WO2023127038A1

WO2023127038A1 - 登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、秘匿検索方法、および、秘匿検索プログラム

Info

Publication number: WO2023127038A1
Application number: PCT/JP2021/048616
Authority: WO
Inventors: 貴人平野; 豊川合; 義博小関
Original assignee: 三菱電機株式会社
Priority date: 2021-12-27
Filing date: 2021-12-27
Publication date: 2023-07-06
Also published as: JPWO2023127038A1; JP7217836B1

Abstract

登録要求装置（４００）は、生成部（４２０）と要求部（４３０）を備える。生成部（４２０）は、登録鍵と登録補助鍵とからなる登録秘密鍵のうちの登録鍵と、平文データと、公開パラメータとを取得し、登録鍵と公開パラメータとを用いて平文データを暗号化することにより暗号化データを生成する。登録秘密鍵は、マスター鍵と公開パラメータとを用いて生成され、データの暗号化に用いる登録鍵と暗号化されたデータの変換に用いる登録補助鍵とからなる。要求部（４３０）は、データ管理装置に暗号化データを送信する。データ管理装置は、登録補助鍵と公開パラメータとを用いて暗号化データを変換し、変換により得られた変換暗号化データを、平文データを識別する識別子と対応付けて登録データベースに登録する。

Description

登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、秘匿検索方法、および、秘匿検索プログラム

　本開示は、登録要求装置、検索要求装置、データ管理装置、秘匿検索システム、秘匿検索方法、および、秘匿検索プログラムに関する。

　秘匿検索とは、暗号化データを暗号化したまま検索する技術である。つまり、秘匿検索は、暗号化データを復号せずに検索する技術である。
　近年、秘匿検索は、クラウドサービスにおいて、サーバ管理者による盗聴および悪意あるソフトウェアによる盗聴から機密情報を守るためのセキュリティ技術として注目されている。つまり、秘匿検索は、インターネットにおいてデータを管理するためのセキュリティ技術として注目されている。

　秘匿検索方式の動作として、登録処理では、登録者はデータを暗号化してからサーバに保管する。検索処理では、検索者は検索キーワードを暗号化してサーバに送信する。その後、サーバは、暗号化された検索キーワードと暗号化して保管されているデータとを復号せずに検索キーワードをデータと照合し、検索キーワードがデータと合致するかを判定する。

　暗号技術では、鍵漏洩リスクの観点から定期的に鍵を更新しつつ、利用していた鍵を失効することがある。よって、秘匿検索でも鍵の更新および失効をすることが考えられる。
　もし、秘匿検索において、単純に鍵を新しい鍵に置き換えると、古い鍵で暗号化されたデータを新しい鍵を用いて検索できなくなってしまう。そのため、結局、古い鍵は捨てられず引き続き保管しなくてはならない。また、保管されている鍵を全て使って検索キーワードを暗号化しなくてはならない。もしくは、新しい鍵で全て対応できるように、古い鍵で暗号化されたデータを新しい鍵で再暗号化する必要がある。

　特許文献１では、秘匿検索時に利用する鍵をいくつかに分割し、それを分散配置することで各ユーザが行う秘匿検索を制御する方法が開示されている。

国際公開２０２０／００３８２１号パンフレット

　特許文献１では、特定の検索者に対して、分割配置された鍵の一部を利用不可能にすれば、たとえ鍵をもっている検索者であっても秘匿検索をすることはできない。
　一方、特許文献１では、検索者は分割配置された鍵を使って秘匿検索をできるが、登録者は分割配置された鍵は使わず、分割前の鍵を使ってデータを暗号化して登録する。よって、検索者の秘匿検索を制御できるが、登録者のデータの暗号化および登録を制御することはできないという課題がある。

　また、特許文献１では、古い鍵で生成された暗号化データに対して代理人再暗号化技術を用いて再暗号化する変換方法が開示されている。代理人再暗号化技術は、古い鍵で生成された暗号化データに対して、復号を経由せずに新しい鍵で生成された暗号化データに再暗号化する技術である。なお、この暗号化データは、秘匿検索することは困難であり、元のデータを復元するためによく知られた暗号で生成された暗号化データである。すなわち、上記の再暗号化処理はこの復号可能な暗号化データに対する再暗号化処理である。よって、特許文献１では、秘匿検索を行う暗号化データ、すなわち暗号化タグおよび暗号化索引に対して、新しい鍵で再暗号化することはできないという課題がある。

　さらに、特許文献１では秘匿検索する暗号化データの具体的生成方法について開示されている。しかし、その方法は同じデータはいつも同じ値の暗号化データを生成する方法である。よって、特許文献１では、暗号の安全性で重要となる暗号化データの確率的生成、すなわち同じデータでも毎回値が異なる暗号化データを生成することができないという課題がある。

　本開示は、主に、秘匿検索が可能な暗号化データについて、分割鍵を用いて、暗号化データの生成および暗号化データの登録を制御することを目的とする。

　本開示に係る登録要求装置は、
　マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、平文データと、前記公開パラメータと、を取得し、前記登録鍵と前記公開パラメータとを用いて前記平文データを暗号化することにより暗号化データを生成する生成部と、
　前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録するデータ管理装置に、前記暗号化データを送信する要求部と
を備える。

　本開示によれば、秘匿検索が可能な暗号化データについて、分割鍵を用いて、暗号化データの生成および暗号化データの登録を制御することができるという効果を奏する。

実施の形態１に係る秘匿検索システムの構成例を示す図。実施の形態１に係るマスター鍵生成装置の構成例を示す図。実施の形態１に係る秘密鍵装置の構成例を示す図。実施の形態１に係る登録要求装置の構成例を示す図。実施の形態１に係る検索要求装置の構成例を示す図。実施の形態１に係るデータ管理装置の構成例を示す図。実施の形態１に係る変換鍵生成装置の構成例を示す図。実施の形態１に係る鍵変換装置の構成例を示す図。実施の形態１に係る再暗号化装置の構成例を示す図。実施の形態１に係る秘匿検索システムの動作を示すフローチャート。実施の形態１に係るマスター鍵生成の手順を示すフローチャート。実施の形態１に係る分割鍵生成の手順を示すフローチャート。実施の形態１に係る登録要求の手順を示すフローチャート。実施の形態１に係る登録操作の手順を示すフローチャート。実施の形態１に係る登録データベースの構成例を示す図。実施の形態１に係る検索要求の手順を示すフローチャート。実施の形態１に係る検索操作の手順を示すフローチャート。実施の形態１に係るデータ削除の手順を示すフローチャート。実施の形態１に係る分割鍵再生成の手順を示すフローチャート。実施の形態１に係る変換鍵生成の手順を示すフローチャート。実施の形態１に係る鍵変換の手順を示すフローチャート。実施の形態１に係る再暗号化の手順を示すフローチャート。実施の形態２に係る登録装置の構成例を示す図。実施の形態２に係る秘匿検索システムの動作を示すフローチャート。実施の形態２に係る登録要求の手順を示すフローチャート。実施の形態２に係る検索結果の構成例を示す図。実施の形態２に係る登録操作の手順を示すフローチャート。実施の形態２に係る登録データベースの構成例を示す図。実施の形態２に係る検索要求の手順を示すフローチャート。実施の形態２に係る検索操作の手順を示すフローチャート。実施の形態２に係る再暗号化の手順を示すフローチャート。実施の形態に係るマスター鍵生成装置のハードウェア構成例を示す図。実施の形態に係る分割鍵装置のハードウェア構成例を示す図。実施の形態に係る登録要求装置のハードウェア構成例を示す図。実施の形態に係る検索要求装置のハードウェア構成例を示す図。実施の形態に係るデータ管理装置のハードウェア構成例を示す図。実施の形態に係る変換鍵生成装置のハードウェア構成例を示す図。実施の形態に係る鍵変換装置のハードウェア構成例を示す図。実施の形態に係る再暗号化装置のハードウェア構成例を示す図。

　以下、本実施の形態について、図を用いて説明する。各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。図中の矢印はデータの流れまたは処理の流れを主に示している。

　実施の形態１．
　本実施の形態に係る秘匿検索システム１００について、図１から図２２に基づいて説明する。

＊＊＊構成の説明＊＊＊
　図１は、本実施の形態に係る秘匿検索システム１００の構成例を示す図である。
　秘匿検索システム１００は、マスター鍵生成装置２００と、分割鍵生成装置３００と、登録要求装置４００と、検索要求装置５００と、データ管理装置６００と、変換鍵生成装置７００と、鍵変換装置８００と、再暗号化装置９００と、を備える。
　秘匿検索システム１００の各装置は、ネットワーク１０１を介して互いに通信を行う。

　図２は、本実施の形態に係るマスター鍵生成装置２００の構成例を示す図である。
　マスター鍵生成装置２００は、プロセッサ２０１とメモリ２０２と補助記憶装置２０３と入出力インタフェース２０４といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ２０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ２０１は、ＣＰＵ、ＤＳＰまたはＧＰＵである。
　ＩＣは、Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略称である。
　ＣＰＵは、Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略称である。
　ＤＳＰは、Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒの略称である。
　ＧＰＵは、Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔの略称である。

　メモリ２０２は揮発性または不揮発性の記憶装置である。メモリ２０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ２０２はＲＡＭである。メモリ２０２に記憶されたデータは必要に応じて補助記憶装置２０３に保存される。
　ＲＡＭは、Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙの略称である。

　補助記憶装置２０３は不揮発性の記憶装置である。例えば、補助記憶装置２０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置２０３に記憶されたデータは必要に応じてメモリ２０２にロードされる。
　ＲＯＭは、Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙの略称である。
　ＨＤＤは、Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅの略称である。

　入出力インタフェース２０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース２０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。マスター鍵生成装置２００の入出力は入出力インタフェース２０４を用いて行われる。
　ＵＳＢは、Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓの略称である。

　通信装置２０５はレシーバおよびトランスミッタである。例えば、通信装置２０５は通信チップまたはＮＩＣである。マスター鍵生成装置２００の通信は通信装置２０５を用いて行われる。
　ＮＩＣは、Ｎｅｔｗｏｒｋ　Ｉｎｔｅｒｆａｃｅ　Ｃａｒｄの略称である。

　マスター鍵生成装置２００は、受付部２１０と生成部２２０と出力部２３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置２０３には、受付部２１０と生成部２２０（マスター鍵生成部）と出力部２３０（マスター鍵出力部）としてコンピュータを機能させるためのマスター鍵生成プログラムが記憶されている。マスター鍵生成プログラムは、メモリ２０２にロードされて、プロセッサ２０１によって実行される。
　補助記憶装置２０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ２０２にロードされて、プロセッサ２０１によって実行される。
　プロセッサ２０１は、ＯＳを実行しながら、マスター鍵生成プログラムを実行する。
　ＯＳは、Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍの略称である。

　マスター鍵生成プログラムの入出力データは記憶部２９０に記憶される。
　補助記憶装置２０３は記憶部２９０として機能する。ただし、メモリ２０２、プロセッサ２０１内のレジスタおよびプロセッサ２０１内のキャッシュメモリなどの記憶装置が、補助記憶装置２０３の代わりに、または、補助記憶装置２０３と共に、記憶部２９０として機能してもよい。

　マスター鍵生成装置２００は、プロセッサ２０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ２０１の機能を分担する。

　マスター鍵生成プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図３は、本実施の形態に係る分割鍵生成装置３００の構成例を示す図である。
　分割鍵生成装置３００は、プロセッサ３０１とメモリ３０２と補助記憶装置３０３と入出力インタフェース３０４と通信装置３０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ３０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ３０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ３０２は揮発性または不揮発性の記憶装置である。メモリ３０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ３０２はＲＡＭである。メモリ３０２に記憶されたデータは必要に応じて補助記憶装置３０３に保存される。
　補助記憶装置３０３は不揮発性の記憶装置である。例えば、補助記憶装置３０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置３０３に記憶されたデータは必要に応じてメモリ３０２にロードされる。
　入出力インタフェース３０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース３０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。分割鍵生成装置３００の入出力は入出力インタフェース３０４を用いて行われる。
　通信装置３０５はレシーバおよびトランスミッタである。例えば、通信装置３０５は通信チップまたはＮＩＣである。分割鍵生成装置３００の通信は通信装置３０５を用いて行われる。

　分割鍵生成装置３００は、受付部３１０と分割鍵生成部３２０と出力部３３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置３０３には、受付部３１０と分割鍵生成部３２０と出力部３３０としてコンピュータを機能させるための秘密鍵プログラムが記憶されている。分割鍵生成プログラムは、メモリ３０２にロードされて、プロセッサ３０１によって実行される。
　補助記憶装置３０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ３０２にロードされて、プロセッサ３０１によって実行される。
　プロセッサ３０１は、ＯＳを実行しながら、分割鍵生成プログラムを実行する。

　分割鍵生成プログラムの入出力データは記憶部３９０に記憶される。
　補助記憶装置３０３は記憶部３９０として機能する。ただし、メモリ３０２、プロセッサ３０１内のレジスタおよびプロセッサ３０１内のキャッシュメモリなどの記憶装置が、補助記憶装置３０３の代わりに、または、補助記憶装置３０３と共に、記憶部３９０として機能してもよい。

　分割鍵生成装置３００は、プロセッサ３０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ３０１の機能を分担する。

　分割鍵生成プログラムは、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図４は、本実施の形態に係る登録要求装置４００の構成例を示す図である。
　登録要求装置４００は、プロセッサ４０１とメモリ４０２と補助記憶装置４０３と入出力インタフェース４０４と通信装置４０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ４０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ４０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ４０２は揮発性または不揮発性の記憶装置である。メモリ４０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ４０２はＲＡＭである。メモリ４０２に記憶されたデータは必要に応じて補助記憶装置４０３に保存される。
　補助記憶装置４０３は不揮発性の記憶装置である。例えば、補助記憶装置４０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置４０３に記憶されたデータは必要に応じてメモリ４０２にロードされる。
　入出力インタフェース４０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース４０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。登録要求装置４００の入出力は入出力インタフェース４０４を用いて行われる。
　通信装置４０５はレシーバおよびトランスミッタである。例えば、通信装置４０５は通信チップまたはＮＩＣである。登録要求装置４００の通信は通信装置４０５を用いて行われる。

　登録要求装置４００は、受付部４１０と生成部４２０と要求部４３０といった要素を備える。これらの要素はソフトウェアで実現される。
　生成部４２０は、キーワード生成部４２１と乱数生成部４２２と暗号化タグ生成部４２３といった要素を備える。

　補助記憶装置４０３には、受付部４１０と生成部４２０と要求部４３０としてコンピュータを機能させるための登録プログラムが記憶されている。登録要求プログラムは、メモリ４０２にロードされて、プロセッサ４０１によって実行される。
　補助記憶装置４０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ４０２にロードされて、プロセッサ４０１によって実行される。
　プロセッサ４０１は、ＯＳを実行しながら、登録要求プログラムを実行する。

　登録要求プログラムの入出力データは記憶部４９０に記憶される。
　補助記憶装置４０３は記憶部４９０として機能する。ただし、メモリ４０２、プロセッサ４０１内のレジスタおよびプロセッサ４０１内のキャッシュメモリなどの記憶装置が、補助記憶装置４０３の代わりに、または、補助記憶装置４０３と共に、記憶部４９０として機能してもよい。

　登録要求装置４００は、プロセッサ４０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ４０１の機能を分担する。

　登録要求装置４００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図５は、本実施の形態に係る検索要求装置５００の構成例を示す図である。
　検索要求装置５００は、プロセッサ５０１とメモリ５０２と補助記憶装置５０３と入出力インタフェース５０４と通信装置５０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ５０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ５０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ５０２は揮発性または不揮発性の記憶装置である。メモリ５０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ５０２はＲＡＭである。メモリ５０２に記憶されたデータは必要に応じて補助記憶装置５０３に保存される。
　補助記憶装置５０３は不揮発性の記憶装置である。例えば、補助記憶装置５０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置５０３に記憶されたデータは必要に応じてメモリ５０２にロードされる。
　入出力インタフェース５０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース５０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。検索要求装置５００の入出力は入出力インタフェース５０４を用いて行われる。
　通信装置５０５はレシーバおよびトランスミッタである。例えば、通信装置５０５は通信チップまたはＮＩＣである。検索要求装置５００の通信は通信装置５０５を用いて行われる。

　検索要求装置５００は、受付部５１０と生成部５２０と要求部５３０と出力部５４０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置５０３には、受付部５１０と生成部５２０と要求部５３０と出力部５４０としてコンピュータを機能させるための検索操作プログラムが記憶されている。検索操作プログラムは、メモリ５０２にロードされて、プロセッサ５０１によって実行される。
　補助記憶装置５０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ５０２にロードされて、プロセッサ５０１によって実行される。
　プロセッサ５０１は、ＯＳを実行しながら、検索要求プログラムを実行する。

　検索要求プログラムの入出力データは記憶部５９０に記憶される。
　補助記憶装置５０３は記憶部５９０として機能する。ただし、メモリ５０２、プロセッサ５０１内のレジスタおよびプロセッサ５０１内のキャッシュメモリなどの記憶装置が、補助記憶装置５０３の代わりに、または、補助記憶装置５０３と共に、記憶部５９０として機能してもよい。

　検索要求装置５００は、プロセッサ５０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ５０１の機能を分担する。

　検索要求装置５００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図６は、本実施の形態に係るデータ管理装置６００の構成例を示す図である。
　データ管理装置６００は、プロセッサ６０１とメモリ６０２と補助記憶装置６０３と入出力インタフェース６０４と通信装置６０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ６０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ６０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ６０２は揮発性または不揮発性の記憶装置である。メモリ６０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ６０２はＲＡＭである。メモリ６０２に記憶されたデータは必要に応じて補助記憶装置６０３に保存される。
　補助記憶装置６０３は不揮発性の記憶装置である。例えば、補助記憶装置６０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置６０３に記憶されたデータは必要に応じてメモリ６０２にロードされる。
　入出力インタフェース６０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース６０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。データ管理装置６００の入出力は入出力インタフェース６０４を用いて行われる。
　通信装置６０５はレシーバおよびトランスミッタである。例えば、通信装置６０５は通信チップまたはＮＩＣである。データ管理装置６００の通信は通信装置６０５を用いて行われる。

　データ管理装置６００は、受付部６１０と鍵管理部６２０と登録部６３０と検索部６４０と出力部６５０といった要素を備える。これらの要素はソフトウェアで実現される。
　登録部６３０は、変換部６３１と保管部６３２といった要素を備える。
　検索部６４０は、変換部６４１と照合部６４２と抽出部６４３といった要素を備える。

　補助記憶装置６０３には、受付部６１０と鍵管理部６２０と登録部６３０と検索部６４０と出力部６５０としてコンピュータを機能させるためのデータ管理プログラムが記憶されている。データ管理プログラムは、メモリ６０２にロードされて、プロセッサ６０１によって実行される。
　補助記憶装置６０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ６０２にロードされて、プロセッサ６０１によって実行される。
　プロセッサ６０１は、ＯＳを実行しながら、データ管理プログラムを実行する。

　データ管理プログラムの入出力データは記憶部６９０に記憶される。
　補助記憶装置６０３は記憶部６９０として機能する。ただし、メモリ６０２、プロセッサ６０１内のレジスタおよびプロセッサ６０１内のキャッシュメモリなどの記憶装置が、補助記憶装置６０３の代わりに、または、補助記憶装置６０３と共に、記憶部６９０として機能してもよい。
　また、記憶部６９０には、登録データベース６９１が記憶される。

　データ管理装置６００は、プロセッサ６０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ６０１の機能を分担する。

　データ管理装置６００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図７は、本実施の形態に係る変換鍵生成装置７００の構成例を示す図である。
　変換鍵生成装置７００は、プロセッサ７０１とメモリ７０２と補助記憶装置７０３と入出力インタフェース７０４と通信装置７０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ７０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ７０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ７０２は揮発性または不揮発性の記憶装置である。メモリ７０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ７０２はＲＡＭである。メモリ７０２に記憶されたデータは必要に応じて補助記憶装置７０３に保存される。
　補助記憶装置７０３は不揮発性の記憶装置である。例えば、補助記憶装置７０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置７０３に記憶されたデータは必要に応じてメモリ７０２にロードされる。
　入出力インタフェース７０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース７０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。変換鍵生成装置７００の入出力は入出力インタフェース７０４を用いて行われる。
　通信装置７０５はレシーバおよびトランスミッタである。例えば、通信装置７０５は通信チップまたはＮＩＣである。変換鍵生成装置７００の通信は通信装置７０５を用いて行われる。

　変換鍵生成装置７００は、受付部７１０と生成部７２０と出力部７３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置７０３には、受付部７１０と生成部７２０と出力部７３０としてコンピュータを機能させるための変換鍵生成プログラムが記憶されている。変換鍵生成プログラムは、メモリ７０２にロードされて、プロセッサ７０１によって実行される。
　補助記憶装置７０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ７０２にロードされて、プロセッサ６０１によって実行される。
　プロセッサ７０１は、ＯＳを実行しながら、変換鍵生成プログラムを実行する。

　変換鍵生成プログラムの入出力データは記憶部７９０に記憶される。
　補助記憶装置７０３は記憶部７９０として機能する。ただし、メモリ７０２、プロセッサ７０１内のレジスタおよびプロセッサ７０１内のキャッシュメモリなどの記憶装置が、補助記憶装置７０３の代わりに、または、補助記憶装置７０３と共に、記憶部７９０として機能してもよい。

　変換鍵生成装置７００は、プロセッサ７０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ７０１の機能を分担する。

　変換鍵生成装置７００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図８は、本実施の形態に係る鍵変換装置８００の構成例を示す図である。
　鍵変換装置８００は、プロセッサ８０１とメモリ８０２と補助記憶装置８０３と入出力インタフェース８０４と通信装置８０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ８０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ８０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ８０２は揮発性または不揮発性の記憶装置である。メモリ８０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ８０２はＲＡＭである。メモリ８０２に記憶されたデータは必要に応じて補助記憶装置８０３に保存される。
　補助記憶装置８０３は不揮発性の記憶装置である。例えば、補助記憶装置８０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置８０３に記憶されたデータは必要に応じてメモリ８０２にロードされる。
　入出力インタフェース８０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース８０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。鍵変換装置８００の入出力は入出力インタフェース８０４を用いて行われる。
　通信装置８０５はレシーバおよびトランスミッタである。例えば、通信装置８０５は通信チップまたはＮＩＣである。鍵変換装置８００の通信は通信装置８０５を用いて行われる。

　鍵変換装置８００は、受付部８１０と変換部８２０と出力部８３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置８０３には、受付部８１０と変換部８２０と出力部８３０としてコンピュータを機能させるための鍵変換プログラムが記憶されている。鍵変換プログラムは、メモリ８０２にロードされて、プロセッサ８０１によって実行される。
　補助記憶装置８０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ８０２にロードされて、プロセッサ８０１によって実行される。
　プロセッサ８０１は、ＯＳを実行しながら、鍵変換プログラムを実行する。

　鍵変換プログラムの入出力データは記憶部８９０に記憶される。
　補助記憶装置８０３は記憶部８９０として機能する。ただし、メモリ８０２、プロセッサ８０１内のレジスタおよびプロセッサ８０１内のキャッシュメモリなどの記憶装置が、補助記憶装置８０３の代わりに、または、補助記憶装置８０３と共に、記憶部８９０として機能してもよい。

　鍵変換装置８００は、プロセッサ８０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ８０１の機能を分担する。

　鍵変換装置８００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

　図９は、本実施の形態に係る再暗号化装置９００の構成例を示す図である。
　再暗号化装置９００は、プロセッサ９０１とメモリ９０２と補助記憶装置９０３と入出力インタフェース９０４と通信装置９０５といったハードウェアを備えるコンピュータである。これらのハードウェアは、信号線を介して互いに接続されている。

　プロセッサ９０１は、演算処理を行うＩＣであり、他のハードウェアを制御する。例えば、プロセッサ９０１はＣＰＵ、ＤＳＰまたはＧＰＵである。
　メモリ９０２は揮発性または不揮発性の記憶装置である。メモリ９０２は、主記憶装置またはメインメモリとも呼ばれる。例えば、メモリ９０２はＲＡＭである。メモリ９０２に記憶されたデータは必要に応じて補助記憶装置９０３に保存される。
　補助記憶装置９０３は不揮発性の記憶装置である。例えば、補助記憶装置９０３は、ＲＯＭ、ＨＤＤまたはフラッシュメモリである。補助記憶装置９０３に記憶されたデータは必要に応じてメモリ９０２にロードされる。
　入出力インタフェース９０４は、入力装置および出力装置が接続されるポートである。例えば、入出力インタフェース９０４はＵＳＢ端子であり、入力装置はキーボードおよびマウスであり、出力装置はディスプレイである。再暗号化装置９００の入出力は入出力インタフェース９０４を用いて行われる。
　通信装置９０５はレシーバおよびトランスミッタである。例えば、通信装置９０５は通信チップまたはＮＩＣである。再暗号化装置９００の通信は通信装置９０５を用いて行われる。

　再暗号化装置９００は、受付部９１０と再暗号化部９２０と出力部９３０といった要素を備える。これらの要素はソフトウェアで実現される。

　補助記憶装置９０３には、受付部９１０と再暗号化部９２０と出力部９３０としてコンピュータを機能させるための再暗号化プログラムが記憶されている。再暗号化プログラムは、メモリ９０２にロードされて、プロセッサ９０１によって実行される。
　補助記憶装置９０３には、さらに、ＯＳが記憶されている。ＯＳの少なくとも一部は、メモリ９０２にロードされて、プロセッサ９０１によって実行される。
　プロセッサ９０１は、ＯＳを実行しながら、再暗号化プログラムを実行する。

　再暗号化プログラムの入出力データは記憶部９９０に記憶される。
　補助記憶装置９０３は記憶部９９０として機能する。ただし、メモリ９０２、プロセッサ９０１内のレジスタおよびプロセッサ９０１内のキャッシュメモリなどの記憶装置が、補助記憶装置９０３の代わりに、または、補助記憶装置９０３と共に、記憶部９９０として機能してもよい。

　再暗号化装置９００は、プロセッサ９０１を代替する複数のプロセッサを備えてもよい。複数のプロセッサは、プロセッサ９０１の機能を分担する。

　再暗号化装置９００は、光ディスクまたはフラッシュメモリ等の不揮発性の記録媒体にコンピュータ読み取り可能に記録（格納）することができる。

＊＊＊動作の説明＊＊＊
　次に、本実施の形態に係る秘匿検索システム１００の動作について説明する。秘匿検索システム１００の動作手順は、秘匿検索方法に相当する。また、秘匿検索システム１００の動作を実現するプログラムは、秘匿検索プログラムに相当する。

　図１０は、本実施の形態に係る秘匿検索システム１００の動作を示すフローチャートである。

＜マスター鍵生成：Ｓ１１０＞
　ステップＳ１１０において、マスター鍵生成装置２００は、マスター鍵ＭＫと、公開パラメータＰＰと、を生成する。

　図１１は、本実施の形態に係るマスター鍵生成（Ｓ１１０）の手順を示すフローチャートである。
　マスター鍵生成（Ｓ１１０）は、マスター鍵生成装置２００によって実行される処理である。

　ステップＳ１１１において、受付部２１０は、鍵長ＢＩＴを受け付ける。
　鍵長ＢＩＴは、マスター鍵ＭＫの長さであり、正の整数（自然数）で表される。

　ステップＳ１１２において、生成部２２０は、鍵長ＢＩＴに基づいて、マスター鍵ＭＫと公開パラメータＰＰとを生成する。
　具体的には、以下の通りである。

　まず、生成部２２０は、ＢＩＴ／２と同じビット長を有する２つの素数（Ｐ，Ｑ）をランダムに選ぶ。
　次に、生成部２２０は、素数Ｐと素数Ｑの積Ｎ（＝Ｐ＊Ｑ）を算出する。
　次に、生成部２２０は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ｇを選ぶ。
　次に、生成部２２０は、整数ｇの二乗を積Ｎで割って余りＧ（＝ｇ＊ｇ　ｍｏｄＮ）を算出する。「ｘ　ｍｏｄｙ」は整数ｘを整数ｙで割ったときの余りを意味する。
　ここで、（Ｐ－１）＊（Ｑ－１）を計算して得られる積を「Ｚ」と記す。
　次に、生成部２２０は、１以上（Ｚ－１）以下の整数の集合｛１，２，・・・，Ｚ－１｝から、ランダムに整数Ｘを選ぶ。
　また、生成部２２０は、暗号的関数Ｆを選択する。暗号的関数Ｆは暗号的ハッシュ関数である。暗号的関数Ｆの具体例は、ＳＨＡ－２５６またはＳＨＡ－５１２である。
　そして、生成部２２０は、マスター鍵ＭＫと公開パラメータＰＰとを生成する。
　マスター鍵ＭＫは、素数Ｐと、素数Ｑと、余りＧと、整数Ｚと、整数Ｘと、を含む。
　公開パラメータＰＰは、積Ｎと、暗号的関数Ｆの識別子と、を含む。

　マスター鍵ＭＫは以下のように表される。
　ＭＫ＝（Ｐ，Ｑ，Ｇ，Ｚ，Ｘ）
　公開パラメータＰＰは以下のように表される。
　ＰＰ＝（Ｎ，Ｆ）

　ステップＳ１１３において、生成部２２０は、マスター鍵ＭＫと公開パラメータＰＰを記憶部２９０に記憶して保管する。

　ステップＳ１１４において、出力部２３０は、マスター鍵ＭＫと公開パラメータＰＰとを出力する。
　例えば、出力部２３０は、通信装置２０５を用いて、マスター鍵ＭＫを分割鍵生成装置３００と鍵変換装置８００とへ送信する。
　マスター鍵ＭＫは、登録秘密鍵ＥＫあるいは検索秘密鍵ＳＫを生成するために用いられる。あるいは、マスター鍵ＭＫは、マスター鍵ＭＫを変換する際に用いられる。

　さらに、出力部２３０は、公開パラメータＰＰを出力する。
　例えば、出力部２３０は、通信装置２０５を用いて、公開パラメータＰＰを、分割鍵生成装置３００と登録要求装置４００と検索要求装置５００とデータ管理装置６００と変換鍵生成装置７００と鍵変換装置８００と再暗号化装置９００のそれぞれに送信する。
　公開パラメータＰＰは、登録秘密鍵ＥＫの生成、検索秘密鍵ＳＫの生成、暗号化データＣの登録、暗号化データＣの検索、検索クエリＳＱの生成、登録秘密鍵ＥＫの再生成、検索秘密鍵ＳＫの再生成、変換鍵ＴＫの生成、マスター鍵ＭＫの鍵変換、登録秘密鍵ＥＫの鍵変換、検索秘密鍵ＳＫの鍵変換、および、暗号化データＣの再暗号化に用いられる。

　図１０に戻り、ステップＳ１２０から説明を続ける。

＜分割鍵生成：Ｓ１２０＞
　ステップＳ１２０において、分割鍵生成装置３００は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、登録秘密鍵ＥＫと検索秘密鍵ＳＫを生成する。

　登録秘密鍵ＥＫは、データの暗号化、および、登録の際における暗号化されたデータの変換に用いられる。
　登録秘密鍵ＥＫは、登録鍵ＥＫ１と登録補助鍵ＥＫ２とからなる。
　登録鍵ＥＫ１は、データの暗号化に用いられる。
　登録補助鍵ＥＫ２は、暗号化されたデータの変換に用いられる。

　検索秘密鍵ＳＫは、検索に用いるキーワードから検索に用いるクエリを生成するために用いられるとともに、生成されたクエリの変換に用いられる。
　検索秘密鍵ＳＫは、検索鍵ＳＫ１と検索補助鍵ＳＫ２とからなる。
　検索鍵ＳＫ１は、検索に用いるキーワードから検索に用いるクエリを生成するために用いられる。
　検索補助鍵ＳＫ２は、生成されたクエリの変換に用いられる。

　図１２は、本実施の形態に係る分割鍵生成（Ｓ１２０）の手順を示すフローチャートである。
　分割鍵生成（Ｓ１２０）は、分割鍵生成装置３００によって実行される処理である。

　ステップＳ１２１において、受付部３１０は、マスター鍵ＭＫと公開パラメータＰＰを受け付け、マスター鍵ＭＫと公開パラメータＰＰを記憶部３９０に記憶して保管する。
　ただし、マスター鍵ＭＫと公開パラメータＰＰが既に記憶されている場合、ステップＳ１２１は不要である。

　ステップＳ１２２において、分割鍵生成部３２０は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、登録秘密鍵ＥＫ＝（ＥＫ１，ＥＫ２）を生成する。
　まず、分割鍵生成部３２０は、１以上（Ｚ－１）以下の整数の集合｛１，２，・・・，Ｚ－１｝から、ランダムに整数ｅｋ１を選ぶ。
　次に、分割鍵生成部３２０は、ＥＫ１＝Ｇ＾ｅｋ１　ｍｏｄＮを計算する。
　次に、分割鍵生成部３２０は、「Ｘ＝ｅｋ１＊ＥＫ２　ｍｏｄＺ」となる１以上（Ｚ－１）以下の整数ＥＫ２を求める。この求め方は、拡張ユークリッドの互除法から効率的に算出することが可能である。

　ステップＳ１２３において、分割鍵生成部３２０は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、検索秘密鍵ＳＫ＝（ＳＫ１，ＳＫ２）を生成する。
　まず、分割鍵生成部３２０は、１以上（Ｚ－１）以下の整数の集合｛１，２，・・・，Ｚ－１｝から、ランダムに整数ｓｋ１を選ぶ。
　次に、分割鍵生成部３２０は、ＳＫ１＝Ｇ＾ｓｋ１　ｍｏｄＮを計算する。
　次に、分割鍵生成部３２０は、「Ｘ＝ＳＫ１＊ＳＫ２　ｍｏｄＺ」となる１以上（Ｚ－１）以下の整数ＥＫ２を求める。この求め方は、拡張ユークリッドの互除法から効率的に算出することが可能である。

　ステップＳ１２４において、分割鍵生成部３２０は、登録秘密鍵ＥＫと検索秘密鍵ＳＫとを記憶部３９０に記憶して保管する。

　ステップＳ１２５において、出力部３３０は、登録秘密鍵ＥＫと検索秘密鍵ＳＫを出力する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録鍵ＥＫ１を登録要求装置４００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、検索鍵ＳＫ１を検索要求装置５００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録補助鍵ＥＫ２と検索補助鍵ＳＫ２とをデータ管理装置６００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録秘密鍵ＥＫと検索秘密鍵ＳＫとを鍵変換装置８００に送信する。

　登録鍵ＥＫ１は、暗号化データＣの生成に用いられる。
　登録補助鍵ＥＫ２は、暗号化データＣの変換に用いられる。
　検索鍵ＳＫ１は、検索クエリＳＱの生成に用いられる。
　検索補助鍵ＥＫ２は、検索クエリＳＱの変換に用いられる。

　図１０に戻り、ステップＳ１３０から説明を続ける。
　ステップＳ１３０からステップＳ１４０、ステップＳ１５０からステップＳ１６０、ステップＳ１７０、ステップＳ１８０、ステップＳ１９０からステップＳ２１０は、繰り返し実行される。

　暗号化データＣが登録される場合、処理はステップＳ１３０に進む。
　例えば、利用者が暗号化データＣの登録命令を登録要求装置４００に入力した場合、処理はステップＳ１３０に進む。

　暗号化データＣが検索される場合、処理はステップＳ１５０に進む。
　例えば、利用者が暗号化データＣの検索命令を検索要求装置５００に入力した場合、処理はステップＳ１５０に進む。

　データ名に基づいて暗号化データＣが削除される場合、処理はステップＳ１７０に進む。
　例えば、利用者が暗号化データＣの削除命令を登録要求装置４００に入力した場合、処理はステップＳ１７０に進む。

　登録秘密鍵ＥＫと検索秘密鍵ＳＫとを再生成する場合、処理はステップＳ１８０に進む。
　例えば、分割鍵生成装置３００は、定期的に登録秘密鍵ＥＫと検索秘密鍵ＳＫの使用期間を基準期間と比較する。そして、登録秘密鍵ＥＫと検索秘密鍵ＳＫの使用期間が基準期間を超えている場合、処理はステップＳ１８０に進む。
　例えば、管理者が、登録鍵ＥＫ１もしくは登録補助鍵ＥＫ２のいずれか一方、または、検索鍵ＳＫ１もしくは検索補助鍵ＳＫ２のいずれか一方が漏洩したと判断する。そして、管理者が、それらの秘密鍵の更新命令を分割鍵生成装置３００に入力した場合、処理はステップＳ１８０に進む。

　登録秘密鍵ＥＫと検索秘密鍵ＳＫを変換、かつ、暗号化データＣを再暗号化する場合、処理はステップＳ１９０に進む。
　例えば、管理者が、登録鍵ＥＫ１かつ登録補助鍵ＥＫ２、または、検索鍵ＳＫ１かつ検索補助鍵ＳＫ２が漏洩したと判断する。そして、管理者が、それらの秘密鍵の更新および暗号化データＣの再暗号化命令を変換鍵生成装置７００と鍵変換装置８００と再暗号化装置９００とに入力した場合、処理はステップＳ１９０に進む。

＜登録要求：Ｓ１３０＞
　ステップＳ１３０において、登録要求装置４００は、暗号化データＣを生成し、暗号化データＣをデータ管理装置６００へ送信する。
　登録要求装置４００の生成部４２０は、登録鍵ＥＫ１と平文データＤと公開パラメータＰＰとを取得する。そして、生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと用いて平文データＤを暗号化することにより暗号化データＣを生成する。このとき、生成部４２０は、公開パラメータＰＰを用いて暗号化データＣの生成に用いる乱数を生成する。そして、生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと乱数とを用いて暗号化データを生成する。この乱数により、暗号化データをランダム化できる。

　本実施の形態では、生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと乱数とを用いて、平文データＤに含まれる登録キーワードを暗号化し、暗号化により得られた暗号化タグＥＴを暗号化データＣとして生成する。
　具体的には、以下の通りである。

　図１３は、本実施の形態に係る登録要求（Ｓ１３０）の手順を示すフローチャートである。
　登録要求（Ｓ１３０）は、登録要求装置４００によって実行される処理である。

　ステップＳ１３１において、受付部４１０は、登録鍵ＥＫ１と公開パラメータＰＰと平文データＤとを受け付け、登録鍵ＥＫ１と公開パラメータＰＰを記憶部４９０に記憶して保管する。
　登録鍵ＥＫ１と公開パラメータＰＰが既に保管されている場合、登録鍵ＥＫ１のみを置き換えて保管する。
　平文データＤは、暗号化されていないデータである。
　平文データＤには、データ名ＩＤ（Ｄ）がメタデータとして含まれる。識別子は一意となるデータである。
　複数の平文データＤが受け付けられてもよい。その場合、平文データＤごとにステップＳ１３２からステップＳ１３５が実行される。

　ステップＳ１３２において、キーワード生成部４２１は、登録キーワード集合Ｗを生成する。
　登録キーワード集合Ｗは、平文データＤに関するキーワードの集合である。
　具体的には、キーワード生成部４２１は、平文データＤに対して形態素解析または自然言語処理といった処理を行うことによって、平文データＤからキーワードを１つ以上抽出する。抽出された複数のキーワードが登録キーワード集合Ｗとなる。
　例えば、登録キーワードＷはｎ個のキーワードからなるとする。すなわち、登録キーワードＷは｛ｗ１，・・・，ｗｎ｝とする。ただし、ｎは１以上の整数とする。

　キーワード生成部４２１が登録キーワードＷを生成する代わりに、受付部４１０が、入出力インタフェース４０４を介して、登録要求装置４００に入力される登録キーワードＷを受け付けてもよい。

　ステップＳ１３３において、乱数生成部４２２は、公開パラメータＰＰを用いて暗号化タグ用乱数ＫＲを生成する。
　暗号化タグ用乱数ＫＲは、後述する登録キーワード集合Ｗを暗号化するための乱数である。
　具体的には、乱数生成部４２２は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数を選ぶ。このランダムな整数は登録キーワード集合Ｗの要素数と同じだけ選ぶ。このランダムな整数の集合が暗号化タグ用乱数ＫＲである。
　例えば、登録キーワード集合Ｗ＝｛ｗ１，・・・，ｗｎ｝の場合、暗号化タグ用乱数ＫＲは｛ｋｒ１，・・・，ｋｒｎ｝となる。
　なお、もし高速に秘匿検索処理することを考慮してランダム化が不用であれば、ｋｒ１からｋｒｎの値をｋｒ１＝・・・＝ｋｒｎ＝１として設定すればよい。

　ステップＳ１３４において、暗号化タグ生成部４２３は、登録鍵ＥＫ１と公開パラメータＰＰと暗号化タグ用乱数ＫＲを用いて登録キーワード集合Ｗを暗号化し、暗号化タグＥＴを生成する。
　具体的に、暗号化タグ生成部４２３は、登録キーワード集合Ｗ＝｛ｗ１，・・・，ｗｎ｝と暗号化タグ用乱数ＫＲ＝｛ｋｒ１，・・・，ｋｒｎ｝に対して、すべてのｉについて以下の暗号化タグ要素ＥＴｉを計算する。ただし、ｉは１以上ｎ以下の整数である。
　ＥＴｉ＝（ＥＴｉ１，ＥＴｉ２）
　ＥＴｉ１＝ＥＫ１＾（Ｆ（ｗ）＊ｋｒｉ）　ｍｏｄＮ
　ＥＴｉ２＝ｋｒｉ

　次に、暗号化タグ生成部４２３は、暗号化タグＥＴとして次のように生成する。
　ＥＴ＝（ＩＤ（Ｄ），ＥＴ１，・・・，ＥＴｎ）
　この暗号化タグＥＴが、本実施の形態における暗号化データＣに相当する。

　ステップＳ１３５において、要求部４３０は、暗号化タグＥＴをデータ管理装置６００に送付する。

　図１０に戻り、ステップＳ１４０から説明を続ける。

＜登録操作：Ｓ１４０＞
　ステップＳ１４０において、データ管理装置６００は、暗号化データＣを受信し、暗号化データＣを変換して記憶部６９０に登録する。本実施の形態では、暗号化データＣは暗号化タグＥＴに相当する。
　データ管理装置６００の登録部６３０は、登録補助鍵ＥＫ２と公開パラメータＰＰとを用いて暗号化データＣを変換する。登録部６３０は、変換により得られた変換暗号化データを、平文データＤを識別する識別子ＩＤ（Ｄ）と対応付けて登録データベース６９１に登録する。
　具体的には、以下の通りである。

　図１４は、本実施の形態に係る登録操作（Ｓ１４０）の手順を示すフローチャートである。
　登録操作（Ｓ１４０）は、データ管理装置６００によって実行される処理である。

　ステップＳ１４１において、受付部６１０は、登録補助鍵ＥＫ２と公開パラメータＰＰと暗号化タグＥＴとを受け付ける。その後、鍵管理部６２０は、登録補助鍵ＥＫ２と公開パラメータＰＰを記憶部６９０に記憶して保管する。
　登録補助鍵ＥＫ２と公開パラメータＰＰが既に保管されている場合、登録補助鍵ＥＫ２のみを置き換えて保管する。
　複数の暗号化タグＥＴが受け付けられてもよい。その場合、暗号化タグＥＴごとにステップＳ１４２とステップＳ１４３が実行される。

　ステップＳ１４２において、変換部６３１は、登録補助鍵ＥＫ２と公開パラメータＰＰとを用いて暗号化タグＥＴを変換し、変換暗号化タグＴＥＴを生成する。
　具体的に、変換部６３１は、暗号化タグＥＴ＝｛ＩＤ（Ｄ），ＥＴ１，・・・，ＥＴｎ｝に対して、すべてのｉについて以下のように変換暗号化タグ要素ＴＥＴｉを計算する。ただし、ｉは１以上ｎ以下の整数で、ＥＴｉ＝（ＥＴｉ１，ＥＴｉ２）である。
　ＴＥＴｉ＝（ＴＥＴｉ１，ＴＥＴｉ２）
　ＴＥＴｉ１＝ＥＴｉ１＾ＥＫ２　ｍｏｄＮ
　ＴＥＴｉ２＝ＥＴｉ２

　次に、変換部６３１は、変換暗号化タグＴＥＴとして次のように生成する。
　ＴＥＴ＝（ＩＤ（Ｄ），ＴＥＴ１，・・・，ＴＥＴｎ）

　ステップＳ１４３おいて、保管部６３２は、変換暗号化タグＴＥＴを登録データベース６９１に登録する。
　登録データベース６９１は、データ管理装置６００の記憶部６９０に記憶して保管される。

　図１５は、本実施の形態に係る登録データベース６９１の例を示す図である。
　図１５において、１行のデータが１つの変換暗号化タグＴＥＴに相当する。
　１行のデータにおいて、データ名ＩＤ（Ｄ）と変換暗号化タグＴＥＴとが互いに対応付けられる。

　図１０に戻り、ステップＳ１５０から説明を続ける。

＜検索要求：Ｓ１５０＞
　ステップＳ１５０において、検索要求装置５００は、検索クエリＳＱを生成し、検索クエリＳＱをデータ管理装置６００へ送信する。
　検索要求装置５００の生成部５２０は、検索鍵ＳＫ１と検索キーワードｗと公開パラメータＰＰとを取得し、検索鍵ＳＫ１と公開パラメータＰＰとを用いて検索キーワードｗから検索クエリＳＱを生成する。生成部５２０は、公開パラメータＰＰを用いて検索クエリＳＱの生成に用いる乱数を生成し、検索鍵ＳＫ１と公開パラメータＰＰと乱数とを用いて検索クエリＳＱを生成する。
　検索要求装置５００の要求部１５４は、データ管理装置に検索クエリＳＱを送信する。そして、要求部１５４は、データ管理装置６００から、検索クエリＳＱと一致する暗号化データＣに対応する識別子ＩＤ（Ｄ）を検索結果ＤＡＴＡとして取得する。
　具体的には、以下の通りである。

　図１６は、本実施の形態に係る検索要求（Ｓ１５０）の手順を示すフローチャートである。
　検索要求（Ｓ１５０）は、検索要求装置５００によって実行される処理である。

　ステップＳ１５１において、受付部５１０は、検索鍵ＳＫ１と公開パラメータＰＰと検索キーワードｓｗとを受け付ける。そして、受付部５１０は、検索鍵ＳＫ１と公開パラメータＰＰを記憶部５９０に記憶して保管する。
　検索鍵ＳＫ１と公開パラメータＰＰが既に保管されている場合、検索鍵ＳＫ１のみを置き換えて保管する。
　検索キーワードｓｗは、暗号化されていないキーワードデータである。
　複数の検索キーワードｓｗが受け付けられてもよい。その場合、検索キーワードｓｗごとにステップＳ１５２とステップＳ１５３が実行される。

　ステップＳ１５２において、乱数生成部５２１は、公開パラメータＰＰを用いて検索クエリ用乱数ＱＲを生成する。
　検索クエリ用乱数ＱＲは、検索クエリＳＱを暗号化するための乱数である。
　具体的には、乱数生成部５２１は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ＱＲを選ぶ。
　なお、もし高速に秘匿検索処理することを考慮してランダム化が不用であれば、ＱＲの値をＱＲ＝１として設定すればよい。

　ステップＳ１５３において、検索クエリ生成部５２２は、検索鍵ＳＫ１と公開パラメータＰＰと検索クエリ用乱数ＱＲを用いて検索キーワードｓｗを暗号化し、検索クエリＳＱを生成する。
　具体的に、検索クエリ生成部５２２は、検索キーワードｓｗと検索クエリ用乱数ＱＲに対して、以下の検索クエリＳＱを計算する。
　ＳＱ＝（ＳＱ１，ＳＱ２）
　ＳＱ１＝ＳＫ１＾（Ｆ（ｓｗ）＊ＱＲ）　ｍｏｄＮ
　ＳＱ２＝ＱＲ

　ステップＳ１５４において、要求部５３０は、検索クエリＳＱをデータ管理装置６００に送付する。

　ステップＳ１５５において、要求部５３０は、通信装置５０５を用いて、データ管理装置６００から検索結果ＤＡＴＡを受信する。
　検索結果ＤＡＴＡとは、検索クエリＳＱとマッチした暗号化タグのデータ名ＩＤ（Ｄ）の集合である。すなわち、検索クエリＳＱとマッチしたデータのデータ名の集合である。

　ステップＳ１５６において、出力部５４０は、検索結果ＤＡＴＡを出力する。
　例えば、出力部５４０は、入出力インタフェース５０４を介して、検索結果ＤＡＴＡをディスプレイに表示する。
　ただし、検索結果ＤＡＴＡが空集合である場合、出力部５４０は、検索エラーメッセージを出力する。
　検索エラーメッセージは、秘匿検索でヒットした平文データＤが無いことを示す。

　図１０に戻り、ステップＳ１６０から説明を続ける。

＜検索操作：Ｓ１６０＞
　ステップＳ１６０において、データ管理装置６００は、検索クエリＳＱに合致する変換された暗号化データを検索する。本実施の形態では、変換された暗号化データＣである変換暗号化データは変換暗号化タグＴＥＴに相当する。
　データ管理装置６００の検索部６４０は、検索補助鍵ＳＫ２と公開パラメータＰＰとを取得し、検索補助鍵ＳＫ２と公開パラメータＰＰとを用いて検索クエリＳＱを変換する。検索部６４０は、変換により得られた変換検索クエリＴＳＱと変換暗号化データとを照合し、変換検索クエリＴＳＱと一致する変換暗号化データに対応する識別子ＩＤ（Ｄ）を抽出する。
　具体的には、以下の通りである。

　図１７は、本実施の形態に係る検索操作（Ｓ１６０）の手順を示すフローチャートである。
　検索操作（Ｓ１６０）は、データ管理装置６００によって実行される処理である。

　ステップＳ１６１において、受付部６１０は、検索補助鍵ＳＫ２と公開パラメータＰＰと検索クエリＳＱとを受け付ける。その後、鍵管理部６２０は、検索補助鍵ＳＫ２と公開パラメータＰＰを記憶部６９０に記憶して保管する。
　検索補助鍵ＳＫ２と公開パラメータＰＰが既に保管されている場合、検索補助鍵ＳＫ２のみを置き換えて保管する。
　複数の検索クエリＳＱが受け付けられてもよい。その場合、検索クエリＳＱごとにステップＳ１６２からステップＳ１６４が実行される。

　ステップＳ１６２において、変換部６４１は、検索補助鍵ＳＫ２と公開パラメータＰＰとを用いて検索クエリＳＱを変換し、変換検索クエリＴＳＱを生成する。
　具体的に、変換部６４１は、検索クエリＳＱ＝｛ＳＱ１，ＳＱ２｝に対して、以下のように変換検索クエリＴＳＱを計算する。
　ＴＳＱ＝（ＴＳＱ１，ＴＳＱ２）
　ＴＳＱ１＝ＳＱ１＾ＳＫ２　ｍｏｄＮ
　ＴＳＱ２＝ＳＱ２

　ステップＳ１６３において、照合部６４２は、変換検索クエリＴＳＱを登録データベース６９１の中の各変換暗号化タグＴＥＴと照合し、変換検索クエリＴＳＱに合致する変換暗号化タグＴＥＴを見つける。
　具体的に、照合部６４２は、変換検索クエリを各変換暗号化タグＴＥＴに対して以下のように照合する。なお、ｉは１以上ｍ以下の整数、ｋは１以上の整数である。
　ＴＥＴ＝（ＩＤ（Ｄ），ＴＥＴ１，・・・，ＴＥＴｋ）
　ＴＥＴｉ＝（ＴＥＴｉ１，ＴＥＴｉ２）
　Ｍ１＝ＴＥＴｉ１＾ＴＳＱ２　ｍｏｄＮ
　Ｍ２＝ＴＳＱ１＾ＴＥＴｉ２　ｍｏｄＮ
　Ｍ１＝？Ｍ２
　すなわち、各変換暗号化タグＴＥＴに対して、Ｍ１とＭ２が等しくなるかを計算する。もし等しくなるのであれば、一致していると判定する。

　例えば、ｉ＝ｋ＝１のとき、変換暗号化タグＴＥＴ＝（ＩＤ（Ｄ），ＴＥＴ１）を以下のように表すことができる。
　ＴＥＴ１１＝Ｇ＾（ｅｋ１＊ＥＫ２＊Ｆ（ｗ）＊ｋｒ）
　　　　　　＝Ｇ＾（Ｘ＊Ｆ（ｗ）＊ｋｒ）
　ＴＥＴ１２＝ｋｒ
　また、変換検索クエリＴＳＱ＝（ＴＳＱ１，ＴＳＱ２）を以下のように表すことができる。
　ＴＳＱ１＝Ｇ＾（ｓｋ１＊ＳＫ２＊Ｆ（ｋｗ）＊ＱＲ）
　　　　　＝Ｇ＾（Ｘ＊Ｆ（ｋｗ）＊ＱＲ）
　ＴＳＱ２＝ＱＲ

　このとき、Ｍ１とＭ２は次のように表すことができる。
　Ｍ１＝Ｇ＾（Ｘ＊Ｆ（ｗ）＊ｋｒ）＾ＱＲ　ｍｏｄＮ
　　　＝Ｇ＾（Ｘ＊Ｆ（ｗ）＊ｋｒ＊ＱＲ）　ｍｏｄＮ
　Ｍ２＝Ｇ＾（Ｘ＊Ｆ（ｓｗ）＊ＱＲ）＾ｋｒ　ｍｏｄＮ
　　　＝Ｇ＾（Ｘ＊Ｆ（ｓｗ）＊ＱＲ＊ｋｒ）　ｍｏｄＮ

　したがって、ｗ＝ｓｗとなればＭ１＝Ｍ２となり、そうでなければＭ１≠Ｍ２となる。

　ステップＳ１６４において、抽出部６４３は、ステップＳ１６３で変換検索クエリＴＳＱと一致した変換暗号化タグＴＥＴのＩＤ（Ｄ）を全て抽出して、検索結果ＤＡＴＡを生成する。
　具体的に、抽出部６４３は、一致した変換暗号化タグＴＥＴ＝（ＩＤ（Ｄ），ＴＥＴ１，・・・，ＴＥＴｋ）のＩＤ（Ｄ）を抽出し、検索結果ＤＡＴＡに含める。ただし、ｋは１以上の整数である。

　ステップＳ１６５において、出力部６５０は、通信装置６０５を用いて、検索結果ＤＡＴＡを検索要求装置５００へ送信する。

　図１０に戻り、ステップＳ１７０から説明を続ける。

＜データ削除：Ｓ１７０＞
　ステップＳ１７０において、データ管理装置６００は、削除ファイル名に対応する暗号化データＣを削除する。本実施の形態では、変換された暗号化データＣである変換暗号化データは変換暗号化タグＴＥＴに相当する。
　データ管理装置６００の登録部６３０は、登録データベース６９１から削除する平文データＤを識別する識別子ＩＤ（Ｄ）を取得し、識別子ＩＤ（Ｄ）に対応する変換暗号化データを登録データベース６９１から削除する。
　具体的には、以下の通りである。

　図１８は、本実施の形態に係るデータ削除（Ｓ１７０）の手順を示すフローチャートである。
　データ削除（Ｓ１７０）は、登録要求装置４００とデータ管理装置６００とによって実行される処理である。ただし、登録要求装置４００の代わりに検索要求装置５００または他の装置が使用されてもよい。

　ステップＳ１７１において、登録要求装置４００の受付部４１０は、削除ファイル名を受け付ける。
　例えば、受付部４１０は、入出力インタフェース４０４を介して、登録要求装置４００に入力される削除ファイル名を受け付ける。また、受付部４１０は、登録要求装置４００において実行されるアプリケーションプログラムから、削除ファイル名を受け付けてもよい。

　ステップＳ１７２において、登録要求装置４００の要求部４３０は、通信装置４０５を用いて、削除ファイル名をデータ管理装置６００へ送信する。

　ステップＳ１７３において、データ管理装置６００の受付部６１０は、通信装置６０５を用いて、削除ファイル名を受信する。
　ステップＳ１７４において、データ管理装置６００の登録部６３０は、削除ファイル名に対応する変換暗号化タグＴＥＴを登録データベース６９１から削除する。
　具体的には、登録部６３０は、削除ファイル名と同じデータ名ＩＤ（Ｄ）を含む変換暗号化タグＴＥＴを削除する。

　図１０に戻り、ステップＳ１８０から説明を続ける。

＜分割鍵再生成：Ｓ１８０＞
　ステップＳ１８０において、分割鍵生成装置３００は、登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’を再生成する。分割鍵生成装置３００は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’とをランダムに再生成する。そして、分割鍵生成装置３００は、すでに利用されている登録秘密鍵ＥＫと検索秘密鍵ＳＫを登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’に置き換える。

　図１９は、本実施の形態に係る分割鍵再生成（Ｓ１８０）の手順を示すフローチャートである。
　分割鍵再生成（Ｓ１８０）は、分割鍵生成装置３００によって実行される処理である。

　ステップＳ１８１において、受付部３１０は、マスター鍵ＭＫと公開パラメータＰＰを受け付け、マスター鍵ＭＫと公開パラメータＰＰを記憶部３９０に記憶して保管する。
　ただし、マスター鍵ＭＫと公開パラメータＰＰが既に記憶されている場合、ステップＳ１２１は不要である。

　ステップＳ１８２において、分割鍵生成部３２０は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、登録秘密鍵ＥＫ’＝（ＥＫ１’，ＥＫ２’）を再生成する。具体的な再生成方法はステップＳ１２２での登録秘密鍵ＥＫの生成方法と同じためここでは省略する。

　ステップＳ１８３において、分割鍵生成部３２０は、マスター鍵ＭＫと公開パラメータＰＰとを用いて、検索秘密鍵ＳＫ’＝（ＳＫ１’，ＳＫ２’）を再生成する。具体的な再生成方法はステップＳ１２３での検索秘密鍵ＳＫの生成方法と同じためここでは省略する。

　ステップＳ１８４において、分割鍵生成部３２０は、登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’を、登録秘密鍵ＥＫと検索秘密鍵ＳＫとして記憶部３９０に記憶して保管する。
　登録秘密鍵ＥＫと検索秘密鍵ＳＫとが記憶部３９０にすでに保管されている場合、その保管されている登録秘密鍵ＥＫと検索秘密鍵ＳＫは、新たにステップＳ１８２とステップＳ１８３で生成した登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’に置き換えられる。

　ステップＳ１８５において、出力部３３０は、登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’を出力する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録鍵ＥＫ１’を登録要求装置４００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、検索鍵ＳＫ１’を検索要求装置５００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録補助鍵ＥＫ２’と検索補助鍵ＳＫ２’とをデータ管理装置６００に送信する。
　例えば、出力部３３０は、通信装置３０５を用いて、登録秘密鍵ＥＫ’と検索秘密鍵ＳＫ’とを鍵変換装置８００に送信する。

　登録鍵ＥＫ１’は、暗号化データＣの生成に用いられる。
　登録補助鍵ＥＫ２’は、暗号化データＣの変換に用いられる。
　検索鍵ＳＫ１’は、検索クエリＳＱの生成に用いられる。
　検索補助鍵ＥＫ２’は、検索クエリＳＱの変換に用いられる。

　図１０に戻り、ステップＳ１９０から説明を続ける。

＜変換鍵生成：Ｓ１９０＞
　ステップＳ１９０において、変換鍵生成装置７００は、マスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫとを鍵変換する、および、変換暗号化タグＴＥＴを再暗号化するために、変換鍵ＴＫを生成する。

　図２０は、本実施の形態に係る変換鍵生成（Ｓ１９０）の手順を示すフローチャートである。
　変換鍵生成（Ｓ１９０）は、変換鍵生成装置７００によって実行される処理である。

　ステップＳ１９１において、受付部７１０は、公開パラメータＰＰを受け付け、公開パラメータＰＰを記憶部７９０に記憶して保管する。
　ただし、公開パラメータＰＰが既に記憶されている場合、ステップＳ１８１は不要である。

　ステップＳ１９２において、生成部７２０は、公開パラメータＰＰを用いて、変換鍵ＴＫを生成する。
　具体的に、分割鍵生成部３２０は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ＴＫを選ぶ。
　ステップＳ１９３において、生成部７２０は、変換鍵ＴＫを記憶部７９０に記憶して保管する。

　ステップＳ１９４において、出力部７３０は、変換鍵ＴＫを出力する。
　例えば、出力部７３０は、通信装置７０５を用いて、変換鍵ＴＫを鍵変換装置８００に送信する。
　変換ＴＫは、マスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫとの鍵変換に用いられる。また、変換暗号化タグＴＥＴの再暗号化に用いられる。

　図１０に戻り、ステップＳ２００から説明を続ける。

＜鍵変換：Ｓ２００＞
　ステップＳ２００において、鍵変換装置８００は、マスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫとを鍵変換する。
　鍵変換装置８００は、変換鍵ＴＫを用いて、マスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫとを鍵変換する。鍵変換装置８００は、鍵変換により得られた鍵変換後マスター鍵ＭＫ’と鍵変換後登録秘密鍵ＥＫ’と鍵変換後検索秘密鍵ＳＫ’を出力する。
　具体的には、以下の通りである。

　図２１は、本実施の形態に係る鍵変換（Ｓ２００）の手順を示すフローチャートである。
　鍵変換（Ｓ２００）は、鍵変換装置８００によって実行される処理である。

　ステップＳ２０１において、受付部８１０は、変換鍵ＴＫとマスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫと公開パラメータＰＰとを受け付ける。そして、受付部８１０は、変換鍵ＴＫとマスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫと公開パラメータＰＰとを記憶部６９０に記憶して保管する。
　変換鍵ＴＫとマスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫと公開パラメータＰＰとが既に保管されている場合、変換鍵ＴＫとマスター鍵ＭＫと登録秘密鍵ＥＫと検索秘密鍵ＳＫを置き換えて保管する。

　ステップＳ２０２において、変換部８２０は、変換鍵ＴＫと公開パラメータＰＰとを用いてマスター鍵ＭＫを鍵変換し、鍵変換後マスター鍵ＭＫ’を生成する。
　具体的に、変換部８２０は、マスター鍵ＭＫ＝（Ｐ，Ｑ，Ｇ，Ｚ，Ｘ）に対して、以下のように鍵変換後マスター鍵ＭＫを計算する。
　ＭＫ’＝（Ｐ，Ｑ，Ｇ’，Ｚ，Ｘ’）
　Ｇ’＝Ｇ＾（ＴＫ＾２）　ｍｏｄＮ
　Ｘ’＝Ｘ＊ＴＫ＾２　ｍｏｄＺ

　ステップＳ２０３において、変換部８２０は、変換鍵ＴＫと公開パラメータＰＰとを用いて登録秘密鍵ＥＫを鍵変換し、鍵変換後登録秘密鍵ＥＫ’を生成する。
　具体的に、変換部８２０は、登録秘密鍵ＥＫ＝（ＥＫ１，ＥＫ２）に対して、以下のように鍵変換後登録秘密鍵ＥＫ’を計算する。
　ＥＫ’＝（ＥＫ１’，ＥＫ２’）
　ＥＫ１’＝ＥＫ１＾ＴＫ　ｍｏｄＮ（＝Ｇ＾｛ｅｋ１＊ＴＫ｝　ｍｏｄＮ）
　ＥＫ２’＝ＥＫ２＊ＴＫ

　なお、上記では登録鍵ＥＫ１と登録補助鍵ＥＫ２を同時に鍵変換しているが、登録鍵ＥＫ１もしくは登録補助鍵ＥＫ２のいずれか一方のみの鍵変換でもよい。特に、登録鍵ＥＫ１は更新してもサイズが大きくならないが、登録補助鍵ＥＫ２は更新するとサイズが大きくなるため、ＥＫ１のみを更新することでサイズの増大を防ぐことができる。
　もし、登録鍵ＥＫ１もしくは登録補助鍵ＥＫ２のいずれか一方のみの鍵変換とした場合、以降のステップＳ２０４でも検索鍵ＳＫ１もしくは検索補助鍵ＳＫ２のいずれか一方のみの鍵変換をする。さらに、ステップＳ２０３でのマスター鍵ＭＫの鍵変換は次のように変更する。
　ＭＫ’＝（Ｐ，Ｑ，Ｇ’，Ｚ，Ｘ’）
　Ｇ’＝Ｇ＾ＴＫ　ｍｏｄＮ
　Ｘ’＝Ｘ＊ＴＫ　ｍｏｄＺ

　ステップＳ２０４において、変換部８２０は、変換鍵ＴＫと公開パラメータＰＰとを用いて検索秘密鍵ＳＫを鍵変換し、鍵変換後検索秘密鍵ＳＫ’を生成する。
　具体的に、変換部８２０は、検索秘密鍵ＳＫ＝（ＳＫ１，ＳＫ２）に対して、以下のように鍵変換後検索秘密鍵ＳＫ’を計算する。
　ＳＫ’＝（ＳＫ１’，ＳＫ２’）
　ＳＫ１’＝ＳＫ１＾ＴＫ　ｍｏｄＮ　（＝Ｇ＾｛ｓｋ１＊ＴＫ｝　ｍｏｄＮ）
　ＳＫ２’＝ＳＫ２＊ＴＫ

　なお、前述の通り、ステップＳ２０３で登録鍵ＥＫ１もしくは登録補助鍵ＥＫ２のいずれか一方のみの鍵変換をした場合、ステップＳ２０４でも検索鍵ＳＫ１もしくは検索補助鍵ＳＫ２のいずれか一方のみの鍵変換をする。またこの場合、鍵変換後マスター鍵ＭＫ’をＧ’＝Ｇ＾ＴＫ　ｍｏｄＮとＸ’＝Ｘ＊ＴＫ　ｍｏｄＺとして計算する。

　ステップＳ２０５において、出力部８３０は、鍵変換後マスター鍵ＭＫ’と鍵変換後登録秘密鍵ＥＫ’と鍵変換後検索秘密鍵ＳＫ’とを出力する。
　特に、鍵変換後マスター鍵ＭＫ’は、マスター鍵生成装置２００の記憶部２９０と、分割鍵生成装置３００の記憶部３９０とに保管されているマスター鍵ＭＫとを置き換えて保管される。
　また、鍵変換後登録秘密鍵ＥＫ’と鍵変換後検索秘密鍵ＳＫ’とは、分割鍵生成装置３００の記憶部３９０とに保管されている登録秘密鍵ＥＫと検索秘密鍵ＳＫとをそれぞれ置き換えて保管される。
　また、鍵変換後登録鍵ＥＫ１’は、登録要求装置４００の記憶部４９０に保管されている登録鍵ＥＫ１を置き換えて保管される。
　また、鍵変換後検索鍵ＳＫ１’は、検索要求装置５００の記憶部５９０に保管されている検索鍵ＳＫ１を置き換えて保管される。
　また、鍵変換後登録補助鍵ＥＫ２’と鍵変換後検索補助鍵ＳＫ２’は、データ管理装置６００の記憶部６９０に保管されている登録補助鍵ＥＫ２と検索補助鍵ＳＫ２とをそれぞれ置き換えて保管される。

　図１０に戻り、ステップＳ２１０から説明を続ける。

＜再暗号化：Ｓ２１０＞
　ステップＳ２１０において、再暗号化装置９００は、変換暗号化タグＴＥＴを再暗号化する。
　再暗号化装置９００の再暗号化部９２０は、変換鍵ＴＫと公開パラメータＰＰと変換暗号化データとを取得し、変換鍵ＴＫと公開パラメータＰＰとを用いて変換暗号化データを再暗号化する。再暗号化部９２０は、再暗号化により得られた再暗号化後変換暗号化データを出力する。
　データ管理装置６００の登録部６３０は、再暗号化装置９００から再暗号化後変換暗号化データを取得し、登録データベース６９１に登録されている変換暗号化データを再暗号化後変換暗号化データに置き換える。
　以下において、再暗号化後変換暗号化データは、再暗号化後変換暗号化タグＴＥＴ’に相当する。
　具体的には、以下の通りである。

　図２２は、本実施の形態に係る再暗号化（Ｓ２１０）の手順を示すフローチャートである。
　再暗号化（Ｓ２１０）は、再暗号化装置９００によって実行される処理である。

　ステップＳ２１１において、受付部９１０は、変換鍵ＴＫと公開パラメータＰＰと変換暗号化タグＴＥＴとを受け付け、変換鍵ＴＫと公開パラメータＰＰとを記憶部９９０に記憶して保管する。
　複数の変換暗号化タグＴＥＴが受け付けられてもよい。その場合、変換暗号化タグＴＥＴごとにステップＳ２１２とステップＳ２１３が実行される。

　ステップＳ２１２において、再暗号化部９２０は、変換鍵ＴＫと公開パラメータＰＰとを用いて変換暗号化タグＴＥＴを再暗号化し、再暗号化後変換暗号化タグＴＥＴ’を生成する。
　具体的に、再暗号化部９２０は、変換暗号化タグＴＥＴ＝（ＩＤ（Ｄ），ＴＥＴ１，・・・，ＴＥＴｋ）に対して、以下のように再暗号化後変換暗号化タグＴＥＴ’を計算する。ただし、ＴＥＴｉ＝（ＴＥＴｉ１，ＴＥＴｉ２）、ｉは１以上ｋ以下の整数とする。
　ＴＥＴ’＝（ＩＤ（Ｄ），ＴＥＴ１’，・・・，ＴＥＴｋ’）
　ＴＥＴｉ’＝（ＴＥＴｉ１’，ＴＥＴｉ２’）
　ＴＥＴｉ１’＝ＴＥＴｉ１＾ＴＫ　ｍｏｄＮ
　ＴＥＴｉ２’＝ＴＥＴｉ２

　なお、もし再暗号化時に安全性向上のためＴＥＴｉ’もランダム化したい場合は、次のように計算する。
　まず、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ＲＲを選ぶ。
　次に、各ＴＥＴｉ’＝（ＴＥＴｉ１’，ＴＥＴｉ２’）について以下を計算する。
　ＴＥＴｉ１’＝ＴＥＴｉ１＾（ＴＫ＊ＲＲ）　ｍｏｄＮ
　ＴＥＴｉ２’＝ＴＥＴｉ２＊ＲＲ

　ステップＳ２１３において、出力部９３０は、再暗号化後変換暗号化タグＴＥＴ’を出力する。
　特に、再暗号化後変換暗号化タグＴＥＴ’は、データ管理装置６００の記憶部９９０の登録データベース６９１に登録されている変換暗号化タグＴＥＴを置き換えて保管される。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係る秘匿検索システムによれば、鍵を分散配置することにより、登録者によるデータの暗号化および登録を制御するとともに、検索者による秘匿検索を制御することができるという効果を奏する。

　本実施の形態に係る秘匿検索システムによれば、分割鍵生成により秘密鍵を２つに分割し、いずれか片方の鍵を削除すると、もう一方の鍵だけでは検索できなくなる。このため、鍵失効を行うことができる。
　さらに、本実施の形態に係る秘匿検索システムによれば、分割鍵生成を何回も実行した場合でも、その度に新しい分割鍵が生成できる。このため、過去の分割鍵が現れることなく、鍵失効が安全に達成できる。

　本実施の形態に係る秘匿検索システムによれば、変換鍵を用いて分割鍵を鍵変換して新しい鍵を生成しつつ、その新しい鍵に対応した暗号化データを復号せずに検索可能な形で再暗号化できる。このため、高い安全性を達成するとともに、効率よく再暗号化処理が可能である。
　さらに、本実施の形態に係る秘匿検索システムによれば、変換鍵は何回も実行した場合でも、その度に新しい変換鍵が生成できる。このため、過去の変換鍵が現れることなく、鍵変換あるいは再暗号化が安全に達成できる。

　本実施の形態に係る秘匿検索システムによれば、乱数を使って、暗号化タグおよび検索クエリをランダム化できる。よって、暗号化タグおよび検索クエリが毎回異なる値になるように確率的に生成できる。このため、暗号化タグおよび検索クエリから中身の平文データおよび検索キーワードを推測することは困難である。このため、高い安全性を達成できる。

　以上のように、本実施の形態に係る秘匿検索システムによれば、鍵を分散配置して鍵の更新あるいは失効を達成しつつ、秘匿検索する暗号化データに対して復号を経由せず新しい鍵に再暗号化することを可能とする。さらに、暗号化データの確率的生成を可能とする。

　実施の形態２．
　本実施の形態では、主に、実施の形態１と異なる点および実施の形態１に追加する点について説明する。
　本実施の形態において、実施の形態１と同様の機能を有する構成については同一の符号を付し、その説明を省略する。

　本実施の形態では、実施の形態１で説明した暗号化タグＥＴの代わりに暗号化索引ＥＩを使う形態について説明する。
　本実施の形態について図２３から図３１に基づいて説明する。

＊＊＊構成の説明＊＊＊
　秘匿検索システム１００の構成は、実施の形態１における図１の構成と同じである。
　ただし、登録要求装置４００の構成の一部が実施の形態１における構成と異なる。

　図２３は、本実施の形態にかかる登録要求装置４００における生成部４２０の構成例を示す図である。
　登録要求装置４００は、実施の形態１の暗号化タグ生成部４２３の代わりに、索引用検索結果生成部４２４と暗号化索引生成部４２５といった要素を備える。

　図２４は、本実施の形態に係る秘匿検索システム１００の動作を示すフローチャートである。
　ステップＳ１１０、ステップＳ１２０、ステップＳ１７０、ステップＳ１８０、ステップＳ１９０、および、ステップＳ２００は、実施の形態１で説明した通りである。
　ステップＳ２３０、ステップＳ２４０、ステップＳ２５０、ステップＳ２６０、および、ステップＳ３１０について、以下に説明する。

＜登録要求：Ｓ２３０＞
　ステップＳ２３０において、登録要求装置４００は、暗号化データＣを生成し、暗号化データＣをデータ管理装置６００へ送信する。
　登録要求装置４００の生成部４２０は、登録鍵ＥＫ１と平文データＤと公開パラメータＰＰとを取得する。そして、生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと用いて平文データＤを暗号化することにより暗号化データＣを生成する。このとき、生成部４２０は、公開パラメータＰＰを用いて暗号化データＣの生成に用いる乱数を生成する。そして、生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと乱数とを用いて暗号化データを生成する。この乱数により、暗号化データをランダム化できる。

　本実施の形態では、生成部４２０は、複数の平文データの各平文データに含まれる登録キーワードで複数の平文データを検索する。生成部４２０は、登録鍵ＥＫ１と公開パラメータＰＰと乱数とを用いて、検索した結果を索引構造で示した索引用検索結果ＲＥＳを暗号化し、暗号化により得られた暗号化索引ＥＩを暗号化データＣとして生成する。
　具体的には、以下の通りである。

　図２５は、本実施の形態に係る登録要求（Ｓ２３０）の手順を示すフローチャートである。
　登録要求（Ｓ２３０）は、実施の形態１の登録要求（Ｓ１３０）に相当する。

　ステップＳ２３１において、受付部４１０は、登録鍵ＥＫ１と公開パラメータＰＰと平文データＤとを受け付ける。
　ステップＳ２３１は、実施の形態１のステップＳ１３１と同じである。
　平文データＤは１つでも複数受け付けてもよい。本実施の形態では複数の平文データＤを受け付けることを想定して説明する。このとき複数の平文データを｛Ｄ｝と表し、ｎ個のデータを受け付けたとする。このとき複数の平文データ｛Ｄ｝は｛Ｄ１，・・・，Ｄｎ｝と表す。

　ステップＳ２３２において、キーワード生成部４２１は、登録キーワード集合Ｗを生成する。
　ステップＳ２３２は、実施の形態１のステップＳ１３２と同じである。複数の平文データ｛Ｄ｝の各平文データに対して登録キーワード集合Ｗを生成する。この複数の登録キーワード集合を｛Ｗ｝と表し、複数の平文データ｛Ｄ｝がｍ個の平文データを含む場合は、複数の登録キーワード集合を｛Ｗ｝を｛Ｗ１，・・・，Ｗｍ｝と表せる。ただし、ｍは１以上の整数である。このとき、Ｄ１に対応する登録キーワード集合はＷ１、・・・、Ｄｍに対応する登録キーワード集合はＷｍとする。

　ステップＳ２３３において、索引用検索結果生成部４２４は、複数の登録キーワード集合｛Ｗ｝に基づいて、索引用検索結果ＲＥＳを生成する。
　具体的には、索引用検索結果生成部４２４は、複数の登録キーワード集合｛Ｗ｝に対して、各登録キーワード集合Ｗｉに含まれる各登録キーワードｗに対応する１つ以上のデータ名ＩＤ（Ｄ）を含むデータを生成する。生成されるデータが索引用検索結果ＲＥＳである。索引用検索結果ＲＥＳは、検索結果と称してもよい。

　索引用検索結果ＲＥＳは以下のように表される。
　ＲＥＳ＝｛（ｗ，ｒｅｓ）｝
　「ｗ」は、キーワードであり、複数の登録キーワード集合｛Ｗ｝のいずれかの登録キーワード集合Ｗｉに含まれる。
　「ｒｅｓ」は、識別子の集合であり、データ名ＩＤ（Ｄ）に相当する。ｒｅｓは１つ以上の識別子を含む。

　図２６は、本実施の形態に係る索引用検索結果ＲＥＳの構成例を示す図である。
　索引用検索結果ＲＥＳは、図２６に示すように転置索引構造を持つ。すなわち、キーワードからヒットする識別子を逆引きできるような構造を持つ。
　図２６において、索引用検索結果ＲＥＳは、キーワードごとに、キーワードと１つ以上のデータ名を互いに対応付けている。

　図２５に戻り、ステップＳ２３４から説明を続ける。
　ステップＳ２３４において、乱数生成部４２２は、暗号化索引用乱数ＩＲを生成する。
　具体的に、乱数生成部４２２は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ｉｒ１，ｉｒ２を選び、暗号化索引用乱数ＩＲ＝（ｉｒ１，ｉｒ２）として生成する。
　なお、もし高速に秘匿検索処理することを考慮してランダム化が不用であれば、ｉｒ１とｉｒ２をｉｒ１＝ｉｒ２＝１として設定すればよい。

　ステップＳ２３５において、暗号化索引生成部４２５は、登録鍵ＥＫ１と公開パラメータＰＰと暗号化索引用乱数ＩＲを用いて、索引用検索結果ＲＥＳを暗号化して暗号化索引ＥＩを生成する。
　この暗号化索引ＥＩが、本実施の形態における暗号化データＣに相当する。

　暗号化索引ＥＩは、索引用検索結果ＲＥＳが暗号化されたものであり、暗号化キーワードｋｅｙと暗号化識別子ｖａｌを含む。
　暗号化キーワードｋｅｙは、登録キーワードｗが暗号化されたものである。
　暗号化識別子の集合ｖａｌは、識別子の集合ｒｅｓが暗号化されたものである。

　例えば、暗号化索引ＥＩは以下のように表される。
　ＥＩ＝｛（ｋｅｙ，ｖａｌ）｝
　ｋｅｙ＝（ｋｅｙ１，ｋｅｙ２）
　ｋｅｙ１＝ＥＫ１＾（Ｆ（ｗ｜｜０）＊ｉｒ１）　ｍｏｄＮ
　ｋｅｙ２＝ｉｒ１
　ｖａｌ＝（ｖａｌ１，ｖａｌ２）
　ｖａｌ１＝ＥＫ１＾（Ｆ（ｗ｜｜１）＊ｉｒ２＊ｒｅｓ）　ｍｏｄＮ
　ｖａｌ２＝ｉｒ２

　なお、「｜｜」は文字列の結合を表す。また、暗号化索引ＥＩは一意的な識別子を持つとし、その値をＩＤ（ＥＩ）と記載する。
　また、ｖａｌ２を計算するために、ｒｅｓは例えばバイナリとしてみて１以上Ｎ－１以下の整数として変換してから計算してもよい。また、ｒｅｓに含まれるＩＤ（Ｄ）の有無をビット表現したものに変化してから計算してもよい。例えば、複数のキーワード集合｛Ｗ１，・・・，Ｗｎ｝とある登録キーワードｗに対して、ＩＤ（Ｄ１）とＩＤ（Ｄｎ）が対応しているとすると、前者は「ＩＤ（Ｄ１）｜｜ＩＤ（Ｄｎ）」のビット表現を１以上Ｎ－１以下の整数に変換して扱うことや、後者は「１０・・・０１」のようにｎビットで表現でき、そのｎビットの値を１以上Ｎ－１以下の整数に変換して扱うことで、上記ｖａｌ２の計算が可能となる。

　ステップＳ２３６において、要求部４３０は、暗号化索引ＥＩをデータ管理装置６００に送付する。

＜登録操作：Ｓ２４０＞
　ステップＳ２４０において、データ管理装置６００は、暗号化データＣを受信し、暗号化データＣを変換して記憶部６９０に登録する。本実施の形態では、暗号化データＣは暗号化索引ＥＩに相当する。

　図２７は、本実施の形態に係る登録操作（Ｓ２４０）の手順を示すフローチャートである。
　登録操作（Ｓ２４０）は、データ管理装置６００によって実行される処理である。
　ステップＳ２４１において、受付部６１０は、登録補助鍵ＥＫ２と公開パラメータＰＰと暗号化索引ＥＩとを受け付ける。その後、鍵管理部６２０は、登録補助鍵ＥＫ２と公開パラメータＰＰを記憶部６９０に記憶して保管する。
　登録補助鍵ＥＫ２と公開パラメータＰＰが既に保管されている場合、登録補助鍵ＥＫ２のみを置き換えて保管する。
　複数の暗号化索引ＥＩが受け付けられてもよい。その場合、暗号化索引ＥＩごとにステップＳ２４２とステップＳ２４３が実行される。

　ステップＳ２４２において、変換部６３１は、登録補助鍵ＥＫ２と公開パラメータＰＰとを用いて暗号化索引ＥＩを変換し、変換暗号化索引ＴＥＩを生成する。
　具体的に、変換部６３１は、暗号化索引ＥＩ＝｛（ｋｅｙ，ｖａｌ）｝に対して、以下のように変換暗号化索引ＴＥＩを計算する。ただし、ｋｅｙ＝（ｋｅｙ１，ｋｅｙ２）、ｖａｌ＝（ｖａｌ１，ｖａｌ２）である。
　ＴＥＩ＝｛（Ｔｋｅｙ，Ｔｖａｌ）｝
　Ｔｋｅｙ＝（Ｔｋｅｙ１，Ｔｋｅｙ２）
　Ｔｋｅｙ１＝ｋｅｙ１＾ＥＫ２　ｍｏｄＮ
　Ｔｋｅｙ２＝ｋｅｙ２
　Ｔｖａｌ＝（Ｔｖａｌ１，Ｔｖａｌ２）
　Ｔｖａｌ１＝ｖａｌ１＾ＥＫ２　ｍｏｄＮ
　Ｔｖａｌ２＝ｖａｌ２

　ステップＳ２４３おいて、保管部６３２は、変換暗号化索引ＴＥＩを登録データベース６９１Ａに登録する。
　登録データベース６９１Ａは、データ管理装置６００の記憶部６９０に記憶して保管される。

　図２８は、本実施の形態に係る登録データベース６９１Ａの例を示す図である。
　図２８において、１行のデータが１つの変換暗号化索引ＴＥＩに相当する。
　１行のデータにおいて、データ名ＩＤ（ＥＩ）と変換暗号化索引ＴＥＩとが互いに対応付けられる。

＜検索要求：Ｓ２５０＞
　ステップＳ２５０において、検索要求装置５００は、検索クエリＳＱを生成し、検索クエリＳＱをデータ管理装置６００へ送信する。

　図２９は、本実施の形態に係る検索要求（Ｓ２５０）の手順を示すフローチャートである。
　検索要求（Ｓ２５０）は、検索要求装置５００によって実行される処理である。

　ステップＳ２５１において、受付部５１０は、検索鍵ＳＫ１と公開パラメータＰＰと検索キーワードｓｗとを受け付ける。
　ステップＳ２５１は、実施の形態１のステップＳ１５１と同じである。

　ステップＳ２５２において、乱数生成部５２１は、公開パラメータＰＰを用いて検索クエリ用乱数ＱＲを生成する。
　検索クエリ用乱数ＱＲは、検索クエリＳＱを暗号化するための乱数である。

　具体的には、乱数生成部５２１は、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ＱＲ１、ＱＲ２を選び、検索クエリ用乱数ＱＲ＝（ｑｒ１，ｑｒ２）として生成する。
　なお、もし高速に秘匿検索処理することを考慮してランダム化が不用であれば、ＱＲの値をＱＲ＝１として設定すればよい。

　ステップＳ２５３において、検索クエリ生成部５２２は、検索鍵ＳＫ１と公開パラメータＰＰと検索クエリ用乱数ＱＲを用いて検索キーワードｓｗを暗号化し、検索クエリＳＱを生成する。

　具体的に、検索クエリ生成部５２２は、検索キーワードｓｗと検索クエリ用乱数ＱＲに対して、以下の検索クエリＳＱを計算する。
　ＳＱ＝（ＳＱ１，ＳＱ２）
　ＳＱ１＝（ＳＱ１１，ＳＱ１２）
　ＳＱ１１＝ＳＫ１＾（Ｆ（ｓｗ｜｜０）＊ｑｒ１）　ｍｏｄＮ
　ＳＱ１２＝ｑｒ１
　ＳＱ２＝（ＳＱ２１，ＳＱ２２）
　ＳＱ２１＝ＳＫ１＾（Ｆ（ｓｗ｜｜１）＊ｑｒ２）　ｍｏｄＮ
　ＳＱ２２＝ｑｒ２

　ステップＳ２５４において、要求部５３０は、検索クエリＳＱをデータ管理装置６００に送付する。
　ステップＳ２５４は、実施の形態１のステップＳ１５４と同じである。

　ステップＳ２５５において、要求部５３０は、通信装置５０５を用いて、データ管理装置６００から検索結果ＤＡＴＡを受信する。
　ステップＳ２５５は、実施の形態１のステップＳ１５５と同じである。

　ステップＳ２５６において、出力部５４０は、検索結果ＤＡＴＡを出力する。
　ステップＳ２５６は、実施の形態１のステップＳ１５６と同じである。

＜検索操作：Ｓ２６０＞
　ステップＳ２６０において、データ管理装置６００は、検索クエリＳＱに合致する変換された暗号化データを検索する。本実施の形態では、変換された暗号化データＣである変換暗号化データは変換暗号化索引ＴＥＩに相当する。

　図３０は、本実施の形態に係る検索操作（Ｓ２６０）の手順を示すフローチャートである。
　検索操作（Ｓ２６０）は、データ管理装置６００によって実行される処理である。

　ステップＳ２６１において、受付部６１０は、検索補助鍵ＳＫ２と公開パラメータＰＰと検索クエリＳＱとを受け付ける。その後、鍵管理部６２０は、検索補助鍵ＳＫ２と公開パラメータＰＰを記憶部６９０に記憶して保管する。
　検索補助鍵ＳＫ２と公開パラメータＰＰが既に保管されている場合、検索補助鍵ＳＫ２のみを置き換えて保管する。
　複数の検索クエリＳＱが受け付けられてもよい。その場合、検索クエリＳＱごとにステップＳ２６２からステップＳ２６４が実行される。

　ステップＳ２６２において、変換部６４１は、検索補助鍵ＳＫ２と公開パラメータＰＰとを用いて検索クエリＳＱを変換し、変換検索クエリＴＳＱを生成する。
　具体的に、変換部６４１は、検索クエリＳＱ＝｛ＳＱ１，ＳＱ２｝＝｛（ＳＱ１１，ＳＱ１２），（ＳＱ２１，ＳＱ２２）｝に対して、以下のように変換検索クエリＴＳＱを計算する。
　ＴＳＱ＝（ＴＳＱ１，ＴＳＱ２）
　ＴＳＱ１＝（ＴＳＱ１１，ＴＳＱ１２）
　ＴＳＱ１１＝ＳＱ１１＾ＳＫ２　ｍｏｄＮ
　ＴＳＱ１２＝ＳＱ１２
　ＴＳＱ２＝（ＴＳＱ１１，ＴＳＱ１２）
　ＴＳＱ２１＝ＳＱ２１＾ＳＫ２　ｍｏｄＮ
　ＴＳＱ２２＝ＳＱ２２

　ステップＳ２６３において、照合部６４２は、変換検索クエリＴＳＱを登録データベース６９１Ａの中の各変換暗号化索引ＴＥＩと照合し、変換検索クエリＴＳＱに合致するデータ名ＩＤ（Ｄ）の暗号化データを見つける。
　具体的に、照合部６４２は、変換検索クエリＴＳＱ＝（ＴＳＱ１，ＴＳＱ２）を各変換暗号化索引ＴＥＩ＝｛（Ｔｋｅｙ，Ｔｖａｌ）｝の各Ｔｋｅｙに対して以下のように照合する。
　Ｔｋｅｙ＝（Ｔｋｅｙ１，Ｔｋｅｙ２）
　ＴＳＱ１＝（ＴＳＱ１１，ＴＳＱ１２）
　Ｍ１１＝Ｔｋｅｙ１＾ＴＳＱ１２　ｍｏｄＮ
　Ｍ１２＝ＴＳＱ１１＾Ｔｋｅｙ２　ｍｏｄＮ
　Ｍ１１＝？Ｍ１２

　すなわち、変換検索クエリＴＳＱと変換暗号化索引ＴＥＩのＴｋｅｙに対して、Ｍ１１とＭ１２が等しくなるかを計算する。もし等しくなるのであれば、そのＴｋｅｙに対応するＴｖａｌに注目して次のステップＳ２６４に進む。もし等しくない場合は、次のＴｋｅｙに対してＭ１１とＭ１２が一致しているかを判定する。全てのＴｋｅｙに対してＭ１１とＭ１２が一致しなければ、ＤＡＴＡを空集合としてステップＳ２６４を省略する。

　なお、Ｍ１１とＭ１２は次のように表すことができる。
　Ｍ１１＝Ｔｋｅｙ１＾ＴＳＱ１２　ｍｏｄＮ
　　　　＝Ｇ＾（ｅｋ１＊ＥＫ２＊Ｆ（ｗ｜｜０）＊ｉｒ１）＾ｑｒ１　ｍｏｄＮ
　　　　＝Ｇ＾（Ｘ＊Ｆ（ｗ｜｜０）＊ｉｒ１＊ｑｒ１）　ｍｏｄＮ
　Ｍ１２＝ＴＳＱ１１＾Ｔｋｅｙ２　ｍｏｄＮ
　　　　＝Ｇ＾（ｓｋ１＊ＳＫ２＊Ｆ（ｓｗ｜｜０）＊ｑｒ１）＾ｉｒ１　ｍｏｄＮ
　　　　＝Ｇ＾（Ｘ＊Ｆ（ｓｗ｜｜０）＊ｑｒ１＊ｉｒ１）　ｍｏｄＮ

　したがって、ｗ＝ｓｗとなればＭ１１＝Ｍ１２となり、そうでなければＭ１１≠Ｍ１２となる。
　すなわち、もし検索キーワードｓｗがいずれかの平文データに一致するのであれば、必ずある１つのＴｖａｌでＭ１１とＭ１２が一致し、ステップＳ２６４に進む。

　ステップＳ２６４において、抽出部６４３は、ステップＳ２６３で一致したＴｋｅｙに関連付けられたＴｖａｌから変換検索クエリＴＳＱに合致するデータ名ＩＤ（Ｄ）の集合を見つける。
　具体的に、抽出部６４３は、変換検索クエリＴＳＱ＝（ＴＳＱ１，ＴＳＱ２）を用いて、ステップＳ２６３で一致したＴｋｅｙに関連付けられたＴｖａｌに対して以下のようにＤＡＴＡを計算する。
　Ｔｖａｌ＝（Ｔｖａｌ１，Ｔｖａｌ２）
　ＴＳＱ２＝（ＴＳＱ２１，ＴＳＱ２２）
　Ｍ２１＝ＴＳＱ２１＾Ｔｖａｌ２　ｍｏｄＮ
　Ｍ２２＝Ｔｖａｌ１＾ＴＳＱ２２　ｍｏｄＮ
　ＤＡＴＡ＝ＤＬｏｇ＿｛Ｍ２１｝（Ｍ２２）
　なお、ＤＬｏｇ＿｛Ｍ２１｝（Ｍ２２）はＭ２１を底としてＭ２２の離散対数を表している。

　なお、Ｍ２とＤＡＴＡは次のように表すことができる。ここで登録キーワードｗと検索キーワードｓｗは一致しているとして、ｗ＝ｓｗとみなす。
　Ｍ２１＝ＴＳＱ２１＾Ｔｖａｌ２　ｍｏｄＮ
　　　　＝Ｇ＾（ｓｋ１＊ＳＫ２＊Ｆ（ｗ｜｜１）＊ｑｒ２）＾ｉｒ２　ｍｏｄＮ
　　　　＝Ｇ＾（Ｘ＊Ｆ（ｗ｜｜１）＊ｑｒ２＊ｉｒ２）　ｍｏｄＮ
　Ｍ２２＝Ｔｖａｌ１＾ＴＳＱ２２　ｍｏｄＮ
　　　　＝Ｇ＾（ｅｋ１＊ＥＫ２＊Ｆ（ｗ｜｜１）＊ｉｒ２＊ｒｅｓ）＾ｑｒ２　ｍｏｄＮ
　　　　＝Ｇ＾（Ｘ＊Ｆ（ｗ｜｜１）＊ｑｒ２＊ｉｒ２＊ｒｅｓ）　ｍｏｄＮ

　したがって、Ｍ２２＝Ｍ２１＾ｒｅｓ　ｍｏｄＮとなる。ｒｅｓの値が小さければ効率的に離散対数を計算することが可能である。このとき、ＤＡＴＡ＝ｒｅｓであり、ｒｅｓは平文データの識別子の集合である。すなわち、ＤＡＴＡは検索キーワードｓｗに対する検索結果にほかならない。

　ステップＳ２６５において、出力部６５０は、通信装置６０５を用いて、検索結果ＤＡＴＡを検索要求装置５００へ送信する。

　＜再暗号化：Ｓ３１０＞
　ステップＳ３１０において、再暗号化装置９００は、変換暗号化索引ＴＥＩを再暗号化する。

　図３１は、本実施の形態に係る再暗号化（Ｓ３１０）の手順を示すフローチャートである。
　再暗号化（Ｓ３１０）は、再暗号化装置９００によって実行される処理である。

　ステップＳ３１１において、受付部９１０は、変換鍵ＴＫと公開パラメータＰＰと変換暗号化索引ＴＥＩとを受け付け、変換鍵ＴＫと公開パラメータＰＰとを記憶部９９０に記憶して保管する。
　複数の変換暗号化索引ＴＥＩが受け付けられてもよい。その場合、変換暗号化索引ＴＥＩごとにステップＳ３１２とステップＳ３１３が実行される。

　ステップＳ３１２において、再暗号化部９２０は、変換鍵ＴＫと公開パラメータＰＰとを用いて変換暗号化索引ＴＥＩを再暗号化し、再暗号化後変換暗号化索引ＴＥＩ’を生成する。

　具体的に、再暗号化部９２０は、変換暗号化索引ＴＥＩ＝｛（Ｔｋｅｙ，Ｔｖａｌ）｝に対して、以下のように再暗号化後変換暗号化索引ＴＥＩ’を計算する。
　各（Ｔｋｅｙ，Ｔｖａｌ）＝（（Ｔｋｅｙ１，Ｔｋｅｙ２），（Ｔｖａｌ１，Ｔｖａｌ２））に対して、以下を計算する。
　Ｔｋｅｙ’＝（Ｔｋｅｙ１’，Ｔｋｅｙ２’）
　Ｔｋｅｙ１’＝Ｔｋｅｙ１＾ＴＫ　ｍｏｄＮ
　Ｔｋｅｙ２’＝Ｔｋｅｙ２
　Ｔｖａｌ’＝（Ｔｖａｌ１’，Ｔｖａｌ２’）
　Ｔｖａｌ１’＝Ｔｖａｌ１＾ＴＫ　ｍｏｄＮ
　Ｔｖａｌ２’＝Ｔｖａｌ２

　なお、もし再暗号化時に安全性向上のためＴｋｅｙとＴｖａｌもランダム化したい場合は、次のように計算する。
　まず、１以上（Ｎ－１）以下の整数の集合｛１，２，・・・，Ｎ－１｝から、ランダムに整数ＲＲ１、ＲＲ２を選ぶ。
　次に、各（Ｔｋｅｙ’，Ｔｖａｌ’）に対して以下を計算する。
　Ｔｋｅｙ’＝（Ｔｋｅｙ１’，Ｔｋｅｙ２’）
　Ｔｋｅｙ１’＝Ｔｋｅｙ１＾（ＴＫ＊ＲＲ１）　ｍｏｄＮ
　Ｔｋｅｙ２’＝Ｔｋｅｙ２＊ＲＲ１
　Ｔｖａｌ’＝（Ｔｖａｌ１’，Ｔｖａｌ２’）
　Ｔｖａｌ１’＝Ｔｖａｌ１＾（ＴＫ＊ＲＲ２）　ｍｏｄＮ
　Ｔｖａｌ２’＝Ｔｖａｌ２＊ＲＲ２

　ステップＳ３１３において、出力部９３０は、再暗号化後変換暗号化索引ＴＥＩ’を出力する。
　特に、再暗号化後変換暗号化索引ＴＥＩ’は、データ管理装置６００の記憶部９９０の登録データベース６９１Ａに登録されている変換暗号化索引ＴＥＩを置き換えて保管される。

＊＊＊本実施の形態の効果の説明＊＊＊
　本実施の形態に係る秘匿検索システムによれば、実施の形態１と同様な効果に加えて、以下のような効果を奏する。
　暗号文を復号することなく一括で検索キーワードにヒットする識別子を抽出できる。

＊＊＊実施の形態の補足＊＊＊
　図３２は、本実施の形態に係るマスター鍵生成装置２００のハードウェア構成例を示す図である。
　マスター鍵生成装置２００は処理回路２０９を備える。
　処理回路２０９は、受付部２１０と生成部２２０と出力部２３０とを実現するハードウェアである。
　処理回路２０９は、専用のハードウェアであってもよいし、メモリ２０２に格納されるプログラムを実行するプロセッサ２０１であってもよい。

　処理回路２０９が専用のハードウェアである場合、処理回路２０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。
　ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略称である。
　ＦＰＧＡは、Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略称である。

　マスター鍵生成装置２００は、処理回路２０９を代替する複数の処理回路を備えてもよい。
　処理回路２０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、マスター鍵生成装置２００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３３は、本実施の形態に係る分割鍵生成装置３００のハードウェア構成例を示す図である。
　分割鍵生成装置３００は処理回路３０９を備える。
　処理回路３０９は、受付部３１０と分割鍵生成部３２０と出力部３３０とを実現するハードウェアである。
　処理回路３０９は、専用のハードウェアであってもよいし、メモリ３０２に格納されるプログラムを実行するプロセッサ３０１であってもよい。

　処理回路３０９が専用のハードウェアである場合、処理回路３０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　分割鍵生成装置３００は、処理回路３０９を代替する複数の処理回路を備えてもよい。
　処理回路３０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、分割鍵生成装置３００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３４は、本実施の形態に係る登録要求装置４００のハードウェア構成例を示す図である。
　登録装置４００は処理回路４０９を備える。
　処理回路４０９は、受付部４１０と生成部４２０と要求部４３０とを実現するハードウェアである。
　処理回路４０９は、専用のハードウェアであってもよいし、メモリ４０２に格納されるプログラムを実行するプロセッサ４０１であってもよい。

　処理回路４０９が専用のハードウェアである場合、処理回路４０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　登録装置４００は、処理回路４０９を代替する複数の処理回路を備えてもよい。
　処理回路４０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、登録装置４００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３５は、本実施の形態に係る検索要求装置５００のハードウェア構成例を示す図である。
　検索要求装置５００は処理回路５０９を備える。
　処理回路５０９は、受付部５１０と生成部５２０と要求部５３０と出力部５４０とを実現するハードウェアである。
　処理回路５０９は、専用のハードウェアであってもよいし、メモリ５０２に格納されるプログラムを実行するプロセッサ５０１であってもよい。

　処理回路５０９が専用のハードウェアである場合、処理回路５０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　検索操作装置５００は、処理回路５０９を代替する複数の処理回路を備えてもよい。
　処理回路５０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、検索操作装置５００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３６は、本実施の形態に係るデータ管理装置６００のハードウェア構成例を示す図である。
　データ管理装置６００は処理回路６０９を備える。
　処理回路６０９は、受付部６１０と鍵管理部６２０と登録部６３０と検索部６４０と出力部６５０とを実現するハードウェアである。
　処理回路６０９は、専用のハードウェアであってもよいし、メモリ６０２に格納されるプログラムを実行するプロセッサ６０１であってもよい。

　処理回路６０９が専用のハードウェアである場合、処理回路６０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　データ管理装置６００は、処理回路６０９を代替する複数の処理回路を備えてもよい。
　処理回路６０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、データ管理装置６００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３７は、本実施の形態に係る変換鍵生成装置７００のハードウェア構成例を示す図である。
　変換鍵生成装置７００は処理回路７０９を備える。
　処理回路７０９は、受付部７１０と生成部７２０と出力部７３０とを実現するハードウェアである。
　処理回路７０９は、専用のハードウェアであってもよいし、メモリ７０２に格納されるプログラムを実行するプロセッサ７０１であってもよい。

　処理回路７０９が専用のハードウェアである場合、処理回路７０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　変換鍵生成装置７００は、処理回路７０９を代替する複数の処理回路を備えてもよい。
　処理回路７０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、変換鍵生成装置７００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３８は、本実施の形態に係る鍵変換装置８００のハードウェア構成例を示す図である。
　鍵変換装置８００は処理回路８０９を備える。
　処理回路８０９は、受付部８１０と変換部８２０と出力部８３０とを実現するハードウェアである。
　処理回路８０９は、専用のハードウェアであってもよいし、メモリ８０２に格納されるプログラムを実行するプロセッサ８０１であってもよい。

　処理回路８０９が専用のハードウェアである場合、処理回路８０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　鍵変換装置８００は、処理回路８０９を代替する複数の処理回路を備えてもよい。
　処理回路８０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、鍵変換装置８００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　図３９は、本実施の形態に係る再暗号化装置９００のハードウェア構成例を示す図である。
　再暗号化装置９００は処理回路９０９を備える。
　処理回路９０９は、受付部９１０と再暗号化部９２０と出力部９３０とを実現するハードウェアである。
　処理回路９０９は、専用のハードウェアであってもよいし、メモリ９０２に格納されるプログラムを実行するプロセッサ９０１であってもよい。

　処理回路９０９が専用のハードウェアである場合、処理回路９０９は、例えば、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ＡＳＩＣ、ＦＰＧＡまたはこれらの組み合わせである。

　再暗号化装置９００は、処理回路９０９を代替する複数の処理回路を備えてもよい。
　処理回路９０９において、一部の機能が専用のハードウェアで実現されて、残りの機能がソフトウェアまたはファームウェアで実現されてもよい。

　このように、再暗号化装置９００の機能はハードウェア、ソフトウェア、ファームウェアまたはこれらの組み合わせで実現することができる。

　実施の形態で説明された各装置は複数の装置で実現されてもよい。また、実施の形態で説明された２つ以上の装置が１つの装置で実現されてもよい。
　実施の形態で説明された各装置の要素である「部」は、「処理」、「工程」、「回路」または「サーキットリ」と読み替えてもよい。

　以上の実施の形態１および２では、秘匿検索装置の各部を独立した機能ブロックとして説明した。しかし、秘匿検索装置の構成は、上述した実施の形態のような構成でなくてもよい。秘匿検索装置の機能ブロックは、上述した実施の形態で説明した機能を実現することができれば、どのような構成でもよい。また、秘匿検索装置は、１つの装置でなく、複数の装置から構成されたシステムでもよい。
　また、実施の形態１および２のうち、複数の部分を組み合わせて実施しても構わない。あるいは、これらの実施の形態のうち、１つの部分を実施しても構わない。その他、これら実施の形態を、全体としてあるいは部分的に、どのように組み合わせて実施しても構わない。
　すなわち、実施の形態１および２では、各実施の形態の自由な組み合わせ、あるいは各実施の形態の任意の構成要素の変形、もしくは各実施の形態において任意の構成要素の省略が可能である。

　なお、上述した実施の形態は、本質的に好ましい例示であって、本開示の範囲、本開示の適用物の範囲、および本開示の用途の範囲を制限することを意図するものではない。上述した実施の形態は、必要に応じて種々の変更が可能である。例えば、フローチャートあるいはシーケンス図を用いて説明した手順は、適宜に変更してもよい。

　１００　秘匿検索システム、１０１　ネットワーク、２００　マスター鍵生成装置、２０１　プロセッサ、２０２　メモリ、２０３　補助記憶装置、２０４　入出力インタフェース、２０５　通信装置、２０９　処理回路、２１０　受付部、２２０　生成部、２３０　出力部、２９０　記憶部、３００　分割鍵生成装置、３０１　プロセッサ、３０２　メモリ、３０３　補助記憶装置、３０４　入出力インタフェース、３０５　通信装置、３０９　処理回路、３１０　受付部、３２０　分割鍵生成部、３２１　登録鍵生成部、３２２　登録補助鍵生成部、３２３　検索鍵生成部、３２４　検索補助鍵生成部、３３０　出力部、３９０　記憶部、４００　登録要求装置、４０１　プロセッサ、４０２　メモリ、４０３　補助記憶装置、４０４　入出力インタフェース、４０５　通信装置、４０９　処理回路、４１０　受付部、４２０　生成部、４２１　キーワード生成部、４２２　乱数生成部、４２３　暗号化タグ生成部、４２４　索引用検索結果生成部、４２５　暗号化索引生成部、４３０　要求部、４９０　記憶部、５００　検索要求装置、５０１　プロセッサ、５０２　メモリ、５０３　補助記憶装置、５０４　入出力インタフェース、５０５　通信装置、５０９　処理回路、５１０　受付部、５２０　生成部、５２１　乱数生成部、５２２　検索クエリ生成部、５３０　要求部、５４０　出力部、５９０　記憶部、６００　データ管理装置、６０１　プロセッサ、６０２　メモリ、６０３　補助記憶装置、６０４　入出力インタフェース、６０５　通信装置、６０９　処理回路、６１０　受付部、６２０　鍵管理部、６３０　登録部、６３１　変換部、６３２　保管部、６４０　検索部、６４１　変換部、６４２　照合部、６４３　抽出部、６５０　出力部、６９０　記憶部、６９１　登録データベース、６９１Ａ　登録データベース、７００　変換鍵生成装置、７０１　プロセッサ、７０２　メモリ、７０３　補助記憶装置、７０４　入出力インタフェース、７０５　通信装置、７０９　処理回路、７１０　受付部、７２０　生成部、７３０　出力部、７９０　記憶部、８００　鍵変換装置、８０１　プロセッサ、８０２　メモリ、８０３　補助記憶装置、８０４　入出力インタフェース、８０５　通信装置、８０９　処理回路、８１０　受付部、８２０　変換部、８３０　出力部、８９０　記憶部、９００　再暗号化装置、９０１　プロセッサ、９０２　メモリ、９０３　補助記憶装置、９０４　入出力インタフェース、９０５　通信装置、９０９　処理回路、９１０　受付部、９２０　再暗号化部、９３０　出力部、９９０　記憶部。

Claims

　マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、平文データと、前記公開パラメータと、を取得し、前記登録鍵と前記公開パラメータとを用いて前記平文データを暗号化することにより暗号化データを生成する生成部と、
　前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録するデータ管理装置に、前記暗号化データを送信する要求部と
を備える登録要求装置。
　前記生成部は、
　前記公開パラメータを用いて前記暗号化データの生成に用いる乱数を生成し、前記登録鍵と前記公開パラメータと前記乱数とを用いて前記暗号化データを生成する請求項１に記載の登録要求装置。
　マスター鍵と公開パラメータとを用いて生成された検索秘密鍵であって、検索に用いるキーワードから検索に用いるクエリを生成するための検索鍵と、生成されたクエリの変換に用いる検索補助鍵とからなる検索秘密鍵のうちの前記検索鍵と、検索キーワードと、前記公開パラメータと、を取得し、前記検索鍵と前記公開パラメータとを用いて前記検索キーワードから検索クエリを生成する生成部と、
　前記マスター鍵と前記公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と、暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、前記公開パラメータと、を用いて暗号化された平文データである暗号化データを、前記登録補助鍵と前記公開パラメータとを用いて変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録するデータ管理装置に、前記検索クエリを送信し、前記データ管理装置から、前記検索クエリと一致する暗号化データに対応する識別子を検索結果として取得する要求部と
を備える検索要求装置。
　前記生成部は、
　前記公開パラメータを用いて前記検索クエリの生成に用いる乱数を生成し、前記検索鍵と前記公開パラメータと前記乱数とを用いて前記検索クエリを生成する請求項３に記載の検索要求装置。
　マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と、暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と前記公開パラメータとを用いて暗号化された平文データである暗号化データと、前記登録補助鍵と、前記公開パラメータと、を取得し、前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録する登録部を備えるデータ管理装置。
　前記データ管理装置は、
　前記マスター鍵と前記公開パラメータとを用いて生成された検索秘密鍵であって、検索に用いるキーワードから検索に用いるクエリを生成するための検索鍵と、生成されたクエリの変換に用いる検索補助鍵とからなる検索秘密鍵のうちの前記検索鍵と、前記公開パラメータとを用いて検索キーワードから生成された検索クエリと、前記検索補助鍵と、前記公開パラメータと、を取得し、前記検索補助鍵と前記公開パラメータとを用いて前記検索クエリを変換し、変換により得られた変換検索クエリと前記変換暗号化データとを照合し、前記変換検索クエリと一致する変換暗号化データに対応する識別子を抽出する検索部を備える請求項５に記載のデータ管理装置。
　マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と、暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、平文データと、前記公開パラメータと、を取得し、前記登録鍵と前記公開パラメータとを用いて前記平文データを暗号化することにより暗号化データを生成する登録要求装置と、
　前記登録補助鍵と前記公開パラメータと前記暗号化データとを取得し、前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録するデータ管理装置と
を備える秘匿検索システム。
　前記登録要求装置は、
　前記公開パラメータを用いて前記暗号化データの生成に用いる乱数を生成し、前記登録鍵と前記公開パラメータと前記乱数とを用いて前記暗号化データを生成する請求項７に記載の秘匿検索システム。
　前記登録要求装置は、
　前記登録鍵と前記公開パラメータと前記乱数を用いて、前記平文データに含まれる登録キーワードを暗号化し、暗号化により得られた暗号化タグを前記暗号化データとして生成する請求項８に記載の秘匿検索システム。
　前記登録要求装置は、
　前記登録鍵と前記公開パラメータと前記乱数を用いて、複数の平文データの各平文データに含まれる登録キーワードで前記複数の平文データを検索した結果を索引構造で示した索引用検索結果を暗号化し、暗号化により得られた暗号化索引を前記暗号化データとして生成する請求項８に記載の秘匿検索システム。
　前記マスター鍵と前記公開パラメータとを用いて生成された検索秘密鍵であって、検索に用いるキーワードから検索に用いるクエリを生成するための検索鍵と、生成されたクエリの変換に用いる検索補助鍵とからなる検索秘密鍵のうちの前記検索鍵と、検索キーワードと、前記公開パラメータと、を取得し、前記検索鍵と前記公開パラメータとを用いて前記検索キーワードから検索クエリを生成する検索要求装置と、
　前記データ管理装置は、
　前記検索クエリと前記検索補助鍵と前記公開パラメータとを取得し、前記検索補助鍵と前記公開パラメータとを用いて前記検索クエリを変換し、変換により得られた変換検索クエリと前記登録データベースに登録されている前記変換暗号化データとを照合し、前記変換検索クエリと一致する前記変換暗号化データに対応する識別子を抽出し、抽出した識別子を検索結果として前記検索要求装置に出力する請求項７から請求項１０のいずれか１項に記載の秘匿検索システム。
　前記検索要求装置は、
　前記公開パラメータを用いて前記検索クエリの生成に用いる乱数を生成し、前記検索鍵と前記公開パラメータと前記乱数とを用いて前記検索クエリを生成する請求項１１に記載の秘匿検索システム。
　前記秘匿検索システムは、さらに、
　前記公開パラメータから生成される変換鍵を用いて、前記マスター鍵と前記登録秘密鍵と前記検索秘密鍵とを鍵変換し、鍵変換により得られた鍵変換後マスター鍵と鍵変換後登録秘密鍵と鍵変換後検索秘密鍵を出力する鍵変換装置と、
　前記変換鍵と前記公開パラメータと前記変換暗号化データとを取得し、前記変換鍵と前記公開パラメータとを用いて前記変換暗号化データを再暗号化し、再暗号化により得られた再暗号化後変換暗号化データを出力する再暗号化装置と
を備え、
　前記データ管理装置は、
　前記再暗号化装置から前記再暗号化後変換暗号化データを取得し、前記登録データベースに登録されている前記変換暗号化データを前記再暗号化後変換暗号化データに置き換える請求項１１または請求項１２に記載の秘匿検索システム。
　前記秘匿検索システムは、さらに、
　前記マスター鍵と前記公開パラメータとを用いて、前記登録秘密鍵と前記検索秘密鍵とを生成する分割鍵生成装置を備え、
　前記分割鍵生成装置は、
　前記マスター鍵と前記公開パラメータとを用いて、前記登録秘密鍵と前記検索秘密鍵とをランダムに再生成する請求項１３に記載の秘匿検索システム。
　前記データ管理装置は、
　前記登録データベースから削除する平文データを識別する識別子を取得し、前記識別子に対応する変換暗号化データを前記登録データベースから削除する請求項７から請求項１４のいずれか１項に記載の秘匿検索システム。
　コンピュータが、マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と、暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、平文データと、前記公開パラメータと、を取得し、前記登録鍵と前記公開パラメータとを用いて前記平文データを暗号化することにより暗号化データを生成し、
　コンピュータが、前記登録補助鍵と前記公開パラメータと前記暗号化データとを取得し、前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録する秘匿検索方法。
　マスター鍵と公開パラメータとを用いて生成された登録秘密鍵であって、データの暗号化に用いる登録鍵と、暗号化されたデータの変換に用いる登録補助鍵とからなる登録秘密鍵のうちの前記登録鍵と、平文データと、前記公開パラメータと、を取得し、前記登録鍵と前記公開パラメータとを用いて前記平文データを暗号化することにより暗号化データを生成する登録要求処理と、
　前記登録補助鍵と前記公開パラメータと前記暗号化データとを取得し、前記登録補助鍵と前記公開パラメータとを用いて前記暗号化データを変換し、変換により得られた変換暗号化データを、前記平文データを識別する識別子と対応付けて登録データベースに登録するデータ管理処理と
をコンピュータに実行させる秘匿検索プログラム。