CN104160437B - 密码系统以及密码方法 - Google Patents

Abstract

目的在于无需重发公开参数，而能够追加属性类别。密码系统(10)在对偶配对矢量空间中的对偶系统密码中，使用附加索引的技术。具体而言，密码系统(10)针对关于索引j的发送侧矢量t_j，作为规定的基底矢量的系数，设定对索引j预先分配了的信息J，针对与索引j对应的索引jˊ的接收侧矢量r_jˊ，作为与所述规定的基底矢量对应的基底矢量的系数，设定与信息J的内积成为0的信息Jˊ。

Description

密码系统以及密码方法

技术领域

本发明涉及无需重发公开参数而能够追加属性类别的密码系统。

背景技术

在非专利文献29中，有关于函数型密码方式的记载。

非专利文献1：Beimel，A.，Secureschemesforsecretsharingandkeydistribution.PhDThesis，IsraelInstituteofTechnology，Technion，Haifa，Israel，1996.

非专利文献2：Bethencourt，J.，Sahai，A.，Waters，B.：Ciphertext-policyattribute-basedencryption.In：2007IEEESymposiumonSecurityandPrivacy，pp.321-334.IEEEPress(2007)

非专利文献3：Boneh，D.，Boyen，X.：Efficientselective-IDsecureidentitybasedencryptionwithoutrandomoracles.In：Cachin，C.，Camenisch，J.(eds.)EUROCRYPT2004.LNCS，vol.3027，pp.223-238.SpringerHeidelberg(2004)

非专利文献4：Boneh，D.，Boyen，X.：Secureidentitybasedencryptionwithoutrandomoracles.In：Franklin，M.K.(ed.)CRYPTO2004.LNCS，vol.3152，pp.443-459.SpringerHeidelberg(2004)

非专利文献5：Boneh，D.，Boyen，X.，Goh，E.：Hierarchicalidentitybasedencryptionwithconstantsizeciphertext.In：Cramer，R.(ed.)EUROCRYPT2005.LNCS，vol.3494，pp.440-456.SpringerHeidelberg(2005)

非专利文献6：Boneh，D.，Boyen，X.，Shacham，H.：Shortgroupsignatures.In：Franklin，M.(ed.)CRYPTO2004.LNCS，vol.3152，pp.41-55.Springer，Heidelberg(2004)

非专利文献7：Boneh，D.，Franklin，M.：Identity-basedencryptionfromtheWeilpairing.In：Kilian，J.(ed.)CRYPTO2001.LNCS，vol.2139，pp.213-229.SpringerHeidelberg(2001)

非专利文献8：Boneh，D.，Hamburg，M.：Generalizedidentitybasedandbroadcastencryptionscheme.In：Pieprzyk，J.(ed.)ASIACRYPT2008.LNCS，vol.5350，pp.455-470.SpringerHeidelberg(2008)

非专利文献9：Boneh，D.，Katz，J.，ImprovedefficiencyforCCA-securecryptosystemsbuiltusingidentitybasedencryption.RSA-CT2005，LNCS，SpringerVerlag(2005)

非专利文献10：Boneh，D.，Waters，B.：Conjunctive，subset，andrangequeriesonencrypteddata.In：Vadhan，S.P.(ed.)TCC2007.LNCS，vol.4392，pp.535-554.SpringerHeidelberg(2007)

非专利文献11：Boyen，X.，Waters，B.：Anonymoushierarchicalidentity-basedencryption(withoutrandomoracles).In：Dwork，C.(ed.)CRYPTO2006.LNCS，vol.4117，pp.290-307.SpringerHeidelberg(2006)

非专利文献12：Canetti，R.，HaleviS.，KatzJ.：Chosen-ciphertextsecurityfromidentity-basedencryption.EUROCRYPT2004，LNCS，SpringerHeidelberg(2004)

非专利文献13：Chase，M.：Multi-authorityattributebasedencryption.TCC，LNCS，pp.515-534，SpringerHeidelberg(2007).

非专利文献14：Chase，M.andChow，S.：Improvingprivacyandsecurityinmulti-authorityattribute-basedencryption，ACMConferenceonComputerandCommunicationsSecurity，pp.121-130，ACM(2009).

非专利文献15：Cocks，C.：Anidentitybasedencryptionschemebasedonquadraticresidues.In：Honary，B.(ed.)IMAInt.Conf.LNCS，vol.2260，pp.360-363.SpringerHeidelberg(2001)

非专利文献16：Gentry，C.：Practicalidentity-basedencryptionwithoutrandomoracles.In：Vaudenay，S.(ed.)EUROCRYPT2006.LNCS，vol.4004，pp.445-464.SpringerHeidelberg(2006)

非专利文献17：Gentry，C.，Halevi，S.：Hierarchicalidentity-basedencryptionwithpolynomiallymanylevels.In：Reingold，O.(ed.)TCC2009.LNCS，vol.5444，pp.437-456.SpringerHeidelberg(2009)

非专利文献18：Gentry，C.，Silverberg，A.：HierarchicalID-basedcryptography.In：Zheng，Y.(ed.)ASIACRYPT2002.LNCS，vol.2501，pp.548-566.SpringerHeidelberg(2002)

非专利文献19：Goyal，V.，Pandey，O.，Sahai，A.，Waters，B.：Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata.In：ACMConferenceonComputerandCommunicationSecurity2006，pp.89-98，ACM(2006)

非专利文献20：Katz，J.，Sahai，A.，Waters，B.：Predicateencryptionsupportingdisjunctions，polynomialequations，andinnerproducts.In：Smart，N.P.(ed.)EUROCRYPT2008.LNCS，vol.4965，pp.146-162.SpringerHeidelberg(2008)

非专利文献21：Lewko，A.，Okamoto，T.，Sahai，A.，Takashima，K.，Waters，B.：Fullysecurefunctionalencryption：Attributebasedencryptionand(hierarchical)innerproductencryption，EUROCRYPT2010.LNCS，SpringerHeidelberg(2010)

非专利文献22：Lewko，A.B.，Waters，B.：NewtechniquesfordualsystemencryptionandfullysecureHIBEwithshortciphertexts.In：Micciancio，D.(ed.)TCC2010.LNCS，vol.5978，pp.455-479.SpringerHeidelberg(2010)

非专利文献23：Lewko，A.B.，Waters，B.：DecentralizingAttribute-BasedEncryption，theproceedingsofEurocrypt2011，LNCS，SpringerHeidelberg(2011).

非专利文献24：Lewko，A.B.，Waters，B.：UnboundedHIBEandattribute-basedencryption，theproceedingsofEurocrypt2011，LNCS，SpringerHeidelberg(2011).

非专利文献25：H.Lin，Z.Cao，X.Liang，andJ.Shao.：Securethresholdmultiauthorityattributebasedencryptionwithoutacentralauthority，INDOCRYPT，LNCS，vol.5365，pp.426-436，SpringerHeidelberg(2008).

非专利文献26：S.M¨uller，S.Katzenbeisser，andC.Eckert.；Onmulti-authorityciphertext-policyattribute-basedencryption，Bull.KoreanMathSoc.46，No.4，pp.803-819(2009).

非专利文献27：Okamoto，T.，Takashima，K.：Homomorphicencryptionandsignaturesfromvectordecomposition.In：Galbraith，S.D.，Paterson，K.G.(eds.)Pairing2008.LNCS，vol.5209，pp.57-74，SpringerHeidelberg(2008)

非专利文献28：Okamoto，T.，Takashima，K.：Hierarchicalpredicateencryptionforinner-products，In：ASIACRYPT2009，SpringerHeidelberg(2009)

非专利文献29：Okamoto，T.，Takashima，K.：Fullysecurefunctionalencryptionwithgeneralrelationsfromthedecisionallinearassumption.In：Rabin，T.(ed.)CRYPTO2010.LNCS，vol.6223，pp.191-208.SpringerHeidelberg(2010).Fullversionisavailableathttp：//eprint.iacr.org/2010/563

非专利文献30：Okamoto，T.，Takashima，K.：Efficientattribute-basedsignaturesfornon-monotonepredicatesinthestandardmodel，In：PKC2011，SpringerHeidelberg(2011)

非专利文献31：Okamoto，T.，Takashima，K.：DecentralizedAttribute-BasedSignatureshttp：//eprint.iacr.org/2011/701

非专利文献32：Ostrovsky，R.，Sahai，A.，Waters，B.：Attribute-basedencryptionwithnon-monotonicaccessstructures.In：ACMConferenceonComputerandCommunicationSecurity2007，pp.195-203，ACM(2007)

非专利文献33：Pirretti，M.，Traynor，P.，McDaniel，P.，Waters，B.：Secureattribute-basedsystems.In：ACMConferenceonComputerandCommunicationSecurity2006，pp.99-112，ACM，(2006)

非专利文献34：Sahai，A.，Waters，B.：Fuzzyidentity-basedencryption.In：Cramer，R.(ed.)EUROCRYPT2005.LNCS，vol.3494，pp.457-473.SpringerHeidelberg(2005)

非专利文献35：Shi，E.，Waters，B.：Delegatingcapabilityinpredicateencryptionsystems.In：Aceto，L.，Damg「ェard，I.，Goldberg，L.A.，Halldウェrsson，M.M.，Ingウェlfsdウェttir，A.，Walukiewicz，I.(eds.)ICALP(2)2008.LNCS，vol.5126，pp.560-578.SpringerHeidelberg(2008)

非专利文献36：Waters，B.：Efficientidentitybasedencryptionwithoutrandomoracles.Eurocrypt2005，LNCS，vol.3152，pp.443-459.SpringerVerlag，(2005)

非专利文献37：Waters，B.：Ciphertext-policyattribute-basedencryption：anexpressive，efficient，andprovablysecurerealization.ePrint，IACR，http：//eprint.iacr.org/2008/290

非专利文献38：Waters，B.：Dualsystemencryption：realizingfullysecureIBEandHIBEundersimpleassumptions.In：Halevi，S.(ed.)CRYPTO2009.LNCS，vol.5677，pp.619-636.SpringerHeidelberg(2009)

发明内容

在非专利文献29记载的函数型密码方式中，针对每个属性类别，需要基底B_t以及基底B^＊ _t的对，在追加属性类别的情况下，需要生成新的基底B_t以及基底B^＊ _t的对。另外，基底B_t包含于公开参数中，所以需要重发公开参数。

本发明的目的在于，无需重发公开参数，而能够追加属性类别。

本发明的密码系统是使用规定的基底B以及规定的基底B^＊进行处理的密码系统，其特征在于，具备：

发送装置，生成关于多个索引j中的一个以上的索引j的发送侧矢量t_j，该发送侧矢量t_j在所述基底B中的规定的基底矢量b_index的系数中设定了对索引j预先分配了的信息J，在所述基底B中的其他基底矢量b_att的系数中设定了关于索引j的参数Φ_j；以及

接收装置，使用关于多个索引j’中的一个以上的索引j’的接收侧矢量r_j’，针对关于索引j的所述发送侧矢量t_j和关于与所述索引j对应的索引j’的所述接收侧矢量r_j’，计算每对应的基底矢量的配对运算之积，该接收侧矢量r_j’在与所述基底矢量b_index对应的所述基底B^＊中的基底矢量b^＊ _index的系数中设定了和对与索引j’对应的索引j预先分配了的信息J的内积成为0的信息J’，在与所述基底矢量b_att对应的所述基底B^＊中的基底矢量b^＊ _att的系数中设定了关于索引j’的参数Ψ_j’。

在本发明的密码系统中，在发送侧矢量t_j中，设定了对索引j预先分配了的信息J，在接收侧矢量r_j’中，设定了与信息J的内积成为0的信息J’。由此，能够在维持了安全性的状态下，针对所有属性类别使用共用的基底B以及基底B^＊，无需针对每个属性类别使用基底B_t以及基底B^＊ _t。其结果，在追加属性类别的情况下，无需生成新的基底B_t以及基底B^＊ _t，无需重发公开参数，而能够追加属性类别。

附图说明

图1是矩阵M^的说明图。

图2是矩阵M_δ的说明图。

图3是s₀的说明图。

图4是s^→T的说明图。

图5是执行实施方式2的KP-FE方式的密码系统10的结构图。

图6是实施方式2的密钥生成装置100的结构图。

图7是实施方式2的加密装置200的结构图。

图8是实施方式2的解密装置300的结构图。

图9是示出实施方式2的Setup算法的处理的流程图。

图10是示出实施方式2的KeyGen算法的处理的流程图。

图11是示出实施方式2的Enc算法的处理的流程图。

图12是示出实施方式2的Dec算法的处理的流程图。

图13是执行实施方式3的CP-FE方式的密码系统10的结构图。

图14是实施方式3的密钥生成装置100的结构图。

图15是实施方式3的加密装置200的结构图。

图16是实施方式3的解密装置300的结构图。

图17是示出实施方式3的KeyGen算法的处理的流程图。

图18是示出实施方式3的Enc算法的处理的流程图。

图19是示出实施方式3的Dec算法的处理的流程图。

图20是执行实施方式4的HIPE方式的密码系统10的结构图。

图21是实施方式4的密钥生成装置100的结构图。

图22是实施方式4的加密装置200的结构图。

图23是实施方式4的解密装置300的结构图。

图24是实施方式4的密钥转交装置400的结构图。

图25是示出实施方式4的Setup算法的处理的流程图。

图26是示出实施方式4的KeyGen算法的处理的流程图。

图27是示出实施方式4的Enc算法的处理的流程图。

图28是示出实施方式4的Dec算法的处理的流程图。

图29是示出实施方式4的Delegate_L算法的处理的流程图。

图30是执行实施方式5的签名方式的密码系统10的结构图。

图31是实施方式5的密钥生成装置100的结构图。

图32是实施方式5的签名装置500的结构图。

图33是实施方式5的验证装置600的结构图。

图34是示出实施方式5的Setup算法的处理的流程图。

图35是示出实施方式5的KeyGen算法的处理的流程图。

图36是示出实施方式5的Sig算法的处理的流程图。

图37是示出实施方式5的Ver算法的处理的流程图。

图38是多管理者的说明图。

图39是多管理者的情况下的能够追加属性类别的函数型密码方式的说明图。

图40是示出密钥生成装置100、加密装置200、解密装置300、密钥转交装置400、签名装置500、验证装置600的硬件结构的一个例子的图。

(附图标记说明)

10：密码系统；100：密钥生成装置；110：主密钥生成部；120：主密钥存储部；130：信息输入部；140：解密密钥生成部；141：f矢量生成部；142：s矢量生成部；143：随机数生成部；144：密钥要素生成部；145：随机化要素生成部；146：转交要素生成部；150：密钥分发部；200：加密装置；210：公开参数取得部；220：信息输入部；230：加密数据生成部；231：随机数生成部；232：密码要素生成部；240：数据发送部；300：解密装置；310：解密密钥取得部；320：数据接收部；330：张成方案计算部；340：补充系数计算部；350：配对运算部；360：消息计算部；400：密钥转交装置；410：解密密钥取得部；420：信息输入部；430：转交密钥生成部；431：随机数生成部；432：下位密钥要素生成部；433：下位随机化要素生成部；434：下位转交要素生成部；440：密钥分发部；500：签名装置；510：签名密钥取得部；520：信息输入部；530：补充系数计算部；540：签名数据生成部；541：随机数生成部；542：签名要素生成部；550：数据发送部；600：验证装置；610：公开参数取得部；620：数据接收部；630：验证数据生成部；631：f矢量生成部；632：s矢量生成部；633：随机数生成部；634：验证要素生成部；640：配对运算部。

具体实施方式

以下，根据附图，说明发明的实施方式。

在以下的说明中，处理装置是后述CPU911等。存储装置是后述ROM913、RAM914、磁盘920等。通信装置是后述通信板(communicationboard)915等。输入装置是后述键盘902、通信板915等。即，处理装置、存储装置、通信装置、输入装置是硬件。

说明以下的说明中的记法。

在A是随机的变量或者分布时，式101表示依照A的分布从A随机地选择y。即，在式101中，y是随机数。

[式101]

$y\stackrel{R}{\←}A$

在A是集合时，式102表示从A均匀地选择y。即，在式102中，y是均匀随机数。

[式102]

$y\stackrel{U}{\←}A$

式103表示y是通过z定义了的集合、或者y是代入了z的集合。

[式103]

y：＝z

在a是常数时，式104表示机械(算法)A针对输入x输出a。

[式104]

A(x)→a

例如，

A(x)→1

式105、即F_q表示位数q的有限域(finitefield)。

[式105]

矢量标记表示有限域F_q中的矢量显示。即，是式106。

[式106]

表示

式107表示式108所示的2个矢量x^→和v^→的式109所示的内积。

[式107]

$\stackrel{\→}{x}\·\stackrel{\→}{v}$

[式108]

$\begin{array}{c}\stackrel{\→}{x}=(x_1,...,x_n)\\ \stackrel{\→}{v}=(v_1,...,v_n)\end{array},$

[式109]

${\mathrm{\Σ}}_{i=1}^n{x}_i{v}_i$

X^T表示矩阵X的转置矩阵。

在b_i(i＝1，...，n)是空间V的矢量的要素时，即，在是式110时，式111表示通过式112生成的部分空间。

[式110]

[式111]

[式112]

$b_1,...,b_n(\mathrm{resp}.{\stackrel{\→}{x}}_1,...,{\stackrel{\→}{x}}_n)$

针对式113所示的基底B和基底B^＊，是式114。

[式113]

[式114]

e^→ _j表示式115所示的标准基底矢量。

[式115]

另外，在以下的说明中，在下标或者上标中示出了“Vt”的情况下，该Vt意味着V_t。同样地，在上标中示出了“δi，j”的情况下，该δi，j意味着δ_i，j。

另外，在下标文字或者上标文字中附加了意味着矢量的“→”的情况下，该“→”意味着在下标文字或者上标文字中以上标附加。

另外，在以下的说明中，关于密码基元(cryptographicprimitive)的处理，不仅是用于使信息从第三方隐匿的狭义的密码处理，而且还包括签名处理，包括密钥生成处理、加密处理、解密处理、密钥转交处理、签名处理、验证处理。

实施方式1.

在该实施方式中，说明成为实现在以下的实施方式中说明的、无需重发公开参数而能够追加属性类别的密码基元的处理的基础的概念。

第1，说明属性类别的追加。

第2，简单地说明函数型密码方式、和函数型密码方式的基本结构。

第3，说明无需重发公开参数而能够追加属性类别的关键技术。

第4，说明具有作为用于实现函数型密码方式的空间的“对偶配对矢量空间(DualPairingVectorSpaces，DPVS)”这样的丰富的数学构造的空间。

第5，说明用于实现函数型密码方式的概念。此处，说明张成方案(SpanProgram)”、“属性信息的内积和访问架构(accessstructure)”、“秘密分散方式(秘密共享方式)”。

<第1.属性类别的追加>

属性类别是指，例如，所属机关、所属工作岗位、职务、年龄、性别等各用户的属性的分类。

在以下的实施方式中说明的密码基元的处理实现基于用户的属性的访问控制。例如，如果是用于使信息从第三方隐匿的狭义的密码处理，则根据用户的属性，控制可否对密文进行解密。

通常，在系统设计时，预先决定在访问控制中使用的属性类别。但是，有之后系统的运用被变更，需要追加在访问控制中使用的属性类别的情况。

例如，设为设想仅在A公司内使用来构筑了密码系统。在该情况下，作为所使用的属性类别，设想所属工作岗位、职务、个人的ID等。但是，之后，设为以不仅是A公司，而且在A公司的关联公司中也使用密码系统的方式，变更了运用。在该情况下，作为所使用的属性类别，需要新追加所属公司。

在通过公开参数规定了在访问控制中使用的属性类别的情况下，为了之后追加属性类别，必须重发公开参数而向用户重新分发。因此，难以之后追加属性类别，无法灵活地采用在系统设计时未设想的运用形式。

因此，无需重发公开参数而能够追加属性类别变得重要。

<第2.函数型密码方式>

函数型密码方式是使加密密钥ek、与解密密钥dk之间的关系更高级、更灵活的密码方式。

在函数型密码方式中，在加密密钥ek和解密密钥dk中，分别设定了参数Φ和参数Ψ。另外，仅限关系R(Φ，Ψ)成立的情况，解密密钥dk能够对用加密密钥ek加密了的密文进行解密。

在函数型密码方式中，包括基于属性的密码方式、基于ID的密码方式。

简单说明函数型密码方式的结构。

函数型密码方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是输出公开参数pk、和主密钥sk的算法。

(KeyGen)

KeyGen算法是将公开参数pk、主密钥sk、以及参数Ψ作为输入，输出解密密钥sk_Ψ的算法。

(Enc)

Enc算法是将公开参数pk、参数Φ、以及消息m作为输入，输出密文ct_Φ的算法。

(Dec)

Dec算法是将公开参数pk、解密密钥sk_Ψ、以及密文ct_Φ作为输入，输出消息m、或者、识别信息⊥的算法。

另外，仅限参数Ψ和参数Φ满足关系R的情况(R(Φ，Ψ)成立的情况)，能够用解密密钥sk_Ψ对密文ct_Φ进行解密，得到消息m。

另外，通常，在系统的设置(setup)时，仅执行1次Setup算法。每当生成用户的解密密钥sk_Ψ时，执行KeyGen算法。每当对消息m进行加密时，执行Enc算法。每当对密文ct_Φ进行解密时，执行Dec算法。

<第3.关键技术>

在无需重发公开参数而能够追加属性类别的关键技术中，在对偶配对矢量空间中的对偶系统密码中，应用附加索引的技术。

在对偶配对矢量空间中的对偶系统密码中，随机地生成作为对偶基底的基底B和基底B^＊。另外，基底B的一部分(基底B^)成为公开参数。

在非专利文献29记载的函数型密码方式中，生成基底B^₁，...，基底B^_d作为公开参数。另外，对关于t＝1，...，d的各整数t的基底B^_t，分配了1个属性类别。即，能够处理d个属性类别。

此处，根据基底B^₁，...，基底B^_d是公开参数可知，在之后追加基底B^的情况、即让d的值增加的情况下，必须重发公开参数。即，d的值被公开参数限制。

在以下的实施方式中说明的函数型密码方式中，生成基底B^作为公开参数。另外，关于t＝1，...，d的各整数t，对密文c和秘密密钥k^＊设定σ_t(1，t)和μ_i(t，-1)的二维索引矢量，对各整数t分配1个属性类别。即，能够处理d个属性类别。

此处，在公开参数中，包括基底B^，但未包括索引矢量。因此，在之后追加索引矢量，而使d的值增加的情况下，无需重发公开参数。即，d的值未被公开参数限制。

<第4.对偶配对矢量空间>

首先，说明对称双线性配对群。

对称双线性配对群(q，G，G^T，g，e)是素数q、位数q的循环加法群G、位数q的循环乘法群G^T、g≠0∈G、以及能够用多项式时间计算的非退化双线性配对(NondegenerateBilinearPairing)e：G×G→G_T的组。非退化双线性配对是e(sg，tg)＝e(g，g)^st，是e(g，g)≠1。

在以下的说明中，将G_bpg设为将1^λ作为输入，输出将保密参数设为λ的双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值的算法。

接下来，说明对偶配对矢量空间。

对偶配对矢量空间(q，V，G_T，A，e)能够通过对称双线性配对群(param_G：＝(q，G，G_T，g，e))的直积构成。对偶配对矢量空间(q，V，G_T，A，e)是素数q、式116所示的F_q上的N维矢量空间V、位数q的循环群G_T、空间V的标准基底A：＝(a₁，...，a_N)的组，具有以下的运算(1)(2)。此处，a_i如式117所示。

[式116]

[式117]

运算(1)：非退化双线性配对

空间V中的配对通过式118定义。

[式118]

此处，

其是非退化双线性。即，e(sx，ty)＝e(x，y)^st，在针对所有y∈V，是e(x，y)＝1的情况下，x＝0。另外，针对所有i和j，是e(a_i，a_j)＝e(g，g)^δi，j。此处，如果i＝j，则δ_i，j＝1，如果i≠j，则δ_i，j＝0。另外，e(g，g)≠1∈G_T。

运算(2)：畸变映射

式119所示的空间V中的线性变换φ_i，j能够进行式120。

[式119]

φ_i,j(a_j)＝a_i，

如果k≠j，则φ_i,j(a_k)＝0。

[式120]

此处，

(g₁,…g_N):＝x。

此处，将线性变换φ_i，j称为畸变映射。

在以下的说明中，将G_dpvs设为如下算法：将1^λ(λ∈自然数)、N∈自然数、双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值作为输入，输出保密参数是λ、作为N维的空间V的对偶配对矢量空间的参数param_V：＝(q，V，G_T，A，e)的值的算法。

另外，此处，说明通过上述对称双线性配对群，构成了对偶配对矢量空间的情况。另外，还能够通过非对称双线性配对群构成对偶配对矢量空间。易于将以下的说明应用于通过非对称双线性配对群构成了对偶配对矢量空间的情况。

<第5.用于实现函数型密码的概念>

<第5-1.张成方案>

图1是矩阵M^的说明图。

将{p₁，...，p_n}设为变量的集合。M^：＝(M，ρ)是附加了标签的矩阵。此处，矩阵M是F_q上的(L行×r列)的矩阵。另外，ρ是对矩阵M的各行附加了的标签，向{p₁，...，p_n，￢p₁，...，￢p_n}中的某一个字面值(literal)对应起来。另外，对M的所有行附加了的标签ρ_i(i＝1，...，L)向某一个字面值对应起来。即，是ρ：{1，...，L}→{p₁，...，p_n，￢p₁，...，￢p_n}。

针对所有输入列δ∈{0，1}ⁿ，定义矩阵M的部分矩阵M_δ。矩阵M_δ是由根据输入列δ对标签ρ对应起来了值“1”的矩阵M的行构成的部分矩阵。即，矩阵M_δ是由与成为δ_i＝1那样的p_i对应起来了的矩阵M的行、和与成为δ_i＝0那样的￢p_i对应起来了的矩阵M的行构成的部分矩阵。

图2是矩阵M_δ的说明图。另外，在图2中，成为n＝7，L＝6，r＝5。即，变量的集合是{p₁，...，p₇}，矩阵M是(6行×5列)的矩阵。另外，在图2中，关于标签ρ，设为ρ₁与￢p₂对应起来，ρ₂与p₁对应起来，ρ₃与p₄对应起来，ρ₄与￢p₅对应起来，ρ₅与￢p₃对应起来，ρ₆与p₅对应起来。

此处，设为输入列δ∈{0，1}⁷是δ₁＝1，δ₂＝0，δ₃＝1，δ₄＝0，δ₅＝0，δ₆＝1，δ₇＝1。在该情况下，由与虚线所包围的字面值(p₁，p₃，p₆，p₇，￢p₂，￢p₄，￢p₅)对应起来的矩阵M的行构成的部分矩阵是矩阵M_δ。即，由矩阵M的第1行(M₁)、第2行(M₂)、第4行(M₄)构成的部分矩阵是矩阵M_δ。

换言之，设为在映射γ：{1，...，L}→{0，1}是[ρ(j)＝p_i]∧[δ_i＝1]或者[ρ(j)＝￢p_i]∧[δ_i＝0]的情况下，是γ(j)＝1，在其他情况下，是γ(j)＝0。在该情况下，是M_δ：＝(M_j)_γ(j)＝1。此处，M_j是矩阵M的第j行。

即，在图2中，是映射γ(j)＝1(j＝1，2，4)，是映射γ(j)＝0(j＝3，5，6)。因此，(M_j)_γ(j)＝1是M₁，M₂，M₄，是矩阵M_δ。

即，通过映射γ(j)的值是“0”还是“1”，决定矩阵M的第j行是否包含于矩阵M_δ中。

仅限是1^→∈span<M_δ>的情况，张成方案M^受理输入列δ，在其他情况下，拒绝输入列δ。即，仅限于对通过输入列δ从矩阵M^得到的矩阵M_δ的行进行线性结合而得到1^→的情况，张成方案M^受理输入列δ。另外，1^→是指，各要素是值“1”的行矢量。

例如，在图2的例子中，仅限于对由矩阵M的第1、2、4行构成的矩阵M_δ的各行进行线性结合而得到1^→的情况，张成方案M^受理输入列δ。即，在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁，α₂，α₄的情况下，张成方案M^受理输入列δ。

此处，在标签ρ仅与正的字面值{p₁，...，p_n}对应起来了的情况下，张成方案被称为单调(monotone)。另一方面，在标签ρ与字面值{p₁，...，p_n，￢p₁，...，￢p_n}对应起来了的情况下，张成方案被称为非单调。此处，张成方案成为非单调(non-monotone)。另外，使用非单调张成方案，构成访问架构(非单调访问架构)。访问架构是指，简单而言进行向密码的访问控制的结构。即，控制可否对密文进行解密。

详情后述，通过张成方案并非单调而是非单调，利用张成方案构成的函数型密码方式的利用范围扩大。

<第5-2.属性信息的内积和访问架构>

此处，使用属性信息的内积来计算上述映射γ(j)。即，使用属性信息的内积，决定将矩阵M的哪个行包含于矩阵M_δ中。

U_t(t＝1，...，d且U_t{0，1}^＊)是部分全集(sub-universe)，是属性的集合。另外，U_t分别包括部分全集的识别信息(t)、和n维矢量(v^→)。即，U_t是(t，v^→)。此处，是t∈{1，...，d}，是v^→∈F_q ⁿ。

将U_t：＝(t，v^→)设为张成方案M^：＝(M，ρ)中的变量p。即，是p：＝(t，v^→)。另外，将成为变量(p：＝(t，v^→)，(t’，v’^→)，...)的张成方案M^：＝(M，ρ)设为访问架构S。

即，是访问架构S：＝(M，ρ)，是ρ：{1，...，L}→{(t，v^→)，(t’，v’^→)，...，￢(t，v^→)，￢(t’，v’^→)，...}。

接下来，将Γ设为属性的集合。即，是Γ：＝{(t，x^→ _t)|x^→ _t∈Fqⁿ，1≦t≦d}。

在对访问架构S提供了Γ的情况下，如以下那样定义针对张成方案M^：＝(M，ρ)的映射γ：{1，...，L}→{0，1}。关于i＝1，...，L的各整数i，在是[ρ(i)＝(t，v^→ _i)]∧[(t，x^→ _t)∈Γ]∧[v^→ _i·x^→ _t＝0]、或者、[ρ(i)＝￢(t，v^→ _i)]∧[(t，x^→ _t)∈Γ]∧[v^→ _i·x^→ _t≠0]的情况下，是γ(j)＝1，在其他情况下，设为γ(j)＝0。

即，根据属性信息v^→和x^→的内积，计算映射γ。然后，如上所述，通过映射γ，决定将矩阵M的哪个行包含于矩阵M_δ中。即，通过属性信息v^→和x^→的内积，决定将矩阵M的哪个行包含于矩阵M_δ中，仅限于1^→∈span<(M_i)_γ(i)＝1>的情况，访问架构S：＝(M，ρ)受理Γ。

<第5-3.秘密分散方式>

说明针对访问架构S：＝(M，ρ)的秘密分散方式。

另外，秘密分散方式是指，使秘密信息分散，成为无意义的分散信息。例如，使秘密信息s分散为10个，生成10个分散信息。此处，10个分散信息各自未具有秘密信息s的信息。因此，即便获得某一个分散信息，关于秘密信息s也无法得到任何信息。另一方面，如果获得全部10个分散信息，就能够复原秘密信息s。

另外，还有即使未获得全部10个分散信息，只要获得一部分(例如8个)，就能够复原秘密信息s的秘密分散方式。这样，将能够用10个分散信息中的8个来复原秘密信息s的情况称为8-out-of-10。即，将能够用n个分散信息中的t个来复原秘密信息s的情况称为t-out-of-n。将该t称为阈值。

另外，还有在生成了d₁，...，d₁₀这10个分散信息的情况下，如果是d₁，...，d₈这8个分散信息，则能够复原秘密信息s，但如果是d₃，...，d₁₀这8个分散信息，则无法复原秘密信息s这样的秘密分散方式。即，还有不仅是获得的分散信息的数量，而且还根据分散信息的组合控制可否对秘密信息s进行复原的秘密分散方式。

图3是s₀的说明图。图4是s^→T的说明图。

将矩阵M设为(L行×r列)的矩阵。将f^→T设为式121所示的列矢量。

[式121]

将式122所示的s₀设为共享的秘密信息。

[式122]

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T:={\mathrm{\&Sigma;}}_{k=1}^r{f}_k$

另外，将式123所示的s^→T设为s₀的L个分散信息的矢量。

[式123]

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，设为使分散信息s_i属于ρ(i)。

在访问架构S：＝(M，ρ)受理Γ的情况、即关于γ：{1，...，L}→{0，1}是1^→∈span<(M_i)_γ(i)＝1>的情况下，存在作为I{i∈{1，...，L}|γ(i)＝1}的常数{α_i∈F_q|i∈I}。

其根据在图2的例子中，说明为在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁，α₂，α₄的情况下，张成方案M^受理输入列δ也可知。即，如果在存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁，α₂，α₄的情况下，张成方案M^受理输入列δ，则存在成为α₁(M₁)+α₂(M₂)+α₄(M₄)＝1^→的α₁，α₂，α₄。

另外，是式124。

[式124]

Σ_i∈Iα_is_i：＝s₀

另外，常数{α_i}能够通过矩阵M的尺寸中的多项式时间来计算。

在以下的实施方式的函数型密码方式中，如上所述，在张成方案中应用内积谓词和秘密分散方式来构成访问架构。因此，通过设计张成方案中的矩阵M、内积谓词中的属性信息x以及属性信息v(谓词信息)，能够自由地设计访问控制。即，能够以非常高的自由度设计访问控制。另外，矩阵M的设计相当于秘密分散方式的阈值等条件设计。

例如，上述基于属性的密码方式相当于在以下的实施方式的函数型密码方式中的访问架构中，将内积谓词的设计限定于某个条件的情况。即，相比于以下的实施方式的函数型密码方式中的访问架构，在基于属性的密码方式中的访问架构中，关于内积谓词中的属性信息x以及属性信息v(谓词信息)，没有设计的自由度，与此对应地，访问控制的设计的自由度低。另外，具体而言，基于属性的密码方式相当于将属性信息{x^→ _t}_{t∈{1，...，d}}和{v^→ _t}_{t∈{1，...，d}}限定为针对等号关系的二维矢量、例如x^→ _t：＝(1，x_t)和v^→ _t：＝(v_t，-1)的情况。

另外，内积谓词密码方式相当于在以下的实施方式的函数型密码方式中的访问架构中，将张成方案中的矩阵M的设计限定为某个条件的情况。即，相比于以下的实施方式的函数型密码方式中的访问架构，在内积谓词密码方式中的访问架构中，没有张成方案中的矩阵M的设计的自由度，与此对应地，访问控制的设计的自由度低。另外，具体而言，内积谓词密码方式是将秘密分散方式限定为1-out-of-1(或者d-out-of-d)的情况。

特别，以下的实施方式的函数型密码方式中的访问架构构成使用了非单调张成方案的非单调访问架构。因此，访问控制的设计的自由度变得更高。

具体而言，在非单调张成方案中，包括否定形的字面值(￢p)，所以能够设定否定形的条件。例如，设为在第1公司中，有A部、B部、C部以及D部这4个工作岗位。此处，设为希望仅对第1公司的除B部以外的工作岗位所属的用户进行可访问(可解密)这样的访问控制。在该情况下，如果无法设定否定形的条件，则需要设定“属于第1公司的A部、C部以及D部中的任意一个”这样的条件。另一方面，如果能够设定否定形的条件，则能够设定“第1公司的社员、且属于B部以外”这样的条件。即，通过能够设定否定形的条件，能够进行自然的条件设定。另外，此处，工作岗位的数量少，但在工作岗位的数量多的情况等情况下，非常有效。

实施方式2.

在该实施方式中，说明狭义的密码处理方式。特别，在该实施方式中，说明Key-Policy函数型密码(KP-FE)方式。

另外，Key-Policy意味着，在解密密钥中埋入Policy、即埋入访问架构。

第1，说明KP-FE方式的结构。

第2，说明实现KP-FE方式的密码系统10的结构。

第3，详细说明KP-FE方式。

<第1.KP-FE方式的结构>

KP-FE方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是输入保密参数λ，输出公开参数pk、和主密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将访问架构S：＝(M，ρ)、公开参数pk、以及主密钥sk作为输入，输出解密密钥sk_S的概率性的算法。

(Enc)

Enc算法是将消息m、作为属性的集合的Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≦t≦d}、以及公开参数pk作为输入，输出密文ct_Γ的概率性的算法。

(Dec)

Dec算法是将在作为属性的集合的Γ下加密了的密文ct_Γ、针对访问架构S的解密密钥sk_S、以及公开参数pk作为输入，输出消息m、或者、识别信息⊥的算法。

<第2.实现KP-FE方式的密码系统10的结构>

图5是执行实施方式2的KP-FE方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、加密装置200、解密装置300。

密钥生成装置100将保密参数λ作为输入执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开生成了的公开参数pk。另外，密钥生成装置100将访问架构S作为输入执行KeyGen算法，生成解密密钥sk_S向解密装置300秘密地分发。

加密装置200将消息m、属性的集合Γ、以及公开参数pk作为输入执行Enc算法，生成密文ct_Γ。加密装置200将生成了的密文ct_Γ发送到解密装置300。

解密装置300将公开参数pk、解密密钥sk_S、以及密文ct_Γ作为输入执行Dec算法，输出消息m或者识别信息⊥。

<第3.KP-FE方式的详情>

根据图6至图12，说明KP-FE方式、以及、执行KP-FE方式的密码系统10的功能和动作。

图6是实施方式2的密钥生成装置100的结构图。图7是实施方式2的加密装置200的结构图。图8是实施方式2的解密装置300的结构图。

图9和图10是示出密钥生成装置100的动作的流程图。另外，图9是示出Setup算法的处理的流程图，图10是示出KeyGen算法的处理的流程图。图11是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图12是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

另外，在以下的说明中，设为是x_t，1：＝1。

说明密钥生成装置100的功能和动作。

密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备f矢量生成部141、s矢量生成部142、随机数生成部143、密钥要素生成部144。

首先，根据图9，说明Setup算法的处理。

(S101：标准正交基底(orthonormalbasis)生成步骤)

主密钥生成部110通过处理装置，计算式125，生成参数param、基底B₀以及基底B^＊ ₀、和基底B₁(基底B)以及基底B^＊ ₁(基底B^＊)。

[式125]

(1)input1^λ

(2)

(3)

N₀:＝1+u₀+1+w₀+z₀,N₁:＝2+n+u+w+z

针对t＝0，1的各t，执行(4)至(8)的处理。

(4)

(5)

(6)

(7)

(8)

(9)

即，主密钥生成部110执行以下的处理。

(1)主密钥生成部110通过输入装置，输入保密参数λ(1^λ)。

(2)主密钥生成部110通过处理装置，将在(1)中输入了的保密参数λ(1^λ)作为输入执行算法G_bpg，生成双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值。

(3)主密钥生成部110通过处理装置，生成随机数ψ，并且对N₀设定1+u₀+1+w₀+z₀，对N₁设定2+n+u+w+z。另外，n是1以上的整数，u₀，w₀，z₀，u，w，z分别是0以上的整数。

接下来，主密钥生成部110针对t＝0，1的各t，执行以下的(4)至(8)的处理。

(4)主密钥生成部110通过处理装置，将在(1)中输入了的保密参数λ(1^λ)、在(3)中设定了的N_t、以及在(2)中生成了的param_G：＝(q，G，G_T，g，e)的值作为输入执行算法G_dpvs，生成对偶配对矢量空间的参数param_Vt：＝(q，V_t，G_T，A_t，e)的值。

(5)主密钥生成部110通过处理装置，将在(3)中设定了的N_t、和F_q作为输入，随机地生成线性变换X_t：＝(χ_t，i，j)_i，j。另外，GL是GeneralLinear的简称。即，GL是一般线性群，是行列式非0的方阵的集合，关于乘法是群。另外，(χ_t，i，j)_i，j是与矩阵χ_t，i，j的下标i，j有关的矩阵这样的含义，此处，是i，j＝1，...，N_t。

(6)主密钥生成部110通过处理装置，根据随机数ψ和线性变换X_t，生成(ν_t，i，j)_i，j：＝ψ·(X_t ^T)^-1。另外，(ν_t，i，j)_i，j也与(χ_t，i，j)_i，j同样地，是与矩阵ν_t，i，j的下标i，j有关的矩阵这样的含义，此处，是i，j＝1，...，N_t。

(7)主密钥生成部110通过处理装置，根据在(5)中生成了的线性变换X_t，根据在(4)中生成了的标准基底A_t，生成基底B_t。另外，x^→ _t，i表示线性变换X_t的第i行。

(8)主密钥生成部110通过处理装置，根据在(6)中生成了的(ν_t，i，j)_i，j，根据在(4)中生成了的标准基底A_t，生成基底B^＊ _t。另外，v^→ _t，i表示线性变换X^＊ _t的第i行。

(9)主密钥生成部110通过处理装置，对g_T设定e(g，g)^ψ。另外，主密钥生成部110对param设定在(4)中生成了的{param_Vt}_t＝0，1、和g_T。

即，在(S101)中，主密钥生成部110执行式126所示的算法G_ob，生成param、基底B₀以及基底B^＊ ₀、和基底B₁(基底B)以及基底B^＊ ₁(基底B^＊)。

[式126]

另外，在以下的说明中，为了简化，将基底B₁以及基底B^＊ ₁设为基底B以及基底B^＊。

(S102：公开参数生成步骤)

主密钥生成部110通过处理装置，如式127所示生成在(S101)中生成了的基底B₀的部分基底B^₀、和基底B的部分基底B^。

[式127]

主密钥生成部110将生成了的部分基底B^₀以及部分基底B^、在(S101)中输入了的保密参数λ(1^λ)、以及在(S101)中生成了的param合起来设为公开参数pk。

(S103：主密钥生成步骤)

主密钥生成部110通过处理装置，如式128所示生成在(S101)中生成了的基底B^＊ ₀的部分基底B^^＊ ₀、和基底B^＊的部分基底B^^＊。

[式128]

主密钥生成部110将生成了的部分基底B^^＊ ₀和部分基底B^^＊设为主密钥sk。

(S104：主密钥存储步骤)

主密钥存储部120将在(S102)中生成了的公开参数pk存储到存储装置中。另外，主密钥存储部120将在(S103)中生成了的主密钥sk存储到存储装置中。

即，在(S101)至(S103)中，密钥生成装置100执行式129所示的Setup算法，生成公开参数pk和主密钥sk。然后，在(S104)中，密钥生成装置100将生成了的公开参数pk和主密钥sk存储到存储装置中。

另外，公开参数例如经由网络公开，成为加密装置200、解密装置300可取得的状态。

[式129]

接下来，根据图10，说明KeyGen算法的处理。

(S201：信息输入步骤)

信息输入部130通过输入装置，输入上述访问架构S：＝(M，ρ)。另外，关于访问架构S的矩阵M的设定，根据希望实现的系统的条件设定。另外，关于访问架构S的ρ，例如，设定了解密密钥sk_S的使用者的属性信息。

(S202：f矢量生成步骤)

f矢量生成部141通过处理装置，如式130所示随机地生成具有r个要素的矢量f^→。

[式130]

(S203：s矢量生成步骤)

s矢量生成部142通过处理装置，根据在(S201)中输入了的访问架构S中包含的(L行×r列)的矩阵M、和在(S202)中生成了的矢量f^→，如式131所示生成矢量s^→T：＝(s₁，...，s_L)^T。

[式131]

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部142通过处理装置，根据在(S202)中生成了的矢量f^→，如式132所示生成值s₀。

[式132]

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

(S204：随机数生成步骤)

随机数生成部143通过处理装置，如式133所示生成随机数。

[式133]

(S205：密钥要素生成步骤)

密钥要素生成部144通过处理装置，如式134所示生成解密密钥sk_S的要素k^＊ ₀。

[式134]

另外，如上所述，在式113中，针对基底B和基底B^＊，是式114。因此，式134意味着，作为基底B^＊ ₀的基底矢量b^＊ _0，1的系数，设定-s₀，作为基底矢量b^＊ _0，1+1，...，b^＊ _0，1+u0的系数，设定0，作为基底矢量b^＊ _0，1+u0+1的系数，设定1，作为基底矢量b^＊ _0，1+u0+1+1，...，b^＊ _{0，1+u0+1+w0}的系数，设定η_0，1，...，η_0，w0，作为基底矢量b^＊ _{0，1+u0+1+w0+1}，...，b^＊ _{0，1+u0+1+w0+z0}的系数，设定0。此处，u0，w0，z0分别是指u₀，w₀，z₀。

另外，密钥要素生成部144通过处理装置，针对i＝1，...，L的各整数i，如式135所示生成解密密钥sk_S的要素k^＊ _i。

[式135]

即，式135与式134同样地意味着，在ρ(i)是肯定形的组(t，v^→ _i)的情况下，作为基底B^＊的基底矢量b^＊ ₁的系数，设定μ_it，作为基底矢量b^＊ ₂的系数，设定-μ_i，作为基底矢量b^＊ ₂₊₁的系数，设定s_i+θ_iv_i，₁，作为基底矢量b^＊ ₂₊₂，...，b^＊ _2+n的系数，设定θ_iv_i，2，...，θ_iv_i，n，作为基底矢量b^＊ _2+n+1，...，b^＊ _2+n+u的系数，设定0，作为基底矢量b^＊ _2+n+u+1，...，b^＊ _2+n+u+w的系数，设定η_i，1，...，η_i，w，作为基底矢量b^＊ _2+n+u+w+1，...，b^＊ _2+n+u+w+z的系数，设定0。

另一方面，意味着在ρ(i)是否定形的组￢(t，v^→ _i)的情况下，作为基底B^＊的基底矢量b^＊ ₁的系数，设定μ_it，作为基底矢量b^＊ ₂的系数，设定-μ_i，作为基底矢量b^＊ ₂₊₁，...，b^＊ _2+n的系数，设定s_iv_i，1，...，s_iv_i，n，作为基底矢量b^＊ _2+n+1，...，b^＊ _2+n+u的系数，设定0，作为基底矢量b^＊ _2+n+u+1，...，b^＊ _2+n+u+w的系数，设定η_i，1，...，η_i，w，作为基底矢量b^＊ _2+n+u+w+1，...，b^＊ _2+n+u+w+z的系数，设定0。

(S206：密钥分发步骤)

密钥分发部150将以在(S201)中输入了的访问架构S、和在(S205)中生成了的k^＊ ₀，k^＊ ₁，...，k^＊ _L为要素的解密密钥sk_S，通过例如通信装置，经由网络秘密地分发到解密装置300。当然，解密密钥sk_S也可以通过其他方法分发到解密装置300。

即，在(S201)至(S205)中，密钥生成装置100执行式136所示的KeyGen算法，生成解密密钥sk_S。然后，在(S206)中，密钥生成装置100将生成了的解密密钥sk_S分发到解密装置300。

[式136]

说明加密装置200的功能和动作。

加密装置200具备公开参数取得部210、信息输入部220、加密数据生成部230、数据发送部240。另外，加密数据生成部230具备随机数生成部231、密码要素生成部232。

根据图11，说明Enc算法的处理。

(S301：公开参数取得步骤)

公开参数取得部210通过例如通信装置，经由网络，取得密钥生成装置100生成了的公开参数pk。

(S302：信息输入步骤)

信息输入部220通过输入装置，输入向解密装置300发送的消息m。另外，信息输入部220通过输入装置，输入属性的集合Γ：＝{(t，x^→ _t：＝(x_t，1，...，x_t，n∈Fqⁿ))|1≦t≦d}。另外，t也可以不是1以上d以下的所有整数，而是1以上d以下的至少一部分的整数。另外，关于属性的集合Γ，例如，设定了可解密的用户的属性信息。

(S303：随机数生成步骤)

随机数生成部231通过处理装置，如式137所示生成随机数。

[式137]

(S304：密码要素生成步骤)

密码要素生成部232通过处理装置，如式138所示生成密文ct_Γ的要素c₀。

[式138]

另外，密码要素生成部232通过处理装置，针对在属性信息Γ中包含的各整数t，如式139所示生成密文ct_Γ的要素c_t。

[式139]

另外，密码要素生成部232通过处理装置，如式140所示生成密文ct_Γ的要素c_d+1。

[式140]

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}m$

(S305：数据发送步骤)

数据发送部240将以在(S302)中输入了的属性的集合Γ、和在(S304)中生成了的c₀，c_t，c_d+1为要素的密文ct_Γ通过例如通信装置，经由网络，发送到解密装置300。当然，密文ct_Γ也可以通过其他方法发送到解密装置300。

即，在(S301)至(S304)中，加密装置200执行式141所示的Enc算法，生成密文ct_Γ。然后，在(S305)中，加密装置200将生成了的密文ct_Γ发送到解密装置300。

[式141]

说明解密装置300的功能和动作。

解密装置300具备解密密钥取得部310、数据接收部320、张成方案计算部330、补充系数计算部340、配对运算部350、消息计算部360。

根据图12，说明Dec算法的处理。

(S401：解密密钥取得步骤)

解密密钥取得部310通过例如通信装置，经由网络，取得从密钥生成装置100分发了的解密密钥sk_S：＝(S，k^＊ ₀，k^＊ ₁，...，k^＊ _L)。另外，解密密钥取得部310取得密钥生成装置100生成了的公开参数pk。

(S402：数据接收步骤)

数据接收部320通过例如通信装置，经由网络，接收加密装置200发送了的密文ct_Γ。

(S403：张成方案计算步骤)

张成方案计算部330通过处理装置，判定在(S401)中取得了的解密密钥sk_S中包含的访问架构S是否受理在(S402)中接收了的密文ct_Γ中包含的Γ。访问架构S是否受理Γ的判定方法如“实施方式1中的第5.用于实现函数型密码的概念”中的说明。

张成方案计算部330在访问架构S受理Γ的情况下(在S403中受理)，使处理进入到(S404)。另一方面，在访问架构S拒绝Γ的情况下(在S403中拒绝)，设为无法用解密密钥sk_S对密文ct_Γ进行解密，结束处理。

(S404：补充系数计算步骤)

补充系数计算部340通过处理装置，计算出成为式142的I、和常数(补充系数){α_i}_i∈I。

[式142]

(S405：配对运算步骤)

配对运算部350通过处理装置，计算式143，生成会话密钥K＝g_T ^ζ。

[式143]

另外，通过如式144所示，计算式143，得到密钥K＝g_T ^ζ。

[式144]

(S406：消息计算步骤)

消息计算部360通过处理装置，计算m’＝c_d+1/K，生成消息m’(＝m)。另外，c_d+1如式142所示是g_T ^ζm，K是g_T ^ζ，所以只要计算m’＝c_d+1/K，就得到消息m。

即，在(S401)至(S406)中，解密装置300执行式145所示的Dec算法，生成消息m’(＝m)。

[式145]

如以上那样，实施方式2的密码系统10针对解密密钥sk_S的要素k^＊ _i，作为基底矢量b^＊ ₁，b^＊ ₂的系数，分别设定了μ_it和-μ_i。另外，密码系统10针对密文ct_Γ的要素c_t，作为基底矢量b₁，b₂的系数，分别设定了σ_t和σ_tt。

因此，如果进行了关于对应的索引t的要素k^＊ _i和要素c_t的配对运算，则关于基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的部分，内积成为0，被删除。即，如果进行了关于对应的索引t的要素k^＊ _i和要素c_t的配对运算，则设定为基底矢量的系数的索引部(基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的部分)被删除，得到关于剩余的部分的配对运算的结果。

实施方式2的密码系统10通过设置索引部，能够将在各属性类别中使用的基底设为共用的基底(基底B以及基底B^＊)。其结果，在公开参数中，仅包括基底B以及基底B^＊既可，在之后追加属性类别的情况下，无需重发公开参数。

另外，实施方式2的密码系统10相比于非专利文献29记载的函数型密码方式，公开参数、主秘密密钥的尺寸更小。因此，能够高效地进行使用了公开参数、主秘密密钥的各运算。

另外，关于索引部，内积了的结果成为0既可。因此，在上述说明中，将基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的二维作为索引部，但不限于此，也可以将三维以上作为索引部。另外，向索引部的值的分配也不限于上述说明，也可以是其他分配。

另外，在上述说明中，说明了函数型密码方式。但是，还能够如式146至式149所示，将上述函数型密码方式变更为基于属性的密码方式。另外，在式146至式149中，将N₀设为1+1+1+1+1＝5，将N₁设为2+2+8+2+2＝16。即，设为u₀＝1，w₀＝1，z₀＝1，n＝2，u＝8，w＝2，z＝2。即使在该情况下，也能够证明安全性。

[式146]

[式147]

[式148]

[式149]

实施方式3.

在该实施方式中，与实施方式2同样地，说明狭义的密码处理方式。特别，在该实施方式中，说明Ciphertext-Policy函数型密码(CP-FE)方式。

另外，Ciphertext-Policy意味着，在密文中埋入Policy、即埋入访问架构。

第1，说明CP-FE方式的结构。

第2，说明实现CP-FE方式的密码系统10的结构。

第3，详细说明CP-FE方式。

<第1.CP-FE方式的结构>

CP-FE方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是输入保密参数λ，输出公开参数pk、和主密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将作为属性的集合的Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≦t≦d}、公开参数pk、以及主密钥sk作为输入，输出解密密钥sk_Γ的概率性的算法。

(Enc)

Enc算法是将消息m、访问架构S：＝(M，ρ)、以及公开参数pk作为输入，输出密文ct_S的概率性的算法。

(Dec)

Dec算法是将在访问架构S下加密了的密文ct_S、针对作为属性的集合的Γ的解密密钥sk_Γ、以及公开参数pk作为输入，输出消息m、或者、识别信息⊥的算法。

<第2.实现CP-FE方式的密码系统10的结构>

图13是执行实施方式3的CP-FE方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、加密装置200、解密装置300。

密钥生成装置100将保密参数λ作为输入执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开生成了的公开参数pk。另外，密钥生成装置100将属性的集合Γ作为输入执行KeyGen算法，生成解密密钥sk_Γ向解密装置300秘密地分发。

加密装置200将消息m、访问架构S、以及公开参数pk作为输入执行Enc算法，生成密文ct_S。加密装置200将生成了的密文ct_S发送到解密装置300。

解密装置300将公开参数pk、解密密钥sk_S、以及密文ct_S作为输入执行Dec算法，输出消息m或者识别信息⊥。

<第3.CP-FE方式的详情>

根据图14至图19，说明CP-FE方式、以及、执行CP-FE方式的密码系统10的功能和动作。

图14是实施方式3的密钥生成装置100的结构图。图15是实施方式3的加密装置200的结构图。图16是实施方式3的解密装置300的结构图。

图17是示出密钥生成装置100的动作的流程图，是示出KeyGen算法的处理的流程图。图18是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图19是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

另外，在以下的说明中，设为是x_t，1：＝1。

Setup算法的处理与在实施方式2中说明了的处理相同，所以省略说明。

说明密钥生成装置100的功能和动作。

密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备随机数生成部143、密钥要素生成部144。

根据图17，说明KeyGen算法的处理。

(S501：信息输入步骤)

信息输入部130通过输入装置，输入属性的集合Γ：＝{(t，x^→ _t：＝(x_t，1，...，x_t，n∈F_q ⁿ))|1≦t≦d}。另外，关于属性的集合Γ，例如，设定了解密密钥sk_Γ的使用者的属性信息。

(S502：随机数生成步骤)

随机数生成部143通过处理装置，如式150所示生成随机数。

[式150]

(S503：密钥要素生成步骤)

密钥要素生成部144通过处理装置，如式151所示生成解密密钥sk_Γ的要素k^＊ ₀。

[式151]

另外，密钥要素生成部144通过处理装置，针对在属性的集合Γ中包含的各整数t，如式152所示生成解密密钥sk_Γ的要素k^＊ _t。

[式152]

(S504：密钥分发步骤)

密钥分发部150将以在(S501)中输入了的属性的集合Γ、和在(S503)中生成了的k^＊ ₀，k^＊ _t为要素的解密密钥sk_Γ，通过例如通信装置，经由网络秘密地分发到解密装置300。当然，解密密钥sk_Γ也可以通过其他方法分发到解密装置300。

即，在(S501)至(S503)中，密钥生成装置100执行式153所示的KeyGen算法，生成解密密钥sk_Γ。然后，在(S504)中，密钥生成装置100将生成了的解密密钥sk_Γ分发到解密装置300。

[式153]

说明加密装置200的功能和动作。

加密装置200具备公开参数取得部210、信息输入部220、加密数据生成部230、数据发送部240。另外，加密数据生成部230具备随机数生成部231、密码要素生成部232、f矢量生成部233、s矢量生成部234。

根据图18，说明Enc算法的处理。

(S601：公开参数取得步骤)

公开参数取得部210通过例如通信装置，经由网络，取得密钥生成装置100生成了的公开参数pk。

(S602：信息输入步骤)

信息输入部220通过输入装置，输入访问架构S：＝(M，ρ)。另外，关于访问架构S的设定，根据希望实现的系统的条件设定。另外，关于访问架构S的ρ，例如，设定了可解密的用户的属性信息。

另外，信息输入部220通过输入装置，输入向解密装置300发送的消息m。

(S603：f矢量生成步骤)

f矢量生成部233通过处理装置，如式154所示随机地生成具有r个要素的矢量f^→。

[式154]

(S604：s矢量生成步骤)

s矢量生成部234通过处理装置，根据在(S602)中输入了的访问架构S中包含的(L行×r列)的矩阵M、和在(S603)中生成了的矢量f^→，如式155所示生成矢量s^→T：＝(s₁，...，s_L)^T。

[式155]

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部234通过处理装置，根据在(S603)中生成了的矢量f^→，如式156所示生成值s₀。

[式156]

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

(S605：随机数生成步骤)

随机数生成部231通过处理装置，如式157所示生成随机数。

[式157]

(S606：密码要素生成步骤)

密码要素生成部232通过处理装置，如式158所示生成加密数据c的要素c₀。

[式158]

另外，密码要素生成部232通过处理装置，针对i＝1，...，L的各整数i，如式159所示生成加密数据c的要素c_i。

[式159]

另外，密码要素生成部232通过处理装置，如式160所示生成加密数据c的要素c_d+1。

[式160]

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}m$

(S607：数据发送步骤)

数据发送部240将以在(S602)中输入了的访问架构S、和在(S606)中生成了的c₀，c₁，...，c_L，c_d+1为要素的密文ct_S，通过例如通信装置，经由网络，发送到解密装置300。当然，密文ct_S也可以通过其他方法发送到解密装置300。

即，在(S601)至(S606)中，加密装置200执行式161所示的Enc算法，生成密文ct_S。然后，在(S607)中，加密装置200将生成了的密文ct_S发送到解密装置300。

[式161]

说明解密装置300的功能和动作。

解密装置300具备解密密钥取得部310、数据接收部320、张成方案计算部330、补充系数计算部340、配对运算部350、消息计算部360。

根据图15，说明Dec算法的处理。

(S701：解密密钥取得步骤)

解密密钥取得部310通过例如通信装置，经由网络，取得从密钥生成装置100分发了的解密密钥sk_Γ。另外，解密密钥取得部310取得密钥生成装置100生成了的公开参数pk。

(S702：数据接收步骤)

数据接收部320通过例如通信装置，经由网络，接收加密装置200发送了的密文ct_S。

(S703：张成方案计算步骤)

张成方案计算部330通过处理装置，判定在(S702)中取得了的密文ct_S中包含的访问架构S是否受理在(S701)中接收了的解密密钥sk_Γ中包含的Γ。访问架构S是否受理Γ的判定方法如“实施方式1中的第5.用于实现函数型密码的概念”中的说明。

张成方案计算部330在访问架构S受理Γ的情况下(在S703中受理)，使处理进入到(S704)。另一方面，在访问架构S拒绝Γ的情况下(在S703中拒绝)，设为无法用解密密钥sk_Γ对密文ct_S进行解密，结束处理。

(S704)至(S706)与实施方式2中的图12所示的(S404)和(S406)相同。

即，在(S701)至(S706)中，加密装置200执行式162所示的Dec算法，生成消息m’(＝m)。

[式162]

如以上那样，实施方式3的密码系统10通过与实施方式2的密码系统10同样地，设置索引部，能够将在各属性类别中使用的基底设为共用的基底(基底B以及基底B^＊)。其结果，在公开参数中，仅包括基底B以及基底B^＊既可，在之后追加属性类别的情况下，无需重发公开参数。

另外，与实施方式2同样地，关于索引部，内积了的结果成为0既可。因此，在上述说明中，将基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的二维设为索引部，但不限于此，也可以将三维以上设为索引部。另外，向索引部的值的分配也不限于上述说明，也可以是其他分配。

另外，在上述说明中，说明了函数型密码方式。但是，还能够如式163至式167所示，将上述函数型密码方式变更为基于属性的密码方式。另外，在式163至式167中，将N₀设为1+1+1+1+1＝5，将N₁设为2+2+8+2+2＝16。即，设为u₀＝1，w₀＝1，z₀＝1，n＝2，u＝8，w＝2，z＝2。即使在该情况下，也能够证明安全性。

[式163]

[式164]

[式165]

[式166]

另外，在实施方式2中，说明了KP-FE方式，在实施方式3中，说明了CP-FE方式。与这些同样地，非专利文献30记载的Unified-PolicyFE(UP-FE)也能够成为在追加属性类别的情况下，无需重发公开参数的结构。

实施方式4.

在该实施方式中，与实施方式2、3同样地，说明狭义的密码处理方式。特别，在该实施方式中，说明层次性的内积谓词密码(HIPE)方式。

另外，HIPE方式是指，可转交权限的内积谓词密码方式。权限转交是指，具有上位的密钥的利用者生成相比于该密钥(上位的密钥)限制了功能的下位的密钥。功能被限制是指，能够用下位的密钥对能够用上位的密钥解密的密文中的仅一部分的密文进行解密这样的含义。内积谓词密码方式相当于如实施方式1说明，限定了函数型密码方式中的访问架构的设计的情况。

在HIPE方式中，有高效的第1方式、和虽然效率不如第1方式但在密文中设定了的属性信息的隐匿性也被保证的第2方式(参照非专利文献29)。此处，作为一个例子，关于第2方式，说明无需重发公开参数而能够追加属性类别的方式。但是，通过对非专利文献29记载的算法追加同样的变更，关于第1方式，也无需重发公开参数而能够追加属性类别。

第1，说明HIPE方式的结构。

第2，说明实现HIPE方式的密码系统10的结构。

第3，详细说明HIPE方式。

<第1.HIPE方式的结构>

HIPE方式具备Setup、KeyGen、Enc、Dec、Delegate_L这5个算法。

(Setup)

Setup算法是将保密参式1^λ作为输入，输出主公开密钥pk和主秘密密钥sk的概率性的算法。主秘密密钥sk是最上位的密钥。

(KeyGen)

KeyGen算法是将主公开密钥pk、主秘密密钥sk、以及谓词信息(v^→ ₁，...，v^→ _L)(1≦L≦d)作为输入，输出第L层的秘密密钥sk_L的概率性的算法。

(Enc)

Enc算法是将主公开密钥pk、属性信息(x^→ ₁，...，x^→ _h)(1≦h≦d)、以及消息m作为输入，输出密文ct的概率性的算法。

(Dec)

Dec算法是将主公开密钥pk、第L层的秘密密钥sk_L、以及密文ct作为输入，输出消息m或者识别信息⊥的概率性的算法。

(Delegate_L)

Delegate_L是将主公开密钥pk、第L层的秘密密钥sk_L、以及第L+1层的谓词信息v^→ _L+1(L+1≦d)作为输入，输出第L+1层的秘密密钥sk_L+1的概率性的算法。即，在Delegate_L算法中，输出下位的秘密密钥。

<第2.实现HIPE方式的密码系统10的结构>

图20是执行实施方式4的HIPE方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、加密装置200、解密装置300、密钥转交装置400。另外，此处，说明为解密装置300具备密钥转交装置400，但密钥转交装置400也可以与解密装置300独立地设置。

密钥生成装置100将保密参数λ作为输入执行Setup算法，生成主公开密钥pk和主秘密密钥sk。然后，密钥生成装置100公开生成了的主公开密钥pk。另外，密钥生成装置100将主公开密钥pk、主秘密密钥sk、以及谓词信息(v^→ ₁，...，v^→ _L)(1≦L≦d)作为输入执行KeyGen算法，生成第L层的秘密密钥sk_L并向第L层的解密装置300秘密地分发。

加密装置200将主公开密钥pk、属性信息(x^→ ₁，...，x^→ _h)(1≦h≦d)、以及消息m作为输入执行Enc算法，生成密文ct。加密装置200将生成了的密文ct发送到解密装置300。

解密装置300将主公开密钥pk、第L层的秘密密钥sk_L、以及密文ct作为输入执行Dec算法，输出消息m或者识别信息⊥。

密钥转交装置400将主公开密钥pk、第L层的秘密密钥sk_L、以及第L+1层的谓词信息v^→ _L+1(L+1≦d)作为输入执行Delegate_L算法，生成第L+1层的秘密密钥sk_L+1并向第L+1层的解密装置300秘密地分发。

<第3.HIPE方式的详情>

根据图21至图29，说明实施方式4的HIPE方式、以及、执行HIPE方式的密码系统10的功能和动作。

图21是实施方式4的密钥生成装置100的结构图。图22是实施方式4的加密装置200的结构图。图23是实施方式4的解密装置300的结构图。图24是实施方式4的密钥转交装置400的结构图。

图25和图26是示出密钥生成装置100的动作的流程图。另外，图25是示出Setup算法的处理的流程图，图26是示出KeyGen算法的处理的流程图。图27是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图28是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。图29是示出密钥转交装置400的动作的流程图，是示出Delegate_L算法的处理的流程图。

说明密钥生成装置100的功能和动作。

密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备随机数生成部143、密钥要素生成部144、随机化要素生成部145、转交要素生成部146。

首先，根据图25，说明Setup算法的处理。

S801与实施方式2中的图9所示的(S101)相同。

(S802：公开参数生成步骤)

主密钥生成部110通过处理装置，如式167所示生成在(S801)中生成了的基底B₀的部分基底B^₀、基底B的部分基底B^、基底B^＊ ₀的部分基底B^^＊ _0，pk、以及基底B^＊的部分基底B^^＊ _pk。

[式167]

主密钥生成部110将生成了的部分基底B^₀、部分基底B^、部分基底B^^＊ _0，pk、以及部分基底B^^＊ _pk、在(S801)中输入了的保密参数λ(1^λ)、和在(S801)中生成了的param合起来作为公开参数pk。

(S803：主密钥生成步骤)

主密钥生成部110通过处理装置，如式168所示生成在(S801)中生成了的基底B^＊ ₀的部分基底B^^＊ _0，sk、和基底B^＊的部分基底B^^＊ _sk。

[式168]

主密钥生成部110将生成了的部分基底B^^＊ ₀和部分基底B^^＊作为主密钥sk。

(S804：主密钥存储步骤)

主密钥存储部120将在(S802)中生成了的公开参数pk存储到存储装置中。另外，主密钥存储部120将在(S803)中生成了的主密钥sk存储到存储装置中。

即，在(S801)至(S803)中，密钥生成装置100执行式169所示的Setup算法，生成公开参数pk和主密钥sk。然后，在(S804)中，密钥生成装置100将生成了的公开参数pk和主密钥sk存储到存储装置中。

另外，关于公开参数，例如经由网络公开，成为加密装置200、解密装置300可取得的状态。

[式169]

接下来，根据图26，说明密钥生成装置100执行的KeyGen算法的处理。

(S901：信息输入步骤)

信息输入部130通过输入装置，输入谓词信息(v^→ ₁，...，v^→ _L)。针对i＝1，...，L的各整数，是v^→ _i：＝v_i，1，...，v_i，n。另外，作为谓词信息，输入使用密钥的人员的属性。

(S902：随机数生成步骤)

随机数生成部143通过处理装置，如式170所示生成随机数。

[式170]

另外，如式171所示设定s_dec，0、s_{ran，1，j，0}、s_{ran，2，τ，0}、以及s_{del，(τ，ι)，0}。

[式171]

$\begin{array}{c}{s}_{\mathrm{dec},0}:={\mathrm{\&Sigma;}}_{t=1}^L{s}_{\mathrm{dec},t},\\ s_{\mathrm{ran},1,j,0}:={\mathrm{\&Sigma;}}_{t=1}^L{s}_{\mathrm{ran},1,j,t},\\ s_{\mathrm{ran},2,\mathrm{\&tau;},0}:={\mathrm{\&Sigma;}}_{t=1}^{L+1}{s}_{\mathrm{ran},2,\mathrm{\&tau;},t},\\ s_{\mathrm{del},(\mathrm{\&tau;},\mathrm{\&iota;}),0}:={\mathrm{\&Sigma;}}_{t=1}^{L+1}{s}_{\mathrm{del},(\mathrm{\&tau;},\mathrm{\&iota;}),t}\end{array}$

(S903：密钥要素生成步骤)

密钥要素生成部144通过处理装置，如式172所示生成作为解密密钥sk_L的要素的密钥要素k^＊ _L，dec。

[式172]

(S904：第1随机化要素生成步骤)

随机化要素生成部145通过处理装置，针对j＝1，...，2L的各整数j，如式173所示生成作为解密密钥sk_L的要素的第1随机化要素k^＊ _{L，ran，1，j}。

[式173]

(S905：第2随机化要素生成步骤)

随机化要素生成部145通过处理装置，针对τ＝L+1，...，d的各整数τ，如式174所示生成作为解密密钥sk_L的要素的第2随机化要素k^＊ _{L，ran，2，τ}。

[式174]

(S906：转交要素生成步骤)

转交要素生成部146通过处理装置，针对τ＝L+1，...，d的各整数τ、和关于各整数τ的ι＝1，2的各整数ι，如式175所示生成作为解密密钥sk_L的要素的转交要素k^＊ _{L，del，(τ，ι)}。

[式175]

(S907：密钥分发步骤)

密钥分发部150将以密钥要素k^＊ _L，dec、第1随机化要素k^＊ _{L，ran，1，j}、第2随机化要素k^＊ _{L，ran，2，τ}、以及转交要素k^＊ _{L，del，(τ，ι)}为要素的解密密钥sk_L，通过例如通信装置，经由网络秘密地分发到解密装置300。当然，解密密钥sk_L也可以通过其他方法分发到解密装置300。

即，在(S901)至(S906)中，密钥生成装置100执行式176、式177所示的KeyGen算法，生成解密密钥sk_L。然后，在(S907)中，密钥生成装置100将生成了的解密密钥sk_L分发到解密装置300。

[式176]

[式177]

说明加密装置200的功能和动作。

加密装置200具备公开参数取得部210、信息输入部220、加密数据生成部230、数据发送部240。另外，加密数据生成部230具备随机数生成部231、密码要素生成部232。

根据图27，说明加密装置200执行的Enc算法的处理。

(S1001：主公开密钥取得步骤)

公开参数取得部210通过例如通信装置，经由网络，取得密钥生成装置100生成了的主公开密钥pk。

(S1002：信息输入步骤)

信息输入部220通过输入装置，输入属性信息(x^→ ₁，...，x^→ _L)。针对i＝1，...，L的各整数，是x^→ _i：＝x_i，1，...，x_i，L。另外，作为属性信息，输入能够对加密了的消息进行解密的人员的属性。

另外，信息输入部220通过输入装置，输入要加密的消息m。

(S1003：随机数生成步骤)

随机数生成部231通过处理装置，如式178所示生成随机数。

[式178]

(S1004：密码要素c1生成步骤)

密码要素生成部232通过处理装置，如式179所示生成作为密文ct的要素的密码要素c₁。

[式179]

(S1005：密码要素c2生成步骤)

密码要素生成部232通过处理装置，如式180所示生成作为密文ct的要素的密码要素c₂。

[式180]

$c_2:=g_T^{\mathrm{\&zeta;}}m-$

(S1006：数据发送步骤)

数据发送部240将包括密码要素c₁、和密码要素c₂的密文ct通过例如通信装置，经由网络，发送到解密装置300。当然，密文ct也可以通过其他方法发送到解密装置300。

即，在(S1001)至(S1005)中，加密装置200执行式181所示的Enc算法，生成密文ct。然后，在(S1006)中，加密装置200将生成了的密文ct发送到解密装置300。

[式181]

说明解密装置300的功能和动作。

解密装置300具备解密密钥取得部310、数据接收部320、配对运算部350、消息计算部360。

根据图28，说明解密装置300执行的Dec算法的处理。

(S1101：解密密钥取得步骤)

解密密钥取得部310通过例如通信装置，经由网络，取得解密密钥sk_L。另外，解密密钥取得部310取得密钥生成装置100生成了的公开参数pk。

(S1102：数据接收步骤)

数据接收部320通过例如通信装置，经由网络，接收加密装置200发送了的密文ct。

(S1103：配对运算步骤)

配对运算部350通过处理装置，进行式182所示的配对运算，计算会话密钥K＝g_T ^ζ。

[式182]

$e(c_1,k_{L,\mathrm{dec}}^{*})$

(S1104：消息计算步骤)

消息计算部360通过处理装置，将密码要素c2除以会话密钥K，从而计算消息m’(＝m)。

即，在(S1101)至(S1104)中，解密装置300执行式183所示的Dec算法，计算消息m’(＝m)。

[式183]

$\begin{array}{c}\mathrm{Dec}(\mathrm{pk},k_{L,\mathrm{dec}}^{*},\mathrm{ct}):\\ m^{\&prime;}:=c_2/e(c_1,k_{L,\mathrm{dec}}^{*}),\\ \mathrm{return}{m}^{\&prime;}.\end{array}$

说明密钥转交装置400的功能和动作。

密钥转交装置400具备解密密钥取得部410、信息输入部420、转交密钥生成部430、密钥分发部440。另外，转交密钥生成部430具备随机数生成部431、下位密钥要素生成部432、下位随机化要素生成部433、下位转交要素生成部434。

根据图29，说明密钥转交装置400执行的Delegate_L算法的处理。

(S1201：解密密钥取得步骤)

解密密钥取得部410通过例如通信装置，经由网络，取得解密密钥sk_L。另外，解密密钥取得部410取得密钥生成装置100生成了的公开参数pk。

(S1202：信息输入步骤)

信息输入部420通过输入装置，输入谓词信息v^→ _L+1：＝(v_L+1，i(i＝1，...，n_L+1))。另外，作为谓词信息，输入被转交密钥的人员的属性。

(S1203：随机数生成步骤)

随机数生成部431通过处理装置，如式184所示生成随机数。

[式184]

(S1204：下位密钥要素生成步骤)

下位密钥要素生成部432通过处理装置，如式185所示生成作为转交密钥sk_L+1的要素的下位密钥要素k^＊ _L+1，dec。

[式185]

$k_{L+1,\mathrm{dec}}^{*}:=k_{L,\mathrm{dec}}^{*}+p_{\mathrm{dec}}^{*}+r_{\mathrm{dec}}^{*}$

(S1205：第1下位随机化要素生成步骤)

下位随机化要素生成部433通过处理装置，针对j’＝1，...，2(L+1)的各整数j’，如式186所示生成作为转交密钥sk_L+1的要素的第1下位随机化要素k^＊ _{L+1，ran，1，j’}。

[式186]

$k_{L+1,\mathrm{ran},1,j^{\&prime;}}^{*}:=p_{\mathrm{ran},1,j^{\&prime;}}^{*}+r_{\mathrm{ran},1,j^{\&prime;}}^{*}$

(S1206：第2下位随机化要素生成步骤)

下位随机化要素生成部433通过处理装置，针对τ＝L+2，...，d的各整数τ，如式187所示生成作为转交密钥sk_L+1的要素的第2下位随机化要素k^＊ _{L+1，ran，2，τ}。

[式187]

$\begin{array}{c}{k}_{L+1,\mathrm{ran},2,\mathrm{\&tau;}}^{*}:=p_{\mathrm{ran},2,\mathrm{\&tau;}}^{*}+{\mathrm{\&mu;}}_{\mathrm{ran},2,\mathrm{\&tau;}}^{\&prime;}{(\mathrm{\&tau;}{b}_1^{*}-b_2^{*})}^{\left(\mathrm{\&tau;}\right)}\\ +{\mathrm{\&phi;}}_{\mathrm{ran},2,\mathrm{\&tau;}}{k}_{L,\mathrm{ran},2,\mathrm{\&tau;}}^{*}+r_{\mathrm{ran},2,\mathrm{\&tau;}}^{*}\end{array}$

(S1207：下位转交要素生成步骤)

下位转交要素生成部434通过处理装置，针对τ＝L+2，...，d的各整数τ、和关于各整数τ的ι＝1，...，n的各整数ι，如式188所示生成作为转交密钥sk_L+1的要素的下位转交要素k^＊ _{L+1，del，(τ，ι)}。

[式188]

$\begin{array}{c}{k}_{L+1,\mathrm{del}(\mathrm{\&tau;},\mathrm{\&iota;})}^{*}:=p_{\mathrm{del}(\mathrm{\&tau;},\mathrm{\&iota;})}^{*}+{\mathrm{\&mu;}}_{\mathrm{del}(\mathrm{\&tau;},\mathrm{\&iota;})}^{\&prime;}{(\mathrm{\&tau;}{b}_1^{*}-b_2^{*})}^{\left(\mathrm{\&tau;}\right)}\\ +{\mathrm{\&phi;}}_{\mathrm{del},(\mathrm{\&tau;},\mathrm{\&iota;})}{k}_{L,\mathrm{ran},2,\mathrm{\&tau;}}^{*}+{\mathrm{\&psi;}}^{\&prime;}{k}_{L,\mathrm{del}(\mathrm{\&tau;},\mathrm{\&iota;})}^{*}{r}_{\mathrm{del}(\mathrm{\&tau;},\mathrm{\&iota;})}^{*}\end{array}$

(S1208：密钥分发步骤)

密钥分发部150将以下位密钥要素k^＊ _L+1，dec、第1下位随机化要素k^＊ _{L+1，ran，1，j’}、第2下位随机化要素k^＊ _{L+1，ran，2，τ}、以及下位转交要素k^＊ _{L+1，del，(τ，ι)}为要素的转交密钥sk_L+1(下位的解密密钥)，通过例如通信装置，经由网络，秘密地分发到下位的解密装置300。当然，转交密钥sk_L+1也可以通过其他方法分发到下位的解密装置300。

即，在(S1201)至(S1207)中，密钥转交装置400执行式189所示的Delegate_L算法，生成转交密钥sk_L+1。然后，在(S1208)中，密钥转交装置400将生成了的转交密钥sk_L+1分发到下位的解密装置300。

[式189]

如以上那样，实施方式4的密码系统10与实施方式2、3的密码系统10同样地，通过设置索引部，能够将在各属性类别中使用的基底设为共用的基底(基底B以及基底B^＊)。其结果，在公开参数中，仅包括基底B以及基底B^＊既可，在之后追加属性类别的情况下，无需重发公开参数。

另外，与实施方式2、3同样地，针对索引部，内积了的结果成为0既可。因此，在上述说明中，将基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的二维设为索引部，但不限于此，也可以将三维以上设为索引部。另外，向索引部的值的分配也不限于上述说明，也可以是其他分配。

另外，在上述说明中，说明了以函数型密码方式为基础的HIPE方式。但是，如式190至式195所示，还能够变更为以基于属性的密码方式为基础的HIPE方式。另外，在式190至式195中，将N₀设为1+1+1+1+1＝5，将N₁设为2+2+8+2+2＝16。即，设为u₀＝1，w₀＝1，z₀＝1，n＝2，u＝8，w＝2，z＝2。即使在该情况下，也能够证明安全性。

[式190]

[式191]

[式192]

[式193]

[式194]

$\begin{array}{c}\mathrm{Dec}(\mathrm{pk},k_{L,\mathrm{dec}}^{*},\mathrm{ct}):\\ m^{\&prime;}:=c_2/e(c_1,k_{L,\mathrm{dec}}^{*}),\\ \mathrm{return}{m}^{\&prime;}.\end{array}$

[式195]

实施方式5.

在该实施方式中，说明签名方式。特别，在该实施方式中，说明基于在实施方式3中说明了的CP-FE方式的签名方式。

第1，说明签名方式的结构。

第2，说明实现签名方式的密码系统10的结构。

第3，详细说明签名方式。

<第1.签名方式的结构>

签名方式具备Setup、KeyGen、Sig、Ver这4个算法。

(Setup)

Setup算法是输入保密参数λ，输出公开参数pk、和主密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将作为属性的集合的Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≦t≦d}、公开参数pk、以及主密钥sk作为输入，输出签名密钥sk_Γ的概率性的算法。

(Sig)

Sig算法是将消息m、签名密钥sk_Γ、访问架构S：＝(M，ρ)、以及公开参数pk作为输入，输出签名数据sig的概率性的算法。

(Ver)

Ver算法是将消息m、访问架构S：＝(M，ρ)、签名数据sig、以及公开参数pk作为输入，输出表示签名的验证成功了的值“1”、或者、表示签名的验证失败了的值“0”的算法。

<第2.实现签名方式的密码系统10的结构>

图30是执行实施方式5的签名方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、签名装置500、验证装置600。

密钥生成装置100将保密参数λ作为输入执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开生成了的公开参数pk。另外，密钥生成装置100将属性的集合Γ作为输入执行KeyGen算法，生成签名密钥sk_Γ来向签名装置500秘密地分发。

签名装置500将消息m、访问架构S、公开参数pk、以及签名密钥sk_Γ作为输入执行Sig算法，生成签名信息s^→＊。签名装置500将生成了的签名信息s^→＊、消息m、以及访问架构S发送到验证装置600。

验证装置600将签名信息s^→＊、消息m、访问架构S、以及公开参数pk作为输入，执行Ver算法，输出值“1”、或者、值“0”。

<第3.签名方式的详情>

根据图31至图37，说明签名方式、以及、执行签名方式的密码系统10的功能和动作。

图31是实施方式5的密钥生成装置100的结构图。图32是实施方式5的签名装置500的结构图。图33是实施方式5的验证装置600的结构图。

图34和图35是示出密钥生成装置100的动作的流程图。另外，图34是示出Setup算法的处理的流程图，图35是示出KeyGen算法的处理的流程图。图36是示出签名装置500的动作的流程图，是示出Sig算法的处理的流程图。图37是示出验证装置600的动作的流程图，是示出Ver算法的处理的流程图。

另外，在以下的说明中，H：＝(KH_λ，H_hk ^λ，D)是不易冲突散列函数(collisionresistanthashfunction，参照非专利文献30)。不易冲突散列函数是指，难以发现输出变得相同的2个输入的散列函数。

具体而言，关于与算法G_bpg有关的不易冲突散列函数系H、和多项式poly(λ)，有以下的2项。

1.密钥空间系通过λ附加索引。各密钥空间是通过KH_λ表示的比特列中的概率空间。存在将1^λ作为输入的情况下的输出分布等于KH_λ的概率性的多项式时间算法。

2.散列函数系通过λ、从KH_λ随机地选择了的hk、以及D：＝{0，1}^poly(λ)附加索引。此处，各函数H_hk ^λ，D是从D的要素向F_q ^X的映射。另外，q是算法G_bpg(1^λ)的输出param_G的最初的要素。有将1^λ、hk、以及d∈D作为输入，输出H_hk ^λ，D(d)的决定性的多项式时间算法。

说明密钥生成装置100的功能和动作。

密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备随机数生成部143、密钥要素生成部144。

首先，根据图34，说明Setup算法的处理。

(S1301)与实施方式2中的图9所示的(S101)原则上相同。但是，针对t＝0，1，d+1执行(4)至(8)的处理这一点、和N₀是1+u₀+w₀+z₀这一点不同。另外，N_d+1是2+u_d+1+w_d+1+z_d+1，u_d+1，w_d+1，z_d+1分别是1以上的整数。

(S1302：散列密钥生成步骤)

主密钥生成部110通过处理装置，计算式196，随机地生成散列密钥hk。

[式196]

$\mathrm{hk}\stackrel{R}{\&LeftArrow;}{\mathrm{KH}}_{\mathrm{\&lambda;}}$

(S1303：公开参数生成步骤)

主密钥生成部110通过处理装置，如式197所示生成在(S1301)中生成了的基底B₀的部分基底B^₀、基底B的部分基底B^、基底B_d+1的部分基底B^_d+1、基底B^＊ ₀的部分基底B^^＊ ₀、基底B^＊的部分基底B^^＊、以及基底B^＊ _d+1的部分基底B^^＊ _d+1。

[式197]

主密钥生成部110将生成了的部分基底B^₀、部分基底B^、部分基底B^_d+1、部分基底B^^＊ ₀、部分基底B^^＊、以及部分基底B^^＊ _d+1、在(S1301)中输入了的保密参数λ(1^λ)、在(S1301)中生成了的param、和在(S1302)中生成了的散列密钥hk合起来作为公开参数pk。

(S1304：主密钥生成步骤)

主密钥生成部110将基底B^^＊ ₀的基底矢量b^＊ _0，1作为主密钥sk。

(S1305：主密钥存储步骤)

主密钥存储部120将在(S1303)中生成了的公开参数pk存储到存储装置中。另外，主密钥存储部120将在(S1304)中生成了的主密钥sk存储到存储装置中。

即，在(S1301)至(S1304)中，密钥生成装置100执行式198所示的Setup算法，生成公开参数pk和主密钥sk。然后，在(S1305)中，密钥生成装置100将生成了的公开参数pk和主密钥sk存储到存储装置中。

另外，关于公开参数，例如，经由网络公开，成为签名装置500、验证装置600可取得的状态。

[式198]

根据图35，说明KeyGen算法的处理。

(S1401：信息输入步骤)

信息输入部130通过输入装置，输入属性的集合Γ：＝{(t，x^→ _t：＝(x_t，1，...，x_t，n∈F_q ⁿ))|1≦t≦d}。另外，关于属性的集合Γ，例如，设定了签名密钥sk_Γ的使用者的属性信息。

(S1402：随机数生成步骤)

随机数生成部143通过处理装置，如式199所示生成随机数。

[式199]

(S1403：密钥要素生成步骤)

密钥要素生成部144通过处理装置，如式200所示生成签名密钥sk_Γ的要素k^＊ ₀。

[式200]

另外，密钥要素生成部144通过处理装置，针对在属性的集合Γ中包含的各整数t，如式201所示生成签名密钥sk_Γ的要素k^＊ _t。

[式201]

另外，密钥要素生成部144通过处理装置，如式202所示生成签名密钥sk_Γ的要素k^＊ _d+1，k^＊ _d+2。

[式202]

(S1404：密钥分发步骤)

密钥分发部150将以在(S1401)中输入了的属性的集合Γ、和在(S1403)中生成了的k^＊ ₀，k^＊ _t，k^＊ _d+1，k^＊ _d+2为要素的签名密钥sk_Γ，通过例如通信装置，经由网络，秘密地分发到签名装置500。当然，签名密钥sk_Γ也可以通过其他方法分发到签名装置500。

即，在(S1401)至(S1403)中，密钥生成装置100执行式203所示的KeyGen算法，生成签名密钥sk_Γ。然后，在(S1404)中，密钥生成装置100将生成了的签名密钥sk_Γ分发到签名装置500。

[式203]

说明签名装置500的功能和动作。

签名装置500具备签名密钥取得部510、信息输入部520、补充系数计算部530、签名数据生成部540、数据发送部550。另外，签名数据生成部540具备随机数生成部541、签名要素生成部542。

根据图36，说明Sig算法的处理。

(S1501：签名密钥取得步骤)

签名密钥取得部510通过例如通信装置，经由网络，取得密钥生成装置100生成了的签名密钥sk_Γ。另外，签名密钥取得部510取得密钥生成装置100生成了的公开参数pk。

(S1502：信息输入步骤)

信息输入部520通过输入装置，输入访问架构S：＝(M，ρ)。另外，关于访问架构S的矩阵M的设定，根据希望实现的系统的条件设定。

另外，信息输入部520通过输入装置，输入附加签名的消息m。

(S1503：张成方案计算步骤)

补充系数计算部530通过处理装置，判定在(S1502)中输入了的访问架构S是否受理在(S1501)中取得了的签名密钥sk_Γ中包含的属性的集合Γ。

另外，关于访问架构是否受理属性的集合的判定方法，如“实施方式1中的第5.用于实现函数型密码的概念”中的说明。

补充系数计算部530在访问架构S受理属性的集合Γ的情况下(在S1503中受理)，使处理进入到(S1504)。另一方面，在访问架构S拒绝属性的集合Γ的情况下(在S1503中拒绝)，结束处理。

(S1504：补充系数计算步骤)

补充系数计算部530通过处理装置，计算出成为式204的I、和关于I中包含的各整数i的常数(补充系数)α_i。

[式204]

(S1505：随机数生成步骤)

随机数生成部541通过处理装置，如式205所示生成随机数。

[式205]

(S1506：签名要素生成步骤)

签名要素生成部542通过处理装置，如式206所示生成作为签名数据sig的要素的签名要素s^＊ ₀。

[式206]

$s_0^{*}:=\mathrm{\&xi;}{k}_0^{*}+r_0^{*}$

此处，r^＊ ₀是式207(参照式110至式112以及这些数学式的说明)。

[式207]

$r_0^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{\mathrm{0,1}+u_0+1}^{*},...,b_{\mathrm{0,1}+u_0+w_0}^{*}>$

另外，签名要素生成部542通过处理装置，针对i＝1，...，L的各整数i，如式208所示生成作为签名数据sig的要素的签名要素s^＊ _i。

[式208]

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;\mathrm{\&xi;}{k}_t^{*}+{\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^n{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*}+r_i^{*},\mathrm{for}1\&le;i\&le;L$

此处，r^＊ _i是式209。

[式209]

$r_i^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{t,2+n+u+1}^{*},...,b_{t,2+n+u+w}^{*}>$

另外，γ_i和y^→ _i：＝y_i，i’(i’＝1，...，n)是式210。

[式210]

另外，签名要素生成部542通过处理装置，如式211所示生成作为签名数据sig的要素的签名要素s^＊ _L+1。

[式211]

此处，r^＊ _L+1是式212。

[式212]

$r_{L+1}^{*}\stackrel{U}{\&LeftArrow;}\mathrm{span}<b_{d+\mathrm{1,2}+u_{d+1}+1}^{*},...,b_{d+\mathrm{1,2}+u_{d+1}+w_{d+1}}^{*}>$

(S1507：数据发送步骤)

数据发送部550将包括签名要素s^＊ ₀、签名要素s^＊ _i(i＝1，...，L)、签名要素s^＊ _L+1、消息m、以及访问架构S：＝(M，ρ)的签名数据sig，通过例如通信装置，经由网络，发送到验证装置600。当然，签名数据sig也可以通过其他方法发送到验证装置600。

即，在(S1501)至(S1506)中，签名装置500执行式213所示的Sig算法，生成签名数据sig。然后，在(S1507)中，签名装置500将生成了的签名数据sig发送到验证装置600。

[式213]

说明验证装置600的功能和动作。

验证装置600具备公开参数取得部610、数据接收部620、验证数据生成部630、配对运算部640。另外，验证数据生成部630具备f矢量生成部631、s矢量生成部632、随机数生成部633、验证要素生成部634。

根据图37，说明Ver算法的处理。

(S1601：公开参数取得步骤)

公开参数取得部610通过例如通信装置，经由网络，取得密钥生成装置100生成了的公开参数pk。

(S1602：签名数据接收步骤)

数据接收部620通过例如通信装置，经由网络，接收签名装置500发送了的签名数据sig。

(S1603：f矢量生成步骤)

f矢量生成部631通过处理装置，如式214所示随机地生成具有r个要素的矢量f^→。

[式214]

(S1604：s矢量生成步骤)

s矢量生成部632通过处理装置，根据在(S1602)中接收了的签名数据sig中包含的访问架构S的(L行×r列)的矩阵M、和在(S1603)中生成了的具有r个要素的矢量f^→，如式215所示生成矢量s^→T。

[式215]

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

另外，s矢量生成部632通过处理装置，根据在(S1603)中生成了的矢量f^→，如式216所示生成值s₀。另外，1^→是所有要素为值1的矢量。

[式216]

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T$

(S1605：随机数生成步骤)

随机数生成部633通过处理装置，如式217所示生成随机数。

[式217]

(S1606：验证要素生成步骤)

验证要素生成部634通过处理装置，如式218所示生成作为验证密钥的要素的验证要素c₀。

[式218]

另外，验证要素生成部634通过处理装置，针对i＝1，...，L的各整数i，如式219所示生成作为验证密钥的要素的验证要素c_i。

[式219]

另外，验证要素生成部634通过处理装置，如式220所示生成作为验证密钥的要素的验证要素c_L+1。

[式220]

(S1607：第1配对运算步骤)

配对运算部640通过处理装置，计算配对运算e(b_0，1，s^＊ ₀)。

如果计算配对运算e(b_0，1，s^＊ ₀)而得到的结果是值1，则配对运算部640输出表示签名的验证失败了的值0，结束处理。另一方面，如果计算配对运算e(b_0，1，s^＊ ₀)而得到的结果并非值1，则配对运算部640使处理进入到S1608。

(S1608：第2配对运算步骤)

配对运算部640通过处理装置，计算式221所示的配对运算。

[式221]

${\mathrm{\&Pi;}}_{i=0}^{L+1}e(c_i,s_i^{*})$

如果计算式221所示的配对运算而得到的结果是值1，则配对运算部640输出表示签名的验证成功了的值1。另一方面，如果是其他值，则配对运算部640输出表示签名的验证失败了的值0。

即，在(S1601)至(S1608)中，验证装置600执行式222所示的Ver算法，验证签名数据sig。

[式222]

如以上那样，实施方式5的密码系统10与实施方式2-4的密码系统10同样地，通过设置索引部，能够将在各属性类别中使用的基底作为共用的基底(基底B以及基底B^＊)。其结果，在公开参数中，仅包括基底B以及基底B^＊既可，在之后追加属性类别的情况下，无需重发公开参数。

另外，与实施方式2-4同样地，关于索引部，内积了的结果成为0既可。因此，在上述说明中，将基底矢量b^＊ ₁，b^＊ ₂和基底矢量b₁，b₂的二维设为索引部，但不限于此，也可以将三维以上设为索引部。另外，向索引部的值的分配也不限于上述说明，也可以是其他分配。

另外，在上述说明中，说明了基于函数型密码方式的签名方式。但是，还能够与在实施方式3中将函数型密码方式变更为基于属性的密码方式的情况同样地，变更为根据基于属性的密码方式的签名方式。

实施方式6.

在该实施方式中，说明多管理者函数型密码方式以及多管理者签名方式。

多管理者(Multi-Authority)是指，生成用户的解密密钥(或者签名密钥)的管理者存在多个这样的含义。

在通常的函数型密码中，系统整体的保密依赖于1个机关(管理者)。例如，在实施方式2、3中说明了的密码系统10中，系统整体的保密依赖于密钥生成装置100。在作为密钥生成装置100的秘密密钥的主秘密密钥sk泄露了的情况下，系统整体的保密被破坏。

但是，通过设为多管理者，即使在一部分的管理者的保密被破坏、或者一部分的管理者的秘密密钥(主密钥)泄露了的情况下，只是仅系统的一部分不发挥功能，关于其他部分能够成为正常地发挥功能的状态。

图38是多管理者的说明图。另外，在图38中，以狭义的密码处理为例子。

在图38中，政府机关管理住址、电话号码、年龄等属性。另外，警察管理驾驶执照的种类等属性。另外，公司A管理公司A中的职务、公司A中的所属等属性。然后，关于与政府机关管理的属性关联起来了的解密密钥1，由政府机关发行，关于与警察管理的属性关联起来了的解密密钥2，由警察发行，关于与公司A管理的属性关联起来了的解密密钥3，由公司A发行。

对密文进行解密的解密者使用将政府机关、警察、公司A等的各管理者发行了的解密密钥1、2、3合起来的解密密钥，对密文进行解密。即，在从解密者观察的情况下，将从各管理者发行了的解密密钥合起来得到的结果成为对自己发行的1个解密密钥。

例如，在公司A的主密钥泄露了的情况下，密码处理系统虽然关于公司A的属性不会发挥功能，但关于其他管理者管理的属性发挥功能。即，关于公司A管理的属性，存在被指定了的属性以外的属性的用户解密的担忧，但关于其他属性，仅由指定了的属性的用户能够解密。

另外，如从图38的例子也可知，在函数型密码中，存在多个管理者，各管理者管理属性中的某个类别(部分空间)或者定义域，发行关于该类别中的用户的属性的解密密钥(的一片)是自然的。

哪个机关都能够成为管理者，无需与其他机关交换，而能够发行解密密钥(的一片)，各用户无需与其他机关交换，而能够从管理者取得解密密钥(的一片)的情况下，将该方式称为分散多管理者(DecentralizedMulti-Authority)方式。

例如，在有中央管理者的情况下，无法认为是分散多管理者。中央管理者是指，比其他管理者上位的管理者。在中央管理者的保密被破坏了的情况下，所有管理者的保密被破坏。

在非专利文献31中，记载了分散多管理者函数型密码方式，在非专利文献30中，记载了并非分散的多管理者签名方式。与上述实施方式说明了的密码方式、签名方式同样地，在非专利文献30、31记载的方式也能够成为在追加属性类别的情况下，无需重发公开参数的结构。

图39是多管理者的情况下的能够追加属性类别的函数型密码方式的说明图。

在图39中，与图38同样地，政府机关管理住址、电话号码、年龄等属性。另外，警察管理驾驶执照的种类等属性。另外，公司A管理公司A中的职务、公司A中的所属等属性。然后，关于与政府机关管理的属性关联起来了的解密密钥1，由政府机关发行，关于与警察管理的属性关联起来了的解密密钥2，由警察发行，关于与公司A管理的属性关联起来了的解密密钥3，由公司A发行。

此处，政府机关将基底B^₁和基底B^^＊ ₁分别生成为公开参数pk和主秘密密钥sk。然后，使用基底B^^＊ ₁，生成关于住址、电话号码、年龄等属性的解密密钥1。同样地，警察将基底B^₂和基底B^^＊ ₂分别生成为公开参数pk和主秘密密钥sk。然后，使用基底B^^＊ ₂，生成关于驾驶执照的种类等属性的解密密钥2。同样地，公司A将基底B^₃和基底B^^＊ ₃分别生成为公开参数pk和主秘密密钥sk。然后，使用基底B^^＊ ₃，生成关于公司A中的职务、公司A中的所属等属性的解密密钥3。

发送者使用基底B^₁来设定住址、电话号码、年龄等属性，使用基底B^₂来设定驾驶执照的种类等属性，使用基底B^₃来设定公司A中的职务、公司A中的所属等属性，而生成密文。然后，解密者使用解密密钥1-3，对密文进行解密。

例如，在政府机关管理的属性类别中进行追加的情况下，无需重发政府机关的公开参数pk，而能够追加属性类别。

另外，此处，说明了能够追加属性类别的函数型密码方式。但是，关于应用了函数型密码方式的签名方式，原则上成为与函数型密码方式同样的思路。

实施方式7.

在以上的实施方式中，说明了在对偶矢量空间中实现密码基元的处理的方法。在实施方式7中，说明在对偶加群(dualadditivegroup)中实现密码基元的处理的方法。

即，在以上的实施方式中，在素数位数q的循环群中实现了密码基元的处理。但是，在使用合成数M如式223那样表示了环R的情况下，即使在将环R作为系数的加群中，也能够应用在上述实施方式中说明了的密码基元的处理。

[式223]

此处，

整数

M：合成数。

如果将在以上的实施方式中说明了的算法中的F_q变更为R，则能够实现对偶加群中的密码基元的处理。

另外，在以上的实施方式中，根据安全性的证明的观点，关于i＝1，...，L的各整数i的ρ(i)也可以限定为是关于分别不同的识别信息t的肯定形的组(t，v^→)或者否定形的组￢(t，v^→)。

换言之，在是ρ(i)＝(t，v^→)或者ρ(i)＝￢(t，v^→)的情况下，将函数ρ～设为作为ρ～(i)＝t的{1，...，L}→{1，...d}的映射。在该情况下，也可以限定为ρ～是单射。另外，ρ(i)是上述访问架构S：＝(M，ρ(i))的ρ(i)。

接下来，说明实施方式中的密码系统10(密钥生成装置100、加密装置200、解密装置300、密钥转交装置400、签名装置500、验证装置600)的硬件结构。

图40是示出密钥生成装置100、加密装置200、解密装置300、密钥转交装置400、签名装置500、验证装置600的硬件结构的一个例子的图。

如图40所示，密钥生成装置100、加密装置200、解密装置300、密钥转交装置400、签名装置500、验证装置600具备执行程序的CPU911(Central·Processing·Unit、还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理器)。CPU911经由总线912与ROM913、RAM914、LCD901(LiquidCrystalDisplay，液晶显示器)、键盘902(K/B)、通信板915、磁盘装置920连接，控制这些硬件设备。也可以代替磁盘装置920(固定盘装置)，而使用光盘装置、存储卡读写装置等存储装置。磁盘装置920经由规定的固定盘接口连接。

ROM913、磁盘装置920是非易失性存储器的一个例子。RAM914是易失性存储器的一个例子。ROM913、RAM914、以及磁盘装置920是存储装置(存储器)的一个例子。另外，键盘902、通信板915是输入装置的一个例子。另外，通信板915是通信装置的一个例子。进而，LCD901是显示装置的一个例子。

在磁盘装置920或者ROM913等中，存储了操作系统921(OS)、视窗系统922、程序群923、文件群924。程序群923的程序由CPU911、操作系统921、视窗系统922执行。

在程序群923中，存储了执行在上述说明中说明为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“解密密钥生成部140”、“密钥分发部150”、“公开参数取得部210”、“信息输入部220”、“加密数据生成部230”、“数据发送部240”、“解密密钥取得部310”、“数据接收部320”、“张成方案计算部330”、“补充系数计算部340”、“配对运算部350”、“消息计算部360”、“解密密钥取得部410”、“信息输入部420”、“转交密钥生成部430”、“密钥分发部440”、“签名密钥取得部510”、“信息输入部520”、“补充系数计算部530”、“签名数据生成部540”、“数据发送部550”、“公开参数取得部610”、“数据接收部620”、“验证数据生成部630”、“配对运算部640”等的功能的软件、程序、其他程序。程序由CPU911读出并执行。

在文件群924中，上述说明中的“公开参数pk”、“主秘密密钥sk”、“解密密钥sk_S，sk_Γ”、“密文ct_Γ，ct_S”、“访问架构S”、“属性信息”、“消息m”等信息、数据、信号值、变量值、参数被存储为“文件”、“数据库”的各项目。“文件”、“数据库”被存储到盘、存储器等记录介质中。关于盘、存储器等存储介质中存储了的信息、数据、信号值、变量值、参数，由CPU911，经由读写电路，读出到主存储器、高速缓冲存储器中，而用于抽出·检索·参照·比较·运算·计算·处理·输出·印刷·显示等CPU911的动作。在抽出·检索·参照·比较·运算·计算·处理·输出·印刷·显示的CPU911的动作的期间，将信息、数据、信号值、变量值、参数暂时地存储到主存储器、高速缓冲存储器、缓冲存储器中。

另外，上述说明中的流程图的箭头的部分主要表示数据、信号的输入输出，数据、信号值被记录到RAM914的存储器、其他光盘等记录介质、IC芯片中。另外，通过总线912、信号线、电缆、其他传送介质、电波，联机传送数据、信号。

另外，在上述说明中说明为“～部”的部分既可以是“～电路”、“～装置”、“～设备”、“～单元”、“～功能”，并且，也可以是“～步骤”、“～次序”、“～处理”。另外，说明为“～装置”的部分既可以是“～电路”、“～设备”、“～单元”、“～功能”，并且，也可以是“～步骤”、“～次序”、“～处理”。进而，说明为“～处理”的部分也可以是“～步骤”。即，说明为“～部”的部分也可以通过在ROM913中存储了的固件实现。或者，也可以仅通过软件、或者、仅通过元件·器件·基板·布线等硬件、或者、通过软件和硬件的组合、进而通过与固件的组合来实施。将固件和软件作为程序，存储到ROM913等记录介质中。关于程序，由CPU911读出，由CPU911执行。即，程序使计算机等作为在上述中叙述的“～部”发挥功能。或者，使计算机等执行在上述中叙述的“～部”的次序、方法。

Claims (10)

1.一种密码系统，使用规定的基底B以及规定的基底B^＊进行处理，该密码系统的特征在于，具备：

发送装置，生成关于多个索引j中的一个以上的索引j的发送侧矢量t_j，该发送侧矢量t_j在所述基底B中的规定的基底矢量b_index的系数中设定了对索引j预先分配了的信息J，在所述基底B中的其他基底矢量b_att的系数中设定了关于索引j的参数Ф_j；以及

接收装置，使用关于多个索引j’中的一个以上的索引j’的接收侧矢量r_j’，针对关于索引j的所述发送侧矢量t_j和关于与所述索引j对应的索引j’的所述接收侧矢量r_j’，计算每对应的基底矢量的配对运算之积，其中，该接收侧矢量r_j’在与所述基底矢量b_index对应的所述基底B^＊中的基底矢量b^＊ _index的系数中设定了和对与索引j’对应的索引j预先分配了的信息J的内积成为0的信息J’，在与所述基底矢量b_att对应的所述基底B^＊中的基底矢量b^＊ _att的系数中设定了关于索引j’的参数Ψ_j’。

2.根据权利要求1所述的密码系统，其特征在于，

所述发送装置是生成密文ct的加密装置，将t＝1，...，d的整数t作为所述索引j，将关于整数t的属性信息x_t作为关于所述索引j的所述参数Ф_j，关于一个以上的整数t，生成作为所述发送侧矢量t_j包括密码矢量c_t的密文ct，该密码矢量c_t在所述基底矢量b_index的系数中设定了对整数t分配了的信息J，在所述基底矢量b_att的系数中设定了关于整数t的属性信息x_t，其中，d是1以上的整数，

所述接收装置是对所述密文ct进行解密的解密装置，将i＝1，...，L的整数i作为所述索引j’，将关于整数i的谓词信息v_i作为关于所述索引j’的所述参数Ψ_j’，关于各整数i，将在所述基底矢量b^＊ _index的系数中设定了和对与整数i对应的整数t分配了的信息J的内积成为0的信息J’并在所述基底矢量b^＊ _att的系数中设定了关于整数i的谓词信息v_i的密钥矢量k^＊ _i用作所述接收侧矢量r_j’，关于所述各整数i，针对关于该整数i的密钥矢量k^＊ _i和关于与该整数i对应的整数t的密码矢量c_t，计算每对应的基底矢量的配对运算之积，其中，L是1以上的整数。

3.根据权利要求2所述的密码系统，其特征在于，

所述密码系统使用规定的基底B₀以及规定的基底B^＊ ₀、和规定的基底B以及规定的基底B^＊进行处理，

所述发送装置生成包括密码矢量c₀以及关于t＝1，...，d的一个以上的整数t的密码矢量c_t的密文ct，该密码矢量c₀以及密码矢量c_t如式1所示，

所述接收装置针对关于i＝0，...，L的各整数i的式2所示的密钥矢量k^＊ _i和所述密码矢量c_t，计算式3，

式1：

此处，

${\stackrel{\&RightArrow;}{x}}_t:=(x_{t,1},...,x_{t,n}),$

是随机数，

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式2：

$if\mathrm{\&rho;}\left(i\right)=(t,{\stackrel{\&RightArrow;}{v}}_i),$

此处，

${\stackrel{\&RightArrow;}{v}}_i:=(v_{i,1},...,v_{i,n}),$

${\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_0={\mathrm{\&eta;}}_{0,1},...,{\mathrm{\&eta;}}_{0,w_0},{\mathrm{\&mu;}}_i,{\mathrm{\&theta;}}_i,{\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_i={\mathrm{\&eta;}}_{i,1},...,{\mathrm{\&eta;}}_{i,w}$ 是随机数，

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T,$

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T,$

是具有r个要素的矢量，

M是L行r列的矩阵，

ρ(i)是被预先分配了或者的变量，

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式3：

此处，

其中，M_i是M的第i行，

4.根据权利要求1所述的密码系统，其特征在于，

所述发送装置是生成密文ct的加密装置，将i＝1，...，L的整数i作为所述索引j，将关于整数i的谓词信息v_i作为关于所述索引j的所述参数Ф_j，关于各整数i，生成作为所述发送侧矢量t_j包括密码矢量c_i的密文ct，该密码矢量c_i在所述基底矢量b_index的系数中设定了对整数i分配了的信息J，在所述基底矢量b_att的系数中设定了关于整数i的谓词信息v_i，其中，L是1以上的整数，

所述接收装置是对所述密文ct进行解密的解密装置，将t＝1，...，d的整数t作为所述索引j’，将关于整数t的属性信息x_t作为关于所述索引j’的所述参数Ψ_j’，关于一个以上的整数t，将在所述基底矢量b^＊ _index的系数中设定了和对与整数t对应的整数i分配了的信息J的内积成为0的信息J’并在所述基底矢量b^＊ _att的系数中设定了关于整数t的属性信息x_t的密钥矢量k^＊ _t用作所述接收侧矢量r_j’，关于所述各整数i，针对关于该整数i的密码矢量c_i和关于与该整数i对应的整数t的密钥矢量k^＊ _t，计算每对应的基底矢量的配对运算之积，其中，d是1以上的整数。

5.根据权利要求4所述的密码系统，其特征在于，

所述密码系统使用规定的基底B₀以及规定的基底B^＊ ₀、和规定的基底B以及规定的基底B^＊来进行处理，

所述发送装置生成包括关于i＝0，...，L的各整数i的式4所示的密码矢量c_i的密文ct，

所述接收装置针对密钥矢量k^＊ ₀以及关于t＝1，...，d的一个以上的整数t的密钥矢量k^＊ _t、和所述密码矢量c_i，计算式6，该密钥矢量k^＊ ₀以及密钥矢量k^＊ _t如式5所示，

式4：

$if\mathrm{\&rho;}\left(i\right)=(t,{\stackrel{\&RightArrow;}{v}}_i),$

此处，

${\stackrel{\&RightArrow;}{v}}_i:=(v_{i,1},...,v_{i,n}),$

是随机数，

${\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T,$

是具有r个要素的矢量，

M是L行r列的矩阵，

ρ(i)是被预先分配了或者的变量，

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式5：

此处，

${\stackrel{\&RightArrow;}{x}}_t:=(x_{t,1},...,x_{t,n}),$

是随机数，

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式6：

此处，

其中，M_i是M的第i行，

6.根据权利要求1所述的密码系统，其特征在于，

所述发送装置是生成密文ct的加密装置，将i＝1，...，L的整数i作为所述索引j，将关于整数i的属性信息x_i作为关于所述索引j的所述参数Ф_j，关于各整数i，生成作为所述发送侧矢量t_j包括密码矢量c_i的密文ct，该密码矢量c_i在所述基底矢量b_index的系数中设定了对整数i分配了的信息J，在所述基底矢量b_att的系数中设定了关于整数i的属性信息x_i，其中，L是1以上的整数，

所述接收装置是对所述密文ct进行解密的解密装置，将所述整数i作为所述索引j’，将关于整数i的谓词信息v_i作为关于所述索引j’的所述参数Ψ_j’，关于各整数i，将在所述基底矢量b^＊ _index的系数中设定了和对整数i分配了的信息J的内积成为0的信息J’并在所述基底矢量b^＊ _att的系数中设定了关于整数i的谓词信息v_i的密钥矢量k^＊ _i用作所述接收侧矢量r_j’，关于所述各整数i，针对关于该整数i的密钥矢量k^＊ _i和密码矢量c_i，计算每对应的基底矢量的配对运算之积。

7.根据权利要求6所述的密码系统，其特征在于，

所述密码系统使用规定的基底B₀以及规定的基底B^＊ ₀、和规定的基底B以及规定的基底B^＊进行处理，

所述发送装置生成包括作为关于i＝0，...，L的各整数i的密码矢量c_i之和的密码矢量c₁的密文ct，该密码矢量c₁如式7所示，

所述接收装置针对作为关于所述各整数i的密钥矢量k^＊ _i之和的式8所示的密钥矢量k^＊ _L，dec和所述密码矢量c₁，计算每对应的基底矢量的配对运算之积，

式7：

此处，

${\stackrel{\&RightArrow;}{x}}_t:=(x_{t,1},...,x_{t,n}),$

是随机数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式8：

此处，

${\stackrel{\&RightArrow;}{v}}_i:=(v_{i,1},...,v_{i,n}),$

${\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_{dec,t}={\mathrm{\&eta;}}_{dec,t,1},...,{\mathrm{\&eta;}}_{dec,t,w}$ 是随机数，

$s_{dec,0}:={\mathrm{\&Sigma;}}_{t=1}^L{s}_{dec,t},$

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

其中，进行式182所示的配对运算，

式182：

$e(c,k_{L,dec}^{*})$ 。

8.根据权利要求1所述的密码系统，其特征在于，

所述发送装置是生成签名数据sig的签名装置，将t＝1，...，d的整数t作为所述索引j，将关于整数t的属性信息x_t作为关于所述索引j的所述参数Ф_j，关于一个以上的整数t，使用在所述基底矢量b_index的系数中设定了对整数t分配了的信息J并在所述基底矢量b_att的系数中设定了关于整数t的属性信息x_t的密钥矢量k^＊ _t，关于i＝1，...，L的各整数i，生成作为所述发送侧矢量t_j包括签名要素s_i的签名数据sig，该签名要素s_i包括关于与整数i对应的整数t的密钥矢量k^＊ _t，其中，d是1以上的整数，L是1以上的整数，

所述接收装置是对所述签名数据sig进行验证的验证装置，将所述整数i作为所述索引j’，将关于整数i的谓词信息v_i作为关于所述索引j’的所述参数Ψ_j’，关于各整数i，将在所述基底矢量b^＊ _index的系数中设定了和对与整数i对应的整数t分配了的信息J的内积成为0的信息J’并在所述基底矢量b^＊ _att的系数中设定了关于整数i的谓词信息v_i的验证要素c_i用作所述接收侧矢量r_j’，关于所述各整数i，针对关于该整数i的签名要素s_i和验证要素c_i，计算每对应的基底矢量的配对运算之积。

9.根据权利要求8所述的密码系统，其特征在于，

所述密码系统使用规定的基底B₀以及规定的基底B^＊ ₀、规定的基底B以及规定的基底B^＊、和规定的基底B_d+1以及规定的基底B^＊ _d+1来进行处理，

所述发送装置使用密钥矢量k^＊ ₀、关于t＝1，...，d的一个以上的整数t的密钥矢量k^＊ _t、密钥矢量_d+1，1、以及密钥矢量_d+1，2，生成包括关于i＝0，...，L+1的各整数i的式10所示的签名要素s_i的签名数据sig，该密钥矢量k^＊ ₀、密钥矢量k^＊ _t、密钥矢量_d+1，1、以及密钥矢量_d+1，2如式9所示，

所述接收装置针对关于所述各整数i的式11所示的验证要素c_i和所述签名要素s_i，计算式12，

式9：

此处，

${\stackrel{\&RightArrow;}{x}}_t:=(x_{t,1},...,x_{t,n}),$

是随机数，

n是1以上的整数，

u₀，w₀，z₀，u，w，z分别是0以上的整数，

式10：

$s_0^{*}:={\mathrm{\&xi;k}}_0^{*}+r_0^{*},$

$s_i^{*}:={\mathrm{\&gamma;}}_i\&CenterDot;{\mathrm{\&xi;k}}_t^{*}+{\mathrm{\&Sigma;}}_{\mathrm{\&iota;}=1}^n{y}_{i,\mathrm{\&iota;}}\&CenterDot;b_{t,\mathrm{\&iota;}}^{*}+r_i^{*},for1\&le;i\&le;L,$

$s_{L+1}^{*}:=\mathrm{\&xi;}(k_{d+1,1}^{*}+H\&CenterDot;k_{d+1,2}^{*})+r_{L+1}^{*},$

此处，

ξ，是随机数，

被定义为

$\left({\mathrm{\&beta;}}_i\right)\stackrel{U}{\&LeftArrow;}\left\{\right({\mathrm{\&beta;}}_1,...,{\mathrm{\&beta;}}_L\left)\right|{\mathrm{\&Sigma;}}_{i=1}^L{\mathrm{\&beta;}}_i{M}_i=\stackrel{\&RightArrow;}{0}\},$

M是L行r列的矩阵，

ρ(i)是被预先分配了或者的变量，

H是散列值，

式11：

$if\mathrm{\&rho;}\left(i\right)=(t,{\stackrel{\&RightArrow;}{v}}_i)$

此处，

${\stackrel{\&RightArrow;}{v}}_i:=(v_{i,1},...,v_{i,n}),$

${\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_0={\mathrm{\&eta;}}_{0,1},...,{\mathrm{\&eta;}}_{0,z_0},{\mathrm{\&mu;}}_i,{\mathrm{\&theta;}}_i,{\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_i={\mathrm{\&eta;}}_{i,1},...,{\mathrm{\&eta;}}_{i,z},$

${\stackrel{\&RightArrow;}{\mathrm{\&eta;}}}_{L+1}={\mathrm{\&eta;}}_{L+1,1},...,{\mathrm{\&eta;}}_{L+1,z}$ 是随机数，

$s_0:=\stackrel{\&RightArrow;}{1}\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T,{\stackrel{\&RightArrow;}{s}}^T:={(s_1,...,s_L)}^T:=M\&CenterDot;{\stackrel{\&RightArrow;}{f}}^T,$

是具有r个要素的矢量，M是L行r列的矩阵，

ρ(i)是被预先分配了或者的变量，

n是1以上的整数，u₀，w₀，z₀，u，w，z分别是0以上的整数，

式12：

${\mathrm{\&Pi;}}_{i=0}^{L+1}e(c_i,s_i^{*}).$

10.一种密码方法，使用规定的基底B以及规定的基底B^＊来进行处理，该密码方法的特征在于，具备：

发送工序，发送装置生成关于多个索引j中的一个以上的索引j的发送侧矢量t_j，该发送侧矢量t_j在所述基底B中的规定的基底矢量b_index的系数中设定了对索引j预先分配了的信息J，在所述基底B中的其他基底矢量b_att的系数中设定了关于索引j的参数Ф_j；以及

接收工序，接收装置使用关于多个索引j’中的一个以上的索引j’的接收侧矢量r_j’，针对关于索引j的所述发送侧矢量t_j和关于与所述索引j对应的索引j’的所述接收侧矢量r_j’，计算每对应的基底矢量的配对运算之积，其中，该接收侧矢量r_j’在与所述基底矢量b_index对应的所述基底B^＊中的基底矢量b^＊ _index的系数中设定了和对与索引j’对应的索引j预先分配了的信息J的内积成为0的信息J’，在与所述基底矢量b_att对应的所述基底B^＊中的基底矢量b^＊ _att的系数中设定了关于索引j’的参数Ψ_j’。