WO2020036125A1 - 秘密強写像計算システム、これらの方法、秘密計算装置及びプログラム - Google Patents

Abstract

秘密強写像計算システムは、複数の秘密計算装置を含む秘密結合システムであって、複数の秘密計算装置は、第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_nを備えている。

Description

秘密強写像計算システム、これらの方法、秘密計算装置及びプログラム

　この発明は、秘密計算において写像の計算をする技術に関する。

　従来の写像の計算をする技術として、非特許文献１に記載された写像プロトコルが知られている。

濱田浩気、五十嵐大、千田 浩司、「秘匿計算上の一括写像アルゴリズム」、電子情報通信学会論文誌、Vol.J96-A、No.4、pp.157-165

　しかし、従来の写像プロトコルは、定義域が区間([1, 3]→1, [4, 8]→5, [9, 10]→ 2など。定義域に漏れがない)となっており、異常値の検出をすることができなかった。

　この発明は、異常値を検出しつつ、写像の計算を行うことができる秘密強写像計算システム、これらの方法、秘密計算装置及びプログラムを提供することを目的とする。

　この発明の一態様による秘密強写像計算システムは、複数の秘密計算装置を含む秘密結合計算システムであって、F_k,F_vは任意の環であり、αを任意のベクトル又は置換として[α]はαが秘密分散されたシェアであり、m,nは１以上の所定の整数であり、uは所定の値であり、r∈F_k ^mは要素が互いに異なる所定のベクトルであり、d∈F_v ^m,x∈F_k ⁿは所定のベクトルであり、複数の秘密計算装置は、ベクトルrのシェア[r]及びベクトルxのシェア[x]を用いて、ベクトルrとベクトルxとベクトルrと同じベクトルとを結合したベクトルk∈[F_k]^2m+nのシェア[k]を生成する複数の第一ベクトル結合部と、シェア[k]を用いて、ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算部と、ベクトルdのシェア[d]とuとを用いて、ベクトルdの各要素からuを減算したベクトルであるベクトルd'のシェア[d']を生成する複数の第一ベクトル生成部と、シェア[d']を用いて、ベクトルd'と要素数がnである０ベクトルとベクトルd'の各要素の正負を反転させたベクトルであるベクトル-d'とを結合したベクトルv∈[F_v]^2m+nのシェア[v]を生成する複数の第二ベクトル結合部と、シェア[v]及びシェア[σ]を用いて、ベクトルvに置換σを適用したベクトルσ(v)のシェア[σ(v)]を生成する複数の第一置換適用部と、シェア[σ(v)]を用いて、各要素が、ベクトルσ(v)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和とuとの和であるベクトルσ(y)のシェア[σ(y)]を生成する複数の第二ベクトル生成部と、シェア[σ(y)]及びシェア[σ]を用いて、ベクトルσ(y)に置換σの逆置換σ^-1を適用したベクトルσ^-1(σ(y))のシェア[σ^-1(σ(y))]を生成する複数の第一逆置換適用部と、シェア[σ^-1(σ(y))]を用いて、ベクトルσ^-1(σ(y))のm+1番目からm+n番目の要素を抽出したベクトルyのシェア[y]を得る複数の第一ベクトル抽出部と、を備えている。

　異常値を検出しつつ、写像の計算を行うことができる。

図１は、秘密強写像計算システム、秘密結合システムの機能構成を例示する図である。 図２は、秘密強写像計算の秘密計算装置の機能構成を例示する図である。 図３は、秘密強写像計算方法の処理手続きを例示する図である。 図４は、左外部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。 図５は、左外部結合を行う秘密結合方法の処理手続きを例示する図である。 図６は、右左外部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。 図７は、右外部結合を行う秘密結合方法の処理手続きを例示する図である。 図８は、完全外部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。 図９は、完全外部結合を行う秘密結合方法の処理手続きを例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　[秘密強写像計算システム及び方法]
　図１を参照して、実施形態の秘密強写像計算システムの構成例を説明する。秘密強写像計算システムは、N（≧2）台の秘密計算装置１₁,…,１_Nを含む。本形態では、秘密計算装置１₁, …, １_Nはそれぞれ通信網２へ接続されている。通信網２は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などである。なお、各装置は必ずしも通信網２を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …,１_Nへオフラインで入力するように構成してもよい。

　図２を参照して、秘密強写像計算システムに含まれる秘密計算装置１_n（n=1, …, N）の構成例を説明する。秘密強写像計算システムの秘密計算装置１_nは、例えば、図２に示すように、第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_nを備えている。

　秘密計算装置１_n（1≦n≦N）の各構成部が他の秘密計算装置１_n'（n'=1, …, N、ただしn≠n'）の各構成部と協調しながら後述する各ステップの処理を行うことにより実施形態の秘密強写像計算方法が実現される。

　なお、各ステップの処理は、秘密計算により行われる。すなわち、秘密計算装置１_nは、シェアを復元することなく、言い換えればシェアの中身を知ることなく、各ステップの処理を行う。

　秘密計算装置１_nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_nの各構成部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下の説明において、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであるとする。

　図３を参照して、実施形態の秘密結合システムが実行する秘密強写像計算方法の処理手続きを説明する。

　秘密強写像計算システム及び方法は、定義域に対応するベクトルr∈F_k ^m、値域に対応するベクトルd∈F_v ^m及び異常値uにより定義される写像を、入力に対応するベクトルxに適用したときの出力となるベクトルyを計算するものである。m,nは１以上の所定の整数であり、異常値uは所定の値であり、r∈F_k ^mは要素が互いに異なる所定のベクトルであり、d∈F_v ^m,x∈F_k ⁿは所定のベクトルである。

　ベクトルrのi番目の要素をr_iとし、ベクトルdのi番目の要素をd_iとし、ベクトルxのi番目の要素をx_iとし、ベクトルyのi番目の要素をy_iとすると、この写像は、x_i=r_jとなるjが存在するときは、y_i=dとし、x_i=r_jとなるjが存在しないときは、y_i=uとする写像である。

　例えば、ベクトルr=(1,3,2)であり、ベクトルd=(2,5,1)であり、u=-1であり、ベクトルx=(1,0,2,5,3)である場合には、写像をベクトルx=(1,0,2,5,3)に対して適用すると、ベクトルy=(2,-1,1,-1,5)というベクトルが得られる。

　＜ステップＳ１＞
　第一ベクトル結合部１１₁,…,１１_Nに、ベクトルrのシェア[r]及びベクトルxのシェア[x]が入力される。

　第一ベクトル結合部１１₁,…,１１_Nは、ベクトルrとベクトルxとベクトルrと同じベクトルとを結合したベクトルk∈[F_k]^2m+nのシェア[k]を生成する（ステップＳ１）。

　生成されたシェア[k]は、第一置換計算部１２₁,…,１２_Nに出力される。

　例えば、ベクトルr=(1,3,2)であり、ベクトルx=(1,0,2,5,3)であるとする。この場合、ベクトルk=(1,3,2,1,0,2,5,3,1,3,2)となる。

　＜ステップＳ２＞
　第一置換計算部１２₁,…,１２_Nに、シェア[k]が入力される。

　第一置換計算部１２₁,…,１２_Nは、シェア[k]を用いて、ベクトルkを安定ソートする置換σのシェア[σ]を生成する（ステップＳ２）。

　シェア[σ]は、第一ベクトル生成部１３₁,…,１３_Nに出力される。

　例えば、ベクトルk=(1,3,2,1,0,2,5,3,1,3,2)である場合には、置換σ=(4,0,3,8,2,5,10,1,7,9,6)となる。

　安定ソートを行う置換σのシェア[σ]の生成は、例えば参考文献１の手法により実現することができる。
　〔参考文献１〕五十嵐大、濱田浩気、菊池亮、千田浩司、「超高速秘密計算ソートの設計と実装：秘密計算がスクリプト言語に並ぶ日」、CSS2017、2017

　＜ステップＳ３＞
　第一ベクトル生成部１３₁,…,１３_Nに、ベクトルdのシェア[d]とuとが入力される。

　第一ベクトル生成部１３₁,…,１３_Nは、シェア[d]とuとを用いて、ベクトルdの各要素からuを減算したベクトルであるベクトルd'のシェア[d']を生成する（ステップＳ３）。

　シェア[d']は、第二ベクトル結合部１４₁,…,１４_Nに出力される。

　例えば、ベクトルd=(2,5,1)であり、u=-1である場合には、ベクトルd'=(3,6,2)となる。

　＜ステップＳ４＞
　第二ベクトル結合部１４₁,…,１４_Nに、シェア[d']が入力される。

　第二ベクトル結合部１４₁,…,１４_Nは、シェア[d']を用いて、ベクトルd'と要素数がnである０ベクトルとベクトルd'の各要素の正負を反転させたベクトルであるベクトル-d'とを結合したベクトルv∈[F_v]^2m+nのシェア[v]を生成する（ステップＳ４）。

　シェア[v]は、第一置換適用部１５₁,…,１５_Nに出力される。

　例えば、ベクトルd'=(3,6,2)であり、n=5である場合には、ベクトルv=(3,6,2,0,0,0,0,0,-3,-6,-2)となる。

　＜ステップＳ５＞
　第一置換適用部１５₁,…,１５_Nに、シェア[v]及びシェア[σ]が入力される。

　第一置換適用部１５₁,…,１５_Nは、シェア[v]及びシェア[σ]を用いて、ベクトルvに置換σを適用したベクトルσ(v)のシェア[σ(v)]を生成する（ステップＳ５）。

　シェア[σ(v)]は、第二ベクトル生成部１６₁,…,１６_Nに出力される。

　例えば、置換σ=(4,0,3,8,2,5,10,1,7,9,6)であり、ベクトルv=(3,6,2,0,0,0,0,0,-3,-6,-2)である場合には、ベクトルσ(v)=(0,3,0,-3,2,0,-2,6,0,-6,0)となる。

　＜ステップＳ６＞
　第二ベクトル生成部１６₁,…,１６_Nに、シェア[σ(v)]が入力される。

　第二ベクトル生成部１６₁,…,１６_Nは、シェア[σ(v)]を用いて、各要素が、ベクトルσ(v)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和とuとの和であるベクトルσ(y)のシェア[σ(y)]を生成する（ステップＳ６）。言い換えれば、第二ベクトル生成部１６₁,…,１６_Nは、初期値をuとしたベクトルσ(v)のprefix-sumを計算しσ(y)とする。σ(v)のi番目の要素をσ(v)_iとし、σ(y)のi番目の要素をσ(y)_iとすると、σ(y)_i=u+Σ_j=1 ⁱσ(v)_jとなる。

　シェア[σ(y)]は、第一逆置換適用部１７₁,…,１７_Nに出力される。

　例えば、ベクトルσ(v)=(0,3,0,-3,2,0,-2,6,0,-6,0)である場合には、ベクトルσ(y)=(-1,2,2,-1,1,1,-1,5,5,-1,-1)となる。

　＜ステップＳ７＞
　第一逆置換適用部１７₁,…,１７_Nに、シェア[σ(y)]及びシェア[σ]が入力される。

　第一逆置換適用部１７₁,…,１７_Nは、シェア[σ(y)]及びシェア[σ]を用いて、ベクトルσ(y)に置換σの逆置換σ^-1を適用したベクトルσ^-1(σ(y))のシェア[σ^-1(σ(y))]を生成する（ステップＳ７）。

　シェア[σ^-1(σ(y))]は、第一ベクトル抽出部１８₁,…,１８_Nに出力される。

　例えば、置換σ=(4,0,3,8,2,5,10,1,7,9,6)であり、ベクトルσ(y)=(-1,2,2,-1,1,1,-1,5,5,-1,-1)である場合には、ベクトルσ^-1(σ(y))=(2,5,1,2,-1,1,-1,5,-1,-1,-1)となる。

　＜ステップＳ８＞
　第一ベクトル抽出部１８₁,…,１８_Nに、シェア[σ^-1(σ(y))]が入力される。

　第一ベクトル抽出部１８₁,…,１８_Nは、シェア[σ^-1(σ(y))]を用いて、ベクトルσ^-1(σ(y))のm+1番目からm+n番目の要素を抽出したベクトルyのシェア[y]を得る（ステップＳ８）。

　例えば、ベクトルσ^-1(σ(y))=(2,5,1,2,-1,1,-1,5,-1,-1,-1)である場合には、ベクトルy=(2,-1,1,-1,5)となる。

　ベクトルy=(2,-1,1,-1,5)は、ベクトルr=(1,3,2)であり、ベクトルd=(2,5,1)であり、u=-1であり、ベクトルx=(1,0,2,5,3)である場合の写像をベクトルx=(1,0,2,5,3)に対して適用した出力となるベクトルとなっている。ベクトルx=(1,0,2,5,3)の１番目の要素「1」、３番目の要素「2」、５番目の要素「3」は、写像により、それぞれベクトルy=(2,-1,1,-1,5)の１番目の要素「2」、３番目の要素「1」、５番目の要素「5」に写されている。また、ベクトルx=(1,0,2,5,3)の２番目の要素「0」、４番目の要素「5」は、定義域に対応するベクトルrの要素にない値であるため、写像により、異常値である「-1」に写されている。

　このようにして、秘密強写像計算システム及び方法により、異常値を検出しつつ、写像の計算を行うことができる。

　以下、秘密強写像計算システム及び方法を用いた秘密結合システム及び方法の実施形態の説明をする。

　[左外部結合を行う秘密結合システム及び方法]
　図１を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる左外部結合を行うものである。左外部結合については後述する。

　秘密結合システムは、秘密強写像計算システムと同様に、N（≧2）台の秘密計算装置１₁,…,１_Nを含む。本形態では、秘密計算装置１₁, …, １_Nはそれぞれ通信網２へ接続されている。通信網２は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などである。なお、各装置は必ずしも通信網２を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …,１_Nへオフラインで入力するように構成してもよい。

　図４を参照して、秘密結合システムに含まれる秘密計算装置１_n（n=1, …, N）の構成例を説明する。秘密結合システムの秘密計算装置１_nは、例えば、図４に示すように、第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_n、第二置換適用部１９_n、第三ベクトル抽出部１１０_n、第二逆置換適用部１１１_n、第二ベクトル抽出部１１２_n、変形第二テーブル生成部１１３_n、第三置換適用部１１４_n、第四ベクトル生成部１１５_n、シフト部１１６_n、第三逆置換適用部１１７_n、ビット反転部１１８_n、第三ベクトル抽出部１１９_n、変形第一テーブル生成部１２０_n、第一テーブル結合部１２１_n、第一テーブル整形部１２２_nを備えている。

　図４において破線で囲った、秘密計算装置１_nの中の第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_nが秘密強写像計算システムに対応する部分であると言える。

　秘密計算装置１_n（1≦n≦N）の各構成部が他の秘密計算装置１_n'（n'=1, …, N、ただしn≠n'）の各構成部と協調しながら後述する各ステップの処理を行うことにより実施形態の秘密結合方法が実現される。

　なお、各ステップの処理は、秘密計算により行われる。すなわち、秘密計算装置１_nは、シェアを復元することなく、言い換えればシェアの中身を知ることなく、各ステップの処理を行う。

　秘密計算装置１_nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_nの各構成部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　図５を参照して、実施形態の秘密結合システムが実行する秘密結合方法の処理手続きを説明する。

　以下に説明する秘密結合システムは、第一テーブルと第二テーブルを左外部結合する。言い換えれば、以下に説明する秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードと、第一テーブルのみに存在するレコードとを結合する。

　m,n,L₁,L₂は、１以上の整数であるとする。m,n,L₁,L₂は、同じ値であってもよいし、異なる値であってもよい。

　第一テーブルは、m個のレコードを有している。m個のレコードのそれぞれは、１個のキーと、L₁個の属性の属性値とを有している。k₁∈F_k ^mは第一テーブルのキーのベクトルであるとする。第一テーブルの中には、重複するキーはないとする。

　第二テーブルは、n個のレコードを有している。n個のレコードのそれぞれは、１個のキーと、L₂個の属性の属性値とを有している。k₂∈F_k ⁿは第二テーブルのキーのベクトルであるとする。第二テーブルの中には、重複するキーがあってもよいとする。

　例えば、第一テーブルは、レコード数が３であり、キーのベクトルk₁=(3,5,9)と、１個の属性v₁の属性値のベクトルv₁=(100,19,85)とから構成されているとする。

　また、第二テーブルは、レコード数が４であり、キーのベクトルk₂=(3,7,9,9)と、１個の属性v₂の属性値のベクトルv₂=(水,ミックスオレ,薬,水)とから構成されているとする。

　第一テーブルに複数の属性の属性値が含まれている場合には、v₁は、複数の属性の属性値を連結したベクトルであってもよい。例えば、第一テーブルは、レコード数が２であり、２個の属性の属性値を含んでおり、１個目の属性の属性値のベクトルはv_1,1=(29,169)であり、２個目の属性の属性値のベクトルはv_1,1=(35,175)であるとする。この場合、v₁は、これらの２個の属性の属性値を連結したベクトルv₁=((29,35),(169,175))であってもよい。

　同様に、第二テーブルに複数の属性の属性値が含まれている場合には、v₂は、複数の属性の属性値を連結したベクトルであってもよい。

　一般に環を要素とするベクトルはやはり環であるため、あるレコードに含まれる各属性の値を並べたデータは、ベクトル、つまり環とみなすことができる。

　まず、上記説明した秘密強写像計算システム及び方法の＜ステップＳ１＞から＜ステップＳ８＞の処理により、定義域に対応するベクトルr=k₁とし、値域に対応するベクトルd=v₁とし、入力に対応するベクトルx=k₂としたときの、r,d,uにより定義される写像を、xに適用したときの出力となるベクトルyを計算する。これにより、第二テーブルの各レコードに対応する第一テーブルの属性v₁の属性値を得ることができる。なお、第二テーブルのレコードであって、第一テーブルに存在しないキーに対応するレコードに対応する属性値は、異常値uとなる。

　＜ステップＳ１＞から＜ステップＳ８＞の処理は、[秘密強写像計算システム及び方法]の欄で説明した＜ステップＳ１＞から＜ステップＳ８＞の処理の処理と同様であるため、ここでは重複説明を省略する。

　例えば、ベクトルr=k₁=(3,5,9)であり、ベクトルd=v₁=(100,19,85)であり、u=-1であり、x=k₂=(3,7,9,9)である場合には、写像をベクトルx=(3,7,9,9)に対して適用すると、ベクトルy=(100,-1,85,85)というベクトルが得られる。ベクトルx=k₂=(3,7,9,9)の２番目の要素「7」は、ベクトルr=k₁=(3,5,9)の要素の中に存在しないため、ベクトルy=(100,-1,85,85)の２番目の要素は異常値u=-1となっている。このように、第二テーブルのレコードであって、第一テーブルに存在しないキーに対応するレコードに対応する属性値が、異常値uとなるようにベクトルyが計算される。

　＜ステップＳ９＞
　第二置換適用部１９₁,…,１９_Nに、各要素が１であるm個の要素と、各要素が０であるn個の要素と、各要素が－１であるm個の要素とを結合したベクトルg∈[F]^2m+nのシェア[g]及びシェア[σ]が入力される。ここで、Fは任意の環である。

　第二置換適用部１９₁,…,１９_Nは、各要素が１であるm個の要素と、各要素が０であるn個の要素と、各要素が－１であるm個の要素とを結合したベクトルg∈[F]^2m+nのシェア[g]及びシェア[σ]を用いて、ベクトルgに置換σを適用したベクトルσ(g)のシェア[σ(g)]を生成する（ステップＳ９）。

　シェア[σ(g)]は、第三ベクトル生成部１１０₁,…,１１０_Nに出力される。

　例えば、例えば、m=3,n=4であり、置換σが以下の式（１）により定義されるσである場合には、g=(1,1,1,0,0,0,0,-1,-1,-1)となり、σ(g)=(1,0,-1,1,-1,0,1,0,0,-1)となる。

　ここで、置換σの各列(i,j)^Tは、置換が適用されるベクトルのi番目の要素をj番目に移動することを意味する。

　＜ステップＳ１０＞
　第三ベクトル生成部１１０₁,…,１１０_Nに、シェア[σ(g)]が入力される。

　第三ベクトル生成部１１０₁,…,１１０_Nは、シェア[σ(g)]を用いて、各要素が、ベクトルσ(g)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルσ(g')のシェア[σ(g')]を生成する（ステップＳ１０）。言い換えれば、第三ベクトル生成部１１０₁,…,１１０_Nは、σ(g)のprefix-sumを計算しσ(g')とする。σ(g)のi番目の要素をσ(g)_iとし、σ(g')のi番目の要素をσ(g')_iとすると、σ(g')_i=Σ_j=1 ⁱσ(g)_jとなる。

　シェア[σ(g')]は、第二逆置換適用部１１１₁,…,１１１_Nに出力される。

　例えば、σ(g)=(1,0,-1,1,-1,0,1,0,0,-1)である場合には、σ(g')=(1,1,0,1,0,0,1,1,1,0)となる。

　＜ステップＳ１１＞
　第二逆置換適用部１１１₁,…,１１１_Nに、シェア[σ(g')]及びシェア[g']が入力される。

　第二逆置換適用部１１１₁,…,１１１_Nは、シェア[σ(g')]及びシェア[g']を用いて、ベクトルσ(g')に置換σの逆置換σ^-1を適用したベクトルg'のシェア[g']を生成する（ステップＳ１１）。

　シェア[g']は、第二ベクトル抽出部１１２₁,…,１１２_Nに出力される。

　例えば、σ(g')=(1,1,0,1,0,0,1,1,1,0)である場合には、g'=(1,1,1,1,1,0,1,1,0,0,0)となる。

　＜ステップＳ１２＞
　第二ベクトル抽出部１１２₁,…,１１２_Nに、シェア[g']が入力される。

　第二ベクトル抽出部１１２₁,…,１１２_Nは、シェア[g']を用いて、ベクトルg'のm+1番目からm+n番目の要素を抜き出したベクトルf1'のシェア[f1']を生成する（ステップＳ１２）。

　シェア[f1']は、変形第二テーブル生成部１１３₁,…,１１３_Nに出力される。

　例えば、m=3,n=4であり、g'=(1,1,1,1,0,1,1,0,0,0)である場合には、f1'=(1,0,1,1)となる。

　＜ステップＳ１３＞
　変形第二テーブル生成部１１３₁,…,１１３_Nに、シェア[f1']及びシェア[y]が入力される。

　変形第二テーブル生成部１１３₁,…,１１３_Nは、シェア[f1']及びシェア[y]を用いて、ベクトルf1'と、i=1,…,nとして、f1'_i=0である場合には、ベクトルf1'と、第二テーブルの属性のi番目の要素をu_v2としたテーブルと、ベクトルyとを結合した変形第二テーブルを生成する（ステップＳ１３）。u_v2は、所定の値である。

　変形第二テーブルは、第一テーブル結合部１２１₁,…,１２１_Nに出力される。

　例えば、第二テーブルが、キーのベクトルk₂=(3,7,9,9)と、１個の属性v₂の属性値のベクトルv₂=(水,ミックスオレ,薬,水)とから構成されており、f1'=(1,0,1,1)であり、ベクトル(100,-1,85,85)である場合には、変形第二テーブルは、以下に示すテーブルとなる。以下の変形第二テーブルでは、i=1,…,nとして、f1'_i=0である場合には、第二テーブルのキーのi番目の要素をu=-1としている。

　＜ステップＳ１４＞
　第三置換適用部１１４₁,…,１１４_Nに、各要素が１であるm個の要素と、各要素が０であるn個の要素と、各要素が－１であるm個の要素とを結合したベクトルe∈[F]^2m+nのシェア[e]及びシェア[σ]が入力される。

　第三置換適用部１１４₁,…,１１４_Nは、ベクトルe∈[F]^2m+nのシェア[e]及びシェア[σ]を用いて、ベクトルeに置換σを適用したベクトルσ(e)のシェア[σ(e)]を生成する（ステップＳ１４）。

　シェア[σ(e)]は、第四ベクトル生成部１１５₁,…,１１５_Nに出力される。

　例えば、例えば、m=3,n=4であり、置換σが上記の式（１）により定義されるσである場合には、g=(1,1,1,0,0,0,0,-1,-1,-1)となり、σ(g)=(1,0,-1,1,-1,0,1,0,0,-1)となる。

　＜ステップＳ１５＞
　第四ベクトル生成部１１５₁,…,１１５_Nに、シェア[σ(e)]が入力される。

　第四ベクトル生成部１１５₁,…,１１５_Nは、シェア[σ(e)]を用いて、各要素が、ベクトルσ(e)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルσ(e')のシェア[σ(e')]を生成する（ステップＳ１５）。言い換えれば、第四ベクトル生成部１１５₁,…,１１５_Nは、σ(e)のprefix-sumを計算しσ(e')とする。

　シェア[σ(e')]は、シフト部１１６₁,…,１１６_Nに出力される。

　例えば、σ(e)=(1,0,-1,1,-1,0,1,0,0,-1)である場合には、σ(e')=(1,1,0,1,0,0,1,1,1,0)となる。

　＜ステップＳ１６＞
　シフト部１１６₁,…,１１６_Nに、シェア[σ(e')]が入力される。

　シフト部１１６₁,…,１１６_Nは、シェア[σ(e')]を用いて、ベクトルσ(e)の各要素を１個ずつシフトさせたベクトルσ(e'')のシェア[σ(e'')]を生成する（ステップＳ１６）。なお、ベクトルσ(e)の各要素を、前方向に（左に）１個ずつシフトさせた場合には、ベクトルσ(e'')の一番最後の要素（一番右の要素）は例えば0とする。同様に、ベクトルσ(e)の各要素を、後ろ方向に（右に）１個ずつシフトさせた場合には、ベクトルσ(e'')の一番前の要素（一番左の要素）は例えば0とする。

　シェア[σ(e'')]は、第三逆置換適用部１１７₁,…,１１７_Nに出力される。

　例えば、σ(e')=(1,1,0,1,0,0,1,1,1,0)であり、前方向に（左に）１個ずつシフトさせる場合には、ベクトルσ(e'')=(1,0,1,0,0,1,1,1,0,0)となる。

　＜ステップＳ１７＞
　第三逆置換適用部１１７₁,…,１１７_Nに、シェア[σ(e'')]及びシェア[σ]が入力される。

　第三逆置換適用部１１７₁,…,１１７_Nは、シェア[σ(e'')]及びシェア[σ]を用いて、ベクトルσ(e'')に置換σの逆置換σ^-1を適用したベクトルe''のシェア[e'']を生成する（ステップＳ１７）。

　シェア[e'']は、ビット反転部１１８₁,…,１１８_Nに出力される。

　例えば、ベクトルσ(e'')=(1,0,1,0,0,1,1,1,0,0)であり、置換σが上記の式（１）により定義されるσである場合には、ベクトルe''=(1,0,1,0,1,1,0,1,0,0)となる。

　＜ステップＳ１８＞
　ビット反転部１１８₁,…,１１８_Nに、シェア[e'']が入力される。

　ビット反転部１１８₁,…,１１８_Nは、シェア[e'']を用いて、ベクトルe''の要素の０，１を反転させたベクトルfのシェア[f]を生成する（ステップＳ１８）。

　シェア[f]は、第三ベクトル抽出部１１９₁,…,１１９_Nに出力される。

　例えば、ベクトルe''=(1,0,1,0,1,1,0,1,0,0)である場合には、ベクトルf=(0,1,0,1,0,0,1,0,1,1)となる。

　＜ステップＳ１９＞
　第三ベクトル抽出部１１９₁,…,１１９_Nに、シェア[f]が入力される。

　第三ベクトル抽出部１１９₁,…,１１９_Nは、シェア[f]を用いて、ベクトルfの左からm個の要素を抜き出したベクトルf'のシェア[f']を生成する（ステップＳ１９）。

　シェア[f']は、変形第一テーブル生成部１２０₁,…,１２０_Nに出力される。

　例えば、ベクトルf=(0,1,0,1,0,0,1,0,1,1)である場合には、ベクトルf'=(0,1,0)となる。

　ベクトルf'は、第一テーブルのみにあるレコードの位置を表す。例えば、ベクトルf'=(0,1,0)は、第一テーブルの２個目のレコードが第一テーブルのみにあり、第二テーブルにないことを表す。

　＜ステップＳ２０＞
　変形第一テーブル生成部１２０₁,…,１２０_Nに、シェア[f']、シェア[r]及びシェア[d]が入力される。

　変形第一テーブル生成部１２０₁,…,１２０_Nは、ベクトルf'のi番目の要素をf'_iとし、ベクトルrのi番目の要素をr_iとし、u_k,u_v1を所定の値として、シェア[f']、シェア[r]及びシェア[d]を用いて、ベクトルf'と、i=1,…,mとして、f'_i=0である場合には、第一テーブルのキーのi番目の要素をu_kとし、ベクトルf'と、第一テーブルの属性のi番目の要素をu_v1としたテーブルと、第二テーブルの属性に対応するベクトルとしてを要素とするベクトルとを結合した変形第一テーブルを生成する（ステップＳ２０）。

　変形第一テーブルは、第一テーブル結合部１２１₁,…,１２１_Nに出力される。

　例えば、u_k,u_v1=-1であり、ベクトルf'=(0,1,0)であり、第一テーブルは、レコード数が３であり、キーのベクトルk₁=(3,5,9)と、１個の属性v₁の属性値のベクトルv₁=(100,19,85)とから構成されており、r=k₁,d=v₁である場合には、変形第一テーブルは以下のテーブルとなる。

　＜ステップＳ２１＞
　第一テーブル結合部１２１₁,…,１２１_Nに、変形第二テーブルと変形第一テーブルとが入力される。

　第一テーブル結合部１２１₁,…,１２１_Nは、変形第二テーブルと変形第一テーブルとを結合した結合テーブルを生成する（ステップＳ２１）。

　例えば、変形第二テーブルが上記（Ａ）に示したものであり、変形第一テーブルが上記（Ｂ）に示したものである場合には、結合テーブルは以下に示すテーブルとなる。なお、以下に示す結合テーブルでは、フラグのベクトルf1'とf'とを結合したベクトルをf''としている。

　＜ステップＳ２２＞
　第一テーブル整形部１２２₁,…,１２２_Nに、シェア[f1']及び[f']が入力される。

　第一テーブル整形部１２２₁,…,１２２_Nは、結合テーブル、シェア[f1']及び[f']を用いて、結合テーブルからベクトルf1'及びベクトルf'の要素（言い換えれば、ベクトルf1'とベクトルf'とを結合したベクトルf''の要素）が1のレコードを抜き出した整形後結合テーブルを生成する（ステップＳ２２）。

　例えば、結合テーブルが上記（Ｃ）の結合テーブルである場合には、整形後結合テーブルは、以下のテーブルとなる。

　なお、第一テーブル整形部１２２₁,…,１２２_Nは、ベクトルf1'とベクトルf'とを結合したベクトルf''でソートした後に、ベクトルf''の要素が１のレコードを抜き出すことにより、整形後結合テーブルを生成してもよい。この場合、ベクトルf''のシェア[f'']は公開されてもよい。

　この整形後結合テーブルは、第一テーブルと第二テーブルとを左外部結合したテーブルとなっている。

　[右外部結合を行う秘密結合システム及び方法]
　図１を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる右外部結合を行うものである。言い換えれば、この秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードと、第二テーブルのみに存在するレコードとを結合する。

　右外部結合を行う秘密結合システムは、第二置換適用部１９_n、第三ベクトル抽出部１１０_n、第二逆置換適用部１１１_n、第二ベクトル抽出部１１２_n、変形第二テーブル生成部１１３_n、第三置換適用部１１４_n、第四ベクトル生成部１１５_n、シフト部１１６_n、第三逆置換適用部１１７_n、ビット反転部１１８_n、第三ベクトル抽出部１１９_n、変形第一テーブル生成部１２０_n、第一テーブル結合部１２１_n、第一テーブル整形部１２２_nを備えていない代わりに、変形第二テーブル生成部１２３_nを備えている点を除けば、左外部結合を行う秘密結合システムと同様である。

　右外部結合を行う秘密結合方法は、ステップＳ９からステップＳ２２の処理を行わない代わりに、ステップＳ２３の処理を行う点を除けば、左外部結合を行う秘密結合方法と同様である。

　以下では、左外部結合を行う秘密結合システム及び方法と異なる部分について説明する。左外部結合を行う秘密結合システム及び方法と同じ部分については重複説明を省略する。

　秘密結合システムの秘密計算装置１_nは、例えば、図６に示すように、第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_n、変形第二テーブル生成部１２３_nを備えている。

　図６において破線で囲った、秘密計算装置１_nの中の第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_nが秘密強写像計算システムに対応する部分であると言える。

　図７を参照して、実施形態の秘密結合システムが実行する秘密結合方法の処理手続きを説明する。

　＜ステップＳ１＞から＜ステップＳ８＞の処理は、[秘密強写像計算システム及び方法]の欄で説明した＜ステップＳ１＞から＜ステップＳ８＞の処理と同様であるため、ここでは重複説明を省略する。

　例えば、ベクトルr=k₁=(3,5,9)であり、ベクトルd=v₁=(100,19,85)であり、u=-1であり、x=k₂=(3,7,9,9)である場合には、写像をベクトルx=(3,7,9,9)に対して適用すると、ベクトルy=(100,-1,85,85)というベクトルが得られる。ベクトルx=k₂=(3,7,9,9)の２番目の要素「7」は、ベクトルr=k₁=(3,5,9)の要素の中に存在しないため、ベクトルy=(100,-1,85,85)の２番目の要素は異常値u=-1となっている。このように、第二テーブルのレコードであって、第一テーブルに存在しないキーに対応するレコードに対応する属性値が、異常値uとなるようにベクトルyが計算される。

　＜ステップＳ２３＞
　変形第二テーブル生成部１２３₁,…,１２２_Nに、シェア[y]が入力される。

　変形第二テーブル生成部１２３₁,…,１２２_Nは、シェア[y]を用いて、第二テーブルと、ベクトルyとを結合した変形第二テーブルを生成する（ステップＳ２３）。

　例えば、第二テーブルが、レコード数が４であり、キーのベクトルk₂=(3,7,9,9)と、１個の属性v₂の属性値のベクトルv₂=(水,ミックスオレ,薬,水)とから構成されており、ベクトルy=(100,-1,85,85)である場合には、変形第二テーブルは、以下に示すテーブルとなる。

　この変形第二テーブルは、第一テーブルと第二テーブルとを右部結合したテーブルとなっている。

　[完全外部結合を行う秘密結合システム及び方法]
　図８を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる完全外部結合を行うものである。言い換えれば、この秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードと、第一テーブルのみに存在するレコードと、第二テーブルのみに存在するレコードとを結合する。

　完全外部結合を行う秘密結合システムは、第一テーブル結合部１２１_n、第一テーブル整形部１２２_nを備えていない代わりに、第二テーブル整形部１２４_n、第二テーブル結合部１２５_nを備えている点を除けば、左外部結合を行う秘密結合システム、右外部結合を行う秘密結合システムと同様である。

　完全外部結合を行う秘密結合方法は、ステップＳ２１からステップＳ２２の処理を行わない代わりに、ステップＳ２４及びステップＳ２５の処理を行う点を除けば、左外部結合を行う秘密結合方法、右外部結合を行う秘密結合方法と同様である。

　以下では、左外部結合を行う秘密結合システム及び方法、右外部結合を行う秘密結合システム及び方法と異なる部分について説明する。左外部結合を行う秘密結合システム及び方法、右外部結合を行う秘密結合システム及び方法と同じ部分については重複説明を省略する。

　秘密結合システムの秘密計算装置１_nは、例えば、図８に示すように、第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_n、第二置換適用部１９_n、第三ベクトル抽出部１１０_n、第二逆置換適用部１１１_n、第二ベクトル抽出部１１２_n、変形第二テーブル生成部１１３_n、第三置換適用部１１４_n、第四ベクトル生成部１１５_n、シフト部１１６_n、第三逆置換適用部１１７_n、ビット反転部１１８_n、第三ベクトル抽出部１１９_n、変形第一テーブル生成部１２０_n、第一テーブル結合部１２１_n、第一テーブル整形部１２２_n、変形第二テーブル生成部１２３_n、第二テーブル整形部１２４_n、第二テーブル結合部１２５_nを備えている。

　図８において破線で囲った、秘密計算装置１_nの中の第一ベクトル結合部１１_n、第一置換計算部１２_n、第一ベクトル生成部１３_n、第二ベクトル結合部１４_n、第一置換適用部１５_n、第二ベクトル生成部１６_n、第一逆置換適用部１７_n、第一ベクトル抽出部１８_nが秘密強写像計算システムに対応する部分であると言える。

　図９を参照して、実施形態の秘密結合システムが実行する秘密結合方法の処理手続きを説明する。

　まず、＜ステップＳ１＞から＜ステップＳ８＞の処理が行われる。＜ステップＳ１＞から＜ステップＳ８＞の処理は、[秘密強写像計算システム及び方法]の欄で説明した＜ステップＳ１＞から＜ステップＳ８＞の処理と同様であるため、ここでは重複説明を省略する。

　例えば、ベクトルr=k₁=(3,5,9)であり、ベクトルd=v₁=(100,19,85)であり、u=-1であり、x=k₂=(3,7,9,9)である場合には、写像をベクトルx=(3,7,9,9)に対して適用すると、ベクトルy=(100,-1,85,85)というベクトルが得られる。ベクトルx=k₂=(3,7,9,9)の２番目の要素「7」は、ベクトルr=k₁=(3,5,9)の要素の中に存在しないため、ベクトルy=(100,-1,85,85)の２番目の要素は異常値u=-1となっている。このように、第二テーブルのレコードであって、第一テーブルに存在しないキーに対応するレコードに対応する属性値が、異常値uとなるようにベクトルyが計算される。

　次に、＜ステップＳ２３＞の処理が行われる。＜ステップＳ２３＞の処理は、[右外部結合を行う秘密結合システム及び方法]の欄で説明した＜ステップＳ２３＞の処理と同様であるため、ここでは重複説明を省略する。

　例えば、第二テーブルが、レコード数が４であり、キーのベクトルk₂=(3,7,9,9)と、１個の属性v₂の属性値のベクトルv₂=(水,ミックスオレ,薬,水)とから構成されており、ベクトルy=(100,-1,85,85)である場合には、変形第二テーブルは、以下に示すテーブルとなる。

　次に、＜ステップＳ９＞から＜ステップＳ２０＞の処理が行われる。＜ステップＳ９＞から＜ステップＳ２０＞の処理は、[左外部結合を行う秘密結合システム及び方法]の欄で説明した＜ステップＳ９＞から＜ステップＳ２０＞の処理と同様であるため、ここでは重複説明を省略する。

　次に、＜ステップＳ２４＞及び＜ステップＳ２５＞の処理が行われる。

　＜ステップＳ２４＞
　第二テーブル整形部１２４₁,…,１２４_Nに、シェア[f']が入力される。

　第二テーブル整形部１２４₁,…,１２４_Nは、変形第一テーブル、シェア[f']を用いて、変形第一テーブルからベクトルf'の要素が1のレコードを抜き出した整形後変形第一テーブルを生成する（ステップＳ２４）。

　整形後変形第一テーブルは、第二テーブル結合部１２５₁,…,１２５_Nに出力される。

　例えば、変形第一テーブルが、上記（Ｂ）のテーブルである場合には、整形後変形第一テーブルは、以下のテーブルとなる。

　＜ステップＳ２５＞
　第二テーブル結合部１２５₁,…,１２５_Nに、変形第二テーブル及び整形後変形第一テーブルが入力される。

　第二テーブル結合部１２５₁,…,１２５_Nは、変形第二テーブルと整形後変形第一テーブルとを結合した結合テーブルを生成する（ステップＳ２５）。

　例えば、変形第二テーブルが上記（Ｄ）のテーブルであり、整形後変形第一テーブルが上記（Ｅ）のテーブルである場合には、結合テーブルは、以下のテーブルとなる。

　このテーブルは、第一テーブルと第二テーブルとを完全結合したテーブルとなっている。

　[変形例]
　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。

　例えば、ｚを2以上の正の整数として、キーの属性が、ｚ個の属性の複合キーであってもよい。この場合には、例えば以下のようにしてステップＳ１の処理を行ってもよい。

　ｒのかわりに、ｒ₀,…,ｒ_ｚ?1であるとする。ｘのかわりに、ｘ₀,…,ｘ_ｚ?1であるとする。

　この場合、ステップＳ１の処理で、各i(ただしi=0,…,ｚ-1)でｒ_iとｘ_iと、そしてもう一度ｒ_iと結合してk_iを得る。そして、各k_iをビット分解してビット表現にし、横に結合する。例えばk₀=(1,2,3,1,3,0,1,1,2,3)^T,k₁=(0,0,0,0,0,1,1,0,0,0)^Tのとき、k₀をビット分解すると、(k₀)₀=(1,0,1,1,1,0,1,1,0,1)^T,(k₀)₁=(0,1,1,0,1,0,0,0,1,1)^Tとなる。

　ここで、k₀は1から3の値を取るため、k₀の各要素は2ビットで表現することができる。(k₀)₀はk₀をビット分解したときの下位ビットであり、(k₀)₁はk₀をビット分解したときの上位ビットである。k₁はこの例ではもともと1ビット数であるので分解する必要はなく、k₁=(k₁)₀とする。(k₀)₀,(k₀)₁,(k₁)₀を横に結合すると、

となる。このようにして並べたものを行列とみなし、この行列の各行を1レコードのキーのビット表現とみなすと、(1,2,3,1,3,4,5,1,2,3)というキーのビット表現のベクトルが得られる。このベクトルをステップＳ２以降で使うkとして用いてもよい。このようにして、複合キーの場合も処理できる。

　複合キーでは、キーの重複とは、全てのキー属性の値の組み合わせの観点で重複するかどうかであり、個々の属性の値が重複しただけでは重複とはみなさないとする。例えば、組み合わせ(1,0)と(1,1)は重複ではない。

　実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　[プログラム、記録媒体]
　上記説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims (4)

1. 　複数の秘密計算装置を含む秘密強写像計算システムであって、
   　F_k,F_vは任意の環であり、αを任意のベクトル又は置換として[α]はαが秘密分散されたシェアであり、m,nは１以上の所定の整数であり、uは所定の値であり、r∈F_k ^mは要素が互いに異なる所定のベクトルであり、d∈F_v ^m,x∈F_k ⁿは所定のベクトルであり、
   　上記複数の秘密計算装置は、
   　上記ベクトルrのシェア[r]及び上記ベクトルxのシェア[x]を用いて、上記ベクトルrと上記ベクトルxと上記ベクトルrと同じベクトルとを結合したベクトルk∈[F_k]^2m+nのシェア[k]を生成する複数の第一ベクトル結合部と、
   　上記シェア[k]を用いて、上記ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算部と、
   　上記ベクトルdのシェア[d]とuとを用いて、ベクトルdの各要素からuを減算したベクトルであるベクトルd'のシェア[d']を生成する複数の第一ベクトル生成部と、
   　上記シェア[d']を用いて、上記ベクトルd'と要素数がnである０ベクトルと上記ベクトルd'の各要素の正負を反転させたベクトルであるベクトル-d'とを結合したベクトルv∈[F_v]^2m+nのシェア[v]を生成する複数の第二ベクトル結合部と、
   　上記シェア[v]及び上記シェア[σ]を用いて、上記ベクトルvに上記置換σを適用したベクトルσ(v)のシェア[σ(v)]を生成する複数の第一置換適用部と、
   　上記シェア[σ(v)]を用いて、各要素が、上記ベクトルσ(v)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和と上記uとの和であるベクトルσ(y)のシェア[σ(y)]を生成する複数の第二ベクトル生成部と、
   　上記シェア[σ(y)]及び上記シェア[σ]を用いて、上記ベクトルσ(y)に上記置換σの逆置換σ^-1を適用したベクトルσ^-1(σ(y))のシェア[σ^-1(σ(y))]を生成する複数の第一逆置換適用部と、
   　上記シェア[σ^-1(σ(y))]を用いて、上記ベクトルσ^-1(σ(y))のm+1番目からm+n番目の要素を抽出したベクトルyのシェア[y]を得る複数の第一ベクトル抽出部と、
   　を含む秘密強写像計算システム。
2. 　F_k,F_vは任意の環であり、αを任意のベクトル又は置換として[α]はαが秘密分散されたシェアであり、m,nは１以上の所定の整数であり、uは所定の値であり、r∈F_k ^mは要素が互いに異なる所定のベクトルであり、d∈F_v ^m,x∈F_k ⁿは所定のベクトルであり、
   　複数の第一ベクトル結合部が、上記ベクトルrのシェア[r]及び上記ベクトルxのシェア[x]を用いて、上記ベクトルrと上記ベクトルxと上記ベクトルrと同じベクトルとを結合したベクトルk∈[F_k]^2m+nのシェア[k]を生成する複数の第一ベクトル結合ステップと、
   　複数の第一置換計算部が、上記シェア[k]を用いて、上記ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算ステップと、
   　複数の第一ベクトル生成部が、上記ベクトルdのシェア[d]とuとを用いて、ベクトルdの各要素からuを減算したベクトルであるベクトルd'のシェア[d']を生成する複数の第一ベクトル生成ステップと、
   　複数の第二ベクトル結合部が、上記シェア[d']を用いて、上記ベクトルd'と要素数がnである０ベクトルと上記ベクトルd'の各要素の正負を反転させたベクトルであるベクトル-d'とを結合したベクトルv∈[F_v]^2m+nのシェア[v]を生成する複数の第二ベクトル結合ステップと、
   　複数の第一置換適用部が、上記シェア[v]及び上記シェア[σ]を用いて、上記ベクトルvに上記置換σを適用したベクトルσ(v)のシェア[σ(v)]を生成する複数の第一置換適用ステップと、
   　複数の第二ベクトル生成部が、上記シェア[σ(v)]を用いて、各要素が、上記ベクトルσ(v)のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和と上記uとの和であるベクトルσ(y)のシェア[σ(y)]を生成する複数の第二ベクトル生成ステップと、
   　複数の第一逆置換適用部が、上記シェア[σ(y)]及び上記シェア[σ]を用いて、上記ベクトルσ(y)に上記置換σの逆置換σ^-1を適用したベクトルσ^-1(σ(y))のシェア[σ^-1(σ(y))]を生成する複数の第一逆置換適用ステップと、
   　複数の第一ベクトル抽出部が、上記シェア[σ^-1(σ(y))]を用いて、上記ベクトルσ^-1(σ(y))のm+1番目からm+n番目の要素を抽出したベクトルyのシェア[y]を得る複数の第一ベクトル抽出ステップと、
   　を含む秘密強写像計算方法。
3. 　請求項１の秘密強写像計算システムの秘密計算装置。
4. 　請求項３の秘密計算装置の各部としてコンピュータを機能させるためのプログラム。

Images