WO2019142651A1 - 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム - Google Patents

登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム Download PDF

Info

Publication number
WO2019142651A1
WO2019142651A1 PCT/JP2018/048547 JP2018048547W WO2019142651A1 WO 2019142651 A1 WO2019142651 A1 WO 2019142651A1 JP 2018048547 W JP2018048547 W JP 2018048547W WO 2019142651 A1 WO2019142651 A1 WO 2019142651A1
Authority
WO
WIPO (PCT)
Prior art keywords
function
value
attribute
input
random number
Prior art date
Application number
PCT/JP2018/048547
Other languages
English (en)
French (fr)
Inventor
貴人 平野
豊 川合
義博 小関
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to EP18901471.5A priority Critical patent/EP3696797B1/en
Priority to JP2019566400A priority patent/JP6910477B2/ja
Priority to US16/961,365 priority patent/US11233629B2/en
Priority to CN201880085839.6A priority patent/CN111587452B/zh
Publication of WO2019142651A1 publication Critical patent/WO2019142651A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/065Encryption by serially and continuously modifying data stream elements, e.g. stream cipher systems, RC4, SEAL or A5/3
    • H04L9/0656Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher
    • H04L9/0662Pseudorandom key sequence combined element-for-element with data sequence, e.g. one-time-pad [OTP] or Vernam's cipher with particular pseudorandom sequence generator
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/903Querying
    • G06F16/9035Filtering based on additional data, e.g. user or group profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30098Register arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds

Definitions

  • the present invention relates to a secret search technology.
  • Secret search is a technology for searching encrypted data in an encrypted state.
  • secret search is a technology for searching encrypted data without decrypting it.
  • secret search has attracted attention as a security technology for protecting confidential information from eavesdropping by a server administrator in cloud services.
  • secret search is attracting attention as a security technology for managing data on the Internet.
  • the registrant is a user who registers encrypted data
  • the searcher is a user who searches encrypted data.
  • the basic flow of processing by the registrant is as follows. First, the registrant encrypts data to generate encrypted data. Next, the registrant encrypts a keyword for searching encrypted data. An encrypted keyword is called an encryption tag. No keywords are leaked from encrypted tags. The registrant then associates the encrypted tag with the encrypted data. The number of encryption tags need not be one, and multiple encryption tags can be associated with the encrypted data. Then, the registrant registers the encrypted data and the encrypted tag in the data center device.
  • the basic flow of processing by the searcher is as follows. First, the searcher selects a keyword to search for. Next, the searcher randomizes the keyword using his own private key. Randomized keywords are called search queries. It is difficult to guess the secret key from the search query. Next, the searcher requests the data center device to search by transmitting a search query to the data center device. Then, the searcher receives encrypted data corresponding to the search query from the data center device.
  • the basic flow of processing by the data center apparatus is as follows.
  • a plurality of pairs of encrypted data and encrypted tags are registered in the data center device.
  • the data center device receives a search query.
  • the data center device selects an encryption tag corresponding to the search query by a special operation.
  • the keywords of the search query can be compared to the keywords of each encryption tag without decrypting the encryption tag.
  • the data center device transmits the encrypted data associated with the selected encryption tag.
  • common key method There are two types of secret search: common key method and public key method.
  • common key scheme common encryption key technology is used, and registrants and searchers are limited.
  • public key cryptography is used, and searchers are limited, but registrants are not limited.
  • Non-Patent Document 1 discloses a common key scheme in which a registrant and a searcher do not share the same secret information in order to reduce the cost of sharing the secret information and the degree of influence when the secret information leaks.
  • Non-Patent Document 1 discloses a multi-user shared key scheme.
  • the multi-user shared key method it is possible to set a user who is permitted to search and a user who is not permitted to search. That is, in the multi-user shared key method, encrypted data which is hit in the search of a user when plural users having different secret information search for the same keyword but not in the search of another user is generated It is possible.
  • Patent No. 6038427 gazette International Publication No. 2011/086687
  • Non-Patent Document 1 focuses on the fact that the size of a search query increases when well-known multi-user processing is performed, and discloses a method for reducing the size of the search query using an agent re-encryption technology.
  • the agent re-encryption technology is a technology for converting encrypted data of one user into encrypted data which can be decrypted by another user without decrypting encrypted data of one user.
  • the agent re-encryption technology uses public key encryption technology, the method of Non-Patent Document 1 has a problem of search speed.
  • Patent Document 1 discloses a secret search method corresponding to partial match. In this method, it can be determined as encrypted whether a keyword at the time of search is included as a partial character string in the keyword at the time of registration. However, since this scheme does not support multi-user, it is difficult to extend this scheme to a multi-user common key scheme.
  • Non-Patent Document 2 discloses an encryption method with an access control function although it is not a secret search technology. According to this method, it is possible to generate encrypted data which one user can decrypt but another user can not decrypt based on the attribute information of each user. In this method, common key encryption technology is used. Therefore, although registrants and searchers are limited, the efficiency of this method is good. However, it is difficult to extend this scheme to a multiuser common key scheme.
  • An object of the present invention is to enable confidential search by a multiuser common key cryptosystem.
  • the registration device of the present invention is A random number generation unit for generating a data random number set R which is a set of random numbers of the same number as the number L of layers of the layer formed by the attribute of the user and is a set of uniformly random random numbers;
  • a receiving unit for receiving the plaintext M and the attribute information B indicating the attribute value of each layer of the user permitted to refer to the plaintext M;
  • the function F_2 is executed with the connected value of the attribute value of each layer j of the attribute information B and the number of each layer j as an input, the function F_3 is executed with the function value of the function F_2 as an input, and the function value of the function F_3
  • An attribute element C_ ⁇ j, 0, 0 ⁇ which is an exclusive OR of the jth random number of the data random number set R is calculated, and the plaintext M and the exclusive OR of the data random number set R are input.
  • An encrypted data generation unit that generates encrypted data C that executes a function F_4 and includes the attribute element C_ ⁇ j, 0, 0 ⁇ and a ciphertext C_ ⁇ L + 1 ⁇ that is a function value of the function F_4; And a registration unit that registers the encrypted data C in a data management apparatus.
  • encrypted data C generated using multiple functions is registered.
  • the secret search can be performed by the multiuser common key encryption method.
  • FIG. 1 is a block diagram of a secret search system 100 according to a first embodiment.
  • FIG. 2 is a configuration diagram of a master key device 200 according to Embodiment 1.
  • FIG. 2 is a block diagram of a registration key device 300 according to the first embodiment.
  • FIG. 2 is a configuration diagram of a user key device 400 according to Embodiment 1.
  • FIG. 2 is a configuration diagram of a generation unit 420 according to Embodiment 1.
  • FIG. 2 is a block diagram of a registration device 500 according to the first embodiment.
  • FIG. 2 is a configuration diagram of a generation unit 520 in Embodiment 1.
  • FIG. 2 is a block diagram of a search operation device 600 according to the first embodiment.
  • FIG. 2 is a configuration diagram of a generation unit 620 in Embodiment 1.
  • FIG. 2 is a block diagram of a data management device 700 according to the first embodiment.
  • FIG. 2 is a block diagram of a search unit 720 according to the first embodiment.
  • 6 is a flowchart of master key generation (S110) according to the first embodiment.
  • 6 is a flowchart of registration key generation (S120) according to the first embodiment.
  • 6 is a flowchart of user key generation (S130) according to the first embodiment.
  • FIG. 6 shows an example of attribute information in the first embodiment.
  • 6 is a flowchart of data registration (S140) in the first embodiment.
  • FIG. 6 shows a registration database 792 according to the first embodiment.
  • 6 is a flowchart of a search operation (S150) according to the first embodiment.
  • FIG. 6 is a flowchart of data search (S160) according to the first embodiment. 6 is a flowchart of data deletion (S170) according to the first embodiment.
  • FIG. 10 is a block diagram of a generation unit 520 in a second embodiment.
  • FIG. 10 is a block diagram of a search unit 720 in the second embodiment.
  • 10 is a flowchart of data registration (S240) in the second embodiment.
  • 10 is a flowchart of data search (S260) according to the second embodiment.
  • FIG. 14 is a block diagram of a generation unit 520 in a third embodiment.
  • FIG. 16 is a configuration diagram of a generation unit 620 in Embodiment 3.
  • FIG. 16 is a block diagram of a search unit 720 in the third embodiment.
  • 16 is a flowchart of data registration (S340) in the third embodiment.
  • 17 is a flowchart of a search operation (S350) in the third embodiment.
  • 16 is a flowchart of data search (S360) in the third embodiment.
  • the hardware block diagram of the master key apparatus 200 in embodiment.
  • the hardware block diagram of the registration key apparatus 300 in embodiment.
  • the hardware block diagram of the user key apparatus 400 in embodiment.
  • the hardware block diagram of the registration apparatus 500 in embodiment.
  • the hardware block diagram of the search operation device 600 in embodiment.
  • the data management apparatus 700 hardware block diagram in embodiment.
  • Embodiment 1 An embodiment in which confidential search is performed by the multiuser common key encryption method will be described based on FIGS. 1 to 20.
  • FIG. 1 An embodiment in which confidential search is performed by the multiuser common key encryption method will be described based on FIGS. 1 to 20.
  • the secret search system 100 includes a master key device 200, a registration key device 300, a user key device 400, a registration device 500, a search operation device 600, and a data management device 700.
  • the devices of the secret search system 100 communicate with each other via the network 101.
  • the configuration of the master key device 200 will be described based on FIG.
  • the master key device 200 is a computer including hardware such as a processor 201, a memory 202, an auxiliary storage device 203, an input / output interface 204, and a communication device 205. These pieces of hardware are connected to each other via signal lines.
  • the processor 201 is an integrated circuit (IC) that performs arithmetic processing, and controls other hardware.
  • the processor 901 is a central processing unit (CPU), a digital signal processor (DSP), or a graphics processing unit (GPU).
  • the memory 202 is a volatile storage device.
  • the memory 202 is also referred to as main storage or main memory.
  • the memory 202 is a random access memory (RAM).
  • the data stored in the memory 202 is stored in the auxiliary storage device 203 as needed.
  • the auxiliary storage device 203 is a non-volatile storage device.
  • the auxiliary storage device 203 is a read only memory (ROM), a hard disk drive (HDD), or a flash memory.
  • the data stored in the auxiliary storage device 203 is loaded into the memory 202 as needed.
  • the input / output interface 204 is a port to which an input device and an output device are connected.
  • the input / output interface 204 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • USB is an abbreviation for Universal Serial Bus.
  • the communication device 205 is a receiver and a transmitter.
  • the communication device 205 is a communication chip or a NIC (Network Interface Card).
  • the master key device 200 includes elements such as a reception unit 210, a generation unit 220, and an output unit 230. These elements are realized by software.
  • the auxiliary storage device 203 stores a master key program for causing a computer to function as the reception unit 210, the generation unit 220, the output unit 230, and the storage unit 291.
  • the master key program is loaded into memory 202 and executed by processor 201.
  • an OS Operating System
  • At least a portion of the OS is loaded into the memory 202 and executed by the processor 201. That is, the processor 201 executes the master key program while executing the OS.
  • Data obtained by executing the master key program is stored in a storage device such as a memory 202, an auxiliary storage device 203, a register in the processor 201 or a cache memory in the processor 201.
  • the auxiliary storage device 203 functions as a storage unit 291.
  • another storage device may function as the storage unit 291 instead of the auxiliary storage device 203 or together with the auxiliary storage device 203.
  • the master key device 200 may include a plurality of processors that replace the processor 201.
  • the plurality of processors share the role of the processor 201.
  • the master key program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the configuration of the registration key device 300 will be described based on FIG.
  • the registration key device 300 is a computer including hardware such as a reception unit 310, a generation unit 320, and an output unit 330. These pieces of hardware are connected to each other via signal lines.
  • the processor 301 is an IC that performs arithmetic processing, and controls other hardware.
  • the processor 301 is a CPU, a DSP or a GPU.
  • the memory 302 is a volatile storage device.
  • the memory 302 is also referred to as main storage or main memory.
  • the memory 302 is a RAM.
  • the data stored in the memory 302 is stored in the auxiliary storage device 303 as needed.
  • the auxiliary storage device 303 is a non-volatile storage device.
  • the auxiliary storage device 303 is a ROM, an HDD or a flash memory.
  • the data stored in the auxiliary storage device 303 is loaded into the memory 302 as needed.
  • the input / output interface 304 is a port to which an input device and an output device are connected.
  • the input / output interface 304 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • the communication device 305 is a receiver and a transmitter.
  • the communication device 305 is a communication chip or a NIC.
  • the registration key device 300 includes elements such as a reception unit 310, a generation unit 320, and an output unit 330. These elements are realized by software.
  • the auxiliary storage device 303 stores a registration key program for causing a computer to function as the reception unit 310, the generation unit 320, the output unit 330, and the storage unit 391.
  • the registration key program is loaded into the memory 302 and executed by the processor 301.
  • the auxiliary storage device 303 stores an OS. At least a portion of the OS is loaded into the memory 302 and executed by the processor 301. That is, the processor 301 executes the registration key program while executing the OS.
  • Data obtained by executing the registration key program is stored in a storage device such as the memory 302, the auxiliary storage device 303, a register in the processor 301 or a cache memory in the processor 301.
  • the auxiliary storage device 303 functions as a storage unit 391.
  • another storage device may function as the storage unit 391 instead of the auxiliary storage device 303 or together with the auxiliary storage device 303.
  • the registration key device 300 may include multiple processors that replace the processor 301. A plurality of processors share the role of the processor 301.
  • the registration key program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the configuration of the user key device 400 will be described based on FIG.
  • the user key device 400 is a computer including hardware such as a processor 401, a memory 402, an auxiliary storage device 403, an input / output interface 404, and a communication device 405. These pieces of hardware are connected to each other via signal lines.
  • the processor 401 is an IC that performs arithmetic processing, and controls other hardware.
  • the processor 401 is a CPU, a DSP or a GPU.
  • the memory 402 is a volatile storage device.
  • the memory 402 is also referred to as main storage or main memory.
  • the memory 402 is a RAM.
  • the data stored in the memory 402 is stored in the auxiliary storage device 403 as needed.
  • the auxiliary storage device 403 is a non-volatile storage device.
  • the auxiliary storage device 403 is a ROM, an HDD or a flash memory.
  • the data stored in the auxiliary storage device 403 is loaded into the memory 402 as needed.
  • An input / output interface 404 is a port to which an input device and an output device are connected.
  • the input / output interface 404 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • the communication device 405 is a receiver and a transmitter.
  • the communication device 405 is a communication chip or a NIC.
  • the user key device 400 includes elements such as a reception unit 410, a generation unit 420, and an output unit 430. These elements are realized by software.
  • the auxiliary storage device 403 stores a user key program for causing a computer to function as the reception unit 410, the generation unit 420, the output unit 430, and the storage unit 491.
  • the user key program is loaded into memory 402 and executed by processor 401.
  • the auxiliary storage device 403 stores an OS. At least a portion of the OS is loaded into memory 402 and executed by processor 401. That is, the processor 401 executes the user key program while executing the OS.
  • Data obtained by executing the user key program is stored in a storage such as the memory 402, the auxiliary storage 403, a register in the processor 401, or a cache memory in the processor 401.
  • the auxiliary storage device 403 functions as a storage unit 491.
  • another storage device may function as the storage unit 491 instead of the auxiliary storage device 403 or together with the auxiliary storage device 403.
  • the user key device 400 may include a plurality of processors that replace the processor 401.
  • a plurality of processors share the role of the processor 401.
  • the user key program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the configuration of the generation unit 420 will be described based on FIG.
  • the generation unit 420 includes an attribute key generation unit 422.
  • the configuration of the registration device 500 will be described based on FIG.
  • the registration device 500 is a computer including hardware such as a processor 501, a memory 502, an auxiliary storage device 503, an input / output interface 504, and a communication device 505. These pieces of hardware are connected to each other via signal lines.
  • the processor 501 is an IC that performs arithmetic processing, and controls other hardware.
  • the processor 501 is a CPU, a DSP or a GPU.
  • the memory 502 is a volatile storage device.
  • the memory 502 is also referred to as a main storage device or a main memory.
  • the memory 502 is a RAM.
  • the data stored in the memory 502 is stored in the auxiliary storage device 503 as needed.
  • the auxiliary storage device 503 is a non-volatile storage device.
  • the auxiliary storage device 503 is a ROM, an HDD or a flash memory. The data stored in the auxiliary storage device 503 is loaded into the memory 502 as needed.
  • An input / output interface 504 is a port to which an input device and an output device are connected.
  • the input / output interface 504 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • the communication device 505 is a receiver and a transmitter.
  • the communication device 505 is a communication chip or a NIC.
  • the registration device 500 includes elements such as a reception unit 510, a generation unit 520, and a registration unit 530. These elements are realized by software.
  • the auxiliary storage device 503 stores a registration program for causing a computer to function as the reception unit 510, the generation unit 520, the registration unit 530, and the storage unit 591.
  • the registration program is loaded into the memory 502 and executed by the processor 501.
  • an OS is stored in the auxiliary storage device 503. At least a portion of the OS is loaded into the memory 502 and executed by the processor 501. That is, the processor 501 executes the registration program while executing the OS.
  • Data obtained by executing the registration program is stored in a storage device such as the memory 502, the auxiliary storage device 503, a register in the processor 501 or a cache memory in the processor 501.
  • the auxiliary storage device 503 functions as a storage unit 591.
  • another storage device may function as the storage unit 591 instead of the auxiliary storage device 503 or together with the auxiliary storage device 503.
  • the registration device 500 may include a plurality of processors that replace the processor 501.
  • a plurality of processors share the role of the processor 501.
  • the registration program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the configuration of the generation unit 520 will be described based on FIG.
  • the generation unit 520 includes a random number generation unit 521, an encrypted data generation unit 522, a keyword acquisition unit 523 and an encrypted tag generation unit 524.
  • the configuration of the search operation device 600 will be described based on FIG.
  • the search operation device 600 is a computer including hardware such as a processor 601, a memory 602, an auxiliary storage device 603, an input / output interface 604, and a communication device 605. These pieces of hardware are connected to each other via signal lines.
  • the processor 601 is an IC that performs arithmetic processing, and controls other hardware.
  • the processor 601 is a CPU, a DSP or a GPU.
  • the memory 602 is a volatile storage device.
  • the memory 602 is also referred to as main storage or main memory.
  • the memory 602 is a RAM.
  • the data stored in the memory 602 is stored in the auxiliary storage device 603 as needed.
  • the auxiliary storage device 603 is a non-volatile storage device.
  • the auxiliary storage device 603 is a ROM, an HDD or a flash memory. The data stored in the auxiliary storage 603 is loaded into the memory 602 as needed.
  • An input / output interface 604 is a port to which an input device and an output device are connected.
  • the input / output interface 604 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • the communication device 605 is a receiver and a transmitter.
  • the communication device 605 is a communication chip or a NIC.
  • the search operation device 600 includes elements such as a reception unit 610, a generation unit 620, a request unit 630, a decryption unit 640, and an output unit 650. These elements are realized by software.
  • a search operation program for causing a computer to function as the reception unit 610, the generation unit 620, the request unit 630, the decryption unit 640, the output unit 650, and the storage unit 691 is stored.
  • the search operation program is loaded into the memory 602 and executed by the processor 601.
  • an OS is stored in the auxiliary storage device 603. At least a portion of the OS is loaded into memory 602 and executed by processor 601. That is, the processor 601 executes the search operation program while executing the OS.
  • Data obtained by executing the search operation program is stored in a storage device such as the memory 602, the auxiliary storage device 603, a register in the processor 601 or a cache memory in the processor 601.
  • the auxiliary storage device 603 functions as a storage unit 691.
  • another storage device may function as the storage unit 691 instead of the auxiliary storage device 603 or together with the auxiliary storage device 603.
  • the search operation device 600 may include a plurality of processors replacing the processor 601. A plurality of processors share the role of the processor 601.
  • the search operation program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the configuration of the generation unit 620 will be described based on FIG.
  • the generation unit 620 includes a search query generation unit 622.
  • the configuration of the data management device 700 will be described based on FIG.
  • the data management device 700 is a computer including hardware such as a processor 701, a memory 702, an auxiliary storage device 703, an input / output interface 704, and a communication device 705. These pieces of hardware are connected to each other via signal lines.
  • the processor 701 is an IC that performs arithmetic processing, and controls other hardware.
  • the processor 901 is a CPU, a DSP or a GPU.
  • the memory 702 is a volatile storage device.
  • the memory 702 is also referred to as main storage or main memory.
  • the memory 702 is a RAM.
  • the data stored in the memory 702 is stored in the auxiliary storage device 703 as needed.
  • the auxiliary storage device 703 is a non-volatile storage device.
  • the auxiliary storage device 703 is a ROM, an HDD or a flash memory.
  • the data stored in the auxiliary storage device 703 is loaded into the memory 702 as needed.
  • An input / output interface 704 is a port to which an input device and an output device are connected.
  • the input / output interface 704 is a USB terminal
  • the input device is a keyboard and a mouse
  • the output device is a display.
  • the communication device 705 is a receiver and a transmitter.
  • the communication device 705 is a communication chip or a NIC.
  • the data management device 700 includes elements such as a reception unit 710, a collation unit 721, and an output unit 730. These elements are realized by software.
  • the auxiliary storage device 703 stores a data management program for causing a computer to function as the reception unit 710, the collation unit 721, the output unit 730, and the storage unit 791.
  • the data management program is loaded into memory 702 and executed by processor 701.
  • the auxiliary storage device 703 stores an OS. At least a portion of the OS is loaded into memory 702 and executed by processor 701. That is, the processor 701 executes the data management program while executing the OS.
  • Data obtained by executing the data management program is stored in a storage device such as the memory 702, the auxiliary storage device 703, a register in the processor 701, or a cache memory in the processor 701.
  • the auxiliary storage device 703 functions as a storage unit 791.
  • another storage device may function as the storage unit 791 instead of the auxiliary storage device 703 or together with the auxiliary storage device 703.
  • the data management device 700 may include multiple processors that replace the processor 701. The multiple processors share the role of the processor 701.
  • the data management program can be recorded (stored) in a computer readable manner on a non-volatile recording medium such as an optical disk or a flash memory.
  • the operation of the secret search system 100 corresponds to a secret search method.
  • a secret search method processing of each device of the secret search system 100 will be described.
  • Master key generation (S110) will be described based on FIG. Master key generation (S110) is a process executed by the master key device 200.
  • the receiving unit 210 receives the key length BIT (i) and the generation number i. Specifically, the receiving unit 210 receives, via the input / output interface 204, the key length BIT (i) and the generation number i input to the master key device 200. However, the receiving unit 210 may receive the key length BIT (i) and the generation number i from the application program.
  • the key length BIT (i) is the bit length of the master key MK (i).
  • the generation number i is a generation number of the master key MK (i) and does not overlap with the past generation numbers.
  • the generation number i is a serial number or date and time.
  • the master key MK (i) is a master key MK of the generation number i.
  • step S112 the generation unit 220 generates a master key MK (i). Specifically, the generation unit 220 generates a random bit string having the same length as the key length BIT (i). The generated bit string is the master key MK (i). For example, if the key length BIT (i) is 256 bits, the generation unit 220 generates a random bit string of 256 bits. Thus, a 256-bit master key MK (i) is obtained.
  • step S113 the generation unit 220 stores the master key data MSK (i) in the storage unit 291. Then, the master key data MSK (i) is stored in the storage unit 291.
  • the master key data MSK (i) is a set of the master key MK (i) and the generation number i, and is called master key data MSK for the generation number i.
  • the master key data MSK (i) can be expressed as follows.
  • MSK (i) (i, MK (i))
  • step S114 the output unit 230 outputs the master key data MSK (i).
  • the output unit 230 transmits master key data MSK (i) to the registration key device 300 using the communication device 205.
  • Registration key generation (S120) will be described based on FIG.
  • Registration key generation (S120) is a process executed by the registration key device 300.
  • the receiving unit 310 receives the master key data MSK (i). For example, the reception unit 310 receives the master key data MSK (i) from the master key device 200 using the communication device 305. However, the receiving unit 310 may receive the master key data MSK (i) input to the registration key device 300 via the input / output interface 304.
  • step S122 the generation unit 320 generates the data key DK (i) and the tag key TK (i) using the master key MK (i) included in the master key data MSK (i).
  • the generation unit 320 generates two random numbers by executing the function F_1 with the master key MK (i) as an input. Each random number is a random bit string.
  • a pseudorandom function is a cryptographic function, and when a key is determined, it returns a random number deterministically according to an input value.
  • a cryptographic hash function such as SHA-1 or a function of a common key cryptosystem such as AES may be used as the function F_1.
  • the other random number is the tag key TK (i).
  • step S123 the generation unit 320 stores the registration key EK (i) in the storage unit 391. Then, the registration key EK (i) is stored in the storage unit 391.
  • the registration key EK (i) is a combination of the generation number i, the data key DK (i) and the tag key TK (i), and is called a registration key EK of the generation number i.
  • EK (i) (i, DK (i), TK (i))
  • step S124 the output unit 330 outputs the registration key EK (i). For example, using the communication device 305, the output unit 330 transmits the registration key EK (i) to each of the user key device 400 and the registration device 500.
  • User key generation (S130) will be described based on FIG.
  • User key generation (S130) is a process executed by the user key device 400.
  • the receiving unit 410 receives the registration key EK (i). For example, the receiving unit 410 receives the registration key EK (i) from the registration key device 300 using the communication device 405. However, the accepting unit 410 may accept the registration key EK (i) input to the user key device 400 via the input / output interface 404.
  • the reception unit 410 stores the registration key EK (i) in the storage unit 491. Then, the registration key EK (i) is stored in the storage unit 491.
  • step S131 is unnecessary.
  • the registration key EK (i) includes a generation number i, a data key DK (i), and a tag key TK (i).
  • step S132 the receiving unit 410 receives the attribute information A. Specifically, the receiving unit 410 receives the attribute information A input to the user key device 400 via the input / output interface 404. However, the receiving unit 410 may receive attribute information A from an application program.
  • Attribute information A is attribute information of a searcher.
  • the attribute information A is also involved in the control of authority for search and decryption.
  • a searcher is a user who searches. That is, the searcher is a user of the search operation device 600.
  • User attributes form a hierarchy. Attribute information indicates the attribute value of each layer of the user. That is, the attribute information A indicates the attribute value of each layer of the searcher.
  • the attributes of the user constitute four levels.
  • the attribute of the first layer indicates the division.
  • the attribute of the second layer indicates a part.
  • the attribute of the third layer indicates a section.
  • the attribute of the fourth layer indicates the name.
  • the first attribute information is attribute information of Mr Ne. Mr Ne belongs to the Sc section of the De department of the Di Division.
  • the second attribute information is attribute information of Mr. Nf. Mr. Nf belongs to the Sd section of the De department of the Di Division.
  • the third attribute information is attribute information of the Sc staff.
  • the Sc section belongs to the Sc section of the De section of the Di division. Because the fourth attribute is a wildcard "*", the name is not limited.
  • the fourth attribute information is attribute information of a member of De.
  • the De member belongs to the De department of the Di Division. Since the third and fourth attributes are the wildcard "*", the section and the name are not limited.
  • the attribute of the user constitutes the L layer, and the attribute information has L attribute values.
  • L is an integer of 2 or more.
  • Attribute information A can be expressed as follows.
  • A (A_1, ..., A_L)
  • step S133 the attribute key generation unit 422 generates data attribute key data DAK (i) using the data key DK (i) and the attribute information A.
  • Data attribute key data DAK (i) is data attribute key data DAK of generation number i.
  • the data attribute key data DAK (i) has a data attribute key DAK_j and a flag value Db_j. j is an integer of 1 or more and L or less.
  • the attribute key generation unit 422 calculates the data attribute key DAK_j as follows. First, the attribute key generation unit 422 concatenates the attribute value A_j with the number j. The value represented by the obtained bit string is called a concatenated value (A_j). Next, the attribute key generation unit 422 receives the data key DK (i) and the connection value (A_j) and executes the function F_2. The obtained value is the data attribute key DAK_j.
  • the function F_2 is, like the function F_1, a pseudo random function, a hash function, or a function of a secret key cryptosystem.
  • the attribute key generation unit 422 calculates the flag value Db_j as follows. The attribute key generation unit 422 determines whether the attribute value A_j is a wildcard “*”. When the attribute value A_j is a wildcard “*”, the flag value Db_j is 1. If the attribute value A_j is not a wildcard "*", the flag value Db_j is zero.
  • the attribute key generation unit 422 generates tag attribute key data TAK (i) using the tag key TK (i) and the attribute information A.
  • the tag attribute key data TAK (i) is tag attribute key data TAK of the generation number i.
  • the tag attribute key data TAK (i) has a tag attribute key TAK_j and a flag value Tb_j.
  • the attribute key generation unit 422 calculates the tag attribute key TAK_j as follows. First, the attribute key generation unit 422 concatenates the attribute value A_j with the number j. The value represented by the obtained bit string is called a concatenated value (A_j). Next, the attribute key generation unit 422 receives the tag key TK (i) and the link value (A_j) and executes the function F_2. The obtained value is the tag attribute key TAK_j.
  • the flag value Tb_j indicates whether or not the attribute value A_j is a wildcard “*”. When the attribute value A_j is a wildcard “*”, the flag value Tb_j is 1. If the attribute value A_j is not a wildcard “*”, the flag value Tb_j is zero.
  • step S134 the generation unit 420 stores the user key UK (i) in the storage unit 491. Then, the user key UK (i) is stored in the storage unit 491.
  • the user key UK (i) is a set of a generation number i, data attribute key data DAK (i), and tag attribute key data TAK (i).
  • the user key UK (i) is the user key UK of the generation number i for the attribute information A.
  • UK (i) (i, DAK (i), TAK (i))
  • step S135 the output unit 430 outputs the user key UK (i).
  • the output unit 430 transmits the user key UK (i) to the search operation device 600 using the communication device 405.
  • Data registration (S140) will be described based on FIG.
  • Data registration (S140) is a process executed by the registration device 500.
  • step S141 the receiving unit 510 receives the registration key EK (i).
  • the reception unit 510 receives the registration key EK (i) from the registration key device 300.
  • the accepting unit 510 may accept the registration key EK (i) input to the registration device 500 via the input / output interface 504.
  • reception unit 510 stores registration key EK (i) in storage unit 591. Then, the registration key EK (i) is stored in the storage unit 591.
  • step S141 is unnecessary.
  • the registration key EK (i) includes a generation number i, a data key DK (i), and a tag key TK (i).
  • reception unit 510 stores registration key EK (i) in storage unit 591. Then, the registration key EK (i) is stored in the storage unit 591.
  • step S142 the receiving unit 510 receives the plaintext M and the attribute information B. Specifically, the receiving unit 510 receives the plaintext M and the attribute information B input to the registration device 500 via the input / output interface 504. However, the receiving unit 510 may receive the plaintext M and the attribute information B from the application program.
  • the plaintext M is unencrypted data.
  • the plaintext M includes the file name File (M) as metadata.
  • the attribute information B is attribute information of the authority, and indicates an attribute value of each layer of the authority. Further, the attribute information B, like the attribute information A, is also involved in the control of authority for search and decryption.
  • the authority is a user who has the authority to refer to the plaintext M. That is, the authority is a part of the user of the search operation device 600.
  • Attribute information B can be expressed as follows.
  • B (B_1, ..., B_L)
  • step S143 the random number generation unit 521 generates three data random number sets (R, s, S) and three tag random number sets (R ', s', S').
  • Each data random number set (R, s, S) is a set of random numbers equal in number to the number L of layers of the attribute. That is, each of the data random number set R, the data random number set s, and the data random number set S is a set of L random numbers. L random numbers of each data random number set are generated uniformly at random.
  • Each tag random number set (R ', s', S') is the same number of random numbers as the number L of layers of the attribute. That is, each of the tag random number set R ', the tag random number set s' and the tag random number set S' is L random numbers. L random numbers of each tag random number set are generated uniformly at random.
  • R ', s', S' Three tag random number sets (R ', s', S') can be expressed as follows.
  • R ' (R'_1, ..., R'_L)
  • s' (s'_1, ..., s'_L)
  • S ' (S'_1, ..., S'_L)
  • step S144 the encrypted data generation unit 522 generates the encrypted data C using the data key DK (i), the plaintext M, the attribute information B, and three data random number sets (R, s, S). .
  • the encrypted data C includes an attribute element C_ ⁇ j, 0, 0 ⁇ , an attribute element C_ ⁇ j, 0, 1 ⁇ , a wildcard element C_ ⁇ j, 1, 0 ⁇ and a wildcard element C_ ⁇ j, 1, 1 ⁇ And. j is an integer of 1 or more and L or less and indicates a layer number.
  • the encrypted data C further has a ciphertext C_ ⁇ L + 1 ⁇ .
  • the file name File (M) is included as metadata of the plaintext M.
  • the file name File (M) may be encrypted.
  • the encrypted data generation unit 522 calculates the attribute element C_ ⁇ j, 0, 0 ⁇ as follows. First, the encrypted data generation unit 522 concatenates the attribute value B_j with the number j. The value represented by the obtained bit string is called a concatenated value (B_j). Next, the encrypted data generation unit 522 executes the function F_2 with the data key DK (i) and the concatenated value (B_j) as inputs. The obtained value is called a function value (B_j '). Furthermore, the encrypted data generation unit 522 receives the function value (B_j ') and the random number s_j as input, and executes the function F_3. The obtained value is called a function value (B_j ′ ′). Then, the encrypted data generation unit 522 calculates an exclusive OR of the function value (B_j ′ ′) and the random number R_j. The resulting value is the attribute element C_ ⁇ j, 0, 0 ⁇ .
  • the function F_3 is a function of a pseudo-random function, a hash function, or a secret key cryptosystem, like the function F_1 and the function F_2.
  • the encrypted data generation unit 522 sets a random number s_j in the attribute element C_ ⁇ j, 0, 1 ⁇ .
  • the encrypted data generation unit 522 calculates the wildcard element C_ ⁇ j, 1, 0 ⁇ as follows. First, the encrypted data generation unit 522 links the wildcard “*” with the number j. The value represented by the obtained bit string is referred to as a concatenated value (* _j). Next, the encrypted data generation unit 522 executes the function F_2 with the data key DK (i) and the concatenated value (* _j) as inputs. The resulting value is called the function value (* _j '). Further, the encrypted data generation unit 522 receives the function value (* _j ') and the random number S_j as input, and executes the function F_3. The resulting value is called the function value (* _j ''). Then, the encrypted data generation unit 522 calculates an exclusive OR of the function value (* _j ′ ′) and the random number R_j. The resulting value is the wildcard element C_ ⁇ j, 1, 0 ⁇ .
  • the encrypted data generation unit 522 sets the random number S_j in the wildcard element C_ ⁇ j, 1, 1 ⁇ .
  • the encrypted data generation unit 522 calculates the ciphertext C_ ⁇ L + 1 ⁇ as follows. First, the encrypted data generation unit 522 calculates an exclusive OR of L random numbers of the data random number set R. The obtained value is called a calculated value (R +). Then, the encrypted data generation unit 522 receives the operation value (R +) and the plaintext M and executes the function F_4. The resulting value is the ciphertext C_ ⁇ L + 1 ⁇ .
  • An example of the function F_4 is a function of a common key cryptography such as AES.
  • the encrypted data C can be expressed as follows. However, in the first embodiment, “+” means exclusive OR (XOR).
  • step S145 the keyword acquiring unit 523 acquires a keyword group related to the plaintext M.
  • a keyword group is one or more keywords.
  • the keyword acquiring unit 523 extracts a keyword group from the plaintext M by performing morphological analysis or natural language processing on the plaintext M.
  • the keyword acquiring unit 523 may receive the keyword group input to the registration device 500 via the input / output interface 504.
  • the keyword acquiring unit 523 may also receive a keyword group from an application program.
  • the acquired keyword group is called a registered keyword group W.
  • the registered keyword group W is N registered keywords.
  • N is an integer of 2 or more.
  • step S146 the encrypted tag generation unit 524 generates the encrypted tag group CT_W using the tag key TK (i), the attribute information B, the tag random number set S ′, and the registered keyword group W.
  • the encrypted tag group CT_W is a plurality of encrypted tags CT_ ⁇ W_n ⁇ corresponding to a plurality of registered keywords W_n.
  • n is an integer of 1 or more and N or less and indicates the number of the registered keyword.
  • the encryption tag CT_ ⁇ W_n ⁇ is an attribute element CT_ ⁇ j, 0,0, W_n ⁇ , an attribute element CT_ ⁇ j, 0,1, W_n ⁇ , a wildcard element CT_ ⁇ j, 1,0, W_n ⁇ and a wild card Card elements CT_ ⁇ j, 1, 1, W_n ⁇ are included. Furthermore, the encrypted tag CT_ ⁇ W_n ⁇ has a decision element CT_ ⁇ L + 1, W_n ⁇ .
  • the encrypted tag generation unit 524 calculates the attribute element CT_ ⁇ j, 0, 0, W_n ⁇ as follows. First, the encrypted tag generation unit 524 concatenates the attribute value B_j with the number j. The value represented by the obtained bit string is called a concatenated value (B_j). Next, the encrypted tag generation unit 524 executes the function F_2 with the tag key TK (i) and the linked value (B_j) as inputs. The obtained value is called function value (B_j ⁇ ). Furthermore, the encryption tag generation unit 524 executes the function F_5 with the function value (B_j ⁇ ) and the registered keyword W_n as input. The resulting value is called the function value (B_jW_n ⁇ ).
  • the encryption tag generation unit 524 executes the function F_6 with the function value (B_jW_n ⁇ ) and the random number s'_j as inputs. The resulting value is called the function value (B_jW_n ⁇ ). Then, the encryption tag generation unit 524 calculates an exclusive OR of the function value (B_jW_n ⁇ ) and the random number R′_j. The obtained value is the attribute element CT_ ⁇ j, 0, 0, W_n ⁇ .
  • Each of the function F_5 and the function F_6 is, like the function F_1, the function F_2, and the function F_3, a pseudo random function, a hash function, or a function of a common key cryptosystem.
  • the encryption tag generation unit 524 sets a random number s'_j in the attribute element CT_ ⁇ j, 0, 1, W_n ⁇ .
  • the encrypted tag generation unit 524 calculates the wildcard element CT_ ⁇ j, 1, 0, W_n ⁇ as follows. First, the encryption tag generation unit 524 links the world card “*” with the number j. The value represented by the obtained bit string is called a concatenated value (* _j). Next, the encrypted tag generation unit 524 executes the function F_2 with the tag key TK (i) and the concatenation value (* _j) as inputs. The resulting value is called the function value (* _j ⁇ ). Furthermore, the encryption tag generation unit 524 executes the function F_5 with the function value (* _j ⁇ ) and the registered keyword W_n as input. The resulting value is called the function value (* _jW_n ⁇ ).
  • the encryption tag generation unit 524 executes the function F_6 with the function value (* _jW_n ⁇ ) and the random number S′_j as inputs. The resulting value is called the function value (* _jW_n ⁇ ). Then, the encryption tag generation unit 524 calculates an exclusive OR of the function value (* _jW_n ⁇ ) and the random number R′_j. The resulting value is the wildcard element CT_ ⁇ j, 1, 0, W_n ⁇ .
  • the encryption tag generation unit 524 sets the wildcard element CT_ ⁇ j, 1, 1, W_n ⁇ as the random number S′_j.
  • the encrypted tag generation unit 524 calculates the determination element CT_ ⁇ L + 1, W_n ⁇ as follows. First, the encrypted tag generation unit 524 calculates an exclusive OR of L random numbers of the tag random number set R ′. The resulting value is called the calculated value (R '+). Then, the encrypted tag generation unit 524 executes the function F_7 with the operation value (R ′ +) as an input. The obtained value is the determination element CT_ ⁇ L + 1, W_n ⁇ .
  • An example of the function F_7 is a hash function such as SHA-1.
  • CT_W ⁇ CT_ ⁇ W_1 ⁇ , ..., CT_ ⁇ W_N ⁇
  • CT_ ⁇ W_n ⁇ ((CT_ ⁇ 1, 0, 0, W_n ⁇ , CT_ ⁇ 1, 0, 1, W_n ⁇ , CT_ ⁇ 1, 1, 0, W_n ⁇ , CT_ ⁇ 1, 1, 1, W_n ⁇ , ..., (CT_ ⁇ L, 0, 0, W_n ⁇ , CT_ ⁇ L, 0, 1, W_n ⁇ , CT_ ⁇ L, 1, 0, W_n ⁇ , CT_ ⁇ L, 1, 1, W_n ⁇ ), CT_ ⁇ L + 1, W_n ⁇ ) n is an integer of 1 or more and N or less.
  • CT_ ⁇ j, 0, 0, W_n ⁇ F_6 (F_5 (F_2 (TK (i), B_j
  • j), W_n), S'_j) + R'_j CT_ ⁇ j, 1,1 W_n ⁇ S'_j j is an integer of 1 or more and L or less.
  • the encrypted tag CT_ ⁇ W_n ⁇ is abbreviated as the encrypted tag CT.
  • the registration unit 530 registers, in the data management device 700, a set of the encrypted data C and the encrypted tag group CT_W. Specifically, the registration unit 530 transmits the set of the encrypted data C and the encrypted tag group CT_W to the data management device 700.
  • reception unit 710 receives a set of encrypted data C and encrypted tag group CT_W, and stores the received set in storage unit 791. That is, the reception unit 710 stores the encrypted data C and the encrypted tag group CT_W in the storage unit 791 in association with each other. Then, a set of the encrypted data C and the encrypted tag group CT_W is stored in the storage unit 791.
  • the registration database 792 will be described based on FIG.
  • the data management device 700 registers the identification number, the file name, the encrypted data C, and the encrypted tag group CT_W in the registration database 792 in association with each other.
  • the registration database 792 is stored in the storage unit 791.
  • the search operation (S150) will be described based on FIG.
  • the search operation (S150) is a process executed by the search operation device 600.
  • step S151 the receiving unit 610 receives the user key UK (i).
  • the reception unit 610 receives the user key UK (i) from the user key device 400 using the communication device 605.
  • the receiving unit 610 may receive the user key UK (i) input to the search operation device 600 via the input / output interface 604.
  • the reception unit 610 stores the user key UK (i) in the storage unit 691. Then, the user key UK (i) is stored in the storage unit 691.
  • step S151 is unnecessary.
  • the user key UK (i) includes a generation number i, data attribute key data DAK (i), tag attribute key data TAK (i), and a search key SK (i).
  • step S152 the receiving unit 610 receives the search keyword w. Specifically, the receiving unit 610 receives the search keyword w input to the search operation device 600 via the input / output interface 604. However, the receiving unit 610 may receive the search keyword w from the application program.
  • step S153 the search query generation unit 622 generates a search query Q using the tag attribute key data TAK (i) and the search keyword w.
  • the search query Q has a flag element Qb_j and an attribute keyword element Q_j.
  • the search query generation unit 622 calculates the flag element Qb_j as follows.
  • the search query generation unit 622 extracts the flag value Tb_j from the tag attribute key data TAK (i).
  • the flag element Qb_j has the same value as the flag value Tb_j.
  • the search query generation unit 622 calculates the attribute keyword element Q_j as follows. First, the search query generation unit 622 extracts the tag attribute key TAK_j from the tag attribute key data TAK (i). Then, the search query generation unit 622 executes the function F_5 with the tag attribute key TAK_j and the search keyword w as inputs. The obtained value is the attribute keyword element Q_j.
  • the search query Q can be expressed as follows.
  • Q ((Qb_1, Q_1), ..., (Qb_L, Q_L))
  • Qb_j Tb_j
  • Q_j F_5 (TAK_j, w)
  • step S154 the request unit 630 transmits the search query Q to the data management device 700 using the communication device 605.
  • step S155 the request unit 630 receives the search result ⁇ C ⁇ from the data management device 700 using the communication device 605.
  • the search result ⁇ C ⁇ is a set of encrypted data C that hit the search.
  • step S156 the decryption unit 640 decrypts the plaintext M from each encrypted data C, using the data attribute key data DAK (i).
  • the decryption unit 640 decrypts the plaintext M from the encrypted data C as follows. First, the decoding unit 640 calculates an operation value U. The calculated value U will be described later. Next, the decryption unit 640 extracts the ciphertext C_ ⁇ L + 1 ⁇ from the encrypted data C. Then, the decryption unit 640 receives the operation value U and the ciphertext C_ ⁇ L + 1 ⁇ , and executes the decryption function F_4 ⁇ -1 ⁇ . The obtained value is the plaintext M.
  • the decryption function F_4 ⁇ -1 ⁇ is a decryption function of the function F_4.
  • Decoding section 640 calculates operation value U as follows. First, the decryption unit 640 extracts the flag value Db_j from the data attribute key data DAK (i). Next, based on the extracted flag value Db_j, the decrypting unit 640 generates a set of attribute elements (C_ ⁇ j, 0, 0 ⁇ , C_ ⁇ j, 0, 1 ⁇ ) or a wildcard element from the encrypted data C. Choose the set (C_ ⁇ j, 1,0 ⁇ , C_ ⁇ j, 1,1 ⁇ ). The set to be selected is called a set of selection elements (Cj0, Cj1). Next, the decryption unit 640 extracts the data attribute key DAK_j from the data attribute key data DAK (i).
  • the decryption unit 640 executes the function F_3 with the data attribute key DAK_j and the selected element Cj1 as inputs. The resulting value is called the function value (Cj ⁇ ).
  • the decoding unit 640 calculates an exclusive OR of the function value (Cj ⁇ ) and the selected element Cj0. The resulting value is called the extracted random number (Rj ⁇ ).
  • the decryption unit 640 calculates the exclusive OR of the extracted random numbers (Rj ⁇ ) of all the layers. The obtained value is the calculated value U.
  • the plaintext M can be expressed as follows.
  • M F_4 ⁇ -1 ⁇ (U, C_ ⁇ L + 1 ⁇ )
  • U (F_3 (DAK_1, C_ ⁇ 1, Db_1, 1 ⁇ ) + C_ ⁇ 1, Db_1, 0 ⁇ ) + ... + (F_3 (DAK_L, C_ ⁇ L, Db_L, 1 ⁇ ) + C_ ⁇ L, Db_L, 0 ⁇ )
  • the plaintext M can be calculated by calculating F_4 ⁇ -1 ⁇ (U, C_ ⁇ L + 1 ⁇ ).
  • step S156 is unnecessary.
  • the set of plaintext M obtained in step S156 is called a search result ⁇ M ⁇ .
  • step S157 the output unit 650 outputs the search result ⁇ M ⁇ . Specifically, the output unit 650 displays the search result ⁇ M ⁇ on the display via the input / output interface 604. If the search result ⁇ M ⁇ is not obtained, that is, if there is no encrypted data C hit in the search, the output unit 650 displays a message indicating that there is no plaintext M hit in the search.
  • Data search (S160) will be described based on FIG.
  • Data search (S160) is a process executed by the data management device 700.
  • step S 161 the receiving unit 710 receives the search query Q from the search operation device 600 using the communication device 705.
  • step S162 the collation unit 721 collates the search query Q with each encrypted tag CT to select the encrypted tag CT that matches the search query Q.
  • the sign ⁇ W_n ⁇ of the registered keyword is omitted for the encrypted tag CT.
  • the collation unit 721 collates the search query Q with each encrypted tag CT as follows. First, the collation unit 721 calculates the operation value V_1. The calculation value V_1 will be described later. The collation unit 721 receives the operation value V_1 and executes the function F_7. The resulting value is called the matching value V_2. Then, the comparison unit 721 compares the comparison value V_2 with the determination element CT_ ⁇ L + 1 ⁇ . When the matching value V_2 matches the determination element CT_ ⁇ L + 1 ⁇ , the encryption tag CT matches the search query Q.
  • the collation unit 721 calculates the operation value V_1 as follows. First, the matching unit 721 extracts the flag element Qb_j from the search query Q. Next, based on the extracted flag element Qb_j, the collation unit 721 extracts a set of attribute elements (CT_ ⁇ j, 0, 0 ⁇ , CT_ ⁇ j, 0, 1 ⁇ ) or a wildcard element from the encrypted tag CT. Select the set (CT_ ⁇ j, 1,0 ⁇ , CT_ ⁇ j, 1,1 ⁇ ). The set to be selected is called a selection element (CTj0, CTj1). Next, the matching unit 721 extracts the attribute keyword element Q_j from the search query Q.
  • a set of attribute elements CT_ ⁇ j, 0, 0 ⁇ , CT_ ⁇ j, 0, 1 ⁇
  • select the set CT_ ⁇ j, 1,0 ⁇ , CT_ ⁇ j, 1,1 ⁇
  • the set to be selected is called a selection element (CTj0, CTj1).
  • the matching unit 721 extracts the attribute keyword element Q_
  • the collation unit 721 executes the function F_6 with the attribute keyword element Q_j and the selection element (CTj1) as inputs.
  • the resulting value is called the function value (CTj ⁇ ).
  • the collation unit 721 calculates an exclusive OR of the function value (CTj ⁇ ) and the selection element (CTj0).
  • the resulting value is called the extracted random number (R'j ⁇ ).
  • the matching unit 721 calculates the exclusive OR of the extracted random numbers (R'j ⁇ ) of all the layers.
  • the obtained value is the calculated value V_1.
  • V_2 The matching value V_2 can be expressed as follows.
  • V_1 (F_6 (Q_1, CT_ ⁇ 1, Qb_1, 1 ⁇ ) + CT_ ⁇ 1, Qb_1, 0 ⁇ ) +... + (F_6 (Q_L, CT_ ⁇ L, Qb_L, 1 ⁇ ) + CT_ ⁇ L, Qb_L, 0 ⁇ )
  • V_2 F_7 (V_1)
  • V_1 R_1 + ... + R'_L
  • the encrypted tag CT selected in step S162, that is, the encrypted tag CT that matches the search query Q is referred to as a corresponding encrypted tag CT.
  • step S163 the extraction unit 722 extracts the encrypted data C corresponding to the corresponding encrypted tag CT.
  • the encrypted data C to be extracted is called the corresponding encrypted data C.
  • step S164 the output unit 730 transmits the encryption result ⁇ C ⁇ to the search operation device 600 using the communication device 705.
  • the cryptographic result ⁇ C ⁇ is a set of corresponding encrypted data C.
  • Data deletion (S170) will be described based on FIG.
  • Data deletion (S170) is a process executed by the search operation device 600 and the data management device 700.
  • step S171 the receiving unit 610 of the search operation device 600 receives the deleted file name. Specifically, the receiving unit 610 receives the deleted file name input to the search operation device 600 via the input / output interface 604. However, the receiving unit 610 may receive the deleted file name from the application program. For example, the deleted file name is obtained by the search operation (S150).
  • step S 172 the output unit 650 of the search operation device 600 transmits the deleted file name to the data management device 700 using the communication device 605.
  • step S 173 the reception unit 710 of the data management device 700 receives the deleted file name from the search operation device 600 using the communication device 705.
  • step S 174 the receiving unit 710 of the data management device 700 deletes the encrypted data C corresponding to the deleted file name and the encrypted tag CT_W from the storage unit 791.
  • Embodiment 1 *** Effect of Embodiment 1 *** A multiuser secret search can be realized using common key encryption technology without using public key encryption technology. And since public key cryptography is not used, data registration and retrieval can be performed at high speed. In the secret search, when the search keyword completely matches the registered keyword, the search hits.
  • the generation unit 520 includes a random number generation unit 525, an encrypted data generation unit 522, a keyword acquisition unit 523, a partial match keyword generation unit 526, and an encryption tag generation unit 527.
  • the configuration of the search unit 720 will be described based on FIG.
  • the search unit 720 includes a collation unit 723 and an extraction unit 722.
  • the master key generation (S110) is as described in Embodiment 1 (see FIG. 12).
  • the master key device 200 In the master key generation (S110), the master key device 200 generates master key data MSK (i).
  • the master key data MSK (i) is a set of a master key MK (i) and a generation number i.
  • the registration key generation (S120) is as described in the first embodiment (see FIG. 13).
  • the registration key device 300 generates a registration key EK (i).
  • the registration key EK (i) is a combination of a generation number i, a data key DK (i) and a tag key TK (i).
  • the data key DK (i) is generated using the master key MK (i) included in the master key data MSK (i).
  • the tag key TK (i) is generated using the master key MK (i) included in the master key data MSK (i).
  • the user key generation (S130) is as described in the first embodiment (see FIG. 14).
  • the user key device 400 generates a user key UK (i).
  • the user key UK (i) is a set of a generation number i, data attribute key data DAK (i), and tag attribute key data TAK (i).
  • the data attribute key DAK (i) is generated using the attribute information A and the data key DK (i) included in the registration key EK (i).
  • the tag attribute key data TAK (i) is generated using the attribute information A and the tag key TK (i) included in the registration key EK (i).
  • Data registration (S240) will be described based on FIG.
  • the registration device 500 registers a set of the ciphertext C and the encrypted tag group CT_PMW in the data management device 700.
  • step S241 the receiving unit 510 receives the registration key EK (i).
  • Step S241 is the same as step S141 in the first embodiment (see FIG. 16).
  • step S 242 receiving unit 510 receives plaintext M and attribute information B.
  • Step S242 is the same as step S142 in the first embodiment (see FIG. 16).
  • step S243 the random number generation unit 525 generates three data random number sets (R, s, S), one tag random number set R ′, and one tag random number S ′.
  • the three data random number sets (R, s, S) are as described in the first embodiment (see step S 143 in FIG. 16).
  • the tag random number set R ′ is the same number of random numbers as the number L of layers of the attribute. That is, the tag random number set R ′ is L random numbers. Each random number is generated uniformly at random.
  • the tag random number S ' is one random number generated uniformly at random.
  • step S244 the encrypted data generation unit 522 generates the encrypted data C using the data key DK (i), the plaintext M, the attribute information B, and three data random number sets (R, s, S). .
  • Step S244 is the same as step S144 in the first embodiment (see FIG. 16).
  • step S245 the keyword acquiring unit 523 acquires the registered keyword group W.
  • Step S245 is the same as step S145 in the first embodiment (see FIG. 16).
  • the registered keyword group W is N registered keywords W_n.
  • N is an integer of 1 or more.
  • n is an integer of 1 or more and N or less.
  • step S246 the partial match keyword generation unit 526 generates a partial match keyword group PMW for the registered keyword group W by generating a partial match keyword group PM (W_n) for each registered keyword W_n.
  • the partial matching keyword group PM (W_n) is K partial matching keywords PM (W_n [k]).
  • K is an integer of 1 or more.
  • k is an integer of 1 or more and K or less.
  • the broad match keyword group PM (W_n) can be expressed as follows.
  • PM (W_n) (PM (W_n) [1], ..., PM (W_n) [K])
  • the partially matching keyword PM (W_n [k]) is a set of a partially matching keyword and a start position number.
  • the start position number indicates from what character the partial match keyword starts in the registered keyword.
  • the broad match keyword PM (W_n) [k] can be expressed as follows.
  • PM (W_n) [k] (partial match keyword, start position number)
  • PM (W_n) [k] [0] Partial match keyword
  • PM (W_n) [k] [1] Start position number
  • the partial matching keyword generation unit 526 generates a partial matching keyword group PM (W_n) for the registered keyword W_n as follows. First, the partial matching keyword generation unit 526 divides the registered keyword W_n into characters. Each character (partial keyword) after division becomes the first character of the partial matching keyword. For example, the registered keyword W_n “Tokyo” is divided into “east”, “kyo” and “city”. Each of "east”, “kyo” and “city” is the first character of the broad match keyword. Next, the partial matching keyword generation unit 526 enumerates all character strings starting from each character after division in the registration keyword W_n. Each of the listed strings is a broad match keyword.
  • the partial matching keyword generation unit 526 generates a partial matching keyword PW (W_n [k]) for each of the listed character strings. For example, six partial match keywords PW (W_n [k]) for the registered keyword W_n “Tokyo” are generated.
  • the partially matching keyword generation unit 526 may divide the registered keyword W_n for each phrase. For example, the registered keyword W_n “Tokyo” is divided into “Tokyo” and “Tokyo”. In this case, “Tokyo” and “Tokyo” starting with the first phrase “Tokyo” are listed in the registered keyword W_n “Tokyo”. "Tokyo” is a character string from the first phrase to the first phrase. "Tokyo” is a character string from the first phrase to the second phrase. Furthermore, in the registered keyword W_n “Tokyo”, “city” starting from the second phrase “city” is listed. “City” is a character string from the second phrase to the second phrase.
  • PW (W_n [k]) three partial match keywords PW (W_n [k]) are generated.
  • PW (W_n) [1] (Tokyo, 1)
  • PW (W_n) [2] (Tokyo, 1)
  • PW (W_n) [3] (Tokyo, 3)
  • the partially matching keyword generation unit 526 may divide the registered keyword W_n into units of one character and one phrase.
  • the partially matching keyword generation unit 526 may change the division unit according to the registered keyword W_n. In addition, the partially matching keyword generation unit 526 may not be divided depending on the registered keyword W_n. When the registration keyword W_n is not divided, the registration keyword W_n is a target of the perfect match search but is not a target of the partial match search.
  • the encrypted tag generation unit 527 uses the tag key TK (i), the attribute information B, the tag random number set R ′, the tag random number S ′, and the partial match keyword group PMW to generate the encrypted tag group CT_PMW.
  • Generate The encrypted tag group CT_PMW is a plurality of encrypted tags CT_ ⁇ PM (W_n) ⁇ corresponding to a plurality of registered keywords W_n.
  • n is an integer of 1 or more and N or less and indicates the number of the registered keyword W_n.
  • the encrypted tag CT_ ⁇ PM (W_n) ⁇ has a random number element CT_ ⁇ 0, PM (W_n) ⁇ .
  • the encrypted tag generation unit 527 sets the tag random number S ′ in the random number element CT_ ⁇ 0, PM (W_n) ⁇ .
  • CT_ ⁇ 0, PM (W_n) ⁇ S '
  • the encrypted tag CT_ ⁇ PM (W_n) ⁇ further has an attribute element CT_ ⁇ j, 0, PM (W_n) ⁇ .
  • j is an integer of 1 or more and L or less and indicates the number of the attribute value B_j.
  • CT_ ⁇ j, 0, PM (W_n) ⁇ can be expressed as follows.
  • CT_ ⁇ j, 0, PM (W_n) ⁇ (CT_ ⁇ j, 0, PM (W_n) [1] ⁇ ,..., CT_ ⁇ j, 0, PM (W_n) [K] ⁇ )
  • the encrypted tag generation unit 527 calculates the attribute element CT_ ⁇ j, 0, PM (W_n) [k] ⁇ as follows. k is an integer of 1 or more and K or less. First, the encrypted tag generation unit 527 concatenates the attribute value B_j with the number j. The value represented by the obtained bit string is called a concatenated value (B_j). Next, the encrypted tag generation unit 527 receives the value of the tag key TK (i) and the concatenation value (B_j) and executes the function F_2. The resulting value is called the function value (B_j ⁇ ).
  • the encryption tag generation unit 527 executes the function F_5 with the function value (B_j ⁇ ) and the partial match keyword PM (W_n) [k] [0] as inputs.
  • the obtained value is called a function value (B_jPM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 determines the function value (B_jPM (W_n) [k] ⁇ ), the start position number PM (W_n) [k] [0], and the random number element CT_ ⁇ 0, PM (W_n) ⁇ .
  • Execute function F_6 with and as inputs.
  • the obtained value is called a function value (B_jPM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 calculates an exclusive OR of the function value (B_jPM (W_n) [k] ⁇ ⁇ ⁇ ) and the tag random number R'_j.
  • the obtained value is the attribute element CT_ ⁇ j, 0, PM (W_n) [k] ⁇ .
  • Each of the function F_5 and the function F_6 is, like the function F_1, the function F_2, and the function F_3, a pseudo random function, a hash function, or a function of a common key cryptosystem.
  • the encrypted tag CT_ ⁇ PM (W_n) ⁇ further has a wildcard element CT_ ⁇ j, 1, PM (W_n) ⁇ .
  • j is an integer of 1 or more and L or less and indicates the number of the attribute value B_j.
  • CT_ ⁇ j, 0, PM (W_n) ⁇ can be expressed as follows.
  • CT_ ⁇ j, 0, PM (W_n) ⁇ (CT_ ⁇ j, 0, PM (W_n) [1] ⁇ ,..., CT_ ⁇ j, 0, PM (W_n) [K] ⁇ )
  • CT_ ⁇ j, 1, PM (W_n) ⁇ can be expressed as follows.
  • CT_ ⁇ j, 1, PM (W_n) ⁇ (CT_ ⁇ j, 1, PM (W_n) [1] ⁇ ,..., CT_ ⁇ j, 1, PM (W_n) [K] ⁇ )
  • the encrypted tag generation unit 527 calculates the wildcard element CT_ ⁇ j, 1, PM (W_n) [k] ⁇ as follows. k is an integer of 1 or more and K or less. First, the encryption tag generation unit 527 links the world card “*” with the number j. The value represented by the obtained bit string is called a concatenated value (* _j). Next, the encrypted tag generation unit 527 receives the value of the tag key TK (i) and the concatenation value (* _j) and executes the function F_2. The obtained value is called function value (* _j ⁇ ).
  • the encryption tag generation unit 527 executes the function F_5 with the function value (* _j ⁇ ) and the partial match keyword PM (W_n) [k] [0] as inputs.
  • the obtained value is called a function value (* _jPM (W_n) [k] ⁇ ⁇ ).
  • the encryption tag generation unit 527 sets the function value (* _jPM (W_n) [k] ⁇ ), the start position number PM (W_n) [k] [1], and the random number element CT_ ⁇ 0, PM (W_n) ⁇ And execute the function F_6.
  • the resulting value is called the function value (* _jPM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 calculates an exclusive OR of the function value (* _jPM (W_n) [k] ⁇ ⁇ ⁇ ) and the random number R'_j.
  • the resulting value is the wild element CT_ ⁇ j, 1, PM (W_n) [k] ⁇ .
  • the encrypted tag CT_ ⁇ PM (W_n) ⁇ further has a determination element CT_ ⁇ L + 1, PM (W_n) ⁇ .
  • the encrypted tag generation unit 527 calculates the determination element CT_ ⁇ L + 1, PM (W_n) ⁇ as follows. First, the encrypted tag generation unit 527 calculates an exclusive OR of L random numbers of the tag random number set R ′. The resulting value is called the calculated value (R '+). Then, the encryption tag generation unit 527 receives the operation value (R '+) and executes the function F_7. The obtained value is the determination element CT_ ⁇ L + 1, PM (W_n) ⁇ .
  • An example of the function F_7 is a hash function such as SHA-1.
  • CT_PMW ⁇ CT_ ⁇ PM (W_1) ⁇ ,..., CT_ ⁇ PM (W_N) ⁇
  • CT_ ⁇ PM (W_n) ⁇ (CT_ ⁇ 0, PM (W_n) ⁇ , CT_ ⁇ 1, 0, PM (W_n) [1] ⁇ , ..., CT_ ⁇ L, 0, PM (W_n) [1 ], ..., CT_ ⁇ 1, 0, PM (W_n) [K] ⁇ , ..., CT_ ⁇ L, 0, PM (W_n) [K] ⁇ , CT_ ⁇ 1, 1, PM (W_n) ), [1] ⁇ ,..., CT_ ⁇ L, 1, PM (W_n) [1] ⁇ ,..., CT_ ⁇ 1, 1, PM (W_n) [K] ⁇ ,. L, 1, PM (W_n) [K] ⁇ , CT_ ⁇ L + 1, PM (W_n) ⁇ ) n is an integer of 1 or more and N or less.
  • n is an integer of 1 or more and N or less.
  • CT (CT_0, CT_ ⁇ 1, 0, [1] ⁇ , ..., CT_ ⁇ L, 0, [1] ⁇ , ..., CT_ ⁇ 1, 0, [K] ⁇ , ..., CT_ ⁇ L, 0, [K] ⁇ , CT_ ⁇ 1, 1, [1] ⁇ , ..., CT_ ⁇ L, 1, [1] ⁇ , ..., CT_ ⁇ 1, 1, [K] ⁇ ,..., CT_ ⁇ L, 1, [K] ⁇ , CT_ ⁇ L + 1 ⁇ )
  • the registration unit 530 registers a set of the encrypted data C and the encrypted tag group CT_PMW in the data management device 700. Specifically, the registration unit 530 transmits the set of the encrypted data C and the encrypted tag group CT_PMW to the data management device 700.
  • reception unit 710 receives a set of encrypted data C and encrypted tag group CT_PMW, and stores the received set in storage unit 791. That is, the reception unit 710 stores the encrypted data C and the encrypted tag group CT_PMW in the storage unit 791 in association with each other. Then, a set of the encrypted data C and the encrypted tag group CT_PMW is stored in the storage unit 791.
  • the registration device 500 when the registered keyword group W includes N registered keywords as in the first embodiment, the registration device 500 operates as follows.
  • the random number generation unit 525 generates N tag random number sets R ′ and N tag random numbers S ′.
  • the encrypted tag generation unit 527 uses the tag random number set R ′ and the tag random number S ′ which are different for each registered keyword W_n, to encrypt the encrypted tag CT_ ⁇ PM (W_n) ⁇ corresponding to the registered keyword W_n.
  • the search operation (S150) is as described in the first embodiment (see FIG. 18).
  • the search operation device 600 receives the user key UK (i) and the search keyword W, and outputs a search result ⁇ M ⁇ .
  • Data search (S260) will be described based on FIG.
  • the data management device 700 receives the search query Q, and transmits the encryption result ⁇ C ⁇ .
  • step S261 the reception unit 710 receives the search query Q from the search operation device 600.
  • Step S261 is the same as step S161 in the first embodiment (see FIG. 19).
  • step S262 the collation unit 723 collates the search query Q with each encrypted tag CT to select the encrypted tag CT that matches the search query Q.
  • the collation unit 723 collates the search query Q with each encryption tag CT as follows.
  • the registration keyword symbol ⁇ PM (W_n) ⁇ is omitted for the encrypted tag CT.
  • the matching unit 723 calculates the number K of partially matched keywords based on the number of elements of the encrypted tag CT, and calculates the number of characters X of the keyword at the time of registration based on the number K of partially matched keywords.
  • the keyword at the time of registration is “Tokyo”
  • the number of elements of the encrypted tag CT is “14”.
  • the number K of partially matching keywords is "6".
  • the matching unit 723 calculates the operation value V_1 [x, k].
  • x is an integer of 1 or more and X or less.
  • k is an integer of 1 or more and K or less.
  • the calculated value V_1 [x, k] will be described later.
  • the collation unit 723 receives the operation value V_1 [x, k] and executes the function F_7. The resulting value is referred to as the matching value V_2 [x, k].
  • the collation unit 723 compares the collation value V_2 [x, k] with the judgment element CT_ ⁇ L + 1 ⁇ of the encrypted tag CT.
  • the matching value V_2 [x, k] matches the determination element CT_ ⁇ L + 1 ⁇
  • the encryption tag CT matches the search query Q.
  • the collation unit 723 calculates the operation value V_1 [x, k] as follows. First, the matching unit 723 extracts the flag element Qb_j from the search query Q. j is an integer of 1 or more and L or less. Next, the collation unit 723 selects the set CTj0 of attribute elements or the set CTj1 of wildcard elements from the encrypted tag CT based on the extracted flag elements Qb_j. Each of the attribute element set CTj0 and the wildcard element set CTJ1 is expressed as follows.
  • CTj0 (CT_ ⁇ j, 0, [1] ⁇ ,..., CT_ ⁇ j, 0, [K] ⁇ )
  • CTj1 (CT_ ⁇ j, 1, [1] ⁇ , CT_ ⁇ j, 1, [K] ⁇ )
  • the matching unit 723 selects the attribute element set CTj0 or the wildcard element set CTj1 as follows. If the flag element Qb_j is “0”, the matching unit 723 selects the set of attribute elements CRj0. If the flag element Qb_j is “1”, the matching unit 723 selects a wildcard element set CRj1. The set to be selected is called a selection element CTj. Next, the matching unit 723 extracts the attribute keyword element Q_j from the search query Q.
  • the collation unit 723 executes the function F_6 with the attribute keyword element Q_j, the value x, and the random number element CT_0 as inputs.
  • the resulting value is called the function value (CTj [x] ⁇ ).
  • x is an integer of 1 or more and X or less.
  • the matching unit 723 calculates an exclusive OR of each function value (CTj [x] ⁇ ) and the selection element (CTj [k]).
  • the resulting value is called extracted random number (R'j [x, k] ⁇ ).
  • the collation unit 723 calculates an exclusive OR of extraction random numbers (R′j [x, k] ⁇ ) of all the layers.
  • the obtained value is the calculated value V_1 [x, k].
  • V_1 [x, k] (F_6 (Q_1, x, CT_ ⁇ 0 ⁇ ) + CT_ ⁇ 1, Qb_1, [k] ⁇ +... + (F_6 (Q_L, x, CT_ ⁇ 0 ⁇ ) + CT_ ⁇ L , Qb_L, [k] ⁇ )
  • V_2 [x, k] F_7 (V_1 [x, k])
  • the encrypted tag CT selected in step S262, that is, the encrypted tag CT that matches the search query Q is called a corresponding encrypted tag CT.
  • step S263 the extraction unit 722 extracts the encrypted data C corresponding to the corresponding encrypted tag CT.
  • the encrypted data C to be extracted is referred to as corresponding encrypted data C.
  • Step S263 is the same as step S163 in the first embodiment. (See Figure 19).
  • step S264 the output unit 730 transmits the encryption result ⁇ C ⁇ to the search operation device 600.
  • the cryptographic result ⁇ C ⁇ is a set of corresponding encrypted data C.
  • Step S264 is the same as step S164 in the first embodiment (see FIG. 19).
  • Data deletion (S170) is as described in the first embodiment (see FIG. 20).
  • the data management device 700 deletes the pair of the encrypted data C and the encrypted tag CT_W corresponding to the deleted file name.
  • Range search is a search for finding registered numerical values included in a search range. For example, when the search range is [78, 111], a range search for finding a registered numerical value X satisfying 78 ⁇ X ⁇ 111 is performed.
  • the generation unit 520 includes a random number generation unit 525, an encrypted data generation unit 522, a keyword acquisition unit 523, a generalization numerical value generation unit 528, and an encryption tag generation unit 527.
  • the configuration of the generation unit 620 will be described based on FIG.
  • the generation unit 620 includes a numerical value enumeration unit 623 and a search query generation unit 624.
  • the configuration of the search unit 720 will be described based on FIG.
  • the search unit 720 includes a collation unit 724 and an extraction unit 722.
  • the master key generation (S110) is as described in Embodiment 1 (see FIG. 12).
  • the master key device 200 In the master key generation (S110), the master key device 200 generates master key data MSK (i).
  • the master key data MSK (i) is a set of a master key MK (i) and a generation number i.
  • the registration key generation (S120) is as described in the first embodiment (see FIG. 13).
  • the registration key device 300 generates a registration key EK (i).
  • the registration key EK (i) is a combination of a generation number i, a data key DK (i) and a tag key TK (i).
  • the data key DK (i) is generated using the master key MK (i) included in the master key data MSK (i).
  • the tag key TK (i) is generated using the master key MK (i) included in the master key data MSK (i).
  • the user key generation (S130) is as described in the first embodiment (see FIG. 14).
  • the user key device 400 generates a user key UK (i).
  • the user key UK (i) is a set of a generation number i, data attribute key data DAK (i), and tag attribute key data TAK (i).
  • the data attribute key DAK (i) is generated using the attribute information A and the data key DK (i) included in the registration key EK (i).
  • the tag attribute key data TAK (i) is generated using the attribute information A and the tag key TK (i) included in the registration key EK (i).
  • Data registration (S340) will be described based on FIG.
  • the registration device 500 registers, in the data management device 700, a set of the ciphertext C and the encrypted tag group CT_GNUM.
  • step S341 reception unit 510 receives registration key EK (i).
  • Step S341 is the same as step S141 in the first embodiment (see FIG. 16).
  • step S342 the receiving unit 510 receives the plaintext M and the attribute information B.
  • Step S342 is the same as step S142 in the first embodiment (see FIG. 16).
  • step S343 the random number generation unit 525 generates three data random number sets (R, s, S), one tag random number set R ', and one tag random number S'.
  • Step S343 is the same as step S243 in the second embodiment (see FIG. 23).
  • the tag random number set R ′ is the same number of random numbers as the number L of layers of the attribute. That is, the tag random number set R ′ is L random numbers. Each random number is generated uniformly at random.
  • the tag random number S ' is one random number generated uniformly at random.
  • step S344 the encrypted data generation unit 522 generates the encrypted data C using the data key DK (i), the plaintext M, the attribute information B, and three data random number sets (R, s, S). .
  • Step S344 is the same as step S144 in the first embodiment (see FIG. 16).
  • step S345 the keyword acquiring unit 523 acquires a registered numerical value group NUM.
  • Registered numerical value group NUM is one or more registered numerical values.
  • the registered value group NUM corresponds to the registered keyword group W.
  • the registered value corresponds to the registered keyword.
  • NUM (W_1, ..., W_N)
  • step S346 the generalization value generation unit 528 generates a generalization value group GNUM corresponding to the registered value group NUM.
  • the generalization numerical value generation unit 528 generates a generalization numerical value group GNUM by regarding the registered numerical value W_n as a character string and enumerating all the keywords that have a prefix match with the registered numerical value W_n.
  • n is an integer of 1 or more and N or less.
  • the generalization numerical value generation unit 528 enumerates “87” and “8?”.
  • the “?” Stands for a one character wildcard, meaning here to represent all numbers from 0 to 9. If the registered value W_n is “999”, the generalization value generation unit 528 enumerates “999”, “99?”, And “9 ??”.
  • the generalized numerical value GNUM (W_n) can be expressed as follows. K is an integer of 1 or more.
  • GNUM (W_n) (GNUM (W_n) [1], ..., GNUM (W_n) [K])
  • W_n the registered value
  • W_n the number of elements K of the generalization value
  • the length of the generalized number GNUM (W_n), that is, the number of elements K of the generalized number GNUM (W_n) matches the number of digits of the registered number W_n. If the number of digits of the registered numerical value W_n is “2”, the number of elements K of the generalized numerical value GNUM (W_n) is “2”. If the number of digits of the registered numerical value W_n is “3”, the number of elements K of the generalized numerical value GNUM (W_n) is “3”.
  • step S347 the encryption tag generation unit 527 uses the tag key TK (i), the attribute information B, the tag random number set R ′, the tag random number S ′, and the generalization numerical value group GNUM to generate the encryption tag group CT_GNUM.
  • the encryption tag group CT_GNUM is a plurality of encryption tags CT_ ⁇ GNUM (W_n) ⁇ .
  • n is an integer of 1 or more and N or less, and indicates the number of the registered numerical value W_n.
  • the encryption tag CT_ ⁇ GNUM (W_n) ⁇ has a random number element CT_ ⁇ 0, GNUM (W_n) ⁇ .
  • the encrypted tag generation unit 527 sets the tag random number S ′ in the random number element CT_ ⁇ 0, GNUM (W_n) ⁇ .
  • the encryption tag CT_ ⁇ GNUM (W_n) ⁇ further has an attribute element CT_ ⁇ j, 0, GNUM (W_n) ⁇ .
  • j is an integer of 1 or more and L or less.
  • CT_ ⁇ j, 0, GNUM (W_n) ⁇ can be expressed as follows.
  • CT_ ⁇ j, 0, GNUM (W_n) ⁇ (CT_ ⁇ j, 0, GNUM (W_n) [1] ⁇ , ..., CT_ ⁇ j, 0, GNUM (W_n) [K] ⁇
  • the encryption tag generation unit 527 calculates the attribute element CT_ ⁇ j, 0, GNUM (W_n) ⁇ as follows. k is an integer of 1 or more and K or less. First, the encrypted tag generation unit 527 concatenates the attribute value B_j with the number j. The value represented by the obtained bit string is called a concatenated value (B_j). Next, the encrypted tag generation unit 527 receives the value of the tag key TK (i) and the concatenation value (B_j) and executes the function F_2. The obtained value is called function value (B_j ⁇ ).
  • the encryption tag generation unit 527 executes the function F_5 with the function value (B_j ⁇ ) and the generalization value GNUM (W_n) [k] as inputs. The resulting value is called the function value (B_jGNUM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 executes the function F_6 with the function value (B_jGNUM (W_n) [k] ⁇ ) and the random number element CT_ ⁇ 0, GNUM (W_n) ⁇ as inputs. The resulting value is called the function value (B_jGNUM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 calculates an exclusive OR of the function value (B_jGNUM (W_n) [k] ⁇ ⁇ ⁇ ) and the tag random number R'_j.
  • the obtained values are the attribute elements CT_ ⁇ j, 0, GNUM (W_n) [k] ⁇ .
  • Each of the function F_5 and the function F_6 is, like the function F_1, the function F_2, and the function F_3, a pseudo random function, a hash function, or a function of a common key cryptosystem.
  • the encryption tag CT_ ⁇ GNUM (W_n) ⁇ has a wildcard element CT_ ⁇ j, 1, GNUM (W_n) ⁇ .
  • the wildcard element CT_ ⁇ j, 1, GNUM (W_n) ⁇ can be expressed as follows.
  • CT_ ⁇ j, 1, GNUM (W_n) ⁇ (CT_ ⁇ j, 1, GNUM (W_n) [1] ⁇ , ..., CT_ ⁇ j, 1, GNUM (W_n) [K] ⁇
  • the encryption tag generation unit 527 calculates the wildcard element CT_ ⁇ j, 1, GNUM (W_n) ⁇ as follows. k is an integer of 1 or more and K or less. First, the encryption tag generation unit 527 links the world card “*” with the number j. The value represented by the obtained bit string is called a concatenated value (* _j). Next, the encrypted tag generation unit 527 receives the value of the tag key TK (i) and the concatenation value (* _j) and executes the function F_2. The obtained value is called function value (* _j ⁇ ).
  • the encryption tag generation unit 527 executes the function F_5 with the function value (* _j ⁇ ) and the generalization numerical value GNUM (W_n) [k] as inputs. The resulting value is called the function value (* _jGNUM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 executes the function F_6 with the function value (* _jGNUM (W_n) [k] ⁇ ) and the random number element CT_ ⁇ 0, GNUM (W_n) ⁇ as inputs. The resulting value is called the function value (* _jGNUM (W_n) [k] ⁇ ).
  • the encryption tag generation unit 527 calculates an exclusive OR of the function value (* _jGNUM (W_n) [k] ⁇ ⁇ ⁇ ) and the tag random number R'_j.
  • the resulting values are the wildcard elements CT_ ⁇ j, 1, GNUM (W_n) [k] ⁇ .
  • the encryption tag CT_ ⁇ GNUM (W_n) ⁇ further has a decision element CT_ ⁇ L + 1, GNUM (W_n) ⁇ .
  • the encryption tag generation unit 527 calculates the determination element CT_ ⁇ L + 1, GNUM (W_n) ⁇ as follows. First, the encrypted tag generation unit 527 calculates an exclusive OR of L random numbers of the tag random number set R ′. The resulting value is called the calculated value (R '+). Then, the encryption tag generation unit 527 receives the operation value (R '+) and executes the function F_7. The obtained value is the determination element CT_ ⁇ L + 1, GNUM (W_n) ⁇ .
  • An example of the function F_7 is a hash function such as SHA-1.
  • CT_GNUM ⁇ CT_ ⁇ GNUM (W_1) ⁇ , ..., CT_ ⁇ GNUM (W_N) ⁇
  • CT_ ⁇ GNUM (W_n) ⁇ (CT_ ⁇ 0, GNUM (W_n) ⁇ , CT_ ⁇ 1, 0, GNUM (W_n) [1] ⁇ , ..., CT_ ⁇ L, 0, GNUM (W_n) [1 ], ..., CT_ ⁇ 1, 0, GNUM (W_n) [K] ⁇ , ..., CT_ ⁇ L, 0, GNUM (W_n) [K] ⁇ , CT_ ⁇ 1, 1, GNUM (W_n) ), [1] ⁇ , ..., CT_ ⁇ L, 1, GNUM (W_n) [1] ⁇ , ..., CT_ ⁇ 1, 1, GNUM (W_n) [K] ⁇ , ..., CT_ ⁇ L, 1, GNUM (W_n) [K] ⁇ , CT_ ⁇ L + 1, GNUM (W_n) ⁇ ) n is an integer of 1 or more and N or less.
  • j), GNUM (W_n) [k]), S ') + R'_j CT_ ⁇ j, 1, GNUM (W_n) [k] ⁇ F_6 (F_5 (F_2 (TK (i), *
  • the registration unit 530 registers, in the data management device 700, a set of the encrypted data C and the encrypted tag group CT_GNUM. Specifically, the registration unit 530 transmits a set of the encrypted data C and the encrypted tag group CT_GNUM to the data management device 700.
  • reception unit 710 receives a set of encrypted data C and encrypted tag group CT_GNUM, and stores the received set in storage unit 791. That is, the reception unit 710 stores the encrypted data C and the encrypted tag group CT_GNUM in the storage unit 791 in association with each other. Then, a set of the encrypted data C and the encrypted tag group CT_GNUM is stored in the storage unit 791.
  • the search operation (S350) will be described based on FIG.
  • the search operation device 600 receives the user key UK (i) and the search range [FROM, TO], and outputs the search result ⁇ M ⁇ .
  • step S351 the receiving unit 610 receives the user key UK (i).
  • Step S351 is the same as step S151 in the first embodiment (see FIG. 18).
  • step S352 the receiving unit 610 receives the search range [FROM, TO].
  • FROM means the lower limit value of the search range.
  • TO means the upper limit value of the search range.
  • [FROM, TO] means a numerical value between "FROM” and "TO”.
  • the receiving unit 610 receives the search range [FROM, TO] input to the search operation device 600 via the input / output interface 604. However, the receiving unit 610 may receive the search range [FROM, TO] from the application program.
  • step S353 the numerical value enumeration unit 623 generates a number set RANGE for the search range [FROM, TO].
  • the number set RANGE is a set including all the numerical values from “FROM” to “TO”.
  • the numerical value enumeration unit 623 enumerates all the numerical values included in [FROM, TO]. Then, the numerical value enumeration unit 623 generalizes the enumerated numerical values.
  • the numerical values listed are integers.
  • the search range is [78, 111]
  • the numerical value enumeration unit 623 lists 34 integers from 78 to 111. Then, the numeric enumeration unit 623 replaces the integer of 80 to 89 with “8?", Replaces the integer of 90 to 99 with “9?", And replaces the integer of 100 to 109 with “10?". As a result, seven generalized numerical values of "78", "79”, “8?", “9?”, "10?", "110” and “111” are obtained.
  • the number set RANGE can be expressed as: Y is an integer of 1 or more.
  • RANGE (RANGE [1], ..., RANGE [Y])
  • RANGE [y] is an integer of 1 or more and Y or less.
  • decimal numbers may be included in the enumerated values. In that case, it is good to predetermine the number of decimal places to be listed.
  • step S354 the search query generation unit 624 generates a search query Q using the tag attribute key data TAK (i) and the number set RANGE.
  • the search query Q has a flag element Qb_j.
  • the search query generation unit 624 calculates the flag element Qb_j as follows. First, the search query generation unit 624 extracts the flag value Tb_j from the tag attribute key data TAK (i). Then, the search query generation unit 624 sets the flag value Tb_j in the flag element Qb_j. That is, the flag element Qb_j is the same as the flag value Tb_j.
  • the search query Q further includes an attribute keyword element Q_j [y].
  • the search query generation unit 624 calculates the attribute keyword element Q_j [y] as follows. First, the search query generation unit 624 extracts the tag attribute key TAK_j from the tag attribute key data TAK (i). Then, the search query generation unit 624 receives the tag attribute key TAK_j and the generalized numerical value RANGE [y] and executes the function F_5. The obtained value is the attribute keyword element Q_j [y].
  • the search query Q can be expressed as follows. y is an integer of 1 or more and Y or less.
  • Q ((Qb_1, Q_1 [1], ..., Q_1 [Y]), ..., (Qb_L, Q_L [1], ..., Q_L [Y]))
  • Qb_j Tb_j
  • Q_j [y] F_5 (TAK_j, RANGE [y])
  • step S 355 the request unit 630 transmits the search query Q to the data management device 700.
  • Step S355 is the same as step S154 in the first embodiment (see FIG. 18).
  • step S356 the request unit 630 receives the search result ⁇ C ⁇ from the data management device 700.
  • the search result ⁇ C ⁇ is a set of encrypted data C that hit the search.
  • Step S356 is the same as step S155 in the first embodiment.
  • step S 357 the decryption unit 640 decrypts the plaintext M from each encrypted data C, using the data attribute key data DAK (i).
  • a set of plaintext M is called a search result ⁇ M ⁇ .
  • Step S357 is the same as step S156 in the first embodiment.
  • step S358 the output unit 650 outputs the search result ⁇ M ⁇ .
  • Step S358 is the same as step S157 in the first embodiment.
  • Data search (S360) will be described based on FIG.
  • the data management device 700 receives the search query Q and transmits the encryption result ⁇ C ⁇ .
  • step S 361 the reception unit 710 receives the search query Q from the search operation device 600.
  • Step S361 is the same as step S161 in the first embodiment (see FIG. 19).
  • the collation unit 724 collates the search query Q with each encrypted tag CT as follows. y is an integer of 1 or more and Y or less. k is an integer of 1 or more and K or less. First, the matching unit 724 calculates the operation value V_1 [y, k]. The calculated value V_1 [y, k] will be described later. Next, collation unit 724 receives function value V_1 [y, k] and executes function F_7. The resulting value is referred to as the matching value V_2 [y, k]. Then, the matching unit 724 compares the matching value V_2 [y, k] with the determination element CT_ ⁇ L + 1 ⁇ . When the matching value V_2 [y, k] matches the determination element CT_ ⁇ L + 1 ⁇ , the encryption tag CT matches the search query Q. That is, the registered numerical value corresponding to the encrypted tag CT is included in the search range.
  • the collation unit 724 calculates the operation value V_1 [y, k] as follows. First, the matching unit 724 extracts the flag element Qb_j from the search query Q. j is an integer of 1 or more and L or less. Next, the collation unit 724 selects the set of attribute elements CTj0 or the set of wildcard elements CTj1 from the encrypted tag CT based on the extracted flag elements Qb_j. Each of the attribute element set CTj0 and the wildcard element set CTj1 is expressed as follows.
  • CTj0 (CT_ ⁇ j, 0, [1] ⁇ ,..., CT_ ⁇ j, 0, [K] ⁇ )
  • CTj1 (CT_ ⁇ j, 1, [1] ⁇ , CT_ ⁇ j, 1, [K] ⁇ )
  • the matching unit 724 selects the attribute element set CTj0 or the wildcard element set CTj1 as follows. If the flag element Qb_j is “0”, the matching unit 724 selects the set of attribute elements CRj0. If the flag element Qb_j is “1”, the matching unit 724 selects the wildcard element set CRj1. The set to be selected is called a selection element CTj. Next, the matching unit 724 extracts the attribute keyword element Q_j from the search query Q.
  • V_1 [y, k] (F_6 (Q_1 [y], CT_ ⁇ 0 ⁇ ) + CT_ ⁇ 1, Qb_1, [k] ⁇ ) +... + (F_6 (Q_L [y], CT_ ⁇ 0 ⁇ ) + CT_ ⁇ L, Qb_L, [k] ⁇ )
  • V_2 [y, k] F_7 (V_1 [y, k])
  • the encrypted tag CT selected in step S362, that is, the encrypted tag CT matching the search query Q is referred to as a corresponding encrypted tag CT.
  • step S363 the extraction unit 722 extracts the encrypted data C corresponding to the corresponding encrypted tag CT.
  • the encrypted data C to be extracted is referred to as the corresponding encrypted data C.
  • Step S363 is the same as step S163 in the first embodiment. (See Figure 19).
  • step S364 the output unit 730 transmits the encryption result ⁇ C ⁇ to the search operation device 600.
  • the cryptographic result ⁇ C ⁇ is a set of corresponding encrypted data C.
  • Step S364 is the same as step S164 in the first embodiment (see FIG. 19).
  • Data deletion (S170) is as described in the first embodiment (see FIG. 20).
  • the data management device 700 deletes the pair of the encrypted data C and the encrypted tag CT_W corresponding to the deleted file name.
  • multiuser confidential search corresponding to perfect match search can be performed.
  • multi-user concealment search corresponding to partial match search is possible.
  • multi-user confidential search corresponding to range search can be performed.
  • the master key device 200 comprises a processing circuit 209.
  • the processing circuit 209 is hardware that implements the reception unit 210, the generation unit 220, the output unit 230, and the storage unit 291.
  • the processing circuit 209 may be dedicated hardware or may be a processor 201 that executes a program stored in the memory 202.
  • the processing circuit 209 is dedicated hardware, the processing circuit 209 is, for example, a single circuit, a complex circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof.
  • ASIC is an abbreviation for Application Specific Integrated Circuit
  • FPGA is an abbreviation for Field Programmable Gate Array.
  • the master key device 200 may include a plurality of processing circuits that replace the processing circuit 209. The plurality of processing circuits share the role of the processing circuit 209.
  • the master key device 200 some functions may be realized by dedicated hardware, and the remaining functions may be realized by software or firmware.
  • the processing circuit 209 can be realized in hardware, software, firmware, or a combination thereof.
  • the hardware configuration of the registration key apparatus 300 will be described based on FIG.
  • the registration key device 300 comprises a processing circuit 309.
  • the processing circuit 309 is hardware that implements the reception unit 310, the generation unit 320, the output unit 330, and the storage unit 391.
  • the processing circuit 309 may be dedicated hardware or may be a processor 301 that executes a program stored in the memory 302.
  • processing circuit 309 may be, for example, a single circuit, a complex circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof.
  • the registration key device 300 may include a plurality of processing circuits that replace the processing circuit 309. The plurality of processing circuits share the role of the processing circuit 309.
  • registration key device 300 some functions may be realized by dedicated hardware, and the remaining functions may be realized by software or firmware.
  • the processing circuit 309 can be realized in hardware, software, firmware or a combination thereof.
  • the hardware configuration of the user key device 400 will be described based on FIG.
  • the user key device 400 comprises a processing circuit 409.
  • the processing circuit 409 is hardware that implements the reception unit 410, the generation unit 420, the output unit 430, and the storage unit 491.
  • the processing circuit 409 may be dedicated hardware or may be a processor 401 that executes a program stored in the memory 402.
  • the processing circuit 409 is dedicated hardware, the processing circuit 409 is, for example, a single circuit, a complex circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof.
  • the user key device 400 may include a plurality of processing circuits that replace the processing circuit 409. The plurality of processing circuits share the role of the processing circuit 409.
  • the processing circuit 409 can be realized in hardware, software, firmware, or a combination thereof.
  • the hardware configuration of the registration device 500 will be described based on FIG.
  • the registration device 500 comprises a processing circuit 509.
  • the processing circuit 509 is hardware that implements the reception unit 510, the generation unit 520, the registration unit 530, and the storage unit 591.
  • the processing circuit 509 may be dedicated hardware or a processor 501 that executes a program stored in the memory 502.
  • registration device 500 some functions may be realized by dedicated hardware, and the remaining functions may be realized by software or firmware.
  • the processing circuit 509 can be realized by hardware, software, firmware or a combination thereof.
  • the hardware configuration of the search operation device 600 will be described based on FIG.
  • the search operation device 600 includes a processing circuit 609.
  • the processing circuit 609 is hardware that implements the reception unit 610, the generation unit 620, the request unit 630, the decoding unit 640, the output unit 650, and the storage unit 691.
  • the processing circuit 609 may be dedicated hardware or may be a processor 601 that executes a program stored in the memory 602.
  • the processing circuit 609 is dedicated hardware, then the processing circuit 609 is, for example, a single circuit, a complex circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof.
  • the search operation device 600 may include a plurality of processing circuits that replace the processing circuit 609. The plurality of processing circuits share the role of the processing circuit 609.
  • search operation device 600 some functions may be realized by dedicated hardware, and the remaining functions may be realized by software or firmware.
  • processing circuit 609 can be implemented in hardware, software, firmware, or a combination thereof.
  • the hardware configuration of the data management device 700 will be described based on FIG.
  • the data management device 700 includes a processing circuit 709.
  • the processing circuit 709 is hardware that implements the reception unit 710, the search unit 720, the output unit 730, and the storage unit 791.
  • the processing circuit 709 may be dedicated hardware or a processor 701 that executes a program stored in the memory 702.
  • the processing circuit 709 is dedicated hardware, the processing circuit 709 is, for example, a single circuit, a complex circuit, a programmed processor, a parallel programmed processor, an ASIC, an FPGA, or a combination thereof.
  • the data management device 700 may include a plurality of processing circuits that replace the processing circuit 709. The plurality of processing circuits share the role of the processing circuit 709.
  • the processing circuit 709 can be realized by hardware, software, firmware or a combination thereof.
  • the embodiments are exemplifications of preferred embodiments, and are not intended to limit the technical scope of the present invention.
  • the embodiment may be partially implemented or may be implemented in combination with other embodiments.
  • the procedure described using the flowchart and the like may be changed as appropriate.
  • Reference Signs List 100 secret search system 101 network 200 master key device 201 processor 202 memory 203 auxiliary storage device 204 input / output interface 205 communication device 209 processing circuit 210 reception unit 220 generation unit 230 output unit 291 Storage unit, 300 registration key device, 301 processor, 302 memory, 303 auxiliary storage device, 304 input / output interface, 305 communication device, 309 processing circuit, 310 reception unit, 320 generation unit, 330 output unit, 391 storage unit, 400 user Key device, 401 processor, 402 memory, 403 auxiliary storage device, 404 input / output interface, 405 communication device, 409 processing circuit, 410 reception unit, 420 generation unit, 422 attribute key generation , 430 output unit, 491 storage unit, 500 registration device, 501 processor, 502 memory, 503 auxiliary storage device, 504 input / output interface, 505 communication device, 509 processing circuit, 510 reception unit, 520 generation unit, 521 random number generation unit, 522 encrypted data generation unit, 523 keyword acquisition unit, 524 encrypted tag generation unit

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

登録装置(500)は、利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rを生成する。また、登録装置は、平文Mと属性情報Bとを受け付ける。登録装置は、前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する。そして、登録装置は、前記暗号化データCをデータ管理装置(700)に登録する。

Description

登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
 本発明は、秘匿検索技術に関するものである。
 秘匿検索とは、暗号化データを暗号化したまま検索する技術である。
 つまり、秘匿検索は、暗号化データを復号せずに検索する技術である。
 近年、秘匿検索は、クラウドサービスにおいてサーバ管理者による盗聴から機密情報を守るためのセキュリティ技術として注目されている。つまり、秘匿検索は、インターネットにおいてデータを管理する際のセキュリティ技術として注目されている。
 秘匿検索における処理として、登録者と検索者とデータセンタ装置とのそれぞれの処理を説明する。
 登録者は暗号化データを登録するユーザであり、検索者は暗号化データを検索するユーザである。
 登録者による処理の基本的な流れは以下の通りである。
 まず、登録者は、データを暗号化して暗号化データを生成する。
 次に、登録者は、暗号化データを検索するためのキーワードを暗号化する。暗号化されたキーワードを暗号化タグという。暗号化タグからキーワードが漏洩することはない。
 次に、登録者は、暗号化タグを暗号化データに関連付ける。暗号化タグの数は1つである必要はなく、複数の暗号化タグを暗号化データに関連付けることができる。
 そして、登録者は、暗号化データと暗号化タグとをデータセンタ装置に登録する。
 検索者による処理の基本的な流れは以下の通りである。
 まず、検索者は、検索したいキーワードを選ぶ。
 次に、検索者は、自身の秘密鍵を用いてキーワードをランダム化する。ランダム化されたキーワードを検索クエリという。検索クエリから秘密鍵を類推することは困難である。
 次に、検索者は、検索クエリをデータセンタ装置に送信することによって、データセンタ装置に検索を要求する。
 そして、検索者は、検索クエリに対応する暗号化データをデータセンタ装置から受け取る。
 データセンタ装置による処理の基本的な流れは以下の通りである。
 データセンタ装置には、暗号化データと暗号化タグとの組が複数登録されている。
 まず、データセンタ装置は、検索クエリを受け取る。
 次に、データセンタ装置は、特殊な演算によって、検索クエリに対応する暗号化タグを選択する。特殊な演算において、暗号化タグを復号せずに、検索クエリのキーワードを各暗号化タグのキーワードと比較することができる。
 そして、データセンタ装置は、選択した暗号化タグに関連付けられた暗号化データを送信する。
 秘匿検索には、共通鍵方式と公開鍵方式との2種類が存在する。
 共通鍵方式では、共通暗号鍵技術が利用され、登録者および検索者が限定される。
 公開鍵方式では、公開鍵暗号技術が利用され、検索者は限定されるが登録者は限定されない。
 共通鍵方式において、通常、登録者と検索者とが互いに同じ秘密情報を共有する。
 非特許文献1は、秘密情報の共有コストと秘密情報の漏洩時の影響度とを下げるため、登録者と検索者とが同じ秘密情報を共有しない共通鍵方式を開示している。
 さらに、非特許文献1は、マルチユーザ型共有鍵方式を開示している。
 マルチユーザ型共有鍵方式では、検索が許可されるユーザと検索が許可されないユーザとを設定することができる。つまり、マルチユーザ型共有鍵方式では、互いに異なる秘密情報を持っている複数のユーザが同じキーワードで検索した場合にあるユーザの検索ではヒットするが別のユーザの検索ではヒットしない暗号化データを生成することが可能である。
特許第6038427号公報 国際公開第2011/086687号
R.A.Popa,N.Zeldovich、"Multi-Key Searchable Encryption"、IACR Cryptology ePrint Archive:Report 2013/508. S.Patranabis,D.Mukhopadhyay、"Lightweight Symmetric-Key Hidden Vector Encryption without Pairings"、IACR Cryptology ePrint Archive:Report 2017/796. MENEZES,A.J.,VAN OORSCHOT,P.C. and VANSTONE,S.A.,HANDBOOK of APPLIED CRYPTOGRAPHY,CRC Press,1997,p.234,235
 非特許文献1は、よく知られたマルチユーザ化を行うと検索クエリのサイズが大きくなることに注目し、代理人再暗号化技術を用いて検索クエリのサイズを抑える方式を開示している。
 代理人再暗号化技術は、あるユーザの暗号化データを復号することなく、あるユーザの暗号化データを別のユーザが復号できる暗号化データに変換する技術である。
 しかし、代理人再暗号化技術が公開鍵暗号技術を利用するため、非特許文献1の方式には検索速度の課題がある。
 非特許文献1の方式では、完全一致検索はできるが部分一致検索ができない。つまり、検索時のキーワードが登録時のキーワードと完全に一致しているかどうかを判定することはできるが、検索時のキーワードが登録時のキーワードの中に部分文字列として含まれているかを判定することはできない。
 さらに、非特許文献1の方式では、範囲検索もできない。つまり、登録時のキーワードが数値であり、検索時のキーワードが数値の区間である場合、登録時の数値が検索時の数値の区間に入っているかどうかを判定することはできない。
 特許文献1には、部分一致対応の秘匿検索方式が開示されている。この方式では、検索時のキーワードが登録時のキーワードの中に部分文字列として含まれているかを暗号化したまま判定することができる。
 しかし、この方式はマルチユーザに対応していないため、この方式をマルチユーザ型共通鍵方式に拡張することは困難である。
 非特許文献2は、秘匿検索技術ではないが、アクセス制御機能付き暗号化方式を開示している。
 本方式により、各ユーザの属性情報に基づいて、あるユーザは復号できるが別のユーザは復号できない暗号化データを生成することができる。
 本方式では、共通鍵暗号技術が利用される。そのため、登録者および検索者が限定されるが、本方式の効率は良い。
 しかし、本方式をマルチユーザ型共通鍵方式に拡張することは困難である。
 本発明は、マルチユーザ型の共通鍵暗号方式で秘匿検索を可能とすることを目的とする。
 本発明の登録装置は、
 利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rを生成する乱数生成部と、
 平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
 前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する暗号化データ生成部と、
 前記暗号化データCをデータ管理装置に登録する登録部とを備える。
 本発明によれば、関数を多重に用いて生成される暗号化データCが登録される。これにより、マルチユーザ型の共通鍵暗号方式で秘匿検索が可能となる。
実施の形態1における秘匿検索システム100の構成図。 実施の形態1におけるマスター鍵装置200の構成図。 実施の形態1における登録鍵装置300の構成図。 実施の形態1におけるユーザ鍵装置400の構成図。 実施の形態1における生成部420の構成図。 実施の形態1における登録装置500の構成図。 実施の形態1における生成部520の構成図。 実施の形態1における検索操作装置600の構成図。 実施の形態1における生成部620の構成図。 実施の形態1におけるデータ管理装置700の構成図。 実施の形態1における検索部720の構成図。 実施の形態1におけるマスター鍵生成(S110)のフローチャート。 実施の形態1における登録鍵生成(S120)のフローチャート。 実施の形態1におけるユーザ鍵生成(S130)のフローチャート。 実施の形態1における属性情報の一例を示す図。 実施の形態1におけるデータ登録(S140)のフローチャート。 実施の形態1における登録データベース792を示す図。 実施の形態1における検索操作(S150)のフローチャート。 実施の形態1におけるデータ検索(S160)のフローチャート。 実施の形態1におけるデータ削除(S170)のフローチャート。 実施の形態2における生成部520の構成図。 実施の形態2における検索部720の構成図。 実施の形態2におけるデータ登録(S240)のフローチャート。 実施の形態2におけるデータ検索(S260)のフローチャート。 実施の形態3における生成部520の構成図。 実施の形態3における生成部620の構成図。 実施の形態3における検索部720の構成図。 実施の形態3におけるデータ登録(S340)のフローチャート。 実施の形態3における検索操作(S350)のフローチャート。 実施の形態3におけるデータ検索(S360)のフローチャート。 実施の形態におけるマスター鍵装置200のハードウェア構成図。 実施の形態における登録鍵装置300のハードウェア構成図。 実施の形態におけるユーザ鍵装置400のハードウェア構成図。 実施の形態における登録装置500のハードウェア構成図。 実施の形態における検索操作装置600のハードウェア構成図。 実施の形態におけるデータ管理装置700ハードウェア構成図。
 実施の形態および図面において、同じ要素および対応する要素には同じ符号を付している。同じ符号が付された要素の説明は適宜に省略または簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。
 実施の形態1.
 マルチユーザ型の共通鍵暗号方式で秘匿検索を行う形態について、図1から図20に基づいて説明する。
***構成の説明***
 図1に基づいて、秘匿検索システム100の構成を説明する。
 秘匿検索システム100は、マスター鍵装置200と登録鍵装置300とユーザ鍵装置400と登録装置500と検索操作装置600とデータ管理装置700とを備える。
 秘匿検索システム100の各装置は、ネットワーク101を介して互いに通信を行う。
 図2に基づいて、マスター鍵装置200の構成を説明する。
 マスター鍵装置200は、プロセッサ201とメモリ202と補助記憶装置203と入出力インタフェース204と通信装置205といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ201は、演算処理を行うIC(Integrated Circuit)であり、他のハードウェアを制御する。例えば、プロセッサ901は、CPU(Central Processing Unit)、DSP(Digital Signal Processor)、またはGPU(Graphics Processing Unit)である。
 メモリ202は揮発性の記憶装置である。メモリ202は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ202はRAM(Random Access Memory)である。メモリ202に記憶されたデータは必要に応じて補助記憶装置203に保存される。
 補助記憶装置203は不揮発性の記憶装置である。例えば、補助記憶装置203は、ROM(Read Only Memory)、HDD(Hard Disk Drive)、またはフラッシュメモリである。補助記憶装置203に記憶されたデータは必要に応じてメモリ202にロードされる。
 入出力インタフェース204は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース204はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。USBはUniversal Serial Busの略称である。
 通信装置205はレシーバ及びトランスミッタである。例えば、通信装置205は通信チップまたはNIC(Network Interface Card)である。
 マスター鍵装置200は、受付部210と生成部220と出力部230といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置203には、受付部210と生成部220と出力部230と記憶部291としてコンピュータを機能させるためのマスター鍵プログラムが記憶されている。マスター鍵プログラムは、メモリ202にロードされて、プロセッサ201によって実行される。
 さらに、補助記憶装置203にはOS(Operating System)が記憶されている。OSの少なくとも一部は、メモリ202にロードされて、プロセッサ201によって実行される。
 つまり、プロセッサ201は、OSを実行しながら、マスター鍵プログラムを実行する。
 マスター鍵プログラムを実行して得られるデータは、メモリ202、補助記憶装置203、プロセッサ201内のレジスタまたはプロセッサ201内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置203は記憶部291として機能する。但し、他の記憶装置が、補助記憶装置203の代わりに、又は、補助記憶装置203と共に、記憶部291として機能してもよい。
 マスター鍵装置200は、プロセッサ201を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ201の役割を分担する。
 マスター鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
 図3に基づいて、登録鍵装置300の構成を説明する。
 登録鍵装置300は、受付部310と生成部320と出力部330といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ301は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ301はCPU、DSPまたはGPUである。
 メモリ302は揮発性の記憶装置である。メモリ302は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ302はRAMである。メモリ302に記憶されたデータは必要に応じて補助記憶装置303に保存される。
 補助記憶装置303は不揮発性の記憶装置である。例えば、補助記憶装置303は、ROM、HDDまたはフラッシュメモリである。補助記憶装置303に記憶されたデータは必要に応じてメモリ302にロードされる。
 入出力インタフェース304は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース304はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
 通信装置305はレシーバ及びトランスミッタである。例えば、通信装置305は通信チップまたはNICである。
 登録鍵装置300は、受付部310と生成部320と出力部330といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置303には、受付部310と生成部320と出力部330と記憶部391としてコンピュータを機能させるための登録鍵プログラムが記憶されている。登録鍵プログラムは、メモリ302にロードされて、プロセッサ301によって実行される。
 さらに、補助記憶装置303にはOSが記憶されている。OSの少なくとも一部は、メモリ302にロードされて、プロセッサ301によって実行される。
 つまり、プロセッサ301は、OSを実行しながら、登録鍵プログラムを実行する。
 登録鍵プログラムを実行して得られるデータは、メモリ302、補助記憶装置303、プロセッサ301内のレジスタまたはプロセッサ301内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置303は記憶部391として機能する。但し、他の記憶装置が、補助記憶装置303の代わりに、又は、補助記憶装置303と共に、記憶部391として機能してもよい。
 登録鍵装置300は、プロセッサ301を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ301の役割を分担する。
 登録鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
 図4に基づいて、ユーザ鍵装置400の構成を説明する。
 ユーザ鍵装置400は、プロセッサ401とメモリ402と補助記憶装置403と入出力インタフェース404と通信装置405といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ401は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ401はCPU、DSPまたはGPUである。
 メモリ402は揮発性の記憶装置である。メモリ402は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ402はRAMである。メモリ402に記憶されたデータは必要に応じて補助記憶装置403に保存される。
 補助記憶装置403は不揮発性の記憶装置である。例えば、補助記憶装置403は、ROM、HDDまたはフラッシュメモリである。補助記憶装置403に記憶されたデータは必要に応じてメモリ402にロードされる。
 入出力インタフェース404は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース404はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
 通信装置405はレシーバ及びトランスミッタである。例えば、通信装置405は通信チップまたはNICである。
 ユーザ鍵装置400は、受付部410と生成部420と出力部430といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置403には、受付部410と生成部420と出力部430と記憶部491としてコンピュータを機能させるためのユーザ鍵プログラムが記憶されている。ユーザ鍵プログラムは、メモリ402にロードされて、プロセッサ401によって実行される。
 さらに、補助記憶装置403にはOSが記憶されている。OSの少なくとも一部は、メモリ402にロードされて、プロセッサ401によって実行される。
 つまり、プロセッサ401は、OSを実行しながら、ユーザ鍵プログラムを実行する。
 ユーザ鍵プログラムを実行して得られるデータは、メモリ402、補助記憶装置403、プロセッサ401内のレジスタまたはプロセッサ401内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置403は記憶部491として機能する。但し、他の記憶装置が、補助記憶装置403の代わりに、又は、補助記憶装置403と共に、記憶部491として機能してもよい。
 ユーザ鍵装置400は、プロセッサ401を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ401の役割を分担する。
 ユーザ鍵プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
 図5に基づいて、生成部420の構成を説明する。
 生成部420は、属性鍵生成部422とを備える。
 図6に基づいて、登録装置500の構成を説明する。
 登録装置500は、プロセッサ501とメモリ502と補助記憶装置503と入出力インタフェース504と通信装置505といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ501は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ501は、CPU、DSPまたはGPUである。
 メモリ502は揮発性の記憶装置である。メモリ502は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ502はRAMである。メモリ502に記憶されたデータは必要に応じて補助記憶装置503に保存される。
 補助記憶装置503は不揮発性の記憶装置である。例えば、補助記憶装置503は、ROM、HDDまたはフラッシュメモリである。補助記憶装置503に記憶されたデータは必要に応じてメモリ502にロードされる。
 入出力インタフェース504は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース504はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
 通信装置505はレシーバ及びトランスミッタである。例えば、通信装置505は通信チップまたはNICである。
 登録装置500は、受付部510と生成部520と登録部530といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置503には、受付部510と生成部520と登録部530と記憶部591としてコンピュータを機能させるための登録プログラムが記憶されている。登録プログラムは、メモリ502にロードされて、プロセッサ501によって実行される。
 さらに、補助記憶装置503にはOSが記憶されている。OSの少なくとも一部は、メモリ502にロードされて、プロセッサ501によって実行される。
 つまり、プロセッサ501は、OSを実行しながら、登録プログラムを実行する。
 登録プログラムを実行して得られるデータは、メモリ502、補助記憶装置503、プロセッサ501内のレジスタまたはプロセッサ501内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置503は記憶部591として機能する。但し、他の記憶装置が、補助記憶装置503の代わりに、又は、補助記憶装置503と共に、記憶部591として機能してもよい。
 登録装置500は、プロセッサ501を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ501の役割を分担する。
 登録プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
 図7に基づいて、生成部520の構成を説明する。
 生成部520は、乱数生成部521と暗号化データ生成部522とキーワード取得部523と暗号化タグ生成部524とを備える。
 図8に基づいて、検索操作装置600の構成を説明する。
 検索操作装置600は、プロセッサ601とメモリ602と補助記憶装置603と入出力インタフェース604と通信装置605といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ601は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ601はCPU、DSPまたはGPUである。
 メモリ602は揮発性の記憶装置である。メモリ602は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ602はRAMである。メモリ602に記憶されたデータは必要に応じて補助記憶装置603に保存される。
 補助記憶装置603は不揮発性の記憶装置である。例えば、補助記憶装置603は、ROM、HDDまたはフラッシュメモリである。補助記憶装置603に記憶されたデータは必要に応じてメモリ602にロードされる。
 入出力インタフェース604は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース604はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
 通信装置605はレシーバ及びトランスミッタである。例えば、通信装置605は通信チップまたはNICである。
 検索操作装置600は、受付部610と生成部620と要求部630と復号部640と出力部650といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置603には、受付部610と生成部620と要求部630と復号部640と出力部650と記憶部691としてコンピュータを機能させるための検索操作プログラムが記憶されている。検索操作プログラムは、メモリ602にロードされて、プロセッサ601によって実行される。
 さらに、補助記憶装置603にはOSが記憶されている。OSの少なくとも一部は、メモリ602にロードされて、プロセッサ601によって実行される。
 つまり、プロセッサ601は、OSを実行しながら、検索操作プログラムを実行する。
 検索操作プログラムを実行して得られるデータは、メモリ602、補助記憶装置603、プロセッサ601内のレジスタまたはプロセッサ601内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置603は記憶部691として機能する。但し、他の記憶装置が、補助記憶装置603の代わりに、又は、補助記憶装置603と共に、記憶部691として機能してもよい。
 検索操作装置600は、プロセッサ601を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ601の役割を分担する。
 検索操作プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
 図9に基づいて、生成部620の構成を説明する。
 生成部620は、検索クエリ生成部622を備える。
 図10に基づいて、データ管理装置700の構成を説明する。
 データ管理装置700は、プロセッサ701とメモリ702と補助記憶装置703と入出力インタフェース704と通信装置705といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。
 プロセッサ701は、演算処理を行うICであり、他のハードウェアを制御する。例えば、プロセッサ901は、CPU、DSPまたはGPUである。
 メモリ702は揮発性の記憶装置である。メモリ702は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ702はRAMである。メモリ702に記憶されたデータは必要に応じて補助記憶装置703に保存される。
 補助記憶装置703は不揮発性の記憶装置である。例えば、補助記憶装置703は、ROM、HDDまたはフラッシュメモリである。補助記憶装置703に記憶されたデータは必要に応じてメモリ702にロードされる。
 入出力インタフェース704は入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース704はUSB端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。
 通信装置705はレシーバ及びトランスミッタである。例えば、通信装置705は通信チップまたはNICである。
 データ管理装置700は、受付部710と照合部721と出力部730といった要素を備える。これらの要素はソフトウェアで実現される。
 補助記憶装置703には、受付部710と照合部721と出力部730と記憶部791としてコンピュータを機能させるためのデータ管理プログラムが記憶されている。データ管理プログラムは、メモリ702にロードされて、プロセッサ701によって実行される。
 さらに、補助記憶装置703にはOSが記憶されている。OSの少なくとも一部は、メモリ702にロードされて、プロセッサ701によって実行される。
 つまり、プロセッサ701は、OSを実行しながら、データ管理プログラムを実行する。
 データ管理プログラムを実行して得られるデータは、メモリ702、補助記憶装置703、プロセッサ701内のレジスタまたはプロセッサ701内のキャッシュメモリといった記憶装置に記憶される。
 補助記憶装置703は記憶部791として機能する。但し、他の記憶装置が、補助記憶装置703の代わりに、又は、補助記憶装置703と共に、記憶部791として機能してもよい。
 データ管理装置700は、プロセッサ701を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ701の役割を分担する。
 データ管理プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータで読み取り可能に記録(格納)することができる。
***動作の説明***
 秘匿検索システム100の動作は秘匿検索方法に相当する。
 秘匿検索方法として、秘匿検索システム100の各装置の処理を説明する。
 図12に基づいて、マスター鍵生成(S110)を説明する。
 マスター鍵生成(S110)は、マスター鍵装置200によって実行される処理である。
 ステップS111において、受付部210は、鍵長BIT(i)と世代番号iとを受け付ける。
 具体的には、受付部210は、マスター鍵装置200に入力された鍵長BIT(i)と世代番号iとを入出力インタフェース204を介して受け付ける。但し、受付部210は、鍵長BIT(i)と世代番号iとをアプリケーションプログラムから受け付けてもよい。
 鍵長BIT(i)は、マスター鍵MK(i)のビット長さである。
 世代番号iは、マスター鍵MK(i)の世代番号であり、過去の世代番号とは重複していない。
 例えば、世代番号iは、通し番号または日時である。
 マスター鍵MK(i)は、世代番号iのマスター鍵MKである。
 ステップS112において、生成部220は、マスター鍵MK(i)を生成する。
 具体的には、生成部220は、鍵長BIT(i)と同じ長さを有するランダムなビット列を生成する。生成されるビット列がマスター鍵MK(i)である。
 例えば、鍵長BIT(i)が256ビットである場合、生成部220は、256ビットのランダムなビット列を生成する。これにより、256ビットのマスター鍵MK(i)が得られる。
 ステップS113において、生成部220は、マスター鍵データMSK(i)を記憶部291に記憶する。そして、マスター鍵データMSK(i)が記憶部291に保管される。
 マスター鍵データMSK(i)は、マスター鍵MK(i)と世代番号iとの組であり、世代番号iのマスター鍵データMSKと呼ばれる。
 マスター鍵データMSK(i)は次のように表すことができる。
 MSK(i)=(i,MK(i))
 ステップS114において、出力部230はマスター鍵データMSK(i)を出力する。
 例えば、出力部230は、通信装置205を用いて、マスター鍵データMSK(i)を登録鍵装置300へ送信する。
 図13に基づいて、登録鍵生成(S120)を説明する。
 登録鍵生成(S120)は、登録鍵装置300によって実行される処理である。
 ステップS121において、受付部310は、マスター鍵データMSK(i)を受け付ける。
 例えば、受付部310は、通信装置305を用いて、マスター鍵装置200からマスター鍵データMSK(i)を受信する。但し、受付部310は、登録鍵装置300に入力されたマスター鍵データMSK(i)を入出力インタフェース304を介して受け付けてもよい。
 ステップS122において、生成部320は、マスター鍵データMSK(i)に含まれるマスター鍵MK(i)を用いて、データ鍵DK(i)とタグ鍵TK(i)とを生成する。
 具体的には、生成部320は、マスター鍵MK(i)を入力として関数F_1を実行することによって、2つの乱数を生成する。各乱数はランダムなビット列である。
 関数F_1の一例は擬似ランダム関数である。疑似ランダム関数は、暗号学的な関数であり、鍵が決まると入力値に応じて確定的に乱数を返す。また、SHA-1のような暗号学的なハッシュ関数またはAESのような共通鍵暗号方式の関数が関数F_1として用いられてもよい。
 一方の乱数がデータ鍵DK(i)である。データ鍵DK(i)は次のように表すことができる。
 DK(i) = F_1(MK(i),1)
 他方の乱数がタグ鍵TK(i)である。タグ鍵TK(i)は次のように表すことができる。
 TK(i) = F_1(MK(i),2)
 ステップS123において、生成部320は、登録鍵EK(i)を記憶部391に記憶する。そして、登録鍵EK(i)が記憶部391に保管される。
 登録鍵EK(i)は、世代番号iとデータ鍵DK(i)とタグ鍵TK(i)との組であり、世代番号iの登録鍵EKと呼ばれる。
 登録鍵EK(i)は次のように表すことができる。
 EK(i) = (i,DK(i),TK(i))
 ステップS124において、出力部330は登録鍵EK(i)を出力する。
 例えば、出力部330は、通信装置305を用いて、登録鍵EK(i)をユーザ鍵装置400と登録装置500とのそれぞれに送信する。
 図14に基づいて、ユーザ鍵生成(S130)を説明する。
 ユーザ鍵生成(S130)は、ユーザ鍵装置400によって実行される処理である。
 ステップS131において、受付部410は登録鍵EK(i)を受け付ける。
 例えば、受付部410は、通信装置405を用いて、登録鍵装置300から登録鍵EK(i)を受信する。但し、受付部410は、ユーザ鍵装置400に入力された登録鍵EK(i)を入出力インタフェース404を介して受け付けてもよい。
 さらに、受付部410は、登録鍵EK(i)を記憶部491に記憶する。そして、登録鍵EK(i)は記憶部491に保管される。
 登録鍵EK(i)が記憶部491に既に保管されている場合、ステップS131は不要である。
 登録鍵EK(i)は、世代番号iとデータ鍵DK(i)とタグ鍵TK(i)とを含んでいる。
 ステップS132において、受付部410は属性情報Aを受け付ける。
 具体的には、受付部410は、ユーザ鍵装置400に入力された属性情報Aを入出力インタフェース404を介して受け付ける。但し、受付部410は、属性情報Aをアプリケーションプログラムから受け付けてもよい。
 属性情報Aは、検索者の属性情報である。また、属性情報Aは、検索および復号の権限制御に関わる。
 検索者は、検索する利用者である。つまり、検索者は、検索操作装置600の利用者である。
 利用者の属性は階層を成す。
 属性情報は、利用者の各層の属性値を示す。つまり、属性情報Aは、検索者の各層の属性値を示す。
 図15に基づいて、属性情報の例を説明する。
 利用者の属性は階層を成す。図15において、利用者の属性は4階層を成している。
 第1層の属性(第1属性)は事業部を示す。
 第2層の属性(第2属性)は部を示す。
 第3層の属性(第3属性)は課を示す。
 第4層の属性(第4属性)は氏名を示す。
 第1の属性情報は、Neさんの属性情報である。Neさんは、Di事業部のDe部のSc課に所属する。
 第2の属性情報は、Nfさんの属性情報である。Nfさんは、Di事業部のDe部のSd課に所属する。
 第3の属性情報は、Sc課員の属性情報である。Sc課員は、Di事業部のDe部のSc課に所属する。第4属性がワイルドカード「*」であるため、氏名は限定されない。
 第4の属性情報は、De部員の属性情報である。De部員は、Di事業部のDe部に所属する。第3属性および第4属性がワイルドカード「*」であるため、課および氏名は限定されない。
 実施の形態1において、利用者の属性はL層を成し、属性情報はL個の属性値を有する。Lは2以上の整数である。
 属性情報Aは次のように表すことができる。
 A = (A_1,・・・,A_L)
 図14に戻り、ステップS133から説明を続ける。
 ステップS133において、属性鍵生成部422は、データ鍵DK(i)と属性情報Aとを用いて、データ属性鍵データDAK(i)を生成する。データ属性鍵データDAK(i)は、世代番号iのデータ属性鍵データDAKである。
 データ属性鍵データDAK(i)は、データ属性鍵DAK_jとフラグ値Db_jとを有する。jは1以上L以下の整数である。
 属性鍵生成部422は、データ属性鍵DAK_jを以下のように算出する。
 まず、属性鍵生成部422は、属性値A_jと番号jとを連結する。得られるビット列が表す値を連結値(A_j)と呼ぶ。
 次に、属性鍵生成部422は、データ鍵DK(i)と連結値(A_j)とを入力として関数F_2を実行する。得られる値がデータ属性鍵DAK_jである。
 関数F_2は、関数F_1と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。
 属性鍵生成部422は、フラグ値Db_jを以下のように算出する。
 属性鍵生成部422は、属性値A_jがワイルドカード「*」であるか判定する。
 属性値A_jがワイルドカード「*」である場合、フラグ値Db_jは1である。
 属性値A_jがワイルドカード「*」でない場合、フラグ値Db_jは0である。
 データ属性鍵データDAK(i)は次のように表すことができる。
 DAK(i) = ((Db_1,DAK_1),・・・,(Db_L,DAK_L))
 A_j=*である場合、Db_j = 1
 A_j≠*である場合、Db_j = 0
 DAK_j = F_2(DK(i),A_j||j)
 但し、「x||y」はデータxとデータyとの連結を意味する。
 さらに、属性鍵生成部422は、タグ鍵TK(i)と属性情報Aとを用いて、タグ属性鍵データTAK(i)を生成する。タグ属性鍵データTAK(i)は、世代番号iのタグ属性鍵データTAKである。
 タグ属性鍵データTAK(i)は、タグ属性鍵TAK_jとフラグ値Tb_jとを有する。
 属性鍵生成部422は、タグ属性鍵TAK_jを以下のように算出する。
 まず、属性鍵生成部422は、属性値A_jと番号jとを連結する。得られるビット列が表す値を連結値(A_j)と呼ぶ。
 次に、属性鍵生成部422は、タグ鍵TK(i)と連結値(A_j)とを入力として関数F_2を実行する。得られる値がタグ属性鍵TAK_jである。
 フラグ値Tb_jは、属性値A_jがワイルドカード「*」であるか否かを示す。
 属性値A_jがワイルドカード「*」である場合、フラグ値Tb_jは1である。
 属性値A_jがワイルドカード「*」でない場合、フラグ値Tb_jは0である。
 タグ属性鍵データTAK(i)は次のように表すことができる。
 TAK(i) = ((Tb_1,TAK_1),・・・,(Tb_L,TAK_L))
 A_j=*である場合、Tb_j = 1
 A_j≠*である場合、Tb_j = 0
 TAK_j = F_2(TK(i),A_j||j)
 ステップS134において、生成部420は、ユーザ鍵UK(i)を記憶部491に記憶する。そして、ユーザ鍵UK(i)が記憶部491に保管される。
 ユーザ鍵UK(i)は、世代番号iとデータ属性鍵データDAK(i)とタグ属性鍵データTAK(i)との組である。
 ユーザ鍵UK(i)は、属性情報Aに対する世代番号iのユーザ鍵UKである。
 ユーザ鍵UK(i)は次のように表すことができる。
 UK(i)=(i,DAK(i),TAK(i))
 ステップS135において、出力部430はユーザ鍵UK(i)を出力する。
 例えば、出力部430は、通信装置405を用いて、ユーザ鍵UK(i)を検索操作装置600へ送信する。
 図16に基づいて、データ登録(S140)を説明する。
 データ登録(S140)は、登録装置500によって実行される処理である。
 ステップS141において、受付部510は登録鍵EK(i)を受け付ける。
 例えば、受付部510は、通信装置505を用いて、登録鍵装置300から登録鍵EK(i)を受信する。但し、受付部510は、登録装置500に入力された登録鍵EK(i)を入出力インタフェース504を介して受け付けてもよい。
 さらに、受付部510は、登録鍵EK(i)を記憶部591に記憶する。そして、登録鍵EK(i)は記憶部591に記憶される。
 登録鍵EK(i)が記憶部591に既に保管されている場合、ステップS141は不要である。
 登録鍵EK(i)は、世代番号iとデータ鍵DK(i)とタグ鍵TK(i)とを含んでいる。
 さらに、受付部510は、登録鍵EK(i)を記憶部591に記憶する。そして、登録鍵EK(i)は記憶部591に保管される。
 ステップS142において、受付部510は、平文Mと属性情報Bとを受け付ける。
 具体的には、受付部510は、登録装置500に入力された平文Mと属性情報Bとを入出力インタフェース504を介して受け付ける。但し、受付部510は、平文Mと属性情報Bとをアプリケーションプログラムから受け付けてもよい。
 平文Mは、暗号化されていないデータである。
 平文Mには、ファイル名File(M)がメタデータとして含まれる。
 属性情報Bは、権限者の属性情報であり、権限者の各層の属性値を示す。また、属性情報Bは、属性情報Aと同様に、検索および復号の権限制御に関わる。
 権限者は、平文Mを参照する権限を有する利用者である。つまり、権限者は、検索操作装置600の利用者の一部である。
 属性情報Bは以下のように表すことができる。
 B = (B_1,・・・,B_L)
 ステップS143において、乱数生成部521は、3つのデータ乱数組(R、s、S)と3つのタグ乱数組(R’、s’、S’)とを生成する。
 それぞれのデータ乱数組(R、s、S)は、属性の層数Lと同じ個数の乱数の組である。つまり、データ乱数組Rとデータ乱数組sとデータ乱数組SとのそれぞれはL個の乱数の組である。それぞれのデータ乱数組のL個の乱数は一様ランダムに生成される。
 3つのデータ乱数組(R、s、S)は次のように表すことができる。
 R = (R_1,・・・,R_L)
 s = (s_1,・・・,s_L)
 S = (S_1,・・・,S_L)
 それぞれのタグ乱数組(R’、s’、S’)は、属性の層数Lと同じ個数の乱数である。つまり、タグ乱数組R’とタグ乱数組s’とタグ乱数組S’とのそれぞれはL個の乱数である。それぞれのタグ乱数組のL個の乱数は一様ランダムに生成される。
 3つのタグ乱数組(R’、s’、S’)は次のように表すことができる。
 R’ = (R’_1,・・・,R’_L)
 s’ = (s’_1,・・・,s’_L)
 S’ = (S’_1,・・・,S’_L)
 ステップS144において、暗号化データ生成部522は、データ鍵DK(i)と平文Mと属性情報Bと3つのデータ乱数組(R、s、S)とを用いて、暗号化データCを生成する。
 暗号化データCは、属性要素C_{j,0,0}と属性要素C_{j,0,1}とワイルドカード要素C_{j,1,0}とワイルドカード要素C_{j,1,1}とを有する。
 jは、1以上L以下の整数であり、層の番号を示す。
 暗号化データCは、さらに、暗号文C_{L+1}を有する。
 暗号化データCには、ファイル名File(M)が平文Mのメタデータとして含まれる。ファイル名File(M)は暗号化されてもよい。
 暗号化データ生成部522は、属性要素C_{j,0,0}を以下のように算出する。
 まず、暗号化データ生成部522は、属性値B_jと番号jとを連結する。得られるビット列が表す値を連結値(B_j)と呼ぶ。
 次に、暗号化データ生成部522は、データ鍵DK(i)と連結値(B_j)とを入力として関数F_2を実行する。得られる値を関数値(B_j’)と呼ぶ。
 更に、暗号化データ生成部522は、関数値(B_j’)と乱数s_jとを入力として関数F_3を実行する。得られる値を関数値(B_j’’)と呼ぶ。
 そして、暗号化データ生成部522は、関数値(B_j’’)と乱数R_jとの排他的論理和を算出する。得られる値が属性要素C_{j,0,0}である。
 関数F_3は、関数F_1と関数F_2と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。
 暗号化データ生成部522は、属性要素C_{j,0,1}に乱数s_jを設定する。
 暗号化データ生成部522は、ワイルドカード要素C_{j,1,0}を以下のように算出する。
 まず、暗号化データ生成部522は、ワイルドカード「*」と番号jとを連結する。得られるビット列が表す値を連結値(*_j)という。
 次に、暗号化データ生成部522は、データ鍵DK(i)と連結値(*_j)とを入力として関数F_2を実行する。得られる値を関数値(*_j’)と呼ぶ。
 更に、暗号化データ生成部522は、関数値(*_j’)と乱数S_jとを入力として関数F_3を実行する。得られる値を関数値(*_j’’)と呼ぶ。
 そして、暗号化データ生成部522は、関数値(*_j’’)と乱数R_jとの排他的論理和を算出する。得られる値がワイルドカード要素C_{j,1,0}である。
 暗号化データ生成部522は、ワイルドカード要素C_{j,1,1}に乱数S_jを設定する。
 暗号化データ生成部522は、暗号文C_{L+1}を以下のように算出する。
 まず、暗号化データ生成部522は、データ乱数組RのL個の乱数の排他的論理和を算出する。得られる値を演算値(R+)と呼ぶ。
 そして、暗号化データ生成部522は、演算値(R+)と平文Mとを入力として関数F_4を実行する。得られる値が暗号文C_{L+1}である。
 関数F_4の一例は、AESのような共通鍵暗号方式の関数である。
 暗号化データCは以下のように表すことができる。但し、実施の形態1において「+」は排他的論理和(XOR)を意味する。
 C = ((C_{1,0,0},C_{1,0,1},C_{1,1,0},C_{1,1,1}),・・・,(C_{L,0,0},C_{L,0,1},C_{L,1,0},C_{L,1,1}),C_{L+1})
 C_{j,0,0} = F_3(F_2(DK(i),B_j||j),s_j)+R_j
 C_{j,0,1} = s_j
 C_{j,1,0} = F_3(F_2(DK(i),*||j),S_j)+R_j
 C_{j,1,1} = S_j
 C_{L+1} = F_4(R+,M)
 R+ = R_1+・・・+R_L
 ステップS145において、キーワード取得部523は、平文Mに関するキーワード群を取得する。キーワード群は1つ以上のキーワードである。
 具体的には、キーワード取得部523は、平文Mに対して形態素解析または自然言語処理などを行うことによって、平文Mからキーワード群を抽出する。
 但し、キーワード取得部523は、登録装置500に入力されたキーワード群を入出力インタフェース504を介して受け付けてもよい。また、キーワード取得部523は、アプリケーションプログラムからキーワード群を受け付けてもよい。
 取得されたキーワード群を登録キーワード群Wと呼ぶ。
 実施の形態1において、登録キーワード群WがN個の登録キーワードであるものとする。
 Nは2以上の整数である。
 登録キーワード群Wは以下のように表すことができる。
 W = (W_1,・・・,W_N)
 ステップS146において、暗号化タグ生成部524は、タグ鍵TK(i)と属性情報Bとタグ乱数組S’と登録キーワード群Wとを用いて、暗号化タグ群CT_Wを生成する。
 暗号化タグ群CT_Wは、複数の登録キーワードW_nに対応する複数の暗号化タグCT_{W_n}である。
 nは、1以上N以下の整数であり、登録キーワードの番号を示す。
 暗号化タグCT_{W_n}は、属性要素CT_{j,0,0,W_n}と属性要素CT_{j,0,1,W_n}とワイルドカード要素CT_{j,1,0,W_n}とワイルドカード要素CT_{j,1,1,W_n}とを有する。
 さらに、暗号化タグCT_{W_n}は、判定要素CT_{L+1,W_n}を有する。
 暗号化タグ生成部524は、属性要素CT_{j,0,0,W_n}を以下のように算出する。
 まず、暗号化タグ生成部524は、属性値B_jと番号jとを連結する。得られるビット列が表す値を連結値(B_j)と呼ぶ。
 次に、暗号化タグ生成部524は、タグ鍵TK(i)と連結値(B_j)とを入力として関数F_2を実行する。得られる値を関数値(B_j^)という。
 更に、暗号化タグ生成部524は、関数値(B_j^)と登録キーワードW_nとを入力として関数F_5を実行する。得られる値を関数値(B_jW_n^^)と呼ぶ。
 更に、暗号化タグ生成部524は、関数値(B_jW_n^^)と乱数s’_jとを入力として関数F_6を実行する。得られる値を関数値(B_jW_n^^^)と呼ぶ。
 そして、暗号化タグ生成部524は、関数値(B_jW_n^^^)と乱数R’_jとの排他的論理和を算出する。得られる値が属性要素CT_{j,0,0,W_n}である。
 関数F_5と関数F_6とのそれぞれは、関数F_1と関数F_2と関数F_3と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。
 暗号化タグ生成部524は、属性要素CT_{j,0,1,W_n}に乱数s’_jを設定する。
 暗号化タグ生成部524は、ワイルドカード要素CT_{j,1,0,W_n}を以下のように算出する。
 まず、暗号化タグ生成部524は、ワールドカード「*」と番号jとを連結する。得られるビット列が表す値を連結値(*_j)と呼ぶ。
 次に、暗号化タグ生成部524は、タグ鍵TK(i)と連結値(*_j)とを入力として関数F_2を実行する。得られる値を関数値(*_j^)と呼ぶ。
 更に、暗号化タグ生成部524は、関数値(*_j^)と登録キーワードW_nとを入力として関数F_5を実行する。得られる値を関数値(*_jW_n^^)と呼ぶ。
 更に、暗号化タグ生成部524は、関数値(*_jW_n^^)と乱数S’_jとを入力として関数F_6を実行する。得られる値を関数値(*_jW_n^^^)と呼ぶ。
 そして、暗号化タグ生成部524は、関数値(*_jW_n^^^)と乱数R’_jとの排他的論理和を算出する。得られる値がワイルドカード要素CT_{j,1,0,W_n}である。
 暗号化タグ生成部524は、ワイルドカード要素CT_{j,1,1,W_n}を乱数S’_jとする。
 暗号化タグ生成部524は、判定要素CT_{L+1,W_n}を以下のように算出する。
 まず、暗号化タグ生成部524は、タグ乱数組R’のL個の乱数の排他的論理和を算出する。得られる値を演算値(R’+)と呼ぶ。
 そして、暗号化タグ生成部524は、演算値(R’+)を入力として関数F_7を実行する。得られる値が判定要素CT_{L+1,W_n}である。
 関数F_7の一例は、SHA-1のようなハッシュ関数である。
 暗号化タグ群CT_Wは以下のように表すことができる。
 CT_W = {CT_{W_1},・・・,CT_{W_N}}
 CT_{W_n} = ((CT_{1,0,0,W_n},CT_{1,0,1,W_n},CT_{1,1,0,W_n},CT_{1,1,1,W_n}),・・・,(CT_{L,0,0,W_n},CT_{L,0,1,W_n},CT_{L,1,0,W_n},CT_{L,1,1,W_n}),CT_{L+1,W_n})
 nは1以上N以下の整数である。
 CT_{j,0,0,W_n} = F_6(F_5(F_2(TK(i),B_j||j),W_n),s_j)+R’_j
 CT_{j,0,1,W_n} = s’_j
 CT_{j,1,0,W_n} = F_6(F_5(F_2(TK(i),*||j),W_n),S’_j)+R’_j
 CT_{j,1,1,W_n} = S’_j
 jは1以上L以下の整数である。
 R’+ = R’_1+・・・+R’_L
 CT_{L+1,W_n} = F_7(R’+)
 登録キーワードW_nを特定しない場合、「W_n」は省略される。
 例えば、暗号化タグCT_{W_n}は暗号化タグCTと略される。
 ステップS147は、登録部530は、暗号化データCと暗号化タグ群CT_Wとの組をデータ管理装置700に登録する。
 具体的には、登録部530は、暗号化データCと暗号化タグ群CT_Wとの組をデータ管理装置700に送信する。データ管理装置700において、受付部710は、暗号化データCと暗号化タグ群CT_Wとの組を受信し、受信した組を記憶部791に記憶する。つまり、受付部710は、暗号化データCと暗号化タグ群CT_Wとを互いに対応付けて記憶部791に記憶する。そして、暗号化データCと暗号化タグ群CT_Wとの組が記憶部791に保管される。
 図17に基づいて、登録データベース792を説明する。
 データ管理装置700は、識別番号とファイル名と暗号化データCと暗号化タグ群CT_Wとを互いに対応付けて登録データベース792に登録する。
 登録データベース792は、記憶部791に記憶されている。
 図18に基づいて、検索操作(S150)を説明する。
 検索操作(S150)は、検索操作装置600によって実行される処理である。
 ステップS151において、受付部610は、ユーザ鍵UK(i)を受け付ける。
 例えば、受付部610は、通信装置605を用いて、ユーザ鍵装置400からユーザ鍵UK(i)を受信する。但し、受付部610は、検索操作装置600に入力されたユーザ鍵UK(i)を入出力インタフェース604を介して受け付けてもよい。
 さらに、受付部610は、ユーザ鍵UK(i)を記憶部691に記憶する。そして、ユーザ鍵UK(i)は記憶部691に保管される。
 ユーザ鍵UK(i)が記憶部691に既に保管されている場合、ステップS151は不要である。
 ユーザ鍵UK(i)は、世代番号iとデータ属性鍵データDAK(i)とタグ属性鍵データTAK(i)と検索鍵SK(i)とを含んでいる。
 ステップS152において、受付部610は、検索キーワードwを受け付ける。
 具体的には、受付部610は、検索操作装置600に入力された検索キーワードwを入出力インタフェース604を介して受け付ける。但し、受付部610は、検索キーワードwをアプリケーションプログラムから受け付けてもよい。
 ステップS153において、検索クエリ生成部622は、タグ属性鍵データTAK(i)と検索キーワードwとを用いて、検索クエリQを生成する。
 検索クエリQは、フラグ要素Qb_jと属性キーワード要素Q_jとを有する。
 検索クエリ生成部622は、フラグ要素Qb_jを以下のように算出する。
 検索クエリ生成部622は、タグ属性鍵データTAK(i)からフラグ値Tb_jを抽出する。フラグ要素Qb_jはフラグ値Tb_jと同じ値である。
 検索クエリ生成部622は、属性キーワード要素Q_jを以下のように算出する。
 まず、検索クエリ生成部622は、タグ属性鍵データTAK(i)からタグ属性鍵TAK_jを抽出する。
 そして、検索クエリ生成部622は、タグ属性鍵TAK_jと検索キーワードwとを入力として関数F_5を実行する。得られる値が属性キーワード要素Q_jである。
 検索クエリQは以下のように表すことができる。
 Q = ((Qb_1,Q_1),・・・,(Qb_L,Q_L))
 Qb_j = Tb_j
 Q_j = F_5(TAK_j,w)
 ステップS154において、要求部630は、通信装置605を用いて、検索クエリQをデータ管理装置700へ送信する。
 ステップS155において、要求部630は、通信装置605を用いて、検索結果{C}をデータ管理装置700から受信する。
 検索結果{C}は、検索にヒットした暗号化データCの集合である。
 ステップS156において、復号部640は、データ属性鍵データDAK(i)を用いて、各暗号化データCから平文Mを復号する。
 具体的には、復号部640は暗号化データCから平文Mを以下のように復号する。
 まず、復号部640は演算値Uを算出する。演算値Uについて後述する。
 次に、復号部640は、暗号化データCから暗号文C_{L+1}を抽出する。
 そして、復号部640は、演算値Uと暗号文C_{L+1}とを入力として、復号関数F_4{-1}を実行する。得られる値が平文Mである。
 復号関数F_4{-1}は、関数F_4の復号関数である。
 復号部640は、演算値Uを以下のように算出する。
 まず、復号部640は、データ属性鍵データDAK(i)からフラグ値Db_jを抽出する。
 次に、復号部640は、抽出したフラグ値Db_jに基づいて、暗号化データCから属性要素の組(C_{j,0,0}、C_{j,0,1})またはワイルドカード要素の組(C_{j,1,0}、C_{j,1,1})を選択する。選択される組を選択要素の組(Cj0、Cj1)という。
 次に、復号部640は、データ属性鍵データDAK(i)からデータ属性鍵DAK_jを抽出する。
 次に、復号部640は、データ属性鍵DAK_jと選択要素Cj1とを入力として関数F_3を実行する。得られる値を関数値(Cj^)と呼ぶ。
 次に、復号部640は、関数値(Cj^)と選択要素Cj0との排他的論理和を算出する。得られる値を抽出乱数(Rj^)と呼ぶ。
 そして、復号部640は、全ての階層の抽出乱数(Rj^)の排他的論理和を算出する。得られる値が演算値Uである。
 平文Mは以下のように表すことができる。
 M = F_4{-1}(U,C_{L+1})
 U = (F_3(DAK_1,C_{1,Db_1,1})+C_{1,Db_1,0})+・・・+(F_3(DAK_L,C_{L,Db_L,1})+C_{L,Db_L,0})
 全ての階層j(1≦j≦L)において、属性値B_jが属性値A_jと一致するか、または、属性値A_jがワイルドカード「*」である場合を「B≧A」と記す。
 B≧Aを満たす場合、演算値Uは次のように展開することができる。
 U = R_1+・・・+R_L
 したがって、B≧Aを満たす場合、F_4{-1}(U,C_{L+1})を計算することによって、平文Mを算出することができる。
 なお、B≧Aを満たさない場合、ある階層jについて次の2つの式がいずれも成り立たない。
 F_2(DK(i),B_j||j)=F_2(DK(i),A_j||j)
 F_2(DK(i),*||j)=F_2(DK(i),A_j||j)
 この場合、演算値Uの計算においていずれかの乱数R_jが復元できないため、暗号化データCから平文Mを復号することができない。
 検索結果{C}に暗号化データCが含まれない場合、つまり、検索にヒットした暗号化データCが無い場合、ステップS156は不要である。
 ステップS156で得られた平文Mの集合を検索結果{M}と呼ぶ。
 ステップS157において、出力部650は検索結果{M}を出力する。
 具体的には、出力部650は、入出力インタフェース604を介して、ディスプレイに検索結果{M}を表示する。
 検索結果{M}が得られなかった場合、つまり、検索にヒットした暗号化データCが無い場合、出力部650は、検索にヒットした平文Mが無い旨のメッセージを表示する。
 図19に基づいて、データ検索(S160)を説明する。
 データ検索(S160)は、データ管理装置700によって実行される処理である。
 ステップS161において、受付部710は、通信装置705を用いて、検索クエリQを検索操作装置600から受信する。
 ステップS162において、照合部721は、検索クエリQを各暗号化タグCTと照合することによって、検索クエリQに合致する暗号化タグCTを選択する。
 暗号化タグCTについて登録キーワードの記号{W_n}は省略する。
 具体的には、照合部721は検索クエリQを各暗号化タグCTと以下のように照合する。
 まず、照合部721は、演算値V_1を算出する。演算値V_1については後述する。
 照合部721は、演算値V_1を入力として関数F_7を実行する。得られる値を照合値V_2と呼ぶ。
 そして、照合部721は、照合値V_2を判定要素CT_{L+1}と比較する。
 照合値V_2が判定要素CT_{L+1}と一致している場合、暗号化タグCTは検索クエリQに合致している。
 照合部721は、演算値V_1を以下のように算出する。
 まず、照合部721は、検索クエリQからフラグ要素Qb_jを抽出する。
 次に、照合部721は、抽出したフラグ要素Qb_jに基づいて、暗号化タグCTから属性要素の組(CT_{j,0,0}、CT_{j,0,1})またはワイルドカード要素の組(CT_{j,1,0}、CT_{j,1,1})を選択する。選択される組を選択要素(CTj0、CTj1)という。
 次に、照合部721は、検索クエリQから属性キーワード要素Q_jを抽出する。
 次に、照合部721は、属性キーワード要素Q_jと選択要素(CTj1)とを入力として関数F_6を実行する。得られる値を関数値(CTj^)と呼ぶ。
 次に、照合部721は、関数値(CTj^)と選択要素(CTj0)との排他的論理和を算出する。得られる値を抽出乱数(R’j^)と呼ぶ。
 そして、照合部721は、全ての階層の抽出乱数(R’j^)の排他的論理和を算出する。得られる値が演算値V_1である。
 照合値V_2は以下のように表すことができる。
 V_1 = (F_6(Q_1,CT_{1,Qb_1,1})+CT_{1,Qb_1,0})+・・・+(F_6(Q_L,CT_{L,Qb_L,1})+CT_{L,Qb_L,0})
 V_2 = F_7(V_1)
 B≧AとW_n=wとを満たす場合、演算値V_1は次のように展開することができる。
 V_1 = R_1+・・・+R’_L
 その結果、次の式が成り立つ。
 V_2 = F_7(V_1)= F_7(R’_1+・・・+R’_L)= CT_{L+1}
 もし、B≧Aを満たすがW_n=w’を満たさない場合、もしくは、W_n=wは満たすがB≧Aを満たさない場合、いずれかの乱数R’_jが正しく復元できず、R’_1+・・・+R’_Lを計算できない。
 そのため、通常、照合値V_2(=F_7(V_1))と判定要素C_{L+1}(=F_7(R’_1+・・・+R’_L))とが一致する確率は非常に低い。
 ステップS162で選択された暗号化タグCT、つまり、検索クエリQに合致した暗号化タグCTを該当暗号化タグCTと呼ぶ。
 ステップS163において、抽出部722は、該当暗号化タグCTに対応する暗号化データCを抽出する。抽出される暗号化データCを該当暗号化データCと呼ぶ。
 ステップS164において、出力部730は、通信装置705を用いて、暗号結果{C}を検索操作装置600へ送信する。
 暗号結果{C}は該当暗号化データCの集合である。
 図20に基づいて、データ削除(S170)を説明する。
 データ削除(S170)は、検索操作装置600とデータ管理装置700とによって実行される処理である。
 ステップS171において、検索操作装置600の受付部610は、削除ファイル名を受け付ける。
 具体的には、受付部610は、検索操作装置600に入力された削除ファイル名を入出力インタフェース604を介して受け付ける。但し、受付部610は、削除ファイル名をアプリケーションプログラムから受け付けてもよい。
 例えば、削除ファイル名は検索操作(S150)によって得られる。
 ステップS172において、検索操作装置600の出力部650は、通信装置605を用いて、削除ファイル名をデータ管理装置700へ送信する。
 ステップS173において、データ管理装置700の受付部710は、通信装置705を用いて、検索操作装置600から削除ファイル名を受信する。
 ステップS174において、データ管理装置700の受付部710は、削除ファイル名に対応する暗号化データCと暗号化タグCT_Wとを記憶部791から削除する。
***実施の形態1の効果***
 マルチユーザ型の秘匿検索を公開鍵暗号技術を用いずに共通鍵暗号技術を用いて実現することができる。そして、公開鍵暗号技術が使用されないため、データの登録および検索を高速に行うことができる。
 秘匿検索において、検索キーワードが登録キーワードと完全に一致した場合に検索がヒットする。
 実施の形態2.
 部分一致検索が可能なマルチユーザ型の共通鍵方式について、主に実施の形態1と異なる点を図21から図24に基づいて説明する。
***構成の説明***
 図21に基づいて、生成部520の構成を説明する。
 生成部520は、乱数生成部525と暗号化データ生成部522とキーワード取得部523と部分一致キーワード生成部526と暗号化タグ生成部527とを備える。
 図22に基づいて、検索部720の構成を説明する。
 検索部720は、照合部723と抽出部722とを備える。
***動作の説明***
 マスター鍵生成(S110)は、実施の形態1で説明した通りである(図12参照)。
 マスター鍵生成(S110)において、マスター鍵装置200は、マスター鍵データMSK(i)を生成する。
 マスター鍵データMSK(i)は、マスター鍵MK(i)と世代番号iとの組である。
 登録鍵生成(S120)は、実施の形態1で説明した通りである(図13参照)。
 登録鍵生成(S120)において、登録鍵装置300は、登録鍵EK(i)を生成する。
 登録鍵EK(i)は、世代番号iとデータ鍵DK(i)とタグ鍵TK(i)との組である。
 データ鍵DK(i)は、マスター鍵データMSK(i)に含まれるマスター鍵MK(i)を用いて生成される。
 タグ鍵TK(i)は、マスター鍵データMSK(i)に含まれるマスター鍵MK(i)を用いて生成される。
 ユーザ鍵生成(S130)は、実施の形態1で説明した通りである(図14参照)。
 ユーザ鍵生成(S130)において、ユーザ鍵装置400は、ユーザ鍵UK(i)を生成する。
 ユーザ鍵UK(i)は、世代番号iとデータ属性鍵データDAK(i)とタグ属性鍵データTAK(i)との組である。
 データ属性鍵DAK(i)は、属性情報Aと登録鍵EK(i)に含まれるデータ鍵DK(i)とを用いて生成される。
 タグ属性鍵データTAK(i)は、属性情報Aと登録鍵EK(i)に含まれるタグ鍵TK(i)とを用いて生成される。
 図23に基づいて、データ登録(S240)を説明する。
 データ登録(S240)において、登録装置500は、暗号文Cと暗号化タグ群CT_PMWとの組をデータ管理装置700に登録する。
 ステップS241において、受付部510は、登録鍵EK(i)を受け付ける。
 ステップS241は、実施の形態1におけるステップS141と同じである(図16参照)。
 ステップS242において、受付部510は、平文Mと属性情報Bとを受け付ける。
 ステップS242は、実施の形態1におけるステップS142と同じである(図16参照)。
 ステップS243において、乱数生成部525は、3つのデータ乱数組(R、s、S)と1つのタグ乱数組R’と1つのタグ乱数S’とを生成する。
 3つのデータ乱数組(R、s、S)は、実施の形態1で説明した通りである(図16のステップS143を参照)。
 タグ乱数組R’は、属性の層数Lと同じ個数の乱数である。つまり、タグ乱数組R’はL個の乱数である。それぞれの乱数は一様ランダムに生成される。
 タグ乱数組R’は次のように表すことができる。
 R’=(R’_1,・・・,R’_L)
 タグ乱数S’は、一様ランダムに生成される1個の乱数である。
 ステップS244において、暗号化データ生成部522は、データ鍵DK(i)と平文Mと属性情報Bと3つのデータ乱数組(R、s、S)とを用いて、暗号化データCを生成する。
 ステップS244は、実施の形態1におけるステップS144と同じである(図16参照)。
 ステップS245において、キーワード取得部523は、登録キーワード群Wを取得する。
 ステップS245は、実施の形態1におけるステップS145と同じである(図16参照)。
 登録キーワード群Wは、N個の登録キーワードW_nである。Nは1以上の整数である。nは1以上N以下の整数である。
 ステップS246において、部分一致キーワード生成部526は、登録キーワードW_nごとに部分一致キーワード群PM(W_n)を生成することによって、登録キーワード群Wに対する部分一致キーワード群PMWを生成する。
 部分一致キーワード群PMWは次のように表すことができる。
 PMW=(PM(W_1),・・・,PM(W_N))
 部分一致キーワード群PM(W_n)は、K個の部分一致キーワードPM(W_n[k])である。Kは1以上の整数である。kは1以上のK以下の整数である。
 部分一致キーワード群PM(W_n)は次のように表すことができる。
 PM(W_n)=(PM(W_n)[1],・・・,PM(W_n)[K])
 部分一致キーワードPM(W_n[k])は、部分一致キーワードと開始位置番号との組である。開始位置番号は、登録キーワードにおいて部分一致キーワードが何文字目から始まるかを示す。
 部分一致キーワードPM(W_n)[k]は次のように表すことができる。
 PM(W_n)[k]=(部分一致キーワード,開始位置番号)
 PM(W_n)[k][0]=部分一致キーワード
 PM(W_n)[k][1]=開始位置番号
 部分一致キーワード生成部526は、登録キーワードW_nに対する部分一致キーワード群PM(W_n)を以下のように生成する。
 まず、部分一致キーワード生成部526は、登録キーワードW_nを1文字ごとに分割する。分割後のそれぞれの文字(部分キーワード)が部分一致キーワードの先頭文字となる。例えば、登録キーワードW_n「東京都」は「東」「京」「都」に分割される。「東」「京」「都」のそれぞれが部分一致キーワードの先頭文字となる。
 次に、部分一致キーワード生成部526は、登録キーワードW_nにおいて分割後のそれぞれの文字から始まる全ての文字列を列挙する。列挙される文字列のそれぞれが部分一致キーワードとなる。例えば、登録キーワードW_n「東京都」において1文字目の「東」から始まる「東」「東京」「東京都」が列挙される。「東」は1文字目から1文字目までの文字列である。「東京」は1文字目から2文字目までの文字列である。「東京都」は1文字目から3文字目までの文字列である。さらに、登録キーワードW_n「東京都」において2文字目の「京」から始まる「京」「京都」が列挙される。「京」は2文字目から2文字目までの文字列である。「京都」は2文字目から3文字目までの文字列である。さらに、登録キーワードW_n「東京都」において3文字目の「都」から始まる「都」が列挙される。「都」は3文字目から3文字目までの文字列である。「東」「東京」「東京都」「京」「京都」「都」のそれぞれが部分一致キーワードとなる。
 そして、部分一致キーワード生成部526は、列挙された文字列ごとに部分一致キーワードPW(W_n[k])を生成する。
 例えば、登録キーワードW_n「東京都」に対する6つの部分一致キーワードPW(W_n[k])が生成される。
 PW(W_n)[1]=(東,1)
 PW(W_n)[2]=(東京,1)
 PW(W_n)[3]=(東京都,1)
 PW(W_n)[4]=(京,2)
 PW(W_n)[5]=(京都,2)
 PW(W_n)[6]=(都,3)
 一般に、登録キーワードW_nを分割して得られる部分キーワードの数が「X」である場合、部分一致キーワード群PW(W_n)の長さ「K」、すなわち、部分一致キーワードPW(W_n[k])の数「K」は、次のように表すことができる。
 K=X(X+1)÷2
 但し、部分一致キーワード生成部526は、登録キーワードW_nをフレーズ毎に分割してもよい。
 例えば、登録キーワードW_n「東京都」は「東京」「都」に分割される。この場合、登録キーワードW_n「東京都」において1フレーズ目の「東京」から始まる「東京」「東京都」が列挙される。「東京」は1フレーズ目から1フレーズ目までの文字列である。「東京都」は1フレーズ目から2フレーズ目までの文字列である。さらに、登録キーワードW_n「東京都」において2フレーズ目の「都」から始まる「都」が列挙される。「都」は、2フレーズ目から2フレーズ目までの文字列である。そして、3つの部分一致キーワードPW(W_n[k])が生成される。
 PW(W_n)[1]=(東京,1)
 PW(W_n)[2]=(東京都,1)
 PW(W_n)[3]=(都,3)
 また、部分一致キーワード生成部526は、登録キーワードW_nを1文字と1フレーズとは別の単位で分割してもよい。
 部分一致キーワード生成部526は、登録キーワードW_nによって分割単位を変えてもよい。
 また、部分一致キーワード生成部526は、登録キーワードW_nによっては分割しなくてもよい。登録キーワードW_nが分割されない場合、登録キーワードW_nは、完全一致検索の対象にはなるが、部分一致検索の対象にはならない。
 ステップS247において、暗号化タグ生成部527は、タグ鍵TK(i)と属性情報Bとタグ乱数組R’とタグ乱数S’と部分一致キーワード群PMWとを用いて、暗号化タグ群CT_PMWを生成する。
 暗号化タグ群CT_PMWは、複数の登録キーワードW_nに対応する複数の暗号化タグCT_{PM(W_n)}である。nは、1以上のN以下の整数であり、登録キーワードW_nの番号を示す。
 暗号化タグCT_{PM(W_n)}は、乱数要素CT_{0,PM(W_n)}を有する。
 暗号化タグ生成部527は、乱数要素CT_{0,PM(W_n)}にタグ乱数S’を設定する。
 乱数要素CT_{0,PM(W_n)}は次のように表すことができる。
 CT_{0,PM(W_n)}=S’
 暗号化タグCT_{PM(W_n)}は、さらに、属性要素CT_{j,0,PM(W_n)}を有する。jは、1以上L以下の整数であり、属性値B_jの番号を示す。
 属性要素CT_{j,0,PM(W_n)}は次のように表すことができる。
 CT_{j,0,PM(W_n)}=(CT_{j,0,PM(W_n)[1]},・・・,CT_{j,0,PM(W_n)[K]})
 暗号化タグ生成部527は、属性要素CT_{j,0,PM(W_n)[k]}を以下のように算出する。kは1以上K以下の整数である。
 まず、暗号化タグ生成部527は、属性値B_jと番号jとを連結する。得られるビット列が表す値を連結値(B_j)と呼ぶ。
 次に、暗号化タグ生成部527は、タグ鍵TK(i)の値と連結値(B_j)とを入力として関数F_2を実行する。得られる値を関数値(B_j^)と呼ぶ。
 次に、暗号化タグ生成部527は、関数値(B_j^)と部分一致キーワードPM(W_n)[k][0]とを入力として関数F_5を実行する。得られる値を関数値(B_jPM(W_n)[k]^^)と呼ぶ。
 次に、暗号化タグ生成部527は、関数値(B_jPM(W_n)[k]^^)と開始位置番号PM(W_n)[k][0]と乱数要素CT_{0,PM(W_n)}とを入力として関数F_6を実行する。得られる値を関数値(B_jPM(W_n)[k]^^^)と呼ぶ。
 そして、暗号化タグ生成部527は、関数値(B_jPM(W_n)[k]^^^)とタグ乱数R’_jとの排他的論理和を算出する。得られる値が属性要素CT_{j,0,PM(W_n)[k]}である。
 関数F_5と関数F_6とのそれぞれは、関数F_1と関数F_2と関数F_3と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。
 暗号化タグCT_{PM(W_n)}は、さらに、ワイルドカード要素CT_{j,1,PM(W_n)}を有する。jは、1以上L以下の整数であり、属性値B_jの番号を示す。
 属性要素CT_{j,0,PM(W_n)}は次のように表すことができる。
 CT_{j,0,PM(W_n)}=(CT_{j,0,PM(W_n)[1]},・・・,CT_{j,0,PM(W_n)[K]})
 ワイルドカード要素CT_{j,1,PM(W_n)}は次のように表すことができる。
 CT_{j,1,PM(W_n)}=(CT_{j,1,PM(W_n)[1]},・・・,CT_{j,1,PM(W_n)[K]})
 暗号化タグ生成部527は、ワイルドカード要素CT_{j,1,PM(W_n)[k]}を以下のように算出する。kは1以上K以下の整数である。
 まず、暗号化タグ生成部527は、ワールドカード「*」と番号jとを連結する。得られるビット列が表す値を連結値(*_j)と呼ぶ。
 次に、暗号化タグ生成部527は、タグ鍵TK(i)の値と連結値(*_j)とを入力として関数F_2を実行する。得られる値を関数値(*_j^)という。
 次に、暗号化タグ生成部527は、関数値(*_j^)と部分一致キーワードPM(W_n)[k][0]とを入力として関数F_5を実行する。得られる値を関数値(*_jPM(W_n)[k]^^)と呼ぶ。
 次に、暗号化タグ生成部527は、関数値(*_jPM(W_n)[k]^^)と開始位置番号PM(W_n)[k][1]と乱数要素CT_{0,PM(W_n)}とを入力として関数F_6を実行する。得られる値を関数値(*_jPM(W_n)[k]^^^)と呼ぶ。
 そして、暗号化タグ生成部527は、関数値(*_jPM(W_n)[k]^^^)と乱数R’_jとの排他的論理和を算出する。得られる値がワイルド要素CT_{j,1,PM(W_n)[k]}である。
 暗号化タグCT_{PM(W_n)}は、さらに、判定要素CT_{L+1,PM(W_n)}を有する。
 暗号化タグ生成部527は、判定要素CT_{L+1,PM(W_n)}を以下のように算出する。
 まず、暗号化タグ生成部527は、タグ乱数組R’のL個の乱数の排他的論理和を算出する。得られる値を演算値(R’+)と呼ぶ。
 そして、暗号化タグ生成部527は、演算値(R’+)を入力として関数F_7を実行する。得られる値が判定要素CT_{L+1,PM(W_n)}である。
 関数F_7の一例は、SHA-1のようなハッシュ関数である。
 暗号化タグ群CT_PMWは以下のように表すことができる。
 CT_PMW={CT_{PM(W_1)},・・・,CT_{PM(W_N)}}
 CT_{PM(W_n)}=(CT_{0,PM(W_n)},CT_{1,0,PM(W_n)[1]},・・・,CT_{L,0,PM(W_n)[1]},・・・,CT_{1,0,PM(W_n)[K]},・・・,CT_{L,0,PM(W_n)[K]},CT_{1,1,PM(W_n)[1]},・・・,CT_{L,1,PM(W_n)[1]},・・・,CT_{1,1,PM(W_n)[K]},・・・,CT_{L,1,PM(W_n)[K]},CT_{L+1,PM(W_n)})
 nは1以上N以下の整数である。
 CT_{0,PM(W_n)} = S’
 CT_{j,0,PM(W_n)[k]} = F_6(F_5(F_2(TK(i),B_j||j),PM(W_n)[k][0]),PM(W_n)[k][1],S’)+R’_j
 CT_{j,1,PM(W_n)[k]} = F_6(F_5(F_2(TK(i),*||j),PM(W_n)[k][0]),PM(W_n[k][1]),S’)+R’_j
 jは1以上L以下の整数、kは1以上K以下の整数である。
 R’+ = R’_1+・・・+R’_L
 CT_{L+1,PM(W_n)} = F_7(R’+)
 登録キーワードW_nを特定しない場合、「PM(W_n)」は省略される。その場合、暗号化タグCT_{PM(W_n)}は暗号化タグCTと記される。
 暗号化タグCTは以下のように表すことができる。nは1以上N以下の整数である。
 CT = (CT_0,CT_{1,0,[1]},・・・,CT_{L,0,[1]},・・・,CT_{1,0, [K]},・・・,CT_{L,0, [K]},CT_{1,1, [1]},・・・,CT_{L,1, [1]},・・・,CT_{1,1, [K]},・・・,CT_{L,1, [K]},CT_{L+1})
 ステップS248において、登録部530は、暗号化データCと暗号化タグ群CT_PMWとの組をデータ管理装置700に登録する。
 具体的には、登録部530は、暗号化データCと暗号化タグ群CT_PMWとの組をデータ管理装置700に送信する。データ管理装置700において、受付部710は、暗号化データCと暗号化タグ群CT_PMWとの組を受信し、受信した組を記憶部791に記憶する。つまり、受付部710は、暗号化データCと暗号化タグ群CT_PMWとを互いに対応付けて記憶部791に記憶する。そして、暗号化データCと暗号化タグ群CT_PMWとの組が記憶部791に保管される。
 データ登録(S240)において、実施の形態1と同様に登録キーワード群WがN個の登録キーワードを含んでいる場合、登録装置500は以下のように動作する。
 ステップS243において、乱数生成部525は、N個のタグ乱数組R’とN個のタグ乱数S’とを生成する。
 ステップS247において、暗号化タグ生成部527は、登録キーワードW_nごとに異なるタグ乱数組R’とタグ乱数S’とを用いて、登録キーワードW_nに対応する暗号化タグCT_{PM(W_n)}を生成する。
 検索操作(S150)は、実施の形態1で説明した通りである(図18参照)。
 検索操作(S150)において、検索操作装置600は、ユーザ鍵UK(i)と検索キーワードWとを受け付け、検索結果{M}を出力する。
 図24に基づいて、データ検索(S260)を説明する。
 データ検索(S260)において、データ管理装置700は、検索クエリQを受信し、暗号結果{C}を送信する。
 ステップS261において、受付部710は、検索クエリQを検索操作装置600から受信する。
 ステップS261は、実施の形態1におけるステップS161と同じである(図19参照)。
 ステップS262において、照合部723は、検索クエリQを各暗号化タグCTと照合することによって、検索クエリQに合致する暗号化タグCTを選択する。
 具体的には、照合部723は、以下のように検索クエリQを各暗号化タグCTと照合する。暗号化タグCTについて登録キーワードの記号{PM(W_n)}は省略する。
 まず、照合部723は、暗号化タグCTの要素数に基づいて部分一致キーワードの数Kを算出し、部分一致キーワードの数Kに基づいて登録時のキーワードの文字数Xを算出する。登録時のキーワードが「東京都」である場合、暗号化タグCTの要素数は「14」である。暗号化タグCTの要素数が「14」である場合、部分一致キーワードの数Kは「6」である。照合部723は、K=X(X+1)÷2を計算することにより、登録時のキーワード「東京都」の文字数Xは「3」と算出する。
 次に、照合部723は、演算値V_1[x,k]を算出する。xは1以上X以下の整数である。kは1以上K以下の整数である。演算値V_1[x,k]については後述する。
 次に、照合部723は、演算値V_1[x,k]を入力として関数F_7を実行する。得られる値を照合値V_2[x,k]と呼ぶ。
 そして、照合部723は、照合値V_2[x,k]を暗号化タグCTの判定要素CT_{L+1}と比較する。
 照合値V_2[x,k]が判定要素CT_{L+1}と一致している場合、暗号化タグCTは検索クエリQに合致している。
 照合部723は、演算値V_1[x,k]を以下のように算出する。
 まず、照合部723は、検索クエリQからフラグ要素Qb_jを抽出する。jは1以上L以下の整数である。
 次に、照合部723は、抽出したフラグ要素Qb_jに基づいて、暗号化タグCTから属性要素の組CTj0またはワイルドカード要素の組CTj1を選択する。属性要素の組CTj0とワイルドカード要素の組CTJ1とのそれぞれは次のように表される。
 CTj0=(CT_{j,0,[1]},・・・,CT_{j,0,[K]})
 CTj1=(CT_{j,1,[1]}、CT_{j,1,[K]})
 照合部723は、属性要素の組CTj0またはワイルドカード要素の組CTj1を次のように選択する。
 フラグ要素Qb_jが「0」である場合、照合部723は属性要素の組CRj0を選択する。フラグ要素Qb_jが「1」である場合、照合部723はワイルドカード要素の組CRj1を選択する。
 選択される組を選択要素CTjと呼ぶ。
 次に、照合部723は、検索クエリQから属性キーワード要素Q_jを抽出する。
 次に、照合部723は、属性キーワード要素Q_jと値xと乱数要素CT_0とを入力として関数F_6を実行する。得られる値を関数値(CTj[x]^)と呼ぶ。xは1以上X以下の整数である。
 次に、照合部723は、各関数値(CTj[x]^)と選択要素(CTj[k])との排他的論理和を算出する。得られる値を抽出乱数(R’j[x,k]^)と呼ぶ。
 そして、照合部723は、全ての階層の抽出乱数(R’j[x,k]^)の排他的論理和を算出する。得られる値が演算値V_1[x,k]である。
 演算値V_1[x,k]と照合値V_2[x,k]とのそれぞれは、以下のように表すことができる。
 V_1[x,k] = (F_6(Q_1,x,CT_{0})+CT_{1,Qb_1,[k]})+・・・+(F_6(Q_L,x,CT_{0})+CT_{L,Qb_L,[k]})
 V_2[x,k] = F_7(V_1[x,k])
 B≧Aを満たし、かつ、検索キーワードwが部分一致キーワードとして登録キーワードW_nに含まれる場合、次のような演算値V_1[x,k]を満たす整数の組(x,k)が存在する。
 V_1[x,k] = R_1+・・・+R’_L
 その結果、整数の組(x,k)に対して次の式が成り立つ。
 V_2[x,k] = F_7(V_1[x,k])= F_7(R’_1+・・・+R’_L)= CT_{L+1}
 登録時のキーワードが「東京都」であり、検索時のキーワードが「東京」である場合、整数xは「1」であり、整数kは「2」である。
 登録時のキーワードが「東京都」であり、検索時のキーワードが「都」の場合、整数xは「3」であり、整数kは「6」である。
 B≧Aを満たし、検索キーワードwが部分一致キーワードとして登録キーワードW_nに含まれない場合、乱数R’_jが正しく復元されず、演算値V_1[x,k]を得ることができない。
 B≧Aを満たさず、検索キーワードwが部分一致キーワードとして登録キーワードW_nに含まれる場合、乱数R’_jが正しく復元されず、演算値V_1[x,k]を得ることができない。
 そのため、どのような整数の組(x,k)に対しても、照合値V_2[x,k](=F_7(V_1[x,k]))が判定要素C_{L+1}(=F_7(R’_1+・・・+R’_L))と一致する確率は非常に低い。
 ステップS262で選択された暗号化タグCT、つまり、検索クエリQに合致した暗号化タグCTを該当暗号化タグCTと呼ぶ。
 ステップS263において、抽出部722は、該当暗号化タグCTに対応する暗号化データCを抽出する。抽出される暗号化データCを該当暗号化データCと呼ぶ
 ステップS263は、実施の形態1におけるステップS163と同じである。(図19参照)。
 ステップS264において、出力部730は、暗号結果{C}を検索操作装置600へ送信する。暗号結果{C}は該当暗号化データCの集合である。
 ステップS264は、実施の形態1におけるステップS164と同じである(図19参照)。
 データ削除(S170)は、実施の形態1で説明した通りである(図20参照)。
 データ削除(S170)において、データ管理装置700は、削除ファイル名に対応する暗号化データCと暗号化タグCT_Wとの組を削除する。
***実施の形態2の効果***
 実施の形態2により、検索キーワードが登録キーワードに含まれる場合に、つまり、検索キーワードが登録キーワードと部分一致した場合に、検索がヒットする。
 実施の形態3.
 範囲検索が可能なマルチユーザ型の共通鍵方式について、主に実施の形態1および実施の形態2と異なる点を図25から図30に基づいて説明する。
 範囲検索は、検索範囲に含まれる登録数値を見つける検索である。
 例えば、検索範囲が[78,111]である場合、78≦X≦111を満たす登録数値Xを見つけるための範囲検索が行われる。
***構成の説明***
 図25に基づいて、生成部520の構成を説明する。
 生成部520は、乱数生成部525と暗号化データ生成部522とキーワード取得部523と汎化数値生成部528と暗号化タグ生成部527とを備える。
 図26に基づいて、生成部620の構成を説明する。
 生成部620は、数値列挙部623と検索クエリ生成部624とを備える。
 図27に基づいて、検索部720の構成を説明する。
 検索部720は、照合部724と抽出部722とを備える。
***動作の説明***
 マスター鍵生成(S110)は、実施の形態1で説明した通りである(図12参照)。
 マスター鍵生成(S110)において、マスター鍵装置200は、マスター鍵データMSK(i)を生成する。
 マスター鍵データMSK(i)は、マスター鍵MK(i)と世代番号iとの組である。
 登録鍵生成(S120)は、実施の形態1で説明した通りである(図13参照)。
 登録鍵生成(S120)において、登録鍵装置300は、登録鍵EK(i)を生成する。
 登録鍵EK(i)は、世代番号iとデータ鍵DK(i)とタグ鍵TK(i)との組である。
 データ鍵DK(i)は、マスター鍵データMSK(i)に含まれるマスター鍵MK(i)を用いて生成される。
 タグ鍵TK(i)は、マスター鍵データMSK(i)に含まれるマスター鍵MK(i)を用いて生成される。
 ユーザ鍵生成(S130)は、実施の形態1で説明した通りである(図14参照)。
 ユーザ鍵生成(S130)において、ユーザ鍵装置400は、ユーザ鍵UK(i)を生成する。
 ユーザ鍵UK(i)は、世代番号iとデータ属性鍵データDAK(i)とタグ属性鍵データTAK(i)との組である。
 データ属性鍵DAK(i)は、属性情報Aと登録鍵EK(i)に含まれるデータ鍵DK(i)とを用いて生成される。
 タグ属性鍵データTAK(i)は、属性情報Aと登録鍵EK(i)に含まれるタグ鍵TK(i)とを用いて生成される。
 図28に基づいて、データ登録(S340)を説明する。
 データ登録(S340)において、登録装置500は、暗号文Cと暗号化タグ群CT_GNUMとの組をデータ管理装置700に登録する。
 ステップS341において、受付部510は、登録鍵EK(i)を受け付ける。
 ステップS341は、実施の形態1におけるステップS141と同じである(図16参照)。
 ステップS342において、受付部510は、平文Mと属性情報Bとを受け付ける。
 ステップS342は、実施の形態1におけるステップS142と同じである(図16参照)。
 ステップS343において、乱数生成部525は、3つのデータ乱数組(R、s、S)と1つのタグ乱数組R’と1つのタグ乱数S’とを生成する。
 ステップS343は、実施の形態2におけるステップS243と同じである(図23参照)。
 タグ乱数組R’は、属性の層数Lと同じ個数の乱数である。つまり、タグ乱数組R’はL個の乱数である。それぞれの乱数は一様ランダムに生成される。
 タグ乱数組R’は次のように表すことができる。
 R’=(R’_1,・・・,R’_L)
 タグ乱数S’は、一様ランダムに生成される1個の乱数である。
 ステップS344において、暗号化データ生成部522は、データ鍵DK(i)と平文Mと属性情報Bと3つのデータ乱数組(R、s、S)とを用いて、暗号化データCを生成する。
 ステップS344は、実施の形態1におけるステップS144と同じである(図16参照)。
 ステップS345において、キーワード取得部523は、登録数値群NUMを取得する。
 登録数値群NUMは、1つ以上の登録数値である。登録数値群NUMは登録キーワード群Wに相当する。登録数値は登録キーワードに相当する。
 登録数値群NUMは次のように表すことができる。Nは1以上の整数である。
 NUM=(W_1,・・・,W_N)
 ステップS346において、汎化数値生成部528は、登録数値群NUMに対応する汎化数値群GNUMを生成する。
 汎化数値群GNUMは次のように表すことができる。
 GNUM=(GNUM(W_1),・・・,GNUM(W_N))
 汎化数値生成部528は、登録数値W_nを文字列とみなして登録数値W_nと前方一致するキーワードを全て列挙することによって、汎化数値群GNUMを生成する。nは1以上N以下の整数である。
 登録数値W_nが「87」である場合、汎化数値生成部528は「87」「8?」を列挙する。「?」は一文字のワイルドカードを表しており、ここでは0から9の数を全て表すことを意味する。
 登録数値W_nが「999」である場合、汎化数値生成部528は「999」「99?」「9??」を列挙する。
 汎化数値GNUM(W_n)は、以下のように表すことができる。Kは1以上の整数である。
 GNUM(W_n)=(GNUM(W_n)[1],・・・,GNUM(W_n)[K])
 例えば、登録数値W_nが「87」である場合、汎化数値GNUM(W_n)の要素数Kは「2」である。
 GNUM(W_n)[1] = 87
 GNUM(W_n)[2] = 8?
 汎化数値GNUM(W_n)の長さ、すなわち、汎化数値GNUM(W_n)の要素数Kは、登録数値W_nの桁数と一致する。
 登録数値W_nの桁数が「2」である場合、汎化数値GNUM(W_n)の要素数Kは「2」である。
 登録数値W_nの桁数が「3」である場合、汎化数値GNUM(W_n)の要素数Kは「3」である。
 ステップS347において、暗号化タグ生成部527は、タグ鍵TK(i)と属性情報Bとタグ乱数組R’とタグ乱数S’と汎化数値群GNUMとを用いて、暗号化タグ群CT_GNUMを生成する。
 暗号化タグ群CT_GNUMは、複数の暗号化タグCT_{GNUM(W_n)}である。nは、1以上N以下の整数であり、登録数値W_nの番号を示す。
 暗号化タグCT_{GNUM(W_n)}は、乱数要素CT_{0,GNUM(W_n)}を有する。
 暗号化タグ生成部527は、乱数要素CT_{0,GNUM(W_n)}にタグ乱数S’を設定する。
 暗号化タグCT_{GNUM(W_n)}は、さらに、属性要素CT_{j,0,GNUM(W_n)}を有する。jは1以上L以下の整数である。
 属性要素CT_{j,0,GNUM(W_n)}は次のように表すことができる。
 CT_{j,0,GNUM(W_n)}=(CT_{j,0,GNUM(W_n)[1]},・・・,CT_{j,0,GNUM(W_n)[K]}
 暗号化タグ生成部527は、属性要素CT_{j,0,GNUM(W_n)}を以下のように算出する。kは1以上K以下の整数である。
 まず、暗号化タグ生成部527は、属性値B_jと番号jとを連結する。得られるビット列が表す値を連結値(B_j)と呼ぶ。
 次に、暗号化タグ生成部527は、タグ鍵TK(i)の値と連結値(B_j)とを入力として関数F_2を実行する。得られる値を関数値(B_j^)という。
 次に、暗号化タグ生成部527は、関数値(B_j^)と汎化数値GNUM(W_n)[k]とを入力として関数F_5を実行する。得られる値を関数値(B_jGNUM(W_n)[k]^^)と呼ぶ。
 次に、暗号化タグ生成部527は、関数値(B_jGNUM(W_n)[k]^^)と乱数要素CT_{0,GNUM(W_n)}とを入力として関数F_6を実行する。得られる値を関数値(B_jGNUM(W_n)[k]^^^)と呼ぶ。
 そして、暗号化タグ生成部527は、関数値(B_jGNUM(W_n)[k]^^^)とタグ乱数R’_jとの排他的論理和を算出する。得られる値が属性要素CT_{j,0,GNUM(W_n)[k]}である。
 関数F_5と関数F_6とのそれぞれは、関数F_1と関数F_2と関数F_3と同様に、擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数である。
 暗号化タグCT_{GNUM(W_n)}は、ワイルドカード要素CT_{j,1,GNUM(W_n)}を有する。
 ワイルドカード要素CT_{j,1,GNUM(W_n)}は次のように表すことができる。
 CT_{j,1,GNUM(W_n)}=(CT_{j,1,GNUM(W_n)[1]},・・・,CT_{j,1,GNUM(W_n)[K]}
 暗号化タグ生成部527は、ワイルドカード要素CT_{j,1,GNUM(W_n)}を以下のように算出する。kは1以上K以下の整数である。
 まず、暗号化タグ生成部527は、ワールドカード「*」と番号jとを連結する。得られるビット列が表す値を連結値(*_j)と呼ぶ。
 次に、暗号化タグ生成部527は、タグ鍵TK(i)の値と連結値(*_j)とを入力として関数F_2を実行する。得られる値を関数値(*_j^)という。
 次に、暗号化タグ生成部527は、関数値(*_j^)と汎化数値GNUM(W_n)[k]とを入力として関数F_5を実行する。得られる値を関数値(*_jGNUM(W_n)[k]^^)と呼ぶ。
 次に、暗号化タグ生成部527は、関数値(*_jGNUM(W_n)[k]^^)と乱数要素CT_{0,GNUM(W_n)}とを入力として関数F_6を実行する。得られる値を関数値(*_jGNUM(W_n)[k]^^^)と呼ぶ。
 そして、暗号化タグ生成部527は、関数値(*_jGNUM(W_n)[k]^^^)とタグ乱数R’_jとの排他的論理和を算出する。得られる値がワイルドカード要素CT_{j,1,GNUM(W_n)[k]}である。
 暗号化タグCT_{GNUM(W_n)}は、さらに、判定要素CT_{L+1,GNUM(W_n)}を有する。
 暗号化タグ生成部527は、判定要素CT_{L+1,GNUM(W_n)}を以下のように算出する。
 まず、暗号化タグ生成部527は、タグ乱数組R’のL個の乱数の排他的論理和を算出する。得られる値を演算値(R’+)と呼ぶ。
 そして、暗号化タグ生成部527は、演算値(R’+)を入力として関数F_7を実行する。得られる値が判定要素CT_{L+1,GNUM(W_n)}である。
 関数F_7の一例は、SHA-1のようなハッシュ関数である。
 暗号化タグ群CT_GNUMは以下のように表すことができる。
 CT_GNUM = {CT_{GNUM(W_1)},・・・,CT_{GNUM(W_N)}}
 CT_{GNUM(W_n)} = (CT_{0,GNUM(W_n)},CT_{1,0,GNUM(W_n)[1]},・・・,CT_{L,0,GNUM(W_n)[1]},・・・,CT_{1,0,GNUM(W_n)[K]},・・・,CT_{L,0,GNUM(W_n)[K]},CT_{1,1,GNUM(W_n)[1]},・・・,CT_{L,1,GNUM(W_n)[1]},・・・,CT_{1,1,GNUM(W_n)[K]},・・・,CT_{L,1,GNUM(W_n)[K]},CT_{L+1,GNUM(W_n)})
 nは1以上N以下の整数である。
 CT_{0,GNUM(W_n)} = S’
 CT_{j,0,GNUM(W_n)[k]} = F_6(F_5(F_2(TK(i),B_j||j),GNUM(W_n)[k]),S’)+R’_j
 CT_{j,1,GNUM(W_n)[k]} = F_6(F_5(F_2(TK(i),*||j),PM(W_n)[k]),S’)+R’_j
 jは1以上L以下の整数、kは1以上K以下の整数である。
 R’+ = R’_1+・・・+R’_L
 CT_{L+1,GNUM(W_n)} = F_7(R’+)
 登録キーワードW_nを特定しない場合、「GNUM(W_n)」は省略される。その場合、暗号化タグCT_{GNUM(W_n)}は暗号化タグCTと記される。
 ステップS348において、登録部530は、暗号化データCと暗号化タグ群CT_GNUMとの組をデータ管理装置700に登録する。
 具体的には、登録部530は、暗号化データCと暗号化タグ群CT_GNUMとの組をデータ管理装置700に送信する。データ管理装置700において、受付部710は、暗号化データCと暗号化タグ群CT_GNUMとの組を受信し、受信した組を記憶部791に記憶する。つまり、受付部710は、暗号化データCと暗号化タグ群CT_GNUMとを互いに対応付けて記憶部791に記憶する。そして、暗号化データCと暗号化タグ群CT_GNUMとの組が記憶部791に保管される。
 図29に基づいて、検索操作(S350)を説明する。
 検索操作(S350)において、検索操作装置600は、ユーザ鍵UK(i)と検索範囲[FROM,TO]を受け付け、検索結果{M}を出力する。
 ステップS351において、受付部610は、ユーザ鍵UK(i)を受け付ける。
 ステップS351は、実施の形態1におけるステップS151と同じである(図18参照)。
 ステップS352において、受付部610は、検索範囲[FROM,TO]を受け付ける。
 「FROM」は、検索範囲の下限値を意味する。
 「TO」は、検索範囲の上限値を意味する。
 [FROM,TO]は、「FROM」以上「TO」以下の数値を意味する。
 具体的には、受付部610は、検索操作装置600に入力された検索範囲[FROM,TO]を入出力インタフェース604を介して受け付ける。但し、受付部610は、検索範囲[FROM,TO]をアプリケーションプログラムから受け付けてもよい。
 ステップS353において、数値列挙部623は、検索範囲[FROM,TO]に対する数集合RANGEを生成する。
 数集合RANGEは、「FROM」から「TO」までの数値を全て含む集合である。
 まず、数値列挙部623は、[FROM,TO]に含まれる数値を全て列挙する。
 そして、数値列挙部623は、列挙された数値を汎化する。
 具体的には、列挙される数値は整数である。
 検索範囲が[78,111]である場合、数値列挙部623は、78から111までの34個の整数を列挙する。そして、数値列挙部623は、80から89までの整数を「8?」に置き換え、90から99までの整数を「9?」に置き換え、100から109までの整数を「10?」に置き換える。その結果、「78」「79」「8?」「9?」「10?」「110」「111」の7個の汎化数値が得られる。
 数集合RANGEは次のように表すことができる。Yは1以上の整数である。
 RANGE=(RANGE[1],・・・,RANGE[Y])
 検索範囲が[78,111]である場合、汎化数値RANGE[y]は以下の通りである。yは1以上Y以下の整数である。
 RANGE [1] = 78
 RANGE [2] = 79
 RANGE [3] = 8?
 RANGE [4] = 9?
 RANGE [5] = 10?
 RANGE [6] = 110
 RANGE [7] = 111
 但し、列挙される数値に小数が含まれてもよい。その場合、小数第何位までの数値が列挙するかを事前に定めるとよい。
 ステップS354において、検索クエリ生成部624は、タグ属性鍵データTAK(i)と数集合RANGEとを用いて、検索クエリQを生成する。
 検索クエリQは、フラグ要素Qb_jを有する。
 検索クエリ生成部624は、フラグ要素Qb_jを以下のように算出する。
 まず、検索クエリ生成部624は、タグ属性鍵データTAK(i)からフラグ値Tb_jを抽出する。
 そして、検索クエリ生成部624は、フラグ値Tb_jをフラグ要素Qb_jに設定する。つまり、フラグ要素Qb_jはフラグ値Tb_jと同じである。
 検索クエリQは、さらに、属性キーワード要素Q_j[y]を有する。
 属性キーワード要素Q_j[y]は次のように表すことができる。yは1以上Y以下の整数である。
 Q_j=(Q_j[1],・・・,Q_j[Y])
 検索クエリ生成部624は、属性キーワード要素Q_j[y]を以下のように算出する。
 まず、検索クエリ生成部624は、タグ属性鍵データTAK(i)からタグ属性鍵TAK_jを抽出する。
 そして、検索クエリ生成部624は、タグ属性鍵TAK_jと汎化数値RANGE[y]とを入力として関数F_5を実行する。得られる値が属性キーワード要素Q_j[y]である。
 検索クエリQは以下のように表すことができる。yは1以上Y以下の整数である。
 Q = ((Qb_1,Q_1[1],・・・,Q_1[Y]),・・・,(Qb_L,Q_L[1],・・・,Q_L[Y]))
 Qb_j = Tb_j
 Q_j[y] = F_5(TAK_j,RANGE[y])
 ステップS355において、要求部630は、検索クエリQをデータ管理装置700へ送信する。
 ステップS355は、実施の形態1におけるステップS154と同じである(図18参照)。
 ステップS356において、要求部630は、検索結果{C}をデータ管理装置700から受信する。検索結果{C}は、検索にヒットした暗号化データCの集合である。
 ステップS356は、実施の形態1におけるステップS155と同じである。
 ステップS357において、復号部640は、データ属性鍵データDAK(i)を用いて、各暗号化データCから平文Mを復号する。平文Mの集合を検索結果{M}と呼ぶ。
 ステップS357は、実施の形態1におけるステップS156と同じである。
 ステップS358において、出力部650は、検索結果{M}を出力する。
 ステップS358は、実施の形態1におけるステップS157と同じである。
 図30に基づいて、データ検索(S360)を説明する。
 データ検索(S360)において、データ管理装置700は、検索クエリQを受信し、暗号結果{C}を送信する。
 ステップS361において、受付部710は、検索クエリQを検索操作装置600から受信する。
 ステップS361は、実施の形態1におけるステップS161と同じである(図19参照)。
 ステップS362において、照合部724は、検索クエリQを各暗号化タグCTと照合することによって、検索クエリQに合致する暗号化タグCTを選択する。
 暗号化タグCTについて登録キーワードの記号{GNUM(W_n)}は省略する。
 具体的には、照合部724は、以下のように検索クエリQを各暗号化タグCTと照合する。yは1以上Y以下の整数である。kは1以上K以下の整数である。
 まず、照合部724は、演算値V_1[y,k]を算出する。演算値V_1[y,k]については後述する。
 次に、照合部724は、演算値V_1[y,k]を入力として関数F_7を実行する。得られる値を照合値V_2[y,k]と呼ぶ。
 そして、照合部724は、照合値V_2[y,k]を判定要素CT_{L+1}と比較する。
 照合値V_2[y,k]が判定要素CT_{L+1}と一致している場合、暗号化タグCTは検索クエリQに合致している。つまり、暗号化タグCTに対応する登録数値は検索範囲に含まれる。
 照合部724は、演算値V_1[y,k]を以下のように算出する。
 まず、照合部724は、検索クエリQからフラグ要素Qb_jを抽出する。jは1以上L以下の整数である。
 次に、照合部724は、抽出したフラグ要素Qb_jに基づいて、暗号化タグCTから属性要素の組CTj0またはワイルドカード要素の組CTj1を選択する。
 属性要素の組CTj0とワイルドカード要素の組CTj1とのそれぞれは次のように表される。
 CTj0=(CT_{j,0,[1]},・・・,CT_{j,0,[K]})
 CTj1=(CT_{j,1,[1]}、CT_{j,1,[K]})
 照合部724は、属性要素の組CTj0またはワイルドカード要素の組CTj1を次のように選択する。
 フラグ要素Qb_jが「0」である場合、照合部724は属性要素の組CRj0を選択する。フラグ要素Qb_jが「1」である場合、照合部724はワイルドカード要素の組CRj1を選択する。
 選択される組を選択要素CTjと呼ぶ。
 次に、照合部724は、検索クエリQから属性キーワード要素Q_jを抽出する。
 次に、照合部724は、属性キーワード要素Q_j[y]と乱数要素CT_0とを入力として関数F_6を実行する。得られる値を関数値(CTj[y]^)と呼ぶ。
 次に、照合部724は、各関数値(CTj[y]^)と選択要素(CTj[k])との排他的論理和を算出する。得られる値を抽出乱数(R’j[y,k]^)と呼ぶ。
 そして、照合部724は、全ての階層の抽出乱数(R’j[y,k]^)の排他的論理和を算出する。得られる値が演算値V_1[y,k]である。
 演算値V_1[y,k]と照合値V_2[y,k]とのそれぞれは、以下のように表すことができる。
 V_1[y,k] = (F_6(Q_1[y],CT_{0})+CT_{1,Qb_1,[k]})+・・・+(F_6(Q_L[y],CT_{0})+CT_{L,Qb_L,[k]})
 V_2[y,k] = F_7(V_1[y,k])
 B≧Aを満たし、かつ、登録数値W_nが検索範囲[FROM,TO]に含まれる場合、次のような演算値V_1[y,k]を満たすある整数の組(y,k)が存在する。
 V_1[y,k] = R’_1+・・・+R’_L
 その結果、その整数の組(y,k)に対して次の式が成り立つ。
 V_2[y,k] = F_7(V_1[y,k])= F_7(R’_1+・・・+R’_L)= CT_{L+1}
 登録時の数値が「87」であり、検索範囲が[78,111]である場合、整数yは「3」であり、整数kは「2」である。
 B≧Aを満たし、登録数値W_nが検索範囲[FROM,TO]に含まれない場合、乱数R’_jが正しく復元できず、演算値V_1[y,k]を得ることができない。
 B≧Aを満たさず、登録数値W_nが検索範囲[FROM,TO]に含まれる場合、乱数R’_jが正しく復元できず、演算値V_1[y,k]を得ることができない。
 そのため、どのような整数の組(y,k)に対しても、照合値V_2[y,k](=F_7(V_1[y,k]))が判定要素C_{L+1}(=F_7(R’_1+・・・+R’_L))とが一致する確率は非常に低い。
 ステップS362で選択された暗号化タグCT、つまり、検索クエリQに合致した暗号化タグCTを該当暗号化タグCTと呼ぶ。
 ステップS363において、抽出部722は、該当暗号化タグCTに対応する暗号化データCを抽出する。抽出される暗号化データCを該当暗号化データCと呼ぶ
 ステップS363は、実施の形態1におけるステップS163と同じである。(図19参照)。
 ステップS364において、出力部730は、暗号結果{C}を検索操作装置600へ送信する。暗号結果{C}は該当暗号化データCの集合である。
 ステップS364は、実施の形態1におけるステップS164と同じである(図19参照)。
 データ削除(S170)は、実施の形態1で説明した通りである(図20参照)。
 データ削除(S170)において、データ管理装置700は、削除ファイル名に対応する暗号化データCと暗号化タグCT_Wとの組を削除する。
***実施の形態3の効果***
 実施の形態3により、登録数値が検索範囲に含まれる場合に検索がヒットする。
 汎化した数値が使われることにより、検索クエリのサイズが削減される。
***実施の形態のまとめ***
 実施の形態1により、完全一致検索対応のマルチユーザ秘匿検索が可能となる。
 実施の形態2により、部分一致検索対応のマルチユーザ秘匿検索が可能となる。
 実施の形態3により、範囲検索対応のマルチユーザ秘匿検索が可能となる。
***実施の形態の補足***
 図31に基づいて、マスター鍵装置200のハードウェア構成を説明する。
 マスター鍵装置200は処理回路209を備える。
 処理回路209は、受付部210と生成部220と出力部230と記憶部291とを実現するハードウェアである。
 処理回路209は、専用のハードウェアであってもよいし、メモリ202に格納されるプログラムを実行するプロセッサ201であってもよい。
 処理回路209が専用のハードウェアである場合、処理回路209は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 ASICはApplication Specific Integrated Circuitの略称であり、FPGAはField Programmable Gate Arrayの略称である。
 マスター鍵装置200は、処理回路209を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路209の役割を分担する。
 マスター鍵装置200において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路209はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 図32に基づいて、登録鍵装置300のハードウェア構成を説明する。
 登録鍵装置300は処理回路309を備える。
 処理回路309は、受付部310と生成部320と出力部330と記憶部391とを実現するハードウェアである。
 処理回路309は、専用のハードウェアであってもよいし、メモリ302に格納されるプログラムを実行するプロセッサ301であってもよい。
 処理回路309が専用のハードウェアである場合、処理回路309は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 登録鍵装置300は、処理回路309を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路309の役割を分担する。
 登録鍵装置300において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路309はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 図33に基づいて、ユーザ鍵装置400のハードウェア構成を説明する。
 ユーザ鍵装置400は処理回路409を備える。
 処理回路409は、受付部410と生成部420と出力部430と記憶部491とを実現するハードウェアである。
 処理回路409は、専用のハードウェアであってもよいし、メモリ402に格納されるプログラムを実行するプロセッサ401であってもよい。
 処理回路409が専用のハードウェアである場合、処理回路409は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 ユーザ鍵装置400は、処理回路409を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路409の役割を分担する。
 ユーザ鍵装置400において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路409はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 図34に基づいて、登録装置500のハードウェア構成を説明する。
 登録装置500は処理回路509を備える。
 処理回路509は、受付部510と生成部520と登録部530と記憶部591とを実現するハードウェアである。
 処理回路509は、専用のハードウェアであってもよいし、メモリ502に格納されるプログラムを実行するプロセッサ501であってもよい。
 処理回路509が専用のハードウェアである場合、処理回路509は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 登録装置500は、処理回路509を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路509の役割を分担する。
 登録装置500において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路509はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 図35に基づいて、検索操作装置600のハードウェア構成を説明する。
 検索操作装置600は処理回路609を備える。
 処理回路609は、受付部610と生成部620と要求部630と復号部640と出力部650と記憶部691とを実現するハードウェアである。
 処理回路609は、専用のハードウェアであってもよいし、メモリ602に格納されるプログラムを実行するプロセッサ601であってもよい。
 処理回路609が専用のハードウェアである場合、処理回路609は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 検索操作装置600は、処理回路609を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路609の役割を分担する。
 検索操作装置600において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路609はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 図36に基づいて、データ管理装置700のハードウェア構成を説明する。
 データ管理装置700は処理回路709を備える。
 処理回路709は、受付部710と検索部720と出力部730と記憶部791とを実現するハードウェアである。
 処理回路709は、専用のハードウェアであってもよいし、メモリ702に格納されるプログラムを実行するプロセッサ701であってもよい。
 処理回路709が専用のハードウェアである場合、処理回路709は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ASIC、FPGAまたはこれらの組み合わせである。
 データ管理装置700は、処理回路709を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路709の役割を分担する。
 データ管理装置700において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。
 このように、処理回路709はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。
 実施の形態は、好ましい形態の例示であり、本発明の技術的範囲を制限することを意図するものではない。実施の形態は、部分的に実施してもよいし、他の形態と組み合わせて実施してもよい。フローチャート等を用いて説明した手順は、適宜に変更してもよい。
 100 秘匿検索システム、101 ネットワーク、200 マスター鍵装置、201 プロセッサ、202 メモリ、203 補助記憶装置、204 入出力インタフェース、205 通信装置、209 処理回路、210 受付部、220 生成部、230 出力部、291 記憶部、300 登録鍵装置、301 プロセッサ、302 メモリ、303 補助記憶装置、304 入出力インタフェース、305 通信装置、309 処理回路、310 受付部、320 生成部、330 出力部、391 記憶部、400 ユーザ鍵装置、401 プロセッサ、402 メモリ、403 補助記憶装置、404 入出力インタフェース、405 通信装置、409 処理回路、410 受付部、420 生成部、422 属性鍵生成部、430 出力部、491 記憶部、500 登録装置、501 プロセッサ、502 メモリ、503 補助記憶装置、504 入出力インタフェース、505 通信装置、509 処理回路、510 受付部、520 生成部、521 乱数生成部、522 暗号化データ生成部、523 キーワード取得部、524 暗号化タグ生成部、525 乱数生成部、526 部分一致キーワード生成部、527 暗号化タグ生成部、528 汎化数値生成部、530 登録部、591 記憶部、600 検索操作装置、601 プロセッサ、602 メモリ、603 補助記憶装置、604 入出力インタフェース、605 通信装置、609 処理回路、610 受付部、620 生成部、622 検索クエリ生成部、623 数値列挙部、624 検索クエリ生成部、630 要求部、640 復号部、650 出力部、691 記憶部、700 データ管理装置、701 プロセッサ、702 メモリ、703 補助記憶装置、704 入出力インタフェース、705 通信装置、709 処理回路、710 受付部、720 検索部、721 照合部、722 抽出部、723 照合部、724 照合部、730 出力部、791 記憶部、792 登録データベース。

Claims (21)

  1.  利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rを生成する乱数生成部と、
     平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する暗号化データ生成部と、
     前記暗号化データCをデータ管理装置に登録する登録部と
    を備える登録装置。
  2.  前記関数F_2と前記関数F_3とのそれぞれが擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数であり、前記関数F_4が共通鍵暗号方式の関数である
    請求項1に記載の登録装置。
  3.  前記登録装置は、さらに、暗号化タグ生成部を備え、
     前記乱数生成部は、前記層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるタグ乱数組R’を生成し、
     前記暗号化タグ生成部は、前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と登録キーワードとを入力として関数F_5を実行し、前記関数F_5の関数値を入力として関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,0}を算出し、前記タグ乱数組R’の排他的論理和を入力として関数F_7を実行し、前記属性要素CT_{j,0,0}と前記関数F_7の関数値である判定要素CT_{L+1}とを含んだ暗号化タグCTを生成し、
     前記登録部は、前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する
    請求項1または請求項2に記載の登録装置。
  4.  前記関数F_5と前記関数F_6とのそれぞれが擬似ランダム関数、ハッシュ関数または共通鍵暗号方式の関数であり、前記関数F_7がハッシュ関数である
    請求項3に記載の登録装置。
  5.  検索キーワードwを入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部と
    を備える検索操作装置であって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索操作装置から前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と登録キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,0}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,0}と前記関数F_7の関数値である前記判定要素CT_{L+1}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作装置。
  6.  暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     検索操作装置から検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部と
    を備えるデータ管理装置であって、
     前記検索操作装置は、
     検索キーワードwを入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを前記データ管理装置へ送信し、前記データ管理装置から前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と登録キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,0}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,0}と前記関数F_7の関数値である前記判定要素CT_{L+1}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とするデータ管理装置。
  7.  利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rを生成する乱数生成処理と、
     平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付処理と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する暗号化データ生成処理と、
     前記暗号化データCをデータ管理装置に登録する登録処理と
    をコンピュータに実行させるための登録プログラム。
  8.  検索キーワードwを入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成処理と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求処理と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号処理と
    をコンピュータに実行させるための検索操作プログラムであって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1}と一致する場合に前記暗号化データCを送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と登録キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,0}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,0}と前記関数F_7の関数値である前記判定要素CT_{L+1}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作プログラム。
  9.  暗号化データCと暗号化タグCTとの組が登録装置によって登録された後、検索操作装置から検索クエリQを受信する受付処理と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1}と比較する照合処理と、
     前記照合値V_2が前記判定要素CT_{L+1}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力処理と
    をコンピュータに実行させるためのデータ管理プログラムであって、
     前記検索操作装置は、
     検索キーワードwを入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを送信し、前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と登録キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,0}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,0}と前記関数F_7の関数値である前記判定要素CT_{L+1}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を登録する登録部とを備える
    ことを特徴とするデータ管理プログラム。
  10.  前記登録装置は、さらに、部分一致キーワード生成部と暗号化タグ生成部とを備え、
     前記乱数生成部は、前記層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるタグ乱数組R’を生成し、
     前記部分一致キーワード生成部は、登録キーワードの一部である部分一致キーワードを生成し、
     前記暗号化タグ生成部は、前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である判定要素CT_{L+1,PM}とを含んだ暗号化タグCTを生成し、
     前記登録部は、前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する
    請求項1または請求項2に記載の登録装置。
  11.  検索キーワードwを入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部と
    を備える検索操作装置であって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索操作装置から前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,PM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,PM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録キーワードの一部である部分一致キーワードを生成する部分一致キーワード生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である前記判定要素CT_{L+1,PM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作装置。
  12.  暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     検索操作装置から検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,PM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,PM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部と
    を備えるデータ管理装置であって、
     前記検索操作装置は、
     検索キーワードwを入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを前記データ管理装置へ送信し、前記データ管理装置から前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録キーワードの一部である部分一致キーワードを生成する部分一致キーワード生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である前記判定要素CT_{L+1,PM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とするデータ管理装置。
  13.  利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成処理と、
     平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付処理と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する暗号化データ生成処理と、
     登録キーワードの一部である部分一致キーワードを生成する部分一致キーワード生成処理と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である前記判定要素CT_{L+1,PM}とを含んだ暗号化タグCTを生成する暗号化タグ生成処理と、
     前記暗号化データCと前記暗号化タグCTとの組をデータ管理装置に登録する登録処理と
    をコンピュータに実行させるための登録プログラム。
  14.  検索キーワードwを入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成処理と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求処理と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号処理と
    をコンピュータに実行させるための検索操作プログラムであって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,PM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,PM}と一致する場合に前記暗号化データCを送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録キーワードの一部である部分一致キーワードを生成する部分一致キーワード生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である前記判定要素CT_{L+1,PM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作プログラム。
  15.  暗号化データCと暗号化タグCTとの組が登録装置によって登録された後、検索操作装置から検索クエリQを受信する受付処理と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,PM}と比較する照合処理と、
     前記照合値V_2が前記判定要素CT_{L+1,PM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力処理と
    をコンピュータに実行させるためのデータ管理プログラムであって、
     前記検索操作装置は、
     検索キーワードwを入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを送信し、前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録キーワードの一部である部分一致キーワードを生成する部分一致キーワード生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記部分一致キーワードとを入力として前記関数F_5を実行し、前記関数F_5の関数値と前記登録キーワードにおける前記部分一致キーワードの開始位置を示す開始位置番号とを入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,PM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,PM}と前記関数F_7の関数値である前記判定要素CT_{L+1,PM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を登録する登録部とを備える
    ことを特徴とするデータ管理プログラム。
  16.  前記登録装置は、さらに、汎化数値生成部と暗号化タグ生成部とを備え、
     前記乱数生成部は、前記層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるタグ乱数組R’を生成し、
     前記汎化数値生成部は、登録数値を汎化して汎化数値を生成し、
     前記暗号化タグ生成部は、前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として関数F_5を実行し、前記関数F_5の関数値を入力として関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である判定要素CT_{L+1,GNUM}とを含んだ暗号化タグCTを生成し、
     前記登録部は、前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する
    請求項1または請求項2に記載の登録装置。
  17.  検索範囲の数数値を汎化して汎化数値を生成する数値列挙部と、
     前記汎化数値を入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部と
    を備える検索操作装置であって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索操作装置から前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,GNUM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,GNUM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録数値を汎化して汎化数値を生成する汎化数値生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である前記判定要素CT_{L+1,GNUM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作装置。
  18.  暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     検索操作装置から検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,GNUM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,GNUM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力部と
    を備えるデータ管理装置であって、
     前記検索操作装置は、
     検索範囲の数数値を汎化して汎化数値を生成する数値列挙部と、
     前記汎化数値を入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを前記データ管理装置へ送信し、前記データ管理装置から前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録数値を汎化して汎化数値を生成する汎化数値生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である前記判定要素CT_{L+1,GNUM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とするデータ管理装置。
  19.  利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成処理と、
     平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付処理と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である暗号文C_{L+1}とを含んだ暗号化データCを生成する暗号化データ生成処理と、
     登録数値を汎化して汎化数値を生成する汎化数値生成処理と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として関数F_5を実行し、前記関数F_5の関数値を入力として関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である判定要素CT_{L+1,GNUM}とを含んだ暗号化タグCTを生成する暗号化タグ生成処理と、
     前記暗号化データCと前記暗号化タグCTとの組をデータ管理装置に登録する登録処理と
    をコンピュータに実行させるための登録プログラム。
  20.  検索範囲の数数値を汎化して汎化数値を生成する数値列挙処理と、
     前記汎化数値を入力として関数F_5を実行することによって得られる値である属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ検索クエリQを生成する検索クエリ生成処理と、
     前記検索クエリQをデータ管理装置へ送信し、前記データ管理装置から暗号化データCを受信する要求処理と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号処理と
    をコンピュータに実行させるための検索操作プログラムであって、
     前記データ管理装置は、
     前記暗号化データCと暗号化タグCTとの組が登録装置によって登録される記憶部と、
     前記検索クエリQを受信する受付部と、
     前記検索クエリQに含まれる前記属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,GNUM}と比較する照合部と、
     前記照合値V_2が前記判定要素CT_{L+1,GNUM}と一致する場合に前記暗号化データCを送信する出力部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録数値を汎化して汎化数値を生成する汎化数値生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である前記判定要素CT_{L+1,GNUM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を前記データ管理装置に登録する登録部とを備える
    ことを特徴とする検索操作プログラム。
  21.  暗号化データCと暗号化タグCTとの組が登録装置によって登録された後、検索操作装置から検索クエリQを受信する受付処理と、
     前記検索クエリQに含まれる属性キーワード要素Q_jを入力として関数F_6を実行し、前記関数F_6の関数値に基づく演算値V_1を入力として関数F_7を実行し、得られる値である照合値V_2を前記暗号化タグCTに含まれる判定要素CT_{L+1,GNUM}と比較する照合処理と、
     前記照合値V_2が前記判定要素CT_{L+1,GNUM}と一致する場合に前記暗号化データCを前記検索操作装置に送信する出力処理と
    をコンピュータに実行させるためのデータ管理プログラムであって、
     前記検索操作装置は、
     検索範囲の数数値を汎化して汎化数値を生成する数値列挙部と、
     前記汎化数値を入力として関数F_5を実行することによって得られる値である前記属性キーワード要素Q_jを算出し、前記属性キーワード要素Q_jを含んだ前記検索クエリQを生成する検索クエリ生成部と、
     前記検索クエリQを送信し、前記暗号化データCを受信する要求部と、
     前記暗号化データCに含まれる暗号文C_{L+1}を入力として関数F_4の復号関数を実行することによって、平文Mを復号する復号部とを備え、
     前記登録装置は、
     利用者の属性が成す階層の層数Lと同じ個数の乱数の組であって一様ランダムな乱数の組であるデータ乱数組Rとタグ乱数組R’とを生成する乱数生成部と、
     前記平文Mと、前記平文Mの参照が許可される利用者の各層の属性値を示す属性情報Bとを受け付ける受付部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として関数F_2を実行し、前記関数F_2の関数値を入力として関数F_3を実行し、前記関数F_3の関数値と前記データ乱数組Rのj番の乱数との排他的論理和である属性要素C_{j,0,0}を算出し、前記平文Mと前記データ乱数組Rの排他的論理和とを入力として前記関数F_4を実行し、前記属性要素C_{j,0,0}と前記関数F_4の関数値である前記暗号文C_{L+1}とを含んだ前記暗号化データCを生成する暗号化データ生成部と、
     登録数値を汎化して汎化数値を生成する汎化数値生成部と、
     前記属性情報Bの各層jの属性値と各層jの番号との連結値を入力として前記関数F_2を実行し、前記関数F_2の関数値と前記汎化数値とを入力として前記関数F_5を実行し、前記関数F_5の関数値を入力として前記関数F_6を実行し、前記関数F_6の関数値と前記タグ乱数組R’のj番の乱数との排他的論理和である属性要素CT_{j,0,GNUM}を算出し、前記タグ乱数組R’の排他的論理和を入力として前記関数F_7を実行し、前記属性要素CT_{j,0,GNUM}と前記関数F_7の関数値である前記判定要素CT_{L+1,GNUM}とを含んだ前記暗号化タグCTを生成する暗号化タグ生成部と、
     前記暗号化データCと前記暗号化タグCTとの組を登録する登録部とを備える
    ことを特徴とするデータ管理プログラム。
PCT/JP2018/048547 2018-01-17 2018-12-28 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム WO2019142651A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
EP18901471.5A EP3696797B1 (en) 2018-01-17 2018-12-28 Registration device, search operation device, data management device, registration program, search operation program, and data management program
JP2019566400A JP6910477B2 (ja) 2018-01-17 2018-12-28 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
US16/961,365 US11233629B2 (en) 2018-01-17 2018-12-28 Registration apparatus, search operation apparatus, data management apparatus
CN201880085839.6A CN111587452B (zh) 2018-01-17 2018-12-28 登记装置、检索操作装置、数据管理装置和计算机能读取的存储介质

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
PCT/JP2018/001233 WO2019142268A1 (ja) 2018-01-17 2018-01-17 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
JPPCT/JP2018/001233 2018-01-17

Publications (1)

Publication Number Publication Date
WO2019142651A1 true WO2019142651A1 (ja) 2019-07-25

Family

ID=67301759

Family Applications (2)

Application Number Title Priority Date Filing Date
PCT/JP2018/001233 WO2019142268A1 (ja) 2018-01-17 2018-01-17 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
PCT/JP2018/048547 WO2019142651A1 (ja) 2018-01-17 2018-12-28 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム

Family Applications Before (1)

Application Number Title Priority Date Filing Date
PCT/JP2018/001233 WO2019142268A1 (ja) 2018-01-17 2018-01-17 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム

Country Status (5)

Country Link
US (1) US11233629B2 (ja)
EP (1) EP3696797B1 (ja)
JP (1) JP6910477B2 (ja)
CN (1) CN111587452B (ja)
WO (2) WO2019142268A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021144848A1 (ja) * 2020-01-14 2021-07-22 三菱電機株式会社 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
JPWO2021144834A1 (ja) * 2020-01-14 2021-07-22
WO2024142343A1 (ja) * 2022-12-28 2024-07-04 三菱電機株式会社 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム
JP7573797B1 (ja) 2022-12-28 2024-10-25 三菱電機株式会社 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019142268A1 (ja) * 2018-01-17 2019-07-25 三菱電機株式会社 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
DE112021007462T5 (de) 2021-06-11 2024-02-08 Mitsubishi Electric Corporation Erzeugungsvorrichtung für ein verschlüsseltes tag, durchsuchbares verschlüsselungssystem, erzeugungsverfahren für ein verschlüsseltes tag und erzeugungsprogramm für ein verschlüsseltes tag
CN114756886B (zh) * 2022-06-13 2022-08-16 华控清交信息科技(北京)有限公司 一种匿踪查询方法、装置和用于匿踪查询的装置
CN117932677A (zh) * 2024-01-26 2024-04-26 北京字跳网络技术有限公司 用于安全计算的数据元组生成方法、装置、介质及设备

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6038427B2 (ja) 1976-07-12 1985-08-31 関西ペイント株式会社 水性被覆用組成物
US20070174238A1 (en) * 2006-01-18 2007-07-26 Microsoft Corporation Indexing and searching numeric ranges
WO2011086687A1 (ja) 2010-01-15 2011-07-21 三菱電機株式会社 秘匿検索システム及び暗号処理システム
WO2012004880A1 (ja) * 2010-07-08 2012-01-12 三菱電機株式会社 キーワード変換装置、キーワード変換プログラム、記録媒体及びキーワード変換方法
JP2014078770A (ja) * 2012-10-06 2014-05-01 Mitsubishi Electric Corp アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
US20150039903A1 (en) * 2013-08-05 2015-02-05 International Business Machines Corporation Masking query data access pattern in encrypted data
JP2016115997A (ja) * 2014-12-11 2016-06-23 国立大学法人東京工業大学 蓄積情報アクセス制御方法およびそのプログラム
WO2017122352A1 (ja) * 2016-01-15 2017-07-20 三菱電機株式会社 暗号化装置、暗号化方法及び暗号化プログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4050050B2 (ja) 2001-12-17 2008-02-20 株式会社アクアキャスト リレーショナルデータベース及びそのリレーショナルデータベースにおけるインデックステーブルの作成方法並びに該リレーショナルデータベースにおける範囲検索の方法およびその範囲検索のための順位検索方法
US7617793B2 (en) * 2002-08-28 2009-11-17 Van Oossanen & Associates Vessel provided with a foil situated below the waterline
JP2005242740A (ja) 2004-02-27 2005-09-08 Open Loop:Kk 情報セキュリティシステムのプログラム、記憶媒体、及び情報処理装置
US8233619B2 (en) * 2006-06-07 2012-07-31 Stmicroelectronics S.R.L. Implementation of AES encryption circuitry with CCM
WO2008105343A1 (ja) * 2007-02-28 2008-09-04 Nec Corporation メッセージ認証装置
JP5447510B2 (ja) * 2009-05-11 2014-03-19 日本電気株式会社 タグ生成装置、タグ検証装置、通信システム、タグ生成方法、タグ検証方法および記録媒体
JP5412414B2 (ja) * 2010-12-08 2014-02-12 株式会社日立製作所 検索可能暗号処理システム
CN103329184B (zh) * 2011-01-13 2016-02-03 三菱电机株式会社 数据处理装置以及数据保管装置
JP5391212B2 (ja) 2011-01-21 2014-01-15 日本電信電話株式会社 セキュア検索システム、秘密検索装置、セキュア検索方法、セキュア検索プログラム
EP2738689A4 (en) * 2011-07-29 2015-04-29 Nec Corp SYSTEM FOR GENERATING A DISPLAY OF INFORMATION RESISTANT INDEX, INDEX GENERATING DEVICE AND METHOD THEREFOR
EP2808803B1 (en) * 2012-01-25 2017-03-01 Mitsubishi Electric Corporation Data search device, data search method, data search program, data registration device, data registration method, data registration program and information processing device
JP2015170057A (ja) 2014-03-05 2015-09-28 富士通株式会社 秘匿検索装置、秘匿検索方法および秘匿検索プログラム
CN104217230B (zh) * 2014-08-29 2017-03-15 公安部交通管理科学研究所 隐藏超高频电子标签识别号的安全认证方法
JP6419633B2 (ja) 2015-04-09 2018-11-07 株式会社日立ソリューションズ 検索システム
WO2017122326A1 (ja) * 2016-01-14 2017-07-20 三菱電機株式会社 秘匿検索システム、秘匿検索方法及び秘匿検索プログラム
JP6494893B2 (ja) 2017-01-12 2019-04-03 三菱電機株式会社 暗号化タグ生成装置、検索クエリ生成装置及び秘匿検索システム
EP3657475B1 (en) * 2017-09-12 2021-08-25 Mitsubishi Electric Corporation Data processing apparatus, data processing method, and data processing program
WO2019142268A1 (ja) * 2018-01-17 2019-07-25 三菱電機株式会社 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
EP3731107B1 (en) * 2018-01-17 2021-10-27 Mitsubishi Electric Corporation Data management device, search device, registration device, data management method, and data management program

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS6038427B2 (ja) 1976-07-12 1985-08-31 関西ペイント株式会社 水性被覆用組成物
US20070174238A1 (en) * 2006-01-18 2007-07-26 Microsoft Corporation Indexing and searching numeric ranges
WO2011086687A1 (ja) 2010-01-15 2011-07-21 三菱電機株式会社 秘匿検索システム及び暗号処理システム
WO2012004880A1 (ja) * 2010-07-08 2012-01-12 三菱電機株式会社 キーワード変換装置、キーワード変換プログラム、記録媒体及びキーワード変換方法
JP2014078770A (ja) * 2012-10-06 2014-05-01 Mitsubishi Electric Corp アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
US20150039903A1 (en) * 2013-08-05 2015-02-05 International Business Machines Corporation Masking query data access pattern in encrypted data
JP2016115997A (ja) * 2014-12-11 2016-06-23 国立大学法人東京工業大学 蓄積情報アクセス制御方法およびそのプログラム
WO2017122352A1 (ja) * 2016-01-15 2017-07-20 三菱電機株式会社 暗号化装置、暗号化方法及び暗号化プログラム

Non-Patent Citations (7)

* Cited by examiner, † Cited by third party
Title
HIRANO, TAKATO ET AL: "Multi-user confidential search consisting of only common key cryptography", PROCEEDINGS OF THE 2018 CRYPTOGRAPHY AND INFORMATION SECURITY SYMPOSIUM (SCIS 2018); 23-26/01/2018, 23 January 2018 (2018-01-23), pages 1 - 8, XP009520500 *
MENEZES, A. J. ET AL.: "HANDBOOK OF APPLIED CRYPTOGRAPHY", 1997, pages: 234 - 235, XP055625018 *
MENEZES, A. J.VAN OORSCHOT, P. C.VANSTONE, S. A.: "HANDBOOK of APPLIED CRYPTOGRAPHY", 1997, CRC PRESS, pages: 234,235
PATRANABIS, S. ET AL.: "Lightweight Symmetric-Key Hidden Vector Encryption without Pairings", CRYPTOLOGY EPRINT ARCHIVE, REPORT 2017/796, 15 September 2017 (2017-09-15), XP055625008, Retrieved from the Internet <URL:https://eprint.iacr.org/2017/796> [retrieved on 20190325] *
R. A. POPAN. ZELDOVICH: "Multi-Key Searchable Encryption", IACR CRYPTOLOGY EPRINT ARCHIVE: REPORT 2013/508
S. PATRANABISD. MUKHOPADHYAY: "Lightweight Symmetric - Key Hidden Vector Encryption without Pairings", IACR CRYPTOLOGY EPRINT ARCHIVE: REPORT 2017/796
See also references of EP3696797A4

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021144848A1 (ja) * 2020-01-14 2021-07-22 三菱電機株式会社 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
JPWO2021144834A1 (ja) * 2020-01-14 2021-07-22
WO2021144834A1 (ja) * 2020-01-14 2021-07-22 三菱電機株式会社 秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラム
JP6987330B1 (ja) * 2020-01-14 2021-12-22 三菱電機株式会社 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
JP7016458B2 (ja) 2020-01-14 2022-02-04 三菱電機株式会社 秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラム
DE112020005626T5 (de) 2020-01-14 2022-09-01 Mitsubishi Electric Corporation Durchsuchbares verschlüsselungssystem, durchsuchbares verschlüsselungsverfahren und durchsuchbares verschlüsselungsprogramm
DE112020005557T5 (de) 2020-01-14 2022-09-01 Mitsubishi Electric Corporation Registrierungseinrichtung, suchoperationseinrichtung, datenverwaltungseinrichtung, registrierungsprogramm, suchoperationsprogramm und datenverwaltungsprogramm
US11902418B2 (en) 2020-01-14 2024-02-13 Mitsubishi Electric Corporation Registration device, search operation device, and data management device
WO2024142343A1 (ja) * 2022-12-28 2024-07-04 三菱電機株式会社 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム
JP7573797B1 (ja) 2022-12-28 2024-10-25 三菱電機株式会社 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム

Also Published As

Publication number Publication date
US20200351081A1 (en) 2020-11-05
EP3696797B1 (en) 2022-02-16
CN111587452B (zh) 2023-03-31
EP3696797A4 (en) 2020-12-09
CN111587452A (zh) 2020-08-25
JP6910477B2 (ja) 2021-07-28
JPWO2019142651A1 (ja) 2020-10-22
EP3696797A1 (en) 2020-08-19
US11233629B2 (en) 2022-01-25
WO2019142268A1 (ja) 2019-07-25

Similar Documents

Publication Publication Date Title
JP6910477B2 (ja) 登録装置、検索操作装置、データ管理装置、登録プログラム、検索操作プログラムおよびデータ管理プログラム
CN110337649B (zh) 用于搜索模式未察觉的动态对称可搜索加密的方法和系统
EP3096245B1 (en) Retrievable cryptograph processing system and retrievable cryptograph processing method
US10361840B2 (en) Server apparatus, search system, terminal apparatus, search method, non-transitory computer readable medium storing server program, and non-transitory computer readable medium storing terminal program
JP5442161B2 (ja) 検索システム、検索システムの検索方法、情報処理装置、検索プログラム、対応キーワード管理装置および対応キーワード管理プログラム
Liu et al. Efficient searchable symmetric encryption for storing multiple source dynamic social data on cloud
JP6599066B1 (ja) 登録装置、サーバ装置、秘匿検索システム、秘匿検索方法、登録プログラムおよびサーバプログラム
CN108370312B (zh) 加密装置、检索装置、计算机能读取的记录介质、加密方法和检索方法
JP6672451B2 (ja) 暗号化検索インデックスマージサーバ、暗号化検索インデックスマージシステム、及び暗号化検索インデックスマージ方法
US12061604B2 (en) Searchable encryption system
US11902418B2 (en) Registration device, search operation device, and data management device
JP7573797B1 (ja) 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム
WO2024142343A1 (ja) 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、登録要求方法、登録要求プログラム、検索要求方法、検索要求プログラム、データ管理方法及びデータ管理プログラム
CN114902314A (zh) 隐匿检索系统、隐匿检索方法和隐匿检索程序
JP7217836B1 (ja) データ管理装置、秘匿検索システム、秘匿検索方法、および、秘匿検索プログラム
Jiang et al. Secure cloud storage service with an efficient doks protocol
Jing et al. Towards forward secure verifiable data streaming with support for keyword query

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 18901471

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2019566400

Country of ref document: JP

Kind code of ref document: A

ENP Entry into the national phase

Ref document number: 2018901471

Country of ref document: EP

Effective date: 20200514

NENP Non-entry into the national phase

Ref country code: DE