WO2024013974A1

WO2024013974A1 - 秘密交差結合システム、秘密交差結合装置、秘密交差結合方法、プログラム

Info

Publication number: WO2024013974A1
Application number: PCT/JP2022/027822
Authority: WO
Inventors: 順子橋本
Original assignee: 日本電信電話株式会社
Priority date: 2022-07-15
Filing date: 2022-07-15
Publication date: 2024-01-18

Abstract

結合対象となる２つのテーブルのキー属性の値に重複がある場合であっても２つのテーブルをキー属性に関して秘密交差結合することができる技術を提供する。[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key'の値のシェアの列として[TL]に追加することにより[TL']を生成し、属性Key'の値のシェアの列を[TR]に追加することにより[TR_i](TR₀.Key'_jは0以上α-1以下の値であり、TR_i.Key'_j(i=1, …, α-1)はTR_i.Key'_j=(TR_i-1.Key'_j+1) mod αを満たす)を生成し、[TL']と[TR_i]とをキー属性Keyと属性Key'に関して秘密等結合することにより[TC_i]を生成し、[TC₀]、…、[TC_α-1]を秘密行結合することにより[TC]を生成する。

Description

秘密交差結合システム、秘密交差結合装置、秘密交差結合方法、プログラム

　本発明は、秘密計算技術に関し、特に２つのテーブルを秘匿化したまま交差結合する技術に関する。

　秘密計算とは、暗号化された数値を復元することなく指定された演算の演算結果を得る方法のことである（例えば参考非特許文献１、非特許文献１、特許文献１を参照）。参考非特許文献１の方法では、数値を復元することのできる複数の情報を3つの秘密計算装置に分散するという暗号化を行い、数値を復元することなく、加減算、定数和、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を3つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。一般に、分散数は3に限らずW（Wは3以上の所定の定数）とすることができ、W個の秘密計算装置による協調計算によって秘密計算を実現するプロトコルはマルチパーティプロトコルと呼ばれる。
（参考非特許文献１：千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, “軽量検証可能３パーティ秘匿関数計算の再考,” In CSS, 2010．）
　２つのテーブルを秘匿化したままキー属性に関して結合する技術として、非特許文献２や特許文献２に記載の技術がある。

千田浩司, 五十嵐大, 濱田浩気, 高橋克巳, "エラー検出可能な軽量３パーティ秘匿関数計算の提案と実装評価," 情報処理学会論文誌, Vol.52, No.9, pp.2674-2685, 2011. 濱田浩気, 桐淵直人, 五十嵐大, "キーに重複がある場合の秘密計算向け結合アルゴリズム," 暗号と情報セキュリティシンポジウム(SCIS)2015, 電子情報通信学会, 2015.

ＷＯ２０１９／２０３２６２ＷＯ２０１８／０６１８００

　しかし、非特許文献２や特許文献２の方法は、結合対象となる２つのテーブルのうち、１つのテーブルのキー属性の値のみに重複がある場合に秘密等結合するものであり、２つのテーブルのキー属性の値に重複がある場合、キー属性に関して秘密交差結合することができない。ここで、２つのテーブルをキー属性に関して交差結合するとは、２つのテーブルを交差結合して得られるテーブルから２つのテーブルのキー属性の値が一致するレコードのみを抽出したテーブルを得ることをいう。

　そこで本発明は、結合対象となる２つのテーブルのキー属性の値に重複がある場合であっても、２つのテーブルをキー属性に関して秘密交差結合することができる技術を提供することを目的とする。

　本発明の一態様は、TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとし、T.AをテーブルTを構成する属性Aの値の列、T.A_j（jは1以上の整数）を列T.Aのj番目の要素を表すものとし、テーブルTLはキー属性Keyに関してソートされているものとし、αを列TL.Keyに含まれる同一の値の要素の数の最大値、LをテーブルTRに含まれるレコードの数とし、3個以上の秘密交差結合装置で構成され、テーブルTLを秘匿化したテーブル[TL]とテーブルTRを秘匿化したテーブル[TR]とからテーブルTLとテーブルTRをキー属性Keyに関して交差結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を計算する秘密交差結合システムであって、列[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key’の値のシェアの列としてテーブル[TL]に追加することにより、キー属性Keyと属性Key’, B₁, …, B_Mで構成されるテーブルTL’を秘匿化したテーブル[TL’]を生成する第１テーブル生成手段と、属性Key’の値のシェアの列をテーブル[TR]に追加することにより、キー属性Keyと属性Key’, C₁, …, C_Nで構成されるテーブルTR_i（i=0, …, α-1、ただし、1≦j≦Lを満たすjに対して、TR₀.Key’_jは0以上α-1以下の値であり、TR_i.Key’_j(i=1, …, α-1)はTR_i.Key’_j=(TR_i-1.Key’_j+1) mod αを満たす）を秘匿化したテーブル[TR_i](i=0, …, α-1)を生成する第２テーブル生成手段と、テーブル[TL’]とテーブル[TR_i]とをキー属性Keyと属性Key’に関して秘密等結合することにより、テーブルTLとテーブルTR_iをキー属性Keyと属性Key’に関して等結合することにより得られるテーブルTC_iを秘匿化したテーブル[TC_i]（i=0, …, α-1）を生成する第３テーブル生成手段と、テーブル[TC₀]、…、テーブル[TC_α-1]を秘密行結合することにより、テーブルTC₀、…、テーブルTC_α-1を行結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を生成する第４テーブル生成手段と、を含む。

　本発明によれば、結合対象となる２つのテーブルのキー属性の値に重複がある場合であっても、２つのテーブルをキー属性に関して秘密交差結合することが可能となる。

結合対象となるテーブルの一例を示す図である。キー属性に関して交差結合したテーブルの一例を示す図である。キー属性に関して交差結合したテーブルの生成手順を説明する図である。キー属性に関して交差結合したテーブルの生成手順を説明する図である。キー属性に関して交差結合したテーブルの生成手順を説明する図である。キー属性に関して交差結合したテーブルの生成手順を説明する図である。秘密交差結合システム１０の構成を示すブロック図である。秘密交差結合装置１００_iの構成を示すブロック図である。秘密交差結合システム１０の動作を示すフローチャートである。本発明の実施形態における各装置を実現するコンピュータの機能構成の一例を示す図である。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　各実施形態の説明に先立って、この明細書における表記方法について説明する。

　^（キャレット）は上付き添字を表す。例えば、x^{y^z}はy^zがxに対する上付き添字であり、x_y^zはy^zがxに対する下付き添字であることを表す。また、_（アンダースコア）は下付き添字を表す。例えば、x^y_zはy_zがxに対する上付き添字であり、x_{y_z}はy_zがxに対する下付き添字であることを表す。

　ある文字xに対する^→x、^xや~xのような上付き添え字の”^→”、”^”や”~”は、本来”x”の真上に記載されるべきであるが、明細書の記載表記の制約上、^→x、^xや~xと記載しているものである。
＜技術的背景＞
<<交差結合>>
　ここでは、キー属性に関する交差結合について例を用いて説明する。図１は、結合対象となるテーブルの一例を示す図である。図１の（Ａ）、（Ｂ）、（Ｃ）はそれぞれ飲料商品名に関するテーブル、飲料商品の容器の容量に関するテーブル、飲料商品の容器の種類に関するテーブルであり、図１の（Ｂ）、（Ｃ）の２つのテーブルが結合対象となるテーブルである。図２は、キー属性に関して交差結合したテーブルの一例を示す図である。図２のテーブルは、キー属性をIDとして、図１の（Ｂ）、（Ｃ）の２つのテーブルをキー属性に関して交差結合したテーブルである。ここで、図１の（Ｂ）にはキー属性IDの値が1000であるレコードが３つ、図１の（Ｃ）にはキー属性IDの値が1000, 4500であるレコードがそれぞれ２つあり、結合対象となる２つのテーブルのキー属性の値に重複があることに留意する。

　次に、キー属性に関して交差結合したテーブルの生成手順について説明する。以下、図１の（Ｂ）、（Ｃ）の２つのテーブルをそれぞれTL, TRとする。αをテーブルTLのキー属性IDに含まれる同一の値の要素の数の最大値とすると、α=3となる。また、LをテーブルTRに含まれるレコードの数とすると、L=5となる。T.AをテーブルTを構成する属性Aの値の列、T.A_jを列T.Aのj番目の要素を表すものとする。なお、テーブルTLはキー属性IDに関してソートされていることに留意する。
（ステップ１）テーブルTLのキー属性IDに含まれる同一の値の要素に対して0以上α-1以下の異なる値を対応させる形で生成した列を属性ID’の値の列としてテーブルTLに追加することにより、テーブルTL’を生成する。図３は、ステップ１を実行することにより得られるテーブルTL’を示す図である。
（ステップ２）属性ID’の値の列をテーブルTRに追加することにより、α個のテーブルTR₀, …, TR_α-1を生成する。ただし、1≦j≦Lを満たすjに対して、TR₀.ID’_jは0以上α-1以下の値であり、TR_i.ID’_j(i=1, …, α-1)はTR_i.ID’_j=(TR_i-1.Key’_j+1) mod αを満たす。図４は、ステップ２を実行することにより得られるテーブルTR₀, …, TR_α-1を示す図である。
（ステップ３）テーブルTLとテーブルTR_iをキー属性IDと属性ID’に関して等結合することにより、テーブルTC_i（i=0, …, α-1）を生成する。図５は、ステップ３を実行することにより得られるテーブルTC₀, …, TC_α-1を示す図である。
（ステップ４）テーブルTC₀、…、テーブルTC_α-1を行結合することにより、テーブルTCを生成する。図６は、ステップ４を実行することにより得られるテーブルTCを示す図である。
<<秘密計算>>
　本願の発明における秘密計算は、既存の秘密計算上の演算の組み合わせで構築される。この秘密計算に必要な演算は、例えば、秘匿化、加算、減算、乗算、除算、論理演算（否定、論理積、論理和、排他的論理和）、比較演算（=, <, >, ≦, ≧）、グループバイ演算、秘密等結合である。以下、記法も含めいくつかの演算について説明していく。

　なお、テーブルに関する秘密計算は、テーブルを行列、テーブルの属性の値の列を列ベクトル、テーブルのレコードを行ベクトルとみなすことにより、実現することができる。
［秘匿化］
　[x]をxを秘密分散で秘匿した値（以下、xのシェアという）とする。秘密分散方法には、任意の方法を用いることができる。例えば、GF(2⁶¹-1)上のShamir秘密分散、Z₂上の複製秘密分散を用いることができる。

　ある１つのアルゴリズムの中で複数の秘密分散方法を組み合わせて用いてもよい。この場合、適宜相互に変換するものとする。

　また、N次元ベクトル^→x=(x₁, …, x_N)に対して、[^→x]=([x₁], …, [x_N])とする。つまり、[^→x]は、^→xの第n要素x_nのシェア[x_n]を第n要素とするベクトルである。同様に、M×N行列A=(a_m,n)(1≦m≦M, 1≦n≦N)に対しても、[A]をAの第(m, n)要素a_m,nのシェア[a_m,n]を第(m, n)要素とする行列とする。

　なお、xを[x]の平文という。

　xから[x]を求める方法（秘匿化）、[x]からxを求める方法（復元）として、具体的には、参考非特許文献１、参考非特許文献２に記載の方法がある。
（参考非特許文献２：Shamir, A., “How to share a secret”, Communications of the ACM, Vol.22, No.11, pp.612-613, 1979.）
［加算、減算、乗算、除算］
　秘密計算による加算[x]+[y]は、[x], [y]を入力とし、[x+y]を出力する。秘密計算による減算[x]-[y]は、[x], [y]を入力とし、[x-y]を出力する。秘密計算による乗算[x]×[y]（mul([x], [y])と表すこともある）は、[x], [y]を入力とし、[x×y]を出力する。秘密計算による除算[x]/[y]（div([x], [y])と表すこともある）は、[x], [y]を入力とし、[x/y]を出力する。

　加算、減算、乗算、除算の具体的方法として、参考非特許文献３、参考非特許文献４に記載の方法がある。
（参考非特許文献３：Ben-Or, M., Goldwasser, S. and Wigderson, A., “Completeness theorems for non-cryptographic fault-tolerant distributed computation”, Proceedings of the twentieth annual ACM symposium on Theory of computing, ACM, pp. 1-10, 1988.）
（参考非特許文献４：Gennaro, R., Rabin, M. O. and Rabin, T., “Simplied VSS and fast-track multiparty computations with applications to threshold cryptography”, Proceedings of the seventeenth annual ACM symposium on Principles of distributed computing, ACM, pp.101-111, 1998.）
［論理演算］
　秘密計算による否定not[x]は、[x]を入力とし、[not(x)]を出力する。秘密計算による論理積and([x], [y])は、[x], [y]を入力とし、[and(x, y)]を出力する。秘密計算による論理和or([x], [y])は、[x], [y]を入力とし、[or(x, y)]を出力する。秘密計算による排他的論理和xor([x], [y])は、[x], [y]を入力とし、[xor(x, y)]を出力する。

　なお、論理演算は加算、減算、乗算、除算を組み合わせることで容易に構成することができる。
［比較演算］
　秘密計算による等号判定=([x], [y]) （equal([x], [y])と表すこともある）は、[x], [y]を入力とし、x=yである場合は[1]を、それ以外の場合は[0]を出力する。秘密計算による比較<([x], [y])は、[x], [y]を入力とし、x<yである場合は[1]を、それ以外の場合は[0]を出力する。秘密計算による比較>([x], [y])は、[x], [y]を入力とし、x>yである場合は[1]を、それ以外の場合は[0]を出力する。秘密計算による比較≦([x], [y])は、[x], [y]を入力とし、x≦yである場合は[1]を、それ以外の場合は[0]を出力する。秘密計算による比較≧([x], [y])は、[x], [y]を入力とし、x≧yである場合は[1]を、それ以外の場合は[0]を出力する。

　なお、比較演算は論理演算を組み合わせることで容易に構成することができる。
［グループバイ演算］
　N次元ベクトル^→x=(x₁, …, x_N)はソートされているものとする。つまり、x₁, …, x_Nは、x₁≦…≦x_Nまたはx₁≧…≧x_Nを満たす。このとき、同じ値のx_i, x_i+1, …, x_i+k-1（kは1以上の整数、ただし、x_i-1≠x_i, x_i+k-1≠x_i+k）を１つのグループとして、x_i, …, x_i+k-1に対して0, …, k-1を対応させることにより得られるベクトル^→y=(y₁, …, y_N)を^→y=group-by(^→x)と表し、ベクトル^→xからベクトル^→yを得る演算のことをグループバイ演算という。例えば、ベクトル(1000, 1000, 1000, 3210, 4050)に対して、group-by((1000, 1000, 1000, 3210, 4050))=(0, 1, 2, 0, 0)となる。

　秘匿化したベクトル[^→x]=([x₁], …, [x_N])に対しても同様にグループバイ演算を定義することができる。すなわち、N次元ベクトル^→x=(x₁, …, x_N)（ただし、x₁, …, x_Nは、x₁≦…≦x_Nまたはx₁≧…≧x_Nを満たす）のシェア[^→x]に対して、N次元ベクトル^→y=(y₁, …, y_N)（ただし、^→yは、同じ値のx_i, x_i+1, …, x_i+k-1（kは1以上の整数、ただし、x_i-1≠x_i, x_i+k-1≠x_i+k）を１つのグループとして、x_i, …, x_i+k-1に対して0, …, k-1を対応させることにより得られるベクトルである）のシェア[^→y]を[^→y]=group-by([^→x])とする。

　グループバイ演算の具体的方法として、特許文献１に記載の方法がある。
［秘密等結合］
　TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとする。このとき、テーブルTLとテーブルTRをキー属性Keyに関して等結合することにより得られるテーブルTCとは、キー属性Keyと属性B₁, …, B_Mとキー属性Keyと属性C₁, …, C_Nで構成されるテーブルのことである（図３～５参照）。

　秘匿化したテーブル[TL], [TR]に対しても同様に等結合を定義することができる。すなわち、キー属性Keyと属性B₁, …, B_Mで構成されるテーブルTLを秘匿化したテーブル[TL]とキー属性Keyと属性C₁, …, C_Nで構成されるテーブルTRを秘匿化したテーブル[TR]に対して、テーブル[TL]とテーブル[TR]をキー属性Keyに関して秘密等結合することにより得られるテーブル[TC]とは、キー属性Keyと属性B₁, …, B_Mとキー属性Keyと属性C₁, …, C_Nで構成されるテーブルTCを秘匿化したテーブルのことである。ここで、[TC]=join([TL], [TR])と表す。

　秘密等結合の具体的方法として、特許文献２に記載の方法がある。特許文献２に記載の方法は、テーブルTRのキー属性Keyの値が重複することを許容する方法である。
＜第１実施形態＞
　以下、図７～図９を参照して秘密交差結合システム１０について説明する。図７は、秘密交差結合システム１０の構成を示すブロック図である。秘密交差結合システム１０は、W個（Wは3以上の所定の整数）の秘密交差結合装置１００₁、…、１００_Wを含む。秘密交差結合装置１００₁、…、１００_Wは、ネットワーク８００に接続しており、相互に通信可能である。ネットワーク８００は、例えば、インターネットなどの通信網あるいは同報通信路などでよい。図８は、秘密交差結合装置１００_i(1≦i≦W)の構成を示すブロック図である。図９は、秘密交差結合システム１０の動作を示すフローチャートである。

　図８に示すように秘密交差結合装置１００_iは、第１テーブル生成部１１０_iと、第２テーブル生成部１２０_iと、第３テーブル生成部１３０_iと、第４テーブル生成部１４０_iと、記録部１９０_iを含む。記録部１９０_iを除く秘密交差結合装置１００_iの各構成部は、秘密計算で必要とされる演算、つまり、少なくとも秘匿化、加算、減算、乗算、除算、論理演算、比較演算、グループバイ演算、秘密等結合のうち、各構成部の機能を実現するうえで必要になる演算を実行できるように構成されている。本発明において個々の演算を実現するための具体的な機能構成は、例えば、特許文献１～２、参考非特許文献１～４のそれぞれで開示されるアルゴリズムを含む既存のアルゴリズムを実行できるような構成で十分であり、これらは従来的構成であるから詳細な説明については省略する。また、記録部１９０_iは、秘密交差結合装置１００_iの処理に必要な情報を記録する構成部である。

　W個の秘密交差結合装置１００_iによる協調計算によって、秘密交差結合システム１０はマルチパーティプロトコルであるキー属性に関する交差結合の秘密計算を実現する。よって、秘密交差結合システム１０の第１テーブル生成手段１１０（図示していない）は第１テーブル生成部１１０₁、…、１１０_Wで構成され、第２テーブル生成手段１２０（図示していない）は第２テーブル生成部１２０₁、…、１２０_Wで構成され、第３テーブル生成手段１３０（図示していない）は第３テーブル生成部１３０₁、…、１３０_Wで構成され、第４テーブル生成手段１４０（図示していない）は第４テーブル生成部１４０₁、…、１４０_Wで構成される。

　TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとする。また、T.AをテーブルTを構成する属性Aの値の列、T.A_j（jは1以上の整数）を列T.Aのj番目の要素を表すものとする。さらに、テーブルTLはキー属性Keyに関してソートされているものとし、αを列TL.Keyに含まれる同一の値の要素の数の最大値、LをテーブルTRに含まれるレコードの数とする。

　秘密交差結合システム１０は、テーブルTLを秘匿化したテーブル[TL]とテーブルTRを秘匿化したテーブル[TR]とからテーブルTLとテーブルTRをキー属性Keyに関して交差結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を計算する。なお、テーブル[TL]やテーブル[TR]は予め記録部１９０_iに記録しておいてもよい。

　以下、図９に従い秘密交差結合システム１０の動作について説明する。

　Ｓ１１０において、第１テーブル生成手段１１０は、列[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key’の値のシェアの列としてテーブル[TL]に追加することにより、キー属性Keyと属性Key’, B₁, …, B_Mで構成されるテーブルTL’を秘匿化したテーブル[TL’]を生成する。第１テーブル生成手段１１０は、例えば、group-by([TL.Key])により属性Key’の値のシェアの列を生成し、テーブル[TL’]を生成することができる。

　Ｓ１２０において、第２テーブル生成手段１２０は、属性Key’の値のシェアの列をテーブル[TR]に追加することにより、キー属性Keyと属性Key’, C₁, …, C_Nで構成されるテーブルTR_i（i=0, …, α-1、ただし、1≦j≦Lを満たすjに対して、TR₀.Key’_jは0以上α-1以下の値であり、TR_i.Key’_j(i=1, …, α-1)はTR_i.Key’_j=(TR_i-1.Key’_j+1) mod αを満たす）を秘匿化したテーブル[TR_i](i=0, …, α-1)を生成する。第２テーブル生成手段１２０は、例えば、乱数r_jのシェア[r_j]を生成し、[TR₀.Key’_j]= [r_j] mod α, [TR_i.Key’_j]=([TR_i-1.Key’_j]+[1]) mod αとすることにより、テーブル[TR_i](i=0, …, α-1)を生成することができる。なお、秘密計算におけるmodは計算コストがかかるため、例えば、以下のように減算を用いて計算するとよい。
[TR_i.Key’_j]=[TR_i-1.Key’_j]+[1]
if ([TR_i.Key’_j]==[α]) then [TR_i.Key’_j]=[0]
　ここで、=は代入、==等しいか否かの条件判定を表す。

　Ｓ１３０において、第３テーブル生成手段１３０は、テーブル[TL’]とテーブル[TR_i]とをキー属性Keyと属性Key’に関して秘密等結合することにより、テーブルTLとテーブルTR_iをキー属性Keyと属性Key’に関して等結合することにより得られるテーブルTC_iを秘匿化したテーブル[TC_i]（i=0, …, α-1）を生成する。第３テーブル生成手段１３０は、例えば、[TC_i]=join([TL’], [TR_i])により、テーブル[TC_i]（i=0, …, α-1）を生成することができる。

　Ｓ１４０において、第４テーブル生成手段１４０は、テーブル[TC₀]、…、テーブル[TC_α-1]を秘密行結合することにより、テーブルTC₀、…、テーブルTC_α-1を行結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を生成する。第４テーブル生成手段１４０は、例えば、平文での行結合と同様の方法により、テーブル[TC]を生成することができる。

　ここで、βを列TR.Keyに含まれる同一の値の要素の数の最大値とする。テーブルTL、テーブルTRがキー属性Keyに関してソートされている場合、秘密交差結合システム１０は、α≧βとなる場合の方がα<βとなる場合よりもより高速に秘密交差結合を実行することができる。そこで、α<βとなる場合には、予めテーブルTLとテーブルTRを入れ替える処理を行い、秘密交差結合を実行するようにしてもよい。

　本発明の実施形態によれば、結合対象となる２つのテーブルのキー属性の値に重複がある場合であっても、２つのテーブルをキー属性に関して秘密交差結合することが可能となる。本発明の実施形態は、テーブル[TL]と同数のレコードを含むテーブル[TL’]とテーブル[TR]と同数のレコードを含むテーブル[TR_i]とに対して秘密等結合を実行して秘密交差結合を実現する。この方法は、テーブル[TL]をキー属性の値に重複がないように分割して得られるα個のテーブル[TL_i]とテーブル[TR]とに対して秘密等結合を実行して秘密交差結合を実現する方法（以下、従来の方法という）で生じる情報漏洩に関する問題を解決したものとなっている。また、本発明の実施形態の方法は、従来の方法に比べて計算に必要となるメモリサイズを削減することができる。具体的には、KをテーブルTLに含まれるレコードの数とすると、従来の方法では、レコード数がK×βであるテーブルとレコード数がLであるテーブルとの列結合を実行する必要があるが、本発明の実施形態の方法では、コード数がKであるテーブルとレコード数がLであるテーブルとの列結合をα回実行するだけであり、メモリサイズを大幅に削減することができる。
＜補記＞
　上述した各装置の各部の処理をコンピュータにより実現してもよく、この場合は各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図１０に示すコンピュータ２０００の記録部２０２０に読み込ませ、演算処理部２０１０、入力部２０３０、出力部２０４０、補助記録部２０２５などを動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　本発明の装置は、例えば単一のハードウェアエンティティとして、ハードウェアエンティティの外部から信号を入力可能な入力部、ハードウェアエンティティの外部に信号を出力可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、演算処理部であるCPU（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD-ROMなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはROMなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行、処理される。その結果、CPUが所定の機能（上記、…部、…手段などと表した各構成部）を実現する。つまり、本発明の実施形態の各構成部は、処理回路(Processing Circuitry)により構成されてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体は、例えば、非一時的な記録媒体であり、具体的には、磁気記録装置、光ディスク等である。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の非一時的な記憶装置である補助記録部２０２５に格納する。そして、処理の実行時、このコンピュータは、自己の非一時的な記憶装置である補助記録部２０２５に格納されたプログラムを記録部２０２０に読み込み、読み込んだプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを記録部２０２０に読み込み、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

Claims

　TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとし、
　T.AをテーブルTを構成する属性Aの値の列、T.A_j（jは1以上の整数）を列T.Aのj番目の要素を表すものとし、
　テーブルTLはキー属性Keyに関してソートされているものとし、
　αを列TL.Keyに含まれる同一の値の要素の数の最大値、LをテーブルTRに含まれるレコードの数とし、
　3個以上の秘密交差結合装置で構成され、テーブルTLを秘匿化したテーブル[TL]とテーブルTRを秘匿化したテーブル[TR]とからテーブルTLとテーブルTRをキー属性Keyに関して交差結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を計算する秘密交差結合システムであって、
　列[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key’の値のシェアの列としてテーブル[TL]に追加することにより、キー属性Keyと属性Key’, B₁, …, B_Mで構成されるテーブルTL’を秘匿化したテーブル[TL’]を生成する第１テーブル生成手段と、
　属性Key’の値のシェアの列をテーブル[TR]に追加することにより、キー属性Keyと属性Key’, C₁, …, C_Nで構成されるテーブルTR_i（i=0, …, α-1、ただし、1≦j≦Lを満たすjに対して、TR₀.Key’_jは0以上α-1以下の値であり、TR_i.Key’_j(i=1, …, α-1)はTR_i.Key’_j=(TR_i-1.Key’_j+1) mod αを満たす）を秘匿化したテーブル[TR_i](i=0, …, α-1)を生成する第２テーブル生成手段と、
　テーブル[TL’]とテーブル[TR_i]とをキー属性Keyと属性Key’に関して秘密等結合することにより、テーブルTLとテーブルTR_iをキー属性Keyと属性Key’に関して等結合することにより得られるテーブルTC_iを秘匿化したテーブル[TC_i]（i=0, …, α-1）を生成する第３テーブル生成手段と、
　テーブル[TC₀]、…、テーブル[TC_α-1]を秘密行結合することにより、テーブルTC₀、…、テーブルTC_α-1を行結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を生成する第４テーブル生成手段と、
　を含む秘密交差結合システム。
　TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとし、
　T.AをテーブルTを構成する属性Aの値の列、T.A_j（jは1以上の整数）を列T.Aのj番目の要素を表すものとし、
　テーブルTLはキー属性Keyに関してソートされているものとし、
　αを列TL.Keyに含まれる同一の値の要素の数の最大値、LをテーブルTRに含まれるレコードの数とし、
　3個以上の秘密交差結合装置で構成され、テーブルTLを秘匿化したテーブル[TL]とテーブルTRを秘匿化したテーブル[TR]とからテーブルTLとテーブルTRをキー属性Keyに関して交差結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を計算する秘密交差結合システムの中の秘密交差結合装置であって、
　列[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key’の値のシェアの列としてテーブル[TL]に追加することにより、キー属性Keyと属性Key’, B₁, …, B_Mで構成されるテーブルTL’を秘匿化したテーブル[TL’]を生成する第１テーブル生成部と、
　属性Key’の値のシェアの列をテーブル[TR]に追加することにより、キー属性Keyと属性Key’, C₁, …, C_Nで構成されるテーブルTR_i（i=0, …, α-1、ただし、1≦j≦Lを満たすjに対して、TR₀.Key’_jは0以上α-1以下の値であり、TR_i.Key’_j(i=1, …, α-1)はTR_i.Key’_j=(TR_i-1.Key’_j+1) mod αを満たす）を秘匿化したテーブル[TR_i](i=0, …, α-1)を生成する第２テーブル生成部と、
　テーブル[TL’]とテーブル[TR_i]とをキー属性Keyと属性Key’に関して秘密等結合することにより、テーブルTLとテーブルTR_iをキー属性Keyと属性Key’に関して等結合することにより得られるテーブルTC_iを秘匿化したテーブル[TC_i]（i=0, …, α-1）を生成する第３テーブル生成部と、
　テーブル[TC₀]、…、テーブル[TC_α-1]を秘密行結合することにより、テーブルTC₀、…、テーブルTC_α-1を行結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を生成する第４テーブル生成部と、
　を含む秘密交差結合装置。
　TLをキー属性Keyと属性B₁, …, B_M（Mは1以上の整数）で構成されるテーブル、TRをキー属性Keyと属性C₁, …, C_N（Nは1以上の整数）で構成されるテーブルとし、
　T.AをテーブルTを構成する属性Aの値の列、T.A_j（jは1以上の整数）を列T.Aのj番目の要素を表すものとし、
　テーブルTLはキー属性Keyに関してソートされているものとし、
　αを列TL.Keyに含まれる同一の値の要素の数の最大値、LをテーブルTRに含まれるレコードの数とし、
　3個以上の秘密交差結合装置で構成される秘密交差結合システムが、テーブルTLを秘匿化したテーブル[TL]とテーブルTRを秘匿化したテーブル[TR]とからテーブルTLとテーブルTRをキー属性Keyに関して交差結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を計算する秘密交差結合方法であって、
　前記秘密交差結合システムが、列[TL.Key]に含まれる同一の値の要素に対して0以上α-1以下の異なる値のシェアを対応させる形で生成した列を属性Key’の値のシェアの列としてテーブル[TL]に追加することにより、キー属性Keyと属性Key’, B₁, …, B_Mで構成されるテーブルTL’を秘匿化したテーブル[TL’]を生成する第１テーブル生成ステップと、
　前記秘密交差結合システムが、属性Key’の値のシェアの列をテーブル[TR]に追加することにより、キー属性Keyと属性Key’, C₁, …, C_Nで構成されるテーブルTR_i（i=0, …, α-1、ただし、1≦j≦Lを満たすjに対して、TR₀.Key’_jは0以上α-1以下の値であり、TR_i.Key’_j(i=1, …, α-1)はTR_i.Key’_j=(TR_i-1.Key’_j+1) mod αを満たす）を秘匿化したテーブル[TR_i](i=0, …, α-1)を生成する第２テーブル生成ステップと、
　前記秘密交差結合システムが、テーブル[TL’]とテーブル[TR_i]とをキー属性Keyと属性Key’に関して秘密等結合することにより、テーブルTLとテーブルTR_iをキー属性Keyと属性Key’に関して等結合することにより得られるテーブルTC_iを秘匿化したテーブル[TC_i]（i=0, …, α-1）を生成する第３テーブル生成ステップと、
　前記秘密交差結合システムが、テーブル[TC₀]、…、テーブル[TC_α-1]を秘密行結合することにより、テーブルTC₀、…、テーブルTC_α-1を行結合することにより得られるテーブルTCを秘匿化したテーブル[TC]を生成する第４テーブル生成ステップと、
　を含む秘密交差結合方法。
　請求項２に記載の秘密交差結合装置としてコンピュータを機能させるためのプログラム。