WO2016056502A1

WO2016056502A1 - 非減少列判定装置、非減少列判定方法及びプログラム

Info

Publication number: WO2016056502A1
Application number: PCT/JP2015/078184
Authority: WO
Inventors: 浩気濱田; 大五十嵐; 直人桐淵
Original assignee: 日本電信電話株式会社
Priority date: 2014-10-08
Filing date: 2015-10-05
Publication date: 2016-04-14
Also published as: JPWO2016056502A1; EP3206201A1; CN106796765B; US20170302437A1; CN106796765A; EP3206201A4; JP6337133B2; US10333697B2

Abstract

　非減少列の存在を効率よく判定する。整列部１０は、集合P_iの要素を昇順に並べたベクトルt_i,i+1とb_i,i+1を生成する。併合部２０は、ベクトル（t_i,j,b_i,j）と（t_j,k,b_j,k）とを併合してベクトル(t_i,k,b_i,k)を生成することを繰り返すことでベクトルt_0,mとb_0,mとを生成する。安定ソート部２１は、ベクトルb_i,jとt_j,kを連結して安定ソートしたベクトルeを生成する。探索部２２は、e[λ]がb_i,j[x]であり、e[λ+1]がt_j,k[y]である（λ,x,y）の組を探索し、xをすべて含む集合Xとyをすべて含む集合Yとを生成する。抽出部２３は、t_i,j[x]（x∈X）を昇順に並べたベクトルt_i,kと、b_j,k[y]（y∈Y）を昇順に並べたベクトルb_i,kとを生成する。判定部３０は、ベクトルt_0,mの長さが0であれば非減少列が存在しないことを示す判定結果を出力する。

Description

非減少列判定装置、非減少列判定方法及びプログラム

　この発明は、暗号応用技術に関し、特に、入力データを明かすことなく非減少列の存在を判定する方法に関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照）。非特許文献１の方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数和、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　秘密計算上で文字列のパターンマッチングを実現した方法として、非特許文献２の方法がある。非特許文献２の方法では、パターンの表す非決定性有限オートマトンを入力テキスト１文字ごとに評価することによってパターンマッチングを実現している。

千田浩司、濱田浩気、五十嵐大、高橋克巳、"軽量検証可能3パーティ秘匿関数計算の再考"、CSS、2010年原田弘毅、笹川裕人、有村博紀、佐久間淳、"多項式時間・領域秘密正規表現照合アルゴリズム"、 SCIS、pp. 1-8、2014年

　しかしながら、非特許文献２の従来技術はパターンマッチングの入力テキスト長をnとすると、Ω(n)段の乗算を要していた。パターンマッチングを行う場合にパターン中の部分文字列の位置が判明した後にテキストがパターンにマッチしているかを判定する処理は、集合の列から一要素ずつ選んで非減少列を作ることができるかどうかを判定する問題に抽象化できる。

　この発明の目的は、集合の列から一要素ずつ選んだ非減少列の存在を効率よく判定することである。

　上記の課題を解決するために、この発明の非減少列判定装置は、m個の集合P₀,…,P_m-1を入力として、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とベクトルb_i,i+1を生成する整列部と、0≦i<j<k≦mを満たすベクトル（t_i,j,b_i,j）とベクトル（t_j,k,b_j,k）とを併合してベクトル(t_i,k,b_i,k)を生成することを繰り返すことで、ベクトルt_0,1,…,t_m-1,mを併合したベクトルt_0,mと、ベクトルb_0,1,…,b_m-1,mを併合したベクトルb_0,mとを生成する併合部と、ベクトルt_0,mの長さが0であれば非減少列が存在しないことを示し、ベクトルt_0,mの長さが1以上であれば非減少列が存在することを示す判定結果を出力する判定部と、を含む。併合部は、ベクトルb_i,jとベクトルt_j,kを連結して昇順に安定ソートしたベクトルeを生成する安定ソート部と、ベクトルeからe[λ]がb_i,j[x]であり、e[λ+1]がt_j,k[y]である（λ,x,y）の組をすべて探索し、発見されたxをすべて含む集合Xと、発見されたyをすべて含む集合Yとを生成する探索部と、ベクトルt_i,jの要素t_i,j[x]（x∈X）を昇順に並べたベクトルt_i,kと、ベクトルb_j,kの要素b_j,k[y]（y∈Y）を昇順に並べたベクトルb_i,kとを生成する抽出部と、を含む。

　この発明の非減少列判定技術によれば、m個の集合から一要素ずつ選んだ非減少列の存在をO(log m)段で判定することができる。したがって、非減少列の存在を効率よく判定することができる。また、これにより、テキストに対するパターンマッチングを効率よく処理することが可能となる。

図１は、第一実施形態の非減少列判定装置の機能構成を例示する図である。図２は、第一実施形態の非減少列判定方法の処理フローを例示する図である。図３は、第三実施形態の非減少列判定装置の機能構成を例示する図である。図４は、第三実施形態の非減少列判定方法の処理フローを例示する図である。

　実施形態の説明に先立ち、この明細書における表記方法および用語の定義について説明する。

＜表記方法＞
　ある値aを暗号化や秘密分散などにより秘匿化した値をaの秘匿文と呼び、〔a〕と表記する。秘匿化が秘密分散である場合は、〔a〕により各秘密計算装置が持つ秘密分散の断片の集合を参照する。

　行列Xの第i行をX[i]と表記する。ベクトルuの第i要素をu[i]と表記する。行列Xの各要素を秘匿化した行列全体を〔X〕と表記し、Xの秘匿文と呼ぶ。ベクトルuの各要素を秘匿化したベクトル全体を〔u〕と表記し、uの秘匿文と呼ぶ。

は天井関数であり、・以上の最小の整数を意味する。

は床関数であり、・以下の最大の整数を意味する。
　・^Tは・の転置を表す。

＜加算、減算、乗算＞
　加算、減算、乗算の各演算は二つの値a, bの秘匿文〔a〕,〔b〕を入力とし、それぞれa+b, a-b, abの計算結果c₁, c₂, c₃の秘匿文〔c₁〕,〔c₂〕,〔c₃〕を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　なお、誤解を招く恐れのない場合は、Add(〔a〕,〔b〕),Sub(〔a〕,〔b〕),Mul(〔a〕,〔b〕)をそれぞれ〔a〕+〔b〕,〔a〕-〔b〕,〔a〕×〔b〕と略記する。

＜論理演算＞
　論理和、論理積、否定の各演算は二つの値a, b∈{0, 1}の秘匿文〔a〕,〔b〕を入力とし、それぞれaとbの論理和, aとbの論理積, aの否定の計算結果c₁, c₂, c₃の秘匿文〔c₁〕,〔c₂〕,〔c₃〕を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　これらの論理演算は、次式の計算により実現される。

＜ソート演算＞
　ソートはベクトルの要素を昇順に並べ替えたベクトルを出力する演算である。入力のベクトルk=(k[0],…,k[n-1])に対して出力されるベクトルk’=(k’[0],…,k’[n-1])は、k’[0]≦…≦k’[n-1]を満たすkの要素を並べ替えたベクトルである。

　安定ソートは、ソート演算で同じ値が存在した場合に同じ値の要素同士の順序を保存する演算である。ベクトルkとk’の各要素はある全単射π_s:{0,…,n-1}→{0,…,n-1}についてk’[π_s(i)]=k[i]を満たしており、安定ソートでは次式が成り立つ。

　以下で扱う秘密計算上の安定ソート演算は、複数のベクトルを入力とし、キーとするベクトルの要素の並べ替えに従って他のベクトルの要素の並べ替えを行う。すなわち、安定ソートのキーとする大きさnのベクトルkと、λ個（1≦λ）の大きさnのベクトルa⁽⁰⁾,…,a^(λ-1)の秘匿文〔k〕,〔a⁽⁰⁾〕,…,〔a^(λ-1)〕を入力とし、ベクトルkを安定ソートしたときの並べ替えに従って各ベクトルa⁽⁰⁾,…,a^(λ-1)の要素を並べ替えたベクトルb⁽⁰⁾,…,b^(λ-1)の秘匿文〔b⁽⁰⁾〕,…,〔b^(λ-1)〕を計算する。この演算の実行を次式のように記述する。

　キー公開ソートは安定ソート演算でキーが公開される処理である。キーを秘匿したまま処理をするソートよりも効率がよく、キーに含まれる値の構成が既知の場合には余計な情報を漏らす心配がない。この演算の実行を次式のように記述する。

　秘匿化、復元、加算、減算、乗算は、例えば、非特許文献１に記載の方法を用いればよい。また、安定ソート、キー公開ソートは、例えば、「Koki Hamada, Dai Ikarashi, Koji Chida, and Katsumi Takahashi, “Oblivious radix sort: An efficient sorting algorithm for practical secure multi-party computation”, IACR Cryptology ePrint Archive, vol. 2014, p. 121, 2014.（参考文献１）」に記載の方法を用いればよい。

＜非減少列＞
　非減少列判定技術は、m個の集合P₀,P₁,…,P_m-1に対して、大きさmの非減少列となっているベクトルp（ただし、p[i]∈P_i（0≦i<m）、かつ、p[0]≦p[1]≦…≦p[m-1]）が存在するかどうかを判定する方法である。

　例えば、集合P₀,P₁,…,P₄が以下であるとする。
　　　P₀={0,3,7,8,10},
　　　P₁={2,5,8,9},
　　　P₂={2,4,8},
　　　P₃={0,4,7,9},
　　　P₄={0,6,7}
　このとき、例えば、ベクトルp₀=(0,8,2,4,6)は、p₀[i]∈P_i（0≦i<m）を満たすが、p₀[1]>p₀[2]であるのでp₀[0]≦p₀[1]≦p₀[2]≦p₀[3]≦p₀[4]を満たさず、非減少列ではない。
　一方、例えば、ベクトルp₁=(0,2,4,4,6)は、p₁[i]∈P_i（0≦i<m）を満たし、かつ、p₁[0]≦p₁[1]≦p₁[2]≦p₁[3]≦p₁[4]を満たすため、非減少列である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

［第一実施形態］
　第一実施形態の非減少列判定装置１は、図１に例示するように、整列部１０、併合部２０及び判定部３０を含む。併合部２０は、例えば、安定ソート部２１、探索部２２及び抽出部２３を含む。

　非減少列判定装置１は、例えば、中央演算処理装置（Central Processing Unit、CPU）、主記憶装置（Random Access Memory、RAM）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。非減少列判定装置１は、例えば、中央演算処理装置の制御のもとで各処理を実行する。非減少列判定装置１に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて読み出されて他の処理に利用される。

　以下、図２を参照して、第一実施形態の非減少列判定方法を説明する。

　第一実施形態の非減少列判定方法は、m個の集合P₀,…,P_m-1を入力として、大きさmの非減少列となっているベクトルpが存在するならば１を、存在しないならば０を返す。

　ステップＳ１０において、整列部１０は、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とb_i,i+1を生成する。つまり、集合P₀の要素を昇順に並べてベクトルt_0,1とb_0,1を生成し、集合P₁の要素を昇順に並べてベクトルt_1,2とb_1,2を生成し、…、集合P_m-1の要素を昇順に並べてベクトルt_m-1,mとb_m-1,mを生成する。

　ステップＳ２０aにおいて、併合部２０は、0≦i<j<k≦mを満たすベクトル（t_i,j,b_i,j）と（t_j,k,b_j,k）を選択し、ステップＳ２１～Ｓ２３の処理により、ベクトル（t_i,j,b_i,j）と（t_j,k,b_j,k）とを併合してベクトル(t_i,k,b_i,k)を生成する。併合部２０は、これを再帰的に繰り返すことで、ベクトルt_0,1,…,t_m-1,mを併合したベクトルt_0,mと、ベクトルb_0,1,…,b_m-1,mを併合したベクトルb_0,mとを生成する。

　ステップＳ２１において、安定ソート部２１は、ベクトルb_i,jとベクトルt_j,kを連結して昇順に安定ソートしたベクトルeを生成する。

　ステップＳ２２において、探索部２２は、ベクトルeからe[λ]がb_i,j[x]であり、e[λ+1]がt_j,k[y]である（λ,x,y）の組をすべて探索し、発見されたxをすべて含む集合Xと、発見されたyをすべて含む集合Yとを生成する。

　ステップＳ２３において、抽出部２３は、t_i,j[x]（x∈X）を昇順に並べたベクトルt_i,kと、b_j,k[y]（y∈Y）を昇順に並べたベクトルb_i,kとを生成する。

　ステップＳ２０ｂにおいて、併合部２０は、ベクトルt_0,1,…,t_m-1,mとベクトルb_0,1,…,b_m-1,mがすべて併合されたかを判断する。すなわち、ベクトル（t_0,m,b_0,m）が生成されたかを確認する。併合が完了していなければステップＳ２０aへ処理を戻す。併合が完了していればステップＳ３０へ処理を進める。

　ステップＳ３０において、判定部３０は、ベクトルt_0,mの長さが0であれば非減少列が存在しないことを示す０を判定結果として出力する。ベクトルt_0,mの長さが1以上であれば非減少列が存在することを示す１を判定結果として出力する。

　上述の方法により非減少列の存在を判定できることを、具体例を用いて示す。

　集合P₀,P₁,…,P₄が以下であるとする。
　　　P₀={0,3,7,8,10},
　　　P₁={2,5,8,9},
　　　P₂={2,4,8},
　　　P₃={0,4,7,9},
　　　P₄={0,6,7}

　非減少列はp[i]∈P_i（0≦i<m）かつp₁[0]≦p₁[1]≦p₁[2]≦p₁[3]≦p₁[4]であるため、集合P₀,P₁,…,P₄には、例えば(0,2,2,4,6), (0,2,2,4,7), (0,2,4,4,6), (0,2,4,4,7), (0,2,4,7,7)などの非減少列が存在する。

　ステップＳ１０において、以下のベクトルt_0,1,…,t_4,5及びb_0,1,…,b_4,5が生成される。
　　　t_0,1=b_0,1=(0,3,7,8,10)
　　　t_1,2=b_1,2=(2,5,8,9)
　　　t_2,3=b_2,3=(2,4,8)
　　　t_3,4=b_3,4=(0,4,7,9)
　　　t_4,5=b_4,5=(0,6,7)

　ステップＳ２０aにおいて、i=0, j=1, k=2として、ベクトル(t_0,1,b_0,1)と(t_1,2,b_1,2)を選択し、以下のステップＳ２１～Ｓ２３により併合したベクトル(t_0,2,b_0,2)を生成する。

　ステップＳ２１において、ベクトルb_0,1とt_1,2から以下のベクトルeが生成される。
　　　e=(0,2,3,5,7,8,8,9,10)
　　　 =(b_0,1[0],t_1,2[0],b_0,1[1],t_1,2[1],b_0,1[2],b_0,1[3],t_1,2[2],t_1,2[3],b_0,1[4])

　ステップＳ２２において、以下の（λ,x,y）の組が発見される。
　　　(λ=0,x=0,y=0),
　　　(λ=2,x=1,y=1),
　　　(λ=5,x=3,y=2)
　したがって、集合X={0,1,3}、集合Y={0,1,2}である。

　ステップＳ２３において、以下のベクトル(t_0,2,b_0,2)が生成される。
　　　t_0,2=(t_0,1[0],t_0,1[1],t_0,1[3])=(0,3,8)
　　　b_0,2=(b_1,2[0],b_1,2[1],b_1,2[2])=(2,5,8)

　ステップＳ２０ｂにおいて、ベクトルt_0,5とb_0,5が存在しないため、ステップＳ２０ａに処理が戻る。

　二度目のステップＳ２０aにおいて、i=2, j=3, k=4として、ベクトル(t_2,3,b_2,3)と(t_3,4,b_3,4)を選択し、同様にして併合したベクトル(t_2,4,b_2,4)を生成する。

　ベクトルb_2,3=(2,4,8)とベクトルt_3,4=(0,4,7,9)を連結して安定ソートすると以下のベクトルeが生成される。
　　　e=(0,2,4,4,7,8,9)
　　　 =(t_3,4[0],b_2,3[0],b_2,3[1],t_3,4[1],t_3,4[2],b_2,3[2],t_3,4[3])

　すると、(λ=2,x=1,y=1),(λ=5,x=2,y=3)が発見されるため、X=(1,2)、Y=(1,3)である。したがって、ベクトル(t_2,4,b_2,4)は以下のようになる。
　　　t_2,4=(t_2,3[1],t_2,3[2])=(4,8)
　　　b_2,4=(b_3,4[1],b_3,4[3])=(4,9)

　三度目のステップＳ２０aにおいて、i=2, j=4, k=5として、ベクトル(t_2,4,b_2,4)と(t_4,5,b_4,5)を選択し、同様にして併合したベクトル(t_2,5,b_2,5)を生成する。

　ベクトルb_2,4=(4,9)とベクトルt_4,5=(0,6,7)を連結して安定ソートすると以下のベクトルeが生成される。
　　　e=(0,4,6,7,9)
　　　 =(t_4,5[0],b_2,4[0],t_4,5[1],t_4,5[2],b_2,4[1])

　すると、(λ=1,x=0,y=1)が発見されるため、X=(0)、Y=(1)である。したがって、ベクトル(t_2,5,b_2,5)は以下のようになる。
　　　t_2,5=(t_2,4[0])=(4)
　　　b_2,5=(b_4,5[1])=(6)

　四度目のステップＳ２０aにおいて、i=0, j=2, k=5として、ベクトル(t_0,2,b_0,2)と(t_2,5,b_2,5)を選択し、同様にして併合したベクトル(t_0,5,b_0,5)を生成する。

　ベクトルb_0,2=(2,5,8)とベクトルt_2,5=(4)を連結して安定ソートすると以下のベクトルeが生成される。
　　　e=(2,4,5,8)
　　　 =(b_0,2[0],t_2,5[0],b_0,2[1],b_0,2[2])

　すると、(λ=0,x=0,y=0)が発見されるため、X=(0)、Y=(0)である。したがって、ベクトル(t_2,5,b_2,5)は以下のようになる。
　　　t_0,5=(t_0,2[0])=(0)
　　　b_0,5=(b_2,5[0])=(6)

　ステップＳ２０ｂにおいて、ベクトルt_0,5とb_0,5が存在するため、ステップＳ３０に処理を進める。

　ステップＳ３０では、t_0,5の長さが0ではないため、非減少列が存在することを示す１が判定結果として出力される。

［第二実施形態］
　第二実施形態の非減少列判定装置は、併合部２０において、ベクトル(t_i,k,b_i,k)を生成する際に、次式を満たすようにi,j,kを設定してベクトル(t_i,j,b_i,j)とベクトル(t_j,k,b_j,k)を選択する。

　このように構成することで、併合部２０は、

段の再帰手続きでベクトル(t_0,m,b_0,m)を求めることができる。

［第三実施形態］
　第三実施形態は非減少列の判定を秘密計算で実現する方法である。第三実施形態では各再帰手続きがO(1)段の計算で実現できるため、全体の処理がO(log m)段で実現できる。

　第三実施形態の非減少列判定装置２は、図３に例示するように、整列部１０、秘匿化部４０、併合部５０及び判定部６０を含む。併合部５０は、例えば、第一安定ソート部５１、第一キー公開ソート部５２、第二安定ソート部５３及び第二キー公開ソート部５４を含む。

　以下、図４を参照して、第三実施形態の非減少列判定方法を説明する。以下では、上述の第一実施形態との相違点を中心に説明する。

　ステップＳ４０において、秘匿化部４０は、i=0,…,m-1について、集合P_iの各要素が0以上n未満であるとして、ベクトルt_i,i+1を次式によりベクトルt'_i,i+1へ変換して秘匿化した暗号文〔t'_i,i+1〕を生成する。

　また同様に、ベクトルb_i,i+1を次式によりベクトルb'_i,i+1へ変換して秘匿化した暗号文〔b'_i,i+1〕を生成する。

　以下に、ベクトルt'_i,i+1とb'_i,i+1の具体例を示す。例えば、集合P₀,P₁,…,P₄が以下であるとする。
　　　P₀={0,3,7,8,10},
　　　P₁={2,5,8,9},
　　　P₂={2,4,8},
　　　P₃={0,4,7,9},
　　　P₄={0,6,7}

　n=12とすると、ベクトルt’_i,i+1とb'_i,i+1は以下のようになる。
　　　t’_0,1=b’_0,1=(1,0,0,1,0,0,0,1,1,0,1,0),
　　　t’_1,2=b’_1,2=(0,0,1,0,0,1,0,0,1,1,0,0),
　　　t’_2,3=b’_2,3=(0,0,1,0,1,0,0,0,1,0,0,0),
　　　t’_3,4=b’_3,4=(1,0,0,0,1,0,0,1,0,1,0,0),
　　　t’_4,5=b’_4,5=(1,0,0,0,0,0,1,1,0,0,0,0)

　ステップＳ５０ａにおいて、併合部５０は、0≦i<j<k≦mを満たす秘匿文（〔t'_i,j〕,〔b'_i,j〕）と秘匿文（〔t'_j,k〕,〔b'_j,k〕）を選択し、ステップＳ５１～Ｓ５４の処理により、秘匿文（〔t'_i,j〕,〔b'_i,j〕）と秘匿文（〔t'_j,k〕,〔b'_j,k〕）とを併合して秘匿文(〔t'_i,k〕,〔b'_i,k〕)を生成する。併合部５０は、これを再帰的に繰り返すことで、秘匿文〔t'_0,1〕,…,〔t'_m-1,m〕を併合した秘匿文〔t'_0,m〕と、秘匿文〔b'_0,1〕,…,〔b'_m-1,m〕を併合した秘匿文〔b'_0,m〕とを生成する。

　ステップＳ５１において、第一安定ソート部５１は、秘匿文〔b'_i,j〕と秘匿文〔t'_j,k〕の各要素を交互に配列して秘匿文〔a〕を生成する。すなわち、h=0,…,n-1について、次式により秘匿文〔a〕を生成する。

　そして、第一安定ソート部５１は、(0,1)ⁿは0と1を繰り返した長さ2nのベクトルとし、￢〔a〕をキーとして(〔(0,1)ⁿ〕,〔a〕,〔(0,…,2n-1)〕)を安定ソートした秘匿文(〔f'〕,〔a'〕,〔p〕)を生成する。すなわち、次式に示す安定ソートを実行する。

　ステップＳ５２において、第一キー公開ソート部５２は、h=0,…,n-1について、次式により秘匿文〔m〕を生成する。

　続いて、第一キー公開ソート部５２は、秘匿文〔p〕をキーとして秘匿文〔m〕をキー公開ソートした秘匿文〔m'〕を生成する。すなわち、次式に示すキー公開ソートを実行する。

　ステップＳ５３において、第二安定ソート部５３は、秘匿文〔m'〕の各要素を交互に分解し、秘匿文〔m₀〕,〔m₁〕を生成する。すなわち、h=0,…,n-1について、次式により秘匿文〔m₀〕,〔m₁〕を生成する。

　続いて、第二安定ソート部５３は、￢〔t'_i,j〕をキーとして(〔t'_i,j〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔t"₀〕,〔p₀〕)を生成し、￢〔b'_i,j〕をキーとして秘匿文〔m₀〕を安定ソートした秘匿文〔m"₀〕を生成し、￢〔b'_j,k〕をキーとして(〔b'_j,k〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔b"₁〕,〔p₁〕)を生成し、￢〔t'_j,k〕をキーとして秘匿文〔m₁〕を安定ソートした秘匿文〔m"₁〕を生成する。すなわち、次式に示す四つの安定ソートを実行する。

　ステップＳ５４において、第二キー公開ソート部５４は、次式により秘匿文〔t"〕,〔b"〕を生成する。

　続いて、第二キー公開ソート部５４は、秘匿文〔p₀〕をキーとして秘匿文〔t"〕をキー公開ソートした秘匿文〔t'_i,k〕を生成し、秘匿文〔p₁〕をキーとして秘匿文〔b"〕をキー公開ソートした秘匿文〔b'_i,k〕を生成する。すなわち、次式に示す二つのキー公開ソートを実行する。

　ステップＳ５０ｂにおいて、併合部５０は、秘匿文〔t'_0,1〕,…,〔t'_m-1,m〕と秘匿文〔b'_0,1〕,…,〔b'_m-1,m〕がすべて併合されたか否かを判断する。すなわち、秘匿文（〔t'_0,m〕,〔b'_0,m〕）が生成されたか否かを確認する。併合が完了していなければステップＳ５０aへ処理を戻す。併合が完了していればステップＳ６０へ処理を進める。

　ステップＳ６０において、判定部６０は、秘匿文〔t'_0,m〕を用いて、〔t'_0,m[0]〕∨〔t'_0,m[1]〕∨…∨〔t'_0,m[m-1]〕を計算し、その計算結果を判定結果として出力する。

　第三実施形態の併合部５０において、上述の第二実施形態の考え方を適用し、秘匿文(〔t'_i,k〕,〔b'_i,k〕)を生成する際に、次式を満たすようにi,j,kを設定して秘匿文（〔t'_i,j〕,〔b'_i,j〕）と秘匿文（〔t'_j,k〕,〔b'_j,k〕）を選択するように構成してもよい。

＜発明の効果＞
　この発明の非減少列判定技術によれば、m個の集合から一つずつ値を選んだ非減少列の存在の判定をO(log m)段の再帰手続きで実現できる。特に秘密計算で実現する場合には、各再帰手続きがO(1)段の計算で実現できるため、全体の処理がO(log m)段で実現できる。

＜発明のポイント＞
　この発明では、m個の集合から一つずつ値を選んだ非減少列の存在の判定を行う際に、分割統治により再帰的に非減少列の集合を構築することで、O(log m)段で非減少列の存在の判定を行う。分割統治を行う際には、すべての非減少列を保持する代わりに効率よく計算可能なよい性質を持つ非減少列の集合のみを維持して計算を行い、非減少列の集合の併合を秘密計算でO(1)段で実現している。その結果、全体の計算がO(log m)段の秘密計算で実現できている。

　この発明は上述の実施形態に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。上記実施形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　m個の集合P₀,…,P_m-1を入力として、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とベクトルb_i,i+1を生成する整列部と、
　0≦i<j<k≦mを満たすベクトル（t_i,j,b_i,j）とベクトル（t_j,k,b_j,k）とを併合してベクトル(t_i,k,b_i,k)を生成することを繰り返すことで、ベクトルt_0,1,…,t_m-1,mを併合したベクトルt_0,mと、ベクトルb_0,1,…,b_m-1,mを併合したベクトルb_0,mとを生成する併合部と、
　ベクトルt_0,mの長さが0であれば非減少列が存在しないことを示し、ベクトルt_0,mの長さが1以上であれば非減少列が存在することを示す判定結果を出力する判定部と、
　を含み、
　上記併合部は、
　ベクトルb_i,jとベクトルt_j,kを連結して昇順に安定ソートしたベクトルeを生成する安定ソート部と、
　ベクトルeからe[λ]がb_i,j[x]であり、e[λ+1]がt_j,k[y]である（λ,x,y）の組をすべて探索し、発見されたxをすべて含む集合Xと、発見されたyをすべて含む集合Yとを生成する探索部と、
　ベクトルt_i,jの要素t_i,j[x]（x∈X）を昇順に並べたベクトルt_i,kと、ベクトルb_j,kの要素b_j,k[y]（y∈Y）を昇順に並べたベクトルb_i,kとを生成する抽出部と、
　を含む非減少列判定装置。
　(0,1)ⁿは0と1を繰り返した長さ2nのベクトルとし、￢・は・の否定を表し、
　m個の集合P₀,…,P_m-1を入力として、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とベクトルb_i,i+1を生成する整列部と、
　集合P₀,…,P_M-1の各要素が0以上n未満であるとして、k=0,…,n-1、λ=0,…,m-1について、t_i,i+1[λ]=kを満たすλが存在すればt'_i,i+1[k]=1を設定し、それ以外はt'_i,i+1[k]=0を設定したベクトルt'_i,i+1を秘匿化した暗号文〔t'_i,i+1〕と、b_i,i+1[λ]=kを満たすλが存在すればb'_i,i+1[k]=1を設定し、それ以外はb'_i,i+1[k]=0を設定したベクトルb'_i,i+1を秘匿化した暗号文〔b'_i,i+1〕とを生成する秘匿化部と、
　0≦i<j<k≦mを満たす秘匿文（〔t'_i,j〕,〔b'_i,j〕）と（〔t'_j,k〕,〔b'_j,k〕）とを併合して秘匿文(〔t'_i,k〕,〔b'_i,k〕)を生成することを繰り返すことで、秘匿文〔t'_0,1〕,…,〔t'_m-1,m〕を併合した秘匿文〔t'_0,m〕と、秘匿文〔b'_0,1〕,…,〔b'_m-1,m〕を併合した秘匿文〔b'_0,m〕とを生成する併合部と、
　秘匿文〔t'_0,m〕を用いて、〔t'_0,m[0]〕∨〔t'_0,m[1]〕∨…∨〔t'_0,m[m-1]〕を計算し、その計算結果を判定結果として出力する判定部と、
　を含み、
　上記併合部は、
　秘匿文〔b'_i,j〕と〔t'_j,k〕の各要素を交互に配列して秘匿文〔a〕を生成し、￢〔a〕をキーとして秘匿文(〔(0,1)ⁿ〕,〔a〕,〔(0,…,2n-1)〕)を安定ソートした秘匿文(〔f'〕,〔a'〕,〔p〕)を生成する第一安定ソート部と、
　h=0,…,n-1について、〔a[h]〕×(￢〔f'[h]〕×〔f'[h+1]〕+〔f'[h]〕×￢〔f'[h-1]〕)を計算して秘匿文〔m〕を生成し、秘匿文〔p〕をキーとして秘匿文〔m〕をキー公開ソートした秘匿文〔m'〕を生成する第一キー公開ソート部と、
　秘匿文〔m〕の各要素を交互に分解して秘匿文〔m₀〕,〔m₁〕を生成し、￢〔t'_i,j〕をキーとして(〔t'_i,j〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔t"₀〕,〔p₀〕)と、￢〔b'_i,j〕をキーとして秘匿文〔m₀〕を安定ソートした秘匿文〔m"₀〕と、￢〔b'_j,k〕をキーとして(〔b'_j,k〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔b"₁〕,〔p₁〕)と、￢〔t'_j,k〕をキーとして秘匿文〔m₁〕を安定ソートした秘匿文〔m"₁〕とを生成する第二安定ソート部と、
　秘匿文〔t"₀〕と秘匿文〔m"₀〕の積である秘匿文〔t"〕と、秘匿文〔b"₁〕と秘匿文〔m"₁〕の積である秘匿文〔b"〕とを生成し、秘匿文〔p₀〕をキーとして秘匿文〔t"〕をキー公開ソートした秘匿文〔t'_i,k〕と、秘匿文〔p₁〕をキーとして秘匿文〔b"〕をキー公開ソートした秘匿文〔b'_i,k〕とを生成する第二キー公開ソート部と、
　を含む非減少列判定装置。
　請求項１または２に記載の非減少列判定装置であって、
　上記併合部は、次式を満たすi,j,kを選択するものである

　非減少列判定装置。
　整列部が、m個の集合P₀,…,P_m-1を入力として、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とベクトルb_i,i+1を生成する整列ステップと、
　併合部が、0≦i<j<k≦mを満たすベクトル（t_i,j,b_i,j）とベクトル（t_j,k,b_j,k）とを併合してベクトル(t_i,k,b_i,k)を生成することを繰り返すことで、ベクトルt_0,1,…,t_m-1,mを併合したベクトルt_0,mと、ベクトルb_0,1,…,b_m-1,mを併合したベクトルb_0,mとを生成する併合ステップと、
　判定部が、ベクトルt_0,mの長さが0であれば非減少列が存在しないことを示し、ベクトルt_0,mの長さが1以上であれば非減少列が存在することを示す判定結果を出力する判定ステップと、
　を含み、
　上記併合ステップは、
　安定ソート部が、ベクトルb_i,jとベクトルt_j,kを連結して昇順に安定ソートしたベクトルeを生成する安定ソートステップと、
　探索部が、ベクトルeからe[λ]がb_i,j[x]であり、e[λ+1]がt_j,k[y]である（λ,x,y）の組をすべて探索し、発見されたxをすべて含む集合Xと、発見されたyをすべて含む集合Yとを生成する探索ステップと、
　抽出部が、ベクトルt_i,jの要素t_i,j[x]（x∈X）を昇順に並べたベクトルt_i,kと、ベクトルb_j,kの要素b_j,k[y]（y∈Y）を昇順に並べたベクトルb_i,kとを生成する抽出ステップと、
　を含む非減少列判定方法。
　(0,1)ⁿは0と1を繰り返した長さ2nのベクトルとし、￢・は・の否定を表し、
　整列部が、m個の集合P₀,…,P_m-1を入力として、i=0,…,m-1について、集合P_iの要素を昇順に並べたベクトルt_i,i+1とベクトルb_i,i+1を生成する整列ステップと、
　秘匿化部が、集合P₀,…,P_M-1の各要素が0以上n未満であるとして、k=0,…,n-1、λ=0,…,m-1について、t_i,i+1[λ]=kを満たすλが存在すればt'_i,i+1[k]=1を設定し、それ以外はt'_i,i+1[k]=0を設定したベクトルt'_i,i+1を秘匿化した暗号文〔t'_i,i+1〕と、b_i,i+1[λ]=kを満たすλが存在すればb'_i,i+1[k]=1を設定し、それ以外はb'_i,i+1[k]=0を設定したベクトルb'_i,i+1を秘匿化した暗号文〔b'_i,i+1〕とを生成する秘匿化ステップと、
　併合部が、0≦i<j<k≦mを満たす秘匿文（〔t'_i,j〕,〔b'_i,j〕）と（〔t'_j,k〕,〔b'_j,k〕）とを併合して秘匿文(〔t'_i,k〕,〔b'_i,k〕)を生成することを繰り返すことで、秘匿文〔t'_0,1〕,…,〔t'_m-1,m〕を併合した秘匿文〔t'_0,m〕と、秘匿文〔b'_0,1〕,…,〔b'_m-1,m〕を併合した秘匿文〔b'_0,m〕とを生成する併合ステップと、
　判定部が、秘匿文〔t'_0,m〕を用いて、〔t'_0,m[0]〕∨〔t'_0,m[1]〕∨…∨〔t'_0,m[m-1]〕を計算し、その計算結果を判定結果として出力する判定ステップと、
　を含み、
　上記併合ステップは、
　第一安定ソート部が、秘匿文〔b'_i,j〕と〔t'_j,k〕の各要素を交互に配列して秘匿文〔a〕を生成し、￢〔a〕をキーとして秘匿文(〔(0,1)ⁿ〕,〔a〕,〔(0,…,2n-1)〕)を安定ソートした秘匿文(〔f'〕,〔a'〕,〔p〕)を生成する第一安定ソートステップと、
　第一キー公開ソート部が、h=0,…,n-1について、〔a[h]〕×(￢〔f'[h]〕×〔f'[h+1]〕+〔f'[h]〕×￢〔f'[h-1]〕)を計算して秘匿文〔m〕を生成し、秘匿文〔p〕をキーとして秘匿文〔m〕をキー公開ソートした秘匿文〔m'〕を生成する第一キー公開ソートステップと、
　第二安定ソート部が、秘匿文〔m〕の各要素を交互に分解して秘匿文〔m₀〕,〔m₁〕を生成し、￢〔t'_i,j〕をキーとして(〔t'_i,j〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔t"₀〕,〔p₀〕)と、￢〔b'_i,j〕をキーとして秘匿文〔m₀〕を安定ソートした秘匿文〔m"₀〕と、￢〔b'_j,k〕をキーとして(〔b'_j,k〕,〔(0,…,n-1)〕)を安定ソートした秘匿文(〔b"₁〕,〔p₁〕)と、￢〔t'_j,k〕をキーとして秘匿文〔m₁〕を安定ソートした秘匿文〔m"₁〕とを生成する第二安定ソートステップと、
　第二キー公開ソート部が、秘匿文〔t"₀〕と秘匿文〔m"₀〕の積である秘匿文〔t"〕と、秘匿文〔b"₁〕と秘匿文〔m"₁〕の積である秘匿文〔b"〕とを生成し、秘匿文〔p₀〕をキーとして秘匿文〔t"〕をキー公開ソートした秘匿文〔t'_i,k〕と、秘匿文〔p₁〕をキーとして秘匿文〔b"〕をキー公開ソートした秘匿文〔b'_i,k〕とを生成する第二キー公開ソートステップと、
　を含む非減少列判定方法。
　請求項４または５に記載の非減少列判定方法であって、
　上記併合ステップは、次式を満たすi,j,kを選択するものである

　非減少列判定方法。
　請求項１から３のいずれかに記載の非減少列判定装置としてコンピュータを機能させるためのプログラム。