JP5293745B2 - データ参照システム、データベース提示分散システム、及びデータ参照方法 - Google Patents

データ参照システム、データベース提示分散システム、及びデータ参照方法 Download PDF

Info

Publication number
JP5293745B2
JP5293745B2 JP2010536749A JP2010536749A JP5293745B2 JP 5293745 B2 JP5293745 B2 JP 5293745B2 JP 2010536749 A JP2010536749 A JP 2010536749A JP 2010536749 A JP2010536749 A JP 2010536749A JP 5293745 B2 JP5293745 B2 JP 5293745B2
Authority
JP
Japan
Prior art keywords
data
database
ciphertext
element data
columns
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010536749A
Other languages
English (en)
Other versions
JPWO2010053036A1 (ja
Inventor
潤 古川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2010536749A priority Critical patent/JP5293745B2/ja
Publication of JPWO2010053036A1 publication Critical patent/JPWO2010053036A1/ja
Application granted granted Critical
Publication of JP5293745B2 publication Critical patent/JP5293745B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/3013Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the discrete logarithm problem, e.g. ElGamal or Diffie-Hellman systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Description

本発明は、データ参照システムに関し、更に詳しくは、データベースの各データが個人に属するなどデータに特に秘密にしたいラベルが付されているデータベースを参照するデータ参照システムに関する。本発明は、更に、データベース提示分散システム、及びデータ参照方法に関する。
データベースには、データベース内の各データが個人に属するため、特に秘密にしたいラベルがデータに付されているデータベースがある。例えば非特許文献1には、電子健康情報の仮名化の技術が記載されている。また、例えば非特許文献2、及び非特許文献3には、匿名化のための暗号技術でシャッフルと呼ばれる技術が記載されている。
非特許文献1に記載の技術について、図10を参照して説明する。仮名化を行う匿名化システム100の権限者は、鍵101を保持し、匿名化システム100には、共通鍵暗号方式の暗号化関数102が準備されている。
臨床システム103から名称104が匿名化システム100に渡されると、匿名化システム100の権限者は、名称104を暗号化関数102に入力する。暗号化関数102は、その仮名化用の鍵として、匿名化システム100の権限者が保持する鍵101を利用する。暗号化関数102の出力が仮名105であり、研究システム106に渡される。
非特許文献2に記載の技術について、図11を参照して詳細に説明する。この技術では、ミックス装置200に複数のElGamal暗号文201が入力される。入力される暗号文の数をQとする。Q個の暗号文は列をなしており、順番が付けられている。
ミックス装置200は、Q個の暗号文のランダムな順番の入れ替えを行い、さらに各暗号文は、再暗号化されて、新たなElGamal暗号文202として出力される。再暗号化とは、ElGamal暗号文を、復号結果が変らないようにしつつも、暗号化で用いる乱数を替えることで、暗号文としては異なるものに変換することを意味する。
入力されたQ個の暗号文からなるElGamal暗号文201の列と、出力したQ個の暗号文からなるElGamal暗号文202の列は、相互に対応関係にある。つまり、前者の列の各要素の順番を入れ替え再暗号化したものが後者の列となる。この対応関係は、ElGamal暗号を復号できる装置、あるいは順番の入れ替えと再暗号化を行ったミックス装置200のみが知る。
ミックス装置200は、入力されたn個の暗号文と、出力したn個の暗号文の間に一対一の対応関係があることを、ゼロ知識証明203を用い、この対応関係を隠して証明する。非特許文献2の技術を用いると、ゼロ知識証明を用いて証明したことにより、(1)入出力の対応関係を隠すことと、(2)正当な入出力の対応関係が存在することを署名すること、が可能となる。
上記で説明したミックス装置200を複数個用意すると、ミックスネットと呼ばれるシステムが構成できることが知られている。このミックスネットについて、図12を参照して詳細に説明する。qを素数とし、Gを離散対数問題が難しいとされる巡回群で、その位数が素数qであるものとする。gをGの生成子とする。ElGamal暗号文を検証可能なミックスネット205を構成するミックス装置はH個あり、1,...,Hの各iに関して、i番目のミックス装置は、y[i]=gx[i]なる暗号方式の分散秘密鍵x[i]∈Z/qZを所持しているとする。ここで、y[i]は公開されており、yは、以下の式で表される。
Figure 0005293745
ここで、公開鍵(g,y)により、m∈GのElGamal暗号文を生成するとは、ランダムにr∈Z/qZを選び、(a,b)=(gr、myr)を生成することである。
ElGamal暗号文Q個の列204が、1番目のミックス装置に与えられると、i=1からHまで順番に、i番目の装置は、それぞれ、i−1番目のミックス装置にもらった暗号文の列の順番をランダムに入れ替え、それぞれを独立に再暗号化してi+1番目のミックス装置に渡す。
さらに、i番目のミックス装置は、i+1番目に渡した暗号文の列がi−1番目のミックス装置から受け取った暗号文の列の順番を入れ替えて、それぞれを再暗号化しただけであることのゼロ知識証明を行う。
ここで、各ElGamal暗号文は、公開鍵(g、y)により暗号化されたものである。再暗号化とは、例えばElGamal暗号文(a,b)が与えられたら、ランダムなs∈Z/qZを用いて、(ags,bys)と変換することである。なお、1番目のミックス装置は、ミックスネットに入力されたElGamal暗号文Q個の列を用いる。H番目のミックス装置は、自身が生成した暗号文列を、ミックスネットの次の処理へと渡す。
最後にミックスネットは、H番目のミックス装置より渡された暗号文の列を、H個ミックス装置が協力して平文206に復号する。このときの復号化は、各暗号文をH個のミックス装置が協力して復号する。例えばElGamal暗号文(a,b)が与えられると、各i番目のミックス装置はa'[i]=ax[i]を生成する。(a,b)の復号結果は、b/Πa'[i]である。各ミックス装置は、a'[i]=ax[i]、y[i]=gx[i]を満すx[i]が存在することをゼロ知識証明する。
上記のように各ミックス装置が行った二つのゼロ知識証明、すなわち、順番の入れ替えと再暗号化のゼロ知識証明と、復号のゼロ知識証明と、を集めると、ミックスネットが全体として、入力された暗号文の順番を入れ替え、これらを復号したものを出力したことのゼロ知識証明207となる。
非特許文献3に記載の技術について、図13を参照して詳細に説明する。この技術は、「ハイブリッド暗号文の検証可能ミックスネット」を実現するものである。非特許文献3の技術でも、非特許文献2の技術と同様に、複数のミックス装置が存在する。ここで、ミックス装置の個数をHとし、それぞれのミックス装置に1からHまでの番号を順番に割り振り、番号iが振られたミックス装置を、i番目のミックス装置と呼ぶ。
非特許文献3におけるハイブリッド暗号文301は、非特許文献2の技術で使われる暗号文とは異なり、ElGamal暗号文ではなく、任意の長さの平文を暗号化できるようになっている。また、1番目のミックス装置に渡される暗号文は、Q回に亘って部分復号されると完全に復号され、平文となる様に暗号文が生成されている。
すなわち、qを素数、Gを離散対数問題が難しいとされる巡回群で、その位数が素数qであるものとする。gをGの生成子とする。ミックスネットを構成するミックス装置はH個で、1,...,Hの各iに関して、i番目のミックス装置は、y[i]=gx[i]なる暗号方式の分散秘密鍵x[i]∈Z/qZを所持している。y[i]は、公開されている。
ここで、暗号文の作り方について説明する。文字列mのハイブリッド暗号文は、次のようにして生成する。ElGamal暗号文のシステムパラメタ─gとElGamal暗号方式の公開鍵(y[i]∈G)i=1,...,Hが与えられたとする。senc、sdecを共通鍵暗号方式の暗号化関数と復号関数とし、Kを鍵の空間とする。χ∈Kに関するm暗号化を、senc(χ,m)、その復号をsdec(χ,senc(χ,n))=mとする。ψをKからGへの一対一への関数で、逆も計算可能であるとする。
まず、各i=1,...,Hに関してランダムに選んだχ[i]∈K、r[i]∈Z/qZを準備する。次に、m[H]=mとしてi=Hから1まで下降順にm[i-1]=(gr[i],ψ(χ[i])y[i]r[i],senc(χ[i],m[i]))を生成し、m[0]を暗号文とする。
続いて、ハイブリッド暗号のミックスネット処理について詳細に説明する。ハイブリッド暗号文の検証可能ミックスネット300は、次のように、H個のミックス装置が協力して処理するシステムである。ハイブリッド暗号文Q個の列301が、1番目のミックス装置に与えられると、i=1からHまで順番に、i番目のミックス装置は、それぞれ、i−1番目のミックス装置にもらった暗号文の列の順番をランダムに入れ替え、それぞれを部分的に復号してQ個の暗号文の組を作り、i+1番目のミックス装置に渡す。
さらに、i番目のミックス装置は、i+1番目に渡した暗号文の列はi−1番目のミックス装置から受け取った暗号文の列の順番を入れ替えて、それぞれを部分復号しただけであることのゼロ知識証明を行う。ここで、1番目のミックス装置は、非特許文献2に記載の技術と同様に、直接Q個の暗号文が入力される。H番目のミックス装置は、復号された平文の列302を出力する。ゼロ知識証明全体がハイブリッドミックスネットの正当性証明303となる。
ここで、ハイブリッド暗号文は、公開鍵(g,(y[i])i=1,...,H)により暗号化されたものである。部分復号とは、例えば、i番目のミックス装置がm[i-1]=(a[i],b[i],c[i])=(gr[i],ψ(χ[i])y[i]r[i],senc(χ[i],m[i]))が与えられたら、ψ[i]=b[i]/a[i]x[i]、m[i]=sdec(ψ[i],c[i])と、を生成することである。
Alain Lemay、Jean-Marc Lina1、Pseudonymization of Radiology Data for Research Purposes、Journal of Digital Imaging、Volume 20、Number 3、(2007)、p.284-295 Jun Furukawa、Efficient and Verifiable Shuffling and Shuffle-Decryption、IEICE Transactions 88-A(1)、(2005)、p.172-188 Jun Furukawa、Kazue Sako、An Efficient Publicly Verifiable Mix-Net for Long Inputs、IEICE Transactions 90-A(1)、(2007)、p.113-127
非特許文献1に記載の技術は、個人の電子健康情報に付随する名前を共通鍵暗号の暗号化関数等で変換することによって仮名化する。しかし、鍵が一ヵ所で一時に使われるため、暗号化関数に入力する鍵が分かると、仮名から本名が分かってしまう。鍵が一ヵ所で使われると、その使われる場所をその時に操作する権限のあるものは、この鍵を簡単に入手することができる。鍵が一人の権限者に完全に知られたものとなると、この権限者が鍵を故意、あるいは事故で漏洩することを完全に防ぐことは難しい。
一方、鍵が一ヵ所で一時に使われないとはどのような場合であるかというと、鍵が分散されて使われる場合である。すなわち、これは、鍵データが分散して所持されており、これら分散された鍵データを集積しないと鍵を復元できず、鍵を用いた処理も各分散された鍵データを個別に用いて計算し、その結果を別途集めると、単一の鍵を用いた処理と同じ結果が得られる場合である。この様な分散した処理は、共通鍵暗号の暗号化関数では難しい問題がある。
また、鍵が漏洩しないとしても、本名とそれを変換してできた仮名を同時に知るものが存在すると、仮名に関して本名との対応を知ることができる。すなわち、仮名化処理において、単一の本名が入力され、単一の仮名が出力されるという処理があると、これは対応関係が漏洩する可能性が高い処理であるといえる。
非特許文献1におけるもう一つの問題点は、各個人電子健康情報が仮名化された集団電子健康情報の正当性が確認できないことである。実際の個人の電子健康情報と対応しない集団電子健康情報を偽造したら、特定の医薬品の有効性などを偽わることができる。これを防ぐためには、個人の電子健康情報と対応した集団電子健康情報が生成されていることが確認できなければならない。しかしながら、非特許文献1における技術では、個人の電子健康情報を隠したままこれを行うことは難しい。
非特許文献1における技術は、電子健康情報に関するものであるが、同種の技術は、健康情報以外のデータベースにも適用され得る。例えば、犯罪情報のデータベース、成績のデータベース、クレジットカードのブラックリストのデータベース等、各データが個人と結び付けられたものは多い。さらには、各データが結び付けられ、対象が個人でない場合として、企業名に関するデータ、製品に関するデータ等幅広い応用対象が考えられる。しかし、これらデータベースは、何れにしても上記問題を抱えることになる。
非特許文献2における技術は、入力された暗号文の列と出力された暗号文の列の各要素の対応関係を分からなくする技術である。この技術を用いたミックスネットや非特許文献3の技術によれば、全てのミックス装置の管理者が共謀しない限り、入力と最終的な出力の対応関係は誰にも分からない。
しかしながら、この方法を電子健康情報のデータベース等に応用した場合、入力される個人の電子健康情報の正当性を保証することは難しい。例えば、ある電子健康情報を入力とするとき、これが誰の電子健康情報かを明らかにする必要がある。
なぜなら、偽りの人物の電子健康情報を集めても、正しい集団電子健康情報が生成されないからである。この電子健康情報自体は、暗号化することにより、集団電子健康情報の一部となるまで、情報を隠すことは可能である。しかし、この情報が正しく作られたことを証明するには医療機関等の保証が必要である。もし、医療機関がこのデータに署名を打つと、個人がどの医療機関で治療を受けたかが分かってしまうといった問題が発生する。
そこで本発明は、上記問題点に鑑みてなされたもので、各データの生成主が、データが正当であることを証明可能であり、データベースがこの正当であることを証明されたデータから生成されていることが証明可能であり、かつ、効率的に参照可能なデータ参照システムを提供することを目的とする。本発明は、更に、このようなデータベースを参照するデータ参照方法、及び、そのデータベースを分散して提示可能なデータベース提示分散システムを提供することを目的とする。
本発明は、要素データを生成する要素データ生成装置と、要素データを複数集めてデータベースを生成するデータベース生成システムと、データベースから参照するデータを出力するデータベース提示システムと、を備え、要素データ生成装置は、複数のデータよりなるベクトルをそれぞれ暗号化して、暗号文からなるベクトルを生成して要素データとして出力し、データベース生成システムは、第1の複数の分散装置を有し、全ての要素データの列を前記データベースとして出力し、データベース提示システムは、第2の複数の分散装置を有し、参照する項目が指定された参照項目に基づいて、データベースより参照するデータの列を複数個生成し、データの列を全ての第2の分散装置により各要素の順番入れ替えを行い、データ列の要素の順番の入れ替えが全てのデータ列に対して同じであるデータ参照システムを提供する。
また、本発明は、複数のデータベース提示装置を備えるデータベース提示分散システムであって、データベース提示装置は、他のデータベース提示装置と通信する通信手段を有し、データベースと、参照項目と、暗号の分散秘密鍵と、順番の入れ替え方と、他のデータベース提示装置の公開鍵とが入力され、参照項目に基づいて、データベースより参照する暗号文の列を複数個生成し、一部の暗号文の列に対して、他のデータベース提示装置と通信することで、全ての暗号文を復号結果が同じ数でべき乗したものとなる暗号文に変換するべき乗化手段を有し、べき乗化手段によりべき乗化処理された暗号文の列、及び他の暗号文の列における参照データを他のデータベース提示装置と通信することで、自身、及び他のデータベース提示装置でミックスネットを構成し、全ての暗号文の列の順番を全て同じ順番で入れ替えて出力するデータベース提示分散システムを提供する。
更に、本発明は、要素データ生成装置により、複数のデータよりなるベクトルをそれぞれ暗号化して、暗号文からなるベクトルを生成して要素データとして出力し、複数の第1の分散装置を有するデータベース生成システムにより、全ての要素データの列をデータベースとして出力し、複数の第2の分散装置を有するデータベース提示システムは、参照する項目が指定された参照項目に基づいて、データベースより参照するデータの列を複数個生成し、データの列を全ての第2の分散装置により各要素の順番入れ替えを行い、データ列の要素の順番の入れ替えが全てのデータ列に対して同じであるデータ参照方法を提供する。
本発明のデータベース参照システムは、データを集めて仮名化を施してデータベースを構成し、このデータベースの一部を参照するシステムであり、この参照過程においては、データに付けられた仮名化された識別子を分散して再度仮名化し、かつこの仮名化されたデータと元のデータの対応を分からなくする。このため、各データの生成主が、データが正当であることを証明可能であり、データベースが、正当であることを証明されたデータから生成されていることが証明可能であり、かつ適切に参照可能となる。また、本発明のデータ参照方法、及び、データベース提示分散システムは、上記データベース参照システムで提供されるデータベースを適切に取り扱うことが出来る。
本発明の上記、及び、他の目的、特徴及び利益は、図面を参照する以下の説明により明らかになる。
本発明の実施形態に係る属性選択開示型署名装置の説明図である。 本発明の実施形態に係る分散仮名化システムの説明図である。 本発明の実施形態に係るデータ参照システムの構成図である。 本発明の実施形態に係る要素データ生成装置の説明図である。 要素データ生成装置のフローチャートである。 本発明の実施形態に係るデータベース生成システムの説明図である。 データベース生成システムのフローチャートである。 本発明の実施形態に係るデータベース提示システムの説明図である。 データベース提示システムのフローチャートである。 非特許文献1に記載のシステムのブロック図である。 非特許文献2に記載のシステムのブロック図である。 非特許文献2に記載のシステムのブロック図である。 非特許文献3に記載のシステムのブロック図である。
本発明の最小構成のデータ参照システムは、要素データを生成する要素データ生成装置と、要素データを複数集めてデータベースを生成するデータベース生成システムと、データベースから参照するデータを出力するデータベース提示システムと、を備えるデータベース参照システムであって、要素データ生成装置は、複数のデータよりなるベクトルをそれぞれ暗号化して、暗号文からなるベクトルを生成して要素データとして出力し、データベース生成システムは、第1の複数の分散装置を有し、全ての要素データの列を前記データベースとして出力し、データベース提示システムは、第2の複数の分散装置を有し、参照する項目が指定された参照項目に基づいて、データベースより参照するデータの列を複数個生成し、データの列を全ての第2の分散装置により各要素の順番入れ替えを行い、データ列の要素の順番の入れ替えが全てのデータ列に対して同じである。
また、本発明の最小構成のデータベース提示分散システムは、複数のデータベース提示装置を備えるデータベース提示分散システムであって、データベース提示装置は、他のデータベース提示装置と通信する通信手段を有し、データベースと、参照項目と、暗号の分散秘密鍵と、順番の入れ替え方と、他のデータベース提示装置の公開鍵とが入力され、参照項目に基づいて、データベースより参照する暗号文の列を複数個生成し、一部の暗号文の列に対して、他のデータベース提示装置と通信することで、全ての暗号文を復号結果が同じ数でべき乗したものとなる暗号文に変換するべき乗化手段を有し、べき乗化手段によりべき乗化処理された暗号文の列、及び他の暗号文の列における参照データを他のデータベース提示装置と通信することで、自身、及び他のデータベース提示装置でミックスネットを構成し、全ての暗号文の列の順番を全て同じ順番で入れ替えて出力する。
更に、本発明の最小構成のデータ参照方法は、要素データ生成装置により、複数のデータよりなるベクトルをそれぞれ暗号化して、暗号文からなるベクトルを生成して要素データとして出力し、複数の第1の分散装置を有するデータベース生成システムにより、全ての要素データの列をデータベースとして出力し、複数の第2の分散装置を有するデータベース提示システムは、参照する項目が指定された参照項目に基づいて、データベースより参照するデータの列を複数個生成し、データの列を全ての第2の分散装置により各要素の順番入れ替えを行い、データ列の要素の順番の入れ替えが全てのデータ列に対して同じである。
上記構成のデータベース参照システムは、データを集めて仮名化を施してデータベースを構成し、このデータベースの一部を参照するシステムであり、この参照過程においては、データに付けられた仮名化された識別子を分散して再度仮名化し、かつこの仮名化されたデータと元のデータの対応を分からなくする。このため、各データの生成主が、データが正当であることを証明可能であり、データベースが、正当であることを証明されたデータから生成されていることが証明可能であり、かつ効率的に参照可能となる。また、本発明のデータ参照方法、及び、データベース提示分散システムは、上記データベース参照システムで提供されるデータベースを適切に取り扱うことが出来る。
以下、図面を参照し、本発明の実施形態について説明する。まず、ハイブリッド暗号の形を少し変え、正しく復号したことのゼロ知識証明をする方法について詳細に説明する。
電子署名を利用するときには一般的に、署名者は、文書にある秘密鍵を用いて署名を生成し、添付する。この秘密鍵に対応する公開鍵には、認証局による公開鍵証明書が発行されている。
公開鍵証明書は、署名者の公開鍵と署名者の属性等に対する認証局の署名がうたれている。文書に対する署名者の署名を検証する検証処理は、(1)署名を公開鍵で検証する、(2)公開鍵証明書の内容を見て、署名者を確認する。(3)公開鍵証明書に打たれている認証局の署名を検証する、処理を含む。
上記署名の検証処理において、署名を検証するときには公開鍵証明書を検証者に見せる必要が有り、公開鍵証明書に記述されている署名者の属性が全て検証者に分かってしまう。署名により文書の正当性を示すときには、署名者の全ての属性を明らかにする必要は無い場合も多く、この様な公開鍵証明書の全面的な開示は、個人情報の漏洩となってしまう場合もある。
そこで、本実施形態における署名方法では、署名者は署名を生成するときに、公開鍵証明書の開示する属性を選んで署名することができ、該署名からは、署名者が署名生成時に開示された属性を持つ公開鍵証明書に対応する秘密鍵で署名したという事実以外は分からない。この様な署名を属性選択開示型署名と呼ぶこととする。
以下では、より具体的に本実施形態における「署名システム」について図1を参照して説明する。まず、属性選択開示型署名方式における、認証局公開鍵401、認証局の秘密鍵、追跡情報、追跡用秘密鍵、追跡用公開鍵402について説明する。
qは素数とする。G1、G2、Gを位数qの群で、G1×G2からG2への双線形写像eが存在する。g、g、gをG1、G2、Gの生成元とする。Gは、離散対数問題が難しいものとする。
Hashを、任意の文字列を体(Z/qZ)へと写像するハッシュ関数とし、自然数Nを公開鍵証明書412の項目数とする。
h[0],h[1],...,h[N],fを無作為に選ばれたG1の元とする。(h[1],...,h[n])の各h[i]は、i番目の属性に関連づけられている。
γを無作為に選ばれた体Z/qZの元とし、Y=g γとする。また、sを無作為に選ばれた体Z/qZ上の点とし、T=gとする。
認証局秘密鍵を、γとする。認証局公開鍵401を、qと、G1、G2、G、e、ハッシュ関数Hashqの記述と、g1、g2、g、N、h[0]、h[1],...,h[N]、f、Yとする。また、追跡用秘密鍵を、sとする。追跡用公開鍵402を、Tとする。
認証局の発行する公開鍵証明書412と、これに対応する署名者秘密鍵403、及び属性値404について説明する。次の関係を満たす、A∈G1、b、a、a[1],...,a[n]、z∈Z/qZを、公開鍵被発行者と協力して生成する。
Figure 0005293745
公開鍵証明書412を(A,a,b)とし、追跡情報をB、属性値404を(a[1],...,a[n])、署名者秘密鍵403を(z)とする。
メッセージ406であるmに対するもので、開示属性集合405であるO⊂[1,...,N]に属する属性値のみを公開した署名411は、属性選択開示型署名装置400によって下記のように生成される。
ランダムにt∈Z/qZを選び、enc(z)=(g、g)を生成する。enc(z)、及び、以下の式を満たす(t、(a[i])i∈[1,...,N]\o、A、z、a、b)の知識の非対話的ゼロ知識証明prf、開示属性集合410である0、開示属性値409である(a[i])i∈0、を署名とする。
Figure 0005293745
但し、非対話的ゼロ知識証明においてハッシュ値を計算するときに、引数にmをいれる。ここでenc(z)を識別子暗号部407と、非対話的ゼロ知識証明prfを証明部408と呼び、署名の検証は、prfの正当性の確認を持って行われる。
次に、名称の暗号文を仮名の暗号文に変換する「暗号文中の識別子の分散仮名化システム」について図2を参照して詳細に説明する。qを素数、Gを離散対数問題が難しいとされる巡回群で、その位数が素数qであるものとし、g、hをGの生成子とする。
暗号文中の識別子の分散仮名化のシステム500は、複数の分散仮名化装置により構成される。ここでは、分散仮名化装置は、H個あり、1,...,Hの各iに関して、i番目の分散仮名化装置は、y[i]=gx[i]なる暗号方式の分散秘密鍵x[i]∈Z/qZを所持している。なお、y[i]は公開されており、yは、以下の式で表される。
Figure 0005293745
senc、sdecを共通鍵暗号方式の暗号化関数と復号関数で、Kを鍵の空間とする。χ∈Kに関するm暗号化を、senc(χ,m)、その復号をsdec(χ,senc(χ,n))=mとする。ψをKからGへの一対一の関数で、逆も計算可能であるとし、識別子の空間をZ/qZとする。
分散仮名化装置は、初期設定を最初に行う。各i=1,...,Hに関して、i番目の分散仮名化装置は、仮名化の分散秘密鍵σ[i],τ[i]∈Z/qZをランダムに生成し、w[i]=gσ[i]τ[i]を生成する。分散仮名化のシステム500は、
Figure 0005293745
として、各分散仮名化装置がw[i]を公開することで、それぞれwを生成し、wを仮名乱数のコミットメント502として公開する。
次に、識別子u∈Z/qZの暗号文503の生成方法について説明する。暗号化のためのある装置(例えば図4に示す識別子暗号化部707など)は、各i=1,...,Hに関してランダムに選んだχ[i]∈K、r[i]∈Z/qZを準備し、ランダムにr∈Z/qZを選ぶ。各i=1,...,Hに関してランダムに、以下の式を満たすようにランダムに選んだu[i]、v[i]∈Z/qZを準備する。
[数6]
Figure 0005293745
i=1からHに関して、c[i]=(gu[i]hv[i],gr[i],ψ(χ[i])y[i]r[i],senc(χ[i],u[i],v[i]))を生成し、c=(guhv)を生成する。(c,c[1],c[2],...,c[H])が識別子uの暗号文である。続いて、暗号文中の識別子の分散仮名化方法を説明する。
各i番目の分散仮名化装置には、仮名化の分散秘密鍵σ[i]、τ[i]と、暗号方式の分散秘密鍵x[i]で構成される鍵501のデータが入力される。分散仮名化システム500には、識別子暗号文503(c,c[1],c[2],...,c[H])が入力される。ここで、c[i]=(c[i1],c[i2],c[i3],c[i4])とする。
全ての分散仮名化装置は、以下の確認を行う。
Figure 0005293745
i番目の分散仮名化装置は、以下を生成する。
Figure 0005293745
i番目の分散仮名化装置は、c[i1]=gu’[i]v’[i]を確認する。全その分散仮名化装置は、互いに通信してマルチパーティ計算を行うことで、各i番目の分散仮名化装置が
Figure 0005293745
なるρ[i]を得るように振る舞う。また、各iはランダムにτ’[i]∈Z/qZを選び、z[i]=(z[i1],z[i2])=(gτ’[i],gρ[i]τ’[i])を生成する。ここで、
Figure 0005293745
とする。それぞれのi番目の分散仮名化装置は自身がρ[i]を求めるために参加したマルチパーティ計算において、自身の担当した計算の正当性をゼロ知識証明することで、zがg1/(u+σ)のElGamal暗号文である事が証明される。なお、本分散仮名化システムにおいては、g1/(u+σ)を乱数σによるuの仮名と呼ぶ。得られた仮名の暗号文504であるz、及び証明文505を出力する。
ところで、医療機関の署名から医療機関が特定される問題は、上記記載の「署名システム」の技術を用いれば解決できる。例えば、ある種の認可を受けた医療機関であるという属性のみを公開して署名を生成すれば良い。しかし、これだけでは生成された集団電子健康情報に医療機関の情報が残らず、医療機関情報を用いた解析ができなくなる問題が残る。その他の問題としては、集団電子健康情報が血縁情報を用いて解析できると有益であるが、これを行う手段が備えられていない。
また、「暗号文中の識別子の分散仮名化システム」の技術を用いれば、仮名化自体が分散化されていない問題は解決される。しかし、単一の本名が入力され、単一の仮名が出力されるという処理があると対応関係が漏洩するという問題は残される。なぜなら、入力が一つで出力が一つであれば両者が対応することは明らかだからである。そこで、以下では、参照過程において、複数のデータに付けられた仮名化されたそれぞれの識別子を同時に分散して再度仮名化し、かつ、この仮名化する前と後のそれぞれにおける集合の要素は仮名と実名との対応を分からないようにする。もちろん実名の集合の各要素は、仮名の集合の要素のいずれかに対応するが、具体的にどの要素に対応するかが分からなくなる。さらに、各仮名化の処理が正当になされたことをゼロ知識証明する。
図3は、本発明の実施形態におけるデータ参照システムの構成図である。データ参照システム600は、要素データ生成装置700と、データベース生成システム800と、データベース提示システム900と、から構成される。
要素データ生成装置700は、個別のデータを生成し、データベース生成システム800は、要素データ生成装置700により生成された個別データを多数集めて、データベースを生成する。データベース提示システム900は、該データベースから必要なデータを集めて、データの集合を提示する。
図4は、本発明の実施形態における要素データ生成装置の構成図である。要素データ生成装置700は、識別子暗号化部707と、ElGamal暗号化部708と、ハイブリッド暗号化部709と、属性選択開示型署名部710と、を有して構成される。これら各部は、1又は複数のコンピュータプログラムによって構成される。
また、要素データ生成装置700には、システム定数701と、識別子702(u)、関連識別子ベクトル703(V=(v[1],...,v[NV]))、短いデータのベクトル704(d[1],...,d[Nd])、長いデータのベクトル705(m[1],...,m[Nm])と、属性選択開示署名の為のデータ706である公開鍵証明書(A,a,b)、属性値a[1],...,a[Na]、開示項目リストO⊂[1,...,Na]、署名者秘密鍵zが入力される。ここで、関連識別子ベクトルの要素は、識別子が選ばれる空間と同じ空間から選ばれる。
システム定数701には、以下のデータが含まれる:
・素数qと群Gの記述(Gは離散対数問題が難しいとされる巡回群で、その位数が素数qであるもの);
・ElGamal暗号方式の定数g(gはGの生成子);
・識別子空間でIDS=Z/qZ;
・分散装置個数H;
・分散ElGamal暗号方式の公開鍵y[1],...,y[H]∈G;
Figure 0005293745
・関連識別子の数N
・関数φ(IDS→G、一対一の関数で、逆も計算可能である);
・共通鍵暗号方式の鍵空間K、平文空間M、暗号文空間C、暗号化関数senc(K×M→C)、復号関数sdec(K×C→M);
・関数ψ(K→G、一対一の関数で、逆も計算可能である);
・データの数Nd、Nm(Ndは短いデータの数で、各短い情報はGの要素。Nmは長いデータの数で、各長いデータは任意の文字列。d[1],...,d[Nd]は短いデータのベクトル、m[1],...,m[Nm]は長いデータのベクトル);
・属性選択開示型署名における認証局の公開鍵(q,G1,G2,G,e,ハッシュ関数Hashqの記述,g1,g2,g,N,h[0],h[1],...,h[N],f,Y)と、追跡用公開鍵T;及び
・暗号文中の識別子の分散仮名化における仮名乱数のコミットメントw。
なお、重複する記号G、q、g等は同一のものを表す。
次に、図5に示すフローチャートを参照して、要素データ生成装置700の処理について、詳細に説明する。
システム定数701と、識別子702と、関連識別子ベクトル703と、短いデータのベクトル704と、長いデータのベクトル705と、属性選択開示署名の為のデータ706とのデータが入力されると(ステップS11)、識別子暗号化部707は、関連識別子ベクトルrv[1],...,rv[N]の各成分の暗号文である識別子暗号文ベクトル711を、上記の実施形態における識別子の暗号文の生成方法を用いて生成する(ステップS12)。このとき、各識別子暗号文ベクトル711を、それぞれev[1],...,ev[N]とする。
次に、ElGamal暗号化部708は、短いデータのベクトルd[1],...,d[N]を、(g,y)をElGamal暗号方式の公開鍵として、それぞれのElGamal暗号文よりなる短い暗号文のベクトル712を生成する(ステップS13)。このとき、各短い暗号文のベクトル712をed[1],...,ed[N]とする。
次に、ハイブリッド暗号化部709は、長いデータのベクトルm[1],...,m[Nm]を、(g,(y[i])i=1,...,H)を公開鍵として、それぞれのハイブリッド暗号文よりなるハイブリッド暗号文のベクトル713を非特許文献3に記載の方法を用いて生成する(ステップS14)。このとき、各ハイブリッド暗号文のベクトル713をem[1],...,em[Nm]とする。
属性選択開示型署名部710は、(u,ev[1],...,ev[N],ed[1],...,ed[N],em[1],...,em[N])に対する属性選択開示型署名714であるsig=(enc(z),prf,0,(a[i])i∈0)を上記の実施形態の「署名システム」における方法を用いて生成する(ステップS15)。ここで、enc(z)は識別子暗号部、prfは証明部であり、公開する属性値を0とする。
上記ステップにて生成された下記データ:(u,ev[1],...,ev[N],ed[1],...,ed[N],em[1],...,em[N],(enc(z),prf,0,(a[i])i∈0))を要素データ715として出力する(ステップS16)。
次に、本発明の実施形態におけるデータベース生成システムについて、図6を参照して詳細に説明する。データベース生成システム800は、H個の分散装置806から構成される分散仮名化システム807と、属性選択開示型署名検証装置802とで構成され、各i番目の分散装置には、それぞれシステム定数と、仮名化の分散秘密鍵σ[i]、τ[i]と暗号方式の分散秘密鍵x[i]からなるデータ801と、属性値の集合0’⊂[1,...,N]と、複数の要素データ715の列803と、が入力される。
次に、図7に示すフローチャートを参照して、データベース生成システム800の処理について、詳細に説明する。
上記の各データが入力されると(ステップS21)、属性選択開示型署名検証装置802は、各要素データに対して属性選択開示型署名を検証し(ステップS22)、さらにO'⊂Oと、開示すべき属性が開示されていることを検証する(ステップS23)。
開示すべき属性が開示されていれば、分散仮名化システム807は、識別子u、及び識別子暗号文ベクトルev[1],...,ev[Nv]を、それぞれ、上記の実施形態における「暗号文中の識別子の分散仮名化システム」の方法を用いて、それぞれの仮名の暗号文を生成する(ステップS24)。このとき、それぞれの仮名の暗号文を、epu,epv[1],...,epv[Nv]とする。ここで、それぞれのi番目の分散装置は、i番目の分散仮名化装置として動作する。
全ての分散装置を通して得られた仮名化要素データ(epu,epv[1],...,epv[Nv],ed[1],...,ed[Nd],em[1],...,em[Nm],(enc(z),prf,O,(a[i])iO))の列をデータベース804として出力する(ステップS25)。呼び出された分散仮名化システムの証明は、データベース生成の正当性の証明805となる。
次に、本発明の実施形態におけるデータベース提示システムについて、図8を参照して詳細に説明する。データベース提供システム900は、H個の分散装置906から構成される。各分散装置は、1または複数のプログラムによって構成される。
各i番目の分散装置には、それぞれシステム定数と暗号方式の分散秘密鍵x[i]とからなるデータ901と、参照データ項目セット902と、データベース804が入力される。参照データ項目セット902は、識別子、関連識別子、短いデータ項目、長いデータ項目、属性選択開示型署名の識別子暗号部の中から参照したい項目を指定するデータである。なお、参照するデータは複数であっても良い。
次に、図9に示すフローチャートを参照して、データベース提供システム900の処理について、詳細に説明する。データベース804、及び参照項目セット902が入力されると(ステップS31)、参照データ項目セット902に含まれる全ての項目に対応するデータを、データベース804の全ての要素データから選択して、取り出したものの列を作成する(ステップS32)。
取り出した各列に関して、識別子、関連識別子の仮名の暗号文からなる列905であるか否かを判断し(ステップS33)、仮名の暗号文でなければステップS37以降の処理を実行する。一方、仮名の暗号文であれば、べき乗化処理システム908にて以下に示すべき乗化処理を行う。
各i番目の分散装置906は、乱数909を用いてμ[i]、ν[i]∈Z/qZを生成して、取り出した列の全ての要素、例えばElGamal暗号文(a,b)に対して(aμ[i],bμ[i])を生成する(ステップS34)。また、べき乗化処理を正直に行ったことのゼロ知識証明を行う(ステップS35)。このとき、全ての分散装置906の結果を合わせると、全て仮名の暗号文(a,b)に関して、元の仮名をμ乗したべき乗された仮名暗号文の列910である(aμ,bμ)を得ることができる。
[数12]
Figure 0005293745
次に、ステップS32で取り出された列がハイブリッド暗号文の列912であるか否かを判断し(ステップS36)、ハイブリッド暗号文の列912であれば、非特許文献3に記載されるようなハイブリッド暗号文の検証可能なミックスネット913により、ミックス処理を行う(ステップS37)。一方、仮名の暗号文の列905や短い暗号文の列911であれば、非特許文献2に記載されるようなElGamal暗号文の検証可能なミックスネット907により、ミックス処理を行う(ステップS38)。なお、識別子に関する仮名の暗号文の列905は、ステップS33からステップS35の処理により、仮名をμ乗したものの暗号文の列に変換されている。ここで、各分散装置906は、ミックス装置として働く。
また、それぞれのミックス装置は、各列に関して、異なった列も全て同じ順番の入れ替え方914を用いて動作したことをゼロ知識証明する(ステップS39)。最後に、全てのミックスネットの処理結果を参照データと証明文916として出力する(ステップS40)。
出力されるデータの列は、ミックスネットを通しているので、どの要素データと対応するか分からないが、全て同じ順番の入れ替えが行われているので、異なる列の要素であっても、同じ要素データに属していたかは判別できる。また、識別子は、同じ仮名化処理と同じ数によるべき乗処理を受けているので、ある識別子が他の要素データの関連識別子に入っていれば、これらが同一であることが分かる。なお、この識別子の同一性の判定は、血縁関係等を調べる時に有効である。
以上説明したように、本発明の実施形態によるデータベースの正当性の保証された仮名化データ参照システムによれば、識別子は、全て暗号化されており、かつ、これを復号するための鍵は分散されて所持されるので、これらの鍵保持者が結託しない限り、識別子の情報は漏洩しない。ここで、要素データには、作成者の署名がついていることによりその正当性も保証される。そして、この署名は、署名者の選択された属性しか開示しないため、正当な署名者であると言うことしか分からず、個別の署名者の識別子を隠すことができる。
さらに、本発明の実施形態によるデータベースの一部の参照方法では、全てのデータの順番がランダムに入れ替えられて出力されるので、出力されたデータと入力されたデータの識別子との対応関係が分からない効果がある。また、識別子自体は仮名化されて出てくるので、識別子との対応は分からないまま、関連識別子を持つデータとの繋がりを調べることが可能である。また、全ての列は、同じ順番の入れ替えがなされて出力されるので、参照データ項目セットに二つ以上の項目が含まれれば、それらの項目の相関関係も容易に調べることができる効果がある。そして、これらの処理は全てゼロ知識証明されているので、偽りのデータを提示することはできない。
以上、説明したように、本発明は以下の態様を採用できる。要素データ生成装置は、暗号文からなるベクトルに対する署名を生成し、暗号文からなるベクトルと、署名と、を要素データとして出力し、署名は、署名者の識別子の暗号文と、署名者に認められた属性の一部の集合を含むことができる。
データベース生成システムは、各要素データに含まれる署名を検証する検証手段を有し、複数の要素データに対して各要素データの暗号文の一部を全ての第1の分散装置によりそれぞれ決定的な関数で変換したデータの暗号文に変換して、全ての要素データの列をデータベースとして出力することができる。
データベース提示システムは、各要素データの暗号文の一部に対して、全ての分散装置により列を構成する全ての要素をそれぞれ変換するべき乗化するべき乗化手段を有し、べき乗化手段によりべき乗化されたデータ列、あるいは他のデータ列における参照データを全ての第2の分散装置により要素の順番入れ替えを行うことができる。各要素データの暗号文の一部は、識別子に関連するデータの列であることができる。
本発明を特別に示し且つ例示的な実施形態を参照して説明したが、本発明は、その実施形態及びその変形に限定されるものではない。当業者に明らかなように、本発明は、添付の請求の範囲に規定される本発明の精神及び範囲を逸脱することなく、種々の変更が可能である。
本出願は、2008年11月5日出願に係る日本特許出願2008−284777号を基礎とし且つその優先権を主張するものであり、引用によってその開示の内容の全てを本出願の明細書中に加入する。

Claims (7)

  1. 要素データを生成する要素データ生成装置と、
    前記要素データを複数集めてデータベースを生成するデータベース生成システムと、
    前記データベースから参照するデータを出力するデータベース提示システムとを備え、
    前記要素データ生成装置は、複数のデータよりなるベクトルをそれぞれ暗号化して、暗号文からなるベクトルを生成して前記要素データとして出力し、
    前記データベース生成システムは、第1の複数の分散装置を有し、全ての要素データの列を前記データベースとして出力し、
    前記データベース提示システムは、第2の複数の分散装置を有し、参照する項目が指定された参照項目に基づいて、前記データベースより参照するデータの列を複数個生成し、前記データの列を全ての前記第2の分散装置により各要素の順番入れ替えを行い、データ列の要素の順番の入れ替えが全てのデータ列に対して同じであるデータ参照システム。
  2. 前記要素データ生成装置は、前記暗号文からなるベクトルに対する署名を生成し、前記暗号文からなるベクトルと、前記署名と、を要素データとして出力し、
    前記署名は、署名者の識別子の暗号文と、署名者に認められた属性の一部の集合とを含む、請求項1記載のデータ参照システム。
  3. 前記データベース生成システムは、各前記要素データに含まれる署名を検証する検証手段を有し、
    複数の前記要素データに対して各要素データの暗号文の一部を全ての前記第1の分散装置によりそれぞれ決定的な関数で変換したデータの暗号文に変換して、全ての要素データの列を前記データベースとして出力する、請求項2記載のデータ参照システム。
  4. 前記データベース提示システムは、前記各要素データの暗号文の一部に対して、全ての前記分散装置により列を構成する全ての要素をそれぞれ変換するべき乗化するべき乗化手段を有し、
    前記べき乗化手段によりべき乗化されたデータ列、あるいは他の前記データ列における参照データを全ての前記第2の分散装置により要素の順番入れ替えを行う、請求項3記載のデータ参照システム。
  5. 前記各要素データの暗号文の一部は、識別子に関連するデータの列である、請求項4記載のデータ参照システム。
  6. 複数のデータベース提示装置を備えるデータベース提示分散システムであって、
    前記データベース提示装置は、他のデータベース提示装置と通信する通信手段を有し、
    データベースと、参照項目と、暗号の分散秘密鍵と、順番の入れ替え方と、前記他のデータベース提示装置の公開鍵とが入力され、
    参照項目に基づいて、前記データベースより参照する暗号文の列を複数個生成し、一部の暗号文の列に対して、前記他のデータベース提示装置と通信することで、全ての暗号文を復号結果が同じ数でべき乗したものとなる暗号文に変換するべき乗化手段を有し、
    べき乗化手段によりべき乗化処理された暗号文の列、及び他の前記暗号文における参照データの列を前記他のデータベース提示装置と通信することで、自身、及び前記他のデータベース提示装置でミックスネットを構成し、全ての暗号文の列の順番を全て同じ順番で入れ替えて出力することを特徴とするデータベース提示分散システム。
  7. 要素データ生成装置により、複数のデータよりなるベクトルをそれぞれ暗号化して、
    暗号文からなるベクトルを生成して要素データとして出力し、
    複数の第1の分散装置を有するデータベース生成システムにより、全ての要素データの列をデータベースとして出力し、
    複数の第2の分散装置を有するデータベース提示システムは、参照する項目が指定された参照項目に基づいて、前記データベースより参照するデータの列を複数個生成し、
    前記データの列を全ての前記第2の分散装置により各要素の順番入れ替えを行い、
    データ列の要素の順番の入れ替えが全てのデータ列に対して同じであることを特徴とするデータ参照方法。
JP2010536749A 2008-11-05 2009-10-29 データ参照システム、データベース提示分散システム、及びデータ参照方法 Active JP5293745B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010536749A JP5293745B2 (ja) 2008-11-05 2009-10-29 データ参照システム、データベース提示分散システム、及びデータ参照方法

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP2008284777 2008-11-05
JP2008284777 2008-11-05
PCT/JP2009/068563 WO2010053036A1 (ja) 2008-11-05 2009-10-29 データ参照システム、データベース提示分散システム、及びデータ参照方法
JP2010536749A JP5293745B2 (ja) 2008-11-05 2009-10-29 データ参照システム、データベース提示分散システム、及びデータ参照方法

Publications (2)

Publication Number Publication Date
JPWO2010053036A1 JPWO2010053036A1 (ja) 2012-04-05
JP5293745B2 true JP5293745B2 (ja) 2013-09-18

Family

ID=42152845

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010536749A Active JP5293745B2 (ja) 2008-11-05 2009-10-29 データ参照システム、データベース提示分散システム、及びデータ参照方法

Country Status (3)

Country Link
US (1) US8468346B2 (ja)
JP (1) JP5293745B2 (ja)
WO (1) WO2010053036A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190118618A (ko) * 2017-03-17 2019-10-18 엔에스 솔루션즈 가부시끼가이샤 정보 처리 장치, 정보 처리 방법 및 기록 매체

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5589746B2 (ja) * 2010-10-14 2014-09-17 富士通株式会社 連携装置、連携元装置、連携先装置、連携プログラム、および連携方法
US8891762B2 (en) * 2010-12-10 2014-11-18 Mitsubishi Electric Research Laboratories, Inc. Method for privacy-preserving order selection of encrypted element
US10554399B2 (en) * 2012-12-30 2020-02-04 Audacious Designs, Llc Method and apparatus for encrypting and decrypting data
US9397830B2 (en) * 2012-12-30 2016-07-19 Raymond Richard Feliciano Method and apparatus for encrypting and decrypting data
US9258112B2 (en) 2013-03-15 2016-02-09 Accenture Global Services Limited Configurable key-based data shuffling and encryption
US9703963B2 (en) * 2014-05-09 2017-07-11 Fujitsu Limited Trusted and privacy-preserving mechanism for electricity usage data disclosure using verifiable noise
CN104158659B (zh) * 2014-07-21 2015-11-11 小米科技有限责任公司 防伪验证方法、装置和系统
EP3292505A4 (en) * 2015-05-07 2018-06-13 Zerodb, Inc. Zero-knowledge databases
US20190318118A1 (en) * 2018-04-16 2019-10-17 International Business Machines Corporation Secure encrypted document retrieval
US10447475B1 (en) * 2018-11-08 2019-10-15 Bar Ilan University System and method for managing backup of cryptographic keys
EP3758279A1 (en) * 2019-06-27 2020-12-30 Koninklijke Philips N.V. Selective disclosure of attributes and data entries of a record
CN114341846A (zh) * 2019-09-06 2022-04-12 皇家飞利浦有限公司 用于选择性公开属性的来源验证
US20230388280A1 (en) * 2022-05-25 2023-11-30 CybXSecurity LLC System, Method, and Computer Program Product for Generating Secure Messages for Messaging
US11874950B1 (en) 2023-04-07 2024-01-16 Lemon Inc. Protecting membership for secure computation and communication
US11886617B1 (en) 2023-04-07 2024-01-30 Lemon Inc. Protecting membership and data in a secure multi-party computation and/or communication
US11868497B1 (en) 2023-04-07 2024-01-09 Lemon Inc. Fast convolution algorithm for composition determination
US11829512B1 (en) 2023-04-07 2023-11-28 Lemon Inc. Protecting membership in a secure multi-party computation and/or communication
US11809588B1 (en) 2023-04-07 2023-11-07 Lemon Inc. Protecting membership in multi-identification secure computation and communication
US11836263B1 (en) 2023-04-07 2023-12-05 Lemon Inc. Secure multi-party computation and communication
US11811920B1 (en) * 2023-04-07 2023-11-07 Lemon Inc. Secure computation and communication

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026345A1 (en) * 2000-03-08 2002-02-28 Ari Juels Targeted delivery of informational content with privacy protection
JP2004318391A (ja) * 2003-04-15 2004-11-11 Mitsubishi Electric Corp 情報提供装置及び情報提供システム及び分散データベースシステム
JP2006172433A (ja) * 2004-11-19 2006-06-29 Matsushita Electric Ind Co Ltd 匿名情報システム、情報登録装置及び情報蓄積装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020026345A1 (en) * 2000-03-08 2002-02-28 Ari Juels Targeted delivery of informational content with privacy protection
JP2004318391A (ja) * 2003-04-15 2004-11-11 Mitsubishi Electric Corp 情報提供装置及び情報提供システム及び分散データベースシステム
JP2006172433A (ja) * 2004-11-19 2006-06-29 Matsushita Electric Ind Co Ltd 匿名情報システム、情報登録装置及び情報蓄積装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6013021636; Toru Nakanishi and Yuji Sugiyama: 'Anonymous Statistical Survey of Attributes' Lecture Notes in Computer Science Vol.2119, 2001, p.460-473 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190118618A (ko) * 2017-03-17 2019-10-18 엔에스 솔루션즈 가부시끼가이샤 정보 처리 장치, 정보 처리 방법 및 기록 매체
KR102275032B1 (ko) * 2017-03-17 2021-07-07 엔에스 솔루션즈 가부시끼가이샤 정보 처리 장치, 정보 처리 방법 및 기록 매체
US11620406B2 (en) 2017-03-17 2023-04-04 Ns Solutions Corporation Information processing device, information processing method, and recording medium

Also Published As

Publication number Publication date
JPWO2010053036A1 (ja) 2012-04-05
US8468346B2 (en) 2013-06-18
US20110202764A1 (en) 2011-08-18
WO2010053036A1 (ja) 2010-05-14

Similar Documents

Publication Publication Date Title
JP5293745B2 (ja) データ参照システム、データベース提示分散システム、及びデータ参照方法
Jiang et al. Public integrity auditing for shared dynamic cloud data with group user revocation
US7634085B1 (en) Identity-based-encryption system with partial attribute matching
JP4818264B2 (ja) リスト署名を生成する方法及びシステム
KR101425552B1 (ko) 제어가능 연결성을 제공하는 그룹서명 시스템 및 방법
CN110545279A (zh) 兼具隐私和监管功能的区块链交易方法、装置及系统
Jiang et al. Transforming semi-honest protocols to ensure accountability
Araújo et al. Remote electronic voting can be efficient, verifiable and coercion-resistant
EP2792098B1 (en) Group encryption methods and devices
US20150043735A1 (en) Re-encrypted data verification program, re-encryption apparatus and re-encryption system
CN107968710A (zh) Sm9数字签名分离交互生成方法及系统
CN111865555B (zh) 一种基于k-Lin假设的同态加密方法
Haenni et al. Pseudo-code algorithms for verifiable re-encryption mix-nets
Lee et al. Security analysis and modification of ID-based encryption with equality test from ACISP 2017
TW202318833A (zh) 臨界簽章方案
CN108989037A (zh) 一种多授权属性基加密方法、系统、设备及计算机介质
JP2004229137A (ja) 連鎖型署名作成方法
JP4771053B2 (ja) 統合シャッフル正当性証明装置、証明統合装置、統合シャッフル正当性検証装置及びミックスネットシステム
Shankar et al. Improved Multisignature Scheme for Authenticity of Digital Document in Digital Forensics Using Edward‐Curve Digital Signature Algorithm
CN116318696B (zh) 一种双方无初始信任情况下代理重加密数字资产授权方法
Gjøsteen et al. Efficient mixing of arbitrary ballots with everlasting privacy: How to verifiably mix the PPATC scheme
WO2020260151A1 (en) Zero-knowledge contingent payments protocol for granting access to encrypted assets
JP3901471B2 (ja) 証明付シャッフル復号システムと証明付シャッフル復号方法、シャッフル復号検証方法
CN110798313A (zh) 基于秘密动态共享的包含秘密的数的协同生成方法及系统
JP5392264B2 (ja) 名称暗号化装置、仮名化装置、名称暗号化方法及び仮名化方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120907

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130514

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130527

R150 Certificate of patent or registration of utility model

Ref document number: 5293745

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150