WO2022259515A1

WO2022259515A1 - 暗号化タグ生成装置、秘匿検索システム、暗号化タグ生成方法及び暗号化タグ生成プログラム

Info

Publication number: WO2022259515A1
Application number: PCT/JP2021/022276
Authority: WO
Inventors: 豊川合
Original assignee: 三菱電機株式会社
Priority date: 2021-06-11
Filing date: 2021-06-11
Publication date: 2022-12-15
Also published as: JP7378675B2; CN117413489A; US20240045984A1; DE112021007462T5; JPWO2022259515A1

Abstract

論理式取得部（５０２）は、秘匿検索が許可される条件を複数の属性値と論理演算子との論理構成により表す論理式を取得する。暗号化タグ生成部（５０４）は、論理構成が反映される秘密分散値を複数の属性値の各々に設定し、複数の属性値に設定された複数の秘密分散値を用いて、秘匿検索に用いられる暗号化タグを生成する。

Description

暗号化タグ生成装置、秘匿検索システム、暗号化タグ生成方法及び暗号化タグ生成プログラム

　本開示は、秘匿検索技術に関する。
　秘匿検索技術では、暗号化されたキーワードを暗号化されたまま用いて、暗号化されたデータ（以下、暗号化データともいう）を検索する技術である。

　クラウドサービスが普及し始めている現在において、安価かつ手間なく利用開始可能なクラウドストレージの利用が一般的になりつつある。一方で、機微な情報を含むデータをクラウドで管理する場合は、情報漏洩のリスクを回避するため、データを暗号化し、暗号化データを保管する必要がある。
　秘匿検索は、暗号化データを復号することなく検索できるため、安全性と機能性を両立することが可能である。

　秘匿検索では、２つの暗号化されたキーワードを用いて検索を実現する。
　１つ目は暗号化タグである。暗号化タグは、暗号化データに関連付ける、暗号化されたキーワードである。２つ目はトラップドアである。トラップドアは、検索条件に用いる、暗号化されたキーワードである。

　登録時にクラウドストレージ等のストレージサーバで暗号化データと暗号化タグが相互に関連付けられて登録される。暗号化タグは、暗号化データそのもの又は暗号化データの識別子と関連付けられる。暗号化タグは、暗号化索引としてストレージサーバで保管される。

　秘匿検索では、検索者がトラップドアをストレージサーバに送信する。
　ストレージサーバは、トラップドアを復号することなく、トラップドアに一致する暗号化タグを見つける。そして、ストレージサーバは、暗号化タグと関連付けられている暗号化データを抽出し、抽出した暗号化データを検索者に送信する。
　このようにすることで、秘匿検索では、データ及びキーワードを露出することなくデータ検索が可能である。

　秘匿検索は、共通鍵型秘匿検索と公開鍵型秘匿検索に大別できる。
　公開鍵型秘匿検索では、暗号化タグとトラップドアの生成に異なる鍵を使用する、一方、共通鍵型秘匿検索では、暗号化タグとトラップドアの生成に同一の鍵を使用する。
　また、一般的に共通鍵型秘匿検索は公開鍵型秘匿検索よりも高速に検索可能である。

　本開示に関連する技術として、特許文献１に記載の技術及び非特許文献１に記載の技術がある。
　特許文献１及び非特許文献１では、共通鍵型秘匿検索のアクセス制御方法が記載されている。

国際公開ＷＯ２０１９／１４２２６８号

Ｒ．　Ａ．　Ｐｏｐａ，　Ｎ．　Ｚｅｌｄｏｖｉｃｈ，　"Ｍｕｌｔｉ－Ｋｅｙ　Ｓｅａｒｃｈａｂｌｅ　Ｅｎｃｒｙｐｔｉｏｎ"，　ＩＡＣＲ　Ｃｒｙｐｔｏｌｏｇｙ　ｅＰｒｉｎｔ　Ａｒｃｈｉｖｅ：　Ｒｅｐｏｒｔ　２０１３／５０８

　特許文献１及び非特許文献１に記載の技術では、秘匿検索システムの運用開始前にアクセス制御パターンを決めておき、決めておいたアクセス制御パターンに従ってアクセス制御が行われる。アクセス制御パターンは、秘匿検索が許可される条件を複数の属性値と論理演算子（単に、演算子ともいう）との論理構成により表す論理式である。
　特許文献１及び非特許文献１に記載の技術では、例えば論理和演算子が１つの論理式、論理積演算子が２つの論理式のように、アクセス制御パターンでの論理構成があらかじめ決められている。そして、特許文献１及び非特許文献１に記載の技術では、あらかじめ決められた論理構成に従ったアクセス制御が行われる。
　このように、特許文献１及び非特許文献１に記載の技術では、いったんアクセス制御パターンが決定されると、決定されたアクセス制御パターンとは異なるアクセス制御パターンでアクセス制御を行うことができない。

　このため、特許文献１及び非特許文献１に記載の技術において、新たなアクセス制御パターンでアクセス制御を行う場合は、秘匿検索システムを再構築する必要があり、利便性が著しく低いという課題がある。

　本開示は、このような課題を解決することを主な目的とする。つまり、本開示は、より柔軟なアクセス制御が可能な秘匿検索を実現することを主な目的とする。

　本開示に係る暗号化タグ生成装置は、
　秘匿検索が許可される条件を複数の属性値と論理演算子との論理構成により表す論理式を取得する論理式取得部と、
　前記論理構成が反映される秘密分散値を前記複数の属性値の各々に設定し、前記複数の属性値に設定された複数の秘密分散値を用いて、前記秘匿検索に用いられる暗号化タグを生成する暗号化タグ生成部とを有する。

　本開示では、論理式に表される論理構成が反映される秘密分散値を各属性値に設定し、各属性値に設定された秘密分散値を用いて暗号化タグを生成する。このため、本開示によれば、論理式に表される論理構成を自由に決定することができ、秘匿検索において、より柔軟なアクセス制御を実現することができる。

実施の形態１に係る秘匿検索システムの構成例を示す図。実施の形態１に係るデータフローを示す図。実施の形態１に係るマスター鍵生成装置の機能構成例を示す図。実施の形態１に係るユーザ鍵生成装置の機能構成例を示す図。実施の形態１に係るトラップドア生成装置の機能構成例を示す図。実施の形態１に係る暗号化タグ生成装置の機能構成例を示す図。実施の形態１に係る一致判定装置の機能構成例を示す図。実施の形態１に係るマスター鍵生成装置の処理の流れを示すフローチャート。実施の形態１に係るユーザ鍵生成装置の処理の流れを示すフローチャート。実施の形態１に係るトラップドア生成装置の処理の流れを示すフローチャート。実施の形態１に係る暗号化タグ生成装置の処理の流れを示すフローチャート。実施の形態１に係る一致判定装置の処理の流れを示すフローチャート。実施の形態１に係る暗号化タグ生成装置の処理の詳細を示すフローチャート。実施の形態１に係る暗号化タグ生成装置の処理の詳細を示すフローチャート。実施の形態１に係る暗号化タグ生成装置の処理の詳細を示すフローチャート。実施の形態１に係る秘匿検索システムのハードウェア資源の一例を示す図。

　以下、実施の形態を図を用いて説明する。以下の実施の形態の説明及び図面において、同一の符号を付したものは、同一の部分又は相当する部分を示す。

　実施の形態１．
＊＊＊概要＊＊＊
　本実施の形態では、共通鍵型秘匿検索において、柔軟なアクセス制御を実現する秘匿検索システムを説明する。
　本実施の形態に係る秘匿検索システムでは、秘匿検索が許可されるユーザの条件（以下、検索可能条件という）を複数の属性値（肩書、所属部署等を表す値）と論理演算子（論理和演算子、論理積演算子）との論理構成により表す論理式を用いて暗号化タグが生成される。そして、本実施の形態に係る秘匿検索システムでは、暗号化タグの生成に用いられる論理式の長さ（つまり、論理式に含まれる属性値の個数）に制約を設ける必要がないため、柔軟なアクセス制御が可能である。

　長さに制約のない論理式を可能にするためには、属性値ごとにパラメータを生成する必要がある。従来は、１つのパラメータのみであるため、１つのパラメータに何個の属性値を含ませるか、つまり、１つのパラメータでどれ程度の長さの論理式を生成するかを事前に決める必要があった。本実施の形態に係る秘匿検索システムでは、属性値ごとにパラメータを生成するため、論理式に含ませる属性値の数の上限を不要にする。このように、属性値ごとにパラメータを生成する場合に、暗号化タグに、論理式の論理構成を正確に反映させる必要がある。

　例えば、論理式「Ａ　ＡＮＤ　Ｂ」と論理式「Ａ　ＯＲ　Ｂ」には、同じ２つの属性値（ＡとＢ）が含まれる。この場合に、２つの論理式に表される論理構成が区別されるようにして暗号化タグを生成する必要がある。つまり、各論理式に含まれる論理演算子が、論理積演算子（ＡＮＤ）であるのか論理和演算子（ＯＲ）であるのかを区別できるようにして暗号化タグを生成する必要がある。
　本実施の形態では、論理式の論理構成が反映される秘密分散値を各属性値に設定し、各属性値に設定された秘密分散値を用いて暗号化タグを生成する。つまり、論理式に論理積演算子（ＡＮＤ）が含まれている場合は、論理積演算子（ＡＮＤ）で接続される属性値（論理積属性値）の各々に、論理積属性値の各々が論理積演算子（ＡＮＤ）で接続されていることが反映される秘密分散値を設定する。また、論理式に論理和演算子（ＯＲ）が含まれている場合に、論理和演算子（ＯＲ）で接続される属性値（論理和属性値）の各々に、論理和属性値の各々が論理和演算子（ＯＲ）で接続されていることが反映される秘密分散値を設定する。
　具体的には、前述の論理式「Ａ　ＡＮＤ　Ｂ」の場合は、ｓ＝ｓ１＋ｓ２となる秘密分散値ｓ１を属性値Ａに設定し、秘密分散値ｓ２を属性値Ｂに設定する。また、論理式「Ａ　ＯＲ　Ｂ」の場合は、秘密分散値ｓを属性値Ａ及び属性値Ｂの双方に設定する。

　このように、本実施の形態に係る秘匿検索システムでは、論理式に表される論理構成を自由に決定することができ、従来よりも柔軟なアクセス制御を実現することができる。

＊＊＊機能構成の説明＊＊＊
　図１は、本実施の形態に係る秘匿検索システム１００の構成例を示す。

　図１に示すように、秘匿検索システム１００は、マスター鍵生成装置２００と、複数のユーザ鍵生成装置３００と、複数のトラップドア生成装置４００と、複数の暗号化タグ生成装置５００と、一致判定装置６００とを備える。

　マスター鍵生成装置２００と、複数のユーザ鍵生成装置３００と、複数のトラップドア生成装置４００と、複数の暗号化タグ生成装置５００と、一致判定装置６００とは、ネットワーク１０１で相互に接続されている。
　ネットワーク１０１は、例えばインターネットである。
　ネットワーク１０１として、インターネット以外のネットワークが用いられてもよい。例えば、ネットワーク１０１として、ＬＡＮ（Ｌｏｃａｌ・Ａｒｅａ・Ｎｅｔｗｏｒｋ）が用いられてもよい。ネットワーク１０１としてＬＡＮが用いられる場合は、マスター鍵生成装置２００と、複数のユーザ鍵生成装置３００と、複数のトラップドア生成装置４００と、複数の暗号化タグ生成装置５００と、一致判定装置６００とが同じ企業内に設置されていることになる。

　マスター鍵生成装置２００、ユーザ鍵生成装置３００、トラップドア生成装置４００、暗号化タグ生成装置５００及び一致判定装置６００は、それぞれ、コンピュータである。
　マスター鍵生成装置２００、ユーザ鍵生成装置３００、トラップドア生成装置４００、暗号化タグ生成装置５００及び一致判定装置６００は、それぞれ、例えば、ＰＣ（Ｐｅｒｓｏｎａｌ　Ｃｏｍｐｕｔｅｒ）である。一致判定装置６００は、例えば、ストレージサーバである。

　マスター鍵生成装置２００は、ビット長Ｕに合わせてマスター鍵Ｋを生成する。
　そして、マスター鍵生成装置２００は、図２に示すように、ネットワーク１０１を介して、生成したマスター鍵Ｋをユーザ鍵生成装置３００と暗号化タグ生成装置５００とに送信する。

　ユーザ鍵生成装置３００は、図２に示すように、マスター鍵Ｋを受信する。
　また、マスター鍵生成装置２００は、ユーザの属性値の集合である属性値集合Γを取得し、マスター鍵Ｋと属性値集合Γとを用いてユーザ鍵ｓｋΓを生成する。
　そして、ユーザ鍵生成装置３００は、ネットワーク１０１を介して、生成したユーザ鍵ｓｋΓをトラップドア生成装置４００と暗号化タグ生成装置５００に送信する。なお、ユーザ鍵ｓｋΓは、ネットワーク１０１を介さず、郵送等の手段で送付してもよい。

　トラップドア生成装置４００は、図２に示すように、ユーザ鍵ｓｋΓを受信する。
　また、トラップドア生成装置４００は、キーワードＷを取得し、ユーザ鍵ｓｋΓとキーワードＷとを用いて、トラップドアＴを生成する。キーワードＷは、秘匿検索に用いるキーワードである。
　そして、トラップドア生成装置４００は、ネットワーク１０１を介して、生成したトラップドアＴを一致判定装置６００に送信する。

　暗号化タグ生成装置５００は、図２に示すように、マスター鍵Ｋとユーザ鍵ｓｋΓを受信する。
　また、暗号化タグ生成装置５００は、キーワードＷと論理式Ｖを取得し、マスター鍵Ｋとユーザ鍵ｓｋΓとキーワードＷと論理式Ｖとを用いて、暗号化タグＥを生成する。
　論理式Ｖは、前述のように、検索可能条件を複数の属性値と論理演算子との論理構成により表す論理式である。検索可能条件は、秘匿検索が許可されるユーザの属性の条件である。
　暗号化タグ生成装置５００は、ネットワーク１０１を介して、生成した暗号化タグＥを一致判定装置６００に送信する。
　なお、暗号化タグ生成装置５００の動作手順は、暗号化タグ生成方法に相当する。また、暗号化タグ生成装置５００の動作を実現するプログラムは、暗号化タグ生成プログラムに相当する。

　一致判定装置６００は、図２に示すように、トラップドアＴと暗号化タグＥとを受信する。
　そして、一致判定装置６００は、トラップドアＴに含まれているキーワードＷと暗号化タグＥに含まれているキーワードＷとが一致するか否かを判定する。
　そして、一致判定装置６００は、ネットワーク１０１を介して、判定結果をトラップドア生成装置４００に送信する。

　図３は、本実施の形態に係るマスター鍵生成装置２００の機能構成例を示す。

　図３に示すように、マスター鍵生成装置２００は、ビット長取得部２０１と、鍵生成部２０２と、送信部２０３と、乱数値生成部２０４とを備える。
　なお、図示していないが、マスター鍵生成装置２００は、図３に示す各要素で用いられるデータを記憶するための記憶媒体を備える。

　ビット長取得部２０１は、秘匿検索システム１００で用いられる鍵のビット長Ｕを取得する。

　鍵生成部２０２は、秘匿検索システム１００で行われる演算の基本となる、ビット長Ｕに適合するマスター鍵Ｋを共通鍵方式にて生成する。
　鍵生成部２０２は、乱数値生成部２０４により生成された乱数値を用いてマスター鍵Ｋを生成する。

　乱数値生成部２０４は、マスター鍵Ｋの生成に用いられる乱数値を生成する。

　送信部２０３は、鍵生成部２０２で生成されたマスター鍵Ｋを、ユーザ鍵生成装置３００と暗号化タグ生成装置５００に送信する。

　図４は、本実施の形態に係るユーザ鍵生成装置３００の機能構成例を示す。

　図４に示すように、ユーザ鍵生成装置３００は、鍵受信部３０１と、属性値集合取得部３０２と、ユーザ鍵生成部３０３と、送信部３０４と、乱数値生成部３０５とを備える。
　なお、図示していないが、ユーザ鍵生成装置３００は、図４に示す各要素で用いられるデータを記憶するための記憶媒体を備える。

　鍵受信部３０１は、マスター鍵生成装置２００からマスター鍵Ｋを受信する。

　属性値集合取得部３０２は、ユーザ鍵に設定するユーザの属性値の集合である属性値集合Γを取得する。

　ユーザ鍵生成部３０３は、マスター鍵Ｋと属性値集合Γと乱数値生成部３０５により生成された乱数値とを用いてユーザ鍵ｓｋΓする。

　乱数値生成部３０５は、ユーザ鍵ｓｋΓの生成に用いられる乱数値を生成する。

　送信部３０４は、ユーザ鍵生成部３０３で生成されたユーザ鍵ｓｋΓを、トラップドア生成装置４００と暗号化タグ生成装置５００に送信する。

　図５は、本実施の形態に係るトラップドア生成装置４００の機能構成例を示す。

　図５に示すように、トラップドア生成装置４００は、鍵受信部４０１と、キーワード取得部４０２と、トラップドア生成部４０３と、送信部４０４と、乱数値生成部４０５とを備える。
　図示していないが、トラップドア生成装置４００は、図５に示す各要素で用いられるデータを記憶するための記録媒体を備える。

　鍵受信部４０１は、ユーザ鍵生成装置３００からユーザ鍵ｓｋΓを受信する。

　キーワード取得部４０２は、キーワードＷを取得する。

　トラップドア生成部４０３は、ユーザ鍵ｓｋΓとキーワードＷと乱数値生成部４０５により生成された乱数値とを用いてトラップドアＴを生成する。
　なお、トラップドア生成部４０３は、複数のトラップドアＴで共通する乱数値（共通乱数値）を用いてトラップドアＴを生成する。

　乱数値生成部４０５は、トラップドアＴの生成に用いられる乱数値を生成する。

　送信部４０４は、トラップドア生成部４０３で生成されたトラップドアＴを、一致判定装置６００に送信する。

　図６は、本実施の形態に係る暗号化タグ生成装置５００の機能構成例を示す。

　図６に示すように、暗号化タグ生成装置５００は、鍵受信部５０１と、論理式取得部５０２と、キーワード取得部５０３と、暗号化タグ生成部５０４と、送信部５０５と、乱数値生成部５０６と、乱数値保持部５０７とを備える。
　なお、図示していないが、暗号化タグ生成装置５００は、乱数値生成部５０６及び乱数値保持部５０７を除く図６に示す各要素で用いられるデータを記憶するための記録媒体を備える。なお、後述するように、乱数値生成部５０６で生成される乱数値が保持乱数値として保持される。保持乱数値は秘密分散値に用いられる。乱数値が保持乱数値として保持されることをより明確にするために、図６では、乱数値を保持する乱数値保持部５０７を特に図示している。

　鍵受信部５０１は、マスター鍵Ｋとユーザ鍵ｓｋΓとを受信する。

　論理式取得部５０２は、検索可能条件Ｌが表される論理式Ｖを取得する。
　なお、論理式取得部５０２により行われる処理は、論理式取得処理に相当する。

　キーワード取得部５０３は、キーワードＷを取得する。

　暗号化タグ生成部５０４は、マスター鍵Ｋと、ユーザ鍵ｓｋΓと、論理式Ｖと、キーワードＷと、乱数値生成部５０６により生成された乱数値と、乱数値保持部５０７により保持されている保持乱数値とを用いて暗号化タグＥを生成する。
　なお、暗号化タグ生成部５０４により行われる処理は、暗号化タグ生成処理に相当する。

　乱数値生成部５０６は、暗号化タグＥの生成に用いられる乱数値を生成する。

　乱数値保持部５０７は、乱数値生成部５０６により生成された乱数値を保持する。
　乱数値保持部５０７は、乱数値生成部５０６により新たな乱数値が生成され、暗号化タグ生成部５０４により更なる新たな乱数値が生成された場合に、新たな乱数値及び／又は新たな乱数値で保持乱数値を更新する。

　送信部５０５は、暗号化タグ生成部５０４により生成された暗号化タグＥを一致判定装置６００に送信する。

　図７は、本実施の形態に係る一致判定装置６００の機能構成例を示す。

　図７に示すように、一致判定装置６００は、暗号化タグ受信部６０１と、トラップドア受信部６０２と、一致判定部６０３と、結果送信部６０４と、乱数値生成部６０５とを備える。
　なお、図示していないが、一致判定装置６００は、図７に示す各要素で用いられるデータを記憶するための記録媒体を備える。

　暗号化タグ受信部６０１は、暗号化タグＥを受信する。

　トラップドア受信部６０２は、トラップドアＴを受信する。

　一致判定部６０３は、一致判定を行う。
　具体的には、一致判定部６０３は、乱数値生成部６０５により生成される乱数値を用いて、暗号化タグＥに含まれるキーワードＷとトラップドアＴに含まれるキーワードＷが一致するか否かを判定する。

　結果送信部６０４は、一致判定部６０３の判定結果をトラップドア生成装置４００に送信する。
　例えば、一致判定部６０３により、暗号化タグＥに含まれるキーワードＷとトラップドアＴに含まれるキーワードＷが一致すると判定された場合は、結果送信部６０４は、判定結果として「０」を送信する。一方、不一致と判定された場合は、結果送信部６０４は、判定結果として「１」を送信する。なお、結果送信部６０４は、判定結果として、他の数値、文字、記号を用いてもよい。
　なお、結果送信部６０４は、判定結果の送信に代えて、暗号化タグＥに含まれるキーワードＷとトラップドアＴに含まれるキーワードＷが一致する場合に、暗号化タグＥと関連付けられている暗号化データを、例えば、図示していないデータベースから取得してもよい。そして、結果送信部６０４は、取得した暗号化データをトラップドア生成装置４００に送信してもよい。

＊＊＊暗号技術について＊＊＊
　次に、本実施の形態に係る秘匿検索システム１００の動作の前提となる暗号技術を説明する。

　属性ベース暗号は、検索可能条件Ｌを満たす属性値の集合である属性値集合Γから生成されたユーザ鍵を所持するユーザのみが復号できる暗号技術である。属性ベース暗号は、例えば、以下に示すアルゴリズムで構成される。

　セットアップＡＢＥＳＥＴＵＰ
　取得されたビット長に対応したマスター鍵Ｋと公開鍵ｐｋとを生成する。

　ユーザ鍵生成ＡＢＥＫＥＹＧＥＮ
　マスター鍵Ｋと属性値集合Γを用いて、属性値集合Γに該当するユーザ鍵ｓｋΓを生成する。

　暗号化ＡＢＥＥＮＣ
　公開鍵ｐｋと検索可能条件Ｌとを用いて、共通鍵暗号用の鍵ＫＫを生成し、鍵ＫＫを用いて暗号文Ｐを生成する。

　復号ＡＢＥＤＥＣ
　ユーザ鍵ｓｋΓと暗号文Ｐを用いて、属性値集合Γと暗号文Ｐを生成した際に用いられた検索可能条件Ｌが一致するか否かを判定する。属性値集合Γと検索可能条件Ｌが一致する場合に、暗号文Ｐの暗号化に用いられた鍵ＫＫが出力される。

　共通鍵暗号技術では、マスター鍵Ｋを用いて平文Ｍを暗号化する。また、共通鍵暗号技術では、マスター鍵Ｋを用いて暗号文Ｃを復号して平文Ｍを得る。
　マスター鍵Ｋはランダムな値である。共通鍵暗号技術は、例えば、以下のアルゴリズムで構成される。

　暗号化ＳＫＥＥＮＣ
　マスター鍵Ｋを用いて平文Ｍを暗号化し、暗号文Ｃを出力する。
　復号ＳＫＥＤＥＣ
　マスター鍵Ｋを用いて暗号文Ｃを復号し、平文Ｍを出力する。

　実施の形態では、共通鍵暗号技術の中でもブロック暗号を用いたカウンターモード暗号化技術を用いる。以下では、ブロック暗号を用いたカウンターモード暗号化技術での暗号化処理をＳＣＴＲＥＮＣと表記し、復号処理をＳＣＴＲＤＥＣと表記する。
　カウンターモードには、補助情報（カウンター値）が存在する。以下では、補助情報（カウンター値）は、ａｕｘＣと表記する。

　ブロック暗号を用いたカウンターモード暗号化技術では、以下にて暗号化が行われる。
　Ｃ＝ＳＣＴＲＥＮＣ（Ｋ、ａｕｘＣ）＋Ｍ
　Ｃは暗号文である。Ｍは平文である。Ｋはマスター鍵である。また、「＋」は排他的論理和を示す。

　また、ブロック暗号を用いたカウンターモード暗号化技術では、以下にて復号が行われる。
　Ｍ＝ＳＣＴＲＥＮＣ（Ｋ、ａｕｘＣ）＋Ｃ

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係る秘匿検索システム１００の動作例を説明する。

　図８は、本実施の形態に係るマスター鍵生成装置２００の動作例を示す。

　先ず、ステップＳ２０１において、ビット長取得部２０１が鍵のビット長Ｕを取得する。

　次に、ステップＳ２０２において、乱数値生成部２０４が、Ｍビットの乱数値を生成し、鍵生成部２０２が乱数値を用いてマスター鍵Ｋを生成する。鍵生成部２０２は、Ｍビットの乱数値をそのままマスター鍵Ｋにしてもよい。

　最後に、ステップＳ２０３において、送信部２０３が、マスター鍵Ｋをユーザ鍵生成装置３００と暗号化タグ生成装置５００に送信する。

　図９は、本実施の形態に係るユーザ鍵生成装置３００の動作例を示す。

　最初に、ステップＳ３０１において、鍵受信部３０１が、マスター鍵Ｋを受信する。

　次に、ステップＳ３０２において、属性値集合取得部３０２が属性値集合Γを取得する。

　次に、ステップＳ３０３において、ユーザ鍵生成部３０３が、ユーザ鍵ｓｋΓを生成する。
　具体的には、ユーザ鍵生成部３０３は、以下にて、ユーザ鍵ｓｋΓを生成する。
　なお、Γ＝｛Ｑｉ｝（ｉ＝１，．．，ｎ）とする。Ｑｉは属性値集合Γに含まれる属性である。また、以下にて、Ｈはハッシュ演算を意味する。
　　　　ｓｋｉ＝Ｈ（Ｋ，Ｑｉ）（ｉ＝１，…ｎ）
　　　　ｓｋΓ＝（ｓｋ１，．．ｓｋｎ）

　最後に、ステップＳ３０４において、送信部３０４が、ユーザ鍵ｓｋΓをトラップドア生成装置４００と暗号化タグ生成装置５００に送信する。

　図１０は、本実施の形態に係るトラップドア生成装置４００の動作例を示す。

　先ず、ステップＳ４０１において、鍵受信部４０１が、ユーザ鍵ｓｋΓを受信する。

　次に、ステップＳ４０２において、キーワード取得部４０２が、キーワードＷを取得する。

　次に、ステップＳ４０３において、トラップドア生成部４０３が、トラップドアＴを生成する。
　具体的には、トラップドア生成部４０３は、以下にて、トラップドアＴを生成する。なお、以下にてｒは乱数値を意味する。乱数値は乱数値生成部４０５により生成される。
　　　　　Ｔ０＝Ｈ（Ｋ，Ｗ）＋ｒ
　　　　　（ｉ＝１，…，ｎ）に対して、
　　　　　Ｔｉ１＝Ｈ（ｓｋｉ、ｗ）、Ｔｉ２＝Ｈ（Ｔｉ１、ｒ）
　　　　　Ｔ＝（Γ、Ｔ０、（Ｔ１１、Ｔ１２），．．．，（Ｔｎ１、Ｔｎ２））

　最後に、ステップ４０４において、送信部４０４が、トラップドアＴを一致判定装置６００に送信する。

　図１１は、本実施の形態に係る暗号化タグ生成装置５００の動作例を示す。

　先ず、ステップＳ５０１において、鍵受信部５０１が、マスター鍵Ｋとユーザ鍵ｓｋΓを受信する。

　次に、ステップＳ５０２において、論理式取得部５０２が、検索可能条件Ｌが表される論理式Ｖを取得する。

　次に、ステップＳ５０３において、キーワード取得部５０３が、キーワードＷを取得する。

　次に、ステップＳ５０４において、暗号化タグ生成部５０４が、論理式Ｖから秘密分散値を算出する。
　ステップＳ５０４の詳細は後述する。

　次に、ステップＳ５０５において、暗号化タグ生成部５０４が、ステップＳ５０４で生成した秘密分散値と、マスター鍵Ｋと、ユーザ鍵ｓｋΓと、キーワードＷから、暗号化タグＥを生成する。
　ステップＳ５０５の詳細は後述する。

　最後に、ステップＳ５０６において、送信部５０５が、暗号化タグＥを一致判定装置６００に送信する。

　図１２は、本実施に形態に係る一致判定装置６００の動作例を示す。

　先ず、ステップＳ６０１において、トラップドア受信部６０２が、トラップドアＴを受信する。

　次に、ステップ６０２において、暗号化タグ受信部６０１が、暗号化タグＥを受信する。
　なお、ステップＳ６０１とステップＳ６０２は順序が入れ替わってもよい。また、ステップＳ６０１とステップＳ６０２が並行して行われてもよい。

　次に、ステップ６０３において、一致判定部６０３が、一致判定を行う。
　ステップＳ６０３の詳細は、後述する。

　最後に、ステップＳ６０４において、結果送信部６０４が、判定結果をトラップドア生成装置４００に送信する。
　前述したように、例えば、一致判定部６０３により、暗号化タグＥに含まれるキーワードＷとトラップドアＴに含まれるキーワードＷが一致すると判定された場合は、結果送信部６０４は、判定結果として「０」を送信する。一方、不一致と判定された場合は、結果送信部６０４は、判定結果として「１」を送信する。

　次に、図１１のステップＳ５０４の詳細を説明する。

　ステップＳ５０４では、暗号化タグ生成部５０４は、論理式Ｖに表される論理構成が反映される秘密分散値を複数の属性値の各々に設定する。ここで、「秘密分散値を複数の属性値の各々に設定する」とは、各属性値に秘密分散値を対応付けることである。
　また、「論理構成が反映される秘密分散値」の詳細を以下にて説明する。
　論理式Ｖには、複数の属性値と論理演算子とが含まれる。
　論理演算子は、論理和演算子（ＯＲ）又は論理積演算子（ＡＮＤ）である。以下では、論理和演算子（ＯＲ）を論理和（ＯＲ）又はＯＲと表記し、論理積演算子（ＡＮＤ）を論理積（ＡＮＤ）又はＡＮＤと表記する。
　暗号化タグ生成部５０４は、論理式Ｖに論理和（ＯＲ）が含まれている場合に、論理和（ＯＲ）で接続される２以上の属性値である２以上の論理和属性値の各々に、２以上の論理和属性値の各々が論理和（ＯＲ）で接続されていることが反映される秘密分散値を設定する。より具体的には、暗号化タグ生成部５０４は、２以上の論理和属性値の各々に秘密分散値として保持乱数値を設定する。保持乱数値は、乱数値保持部５０７が保持する乱数値である。
　また、論理式Ｖに論理積演算子（ＡＮＤ）が含まれている場合に、暗号化タグ生成部５０４は、論理積演算子（ＡＮＤ）で接続される２以上の属性値である２以上の論理積属性値の各々に、２以上の論理積属性値の各々が論理積演算子（ＡＮＤ）で接続されていることが反映される秘密分散値を設定する。より具体的には、暗号化タグ生成部５０４は、乱数値生成部５０６に新たな乱数値を生成させ、新たな乱数値と保持乱数値を用いた演算を行って更なる新たな乱数値を生成する。そして、暗号化タグ生成部５０４は、２以上の論理積属性値の各々に秘密分散値として新たな乱数値及び更なる新たな乱数値のいずれかを設定する。

　以下にて、図１１のステップＳ５０４の詳細をフローチャートを用いて説明する。
　図１３、図１４及び図１５は、ステップＳ５０４の詳細を示すフローチャートである。
　なお、以下では、乱数値保持部５０７は、保持乱数値Ｘｎ及びＹｎを保持する。なお、ｎ＝１、２…である。
　また、暗号化タグ生成部５０４は、論理式Ｖをポーランド記法で変換し、変換後の論理式Ｖを先頭から走査する。

　先ず、ステップＳ５４０１において、暗号化タグ生成部５０４は、初期乱数値Ｓ０と０を保持乱数値Ｘｎ、Ｙｎに代入する（Ｘｎ←Ｓ０、Ｙｎ←０）。つまり、暗号化タグ生成部５０４は、乱数値保持部５０７に初期乱数値Ｓ０と０を保持乱数値ＸｎとＹｎとして保持させる。
　初期乱数値は、乱数値生成部５０６が最初に生成する乱数値である。

　次に、ステップＳ５４０２において、暗号化タグ生成部５０４が、論理式Ｖに含まれる論理演算子が論理積（ＡＮＤ）であるか、論理和（ＯＲ）であるかを判定する。
　最初の演算子が論理積（ＡＮＤ）である場合は、処理がステップＳ５４０３に進む。一方、最初の演算子が論理和（ＯＲ）である場合は、処理がステップＳ５４１８（図１５）に進む。

　ステップＳ５４０３では、暗号化タグ生成部５０４は、乱数値生成部５０６に新たな乱数値Ｚｊを生成させる。ここで、ｊ＝１、２…である。

　次に、ステップＳ５４０４において、暗号化タグ生成部５０４は、現在着目している論理積（ＡＮＤ）が最初のＡＮＤであるか否かを判定する。
　現在着目している論理積（ＡＮＤ）が最初のＡＮＤである場合は、処理がステップＳ５４０５に進む。
　一方、現在着目している論理積（ＡＮＤ）が最初のＡＮＤでない場合は、処理がステップＳ５４１６に進む。

　ステップＳ５４０５では、暗号化タグ生成部５０４は、乱数値生成部５０６から新たな乱数値Ｚｊを取得し、現在の保持乱数値Ｘｎを新たな乱数値Ｚｊで除算して、更なる新たな乱数値（Ｘｎ／Ｚｊ）を得る。

　次に、ステップＳ５４０６において、暗号化タグ生成部５０４は、現在の保持乱数値ＸｎとＹｎを、新たな乱数値Ｚｊと更なる新たな乱数値（Ｘｎ／Ｚｊ）で更新する（Ｘｎ←Ｚｊ、Ｙｎ←（Ｘｎ／Ｚｊ））。
　つまり、暗号化タグ生成部５０４は、乱数値保持部５０７に新たな乱数値Ｚｊと更なる新たな乱数値（Ｘｎ／Ｚｊ）を更新後の保持乱数値Ｘｎ、Ｙｎとして保持させる。

　次に、ステップＳ５４０７において、暗号化タグ生成部５０４は、論理式Ｖにおいて論理積（ＡＮＤ）の次の項が被演算子（属性値）であるか否かを判定する。
　論理積（ＡＮＤ）の次の項が被演算子（属性値）である場合は、処理がステップＳ５４０８に進む。
　論理積（ＡＮＤ）の次の項が被演算子（属性値）でない場合は、次の項は論理演算子であるため、処理がステップＳ５４０２に戻り、暗号化タグ生成部５０４は、当該論理演算子が論理積（ＡＮＤ）であるか、論理和（ＯＲ）であるかを判定する。

　ステップＳ５４０８では、暗号化タグ生成部５０４は、論理積（ＡＮＤ）の次の項である被演算子（属性値）に、保持乱数値Ｘｎを秘密分散値として設定する。ここで設定する保持乱数値Ｘｎは、ステップＳ５４０６又は後述するステップＳ５４１７で更新された乱数値である。

　次に、ステップＳ５４０９において、暗号化タグ生成部５０４は、論理式Ｖに次の項があるか否かを判定する。
　次の項がある場合は、処理がステップＳ５４１０に進む。
　一方、次の項がない場合は、処理が終了する。

　ステップＳ５４１０では、暗号化タグ生成部５０４は、次の項が被演算子（属性値）であるか否かを判定する。
　次の項が被演算子（属性値）である場合は、処理がステップＳ５４１１に進む。
　次の項が被演算子（属性値）でない場合は、次の項は論理演算子であるため、処理がステップＳ５４０２に戻り、暗号化タグ生成部５０４は、当該論理演算子が論理積（ＡＮＤ）であるか、論理和（ＯＲ）であるかを判定する。

　ステップＳ５４１１では、暗号化タグ生成部５０４は、次の項である被演算子（属性値）に、保持乱数値Ｙｎを秘密分散値として設定する。ここで設定する保持乱数値Ｙｎは、ステップＳ５４０６又は後述するステップＳ５４１７で更新された乱数値である。

　次に、図１４のステップＳ５４１２において、暗号化タグ生成部５０４は、論理式Ｖに次の項があるか否かを判定する。
　次の項がある場合は、処理がステップＳ５４１３に進む。
　一方、次の項がない場合は、処理が終了する。

　ステップＳ５４１３では、暗号化タグ生成部５０４は、次の項が被演算子（属性値）であるか否かを判定する。
　次の項が被演算子（属性値）である場合は、処理がステップＳ５４１４に進む。
　次の項が被演算子（属性値）でない場合は、次の項は論理演算子であるため、処理がステップＳ５４０２に戻り、暗号化タグ生成部５０４は、当該論理演算子が論理積（ＡＮＤ）であるか、論理和（ＯＲ）であるかを判定する。

　ステップＳ５４１４では、暗号化タグ生成部５０４は、現在の保持乱数値Ｙｎを現在の保持乱数値Ｘｎで除算して、更なる新たな乱数値（Ｙｎ／Ｘｎ）を得る。なお、（Ｙｎ／Ｘｎ）＝｛Ｘｎ－１／（Ｚｊ＊Ｚｊ）｝である。

　次に、ステップＳ５４１５において、暗号化タグ生成部５０４は、現在の保持乱数値Ｙｎを、更なる新たな乱数値（Ｙｎ／Ｘｎ）で更新する（Ｙｎ←（Ｙｎ／Ｘｎ））。

　次に、処理がステップＳ５４１１に戻り、暗号化タグ生成部５０４は、次の項である被演算子（属性値）に、保持乱数値Ｙｎを秘密分散値として設定する。ここで設定する保持乱数値Ｙｎは、ステップＳ５４１５で更新された乱数値（具体的には（Ｙｎ／Ｘｎ）＝｛Ｘｎ－１／（Ｚｊ＊Ｚｊ）｝）である。
　この後は、ステップＳ５４１２以降の処理が行われる。

　ステップＳ５４０４で着目している論理積（ＡＮＤ）が最初のＡＮＤでない場合（２回目以降のＡＮＤの場合）は、ステップＳ５４１６において、暗号化タグ生成部５０４は、乱数値生成部５０６から新たな乱数値Ｚｊを取得し、現在の保持乱数値Ｙを新たな乱数値Ｚｊで除算して、更なる新たな乱数値（Ｙｎ／Ｚｊ）を得る。

　次に、ステップＳ５４１７において、暗号化タグ生成部５０４は、現在の保持乱数値ＸｎとＹｎを、新たな乱数値Ｚｊと更なる新たな乱数値（Ｙｎ／Ｚｊ）で更新する（Ｘｎ←Ｚｊ、Ｙｎ←（Ｙｎ／Ｚｊ））。
　つまり、暗号化タグ生成部５０４は、乱数値保持部５０７に新たな乱数値Ｚｊと更なる新たな乱数値（Ｙｎ／Ｚｊ）を更新後の保持乱数値Ｘｎ、Ｙｎとして保持させる。
　その後、ステップＳ５４０７以降の処理が行われる。

　ステップＳ５４０２において論理式Ｖに含まれる演算子が論理和（ＯＲ）である場合は、図１５のステップＳ５４１８において、暗号化タグ生成部５０４は、論理和（ＯＲ）の次の項が被演算子（属性値）であるか否かを判定する。
　論理和（ＯＲ）の次の項が被演算子（属性値）である場合は、処理がステップＳ５４１９に進む。
　論理和（ＯＲ）の次の項が被演算子（属性値）でない場合は、次の項は論理演算子であるため、処理がステップＳ５４０２に戻り、暗号化タグ生成部５０４は、当該論理演算子が論理積（ＡＮＤ）であるか、論理和（ＯＲ）であるかを判定する。

　ステップＳ５４１９では、暗号化タグ生成部５０４は、次の項である被演算子（属性値）に、保持乱数値Ｘｎを秘密分散値として設定する。

　次に、ステップＳ５４２０において、暗号化タグ生成部５０４は、論理式Ｖに次の項があるか否かを判定する。
　次の項がある場合は、処理がステップＳ５４１８に戻る。
　一方、次の項がない場合は、処理が終了する。

　図１３、図１４及び図１５の手順を行うことにより、暗号化タグ生成部５０４は、論理式Ｖに含まれる被演算子（属性値）に秘密分散値を設定することができる。

　ここで、図１３、図１４及び図１５に示す手順を、具体例を用いて説明する。
　以下では、例えば、論理式「（Ａ　ＯＲ　Ｂ）ＡＮＤ　（Ｃ　ＡＮＤ　Ｄ）」を用いて説明を行う。この論理式を、ポーランド記法に従って変換すると、「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」となる。２つの「ＡＮＤ」と「ＯＲ」が、それぞれ、論理演算子であり、「Ａ」と「Ｂ」と「Ｃ」と「Ｄ」が、それぞれ、被演算子（属性値）である。

　ステップＳ５４０１により、暗号化タグ生成部５０４は、初期乱数値Ｓ０、０を保持乱数値Ｘ１、Ｙ１に代入する（Ｘ１←Ｓ０、Ｙ１←０）。

　暗号化タグ生成部５０４は、論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」を左から走査する。最初の論理演算子は「ＡＮＤ」であるため（ステップＳ５４０２で「ＡＮＤ」）、処理がステップＳ５４０３に進む。

　ステップＳ５４０３において、暗号化タグ生成部５０４は、乱数値生成部５０６に新たな乱数値Ｚｊの生成を指示する。
　ここでは、新たな乱数値ＺｊとしてＺ１が生成されたものとする。
　また、現在着目している「ＡＮＤ」は最初のＡＮＤであるため（ステップＳ５４０４で「ＹＥＳ」）、処理がステップＳ５４０５に進む。

　ステップＳ５４０５において、暗号化タグ生成部５０４は、乱数値生成部５０６から新たな乱数値Ｚ１を取得し、現在の保持乱数値Ｘ１を新たな乱数値Ｚ１で除算して、更なる新たな乱数値（Ｘ１／Ｚ１）（＝（Ｓ０／Ｚ１））を得る。

　次に、ステップＳ５４０６において、暗号化タグ生成部５０４は、現在の保持乱数値Ｘ１とＹ１を、新たな乱数値Ｚ１と更なる新たな乱数値（Ｘ１／Ｚ１）で更新する（Ｘ２←Ｚ１、Ｙ２←（Ｘ１／Ｚ１）（＝（Ｓ０／Ｚ１））。

　次に、ステップＳ５４０７において、暗号化タグ生成部５０４は、「ＡＮＤ」の次の項が被演算子（属性値）であるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「ＡＮＤ」の次の項は「ＯＲ」であるため、処理がステップＳ５４０２に戻る。

　更に、ステップＳ５４０２の判定の結果、処理が図１５のステップＳ５４１８に進む。

　ステップＳ５４１８では、「ＯＲ」の次の項が被演算子（属性値）であるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「ＯＲ」の次の項は「Ａ」であるため、処理がステップＳ５４１９に進む。

　ステップＳ５４１９では、暗号化タグ生成部５０４は、次の項である被演算子（属性値「Ａ」）に、保持乱数値Ｘ２（＝Ｚ１）を秘密分散値として設定する。

　次に、ステップＳ５４２０において、暗号化タグ生成部５０４は、次の項があるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「Ａ」の次に「Ｂ」があるため、処理がステップＳ５４１８に進む。
　そして、次の項である「Ｂ」は被演算子（属性値）であるため、処理がステップＳ５４１９に進む。
　この結果、ステップＳ５４１９において、暗号化タグ生成部５０４は、次の項である被演算子（属性値「Ｂ」）に、保持乱数値Ｘ２（＝Ｚ１）を秘密分散値として設定する。

　次に、ステップＳ５４２０において、暗号化タグ生成部５０４は、次の項があるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「Ｂ」の次に「ＡＮＤ」があるため、処理がステップＳ５４１８に進む。
　そして、次の項である「ＡＮＤ」は論理演算子であるため、処理が図１３のステップＳ５４０２に進む。

　論理演算子は「ＡＮＤ」であるため（ステップＳ５４０２で「ＡＮＤ」）、処理がステップＳ５４０３に進む。

　ステップＳ５４０３において、暗号化タグ生成部５０４は、乱数値生成部５０６に新たな乱数値Ｚｊの生成を指示する。
　ここでは、新たな乱数値ＺｊとしてＺ２が生成されたものとする。

　次に、現在着目している「ＡＮＤ」は２回目のＡＮＤであるため（ステップＳ５４０４で「ＮＯ」）、処理がステップＳ５４１６に進む。

　ステップＳ５４１６では、暗号化タグ生成部５０４は、乱数値生成部５０６から新たな乱数値Ｚ２を取得し、現在の保持乱数値Ｙ２を新たな乱数値Ｚ２で除算して、更なる新たな乱数値（Ｙ２／Ｚ２）（＝｛Ｓ０／（Ｚ１＊Ｚ２）｝）を得る。

　次に、ステップＳ５４１７において、暗号化タグ生成部５０４は、現在の保持乱数値Ｘ２とＹ２を、新たな乱数値Ｚ２と更なる新たな乱数値（Ｙ２／Ｚ２）で更新する（Ｘ３←Ｚ２、Ｙ３←（Ｙ２／Ｚ２））。

　次に、ステップＳ５４０７において、暗号化タグ生成部５０４は、「ＡＮＤ」の次の項が被演算子（属性値）であるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「ＡＮＤ」の次の項は「Ｃ」であるため、処理がステップＳ５４０８に進む。

　ステップＳ５４０８では、暗号化タグ生成部５０４は、「ＡＮＤ」の次の項である被演算子（属性値「Ｃ」）に、保持乱数値Ｘ３（＝Ｚ２）を秘密分散値として設定する。

　次に、ステップＳ５４０９において、暗号化タグ生成部５０４は、次の項があるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「Ｃ」の次に「Ｄ」があるため、処理がステップＳ５４１０に進む。そして、「Ｄ」は被演算子（属性値）であるため、処理がステップＳ５４１１に進む。

　ステップＳ５４１１では、暗号化タグ生成部５０４は、属性値「Ｄ」に、保持乱数値Ｙ３（＝（Ｙ２／Ｚ２））を秘密分散値として設定する。

　次に、図１４のステップＳ５４１２において、暗号化タグ生成部５０４は、次の項があるか否かを判定する。
　論理式「ＡＮＤ　ＯＲ　Ａ　Ｂ　ＡＮＤ　Ｃ　Ｄ」では、「Ｄ」が最後の項なので、処理が終了する。

　　以上の処理により、「Ａ」にＸ２＝Ｚ１、「Ｂ」にＸ２＝Ｚ１、「Ｃ」にＸ３＝Ｚ２、「Ｄ」に（Ｙ２／Ｚ２）（＝｛Ｓ０／（Ｚ１＊Ｚ２）｝）の秘密分散値が設定される。
　　論理和（ＯＲ）で接続されている「Ａ」と「Ｂ」には、共通する秘密分散値「Ｚ１」が設定される。このため、両者が論理和（ＯＲ）で接続されていることを識別可能である。
　　また、前述したように、本実施の形態では、論理式「Ａ　ＡＮＤ　Ｂ」の場合は、ｓ＝ｓ１＋ｓ２となる秘密分散値ｓ１を属性値Ａに設定し、秘密分散値ｓ２を属性値Ｂに設定することを基本原理とする。この基本原理に沿って、暗号化タグ生成部５０４は、「Ａ」と「Ｂ」に秘密分散値「Ｚ１」を設定し、「Ｃ」に秘密分散値「Ｚ２」を設定し、「Ｄ」に「Ｚ１」と「Ｚ２」との演算により得られる秘密分散値｛Ｓ０／（Ｚ１＊Ｚ２）｝を設定する。このため、「Ａ」と「Ｂ」と「Ｃ」と「Ｄ」が、論理積（ＡＮＤ）で接続されていることを識別可能である。

　次に、図１１のステップＳ５０５の詳細を説明する。
　ステップＳ５０４の処理が行われると、全ての被演算子に秘密分散値が設定される。
　以下では、（Ｓ１，．．．，Ｓｍ）というｍ個の秘密分散値が設定されたとする。

　ステップＳ５０５では、暗号化タグ生成部５０４は、以下を計算する。
　　　　Ｅ０＝Ｈ（Ｋ，Ｗ）＋Ｓ０
　　　　（ｉ＝１，…，ｍ）に対して、
　　　　　Ｅｉ１＝Ｈ（Ｈ（ｓｋｉ、Ｗ），Ｒｉ）＋Ｓｉ、Ｅｉ２＝Ｒｉ
　　　　　Ｅ＝（Ｌ、Ｅ０、（Ｅ１１、Ｅ１２），．．．，（Ｅｍ１、Ｅｍ２））
　なお、Ｓ０は初期乱数値である。また、Ｌは検索可能条件である。Ｒｉは乱数値である。

　次に、図１２のステップＳ６０３の詳細を説明する。

　先ず、一致判定部６０３は、検索可能条件Ｌと属性値集合Γとを比較する。
　そして、一致判定部６０３は、属性値集合Γの要素に含まれる属性Ｑｉのうち、検索可能条件Ｌを満たす最低限の属性を抽出する。ここでは、一致判定部６０３は、検索可能条件Ｌを満たす最低限の属性を（ＱＱ１，．．．，ＱＱｕ）として抽出するものとする。
　例えば、検索可能条件Ｌとして論理式「Ａ　ＯＲ　Ｂ」が与えられている場合、ＱＱ１＝Ａ、ＱＱ２＝Ｂでも、ＱＱ１＝Ａのみでも検索可能条件Ｌを満たす。
　一致判定部６０３は、このよう検索可能条件Ｌを満たす属性の組み合わせのうち、最も属性数が少なくなる属性の組み合わせを「検索可能条件Ｌを満たす最低限の属性」として抽出する。
　また、ここでは、検索可能条件Ｌの検索可能条件を満たす最低限の属性を抽出するための計算式をＦとする。一致判定部６０３は、計算式Ｆを実行することで、検索可能条件Ｌを満たす最低限の属性（ＱＱ１，．．．，ＱＱｕ）を抽出する。

　そして、一致判定部６０３は、以下の計算にて、検索可能条件Ｌを満たす最低限の属性（ＱＱ１，．．．，ＱＱｕ）に対応した暗号化タグＥの成分とトラップドアＴの成分を以下のように抽出する。
　　　　Ｅ０＝Ｈ（Ｋ，Ｗ）＋Ｓ０
　　　　ｉ＝１，…，ｕに対して、
　　　　Ｅｉ１＝Ｈ（Ｈ（ｓｋｉ、Ｗ），Ｒｉ）＋Ｓｉ、Ｅｉ２＝Ｒｉ
　　　　Ｔ０＝Ｈ（Ｋ，Ｗ）＋ｒ
　　　　ｉ＝１，…，ｕに対して、
　　　　Ｔｉ１＝Ｈ（ｓｋｉ、Ｗ）、Ｔｉ２＝Ｈ（Ｔｉ１、ｒ）
　なお、Ｒｉ及びｒは、それぞれ、乱数値である。

　次に、一致判定部６０３は、以下の計算により秘密分散値Ｓｉを算出する。
　　　　ｉ＝１，…，ｕに対して、
　　　　Ｓｉ＝Ｅｉ１＋Ｈ（Ｔｉ１，Ｅｉ２）

　そして、一致判定部６０３は、算出された秘密分散値Ｓｉから、条件を満たすＳ０を計算式Ｆを用いて計算する。
　具体的には、一致判定部６０３は、以下のように計算を行う。
　　　　ｒ＝Ｈ（Ｅ０＋Ｓ０）＋Ｔ０
　上記の「条件」とは、例えば、論理式「Ａ　ＡＮＤ　Ｂ」の場合は、２つの属性値の論理積（乗算）である。この例の場合は、暗号化タグ生成部５０４により「Ａ」に秘密分散値Ｚ１が、「Ｂ」に秘密分散値（Ｓ０／Ｚ１）が設定されているはずである。このため、一致判定部６０３が、計算式Ｆ（この例の場合は乗算）を実行すると、初期乱数値Ｓ０が復元される。
　計算式Ｆと条件の対応について、論理式の演算子が「ＯＲ」であれば計算式Ｆは加算であり、論理式の演算子が「ＡＮＤ」であれば計算式Ｆは乗算となる。

　次に、一致判定部６０３は、（ｉ＝１，…，ｎ）に対して、Ｔｉ２＝Ｈ（Ｔｉ１、ｒ）が成立するか否かを判定する。
　（ｉ＝１，…，ｎ）の全てに対して、Ｔｉ２＝Ｈ（Ｔｉ１、ｒ）が成立すれば、一致判定部６０３は、キーワードＷが一致していると判定する。一方、（ｉ＝１，…，ｎ）のうちの１つでもＴｉ２＝Ｈ（Ｔｉ１、ｒ）が成立しなければ、一致判定部６０３は、キーワードＷが一致していないと判定する。

＊＊＊実施の形態の効果の説明＊＊＊
　以上、本実施の形態に係る秘匿検索システムでは、暗号化タグの生成に用いられる論理式の長さ（つまり、論理式に含まれる属性値の個数）に制約を設ける必要がないため、より柔軟なアクセス制御が可能な秘匿検索を実現することができる。

　なお、本実施の形態で説明した手順の一部のみを実施しても構わない。
　また、本実施の形態で説明した手順の少なくとも一部と、本実施の形態で説明していない手順とを組み合わせて実施しても構わない。
　また、本実施の形態に記載された構成及び手順を必要に応じて変更してもよい。

＊＊＊ハードウェア構成の説明＊＊＊
　最後に、マスター鍵生成装置２００、ユーザ鍵生成装置３００、トラップドア生成装置４００、暗号化タグ生成装置５００及び一致判定装置６００のハードウェア構成例を説明する。
　図１６は、マスター鍵生成装置２００と、ユーザ鍵生成装置３００と、トラップドア生成装置４００と、暗号化タグ生成装置５００と、一致判定装置６００のハードウェア構成例を示す。

　図１６において、マスター鍵生成装置２００と、ユーザ鍵生成装置３００と、トラップドア生成装置４００と、暗号化タグ生成装置５００と、一致判定装置６００は、それぞれ、プロセッサ１１０１を備える。
　プロセッサ１１０１は、例えばＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　プロセッサ１１０１は、バス１１０２を介して複数のハードウェアデバイスと接続される。プロセッサ１１０１は、例えば、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）１１０３、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）１１０４と接続される。また、プロセッサ１１０１は、通信ボード１１０５、ディスプレイ１１１１（表示装置）、キーボード１１１２、マウス１１１３と接続されていてもよい。また、プロセッサ１１０１は、ドライブ１１１４、磁気ディスク装置１１２０と接続されていてもよい。
　プロセッサ１１０１は、これらのハードウェアデバイスを制御する。

　ドライブ１１１４は、ＦＤ（Ｆｌｅｘｉｂｌｅ　Ｄｉｓｋ　Ｄｒｉｖｅ）、ＣＤ（Ｃｏｍｐａｃｔ　Ｄｉｓｃ）、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｃ）等の記憶媒体を読み書きする装置である。

　ＲＯＭ１１０３、ＲＡＭ１１０４、磁気ディスク装置１１２０及びドライブ１１１４は記憶装置の一例である。
　キーボード１１１２、マウス１１１３及び通信ボード１１０５は入力装置の一例である。
　ディスプレイ１１１１及び通信ボード１１０５は出力装置の一例である。
　通信ボード１１０５は、有線又は無線で、ＬＡＮ（Ｌｏｃａｌ　Ａｒｅａ　Ｎｅｔｗｏｒｋ）、インターネット、電話回線等の通信網に接続している。

　磁気ディスク装置１１２０には、ＯＳ（Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）１１２１、プログラム１１２２、ファイル１１２３が記憶されている。

　プログラム１１２２には、本実施の形態において「～部」として説明する機能を実行するプログラムが含まれる。プログラム（例えば、暗号化タグ生成プログラム、一致判定プログラム）は、プロセッサ１１０１により読み出され実行される。すなわち、プログラムは、「～部」としてコンピュータを機能させるものであり、また「～部」の手順及び方法をコンピュータに実行させるものである。

　ファイル１１２３には、本実施の形態において説明する「～部」で使用される各種データ（入力、出力、判定結果、計算結果、処理結果等）が含まれる。

　本本実施の形態において構成図及びフローチャートに含まれている矢印は主としてデータ又は信号の入出力を示す。
　フローチャート等に基づいて説明する本実施の形態の処理はプロセッサ１１０１、記憶装置、入力装置、出力装置等のハードウェアを用いて実行される。

　本実施の形態において「～部」として説明するものは「～回路」又は「～装置」又は「～機器」であってもよく、また「～ステップ」又は「～手順」又は「～処理」又は「サーキットリー」であってもよい。すなわち、「～部」として説明するものは、ファームウェア、ソフトウェア、ハードウェア又はこれらの組み合わせのいずれで実装されても構わない。

　また、マスター鍵生成装置２００と、ユーザ鍵生成装置３００と、トラップドア生成装置４００と、暗号化タグ生成装置５００と、一致判定装置６００は、それぞれ、処理回路により実現されてもよい。
　処理回路は、例えば、ロジックＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）である。
　この場合は、「～部」として説明するものは、それぞれ処理回路の一部として実現される。
　なお、本明細書では、プロセッサと処理回路との上位概念を、「プロセッシングサーキットリー」という。
　つまり、プロセッサと処理回路とは、それぞれ「プロセッシングサーキットリー」の具体例である。

　１００　秘匿検索システム、１０１　ネットワーク、２００　マスター鍵生成装置、２０１　ビット長取得部、２０２　鍵生成部、２０３　送信部、２０４　乱数値生成部、３００　ユーザ鍵生成装置、３０１　鍵受信部、３０２　属性値集合取得部、３０３　ユーザ鍵生成部、３０４　送信部、３０５　乱数値生成部、４００　トラップドア生成装置、４０１　鍵受信部、４０２　キーワード取得部、４０３　トラップドア生成部、４０４　送信部、４０５　乱数値生成部、５００　暗号化タグ生成装置、５０１　鍵受信部、５０２　論理式取得部、５０３　キーワード取得部、５０４　暗号化タグ生成部、５０５　送信部、５０６　乱数値生成部、５０７　乱数値保持部、６００　一致判定装置、６０１　暗号化タグ受信部、６０２　トラップドア受信部、６０３　一致判定部、６０４　結果送信部、６０５　乱数値生成部、１１０１　プロセッサ、１１０２　バス、１１０３　ＲＯＭ、１１０４　ＲＡＭ、１１０５　通信ボード、１１１１　ディスプレイ、１１１２　キーボード、１１１３　マウス、１１１４　ドライブ、１１２０　磁気ディスク装置、１１２１　ＯＳ、１１２２　プログラム、１１２３　ファイル。

Claims

　秘匿検索が許可される条件を複数の属性値と論理演算子との論理構成により表す論理式を取得する論理式取得部と、
　前記論理構成が反映される秘密分散値を前記複数の属性値の各々に設定し、前記複数の属性値に設定された複数の秘密分散値を用いて、前記秘匿検索に用いられる暗号化タグを生成する暗号化タグ生成部とを有する暗号化タグ生成装置。
　前記論理式取得部は、
　前記論理演算子として論理和演算子及び論理積演算子の少なくともいずれかが含まれる論理式を取得し、
　前記暗号化タグ生成部は、
　前記論理式に前記論理和演算子が含まれている場合に、前記論理和演算子で接続される２以上の属性値である２以上の論理和属性値の各々に、前記２以上の論理和属性値の各々が前記論理和演算子で接続されていることが反映される秘密分散値を設定し、
　前記論理式に前記論理積演算子が含まれている場合に、前記論理積演算子で接続される２以上の属性値である２以上の論理積属性値の各々に、前記２以上の論理積属性値の各々が前記論理積演算子で接続されていることが反映される秘密分散値を設定する請求項１に記載の暗号化タグ生成装置。
　前記暗号化タグ生成装置は、更に、
　乱数値を生成する乱数値生成部と、
　前記乱数値生成部により生成された乱数値を保持乱数値として保持する乱数値保持部とを有し、
　前記暗号化タグ生成部は、
　前記論理式に前記論理和演算子が含まれている場合に、前記２以上の論理和属性値の各々に秘密分散値として前記保持乱数値を設定し、
　前記論理式に前記論理積演算子が含まれている場合に、前記乱数値生成部に新たな乱数値を生成させ、前記新たな乱数値と前記保持乱数値を用いた演算を行って更なる新たな乱数値を生成し、前記２以上の論理積属性値の各々に秘密分散値として前記新たな乱数値及び前記更なる新たな乱数値のいずれかを設定する請求項２に記載の暗号化タグ生成装置。
　前記乱数値保持部は、
　前記乱数値生成部により前記新たな乱数値が生成され、前記暗号化タグ生成部により前記更なる新たな乱数値が生成された場合に、前記新たな乱数値及び前記更なる新たな乱数値の少なくともいずれかで前記保持乱数値を更新する請求項３に記載の暗号化タグ生成装置。
　前記暗号化タグ生成部は、
　共通鍵方式によるマスター鍵と、前記マスター鍵から生成されたユーザ鍵と、前記秘匿検索のキーワードと、前記乱数値生成部により最初に生成された乱数値である初期乱数値と、前記複数の秘密分散値とを用いて、複数の暗号化タグを生成する請求項３に記載の暗号化タグ生成装置。
　請求項５に示す暗号化タグ生成装置と、
　複数のトラップドアを、前記複数のトラップドアで共通する乱数値である共通乱数値と、請求項５に示すマスター鍵とユーザ鍵とキーワードとを用いて生成するトラップドア生成装置と、
　請求項５に示す複数の暗号化タグと前記複数のトラップドアとを取得し、前記複数の暗号化タグと前記複数のトラップドアとを用いて請求項５に示す複数の秘密分散値を算出し、算出した前記複数の秘密分散値を用いて請求項５に示す初期乱数値を算出し、算出した前記初期乱数値を用いて前記共通乱数値を算出し、算出した前記共通乱数値を用いて前記複数の暗号化タグの生成に用いられたキーワードと前記複数のトラップドアの生成に用いられたキーワードとが一致するかを判定する一致判定装置とを有する秘匿検索システム。
　コンピュータが、秘匿検索が許可される条件を複数の属性値と論理演算子との論理構成により表す論理式を取得し、
　前記コンピュータが、前記論理構成が反映される秘密分散値を前記複数の属性値の各々に設定し、前記複数の属性値に設定された複数の秘密分散値を用いて、前記秘匿検索に用いられる暗号化タグを生成する暗号化タグ生成方法。
　秘匿検索が許可される条件を複数の属性値と論理演算子との論理構成により表す論理式を取得する論理式取得処理と、
　前記論理構成が反映される秘密分散値を前記複数の属性値の各々に設定し、前記複数の属性値に設定された複数の秘密分散値を用いて、前記秘匿検索に用いられる暗号化タグを生成する暗号化タグ生成処理とをコンピュータに実行させる暗号化タグ生成プログラム。