WO2019208485A1

WO2019208485A1 - 秘密集約最大値システム、秘密集約最小値システム、秘密計算装置、秘密集約最大値方法、秘密集約最小値方法、およびプログラム

Info

Publication number: WO2019208485A1
Application number: PCT/JP2019/016986
Authority: WO
Inventors: 大五十嵐
Original assignee: 日本電信電話株式会社
Priority date: 2018-04-25
Filing date: 2019-04-22
Publication date: 2019-10-31
Also published as: JPWO2019208485A1; CN112074890B; AU2019259261A1; AU2019259261B2; EP3786928B1; EP3786928A1; EP3786928A4; US20210243014A1; CN112074890A; JP6973633B2; US11251945B2

Abstract

秘匿性を保ったまま集約最大値を効率的に求める。フラグ変換部（１２）は、グループの最後の要素を表すフラグのシェアを形式変換する。フラグ適用部（１３）は、グループの最後の要素を表すフラグが真のときバリュー属性の値を設定し、フラグが偽のとき所定の値を設定したベクトルのシェアを生成する。ソート部（１４）は、ベクトルを各グループの最後の要素を先頭から順に並ぶように移動する置換でソートしたソート済みベクトルのシェアを生成する。出力部（１５）は、ソート済みベクトルから各グループの最大値を表すベクトルのシェアを生成して出力する。

Description

秘密集約最大値システム、秘密集約最小値システム、秘密計算装置、秘密集約最大値方法、秘密集約最小値方法、およびプログラム

　この発明は秘密計算技術に関し、特に、秘匿性を保ったまま集約関数を計算する技術に関する。

　集約関数は、テーブルにキー属性とバリュー属性があるときに、キー属性の値に基づいてグループ分けした統計値を得る演算である。集約関数は、group-by演算とも呼ばれる。キー属性は、テーブルのレコードをグループ分けするために用いる属性であり、例えば、役職や性別などが挙げられる。バリュー属性は、統計値を計算するために用いる属性であり、例えば、給料や身長などが挙げられる。group-by演算は、例えば、キー属性が性別のときに、男女別の平均身長を求める演算などである。キー属性は複数の属性による複合キーであってもよく、例えば、キー属性が性別と年齢のときに、10代男性の平均身長、20代男性の平均身長、・・・を得るような演算であってもよい。非特許文献１には、group-by演算を秘密計算で行う方法が記載されている。

　集約最大値は、集約関数の一つであり、テーブルをキー属性の値に基づいてグループ分けしたときに、グループごとに所望のバリュー属性の最大値を得る演算である。集約最大値は、group-by最大値とも呼ばれる。group-by最大値は、例えば、キー属性が性別と年齢であり、バリュー属性が給料のときに、10代男性の給料の最高額、20代男性の給料の最高額、・・・を得るような演算である。

　集約最小値は、集約関数の一つであり、テーブルをキー属性の値に基づいてグループ分けしたときに、グループごとに所望のバリュー属性の最小値を得る演算である。集約最小値は、group-by最小値とも呼ばれる。group-by最小値は、例えば、キー属性が性別と年齢であり、バリュー属性が給料のときに、10代男性の給料の最低額、20代男性の給料の最低額、・・・を得るような演算である。

五十嵐大，千田浩司，濱田浩気，高橋克巳，"軽量検証可能３パーティ秘匿関数計算の効率化及びこれを用いたセキュアなデータベース処理"，２０１１年暗号と情報セキュリティシンポジウム

　従来の秘密計算技術では、group-by最大値／最小値を求めるために、nを計算主体の数としてlog(n)の通信回数が必要となり、効率が悪かった。

　この発明の目的は、上記のような技術的課題に鑑みて、秘匿性を保ったままgroup-by最大値／最小値を効率的に求めることができる技術を提供することである。

　上記の課題を解決するために、この発明の第一の態様の秘密集約最大値システムは、複数の秘密計算装置を含む秘密集約最大値システムであって、mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルをバリュー属性の値とキー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]はテーブルをキー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}はテーブルをキー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gはグループの最大数であり、秘密計算装置は、シェア[v]とシェア[e]とを用いて、0以上m-1以下の各整数iについて[e_i]が真ならば[f_i]に[v_i]を設定し、[e_i]が偽ならば[f_i]に所定の固定値を設定して、復元するとベクトルf:=f₀, …, f_m-1となるシェア[f]を生成するフラグ適用部と、シェア[f]とシェア{{σ}}とを用いて、復元するとベクトルfを置換σでソートしたソート済みベクトルσ(f)となるシェア[σ(f)]を生成するソート部と、シェア[σ(f)]を用いて、復元すると各グループの最大値を表すベクトルx:=σ(f)₀, …, σ(f)_min(g,m)-1となるシェア[x]を生成する出力部と、を含む。

　上記の課題を解決するために、この発明の第二の態様の秘密集約最小値システムは、複数の秘密計算装置を含む秘密集約最小値システムであって、mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルをバリュー属性の値とキー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]はテーブルをキー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}はテーブルをキー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gはグループの最大数であり、秘密計算装置は、シェア[e]を用いて、1以上m-1以下の各整数iについて[e'_i]に[e_i-1]を設定し、かつ、[e'₀]に真を設定して、復元するとフラグe':=e'₀, …, e'_m-1となるシェア[e']を生成するフラグシフト部と、シェア[v]とシェア[e']とを用いて、0以上m-1以下の各整数iについて[e'_i]が真ならば[f'_i]に[v_i]を設定し、[e'_i]が偽ならば[f'_i]に所定の固定値を設定して、復元するとベクトルf':=f'₀, …, f'_m-1となるシェア[f']を生成するフラグ適用部と、シェア[f']とシェア{{σ}}とを用いて、復元するとベクトルf'を置換σでソートしたソート済みベクトルσ(f')となるシェア[σ(f')]を生成するソート部と、シェア[σ(f')]を用いて、復元すると各グループの最小値を表すベクトルx':=σ(f')₀, …, σ(f')_min(g,m)-1となるシェア[x']を生成する出力部と、を含む。

　この発明の秘密集約最大値／最小値技術によれば、秘匿性を保ったままgroup-by最大値／最小値をO(1)の通信回数で効率的に求めることができる。

図１は、秘密集約最大値／最小値システムの機能構成を例示する図である。図２は、秘密計算装置の機能構成を例示する図である。図３は、秘密集約最大値方法の処理手続きを例示する図である。図４は、秘密集約最小値方法の処理手続きを例示する図である。図５は、変形例の秘密計算装置の機能構成を例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　[x]∈[F]は、ある値xが任意の環F上の秘密分散等により秘匿されていることを表す。{b}∈{B}は、１ビットのある値bが１ビットを表せる環B上の秘密分散等により秘匿されていることを表す。{{s}}∈{{S_m}}は、m個の要素の置換の集合S_mに属するある置換sが秘密分散等により秘匿されていることを表す。以下、秘密分散された値を「シェア」とも呼ぶ。

　実施形態中で用いる秘密計算におけるソート処理（安定ソートを含む）は、例えば、下記参考文献１に記載されたソートを用いることができる。置換sのシェア{{s}}については下記参考文献１に記載されたハイブリッド置換{{π}}を用いればよい。

　〔参考文献１〕五十嵐大，濱田浩気，菊池亮，千田浩司，“超高速秘密計算ソートの設計と実装: 秘密計算がスクリプト言語に並ぶ日”，ＣＳＳ２０１７
　＜第一実施形態＞
　≪秘密集約最大値システム≫
　この発明の第一実施形態は、group-by最大値を求める秘密集約最大値システムおよび方法である。図１を参照して、第一実施形態の秘密集約最大値システム１００の構成例を説明する。秘密集約最大値システム１００は、N（≧2）台の秘密計算装置１₁, …, １_Nを含む。本形態では、秘密計算装置１₁, …, １_Nはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …, １_Nへオフラインで入力するように構成してもよい。

　図２を参照して、本形態の秘密集約最大値システム１００に含まれる秘密計算装置１_n（n=1, …, N）の構成例を説明する。秘密計算装置１_nは、例えば、図２に示すように、入力部１０、フラグ変換部１２、フラグ適用部１３、ソート部１４、および出力部１５を含む。この秘密計算装置１_n（1≦n≦N）が他の秘密計算装置１_n'（n'=1, …, N、ただしn≠n'）と協調しながら後述する各ステップの処理を行うことにより第一実施形態の秘密集約最大値方法が実現される。

　秘密計算装置１_nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_nの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　図３を参照して、第一実施形態の秘密集約最大値システム１００が実行する秘密集約最大値方法の処理手続きを説明する。

　ステップＳ１０において、各秘密計算装置１_nの入力部１０は、バリュー属性v∈F^mを秘密分散により秘匿したシェア[v]∈[F]^mと、フラグe∈B^mを秘密分散により秘匿したシェア{e}∈{B}^mと、置換σを秘密分散により秘匿したシェア{{σ}}∈{{S_m}}と、最大グループ数gとを入力として受け取る。ただし、mは２以上の整数である。入力部１０は、フラグeのシェア{e}をフラグ変換部１２へ、バリュー属性vのシェア[v]をフラグ適用部１３へ、置換σのシェア{{σ}}をソート部１４へ出力する。

　バリュー属性vは、テーブルをバリュー属性とキー属性とで昇順に安定ソートした後のバリュー属性である。なお、安定ソートとは、ソート演算のうち、同じ値の要素が存在した場合に、同じ値の要素同士の順序を保存する演算である。例えば、社員番号順でソートされたテーブルに対して性別で安定ソートすると、各性別の中で社員番号順が保たれているソート結果が得られる。すなわち、バリュー属性vは、グループ毎にバリュー属性の値で昇順にソートされたものとなっている。以下、[v]∈[F]^mの各要素は、[v_i]∈[F]（i=0,…, m-1）で参照することもある。

　フラグeは、グループの境界を表すフラグである。例えば、フラグeは、テーブルをキー属性で安定ソートしたときに同じキー属性の値をもつレコードを同じグループとして、各グループの最後の要素（すなわち、グループの境界の直前の要素）に該当する値が真（例えば１）となり、その他の要素に該当する値が偽（例えば０）となるフラグである。以下、{e}∈{B}^mの各要素は、{e_i}∈{B}（i=0, …, m-1）で参照することもある。

　置換σは、各グループのキー属性の値を先頭から１つずつ並べる置換である。例えば、置換σは、テーブルをキー属性で安定ソートしたときに同じキー属性の値をもつレコードを同じグループとして、各グループの最後の要素が先頭から順に並び、続いて他の要素が順に並ぶように移動する置換である。置換σのシェア{{σ}}は上記参考文献１に記載されたハイブリッド置換{{π}}を用いて構成すればよい。

　最大グループ数gは、キー属性が取り得る値の組み合わせの数、すなわち、キー属性が取り得る値の種類の数である。

　ステップＳ１２において、各秘密計算装置１_nのフラグ変換部１２は、フラグeのシェア{e}∈{B}^mを任意の環F上の秘密分散によるシェア[e]∈[F]^mに変換する。フラグ変換部１２は、フラグeのシェア[e]をフラグ適用部１３へ出力する。

　ステップＳ１３において、各秘密計算装置１_nのフラグ適用部１３は、バリュー属性vのシェア[v]とフラグeのシェア[e]とを用いて、0以上m-1以下の各整数iについて[f_i]:=[e_i?v_i:0]を設定し、復元するとベクトルf:=f₀, …, f_m-1∈Fとなるシェア[f]∈[F]^mを生成する。ここで、「?」は条件演算子（または三項演算子）である。すなわち、[e_i]が真（例えば、[e_i]=[1]）のときは[f_i]:=[v_i]を設定し、[e_i]が偽（例えば、[e_i]=[0]）のときは[f_i]:=[0]を設定する。[e_i]=[0]のときに設定する値は０でなくともよく、バリュー属性vが取り得ない値であればどのような値でもよい。ベクトルfは、テーブルをキー属性で安定ソートしたときに同じキー属性の値をもつレコードを同じグループとして、各グループの最後の要素f_iにはその要素に対応するバリュー属性の値v_iが設定され、その他の要素には０が設定されたベクトルとなる。すなわち、各グループの最大値と０とを要素としてもつベクトルとなる。フラグ適用部１３は、ベクトルfのシェア[f]をソート部１４へ出力する。

　ステップＳ１４において、各秘密計算装置１_nのソート部１４は、ベクトルfのシェア[f]と置換σのシェア{{σ}}とを用いて、復元するとベクトルfを置換σでソートしたソート済みベクトルσ(f)となるシェア[σ(f)]∈[F]^mを生成する。以下、[σ(f)]∈[F]^mの各要素は、[σ(f)_i]∈[F]（i=0, …, m-1）で参照することもある。ソート済みベクトルσ(f)は、先頭からグループ数の要素にグループ毎にソートしたときの最後の要素の値（すなわち、各グループの最大値）が設定され、それ以降の要素に０が設定されたベクトルとなる。ソート部１４は、ソート済みベクトルσ(f)のシェア[σ(f)]を出力部１５へ出力する。

　ステップＳ１５において、各秘密計算装置１_nの出力部１５は、ソート済みベクトルσ(f)のシェア[σ(f)]から、復元すると各グループの最大値を表すベクトルx:=σ(f)₀, …, σ(f)_min(g,m)-1となるシェア[x]∈[F]^min(g,m)を生成し、最大値xのシェア[x]を出力する。

　＜第二実施形態＞
　≪秘密集約最小値システム≫
　この発明の第二実施形態は、group-by最小値を求める秘密集約最小値システムおよび方法である。図１を参照して、第二実施形態の秘密集約最小値システム１０１の構成例を説明する。秘密集約最小値システム１０１は、N（≧2）台の秘密計算装置２₁, …, ２_Nを含む。本形態では、秘密計算装置２₁, …, ２_Nはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置２₁, …, ２_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置２₁, …, ２_Nへオフラインで入力するように構成してもよい。

　図２を参照して、本形態の秘密集約最小値システム１０１に含まれる秘密計算装置２_n（n=1, …, N）の構成例を説明する。秘密計算装置２_nは、例えば、図２に示すように、第一実施形態の秘密集約最大値システム１００に含まれる秘密計算装置１_nが備える処理部に加えて、フラグシフト部１１をさらに含む。この秘密計算装置２_n（1≦n≦N）が他の秘密計算装置２_n'（n'=1, …, N、ただしn≠n'）と協調しながら後述する各ステップの処理を行うことにより第二実施形態の秘密集約最小値方法が実現される。

　図４を参照して、第二実施形態の秘密集約最小値システム１０１が実行する秘密集約最小値方法の処理手続きを説明する。

　ステップＳ１０において、各秘密計算装置２_nの入力部１０は、バリュー属性v∈F^mを秘密分散により秘匿したシェア[v]∈[F]^mと、フラグe∈B^mを秘密分散により秘匿したシェア{e}∈{B}^mと、置換σを秘密分散により秘匿したシェア{{σ}}∈{{S_m}}と、最大グループ数gとを入力として受け取る。入力部１０は、フラグeのシェア{e}をフラグシフト部１１へ、バリュー属性vのシェア[v]をフラグ適用部１３へ、置換σのシェア{{σ}}をソート部１４へ出力する。

　ステップＳ１１において、各秘密計算装置２_nのフラグシフト部１１は、フラグeのシェア{e}を用いて、1以上m-1以下の各整数iについて{e'_i}:={e_i-1}を設定し、かつ、{e'₀}:={1}を設定して、復元するとフラグe':=e'₀, …, e'_m-1∈B^mとなるシェア{e'}∈{B}^mを生成する。フラグe'は各グループの最後の要素を示すフラグeを一つずつ後方へシフトしたフラグであるため、各グループの最初の要素（すなわち、グループ間の境界の直後の要素）を示すフラグとなる。フラグシフト部１１は、フラグe'のシェア{e'}をフラグ変換部１２へ出力する。

　ステップＳ１２において、各秘密計算装置２_nのフラグ変換部１２は、フラグe'のシェア{e'}∈{B}^mを任意の環F上の秘密分散によるシェア[e']∈[F]^mに変換する。フラグ変換部１２は、フラグe'のシェア[e']をフラグ適用部１３へ出力する。

　ステップＳ１３において、各秘密計算装置２_nのフラグ適用部１３は、バリュー属性vのシェア[v]とフラグe'のシェア[e']とを用いて、0以上m-1以下の各整数iについて[f'_i]:=[e'_i?v_i:0]を設定し、復元するとベクトルf':=f'₀, …, f'_m-1∈Fとなるシェア[f']∈[F]^mを生成する。すなわち、[e'_i]が真（例えば、[e'_i]=[1]）のときは[f'_i]:=[v_i]を設定し、[e'_i]が偽（例えば、[e'_i]=[0]）のときは[f'_i]:=[0]を設定する。[e'_i]=[0]のときに設定する値は０でなくともよく、バリュー属性vが取り得ない値であればどのような値でもよい。ベクトルf'は、テーブルをキー属性で安定ソートしたときに同じキー属性の値をもつレコードを同じグループとして、各グループの最初の要素f'_iにはその要素に対応するバリュー属性の値v_iが設定され、その他の要素には０が設定されたベクトルとなる。すなわち、各グループの最小値と０とを要素としてもつベクトルとなる。フラグ適用部１３は、ベクトルf'のシェア[f']をソート部１４へ出力する。

　ステップＳ１４において、各秘密計算装置２_nのソート部１４は、ベクトルf'のシェア[f']と置換σのシェア{{σ}}とを用いて、復元するとベクトルf'を置換σでソートしたソート済みベクトルσ(f')となるシェア[σ(f')]∈[F]^mを生成する。以下、[σ(f')]∈[F]^mの各要素は、[σ(f')_i]∈[F]（i=0, …, m-1）で参照することもある。ソート済みベクトルσ(f')は、先頭からグループ数の要素にグループ毎にソートしたときの最初の要素の値（すなわち、各グループの最小値）が設定され、それ以降の要素に０が設定されたベクトルとなる。ソート部１４は、ソート済みベクトルσ(f')のシェア[σ(f')]を出力部１５へ出力する。

　ステップＳ１５において、各秘密計算装置２_nの出力部１５は、ソート済みベクトルσ(f')のシェア[σ(f')]から、復元すると各グループの最小値を表すベクトルx':=σ(f')₀, …, σ(f')_min(g,m)-1となるシェア[x']∈[F]^min(g,m)を生成し、最小値x'のシェア[x']を出力する。

　＜変形例＞
　上記の実施形態では、入力部１０へバリュー属性vのシェア[v]とフラグeのシェア{e}と置換σのシェア{{σ}}とが入力される構成を説明した。変形例では、入力部１０へテーブルを秘密分散等により秘匿したシェアが入力され、バリュー属性vのシェア[v]とフラグeのシェア{e}と置換σのシェア{{σ}}とを求めてから、上記の実施形態で説明した手順に従ってgroup-by最大値／最小値を計算する構成を説明する。

　変形例の秘密計算装置３_n（n=1, …, N）は、例えば、図５に示すように、第一実施形態の秘密計算装置１_n（n=1, …, N）または第二実施形態の秘密計算装置２_n（n=1, …, N）が備える各処理部に加えて、ビット分解部２１、グループソート生成部２２、ビット列ソート部２３、フラグ生成部２４、キー集約ソート生成部２５、およびバリューソート部２６を含む。以下、第一実施形態の秘密集約最大値システム１００および第二実施形態の秘密集約最小値システム１０１と異なる点についてのみ説明する。

　各秘密計算装置３_nの入力部１０は、n_k個のキー属性k₀, …, k_nk-1∈F^mそれぞれを秘密分散により秘匿したシェア[k₀], …, [k_nk-1]∈[F]^mと、n_a個のバリュー属性v'₀, …, v'_na-1∈F^mそれぞれを秘密分散により秘匿したシェア[v'₀], …, [v'_na-1]∈[F]^mとを入力として受け取る。ただし、n_k, n_aは１以上の整数である。以下、[k_j]∈[F]^m（j=0, …, n_k-1）の各要素は、[k_j,i]∈[F]（i=0, …, m-1）で参照することもある。入力部１０は、キー属性k₀, …, k_nk-1のシェア[k₀], …, [k_nk-1]をビット分解部２１へ出力する。また、入力部１０は、バリュー属性v'₀, …, v'_na-1のシェア[v'₀], …, [v'_na-1]をバリューソート部２６へ出力する。

　各秘密計算装置３_nのビット分解部２１は、キー属性k₀, …, k_nk-1のシェア[k₀], …, [k_nk-1]をビット分解して結合し、復元するとキー属性k₀, …, k_nk-1のビット表現を結合したビット列b:=b₀, …, b_m-1∈B^λとなるシェア{b}∈{B}^λを得る。ただし、λはビット列bのビット長であり、各b_i（i=0, …, m-1）のビット長の総和である。言い替えると、{b_i}は、キー属性k₀, …, k_nk-1のシェア[k₀], …, [k_nk-1]それぞれのi番目の要素[k_0,i], …, [k_nk-1,i]のビット表現を結合したビット列である。ビット分解部２１は、ビット列bのシェア{b}をグループソート生成部２２へ出力する。

　各秘密計算装置３_nのグループソート生成部２２は、ビット列bのシェア{b}を用いて、復元するとビット列bを昇順で安定ソートするための置換σ₀となるシェア{{σ₀}}∈{{S_m}}を生成する。ビット列bはキー属性k₀, …, k_nk-1のビット表現を結合したものであるため、置換σ₀はキー属性k₀, …, k_nk-1の値が等しいレコードを連続するように並び替えてグループ分けする操作であるとも言える。グループソート生成部２２は、ビット列bのシェア{b}と置換σ₀のシェア{{σ₀}}とをビット列ソート部２３へ出力する。また、グループソート生成部２２は、置換σ₀のシェア{{σ₀}}をバリューソート部２６へ出力する。

　各秘密計算装置３_nのビット列ソート部２３は、ビット列bのシェア{b}と置換σ₀のシェア{{σ₀}}とを用いて、復元するとビット列bを置換σ₀でソートしたソート済みビット列b':=b'₀, …, b'_m-1∈B^λとなるシェア{b'}∈{B}^λを得る。ビット列ソート部２３は、ソート済みビット列b'のシェア{b'}をフラグ生成部２４へ出力する。

　各秘密計算装置３_nのフラグ生成部２４は、ソート済みビット列b'のシェア{b'}を用いて、0以上m-2以下の各整数iについて{e_i}:={b'_i≠b'_i+1}を設定し、かつ、{e_m-1}:={1}を設定して、復元するとフラグe:=e₀, …, e_m-1∈B^mとなるシェア{e}∈{B}^mを生成する。フラグe_iはソート済みビット列b'のi番目の要素b'_iがi+1番目の要素b'_i+1と異なる場合に真が設定されるため、各グループの最後の要素（すなわち、グループ間の境界の直前の要素）を示すフラグとなる。フラグ生成部２４は、フラグeのシェア{e}をキー集約ソート生成部２５へ出力する。また、フラグ生成部２４は、フラグeのシェア{e}をフラグ変換部１２またはフラグシフト部１１へ出力する。

　各秘密計算装置３_nのキー集約ソート生成部２５は、まず、フラグeのシェア{e}を用いて、復元するとフラグeの否定￢eであるフラグe"となるシェア{e"}∈{B}^mを生成する。すなわち、0以上m-1以下の各整数iについて{e"_i}:={￢e_i}を設定する。次に、キー集約ソート生成部２５は、フラグe"のシェア{e"}を用いて、復元するとフラグe"を昇順に安定ソートするための置換σとなるシェア{{σ}}∈{{S_m}}を生成する。キー集約ソート生成部２５は、置換σのシェア{{σ}}をバリューソート部２６へ出力する。また、キー集約ソート生成部２５は、置換σのシェア{{σ}}をソート部１４へ出力する。

　各秘密計算装置３_nのバリューソート部２６は、バリュー属性v'₀, …, v'_na-1のシェア[v'₀], …, [v'_na-1]と置換σ₀のシェア{{σ₀}}とを用いて、復元するとバリュー属性v'₀, …, v'_na-1を置換σ₀でソートしたソート済みバリュー属性v₀, …, v_na-1となるシェア[v₀], …, [v_na-1]を生成する。バリューソート部２６は、ソート済みバリュー属性v₀, …, v_na-1のシェア[v₀], …, [v_na-1]のうち、グループ毎の最大値／最小値を計算したいものをバリュー属性vのシェア[v]としてフラグ適用部１３へ出力する。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　複数の秘密計算装置を含む秘密集約最大値システムであって、
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記秘密計算装置は、
　上記シェア[v]と上記シェア[e]とを用いて、0以上m-1以下の各整数iについて[e_i]が真ならば[f_i]に[v_i]を設定し、[e_i]が偽ならば[f_i]に所定の固定値を設定して、復元するとベクトルf:=f₀, …, f_m-1となるシェア[f]を生成するフラグ適用部と、
　上記シェア[f]と上記シェア{{σ}}とを用いて、復元すると上記ベクトルfを上記置換σでソートしたソート済みベクトルσ(f)となるシェア[σ(f)]を生成するソート部と、
　上記シェア[σ(f)]を用いて、復元すると各グループの最大値を表すベクトルx:=σ(f)₀, …, σ(f)_min(g,m)-1となるシェア[x]を生成する出力部と、
　を含む秘密集約最大値システム。
　請求項１に記載の秘密集約最大値システムであって、
　Fは任意の環であり、n_kは１以上の整数であり、[k₀], …, [k_nk-1]はキー属性k₀, …, k_nk-1∈F^mを秘密分散したシェアであり、[v']は上記テーブルを上記キー属性の値に基づいてソートする前の所望のバリュー属性v'∈F^mを秘密分散したシェアであり、
　上記秘密計算装置は、
　上記シェア[k₀], …, [k_nk-1]を用いて、復元すると上記キー属性k₀, …, k_nk-1をビット分解して結合したビット列b:=b₀, …, b_m-1となるシェア{b}から、復元すると上記ビット列bを昇順に安定ソートする置換σ₀となるシェア{{σ₀}}を生成するグループソート生成部と、
　上記シェア{b}と上記シェア{{σ₀}}とを用いて、復元すると上記ビット列bを上記置換σ₀でソートしたソート済みビット列b':=b'₀, …, b'_m-1となるシェア{b'}を生成するビット列ソート部と、
　上記シェア{b'}を用いて、0以上m-2以下の各整数iについて{e_i}:={b'_i≠b'_i+1}を設定し、かつ、{e_m-1}:={1}を設定して、復元すると上記フラグe:=e₀, …, e_m-1となる上記シェア{e}を生成するフラグ生成部と、
　上記シェア{e}を用いて、復元すると上記フラグeの否定￢eを昇順に安定ソートする上記置換σとなる上記シェア{{σ}}を生成するキー集約ソート生成部と、
　上記シェア[v']と上記シェア{{σ₀}}とを用いて、復元すると上記バリュー属性v'を上記置換σ₀でソートした上記バリュー属性vとなるシェア[v]を生成するバリューソート部と、
　をさらに含む秘密集約最大値システム。
　複数の秘密計算装置を含む秘密集約最小値システムであって、
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記秘密計算装置は、
　上記シェア[e]を用いて、1以上m-1以下の各整数iについて[e'_i]に[e_i-1]を設定し、かつ、[e'₀]に真を設定して、復元するとフラグe':=e'₀, …, e'_m-1となるシェア[e']を生成するフラグシフト部と、
　上記シェア[v]と上記シェア[e']とを用いて、0以上m-1以下の各整数iについて[e'_i]が真ならば[f'_i]に[v_i]を設定し、[e'_i]が偽ならば[f'_i]に所定の固定値を設定して、復元するとベクトルf':=f'₀, …, f'_m-1となるシェア[f']を生成するフラグ適用部と、
　上記シェア[f']と上記シェア{{σ}}とを用いて、復元すると上記ベクトルf'を上記置換σでソートしたソート済みベクトルσ(f')となるシェア[σ(f')]を生成するソート部と、
　上記シェア[σ(f')]を用いて、復元すると各グループの最小値を表すベクトルx':=σ(f')₀, …, σ(f')_min(g,m)-1となるシェア[x']を生成する出力部と、
　を含む秘密集約最小値システム。
　請求項３に記載の秘密集約最小値システムであって、
　Fは任意の環であり、n_kは１以上の整数であり、[k₀], …, [k_nk-1]はキー属性k₀, …, k_nk-1∈F^mを秘密分散したシェアであり、[v']は上記テーブルを上記キー属性の値に基づいてソートする前の所望のバリュー属性v'∈F^mを秘密分散したシェアであり、
　上記秘密計算装置は、
　上記シェア[k₀], …, [k_nk-1]を用いて、復元すると上記キー属性k₀, …, k_nk-1をビット分解して結合したビット列b:=b₀, …, b_m-1となるシェア{b}から、復元すると上記ビット列bを昇順に安定ソートする置換σ₀となるシェア{{σ₀}}を生成するグループソート生成部と、
　上記シェア{b}と上記シェア{{σ₀}}とを用いて、復元すると上記ビット列bを上記置換σ₀でソートしたソート済みビット列b':=b'₀, …, b'_m-1となるシェア{b'}を生成するビット列ソート部と、
　上記シェア{b'}を用いて、0以上m-2以下の各整数iについて{e_i}:={b'_i≠b'_i+1}を設定し、かつ、{e_m-1}:={1}を設定して、復元すると上記フラグe:=e₀, …, e_m-1となる上記シェア{e}を生成するフラグ生成部と、
　上記シェア{e}を用いて、復元すると上記フラグeの否定￢eを昇順に安定ソートする上記置換σとなる上記シェア{{σ}}を生成するキー集約ソート生成部と、
　上記シェア[v']と上記シェア{{σ₀}}とを用いて、復元すると上記バリュー属性v'を上記置換σ₀でソートした上記バリュー属性vとなるシェア[v]を生成するバリューソート部と、
　をさらに含む秘密集約最小値システム。
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記シェア[v]と上記シェア[e]とを用いて、0以上m-1以下の各整数iについて[e_i]が真ならば[f_i]に[v_i]を設定し、[e_i]が偽ならば[f_i]に所定の固定値を設定して、復元するとベクトルf:=f₀, …, f_m-1となるシェア[f]を生成するフラグ適用部と、
　上記シェア[f]と上記シェア{{σ}}とを用いて、復元すると上記ベクトルfを上記置換σでソートしたソート済みベクトルσ(f)となるシェア[σ(f)]を生成するソート部と、
　上記シェア[σ(f)]を用いて、復元すると各グループの最大値を表すベクトルx:=σ(f)₀, …, σ(f)_min(g,m)-1となるシェア[x]を生成する出力部と、
　を含む秘密計算装置。
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記シェア[e]を用いて、1以上m-1以下の各整数iについて[e'_i]に[e_i-1]を設定し、かつ、[e'₀]に真を設定して、復元するとフラグe':=e'₀, …, e'_m-1となるシェア[e']を生成するフラグシフト部と、
　上記シェア[v]と上記シェア[e']とを用いて、0以上m-1以下の各整数iについて[e'_i]が真ならば[f'_i]に[v_i]を設定し、[e'_i]が偽ならば[f'_i]に所定の固定値を設定して、復元するとベクトルf':=f'₀, …, f'_m-1となるシェア[f']を生成するフラグ適用部と、
　上記シェア[f']と上記シェア{{σ}}とを用いて、復元すると上記ベクトルf'を上記置換σでソートしたソート済みベクトルσ(f')となるシェア[σ(f')]を生成するソート部と、
　上記シェア[σ(f')]を用いて、復元すると各グループの最小値を表すベクトルx':=σ(f')₀, …, σ(f')_min(g,m)-1となるシェア[x']を生成する出力部と、
　を含む秘密計算装置。
　複数の秘密計算装置を含む秘密集約最大値システムが実行する秘密集約最大値方法であって、
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記秘密計算装置のフラグ適用部が、上記シェア[v]と上記シェア[e]とを用いて、0以上m-1以下の各整数iについて[e_i]が真ならば[f_i]に[v_i]を設定し、[e_i]が偽ならば[f_i]に所定の固定値を設定して、復元するとベクトルf:=f₀, …, f_m-1となるシェア[f]を生成し、
　上記秘密計算装置のソート部が、上記シェア[f]と上記シェア{{σ}}とを用いて、復元すると上記ベクトルfを上記置換σでソートしたソート済みベクトルσ(f)となるシェア[σ(f)]を生成し、
　上記秘密計算装置の出力部が、上記シェア[σ(f)]を用いて、復元すると各グループの最大値を表すベクトルx:=σ(f)₀, …, σ(f)_min(g,m)-1となるシェア[x]を生成する、
　秘密集約最大値方法。
　複数の秘密計算装置を含む秘密集約最小値システムが実行する秘密集約最小値方法であって、
　mは２以上の整数であり、[v]:=[v₀], …, [v_m-1]はキー属性とバリュー属性とからなるテーブルを上記バリュー属性の値と上記キー属性の値とに基づいて安定ソートしたときの所望のバリュー属性v:=v₀, …, v_m-1を秘密分散したシェアであり、[e]:=[e₀], …, [e_m-1]は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグe:=e₀, …, e_m-1を秘密分散したシェアであり、{{σ}}は上記テーブルを上記キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が先頭から順に並ぶように移動する置換σを秘密分散したシェアであり、gは上記グループの最大数であり、
　上記秘密計算装置のフラグシフト部が、上記シェア[e]を用いて、1以上m-1以下の各整数iについて[e'_i]に[e_i-1]を設定し、かつ、[e'₀]に真を設定して、復元するとフラグe':=e'₀, …, e'_m-1となるシェア[e']を生成し、
　上記秘密計算装置のフラグ適用部が、上記シェア[v]と上記シェア[e']とを用いて、0以上m-1以下の各整数iについて[e'_i]が真ならば[f'_i]に[v_i]を設定し、[e'_i]が偽ならば[f'_i]に所定の固定値を設定して、復元するとベクトルf':=f'₀, …, f'_m-1となるシェア[f']を生成し、
　上記秘密計算装置のソート部が、上記シェア[f']と上記シェア{{σ}}とを用いて、復元すると上記ベクトルf'を上記置換σでソートしたソート済みベクトルσ(f')となるシェア[σ(f')]を生成し、
　上記秘密計算装置の出力部が、上記シェア[σ(f')]を用いて、復元すると各グループの最小値を表すベクトルx':=σ(f')₀, …, σ(f')_min(g,m)-1となるシェア[x']を生成する、
　秘密集約最小値方法。
　請求項５または６に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。