WO2011062136A1

WO2011062136A1 - 暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

Info

Publication number: WO2011062136A1
Application number: PCT/JP2010/070280
Authority: WO
Inventors: 克幸高島; 岡本　龍明
Original assignee: 三菱電機株式会社; 日本電信電話株式会社
Priority date: 2009-11-20
Filing date: 2010-11-15
Publication date: 2011-05-26
Also published as: ES2602052T3; EP2503533A4; KR101336349B1; KR20120088774A; US8577030B2; JP5769401B2; EP2503533B1; EP2503533A1; US20120284530A1; JP2011128609A; CN103038805A; CN103038805B

Abstract

　権限委譲を可能とした述語暗号を実現することを目的とする。ペアリング演算によって関連付けられた双対ベクトル空間（双対ディストーションベクトル空間）である空間Ｖと空間Ｖ^＊とを用いて暗号処理を行う。暗号化装置は、空間Ｖにおけるベクトルであって、送信情報を埋め込んだベクトルを暗号ベクトルとして生成する。復号装置は、空間Ｖ^＊における所定のベクトルを鍵ベクトルとして、暗号化装置が生成した暗号ベクトルと鍵ベクトルとについて、ペアリング演算を行い前記暗号ベクトルを復号して送信情報に関する情報を抽出する。

Description

暗号処理システム、鍵生成装置、鍵委譲装置、暗号化装置、復号装置、暗号処理方法及び暗号処理プログラム

　この発明は、階層的述語鍵秘匿方式及び階層的述語暗号に関するものである。

　非特許文献１８には、ペアリング演算によって関連付けられた双対空間において階層的述語鍵秘匿方式及び階層的述語暗号を実現することが記載されている。

Ｂｅｔｈｅｎｃｏｕｒｔ，　Ｊ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：Ｃｉｐｈｅｒｔｅｘｔ－ｐｏｌｉｃｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．Ｉｎ：　２００７　ＩＥＥＥ　Ｓｙｍｐｏｓｉｕｍ　ｏｎ　Ｓｅｃｕｒｉｔｙ　ａｎｄ　Ｐｒｉｖａｃｙ，　ｐｐ．　３２１－－３３４．　ＩＥＥＥ　Ｐｒｅｓｓ　（２００７）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．：　Ｅｆｆｉｃｉｅｎｔ　ｓｅｌｅｃｔｉｖｅ－ＩＤ　ｓｅｃｕｒｅ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍｏｒａｃｌｅｓ．Ｉｎ：　Ｃａｃｈｉｎ，　Ｃ．，　Ｃａｍｅｎｉｓｃｈ，　Ｊ．　（ｅｄｓ．）ＥＵＲＯＣＲＹＰＴ　２００４．　ＬＮＣＳ，　ｖｏｌ．　３０２７，　ｐｐ．　２２３－－２３８．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ　（２００４）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．：　Ｓｅｃｕｒｅ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．Ｉｎ：　Ｆｒａｎｋｌｉｎ，　Ｍ．Ｋ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００４．ＬＮＣＳ，　ｖｏｌ．　３１５２，　ｐｐ．　４４３－－４５９．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００４）Ｂｏｎｅｈ，　Ｄ．，　Ｂｏｙｅｎ，　Ｘ．，　Ｇｏｈ，　Ｅ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｃｏｎｓｔａｎｔ　ｓｉｚｅｃｉｐｈｅｒｔｅｘｔ．Ｉｎ：　Ｃｒａｍｅｒ，　Ｒ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００５．　ＬＮＣＳ，　ｖｏｌ．　３４９４，　ｐｐ．　４４０－－４５６．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００５）Ｂｏｎｅｈ，　Ｄ．，　Ｆｒａｎｋｌｉｎ，　Ｍ．：　Ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｆｒｏｍ　ｔｈｅ　Ｗｅｉｌ　ｐａｉｒｉｎｇ．Ｉｎ：　Ｋｉｌｉａｎ，　Ｊ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００１．　ＬＮＣＳ，　ｖｏｌ．　２１３９，　ｐｐ．　２１３－－２２９．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００１）Ｂｏｎｅｈ，　Ｄ．，　Ｈａｍｂｕｒｇ，　Ｍ．：　Ｇｅｎｅｒａｌｉｚｅｄ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ａｎｄ　ｂｒｏａｄｃａｓｔ　ｅｎｃｒｙｐｔｉｏｎ　ｓｃｈｅｍｅ．　Ｉｎ：　Ｐｉｅｐｒｚｙｋ，　Ｊ．　（ｅｄ．）　ＡＳＩＡＣＲＹＰＴ　２００８．　ＬＮＣＳ，　ｖｏｌ．　５３５０，　ｐｐ．　４５５－－４７０．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｂｏｎｅｈ，　Ｄ．，　Ｗａｔｅｒｓ，　Ｂ．：Ｃｏｎｊｕｎｃｔｉｖｅ，　ｓｕｂｓｅｔ，　ａｎｄ　ｒａｎｇｅ　ｑｕｅｒｉｅｓ　ｏｎｅｎｃｒｙｐｔｅｄ　ｄａｔａ．　Ｉｎ：　Ｖａｄｈａｎ，　Ｓ．Ｐ．　（ｅｄ．）　ＴＣＣ　２００７．　ＬＮＣＳ，　ｖｏｌ．　４３９２，　ｐｐ．　５３５－－５５４．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００７）Ｂｏｙｅｎ，　Ｘ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ａｎｏｎｙｍｏｕｓ　ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　（ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ）．Ｉｎ：　Ｄｗｏｒｋ，　Ｃ．　（ｅｄ．）　ＣＲＹＰＴＯ　２００６．　ＬＮＣＳ，　ｖｏｌ．　４１１７，　ｐｐ．　２９０－－３０７．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００６）Ｃｏｃｋｓ，　Ｃ．：Ａｎ　ｉｄｅｎｔｉｔｙ　ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｓｃｈｅｍｅ　ｂａｓｅｄ　ｏｎ　ｑｕａｄｒａｔｉｃ　ｒｅｓｉｄｕｅｓ．Ｉｎ：　Ｈｏｎａｒｙ，　Ｂ．　（ｅｄ．）　ＩＭＡ　Ｉｎｔ．　Ｃｏｎｆ．　ＬＮＣＳ，　ｖｏｌ．　２２６０，　ｐｐ．　３６０－－３６３．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００１）Ｇｅｎｔｒｙ，　Ｃ．：Ｐｒａｃｔｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　ｒａｎｄｏｍ　ｏｒａｃｌｅｓ．　Ｉｎ：　Ｖａｕｄｅｎａｙ，　Ｓ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００６．　ＬＮＣＳ，　ｖｏｌ．　４００４，　ｐｐ．　４４５－－４６４．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００６）Ｇｅｎｔｒｙ，　Ｃ．，　Ｈａｌｅｖｉ，　Ｓ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｐｏｌｙｎｏｍｉａｌｌｙ　ｍａｎｙ　ｌｅｖｅｌｓ．　Ｉｎ：　Ｒｅｉｎｇｏｌｄ，　Ｏ．　（ｅｄ．）　ＴＣＣ　２００９．ＬＮＣＳ，　ｖｏｌ．　５４４４，　ｐｐ．　４３７－－４５６．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００９）Ｇｅｎｔｒｙ，　Ｃ．，　Ｓｉｌｖｅｒｂｅｒｇ，　Ａ．：　Ｈｉｅｒａｒｃｈｉｃａｌ　ＩＤ－ｂａｓｅｄ　ｃｒｙｐｔｏｇｒａｐｈｙ．　Ｉｎ：　Ｚｈｅｎｇ，　Ｙ．　（ｅｄ．）　ＡＳＩＡＣＲＹＰＴ　２００２．ＬＮＣＳ，　ｖｏｌ．　２５０１，　ｐｐ．　５４８－－５６６．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００２）Ｇｏｙａｌ，　Ｖ．，　Ｐａｎｄｅｙ，　Ｏ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：Ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｆｏｒ　ｆｉｎｅ－ｇｒａｉｎｅｄ　ａｃｃｅｓｓ　ｃｏｎｔｒｏｌ　ｏｆ　ｅｎｃｒｙｐｔｅｄ　ｄａｔａ．　Ｉｎ：　ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００６，　ｐｐ．　８９－－９８，　ＡＣＭ　（２００６）Ｇｒｏｔｈ，　Ｊ．，　Ｓａｈａｉ，　Ａ．：　Ｅｆｆｉｃｉｅｎｔ　ｎｏｎ－ｉｎｔｅｒａｃｔｉｖｅ　ｐｒｏｏｆ　ｓｙｓｔｅｍｓ　ｆｏｒ　ｂｉｌｉｎｅａｒ　ｇｒｏｕｐｓ．Ｉｎ：　Ｓｍａｒｔ，　Ｎ．Ｐ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００８．ＬＮＣＳ，　ｖｏｌ．　４９６５，ｐｐ．　４１５－－４３２．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｈｏｒｗｉｔｚ，　Ｊ．，　Ｌｙｎｎ，　Ｂ．：Ｔｏｗａｒｄｓ　ｈｉｅｒａｒｃｈｉｃａｌ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　Ｉｎ：　Ｋｎｕｄｓｅｎ，　Ｌ．Ｒ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００２．ＬＮＣＳ，　ｖｏｌ．　２３３２，　ｐｐ．　４６６－－４８１．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００２）Ｋａｔｚ，　Ｊ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ　ｓｕｐｐｏｒｔｉｎｇ　ｄｉｓｊｕｎｃｔｉｏｎｓ，ｐｏｌｙｎｏｍｉａｌ　ｅｑｕａｔｉｏｎｓ，　ａｎｄ　ｉｎｎｅｒ　ｐｒｏｄｕｃｔｓ．Ｉｎ：　Ｓｍａｒｔ，　Ｎ．Ｐ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００８．ＬＮＣＳ，　ｖｏｌ．　４９６５，ｐｐ．　１４６－－１６２．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：Ｈｏｍｏｍｏｒｐｈｉｃ　ｅｎｃｒｙｐｔｉｏｎ　ａｎｄ　ｓｉｇｎａｔｕｒｅｓ　ｆｒｏｍｖｅｃｔｏｒ　ｄｅｃｏｍｐｏｓｉｔｉｏｎ．Ｉｎ：　Ｇａｌｂｒａｉｔｈ，　Ｓ．Ｄ．，　Ｐａｔｅｒｓｏｎ，　Ｋ．Ｇ．　（ｅｄｓ．）　Ｐａｉｒｉｎｇ　２００８．　ＬＮＣＳ，　ｖｏｌ．　５２０９，　ｐｐ．　５７－－７４．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｏｋａｍｏｔｏ，　Ｔ．，　Ｔａｋａｓｈｉｍａ，　Ｋ．：Ａ　ｇｅｏｍｅｔｒｉｃ　ａｐｐｒｏａｃｈ　ｏｎ　ｐａｉｒｉｎｇｓ　ａｎｄ　ｈｉｅｒａｒｃｈｉｃａｌ　ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ．Ｉｎ：　Ｐｏｓｔｅｒ　ｓｅｓｓｉｏｎ，　ＥＵＲＯＣＲＹＰＴ　２００９．（２００９）Ｏｓｔｒｏｖｓｋｙ，　Ｒ．，　Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：Ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　ｎｏｎ－ｍｏｎｏｔｏｎｉｃ　ａｃｃｅｓｓｓｔｒｕｃｔｕｒｅｓ．Ｉｎ：ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００７，　ｐｐ．　１９５－－２０３，　ＡＣＭ，（２００７）Ｐｉｒｒｅｔｔｉ，　Ｍ．，　Ｔｒａｙｎｏｒ，　Ｐ．，　ＭｃＤａｎｉｅｌ，　Ｐ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｓｅｃｕｒｅ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｓｙｓｔｅｍｓ．Ｉｎ：ＡＣＭ　Ｃｏｎｆｅｒｅｎｃｅ　ｏｎ　Ｃｏｍｐｕｔｅｒ　ａｎｄ　Ｃｏｍｍｕｎｉｃａｔｉｏｎ　Ｓｅｃｕｒｉｔｙ　２００６，　ｐｐ．　９９－－１１２，　ＡＣＭ，（２００６）Ｓａｈａｉ，　Ａ．，　Ｗａｔｅｒｓ，　Ｂ．：　Ｆｕｚｚｙ　ｉｄｅｎｔｉｔｙ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ．　Ｉｎ：　Ｃｒａｍｅｒ，　Ｒ．　（ｅｄ．）　ＥＵＲＯＣＲＹＰＴ　２００５．ＬＮＣＳ，　ｖｏｌ．　３４９４，　ｐｐ．　４５７－－４７３．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００５）Ｓｈｉ，　Ｅ．，　Ｗａｔｅｒｓ，　Ｂ．：Ｄｅｌｅｇａｔｉｎｇ　ｃａｐａｂｉｌｉｔｙ　ｉｎ　ｐｒｅｄｉｃａｔｅ　ｅｎｃｒｙｐｔｉｏｎ　ｓｙｓｔｅｍｓ．　Ｉｎ：　Ａｃｅｔｏ，　Ｌ．，　Ｄａｍｇａｒｄ，　Ｉ．，　Ｇｏｌｄｂｅｒｇ，　Ｌ．Ａ．，　Ｈａｌｌｄｏｒｓｓｏｎ，　Ｍ．Ｍ．，　Ｉｎｇｏｌｆｓｄｏｔｔｉｒ，　Ａ．，　Ｗａｌｕｋｉｅｗｉｃｚ，　Ｉ．　（ｅｄｓ．）ＩＣＡＬＰ　（２）　２００８．ＬＮＣＳ，　ｖｏｌ．　５１２６，　ｐｐ．　５６０－－５７８．Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｔａｋａｓｈｉｍａ，　Ｋ．：Ｅｆｆｉｃｉｅｎｔｌｙ　ｃｏｍｐｕｔａｂｌｅ　ｄｉｓｔｏｒｔｉｏｎ　ｍａｐｓ　ｆｏｒ　ｓｕｐｅｒｓｉｎｇｕｌａｒｃｕｒｖｅｓ．Ｉｎ：　ｖａｎ　ｄｅｒ　Ｐｏｏｒｔｅｎ，　Ａ．Ｊ．，　Ｓｔｅｉｎ，　Ａ．　（ｅｄｓ．）ＡＮＴＳ　ＶＩＩＩ，　ＬＮＣＳ，　ｖｏｌ．　５０１１，　ｐｐ．　８８－－１０１．　Ｓｐｒｉｎｇｅｒ　Ｈｅｉｄｅｌｂｅｒｇ（２００８）Ｗａｔｅｒｓ，　Ｂ．：Ｃｉｐｈｅｒｔｅｘｔ－ｐｏｌｉｃｙ　ａｔｔｒｉｂｕｔｅ－ｂａｓｅｄ　ｅｎｃｒｙｐｔｉｏｎ：　ａｎ　ｅｘｐｒｅｓｓｉｖｅ，　ｅｆｆｉｃｉｅｎｔ，　ａｎｄ　ｐｒｏｖａｂｌｙ　ｓｅｃｕｒｅ　ｒｅａｌｉｚａｔｉｏｎ．　ｅＰｒｉｎｔ，　ＩＡＣＲ，　ｈｔｔｐ：／／ｅｐｒｉｎｔ．ｉａｃｒ．ｏｒｇ／２００８／２９０

　非特許文献１８で提案されている階層的述語鍵秘匿方式及び階層的述語暗号は、理想化されたモデル（Ｇｅｎｅｒｉｃ　Ｍｏｄｅｌ）における安全性が証明されている。しかし、非特許文献１８で提案されている階層的述語鍵秘匿方式及び階層的述語暗号は、標準のモデル（Ｓｔａｎｄａｒｄ　Ｍｏｄｅｌ）における安全性は証明されていない。
　この発明は、安全性が高い述語暗号及び述語鍵秘匿方式を提供することを目的とする。特に、権限委譲を可能とした述語暗号及び述語鍵秘匿方式を提供することを目的とする。

　この発明に係る暗号処理システムは、例えば、
　数１に示すペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とを用いて述語暗号処理を行う暗号処理システムであり、
　前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，ｍ）の和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として属性情報を埋め込むとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を埋め込んだベクトルを暗号ベクトルｃ_１として処理装置により生成する暗号化装置と、
　前記空間Ｖ^＊の基底Ｂ^＊におけるベクトルであって、基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として述語情報を埋め込むとともに、前記基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、前記基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を埋め込んだベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として、前記暗号化装置が生成した暗号ベクトルｃ_１と前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、処理装置により数１に示すペアリング演算ｅ（ｃ_１，ｋ^＊ _{Ｌ，ｄｅｃ}）を行い前記暗号ベクトルｃ_１を復号して前記所定の情報に関する値を抽出する復号装置と
を備えることを特徴とする。

　この発明に係る暗号システムによれば、安全性が高い述語暗号及び述語鍵秘匿方式を実現することができる。

「権限委譲（階層的な権限委譲）」という概念を説明するための図。階層を飛ばした権限委譲を説明するための図。属性情報と述語情報との階層構造を示す図。階層的内積述語暗号の応用例である階層的ＩＤベース暗号の例を示す図。基底と基底ベクトルとを説明するための図。ベクトル空間における階層構造の実現方法の一例を説明するための図。暗号処理システム１０の構成図。暗号処理システム１０の鍵生成装置１００と第Ｌ層目の暗号化装置２００と復号装置３００との動作を示すフローチャート。暗号処理システム１０の第Ｌ層目の鍵委譲装置４００と、第Ｌ＋１層目の暗号化装置２００と復号装置３００との動作を示すフローチャート。基底変換方法を説明するための図。実施の形態２に係る階層的述語暗号を実現する暗号処理システム１０の機能を示す機能ブロック図。実施の形態２に係る鍵生成装置１００の動作を示すフローチャート。実施の形態２に係る暗号化装置２００の動作を示すフローチャート。実施の形態２に係る復号装置３００の動作を示すフローチャート。実施の形態２に係る鍵委譲装置４００の動作を示すフローチャート。実施の形態２に係る双対ペアリングベクトル空間の基底の構造を示す概念図。実施の形態２に係る階層的述語鍵秘匿方式を実現する暗号処理システム１０の機能を示す機能ブロック図。実施の形態２に係る暗号化装置２００の動作を示すフローチャート。実施の形態２に係る復号装置３００の動作を示すフローチャート。実施の形態３に係る権限委譲が可能な述語暗号を実現する暗号処理システム１０の機能を示す機能ブロック図。鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００のハードウェア構成の一例を示す図。

　以下、図に基づき、発明の実施の形態を説明する。
　以下の説明において、処理装置は後述するＣＰＵ９１１等である。記憶装置は後述するＲＯＭ９１３、ＲＡＭ９１４、磁気ディスク９２０等である。通信装置は後述する通信ボード９１５等である。入力装置は後述するキーボード９０２、通信ボード９１５等である。出力装置は後述するＲＡＭ９１４、磁気ディスク９２０、通信ボード９１５、ＬＣＤ９０１等である。つまり、処理装置、記憶装置、通信装置、入力装置、出力装置はハードウェアである。

　以下の説明における記法について説明する。
　Ａがランダムな変数または分布であるとき、数１０１は、Ａの分布に従いＡからｙをランダムに選択することを表す。つまり、数１０１において、ｙは乱数である。

　Ａが集合であるとき、数１０２は、Ａからｙを一様に選択することを表す。つまり、数１０２において、ｙは一様乱数である。

　数１０３は、ｙがｚにより定義された集合であること、又はｙがｚを代入された集合であることを表す。

　ａが定数であるとき、数１０４は、機械（アルゴリズム）Ａが入力ｘに対しａを出力することを表す。

　ベクトル表記は、有限体Ｆ_ｑにおけるベクトル表示を表す。つまり、数１０５である。

　数１０６は、数１０７に示す２つのベクトルｘ^→とｖ^→との数１０８に示す内積を表す。

　Ｘ^Ｔは、行列Ｘの転置行列を表す。

　また、以下の説明において、暗号処理とは、暗号化処理、復号処理、鍵生成処理を含むものであり、鍵秘匿処理も含むものである。

　実施の形態１．
　この実施の形態では、後の実施の形態で説明する「権限委譲を有する述語暗号（Ｐｒｅｄｉｃａｔｅ　Ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈ　Ｄｅｌｅｇａｔｉｏｎ）」や「権限委譲を有する述語鍵秘匿方式（Ｐｒｅｄｉｃａｔｅ　Ｋｅｙ　Ｅｎｃａｐｓｕｌａｔｉｏｎ　Ｍｅｃｈａｎｉｓｍ　ｗｉｔｈ　Ｄｅｌｅｇａｔｉｏｎ）」を実現する基礎となる概念と、権限委譲を有する述語暗号（述語鍵秘匿方式）の基本構成について説明する。
　第１に、権限委譲を有する述語暗号（述語鍵秘匿方式）の一種である「権限委譲を有する内積述語暗号（内積述語鍵秘匿方式）」という概念を説明する。後の実施の形態で説明する権限委譲を有する述語暗号（述語鍵秘匿方式）は、権限委譲を有する内積述語暗号（内積述語鍵秘匿方式）である。権限委譲を有する内積述語暗号という概念を説明するに当たり、まず「権限委譲」という概念を説明する。また、併せて、「階層的（Ｈｉｅｒａｒｃｈｉａｌ）な権限委譲」という概念を説明する。次に、「内積述語暗号」を説明する。そして、階層的な権限委譲という概念を内積述語暗号に加えた「階層的内積述語暗号（階層的内積述語鍵秘匿方式）」を説明する。さらに、階層的内積述語暗号の理解を深めるため、階層的内積述語暗号の応用例を説明する。
　第２に、ベクトル空間における階層的内積述語暗号を説明する。この実施の形態及び以下の実施の形態では、階層的述語暗号と階層的述語鍵秘匿方式とをベクトル空間において実現する。ここでは、まず、「基底」と「基底ベクトル」について説明する。次に、「ベクトル空間における内積述語暗号」について説明する。そして、「ベクトル空間における階層構造の実現方法」について説明する。さらに、理解を深めるため、階層構造の実現例を説明する。
　第３に、この実施の形態及び後の実施の形態に係る「階層的述語暗号」と「階層的述語鍵秘匿方式」との基本構成を説明する。併せて、階層的述語暗号と階層的述語鍵秘匿方式とを実行する「暗号処理システム１０」の概要を説明する。
　第４に、階層的述語鍵秘匿方式や階層的述語暗号を実現するための概念を説明する。ここでは、「双線形ペアリンググループ」、「ベクトル空間Ｖとベクトル空間Ｖ^＊」、「標準的な双対基底Ａ，Ａ^＊」、「ペアリング演算」、「基底変換」、「ディストーション写像」を説明する。
　第５に、階層的述語鍵秘匿方式と階層的述語暗号とを実現するための空間である「双対ペアリングベクトル空間（Ｄｕａｌ　Ｐａｉｒｉｎｇ　Ｖｅｃｔｏｒ　Ｓｐａｃｅｓ，ＤＰＶＳ）」という豊かな数学的構造を有する空間を説明する。
　そして、第６に、以上の説明を踏まえ、後の実施の形態で詳細に説明する階層的述語暗号と階層的述語鍵秘匿方式との実現方法を簡単に説明する。

　＜第１．階層的内積述語暗号＞
　＜第１－１．権限委譲（階層的な権限委譲）という概念＞
　図１は、「権限委譲（階層的な権限委譲）」という概念を説明するための図である。
　権限委譲とは、上位の鍵を有する利用者が、その鍵（上位の鍵）よりも機能が制限された下位の鍵を生成することである。
　図１では、Ｒｏｏｔ（鍵生成装置）は、マスター秘密鍵を用いて、第１層目（Ｌｅｖｅｌ－１）の利用者へ秘密鍵を生成する。つまり、Ｒｏｏｔは、第１層目の利用者１，２，３それぞれへ鍵１，２，３を生成する。そして、例えば、利用者１であれば、鍵１を用いて、利用者１の下位（第１層目）の利用者である利用者１１，１２，１３それぞれへ鍵１１，１２，１３を生成することができる。ここで、利用者１が有する鍵１よりも、利用者１１，１２，１３が有する鍵１１，１２，１３は機能が制限されている。機能が制限されているとは、その秘密鍵によって復号できる暗号文が限定されているということである。つまり、上位の秘密鍵で復号できる暗号文の一部の暗号文のみ下位の秘密鍵で復号できることを意味する。すなわち、利用者１が有する鍵１で復号できる暗号文のうち、一部の暗号文のみ利用者１１，１２，１３が有する鍵１１，１２，１３で復号することができる。また、通常は、鍵１１と鍵１２と鍵１３とが復号できる暗号文は異なる。一方、鍵１１と鍵１２と鍵１３が復号できる暗号文は、鍵１で復号することができる。
　また、図１に示すように、各秘密鍵が階層（レベル）分けされていることを「階層的」という。つまり、図１に示すように、階層的に下位の鍵を生成することを「階層的な権限委譲」と呼ぶ。

　なお、図１では、Ｒｏｏｔが第１層目の利用者へ秘密鍵を生成し、第１層目の利用者が第２層目の利用者へ秘密鍵を生成し、第２層目の利用者が第３層目の利用者へ秘密鍵を生成すると説明した。しかし、図２に示すように、Ｒｏｏｔは、第１層目の利用者へ秘密鍵を生成するだけでなく、第２層目以下の層の利用者へ秘密鍵を生成することもできる。同様に、第１層目の利用者は、第２層目の利用者へ秘密鍵を生成するだけでなく、第３層目以下の層の利用者へ秘密鍵を生成することもできる。つまり、Ｒｏｏｔや利用者は、自分が持つ秘密鍵よりも下位の層の秘密鍵を生成することができる。

　＜第１－２．内積述語暗号＞
　次に、「内積述語暗号」について説明する。
　まず、述語暗号とは、述語情報ｆ_ｖに属性情報ｘを入力した場合に１（Ｔｒｕｅ）となる場合（ｆ_ｖ（ｘ）＝１となる場合）に、暗号文を復号できる暗号方式である。通常、暗号文に属性情報ｘが埋め込まれ、秘密鍵に述語情報ｆ_ｖが埋め込まれる。つまり、述語暗号では、属性情報ｘに基づき暗号化された暗号文ｃを、述語情報ｆ_ｖに基づき生成された秘密鍵ＳＫ_ｆにより復号する。述語暗号は、例えば、述語情報ｆ_ｖが条件式であり、属性情報ｘがその条件式への入力情報であり、入力情報（属性情報ｘ）が条件式（述語情報ｆ_ｖ）を満たせば（ｆ_ｖ（ｘ）＝１）、暗号文を復号できる暗号方式であるとも言える。
　なお、述語暗号について詳しくは非特許文献１６に記載されている。

　内積述語暗号とは、属性情報ｘと述語情報ｆ_ｖとの内積が所定の値の場合に、ｆ_ｖ（ｘ）＝１となる述語暗号である。つまり、属性情報ｘと述語情報ｆ_ｖとの内積が所定の値の場合にのみ、属性情報ｘにより暗号化された暗号文ｃを、述語情報ｆ_ｖに基づき生成された秘密鍵ＳＫ_ｆにより復号することができる。以下の説明では、属性情報ｘと述語情報ｆ_ｖとの内積が０の場合に、ｆ_ｖ（ｘ）＝１となるものとする。

　＜第１－３．階層的内積述語暗号＞
　階層的内積述語暗号（階層的内積述語鍵秘匿方式）とは、上述した「階層的な権限委譲」という概念を有する「内積述語暗号」である。

　階層的内積述語暗号は、内積述語暗号に階層的な権限委譲システムを持たせるため、属性情報と述語情報とに階層構造を持たせる。
　図３は、属性情報と述語情報との階層構造を示す図である。
　図３において、符号が対応する属性情報と述語情報とは対応する（つまり、内積が０となる）ものとする。つまり、属性１と述語１との内積は０となり、属性１１と述語１１との内積は０となり、属性１２と述語１２との内積は０となり、属性１３と述語１３との内積は０となるとする。すなわち、属性１により暗号化された暗号文ｃ１は、述語１に基づき生成された秘密鍵ｋ１であれば復号できる。また、属性１１により暗号化された暗号文ｃ１１は、述語１１に基づき生成された秘密鍵ｋ１１であれば復号できる。属性１２と述語１２、属性１３と述語１３についても同様のことが言える。
　上記の通り、階層的内積述語暗号は階層的な権限委譲システムを有する。そのため、述語１に基づき生成された秘密鍵ｋ１と、述語１１とに基づき、秘密鍵ｋ１１を生成することができる。つまり、上位の秘密鍵ｋ１を有する利用者は、その秘密鍵ｋ１と下位の述語１１とから、秘密鍵ｋ１の下位の秘密鍵ｋ１１を生成することができる。同様に、秘密鍵ｋ１と述語１２とから秘密鍵ｋ１２を生成でき、秘密鍵ｋ１と述語１３とから秘密鍵ｋ１３を生成できる。
　また、下位の秘密鍵に対応する鍵（公開鍵）で暗号化された暗号文を上位の秘密鍵で復号できる。一方、上位の秘密鍵に対応する鍵（公開鍵）で暗号化された暗号文は、下位の秘密鍵で復号できない。つまり、属性１１、属性１２、属性１３により暗号化された暗号文ｃ１１、ｃ１２、ｃ１３は、述語１に基づき生成された秘密鍵ｋ１であれば復号できる。一方、属性１により暗号化された暗号文ｃ１は、述語１１、述語１２、述語１３に基づき生成された秘密鍵ｋ１１、ｋ１２、ｋ１３では復号できない。すなわち、属性１１、属性１２、属性１３と述語１との内積は０となる。一方、属性１と述語１１、述語１２、述語１３との内積は０とならない。

　＜第１－４．階層的内積述語暗号の応用例＞
　図４は、後述する階層的内積述語暗号の応用例である階層的ＩＤベース暗号（Ｈｉｅｒａｒｃｈｉａｌ　Ｉｄｅｎｔｉｆｉｅｒ　Ｂａｓｅｄ　Ｅｎｃｒｙｐｔｉｏｎ，ＨＩＢＥ）の例を示す図である。なお、階層的ＩＤベース暗号とは、ＩＤベース暗号が階層的になった暗号処理である。ＩＤベース暗号は、述語暗号の一種であり、暗号文に含まれるＩＤと秘密鍵に含まれるＩＤとが一致する場合に暗号文を復号できるマッチング述語暗号である。
　図４に示す例では、Ｒｏｏｔ（鍵生成装置）は、マスター秘密鍵ｓｋとＡ会社のＩＤである「Ａ」とに基づき、ＩＤ「Ａ」に対応する秘密鍵（鍵Ａ）を生成する。例えば、Ａ会社のセキュリティ担当者は、鍵Ａと各部門のＩＤとに基づき、そのＩＤに対応する秘密鍵を生成する。例えば、セキュリティ担当者は、営業部門のＩＤである「Ａ－１」に対応する秘密鍵（鍵１）を生成する。次に、例えば、各部門の管理者は、その部門の秘密鍵とその部門に属する各課のＩＤとに基づき、そのＩＤに対応する秘密鍵を生成する。例えば、営業部門の管理者は、営業１課のＩＤである「Ａ－１１」に対応する秘密鍵（鍵１１）を生成する。
　ここで、営業１課のＩＤ「Ａ－１１」に対応する秘密鍵である鍵１１により、営業１課のＩＤ「Ａ－１１」で暗号化された暗号文を復号することができる。しかし、鍵１１により、営業２課や営業３課のＩＤで暗号化された暗号文は復号することはできない。また、鍵１１により、営業部門のＩＤで暗号化された暗号文は復号することができない。
　営業部門のＩＤ「Ａ－１」に対応する秘密鍵である鍵１により、営業部門のＩＤ「Ａ－１」で暗号化された暗号文を復号することができる。また、鍵１により、営業部門に属する課のＩＤで暗号化された暗号文を復号することができる。つまり、鍵１により、営業１課、営業２課、営業３課のＩＤで暗号化された暗号文を復号することができる。しかし、鍵１により、製造部門（ＩＤ：Ａ－２）やスタッフ部門（ＩＤ：Ａ－３）のＩＤで暗号化された暗号文は復号することができない。また、鍵１により、Ａ会社のＩＤで暗号化された暗号文は復号することができない。
　Ａ会社のＩＤ「Ａ」に対応する秘密鍵である鍵Ａにより、Ａ会社のＩＤ「Ａ」で暗号化された暗号文を復号することができる。また、Ａ会社に属する各部門や、その部門に属する課のＩＤで暗号化された暗号文を復号することができる。

　階層的内積述語暗号は、ＩＤベース暗号以外へも様々な応用が可能である。特に、以下に説明する暗号処理は、等号関係テストのクラスに限定されたものではないため、非常に多くの応用が可能である。例えば、内積述語暗号の一種である検索可能暗号等についても、階層毎に検索可能な範囲をＡＮＤ条件やＯＲ条件等の条件式を用いて限定する等、従来の権限委譲システムを有する述語暗号では実現できなかった応用が可能である。
　つまり、後の実施の形態で説明する階層的述語鍵秘匿方式と階層的述語暗号とは、ＩＤベース暗号や検索可能暗号等へ幅広い応用が可能である。

　＜第２．ベクトル空間における階層的内積述語暗号＞
　階層的述語鍵秘匿方式と階層的述語暗号とは、後述する双対ペアリングベクトル空間という高次元ベクトル空間において実現される。そこで、ベクトル空間における階層的内積述語暗号を説明する。

　＜第２－１．基底と基底ベクトル＞
　まず、ベクトル空間の説明において使用する「基底」と「基底ベクトル」とについて簡単に説明する。
　図５は、基底と基底ベクトルとを説明するための図である。
　図５は、２次元ベクトル空間におけるベクトルｖを示す。ベクトルｖは、ｃ_１ａ_１＋ｃ_２ａ_２である。また、ベクトルｖは、ｙ_１ｂ_１＋ｙ_２ｂ_２である。ここで、ａ_１，ａ_２を基底Ａにおける基底ベクトルといい、基底Ａ：＝（ａ_１，ａ_２）と表す。また、ｂ_１，ｂ_２を基底Ｂにおける基底ベクトルといい、基底Ｂ：＝（ｂ_１，ｂ_２）と表す。また、ｃ_１，ｃ_２，ｙ_１，ｙ_２は、各基底ベクトルに対する係数である。図５では、２次元ベクトル空間であったため、各基底における基底ベクトルは２個であった。しかし、Ｎ次元ベクトル空間であれば、各基底における基底ベクトルはＮ個である。

　＜第２－２．ベクトル空間における内積述語暗号＞
　次に、ベクトル空間における内積述語暗号を説明する。
　上記の通り、内積述語暗号とは、属性情報ｘと述語情報ｆ_ｖとの内積が所定の値（ここでは、０）の場合に、ｆ_ｖ（ｘ）＝１となる述語暗号である。属性情報ｘと述語情報ｆ_ｖとがベクトルであった場合、つまり属性ベクトルｘ^→と述語ベクトルｖ^→とであった場合、内積述語は数１０９のように定義される。

　つまり、属性ベクトルｘ^→と述語ベクトルｖ^→との内積、つまり要素毎の内積の和が０である場合に、述語情報ｆ_ｖに属性情報ｘを入力した結果が１（Ｔｒｕｅ）となる。また、属性ベクトルｘ^→と述語ベクトルｖ^→との内積が０でない場合に、述語情報ｆ_ｖに属性情報ｘを入力した結果が０（Ｆａｌｓｅ）となる述語暗号である。

　＜第２－３．ベクトル空間における階層構造の実現方法＞
　次に、ベクトル空間における階層構造の実現方法を説明する。
　図６は、ベクトル空間における階層構造の実現方法の一例を説明するための図である。
　ここで扱うベクトル空間は、高次元（Ｎ次元）ベクトル空間であるとする。つまり、ベクトル空間における所定の基底Ｃには、基底ベクトルｃ_ｉ（ｉ＝１，．．．，Ｎ）のＮ個の基底ベクトルが存在する。
　Ｎ個の基底ベクトルのうちのｎ個の基底ベクトル（基底ベクトルｃ_ｉ（ｉ＝1，．．．，ｎ））を階層構造を表すために使用する。また、基底ベクトルｃ_ｉ（ｉ＝１，．．．，ｎ）を、基底ベクトルｃ_ｉ（ｉ＝１，．．．，μ_１）と、基底ベクトルｃ_ｉ（ｉ＝μ_１＋１，．．．，μ_２）と、．．．、基底ベクトルｃ_ｉ（ｉ＝μ_ｄ－１＋１，．．．，ｎ）とのｄ個に分割する。ここで、ｄは、階層の深さを表す数となる。
　そして、μ_１個の基底ベクトルｃ_ｉ（ｉ＝１，．．．，μ_１）を第１層目の属性情報や述語情報を表すために割り当てる。また、μ_２－μ_１個の基底ベクトルｃ_ｉ（ｉ＝μ_１＋１，．．．，μ_２）を第２層目の属性情報や述語情報を表すために割り当てる。以下同様に、μ_ｄ－μ_ｄ－１個の基底ベクトルｃ_ｉ（ｉ＝μ_ｄ－１＋１，．．．，μ_ｄ（＝ｎ））を第ｄ層目の属性情報や述語情報を表すために割り当てる。
　また、第Ｌ層目の属性情報によって暗号文を生成する場合には、第Ｌ層目の属性情報だけでなく、第１層目から第Ｌ層目までの属性情報を用いて暗号文を生成する。同様に、第Ｌ層目の述語情報によって秘密鍵を生成する場合には、第Ｌ層目の述語情報だけでなく、第１層目から第Ｌ層目までの述語情報を用いて秘密鍵を生成する。つまり、第Ｌ層目の属性情報によって暗号文を生成する場合や、第Ｌ層目の述語情報によって秘密鍵を生成する場合には、第１層目から第Ｌ層目までに割り当てられたμ_Ｌ個の基底ベクトルｃ_ｉ（ｉ＝１，．．．，μ_Ｌ）を用いる。例えば、第３層目の属性情報によって暗号文を生成する場合には、第１層目から第３層目までに割り当てられたμ_３個の基底ベクトルｃ_ｉ（ｉ＝１，．．．，μ_３）を用いて、第１層目から第３層目までの属性情報を用いて暗号文を生成する。同様に、第３層目の述語情報によって秘密鍵を生成する場合には、第１層目から第３層目までに割り当てられたμ_３個の基底ベクトルｃ_ｉ（ｉ＝１，．．．，μ_３）を用いて、第１層目から第３層目までの述語情報を表して秘密鍵を生成する。つまり、下位の層で使用される属性情報や述語情報には、上位の層で使用される属性情報や述語情報が含まれる。これにより、属性情報と述語情報とに階層構造を持たせる。そして、この属性情報と述語情報とに階層構造を利用して、内積述語暗号に権限委譲システムを持たせる。

　なお、以下の説明においては、ベクトル空間における階層的構造を示すために、階層情報μ^→を用いる。階層情報μ^→を数１１０に示す。

　つまり、階層情報μ^→は、階層構造を表すために割り当てられた基底ベクトル数（次元数）を示すｎと、階層の深さを示すｄと、各階層に割り当てられた基底ベクトルを示すためのμ_１，．．．，μ_ｄとの情報を有する。

　次に、ベクトル空間における階層的内積述語暗号を説明する。
　属性空間Σ_Ｌ（Ｌ＝１，．．．，ｄ）を、第Ｌ層目の属性情報を表すために割り当てられた空間であるとする。ここで、各Σ_Ｌは、数１１１である。

　階層的な属性を数１１２に示すΣとする。ここで、和集合は互いに素な和集合である。

　すると、数１１３に示す階層的な属性における数１１４に示す階層的な述語は、数１１５のように定義される。

　階層的な述語空間を数１１６に示すＦとする。

　また、数１１７のｈと数１１８のＬとを階層と呼ぶ。

　＜第２－４．階層構造の実現例＞
　ここで、簡単な例を用いて階層構造を説明する。ここでは、３つの階層を備え、各階層が２次元で構成された６次元空間を用いて説明する。つまり、μ^→：＝（ｎ，ｄ；μ_１，．．．，μ_ｄ）＝（６，３；２，４，６）である。
　第１層目の述語ベクトルｖ^→ _１：＝（ｖ_１，ｖ_２）に基づき生成された第１層目の秘密鍵ｓｋ_１を有する利用者は、第１層目の秘密鍵ｓｋ_１と第２層目の述語ベクトルｖ^→ _２：＝（ｖ_３，ｖ_４）に基づき第２層目の秘密鍵ｓｋ_２を生成することができる。つまり、第２層目の秘密鍵ｓｋ_２は、述語ベクトル（ｖ^→ _１，ｖ^→ _２）に基づき生成される。同様に、第２層目の秘密鍵ｓｋ_２を有する利用者は、第２層目の秘密鍵ｓｋ_２と第３層目の述語ベクトルｖ^→ _３：＝（ｖ_５，ｖ_６）に基づき第３層目の秘密鍵ｓｋ_３を生成することができる。つまり、第３層目の秘密鍵ｓｋ_３は、述語ベクトル（ｖ^→ _１，ｖ^→ _２，ｖ^→ _３）に基づき生成される。
　第１層目の述語ベクトルｖ^→ _１に基づき生成された第１層目の秘密鍵ｓｋ_１は、（ｖ^→ _１，（０，０），（０，０））により生成された秘密鍵である。そのため、第１層目の秘密鍵ｓｋ_１は、属性ベクトル（ｘ^→ _１，（＊，＊），（＊，＊））：＝（（ｘ_１，ｘ_２），（＊，＊），（＊，＊））により暗号化された暗号文を、ｖ^→ _１・ｘ^→ _１＝０である場合には復号できる。なぜなら、（＊，＊）・（０，０）＝０であるためである。ここで、“＊”は、任意の値を示す。
　同様に、第２層目の述語ベクトル（ｖ^→ _１，ｖ^→ _２）に基づき生成された第２層目の秘密鍵ｓｋ_２は、（ｖ^→ _１，ｖ^→ _２，（０，０））により生成された秘密鍵である。そのため、第２層目の秘密鍵ｓｋ_２は、属性ベクトル（ｘ^→ _１，ｘ^→ _２，（＊，＊））：＝（（ｘ_１，ｘ_２），（ｘ_３，ｘ_４），（＊，＊））により暗号化された暗号文を、ｖ^→ _１・ｘ^→ _１＝０かつｖ^→ _２・ｘ^→ _２＝０である場合には復号できる。
　しかし、第２層目の秘密鍵ｓｋ_２は、第１層目の属性ベクトルｘ^→ _１：＝（ｘ_１，ｘ_２）（つまり、（ｘ^→ _１，（＊，＊），（＊，＊））により暗号化された暗号文を復号することはできない。なぜなら、ｖ^→ _２＝（０，０）でなければ、（＊，＊）・ｖ^→ _２≠０であり、ｖ^→ _２・ｘ^→ _２≠０であるためである。そのため、第２層目の秘密鍵ｓｋ_２は、親である秘密鍵鍵ｓｋ_２よりも限定された能力のみを有していると言える。

　＜第３．階層的述語暗号と階層的述語鍵秘匿方式との構成＞
　＜第３－１．階層的述語暗号＞
　階層的述語暗号の構成を簡単に説明する。
　階層的述語暗号は、Ｓｅｔｕｐ、ＧｅｎＫｅｙ、Ｅｎｃ、Ｄｅｃ、Ｄｅｌｅｇａｔｅ_Ｌ（Ｌ＝１，．．．，ｄ－１）の５つの確率的多項式時間アルゴリズムを備える。
　（Ｓｅｔｕｐ）
　Ｓｅｔｕｐアルゴリズムでは、セキュリティパラメータ１^λと階層情報μ^→とが入力され、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとが出力される。マスター秘密鍵ｓｋは最も上位の鍵である。
　（ＧｅｎＫｅｙ）
　ＧｅｎＫｅｙアルゴリズムでは、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと数１１９に示す述語ベクトルが入力され、数１２０に示す第Ｌ層目の秘密鍵が出力される。

　（Ｅｎｃ）
　Ｅｎｃアルゴリズムでは、マスター公開鍵ｐｋと数１２１に示す属性ベクトルと平文情報ｍとが入力され、暗号文ｃが出力される。つまり、Ｅｎｃアルゴリズムでは、平文情報ｍを埋め込み、数１２１に示す属性ベクトルにより暗号化された暗号文ｃが出力される。

　（Ｄｅｃ）
　Ｄｅｃアルゴリズムでは、マスター公開鍵ｐｋと数１２２に示す第Ｌ層目の秘密鍵と暗号文ｃとが入力され、平文情報ｍ又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Ｄｅｃアルゴリズムでは、暗号文ｃを第Ｌ層目の秘密鍵で復号して、平文情報ｍを抽出する。また、復号に失敗した場合には識別情報⊥を出力する。

　（Ｄｅｌｅｇａｔｅ_Ｌ）
　Ｄｅｌｅｇａｔｅ_Ｌでは、マスター公開鍵ｐｋと数１２３に示す第Ｌ層目の秘密鍵と数１２４に示す第Ｌ＋１層目の述語ベクトルとが入力され、数１２５に示す第Ｌ＋１層目の秘密鍵が出力される。つまり、Ｄｅｌｅｇａｔｅ_Ｌアルゴリズムでは、下位の秘密鍵が出力される。

　＜第３－２．階層的述語暗号＞
　階層的述語鍵秘匿方式の構成を簡単に説明する。
　階層的述語鍵秘匿方式は、階層的述語暗号と同様に、Ｓｅｔｕｐ、ＧｅｎＫｅｙ、Ｅｎｃ、Ｄｅｃ、Ｄｅｌｅｇａｔｅ_Ｌ（Ｌ＝１，．．．，ｄ－１）の５つの確率的多項式時間アルゴリズムを備える。
　（Ｓｅｔｕｐ）
　Ｓｅｔｕｐアルゴリズムでは、セキュリティパラメータ１^λと階層情報μ^→とが入力され、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとが出力される。マスター秘密鍵ｓｋは最も上位の鍵である。
　（ＧｅｎＫｅｙ）
　ＧｅｎＫｅｙアルゴリズムでは、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと数１２６に示す述語ベクトルが入力され、数１２７に示す第Ｌ層目の秘密鍵が出力される。

　（Ｅｎｃ）
　Ｅｎｃアルゴリズムでは、マスター公開鍵ｐｋと数１２８に示す属性ベクトルとが入力され、暗号文ｃとセッション鍵Ｋとが出力される。つまり、Ｅｎｃアルゴリズムでは、所定の情報（ρ）を埋め込み、数１２８に示す属性ベクトルにより暗号化された暗号文ｃと、所定の情報（ρ）から生成したセッション鍵Ｋとが出力される。

　（Ｄｅｃ）
　Ｄｅｃアルゴリズムでは、マスター公開鍵ｐｋと数１２９に示す第Ｌ層目の秘密鍵と暗号文ｃとが入力され、セッション鍵Ｋ又は識別情報⊥が出力される。識別情報⊥とは、復号に失敗したことを示す情報である。つまり、Ｄｅｃアルゴリズムでは、暗号文ｃを第Ｌ層目の秘密鍵で復号して、所定の情報（ρ）に関する情報を抽出し、セッション鍵Ｋを生成する。また、復号に失敗した場合には識別情報⊥を出力する。

　（Ｄｅｌｅｇａｔｅ_Ｌ）
　Ｄｅｌｅｇａｔｅ_Ｌアルゴリズムでは、マスター公開鍵ｐｋと数１３０に示す第Ｌ層目の秘密鍵と数１３１に示す第Ｌ＋１層目の述語ベクトルとが入力され、数１３２に示す第Ｌ＋１層目の秘密鍵が出力される。つまり、Ｄｅｌｅｇａｔｅ_Ｌアルゴリズムでは、下位の秘密鍵が出力される。

　＜第３－３．暗号処理システム１０＞
　暗号処理システム１０について説明する。暗号処理システム１０は、上述した階層的述語暗号と階層的述語鍵秘匿方式とのアルゴリズムを実行する。
　図７は、暗号処理システム１０の構成図である。
　暗号処理システム１０は、鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００を備える。なお、ここでは、復号装置３００は、鍵委譲装置４００を備えるものとする。また、上述したように、暗号処理システム１０は、階層的な暗号処理を実行するものであるため、暗号処理システム１０は、複数の暗号化装置２００、複数の復号装置３００、複数の鍵委譲装置４００を備えるものとする。
　鍵生成装置１００は、階層的述語鍵秘匿方式と階層的述語暗号とのＳｅｔｕｐ、ＧｅｎＫｅｙアルゴリズムを実行する。
　暗号化装置２００は、階層的述語鍵秘匿方式と階層的述語暗号とのＥｎｃアルゴリズムを実行する。
　復号装置３００は、階層的述語鍵秘匿方式と階層的述語暗号とのＤｅｃアルゴリズムを実行する。
　鍵委譲装置４００は、階層的述語鍵秘匿方式と階層的述語暗号とのＤｅｌｅｇａｔｅ_Ｌアルゴリズムを実行する。

　図８は、暗号処理システム１０の鍵生成装置１００と第Ｌ層目の暗号化装置２００と復号装置３００との動作を示すフローチャートである。つまり、図８は、マスター鍵（マスター公開鍵とマスター秘密鍵）の生成、第Ｌ層目の秘密鍵の生成から、第Ｌ層目における暗号化と復号とまでの動作を示すフローチャートである。
　（Ｓ１０１：鍵生成ステップ）
　鍵生成装置１００は、Ｓｅｔｕｐアルゴリズムを実行してマスター公開鍵ｐｋとマスター秘密鍵ｓｋとを生成する。また、鍵生成装置１００は、生成したマスター公開鍵ｐｋとマスター秘密鍵ｓｋと、所定の復号装置３００（第Ｌ層目の復号装置３００）に対応する述語ベクトルｖ^→ _Ｌ（ｖ^→ _Ｌ＝（ｖ_１，．．．，ｖ_ｉ）（ｉ＝μ_Ｌ））とに基づき、ＧｅｎＫｅｙアルゴリズムを実行して第Ｌ層目の秘密鍵を生成する。そして、鍵生成装置１００は、生成したマスター公開鍵ｐｋを公開（配布）するとともに、第Ｌ層目の秘密鍵を前記所定の復号装置３００へ秘密裡に配布する。なお、鍵生成装置１００は、マスター秘密鍵を秘密裡に保持する。
　（Ｓ１０２：暗号化ステップ）
　暗号化装置２００は、（Ｓ１０１）で鍵生成装置１００が配布したマスター公開鍵ｐｋと、前記復号装置３００の属性ベクトルｘ^→ _Ｌ（ｘ^→ _Ｌ＝（ｘ_１，．．．，ｘ_ｉ）（ｉ＝μ_Ｌ））とに基づき、Ｅｎｃアルゴリズムを実行して暗号文ｃを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置２００は、セッション鍵Ｋも併せて生成する。そして、暗号化装置２００は、生成した暗号文ｃを前記復号装置３００へネットワーク等を介して送信する。なお、属性ベクトルｘ^→ _Ｌは、公開されているものとしてもよいし、暗号化装置２００が鍵生成装置１００や復号装置３００から取得するものとしてもよい。
　（Ｓ１０３：復号ステップ）
　復号装置３００は、（Ｓ１０１）で鍵生成装置１００が配布したマスター公開鍵ｐｋと第Ｌ層目の秘密鍵とに基づき、アルゴリズムＤｅｃを実行して、暗号化装置２００から受信した暗号文ｃを復号する。復号装置３００は、暗号文ｃを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Ｋを取得し、階層的述語暗号であれば平文情報ｍを取得する。復号装置３００は、復号に失敗した場合には識別情報⊥を出力する。

　図９は、暗号処理システム１０の第Ｌ層目の鍵委譲装置４００と、第Ｌ＋１層目の暗号化装置２００と復号装置３００との動作を示すフローチャートである。つまり、図９は、第Ｌ＋１層目の秘密鍵の生成から、第Ｌ＋１層目における暗号化と復号とまでの動作を示すフローチャートである。
　（Ｓ２０１：鍵委譲ステップ）
　第Ｌ層目の鍵委譲装置４００（第Ｌ層目の復号装置３００が備える鍵委譲装置４００）は、（Ｓ１０１）で鍵生成装置１００が配布したマスター公開鍵ｐｋと、鍵生成装置１００又は第Ｌ－１層目の鍵委譲装置４００が配布した第Ｌ層目の秘密鍵と、第Ｌ＋１層目の復号装置３００に対応する述語ベクトルｖ^→ _Ｌ＋１（ｖ^→ _Ｌ＋１＝（ｖ_ｉ，．．．，ｖ_ｊ）（ｉ＝μ_Ｌ＋１，ｊ＝μ_Ｌ＋１））とに基づき、アルゴリズムＤｅｌｅｇａｔｅ_Ｌを実行して第Ｌ＋１層目の秘密鍵を生成する。そして、第Ｌ層目の鍵委譲装置４００は、生成した秘密鍵を第Ｌ＋１層目の復号装置３００へ秘密裡に配布する。
　（Ｓ２０２：暗号化ステップ）
　暗号化装置２００は、（Ｓ１０１）で鍵生成装置１００が配布したマスター公開鍵ｐｋと、第Ｌ＋１層目までの復号装置３００の属性ベクトルｘ^→ _１から属性ベクトルｘ^→ _Ｌ＋１（ｘ^→ _ｉ（ｉ＝１，．．．，Ｌ＋１）（＝（ｘ_１，．．．，ｘ_ｉ）（ｉ＝μ_Ｌ＋１）））とに基づき、Ｅｎｃアルゴリズムを実行して暗号文ｃを生成する。なお、階層的述語鍵秘匿方式であれば、暗号化装置２００は、セッション鍵Ｋも併せて生成する。そして、暗号化装置２００は、生成した暗号文ｃを前記復号装置３００へネットワーク等を介して送信する。なお、属性ベクトルｘ^→ _１から属性ベクトルｘ^→ _Ｌ＋１（ｘ^→ _ｉ（ｉ＝１，．．．，Ｌ＋１））は、公開されているものとしてもよいし、暗号化装置２００が鍵生成装置１００や復号装置３００から取得するものとしてもよい。
　（Ｓ２０３：復号ステップ）
　復号装置３００は、（Ｓ１０１）で鍵生成装置１００が配布したマスター公開鍵ｐｋと、（Ｓ２０１）で第Ｌ層目の鍵委譲装置４００が配布した秘密鍵とに基づき、アルゴリズムＤｅｃを実行して、暗号化装置２００から受信した暗号文ｃを復号する。復号装置３００は、暗号文ｃを復号した結果、階層的述語鍵秘匿方式であればセッション鍵Ｋを取得し、階層的述語暗号であれば平文情報ｍを取得する。

　＜第４．階層的述語鍵秘匿方式と階層的述語暗号とを実現するための概念＞
　次に、上述した階層的述語暗号と階層的述語鍵秘匿方式との各アルゴリズムを実現するために必要となる概念を説明する。
　ここでは、非対称ペアリンググループの直積により後述する双対ペアリングベクトル空間を構成する例を用いて、暗号処理を実現する方法を説明する。しかし、双対ペアリングベクトル空間は、非対称ペアリンググループの直積により実現されるものに限定されない。つまり、他の方法により構成された双対ペアリングベクトル空間においても、以下に説明する暗号処理は実現可能である。なお、双対ペアリングベクトル空間の典型的な３つの例が、非特許文献１７に記載されている。

　＜第４－１．双線形ペアリンググループ＞
　双線形ペアリンググループ（ｑ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｇ_Ｔ）を説明する。
　双線形ペアリンググループ（ｑ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｇ_Ｔ）は、位数ｑの３つの巡回群Ｇ_１，Ｇ_２，Ｇ_Ｔの組である。ｇ_１はＧ_１の生成元であり、ｇ_２はＧ_２の生成元である。そして、双線形ペアリンググループ（ｑ，Ｇ_１，Ｇ_２，Ｇ_Ｔ，ｇ_１，ｇ_２，ｇ_Ｔ）は、以下の非退化双線形ペアリングの条件を満たす。
　（条件：非退化双線形ペアリング）
　多項式時間で計算可能な数１３３に示す非退化双線形ペアリングが存在すること。

　ここで、Ｇ_１＝Ｇ_２（＝：Ｇ）である場合、対称双線形ペアリングと呼ぶ。一方、Ｇ_１≠Ｇ_２である場合、非対称双線形ペアリングと呼ぶ。対称双線形ペアリングは、超特異（超）楕円曲線を用いて構築できる。一方、非対称双線形ペアリングは、どんな（超）楕円曲線を用いても構築できる。非対称双線形ペアリングは、例えば、通常の楕円曲線を用いて構築できる。

　＜第４－２．ベクトル空間Ｖとベクトル空間Ｖ^＊＞
　１次元空間の巡回群を高次元空間（高次元ベクトル空間）へ拡張する。つまり、数１３４に示すように、Ｇ_１とＧ_２との直積によりＮ次元ベクトル空間ＶとＮ次元ベクトル空間Ｖ^＊とを構築する。

　＜第４－３．標準的な双対基底Ａ，Ａ^＊＞
　Ｎ次元ベクトル空間Ｖの標準基底Ａと、Ｎ次元ベクトル空間Ｖ^＊の標準基底Ａ^＊とを説明する。
　数１３５は、標準基底Ａと標準基底Ａ^＊とを示す。

　標準基底Ａと標準基底Ａ^＊とは、数１３６に示す条件を満たす。

　つまり、標準基底Ａと標準基底Ａ^＊とは、双対正規直交基底であり、空間Ｖと空間Ｖ^＊とは、ペアリング演算ｅによって関連付けられた双対ベクトル空間である。
　標準基底Ａと標準基底Ａ^＊とが数１３６に示す条件を満たすことについて補足する。
　まず、ｅ（ａ_ｉ，ａ^＊ _ｉ）＝ｇ_Ｔであることについて説明する。一例として、ｅ（ａ_１，ａ^＊ _１）について計算する。上記の通り、ａ_１＝（ｇ_１，０，．．．，０）であり、ａ^＊ _１＝（ｇ_２，０，．．．，０）である。したがって、ｅ（ａ_１，ａ^＊ _１）＝ｅ（ｇ_１，ｇ_２）×ｅ（０，０）×，．．．，×ｅ（０，０）である。ここで、上記の通り、ｅ（ｇ_１，ｇ_２）＝ｇ_Ｔである。また、ｅ（０，０）＝ｅ（０・ｇ_１，０・ｇ_２）＝ｅ（ｇ_１，ｇ_２）^０であるから、ｅ（０，０）＝１である。したがって、ｅ（ａ_１，ａ^＊ _１）＝ｇ_Ｔとなる。他のｅ（ａ_ｉ，ａ^＊ _ｉ）についても同様の計算が成立し、ｅ（ａ_ｉ，ａ^＊ _ｉ）＝ｇ_Ｔとなる。
　次に、ｅ（ａ_ｉ，ａ^＊ _ｊ）＝１（ｉ≠ｊ）であることについて説明する。一例として、ｅ（ａ_１，ａ^＊ _２）について計算する。上記の通り、ａ_１＝（ｇ_１，０，．．．，０）であり、ａ^＊ _２＝（０，ｇ_２，０，．．．，０）である。したがって、ｅ（ａ_１，ａ^＊ _２）＝ｅ（ｇ_１，０）×ｅ（０，ｇ_２）×ｅ（０，０）×，．．．，×ｅ（０，０）である。ｅ（ｇ_１，０）＝ｅ（ｇ_１，０・ｇ_２）＝ｅ（ｇ_１，ｇ_２）^０であるから、ｅ（ｇ_１，０）＝１である。同様に、ｅ（０，ｇ_２）＝１である。また、上記の通り、ｅ（０，０）＝１である。したがって、ｅ（ａ_ｉ，ａ^＊ _ｊ）＝１となる。他のｅ（ａ_ｉ，ａ^＊ _ｊ）についても同様の計算が成立し、ｅ（ａ_ｉ，ａ^＊ _ｊ）＝１となる。
　したがって、標準基底Ａと標準基底Ａ^＊とにおいて、ｅ（ａ_ｉ，ａ^＊ _ｉ）＝ｇ_Ｔであり、ｅ（ａ_ｉ，ａ^＊ _ｊ）＝１（ｉ≠ｊ）である。

　＜第４－４．ペアリング演算＞
　Ｎ次元ベクトル空間Ｖ，Ｖ^＊におけるペアリング演算ｅを数１３７に示すように定義する。

　つまり、Ｎ次元ベクトル空間Ｖのベクトルｘ：＝（ｘ_１ｇ_１，ｘ_２ｇ_１，．．．，ｘ_Ｎｇ_１）とＮ次元ベクトル空間Ｖ^＊のベクトルｙ：＝（ｙ_１ｇ_２，ｙ_２ｇ_２，．．．，ｙ_Ｎｇ_２）とのペアリング演算ｅ（ｘ，ｙ）は、ベクトルｘとベクトルｙとの要素毎のペアリング演算の積と定義する。すると、上述した非退化双線形ペアリングの条件から、ペアリング演算ｅ（ｘ，ｙ）は、数１３８に示すように表すことができる。

　＜第４－５．基底変換＞
　標準基底Ａと標準基底Ａ^＊とから他の基底Ｂと基底Ｂ^＊とへ変換する基底変換方法について説明する。図１０は、基底変換方法を説明するための図である。
　空間Ｖにおける標準基底Ａから空間Ｖにおける他の基底Ｂ：＝（ｂ_１，．．．，ｂ_Ｎ）へ変換する。ここでは、数１３９に示す一様に選択された線形変換Ｘを用いて、数１４０に示すように空間Ｖにおける標準基底Ａから空間Ｖにおける他の基底Ｂに変換する。

　ここで、ＧＬは、Ｇｅｎｅｒａｌ　Ｌｉｎｅａｒの略である。つまり、ＧＬは、一般線形群であり、行列式が０でない正方行列の集合であり、乗法に関し群である。
　Ｘを用いることにより、空間Ｖ^＊における標準基底Ａ^＊から空間Ｖ^＊における基底Ｂ^＊：＝（ｂ^＊ _１，．．．，ｂ^＊ _Ｎ）を効率的に計算できる。ここでは、数１４１に示すようにＸを用いて、空間Ｖ^＊における基底Ｂ^＊を計算する。

　ここで、数１４２が成立する。

　つまり、基底Ｂと基底Ｂ^＊とは、双対空間ＶとＶ^＊における双対正規直交基底である。すなわち、Ｘを用いて標準基底ＡとＡ^＊とを変形した場合であっても、双対正規直交基底は保存される。

　＜第４－６．ディストーション写像＞
　標準基底Ａにおける空間Ｖの生成元ｘに対するディストーション写像という線形変換について説明する。
　空間Ｖの標準基底Ａにおけるディストーション写像φ_ｉ，ｊは、数１４３に示す写像である。

　数１４４が成立するため、ディストーション写像φ_ｉ，ｊは、数１４５の変換を行うことができる。

　つまり、標準基底Ａのベクトルｘの基底ベクトルｊの要素を基底ベクトルｉの要素へ変換することができる。この際、変換された基底ベクトルｊの要素を除く他の要素は、全て０となる。すなわち、ベクトルｘの基底ベクトルｊの要素が基底ベクトルｉの要素となり、その他の要素は０となる。
　空間Ｖ^＊の標準基底Ａ^＊におけるディストーション写像φ^＊ _ｉ，ｊも、空間Ｖの標準基底Ａにおけるディストーション写像φ_ｉ，ｊと同様に表すことができる。

　ディストーション写像φ_ｉ，ｊ（φ^＊ _ｉ，ｊ）を用いることにより、数１４６に示すＮ×Ｎ行列として表される線形変換Ｗであって、ｘ∈Ｖに対するどんな線形変換Ｗも数１４７によって効率的に計算することができる。

　＜第５．双対ペアリングベクトル空間＞
　第４で説明した概念を踏まえて、双対ペアリングベクトル空間について説明する。後述する階層的述語暗号と階層的述語鍵秘匿方式とは、双対ペアリングベクトル空間において実現される。
　双対ペアリングベクトル空間（ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊）は、素数位数ｑと、Ｆ_ｑ上の２つのＮ次元ベクトル空間Ｖ，Ｖ^＊と、位数ｑの巡回群Ｇ_Ｔと、空間Ｖの標準基底Ａ：＝（ａ_１，．．．，ａ_Ｎ－１）と、空間Ｖ^＊の標準基底Ａ^＊：＝（ａ^＊ _１，．．．，ａ^＊ _Ｎ－１）とを有する空間である。そして、双対ペアリングベクトル空間（ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊）は、以下の（１）非退化双線形ペアリングが存在する、（２）標準基底Ａ，Ａ^＊が双対正規直交基底である、（３）ディストーション写像が存在するという３つの条件を満たす空間である。

　（１）非退化双線形ペアリング（上記第４－１参照）
　多項式時間で計算可能な非退化双線形ペアリングｅが存在すること。
　つまり、数１４８に示す非退化双線形ペアリングｅが存在することが１つ目の条件である。

　（２）双対正規直交基底（上記第４－２参照）
　空間Ｖの標準基底Ａと空間Ｖ^＊の標準基底Ａ^＊とが双対正規直交基底であること。
　つまり、空間Ｖの標準基底Ａと空間Ｖ^＊の標準基底Ａ^＊とが、数１４９に示す条件を満たすことが２つ目の条件である。

　（３）ディストーション写像（上記第４－６参照）
　多項式時間で計算可能なディストーション写像φ_ｉ，ｊとφ^＊ _ｉ，ｊが存在すること。
　つまり、数１５０に示す空間Ｖの準同型φ_ｉ，ｊと空間Ｖ^＊の準同型φ^＊ _ｉ，ｊが多項式時間で計算可能であることが３つ目の条件である。

　３つ目の条件を満たすことにより、空間Ｖと空間Ｖ^＊とがペアリング演算ｅ（上記第４－２参照）によって関連付けられた双対空間であるということも言える。

　＜第６．階層的述語暗号と階層的述語鍵秘匿方式との実現方法の概要＞
　上述した概念（上記第４参照）と、双対ペアリングベクトル空間（上記第５参照）とを踏まえて、上述した暗号処理システム１０（上記第３参照）が階層的述語暗号と階層的述語鍵秘匿方式とを実現する方法を簡単に説明する。

　まず、暗号処理システム１０により実現される内積述語暗号の概要について説明する。なお、説明の簡単のため、ここでは、階層的という概念を省略し、１階層のみで構成される内積述語暗号の概要について説明する。
　暗号処理システム１０は、双対ペアリングベクトル空間（ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊）において内積述語暗号を実現する。なお、ここで、空間Ｖ，Ｖ^＊は、いずれもｎ＋３次元空間である。
　鍵生成装置１００は、第４－５で説明した基底変換により、標準基底Ａ，Ａ^＊から正規直交基底Ｂ：＝（ｂ_１，．．．，ｂ_ｎ＋３）と、Ｂ^＊：＝（ｂ^＊ _１，．．．，ｂ^＊ _ｎ＋３）とを生成する。鍵生成装置１００は、基底Ｂ：＝（ｂ_１，．．．，ｂ_ｎ＋３）のうちの基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２とを、基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２との和である基底ベクトルｄ_ｎ＋１に置き換えた基底Ｂ＾：＝（ｂ_１，．．．，ｂ_ｎ，ｄ_ｎ＋１，ｂ_ｎ＋３）を生成する。そして、基底Ｂ＾をマスター公開鍵ｐｋとし、基底Ｂ^＊をマスター秘密鍵ｓｋとする。さらに、鍵生成装置１００は、述語ベクトルｖ^→（ｖ^→＝（ｖ_１，．．．，ｖ_ｎ）∈Ｆ^ｎ _ｑから秘密鍵ｋ^＊を数１５１のように生成して復号装置３００へ秘密裡に送信する。

　暗号化装置２００は、属性ベクトルｘ^→（ｘ^→＝（ｘ_１，．．．，ｘ_ｎ）∈Ｆ^ｎ _ｑと平文情報ｍとから、２つの暗号文ｃ_１とｃ_２とを生成する。暗号文ｃ_１とｃ_２とは数１５２のように生成される。

　復号装置３００は、暗号文ｃ_１，ｃ_２と秘密鍵ｋ^＊とに基づき、数１５３を計算して、平文情報ｍを抽出する。

ここで、ｖ^→・ｘ^→＝０であるなら、数１５４に示すように、数１５３を計算することにより、復号装置３００は平文情報ｍを得ることができる。

　次に、階層的な権限委譲を可能にした内積述語暗号、つまり階層的内積述語暗号の概要について、簡単な例を用いて説明する。ここでは、３つの階層を備え、各階層が２次元で構成された６次元を述語ベクトルと属性ベクトルとに用い、その他に３次元を有する９次元空間を用いて説明する。つまり、空間Ｖ，Ｖ^＊は、９次元空間である。したがって、マスター公開鍵に含まれる基底Ｂ＾：＝（ｂ_１，．．．，ｂ_６，ｄ_７，ｂ_９）である。なお、ｄ_７：＝ｂ_７＋ｂ_８である。また、マスター秘密鍵に含まれる基底Ｂ^＊：＝（ｂ^＊ _１，．．．，ｂ^＊ _９）である。
　なお、以下の説明において、添え字の「ｄｅｃ」は「ｄｅｃｒｙｐｔｉｏｎ」の略であり、添え字に「ｄｅｃ」とあるものは、暗号文の復号に用いられる鍵ベクトルである。また、添え字の「ｒａｎ」は「ｒａｎｄｏｍｉｚａｔｉｏｎ」の略であり、添え字に「ｒａｎ」とあるものは、下位の鍵ベクトルの所定の基底ベクトルに対する係数をランダム化するためのランダム化ベクトルである。また、添え字の「ｄｅｌ」は「ｄｅｌｅｇａｔｉｏｎ」の略であり、添え字に「ｄｅｌ」とあるものは、下位の鍵ベクトルを生成するための鍵生成用ベクトルである。

　ここで、暗号文ｃ_１，ｃ_２は、属性ベクトル（ｘ^→ _１，ｘ^→ _２，ｘ^→ _３）：＝（（ｘ_１，ｘ_２），（ｘ_３，ｘ_４），（ｘ_５，ｘ_６））と平文情報ｍとにより、数１５５のように生成される。

もし、属性ベクトルが、ｘ^→ _１：＝（ｘ_１，ｘ_２）のように高い階層である場合、属性ベクトルを数１５６のように修正する。

つまり、属性ベクトルｘ^→ _１で生成された暗号文ｃ_１は、数１５６に示す属性ベクトルｘ^→＋で生成された暗号文ｃ_１として生成される。

　第１層目の述語ベクトルｖ^→ _１：＝（ｖ_１，ｖ_２）∈Ｆ^２ _ｑに基づき生成された第１層目の秘密鍵ｋ^→＊ _１：＝（ｋ^＊ _{１，ｄｅｃ}，ｋ^＊ _{１，ｒａｎ，１}，ｋ^＊ _{１，ｒａｎ，２}，ｋ^＊ _{１，ｄｅｌ，３}，．．．，ｋ^＊ _{１，ｄｅｌ，６}）は、ｋ^＊ _{１，ｄｅｃ}と、（ｋ^＊ _{１，ｒａｎ，１}，ｋ^＊ _{１，ｒａｎ，２}）と、（ｋ^＊ _{１，ｄｅｌ，３}，．．．，ｋ^＊ _{１，ｄｅｌ，６}）との３つの要素からなる。ここで、ｋ^＊ _{１，ｄｅｃ}は、暗号文の復号に用いられる鍵ベクトルである。（ｋ^＊ _{１，ｒａｎ，１}，ｋ^＊ _{１，ｒａｎ，２}）は、下位の鍵ベクトルの所定の基底ベクトルに対する係数をランダム化するためのランダム化ベクトルである。（ｋ^＊ _{１，ｄｅｌ，３}，．．．，ｋ^＊ _{１，ｄｅｌ，６}）は、下位の鍵ベクトルを生成するための鍵生成用ベクトルである。ｋ^＊ _{１，ｄｅｃ}と、（ｋ^＊ _{１，ｒａｎ，１}，ｋ^＊ _{１，ｒａｎ，２}）と、（ｋ^＊ _{１，ｄｅｌ，３}，．．．，ｋ^＊ _{１，ｄｅｌ，６}）とは、数１５７のように生成される。

　暗号文ｃ_１を生成する際用いられた属性ベクトルが、（ｘ_１，ｘ_２）・（ｖ_１，ｖ_２）＝０となる（（ｘ_１，ｘ_２），（＊，＊），（＊，＊））であるなら、数１５８であるため、ｋ^＊ _１，０は、数１５９を計算することにより、暗号文ｃ_１，ｃ_２を復号することができる。

　第２層目の述語ベクトルｖ^→ _２：＝（ｖ_３，ｖ_４）により第２層目の秘密鍵ｋ^→＊ _２：＝（ｋ^＊ _{２，ｄｅｃ}，ｋ^＊ _{２，ｒａｎ，１}，ｋ^＊ _{２，ｒａｎ，２}，ｋ^＊ _{２，ｒａｎ，３}，ｋ^＊ _{２，ｄｅｌ，５}，ｋ^＊ _{２，ｄｅｌ，６}）を生成する。
　まず、ｋ^＊ _{２，ｄｅｃ}を生成する場合、σ_２，０（ｖ_３ｋ^＊ _{１，ｄｅｌ，３}＋ｖ_４ｋ^＊ _{１，ｄｅｌ，４}）を、ｋ^＊ _{１，ｄｅｃ}に加える。ｋ^＊ _{２，ｒａｎ，ｊ}を生成する場合、σ_２，ｊ（ｖ_３ｋ^＊ _{１，ｄｅｌ，３}＋ｖ_４ｋ^＊ _{１，ｄｅｌ，４}）を０に加える（ｊ＝１，２，３）。ｋ^＊ _{２，ｄｅｌ，ｊ}を生成する場合、σ_２，ｊ（ｖ_３ｋ^＊ _{１，ｄｅｌ，３}＋ｖ_４ｋ^＊ _{１，ｄｅｌ，４}）をψ^＋ｋ^＊ _{１，ｄｅｌ，ｊ}に加える（ｊ＝５，６）。ここで、σ_２，ｊ（ｊ＝０，１，２，３，５，６）と、ψ^＋とは一様に選択された値である。
　また、第２層目の秘密鍵の（ｖ_１ｂ^＊ _１＋ｖ_２ｂ^＊ _２）とｂ^＊ _７とｂ^＊ _８との係数の値をランダム化する（一様に分布させる）。そこで、ｋ^＊ _{２，ｄｅｃ}を生成する場合、さらに（α_０，１ｋ^＊ _{１，ｒａｎ，１}＋α_０，２ｋ^＊ _{１，ｒａｎ，２}）を加える。ｋ^＊ _{２，ｒａｎ，ｊ}を生成する場合、（α_ｊ，１ｋ^＊ _{１，ｒａｎ，１}＋α_ｊ，２ｋ^＊ _{１，ｒａｎ，２}）を加える（ｊ＝１，２，３）。ｋ^＊ _{２，ｄｅｌ，ｊ}を生成する場合、（α_ｊ，１ｋ^＊ _{１，ｒａｎ，１}＋α_ｊ，２ｋ^＊ _{１，ｒａｎ，２}）を加える（ｊ＝５，６）。ここで、α_ｊ，１とα_ｊ，２と（ｊ＝０，１，２，３，５，６）は一様に選択された値である。
　つまり、第２層目の秘密鍵鍵ｋ^→＊ _２：＝（ｋ^＊ _{２，ｄｅｃ}，ｋ^＊ _{２，ｒａｎ，１}，ｋ^＊ _{２，ｒａｎ，２}，ｋ^＊ _{２，ｒａｎ，３}，ｋ^＊ _{２，ｄｅｌ，５}，ｋ^＊ _{２，ｄｅｌ，６}）が数１６０のように生成される。

　なお、ｋ^＊ _{２，ｄｅｃ}は、暗号文の復号に用いられる鍵ベクトルである。（ｋ^＊ _{２，ｒａｎ，１}，ｋ^＊ _{２，ｒａｎ，２}，ｋ^＊ _{２，ｒａｎ，３}）は、下位の鍵ベクトルの所定の基底ベクトルに対する係数をランダム化するためのランダム化ベクトルである。（ｋ^＊ _{２，ｄｅｌ，５}，ｋ^＊ _{２，ｄｅｌ，６}）は、下位の鍵の生成に用いられる。

　一般に、第Ｌ層目の秘密鍵ｋ^→＊ _Ｌ：＝（ｋ^＊ _{Ｌ，ｄｅｃ}，ｋ^＊ _{Ｌ，ｒａｎ，ｊ}，ｋ^＊ _{Ｌ，ｄｅｌ，ｊ}）において、ｋ^＊ _{Ｌ，ｄｅｃ}は、暗号文の復号に用いられる鍵ベクトルである。ｋ^＊ _{Ｌ，ｒａｎ，ｊ}は、下位の鍵ベクトルの所定の基底ベクトルに対する係数をランダム化するためのランダム化ベクトルである。ｋ^＊ _{Ｌ，ｄｅｌ，ｊ}は、下位の鍵ベクトルを生成するための鍵生成用ベクトルである。

　実施の形態２．
　この実施の形態では、実施の形態１で説明した概念に基づき、階層的述語暗号を実現する暗号処理システム１０について説明する。

　図１１から図１６に基づき、実施の形態２に係る暗号処理システム１０の機能と動作とについて説明する。
　図１１は、階層的述語暗号を実現する暗号処理システム１０の機能を示す機能ブロック図である。暗号処理システム１０は、上述したように、鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００を備える。また、ここでも、復号装置３００が鍵委譲装置４００を備えるものとする。
　図１２は、鍵生成装置１００の動作を示すフローチャートである。図１３は、暗号化装置２００の動作を示すフローチャートである。図１４は、復号装置３００の動作を示すフローチャートである。図１５は、鍵委譲装置４００の動作を示すフローチャートである。
　図１６は、双対ペアリングベクトル空間の基底の構造を示す概念図である。

　鍵生成装置１００の機能と動作とについて説明する。鍵生成装置１００は、マスター鍵生成部１１０、マスター鍵記憶部１２０、鍵ベクトル生成部１３０、ランダム化ベクトル生成部１４０、鍵生成用ベクトル生成部１５０、鍵配布部１６０を備える。

　（Ｓ３０１：マスター鍵生成ステップ）
　マスター鍵生成部１１０は、数１６１を計算して、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとを処理装置により生成してマスター鍵記憶部１２０に記憶する。

　つまり、（１）マスター鍵生成部１１０は、セキュリティパラメータ１^λで、Ｎ（＝ｎ＋３）次元の双対ペアリングベクトル空間（ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊）を処理装置により生成する。ここで、Ｇ_ｄｐｖｓは、１^λとＮとを入力として、セキュリティパラメータ１^λとＮ次元空間とについての双対ペアリングベクトル空間（ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊）を出力する双対ペアリングベクトル空間生成アルゴリズムである。
　（２）マスター鍵生成部１１０は、標準基底Ａから基底Ｂを生成するための線形変換Ｘを処理装置によりランダムに選択する。
　（３）マスター鍵生成部１１０は、選択した線形変換Ｘに基づき、基底Ａ：＝（ａ_１，．．．，ａ_Ｎ）から基底Ｂ：＝（ｂ_１，．．．，ｂ_Ｎ）を処理装置により生成する。
　（４）マスター鍵生成部１１０は、基底Ｂにおける基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２とを、基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２との和である基底ベクトルｄ_ｎ＋１に置き換えた基底ベクトルＢ＾：＝（ｂ_１，．．．，ｂ_ｎ，ｄ_ｎ＋１，ｂ_ｎ＋３）を処理装置により生成する。
　（５）マスター鍵生成部１１０は、基底Ａ^＊：＝（ａ^＊ _１，．．．，ａ^＊ _Ｎ）から基底Ｂ^＊：＝（ｂ^＊ _１，．．．，ｂ^＊ _Ｎ）を生成するための線形変換（Ｘ^Ｔ）^－１を線形変換Ｘから処理装置により生成する。
　（６）マスター鍵生成部１１０は、生成した線形変換（Ｘ^Ｔ）^－１に基づき、基底Ａ^＊から基底Ｂ^＊：＝（ｂ^＊ _１，．．．，ｂ^＊ _Ｎ）を処理装置により生成する。
　（７）マスター鍵生成部１１０は、生成した線形変換Ｘと基底Ｂ^＊とをマスター秘密鍵ｓｋとし、生成した基底Ｂ＾を含む（１^λ，ｑ，Ｖ，Ｖ^＊，Ｇ_Ｔ，Ａ，Ａ^＊，Ｂ＾）をマスター公開鍵ｐｋとする。そして、マスター鍵記憶部１２０は、マスター鍵生成部１１０が生成したマスター公開鍵ｐｋとマスター秘密鍵ｓｋとを記憶装置に記憶する。
　なお、双対ペアリングベクトル空間の次元数は、Ｎ（＝ｎ＋３）であるとした。ここで、ｎは、階層情報μ^→が有する階層構造をあらわすために割り当てられている基底数を表すｎである。つまり、ここでは、階層構造をあらわすために割り当てられている基底数ｎに加え、３つの基底ベクトルが設けられている。もちろん、これよりも多くの基底ベクトルを設けてもよい。
　図１６に示すように、Ｎ（＝ｎ＋３）個の基底ベクトルのうち、ｎ個の基底ベクトルが述語ベクトルや属性ベクトルのために割り当てられている。述語ベクトルや属性ベクトルのために割り当てられている基底ベクトルの構造は、図６に示す構造と同様である。残り３つの基底ベクトルのうちの２つの基底ベクトル（ｎ＋１番目とｎ＋２番目との基底ベクトル）は、セッション鍵を生成する情報のための基底ベクトルである。残りの１つの基底ベクトル（ｎ＋３番目の基底ベクトル）は、暗号文ｃ_１をランダム化するための基底ベクトルである。

　すなわち、（Ｓ３０１）において、マスター鍵生成部１１０は、数１６２に示すＳｅｔｕｐアルゴリズムを実行して、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとを生成する。

　（Ｓ３０２：鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}生成ステップ）
　鍵ベクトル生成部１３０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１６３に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１６４を計算して、第Ｌ層目（レベルＬ）の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を処理装置により生成する。

　つまり、（１）鍵ベクトル生成部１３０は、乱数σ_０，ｉ（ｉ＝１，．．．，Ｌ）と乱数η_０とを処理装置により生成する。
　（２）鍵ベクトル生成部１３０は、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として生成した乱数σ_０，ｔでランダム化した述語ベクトルの各要素を処理装置により設定する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれる。また、鍵ベクトル生成部１３０は、基底ベクトルｂ^＊ _ｎ＋１に対する係数として乱数η_０を処理装置により設定するとともに、基底ベクトルｂ^＊ _ｎ＋２に対する係数として１から乱数η_０を引いた値（１－η_０）を処理装置により設定する。つまり、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数との和が１となるように、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数とが設定される。これにより、鍵ベクトル生成部１３０は、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を生成する。

　（Ｓ３０３：ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}生成ステップ）
　ランダム化ベクトル生成部１４０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１６３に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１６５を計算して、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）を生成する。ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）は、下位の鍵のうち、述語ベクトルの各要素が埋め込まれる基底ベクトルに対する係数を一様に分布させるためのベクトルである。なお、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}は、第Ｌ層目の秘密鍵のｊ番目の要素である。

　つまり、（１）ランダム化ベクトル生成部１４０は、乱数σ_ｊ，ｉ（ｊ＝１，．．．，Ｌ＋１；ｉ＝１，．．．，Ｌ）と乱数η_ｊ（ｊ＝１，．．．，Ｌ＋１）とを処理装置により生成する。
　（２）ランダム化ベクトル生成部１４０は、ｊ＝１，．．．，Ｌ＋１の各ｊについて、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として、乱数σ_ｊ，ｔでランダム化した述語ベクトルの各要素を設定したベクトルｖｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれる。
　（３）ランダム化ベクトル生成部１４０は、ｊ＝１，．．．，Ｌ＋１の各ｊについて、基底ベクトルｂ^＊ _ｎ＋１に対する係数として乱数η_ｊを処理装置により設定するとともに、基底ベクトルｂ^＊ _ｎ＋２に対する係数として０から乱数η_０を引いた値（－η_ｊ）を設定したベクトルｄｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数との和が０となるように、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数とが設定される。
　（４）ランダム化ベクトル生成部１４０は、ｊ＝１，．．．，Ｌ＋１の各ｊについて、生成したベクトルｖｖ_ｊとベクトルｄｖ_ｊと加算して、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）を生成する。

　（Ｓ３０４：鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}生成ステップ）
　鍵生成用ベクトル生成部１５０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１６３に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１６６を計算して、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１，．．．，ｎ）を処理装置により生成する。鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１，．．．，ｎ）は、下位の秘密鍵（下位の鍵ベクトル）を生成するためのベクトルである。なお、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}は、第Ｌ層目の秘密鍵のｊ番目の要素である。

　つまり、（１）鍵生成用ベクトル生成部１５０は、乱数σ_ｊ，ｉ（ｊ＝μ_Ｌ＋１，．．．，ｎ；ｉ＝１，．．．，Ｌ）と乱数ψと乱数η_ｊ（ｊ＝μ_Ｌ＋１，．．．，ｎ）とを処理装置により生成する。
　（２）鍵生成用ベクトル生成部１５０は、ｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として、乱数σ_ｊ，ｔでランダム化した述語ベクトルの各要素を設定して、ベクトルｖｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれる。
　（３）鍵生成用ベクトル生成部１５０は、ｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として乱数ψを設定して、ベクトルψｖ_ｊを処理装置により生成する。
　（４）鍵生成用ベクトル生成部１５０は、ｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｎ＋１に対する係数として乱数η_ｊを処理装置により設定するとともに、基底ベクトルｂ^＊ _ｎ＋２に対する係数として０から乱数η_０を引いた値（－η_ｊ）を設定して、ベクトルｄｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数との和が０となるように、基底ベクトルｂ^＊ _ｎ＋１に対する係数と基底ベクトルｂ^＊ _ｎ＋２に対する係数とが設定される。
　（５）鍵生成用ベクトル生成部１５０は、ｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、ベクトルｖｖ_ｊと、ベクトルψｖ_ｊと、ベクトルｄｖ_ｊとを加算して、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１，．．．，ｎ）を生成する。

　すなわち、（Ｓ３０２）から（Ｓ３０４）において、鍵ベクトル生成部１３０とランダム化ベクトル生成部１４０と鍵生成用ベクトル生成部１５０とは、数１６７に示すＧｅｎＫｅｙアルゴリズムを処理装置により実行する。これにより、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）と、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１，．．．，ｎ）とを含む第Ｌ層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ）が生成される。

　（Ｓ３０５：鍵配布ステップ）
　鍵配布部１６０は、マスター鍵生成部１１０が生成したマスター公開鍵と、鍵ベクトル生成部１３０とランダム化ベクトル生成部１４０と鍵生成用ベクトル生成部１５０とが生成した鍵情報ｋ^→＊ _Ｌとを復号装置３００へ通信装置を介して送信する。また、鍵配布部１６０は、マスター公開鍵を暗号化装置２００へ通信装置を介して送信する。ここで、鍵情報ｋ^→＊ _Ｌは秘密裡に復号装置３００へ送信されるが、鍵情報ｋ^→＊ _Ｌを秘密裡に復号装置３００へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。

　暗号化装置２００の機能と動作とについて説明する。暗号化装置２００は、送信情報設定部２１０、暗号ベクトル生成部２２０、暗号情報生成部２３０、データ送信部２４０、公開鍵取得部２５０を備える。
　なお、以下の処理の前に、公開鍵取得部２５０は、マスター公開鍵ｐｋと、復号装置３００の述語情報ベクトルに対応する属性情報ベクトルを取得しているものとする。

　（Ｓ４０１：送信情報設定ステップ）
　送信情報設定部２１０は、マスター公開鍵ｐｋに基づき、数１６８を処理装置により計算して送信情報ベクトルζｖを生成する。

　つまり、（１）送信情報設定部２１０は、乱数ζを処理装置により生成する。
　（２）送信情報設定部２１０は、マスター公開鍵ｐｋに含まれる基底Ｂ＾の基底ベクトルｄ_ｎ＋１に対する係数として乱数ζを処理装置により設定して、送信情報ベクトルζｖを生成する。

　（Ｓ４０２：暗号ベクトルｃ_１生成ステップ）
　暗号ベクトル生成部２２０は、マスター公開鍵ｐｋと、数１６９に示す属性ベクトル（ｘ^→ _１，．．．，ｘ^→ _Ｌ）とに基づき、数１７０を処理装置により計算して暗号ベクトルｃ_１を生成する。

　つまり、（１）暗号ベクトル生成部２２０は、乱数（ｘ^→ _Ｌ＋１，．．．，ｘ^→ _ｄ）と、乱数δ_ｉ（ｉ＝１，．．．，ｄ，ｎ＋３）を処理装置により生成する。
　（２）暗号ベクトル生成部２２０は、マスター公開鍵ｐｋに含まれる基底Ｂの基底ベクトルｂ_ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として属性ベクトルの各要素を処理装置により設定する。つまり、基底ベクトルｂ_ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、属性ベクトルの各要素が埋め込まれる。また、暗号ベクトル生成部２２０は、基底ベクトルｂ_ｉ（ｉ＝μ_Ｌ＋１，．．．，ｎ）に対する係数として乱数を処理装置により設定する。これにより、暗号ベクトル生成部２２０は、ベクトルｘｖを生成する。
　（３）暗号ベクトル生成部２２０は、マスター公開鍵ｐｋに含まれる基底Ｂの基底ベクトルｂ_ｎ＋３に対する係数として乱数δ_ｎ＋３を処理装置により設定して、ベクトルｒｖを生成する。
　（４）暗号ベクトル生成部２２０は、生成したベクトルｘｖとベクトルｒｖとを、送信情報設定部２１０が生成した送信情報ベクトルζｖに加算して暗号ベクトルｃ_１を処理装置により生成する。
　なお、ベクトルｒｖは、安全性を高くするために加えられるものであり、必須の要素ではない。

　（Ｓ４０３：暗号情報ｃ_２生成ステップ）
　暗号情報生成部２３０は、平文情報ｍに基づき、数１７１を処理装置により計算して暗号情報ｃ_２を生成する。

　（Ｓ４０４：データ送信ステップ）
　データ送信部２４０は、暗号ベクトル生成部２２０が生成した暗号ベクトルｃ_１と、暗号情報生成部２３０が生成した暗号情報ｃ_２とを復号装置３００へ通信装置を介して送信する。

　すなわち、暗号化装置２００は、数１７２に示すＥｎｃアルゴリズムを実行して、暗号ベクトルｃ_１と暗号情報ｃ_２とを生成する。

　復号装置３００の機能と動作とについて説明する。復号装置３００は、ベクトル入力部３１０、鍵ベクトル記憶部３２０、ペアリング演算部３３０を備える。

　（Ｓ５０１：ベクトル入力ステップ）
　ベクトル入力部３１０は、暗号化装置２００のデータ送信部２４０が送信した暗号ベクトルｃ_１と暗号情報ｃ_２とを通信装置を介して受信して入力する。

　（Ｓ５０２：復号ステップ）
　ペアリング演算部３３０は、マスター公開鍵ｐｋと第Ｌ層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とに基づき、数１７３を処理装置により計算して平文情報ｍ’を生成する。

　つまり、ペアリング演算部３３０は、ベクトル入力部３１０が入力した暗号ベクトルｃ_１と、鍵ベクトル記憶部３２０が記憶装置に記憶した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、ペアリング演算ｅを処理装置により行う。これにより、ペアリング演算部３３０は、ｇ^ζ _Ｔを計算する。そして、計算したｇ^ζ _Ｔで暗号情報ｃ_２（＝ｇ^ζ _Ｔｍ）を除することにより、平文情報ｍ’（＝ｍ）を計算する。なお、鍵ベクトル記憶部３２０は、鍵生成装置１００又は上位の鍵委譲装置４００から鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を配布された際、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶装置に記憶している。
　ここで、暗号化装置２００が暗号化に用いた属性ベクトルｘ^→ _ｉ（ｉ＝１，．．．，ｈ）と、復号装置３００が復号に用いた鍵ベクトルの述語ベクトルｖ^→ _ｉ（ｉ＝１，．．．，Ｌ）とについて、Ｌ≦ｈであり、全てのｉ（ｉ＝１，．．．，Ｌ）についてｘ^→ _ｉ・ｖ^→ _ｉ＝０であれば、数１７４に示すように、暗号ベクトルｃ_１と鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについてペアリング演算ｅを行うことにより、ｇ^ζ _Ｔを得ることができる。

　つまり、復号装置３００は、数１７５に示すＤｅｃアルゴリズムを実行して、平文情報ｍ’を生成する。

　鍵委譲装置４００の機能と動作とについて説明する。鍵委譲装置４００は、鍵ベクトル取得部４１０（鍵生成用ベクトル取得部）、鍵ベクトル生成部４２０、ランダム化ベクトル生成部４３０、鍵生成用ベクトル生成部４４０、鍵配布部４５０を備える。

　（Ｓ６０１：鍵情報ｋ^＊ _Ｌ取得ステップ）
　鍵ベクトル取得部４１０は、第Ｌ層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）と、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１，．．．，ｎ）とを含む第Ｌ層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ）を通信装置を介して取得する。

　（Ｓ６０２：鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}生成ステップ）
　鍵ベクトル生成部４２０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数１７６に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数１７７を計算して、第Ｌ＋１層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を処理装置により生成する。

　つまり、（１）鍵ベクトル生成部４２０は、乱数α_０，ｉ（ｉ＝１，．．．，Ｌ＋１）と乱数σ_０とを処理装置により生成する。
　（２）鍵ベクトル生成部４２０は、ｉ＝１，．．．，Ｌ＋１の各ｉについて、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}の係数を乱数α_０，ｉ倍したベクトルを加算して、ベクトルｒｖを処理装置により生成する。なお、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}（ｉ＝１，．．．，Ｌ＋１）における基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれている。そのため、ベクトルｒｖにおける基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、乱数倍された述語ベクトルの各要素が埋め込まれる。
　（３）鍵ベクトル生成部４２０は、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｉ}（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）の係数に述語ベクトルｖ^→ _Ｌ＋１の各要素を設定したベクトルを加算し、乱数σ_０倍してベクトルｖｖを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）に対する係数には、述語ベクトルの各要素が埋め込まれる。
　（４）鍵ベクトル生成部４２０は、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と、ベクトルｒｖとベクトルｖｖとを加算して、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を処理装置により生成する。

　（Ｓ６０３：ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}生成ステップ）
　ランダム化ベクトル生成部４３０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数１７６に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数１７８を計算して、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋２）を生成する。ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋２）は、下位の鍵のうち、述語ベクトルの各要素が埋め込まれる基底ベクトルに対する係数を一様に分布させるためのベクトルである。なお、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}は、第Ｌ＋１層目の秘密鍵のｊ番目の要素である。

　つまり、（１）ランダム化ベクトル生成部４３０は、乱数α_ｊ，ｉ（ｊ＝１，．．．，Ｌ＋２；ｉ＝１，．．．，Ｌ）と乱数σ_ｊ（ｊ＝１，．．．，Ｌ＋２）とを処理装置により生成する。
　（２）ランダム化ベクトル生成部４３０は、ｊ＝１，．．．，Ｌ＋２の各ｊについて、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}（ｉ＝１，．．．，Ｌ＋１）の係数を乱数α_ｊ，ｉ（ｉ＝１，．．．，Ｌ＋１）倍してベクトルｒｖ_ｊを処理装置により生成する。上述したように、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}（ｉ＝１，．．．，Ｌ＋１）における基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれている。そのため、ベクトルｒｖ_ｊにおける基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、乱数倍された述語ベクトルの各要素が埋め込まれる。
　（３）ランダム化ベクトル生成部４３０は、ｊ＝１，．．．，Ｌ＋２の各ｊについて、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｉ}（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）の係数に述語ベクトルの各要素を設定したベクトルを加算し、乱数σ_ｊ倍してベクトルｖｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）に対する係数には、述語ベクトルの各要素が埋め込まれる。
　（４）ランダム化ベクトル生成部４３０は、ｊ＝１，．．．，Ｌ＋２の各ｊについて、生成したベクトルｒｖ_ｊとベクトルｖｖ_ｊとを加算して、ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}を処理装置により生成する。

　（Ｓ６０４：鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}生成ステップ）
　鍵生成用ベクトル生成部４４０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数１７６に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数１７９を計算して、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）を処理装置により生成する。鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）は、下位の秘密鍵（下位の鍵ベクトル）を生成するためのベクトルである。なお、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}は、第Ｌ＋１層目の秘密鍵のｊ番目の要素である。

　つまり、（１）鍵生成用ベクトル生成部４４０は、乱数α_ｊ，ｉ（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ；ｉ＝１，．．．，Ｌ＋１）と、乱数σ_ｊ（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）と、乱数ψ’とを処理装置により生成する。
　（２）鍵生成用ベクトル生成部４４０は、ｊ＝μ_Ｌ＋１＋１，．．．，ｎの各ｊについて、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}（ｉ＝１，．．．，Ｌ＋１）の係数を乱数α_ｊ，ｉ倍したベクトルｒｖ_ｊを処理装置により生成する。上述したように、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}（ｉ＝１，．．．，Ｌ＋１）における基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、述語ベクトルの各要素が埋め込まれている。そのため、ベクトルｒｖ_ｊにおける基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数には、乱数倍された述語ベクトルの各要素が埋め込まれる。
　（３）鍵生成用ベクトル生成部４４０は、ｊ＝μ_Ｌ＋１＋１，．．．，ｎの各ｊについて、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｉ}（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）の係数に述語ベクトルの各要素を設定したベクトルを加算し、乱数σ_ｊ倍してベクトルｖｖ_ｊを処理装置により生成する。つまり、基底ベクトルｂ^＊ _ｉ（ｉ＝μ_Ｌ＋１，．．．，μ_Ｌ＋１）に対する係数には、述語ベクトルの各要素が埋め込まれる。
　（４）鍵生成用ベクトル生成部４４０は、ｊ＝μ_Ｌ＋１＋１，．．．，ｎの各ｊについて、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}の係数を乱数ψ’倍して、ベクトルψｖ_ｊを処理装置により生成する。なお、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}における基底ベクトルｂ^＊ _ｊ（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）に対する係数には、述語ベクトルの要素が埋め込まれている。そのため、ベクトルψｖ_ｊ（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）における基底ベクトルｂ^＊ _ｊに対する係数には、乱数倍された述語ベクトルの要素が埋め込まれる。
　（５）鍵生成用ベクトル生成部４４０は、ｊ＝μ_Ｌ＋１＋１，．．．，ｎの各ｊについて、生成したベクトルｒｖ_ｊと、ベクトルｖｖ_ｊと、ベクトルψｖ_ｊとを加算して、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）を処理装置により生成する。

　すなわち、（Ｓ６０２）から（Ｓ６０４）において、鍵ベクトル生成部４２０とランダム化ベクトル生成部４３０と鍵生成用ベクトル生成部４４０とは、数１８０に示すＤｅｌｅｇａｔｅ_Ｌアルゴリズムを実行して、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋２）と、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝μ_Ｌ＋１＋１，．．．，ｎ）とを含む第Ｌ＋１層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ＋１）を処理装置により生成する。

　（Ｓ６０５：鍵配布ステップ）
　鍵配布部４４０は、鍵ベクトル生成部４２０とランダム化ベクトル生成部４３０と鍵生成用ベクトル生成部４４０とが生成した鍵情報ｋ^→＊ _Ｌ＋１を下位の復号装置３００へ通信装置を介して送信する。ここで、鍵情報ｋ^→＊ _Ｌ＋１は秘密裡に復号装置３００へ送信されるが、鍵情報ｋ^→＊ _Ｌ＋１を秘密裡に復号装置３００へ送信する方法に関しては、どのような方法であっても構わない。例えば、従来の暗号処理を使用して送信してもよい。

　以上のように、暗号処理システム１０が実現する暗号処理は、非特許文献１８で提案されている暗号処理よりも安全性が高く、標準のモデル（Ｓｔａｎｄａｒｄ　Ｍｏｄｅｌ）における安全性を証明することができる。
　この理由は、主に以下の（１）（２）の２点である。
　（１）暗号化装置２００が送信情報を設定する基底ベクトルｄ_ｎ＋１が２次元（基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２）である。これにより、基底ベクトルｄ_ｎ＋１に対応する鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}における基底ベクトルｂ^＊ _ｎ＋１と基底ベクトルｂ^＊ _ｎ＋２とに対する係数をランダムに選択することが可能となる。また、基底ベクトルｄ_ｎ＋１が公開されるだけであり、基底ベクトルｂ_ｎ＋１と基底ベクトルｂ_ｎ＋２とは秘密にされている。
　（２）鍵委譲装置４００が下位の鍵を生成する場合に、ランダム化ベクトルを用いて生成する。これにより、下位の鍵の所定の基底ベクトルに対する係数をランダム化することができ、下位の鍵を生成することによって、鍵の安全性が劣化しない。
　ここで、ランダム化ベクトルを用いない場合、鍵情報ｋ^→＊ _Ｌから生成される２つの下位の鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）と鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）とは、数１８１のようになる。

　つまり、ランダム化ベクトルを用いない場合、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}に含まれる述語情報が設定された基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）の係数は、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）と鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）との間で共通になってしまう。
　しかし、ランダム化ベクトルを用いる場合、鍵情報ｋ^→＊ _Ｌから生成される２つの下位の鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）と鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）とは、数１８２のようになる。

　つまり、ランダム化ベクトルを用いる場合、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）には、乱数α_Ａ，ｉで係数の値を一様に分布したランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}が加えられ、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）には、乱数α_Ｂ，ｉで係数の値を一様に分布したランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}が加えられる。ここで、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｉ}には、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）が含まれている。したがって、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）と鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）とにおける基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）の係数の値は一様に分布している。つまり、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ａ）と鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}（Ｂ）とにおいて、述語情報が設定された基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）の係数は異なる。

　なお、以上の説明では、暗号化装置２００が送信情報を設定する基底ベクトルｄ_ｎ＋１を２次元とした。しかし、基底ベクトルｄ_ｎ＋１は３次元以上のｍ次元（基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍ）であってもよい。
　この場合には、（Ｓ３０１）において、マスター鍵生成部１１０は、Ｎ＝ｎ＋ｍ＋１とする。また、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}生成ステップ（Ｓ３０２）において、鍵ベクトル生成部１３０は、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数の和が１になるように、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数を設定する。また、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}生成ステップ（Ｓ３０３）において、ランダム化ベクトル生成部１４０は、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数の和が０になるように、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数を設定する。同様に、鍵生成ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}生成ステップ（Ｓ３０４）において、鍵生成用ベクトル生成部１５０は、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数の和が０になるように、基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍに対する係数を設定する。また、暗号ベクトルｃ_１生成ステップ（Ｓ４０２）において、暗号ベクトル生成部２２０は、基底ベクトルｂ_{ｎ＋ｍ＋１}に対する係数として乱数を設定してベクトルｒｖを生成する。

　また、上記説明では、Ｎ（＝ｎ＋３）次元ベクトル空間で暗号処理を実現したが、権限委譲のない暗号処理であれば、ｎは１以上の整数である。したがって、Ｎは４以上の整数である。また、権限委譲を有する暗号処理であれば、ｎは２以上の整数である。したがって、Ｎは５以上の整数である。なお、上述したように、（Ｓ４０２）において、暗号化装置２００が基底ベクトルｂ_ｎ＋３を用いて、ベクトルｒｖを生成することは必須ではない。ベクトルｒｖを生成しないのであれば、Ｎ（＝ｎ＋２）次元ベクトル空間で暗号処理を実現できる。したがって、権限委譲のない暗号処理であれば、Ｎは３以上の整数であり、権限委譲を有する暗号処理であれば、Ｎは４以上の整数である。

　また、上述した暗号処理では、双対ペアリングベクトル空間であることの条件に含まれていたディストーション写像を利用していない。ディストーション写像については、暗号処理を実現するアルゴリズムでは使用せず、暗号処理の安全性を証明するために使用する。したがって、上述した暗号処理は、ディストーション写像がない空間であっても成立するということができる。すなわち、上述した暗号処理を実現する空間にディストーション写像があることは、必須ではない。以下に説明する暗号処理についても同様である。

　また、上記説明では、階層的述語暗号について説明した。次に、階層的述語鍵秘匿方式について説明する。階層的述語鍵秘匿方式について、上述した階層的述語暗号と異なる部分のみを説明する。
　図１７は、階層的述語鍵秘匿方式を実現する暗号処理システム１０の機能を示す機能ブロック図である。
　ここで、鍵生成装置１００の処理と鍵委譲装置４００の処理とは、上述した階層的述語暗号の場合と同様である。そこで、ここでは、暗号化装置２００の処理と復号装置３００の処理とのみを説明する。
　図１８は、暗号化装置２００の動作を示すフローチャートである。図１９は、復号装置３００の動作を示すフローチャートである。

　暗号化装置２００の機能と動作とについて説明する。
　図１７に示す暗号化装置２００は、図１１に示す暗号化装置２００が備える機能に加え、セッション鍵生成部２６０を備える。なお、図１７に示す暗号化装置２００は、図１１に示す暗号化装置２００が備える暗号情報生成部２３０は備えていない。
　（Ｓ７０１）と（Ｓ７０２）とは、（Ｓ４０１）と（Ｓ４０２）と同様である。
　（Ｓ７０３：データ送信ステップ）では、（Ｓ７０２）で暗号ベクトル生成部２２０が生成した暗号ベクトルｃ_１を復号装置３００へ通信装置を介して送信する。つまり、階層的述語鍵秘匿方式では、平文情報ｍを埋め込んだ暗号情報ｃ_２は生成されず、復号装置３００へ送信されない。
　（Ｓ７０４：セッション鍵生成ステップ）では、セッション鍵生成部２６０が数１８３を処理装置により計算してセッション鍵Ｋを生成する。

　すなわち、暗号化装置２００は、数１８４に示すＥｎｃアルゴリズムを実行して、暗号ベクトルｃ_１とセッション鍵Ｋとを生成する。

　復号装置３００の機能と動作とについて説明する。
　図１７に示す復号装置３００は、図１１に示す復号装置３００と同様の機能構成である。
　（Ｓ８０１：ベクトル入力ステップ）
　ベクトル入力部３１０は、暗号化装置２００のデータ送信部２４０が送信した暗号ベクトルｃ_１を通信装置を介して受信して入力する。

　（Ｓ８０２：復号ステップ）
　ペアリング演算部３３０は、マスター公開鍵ｐｋと第Ｌ層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とに基づき、数１８５を処理装置により計算してセッション鍵Ｋを生成する。

　つまり、ペアリング演算部３３０は、ベクトル入力部３１０が入力した暗号ベクトルｃ_１と、鍵ベクトル記憶部３２０が記憶装置に記憶した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、ペアリング演算ｅを処理装置により行う。これにより、ペアリング演算部３３０は、暗号化装置２００が埋め込んだζに関する値であるｇ^ζ _Ｔ（＝Ｋ）を計算する。

　すなわち、復号装置３００は、数１８６に示すＤｅｃアルゴリズムを実行して、セッション鍵Ｋ’（＝Ｋ）を生成する。

　以上のように、階層的述語鍵秘匿方式によれば、暗号化装置２００から復号装置３００へ、セッション鍵Ｋを秘密裡に送信することができる。つまり、暗号化装置２００と復号装置３００との間でセッション鍵を共有することができる。

　実施の形態３．
　実施の形態３では、実施の形態２で説明した階層的述語暗号と階層的述語鍵秘匿方式とよりも一般化された権限委譲を有する述語暗号について説明する。

　上述したように、実施の形態２で説明した階層的述語暗号と階層的述語鍵秘匿方式とでは、図１６に示すように基底ベクトルを使用した。つまり、ｎ＋３個の基底ベクトルのうち、ｎ個の基底ベクトルを属性ベクトルや述語ベクトルのための基底ベクトルとして、階層構造を表すために使用した。特に、初めのμ_１個の基底ベクトルを第１層目の属性ベクトルや述語ベクトルのための基底ベクトルとし、μ_２－μ_１個の基底ベクトルを第２層目の属性ベクトルや述語ベクトルのための基底ベクトルとし、以下同様に、μ_Ｌ－μ_Ｌ－１個の基底ベクトルを第Ｌ層目の属性ベクトルや述語ベクトルのための基底ベクトルとした。
　そして、第Ｌ層目の鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を数１６４に示すように計算した。つまり、第Ｌ層目の鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}は、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，Ｌ）に対する係数として述語ベクトルの各要素を割り当てられ、基底ベクトルｂ^＊ _ｉ（ｉ＝Ｌ＋１，．．．，ｎ）に対する係数として０を割り当てられた。
　また、第Ｌ層目の暗号ベクトルｃ_１を数１７０に示すように計算した。つまり、第Ｌ層目の暗号ベクトルｃ_１は、基底ベクトルｂ_ｉ（ｉ＝１，．．．，Ｌ）に対する係数として属性ベクトルの各要素を割り当てられ、基底ベクトルｂ_ｉ（ｉ＝Ｌ＋１，．．．，ｎ）に対する係数として乱数を割り当てられた。
　これにより、階層的に権限委譲することが実現された。

　実施の形態３で説明する述語暗号（述語鍵秘匿方式）では、実施の形態２の場合と同様に、ｎ＋３個の基底ベクトルのうち、ｎ個の基底ベクトルを属性ベクトルや述語ベクトルのための基底ベクトルとして使用する。しかし、どの鍵であっても（上位の鍵であっても、下位の鍵であっても）、ｎ個の基底ベクトル全てを述語ベクトルのための基底ベクトルとする。つまり、ｎ個の基底ベクトル全てを常に属性ベクトルや述語ベクトルのための基底ベクトルとする。
　そして、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}は、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）に対する係数として述語ベクトルの各要素を割り当てられる。また、第Ｌ層目の暗号ベクトルｃ_１は、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）に対する係数として属性ベクトルの各要素を割り当てられる。
　つまり、ｎ個の基底ベクトルについて階層構造という概念はない。また、秘密鍵が階層的に権限委譲される概念はない。そのため、実施の形態２で説明した暗号方式に比べ、より自由度の高い権限委譲が可能となる。

　まず、権限委譲を有する述語暗号を実現する場合について説明する。
　図２０は、権限委譲を有する述語暗号を実現する暗号処理システム１０の機能を示す機能ブロック図である。なお、図２０に示す暗号処理システム１０が備える機能は、図１１に示す暗号処理システム１０が備える機能と同様である。
　権限委譲を有する述語暗号を実現する場合における実施の形態３に係る暗号処理システム１０の動作の流れは、実施の形態２に係る暗号処理システム１０の動作の流れと同様である。そこで、図２０と、図１２から図１６とに基づき、実施の形態３に係る暗号処理システム１０の機能と動作とについて説明する。

　鍵生成装置１００の機能と動作とについて説明する。
　（Ｓ３０１：マスター鍵生成ステップ）
　実施の形態２における（Ｓ３０１）と同様に、マスター鍵生成部１１０は、数１８７を計算して、マスター公開鍵ｐｋとマスター秘密鍵ｓｋとを処理装置により生成してマスター鍵記憶部１２０に記憶する。

　（Ｓ３０２：鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}生成ステップ）
　鍵ベクトル生成部１３０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１８８に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１８９を計算して、第Ｌ層目（レベルＬ）の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を処理装置により生成する。

　（Ｓ３０３：ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}生成ステップ）
　ランダム化ベクトル生成部１４０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１８８に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１９０を計算して、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）を生成する。

　（Ｓ３０４：鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}生成ステップ）
　鍵生成用ベクトル生成部１５０は、マスター公開鍵ｐｋとマスター秘密鍵ｓｋと、数１８８に示す述語ベクトル（ｖ^→ _１，．．．，ｖ^→ _Ｌ）とに基づき、数１９１を計算して、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝１，．．．，ｎ）を処理装置により生成する。

　すなわち、（Ｓ３０２）から（Ｓ３０４）において、鍵ベクトル生成部１３０とランダム化ベクトル生成部１４０と鍵生成用ベクトル生成部１５０とは、数１９２に示すＧｅｎＫｅｙアルゴリズムを処理装置により実行する。これにより、鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）と、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝１，．．．，ｎ）とを含む第Ｌ層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ）が生成される。

　（Ｓ３０５：鍵配布ステップ）
　実施の形態２における（Ｓ３０５）と同様に、鍵配布部１６０は、マスター鍵生成部１１０が生成したマスター公開鍵と、鍵ベクトル生成部１３０とランダム化ベクトル生成部１４０と鍵生成用ベクトル生成部１５０とが生成した鍵情報ｋ^→＊ _Ｌとを復号装置３００へ通信装置を介して送信する。また、鍵配布部１６０は、マスター公開鍵を暗号化装置２００へ通信装置を介して送信する。

　暗号化装置２００の機能と動作とについて説明する。
　（Ｓ４０１：送信情報設定ステップ）
　実施の形態２における（Ｓ４０１）と同様に、送信情報設定部２１０は、マスター公開鍵ｐｋに基づき、数１９３を処理装置により計算して送信情報ベクトルζｖを生成する。

　（Ｓ４０２：暗号ベクトルｃ_１生成ステップ）
　暗号ベクトル生成部２２０は、マスター公開鍵ｐｋと、数１９４に示す属性ベクトル（ｘ^→ _１，．．．，ｘ^→ _Ｌ）とに基づき、数１９５を処理装置により計算して暗号ベクトルｃ_１を生成する。

　（Ｓ４０３：暗号情報ｃ_２生成ステップ）
　実施の形態２における（Ｓ４０３）と同様に、暗号情報生成部２３０は、平文情報ｍに基づき、数１９６を処理装置により計算して暗号情報ｃ_２を生成する。

　（Ｓ４０４：データ送信ステップ）
　実施の形態２における（Ｓ４０４）と同様に、データ送信部２４０は、暗号ベクトル生成部２２０が生成した暗号ベクトルｃ_１と、暗号情報生成部２３０が生成した暗号情報ｃ_２とを復号装置３００へ通信装置を介して送信する。

　すなわち、暗号化装置２００は、数１９７に示すＥｎｃアルゴリズムを実行して、暗号ベクトルｃ_１と暗号情報ｃ_２とを生成する。

　復号装置３００の機能と動作とについて説明する。
　（Ｓ５０１：ベクトル入力ステップ）
　実施の形態２における（Ｓ５０１）と同様に、ベクトル入力部３１０は、暗号化装置２００のデータ送信部２４０が送信した暗号ベクトルｃ_１と暗号情報ｃ_２とを通信装置を介して受信して入力する。

　（Ｓ５０２：復号ステップ）
　実施の形態２における（Ｓ５０２）と同様に、ペアリング演算部３３０は、マスター公開鍵ｐｋと第Ｌ層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とに基づき、数１９８を処理装置により計算して平文情報ｍ’を生成する。

　ここで、暗号化装置２００が暗号化に用いた属性ベクトルｘ^→ _ｉ（ｉ＝１，．．．，ｈ）と、復号装置３００が復号に用いた鍵ベクトルの述語ベクトルｖ^→ _ｊ（ｊ＝１，．．．，Ｌ）とについて、全てのｉ（ｉ＝１，．．．，ｈ）、ｊ（ｊ＝１，．．．，Ｌ）についてｘ^→ _ｉ・ｖ^→ _ｊ＝０であるなら、ペアリング演算部３３０は、平文情報ｍを生成することができる。なお、平文情報ｍ∈Ｇ_Ｔであるとする。

　つまり、復号装置３００は、数１９９に示すＤｅｃアルゴリズムを実行して、平文情報ｍ’を生成する。

　鍵委譲装置４００の機能と動作とについて説明する。
　（Ｓ６０１：鍵情報ｋ^→＊ _Ｌ取得ステップ）
　実施の形態２における（Ｓ６０１）と同様に、鍵ベクトル取得部４１０は、第Ｌ層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋１）と、鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}（ｊ＝１，．．．，ｎ）とを含む第Ｌ層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ）を通信装置を介して取得する。

　（Ｓ６０２：鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}生成ステップ）
　鍵ベクトル生成部４２０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数２００に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数２０１を計算して、第Ｌ＋１層目の秘密鍵の先頭要素である鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を処理装置により生成する。

　（Ｓ６０３：ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}生成ステップ）
　ランダム化ベクトル生成部４３０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数２００に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数２０２を計算して、ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋２）を生成する。

　（Ｓ６０４：鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}生成ステップ）
　鍵生成用ベクトル生成部４４０は、マスター公開鍵ｐｋと鍵情報ｋ^→＊ _Ｌと数２００に示す述語ベクトルｖ^→ _Ｌ＋１とに基づき、数２０３を計算して、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝１，．．．，ｎ）を処理装置により生成する。

　すなわち、（Ｓ６０２）から（Ｓ６０４）において、鍵ベクトル生成部４２０とランダム化ベクトル生成部４３０と鍵生成用ベクトル生成部４４０とは、数２０４に示すＤｅｌｅｇａｔｅ_Ｌアルゴリズムを実行して、鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}と、ランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}（ｊ＝１，．．．，Ｌ＋２）と、鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}（ｊ＝１，．．．，ｎ）とを含む第Ｌ＋１層目の秘密鍵（鍵情報ｋ^→＊ _Ｌ＋１）を処理装置により生成する。

　（Ｓ６０５：鍵配布ステップ）
　実施の形態２における（Ｓ６０５）と同様に、鍵配布部４５０は、鍵ベクトル生成部４２０とランダム化ベクトル生成部４３０と鍵生成用ベクトル生成部４４０とが生成した鍵情報ｋ^→＊ _Ｌ＋１を下位の復号装置３００へ通信装置を介して送信する。

　上述したように、暗号化装置２００が暗号化に用いた属性ベクトルｘ^→ _ｊ（ｉ＝１，．．．，ｈ）と、復号装置３００が復号に用いた鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}の述語ベクトルｖ^→ _ｉ（ｊ＝１，．．．，Ｌ）とについて、全てのｉ（ｉ＝１，．．．，ｈ）、ｊ（ｊ＝１，．．．，Ｌ）についてｘ^→ _ｉ・ｖ^→ _ｊ＝０であるなら、復号装置３００は復号することができる。つまり、述語ベクトル（ｖ^→ _１）に基づき生成された鍵ベクトルｋ^＊ _{１，ｄｅｃ}で復号する場合、ｘ^→・ｖ^→ _１＝０であるなら、復号装置３００は復号することができる。また、述語ベクトル（ｖ^→ _１，ｖ^→ _２）に基づき生成された鍵ベクトルｋ^＊ _{２，ｄｅｃ}で復号する場合、ｘ^→・ｖ^→ _１＝０かつｘ^→・ｖ^→ _２＝０であるなら、復号装置３００は復号することができる。つまり、実施の形態２で説明したアルゴリズムと同様に、下位の鍵ベクトルｋ^＊ _{２，ｄｅｃ}は、上位の鍵ベクトルｋ^＊ _{１，ｄｅｃ}よりも機能が制限されている。

　なお、実施の形態２と同様に、以上の説明では、暗号化装置２００が送信情報を設定する基底ベクトルｄ_ｎ＋１を２次元とした。しかし、基底ベクトルｄ_ｎ＋１は３次元以上のｍ次元（基底ベクトルｂ_ｎ＋１，．．．，基底ベクトルｂ_ｎ＋ｍ）であってもよい。

　また、実施の形態２と同様に、暗号化装置２００が実行するＥｎｃアルゴリズムと、復号装置３００が実行するＤｅｃアルゴリズムとを、それぞれ数２０５と数２０６とのように変更することで、階層的述語鍵秘匿方式を実現することも可能である。

　実施の形態４．
　以上の実施の形態では、双対ベクトル空間において暗号処理を実現する方法について説明した。この実施の形態では、双対加群において暗号処理を実現する方法について説明する。

　つまり、以上の実施の形態では、素数位数ｑの巡回群において暗号処理を実現した。しかし、合成数Ｍを用いて数２０７のように環Ｒを表した場合、環Ｒを係数とする加群においても、上記実施の形態で説明した暗号処理を適用することができる。

　例えば、実施の形態２で説明した階層的述語暗号を、環Ｒを係数とする加群において実現すると数２０８から数２１２のようになる。

　ここでは、実施の形態２で説明した階層的述語暗号についてのみ、環Ｒを係数とする加群において実現する方法を示した。しかし、原則として、以上の実施の形態で体Ｆ_ｑとして説明した処理を、環Ｒに置き換えることにより、以上の実施の形態で説明した他の暗号処理についても、環Ｒを係数とする加群において実現できる。

　次に、実施の形態における暗号処理システム１０（鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００）のハードウェア構成について説明する。
　図２１は、鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００のハードウェア構成の一例を示す図である。
　図２１に示すように、鍵生成装置１００、暗号化装置２００、復号装置３００、鍵委譲装置４００は、プログラムを実行するＣＰＵ９１１（Ｃｅｎｔｒａｌ・Ｐｒｏｃｅｓｓｉｎｇ・Ｕｎｉｔ、中央処理装置、処理装置、演算装置、マイクロプロセッサ、マイクロコンピュータ、プロセッサともいう）を備えている。ＣＰＵ９１１は、バス９１２を介してＲＯＭ９１３、ＲＡＭ９１４、ＬＣＤ９０１（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）、キーボード９０２（Ｋ／Ｂ）、通信ボード９１５、磁気ディスク装置９２０と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置９２０（固定ディスク装置）の代わりに、光ディスク装置、メモリカード読み書き装置などの記憶装置でもよい。磁気ディスク装置９２０は、所定の固定ディスクインタフェースを介して接続される。

　ＲＯＭ９１３、磁気ディスク装置９２０は、不揮発性メモリの一例である。ＲＡＭ９１４は、揮発性メモリの一例である。ＲＯＭ９１３とＲＡＭ９１４と磁気ディスク装置９２０とは、記憶装置（メモリ）の一例である。また、キーボード９０２、通信ボード９１５は、入力装置の一例である。また、通信ボード９１５は、通信装置（ネットワークインタフェース）の一例である。さらに、ＬＣＤ９０１は、表示装置の一例である。

　磁気ディスク装置９２０又はＲＯＭ９１３などには、オペレーティングシステム９２１（ＯＳ）、ウィンドウシステム９２２、プログラム群９２３、ファイル群９２４が記憶されている。プログラム群９２３のプログラムは、ＣＰＵ９１１、オペレーティングシステム９２１、ウィンドウシステム９２２により実行される。

　プログラム群９２３には、上記の説明において「マスター鍵生成部１１０」、「マスター鍵記憶部１２０」、「鍵ベクトル生成部１３０」、「ランダム化ベクトル生成部１４０」、「鍵生成用ベクトル生成部１５０」、「鍵配布部１６０」、「送信情報設定部２１０」、「暗号ベクトル生成部２２０」、「暗号情報生成部２３０」、「データ送信部２４０」、「公開鍵取得部２５０」、「セッション鍵生成部２６０」、「ベクトル入力部３１０」、「鍵ベクトル記憶部３２０」、「ペアリング演算部３３０」、「鍵ベクトル取得部４１０」、「鍵ベクトル生成部４２０」、「ランダム化ベクトル生成部４３０」、「鍵生成用ベクトル生成部４４０」、「鍵配布部４５０」等として説明した機能を実行するソフトウェアやプログラムやその他のプログラムが記憶されている。プログラムは、ＣＰＵ９１１により読み出され実行される。
　ファイル群９２４には、上記の説明において「マスター公開鍵ｐｋ」、「マスター秘密鍵ｓｋ」、「暗号ベクトルｃ」、「鍵ベクトル」等の情報やデータや信号値や変数値やパラメータが、「ファイル」や「データベース」の各項目として記憶される。「ファイル」や「データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してＣＰＵ９１１によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのＣＰＵ９１１の動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のＣＰＵ９１１の動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。

　また、上記の説明におけるフローチャートの矢印の部分は主としてデータや信号の入出力を示し、データや信号値は、ＲＡＭ９１４のメモリ、その他光ディスク等の記録媒体やＩＣチップに記録される。また、データや信号は、バス９１２や信号線やケーブルその他の伝送媒体や電波によりオンライン伝送される。
　また、上記の説明において「～部」として説明するものは、「～回路」、「～装置」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。また、「～装置」として説明するものは、「～回路」、「～機器」、「～手段」、「～機能」であってもよく、また、「～ステップ」、「～手順」、「～処理」であってもよい。さらに、「～処理」として説明するものは「～ステップ」であっても構わない。すなわち、「～部」として説明するものは、ＲＯＭ９１３に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、ＲＯＭ９１３等の記録媒体に記憶される。プログラムはＣＰＵ９１１により読み出され、ＣＰＵ９１１により実行される。すなわち、プログラムは、上記で述べた「～部」としてコンピュータ等を機能させるものである。あるいは、上記で述べた「～部」の手順や方法をコンピュータ等に実行させるものである。

　１０　暗号処理システム、１００　鍵生成装置、１１０　マスター鍵生成部、１２０　マスター鍵記憶部、１３０　鍵ベクトル生成部、１４０　ランダム化ベクトル生成部、１５０　鍵生成用ベクトル生成部、１６０　鍵配布部、２００　暗号化装置、２１０　送信情報設定部、２２０　暗号ベクトル生成部、２３０　暗号情報生成部、２４０　データ送信部、２５０　公開鍵取得部、２６０　セッション鍵生成部、３００　復号装置、３１０　ベクトル入力部、３２０　鍵ベクトル記憶部、３３０　ペアリング演算部、４００　鍵委譲装置、４１０　鍵ベクトル取得部、４２０　鍵ベクトル生成部、４３０　ランダム化ベクトル生成部、４４０　鍵生成用ベクトル生成部、４５０　鍵配布部。

Claims

　数１に示すペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とを用いて述語暗号処理を行う暗号処理システムであり、
　前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，ｍ）の和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として属性情報を埋め込むとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を埋め込んだベクトルを暗号ベクトルｃ_１として処理装置により生成する暗号化装置と、
　前記空間Ｖ^＊の基底Ｂ^＊におけるベクトルであって、基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として述語情報を埋め込むとともに、前記基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、前記基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を埋め込んだベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として、前記暗号化装置が生成した暗号ベクトルｃ_１と前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、処理装置により数１に示すペアリング演算ｅ（ｃ_１，ｋ^＊ _{Ｌ，ｄｅｃ}）を行い前記暗号ベクトルｃ_１を復号して前記所定の情報に関する値を抽出する復号装置と
を備えることを特徴とする暗号処理システム。
　前記暗号処理システムは、さらに、
　前記基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，Ｎ）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝０，．．．，ｎ）の少なくとも一部の基底ベクトルに対する係数として述語情報を設定するとともに、基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、ｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を設定したベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として処理装置により生成する鍵生成装置を備え、
　前記復号装置は、前記鍵生成装置が生成した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を取得して、取得した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}と暗号ベクトルｃ_１とについて前記ペアリング演算を行う
ことを特徴とする請求項１に記載の暗号処理システム。
　前記暗号処理システムは、さらに、
　前記鍵生成装置が生成した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}が復号可能な暗号ベクトルのうちの一部の暗号ベクトルを復号可能なベクトルであって、述語情報を設定した基底ベクトルに対する係数として一様に分布させた値を持つ乱数を設定したベクトルを鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}として生成する鍵委譲装置
を備えることを特徴とする請求項２に記載の暗号処理システム。
　述語暗号における秘密鍵である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を生成する鍵生成装置であり、
　ペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖ^＊における所定の基底Ｂ^＊を記憶装置に記憶するマスター鍵記憶部と、
　前記マスター鍵記憶部が記憶した前記基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも一部の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として述語情報を設定するとともに、基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，Ｎ）うちの２つ以上の所定の基底ベクトルに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数を設定したベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として処理装置により生成する鍵ベクトル生成部と
を備えることを特徴とする鍵生成装置。
　前記鍵ベクトル生成部は、数２に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を生成する
ことを特徴とする請求項４に記載の鍵生成装置。
　前記鍵ベクトル生成部は、数３に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を生成する
ことを特徴とする請求項４に記載の鍵生成装置。
　前記鍵生成装置は、さらに、
　前記鍵ベクトル生成部が生成した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}で復号可能な暗号ベクトルのうちの一部の暗号ベクトルを復号可能な鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成するためのベクトルであって、少なくともｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値が設定された少なくともｎ－μ_Ｌ個のベクトルを鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}として処理装置により生成する鍵生成用ベクトル生成部と、
　前記鍵生成用ベクトル生成部が生成した鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}で生成される鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}のうち、述語情報が設定される基底ベクトルの係数に一様に分布した値を設定するためのベクトルであって、少なくともｊ＝１，．．．，Ｌ＋１の各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値が設定された少なくともＬ＋１個のベクトルをランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}として処理装置により生成するランダム化ベクトル生成部と
を備えることを特徴とする請求項４に記載の鍵生成装置。
　前記鍵ベクトル生成部は、数４に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を生成し、
　前記ランダム化ベクトル生成部は、数５に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を生成する
ことを特徴とする請求項７に記載の鍵生成装置。
　前記鍵ベクトル生成部は、数６に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を生成し、
　前記ランダム化ベクトル生成部は、数７に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を生成する
ことを特徴とする請求項７に記載の鍵生成装置。
　述語暗号における秘密鍵である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}で復号可能な暗号ベクトルのうちの一部の暗号ベクトルを復号可能な鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する鍵委譲装置であり、
　ペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖ^＊における所定の基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも一部の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として述語情報が設定されるとともに、基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数が設定された鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を取得する鍵ベクトル取得部と、
　少なくともｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値が設定された少なくともｎ－μ_Ｌ個の鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得する鍵生成用ベクトル取得部と、
　前記鍵生成用ベクトル取得部が取得した前記鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}の少なくとも一部の前記鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}の各基底ベクトルの係数を述語情報倍し、前記鍵ベクトル取得部が取得した前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}に加算して鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する鍵ベクトル生成部と
を備えることを特徴とする鍵委譲装置。
　前記鍵委譲装置は、さらに、
　少なくともｊ＝１，．．．，Ｌ＋１の各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値が設定された少なくともＬ＋１個のランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を取得するランダム化ベクトル取得部を備え、
　前記鍵ベクトル生成部は、前記ランダム化ベクトル取得部が取得した前記ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}の少なくとも一部の前記ランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}の各基底ベクトルの係数を乱数倍し、前記鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}にさらに加算して鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する
ことを特徴とする請求項１０に記載の鍵委譲装置。
　前記鍵ベクトル取得部は、数８に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を取得し、
　前記鍵生成用ベクトル取得部は、数９に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得し、
　前記ランダム化ベクトル取得部は、数１０に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を取得し、
　前記鍵ベクトル生成部は、数１１に示す鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する
ことを特徴とする請求項１１に記載の鍵委譲装置。
　前記鍵ベクトル取得部は、数１２に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を取得し、
　前記鍵生成用ベクトル取得部は、数１３に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得し、
　前記ランダム化ベクトル取得部は、数１４に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を取得し、
　前記鍵ベクトル生成部は、数１５に示す鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する
ことを特徴とする請求項１１に記載の鍵委譲装置。
　前記鍵委譲装置は、さらに、
　前記鍵ベクトル生成部が生成した鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}で復号可能な暗号ベクトルのうちの一部の暗号ベクトルを復号可能な鍵ベクトルｋ^＊ _{Ｌ＋２，ｄｅｃ}を生成するためのベクトルであって、少なくともｊ＝μ_Ｌ＋１＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値を設定した少なくともｎ－μ_Ｌ＋１個のベクトルを鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}として処理装置により生成する鍵生成用ベクトル生成部と、
　前記鍵生成用ベクトル生成部が生成した鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}で生成される鍵ベクトルｋ^＊ _{Ｌ＋２，ｄｅｃ}のうち、述語情報が設定される基底ベクトルの係数に一様に分布した値を設定するためのベクトルであって、少なくともｊ＝１，．．．，Ｌ＋２の各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値を設定した少なくともＬ＋２個のベクトルをランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}として処理装置により生成するランダム化ベクトル生成部と
を備えることを特徴とする請求項１１に記載の鍵委譲装置。
　前記鍵生成用ベクトル取得部は、数１６に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得し、
　前記ランダム化ベクトル取得部は、数１７に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を取得し、
　前記鍵ベクトル生成部は、数１８に示す鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}を生成し、
　前記ランダム化ベクトル生成部は、数１９に示すランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}を生成する
ことを特徴とする請求項１４に記載の鍵委譲装置。
　前記鍵生成用ベクトル取得部は、数２０に示す鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得し、
　前記ランダム化ベクトル取得部は、数２１に示すランダム化ベクトルｋ^＊ _{Ｌ，ｒａｎ，ｊ}を取得し、
　前記鍵ベクトル生成部は、数２２に示す鍵生成用ベクトルｋ^＊ _{Ｌ＋１，ｄｅｌ，ｊ}を生成し、
　前記ランダム化ベクトル生成部は、数２３に示すランダム化ベクトルｋ^＊ _{Ｌ＋１，ｒａｎ，ｊ}を生成する
ことを特徴とする請求項１４に記載の鍵委譲装置。
　述語暗号における暗号文である暗号ベクトルｃ_１を生成する暗号化装置であり、
　ペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルの和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾を取得するとともに、所定の属性情報を取得する公開鍵取得部と、
　前記公開鍵取得部が取得した基底Ｂ＾におけるベクトルであって、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を設定したベクトルを送信情報ベクトルζｖとして処理装置により生成する送信情報設定部と、
　前記基底Ｂ＾の前記基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）のうちの少なくとも一部の基底ベクトルに対する係数として属性情報を設定した属性情報ベクトルを、前記送信情報設定部が生成した送信情報ベクトルζｖに加算して暗号ベクトルｃ_１を処理装置により生成する暗号ベクトル生成部と
を備えることを特徴とする暗号化装置。
　前記送信情報設定部は、数２４に示す送信情報ベクトルζｖを生成し、
　前記暗号ベクトル生成部は、数２５に示す暗号ベクトルｃ_１を生成する
ことを特徴とする請求項１７に記載の暗号化装置。
　前記送信情報設定部は、数２６に示す送信情報ベクトルζｖを生成し、
　前記暗号ベクトル生成部は、数２７に示す暗号ベクトルｃ_１を生成する
ことを特徴とする請求項１７に記載の暗号化装置。
　前記暗号化装置は、さらに、
　数２８に示す暗号情報ｃ_２を生成する暗号情報生成部
を備えることを特徴とする請求項１７に記載の暗号化装置。
　述語暗号における暗号文を復号する復号装置であり、
　ペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルの和である基底ベクトルｄ_ｎ＋１とを有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）のうち少なくとも基底ベクトルｂ_ｉ（ｉ＝１，．．．，μ_ｈ）に対する係数として属性情報が設定されるとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報が設定されたベクトルである暗号ベクトルｃ_１を入力するベクトル入力部と、
　前記空間Ｖ^＊における所定の基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）（μ_Ｌ≦μ_ｈ）に対する係数として述語情報ｖ_ｉ（ｉ＝１，．．．，μ_Ｌ）が設定されるとともに、前記基底ベクトルｄ_ｎ＋１を構成する基底ベクトルｂ_ｉに対応する基底ベクトルｂ^＊ _ｉに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数が設定された鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶装置に記憶する鍵ベクトル記憶部と、
　前記ベクトル入力部が入力した暗号ベクトルｃ_１と、前記鍵ベクトル記憶部が記憶した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルｃ_１から前記所定の情報に関する値を抽出するペアリング演算部と
を備えることを特徴とする復号装置。
　前記ベクトル入力部は、数２９に示す暗号ベクトルｃ_１を入力し、
　前記鍵ベクトル記憶部は、数３０に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶し、
　前記ペアリング演算部は、数３１に示すペアリング演算を行い、前記暗号ベクトルから前記所定の情報に関する値を抽出する
ことを特徴とする請求項２１に記載の復号装置。
　前記ベクトル入力部は、数３２に示す暗号ベクトルｃ_１を入力し、
　前記鍵ベクトル記憶部は、数３３に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶し、
　前記ペアリング演算部は、数３４に示すペアリング演算を行い、前記暗号ベクトルから前記所定の情報に関する値を抽出する
ことを特徴とする請求項２１に記載の復号装置。
　前記ベクトル入力部は、数３５に示す暗号ベクトルｃ_１と、平文情報ｍを暗号化した数３６に示す暗号情報ｃ_２とを入力し、
　前記鍵ベクトル記憶部は、数３７に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶し、
　前記ペアリング演算部は、数３８に示す演算を行い、前記暗号ベクトルｃ_１から前記平文情報ｍを抽出する
ことを特徴とする請求項２１に記載の復号装置。
　前記ベクトル入力部は、数３９に示す暗号ベクトルｃ_１と、平文情報ｍを暗号化した数４０に示す暗号情報ｃ_２とを入力し、
　前記鍵ベクトル記憶部は、数４１に示す鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶し、
　前記ペアリング演算部は、数４２に示す演算を行い、前記暗号ベクトルｃ_１から前記平文情報ｍを抽出する
ことを特徴とする請求項２１に記載の復号装置。
　数４３に示すペアリング演算によって関連付けられた双対加群である空間Ｖと空間Ｖ^＊とを用いて述語暗号処理を行う暗号処理システムであり、
　前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，ｍ）の和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として属性情報を埋め込むとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を埋め込んだベクトルを暗号ベクトルｃ_１として処理装置により生成する暗号化装置と、
　前記空間Ｖ^＊の基底Ｂ^＊におけるベクトルであって、基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として述語情報を埋め込むとともに、前記基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、前記基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を埋め込んだベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として、前記暗号化装置が生成した暗号ベクトルｃ_１と前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、処理装置により数４３に示すペアリング演算ｅ（ｃ_１，ｋ^＊ _{Ｌ，ｄｅｃ}）を行い前記暗号ベクトルｃ_１を復号して前記所定の情報に関する値を抽出する復号装置と
を備えることを特徴とする暗号処理システム。
　述語暗号における秘密鍵である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を生成する鍵生成装置であり、
　ペアリング演算によって関連付けられた双対加群である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖ^＊における所定の基底Ｂ^＊を記憶装置に記憶するマスター鍵記憶部と、
　前記マスター鍵記憶部が記憶した前記基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも一部の基底ベクトルに対する係数として述語情報を設定するとともに、基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，Ｎ）うちの２つ以上の所定の基底ベクトルに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数を設定したベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として処理装置により生成する鍵ベクトル生成部と
を備えることを特徴とする鍵生成装置。
　述語暗号における秘密鍵である鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}で復号可能な暗号ベクトルのうちの一部の暗号ベクトルを復号可能な鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する鍵委譲装置であり、
　ペアリング演算によって関連付けられた双対加群である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖ^＊における所定の基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも一部の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）に対する係数として述語情報が設定されるとともに、基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数が設定された鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を取得する鍵ベクトル取得部と、
　少なくともｊ＝μ_Ｌ＋１，．．．，ｎの各ｊについて、基底ベクトルｂ^＊ _ｊに対する係数として所定の値が設定された少なくともｎ－（μ_Ｌ＋１）個の鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}を取得する鍵生成用ベクトル取得部と、
　前記鍵生成用ベクトル取得部が取得した前記鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}の少なくとも一部の前記鍵生成用ベクトルｋ^＊ _{Ｌ，ｄｅｌ，ｊ}の各基底ベクトルの係数を述語情報倍し、前記鍵ベクトル取得部が取得した前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}に加算して鍵ベクトルｋ^＊ _{Ｌ＋１，ｄｅｃ}を生成する鍵ベクトル生成部と
を備えることを特徴とする鍵委譲装置。
　ペアリング演算によって関連付けられた双対加群である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルの和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾を取得するとともに、所定の属性情報を取得する公開鍵取得部と、
　前記公開鍵取得部が取得した基底Ｂ＾におけるベクトルであって、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を設定したベクトルを送信情報ベクトルζｖとして処理装置により生成する送信情報設定部と、
　前記基底Ｂ＾の前記基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）のうちの少なくとも一部の基底ベクトルに対する係数として属性情報を設定した属性情報ベクトルを、前記送信情報設定部が生成した送信情報ベクトルに加算して暗号ベクトルｃ_１を処理装置により生成する暗号ベクトル生成部と
を備えることを特徴とする暗号化装置。
　ペアリング演算によって関連付けられた双対加群である空間Ｖと空間Ｖ^＊とのうちの前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の所定の基底ベクトルの和である基底ベクトルｄ_ｎ＋１とを有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）の少なくとも基底ベクトルｂ_ｉ（ｉ＝１，．．．，μ_ｈ）に対する係数として属性情報が設定されるとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報が設定されたベクトルである暗号ベクトルｃ_１を入力するベクトル入力部と、
　前記空間Ｖ^＊における所定の基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）のうち、基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）の少なくとも基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，μ_Ｌ）（μ_Ｌ≦μ_ｈ）に対する係数として述語情報ｖ_ｉ（ｉ＝１，．．．，μ_Ｌ）が設定されるとともに、前記基底ベクトルｄ_ｎ＋１を構成する基底ベクトルｂ_ｉに対応する基底ベクトルｂ^＊ _ｉに対する係数の和が１になるように、前記所定の基底ベクトルに対する係数が設定された鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}を記憶装置に記憶する鍵ベクトル記憶部と、
　前記ベクトル入力部が入力した暗号ベクトルｃ_１と、前記鍵ベクトル記憶部が記憶した鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて処理装置により前記ペアリング演算を行い、前記暗号ベクトルｃ_１から前記所定の情報に関する値を抽出するペアリング演算部と
を備えることを特徴とする復号装置。
　数４４に示すペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とを用いて述語暗号処理を行う暗号処理方法であり、
　処理装置が、前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，ｍ）の和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として属性情報を埋め込むとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を埋め込んだベクトルを暗号ベクトルｃ_１として生成する暗号化ステップと、
　処理装置が、前記空間Ｖ^＊の基底Ｂ^＊におけるベクトルであって、基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として述語情報を埋め込むとともに、前記基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、前記基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を埋め込んだベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として、前記暗号化ステップで生成した暗号ベクトルｃ_１と前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、数４４に示すペアリング演算ｅ（ｃ_１，ｋ^＊ _{Ｌ，ｄｅｃ}）を行い前記暗号ベクトルｃ_１を復号して前記所定の情報に関する値を抽出する復号ステップと
を備えることを特徴とする暗号処理方法。
　数４５に示すペアリング演算によって関連付けられた双対ベクトル空間である空間Ｖと空間Ｖ^＊とを用いて述語暗号処理を行う暗号処理プログラムであり、
　前記空間Ｖにおける所定の基底Ｂを構成する基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）（Ｎは３以上の整数，ｎは１以上Ｎ－２以下の整数）の基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）と、基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，Ｎ）のうちの２つ以上の基底ベクトルｂ_ｉ（ｉ＝ｎ＋１，．．．，ｍ）の和である基底ベクトルｄ_ｎ＋１とを基底ベクトルとして有する基底Ｂ＾におけるベクトルであって、基底ベクトルｂ_ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として属性情報を埋め込むとともに、前記基底ベクトルｄ_ｎ＋１に対する係数として所定の情報を埋め込んだベクトルを暗号ベクトルｃ_１として生成する暗号化処理と、
　前記空間Ｖ^＊の基底Ｂ^＊におけるベクトルであって、基底Ｂ^＊を構成する基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ，．．．，Ｎ）の基底ベクトルｂ^＊ _ｉ（ｉ＝１，．．．，ｎ）うちの少なくとも一部の基底ベクトルに対する係数として述語情報を埋め込むとともに、前記基底Ｂ^＊の基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数の和が１になるように、前記基底ベクトルｂ^＊ _ｉ（ｉ＝ｎ＋１，．．．，ｍ）に対する係数を埋め込んだベクトルを鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}として、前記暗号化処理で生成した暗号ベクトルｃ_１と前記鍵ベクトルｋ^＊ _{Ｌ，ｄｅｃ}とについて、により数４５に示すペアリング演算ｅ（ｃ_１，ｋ^＊ _{Ｌ，ｄｅｃ}）を行い前記暗号ベクトルｃ_１を復号して前記所定の情報に関する値を抽出する復号処理と
をコンピュータに実行させることを特徴とする暗号処理プログラム。