JP2010211786A - 暗号文の索引付けおよび検索方法と装置 - Google Patents

暗号文の索引付けおよび検索方法と装置 Download PDF

Info

Publication number
JP2010211786A
JP2010211786A JP2009281205A JP2009281205A JP2010211786A JP 2010211786 A JP2010211786 A JP 2010211786A JP 2009281205 A JP2009281205 A JP 2009281205A JP 2009281205 A JP2009281205 A JP 2009281205A JP 2010211786 A JP2010211786 A JP 2010211786A
Authority
JP
Japan
Prior art keywords
ciphertext
information
sub
indexing
main
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2009281205A
Other languages
English (en)
Other versions
JP5084817B2 (ja
Inventor
Liming Wang
リーミン ワン
Ye Tian
イェ テン
Toshikazu Fukushima
トシカズ フクシマ
Hao Lei
ハウ レー
Ke Zeng
カ ゼン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC China Co Ltd
Original Assignee
NEC China Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC China Co Ltd filed Critical NEC China Co Ltd
Publication of JP2010211786A publication Critical patent/JP2010211786A/ja
Application granted granted Critical
Publication of JP5084817B2 publication Critical patent/JP5084817B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/31Indexing; Data structures therefor; Storage structures
    • G06F16/316Indexing structures

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】 強力なセキュリティとプライバシ保護をもたらし、簡単かつ手軽に更新を実行できる多レベル索引を生成して使用するための方法と装置を提供する。
【解決手段】 本発明は、暗号文の索引付けと検索の方法および装置を提供する。暗号化ファイルに関して、複数レベルの索引が生成される。主索引の各項目は、主索引項目識別子と、関連するファイルの主索引付け情報の暗号文とを含む。各主索引付け情報は、関連する副索引項目識別子の識別子と、対応する復号情報とを含む。副索引の各項目は、副索引項目識別子と、副索引付け情報の暗号文とを含む。ファイルの取得に必要な情報は、対応する副索引付け情報に含められる。復号された主索引付け情報に含まれる副索引付け情報の復号情報を使用して、関連する副索引付け情報の暗号文が復号され、ファイルの復号キー等の情報が取得される。
【選択図】 図2

Description

本開示は情報検索手法に関し、特に、暗号文検索において多レベル(多階層)索引を生成して使用するための方法と装置に関する。
ストレージアウトソーシングサービスとストレージネットワーキングは、商業上ますます重要な技術となっている。情報量の爆発的な増大を背景に、データストレージとストレージ管理の外部委託を選択する企業は多い。こうしたデータアウトソーシングサービスの普及に伴い、研究者の間で暗号文検索手法への関心が高まっている。しかし、ストレージ技術が複雑化し、データ量の増大は果てしなく続き、データセキュリティとビジネス継続性がかつてないほど重要な問題となった現在、検索手法には様々な困難な課題が生じている。
一例として、特許文献1(中国特許出願公報第CN1588365A号)でXin Liが提唱した、「暗号文グローバル検索技術」と呼ばれる暗号文検索手法を取り上げる。この手法では、暗号化フェーズにおいて、まずユーザがキーを生成し、そのキーでクエリキーワードを暗号化して暗号索引ファイルが生成され、同じキーでファイルを暗号化し暗号化ファイルを生成し、さらにユーザがそのキーを公開キーで暗号化して暗号化キーを生成し、最後に、これらの暗号索引ファイルと暗号化ファイルと暗号化キーとが暗号文保管庫に格納される。検索フェーズでは、暗号化キーが暗号文保管庫からダウンロードされ、秘密キーで復号してキーが取得され、そのキーでクエリキーワードを暗号化して暗号化クエリキーワードが取得される。この暗号化クエリキーワードは暗号文保管庫に送信され、暗号索引ファイル内で探索が実行され、一致する暗号化ファイルがダウンロードされる。最後に、キーでファイルを復号して平文データが取り出される。
しかし、既存の方法では、索引の更新が必要になったときに様々な問題点が生じる。例えば、ユーザが暗号化された逆索引を更新するためには、たとえファイルの内容に変更がない場合でも、サーバからファイルをダウンロードし、暗号化索引を再構築し、再構築した索引を再度サーバにアップロードしなければならない。
さらに、上記の方法によれば、ファイルが移動されたり名前が変更されたりすると、たとえキーワードとファイルのすべてが暗号化されていたとしても、ストレージサーバはキーワードとファイル間の連係を知ることができる。これは、直接的なプライバシ違反につながる可能性がある。第二に、ユーザは暗号化されたファイルの逆索引を再構築するためにファイルをダウンロードする必要があるが、これによりかなりの計算オーバーヘッドが発生する。第三に、ユーザはすべてのファイルを1つのキーで暗号化する。ほとんどの場合、ファイルの暗号化はストリーム暗号を利用して行われる。しかし、1つのキーで複数のファイルを暗号化することは、セキュリティを脆弱にする要因として広く認識されている。さらに、ユーザは同じキーを使ってファイルとキーワードのすべてを暗号化する。そのため、検索技術者(サーチャー)がユーザのファイルに対してたった1つのキーワードで検索を実行するだけで、そのユーザの全ファイルを取得することが可能になる。これもまた、セキュリティ脆弱化の要因となる。
中国特許出願公報第CN1588365A号
本発明は、強力なセキュリティとプライバシ保護をもたらし、簡単かつ手軽に更新を実行できる多レベル索引を提供する。
本発明の1つの態様では、暗号文索引付け装置であって、各主索引項目がキーワードに関連付けられ、かつ、主索引項目識別子と、キーワードに関連する各ファイルの主索引付け情報の暗号文とを少なくとも含む主索引を生成する主索引付け手段と、各副索引項目が副索引項目識別子と副索引付け情報の暗号文とを少なくとも含む、1レベル以上の副索引を生成する副索引付け手段とを備え、各主索引付け情報は、副索引項目識別子と、第1のレベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含み、各副索引付け情報は、暗号文の復号情報か、または副索引項目識別子と次レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含む暗号文索引付け装置を提供する。
本発明の他の態様では、暗号文索引付け方法であって、各主索引項目がキーワードに関連付けられ、かつ、主索引項目識別子と、キーワードに関連する各ファイルの主索引付け情報の暗号文とを少なくとも含む主索引を生成し、各副索引項目が副索引項目識別子と副索引付け情報の暗号文とを少なくとも含む1レベル以上の副索引を生成し、各主索引付け情報は、副索引項目識別子と、第1レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含み、各副索引付け情報は、暗号文の復号情報か、または副索引項目識別子と次レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含む暗号文索引付け方法を提供する。
本発明の他の態様では、暗号文検索装置であって、主索引項目識別子を含む主検索要求を生成する主検索要求手段と、主索引付け情報を抽出するために、主検索要求への応答として受信された主索引付け情報の暗号文を復号する主索引付け情報復号手段と、主索引付け情報に含まれる副索引項目識別子に基づいて副検索要求を生成する副検索要求手段と、主索引付け情報に含まれる副索引付け情報の復号情報を使用して、副検索要求への応答として受信された副索引付け情報の暗号文を復号する副索引付け情報復号手段と、ファイル取得情報と、主索引付け情報および副索引付け情報のいずれか一方か両方に含まれる復号キーとに基づいてファイルの暗号文を取得して復号するファイル取得手段とを備える暗号文検索装置を提供する。
本発明の他の態様では、暗号文検索方法であって、主索引項目識別子を含む主検索要求を生成し、主索引付け情報の暗号文を受信し、主索引付け情報を抽出するために主索引付け情報の暗号文を復号し、主索引付け情報に含まれる副索引項目識別子に基づいて副検索要求を生成し、副索引付け情報の暗号文を受信し、主索引付け情報に含まれる副索引付け情報の復号情報を使用して副索引付け情報の暗号文を復号し、ファイル取得情報と、主索引付け情報および副索引付け情報のいずれか一方か両方に含まれる復号キーとに基づいてファイルの暗号文を取得し復号する暗号文検索方法を提供する。
本発明の他の態様では、暗号文検索装置であって、主索引項目識別子に基づき、一致する主索引項目を検出するために主索引の検索を実行し、主索引項目内の主索引付け情報の暗号文を送信する主検索手段と、副索引項目識別子に基づき、一致する副索引項目を検出するために副索引の検索を実行し、副索引項目内の副索引付け情報の暗号文を送信する副検索手段とを備える暗号文検索装置を提供する。
本発明の他の態様では、暗号文検索方法であって、主索引項目識別子に基づき、一致する主索引項目を検出するために主索引の検索を実行し、主索引項目内の主索引情報の暗号文を送信し、副索引項目識別子に基づき、一致する副索引項目を検出するために副索引の検索を実行し、副索引項目内の副索引付け情報の暗号文を送信することを特徴とする暗号文検索方法を提供する。
本発明によれば、サーバは、格納される暗号化ファイルの内容とキーワード−ファイル間の関連性を知ることができない。また、異なるキーで暗号化するとセキュリティとプライバシは強化されるので、ファイルの不正復号が防止され、これまでの暗号文検索手法で問題となっていたプライバシ情報の漏洩を回避することができる。
さらに、本発明によれば、索引の更新をより柔軟に行えるようになる。すなわち、ファイルの変更により副索引が更新されたときにも、副索引項目識別子を利用して関連の副索引項目を容易に更新でき、状況次第では主索引の変更は不要となる。
本発明は、下記の好適な実施例の詳細な説明と以下の添付図面からさらに明確に理解されるであろう。なお、添付図面では、共通する部品は同じ参照番号を使用して示している。
一システム例の概略図である。 本発明の一実施例によるユーザ装置の構成例を概略的に示すブロック図である。 本発明の一実施例による多レベル暗号化索引の生成処理を概略的に示すフローチャートである。 本発明の一実施例によるサーチャー装置の構成例を概略的に示すブロック図である。 本発明の一実施例によるサーバの構成例を概略的に示すブロック図である。 本発明の一実施例による検索処理を概略的に示すフローチャートである。
続いて、図面を参照して、本発明の各態様の特徴と実施例を詳細に説明する。以下の詳細な説明では、本発明の完全な理解を促すため、具体的な細目を多数示している。しかし、当該技術に精通する当業者には、これらの具体的な細目の一部を省略しても、本発明は実施可能であることは明らかであろう。下記の実施例の詳細な説明は、本発明の具体例を示すことにより本発明に対する理解を深めることを唯一の目的とする。よって、本発明は下記の特定の構成およびアルゴリズムに限定されず、本発明の精神から逸脱しない範囲において、各要素、構成要素、アルゴリズムに対するあらゆる修正、改変、および改良を包含する。また、図面および下記の説明においては、本発明の本質をいたずらに曖昧にするのを回避するため、既知の構造や手法は省略している。
図1は、本発明を適用可能なシステム例の概略図である。図1に示すように、1つ以上のユーザ端末とストレージサービスを提供する1つ以上のサーバが、ネットワーク等を介して互いに通信可能となっている。
なお、本説明において使用される「サーバ」という用語は、ストレージと検索サービスの両方を提供する単独の装置を意味することも、あるいは互いに隣接または分散して設置された一連の複数装置を意味することある。後者の場合は、各装置がストレージ、データ検索、ユーザ管理等の各種サービスを個別に担うケースと、同じサービスを共同で担うケースとが含まれる。例えば、ファイルはストレージサーバ上に格納され、索引はストレージサーバと通信可能な検索サーバ上に格納される。説明を簡素化するため、本説明および図面ではこれらの装置を総称して「サーバ」という。
サーバは、通常、データを格納して保持し、端末からデータへの条件付きアクセスを許可する機能を有し、サービスプロバイダによって管理される、単独または一連のデバイスとして実装される。ユーザ端末は、情報処理機能と通信機能を有するデバイスとして実装することができ、これには、パーソナルコンピュータ(PC)、携帯情報端末(PDA)、スマートフォン、ユーザが操作するサーバやエンタプライズワークステーション、その他のデータ処理デバイスなどが含まれる。サーバデバイスとユーザデバイスの各種実装は、特定のものに限定されないことに留意されたい。
図1に示すネットワークは、種類を問わず、電気通信ネットワークやコンピュータネットワーク等のあらゆるネットワークを含む。ネットワークは、各種デバイスが1つの装置の部品として実装される場合には、データバスやハブ等の内部データ転送メカニズムを備えることもできる。
これまでの暗号文検索手法とは異なり、本発明のシステムによれば、ユーザは、サーバ上に格納される複数の暗号化ファイルに対して1つの多レベル索引を作成する。そして、主索引での検索結果に応じて、副索引に含める1つ以上の項目が決定される。主索引と副索引はいずれも暗号化索引とすることができる。
図2は、本発明の一実施例による、索引の生成と更新を行うユーザ装置100の構成例を概略的に示したものである。ユーザ装置100は、任意の端末デバイスであっても、またはユーザが操作する端末デバイス内の任意の機能的構成要素(ハードウェア、ファームウェア、ソフトウェア、またはその組み合わせによって実装される)であってもよい。
図2に示すように、ユーザ装置100は主に主索引付け手段101と副索引付け手段102とで構成される。
主索引付け手段101は、主索引を生成するように構成される。主索引内の各項目は1つのキーワードと関連付けられ、これには少なくとも、当該キーワードに基づいて生成される主索引項目識別子と、当該キーワードに関連する各ファイルの主索引付け情報の暗号文とを含めることができる。したがって、主索引付け手段101は、主索引項目識別子を生成するための主索引項目識別子生成モジュール103と、主索引付け情報の暗号文を生成するための主索引付け情報暗号文生成モジュール104と、その他の可能な構成要素で構成される。
副索引付け手段102は、単一の副索引か、または多レベルにわたる複数の副索引を生成するように構成される。主索引内の各項目は、1つのファイルに関連付けることができ、これには少なくとも、副索引項目識別子と、対応するファイルの取得に関連する副索引付け情報の暗号文とを含めることができる。したがって、副索引付け手段102は、副索引項目識別子を生成するための副索引項目識別子生成モジュール105と、副索引付け情報の暗号文を生成するための副索引付け情報暗号文生成モジュール106と、その他の可能な構成要素で構成される。
本発明の多レベル索引においては、各主索引付け情報は、少なくとも、対応する副索引項目の副索引項目識別子と、その副索引項目の復号に必要な復号情報とを含む。各副索引付け情報は少なくともファイルの暗号文の復号に必要な復号情報を含めることができ、次レベルの対応する副索引が存在する場合には少なくとも、次レベルの対応する副索引の副索引項目識別子と、次レベルの対応する副索引項目の副索引付け情報の復号に必要な復号情報とを含めることができる。他の実施例によれば、主索引付け情報または副索引情報には、ファイルパスの情報か、または暗号化ファイルを取得するためのファイルの暗号文名を含めることができる。
キーワードKWに関連するn個のファイルFile(i=1,…,n)(例えば、当該キーワードを含むファイル)があるとすると、主索引内のキーワードKWに対応する項目は以下のような形式となる。
<PIDkw:E(Info_P,key_P);…; E(Info_P,key_P);…E(Info_P,key_P)> (式1)
ここで、PIDkwは、キーワードKWに関連する主索引項目識別子、Info_Pは、キーワードKWに関連するi番目のファイルFile(i=1,…,n)の主索引付け情報、key_Pは、Info_Pを暗号化するためのキーを表し、E(A,B)は、キーBでAを暗号化することを表わす。
この場合、主索引項目内の他のファイルの主索引付け情報は、同じキーで暗号化できる。また、主索引項目内の他のファイルの主索引付け情報を、別のキーで暗号化することも可能である。主索引項目内の他のファイルの主索引付け情報が同じキーを共有する場合には、主索引項目を以下の形式にしてもよい。
<PIDkw:E(Info_P||…||Info_P||…,key_P)> (式2)
これにより、キーワードKWに関連するすべてのファイルの主索引付け情報がキーkey_Pで暗号化される。
この場合、主索引項目内の他のファイルの主索引付け情報も、同じキーで暗号化できる。ただし、異なるキーワードに対応する主索引項目については、セキュリティ強化のため、これらの異なるキーワードを使って個々の主索引付け情報を暗号化するのが望ましい。
上記の主索引項目識別子PIDkwは、例えばPIDkw=E(KW,sk)のように、キーワードKWの暗号文とすることができる。skは、キーワードを暗号化するためのキーであり、これにはユーザの秘密キー等を使用できる。主索引項目識別子PIDkwを生成するためのキーは、主索引付け情報の暗号文を生成するためのキーと異なるものとするのが望ましい。また、PIDkwは、異なるキーワードが異なるPIDkwに対応するという条件が満たされる限り、他の方法で生成してもよい。
ファイルFileの主索引付け情報Info_Pは、少なくとも、当該ファイルの取得に関連する副索引項目の識別子と、当該副索引項目内の副索引付け情報の暗号文を復号するために必要な情報(例えば、復号キー)とを含む。ただし、Info_Pには他の情報を含むこともできる。例えば、いくつかの実施例においては、Info_Pに、主索引付け情報の復号を検証するための情報をさらに含めることができる。また、実施例によっては、Info_Pに、ファイルFileに関する情報をさらに含めることができる。さらに、ファイルFileの取得において必要とされる情報を、主索引付け情報Info_Pに含めることも可能である。
副索引は、1つの単独の副索引のみとすることも、多レベルにわたる複数の副索引とすることもできる。一般には、j番目のレベルの副索引における、任意のファイルFileに関連する項目は、以下の式で表すことができる。
<UID (j):E(Info_S (j),key_S (j))> (式3)
ここで、UID (j)はこの副索引項目の副索引項目識別子、Info_S (j)はこの副索引項目の副索引付け情報、key_S (j)は副索引付け情報を暗号化するためのキーである。異なる副索引項目の副索引付け情報を暗号化するためのキーは、互いに異なるキーとすることができる。
副索引項目識別子UID (j)は、異なるファイルに関連する副索引項目の副索引項目識別子が互いに異なるという条件が満たされる限り、任意のアルゴリズムを使用して計算でき、ユーザはファイルの情報からUID (j)を復元できる。例えば、副索引項目識別子 UID (j)は、ファイルFileの一意の識別子であってもよい。
複数レベルの副索引を使用し、ファイルFileに関する完全な情報を取得するために次レベルの副索引にアクセスする場合、上記の副索引付け情報Info_S (j)には、少なくとも、次レベルの対応する副索引の副索引項目識別子と、次レベルの対応する副索引項目における副索引付け情報の復号に必要な情報とが含まれる。ファイルFileの取得に必要な情報については、その全部または一部を、最終レベルの副索引項目識別子の副索引付け情報に含めても、あるいは複数レベルの副索引項目の副索引付け情報に分散させてもよい。
副索引項目のレベルが1つのみの場合は、上記の副索引付け情報Info_S (j)(j=1)は、少なくとも、ファイルFileの取得に必要な情報の全部または一部を含む。
図3は、本発明の一実施例による多レベル暗号化索引の生成処理を概略的に示したものである。
最初に、ユーザ装置100が初期設定を行う。この設定は、例えば、ステップS201においてファイルのキーワードを抽出して要約し、ステップS202において、索引の生成に必要な個々のキーを設定する、といった内容とする。ここで設定される個々のキーの例としては、主索引付け情報と副索引付け情報を暗号化するためのキーが挙げられるが、一部の実施例においては、主索引項目識別子と副索引項目識別子を生成するためのキーも任意で設定でき、さらには関連の復号キーを設定することもできる。上記の処理は、例えば、ユーザ装置100内の初期設定手段や他の手段によって実行される。キーワードは既存の任意の方法を使用して抽出でき、各種のキーは、既存の任意の暗号方式を使用して設定できる。ここでは、本発明の本質をいたずらに曖昧にすること避けるため、これらの関連の構成要素と処理の詳細な説明は省略する。なお、本発明においては、対称暗号方式と非暗号方式のいずれも使用することができる。また、多レベルの暗号化索引では、対称暗号方式と非対称暗号方式を複合的に使用することも可能である。例えば、一部の情報には対称暗号方式を適用し、その他の情報には非対称暗号方式を適用することとしてもよい。
ステップS203において、主索引付け手段101が主索引項目識別子生成モジュール103により、各キーワードに関連する主索引項目の主索引項目識別子を生成する。主索引項目識別子は、例えば、キーワードかまたはキーワードを含む情報をユーザの秘密キーで暗号化することによって生成される。
ステップS204において、副索引付け手段102が副索引項目識別子生成モジュール105により、各ファイルに関連する副索引項目の副索引項目識別子を生成する。関連する副索引項目の識別子としては、例えば、ファイルの一意の識別子が計算される。
主索引付け手段101が、ステップS205において各主索引項目の主索引付け情報を決定し、ステップS206において主索引付け情報暗号文生成モジュール104により主索引付け情報を暗号化する。前述したように、異なるキーワードに関連する主索引付け情報については、暗号化にそれぞれ異なるキーを使用することができる。
副索引付け手段102が、ステップS207において各副索引項目の副索引付け情報を決定し、ステップS208において副索引付け情報暗号文生成モジュール106により副索引付け情報を暗号化する。前述したように、異なる副索引付け項目に含まれる副索引付け情報の暗号化は、それぞれ異なるキーを使用して行うことができる。
ステップS209において、主索引付け手段と副索引付け手段が、それぞれ主索引と副索引を形成する。
本発明への理解を深めるため、以下では多レベルの暗号化索引の具体例をいくつか示す。これらの具体例は説明を唯一の目的とするものであり、本発明の本質は説明に使用する特定のアルゴリズムや構成に限定されないことに留意されたい。
最初に、単純な具体例として、2レベルの暗号化索引(主索引と副索引がそれぞれ1レベルずつ)について説明する。以下の具体例では、n個のファイルFile(i=1,…,n)がキーワードKWに関連する(例えば、ファイルにこのキーワードが含まれる)と想定する。したがって、主索引は上記の式1または2、副索引は上記の式3で表わすことができる。

(具体例1)
キーワードKWと関連付けられた主索引項目内に、ファイルFileの主索引付け情報Info_Pが以下のように生成される。
Info_P=(flag||path||CFN||PFN||UID |Key_UID) (式4)
ここで、flagは主索引付け情報の復号を検証するためのフラグ情報、pathはFileの暗号文へのアクセスパス、CFNはFileの暗号文ファイル名、PFNはFileの平文ファイル名、UIDはFileに関連付けられた副索引項目の副索引項目識別子、key_UIDは副索引項目内の副索引付け情報の暗号文を復号するための副索引付け情報復号キーである。復号キーkey_UIDは、対称暗号方式が使用される場合は上記の式3におけるキーkey_S (j)と同じになることに留意されたい。
この具体例では、ファイルFileに関連付けられた副索引項目は、以下の式で表される。
<UID E(Info_S,key_S)> (式5)
ここで、副索引付け情報Info_Sは以下の式により生成される。
Info_S=(flag||fkey) (式6)
ここで、flagは副索引付け情報の復号を検証するためのフラグ情報、fkeyはファイルの暗号文fkeyを復号するためのファイル復号キーである。
この具体例においては、副索引項目識別子UIDとして、ファイルFileの単なる連続または無作為の識別番号や、ファイルFileに固有なその他の任意の値を使用することができる。
この具体例における多レベル暗号化索引によれば、主索引項目識別子で主索引を探索して、一致する主索引項目が検出される。そして、この主索引項目内の主索引付け情報を復号することにより、対応するキーワードに関連するファイルパス、暗号文ファイル名、および各ファイルの平文ファイル名、並びに関連する副索引項目識別子および対応する副索引付け情報復号キーが取得される。上記の情報を取得した後に、取得された各副索引項目識別子を使用して副索引をさらに検索し、それぞれに一致する副索引項目を取得することもできる。その後、一致する副索引項目内における副索引付け情報の暗号文が個々の副索引付け情報復号キーで復号され、関連するファイルのファイル復号キーが取得される。上記で取得された情報を使用して、クエリ対象のキーワードに関連する各ファイルの平文を取得することができる。
次に、フラグの使用について説明する。ここでは、フラグがサーチャーに既知の値である場合を例にとる。フラグflagを含む情報の暗号文を復号する(例えば、この具体例における主索引項目識別子または副索引付け情報の暗号文を復号する)際には、サーチャーは、復号された情報内の対応するフラグが既知のフラグと一致するかどうかをチェックすることにより、復号結果が正しいかどうかを判定することができる。また、最初に異なるキーで暗号化された複数の主索引付け情報または副索引付け情報の暗号文をサーチャーが受信した場合には、フラグを利用して復号可能な情報とそうでない情報を判別することもできる。したがって、異なるキーで異なる情報を暗号化した上で(例えば、同じ主索引項目内の異なる主索引付け情報を暗号化した上で)、各サーチャーに1つの復号キーかその一部を発行することにより、サーチャーの権限を差別化し、制御することが可能になる。
ここで、フラグはある種の補助情報であり、復号の検証が不要なアプリケーションや、他の検証手段が使用されるアプリケーションにおいては不要であることは明白である。

(具体例2)
この具体例では、上記の具体例1における主索引付け情報の代わりに、以下が使用される。
Info_P=(flag||UID||Key_UID) (式7)
そして、上記の具体例1における副索引付け情報の代わりに、以下が使用される。
Info_S=(path||CFN||PFN||fkey) (式8)
この具体例における多レベル暗号化索引によれば、関連する各ファイルの副索引項目の識別子と、それに対応する副索引付け情報復号キーは、主索引と対応する復号結果とを検索することにより取得できる。その後、副索引と対応する復号結果とを検索することにより、関連する各ファイルのファイルパス、暗号文ファイル名、平文ファイル名、およびファイル復号キーが取得され、これによりファイルの平文の取得が可能になる。
この具体例では、任意のファイルFileに関連する副索引項目の副索引項目識別子UIDは、以下の式により生成することができる。
UID=hash(fpara,sk) (式9)
ここで、hashはハッシュ関数、fparaはファイルFile内のある部分(例えば、最初の文または段落、または最後の文または段落など)の内容、skはユーザの秘密キー等の秘密情報である。

(具体例3)
この具体例は、ファイルFileに関連する副索引項目の副索引項目識別子UIDの代わりに以下が使用されることを除き、上記の具体例2と同様である。
UID=hash(CFN,sk) (式10)
ここで、CFNはファイルFileの暗号文ファイル名である。

(具体例4)
この具体例は、ファイルFileに関連する副索引項目の上記の副索引項目識別子UID の代わりに以下が使用されることを除き、上記の具体例2および具体例3と同様である。
UID=PRF(seed) (式11)
ここで、PRFは擬似乱数関数、seedはこの関数の無作為入力である。
この具体例においては、ユーザが各副索引項目識別子と対応するファイルとの対応関係を保持しておき、後の更新時に利用することができる。この目的のため、例えば以下のようなマッピングまたはテーブルが保存される。
<UID:CFN> (式12)
上記では2レベル暗号化索引の具体例をいくつか示したが、任意のレベル数の暗号化索引を設計可能なことは理解されるであろう。次に、さらなる理解を促すため、1レベルの主索引と2レベルの副索引からなる3レベル暗号化索引の具体例を示す。

(具体例5)
キーワードKWと関連付けられた主索引項目において、ファイルFileに関連する主索引付け情報Info_Pが以下のように生成される。
Info_P=(flag||UID (1)||Key_UID (1)) (式13)
ここで、UID (1)はファイルFileと関連付けられた第1レベルの副索引項目の副索引項目識別子、key_UID (1)はこの第1レベルの副索引項目の副索引付け情報を復号するための副索引付け情報復号キーである。
任意のファイルFileと関連付けられた第1レベルの副索引項目は、以下のとおりである。
<UID (1):E(Info_S (1),key_S (1))>(式14)
ここで、副索引付け情報Info_S (1)は以下の式により生成される。
Info_S (1)=(flag||path||CFN||UID (2)||Key_UID (2)) (式15)
ここで、UID (2)はファイルFileと関連付けられた第2レベルの副索引項目の副索引項目識別子、key_UID (2)はこの第2レベルの副索引項目の副索引付け情報を復号するための副索引付け情報復号キーである。
任意のファイルFileと関連付けられた第2レベルの副索引項目は、以下のとおりである。
<UID (2) :E(Info_S (2),key_S (2))> (式16)
ここで、副索引付け情報Info_S (2)は以下の式により生成される。
Info_S (2)=(flag|| PFN||fkey)(式17)
この具体例においては、第1レベルの副索引項目識別子UID (1)および第2レベルの副索引項目識別子UID (2)は、各索引項目が確実に識別可能であるという条件が満たされる限り、任意の方法で指定することができる。
この具体例における3レベル暗号化索引によれば、関連する各ファイルの第1レベルの副索引項目識別子と、第1レベルの対応する副索引付け情報復号キーは、主索引と対応する復号結果とを検索することにより取得できる。その後、取得された第1レベルの1つ以上の副索引項目識別子で第1レベルの副索引を検索し、第1レベルの対応する副索引付け情報復号キーを復号することにより、関連する各ファイルのファイルパスおよび暗号文ファイル名と、関連する第2レベルの副索引項目の副索引項目識別子と、対応する第2レベルの副索引付け情報復号キーとを取得することができる。その後、取得された第2レベルの1つ以上の副索引項目識別子と第2レベルの対応する副索引付け情報復号キーとを使用して、第2レベルの副索引を検索および復号することにより、関連する各ファイルの平文ファイル名とファイル復号キーを取得でき、それによりファイルの平文を取得するために必要なすべての情報が得られる。
上記の具体例において、2レベルにわたる副索引の各項目は取得するファイルに関連して構成されていたが、副索引内で索引付けされる情報はこれに限定されないことは理解されるであろう。例えば、対応するファイルを取得するためのファイル復号キーは第1レベルの副索引内で索引付けし、追加の情報は第2レベルの副索引内で索引付けする、といったことも可能である。この場合、第2レベルの各副索引項目には、参考文書の情報等を関連付ける。この方法を採る場合には、第1レベルの副索引項目内の副索引付け情報に、第2レベルの1つ以上の副索引項目識別子と、関連する参考文書に対応する復号キーとを含めるとよい。また、副索引のレベル数は任意に設定でき、また、各レベルでは1種類かそれ以上の情報に索引付けできることも理解されるであろう。
上記の各具体例では、ファイルのアクセスパス、暗号文ファイル名、平文ファイル名、復号を検証するためのフラグ、およびファイルの復号キーがファイルの情報として使用され、暗号化索引内で索引付けされていた。しかし、アプリケーションによってはこうした情報が不要なこともある。例えば、サーバ上の暗号化ファイルを取得するためのアクセスパスまたは暗号文ファイル名が指定される場合には、アクセスパスまたは暗号文ファイル名は不要である。また、実装によっては平文ファイル名や検証フラグが不要な場合もある。さらに、索引内で索引付けされる情報は上記のものに限定されず、個々のアプリケーションの必要に応じて、どんな情報でも追加することができることは理解されるであろう。情報は、複数レベルにわたる副索引付け情報に分散させることも、あるいは一部を主索引付け情報に含めることもできる。
次に、図4〜6を参照して、本発明の一実施例による多レベル暗号化索引の使用について説明する。
図4は、本発明の一実施例によるサーチャー装置の構成例を概略的に示したものである。
図4に示すように、サーチャー装置300は、主検索要求を生成するための主検索要求手段301と、主索引付け情報の暗号文を復号するための主索引付け情報復号手段302と、副検索要求を生成するための副検索要求手段303と、副索引付け情報の暗号文を復号するための副索引付け情報復号手段304と、ファイルの暗号文を取得して復号するためのファイル取得手段305とを主に備える。
図5は、本発明の一実施例による検索サーバの構成例を概略的に示したものである。
図5に示すように、サーバ400は多レベル索引に対して検索を実行するように適応されており、主索引内で検索を実行するための主検索手段401と、副索引内で検索を実行するための副検索手段402とを主に備える。暗号化ファイルがサーバ400上にも格納される場合には、サーバ400に暗号化ファイルを検索するためのファイル検索手段を備えることもできる。
図6は、本発明の一実施例による検索処理を概略的に示したものである。図6の左側はサーチャー端末の動作を示し、図6の右側はストレージおよび検索サーバの動作を示す。
サーチャーは、検索の前に、検索を実行するための権限を取得しておく必要がある。例えば、サーチャーは、ファイル所有者等の関係者から、検索を許可されたキーワードに対応する主索引項目識別子と、主索引付け情報を復号するための対応する主索引付け情報復号キーとを取得する。あるいは、関連の情報を取得した後に、サーチャーが何らかの計算を行って主索引項目識別子と対応する復号キーを導出する。サーチャー端末が、こうした初期情報を取得するために必要な権限取得処理を実行してもよい。また、以下で説明するサーチャーは、データ所有者自身であってもよい。
検索時には、まずステップS501において、サーチャー端末の主検索要求手段301が、サーチャーが取得または計算した主索引項目識別子を含む主検索要求を生成する。サーチャー端末はこの主検索要求をサーバに送信する。
サーバが主検索要求を受信する。そして、ステップS502においてサーバの主検索手段401が、サーバ内に格納される主索引に対して検索を実行し、受信した要求に含まれる主索引項目識別子に適合する主索引項目識別子を有する主索引項目を検出する。サーバはその後、一致した主索引項目に含まれる主索引付け情報の暗号文をサーチャー端末に返送する。あるいは、検索前にサーバがサーチャーに対して所定の認証を実行するのでもよい。
主索引付け情報の暗号文を受信した後、サーチャー端末の主索引付け情報復号手段302はステップ503において、関連する各ファイルに対応する各副索引項目識別子とそれに対応する副索引付け情報復号キーとを導出するために事前に取得していた主索引付け情報復号キーを使用して、受信した主索引付け情報の暗号文を復号する。主索引付け情報からは、これに加えて他の情報が取得されることもある。例えば、上記の具体例1では、関連するファイルの暗号文ファイル名またはファイルパスも同時に取得されていた。
ステップS504において、サーチャー端末の副検索要求手段303が副検索要求を生成する。副検索要求には、上記で取得された1つ以上の副索引項目識別子を含めることができる。サーチャー端末はこの副検索要求をサーバに送信する。
副検索要求を受信した後、サーバの副検索手段402はステップS505において、サーバ内に格納される副索引に対して検索を実行し、副検索要求に含まれる副索引項目識別子に適合する副索引項目識別子を有する各副索引項目を検出する。サーバはその後、一致した副索引項目に含まれる副索引付け情報の各暗号文をサーチャー端末に返送する。
副索引付け情報の暗号文を受信した後、サーチャー端末の副索引付け情報復号手段304はステップ506において、取得した対応する副索引付け情報復号キーを使用して、受信した副索引付け情報の暗号文を復号し、対応する副索引付け情報を抽出する。
副索引が1レベルのみの場合には、サーチャー端末はこの時点で、復号された副索引付け情報(および復号された主索引付け情報)から、ファイルを取得するために必要なすべての情報を取得したことになる。主索引付け情報および副索引付け情報に他の情報が含まれていた場合には、サーチャー端末は当然ながらこれらの情報も取得しているはずである。
また、副索引が2レベル以上にわたる場合には、サーチャー端末は、現在の復号済み副索引付け情報から、次レベルの副索引項目識別子と対応する復号キーとを取得する。その後、S504〜S506の処理が、サーチャー端末が各レベルの索引に含まれるすべての必要な情報を取得するまで反復される。
続いて、サーチャー端末のファイル取得手段305がステップ507において、取得した情報に基づいて、関連するファイルに関するファイル取得要求を生成する。ファイル取得要求には、例えば暗号文ファイル名やファイルのアクセスパス等の、暗号化ファイルを一意に判別することが可能な情報が含められる。その後、サーチャー端末はこのファイル取得要求を、ファイルを格納するサーバに送信する(実装によっては、ファイルストレージサーバと検索サーバが1つのサーバのこともある)。
ファイルストレージサーバはステップS508において、例えばファイル検索手段により、サーチャー端末から送られてきた情報に基づいて要求された暗号化ファイルを検索し、一致する暗号化ファイルをサーチャー端末に返送する。
あるいは、実装によっては、サーチャー端末が、ファイルのアクセスパスに基づいて、ストレージ内の対応する場所から暗号化ファイルを取得することもある。
サーチャー端末のファイル取得手段305は、関連する各ファイルの暗号文を取得した後、副索引付け情報(または主索引付け情報)から取得した対応する復号キーを使用してファイルの暗号文を復号し、各ファイルの平文を取得する。
索引付け情報が復号を検証するためのフラグであるflagを含む場合には、上記の復号処理の過程で、例えば、主索引付け情報復号手段、副索引付け情報復号手段、またはファイル取得手段のいずれかにより、復号された情報から取得されたフラグが既知の所定のフラグと一致するかどうかをチェックすることができる。一致する場合はその復号は正しく、一致しない場合は不正である。サーチャーは、検証結果に基づいて、正当な情報を選択し、正しく暗号化できない情報は破棄することができる。
上記の処理は一具体例にすぎず、本発明は上記の特定のステップやステップのシーケンスに限定されないことに留意されたい。例えば、全レベルのすべての副索引付け情報の復号が完了する前にファイルの暗号文ファイル名が取得されている場合(例えば、上記具体例1の場合)には、ステップS507とステップS508は前述したよりも早い段階に実行することができる。
本発明の多レベル暗号化索引および検索処理によれば、サーバは、格納される暗号化ファイルの内容とキーワード−ファイル間の関連性を知ることができない。また、異なるキーで暗号化するとセキュリティとプライバシは強化されるので、ファイルの不正復号が防止され、これまでの暗号文検索手法で問題となっていたプライバシ情報の漏洩を回避することができる。
さらに、本発明の多レベル索引によれば、索引の更新をより柔軟に行えるようになる。端的には、ファイルの変更により副索引が更新されたときにも、副索引項目識別子を利用して関連の副索引項目を容易に更新でき、状況次第では主索引の変更は不要となる。
上記の具体例2、3、および4において、例えばファイルの場所が変更されたとすると、ユーザ装置は、対応する副索引項目識別子と、更新された副索引付け情報の暗号文とを計算するだけで、それらをサーバに送信することができる。この処理は、例えば、ユーザ装置の副索引付け手段に実行させるか、あるいはこれを実行させるための更新手段を構成に追加してもよい。サーバは、取得した副索引項目識別子により対応する副索引項目を識別し、ユーザ装置から受け取った更新された副索引付け情報の暗号文を使用して、その項目に含まれる副索引付け情報の暗号文を更新する。このとき、主索引を変更する必要はない。この処理を実行させるために、サーバに更新手段を追加することも可能である。
また、上記の具体例2および4では、副索引項目識別子はファイル名から生成されない。そのため、ファイル名が変更されても、対応する副索引項目は対応する副索引項目識別子で識別でき、主索引を変更せずに、当該項目に含まれる副索引付け情報の暗号文を更新して訂正を反映することができる。
更新方法は、主索引および副索引内で索引付けされた情報の種類と、索引項目識別子の生成に使用した方法に応じて選択される。索引は複数レベルに構成された索引に分割されるため、索引内の1レベルのみを更新することも、あるいは索引内の特定の索引を更新することも可能である。
上記では図面を参照して本発明の特定の実施例について説明したが、本発明は上記の実施例で説明した特定の構成やプロセスに限定されるものではない。当該技術に精通する当業者であれば、本発明の精神の範囲内において、上記構成の様々な代替、変更、修正や、アルゴリズム、動作、および処理を考案できるであろう。
上記の説明で使用した「ファイル」という用語は広義に解釈すべきであり、これには、テキストファイル、ビデオ/オーディオファイル、画像、チャート等のあらゆるデータまたは情報が含まれる。
上記の説明で使用した「キーワード」という用語は広義に解釈すべきであり、これには特定のファイルに関連するあらゆるデータまたは情報が含まれる。
図面では、データ所有者端末、サーチャー装置、サーバの構成例としていくつかの相互に結合された手段が示されている。これらの手段は、バス等の信号線かまたは任意の無線接続を使用して相互に結合され、信号をやりとりすることができる。ただし、各装置に含まれる構成要素は説明した手段に限定されず、また明示した構成は修正や変更が可能である。各装置には、さらに、装置のオペレータに情報を表示するためのディスプレイ手段、オペレータの入力を取得するための入力手段、各手段の動作を制御するためのコントロ―ラ、通信のための通信手段およびインタフェース、必要なストレージまたは処理手段などを備えることができる。これらの手段は当該技術では既知のものであり、当業者は上記の装置に追加することに容易に思い至るであろうから、詳細な説明は省略している。また、説明した手段は図面では別個のブロックとして示されているが、それらを任意に組み合わせて一つの構成要素としたり、一つの手段を複数の構成要素に分割したりすることも可能である。
さらに、上記の具体例では、データ所有者端末、サーチャー端末、サーバは各々独立した装置として説明および図示されているが、これらは遠隔地に設置して通信ネットワークで接続することもできる。これらの端末およびサーバは、互いに組み合わせて、拡張機能を有する1つの装置にすることが可能である。一例としては、データ所有者端末とサーチャー端末を組み合わせて、あるときはデータ所有者端末として機能し、またあるときはサーチャー端末として検索を実行することのできる新たな装置を作ることが考えられる。また、サーバをデータ所有者端末またはサーチャー端末のいずれかと組み合わせて、1つのアプリケーション内で2つの役割を担わせたり、トランザクションに応じてデータ所有者端末、サーチャー端末、サーバのいずれかとして動作する1つの装置を作ったりすることもできる。
本発明の各要素は、ハードウェア、ソフトウェア、ファームウェア、またはその組み合わせで実装され、システム、サブシステム、そのコンポーネントもしくはサブコンポーネント内で利用される。ソフトウェアで実装された場合、本発明の各要素はプログラムもしくはコードセグメントとして必要なタスクを実行するために使用される。プログラムまたはコードセグメントは、機械読取り可能な媒体に格納することも、あるいは、伝送媒体もしくは通信リンクを介して搬送波内に具現化されたデータ信号により伝送することもできる。「機械読取り可能な媒体」には、情報を格納または伝送できるあらゆる媒体が含まれる。機械読取り可能媒体の例としては、電子回路、半導体記憶装置、ROM、フラッシュメモリ、消去可能ROM(EROM)、フロッピーディスク、CD−ROM、光ディスク、ハードディスク、光ファイバー媒体、無線周波数(RF)リンク等が挙げられる。コードセグメントは、インターネット、イントラネット等のコンピュータネットワークを介してダウンロードすることもできる。
本発明は、その精神または本質的な特徴から逸脱することなく、他の様々な形式で具現化することができる。したがって、本発明の実施例はあらゆる点において限定的ではなく例示的なものであり、本発明の範囲は前述の説明よりむしろ付記した特許請求の範囲に示されており、各請求項と等価な意味と範囲に含まれるあらゆる変更がそれに包含される。
101:主索引付け手段
102:副索引付け手段
103:主索引項目識別子生成モジュール
104:主索引付け情報暗号文生成モジュール
105:副索引項目識別子生成モジュール
106:副索引付け情報暗号文生成モジュール
301:主検索要求手段
302:主索引付け情報復号手段
303:副検索要求手段
304:副索引付け情報復号手段
305:ファイル取得手段
401:主検索手段
402:副検索手段

Claims (31)

  1. 各主索引項目がキーワードに関連付けられ、かつ、主索引項目識別子と、前記キーワードに関連する各ファイルの主索引付け情報の暗号文とを少なくとも含む主索引を生成する主索引付け手段と、
    各副索引項目が副索引項目識別子と副索引付け情報の暗号文とを少なくとも含む、1レベル以上の副索引を生成する副索引付け手段とを備え、
    各主索引付け情報は、副索引項目識別子と、第1のレベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含み、各副索引付け情報は、暗号文の復号情報か、または副索引項目識別子と次レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含むことを特徴とする暗号文索引付け装置。
  2. 各ファイルの主索引付け情報が、前記ファイルのパス、前記ファイルの暗号文名、前記ファイルの平文名、復号を検証するためのフラグの少なくとも1つを含むことを特徴とする請求項1に記載の暗号文索引付け装置。
  3. 少なくとも1レベルの副索引中の副索引付け情報が、関連するファイルのパス、関連するファイルの暗号文名、復号を検証するためのフラグの少なくとも1つを含むことを特徴とする請求項1に記載の暗号文索引付け装置。
  4. 前記主索引付け手段は、前記主索引項目識別子を生成する主索引項目識別子生成モジュールと、前記主索引付け情報を決定し前記主索引付け情報の暗号文を生成する主索引付け情報暗号文生成モジュールを含み、
    前記副索引付け手段は、前記副索引項目識別子を生成する副索引項目識別子生成モジュールと、前記副索引付け情報を決定し前記副索引付け情報の暗号文を生成する副索引付け情報暗号文生成モジュールを含むことを特徴とする請求項1に記載の暗号文索引付け装置。
  5. 第1のレベルの副索引の副索引項目識別子は、ファイルの一意の識別子であることを特徴とする請求項1に記載の暗号文索引付け装置。
  6. 前記副索引項目識別子が、ファイルのシリアル番号、ファイル内の一部分の内容を含む情報のハッシュ値、ファイルの暗号文名を含む情報のハッシュ値、またはマッピングテーブルの値の何れかであることを特徴とする請求項1に記載の暗号文索引付け装置。
  7. 前記副索引手段は、ファイルが更新されると、関係する副索引項目の副索引付け情報の暗号文を置き換えるため副索引付け情報の更新された暗号文を生成することを特徴とする請求項1に記載の暗号文索引付け装置。
  8. 主索引付け情報の暗号文と主索引項目識別子は、異なるキーで生成されることを特徴とする請求項1に記載の暗号文索引付け装置。
  9. 異なる主索引項目における主索引付け情報の暗号文のための復号キーは、互いに異なるキーであることを特徴とする請求項1に記載の暗号文索引付け装置。
  10. 異なる副索引項目の副索引付け情報の暗号文のために復号キーは、互いに異なるキーであることを特徴とする請求項1に記載の暗号文索引付け装置。
  11. 各主索引項目がキーワードに関連付けられ、かつ、主索引項目識別子と、前記キーワードに関連する各ファイルの主索引付け情報の暗号文とを少なくとも含む主索引を生成し、
    各副索引項目が副索引項目識別子と副索引付け情報の暗号文とを少なくとも含む1レベル以上の副索引を生成し、
    前記各主索引付け情報は、前記副索引項目識別子と、第1レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含み、
    前記各副索引付け情報は、暗号文の復号情報か、または前記副索引項目識別子と次レベルの対応する副索引項目の副索引付け情報の復号情報とを少なくとも含むことを特徴とする暗号文索引付け方法。
  12. 各ファイルの主索引付け情報が、前記ファイルのパス、前記ファイルの暗号文名、前記ファイルの平文ファイル名、復号を検証するためのフラグの少なくとも1つを含むことを特徴とする請求項11に記載の暗号文索引付け方法。
  13. 少なくとも1レベルの副索引中の副索引付け情報が、関連するファイルのパス、関連するファイルの暗号文名、復号を検証するためのフラグの少なくとも1つを含むことを特徴とする請求項11に記載の暗号文索引付け方法。
  14. 前記副索引の生成ステップが、第1のレベルの副索引の対応副索引項目識別子としてファイルの一意の識別子を決定するステップを含むことを特徴とする請求項11に記載の暗号文索引付け方法。
  15. 前記副索引項目識別子が、ファイルのシリアル番号、ファイル内の一部分の内容を含む情報のハッシュ値、ファイルの暗号文名を含む情報のハッシュ値、またはマッピングテーブルの値の何れかであることを特徴とする請求項11に記載の暗号文索引付け方法。
  16. ファイルが更新されると、関係する副索引項目の副索引付け情報の暗号文を置き換えるため副索引付け情報の更新された暗号文を生成するステップを有することを特徴とする請求項11に記載の暗号文索引付け方法。
  17. 主索引付け情報の暗号文と主索引項目識別子は、異なるキーで生成されることを特徴とする請求項11に記載の暗号文索引付け方法。
  18. 異なる主索引項目の主索引付け情報の暗号文は異なるキーで生成されることを特徴とする請求項11に記載の暗号文索引付け方法。
  19. 異なる副索引項目の副索引付け情報の暗号文は、異なるキーで生成されることを特徴とする請求項11に記載の暗号文索引付け方法。
  20. 主索引項目識別子を含む主検索要求を生成する主検索要求手段と、
    主索引付け情報を抽出するために、前記主検索要求への応答として受信された主索引付け情報の暗号文を復号する主索引付け情報復号手段と、
    前記主索引付け情報に含まれる副索引項目識別子に基づいて副検索要求を生成する副検索要求手段と、
    前記主索引付け情報に含まれる前記副索引付け情報の復号情報を使用して、副検索要求への応答として受信された副索引付け情報の暗号文を復号する副索引付け情報復号手段と、
    ファイル取得情報と、前記主索引付け情報および副索引付け情報のいずれか一方か両方に含まれる復号キーとに基づいてファイルの暗号文を取得して復号するファイル取得手段と
    を備えることを特徴とする暗号文検索装置。
  21. 前記副検索要求手段は、前記副索引付け情報に含まれる次レベルの副索引項目識別子に基づいて次レベルの副検索要求を生成し、
    前記副索引付け情報復号手段は、前記副索引付け情報に含まれる次レベルの副索引付け情報の復号情報で、次レベルの副検索要求に応じて受信した次レベルの副索引付け情報の暗号文を復号することを特徴とする請求項20に記載の暗号文検索装置。
  22. 前記主索引付け情報復号手段は、前記主索引付け情報に含まれるフラグに従って復号を検証することを特徴とする請求項20に記載の暗号文検索装置。
  23. 前記副索引付け情報復号手段は、前記副索引付け情報に含まれるフラグに従って復号を検証することを特徴とする請求項20に記載の暗号文検索装置。
  24. 主索引項目識別子を含む主検索要求を生成し、
    主索引付け情報の暗号文を受信し、
    前記主索引付け情報を抽出するために前記主索引付け情報の暗号文を復号し、
    前記主索引付け情報に含まれる副索引項目識別子に基づいて副検索要求を生成し、
    副索引付け情報の暗号文を受信し、
    前記主索引付け情報に含まれる前記副索引付け情報の復号情報を使用して前記副索引付け情報の暗号文を復号し、
    ファイル取得情報と、前記主索引付け情報および副索引付け情報のいずれか一方か両方に含まれる復号キーとに基づいてファイルの暗号文を取得し復号することを特徴とする暗号文検索方法。
  25. 前記副索引付け情報に含まれる次レベルの副索引項目識別子に基づいて次レベルの副検索要求を生成するステップと、
    前記副索引付け情報に含まれる次レベルの副索引付け情報の復号情報で、次レベルの副索引付け情報の暗号文を復号するステップを有することを特徴とする請求項24に記載の暗号文検索方法。
  26. 前記主索引付け情報に含まれるフラグに従って復号を検証するステップを有することを特徴とする請求項24に記載の暗号文検索方法。
  27. 前記副索引付け情報に含まれるフラグに従って復号を検証するステップを有することを特徴とする請求項24に記載の暗号文検索方法。
  28. 主索引項目識別子に基づき、一致する主索引項目を検出するために主索引の検索を実行し、前記主索引項目内の主索引付け情報の暗号文を送信する主検索手段と、
    副索引項目識別子に基づき、一致する副索引項目を検出するために副索引の検索を実行し、前記副索引項目内の副索引付け情報の暗号文を送信する副検索手段と
    を備えることを特徴とする暗号文検索装置。
  29. 前記副索引項目識別子と前記副索引付け情報の暗号文を受信し、受信した副索引付け情報の暗号文を使用して受信した前記副索引項目識別子と同じ副索引項目識別子を有する副索引項目の副索引付け情報を更新する更新手段をさらに備えることを特徴とする請求項28に記載の暗号文検索装置。
  30. 主索引項目識別子に基づき、一致する主索引項目を検出するために主索引の検索を実行し、
    前記主索引項目内の主索引情報の暗号文を送信し、
    副索引項目識別子に基づき、一致する副索引項目を検出するために副索引の検索を実行し、
    前記副索引項目内の副索引付け情報の暗号文を送信することを特徴とする暗号文検索方法。
  31. 副索引項目識別子と副索引付け情報の暗号文を受信するステップと、
    受信した副索引項目識別子を有する副索引項目を検索するステップと、
    受信した前記副索引付け情報の暗号文を有する副索引項目を更新するステップを含むことを特徴とする請求項30に記載の暗号文検索方法。
JP2009281205A 2008-12-30 2009-12-11 暗号文の索引付けおよび検索方法と装置 Expired - Fee Related JP5084817B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN200810188850A CN101770462A (zh) 2008-12-30 2008-12-30 用于密文索引和检索的装置和方法
CN200810188850.3 2008-12-30

Publications (2)

Publication Number Publication Date
JP2010211786A true JP2010211786A (ja) 2010-09-24
JP5084817B2 JP5084817B2 (ja) 2012-11-28

Family

ID=42286137

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009281205A Expired - Fee Related JP5084817B2 (ja) 2008-12-30 2009-12-11 暗号文の索引付けおよび検索方法と装置

Country Status (3)

Country Link
US (1) US20100169321A1 (ja)
JP (1) JP5084817B2 (ja)
CN (1) CN101770462A (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012083863A (ja) * 2010-10-07 2012-04-26 Mitsubishi Electric Corp 情報検索装置および情報検索方法
JP2012146063A (ja) * 2011-01-11 2012-08-02 Nippon Telegr & Teleph Corp <Ntt> 検索可能暗号システム、ストレージ装置、それを検索する装置、検索可能暗号方法、及びプログラム
US9984239B2 (en) 2015-04-27 2018-05-29 Kabushiki Kaisha Toshiba Concealing apparatus, decoding apparatus, concealing method, and decoding method

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB201111554D0 (en) 2011-07-06 2011-08-24 Business Partners Ltd Search index
US9690845B2 (en) * 2011-07-29 2017-06-27 Nec Corporation System for generating index resistant against divulging of information, index generation device, and method therefor
US9449178B2 (en) * 2012-07-24 2016-09-20 ID Insight System, method and computer product for fast and secure data searching
CN102882687B (zh) * 2012-10-19 2015-05-20 杭州尚思科技有限公司 一种基于可搜索密文的智能家居安全访问方法及其系统
KR102131306B1 (ko) * 2013-05-09 2020-07-07 삼성전자주식회사 데이터관리장치, 데이터관리방법 및 데이터관리시스템
WO2014203339A1 (ja) * 2013-06-18 2014-12-24 株式会社日立製作所 保持数検証システム
WO2016018298A1 (en) * 2014-07-30 2016-02-04 Hewlett-Packard Development Company, L.P. Key search token for encrypted data
US9785724B2 (en) * 2014-10-30 2017-10-10 Microsoft Technology Licensing, Llc Secondary queue for index process
CN105678189B (zh) * 2016-01-15 2018-10-23 上海海事大学 加密数据文件存储和检索系统及方法
US9715546B1 (en) * 2016-02-18 2017-07-25 Yahoo! Inc. Method and system for searching encrypted data
KR102449816B1 (ko) * 2016-03-25 2022-10-04 삼성전자주식회사 암호화 및 검색 장치 및 그 방법
US11177942B2 (en) * 2016-11-18 2021-11-16 Duncan MacDougall Greatwood Security through data scattering
US10885215B2 (en) * 2016-11-18 2021-01-05 Duncan MacDougall Greatwood Searching using encrypted client and server maintained indices
CN108563762A (zh) * 2018-04-18 2018-09-21 小草数语(北京)科技有限公司 倒排索引方法及装置
CN108566397B (zh) * 2018-04-19 2020-12-01 国网黑龙江省电力有限公司电力科学研究院 面向数据恢复业务的专用远程数据传输系统及传输方法
CN112447291B (zh) * 2020-11-23 2023-03-28 四川大学华西医院 基于区块链的医联体数据之间的共享方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002278970A (ja) * 2001-03-16 2002-09-27 Ricoh Co Ltd 文書管理システム
WO2008030717A1 (en) * 2006-09-06 2008-03-13 Microsoft Corporation Encrypted data search
JP2008523541A (ja) * 2004-12-13 2008-07-03 エルジー エレクトロニクス インコーポレーテッド コンテンツの暗号/解読のためのキーを記録して用いる方法及び装置とその方法によりキーが記録されている記録媒体

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7484092B2 (en) * 2001-03-12 2009-01-27 Arcot Systems, Inc. Techniques for searching encrypted files
JP4599194B2 (ja) * 2005-03-08 2010-12-15 株式会社東芝 復号装置、復号方法、及びプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002278970A (ja) * 2001-03-16 2002-09-27 Ricoh Co Ltd 文書管理システム
JP2008523541A (ja) * 2004-12-13 2008-07-03 エルジー エレクトロニクス インコーポレーテッド コンテンツの暗号/解読のためのキーを記録して用いる方法及び装置とその方法によりキーが記録されている記録媒体
WO2008030717A1 (en) * 2006-09-06 2008-03-13 Microsoft Corporation Encrypted data search

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012083863A (ja) * 2010-10-07 2012-04-26 Mitsubishi Electric Corp 情報検索装置および情報検索方法
JP2012146063A (ja) * 2011-01-11 2012-08-02 Nippon Telegr & Teleph Corp <Ntt> 検索可能暗号システム、ストレージ装置、それを検索する装置、検索可能暗号方法、及びプログラム
US9984239B2 (en) 2015-04-27 2018-05-29 Kabushiki Kaisha Toshiba Concealing apparatus, decoding apparatus, concealing method, and decoding method

Also Published As

Publication number Publication date
CN101770462A (zh) 2010-07-07
US20100169321A1 (en) 2010-07-01
JP5084817B2 (ja) 2012-11-28

Similar Documents

Publication Publication Date Title
JP5084817B2 (ja) 暗号文の索引付けおよび検索方法と装置
JP4958246B2 (ja) 高速検索可能な暗号化のための方法、装置およびシステム
CN110224986B (zh) 一种基于隐藏策略cp-abe的高效可搜索访问控制方法
US11537626B2 (en) Full-text fuzzy search method for similar-form Chinese characters in ciphertext domain
US20210203497A1 (en) Method for re-keying an encrypted data file
Salam et al. Implementation of searchable symmetric encryption for privacy-preserving keyword search on cloud storage
JP5062775B2 (ja) 検索方法、検索装置、索引生成方法、索引生成装置
JP5420085B2 (ja) データ処理装置及びデータ保管装置
KR101190059B1 (ko) 데이터 암호화 방법 및 암호화된 데이터의 결합 키워드 검색방법
EP3662403B1 (en) Private data processing
US10872158B2 (en) Secret search system, secret search method, and computer readable medium
JP2012164031A (ja) データ処理装置及びデータ保管装置及びデータ処理方法及びデータ保管方法及びプログラム
KR20100062013A (ko) 결합 키워드를 이용한 데이터 암호화 방법 및 데이터 검색방법
US9946720B1 (en) Searching data files using a key map
KR101979267B1 (ko) 클라우드 저장 기반 암호화 시스템 및 방법
RuWei et al. Study of privacy-preserving framework for cloud storage
CN107294701B (zh) 具有高效密钥管理的多维密文区间查询装置及查询方法
CN111753312B (zh) 数据处理方法、装置、设备和系统
US7549174B1 (en) Multi-file cryptographic keystore
KR20120002729A (ko) 암호화 문서에 대한 다자간 검색 시스템 및 그 방법
JP6732887B2 (ja) データベースクエリのための方法及びシステム
KR20120108121A (ko) 대칭키 기반의 암호 생성 및 검색 방법과 그 시스템
WO2015107561A1 (ja) 検索システム、検索方法および検索プログラム
JP6381861B2 (ja) 登録先決定装置、登録装置、秘匿検索システム、登録先決定方法及び登録先決定プログラム
Souror et al. Secure query processing for smart grid data using searchable symmetric encryption

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100820

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20111221

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120105

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120402

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120904

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120904

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150914

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees