WO2020136884A1

WO2020136884A1 - 秘匿検索システムおよび秘匿検索方法

Info

Publication number: WO2020136884A1
Application number: PCT/JP2018/048531
Authority: WO
Inventors: 健一郎早坂; 豊川合
Original assignee: 三菱電機株式会社
Priority date: 2018-12-28
Filing date: 2018-12-28
Publication date: 2020-07-02
Also published as: JP6918253B2; JPWO2020136884A1; US11790105B2; US20210248262A1

Abstract

秘匿検索システムは、検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤvを生成し、被検索文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴxから、生成した検索鍵ＴＤvに対応する暗号化タグを検索する。特に、秘匿検索システムは、検索鍵ＴＤvおよび暗号化タグＥＴxの一方に各文字の位置ｔを設定し、他方に符号を反転した各文字の位置－ｔを設定することにより、検索の際に、双方に設定された位置ｔと位置－ｔとを打ち消すことで、検索鍵ＴＤvを部分文字列として含むような暗号化タグＥＴxを検索する。

Description

秘匿検索システムおよび秘匿検索方法

　この発明は、複数の被検索文字列の中から検索文字列を含む被検索文字列を検索する秘匿検索システムおよび秘匿検索方法に関する。

　秘匿検索とは、暗号化したままデータを検索することが可能な技術である。クラウドサービスの広がりを見せる現代において、安価かつ手間なく利用可能なクラウドストレージが、一般的に用いられるようになりつつある。一方で、極めて慎重に取り扱うべきセンシティブな情報である機微な情報を含むデータをクラウドで管理するような場合は、情報漏洩のリスクがある。そのため、データを暗号化して保管する必要がある。秘匿検索は、暗号化されているデータであっても、当該データを復号することなく検索が行えるため、安全性と利便性を両立することが可能である。

　秘匿検索では、２つの暗号化されたキーワードを用いることで検索を実現する。１つ目は、データに関連付けるキーワード（以下、被検索文字列とする）の暗号文で、暗号化タグという。２つ目は、検索するキーワード（以下、検索文字列とする）の暗号文で、検索鍵という。データを登録するときは、暗号化したデータと暗号化タグとをストレージサーバに登録する。このとき、暗号化タグは関連付けられているデータまたはデータの識別子と紐づけられて、暗号化索引として保管される。秘匿検索は、検索者が送信する検索鍵と一致する暗号化タグを、暗号化索引内から復号することなく特定することで、データおよびキーワードの情報を露出することなく実現される。

　秘匿検索では、被検索文字列と検索文字列とが等しい場合に一致と判定する方式（以下、完全一致秘匿検索とする）と、被検索文字列に検索文字列が含まれる場合に一致と判定する方式（以下、部分一致秘匿検索という）とが知られている。部分一致秘匿検索は、暗号化タグの部分文字列と一致判定が可能なため、完全一致秘匿検索よりもあいまいな検索を実現でき、利便性が高い。部分一致秘匿検索の実現方法の一つに、文字または単語など部分文字列毎に暗号文を生成する方式がある。暗号化タグまたは検索鍵の部分文字列を入れ替えたり切り離したりしてさらに検索が可能な場合、頻度分析等の攻撃手法により、部分文字列情報が漏洩する可能性がある。そのため、登録者または検索者が意図しない検索を悪意のある第三者に実行させない仕組みが必要である。

　特許文献１および特許文献２は、部分一致秘匿検索を実現することが可能な手法をそれぞれ示している。ただし、特許文献１の手法は、暗号化タグの生成と検索鍵の生成とにおいて、同じ鍵を使用するため、権限が分離できない。特許文献２の手法は、暗号化タグの生成と検索鍵の生成とで異なる鍵を使用でき、さらに検索者毎に異なる権限を持つ鍵を生成可能なため、安全性が特許文献１より高い。また、特許文献２の手法は、暗号文への分散値の埋め込み、および、部分一致検索時に必要な秘密鍵（以下、シフト用秘密鍵）を導入することで、悪意のある第三者による意図しない検索を防止している。

　また、非特許文献１は、安全性が高く、部分一致秘匿検索に利用可能な暗号方式を示している。しかしながら、非特許文献１には、特許文献２のような検索鍵変換による検索者端末から検索装置へ送信される検索情報量の削減を行うための手法については記載されていない。以下、特許文献２の検索鍵変換について説明する。

　上述したように、特許文献２は、権限を分離することで、安全性が高く柔軟性のある部分一致秘匿検索を実現している。しかしながら、特許文献２では、暗号化タグの部分文字列と検索鍵とが一致するか否かの判定を行うために、暗号化タグの部分文字列の先頭文字位置と検索鍵の先頭文字位置とを合わせる処理を行う必要がある。当該処理を「検索鍵変換」という。このように、特許文献２では、検索鍵変換を行う必要があり、暗号化タグまたは検索鍵の文字数によっては、検索時間の大幅な増加を招く可能性がある。

国際公開第２０１７／１２２３５２号国際公開第２０１６／１１３８７８号

Ｔａｔｓｕａｋｉ　Ｏｋａｍｏｔｏ　ａｎｄ　Ｋａｔｓｕｙｕｋｉ　Ｔａｋａｓｈｉｍａ，"Ｆｕｌｌｙ　Ｓｅｃｕｒｅ　Ｕｎｂｏｕｎｄｅｄ　Ｉｎｎｅｒ－Ｐｒｏｄｕｃｔ　ａｎｄ　Ａｔｔｒｉｂｕｔｅ－Ｂａｓｅｄ　Ｅｎｃｒｙｐｔｉｏｎ"，Ａｓｉａｃｒｙｐｔ　２０１２，ＬＮＣＳ　７６５８，２０１２年，ｐ．３４９－３６６

　上述したように、特許文献２における検索処理は、検索鍵変換処理の計算量が大きいため、暗号化タグの部分文字列と検索鍵とが一致するか否かの判定を多用する場合には、検索時間が長くなるという課題があった。

　この発明は、かかる課題を解決するためになされたものであり、悪意のある第三者による意図しない検索を防止しつつ、検索時間の短縮化を図ることが可能な秘匿検索システムおよび秘匿検索方法を得ることを目的とする。

　この発明に係る秘匿検索システムは、検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する検索鍵生成部と、被検索文字列の各文字が位置を指定されて設定された暗号化タグＥＴ_xを生成する暗号化タグ生成部と、前記暗号化タグＥＴ_xの中から、前記検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する検索部とを備え、前記検索鍵ＴＤ_vに含まれる要素および前記暗号化タグＥＴ_xに含まれる要素の一方に、前記各文字の位置を示すインデックスｔが設定され、他方に、前記インデックスｔの符号を反転したインデックス－ｔが設定され、検索時に、前記検索鍵ＴＤ_vと前記暗号化タグＥＴ_xとに設定された前記インデックスｔと前記インデックス－ｔとを加算することで、前記インデックスｔと前記インデックス－ｔとを打消して、前記検索鍵ＴＤ_vに対応する前記暗号化タグＥＴ_xを検索する。

　この発明に係る秘匿検索方法は、検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する検索鍵生成ステップと、被検索文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴ_xを生成する暗号化タグ生成ステップと、複数の前記暗号化タグＥＴ_xから、前記検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する検索ステップとを備え、前記検索鍵ＴＤ_vに含まれる要素および前記暗号化タグＥＴ_xに含まれる要素の一方に、前記各文字の位置を示すインデックスｔが設定され、他方に、前記インデックスｔの符号を反転したインデックス－ｔが設定され、検索時に、前記検索鍵ＴＤ_vと前記暗号化タグＥＴ_xとに設定された前記インデックスｔと前記インデックス－ｔとを加算することで、前記インデックスｔと前記インデックス－ｔとを打消して、前記検索鍵ＴＤ_vに対応する前記暗号化タグＥＴ_xを検索する。

　この発明に係る秘匿検索システムおよび秘匿検索方法によると、悪意のある第三者による意図しない検索を防止しつつ、検索時間の短縮化を図ることができる。

内積述語暗号における内積の取り方の説明図である。内積述語暗号における内積の取り方の説明図である。内積述語暗号の基本構成の説明図である。この発明の実施の形態１に係る部分一致秘匿検索方式のキーテクニックの説明図である。この発明の実施の形態１に係る部分一致秘匿検索方式の実現例の説明図である。この発明の実施の形態１に係る部分一致秘匿検索方式の実現例の説明図である。この発明の実施の形態１に係る部分一致秘匿検索方式の実現例の説明図である。この発明の実施の形態１に係る秘匿検索システムの構成図である。この発明の実施の形態１に係る鍵生成装置の構成図である。この発明の実施の形態１に係る暗号化タグ生成装置の構成図である。この発明の実施の形態１に係る検索鍵生成装置の構成図である。この発明の実施の形態１に係る検索装置の構成図である。この発明の実施の形態１に係るＫＧアルゴリズムの処理のフローチャートである。この発明の実施の形態１に係るＴａｇＧｅｎアルゴリズムの処理のフローチャートである。この発明の実施の形態１に係るＴｒａｐＧｅｎアルゴリズムの処理のフローチャートである。この発明の実施の形態１に係るＳｅａｒｃｈアルゴリズムの処理のフローチャートである。この発明の実施の形態１に係る鍵生成装置と、暗号化タグ生成装置と、検索鍵生成装置と、変換後検索鍵生成装置と、検索装置とのハードウェア構成例を示す図である。

　実施の形態１．
　以下、この発明の実施の形態１に係る秘匿検索システムについて、図面を用いて説明する。

　＜記法の説明＞
　はじめに、以下の説明における記法について説明する。

　Ａがランダムな値または分布であるとき、下式（１）は、Ａの分布に従い、Ａからｙをランダムに選択することを表す。つまり、下式（１）において、ｙは乱数である。

　Ａが集合であるとき、下式（２）は、Ａからｙを一様に選択することを表す。つまり、下式（２）において、ｙは一様乱数である。

　下式（３）は、ｙにｚが設定されたこと、ｙがｚにより定義されたこと、または、ｙがｚを代入されたことを表す。

　ａが定数であるとき、下式（４）は、機械ＡまたはアルゴリズムＡが、入力ｘに対して、ａを出力することを表し、下式（５）は、ａ＝１の場合を例示した式である。

　下式（６）は、位数ｑの体を表す。

　ベクトルｘ^→は、有限体Ｆ_qにおける下式（７）のようなベクトル表現を表す。なお、表記「^→」は、その前に記載された記号の上部に→が付されることを意味しており、ベクトルを表している。

　下式（８）は、下式（９）に示す２つのベクトルｘ^→およびｖ^→の下式（１０）に示す内積を表す。

　Ｘ^Tは、行列Ｘの転置行列を表す。

　また、下式（１１）に示す基底Ｂと基底Ｂ^*とは、下式（１２）の関係を満たす。

　＜実施の形態１の概要の説明＞
　本実施の形態１では、内積述語暗号を応用して、部分一致秘匿検索方式を実現する。

　図１および図２に基づき、内積述語暗号における内積の取り方について説明する。

　図１に示すように、暗号文がベクトルｘ^→＝（ｘ₁，ｘ₂，．．．，ｘ_n）であり、鍵がベクトルｖ^→＝（ｖ₁，ｖ₂，．．．，ｖ_n）であるとする。暗号文のベクトルｘ^→と鍵のベクトルｖ^→との要素数は同じである。この場合、内積述語暗号では、ベクトルｘ^→とベクトルｖ^→との内積Σ_i=1 ⁿ（ｘ_i・ｖ_i）が計算され、暗号文が鍵により復号される。つまり、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との対応する要素毎の内積の和が計算され、暗号文が鍵により復号される。

　また、図２に示すように、暗号文がベクトルｘ^→＝（ｘ₁，ｘ₂）であり、鍵がベクトルｖ^→＝（ｖ₁，ｖ₂，．．．，ｖ_n）であるように、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との要素数が異なる場合もある。この場合にも、暗号文のベクトルｘ^→と鍵のベクトルｖ^→との対応する要素毎の内積の和が計算され、暗号文が鍵により復号される。図２の場合、ベクトルｘ^→の要素ｘ₁，ｘ₂が、ベクトルｖ^→の要素ｖ₁，ｖ₂にそれぞれ対応しているので、これらの要素毎の内積の和が計算される。一方、ベクトルｖ^→の要素ｖ₃，．．．，ｖ_nについては、対応するベクトルｘ^→の要素がないため、内積は計算されない。

　次に、図３に基づき、内積述語暗号の基本構成について説明する。

　一般に、内積述語暗号では、秘密値ｓ₀と、ｔ∈Ｉｖの各整数ｔについての分散値ｓ_tとが用いられる。秘密値ｓ₀と分散値ｓ_tとには、ｓ₀＝Σ_t∈Ivｓ_tという関係がある。ここで、ｔはインデックスであり、Ｉｖは、インデックスｔの集合である。

　鍵は、秘密値ｓ₀が設定された基底Ｂ^* ₀上のベクトルである要素ｋ^* ₀と、ｔ∈Ｉｖの各整数ｔについて、分散値ｓ_tと属性値ｖ_tとインデックスｔとが設定された基底Ｂ^*上のベクトルである要素ｋ^* _tとを含む。一方、暗号文は、基底Ｂ^* ₀に対応する基底Ｂ₀上のベクトルである要素ｃ₀と、ｔ∈Ｉｘの各整数ｔについて、属性値ｘ_tとインデックスｔとが設定された、基底Ｂ^*に対応する基底Ｂ上のベクトルである要素ｃ_tとを含む。ここで、Ｉｘは、インデックスｔの集合である。

　そして、要素ｋ^* ₀と要素ｃ₀との内積が計算されるとともに、ｔ∈Ｉｖとの各整数ｔについて、鍵に含まれる要素ｋ^* _tと、暗号文に含まれる要素ｃ_tとの内積が計算される。ｔ∈Ｉｖの各整数ｔについては、要素ｋ^* _tに設定された属性値ｖ_tと、要素ｃ_tに設定された属性値ｘ_tとが対応している場合に、分散値ｓ_tが得られる。ｓ₀＝Σ_t∈Ivｓ_tであるため、ｔ∈Ｉｖの全ての要素ｋ^* _tに設定された分散値ｓ_tが得られると、要素ｋ^* ₀に設定された秘密値ｓ₀が得られる。そして、この場合に、暗号文が鍵により復号できる。

　なお、上述したように、要素ｋ^* _tと要素ｃ_tとには、インデックスｔが設定されている。そのため、ｉ≠ｊの整数ｉ，ｊについて、属性値ｖ_iと属性値ｘ_jとが対応していたとしても、要素ｋ^* _iと要素ｃ_jとの内積を計算しても分散値ｓ_iが得られることはない。ここで、インデックスｔは、被検索文字列および検索文字列における各文字の位置を示す。

　次に、図４に基づき、実施の形態１に係る部分一致秘匿検索方式のキーテクニックを説明する。

　上述した内積述語暗号の基本構成では、暗号文の要素ｃ_tと鍵の要素ｋ^* _tのインデックスｔに関連する各要素μ（ｔ，－１）およびσ（１，ｔ）によって、悪意のある第三者による意図しない検索を防止している。一方で、同じインデックスｔを共有する要素同士でなければ分散値ｓ_iを計算できないため、追加の仕組みおよび追加の計算なしに部分一致秘匿検索は実現が困難である。

　そこで、本実施の形態１では、インデックスｔの設定方法を変更する。図４に示すように、まず、新たに、分散値τ_tを使用する。すなわち、本実施の形態１においては、内積述語暗号において、秘密値ｓ₀と、ｔ∈Ｉｖの各整数ｔについての第１の分散値ｓ_tと、ｔ∈Ｉｖの各整数ｔについての第２の分散値τ_tとが用いられる。秘密値ｓ₀と分散値ｓ_tとには、ｓ₀＝Σ_t∈Ivｓ_tという関係がある。また、各整数ｔについての分散値τ_tは、０＝Σ_t∈Ivτ_tの関係を満たす。

　次に、本実施の形態１においては、暗号文の要素ｃ_tには、σ（１，ｔ）に代えて、γβ^-tを設定する。また、鍵の要素ｋ^* _tには、μ（ｔ，－１）に代えて、γ’β^tτ_tを設定する。すなわち、本実施の形態１においては、鍵は、要素ｋ^* ₀と要素ｋ^* _tとを含む。要素ｋ^* ₀は、秘密値ｓ₀が設定された基底Ｂ^* ₀上のベクトルである。要素ｋ^* _tは、ｔ∈Ｉｖの各整数ｔについて、第１の分散値ｓ_tと第２の分散値τ_tと属性値ｖ_tとインデックスｔとが設定された基底Ｂ^*上のベクトルである。一方、暗号文は、要素ｃ₀と要素ｃ_tとを含む。要素ｃ₀は、基底Ｂ^* ₀に対応する基底Ｂ₀上のベクトルである。要素ｃ_tは、ｔ∈Ｉｘの各整数ｔについて、属性値ｘ_tとインデックス－ｔとが設定された、基底Ｂ^*に対応する基底Ｂ上のベクトルである。

　ここで、βは、位数が十分大きいＦ_qの固定された元とし、γおよびγ’は乱数とする。ただし、βの冪の符号は暗号文と鍵とで入れ替えても構わない。すなわち、上記の説明においては、検索文字列である鍵にインデックスｔを設定し、被検索文字列である暗号文にインデックス－ｔを設定すると説明した。しかしながら、その場合に限らず、検索文字列である鍵にインデックス－ｔを設定し、被検索文字列である暗号文にインデックスｔを設定するようにしてもよい。また、γおよびγ’は省略しても構わない。また、βは公開しても構わないが、秘密情報として登録者と検索者との間で安全な通信路を用いて事前に共有しても構わない。

　このことにより、例えば同じインデックスｔを共有する暗号文と鍵とで部分一致秘匿検索を行う場合、各インデックスｔにおける各暗号文の要素ｃ_tと各鍵の要素ｋ^* _tとで内積を計算する。その結果、各インデックスｔにおいてβの冪要素が打ち消しあい、γγ’τ_tを取り出すことができる。このとき、０＝γγ’Σ_t∈Ivτ_tであることから、τ_tの項は打ち消しあって、残った分散値ｓ_iを得ることができる。

　次に、鍵の要素のインデックスｔに対して暗号文の要素のインデックスをαだけずらして部分一致秘匿検索を行う場合について説明する。即ち、この場合は、暗号文の要素ｃ_t+αに対して鍵の要素ｋ^* _tとの内積を計算することになり、各インデックスｔにおいてγγ’β^-ατ_tを取り出すことができる。この結果、０＝γγ’β^-αΣ_t∈Ivτ_tであることから、この場合も、τ_tの項は打ち消しあって、残った分散値ｓ_iを得ることができる。

　言い換えると、一定の幅αだけ、鍵の全要素をずらす場合のみ一致判定が可能となる。これは、即ち、検索鍵変換処理を行わずに部分一致秘匿検索を実現し、一方で、文字の入れ替えまたは切り離しによる意図しない検索を防止することができることを意味する。

　このように、本実施の形態１においては、内積述語暗号において、第１の分散値ｓ_tと第２の分散値τ_tとを用いる。また、検索文字列である鍵と被検索文字列である暗号文において、一方にインデックスｔを設定し、他方に符号を反転させたインデックス－ｔを設定する。これにより、内積を計算する際に、インデックスｔを打ち消すことができる。その結果、特許文献２で必要であった検索鍵変換処理が不要となり、検索時間の短縮を図ることができる。また、悪意のある第三者による意図しない検索を防止することができる。

　図５に基づき、本実施の形態１に係る部分一致秘匿検索方式の実現例を説明する。

　図５に示すように、データベースに、ＡＢＣＤＥという検索タグとなる被検索文字列が暗号化されて生成された暗号化タグＥＴ_xが記憶されている。このとき、検索文字列として、ＣＤという文字列が与えられたとする。

　この場合、ＡＢＣＤＥという被検索文字列の各文字を属性値ｘ_tとして、暗号文の要素ｃ_tが生成される。つまり、要素ｃ₁には属性値Ａが設定され、要素ｃ₂には属性値Ｂが設定され、要素ｃ₃には属性値Ｃが設定され、要素ｃ₄には属性値Ｄが設定され、要素ｃ₅には属性値Ｅが設定される。このように、暗号化タグＥＴ_xは、被検索文字列の各文字が位置を指定されて設定されている。

　一方、ＣＤという文字列の各文字を属性値ｖ_tとして、検索鍵ＴＤ_vが生成される。つまり、要素ｋ^* ₁には属性値Ｃが設定され、要素ｋ^* ₂には属性値Ｄが設定される。このように、検索鍵ＴＤ_vは、検索文字列の各文字が位置を指定されて設定されている。

　検索処理では、図５に示すように、検索鍵ＴＤ_vの要素ｋ^* _tを１つずつ順にずらして暗号化タグＥＴ_xを順に復号して、一致判定を行う。この実現例では、要素ｃ₃，ｃ₄を要素ｋ^* ₁，ｋ^* ₂で復号したときに一致となる。

　次に、図６に基づき、本実施の形態１に係る部分一致秘匿検索方式の他の実現例を説明する。

　データベースに、ＡＢＣＤＥという検索タグとなる被検索文字列が暗号化された暗号化タグＥＴ_xが記憶されており、検索文字列として、ＢＤという文字列が与えられたとする。

　この場合、ＡＢＣＤＥという被検索文字列の各文字を属性値ｘ_tとして、暗号文の要素ｃ_tが生成される。つまり、要素ｃ₁には属性値Ａが設定され、要素ｃ₂には属性値Ｂが設定され、要素ｃ₃には属性値Ｃが設定され、要素ｃ₄には属性値Ｄが設定され、要素ｃ₅には属性値Ｅが設定される。

　一方、ＢＤという検索文字列の各文字を属性値ｖ_tとして、検索鍵ＴＤ_vが生成される。つまり、要素ｋ^* ₁には属性値Ｂが設定され、要素ｋ^* ₂には属性値Ｄが設定される。

　この実現例では、例えば、意図しない検索として、要素ｋ^* ₁，ｋ^* ₂を不正に分離して要素ｃ₂，ｃ₄を復号した場合を考える。このとき、各要素の属性値が一致しているため、内積の結果としてｖ_tおよびｘ_t成分は打ち消されて０となる。一方で、内積の結果として取り出されるτ_tの項は、γγ’（β^-1τ₁＋β^-2τ₂）≠０となり、打ち消されないため、部分一致秘匿検索の結果は不一致となる。

　次に、図７に基づき、実施の形態１に係る部分一致秘匿検索方式のさらなる他の実現例を説明する。

　データベースに、ＡＢＣＤＥという検索タグとなる被検索文字列が暗号化された暗号化タグが記憶されており、検索文字列として、ＢＡという文字列が与えられたとする。

　一方、ＢＡという文字列の各文字を属性値ｖ_tとして、検索鍵が生成される。つまり、要素ｋ^* ₁には属性値Ｂが設定され、要素ｋ^* ₂には属性値Ａが設定される。

　この実現例では、例えば、意図しない検索として、要素ｋ^* ₁，ｋ^* ₂を不正に置換して要素ｃ₁，ｃ₂を復号した場合を考える。このとき、各要素の属性値が一致しているため、内積の結果としてｖ_tおよびｘ_t成分は打ち消されて０となる。一方で、内積の結果として取り出されるτ_tの項は、γγ’（β^-1τ₁＋β¹τ₂）≠０となり、打ち消されないため、部分一致秘匿検索の結果は不一致となる。

　このように、本実施の形態１においては、図５に示すように、一定の幅αだけ、鍵の全要素をずらす場合のみ一致判定が可能となる。一方、図６に示すような文字の切り離し、および、図７に示すような文字の入れ替えなどの、意図しない検索の場合には、一致判定が不可能になる。これにより、悪意のある第三者による意図しない検索を防止することができる。

　＜実施の形態１に係る秘匿検索システムの構成の説明＞
　本実施の形態１に係る秘匿検索システム１０の構成を説明する前に、本実施の形態１における部分一致秘匿検索方式の基本構成について説明する。

　本実施の形態１に係る秘匿検索システム１０で用いられる部分一致秘匿検索方式は、ＫＧアルゴリズムと、ＴａｇＧｅｎアルゴリズムと、ＴｒａｐＧｅｎアルゴリズムと、Ｓｅａｒｃｈアルゴリズムとを備える。

　ＫＧアルゴリズムは、セキュリティパラメータλを入力として、公開鍵ｐｋと、秘密鍵ｓｋとを出力するアルゴリズムである。

　ＴａｇＧｅｎアルゴリズムは、公開鍵ｐｋと、属性ベクトルｘ^→とを入力として、暗号化タグＥＴ_xを出力する確率的アルゴリズムである。

　ＴｒａｐＧｅｎアルゴリズムは、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→とを入力として、検索鍵ＴＤ_vを出力する確率的アルゴリズムである。

　Ｓｅａｒｃｈアルゴリズムは、公開鍵ｐｋと、暗号化タグＥＴ_xと、検索鍵ＴＤ_vとを入力として、検索にヒットしたことを示す０、または、検索にヒットしなかったことを示す１を出力する確定的アルゴリズムである。

　図８に基づき、本実施の形態１に係る秘匿検索システム１０について説明する。

　図８に示す秘匿検索システム１０は、検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する。また、秘匿検索システム１０は、被検索文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴ_xを生成する。そして、秘匿検索システム１０は、生成した検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する。このとき、秘匿検索システム１０は、上述したように、検索鍵ＴＤ_vに各文字の位置を示すインデックスｔを設定し、暗号化タグＥＴ_xに、インデックスｔの符号を反転したインデックス－ｔを設定している。そのため、検索時に、検索鍵ＴＤ_vと暗号化タグＥＴ_xとに設定されたインデックスｔとインデックス－ｔとを加算することで、双方に設定された位置を打消して、検索鍵ＴＤ_vを部分文字列として含む暗号化タグＥＴ_xを検索する。

　図８に示すように、秘匿検索システム１０は、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とを備える。

　なお、ここでは、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とをそれぞれ別の装置としているが、これらの装置のうち２つ以上の装置が１つの装置として構成されていてもよい。したがって、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とを、それぞれ、鍵生成部と、暗号化タグ生成部と、検索鍵生成部と、検索部と読み替え、或る１つ以上の装置の各構成要素としてもよい。

　鍵生成装置１００は、セキュリティパラメータλを入力として、ＫＧアルゴリズムを実行して、公開鍵ｐｋと、秘密鍵ｓｋと、固定値βとを出力する。セキュリティパラメータλは、秘匿検索システム１０の管理者等によって、秘匿検索システム１０の入力インタフェースに接続された入力装置により入力される。

　暗号化タグ生成装置２００は、公開鍵ｐｋと、属性ベクトルｘ^→と、固定値βとを入力として、ＴａｇＧｅｎアルゴリズムを実行して、暗号化タグＥＴ_xを生成する。属性ベクトルｘ^→は、秘匿検索システム１０の管理者または暗号化タグ生成装置２００の使用者等によって、秘匿検索システム１０の入力インタフェースに接続された入力装置により入力される。

　検索鍵生成装置３００は、公開鍵ｐｋと、秘密鍵ｓｋと、述語ベクトルｖ^→と、固定値βとを入力として、ＴｒａｐＧｅｎアルゴリズムを実行して、検索鍵ＴＤ_vを生成する。述語ベクトルｖ^→は、秘匿検索システム１０の管理者または検索鍵生成装置３００の使用者等によって、秘匿検索システム１０の入力インタフェースに接続された入力装置により入力される。

　検索装置５００は、公開鍵ｐｋと、暗号化タグＥＴ_xと、検索鍵ＴＤ_vとを入力として、Ｓｅａｒｃｈアルゴリズムを実行して、検索鍵ＴＤ_vを部分文字列として含む暗号化タグＥＴ_xを検索する。検索装置５００は、検索においてヒットしたことを示す０、または、検索においてヒットしなかったことを示す１を出力する。

　次に、図９に基づき、本実施の形態１に係る鍵生成装置１００の構成について説明する。

　図９に示すように、鍵生成装置１００は、情報取得部１１０と、基底生成部１２０と、鍵生成部１４０と、鍵出力部１５０とを備える。

　情報取得部１１０は、秘匿検索システム１０に接続された入力装置から入力されたセキュリティパラメータλを取得する。

　基底生成部１２０は、セキュリティパラメータλに基づき、部分一致秘匿検索方式を実現するための基礎となる基底Ｂ₀と基底Ｂ^* ₀と基底Ｂと基底Ｂ^*とを生成する。また、基底生成部１２０は、パラメータｐａｒａｍを生成する。これらの基底およびパラメータの生成方法については後述する。

　鍵生成部１４０は、基底Ｂ₀および基底Ｂと、パラメータｐａｒａｍとを用いて、公開鍵ｐｋを生成する。また、鍵生成部１４０は、基底Ｂ^* ₀および基底Ｂ^*を用いて、秘密鍵ｓｋを生成する。さらに、鍵生成部１４０は、固定値βを生成する。公開鍵ｐｋ、秘密鍵ｓｋおよび固定値βの生成方法については後述する。

　鍵出力部１５０は、鍵生成部１４０が生成した公開鍵ｐｋを公開する。また、鍵出力部１５０は、鍵生成部１４０が生成した秘密鍵ｓｋを、検索鍵生成装置３００へ出力する。さらに、鍵出力部１５０は、鍵生成部１４０が生成した固定値βを、暗号化タグ生成装置２００と検索鍵生成装置３００へ出力する。このとき、固定値βは公開しても構わないし、秘密情報として暗号化タグ生成装置２００と検索鍵生成装置３００へ安全な通信路を用いて出力しても構わない。

　次に、図１０に基づき、本実施の形態１に係る暗号化タグ生成装置２００の構成を説明する。

　図１０に示すように、暗号化タグ生成装置２００は、情報取得部２１０と、タグ生成部２２０と、暗号化タグ出力部２３０とを備える。

　情報取得部２１０は、鍵生成装置１００から公開鍵ｐｋと固定値βとを取得するとともに、秘匿検索システム１０に接続された入力装置から入力された属性ベクトルｘ^→を取得する。

　タグ生成部２２０は、公開鍵ｐｋと、固定値βと、属性ベクトルｘ^→とを用いて、１つ以上の基底Ｂ上のタグベクトルｃ_tを含む暗号化タグＥＴ_xを生成する。タグ生成部２２０は、乱数生成部２２１と、要素生成部２２２とを備える。乱数生成部２２１および要素生成部２２２の動作については後述する。

　暗号化タグ出力部２３０は、暗号化タグＥＴ_xを検索装置５００に出力する。

　次に、図１１に基づき、本実施の形態１に係る検索鍵生成装置３００の構成を説明する。

　図１１に示すように、検索鍵生成装置３００は、情報取得部３１０と、鍵生成部３２０と、鍵出力部３３０とを備える。

　情報取得部３１０は、鍵生成装置１００から公開鍵ｐｋと、秘密鍵ｓｋと、固定値βとを取得するとともに、秘匿検索システム１０に接続された入力装置から述語ベクトルｖ^→を取得する。

　鍵生成部３２０は、公開鍵ｐｋと、秘密鍵ｓｋと、固定値βと、述語ベクトルｖ^→とを用いて、文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する。ここでは、鍵生成部３２０は、１つ以上の基底Ｂ^*上の検索ベクトルｋ^* _tを含む検索鍵ＴＤ_vを生成する。鍵生成部３２０は、乱数生成部３２１と、秘密値生成部３２２と、要素生成部３２３とを備える。乱数生成部３２１、秘密値生成部３２２、および、要素生成部３２３の動作については、後述する。

　鍵出力部３３０は、鍵生成部３２０が生成した検索鍵ＴＤ_vを検索装置５００に出力する。

　次に、図１２に基づき、本実施の形態１に係る検索装置５００の構成を説明する。

　図１２に示すように、検索装置５００は、情報取得部５１０と、検索判定部５２０と、結果出力部５３０とを備える。

　情報取得部５１０は、鍵生成装置１００から公開鍵ｐｋを取得する。また、情報取得部５１０は、暗号化タグ生成装置２００から、暗号化タグＥＴ_xを取得する。さらに、情報取得部５１０は、検索鍵生成装置３００から、検索鍵ＴＤ_vを取得する。

　検索判定部５２０は、暗号化タグ生成装置２００が生成した複数の暗号化タグＥＴ_xであって、文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴ_xから、検索鍵生成装置３００が生成した検索鍵ＴＤ_vに設定された各文字について、その文字と、その文字に対して指定された位置に設定された文字とが一致する暗号化タグＥＴ_xを検索する。ここでは、検索判定部５２０は、公開鍵ｐｋと検索鍵ＴＤ_vとを用いて、暗号化タグＥＴ_xを復号することにより、検索にヒットしたか否かを判定する。つまり、検索判定部５２０は、暗号化タグ生成装置２００が生成した複数の暗号化タグＥＴ_xから、検索鍵生成装置３００が生成した検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する。

　結果出力部５３０は、検索にヒットしたことを示す０、または、検索にヒットしなかったことを示す１を出力する。

　＜実施の形態１に係る秘匿検索システムの動作の説明＞
　以下、図１３～図１６に基づいて、本実施の形態１に係る秘匿検索システム１０の動作について説明する。

　［ＫＧアルゴリズムの処理の説明］
　はじめに、図１３に基づいて、ＫＧアルゴリズムの処理について説明する。上述した通り、ＫＧアルゴリズムは、鍵生成装置１００によって実行される。ＫＧアルゴリズムは、本実施の形態１に係る秘匿検索方法における鍵生成ステップに相当する。また、ＫＧアルゴリズムは、本実施の形態１に係る秘匿検索プログラムにおける鍵生成処理に相当する。

　［ステップＳ１０１：情報取得処理］
　ステップＳ１０１では、情報取得部１１０が、セキュリティパラメータλを取得する。セキュリティパラメータλは、秘匿検索システム１０の管理者等によって入力装置により入力される。

　［ステップＳ１０２：基底生成処理］
　ステップＳ１０２では、基底生成部１２０が、セキュリティパラメータλを入力として、下式（１３）を計算して、基底Ｂ₀と基底Ｂ^* ₀と基底Ｂ₁と基底Ｂ^* ₁と、双対ペアリングベクトル空間のパラメータｐａｒａｍとを生成する。ただし、以降では基底Ｂ₁と基底Ｂ^* ₁とを、各々、基底Ｂと基底Ｂ^*とも書く。さらに、固定値βを位数が十分大きいＦ_qの元として生成する。

　なお、上式（１３）において、Ｇ_bpgは、双線形ペアリング群を生成する関数であり、Ｇ_dpvsは、双対ペアリングベクトル空間を生成する関数である。

　［ステップＳ１０４：公開鍵生成処理］
　ステップＳ１０４では、鍵生成部１４０が、ステップＳ１０２で生成された基底Ｂ₀の部分基底Ｂ＾₀と、基底Ｂの部分基底Ｂ＾とを下式（１４）に示すように生成する。

　鍵生成部１４０は、部分基底Ｂ＾₀およびＢ＾と、ステップＳ１０２で生成されたパラメータｐａｒａｍとを、公開鍵ｐｋとする。

　［Ｓ１０５：秘密鍵生成処理］
　ステップＳ１０５では、鍵生成部１４０は、ステップＳ１０２で生成された基底Ｂ^* ₀の部分基底Ｂ＾^* ₀と、基底Ｂ^*の部分基底Ｂ＾^*とを、下式（１５）に示すように生成する。なお、表記「＾」は、その前に記載された記号の上部に＾が付されることを意味している。

　鍵生成部１４０は、部分基底Ｂ＾^* ₀および部分基底Ｂ＾^*を、秘密鍵ｓｋとする。

　［ステップＳ１０７：鍵出力処理］
　ステップＳ１０７では、鍵出力部１５０が、ステップＳ１０４で生成された公開鍵ｐｋを公開用のサーバ等へ出力して、公開鍵ｐｋを公開する。また、鍵出力部１５０は、ステップＳ１０５で生成された秘密鍵ｓｋを秘密裡に検索鍵生成装置３００へ出力する。さらに、鍵出力部１５０は、ステップＳ１０２で生成された固定値βを暗号化タグ生成装置２００と検索鍵生成装置３００とへ出力する。このとき、固定値βを公開することで、暗号化タグ生成装置２００と検索鍵生成装置３００へ出力しても構わないし、秘密情報として暗号化タグ生成装置２００と検索鍵生成装置３００へ安全な通信路を用いて出力しても構わない。

　［ＴａｇＧｅｎアルゴリズムの処理の説明］
　次に、図１４に基づき、本実施の形態１に係るＴａｇＧｅｎアルゴリズムの処理を説明する。上述した通り、ＴａｇＧｅｎアルゴリズムは、暗号化タグ生成装置２００によって実行される。ＴａｇＧｅｎアルゴリズムは、本実施の形態１に係る秘匿検索方法における暗号化タグ生成ステップに相当する。また、ＴａｇＧｅｎアルゴリズムは、本実施の形態１に係る秘匿検索プログラムにおける暗号化タグ生成処理に相当する。

　［ステップＳ２０１：情報取得処理］
　ステップＳ２０１では、情報取得部２１０が、鍵生成装置１００によって公開された公開鍵ｐｋを取得する。また、情報取得部２１０は、鍵生成装置１００によって出力された固定値βを取得する。

　さらに、情報取得部２１０は、暗号化タグ生成装置２００の使用者等によって入力装置により入力された、属性ベクトルｘ^→を取得する。属性ベクトルｘ^→は、次式で示される。

　　属性ベクトルｘ^→：＝｛（ｔ，ｘ_t）｜ｔ∈Ｉｘ⊆｛１，．．．｝｝

　ここで、Ｉｘは、インデックスの集合である。例えば、属性ベクトルｘ^→の各要素ｘ_tには、図５～図７で説明したように、検索タグとなる文字列の各文字が設定される。

　［ステップＳ２０２：乱数生成処理］
　ステップＳ２０２では、乱数生成部２２１が、下式（１６）に示すように、乱数を生成する。

　［ステップＳ２０３：タグ要素生成処理］
　ステップＳ２０３では、要素生成部２２２が、ステップＳ２０１で取得された公開鍵ｐｋおよび属性ベクトルｘ^→と、ステップＳ２０２で生成された乱数とを入力として、下式（１７）に示すように、タグベクトルｃ₀と、ｔ∈Ｉｘの各整数ｔについてのタグベクトルｃ_tと、タグベクトルｃ_Tとを生成する。ただし、βは位数が十分大きいＦ_qの固定された元とする。

　［ステップＳ２０４：タグ出力処理］
　ステップＳ２０４では、暗号化タグ出力部２３０が、暗号化タグＥＴ_xを、検索装置５００に出力する。暗号化タグＥＴ_xは、ステップＳ２０１で取得されたインデックスの集合Ｉｘと、ステップＳ２０３で生成されたタグベクトルｃ₀およびｔ∈Ｉｘの各整数ｔについてのタグベクトルｃ_tおよびタグベクトルｃ_Tとを要素として含む。

　［ＴｒａｐＧｅｎアルゴリズムの処理の説明］
　次に、図１５に基づき、本実施の形態１に係るＴｒａｐＧｅｎアルゴリズムの処理を説明する。上述した通り、ＴｒａｐＧｅｎアルゴリズムは、検索鍵生成装置３００によって実行される。ＴｒａｐＧｅｎアルゴリズムは、本実施の形態１に係る秘匿検索方法における検索鍵生成ステップに相当する。また、ＴｒａｐＧｅｎアルゴリズムは、本実施の形態１に係る秘匿検索プログラムにおける検索鍵生成処理に相当する。

　［ステップＳ３０１：情報取得処理］
　ステップＳ３０１では、情報取得部３１０が、鍵生成装置１００によって公開された公開鍵ｐｋと、鍵生成装置１００によって出力された秘密鍵ｓｋとを取得する。また、情報取得部３１０は、鍵生成装置１００によって出力された固定値βを取得する。

　さらに、情報取得部３１０は、検索鍵生成装置３００の使用者等によって入力装置により入力された、述語ベクトルｖ^→を取得する。述語ベクトルｖ^→は、下式で表わされる。

　　述語ベクトルｖ^→：＝｛（ｔ，ｖ_t）｜ｔ∈Ｉｖ⊆｛１，．．．｝｝

　ここで、Ｉｖは、インデックスの集合である。例えば、述語ベクトルｖ^→の各要素ｖ_tには、図５から図７で説明したように、検索文字列となる文字列の各文字が設定される。

　［ステップＳ３０２：乱数生成処理］
　ステップＳ３０２では、乱数生成部３２１が、下式（１８）に示すように、乱数を生成する。ただし、τ_tはｓ_tとは異なり、０＝Σ_t∈Ivτ_tを満たすように生成する。

　［ステップＳ３０３：秘密値生成処理］
　ステップＳ３０３では、秘密値生成部３２２が、ステップＳ２０２で生成されたｔ∈Ｉｖの各整数ｔについての乱数ｓ_tを入力として、秘密値ｓ₀＝Σ_t∈Ivｓ_tを生成する。

　［ステップＳ３０４：鍵要素生成処理］
　ステップＳ３０４では、要素生成部３２３が、ステップＳ３０１で取得された公開鍵ｐｋ、秘密鍵ｓｋおよび述語ベクトルｖ^→と、ステップＳ３０２で生成された乱数と、ステップＳ３０３で生成された秘密値ｓ₀とを入力として、下式（１９）に示すように、検索ベクトルｋ^* ₀と、ｔ∈Ｉｖの各整数ｔについての検索ベクトルｋ^* _tとを生成する。ただし、βは位数が十分大きいＦ_qの固定された元とする。

　［ステップＳ３０５：鍵出力処理］
　ステップＳ３０５では、鍵出力部３３０が、検索鍵ＴＤ_vを、検索装置５００に出力する。検索鍵ＴＤ_vは、ステップＳ３０１で取得されたインデックスの集合Ｉｖと、ステップＳ３０４で生成された検索ベクトルｋ^* ₀およびｔ∈Ｉｖの各整数ｔについての検索ベクトルｋ^* _tとを要素として含む。

　［Ｓｅａｒｃｈアルゴリズムの処理の説明］
　次に、図１６に基づき、本実施の形態１に係るＳｅａｒｃｈアルゴリズムの処理を説明する。上述した通り、Ｓｅａｒｃｈアルゴリズムは、検索装置５００によって実行される。Ｓｅａｒｃｈアルゴリズムは、本実施の形態１に係る秘匿検索方法における検索ステップに相当する。また、Ｓｅａｒｃｈアルゴリズムは、本実施の形態１に係る秘匿検索プログラムにおける検索処理に相当する。

　［ステップＳ５０１：情報取得処理］
　ステップＳ５０１では、情報取得部５１０が、鍵生成装置１００によって公開された公開鍵ｐｋを取得する。また、情報取得部５１０は、暗号化タグ生成装置２００によって出力された暗号化タグＥＴ_xを取得する。さらに、情報取得部５１０は、検索鍵生成装置３００によって出力された検索鍵ＴＤ_vを取得する。

　［ステップＳ５０２：検索可能判定処理］
　ステップＳ５０２では、検索判定部５２０が、ステップＳ５０１で取得された検索鍵ＴＤ_vに含まれるインデックスの集合Ｉｖが、ステップＳ５０１で取得された暗号化タグＥＴ_xに含まれるインデックスの集合Ｉｘの部分集合であるか否かを判定する。

　検索判定部５２０は、インデックスの集合Ｉｖが、インデックスの集合Ｉｘの部分集合である場合には検索可能であるとして、処理をステップＳ５０３に進める。一方、インデックスの集合Ｉｖが、インデックスの集合Ｉｘの部分集合でない場合には検索不可能であるとして、処理をステップＳ５０７へ進める。

　［ステップＳ５０３：復号処理］
　ステップＳ５０３では、検索判定部５２０が、下式（２０）に示すように、暗号化タグＥＴ_xに含まれるタグと、検索鍵ＴＤ_vに含まれる検索ベクトルとについて、ペアリング演算して、セッション鍵Ｋを計算する。

　つまり、検索判定部５２０は、内積述語暗号方式で言うところの、公開鍵ｐｋと検索鍵ＴＤ_vとを用いて、暗号化タグＥＴ_xを復号する処理を行う。

　［ステップＳ５０４：検索判定処理］
　ステップＳ５０４では、検索判定部５２０が、ステップＳ５０３で計算されたセッション鍵Ｋが、暗号化タグＥＴ_xに含まれるタグベクトルｃ_Tと等しいか否かを判定する。

　検索判定部５２０は、セッション鍵Ｋがタグベクトルｃ_Tと等しい場合、処理をステップＳ５０５へ進める。一方、セッション鍵Ｋがタグベクトルｃ_Tと等しくない場合、処理をステップＳ５０７へ進める。

　［ステップＳ５０５：結果Ａ出力処理］
　ステップＳ５０５では、結果出力部５３０が、検索にヒットしたことを示す０を出力する。

　［ステップＳ５０７：検索鍵インデックス更新処理］
　ステップＳ５０７では、検索判定部５２０が、ステップＳ５０１で取得された検索鍵ＴＤ_vに含まれるインデックスの集合Ｉｖの各要素に対して１を加算する。また、検索判定部５２０が、検索鍵ＴＤ_vに含まれる各検索ベクトルｋ^* _tのインデックスｔに対して１を加算する。

　［ステップＳ５０８：検索終了判定処理］
　ステップＳ５０８では、検索判定部５２０が、ステップＳ５０７で更新された検索鍵ＴＤ_vに含まれるインデックスの集合Ｉｖに含まれる最大のインデックスが、ステップＳ５０１で取得された暗号化タグＥＴ_xに含まれるインデックスの集合Ｉｘに含まれる最大のインデックス以下であるとき、処理をステップＳ５０２へ進め、さもなければ処理Ｓ５０６へ進む。
　［ステップＳ５０６：結果Ｂ出力処理］
　ステップＳ５０６では、結果出力部５３０が、検索にヒットしなかったことを示す１を出力する。

　つまり、検索装置５００は、検索鍵ＴＤ_vに含まれる検索ベクトルｋ^* _tと、各暗号化タグＥＴ_xに含まれるタグベクトルｃ_tとを用いた計算をすることにより、検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する。

　より具体的には、検索装置５００は、検索鍵ＴＤ_vに含まれる検索ベクトルｋ^* _tと、各暗号化タグＥＴ_xに含まれるタグベクトルｃ_tであって、その検索ベクトルｋ^* _tに対応するタグベクトルｃ_tとの内積の計算をすることにより、検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する。

　図５を用いて説明したように、検索鍵ＴＤ_vに含まれる検索ベクトルｋ^* _tのインデックスｔを１つずつ順にずらして内積を計算することにより、部分一致秘匿検索を実現できる。このインデックスｔの更新は、単純なインデックスの張替えであるため、特別な検索鍵変換処理を必要とせず、高速である。一方で、図６または図７に基づいて説明したように、検索文字列の分離あるいは置換したうえで検索することはできず、悪意のある第三者による意図しない検索を防止できる。

　なお、上記説明では、検索可能な利用者を限定せず、全ての利用者が全ての暗号化タグＥＴ_xを検索可能であった。しかし、特許文献２と同様に、上述した部分一致秘匿検索方式を、内積述語暗号方式と組み合わせることにより、暗号化タグＥＴ_x毎に、検索可能な利用者を限定することも可能である。

　＜実施の形態１に係る秘匿検索システムのハードウェア構成＞
　次に、図１７に基づき、本実施の形態１に係る秘匿検索システム１０のハードウェア構成例について説明する。本実施の形態１に係る秘匿検出システムは、上述したように、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とから構成されている。

　鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とは、例えばコンピュータから構成される。

　鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、検索装置５００とは、プロセッサ９０１、補助記憶装置９０２、メモリ９０３、通信装置９０４、入力インタフェース９０５、ディスプレイインタフェース９０６などのハードウェアを備える。

　プロセッサ９０１は、信号線９１０を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　入力インタフェース９０５は、ケーブル９１１により入力装置９０７に接続されている。

　ディスプレイインタフェース９０６は、ケーブル９１２によりディスプレイ９０８に接続されている。

　プロセッサ９０１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ９０１は、例えば、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　補助記憶装置９０２は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、フラッシュメモリ、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。

　メモリ９０３は、例えば、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　通信装置９０４は、データを受信するレシーバー９０４１およびデータを送信するトランスミッター９０４２を含む。通信装置９０４は、例えば、通信チップまたはＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　入力インタフェース９０５は、入力装置９０７のケーブル９１１が接続されるポートである。入力インタフェース９０５は、例えば、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。

　ディスプレイインタフェース９０６は、ディスプレイ９０８のケーブル９１２が接続されるポートである。ディスプレイインタフェース９０６は、例えば、ＵＳＢ端子またはＨＤＭＩ（登録商標）（Ｈｉｇｈ　Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）端子である。

　入力装置９０７は、例えば、マウス、キーボードまたはタッチパネルである。

　ディスプレイ９０８は、例えば、ＬＣＤ（Ｌｉｑｕｉｄ　Ｃｒｙｓｔａｌ　Ｄｉｓｐｌａｙ）である。

　補助記憶装置９０２には、上述した情報取得部１１０、基底生成部１２０、鍵生成部１４０、鍵出力部１５０、情報取得部２１０、タグ生成部２２０、乱数生成部２２１、要素生成部２２２、暗号化タグ出力部２３０、情報取得部３１０、鍵生成部３２０、乱数生成部３２１、秘密値生成部３２２、要素生成部３２３、鍵出力部３３０、情報取得部５１０、検索判定部５２０、結果出力部５３０の機能を実現するプログラムが記憶されている。以下では、情報取得部１１０、基底生成部１２０、鍵生成部１４０、鍵出力部１５０、情報取得部２１０、タグ生成部２２０、乱数生成部２２１、要素生成部２２２、暗号化タグ出力部２３０、情報取得部３１０、鍵生成部３２０、乱数生成部３２１、秘密値生成部３２２、要素生成部３２３、鍵出力部３３０、情報取得部５１０、検索判定部５２０、および、結果出力部５３０をまとめて、「各部」と表記する。

　このプログラムは、メモリ９０３にロードされ、プロセッサ９０１に読み込まれ、プロセッサ９０１によって実行される。

　更に、補助記憶装置９０２には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）も記憶されている。

　そして、ＯＳの少なくとも一部がメモリ９０３にロードされ、プロセッサ９０１はＯＳを実行しながら、「各部」の機能を実現するプログラムを実行する。

　なお、図１７では、１つのプロセッサ９０１が図示されているが、鍵生成装置１００と、暗号化タグ生成装置２００と、検索鍵生成装置３００と、変換後検索鍵生成装置４００と、検索装置５００とが、複数のプロセッサ９０１から構成されていてもよい。そして、複数のプロセッサ９０１が「各部」の機能を実現するプログラムを連携して実行してもよい。

　また、「各部」の処理の結果を示す情報、データ、信号値、および、変数値が、メモリ９０３、補助記憶装置９０２、または、プロセッサ９０１内のレジスタまたはキャッシュメモリにファイルとして記憶される。

　さらに、「各部」を「サーキットリー」で提供してもよい。また、「各部」のそれぞれを「回路」または「ステップ」または「手順」または「処理」に読み替えてもよい。「回路」および「サーキットリー」は、プロセッサ９０１だけでなく、ロジックＩＣまたはＧＡ（Ｇａｔｅ　Ａｒｒａｙ）またはＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）またはＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）といった他の種類の処理回路をも包含する概念である。

　１０　秘匿検索システム、１００　鍵生成装置、１１０　情報取得部、１２０　基底生成部、１４０　鍵生成部、１５０　鍵出力部、２００　暗号化タグ生成装置、２１０　情報取得部、２２０　タグ生成部、２２１　乱数生成部、２２２　要素生成部、２３０　暗号化タグ出力部、３００　検索鍵生成装置、３１０　情報取得部、３２０　鍵生成部、３２１　乱数生成部、３２２　秘密値生成部、３２３　要素生成部、３３０　鍵出力部、５００　検索装置、５１０　情報取得部、５２０　検索判定部、５３０　結果出力部、ｐｋ　公開鍵、ｓｋ　秘密鍵、Ｂ，Ｂ^*　基底、Ｂ＾，Ｂ＾^*　部分基底、ｐａｒａｍ　パラメータ、Ｉｘ，Ｉｖ　インデックスの集合、ｘ^→　属性ベクトル、ｖ^→　述語ベクトル、ｋ^*　検索ベクトル、ＥＴ_x　暗号化タグ、ＴＤ_v　検索鍵。

Claims

　検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する検索鍵生成部と、
　被検索文字列の各文字が位置を指定されて設定された暗号化タグＥＴ_xを生成する暗号化タグ生成部と、
　前記暗号化タグＥＴ_xの中から、前記検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する検索部と
　を備え、
　前記検索鍵ＴＤ_vに含まれる要素および前記暗号化タグＥＴ_xに含まれる要素の一方に、前記各文字の位置を示すインデックスｔが設定され、他方に、前記インデックスｔの符号を反転したインデックス－ｔが設定され、
　検索時に、前記検索鍵ＴＤ_vと前記暗号化タグＥＴ_xとに設定された前記インデックスｔと前記インデックス－ｔとを加算することで、前記インデックスｔと前記インデックス－ｔとを打消して、前記検索鍵ＴＤ_vに対応する前記暗号化タグＥＴ_xを検索する、
　秘匿検索システム。
　前記検索部は、前記検索鍵ＴＤ_vに含まれる要素と前記暗号化タグＥＴ_xに含まれる要素との内積を演算する内積述語暗号方式を用いて、前記検索鍵ＴＤ_vに対応する前記暗号化タグを検索する、
　請求項１に記載の秘匿検索システム。
　前記検索部は、秘密値ｓ₀と、ｔ∈Ｉｖの各前記インデックスｔについての第１の分散値ｓ_tと、ｔ∈Ｉｖの各インデックスｔについての第２の分散値τ_tとを用いて検索を行い、
　前記秘密値ｓ₀と前記第１の分散値ｓ_tとは、ｓ₀＝Σ_t∈Ivｓ_tの関係を満たし、
　前記第２の分散値τ_tは、０＝Σ_t∈Ivτ_tの関係を満たし、
　ここで、前記Ｉｖは、前記インデックスｔの集合である、
　請求項１または２に記載の秘匿検索システム。
　前記検索鍵ＴＤ_vは、
　前記秘密値ｓ₀が設定された基底Ｂ^* ₀上のベクトルである要素ｋ^* ₀と、
　ｔ∈Ｉｖの各前記インデックスｔについて、前記第１の分散値ｓ_tと前記第２の分散値τ_tと属性値ｖ_tと前記インデックスｔとが設定された基底Ｂ^*上のベクトルである要素ｋ^* _tと
　を含む、
　請求項３に記載の秘匿検索システム。
　前記暗号化タグＥＴ_xは、
　前記基底Ｂ^* ₀に対応する基底Ｂ₀上のベクトルである要素ｃ₀と、
　ｔ∈Ｉｘの各インデックスｔについて、属性値ｘ_tと前記インデックス－ｔとが設定された、前記基底Ｂ^*に対応する基底Ｂ上のベクトルである要素ｃ_tと
　を含み、
　ここで、前記Ｉｘは、前記インデックスｔの集合である、
　請求項４に記載の秘匿検索システム。
　検索文字列の各文字が位置を指定されて設定された検索鍵ＴＤ_vを生成する検索鍵生成ステップと、
　被検索文字列の各文字が位置を指定されて設定された複数の暗号化タグＥＴ_xを生成する暗号化タグ生成ステップと、
　複数の前記暗号化タグＥＴ_xから、前記検索鍵ＴＤ_vに対応する暗号化タグＥＴ_xを検索する検索ステップと
　を備え、
　前記検索鍵ＴＤ_vに含まれる要素および前記暗号化タグＥＴ_xに含まれる要素の一方に、前記各文字の位置を示すインデックスｔが設定され、他方に、前記インデックスｔの符号を反転したインデックス－ｔが設定され、
　検索時に、前記検索鍵ＴＤ_vと前記暗号化タグＥＴ_xとに設定された前記インデックスｔと前記インデックス－ｔとを加算することで、前記インデックスｔと前記インデックス－ｔとを打消して、前記検索鍵ＴＤ_vに対応する前記暗号化タグＥＴ_xを検索する、
　秘匿検索方法。