CN109643324A

CN109643324A - 加密消息搜索方法、消息发送接收系统、服务器、终端、程序

Info

Publication number: CN109643324A
Application number: CN201780053295.0A
Authority: CN
Inventors: 冈野裕树; 吉田丽生; 西卷陵; 小林铁太郎
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2016-09-12
Filing date: 2017-08-30
Publication date: 2019-04-16
Anticipated expiration: 2037-08-30
Also published as: CN109643324B; WO2018047698A1; US11223472B2; JPWO2018047698A1; US20190215158A1; EP3511845A1; EP3511845B1; JP6770075B2; EP3511845A4

Abstract

提供在保持加密的情况下进行消息搜索时，难以推测搜索内容和搜索结果的加密消息搜索技术。包括：终端从每当经过事先设定的更新间隔而生成的搜索用私钥生成加密搜索用私钥并发送给服务器的加密搜索用私钥发送步骤；终端从由服务器取得的加密搜索用私钥解码搜索用私钥的搜索用私钥解码步骤；终端将使用与消息有关的信息和最新搜索用私钥而生成的索引集合和加密消息发送到服务器的加密消息发送步骤；终端将使用消息搜索用字符串和搜索用私钥生成的查询集合发送到服务器的查询发送步骤；以及服务器将存在与查询集合的元素一致的索引集合的元素的加密消息发送到终端的加密消息回信步骤。

Description

加密消息搜索方法、消息发送接收系统、服务器、终端、程序

技术领域

本发明涉及信息安全技术的应用，特别涉及，形成组的多个用户发送接收消息的消息发送接收技术。

背景技术

以业务中的利用为前提的消息发送接收系统中，在不论个人计算机或智能手机等终端的种类的多设备兼容的系统中，存在考虑业务上的机密信息泄露而在终端中不保留包含消息的数据那样的、基于云型的消息发送接收系统。作为基于云型的消息发送接收系统的例子，有非专利文献1那样的产品。

这样的基于云型的消息发送接收系统包括：通过加密通信路径而防止窃听的功能、以及如已叙述的那样，通过在终端中不保留数据而防止因终端的丢失或非法带出而信息泄露的功能。这样，当前的基于云型的消息发送接收系统是，虽然对于对通信路径和终端的威胁进行着应对，但是另一方面对于对构成消息发送接收系统的服务器的威胁不一定充分应对的状况。这里所说的对于服务器的威胁中，例如有对于服务器的来自外部的攻击、服务器管理者等造成的来自内部的非法访问等。

对于对该服务器的威胁，考虑将服务器中保存的消息加密的对策。但是，在服务器中是可解码的情况下，对于上述的威胁依然存在从服务器泄露消息的可能性。因此，重要的是使消息对于服务器被隐匿，即在服务器中不被窃听。

作为使得在服务器中不被窃听的一个方法，有实现一边对于服务器将消息隐匿一边仅在终端中能够进行消息的解码那样的端至端中的加密通信的方法。为了实现这样的端至端中的加密通信，如何在终端间共享终端中使用的公共密钥(以下，也称为会话密钥)成为问题。作为其解决对策，提出在中央具有认证服务器的星型的网络中，对认证服务器不泄漏任何信息地在利用者间共享公共密钥的协议(非专利文献2)。通过非专利文献2的协议，能够在对服务器隐匿消息的情况下在终端间进行发送接收。

但是，若根据业务中的利用，则关于过去的消息交换需要高效率处理的方法。作为这样的手段，考虑消息的搜索功能，但是在适用了基于非专利文献2的协议的利用者间的会话密钥共享技术的情况下，因为服务器中保存的消息被加密，所以需要可在将服务器中保存的消息隐匿的情况下进行搜索。而且，还需要难以从搜索内容本身和对过去的搜索的回答的倾向等推测隐匿化的内容。

作为不解码包含服务器中保存的加密消息的加密数据而进行搜索的方法，有将对于有关加密数据的信息的哈希值记录在服务器中的方法(专利文献1)。

【现有技术文献】

【非专利文献】

【非专利文献1】“ビジネス向けグループチャットTopicRoom”，[online]，[平成28年8月16日搜索]，因特网<URL:https://www.ntts.co.jp/products/topicroom/index.html>

【非专利文献2】小林鉄太郎，米山一樹，吉田麗生，川原祐人，冨士仁，山本具英：“スケーラブルな動的多者鍵配布プロトコル”，SCIS2016，4E2-3，2016.

【专利文献】

【专利文献1】日本特开2015-118603号公报

发明内容

发明要解决的课题

但是，在专利文献1的搜索技术中，存在对于相同的信息始终得到相同的哈希值，所以通过使用在一定期间窃听通信路径得到的哈希值与彩虹表，推测要搜索的信息和其搜索结果的问题。

鉴于这样的问题点，本发明的目的是提供在记录了将n台终端中共享的消息加密的加密消息的服务器中，在加密的情况下进行消息搜索时，难以推测搜索内容和搜索结果的加密消息搜索技术。

用于解决课题的手段

本发明的一个方式是加密消息搜索方法，将n设为2以上的整数，在包含共享消息的n台终端和记录了将所述消息加密的加密消息的服务器的消息发送接收系统中，所述终端使用消息搜索用字符串搜索所述加密消息，将所述服务器管理在所述n台终端中共享的消息的单位设为房间，将其识别符设为房间识别符，在所述n台终端的记录单元中，记录所述房间识别符、会话密钥，所述加密消息搜索方法包括：所述终端在房间识别符共享后或者共享了最初的搜索用私钥后，每当经过事先设定的更新间隔，生成随机数作为搜索用私钥，使用所述会话密钥从所述搜索用私钥生成加密搜索用私钥，将所述加密搜索用私钥发送到所述服务器的加密搜索用私钥发送步骤；所述终端使用所述房间识别符从所述服务器取得所述加密搜索用私钥，使用所述会话密钥从所述加密搜索用私钥解码所述搜索用私钥的搜索用私钥解码步骤；所述终端生成将消息加密的加密消息，使用与所述消息有关的信息和所述搜索用私钥中最新搜索用私钥，生成消息搜索用的索引集合，将所述索引集合和所述加密消息与所述房间识别符一起发送到所述服务器的加密消息发送步骤；所述终端使用所述消息搜索用字符串和所述搜索用私钥中1个以上的搜索用私钥，生成查询集合，将所述查询集合与所述房间识别符一起发送到所述服务器的查询发送步骤；所述服务器在与所述房间识别符相关联地管理的索引集合和加密消息中，搜索具有与所述查询集合的元素一致的索引集合的元素的加密消息，将所述加密消息发送到所述终端的加密消息回信步骤；以及所述终端从所述加密消息解码消息的加密消息解码步骤。

发明的效果

按照本发明，实现在记录了将n台终端中共享的消息加密的加密消息的服务器中，在加密的情况下进行消息搜索时，难以推测搜索内容和搜索结果。

附图说明

图1是例示消息发送接收系统的结构的图。

图2是例示第一实施方式的服务器100的功能结构的图。

图3是例示第一实施方式的终端200的功能结构的图。

图4是例示第一实施方式的消息发送接收方法的处理流程(系统设置)的图。

图5是例示第一实施方式的消息发送接收方法的处理流程(搜索用私钥的共享)的图。

图6是例示第一实施方式的消息发送接收方法的处理流程(加密消息的发送)的图。

图7是例示第一实施方式的消息发送接收方法的处理流程(加密消息的搜索)的图。

图8是例示第一实施方式的索引生成单元245的操作的状况的图。

图9是例示第一实施方式的消息发送接收方法的处理流程(搜索用私钥的更新)的图。

图10是例示第二实施方式的服务器500的功能结构的图。

图11是例示第二实施方式的终端600的功能结构的图。

图12是例示第二实施方式的消息发送接收方法的处理流程(系统设置)的图。

具体实施方式

在说明实施方式之前，说明本说明书中的记述方法等。

＜记述方法＞

_(下划线)表示下标。例如，x^y_z表示y_z对于x的上标，x_{y_z}表示y_z对于x的下标。

对于某个集合Set，将从Set均匀随机地选择元素m，记述为m←^USet。

对于某个概率的多项式时间算法ALG，在对于输入x将ALG(x)视为概率变量时，将按照该概率分布随机地输出y记述为y←^RALG(x)。

＜定义＞

将N设为正整数全体的集合。

将函数CRHF设为将任意长度的字符串作为输入、输出固定长度的字符串的抗冲突哈希函数。虽然输出字符串的长度是固定的，但是对于其长度不特别限定。

将函数F设为以两个任意长度的字符串作为输入，输出字符串的函数。对于输出字符串的长度不特别限定。作为函数F的例子，有将两个输入字符串结合的函数F(m,r)＝m||r。

而且，在以下说明的实施方式中，作为函数CRHF、函数F可以使用任意的函数。其中，函数F的第2参数如后所述那样，成为明文空间M_pk或者密钥空间KEY的元。

以下，详细地说明本发明的实施方式。而且，对附图中具有相同的功能的结构单元附加相同的标号，省略重复说明。

＜第一实施方式＞

第一实施方式的消息发送接收系统使用公钥加密算法。因此，首先说明公钥加密算法。

将k设为安全参数。设k₁∈N，将k₁比特长的密钥空间设为KEY₁＝{0,1}^k_1。

公钥加密方式由三个算法(Gen,Enc,Dec)构成。Gen是将安全参数k作为输入，输出公钥pk和私钥sk的组(pk,sk)的密钥生成算法，表示为(pk,sk)←^RGen(1^k)。而且，这时确定明文空间M_pk。

Enc是将公钥pk和明文m∈M_pk作为输入，输出密文C的加密算法，表示为C←^REnc(pk,m)。

Dec是将私钥sk和密文C作为输入，输出明文m’的解码算法，表示为m’←^R Dec(sk,C)。

而且，上述三个算法对于任意的安全参数k、任意的密钥对(pk,sk)←^RGen(1^k)、任意的明文m∈M_pk，满足Dec(sk,Enc(pk,m))＝m。

接着，考虑对于将明文空间M_pk和密钥空间KEY₁＝{0,1}^k_1的直积M_pk×KEY₁设为定义域，将明文空间M_pk设为值域的函数f:M_pk×KEY₁→M_pk，存在函数g:M_pk×KEY₁→M_pk，对于任意的(K,K₁)∈M_pk×KEY₁，满足下式的情况。

g(f(K,K₁),K₁)＝K…(1)

对于RSA加密或椭圆ElGamal加密，可以举出满足上述条件(式(1))的函数f,g的例子。在RSA加密方式的情况下，明文空间M_pk是将密钥生成算法执行时生成的两个素数p,q的积设为n＝pq时，在{1,…,n-1}中，与n互质的整数的集合中，加入了以下式定义的运算·的乘法群。

x·y:＝x×y mod n

而且，右边的×是整数之间的通常的积。

这时，为KEY₁＝M_pk，即，函数f:M_pk×M_pk→M_pk，函数g:M_pk×M_pk→M_pk，对于任意的(K,K₁)∈M_pk×M_pk，作为满足式(1)的(f,g)的例子，存在以下的函数的组。

而且，运算/是，将运算·中的x₂的逆元设为x₂ ^-1时，定义为x₁/x₂＝x₁·x₂ ^-1的运算。

而且，椭圆ElGamal加密的情况下，明文空间M_pk是密钥生成算法执行时生成的椭圆曲线上的点形成的加法群。这时，为KEY₁＝M_pk，即，函数f:M_pk×M_pk→M_pk，函数g:M_pk×M_pk→M_pk，对于任意的(K,K₁)∈M_pk×M_pk，作为满足式(1)的(f,g)的例子，存在以下的函数的组(其中，将+设为上述加法群中的加法)。

而且，运算-是在将运算+中的x₂的逆元设为-x₂时，定义为x₁-x₂＝x₁+(-x₂)的运算。

作为满足上述条件的公钥加密方式和函数(f,g)的例子，举出RSA加密或椭圆ElGamal加密和其附带的函数(f,g)，但是不限于这些加密，在第一实施方式的消息发送接收系统的结构中，可以使用上述以外的公钥加密方式和其附带的函数(f,g)。

[系统结构]

第一实施方式的消息发送接收系统如图1中例示的那样，包括服务器100和n(≧2)台的终端200。在本实施方式中，服务器100以及终端200₁，…，终端200_n分别连接到网络300。网络300可以是以服务器100，终端200₁，…，终端200_n可分别相互通信的方式构成的网络。在网络300中，例如可以使用因特网等。

如图2中例示的那样，服务器100包括：记录单元110；房间(room)生成单元120；密钥生成单元130；以及索引搜索单元140。如图3中例示的那样，终端200_i(1≦i≦n)包括：记录单元210；房间生成请求发送单元220；搜索用私钥生成单元230；搜索用私钥加密单元233；加密搜索用私钥解码单元235；消息加密单元240；消息ID生成单元243；索引生成单元245；查询生成单元250；以及加密消息解码单元255。该服务器100以及终端200₁，…，终端200_n通过进行从图4至图9中例示的各步骤的处理，实现实施方式的消息发送接收方法。

服务器100以及终端200_i例如是，在具有中央运算处理装置(CPU:CentralProcessing Unit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机中读入特别的程序而构成的特别的装置。各装置例如在中央运算处理装置的控制下执行各处理。输入到各装置的数据或在各处理中得到的数据例如被存储在主存储装置中，主存储装置中存储的数据根据需要读入到中央运算处理装置，被其它处理利用。各装置具有的各处理单元的至少一部分也可以由集成回路等硬件构成。

服务器100具有的记录单元110以及终端200_i具有的记录单元210例如可以通过RAM(Random Access Memory)等主存储装置、硬盘或光盘或者闪速存储器(Flash Memory)那样的半导体存储器元件构成的辅助存储装置、或者关系数据库或密钥值存储等中间件构成。各记录单元为了存储秘密信息，希望是(例如，SIM卡等那样)具有防篡改性的存储装置。

[系统设置]

以下，对于经由服务器100进行消息的发送接收的终端200₁，…，终端200_n(以下，也称为组)，将管理在该组中共享的消息的单位称为房间。具体地说，服务器100的记录单元110确保注册在该组共享的消息的记录区域(即，物理性的房间)。将用于识别该房间的识别符称为房间识别符。

这里，将房间识别符roomID、公钥pk_roomID、私钥sk_roomID、会话密钥R₁在属于组的终端200₁，…，终端200_n间共享。参照图4说明系统设置的流程。

而且，在终端200_i和服务器100之间，例如也可以如TLS通信那样使用加密通信。而且，终端200_i设想个人计算机或智能手机等，但是不限于此，只要可用于用户发送接收消息则任何设备都可以。

将发出房间生成的请求的终端200_i设为代表终端。代表终端也可以从终端200₁，…，终端200_n中任意地选定。因此，以下将终端200₁设为代表终端。而且，将代表终端200₁以外的终端200_j(2≦j≦n)称为一般终端200_j。

代表终端200₁的房间生成请求发送单元220对服务器100发送房间生成请求(S4－10)。若服务器100接收该请求，则服务器100的房间生成单元120生成以房间识别符roomID识别的房间(S4－20)。这时，服务器100的密钥生成单元130通过密钥生成算法，生成在以roomID识别的房间中用于加密、解码的公钥pk_roomID和私钥sk_roomID(S4－30)。而且，在密钥生成算法执行时同时决定明文空间M_pk。而且，生成公钥pk_roomID和私钥sk_roomID的公钥加密算法(Gen,Enc,Dec)只要存在满足前述的条件(式(1))的函数(f,g)在可以使用任意的算法。服务器100将房间识别符roomID、公钥pk_roomID、私钥sk_roomID记录在记录单元110中，对代表终端200₁发送这些数据(S4－40)。

而且，S4－10～S4－40的处理也可以在以下那样的流程中处理。房间生成单元120按照房间生成请求生成房间，对代表终端200₁发送房间识别符roomID。之后，代表终端200₁将密钥生成请求与房间识别符roomID一起发送到服务器100，密钥生成单元130生成以roomID识别的房间用的公钥pk_roomID和私钥sk_roomID，对代表终端200₁发送公钥pk_roomID和私钥sk_roomID。

一般终端200_j若从代表终端200₁接收到表示到房间的邀请的房间识别符roomID时(S4－50)，对服务器100发送房间识别符roomID(S4－55)，接收公钥pk_roomID和私钥sk_roomID(S4－60)。

各终端200_i将房间识别符roomID、公钥pk_roomID、私钥sk_roomID记录在记录单元210中。

而且，各终端200_i共享会话密钥R₁，记录在记录单元210中(S4－70)。关于共享的方法，例如使用非专利文献2中记载的技术即可。而且，设会话密钥R₁对于服务器100被隐匿。

[搜索用私钥的共享]

这里，经由服务器100在属于组的全部终端200_i之间共享某个终端200_{i_0}(1≦i₀≦n)生成的搜索用私钥SearchKey。参照图5说明搜索用私钥SearchKey的共享的流程。

而且，生成搜索用私钥SearchKey的终端200_{i_0}，可以是代表终端200₁也可以是一般终端200_j。而且，伴随会话经过，在中途生成搜索用私钥SearchKey的终端200_{i_0}也能够从组脱离。在该情况下，假设属于组的其它的终端200_{i_1}(i₁是与i₀不同的1以上n以下的整数)继续生成搜索用私钥SearchKey的作用。即，设参加到当前组的终端200_i的其中一个进行搜索用私钥SearchKey的生成。

终端200_{i_0}的搜索用私钥生成单元230在房间识别符共享后，将随机选择的明文空间M_pk的元r作为搜索用私钥SearchKey生成(S5－10)。即，成为SearchKey＝r。而且，将r称为随机数。该搜索用私钥SearchKey是对每个房间生成的私钥。终端200_{i_0}将搜索用私钥SearchKey记录在记录单元210中。

终端200_{i_0}的搜索用私钥加密单元233生成加密搜索用私钥CipherKey←^REnc(pk_roomID,f(SearchKey,R₁))(S5－20)，将加密搜索用私钥CipherKey与房间识别符roomID一起发送到服务器100(S5－30)。服务器100将接收到的加密搜索用私钥CipherKey与房间识别符roomID相关联地记录在记录单元110中。

终端200_{i_0}以外的终端200_{i_1}将在S4－50中接收到的房间识别符roomID发送到服务器100(S5－40)，从服务器100接收加密搜索用私钥CipherKey(S5－50)。

从S5－10至S5－30的处理在代表终端200₁在S4－50中与一般终端200_j共享了房间识别符roomID后，任何时候执行都可以。因此，终端200_{i_0}以外的终端200_{i_1}任何时候将S5－40的加密搜索用私钥CipherKey的取得请求发送到服务器100都可以。例如，可以不紧接从代表终端200₁接受至房间的邀请之后，而在邀请后初次登录时。

终端200_{i_1}的加密搜索用密钥解码单元235计算Temp＝Dec(sk_roomID,CipherKey)，使用从记录单元210读出的会话密钥R₁计算SearchKey＝g(Temp,R₁)，解码搜索用私钥SearchKey(S5－60)。函数(f,g)通过满足前述的条件(式(1))，可以得到搜索用私钥SearchKey。终端200_{i_1}将在S5－60中得到的搜索用私钥SearchKey记录在记录单元210中。

终端200_{i_0}的搜索用私钥生成单元230在房间识别符共享后，执行用于搜索用私钥生成的最初的随机数生成(即，明文空间M_pk的元r的随机选择)，但如在稍后详述的那样，以下为了搜索用私钥更新，定期地生成随机数，每当这时，搜索用私钥加密单元233从搜索用私钥生成加密搜索用私钥，将加密搜索用私钥发送到服务器100。而且，终端200_{i_1}适时从服务器100取得更新后的加密搜索用私钥，通过解码取得搜索用私钥。即，在终端200_i的记录单元210中，记录多个搜索用私钥。以下，将房间识别符共享后最初生成的搜索用私钥称为第一代搜索用私钥SearchKey₁，将以后定期地生成的搜索用私钥依次称为第二代搜索用私钥SearchKey₂、第三代搜索用私钥SearchKey₃，…。而且，将搜索用私钥SearchKey之中最新一代称为最新搜索用私钥。

[加密消息的发送]

这里，终端200_i对以房间识别符roomID管理的房间发送消息。这时，消息被加密。加密的消息(加密消息)与具有房间识别符roomID的房间相关联地记录在服务器100的记录单元110中，同时还记录在搜索中使用的索引的集合(索引集合)和消息ID的组，以便可以在稍后加密的情况下进行搜索。参照图6说明终端200_i的消息的发送的流程。

终端200_i的消息加密单元240将希望在组内共享的消息m₁加密，生成加密消息Enc(m₁)(S6－10)。这里，消息的加密中使用的密钥只要是对服务器100隐匿的密钥，则无论是通过公共密钥加密算法生成的密钥，还是通过公钥加密算法生成的密钥都没关系。而且，该密钥设为在组内的终端200_i间被共享的密钥。而且，发送消息的终端200_i是属于组的任意的终端。

在加密消息m₁时，终端200_i的消息ID生成单元243一起生成用于在以房间识别符roomID识别的房间内唯一地识别加密的消息Enc(m₁)的消息识别符ID_{m_1}(S6－15)。因为对于服务器100将消息m₁保持隐匿，即将Enc(m₁)发送到服务器100并记录在记录单元110中，所以生成消息识别符ID_{m_1}的函数优选是难以进行倒像计算(不容易从消息识别符ID_{m_1}推测消息m₁)的函数。

进而，在加密消息m₁时，终端200_i的索引生成单元245一起生成为了搜索加密的消息Enc(m₁)而使用的索引(S6－20)。关于可搜索的字符串长度，既可以设置上限，也可以不设置。以下，设可搜索的字符串长的上限被确定，将其值设为L来进行说明。

以下，说明索引的生成方法(参照图7)。在索引的生成中使用函数G。函数G设为以任意长度的字符串作为输入，输出具有依赖于输入字符串的浓度的字符串的集合(字符串集合)的函数。而且，在函数G的输入为消息m₁的情况下，将作为函数G的输出的字符串集合称为与消息m₁有关系的信息，表示为G(m₁)＝{s₁,s₂,..,s_q,..}。作为这样的函数G的例子，有输出消息m₁的元信息的函数、输出消息m₁内包含的字符串的函数、输出灵活运用了NGram-索引的消息m₁内的连续N字符构成的全部字符串的函数等。关于NGram-索引，具体参照参考文献1。

(参考文献1：北研二，津田和彦，獅々堀正幹，“情報検索アルゴリズム”，共立出版，2002年)

这里，将消息m₁的字符串长设为length_{m_1}，P＝min{L,length_{m_1}}，对于i＝1,..,P，进行以下的处理，生成字符串集合G(m₁)。

索引生成单元245列举全部消息m₁内的连续的i个字符构成的字符串(即，长度i的字符串)(S6－20－1)。将其设为字符串集合{s₁ ⁽¹⁾,s₂ ⁽¹⁾,..,s_j ⁽ⁱ⁾,..}(其中，j＝1,2,..,length_{m_1}-i+1)。字符串集合G(m₁)＝{s₁ ⁽¹⁾,s₂ ⁽¹⁾,..,s_j ⁽ⁱ⁾,..}是与消息m₁有关的信息。

而且，既可以从消息全体列举该字符串，也可以将消息区分为每个句节，从各句节列举该字符串。而且，关于列举的方法，例如，可以将从消息或句节的左端开始取起的连续的i个字符构成的字符串设为s₁ ⁽ⁱ⁾，将从左端开始向右偏移1个得到的连续的i个字符构成的字符串设为s₂ ⁽ⁱ⁾。其中，因为对使用了索引的消息搜索没有影响，所以使用任何列举方法都可以。

接着，索引生成单元245使用字符串集合G(m₁)＝{s₁ ⁽¹⁾,s₂ ⁽¹⁾,..,s_j ⁽ⁱ⁾,..}和从记录单元210读出的最新搜索用私钥SearchKey，对j＝1,2,..,length_{m_1}-i+1，通过下式计算索引(S6－20－2)。如上述那样，虽然在记录单元210中一般记录有多个搜索用私钥，但是这里设读出的搜索用私钥SearchKey为最新的搜索用私钥、最新搜索用私钥。即，使用最新搜索用私钥SearchKey，对各字符串s_j ⁽ⁱ⁾计算索引Index_j ⁽ⁱ⁾。

而且，设索引集合的各元素为长度L以下的字符串。将通过式(2)得到的P/2(2length_m ₁-P+1)个索引设为元素的索引集合Ind为下式那样。

例如，若将可搜索的字符串长度的上限L设为3以上的整数，设消息m₁为3字符构成的消息“あいう”，则计算以下的6个索引。

而且，一般来说，索引集合Ind＝{Index₁,Index₂,..,Index_q,..}可以从与消息m₁有关的信息G(m₁)＝{s₁,s₂,..,s_q,..}，通过下式计算求出各元素。

Index_q＝CRHF(F(s_q,SearchKey))

终端200_i将下式中表示的索引集合Ind的各元素和消息识别符的组与加密消息Enc(m₁)一起，发送到服务器100(S6－30)。

服务器100将加密消息Enc(m₁)、各索引和消息识别符的组(Index₁ ⁽¹⁾,..,Index_j ⁽ⁱ⁾,..,Index_{lengthm_1} ^(P),ID_{m_1})记录在记录单元110中。

而且，在可搜索的字符串长度的上限未确定的情况下，若表现为L＝+∞，则成为P＝length_{m_1}，对消息m₁，可以通过与上述同样的方法，生成索引集合Ind

[加密消息的搜索]

这里，终端200_i搜索具有房间识别符roomID的房间中管理的消息。从成为搜索关键字的字符串(以下，成为消息搜索用字符串)生成查询，并在保持加密的情况下进行消息的搜索。参照图8说明终端200_i的消息搜索的流程。

终端200_i从房间中累积的加密消息，进行与消息搜索用字符串m’一致的消息的搜索。终端200_i的查询生成单元250一般从记录单元210读出多个搜索用私钥，对各搜索用私钥SearchKey计算消息搜索中使用的查询Query，作为Query＝CRHF(F(m’,SearchKey))，生成以这些查询作为元素的查询集合(S7－10)。将T₁，T₂设为表示搜索用私钥的世代的1以上的整数，对于T₁≦i≦T₂构成的整数i，对第i代搜索用私钥SearchKey_i计算查询Query_i＝CRHF(F(m’,SearchKey_i))，生成查询集合{Query_{T_1},Query_{T_1+1},..,Query_{T_2}}。

例如，在从当前对某个过去的时间点期间被发送的消息进行搜索的情况下，仅对该期间被更新的搜索用私钥生成查询即可。即，不一定需要生成对过去全部的搜索用私钥的查询(为T₁＝1)。

而且，在可搜索的字符串长度的上限L被确定的情况下，也可以首先将消息搜索用字符串m’的长度与L比较，若大于L，则返回错误。通过这样处理，实现处理的高效率。

终端200_i的查询生成单元250将查询集合{Query_{T_1},Query_{T_1+1},..,Query_{T_2}}发送到服务器100(S7－20)。

服务器100的索引搜索单元140在记录单元110中记录的索引集合的各元素和消息识别符的组(Index₁ ⁽¹⁾,..,Index_j ⁽ⁱ⁾,..,ID_{m_1})中，提取全部索引Index_j ⁽ⁱ⁾与接收到的查询集合{Query_{T_1},Query_{T_1+1},..,Query_{T_2}}的各元素Query_i一致的索引和消息识别符的组(Index_j ⁽ⁱ⁾,ID_{m_1})(S7－30)。服务器100的索引搜索单元140发送与终端200_i中提取的消息识别符ID_{m_1}对应的加密消息Enc(m₁)(S7－40)。

终端200_i的加密消息解码单元255解码S7－40中接收到的加密消息加密消息Enc(m₁)，在画面上显示消息m₁作为搜索结果(S7－50)。

而且，也可以取代发送与在S7－40中提取的消息识别符ID_{m_1}对应的加密消息Enc(m₁)，发送消息识别符ID_{m_1}。在该情况下，终端200_i将接收到的消息识别符ID_{m_1}发送到服务器100，从服务器100取得与该消息识别符ID_{m_1}对应的加密消息Enc(m₁)，使用加密消息解码单元255解码加密消息Enc(m₁)，将消息m₁作为搜索结果显示在画面上。

[搜索用私钥的更新]

这里，终端200_{i_0}更新搜索用私钥SearchKey。搜索用私钥SearchKey的更新间隔也可以以防止从服务器100的记录单元110中记录的索引和与其相关联的消息识别符的个数(分布)推测与索引或消息识别符对应的消息的程度的频度来定期地进行。例如，考虑每1个月、每半年等，但是更新间隔短可以更防止被推测。参照图9，说明终端200_{i_0}的搜索用私钥的更新的流程。

终端200_{i_0}的搜索用私钥生成单元230若检测到经过了事前设定的更新间隔，则生成随机地选择的明文空间M_pk的元r’作为更新后的搜索用私钥(S8－10)。即，设SearchKey＝r’。将更新后的搜索用私钥与组内的终端200_{i_1}共享，属于终端200_{i_0}的搜索用私钥加密单元233计算加密搜索用私钥CipherKey←^REnc(pk_roomID,f(SearchKey,R₁))(S8－20)，将加密搜索用私钥CipherKey发送到服务器100(S8－30)。服务器100将接收到的加密搜索用私钥CipherKey与房间识别符roomID相关联地记录在记录单元110中。而且，服务器100也将以前的加密搜索用私钥CipherKey记录在录单元110中。在终端200_{i_1}从服务器100取得加密搜索用私钥CipherKey的情况下(S8－40)，还取得包含过去的加密搜索用私钥{CipherKey₁,..,CipherKey_i,..}(S8－50)。其中，加密搜索用私钥CipherKey_i表示从第i代搜索用私钥SearchKey_i生成的私钥。

而且，也可以取代过去的全部加密搜索用私钥，而仅取得与最新搜索用私钥对应的加密搜索用私钥。通过这样处理，可以实现处理的高效化。

终端200_{i_1}为了知道有了搜索用私钥的更新，既可以与终端200_{i_0}共享更新间隔，也可以终端200_{i_0}将已更新的情况通知终端200_{i_1}，也可以终端200_{i_1}自己定期地取得加密搜索用私钥。

终端200_{i_1}的加密搜索用密钥解码单元235对于取得的加密搜索用私钥CipherKey计算Temp＝Dec(sk_roomID,CipherKey)，使用从记录单元210读出的会话密钥R₁生成SearchKey＝g(Temp,R₁)(S8－60)。该处理仅反复进行取得的加密搜索用私钥的数目。

在本实施方式的说明中，代表终端200₁和一般终端200_j其作用是不同的。即虽然仅是否负责向服务器100发送房间生成请求，但是关于这些终端的结构作为与图3所示相同性质的结构进行了说明。但是，不一定需要这样构成。即，代表终端200₁作为包含记录单元210、房间生成请求发送单元220、搜索用私钥生成单元230、搜索用私钥加密单元233、加密搜索用私钥解码单元235、消息加密单元240、消息ID生成单元243、索引生成单元245、查询生成单元250、加密消息解码单元255而构成，另一方面，一般终端200_j作为包含记录单元210、搜索用私钥生成单元230、搜索用私钥加密单元233、加密搜索用私钥解码单元235、消息加密单元240、消息ID生成单元243、索引生成单元245、查询生成单元250、加密消息解码单元255而构成。

按照本实施方式，终端200_i由搜索关键字和终端间共享的搜索用私钥生成被隐匿的查询，发送到服务器100，服务器100使用由与消息相关的信息和搜索用私钥生成的、被隐匿的索引和接收到的查询搜索消息。由此，服务器100可以在将消息保持加密的情况下进行搜索。而且，通过定期地更新搜索用私钥，对相同的搜索关键字生成不同的查询，可以防止推测搜索内容或搜索结果。

＜第二实施方式＞

虽然在第一实施方式的消息发送接收系统中使用了公钥加密方式，但是本实施方式的消息发送接收系统不使用公钥加密方式。但是，这里取代明文空间M_pk而定义密钥空间KEY，函数f:KEY×KEY₁→KEY和函数g:KEY×KEY₁→KEY设为满足与第一实施方式中的函数(f,g)所满足的条件(式(1))相同的条件。

这时，例如，KEY₁＝KEY，若在KEY中包含乘法群或者加法群的结构，则对于任意的(K,K₁)∈KEY×KEY，作为满足式(1)的(f,g)的例子，可以举出以下的函数的组。

而且，运算/是，将在密钥空间KEY中包含作为乘法群的结构时的乘法设为·，将该运算·中的x₂的逆元设为x₂ ^-1时，定义为x₁/x₂＝x₁·x₂ ^-1的运算。而且，运算-是，将在密钥空间KEY中包含作为加法群的结构时的加法设为+，将该运算+中的x₂的逆元设为-x₂时，定义为x₁-x₂＝x₁+(-x₂)的运算。

[系统结构]

第二实施方式的消息发送接收系统与第一实施方式的消息发送接收系统同样，包含服务器500和n(≧2)台终端600。而且，与第一实施方式同样，服务器500以及终端600₁，…，终端600_n分别连接到网络300。

如图10中例示的那样，服务器500包含：记录单元110、房间生成单元120、和索引搜索单元140。即，服务器500在不具有密钥生成单元130这一点上与服务器100不同。如图11中例示的那样，终端600_i(1≦i≦n)包含：记录单元210、房间生成请求发送单元220、搜索用私钥生成单元230、搜索用私钥加密单元633、加密搜索用私钥解码单元635、消息加密单元240、消息ID生成单元243、索引生成单元245、查询生成单元250、和加密消息解码单元255。即，终端600_i在取代搜索用私钥加密单元233和加密搜索用私钥解码单元235而具有搜索用私钥加密单元633和加密搜索用私钥解码单元635这一点与终端200_i不同。

第一实施方式和第二实施方式的消息发送接收系统仅在使用还是不使用公钥加密算法这一点中有所不同。其结果，在与系统设置和搜索用私钥的共享的流程中产生不同。因此，以下说明这两个流程。

[系统设置]

这里，房间识别符roomID、会话密钥R₁在属于组的终端600₁，…，终端600_n间被共享。参照图12说明系统设置的流程。

代表终端600₁的房间生成请求发送单元220对服务器500发送房间生成请求(S4－10)。在服务器500接收该请求时，服务器500的房间生成单元120生成以房间识别符roomID识别的房间(S4－20)。服务器500将房间识别符roomID记录在记录单元110中，对代表终端600₁发送房间识别符roomID(S4－42)。

一般终端600_j从代表终端600₁接收表示向房间的邀请的房间识别符roomID(S4－50)。

各终端600_i将房间识别符roomID记录在记录单元210中。

而且，各终端600_i共享会话密钥R₁，记录在记录单元210中(S4－70)。而且，会话密钥R₁对服务器500隐匿也和第一实施方式相同。

[搜索用私钥的共享]

这里，与第一实施方式同样，某个终端600_{i_0}(1≦i₀≦n)生成的搜索用私钥SearchKey经由服务器500在属于组的全部终端600_i之间共享。参照图5说明搜索用私钥SearchKey的共享的流程。

终端600_{i_0}的搜索用私钥生成单元230在房间识别符共享后，生成随机选择的密钥空间KEY的元r作为搜索用私钥SearchKey(S5－10)。即，成为SearchKey＝r。而且，将r称为随机数。该搜索用私钥SearchKey与第一实施方式同样，是对每个房间生成的私钥。终端600_{i_0}将搜索用私钥SearchKey记录在记录单元210中。

终端600_{i_0}的搜索用私钥加密单元633生成加密搜索用私钥CipherKey＝f(SearchKey,R₁)(S5－20)，将加密搜索用私钥CipherKey与房间识别符roomID一起发送到服务器500(S5－30)。即，终端600_{i_0}仅在加密搜索用私钥的生成中不使用公钥这一点与终端200_{i_0}不同。服务器500将接收到的加密搜索用私钥CipherKey与房间识别符roomID相关联地记录在记录单元110中。

终端600_{i_1}将在S4－50中接收到的房间识别符roomID发送到服务器500(S5－40)，从服务器500接收加密搜索用私钥CipherKey(S5－50)。

终端600_{i_1}的加密搜索用密钥解码单元635使用从记录单元210读出的会话密钥R₁计算SearchKey＝g(CipherKey,R₁)，解码搜索用私钥SearchKey(S5－60)。函数(f,g)通过满足前述的条件(式(1))，可以得到搜索用私钥SearchKey。终端600_{i_1}将S5－60中得到的搜索用私钥SearchKey记录在记录单元210中。

而且，在搜索用私钥的更新中，搜索用私钥加密单元633以及加密搜索用密钥解码单元635也不使用公钥、私钥，这与搜索用私钥的共享相同。即，搜索用私钥加密单元633生成加密搜索用私钥作为CipherKey＝f(SearchKey,R₁)，加密搜索用密钥解码单元635使用从记录单元210读出的会话密钥R₁计算SearchKey＝g(CipherKey,R₁)，解码搜索用私钥SearchKey。

按照本实施方式，与第一实施方式同样，服务器500可以在将消息保持加密的情况下进行搜索。而且，通过定期地更新搜索用私钥，对于相同的搜索关键字生成不同的查询，可以防止推测搜索内容或搜索结果。

＜变形例＞

本发明不限于上述的实施方式，不言而喻，在不脱离本发明的宗旨的范围内能够进行适当变更。上述实施方式中说明的各种的处理不仅可以按照记载的顺序时间序列地执行，而且也可以根据执行处理的装置的处理能力或者需要并行地或者单独地执行。

＜补充记载＞

在通过计算机实现上述实施方式中说明的各装置中的各种的处理功能的情况下，通过程序记述各装置应有的功能的处理内容。然后，通过由计算机执行该程序，在计算机上实现上述各装置中的各种的处理功能。

记述了该处理内容的程序可以记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如是磁记录装置、光盘、光磁记录介质、半导体存储器等任何记录介质。

而且，该程序的流通例如通过销售、转让、租借等记录了该程序的DVD、CD-ROM等可拆装型记录介质来进行。进而，也可以将该程序存储在服务器计算机的存储装置中，经由网络，通过将该程序从服务器计算机转发到其它计算机，使该程序流通。

执行这样的程序的计算机，例如，首先将记录在可拆装型记录介质中的程序或者从服务器计算机转发来的程序暂时存储在自己的存储装置中。然后，在执行处理时，该计算机读取自己的存储装置中存储的程序，执行按照读取的程序的处理。而且，作为该程序的其它执行方式，也可以计算机从可拆装型记录介质直接读取程序，执行按照该程序的处理，进而，也可以在每次从服务器计算机对该计算机转发程序时，也可以逐次执行按照接受的程序的处理。而且，也可以通过不从服务器计算机向该计算机进行程序的转发，而仅通过其执行指令和结果取得来实现处理功能的、所谓ASP(Application Service Provider，应用服务商)型的服务，执行上述的处理。而且，本方式中的程序中，包含供电子计算机的处理用的信息即基于程序的信息(虽然不是对于计算机的直接的指令，但是具有规定计算机的处理的性质的数据等)。

而且，在本方式中，设为通过在计算机上执行规定的程序来构成本装置，但是也可以硬件性地实现这些处理内容的至少一部分。

上述的本发明的实施方式的记载是以例证和记载的目的而提示的。不是作为包罗的意思，也不是将发明限定于公开的严格的形式的意思。能够从上述启示教示得到变形或变化。实施方式是为了提供本发明的原理的最好的例证，并且本领域的本领域技术人员为了可将本发明以各种实施方式以及附加了各种变形来利用，使得适用于深思熟虑的实际的使用而选择表现的方式。所有这些变形和变化都在根据其被公正合理地公平地给予的宽度来解释的由附加的权利要求限定的本发明的范围内。

标号的说明

100 服务器

110 记录单元

120 房间生成单元

130 密钥生成单元

140 索引搜索单元

200 终端

210 记录单元

220 房间生成请求发送单元

230 搜索用私钥生成单元

233 搜索用私钥加密单元

235 加密搜索用私钥解码单元

240 消息加密单元

243 消息ID生成单元

245 索引生成单元

250 查询生成单元

255 加密消息解码单元

300 网络

500 服务器

600 终端

633 搜索用私钥加密单元

635 加密搜索用私钥解码单元

Claims

1.一种加密消息搜索方法，

将n设为2以上的整数，

所述加密消息搜索方法在包含共享消息的n台终端和记录了将所述消息加密的加密消息的服务器的消息发送接收系统中，所述终端使用消息搜索用字符串搜索所述加密消息，

将所述服务器管理在所述n台终端中共享的消息的单位设为房间，将其识别符设为房间识别符，

在所述n台终端的记录单元中，记录所述房间识别符、会话密钥，

所述加密消息搜索方法包括：

加密搜索用私钥发送步骤，所述终端在房间识别符共享后或者共享了最初的搜索用私钥后，每当经过事先设定的更新间隔，生成随机数作为搜索用私钥，使用所述会话密钥从所述搜索用私钥生成加密搜索用私钥，将所述加密搜索用私钥发送到所述服务器；

搜索用私钥解码步骤，所述终端使用所述房间识别符从所述服务器取得所述加密搜索用私钥，使用所述会话密钥从所述加密搜索用私钥解码所述搜索用私钥；

加密消息发送步骤，所述终端生成将消息加密的加密消息，使用与所述消息有关的信息和所述搜索用私钥中最新搜索用私钥，生成消息搜索用的索引集合，将所述索引集合和所述加密消息与所述房间识别符一起发送到所述服务器；

查询发送步骤，所述终端使用所述消息搜索用字符串和所述搜索用私钥之中1个以上的搜索用私钥，生成查询集合，将所述查询集合与所述房间识别符一起发送到所述服务器；

加密消息回信步骤，所述服务器从与所述房间识别符相关联地管理的索引集合和加密消息中，搜索具有与所述查询集合的元素一致的索引集合的元素的加密消息，将所述加密消息发送到所述终端；以及

加密消息解码步骤，所述终端从所述加密消息解码消息。

2.如权利要求1所述的加密消息搜索方法，

设函数f,g对任意的(K,K₁)∈KEY×KEY₁满足下式，

g(f(K,K₁),K₁)＝K

设CRHF为将任意长度的字符串作为输入，输出固定长度的字符串的抗冲突哈希函数，设F为将两个任意长度的字符串作为输入，输出字符串的函数，

在所述加密搜索用私钥发送步骤中，将SearchKey作为搜索用私钥，将R₁作为会话密钥，通过计算f(SearchKey,R₁)，生成加密搜索用私钥CipherKey，

在所述搜索用私钥解码步骤中，设Temp＝f(SearchKey,R₁)，通过计算g(Temp,R₁)，解码所述搜索用私钥SearchKey，

在所述加密消息发送步骤中，作为将消息m₁设为加密的消息，将函数G设为将任意长度的字符串作为输入，输出具有依赖于输入字符串的浓度的字符串集合的函数，将与所述消息有关的信息设为G(m₁)＝{s₁,s₂,..,s_q,..}，通过下式计算所述索引集合{Index₁,Index₂,..,Index_q,..}的各元素，

Index_q＝CRHF(F(s_q,SearchKey))

在所述查询发送步骤中，将所述消息搜索用字符串设为m’，将所述查询集合{Query_{T_1},Query_{T_1+1},..,Query_{T_2}}的各元素作为Query_i＝CRHF(F(m’,SearchKey_i))进行计算，其中，T₁≦i≦T₂，T₁、T₂是表示搜索用私钥的世代的1以上的整数。

3.如权利要求1所述的加密消息搜索方法，

在所述n台终端的记录单元中，进一步记录所述服务器对每个所述房间生成的公钥pk_roomID和私钥sk_roomID，

设函数f,g对于任意的(K,K₁)∈M_pk×KEY₁满足下式，

g(f(K,K₁),K₁)＝K

在所述加密搜索用私钥发送步骤中，将SearchKey设为搜索用私钥，将R₁设为会话密钥，生成加密搜索用私钥CipherKey＝Enc(pk_roomID,f(SearchKey,R₁))，

在所述搜索用私钥解码步骤中，通过计算g(Dec(sk_roomID,CipherKey),R₁)，解码所述搜索用私钥SearchKey，

Index_q＝CRHF(F(s_q,SearchKey))

在所述查询发送步骤中，将所述消息搜索用字符串设为m’，将所述查询集合{Query_{T_1},Query_{T_1+1},..,Query_{T_2}}的各元素作为Query_i＝CRHF(F(m’,SearchKey_i))进行计算，其中T₁≦i≦T₂，T₁、T₂表示搜索用私钥的世代的1以上的整数。

4.如权利要求2或者3所述的加密消息搜索方法，

所述函数G是，将消息m₁作为输入，输出通过列举消息m₁内的连续的i个字符构成的字符串而生成的集合{s₁ ⁽¹⁾,s₂ ⁽¹⁾,..,s_j ⁽ⁱ⁾,..}的函数，其中，i＝1,..,P，P＝min{L,length_{m_1}}，L是可搜索的字符串长度的上限值，length_{m_1}是消息m₁的字符串长度，j＝1,2,..,length_{m_1}-i+1。

5.一种消息发送接收系统，

将n设为2以上的整数，

包含共享消息的n台终端和记录将所述消息加密的加密消息的服务器，

所述服务器包括：

记录单元，记录所述房间识别符、以及将所述n台终端共享的搜索用私钥加密的加密搜索用私钥、加密消息、和消息搜索用的索引集合；以及

索引搜索单元，在与所述房间识别符相关联地管理的索引集合和加密消息中，搜索具有与来自所述终端的查询集合的元素一致的索引集合的元素的加密消息，

所述终端包括：

记录单元，记录所述房间识别符、在所述n台终端中共享的会话密钥；

搜索用私钥生成单元，在房间识别符共享后或者共享了最初的搜索用私钥后，每当经过了事先设定的更新间隔，生成随机数作为所述搜索用私钥；

搜索用私钥加密单元，使用所述会话密钥从所述搜索用私钥生成加密搜索用私钥；

加密搜索用私钥解码单元，使用所述房间识别符从所述服务器取得所述加密搜索用私钥，使用所述会话密钥从所述加密搜索用私钥解码所述搜索用私钥；

消息加密单元，生成将消息加密的加密消息；

索引生成单元，使用与所述消息有关的信息、和所述搜索用私钥之中的最新搜索用私钥，输出消息搜索用的索引集合；

查询生成单元，使用消息搜索用字符串、和所述搜索用私钥之中1个以上的搜索用私钥，生成查询集合；以及

加密消息解码单元，从加密消息解码消息。

6.一种服务器，

将n设为2以上的整数，

记录将n台终端共享的消息加密的加密消息，

所述服务器包括：

记录单元，记录所述房间识别符、将所述n台终端共享的搜索用私钥加密的加密搜索用私钥、加密消息、和消息搜索用的索引集合；以及

索引搜索单元，从与所述房间识别符相关联地管理的索引集合和加密消息中，搜索具有与来自所述终端的查询集合的元素一致的索引集合的元素的加密消息。

7.一种终端，

具有记录将消息加密的加密消息的服务器，与其它终端共享所述消息，

所述终端包括：

记录单元，记录所述房间识别符、以及在所述N台终端中共享的会话密钥；

搜索用私钥生成单元，在房间识别符共享后或者共享了最初的搜索用私钥后，每当经过事先设定的更新间隔，生成随机数作为搜索用私钥；

加密搜索用私钥解码单元，使用所述房间识别符从所述服务器取得加密搜索用私钥，使用所述会话密钥从所述加密搜索用私钥解码搜索用私钥；

消息加密单元，生成将消息加密的加密消息；

索引生成单元，使用与所述消息有关的信息、和所述搜索用私钥之中的最新搜索用私钥，生成消息搜索用的索引集合；

查询生成单元，使用消息搜索用字符串和所述搜索用私钥之中的一个以上的搜索用私钥，生成查询集合；以及

加密消息解码单元，从加密消息解码消息。

8.一种程序，用于使计算机具有作为权利要求6所述的服务器或者权利要求7所述的终端的功能。