WO2016113878A1

WO2016113878A1 - 秘匿検索システム、秘匿検索プログラム及び変換後検索鍵生成装置

Info

Publication number: WO2016113878A1
Application number: PCT/JP2015/050931
Authority: WO
Inventors: 豊川合; 貴人平野
Original assignee: 三菱電機株式会社
Priority date: 2015-01-15
Filing date: 2015-01-15
Publication date: 2016-07-21
Also published as: JPWO2016113878A1

Abstract

　秘匿検索システム（１０）は、文字列の各文字が位置を指定されて設定されたオリジナル検索鍵を変換して変換後検索鍵を生成し、複数の暗号化タグＥＴ_ｘから、生成した変換後検索鍵ＴＤ_ｖ'に対応する暗号化タグを検索する。特に、秘匿検索システム（１０）は、オリジナル検索鍵ＴＤ_ｖに設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、変換後検索鍵ＴＤ_ｖ'を生成し、文字列の各文字が位置を指定されて設定された複数の暗号化タグから、変換後検索鍵ＴＤ_ｖ'に設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグを検索する。

Description

秘匿検索システム、秘匿検索プログラム及び変換後検索鍵生成装置

　この発明は、データを暗号化した状態で検索を行う秘匿検索技術に関する。

　ネットワーク、特にインターネットにおける演算資源を用いて、様々なサービスを提供するクラウドコンピューティングが存在する。例えば、ネットワーク上にデータを保管しておき、許可された利用者がデータを端末にダウンロードし利用するといったサービスが提供されている。
　ネットワーク上に保管するデータの中には、利用者の個人情報等の第三者に漏えいしない様に秘匿する必要があるデータが存在する。このようなデータは、秘密鍵暗号や公開鍵暗号といった暗号で暗号化することにより秘匿することが可能である。

　暗号化したデータをネットワーク上に保管することで、データの秘匿化とクラウドコンピューティングの活用とを両立させることができる。
　しかし、データを暗号化してしまうとデータを検索できなくなってしまうという課題がある。この課題を解決する技術として秘匿検索技術が提案されている。秘匿検索技術では、特別な暗号化方法によりデータを暗号化することによって、暗号化されたデータであっても検索が可能となる。

　様々な秘匿検索が提案されているが、検索対象データと、検索キーワードとが全く同じ場合にのみ検索される完全一致秘匿検索方式が多く提案されている。これに対して、検索キーワードが検索対象データ中の一部に含まれている場合に検索される方式を部分一致秘匿検索方式という。

　非特許文献１には、部分一致秘匿検索方式について記載されている。非特許文献１に記載された方式では、部分一致する可能性のある全てのパターンについての検索情報を検索者端末から検索装置へ送信することにより、部分一致秘匿検索を実現している。

"部分一致検索可能暗号"　吉田　麗生、小田　哲、小林　鉄太郎　ＳＣＩＳ　２０１０

　非特許文献１の方式では、検索者端末が、全てのパターンについての検索情報を作成し、検索装置に送信する。そのため、検索者端末から検索装置へ送信される検索情報量が多くなる。
　この発明は、検索者端末が送信する検索情報量を減らすことを目的とする。

　この発明に係る秘匿検索システムは、
　文字列の各文字が位置を指定されて設定されたオリジナル検索鍵を変換して変換後検索鍵を生成する変換後検索鍵生成部であって、前記オリジナル検索鍵に設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、前記変換後検索鍵を生成する変換後検索鍵生成部と、
　文字列の各文字が位置を指定されて設定された複数の暗号化タグから、前記変換後検索鍵生成部が生成した前記変換後検索鍵に設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグを検索する検索部とを備える。

　この発明に係る秘匿検索システムでは、オリジナル検索鍵を変換後検索鍵に変換して暗号化タグを検索する。そのため、検索者端末からオリジナル検索鍵が送信されれば、検索を実行することが可能である。したがって、検索者端末が送信する検索情報量を減らすことが可能である。

内積述語暗号における内積の取り方の説明図。内積述語暗号における内積の取り方の説明図。内積述語暗号の基本構成の説明図。実施の形態１に係る部分一致秘匿検索方式のキーテクニックの説明図。実施の形態１に係る部分一致秘匿検索方式の実現例の説明図。実施の形態１に係る部分一致秘匿検索方式の実現例の説明図。実施の形態１に係る部分一致秘匿検索方式の実現例の説明図。実施の形態１に係る秘匿検索システム１０の構成図。実施の形態１に係る鍵生成装置１００の構成図。実施の形態１に係る暗号化タグ生成装置２００の構成図。実施の形態１に係る検索鍵生成装置３００の構成図。実施の形態１に係る変換後検索鍵生成装置４００の構成図。実施の形態１に係る検索装置５００の構成図。実施の形態１に係るＫＧアルゴリズムの処理のフローチャート。実施の形態１に係るＴａｇＧｅｎアルゴリズムの処理のフローチャート。実施の形態１に係るＴｒａｐＧｅｎアルゴリズムの処理のフローチャート。実施の形態１に係るＴｒａｐＳｈｉｆｔアルゴリズムの処理のフローチャート。実施の形態１に係るＳｅａｒｃｈアルゴリズムの処理のフローチャート。実施の形態１に係る鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とのハードウェア構成例を示す図。

　実施の形態１．
　＊＊＊記法の説明＊＊＊
　以下の説明における記法について説明する。
　Ａがランダムな値または分布であるとき、数１０１は、Ａの分布に従いＡからｙをランダムに選択することを表す。つまり、数１０１において、ｙは乱数である。

　Ａが集合であるとき、数１０２は、Ａからｙを一様に選択することを表す。つまり、数１０２において、ｙは一様乱数である。

　数１０３は、ｙにｚが設定されたこと、ｙがｚにより定義されたこと、又はｙがｚを代入されたことを表す。

　ａが定数であるとき、数１０４は、機械（アルゴリズム）Ａが入力ｘに対しａを出力することを表す。

　数１０５は、位数ｑの体を表す。

　数１０６は、有限体Ｆ_ｑにおけるベクトル表現を表す。

　数１０７は、数１０８に示す２つのベクトルｘ^→とｖ^→との数１０９に示す内積を表す。

　Ｘ^Ｔは、行列Ｘの転置行列を表す。
　数１１０に示す基底Ｂと基底Ｂ^＊とに対して、数１１１である。

　＊＊＊概要の説明＊＊＊
　実施の形態１では、内積述語暗号を応用して、部分一致秘匿検索方式を実現する。

　図１及び図２に基づき、内積述語暗号における内積の取り方について説明する。
　図１に示すように、暗号文がベクトルｘ^→＝（ｘ_１，ｘ_２，．．．，ｘ_ｎ）であり、鍵がベクトルｖ^→＝（ｖ_１，ｖ_２，．．．，ｖ_ｎ）であるとする。この場合、内積述語暗号では、ベクトルｘ^→とベクトルｖ^→との内積Σ_ｉ＝１ ^ｎ（ｘ_ｉ・ｖ_ｉ）が計算され、暗号文が鍵により復号される。つまり、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との対応する要素毎の内積の和が計算され、暗号文が鍵により復号される。

　図２に示すように、暗号文がベクトルｘ^→＝（ｘ_１，ｘ_２）であり、鍵がベクトルｖ^→＝（ｖ_１，ｖ_２，．．．，ｖ_ｎ）であるように、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との要素数が異なる場合もある。この場合にも、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との対応する要素毎の内積の和が計算され、暗号文が鍵により復号される。

　図３に基づき、内積述語暗号の基本構成について説明する。
　秘密値ｓ_０と、ｔ∈Ｉｖの各整数ｔについての分散値ｓ_ｔとが用いられる。秘密値ｓ_０と分散値ｓ_ｔとには、ｓ_０＝Σ_ｔ∈Ｉｖｓ_ｔという関係がある。
　鍵は、秘密値ｓ_０が設定された基底Ｂ^＊ _０上のベクトルである要素ｋ^＊ _０と、ｔ∈Ｉｖの各整数ｔについて、分散値ｓ_ｔと属性値ｖ_ｔとインデックスｔとが設定された基底Ｂ^＊上のベクトルである要素ｋ^＊ _ｔとを含む。一方、暗号文は、基底Ｂ^＊ _０に対応する基底Ｂ_０上のベクトルである要素ｃ_０と、ｔ∈Ｉｘの各整数ｔについて、属性値ｘ_ｔとインデックスｔとが設定された、基底Ｂ^＊に対応する基底Ｂ上のベクトルである要素ｃ_ｔとを含む。
　そして、要素ｋ^＊ _０と要素ｃ_０との内積が計算されるとともに、ｔ∈Ｉｖとの各整数ｔについて、鍵に含まれる要素ｋ^＊ _ｔと、暗号文に含まれる要素ｃ_ｔとの内積が計算される。ｔ∈Ｉｖの各整数ｔについては、要素ｋ^＊ _ｔに設定された属性値ｖ_ｔと要素ｃ_ｔに設定された属性値ｘ_ｔとが対応している場合に、分散値ｓ_ｔが得られる。ｓ_０＝Σ_ｔ∈Ｉｖｓ_ｔであるため、ｔ∈Ｉｖの全ての要素ｋ^＊ _ｔに設定された分散値ｓ_ｔが得られると、要素ｋ^＊ _０に設定された秘密値ｓ_０が得られる。そして、この場合に、暗号文が鍵により復号できる。
　なお、要素ｋ^＊ _ｔと要素ｃ_ｔとにインデックスｔが設定されている。そのため、ｉ≠ｊの整数ｉ，ｊについて、属性値ｖ_ｉと属性値ｘ_ｊとが対応していたとしても、要素ｋ^＊ _ｉと要素ｃ_ｊとの内積を計算しても分散値ｓ_ｉが得られることはない。

　図４に基づき、実施の形態１に係る部分一致秘匿検索方式のキーテクニックを説明する。
　内積述語暗号の基本構成で説明したように、鍵の要素ｋ^＊ _ｔは、分散値ｓ_ｔと属性値ｖ_ｔとインデックスｔとが設定された基底Ｂ^＊上のベクトルであった。この要素ｋ^＊ _ｔを、分散値ｓ_ｔと属性値ｖ_ｔとが設定された基底Ｂ^＊ _ｔ上のベクトルとする。つまり、要素ｋ^＊ _ｔにインデックスｔを設定せず、インデックスｔ毎に割り当てられた基底Ｂ^＊ _ｔ上のベクトルにする。
　同様に、暗号文の要素ｃ_ｔは、属性値ｘ_ｔとインデックスｔとが設定された基底Ｂ上のベクトルであった。この要素ｃ_ｔを、属性値ｘ_ｔが設定された、基底Ｂ^＊ _ｔに対応する基底Ｂ_ｔ上のベクトルにする。つまり、要素ｃ_ｔにインデックスｔを設定せず、インデックスｔ毎に割り当てられた基底Ｂ_ｔ上のベクトルにする。

　ここで、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔは、ｔ＝１，．．．，ｄ－１の各整数ｔについて、基底Ｂ^＊ _ｔ＋１が基底Ｂ^＊ _ｔを変換行列Ｗ^＊ _ｔによって変換されて得られたものる。
　つまり、変換行列Ｗ^＊ _ｔを用いれば、基底Ｂ^＊ _ｔを基底Ｂ^＊ _ｔ＋１に変換できるし、逆に基底Ｂ^＊ _ｔ＋１を基底Ｂ^＊ _ｔに変換できる。したがって、ｔ＝１，．．．，ｄ－１の各整数ｔについての変換行列Ｗ^＊ _ｔを用いれば、ある基底Ｂ^＊ _ｔをｔ＝１，．．．，ｄのどの整数ｔについての基底Ｂ^＊ _ｔにも変換することができる。
　これにより、ある基底Ｂ^＊ _ｔ上のベクトルを、ｔ＝１，．．．，ｄのどの整数ｔについての基底Ｂ^＊ _ｔ上のベクトルにも変換することができる。

　ｉ≠ｊの整数ｉ，ｊについて、基底Ｂ^＊ _ｉと基底Ｂ_ｊとが対応していない。そのため、属性値ｖ_ｉと属性値ｘ_ｊとが対応していたとしても、要素ｋ^＊ _ｉと要素ｃ_ｊとの内積を計算しても分散値ｓ_ｉが得られることはない。
　しかし、要素ｋ^＊ _ｔと要素ｃ_ｔとにはインデックスｔが設定されていない。そのため、要素ｋ^＊ _ｉを、基底Ｂ^＊ _ｉ上のベクトルから基底Ｂ^＊ _ｊ上のベクトルに変換すれば、要素ｋ^＊ _ｉと要素ｃ_ｊとの内積を計算して分散値ｓ_ｉを得ることができる。
　つまり、鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔを変換して、要素ｋ^＊ _ｔと内積を取る相手となる暗号文の要素ｃ_ｔを変更できる。そのため、検索者から与えられたオリジナル検索鍵における各要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔを変換して、要素ｋ^＊ _ｔと内積を取る相手となる暗号文の要素ｃ_ｔを別の要素ｃ_ｔ’に変更した複数の変換後検索鍵を生成することができる。これを利用すれば、部分一致秘匿検索方式を実現することができる。

　図５に基づき、実施の形態１に係る部分一致秘匿検索方式の実現例を説明する。
　データベースに、ＡＢＣＤＥという検索タグとなる文字列が暗号化された暗号化タグが記憶されており、検索キーワードとして、ＣＤという文字列が与えられたとする。
　この場合、ＡＢＣＤＥという文字列の各文字を属性値ｘ_ｔとして、暗号文の要素ｃ_ｔが生成される。つまり、要素ｃ_１には属性値Ａが設定され、要素ｃ_２には属性値Ｂが設定され、要素ｃ_３には属性値Ｃが設定され、要素ｃ_４には属性値Ｄが設定され、要素ｃ_５には属性値Ｅが設定される。
　一方、ＣＤという文字列の各文字を属性値ｖ_ｔとして、オリジナル検索鍵が生成される。つまり、要素ｋ^＊ _１には属性値Ｃが設定され、要素ｋ^＊ _２には属性値Ｄが設定される。

　検索処理では、オリジナル検索鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを１つづつ順にずらして変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。復号されれば、変換後検索鍵で暗号化タグが検索されたことになる。

　つまり、初めに、オリジナル検索鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを０ずらして変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。すなわち、オリジナル検索鍵をそのまま変換後検索鍵として、変換後検索鍵で暗号化タグを復号する。
　この場合、属性値Ａが設定された要素ｃ_１と属性値Ｃが設定された要素ｋ^＊ _１との内積が取られ、属性値Ｂが設定された要素ｃ_２と属性値Ｄが設定された要素ｋ^＊ _２との内積が取られる。要素ｃ_１と要素ｋ^＊ _１とでは属性値が対応しておらず、要素ｃ_２と要素ｋ^＊ _２とでは属性値が対応していないため、変換後検索鍵で暗号化タグを復号できない。

　次に、オリジナル検索鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを１ずらして変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。すなわち、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１を基底Ｂ^＊ _２に変換し、要素ｋ^＊ _２の基底Ｂ^＊ _２を基底Ｂ^＊ _３に変換して変換後検索鍵として、変換後検索鍵で暗号化タグを復号する。
　この場合、属性値Ｂが設定された要素ｃ_２と属性値Ｃが設定された要素ｋ^＊ _１との内積が取られ、属性値Ｃが設定された要素ｃ_３と属性値Ｄが設定された要素ｋ^＊ _２との内積が取られる。要素ｃ_２と要素ｋ^＊ _１とでは属性値が対応しておらず、要素ｃ_３と要素ｋ^＊ _２とでは属性値が対応していないため、変換後検索鍵で暗号化タグを復号できない。

　次に、オリジナル検索鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを２ずらして変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。すなわち、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１を基底Ｂ^＊ _３に変換し、要素ｋ^＊ _２の基底Ｂ^＊ _２を基底Ｂ^＊ _４に変換して変換後検索鍵として、変換後検索鍵で暗号化タグを復号する。
　この場合、属性値Ｃが設定された要素ｃ_３と属性値Ｃが設定された要素ｋ^＊ _１との内積が取られ、属性値Ｄが設定された要素ｃ_４と属性値Ｄが設定された要素ｋ^＊ _２との内積が取られる。要素ｃ_３と要素ｋ^＊ _１とでは属性値が対応しており、要素ｃ_４と要素ｋ^＊ _２とでは属性値が対応しているため、変換後検索鍵で暗号化タグを復号できる。したがって、変換後検索鍵で暗号化タグが検索される。

　このように、オリジナル検索鍵の要素ｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを１つづつ順にずらして変換後検索鍵を生成することにより、部分一致秘匿検索方式を実現できる。

　図６に基づき、実施の形態１に係る部分一致秘匿検索方式の実現例を説明する。
　データベースに、ＡＢＣＤＥという検索タグとなる文字列が暗号化された暗号化タグが記憶されており、検索キーワードとして、ＢＤという文字列が与えられたとする。
　この場合、ＡＢＣＤＥという文字列の各文字を属性値ｘ_ｔとして、暗号文の要素ｃ_ｔが生成される。つまり、要素ｃ_１には属性値Ａが設定され、要素ｃ_２には属性値Ｂが設定され、要素ｃ_３には属性値Ｃが設定され、要素ｃ_４には属性値Ｄが設定され、要素ｃ_５には属性値Ｅが設定される。
　一方、ＢＤという文字列の各文字を属性値ｖ_ｔとして、オリジナル検索鍵が生成される。つまり、要素ｋ^＊ _１には属性値Ｂが設定され、要素ｋ^＊ _２には属性値Ｄが設定される。

　検索処理では、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１の添え字と、要素ｋ^＊ _２の基底Ｂ^＊ _２の添え字との差が大きくなるように変換して変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。

　例えば、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１を基底Ｂ^＊ _２に変換し、要素ｋ^＊ _２の基底Ｂ^＊ _２を基底Ｂ^＊ _４に変換して、変換後検索鍵が生成される。
　この場合、属性値Ｂが設定された要素ｃ_２と属性値Ｂが設定された要素ｋ^＊ _１との内積が取られ、属性値Ｄが設定された要素ｃ_４と属性値Ｄが設定された要素ｋ^＊ _２との内積が取られる。要素ｃ_２と要素ｋ^＊ _１とでは属性値が対応しており、要素ｃ_４と要素ｋ^＊ _２とでは属性値が対応しているため、変換後検索鍵で暗号化タグを復号できる。したがって、変換後検索鍵で暗号化タグが検索される。

　このように、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１の添え字と、要素ｋ^＊ _２の基底Ｂ^＊ _２の添え字との差が大きくなるように変換して変換後検索鍵を生成することにより、検索キーワードの文字列に間を空けた部分一致秘匿検索方式を実現できる。

　図７に基づき、実施の形態１に係る部分一致秘匿検索方式の実現例を説明する。
　データベースに、ＡＢＣＤＥという検索タグとなる文字列が暗号化された暗号化タグが記憶されており、検索キーワードとして、ＢＡという文字列が与えられたとする。
　この場合、ＡＢＣＤＥという文字列の各文字を属性値ｘ_ｔとして、暗号文の要素ｃ_ｔが生成される。つまり、要素ｃ_１には属性値Ａが設定され、要素ｃ_２には属性値Ｂが設定され、要素ｃ_３には属性値Ｃが設定され、要素ｃ_４には属性値Ｄが設定され、要素ｃ_５には属性値Ｅが設定される。
　一方、ＢＡという文字列の各文字を属性値ｖ_ｔとして、オリジナル検索鍵が生成される。つまり、要素ｋ^＊ _１には属性値Ｂが設定され、要素ｋ^＊ _２には属性値Ａが設定される。

　検索処理では、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１と、要素ｋ^＊ _２の基底Ｂ^＊ _２とが入れ替わるように変換して変換後検索鍵を生成し、変換後検索鍵で暗号化タグを復号する。

　例えば、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１を基底Ｂ^＊ _２に変換し、要素ｋ^＊ _２の基底Ｂ^＊ _２を基底Ｂ^＊ _１に変換して、変換後検索鍵が生成される。
　この場合、属性値Ｂが設定された要素ｃ_２と属性値Ｂが設定された要素ｋ^＊ _１との内積が取られ、属性値Ａが設定された要素ｃ_１と属性値Ａが設定された要素ｋ^＊ _２との内積が取られる。要素ｃ_２と要素ｋ^＊ _１とでは属性値が対応しており、要素ｃ_１と要素ｋ^＊ _２とでは属性値が対応しているため、変換後検索鍵で暗号化タグを復号できる。したがって、変換後検索鍵で暗号化タグが検索される。

　このように、オリジナル検索鍵の要素ｋ^＊ _１の基底Ｂ^＊ _１と、要素ｋ^＊ _２の基底Ｂ^＊ _２とが入れ替わるように変換して変換後検索鍵を生成することにより、検索キーワードの文字列の順序を入れ替えた部分一致秘匿検索方式を実現できる。

　＊＊＊構成の説明＊＊＊
　実施の形態１に係る部分一致秘匿検索方式の構成について説明する。
　部分一致秘匿検索方式は、ＫＧアルゴリズムと、ＴａｇＧｅｎアルゴリズムと、ＴｒａｐＧｅｎアルゴリズムと、ＴｒａｐＳｈｉｆｔアルゴリズムと、Ｓｅａｒｃｈアルゴリズムとを備える。

　ＫＧアルゴリズムは、セキュリティパラメータλとベクトル長ｄとを入力として、公開鍵ｐｋと、秘密鍵ｓｋと、シフト用秘密鍵ｓｓｋとを出力するアルゴリズムである。

　ＴａｇＧｅｎアルゴリズムは、公開鍵ｐｋと、属性ベクトルｘ^→とを入力として、暗号化タグＥＴ_ｘを出力する確率的アルゴリズムである。

　ＴｒａｐＧｅｎアルゴリズムは、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→とを入力として、オリジナル検索鍵ＴＤ_ｖを出力する確率的アルゴリズムである。

　ＴｒａｐＳｈｉｆｔアルゴリズムは、オリジナル検索鍵ＴＤ_ｖと、シフト情報ＳＩと、シフト用秘密鍵ｓｓｋとを入力として、変換後検索鍵ＴＤ_ｖ’を出力するアルゴリズムである。

　Ｓｅａｒｃｈアルゴリズムは、公開鍵ｐｋと、暗号化タグＥＴ_ｘと、変換後検索鍵ＴＤ_ｖ’とを入力として、検索にヒットしたことを示す０、又は、検索にヒットしなかったことを示す１を出力する確定的アルゴリズムである。

　図８に基づき、実施の形態１に係る秘匿検索システム１０の構成について説明する。
　秘匿検索システム１０は、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とを備える。
　なお、ここでは、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とをそれぞれ別の装置としているが、これらの装置のうち２つ以上の装置が１つの装置で構成されていてもよい。例えば、変換後検索鍵生成装置４００と検索装置５００とは１つの装置で構成されていてもよい。したがって、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とを、それぞれ鍵生成部と、暗号化タグ生成部と、検索鍵生成部と、変換後検索鍵生成部と、検索部と読み替え、ある装置の要素としてもよい。

　鍵生成装置１００は、セキュリティパラメータλと、ベクトル長ｄを入力として、ＫＧアルゴリズムを実行して、公開鍵ｐｋと、秘密鍵ｓｋと、シフト用秘密鍵ｓｓｋとを出力する。

　暗号化タグ生成装置２００は、公開鍵ｐｋと、属性ベクトルｘ^→とを入力として、ＴａｇＧｅｎアルゴリズムを実行して、暗号化タグＥＴ_ｘを出力する。

　検索鍵生成装置３００は、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→とを入力として、ＴｒａｐＧｅｎアルゴリズムを実行して、オリジナル検索鍵ＴＤ_ｖを出力する。

　変換後検索鍵生成装置４００は、オリジナル検索鍵ＴＤ_ｖと、シフト情報ＳＩと、シフト用秘密鍵ｓｓｋとを入力として、ＴｒａｐＳｈｉｆｔアルゴリズムを実行して、変換後検索鍵ＴＤ_ｖ’を出力する。

　検索装置５００は、公開鍵ｐｋと、暗号化タグＥＴ_ｘと、変換後検索鍵ＴＤ_ｖ’とを入力として、Ｓｅａｒｃｈアルゴリズムを実行して、検索にヒットしたことを示す０、又は、検索にヒットしなかったことを示す１を出力する。

　図９に基づき、実施の形態１に係る鍵生成装置１００の構成について説明する。
　鍵生成装置１００は、情報取得部１１０と、基底生成部１２０と、変換行列生成部１３０と、鍵生成部１４０と、鍵出力部１５０とを備える。

　情報取得部１１０は、セキュリティパラメータλと、ベクトル長ｄとを取得する。

　基底生成部１２０は、セキュリティパラメータλに基づき、部分一致秘匿検索方式を実現するための基礎となる基底Ｂ_０と基底Ｂ^＊ _０と基底Ｂ_１と基底Ｂ^＊ _１とを生成する。また、基底生成部１２０は、パラメータｐａｒａｍを生成する。

　変換行列生成部１３０は、ベクトル長ｄを用いて、ｉ＝１，．．．，ｄ－１の各整数ｉについて、変換行列Ｗ_ｉと変換行列Ｗ^＊ _ｉとを生成する。

　鍵生成部１４０は、基底Ｂ_０及び基底Ｂ_１と、パラメータｐａｒａｍと、変換行列Ｗ_ｉとを用いて、公開鍵ｐｋを生成する。また、鍵生成部１４０は、基底Ｂ^＊ _０及び基底Ｂ^＊ _０と、変換行列Ｗ^＊ _ｉとを用いて、秘密鍵ｓｋを生成する。また、鍵生成部１４０は、変換行列Ｗ^＊ _ｉを用いて、シフト用秘密鍵ｓｓｋを生成する。

　鍵出力部１５０は、公開鍵ｐｋを公開する。また、鍵出力部１５０は、秘密鍵ｓｋを検索鍵生成装置３００へ出力する。また、鍵出力部１５０は、シフト用秘密鍵ｓｓｋを変換後検索鍵生成装置４００に出力する。

　図１０に基づき、実施の形態１に係る暗号化タグ生成装置２００の構成を説明する。
　暗号化タグ生成装置２００は、情報取得部２１０と、タグ生成部２２０と、暗号化タグ出力部２３０とを備える。

　情報取得部２１０は、公開鍵ｐｋと、属性ベクトルｘ^→とを取得する。

　タグ生成部２２０は、公開鍵ｐｋと、属性ベクトルｘ^→とを用いて、複数の基底Ｂ_ｔのうちの少なくとも一部の基底Ｂ_ｔ上のタグベクトルｃ_ｔを含む暗号化タグＥＴ_ｘを生成する。タグ生成部２２０は、乱数生成部２２１と、要素生成部２２２とを備える。

　暗号化タグ出力部２３０は、暗号化タグＥＴ_ｘを検索装置５００に出力する。

　図１１に基づき、実施の形態１に係る検索鍵生成装置３００の構成を説明する。
　検索鍵生成装置３００は、情報取得部３１０と、鍵生成部３２０と、鍵出力部３３０とを備える。

　情報取得部３１０は、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→とを取得する。

　鍵生成部３２０は、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→とを用いて、文字列の各文字が位置を指定されて設定されたオリジナル検索鍵ＴＤ_ｖを生成する。ここでは、鍵生成部３２０は、複数の基底Ｂ^＊ _ｔのうちの少なくとも一部の基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔを含むオリジナル検索鍵ＴＤ_ｖを生成する。鍵生成部３２０は、乱数生成部３２１と、秘密値生成部３２２と、要素生成部３２３とを備える。

　鍵出力部３３０は、オリジナル検索鍵ＴＤ_ｖを変換後検索鍵生成装置４００に出力する。

　図１２に基づき、実施の形態１に係る変換後検索鍵生成装置４００の構成を説明する。
　変換後検索鍵生成装置４００は、情報取得部４１０と、判定部４２０と、鍵変換部４３０と、鍵出力部４４０とを備える。

　情報取得部４１０は、オリジナル検索鍵ＴＤ_ｖと、シフト情報ＳＩと、シフト用秘密鍵ｓｓｋとを取得する。

　判定部４２０は、シフト情報ＳＩに基づきオリジナル検索鍵ＴＤ_ｖを変換可能か否かを判定する。

　鍵変換部４３０は、変換可能である場合に、シフト用秘密鍵ｓｓｋを用いて、シフト情報ＳＩに基づきオリジナル検索鍵ＴＤ_ｖを変換して、変換後検索鍵ＴＤ_ｖ’を生成する。特に、鍵変換部４３０は、オリジナル検索鍵ＴＤ_ｖに設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、変換後検索鍵ＴＤ_ｖ’を生成する。ここでは、鍵変換部４３０は、は、オリジナル検索鍵ＴＤ_ｖに含まれる少なくとも一部の検索ベクトルｋ^＊ _ｔを複数の基底Ｂ^＊ _ｔのうちの他の基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔに変換することにより、変換後検索鍵ＴＤ_ｖ’を生成する。

　鍵出力部４４０は、変換後検索鍵ＴＤ_ｖ’を検索装置５００に出力する。

　図１３に基づき、実施の形態１に係る検索装置５００の構成を説明する。
　検索装置５００は、情報取得部５１０と、検索判定部５２０と、結果出力部５３０とを備える。

　情報取得部５１０は、公開鍵ｐｋと、暗号化タグＥＴ_ｘと、変換後検索鍵ＴＤ_ｖ’とを取得する。

　検索判定部５２０は、暗号化タグ生成装置２００が生成した複数の暗号化タグＥＴ_ｘであって、文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴ_ｘから、変換後検索鍵生成装置４００が生成した変換後検索鍵ＴＤ_ｖ’に設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグＥＴ_ｘを検索する。ここでは、検索判定部５２０は、公開鍵ｐｋと変換後検索鍵ＴＤ_ｖ’とを用いて、暗号化タグＥＴ_ｘを復号することにより、検索にヒットしたか否かを判定する。つまり、検索判定部５２０は、暗号化タグ生成装置２００が生成した複数の暗号化タグＥＴ_ｘから、変換後検索鍵生成装置４００が生成した変換後検索鍵ＴＤ_ｖ’に対応する暗号化タグＥＴ_ｘを検索する。

　結果出力部５３０は、検索にヒットしたことを示す０、又は、検索にヒットしなかったことを示す１を出力する。

　＊＊＊動作の説明＊＊＊
　図１４に基づき、実施の形態１に係るＫＧアルゴリズムの処理を説明する。
　上述した通り、ＫＧアルゴリズムは、鍵生成装置１００によって実行される。ＫＧアルゴリズムは、実施の形態１に係る秘匿検索方法における鍵生成工程に相当する。また、ＫＧアルゴリズムは、実施の形態１に係る秘匿検索プログラムにおける鍵生成処理に相当する。

　（Ｓ１０１：情報取得処理）
　情報取得部１１０は、秘匿検索システム１０の管理者等によって入力装置により入力された、セキュリティパラメータλと、ベクトル長ｄとを取得する。ベクトル長ｄは、２以上の整数である。

　（Ｓ１０２：基底生成処理）
　基底生成部１２０は、セキュリティパラメータλを入力として、数１１２を計算して、基底Ｂ_０と基底Ｂ^＊ _０と基底Ｂ_１と基底Ｂ^＊ _１と、双対ペアリングベクトル空間のパラメータｐａｒａｍとを生成する。

　なお、数１１２において、Ｇ_ｂｐｇは、双線形ペアリング群を生成する関数であり、Ｇ_ｄｐｖｓは、双対ペアリングベクトル空間を生成する関数である。

　（Ｓ１０３：変換行列生成処理）
　変換行列生成部１３０は、ｉ＝１，．．．，ｄ－１の各整数ｉについて、数１１３を計算して、変換行列Ｗ_ｉと変換行列Ｗ^＊ _ｉとを生成する。

　（Ｓ１０４：公開鍵生成処理）
　鍵生成部１４０は、ｉ＝１，．．．，ｄ－１の各整数ｉについて、Ｓ１０２で生成された基底Ｂ_１と、Ｓ１０３で生成された変換行列Ｗ_ｉとを入力として、数１１４を計算して、ｉ＝２，．．．，ｄの各整数ｉについての基底Ｂ_ｉを生成する。

　鍵生成部１４０は、Ｓ１０２で生成された基底Ｂ_０の部分基底Ｂ＾_０と、ｉ＝１，．．．，ｄの各整数ｉについて、部分基底Ｂ＾_ｉとを数１１５に示すように生成する。

　鍵生成部１４０は、ｉ＝０，．．．，ｄの各整数ｉについての部分基底Ｂ＾_ｉと、Ｓ１０２で生成されたパラメータｐａｒａｍとを公開鍵ｐｋとする。

　（Ｓ１０５：秘密鍵生成処理）
　鍵生成部１４０は、ｉ＝１，．．．，ｄ－１の各整数ｉについて、Ｓ１０２で生成された基底Ｂ^＊ _１と、Ｓ１０３で生成された変換行列Ｗ^＊ _ｉとを入力として、数１１６を計算して、ｉ＝２，．．．，ｄの各整数ｉについての基底Ｂ^＊ _ｉを生成する。

　鍵生成部１４０は、Ｓ１０２で生成された基底Ｂ^＊ _０の部分基底Ｂ＾^＊ _０と、ｉ＝１，．．．，ｄの各整数ｉについて、部分基底Ｂ＾^＊ _ｉとを数１１７に示すように生成する。

　鍵生成部１４０は、ｉ＝０，．．．，ｄの各整数ｉについての部分基底Ｂ＾^＊ _ｉを秘密鍵ｓｋとする。

　（Ｓ１０６：シフト用秘密鍵生成処理）
　鍵生成部１４０は、Ｓ１０３で生成された、ｉ＝１，．．．，ｄ－１の各整数ｉについての変換行列Ｗ^＊ _ｉをシフト用秘密鍵ｓｓｋとする。

　（Ｓ１０７：鍵出力処理）
　鍵出力部１５０は、Ｓ１０４で生成された公開鍵ｐｋを公開用のサーバ等へ出力して、公開鍵ｐｋを公開する。鍵出力部１５０は、Ｓ１０５で生成された秘密鍵ｓｋを秘密裡に検索鍵生成装置３００へ出力する。鍵出力部１５０は、Ｓ１０６で生成されたシフト用秘密鍵ｓｓｋを秘密裡に変換後検索鍵生成装置４００に出力する。

　図１５に基づき、実施の形態１に係るＴａｇＧｅｎアルゴリズムの処理を説明する。
　上述した通り、ＴａｇＧｅｎアルゴリズムは、暗号化タグ生成装置２００によって実行される。ＴａｇＧｅｎアルゴリズムは、実施の形態１に係る秘匿検索方法における暗号化タグ生成工程に相当する。また、ＴａｇＧｅｎアルゴリズムは、実施の形態１に係る秘匿検索プログラムにおける暗号化タグ生成処理に相当する。

　（Ｓ２０１：情報取得処理）
　情報取得部２１０は、鍵生成装置１００によって公開された公開鍵ｐｋを取得する。
　情報取得部２１０は、暗号化タグ生成装置２００の使用者等によって入力装置により入力された、属性ベクトルｘ^→を取得する。属性ベクトルｘ^→：＝｛（ｔ，ｘ_ｔ）｜ｔ∈Ｉｘ⊆｛１，．．．，ｄ｝｝である。Ｉｘは、インデックスの集合である。例えば、属性ベクトルｘ^→の各要素ｘ_ｔには、図５から図７で説明したように、検索タグとなる文字列の各文字が設定される。

　（Ｓ２０２：乱数生成処理）
　乱数生成部２２１は、数１１８に示すように、乱数を生成する。

　（Ｓ２０３：タグ要素生成処理）
　要素生成部２２２は、Ｓ２０１で取得された公開鍵ｐｋ及び属性ベクトルｘ^→と、Ｓ２０２で生成された乱数とを入力として、数１１９に示すように、タグベクトルｃ_０と、ｔ∈Ｉｘの各整数ｔについてのタグベクトルｃ_ｔと、タグベクトルｃ_Ｔとを生成する。

　（Ｓ２０４：タグ出力処理）
　暗号化タグ出力部２３０は、Ｓ２０１で取得されたインデックスの集合Ｉｘと、Ｓ２０３で生成されたタグベクトルｃ_０及びｔ∈Ｉｘの各整数ｔについてのタグベクトルｃ_ｔ及びタグベクトルｃ_Ｔとを要素として含む暗号化タグＥＴ_ｘを検索装置５００に出力する。

　図１６に基づき、実施の形態１に係るＴｒａｐＧｅｎアルゴリズムの処理を説明する。
　上述した通り、ＴｒａｐＧｅｎアルゴリズムは、検索鍵生成装置３００によって実行される。ＴｒａｐＧｅｎアルゴリズムは、実施の形態１に係る秘匿検索方法における検索鍵生成工程に相当する。また、ＴｒａｐＧｅｎアルゴリズムは、実施の形態１に係る秘匿検索プログラムにおける検索鍵生成処理に相当する。

　（Ｓ３０１：情報取得処理）
　情報取得部３１０は、鍵生成装置１００によって公開された公開鍵ｐｋと、鍵生成装置１００によって出力された秘密鍵ｓｋとを取得する。
　情報取得部３１０は、検索鍵生成装置３００の使用者等によって入力装置により入力された、述語ベクトルｖ^→を取得する。述語ベクトルｖ^→：＝｛（ｔ，ｖ_ｔ）｜ｔ∈Ｉｖ⊆｛１，．．．，ｄ｝｝である。Ｉｖは、インデックスの集合である。例えば、述語ベクトルｖ^→の各要素ｖ_ｔには、図５から図７で説明したように、検索キーワードとなる文字列の各文字が設定される。

　（Ｓ３０２：乱数生成処理）
　乱数生成部３２１は、数１２０に示すように、乱数を生成する。

　（Ｓ３０３：秘密値生成処理）
　秘密値生成部３２２は、Ｓ２０２で生成されたｔ∈Ｉｖの各整数ｔについての乱数ｓ_ｔを入力として、秘密値ｓ_０＝Σ_ｔ∈Ｉｖｓ_ｔを生成する。

　（Ｓ３０４：鍵要素生成処理）
　要素生成部３２３は、Ｓ３０１で取得された公開鍵ｐｋ及び秘密鍵ｓｋ及び述語ベクトルｖ^→と、Ｓ３０２で生成された乱数と、Ｓ３０３で生成された秘密値ｓ_０とを入力として、数１２１に示すように、検索ベクトルｋ^＊ _０と、ｔ∈Ｉｖの各整数ｔについての検索ベクトルｋ^＊ _ｔとを生成する。

　（Ｓ３０５：鍵出力処理）
　鍵出力部３３０は、Ｓ３０１で取得されたインデックスの集合Ｉｖと、Ｓ３０４で生成された検索ベクトルｋ^＊ _０及びｔ∈Ｉｖの各整数ｔについての検索ベクトルｋ^＊ _ｔとを要素として含むオリジナル検索鍵ＴＤ_ｖを変換後検索鍵生成装置４００に出力する。

　図１７に基づき、実施の形態１に係るＴｒａｐＳｈｉｆｔアルゴリズムの処理を説明する。
　上述した通り、ＴｒａｐＳｈｉｆｔアルゴリズムは、変換後検索鍵生成装置４００によって実行される。ＴｒａｐＳｈｉｆｔアルゴリズムは、実施の形態１に係る秘匿検索方法における変換後検索鍵生成工程に相当する。また、ＴｒａｐＳｈｉｆｔアルゴリズムは、実施の形態１に係る秘匿検索プログラムにおける変換後検索鍵生成処理に相当する。

　（Ｓ４０１：情報取得処理）
　情報取得部４１０は、検索鍵生成装置３００によって出力されたオリジナル検索鍵ＴＤ_ｖを取得する。
　情報取得部４１０は、シフト情報ＳＩを取得する。シフト情報ＳＩ：＝（Ｉｖ’⊆｛１，．．．，ｄ｝，ρ）である。つまり、シフト情報ＳＩは、インデックスの集合Ｉｖ’と、遷移情報ρとを含む。遷移情報ρは、インデックスの集合Ｉｖに含まれるインデックスｔ_iをインデックスの集合Ｉｖ’に含まれるインデックスｔ’_iに移すことを表現した情報である。ここでｉ＝１，．．．，ｄである。
　情報取得部４１０は、鍵生成装置１００によって出力されたシフト用秘密鍵ｓｓｋを取得する。

　（Ｓ４０２：サイズ判定処理）
　判定部４２０は、インデックスの集合Ｉｖのサイズ｜Ｉｖ｜＝Ｕと、インデックスの集合Ｉｖ’のサイズ｜Ｉｖ’｜＝Ｕ’とが等しいか否かを判定する。これにより、判定部４２０は、シフト情報ＳＩに基づきオリジナル検索鍵ＴＤ_ｖを変換可能か否かを判定する。
　判定部４２０は、Ｕ＝Ｕ’であれば変換可能であるため、処理をＳ３０３へ進め、Ｕ≠Ｕ’であれば変換不可能であるため、処理を終了する。

　（Ｓ４０３：インデックス初期化処理）
　鍵変換部４３０は、インデックスの集合Ｉｖのうち、最も小さい値のインデックスｔをインデックスｔ_ｉとして選択する。

　（Ｓ４０４：シフト判定処理）
　鍵変換部４３０は、遷移情報ρがｔ_ｉ＝ｔ’_ｉを示すか、又は、ｔ_ｉ＜ｔ’_ｉを示すか、又は、ｔ_ｉ＞ｔ’_ｉを示すかを判定する。
　鍵変換部４３０は、ｔ_ｉ＝ｔ’_ｉを示す場合には、処理をＳ４０５へ進め、ｔ_ｉ＜ｔ’_ｉを示す場合には、処理をＳ４０６へ進め、ｔ_ｉ＞ｔ’_ｉを示す場合には、処理をＳ４０７へ進める。

　（Ｓ４０５：シフトＡ処理）
　鍵変換部４３０は、数１２２に示すように、検索ベクトルｋ^＊ _ｔ’ｉを生成する。

　つまり、鍵変換部４３０は、検索ベクトルｋ^＊ _ｔｉをそのまま検索ベクトルｋ^＊ _ｔ’ｉとする。

　（Ｓ４０６：シフトＢ処理）
　鍵変換部４３０は、数１２３に示すように、検索ベクトルｋ^＊ _ｔ’ｉを生成する。

　つまり、鍵変換部４３０は、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔｉに、ｊ＝ｔ_ｉ，．．．，ｔ’_ｉ－１の各整数ｊについての変換行列Ｗ^＊ _ｊを順に乗じて、基底Ｂ^＊ _ｔ’ｉ上の検索ベクトルｋ^＊ _ｔ’ｉに変換する。

　（Ｓ４０７：シフトＣ処理）
　鍵変換部４３０は、数１２４に示すように、検索ベクトルｋ^＊ _ｔ’ｉを生成する。

　つまり、鍵変換部４３０は、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔに、ｊ＝ｔ_ｉ－１，．．．，ｔ’_ｉの各整数ｊについての変換行列Ｗ^＊ _ｊの逆行列（Ｗ^＊ _ｊ）^－１を順に乗じて、基底Ｂ^＊ _ｔ’ｉ上の検索ベクトルｋ^＊ _ｔ’ｉに変換する。

　（Ｓ４０８：終了判定処理）
　鍵変換部４３０は、インデックスの集合Ｉｖの全てのインデックスｔについての処理が終了したか否かを判定する。
　鍵変換部４３０は、終了していない場合、インデックスの集合Ｉｖに含まれるインデックスｔのうち、現在選択されているインデックスｔの次に大きい値のインデックスｔをインデックスｔ_ｉとして選択して、処理をＳ４０４に戻す。一方、鍵変換部４３０は、終了している場合、処理をＳ４０９に進める。

　（Ｓ４０９：鍵出力処理）
　鍵出力部４４０は、Ｓ４０１で取得されたインデックスの集合Ｉｖ’及び検索ベクトルｋ^＊ _０と、Ｓ４０５からＳ４０７で生成されたｔ’∈Ｉｖ’の各整数ｔ’についての検索ベクトルｋ^＊ _ｔ’とを要素として含む変換後検索鍵ＴＤ_ｖ’を検索装置５００に出力する。

　つまり、複数の基底Ｂ^＊ _ｔは、ｔ＝１，．．．，ｄ－１の各整数ｔについて、基底Ｂ^＊ _ｔ＋１が基底Ｂ^＊ _ｔを変換行列Ｗ^＊ _ｔによって変換されて得られる、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔである。そして、変換後検索鍵生成装置４００は、オリジナル検索鍵ＴＤ_ｖに含まれる少なくとも一部の検索ベクトルｋ^＊ _ｔを、変換行列Ｗ^＊ _ｔにより他の基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔに変換する。
　より具体的には、複数の基底Ｂ^＊ _ｔは、ｔ＝１，．．．，ｄ－１の各整数ｔについて、基底Ｂ^＊ _ｔ＋１が基底Ｂ^＊ _ｔに変換行列Ｗ^＊ _ｔを乗じて得られたものである。そして、変換後検索鍵生成装置４００は、１以上ｄ以下の整数ｔ，ｔ’について、ｔ＜ｔ’のときには、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔにｊ＝ｔ，．．．，ｔ’－１の各整数ｊについての変換行列Ｗ^＊ _ｊを乗じて、検索ベクトルｋ^＊ _ｔを基底Ｂ^＊ _ｔ’上の検索ベクトルｋ^＊ _ｔ’に変換する。変換後検索鍵生成装置４００は、ｔ＞ｔ’の場合のときには、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔにｊ＝ｔ－１，．．．，ｔ’の各整数ｊについての変換行列Ｗ^＊ _ｊの逆行列（Ｗ^＊ _ｊ）^－１を乗じて、検索ベクトルｋ^＊ _ｔを基底Ｂ^＊ _ｔ’上の検索ベクトルｋ^＊ _ｔ’に変換する。
　これにより、変換後検索鍵生成装置４００は、変換後検索鍵ＴＤ_ｖ’を生成する。

　図１８に基づき、実施の形態１に係るＳｅａｒｃｈアルゴリズムの処理を説明する。
　上述した通り、Ｓｅａｒｃｈアルゴリズムは、検索装置５００によって実行される。Ｓｅａｒｃｈアルゴリズムは、実施の形態１に係る秘匿検索方法における検索工程に相当する。また、Ｓｅａｒｃｈアルゴリズムは、実施の形態１に係る秘匿検索プログラムにおける検索処理に相当する。

　（Ｓ５０１：情報取得処理）
　情報取得部５１０は、鍵生成装置１００によって公開された公開鍵ｐｋを取得する。
　情報取得部５１０は、暗号化タグ生成装置２００によって出力された暗号化タグＥＴ_ｘを取得する。
　情報取得部５１０は、変換後検索鍵生成装置４００によって出力された変換後検索鍵ＴＤ_ｖ’を取得する。

　（Ｓ５０２：検索可能判定処理）
　検索判定部５２０は、Ｓ５０１で取得された変換後検索鍵ＴＤ_ｖ’に含まれるインデックスの集合Ｉｖ’が、Ｓ５０１で取得された暗号化タグＥＴ_ｘに含まれるインデックスの集合Ｉｘの部分集合であるか否かを判定する。
　検索判定部５２０は、部分集合である場合には検索可能であるとして、処理をＳ５０３に進め、部分集合でない場合には検索不可能であるとして、処理を終了する。

　（Ｓ５０３：復号処理）
　検索判定部５２０は、数１２５に示すように、暗号化タグＥＴ_ｘに含まれるタグと、変換後検索鍵ＴＤ_ｖ’に含まれる検索ベクトルとについて、ペアリング演算して、セッション鍵Ｋを計算する。

　つまり、検索判定部５２０は、内積述語暗号方式で言うところの、公開鍵ｐｋと変換後検索鍵ＴＤ_ｖ’とを用いて、暗号化タグＥＴ_ｘを復号する処理を行う。

　（Ｓ５０４：検索判定処理）
　検索判定部５２０は、Ｓ５０３で計算されたセッション鍵Ｋが、暗号化タグＥＴ_ｘに含まれるタグベクトルｃ_Ｔと等しいか否かを判定する。
　検索判定部５２０は、等しい場合、処理をＳ５０５へ進め、等しくない場合、処理をＳ５０６へ進める。

　（Ｓ５０５：結果Ａ出力処理）
　結果出力部５３０は、検索にヒットしたことを示す０を出力する。

　（Ｓ５０６：結果Ｂ出力処理）
　結果出力部５３０は、検索にヒットしなかったことを示す１を出力する。

　つまり、検索装置５００は、変換後検索鍵ＴＤ_ｖ’に含まれる検索ベクトルｋ^＊ _ｔと、各暗号化タグＥＴ_ｘに含まれるタグベクトルｃ_ｔとを用いた計算をすることにより、変換後検索鍵ＴＤ_ｖ’に対応する暗号化タグＥＴ_ｘを検索する。
　より具体的には、検索装置５００は、変換後検索鍵ＴＤ_ｖ’に含まれる検索ベクトルｋ^＊ _ｔと、各暗号化タグＥＴ_ｘに含まれるタグベクトルｃ_ｔであって、その検索ベクトルｋ^＊ _ｔの基底Ｂ^＊ _ｔに対応する基底Ｂ_ｔ上のタグベクトルｃ_ｔとの内積の計算をすることにより、変換後検索鍵ＴＤ_ｖ’に対応する暗号化タグＥＴ_ｘを検索する。

　以上のように、実施の形態１に係る秘匿検索システム１０は、変換後検索鍵生成装置４００がオリジナル検索鍵ＴＤ_ｖに含まれる少なくとも一部の検索ベクトルｋ^＊ _ｔを複数の基底Ｂ^＊ _ｔのうちの他の基底Ｂ^＊ _ｔ’上の検索ベクトルｋ^＊ _ｔ’に変換することにより、変換後検索鍵ＴＤ_ｖ’を生成することができる。
　そのため、図５に基づき説明したように、オリジナル検索鍵ＴＤ_ｖに含まれる検索ベクトルｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔを１つづつ順にずらして変換後検索鍵ＴＤ_ｖ’を生成することにより、部分一致秘匿検索方式を実現できる。

　なお、基底Ｂ^＊ _ｔの添え字ｔを１つづつ順にずらして変換後検索鍵ＴＤ_ｖ’を生成することに限らず、オリジナル検索鍵ＴＤ_ｖに含まれる全ての検索ベクトルｋ^＊ _ｔを、検索ベクトルｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔが同じ値だけずれるように変換することにより、変換後検索鍵を生成してもよい。

　実施の形態１に係る秘匿検索システム１０では、検索鍵生成装置３００は、１つのオリジナル検索鍵ＴＤ_ｖを生成して変換後検索鍵生成装置４００へ送信すれば、部分一致秘匿検索を行うことができる。そのため、検索者端末である検索鍵生成装置３００が送信する検索情報量を減らすことが可能である。
　また、実施の形態１に係る秘匿検索システム１０は、オリジナル検索鍵ＴＤ_ｖの情報が検索装置５００に漏洩することもない。

　また、図６に基づき説明したように、オリジナル検索鍵ＴＤ_ｖに含まれる検索ベクトルｋ^＊ _１の基底Ｂ^＊ _１の添え字と、検索ベクトルｋ_２の基底Ｂ^＊ _２の添え字との差が大きくなるように変換して変換後検索鍵ＴＤ_ｖ’を生成することもできる。
　より一般的には、オリジナル検索鍵ＴＤ_ｖに含まれる検索ベクトルｋ^＊ _ｔのうち、検索ベクトルｋ^＊ _ｔの基底Ｂ^＊ _ｔの添え字ｔが基準値未満の検索ベクトルと、基準値以上の検索ベクトルｋ^＊ _ｔとの間で、添え字ｔの値の差が大きくなるように、オリジナル検索鍵ＴＤ_ｖに含まれる検索ベクトルｋ^＊ _ｔを変換することにより、変換後検索鍵ＴＤ_ｖ’を生成することもできる。
　これにより、検索キーワードの文字列の途中に間を空けた部分一致秘匿検索方式を実現できる。

　また、図７に基づき説明したように、オリジナル検索鍵ＴＤ_ｖの要素ｋ^＊ _１の基底Ｂ^＊ _１と、要素ｋ^＊ _２の基底Ｂ^＊ _２とが入れ替わるように変換して変換後検索鍵ＴＤ_ｖ’を生成することもできる。
　より一般的には、オリジナル検索鍵ＴＤ_ｖに含まれる第１検索ベクトルと第２検索ベクトルとを、第１検索ベクトルの基底Ｂ^＊ _ｔ１と第２検索ベクトルの基底Ｂ^＊ _ｔ２とが入れ替わるように変換することにより、変換後検索鍵ＴＤ_ｖ’を生成することもできる。
　これにより、検索キーワードの文字列の順序を入れ替えた部分一致秘匿検索方式を実現できる。

　なお、上記説明では、検索可能な利用者を限定せず、全ての利用者が全ての暗号化タグＥＴ_ｘを検索可能であった。しかし、上述した部分一致秘匿検索方式を、内積述語暗号方式と組み合わせることにより、暗号化タグＥＴ_ｘ毎に、検索可能な利用者を限定することも可能である。
　この場合、ＫＧアルゴリズムにおいて、ｉ＝１，．．．，ｄの各整数ｉについての基底Ｂ_ｉ及び基底Ｂ^＊ _ｉに加えて、ｉ＝ｄ＋１，．．．，ｄ＋ｎの各整数ｉについての基底Ｂ_ｉ及び基底Ｂ^＊ _ｉを検索可能な利用者を限定するために生成する。そして、ＴａｇＧｅｎアルゴリズムにおいて、ｔ＝ｄ＋１，．．．，ｄ＋ｎの少なくとも一部の整数ｔについてのタグベクトルｃ_ｔに関しては検索可能な利用者の属性を示す要素ｘ_ｔを設定し、ＴｒａｐＧｅｎアルゴリズムにおいて、ｔ＝ｄ＋１，．．．，ｄ＋ｎの少なくとも一部の整数ｔについての検索ベクトルｋ^＊ _ｔに関しては検索者の属性を示す要素ｖ_ｔを設定する。
　これにより、検索可能な利用者の属性を示す要素ｘ_ｔと、検索者の属性を示す要素ｖ_ｔとが対応している場合に限り検索可能となる。

　図１９に基づき、実施の形態１に係る鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とのハードウェア構成例を説明する。
　鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とはコンピュータである。
　鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とは、プロセッサ９０１、補助記憶装置９０２、メモリ９０３、通信装置９０４、入力インタフェース９０５、ディスプレイインタフェース９０６といったハードウェアを備える。
　プロセッサ９０１は、信号線９１０を介して他のハードウェアと接続され、これら他のハードウェアを制御する。
　入力インタフェース９０５は、ケーブル９１１により入力装置９０７に接続されている。
　ディスプレイインタフェース９０６は、ケーブル９１２によりディスプレイ９０８に接続されている。

　プロセッサ９０１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ９０１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　補助記憶装置９０２は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。
　メモリ９０３は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。
　通信装置９０４は、データを受信するレシーバー９０４１及びデータを送信するトランスミッター９０４２を含む。通信装置９０４は、例えば、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。
　入力インタフェース９０５は、入力装置９０７のケーブル９１１が接続されるポートである。入力インタフェース９０５は、例えば、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。
　ディスプレイインタフェース９０６は、ディスプレイ９０８のケーブル９１２が接続されるポートである。ディスプレイインタフェース９０６は、例えば、ＵＳＢ端子又はＨＤＭＩ（登録商標）（Ｈｉｇｈ　Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）端子である。
　入力装置９０７は、例えば、マウス、キーボード又はタッチパネルである。
　ディスプレイ９０８は、例えば、ＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）である。

　補助記憶装置９０２には、上述した情報取得部１１０、基底生成部１２０、変換行列生成部１３０、鍵生成部１４０、鍵出力部１５０、情報取得部２１０、タグ生成部２２０、乱数生成部２２１、要素生成部２２２、暗号化タグ出力部２３０、情報取得部３１０、鍵生成部３２０、乱数生成部３２１、秘密値生成部３２２、要素生成部３２３、鍵出力部３３０、情報取得部４１０、判定部４２０、鍵変換部４３０、鍵出力部４４０、情報取得部５１０、検索判定部５２０、結果出力部５３０（以下、情報取得部１１０、基底生成部１２０、変換行列生成部１３０、鍵生成部１４０、鍵出力部１５０、情報取得部２１０、タグ生成部２２０、乱数生成部２２１、要素生成部２２２、暗号化タグ出力部２３０、情報取得部３１０、鍵生成部３２０、乱数生成部３２１、秘密値生成部３２２、要素生成部３２３、鍵出力部３３０、情報取得部４１０、判定部４２０、鍵変換部４３０、鍵出力部４４０、情報取得部５１０、検索判定部５２０、結果出力部５３０をまとめて「部」と表記する）の機能を実現するプログラムが記憶されている。
　このプログラムは、メモリ９０３にロードされ、プロセッサ９０１に読み込まれ、プロセッサ９０１によって実行される。
　更に、補助記憶装置９０２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。
　そして、ＯＳの少なくとも一部がメモリ９０３にロードされ、プロセッサ９０１はＯＳを実行しながら、「部」の機能を実現するプログラムを実行する。
　図１９では、１つのプロセッサ９０１が図示されているが、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とが複数のプロセッサ９０１を備えていてもよい。そして、複数のプロセッサ９０１が「部」の機能を実現するプログラムを連携して実行してもよい。
　また、「部」の処理の結果を示す情報やデータや信号値や変数値が、メモリ９０３、補助記憶装置９０２、又は、プロセッサ９０１内のレジスタ又はキャッシュメモリにファイルとして記憶される。

　「部」を「サーキットリー」で提供してもよい。また、「部」を「回路」又は「工程」又は「手順」又は「処理」に読み替えてもよい。「回路」及び「サーキットリー」は、プロセッサ９０１だけでなく、ロジックＩＣ又はＧＡ（Ｇａｔｅ　Ａｒｒａｙ）又はＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）又はＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）といった他の種類の処理回路をも包含する概念である。

　１０　秘匿検索システム、１００　鍵生成装置、１１０　情報取得部、１２０　基底生成部、１３０　変換行列生成部、１４０　鍵生成部、１５０　鍵出力部、２００　暗号化タグ生成装置、２１０　情報取得部、２２０　タグ生成部、２２１　乱数生成部、２２２　要素生成部、２３０　暗号化タグ出力部、３００　検索鍵生成装置、３１０　情報取得部、３２０　鍵生成部、３２１　乱数生成部、３２２　秘密値生成部、３２３　要素生成部、３３０　鍵出力部、４００　変換後検索鍵生成装置、４１０　情報取得部、４２０　判定部、４３０　鍵変換部、４４０　鍵出力部、５００　検索装置、５１０　情報取得部、５２０　検索判定部、５３０　結果出力部、ｐｋ　公開鍵、ｓｋ　秘密鍵、ｓｓｋ　シフト用秘密鍵、Ｂ，Ｂ^＊　基底、Ｂ＾，Ｂ＾^＊　部分基底、ｐａｒａｍ　パラメータ、Ｗ，Ｗ^＊　変換行列、Ｉｘ，Ｉｖ　インデックスの集合、ｘ^→　属性ベクトル、ｖ^→　述語ベクトル、ｃ　タグ、ｋ^＊　検索ベクトル、ＳＩ　シフト情報、ＥＴ_ｘ　暗号化タグ、ＴＤ_ｖ　オリジナル検索鍵、ＴＤ_ｖ’　変換後検索鍵。

Claims

　文字列の各文字が位置を指定されて設定されたオリジナル検索鍵を変換して変換後検索鍵を生成する変換後検索鍵生成部であって、前記オリジナル検索鍵に設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、前記変換後検索鍵を生成する変換後検索鍵生成部と、
　文字列の各文字が位置を指定されて設定された複数の暗号化タグから、前記変換後検索鍵生成部が生成した前記変換後検索鍵に設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグを検索する検索部と
を備える秘匿検索システム。
　前記オリジナル検索鍵は、前記各文字が設定された検索ベクトルであって、位置を指定する複数の基底のうちのいずれかの基底上のベクトルである検索ベクトルを含み、
　前記変換後検索鍵生成部は、前記オリジナル検索鍵に含まれる少なくとも一部の検索ベクトルを前記複数の基底のうちの他の基底上の検索ベクトルに変換することにより、前記変換後検索鍵を生成する
請求項１に記載の秘匿検索システム。
　前記複数の基底は、ｔ＝１，．．．，ｄ－１の各整数ｔについて、基底Ｂ^＊ _ｔ＋１が基底Ｂ^＊ _ｔを変換行列Ｗ^＊ _ｔによって変換されて得られる、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔであり、
　前記変換後検索鍵生成部は、前記オリジナル検索鍵に含まれる少なくとも一部の検索ベクトルを、前記変換行列Ｗ^＊ _ｔにより前記他の基底上の検索ベクトルに変換する
請求項２に記載の秘匿検索システム。
　前記複数の基底は、ｔ＝１，．．．，ｄ－１の各整数ｔについて、基底Ｂ^＊ _ｔ＋１が前記基底Ｂ^＊ _ｔに変換行列Ｗ^＊ _ｔを乗じて得られ、
　前記変換後検索鍵生成部は、１以上ｄ以下の整数ｔ，ｔ’について、ｔ＜ｔ’のときには、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔにｊ＝ｔ，．．．，ｔ’－１の各整数ｊについての変換行列Ｗ^＊ _ｊを乗じて、前記検索ベクトルｋ^＊ _ｔを基底Ｂ^＊ _ｔ’上の検索ベクトルｋ^＊ _ｔ’に変換し、ｔ＞ｔ’の場合のときには、基底Ｂ^＊ _ｔ上の検索ベクトルｋ^＊ _ｔにｊ＝ｔ－１，．．．，ｔ’の各整数ｊについての変換行列Ｗ^＊ _ｊの逆行列（Ｗ^＊ _ｊ）^－１を乗じて、前記検索ベクトルｋ^＊ _ｔを基底Ｂ^＊ _ｔ’上の検索ベクトルｋ^＊ _ｔ’に変換する
請求項３に記載の秘匿検索システム。
　前記複数の基底は、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔであり、
　各暗号化タグは、ｔ＝１，．．．，ｄのうちの少なくとも一部の整数ｔについて、前記基底Ｂ^＊ _ｔに対応する基底Ｂ_ｔ上のタグベクトルを含み、
　前記検索部は、前記変換後検索鍵に含まれる検索ベクトルと、前記各暗号化タグに含まれるタグベクトルとを用いた計算をすることにより、前記変換後検索鍵に対応する暗号化タグを検索する
請求項２に記載の秘匿検索システム。
　前記検索部は、前記変換後検索鍵に含まれる検索ベクトルと、前記各暗号化タグに含まれるタグベクトルであって、その検索ベクトルの基底Ｂ^＊ _ｔに対応する基底Ｂ_ｔ上のタグベクトルとの内積の計算をすることにより、前記変換後検索鍵に対応する暗号化タグを検索する
請求項５に記載の秘匿検索システム。
　前記複数の基底は、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔであり、
　前記変換後検索鍵生成部は、前記オリジナル検索鍵に含まれる全ての検索ベクトルを、検索ベクトルの基底Ｂ^＊ _ｔの添え字ｔが同じ値だけずれるように変換することにより、前記変換後検索鍵を生成する
請求項２に記載の秘匿検索システム。
　前記複数の基底は、ｔ＝１，．．．，ｄの各整数ｔについての基底Ｂ^＊ _ｔであり、
　前記変換後検索鍵生成部は、前記オリジナル検索鍵に含まれる検索ベクトルのうち、検索ベクトルの基底Ｂ^＊ _ｔの添え字ｔが基準値未満の検索ベクトルと、基準値以上の検索ベクトルとの間で、前記添え字ｔの値の差が大きくなるように、前記オリジナル検索鍵に含まれる検索ベクトルを変換することにより、前記変換後検索鍵を生成する
請求項２に記載の秘匿検索システム。
　前記変換後検索鍵生成部は、前記オリジナル検索鍵に含まれる第１検索ベクトルと第２検索ベクトルとを、第１検索ベクトルの基底と第２検索ベクトルの基底とが入れ替わるように変換することにより、前記変換後検索鍵を生成する
請求項２に記載の秘匿検索システム。
　文字列の各文字が位置を指定されて設定されたオリジナル検索鍵を変換して変換後検索鍵を生成する変換後検索鍵生成処理であって、前記オリジナル検索鍵に設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、前記変換後検索鍵を生成する変換後検索鍵生成処理と、
　文字列の各文字が位置を指定されて設定された複数の暗号化タグから、前記変換後検索鍵生成処理で生成した前記変換後検索鍵に設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグを検索する検索処理と
をコンピュータに実行させる秘匿検索プログラム。
　文字列の各文字が位置を指定されて設定されたオリジナル検索鍵を取得する情報取得部と、
　前記情報取得部が取得したオリジナル検索鍵に設定された文字のうち少なくとも一部の文字に対して指定された位置を他の位置に変換することにより、変換後検索鍵を生成する鍵変換部と
を備える変換後検索鍵生成装置。