WO2021070275A1

WO2021070275A1 - 情報照合システム及び情報照合方法

Info

Publication number: WO2021070275A1
Application number: PCT/JP2019/039781
Authority: WO
Inventors: 春菜福田; 寿幸一色; 成泰奈良; 寛人田宮; 利彦岡村
Original assignee: 日本電気株式会社
Priority date: 2019-10-09
Filing date: 2019-10-09
Publication date: 2021-04-15
Also published as: US20220345302A1; JP7259979B2; JPWO2021070275A1

Abstract

２つの情報を互いに開示せずに照合でき、且つ、登録された情報以外の情報を用いた照合を不可とする、情報照合システムを提供する。共通鍵生成装置は共通鍵を生成する。記憶情報生成装置は登録情報と登録情報を識別可能である識別子を取得し、共通鍵と識別子とから第１の個別鍵を生成すると共に、共通鍵と第１の個別鍵を用いて登録情報を線形変換した記憶情報を生成する。照合情報秘匿化装置は、照合情報を取得し、暗号化鍵を用いて照合情報を秘匿した秘匿照合情報を生成する。秘匿類似度計算装置は記憶情報と秘匿照合情報から秘匿類似度を計算する。復号装置は、共通鍵と識別子とから第２の個別鍵を生成すると共に、秘匿類似度と、暗号化鍵に対応する復号鍵と、共通鍵と、第２の個別鍵と、から登録情報と照合情報の類似度を計算する。

Description

情報照合システム及び情報照合方法

　本発明は、情報照合システム及び情報照合方法に関する。

　個人認証は、被登録者と被認証者の同一性を確認する手段である。事前に保存される被登録者に関する情報と、認証の都度取得される被認証者に関する情報を突き合わせることによって個人認証が実施される。

　個人認証の一手法である生体認証は、生体認証では顔や指紋や虹彩などの身体的特徴などを利用して認証を行う。より具体的には、生体から特徴量と呼ばれるデータを抽出して認証に用いる。生体から抽出される特徴量は抽出の都度少しずつ異なる。そのため、認証時には、被登録者から抽出された特徴量と、被認証者から抽出された特徴量とを比較し、それらが十分に類似していると認められれば認証成功となる。類似度の判定方法は特徴量抽出の手法に依存するが、通常、特徴量はベクトルの形で表され、類似度は２つの特徴量の内積、ユークリッド距離、ハミング距離等によって算出され、類似度があらかじめ定められた範囲に含まれる場合に十分に類似していると判定する。

　パスワード等の記憶による認証やＩＣカード等の所持による認証と比べ、認証情報を入力するために記憶や所持などのユーザの能動的な準備が不要である利便性の高さや、認証情報を他人に使用されにくい安全性の高さなどが生体認証のメリットである。特徴量抽出法などの技術の進展に伴い、近年、個人認証の手段として、生体認証の利用が進んでいる。

　一方で、生体認証には、生涯不変である生体情報はもし漏洩したとしても変更できないというデメリットもある。また、生体特徴量は、欧州の一般データ保護規則や日本の個人情報保護法において、個人情報に該当すると定められている。個人情報に該当するデータは、保管や外部提供等の取扱いに制限がある。また、法令等による制限だけでなく、社会的に受容されるための配慮も求められることが多い。

　そこで、生体情報を秘匿して保存し、秘匿したまま認証結果を判定できる生体認証手法が盛んに研究されている。さらに、生体認証のメリットを活かすため、ユーザによる生体情報以外の記憶や所持が不要である方法が望ましい。秘匿したままの判定を実現する手段として、加法準同型性を有する公開鍵暗号方式を利用する手法が知られている。

　公開鍵暗号方式は鍵生成アルゴリズム（ＫｅｙＧｅｎ）、暗号化アルゴリズム（Ｅｎｃ）、復号アルゴリズム（Ｄｅｃ）の3つのアルゴリズムで構成される。

　鍵生成アルゴリズムは、セキュリティパラメータと呼ばれる鍵の強度を表すパラメータを用いて、暗号化鍵ｅｋおよび復号鍵ｄｋを生成する。この動作は、セキュリティパラメータをκとすると、次式のように表すことができる。
ＫｅｙＧｅｎ（κ）→（ｅｋ、ｄｋ）

　暗号化アルゴリズムは、暗号化鍵ｅｋにより平文のメッセージｍを暗号化した結果である暗号文ｃを生成する。これは次式のように表すことができる。
Ｅｎｃ（ｅｋ、ｍ）→ｃ

　復号アルゴリズムは、復号鍵ｄｋにより暗号文ｃを復号した結果であるｍ’を生成する。これは次式のように表すことができる。
Ｄｅｃ（ｄｋ、ｃ）→ｍ’

　公開鍵暗号方式は正しく暗号文を復号できる必要がある。すなわち、鍵生成アルゴリズムで生成された任意の暗号化鍵ｅｋおよび復号鍵ｄｋのペアに対し、任意のメッセージｍを暗号化鍵ｅｋで暗号化した結果である暗号文ｃを復号鍵ｄｋによって復号した結果ｍ’はｍと等しくなる必要がある。すなわち、ＫｅｙＧｅｎ（κ）→（ｅｋ、ｄｋ）に対し、任意のｍについて
Ｄｅｃ（ｄｋ、Ｅｎｃ（ｅｋ、ｍ））→ｍ
が成り立つ必要がある。

　公開鍵暗号方式では、暗号化鍵を持っていれば誰でも暗号化アルゴリズムを実行可能であるが、復号鍵なしでは復号アルゴリズムは実行できない。

　準同型性を有する公開鍵暗号方式（以下では、準同型公開鍵暗号と呼ぶ）は、公開鍵暗号の各アルゴリズムに加え、準同型演算アルゴリズム（ＨｏｍＡｄｄ）を有する。

　準同型演算アルゴリズムは、暗号化鍵により、入力された複数の暗号文に対応するメッセージの演算結果の暗号文を生成する。入力できるメッセージが２つである場合、次式のように表すことができる。
ＨｏｍＡｄｄ（ｅｋ、ｃ_１、ｃ_２）→ｃ

　例えば、加法準同型性を有する公開鍵暗号の場合、メッセージｍ_１の暗号化鍵ｅｋによる暗号文ｃ_１と、メッセージｍ_２の暗号化鍵ｅｋによる暗号文ｃ_２と、から生成される暗号文ｃはｍ_１＋ｍ_２の暗号文である。すなわち、ＫｅｙＧｅｎ（κ）→（ｅｋ、ｄｋ）に対し、任意のｍ_１とｍ_２について、
Ｅｎｃ（ｅｋ、ｍ_１）→ｃ_１、Ｅｎｃ（ｅｋ、ｍ_２）→ｃ_２
とすると、
Ｄｅｃ（ｄｋ、ＨｏｍＡｄｄ（ｅｋ、ｃ_１、ｃ_２））→ｍ_１＋ｍ_２
が成り立つ。

　また、加法準同型性を有する公開鍵暗号の場合、一般に、ＨｏｍＡｄｄに入力できるメッセージの数に限りはなく、例えば、各ｊ＝１、…、ｎについて、メッセージｍ_ｊの暗号化鍵ｅｋによる暗号文をｃ_ｊとすると、
Ｄｅｃ（ｄｋ、ＨｏｍＡｄｄ（ｅｋ、ｃ_１、…、ｃ_ｎ））→ｍ_１＋…＋ｍ_ｊ
が成り立つ。

　また、加法準同型性を有する公開鍵暗号の場合、ＨｏｍＡｄｄを同じ暗号文について繰り返し適用することにより、メッセージｍの暗号化鍵ｅｋによる暗号文ｃと、スカラー値ｓとから、ｓ×ｍの暗号文を計算できる。

　このアルゴリズムをＨｏｍＳｃｌと表すと、
ＫｅｙＧｅｎ（κ）→（ｅｋ、ｄｋ）に対し、任意のｍとｓについて、
Ｅｎｃ（ｅｋ、ｍ）→ｃ
Ｄｅｃ（ｄｋ、ＨｏｍＳｃｌ（ｅｋ、ｃ、ｓ））→ｓ×ｍ
が成り立つ。

　加法準同型性を有する公開鍵暗号として、楕円曲線Ｅｌｇａｍａｌ暗号などが知られている。非特許文献1に開示されている楕円曲線Ｅｌｇａｍａｌ暗号の各アルゴリズムは次のように動作する。

　楕円Ｅｌｇａｍａｌ暗号の各アルゴリズムは次のように動作する。

　鍵生成アルゴリズムは、まず、セキュリティパラメータκを入力として受け取る。次に、鍵生成アルゴリズムは、κビットの素数ｑをランダムに選び、楕円曲線Ｅ上の位数がｑである群の生成元Ｇを選ぶ。次に、鍵生成アルゴリズムは、１以上ｑ未満の整数ｘを一様ランダムに選択し、Ｈ＝［ｘ］Ｇとする。最後に、鍵生成アルゴリズムは、暗号化鍵ｅｋ＝（κ、ｑ、Ｅ、Ｇ、Ｈ）および復号鍵ｄｋ＝（ｅｋ、ｘ）を出力する。

　暗号化アルゴリズムは、まず、暗号化鍵ｅｋ＝（κ、ｑ、Ｇ、ｇ、Ｈ）およびメッセージｍを入力として受け取る。次に、暗号化アルゴリズムは、１以上ｑ未満の整数ｒを一様ランダムに選択し、Ｃ_ａ：＝［ｒ］Ｇ、Ｃ_ｂ：＝［ｍ］Ｇ＋［ｒ］Ｈとする。最後に、暗号化アルゴリズムは、暗号文ｃ＝（Ｃ_ａ、Ｃ_ｂ）を出力する。

　復号アルゴリズムは、まず、復号鍵ｄｋ＝（ｅｋ、ｘ）および暗号文ｃ＝（Ｃ_ａ、Ｃ_ｂ）を入力として受け取る。次に、復号アルゴリズムは、Ｍ’＝Ｃ_ｂ－［ｘ］Ｃ_ａを計算する。最後に、復号アルゴリズムは、復号結果ｍ’＝Ｄｌｏｇ_Ｇ（Ｍ’）を出力する。ただし、Ｄｌｏｇは、Ｄｌｏｇ_Ｇ（［ｘ］Ｇ）＝ｘとなる関数である。

　メッセージｍの暗号文ｃ＝（Ｃ_ａ、Ｃ_ｂ）＝（［ｒ］Ｇ、［ｍ］Ｇ＋［ｒ］Ｈ）に対し、楕円Ｅｌｇａｍａｌ暗号の復号アルゴリズムにより、暗号文ｃをｍに正しく復号できることを、次式によって確認できる。
Ｍ’＝Ｃ_ｂ－［ｘ］・Ｃ_ａ＝（［ｍ］Ｇ＋［ｒ］Ｈ）－［ｘ］・（［ｒ］Ｇ）＝［ｍ］Ｇ＋［ｒ］（［ｘ］・Ｇ）－［ｘ］・（［ｒ］Ｇ）＝［ｍ］Ｇ

　準同型演算アルゴリズムは、まず、暗号化鍵ｅｋ＝（κ、ｑ、Ｇ、ｇ、ｈ）および第一の暗号文ｃ_１＝（Ｃ_１、ａ、Ｃ_１、ｂ）および第二の暗号文ｃ_２＝（Ｃ_２、ａ、Ｃ_２、ｂ）を入力として受け取る。次に、準同型演算アルゴリズムは、Ｃ_ａ＝Ｃ_１、ａ＋Ｃ_２、ａ、Ｃ_ｂ＝Ｃ_１、ｂ＋Ｃ_２、ｂを計算する。最後に、準同型演算アルゴリズムは、準同型演算結果ｃ＝（Ｃ_ａ，Ｃ_ｂ）を出力する。

　メッセージｍ_１の暗号文（Ｃ_１、ａ＝［ｒ］Ｇ、Ｃ_１、ｂ＝［ｍ_１］Ｇ＋［ｒ］Ｈ）およびメッセージｍ_２の暗号文（Ｃ_２、ａ＝［ｓ］Ｇ、Ｃ_２、ｂ＝［ｍ_２］Ｇ＋［ｓ］Ｈ）に対し、次の２式が成り立つ。
Ｃ_ａ＝［ｒ＋ｓ］・Ｇ
Ｃ_ｂ＝［ｍ_１＋ｍ_２］Ｇ＋［ｒ＋ｓ］Ｈ

　したがって、ｃはｍ_１＋ｍ_２の暗号文であり、楕円曲線Ｅｌｇａｍａｌ暗号は加法準同型性を有する。

　近年、店舗での決済時に現金を利用しないキャッシュレス化が推進されている。出願時では、顧客の持つクレジットカード等のカードやスマートフォン等の端末を店舗側の機器で読み取る手段が普及している。今後、顧客や店舗の負担をより軽減できる手段として、カードやスマートフォンの提示や読み取りを必要としない、生体認証による決済手段がさらに普及することが予想されている。すなわち、店舗の機器に付属するカメラ等のセンサで読み取った顧客の生体情報を利用して個人認証を行うことにより課金対象（の人や口座、アカウント等）を特定し、課金を行う。この手法によれば、顧客が現金やクレジットカード等の決済手段を提示することなく決済を完了できる。

　前述の通り、生体情報は機微な情報であり事業者による管理にはリスクがあり、事業者は管理を望まない。また、同一の決済手段を複数の事業者で利用できる汎用性を実現するためには、決済時の照合に事業者が管理する生体情報を利用する必要があるのは不便である。そこで、登録される生体情報を顧客のスマートフォン等の端末に格納する形態でキャッシュレス決済を実現することへの要望がある。

　さらに、生体情報の漏洩を防ぐため、スマートフォン等の端末と店舗の機器の間で、生体情報を開示せずに認証結果を判定できる手法が望ましい。すなわち、顧客のスマートフォンに記憶される生体特徴量と、事業者の機器が抽出した生体特徴量とを、互いに秘匿したまま照合できる手法が望まれる。そのような手法は、例えば、加法準同型公開鍵暗号方式を利用すると、上記照合手法は次のように実現できる。

　店舗の機器は、センサで抽出した対象の顧客の特徴量を加法準同型公開鍵暗号方式によって暗号化し、顧客のスマートフォンに送付する（ステップ１）。

　顧客のスマートフォンは、記憶している特徴量と、受け取った暗号化特徴量との加法準同型演算により、類似度の暗号文を算出する。算出された暗号化類似度は店舗の機器に送付される（ステップ２）。

　店舗の機器は、暗号化類似度を復号し、類似度を得る。類似度があらかじめ定められた範囲に含まれれば、対象の顧客がスマートフォンの所有者本人であると判断し、そのアカウントに課金して決済を行う（ステップ３）。

Taher ElGamal. "A public key cryptosystem and a signature scheme based on discrete logarithms." IEEE transactions on information theory 31.4 (1985): 469-472.

　上述の加法準同型公開鍵暗号方式を利用した照合手法では、ステップ２において、スマートフォンが用いる特徴量（前記記憶している特徴量）が正しいものであることを保証できないため、なりすましによる不正な決済が可能となってしまう。例えば、攻撃者があるユーザのスマートフォンを盗んで決済を行う際に、ステップ２において記憶されている特徴量の代わりに自身の特徴量を用いれば、ステップ１で抽出された特徴量と十分に類似しているため、ステップ３で攻撃者がスマートフォンの所有者であると判断され、スマートフォンの持ち主のアカウントに課金される。

　そこで、上述の加法準同型公開鍵暗号方式を利用した手法と同様の照合手法であって、さらに、スマートフォンが用いる特徴量の任意の改ざんを防ぐことができる手法が要望される。本発明の目的は、上述した問題点を解決する情報照合システム及び情報照合方法を提供することにある。

　本発明の第１の視点によれば、共通鍵生成装置と、記憶情報生成装置と、照合情報秘匿化装置と、秘匿類似度計算装置と、復号装置と、を含み、前記共通鍵生成装置は共通鍵を生成し、前記記憶情報生成装置は登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成し、前記照合情報秘匿化装置は、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成し、前記秘匿類似度計算装置は前記記憶情報と前記秘匿照合情報から秘匿類似度を計算し、前記復号装置は、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算する、情報照合システムが提供される。

　本発明の第２の視点によれば、共通鍵生成装置と、記憶情報生成装置と、照合情報秘匿化装置と、秘匿類似度計算装置と、復号装置と、を含む情報照合システムにおいて、前記共通鍵生成装置が共通鍵を生成するステップと、前記記憶情報生成装置が、登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成するステップと、前記照合情報秘匿化装置が、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成するステップと、前記秘匿類似度計算装置が、前記記憶情報と前記秘匿照合情報から秘匿類似度を計算するステップと、前記復号装置が、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算するステップと、を含む情報照合方法が提供される。

　本発明の各視点によれば、２つの情報を互いに開示せずに照合でき、且つ、登録された情報以外の情報を用いた照合を不可とする、情報照合システム及び情報照合方法が提供される。なお、本発明により、当該効果の代わりに、又は当該効果と共に、他の効果が奏されてもよい。

一実施形態の概要を説明するための図である。第１の実施形態に係る情報照合システム（準同型暗号システム）の構成を示すブロック図である。第１の実施形態に係る情報照合システムに含まれる装置の接続例を示す図である。第１の実施形態に係る情報照合システムの共通鍵生成フェーズにおける動作を示すフロー図である。第１の実施形態に係る情報照合システムの記憶情報生成フェーズにおける動作を示すフロー図である。第１の実施形態に係る情報照合システムの照合フェーズにおける動作を示すフロー図である。第２の実施形態に係る情報照合システムの構成を示すブロック図である。第２の実施形態に係る情報照合システムに含まれる装置の接続例を示す図である。第２の実施形態に係る情報照合システムの記憶情報生成フェーズにおける動作を示すフロー図である。秘匿類似度計算装置のハードウェア構成の一例を示す図である。

　はじめに、一実施形態の概要について説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、この概要の記載はなんらの限定を意図するものではない。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。

　一実施形態に係る情報照合システムは、共通鍵生成装置１１と、記憶情報生成装置１２と、照合情報秘匿化装置１３と、秘匿類似度計算装置１４と、復号装置１５と、を含む（図１参照）。共通鍵生成装置１１は共通鍵を生成する。記憶情報生成装置１２は登録情報と登録情報を識別可能である識別子を取得し、共通鍵と識別子とから第１の個別鍵を生成すると共に、共通鍵と第１の個別鍵を用いて登録情報を線形変換した記憶情報を生成する。照合情報秘匿化装置１３は、照合情報を取得し、暗号化鍵を用いて照合情報を秘匿した秘匿照合情報を生成する。秘匿類似度計算装置１４は記憶情報と秘匿照合情報から秘匿類似度を計算する。復号装置１５は、共通鍵と識別子とから第２の個別鍵を生成すると共に、秘匿類似度と、暗号化鍵に対応する復号鍵と、共通鍵と、第２の個別鍵と、から登録情報と照合情報の類似度を計算する。

　上記情報照合システムでは、秘匿化された照合情報が秘匿類似度計算装置１４に送信されている。従って、秘匿類似度計算装置１４は、照合情報の内容を知ることができない。また、秘匿類似度計算装置１４は、登録情報と照合情報の類似度が秘匿された秘匿類似度を計算する。秘匿類似度計算装置１４は、当該計算された秘匿類似度を復号装置１５に送信する。従って、復号装置１５は、記憶情報（登録情報が線形変換された記憶情報）を知ることはできない。そのため、秘匿類似度計算装置１４と復号装置１５には、登録情報と照合情報が互いに開示されないが情報の照合は可能となる。さらに、上記情報照合システムでは、記憶情報生成装置１２は登録情報と共通鍵を用いて記憶情報を生成するため、当該共通鍵を用いることができなければ、別の登録情報に対する記憶情報は生成されない。従って、記憶情報が生成された際の登録情報以外の登録情報を用いた照合は行えない。このように、上記情報照合システムでは、２つの情報を互いに開示せずに照合でき、且つ、登録された情報以外の情報を用いた照合は不可となる。

　以下に具体的な実施形態について、図面を参照してさらに詳しく説明する。

［第１の実施形態］
　第１の実施形態について、図面を用いてより詳細に説明する。

　図２は、第１の実施形態に係る情報照合システム１００の構成を示すブロック図である。情報照合システム１００は、共通鍵生成装置１１０と、記憶情報生成装置１４０と、照合情報秘匿化装置１５０と、秘匿類似度計算装置１６０と、復号装置１７０とを有する。ただし、情報照合システム１００が備える上記各装置は、別個の装置として構成することも、適宜用途に応じて同一の装置内に実装されることもある。例えば、情報照合システム１００は、秘匿類似度計算装置１６０をクライアントに、共通鍵生成装置１１０と、記憶情報生成装置１４０と、照合情報秘匿化装置１５０と、復号装置１７０とをサーバに分けて実装することによって、クライアントサーバシステムとして実現することも可能である。

　図２に示す各装置（共通鍵生成装置１１０、記憶情報生成装置１４０、照合情報秘匿化装置１５０、秘匿類似度計算装置１６０、復号装置１７０）は有線又は無線により接続され、相互に通信可能に構成されている。例えば、情報照合システム１００に含まれる各装置は、図３に示すように接続される。

　共通鍵生成装置１１０は、
乱数を取得する乱数取得部１１１と、
乱数取得部１１１が取得した乱数を用いて共通鍵を生成する共通鍵生成部１１２と、
共通鍵生成部１１２が生成した共通鍵を出力する共通鍵出力部１１３と、を有する。

　記憶情報生成装置１４０は、
登録情報を取得する登録情報取得部１４１と、
識別子を取得する識別子取得部１４２と、
共通鍵生成装置１１０が出力した共通鍵を取得する共通鍵取得部１４３と、
識別子取得部１４２が取得した識別子と、共通鍵取得部１４３が取得した共通鍵とから、個別鍵を生成する個別鍵生成部１４４と、
登録情報取得部１４１が取得した登録情報と、個別鍵生成部１４４が生成した個別鍵とから、記憶情報を生成する記憶情報生成部１４７と、
記憶情報生成部１４７が生成した記憶情報を出力する記憶情報出力部１４８と、を有する。

　照合情報秘匿化装置１５０は、
照合情報を取得する照合情報取得部１５１と、
照合乱数を取得する照合乱数取得部１５２と、
照合乱数取得部１５２が取得した照合乱数を送信する照合乱数送信部１５３と、
照合情報取得部１５１が取得した照合情報と、照合乱数取得部１５２が取得した照合乱数とから、秘匿照合情報を生成する秘匿照合情報生成部１５４と、
秘匿照合情報生成部１５４が生成した秘匿照合情報を送信する秘匿照合情報送信部１５５と、を有する。

　秘匿類似度計算装置１６０は、
秘匿照合情報を受信する秘匿照合情報受信部１６１と、
識別子と記憶情報とを取得する記憶情報取得部１６２と、
秘匿照合情報受信部１６１が受信した秘匿照合情報と、記憶情報取得部１６２が取得した記憶情報とから、秘匿類似度を計算する秘匿類似度計算部１６３と、
記憶情報取得部１６２が取得した識別子と、秘匿類似度計算部１６３が計算した秘匿類似度とを送信する秘匿類似度送信部１６４と、を有する。

　復号装置１７０は、
照合乱数を受信する照合乱数受信部１７１と、
識別子と秘匿類似度とを受信する秘匿類似度受信部１７２と、
照合情報を取得する照合情報取得部１７３と、
共通鍵を取得する共通鍵取得部１７４と、
秘匿類似度受信部１７２が受信した識別子と、共通鍵取得部１７４が取得した共通鍵とから、個別鍵を生成する個別鍵生成部１７５と、
照合乱数受信部１７１が受信した照合乱数と、秘匿類似度受信部１７２が受信した秘匿類似度と、照合情報取得部１７３が取得した照合情報と、個別鍵生成部１７５が生成した個別鍵とから、類似度を計算する類似度計算部１７６と、
類似度計算部１７６が計算した類似度に基づいて照合結果を決定する照合結果判定部１７７と、
照合結果判定部１７７が決定した照合結果を出力する照合結果出力部１７８と、を有する。

［動作の説明］
　次に、図面を参照して、本実施形態の全体の動作について説明する。本実施形態の動作は、共通鍵生成フェーズ、記憶情報生成フェーズ、照合フェーズの３つのフェーズに分けられる。以下、各フェーズにおける動作を詳細に説明する。

　本実施形態の共通鍵生成フェーズでは、情報照合システム１００の共通鍵生成装置１１０が動作する。図４を参照して、本実施形態の共通鍵生成フェーズにおける動作を詳細に説明する。

　まず、共通鍵生成装置１１０の乱数取得部１１１は、乱数を取得する（ステップＡ１）。なお、乱数の取得手段は問わない。例えば、共通鍵生成装置１１０の内部に有する乱数生成機能を用いて生成してもよいし、共通鍵生成装置１１０の外部で生成された乱数を外部装置から取得してもよい。

　次に、共通鍵生成部１１２は、乱数取得部１１１が取得した乱数を用いて共通鍵を生成する（ステップＡ２）。

　最後に、共通鍵出力部１１３は、共通鍵生成部１１２が生成した共通鍵を出力する（ステップＡ３）。出力された共通鍵は、記憶情報生成フェーズにおいて記憶情報生成装置１４０が、また、照合フェーズにおいて復号装置１７０が使用するため、適切な手段で記憶される。

　本実施形態の記憶情報生成フェーズでは、情報照合システム１００の記憶情報生成装置１４０が動作する。図５を参照して、本実施形態の記憶情報生成フェーズにおける動作を詳細に説明する。

　まず、記憶情報生成装置１４０の登録情報取得部１４１は、登録情報を取得する（ステップＢ１）。なお、登録情報の取得手段は問わない。例えば、登録情報取得部１４１は、記憶情報生成装置１４０に付属するセンサ等の入力手段を用いて外部から登録情報を取得してもよい。

　次に、識別子取得部１４２は、識別子を取得する（ステップＢ２）。この識別子は、登録情報に紐づけられるものである。例えば、登録情報が人の生体情報である場合、識別子は対象の人物を表す識別子であってもよい。また、例えば、登録情報が人の生体情報である場合であって、さらに同一人物について複数回記憶情報生成フェーズが実行される場合、識別子は対象人物を表す識別子と、記憶情報生成フェーズの実行回数に関する識別子を合わせたものであってもよい。

　次に、共通鍵取得部１４３は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵を取得する（ステップＢ３）。なお、共通鍵の取得手段は問わない。例えば、記憶情報生成装置１４０の内部に備える記憶手段に共通鍵があらかじめ記憶してもよいし、記憶情報生成装置１４０の外部の記憶手段から都度、共通鍵が取得されてもよい。

　次に、個別鍵生成部１４４は、ステップＢ２において識別子取得部１４２が取得した識別子と、ステップＢ３において共通鍵取得部１４３が取得した共通鍵とから、個別鍵を生成する（ステップＢ４）。

　次に、記憶情報生成部１４７は、ステップＢ１において登録情報取得部１４１が取得した登録情報と、ステップＢ４において個別鍵生成部１４４が生成した個別鍵とから、記憶情報を生成する（ステップＢ５）。

　最後に、記憶情報出力部１４８は、ステップＢ２において識別子取得部１４２が取得した識別子と、ステップＢ５において記憶情報生成部１４７が生成した記憶情報との組を出力する（ステップＢ６）。出力された識別子と記憶情報は、照合フェーズにおいて秘匿類似度計算装置１６０が使用するため、適切な手段で記憶される。

　本実施形態の照合フェーズでは、情報照合システム１００の照合情報秘匿化装置１５０と、秘匿類似度計算装置１６０と、復号装置１７０とが動作する。図６を参照して、本実施形態の照合フェーズにおける動作を詳細に説明する。

　まず、照合情報秘匿化装置１５０の照合情報取得部１５１は、照合情報を取得する（ステップＣ１）。なお、登録情報の取得手段は問わない。例えば、照合情報秘匿化装置１５０に付属するセンサ等の入力手段を用いて外部から登録情報を取得してもよい。

　次に、照合乱数取得部１５２は、乱数を取得する（ステップＣ２）。以下ではこの乱数を照合乱数と呼ぶ。

　なお、乱数の取得手段は問わない。例えば、照合情報秘匿化装置１５０の内部に有する乱数生成機能を用いて乱数が生成されてもよいし、照合情報秘匿化装置１５０の外部で生成された乱数が取得されてもよい。また、照合乱数の一部または全部は照合フェーズ実行の都度変更されるのではなく、照合情報秘匿化装置１５０の内部または外部に記憶され再利用されてもよい。

　次に、照合乱数送信部１５３は、ステップＣ２において取得した照合乱数を復号装置１７０に送信する（ステップＣ３）。

　次に、復号装置１７０の照合乱数受信部１７１は、ステップＣ３において照合情報秘匿化装置１５０から送信された照合乱数を受信する（ステップＣ４）。

　次に、照合情報秘匿化装置１５０の秘匿照合情報生成部１５４は、ステップＣ１において照合情報取得部１５１が取得した照合情報を、ステップＣ２において照合乱数取得部１５２が取得した照合乱数を用いて秘匿し、秘匿照合情報を生成する（ステップＣ５）。

　次に、秘匿照合情報送信部１５５は、ステップＣ５において秘匿照合情報生成部１５４が生成した秘匿照合情報を秘匿類似度計算装置１６０に送信する（ステップＣ６）。

　なお、１つの照合情報秘匿化装置１５０に対し、秘匿類似度計算装置１６０が複数あってもよく、その場合、ステップＣ６において、秘匿照合情報は複数の秘匿類似度計算装置１６０に送信される。

　次に、秘匿類似度計算装置１６０の秘匿照合情報受信部１６１は、ステップＣ６において照合情報秘匿化装置１５０が送信した秘匿照合情報を受信する（ステップＣ７）。

　次に、記憶情報取得部１６２は、ステップＢ６において記憶情報生成装置１４０が出力した識別子と記憶情報との組を取得する（ステップＣ８）。

　なお、識別子と記憶情報の取得手段は問わない。例えば、秘匿類似度計算装置１６０の内部に備える記憶手段にあらかじめ識別子と記憶情報が記憶されていてもよいし、秘匿類似度計算装置１６０の外部の記憶手段からこれらの情報が都度取得されてもよい。

　次に、秘匿類似度計算部１６３は、ステップＣ７において秘匿照合情報受信部１６１が受信した秘匿照合情報と、ステップＣ８において記憶情報取得部１６２が取得した記憶情報とから、秘匿類似度を計算する（ステップＣ９）。

　次に、秘匿類似度送信部１６４は、ステップＣ８において記憶情報取得部１６２が取得した識別子と、ステップＣ９において秘匿類似度計算部１６３が計算した秘匿類似度とを、復号装置１７０に送信する（ステップＣ１０）。

　次に、復号装置１７０の秘匿類似度受信部１７２は、ステップＣ１０において秘匿類似度計算装置１６０が送信した識別子と秘匿類似度とを受信する（ステップＣ１１）。なお、１つの復号装置１７０に対し、秘匿類似度計算装置１６０が複数あってもよく、その場合、ステップＣ１１において、複数組の識別子と秘匿類似度を受信する。

　次に、照合情報取得部１７３は、ステップＣ１において照合情報秘匿化装置１５０が取得した照合情報を取得する（ステップＣ１２）。なお、照合情報の取得手段は問わない。例えば、照合情報は照合情報秘匿化装置１５０から取得されてもよいし、照合情報秘匿化装置１５０と同じ手段によってステップＣ１と同時に照合情報が取得されてもよい。

　次に、共通鍵取得部１７４は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵を取得する（ステップＣ１３）。なお、共通鍵の取得手段は問わない。例えば、復号装置１７０の内部に備える記憶手段にあらかじめ共通鍵が記憶されていてもよいし、復号装置１７０の外部の記憶手段から共通鍵が都度取得されてもよい。

　次に、個別鍵生成部１７５は、ステップＣ１１において秘匿類似度受信部１７２が受信した識別子と、ステップＣ１３において共通鍵取得部１７４が取得した共通鍵とから、個別鍵を生成する（ステップＣ１４）。なお、１つの復号装置１７０に対して複数の秘匿類似度計算装置１６０が存在する場合、ステップＣ１１において受信された、各識別子のそれぞれについて個別鍵が生成される。

　次に、類似度計算部１７６は、ステップＣ４において照合乱数受信部１７１が受信した照合乱数と、ステップＣ１１において秘匿類似度受信部１７２が受信した秘匿類似度と、ステップＣ１２において照合情報取得部１７３が取得した照合情報と、ステップＣ１３において共通鍵取得部１７４が取得した共通鍵と、ステップＣ１４において個別鍵生成部１７５が生成した個別鍵とから、類似度を計算する（ステップＣ１５）。

　なお、１つの復号装置１７０に対して複数の秘匿類似度計算装置１６０が存在する場合、ステップＣ１１において受信された識別子と秘匿類似度の各組のそれぞれについて類似度が計算される。

　次に、照合結果判定部１７７は、ステップＣ１５において類似度計算部１７６が計算した類似度に基づいて照合結果を決定する（ステップＣ１６）。なお、１つの復号装置１７０に対して複数の秘匿類似度計算装置１６０が存在する場合、ステップＣ１５において計算された複数の類似度から照合結果が決定される。例えば、最も類似度が高い識別子を照合結果としたり、類似度が高い順に識別子と類似度の組を並べたものを照合結果としたりしてもよい。

　最後に、照合結果出力部１７８は、ステップＣ１６において照合結果判定部１７７が決定した照合結果を出力する（ステップＣ１７）。

　なお、各ステップの実行順序は上述の順序に限らない。例えば、ステップＣ１の照合情報の取得の前に、照合情報に寄らないステップ（ステップＣ２、Ｃ３、Ｃ４，Ｃ８、Ｃ１０のうち識別子の送信、Ｃ１１のうち識別子の受信、Ｃ１３、Ｃ１４）が実行されてもよい。

［第１の実施形態に係る具体例］
　次に、本実施形態における情報照合システム１００の動作の具体例について説明する。

　本具体例では、ＥＣＥｌｇａｍａｌ暗号を用いる場合について説明する。楕円曲線Ｅ上の、位数がκビットの素数ｑである群およびその生成元Ｇが公開されていることを想定する。

　また、本具体例では、ハッシュ関数を用いる。用いるハッシュ関数に制限はないが、記憶情報生成装置１４０および復号装置１７０が、あらかじめ、用いるハッシュ関数の知識を有することを想定する。以下では用いるハッシュ関数をＨａｓｈと表す。

　また、本具体例では、照合情報および登録情報として、ベクトル（次元数をＤとする）を用いる場合について説明する。さらに、照合情報と登録情報の類似度を２つのベクトルの内積によって算出する場合について説明する。照合情報および登録情報が十分に類似していると判定されるのは、照合情報と登録情報の内積によって算出される類似度がＴ個の値θ１、…、θτのいずれかに一致する場合とする。

　本具体例の共通鍵生成フェーズにおける動作を説明する。

　まず、共通鍵生成装置１１０の乱数取得部１１１は、２つの１以上ｑ未満の乱数ａおよびＫを取得する（ステップＡ１）。

　次に、共通鍵生成部１１２は、乱数取得部１１１が取得した乱数の組（ａ、Ｋ）を共通鍵とする（ステップＡ２）。

　最後に、共通鍵出力部１１３は、共通鍵生成部１１２が生成した共通鍵（ａ、Ｋ）を出力する（ステップＡ３）。

　本具体例の記憶情報生成フェーズにおける動作を説明する。

　まず、記憶情報生成装置１４０の登録情報取得部１４１は、登録情報としてＤ次元のベクトル
ｘ＝（ｘ_１、…、ｘ_Ｄ）
を取得する（ステップＢ１）。

　次に、識別子取得部１４２は、識別子ＩＤを取得する（ステップＢ２）。

　次に、共通鍵取得部１４３は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵（ａ、Ｋ）を取得する（ステップＢ３）。

　次に、個別鍵生成部１４４は、
ステップＢ２において識別子取得部１４２が取得した識別子ＩＤと、
ステップＢ３において共通鍵取得部１４３が取得した共通鍵（ａ、Ｋ）とから、
各ｊ＝１、…、Ｄについてハッシュ値
ｈ_ＩＤ、ｊ＝Ｈａｓｈ（Ｋ、ＩＤ、ｊ）
を計算し、
（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）を個別鍵とする（ステップＢ４）。

　次に、記憶情報生成部１４７は、
ステップＢ１において登録情報取得部１４１が取得した登録情報ｘ＝（ｘ_１、…、ｘ_Ｄ）と、
ステップＢ３において共通鍵取得部１４３が取得した共通鍵（ａ、Ｋ）と、
ステップＢ４において個別鍵生成部１４４が生成した個別鍵（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）とから、
各ｊ＝１、…、Ｄについて
ｚ_ＩＤ、ｊ＝ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ）
を計算し、
ｚ_ＩＤ＝（ｚ_ＩＤ、１、…、ｚ_ＩＤ、Ｄ）を記憶情報とする（ステップＢ５）。

　なお、上記記憶情報を生成する際に計算される、
ｚ_ＩＤ、ｊ＝ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ）ｓ
が登録情報の線形変換に該当する。

　最後に、記憶情報出力部１４８は、ステップＢ２において識別子取得部１４２が取得した識別子ＩＤと、ステップＢ５において記憶情報生成部１４７が生成した記憶情報ｚ_ＩＤの組を出力する（ステップＢ６）。

　本具体例の照合フェーズにおける動作を説明する。

　まず、照合情報秘匿化装置１５０の照合情報取得部１５１は、照合情報としてＤ次元のベクトル
ｙ＝（ｙ_１、…、ｙ_Ｄ）
を取得する（ステップＣ１）。

　次に、照合乱数取得部１５２は、１以上ｑ未満の乱数ｒ、及びＥＣＥｌｇａｍａｌ暗号の鍵生成アルゴリズムを実行し、暗号化鍵ｅｋおよび復号鍵ｄｋを取得する（ステップＣ２）。

　次に、照合乱数送信部１５３は、ステップＣ２において取得した（ｒ、ｅｋ、ｄｋ）を照合乱数として復号装置１７０に送信する（ステップＣ３）。

　次に、復号装置１７０の照合乱数受信部１７１は、ステップＣ３において照合情報秘匿化装置１５０から送信された照合乱数（ｒ、ｅｋ、ｄｋ）を受信する（ステップＣ４）。

　次に、照合情報秘匿化装置１５０の秘匿照合情報生成部１５４は、まず、ＥＣＥｌｇａｍａｌ暗号のステップＣ１において照合情報取得部１５１が取得した照合情報ｙ＝（ｙ_１、…、ｙ_Ｄ）と、
ステップＣ２において照合乱数取得部１５２が取得した値（ｒ、ｅｋ、ｄｋ）とから、
各ｊ＝１、…、Ｄについて
Ｙ_ｊ＝Ｅｎｃ（ｅｋ、ｒ×ｙ_ｊ）
を計算し、
ｅｋとＹ＝（Ｙ_１、…、Ｙ_Ｄ）の組を秘匿照合情報とする（ステップＣ５）。

　次に、秘匿照合情報送信部１５５は、ステップＣ５において秘匿照合情報生成部１５４が生成した秘匿照合情報（ｅｋ、Ｙ）を秘匿類似度計算装置１６０に送信する（ステップＣ６）。

　次に、秘匿類似度計算装置１６０の秘匿照合情報受信部１６１は、ステップＣ６において照合情報秘匿化装置１５０が送信した秘匿照合情報（ｅｋ、Ｙ）を受信する（ステップＣ７）。

　次に、記憶情報取得部１６２は、ステップＢ６において記憶情報生成装置１４０が出力した識別子と記憶情報との組（ＩＤ、ｚ_ＩＤ）を取得する（ステップＣ８）。

　次に、秘匿類似度計算部１６３は、ステップＣ７において秘匿照合情報受信部１６１が受信した秘匿照合情報（ｅｋ、Ｙ＝（Ｙ_１、…、Ｙ_Ｄ））と、
ステップＣ８において記憶情報取得部１６２が取得した記憶情報ｚ_ＩＤ＝（ｚ_ＩＤ、１、…、ｚ_ＩＤ、Ｄ）とから、
Ｚ_ＩＤ＝ＨｏｍＡｄｄ（ｅｋ、ＨｏｍＳｃｌ（ｅｋ、Ｙ_１、ｚ_ＩＤ、１）、…、ＨｏｍＳｃｌ（ｅｋ、Ｙ_Ｄ、ｚ_ＩＤ、Ｄ））
を計算し、Ｚ_ＩＤを秘匿類似度とする（ステップＣ９）。

　なお、各ｊ＝１、…、Ｄについて
Ｙ_ｊ＝Ｅｎｃ（ｅｋ、ｒ・ｙ_ｊ）
及び
ｚ_ＩＤ、ｊ＝ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ）
であることから、
Ｚ_ＩＤ＝Ｅｎｃ（ｅｋ、ａｒ（Σｘ_ｊ・ｙ_ｊ－Σｈ_ＩＤ、ｊ・ｙ_ｊ））
が成り立つ。

　次に、秘匿類似度送信部１６４は、
ステップＣ８において記憶情報取得部１６２が取得した識別子ＩＤと、
ステップＣ９において秘匿類似度計算部１６３が計算した秘匿類似度Ｚ_ＩＤとの組を、復号装置１７０に送信する（ステップＣ１０）。

　次に、復号装置１７０の秘匿類似度受信部１７２は、ステップＣ１０において秘匿類似度計算装置１６０が送信した識別子と秘匿類似度との組（ＩＤ、Ｚ_ＩＤ）を受信する（ステップＣ１１）。

　次に、照合情報取得部１７３は、ステップＣ１において照合情報秘匿化装置１５０が取得した照合情報ｙ＝（ｙ_１、…、ｙ_Ｄ）を取得する（ステップＣ１２）。

　次に、共通鍵取得部１７４は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵（ａ、Ｋ）を取得する（ステップＣ１３）。

　次に、個別鍵生成部１７５は、
ステップＣ１１において秘匿類似度受信部１７２が受信した識別子ＩＤと、
ステップＣ１３において共通鍵取得部１７４が取得した共通鍵（ａ、Ｋ）とから、
各ｊ＝１、…、Ｄについてハッシュ値
ｈ_ＩＤ、ｊ＝Ｈａｓｈ（Ｋ、ＩＤ、ｊ）
を計算し、
ｈ_ＩＤ＝（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）を個別鍵とする（ステップＣ１４）。

　次に、類似度計算部１７６は、
ステップＣ４において照合乱数受信部１７１が受信した照合乱数（ｒ、ｅｋ、ｄｋ）と、
ステップＣ１１において秘匿類似度受信部１７２が受信した秘匿類似度Ｚ_ＩＤと、
ステップＣ１２において照合情報取得部１７３が取得した照合情報ｙ＝（ｙ_１、…、ｙ_Ｄ）と、
ステップＣ１３において共通鍵取得部１７４が取得した共通鍵（ａ、Ｋ）と、
ステップＣ１４において個別鍵生成部１７５が生成した個別鍵ｈ_ＩＤ＝（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）とから、
Ｄｅｃ（ｄｋ、ＨｏｍＡｄｄ（ｅｋ、ＨｏｍＳｃｌ（ｅｋ、Ｚ_ＩＤ、１／ａｒ）、Ｅｎｃ（ｅｋ、Σｈ_ＩＤ、ｊ・ｙ_ｊ）））
により類似度ｓを計算する（ステップＣ１５）。

　なお、
Ｚ_ＩＤ＝Ｅｎｃ（ｅｋ、ａｒ（Σｘ_ｊ・ｙ_ｊ－Σｈ_ＩＤ、ｊ・ｙ_ｊ））
であることから、
ＨｏｍＳｃｌ（ｅｋ、Ｚ_ＩＤ、１／ａｒ）＝Ｅｎｃ（ｅｋ、Σｘ_ｊ・ｙ_ｊ－Σｈ_ＩＤ、ｊ・ｙ_ｊ）
が成り立つため、
ＨｏｍＡｄｄ（ｅｋ、ＨｏｍＳｃｌ（ｅｋ、Ｚ_ＩＤ、１／ａｒ）、Ｅｎｃ（ｅｋ、Σｈ_ＩＤ、ｊ・ｙ_ｊ））＝Ｅｎｃ（ｅｋ、Σｘ_ｊ・ｙ_ｊ）
となり、
ｓ＝Σｘ_ｊ・ｙ_ｊ
が計算される。

　次に、照合結果判定部１７７は、ステップＣ１５において類似度計算部１７６が計算した類似度ｓがＴ個の値θ_１、…、θ_τのいずれかに一致するかどうかを確認することにより照合結果を決定する（ステップＣ１６）。

　本具体例のステップＣ２において生成した照合乱数（ｒ、ｅｋ、ｄｋ）のうちｒは、照合フェーズ実施の都度選ぶことにより、再送攻撃防止の効果をもたらすが、本願開示では必須の構成ではない。また、ＳＳＬ／ＴＬＳ等の通信路暗号化手段により代替できる。

　また、本具体例のステップＣ２において生成した照合乱数（ｒ、ｅｋ、ｄｋ）のうち（ｅｋ、ｄｋ）は、照合フェーズ実施の都度選ぶのではなく、毎回同じ値が用いられることも許容される。また、共通鍵生成フェーズにおいて照合乱数を生成しておき当該乱数が予め配布されていてもよい。

［効果の説明］
　上述した本実施形態は、登録情報と照合情報を互いに開示せずに照合できるという効果と、記憶情報生成フェーズで用いた登録情報以外の登録情報を用いた照合を行えないという効果を有する。登録情報と照合情報を互いに開示せずに照合できる理由は、照合フェーズにおいて、照合情報秘匿化装置１５０は、照合情報を秘匿化した秘匿照合情報を秘匿類似度計算装置１６０に送信（送付）するため、秘匿類似度計算装置１６０に対して照合情報は開示されず、秘匿類似度計算装置１６０は登録情報と照合情報の類似度を秘匿化した値である秘匿類似度を計算して復号装置１７０に送付するため、復号装置１７０には記憶情報が開示されないためである。

　また、記憶情報生成フェーズで用いた登録情報以外の登録情報を用いた照合を行えない理由は、記憶情報生成フェーズにおいて、記憶情報生成装置１４０は登録情報と共通鍵を用いて記憶情報を生成するため、共通鍵がなければ、別の登録情報に対する記憶情報を生成できないためである。

［第２の実施形態］
［構成の説明］
　図７は、第２の実施形態に係る情報照合システム２００の構成を示すブロック図である。情報照合システム２００は、共通鍵生成装置１１０と、登録情報秘匿化装置２２０と、登録補助装置２３０と、記憶情報生成装置２４０と、照合情報秘匿化装置１５０と、秘匿類似度計算装置１６０と、復号装置１７０とを有する。情報照合システム２００が備える上記各装置は、別個の装置として構成することも、適宜用途に応じて同一の装置内に実装されることもある。例えば、情報照合システム２００は、登録情報秘匿化装置２２０と、記憶情報生成装置２４０と、秘匿類似度計算装置１６０とをクライアントに、共通鍵生成装置１１０と、登録補助装置２３０と、照合情報秘匿化装置１５０と、復号装置１７０とをサーバに分けて実装することによって、クライアントサーバシステムとして実現することも可能である。

　図７に示す各装置（共通鍵生成装置１１０、照合情報秘匿化装置１５０、秘匿類似度計算装置１６０、復号装置１７０、登録情報秘匿化装置２２０、登録補助装置２３０、記憶情報生成装置２４０）は有線又は無線により接続され、相互に通信可能に構成されている。例えば、情報照合システム２００に含まれる各装置は、図８に示すように接続される。

　共通鍵生成装置１１０と、照合情報秘匿化装置１５０と、秘匿類似度計算装置１６０と、復号装置１７０は、第１の実施形態における情報照合システム１００において、同名、同番号を付した各装置と同様に構成されるため、説明を省略する。

　登録情報秘匿化装置２２０は、
登録情報を取得する登録情報取得部２２１と、
識別子を取得する識別子取得部２２２と、
秘匿化鍵と秘匿解除鍵を取得する秘匿化鍵取得部２２３と、
秘匿化鍵取得部２２３が取得した秘匿解除鍵を送信する秘匿解除鍵送信部２２４と、
登録情報取得部２２１が取得した登録情報を、秘匿化鍵取得部２２３が取得した秘匿化鍵によって秘匿化した秘匿登録情報を生成する秘匿登録情報生成部２２５と、
識別子取得部２２２が取得した識別子と秘匿登録情報生成部２２５が生成した秘匿登録情報の組を送信する秘匿登録情報送信部２２６と、を有する。

　登録補助装置２３０は、
識別子と秘匿登録情報の組を受信する秘匿登録情報受信部２３１と、
共通鍵を取得する共通鍵取得部２３２と、
秘匿登録情報受信部２３１が受信した識別子と、共通鍵取得部２３２が取得した共通鍵とから、個別鍵を生成する個別鍵生成部２３３と、
秘匿登録情報受信部２３１が受信した秘匿登録情報と、共通鍵取得部２３２が取得した共通鍵と、個別鍵生成部２３３が生成した個別鍵とから、秘匿記憶情報を生成する秘匿記憶情報生成部２３４と、
秘匿登録情報受信部２３１が受信した識別子と、秘匿記憶情報生成部２３４が生成した秘匿記憶情報の組を送信する秘匿記憶情報送信２３５と、を有する。

　記憶情報生成装置２４０は、
秘匿解除鍵を受信する秘匿解除鍵受信部２４５と、
識別子と秘匿記憶情報の組を受信する秘匿記憶情報受信部２４６と、
秘匿記憶情報受信部２４６が受信した秘匿記憶情報の秘匿化を、秘匿解除鍵受信部２４５が受信した秘匿解除鍵を用いて解除することにより、記憶情報を生成する記憶情報生成部２４７と、
記憶情報生成部２４７が生成した記憶情報を出力する記憶情報出力部２４８と、を有する。

［動作の説明］
　次に、図面を参照して、本実施形態の全体の動作について説明する。本実施形態の動作は、第１の実施形態の動作と同様、共通鍵生成フェーズ、記憶情報生成フェーズ、照合フェーズの３つのフェーズに分けられる。

　本実施形態の共通鍵生成フェーズでは、情報照合システム２００の共通鍵生成装置１１０が動作する。また、本実施形態の記憶情報生成フェーズでは、情報照合システム２００の照合情報秘匿化装置１５０と、秘匿類似度計算装置１６０と、復号装置１７０とが動作する。各動作は第１の実施形態と同様であるため、説明を省略する。

　本実施形態の記憶情報生成フェーズでは、情報照合システム２００の登録情報秘匿化装置２２０と、登録補助装置２３０と、記憶情報生成装置２４０とが動作する。図９を参照して、本実施形態の記憶情報生成フェーズにおける動作を詳細に説明する。

　まず、登録情報秘匿化装置２２０の登録情報取得部２２１は、登録情報を取得する（ステップＤ１）。なお、登録情報の取得手段は問わない。例えば、登録情報秘匿化装置２２０に付属するセンサ等の入力手段を用いて外部から登録情報が取得されてもよい。

　次に、識別子取得部２２２は、識別子を取得する（ステップＤ２）。この識別子は、登録情報に紐づけられるものである。例えば、登録情報が人の生体情報である場合、識別子は対象の人物を表す識別子であってもよい。また、例えば、登録情報が人の生体情報である場合であって、さらに同一人物について複数回記憶情報生成フェーズが実行される場合、識別子は対象人物を表す識別子と、記憶情報生成フェーズの実行回数に関する識別子を合わせたものであってもよい。

　次に、秘匿化鍵取得部２２３は、加法準同型性を有する公開鍵暗号方式の暗号化鍵（秘匿化鍵）と復号鍵（秘匿解除鍵）を取得する（ステップＤ３）。なお、暗号化鍵と復号鍵の生成手段及び取得手段は問わない。例えば、登録情報秘匿化装置２２０の内部に有する鍵生成機能を用いて上記２つの鍵が生成されてもよいし、登録情報秘匿化装置２２０の外部で生成された２つの鍵が取得されてもよい。

　次に、秘匿解除鍵送信部２２４は、秘匿化鍵取得部２２３が取得した復号鍵を、記憶情報生成装置２４０に送信する（ステップＤ４）。

　次に、記憶情報生成装置２４０の秘匿解除鍵受信部２４５は、登録情報秘匿化装置２２０から復号鍵（秘匿解除鍵）を受信する（ステップＤ５）。

　次に、秘匿登録情報生成部２２５は、登録情報取得部２２１が取得した登録情報を、秘匿化鍵取得部２２３が取得した暗号化鍵（秘匿化鍵）によって暗号化した値を秘匿登録情報とする（ステップＤ６）。

　次に、秘匿登録情報送信部２２６は、識別子取得部２２２が取得した識別子と秘匿登録情報生成部２２５が生成した秘匿登録情報の組を、登録補助装置２３０に送信する（ステップＤ７）。

　次に、登録補助装置２３０の秘匿登録情報受信部２３１は、登録情報秘匿化装置２２０から、識別子と秘匿登録情報の組を受信する（ステップＤ８）。

　次に、共通鍵取得部２３２は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵を取得する（ステップＤ９）。なお、共通鍵の取得手段は問わない。例えば、登録補助装置２３０の内部に備える記憶手段にあらかじめ共通鍵が記憶されていてもよいし、登録補助装置２３０の外部の記憶手段から共通鍵が都度取得されてもよい。

　次に、個別鍵生成部２３３は、ステップＤ８において秘匿登録情報受信部２３１が取得した識別子と、ステップＤ９において共通鍵取得部２３２が取得した共通鍵とから、個別鍵を生成する（ステップＤ１０）。

　次に、秘匿記憶情報生成部２３４は、ステップＤ８において秘匿登録情報受信部２３１が取得した秘匿登録情報と、ステップＤ９において共通鍵取得部２３２が取得した共通鍵と、ステップＤ１０において個別鍵生成部２３３が生成した個別鍵とから、秘匿記憶情報を生成する（ステップＤ１１）。

　次に、秘匿記憶情報送信２３５は、秘匿登録情報受信部２３１が受信した識別子と、ステップＤ１１において秘匿記憶情報生成部２３４が生成した秘匿記憶情報の組を、記憶情報生成装置２４０に送信する（ステップＤ１２）。

　次に、秘匿記憶情報受信部２４６は、登録補助装置２３０から、識別子と秘匿記憶情報の組を受信する（ステップＤ１３）。

　次に、記憶情報生成部２４７は、ステップＤ１３において秘匿記憶情報受信部２４６が受信した秘匿記憶情報の秘匿化を、ステップＤ５において秘匿解除鍵受信部２４５が受信した復号鍵（秘匿解除鍵）を用いて解除することにより、記憶情報を生成する（ステップＤ１４）。

　最後に、記憶情報出力部２４８は、ステップＤ１３において秘匿記憶情報受信部２４６が受信した識別子とステップＤ１４において記憶情報生成部２４７が生成した記憶情報の組を出力する（ステップＤ１５）。

　なお、各ステップの実行順序は上述の順序に限らない。例えば、ステップＤ１の登録情報の取得の前に、登録情報に寄らないステップ（ステップＤ２、Ｄ３、Ｄ４、Ｄ５、Ｄ７のうち識別子の送信、Ｄ８のうち識別子の受信、Ｄ９、Ｄ１０）が実行されてもよい。

［第２の実施形態に係る具体例］
　次に、本実施形態における情報照合システム２００の動作の具体例について説明する。

　また、本具体例では、ハッシュ関数を用いる。用いるハッシュ関数に制限はないが、登録補助装置２３０および復号装置１７０が、あらかじめ、用いるハッシュ関数の知識を有することを想定する。以下では用いるハッシュ関数をＨａｓｈと表す。

　また、本具体例では、照合情報および登録情報として、ベクトル（次元数をＤとする）を用いる場合について説明する。さらに、照合情報と登録情報の類似度を２つのベクトルの内積によって算出する場合について説明する。照合情報および登録情報が十分に類似していると判定されるのは、照合情報と登録情報の内積によって算出される類似度がＴ個の値θ_１、…、θ_τのいずれかに一致する場合とする。

　本具体例の共通鍵生成フェーズおよび照合フェーズにおける動作は、第１の実施形態に係る具体例の共通鍵生成フェーズおよび照合フェーズにおける動作と同様であるため、説明を省略する。

　まず、登録情報秘匿化装置２２０の登録情報取得部２２１は、登録情報としてＤ次元のベクトル
ｘ＝（ｘ_１、…、ｘ_Ｄ）
を取得する（ステップＤ１）。

　次に、識別子取得部２２２は、識別子ＩＤを取得する（ステップＤ２）。

　次に、秘匿化鍵取得部２２３は、ＥＣＥｌｇａｍａｌ暗号の鍵生成アルゴリズムを実行し、暗号化鍵ｅｋ’と復号鍵ｄｋ’を取得する（ステップＤ３）。

　次に、秘匿解除鍵送信部２２４は、秘匿化鍵取得部２２３が取得した復号鍵ｄｋ’を、記憶情報生成装置２４０に送信する（ステップＤ４）。

　次に、記憶情報生成装置２４０の秘匿解除鍵受信部２４５は、登録情報秘匿化装置２２０から復号鍵ｄｋ’を受信する（ステップＤ５）。

　次に、秘匿登録情報生成部２２５は、
登録情報取得部２２１が取得した登録情報ｘ＝（ｘ_１、…、ｘ_Ｄ）と、
秘匿化鍵取得部２２３が取得した暗号化鍵ｅｋ’とから
各ｊ＝１、…、Ｄについて
Ｘ_ｊ＝Ｅｎｃ（ｅｋ’、ｘ_ｊ）
を計算し、
ｅｋ’とＸ＝（Ｘ_１、…、Ｘ_Ｄ）の組を秘匿登録情報とする（ステップＤ６）。

　次に、秘匿登録情報送信部２２６は、識別子取得部２２２が取得した識別子ＩＤと秘匿登録情報生成部２２５が生成した秘匿登録情報（ｅｋ’、Ｘ）の組を、登録補助装置２３０に送信する（ステップＤ７）。

　次に、登録補助装置２３０の秘匿登録情報受信部２３１は、登録情報秘匿化装置２２０から、識別子と秘匿登録情報の組（ＩＤ、（ｅｋ’、Ｘ））を受信する（ステップＤ８）。

　次に、共通鍵取得部２３２は、ステップＡ３において共通鍵生成装置１１０が出力した共通鍵（ａ、Ｋ）を取得する（ステップＤ９）。

　次に、個別鍵生成部２３３は、
ステップＤ８において秘匿登録情報受信部２３１が取得した識別子ＩＤと、
ステップＤ９において共通鍵取得部２３２が取得した共通鍵（ａ、Ｋ）とから、
各ｊ＝１、…、Ｄについてハッシュ値
ｈ_ＩＤ、ｊ＝Ｈａｓｈ（Ｋ、ＩＤ、ｊ）
を計算し、
ｈ_ＩＤ＝（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）を個別鍵とする（ステップＤ１０）。

　次に、秘匿記憶情報生成部２３４は、
ステップＤ８において秘匿登録情報受信部２３１が取得した秘匿登録情報（ｅｋ’、Ｘ＝（Ｘ_１、…、Ｘ_Ｄ））と、
ステップＤ９において共通鍵取得部２３２が取得した共通鍵（ａ、Ｋ）と、
ステップＤ１０において個別鍵生成部２３３が生成した個別鍵ｈ_ＩＤ＝（ｈ_ＩＤ、１、…、ｈ_ＩＤ、Ｄ）とから、
各ｊ＝１、…、Ｄについて
Ｚ’_ＩＤ、ｊ＝ＨｏｍＳｃｌ（ｅｋ’、ＨｏｍＡｄｄ（ｅｋ’、Ｘ_ｊ、Ｅｎｃ（ｅｋ’、－ｈ_ＩＤ、ｊ））、ａ）
を計算し、
Ｚ’_ＩＤ＝（Ｚ’_ＩＤ、１、…、Ｚ’_ＩＤ、Ｄ）を秘匿記憶情報とする（ステップＤ１１）。

　なお、各ｊ＝１、…、Ｄについて
Ｘ_ｊ＝Ｅｎｃ（ｅｋ’、ｘ_ｊ）
であることから、
Ｚ’_ＩＤ、ｊ＝Ｅｎｃ（ｅｋ’、ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ））
が成り立つ。

　なお、上記秘匿記憶情報を生成する際に計算される、
ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ）
が登録情報を線形変換した記憶情報に該当する。

　次に、秘匿記憶情報送信２３５は、秘匿登録情報受信部２３１が受信した識別子ＩＤと、ステップＤ１１において秘匿記憶情報生成部２３４が生成した秘匿記憶情報Ｚ’_ＩＤ＝（Ｚ’_ＩＤ、１、…、Ｚ’_ＩＤ、Ｄ）の組を、記憶情報生成装置２４０に送信する（ステップＤ１２）。

　次に、秘匿記憶情報受信部２４６は、登録補助装置２３０から、識別子と秘匿記憶情報の組（ＩＤ、Ｚ’_ＩＤ）を受信する（ステップＤ１３）。

　次に、記憶情報生成部２４７は、
ステップＤ５において秘匿解除鍵受信部２４５が受信した秘匿解除鍵ｄｋ’と、
ステップＤ１３において秘匿記憶情報受信部２４６が受信した秘匿記憶情報Ｚ’_ＩＤ＝（Ｚ’_ＩＤ、１、…、Ｚ’_ＩＤ、Ｄ）とから、
各ｊ＝１、…、Ｄについて
ｚ_ＩＤ、ｊ＝Ｄｅｃ（ｄｋ’、Ｚ’_ＩＤ、ｊ）
を計算し、
ｚ_ＩＤ＝（ｚ_ＩＤ、１、…、ｚ_ＩＤ、Ｄ）を記憶情報とする（ステップＤ１４）。

　なお、各ｊ＝１、…、Ｄについて
Ｚ’_ＩＤ、ｊ＝Ｅｎｃ（ｅｋ’、ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ））
であることから、
ｚ_ＩＤ、ｊ＝ａ（ｘ_ｊ－ｈ_ＩＤ、ｊ）
が成り立つ。

　最後に、記憶情報出力部２４８は、ステップＤ１３において秘匿記憶情報受信部２４６が受信した識別子ＩＤとステップＤ１４において記憶情報生成部２４７が生成した記憶情報ｚＩＤの組（ＩＤ、ｚ_ＩＤ）を出力する（ステップＤ１５）。

［効果の説明］
　上述した本実施形態は、実施形態１における効果に加え、記憶情報を安全に生成できるという効果も有する。その理由は、登録情報を登録情報秘匿化装置２２０の外部に送信する際には秘匿化し、共通鍵は登録情報を取り扱う登録情報秘匿化装置２２０とは異なる登録補助装置２３０で取り扱って、記憶情報を生成するためである。

　本発明の技術は、登録された情報から生成され、クライアント端末に保存された情報と、クライアント端末ごとの情報を持たないサーバ端末が新たに取得した情報とを、それらの情報を秘匿し、さらに、クライアント端末が保存された情報以外を用いることを防ぎつつ、照合することができる。

　本発明の技術は、例えば、前述の通り、カードやスマートフォン等の端末の提示や読み取りを必要としない、生体認証による決済手段に利用できる。顧客のスマートフォン等のモバイル端末をクライアント端末として利用し、各店舗に設置された決済端末をサーバ端末として利用する。決済端末に顧客ごとの情報を記憶する必要がないため、店舗に来店する顧客を事前に特定できなくても、決済を行う顧客を特定できる。

　また、本発明の技術は、例えば、生体認証により許可された人かどうかを判断する、入場ゲートに利用できる。入場希望人が持つモバイル端末をクライアント端末として利用し、ゲートの端末をサーバ端末として利用する。ゲート端末に顧客ごとの情報を記憶する必要がないため、入場希望者がどのゲートを通るか事前に特定できていなくても、入場希望者を特定できる。なお、本発明の技術の利用可能例は上記の例に限らない。

　続いて、情報照合システムを構成する各装置のハードウェアについて説明する。図１０は、秘匿類似度計算装置１６０のハードウェア構成の一例を示す図である。

　秘匿類似度計算装置１６０は、情報処理装置（所謂、コンピュータ）により構成可能であり、図１０に例示する構成を備える。例えば、秘匿類似度計算装置１６０は、プロセッサ３１、メモリ３２、入出力インターフェイス３３及び通信インターフェイス３４等を備える。上記プロセッサ３１等の構成要素は内部バス等により接続され、相互に通信可能に構成されている。

　但し、図１０に示す構成は、秘匿類似度計算装置１６０のハードウェア構成を限定する趣旨ではない。秘匿類似度計算装置１６０は、図示しないハードウェアを含んでもよいし、必要に応じて入出力インターフェイス３３を備えていなくともよい。また、秘匿類似度計算装置１６０に含まれるプロセッサ３１等の数も図１０の例示に限定する趣旨ではなく、例えば、複数のプロセッサ３１が秘匿類似度計算装置１６０に含まれていてもよい。

　プロセッサ３１は、例えば、ＣＰＵ（Central Processing Unit）、ＭＰＵ（Micro Processing Unit）、ＤＳＰ（Digital Signal Processor）等のプログラマブルなデバイスである。あるいは、プロセッサ３１は、ＦＰＧＡ（Field Programmable Gate Array）、ＡＳＩＣ（Application Specific Integrated Circuit）等のデバイスであってもよい。プロセッサ３１は、オペレーティングシステム（ＯＳ；Operating System）を含む各種プログラムを実行する。

　メモリ３２は、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）等である。メモリ３２は、ＯＳプログラム、アプリケーションプログラム、各種データを格納する。

　入出力インターフェイス３３は、図示しない表示装置や入力装置のインターフェイスである。表示装置は、例えば、液晶ディスプレイ等である。入力装置は、例えば、キーボードやマウス等のユーザ操作を受け付ける装置である。

　通信インターフェイス３４は、他の装置と通信を行う回路、モジュール等である。例えば、通信インターフェイス３４は、ＮＩＣ（Network Interface Card）等を備える。

　秘匿類似度計算装置１６０の機能は、各種処理モジュールにより実現される。当該処理モジュールは、例えば、メモリ３２に格納されたプログラムをプロセッサ３１が実行することで実現される。また、当該プログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transitory）なものとすることができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、上記プログラムは、ネットワークを介してダウンロードするか、あるいは、プログラムを記憶した記憶媒体を用いて、更新することができる。さらに、上記処理モジュールは、半導体チップにより実現されてもよい。

　なお、共通鍵生成装置１１０、記憶情報生成装置１４０等も秘匿類似度計算装置１６０と同様に情報処理装置により構成可能であり、その基本的なハードウェア構成は秘匿類似度計算装置１６０と相違する点はないので説明を省略する。

［変形例］
　なお、上記実施形態にて説明した情報照合システムの構成、動作等は例示であって、システムの構成等を限定する趣旨ではない。例えば、各装置間で送受信される情報（例えば、秘匿照合情報等）を格納するデータベースサーバ等を設け、当該データベースサーバを介して情報のやり取りが行われてもよい。

　上述の説明で用いた複数のフローチャート（シーケンス図）では、複数の工程（処理）が順番に記載されているが、各実施形態で実行される工程の実行順序は、その記載の順番に制限されない。各実施形態では、例えば各処理を並行して実行する等、図示される工程の順番を内容的に支障のない範囲で変更することができる。また、上述の各実施形態は、内容が相反しない範囲で組み合わせることができる。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　共通鍵生成装置（１１、１１０）と、記憶情報生成装置（１２、１４０、２４０）と、照合情報秘匿化装置（１３、１５０）と、秘匿類似度計算装置（１４、１６０）と、復号装置（１５、１７０）と、を含み、
　前記共通鍵生成装置（１１、１１０）は共通鍵を生成し、
　前記記憶情報生成装置（１２、１４０、２４０）は登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成し、
　前記照合情報秘匿化装置（１３、１５０）は、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成し、
　前記秘匿類似度計算装置（１４、１６０）は前記記憶情報と前記秘匿照合情報から秘匿類似度を計算し、
　前記復号装置（１５、１７０）は、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算する、情報照合システム。
［付記２］
　登録情報秘匿化装置と登録補助装置をさらに含み、
　前記登録情報秘匿化装置は前記登録情報を取得し、前記登録情報を秘匿化した秘匿登録情報を生成し、
　前記登録補助装置は、前記共通鍵と前記登録情報を識別可能である識別子とから第３の個別鍵を生成すると共に、前記共通鍵と前記第３の個別鍵を用いて前記登録情報を線形変換した記憶情報を秘匿化した値である秘匿記憶情報を生成し、
　前記記憶情報生成装置（１２、１４０、２４０）は、前記秘匿記憶情報の秘匿化を解除することにより前記記憶情報を生成する、付記１に記載の情報照合システム。
［付記３］
　前記第１の個別鍵、第２の個別鍵及び第３の個別鍵は、前記共通鍵と、前記登録情報を識別可能である識別子とを含む値を入力して計算されたハッシュ値であり、前記ハッシュ値を用いて前記記憶情報及び前記類似度は計算される、付記１又は２に記載の情報照合システム。
［付記４］
　前記照合情報秘匿化装置（１３、１５０）は、前記照合情報を、準同型性を有する暗号方式によって暗号化することにより前記秘匿照合情報を算出し、
　前記復号装置（１５、１７０）は、前記準同型性を有する暗号方式によって前記秘匿類似度を復号することにより前記類似度を算出する、付記１乃至３のいずれか一つに記載の情報照合システム。
［付記５］
　前記登録情報秘匿化装置は、前記登録情報を、準同型性を有する暗号方式によって暗号化することにより前記秘匿登録情報を算出し、
　前記記憶情報生成装置（１２、１４０、２４０）は、前記準同型性を有する暗号方式によって前記秘匿記憶情報を復号することにより前記記憶情報を算出する、付記２に記載の情報照合システム。
［付記６］
　共通鍵生成装置（１１、１１０）と、記憶情報生成装置（１２、１４０、２４０）と、照合情報秘匿化装置（１３、１５０）と、秘匿類似度計算装置（１４、１６０）と、復号装置（１５、１７０）と、を含む情報照合システムにおいて、
　前記共通鍵生成装置（１１、１１０）が共通鍵を生成するステップと、
　前記記憶情報生成装置（１２、１４０、２４０）が、登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成するステップと、
　前記照合情報秘匿化装置（１３、１５０）が、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成するステップと、
　前記秘匿類似度計算装置（１４、１６０）が、前記記憶情報と前記秘匿照合情報から秘匿類似度を計算するステップと、
　前記復号装置（１５、１７０）が、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算するステップと、を含む情報照合方法。
　なお、付記６の形態は、付記１の形態と同様に、付記２の形態～付記５の形態に展開することが可能である。

　なお、引用した上記の先行技術文献の各開示は、本書に引用をもって繰り込むものとする。以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。

１１、１１０　共通鍵生成装置
１２、１４０、２４０　記憶情報生成装置
１３、１５０　照合情報秘匿化装置
１４、１６０　秘匿類似度計算装置
１５、１７０　復号装置
３１　プロセッサ
３２　メモリ
３３　入出力インターフェイス
３４　通信インターフェイス
１００、２００　情報照合システム
１１１　乱数取得部
１１２　共通鍵生成部
１１３　共通鍵出力部
１４１、２２１　登録情報取得部
１４２、２２２　識別子取得部
１４３　共通鍵取得部
１４４　個別鍵生成部
１４７、２４７　記憶情報生成部
１４８、２４８　記憶情報出力部
１５１　照合情報取得部
１５２　照合乱数取得部
１５３　照合乱数送信部
１５４　秘匿照合情報生成部
１５５　秘匿照合情報送信部
１６１　秘匿照合情報受信部
１６２　記憶情報取得部
１６３　秘匿類似度計算部
１６４　秘匿類似度送信部
１７１　照合乱数受信部
１７２　秘匿類似度受信部
１７３　照合情報取得部
１７４、２３２　共通鍵取得部
１７５、２３３　個別鍵生成部
１７６　類似度計算部
１７７　照合結果判定部
１７８　照合結果出力部
２２０　登録情報秘匿化装置
２２３　秘匿化鍵取得部
２２４　秘匿解除鍵送信部
２２５　秘匿登録情報生成部
２２６　秘匿登録情報送信部
２３０　登録補助装置
２３１　秘匿登録情報受信部
２３４　秘匿記憶情報生成部
２３５　秘匿記憶情報送信部
２４５　秘匿解除鍵受信部
２４６　秘匿記憶情報受信部

Claims

　共通鍵生成装置と、記憶情報生成装置と、照合情報秘匿化装置と、秘匿類似度計算装置と、復号装置と、を含み、
　前記共通鍵生成装置は共通鍵を生成し、
　前記記憶情報生成装置は登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成し、
　前記照合情報秘匿化装置は、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成し、
　前記秘匿類似度計算装置は前記記憶情報と前記秘匿照合情報から秘匿類似度を計算し、
　前記復号装置は、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算する、情報照合システム。
　登録情報秘匿化装置と登録補助装置をさらに含み、
　前記登録情報秘匿化装置は前記登録情報を取得し、前記登録情報を秘匿化した秘匿登録情報を生成し、
　前記登録補助装置は、前記共通鍵と前記登録情報を識別可能である識別子とから第３の個別鍵を生成すると共に、前記共通鍵と前記第３の個別鍵を用いて前記登録情報を線形変換した記憶情報を秘匿化した値である秘匿記憶情報を生成し、
　前記記憶情報生成装置は、前記秘匿記憶情報の秘匿化を解除することにより前記記憶情報を生成する、請求項１に記載の情報照合システム。
　前記第１の個別鍵、第２の個別鍵及び第３の個別鍵は、前記共通鍵と、前記登録情報を識別可能である識別子とを含む値を入力して計算されたハッシュ値であり、前記ハッシュ値を用いて前記記憶情報及び前記類似度は計算される、請求項１又は２に記載の情報照合システム。
　前記照合情報秘匿化装置は、前記照合情報を、準同型性を有する暗号方式によって暗号化することにより前記秘匿照合情報を算出し、
　前記復号装置は、前記準同型性を有する暗号方式によって前記秘匿類似度を復号することにより前記類似度を算出する、請求項１乃至３のいずれか一項に記載の情報照合システム。
　前記登録情報秘匿化装置は、前記登録情報を、準同型性を有する暗号方式によって暗号化することにより前記秘匿登録情報を算出し、
　前記記憶情報生成装置は、前記準同型性を有する暗号方式によって前記秘匿記憶情報を復号することにより前記記憶情報を算出する、請求項２に記載の情報照合システム。
　共通鍵生成装置と、記憶情報生成装置と、照合情報秘匿化装置と、秘匿類似度計算装置と、復号装置と、を含む情報照合システムにおいて、
　前記共通鍵生成装置が共通鍵を生成するステップと、
　前記記憶情報生成装置が、登録情報と前記登録情報を識別可能である識別子を取得し、前記共通鍵と前記識別子とから第１の個別鍵を生成すると共に、前記共通鍵と前記第１の個別鍵を用いて前記登録情報を線形変換した記憶情報を生成するステップと、
　前記照合情報秘匿化装置が、照合情報を取得し、暗号化鍵を用いて前記照合情報を秘匿した秘匿照合情報を生成するステップと、
　前記秘匿類似度計算装置が、前記記憶情報と前記秘匿照合情報から秘匿類似度を計算するステップと、
　前記復号装置が、前記共通鍵と前記識別子とから第２の個別鍵を生成すると共に、前記秘匿類似度と、前記暗号化鍵に対応する復号鍵と、前記共通鍵と、前記第２の個別鍵と、から前記登録情報と前記照合情報の類似度を計算するステップと、を含む情報照合方法。