法

技术领域

本发明涉及分散多管理者函数型密码(Decentralized Multi-AuthorityFunctional Encryption)。

背景技术

在非专利文献31中，有与函数型密码有关的记载。

在非专利文献12、13、25、26、28中，有关于基于多管理者属性的密码(Multi-Authority Attribute-Based Encryption)的记载。另外，基于属性的密码是函数型密码的1个类。

在非专利文献25中，有关于基于分散多管理者属性的密码的记载。

非专利文献

非专利文献1：Beimel，A.，Secure schemes for secret sharing and keydistribution.PhD Thesis，Israel Institute of Technology，Technion，Haifa，Israel，1996.

非专利文献2：Bethencourt，J.，Sahai，A.，Waters，B.：Ciphertext-policyattribute-based encryption.In：2007IEEE Symposiumon Security and Privacy，pp.321·34.IEEE Press(2007)

非专利文献3：Boneh，D.，Boyen，X.：Efficient selective-ID secure identitybased encryption without random oracles.In：Cachin，C.，Camenisch，J.(eds.)EUROCRYPT 2004.LNCS，vol.3027，pp.223·38.Springer Heidelberg(2004)

非专利文献4：Boneh，D.，Boyen，X.：Secure identity based encryptionwithout random oracles.In：Franklin，M.K.(ed.)CRYPTO 2004.LNCS，vol.3152，pp.443·59.Springer Heidelberg(2004)

非专利文献5：Boneh，D.，Boyen，X.，Goh，E.：Hierarchical identity basedencryption with constant size ciphertext.In：Cramer，R.(ed.)EUROCRYPT2005.LNCS，vol.3494，pp.440·56.Springer Heidelberg(2005)

非专利文献6：Boneh，D.，Franklin，M.：Identity-based encryption from theWeil pairing.In：Kilian，J.(ed.)CRYPTO2001.LNCS，vol.2139，pp.213·29.SpringerHeidelberg(2001)

非专利文献7：Boneh，D.，Hamburg，M.：Generalized identity based andbroadcast encryption scheme.In：Pieprzyk，J.(ed.)ASIACRYPT 2008.LNCS，vol.5350，pp.455·70.Springer Heidelberg(2008)

非专利文献8：Boneh，D.，Katz，J.，Improved efficiency for CCA-securecryptosystems built using identity based encryption.RSA-CT 2005，LNCS，SpringerVerlag(2005)

非专利文献9：Boneh，D.，Waters，B.：Conjunctive，subset，and range querieson encrypted data.In：Vadhan，S.P.(ed.)TCC2007.LNCS，vol.4392，pp.535·54.Springer Heidelberg(2007)

非专利文献10：Boyen，X.，Waters，B.：Anonymous hierarchical identity-basedencryption(without random oracles).In：Dwork，C.(ed.)CRYPTO 2006.LNCS，vol.4117，pp.290·07.Springer Heidelberg(2006)

非专利文献11：Canetti，R.，Halevi S.，Katz J.：Chosen-ciphertext securityfrom identity-based encryption.EUROCRYPT2004，LNCS，Springer Heidelberg(2004)

非专利文献12：Chase，M.：Multi-anthority attribute based encryption.TCC，LNCS，pp.515·34，Springer Heidelberg(2007).

非专利文献13：Chase，M.and Chow，S.：Improving privacy and security inmulti-authority attribute-based encryption，ACM Conference on Computer andCommunications Security，pp.121·30，ACM(2009).

非专利文献14：Cocks，C.：An identity based encryption scheme based onquadratic residues.In：Honary，B.(ed.)IMAInt.Conf.LNCS，vol.2260，pp.360·63.Springer Heidelberg(2001)

非专利文献15：Estibals，N.：Compact hardware for computing the Tatepairing over 128-bit-security supersingular curves，IACR ePrint Archive：Report2010/371(2010).

非专利文献16：SECURE HASH STANDARD，FIPS PUB 180-1，180-2，NIST，USA(1995，2002)

非专利文献17：Gentry，C.：Practical identity-based encryption withoutrandom oracles.In：Vaudenay，S.(ed.)EUROCRYPT2006.LNCS，vol.4004，pp.445·64.Springer Heidelberg(2006)

非专利文献18：Gentry，C.，Halevi，S.：Hierarchical identity-basedencryption with polynomially many levels.In：Reingold，O.(ed.)TCC 2009.LNCS，vol.5444，pp.437·56.Springer Heidelberg(2009)

非专利文献19：Gentry，C.，Silverberg，A.：Hierarchical ID-basedcryptography.In：Zheng，Y.(ed.)ASIACRYPT2002.LNCS，vol.2501，pp.548·66.SpringerHeidelberg(2002)

非专利文献20：Goyal，V.，Pandey，O.，Sahai，A.，Waters，B.：Attribute-basedencryption for fine-grained access controlof encrypted data.In：ACM Conferenceon Computer and Communication Security 2006，pp.89·8，ACM(2006)

非专利文献21：ISO/IEC 15946-5，Information technology·Securitytechniques·Cryptographic techniques based on elliptic curves·Part 5：Elliptic curve generation(2009).

非专利文献22：Katz，J.，Sahai，A.，Waters，B.：Predicate encryptionsupporting disjunctions，polynomial equations，and inner products.In：Smart，N.P.(ed.)EUROCRYPT 2008.LNCS，vol.4965，pp.146·62.Springer Heidelberg(2008)

非专利文献23：Lewko，A.，Okamoto，T.，Sahai，A.，Takashima，K.，Waters，B.：Fully secure functional encryption：Attribute-based encryption and(hierarchical)inner product encryption，EUROCRYPT 2010.LNCS，SpringerHeidelberg(2010)

非专利文献24：Lewko，A.B.，Waters，B.：New techniques for dual systemencryption and fully secure HIBE with short ciphertexts.In：Micciancio，D.(ed.)TCC 2010.LNCS，vol.5978，pp.455·79.Springer Heidelberg(2010)

非专利文献25：Lewko，A.B.，Waters，B.：Decentralizing Attribute-BasedEncryption，IACR ePrint Archive：Report 2010/351(2010).

非专利文献26：H.Lin，Z.Cao，X.Liang，and J.Shao.：Secure threshold multiauthority attribute based encryption without a central authority，INDOCRYPT，LNCS，vol.5365，pp.426·36，Springer Heidelberg(2008).

非专利文献27：Maji，H.，Prabhakaran，M.，Rosulek，M.：Attribute-BasedSignatures.http：//www.cs.uiuc.edu/～mmp/research.html

非专利文献28：S.Muller，S.Katzenbeisser，and C.Eckert.；On multi-authority ciphertext-policy attribute-based encryption，Bull.Korean MathS0c.46，No.4，pp.803·19(2009).

非专利文献29：Okamoto，T.，Takashima，K.：Homomorphic encryption andsignatures from vector decomposition.In：Galbraith，S.D.，Paterson，K.G.(eds.)Pairing 2008.LNCS，vol.5209，pp.57·4，Springer Heidelberg(2008)

非专利文献30：Okamoto，T.，Takashima，K.：Hierarchical predicateencryption for inner-products，In：ASIACRYPT 2009，Springer Heidelberg(2009)

非专利文献31：Okamoto，T.，Takashima，K.：Fully Secure FunctionalEncryption with General Relations from the Decisional Linear Assumption，In：CRYPTO 2010，Springer Heidelberg(2010)

非专利文献32：Ostrovsky，R.，Sahai，A.，Waters，B.：Attribute-basedencryption with non-monotonic access structures.In：ACM Conference on Computerand Communication Security 2007，pp.195·03，ACM(2007)

非专利文献33：Pirretti，M.，Traynor，P.，McDaniel，P.，Waters，B.：Secureattribute-based systems.In：ACM Conference on Computer and CommunicationSecurity 2006，pp.99·12，ACM，(2006)

非专利文献34：Sahai，A.，Waters，B.：Fuzzy identity-based encryption.In：Cramer，R.(ed.)EUROCRYPT 2005.LNCS，vol.3494，pp.457·73.Springer Heidelberg(2005)

非专利文献35：Shi，E.，Waters，B.：Delegating capability in predicateencryption systems.In：Acet0，L.，Damgard，I.，Goldberg，L.A.，Halldorsson，M.M.，Ingolfsdottir，A.，Walukiewicz，I.(eds.)ICALP(2)2008.LNCS，vol.5126，pp.560.578.Springer Heidelberg(2008)

非专利文献36：Waters，B.：Efficient identity based encryption withoutrandom oracles.Eurocrypt 2005，LNCS，vol.3152，pp.443·59.Springer Verlag，(2005)

非专利文献37：Waters，B.：Ciphertext-policy attribute-based encryption：an expressive，efficient，and provably secure realization.ePrint，IACR，http：//eprint.iacr.org/2008/290

非专利文献38：Waters，B.：Dual system encryption：realizing fully secureIBE and HIBE under simple assumptions.In：Halevi，S.(ed.)CRYPTO 2009.LNCS，vol.5677，pp.619·36.Springer Heidelberg(2009)

发明内容

在函数型密码中，有系统整体的保密性依赖于1个机关这样的课题。

本发明的目的在于提供一种系统整体的保密性不依赖于1个机关的分散多管理者函数型密码。

本发明的密码处理系统，具备加密装置、解密装置以及d个(d是大于1的整数)密钥生成装置，使用关于t＝1，…，d的至少一个以上的整数t的基底B_t和基底B^＊ _t来执行密码处理，其特征在于，

所述d个密钥生成装置的各密钥生成装置具备：

第1信息输入部，输入关于t＝1，…，d中的针对每个密钥生成装置预定的整数t的属性信息x^→ _t：＝(x_t，j)(j＝1，…，n_t，n_t是1以上的整数)；

密钥要素生成部，根据所述整数t、所述第1信息输入部输入的属性信息x^→ _t、规定的值δ、以及基底B^＊ _t的基底矢量b^＊ _t，l(l＝1，…，2n_t)，生成包括式1所示的矢量的密钥要素k^＊ _t；以及

解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k^＊ _t、和所述属性信息x^→ _t的解密密钥usk发送到所述解密装置，

所述加密装置具备：

第2信息输入部，输入关于i＝1，…，L(L是1以上的整数)的各整数i的变量ρ(i)、以及L行r列(r是1以上的整数)的规定的矩阵M，所述变量ρ(i)是识别信息t(t＝1，…，d中的某一个整数)、和属性信息v^→ _i：＝(v_i，i’)(i’＝1，…，n_t)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)的某一个；

矢量生成部，根据具有r个要素的矢量f^→、和所述第2信息输入部输入的矩阵M，生成列矢量s^→T：＝(s₁，…，s_L)^T：＝M·f^→T，并且根据设为s₀：＝h^→·f^→T而成为s₀＝h^→·(f^→’)^T的具有r个要素的矢量f^→’、和所述矩阵M，生成列矢量(s^→’)^T：＝(s₁’，…，s_L’)^T：＝M·(f^→’)^T；

密码要素c_i生成部，根据所述矢量生成部生成的列矢量s^→T以及列矢量(s^→’)^T、和关于i＝1，…，L的各整数i的作为随机数的规定的值θ_i、θ_i’，针对i＝1，…，L的各整数i，在变量p(i)是肯定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底B_t的基底矢量b_t，l(l＝1，…，2n_t)，生成包括式2所示的矢量的密码要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底矢量b_t，l(l＝1，…，2n_t)，生成包括式3所示的矢量的密码要素c_i；以及

加密数据发送部，将包括所述密码要素c_i生成部生成的关于i＝1，…，L的各整数i的密码要素c_i、所述变量ρ(i)、以及所述矩阵M的加密数据ct_S发送到所述解密装置，

所述解密装置具备：

解密密钥接收部，接收所述d个密钥生成装置中的、至少一个以上的密钥生成装置的所述解密密钥发送部发送了的解密密钥usk；

数据接收部，接收所述加密数据发送部发送了的加密数据ct_S；

补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息x^→ _t、和所述数据接收部接收到的加密数据ct_S中包含的变量ρ(i)，在i＝1，…，L的各整数i中，确定变量ρ(i)是肯定形的组(t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积不成为0的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据ct_S中包含的矩阵M的第i行的要素的M_i，计算在对α_iM_i进行了合计的情况下成为规定的矢量h^→的补充系数α_i；以及

配对运算部，根据所述补充系数计算部计算的集合I和补充系数α_i，针对所述加密数据ct_s中包含的密码要素c_i、和所述解密密钥usk中包含的密钥要素k^* _t，进行式4所示的配对运算，计算规定的信息K，

[式1]

[式2]

[式3]

[式4]

在本发明的密码处理系统中，多个密钥生成装置分别生成解密密钥的一部分。因此，即使一部分的密钥生成装置的保密性被破坏，仅丧失解密密钥的一部分的功能，而系统整体的保密性不会被破坏。

附图说明

图1是多管理者的说明图。

图2是矩阵M^的说明图。

图3是矩阵M_δ的说明图。

图4是s₀的说明图。

图5是s^→T的说明图。

图6是执行分散多管理者函数型密码的密码处理系统10的结构图。

图7是示出密钥生成装置i00的功能的功能框图。

图8是示出加密装置200的功能的功能框图。

图9是示出解密装置300的功能的功能框图。

图10是示出GSetup算法的处理的流程图。

图11是示出ASetup算法的处理的流程图。

图12是示出AttrGen算法的处理的流程图。

图13是示出Enc算法的处理的流程图。

图14是示出Dec算法的处理的流程图。

图15是示出密钥生成装置100、加密装置200、解密装置300的硬件结构的一个例子的图。

(符号说明)

100：密钥生成装置；110：主密钥生成部；111：全局参数生成部；112：管理者秘密密钥生成部；120：主密钥存储部；130：信息输入部；140：解密密钥生成部；141：随机数生成部；142：密钥要素生成部；150：密钥分发部；200：加密装置；210：公开密钥取得部；220：信息输入部；221：属性信息输入部；222：消息输入部；230：加密数据生成部；231：随机数生成部；232：f矢量生成部；233：s矢量生成部；234：密码要素c_i生成部；235：密码要素c_d+1生成部；240：加密数据发送部；300：解密装置；310：解密密钥接收部；320：数据接收部；330：张成方案计算部；340：补充系数计算部；350：配对运算部；360：消息计算部。

具体实施方式

以下，根据附图，说明发明的实施方式。

在以下的说明中，处理装置是后述CPU 911等。存储装置是后述ROM 913、RAM 914、磁盘920等。通信装置是后述通信板915等。输入装置是后述键盘902、通信板915等。即，处理装置、存储装置、通信装置、输入装置是硬件。

说明以下的说明中的符号。

在A是随机的变量或者分布时，式101表示依照A的分布从A随机地选择y。即，在式101中，y是随机数。

[式101]

在A是集合时，式102表示从A均匀地选择y。即，在式102中，y是均匀随机数。

[式102]

式103表示y是通过z定义的集合、或者y是代入了z的集合。

[式103]

y：＝z

在a是常数时，式104表示机器(算法)A针对输入x输出a。

[式104]

A(x)→a

例如，

A(x)→1

式105、即F_q表示阶q的有限域。

[式105]

矢量标记表示有限域F_q中的矢量表示。即，是式106。

[式106]

表示

式107表示式108所示的2个矢量x^→与v^→的式109所示的内积。

[式107]

[式108]

[式109]

X^T表示矩阵X的转置矩阵。

对于式110所示的基底B和基底B^＊，是式111。

[式110]

[式111]

e^→ _t，j表示式112所示的标准基底矢量。

[式112]

另外，在以下的说明中，在下标或者上标中示出“nt”的情况下，该nt意味着n_t。同样地，在下标或者上标中示出“Vt”的情况下，该Vt意味着V_t。同样地，在上标中示出“δi，j”的情况下，该δi，j意味着δ_i，j。

另外，在对下标文字或者上标文字附加了意味着矢量的“→”的情况下，意味着以上标对下标文字或者上标文字附加该“→”。

另外，解密密钥usk_{eid，(t，xt)}中的xt是指x_t。

另外，在以下的说明中，密码处理是指包括密钥生成处理、加密处理、解密处理的处理。

实施方式1.

在该实施方式中，在说明了成为实现“分散多管理者函数型密码”的基础的概念后，说明分散多管理者函数型密码的结构。

第1，简单地说明分散多管理者函数型密码。首先，说明函数型密码。接下来，说明分散多管理者。

第2，说明作为用于实现函数型密码的空间的“双对配对矢量空间(Dual PairingVector Spaces，DPVS)”这样的具有丰富的数学构造的空间。

第3，说明用于实现函数型密码的概念。此处，说明“张成方案(Span Program)”、“属性矢量的内积和访问构造(structure)”、“秘密分散(秘密共享)”。

第4，说明该实施方式的“分散多管理者函数型密码”。首先，说明“分散多管理者函数型密码”的基本结构。接下来，说明实现该“分散多管理者函数型密码”的“密码处理系统10”的基本结构。然后，详细地说明该实施方式的“分散多管理者函数型密码”以及“密码处理系统10”。

<第1.分散多管理者函数型密码>

<第1-1.函数型密码>

函数型密码是使公开密钥密码的概念发展而极其细致化了的密码。函数型密码是包含基于ID的密码(Identity-Based Encryption，IBE)(参照非专利文献3、4、6、14、17)、隐匿矢量密码(Hidden-Vector Encryption)(参照非专利文献9)、谓词密码(PredicateEncryption)(非专利文献22)、基于属性的密码(Attribute-Based Encryption，ABE)(专利文献2，20，32-34)而作为特别的情况的密码方式。

在函数型密码中，解密密钥sk_ψ(秘密密钥)与参数ψ关联起来。然后，使用伴随与参数ψ不同的参数γ的公开密钥pk，将消息m加密为密文Enc(m，pk，γ)。仅限关系R(ψ，γ)成立的情况，解密密钥sk_ψ能够对密文Enc(m，pk，γ)进行解密。

在函数型密码中，需要被称为管理者(Authority)的可靠的机关。管理者生成公开密钥pk和主秘密密钥msk的配对。公开密钥pk被作为系统参数分发，主秘密密钥被用于生成与用户的参数ψ关联起来的用户的解密密钥sk_ψ。

在基于ID的密码的情况下，参数ψ是用户的ID，关系R是等号关系。即，关系R(ψ、γ)仅限ψ＝γ的情况成立。

在针对一般的访问构造的基于CP(Ciphertext-Policy，密文策略)属性的密码的情况下，参数ψ是用户的属性的组(x₁，…，x_i)，关系R(.，γ)是一般的访问构造。更准确地，关系R(·，γ)通过(M^，(v₁，…，v_i))表示。然后，属性的要素的每个要素的等号关系、即{x_t＝v_t}_{t∈{1，...，i}}被输入到(单调)张成方案M^，关系R(ψ，γ)仅限(T(x₁＝v₁)，…，T(x_i＝v_i))的真的值的矢量被张成方案M^受理的情况成立。此处，如果ψ是真，则T(ψ)：＝1，如果ψ是假，则T(ψ)：＝0。例如，如果x＝v，则T(x＝v)：＝1，如果x≠v，则T(x＝v)：＝0。

在函数型密码中存在大量的应用。但是，在函数型密码的概念中，存在系统整体的保密性依赖于1个机关这样的大的课题。换言之，在管理者的保密性被破坏、或者主秘密密钥泄漏了的情况下，系统整体不发挥功能。

<第1-2.分散多管理者>

首先，说明“多管理者”。多管理者意味着存在多个生成用户的解密密钥的管理者。

如上所述，在通常的函数型密码中，系统整体的保密性依赖于1个机关(管理者)。但是，通过设为多管理者，即使在一部分的管理者的保密性被破坏、或者一部分的管理者的秘密密钥(主密钥)泄漏了的情况下，仅系统的一部分不发挥功能，关于其他部分，成为能够正常地发挥功能的状态。

图1是多管理者的说明图。

在图1中，政府机关管理住址、电话号码、年龄等属性。另外，警察管理驾照的类别等属性。另外，公司A管理公司A中的职务、公司A中的附属等属性。于是，政府机关发行与政府机关管理的属性关联起来的解密密钥1，警察发行与警察管理的属性关联起来的解密密钥2，公司A发行与公司A管理的属性关联起来的解密密钥3。

对密文进行解密的解密者使用将政府机关、警察、公司A等各管理者发行了的解密密钥1、2、3合起来的解密密钥，对密文进行解密。即，在从解密者观察的情况下，将从各管理者发行的解密密钥合起来的结果成为对自身发行的1个解密密钥。

例如，在公司A的主密钥泄漏了的情况下，密码处理系统关于公司A的属性不发挥功能，但关于其他管理者管理的属性发挥功能。即，关于公司A管理的属性，存在通过指定的属性以外的属性的用户被解密的忧虑，但关于其他属性，仅能够通过指定的属性的用户解密。

另外，如从图1的例子可知，在函数型密码中，存在多个管理者，各管理者管理属性中的某分类(部分空间)或者定义域，发行关于该分类中的用户的属性的解密密钥(的一部分)是自然的。

接下来，说明“分散(Decentralized)”。分散是指，任意的机关都能够成为管理者，不与其他机关交换，而能够发行解密密钥(的一部分)，各用户不与其他机关交换，而能够从管理者取得解密密钥(的一部分)。

例如，在有中央管理者的情况下，不能说是分散。中央管理者是指比其他管理者上位的管理者。在中央管理者的保密性被破坏了的情况下，所有管理者的保密性被破坏。

<第2.双对配对矢量空间>

首先，说明对称双线性配对群(Symmetric Bilinear Pairing Groups)。

对称双线性配对群(q，G，G^T，g，e)是素数q、阶(order)q的循环加法群G、阶q的循环乘法群G^T、g≠0∈G、以及可通过多项式时间计算的非退化双线性配对(NondegenerateBilinear Pairing)e：G×G→G_T的组。非退化双线性配对是e(sg，tg)＝e(g，g)^st，且是e(g，g)≠1。

在以下的说明中，将式113设为将1^λ作为输入并且输出将保密性参数设为λ的双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值的算法。

[式113]

接下来，说明双对配对矢量空间。

双对配对矢量空间(q，V，G_T，A，e)能够通过对称双线性配对群(param_G：＝(q，G，G_T，g，e))的直积构成。双对配对矢量空间(q，V，G_T，A，e)是素数q、式114所示的F_q上的N维矢量空间V、阶q的循环群G_T、空间V的标准基底A：＝(a₁，…，a_N)的组，具有以下的运算(1)(2)。此处，a_i如式115所示。

[式114]

[式115]

运算(1)：非退化双线性配对

空间V中的配对通过式116定义。

[式116]

此处，

这是非退化双线性。即，e(sx，ty)＝e(x，y)^st，针对所有y∈V，在e(x，y)＝1的情况下，x＝0。另外，针对所有i和j，e(a_i，a_j)＝e(g，g)^δi，j。此处，如果i＝j，则δ_i，j＝1，如果i≠j，则δ_i，j＝0。另外，e(g，g)≠1∈G_T。

运算(2)：失真映射

式117所示的空间V中的线性变换能够进行式118。

[式117]

φ_i，j(a_j)＝a_i，

如果k≠j，则φ_i，j(a_k)＝0。

[式118]

此处，

x：＝(g₁，...g_N)。

此处，将线性变换称为失真映射。

在以下的说明中，将使式119设为如下算法：将1^λ(λ∈自然数)、N∈自然数、双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值作为输入、并且输出保密性参数是λ且作为N维的空间V的双对配对矢量空间的参数param_v：＝(q，V，G_T，A，e)的值。

[式119]

另外，此处，说明通过上述对称双线性配对群构成了双对配对矢量空间的情况。另外，还能够通过非对称双线性配对群构成双对配对矢量空间。易于将以下的说明应用于通过非对称双线性配对群构成了双对配对矢量空间的情况。

<第3.用于实现函数型密码的概念>

<第3-1.张成方案>

图2是矩阵M^的说明图。

将{p₁，…，p_n}设为变量的集合。M^：＝(M，ρ)是附加了标签的矩阵。此处，矩阵M是F_q上的(L行×r列)的矩阵。另外，ρ是对矩阵M的各行附加的标签，向{p₁，…，p_n，p₁，…，p_n}中的某一个字符(literal)对应起来。另外，对M的所有行附加的标签ρ_i(i＝1，…，L)向某一个字符对应起来。即，是ρ：{1，…，L}→{p₁，…，p_n，p₁，…，p_n}。

针对所有输入列δ∈{0，1}ⁿ，定义矩阵M的部分矩阵M_δ。矩阵M_δ是由通过输入列δ对标签ρ对应起来了值“1”的矩阵M的行构成的部分矩阵。即，矩阵M_δ是由与δ_i＝1那样的p_i对应起来的矩阵M的行、和与δ_i＝0那样的p_i对应起来的矩阵M的行构成的部分矩阵。

图3是矩阵M_δ的说明图。另外，在图3中，设为n＝7，L＝6，r＝5。即，变量的集合是{p₁，…，p₇}，矩阵M是(6行×5列)的矩阵。另外，在图3中，关于标签ρ，设为ρ₁与p₂对应起来、ρ₂与p₁对应起来、ρ₃与p₄对应起来、ρ₄与p₅对应起来、ρ₅与p₃对应起来、ρ₆与p₅对应起来。

此处，设为输入列δ∈{0，1}⁷是δ₁＝1，δ₂＝0，δ₃＝1，δ₄＝0，δ₅＝0，δ₆＝1，δ₇＝1。在该情况下，由与虚线所包围的字符(p₁，p₃，p₆，p₇，p₂，p₄，p₅)对应起来的矩阵M的行构成的部分矩阵是矩阵M_δ。即，由矩阵M的第1行(M₁)、第2行(M₂)、第4行(M₄)构成的部分矩阵是矩阵M_δ。

换言之，在映射γ：{1，…，L}→{0，1}是[p(j)＝p_i]∧[δ_i＝1]或者[ρ(j)＝p_i]∧[δ_i＝0]的情况下，设为γ(j)＝1，在其他情况下，设为γ(j)＝0。在该情况下，M_δ：＝(M_j)_γ(j)＝1。此处，M_j是矩阵M的第j行。

即，在图3中，映射γ(j)＝1(j＝1，2，4)，且映射γ(j)＝0(j＝3，5，6)。因此，(M_j)_γ(j)＝1是M₁、M₂、M₄，是矩阵M_δ。

即，根据映射γ(j)的值是“0”还是“1”，决定矩阵M的第j行是否包含于矩阵M_δ。

限于1^→∈span<M_δ>的情况，张成方案M^受理输入列δ，在其他情况下，拒绝输入列δ。即，限于对通过输入列δ从矩阵M^得到的矩阵M_δ的行进行线性结合而得到1^→的情况，张成方案M^受理输入列δ。另外，1^→是指各要素为值“1”的行矢量。

例如，在图3的例子中，限于对由矩阵M的第1、2、4行构成的矩阵M_δ的各行进行线性结合而得到1^→的情况，张成方案M^受理输入列δ。即，在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁、α₂、α₄的情况下，张成方案M^受理输入列δ。

此处，在标签ρ仅与正的字符{p₁，…，p_n}对应起来的情况下，张成方案被称为单调。另一方面，在标签ρ与字符{p₁，...，p_n，p₁，...，p_n}对应起来的情况下，张成方案被称为非单调。此处，张成方案成为非单调。然后，使用非单调张成方案，构成访问构造(非单调访问构造)。访问构造简单而言是指进行向密码的访问控制的构造。即，进行可否对密文进行解密的控制的构造。

对于详细将后述，但通过张成方案并非单调而是非单调，利用张成方案而构成的函数型密码方式的利用范围扩大。

另外，假设为关于i＝1，…，L的各整数i，矩阵M是M_i≠0^→。此处，M_i是矩阵M的第i行。

<第3-2.属性矢量的内积和访问构造>

此处，使用属性矢量的内积来计算上述映射γ(j)。即，使用属性矢量的内积，来决定在矩阵M_δ中包含矩阵M的哪个行。

U_t(t＝1，…，d且)是部分全集合(sub-universe)，且是属性的集合。另外，U_t分别包括部分全集合的识别信息(t)、和n_t维矢量(v^→)。即，U_t是(t，v^→)。此处，是t∈{1，…，d}，且是v^→∈F_q ^nt。

将U_t：＝(t，v^→)设为张成方案M^：＝(M，ρ)中的变量p。即，是p：＝(t，v^→)。于是，将设为变量(p：＝(t，v^→)、(t’，v’^→)，…)的张成方案M^：＝(M，ρ)设为访问构造S。

即，是访问构造S：＝(M，ρ)，且是ρ：{1，…，L}→{(t，v^→)、(t’，v’^→)，…，(t，v^→)，(t’，v’^→)，…}。

接下来，将Γ设为属性的集合。即，是Г：＝{(t，x^→ _t)|x^→ _t∈Fq^nt，1≤t≤d}。

在对访问构造S提供了Г的情况下，针对张成方案M^：＝(M，ρ)的映射γ：{1，…，L}→{0，1}如以下那样被定义。在关于i＝1，…，L的各整数i，是[ρ(i)＝(t，v^→ _i)]∧[(t，x^→ _t)∈Γ]∧[v^→ _i·x^→ _t＝0]、或者、[ρ(i)＝(t，v^→ _i)]∧[(t，x^→ _t)∈Γ]∧[v^→ _i·x^→ _t≠0]的情况下，是γ(i)＝1，在其他情况下，设为γ(i)＝0。

即，根据属性矢量v^→与x^→的内积，计算映射γ。然后，如上所述，通过映射γ，决定在矩阵M_δ中包含矩阵M的哪个行。即，通过属性矢量v^→与x^→的内积，决定在矩阵M_a中包含矩阵M的哪个行，限于是1^→∈span<(M_i)_γ(i)＝₁>的情况，访问构造S：＝(M，ρ)受理Γ。

<第3-3.秘密分散方式>

说明针对访问构造S：＝(M，ρ)的秘密分散方式。

另外，秘密分散方式是指，使秘密信息分散，而成为无意义的分散信息。例如，使秘密信息s分散为10个，生成10个分散信息。此处，10个分散信息的每一个不具有秘密信息s的信息。因此，即使获得某一个分散信息，关于秘密信息s也无法得到任何信息。另一方面，只有获得全部10个分散信息，才能够还原秘密信息s。

另外，还有即使没有完全获得10个分散信息，如果仅获得一部分(例如，8个)则也能够还原秘密信息s的秘密分散方式。这样，将通过10个分散信息中的8个能够还原秘密信息s的情况称为10选8(8-out-of-10)。即，将通过n个分散信息中的t个能够还原秘密信息s的情况称为n选t(t-out-of-n)。将该t称为阈值。

另外，还有以下的秘密分散方式：在生成了d₁，…，d₁₀这10个分散信息的情况下，如果是d₁，…，d₈这8个分散信息，就能够还原秘密信息s，但如果是d₃，…，d₁₀这8个分散信息，则无法还原秘密信息s。即，还有不仅是获得的分散信息的数量，而且还根据分散信息的组合来控制可否还原秘密信息s的秘密分散方式。

图4是s₀的说明图。图5是s^→T的说明图。

将矩阵M设为(L行×r列)的矩阵。将f^→T设为式120所示的列矢量。

[式120]

将式121所示的s₀设为共享的秘密信息。

[式121]

另外，将式122所示的s^→T设为s₀的L个分散信息的矢量。

[式122]

然后，设为分散信息s_i属于ρ(i)。

在访问构造S：＝(M，ρ)受理Γ的情况下、即关于γ：{1，…，L}→{0，1}是1^→∈span<(M_i)_γ(i)＝1＞的情况下，存在作为 的常数{α_i∈F_q|i∈I}。

这从在图3的例子中说明的在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁、α₂、α₄的情况下张成方案M^受理输入列δ的情形也是明显的。即，在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁、α₂、α₄的情况下，如果张成方案M^受理输入列δ，则存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁、α₂、α₄。

于是，成为式123。

[式123]

∑_i∈Iα_is_i：＝s₀

另外，常数{α_i}能够通过矩阵M的尺寸中的多项式时间来计算。

该实施方式以及以下的实施方式的函数型密码方式如上所述将内积谓词和秘密分散方式应用于张成方案而构成访问构造。因此，通过设计张成方案中的矩阵M、内积谓词中的属性信息x以及属性信息v(谓词信息)，能够自由地设计访问控制。即，能够以非常高的自由度进行访问控制的设计。另外，矩阵M的设计相当于秘密分散方式的阈值等条件设计。

例如，基于属性的密码方式相当于在该实施方式函数型密码方式中的访问构造中，将内积谓词的设计限定于某条件的情况。即，相比于该实施方式的函数型密码方式中的访问构造，在基于属性的密码方式中的访问构造中，与内积谓词中的属性信息x以及属性信息v(谓词信息)的设计的自由度损失的量对应地，访问控制的设计的自由度低。另外，具体而言，基于属性的密码方式相当于将属性信息{x^→ _t}_{t∈{1，...，d}}和{v^→ _t}_{t∈{1，...，d}}限定于针对等号关系的二维矢量、例如x^→ _t：＝(1，x_t)和v^→ _t：＝(v_t，-1)的情况。

特别，该实施方式以及以下的实施方式的函数型密码方式中的访问构造构成使用了非单调张成方案的非单调访问构造。因此，访问控制的设计的自由度进一步变高。

具体而言，在非单调张成方案中，包括否定形的字符(p)，所以能够设定否定形的条件。例如，设为在第1公司中有A部、B部、C部、以及D部这4个岗位。此处，设为希望进行仅能够访问第1公司的B部以外的岗位所属的用户(可解密)这样的访问控制。在该情况下，如果无法进行否定形的条件设定，则需要设定“属于第1公司的A部、C部、以及D部中的某一个”这样的条件。另一方面，如果能够进行否定形的条件设定，则能够设定“第1公司的公司职员并且属于B部以外”这样的条件。即，通过能够设定否定形的条件，能够进行自然的条件设定。另外，此处虽然岗位的数量少，但可知在岗位的数量多的情况等下非常有效。

<第4.分散多管理者函数型密码的基本结构>

<第4-1.分散多管理者函数型密码的基本结构>

简单说明分散多管理者函数型密码的结构。

分散多管理者函数型密码具备GSetup、ASetup、AttrGen、Enc、Dec这5个算法。

(GSetup)

GSetup算法是将保密性参数λ作为输入，输出全局公开参数gparam的概率的算法。GSetup算法由某一个机关执行。全局公开参数gparam被公开。

(ASetup)

ASetup算法是将全局公开参数gparam、管理者的识别信息t、以及属性的格式n^→作为输入，输出管理者公开密钥apk_t、和管理者秘密密钥ask_t的概率的算法。ASetup算法由具有1≤t≤d的至少一个t作为识别信息的管理者t执行。管理者公开密钥apk_t被公开，管理者秘密密钥ask_t由管理者t保持。

(AttrGen)

AttrGen算法是将全局公开参数gparam、管理者的识别信息t、管理者秘密密钥ask_t、用户的识别信息gid、以及属性x^→ _t：＝(x_t，i)(i＝1，…，n_t)∈F_q作为输入，输出解密密钥usk_{gid，(t，xt)}的概率的算法。AttrGen算法在管理者t对识别信息gid表示的用户生成与属性x^→ _t关联的解密密钥的情况下，由管理者t执行。管理者t将解密密钥usk_{gid，(t，xt)}提供给识别信息gid表示的用户。

(Enc)

Enc算法是将全局公开参数gparam、管理者公开密钥apk_t、消息m∈G_T、以及访问构造S作为输入，输出加密数据ct_S的概率的算法。Enc算法由生成加密数据ct_S的用户执行。

(Dec)

Dec算法是将全局公开参数gparam、管理者公开密钥apk_t、解密密钥usk_{gid，(t，xt)}、以及加密数据ct_S作为输入，输出消息m、或者、识别信息⊥的算法。Dec算法由对加密数据ct_S进行解密的用户执行。

<第4-2.密码处理系统10>

说明执行上述分散多管理者函数型密码的算法的密码处理系统10。

图6是执行分散多管理者函数型密码的密码处理系统10的结构图。

某(一个)密钥生成装置100将保密性参数λ作为输入而执行GSetup算法，生成全局公开参数gparam。然后，该密钥生成装置100公开所生成的全局公开参数gparam。

各密钥生成装置100将全局公开参数gparam、对该密钥生成装置100分配的识别信息t、以及属性的格式n^→作为输入而执行ASetup算法，生成管理者公开密钥apk_t、和管理者秘密密钥ask_t。然后，各密钥生成装置100将全局公开参数gparam、对该密钥生成装置100分配的识别信息t、管理者秘密密钥ask_t、用户的识别信息gid、以及属性x^→ _t：＝(x_t，i)(i＝1，…，n_t)∈F_q作为输入而执行AttrGen算法，生成解密密钥usk_{gid，(t，xt)}并秘密地分发给解密装置300。

加密装置200将全局公开参数gparam、管理者公开密钥apk_t、消息m∈G_T、以及访问构造S作为输入而执行Enc算法，生成加密数据ct_S。加密装置200将所生成的加密数据ct_S发送到解密装置300。

解密装置300将全局公开参数gparam、管理者公开密钥apk_t、解密密钥usk_{gid，(t，xt)}、以及加密数据ct_S作为输入而执行Dec算法，输出消息m、或者、识别信息⊥。

<第4-3.分散多管理者函数型密码以及密码处理系统10的细节>

根据图7至图14，说明实施方式1的分散多管理者函数型密码、以及执行分散多管理者函数型密码的密码处理系统10的功能和动作。

图7是示出密钥生成装置100的功能的功能框图。图8是示出加密装置200的功能的功能框图。图9是示出解密装置300的功能的功能框图。

图10至图12是示出密钥生成装置100的动作的流程图。另外，图10是示出GSetup算法的处理的流程图，图11是示出ASetup算法的处理的流程图，图12是示出AttrGen算法的处理的流程图。图13是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图14是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

说明密钥生成装置100的功能和动作。

如图7所示，密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130(第1信息输入部)、解密密钥生成部140、密钥分发部150(解密密钥发送部)。

另外，主密钥生成部110具备全局参数生成部111、管理者秘密密钥生成部112。解密密钥生成部140具备随机数生成部141、密钥要素生成部142。

首先，根据图10，说明密钥生成装置100执行的GSetup算法的处理。另外，如上所述，多个密钥生成装置100中的1个密钥生成装置100执行GSetup算法即可。

(S101：保密性参数输入步骤)

全局参数生成部111通过输入装置，输入保密性参数λ(1^λ)。

(S102：双线性配对群生成步骤)

全局参数生成部111通过处理装置，将在S101中输入的保密性参数λ(1^λ)作为输入而执行算法G_bpg，随机地生成双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值。

(S103：参数生成步骤)

将散列函数H设为式124所示的散列函数。

[式124]

全局参数生成部111通过处理装置，生成式125所示的全局参数gparam的要素G₀、G₁。

[式125]

另外，全局参数生成部111是g_T：＝e(G₀，G₁)。

(S104：参数存储步骤)

主密钥存储部120将在(S102)中生成的param_G、在(S103)中设定的散列函数H、要素G₀、G₁、以及值g_T作为全局参数gparam存储到存储装置。

即，在(S101)至(S103)中，密钥生成装置100执行式126所示的GSetup算法，来生成全局参数gparam。然后，在(S104)中，密钥生成装置100将所生成的全局参数gparam存储到存储装置中。

另外，全局参数gparam例如经由网络被公开，被设为其他密钥生成装置100、加密装置200、解密装置300能够取得的状态。

[式126]

返回

接下来，根据图11，说明密钥生成装置100执行的ASetup算法的处理。另外，如上所述，关于ASetup算法，既可以多个密钥生成装置100的全部执行，也可以仅多个密钥生成装置100中的一部分的密钥生成装置100执行。

(S201：信息输入步骤)

信息输入部130通过输入装置，输入对自身(该密钥生成装置100)分配的识别信息t。另外，对各密钥生成装置100，分配了分别不同的识别信息t。

另外，信息输入部130通过例如通信装置经由网络取得全局参数gparam。另外，在自身是生成了全局参数gparam的密钥生成装置100的情况下，从主密钥存储部120读出全局参数gparam即可。

(S202：空间生成步骤)

管理者秘密密钥生成部112通过处理装置，将保密性参数λ(1^λ)、N_t＝2n_t+u_t+w_t+z_t、以及param_G：＝(q，G，G_T，g，e)的值作为输入而执行算法G_dpvs，生成双对配对矢量空间的参数param_Vt：＝(q，V_t，G_T，A_t，e)的值。

另外，n_t、u_t、w_t、z_t是1以上的整数。

(S203：基底U生成步骤)

管理者秘密密钥生成部112通过处理装置，针对j＝0、1的各整数j，如式127所示生成基底U_j。

[式127]

其中

对于j＝0，1；i＝1，...，N_t

(S204：线性变换生成步骤)

管理者秘密密钥生成部112通过处理装置，将N_t和F_q作为输入，如式128所示，随机地生成线性变换X_t：＝(χ_t，i，j)_i，j。

[式128]

另外，GL是General Linear(一般线性)的简称。即，GL是一般线性群，是行列式非0的方阵的集合，关于乘法是群。另外，(χ_t，i，j)_i，j是与矩阵χ_t，i，j的下标i，j有关的矩阵这样的意义，此处，是i，j＝1，…，N_t。

(S205：基底B生成步骤)

管理者秘密密钥生成部112通过处理装置，如式129所示，生成基底B_t以及基底B^＊ _t。

[式129]

(S206：基底B^生成步骤)

管理者秘密密钥生成部112通过处理装置，如式130所示，生成基底B_t的部分基底B^_t、和基底B^＊的部分基底B^^* _t。

[式130]

(S207：主密钥存储步骤)

主密钥存储部120将在(S202)中生成的参数param_Vt、和在(S206)中生成的部分基底B^_t作为管理者公开密钥apk_t存储到存储装置中。另外，主密钥存储部120将在(S204)中生成的线性变换X_t作为管理者秘密密钥ask_t存储到存储装置。

即，在(S201)至(S206)中，密钥生成装置100执行式131所示的ASetup算法，生成管理者公开密钥apk_t和管理者秘密密钥ask_t。然后，在(S207)中，密钥生成装置100将所生成的管理者公开密钥apk_t和管理者秘密密钥ask_t存储到存储装置中。

另外，管理者公开密钥apk_t例如经由网络被公开，被设为加密装置200、解密装置300能够取得的状态。

[式131]

ASetup(gparam，t，n_t，u_t，w_t，z_t)：

N_t：＝2n_t+u_t+w_t+z_t，

其中

对于j＝0，1；i＝1，...，N_t，

返回(ask_t，apk_t).

接下来，根据图12，说明密钥生成装置100执行的AttrGen算法的处理。另外，如上所述，AttrGen算法由多个密钥生成装置100中的、执行了ASetup算法的密钥生成装置100执行。

(S301：信息输入步骤)

信息输入部130通过输入装置，输入对自身(该密钥生成装置100)分配的识别信息t、发行解密密钥的用户的识别信息gid、以及式132所示的属性信息x^→ _t：＝(x_t，i)(i＝1，…，n_t)。

另外，信息输入部130通过例如通信装置经由网络，取得全局参数gparam。另外，在自身是生成了全局参数gparam的密钥生成装置100的情况下，从主密钥存储部120读出全局参数gparam即可。

另外，信息输入部130从主密钥存储部120读出管理者秘密密钥ask_t。

[式132]

使得x_t，1：＝1

(S302：随机数生成步骤)

随机数生成部141通过处理装置，针对识别信息t如式133所示生成随机数

[式133]

(S303：密钥要素生成步骤)

设为是式134。

[式134]

密钥要素生成部142通过处理装置，针对识别信息t如式135所示生成作为解密密钥usk_{gid，(t，xt)}的要素的密钥要素k^* _t。

[式135]

即，

另外，如上所述，针对式110所示的基底B和基底B^＊，是式111。因此，式135意味着如以下那样设定基底B^＊ _t的基底矢量的系数。此处，简化标记，仅通过基底矢量b^＊ _t，i中的i的部分确定基底矢量。例如，如果是基底矢量1，则意味着基底矢量b^＊ _t，1。另外，如果是基底矢量1，…，3，则意味着基底矢量b^＊ _t，1，…，b^＊ _t，3。

作为基底矢量1，…，n_t的系数设定(δ+1)x_t，1，…，(δ+1)x_t，nt(此处，nt是指n_t)。作为基底矢量n_t+1，…，2n_t的系数设定-δx_t，1，…，-δx_t，nt(此处，nt是指n_t)。作为基底矢量2n_t+1，…，2n_t+u_t的系数设定0。作为基底矢量2n_t+u_t+1，…，2n_t+u_t+w_t的系数设定随机数(此处，wt是指w_t)。作为基底矢量2n_t+u_t+w_t+1，...，2n_t+u_t+w_t+z_t的系数设定0。

(S304：密钥分发步骤)

密钥分发部150将以用户的识别信息gid、识别信息t以及属性信息x^→ _t和密钥要素k^* _t为要素的解密密钥usk_{gid，(t，xt)}通过例如通信装置经由网络秘密地分发给解密装置300。当然，解密密钥usk_{gid，(t，xt)}也可以通过其他方法分发到解密装置300。

即，在(S301)至(S303)中，密钥生成装置100执行式136所示的AttrGen算法，来生成解密密钥usk_{gid，(t，xt)}。然后，在(S304)中，密钥生成装置100将所生成的解密密钥usk_{gid，(t，xt)}分发给解密装置300。

[式136]

使得x_t，1：＝1)：

即’

返回

说明加密装置200的功能和动作。

如图8所示，加密装置200具备公开密钥取得部210、信息输入部220(第2信息输入部)、加密数据生成部230、加密数据发送部240。

另外，信息输入部220具备属性信息输入部221、消息输入部222。另外，加密数据生成部230具备随机数生成部231、f矢量生成部232、s矢量生成部233、密码要素c_i生成部234、密码要素c_d+1生成部235。

根据图13，说明加密装置200执行的Enc算法的处理。

(S401：公开密钥取得步骤)

公开密钥取得部210通过例如通信装置经由网络，取得各密钥生成装置100生成的管理者公开密钥apk_t。另外，公开密钥取得部210取得密钥生成装置100生成的全局参数gparam。

(S402：信息输入步骤)

属性信息输入部221通过输入装置，输入访问构造S：＝(M，ρ)。另外，矩阵M是L行×r列的矩阵。L、r是1以上的整数。

另外，消息输入部222通过输入装置，输入所加密的消息m。

另外，关于访问构造S的设定，根据希望实现的系统的条件设定。

(S403：f矢量生成步骤)

f矢量生成部232通过处理装置，如式137所示随机地生成具有r个要素的矢量f^→。

[式137]

(S404：s矢量生成步骤)

s矢量生成部233通过处理装置，根据在(S402)中输入的访问构造S的(L行×r列)的矩阵M、和在(S403)中生成的具有r个要素的矢量f^→，如式138所示生成矢量s^→T。

[式138]

另外，s矢量生成部233通过处理装置，根据在(S403)中生成的矢量f^→，如式139所示生成值s₀。另外，1^→是所有要素为值1的矢量。

[式139]

(S405：f’矢量生成步骤)

f矢量生成部232通过处理装置，如式140所示，在s₀＝1^→·f^→’这样的条件下，随机地生成具有r个要素的矢量f^→’。

[式140]

(S406：s’矢量生成步骤)

s矢量生成部233通过处理装置，根据在(S402)中输入的访问构造S的(L行×r列)的矩阵M、和具有r个要素的矢量f^→’，如式141所示，生成矢量(s^→’)^T。

[式141]

(S407：随机数生成步骤)

随机数生成部231通过处理装置，针对i＝1，…，L的各整数i，如式142所示，生成随机数η^→ _i、θ_i、θ’_i。

[式142]

(S408：密码要素c_i生成步骤)

密码要素生成部234通过处理装置，针对i＝1，…，L的各整数i，如式143所示，生成作为加密数据ct_S的要素的密码要素c_i。

[式143]

对于i＝1，...，L，

如果使得)，

如果使得)，

另外，如上所述，针对式110所示的基底B和基底B^＊，是式111。因此，式143意味着如以下那样设定基底B_t的基底矢量的系数。此处，简化标记，仅通过基底矢量b_t，i中的i的部分确定基底矢量。例如，如果是基底矢量1，则意味着基底矢量b_t，1。另外，如果是基底矢量1，...，3，则意味着基底矢量b_t，1，…，b_t，3。

在ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为基底矢量1的系数设定s_i+θ_iv_i，1。作为基底矢量2，...，n_t的系数设定θ_iv_i，2，...，θ_iv_i，nt(此处，nt是指n_t)。作为基底矢量n_t+1的系数设定s_i'+θ_i'v_i，1。作为基底矢量n_t+2，…，2n_t的系数设定θ_i'v_i，2，…，θ_i'v_i，nt(此处，nt是指n_t)。作为基底矢量2n_t+1，…，2n_t+u_t+w_t的系数设定0。作为基底矢量2n_t+u_t+w_t+1，…，2n_t+u_t+w_t+z_t的系数设定η_i，1，…，η_i，zt(此处，zt是指z_t)。

另一方面，在ρ(i)是否定形的组(t，v^→ _i)的情况下，作为基底矢量1，…，n_t的系数设定s_iv_i，1，…，s_iv_i，nt(此处，nt是指n_t)。作为基底矢量n_t+1，…，2n_t的系数设定s_i’v_i，1，…，s_i’v_i，nt(此处，nt是指n_t)。作为基底矢量2n_t+1，…，2n_t+u_t+w_t的系数设定0。作为基底矢量2n_t+u_t+w_t+1，…，2n_t+u_t+w_t+z_t的系数设定η_i，1，…，η_i，zt(此处，zt是指z_t)。

(S409：密码要素c_d+1生成步骤)

密码要素c_d+1生成部235通过处理装置，如式144所示，生成作为加密数据ct_S的要素的密码要素c_d+1。

[式144]

(S410：数据发送步骤)

加密数据发送部240将包括访问构造S：＝(M，ρ)、密码要素c_i(i＝1，…，L)、以及密码要素c_d+1的加密数据ct_S，通过例如通信装置经由网络发送到解密装置300。当然，加密数据ct_S也可以通过其他方法发送到解密装置300。

即，在(S401)至(S409)中，加密装置200执行式145所示的Enc算法，生成加密数据ct_S。然后，在(S410)中，加密装置200将所生成的加密数据ct_S分发给解密装置300。

[式145]

对于i＝1，...，L，

如果使得)，

如果

返回

说明解密装置300的功能和动作。

如图9所示，解密装置300具备解密密钥接收部310(解密密钥取得部)、数据接收部320(数据取得部)、张成方案计算部330、补充系数计算部340、配对运算部350、消息计算部360。

根据图14，说明Dec算法的处理。

(S501：解密密钥取得步骤)

解密密钥接收部310通过例如通信装置经由网络，接收从密钥生成装置100分发的解密密钥usk_{gid，(t，xt)}。另外，解密密钥接收部310接收密钥生成装置100生成的管理者公开密钥apk_t。

(S502：数据接收步骤)

数据接收部320通过例如通信装置经由网络，接收加密装置200发送了的加密数据ct_S。

(S503：张成方案计算步骤)

张成方案计算部330通过处理装置，判定在(S502)中接收的加密数据ct_S中包含的访问构造S是否受理在(S501)中取得的解密密钥usk_{gid，(t，xt)}中包含的属性信息x^→ _t的集合Γ。访问构造S是否受理Γ的判定方法如“第3.用于实现函数型密码的概念”的说明。

张成方案计算部330在访问构造S受理Γ的情况下(在S503中受理)，使处理进入(S504)。另一方面，在访问构造S拒绝Γ的情况下(在S503中拒绝)，将加密数据ct_S设为无法用解密密钥usk_{gid，(t，xt)}解密而结束处理。

(S504：补充系数计算步骤)

补充系数计算部340通过处理装置，计算成为式146的I和常数(补充系数){α_i}_i∈I。

[式146]

其中M_i是M的第i行，并且

(S505：配对运算步骤)

配对运算部350通过处理装置，计算式147，生成会话密钥K＝g_T ^s0(此处，s0是指s₀)。

[式147]

另外，如式148所示，计算式147，从而得到密钥K＝g_T ^s0(此处，s0是指s₀)。

[式148]

(S506：消息计算步骤)

消息计算部360通过处理装置，计算m'＝c_d+1/K，生成消息m’(＝m)。另外，c_d+1如式144所示，是g_T ^s0m(此处，s0是指s₀)，K是g_T ^s0(此处，s0是指s₀)，所以如果计算m’＝c_d+1/K，则得到消息m。

即，在(S501)至(S506)中，解密装置300执行式149所示的Dec算法，生成消息m’(＝m)。

[式149]

如果接受

那么计算I和{α_i}_i∈I使得

其中M_i是M的第i行，并且

返回m′：＝c_d+1/K.

如以上那样，实施方式1的密码处理系统10实现多个密钥生成装置100生成解密密钥的多管理者函数型密码方式。特别，密码处理系统10实现的加密方式是无中央管理者的分散多管理者函数型密码方式。

另外，实施方式1的密码处理系统10实现伴随非单调谓词的函数型密码方式。

另外，在上述说明中，u_t、w_t、z_t(t＝1，…，d)的维是为了提高安全性而设置的维。因此，虽然安全性变低，但也可以使u_t、w_t、z_t(t＝1，…，d)分别成为0，不设置u_t、w_t、z_t(t＝1，…，d)的维。

另外，在上述说明中，将基底B_t以及基底B^＊ _t的维数设定为N_t：＝2n_t+u_t+w_t+z_t。但是，也可以将2n_t+u_t+w_t+z_t设为2n_t+3n_t+2n_t+1(＝7n_t+1)，将基底B_t以及基底B^＊ _t的维数设为7n_t+1。

在该情况下，式131所示的ASetup算法如式150那样被重写。

[式150]

ASetup(gparam，t，n_t)：

其中

对于j＝0，1；i＝1，...，7n_t+1，

返回(ask_t，apk_t).

另外，式136所示的AttrGen算法如式151那样被重写。

[式151]

使得x_t，1：＝1)：

即，

返回

另外，式145所示的Enc算法如式152那样被重写。

[式152]

对于i＝1，...，L，

如果使得)，

如果

返回

另外，在GSetup算法和Dec算法中没有变更。

另外，关于GSetup算法，在密码处理系统10的设置时某一个密钥生成装置100执行一次即可，无需每当生成解密密钥时执行。同样地，关于ASetup算法，在密码处理系统10的设置时各密钥生成装置100执行一次即可，无需每当生成解密密钥时执行。

另外，在上述说明中，设为密钥生成装置100执行GSetup算法、ASetup算法、以及KeyGen算法，但也可以由分别不同的装置执行GSetup算法、ASetup算法、以及KeyGen算法。

实施方式2.

在实施方式1中，说明了在双对矢量空间中实现密码处理的方法。在本实施方式中，说明在双对加群中实现密码处理的方法。

即，在实施方式1中，在素数阶q的循环群中实现了密码处理。但是，在使用合成数M如式153那样表示了环R的情况下，即使在以环R为系数的加群中，也能够应用在实施方式1中说明的密码处理。

[式153]

此处，

：整数

：合成数。

如果在以环R为系数的加群中实现在实施方式1中说明的分散多管理者函数型密码方式，则成为从式154至式158。

[式154]

返回

[式155]

ASetup(gparam，t，n_t，u_t，w_t，z_t)：

N_t：＝2n_t+u_t+w_t+z_t，

其中

对于j＝0，1；i＝1，...，N_t，

ask_t：＝X_t，

返回(ask_t，apk_t).

[式156]

使得x_t，1：＝1)：

即，

返回

[式157]

对于i＝1，...，L，

如果使得)，

如果

返回

[式158]

如果接受

那么计算I和{α_i}_i∈I使得

其中M_i是M的第i行，并且

返回m′：＝c_d+1/K.

另外，从安全性的证明的观点，在以上的实施方式中，也可以限定为关于i＝1，…，L的各整数i的ρ(i)是关于分别不同的识别信息t的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)。

换言之，在是ρ(i)＝(t，v^→ _i)或者ρ(i)＝(t，v^→ _i)的情况下，将函数ρ^～设为作为ρ^～(i)＝t的{1，…，L}→{1，..，d}的映射。在该情况下，也可以限定为ρ^～是单射。另外，ρ(i)是上述访问构造S：＝(M，ρ(i))的ρ(i)。

另外，在上述说明中，设为关于张成方案M^，限于通过对根据输入列δ从矩阵M^得到的矩阵M_δ的行进行线性结合而得到1^→的情况，受理输入列δ。但是，也可以设为关于张成方案M^，并非1^→，而限于得到其他矢量h^→的情况，受理输入列δ。

在该情况下，在Enc算法中，并非s₀：＝1^→·f^→T而设为s₀：＝h^→·f^→T，并非s₀：＝1^→·f^→’^T而设为s₀：＝h^→·f^→’^T即可。

接下来，说明实施方式中的密码处理系统10(密钥生成装置100、加密装置200、解密装置300)的硬件结构。

图15是示出密钥生成装置100、加密装置200、解密装置300的硬件结构的一个例子的图。

如图15所示，密钥生成装置100、加密装置200、解密装置300具备执行程序的CPU911(Central Processing Unit、还称为中央处理装置、处理装置、运算装置、微型处理器、微型计算机、处理器)。CPU 911经由总线912与ROM 913、RAM 914、LCD 901(Liquid CrystalDisplay，液晶显示器)、键盘902(K/B)、通信板915、磁盘装置920连接，控制这些硬件设备。也可以代替磁盘装置920(固定盘装置)，而是光盘装置、存储卡读写装置等存储装置。磁盘装置920经由规定的固定盘接口连接。

ROM 913、磁盘装置920是非易失性存储器的一个例子。RAM914是易失性存储器的一个例子。ROM 913、RAM 914、以及磁盘装置920是存储装置(存储器)的一个例子。另外，键盘902、通信板915是输入装置的一个例子。另外，通信板915是通信装置的一个例子。进而，LCD901是显示装置的一个例子。

在磁盘装置920或者ROM 913等中，存储了操作系统921(OS)、视窗系统922、程序群923、文件群924。程序群923的程序由CPU 911、操作系统921、视窗系统922执行。

在程序群923中，存储了执行在上述说明中说明为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“解密密钥生成部140”、“密钥分发部150”、“公开密钥取得部210”、“信息输入部220”、“加密数据生成部230”、“加密数据发送部240”、“解密密钥接收部310”、“数据接收部320”、“张成方案计算部330”、“补充系数计算部340”、“配对运算部350”、“消息计算部360”等的功能的软件、程序、其他程序。程序由CPU 911读出并执行。

在文件群924中，作为“文件”、“数据库”的各项目，存储上述说明中的“全局参数gparam”、“管理者公开密钥apk”、“管理者秘密密钥ask”、“解密密钥usk_{gid，(t，xt)}”、“加密数据ct_S”、“访问构造S”、“属性信息”、“消息m”等信息、数据、信号值、变量值、参数。“文件”、“数据库”存储于盘、存储器等记录介质中。关于盘、存储器等存储介质中存储的信息、数据、信号值、变量值、参数，经由读写电路通过CPU 911读出到主存储器、高速缓存存储器，而用于抽出·检索·参照·比较·运算·计算·处理·输出·印刷·显示等CPU 911的动作。在抽出·检索·参照·比较·运算·计算·处理·输出·印刷·显示的CPU 911的动作的期间，信息、数据、信号值、变量值、参数临时地存储到主存储器、高速缓存存储器、缓冲存储器。

另外，上述说明中的流程图的箭头的部分主要表示数据、信号的输入输出，数据、信号值记录于RAM 914的存储器、其他光盘等记录介质、IC芯片。另外，数据、信号通过总线912、信号线、线缆、其他传送介质、电波被在线传送。

另外，在上述说明中说明为“～部”的部分既可以是“～电路”、“～装置”、“～设备”、“～单元”、“～功能”，并且，也可以是“～步骤”、“～阶段”、“～处理”。另外，说明为“～装置”的部分既可以是“～电路”、“～设备”、“～单元”、“～功能”，并且，也可以是“～步骤”、“～阶段”、“～处理”。进而，说明为“～处理”的部分也可以是“～步骤”。即，说明为“～部”的部分也可以通过ROM 913中存储的固件实现。或者，也可以仅通过软件、或者、仅通过元件·设备·基板·布线等硬件、或者、通过软件和硬件的组合、进而、通过与固件的组合来实施。固件和软件作为程序存储于ROM 913等记录介质中。程序由CPU 911读出并由CPU 911执行。即，程序使计算机等作为在上述中叙述的“～部”发挥功能。或者，使计算机等执行在上述中叙述的“～部”的步骤、方法。

Claims (7)

1.一种密码处理系统，具备加密装置、解密装置以及d个密钥生成装置，使用关于t＝1，...，d的至少一个以上的整数t的基底和基底来执行密码处理，d是大于1的整数，其特征在于，

所述d个密钥生成装置的各密钥生成装置具备：

第1信息输入部，输入关于t＝1，...，d中的针对每个密钥生成装置预定的整数t的属性信息x^→ _t：＝(x_t，j)，j＝1，...，n_t，n_t是1以上的整数；

密钥要素生成部，根据所述整数t、所述第1信息输入部输入的属性信息x^→ _t、规定的值δ、以及基底的基底矢量b^＊ _t，l，生成包括式1所示的矢量的密钥要素k^＊ _t，l＝1，...，2n_t；以及

解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k^＊ _t、和所述属性信息x^→ _t的解密密钥usk发送到所述解密装置，

所述加密装置具备：

第2信息输入部，输入关于i＝1，...，L的各整数i的变量ρ(i)、以及L行r列的规定的矩阵M，所述变量ρ(i)是识别信息t、和属性信息v^→ _i：＝(v_i，i’)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)的某一个，L是1以上的整数，r是1以上的整数，t＝1，...，d中的某一个整数，i’＝1，...，n_t；

矢量生成部，根据具有r个要素的矢量f^→、和所述第2信息输入部输入的矩阵M，生成列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T，并且根据设为s₀：＝h^→·f^→T而成为s₀＝h^→·(f^→’)^T的具有r个要素的矢量f^→’、和所述矩阵M，生成列矢量(s^→’)^T：＝(s₁’，...，s_L’)^T：＝M·(f^→’)^T；

密码要素c_i生成部，根据所述矢量生成部生成的列矢量s^→T以及列矢量(s^→’)^T、和关于i＝1，...，L的各整数i的作为随机数的规定的值θ_i、θ_i’，针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底的基底矢 量b_t，l，生成包括式2所示的矢量的密码要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底矢量b_t，l，生成包括式3所示的矢量的密码要素c_i；以及

加密数据发送部，将包括所述密码要素c_i生成部生成的关于i＝1，...，L的各整数i的密码要素c_i、所述变量ρ(i)、以及所述矩阵M的加密数据ct_s发送到所述解密装置，

所述解密装置具备：

解密密钥接收部，接收所述d个密钥生成装置中的、至少一个以上的密钥生成装置的所述解密密钥发送部发送了的解密密钥usk；

数据接收部，接收所述加密数据发送部发送了的加密数据ct_s；

补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息x^→ _t、和所述数据接收部接收到的加密数据ct_s中包含的变量ρ(i)，在i＝1，...，L的各整数i中，确定变量ρ(i)是肯定形的组(t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组 (t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积不成为0的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据ct_s中包含的矩阵M的第i行的要素的M_i，计算在对α_iM_i进行了合计的情况下成为规定的矢量h^→的补充系数α_i；以及

配对运算部，根据所述补充系数计算部计算的集合I和补充系数α_i，针对所述加密数据ct_s中包含的密码要素c_i、和所述解密密钥usk中包含的密钥要素k^＊ _t，进行式4所示的配对运算，计算规定的信息K，

[式1]

[式2]

[式3]

[式4]

2.根据权利要求1所述的密码处理系统，其特征在于，

所述密码处理系统

针对t＝1，...，d的至少一个以上的整数t，使用具有至少基底矢量b_t，l的基底和具有至少基底矢量b^＊ _t，l的基底来执行密码处理，l＝1，...，2n_t，...，2n_t+u_t，...，2n_t+u_t+w_t，...，2n_t+u_t+w_t+z_t，u_t、w_t、z_t是1以上的整数，

在所述密钥生成装置中，

所述密钥要素生成部针对所述整数t，根据所述属性信息x^→ _t、所述规定的值δ、以及关于a＝1，...，w_t的各整数a的随机数生成式5所示的密钥要素k^＊ _t，

在所述加密装置中，

所述密码要素c_i生成部根据所述列矢量s^→T及所述列矢量(s^→’) ^T、关于i＝1，...，L的各整数i的所述规定的值θ_i、θ_i’、以及关于i＝1，...，L的各整数i和i’＝1，...，z_t的各整数i’的随机数η_i，i’，针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，生成式6所示的密码要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，生成式7所示的密码要素c_i，

[式5]

[式6]

[式7]

3.根据权利要求1所述的密码处理系统，其特征在于，

所述加密装置还具备密码要素c_d+1生成部，该密码要素c_d+1生成部根据值g_T以及所述s₀生成对消息m进行了加密的式8所示的密码要素c_d+1，所述g_T是关于规定的整数l针对所述基底的基底矢量b_t，l和所述基底的基底矢量b^＊ _t，l进行配对运算而计算得到的，

所述加密数据发送部将包括所述密码要素c_i、和所述密码要素c_d+1生成部生成的密码要素c_d+1的加密数据ct发送到所述解密装置，

所述解密装置还具备消息计算部，该消息计算部将所述密码要素c_d+1除以所述配对运算部计算的规定的信息K，计算所述消息m，

[式8]

4.一种密钥生成装置，是在使用关于t＝1，...，d的至少一个以上 的整数t的基底和基底来执行密码处理的密码处理系统中，生成解密密钥usk的密钥生成装置，d是大于1的整数，其特征在于，具备：

第1信息输入部，输入关于t＝1，...，d中的预定的整数t的属性信息x^→ _t：＝(x_t，j)，j＝1，...，n_t，n_t是1以上的整数；

密钥要素生成部，根据所述整数t、所述第1信息输入部输入的属性信息x^→ _t、规定的值δ、以及基底的基底矢量b^＊ _t，1，生成包括式9所示的矢量的密钥要素k^＊ _t，l＝1，...，2n_t；以及

解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k^＊ _t、和所述属性信息x^→ _t的解密密钥usk发送到解密装置，

[式9]

5.一种加密装置，是在使用关于t＝1，...，d的至少一个以上的整数t的基底和基底来执行密码处理的密码处理系统中，生成加密数据ct_s的加密装置，d是大于1的整数，其特征在于，具备：

第2信息输入部，输入关于i＝1，...，L的各整数i的变量ρ(i)、以及L行r列的规定的矩阵M，所述变量ρ(i)是识别信息t、和属性信息v^→ _i：＝(v_i，i’)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个，L是1以上的整数，r是1以上的整数，t＝1，...，d中的某一个整数，i’＝1，...，n_t，n_t是1以上的整数；

矢量生成部，根据具有r个要素的矢量f^→、和所述第2信息输入部输入的矩阵M，生成列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T，并且，根据设为s₀：＝h^→·f^→T而成为s₀＝h^→·(f^→’)^T的具有r个要素的矢量f^→’、和所述矩阵M，生成列矢量(s^→’)^T：＝(s₁’，...，s_L’)^T：＝M·(f^→’)^T；

密码要素c_i生成部，根据所述矢量生成部生成的列矢量s^→T以及列矢量(s^→’)^T、和关于i＝1，...，L的各整数i的作为随机数的规定 的值θ_i、θ_i’，针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底的基底矢量b_t，l，生成包括式10所示的矢量的密码要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底矢量b_t，l，生成包括式11所示的矢量的密码要素c_i；以及

加密数据发送部，将包括所述密码要素c_i生成部生成的关于i＝1，...，L的各整数i的密码要素c_i、所述变量ρ(i)、以及所述矩阵M的加密数据ct_s发送到解密装置，

[式10]

[式11]

6.一种解密装置，是在使用关于t＝1，...，d的至少一个以上的整数t的基底和基底来执行密码处理的密码处理系统中，通过解密密钥usk对加密数据ct_s进行解密的解密装置，d是大于1的整数，其特征在于，具备：

解密密钥接收部，针对t＝1，...，d中的至少一部分的整数t，接收包括属性信息x^→ _t：＝(x_t，j)、和以包括式12所示的矢量的方式生成的密钥要素k^＊ _t的解密密钥usk，j＝1，...，n_t，n_t是1以上的整数；

数据接收部，接收包括关于i＝1，...，L的各整数i的变量ρ(i)、L行r列的规定的矩阵M、以及针对i＝1，...，L的各整数i以包括式13所示的矢量的方式生成的密码要素c_i的加密数据ct_s，所述变量ρ(i)是识别信息t、和属性信息v^→ _i：＝(v_i，i’)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个，L是1以上的整数，r是1以上的整数，t＝1，...，d中的某一个整数，i’＝1，...，n_t；

补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息x^→ _t、和所述数据接收部接收到的加密数据ct_s中包含的变量ρ(i)，在i＝1，...，L的各整数i中确定变量ρ(i)是肯定形的组(t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)、且所述解密密钥接收部接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积不成为0的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据ct_s中包含的矩阵M的第i行的要素的M_i，计算在对α_iM_i进行了合计的情况下成为规定的矢量h^→的补充系数α_i；以及

配对运算部，根据所述补充系数计算部计算的集合I和补充系数α_i，针对所述加密数据ct_s中包含的密码要素c_i、和所述解密密钥usk中包含的密钥要素k^＊ _t，进行式14所示的配对运算，计算规定的信息K，

[式12]

此处，

δ是规定的值，

[式13]

如果

如果

此处，

是具有r个要素的规定的矢量，

是具有r个要素的规定的矢量，

是那样的规定的矢量，

θ_i，θ′_i是规定的值，

[式14]

7.一种密码处理方法，是使用关于t＝1，...，d的至少一个以上的整数t的基底和基底来执行密码处理的密码处理方法，d是大于1的整数，具备：

第1信息输入工序，多个密钥生成装置中的至少一个以上的密钥生成装置输入关于t＝1，...，d中的针对每个密钥生成装置预定的整数t的属性信息x^→ _t：＝(x_t，j)，j＝1，...，n_t，n_t是1以上的整数；

密钥要素生成工序，所述一个以上的密钥生成装置根据所述整数t、在所述第1信息输入工序中输入的属性信息x^→ _t、规定的值δ、以及基底的基底矢量b^＊ _t，l，生成包括式15所示的矢量的密钥要素k^＊ _t，l＝1，...，2n_t；

解密密钥发送工序，所述一个以上的密钥生成装置将包括在所述密钥要素生成工序中生成的密钥要素k^＊ _t、和所述属性信息x^→ _t的解密密钥usk发送到解密装置；

第2信息输入工序，加密装置输入关于i＝1，...，L的各整数i的变量ρ(i)、以及L行r列的规定的矩阵M，所述变量ρ(i)是识 别信息t、和属性信息v^→ _i：＝(v_i，i’)的肯定形的组(t，v^→ _i)或者否定形的组(t，v^→ _i)中的某一个，L是1以上的整数，r是1以上的整数，t＝1，...，d中的某一个整数，i’＝1，...，n_t；

矢量生成工序，所述加密装置根据具有r个要素的矢量f^→、和在所述第2信息输入工序中输入的矩阵M，生成列矢量s^→T：＝(s₁，...，s_L)^T：＝M·f^→T，并且，根据设为s₀：＝h^→·f^→T而成为s₀＝h^→·(f^→’)^T的具有r个要素的矢量f^→’、和所述矩阵M，生成列矢量(s^→’)^T：＝(s₁’，...，s_L’)^T：＝M·(f^→’)^T；

密码要素c_i生成工序，所述加密装置根据在所述矢量生成工序中生成的列矢量s^→T以及列矢量(s^→’)^T、和关于i＝1，...，L的各整数i的作为随机数的规定的值θ_i、θ_i’，针对i＝1，...，L的各整数i，在变量ρ(i)是肯定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底的基底矢量b_t，l，生成包括式16所示的矢量的密码要素c_i，在变量ρ(i)是否定形的组(t，v^→ _i)的情况下，使用该组的识别信息t表示的基底矢量b_t，l，生成包括式17所示的矢量的密码要素c_i，i＝1，...，2n_t；

加密数据发送工序，所述加密装置将包括在所述密码要素c_i生成工序中生成的关于i＝1，...，L的各整数i的密码要素c_i、所述变量ρ(i)、以及所述矩阵M的加密数据ct_s发送到所述解密装置；

解密密钥接收工序，所述解密装置接收所述多个密钥生成装置中的、所述至少一个以上的密钥生成装置的在所述解密密钥发送工序中发送的解密密钥usk；

数据接收工序，接收在所述加密数据发送工序中发送的加密数据ct_s；

补充系数计算工序，所述解密装置根据在所述解密密钥接收工序中接收的解密密钥usk中包含的属性信息x^→ _t、和在所述数据接收工序中接收的加密数据ct_s中包含的变量ρ(i)，在i＝1，...，L的各整数i中，确定变量ρ(i)是肯定形的组(t，v^→ _i)、且在所述解密密钥接收工序中接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且 该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积成为0的i、和变量ρ(i)是否定形的组(t，v^→ _i)、且在所述解密密钥接收工序中接收包括该组的识别信息t表示的x^→ _t的解密密钥usk、且该组的v^→ _i与该组的识别信息t表示的属性信息x^→ _t的内积不成为0的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据ct_s中包含的矩阵M的第i行的要素的M_i，计算在对α_iM_i进行了合计的情况下成为规定的矢量h^→的补充系数α_i；以及

配对运算工序，所述解密装置根据在所述补充系数计算工序中计算的集合I和补充系数α_i，针对所述加密数据ct_s中包含的密码要素c_i、和所述解密密钥usk中包含的密钥要素k^＊ _t，进行式18所示的配对运算，计算规定的信息K，

[式15]

[式16]

[式17]

[式18]