CN1717665A - 标签隐私保护方法、标签装置、后端装置、更新装置、更新委托装置、其程序以及存储其程序的记录媒体 - Google Patents

Abstract

在第一发明中，对于从读取装置的调用，标签装置在第二运算部中从秘密值存储器中读出秘密值，生成对其使用搅乱定义域的元和其映射的关系的第二函数F2的标签输出信息。该标签输出信息被发送到输出部，并从输出部向后端装置输出。之后，在第一运算部中，从秘密值存储器读出秘密值的至少一部分的要素，对其使用难以求逆像的第一函数F1，并用该运算结果覆盖更新秘密值存储器内的秘密值。在第二发明中，在设在标签装置的外部的更新装置中，在规定的时机，将存储在标签装置中的隐匿ID信息更新为难以掌握与其的关联性的新的隐匿ID信息。

Description

标签隐私保护方法、标签装置、后端装置、更新装置、更新 委托装置、其程序以及存储其程序的记录媒体

技术领域

本发明涉及应用了信息安全技术的标签技术，特别涉及防止从由标签装置输出的信息取得用户的隐私信息的标签隐私保护方法、标签装置、后端装置、更新装置、更新委托装置、程序以及记录媒体。

背景技术

近年来，RFID(Radio Frequency Identification：电波方式识别)等标签自动识别系统的引入不断推进。该系统包括称作“标签(tag)装置”的小型的信息记录媒体、称作“读取(reader)装置”的读取机、以及称作“后端(back-end)装置”的数据库服务器，用于物流管理等。以下，概要说明该技术。

[标签装置的处理]

在基本的标签自动识别系统中，标签装置中存储各标签装置固有的标签ID信息(例如，MIT的Auto-ID中心决定的ID包括：制造者码、表示商品的种类的商品码、表示商品个体的号码的个体号码)。而且，标签装置附在物品上，通过无线通信将各标签装置固有的标签ID信息发送到设置在商店等中的读取装置。

[读取装置的处理]

读取装置通过无线通信从标签装置读取标签ID信息，将该标签ID信息发送到后端装置，委托物流信息的取得等。

[后端装置的处理]

后端装置管理各标签装置的ID和物流信息等的数据库。然后，后端装置以从读取装置发送的标签ID信息为关键字(key)对该数据库的物流信息等进行检索，并将该检索结果发送到读取装置。

[基本的标签自动识别系统的问题点]

但是，在基本的标签自动识别系统中，由于只要是具有读取装置的人，谁都可以读取标签ID信息，所以有所持有物品的信息从被盗听的标签ID信息泄漏的危险性。

对于此，在非专利文献2中，记载了标签装置将散列(hash)值输出到读取装置的方法。

在该方法的情况下，首先，标签装置将ID信息id与随机数r的位结合的散列值H(id|r)，和该随机数r发送到读取装置。读取装置将它们发送到后端装置。后端装置将接收的随机数r和存储在数据库中的各id’位结合，求其散列值H(id’|r)。然后，后端装置检验求出的散列值H(id’|r)与接收的H(id|r)是否一致，将一致的id’所对应的物流信息等发送到读取装置中。由此，可以防止标签ID信息泄漏到第三者。另外，H(^*)表示对^*使用散列函数H的处理。

而且，在未公开的专利申请号2003-111342以及2003-113798所示的方法中，使用将标签信息加密的隐匿ID，防止标签ID信息泄漏到第三者。即，在这些方法中，在标签装置中预先存储隐匿ID，读取该隐匿ID的客户装置对网络上的安全服务器装置委托该隐匿ID的解码。接收了该委托的安全服务器装置在确认了委托源为正式的客户装置之后，响应该隐匿ID的解码结果的纯文本的标签ID信息。由此，可以防止标签ID信息泄漏到第三者。

非专利文献1：EPC global，Inc.，”EPCglobal”，[online]，[2004年9月9日检索]，因特网<http：//www.epcglobalinc.org/>

非专利文献2：Stephen A.Weis，Sanjay E.Sarma，Ronald L.Rivest，DanielW.Engels，Security and Privacy Aspects of Low-Cost Radio FrequencyIdentification Systems，First International Conference on Security in PervasiveComputing.

但是，在现有的方法中，有时根据从标签装置输出的信息追踪(trace)标签装置的流通过程。

换言之，例如在非专利文献2所记载的方法的情况下，从标签装置发送到读取装置的散列值H(id|r)对于不知道id的第三者来说，是单纯的随机数。而且，由于随机数r在每一次进行标签装置和读取装置的通信时生成，所以散列值H(id|r)在每次通信不同。从而，通常，攻击者无法得知从标签装置盗听的散列值H(id|r)和过去的通信历史的散列值H(id’|r_i)的关联性。但是，在攻击者通过标签装置的干预而得到了ID信息id的情况下，该攻击者可以根据通信历史的随机数r_i计算散列值H(id’|r_i)(如果知道散列函数H)。然后，通过检验该计算值与通信历史的散列值(对应于随机数r_i)是否一致，该攻击者可以知道该通信历史是否对应于取得了的ID，通过收集对应于该ID的通信历史可以追踪标签装置的流通过程。

而且，例如在专利申请号2003-111342等所示的方法中，由于通常从无线标签装置返回相同的隐匿ID，所以即使攻击者无法解读纯文本的ID，通过追踪该隐匿ID，也可以追踪该标签装置的流通过程。

发明内容

本发明鉴于上述问题而完成，其目的在于提供一种可防止第三者对标签装置的流通过程的追踪的技术。

为了解决以上的课题，在标签装置中预先存储ID信息的加密信息，并在规定的时机对其进行更新。由此，攻击者难以取得过去标签装置输出的信息和更新了的加密信息的关联，并难以追踪标签装置的流通过程。

例如，在第一本发明中，各标签装置的秘密值存储器中预先存储各个标签ID信息所对应的秘密值。然后，对来自读取装置的调用，标签装置在输出部中，输出秘密值存储器的秘密值所对应的标签输出信息。然后，在第一运算部中，从秘密值存储器读取秘密值的至少一部分的要素，对其使用难以求出逆像的第一函数F1，该运算结果，将秘密值存储器内的秘密值覆盖更新。这里，由于秘密值存储器内的秘密值被覆盖更新，所以即使攻击者通过干预而取得存储在秘密值存储中的秘密值，更新后的秘密值也不对应于更新前从标签装置发送的信息。而且，由于该更新通过使用难以求出逆像的第一函数F1来进行，所以难以根据某时刻的秘密值求出更新前的秘密值。从而，攻击者无法得知标签装置和通信历史的对应。

而且，例如，在第二本发明中，在设置在标签装置的外部的更新装置中，将存储在标签装置中的隐匿ID信息，在规定的时机更新为难以把握与其的关联性的新的隐匿ID信息。这样，由于隐匿ID信息被更新，所以攻击者无法得知该更新前从标签装置输出到后端装置的隐匿ID信息和更新后的新的隐匿ID信息的对应。从而，攻击者无法得知标签装置和通信历史的对应。

如上所述，在本发明中，由于第三者无法得知标签装置和通信历史的对应，所以可以防止第三者对标签装置的流通过程的追踪。

附图说明

图1A是例示第一实施方式的标签自动识别系统的整体的方框图，图1B是例示标签装置的概略结构的方框图，图1C是例示后端装置的概略结构的方框图。

图2是例示实施例1的标签自动识别系统的整体结构的图。

图3是用于说明实施例1的处理的流程图。

图4是例示实施例2的标签自动识别系统的整体结构的图。

图5是例示实施例3的标签自动识别系统的整体结构的图。

图6是用于说明实施例3的后端装置的处理的流程图。

图7是例示实施例4的标签自动识别系统的整体结构的图。

图8是用于说明实施例4的后端装置的处理的流程图。

图9是例示实施例5的标签自动识别系统的整体结构的图。

图10A是用于说明实施例5的标签装置的处理的流程图，图10B是用于说明本实施例的后端装置的处理的流程图。

图11是例示实施例6的标记自动识别系统的整体结构的图。

图12是用于说明实施例6的处理的流程图。

图13是例示实施例7的标签自动识别系统的整体结构的图。

图14是用于说明实施例7的处理的流程图。

图15是例示实施例8的标签自动识别系统的整体结构的图。

图16A是存储在标签装置的秘密值存储器中的数据的例示，图16B是存储在后端装置的数据库存储器中的数据的例示。

图17是用于说明实施例8的处理的流程图。

图18是用于说明实施例8的处理的流程图。

图19是用于例示实施例9的标签自动识别系统的整体结构的图。

图20A是存储在标签装置的秘密值存储器中的数据的例示，图20B是存储在后端装置的数据库存储器中的数据的例示。

图21是例示实施例10的标签自动识别系统的整体结构的图。

图22是用于说明实施例10的标签装置的处理的流程图。

图23是用于说明实施例10的后端装置的处理的流程图。

图24是例示实施例11的标签自动识别系统的整体结构的图

图25是用于说明实施例11的标签装置的处理的流程图。

图26是用于说明实施例11的后端装置的处理的一部分的流程图。

图27是用于说明实施例12的标签装置的处理的流程图。

图28是例示第二实施方式的概略结构的方框图。

图29是例示实施例14的更新系统的整体结构的概念图。

图30是例示实施例14的更新系统的功能结构的方框图。

图31是用于说明实施例14的处理顺序的流程图。

图32是例示本实施例15的更新系统的功能结构的方框图。

图33是用于说明本实施例15的处理顺序的流程图。

图34是例示实施例16的更新系统的功能结构的方框图。

图35是用于说明本实施例16的处理顺序的流程图。

图36是例示实施例17的更新系统的功能结构的方框图。

图37是用于说明本实施例17的处理顺序的流程图。

图38是例示实施例18的更新系统的整体结构的概念图。

图39是例示实施例18的更新系统的功能结构的方框图。

图40是用于说明本实施例18的处理顺序的流程图。

图41是例示实施例19的更新系统的功能结构的方框图。

图42是用于说明本实施例19的处理顺序的流程图。

图43是例示实施例20的更新系统的功能结构的方框图。

图44是用于说明本实施例20的处理顺序的流程图。

图45是例示实施例21的更新系统的功能结构的方框图。

图46是例示实施例22的更新系统的功能结构的方框图。

图47是例示实施例23的更新系统的整体结构的概念图。

图48是例示实施例23的更新系统的功能结构的方框图。

图49是用于说明本实施例23的处理顺序的流程图。

图50是用于说明本实施例23的处理顺序的流程图。

图51是例示实施例24的安全服务器装置的功能结构的图。

图52是例示实施例24的格式的图。

图53是用于说明实施例24的安全服务器装置的处理顺序所流程图。

图54是例示实施例25的更新系统的功能结构的方框图。

图55是例示实施例25的更新系统的功能结构的方框图。

图56是用于说明本实施例25的处理顺序的流程图。

图57是用于说明本实施例25的处理顺序的流程图。

图58是例示实施例26中的标签装置的功能结构的图。

符号说明

1标签自动识别系统

10标签装置

11秘密值存储器

12第一运算部

13第二运算部

14输出部

20读取装置

30后端装置

31数据库存储器

32输入部

33运算部

34比较部

35读出部

40网络

1500更新系统

1510标签装置

1511秘密值存储器

1512读写部

1513输出部

1514输入部

1560安全服务器装置

1561输入部

1562更新部

1563

具体实施方式

以下，参照附图说明本发明的实施方式。

[第一实施方式]

<结构>

图1A是例示第一实施方式中的标签自动识别系统1的整体的方框图。而且，图1B是例示标签装置10的概略结构的方框图，图1C是例示后端装置30的概略结构的方框图。

如图1A所例示的，本方式的标签自动识别系统1包括：标签装置10、读取装置20、通过网络40连接到该读取装置20的后端装置30。

而且，如图1B所示，本方式的标签装置10包括：秘密值存储器11，存储各个标签ID信息所对应的秘密值；第一运算部12，使用难以求逆像的第一函数F1；第二运算部13，使用搅乱定义域的元和其映射的关系的第二函数F2；以及输出部14，对后端装置30输出秘密值存储器11的秘密值所对应的标签输出信息。

而且，如图1C所例示的，本方式的后端装置30包括：数据库存储器31，将各标签ID信息和与其对应的秘密值建立对应；输入部32，接受标签输出信息的输入；运算部33，使用上述第一函数F1和第二函数；比较部34，比较运算部33的运算结果和标签输出信息；以及读取部35，从数据库存储器31中提取信息。

<标签装置10的处理>

标签装置10接到来自读取装置20的读取请求时，首先，标签装置10的第二运算部13从秘密值存储器11读取秘密值，生成对其使用第二函数F2的标签输出信息。该标签输出信息被发送到输出部14，在输出部14中对后端装置30输出(无线或者有线)。之后，在第一运算部12中，从秘密值存储器11读取秘密值的至少一部分的要素，并对其使用第一函数F1，该运算结果，将秘密值存储器11内的秘密值覆盖更新。另外，这里，在生成了标签输出信息之后，将秘密值存储器11内的秘密值覆盖更新，但在将秘密值存储器11内的秘密值覆盖更新之后生成标签输出信息也可以。

<读取装置20的处理>

读取装置20接受从标签装置10对后端装置30输出的标签输出信息的输入，并将其通过网络40发送给后端装置30。

<后端装置30的处理>

后端装置30的输入部32接收从读取装置20发送的标签输出信息的输入。以此为触发，运算部33在对数据库存储器31的秘密值的至少一部分要素使用了规定次数标签装置10所使用的第一函数F1之后，进一步使用该标签装置10所使用的第二函数。然后，在比较部34中，依次比较运算部33中的运算结果和标签输出信息，在它们一致的情况下，在读取部35中，从数据库存储器31提取对应于一致的运算结果的、与秘密值建立了对应的标签ID信息。

[实施例1]

图2是例示实施例1的标签自动识别系统100的整体结构的图，图3是用于说明实施例1的处理的流程图。

以下，使用这些图说明实施例1的功能结构以及处理方法。

<结构>

如图2所例示的，实施例1的标签自动识别系统100具有：标签装置110、读取装置120、以及可通过网络140连接到读取装置120的后端装置130。另外，在图2中，为了简化说明，仅图示了一个标签装置110，但实际上存在大于等于此的数的标签装置110。而且，在图2中，各表示了一个读取装置120以及后端装置130，但也可以由大于等于此的数的读取装置120以及后端装置130构成本系统。

<标签装置>

本例的标签装置110具有：秘密值存储器111、散列运算部112(相当于“第二运算部”)、散列运算部113(相当于“第一运算部”)、接口114(相当于“输出部”)、以及包括存储器115a的控制部115。

这里，秘密值存储器111、存储器115a例如是EEPROM(ElectronicallyErasable and Programmable Read Only Memory)、FeRAM(Ferroelectric RandomAccess Memory)、闪存、NV(Nonvolatile)RAM等可读写的存储器。

散列运算部112以及散列运算部113例如是对输入值分别使用单方向性函数的散列(hash)函数G，H：{0，1}^*→{0，1}^L，并输出其结果地构成的集成电路。另外，{0，1}^*表示所有的二进制序列的集合，{0，1}^L表示L位长的二进制序列的集合。而且，作为这样的散列函数G，H，可以例示SHA-1、MD5等。另外，该散列函数H相当于“难以求逆像的第一函数F1”，散列函数G相当于“搅乱定义域的元和其映射的关系的第二函数F2”。而且，控制部115例如是控制标签装置110整体的处理那样构成的集成电路。

接口114例如是通过无线或有线向读取装置120输出数据的硬件。具体来说，接口114例如具有：编码·解码电路，通过NRZ码或曼彻斯特编码或米勒码或单极RZ编码等进行编码·解码；调制·解调电路，通过ASK(Amplitude Shift Keying)或PSK(Phase Shift Keying)或FSK(Frequency ShiftKeying)等进行调制·解调；以及偶极天线或微带天线或环形天线或带芯线圈等天线，使用低频带或ISM带(Industry Science Medical band)的频率进行信号的发送接收。另外，通信方式例如利用电磁感应方式或电波方式。

而且，散列运算部112以及散列运算部113与秘密值存储器111电连接，散列运算部112与接口114(相当于“输出部”)电连接。而且，虽在该图中省略了，但控制部115与标签装置110的各部电连接。

<读取装置>

本例的读取装置120具有：物流信息存储器121、接口122、通信部123、存储器124a以及控制部124。

物流信息存储器121例如是硬盘装置、软盘等磁记录装置，DVD-RAM(Random Access Memory)、CD-R(Recordable)/RW(ReWritable)等光盘装置、MO(Magneto-Optical disc)等光磁记录装置、EEP-ROM(ElectronicallyErasable and Programmable-Read Only Memory)、闪存(flash memory)等半导体存储器等。接口122例如是与接口114同样的硬件。通信部123例如是LAN卡、调制解调器、终端适配器等，控制部124例如是具有存储器124a的CISC(Complex Instruction Set Computer)方式、RISC(Reduced InstructionSet Computer)方式等的CPU(Central Processing Unit)。

而且，接口122以及物流信息存储器121与通信部123电连接，虽在该图中省略，但控制部124与读取装置120的各部电连接。

<后端装置>

本例的后端装置130具有：数据库存储器131、通信部132(相当于“输入部”)、散列运算部133(相当于“第三运算部”)、比较部134、读写部135(相当于“读出部”)、存储器136a以及控制部136。具体来说，后端装置130通过使公知的诺伊曼型计算机执行规定的程序而构成，所述计算机通过总线连接例如CPU、RAM、ROM(Read Only Memory))、磁记录装置或光盘装置等外部存储装置、LAN卡或调制解调器或终端适配器等。而且，该CPU读取存储在RAM中的程序，并执行依照程序的处理，从而实现以下所示的各处理功能。

<预处理>

首先，在后端装置130中安装规定的程序，以便后端装置130的散列运算部133可以使用与标签装置110相同的散列函数G，H。

将各标签ID信息id_k(k∈{1，...，m}，k对应于各标签装置，m是标签装置的总数)所对应的秘密值s_k，1(相当于“第一秘密值”)在各个标签装置110的秘密值存储器111中各存储一个。另外，该秘密值s_k，1例如是标签装置110外部的随机数生成装置(未图示)通过基于使用SHA-1等单方向性散列函数的计算量理论的虚拟随机数生成算法生成的虚拟随机数s_k，1∈{0，1}^L。另外，不同的标签装置中存储的随机数s_k，1互相不一致。而且，后端装置130的数据库存储器131中将各标签装置n所对应的秘密值s_n，1(相当于“第二秘密值”，n∈{1，...，m}，n对应于k)和标签ID信息id_n和物流信息等数据data_n对应存储。

<标签装置的处理>

以下，说明第i次(i是自然数)使读取装置120读取标签装置110时的处理。另外，标签装置110的处理在控制部115的控制下进行，该控制所需的数据被逐一对存储器115a读写。

首先，在散列运算部112中，从秘密值存储器111中读取秘密值s_k，i(相当于“第一秘密值”)(步骤S1)，并生成作为其散列值的标签输出信息G(s_k，i)(步骤S2)。该标签输出信息G(s_k，i)被发送到接口114，并从接口114通过有线或无线发送到读取装置120(步骤S3)。

接着，在散列运算部113中，运算从秘密值存储器111读出的秘密值s_k，i的散列值s_k，i+1＝H(s_k，i)(步骤S4)，将该散列值s_k，i+1作为新的秘密值s_k，i+1(相当于“新的第一秘密值”)覆盖保存在秘密值存储器111上(删除秘密值存储器111的秘密值s_k，i，取而代之，存储秘密值s_k，i+1：步骤S5)。另外，H(^*)表示对^*使用散列函数H的处理。

<读取装置的处理>

读取装置120的处理在控制部124的控制下进行，该控制所需的数据被逐一对存储器124a读写。

首先，读取装置120在接口122中，接收从标签装置110发送的标签输出信息G(s_k，i)(步骤S6)并发送到通信部123。通信部123从物流信息存储器121中提取物流信息pd(例如，设置了读取装置120的商店码等)(步骤S7)，并将该物流信息pd和标签输出信息G(s_k，i)通过网络140发送到后端装置130(步骤S8)。

<后端装置的处理>

后端装置130的处理在控制部136的控制下进行，该控制所需的数据被逐一对存储器136a读写。

首先，后端装置130在通信部132中，接收从读取装置120发送的物流信息pd和标签输出信息G(s_k，i)(接受输入：步骤S9)。另外，接收的物流信息pd和标签输出信息G(s_k，i)被存储在存储器136a中。接着，控制部136将1代入n并将其存储在存储器136a中(步骤S10)。然后，控制部136参照存储器136a的n的值，使散列运算部133从数据库存储器131提取秘密值s_k，i(步骤S11)。接着，控制部136将0代入j并将其存储在存储器136a中(步骤S12)。然后控制部136参照存储器136a的j的值，使散列运算部133计算散列值G(H^j(s_n，1))(相当于“第三运算部中的运算结果”)(步骤S13)。另外，H^j(s_n，1)表示对秘密值s_n，1使用j次散列函数H。而且，H⁰(s_n，1)表示s_n，1。

接着，在比较部134中，从散列运算部133取得G(H^j(s_n，1))，从存储器136a取得标签输出信息G(s_ki)，并比较它们(步骤S14)。

这里，在这些值不一致的情况下(步骤S15)，控制部136将j+1代入存储器136a的j(步骤S16)，并判断j是否超过了规定的最大值j_max(步骤S17)。这里，在j小于等于最大值j_max的情况下，控制部136再执行步骤S13以后的处理，在j超过最大值j_max的情况下，判断存储器136a的n是否为m(步骤S18)。这里，如果不是n＝m，则控制部136在存储器136a的n中存储n+1(步骤S19)，并再执行步骤S11以后的处理，如果n＝m则结束处理。另外，该处理在控制部136的控制下，如果标签输出信息G(s_k，i)-和散列值G(H^j(s_n，1))不一致，则将n以及j的至少一个的值变化，相当于再进行散列运算部133以及比较部134中的处理。

另一方面，在标签输出信息G(s_k，i)和散列值G(H^j(s_n，1))一致的情况下(步骤S15)，控制部136将一致的散列值G(H^j(s_n，1))所对应的秘密值s_n，1发送到读写部135，读写部135从数据库存储器131中提取对应于一致的散列值G(H^j(s_n，1))的、与秘密值s_n，1对应的标签ID信息id_n和物流信息等数据data_n，并将其发送到通信部132(步骤S20)。而且，读写部135从存储器136a接受物流信息pd，并将该物流信息pd与该秘密值s_n，1对应，写入数据库存储器131(步骤S20)。

发送到通信部132的标签ID信息id_n和数据data_n通过网络140被发送到读取装置120(步骤S21)，由读取装置120的通信部123接收并输出(步骤S22)。

<实施例1的特征>

[不可追踪性]

本方式的实施例1中，在通信中使用散列值G(s_k，i)作为标签输出信息。根据散列值的不可识别性，对于不知道秘密值的攻击者来说，该散列值G(s_k，i)被看作单纯的随机数。因此，该攻击者无法得知G(s_k，i)和G(s_k，i+1)是否是从相同的标签装置110输出的值，也无法追踪标签装置110的流通过程。

[前向安全]

在本方式的实施例1中，通过散列函数H更新通信使用的秘密值存储器111内的秘密值。而且，由于散列函数的单方向性，即使标签装置110被干预等秘密值s_k，i泄漏，攻击者也不能根据该秘密值s_k，i来求过去的秘密值s_k，i-Δi。从而，即使秘密值s_k，i泄漏，攻击者也无法得到取得的秘密值s_k，i和通信历史的对应，并无法追踪标签装置110。

[追踪可能性]

另一方面，根据散列函数G，H的冲突困难性(不同值的散列值难以取相同值的性质)，知道秘密值s_n，1的后端装置130可以追踪标签装置110的流通过程。

[效率性]

由于仅通过散列函数的运算构成通信数据，所以与现有的发生随机数的方法相比，标签装置110中的电路规模减小，适于要求低价格的用途。

另外，后端装置130中的在步骤S13的过程中计算出的散列值H^j(s_n，1)存储在存储器136a中，并在下一个循环的步骤S13中利用也可以。即，使用记录的H^j(s_n，1)通过H(H^j(s_n，1))求散列值H^j+1(s_n，1)，进而将该值存储在存储器136a中也可以。在该情况下，可以降低散列运算部133的散列运算次数，并可以提高后端装置130的运算效率。

[实施例2]

实施例2是实施例1的变形例，标签装置进一步保持标签ID信息id_k(相当于“第一固有值W_k”)，通过s_k，i+1＝H(s_k，i|id_k)来更新秘密值s_k，i，仅这一点与实施例1不同。以下，仅说明与实施例1的不同点。

图4是例示实施例2中的标签自动识别系统200的整体结构的图。另外，在该图中，与实施例1共同的部分赋予与实施例1共同的符号。以下，在该图中，说明实施例2的功能结构以及处理方法。

<预处理>

在标签装置210的秘密值存储器211中存储该标签ID信息id_k和与其对应的秘密值s_k，i，仅这一点与实施例1不同。而且，在后端装置130的数据库存储器131中，将各标签装置n所对应的秘密值s_n，1和标签ID信息id_n和物流信息等数据data_n对应存储，但该标签ID信息id_n相当于“第二固有值W_n”。

<标签装置的处理>

仅步骤S4的处理与实施例1不同。即，代替实施例1的步骤S4的处理，在散列运算部213(相当于“第一运算部”)中，从秘密值存储器211中提取秘密值s_k，i和标签ID信息id_k，运算s_k，i+1＝H(s_k，i’|id_k)。α|β表示α和β的位结合。而且，将该运算结果作为新的秘密值s_k，i+1在秘密值存储器211中覆盖。

<读取装置的处理>

与实施例1同样。

<后端装置的处理>

仅步骤S11、S13、S14的处理与实施例1不同。即，在实施例2中，代替步骤S11，在后端装置230的散列运算部233(相当于“第三运算部”)中，从数据库存储器131中提取秘密值s_n，1以及与其对应的标签ID信息id_n。

接着，与实施例1同样，控制部136将0代入j，并将其存储在存储器136a中(步骤S12)。之后，代替步骤S13，散列运算部233计算散列值G(I^j(n))。其中，定义为I^j(n)＝s_n，1(j＝0)，I^j(n)＝H(I^j-1(n)|id_n)(j≥1)。即，散列运算部233根据秘密值s_n，1以及与其对应的标签递归地求I^j(n)，并计算其散列值G(I^j(n))。另外，该递归运算通过将运算过程中的各I^j’(n)(j’∈{1，...，j-1})临时存储在存储器136a中，并将其用于下一个I^j’+1(n)的计算来实现。而且，在计算散列值G(I^j(n))时求出的I^j(n)至少到下一个散列值G(I^j+1(n))计算出时保存在存储器136a中。由此，可以将临时求出的I^j(n)利用于求下一个散列值G(I^j+1(n))时的I^j+1(n)＝H(I^j(n)|id_n)的运算中，并可以实现运算的效率化。

之后，代替步骤S14，在比较部134中，从散列运算部233取得散列值G(I^j(n))，从存储器136a取得标签输出信息G(s_k，i)，并比较它们。之后，与实施例1同样，执行步骤S15以后的处理。

如以上所说明的，在实施例2中，通过s_k，i+1＝H(s_k，i|id_k)的运算来更新标签装置210的秘密值存储器211的秘密值s_k，i。由此，可以防止不同的标签ID信息id_k所对应的秘密值的更新内容半永久地一致的情况。即，在对不同的秘密值等分别使用了相同的散列函数的情况下，也有在某一时刻这些运算结果一致的情况(collision)。但是，即使在该情况下，由于各个秘密值s_k，i所对应的标签ID信息id_k不同，所以通过s_k，i+1＝H(s_k，i|id_k)运算的下一个秘密值不相同。这是在通过s_k，i+1＝H(s_k，i)进行秘密值的更新的情况下得不到的效果。

另外，在实施例2中，将标签ID信息id_k以及id_n，分别设为第一固有值w_k以及第二固有值w_n，，但也可以将各标签ID信息所对应的其它的信息作为固定值使用。

[实施例3]

本方式是实施例1的变形例，在后端装置中，记录预先计算出的运算值G(H^j(s_n，1))(j＝0，...，j_max)，仅这一点与实施例1不同。以下，仅说明与实施例1的不同点。

图5是例示实施例3中的标签自动识别系统300的整体结构的图。另外，在该图中，与实施例1共同的部分赋予与实施例1共同的符号。图6是用于说明实施例3的后端装置330的处理的流程图。以下，在该图中，说明实施例3的功能结构以及处理方法。

<预处理>

在后端装置330的数据库存储器331中将在散列运算部133中预先计算出的运算结果G(H^j(s_n，1))(j＝0，...，j_max)与秘密值s_n，1对应存储，仅这一点与第一实施方式不同。

<标签装置的处理·读取装置的处理>

与实施例1相同。

<后端装置的处理>

首先，后端装置330在通信部132中接收从读取装置120发送的物流信息pd和标签输出信息G(s_k，i)(步骤S31)。另外，接收的物流信息pd和标签输出信息G(s_k，i)被存储在存储器136a中。接着，控制部136将1代入n，并将其存储在存储器136a中(步骤S32)。接着，控制部136将0代入j，并将其存储在存储器136a中(步骤S33)。然后，控制部136参照存储器136a的n，j的值，提取存储在数据库存储器331中的运算结果G(H^j(s_n，1))(步骤S34)。

接着，在比较部134中，比较该运算结果G(H^j(s_n，1))和从存储器136a中提取的标签输出信息G(s_k，i)(步骤S35)。

这里，在这些值不一致的情况下(步骤S36)，控制部136将j+1代入存储器136a的j(步骤S37)，并判断j是否超过了规定的最大值j_max(步骤S38)。这里，在j小于等于最大值j_max的情况下，控制部136再执行步骤S13以后的处理，在j超过最大值j_max的情况下，判断存储器136a的n是否为m(步骤S39)。这里，如果不是n＝m，则控制部136存储n←n+1(n+1设为新的n)(步骤S40)，并再执行步骤S33以后的处理，如果n＝m则结束处理。另外，该处理在控制部136的控制下，如果标签输出信息G(s_k，i)-和散列值G(H^j(s_n，1))不一致，则将n以及j的至少一个的值变化，相当于再进行散列运算部133以及比较部134中的处理。

另一方面，在标签输出信息G(s_k，i)和散列值G(H^j(s_n，1))一致的情况下(步骤S36)，控制部136将一致的散列值G(H^j(s_n，1))所对应的秘密值s_n，1发送到读写部135，读写部135从数据库存储器131中提取对应于一致的散列值G(H^j(s_n，1))的、与秘密值s_n，1对应的ID信息id_n和物流信息等数据data_n，并将其发送到通信部132(步骤S40)。而且，读写部135从存储器136a接受物流信息pd，并将该物流信息pd与该秘密值s_n，1对应，写入数据库存储器131(步骤S40)。发送到通信部132的标签ID信息id_n和数据data_n通过网络140被发送到读取装置120(步骤S41)。

如以上所说明的，在实施例3中，将预先计算出的运算结果G(H^j(s_n，1))存储在数据库存储器331中。因此，与对每个比较处理计算G(H^j(s_n，1))的情况相比，可以降低后端装置330的处理量。

[实施例4]

实施例4是实施例1的变形例，从标签装置发送特定秘密值的更新次数的信息，通过后端装置使用该秘密值的更新次数进行处理，仅这一点与实施例1不同。以下，仅说明与实施例1的不同点。

图7是例示实施例4中的标签自动识别系统400的整体结构的图。另外，在该图中，与实施例1共同的部分赋予与实施例1共同的符号。图8是用于说明实施例4的后端装置430的处理的流程图。以下，在该图中，说明实施例4的功能结构以及处理方法。

<标签装置的结构>

标签装置410具有对秘密值的更新次数m进行计数的计数器416，仅这一点与实施例1不同。

<标签装置的处理>

仅标签装置410的秘密值存储器411中除了秘密值s_k，i，还存储计数器416计数的秘密值s_k，i的更新次数rn这一点，和将特定该更新次数rn的信息经由散列运算部112以及接口114(相当于“输出部”)发送到读取装置120这一点与实施例1不同。

<读取装置的处理>

在接口122中还接收特定更新次数rn的信息，在通信部123中还通过网络140向后端装置430发送特定该更新次数rn的信息，这一点与实施例1不同。

<后端装置的处理>

首先，后端装置330在通信部132中接收特定从读取装置120发送的rn的信息、物流信息pd以及标签输出信息G(s_k，i)(步骤S50)。另外，特定接收的rn的信息、物流信息pd以及标签输出信息G(s_k，i)存储在存储器136a中。接着，控制部136将1代入n并将其存储在存储器136a中(步骤S51)。然后，控制部参照存储器136a的n，j的值，使散列运算部433从数据库存储器131中提取秘密值s_n，1(步骤S52)，并对其使用rn次散列函数H之后，进一步使用散列函数G，并计算散列值G(H^j(s_n，1))(j＝rn)(步骤S53)。

接着，在比较部134中，从散列运算部433中取得散列值G(H^j(s_n，1))，从存储器136a中取得标签输出信息G(s_k，i)，并比较它们(步骤S54)。

这里，在这些值不一致的情况下(步骤S55)，控制部136判断存储器136a的n是否为m(步骤S56)。这里，如果不是n＝m，则控制部136将n←n+1(n+1设为新的n)存储在存储器136a中(步骤S57)，并再执行步骤S52以后的处理，如果n＝m则结束处理。另外，该处理相当于在散列值G(H^j(s_n，1))和标签输出信息G(s_k，i)不一致的情况下，将n的值变化，再进行散列运算部433以及比较部134中的处理。

另一方面，在标签输出信息G(s_k，i)和散列值G(H^j(s_n，1))一致的情况下(步骤S36)，控制部136将一致的散列值G(H^j(s_n，1))所对应的秘密值s_n，1发送到读写部135，读写部135从数据库存储器131中提取对应于一致的散列值G(H^j(s_n，1))的、与秘密值s_n，1对应的ID信息id_n和物流信息等数据data_n，并将其发送到通信部132(步骤S58)。而且，读写部135从存储器136a接受物流信息pd，并将该物流信息pd与该秘密值s_n，1对应，写入数据库存储器131(步骤S59)。发送到通信部132的标签ID信息id_n和数据data_n通过网络140被发送到读取装置120(步骤S59)。

如以上所说明的，在实施例4中，在标签装置410中发送rn，在后端装置430中，使用该rn计算散列值G(H^j(s_n，1))并进行比较处理。由此，后端装置430的比较处理对各s_n，1仅一次，可以降低该处理所需的处理量。

[实施例5]

实施例5是实施例1的变形例，代替散列函数，使用密钥加密函数进行秘密值的更新·比较，仅这一点与实施例1不同。以下，仅说明与实施例1的不同点。

图9是例示实施例5中的标签自动识别系统500的整体结构的图。另外，在该图中，与实施例1共同的部分赋予与实施例1共同的符号。图10A是用于说明实施例5的标签装置510的处理的流程图，图10B是用于说明实施例5的后端装置530的处理的流程图。以下，在该图中，说明本实施例的功能结构以及处理方法。

<预处理>

在实施例5中，在标签装置510上设置密钥存储器515，在后端装置530上设置密钥存储器536，分别存储共同密钥KG，KH。而且，标签装置510中代替实施例1的散列运算部112、113，设置加密函数运算部512、513，后端装置530上代替散列运算部133而设有加密函数运算部533。然后，加密函数运算部512、513、533可以进行通过AES，Camellia等共同密钥加密函数的运算来代替散列函数。另外，在实施例5中，使用共同密钥KG的共同密钥加密函数E相当于“难以求逆像的第一函数F1”，使用共同密钥KG的共同密钥加密函数E相当于“搅乱定义域的元和其映射的关系的第二函数F2”。即，本例的第一函数F1以及第二函数F2是应用了不同的共同密钥的相同的共同密钥加密函数。

以上的点与实施例1不同。

<标签装置的处理>

首先，在加密函数运算部512(相当于“第二运算部”)中，从秘密值存储器111提取秘密值s_k，i(步骤S61)，从密钥存储器515中提取共同密钥KG，并对秘密值s_k，i以共同密钥KG使用共同密钥加密函数E(E_KG(s_k，i)：步骤S62)。计算出的加密文本E_KG(s_k，i)作为标签输出信息E_KG(s_k，i)从接口114通过无线或有线发送到读取装置120(步骤S63)。

接着，在加密函数运算部513中(相当于“第一运算部”)，从密钥存储器515提取共同密钥KH，从秘密值存储器111提取秘密值s_k，i，并对该秘密值s_ki以共同密钥使用共同密钥加密函数E(步骤S64)，并将该运算结果作为新的秘密值s_i+1＝E_KH(s_k，i)覆盖保存在秘密值存储器111上(步骤S65)。

<读取装置的处理>

与实施例1同样。

<后端装置的处理>

首先，后端装置530在通信部132中，接收从读取装置120发送的物流信息pd和标签输出信息E_KG(s_k，i)(步骤S70)。另外，接收的物流信息pd和标签输出信息E_KG(s_k，i)被存储在存储器136a中。接着，控制部136将1代入n并将其存储在存储器136a中(步骤S71)。然后，控制部136参照存储器136a的n的值，使散列运算部533(相当于“第三运算部”)从数据库存储器131提取秘密值s_n，1(步骤S72)。接着，控制部136将0代入j并将其存储在存储部136a中(步骤S73)。然后控制部136参照存储器136a的j的值，使散列运算部533计算加密文本E^j _KG(E_KH(s_n，1))(相当于“第三运算部中的运算结果”)(步骤S74)。另外，E^j _KH(s_n，1)表示对秘密值s_n，1以共同密钥使用j次共同密钥函数E。接着，在比较部134中，从散列运算部133取得加密文本E^j _KG(E_KH(s_n，1))，存储器136a取得标签输出信息标签输出信息E_KG(s_k，i)，并比较它们(步骤S75)。

这里，在这些值不一致的情况下(步骤S76)，控制部136将j+1代入存储器136a(步骤S77)，并判断j是否超过了规定的最大值j_max(步骤S78)。这里，在j小于等于最大值j_max的情况下，控制部136再执行步骤S74以后的处理，在j超过最大值j_max的情况下，判断存储器136a的n是否为m(步骤S18)。这里，如果不是n＝m，则控制部136在存储器136a中存储n←n+1(将n+1设为新的n)(步骤S80)，并再执行步骤S72以后的处理，如果n＝m则结束处理。另外，该处理在控制部136的控制下，如果标签输出信息E_KG(s_k，i)和加密文本E^j _KG(E_KH(s_n，1))不一致，则将n以及j的至少一个的值变化，相当于再进行加密函数运算部533以及比较部134中的处理。

另一方面，在标签输出信息E_KG(s_k，i)和加密文本E^j _KG(E_KH(s_n，1))一致的情况下(步骤S76)，控制部136将一致的加密文本E^j _KG(E_KH(s_n，1))所对应的秘密值s_n，1发送到读写部135，读写部135从数据库存储器131中提取对应于一致的加密文本E^j _KG(E_KH(s_n，1))的、与秘密值s_n，1对应的ID信息id_n和物流信息等数据data_n，并将其发送到通信部132(步骤S81)。而且，读写部135从存储器136a接受物流信息pd，并将该物流信息pd与该秘密值s_n，1对应，写入数据库存储器131(步骤S81)。发送到通信部132的标签ID信息id_n和数据data_n通过网络140发送到读取装置120(步骤S82)。

另外，后端装置530中的在步骤S74的过程中计算出的加密文本E^j _KH(s_n，1)存储在存储器136a中，并在下一个循环的步骤S74中利用也可以。即，使用记录的E^j _KH(s_n，1)通过E_KH(E^j _KH(s_n，1))求加密文本E^j+1 _KH(s_n，1)，进而将该值存储在存储器136a中也可以。在该情况下，可以降低散列运算部533的加密运算次数，并可以提高后端装置530的运算效率。进而，在后端装置530中，事先计算E^j _KH(s_n,1)(j∈{1，...，j_max})并存储在存储器136a中，在步骤S74中利用也可以。在该情况下，可以提高后端装置530的运算效率。

而且，在实施例5中，将使用共同密钥KH的共同密钥加密函数E作为“难以求逆像的第一函数F1”进行处理，将使用共同密钥KG的共同密钥加密函数E作为“搅乱定义域的元和其映射的关系的第二函数F2”进行处理。进而，在所述实施例1到4或后述的实施例6到11中，将第一函数F1以及第二函数F2的至少一个作为使用共同密钥KH或KG的共同密钥加密函数E进行处理也可以。

这样，在实施例5中，使用共同密钥加密函数更新秘密值s_k，i。因此，即使从标签装置510泄漏秘密值s_k，i，攻击者也不能根据该秘密值s_k，i和通信历史追踪标签装置510的流通过程。而且，由于不必在标签装置510中设置随机数生成电路，所以可以降低标签装置510的成本。进而，如果可以使用比散列函数简单的(运算量少的)共同密钥加密函数，则可以降低标签装置510以及后端装置530的处理量。

[实施例6]

实施例6是实施例1的变形例，将秘密值s_k，i和标签固有的第一固有值w_k的位结合的散列值作为标签输出信息，这一点与实施例1不同。

图11是例示实施例6中的标签自动识别系统600的整体结构的图，图12是用于说明实施例6的处理的流程图。另外，在图11中，与实施例1共同的部分赋予与实施例1共同的符号。以下，使用这些图，说明实施例6的功能结构以及处理方法。

<预处理>

与实施例1的不同点在于，各标签装置610的秘密值存储器611中存储各个标签ID信息id_k所对应的秘密值s_k，i(相当于“第一秘密值”)以及固有值w_k(相当于“第一固有值”)，后端装置630的数据库存储器631中，将各标签ID信息id_n(n∈{1，...，m})和与其对应的秘密值s_n，1(相当于“第二秘密值”)、固有值w_n(相当于“第二固有值”)以及物流信息等数据data_n对应存储。另外，作为固有值，例如可以使用标签ID信息。

<标签装置的处理>

以下，说明使读取装置620第i(i是自然数)次读取标签装置610时的处理。

首先，在散列运算部612中，从秘密值存储器611中提取秘密值s_k，i以及固有值w_k(步骤S101)，并计算对该秘密值s_k，i以及固有值w_k的位结合使用散列函数G的标签输出信息G(s_k，i|w_k)(步骤S102)。然后，在接口114中，通过无线或有线将该标签输出信息G(s_k，i|w_k)发送到读取装置120(步骤S103)。

接着，在散列运算部113中，计算对从秘密值存储器611中提取的秘密值s_k，i使用散列函数H的散列值H(s_k，i)(步骤S104)，并将该散列值H(s_k，i)作为新的秘密值s_k，j+1覆盖在秘密值存储器611的秘密值s_k，i上(删除秘密值存储器611的秘密值s_k，i，取而代之存储秘密值s_k，i+1：步骤S105)。

<读取装置的处理>

读取装置120在接口122中，接收从标签装置610发送的标签输出信息G(s_k，i|w_k)(步骤S106)，并发送到通信部123。通信部123从物流信息存储器121提取物流信息pd(步骤S107)，将该物流信息pd和散列值H(s_k，i|w_k)通过网络140发送到后端装置630(步骤S108)。

<后端装置的处理>

后端装置630在通信部132中，接收从读取装置120发送的物流信息pd和标签输出信息G(s_k，i|w_k)(接受输入：步骤S109)。另外，接收的物流信息pd和标签输出信息G(s_k，i|w_k)被存储在存储器136a中。

接着，在控制部136中，将0代入参数j，n并将其存储在存储器136a中(步骤S110)。然后，控制部136参照存储器136a的j，n的值，使用散列运算部633(相当于“第三运算部”)从数据库存储器631提取的一组第二秘密值s_n，1以及第二固有值w_n计算散列值H(H^j(s_n，1)|w_k)(步骤S111)。另外，事先计算该H^j(s_n，1)并存储在数据库存储器631中也可以。在该情况下，可以减轻后端装置630中的运算负担。

接着，在比较部134中，从散列运算部633取得G(H^j(s_n，1)|w_n)，从存储器136a取得标签输出信息G(s_k，i|w_k)，并比较它们(步骤S112)。

这里，在这些值不一致的情况下(步骤S113)，控制部136将j+1代入存储器136a的j(步骤S114)，并判断j是否超过了规定的最大值j_max(步骤S115)。这里，在j小于等于最大值j_max的情况下返回到步骤S111的处理，在j超过最大值j_max的情况下，在控制部136中将n+1代入存储器136a的n，将0代入j(步骤S116)，判断n是否超过最大值n_max(步骤S117)。这里，在n小于等于最大值n_max的情况下返回到步骤S111的处理，在n超过最大值n_max的情况下，错误结束(步骤S118)。

另一方面，在步骤S113的判断中，在标签输出信息G(s_k，i|w_k)和散列值G(H^j(s_n，1)|w_n)一致的情况下，控制部136将该n的值赋予读写部135，读写部135使用该n，从数据库存储器631中提取对应于该一致的散列值G(H^j(s_n，1)|w_n)的、与秘密值s_n，1以及与固有值w_n对应的id_n和data_n，并将其发送到通信部132。而且，读写部135从存储器136a接受物流信息pd，并将该物流信息pd与对应于该一致的散列值G(H^j(s_n，1)|w_n)的秘密值s_n，1以及固有值w_n对应，写入数据库存储器631(步骤S119)。

发送到通信部132的id_n和data_n通过网络140被发送到读取装置120(步骤S120)，由读取装置120的通信部123接收并输出(步骤S121)。

<实施例6的特征>

在实施例6中，从各标签装置610输出的标签输出信息G(s_k，i|w_k)是秘密值s_k，i和各标签装置610固有的固有值w_k的位结合的散列值。而且，各标签装置的秘密值s_k，i由散列值H(s_k，i)依次更新。从而，即使在不同的标签装置间标签输出信息G(s_k，i|w_k)相同(发生冲突)，由于固有值w_k对于每个标签装置不同，所以如果各标签装置的秘密值s_k，i被更新，则由于散列函数的冲突困难性，以高概率消除该冲突。由此，可以防止标签装置610的标签输出信息G(s_k，i|w_k)的冲突继续，可以防止后端装置630不能从标签输出信息G(s_k，i|w_k)单一特定标签ID信息。

<实施例7>

实施例7是实施例6的变形例，各个标签装置共用秘密值，这一点与实施例6不同。以下，以与实施例1、实施例6的不同点为中心进行说明。

图13是例示实施例7中的标签自动识别系统700的整体结构的图。另外，在该图中，与实施例1共同的部分赋予与实施例1共同的符号。而且，图14是用于说明实施例7的处理的流程图。以下，使用这些图，说明实施例7的功能结构以及处理方法。

<预处理>

对各标签装置710所对应的各ID(id_k(k＝1，...，m))生成某一个随机数s₁∈{0，1}^t，并作为秘密值s₁(s₁的初始值，相当于“第一秘密值”)将其存储在各标签装置710的秘密值存储器711中。而且，对于各标签装置710所对应的各标签ID信息(id_k(k＝1，...，m))生成各自固有的固有值w_k，将其存储在该各标签装置710的秘密值存储器711中。

而且，将与存储在各标签装置710中的秘密值s₁相同的秘密值s₁作为“第二秘密值”存储在后端装置730的数据库存储器731中。而且，该数据库存储器731中将各固有值w_n与对应的标签装置710的标签ID信息id_n以及物流数据等data_n对应存储。

进而，在后端装置730的散列运算部736中计算各标签装置710共同的秘密值s₁的的散列值s_j+2＝H^j+1(s₁)(j＝0，...，j_max)。计算出的各散列值s_j+2存储在数据库存储器731中。

<标签装置的处理>

以下，说明使读取装置720第i(i是自然数)次读取标签装置710时的处理。

首先，在散列运算部712中，从秘密值存储器711中提取秘密值s_i以及固有值w_k(步骤S131)，并计算对该秘密值s_i以及固有值w_k的位结合的散列值的标签输出信息G(s_i|w_k)(步骤S132)。然后，在接口114中，通过无线或有线将该标签输出信息G(s_i|w_k)发送到读取装置120(步骤S133)。

接着，在散列运算部113中，计算对从秘密值存储器711中提取的秘密值s_i的散列值H(s_i)(步骤S134)，并将该散列值H(s_i)作为新的秘密值s_i+1覆盖在秘密值存储器711的秘密值s_i上(步骤S135)。

<读取装置的处理>

与实施例1同样(步骤S136～S138)。

<后端装置的处理>

后端装置730在通信部132中，接收从读取装置120发送的物流信息pd和标签输出信息G(s_i|w_k)(步骤S139)。另外，接收的物流信息pd和标签输出信息G(s_i|w_k)被存储在存储器136a中。

接着，在控制部136中，将1代入参数j，n并将其存储在存储器136a中(步骤S140)。

然后，在散列运算部733(相当于“第三运算部”)中，使用从数据库存储器731提取的固有值w_n以及秘密值s₁或者散列值s_j+2(在散列运算部736中计算出(事先计算)的散列值s_j+2)计算散列值G(s_j+1|w_k)(步骤S141)。

接着，在比较部134中，从散列运算部733取得G(s_j+2|w_n)(相当于“第三运算部中的运算结果”)，从存储器136a取得标签输出信息G(s_i|w_k)，并比较它们(步骤S142)。

这里，在这些值不一致的情况下(步骤S143)，控制部136将j+1代入存储器136a的j(步骤S144)，并判断j是否超过了规定的最大值j_max(步骤S145)。这里，在j小于等于最大值j_max的情况下返回到步骤S141的处理，在j超过最大值j_max的情况下，在控制部136中将n+1代入存储器136a的n，将0代入j(步骤S146)，判断n是否超过最大值n_max(步骤S147)。这里，在n小于等于最大值n_max的情况下返回到步骤S141的处理，在n超过最大值n_max的情况下，错误结束(步骤S148)。

另一方面，在步骤S143的判断中，在标签输出信息G(s_i|w_k)和散列值G(s_j+2|w_n)一致的情况下，在控制部136的控制下，在读写部135中，从数据库存储器731中提取对应于该一致的散列值G(s_j+2|w_n)的、与固有值w_n对应的id_n和data_n，并将其发送到通信部132。而且，读写部135从通信部132接受物流信息pd，并将该物流信息pd与对应于该一致的散列值G(s_j+2|w_n)的固有值w_n对应，写入数据库存储器731(步骤S149)。

发送到通信部132的id_n和data_n通过网络140被发送到读取装置120(步骤S150)，由读取装置120的通信部123接收并输出(步骤S151)。

<实施例7的特征>

在实施例7中，使用各标签装置710共用的秘密值s₁。因此，可以对各标签ID信息id_n共用后端装置730的步骤S141的处理所使用的秘密值s_j+1。由此，可以大幅降低后端装置730中的运算量，并可以进行有效的检索。

具体来说，在将散列装置730的散列次数(标签装置710的秘密值的更新次数)设为j的情况下，在实施例1中，需要2mj次的散列运算。与此相对，在实施例7中，可以抑制到mj+j次的散列运算。

进而，标签装置710同时输出标签输出信息G(s_i|w_k)和秘密值s_i的更新次数rn，如果将该更新次数rn赋予后端装置730(参照实施例4)，则可以将后端装置730中的散列运算次数降低到m+j次。

[实施例8]

实施例8是实施例1的变形例，作为各标签装置固有的值分配多个要素的组合，这一点与实施例1不同。由此，在多个标签装置间共有分配给各标签装置的要素的一部分。其结果，可以降低标签装置的识别处理所需的总运算量。

图15是例示实施例8中的标签自动识别系统800的整体结构的图。在该图中，与实施例1共同的部分赋予与实施例1共同的符号。而且，图16A是标签装置810的秘密值存储器811中存储的数据的例示，图16B是后端装置830的数据库存储器831中存储的数据的例示。进而，图17以及18是用于说明实施例8中的处理的流程图。

以下，使用这些图，说明实施例7的功能结构以及处理方法。另外，对于与实施例1共同的事项省略说明。

<预处理>

例如，使用随机数生成装置(未图示)生成分配给各标签装置的要素的初始值的集合

(b_1，1，0，...b_1，j，0，...b_1，ρ，0)…(b_u，1，0，...b_u，j，0，...b_u，ρ，0)…(b_d，1，0，...b_d，j，0，...b_d，ρ，0)。另外，将该各“()”内的要素的集合称为次组α_u(u∈{1，...，d})。

这里，j是1≤j≤ρ的自然数(j∈{1，...，ρ})，u是1≤u≤d的自然数(u∈{1，...，d})。而且，在实施例8中，通过多个要素的组合构成一个秘密值，但d(d≥2)是构成该一个秘密值的要素的数。而且，m是大于等于标签装置810的总数(需要的秘密值的总数)的数，另外，m＝ρ^d是成为自然数的数。

接着，将这样生成的各要素的组合分配给各标签装置810。具体来说，从构成上述要素的初始值的集合的d种类的次组α_u中分别各选择一个要素，并将选择了的d个初始要素f_u，0的组合(f_1，0，...，f_u，0，...，f_d，0)分配给各标签装置810(f_1，0∈{b_1，1，0，...，…，b_1，j，0，...，…，b_1，ρ，0}，…，f_u，0∈{b_u，1，0，...，…，b_u，j，0，...，…，b_u，ρ，0}，…，f_d，0∈{b_d，1，0，...，…，b_d，j，0，...，…，b_d，ρ，0})。另外，进行该分配，以便不同的标签装置810间不是相同的组合，分配合计m种类(标签装置810的总数)的(f_1，0，...，f_u，0，...，f_d，0)的组合。而且，也可以将多个初始要素f_u，0的组合对应于一个标签装置810，在该情况下，分配合计大于等于m种类(大于等于标签装置810的总数)的(f_1，0，...，f_u，0，...，f_d，0)的组合。另外，构成(f_1，0，...，f_u，0，...，f_d，0)的要素的至少一部分由多个标签装置810共用。

生成的所有的组合(f_1，0，...，f_u，0，...，f_u，0，...，f_d，0)(d个(d≥2)初始要素f_u，0(u∈{1，...，d})的组合)分别对应于被分配的各标签装置810的标签ID信息id_n和对应于各标签装置810的数据data_n，并存储在后端装置830的数据库存储器831中。另外，n是各标签装置所对应的值，对应于从各标签装置输出的标签输出信息a_k，i(后述)的下表字k。即，存储在数据库存储器831中的d个初始要素f_u，0的组合成为标签装置810的总数。而且，在一个标签装置810对应于多个初始要素f_u，0的组合的情况下，存储在数据库存储器831中的d个初始要素f_u，0的组合数大于等于标签装置810的总数。

而且，生成的各初始要素的组合(f_1，0，...，f_u，0，...，f_d，0)(“d个(d≥2)个要素e_u，vu(u∈{1，...，d})所构成的组合，对应于各标签ID信息id_k”。其中，vu是表示e_u，vu的更新次数的大于等于0的整数。要素e_u，vu的下表uv表示v_u。)存储在被分配的各标签装置810的秘密值存储器811中。另外，以下，存储在各标签装置810的秘密值存储器811中的初始要素的组合表示为(e_1，0，...，e_u，0，...，e_d，0)。

图16的例子例示d＝2，ρ＝3，m＝9的情况下的初始要素的分配。

如图16B所示，在该例的情况下，后端装置830的数据库存储器831中，将初始要素的组合831aa((f_1，0 f_2，0)(f_1，0∈{b_1，1，0，b_1，2，0，b_1，3，0}，f_2，0∈{b_2，1，0，b_2，2，0，b_2，3，0}))和标签ID信息831ab(id_n(n∈{1，...，9})和数据831ac(data_n(n∈{1，...，9}))对应存储。

而且，如图16A所示，标签装置810的秘密值存储器811中存储与该标签信息id对应的一组初始要素的组合811a((e_{1，0，e2，0})＝(b_{1，2，0，b2，2，0}))。另外，秘密值存储器811中存储的上述要素e_u，vu的一部分作为与其他的标签装置对应的要素也存储在该其它的标签装置的秘密值存储器中。

<标签装置的处理>

以下，说明使读取装置20第i(i是自然数)次读取标签装置810时的处理。

首先，在散列运算部812(相当于“第二运算部”)中，从秘密值存储器811中提取各d个要素e_u，vu(步骤S161)，并计算对这些位列的结合值(秘密值s_k，i)使用了散列函数G的标签输出信息a_k，i＝G(s_k，i)(步骤S162)。这里，k是对应于各标签装置的值，i是表示输出部中的输出次数的自然数。而且在本实施例中，设为秘密值s_k，i＝e_1，v1|…|e_u，vu|…|e_d，vd，并设为标签输出信息a_k，i＝G(e_1，v1|…|e_u，vu|…|e_d，vd)，但各要素e_u，vu的位配置顺序不限与此。

生成的标签输出信息a_k，i被发送到接口114，接口114输出该标签输出信息a_k，i(步骤S163)。

之后，在散列运算部813(相当于“第一运算部”)中，从秘密值存储器811中至少提取一部分的要素e_u’，vu’(u’∈{1，...，d})并计算提取的要素e_u’，vu’的散列值H(e_u’，vu’)(步骤S164)，将该散列值H(e_u’，vu’)作为新的要素e_u’vu’+1覆盖保存在秘密值存储器811上(步骤S165)。另外，u’∈{1，...，d}的选择方法怎么样都可以。例如，可以例示在每次标签装置810进行通信时选择不同的u’的方法，对于一个u’在要素e_u’，vu’的更新全部完成的时刻选择其它的u’的方法，同时选择大于等于两个u’的方法等。

<读取装置的处理>

读取装置120在接口122中，接收从标签装置发送的标签输出信息a_k，i(步骤S166)并发送到通信部123。通信部123从物流信息存储器121中提取物流信息pd(步骤S167)，将该物流信息pd和标签输出信息a_k，i通过网络140发送到后端装置830(步骤S168)。

<后端装置的处理>

从读取装置120发送的标签输出信息a_k，i以及物流信息pd在通信部132中被接收，并存储在存储器136a中(步骤S169)。

以此为触发，控制部136将1代入n而存储在存储器136a中(步骤S170)，如下选择d个w_u的组合，将该组合存储在存储器136a中(步骤S171)。

(w₁，...，w_d)∈S_w＝{w₁，...，w_d|w_u∈[0，j_max]}

(其中，[α，β]表示大于等于α小于等于β的整数的集合。)

接着，控制部136参照存储器136a的n，d个w_u的组合，进而参照散列值存储器838，检验对标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用了w_u次散列函数H的散列值H^wu(f_u，0)是否被存储在散列值存储器838中(是否生成完毕)(步骤S172)。另外，H^wu(f_u，0)的上标字wu表示w_u。

这里，在判断为标签ID信息id_n所对应的散列值H^wu(f_u，0)中存在还没有被进行运算的值的情况下，散列运算部837从数据库存储器831中提取上述“标签ID信息id_n所对应的散列值H^wu(f_u，0)中还没有被进行运算的值”所对应的初始要素f_u，0，并对该初始要素f_u，0使用w_u次散列函数H并计算散列值H^wu(f_u，0)(步骤S173)。计算出的散列值H^wu(f_u，0)被存储在散列值存储器838中(步骤S174)，返回步骤S172的处理。

另一方面，在步骤S172的判断中，在判断为标签ID信息id_n所对应的散列值H^wu(f_u，0)都生成完毕的情况下，控制部136参照存储器136a的n，d个w_u的组合，使散列运算部833(相当于“第三运算部”)从散列值存储器838中提取对标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用了w_u次第一函数F1的散列值H^wu(f_u，0)(步骤S175)，并计算对这些散列值H^wu(f_u，0)的位结合使用了散列值G的运算值c(步骤S176)。另外，作为运算值c，例如可以例示c＝G(H^w1(f_1，0)|…|H^wu(f_u，0)|…|H^wd(f_d，0))，但各散列值H^wu(f_u，0)的位配置顺序不限于此。但是，其顺序有必要对应于标签装置810的散列运算部812中的各要素e_u，vu的位配置顺序。

接着，在比较部134中，从存储器136a中读取标签输出信息a_k，i，从散列运算部833接受上述运算值c，比较它们从而判断是否为c＝a_ki(步骤S177)。在本例中，比较散列值c＝G(H^w1(f_1，0)|…|H^wu(f_u，0)|…|H^wd(f_d，0))和标签输出信息a_k，i。

这里，在判断为它们不一致的情况下，控制部136参照存储器136a判断是否所有的d个组合方式(w₁，...，w_d)∈S_w选择完毕(步骤S178)。这里，在判断为存在还没有被选择的组合式样的情况下，选择新的组合(w₁，...，w_d)∈S_w，并将它们存储在存储器136a中(步骤S179)，对于该新的组合以及n，执行步骤S172以后的处理。

另一方面，通过步骤S178的判断，在所有的组合方式被选择了的情况下，控制部136参照存储器136a的n判断是否为n＝m(步骤S180)。这里，在判断为不是n＝m时，控制部136用n+1更新存储器136a的n(步骤S181)，执行步骤S172以后的处理。另一方面，在判断为n＝m的情况下，错误结束处理(步骤S182)。

另外，步骤S172～181的处理在控制部136的控制下，如果标签输出信息a_k，i和运算值c不一致，则至少变化n以及w_u的一部分的值，相当于再次进行散列运算部833以及比较部134中的处理。

另一方面，在步骤S177中，在判断为散列值c和标签输出信息a_k，i一致的情况下，读写部135在控制部136的控制下，从数据库存储器831中选择与对应于该散列值c的多个初始要素f_u，0的组合所对应的标签ID信息id_n，并提取该标签ID信息id_n和与其对应的数据data_n发送给通信部132。而且，读写部135从存储器136a接受物流信息pd，将该物流信息pd作为对应于标签ID信息id_n的数据data_n，追加写入数据库存储器831(步骤S183)。

被发送到通信部132的标签ID信息id_n和数据data_n通过网络140被发送到读取装置120(步骤S184)，并由读取装置120的通信部123接收、输出(步骤S185)。

<实施例8的特征>

[效率性]

后端装置830的散列运算部838的散列值c的计算需要散列值H^wu(f_u，0)＝f_u，vu的运算。在实施例8中，由于多个标签装置810共用e_u，vu，所以如果将为了任何的标签装置810所对应的散列值c的计算而计算的散列值H^wu(f_u，0)＝f_u，vu存储在散列值存储器838中，则也可以将该要素f_u，vu利用于其它的标签装置810所对应的散列值c的计算中。由此，不增加要计算的散列值H^wu(f_u，0)的数而可以增加可对应的标签装置810的数。具体来说，可以使用d^*ρ个要素分配对于ρ^d个标签装置的固有的初始要素。

进而，由于仅通过散列函数的运算构成通信数据，所以与现有的发生随机数的方法相比，标签装置810中的电路规模小，适于要求低价格的用途。

[不可追踪性]

在实施例8中将标签输出信息a_k，i＝G(s_k，i)用于通信中。由于散列值的不可识别性，对于不知道秘密值的攻击者来说，该标签输出信息a_k，i＝G(s_k，i)，看作单纯的随机数。因此，该攻击者无法得知标签输出信息a_k，i＝G(s_k，i)和a_k，i+1＝G(s_k，i+1)是否为从相同的标签装置810输出的值，也无法追踪标签装置810的流通过程。

[前向安全]

在实施例8中，由散列函数H更新通信所使用的秘密值存储器811内的秘密值。而且，由于散列函数的单方向性，即使标签装置810被干预等各要素e_u，vu泄漏，攻击者也不能根据该要素e_u，vu来求过去的要素e_u，vu-Δvu。从而，即使各要素e_u，vu泄漏，攻击者也无法得到取得的各要素e_u，vu和通信历史的对应，并无法追踪标签装置810。

[追踪可能性]

另一方面，根据散列函数G，H的冲突困难性(不同值的散列值难以取相同值的性质)，知道各要素f_u，vu的后端装置830可以追踪标签装置110的流通过程。

另外，在实施例8中，在后端装置830中生成的初始要素的集合为

(b_1，1，0，...b_1，j，0，...b_1，ρ，0)…(b_u，1，0，...b_u，j，0，...b_u，ρ，0)…(b_d，1，0，...b_d，j，0，...b_d，ρ，0)。

即，对于各u(u∈{1，...，d})的每一个生成ρ个初始要素b。但是，各u(u∈{1，...，d})的每一个生成的初始要素b的数不同也可以。

而且，在后端装置830的散列运算部837中，在事先处理的阶段求步骤S176的处理所需的散列值H^wu(f_u，0)(u∈{1，...，d})，并存储在散列值存储器838中也可以。

[实施例9]

实施例9是实施例8的变形例，标签装置的秘密值存储器以及后端装置的数据库存储器中还存储各标签装置固有的固有值，将包含各要素e_u，vu以及固有值γ_k的位列的结合的散列值a_k，i＝G(s_k，i)作为标签输出信息，这一点与实施例8不同。由此，可以防止基于干预其它的标签装置而集中的要素e_u，vu，求特定的标签装置的秘密值，并追踪标签装置的情况。

以下，仅说明与实施例8的不同点，对于与实施例8共同的事项省略说明。

图19是例示实施例9中的标签自动识别系统900的整体结构的图。而且，图20A是标签装置910的秘密值存储器911中存储的数据的例示，图20B是后端装置930的数据库存储器931中存储的数据的例示。另外，在图19中对于与实施例1共同的功能结构赋予与图2相同的标号，对于与实施例8共同的功能结构赋予与图15相同的标号，省略它们的说明。而且，在图19中仅图示了一个标签装置910，但实际存在多个标签装置910。

以下，使用这些图说明实施例9的功能结构以及处理方法。

<预处理>

与实施例8的不同点在于，在标签装置910的秘密值存储器911中还存储固有值γ_k，以及在后端装置930的数据库存储器931中将d个(d≥2)初始要素f_u，0(u∈{1，...，d})的组合、各标签装置固有的固有值γ_n、各标签装置的标签ID信息id_n(n是对应于各标签装置的值)对应存储。另外，固有值γ_k、γ_n例如是随机值。

图20的例子例示d＝2，ρ＝3，m＝9的情况下的组合固有值的分配。

如图20B所示，在本例中，后端装置930的数据库存储器931中，将初始要素的组合931aa((f_1，0f_2，0)(f_1，0∈{b_1，1，0，b_1，2，0，b_1，3，0}、f_2，0∈{b_2，1，0，b_2，2，0，b_2，3，0}))、标签ID信息931ab(id_n(n∈{1，...，9})、数据931ac(data_n(n∈{1，...，9}))和各标签装置固有的固有值931ad(γ_k，k∈{1，...，12})对应存储。而且，如图20A所示，标签装置910的秘密值存储器911中存储初始要素的组合911a((e_{1，0，e2，0})＝(b_{1，2，0，b2，2，0}))和固有值911b(γ_k＝γ₅)。

<标签装置的处理>

以下，说明使读取装置120第i(i是自然数)次读取标签装置910时的处理。

首先，在散列运算部912(相当于“第二运算部”)中，从秘密值存储器911中提取各要素e_u，vu以及固有值γ_k，并计算包含提取的各要素e_u，vu以及固有值γ_k的位列的结合值(秘密值s_k，i)的散列值的标签输出信息a_k，i＝G(s_k，i)。在实施例9中，设为秘密值s_k，i＝γ_k|e_1，v1|…|e_u，vu|…|e_d，vd，并设为标签输出信息a_k，i＝G(γ_k|e_1，v1|…|e_u，vu|…|e_d，vd)

之后，与实施例8同样，输出标签输出信息a_k，i，散列值存储器911的要素被更新。

<读取装置的处理>

与实施例8同样。

<后端装置的处理>

与实施例8的不同点在于，代替实施例8的步骤S176的处理(图18)，散列运算部933(相当于“第三运算部”)从数据库存储器931中读出固有值γ_n，并计算包含散列值H^wu(f_u,0)以及固有值γ_n的位列的结合值的散列值c。在本例中，计算c＝G(H^w1(f_1，0)|…|H^wu(f_u，0)|…|H^wd(f_d，0))。除此以外，与实施例8同样。

<实施例9的特征>

[不可追踪性]

在实施例9中，将包含各要素e_u，vu以及固有值γ_k的位列的结合的散列值的标签输出信息a_k，i＝G(s_k，i)作为标签装置910的输出。这里，固有值γ_k是每个标签装置910固有的值。因此，即使某一标签装置被干预，也无法根据其中存储的数据的散列值来求共用要素e_u，vu的其它的标签装置的过去的标签输出信息。因此，攻击者无法追踪其它的标签装置。

[实施例10]

实施例10是实施例8的方式的变形例，标签装置的多样值存储器中存储t种类(t≥2)的值的多样值z，从秘密值存储器中提取的各要素e_u，vu和任何的多样值z的位结合值(秘密值s_k，i)的散列值a_k，i＝G(s_k，i)作为输出信息，每t次通信进行一次秘密值存储器的更新，这一点与实施例8不同。

以下，仅说明与实施例8的不同点，对于与实施例8共同的事项省略说明。

图21是例示实施例10中的标签自动识别系统1000的整体结构的图。而且，图22是用于说明标签装置1010的处理的流程图，图23是用于说明后端装置1030的处理的流程图。另外，在图21中，对与实施例1、实施例8共同的功能结构赋予与实施例2、15相同的标号。而且，在图21中，仅例示了一个标签装置1010，但实际存在多个标签装置1010。

以下，使用这些图说明本实施例的功能结构以及处理方法。

<预处理>

与实施例8的不同点在于，在标签装置1010的多样值生成部1015中生成t种类(t≥2)的值的多样值z，并将其存储在多样值存储器1016(相当于“第一多样值存储器”)中，以及后端装置1030的数据库存储器1031(相当于“第二多样值存储器”)中存储由各标签装置1010共同的t种类(t≥2)的多样值z。

另外，作为多样值生成部1015，可以例示对z＝1...t进行计数的计数器，进行z＝H(seed，x)、x∈{1，...，t}的运算的散列运算装置，进行z＝H^x(seed)、x∈{1，...，t}的运算的散列运算装置等。这里，seed表示初始值。以下，将多样值z表现为z＝π(x)、计数值x∈{1，...，t}。而且，最好对应于各个x∈{1，...，t}的各多样值z＝π(x)不一致。

进而，多样值z的生成以及存储不一定在预处理中进行，标签装置1010的通信处理时，或后端装置1030的检索处理时进行也可以。

<标签装置的处理>

以下，说明使读取装置120第i(i是自然数)次读取标签装置1010时的处理。另外，在计数值x的初始值(i＝1)是1，计数值x在控制部115的控制下保存在存储器115a中。

首先，在散列运算部1012(相当于“第二运算部”)中，从秘密值存储器1011中提取各要素e_u，vu，并从多样值存储器1016中提取任何的多样值z(在本例中z＝π(x))(步骤S191)。然后，散列运算部1012计算提取的各要素e_u，vu和多样值z的位结合值(秘密值s_k，i)的散列函数a_k，i＝G(s_k，i)作为标签输出信息(步骤S192)。在本例中，设为秘密值s_k，i＝e_1，v1|…|e_u，vu|…|e_d，vd|z，并设为标签输出信息a_k，i＝G(e_1，v1|…|e_u，vu|…|e_d，vd|z)。另外，各要素e_u，vu和多样值z的位配置顺序、位结合的多样值z的数不限于此。而且，x∈{1，...，t}所对应的多样值z＝π(x)不一致的情况下，在秘密值存储器1011的要素不被更新期间，散列运算部1012生成标签输出信息a_k，i所使用的多样值z对于每个通信不同。

生成的标签输出信息a_k，i被发送到接口114，接口114输出该标签输出信息a_k，i(步骤S193)。

之后，在控制部115中，进行x←x+1的运算(累加)(步骤S194)，并判断是否为x＞t(步骤S195)。这里，如果判断为不是x＞t，则在存储器115a中保持x的值的状态下结束标签装置1010的处理。

另一方面，在判断为x＞t的情况下，在控制部115中，将存储器115a的计数值x设为x←1(步骤S196)，在散列运算部1013中，从秘密值存储器1011中至少提取一部分的e_u’，vu’(u’∈{1，...，d})，并计算提取的e_u’，vu’的散列值H(e_u’，vu’)(步骤S197)。然后，在散列值运算部1013中，将该散列值H(e_u’，vu’)作为新的e_{u’，vu’+1}覆盖在秘密值存储器1011上(步骤S198)。另外，u’∈{1，...，d}的选择方法怎么样都可以。

<读取装置的处理>

与实施例8同样。

<后端装置的处理>

从读取装置120发送的标签输出信息a_k，i以及物流信息pd在通信部132中被接收，并存储在存储器136a中(步骤S201)。

以此为触发，控制部136将1代入n并存储在存储器136a中(步骤S220)，如下选择d个w_u的组合，将该组合存储在存储器136a中(步骤S203)。

(w₁，...，w_d)∈S_w＝{w₁，...，w_d|w_u∈[0，j_max]}

接着，控制部136参照存储器136a的n，d个w_u的组合，进而参照散列值存储器838，检验对标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用了w_u次散列函数H的散列值H^wu(f_u，0)是否被存储在散列值存储器838中(是否生成完毕)(步骤S204)。另外，H^wu(f_u，0)的上标字wu表示w_u。

这里，在判断为标签ID信息id_n所对应的散列值H^wu(f_u，0)中存在还没有被进行运算的值的情况下，散列运算部837从数据库存储器1031中提取上述“标签ID信息id_n所对应的散列值H^wu(f_u，0)中还没有被进行运算的值”所对应的初始要素f_u，0，并对该初始要素f_u，0使用w_u次散列函数H并计算散列值H^wu(f_u，0)(步骤S205)。计算出的散列值H^wu(f_u，0)被存储在散列值存储器838中(步骤S206)，返回步骤S204的处理。

另一方面，在步骤S204的判断中，在判断为标签ID信息id_n所对应的散列值H^wu(f_u，0)都生成完毕的情况下，控制部136参照存储器136a的n，d个w_u的组合，使散列运算部1033(相当于“第三运算部”)从散列值存储器838中提取对标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用了w_u次第一函数F1的散列值H^wu(f_u，0)(步骤S207)。而且，控制部136将计数值x’设为1并存储在存储器136a中(步骤S208)，从数据库存储器1031中提取多样值z＝π(x’)并发送到散列运算部1033。然后，散列运算部1033计算对散列值H^wu(f_u，0)和多样值z的位结合值使用了散列值G的运算值c(步骤S209)。另外，作为运算值c，例如可以例示c＝G(H^w1(f_1，0)|…|H^wu(f_u，0)|…|H^wd(f_d，0)|z)，但各散列值H^wu(f_u，0)和多样值z的位配置顺序、位结合的多样值z的数不限于此。但是，其顺序有必要对应于标签装置1010的散列运算部1012中的各要素的位配置顺序。

接着，在比较部134中，从存储器136a中读取标签输出信息a_k，i，从散列运算部1033接受上述运算值c，比较它们从而判断是否为c＝a_k，i(步骤S210)。在本例中，比较散列值c＝G(H^w1(f_1，0)|…|H^wu(f_u，0)|…|H^wd(f_d，0)|z)和标签输出信息a_k，i。

这里，在判断为它们不一致的情况下，控制部136判断存储器136a的x’是否为t(步骤S211)。这里，在不是x’＝t的情况下，控制部用x’+1更新存储器136a的x’并执行步骤S209以后的处理(步骤S323)，另一方面，在判断为x’＝t的情况下，控制部参照存储器136a判断是否所有的d个组合方式(w₁，...，w_d)∈S_w选择完毕(步骤S213)。

这里，在判断为存在还没有被选择的组合式样的情况下，控制部136选择新的组合(w₁，...，w_d)∈S_w，并将它们存储在存储器136a中(步骤S214)，对于该新的组合以及n，执行步骤S204以后的处理。另一方面，在步骤S213的判断中，在所有的组合方式被选择了的情况下，控制部136参照存储器136a的n判断是否为n＝m(步骤S215)。这里，在判断为不是n＝m时，控制部136用n+1更新存储器136a的n(步骤S216)，执行步骤S204以后的处理。另一方面，在判断为n＝m的情况下错误结束处理(步骤S217)。

另外，步骤S204～216的处理，在控制部136的控制下，如果标签输出信息a_k，i与运算值c不一致，则相当于变化n、w_u以及z的至少一部分的值，并再进行散列运算部1033以及比较部134中的处理。

另一方面，在步骤S210中，在判断为散列值c和标签输出信息a_k，i一致的情况下，读写部135在控制部136的控制下，从数据库存储器1031中选择与对应于该散列值c的多个初始要素f_u，0的组合所对应的标签ID信息id_n，并提取该标签ID信息id_n和与其对应的数据data_n发送给通信部132。而且，读写部135从存储器136a接受物流信息pd，将该物流信息pd作为对应于标签ID信息id_n的数据data_n，追加写入数据库存储器1031(步骤S218)。被发送到通信部132的标签ID信息id_n和数据data_n通过网络140被发送到读取装置120(步骤S219)。

<实施例10的特征>

[不可追踪性]

本实施例的标签装置1010将要素e_u，vu和多样值z的位结合值的散列值作为标签输出信息a_k，i。因此，如果不更新要素e_u，vu也可以使多样值z变化，则可以使输出值变化。而且，由于散列函数的单方向性，而无法取得这样变化的输出值的相关。而且，由于多样值z为t种类的值，所以标签装置即使不更新要素e_u，vu也可以进行最大t次的追踪困难的通信。

[效率性]

本实施例的标签装置1010对t次通信仅更新依次秘密值存储器11的要素e_u，vu。因此，可以将标签装置1010的更新处理运算量降低到1/t。

而且，后端装置1030的散列值c和标签输出信息a_k，i的比较处理每次最大可以进行T次而不用变更散列值H^wu(f_u，0)的组合。因此，即使在增加了标签装置210的允许通信次数(从读取装置120到标签装置1010的调用次数的最大值)的情况下，后端装置1030中的散列处理也不怎么增加。

[实施例11]

实施例11是实施例10的变形例，标签装置的多样值存储器中对各u(u∈{1，...，d})存储取t_u种类(t_u≥2)的值的多样值z_u，将从秘密值存储器中提取的各要素e_u，vu和任何的多样值zu的位结合值的标签输出信息a_k，i＝G(e_1，v1|z₁|…|e_d，vd|z_d)作为输出值，这一点与实施例10不同。而且，秘密值存储器的各u(u∈{1，...，d})所对应的要素e_u，vu分别每t_u次通信进行1次，但在实施例11中各要素e_u，vu被更新的通信时点移位，在标签装置每次输出标签输出信息a_k，i时，秘密值存储器的其中一个的要素e_u’，vu’(u’∈{1，...，d})被更新。由此，即使在哪个通信时点标签装置被干预也无法追踪标签装置。

以下，仅说明和实施例1、实施例10的不同点，对与实施例1、实施例10的方式共同的事项省略说明。

图24是例示实施例11中的标签自动识别系统1100的整体结构的图。而且，图25是用于说明标签装置1110的处理的流程图，图26是用于说明后端装置1130的处理的一部分的流程图。另外，在图24中，对与实施例1、实施例8共同的功能结构赋予与实施例2、15相同的标号。而且，在图24中，仅例示了一个标签装置1110，但实际存在多个标签装置1110。

以下，使用这些图说明本实施例的功能结构以及处理方法。

<预处理>

与实施例10的不同点在于，在标签装置1110的多样值生成部1115中，对各u(u∈{1，...，d})设定取t_u种类(t_u≥2)的值的多样值z_u，并将其存储在多样值存储器1116(相当于“第一多样值存储器”)中，以及在后端装置1130的数据库存储器1131(相当于“第二多样值存储器”)中对各u(u∈{1，...，d})存储取t_u种类(t_u≥2)的值的多样值z_u。另外，数据库存储器1131中存储的各多样值z_u与各标签装置1110中存储的多样值z_u相同。

另外，作为多样值生成部1115，可以例示对于各u(u∈{1，...，d})对z_u＝1...t进行计数的计数器，进行z_u＝H(seed，x_u)、x_u∈{1，...，t_u}的运算的散列运算装置，进行z_u＝H^x(seed)、x_u∈{1，...，t_u}的运算的散列运算装置等。以下，将多样值z_u表现为z_u＝π_u(x_u)、x_u∈{1，...，t_u}。而且，对于同一个u，最好将π_u设定为对应于各个x_u∈{1，...，t_u}的各多样值z_u＝π_u(x_u)不一致。

而且，在实施例11中，将各x_u设为x_u＝i+ε_u(u∈{1，...，d})。这里，i表示标签装置1110的通信次数，ε_u表示示出从各x_u的i的偏离的常数(0≤ε_u≤r_max的整数)。这里，r_max是从读取装置120到标签装置1110的调用次数的最大值。

进而，在实施例11中，在所有的通信时点，设定ε_u以及t_u，以便任何的x_u一定为x_u＝t_u。例如，将对于各u(u∈{1，...，d})的t_u都设为同一值，设定各ε_u，以便ε_u(u∈{1，...，d})的集合成为小于t_u的自然数的整体集合。

而且，多样值z_u的生成以及存储不一定在预处理中进行，在标签装置1110的通信处理时，或后端装置1130的检索处理时进行也可以。

<标签装置的处理>

以下，说明使读取装置120第i(i是自然数)次读取标签装置1110时的处理。另外，计数值x_u(u∈{1，...，d})的初始值(i＝1)为1+ε_u，各计数值x_u在控制部115的控制下保存在存储器115a中。

首先，在散列运算部1112(相当于“第二运算部”)中，从秘密值存储器1111中提取各要素e_u，vu，并从多样值存储器1116中提取任何的多样值z_u(在本例中为z_u＝π_u(x_u))(步骤S231)。然后，散列运算部1112计算对提取的各要素e_u，vu和任何的多样值z的位结合值(秘密值s_k，i)的散列值的标签输出信息a_k，i＝G(e_1，v1|z₁|…|e_d，vd|z_d)(步骤S232)。另外，在对于同一个u，将π_u设定为对应于各个x_u∈{1，...，t_u}的各多样值z_u＝π_u(x_u)不一致的情况下，秘密值存储器1111的要素不被更新期间，散列运算部1112生成标签输出信息a_k，i所使用的多样值z_u，对于每个通信不同。而且，秘密值s_k，i＝e_1，v1|z₁|…|e_d，vd|z_d中的位结合顺序不特别限定于此。生成的标签输出信息a_k，i被发送到接口114，接口114发送该标签输出信息a_k，i(步骤S233)。

之后，在控制部136中，对存储器136a的x_u进行x_u←x_u+1(u∈{1，...，d})的运算(步骤S234)。这里，在实施例11中，在所有的通信时点，设定ε_u以及t_u，以便任何的x_u一定为x_u＝t_u。因此，通过该x_u←x_u+1的运算，一定任何的x_u成为x_u＞t_u。控制部136接着将1代入该成为x_u＞t_u的x_u(步骤S235)。另外，在本实施例中，将对应于该x_u的u设为u’。

接着，在散列运算部813中，从秘密值存储器1111中提取一部分的要素e_u’，vu’(上述u’∈{1，...，d}所对应的要素)，并计算提取的要素e_u’，vu’的散列值H(e_u’vu’)(步骤S236)。然后，在散列运算部813中，将该散列值H(e_u’，vu’)作为新的要素e_u’，vu+1覆盖在秘密值存储器1111上(步骤S237)，结束标签装置1110的处理。

通过以上的处理，在每次接口114输出标签输出信息a_k，i时，在散列运算部813中，从秘密值存储器1111至少提取一个要素e_u’，vu’(u’∈{1，...，d})，并计算提取的要素e_u’，vu’的散列值H(e_u’，vu’)，并更新秘密值存储器1111。

<读取装置的处理>

与第一实施方式同样。

<后端装置的处理>

实施例11与实施例10的不同点在于代替图23所示的步骤S208到S213的处理，进行步骤S26的处理。

即，步骤S207的处理后，控制部136如下选择(x₁，...，x_d)∈S_x的组合，并将它们存储在存储器136a中(步骤S241)。

(x₁，...，x_d)∈S_x＝{x₁，...，x_d|x_u∈[0，t_u]}

然后，控制部136参照存储器136a的(x₁，...，x_d)∈S_x的组合，从数据库存储器1131提取对应于它们的d个多样值z_u＝π(x_u)(u∈{1，...，d})并发送到散列运算部1133。散列运算部1133计算对散列值H^wu(f_u，0)和多样值z_u的位结合值使用散列值G的运算值c(步骤S242)。另外，作为运算值c，例如可以例示c＝G(H^w1(f_1，0)|z₁|…|H^wu(f_u，0)|z_u…|H^wd(f_d，0)|z_d)，但各散列值H^wu(f_u，0)和多样值z_u的位配置顺序不限定于此。但是，其顺序必须与标签装置1110的散列运算部1112的各要素的位配置顺序对应。

接着，在比较部134中，从存储器136a读取标签输出信息a_k，i，从散列运算部1133接受上述运算值c，对它们进行比较从而判断是否为c＝a_k，i(步骤S243)。在本例中，比较散列值c＝G(H^w1(f_1，0)|z₁|…|H^wu(f_u，0)|z_u…|H^wd(f_d，0)|z_d)和标签输出信息a_k，i。

这里，在判断为它们不一致的情况下，控制部136参照存储器136a判断所有的组合式样(x₁，...，x_d)∈S_x是否选择完毕(步骤S244)。这里，在判断为不是所有的组合式样(x₁，...，x_d)∈S_x选择完毕的情况下，控制部136选择新的组合(x₁，...，x_d)∈S_x，并将它们存储在存储器136a之后，执行步骤S242以后的处理。另一方面，通过步骤S244的判断，在判断为所有的组合式样(x₁，...，x_d)∈S_x选择完毕的情况下，进至图23的步骤S213。另一方面，在步骤S243的处理中判断为c＝a_k，i的情况下，进至图23的步骤S218。

[效率性]

后端装置1130的散列值c和标签输出信息a_k，i的比较处理每次最大进行t₁+t₂+...+t_d-1+t_d次而不用变更散列值H^wu(f_u，0)的组合。因此，即使在增加了标签装置1110的允许通信次数(从读取装置120到标签装置1110的调用次数的最大值)的情况下，后端装置1130中的处理也不怎么增加。

[不可追踪性]

实施例11的标签装置1110在每次输出标签输出信息a_k，i时，通过散列链更新存储在秘密值存储器1111中的任何的要素e_u’，vu’(u’∈{1，...，d})。因此，即使标签装置1110被干预，秘密值存储器1111内的要素e_u’，vu’泄漏给攻击者，由于散列函数的单方向性，攻击者也无法取得更新前的要素e_{u’，vu’-t}和更新后的要素e_u’，vu’的相关。因此，攻击者也无法取得从秘密值存储器1111取得的要素和过去从标签装置输出的输出值的相关。由此，可以防止标签装置1110的追踪。

进而，在实施例11中，即使在标签装置1110被干预，各多样值z_u泄漏的情况下，存储在秘密值存储器1111中的任何的要素e_u’，vu’被覆盖更新。由此，可以将标签装置1110被干预的情况下的影响抑制到最小限度。

另外，在实施例11中，在所有的通信时点，设定ε_u以及t_u，以便任何的x_u一定为x_u＝t_u。换言之，例如，设为t₁＝t₂＝...＝t_d，将对应于要素e_u，vu的计数器x_u每次偏离一个的(x_u＝i+u/d)。

但是，不使t_u(u∈{1，...，d})都相等，将对应于各要素e_u，vu的计数器x_u每次偏离将最大的t_u进行了d等分的间隔也可以。在该情况下，有时不满足完全的前向安全(forward secure)的性质，但至少可以抑制被干预时的影响。

[实施例12]

实施例12是实施例11的变形例。与实施例11同样，在实施例12中各要素e_u，vu被更新的通信时点也移位。但是，在实施例12中，标签装置在每一次将标签输出信息a_k，i输出∑_u＝1 ^dt_u次时，提取任何的要素e_u’，vu’，并计算提取的要素e_u’，vu的散列值H(e_u’，vu’)。

具体来说，实施例12的标签装置对于来自外部的每个访问，对与d个要素e_u，vu的任何一个对应的计数器x_u∈{1，...，t_u}累加(例如，以e_1，v1…e_d，vd的顺序每次加1)。这里，由于该计数器x_u对应于构成标签输出信息a_k，i＝G(e_1，v1|z₁|…|e_d，vd|z_d)的多样值z_u，所以该标签装置不更新各要素e_u，vu，而可以将不同的值的标签输出信息a_k，i输出∑_u＝1 ^dt_u次。在本实施例中，在每次输出Σ_u=1 ^dt_u次该标签输出信息a_k，i时更新任何的各要素e_u，vu，由此保持标签装置的输出值的多样性，同时将标签装置的更新运算量抑制在最小限度。

以下，说明与实施例1、11的不同点，并省略与实施例1、11共同的事项的说明。

图27是用于说明实施例12的标签装置的处理的流程图。另外，整体的功能结构与实施例11同样(图24)。

以下，使用这些图说明本实施例的处理方法。

<预处理>

在实施例11中，设为x_u＝i+ε_u(u∈{1，...，d})，在所有的通信时点，设定ε_u以及t_u，以便任何的x_u一定为x_u＝t_u，但在实施例12中，不特别进行这样的限定。

<标签装置的处理>

以下，说明使读取装置20第i次读取标签装置310时的处理。另外，计数值x_u(u∈{1，...，d})的初始值(i＝1)为1，u’以及u’的初始值也是1。另外，u’对应于更新的要素e_u’，vu’，u”对应于累加的要素e_u’，vu’的计数值x_u”。而且，各参数在控制部136的控制下存储在存储器136a中。

首先，在散列运算部1112中，从秘密值存储器1111中提取各要素e_u，vu，并从多样值存储器1116中提取任何的多样值z_u(在本例中为z_u＝π_u(x_u))(步骤S241)。然后，散列运算部1112计算提取的各要素e_u，vu和任何的多样值z_u的位结合值的标签输出信息a_k，i＝G(e_1，v1|z₁|…|e_d，vd|z_d)(步骤S242)。

生成的标签输出信息a_k，i被发送到接口114，接口114发送该标签输出信息a_k，i(步骤S243)。

之后，在控制部136中，对存储器的x_u”进行x_u”←x_u”+1(u”∈{1，...，d})的运算(步骤S244)，并判断是否为x_u”＞t_u”(t_u”是x_u”的最大值)(步骤S245)。这里，在判断为不是x_u”＞t_u”的情况下结束标签装置1110的处理。

另一方面，在判断为是x_u”＞t_u”的情况下，控制部136将u”+1代入存储器136a的u”(步骤S246)，并判断是否为u”＞d(步骤S247)。这里，在不是u”＞d的情况下，结束标签装置1110的处理，在u”＞d的情况下，在散列运算部813中，从秘密值存储器1111中提取要素e_u’，vu’(对应于上述u’∈{1，...，d}的要素)，并计算提取的要素e_u’，vu’的散列值H(e_u’，vu’)(步骤S248)。然后，在散列运算部813中，将该散列值H(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在秘密值存储器1111上(步骤S249)。

之后，例如，在散列运算部813中，进行vu’←vu’+1的运算(更新次数)(步骤S250)，并判断vu’是否超过要素e_u’，vu’的更新次数的最大值(max)(步骤S251)。这里，在判断为不是vu’＞max的情况下，结束标签装置1110的处理，在为vu’＞max的情况下，在控制部136中，进行u’←u’+1(成为更新对象的要素的变更)和vu’←0(重置成为更新对象的要素的更新次数)的运算(步骤S252)，并将这些结果存储在存储器136a中，从而结束标签装置1110中的处理。

通过以上的处理，在每次接口114输出∑_u＝1 ^dt_u次标签输出信息a_k，i时，在散列运算部813中，从秘密值存储器1111中提取任何的要素e_u’，vu’，并计算提取的要素e_u’，vu’的散列值H(e_u’，vu’)，更新秘密值存储器11。

<读取装置的处理>

与实施例8同样。

<后端装置的处理>

与实施例11同样。

<实施例12的特征>

[效率性]

在实施例12中，由于在每次标签装置1110进行∑_u＝1 ^dt_u次通信时，更新任何的要素e_u’，vu’，所以可以削减标签装置1110的更新处理运算量。换言之，在本实施方式中，每次通信时置换∑_u＝1 ^dt_u个多样值，同时生成并输出标签输出信息a_k，i(e_1，v1|z₁|…|e_d，vd|z_d)。因此，在∑_u＝1 ^dt_u次通信中，不更新要素e_u，vu而可以确保标签装置的输出值的多样性。而且，通过在每次∑_u＝1 ^dt_u次通信时更新任何的要素e_u’，vu’，进而可以确保下一个∑_u＝1 ^dt_u次的通信中的输出值的多样性。而且，要素e_u’，vu’的更新在每∑_u＝1 ^dt_u次通信时进行一次就可以，所以可以将标签装置1110的更新运算量抑制在最小限度。

[不可追踪性]

本实施例的标签装置1110在每次接口1114输出∑_u＝1 ^dt_u次标签输出信息a_k，i时，散列运算部813更新秘密值存储器1111。因此，即使标签装置1110被干预，秘密值存储器1111内的要素e_u’，vu’泄漏给攻击者，攻击者可以得知的标签装置1110的过去的输出值的数也小于∑_u＝1 ^dt_u个。由此，削减标签装置1110的更新运算处理量，同时可以抑制标签装置1110的追踪。

[实施例13]

实施例13是实施例1至4、6至12的变形例，特征在于使用的两种类的散列函数G(x)以及散列函数H(x)。

以下，仅说明散列函数H(x)，G(x)。

<No1>

本例的散列函数G(x)在将r设为自然数，将hash设为{0，1}^*→{0，1}^r的散列函数的情况下，是hash(1|x)，散列函数H(x)是hash(0|x)。另外，α|β表示α和β的位结合。而且，也可以将散列函数G(x)设为hash(0|x)，并将散列函数H(x)设为hash(1|x)。

<No2>

本例的散列函数H(x)(第一函数F1)是在将r，s设为自然数，将hash设为{0，1}^*→{0，1}^r的散列函数，设为p∈{0，1}^s的情况下的hash(p|x)。而且，散列函数G(x)(第二函数F2)是在设为p∈{0，1}^s，p≠q的情况下的hash(q|x)。

<No3>

本例的散列函数H(x)(第一函数F1)是在设为p∈{0，1}^s，将p对x的填充(padding)(对于x的p的填充)设为pad(x，p)的情况下的hash(pad(x，p))。而且，散列函数G(x)(第二函数F2)是在设为p∈{0，1}^s、p≠q，将p对x的填充(padding)(对于x的p的填充)设为pad(x，p)的情况下的hash(pad(x，q))。另外，p或q对于x的填充位置(位列的位置)不特别限定。例如，可以在x的前或后将p或q位结合，或者也可以在x的位列的中途插入p或q。

<No4>

本例的散列函数H(x)(第一函数F1)是在将hash设为{0，1}^*→{0，1}^r的散列函数的情况下的hash(x)，散列函数G(x)(第二函数F2)是在将rx设为x的位反转的情况下的hash(rx)。

<实施例13的效果>

在本实施例中，仅使用一种类的散列函数，不丧失其特性(单方向性，输出随机值)而可以实现两种类的散列运算G(x)，H(x)。由此，可以缩小构成散列函数的电路规模。其结果，可以缩小标签装置中的电路规模并可以实现标签装置的低成本。

[第二实施方式]

<结构>

接着，说明本发明的第二实施方式。

在本方式中，在设置在标签装置的外部的更新装置中，将存储在标签装置中的隐匿ID信息通过规定的时机更新为难以把握与其的关联性的新的隐匿ID信息。

<结构>

图28是例示本方式的概略结构的方框图。

如图28所例示的，本方式的更新系统1500具有标签装置1510以及设在其外部的安全服务器装置1560。

标签装置1510具有：秘密值存储器，存储将各标签装置固有的ID信息隐匿隐匿的隐匿ID信息；读写部1512，与秘密值存储器电连接；以及第一输出部1513和第二输入部1514，与读写部1512电连接。

而且，安全服务器装置1560具有：第一输入部1561；更新部1562，与第一输入部1561电连接；以及第二输出部1563，与更新部1562连接。

<隐匿ID的更新处理>

如下进行隐匿ID的更新。

首先，通过规定的时机，标签装置1510在读写部1512中读出存储在该秘密值存储器1511中的隐匿ID信息sid_h，在第一输出部1513中，对设在各标签装置的外部的安全服务器装置1560输出隐匿ID信息sid_h。

安全服务器装置1560在第一输入部1561中接受隐匿ID信息sid_h的输入。然后，在更新部1562中，生成难以掌握与隐匿ID信息sid_h的关联性的新的隐匿ID信息sid_h’，在第二输出部1563中，对标签装置1510输出新的隐匿ID信息sid_h’。

标签装置1510在第二输入部1514中，接受新的隐匿ID信息sid_h’的输入，在读写部1512中，将该新的隐匿ID信息sid_h’存储在秘密值存储器1511中。

[实施例14]

图29是例示实施例14中的更新系统2000的整体结构的概念图。

如该图所例示的，更新系统2000具有：贴在商品等上的无线标签装置等标签装置2010；客户机装置2020；管理与纯文本的ID关联的流通信息的后端装置2050；以及进行ID的复原或隐匿ID的再隐匿处理等的安全服务器装置2060(进行通过网络发送的隐匿ID的再隐匿处理的服务器装置，相当于“更新装置”)。而且，该客户机装置2020、后端装置2050以及安全服务器装置2060通过因特网等网络2070可通信地连接。另外，客户机装置2020包括作为第一实施方式中说明的读取装置的功能。而且，在第一实施方式中，在标签装置、读取装置以及后端装置中实现的效果，由标签装置2010、客户机装置2020、后端装置2050以及安全服务器装置2060实现。而且，为了说明的简略，在该图中例示了标签装置2010、客户机装置2020、后端装置2050以及安全服务器装置2060，但也可以通常标签装置为多个，客户机装置、后端装置以及安全服务器装置为多个。

本例的客户机装置2020首先从标签装置2010读取隐匿ID，并将其发送到安全服务器装置2060。安全服务器装置2060从该隐匿ID复原ID，并将该ID发回到客户机装置2020。接收到ID的客户机装置2020访问后端装置2050，请求ID、读取日期、读取位置、温度等信息的写入，或与ID关联的信息的取得等。而且，可以假设一种代理模型的利用方式：客户机装置2020将隐匿ID发送到安全服务器装置2060，安全服务器装置2060直接访问后端装置2050。而且，本实施例的特征部分在于安全服务器装置2060等设在标签装置2010的外部的装置将标签装置2010内的隐匿ID再隐匿(将隐匿ID更新为其它的隐匿ID)。

图30是例示本实施例中的更新系统1的功能结构的方框图。

<标签装置>

本例的标签装置2010包括：秘密值存储器2011、读写部2012(相当于“第一读写部”)、接口2013(相当于“第一输出部”“第二输入部”)、存储器2014a以及控制部2014。

这里，秘密值存储器2011、存储器2014a例如是EEPROM(ElectronicallyErasable and Programmable Read Only Memory)、FeRAM(Ferroelectric RandomAccess Memory)、闪存、NV(Nonvolatile)RAM等可读写的RAM(RandomAccess Memory)。而且，读写部2012是在控制部2014的控制下，在秘密值存储器2011的规定的地址读写数据的硬件。而且，控制部2014例如是控制标签装置2010整体的处理地构成的集成电路。

接口2013是通过无线或有线对客户机装置2020输入输出数据的硬件。具体来说，接口2013例如具有：编码·解码电路，通过NRZ码或曼彻斯特编码或米勒码或单极RZ编码等进行编码·解码；调制·解调电路，通过ASK(Amplitude Shift Keying)或PSK(Phase Shift Keying)或F SK(Frequency ShiftKeying)等进行调制·解调；以及偶极天线或微带天线或环形天线或带芯线圈等天线，使用低频带或ISM带(Industry Science Medical band)的频率进行信号的发送接收。另外，通信方式例如利用电磁感应方式或电波方式。

而且，秘密值存储器2011与读写部2012电连接，读写部2012与接口2013电连接。而且，虽然在该图中省略了，但控制部2014与标签装置2010的各部分电连接。

<客户机装置>

本例的客户机装置2020具有：接口2022、通信部2021、存储器2024a以及控制部2024。

物流信息存储器121例如是硬盘装置、软盘等磁记录装置，DVD-RAM(Random Access Memory)、CD-R(Recordable)/RW(ReWritable)等光盘装置、MO(Magneto-Optical disc)等光磁记录装置、EEP-ROM(ElectronicallyErasable and Programmable-Read Only Memory)、闪存(flash memory)等半导体存储器等。接口2022例如是与接口2013同样的硬件。通信部2021例如是LAN卡、调制解调器、终端适配器等，控制部2023例如是具有存储器2023a的CISC(Complex Instruction Set Computer)方式、RISC(Reduced InstructionSet Computer)方式等的CPU(Central Processing Unit)。

而且，与接口22以及通信部2021电连接，虽然在该图中省略了，但控制部2024与客户机装置2020的各部分电连接。

<更新装置>

安全服务器装置2060具有：通信部2062(相当于“第一输入部”“第二输出部”)、随机数生成部2063、读写部2064(相当于“第二读写部”)、隐匿ID存储器2061、存储器2065a以及控制部2065。另外，随机数生成部2063、读写部2964以及隐匿ID存储器2061构成“更新部”。具体来说，安全服务器2060通过使公知的诺伊曼型计算机执行规定的程序而构成，所述计算机通过总线连接例如CPU、RAM、ROM(Read Only Memory))、磁记录装置或光盘装置等外部存储装置、LAN卡或调制解调器或终端适配器等。而且，该CPU读出存储在RAM中的程序，并执行根据其的处理，从而实现以下所示的各处理功能。

<处理>

图31是用于说明本发明的处理顺序的流程图。以下，使用图29至图31说明本实施例的功能结构以及处理。另外，标签装置2010、客户机装置2020以及安全服务器装置2060分别通过控制部2014、2023、2065的控制执行各处理。而且，被处理的数据逐一存储在存储器2014a、2023a或2065a中，进行运算等处理时被调用，以下省略其说明。

<预处理>

本例的隐匿ID信息是对应于标签ID信息id_h的随机值r_h。标签装置2010的秘密值存储器2011中作为隐匿ID信息sid_h，存储该标签装置2010固有的标签ID信息id_h所对应的随机值r_h。而且，安全服务器装置2060的隐匿ID存储器2061中存储对应于各标签装置2010的标签ID信息id₁，...，id_m，和对应于这些各标签ID信息的随机值r₁，...，r_m的隐匿ID信息。另外，h是大于等于1小于等于m的自然数，作为各标签装置2010所对应的号码。而且，m是标签装置的总数。

<隐匿ID信息更新处理>

首先，利用任何的认证技术在客户机装置2020和安全服务器装置2060之间进行相互认证。而且，客户机装置2020和安全服务器装置2060的通信由任何的加密技术加密而进行。

隐匿ID信息sid_h的更新处理以如下情况为触发而开始，例如通过门廊等外出时一定通过的场所的情况或存储在标签装置2010内的隐匿ID信息的使用次数(计数值达到规定值)等。通过该触发，首先，客户机装置2020在接口2022中对标签装置2010发送读取指示(步骤S301)。该读取指示在标签装置2010的接口2013中被接收，并以此为触发，读写部2012从秘密值存储器2011中提取隐匿ID信息sid_h(步骤S302)。提取的隐匿ID信息sid_h被从接口2013发送(输出)到客户机装置2020(步骤S303)。该隐匿ID信息sid_h在客户机装置2020的接口2022中被接收，与隐匿ID信息的更新委托(在加密请求)同时从通信部2021通过网络2070被发送到安全服务器装置2060(步骤S304)。

该隐匿ID信息(sid_h)等信息在安全服务器装置2060的通信部62中被接收(接受输入)(步骤S305)并被发送到读写部2064。而且，以此为触发，在随机数生成部63(相当于“随机值生成部”)中，生成作为随机值的随机数r_h’(步骤S306)。

另外，进行该随机数r_h’的生成，并使其不与隐匿ID存储器2061的隐匿ID信息的值相同。而且，该生成例如使用基于用SHA-1等单方向性散列函数构成的计算量理论的虚拟随机数生成算法来进行，生成的随机数r_h’被发送到读写部2064。读写部2064从隐匿ID存储器2061中检索(选择)隐匿ID信息sid_h所对应的标签ID信息id_h，并将随机数r_h’(相当于“随机值”)作为新的隐匿ID信息sid_h’与该标签ID信息id_h对应，并存储在隐匿ID存储器2061中(步骤S307)。而且，读写部2064将新的隐匿ID信息sid_h’＝r_h’发送到通信部2062，通信部2062将该新的隐匿ID信息sid_h通过网络2070发送到客户机装置2020(相当于“对标签装置输出”)(步骤S308)。

被发送的新的隐匿ID信息sid_h’在客户机装置2020的通信部2021中被接收，并通过接口2022被发送到标签装置2010(步骤S309)。标签装置2010在接口2013中接收该新的随机数r_h’(接受输入)并发送到读写部2012。读写部2012将该新的隐匿ID信息sid_h’发送到秘密值存储器2011，并存储在其中(步骤S310)。之后，标签装置2010对于来自读取装置(未图示)的读取请求，将该新的隐匿ID信息sid_h’通过读取装置发送到后端装置2050。后端装置2050将接受到的隐匿ID信息sid_h’发送到数据库存储器1131，数据库存储器1131由通信部2062接收该信息并发送到读写部2064。读写部2064从隐匿ID存储器2061中检索与该隐匿ID信息sid_h’一致的随机值，并读出与一致的随机值r_h对应的标签ID信息id_h并发送到通信部2062，通信部2062将其发送到后端装置2050。

<实施例14的特征>

在本实施例中，可以在任意的定时更新存储在标签装置2010中的隐匿ID信息。因此，可以避免基于通信历史等中残留的隐匿ID信息的共同性追踪标签装置2010，而侵犯隐私。而且，由于将随机值作为隐匿ID信息，所以攻击者无法得知更新前后的隐匿ID信息的关联性。从而，可以稳固地实现防止标签装置2010的追踪。进而，由于由标签装置2010外部的安全服务器装置2060进行复杂的再隐匿处理，所以不必在标签装置2010自身中设置再隐匿处理所需的电路等。其结果，可以将标签装置2010自身的成本抑制较低。

[实施例15]

本实施例是实施例14的变形例，将通过共同密钥加密方式的加密文本作为隐匿ID信息，这一点与实施例14不同。以下，以与实施例14的不同点为中心进行说明。

图32是例示本实施例中的更新系统2100的功能结构的方框图，图33是用于说明该处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。另外，在图32中，对于与实施例14共同的结构赋予与图30相同的标号。而且，安全服务器装置2160通过控制部2065的控制执行各处理。而且，密钥存储器2161、读写部2064、ID提取部2166、加密部2167以及随机数生成部2063构成“更新部”。

<预处理>

本方式的隐匿ID信息是具有通过AES等共同密钥加密方式的第一加密文本和使用该加密的共同密钥所对应的密钥ID信息的信息。在本例中，标签装置2110的隐匿ID信息设为sid_h＝(ek_j(id_h|r)，kid_j)。另外，h是大于等于1小于等于n的自然数，是各密钥所对应的号码。这里，m表示标签装置的总数，n表示密钥的总数。而且，k_j表示第j个共同密钥，kid_j表示共同密钥k_j所对应的密钥ID信息，r表示随机数，进而ek(α)表示使用共同密钥k通过共同密钥加密方式将α进行了加密的加密文本，α|β表示α和β的位结合。

本例的标签装置2110的秘密值存储器2111中存储该标签ID信息id_h所对应的隐匿ID信息sid_h＝(ek_j(id_h|r)，kid_j)。而且，安全服务器装置2160(相当于“更新装置”)的密钥存储器2161中对应存储各密钥ID信息(kid₁，...，kid_n)和共同密钥(k₁，...，k_n)。进而，将关于sid_h＝(ek_j(id_h|r)，kid_j)中的随机数r的大小(位长)和填充位置的信息存储在存储器2065a中。

另外，在本例中，标签装置的总数m比密钥的总数n充分大(m＞＞n)，对没有关联性的标签装置分配相同的密钥ID信息。即，例如，不是对在相同种类的商品上分别附带的标签装置分配相同的密钥ID信息，而是对在无关系的商品上分别附带的标签装置分配相同的密钥ID信息。由此，可以防止从密钥ID信息确定商品种类或商品个体。

<隐匿ID更新处理>

与实施例14同样，首先客户机装置2020对标签装置2110发送读取指示(步骤S320)。标签装置2110从秘密值存储器2111提取隐匿ID信息(sid_h＝(ek_j(id_h|r)，kid_j))(步骤S321)，并发送到客户机装置2020(步骤S322)。接受到该信息的客户机装置320将该隐匿ID信息sid_h和更新委托同时发送到安全服务器装置2160(步骤S323)。

该隐匿ID信息sid_h等信息在安全服务器装置2160的通信部2062中被接收(步骤S324)，构成该隐匿ID信息sid_h的第一加密文本ek_j(id_h|r)被发送到ID提取部2166，密钥ID信息kid_j被发送到读写部2064。而且，kid_j也记录在存储器2065a中。

接受到密钥ID信息(kid_j)的读写部2064从密钥存储器2161中提取对应于该密钥ID信息kid_j的共同密钥k_j，发送到ID提取部2166(步骤S326)。收到该密钥的ID提取部2166使用该共同密钥k_j将第一加密文本(ek_j(id_h|r))解码，并提取标签ID信息id_h。即，ID提取部2166通过id_h＝dk_j(ek_j(id_h|r))来计算(id_h|r)，使用关于存储器2065a中存储的随机数r的大小和其填充位置的信息提取id_h(步骤S326)。这里，dk(α)表示通过共同密钥k的加密文本α的解码。另外，计算出的标签ID信息id_h与共同密钥k_j同时被发送到加密部2167(步骤S327)。加密部2167使用发送的共同密钥k_j、标签ID信息id_h、随机数r’、以及关于存储在存储器2065a中的随机数的大小和其填充位置的信息，生成(计算)第二加密文本(ek_j(id_h|r’))(难以把握与第一加密文本的关联性的第二加密文本)，并将其发送到通信部2062(步骤S328)。

通信部2062将发送的加密文本(ek_j(id_h|r’))以及存储器2065a内的密钥ID信息kid_j作为新的隐匿ID信息(sid_h’＝(ek_j(id_h|r’)，kid_j))发送(输出)(步骤S329)。

发送的新的隐匿ID信息sid_h’与实施例14同样经由网络2070在客户机装置2020中被接收，并被发送到标签装置2110(步骤S330)。标签装置2110在接口2013中接收该新的隐匿ID信息sid_h’，并由读写部2012存储在秘密值存储器2111内(步骤S331)，对于之后来自读取装置的读取请求，将该新的隐匿ID信息sid_h’通过读取装置发送到后端装置2050。后端装置2050将收到的隐匿ID信息sid_h’发送到安全服务器装置2160，安全服务器装置2160通过通信部2062接收。之后，安全服务器装置2160通过与步骤S324、325同样的顺序将标签ID信息解码，并通过通信部2062以及网络2070将其发送到后端装置2050。

<实施例15的特征>

在本实施例中，由于将包含通过共同密钥加密方式的加密文本的信息作为隐匿ID信息，所以不知道该共同密钥的攻击者无法得知更新前后的隐匿ID信息的关联性。从而，可以稳固地实现防止标签装置2010的追踪。

另外，在本实施例中，通过随机数和ID的按位加(exclusive logic sum)的加密文本构成隐匿ID信息，但只要存有概率加密的性质(即使用相同密钥将相同ID加密，也可以输出不同的加密文本的性质)，也可以通过其它方法构成隐匿ID信息。这一点与实施例16也同样。

[实施例16]

实施例16是实施例14的变形例，将通过公开密钥加密方式的加密文本作为隐匿ID信息，这一点与实施例14不同。以下，以与实施例14的不同点为中心进行说明。

图34是例示本实施例中的更新系统2200的功能结构的方框图，图35是用于说明该处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。另外，在图34中，对于与实施例14共同的结构，赋予与实施例14相同的标号。而且，读写部2064、密钥存储器2261、ID提取部2266、加密部2267以及随机数生成部2063构成“更新部”。

<预处理>

本方式的隐匿ID信息是具有通过RSA等公开密钥加密方式的第一加密文本和使用该加密的公开密钥所对应的密钥ID信息的信息。在本例中，标签装置2210的隐匿ID信息设为sid_h＝(epk_j(id_h|r)，kid_j)。另外，pk_j表示第j个公开密钥，kid_j表示公开密钥k_j所对应的密钥ID信息，epk(α)表示使用公开密钥pk通过公开密钥加密方式将α进行了加密的加密文本。

本例的标签装置2110的秘密值存储器2211中存储该隐匿ID信息(sid_h＝(epk_j(id_h|r)，kid_j))。而且，安全服务器装置2260(相当于“更新装置”)的密钥存储器2261中对应存储各密钥ID信息(kid₁，...，kid_n)和公开密钥加密方式的共同密钥(sk₁，...，sk_n)以及公开密钥(pk₁，...，pk_n)(密钥对(sk_j，pk_j))。进而，将关于sid_h＝(epk_j(id_h|r)，kid_j)中的随机数r的大小(位长)和填充位置(位位置)的信息存储在存储器2065a中。

另外，与实施例15同样，在本例中，对没有关联性的标签标签装置分配相同的隐匿ID信息。由此，可以防止从密钥ID信息确定商品种类和商品个体。

<隐匿ID更新处理>

与实施例14同样，首先客户机装置2020对标签装置2210发送读取指示(步骤S340)。标签装置2210从秘密值存储器2211提取隐匿ID信息(sid_h＝(epk_j(id_h|r)，kid_j))(步骤S341)，并发送到客户机装置2020(步骤S342)。接受到该信息的客户机装置2020将该隐匿ID信息sid_h和更新委托同时发送到安全服务器装置2260(步骤S343)。

该隐匿ID信息sid_h等信息在安全服务器装置2260的通信部2062中被接收(步骤S344)，构成该隐匿ID信息sid_h的第一加密文本epk_j(id_h|r)被发送到ID提取部266，密钥ID信息kid_j被发送到读写部2064。而且，密钥ID信息kid_j也记录在存储器2065a中。

接受到密钥ID信息kid_j的读写部2064从密钥存储器2261中提取对应于该密钥ID信息kid_j的密钥sk_j以及公开密钥epk_j(密钥对)，将密钥sk_j发送到ID提取部2266，将公开密钥epk_j发送到加密部2267(步骤S345)。收到密钥sk_j的ID提取部2266使用该密钥sk_j将第一加密文本(epk_j(id_h|r))解码，并提取标签ID信息id_h。即，通过id_h＝dsk_j(epk_j(id_h|r))来计算(id_h|r)，使用存储器2065a的随机数r的大小和其填充位置的信息计算id_h(步骤S346)。这里，dsk(α)表示通过密钥sk的加密文本α的解码。另外，计算出的标签ID信息id_h被发送到加密部2267。而且，随机数生成部2063生成随机数r’，将其发送到加密部2267(步骤S347)。加密部2267使用发送的公开密钥k_j、标签ID信息id_h、随机数r’、以及随机数的大小和其填充位置的信息，生成(计算)加密文本(epk_j(id_h|r’))(难以把握与第一加密文本的关联性的第二加密文本)，并将其发送到通信部2062(步骤S348)。

通信部2062将发送的第二加密文本(epk_j(id_h|r’))以及存储器2065a内的密钥ID信息kid_j作为新的隐匿ID信息sid_h’＝(ek_j(id_h|r’)，kid_j)发送(输出)(步骤S349)。

发送的新的隐匿ID信息sid_h’与实施例14同样经由网络2070在客户机装置2020中被接收，并被发送到标签装置2210(步骤S350)。标签装置2210将该新的隐匿ID信息sid_h’在读写部2012中存储在秘密值存储器2211内(步骤S351)。然后，对于之后来自读取装置的读取请求，将该新的隐匿ID信息sid_h’通过读取装置发送到后端装置2050。后端装置2050将收到的隐匿ID信息sid_h’发送到安全服务器装置2260，安全服务器装置2260通过通信部2062接收。之后，安全服务器装置2260通过与步骤S345、346同样的顺序将标签ID信息解码，并通过通信部2062以及网络2070将其发送到后端装置2050。

<实施例16的特征>

在本实施例中，由于将包含通过公开密钥加密方式的加密文本的信息作为隐匿ID信息，所以不知道该密钥的攻击者无法得知更新前后的隐匿ID信息的关联性。从而，可以稳固地实现防止标签装置2210的追踪。

<实施例17>

本实施例是实施例14的变形例，使用具有再加密的性质(仅使用被加密的数据和公开密钥可以生成其它的加密文本的加密的性质。使用相同的密钥进行解码。)的加密算法进行隐匿ID信息的更新，这一点与实施例14不同。以下，以与实施例14的不同点为中心进行说明。

图36是例示本实施例中的更新系统2300的功能结构的方框图，图37是用于说明其处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。另外，在图36中，对于与实施例14共同的结构赋予与实施例14相同的标号。而且，安全服务器装置2360通过控制部2065的控制来执行各处理。而且，密钥存储器2361、读写部2064、随机数生成部2063、余数乘法运算部2366以及余数幂运算部2367构成“更新部”。

<预处理>

本方式的隐匿ID信息是具有通过有再加密的性质的加密算法(公开密钥加密方式)的第一加密文本和使用该加密的公开密钥所对应的密钥ID信息的信息。在本例中，使用ElGamal加密(例如，参照冈本龙明、山本博资，“現代暗号”，1998，p118～119。)将标签装置2310的隐匿ID信息设为sid_h＝(g^rmod p，id_h·pk_j ^r mod p，kid_j)。另外，g表示公开的生成元，p表示充分大的素数，r表示大于等于0小于p-1的任意的整数，pk_j＝g^xj mod p表示第j个公开密钥，sk_j表示第j个密钥，(g^r mod p，id_h·pk_j ^r mod p，kid_j)表示加密文本。另外，pk_j＝g^skj mod p的上标字“skj”表示“pk_j”。而且，在以下的记载以及图中，省略“mod p”来记载。

本例的标签装置2310的秘密值存储器2311中存储该隐匿ID信息sid_h＝(g^r，id_h·pk_j ^r，kid_j)。而且，安全服务器装置2360(相当于“更新装置”)的密钥存储器2261中对应存储各密钥ID信息(kid₁，...，kid_n)和公开密钥(pk₁，...，pk_n)。进而，生成元g储在存储器2065a中。

另外，在本例中，对没有关联性的标签装置分配相同的密钥ID信息。由此，可以防止从密钥ID信息确定商品种类或商品个体。

<隐匿ID更新处理>

与实施例14同样，首先客户机装置2020对标签装置2310发送读取指示(步骤S360)。标签装置2310从秘密值存储器2311提取隐匿ID信息sid_h＝(g^r，id_h·pk_j ^r，kid_j)(步骤S361)，并发送到客户机装置2020(步骤S362)。接受到该信息的客户机装置2020将该隐匿ID信息sid_h和更新委托同时发送到安全服务器装置2260(步骤S363)。

该隐匿ID信息sid_h等信息在安全服务器装置2360的通信部2062中被接收(步骤S364)，构成该隐匿ID信息sid_h的(g^r，id_h·pk_j ^r)被发送到余数乘法运算部2366(构成“加密部”)，kid_j被发送到读写部2064。而且，kid_j也记录在存储器2065a中。

接受到密钥ID信息kid_j的读写部2064从密钥存储器2361中提取对应于该密钥ID信息kid_j的公开密钥pk_j，将其发送到余数幂运算部2367(构成“加密部”)(步骤S365)。以此为触发，随机数生成部2063生成大于等于0小于p-1的随机数r’，将其发送到余数幂运算部2367(步骤S366)。余数幂运算部2367使用存储器2065a内的生成元g、收到的公开密钥pk_j以及随机数r’进行(g^r’pk_j ^r’)的运算，将其结果发送到余数乘法运算部2366(步骤S367)。余数乘法运算部2366使用收到的(g^r’，pk_j ^r’)和(g^r，id_h pk_j ^r)运算(g^r+r’，id_h·pk_j ^r+r’)，将其运算结果作为新的加密文本(第二加密文本)发送到通信部2062(步骤S368)。

通信部2062将发送的加密文本(g^r+r’，id_h·pk_j ^r+r’)(难以掌握与第一加密文本的关联性的第二加密文本)以及存储器2065a内的密钥ID信息kid_j作为新的隐匿ID信息(sid_h’＝(ek_j(id_h|r’)，kid_j))发送(输出)(步骤S369)。

发送的新的隐匿ID信息sid_h’与实施例14同样经由网络2070在客户机装置2020中被接收，并被发送到标签装置2310(步骤S370)。然后，标签装置2310将该新的隐匿ID信息sid_h’在读写部2012中存储在秘密值存储器2311内(步骤S371)。然后，标签装置2310对于读取请求，响应该新的隐匿ID信息(sid_h’)。

<实施例17的特征>

在本实施例中，由于使用具有再加密的性质的加密算法更新隐匿ID信息，所以不对纯文本的ID解码而可以更新隐匿ID信息。从而，不会在隐匿ID信息的更新处理时ID被盗听，可以稳固地实现防止标签装置2310的追踪。

另外，在本实施例中，安全服务器装置2360的密钥存储器2361中存储公开密钥(pk₁，...，pk_n)，但安全服务器装置2360不保持公开密钥(pk₁，...，pk_n)而从规定的公开密钥服务器取得公开密钥(pk₁，...，pk_n)也可以。

而且，在本实施例中使用了ElGamal加密，只要是具有再加密的性质的加密算法，使用高次余数加密等其它的算法也可以。

而且，作为实施例16以及实施例17的变形，用共同密钥将标签ID信息加密，将使用上述公开密钥加密方式的公开密钥对该共同密钥和该标签ID信息的加密文本加密的信息作为隐匿ID信息也可以(混合加密)。在该情况下，安全服务器装置用对应于该公开密钥的密钥将隐匿ID信息解码而取得共同密钥，并使用该共同密钥将标签ID信息的加密文本解码而取得标签ID信息。之后，安全服务器装置通过共同密钥加密方式从该标签ID信息生成其它的加密文本，并将共同密钥和加密文本进一步通过公开加密方式加密。然后，与实施例16等同样，将该新的隐匿ID信息存储在标签装置的秘密值存储器中。

[实施例18]

实施例18在隐匿ID信息的更新时变更安全服务器装置。以下，以与实施例14的不同点为中心进行说明。

图38是例示本实施例的更新系统2400的整体结构的概念图。另外，在图38中，对于与实施例14共同的结构赋予与实施例14相同的标号。

如该图中例示的，更新系统2400具有：标签装置2410、客户机装置2020(相当于“更新委托装置”)、多个安全服务器装置2460-1～v(相当于“更新装置”)以及后端装置2050，可通过网络2070通信地连接。

图39是例示本实施例中的更新系统2400的功能结构的方框图，图40是用于说明该处理的流程图。以下，使用这些图说明本实施例的功能结构以及处理。另外，在图39中，对于与实施例14共同的结构，赋予与实施例14相同的标号。而且，为了简化说明，在图38、39中，仅表示了两个安全服务器装置2460-1、2460-2，但也可以通过大于等于两个的安全服务器构成系统。进而，在图39中，仅记载了说明所必需的处理功能·数据，但安全服务器装置2460-1、2460-2也可以互相兼有它们各自具有的处理功能和数据。通过安全服务器装置2460-1、2460-2，控制部2465-1、2465-2的控制进行各处理。

<预处理>

本方式的隐匿ID信息是具有通过公开密钥加密方式的加密文本和该加密所使用的公开密钥所对应的密钥ID信息的信息。在本例中，标签装置2410的隐匿ID信息设为sid_h＝(epk_j(id_h)，kid_j)。

本例的标签装置2410的秘密值存储器2411中存储该隐匿ID信息sid_h＝(epk_j(id_h)，kid_j))。而且，安全服务器装置2460-1的密钥存储器2461-1中对应存储各密钥ID信息(kid₁，...，kid_n)和公开密钥加密方式的密钥(sk₁，...，sk_n)。进而，安全服务器装置2460-2的密钥存储器2461-2中对应存储各密钥ID信息(kid₁，...，kid_n)和公开密钥加密方式的公开密钥(pk₁，...，pk_n)。

另外，在本例中，对没有关联性的标签标签装置分配相同的隐匿ID信息。由此，可以防止从密钥ID信息确定商品种类和商品个体。

<隐匿ID更新处理>

与实施例14同样，首先客户机装置2020对标签装置2410发送读取指示(步骤S380)。标签装置2410从秘密值存储器2411提取隐匿ID信息(sid_h＝(epk_j(id_h)，kid_j))(步骤S381)，并发送到客户机装置2020(步骤S382)。接受到该信息的客户机装置2020在通信部2021(相当于“第一ID输出部”)中，将从该标签装置2410中提取的隐匿ID信息sid_h和解码委托同时发送到安全服务器装置2460-1(步骤S383)。另外，安全服务器装置2460-1是管理在该时点存储在标签装置2410中的隐匿ID信息的安全服务器装置。

该隐匿ID信息sid_h等信息在安全服务器装置2460-1的通信部2462-1(相当于“第一输入部”)中被接收(步骤S384)，构成该隐匿ID信息sid_h的epk_j(id_h)被发送到ID提取部2466-1，kid_j被发送到读写部2464-1。接受到密钥ID信息kid_j的读写部2464-1从密钥存储器2461-1中提取对应于该密钥ID信息kid_j的密钥sk_j，将该密钥sk_j发送到ID提取部2466-1(步骤S385)。收到密钥sk_j的ID提取部2466-1使用该密钥sk_j将加密文本(epk_j(id_h))解码，并求标签ID信息id_h(id_h＝dsk_j(epk_j(id_h)))(步骤S386)。求出的标签ID信息id_h被发送到通信部2462-1(相当于“第二输出部”)，并从此处通过网络2070被发送(输出)到客户机装置2020(步骤S387)。

从安全服务器装置2460-1输出的标签ID信息id_h在客户机装置2020的通信部2021中被接收(接受输入)(步骤S388)。之后，通信部2021发送(输出)标签ID信息id_h到任意选择了的安全服务器安全服务器装置2460-2，并进行隐匿ID信息的更新委托(步骤S389)。

安全服务器装置2460-2的通信部2462-2(相当于“第三输入部”)接收通过网络2070发送的该标签ID信息id_h(接受输入)并发送到加密部2467-2(步骤S390)。而且以此为触发，密钥选择部2468-2进行密钥的选择，将该信息发送到读写部2464-2(步骤S391)。在本例的情况下，密钥选择部2468-2从大于等于1小于等于n的自然数中选择任意(随机数等)的密钥号i，将该密钥号i发送到读写部2464-2。读写部2464-2从密钥存储器2461-2中提取收到的密钥号i所对应的密钥ID信息kid_i以及公开密钥pk_i，发送到加密部2467-2(步骤S392)。加密部2467-2使用收到的开密钥pk_i将标签ID信息id_h加密(隐匿)(epk_j(id_h))，生成该加密文本和密钥ID信息kid_i构成的新的隐匿ID信息(sid_h’＝(epk_j(id_h)，kid_j))(步骤S393)。生成的隐匿ID信息sid_h’被发送到通信部2462-2，通信部2462-2(相当于“第三输出部”)将该隐匿ID信息sid_h’通过网络2070发送(输出)到客户机装置2020(步骤S394)。

客户机装置2020在通信部2021(相当于“第二输入部”)中接收该(隐匿ID信息sid_h’)(接受输入)(步骤S396)。标签装置2410将该新的隐匿ID信息sid_h’存储在秘密值存储器2411内(步骤S397)，对以后的读取请求响应该新的隐匿ID信息sid_h’。以后，安全服务器装置2460-2成为管理存储在标签装置2410中的隐匿ID信息的安全服务器装置。从而，该新的隐匿ID信息sid_h’的解码以后在安全服务器装置2460-2中进行，作为该解码结果的标签ID信息id_h被发送到客户机装置2020或后端装置2050等。安全服务器装置2460-2中的隐匿ID信息sid_h’的解码使用存储在密钥存储器2461-2中的密钥sk_i(对应于kid_i的密钥：未图示)进行。

<实施例18的特征>

在实施例18中，通过管理标签装置2410的隐匿ID信息的安全服务器装置2460-1将隐匿ID信息解码，进而通过其它的安全服务器装置2460-2生成新的隐匿ID信息，更新存储在标签装置2410中的隐匿ID信息。换言之，同时进行隐匿ID信息的更新和管理标签装置2410的隐匿ID信息的安全服务器装置的变更。由此，防止隐匿ID信息的更新历史信息集中于一台安全服务器装置，可以降低来自安全服务器装置的信息泄漏或恶意设定的安全服务器装置的不正当行为的危险。进而，通过将变更后的安全服务器装置设为公众无法访问的局部装置，可以进一步实现高度的安全性。

另外，代替公开密钥加密方式使用共同密钥加密方式构成本实施例的更新系统也可以。

而且，如实施例14那样，应用将随机值作为隐匿ID信息的方式构成本实施例的更新系统也可以。在该情况下，在新的安全服务器装置中，代替上述加密而生成随机值，在实施例14那样的隐匿ID存储器中新追加生成的随机值(＝隐匿ID)以及ID。

[实施例19]

在实施例19中，客户机装置进行隐匿ID信息的再隐匿处理。即，客户机装置作为更新装置起作用。在该情况下，客户机装置进行直接读取的隐匿ID信息的再隐匿处理。

图41是例示本实施例的更新系统2500的功能结构的方框图，图42是用于说明该处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。在图41中，对于与实施例14共同的结构赋予与实施例14相同的标号。以下以与实施例14的不同点为中心进行说明。

<预处理>

本方式的隐匿ID信息是具有带有再加密的性质的加密算法()的加密文本和该加密所使用的公开密钥所对应的密钥ID信息的信息。在本例中，标签装置2410的隐匿ID信息设为sid_h＝(g^r，id_h·pk_j ^r，kid_j)。

本例的标签装置2410的秘密值存储器2411中存储该隐匿ID信息(sid_h＝(g^r，id_h·pk_j ^r，kid_j)))。而且，安全服务器装置2520(相当于“更新装置”)的密钥存储器2524中对应存储各密钥ID信息(kid₁，...，kid_n)和公开密钥(pk₁，...，pk_n)。进而，余数幂运算部2527的存储器中存储生成元g。

另外，在本例中，对没有关联性的标签标签装置分配相同的隐匿ID信息。由此，可以防止从密钥ID信息确定商品种类和商品个体。

<隐匿ID更新处理>

客户机装置2520通过控制部2023的控制执行以下的处理。

与实施例14同样，首先，客户机装置2520对标签装置2510发送读取指示(步骤S400)。标签装置2520从存储器2511中提取隐匿ID信息(sid_h＝(g^r，id_h·pk_j ^r，kid_j))(步骤S401)，发送到客户机装置2520(步骤S402)。

该隐匿ID信息sid_h在客户机装置2520的接口2022中被接收(步骤S403)，构成该隐匿ID信息sid_h的加密文本(g^r，id_h·pk_j ^r)被发送到余数乘法运算部2528(构成“加密部”)，kid_j被送到读写部2525。kid_j记录在存储器2023a中。

接受到密钥ID信息kid_j的读写部2525从密钥存储器2524中提取对应于该密钥ID信息kid_j的公开密钥pk_j，将其发送到余数幂运算部2527(构成“加密部”)(步骤S404)。以此为触发，随机数生成部2526生成大于等于0小于p-1的随机数r’，将其发送到余数幂运算部2527(步骤S405)。余数幂运算部2527使自身的存储器内的生成元g、收到的公开密钥(pk_j)以及随机数r’进行(g^r’，pk_j ^r’)的运算，将其结果发送到余数乘法运算部2528(步骤S406)。余数乘法运算部2528使用收到的(g^r’，pk_j ^r’)和(g^r，id_h·pk_j ^r)运算(g^r+r’，id_h·pk_j ^r+r’)，将其运算结果作为新的加密文本发送到接口2022(步骤S407)。然后，接口2022将发送的加密文本(g^r+r’，id_h·pk_j ^r+r’)以及接口2022的存储器内的密钥ID信息kid_j作为新的隐匿ID信息(sid_h’＝((g^r+r’，id_h·pk_j ^r+r’，kid_j))发送(输出)(步骤S408)。

发送的新的隐匿ID信息sid_h’在标签装置2510的接口2013中被接收，经由读写部2012存储在存储器2511(步骤S409)。之后，标签装置2510对读取请求响应该新的隐匿ID信息sid_h’。

<实施例19的特征>

在实施例19中，客户机装置2520进行标签装置2510内的隐匿ID信息的再隐匿。这里，客户机装置2520进行再隐匿处理的仅是在接口2022中直接读取的隐匿ID信息。因此，可以抑制信息泄漏到第三者，并可以确保更高的安全性。

另外，在本实施例中，安全服务器装置2520的密钥存储器2524中存储了公开密钥(pk₁，...，pk_n)，但安全服务器装置2520也可以不保持公开密钥(pk₁，...，pk_n)而从规定的公开密钥服务器中取得公开密钥(pk₁，...，pk_n)而使用。

而且，将从实施例14到实施例16的方式的任何一个安全服务器装置的结构应用于客户机装置2520，并执行本实施例的处理也可以。

[实施例20]

接着，说明实施例20。

在本实施例中，在客户机装置(相当于“更新委托装置”)中取得多个隐匿ID信息，使用从那里选择了的隐匿ID信息更新标签装置内的隐匿ID信息。

图43是例示本实施例中的更新系统2600的功能结构的方框图，图44是用于说明其处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。在图43中对于与实施例14共同的结构赋予与实施例14相同的标号。而且，以下以与实施例14的不同点为中心进行说明。

<预处理>

首先，在客户机装置2620的通信部2021(相当于“隐匿ID输入部”)中接收通过网络2070发送的多个种类的隐匿ID信息(sid_h-1，...，p)(接受输入)(步骤S410)。该多个种类的隐匿ID信息(sid_h-1，...，p)是通过重复多次从实施例14到实施例17中任何的方法，或者通过安全服务器装置2660发送一次多个种类的隐匿ID信息而得到的信息。而且，在利用实施例14的方法的情况下，安全服务器装置2660的隐匿ID存储器中对于一个标签ID信息需要保持多个隐匿ID信息(sid_h-1，...，p)。与此相对，在利用从实施例15到实施例17的方法的情况下，存储在安全服务器装置2660中的信息也可以与实施例15到实施例17同样。

通信部2021将这些隐匿ID信息(sid_h-1，...，p)发送到读写部2624，读写部2624将它们存储在隐匿ID存储器2625中(步骤S411)。

<隐匿ID更新处理>

客户机装置2620通过控制部2023的控制执行以下的处理。

首先，在控制部23中，判断是否有进行隐匿ID更新的规定的触发(时机)(步骤S412)。作为该触发，例如可以举出从标签装置2610中读取了隐匿ID信息，或表示标签装置2610内的隐匿ID信息的使用次数的计数值达到规定值。这里，在没有规定的触发的情况下，继续步骤S412的判断，在有规定的触发的情况下，在读写部2624(相当于“隐匿ID提取部”)中，从隐匿ID存储器2625中提取一个隐匿ID信息sid_h-j(步骤S413)。这一个隐匿ID信息sid_h-j的选择，例如可以随机进行，或者也可以以sid_h-1、sid_h-2、...的排列顺序选择，在sid_h-p之后再次返回sid_h-1。提取的一个隐匿ID信息sid_h-j从读写部2624发送到接口2022(相当于“隐匿ID输出部”)，并从此处对标签装置2610发送(输出)(步骤S414)。

标签装置2610在接口2013中接收该隐匿ID信息sid_h-j(步骤S415)，经由读写部2012存储在秘密值存储器2611中(步骤S416)。之后，标签装置2610对于来自读取装置的读取请求响应该新的隐匿ID信息sid_h’。

<实施例20的特征>

在本实施例中，在客户机装置2620中预先存储多个种类的隐匿ID信息，通过从此处选择的隐匿ID信息更新标签装置2610的隐匿ID信息。这里，在客户机装置2620内进行更新所使用的隐匿ID信息的选择，在客户机装置2620和标签装置2610之间局部地进行该发送。因此，可以抑制信息泄漏到第三者，并可以确保更高的安全性。而且，如果进行一次从安全服务器装置2660向客户机装置2620发送多个种类的隐匿ID信息，则可以降低对安全服务器装置2660的访问次数，所以可以减轻伴随隐匿ID信息的更新处理的系统的性能下降。

隐匿ID信息的选择·存储的时机不限于以上所述，而且，在存储在客户机装置2620中的隐匿ID信息全部用尽之后，从安全服务器装置2660再次取得多个种类的隐匿ID信息，并存储在客户机装置2620中也可以。

[实施例21]

接着，说明实施例21。

本实施例是实施例20的变形例，客户机装置取得从多个安全服务器装置(“更新装置”)输出的隐匿ID信息，这一点与实施例20不同。

图45是例示本实施例中的更新系统2700的功能结构的方框图。以下，使用这些图说明本实施例的功能结构以及处理。在图45中对于与实施例14或实施例20共同的结构赋予与实施例14或实施例20相同的标号。而且，以下以与实施例20的不同点为中心进行说明。

<预处理>

与实施例20的不同点仅在于，客户机装置2620从多个安全服务器装置2760-1、2760-2、...、2760-p接收多个种类的隐匿ID信息(sid_h-1，...，p)。另外，多个安全服务器装置2760-1、2760-2、...、2760-p中的ID的隐匿，例如使用实施例18的方法。

<隐匿ID更新处理>

与实施例20相同。

<实施例21的特征>

在本实施例中，在客户机装置2620中取得由多个安全服务器装置2760-1、2760-2、...、2760-p生成的隐匿ID信息。因此，可以防止隐匿ID信息的更新历史集中于一个安全服务器装置，并可以实现更高的安全性。

而且，如前所述，在实施例20中，在利用实施例14的方法生成隐匿ID信息的情况下，安全服务器装置的隐匿ID存储器中对于一个密钥ID信息需要保持多个隐匿ID信息(sid_h-1，...，p)。但是，在本实施例中，即使在利用实施例14的方法生成隐匿ID信息的情况下，各安全服务器装置管理的隐匿ID信息对于一个密钥ID信息仅一个隐匿ID信息就可以。这一点可以简化隐匿ID信息的管理。

[实施例22]

接着，说明实施例22。

本实施例是实施例20以及实施例21的变形例，将取得的多个隐匿ID信息存储在标签装置内，而不是存储在客户机装置内。

图46是例示本实施例中的更新系统2800的功能结构的方框图。以下，使用这些图说明本实施例的功能结构以及处理。在图46中对于与实施例14共同的结构赋予与实施例14相同的标号。而且，以下以与实施例14、实施例20以及实施例21的不同点为中心进行说明。

<预处理>

首先，在客户机装置2020的通信部2021中，接收通过网络2070发送的多个种类的隐匿ID信息(sid_h-1，...，p)。接收的多个种类的隐匿ID信息(sid_h-1，...，p)被发送到接口2022，并从此处对标签装置2810发送。

标签装置2810在接口2013(相当于“隐匿ID输入部”)中，接收多个种类的隐匿ID信息(sid_h-1，...，p)(接受输入)，并将它们发送到读写部2012。读写部2012将它们存储再隐匿ID存储器2811中，隐匿ID信息(sid_h-1，...，p)可以是从一个安全服务器装置输出的信息，也可以是从多个安全服务器装置输出的信息。

<隐匿ID更新处理>

标签装置2810的读写部2012(相当于“隐匿ID提取部”)在控制部2014的控制下，例如，以来自读取装置的读取指示作为触发(时机)，从隐匿ID存储器2811中任意地(例如，随机地)提取一个隐匿ID信息(sid_h-j)，并将其从接口2013发送。发送的隐匿ID信息(sid_h-j)如实施例14所述，使用于后端装置中的处理。

<实施例22的特征>

在本实施例中，标签装置2810中存储多个隐匿ID信息(sid_h-1，...，p)，并使用从它们中选择的一个隐匿ID信息(sid_h-j)。由此，关于ID的信息的取得等所使用的隐匿ID信息不会在每次相同，可以抑制对标签装置2810的追踪。而且，由于标签装置2810自身中存储多个种类的隐匿ID信息(sid_h-1，...，p)，所以即使在无法访问客户机装置2020的情况下(例如，没有客户机装置2020的功能的读取装置中的读取处理时)，也可以更新使用的隐匿ID信息。

[实施例23]

在本实施例中，在标签装置中设有秘密值存储器，所述秘密值存储器具有存储密钥ID信息的只读区域和存储第一隐匿ID信息的可改写区域。而且，在隐匿ID信息的再隐匿处理时，从该隐匿ID存储器提取密钥ID信息和第一隐匿ID信息并输出。

更新装置接受这些密钥ID信息和第一隐匿ID信息的输入，并提取该密钥ID信息所对应的密钥。然后，使用提取的密钥和第一隐匿ID信息生成难以掌握与第一隐匿ID信息的关联性的第二隐匿ID信息，并输出该第二隐匿ID信息。

标签装置接受该第二隐匿ID信息的输入，并将输入的第二隐匿ID信息存储在隐匿ID存储器的可改写区域中。

这里，在更新装置中被更新的仅是隐匿ID信息。而且，在标签装置中被改写的仅是可改写区域内的隐匿ID信息，只读区域内的密钥ID信息没有变化。因此，即使在可改写区域内的隐匿ID信息被改写为不同的标签装置所对应的隐匿ID信息的情况下，该隐匿ID信息的解码处理所使用的密钥ID信息为原密钥ID信息的原样。因此，该改写的隐匿ID信息的解码时选择的解码服务器例如是基于原密钥ID信息选择的解码服务器，有时无法适当进行该改写的隐匿ID信息的解码处理。而且，即使在共同解码服务器的情况下，该改写的隐匿ID信息的解码处理所使用的密钥也是对应于原密钥ID信息的密钥。从而，该解码结果也异常。

以下，参照附图说明该实施例。

图47是本例示实施例的更新系统3000的整体结构的概念图。

如该图所例示的，更新系统3000具有：贴在商品等上的无线标签等标签装置3010、客户机装置3020、管理与纯文本的ID关联的流通信息等的后端装置3050、进行隐匿ID信息的再隐匿处理的安全服务器装置3060、以及进行ID的复原处理的安全服务器装置3070。而且，客户机装置3020、后端装置3050以及安全服务器装置3060、3070可通过因特网等网络3080通信地连接。另外，为了简化说明，在该图中，标签装置3010、客户机装置3020、后端装置3050以及安全服务器装置3060、3070分别例示了一个，但通常标签装置为多个，客户机装置、后端装置以及安全服务器也可以有多个。进而，也可以代替安全服务器装置3060、3070使用具有安全服务器装置3060、3070的两功能的安全服务器装置。

本例的客户机装置3020从标签装置10读取隐匿ID信息，将其发送到安全服务器装置3070。安全服务器装置3070将从隐匿ID信息复原ID，并将该ID发送回客户机装置3020。收到ID的客户机装置3020访问后端装置3050，请求读取日期时间、读取位置、温度等信息的写入，或与ID关联的信息的取得等。而且，可以设想一种代理模型的利用方式，客户机装置3020将隐匿ID信息发送到安全服务器装置3070，安全服务器装置3070可以直接访问后端装置3050。

而且，通过规定的时机，标签装置3010内的隐匿ID信息在安全服务器装置3060中被再隐匿处理(将隐匿ID信息更新为其它的隐匿ID信息)，标签装置3010内的隐匿ID信息被更新。由于可以可靠地确保隐匿ID信息的更新时机，所以例如也可以在家的门廊中设置客户机装置3020。在该情况下，在保持标签装置的用户每次通过门廊时，客户机装置3020读取标签装置3010的隐匿ID信息，并由安全服务器装置3060将其再隐匿，再次写入标签装置。

然后，本实施例的特征部分在于，标签装置3010具备隐匿ID存储器，所述隐匿ID存储器具有存储密钥ID信息的只读区域和存储隐匿ID信息可改写区域，以及再隐匿的隐匿ID信息写入可改写区域，但是不进行存储密钥ID信息的只读区域的更新。存储在可改写区域内的密钥ID信息中不包含密钥ID信息。

<功能结构·处理>

图48是例示本实施例中的更新系统3000的功能结构的图，图49以及图50是用于说明其处理顺序的流程图。以下，使用这些图说明本实施例的功能结构以及处理。另外，省略图48以后的后端装置的记载。而且，标签装置3010、客户机装置3020、以及安全服务器装置3060、3070分别通过控制部3014、3023、3065、3075的控制来执行各处理。而且，被处理的数据逐一存储在存储器3014a、3023a、3065a或3075a中，在进行运算等处理时被调用，以下省略该说明。

<预处理>

在本方式中，使用通过具有再加密的性质的加密算法(公开密钥加密方式)的加密文本作为隐匿ID信息。在本例中，使用椭圆ElGamal加密。

如图48所例示的，本例的标签装置3010具有秘密值存储器3011，所述秘密值存储器3011具有只读区域3011a和可改写区域3011b。这里，作为秘密值存储器3011，使用EEPROM等可改写ROM(Read Only Memory)等可改写的存储器，也可以将该规定区域分配给只读区域3011a和可改写区域3011b，或者使用ROM等不可改写的存储器构成只读区域3011a，使用EEPROM等可改写存储器构成可改写区域3011b。而且，该只读区域3011a中存储(记录)确定密钥sk_j以及公开密钥pk_j的密钥ID信息kid_j，可改写区域3011b中存储隐匿ID信息sid_h＝(g^r，id_h·pk_j ^r)。

而且，安全服务器装置3060(“更新装置”)的存储器3065a中存储有生成元g，安全服务器装置3070(相当于“解码装置”)的密钥存储器3071中对应存储有各密钥ID信息(kid₁，...，kid_n)、密钥(sk₁，...，sk_n)以及公开密钥(pk₁，...，pk_n)。

在本例中，标签装置的总数m充分大于密钥的总数n(m＞＞n)，对于没有关联性的标签装置分配相同的密钥ID信息。即，例如，不对在相同种类的商品上分别附带的标签装置分配相同的密钥ID信息，而对在无关联的商品上分别附带的标签装置分配相同的密钥ID信息。由此，可以防止从密钥ID信息唯一确定商品种类或商品个体等。

<隐匿ID解码处理>

最初，说明在对后端装置50请求与ID关联的信息的取得等时进行的密钥ID信息的解码处理。

首先，利用任何的认证技术在客户机装置3020和安全服务器装置3070之间进行相互认证。另外，客户机装置3020和安全服务器装置3070的通信通过任何的加密技术加密而进行。

接着，客户机装置3020在接口3022中向标签装置3010发送读取指示(步骤S501)。该读取指示在标签装置3010的接口3013中被接收，以此为触发，读写部3012从秘密值存储器3011的只读区域3011a中提取密钥ID信息kid_j，从可改写区域3011b中提取隐匿ID信息sid_h(步骤S502)。提取的隐匿ID信息sid_h以及密钥ID信息kid_j通过接口3013被发送到客户机装置3020(步骤S503)，在客户机装置3020的接口3022中被接收。客户机装置3020例如从收到的密钥ID信息kid_j确定安全服务器装置3070的地址，并对该安全服务器装置3070从通信部3021通过网络3080发送隐匿ID信息sid_h以及密钥ID信息kid_j(步骤S504)。

发送的隐匿ID信息sid_h以及密钥ID信息kid_j在安全服务器装置3070的通信部3072(相当于“隐匿ID输入部”)中被接收(接受输入)(步骤S505)，隐匿ID信息sid_h被发送到解码部74(相当于“ID计算部”)，密钥ID信息kid_j被发送到读取部3073。读取部3073(相当于“密钥提取部”)从密钥存储器3071中提取发送的密钥ID信息kid_j所对应的密钥sk_j，并发送到解码部3074(步骤S506)。解码部3074使用发送的隐匿ID信息sid_h和密钥sk_j计算将隐匿ID信息sid_h解码的标签ID信息id_h。在本例中，进行id_h＝(id_h·pk_j ^r)/(g^r)^skj的运算，计算标签ID信息id_h。该算式中的指数“skj”表示“sk_j”。计算出的标签ID信息id_h被发送到通信部3072，并从此处通过网络3080被向客户机装置3020发送(步骤S508)。客户机装置3020在通信部3021中接收发送的标签ID信息id_h(步骤S509)，并将该标签ID信息id_h用于之后的对后端装置3050的询问。

<隐匿ID更新处理>

接着，说明本实施例中的隐匿ID信息的更新处理。

首先，利用任何的认证技术在客户机装置3020和安全服务器装置3060之间进行相互认证。另外，客户机装置3020和安全服务器装置3060的通信通过任何的加密技术加密而进行。

本例的隐匿ID信息的更新处理，以任意的时机、例如，通过门廊等外出时一定通过的场所的情况或存储在标签装置3010内的隐匿ID信息的使用次数(计数值达到规定值)等。通过该触发，客户机装置3020在接口3022中对标签装置3010发送读取指示(步骤S511)。该读取指示在标签装置3010的接口3013中被接收，并以此为触发，读写部3012(相当于“隐匿ID提取部”)从秘密值存储器3011的只读区域3011a中提取密钥ID信息kid_j，从可改写区域3011b中提取隐匿ID信息sid_h(步骤S512)。提取的隐匿ID信息sid_h以及密钥ID信息kid_j被通过接口3013(相当于“密钥ID提取部”)发送(输出)到客户机装置3020(步骤S513)，在客户机装置3020的接口3022中被接收。客户机装置3020将收到的隐匿ID信息sid_h以及密钥ID信息kid_j通过通信部3021以及网络3080发送到安全服务器装置3060(步骤S514)。

安全服务器装置3060在通信部3061(相当于“隐匿ID输入部”)中接收(接受输入)该隐匿ID信息sid_h以及密钥ID信息kid_j(步骤S515)，并将隐匿ID信息(sid_h＝(g^r，id_h·pk_j ^r))发送到余数乘法运算部3064(构成“隐匿ID更新部”)。而且，通信部3061(相当于“密钥提取部”)将该密钥ID信息kid_j和公开密钥取得请求同时通过网络3080发送到安全服务器装置3070。

安全服务器装置3070在通信部3072中接收它们，将密钥ID信息kid_j发送到读取部3073。读取部3073从密钥存储器3071中提取对应于该密钥ID信息kid_j的公开密钥pk_j，并将提取的公开密钥pk_j通过通信部3072以及网络3080发送回安全服务器装置3060。

安全服务器装置3060在通信部3061中接收(提取)该公开密钥pk_j，发送到余数幂运算部3063(构成“隐匿ID更新部”)(步骤S516)。而且，例如以此为触发，随机数生成部3062生成大于等于0小于p-1的随机数r’，并将其发送到余数幂运算部3063(步骤S517)。余数幂运算部3063使用存储器3065a内的生成元g、收到的公开密钥pk_j以及随机数r’进行(g^r’，pk_j ^r’)的运算，将其结果发送到余数乘法运算部3064(步骤S518)。余数乘法运算部3064使用收到的(g^r’，pk_j ^r’)和(g^r，id_h·pk_j ^r)运算(g^r+r’，id_h·pk_j ^r+r’)，将其运算结果(加密文本)作为新的隐匿ID信息发送到通信部3061(步骤S519)。通信部3061将发送的隐匿ID信息(sid_h’＝(ek_j(id_h|r’)，kid_j))(难以掌握与更新前的隐匿ID信息(sid_h)的关联性的隐匿ID信息(sid_h’))通过网络3080发送(输出)到客户机装置3020(步骤S520)。

发送的新的隐匿ID信息sid_h’在客户机装置3020的通信部3021中被接收，并通过接口3022被发送到标签装置3010(步骤S521)。标签装置3010在接口3013(相当于“隐匿ID输入部”)中接收(接受输入)该新的隐匿ID信息sid_h’(步骤S522)，并将该新的隐匿ID信息sid_h’在读写部3012(相当于“隐匿ID存储部”)中存储在可改写区域3011b内(步骤S523)。然后，标签装置3010对于读取请求，响应该新的隐匿ID信息sid_h’。

<实施例23的特征>

在本实施例中，在标签装置3010中设有秘密值存储器3011，所述秘密值存储器3011具有存储密钥ID信息的只读区域3011a和存储隐匿ID信息的可改写区域3011b，仅将存储在可改写区域3011b中的隐匿ID信息再隐匿、更新。因此，在隐匿ID信息的再隐匿处理时，在可改写区域3011b中写入其它的标签装置的隐匿ID信息的情况下，也可以检测这样的不当·错误。

例如，在图48中，考虑在标签装置3010具有的秘密值存储器3011的可改写区域3011b中存储了密钥ID信息kid₁所对应的其它的标签装置的隐匿ID信息(g^r，ID₂·pk₁ ^r)的情况。即使在该情况下，存储在只读区域3011a中的密钥ID信息也通常是kid_j，在安全服务器装置3070的解码处理时，是在读取部3073中从密钥存储器3071中提取的密钥ID信息kid_j所对应的sk_j。因此，解码部3074中的解码结果为(id_h·pk_j ^r)/(g^r)^skj＝(id_h·(g^sk1)^r)/(g^r)^skj＝ID₂·g^sk1/g^skj，其运算结果是异常数据。从而，该解码结果成为异常数据，可以检测其它的标签装置的隐匿ID信息被写入。

而且，不进行通过口令等加速可改写区域3011b的控制，而可以防止隐匿ID信息的不正当改写等，所以也可以抑制该控制电路成本，进而也不需要访问控制用的复杂的口令管理等。

即，可以更可靠·安全·低成本地执行隐匿ID信息的任意的定时的更新，并可以进行关于标签装置3010的隐私的保护。

另外，在本实施例中，使用椭圆ElGamal加密进行了隐匿ID信息的生成·更新等，但也可以使用具有再加密的性质的加密，或者专利申请2003-359157号公报所示的再隐匿方法。而且，也可以将安全服务器装置3060、3070一体化，安全服务器装置3060还可以具有公开密钥的存储器。

[实施例24]

本实施例是实施例23的变形例，通过确认隐匿ID信息的解码结果是否与ID的格式矛盾，来确认从标签装置输出的隐匿ID信息是否有误。以下，以与实施例23的不同点为中心进行说明，对于与实施例23共同的事项省略说明。

图51是例示本实施例中的安全服务器装置3170(相当于“解码装置”)的功能结构的图，图52是例示本实施例中的标签ID信息3200的格式的图。而且，图53是用于说明安全服务器装置3170的处理顺序的流程图。在图51中对于与实施例23共同的功能结构赋予与实施例23相同的标号。

<整体结构·硬件结构>

除了安全服务器装置3070被置换为安全服务器装置3170以外，与实施例23相同。

<预处理>

与实施例23的不同点在于安全服务器装置3170具有的有效值存储器3176中存储ID的各字段的有效值。其它与实施例23同样。

<隐匿ID解码处理>

与实施例23的不同点在于，代替所述安全服务器装置3070的处理(图49：步骤S505～S508)，安全服务器装置3170进行图53所例示的处理。以下，说明安全服务器装置3170的处理，省略其它的处理的说明。

与实施例23同样，从客户机装置3020发送的隐匿ID信息sid_h以及密钥ID信息kid_j在安全服务器装置3170的通信部3072(相当于“隐匿ID输入部”)中被接收(接受输入)(步骤S531)，隐匿ID信息sid_h被发送到解码部3074(相当于“ID计算部”)，密钥ID信息kid_j被发送到读取部3073。读取部3073(相当于“密钥提取部”)从密钥存储器3071中提取发送的密钥ID信息kid_j所对应的密钥sk_j，并发送到解码部3074(步骤S532)。解码部3074使用发送的隐匿ID信息sid_h和密钥sk_j计算将隐匿ID信息sid_h解码的标签ID信息id_h。

计算出的隐匿ID信息sid_h被发送到ID结构检验部3177，在此处进行该隐匿ID信息sid_h的结构的检验(步骤S534)。如图52所例示的，本例的ID3200具有报头(header)(h)3204、版本码(vc)3202、制造者码(mc)3202、商品码(pc)3204、序列码(sc)3205的各字段。有效值存储器3176中存储各字段的值可取的有效值，ID结构检验部3177比较取得的标签ID信息id_h的各字段的值和从有效值存储器3176提取的有效值，并检验收到的标签ID信息id_h的各字段值是否在有效值范围内。这里，在检验成功了的情况下(步骤S535)，ID结构检验部3177将标签ID信息id_h发送到通信部3072，通信部3072将标签ID信息id_h发送到客户机装置3020(步骤S536)。另一方面，在检验不成功的情况下(步骤S535)，ID结构检验部3177将标签ID信息id_h废弃而结束处理。

<实施例24的特征>

在本实施例中，在安全服务器装置3170的ID结构检验部3177中，检验解码后的标签ID信息id_h是否与规定的ID格式矛盾。由此，可以可靠地发现在标签装置的可改写区域写入其它的标签装置的隐匿ID信息而引起的隐匿ID信息的解码结果的数据异常。

[实施例25]

本实施例是实施例23的变形例，在进行隐匿ID信息的再隐匿处理时，对密钥ID信息和再隐匿的隐匿ID信息使用密钥，并附带数字签名、MAC等认证信息，这一点与实施例23不同。以下，以与实施例23的不同点为中心进行说明，对于与实施例23共同的事项省略说明。

图54以及图55是例示本实施例中的更新系统3300的功能结构的图，图56以及图57是用于说明其处理顺序的流程图。另外，在图54以及图55中对于与实施例23相同的功能结构赋予与实施例23相同的标号。

<整体结构·硬件结构>

除了标签装置3010被置换为标签装置3310，安全服务器装置3060被置换为安全服务器装置3360(相当于“更新装置”)，安全服务器装置3070被置换为安全服务器装置3370(相当于“解码装置”)以外，与实施例23相同。

<预处理>

与实施例23的不同点在于标签装置3310的秘密值存储器3311的可改写区域3311b中存储隐匿ID信息sid_h和数字签名(相当于“检验信息”)σ，以及安全服务器装置3360的密钥存储器3366中存储数字签名所使用的密钥sk和公开密钥pk。其它与实施例23同样。

<隐匿ID更新处理>

接着，说明本实施例中的隐匿ID信息的更新处理。

首先，客户机装置3020在接口3022中对标签装置3310发送读取指示(步骤S541)。该读取指示在标签装置3310的接口3013中被接收，并以此为触发，读写部3012从秘密值存储器3311的只读区域3011a中提取密钥ID信息kid_j，从可改写区域3311b中提取隐匿ID信息sid_h(步骤S542)。提取的隐匿ID信息sid_h以及密钥ID信息kid_j通过接口3013被发送到客户机装置3020(步骤S543)，在客户机装置3020的接口3022中被接收。客户机装置3020通过通信部3021以及网络3080对安全服务器装置3360发送隐匿ID信息sid_h以及密钥ID信息kid_j(步骤S544)。

安全服务器装置3360在通信部3061中接收该隐匿ID信息sid_h以及密钥ID信息kid_j(步骤S545)，将隐匿ID信息(sid_h＝(g^r，id_h·pk_j ^r))发送到余数幂运算部3064。而且，与实施例23同样，在通信部3061中将密钥ID信息kid_j发送到安全服务器装置3370，并取得(接收)在此处提取了的公开密钥pk_j(步骤S546)。该公开密钥pk_j被发送到余数幂运算部3063，进一步由随机数生成部3062生成的(步骤S547)随机数r’也被发送到余数幂乘法运算部3063。余数幂运算部3063进行(g^r’，pk_j ^r’)的运算，将其结果发送到余数乘法运算部3064(步骤S548)，余数乘法运算部3064运算(g^r+r’，id_h·pk_j ^r+r’)，将其运算结果作为新的隐匿ID信息发送到通信部3061以及签名生成部3368(步骤S549)。以此为触发，读取部3367从密钥存储器3366提取密钥sk，并将其发送到签名生成部3368(步骤S550)。签名生成部3368(相当于“检验信息生成部”)还从通信部3061接受密钥ID信息kid_j，例如，生成g^r+r’、id_h·pk_j ^r+r’、kid_j的位结合数据(g^r+r’|id_h·pk_j ^r+r’|kid_j)，并生成用密钥sk将该位结合数据加密的数字签名(相当于“检验信息”)σ’＝E_sk(g^r+r’|id_h·pk_j ^r+r’|kid_j)(步骤S551)。生成的新的数字签名σ’被发送到通信部3061，通信部3061(相当于“隐匿ID输出部”)将先发送的新的隐匿ID信息(sid_h’＝(g^r+r’，id_h·pk_j ^r+r’))和新的数字签名σ’通过网络3080向客户机装置3020发送(输出)(步骤S552)。

发送的新的隐匿ID信息sid_h’以及数字签名σ’在客户机装置3020的通信部3021中被接收，并通过接口3022被发送到标签装置3310(步骤S553)。标签装置2310在接口3013(相当于“密钥ID输入部”)中接收(接受输入)该新的隐匿ID信息sid_h’以及数字签名σ’(步骤S554)，并将该新的隐匿ID信息sid_h’以及数字签名σ’存储在秘密值存储器3311的可改写区域3311b内(步骤S555)。然后，标签装置3310对于读取请求，响应该新的隐匿ID信息sid_h’以及数字签名σ’。

<隐匿ID解码处理>

接着，说明本实施例中的隐匿ID信息的解码处理。

首先，客户机装置3020在接口3022中向标签装置3310发送读取指示(步骤S561)。该读取指示在标签装置3310的接口3013中被接收，并以此为触发，读写部3012从秘密值存储器3311的只读区域3011a中提取密钥ID信息kid_j，并从可改写区域3311b中提取隐匿ID信息sid_h’以及数字签名σ’(步骤S562)。提取的隐匿ID信息sid_h’、数字签名σ’以及密钥ID信息kid_j通过接口3013被发送到客户机装置3020(步骤S563)，并在客户机装置3020的接口3022中被接收。客户机装置3020在通信部3021中将这些信息通过网络3080发送到安全服务器装置3370(步骤S564)。

发送的隐匿ID信息sid_h’、数字签名σ’以及密钥ID信息kid_j在安全服务器装置3370的通信部3072(相当于“隐匿ID输入部”)中被接收(接受输入)(步骤S565)，数字签名σ’被发送到签名检验部3370，隐匿ID信息sid_h被发送到解码部3074(相当于“ID计算部”)以及签名检验部3376，密钥ID信息kid_j被发送到读取部3073以及签名检验部3376。

而且，通信部3072通过网络3080将公开密钥取得请求发送到安全服务器装置3360，通过通信部3061接收到该请求的安全服务器装置3360在读取部3367中从密钥存储器3366中提取公开密钥pk，通过通信部3061以及网络3080将该公开密钥pk返回。该公开密钥pk在安全服务器装置3370的通信部3072中被接收(步骤S566)，并被发送到签名检验部3376。

签名检验部3376使用该公开密钥pk将收到的数字签名σ’解码，并生成(D_pk(σ’))、g^r+r’、id_h·pk_j ^r+r’、kid_j的位结合数据(g^r+r’|id_h·pk_j ^r+r’|kid_j)。然后，根据D_pk(σ’)是否等于(g^r+r’|id_h·pk_j ^r+r’|kid_j)来进行数字签名σ’的检验(步骤S567)。这里，在不是D_pk(σ’)＝(g^r+r’|id_h·pk_j ^r+r’|kid_j)的情况下，检验失败，并结束处理。另一方面，在是D_pk(σ’)＝(g^r+r’|id_h·pk_j ^r+r’|kid_j)的情况下，读取部3073(相当于“密钥提取部”)从密钥存储器3071中提取发送的密钥ID信息kid_j所对应的密钥sk_j，并发送到解码部3074(步骤S568)。解码部3074使用发送的隐匿ID信息sid_h和密钥sk_j计算解码了隐匿ID信息sid_h’的标签ID信息id_h(id_h＝(id_h·pk_j ^r+r’)/(g^r+r’)^skj)(步骤S569)。另外，该算式中的指数“skj”表示“sk_j”。计算出的标签ID信息id_h被发送到通信部3072，并从此处通过网络3080被向客户机装置3020发送(步骤S570)。客户机装置3020在通信部3021中接收发送的标签ID信息id_h(步骤S571)，并将该标签ID信息id_h用于之后的对后端装置3050的询问。

<实施例25的特征>

在本实施例中，在再隐匿处理时，在安全服务器装置3360中，生成数字签名σ’＝E_sk(g^r+r’|id_h·pk_j ^r+r’|kid_j)，在解码处理时，在安全服务器装置3370中，检验该数字签名σ’。因此，在解码处理时通过数字签名也可以检验再隐匿的隐匿ID信息的正当性，并可以更可靠地检测错误的隐匿ID信息存储在标签装置3310中的情况。

在本方式中，在安全服务器装置3360中生成数字签名σ’，但安全服务器装置3370或公证机关服务器等也可以代为进行数字签名σ’的生成。

[实施例26]

本实施例是实施例23的变形例，将构成标签ID信息的信息中仅将各标签装置固有的信息隐匿了的信息作为隐匿ID信息，这一点与实施例23不同。以下，以与实施例23的不同点为中心进行说明，对与实施例23共同的事项省略说明。

图58是例示本实施例中的标签装置3410的功能结构的图。另外，在图58中，对于与实施例23共同的功能结构，赋予与实施例23相同的标号。

<整体结构·硬件结构>

除了标签装置3010被置换为标签装置3410以外，与实施例23相同。

<预处理>

与实施例23的不同点在于将构成标签ID信息的信息中仅各标签装置固有的信息隐匿了的信息作为隐匿ID信息sid_h。在使用图52所例示的数据结构的标签ID信息的情况下，序列码(sc)3205是各标签装置固有的信息，隐匿ID信息为sid_h＝(g^r，sc_h·pk_j ^r)。而且，该隐匿ID信息(sid_h＝(g^r，sc_h·pk_j ^r))存储在标签装置3410的秘密值存储器3411的可改写区域3411b中。而且，将对于构成标签ID信息的版本码(vc)3202、制造者码(mc)3202、商品码(pc)3204等商品共同的信息加密(E(vc)，E(mc)，E(pc))，存储在秘密值存储器3411的只读区域3411a中，这一点也与实施例23不同。另外，关于版本码(vc)3202等商品共同的信息的加密使用概率加密等，以便在相同的商品中可以得到不同的加密文本。

<处理>

本例的隐匿ID解码处理以及隐匿ID更新处理等处理除了将隐匿ID信息设为sid_h＝(g^r，sc_h·pk_j ^r)这一点，与实施例23同样。另外，在对后端装置3050询问等时，根据需要，在读写部3012中，从秘密值存储器3411的只读区域3411a提取E(vc)，E(mc)，E(pc)等，并将其通过接口3013、客户机装置3020等发送到后端装置3050，这一点也与第一实施方式不同。

<实施例26的特征>

在本实施例中，由于将仅各标签装置固有的信息隐匿了的信息作为隐匿ID信息，所以与将每个商品共同的信息隐匿了的隐匿ID信息的情况相比，可以削减成为隐匿处理对象的数据量，并可以减少计算量和通信量。

另外，本发明不限于上述各实施方式或实施例。例如，也可以用组合各实施例的方式来实施本发明，或者上述各种处理不仅根据记载按时间序列执行，也可以根据执行处理的装置的处理能力或需要而并行地或者个别地执行。此外，在不脱离本发明的主旨的范围内可以适当变更。

而且，由计算机实现上述各结构的情况下，各装置应有的功能的处理内容由程序记述。而且，通过由计算机执行该程序，在计算机上实现所述处理功能。

记述该处理内容的程序可以预先记录在计算机可读取的记录媒体中。作为计算机可读取的记录媒体，例如，可以是磁记录装置、光盘、光磁记录媒体、半导体存储器等存储器，具体来说，例如，作为磁记录装置可以使用硬盘装置、软盘、磁带等，作为光盘装置可以使用DVD(Digital Versatile Disc)、DVD-RAM(Random Access Memory)、CD-ROM(Compact Disc Read OnlyMemory)、CD-R(Recordable)/RW(ReWritable)等、作为光磁记录装置可以使用MO(Magneto-Optical disc)等、作为半导体存储器可以使用EEP-ROM(Electronically Erasable and Programmable-Read Only Memory)等。

而且，该程序的流通，例如可以通过销售、转让、借贷记录该程序的DVD、CD-ROM等可移动型记录媒体等来进行。进而，将该程序存储在服务器计算机的存储装置中，经由网络从服务器计算机将该程序传送到其它的计算机，从而使该程序流通。

执行这样的程序的计算机，例如，首先，将记录在可移动型记录媒体中的程序或者从计算机传送的程序临时存储在自身的存储装置中。然后，在处理执行时，该计算机读取存储在自身的记录媒体中的程序，并执行根据读取了的程序的处理。而且，作为该程序的其它的实施方式，计算机可以从可移动型记录媒体中直接读取程序，并执行根据该程序的处理，进而，在每次从服务器计算机将程序传送到该计算机时，逐次执行根据接受的程序的处理。而且，通过不从服务器计算机向该计算机传送程序，仅通过该执行指示和结果取得实现处理功能的所谓ASP(Application Service Provider)型的服务执行上述处理也可以。本方式的程序中包含符合程序并供电子计算机的处理用的信息(不是对于计算机的直接的指令但具有规定计算机的处理的性质的数据等)。

产业上的可利用性在于，根据本发明，例如可以抑制在RFID中根据标签装置的输出信息追踪标签装置的流通过程。

Claims (69)

1.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置的秘密值存储器中存储各个标签ID信息所对应的秘密值，

上述标签装置在输出部中，输出上述秘密值存储器的上述秘密值所对应的标签输出信息，

在第一运算部中，从上述秘密值存储器读出上述秘密值的至少一部分要素，并对其使用难以求逆像的第一函数F1，用其运算结果覆盖更新上述秘密值存储器内的上述秘密值。

2.如权利要求1所述的标签隐私保护方法，其特征在于，

上述标签输出信息是上述标签装置的第二运算部从上述秘密值存储器读出上述秘密值，并对其使用搅乱定义域的元和其映射的关系的第二函数F2的运算结果。

3.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1以及上述第二函数F2的至少一个是散列函数。

4.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1是将r，s设为自然数，将hash设为{0，1}*→{0，1}^r的散列函数，且p∈{0，1}^s的情况下的散列函数H(x)＝hash(p|x)，

上述第二函数F2是在设为q∈{0，1}^s，p≠q的情况下的散列函数G(x)＝hash(q|x)。

5.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1是在将r，s设为自然数，将hash设为{0，1}*→{0，1}^r的散列函数，并设为p∈{0，1}^s，将p对x的填充设为pad(x，p)的情况下的散列函数H(x)＝hash(pad(x，p))，

上述第二函数F2是在设为q∈{0，1}^s、p≠q，将q对x的填充设为pad(x，q)的情况下的散列函数G(x)＝hash(pad(x，q))。

6.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1是在将r设为自然数的情况下的{0，1}*→{0，1}^r的散列函数H(x)，

上述第二函数F2是在将rx设为x的位反转的情况下的散列函数G(x)＝F(rx)。

7.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1以及上述第二函数F2的至少一个是共同密钥加密函数。

8.如权利要求2所述的标签隐私保护方法，其特征在于，

上述第一函数F1以及上述第二函数F2是应用不同的共同密钥的相同的共同密钥加密函数。

9.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k对应的第一秘密值s_k，i，

上述后端装置的数据库存储器中对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二秘密值s_n，1，

上述标签装置在第二运算部中从上述秘密值存储器读出上述第一秘密值s_k，i，并对其使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息F2(s_k，i)，

在输出部中，输出上述标签输出信息F2(s_k，i)，

在第一运算部中从上述秘密值存储器读出上述第一秘密值s_k，i，并对其使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i)作为新的第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息F2(s_k，i)的输入，

在第三运算部中从上述数据库存储器读出上述第二秘密值s_n，1，并对读出的各第二秘密值s_n，1使用j次(j∈{1，...，j_max})上述第一函数F1之后，进一步使用上述第二函数F2，

在比较部中，比较上述标签输出信息F2(s_k，i)和上述第三运算部中的运算结果F2(F1^j(s_n，1))，

如果上述标签输出信息F2(s_k，i)-和上述运算结果F2(F1^j(s_n，1))不一致，则变化n以及j的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息F2(s_k，i)-和上述运算结果F2(F1^j(s_n，1))一致，则在读出部中从上述数据库存储器提取对应于一致的上述运算结果F2(F1^j(s_n，1))的、与上述第二秘密值s_n，1对应的上述标签ID信息id_n。

10.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k对应的第一秘密值s_k，i以及第一固有值w_k，

上述后端装置的数据库存储器中对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二秘密值s_n，1以及第二固有值w_n，

上述标签装置在第二运算部中从上述秘密值存储器读出上述第一秘密值s_k，i，并对其使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息F2(s_k，i)，

在输出部中，输出上述标签输出信息F2(s_k，i)，

在第一运算部中从上述秘密值存储器读出上述第一秘密值s_k，i以及上述第一固有值w_k，并对它们的位结合值使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i|w_k)作为新的第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息F2(s_k，i)的输入，

在第三运算部中从上述数据库存储器读出上述第二秘密值s_n，1以及上述第二固有值w_n，并计算对设为I^j(n)＝s_n，1(j＝0)，I^j(n)＝F1(I^j-1(n)|id_n)(j≥1)的情况下的I^j(n)使用上述第二函数F2的F2(I^j(n))，

在比较部中，比较上述标签输出信息F2(s_k，i)和上述第三运算部中的运算结果F2(I^j(n))，

如果上述标签输出信息F2(s_k，i)和上述运算结果F2(I^j(n))不一致，则变化n以及j的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息F2(s_k，i)和上述运算结果F2(F1^j(s_n，1))一致，则在读出部中从上述数据库存储器提取对应于一致的上述运算结果F2(I^j(n))的、与上述第二秘密值s_n，1以及第二固有值w_n对应的上述标签ID信息id_n。

11.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k对应的第一秘密值s_k，i以及第一固有值w_k，

上述后端装置的数据库存储器中对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二秘密值s_n，1以及第二固有值w_n，

上述标签装置在第二运算部中从上述秘密值存储器读出上述第一秘密值s_k，i以及第一固有值w_k，并对它们的位结合值使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息F2(s_k，i|w_k)，

在输出部中，输出上述标签输出信息F2(s_k，i|w_k)，

在第一运算部中从上述秘密值存储器读出上述第一秘密值s_k，i，并对读出的第一秘密值s_k，i使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i)作为新的第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息F2(s_k，i|w_k)的输入，

在第三运算部中从上述数据库存储器读出上述第二秘密值s_n，1以及上述第二固有值w_n，并对该第二秘密值s_n，1使用j次(j∈{0，...，j_max})上述第一函数F1，并求其结果F1^j(s_n，i)和该第二固有值w_n的位结合值F1^j(s_n，i)|w_n，并对该位结合值F1^j(s_n，i)|w_n使用上述第二函数F2，

在比较部中，比较上述标签输出信息F2(s_k，i|w_k)和上述第三运算部中的运算结果F2(F1^j(s_n，i)|w_n)，

如果上述标签输出信息F2(s_k，i|w_k)和上述运算结果F2(F1^j(s_n，i)|w_n)不一致，则变化n以及j的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息F2(s_k，i|w_k)和上述运算结果F2(F1^j(s_n，i)|w_n)一致，则在读出部中从上述数据库存储器提取对应于一致的上述运算结果F2(F1^j(s_n，i)|w_n)的、与上述第二秘密值s_n，1以及第二固有值w_n对应的上述标签ID信息id_n。

12.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k分别对应的第一固有值w_k，和对于多个标签ID信息取同一初始值s₁的第一秘密值s_i，

上述后端装置的数据库存储器中对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二固有值w_n，

上述后端装置的运算值存储器中存储对多个标签ID信息共同的第二秘密值s₁使用j次(j∈{0，...，j_max})第一函数F1的各第一运算结果s_j+1，

上述标签装置在第二运算部中从上述秘密值存储器读出上述第一秘密值s_i以及第一固有值w_k，并对它们的位结合值使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息F2(s_i|w_k)，

在输出部中，输出上述标签输出信息F2(s_i|w_k)，

在第一运算部中从上述秘密值存储器读出上述第一秘密值s_i，并对读出的第一秘密值s_i使用难以求逆像的第一函数F1，并将其运算结果F1(s_i)作为新的上述第一秘密值s_i+1覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息F2(s_i|w_k)的输入，

在第三运算部中从上述数据库存储器读出上述第一运算结果s_j+1以及上述第二固有值w_n，并求它们的位结合值s_j+1|w_n，并对其使用上述第二函数F2，

在比较部中，比较上述标签输出信息F2(s_i|w_k)和上述第三运算部中的运算结果F2(s_j+1|w_n)，

如果上述标签输出信息F2(s_i|w_k)和上述运算结果F2(s_j+1|w_n)不一致，则变化n以及j的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息F2(s_i|w_k)和上述运算结果F2(s_j+1|w_n)一致，则在读出部中从上述数据库存储器提取对应于一致的上述运算结果F2(s_j+1|w_n)的与上述第二固有值w_n对应的上述标签ID信息id_n。

13.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k对应的、由d个(d≥2)要素e_u，vu(u∈{1，...，d})构成的组合，

上述后端装置的数据库存储器中对应存储从d种类(d≥2)的次组α_u(u∈{1，...，d})各选择一个的d个初始要素f_u，0的组合和各标签装置n(n∈{1，...，m})的标签ID信息id_n，

上述标签装置在第二运算部中从上述秘密值存储器读出上述d个要素e_u，vu，并对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息a_k，i＝F2(s_k，i)，

在输出部中，输出上述标签输出信息a_k，i，

在第一运算部中从上述秘密值存储器提取至少一部分要素e_u’vu’(u’∈{1，...，d})，并对提取的要素e_u’vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息a_k，i的输入，

在第三运算部中，对上述标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，并求对这些值F1^wu(f_u，0)的位结合值使用上述第二函数F2的运算值c，

在比较部中，比较上述标签输出信息a_k，i和上述运算值c，

如果上述标签输出信息a_k，i和上述运算值c不一致，则变化n以及w_u的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息a_k，i和上述运算值c一致，则在读出部中从上述数据库存储器提取对应于该运算值c的、与上述d个初始要素f_u，0的组合对应的标签ID信息id_n。

14.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储与各个标签ID信息id_k对应的、由d个(d≥2)要素e_u，vu(u∈{1，...，d})构成的组合，以及各标签ID信息id_k固有的固有值γ_k，

上述后端装置的数据库存储器中对应存储从d种类(d≥2)的次组α_u(u∈{1，...，d})各选择一个的d个初始要素f_u，0的组合和各标签ID信息id_n(n∈{1，...，m})固有的固有值γ_k和各标签ID信息id_n，

上述标签装置在第二运算部中从上述秘密值存储器读出上述d个要素e_u，vu以及上述固有值γ_k，并对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息a_k，i＝F2(s_k，i)，

在输出部中，输出上述标签输出信息a_k，i，

在第一运算部中从上述秘密值存储器提取至少一部分要素e_u’，vu’(u’∈{1，...，d})，并对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e _{u’，vu’1}覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息a_k，i的输入，

在第三运算部中，对上述标签ID信息id_n所对应的上述d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，并求对这些值F1^wu(f_u，0)和上述固有值γ_k的位结合值使用上述第二函数F2的运算值c，

在比较部中，比较上述标签输出信息a_k，i和上述运算值c，

如果上述标签输出信息a_k，i和上述运算值c不一致，则变化n以及w_u的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息a_k，i和上述运算值c一致，则在读出部中从上述数据库存储器提取对应于该运算值c的、与多个初始要素f_u，0的组合对应的标签ID信息id_n。

15.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储d个(d≥1)要素e_u，vu(u∈{1，...，d})，

上述各标签装置k的第一多样值存储器中存储t种类(t≥2)的值的多样值z，

上述后端装置的数据库存储器中对应存储从d种类(d≥1)的次组α_u(u∈{1，...，d})各选择一个的d个初始要素f_u，0的组合和各标签装置的标签ID信息id_n(n∈{1，...，m})，

上述后端装置的第二多样值存储器中存储上述多样值z，

上述标签装置在第二运算部中从上述秘密值存储器读出上述各要素e_u，vu，并从上述第一多样值存储器中读出任意的上述多样值z，并生成对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2的标签输出信息a_k，i＝F2(s_k，i)，

在输出部中，输出上述标签输出信息a_k，i，

在上述输出部每次输出t次上述标签输出信息a_k，i时，在第一运算部中从上述秘密值存储器提取至少一部分要素e_u’，vu’(u’∈{1，...，d})，并对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息a_k，i的输入，

在第三运算部中，对上述标签ID信息id_n所对应的上述d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，并求对这些值F1^wu(f_u，0)和上述多样值z的位结合值使用上述第二函数F2的运算值c，

在比较部中，比较上述标签输出信息a_k，i和上述运算值c，

如果上述标签输出信息a_k，i和上述运算值c不一致，则变化n、w_u以及z的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息a_k，i和上述运算值c一致，则在读出部中从上述数据库存储器提取对应于该运算值c的、与上述d个初始要素f_u，0的组合对应的标签ID信息id_n。

16.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置k(k∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储d个(d≥2)要素e_u，vu(u∈{1，...，d})，

上述各标签装置k的第一多样值存储器中对于各u存储t_u种类(t_u≥2)的值的多样值z_u，

上述后端装置的数据库存储器中对应存储从d种类(d≥1)的次组α_u(u∈{1，...，d})各选择一个的d个初始要素f_u，0的组合和各标签装置的各标签ID信息id_n(n∈{1，...，m})，

上述后端装置的第二多样值存储器中存储上述多样值z_u，

上述标签装置在第二运算部中从上述秘密值存储器读出上述各要素e_u，vu，并从上述第一多样值存储器中对于各u读出任意的上述多样值z_u，并生成对这些e_u，vu以及z_u的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，并生成标签输出信息a_k，i＝F2(s_k，i)，

在输出部中，输出上述标签输出信息a_k，i，

在上述输出部每次输出规定次数上述标签输出信息a_k，i时，在第一运算部中从上述秘密值存储器提取至少一部分要素e_u’，vu’(u’∈{1，...，d})，并对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中，

上述后端装置在输入部中接受上述标签输出信息a_k，i的输入，

在第三运算部中，对上述标签ID信息id_n所对应的d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，并求对这些值F1^wu(f_u，0)和上述多样值z的位结合值使用上述第二函数F2的运算值c，

在比较部中，比较上述标签输出信息a_k，i和上述运算值c，

如果上述标签输出信息a_k，i和上述运算值c不一致，则变化n、w_u、z_u的至少一个的值，并再次进行上述第三运算部以及上述比较部中的处理，

如果上述标签输出信息a_k，i和上述运算值c一致，则在读出部中从上述数据库存储器提取对应于该运算值c的、与多个初始要素f_u，0的组合对应的标签ID信息id_n。

17.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于标签ID信息的秘密值；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述秘密值，对其使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息；

输出部，输出上述标签输出信息；以及

第一运算部，从上述秘密值存储器中读出上述秘密值的至少一部分要素，对其使用难以求逆像的第一函数F1，并用其运算结果覆盖更新上述秘密值存储器内的上述秘密值。

18.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储各标签ID信息和与之对应的秘密值；

输入部，接受标签输出信息的输入；

运算部，对上述数据库存储器的秘密值的至少一部分的要素使用预定次数标签装置所使用的第一函数F1之后，进一步使用该标签装置所使用的第二函数；

比较部，依次比较上述运算部中的上述运算结果和上述标签输出信息；以及

读出部，在上述运算结果和上述标签输出信息一致的情况下，从上述数据库存储器中提取对应于一致的运算结果的、与上述秘密值对应的上述标签ID信息。

19.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于标签ID信息id_k的第一秘密值s_k，i；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i，对其使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息F2(s_k，i)；

输出部，输出上述标签输出信息F2(s_k，i)；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i，对其使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i)作为新的第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中。

20.如权利要求19所述的标签装置，其特征在于，

还具有对上述第一秘密值的更新次数m进行计数的计数器，

上述输出部还输出确定该更新次数m的信息。

21.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于标签ID信息id_k的第一秘密值s_k，i以及第一固有值w_k；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i，对其使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息F2(s_k，i)；

输出部，输出上述标签输出信息F2(s_k，i)；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i以及上述第一固有值w_k，对它们的位结合值使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i|w_k)作为新的第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中。

22.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储各标签ID信息id_n(n∈{1，...，m}，m是标签装置的总数)和与之对应的第二秘密值s_n，1；

输入部，接受标签输出信息F2(s_k，i)的输入；

第三运算部，连接到上述数据库存储器，从该数据库存储器中读出上述第二秘密值s_n，1，并对读出的各第二秘密值s_n，1使用j次(j∈{0，...，j_max})标签装置所使用的第一函数F1之后，进一步使用该标签装置所使用的第二函数F2；

比较部，比较上述标签输出信息F2(s_k，i)和上述第三运算部的运算结果F2(F1^j(s_n，1))；

控制部，在上述标签输出信息F2(s_k，i)和上述运算结果F2(F1^j(s_n，1))不一致的情况下，变化n以及j的至少一个的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息F2(s_k，i)和上述运算结果F2(F1^j(s_n，1))一致的情况下，从上述数据库存储器中提取对应于一致的上述运算结果F2(F1^j(s_n，1))的、与上述第二秘密值s_n，1对应的上述标签ID信息id_n。

23.如权利要求22所述的后端装置，其特征在于，

上述输入部还接受确定标签装置中的一个秘密值的更新次数m的信息的输入；

上述第三运算部在对上述读出的各第二秘密值s_n，1使用了j＝m次上述第一函数F1之后，还使用上述第二函数F2，

上述控制部，在上述标签输出信息F2(s_k，i)和上述运算结果F2(F1^j(s_n，1))不一致的情况下，变化n的值，并再次执行上述第三运算部以及上述比较部中的处理。

24.如权利要求22所述的后端装置，其特征在于，

上述数据库存储器与上述第二秘密值s_n，1对应存储上述第三运算部中的运算结果F2(F1^j(s_n，1))，

上述比较部使用存储在上述数据库存储器中的运算结果F2(F1^j(s_n，1))进行上述比较处理。

25.一种后端装置，用于标签自动识别系统，其特征在于，

数据库存储器，对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二秘密值s_n，1以及第二固有值w_n；

输入部，接受上述标签输出信息F2(s_k，i)的输入；

第三运算部，连接到上述数据库存储器，从该数据库存储器中读出上述第二秘密值s_n，1以及上述第二固有值w_n，并计算对设为I^j(n)＝s_n，1(j＝0)，I^j(n)＝F1(I^j-1(n)|id_n)(j≥1)的情况下的I^j(n)使用上述第二函数F2的F2(I^j(n))；

比较部，比较上述标签输出信息F2(s_k，i)和上述第三运算部的运算结果F2(I^j(n))；

控制部，在上述标签输出信息F2(s_k，i)和上述运算结果F2(I^j(n))不一致的情况下，变化n以及j的至少一个的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，在上述标签输出信息F2(s_k，i)和上述运算结果F2(I^j(n))一致的情况下，从上述数据库存储器中提取对应于一致的上述运算结果F2(I^j(n))的、与上述第二秘密值s_n，1以及第二固有值w_n对应的上述标签ID信息id_n。

26.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于标签ID信息id_k的第一秘密值s_k，i以及第一固有值w_k；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i以及第一固有值w_k，对它们的位结合值使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息F2(s_k，i|w_k)；

输出部，输出上述标签输出信息F2(s_k，i|w_k)；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_k，i，对读出的第一秘密值s_k，i使用难以求逆像的第一函数F1，并将其运算结果F1(s_k，i)作为新的上述第一秘密值s_k，i+1覆盖保存在上述秘密值存储器中。

27.一种后端装置，用于标签自动识别系统，其特征在于，

数据库存储器，对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二秘密值s_n，1以及第二固有值w_n；

输入部，接受标签输出信息F2(s_k，i|w_k)的输入；

第三运算部，连接到上述数据库存储器，从该数据库存储器中读出上述第二秘密值s_n，1以及上述第二固有值w_n，并对该第二秘密值s_n，1使用j次(j∈{0，...，j_max})标签装置所使用的第一函数F1，求其结果F1^j(s_n，i)和该第二固有值w_n的位结合值F1^j(s_n，i)|w_n，并对该位结合值F1^j(s_n，i)|w_n使用该标签装置所使用的第二函数F2；

比较部，比较上述标签输出信息F2(s_k，i|w_k)和上述第三运算部的运算结果F2(F1^j(s_n，i)|w_n)；

控制部，在上述标签输出信息F2(s_k，i|w_k)和上述运算结果F2(F1^j(s_n，i)|w_n)不一致的情况下，变化n以及j的至少一个的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息F2(s_k，i|w_k)和上述运算结果F2(F1^j(s_n，i)|w_n)一致的情况下，从上述数据库存储器中提取对应于一致的上述运算结果F2(F1^j(s_n，i)|w_n)的、与上述第二秘密值s_n，1以及第二固有值w_n对应的上述标签ID信息id_n。

28.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储分别对应于各标签ID信息id_k的第一固有值w_k，和对于多个标签ID信息取相同的初始值s₁的第一秘密值s_i；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_i以及第一固有值w_k，对它们的位结合值使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息F2(s_i|w_k)；

输出部，输出上述标签输出信息F2(s_i|w_k)；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述第一秘密值s_i，对读出的第一秘密值s_i使用难以求逆像的第一函数F1，并将其运算结果F1(s_i)作为新的上述第一秘密s_i+1值覆盖保存在上述秘密值存储器中。

29.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储各标签ID信息id_n(n∈{1，...，m})和与之对应的第二固有值w_n；

运算值存储器，存储对多个标签ID信息所共用的第二秘密值s₁使用j次(j∈{0，...，j_max})标签装置所使用的第一函数F1的各第一运算结果s_j+1；

输入部，接受标签输出信息F2(s_i|w_k)的输入；

第三运算部，连接到上述数据库存储器，从该数据库存储器中读出上述第一运算结果s_j+1以及上述第二固有值w_n，求它们的位结合值s_j+1|w_n，并对其使用该标签装置所使用的第二函数F2；

比较部，比较上述标签输出信息F2(s_i|w_k)和上述第三运算部的运算结果F2(s_j+1|w_n)；

控制部，在上述标签输出信息F2(s_i|w_k)和上述运算结果F2(s_j+1|w_n)不一致的情况下，变化n以及j的至少一个的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息F2(s_i|w_k)和上述运算结果F2(s_j+1|w_n)一致的情况下，从上述数据库存储器中提取对应于一致的上述运算结果F2(s_j+1|w_n)的、与上述第二固有值w_n对应的上述标签ID信息id_n。

30.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于各标签ID信息id_k的、由d个(d≥2)要素e_u，vu(u∈{1，...，d})构成的组合；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述d个要素e_u，vu，对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息a_k，i＝F2(s_k，i)；

输出部，输出上述标签输出信息a_k，i；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中至少提取一部分要素e_u’，vu’(u’∈{1，...，d})，对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中。

31.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储从d种类(d≥2)的次组α_u(u∈{1，...，d})中各选择了一个的d个初始要素f_u，0的组合，和各标签装置n(n∈{1，...，m}，m是标签装置的总数)的标签ID信息id_n；

输入部，接受标签输出信息a_k，i的输入；

第三运算部，对与上述标签ID信息id_n对应的d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(W_u∈{1，2，...，max})上述第一函数F1，求对这些值F1^wu(f_u，0)的位结合值使用上述第二函数F2的运算值c；

比较部，比较上述标签输出信息a_k，i和上述运算值c；

控制部，在上述标签输出信息a_k，i和上述运算值c不一致的情况下，变化n以及w_u的至少一部分的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息a_k，i和上述运算值c一致的情况下，从上述数据库存储器中提取对应于该运算值c的、与上述d个初始要素f_u，0的组合对应的标签ID信息id_n。

32.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储对应于各标签ID信息id_k的、由d个(d≥2)要素e_u，vu(u∈{1，...，d})构成的组合以及各标签ID信息id_k固有的固有值γ_k；

第二运算部，连接到上述秘密值存储器，从该秘密值存储器中读出上述d个要素e_u，vu以及上述固有值γ_k，对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，生成标签输出信息a_k，i＝F2(s_k，i)；

输出部，输出上述标签输出信息a_k，i；以及

第一运算部，连接到上述秘密值存储器，从该秘密值存储器中至少提取一部分要素e_u’，vu’(u’∈{1，...，d})，对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中。

33.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储从d种类(d≥2)的次组α_u(u∈{1，...，d})中各选择了一个的d个初始要素f_u，0的组合，和各标签ID信息id_n(n∈{1，...，m})固有的固有值γ_n，和各标签ID信息id_n；

输入部，接受标签输出信息a_k，i的输入；

第三运算部，对与上述标签ID信息id_n对应的上述d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，求对这些值F1^wu(f_u，0)和上述固有值γ_n的位结合值使用上述第二函数F2的运算值c；

比较部，比较上述标签输出信息a_k，i和上述运算值c；

控制部，在上述标签输出信息a_k，i和上述运算值c不一致的情况下，变化n以及w_u的至少一部分的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息a_k，i和上述运算值c一致的情况下，从上述数据库存储器中提取对应于该运算值c的、与多个初始要素f_u，0的组合对应的标签ID信息id_n。

34.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储d个(d≥1)要素e_u，vu(u∈{1，...，d})；

第一多样值存储器，存储t种类(t≥2)的值的多样值z；

第二运算部，连接到上述秘密值存储器以及上述第一多样值存储器，从该秘密值存储器中读出上述各要素e_u，vu，从该第一多样值存储器中读出任何的上述多样值z，并生成对它们的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2的标签输出信息a_k，i＝F2(s_k，i)；

输出部，输出上述标签输出信息a_k，i；以及

第一运算部，连接到上述秘密值存储器，在上述输出部每次输出t次上述标签输出信息a_k，i时，从上述秘密值存储器中至少提取一部分要素e_u’，vu’(u’∈{1，...，d})，对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中。

35.如权利要求34所述的标签装置，其特征在于，

上述第一运算部，在不进行上述秘密值存储器的上述要素的更新期间，上述第二运算部生成上述标签输出信息a_k，i所使用的上述多样值z在每次生成该标签输出信息a_k，i时不同。

36.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储从d种类(d≥1)的次组α_u(u∈{1，...，d})中各选择了一个的d个初始要素f_u，0的组合，和各标签装置的标签ID信息id_n(n∈{1，...，m})；

第二多样值存储器，存储t种类(t≥2)的值的多样值z；

输入部，接受标签输出信息a_ki的输入；

第三运算部，对与上述标签ID信息id_n对应的上述数据库存储器的上述d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})上述第一函数F1，求对这些值F1^wu(f_u，0)和上述第二多样值存储器的上述多样值z的位结合值使用上述第二函数F2的运算值c；

比较部，比较上述标签输出信息a_k，i和上述运算值c；

控制部，在上述标签输出信息a_k，i和上述运算值c不一致的情况下，变化n、w_u以及z的至少一部分的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息a_k，i和上述运算值c一致的情况下，从上述数据库存储器中提取对应于该运算值c的、与上述d个初始要素f_u，0的组合对应的标签ID信息id_n。

37.一种标签装置，用于标签自动识别系统，其特征在于具有：

秘密值存储器，存储d个(d≥2)要素e_u，vu(u∈{1，...，d})；

第一多样值存储器，对于各u存储t_u种类(t_u≥2)的值的多样值z_u；

第二运算部，连接到上述秘密值存储器以及上述第一多样值存储器，从该秘密值存储器中读出上述各要素e_u，vu，从该第一多样值存储器中对于各u读出任何的上述多样值z_u，对这些e_u，vu以及z_u的位结合值的秘密值s_k，i使用搅乱定义域的元和其映射的关系的第二函数F2，并求标签输出信息a_k，i＝F2(s_k，i)；

输出部，输出上述标签输出信息a_k，i；以及

第一运算部，连接到上述秘密值存储器，在上述输出部每次输出规定次数上述标签输出信息a_k，i时，从上述秘密值存储器中至少提取一部分要素e_u’，vu’(u’∈{1，...，d})，对提取的要素e_u’，vu’使用难以求逆像的第一函数F1，并将其运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器中。

38.如权利要求37所述的标签装置，其特征在于，

上述第一运算部在每次上述输出部输出上述标签输出信息a_k，i时，从上述秘密值存储器中至少提取一部分e_u’，vu’，对提取的要素e_u’，vu’使用上述第一函数F1，将该运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器上。

39.如权利要求37所述的标签装置，其特征在于，

上述第一运算部在每次上述输出部输出∑_u＝1^dt_u次上述标签输出信息a_k，i时，从上述秘密值存储器中至少提取一部分要素e_u’，vu’，对提取的要素e_u’，vu’使用上述第一函数F1，将该运算结果F1(e_u’，vu’)作为新的要素e_{u’，vu’+1}覆盖保存在上述秘密值存储器。

40.如权利要求39所述的标签装置，其特征在于，

上述第一运算部，在不进行上述秘密值存储器的上述要素的更新期间，上述第二运算部生成上述标签输出信息a_k，i所使用的上述多样值z_u(u∈{1，...，d})的组合在每次生成该标签输出信息a_k，i时不同。

41.一种后端装置，用于标签自动识别系统，其特征在于具有：

数据库存储器，对应存储从d种类(d≥1)的次组α_u(u∈{1，...，d})中各选择了一个的d个初始要素f_u，0的组合，和各标签装置的标签ID信息id_n(n∈{1，...，m})；

第二多样值存储器，对于各u取存储t_u种类(t_u≥2)的值的多样值z_u；

输入部，接受标签输出信息a_k，i的输入；

第三运算部，对与上述标签ID信息id_n对应的上述d个初始要素f_u，0(u∈{1，...，d})分别使用w_u次(w_u∈{1，2，...，max})各标签装置所使用的第一函数F1，求对这些值F1^wu(f_u，0)和这些标签装置所使用的多样值z的位结合值使用上述第二函数F2的运算值c；

比较部，比较上述标签输出信息a_k，i和上述运算值c；

控制部，在上述标签输出信息a_k，i和上述运算值c不一致的情况下，变化n、w_u以及z的至少一部分的值，并再次执行上述第三运算部以及上述比较部中的处理；以及

读出部，连接到上述数据库存储器，在上述标签输出信息a_k，i和上述运算值c一致的情况下，从上述数据库存储器中提取对应于该运算值c的、与上述d个初始要素f_u，0的组合对应的标签ID信息id_n。

42.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置的秘密值存储器中存储将各个标签ID信息id_h隐匿了的隐匿ID信息sid_h，

上述标签装置在读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中，对设在上述各标签装置的外部的更新装置输出上述隐匿ID信息sid_h，

上述更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在更新部中生成难以掌握与上述隐匿ID信息sid_h的关联性的新的隐匿ID信息sid_h’，

在第二输出部中对上述标签装置输出上述新的隐匿ID信息sid_h’，

上述标签装置在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

43.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置h(h∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储对应于各个标签ID信息id_h的随机值r_h的隐匿ID信息sid_h，

设在上述各标签装置h的外部的更新装置的隐匿ID存储器中对应存储上述各标签ID信息id_h，和对应于该标签ID信息id_h的上述随机值r_h的上述隐匿ID信息sid_h，

上述标签装置h在第一读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中对上述更新装置输出上述隐匿ID信息sid_h，

上述更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在随机值生成部中，生成新的随机值r_h’，

在第二读写部中，从上述隐匿ID存储器中选择上述输入的上述隐匿ID信息sid_h所对应的标签ID信息id_h，将上述新的随机值r_h’作为新的隐匿ID信息sid_h’与之对应存储在该隐匿ID存储器中，

在第二输出部中对上述标签装置h输出上述新的隐匿ID信息sid_h’，

上述标签装置h在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

44.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置h(h∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储具有对应于各个标签ID信息id_h的共同密钥加密方式的第一加密文本和该加密所使用的共同密钥k_j(j∈{1，...，n}，n是标签装置的总数)的密钥ID信息kid_j的隐匿ID信息sid_h，

在上述各标签装置h的外部设置的更新装置的密钥存储器中对应存储上述各密钥ID信息kid_j和上述各共同密钥k_j，

上述标签装置h在第一读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中对上述更新装置输出上述隐匿ID信息sid_h，

上述更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在第二读写部中，从上述密钥存储器中提取上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的上述共同密钥k_j，

在ID提取部中，使用上述第二读写部提取的上述共同密钥k_j将上述第一加密文本解码，并提取标签ID信息id_h，

在加密部中，使用上述ID提取部提取的上述标签ID信息id_h和该提取所使用的上述共同密钥k_j，生成难以掌握与上述第一加密文本的关联性的第二加密文本，

在第二输出部中对上述标签装置h输出具有上述第二加密文本和该共同密钥k_j的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’，

上述标签装置h在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述第一读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

45.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置h(h∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储具有对应于各个标签ID信息id_h的共同密钥加密方式的第一加密文本，和该密钥对(sk_j，pk_j)(sk_j是密钥，pk_j是公开密钥，j∈{1，...，n}，n是标签装置的总数)的密钥ID信息kid_j的隐匿ID信息sid_h，

在上述各标签装置h的外部设置的更新装置的密钥存储器中对应存储上述各密钥ID信息kid_j和上述各密钥对(sk_j，pk_j)，

上述标签装置h在第一读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中对上述更新装置输出上述隐匿ID信息sid_h，

上述更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在第二读写部中，从上述密钥存储器中提取上述第一输入部所输入的上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的密钥对(sk_j，pk_j)，

在ID提取部中，使用上述第二读写部提取的上述密钥sk_j将上述第一加密文本解码，并提取上述标签ID信息id_h，

在加密部中，使用上述ID提取部提取的上述标签ID信息id_h和上述第二读写部提取的上述公开密钥pk_j，生成难以掌握与上述第一加密文本的关联性的第二加密文本，

在第二输出部中对上述标签装置h输出具有上述第二加密文本和上述密钥对(sk_j，pk_j)的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’，

上述标签装置h在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

46.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置h(h∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储具有对应于各个标签ID信息id_h的可再加密的共同密钥加密方式的第一加密文本，和该公开密钥pk_j(j∈{1，...，n}，n是标签装置的总数)的密钥ID信息kid_j的隐匿ID信息sid_h，

在上述各标签装置h的外部设置的更新装置的密钥存储器中对应存储上述各密钥ID信息kid_j和上述各公开密钥pk_j，

上述标签装置h在第一读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中对上述更新装置输出上述隐匿ID信息sid_h，

上述更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在第二读写部中，从上述密钥存储器中提取上述第一输入部所输入的上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的上述公开密钥pk_j，

在加密部中，使用上述第二读写部提取的上述公开密钥pk_j，将上述隐匿ID信息sid_h具备的上述第一加密文本再加密，生成难以掌握与上述第一加密文本的关联性的第二加密文本，

在第二输出部中对上述标签装置h输出具有上述第二加密文本和上述公开密钥pk_j的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’，

上述标签装置h在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

47.一种标签隐私保护方法，防止根据标签装置输出的信息取得用户的隐私信息，其特征在于，

上述各标签装置h(h∈{1，...，m}，m是标签装置的总数)的秘密值存储器中存储将各个标签ID信息id_h隐匿了的隐匿ID信息sid_h，

上述标签装置h在第一读写部中读出存储在上述秘密值存储器中的上述隐匿ID信息sid_h，

在第一输出部中对设在该标签装置h的外部的第一更新装置输出上述隐匿ID信息sid_h，

上述第一更新装置在第一输入部中接受上述隐匿ID信息sid_h的输入，

在ID提取部中，根据上述隐匿ID信息sid_h求标签ID信息id_h，

在第二输出部中，对设在上述标签装置h的外部的第二更新装置输出上述标签ID信息id_h，

上述第二更新装置在第三输入部中，接受上述标签ID信息id_h的输入，

在加密部中，生成将上述标签ID信息id_h隐匿了的新的隐匿ID信息sid_h’，

在第三输出部中，对上述标签装置h输出上述新的隐匿ID信息sid_h’，

上述标签装置h在第二输入部中接受上述新的隐匿ID信息sid_h’的输入，

在上述读写部中将上述新的隐匿ID信息sid_h’存储在上述秘密值存储器中。

48.一种更新装置，更新标签装置的隐匿ID信息，其特征在于，

设置在上述标签装置的外部，

具有：隐匿ID存储器，对应存储各标签ID信息id_h，和作为对应于该标签ID信息id_h的上述随机值r_h的上述隐匿ID信息sid_h；

第一输入部，接受从上述标签装置输出的隐匿ID信息sid_h的输入；

随机值生成部，生成新的随机值r_h’；

第二读写部，连接到上述隐匿ID存储器，从该隐匿ID存储器中选择由上述第一输入部输入的上述隐匿ID信息sid_h所对应的标签ID信息id_h，将上述新的随机值r_h’作为新的隐匿ID信息sid_h’与之对应存储在该隐匿ID存储器中；以及

第二输出部，对上述标签装置输出上述新的隐匿ID信息sid_h’。

49.一种更新装置，更新标签装置的隐匿ID信息，其特征在于，

设置在上述标签装置的外部，

具有：密钥存储器，对应存储各密钥ID信息kid_j(j∈{1，...，n}，n是标签装置的总数)和共同密钥加密方式的各共同密钥k_j；

第一输入部，接受具有对应于标签ID信息id_h的共同密钥加密方式的第一加密文本，和该加密所使用的共同密钥k_j的密钥ID信息kid_j的隐匿ID信息sid_h的输入；

第二读写部，连接到上述密钥存储器，从该密钥存储器中提取上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的上述共同密钥k_j；

ID提取部，使用上述第二读写部提取的上述共同密钥k_j将上述第一加密文本解码，并提取标签ID信息id_h；

加密部，使用上述ID提取部提取的上述标签ID信息id_h，和该提取所使用的上述共同密钥k_j，生成难以掌握与上述第一加密文本的关联性的第二加密文本；以及

第二输出部，对上述标签装置h输出具有上述第二加密文本和该共同密钥k_j的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’。

50.一种更新装置，更新标签装置的隐匿ID信息，其特征在于，

设置在上述标签装置的外部，

具有：密钥存储器，对应存储各密钥ID信息kid_j(j∈{1，...，n}，n是标签装置的总数)和密钥对(sk_j，pk_j)(sk_j是密钥，pk_j是公开密钥)；

第一输入部，接受具有对应于标签ID信息id_h的公开密钥加密方式的第一加密文本，和该加密所使用的公开密钥pk_j的密钥ID信息kid_j的隐匿ID信息sid_h的输入；

第二读写部，连接到上述密钥存储器，从上述密钥存储器中提取由上述第一输入部输入的上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的上述密钥对(sk_j，pk_j)；

ID提取部，使用上述第二读写部提取的上述密钥sk_j将上述第一加密文本解码，并提取上述标签ID信息id_h；

加密部，使用上述ID提取部提取的上述标签ID信息id_h，和上述第二读写部提取的上述公开密钥pk_j，生成难以掌握与上述第一加密文本的关联性的第二加密文本；以及

第二输出部，对上述标签装置h输出具有上述第二加密文本和该密钥对(sk_j，pk_j)的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’。

51.一种更新装置，更新标签装置的隐匿ID信息，其特征在于，

设置在上述标签装置的外部，

具有：密钥存储器，对应存储各密钥ID信息kid_j(j∈{1，...，n}，n是标签装置的总数)和公开密钥pk_j；

第一输入部，接受具有对应于标签ID信息id_h的可再加密的公开密钥加密方式的第一加密文本，和该公开密钥pk_j的密钥ID信息kid_j的隐匿ID信息sid_h的输入；

第二读写部，连接到上述密钥存储器，从上述密钥存储器中提取由上述第一输入部输入的上述隐匿ID信息sid_h具备的上述密钥ID信息kid_j所对应的上述公开密钥pk_j；

加密部，使用上述第二读写部提取的上述公开密钥pk_j，将上述隐匿ID信息sid_h具备的上述第一加密文本再加密，生成难以掌握与该第一加密文本的关联性的第二加密文本；以及

第二输出部，对上述标签装置h输出具有上述第二加密文本和该公开密钥pk_j的上述密钥ID信息kid_j的新的隐匿ID信息sid_h’。

52.如权利要求49至51的任何一项所述的更新装置，其特征在于，

上述密钥ID信息kid_j是没有关联性的多个上述标签装置所共有的信息。

53.一种更新委托装置，对更新装置委托标签装置的隐匿ID信息的更新，其特征在于，

设在标签装置的外部，

具有：隐匿ID输入部，输入多个种类对应于同一标签ID信息id_h的可再加密的加密文本的隐匿ID；

隐匿ID存储器，存储输入的多个种类的上述隐匿ID；

隐匿ID提取部，连接到上述隐匿ID存储器，在规定的时机从该隐匿ID存储器中提取一个隐匿ID信息；以及

隐匿ID输出部，对上述标签装置输出提取的上述隐匿ID。

54.一种标签装置，用于标签自动识别系统，其特征在于，

具有：隐匿ID输入部，输入多个种类对应于同一标签ID信息id_h的可再加密的加密文本的隐匿ID；

隐匿ID存储器，存储输入的多个种类的上述隐匿ID；

隐匿ID提取部，连接到上述隐匿ID存储器，在规定的时机从该隐匿ID存储器中提取一个隐匿ID；以及

隐匿ID输出部，输出提取的上述隐匿ID。

55.一种标签隐私保护方法，防止根据从标签装置输出的信息取得用户的隐私信息，其特征在于，

密钥存储器中将密钥ID和密钥对应存储；

上述标签装置具有隐匿ID存储器，所述隐匿ID存储器具有存储密钥ID的只读区域，和存储第一隐匿ID的可改写区域，

上述标签装置在读写部中从上述隐匿ID存储器中提取上述密钥ID和上述第一隐匿ID，

在第一输出部中对更新装置输出提取的上述密钥ID和上述第一隐匿ID，

上述更新装置在第一输入部中接受上述密钥ID和上述第一隐匿ID的输入，

在第一密钥提取部中，从上述密钥存储器中提取对应于由第一输入部输入的上述密钥ID的密钥，

在隐匿ID更新部中，使用上述第一密钥提取部提取的上述密钥，和由上述第一输入部输入的上述第一隐匿ID，生成难以掌握与上述第一隐匿ID的关联性的第二隐匿ID，

在第二输出部中，输出上述第二隐匿ID，

上述标签装置在第二输入部中接受上述第一隐匿ID的输入，

在上述读写部中将上述第二隐匿ID存储在上述隐匿ID存储器的上述可改写区域中。

56.如权利要求55所述的标签隐私保护方法，其特征在于，

上述更新装置还具有生成对于上述第二隐匿ID的检验信息的检验信息生成部，

上述更新装置的第二输出部输出上述第二隐匿ID以及上述检验信息，

上述标签装置的第二输入部接受上述第二隐匿ID以及上述验证信息的输入，

上述标签装置的上述读写部将上述第一隐匿ID以及上述检验信息存储在上述隐匿ID存储器的上述可改写区域。

57.如权利要求55所述的标签隐私保护方法，其特征在于，

上述标签装置在读写部中从上述隐匿ID存储器的只读区域中提取上述密钥ID，从上述可改写区域中提取第三隐匿ID，

在第一输出部中，对解码装置输出提取的上述密钥ID和上述第三隐匿ID，

上述解码装置在第三输入部中接受上述密钥ID和上述第一隐匿ID的输入，

在第二密钥提取部中，从上述密钥存储器中提取输入到上述第三输入部的上述密钥ID所对应的密钥，

使用输入到第三输入部的上述隐匿ID和上述第二密钥提取部提取的上述密钥，在ID计算部中计算ID，

在ID结构检验部中检验计算出的ID的结构。

58.一种标签装置，用于标签自动识别系统，其特征在于，

具有：隐匿ID存储器，具有存储密钥ID的只读区域和存储第一隐匿ID的可改写区域；

读写部，从上述隐匿ID存储器中提取上述密钥ID和上述第一隐匿ID；

第一输出部，输出提取的上述密钥ID和上述第一隐匿ID；以及

第二输入部，接受难以掌握与上述第一隐匿ID的关联性的第二隐匿ID的输入，

上述读写部将输入的上述第二隐匿ID存储在上述隐匿ID存储器的上述可改写区域中。

59.如权利要求58所述的标签装置，其特征在于，

上述第二输入部还接受对于上述第二隐匿ID的检验信息的输入，

上述读写部将输入的上述检验信息还存储在上述隐匿ID存储器的上述可改写区域中。

60如权利要求58所述的标签装置，其特征在于，

上述隐匿ID是将构成ID的信息中仅将各标签装置固有的信息隐匿了的信息。

61.如权利要求58所述的标签装置，其特征在于，

对没有关联性的标签装置分配相同的上述密钥ID。

62.一种标签程序，使计算机作为权利要求17、54或58所述的标签装置起作用。

63.一种标签程序，使计算机作为权利要求18所述的后端装置起作用。

64.一种更新程序，使计算机作为权利要求48至51的任何一项所述的更新装置起作用。

65.一种更新委托程序，使计算机作为权利要求53所述的更新委托装置起作用。

66.一种计算机可读取记录媒体，存储使计算机作为权利要求17、54或58所述的标签装置起作用的标签程序。

67.一种计算机可读取记录媒体，存储使计算机作为权利要求18所述的后端装置起作用的标签程序。

68.一种计算机可读取记录媒体，存储使计算机作为权利要求48至51的任何一项所述的更新装置起作用的更新程序。

69.一种计算机可读取记录媒体，存储使计算机作为权利要求53所述的更新委托装置起作用的更新委托程序。

Images