CN107851169A - 计算系统、计算装置、其方法及程序 - Google Patents

Abstract

计算装置接受从第一外部装置输出的第一处理请求，在判定出该第一处理请求满足规定的安全等级前，执行基于该第一处理请求的处理中不伴随向第二外部装置的信息输出的第一处理，在判定出该第一处理请求满足安全等级后，执行基于该处理请求的处理中伴随向第二外部装置的信息输出的第二处理。

Description

计算系统、计算装置、其方法及程序

技术领域

本发明涉及信息安全技术，特别是涉及通过多个装置进行信息处理的技术。

背景技术

已知有通过多个装置进行信息处理的技术(例如，基于云计算的分散计算)(例如，参照非专利文献1)。

现有技术文献

非专利文献

非专利文献1:千田浩司,濱田浩気，五十嵐大，高橋克巳，“軽量検証可能3パーティ秘匿関数計算の再考”，CSS2010，2010.

发明内容

发明所要解决的课题

在该技术中，装置间进行非法的信息的授受时，处理或其结果有可能变成非法，或信息泄露。另一方面，在能够确认装置间授受的信息是合法的之前停止处理，处理速度降低。

本发明的课题是通过多个装置高速且安全地进行信息处理。

用于解决课题的技术方案

计算装置接受处理请求，在判定出该处理请求满足规定的安全等级前，执行基于该处理请求的处理中不伴随向外部装置的信息输出的第一处理，在判定出该处理请求满足安全等级后，执行基于该处理请求的处理中伴随向外部装置的信息输出的第二处理。

发明效果

由此，通过多个装置能够高速且安全地进行信息处理。

附图说明

图1是例示实施方式的计算系统的结构的方框图；

图2是例示实施方式的计算装置的结构的方框图；

图3是例示实施方式的计算方法的流程图；

图4是用于例示实施方式的处理的时序图；

图5是用于例示实施方式的处理的时序图；

图6是用于例示实施方式的处理的时序图。

具体实施方式

以下，参照附图说明本发明的实施方式。

[第一实施方式]

首先，说明第一实施方式。

＜结构＞

如图1例示，本方式的计算系统1具有终端装置11及N个计算装置12－1～12－N，这些通过并非安全的网络13可通信地构成。其中，N是2以上的整数。如图2例示那样，本方式的计算装置12－n(其中，n∈{1，…，N})具有存储单元121－n、输入单元122－n、输出单元123－n、安全性判定单元124－n、第一处理单元125－n、第二处理单元126－n、及取消处理单元129－n。各装置例如通过具备通信装置以及CPU(central processing unit)等处理器(硬件·处理器)、RAM(random-access memory)及ROM(read-only memory)等存储器等的通用或专用的计算机执行规定的程序而构成。该计算机既可以具备1个处理器及存储器，也可以具备多个处理器及存储器。该程序既可以被安装在计算机，也可以事先记录在ROM等。另外，也可以不使用如CPU那样通过读入程序来实现功能结构的电子电路(circuitry)，而使用不利用程序实现处理功能的电子电路，构成一部分或全部的处理单元。另外，构成1个装置的电子电路也可以包含多个CPU。

＜处理＞

本方式中，终端装置11输出请求基于秘密计算等加密协议的处理的查询，计算装置12－1～12－N对于该请求进行并行非同步的处理。收到查询的计算装置12－i(其中，i∈{1，…，N})执行基于该查询(处理请求)的处理，只要需要则向其它的计算装置12－j(其中，j∈{1，…，N})发送消息。收到消息(处理请求)的计算装置12－j执行基于该消息的处理。即，各计算装置12－n(其中，n∈{1，…，N})以查询或消息的输入作为触发，执行各处理。假设在计算装置12－1～12－N间存在进行篡改的可能性，如以下那样进行应对。

如图3例示，在计算装置12－n(图2)的输入单元122－n输入查询或消息(输入单元122－n接受从“第一外部装置”输出的处理请求)，存储在存储单元121－n内(步骤S122－n)。“第一外部装置”意味着终端装置11或任何一个计算装置12－m’(其中，m’∈{1，…，N}、m’≠n)。将其作为触发，安全性判定单元124－n开始判定被输入的查询或消息是否满足规定的安全等级的安全性判定。用于判定查询或消息是否满足规定的安全等级的方法不存在限制。例如，“查询或消息满足规定的安全等级”也可以是该查询或消息是从被信赖的装置(终端装置11或计算装置12－n)发送的情况，也可以是基于拜占庭式协议算法等满足该查询或消息的合法性的情况，也可以是该查询或消息基于规定个以上的装置同意的处理的情况。另外，“消息满足规定的安全等级”也可以是该消息是与被信赖的查询有关的合法的消息的情况。该安全性判定既可以是通过不伴随验证该查询或消息所附加的电子签名等的通信的本地的处理来进行，也可以通过伴随拜占庭协议算法等的通信的处理来进行(步骤S1241－n)。

安全性判定单元124－n监视安全性判定是否已结束(步骤S1242－n)。在判断出安全性判定结束，该查询或消息满足规定的安全等级前，第一处理单元125－n仅执行基于该查询或消息的处理(该查询或消息成为触发的处理)中不伴随向“第二外部装置”的信息输出的“第一处理”。“第二外部装置”意味着终端装置11或任何一个计算装置12－m’(其中，m’∈{1，…，N}、m’≠n)。“第二外部装置”既可以与“第一外部装置”不同，也可以与“第一外部装置”相同。在判定出该查询或消息满足规定的安全等级前，不执行伴随向“第二外部装置”的信息输出(例如，消息或运算结果的输出)的处理。“第一处理”的例子是基于该查询或消息的处理(例如，秘密计算处理、加密处理、解密处理、签名生成处理、或密钥共享处理等)中不伴随通信的本地处理、将基于该查询或消息的“保管信息”存储在存储单元121－n的处理等。“保管信息”既可以是该查询或消息本身，也可以是与其对应的信息，既可以是通过基于查询或消息的本地处理获得的运算结果或错误结果(表示产生了错误的信息)，也可以是与该运算结果或错误结果对应的信息，也可以是发送到“第二外部装置”的消息(步骤S125－n)。

在通过安全性判定单元124－n判定出安全性判定结束，该查询或消息满足规定的安全等级后(步骤S1243－n)，第二处理单元126－n执行基于该查询或消息的处理中伴随向“第二外部装置”的信息输出(消息或处理结果)的“第二处理”。“第二处理”的例子是基于在“第一处理”中存储在存储单元121－n的“保管信息”的处理。例如“第二处理”也可以是将“保管信息”或基于此的运算结果发送至“第二外部装置”的处理，也可以是将其它的运算结果、错误结果、或消息发送至“第二外部装置”的处理。另外，在“第一处理”中发生错误的情况下，存在起因于篡改的可能性，固而也可以取消基于在步骤S122－n输入的查询或消息的计算装置12－n中的内部处理(例如“第一处理”)，并且执行输出请求与该查询或消息对应的全部的“外部处理”的取消的消息(第二处理请求)的“第二处理”。此外，“外部处理”指由任何一个“外部装置”(例如，“第一外部装置”)执行的处理。“外部装置”意味着终端装置11或任何一个计算装置12－m’(其中，m’∈{1，…，N}、m’≠n)。例如，在步骤S122－n，向输入单元122－n输入消息，该消息(处理请求)由基于查询(处理开始请求)的“外部处理”的任一种引起的情况下，也可以执行输出请求全部这些“外部处理”的取消的消息的“第二处理”。基于查询的“外部处理”意味着输入了该查询的“外部装置”基于该查询进行的处理P₁、及输入了基于处理P_w输出的消息的“外部装置”基于该消息进行的处理P_w+1(其中，w是1以上的整数)。通过其它的契机，也可以执行输出请求与输入到输入单元122－n的查询或消息对应的全部“外部处理”的取消的消息的“第二处理”。通过“第二处理”输出的消息或运算结果等从输出单元123－n对任何一个“外部装置”发送(步骤S126－n)。

另一方面，安全性判定单元124－n判定出查询或消息不满足规定的安全等级的情况下，取消处理单元129－n取消基于在步骤S122－n输入的查询或消息的计算装置12－n中的内部处理(例如取消“第一处理”)(取消处理)。该情况下，也可以删除存储于存储单元121－n的“保管信息”，也可以输出表示错误的消息。该消息从输出单元123－n对任何一个“外部装置”发送。另外，在判定出基于查询(处理开始请求)的“外部处理”的任何一个引起的消息(处理请求)不满足上述的安全等级的情况下，取消处理单元129－n也可以输出请求全部的该“外部处理”的取消的消息(第二处理请求)。该消息从输出单元123－n对执行了该“外部处理”的“外部装置”发送(步骤S129－n)。

《整体处理的例1》

图4的例子中，从终端装置11输出的查询输入到计算装置12－1(图3：步骤S122－1)。计算装置12－1在判定出该查询满足安全等级前，仅执行基于该查询的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－1)，在判定出该查询满足安全等级后，执行基于该查询的处理中伴随向“第二外部装置”的信息输出的“第二处理”(步骤S126－1)。基于步骤S126－1的“第二处理”，从计算装置12－1对计算装置12－2～12－N发送消息，输入到计算装置12－z(其中，z∈{2，…，N})(步骤S122－z)。计算装置12－z在判定出该消息满足安全等级前，执行基于该消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－z)，在判定出该消息满足安全等级后，执行基于该消息的处理中伴随向“第二外部装置”的信息输出的“第二处理”(步骤S126－z)。基于步骤S126－z的“第二处理”，从计算装置12－z对任何一个计算装置12－y(y∈{1，…，N}，y≠z)发送消息。之后，进行同样的处理，计算装置12－1输出处理的结果，输入到终端装置11。

《整体处理的例2》

在图5的例子中，与上述同样，在向计算装置12－N输入消息(步骤S122－N)，判定出该消息满足安全等级前，只执行基于该消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－N)。然而，之后判定为该消息不满足安全等级，执行在计算装置12－N中的“第一处理”的取消处理，错误消息被发送到计算装置12－1。

《整体处理的例3》

图6的例子中，与上述同样，在向计算装置12－N输入消息(步骤S122－N)，判定出该消息满足安全等级前，只执行基于该消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－N)。但是，假设在该“第一处理”中发生了错误。之后，判定出该消息满足了安全等级后，计算装置12－N执行输出请求基于从终端装置11输出的查询的全部“外部处理”的取消的消息的“第二处理”。计算装置12－N执行内部处理的取消，计算装置12－1～12－(N－1)基于请求取消的消息，执行各内部处理的取消。

《整体处理的例4》

或者，在图6的例子中，在向计算装置12－N输入消息(步骤S122－N)，判定出该消息满足安全等级前，只执行基于该消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－N)，假设在该“第一处理”中未发生错误。之后，在判定为该消息不满足安全等级的情况下，不执行第二处理，计算装置12－N输出请求基于从终端装置11输出的查询的全部的“外部处理”的取消的消息(步骤S129－N)。计算装置12－N执行内部处理的取消，计算装置12－1～12－(N－1)基于请求取消的消息，执行各内部处理的取消。

＜本方式的特征＞

本方式中，在判定出查询或消息满足规定的安全等级前不执行伴随向“第二外部装置”的信息输出的“第二处理”。因此，即使在该查询或消息是非法的情况下，基于以其作为触发而进行的非法处理的消息等也不被发送到“第二外部装置”。由此，能够防止扩大基于非法的查询或消息的影响。另一方面，在判定出查询或消息满足上述的安全等级前执行不伴随向“第二外部装置”的信息输出的“第一处理”。由此，能够在不向“第二外部装置”扩大基于非法的查询或消息的影响的范围内推进处理，能够抑制上述的判定的处理延迟。即，能够在不扩大基于非法的查询或消息的影响的安全的范围内提供最早的处理开始定时。由此，能够通过多个装置高速且安全地进行信息处理。

即使在判定出所输入的查询或消息满足上述的安全等级的情况下，在“第一处理”中有时也发生错误。该情况下，尽管不能发现所输入的查询或消息的非法性，但与该查询或消息对应的“外部处理”有可能为非法。另一方面，尽管“外部处理”为合法，但因成为“第一处理”的触发的查询或消息为非法，所以也有在“第一处理”中发生错误的情况。例如，因故意取消合法的“外部处理”(例如，“第一外部装置”的处理)，所以也有可能输入了非法的查询或消息。还具有仅通过“外部处理”，获得某些最终的结果的情况。因此，在本方式中，即使是在“第一处理”中发生了错误的情况下，在判定出输入到输入单元122－n的查询或消息(第一处理请求)满足上述的安全等级前，不向“外部装置”(例如，“第一外部装置”)发送请求与该查询或消息对应的“外部处理”(例如，第一外部装置进行的处理)的取消的消息(第二处理请求)。即，取消处理单元129－n即使在“第一处理”中发生了错误的情况下，在判定出“第一处理请求”满足第一安全等级前，也不会输出请求“外部装置”(例如，“第一外部装置”)进行的处理的取消的“第二处理请求”，在“第一处理”中发生错误，且判定出“第一处理请求”满足“第一安全等级”后，将“第二处理请求”输出到“外部装置”(例如，“第一外部装置”)。换句话说，即使在“第一处理”中发生了错误的情况下，在判定出输入到输入单元122－n的查询或消息(第一处理请求)不满足上述的安全等级的情况下，取消处理单元129－n也不输出请求“外部处理”(例如，第一外部装置进行的处理)的取消的消息(第二处理请求)。由此，能够防止通过非法的查询或消息，非法取消“外部处理”的情况。另一方面，在判定出查询或消息满足上述的安全等级后，请求与成为发生了错误的“第一处理”的触发的查询或消息对应的全部“外部处理”的取消(第二处理)。由此，能够在可确认不是非法的取消请求的最早的定时，取消有可能包含非法的处理的“外部处理”。

在误判定为向“外部装置”输入的查询或消息满足上述的安全等级的情况或伪造出满足上述的安全等级的情况下，还具有从该“外部装置”向计算装置12－n输入非法的消息的情况。在判定出输入到计算装置12－n的消息不满足上述的安全等级的情况下，通过进行与这样的消息对应的全部“外部处理”的取消，能够取消这种“外部装置”的处理。

[第二实施方式]

本方式是第一实施方式的变形例，是在经过规定的时间前判定出查询或消息满足安全等级的情况下，执行“第二处理”的方式。以下，以和此前说明的事项的不同点为中心进行说明，对于和已经说明的事项共同的事项使用已用的参照序号，使说明简略。

＜结构＞

如图1例示，本方式的计算系统2具有终端装置11及N个计算装置22－1～22－N，它们通过并非安全的网络13可通信地构成。如图2例示的那样，本方式的计算装置22－n(其中，n∈{1，…，N})具有存储单元121－n、输入单元122－n、输出单元123－n、安全性判定单元224－n、第一处理单元125－n、第二处理单元126－n、及取消处理单元129－n。

＜处理＞

如图3例示那样，执行在第一实施方式说明了的步骤S122－n及S1241－n，安全性判定单元224－n监视安全性判定是否已结束，以及是否经过了规定时间(步骤S1242－n，S227－n)。第一处理单元125－n在判定出经过了规定的时间或判定出安全性判定结束，该查询或消息满足规定的安全等级前，只执行基于该查询或消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”(步骤S125－n)。

安全性判定单元224－n判定出经过规定的时间前安全性判定结束，该查询或消息满足上述的安全等级的情况下(步骤S1242－n，步骤S1243－n)，执行第一实施方式中说明了的“第二处理”(步骤S126－n)。另一方面，判定出经过了规定的时间的情况下(步骤S227－n)，或判定为在经过规定的时间前安全性判定结束，该查询或消息未满足规定的安全等级的情况下(步骤S1242－n，步骤S1243－n)，执行在第一实施方式说明的“取消处理”(步骤S129－n)。

＜本方式的特征＞

本方式中，在经过规定的时间前安全性判定没有结束的情况下也执行“取消处理”。因此，能够防止因非法的查询或消息，安全性判定长期化，作为结果处理延迟的情况。另一方面，至判定出经过了该规定的时间，或判定出安全性判定结束，且该查询或消息满足规定的安全等级前的期间，执行“第一处理”。在经过该规定的时间前判定出该查询或消息满足安全等级的情况下，执行“第二处理”。由此，能够通过多个装置高速且安全地进行信息处理。

[第三实施方式]

说明第三实施方式。本方式的“第一处理”包含使用随机数r的隐匿值[r]和运算对象信息(被运算符)的函数值f_i的隐匿值[f_i]，得到函数值f_i和随机数r的积算值f_ir的隐匿值[f_ir]，得到包含将隐匿值[f_i]和隐匿值[f_ir]作为一组的随机化隐匿值<f_i>的校验和C:＝<f₀>，…，<f_μ-1>的处理。“第二处理”包含基于隐匿值[f_i]的总和乘以隐匿值[r]的隐匿值和包含于校验和C的隐匿值[f_ir]的总和即隐匿值[ψ]，验证校验和C的处理。其中，μ是1以上的整数，i是满足0≤i＜μ的整数，“隐匿值”指依据秘密分散方式的秘密隐匿值。

本方式中处理的值只要没有特别说明，为R上的值。R是环。A是R上结合多元环(algebra)。结合多元环是结合的环，且具有与其并存的任何一个域上的线性空间的构造。可以说，结合多元环在向量空间内处理的值不是在域中而最好是环中。

用X_i(下标)参照向量X的第i要素。

[x]是值x∈R的隐匿值。隐匿值也可以是依据秘密分散方式使值隐匿化的分散值(秘密分散值)，也可以是依据同态加密方式加密值的加密文。X是集合的情况下，[X]是使集合X的各要素隐匿化的集合。

|X|是集合X的要素数。

<x>是值x∈R的随机化隐匿值。随机化隐匿值是隐匿值[x]、值x和随机数r∈A的积算值xr的隐匿值[xr]的组。因此，随机化隐匿值能够定义为以下的式(1)。

随机化隐匿值的第0成分(式(1)的[x])是R成分，第一成分(式(1)的[xr])也称为A成分。

将随机数r∈A作为参数的随机化隐匿值的空间设为<Rr>。

此外(左边)：＝(右边)意味着将(右边)定义为(左边)的值。

＜结构＞

如图1例示的那样，本方式的计算系统3具有终端装置11及N个计算装置32－1～32－N，它们通过并非安全的网络13可通信地构成。其中，N是2以上的整数。如图2例示那样，本方式的计算装置32－n(其中，n∈{1，…，N})具有存储单元121－n、输入单元122－n、输出单元123－n、安全性判定单元324－n、第一处理单元325－n、第二处理单元326－n、及取消处理单元129－n。

以下表示“隐匿值”是分散值(秘密分散值)的例子。终端装置11输出请求遵循秘密计算等加密协议的处理的查询或消息，计算装置32－1～32－N对该请求进行并行非同步的处理。M个分散值[a₀]，…，[a_M-1](M≥1)与查询或消息一起输入到计算装置32－n(1≤n≤N)具备的输入单元122－n。分散值[a_m](0≤m＜M)是将值a_m进行秘密分散的分散值。秘密分散的方法需要是隐匿计算上可进行加法、乘法、积和、随机置换的各运算的秘密分散方式，但只要可进行这些运算，则是哪种秘密分散方式都可以。对于可应用的秘密分散方法的细节请参照非专利文献1。被输入的分散值[a₀]，…，[a_M-1]的个数M通过隐匿计算的内容适当确定。

被输入的分散值[a₀]，…，[a_M-1]及查询或消息存储在存储单元121－n(步骤S122－n)。将其作为触发，安全性判定单元324－n开始判定被输入的查询或消息是否满足规定的安全等级的安全性判定。判定终端装置11输出的查询是否满足规定的安全等级的安全性判定与第一实施方式相同。另一方面，判定任一个计算装置32－1～32－N输出的消息是否满足规定的安全等级的安全性判定例如也可以基于输出消息的计算装置中的校验和的验证结果(细节后述)进行(步骤S3241－n)。

安全性判定单元124－n监视安全性判定是否结束(步骤S1242－n)。分散值[a₀]，…，[a_M-1]被输入到第一处理单元325－n，第一处理单元325－n在判定出上述的安全性判定结束，且该查询或消息满足规定的安全等级前，只执行基于该查询或消息的处理(该查询或消息成为触发的处理)中不伴随向“第二外部装置”的信息输出的“第一处理”。“第二外部装置”意味着终端装置11或任何一个计算装置32－m(其中，m∈{1，…，N}、m≠n)。在本方式的情况下，第一处理单元325－n首先生成选自结合多元环A的随机数r∈A的分散值[r]。分散值[r]的生成从哪个计算装置32－1，…，32－N开始，都必须在随机数r被隐匿的状态下进行。例如，计算装置32－1，…，32－N能够协调而生成随机数r的分散值[r]。具体而言，首先，计算装置32－n分别生成随机数r_n。接着，通过非专利文献1记载的隐匿方法生成随机数r_n的分散值[r_n]。计算装置32－n分别计算[r]＝Σ_n<N[r_n]，获得随机数r的分散值[r]。按照这样的构成，哪一个计算装置32－1，…，32－N都不知道随机数r，而能够获得随机数r的分散值[r]。另外，只要许可事前的随机数共享或伪随机数的利用，利用复制式秘密分散(replicated secret sharing)能够生成随机数r的分散值[r]。如果利用复制式秘密分散，则能够以没有计算装置32－1，…，32－N间的通信的方式生成随机数r的分散值[r]。对于复制式的秘密分散的细节，请参照“R.Cramer,I.Damgard,and Y.Ishai,“Shareconversion,pseudorandom secret-sharing and applications to securecomputation”,TCC,Vol.3378of Lecture Notes in Computer Science,pp.342-362,Springer,2005.(参考文献1)”。接着，第一处理单元325－n使用分散值[a₀]，…，[a_M-1]和分散值[r]，生成随机化隐匿值<a₀>，…，<a_M-1>。例如，第一处理单元325－n对于m＝0，…，M-1，使用分散值[a_m]和分散值[r]，通过非专利文献1记载的隐匿计算方法求出[a_mr]＝[a_m]×[r]，以分散值[a_m]和分散值[a_mr]为一组，生成随机化隐匿值<a_m>＝([a_m]，[a_mr])。第一处理单元325－n对于随机化隐匿值<a₀>，…，<a_M-1>，执行至少包含一个隐匿运算的函数F求出被隐匿的函数值[F([a₀]，…，[a_M-1])]。此时，第一处理单元325－n根据隐匿运算的内容将运算对象及运算结果的随机化隐匿值<f_i>作为校验和C:＝<f₀>,…,<f_μ-1>的要素。在此，μ是包含于校验和C的随机化隐匿值的数。μ的值在每次更新校验和C时进行相加。f_i(其中，0≤i<μ)是运算对象(被运算符)的函数值。例如，函数F中进行加法、常数倍的隐匿计算的情况下，加法、常数倍的隐匿计算与对于环R上的分散值的加法一样，不和其它的计算装置32－n通信就能够执行。例如，第一处理单元325－n将随机化隐匿值<a>及<b>分别设为随机化隐匿值<a₀>，…，<a_M-1>的任一个或从随机化隐匿值<a₀>，…，<a_M-1>的任一个获得的随机化隐匿值，将γ设为任意的常数，通过以下式(2)计算随机化隐匿值<γa+b>，计算结果的随机化隐匿值<γa+b>的R成分[γa+b]包含于函数值[F([a₀]，…，[a_M-1])]的情况下，根据式(3)将随机化隐匿值<γa+b>作为校验和C的要素。在加法、常数倍的隐匿计算中，通过在计算装置32－n内部的运算能够实现。

<γa+b>:＝(γ[a]+[b],γ[ar]+[br])

C:＝C∪<γa+b＞ (3)

所得的函数值[F([a₀]，…，[a_M-1])]和校验和C向第二处理单元326－n输出(步骤S325－n)。

通过安全性判定单元324－n判定出安全性判定结束，查询或消息不满足规定的安全等级的情况下，执行上述的步骤S129－n的处理。另一方面，通过安全性判定单元324－n判定出安全性判定结束，查询或消息满足规定的安全等级的情况(步骤S1243－n)下，第二处理单元326－n执行基于该查询或消息的处理中伴随向“第二外部装置”的信息输出(消息或处理结果)的“第二处理”。

第二处理单元326－n例如也可以进行函数F的乘法隐匿计算。乘法的隐匿计算通过环R上乘法和标量乘法实现。例如，第二处理单元326－n将随机化隐匿值<a>及<b>分别作为随机化隐匿值<a₀>，…，<a_M-1>的任一个或从随机化隐匿值<a₀>，…，<a_M-1>的任一个获得的随机化隐匿值，通过以下的式(4)，更新校验和C，根据式(5)计算随机化隐匿值<ab>，在计算结果的随机化隐匿值<ab>的R成分[ab]包含于函数值[F([a₀]，…，[a_M-1])]的情况下，通过式(6)将随机化隐匿值<ab>作为校验和C的要素。

C:＝C∪{<a>，<b>} (4)

<ab＞：＝([a][b]，[a][br]) (5)

C:＝C∪＜ab> (6)

在乘法的隐匿计算中，关于随机化隐匿值<a>，不使用A成分即[ar]。计算[ar][br]时，成为[abr²]，随机数r的次数变化。为了避免这样，在A成分中计算[a][br]＝[abr]。环R上乘法能够应用在“R.Gennaro,M.O.Rabin,and T.Rabin,“Simplified vss and fact-track multiparty computations with applications to threshold cryptography”,PODC,pp.101-111,ACM,1998.(参考文献2)”和“I.Damgard and J.B.Nielsen,“Scalableand unconditionally secure multiparty computation”,CRYPTO,Vol.4622of LectureNotes in Computer Science,pp.572-590,Springer,2007.(参考文献3)”记载的方法。将计算装置32－n的总数设为N，将恢复所需的计算装置32－n的数量设为k，在参考文献2记载的方法中，对于进行一轮通信量O(N²)，在参考文献3记载的方法中进行三轮通信量O(N)，所以在通信量的观点上参考文献2记载的方法优异。但是，更准确地说，参考文献2记载的方法通信量是N(N-1)，参考文献3记载的方法通信量是N(N-1)/k+6(N-1)，在N小的情况下，有时参考文献2记载的方法高效。

结合多元环A上的乘法只要是使用复制式秘密分散的情况，因A是环而毫无问题地可进行semi-honest乘法。另外，如果A是域，则即使使用Shamir秘密分散也没有特别的问题。在使用Shamir秘密分散的情况下，A不是域时，不是显而易见，但A简单地是R^q的情况等对每个成分进行R上乘法即可。标量乘法是根据[a]∈[R]，[b]∈[A]计算[ab]∈[A]的运算。A只要对R的环的同态R'作为R'的q维向量表现，则标量乘法是容易的。将R→R'的同态映像设置为h，设置为[b]＝([b₀]，…，[b_q-1])。如果将使h对[a]的各方的份额起作用者设为[h(a)]，根据同态性，[h(a)]属于[R']。即，[ab]:＝([h(a)][b₀]，…，[h(a)][b_q-1])。h是本地计算，所以通信量在R'上相乘q次(或A上相乘1次)，轮数是1。A为扩展域的情况是满足该条件的最简单的情况。该情况下，能够将h作为恒等映像，为[ab]:＝([a][b₀]，…，[a][b_q-1])。

第二处理单元326－n例如也可以进行函数F的积和的隐匿计算。积和的隐匿计算通过环R上积和与标量积和实现。具体而言，第二处理单元326－n将L设为2以上M以下的整数，随机化隐匿值<α₀>，…，<α_L-1>，<β₀>，…，<β_L-1>分别作为随机化隐匿值<a₀>，…，<a_M-1>的任一个或从随机化隐匿值<a₀>，…，<a_M-1>的任一个获得的随机化隐匿值，通过以下的式(7)更新校验和C，通过式(8)计算随机化隐匿值<Σ_i<Lα_iβ_i>，计算结果的随机化隐匿值<Σ_i<Lα_iβ_i>的R成分[Σ_i<Lα_iβ_i]包含于函数值[F([a₀]，…，[a_M-1])]的情况下，通过式(9)，将随机化隐匿值<Σ_i<Lα_iβ_i>设为校验和C的要素。

C：＝C∪{<α_i>}_0＜i＜I，∪{<β_i>}_O＜i＜I， (7)

环R上积和能够使用环R上乘法实现。环R上积和的通信量与一次环R上乘法的通信量相同。标量积和能够使用标量乘法实现。标量积和的通信量与一次标量乘法的通信量相同。关于随机化隐匿值<α_i>，不使用A成分即[α_ir]是因为根据与乘法单元142同样的理由，避免随机数r的次数变化。

第二处理单元326－n例如也可以进行函数F的随机置换的隐匿计算。对于随机化隐匿值的随机置换是对于随机化隐匿值的R成分及A成分进行相同的随机置换的处理。例如，第二处理单元326－n将L设为2以上M以下的整数，将<α₀>，…，<α_L-1>分别作为随机化隐匿值<a₀>，…，<a_M-1>的任一个或从随机化隐匿值<a₀>，…，<a_M-1>的任一个获得的随机化隐匿值，将π设为至0以上且小于L的整数的集合的映像，通过以下的式(10)更新校验和C，通过式(11)(12)计算随机化隐匿值<α_π(i)>，计算结果的随机化隐匿值<α_π(i)>的R成分[α_π(i)]包含于函数值[F([a₀]，…，[a_M-1])]的情况下，通过式(13)将随机化隐匿值<α_π(i)>作为校验和C的要素。

C:＝C∪{<α_i>}_0≤i<L (10)

计算{([α_π(i)])}_0≤i<L,{([α_π(i)r])}_0≤i<L (11)

{<α_π(i)>}_0≤i<L:＝{([α_π(i)],[α_π(i)r])}_0≤i<L (12)

C:＝C∪{<απ_(i)>}_0≤i<L (13)

随机置换的隐匿计算能够应用“濱田浩気,五十嵐大,千田浩司,高橋克巳,“3パーティ秘匿関数計算のランダム置換プロトコル”,CSS2010,2010.(参考文献4)”记载的方法。

第二处理单元326－n通过使用分散值[r]验证校验和C，证明函数值[F([a₀]，…，[a_M-1])]的合法性。校验和C的验证基于对包含于校验和C的分散值[f₀]，…，[f_μ-1]的总和乘以分散值[r]的分散值包含于校验和C的分散值[f₀r]，…，[f_μ-1r]的总和即分散值[ψ]进行。

第二处理单元326－n例如如下验证校验和C。首先，生成结合多元环A上的μ个随机数ρ₀，…，ρ_μ-1的分散值[ρ₀]，…，[ρ_μ-1]。分散值[ρ₀]，…，[ρ_μ-1]的生成从哪个计算装置32－n开始都必须在随机数ρ₀，…，ρ_μ-1被隐匿的状态下进行。分散值[ρ₀]，…，[ρ_μ-1]的生成通过与上述的分散值[r]的生成同样的方法进行即可。

接着，第二处理单元326－n使用包含于校验和C的分散值[f₀]，…，[f_μ-1]和分散值[ρ₀]，…，[ρ_μ-1]和分散值[r]，根据以下的式(14)求出分散值

另外，使用包含于校验和C的分散值[f₀r]，…，[f_μ-1r]和分散值[ρ₀]，…，[ρ_μ-1]，根据以下的式(15)求出分散值[ψ]。

接着，第二处理单元326－n复原减去了分散值和分散值[ψ]的分散值复原的方法通过与各分散值对应的秘密分散方式的复原操作进行即可，此时，通过malicious模型保证合法性。具体而言，全部的计算装置32－1，…，32－N的第二处理单元326－1，…，326－N彼此向其它的计算装置的第二处理单元发送分散值[δ]，通过确认分散值的连贯性，保证完全的合法性。该情况下，将计算装置32－n的总数设为N，将复原需要的计算装置32－n的数量设为k，总通信量是N(N-1)。此时，只要使用概率的方法，在分散值的数据量大时，就能够将总通信量作为N(k-1)。此外，如上述的参考文献3记载的隐匿计算那样，还存在包含无法保证合法性的复原的semi-honest运算，但作为隐匿计算的结构要素，即使包含无法保证合法性的复原，对隐匿计算整体的安全性也无影响。

在全部的计算装置32－1，…，32－N中还原的值δ只要为0，则第二处理单元326－n判断出在隐匿计算整体上没有篡改。在任何一个计算装置32－1,…,32－N中恢复的值δ只要是0以外，第二处理单元326－n判断出在隐匿计算时进行了篡改。验证了校验和C的结果，在判定出没有篡改的情况下向输出单元123－n输出函数值[F([a₀]，…，[a_M-1])]。在判断出有篡改的情况下向输出单元123－n输出表示其主旨的信息(例如，“⊥”等)。输出单元123－n输出表示判断出没篡改的情况的函数值[F([a₀]，…，[a_M-1])]或判断出有篡改的主旨的信息(步骤S326－n)。

表示判断出没有篡改时的函数值[F([a₀]，…，[a_M-1])]或判断出有篡改的主旨的信息，即表示校验和C的验证结果的信息作为消息(处理请求)的一部分也可以发送到其它的任何一个计算装置32－j’(其中，j’∈{1，…，N})。该情况下，包含表示校验和C的验证结果的信息的消息被输入到计算装置32－j’的输入单元122－j’(步骤S122－j’)，安全性判定单元324－j’使用表示该校验和C的验证结果的信息进行安全性判定(步骤S3241－j’)，之后，也可以进行步骤S1242－j’，S325－j’，S1243－j’，S129－j’，S326－j’的处理。即，计算装置32－j’的输入单元122－j’接受从计算装置32－n输出的第三处理请求，安全性判定单元324－j’判定第三处理请求是否满足规定的第二安全等级。安全性判定单元324－j’至少基于校验和C的验证结果，判定是否满足第二安全等级。在第一处理单元325－j’判定出第三处理请求满足第二安全等级前，执行基于第三处理请求的处理中不伴随向第三外部装置的信息输出的第三处理。“第三外部装置”意味着终端装置11或任何一个计算装置32－j”(其中，j”∈{1，…，N}、j”≠j’)。第一处理单元326－j’判定出第三处理请求满足第二安全等级后，执行基于第三处理请求的处理中伴随向第三外部装置的信息输出的第四处理。其中，μ’是1以上的整数，i’是满足0≤i’＜μ’的整数。第三处理包含使用随机数r’的隐匿值[r’]和第二运算对象信息的函数值f_i’的隐匿值[f_i’]，获得函数值f_i’和随机数r’的积算值f_i’r’的隐匿值[f_i’r’]，得到包含以隐匿值[f_i’]和隐匿值[f_i’r’]为一组的随机化隐匿值<f_i’>的校验和C’:＝<f₀’>，…，<f_μ-1’>的处理。第四处理包含基于对隐匿值[f_i’]的总和乘以隐匿值[r’]的隐匿值和包含于校验和C’的隐匿值[f_i’r’]的总和即隐匿值[ψ’]，验证校验和C’的处理。

另外，包含表示校验和C的验证结果的信息的消息没有发送到计算装置32－j’，在安全性判定单元324－n中的校验和C的验证结束前，也可以将没有包含表示校验和C的验证结果的信息的消息输入到计算装置32－j’的输入单元122－j’，先进行在计算装置32－j’的第一处理单元325－j’中的处理。在安全性判定单元324－n中的校验和C的验证已结束的情况下，也可以将包含表示该校验和C的验证结果的信息的消息输入到计算装置32－j’的输入单元122－j’，安全性判定单元324－j’使用表示该校验和C的验证结果的信息进行安全性判定(步骤S3241－j’)，之后，进行步骤S1242－j’，S325－j’，S1243－j’，S129－j’，S326－j’的处理。即，计算装置32－n在校验和C的验证结束前，输出第三处理请求，第一处理单元325－j’在校验和C的验证结束前执行第三处理。

说明合法性证明的基本的想法。校验和的验证是在关注于随机化隐匿值的每一个时，验证是否[f_i][r]-[f_ir]＝0的验证。在此，在考虑分散值[f_i]和分散值[f_ir]都被篡改，成为[f_i+x]和[f_ir+y]的情况时，通过验证获得的值为式(16)。

[f_i+x][r]-[f_ir+y]＝[xr-y] (16)

攻击者必须以该xr-y的值为0的方式符合道理地操作[f_i]和[f_ir]，攻击者因不知道随机数r∈A，所以能够满足它的概率为1/|A|。但在该实施方式中因乘以随机数ρ₀，…，ρ_μ-1，所以整体篡改成功概率至多为2/|A|。

[第四实施方式]

在秘密计算协议的计算中，比现有加密协议多的计算装置(组)彼此进行通信。这些计算再通过多个下位协议(下位的处理模块或处理模块间的通信)的组合执行，在多数情况下通过伴随通信的数千组的下位协议的组合进行。因串行处理这种下位协议的处理，所以需要数千段的通信。因此，在秘密计算技术中，除了现有的加密协议以外，要求用于削减通信的段数而高速化的非同步并行处理的执行(请求1)。

但是，由于该下位协议的多少，另外因为有效利用能够根据下位协议任意构成多样的上位协议(上位的处理模块或处理模块间的通信)这种秘密计算的特征，所以在每次通过秘密计算技术设定个别的处理时，不优选人设计该处理的非同步并行处理的顺序(时间表)。因此，对于实现任意的处理的下位协议的任意的组合，要求装置自动且高速地进行非同步并行处理调度(请求2)。

另外，由于秘密计算协议也是加密协议，所以需要是安全的。具体而言，有两个条件。第一，在秘密计算协议中大多是多个计算装置间共用伪随机数，但为了减少通信量，希望不进行通信而共用伪随机数。这种伪随机数在不同的处理之间彼此不相关(例如，不同)，需要在进行相同的处理的多个计算装置间一致(请求3)。

第二是“不进行未确认可以进行处理的处理”的情况。为了满足该条件而具有两个难度。其一，由于下位协议的个数多，另外，根据下位协议能够构成多种上位协议，所以与非同步并行处理调度相同地针对每个处理内容设计个别的验证逻辑是不适合的。即，需要通过通用的验证确认“是否可以进行处理”(请求4)。其二，在不是加密协议的通常的非同步并行处理中，只要在通信数据中记述处理对象的数据和命令，接收侧即使不知道任何情况都能执行处理。但是，在不能信赖其它的计算装置为前提的加密协议中，始终遵循从其它的计算装置发送的通信数据的命令是不合适的。另外，在各下位协议非同步并行操作的情况下，提前进行验证逻辑的执行需要的通信数据的通信，虽然这种通信数据到达了执行验证逻辑的计算装置，但还存在还未达到执行验证逻辑的阶段这种情况。因此，需要暂时保存计算装置接收的通信数据，在执行验证逻辑的阶段检索它的所谓保存、检索这种特别的处理(请求5)。本方式中，提出满足这些请求1～5的方法。

＜结构＞

如图1例示，本方式的计算系统4具有终端装置11及N个计算装置42－1～42－N，它们通过并非安全的网络13可通信地构成。如图2例示那样，本方式的计算装置42－n(其中，n∈{1，…，N})具有存储单元121－n、输入单元122－n、输出单元123－n、安全性判定单元424－n、第一处理单元425－n、第二处理单元426－n、及取消处理单元129－n。

＜前处理＞

作为前处理，计算装置42－1，…，42－N的第一处理单元425－1，…，425－N共用伪随机数的种子。伪随机数的种子是使用随机数生成协议等在计算系统4的外部生成的。通过将该种子和初始向量(起始向量)输入到伪随机数生成算法，生成与该种子和初始向量的组合对应的伪随机数。

另外，事先确定表示基于查询的消息(处理请求)的命令内容的第一标识符。只要命令内容被特定，则表示它的第一标识符也唯一确定。即，命令内容和第一标识符一一对应。另外，也事先设定表示构成基于查询或消息(处理请求)的协议(处理)的原子协议(基本处理)的第二标识符。原子协议即意味着不存在其下位协议的协议。即，原子协议不参照其它的下位协议执行。原子协议只要被特定，表示它的第二标识符也唯一确定。即，原子协议和第二标识符一一对应。也事先设定实现基于查询或消息的各处理(上位协议)的下位协议及其执行顺序，或成为通过确定的算法可唯一确定的状态。

＜处理＞

本方式中，终端装置11及计算装置42－1～42－N如上述那样非同步并行地执行处理，构成该处理的各原子协议也非同步并行地进行操作。任何的计算装置42－j’(其中，j’∈{1，…，N})在输出构成基于规定的查询或消息的处理(上位协议)的各原子协议的各通信数据的情况下，第一处理单元425－j’设定表示基于该查询或消息的命令内容的第一标识符IDa(表示基于第一处理请求的命令内容的标识符IDa)，表示构成基于该查询或消息的处理的各原子协议的第二标识符IDb(表示构成基于第一处理请求的处理的基本处理的标识符IDb)，与按照通信该通信数据的原子协议以规定的顺序进行的处理内容对应的第三标识符IDc(与将该通信数据进行通信的基本处理中以规定的顺序进行的处理内容对应的标识符IDc)。

如上述，由于事先设定与命令内容对应的第一标识符，所以第一处理单元425－j’能够唯一特定与基于查询或消息的命令内容对应的第一标识符IDa。由于表示各原子协议的第二标识符也被事先确定，且也能够串行(Cereal)且唯一确定实现基于查询或消息的各处理(上位协议)的下位协议及其执行顺序，所以第一处理单元425－j’也能够唯一特定构成该处理的各原子协议的第二标识符IDb。由于各原子协议执行的处理(串行的处理)的顺序也被事前确定，所以只要将与各原子协议执行的处理的顺序以一对一方式对应的值(例如，表示顺序的连续序号、顺序的函数值、顺序的单射的像等)设为第三标识符，第三标识符IDc也唯一确定。即，第一处理单元425－j’不和外部进行通信而能够设定ID＝[IDa，IDb，IDc]。[IDa，IDb，IDc]相对于按照对通信数据进行通信的各原子协议进行的各处理内容一个一个生成。即，[IDa，IDb，IDc]各自对应于对上述的通信数据进行通信的原子协议的各个处理内容。

第一处理单元425－j’输出包含设定的[IDa，IDb，IDc]的通信数据(例如，在标题中包含[IDa，IDb，IDc]的通信数据)。包含[IDa，IDb，IDc]的通信数据从输出单元123－j’输出，发送到计算装置42－n(其中，n∈{1，…，N})。包含[IDa，IDb，IDc]的通信数据输入到计算装置42－n的输入单元122－n，存储在存储单元121－n。该通信数据还被用于与其对应的查询或消息是否满足第一安全等级的判定。

任何计算装置42－j(其中，j∈{1，…，N})输出规定的查询或消息，它被发送到了计算装置42－n的情况下，该查询或消息(第一处理请求)被输入到输入单元122－n(步骤S122－n)，发送到安全性判定单元424－n。以其作为触发，安全性判定单元424－n开始被输入的查询或消息是否满足规定的安全等级的安全性判定(步骤S4241－n)。首先，安全性判定单元424－n生成表示基于该查询或消息的命令内容的标识符IDa’、表示构成基于该查询或消息的处理的原子协议(基本处理)的每一个的标识符IDb’、与按照原子协议的每一个以规定的顺序进行的处理内容对应的标识符IDc’，生成包含ID’＝[IDa’，IDb’，IDc’]的元数据meta[IDa’，IDb’，IDc’]存储在存储单元121－n。另外，元数据也可以包含由原子协议使用的格式的信息等。安全性判定单元424－n按照基于该查询或消息的命令内容的处理串行地特定ID’＝[IDa’，IDb’，IDc’]。安全性判定单元424－n在将查询或消息输入到输入单元122－n后，与[IDa，IDb，IDc]同样，不和外部进行通信，能够生成[IDa’，IDb’，IDc’]。[IDa’，IDb’，IDc’]相对于按照构成基于该查询或消息的处理的各原子协议进行的各处理内容一个一个生成。即，[IDa’，IDb’，IDc’]的各自与按照构成基于该查询或消息的处理的各原子协议进行的各个处理内容对应。元数据meta[IDa’，IDb’，IDc’]的其它的要素也已知，安全性判定单元424－n不和外部进行通信，能够设定元数据meta[IDa’，IDb’，IDc’]。安全性判定单元424－n将元数据meta[IDa’，IDb’，IDc’]存储在存储单元121－n。此外，计算装置32－1～32－N由于进行并行非同步的处理，所以在将元数据meta[IDa’，IDb’，IDc’]存储在存储单元121－n的时刻，还有包含[IDa，IDb，IDc]的全部通信数据没有被存储在存储单元121－n的情况。即，在将元数据meta[IDa’，IDb’，IDc’]存储在存储单元121－n的时刻，既有存储包含[IDa，IDb，IDc]的通信数据的任一个的情况，还有包含[IDa，IDb，IDc]的通信数据完全没有被存储的情况。

安全性判定单元424－n以元数据meta[IDa’，IDb’，IDc’]的各[IDa’，IDb’，IDc’]作为索引，从存储单元121－n检索包含与[IDa’，IDb’，IDc’]一致的[IDa，IDb，IDc]的通信数据。在没有测出与元数据meta[IDa’，IDb’，IDc’]的全部的[IDa’，IDb’，IDc’]的每一个一致的[IDa，IDb，IDc]的情况下，安全性判定不结束(步骤S1242－n)。该情况下，第一处理单元425－n在判定出该查询或消息满足规定的安全等级前，只执行基于该查询或消息的处理中不伴随向“第二外部装置”的信息输出的“第一处理”。“第一处理”也可以是第一实施方式中例示的形式，第一处理单元425－n使用任何的[IDa’，IDb’，IDc’]作为初始向量，通过将该初始向量和上述的伪随机数的种子输入到伪随机数生成算法，生成与其对应的伪随机数。在该伪随机数生成时不需要新的通信。同样，发送包含与该[IDa’，IDb’，IDc’]一致的[IDa，IDb，IDc]的消息的计算装置42－j的第一处理单元425－j也使用该[IDa，IDb，IDc]作为初始向量，通过将该初始向量和上述的伪随机数的种子输入到伪随机数生成算法，能够生成相同的伪随机数。即，对每个对通信数据进行通信的原子协议的处理内容，在计算装置42－j和计算装置42－n能够生成相同的伪随机数。这样，第一处理单元425－n使用包含IDa’，IDb’，IDc’的信息，能够与任一个另外的计算装置42－j(其中，j∈{1，…，N})共用伪随机数。[IDa’，IDb’，IDc’]及[IDa，IDb，IDc]能够无通信地计算，所以能够不进行特别的通信，而在计算装置42－j和计算装置42－n中共用伪随机数。另外，第一处理单元425－n也可以使用包含与[IDa’，IDb’，IDc’]一致的[IDa，IDb，IDc]的通信数据执行与查询或消息对应的处理。但是，第一处理单元425－n执行的处理限制在不伴随和外部的通信的处理。各处理由于是非同步并行处理，所以各下位协议作为将再下位的协议或向内部处理的输入作为项目而自动起动的处理(处理器)进行设定(步骤S425－n)。

在检测出与元数据meta[IDa’，IDb’，IDc’]的全部的[IDa’，IDb’，IDc’]的每一个一致的[IDa，IDb，IDc]的情况下，安全性判定单元424－n使用与测出的[IDa，IDb，IDc]对应的通信数据，判定该查询或消息是否满足规定的安全等级(安全性判定)。本方式中，在元数据meta[IDa’，IDb’，IDc’]包含在原子协议中使用的格式的信息的情况下，安全性判定单元424－n验证包含与[IDa’，IDb’，IDc’]一致的[IDa，IDb，IDc]的通信数据是否为按照该格式的数据。例如，安全性判定单元424－n在包含与元数据meta[IDa’，IDb’，IDc’]的全部的[IDa’，IDb’，IDc’]的每一个一致的[IDa，IDb，IDc]的通信数据按照该格式的情况下，判定出该查询或消息满足规定的安全等级。该判定只依存于原子协议的设计。通过安全性判定单元424－n判定出该查询或消息满足规定的安全等级后(步骤S1243－n)，第二处理单元426－n执行基于该查询或消息的处理中伴随向“第二外部装置”的信息输出的“第二处理”。例如，第二处理单元426－n也可以使用包含与[IDa’，IDb’，IDc’]一致的[IDa，IDb，IDc]的通信数据执行与查询或消息对应的处理。在此，各处理由于也是非同步并行处理，所以各下位协议作为将再下位的协议或向内部处理的输入作为项目自动起动的处理器进行设定(步骤S426－n)。在安全性判定单元424－n判定出查询或消息不满足规定的安全等级的情况下，取消处理单元129－n取消基于在步骤S122－n输入的查询或消息的计算装置42－n中的内部处理(例如“第一处理”)(例如，取消共用的伪随机数)(步骤S129－n)。

＜本方式的特征＞

处理器不是通过串行前的处理而是通过各下位协议或向内部处理的输入而起动。因此，本方式中能够实现非同步并行处理。另外，通过采用只依存于输入和原子协议的设计(成为哪种输入起动哪个处理器的事件)的处理器起动，能够自动且高速进行不依存于上位协议的每个设计的非同步并行处理调度。不进行特别的通信，能够在下位协议间共用与处理内容对应的标识符。因此，即使查询或消息的到达和基于此的处理所需要的通信数据的到达的顺序有前后，也可以使用标识符特定它们的对应，能够正确地进行处理。另外，通过沿用该标识符作为初始向量生成伪随机数，能够不进行特别的通信，共用伪随机数。还能够采用只依存于原子协议的设计的安全性判定。

[第四实施方式的变形例]

在第四实施方式的方法中，首先仅第一处理(例如，伪随机数的生成)起动，用于保存在第一处理中获得的结果的存储容量增大。为了解决它，在某阶段的协议结束之前，也可以不执行至此提前规定步骤以上的第一处理。另外，对于多个彼此没有依存关系的串行(Cereal)的处理，在每个该串行的处理中通过计算装置间同意的确定的算法进一步生成IDd及IDd’，代替ID＝[IDa，IDb，IDc]也可以形成ID＝[IDa，IDb，IDc，IDd]，代替ID’＝[IDa’，IDb’，IDc’]也可以形成ID’＝[IDa，IDb，IDc，IDd]。由此，还能够并行执行多个互没有依存关系的串行的处理。

[其它的变形例]

此外，本发明不限定于上述的实施方式。例如，计算系统包含计算装置和第二外部装置(其它计算装置)和α个第一外部装置(另一计算装置)，也可以从α个第一外部装置输出α个“第一处理请求”。“第一处理请求”包含依据秘密分散方式的分散值。该秘密分散方式是可从β个以上分散值将复原值复原，从低于β个分散值不能将复原值复原的方式(阈值秘密分散方式)。另外，α是3以上的整数，β是2以上小于α的整数。计算装置的“输入单元”也可以接受从“第一外部装置”输出的α个“第一处理请求”，“计算装置”的“第一安全性判定单元”判定β个以上的上述第一处理请求是否满足规定的第一安全等级。该情况下，“第一处理单元”在判定出β个以上第一处理请求满足第一安全等级前，执行基于“第一处理请求”的处理中不伴随向“第二外部装置”的信息输出的“第一处理”。“第二处理单元”在判定出β个以上的“第一处理请求”满足“第一安全等级”后，执行基于“第一处理请求”的处理中伴随向“第二外部装置”的信息输出的“第二处理”。在该秘密分散方式中，因可从β个以上的分散值将复原值复原，所以只要判定β个以上的第一处理请求满足第一安全等级，则能够使用被判定出满足第一安全等级的第一处理请求包含的β个以上的分散值执行“第二处理”。由此，与判定出全部的第一处理请求满足第一安全等级后执行“第二处理”的情况相比，能够使处理高速化。

例如，各装置也可以不是通过网络交换信息，而是至少部分组的装置经由移动式记录介质交换信息。或也可以是至少部分组的装置经由非移动式的记录介质交换信息。即，由这些装置的一部分构成的组合在物理性上也可以是相同的装置。另外，根据用途，也可以是N＝1。

上述的各种处理不仅可以根据记载按时间序列执行，也可以按执行处理的装置的处理能力或根据需要并行或个别执行。另外，不言而喻，在不脱离本发明的宗旨的范围内可适当变更。

在通过计算机实现上述的结构的情况下，通过程序记述各装置应有的功能的处理内容。通过由计算机执行该程序，在计算机上实现上述处理功能。记述该处理内容的程序能够记录在利用计算机可读取的记录介质中。可利用计算机读取的记录介质的例子是非暂时性(non-transitory)记录介质。该记录介质的例子是磁记录装置、光盘、磁光记录介质、半导体存储器等。

该程序的流通例如通过销售、转让、出租记录该程序的DVD、CD－ROM等移动记录介质进行。另外，也可以构成为通过在服务器计算机的存储装置存储该程序，经由网络，从服务器计算机向其它的计算机转发该程序，使该程序流通。

执行该程序的计算机例如首先暂时在自己的存储装置中存储记录在移动记录介质的程序或从服务器计算机转发的程序。执行处理时，该计算机读取存储在自己的记录装置的程序，执行依据读取的程序的处理。作为该程序的另外的执行方式，计算机也可以从移动记录介质直接读取程序，执行依据该程序的处理，另外，每当从服务器计算机向该计算机转发程序时，也可以逐次执行按照接受的程序的处理。也可以构成为不进行从服务器计算机向该计算机的程序的转发，而仅通过其执行指示和结果取得实现处理功能的所谓ASP(Application Service Provider，应用服务提供商)型服务，执行上述的处理。

上述实施方式中，在计算机上执行规定的程序，实现本装置的处理功能，但这些处理功能的至少一部分也可以由硬件来实现。

产业上的可利用性

上述的技术例如能够应用于基于云计算的并行非同步处理(秘密计算中的分散计算等)、加密数据库的更新处理、匿名通信等。

标记说明

1，2，3，4计算系统

12－n，22－n，32－n，42－n计算装置

Claims (11)

1.一种计算系统，包含进行信息处理的多个装置，其中，

所述多个装置包含计算装置、第一外部装置和第二外部装置，

所述计算装置具有：

输入单元，接受从所述第一外部装置输出的第一处理请求；

第一安全性判定单元，判定所述第一处理请求是否满足规定的第一安全等级；

第一处理单元，在判定出所述第一处理请求满足所述第一安全等级前，执行基于所述第一处理请求的处理中不伴随向所述第二外部装置的信息输出的第一处理；以及

第二处理单元，在判定出所述第一处理请求满足所述第一安全等级后，执行基于所述第一处理请求的处理中伴随向所述第二外部装置的信息输出的第二处理。

2.如权利要求1的计算系统，其中，

所述计算装置具有取消处理单元，所述取消处理单元即使在所述第一处理中产生了错误的情况下，在判定出所述第一处理请求满足所述第一安全等级前，也不会输出请求所述第一外部装置进行了的处理的取消的第二处理请求，而在所述第一处理中产生错误，且判定出所述第一处理请求满足所述第一安全等级后，将所述第二处理请求输出到所述第一外部装置。

3.如权利要求1或2的计算系统，其中，

μ是1以上的整数，i是满足0≤i＜μ的整数，

所述第一处理包含下述处理：使用随机数r的隐匿值[r]和运算对象信息的函数值f_i的隐匿值[f_i]，获得所述函数值f_i和所述随机数r的积算值f_ir的隐匿值[f_ir]，获得包含将所述隐匿值[f_i]和所述隐匿值[f_ir]作为组的随机化隐匿值<f_i>的校验和C:＝<f₀>，…，<f_μ-1>，

所述第二处理包含下述处理：基于对所述隐匿值[f_i]的总和乘以所述隐匿值[r]的隐匿值和包含于所述校验和C的所述隐匿值[f_ir]的总和即隐匿值[ψ]，验证所述校验和C。

4.如权利要求3的计算系统，其中，

所述多个装置包含第二计算装置，

μ’是1以上的整数，i’是满足0≤i’＜μ’的整数，

所述第二计算装置具有：

第二输入单元，接受从所述第一计算装置输出的第三处理请求；

第二安全性判定单元，判定所述第三处理请求是否满足规定的第二安全等级；

第三处理单元，在判定出所述第三处理请求满足所述第二安全等级前，执行基于所述第三处理请求的处理中不伴随向所述第三外部装置的信息输出的第三处理；以及

第四处理单元，在判定出所述第三处理请求满足所述第二安全等级后，执行基于所述第三处理请求的处理中伴随向所述第三外部装置的信息输出的第四处理，

所述第三处理包含下述处理：使用随机数r’的隐匿值[r’]和第二运算对象信息的函数值f_i’的隐匿值[f_i’]，获得所述函数值f_i’和所述随机数r’的积算值f_i’r’的隐匿值[f_i’r’]，获得包含以所述隐匿值[f_i’]和所述隐匿值[f_i’r’]为组的随机化隐匿值<f_i’>的校验和C’:＝<f₀’>，…，<f_μ-1’>，

所述第四处理基于对所述隐匿值[f_i’]的总和乘以所述隐匿值[r’]的隐匿值和包含于所述校验和C’的所述隐匿值[f_i’r’]的总和即隐匿值[ψ’]，验证所述校验和C’，

所述第二安全性判定单元至少基于所述校验和C的验证结果，判定是否满足所述第二安全等级。

5.如权利要求4的计算系统，其中，

所述计算装置在所述校验和C的验证结束前输出所述第三处理请求，

第三处理单元在所述校验和C的验证结束前执行所述第三处理。

6.一种计算系统，包含进行信息处理的多个装置，其中，

所述多个装置包含计算装置、第二外部装置和α个第一外部装置，α是3以上的整数，β是2以上小于α的整数，

所述计算装置具有：

输入单元，接受从所述第一外部装置输出的α个第一处理请求；

第一安全性判定单元，判定β个以上的所述第一处理请求是否满足规定的第一安全等级；

第一处理单元，在判定出β个以上的所述第一处理请求满足所述第一安全等级前，执行基于所述第一处理请求的处理中不伴随向所述第二外部装置的信息输出的第一处理；以及

第二处理单元，在判定出β个以上的所述第一处理请求满足所述第一安全等级后，执行基于所述第一处理请求的处理中伴随向所述第二外部装置的信息输出的第二处理，

所述第一处理请求包含按照秘密分散方式的分散值，

所述秘密分散方式是从β个以上的所述分散值可使复原值复原，但不能从小于β个的所述分散值将所述复原值复原的方式。

7.一种计算系统，包含进行信息处理的多个装置，其中，

所述多个装置包含计算装置、第一外部装置和第四外部装置，

所述计算装置具有：

输入单元，接受从所述第一外部装置输出的第一处理请求、以及用于判断从所述第四外部装置输出的所述第一处理请求是否满足规定的第一安全等级的通信数据；

第一安全性判定单元，判定所述第一处理请求是否满足所述第一安全等级；

第一处理单元，在判定出所述第一处理请求满足所述第一安全等级前，执行基于所述第一处理请求的处理中不伴随向外部的信息输出的第一处理；以及

第二处理单元，在判定出所述第一处理请求满足所述第一安全等级后，执行基于所述第一处理请求的处理中伴随向外部的信息输出的第二处理，

所述通信数据包含表示基于所述第一处理请求的命令内容的标识符IDa、表示构成基于所述第一处理请求的处理的基本处理的标识符IDb、以及与对所述通信数据进行通信的所述基本处理中以规定的顺序进行的处理内容对应的标识符IDc，

所述第一安全性判定单元在向所述输入单元输入所述第一处理请求时，生成表示基于所述第一处理请求的命令内容的标识符IDa’、表示构成基于所述第一处理请求的处理的所述基本处理的每一种的标识符IDb’、与所述基本处理的每一种中以规定的顺序进行的处理内容对应的标识符IDc’，使用生成的所述标识符IDa’，IDb’，IDc’，特定所述通信数据，判定所述第一处理请求是否满足所述第一安全等级。

8.如权利要求7的计算系统，其中，

所述第一处理包含下述处理：使用包含所述标识符IDa’、IDb’、IDc’的信息，与所述第一外部装置及所述第四外部装置的至少一方共用伪随机数。

9.一种计算装置，其中，具有：

输入单元，接受从第一外部装置输出的第一处理请求；

第一安全性判定单元，判定所述第一处理请求是否满足规定的第一安全等级；

第一处理单元，在判定出所述第一处理请求满足所述第一安全等级前，执行基于所述第一处理请求的处理中不伴随向第二外部装置的信息输出的第一处理；以及

第二处理单元，在判定出所述第一处理请求满足所述第一安全等级后，执行基于所述第一处理请求的处理中伴随向所述第二外部装置的信息输出的第二处理。

10.一种计算装置的计算方法，其中，具有下述步骤：

输入步骤，接受从第一外部装置输出的第一处理请求；

第一安全性判定步骤，判定所述第一处理请求是否满足规定的第一安全等级；

第一处理步骤，在判定出所述第一处理请求满足所述第一安全等级前，执行基于所述第一处理请求的处理中不伴随向第二外部装置的信息输出的第一处理；以及

第二处理步骤，在判定出所述第一处理请求满足所述第一安全等级后，执行基于所述第一处理请求的处理中伴随向所述第二外部装置的信息输出的第二处理。

11.一种程序，用于使计算机发挥作为权利要求9的计算装置的功能。