WO2019142268A1

WO2019142268A1 - 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム

Info

Publication number: WO2019142268A1
Application number: PCT/JP2018/001233
Authority: WO
Inventors: 貴人平野; 豊川合; 義博小関
Original assignee: 三菱電機株式会社
Priority date: 2018-01-17
Filing date: 2018-01-17
Publication date: 2019-07-25
Also published as: EP3696797B1; JPWO2019142651A1; EP3696797A4; US20200351081A1; CN111587452B; US11233629B2; JP6910477B2; WO2019142651A1; CN111587452A; EP3696797A1

Abstract

登録装置（５００）は、利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒを生成する。また、登録装置は、平文Ｍと属性情報Ｂとを受け付ける。登録装置は、前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である暗号文Ｃ＿｛Ｌ＋１｝とを含んだ暗号化データＣを生成する。そして、登録装置は、前記暗号化データＣをデータ管理装置（７００）に登録する。

Description

登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム

　本発明は、秘匿検索技術に関するものである。

　秘匿検索とは、暗号化データを暗号化したまま検索する技術である。
　つまり、秘匿検索は、暗号化データを復号せずに検索する技術である。

　近年、秘匿検索は、クラウドサービスにおいてサーバ管理者による盗聴から機密情報を守るためのセキュリティ技術として注目されている。つまり、秘匿検索は、インターネットにおいてデータを管理する際のセキュリティ技術として注目されている。

　秘匿検索における処理として、登録者と検索者とデータセンタ装置とのそれぞれの処理を説明する。
　登録者は暗号化データを登録するユーザであり、検索者は暗号化データを検索するユーザである。

　登録者による処理の基本的な流れは以下の通りである。
　まず、登録者は、データを暗号化して暗号化データを生成する。
　次に、登録者は、暗号化データを検索するためのキーワードを暗号化する。暗号化されたキーワードを暗号化タグという。暗号化タグからキーワードが漏洩することはない。
　次に、登録者は、暗号化タグを暗号化データに関連付ける。暗号化タグの数は１つである必要はなく、複数の暗号化タグを暗号化データに関連付けることができる。
　そして、登録者は、暗号化データと暗号化タグとをデータセンタ装置に登録する。

　検索者による処理の基本的な流れは以下の通りである。
　まず、検索者は、検索したいキーワードを選ぶ。
　次に、検索者は、自身の秘密鍵を用いてキーワードをランダム化する。ランダム化されたキーワードを検索クエリという。検索クエリから秘密鍵を類推することは困難である。
　次に、検索者は、検索クエリをデータセンタ装置に送信することによって、データセンタ装置に検索を要求する。
　そして、検索者は、検索クエリに対応する暗号化データをデータセンタ装置から受け取る。

　データセンタ装置による処理の基本的な流れは以下の通りである。
　データセンタ装置には、暗号化データと暗号化タグとの組が複数登録されている。
　まず、データセンタ装置は、検索クエリを受け取る。
　次に、データセンタ装置は、特殊な演算によって、検索クエリに対応する暗号化タグを選択する。特殊な演算において、暗号化タグを復号せずに、検索クエリのキーワードを各暗号化タグのキーワードと比較することができる。
　そして、データセンタ装置は、選択した暗号化タグに関連付けられた暗号化データを送信する。

　秘匿検索には、共通鍵方式と公開鍵方式との２種類が存在する。
　共通鍵方式では、共通暗号鍵技術が利用され、登録者および検索者が限定される。
　公開鍵方式では、公開鍵暗号技術が利用され、検索者は限定されるが登録者は限定されない。

　共通鍵方式において、通常、登録者と検索者とが互いに同じ秘密情報を共有する。
　非特許文献１は、秘密情報の共有コストと秘密情報の漏洩時の影響度とを下げるため、登録者と検索者とが同じ秘密情報を共有しない共通鍵方式を開示している。

　さらに、非特許文献１は、マルチユーザ型共有鍵方式を開示している。
　マルチユーザ型共有鍵方式では、検索が許可されるユーザと検索が許可されないユーザとを設定することができる。つまり、マルチユーザ型共有鍵方式では、互いに異なる秘密情報を持っている複数のユーザが同じキーワードで検索した場合にあるユーザの検索ではヒットするが別のユーザの検索ではヒットしない暗号化データを生成することが可能である。

Ｒ．Ａ．Ｐｏｐａ，Ｎ．Ｚｅｌｄｏｖｉｃｈ、"Ｍｕｌｔｉ－Ｋｅｙ　Ｓｅａｒｃｈａｂｌｅ　Ｅｎｃｒｙｐｔｉｏｎ"、ＩＡＣＲ　Ｃｒｙｐｔｏｌｏｇｙ　ｅＰｒｉｎｔ　Ａｒｃｈｉｖｅ：Ｒｅｐｏｒｔ　２０１３／５０８．Ｓ．Ｐａｔｒａｎａｂｉｓ，Ｄ．Ｍｕｋｈｏｐａｄｈｙａｙ、"Ｌｉｇｈｔｗｅｉｇｈｔ　Ｓｙｍｍｅｔｒｉｃ－Ｋｅｙ　Ｈｉｄｄｅｎ　Ｖｅｃｔｏｒ　Ｅｎｃｒｙｐｔｉｏｎ　ｗｉｔｈｏｕｔ　Ｐａｉｒｉｎｇｓ"、ＩＡＣＲ　Ｃｒｙｐｔｏｌｏｇｙ　ｅＰｒｉｎｔ　Ａｒｃｈｉｖｅ：Ｒｅｐｏｒｔ　２０１７／７９６．

　非特許文献１は、よく知られたマルチユーザ化を行うと検索クエリのサイズが大きくなることに注目し、代理人再暗号化技術を用いて検索クエリのサイズを抑える方式を開示している。
　代理人再暗号化技術は、あるユーザの暗号化データを復号することなく、あるユーザの暗号化データを別のユーザが復号できる暗号化データに変換する技術である。
　しかし、代理人再暗号化技術が公開鍵暗号技術を利用するため、非特許文献１の方式には検索速度の課題がある。

　非特許文献２は、秘匿検索技術ではないが、アクセス制御機能付き暗号化方式を開示している。
　本方式により、各ユーザの属性情報に基づいて、あるユーザは復号できるが別のユーザは復号できない暗号化データを生成することができる。
　本方式では、共通鍵暗号技術が利用される。そのため、登録者および検索者が限定されるが、本方式の効率は良い。
　しかし、本方式をマルチユーザ型共通鍵方式に拡張することは困難である。

　本発明は、マルチユーザ型の共通鍵暗号方式で秘匿検索を可能とすることを目的とする。

　本発明の登録装置は、
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒを生成する乱数生成部と、
　平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である暗号文Ｃ＿｛Ｌ＋１｝とを含んだ暗号化データＣを生成する暗号化データ生成部と、
　前記暗号化データＣをデータ管理装置に登録する登録部とを備える。

　本発明によれば、関数を多重に用いて生成される暗号化データＣが登録される。これにより、マルチユーザ型の共通鍵暗号方式で秘匿検索が可能となる。

実施の形態１における秘匿検索システム１００の構成図。実施の形態１におけるマスター鍵装置２００の構成図。実施の形態１における登録鍵装置３００の構成図。実施の形態１におけるユーザ鍵装置４００の構成図。実施の形態１における生成部４２０の構成図。実施の形態１における登録装置５００の構成図。実施の形態１における生成部５２０の構成図。実施の形態１における検索操作装置６００の構成図。実施の形態１における生成部６２０の構成図。実施の形態１におけるデータ管理装置７００の構成図。実施の形態１における検索部７２０の構成図。実施の形態１におけるマスター鍵生成（Ｓ１１０）のフローチャート。実施の形態１における登録鍵生成（Ｓ１２０）のフローチャート。実施の形態１におけるユーザ鍵生成（Ｓ１３０）のフローチャート。実施の形態１における属性情報の一例を示す図。実施の形態１におけるデータ登録（Ｓ１４０）のフローチャート。実施の形態１における登録データベース７９２を示す図。実施の形態１における検索操作（Ｓ１５０）のフローチャート。実施の形態１におけるデータ検索（Ｓ１６０）のフローチャート。実施の形態１におけるデータ削除（Ｓ１７０）のフローチャート。実施の形態におけるマスター鍵装置２００のハードウェア構成図。実施の形態における登録鍵装置３００のハードウェア構成図。実施の形態におけるユーザ鍵装置４００のハードウェア構成図。実施の形態における登録装置５００のハードウェア構成図。実施の形態における検索操作装置６００のハードウェア構成図。実施の形態におけるデータ管理装置７００ハードウェア構成図。

　実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。

　実施の形態１．
　マルチユーザ型の共通鍵暗号方式で秘匿検索を行う形態について、図１から図２０に基づいて説明する。

＊＊＊構成の説明＊＊＊
　図１に基づいて、秘匿検索システム１００の構成を説明する。
　秘匿検索システム１００は、マスター鍵装置２００と登録鍵装置３００とユーザ鍵装置４００と登録装置５００と検索操作装置６００とデータ管理装置７００とを備える。
　秘匿検索システム１００の各装置は、ネットワーク１０１を介して互いに通信を行う。

　図２に基づいて、マスター鍵装置２００の構成を説明する。
　マスター鍵装置２００は、プロセッサ２０１とメモリ２０２と補助記憶装置２０３と入出力インタフェース２０４と通信装置２０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ２０１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、他のハードウェアを制御する。例えば、プロセッサ９０１は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、またはＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　メモリ２０２は揮発性の記憶装置である。メモリ２０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ２０２はＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ２０２に記憶されたデータは必要に応じて補助記憶装置２０３に保存される。
　補助記憶装置２０３は不揮発性の記憶装置である。例えば、補助記憶装置２０３は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、またはフラッシュメモリである。補助記憶装置２０３に記憶されたデータは必要に応じてメモリ２０２にロードされる。

　入出力インタフェース２０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース２０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。ＵＳＢはＵｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓの略称である。
　通信装置２０５はレシーバ及びトランスミッタである。例えば、通信装置２０５は通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　マスター鍵装置２００は、受付部２１０と生成部２２０と出力部２３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置２０３には、受付部２１０と生成部２２０と出力部２３０と記憶部２９１としてコンピュータを機能させるためのマスター鍵プログラムが記憶されている。マスター鍵プログラムは、メモリ２０２にロードされて、プロセッサ２０１によって実行される。
　さらに、補助記憶装置２０３にはＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）が記憶されている。ＯＳの少なくとも一部は、メモリ２０２にロードされて、プロセッサ２０１によって実行される。
　つまり、プロセッサ２０１は、ＯＳを実行しながら、マスター鍵プログラムを実行する。
　マスター鍵プログラムを実行して得られるデータは、メモリ２０２、補助記憶装置２０３、プロセッサ２０１内のレジスタまたはプロセッサ２０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置２０３は記憶部２９１として機能する。但し、他の記憶装置が、補助記憶装置２０３の代わりに、又は、補助記憶装置２０３と共に、記憶部２９１として機能してもよい。

　マスター鍵装置２００は、プロセッサ２０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ２０１の役割を分担する。

　マスター鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図３に基づいて、登録鍵装置３００の構成を説明する。
　登録鍵装置３００は、受付部３１０と生成部３２０と出力部３３０といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ３０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ３０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ３０２は揮発性の記憶装置である。メモリ３０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ３０２はＲＡＭである。メモリ３０２に記憶されたデータは必要に応じて補助記憶装置３０３に保存される。
　補助記憶装置３０３は不揮発性の記憶装置である。例えば、補助記憶装置３０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置３０３に記憶されたデータは必要に応じてメモリ３０２にロードされる。

　入出力インタフェース３０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース３０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
　通信装置３０５はレシーバ及びトランスミッタである。例えば、通信装置３０５は通信チップまたはＮＩＣである。

　登録鍵装置３００は、受付部３１０と生成部３２０と出力部３３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置３０３には、受付部３１０と生成部３２０と出力部３３０と記憶部３９１としてコンピュータを機能させるための登録鍵プログラムが記憶されている。登録鍵プログラムは、メモリ３０２にロードされて、プロセッサ３０１によって実行される。
　さらに、補助記憶装置３０３にはＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ３０２にロードされて、プロセッサ３０１によって実行される。
　つまり、プロセッサ３０１は、ＯＳを実行しながら、登録鍵プログラムを実行する。
　登録鍵プログラムを実行して得られるデータは、メモリ３０２、補助記憶装置３０３、プロセッサ３０１内のレジスタまたはプロセッサ３０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置３０３は記憶部３９１として機能する。但し、他の記憶装置が、補助記憶装置３０３の代わりに、又は、補助記憶装置３０３と共に、記憶部３９１として機能してもよい。

　登録鍵装置３００は、プロセッサ３０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ３０１の役割を分担する。

　登録鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図４に基づいて、ユーザ鍵装置４００の構成を説明する。
　ユーザ鍵装置４００は、プロセッサ４０１とメモリ４０２と補助記憶装置４０３と入出力インタフェース４０４と通信装置４０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ４０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ４０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ４０２は揮発性の記憶装置である。メモリ４０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ４０２はＲＡＭである。メモリ４０２に記憶されたデータは必要に応じて補助記憶装置４０３に保存される。
　補助記憶装置４０３は不揮発性の記憶装置である。例えば、補助記憶装置４０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置４０３に記憶されたデータは必要に応じてメモリ４０２にロードされる。

　入出力インタフェース４０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース４０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
　通信装置４０５はレシーバ及びトランスミッタである。例えば、通信装置４０５は通信チップまたはＮＩＣである。

　ユーザ鍵装置４００は、受付部４１０と生成部４２０と出力部４３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置４０３には、受付部４１０と生成部４２０と出力部４３０と記憶部４９１としてコンピュータを機能させるためのユーザ鍵プログラムが記憶されている。ユーザ鍵プログラムは、メモリ４０２にロードされて、プロセッサ４０１によって実行される。
　さらに、補助記憶装置４０３にはＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ４０２にロードされて、プロセッサ４０１によって実行される。
　つまり、プロセッサ４０１は、ＯＳを実行しながら、ユーザ鍵プログラムを実行する。
　ユーザ鍵プログラムを実行して得られるデータは、メモリ４０２、補助記憶装置４０３、プロセッサ４０１内のレジスタまたはプロセッサ４０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置４０３は記憶部４９１として機能する。但し、他の記憶装置が、補助記憶装置４０３の代わりに、又は、補助記憶装置４０３と共に、記憶部４９１として機能してもよい。

　ユーザ鍵装置４００は、プロセッサ４０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ４０１の役割を分担する。

　ユーザ鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図５に基づいて、生成部４２０の構成を説明する。
　生成部４２０は、属性鍵生成部４２２とを備える。

　図６に基づいて、登録装置５００の構成を説明する。
　登録装置５００は、プロセッサ５０１とメモリ５０２と補助記憶装置５０３と入出力インタフェース５０４と通信装置５０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ５０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ５０１は、ＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ５０２は揮発性の記憶装置である。メモリ５０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ５０２はＲＡＭである。メモリ５０２に記憶されたデータは必要に応じて補助記憶装置５０３に保存される。
　補助記憶装置５０３は不揮発性の記憶装置である。例えば、補助記憶装置５０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置５０３に記憶されたデータは必要に応じてメモリ５０２にロードされる。

　入出力インタフェース５０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース５０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
　通信装置５０５はレシーバ及びトランスミッタである。例えば、通信装置５０５は通信チップまたはＮＩＣである。

　登録装置５００は、受付部５１０と生成部５２０と登録部５３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置５０３には、受付部５１０と生成部５２０と登録部５３０と記憶部５９１としてコンピュータを機能させるための登録プログラムが記憶されている。登録プログラムは、メモリ５０２にロードされて、プロセッサ５０１によって実行される。
　さらに、補助記憶装置５０３にはＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ５０２にロードされて、プロセッサ５０１によって実行される。
　つまり、プロセッサ５０１は、ＯＳを実行しながら、登録プログラムを実行する。
　登録プログラムを実行して得られるデータは、メモリ５０２、補助記憶装置５０３、プロセッサ５０１内のレジスタまたはプロセッサ５０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置５０３は記憶部５９１として機能する。但し、他の記憶装置が、補助記憶装置５０３の代わりに、又は、補助記憶装置５０３と共に、記憶部５９１として機能してもよい。

　登録装置５００は、プロセッサ５０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ５０１の役割を分担する。

　登録プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図７に基づいて、生成部５２０の構成を説明する。
　生成部５２０は、乱数生成部５２１と暗号化データ生成部５２２とキーワード取得部５２３と暗号化タグ生成部５２４とを備える。

　図８に基づいて、検索操作装置６００の構成を説明する。
　検索操作装置６００は、プロセッサ６０１とメモリ６０２と補助記憶装置６０３と入出力インタフェース６０４と通信装置６０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ６０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ６０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ６０２は揮発性の記憶装置である。メモリ６０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ６０２はＲＡＭである。メモリ６０２に記憶されたデータは必要に応じて補助記憶装置６０３に保存される。
　補助記憶装置６０３は不揮発性の記憶装置である。例えば、補助記憶装置６０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置６０３に記憶されたデータは必要に応じてメモリ６０２にロードされる。

　入出力インタフェース６０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース６０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
　通信装置６０５はレシーバ及びトランスミッタである。例えば、通信装置６０５は通信チップまたはＮＩＣである。

　検索操作装置６００は、受付部６１０と生成部６２０と要求部６３０と復号部６４０と出力部６５０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置６０３には、受付部６１０と生成部６２０と要求部６３０と復号部６４０と出力部６５０と記憶部６９１としてコンピュータを機能させるための検索操作プログラムが記憶されている。検索操作プログラムは、メモリ６０２にロードされて、プロセッサ６０１によって実行される。
　さらに、補助記憶装置６０３にはＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ６０２にロードされて、プロセッサ６０１によって実行される。
　つまり、プロセッサ６０１は、ＯＳを実行しながら、検索操作プログラムを実行する。
　検索操作プログラムを実行して得られるデータは、メモリ６０２、補助記憶装置６０３、プロセッサ６０１内のレジスタまたはプロセッサ６０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置６０３は記憶部６９１として機能する。但し、他の記憶装置が、補助記憶装置６０３の代わりに、又は、補助記憶装置６０３と共に、記憶部６９１として機能してもよい。

　検索操作装置６００は、プロセッサ６０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ６０１の役割を分担する。

　検索操作プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

　図９に基づいて、生成部６２０の構成を説明する。
　生成部６２０は、検索クエリ生成部６２２を備える。

　図１０に基づいて、データ管理装置７００の構成を説明する。
　データ管理装置７００は、プロセッサ７０１とメモリ７０２と補助記憶装置７０３と入出力インタフェース７０４と通信装置７０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ７０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ９０１は、ＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ７０２は揮発性の記憶装置である。メモリ７０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ７０２はＲＡＭである。メモリ７０２に記憶されたデータは必要に応じて補助記憶装置７０３に保存される。
　補助記憶装置７０３は不揮発性の記憶装置である。例えば、補助記憶装置７０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置７０３に記憶されたデータは必要に応じてメモリ７０２にロードされる。

　入出力インタフェース７０４は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース７０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
　通信装置７０５はレシーバ及びトランスミッタである。例えば、通信装置７０５は通信チップまたはＮＩＣである。

　データ管理装置７００は、受付部７１０と照合部７２１と出力部７３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置７０３には、受付部７１０と照合部７２１と出力部７３０と記憶部７９１としてコンピュータを機能させるためのデータ管理プログラムが記憶されている。データ管理プログラムは、メモリ７０２にロードされて、プロセッサ７０１によって実行される。
　さらに、補助記憶装置７０３にはＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ７０２にロードされて、プロセッサ７０１によって実行される。
　つまり、プロセッサ７０１は、ＯＳを実行しながら、データ管理プログラムを実行する。
　データ管理プログラムを実行して得られるデータは、メモリ７０２、補助記憶装置７０３、プロセッサ７０１内のレジスタまたはプロセッサ７０１内のキャッシュメモリといった記憶装置に記憶される。

　補助記憶装置７０３は記憶部７９１として機能する。但し、他の記憶装置が、補助記憶装置７０３の代わりに、又は、補助記憶装置７０３と共に、記憶部７９１として機能してもよい。

　データ管理装置７００は、プロセッサ７０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ７０１の役割を分担する。

　データ管理プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録（格納）することができる。

＊＊＊動作の説明＊＊＊
　秘匿検索システム１００の動作は秘匿検索方法に相当する。
　秘匿検索方法として、秘匿検索システム１００の各装置の処理を説明する。

　図１２に基づいて、マスター鍵生成（Ｓ１１０）を説明する。
　マスター鍵生成（Ｓ１１０）は、マスター鍵装置２００によって実行される処理である。

　ステップＳ１１１において、受付部２１０は、鍵長ＢＩＴ（ｉ）と世代番号ｉとを受け付ける。
　具体的には、受付部２１０は、マスター鍵装置２００に入力された鍵長ＢＩＴ（ｉ）と世代番号ｉとを入出力インタフェース２０４を介して受け付ける。但し、受付部２１０は、鍵長ＢＩＴ（ｉ）と世代番号ｉとをアプリケーションプログラムから受け付けてもよい。

　鍵長ＢＩＴ（ｉ）は、マスター鍵ＭＫ（ｉ）のビット長さである。

　世代番号ｉは、マスター鍵ＭＫ（ｉ）の世代番号であり、過去の世代番号とは重複していない。
　例えば、世代番号ｉは、通し番号または日時である。

　マスター鍵ＭＫ（ｉ）は、世代番号ｉのマスター鍵ＭＫである。

　ステップＳ１１２において、生成部２２０は、マスター鍵ＭＫ（ｉ）を生成する。
　具体的には、生成部２２０は、鍵長ＢＩＴ（ｉ）と同じ長さを有するランダムなビット列を生成する。生成されるビット列がマスター鍵ＭＫ（ｉ）である。
　例えば、鍵長ＢＩＴ（ｉ）が２５６ビットである場合、生成部２２０は、２５６ビットのランダムなビット列を生成する。これにより、２５６ビットのマスター鍵ＭＫ（ｉ）が得られる。

　ステップＳ１１３において、生成部２２０は、マスター鍵データＭＳＫ（ｉ）を記憶部２９１に記憶する。そして、マスター鍵データＭＳＫ（ｉ）が記憶部２９１に保管される。

　マスター鍵データＭＳＫ（ｉ）は、マスター鍵ＭＫ（ｉ）と世代番号ｉとの組であり、世代番号ｉのマスター鍵データＭＳＫと呼ばれる。

　マスター鍵データＭＳＫ（ｉ）は次のように表すことができる。
　ＭＳＫ（ｉ）＝（ｉ，ＭＫ（ｉ））

　ステップＳ１１４において、出力部２３０はマスター鍵データＭＳＫ（ｉ）を出力する。
　例えば、出力部２３０は、通信装置２０５を用いて、マスター鍵データＭＳＫ（ｉ）を登録鍵装置３００へ送信する。

　図１３に基づいて、登録鍵生成（Ｓ１２０）を説明する。
　登録鍵生成（Ｓ１２０）は、登録鍵装置３００によって実行される処理である。

　ステップＳ１２１において、受付部３１０は、マスター鍵データＭＳＫ（ｉ）を受け付ける。
　例えば、受付部３１０は、通信装置３０５を用いて、マスター鍵装置２００からマスター鍵データＭＳＫ（ｉ）を受信する。但し、受付部３１０は、登録鍵装置３００に入力されたマスター鍵データＭＳＫ（ｉ）を入出力インタフェース３０４を介して受け付けてもよい。

　ステップＳ１２２において、生成部３２０は、マスター鍵データＭＳＫ（ｉ）に含まれるマスター鍵ＭＫ（ｉ）を用いて、データ鍵ＤＫ（ｉ）とタグ鍵ＴＫ（ｉ）とを生成する。

　具体的には、生成部３２０は、マスター鍵ＭＫ（ｉ）を入力として関数Ｆ＿１を実行することによって、２つの乱数を生成する。各乱数はランダムなビット列である。

　関数Ｆ＿１の一例は擬似ランダム関数である。疑似ランダム関数は、暗号学的な関数であり、鍵が決まると入力値に応じて確定的に乱数を返す。また、ＳＨＡ－１のような暗号学的なハッシュ関数またはＡＥＳのような共通鍵暗号方式の関数が関数Ｆ＿１として用いられてもよい。

　一方の乱数がデータ鍵ＤＫ（ｉ）である。データ鍵ＤＫ（ｉ）は次のように表すことができる。
　ＤＫ（ｉ）　＝　Ｆ＿１（ＭＫ（ｉ），１）

　他方の乱数がタグ鍵ＴＫ（ｉ）である。タグ鍵ＴＫ（ｉ）は次のように表すことができる。
　ＴＫ（ｉ）　＝　Ｆ＿１（ＭＫ（ｉ），２）

　ステップＳ１２３において、生成部３２０は、登録鍵ＥＫ（ｉ）を記憶部３９１に記憶する。そして、登録鍵ＥＫ（ｉ）が記憶部３９１に保管される。
　登録鍵ＥＫ（ｉ）は、世代番号ｉとデータ鍵ＤＫ（ｉ）とタグ鍵ＴＫ（ｉ）との組であり、世代番号ｉの登録鍵ＥＫと呼ばれる。

　登録鍵ＥＫ（ｉ）は次のように表すことができる。
　ＥＫ（ｉ）　＝　（ｉ，ＤＫ（ｉ），ＴＫ（ｉ））

　ステップＳ１２４において、出力部３３０は登録鍵ＥＫ（ｉ）を出力する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録鍵ＥＫ（ｉ）をユーザ鍵装置４００と登録装置５００とのそれぞれに送信する。

　図１４に基づいて、ユーザ鍵生成（Ｓ１３０）を説明する。
　ユーザ鍵生成（Ｓ１３０）は、ユーザ鍵装置４００によって実行される処理である。

　ステップＳ１３１において、受付部４１０は登録鍵ＥＫ（ｉ）を受け付ける。
　例えば、受付部４１０は、通信装置４０５を用いて、登録鍵装置３００から登録鍵ＥＫ（ｉ）を受信する。但し、受付部４１０は、ユーザ鍵装置４００に入力された登録鍵ＥＫ（ｉ）を入出力インタフェース４０４を介して受け付けてもよい。

　さらに、受付部４１０は、登録鍵ＥＫ（ｉ）を記憶部４９１に記憶する。そして、登録鍵ＥＫ（ｉ）は記憶部４９１に保管される。

　登録鍵ＥＫ（ｉ）が記憶部４９１に既に保管されている場合、ステップＳ１３１は不要である。

　登録鍵ＥＫ（ｉ）は、世代番号ｉとデータ鍵ＤＫ（ｉ）とタグ鍵ＴＫ（ｉ）とを含んでいる。

　ステップＳ１３２において、受付部４１０は属性情報Ａを受け付ける。
　具体的には、受付部４１０は、ユーザ鍵装置４００に入力された属性情報Ａを入出力インタフェース４０４を介して受け付ける。但し、受付部４１０は、属性情報Ａをアプリケーションプログラムから受け付けてもよい。

　属性情報Ａは、検索者の属性情報である。また、属性情報Ａは、検索および復号の権限制御に関わる。
　検索者は、検索する利用者である。つまり、検索者は、検索操作装置６００の利用者である。
　利用者の属性は階層を成す。
　属性情報は、利用者の各層の属性値を示す。つまり、属性情報Ａは、検索者の各層の属性値を示す。

　図１５に基づいて、属性情報の例を説明する。
　利用者の属性は階層を成す。図１５において、利用者の属性は４階層を成している。
　第１層の属性（第１属性）は事業部を示す。
　第２層の属性（第２属性）は部を示す。
　第３層の属性（第３属性）は課を示す。
　第４層の属性（第４属性）は氏名を示す。

　第１の属性情報は、Ｎｅさんの属性情報である。Ｎｅさんは、Ｄｉ事業部のＤｅ部のＳｃ課に所属する。
　第２の属性情報は、Ｎｆさんの属性情報である。Ｎｆさんは、Ｄｉ事業部のＤｅ部のＳｄ課に所属する。
　第３の属性情報は、Ｓｃ課員の属性情報である。Ｓｃ課員は、Ｄｉ事業部のＤｅ部のＳｃ課に所属する。第４属性がワイルドカード「＊」であるため、氏名は限定されない。
　第４の属性情報は、Ｄｅ部員の属性情報である。Ｄｅ部員は、Ｄｉ事業部のＤｅ部に所属する。第３属性および第４属性がワイルドカード「＊」であるため、課および氏名は限定されない。

　実施の形態１において、利用者の属性はＬ層を成し、属性情報はＬ個の属性値を有する。Ｌは２以上の整数である。

　属性情報Ａは次のように表すことができる。
　Ａ　＝　（Ａ＿１，・・・，Ａ＿Ｌ）

　図１４に戻り、ステップＳ１３３から説明を続ける。
　ステップＳ１３３において、属性鍵生成部４２２は、データ鍵ＤＫ（ｉ）と属性情報Ａとを用いて、データ属性鍵データＤＡＫ（ｉ）を生成する。データ属性鍵データＤＡＫ（ｉ）は、世代番号ｉのデータ属性鍵データＤＡＫである。

　データ属性鍵データＤＡＫ（ｉ）は、データ属性鍵ＤＡＫ＿ｊとフラグ値Ｄｂ＿ｊとを有する。ｊは１以上Ｌ以下の整数である。

　属性鍵生成部４２２は、データ属性鍵ＤＡＫ＿ｊを以下のように算出する。
　まず、属性鍵生成部４２２は、属性値Ａ＿ｊと番号ｊとを連結する。得られるビット列が表す値を連結値（Ａ＿ｊ）と呼ぶ。
　次に、属性鍵生成部４２２は、データ鍵ＤＫ（ｉ）と連結値（Ａ＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値がデータ属性鍵ＤＡＫ＿ｊである。

　関数Ｆ＿２は、関数Ｆ＿１と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。

　属性鍵生成部４２２は、フラグ値Ｄｂ＿ｊを以下のように算出する。
　属性鍵生成部４２２は、属性値Ａ＿ｊがワイルドカード「＊」であるか判定する。
　属性値Ａ＿ｊがワイルドカード「＊」である場合、フラグ値Ｄｂ＿ｊは１である。
　属性値Ａ＿ｊがワイルドカード「＊」でない場合、フラグ値Ｄｂ＿ｊは０である。

　データ属性鍵データＤＡＫ（ｉ）は次のように表すことができる。
　ＤＡＫ（ｉ）　＝　（（Ｄｂ＿１，ＤＡＫ＿１），・・・，（Ｄｂ＿Ｌ，ＤＡＫ＿Ｌ））
　Ａ＿ｊ＝＊である場合、Ｄｂ＿ｊ　＝　１
　Ａ＿ｊ≠＊である場合、Ｄｂ＿ｊ　＝　０
　ＤＡＫ＿ｊ　＝　Ｆ＿２（ＤＫ（ｉ），Ａ＿ｊ｜｜ｊ）
　但し、「ｘ｜｜ｙ」はデータｘとデータｙとの連結を意味する。

　さらに、属性鍵生成部４２２は、タグ鍵ＴＫ（ｉ）と属性情報Ａとを用いて、タグ属性鍵データＴＡＫ（ｉ）を生成する。タグ属性鍵データＴＡＫ（ｉ）は、世代番号ｉのタグ属性鍵データＴＡＫである。

　タグ属性鍵データＴＡＫ（ｉ）は、タグ属性鍵ＴＡＫ＿ｊとフラグ値Ｔｂ＿ｊとを有する。

　属性鍵生成部４２２は、タグ属性鍵ＴＡＫ＿ｊを以下のように算出する。
　まず、属性鍵生成部４２２は、属性値Ａ＿ｊと番号ｊとを連結する。得られるビット列が表す値を連結値（Ａ＿ｊ）と呼ぶ。
　次に、属性鍵生成部４２２は、タグ鍵ＴＫ（ｉ）と連結値（Ａ＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値がタグ属性鍵ＴＡＫ＿ｊである。

　フラグ値Ｔｂ＿ｊは、属性値Ａ＿ｊがワイルドカード「＊」であるか否かを示す。
　属性値Ａ＿ｊがワイルドカード「＊」である場合、フラグ値Ｔｂ＿ｊは１である。
　属性値Ａ＿ｊがワイルドカード「＊」でない場合、フラグ値Ｔｂ＿ｊは０である。

　タグ属性鍵データＴＡＫ（ｉ）は次のように表すことができる。
　ＴＡＫ（ｉ）　＝　（（Ｔｂ＿１，ＴＡＫ＿１），・・・，（Ｔｂ＿Ｌ，ＴＡＫ＿Ｌ））
　Ａ＿ｊ＝＊である場合、Ｔｂ＿ｊ　＝　１
　Ａ＿ｊ≠＊である場合、Ｔｂ＿ｊ　＝　０
　ＴＡＫ＿ｊ　＝　Ｆ＿２（ＴＫ（ｉ），Ａ＿ｊ｜｜ｊ）

　ステップＳ１３４において、生成部４２０は、ユーザ鍵ＵＫ（ｉ）を記憶部４９１に記憶する。そして、ユーザ鍵ＵＫ（ｉ）が記憶部４９１に保管される。

　ユーザ鍵ＵＫ（ｉ）は、世代番号ｉとデータ属性鍵データＤＡＫ（ｉ）とタグ属性鍵データＴＡＫ（ｉ）との組である。
　ユーザ鍵ＵＫ（ｉ）は、属性情報Ａに対する世代番号ｉのユーザ鍵ＵＫである。

　ユーザ鍵ＵＫ（ｉ）は次のように表すことができる。
　ＵＫ（ｉ）＝（ｉ，ＤＡＫ（ｉ），ＴＡＫ（ｉ））

　ステップＳ１３５において、出力部４３０はユーザ鍵ＵＫ（ｉ）を出力する。
　例えば、出力部４３０は、通信装置４０５を用いて、ユーザ鍵ＵＫ（ｉ）を検索操作装置６００へ送信する。

　図１６に基づいて、データ登録（Ｓ１４０）を説明する。
　データ登録（Ｓ１４０）は、登録装置５００によって実行される処理である。

　ステップＳ１４１において、受付部５１０は登録鍵ＥＫ（ｉ）を受け付ける。
　例えば、受付部５１０は、通信装置５０５を用いて、登録鍵装置３００から登録鍵ＥＫ（ｉ）を受信する。但し、受付部５１０は、登録装置５００に入力された登録鍵ＥＫ（ｉ）を入出力インタフェース５０４を介して受け付けてもよい。

　さらに、受付部５１０は、登録鍵ＥＫ（ｉ）を記憶部５９１に記憶する。そして、登録鍵ＥＫ（ｉ）は記憶部５９１に記憶される。

　登録鍵ＥＫ（ｉ）が記憶部５９１に既に保管されている場合、ステップＳ１４１は不要である。

　さらに、受付部５１０は、登録鍵ＥＫ（ｉ）を記憶部５９１に記憶する。そして、登録鍵ＥＫ（ｉ）は記憶部５９１に保管される。

　ステップＳ１４２において、受付部５１０は、平文Ｍと属性情報Ｂとを受け付ける。
　具体的には、受付部５１０は、登録装置５００に入力された平文Ｍと属性情報Ｂとを入出力インタフェース５０４を介して受け付ける。但し、受付部５１０は、平文Ｍと属性情報Ｂとをアプリケーションプログラムから受け付けてもよい。

　平文Ｍは、暗号化されていないデータである。
　平文Ｍには、ファイル名Ｆｉｌｅ（Ｍ）がメタデータとして含まれる。

　属性情報Ｂは、権限者の属性情報であり、権限者の各層の属性値を示す。また、属性情報Ｂは、属性情報Ａと同様に、検索および復号の権限制御に関わる。
　権限者は、平文Ｍを参照する権限を有する利用者である。つまり、権限者は、検索操作装置６００の利用者の一部である。

　属性情報Ｂは以下のように表すことができる。
　Ｂ　＝　（Ｂ＿１，・・・，Ｂ＿Ｌ）

　ステップＳ１４３において、乱数生成部５２１は、３つのデータ乱数組（Ｒ、ｓ、Ｓ）と３つのタグ乱数組（Ｒ’、ｓ’、Ｓ’）とを生成する。

　それぞれのデータ乱数組（Ｒ、ｓ、Ｓ）は、属性の層数Ｌと同じ個数の乱数の組である。つまり、データ乱数組Ｒとデータ乱数組ｓとデータ乱数組ＳとのそれぞれはＬ個の乱数の組である。それぞれのデータ乱数組のＬ個の乱数は一様ランダムに生成される。

　３つのデータ乱数組（Ｒ、ｓ、Ｓ）は次のように表すことができる。
　Ｒ　＝　（Ｒ＿１，・・・，Ｒ＿Ｌ）
　ｓ　＝　（ｓ＿１，・・・，ｓ＿Ｌ）
　Ｓ　＝　（Ｓ＿１，・・・，Ｓ＿Ｌ）

　それぞれのタグ乱数組（Ｒ’、ｓ’、Ｓ’）は、属性の層数Ｌと同じ個数の乱数である。つまり、タグ乱数組Ｒ’とタグ乱数組ｓ’とタグ乱数組Ｓ’とのそれぞれはＬ個の乱数である。それぞれのタグ乱数組のＬ個の乱数は一様ランダムに生成される。

　３つのタグ乱数組（Ｒ’、ｓ’、Ｓ’）は次のように表すことができる。
　Ｒ’　＝　（Ｒ’＿１，・・・，Ｒ’＿Ｌ）
　ｓ’　＝　（ｓ’＿１，・・・，ｓ’＿Ｌ）
　Ｓ’　＝　（Ｓ’＿１，・・・，Ｓ’＿Ｌ）

　ステップＳ１４４において、暗号化データ生成部５２２は、データ鍵ＤＫ（ｉ）と平文Ｍと属性情報Ｂと３つのデータ乱数組（Ｒ、ｓ、Ｓ）とを用いて、暗号化データＣを生成する。

　暗号化データＣは、属性要素Ｃ＿｛ｊ，０，０｝と属性要素Ｃ＿｛ｊ，０，１｝とワイルドカード要素Ｃ＿｛ｊ，１，０｝とワイルドカード要素Ｃ＿｛ｊ，１，１｝とを有する。
　ｊは、１以上Ｌ以下の整数であり、層の番号を示す。

　暗号化データＣは、さらに、暗号文Ｃ＿｛Ｌ＋１｝を有する。

　暗号化データＣには、ファイル名Ｆｉｌｅ（Ｍ）が平文Ｍのメタデータとして含まれる。ファイル名Ｆｉｌｅ（Ｍ）は暗号化されてもよい。

　暗号化データ生成部５２２は、属性要素Ｃ＿｛ｊ，０，０｝を以下のように算出する。
　まず、暗号化データ生成部５２２は、属性値Ｂ＿ｊと番号ｊとを連結する。得られるビット列が表す値を連結値（Ｂ＿ｊ）と呼ぶ。
　次に、暗号化データ生成部５２２は、データ鍵ＤＫ（ｉ）と連結値（Ｂ＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値を関数値（Ｂ＿ｊ’）と呼ぶ。
　更に、暗号化データ生成部５２２は、関数値（Ｂ＿ｊ’）と乱数ｓ＿ｊとを入力として関数Ｆ＿３を実行する。得られる値を関数値（Ｂ＿ｊ’’）と呼ぶ。
　そして、暗号化データ生成部５２２は、関数値（Ｂ＿ｊ’’）と乱数Ｒ＿ｊとの排他的論理和を算出する。得られる値が属性要素Ｃ＿｛ｊ，０，０｝である。

　関数Ｆ＿３は、関数Ｆ＿１と関数Ｆ＿２と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。

　暗号化データ生成部５２２は、属性要素Ｃ＿｛ｊ，０，１｝に乱数ｓ＿ｊを設定する。

　暗号化データ生成部５２２は、ワイルドカード要素Ｃ＿｛ｊ，１，０｝を以下のように算出する。
　まず、暗号化データ生成部５２２は、ワイルドカード「＊」と番号ｊとを連結する。得られるビット列が表す値を連結値（＊＿ｊ）という。
　次に、暗号化データ生成部５２２は、データ鍵ＤＫ（ｉ）と連結値（＊＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値を関数値（＊＿ｊ’）と呼ぶ。
　更に、暗号化データ生成部５２２は、関数値（＊＿ｊ’）と乱数Ｓ＿ｊとを入力として関数Ｆ＿３を実行する。得られる値を関数値（＊＿ｊ’’）と呼ぶ。
　そして、暗号化データ生成部５２２は、関数値（＊＿ｊ’’）と乱数Ｒ＿ｊとの排他的論理和を算出する。得られる値がワイルドカード要素Ｃ＿｛ｊ，１，０｝である。

　暗号化データ生成部５２２は、ワイルドカード要素Ｃ＿｛ｊ，１，１｝に乱数Ｓ＿ｊを設定する。

　暗号化データ生成部５２２は、暗号文Ｃ＿｛Ｌ＋１｝を以下のように算出する。
　まず、暗号化データ生成部５２２は、データ乱数組ＲのＬ個の乱数の排他的論理和を算出する。得られる値を演算値（Ｒ＋）と呼ぶ。
　そして、暗号化データ生成部５２２は、演算値（Ｒ＋）と平文Ｍとを入力として関数Ｆ＿４を実行する。得られる値が暗号文Ｃ＿｛Ｌ＋１｝である。

　関数Ｆ＿４の一例は、ＡＥＳのような共通鍵暗号方式の関数である。

　暗号化データＣは以下のように表すことができる。但し、実施の形態１において「＋」は排他的論理和（ＸＯＲ）を意味する。
　Ｃ　＝　（（Ｃ＿｛１，０，０｝，Ｃ＿｛１，０，１｝，Ｃ＿｛１，１，０｝，Ｃ＿｛１，１，１｝），・・・，（Ｃ＿｛Ｌ，０，０｝，Ｃ＿｛Ｌ，０，１｝，Ｃ＿｛Ｌ，１，０｝，Ｃ＿｛Ｌ，１，１｝），Ｃ＿｛Ｌ＋１｝）
　Ｃ＿｛ｊ，０，０｝　＝　Ｆ＿３（Ｆ＿２（ＤＫ（ｉ），Ｂ＿ｊ｜｜ｊ），ｓ＿ｊ）＋Ｒ＿ｊ
　Ｃ＿｛ｊ，０，１｝　＝　ｓ＿ｊ
　Ｃ＿｛ｊ，１，０｝　＝　Ｆ＿３（Ｆ＿２（ＤＫ（ｉ），＊｜｜ｊ），Ｓ＿ｊ）＋Ｒ＿ｊ
　Ｃ＿｛ｊ，１，１｝　＝　Ｓ＿ｊ
　Ｃ＿｛Ｌ＋１｝　＝　Ｆ＿４（Ｒ＋，Ｍ）
　Ｒ＋　＝　Ｒ＿１＋・・・＋Ｒ＿Ｌ

　ステップＳ１４５において、キーワード取得部５２３は、平文Ｍに関するキーワード群を取得する。キーワード群は１つ以上のキーワードである。

　具体的には、キーワード取得部５２３は、平文Ｍに対して形態素解析または自然言語処理などを行うことによって、平文Ｍからキーワード群を抽出する。
　但し、キーワード取得部５２３は、登録装置５００に入力されたキーワード群を入出力インタフェース５０４を介して受け付けてもよい。また、キーワード取得部５２３は、アプリケーションプログラムからキーワード群を受け付けてもよい。

　取得されたキーワード群を登録キーワード群Ｗと呼ぶ。

　実施の形態１において、登録キーワード群ＷがＮ個の登録キーワードであるものとする。
　Ｎは２以上の整数である。

　登録キーワード群Ｗは以下のように表すことができる。
　Ｗ　＝　（Ｗ＿１，・・・，Ｗ＿Ｎ）

　ステップＳ１４６において、暗号化タグ生成部５２４は、タグ鍵ＴＫ（ｉ）と属性情報Ｂとタグ乱数組Ｓ’と登録キーワード群Ｗとを用いて、暗号化タグ群ＣＴ＿Ｗを生成する。

　暗号化タグ群ＣＴ＿Ｗは、複数の登録キーワードＷ＿ｎに対応する複数の暗号化タグＣＴ＿｛Ｗ＿ｎ｝である。
　ｎは、１以上Ｎ以下の整数であり、登録キーワードの番号を示す。

　暗号化タグＣＴ＿｛Ｗ＿ｎ｝は、属性要素ＣＴ＿｛ｊ，０，０，Ｗ＿ｎ｝と属性要素ＣＴ＿｛ｊ，０，１，Ｗ＿ｎ｝とワイルドカード要素ＣＴ＿｛ｊ，１，０，Ｗ＿ｎ｝とワイルドカード要素ＣＴ＿｛ｊ，１，１，Ｗ＿ｎ｝とを有する。
　さらに、暗号化タグＣＴ＿｛Ｗ＿ｎ｝は、判定要素ＣＴ＿｛Ｌ＋１，Ｗ＿ｎ｝を有する。

　暗号化タグ生成部５２４は、属性要素ＣＴ＿｛ｊ，０，０，Ｗ＿ｎ｝を以下のように算出する。
　まず、暗号化タグ生成部５２４は、属性値Ｂ＿ｊと番号ｊとを連結する。得られるビット列が表す値を連結値（Ｂ＿ｊ）と呼ぶ。
　次に、暗号化タグ生成部５２４は、タグ鍵ＴＫ（ｉ）と連結値（Ｂ＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値を関数値（Ｂ＿ｊ＾）という。
　更に、暗号化タグ生成部５２４は、関数値（Ｂ＿ｊ＾）と登録キーワードＷ＿ｎとを入力として関数Ｆ＿５を実行する。得られる値を関数値（Ｂ＿ｊＷ＿ｎ＾＾）と呼ぶ。
　更に、暗号化タグ生成部５２４は、関数値（Ｂ＿ｊＷ＿ｎ＾＾）と乱数ｓ’＿ｊとを入力として関数Ｆ＿６を実行する。得られる値を関数値（Ｂ＿ｊＷ＿ｎ＾＾＾）と呼ぶ。
　そして、暗号化タグ生成部５２４は、関数値（Ｂ＿ｊＷ＿ｎ＾＾＾）と乱数Ｒ’＿ｊとの排他的論理和を算出する。得られる値が属性要素ＣＴ＿｛ｊ，０，０，Ｗ＿ｎ｝である。

　関数Ｆ＿５と関数Ｆ＿６とのそれぞれは、関数Ｆ＿１と関数Ｆ＿２と関数Ｆ＿３と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。

　暗号化タグ生成部５２４は、属性要素ＣＴ＿｛ｊ，０，１，Ｗ＿ｎ｝に乱数ｓ’＿ｊを設定する。

　暗号化タグ生成部５２４は、ワイルドカード要素ＣＴ＿｛ｊ，１，０，Ｗ＿ｎ｝を以下のように算出する。
　まず、暗号化タグ生成部５２４は、ワールドカード「＊」と番号ｊとを連結する。得られるビット列が表す値を連結値（＊＿ｊ）と呼ぶ。
　次に、暗号化タグ生成部５２４は、タグ鍵ＴＫ（ｉ）と連結値（＊＿ｊ）とを入力として関数Ｆ＿２を実行する。得られる値を関数値（＊＿ｊ＾）と呼ぶ。
　更に、暗号化タグ生成部５２４は、関数値（＊＿ｊ＾）と登録キーワードＷ＿ｎとを入力として関数Ｆ＿５を実行する。得られる値を関数値（＊＿ｊＷ＿ｎ＾＾）と呼ぶ。
　更に、暗号化タグ生成部５２４は、関数値（＊＿ｊＷ＿ｎ＾＾）と乱数Ｓ’＿ｊとを入力として関数Ｆ＿６を実行する。得られる値を関数値（＊＿ｊＷ＿ｎ＾＾＾）と呼ぶ。
　そして、暗号化タグ生成部５２４は、関数値（＊＿ｊＷ＿ｎ＾＾＾）と乱数Ｒ’＿ｊとの排他的論理和を算出する。得られる値がワイルドカード要素ＣＴ＿｛ｊ，１，０，Ｗ＿ｎ｝である。

　暗号化タグ生成部５２４は、ワイルドカード要素ＣＴ＿｛ｊ，１，１，Ｗ＿ｎ｝を乱数Ｓ’＿ｊとする。

　暗号化タグ生成部５２４は、判定要素ＣＴ＿｛Ｌ＋１，Ｗ＿ｎ｝を以下のように算出する。
　まず、暗号化タグ生成部５２４は、タグ乱数組Ｒ’のＬ個の乱数の排他的論理和を算出する。得られる値を演算値（Ｒ’＋）と呼ぶ。
　そして、暗号化タグ生成部５２４は、演算値（Ｒ’＋）を入力として関数Ｆ＿７を実行する。得られる値が判定要素ＣＴ＿｛Ｌ＋１，Ｗ＿ｎ｝である。

　関数Ｆ＿７の一例は、ＳＨＡ－１のようなハッシュ関数である。

　暗号化タグ群ＣＴ＿Ｗは以下のように表すことができる。
　ＣＴ＿Ｗ　＝　｛ＣＴ＿｛Ｗ＿１｝，・・・，ＣＴ＿｛Ｗ＿Ｎ｝｝

　ＣＴ＿｛Ｗ＿ｎ｝　＝　（（ＣＴ＿｛１，０，０，Ｗ＿ｎ｝，ＣＴ＿｛１，０，１，Ｗ＿ｎ｝，ＣＴ＿｛１，１，０，Ｗ＿ｎ｝，ＣＴ＿｛１，１，１，Ｗ＿ｎ｝），・・・，（ＣＴ＿｛Ｌ，０，０，Ｗ＿ｎ｝，ＣＴ＿｛Ｌ，０，１，Ｗ＿ｎ｝，ＣＴ＿｛Ｌ，１，０，Ｗ＿ｎ｝，ＣＴ＿｛Ｌ，１，１，Ｗ＿ｎ｝），ＣＴ＿｛Ｌ＋１，Ｗ＿ｎ｝）
　ｎは１以上Ｎ以下の整数である。

　ＣＴ＿｛ｊ，０，０，Ｗ＿ｎ｝　＝　Ｆ＿６（Ｆ＿５（Ｆ＿２（ＴＫ（ｉ），Ｂ＿ｊ｜｜ｊ），Ｗ＿ｎ），ｓ＿ｊ）＋Ｒ’＿ｊ
　ＣＴ＿｛ｊ，０，１，Ｗ＿ｎ｝　＝　ｓ’＿ｊ
　ＣＴ＿｛ｊ，１，０，Ｗ＿ｎ｝　＝　Ｆ＿６（Ｆ＿５（Ｆ＿２（ＴＫ（ｉ），＊｜｜ｊ），Ｗ＿ｎ），Ｓ’＿ｊ）＋Ｒ’＿ｊ
　ＣＴ＿｛ｊ，１，１，Ｗ＿ｎ｝　＝　Ｓ’＿ｊ
　ｊは１以上Ｌ以下の整数である。

　Ｒ’＋　＝　Ｒ’＿１＋・・・＋Ｒ’＿Ｌ
　ＣＴ＿｛Ｌ＋１，Ｗ＿ｎ｝　＝　Ｆ＿７（Ｒ’＋）

　登録キーワードＷ＿ｎを特定しない場合、「Ｗ＿ｎ」は省略される。
　例えば、暗号化タグＣＴ＿｛Ｗ＿ｎ｝は暗号化タグＣＴと略される。

　ステップＳ１４７は、登録部５３０は、暗号化データＣと暗号化タグ群ＣＴ＿Ｗとの組をデータ管理装置７００に登録する。
　具体的には、登録部５３０は、暗号化データＣと暗号化タグ群ＣＴ＿Ｗとの組をデータ管理装置７００に送信する。データ管理装置７００において、受付部７１０は、暗号化データＣと暗号化タグ群ＣＴ＿Ｗとの組を受信し、受信した組を記憶部７９１に記憶する。つまり、受付部７１０は、暗号化データＣと暗号化タグ群ＣＴ＿Ｗとを互いに対応付けて記憶部７９１に記憶する。そして、暗号化データＣと暗号化タグ群ＣＴ＿Ｗとの組が記憶部７９１に保管される。

　図１７に基づいて、登録データベース７９２を説明する。
　データ管理装置７００は、識別番号とファイル名と暗号化データＣと暗号化タグ群ＣＴ＿Ｗとを互いに対応付けて登録データベース７９２に登録する。
　登録データベース７９２は、記憶部７９１に記憶されている。

　図１８に基づいて、検索操作（Ｓ１５０）を説明する。
　検索操作（Ｓ１５０）は、検索操作装置６００によって実行される処理である。

　ステップＳ１５１において、受付部６１０は、ユーザ鍵ＵＫ（ｉ）を受け付ける。
　例えば、受付部６１０は、通信装置６０５を用いて、ユーザ鍵装置４００からユーザ鍵ＵＫ（ｉ）を受信する。但し、受付部６１０は、検索操作装置６００に入力されたユーザ鍵ＵＫ（ｉ）を入出力インタフェース６０４を介して受け付けてもよい。

　さらに、受付部６１０は、ユーザ鍵ＵＫ（ｉ）を記憶部６９１に記憶する。そして、ユーザ鍵ＵＫ（ｉ）は記憶部６９１に保管される。

　ユーザ鍵ＵＫ（ｉ）が記憶部６９１に既に保管されている場合、ステップＳ１５１は不要である。

　ユーザ鍵ＵＫ（ｉ）は、世代番号ｉとデータ属性鍵データＤＡＫ（ｉ）とタグ属性鍵データＴＡＫ（ｉ）と検索鍵ＳＫ（ｉ）とを含んでいる。

　ステップＳ１５２において、受付部６１０は、検索キーワードｗを受け付ける。
　具体的には、受付部６１０は、検索操作装置６００に入力された検索キーワードｗを入出力インタフェース６０４を介して受け付ける。但し、受付部６１０は、検索キーワードｗをアプリケーションプログラムから受け付けてもよい。

　ステップＳ１５３において、検索クエリ生成部６２２は、タグ属性鍵データＴＡＫ（ｉ）と検索キーワードｗとを用いて、検索クエリＱを生成する。

　検索クエリＱは、フラグ要素Ｑｂ＿ｊと属性キーワード要素Ｑ＿ｊとを有する。

　検索クエリ生成部６２２は、フラグ要素Ｑｂ＿ｊを以下のように算出する。
　検索クエリ生成部６２２は、タグ属性鍵データＴＡＫ（ｉ）からフラグ値Ｔｂ＿ｊを抽出する。フラグ要素Ｑｂ＿ｊはフラグ値Ｔｂ＿ｊと同じ値である。

　検索クエリ生成部６２２は、属性キーワード要素Ｑ＿ｊを以下のように算出する。
　まず、検索クエリ生成部６２２は、タグ属性鍵データＴＡＫ（ｉ）からタグ属性鍵ＴＡＫ＿ｊを抽出する。
　そして、検索クエリ生成部６２２は、タグ属性鍵ＴＡＫ＿ｊと検索キーワードｗとを入力として関数Ｆ＿５を実行する。得られる値が属性キーワード要素Ｑ＿ｊである。

　検索クエリＱは以下のように表すことができる。
　Ｑ　＝　（（Ｑｂ＿１，Ｑ＿１），・・・，（Ｑｂ＿Ｌ，Ｑ＿Ｌ））
　Ｑｂ＿ｊ　＝　Ｔｂ＿ｊ
　Ｑ＿ｊ　＝　Ｆ＿５（ＴＡＫ＿ｊ，ｗ）

　ステップＳ１５４において、要求部６３０は、通信装置６０５を用いて、検索クエリＱをデータ管理装置７００へ送信する。

　ステップＳ１５５において、要求部６３０は、通信装置６０５を用いて、検索結果｛Ｃ｝をデータ管理装置７００から受信する。
　検索結果｛Ｃ｝は、検索にヒットした暗号化データＣの集合である。

　ステップＳ１５６において、復号部６４０は、データ属性鍵データＤＡＫ（ｉ）を用いて、各暗号化データＣから平文Ｍを復号する。

　具体的には、復号部６４０は暗号化データＣから平文Ｍを以下のように復号する。
　まず、復号部６４０は演算値Ｕを算出する。演算値Ｕについて後述する。
　次に、復号部６４０は、暗号化データＣから暗号文Ｃ＿｛Ｌ＋１｝を抽出する。
　そして、復号部６４０は、演算値Ｕと暗号文Ｃ＿｛Ｌ＋１｝とを入力として、復号関数Ｆ＿４｛－１｝を実行する。得られる値が平文Ｍである。

　復号関数Ｆ＿４｛－１｝は、関数Ｆ＿４の復号関数である。

　復号部６４０は、演算値Ｕを以下のように算出する。
　まず、復号部６４０は、データ属性鍵データＤＡＫ（ｉ）からフラグ値Ｄｂ＿ｊを抽出する。
　次に、復号部６４０は、抽出したフラグ値Ｄｂ＿ｊに基づいて、暗号化データＣから属性要素の組（Ｃ＿｛ｊ，０，０｝、Ｃ＿｛ｊ，０，１｝）またはワイルドカード要素の組（Ｃ＿｛ｊ，１，０｝、Ｃ＿｛ｊ，１，１｝）を選択する。選択される組を選択要素の組（Ｃｊ０、Ｃｊ１）という。
　次に、復号部６４０は、データ属性鍵データＤＡＫ（ｉ）からデータ属性鍵ＤＡＫ＿ｊを抽出する。
　次に、復号部６４０は、データ属性鍵ＤＡＫ＿ｊと選択要素Ｃｊ１とを入力として関数Ｆ＿３を実行する。得られる値を関数値（Ｃｊ＾）と呼ぶ。
　次に、復号部６４０は、関数値（Ｃｊ＾）と選択要素Ｃｊ０との排他的論理和を算出する。得られる値を抽出乱数（Ｒｊ＾）と呼ぶ。
　そして、復号部６４０は、全ての階層の抽出乱数（Ｒｊ＾）の排他的論理和を算出する。得られる値が演算値Ｕである。

　平文Ｍは以下のように表すことができる。
　Ｍ　＝　Ｆ＿４｛－１｝（Ｕ，Ｃ＿｛Ｌ＋１｝）
　Ｕ　＝　（Ｆ＿３（ＤＡＫ＿１，Ｃ＿｛１，Ｄｂ＿１，１｝）＋Ｃ＿｛１，Ｄｂ＿１，０｝）＋・・・＋（Ｆ＿３（ＤＡＫ＿Ｌ，Ｃ＿｛Ｌ，Ｄｂ＿Ｌ，１｝）＋Ｃ＿｛Ｌ，Ｄｂ＿Ｌ，０｝）

　全ての階層ｊ（１≦ｊ≦Ｌ）において、属性値Ｂ＿ｊが属性値Ａ＿ｊと一致するか、または、属性値Ａ＿ｊがワイルドカード「＊」である場合を「Ｂ≧Ａ」と記す。

　Ｂ≧Ａを満たす場合、演算値Ｕは次のように展開することができる。
　Ｕ　＝　Ｒ＿１＋・・・＋Ｒ＿Ｌ

　したがって、Ｂ≧Ａを満たす場合、Ｆ＿４｛－１｝（Ｕ，Ｃ＿｛Ｌ＋１｝）を計算することによって、平文Ｍを算出することができる。

　なお、Ｂ≧Ａを満たさない場合、ある階層ｊについて次の２つの式がいずれも成り立たない。
　Ｆ＿２（ＤＫ（ｉ），Ｂ＿ｊ｜｜ｊ）＝Ｆ＿２（ＤＫ（ｉ），Ａ＿ｊ｜｜ｊ）
　Ｆ＿２（ＤＫ（ｉ），＊｜｜ｊ）＝Ｆ＿２（ＤＫ（ｉ），Ａ＿ｊ｜｜ｊ）
　この場合、演算値Ｕの計算においていずれかの乱数Ｒ＿ｊが復元できないため、暗号化データＣから平文Ｍを復号することができない。

　検索結果｛Ｃ｝に暗号化データＣが含まれない場合、つまり、検索にヒットした暗号化データＣが無い場合、ステップＳ１５６は不要である。

　ステップＳ１５６で得られた平文Ｍの集合を検索結果｛Ｍ｝と呼ぶ。

　ステップＳ１５７において、出力部６５０は検索結果｛Ｍ｝を出力する。
　具体的には、出力部６５０は、入出力インタフェース６０４を介して、ディスプレイに検索結果｛Ｍ｝を表示する。
　検索結果｛Ｍ｝が得られなかった場合、つまり、検索にヒットした暗号化データＣが無い場合、出力部６５０は、検索にヒットした平文Ｍが無い旨のメッセージを表示する。

　図１９に基づいて、データ検索（Ｓ１６０）を説明する。
　データ検索（Ｓ１６０）は、データ管理装置７００によって実行される処理である。

　ステップＳ１６１において、受付部７１０は、通信装置７０５を用いて、検索クエリＱを検索操作装置６００から受信する。

　ステップＳ１６２において、照合部７２１は、検索クエリＱを各暗号化タグＣＴと照合することによって、検索クエリＱに合致する暗号化タグＣＴを選択する。
　暗号化タグＣＴについて登録キーワードの記号｛Ｗ＿ｎ｝は省略する。

　具体的には、照合部７２１は検索クエリＱを各暗号化タグＣＴと以下のように照合する。
　まず、照合部７２１は、演算値Ｖ＿１を算出する。演算値Ｖ＿１については後述する。
　照合部７２１は、演算値Ｖ＿１を入力として関数Ｆ＿７を実行する。得られる値を照合値Ｖ＿２と呼ぶ。
　そして、照合部７２１は、照合値Ｖ＿２を判定要素ＣＴ＿｛Ｌ＋１｝と比較する。
　照合値Ｖ＿２が判定要素ＣＴ＿｛Ｌ＋１｝と一致している場合、暗号化タグＣＴは検索クエリＱに合致している。

　照合部７２１は、演算値Ｖ＿１を以下のように算出する。
　まず、照合部７２１は、検索クエリＱからフラグ要素Ｑｂ＿ｊを抽出する。
　次に、照合部７２１は、抽出したフラグ要素Ｑｂ＿ｊに基づいて、暗号化タグＣＴから属性要素の組（ＣＴ＿｛ｊ，０，０｝、ＣＴ＿｛ｊ，０，１｝）またはワイルドカード要素の組（ＣＴ＿｛ｊ，１，０｝、ＣＴ＿｛ｊ，１，１｝）を選択する。選択される組を選択要素（ＣＴｊ０、ＣＴｊ１）という。
　次に、照合部７２１は、検索クエリＱから属性キーワード要素Ｑ＿ｊを抽出する。
　次に、照合部７２１は、属性キーワード要素Ｑ＿ｊと選択要素（ＣＴｊ１）とを入力として関数Ｆ＿６を実行する。得られる値を関数値（ＣＴｊ＾）と呼ぶ。
　次に、照合部７２１は、関数値（ＣＴｊ＾）と選択要素（ＣＴｊ０）との排他的論理和を算出する。得られる値を抽出乱数（Ｒ’ｊ＾）と呼ぶ。
　そして、照合部７２１は、全ての階層の抽出乱数（Ｒ’ｊ＾）の排他的論理和を算出する。得られる値が演算値Ｖ＿１である。

　照合値Ｖ＿２は以下のように表すことができる。
　Ｖ＿１　＝　（Ｆ＿６（Ｑ＿１，ＣＴ＿｛１，Ｑｂ＿１，１｝）＋ＣＴ＿｛１，Ｑｂ＿１，０｝）＋・・・＋（Ｆ＿６（Ｑ＿Ｌ，ＣＴ＿｛Ｌ，Ｑｂ＿Ｌ，１｝）＋ＣＴ＿｛Ｌ，Ｑｂ＿Ｌ，０｝）
　Ｖ＿２　＝　Ｆ＿７（Ｖ＿１）

　Ｂ≧ＡとＷ＿ｎ＝ｗとを満たす場合、演算値Ｖ＿１は次のように展開することができる。
　Ｖ＿１　＝　Ｒ＿１＋・・・＋Ｒ’＿Ｌ

　その結果、次の式が成り立つ。
　Ｖ＿２　＝　Ｆ＿７（Ｖ＿１）＝　Ｆ＿７（Ｒ’＿１＋・・・＋Ｒ’＿Ｌ）＝　ＣＴ＿｛Ｌ＋１｝

　もし、Ｂ≧Ａを満たすがＷ＿ｎ＝ｗ’を満たさない場合、もしくは、Ｗ＿ｎ＝ｗは満たすがＢ≧Ａを満たさない場合、いずれかの乱数Ｒ’＿ｊが正しく復元できず、Ｒ’＿１＋・・・＋Ｒ’＿Ｌを計算できない。
　そのため、通常、照合値Ｖ＿２（＝Ｆ＿７（Ｖ＿１））と判定要素Ｃ＿｛Ｌ＋１｝（＝Ｆ＿７（Ｒ’＿１＋・・・＋Ｒ’＿Ｌ））とが一致する確率は非常に低い。

　ステップＳ１６２で選択された暗号化タグＣＴ、つまり、検索クエリＱに合致した暗号化タグＣＴを該当暗号化タグＣＴと呼ぶ。

　ステップＳ１６３において、抽出部７２２は、該当暗号化タグＣＴに対応する暗号化データＣを抽出する。抽出される暗号化データＣを該当暗号化データＣと呼ぶ。

　ステップＳ１６４において、出力部７３０は、通信装置７０５を用いて、暗号結果｛Ｃ｝を検索操作装置６００へ送信する。
　暗号結果｛Ｃ｝は該当暗号化データＣの集合である。

　図２０に基づいて、データ削除（Ｓ１７０）を説明する。
　データ削除（Ｓ１７０）は、検索操作装置６００とデータ管理装置７００とによって実行される処理である。

　ステップＳ１７１において、検索操作装置６００の受付部６１０は、削除ファイル名を受け付ける。
　具体的には、受付部６１０は、検索操作装置６００に入力された削除ファイル名を入出力インタフェース６０４を介して受け付ける。但し、受付部６１０は、削除ファイル名をアプリケーションプログラムから受け付けてもよい。
　例えば、削除ファイル名は検索操作（Ｓ１５０）によって得られる。

　ステップＳ１７２において、検索操作装置６００の出力部６５０は、通信装置６０５を用いて、削除ファイル名をデータ管理装置７００へ送信する。

　ステップＳ１７３において、データ管理装置７００の受付部７１０は、通信装置７０５を用いて、検索操作装置６００から削除ファイル名を受信する。

　ステップＳ１７４において、データ管理装置７００の受付部７１０は、削除ファイル名に対応する暗号化データＣと暗号化タグＣＴ＿Ｗとを記憶部７９１から削除する。

＊＊＊実施の形態１の効果＊＊＊
　マルチユーザ型の秘匿検索を公開鍵暗号技術を用いずに共通鍵暗号技術を用いて実現することができる。そして、公開鍵暗号技術が使用されないため、データの登録および検索を高速に行うことができる。
　秘匿検索において、検索キーワードが登録キーワードと完全に一致した場合に検索がヒットする。

＊＊＊実施の形態の補足＊＊＊
　図２１に基づいて、マスター鍵装置２００のハードウェア構成を説明する。
　マスター鍵装置２００は処理回路２０９を備える。
　処理回路２０９は、受付部２１０と生成部２２０と出力部２３０と記憶部２９１とを実現するハードウェアである。
　処理回路２０９は、専用のハードウェアであってもよいし、メモリ２０２に格納されるプログラムを実行するプロセッサ２０１であってもよい。

　処理回路２０９が専用のハードウェアである場合、処理回路２０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　ＡＳＩＣはＡｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略称であり、ＦＰＧＡはＦｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略称である。
　マスター鍵装置２００は、処理回路２０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路２０９の役割を分担する。

　マスター鍵装置２００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路２０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図２２に基づいて、登録鍵装置３００のハードウェア構成を説明する。
　登録鍵装置３００は処理回路３０９を備える。
　処理回路３０９は、受付部３１０と生成部３２０と出力部３３０と記憶部３９１とを実現するハードウェアである。
　処理回路３０９は、専用のハードウェアであってもよいし、メモリ３０２に格納されるプログラムを実行するプロセッサ３０１であってもよい。

　処理回路３０９が専用のハードウェアである場合、処理回路３０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　登録鍵装置３００は、処理回路３０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路３０９の役割を分担する。

　登録鍵装置３００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路３０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図２３に基づいて、ユーザ鍵装置４００のハードウェア構成を説明する。
　ユーザ鍵装置４００は処理回路４０９を備える。
　処理回路４０９は、受付部４１０と生成部４２０と出力部４３０と記憶部４９１とを実現するハードウェアである。
　処理回路４０９は、専用のハードウェアであってもよいし、メモリ４０２に格納されるプログラムを実行するプロセッサ４０１であってもよい。

　処理回路４０９が専用のハードウェアである場合、処理回路４０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　ユーザ鍵装置４００は、処理回路４０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路４０９の役割を分担する。

　ユーザ鍵装置４００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路４０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図２４に基づいて、登録装置５００のハードウェア構成を説明する。
　登録装置５００は処理回路５０９を備える。
　処理回路５０９は、受付部５１０と生成部５２０と登録部５３０と記憶部５９１とを実現するハードウェアである。
　処理回路５０９は、専用のハードウェアであってもよいし、メモリ５０２に格納されるプログラムを実行するプロセッサ５０１であってもよい。

　処理回路５０９が専用のハードウェアである場合、処理回路５０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　登録装置５００は、処理回路５０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路５０９の役割を分担する。

　登録装置５００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路５０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図２５に基づいて、検索操作装置６００のハードウェア構成を説明する。
　検索操作装置６００は処理回路６０９を備える。
　処理回路６０９は、受付部６１０と生成部６２０と要求部６３０と復号部６４０と出力部６５０と記憶部６９１とを実現するハードウェアである。
　処理回路６０９は、専用のハードウェアであってもよいし、メモリ６０２に格納されるプログラムを実行するプロセッサ６０１であってもよい。

　処理回路６０９が専用のハードウェアである場合、処理回路６０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　検索操作装置６００は、処理回路６０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路６０９の役割を分担する。

　検索操作装置６００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路６０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図２６に基づいて、データ管理装置７００のハードウェア構成を説明する。
　データ管理装置７００は処理回路７０９を備える。
　処理回路７０９は、受付部７１０と検索部７２０と出力部７３０と記憶部７９１とを実現するハードウェアである。
　処理回路７０９は、専用のハードウェアであってもよいし、メモリ７０２に格納されるプログラムを実行するプロセッサ７０１であってもよい。

　処理回路７０９が専用のハードウェアである場合、処理回路７０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　データ管理装置７００は、処理回路７０９を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路７０９の役割を分担する。

　データ管理装置７００において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、処理回路７０９はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。

　１００　秘匿検索システム、１０１　ネットワーク、２００　マスター鍵装置、２０１　プロセッサ、２０２　メモリ、２０３　補助記憶装置、２０４　入出力インタフェース、２０５　通信装置、２０９　処理回路、２１０　受付部、２２０　生成部、２３０　出力部、２９１　記憶部、３００　登録鍵装置、３０１　プロセッサ、３０２　メモリ、３０３　補助記憶装置、３０４　入出力インタフェース、３０５　通信装置、３０９　処理回路、３１０　受付部、３２０　生成部、３３０　出力部、３９１　記憶部、４００　ユーザ鍵装置、４０１　プロセッサ、４０２　メモリ、４０３　補助記憶装置、４０４　入出力インタフェース、４０５　通信装置、４０９　処理回路、４１０　受付部、４２０　生成部、４２２　属性鍵生成部、４３０　出力部、４９１　記憶部、５００　登録装置、５０１　プロセッサ、５０２　メモリ、５０３　補助記憶装置、５０４　入出力インタフェース、５０５　通信装置、５０９　処理回路、５１０　受付部、５２０　生成部、５２１　乱数生成部、５２２　暗号化データ生成部、５２３　キーワード取得部、５２４　暗号化タグ生成部、５３０　登録部、５９１　記憶部、６００　検索操作装置、６０１　プロセッサ、６０２　メモリ、６０３　補助記憶装置、６０４　入出力インタフェース、６０５　通信装置、６０９　処理回路、６１０　受付部、６２０　生成部、６２２　検索クエリ生成部、６３０　要求部、６４０　復号部、６５０　出力部、６９１　記憶部、７００　データ管理装置、７０１　プロセッサ、７０２　メモリ、７０３　補助記憶装置、７０４　入出力インタフェース、７０５　通信装置、７０９　処理回路、７１０　受付部、７２０　検索部、７２１　照合部、７２２　抽出部、７３０　出力部、７９１　記憶部、７９２　登録データベース。

Claims

　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒを生成する乱数生成部と、
　平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である暗号文Ｃ＿｛Ｌ＋１｝とを含んだ暗号化データＣを生成する暗号化データ生成部と、
　前記暗号化データＣをデータ管理装置に登録する登録部と
を備える登録装置。
　前記関数Ｆ＿２と前記関数Ｆ＿３とのそれぞれが擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数であり、前記関数Ｆ＿４が共通鍵暗号方式の関数である
請求項１に記載の登録装置。
　前記登録装置は、さらに、暗号化タグ生成部を備え、
　前記乱数生成部は、前記層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるタグ乱数組Ｒ’を生成し、
　前記暗号化タグ生成部は、前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として前記関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値と登録キーワードとを入力として関数Ｆ＿５を実行し、前記関数Ｆ＿５の関数値を入力として関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値と前記タグ乱数組Ｒ’のｊ番の乱数との排他的論理和である属性要素ＣＴ＿｛ｊ，０，０｝を算出し、前記タグ乱数組Ｒ’の排他的論理和を入力として関数Ｆ＿７を実行し、前記属性要素ＣＴ＿｛ｊ，０，０｝と前記関数Ｆ＿７の関数値である判定要素ＣＴ＿｛Ｌ＋１｝とを含んだ暗号化タグＣＴを生成し、
　前記登録部は、前記暗号化データＣと前記暗号化タグＣＴとの組を前記データ管理装置に登録する
請求項１または請求項２に記載の登録装置。
　前記関数Ｆ＿５と前記関数Ｆ＿６とのそれぞれが擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数であり、前記関数Ｆ＿７がハッシュ関数である
請求項３に記載の登録装置。
　検索キーワードｗを入力として関数Ｆ＿５を実行することによって得られる値である属性キーワード要素Ｑ＿ｊを算出し、前記属性キーワード要素Ｑ＿ｊを含んだ検索クエリＱを生成する検索クエリ生成部と、
　前記検索クエリＱをデータ管理装置へ送信し、前記データ管理装置から暗号化データＣを受信する要求部と、
　前記暗号化データＣに含まれる暗号文Ｃ＿｛Ｌ＋１｝を入力として関数Ｆ＿４の復号関数を実行することによって、平文Ｍを復号する復号部と
を備える検索操作装置であって、
　前記データ管理装置は、
　前記暗号化データＣと暗号化タグＣＴとの組が登録装置によって登録される記憶部と、
　前記検索操作装置から前記検索クエリＱを受信する受付部と、
　前記検索クエリＱに含まれる前記属性キーワード要素Ｑ＿ｊを入力として関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値に基づく演算値Ｖ＿１を入力として関数Ｆ＿７を実行し、得られる値である照合値Ｖ＿２を前記暗号化タグＣＴに含まれる判定要素ＣＴ＿｛Ｌ＋１｝と比較する照合部と、
　前記照合値Ｖ＿２が前記判定要素ＣＴ＿｛Ｌ＋１｝と一致する場合に前記暗号化データＣを前記検索操作装置に送信する出力部とを備え、
　前記登録装置は、
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒとタグ乱数組Ｒ’とを生成する乱数生成部と、
　前記平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として前記関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である前記暗号文Ｃ＿｛Ｌ＋１｝とを含んだ前記暗号化データＣを生成する暗号化データ生成部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として前記関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値と登録キーワードとを入力として前記関数Ｆ＿５を実行し、前記関数Ｆ＿５の関数値を入力として前記関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値と前記タグ乱数組Ｒ’のｊ番の乱数との排他的論理和である属性要素ＣＴ＿｛ｊ，０，０｝を算出し、前記タグ乱数組Ｒ’の排他的論理和を入力として前記関数Ｆ＿７を実行し、前記属性要素ＣＴ＿｛ｊ，０，０｝と前記関数Ｆ＿７の関数値である前記判定要素ＣＴ＿｛Ｌ＋１｝とを含んだ前記暗号化タグＣＴを生成する暗号化タグ生成部と、
　前記暗号化データＣと前記暗号化タグＣＴとの組を前記データ管理装置に登録する登録部とを備える
ことを特徴とする検索操作装置。
　暗号化データＣと暗号化タグＣＴとの組が登録装置によって登録される記憶部と、
　検索操作装置から検索クエリＱを受信する受付部と、
　前記検索クエリＱに含まれる属性キーワード要素Ｑ＿ｊを入力として関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値に基づく演算値Ｖ＿１を入力として関数Ｆ＿７を実行し、得られる値である照合値Ｖ＿２を前記暗号化タグＣＴに含まれる判定要素ＣＴ＿｛Ｌ＋１｝と比較する照合部と、
　前記照合値Ｖ＿２が前記判定要素ＣＴ＿｛Ｌ＋１｝と一致する場合に前記暗号化データＣを前記検索操作装置に送信する出力部と
を備えるデータ管理装置であって、
　前記検索操作装置は、
　検索キーワードｗを入力として関数Ｆ＿５を実行することによって得られる値である前記属性キーワード要素Ｑ＿ｊを算出し、前記属性キーワード要素Ｑ＿ｊを含んだ前記検索クエリＱを生成する検索クエリ生成部と、
　前記検索クエリＱを前記データ管理装置へ送信し、前記データ管理装置から前記暗号化データＣを受信する要求部と、
　前記暗号化データＣに含まれる暗号文Ｃ＿｛Ｌ＋１｝を入力として関数Ｆ＿４の復号関数を実行することによって、平文Ｍを復号する復号部とを備え、
　前記登録装置は、
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒとタグ乱数組Ｒ’とを生成する乱数生成部と、
　前記平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として前記関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である前記暗号文Ｃ＿｛Ｌ＋１｝とを含んだ前記暗号化データＣを生成する暗号化データ生成部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として前記関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値と登録キーワードとを入力として前記関数Ｆ＿５を実行し、前記関数Ｆ＿５の関数値を入力として前記関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値と前記タグ乱数組Ｒ’のｊ番の乱数との排他的論理和である属性要素ＣＴ＿｛ｊ，０，０｝を算出し、前記タグ乱数組Ｒ’の排他的論理和を入力として前記関数Ｆ＿７を実行し、前記属性要素ＣＴ＿｛ｊ，０，０｝と前記関数Ｆ＿７の関数値である前記判定要素ＣＴ＿｛Ｌ＋１｝とを含んだ前記暗号化タグＣＴを生成する暗号化タグ生成部と、
　前記暗号化データＣと前記暗号化タグＣＴとの組を前記データ管理装置に登録する登録部とを備える
ことを特徴とするデータ管理装置。
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒを生成する乱数生成処理と、
　平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付処理と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である暗号文Ｃ＿｛Ｌ＋１｝とを含んだ暗号化データＣを生成する暗号化データ生成処理と、
　前記暗号化データＣをデータ管理装置に登録する登録部と
をコンピュータに実行させるための登録プログラム。
　検索キーワードｗを入力として関数Ｆ＿５を実行することによって得られる値である属性キーワード要素Ｑ＿ｊを算出し、前記属性キーワード要素Ｑ＿ｊを含んだ検索クエリＱを生成する検索クエリ生成処理と、
　前記検索クエリＱをデータ管理装置へ送信し、前記データ管理装置から暗号化データＣを受信する要求処理と、
　前記暗号化データＣに含まれる暗号文Ｃ＿｛Ｌ＋１｝を入力として関数Ｆ＿４の復号関数を実行することによって、平文Ｍを復号する復号処理と
をコンピュータに実行させるための検索操作プログラムであって、
　前記データ管理装置は、
　前記暗号化データＣと暗号化タグＣＴとの組が登録装置によって登録される記憶部と、
　前記検索クエリＱを受信する受付部と、
　前記検索クエリＱに含まれる前記属性キーワード要素Ｑ＿ｊを入力として関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値に基づく演算値Ｖ＿１を入力として関数Ｆ＿７を実行し、得られる値である照合値Ｖ＿２を前記暗号化タグＣＴに含まれる判定要素ＣＴ＿｛Ｌ＋１｝と比較する照合部と、
　前記照合値Ｖ＿２が前記判定要素ＣＴ＿｛Ｌ＋１｝と一致する場合に前記暗号化データＣを送信する出力部とを備え、
　前記登録装置は、
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒとタグ乱数組Ｒ’とを生成する乱数生成部と、
　前記平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として前記関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である前記暗号文Ｃ＿｛Ｌ＋１｝とを含んだ前記暗号化データＣを生成する暗号化データ生成部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として前記関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値と登録キーワードとを入力として前記関数Ｆ＿５を実行し、前記関数Ｆ＿５の関数値を入力として前記関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値と前記タグ乱数組Ｒ’のｊ番の乱数との排他的論理和である属性要素ＣＴ＿｛ｊ，０，０｝を算出し、前記タグ乱数組Ｒ’の排他的論理和を入力として前記関数Ｆ＿７を実行し、前記属性要素ＣＴ＿｛ｊ，０，０｝と前記関数Ｆ＿７の関数値である前記判定要素ＣＴ＿｛Ｌ＋１｝とを含んだ前記暗号化タグＣＴを生成する暗号化タグ生成部と、
　前記暗号化データＣと前記暗号化タグＣＴとの組を前記データ管理装置に登録する登録部とを備える
ことを特徴とする検索操作プログラム。
　暗号化データＣと暗号化タグＣＴとの組が登録装置によって登録された後、検索操作装置から検索クエリＱを受信する受付処理と、
　前記検索クエリＱに含まれる属性キーワード要素Ｑ＿ｊを入力として関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値に基づく演算値Ｖ＿１を入力として関数Ｆ＿７を実行し、得られる値である照合値Ｖ＿２を前記暗号化タグＣＴに含まれる判定要素ＣＴ＿｛Ｌ＋１｝と比較する照合処理と、
　前記照合値Ｖ＿２が前記判定要素ＣＴ＿｛Ｌ＋１｝と一致する場合に前記暗号化データＣを前記検索操作装置に送信する出力処理と
をコンピュータに実行させるためのデータ管理プログラムであって、
　前記検索操作装置は、
　検索キーワードｗを入力として関数Ｆ＿５を実行することによって得られる値である前記属性キーワード要素Ｑ＿ｊを算出し、前記属性キーワード要素Ｑ＿ｊを含んだ前記検索クエリＱを生成する検索クエリ生成部と、
　前記検索クエリＱを送信し、前記暗号化データＣを受信する要求部と、
　前記暗号化データＣに含まれる暗号文Ｃ＿｛Ｌ＋１｝を入力として関数Ｆ＿４の復号関数を実行することによって、平文Ｍを復号する復号部とを備え、
　前記登録装置は、
　利用者の属性が成す階層の層数Ｌと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Ｒとタグ乱数組Ｒ’とを生成する乱数生成部と、
　前記平文Ｍと、前記平文Ｍの参照が許可される利用者の各層の属性値を示す属性情報Ｂとを受け付ける受付部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値を入力として関数Ｆ＿３を実行し、前記関数Ｆ＿３の関数値と前記データ乱数組Ｒのｊ番の乱数との排他的論理和である属性要素Ｃ＿｛ｊ，０，０｝を算出し、前記平文Ｍと前記データ乱数組Ｒの排他的論理和とを入力として前記関数Ｆ＿４を実行し、前記属性要素Ｃ＿｛ｊ，０，０｝と前記関数Ｆ＿４の関数値である前記暗号文Ｃ＿｛Ｌ＋１｝とを含んだ前記暗号化データＣを生成する暗号化データ生成部と、
　前記属性情報Ｂの各層ｊの属性値と各層ｊの番号との連結値を入力として前記関数Ｆ＿２を実行し、前記関数Ｆ＿２の関数値と登録キーワードとを入力として前記関数Ｆ＿５を実行し、前記関数Ｆ＿５の関数値を入力として前記関数Ｆ＿６を実行し、前記関数Ｆ＿６の関数値と前記タグ乱数組Ｒ’のｊ番の乱数との排他的論理和である属性要素ＣＴ＿｛ｊ，０，０｝を算出し、前記タグ乱数組Ｒ’の排他的論理和を入力として前記関数Ｆ＿７を実行し、前記属性要素ＣＴ＿｛ｊ，０，０｝と前記関数Ｆ＿７の関数値である前記判定要素ＣＴ＿｛Ｌ＋１｝とを含んだ前記暗号化タグＣＴを生成する暗号化タグ生成部と、
　前記暗号化データＣと前記暗号化タグＣＴとの組を登録する登録部とを備える
ことを特徴とするデータ管理プログラム。