WO2023112176A1

WO2023112176A1 - 秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラム

Info

Publication number: WO2023112176A1
Application number: PCT/JP2021/046136
Authority: WO
Inventors: 郁海森
Original assignee: 三菱電機株式会社
Priority date: 2021-12-14
Filing date: 2021-12-14
Publication date: 2023-06-22
Also published as: JP7455287B2; JPWO2023112176A1

Abstract

確率的暗号に基づく秘匿検索システムにおいて、登録クライアント装置（２０）は、秘匿検索されるデータ（２０１）と、データ（２０１）に対応するキーワード（２００）とを秘匿検索サーバ装置に登録し、秘匿検索サーバ装置に登録した各キーワード（２００）と、秘匿検索サーバ装置に登録した各キーワード（２００）に対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである開示ビットを開示する。登録クライアント装置（２０）は、秘匿検索サーバ装置に登録するキーワード（２００）である登録キーワードに対応するソルトを決定ソルトとして決定する開示ビット計算部（２４０）を備える。開示ビット計算部（２４０）は、登録クライアント装置（２０）が既に開示している開示ビットと、登録キーワードと決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して決定ソルトを決定する。

Description

秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラム

　本開示は、秘匿検索システム、秘匿検索方法、及び、秘匿検索プログラムに関する。

　クラウドシステムにおいて、顧客管理下にあるクライアントを信用することができるが、第三者であるパブリッククラウドの管理者を完全には信用することができない。そこで、クラウドサーバのデータとその処理過程を保護するために暗号化したまま検索が可能である検索可能暗号技術を用いるが、トラップドアとタグとを網羅的に比較する従来の検索可能暗号技術には処理速度が低速であるという課題がある。
　そこで、確率的暗号に基づく検索可能暗号技術において、キーワードから確定的に求めた値である開示ビットを用いて、タグとトラップドアとの比較空間を削減する高速化法が存在する。当該高速化法において、開示ビットが長いほど比較空間が小さくなるために高速化効果が大きくなる。しかしながら、開示ビットが長いほど開示ビットの頻度分布とキーワードの頻度分布とが近づくため、開示ビットが長いほど頻度分析攻撃に対するリスクが上昇するという課題がある。なお、開示ビットが短い場合において、頻度分析攻撃に対するリスクは小さいものの比較空間があまり小さくならないために高速化効果が小さい。

特許第５４４２１６１号公報

　特許文献１は、確定的暗号に基づく検索可能暗号技術において高速化効果を維持しつつ頻度分析攻撃に対するリスクを小さくするために、キーワードの出現頻度に比例した数の変換キーワードを用意し、変換確率に従って用意した変換キーワードのいずれかにキーワードを置換し、置換した変換キーワードを暗号化した上でサーバ装置に登録する技術を開示している。
　しかしながら、特許文献１が開示する技術によれば、キーワードの出現頻度が事前に必要であるという課題がある。

　本開示は、確率的暗号に基づく検索可能暗号技術において、キーワードの出現頻度を事前に必要とせずに、高速化効果を維持しつつ頻度分析攻撃に対するリスクを小さくすることを目的とする。

　本開示に係る秘匿検索システムは、
　確率的暗号に基づく検索可能暗号技術を採用する秘匿検索システムであって、
　秘匿検索される少なくとも１つのデータと、前記少なくとも１つのデータの各々に対応する少なくとも１つのキーワードとを秘匿検索サーバ装置に登録し、前記秘匿検索サーバ装置に登録した各キーワードと、前記秘匿検索サーバ装置に登録した各キーワードに対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである開示ビットを開示する登録クライアント装置であって、
　前記秘匿検索サーバ装置に登録するキーワードである登録キーワードに対応するソルトを決定ソルトとして決定する開示ビット計算部
を備え、
　前記開示ビット計算部は、前記登録クライアント装置が既に開示している開示ビットと、前記登録キーワードと前記決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して前記決定ソルトを決定する登録クライアント装置
を備える。

　本開示によれば、確率的暗号に基づく検索可能暗号技術を採用する秘匿検索システムは登録クライアント装置を備え、登録クライアント装置は、登録クライアント装置が既に開示している開示ビットと、登録キーワードと決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して決定ソルトを決定する開示ビット計算部を備える。ここで、登録キーワードは秘匿検索サーバ装置に登録するキーワードであり、決定ソルトは登録キーワードに対応するソルトである。従って、本開示によれば、確率的暗号に基づく検索可能暗号技術において、キーワードの出現頻度を事前に必要とせずに、高速化効果を維持しつつ頻度分析攻撃に対するリスクを小さくすることができる。

実施の形態１に係る秘匿検索システム１の構成例を示す図。実施の形態１に係る秘匿検索サーバ装置１０の構成例を示す図。実施の形態１に係る登録クライアント装置２０の構成例を示す図。実施の形態１に係る検索クライアント装置３０の構成例を示す図。実施の形態１に係るソルト表管理装置４０の構成例を示す図。実施の形態１に係る登録クライアント装置２０のハードウェア構成例を示す図。実施の形態１に係る開示ビット計算部２４０の動作を示すフローチャート。実施の形態１に係る登録クライアント装置２０の動作を示すフローチャート。実施の形態１に係る登録クライアント装置２０の動作を示すフローチャート。実施の形態１に係る登録クライアント装置２０の動作を示すフローチャート。実施の形態１に係る開示ビット計算部２４０の処理を説明する図。実施の形態１に係る開示ビット計算部２４０の処理を説明する図。実施の形態１に係る検索クライアント装置３０の動作を示すフローチャート。実施の形態１に係る検索処理を説明する図。実施の形態１の効果を説明する図。実施の形態１の効果を説明する図。実施の形態１の変形例に係る登録クライアント装置２０のハードウェア構成例を示す図。

　実施の形態の説明及び図面において、同じ要素及び対応する要素には同じ符号を付している。同じ符号が付された要素の説明は、適宜に省略又は簡略化する。図中の矢印はデータの流れ又は処理の流れを主に示している。また、「部」を、「回路」、「工程」、「手順」、「処理」又は「サーキットリー」に適宜読み替えてもよい。

　実施の形態１．
　以下、本実施の形態について、図面を参照しながら詳細に説明する。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係る秘匿検索システム１の構成例を示している。秘匿検索システム１は、確率的暗号に基づく検索可能暗号技術を採用し、また、本図に示すように、秘匿検索サーバ装置１０と、登録クライアント装置２０と、検索クライアント装置３０と、ソルト表管理装置４０とを備える。秘匿検索システム１が備える各装置は、ネットワーク５０を介して通信可能に接続されている。秘匿検索システム１が備える各装置は複数存在してもよい。秘匿検索システム１が備える少なくとも２つの装置は、適宜一体的に構成されていてもよい。

　図２は、秘匿検索サーバ装置１０の構成例を示している。秘匿検索サーバ装置１０は、登録データ入力部１１０と、記憶部１２０と、検索データ入力部１３０と、データ検索部１４０と、検索結果出力部１５０とを備える。
　登録データ入力部１１０は、登録データ２１２を受け付け、受け付けた登録データ２１２を登録データテーブル１０１に登録する。
　登録データ２１２は、開示ビットと、暗号化キーワードと、暗号化データとから成るデータである。開示ビットは、外部に開示しているデータである。暗号化キーワードは、暗号化データを検索する際に用いられるデータであって、暗号化されたキーワード２００である。暗号化データは、暗号化されたデータ２０１である。
　登録データテーブル１０１は、開示ビットと、暗号化キーワードと、暗号化データとから成るデータを管理する。登録データテーブル１０１は複数のデータを管理してもよい。
　記憶部１２０は、登録データテーブル１０１を記憶する。
　検索データ入力部１３０は、検索データ３０７を受け付け、受け付けた検索データ３０７をデータ検索部１４０に送る。
　検索データ３０７は、開示ビットと暗号化キーワードとから成るデータであって、登録データテーブル１０１に登録されているデータを検索する際に用いられるデータである。
　データ検索部１４０は、検索データ入力部１３０から検索データ３０７を受け取り、受け取った検索データ３０７に対応するデータを登録データテーブル１０１から検索し、検索した結果を示す検索結果３０９を生成し、生成した検索結果３０９を検索結果出力部１５０に送る。
　検索結果出力部１５０は、データ検索部１４０から検索結果３０９を受け取り、受け取った検索結果３０９を外部に出力する。

　図３は、登録クライアント装置２０の構成例を示している。登録クライアント装置２０は、データ入力部２２０と、記憶部２３０と、開示ビット計算部２４０と、登録データ生成部２５０と、データ登録要求部２６０と、ソルト表登録要求部２７０とを備える。登録クライアント装置２０は、秘匿検索される少なくとも１つのデータ２０１と、少なくとも１つのデータ２０１の各々に対応する少なくとも１つのキーワード２００とを秘匿検索サーバ装置１０に登録する。また、登録クライアント装置２０は開示ビットを開示する。開示ビットは、秘匿検索サーバ装置１０に登録した各キーワード２００と、秘匿検索サーバ装置１０に登録した各キーワード２００に対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである。登録クライアント装置２０は、少なくとも秘匿検索サーバ装置１０に開示ビットを開示する。ここで、データ２０１及びキーワード２００を秘匿検索サーバ装置１０に登録することには、暗号化したデータ２０１及びキーワード２００を秘匿検索サーバ装置１０に登録することが含まれる。また、登録クライアント装置２０が開示ビットを開示することには、秘匿検索サーバ装置１０が開示ビットを開示することが含まれる。
　データ入力部２２０は、データ２０１とキーワード２００とを受け付け、受け付けたデータ２０１とキーワード２００とを記憶部２３０に記録する。
　データ２０１は、秘匿検索サーバ装置１０に登録するデータであり、平文のデータである。
　キーワード２００は、データ２０１を検索するためのキーワードであり、平文のデータである。
　記憶部２３０は、データ２０１と、キーワード２００と、開示ビット用秘密鍵２０４と、開示ビット長２０５と、ソルト表２０６と、頻度分布表２０７と、秘匿検索用暗号鍵２０８とを記憶する。
　開示ビット用秘密鍵２０４は、開示ビットを計算する際に用いられる秘密鍵を示すデータである。
　開示ビット長２０５は、開示ビットのデータサイズを示すデータである。
　ソルト表２０６は、開示ビット２１１を計算する際に用いられるソルトの一覧を示すデータである。ソルト表２０６において、キーワードごとにキーワードに対応するソルトがまとめられていてもよい。なお、ソルト表２０６は秘匿検索サーバ装置１０には開示されない。
　頻度分布表２０７は、開示ビット頻度分布表とも呼ばれ、登録クライアント装置２０が開示した開示ビットの頻度分布を示すデータである。
　秘匿検索用暗号鍵２０８は、データ２０１とキーワード２００とを暗号化する際に用いられる暗号鍵である。
　開示ビット計算部２４０は、頻度分布表２０７を参照し、キーワード２００と、開示ビット用秘密鍵２０４と、ソルト表２０６に示されているソルトとを用いて開示ビット２１１を計算する。また、開示ビット計算部２４０は、秘匿検索サーバ装置１０に登録するキーワード２００である登録キーワードに対応するソルトを決定ソルトとして決定する。この際、開示ビット計算部２４０は、登録クライアント装置２０が既に開示している開示ビットと、登録キーワードと決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して決定ソルトを決定する。開示ビット計算部２４０は、ソルト表管理装置４０の記憶部４２０が登録キーワードに対応するソルトとして管理しているソルトに基づいて決定ソルトを決定してもよい。開示ビット計算部２４０は、ソルト表管理装置４０の記憶部４２０が登録キーワードに対応するソルトとして管理しているソルト以外のソルトを決定ソルトとして決定してもよい。開示ビット計算部２４０は、登録クライアント装置２０が登録するキーワード２００の出現頻度が既知である場合において、既知である出現頻度に基づいて、開示ビット計算部２４０が決定ソルトとして決定するソルトの候補を計算してもよい。登録クライアント装置２０が登録するキーワード２００の出現頻度が既知であることには、登録クライアント装置２０が登録するキーワード２００の出現頻度が推定可能であることが含まれる。
　登録データ生成部２５０は、キーワード２００とデータ２０１と秘匿検索用暗号鍵２０８とを用いて暗号化キーワードと暗号化データとを生成する。また、登録データ生成部２５０は、開示ビット計算部２４０から開示ビット２１１を受け取り、受け取った開示ビット２１１と、生成した暗号化キーワード及び暗号化データとを用いて登録データ２１２を生成し、生成した登録データ２１２をデータ登録要求部２６０に送る。
　データ登録要求部２６０は、登録データ生成部２５０から登録データ２１２を受け取り、受け取った登録データ２１２を秘匿検索サーバ装置１０に送信し、登録データ２１２を登録することを秘匿検索サーバ装置１０に要求する。
　ソルト表登録要求部２７０は、記憶部２３０が記憶しているソルト表２０６をソルト表管理装置４０に出力する。

　図４は、検索クライアント装置３０の構成例を示している。検索クライアント装置３０は、キーワード入力部３１０と、記憶部３２０と、開示ビット計算部３３０と、検索データ生成部３４０と、検索要求部３５０と、検索結果出力部３６０と、ソルト表要求部３７０とを備える。
　キーワード入力部３１０は、キーワード２００を受け付け、受け付けたキーワード２００を記憶部３２０に記憶し、また、受け付けたキーワード２００を開示ビット計算部３３０に送る。
　記憶部３２０は、キーワード２００と、開示ビット用秘密鍵２０４と、開示ビット長２０５と、ソルト表２０６と、秘匿検索用暗号鍵２０８と、秘匿検索用復号鍵２０９とを記憶する。
　秘匿検索用復号鍵２０９は、検索結果３０９を復号する際に用いられる復号鍵を示すデータである。
　開示ビット計算部３３０は、キーワード入力部３１０からキーワード２００を受け取り、受け取ったキーワード２００と、開示ビット用秘密鍵２０４とを用いて開示ビット３０５を計算する。なお、開示ビット計算部３３０は、秘匿検索サーバ装置１０に登録されているデータ２０１を検索する際に、秘匿検索サーバ装置１０に登録されている各キーワード２００に対応するソルトの全てを用いてもよい。この際、メモリの使用量削減を目的として、記憶部３２０は、ソルト表２０６の代わりに、秘匿検索サーバ装置１０に登録されている各キーワード２００に対応するソルトの全てを重複なく記憶していてもよい。
　検索データ生成部３４０は、キーワード２００と秘匿検索用暗号鍵２０８とを用いて暗号化キーワードを生成する。また、検索データ生成部３４０は、開示ビット計算部３３０から開示ビット３０５を受け取り、受け取った開示ビット３０５と、生成した暗号化キーワードとを用いて検索データ３０７を生成し、生成した検索データ３０７を検索要求部３５０に送る。
　検索要求部３５０は、検索データ生成部３４０から検索データ３０７を受け取り、受け取った検索データ３０７を秘匿検索サーバ装置１０に送信し、検索データ３０７に対応するデータを検索することを秘匿検索サーバ装置１０に要求する。また、検索要求部３５０は、送信した検索データ３０７に対応する検索結果３０９を秘匿検索サーバ装置１０から受け取り、受け取った検索結果３０９を検索結果出力部３６０に送る。
　検索結果出力部３６０は、検索要求部３５０から検索結果３０９を受け取り、秘匿検索用復号鍵２０９を用いて受け取った検索結果３０９を復号することによりデータ２０１を生成し、生成したデータ２０１を出力する。
　ソルト表要求部３７０は、ソルト表要求データ３０１をソルト表管理装置４０に送信する。また、ソルト表要求部３７０は、送信したソルト表要求データ３０１に対応するソルト表２０６をソルト表管理装置４０から受け取り、受け取ったソルト表２０６を記憶部３２０に記録する。
　ソルト表要求データ３０１は、ソルト表２０６を要求していることを示すデータである。ソルト表要求データ３０１は、ソルト表管理装置４０が管理しているソルト表２０６に示されているソルトのうちあるキーワードに対応するソルトのみを要求していることを示す情報であってもよく、ソルト表管理装置４０が管理しているソルト表２０６に示されているソルトを重複なく要求していることを示す情報であってもよい。

　図５は、ソルト表管理装置４０の構成例を示している。ソルト表管理装置４０は、ソルト表入力部４１０と、記憶部４２０と、ソルト表出力部４３０とを備える。
　ソルト表入力部４１０は、登録クライアント装置２０からソルト表２０６を受け取り、受け取ったソルト表２０６を記憶部４２０に記録する。ソルト表入力部４１０は、登録クライアント装置２０が登録するキーワード２００の出現頻度が既知である場合において、既知である出現頻度に基づいて、開示ビット計算部２４０が決定ソルトとして決定するソルトの候補を計算してもよい。
　記憶部４２０は、ソルト表２０６を記憶する。また、記憶部４２０は秘匿検索サーバ装置１０に登録されている各キーワード２００に対応するソルトを管理する。
　ソルト表出力部４３０は、検索クライアント装置３０からソルト表要求データ３０１を受け取り、受け取ったソルト表要求データ３０１に対応するソルト表２０６であって、記憶部４２０が記憶しているソルト表２０６を、ソルト表要求データ３０１を送信した検索クライアント装置３０に送信する。

　図６は、本実施の形態に係る登録クライアント装置２０のハードウェア構成例を示している。登録クライアント装置２０は、コンピュータから成る。登録クライアント装置２０は、複数のコンピュータから成ってもよい。

　登録クライアント装置２０は、本図に示すように、プロセッサ９１と、メモリ９２と、補助記憶装置９３と、入出力ＩＦ（Ｉｎｔｅｒｆａｃｅ）９４と、通信装置９５等のハードウェアを備えるコンピュータである。これらのハードウェアは、信号線９９を介して適宜接続されている。

　プロセッサ９１は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）であり、かつ、コンピュータが備えるハードウェアを制御する。プロセッサ９１は、具体例として、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、又はＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。
　登録クライアント装置２０は、プロセッサ９１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ９１の役割を分担する。

　メモリ９２は、典型的には、揮発性の記憶装置である。メモリ９２は、主記憶装置又はメインメモリとも呼ばれる。メモリ９２は、具体例として、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。メモリ９２に記憶されたデータは、必要に応じて補助記憶装置９３に保存される。

　補助記憶装置９３は、典型的には、不揮発性の記憶装置である。補助記憶装置９３は、具体例として、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）、又はフラッシュメモリである。補助記憶装置９３に記憶されたデータは、必要に応じてメモリ９２にロードされる。
　メモリ９２及び補助記憶装置９３は一体的に構成されていてもよい。

　入出力ＩＦ９４は、入力装置及び出力装置が接続されるポートである。入出力ＩＦ９４は、具体例として、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）端子である。入力装置は、具体例として、キーボード及びマウスである。出力装置は、具体例として、ディスプレイである。

　通信装置９５は、レシーバ及びトランスミッタである。通信装置９５は、具体例として、通信チップ又はＮＩＣ（Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄ）である。

　登録クライアント装置２０の各部は、他の装置等と通信する際に、入出力ＩＦ９４及び通信装置９５を適宜用いてもよい。

　補助記憶装置９３は、秘匿検索プログラムを記憶している。秘匿検索プログラムは、登録クライアント装置２０が備える各部の機能をコンピュータに実現させるプログラムである。秘匿検索プログラムは、メモリ９２にロードされて、プロセッサ９１によって実行される。登録クライアント装置２０が備える各部の機能は、ソフトウェアにより実現される。

　秘匿検索プログラムを実行する際に用いられるデータと、秘匿検索プログラムを実行することによって得られるデータ等は、記憶装置に適宜記憶される。登録クライアント装置２０の各部は、適宜記憶装置を利用する。記憶部２３０は記憶装置から成る。記憶装置は、具体例として、メモリ９２と、補助記憶装置９３と、プロセッサ９１内のレジスタと、プロセッサ９１内のキャッシュメモリとの少なくとも１つから成る。なお、データと、情報とは、同等の意味を有することもある。記憶装置は、コンピュータと独立したものであってもよい。
　メモリ９２及び補助記憶装置９３の機能は、他の記憶装置によって実現されてもよい。

　秘匿検索プログラムは、コンピュータが読み取り可能な不揮発性の記録媒体に記録されていてもよい。不揮発性の記録媒体は、具体例として、光ディスク又はフラッシュメモリである。秘匿検索プログラムは、プログラムプロダクトとして提供されてもよい。
　秘匿検索システム１が備える登録クライアント装置２０以外の各装置のハードウェア構成は、登録クライアント装置２０のハードウェア構成と同様であってもよい。

＊＊＊動作の説明＊＊＊
　秘匿検索システム１を構成する各装置の動作手順は、秘匿検索方法に相当する。また、秘匿検索システム１を構成する各装置の動作を実現するプログラムは、秘匿検索プログラムに相当する。秘匿検索プログラムは、秘匿検索システム１を構成する各装置において動作するプログラムの総称である。
　以下、本開示の特徴的な動作例を主に説明する。以下で説明する動作に加え、秘匿検索システム１は公知の技術を適宜採用して動作する。

　図７は、開示ビット計算部２４０が開示ビットの最大頻度及び最小頻度を取得する処理の一例を示すフローチャートである。本図を参照して開示ビット計算部２４０の動作を説明する。

（ステップＳ１０１）
　開示ビット計算部２４０に、頻度分布表２０７が入力される。なお、記憶部２３０が記憶している頻度分布表２０７を開示ビット計算部２４０が参照することができる場合、開示ビット計算部２４０は本ステップをスキップしてもよい。

（ステップＳ１０２）
　参照した頻度分布表２０７にエントリがない場合、開示ビット計算部２４０はステップＳ１０３に進む。それ以外の場合、開示ビット計算部２４０はステップＳ１０４に進む。

（ステップＳ１０３）
　開示ビット計算部２４０は、最大頻度がないことと、最小頻度がないことを示す情報を出力する。

（ステップＳ１０４）
　開示ビット計算部２４０は、頻度分布表２０７が示す頻度から最大頻度を特定する。

（ステップＳ１０５）
　開示ビット計算部２４０は、頻度分布表２０７が示す頻度から最小頻度を特定する。

（ステップＳ１０６）
　開示ビット計算部２４０は、特定した最大頻度及び最小頻度を出力する。なお、開示ビット計算部２４０は、特定した最大頻度及び最小頻度を開示ビット計算部２４０の内部において出力してもよい。

　図８から図１０は、登録クライアント装置２０の動作の一例を示すフローチャートである。本図を参照して登録クライアント装置２０の動作を説明する。

（ステップＳ２０１）
　開示ビット計算部２４０は、頻度分布表２０７が示す最大頻度及び最小頻度を取得する。開示ビット計算部２４０は、本ステップにおいて図７に示す処理を実行する。

（ステップＳ２０２）
　開示ビット計算部２４０に、登録するキーワード２００と、開示ビット用秘密鍵２０４と、開示ビット長２０５と、ソルト表２０６と、頻度分布表２０７とが入力される。なお、記憶部２３０が記憶しているこれらのデータを開示ビット計算部２４０が参照することができる場合、開示ビット計算部２４０は本ステップをスキップしてもよい。

（ステップＳ２０３）
　開示ビット計算部２４０は、ソルト表２０６から登録するキーワード２００に対応するソルトを取得し、取得したソルトを用いてソルトリストを生成する。

（ステップＳ２０４）
　開示ビット計算部２４０は、ソルトの値として０を代入し、開示ビットがないものとする。

（ステップＳ２０５）
　本フローチャートの処理においてまだ選択していないソルトがステップＳ２０３において生成したソルトリストにある場合、開示ビット計算部２４０はステップＳ２０６に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２０７に進む。

（ステップＳ２０６）
　開示ビット計算部２４０は、ソルトリストが含むソルトのうち、本フローチャートの処理においてまだ選択していないソルトのいずれかを選択ソルトとして選択する。

（ステップＳ２０７）
　開示ビット計算部２４０は、ソルトリストに新たなソルトを追加する。ここで、新たなソルトはソルトリストが含んでいるソルトと重複しないソルトとする。開示ビット計算部２４０は新たなソルトを選択ソルトとして選択する。

（ステップＳ２０８）
　開示ビット計算部２４０は、選択ソルトと登録するキーワード２００とを用いて変換キーワードを計算する。変換キーワードは、選択ソルトと登録するキーワード２００との論理和であってもよく、登録するキーワード２００の任意の位置にソルトを追加したものであってもよい。具体例として、登録するキーワード２００が「ＡＡＡ」でありソルトが「１」である場合において、変換キーワードは、「ＡＡＡ１」であっても、「１ＡＡＡ」であっても、「Ａ１ＡＡ」であってもよい。

（ステップＳ２０９）
　開示ビット計算部２４０は、計算した変換キーワードと、開示ビット用秘密鍵２０４と、開示ビット長２０５とを用いて開示ビットを計算する。開示ビット計算部２４０は、変換キーワードと、開示ビット用秘密鍵２０４とを用いて求めたデータのうち、開示ビット長２０５の長さの連続するビットを開示ビットとする。

（ステップＳ２１０）
　開示ビット計算部２４０は、頻度分布表２０７から、計算した開示ビットに対応する頻度を取得する。

（ステップＳ２１１）
　ステップＳ２１０において頻度を取得することができなかった場合、又はソルトリストに新たなソルトを追加した場合、開示ビット計算部２４０はステップＳ２１７に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２１２に進む。

（ステップＳ２１２）
　ステップＳ２１０において取得した頻度が最大頻度以上である場合、開示ビット計算部２４０はステップＳ２１３に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２１４に進む。

（ステップＳ２１３）
　開示ビット計算部２４０は、開示ビットがないものとする。なお、開示ビット計算部２４０は、本ステップを実行した後に他のソルトを選択するか、ソルトリストに新たなソルトを追加する。

（ステップＳ２１４）
　最大頻度と最小頻度とが等しい場合、即ち、頻度分布表２０７に示されている開示ビットの頻度分布が一様分布である場合、開示ビット計算部２４０はステップＳ２１５に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２１７に進む。

（ステップＳ２１５）
　頻度分布表２０７のエントリの数が開示ビット空間のサイズよりも小さい場合、開示ビット計算部２４０はステップＳ２１６に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２１７に進む。なお、開示ビット空間のサイズは、開示ビット長２０５をｃとしたとき２＾ｃである。

（ステップＳ２１６）
　開示ビット計算部２４０は開示ビットがないものとする。なお、開示ビット計算部２４０は、本ステップを実行した後にソルトリストに新たなソルトを追加する。

（ステップＳ２１７）
　開示ビットがない場合、開示ビット計算部２４０はステップＳ２０５に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２１８に進む。

（ステップＳ２１８）
　ステップＳ２０７において新たなソルトを追加した場合、開示ビット計算部２４０はステップＳ２１９に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２２１に進む。

（ステップＳ２１９）
　開示ビット計算部２４０は、ソルト表２０６のエントリのうち登録するキーワード２００に対応するエントリに新たなソルトを追加する。

（ステップＳ２２０）
　ソルト表登録要求部２７０は、ソルト表２０６を出力する。

（ステップＳ２２１）
　ステップＳ２０９において計算した開示ビットに対応するエントリが頻度分布表２０７にない場合、開示ビット計算部２４０はステップＳ２２２に進む。それ以外の場合、開示ビット計算部２４０はステップＳ２２３に進む。なお、当該開示ビットに対応する変換キーワードに対応するソルトは決定ソルトに当たる。

（ステップＳ２２２）
　開示ビット計算部２４０は、頻度分布表２０７において、ステップＳ２０９において計算した開示ビットに対応する頻度を０とする。

（ステップＳ２２３）
　開示ビット計算部２４０は、頻度分布表２０７において、ステップＳ２０９において計算した開示ビットに対応する頻度に１を加算する。

（ステップＳ２２４）
　開示ビット計算部２４０は、ステップＳ２２３において修正した頻度分布表２０７と、ステップＳ２０９において計算した開示ビットとを出力する。開示ビット計算部２４０は、記憶部２３０が記憶している頻度分布表２０７を、ステップＳ２２３において修正した頻度分布表２０７に更新してもよい。

　図１１を用いて、開示ビット計算部２４０がソルトを決定する処理の具体例を説明する。ここで、キーワード２００である登録キーワードは「ＡＡＡ」であるものとし、開示ビット計算部２４０は鍵付きハッシュ関数を用いて計算したデータに基づいて開示ビットを計算するものとする。また、ソルト表２０６において、各キーワードと各キーワードに対応するソルトとが示されており、登録キーワード「ＡＡＡ」に対応するソルトとしてソルトｓ_１とソルトｓ_２とが示されている。
　開示ビット計算部２４０は、ソルトを仮で割り当てて開示ビットの出現頻度を確認する。具体的には、ソルトｓ_１を用いて開示ビットを計算する場合、当該開示ビットを開示すると登録クライアント装置２０が開示している開示ビットの頻度分布の偏りが比較的大きくなる。そのため、この場合において頻度分析攻撃を受けるリスクが高くなる。一方、ソルトｓ_２を用いて開示ビットを計算する場合、当該開示ビットを開示しても登録クライアント装置２０が開示している開示ビットの頻度分布の偏りが比較的小さいままである。そのため、この場合において頻度分析攻撃を受けるリスクが低いままである。
　従って、本例において、開示ビット計算部２４０は登録キーワード「ＡＡＡ」に対して使用するソルトをソルトｓ_２に決定する。
　なお、フローチャートを用いて最大頻度及び最小頻度に基づいて開示ビット計算部２４０が開示ビットの頻度分布の偏りの大きさを判断する具体例を説明したが、開示ビット計算部２４０は分散の大きさ等の他の指標に基づいて開示ビットの頻度分布の偏りの大きさを判断してもよい。また、開示ビット計算部２４０は、開示ビットの頻度分布の偏りの大きさが最小になるよう（具体例として、開示ビットの頻度分布が一様になるよう）ソルトを選択する必要はなく、開示ビットの頻度分布の偏りの大きさがある許容範囲内に収まるようソルトを選択してもよい。

　図１２を用いて開示ビット計算部２４０が新たなソルトを用いる場合における開示ビット計算部２４０の処理の具体例を説明する。ここで、開示ビット計算部２４０は登録キーワード「ＡＡＡ」に対して使用するソルトを決定するものとする。また、ソルトｓ_１又はソルトｓ_２を用いると開示ビットの頻度分布の偏りが比較的大きくなると、開示ビット計算部２４０が判断したものとする。
　そこで、まず、開示ビット計算部２４０は、新たなソルトとしてソルトｓ_３を用いて登録キーワード「ＡＡＡ」に対応する開示ビットを計算し、当該開示ビットを開示した場合における登録クライアント装置２０が開示している開示ビットの頻度分布を求める。求めた頻度分布において偏りが比較的大きいため、開示ビット計算部２４０はソルトｓ_３を選択しない。
　次に、開示ビット計算部２４０は、新たなソルトとしてソルトｓ_４を用いて登録キーワード「ＡＡＡ」に対応する開示ビットを計算し、当該開示ビットを開示した場合における登録クライアント装置２０が開示している開示ビットの頻度分布を求める。求めた頻度分布において偏りが比較的小さいため、開示ビット計算部２４０は、登録キーワード「ＡＡＡ」に対応するソルトとしてソルトｓ_４を選択する。
　なお、ソルト表２０６にソルトを１つ追加する具体例を示したが、ソルト表２０６に複数のソルトを追加してもよい。

　図１３は、検索クライアント装置３０の動作の一例を示すフローチャートである。本図を参照して検索クライアント装置３０の動作を説明する。

（ステップＳ３０１）
　開示ビット計算部３３０に、開示ビット長２０５と、検索するキーワード２００と、ソルト表２０６とが入力される。なお、記憶部３２０が記憶している頻度分布表２０７を開示ビット計算部３３０が参照することができる場合、開示ビット計算部３３０は本ステップをスキップしてもよい。

（ステップＳ３０２）
　開示ビット計算部３３０は、ソルト表２０６から検索するキーワード２００に対応するソルトを取得し、取得したソルトを用いてソルトリストを生成する。

（ステップＳ３０３）
　生成したソルトリストが空である場合、開示ビット計算部３３０はステップＳ３１１に進む。それ以外の場合、開示ビット計算部３３０はステップＳ３０４に進む。

（ステップＳ３０４）
　開示ビット計算部３３０は、ソルトの値として０を代入し、開示ビットリストがないものとする。

（ステップＳ３０５）
　開示ビット計算部３３０は、ソルトリストが含むソルトのうち、本フローチャートの処理においてまだ選択していないソルトのいずれかを選択ソルトとして選択する。

（ステップＳ３０６）
　開示ビット計算部３３０は、選択ソルトと検索するキーワード２００とを用いて変換キーワードを計算する。変換キーワードの計算方法はステップＳ２０８で説明した通りである。ただし、登録クライアント装置２０による登録時と検索クライアント装置３０による検索時との間で変換キーワードの計算方法が一致していなければならない。

（ステップＳ３０７）
　開示ビット計算部３３０は、計算した変換キーワードと、開示ビット用秘密鍵２０４と、開示ビット長２０５とを用いて開示ビットを計算する。

（ステップＳ３０８）
　開示ビット計算部３３０は、計算した開示ビットを開示ビットリストに追加する。

（ステップＳ３０９）
　本フローチャートの処理においてまだ選択していないソルトがソルトリストにある場合、開示ビット計算部３３０はステップＳ３０５に進む。それ以外の場合、開示ビット計算部３３０はステップＳ３１０に進む。

（ステップＳ３１０）
　開示ビット計算部３３０は、開示ビットリストを出力する。

（ステップＳ３１１）
　検索するキーワード２００に対応するデータが秘匿検索サーバ装置１０に登録されていないため、開示ビット計算部３３０は、キーワード２００に対応するデータを検索せずに本フローチャートの処理を終了する。

　図１４を用いて検索時に実行される処理の具体例を説明する。ここで、検索クライアント装置３０はキーワード２００である検索キーワード「ＡＡＡ」に対応するデータを検索するものとする。なお、図１４において記号「｜｜」は文字列同士の連結を意味する。即ち、「Ｓ１｜｜ＡＡＡ」はソルトである「Ｓ１」をキーワードである「ＡＡＡ」の先頭に追加することを意味する。
　まず、開示ビット計算部３３０は、ソルト表２０６を参照し、検索キーワード「ＡＡＡ」に対応する全てのソルトの各々を用いて検索キーワード「ＡＡＡ」に対応する各開示ビットを計算する。
　次に、検索要求部３５０は、計算した各開示ビットを示す検索データ３０７を秘匿検索サーバ装置１０に送信する。
　次に、検索データ入力部１３０は検索データ３０７を受け取り、受け取った検索データ３０７をデータ検索部１４０に送る。
　次に、データ検索部１４０は、検索データ３０７を受け取り、検索クエリにおいて、受け取った検索データ３０７に示される各開示ビットと、登録データテーブル１０１に登録されている各開示ビットとをバイナリ比較することによって開示ビットを絞り込む。ここで、絞り込んだ開示ビットに対応するタグは検索キーワード「ＡＡＡ」に対応するトラップドアに当たる。なお、バイナリ比較に要する時間は非常に短いため、開示ビットの比較数が増えても高速化効果は維持される。

＊＊＊実施の形態１の効果の説明＊＊＊
　以上のように、実施の形態１によれば、確率的暗号に基づく検索可能暗号技術において、キーワードの出現頻度を事前に必要とせずに、高速化効果を維持しつつ頻度分析攻撃に対するリスクを小さくすることができる。

　また、図１５を用いて実施の形態１の効果を説明する。秘匿検索システム１が登録クライアント装置２０－Ａと登録クライアント装置２０－Ｂとを備える場合において、登録クライアント装置２０－Ａと登録クライアント装置２０－Ｂとの各々が独立して頻度分布表２０７を管理しているものとする。このとき、登録クライアント装置２０－Ａが管理している頻度分布表２０７と登録クライアント装置２０－Ｂが管理している頻度分布表２０７とのいずれにおいても偏りが比較的小さい。そのため、登録クライアント装置２０－Ａが管理している頻度分布表２０７と、登録クライアント装置２０－Ｂが管理している頻度分布表２０７とを合成した分布の偏りも比較的小さい。即ち、実施の形態１によれば、登録クライアント装置２０－Ａと登録クライアント装置２０－Ｂとの各々が独立して頻度分布表２０７を管理している場合においても、秘匿検索サーバ装置１０に保存される開示ビットの頻度分布の偏りが比較的小さくなる。なお、第三者が登録クライアント装置２０－Ａの頻度分布表２０７と登録クライアント装置２０－Ｂの頻度分布表２０７とを管理する場合においても同様の効果が得られる。

　また、図１６を用いて特許文献１が開示する技術を考察する。ここで、キーワードの頻度分布の偏りが大きいものとする。当該技術において、開示ビット空間が極端に狭いと、頻度が重なるために頻度分析攻撃に対するリスクが比較的低い。しかしながら、変換キーワードの選択によっては開示ビット空間が広くなり、開示ビット空間が広いと、開示ビットの頻度が元のキーワードの頻度と類似するために頻度分析攻撃に対するリスクが比較的高い。
　また、特許文献１が開示する技術に対して実施の形態１を適用する場合を考える。この場合において、既に開示している開示ビットの出現頻度に応じてキーワードに付与するソルトを調整する。この際、開示ビット空間内でソルトを調整してもよい。そのため、この場合において、キーワードを不要に分割することを防ぐことができる。即ち、特許文献１が開示する技術に実施の形態１を適用することにより、変換キーワード数を削減することができる。
　なお、特許文献１が開示する技術には当該技術を開示ビットに対して適用すると、変換キーワードに置換しても開示ビットの頻度分布に偏りが生じる可能性があるという課題がある。しかしながら、特許文献１が開示する技術に実施の形態１を適用することにより当該課題は解消される。

＊＊＊他の構成＊＊＊
＜変形例１＞
　図１７は、本変形例に係る登録クライアント装置２０のハードウェア構成例を示している。
　登録クライアント装置２０は、プロセッサ９１、プロセッサ９１とメモリ９２、プロセッサ９１と補助記憶装置９３、あるいはプロセッサ９１とメモリ９２と補助記憶装置９３とに代えて、処理回路９８を備える。
　処理回路９８は、登録クライアント装置２０が備える各部の少なくとも一部を実現するハードウェアである。
　処理回路９８は、専用のハードウェアであってもよく、また、メモリ９２に格納されるプログラムを実行するプロセッサであってもよい。

　処理回路９８が専用のハードウェアである場合、処理回路９８は、具体例として、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）又はこれらの組み合わせである。
　登録クライアント装置２０は、処理回路９８を代替する複数の処理回路を備えてもよい。複数の処理回路は、処理回路９８の役割を分担する。

　登録クライアント装置２０において、一部の機能が専用のハードウェアによって実現されて、残りの機能がソフトウェア又はファームウェアによって実現されてもよい。

　処理回路９８は、具体例として、ハードウェア、ソフトウェア、ファームウェア、又はこれらの組み合わせにより実現される。
　プロセッサ９１とメモリ９２と補助記憶装置９３と処理回路９８とを、総称して「プロセッシングサーキットリー」という。つまり、登録クライアント装置２０の各機能構成要素の機能は、プロセッシングサーキットリーにより実現される。
　秘匿検索システム１が備える登録クライアント装置２０以外の各装置についても、本変形例と同様の構成であってもよい。

＊＊＊他の実施の形態＊＊＊
　実施の形態１について説明したが、本実施の形態のうち、複数の部分を組み合わせて実施しても構わない。あるいは、本実施の形態を部分的に実施しても構わない。その他、本実施の形態は、必要に応じて種々の変更がなされても構わず、全体としてあるいは部分的に、どのように組み合わせて実施されても構わない。
　なお、前述した実施の形態は、本質的に好ましい例示であって、本開示と、その適用物と、用途の範囲とを制限することを意図するものではない。フローチャート等を用いて説明した手順は、適宜変更されてもよい。

　１　秘匿検索システム、１０　秘匿検索サーバ装置、１０１　登録データテーブル、１１０　登録データ入力部、１２０　記憶部、１３０　検索データ入力部、１４０　データ検索部、１５０　検索結果出力部、２０　登録クライアント装置、２００　キーワード、２０１　データ、２０４　開示ビット用秘密鍵、２０５　開示ビット長、２０６　ソルト表、２０７　頻度分布表、２０８　秘匿検索用暗号鍵、２０９　秘匿検索用復号鍵、２１１　開示ビット、２１２　登録データ、２２０　データ入力部、２３０　記憶部、２４０　開示ビット計算部、２５０　登録データ生成部、２６０　データ登録要求部、２７０　ソルト表登録要求部、３０　検索クライアント装置、３０１　ソルト表要求データ、３０５　開示ビット、３０７　検索データ、３０９　検索結果、３１０　キーワード入力部、３２０　記憶部、３３０　開示ビット計算部、３４０　検索データ生成部、３５０　検索要求部、３６０　検索結果出力部、３７０　ソルト表要求部、４０　ソルト表管理装置、４１０　ソルト表入力部、４２０　記憶部、４３０　ソルト表出力部、５０　ネットワーク、９１　プロセッサ、９２　メモリ、９３　補助記憶装置、９４　入出力ＩＦ、９５　通信装置、９８　処理回路、９９　信号線。

Claims

　確率的暗号に基づく検索可能暗号技術を採用する秘匿検索システムであって、
　秘匿検索される少なくとも１つのデータと、前記少なくとも１つのデータの各々に対応する少なくとも１つのキーワードとを秘匿検索サーバ装置に登録し、前記秘匿検索サーバ装置に登録した各キーワードと、前記秘匿検索サーバ装置に登録した各キーワードに対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである開示ビットを開示する登録クライアント装置であって、
　前記秘匿検索サーバ装置に登録するキーワードである登録キーワードに対応するソルトを決定ソルトとして決定する開示ビット計算部
を備え、
　前記開示ビット計算部は、前記登録クライアント装置が既に開示している開示ビットと、前記登録キーワードと前記決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して前記決定ソルトを決定する登録クライアント装置
を備える秘匿検索システム。
　前記秘匿検索システムは、さらに、
　前記秘匿検索サーバ装置に登録されている各キーワードに対応するソルトを管理する記憶部
を備えるソルト表管理装置
を備える請求項１に記載の秘匿検索システム。
　前記開示ビット計算部は、前記ソルト表管理装置の記憶部が前記登録キーワードに対応するソルトとして管理しているソルトに基づいて前記決定ソルトを決定する請求項２に記載の秘匿検索システム。
　前記開示ビット計算部は、前記ソルト表管理装置の記憶部が前記登録キーワードに対応するソルトとして管理しているソルト以外のソルトを前記決定ソルトとして決定する請求項３に記載の秘匿検索システム。
　前記ソルト表管理装置は、さらに、
　前記登録クライアント装置が登録するキーワードの出現頻度が既知である場合において、既知である出現頻度に基づいて、前記開示ビット計算部が前記決定ソルトとして決定するソルトの候補を計算するソルト表入力部
を備える請求項２から４のいずれか１項に記載の秘匿検索システム。
　前記開示ビット計算部は、前記登録クライアント装置が登録するキーワードの出現頻度が既知である場合において、既知である出現頻度に基づいて、前記開示ビット計算部が前記決定ソルトとして決定するソルトの候補を計算する請求項１から４のいずれか１項に記載の秘匿検索システム。
　前記秘匿検索システムは、さらに、
　前記秘匿検索サーバ装置に登録されているデータを検索する際に、前記秘匿検索サーバ装置に登録されている各キーワードに対応するソルトの全てを用いる開示ビット計算部
を備える検索クライアント装置
を備える請求項１から６のいずれか１項に記載の秘匿検索システム。
　確率的暗号に基づく検索可能暗号技術を採用する秘匿検索システムにおいて、秘匿検索される少なくとも１つのデータと、前記少なくとも１つのデータの各々に対応する少なくとも１つのキーワードとを秘匿検索サーバ装置に登録し、前記秘匿検索サーバ装置に登録した各キーワードと、前記秘匿検索サーバ装置に登録した各キーワードに対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである開示ビットを開示する登録クライアント装置が実行する秘匿検索方法であって、
　コンピュータが、前記秘匿検索サーバ装置に登録するキーワードである登録キーワードに対応するソルトを決定ソルトとして決定し、
　前記決定ソルトは、前記登録クライアント装置が既に開示している開示ビットと、前記登録キーワードと前記決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して決定されたソルトである秘匿検索方法。
　確率的暗号に基づく検索可能暗号技術を採用する秘匿検索システムにおいて、秘匿検索される少なくとも１つのデータと、前記少なくとも１つのデータの各々に対応する少なくとも１つのキーワードとを秘匿検索サーバ装置に登録し、前記秘匿検索サーバ装置に登録した各キーワードと、前記秘匿検索サーバ装置に登録した各キーワードに対応するソルトとを用いて確定的に計算されたデータの一部であって、外部に開示するデータである開示ビットを開示する登録クライアント装置であるコンピュータが実行する秘匿検索プログラムであって、
　前記秘匿検索サーバ装置に登録するキーワードである登録キーワードに対応するソルトを決定ソルトとして決定する開示ビット計算処理
を前記コンピュータに実行させ、
　前記開示ビット計算処理では、前記登録クライアント装置が既に開示している開示ビットと、前記登録キーワードと前記決定ソルトとを用いて計算した開示ビットとから成る分布の偏りの大きさを考慮して前記決定ソルトを決定する秘匿検索プログラム。