KR102143525B1 - 교집합 연산을 지원하는 함수 암호를 위한 방법 및 이를 이용한 장치 - Google Patents

Abstract

교집합 연산을 지원하는 함수 암호를 위한 방법 및 이를 이용한 장치가 개시된다. 일 실시예에 따른 방법은, 마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는 단계 및 상기 복수의 사용자 중 제1 사용자에 대한 제1 사용자 비밀 키 및 상기 복수의 사용자 중 제2 사용자에 대한 제2 사용자 비밀 키에 기초하여, 상기 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합과 상기 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하는 단계를 포함한다.

Description

교집합 연산을 지원하는 함수 암호를 위한 방법 및 이를 이용한 장치{METHOD FOR FUNCTION ENCRYPTION SUPPORTING SET INTERSECTION OPERATION AND APPARATUS USING THE SAME}

본 발명의 실시예들은 함수 암호(functional encryption) 기술과 관련된다.

함수 암호(Functional Encryption, FE)는 암호화된 상태에서 연산을 수행하는 암호 기술로, 평문에 대한 암호문과 함수에 대한 함수 키를 이용하여 복호화하면 함수 연산의 결과를 평문 형태로 출력한다. 임의의 함수에 대해 동작하는 함수 암호 기술은 구현이 매우 비효율적이기 때문에, 내적 연산 등 특정 함수에 대해서 효율적으로 연산 가능한 함수 암호 기술들이 제안되어 왔다.

한편, 교집합 연산을 지원하는 종래 함수 암호 기술(Functional Encryption for Set Intersection, FE-SI)은 아래와 같은 문제점들이 존재한다.

1. 시스템을 셋업(setup)하는 과정에서 연산을 수행하는 사용자가 고정된다. 즉, 사용자가 n명인 경우, 시스템 셋업(setup)에서 오직 고정된 n명의 사용자에 대한 비밀 키와 시스템 파라미터가 발급되며, 새로운 사용자가 추가되는 경우에는 전체 시스템을 다시 셋업해야 한다.

2. 시스템 셋업에 참여한 n명의 사용자 전체가 연산에 참여해야만 하며, 그 중 일부 사용자들의 데이터 집합에 대한 교집합 연산은 수행할 수 없다.

3. 교집합 연산을 수행하기 위한 비밀 정보가 존재하지 않으며, 따라서 누구나 암호문만을 이용하여 교집합을 연산할 수 있다.

대한민국 등록특허 제10-1947871호 (2019. 02. 13. 공고)

본 발명의 실시예들은 교집합 연산을 지원하는 함수 암호를 위한 방법 및 이를 이용한 장치를 제공하기 위한 것이다.

일 실시예에 따른 방법은, 마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는 단계; 및 상기 복수의 사용자 중 제1 사용자에 대한 제1 사용자 비밀 키 및 상기 복수의 사용자 중 제2 사용자에 대한 제2 사용자 비밀 키에 기초하여, 상기 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합과 상기 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하는 단계를 포함한다.

상기 사용자 비밀키를 생성하는 단계는, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 상기 복수의 사용자의 총 수, EK_i는 상기 사용자 인덱스가 i인 사용자 대한 사용자 비밀키, z는 상기 마스터 키, PRF()는 의사 랜덤 함수(pseudo-random function))을 이용하여 상기 복수의 사용자 각각에 대한 사용자 비밀 키를 생성할 수 있다.

상기 함수 키를 생성하는 단계는, 아래의 수학식 2

[수학식 2]

(이때, SK_i,j는 상기 함수 키,

는 위수가 소수 p인 순환군

의 생성원)를 이용하여 상기 함수 키를 생성할 수 있다.

일 실시예에 따른 방법은, 키 생성 장치로부터 사용자 비밀 키를 획득하는 단계; 데이터 집합에 대한 라벨(label) 및 상기 사용자 비밀 키에 기초하여, 상기 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계; 및 상기 라벨, 상기 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 포함하는 암호문을 생성하는 단계를 포함한다.

상기 사용자 비밀 키는, 제1 비밀 키 요소 및 제2 비밀 키 요소를 포함하고, 상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하는 단계; 상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 대칭 키를 생성하는 단계; 및 상기 각 원소에 대한 대칭 키를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는 단계를 포함할 수 있다.

상기 제1 암호문 요소를 생성하는 단계는, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 암호화에 참여할 복수의 사용자의 총 수,

는 상기 데이터 집합에 포함된 k_i번째 원소

에 대한 제1 암호문 요소, T는 상기 라벨, α_i는 상기 제1 비밀키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군)을 이용하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고, 상기 대칭 키를 생성하는 단계는, 아래의 수학식 2

[수학식 2]

(이때,

는 상기 k_i번째 원소

에 대한 대칭 키, e는

를 만족하는 겹선형 함수(bilinear map),

및

는 위수가 소수 p인 순환군,

는

의 생성원, β_i는 상기 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))를 이용하여 상기 각 원소에 대한 대칭 키를 생성하고, 상기 제2 암호문 요소를 생성하는 단계는, 아래의 수학식 3

[수학식 3]

(이때,

는 상기 k_i번째 원소

에 대한 제2 암호문 요소, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화)을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성할 수 있다.

상기 암호문은 아래의 수학식 4

[수학식 4]

(이때, ℓ_i는 상기 데이터 집합에 포함된 원소의 개수)를 만족할 수 있다.

일 실시예에 따른 방법은, 제1 사용자에 대한 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합에 대한 제1 암호문 및 제2 사용자에 대한 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 제2 암호문을 획득하는 단계; 상기 제1 사용자 비밀 키 및 상기 제2 사용자 비밀 키에 기초하여 생성된 함수 키를 획득하는 단계; 및 상기 제1 암호문, 상기 제2 암호문 및 상기 함수 키를 이용하여 상기 제1 데이터 집합과 상기 제2 데이터 집합에 대한 교집합을 생성하는 단계를 포함한다.

상기 제1 암호문은, 상기 제1 데이터 집합에 대한 라벨, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고, 상기 제2 암호문은, 상기 제2 데이터 집합에 대한 라벨, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함할 수 있다.

상기 교집합을 생성하는 단계는, 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한지 여부를 판단하는 단계; 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한 경우, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 함수 키에 기초하여 복수의 대칭 키를 생성하는 단계; 상기 복수의 대칭 키 각각을 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하는 단계; 및 상기 복호화된 제2 암호문 요소 각각과 상기 제1 데이터 집합에 대한 라벨에 기초하여 상기 교집합을 생성하는 단계를 포함할 수 있다.

상기 제1 암호문은, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 상기 제1 사용자에 대한 사용자 인덱스, T는 상기 제1 데이터 집합에 대한 라벨, CT_i,T는 상기 제1 암호문,

는 상기 제1 데이터 집합에 포함된 k_i번째 원소

에 대한 제1 암호문 요소, α_i는 상기 제1 사용자 비밀 키에 포함된 제1 비밀 키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군,

는 상기 k_i번째 원소

에 대한 제2 암호문 요소,

는 상기 k_i번째 원소

에 대한 대칭 키, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화, ℓ_i는 상기 제1 데이터 집합에 포함된 원소의 개수)을 만족하고, 상기 제2 암호문은 아래의 수학식 2

[수학식 2]

(이때, j는 j∈[n] 및 j≠i를 만족하는 상기 제2 사용자에 대한 사용자 인덱스, T'는 상기 제2 데이터 집합에 대한 라벨, CT_{j,T '}는 상기 제2 암호문,

는 상기 제2 데이터 집합에 포함된 k_j번째 원소

에 대한 제1 암호문 요소, α_j는 상기 제2 사용자 비밀 키에 포함된 제1 비밀 키 요소,

는 상기 k_j번째 원소

에 대한 제2 암호문 요소,

는 상기 k_j번째 원소

에 대한 대칭 키, ℓ_j는 상기 제2 데이터 집합에 포함된 원소의 개수)를 만족하고, 상기 함수 키는, 아래의 수학식 3

[수학식 3]

(이때, SK_i,j는 상기 함수 키,

는 위수가 소수 p인 순환군

의 생성원, β_i는 상기 제1 사용자 비밀 키에 포함된 제2 비밀 키 요소)을 만족할 수 있다.

상기

및

는, 각각 아래의 수학식 4 및 수학식 5

[수학식 4]

[수학식 5]

(이때, e는

를 만족하는 겹선형 함수(bilinear map),

는 위수가 소수 p인 순환군,

는

의 생성원, β_j는 상기 제2 사용자 비밀 키에 포함된 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))를 만족하고, 상기 복수의 대칭 키를 생성하는 단계는, 아래의 수학식 6

[수학식 6]

(이때,

는 상기 k_i 및 상기 k_j의 조합 (k_i, k_j)에 대응되는 대칭 키)을 이용하여 상기 복수의 대칭 키를 생성할 수 있다.

상기 제2 암호문 요소를 복호화하는 단계는, 아래의 수학식 7

[수학식 7]

(이때, Decrypt()는 상기 대칭 키 암호 알고리즘을 이용한 복호화)을 이용하여 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하고, 상기 교집합을 생성하는 단계는,

를 만족하는 경우, 상기

를 상기 교집합에 포함시킬 수 있다.

일 실시예에 따른 장치는, 하나 이상의 프로세서; 메모리; 및 하나 이상의 프로그램을 포함하는 장치로서, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며, 상기 프로그램은, 마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는 단계; 및 상기 복수의 사용자 중 제1 사용자에 대한 제1 사용자 비밀 키 및 상기 복수의 사용자 중 제2 사용자에 대한 제2 사용자 비밀 키에 기초하여, 상기 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합과 상기 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하는 단계를 실행하기 위한 명령어들을 포함한다.

상기 사용자 비밀키를 생성하는 단계는, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 상기 복수의 사용자의 총 수, EK_i는 상기 사용자 인덱스가 i인 사용자 대한 사용자 비밀키, z는 상기 마스터 키, PRF()는 의사 랜덤 함수(pseudo-random function))을 이용하여 상기 복수의 사용자 각각에 대한 사용자 비밀 키를 생성할 수 있다.

상기 함수 키를 생성하는 단계는, 아래의 수학식 2

[수학식 2]

(이때, SK_i,j는 상기 함수 키,

는 위수가 소수 p인 순환군

의 생성원)를 이용하여 상기 함수 키를 생성할 수 있다.

일 실시예에 따른 장치는, 하나 이상의 프로세서; 메모리; 및 하나 이상의 프로그램을 포함하는 장치로서, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며, 상기 프로그램은, 키 생성 장치로부터 사용자 비밀 키를 획득하는 단계; 데이터 집합에 대한 라벨(label) 및 상기 사용자 비밀 키에 기초하여, 상기 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계; 및 상기 라벨, 상기 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 포함하는 암호문을 생성하는 단계를 실행하기 위한 명령어들을 포함한다.

상기 사용자 비밀 키는, 제1 비밀 키 요소 및 제2 비밀 키 요소를 포함하고, 상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하는 단계; 상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 대칭 키를 생성하는 단계; 및 상기 각 원소에 대한 대칭 키를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는 단계를 포함할 수 있다.

상기 제1 암호문 요소를 생성하는 단계는, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 암호화에 참여할 복수의 사용자의 총 수,

는 상기 데이터 집합에 포함된 k_i번째 원소

에 대한 제1 암호문 요소, T는 상기 라벨, α_i는 상기 제1 비밀키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군)을 이용하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고, 상기 대칭 키를 생성하는 단계는, 아래의 수학식 2

[수학식 2]

(이때,

는 상기 k_i번째 원소

에 대한 대칭 키, e는

를 만족하는 겹선형 함수(bilinear map),

및

는 위수가 소수 p인 순환군,

는

의 생성원, β_i는 상기 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))를 이용하여 상기 각 원소에 대한 대칭 키를 생성하고, 상기 제2 암호문 요소를 생성하는 단계는, 아래의 수학식 3

[수학식 3]

(이때,

는 상기 k_i번째 원소

에 대한 제2 암호문 요소, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화)을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성할 수 있다.

상기 암호문은 아래의 수학식 4

[수학식 4]

(이때, ℓ_i는 상기 데이터 집합에 포함된 원소의 개수)를 만족할 수 있다.

일 실시예에 따른 장치는, 하나 이상의 프로세서; 메모리; 및 하나 이상의 프로그램을 포함하는 장치로서, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며, 상기 프로그램은, 제1 사용자에 대한 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합에 대한 제1 암호문 및 제2 사용자에 대한 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 제2 암호문을 획득하는 단계; 상기 제1 사용자 비밀 키 및 상기 제2 사용자 비밀 키에 기초하여 생성된 함수 키를 획득하는 단계; 및 상기 제1 암호문, 상기 제2 암호문 및 상기 함수 키를 이용하여 상기 제1 데이터 집합과 상기 제2 데이터 집합에 대한 교집합을 생성하는 단계를 실행하기 위한 명령어들을 포함한다.

상기 제1 암호문은, 상기 제1 데이터 집합에 대한 라벨, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고, 상기 제2 암호문은, 상기 제2 데이터 집합에 대한 라벨, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함할 수 있다.

상기 교집합을 생성하는 단계는, 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한지 여부를 판단하는 단계; 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한 경우, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 함수 키에 기초하여 복수의 대칭 키를 생성하는 단계; 상기 복수의 대칭 키 각각을 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하는 단계; 및 상기 복호화된 제2 암호문 요소 각각과 상기 제1 데이터 집합에 대한 라벨에 기초하여 상기 교집합을 생성하는 단계를 포함할 수 있다.

상기 제1 암호문은, 아래의 수학식 1

[수학식 1]

(이때, i는 i∈[n]을 만족하는 상기 제1 사용자에 대한 사용자 인덱스, T는 상기 제1 데이터 집합에 대한 라벨, CT_i,T는 상기 제1 암호문,

는 상기 제1 데이터 집합에 포함된 k_i번째 원소

에 대한 제1 암호문 요소, α_i는 상기 제1 사용자 비밀 키에 포함된 제1 비밀 키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군,

는 상기 k_i번째 원소

에 대한 제2 암호문 요소,

는 상기 k_i번째 원소

에 대한 대칭 키, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화, ℓ_i는 상기 제1 데이터 집합에 포함된 원소의 개수)을 만족하고, 상기 제2 암호문은 아래의 수학식 2

[수학식 2]

(이때, j는 j∈[n] 및 j≠i를 만족하는 상기 제2 사용자에 대한 사용자 인덱스, T'는 상기 제2 데이터 집합에 대한 라벨, CT_{j,T '}는 상기 제2 암호문,

는 상기 제2 데이터 집합에 포함된 k_j번째 원소

에 대한 제1 암호문 요소, α_j는 상기 제2 사용자 비밀 키에 포함된 제1 비밀 키 요소,

는 상기 k_j번째 원소

에 대한 제2 암호문 요소,

는 상기 k_j번째 원소

에 대한 대칭 키, ℓ_j는 상기 제2 데이터 집합에 포함된 원소의 개수)를 만족하고, 상기 함수 키는, 아래의 수학식 3

[수학식 3]

(이때, SK_i,j는 상기 함수 키,

는 위수가 소수 p인 순환군

의 생성원, β_i는 상기 제1 사용자 비밀 키에 포함된 제2 비밀 키 요소)을 만족할 수 있다.

상기

및 상기

는, 각각 아래의 수학식 4 및 수학식 5

[수학식 4]

[수학식 5]

(이때, e는

를 만족하는 겹선형 함수(bilinear map),

는 위수가 소수 p인 순환군,

는

의 생성원, β_j는 상기 제2 사용자 비밀 키에 포함된 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))를 만족하고, 상기 복수의 대칭 키를 생성하는 단계는, 아래의 수학식 6

[수학식 6]

(이때,

는 상기 k_i 및 상기 k_j의 조합 (k_i, k_j)에 대응되는 대칭 키)을 이용하여 상기 복수의 대칭 키를 생성할 수 있다.

상기 제2 암호문 요소를 복호화하는 단계는, 아래의 수학식 7

[수학식 7]

(이때, Decrypt()는 상기 대칭 키 암호 알고리즘을 이용한 복호화)을 이용하여 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하고, 상기 교집합을 생성하는 단계는,

를 만족하는 경우, 상기

를 상기 교집합에 포함시킬 수 있다.

본 발명의 실시예들에 따르면, 교집합 연산을 지원하는 종래 함수 암호 기술의 문제점들을 해결할 수 있도록 아래 성질들을 만족하는 함수 암호 기술을 제공한다.

1. 시스템을 셋업하는 과정에서 시스템 내의 모든 사용자에 대한 사용자 비밀 키와 시스템 파라미터가 발급되며, 새로운 사용자가 추가되는 경우에도 전체 시스템을 다시 셋업 할 필요 없이 새로 추가된 사용자에게만 사용자 비밀 키를 추가 발급할 수 있게 된다.

2. 시스템 내 n명의 전체 사용자 중 임의의 2명의 암호문들에 대한 교집합 연산 수행이 가능하다.

3. 교집합 연산을 위한 함수 키를 발급받은 사용자만이 암호문으로부터 교집합 연산의 결과를 생성할 수 있다.

4. 일부 사용자들의 사용자 비밀 키가 노출되는 경우에도, 사용자 비밀 키가 노출되지 않은 다른 사용자들의 암호문에 대해서는 어떠한 정보도 얻을 수 없다.

5. 서로 다른 함수 키들을 이용하여 새로운 함수 키를 생성할 수 없으므로, 공모 공격에 대한 안전성을 제공한다.

도 1은 일 실시예에 따른 암호 시스템의 구성도
도 2는 일 실시예에 따른 교집합 생성 절차를 나타낸 절차도
도 3은 일 실시예에 따른 암호화 과정을 나타낸 순서도
도 4는 일 실시예에 따른 교집합 생성 과정을 나타낸 순서도
도 5는 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.

도 1은 일 실시예에 따른 암호 시스템의 구성도이다.

도 1을 참조하면, 본 발명의 일 실시예에 따른 암호 시스템(100)은 키 생성 장치(110), 제1 암호화 장치(120), 제2 암호화 장치(130) 및 복호화 장치(140)를 포함한다.

암호 시스템(100)은 암호화된 두 데이터 집합을 암호화된 상태로 연산하여 해당 두 데이터 집합에 대한 교집합을 생성하는 함수 암호(Functional encryption)를 지원하기 위한 시스템이다.

키 생성 장치(110)는 암호 시스템(100)에 대한 셋업(setup)을 수행하고, 암호 시스템(100) 내에서 사용할 마스터 키, 사용자 비밀 키, 함수 키 및 공개 파라미터를 생성하기 위한 장치이다.

일 실시예에서, 키 생성 장치(110)는 예를 들어, 신뢰 기관(Trusted Third Party)와 같이 신뢰할 수 있는 개체(entity)에 의해 운영될 수 있으나, 키 생성 장치(110)의 운영 주체는 반드시 특정한 개체로 한정되는 것은 아니다.

구체적으로, 키 생성 장치(110)는 마스터 키 및 공개 파라미터를 생성하여 마스터 키는 안전하게 저장하고, 공개 파라미터는 암호 시스템(100) 내에 공개할 수 있다.

또한, 키 생성 장치(110)는 암호 시스템(100) 내에서 암호화에 참여할 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하고, 생성된 각 사용자에 대한 사용자 비밀 키를 암호화를 위해 각 사용자에 의해 이용되는 암호화 장치(120, 130)로 제공할 수 있다.

또한, 키 생성 장치(110)는 복호화 장치(140)의 요청에 따라 각각 상이한 사용자 비밀 키를 이용하여 암호화된 두 데이터 집합에 대한 교집합 생성을 위해 이용될 함수 키를 생성하여 복호화 장치(140)로 제공할 수 있다.

제1 암호화 장치(120) 및 제2 암호화 장치(130)는 각각 키 생성 장치(110)로부터 사용자 비밀 키를 발급받고, 사용자 비밀 키를 이용하여 데이터 집합을 암호화하기 위해 이용되는 장치이다.

구체적으로, 제1 암호화 장치(120)는 제1 사용자에 의해 이용될 수 있으며, 키 생성 장치(110)로부터 제공받은 제1 사용자에 대한 사용자 비밀 키를 이용하여 제1 데이터 집합에 대한 암호문을 생성할 수 있다. 또한, 제2 암호화 장치(130)는 제2 사용자에 의해 이용될 수 있으며, 키 생성 장치(110)로부터 제공받은 제2 사용자에 대한 사용자 비밀 키를 이용하여 제2 데이터 집합에 대한 암호문을 생성할 수 있다.

한편, 도 1에 도시된 예에서는 설명의 편의를 위해 암호 시스템(100)에 포함된 암호화 장치(120, 130)가 2개인 것으로 예시하고 있으나, 암호화 장치(120, 130)의 개수는 실시예에 따라 변경될 수 있다.

복호화 장치(140)는 제1 사용자에 대한 사용자 비밀 키를 이용하여 제1 암호화 장치(120)에 의해 암호화된 제1 데이터 집합에 대한 암호문, 제2 사용자에 대한 사용자 비밀 키를 이용하여 제2 암호화 장치(130)에 의해 암호화된 제2 데이터 집합에 대한 암호문 및 키 생성 장치(110)로부터 제공받은 함수 키를 이용하여 제1 데이터 집합과 제2 데이터 집합에 대한 교집합을 생성한다.

한편, 도 1에 도시된 암호 시스템(100)에 의해 수행되는 동작을 상세히 설명하면 아래와 같다.

셋업(setup)

키 생성 장치(110)는 보안 상수(Security Parameter) 1^λ 및 암호 시스템(100) 내에서 암호화에 참여할 복수의 사용자의 총수(n, 이때, n은 2 이상인 정수)에 기초하여, 마스터 키(master key) 및 공개 파라미터를 생성한다.

구체적으로, 키 생성 장치(110)는 각각 위수(order)가 소수(prime number) p인 순환군(cyclic group)

,

및

를 생성한 후,

를 만족하는 겹선형 함수(bilinear map)

및

의 생성원(generator)

를 생성할 수 있다.

또한, 키 생성 장치(110)는 z∈{0,1}^λ를 만족하는 랜덤 스트링(random string) z, H₁:{0,1}^*→G를 만족하는 제1 해시 함수(hash function) H₁ 및 H₂:G_T→K (이때, K는 대칭 키 암호 알고리즘의 키 공간(key space))를 만족하는 제2 해시 함수 H₂를 선택할 수 있다.

이때, 대칭 키 암호 알고리즘은 예를 들어, AES(Advanced Encryption Standard) 알고리즘일 수 있으나, AES 알고리즘 외에도 암호화를 위한 암호화 키와 복호화를 위한 복호화 키가 동일하며, 선택 평문 공격(CPA, Chosen Plaintext Attack)에 대한 안전성을 제공하는 공지된 다양한 종류의 대칭 키 암호 알고리즘이 이용될 수 있다.

한편, 키 생성 장치(110)는 선택된 랜덤 스트링 z를 마스터 키로서 안전하게 저장하고, 공개 파라미터

를 암호 시스템(100) 내에 공개할 수 있다.

사용자 비밀 키 생성

키 생성 장치(110)는 암호화에 참여할 복수의 사용자 각각에 대한 사용자 비밀 키를 생성한다.

일 실시예에 따르면, 키 생성 장치(110)는 암호화에 참여할 복수의 사용자 각각에 대한 사용자 인덱스(index) 및 마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성할 수 있다.

구체적으로, 키 생성 장치(110)는 아래의 수학식 1을 이용하여 복수의 사용자 중 사용자 인덱스가 i(이때, i∈[n])인 사용자에 대한 사용자 비밀 키 EK_i를 생성할 수 있다.

[수학식 1]

수학식 1에서, α_i는 제1 비밀 키 요소, β_i는 제2 비밀 키 요소, PRF()는 의사 랜덤 함수(pseudo-random function), "∥"는 두 값 사이의 연결(concatenation)을 나타낸다.

한편, 키 생성 장치(110)는 생성한 사용자 비밀 키 EK_i 각각을 대응되는 사용자에 의해 이용되는 암호화 장치(120, 130)로 제공할 수 있다.

예를 들어, 키 생성 장치(110)는 제1 사용자에 대한 사용자 비밀 키를 제1 사용자에 의해 이용되는 제1 암호화 장치(120)로 제공하고, 제2 사용자에 대한 사용자 비밀 키를 제2 사용자에 의해 이용되는 제2 암호화 장치(130)로 제공할 수 있다.

암호화

제1 암호화 장치(120) 및 제2 암호화 장치(130)는 각각 하나 이상의 데이터를 포함하는 데이터 집합에 대한 라벨(label) 및 키 생성 장치(110)로부터 제공받은 사용자 비밀 키에 기초하여 데이터 집합에 대한 암호문을 생성한다.

이때, 데이터 집합에 대한 라벨은 암호 시스템(100) 내에서 미리 설정되거나 암호화에 참여할 복수의 사용자 사이에 사전 합의된 방식 내지는 규칙에 따라 암호화 대상인 데이터 집합에 부여되는 정보로서, 예를 들어, 데이터 집합에 대한 분류 정보, 데이터 집합과 관련된 시점 등과 관련된 정보일 수 있으나 반드시 특정한 정보로 한정되는 것은 아니다.

한편, 본 발명의 실시예에서, 교집합은 라벨이 동일한 두 데이터 집합에 대해서만 생성될 수 있다.

구체적으로, 키 생성 장치(110)로부터 제1 사용자에 대한 사용자 비밀 키 EK_i를 제공받은 제1 암호화 장치(120)는 라벨이 T인 데이터 집합

(이때, |X_i|=ℓ_i, ℓ_i는 2 이상인 정수)에 포함된 각 원소

(이때,

)에 대한 제1 암호문 요소

및 제2 암호문 요소

를 생성할 수 있다.

구체적으로, 제1 암호화 장치(120)는 우선, 암호화할 데이터 집합 X_i에 대한 라벨 T 및 사용자 비밀 키 EK_i에 포함된 제1 비밀 키 요소 α_i에 기초하여 데이터 집합 X_i에 포함된 각 원소

에 대한 제1 암호문 요소

를 생성할 수 있다.

이때, 제1 암호문 요소

는 예를 들어, 아래의 수학식 2를 이용하여 생성될 수 있다.

[수학식 2]

또한, 제1 암호화 장치(120)는 데이터 집합 X_i에 대한 라벨 T 및 사용자 비밀 키 EK_i에 포함된 제2 비밀 키 요소 β_i에 기초하여 데이터 집합 X_i에 포함된 각 원소

에 대응되는 대칭 키

를 생성할 수 있다.

이때, 대칭 키

는 예를 들어, 아래의 수학식 3을 이용하여 생성될 수 있다.

[수학식 3]

이후, 제1 암호화 장치(120)는

에 대응되는 대칭 키

를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 각 원소

에 대한 제2 암호문 요소

를 생성할 수 있다.

이때, 제2 암호문 요소

는 예를 들어, 아래의 수학식 4를 이용하여 생성될 수 있다.

[수학식 4]

수학식 4에서, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화를 나타낸다. 보다 구체적으로,

는

를 암호화 키로 이용하여

를 암호화함을 의미한다.

이후, 제1 암호화 장치(120)는 데이터 집합 X_i에 대한 라벨 T, 데이터 집합 X_i에 포함된 각 원소

에 대한 제1 암호문 요소

및 제2 암호문 요소

를 포함하는 암호문 CT_i,T를 생성할 수 있다.

구체적으로, 데이터 집합 X_i에 대한 암호문 CT_i,T는 아래의 수학식 5를 만족할 수 있다.

[수학식 5]

한편, 키 생성 장치(110)로부터 제2 사용자에 대한 사용자 비밀 키 EK_j (이때, j∈[n] 및 j≠i)를 제공받은 제2 암호화 장치(130)는 라벨이 T'인 데이터 집합

(이때, |X_j|=ℓ_j, ℓ_j는 2 이상인 정수)에 포함된 각 원소

(이때,

)에 대한 제1 암호문 요소

및 제2 암호문 요소

를 생성할 수 있다.

구체적으로, 제2 암호화 장치(130)는 암호화할 데이터 집합 X_j에 대한 라벨 T' 및 사용자 비밀 키 EK_j에 포함된 제1 비밀 키 요소 α_j에 기초하여 데이터 집합 X_j에 포함된 각 원소

에 대한 제1 암호문 요소

를 생성할 수 있다.

이때, 제1 암호문 요소

는 예를 들어, 아래의 수학식 6을 이용하여 생성될 수 있다.

[수학식 6]

또한, 제2 암호화 장치(130)는 데이터 집합 X_j에 대한 라벨 T' 및 사용자 비밀 키 EK_j에 포함된 제2 비밀 키 요소 β_j에 기초하여 데이터 집합 X_j에 포함된 각 원소

에 대응되는 대칭 키

를 생성할 수 있다.

이때, 대칭 키

는 예를 들어, 아래의 수학식 7를 이용하여 생성될 수 있다.

[수학식 7]

이후, 제2 암호화 장치(130)는 각 원소

에 대응되는 대칭 키

를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 각 원소

에 대한 제2 암호문 요소

를 생성할 수 있다.

이때, 제2 암호문 요소

는 예를 들어, 아래의 수학식 8을 이용하여 생성될 수 있다.

[수학식 8]

이후, 제2 암호화 장치(130)는 데이터 집합 X_j에 대한 라벨 T', 데이터 집합 X_j에 포함된 각 원소

에 대한 제1 암호문 요소

및 제2 암호문 요소

을 포함하는 암호문 CT_j,T'를 생성할 수 있다.

구체적으로, 암호문 CT_j,T'는 아래의 수학식 9를 만족할 수 있다.

[수학식 9]

함수 키 생성

키 생성 장치(110)는 각각 상이한 사용자 비밀 키를 이용하여 암호화된 두 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하고, 생성된 함수 키를 복호화 장치(140)로 제공한다.

일 실시예에 따르면, 함수 키는 두 데이터 집합 각각에 대한 암호화를 위해 이용된 사용자 비밀 키에 기초하여 생성될 수 있다.

구체적으로, 제1 사용자에 대한 사용자 비밀 키 EK_i를 이용하여 암호화된 데이터 집합 X_i와 사 제2 사용자에 대한 사용자 비밀 키 EK_j를 이용하여 암호화된 데이터 집합 X_j에 대한 교집합을 생성하기 위한 함수 키 Sk_i,j는 아래의 수학식 10을 이용하여 생성될 수 있다.

[수학식 10]

복호화

복호화 장치(140)는 함수 키 SK_i,j, 사용자 비밀 키 EK_i를 이용하여 암호화된 데이터 집합 X_i에 대한 암호문 CT_i,T 및 사용자 비밀 키 EK_j를 이용하여 암호화된 데이터 집합 X_j에 대한 암호문 CT_{j,T '}을 이용하여 데이터 집합 X_i와 데이터 집합 X_j에 대한 교집합 S=(X_i∩X_j)을 생성한다.

구체적으로, 데이터 집합 X_i 및 X_j가 각각

및

이고, 암호문 CT_i,T 및 CT_{j,T '}가 각각

및

인 경우, 복호화 장치(140)는 암호문 CT_i,T에 포함된 라벨 T와 암호문 CT_j,T'에 포함된 라벨 T'가 동일한지 여부를 판단할 수 있다.

이때, T≠T'인 경우, 복호화 장치(140)은 교집합 생성이 불가능함을 나타내는 오류 메시지를 생성할 수 있다.

반면, T=T'인 경우, 복호화 장치(140)는 암호문 CT_i,T에 포함된 제1 암호문 요소

, 암호문 CT_{j,T '}에 포함된 제1 암호문 요소

및 함수 키 SK_i,j를 이용하여 복수의 대칭 키를 생성할 수 있다.

구체적으로, 복호화 장치(140)는 아래 수학식 11을 이용하여 k_i 및 k_j의 조합 (k_i, k_j) 각각에 대한 대칭 키

를 생성할 수 있다.

[수학식 11]

또한, 복호화 장치(140)는 생성된 각 대칭 키

을 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 암호문 CT_i,T에 포함된 제2 암호문 요소

각각을 복호화할 수 있다.

구체적으로, 복호화 장치(140)는 아래의 수학식 12를 이용하여 암호문 CT_i,T에 포함된 제2 암호문 요소

각각을 복호화하고,

인 경우,

를 집합 S에 포함시키고,

[수학식 12]

수학식 12에서, Decrypt()는 대칭 키 암호 알고리즘을 이용한 복호화를 나타낸다. 보다 구체적으로,

는

를 복호화 키로 이용하여

를 복호화함을 의미한다.

한편, 복호화 장치(140)는 모든 k_i 및 k_j의 조합에 대해 상술한 복호화가 수행된 경우, 집합 S를 데이터 집합 X_i와 데이터 집합 X_j에 대한 교집합으로 출력할 수 있다.

도 2는 일 실시예에 따른 교집합 생성 절차를 나타낸 절차도이다.

도 2를 참조하면, 우선 키 생성 장치(110)는 셋업 절차를 수행하여 마스터 키 z와 공개 파라미터

를 생성한다(201).

이때, 키 생성 장치(110)는 마스터 키 z는 안전하게 저장하고, 공개 파라미터 PP를 암호 시스템(100) 내에 공개할 수 있다.

이후, 제1 암호화 장치(120)는 키 생성 장치(110)로 사용자 인덱스가 i인 제1 사용자에 대한 사용자 비밀 키 EK_i를 요청한다(202).

이후, 키 생성 장치(110)는 마스터 키 z 및 제1 사용자에 대한 사용자 인덱스 i에 기초하여 사용자 비밀 키 EK_i를 생성하고(203), 생성된 사용자 비밀 키 EK_i를 제1 암호화 장치(120)로 제공한다(204).

한편, 제2 암호화 장치(130)는 키 생성 장치(110)로 사용자 인덱스가 j인 제2 사용자에 대한 사용자 비밀 키 EK_j를 요청한다(205).

이후, 키 생성 장치(110)는 마스터 키 z 및 제2 사용자에 대한 사용자 인덱스 j에 기초하여 사용자 비밀 키 EK_j를 생성하고(206), 생성된 사용자 비밀 키 EK_j를 제2 암호화 장치(130)로 제공한다(207).

이후, 제1 암호화 장치(120)는 사용자 비밀 키 EK_i를 이용하여 라벨이 T인 데이터 집합 X_i를 암호화하고(208), 데이터 집합 X_i에 대한 암호문 CT_i,T를 복호화 장치(140)로 제공한다(209).

또한, 제2 암호화 장치(130)는 사용자 비밀 키 EK_j를 이용하여 라벨이 T'인 데이터 집합 X_j를 암호화하고(210), 데이터 집합 X_j에 대한 암호문 CT_j,T를 복호화 장치(140)로 제공한다(211).

이후, 복호화 장치(140)는 키 생성 장치(110)로 데이터 집합 X_i와 데이터 집합 X_j에 대한 교집합을 생성하기 위한 함수 키 SK_i,j를 요청한다(212).

이후, 키 생성 장치(110)는 제1 사용자에 대한 사용자 비밀 키 EK_i 및 제2 사용자에 대한 사용자 비밀 키 EK_j에 기초하여 함수 키 SK_i,j를 생성하고(213), 생성된 함수 키 SK_i,j를 복호화 장치(140)로 제공한다(214).

이후, 복호화 장치(140)는 데이터 집합 X_i에 대한 암호문 CT_i,T, 데이터 집합 X_j에 대한 암호문 CT_j,T 및 함수 키 SK_i,j를 이용하여 데이터 집합 X_i와 데이터 집합 X_j에 대한 교집합 S를 생성한다(215).

한편, 도 2에 도시된 절차도에서 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.

도 3은 일 실시예에 따른 암호화 과정을 나타낸 순서도이다.

도 3에 도시된 암호화 과정은 예를 들어, 도 2에 도시된 208 단계에서 제1 암호화 장치(120)에 의해 수행되거나, 210 단계에서 제2 암호화 장치(130)에 의해 수행될 수 있으나, 이하에서는, 설명의 편의를 위해 제1 암호화 장치(120)에서 암호화 과정을 수행하는 것으로 가정하여 설명한다.

도 3을 참조하면, 우선, 제1 암호화 장치(120)는 인덱스 값 k_i를 1로 초기화한다(301).

이후, 제1 암호화 장치(120)는 데이터 집합 X_i에 대한 라벨 T 및 사용자 비밀 키 EK_i에 포함된 제1 비밀 키 요소 α_i에 기초하여, 데이터 집합 X_i에 포함된 원소들 중 인덱스 값이 k_i인 원소

에 대한 제1 암호문 요소

를 생성한다(302).

이후, 제1 암호화 장치(120)는 데이터 집합 X_i에 대한 라벨 T 및 사용자 비밀 키 EK_i에 포함된 제2 비밀 키 요소 β_i에 기초하여,

에 대응되는 대칭 키

를 생성한다(303).

이후, 제1 암호화 장치(120)는 대칭 키

를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여

에 대한 제2 암호문 요소

를 생성한다(304).

이후, 제1 암호화 장치(120)는 인덱스 값 k_i가 데이터 집합 X_i에 포함된 원소들의 개수 ℓ_i와 동일한지 여부를 판단한다(305).

이때, k_j≠ℓ_j인 경우, 제1 암호화 장치(140)는 k_i를 1만큼 증가시킨 후(306), 302 단계로 되돌아 간다.

반면, k_i=ℓ_i인 경우, 제1 암호화 장치(120)는 데이터 집합 X_i에 대한 암호문 CT_i,T를 생성한다(307).

이때, 암호문 CT_i,T는 상술한 수학식 5와 같이 데이터 집합 X_i에 대한 라벨 T, 데이터 집합 X_i에 포함된 각 원소

에 대한 제1 암호문 요소

및 제2 암호문 요소

를 포함할 수 있다.

한편, 도 3에 도시된 순서도에서 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.

도 4는 일 실시예에 따른 교집합 생성 과정을 나타낸 순서도이다.

도 4에 도시된 교집합 생성 과정은 예를 들어, 도 2에 도시된 215 단계에서 복호화 장치(140)에 의해 수행될 수 있다.

도 4를 참조하면, 우선, 복호화 장치(140)는 데이터 집합 X_i에 대한 암호문 CT_i,T에 포함된 라벨 T와 데이터 집합 X_j에 대한 암호문 CT_{j,T '}에 포함된 라벨 T'가 동일한지 여부를 판단한다(401).

이때, T≠T'인 경우, 복호화 장치(140)은 교집합 생성이 불가능한 것으로 판단하고, 교집합 생성 절차를 종료한다. 이 경우, 실시예에 따라, 복호화 장치(140)는 교집합 생성이 불가능함을 나타내는 오류 메시지를 생성할 수 있다.

반면, T=T'인 경우, 복호화 장치(140)는 공집합

를 설정하고(402), 인덱스 값 k_i 및 k_j를 각각 1로 초기화한다(403, 404).

이후, 복호화 장치(140)는 암호문 CT_i,T에 포함된 제1 암호문 요소

및 암호문 CT_{j,T '}에 포함된 제1 암호문 요소

및 함수 키 함수 키 SK_i,j에 기초하여, 인덱스 값 k_i 및 k_j의 조합 (k_i, k_j)에 대응되는 대칭 키

를 생성한다(405).

이후, 복호화 장치(140)는 대칭 키

를 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 암호문 CT_i,T에 포함된 제2 암호문 요소

를 복호화한다(406).

이후, 복호화 장치(140)는 복호화를 통해 생성된 값

중

가 암호문 CT_i,T에 포함된 라벨 T와 동일한지 여부를 판단한다(407).

이때,

인 경우, 복호화 장치(140)는

를 집합 S의 원소로 추가한다(408).

이후, 복호화 장치(140)는 인덱스 값 k_j가 데이터 집합 X_j에 포함된 원소들의 개수 ℓ_j(즉, 암호문 CT_j,T'에 포함된 제1 암호문 요소

또는 제2 암호문 요소

의 개수)와 동일한지 여부를 판단한다(409).

이때, k_j≠ℓ_j인 경우, 복호화 장치(140)는 k_j를 1만큼 증가시킨 후(410), 405 단계로 되돌아 간다.

반면, k_j=ℓ_j인 경우, 복호화 장치(140)는 인덱스 값 k_i가 데이터 집합 X_i에 포함된 원소들의 개수 ℓ_i(즉, 암호문 CT_i,T에 포함된 제1 암호문 요소

또는 제2 암호문 요소

의 개수)와 동일한지 여부를 판단한다(411).

이때, k_i≠ℓ_i인 경우, 복호화 장치(140)는 k_i를 1만큼 증가시킨 후(412), 404 단계로 되돌아 간다.

반면, k_i=ℓ_i인 경우, 복호화 장치(140)는 집합 S를 두 데이터 집합 X_i와 X_j에 대한 교집합(즉, S=(X_i∩X_j))으로 출력한다(413).

한편, 도 4에 도시된 순서도에서 적어도 일부의 단계들은 순서를 바꾸어 수행되거나, 다른 단계와 결합되어 함께 수행되거나, 생략되거나, 세부 단계들로 나뉘어 수행되거나, 또는 도시되지 않은 하나 이상의 단계가 부가되어 수행될 수 있다.

도 5는 예시적인 실시예들에서 사용되기에 적합한 컴퓨팅 장치를 포함하는 컴퓨팅 환경을 예시하여 설명하기 위한 블록도이다. 도시된 실시예에서, 각 컴포넌트들은 이하에 기술된 것 이외에 상이한 기능 및 능력을 가질 수 있고, 이하에 기술되지 것 이외에도 추가적인 컴포넌트를 포함할 수 있다.

도시된 컴퓨팅 환경(10)은 컴퓨팅 장치(12)를 포함한다. 일 실시예에서, 컴퓨팅 장치(12)는 암호 시스템(100)에 포함되는 하나 이상의 컴포넌트일 수 있다.

컴퓨팅 장치(12)는 적어도 하나의 프로세서(14), 컴퓨터 판독 가능 저장 매체(16) 및 통신 버스(18)를 포함한다. 프로세서(14)는 컴퓨팅 장치(12)로 하여금 앞서 언급된 예시적인 실시예에 따라 동작하도록 할 수 있다. 예컨대, 프로세서(14)는 컴퓨터 판독 가능 저장 매체(16)에 저장된 하나 이상의 프로그램들을 실행할 수 있다. 상기 하나 이상의 프로그램들은 하나 이상의 컴퓨터 실행 가능 명령어를 포함할 수 있으며, 상기 컴퓨터 실행 가능 명령어는 프로세서(14)에 의해 실행되는 경우 컴퓨팅 장치(12)로 하여금 예시적인 실시예에 따른 동작들을 수행하도록 구성될 수 있다.

컴퓨터 판독 가능 저장 매체(16)는 컴퓨터 실행 가능 명령어 내지 프로그램 코드, 프로그램 데이터 및/또는 다른 적합한 형태의 정보를 저장하도록 구성된다. 컴퓨터 판독 가능 저장 매체(16)에 저장된 프로그램(20)은 프로세서(14)에 의해 실행 가능한 명령어의 집합을 포함한다. 일 실시예에서, 컴퓨터 판독 가능 저장 매체(16)는 메모리(랜덤 액세스 메모리와 같은 휘발성 메모리, 비휘발성 메모리, 또는 이들의 적절한 조합), 하나 이상의 자기 디스크 저장 디바이스들, 광학 디스크 저장 디바이스들, 플래시 메모리 디바이스들, 그 밖에 컴퓨팅 장치(12)에 의해 액세스되고 원하는 정보를 저장할 수 있는 다른 형태의 저장 매체, 또는 이들의 적합한 조합일 수 있다.

통신 버스(18)는 프로세서(14), 컴퓨터 판독 가능 저장 매체(16)를 포함하여 컴퓨팅 장치(12)의 다른 다양한 컴포넌트들을 상호 연결한다.

컴퓨팅 장치(12)는 또한 하나 이상의 입출력 장치(24)를 위한 인터페이스를 제공하는 하나 이상의 입출력 인터페이스(22) 및 하나 이상의 네트워크 통신 인터페이스(26)를 포함할 수 있다. 입출력 인터페이스(22) 및 네트워크 통신 인터페이스(26)는 통신 버스(18)에 연결된다. 입출력 장치(24)는 입출력 인터페이스(22)를 통해 컴퓨팅 장치(12)의 다른 컴포넌트들에 연결될 수 있다. 예시적인 입출력 장치(24)는 포인팅 장치(마우스 또는 트랙패드 등), 키보드, 터치 입력 장치(터치패드 또는 터치스크린 등), 음성 또는 소리 입력 장치, 다양한 종류의 센서 장치 및/또는 촬영 장치와 같은 입력 장치, 및/또는 디스플레이 장치, 프린터, 스피커 및/또는 네트워크 카드와 같은 출력 장치를 포함할 수 있다. 예시적인 입출력 장치(24)는 컴퓨팅 장치(12)를 구성하는 일 컴포넌트로서 컴퓨팅 장치(12)의 내부에 포함될 수도 있고, 컴퓨팅 장치(12)와는 구별되는 별개의 장치로 컴퓨팅 장치(12)와 연결될 수도 있다.

이상에서 대표적인 실시예를 통하여 본 발명에 대하여 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 전술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.

10: 컴퓨팅 환경
12: 컴퓨팅 장치
14: 프로세서
16: 컴퓨터 판독 가능 저장 매체
18: 통신 버스
20: 프로그램
22: 입출력 인터페이스
24: 입출력 장치
26: 네트워크 통신 인터페이스
100: 암호 시스템
110: 키 생성 장치
120: 제1 암호화 장치
130: 제2 암호화 장치
140: 복호화 장치

Claims (26)

1. 마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는 단계; 및
   상기 복수의 사용자 중 제1 사용자에 대한 제1 사용자 비밀 키 및 상기 복수의 사용자 중 제2 사용자에 대한 제2 사용자 비밀 키에 기초하여, 상기 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합과 상기 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하는 단계를 포함하고,
   상기 사용자 비밀키를 생성하는 단계는, 아래의 수학식 1
   [수학식 1]
   

   

   
   (이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 상기 복수의 사용자의 총 수, EK_i는 상기 사용자 인덱스가 i인 사용자 대한 사용자 비밀키, z는 상기 마스터 키, PRF()는 의사 랜덤 함수(pseudo-random function))
   을 이용하여 상기 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는, 방법.
   
2. 삭제
3. 청구항 1에 있어서,
   상기 함수 키를 생성하는 단계는, 아래의 수학식 2
   [수학식 2]
   

   

   
   (이때, SK_i,j는 상기 함수 키,

   

   는 위수가 소수 p인 순환군

   

   의 생성원)
   를 이용하여 상기 함수 키를 생성하는, 방법.
   
4. 키 생성 장치로부터 사용자 비밀 키를 획득하는 단계;
   데이터 집합에 대한 라벨(label) 및 상기 사용자 비밀 키에 기초하여, 상기 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계; 및
   상기 라벨, 상기 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 포함하는 암호문을 생성하는 단계를 포함하고,
   상기 사용자 비밀 키는, 제1 비밀키 요소 및 제2 비밀키 요소를 포함하고,
   상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고, 상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는, 방법.
   
5. 청구항 4에 있어서,
   상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하는 단계;
   상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 대칭 키를 생성하는 단계; 및
   상기 각 원소에 대한 대칭 키를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는 단계를 포함하는, 방법.
   
6. 청구항 5에 있어서,
   상기 제1 암호문 요소를 생성하는 단계는, 아래의 수학식 1
   [수학식 1]
   

   

   
   (이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 암호화에 참여할 복수의 사용자의 총 수,

   

   는 상기 데이터 집합에 포함된 k_i번째 원소

   

   에 대한 제1 암호문 요소, T는 상기 라벨, α_i는 상기 제1 비밀키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군)
   을 이용하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고,
   상기 대칭 키를 생성하는 단계는, 아래의 수학식 2
   [수학식 2]
   

   

   
   (이때,

   

   는 상기 k_i번째 원소

   

   에 대한 대칭 키, e는

   

   를 만족하는 겹선형 함수(bilinear map),

   

   및

   

   는 위수가 소수 p인 순환군,

   

   는

   

   의 생성원, β_i는 상기 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))
   를 이용하여 상기 각 원소에 대한 대칭 키를 생성하고,
   상기 제2 암호문 요소를 생성하는 단계는, 아래의 수학식 3
   [수학식 3]
   

   

   
   (이때,

   

   는 상기 k_i번째 원소

   

   에 대한 제2 암호문 요소, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화)
   을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는, 방법.
   
7. 청구항 6에 있어서,
   상기 암호문은 아래의 수학식 4
   [수학식 4]
   

   

   
   (이때, ℓ_i는 상기 데이터 집합에 포함된 원소의 개수)
   를 만족하는, 방법.
   
8. 제1 암호화 장치로부터 제1 사용자에 대한 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합에 대한 제1 암호문을 획득하고, 제2 암호화 장치로부터 제2 사용자에 대한 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 제2 암호문을 획득하는 단계;
   키 생성 장치로부터 상기 제1 사용자 비밀 키 및 상기 제2 사용자 비밀 키에 기초하여 생성된 함수 키를 획득하는 단계; 및
   상기 제1 암호문, 상기 제2 암호문 및 상기 함수 키를 이용하여 상기 제1 데이터 집합과 상기 제2 데이터 집합에 대한 교집합을 생성하는 단계를 포함하고,
   상기 제1 암호문은, 상기 제1 데이터 집합에 대한 라벨, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고,
   상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소는, 상기 제1 사용자 비밀키에 포함된 제1 비밀키 요소 및 상기 제1 데이터 집합에 대한 라벨에 기초하여 생성되고,
   상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소는, 상기 제1 사용자 비밀키에 포함된 제2 비밀키 요소 및 상기 제1 데이터 집합에 대한 라벨에 기초하여 생성되고,
   상기 제2 암호문은, 상기 제2 데이터 집합에 대한 라벨, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고,
   상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소는, 상기 제2 사용자 비밀키에 포함된 제1 비밀키 요소 및 상기 제2 데이터 집합에 대한 라벨에 기초하여 생성되고,
   상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소는, 상기 제2 사용자 비밀키에 포함된 제2 비밀키 요소 및 상기 제2 데이터 집합에 대한 라벨에 기초하여 생성되는, 방법.
   
9. 삭제
10. 청구항 8에 있어서,
    상기 교집합을 생성하는 단계는, 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한지 여부를 판단하는 단계;
    상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한 경우, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 함수 키에 기초하여 복수의 대칭 키를 생성하는 단계;
    상기 복수의 대칭 키 각각을 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하는 단계; 및
    상기 복호화된 제2 암호문 요소 각각과 상기 제1 데이터 집합에 대한 라벨에 기초하여 상기 교집합을 생성하는 단계를 포함하는 방법.
    
11. 청구항 10에 있어서,
    상기 제1 암호문은, 아래의 수학식 1
    [수학식 1]
    

    

    
    (이때, i는 i∈[n]을 만족하는 상기 제1 사용자에 대한 사용자 인덱스, T는 상기 제1 데이터 집합에 대한 라벨, CT_i,T는 상기 제1 암호문,

    

    는 상기 제1 데이터 집합에 포함된 k_i번째 원소

    

    에 대한 제1 암호문 요소, α_i는 상기 제1 사용자 비밀 키에 포함된 제1 비밀 키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군,

    

    는 상기 k_i번째 원소

    

    에 대한 제2 암호문 요소,

    

    는 상기 k_i번째 원소

    

    에 대한 대칭 키, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화, ℓ_i는 상기 제1 데이터 집합에 포함된 원소의 개수)을 만족하고,
    상기 제2 암호문은 아래의 수학식 2
    [수학식 2]
    

    

    
    (이때, j는 j∈[n] 및 j≠i를 만족하는 상기 제2 사용자에 대한 사용자 인덱스, T'는 상기 제2 데이터 집합에 대한 라벨, CT_{j,T '}는 상기 제2 암호문,

    

    는 상기 제2 데이터 집합에 포함된 k_j번째 원소

    

    에 대한 제1 암호문 요소, α_j는 상기 제2 사용자 비밀 키에 포함된 제1 비밀 키 요소,

    

    는 상기 k_j번째 원소

    

    에 대한 제2 암호문 요소,

    

    는 상기 k_j번째 원소

    

    에 대한 대칭 키, ℓ_j는 상기 제2 데이터 집합에 포함된 원소의 개수)
    를 만족하고,
    상기 함수 키는, 아래의 수학식 3
    [수학식 3]
    

    

    
    (이때, SK_i,j는 상기 함수 키,

    

    는 위수가 소수 p인 순환군

    

    의 생성원, β_i는 상기 제1 사용자 비밀 키에 포함된 제2 비밀 키 요소)
    을 만족하는, 방법.
    
12. 청구항 11에 있어서,
    상기

    

    및

    

    는, 각각 아래의 수학식 4 및 수학식 5
    [수학식 4]
    

    

    
    [수학식 5]
    

    

    
    (이때, e는

    

    를 만족하는 겹선형 함수(bilinear map),

    

    는 위수가 소수 p인 순환군,

    

    는

    

    의 생성원, β_j는 상기 제2 사용자 비밀 키에 포함된 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))
    를 만족하고,
    상기 복수의 대칭 키를 생성하는 단계는, 아래의 수학식 6
    [수학식 6]
    

    

    
    (이때,

    

    는 상기 k_i 및 상기 k_j의 조합 (k_i, k_j)에 대응되는 대칭 키)
    을 이용하여 상기 복수의 대칭 키를 생성하는, 방법.
    
13. 청구항 12에 있어서,
    상기 제2 암호문 요소를 복호화하는 단계는, 아래의 수학식 7
    [수학식 7]
    

    

    
    (이때, Decrypt()는 상기 대칭 키 암호 알고리즘을 이용한 복호화)
    을 이용하여 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하고,
    상기 교집합을 생성하는 단계는,
    

    

    를 만족하는 경우, 상기

    

    를 상기 교집합에 포함시키는, 방법.
    
14. 하나 이상의 프로세서;
    메모리; 및
    하나 이상의 프로그램을 포함하는 장치로서,
    상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며,
    상기 프로그램은,
    마스터 키에 기초하여 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는 단계; 및
    상기 복수의 사용자 중 제1 사용자에 대한 제1 사용자 비밀 키 및 상기 복수의 사용자 중 제2 사용자에 대한 제2 사용자 비밀 키에 기초하여, 상기 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합과 상기 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 교집합을 생성하기 위한 함수 키를 생성하는 단계를 실행하기 위한 명령어들을 포함하고,
    상기 사용자 비밀키를 생성하는 단계는, 아래의 수학식 1
    [수학식 1]
    

    

    
    (이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 상기 복수의 사용자의 총 수, EK_i는 상기 사용자 인덱스가 i인 사용자 대한 사용자 비밀키, z는 상기 마스터 키, PRF()는 의사 랜덤 함수(pseudo-random function))
    을 이용하여 상기 복수의 사용자 각각에 대한 사용자 비밀 키를 생성하는, 장치.
    
15. 삭제
16. 청구항 14에 있어서,
    상기 함수 키를 생성하는 단계는, 아래의 수학식 2
    [수학식 2]
    

    

    
    (이때, SK_i,j는 상기 함수 키,

    

    는 위수가 소수 p인 순환군

    

    의 생성원)
    를 이용하여 상기 함수 키를 생성하는, 장치.
    
17. 하나 이상의 프로세서;
    메모리; 및
    하나 이상의 프로그램을 포함하는 장치로서,
    상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며,
    상기 프로그램은,
    키 생성 장치로부터 사용자 비밀 키를 획득하는 단계;
    데이터 집합에 대한 라벨(label) 및 상기 사용자 비밀 키에 기초하여, 상기 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계; 및
    상기 라벨, 상기 각 원소에 대한 제1 암호문 요소 및 제2 암호문 요소를 포함하는 암호문을 생성하는 단계를 실행하기 위한 명령어들을 포함하고,
    상기 사용자 비밀 키는, 제1 비밀 키 요소 및 제2 비밀 키 요소를 포함하고,
    상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고, 상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는, 장치.
    
18. 청구항 17에 있어서,
    상기 제1 암호문 요소 및 제2 암호문 요소를 생성하는 단계는, 상기 제1 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 제1 암호문 요소를 생성하는 단계;
    상기 제2 비밀키 요소 및 상기 라벨에 기초하여 상기 각 원소에 대한 대칭 키를 생성하는 단계; 및
    상기 각 원소에 대한 대칭 키를 암호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는 단계를 포함하는, 장치.
    
19. 청구항 18에 있어서,
    상기 제1 암호문 요소를 생성하는 단계는, 아래의 수학식 1
    [수학식 1]
    

    

    
    (이때, i는 i∈[n]을 만족하는 사용자 인덱스, n은 암호화에 참여할 복수의 사용자의 총 수,

    

    는 상기 데이터 집합에 포함된 k_i번째 원소

    

    에 대한 제1 암호문 요소, T는 상기 라벨, α_i는 상기 제1 비밀키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군)
    을 이용하여 상기 각 원소에 대한 제1 암호문 요소를 생성하고,
    상기 대칭 키를 생성하는 단계는, 아래의 수학식 2
    [수학식 2]
    

    

    
    (이때,

    

    는 상기 k_i번째 원소

    

    에 대한 대칭 키, e는

    

    를 만족하는 겹선형 함수(bilinear map),

    

    및

    

    는 위수가 소수 p인 순환군,

    

    는

    

    의 생성원, β_i는 상기 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))
    를 이용하여 상기 각 원소에 대한 대칭 키를 생성하고,
    상기 제2 암호문 요소를 생성하는 단계는, 아래의 수학식 3
    [수학식 3]
    

    

    
    (이때,

    

    는 상기 k_i번째 원소

    

    에 대한 제2 암호문 요소, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화)
    을 이용하여 상기 각 원소에 대한 제2 암호문 요소를 생성하는, 장치.
    
20. 청구항 19에 있어서,
    상기 암호문은 아래의 수학식 4
    [수학식 4]
    

    

    
    (이때, ℓ_i는 상기 데이터 집합에 포함된 원소의 개수)
    를 만족하는, 장치.
    
21. 하나 이상의 프로세서;
    메모리; 및
    하나 이상의 프로그램을 포함하는 장치로서,
    상기 하나 이상의 프로그램은 상기 메모리에 저장되고 상기 하나 이상의 프로세서에 의해 실행되도록 구성되며,
    상기 프로그램은,
    제1 암호화 장치로부터 제1 사용자에 대한 제1 사용자 비밀 키를 이용하여 암호화된 제1 데이터 집합에 대한 제1 암호문을 획득하고, 제2 암호화 장치로부터 제2 사용자에 대한 제2 사용자 비밀 키를 이용하여 암호화된 제2 데이터 집합에 대한 제2 암호문을 획득하는 단계;
    키 생성 장치로부터 상기 제1 사용자 비밀 키 및 상기 제2 사용자 비밀 키에 기초하여 생성된 함수 키를 획득하는 단계; 및
    상기 제1 암호문, 상기 제2 암호문 및 상기 함수 키를 이용하여 상기 제1 데이터 집합과 상기 제2 데이터 집합에 대한 교집합을 생성하는 단계를 실행하기 위한 명령어들을 포함하고,
    상기 제1 암호문은, 상기 제1 데이터 집합에 대한 라벨, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고,
    상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소는, 상기 제1 사용자 비밀키에 포함된 제1 비밀키 요소 및 상기 제1 데이터 집합에 대한 라벨에 기초하여 생성되고,
    상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소는, 상기 제1 사용자 비밀키에 포함된 제2 비밀키 요소 및 상기 제1 데이터 집합에 대한 라벨에 기초하여 생성되고,
    상기 제2 암호문은, 상기 제2 데이터 집합에 대한 라벨, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 포함하고,
    상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소는, 상기 제2 사용자 비밀키에 포함된 제1 비밀키 요소 및 상기 제2 데이터 집합에 대한 라벨에 기초하여 생성되고,
    상기 제2 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소는, 상기 제2 사용자 비밀키에 포함된 제2 비밀키 요소 및 상기 제2 데이터 집합에 대한 라벨에 기초하여 생성되는, 장치.
    
22. 삭제
23. 청구항 21에 있어서,
    상기 교집합을 생성하는 단계는, 상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한지 여부를 판단하는 단계;
    상기 제1 데이터 집합에 대한 라벨과 상기 제2 데이터 집합에 대한 라벨이 동일한 경우, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소, 상기 제2 데이터 집합에 포함된 각 원소에 대한 제1 암호문 요소 및 상기 함수 키에 기초하여 복수의 대칭 키를 생성하는 단계;
    상기 복수의 대칭 키 각각을 복호화 키로 이용한 대칭 키 암호 알고리즘을 이용하여, 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하는 단계; 및
    상기 복호화된 제2 암호문 요소 각각과 상기 제1 데이터 집합에 대한 라벨에 기초하여 상기 교집합을 생성하는 단계를 포함하는 장치.
    
24. 청구항 23에 있어서,
    상기 제1 암호문은, 아래의 수학식 1
    [수학식 1]
    

    

    
    (이때, i는 i∈[n]을 만족하는 상기 제1 사용자에 대한 사용자 인덱스, T는 상기 제1 데이터 집합에 대한 라벨, CT_i,T는 상기 제1 암호문,

    

    는 상기 제1 데이터 집합에 포함된 k_i번째 원소

    

    에 대한 제1 암호문 요소, α_i는 상기 제1 사용자 비밀 키에 포함된 제1 비밀 키 요소, H₁()은 H₁:{0,1}^*→G를 만족하는 제1 해시 함수, G는 위수가 소수 p인 순환군,

    

    는 상기 k_i번째 원소

    

    에 대한 제2 암호문 요소,

    

    는 상기 k_i번째 원소

    

    에 대한 대칭 키, Encrypt()는 대칭 키 암호 알고리즘을 이용한 암호화, ℓ_i는 상기 제1 데이터 집합에 포함된 원소의 개수)을 만족하고,
    상기 제2 암호문은 아래의 수학식 2
    [수학식 2]
    

    

    
    (이때, j는 j∈[n] 및 j≠i를 만족하는 상기 제2 사용자에 대한 사용자 인덱스, T'는 상기 제2 데이터 집합에 대한 라벨, CT_{j,T '}는 상기 제2 암호문,

    

    는 상기 제2 데이터 집합에 포함된 k_j번째 원소

    

    에 대한 제1 암호문 요소, α_j는 상기 제2 사용자 비밀 키에 포함된 제1 비밀 키 요소,

    

    는 상기 k_j번째 원소

    

    에 대한 제2 암호문 요소,

    

    는 상기 k_j번째 원소

    

    에 대한 대칭 키, ℓ_j는 상기 제2 데이터 집합에 포함된 원소의 개수)
    를 만족하고,
    상기 함수 키는, 아래의 수학식 3
    [수학식 3]
    

    

    
    (이때, SK_i,j는 상기 함수 키,

    

    는 위수가 소수 p인 순환군

    

    의 생성원, β_i는 상기 제1 사용자 비밀 키에 포함된 제2 비밀 키 요소)
    을 만족하는, 장치.
    
25. 청구항 24에 있어서,
    상기

    

    및 상기

    

    는, 각각 아래의 수학식 4 및 수학식 5
    [수학식 4]
    

    

    
    [수학식 5]
    

    

    
    (이때, e는

    

    를 만족하는 겹선형 함수(bilinear map),

    

    는 위수가 소수 p인 순환군,

    

    는

    

    의 생성원, β_j는 상기 제2 사용자 비밀 키에 포함된 제2 비밀키 요소, H₂()는 H₂:G_T→K를 만족하는 제2 해시 함수, K는 상기 대칭 키 암호 알고리즘의 키 공간(key space))
    를 만족하고,
    상기 복수의 대칭 키를 생성하는 단계는, 아래의 수학식 6
    [수학식 6]
    

    

    
    (이때,

    

    는 상기 k_i 및 상기 k_j의 조합 (k_i, k_j)에 대응되는 대칭 키)
    을 이용하여 상기 복수의 대칭 키를 생성하는, 장치.
    
26. 청구항 25에 있어서,
    상기 제2 암호문 요소를 복호화하는 단계는, 아래의 수학식 7
    [수학식 7]
    

    

    
    (이때, Decrypt()는 상기 대칭 키 암호 알고리즘을 이용한 복호화)
    을 이용하여 상기 제1 데이터 집합에 포함된 각 원소에 대한 제2 암호문 요소를 복호화하고,
    상기 교집합을 생성하는 단계는,
    

    

    를 만족하는 경우, 상기

    

    를 상기 교집합에 포함시키는, 장치.

Images