CN104620305B - 密码系统、密码方法、密码程序以及解密装置 - Google Patents

Abstract

目的在于在函数型密码方式中，扩大能够表现为关系R的范围，在该函数型密码方式中，在用设定了参数Ψ的解密密钥dk对设定了参数Φ的加密密钥ek进行解密时，仅限关系R(Φ，Ψ)成立的情况下，解密密钥dk能够对用加密密钥ek加密了的密文进行解密。密码系统(10)将包括多项式d(x)和多个多项式D_i(x)以及谓词信息的第1信息、包含属性信息的第2信息中的一方作为密文，将另一方作为解密密钥。解码装置(300)根据谓词信息和属性信息，从多个多项式D_i(x)中选择至少一部分的多项式D_i(x)，计算能够用多项式d(x)将根据对所选择的多项式D_i(x)乘以系数Δ_i而得到的多项式Δ_iD_i(x)构成的多项式除尽的系数Δ_i。解码装置(300)根据计算出的系数系数Δ_i对所述密文进行解密。

Description

密码系统、密码方法、密码程序以及解密装置

技术领域

本发明涉及利用了二次张成方案(quadratic span program)的思想的函数型密码方式。

背景技术

函数型密码方式是使加密密钥ek与解密密钥dk之间的关系更加紧密、并且更加灵活的密码方式。

在函数型密码方式中，在加密密钥ek和解密密钥dk中分别设定参数Φ和参数Ψ。另外，仅限关系R(Φ，Ψ)成立的情况下，解密密钥dk能够对用加密密钥ek加密了的密文进行解密。

在非专利文献3中，有关于函数型密码方式的记载。

在非专利文献6中，有关于二次张成方案的记载。

非专利文献1：Okamoto，T.，Takashima，K.：Homomorphicencryption and signatures from vector decomposition.In：Galbraith，S.D.，Paterson，K.G.(eds.)Pairing 2008.LNCS，vol.5209，pp.57-74，Springer Heidelberg(2008)

非专利文献2：Okamoto，T.，Takashima，K.：Hierarchicalpredicate encryption for inner-products，In：ASIACRYPT 2009，Springer Heidelberg(2009)

非专利文献3：Okamoto，T.，Takashima，K.：Fully securefunctional encryption with general relations from the decisionallinear assumption.In：Rabin，T.(ed.)CRYPTO 2010.LNCS，vol.6223，pp.191-208.Springer Heidelberg(2010).Full version isavailable at http：//eprint.iacr.org/2010/563

非专利文献4：Okamoto，T.，Takashima，K.：Efficientattribute-based signatures for non-monotone predicates in thestandard model，In：PKC 2011，Springer Heidelberg(2011)

非专利文献5：Okamoto，T.，Takashima，K.：DecentralizedAttribute-Based Signatures http：//eprint.iacr.org/2011/701

非专利文献6：Rosario Gennaro and Craig Gentry and BryanParno and Mariana Raykova：Quadratic Span Programs andSuccinct NIZKs without PCPs http：//eprint.iacr.org/2012/215

发明内容

非专利文献3记载的函数型密码方式是利用了一阶张成方案的方式。在该函数型密码方式中，在能够表现为关系R的范围方面存在界限。

本发明的目的在于提供一种通过利用二次张成方案的思想，能够扩大能够表现为关系R的范围的函数型密码方式。

本发明的密码系统的特征在于，具备：

加密装置，生成包括二次张成方案的第1信息、和包括属性信息的第2信息中的一方来作为密文；以及

解密装置，将所述第1信息和所述第2信息中的另一方作为解密密钥，在所述二次张成方案受理所述属性信息的情况下，基于根据所述二次张成方案和所述属性信息而得到的信息，对所述密文进行解密。

在本发明的密码系统中，通过利用二次张成方案的思想，能够将能够表现为关系R的范围设为理想的范围。

附图说明

图1是二次张成方案的说明图。

图2是部分集合I_u的说明图。

图3是执行KP-FE方式的密码系统10的结构图。

图4是执行CP-FE方式的密码系统10的结构图。

图5是实施方式2的密钥生成装置100的结构图。

图6是实施方式2的加密装置200的结构图。

图7是实施方式2的解密装置300的结构图。

图8是示出实施方式2的Setup算法的处理的流程图。

图9是示出实施方式2的KeyGen算法的处理的流程图。

图10是示出实施方式2的Enc算法的处理的流程图。

图11是示出实施方式2的Dec算法的处理的流程图。

图12是示出实施方式4的KeyGen算法的处理的流程图。

图13是示出密钥生成装置100、加密装置200、解密装置300的硬件结构的一个例子的图。

(符号说明)

100：密钥生成装置；110：主密钥生成部；120：主密钥存储部；130：信息输入部；140：解密密钥生成部；141：秘密信息生成部；142：密钥要素生成部；150：密钥分发部；200：加密装置；210：公开参数取得部；220：信息输入部；230：加密数据生成部；240：数据发送部；300：解密装置；311：解密密钥取得部；312：密文取得部；320：张成方案计算部；330：补充系数计算部；331：多项式选择部；332：系数计算部；340：解密部；341：配对运算部；342：消息计算部。

具体实施方式

以下，根据附图，说明发明的实施方式。

在以下的说明中，处理装置是后述的CPU911等。存储装置是后述的ROM913、RAM914、磁盘920等。通信装置是后述的通信板915等。输入装置是后述的键盘902、通信板915等。即，处理装置、存储装置、通信装置、输入装置是硬件。

说明以下的说明中的记法。

在A是随机的变量或者分布时，式101表示依照A的分布从A中随机地选择y。即，在式101中，y是随机数。

[式101]

$y\stackrel{R}{\←}A$

在A是集合时，式102表示从A均匀地选择y。即，在式102中，y是均匀随机数。

[式102]

$y\stackrel{U}{\←}A$

式103表示y是通过z定义的集合、或者y是代入z而得到的集合。

[式103]

y：＝z

在a是常数时，式104表示机械(算法)A针对输入x而输出a。

[式104]

A(x)→a

例如，

A(x)→1

式105、即F_q表示位数q的有限域。

[式105]

向量标记表示有限域F_q中的向量显示。即，是式106。

[式106]

表示

式107表示式108所示的2个向量x^→和v^→的式109所示的内积。

[式107]

[式108]

$\begin{array}{c}\stackrel{\→}{x}=(x_1,...,x_n)\\ \stackrel{\→}{v}=(v_1,...,v_n)\end{array},$

[式109]

${\mathrm{\Σ}}_{i=1}^n{x}_i{v}_i$

X^T表示矩阵X的转置矩阵。

在b_i(i＝1，...，n)是空间V的向量的要素时，即，在是式110时，式111表示通过式112生成的部分空间。

[式110]

[式111]

[式112]

$b_1,...,b_n(\mathrm{resp}.{\stackrel{\→}{x}}_1,...,{\stackrel{\→}{x}}_n)$

针对式113所示的基底B和基底B^*，是式114。

[式113]

[式114]

另外，在以下的说明中，在下标或者上标中示出“Vt”的情况下，该Vt意味着V_t。同样地，在上标中示出“δi，j”的情况下，该δi，j意味着δ_i，j。同样地，在上标中示出“fτ”、“κτ”的情况下，该fτ意味着f_τ，该κτ意味着κ_τ。

另外，在对下标文字或者上标文字附加有意味着向量的“→”的情况下，意味着以上标的形式对下标文字或者上标文字附加有该“→”。

另外，在以下的说明中，密码处理包括密钥生成处理、加密处理、解密处理。

实施方式1.

在该实施方式中，说明作为使用了二次张成方案的函数型密码方式的基础的概念、和使用了二次张成方案的函数型密码方式的概要。

第1，说明具有作为用于实现函数型密码方式的空间的“双重配对向量空间(Dual Pairing Vector Spaces，DPVS)”这样的丰富的数学构造的空间。

第2，说明用于实现函数型密码方式的概念。此处，说明“二次张成方案”、“属性信息的等号和二次张成方案”、“秘密分散方式”。

第3，说明使用了二次张成方案的函数型密码方式的概要。

<第1.双重配对向量空间>

首先，说明对称双线性配对群。

对称双线性配对群(q，G，G^T，g，e)是素数q、位数q的循环加法群G、位数q的循环乘法群G^T、g≠0∈G、以及能够用多项式时间计算的非退化双线性配对(Nondegenerate Bilinear Pairing)e：G×G→G_T的组。非退化双线性配对是e(sg，tg)＝e(g，g)^st、e(g，g)≠1。

在以下的说明中，将G_bpg设为将1^λ作为输入，输出保密参数为λ的双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值的算法。

接下来，说明双重配对向量空间。

双重配对向量空间(q，V，G_T，A，e)能够通过对称双线性配对群(param_G：＝(q，G，G_T，g，e))的直积(direct product)构成。双重配对向量空间(q，V，G_T，A，e)是素数q、式115所示的F_q上的N维向量空间V、位数q的循环群G_T、空间V的标准基底A：＝(a₁，...，a_N)的组，具有以下的运算(1)(2)。此处，a_i如式116所示。

[式115]

[式116]

运算(1)：非退化双线性配对

空间V中的配对通过式117定义。

[式117]

此处，

其是非退化双线性。即，e(sx，ty)＝e(x，y)^st，针对全部的y∈V，在e(x，y)＝1的情况下，是x＝0。另外，针对全部i和j，e(a_i，a_j)＝e(g，g)^δi，j。此处，如果i＝j，则δ_i，j＝1，如果i≠j，则δ_{i， j}＝0。另外，e(g，g)≠1∈G_T。

运算(2)：失真映射

式118所示的空间V中的线性变换能够进行式119。

[式118]

φ_i,j(a_j)＝a_i，

如果k≠j，则φ_i,j(a_k)＝0。

[式119]

此处，

(g₁,…g_N):＝x。

此处，将线性变换称为失真映射。

在以下的说明中，将G_dpvs设为将1^λ(λ∈自然数)、N∈自然数、双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值作为输入，输出保密参数为λ、作为N维的空间V的双重配对向量空间的参数param_V：＝(q，V，G_T，A，e)的值的算法。

另外，此处，说明通过上述的对称双线性配对群构成双重配对向量空间的情况。另外，还能够通过非对称双线性配对群构成双重配对向量空间。容易将以下的说明应用于通过非对称双线性配对群构成了双重配对向量空间的情况。

<第2.用于实现函数型密码的概念>

<第2-1.二次张成方案>

图1是二次张成方案的说明图。

域F_q中的二次张成方案包括2个多项式的集合A＝{a_i(x)|i∈{0，...，L}}以及集合B＝{b_i(x)|i∈{0，...，L}}、和目标多项式d(x)。另外，二次张成方案包括集合I：＝{1，...，L}的标签ρ。全部标签ρ_i(i＝1，...，L)向{p₀，p₁，...，p_n，￢p₁，...，￢p_n}中的某一个直接量(literal)建立对应。即，ρ：I→{p₀，p₁，...，p_n，￢p₁，...，￢p_n}。

针对输入u：＝(u₁，...，u_n)∈{0，1}ⁿ，关于j＝1，...，n的各整数j，通过T(p_j)：＝u_j以及T(￢p_j)：＝￢u_j，设定直接量的真值T。另外，针对任何输入u，p₀的真值T都设定1。即，T(p₀)：＝1。

集合I的部分集合I_u由通过输入u设定了1的标签的要素构成。即，I_u：＝{i∈I|T(p(i)＝1)}。或者，I_u：＝{i∈I|[ρ(i)＝p_j∧u_j＝1]∨[ρ(i)＝￢p_j∧u_j＝0]∨[ρ(i)＝p₀]}。

图2是部分集合I_u的说明图。

另外，在图2中，n＝7，L＝6。另外，在图2中，关于标签ρ，ρ₁与￢p₂建立对应，ρ₂与p₁建立对应，ρ₃与p₄建立对应，ρ₄与￢p₅建立对应，ρ₅与￢p₃建立对应，ρ₆与p₅建立对应。

此处，设为输入u：＝(u₁，...，u₇)∈{0，1}⁷是u₁＝1，u₂＝0，u₃＝1，u₄＝0，u₅＝0，u₆＝1，u₇＝1。在该情况下，部分集合I_u由与用虚线包围的直接量(p₁，p₃，p₆，p₇，￢p₂，￢p₄，￢p₅)建立对应的标签ρ_i的要素i构成。即，部分集合I_u由标签ρ₁，ρ₂，ρ₄的要素i构成，部分集合I_u：＝{i＝1，2，4}。

二次张成方案是目标多项式d(x)将式120除尽那样的体F_q ^L中的(α₁，...，α_L)以及(β₁，...，β_L)的组，仅限于针对未包含于部分集合I_u的全部i存在作为α_i＝0＝β_i的(α₁，...，α_L)以及(β₁，...，β_L)的组的情况下，受理输入u∈{0，1}ⁿ(或者，受理部分集合I_u)。另外，在其他情况下，二次张成方案拒绝输入u∈{0，1}ⁿ。

[式120]

$(a_0\left(x\right)+\underset{i=1}{\overset{L}{\mathrm{\&Sigma;}}}{\mathrm{\&alpha;}}_i\&CenterDot;a_i\left(x\right))\&CenterDot;(b_0\left(x\right)+\underset{i=1}{\overset{L}{\mathrm{\&Sigma;}}}{\mathrm{\&beta;}}_i\&CenterDot;b_i\left(x\right))$

即，二次张成方案仅限于存在目标多项式d(x)将式121除尽那样的关于i∈I_u的α_i以及β_i的组的情况下，受理输入u∈{0，1}ⁿ。

[式121]

另外，在二次张成方案受理输入u∈{0，1}ⁿ的情况下，能够用多项式时间计算关于i∈I_u的α_i以及β_i的组(参照非专利文献6)。

如果是图2所示的例子，二次张成方案仅限于存在目标多项式d(x)将式122除尽那样的关于i∈I_u：＝{i＝1，2，4}的α_i以及β_i的组的情况下，受理输入u∈{0，1}ⁿ。

[式122]

$(a_0\left(x\right)+\underset{i\&Element;\left\{\mathrm{1,2,4}\right\}}{\mathrm{\&Sigma;}}{\mathrm{\&alpha;}}_i\&CenterDot;a_i\left(x\right))\&CenterDot;(b_0\left(x\right)+\underset{i\left\{\mathrm{1,2,4}\right\}}{\mathrm{\&Sigma;}}{\mathrm{\&beta;}}_i\&CenterDot;b_i\left(x\right))$

<第2-2.属性的内积和二次张成方案>

U_t(t＝1，...，d且是部分全集(sub-universe)，是属性的集合。另外，U_t分别包括部分全集合的识别信息(t)、和用N维向量表示的属性信息(v^→)。即，U_t是(t，v^→)。此处，t∈{1，...，d}、v^→∈F_q ⁿ。

将U_t＝(t，v^→)设为p。即，p＝(t，v^→)。说明基于p_j：＝(t，v^→ _j)(j＝1，...，n；t∈{1，...，d})的二次张成方案Q：＝(A，B，d(x)，ρ)中的、部分集合I_u的决定方法。

将访问架构S设为伴随p₀以及{p_j：＝(t，v^→ _j)}_{j＝1，...，n}的二次张成方案Q：＝(A，B，d(x)，ρ)。即，ρ：{1，...，L}→{p₀，(t，v^→ ₁)，...，(t，v^→ _n)，￢(t，v^→ ₁)，...，￢(t，v^→ _n)}。另外，将Γ设为属性集合。即，Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≤t≤d}。此处，t是{1，...，d}的部分集合，无需是全索引。

如果对访问架构S提供了属性集合Γ，则如下述那样决定{p₀，p₁，...，p_n，￢p₁，...，￢p_n}的直接量的真值T。仅限p_j＝(t，v^→ _j)、(t，x^→ _t)∈Γ并且v^→ _j·x^→ _t＝0的情况下，为T(p_j)：＝1。仅限p_j＝￢(t，v^→ _j)、(t，x^→ _j)∈Γ并且v^→ _j·x^→ _t≠0的情况下，为T(￢p_j)：＝1。成为T(p₀)：＝1。在其他情况下，真值T为0。

另外，设为I_u(＝I_(ρ，Γ))：＝{i∈I|T(ρ(i))＝1}、即I_(ρ，Γ)：＝{i∈I|[ρ(i)＝(t，v^→ _j)∧(t，x^→ _t)∈Γ∧(v^→ _j·x^→ _t)＝0]∨[ρ(i)＝￢(t，v^→ _j)∧(t，x^→ _j)∈Γ∧v^→ _j·x^→ _t≠0]∨[ρ(i)＝p₀]}。

<第3.函数型密码方式的概要>

通过使解密密钥和密文的一方具有上述访问架构S、使另一方具有属性集合Γ，构成函数型密码方式。

将使解密密钥具有访问架构S的函数型密码方式称为Key-Policy函数型密码(KP-FE)方式，将使密文具有访问架构S的密码方式称为Ciphertext-Policy函数型密码(CP-FE)方式。

说明KP-FE方式以及CP-FE方式的结构、和执行各方式的密码系统10的结构。

<第3-1.KP-FE方式>

KP-FE方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是输入保密参数λ，输出公开参数pk和主密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将访问架构S、公开参数pk以及主密钥sk作为输入，输出解密密钥sk_S的概率性的算法。

(Enc)

Enc算法是将消息msg、作为属性的集合的Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≤t≤d}以及公开参数pk作为输入，输出密文ct_Γ的概率性的算法。

(Dec)

Dec算法是将在作为属性的集合的Γ下加密了的密文ct_Γ、针对访问架构S的解密密钥sk_S、以及公开参数pk作为输入，输出消息msg或者识别信息⊥的算法。

图3是执行KP-FE方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、加密装置200以及解密装置300。

密钥生成装置100将保密参数λ作为输入，执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100将访问架构S作为输入，执行KeyGen算法，生成解密密钥sk_S，并秘密地分发给解密装置300。

加密装置200将消息msg、属性的集合Γ以及公开参数pk作为输入，执行Enc算法，生成密文ct_Γ。加密装置200将所生成的密文ct_Γ发送到解密装置300。

解密装置300将公开参数pk、解密密钥sk_S以及密文ct_Γ作为输入，执行Dec算法，输出消息msg或者识别信息⊥。

<第3-2.CP-FE方式>

CP-FE方式具备Setup、KeyGen、Enc、Dec这4个算法。

(Setup)

Setup算法是输入保密参数λ，输出公开参数pk和主密钥sk的概率性的算法。

(KeyGen)

KeyGen算法是将作为属性的集合的Γ：＝{(t，x^→ _t)|x^→ _t∈F_q ⁿ，1≤t≤d}、公开参数pk以及主密钥sk作为输入，输出解密密钥sk_Γ的概率性的算法。

(Enc)

Enc算法是将消息msg、访问架构S以及公开参数pk作为输入，输出密文ct_S的概率性的算法。

(Dec)

Dec算法是将在访问架构S下加密了的密文ct_S、针对作为属性的集合的Γ的解密密钥sk_Γ、以及公开参数pk作为输入，输出消息msg或者识别信息⊥的算法。

图4是执行CP-FE方式的密码系统10的结构图。

密码系统10具备密钥生成装置100、加密装置200以及解密装置300。

密钥生成装置100将保密参数λ作为输入，执行Setup算法，生成公开参数pk和主密钥sk。然后，密钥生成装置100公开所生成的公开参数pk。另外，密钥生成装置100将属性的集合Γ作为输入，执行KeyGen算法，生成解密密钥sk_Γ，并秘密地分发给解密装置300。

加密装置200将消息msg、访问架构S以及公开参数pk作为输入，执行Enc算法，生成密文ct_S。加密装置200将所生成的密文ct_S发送到解密装置300。

解密装置300将公开参数pk、解密密钥sk_Γ以及密文ct_S作为输入，执行Dec算法，输出消息msg或者识别信息⊥。

在KP-FE方式以及CP-FE方式的哪一个中都是在Dec算法中，根据访问架构S和属性集合Γ，通过上述的方法，选择部分集合I_{(ρ， Γ)}，进而确定系数(α₁，...，α_L)以及系数(β₁，...，β_L)。然后，根据部分集合I_(ρ，Γ)和系数(α₁，...，α_L)以及系数(β₁，...，β_L)，对密文ct_Γ(或者ct_S)进行解密来计算消息msg。

另外，通常，在系统设置时，仅执行1次Setup算法。每当生成用户的解密密钥时，执行KeyGen算法。每当对消息msg进行加密时，执行Enc算法。每当对密文进行解密时，执行Dec算法。

在实施方式1的密码系统10中，使用基于二次张成方案的访问架构S，构成函数型密码方式。由此，能够将能够表现为关系R的范围设为理想的范围。

实施方式2.

在实施方式2中，说明使用了二次张成方案的函数型密码方式的结构例。

此处，以KP-FE方式为例子进行说明。

图5是实施方式2的密钥生成装置100的结构图。图6是实施方式2的加密装置200的结构图。图7是实施方式2的解密装置300的结构图。

图8和图9是示出密钥生成装置100的动作的流程图。图8是示出Setup算法的处理的流程图，图9是示出KeyGen算法的处理的流程图。图10是示出加密装置200的动作的流程图，是示出Enc算法的处理的流程图。图11是示出解密装置300的动作的流程图，是示出Dec算法的处理的流程图。

说明密钥生成装置100的功能和动作。

密钥生成装置100具备主密钥生成部110、主密钥存储部120、信息输入部130、解密密钥生成部140、密钥分发部150。另外，解密密钥生成部140具备秘密信息生成部141、密钥要素生成部142。

根据图8，说明Setup算法的处理。

(S101：标准正交基底生成步骤)

主密钥生成部110通过处理装置，计算式123，生成参数param、基底B₀以及基底B^* ₀、和基底B_t以及基底B^* _t。

[式123]

关于t＝0，...，d的各个t执行(5)至(9)的处理。

即，主密钥生成部110执行以下的处理。

(1)主密钥生成部110通过输入装置，输入保密参数λ(1^λ)。

(2)主密钥生成部110通过处理装置，将在(1)中输入的保密参数λ作为输入，执行算法G_bpg，生成双线性配对群的参数param_G：＝(q，G，G_T，g，e)的值。

(3)主密钥生成部110通过处理装置，生成随机数ψ。

(4)主密钥生成部110对N₀设定n₀+u₀+w₀+z₀，关于t＝1，...，d(d是1以上的整数)的各整数t，对N_t设定n_t+u_t+w_t+z_t。此处，n₀是2mf_max+1，n_t是2mf_maxk_max+n。m是对目标多项式d(x)进行了因式分解时的因子的数量。f_max是对目标多项式d(x)进行了因式分解时的因子的次数的最大值(后述的f_τ的最大值)。k_max是与1个识别信息t建立对应的标签ρ的个数的最大值。n是1以上的整数，u₀，w₀，z₀，u_t，w_t，z_t分别是0以上的整数。

接下来，主密钥生成部110针对t＝0，...，d的各整数t，执行以下的(5)至(9)的处理。

(5)主密钥生成部110通过处理装置，将在(1)中输入的保密参数λ、在(4)中设定的N_t、以及在(2)中生成的param_G：＝(q，G，G_T，g，e)的值作为输入，执行算法G_dpvs，生成双重配对向量空间的参数param_Vt：＝(q，V_t，G_T，A_t，e)的值。

(6)主密钥生成部110通过处理装置，将在(4)中设定的N_t、和F_q作为输入，随机地生成线性变换X_t：＝(χ_t，i，j)_i，j。另外，GL是一般线性(General Linear)的简称。即，GL是一般线性群，是矩阵式非0的方阵的集合，关于乘法是群。另外，(χ_t，i，j)_i，j是与矩阵χ_t，i，j的下标i，j有关的矩阵的意思，此处，i，j＝1，...，N_t。

(7)主密钥生成部110通过处理装置，根据随机数ψ和线性变换X_t，生成X^* _t：＝(ν_t，i，j)_i，j：＝ψ·(X_t ^T)^-1。另外，(ν_t，i，j)_i，j也与(χ_t，i，j)_i，j同样地，是与矩阵ν_t，i，j的下标i，j有关的矩阵这样的意思，此处，是i，j＝1，...，N_t。

(8)主密钥生成部110通过处理装置，根据在(6)中生成的线性变换X_t，根据在(5)中生成的标准基底A_t生成基底B_t。另外，x^→ _{t， i}表示线性变换X_t的第i行。

(9)主密钥生成部110通过处理装置，根据在(7)中生成的线性变换X^* _t，根据在(5)中生成的标准基底A_t生成基底B^* _t。另外，v^→ _{t， i}表示线性变换X^* _t的第i行。

(10)主密钥生成部110通过处理装置，对g_T设定e(g，g)^ψ。另外，主密钥生成部110对param设定在(5)中生成的{param_Vt}_{t＝0，...， d}、和g_T。

即，在(S101)中，主密钥生成部110执行式124所示的算法G_ob，生成param、基底B₀以及基底B^* ₀、和基底B_t以及基底B^* _t。

[式124]

(S102：公开参数生成步骤)

主密钥生成部110通过处理装置，如式125所示，生成在(S101)中生成的基底B₀的部分基底B^₀、和基底B_t的部分基底B^_t。

[式125]

主密钥生成部110将所生成的部分基底B^₀以及部分基底B^_t、在(S101)中输入的保密参数λ、以及在(S101)中生成的param合起来，作为公开参数pk。

(S103：主密钥生成步骤)

主密钥生成部110通过处理装置，如式126所示，生成在(S101)中所生成的基底B^* ₀的部分基底B^^* ₀、和基底B^* _t的部分基底B^^* _t。

[式126]

主密钥生成部110将所生成的部分基底B^^* ₀和部分基底B^^* _t作为主密钥sk。

(S104：主密钥存储步骤)

主密钥存储部120将在(S102)中生成的公开参数pk存储到存储装置中。另外，主密钥存储部120将在(S103)中生成的主密钥sk存储到存储装置中。

即，在(S101)至(S103)中，密钥生成装置100执行式127所示的Setup算法，生成公开参数pk和主密钥sk。然后，在(S104)中，密钥生成装置100将所生成的公开参数pk和主密钥sk存储到存储装置中。

另外，公开参数例如经由网络而被公开，成为加密装置200、解密装置300能够取得的状态。

[式127]

根据图9，说明KeyGen算法的处理。

(S201：信息输入步骤)

信息输入部130通过输入装置，输入上述访问架构S：＝(A，B，d(x)，ρ)。另外，关于ρ，例如，设定了解密密钥sk_S的使用者的属性信息。另外，访问架构S中包含的目标多项式d(x)能够如式128所示，因式分解为τ＝1，...，m这m个因子d_τ(x)^fτ。

[式128]

$d\left(x\right)=\underset{\mathrm{\&tau;}=1}{\overset{m}{\mathrm{\&Pi;}}}{d}_{\mathrm{\&tau;}}{\left(x\right)}^{f_{\mathrm{\&tau;}}}$

(S202：秘密信息π生成步骤)

秘密信息生成部141通过处理装置，如式129所示生成秘密信息π_τ，κ，0以及秘密信息π_τ，κ，1。

[式129]

(S203：秘密信息χ生成步骤)

秘密信息生成部141通过处理装置，如式130所示生成秘密信息χ_τ，κ，0以及秘密信息χ_τ，κ，1。

[式130]

(S204：秘密信息s生成步骤)

秘密信息生成部141通过处理装置，如式131所示，生成秘密信息s₀ ^{(τ，κ，0)}以及秘密信息s₀ ^{(τ，κ，1)}、秘密信息s_i ^{(τ，κ，0)}以及秘密信息s_i ^{(τ，κ，1)}。

[式131]

(S205：密钥要素生成步骤)

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、以及ι＝0，1的各整数ι，如式132所示生成解密密钥sk_S的要素k^* ₀ ^{(τ，κ，ι)}。

[式132]

另外，如上所述，针对式113所示的基底B和基底B^*，是式114。因此，式132意味着，作为基底B^* ₀的基底向量b^* _0，1的系数而设定s₀ ^{(τ，κ，ι)}+π_τ，κ，ι，作为基底向量b^* _0，1+1，...，b^* _0，1+n0的系数而设定e^→ ₀ ^{(τ，κ，ι)}，作为基底向量b^* _0，n0+1，...，b^* _0，n0+u0的系数而设定0，作为基底向量b^* _0，n0+u0+1，...，b^* _0，n0+u0+w0的系数而设定η_0，1 ^{(τ，κ，ι)}，...，η_{0， w0} ^{(τ，κ，ι)}，作为基底向量b^* _{0，n0+u0+w0+1}，...，b^* _{0，n0+u0+w0+z0}的系数而设定0。此处，n0，u0，w0，z0分别是n₀，u₀，w₀，z₀。

另外，e^→ ₀ ^{(τ，κ，ι)}是作为1个基底向量的系数而设定了1、作为其他基底向量的系数而设定了0的2mf_max维的向量，且是作为系数设定1的基底向量针对每个(τ，κ，ι)不同的向量。同样地，e^→ _i ^{(τ，κ，ι)}是作为1个基底向量的系数而设定了1、作为其他基底向量的系数而设定了0的2mf_maxk_max维的向量，且是作为系数而设定1的基底向量针对每个(τ，κ，ι)不同的向量。

另外，e^→ ₁是作为基底向量b^* _t，1的系数而设定了1、作为其他基底向量的系数而设定了0的N维的向量。

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、ι＝0，1的各整数ι、以及i＝1，...，L的各整数i，如式133所示生成解密密钥sk_S的要素k^* _i ^{(τ，κ，ι)}。

[式133]

(S206：密钥分发步骤)

密钥分发部150将以在(S201)中输入的访问架构S、和在(S205)中生成的k^* ₀ ^{(τ，κ，ι)}，k^* ₁ ^{(τ，κ，ι)}，...，k^* _L ^{(τ，κ，ι)}为要素的解密密钥sk_S，通过例如通信装置，经由网络而秘密地分发到解密装置300。当然，解密密钥sk_S也可以通过其他方法分发到解密装置300。

即，在(S201)至(S205)中，密钥生成装置100执行式134至式135所示的KeyGen算法，生成解密密钥sk_S。然后，在(S206)中，密钥生成装置100将所生成的解密密钥sk_S分发到解密装置300。

[式134]

[式135]

说明加密装置200的功能和动作。

加密装置200具备公开参数取得部210、信息输入部220、加密数据生成部230、数据发送部240。

根据图10，说明Enc算法的处理。

(S301：公开参数取得步骤)

公开参数取得部210例如通过通信装置经由网络而取得密钥生成装置100所生成的公开参数pk。

(S302：信息输入步骤)

信息输入部220通过输入装置，输入向解密装置300发送的消息msg。另外，信息输入部220通过输入装置，输入属性的集合Γ：＝{(t，x^→ _t：＝(x_t，1，...，x_t，n∈F_q ⁿ))|1≤t≤d}。另外，t也可以不是1以上d以下的全部整数，而是1以上d以下的至少一部分的整数。另外，关于属性的集合Γ，例如，设定了可解密的用户的属性信息。

(S303：密码要素生成步骤)

加密数据生成部230通过处理装置，如式136所示生成密文ct_Γ的要素c₀。

[式136]

加密数据生成部230通过处理装置，针对属性信息Γ中包含的各整数t，如式137所示生成密文ct_Γ的要素c_t。

[式137]

加密数据生成部230通过处理装置，如式138所示生成密文ct_Γ的要素c_d+1。

[式138]

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}\mathrm{msg}$

(S304：数据发送步骤)

数据发送部240将以在(S302)中输入的属性的集合Γ、和在(S303)中生成的c₀，c_t，c_d+1为要素的密文ct_Γ例如通过通信装置经由网络发送到解密装置300。当然，密文ct_Γ也可以通过其他方法发送到解密装置300。

即，在(S301)至(S303)中，加密装置200执行式139所示的Enc算法，生成密文ct_Γ。然后，在(S304)中，加密装置200将所生成的密文ct_Γ发送到解密装置300。

[式139]

说明解密装置300的功能和动作。

解密装置300具备信息取得部310、张成方案计算部320、补充系数计算部330、解密部340。另外，信息取得部310具备解密密钥取得部311、密文取得部312。另外，补充系数计算部330具备多项式选择部331、系数计算部332。另外，解密部340具备配对运算部341、消息计算部342。

根据图11，说明Dec算法的处理。

(S401：解密密钥取得步骤)

解密密钥取得部311例如通过通信装置经由网络取得从密钥生成装置100分发的解密密钥sk_S：＝(S，k^* ₀ ^{(τ，κ，ι)}，k^* ₁ ^{(τ，κ，ι)}，...，k^* _L ^{(τ，κ，ι)})。另外，解密密钥取得部311取得密钥生成装置100所生成的公开参数pk。

(S402：密文取得步骤)

密文取得部312例如通过通信装置经由网络而取得加密装置200发送的密文ct_Γ：＝(Γ，c₀，c_t，c_d+1)。

(S403：张成方案计算步骤)

张成方案计算部320通过处理装置，判定在(S401)中取得的解密密钥sk_S中包含的访问架构S是否受理在(S402)中取得的密文ct_Γ中包含的Γ。访问架构S是否受理Γ的判定方法如在“实施方式1中的第2-1.二次张成方案”中说明的那样。

张成方案计算部320在访问架构S受理Γ的情况下(在S403中“受理”)，使处理进入到(S404)。另一方面，在访问架构S拒绝Γ的情况下(在S403中“拒绝”)，设为无法用解密密钥sk_S对密文ct_Γ进行解密而结束处理。

(S404：多项式选择步骤)

补充系数计算部330的多项式选择部331通过处理装置计算 I_(ρ，Γ)的计算方法如在“实施方式1的第2-2.属性的内积和二次张成方案”中说明的那样。

(S405：系数计算步骤)

补充系数计算部330的系数计算部332通过处理装置，计算式140的系数(α₁，...，α_L)、系数(β₁，...，β_L)以及次数(κ₁，...，κ_m)。系数(α₁，...，α_L)、系数(β₁，...，β_L)、以及次数(κ₁，...，κ_m)的计算方法可以是任意的方法，也可以通过例如循环法计算。

[式140]

$\left\{\begin{array}{c}{\mathrm{\&Pi;}}_{\mathrm{\&tau;}=1}^m{d}_{\mathrm{\&tau;}}{\left(x\right)}^{{\mathrm{\&kappa;}}_{\mathrm{\&tau;}}}|(a_0\left(x\right)+{\mathrm{\&Sigma;}}_{i=1}^L{\mathrm{\&alpha;}}_i{a}_i\left(x\right)),\mathrm{and}\\ {\mathrm{\&Pi;}}_{\mathrm{\&tau;}=1}^m{d}_{\mathrm{\&tau;}}{\left(x\right)}^{f\mathrm{\&tau;}-{\mathrm{\&kappa;}}_{\mathrm{\&tau;}}}|(b_0\left(x\right)+{\mathrm{\&Sigma;}}_{i=1}^L{\mathrm{\&beta;}}_i{b}_i\left(x\right))\end{array}\right.$

此处，关于未包含于I_(ρ，Γ)中的全部i，α_i＝0＝β_i。

(S406：配对运算步骤)

解密部340的配对运算部341通过处理装置计算式141，生成会话密钥K_τ，0，K_τ，1。

[式141]

(S407：消息计算步骤)

解密部340的消息计算部342通过处理装置计算式142，生成消息msg’(＝msg)。

[式142]

${\mathrm{msg}}^{\&prime;}:=c_{d+1}/\left(\underset{\mathrm{\&tau;}=1}{\overset{m}{\mathrm{\&Pi;}}}{K}_{\mathrm{\&tau;},0}{K}_{\mathrm{\&tau;},1}\right)$

另外，如式143所示，通过计算式141而得到g_T ^ζ。因此，通过计算式142，得到消息msg’(＝msg)。

[式143]

即，在(S401)至(S407)中，解密装置300执行式144所示的Dec算法，生成消息msg’(＝msg)。

[式144]

如以上那样，在实施方式2的密码系统10中，实现了利用二次张成方案的函数型密码方式。

通过利用二次张成方案，能够表现为关系R的范围宽。

特别地，在实施方式2的密码系统10中，针对对目标多项式d(x)进行因式分解而得到的每个多项式d_τ(x)^fτ，将设定了多项式a_i(x)除以多项式d_τ(x)^κ而得到的余数的要素、和设定了多项式b_i(x)除以多项式d_τ(x)^fτ-κ而得到的余数的要素设为密钥要素k^* ₀ ^{(τ，κ，ι)}，k^* ₁ ^{(τ，κ，ι)}，...，k^* _L ^{(τ，κ，ι)}。另外，对各密钥要素k^* ₀ ^{(τ，κ，ι)}分散地设定秘密信息π和秘密信息χ。然后，使用系数α，β，进行密钥要素和密码要素的配对运算，从而使对各密钥要素设定的余数成为0、使秘密信息π成为0、使秘密信息χ成为1，由此从密文抽出会话密钥K_τ，0，K_τ，1。由此，实现了利用二次张成方案的函数型密码方式。

另外，在上述说明中，说明了KP-FE方式。但是，通过分别如式145至式148所示地进行KeyGen算法、Enc算法、Dec算法，还能够设为CP-FE方式。另外，Setup算法在KP-FE方式和CP-FE方式中是相同的。

[式145]

[式146]

[式147]

[式148]

另外，在上述说明中，说明了函数型密码方式。但是，还能够通过分别如式149至式153所示地进行Setup算法、KeyGen算法、Enc算法、Dec算法，设为基于属性的密码方式。另外，在基于属性的密码方式的情况下，在Setup算法中，n_t是2mf_maxk_max+2。

[式149]

[式150]

[式151]

[式152]

[式153]

同样地，还能够将式145至式148所示的CP-FE方式变更为基于属性的密码方式。

另外，在上述说明中，对N₀设定了n₀+u₀+w₀+z₀，对N_t设定了n_t+u_t+w_t+z_t。此处，例如，也可以设为u₀＝n₀，w₀＝n₀，z₀＝2而对N₀设为n₀+n₀+n₀+2＝3n₀+2，设为u_t＝n_t，w_t＝n_t，z_t＝1而对N_t设为n_t+n_t+n_t+1＝3n_t+1。

实施方式3.

在实施方式3中，说明相比于在实施方式2中说明的函数型密码方式，各基底的维数更少而不是基底的数量多的函数型密码方式。

在实施方式3中，以与实施方式2的密码系统10不同的部分为中心进行说明。

实施方式3的密钥生成装置100、加密装置200、解密装置300的结构与图5～图7所示的实施方式2的密钥生成装置100、加密装置200、解密装置300的结构相同。

关于实施方式3的Dec算法的处理，与实施方式2的Dec算法的处理相同，所以此处说明实施方式3的Setup算法、KeyGen算法、Enc算法的处理。

实施方式3的Setup算法、KeyGen算法、Enc算法的处理的流程与图8～图10所示的实施方式2的Setup算法、KeyGen算法、Enc算法的处理的流程相同。

根据图8，说明Setup算法的处理。

(S101：标准正交基底生成步骤)

(1)～(3)的处理与实施方式2相同。

(4)主密钥生成部110对N₀设定n₀+u₀+w₀+z₀，针对t＝1，...，d(d是1以上的整数)的各整数t，对N_t设定n_t+u_t+w_t+z_t。此处，n₀是1，n_t是n。n是1以上的整数，u₀，w₀，z₀，u_t，w_t，z_t分别是0以上的整数。

接下来，主密钥生成部110针对τ＝1，...，m、κ＝0，...，f_τ、ι＝0，1、t＝0，...，d的各整数τ、κ、ι、t，执行(5)至(9)的处理。

(5)的处理与实施方式2相同。

(6)主密钥生成部110与实施方式2同样地，随机地生成线性变换X_t ^{(τ，κ，ι)}：＝(χ_t，i，j ^{(τ，κ，ι)})_i，j。

(7)主密钥生成部110与实施方式2同样地，生成X^* _t ^{(τ，κ，ι)}：＝(ν_t，i，j ^{(τ，κ，ι)})_i，j：＝ψ·(X_t ^{(τ，κ，ι)T})^-1。

(8)主密钥生成部110与实施方式2同样地，基于在(6)中生成的线性变换X_t ^{(τ，κ，ι)}，根据在(5)中生成的标准基底A_t生成基底B_t ^{(τ，κ，ι)}。

(9)主密钥生成部110与实施方式2同样地，基于在(7)中生成的线性变换X^* _t ^{(τ，κ，ι)}，根据在(5)中所生成的标准基底A_t生成基底B^* _t ^{(τ，κ，ι)}。

(10)的处理与实施方式2相同。

(S102：公开参数生成步骤)

主密钥生成部110通过处理装置，如式154所示地生成在(S101)中所生成的基底B₀ ^{(τ，κ，ι)}的部分基底B^₀ ^{(τ，κ，ι)}、和基底B_t ^{(τ，κ，ι)}的部分基底B^_t ^{(τ，κ，ι)}。

[式154]

主密钥生成部110将所生成的部分基底B^₀ ^{(τ，κ，ι)}以及部分基底B^_t ^{(τ，κ，ι)}、在(S101)中输入的保密参数λ以及在(S101)中生成的param合起来，作为公开参数pk。

(S103：主密钥生成步骤)

主密钥生成部110通过处理装置，如式155所示地生成在(S101)中生成的基底B^* ₀ ^{(τ，κ，ι)}的部分基底B^^* ₀ ^{(τ，κ，ι)}、和基底B^* _t ^{(τ，κ，ι)}的部分基底B^^* _t ^{(τ，κ，ι)}。

[式155]

主密钥生成部110将所生成的部分基底B^^* ₀ ^{(τ，κ，ι)}和部分基底B^^* _t ^{(τ，κ，ι)}作为主密钥sk。

(S104)的处理与实施方式2相同。

即，在(S101)至(S103)中，密钥生成装置100执行式156所示的Setup算法，生成公开参数pk和主密钥sk。然后，在(S104)中，密钥生成装置100将所生成的公开参数pk和主密钥sk存储到存储装置中。

[式156]

根据图9，说明KeyGen算法的处理。

(S201)至(S204)、和(S206)的处理与实施方式2相同。

(S205：密钥要素生成步骤)

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、以及ι＝0，1的各整数ι，如式157所示地生成解密密钥sk_S的要素k^* ₀ ^{(τ，κ，ι)}。

[式157]

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、ι＝0，1的各整数ι、以及i＝1，...，L的各整数i，如式158所示地生成解密密钥sk_S的要素k^* _i ^{(τ，κ，ι)}。

[式158]

即，在(S201)至(S205)中，密钥生成装置100执行式159至式160所示的KeyGen算法，生成解密密钥sk_S。然后，在(S206)中，密钥生成装置100将所生成的解密密钥sk_S分发到解密装置300。

[式159]

[式160]

根据图10，说明Enc算法的处理。

(S301)至(S302)、和(S304)的处理与实施方式2相同。

(S303：密码要素生成步骤)

加密数据生成部230通过处理装置，如式161所示地生成密文ct_Γ的要素c₀ ^{(τ，κ，ι)}。

[式161]

加密数据生成部230通过处理装置，针对属性信息Γ中包含的各整数t，如式162所示地生成密文ct_Γ的要素c_t ^{(τ，κ，ι)}。

[式162]

加密数据生成部230通过处理装置，如式163所示地生成密文ct_Γ的要素c_d+1。

[式163]

$c_{d+1}:=g_T^{\mathrm{\&zeta;}}\mathrm{msg}$

即，在(S301)至(S303)中，加密装置200执行式164所示的Enc算法，生成密文ct_Γ。然后，在(S304)中，加密装置200将所生成的密文ct_Γ发送到解密装置300。

[式164]

如以上那样，实施方式3的密码系统10实现相比于在实施方式2中说明的函数型密码方式各基底的维数更少而不是基底的数量多的函数型密码方式。

另外，在上述说明中，说明了KP-FE方式。但是，还能够通过分别如式165至式167所示地进行KeyGen算法、Enc算法，作为CP-FE方式。另外，Setup算法在KP-FE方式和CP-FE方式中是相同的。另外，Dec算法与式148所示的Dec算法相同。

[式165]

[式166]

[式167]

另外，在上述说明中，说明了函数型密码方式。但是，还能够通过分别如式168至式171所示地进行Setup算法、KeyGen算法、Enc算法，而设为基于属性的密码方式。另外，在基于属性的密码方式的情况下，在Setup算法中，n_t是2。Dec算法与式153所示的Dec算法相同。

[式168]

[式169]

[式170]

[式171]

同样地，还能够将式165至式167所示的CP-FE方式变更为基于属性的密码方式。

另外，在上述说明中，对N₀设定了n₀+u₀+w₀+z₀，对N_t设定了n_t+u_t+w_t+z_t。此处，例如，也可以设为u₀＝n₀，w₀＝n₀，z₀＝2而对N₀设为n₀+n₀+n₀+2＝3n₀+2(n₀＝1，所以N₀＝5)，设为u_t＝n_t，w_t＝n_t，z_t＝1而对N_t设为n_t+n_t+n_t+1＝3n_t+1。

实施方式4.

在实施方式2、3中，针对对目标多项式d(x)进行因式分解而得到的每个多项式d_τ(x)^fτ，将设定了多项式a_i(x)除以多项式d_τ(x)^κ而得到的余数的要素、和设定了多项式b_i(x)除以多项式d_τ(x)^fτ-κ而得到的余数的要素作为密钥要素。

在实施方式4中，针对对目标多项式d(x)进行因式分解而得到的每个多项式d_τ(x)^fτ，将对多项式d_τ(x)^κ代入了随机数值γ而得到的要素、和对多项式d_τ(x)^fτ-κ代入了随机数值γ而得到的要素作为密钥要素。

实施方式4的密钥生成装置100、加密装置200、解密装置300的结构与图5～图7所示的实施方式2的密钥生成装置100、加密装置200、解密装置300的结构相同。

实施方式4的Setup算法、Enc算法与实施方式2的Setup算法、Enc算法相同。

实施方式4的Dec算法的处理的流程与图11所示的实施方式2的Dec算法的处理的流程相同。

图12是示出实施方式4的KeyGen算法的处理的流程图。

根据图12，说明KeyGen算法的处理。

(S501)至(S503)的处理与图9所示的(S201)至(S203)的处理相同，(S505)的处理与图9所示的(S206)的处理相同。

(S504：密钥要素生成步骤)

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、ι＝0，1的各整数ι、以及j＝1，...，μ+1的各整数j，如式172所示地生成解密密钥sk_S的要素k^* _0，j ^{(τ，κ，ι)}和要素k^* _0，μ+1 ^{(τ，κ，ι)}。

[式172]

密钥要素生成部142通过处理装置，针对τ＝1，...，m的各整数τ、κ＝0，...，f_τ的各整数κ、ι＝0，1的各整数ι、以及i＝1，...，L的各整数i，如式173所示生成解密密钥sk_S的要素k^* _i ^{(τ，κ，ι)}。

[式173]

此处，e^→ _0，j ^{(τ，κ，ι)}(j＝1，...，μ+1)是作为1个基底向量的系数设定了1、作为其他基底向量的系数设定了0的2mf_max维的向量，且是作为系数设定1的基底向量针对每个(τ，κ，ι)不同的向量。

即，在(S501)至(S504)中，密钥生成装置100执行式174至式175所示的KeyGen算法，生成解密密钥sk_S。然后，在(S505)中，密钥生成装置100将所生成的解密密钥sk_S分发到解密装置300。

[式174]

[式175]

根据图11，说明Dec算法的处理。

(S401)至(S404)的处理与实施方式2相同。

(S405：系数计算步骤)

补充系数计算部330的系数计算部332通过处理装置，计算出成为式176的系数(α₁，...，α_L)、系数(β₁，...，β_L)以及次数κ。

[式176]

$\begin{array}{c}{h}_{\mathrm{\&tau;},\mathrm{\&kappa;},0}\left(x\right)\&CenterDot;d_{\mathrm{\&tau;}}{\left(x\right)}^{\mathrm{\&kappa;}}=a_0\left(x\right)+{\mathrm{\&Sigma;}}_{i=1}^L{\mathrm{\&alpha;}}_i{a}_i\left(x\right),\mathrm{and}\\ h_{\mathrm{\&tau;},\mathrm{\&kappa;},1}\left(x\right)\&CenterDot;d_{\mathrm{\&tau;}}{\left(x\right)}^{f_{\mathrm{\&tau;}}-\mathrm{\&kappa;}}=b_0\left(x\right)+{\mathrm{\&Sigma;}}_{i=1}^L{\mathrm{\&beta;}}_i{b}_i\left(x\right)\end{array}$

此处，关于未包含于I_(ρ，Γ)中的全部i，α_i＝0＝β_i。另外，关于τ＝1，...，m以及ι＝0，1的全部整数τ，ι，h_τ，κ，ι(x)：＝h_{τ，κ，ι，0}+h_{τ，κ，ι，1}x+···+h_{τ，κ，ι，μ}x^μ。

(S406：配对运算步骤)

解密部340的配对运算部341通过处理装置，计算式177，生成会话密钥K_τ，0、K_τ，1。

[式177]

(S407：消息计算步骤)

消息计算部342通过处理装置，计算式178，生成消息msg’(＝msg)。

[式178]

${\mathrm{msg}}^{\&prime;}:=c_{d+1}/\left(\underset{\mathrm{\&tau;}=1}{\overset{m}{\mathrm{\&Pi;}}}{K}_{\mathrm{\&tau;},0}{K}_{\mathrm{\&tau;},1}\right)$

另外，通过如式179所示，计算式177，得到g_T ^ζ。因此，通过计算式178，得到消息msg’(＝msg)。

[式179]

即，在(S401)至(S407)中，解密装置300执行式180所示的Dec算法，生成消息msg’(＝msg)。

[式180]

如以上那样，实施方式4的密码系统10将对多项式d_τ(x)^κ代入了随机数值γ的要素、和对多项式d_τ(x)^fτ-κ代入了随机数值γ的要素作为密钥要素，实现函数型密码方式。

另外，在上述说明中，说明了KP-FE方式。但是，还能够通过分别如式181至式184所示地进行KeyGen算法、Enc算法、Dec算法而设为CP-FE方式。另外，Setup算法在KP-FE方式和CP-FE方式中相同。

[式181]

[式182]

[式183]

[式184]

另外，说明了函数型密码方式。但是，还能够通过分别如式185至式187所示地进行KeyGen算法、Dec算法，设为基于属性的密码方式。另外，在基于属性的密码方式的情况下，在Setup算法中，n_t是2mf_maxk_max+2。另外，Setup算法与式149所示的Setup算法相同，Enc算法与式152所示的Enc算法相同。

[式185]

[式186]

[式187]

还能够通过进行同样的变更，将式181至式184所示的CP-FE方式变更为基于属性的密码方式。

另外，在上述说明中，对N₀设定了n₀+u₀+w₀+z₀，对N_t设定了n_t+u_t+w_t+z_t。此处，例如，也可以设为u₀＝n₀，w₀＝n₀，z₀＝2而对N₀设为n₀+n₀+n₀+2＝3n₀+2，设为u_t＝n_t，w_t＝n_t，z_t＝2而对N_t设为n_t+n_t+n_t+2＝3n_t+2。

另外，在上述说明中，与实施方式2的函数型密码方式同样地，设为基底的数量变少而不是解密密钥、密文变长的函数型密码方式。但是，根据实施方式3、4的函数型密码方式，能够将实施方式4的函数型密码方式与实施方式3的函数型密码方式同样地，容易地变形为各基底的维数变少而不是基底的数量变多的函数型密码方式。

另外，在以上的实施方式中，说明了KP-FE方式和CP-FE方式。但是，也能够容易地根据KP-FE方式和CP-FE方式构成非专利文献4记载的Unified-Policy FE(UP-FE)方式。

实施方式5.

在以上的实施方式中，说明了在双对向量空间中实现密码处理的方法。在实施方式5中，说明在双对加群中实现密码处理的方法。

即，在以上的实施方式中，在素数位数q的循环群中实现了密码基元的处理。但是，在使用合成数M如式188那样地表示环R的情况下，即使在将环R作为系数的加群中，也能够应用在上述实施方式中说明的密码处理。

[式188]

此处，

整数

M：合成数。

如果将在以上的实施方式中说明的算法中的F_q变更为R，则能够实现双对加群中的密码基元的处理。

另外，在以上的实施方式中，根据证明安全性的观点，关于i＝1，...，L的各整数i的ρ(i)也可以限定为是关于分别不同的识别信息t的肯定形的组(t，v^→)或者否定形的组￢(t，v^→)。

换言之，在是ρ(i)＝(t，v^→)或者ρ(i)＝￢(t，v^→)的情况下，将函数ρ^～设为作为ρ^～(i)＝t的{1，...，L}→{1，...d}的映射。在该情况下，也可以限定为ρ^～是单射。另外，ρ(i)是上述访问架构S：＝(M，ρ(i))的ρ(i)。

接下来，说明实施方式中的密码处理系统10(密钥生成装置100、加密装置200、解密装置300)的硬件结构。

图13是示出密钥生成装置100、加密装置200、解密装置300的硬件结构的一个例子的图。

如图13所示，密钥生成装置100、加密装置200、解密装置300具备执行程序的CPU911(Central·Processing·Unit、还称为中央处理装置、处理装置、运算装置、微处理器、微型计算机、处理器)。CPU911经由总线912，与ROM913、RAM914、LCD901(LiquidCrystal Display)、键盘902(K/B)、通信板915、磁盘装置920连接，并控制这些硬件设备。也可以使用光盘装置、存储卡读写装置等存储装置来代替磁盘装置920(固定盘装置)。磁盘装置920经由规定的固定盘接口而连接。

ROM913、磁盘装置920是非易失性存储器的一个例子。RAM914是易失性存储器的一个例子。ROM913、RAM914以及磁盘装置920是存储装置(存储器)的一个例子。另外，键盘902、通信板915是输入装置的一个例子。另外，通信板915是通信装置的一个例子。进而，LCD901是显示装置的一个例子。

在磁盘装置920或者ROM913等中，存储了操作系统921(OS)、视窗系统922、程序群923、文件群924。程序群923的程序由CPU911、操作系统921、视窗系统922执行。

在程序群923中存储了执行在上述的说明中说明为“主密钥生成部110”、“主密钥存储部120”、“信息输入部130”、“解密密钥生成部140”、“密钥分发部150”、“公开参数取得部210”、“信息输入部220”、“加密数据生成部230”、“数据发送部240”、“信息取得部310”、“张成方案计算部320”、“补充系数计算部330”、“解密部340”等的功能的软件、程序以及其他程序。程序由CPU911读出并执行。

在文件群924中，上述的说明中的“公开参数pk”、“主秘密密钥sk”、“解密密钥sk_S，sk_Γ”、“密文ct_Γ，ct_S”、“访问架构S”、“属性信息”、“消息msg”等信息、数据、信号值、变量值、参数被存储为“文件”、“数据库”的各项目。“文件”、“数据库”被存储到盘、存储器等记录介质中。通过CPU911，经由读写电路，将存储在盘、存储器等存储介质中的信息、数据、信号值、变量值、参数读出到主存储器、高速缓存存储器，用于抽出、检索、参照、比较、运算、计算、处理、输出、印刷、显示等CPU911的动作。在抽出、检索、参照、比较、运算、计算、处理、输出、印刷、显示的CPU911的动作的期间，信息、数据、信号值、变量值、参数被临时存储到主存储器、高速缓存存储器、缓冲存储器中。

另外，上述说明中的流程图的箭头的部分主要表示数据、信号的输入输出，数据、信号值被记录到RAM914的存储器、其他光盘等记录介质、IC芯片中。另外，通过总线912、信号线、电缆以及其他传送介质、电波而在线传送数据、信号。

另外，在上述的说明中说明为“～部”的部分既可以是“～电路”、“～装置”、“～设备”、“～单元”、“～功能”，并且也可以是“～步骤”、“～阶段”、“～处理”。另外，说明为“～装置”的部分既可以是“～电路”、“～设备”、“～单元”、“～功能”，并且也可以是“～步骤”、“～阶段”、“～处理”。进而，说明为“～处理”的部分也可以是“～步骤”。即，说明为“～部”的部分也可以通过存储在ROM913中的固件实现。或者，也可以仅通过软件、或者仅通过元件、设备、基板、布线等硬件、或者通过软件和硬件的组合、进而通过与固件的组合来实施。将固件和软件作为程序，存储到ROM913等记录介质中。程序由CPU911读出并由CPU911执行。即，程序使计算机等作为在上述中叙述的“～部”发挥功能。或者，使计算机等执行在上述中叙述的“～部”的阶段、方法。

Claims (11)

1.一种密码系统，具备加密装置和解密装置，其特征在于，

所述加密装置具备密文生成部，该密文生成部生成包括多项式d(x)、多个多项式D_i(x)以及谓词信息的第1信息、和包括属性信息的第2信息中的一方来作为密文，

所述解密装置具备：

多项式选择部，将所述第1信息和所述第2信息中的另一方作为解密密钥，根据所述第1信息中包含的谓词信息、和所述第2信息中包含的属性信息，从所述多个多项式D_i(x)中选择至少一部分的多项式D_i(x)；

系数计算部，计算能够用所述多项式d(x)将基于对所述多项式选择部选择出的多项式D_i(x)乘以系数Δ_i而得到的多项式Δ_iD_i(x)构成的多项式除尽的系数Δ_i；以及

解密部，根据所述系数计算部计算出的系数Δ_i，对所述密文进行解密。

2.根据权利要求1所述的密码系统，其特征在于，

所述多个多项式D_i(x)是关于i＝0，...，L的各整数i的多项式a_i(x)以及多项式b_i(x)，其中，L是1以上的整数，

所述多项式选择部根据所述属性信息和所述谓词信息，选择i＝1，...，L中的一部分的整数i的集合I，从而选择多项式a₀(x)以及多项式b₀(x)、和关于所述集合I中包含的整数i的多项式a_i(x)以及多项式b_i(x)，

所述系数计算部计算能够用所述多项式d(x)将(a₀(x)+∑_i∈Iα_ia_i(x))·(b₀(x)+∑_i∈_Iβ_ib_i(x))除尽的系数α_i以及系数β_i，来作为所述系数Δ_i。

3.根据权利要求2所述的密码系统，其特征在于，

所述多项式d(x)被因式分解为τ＝1，...，m的多项式d_τ(x)^fτ，其中，m是1以上的整数，

所述系数计算部计算能够将(a₀(x)+∑_i∈Iα_ia_i(x))除尽、并且能够将(b₀(x)+∑_i∈Iβ_ib_i(x))除尽的系数α_i以及系数β_i、和次数κ_τ，

所述解密部根据所述系数α_i以及所述系数β_i、和所述次数κ_τ，对所述密文进行解密。

4.根据权利要求2所述的密码系统，其特征在于，

所述属性信息包括关于t＝1，...，d的至少一部分的整数t的属性向量x^→ _t，其中，d是1以上的整数，

所述谓词信息包括关于i＝1，...，L的各整数i的标识符t和谓词向量v^→ _i的组(t，v^→ _i)，

所述多项式选择部针对关于i＝1，...，L的各整数i的所述组(t，v^→ _i)，根据该组的谓词向量v^→ _i和关于该组的识别信息t的属性向量x^→ _t的内积是否为0，判定是否将整数i包含于所述集合I中。

5.根据权利要求4所述的密码系统，其特征在于，

所述组(t，v^→ _i)与肯定形和否定形中的某一个建立对应，

所述多项式选择部在所述组(t，v^→ _i)与肯定形建立有对应的情况下，如果所述内积为0，则将整数i包含于所述集合I中，在所述组(t，v^→ _i)与否定形建立有对应的情况下，如果所述内积不为0，则将整数i包含于所述集合I中。

6.根据权利要求1所述的密码系统，其特征在于，

所述多项式d(x)被因式分解为τ＝1，...，m的多项式d_τ(x)^fτ，其中，m是1以上的整数，

所述第1信息针对每个多项式d_τ(x)^fτ，包括设定了通过该多项式d_τ(x)^fτ得到的信息的要素，

所述解密部根据所述系数Δ_i和所述要素，对所述密文进行解密。

7.根据权利要求6所述的密码系统，其特征在于，

所述第1信息针对每个多项式d_τ(x)^fτ，关于κ＝0，...，f_τ的各整数κ、和i＝0，...，L的各整数i，包括设定了将多项式a_i(x)除以多项式d_τ(x)^κ而得到的余数的要素、和设定了将多项式b_i(x)除以多项式d_τ(x)^fτ-κ而得到的余数的要素。

8.根据权利要求6所述的密码系统，其特征在于，

所述第1信息针对每个多项式d_τ(x)^fτ，包括设定了代入规定的值γ而得到的值的要素。

9.根据权利要求6所述的密码系统，其特征在于，

所述解密部根据所述系数Δ_i，针对所述要素进行规定的运算，从而使通过所述多项式d_τ(x)^fτ得到的信息为0，对所述密文进行解密。

10.一种密码方法，其特征在于，具备：

密文生成工序，加密装置生成包括多项式d(x)、谓词信息以及多个多项式D_i(x)的第1信息、和包括属性信息的第2信息中的一方来作为密文；

多项式选择工序，解密装置将所述第1信息和所述第2信息中的另一方作为解密密钥，基于所述第1信息中包含的谓词信息和所述第2信息中包含的属性信息，从所述多个多项式D_i(x)中选择至少一部分的多项式D_i(x)；

系数计算工序，所述解密装置计算能够用所述多项式d(x)将基于对在所述多项式选择工序中选择出的多项式D_i(x)乘以系数Δ_i而得到的多项式Δ_iD_i(x)构成的多项式除尽的系数Δ_i；以及

解密工序，所述解密装置根据在所述系数计算工序中计算出的系数Δ_i，对所述密文进行解密。

11.一种解密装置，其特征在于，具备：

信息取得部，取得包括多项式d(x)、谓词信息以及多个多项式D_i(x)的第1信息、和包括属性信息的第2信息中的一方来作为密文，取得另一方来作为解密密钥；

多项式选择部，根据所述信息取得部生成的所述第1信息中包含的谓词信息、和所述第2信息中包含的属性信息，从所述多个多项式D_i(x)中选择至少一部分的多项式D_i(x)；

系数计算部，计算能够用所述多项式d(x)将基于对所述多项式选择部选择出的多项式D_i(x)乘以系数Δ_i而得到的多项式Δ_iD_i(x)构成的多项式除尽的系数Δ_i；以及

解密部，根据所述系数计算部计算出的系数Δ_i，用所述解密密钥对所述密文进行解密。