CN104798339B - 密钥生成装置、隐匿检索***和密钥发布方法 - Google Patents

Abstract

公开参数PK是隐匿检索***(1000)中使用的密钥信息，该隐匿检索***(1000)具有：发送装置(100)，其生成并发送加密后的关键字即加密标签；服务器(200)，其接收加密标签进行保管，根据隐匿检索的请求来执行隐匿检索；以及接收装置(300)，其生成与所述关键字的数字签名相当且请求隐匿检索的数据即陷门，将其发送给服务器(200)并接收检索结果。公开参数PK由真公开参数PP和保护密钥PK’构成。发送装置(100)和接收装置(300)需要真公开参数PP、保护密钥PK’双方，但是，服务器(200)不需要保护密钥PK’。因此，密钥生成装置(310)分开生成公开参数PK中包含的真公开参数PP和保护密钥PK’。

Description

密钥生成装置、隐匿检索***和密钥发布方法

技术领域

本发明涉及执行隐匿检索的隐匿检索***、隐匿检索***中使用的密钥的密钥生成装置、密钥生成程序和密钥发布方法。

背景技术

在公开密钥加密(PKC：Public Key Cryptography)的领域中，作为能够在加密后直接进行关键字检索的技术，公知有可检索公开密钥加密(PEKS：Public-key Encryptionwith Keyword Search)(例如非专利文献1)。下面，将可检索公开密钥加密记作PEKS。

该PEKS例如实现如下应用。考虑“发送者经由外部数据库(以下称作“服务器”)向接收者发送包含机密信息的数据文件”这样的状况。即，考虑如下状况：发送者向服务器上传数据文件，接收者通过关键字检索而从服务器下载必要的数据文件。这里，发送者和接收者希望在服务器不知道的情况下共享数据文件和关键字双方。

接收者预先准备公开密钥加密的公开密钥和秘密密钥的对(数据文件主体的加密、解密中使用)、以及PEKS的公开密钥和秘密密钥的对(关键字的加密、检索询问的生成中使用)。然后，接收者公开各个公开密钥。

发送者使用接收者的公开密钥加密的公开密钥对数据文件进行加密，生成数据文件的密文。而且，发送者使用PEKS的公开密钥对关键字进行加密，生成关键字的密文。下面，将使用PEKS的公开密钥生成的关键字的密文称作“加密标签”。发送者将数据文件的密文和加密标签一起上传到服务器。

接收者使用PEKS的秘密密钥生成与关键字的数字签名相当的数据。下面，将使用PEKS的秘密密钥生成的与关键字的数字签名相当的数据称作“陷门(trap door)”。接收者将该陷门作为检索询问而发送给服务器。服务器使用接收到的陷门对数据库内的全部数据文件的密文各自的加密标签进行隐匿检索。然后，服务器向接收者发送在隐匿检索中命中(hit)的数据文件的密文。

这样，在实现加密数据的外部托管应用的情况下，PEKS发挥本质作用。

现有技术文献

专利文献

专利文献1：日本特开2011-141472号公报

专利文献2：国际公开WO2012/098649号

非专利文献

非专利文献1：Dan Boneh,Giovanni Di Crescenzo,Rafail Ostrovsky andGiuseppe Persiano,“Public Key Encryption with Keyword Search,”Eurocrypt 2004,Lecture Notes in Computer Science,vol.3027,pp.506-522,2004.

非专利文献2：Jonathan Katz,Amit Sahai and Brent Waters,“PredicateEncryption Supporting Disjunctions,Polynomial Equations,and Inner Products,”Eurocrypt 2008,Lecture Notes in Computer Science,vol.4965,pp.146-162,2008.

非专利文献3：Tatsuaki Okamoto and Katsuyuki Takashima,“AdaptivelyAttribute-Hiding(Hierarchical)Inner Product Encryption,”Eurocrypt 2012,Lecture Notes in Computer Science,vol.7237,pp.591-608,2012.

非专利文献4：Mitsuhiro Hattori,Takato Hirano,Takashi Ito,Nori Matsuda,Takumi Mori,Yusuke Sakai and Kazuo Ohta,“Ciphertext-Policy Delegatable HiddenVector Encryption and Its Application to Searchable Encryption in Multi-userSetting,”IMA International Conference on Cryptography and Coding,LectureNotes in Computer Science,vol.7089,pp.190-209,2011.

非专利文献5：Emily Shen,Elaine Shi and Brent Waters,“Predicate Privacyin Encryption Systems,”Theory of Cryptography Conference 2009,Lecture Notesin Computer Science,vol.5444,pp.457-473,2009.

非专利文献6：Mototsugu Nishioka,“Perfect Keyword Privacy in PEKSSystems,”ProvSec 2012,Lecture Notes in Computer Science,vol.7496,pp.175-192,2012.

发明内容

发明要解决的课题

关于PEKS，此前对与关键字有关的数据即加密标签和陷门中的加密标签的安全性进行了大量研究，并且也提出了大量满足安全性的方式。例如，在专利文献1、专利文献2和非专利文献1～非专利文献4中，提出了在假设PEKS的各种使用环境后确定“在这些环境下加密标签是否安全”的安全性模型。并且，提出了在该安全性模型中能够以数学方式证明安全性的方式。

但是，关于另一个数据即“陷门”，除了非专利文献5、非专利文献6以外，几乎没有进行安全性的研究和满足该安全性的方式的提案。

在非专利文献5中公开了如下方法：没有完全公开公开密钥，通过进行与秘密密钥相同的处理来确保陷门的安全性。但是，没有完全公开公开密钥而进行与秘密密钥相同的处理意味着，只能在发送者和接收者为相同人物这样的应用中利用。因此，存在可利用的应用受到限定这样的课题。

并且，在非专利文献6中公开了使用安全单射映射(secure injective-function)来确保陷门的安全性的方法。但是，该方法只能应用于单一关键字的完全一致检索，存在无法应用于非专利文献2和非专利文献3所示的AND/OR检索这样的课题。

本发明正是为了解决上述课题而完成的，其目的之一在于，提供用于在PEKS中确保陷门的安全性的一般方法。

用于解决课题的手段

本发明的密钥生成装置的特征在于，该密钥生成装置具有：

第1生成部，其生成隐匿检索***中使用的密钥信息即公开参数PK中包含的真公开参数PP；以及

第2生成部，其与由所述第1生成部生成的所述真公开参数PP分开生成所述公开参数PK中包含的保护密钥PK’，

所述隐匿检索***具有：

发送装置，其生成并发送加密数据和用于检索所述加密数据的加密后的关键字即加密标签；

服务器装置，其从所述发送装置接收所述加密数据和所述加密标签进行保管，并且，根据隐匿检索的请求来执行所述隐匿检索；以及

接收装置，其生成陷门并将其发送给所述服务器装置，从所述服务器装置接收所述隐匿检索的结果，该陷门是与所述关键字的数字签名相当的数据，并且是向所述服务器装置请求所述加密数据的所述隐匿检索的数据，

所述密钥信息包含：

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门时使用的所述真公开参数PP；以及

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门、所述服务器装置进行所述隐匿检索时使用的所述保护密钥PK’。

发明效果

本发明的密钥生成装置分开生成公开参数中包含的真公开参数PP和保护密钥PK’，因此，能够提高陷门的安全性。

附图说明

图1是实施方式1的隐匿检索***1000的结构图。

图2是示出实施方式1的公开参数PK和主秘密密钥SK的结构的图。

图3是实施方式1的加密标签的生成中使用的加密(Enc)算法的流程图。

图4是实施方式1的陷门的生成中使用的密钥生成(GenKey)算法的流程图。

图5是实施方式1的服务器200的隐匿检索中使用的解密(Dec)算法的流程图。

图6是示出实施方式1的从接收者300向发送者100和服务器200发布公开参数PK等的发布方法的流程图。

图7是汇总实施方式1的加密标签的生成、陷门的生成和隐匿检索中使用的密钥信息的图。

图8是汇总实施方式1的加密标签的生成、陷门的生成和隐匿检索中使用的密钥信息的表形式的图。

图9是实施方式1的密钥生成装置310-1的框图。

图10是实施方式1的密钥生成装置310-2的框图。

图11是实施方式1的密钥生成装置310-3的框图。

图12是示出在实施方式2中关于非专利文献2和非专利文献3作为函数型加密利用时的算法、和作为PEKS利用时的算法的一览的图。

图13是示出实施方式2的公开参数PK和主秘密密钥SK的结构的图。

图14是实施方式2的生成加密标签时使用的加密(Enc)算法的流程图。

图15是实施方式2的陷门的生成中使用的密钥生成(GenKey)算法的流程图。

图16是实施方式2的服务器200的隐匿检索中使用的解密(Dec)算法的流程图。

图17是示出实施方式3的发送装置100、接收装置300等的外观的图。

图18是示出实施方式3的发送装置100、接收装置300等的硬件结构的图。

具体实施方式

下面，通过示出实施方式对本发明的具体内容进行说明。在实施方式1中，公开了在非专利文献2记载的PEKS中确保陷门的安全性的方法。在实施方式2中，公开了在利用非专利文献3记载的函数型加密作为PEKS的情况下确保陷门的安全性的方法。

首先，对以下说明的各实施方式中共同的结构进行说明。

图1是各实施方式中共同的隐匿检索***1000的结构图。

(1)发送者100-1～发送者100-n表示加密标签的生成者。这里，n为任意整数，表示在PEKS中生成加密标签的发送者的数量。另外，发送者100-1～发送者100-n的实体是发送者使用的发送装置。由此，发送者100-1～100-n意味着这些发送者使用的1～n的发送装置。下面，有时将发送者100-1～100-n记作发送装置100-1～100-n。并且，在不需要区分各发送者(各发送装置)的情况下，简记作发送者100(发送装置100)。

(2)接收者300表示公开密钥、主秘密密钥、陷门的生成者。另外，接收者300的实体是接收者300使用的接收装置。由此，接收者300意味着接收者300使用的接收装置。下面，有时将接收者300记作接收装置300。

(3)服务器装置200(以下称作服务器200)表示外部数据库。它们经由因特网等网络400连接。

(4)如图1所示，隐匿检索***1000具有发送装置100-1～100-n、服务器200和接收装置300。

另外，在使用PEKS实现加密数据的外部托管应用的情况下，发送者100-1～发送者100-n成为加密数据的发送者，接收者300成为加密数据的接收者300。并且，服务器200为外部数据库。服务器200从发送者100托管加密数据和加密标签。服务器200针对从接收者300发送的隐匿检索请求(陷门)，使用从接收者300发送的陷门和从接收者300发布的公开参数PK(实际上如图6所述为公开参数PK中的真公开参数PP)执行隐匿检索，将检索中命中的加密数据返回给接收者300。

另外，这里，为了简便，仅假设接收者300为1人的情况，但是，也可以构成为存在多个接收者300。该情况下，存在各接收者单独实施后述安装算法(图2)的方法。并且，作为PEKS的扩展，通过利用如层次型内积谓语加密(Hierarchical Inner-productEncryption)那样包含层次构造的算法的方法，与接收者为1人的情况同样，能够实现加密数据的外部托管应用。

实施方式1

在实施方式1中，公开了在非专利文献2记载的PEKS中确保陷门的安全性的方法。首先，对非专利文献2记载的PEKS的算法中的与本实施方式1有关的部分进行说明。另外，下面，如果说到“非专利文献2记载的PEKS的算法”，则是指非专利文献2的第4节“Our MainConstruction”记载的predicate-only version的算法。在非专利文献2的附录B节中，作为“A Full-Fledged Predicate Encryption Scheme”，记载有使第4节的算法发展而用作所谓的函数型加密时的算法，但是，本领域技术人员能够容易地理解，在用作PEKS的情况下第4节的算法即可。

图2示出执行非专利文献2记载的PEKS的算法中的安装算法而生成的公开参数PK和主秘密密钥SK的结构。

在图2中，

(1)p、q、r分别表示素数。

(2)G表示能够进行配对运算e^：G×G→G_T的椭圆曲线上的位数N＝pqr的循环群。

(3)G_T表示配对运算后的位数N的循环群。

(4)e^表示配对运算。

(5)g_p、g_q、g_r表示“位数分别为p、q、r的G_p、G_q、G_r”的部分群的生成元。

(6)R₀表示群G_r上均匀随机选出的要素。

(7){h_1、i、h_2、i}_{i＝1、…、n}表示群G_p上均匀随机选出的要素。

这里，n表示生成加密标签和生成陷门时使用的谓语矢量的维数。

(8){R_1、i、R_2、i}_{i＝1、…、n}表示群G_r上均匀随机选出的要素。

在非专利文献2记载的PEKS的算法中，以利用PEKS的全部实体(在图1的例子中来说，是发送者100-1～100-n、服务器200、接收者300)共享该公开参数PK的信息为前提。如后所述，在服务器200执行隐匿检索时利用的算法即解密(Dec)算法中，使用公开参数PK的信息。

实施方式1的特征在于向各实体发布公开参数PK的方法。即，实施方式1的目的在于，通过研究公开参数PK的发布方法来确保陷门的安全性。其详细情况利用图6的说明在后面叙述。

另外，如图2所示，为了进行后面的说明，在本实施方式1中，将“N、G、G_T、e^”的部分称作真公开参数PP，将其余的结构要素即“g_p、g_r、Q、{H_1、i、H_2、i}ⁿ _{i＝1、…、n}”的部分称作保护密钥PK’。

即，利用非专利文献2记载的安装算法生成的公开参数PK由真公开参数PP和保护密钥PK’构成。真公开参数PP与保护密钥PK’的差异通过后面的说明可知。

(加密标签的生成)

接着，使用图3示出非专利文献2记载的PEKS的算法中的、发送者100生成加密标签时利用的算法即加密(Enc)算法的顺序。因此，图3的动作的主语是发送者(发送装置)。在生成加密标签时，发送者100使用从接收者300发布的公开参数PK(PP和PK’双方)生成加密标签。

图3是示出加密(Enc)算法的顺序的流程图。

在图3中，发送者100希望对属性矢量x^→＝(x₁、x₂、…、x_n)∈Z_N ⁿ进行加密而生成加密标签。

这里，属性矢量x^→∈Z_N ⁿ是与要加密的关键字对应的数据，是根据进行完全一致检索、AND检索、OR检索等检索的内容而采取不同形式的数据。例如在1关键字的完全一致检索的情况下，x^→＝(1、关键字)。

另外，Z_N表示0～N-1的整数的集合。

并且，上述x^→＝(1、关键字)中的“关键字”是整数化后的关键字，后述的其它情况也是同样的。

(1)在图3中，首先，在步骤S301中，发送者100从Z_n中随机选择s、α、β。

(2)接着，在步骤S302中，发送者100从群G_r中随机选择

【数1】

(3)最后，在步骤S303中，发送者100输出

【数2】

作为加密标签。

在图3所示的加密(Enc)算法的顺序中，在执行步骤S301或步骤S302时，需要公开参数PK。特别是在执行步骤S302时，需要公开参数PK＝(PP、PK’)中的保护密钥PK’。

(陷门的生成)

接着，使用图4示出非专利文献2记载的PEKS的算法中的、接收者300生成陷门时利用的算法即密钥生成(GenKey)算法的顺序。因此，图4的动作的主语是接收者(接收装置)。接收者300使用图2所示的公开参数PK(PP、PK’双方)和主秘密密钥SK生成陷门。

图4是示出密钥生成(GenKey)算法的顺序的流程图。

在图4中，接收者300希望对谓语矢量v^→＝(v₁、v₂、…、v_n)∈Z_N ⁿ进行数字签名而生成陷门。

这里，谓语矢量v^→∈Z_N ⁿ是与要检索的关键字对应的数据，是根据进行完全一致检索、AND检索、OR检索等检索的内容而采取不同形式的数据。

例如在1关键字的完全一致检索的情况下，v^→＝(关键字、N-1)。

(1)在图4中，首先，在步骤S401中，接收者300从Z_p中随机选择

【数3】

(2)接着，在步骤S402中，接收者300从G_r中随机选择R₅。

(3)接着，在步骤S403中，接收者300从Z_q中随机选择f₁、f₂。

(4)最后，在步骤S404中，接收者300输出

【数4】

作为陷门。

(服务器200的隐匿检索)

接着，使用图5示出服务器200执行隐匿检索时利用的算法即解密(Dec)算法的顺序。因此，图5的动作的主语是服务器200。在服务器200的隐匿检索中，服务器200根据从接收者发送的一个陷门，对从多个发送者发送的多个加密标签分别执行隐匿检索。在该隐匿检索时，如后所述，需要公开参数PK中的真公开参数PP。换言之，如图2所示，公开参数PK包含真公开参数PP和保护密钥PK’，但是，在服务器200的隐匿检索中可以没有保护密钥PK’。

图5是示出解密(Dec)算法的顺序的流程图。

(1)在图5中，首先，在步骤S501中，服务器200计算

【数5】

(2)接着，在步骤S502中，服务器200判断是否是T＝1。如果T＝1，则在步骤S503中返回1并结束。如果不是T＝1，则在步骤S504中返回0并结束。

(PP、PK’的区别基准)

在该解密(Dec)算法的顺序中，在执行步骤S501时需要公开参数PK。

但是，需要的参数只是公开参数PK＝(PP、PK’)中的真公开参数PP的部分，不需要保护密钥PK’的部分。这是图2所示的真公开参数PP和保护密钥PK’的区别基准。即，保护密钥PK’是指公开参数PK的成分中的在加密算法(发送者生成加密标签和接收者生成陷门)中需要但是在解密算法(服务器的隐匿检索)中不需要的成分。并且，真公开参数PP是指公开参数PK的成分中的在加密算法和解密算法双方中需要的成分。

以上对非专利文献2记载的PEKS的算法中的与本实施方式1有关的部分进行了说明。

接着，使用图6对本实施方式1中的向各实体发布公开参数PK的发布方法(密钥发布方法)进行说明。图6是示出本实施方式1中的从接收者300向发送者100和服务器200发布公开参数PK的发布顺序的流程图。

(接收者300)

(1)首先，在步骤S601中，接收者300通过安装算法生成公开参数PK＝(PP、PK’)。公开参数PK的具体生成方法基于非专利文献2记载的安装算法。并且，真公开参数PP和保护密钥PK’的区别如上所述。(2)接着，在步骤S602中，接收者300向发送者100-1～100-n发布公开参数PK。此时，优选以保护密钥PK’不会泄露给服务器200的方法进行发布。在这种发布方法中例如存在以下的(a)、(b)。

另外，在图9～图11中后述的密钥生成装置310-1等的情况下，也可以以使真公开参数PP和保护密钥PK’分开的状态来发布公开参数PK。

(a)以离线的方式向发送者直接供给保护密钥PK’的方法。例如存储在IC卡等存储介质中并直接交给全部发送者100的方法。

(b)或者，存在在仅发送者100能够阅览的网络上的电子布告牌中揭示保护密钥PK’的方法等。发送者100借助电子布告牌取得保护密钥PK’。

(3)最后，在步骤S603中，接收者300向服务器200发布公开参数PK中的真公开参数PP。在向服务器200进行发布时，不需要特意防止泄露。

(发送者100)

在步骤S611中，各发送者100-1～100-n从接收者300接收公开参数PK。接收到的公开参数PK被存储在IC卡等数据存储设备中。

(服务器200)

在步骤S621中，服务器200从接收者300接收真公开参数PP。接收到的真公开参数PP被存储在数据存储设备中。

图7是汇总与图6所述的公开参数PK等的发布方法关联而在发送者100生成加密标签、接收者300生成陷门以及服务器200的隐匿检索中使用的公开参数PK等密钥信息而成的图。图8是使图7成为表形式的图。如图7、图8等所示，发送者100在加密标签的生成中使用公开参数PK＝(PP、PK’)。接收者300在陷门的生成中使用公开参数PK＝(PP、PK’)和主秘密密钥SK。服务器200在隐匿检索中仅使用公开参数PK＝(PP、PK’)中的真公开参数PP。

图9是接收装置300具有的密钥生成装置310-1的框图。如图9所示，接收装置300具有密钥生成装置310-1。而且，密钥生成装置310-1具有生成真公开参数PP的真公开参数生成部311(第1生成部)、以及生成保护密钥PK’的保护密钥生成部312(第2生成部)。

如上所述，公开参数PK是隐匿检索***1000(图7)中使用的密钥信息，该隐匿检索***1000具有：发送装置100，其生成并发送加密数据和用于检索加密数据的加密后的关键字即加密标签；服务器200，其从发送装置100接收加密数据和加密标签进行保管，并且，根据隐匿检索的请求来执行隐匿检索；以及接收装置300，其生成陷门并将其发送给服务器200，从服务器200接收隐匿检索的结果，该陷门是与所述关键字的数字签名相当的数据，并且是向服务器200请求加密数据的隐匿检索的数据。

而且，如图2所示，公开参数PK是包含真公开参数PP和保护密钥PK’的密钥信息。并且，如图7、图8所示，真公开参数PP在发送装置100生成加密标签、接收装置300生成陷门以及服务器200的隐匿检索中使用。并且，保护密钥PK’在发送装置100生成加密标签和接收装置300生成陷门中使用，但是在服务器200的隐匿检索中不使用。因此，在密钥生成装置310-1中，分别由真公开参数生成部311和保护密钥生成部312分开生成真公开参数PP、保护密钥PK’。如图6所示，从接收装置300向服务器200仅发布分开生成的真公开参数PP。由此，陷门的安全性提高。

图10是示出接收装置300具有密钥生成装置310-2的情况的图。相对于密钥生成装置310-1，密钥生成装置310-2还具有输入公开参数PK的输入部313。输入部313输入已经生成的公开参数PK。真公开参数生成部311通过从输入部313输入的公开参数PK中提取真公开参数PP，生成真公开参数PP。保护密钥生成部312通过从输入部313输入的公开参数PK中提取保护密钥PK’，生成保护密钥PK’。根据密钥生成装置310-2，能够从已经生成的公开参数PK中分开真公开参数PP和保护密钥PK’。由此，陷门的安全性提高。

图11是示出接收装置300具有密钥生成装置310-3的情况的图。相对于密钥生成装置310-2，密钥生成装置310-3具有生成公开参数PK的公开参数生成部314(第3生成部)。输入部313输入公开参数生成部314生成的公开参数PK。真公开参数生成部311通过从输入部313输入的公开参数PK中提取真公开参数PP，生成真公开参数PP，保护密钥生成部312通过从输入部313输入的公开参数PK中提取保护密钥PK’，生成保护密钥PK’。根据密钥生成装置310-3，能够向发送者100发布公开参数生成部314生成的公开参数PK，向服务器200发布真公开参数生成部311生成的真公开参数PP。由此，陷门的安全性提高。

在图6中对本实施方式1中的向各实体发布公开参数PK的发布方法进行了说明。通过采取这种发布方法，向发送者100发布公开参数PK，向服务器200仅发布公开参数PK中的真公开参数PP。并且，在图9～图11中，对分开生成公开参数PK中的真公开参数PP和保护密钥PK’的密钥生成装置310-1～310-3进行了说明。密钥生成装置310-1～310-3与保护密钥PK’分开生成真公开参数PP。由此，在图6中，能够向服务器200仅发布真公开参数PP。

如果利用以上所述的向各实体发布公开参数PK的发布方法(和密钥生成装置)，则针对接收陷门的服务器200，具有陷门的安全性提高的效果。下面，简单叙述通过图6的发布方法产生上述效果的理由。能够给出严格的安全性证明，但是，在本说明书中省略，止于直观的说明。

在非专利文献2这样的现有的PEKS中，假设全部实体能够取得公开参数PK。因此，不仅发送者100，服务器200也能够取得本实施方式1的保护密钥PK’(图2)。这意味着服务器200能够使用加密算法自由地对适当的关键字进行加密。即，服务器200具有与发送者100完全相同的权限。

该情况下，服务器200使用以下所述的手段，能够从接收到的陷门中取出与其内部包含的关键字有关的信息。这里，为了简便，利用完全一致检索的情况进行说明。

(1)首先，从接收者300接收到陷门的服务器200估计陷门的内部可能包含的关键字。

(2)然后，服务器200还使用保护密钥PK’生成针对该关键字的加密标签。

(3)然后，服务器200将陷门和加密标签施加给解密算法，发现输出。如果输出为1，则可知估计出的关键字与陷门的内部包含的关键字一致。如果输出为0，则可知估计出的关键字与陷门的内部包含的关键字不一致，因此，服务器200估计下一个关键字，反复进行相同处理。

(4)只要服务器200的能力容许则继续进行以上处理，由此，关键字的候选逐渐减少。并且，在事前已知要使用的关键字的种类被限制成某种程度的情况下，通过上述方法，关键字的信息迟早完全可知。这样，从陷门中取出与其内部包含的关键字有关的信息。

另一方面，如果采取本实施方式1的图6所示的公开参数PK的发布方法，则能够防止上述这种攻击。这是因为，即使服务器200估计出关键字，服务器200也不具有查明该关键字所需要的保护密钥PK’。另外，如果观察图3～图5的各算法的记述，则本领域技术人员能够理解到，即使使用加密以外的手段，还是不具有查明估计出的关键字的手段。

以上简单叙述了产生提高陷门的安全性这样的效果的理由。另外，通过采取本实施方式1所示的公开参数PK的发布方法，还产生能够减小接收者300与服务器200之间的通信量这样的其它效果。

实施方式2

在实施方式1中，公开了在非专利文献2记载的PEKS中确保陷门的安全性的方法。在本实施方式2中，公开在利用非专利文献3记载的函数型加密作为PEKS的情况下确保陷门的安全性的方法。***结构为图1。

首先，对非专利文献3记载的函数型加密的算法中的与本实施方式2有关的部分进行说明。此后，如果称作“非专利文献3记载的函数型加密的算法”，则是指非专利文献3的第4节“Proposed(Basic)IPE Scheme”记载的算法。另外，由于利用函数型加密作为PEKS，因此，在对算法的一部分进行变更后，记载变更后的算法。具体而言，对加密(Enc)算法和解密(Dec)算法的一部分进行变更，将其称作简化的算法。因此，安装(Setup)算法和密钥生成(KeyGen)算法如非专利文献3记载的那样。为了进行参考，在图12中示出关于非专利文献2和非专利文献3作为函数型加密利用时的算法、和作为PEKS利用时的算法的一览。

这里，对本实施方式2的说明所需要的概念、记号和记法进行说明。另外，为了简便，与非专利文献3同样仅考虑对称配对群的情况。并且，以乘法形式记述群运算。

(1)设q为素数。

(2)设位数q的有限体为F_q。

(3)设位数q的对称配对群为G。

(4)设G的生成元为g。

(5)设G上的配对运算为e：G×G→G_T。

这里，G_T是配对运算后的位数q的循环群。

(6)设由对称配对群的直积(direct product of symmetric pairing groups)构成的双对配对矢量空间(DPVS：Dual Pairing Vector Space)为V＝G×…×G。

(7)在V为N维的DPVS时，将V的标准基表示为A＝(a₀、…、a_N-1)。

这里，a_i(i＝0、...、N-1)是由

【数6】

构成的N维的矢量。

(8)设由F_q上的随机数构成的N次正则矩阵为X＝(X_i、j)。

(9)将对A乘以X而得到的随机基XA表示为B＝(b₀、…、b_N-1)。

即，

【数7】

b_i(i＝0、…、N-1)分别是N维的矢量。

(10)设对X的转置逆矩阵(X^T)^-1乘以随机数ψ而得到的矩阵为θ＝(θ_i、j)＝ψ(X^T)^-1。

(11)将对A乘以θ而得到的基表示为B^*＝(b^* ₀、...、b^* _N-1)。

即，

【数8】

b^* _i(i＝0、...、N-1)分别是N维的矢量。将B^*称作B的双对基。

(12)关于随机基B，将以F_q上的矢量x^→＝(x₀、…、x_N-1)∈F_q ^N为系数的线性耦合表示为(x₀、…、x_N-1)_B。

即，

【数9】

(13)同样，关于B的双对基B^*，将以F_q上的矢量v^→＝(v₀、…、v_N-1)∈F_q ^N为系数的线性耦合表示为(v₀、…、v_N-1)_B*。

即，

【数10】

(14)将V上的2个矢量g＝(g₀、…、g_N-1)和h＝(h₀、…、h_N-1)的配对运算表示为e(g、h)。

即，

【数11】

(PK、SK的结构)

接着，使用图13对执行非专利文献3记载的函数型加密的算法中的安装算法而生成的公开参数PK和主秘密密钥SK的结构进行说明。

图13示出本实施方式2中的公开参数PK和主秘密密钥SK的结构。与实施方式1同样，接收者300生成公开参数PK和主秘密密钥SK的情况如上所述。

在图13中，与实施方式1同样，公开参数PK由真公开参数PP和保护密钥PK’构成。真公开参数PP为PP＝(q、V、G_T、A、e、g_T)。

这里，

(1)q表示素数，

(2)V表示4n+2维(n为生成加密标签和生成陷门时使用的谓语矢量的维数)的双对配对矢量空间，

(3)G_T表示配对运算后的位数q的循环群，

(4)A表示V的标准基，

(5)e表示配对运算，

(6)g_T表示G_T的生成元。

并且，保护密钥PK’由B^＝(b₀、...、b_n、b_4n+1)构成。

另外，B^的“^”表示使用上述基B的一部分生成。

并且，主秘密密钥SK由B^*^＝(b^* ₀、…、b^* _n、b^* _3n+1、…、b^* _4n)构成。

另外，B^*^的“^”表示使用上述基B^*的一部分生成。

另外，它们通过非专利文献3记载的算法G_ob(λ、4n+2)生成。

(加密标签的生成算法)

接着，使用图14示出非专利文献3记载的函数型加密的算法中的、发送者100生成加密标签时利用的算法即加密(Enc)算法的顺序。因此，图14的动作的主语是发送者(发送装置)。在生成加密标签时，发送者100使用从接收者300发布的图13的公开参数PK(PP和PK’双方)生成加密标签。另外，由于利用函数型加密作为PEKS，因此，在对算法的一部分进行变更后，记载变更后的算法。

图14是示出加密(Enc)算法的顺序的流程图。

在图14中，发送者100希望对属性矢量x^→＝(x₁、x₂、…、x_n)∈F_q ⁿ进行加密而生成加密标签。

这里，属性矢量x^→∈F_q ⁿ是与要加密的关键字对应的数据，是根据进行完全一致检索、AND检索、OR检索等检索的内容而采取不同形式的数据。

例如在1关键字的完全一致检索的情况下，x^→＝(1、关键字)。

(1)此时，首先，在步骤S901中，发送者100从F_q中随机选择ω、

(2)接着，在步骤S902中，发送者100输出

【数12】

作为加密标签。

在该加密(Enc)算法的顺序中，在执行步骤S901或步骤S902时需要图13的公开参数PK。特别是在执行步骤S902时需要公开参数PK中的保护密钥PK’。

(陷门的生成)

接着，使用图15示出非专利文献3记载的函数型加密的算法中的、接收者300生成陷门时利用的算法即密钥生成(KeyGen)算法的顺序。因此，图15的动作的主语是接收者(接收装置)。接收者300使用图13所示的公开参数PK(PP、PK’双方)和主秘密密钥SK生成陷门。

图15是示出密钥生成(KeyGen)算法的顺序的流程图。

在图15中，接收者300希望对谓语矢量v^→＝(v₁、v₂、…、v_n)∈F_q ⁿ进行数字签名而生成陷门。

这里，谓语矢量v^→∈F_q ⁿ是与要检索的关键字对应的数据，是根据进行完全一致检索、AND检索、OR检索等检索的内容而采取不同形式的数据。

例如在1关键字的完全一致检索的情况下，v^→＝(关键字、N-1)。

(1)此时，首先，在步骤S1001中，接收者300从F_q中随机选择σ。

(2)接着，在步骤S1002中，接收者300从F_q ⁿ中随机选择η^→。

(3)最后，在步骤S1003中，接收者300输出

【数13】

作为陷门。

(服务器200的隐匿检索)

接着，使用图16示出服务器200执行隐匿检索时利用的算法即解密(Dec)算法的顺序。因此，图16的动作的主语是服务器200。在服务器200的隐匿检索中，与实施方式1同样，服务器200根据从接收者发送的一个陷门，对从发送者发送的多个加密标签分别执行隐匿检索。在该隐匿检索时，需要公开参数PK(图13)中的真公开参数PP。在服务器200的隐匿检索中可以没有保护密钥PK’这点与实施方式1相同。另外，由于利用函数型加密作为PEKS，因此，在对算法的一部分进行变更后，记载变更后的算法。

图16是示出解密(Dec)算法的顺序的流程图。

(1)在图16中，首先，在步骤S1101中，服务器200计算T＝e(C、k*)。

(2)接着，在步骤S1102中，服务器200判断是否是T＝g_T。如果T＝g_T，则在步骤S1103中返回1并结束。如果不是T＝g_T，则在步骤S1104中返回0并结束。

在该解密(Dec)算法的顺序中，在执行步骤S1101和S1102时需要图13的公开参数PK。但是，需要的只是公开参数PK中的真公开参数PP的部分，不需要保护密钥PK’的部分。以上对非专利文献3记载的函数型加密的算法中的与本实施方式2有关的部分进行了说明。

(向各实体发布公开参数PK的发布方法)

接着，对实施方式2中的向各实体发布公开参数PK的发布方法进行说明。实施方式2中的向各实体发布公开参数PK的发布方法与实施方式1的图6相同。即，在图6中，通过步骤S601～步骤S603以及步骤S611和步骤S621，向各发送者100发布公开参数PK，向服务器200发布真公开参数PP。与实施方式1的不同之处在于，公开参数PK的具体内容的差异，这是由于已经叙述的算法的差异而引起的。

并且，实施方式1的图9～图11中说明的密钥生成装置310-1～310-3当然能够应用于实施方式2。该情况下的公开参数PK为图13的公开参数PK。

如果采取以上的实施方式2所述的向各实体发布公开参数PK的发布方法，则在使用非专利文献3记载的函数型加密作为PEKS的情况下，针对接收陷门的服务器200，具有提高陷门的安全性的效果。

并且，通过采取本实施方式2所示的公开参数PK的发布方法，还具有能够减小接收者300与服务器200之间的通信量的效果。

以上，在实施方式1和实施方式2中说明了各自的内容。总之，以上实施方式中的发明提供用于在PEKS中确保陷门的安全性的一般方法。即，以上实施方式中的发明提供用于在使用实施方式1中采取的非专利文献2的PEKS的算法或实施方式2中采取的非专利文献3的函数型加密的算法作为PEKS的情况下，确保陷门的安全性的一般方法。

另外，以上的实施方式1、实施方式2中的发明不限于非专利文献2和非专利文献3，本领域技术人员能够容易地理解到，能够应用于一般被称作PEKS或函数型加密的各种算法。而且，本领域技术人员还能够容易地理解到，在使用函数型加密作为PEKS的情况下，具有确保陷门的安全性的效果，但是，在用作函数型加密本身的情况下，具有能够保护与用户的解密密钥的权限有关的信息的效果。

实施方式3

参照图17、图18对实施方式3进行说明。实施方式3对作为计算机的发送装置100、接收装置300、服务器200的硬件结构进行说明。由于发送装置100、接收装置300、服务器200均为相同的计算机，因此，在以下的说明中，假设接收装置300进行说明。接收装置300的说明也适合于发送装置100、服务器200。

图17是示出作为计算机的接收装置300的外观的一例的图。图18是示出接收装置300的硬件资源的一例的图。

在示出外观的图17中，接收装置300具有***单元830、CRT(Cathode·Ray·Tube)或LCD(液晶)的具有显示画面的显示装置813、键盘814(Key·Board：K/B)、鼠标815、小型盘装置818(CDD：Compact Disk Drive)等硬件资源，它们利用缆线或信号线连接。***单元830与网络连接。

并且，在示出硬件资源的图18中，接收装置300具有执行程序的CPU810(CentralProcessing Unit)。CPU810经由总线825而与ROM(Read Only Memory)811、RAM(RandomAccess Memory)812、显示装置813、键盘814、鼠标815、通信板816、CDD818、磁盘装置820连接，对这些硬件器件进行控制。代替磁盘装置820，也可以是光盘装置、闪存等存储装置。

RAM812是易失性存储器的一例。ROM811、CDD818、磁盘装置820等存储介质是非易失性存储器的一例。它们是“存储装置”或存储部、储存部、缓冲器的一例。通信板816、键盘814等是输入部、输入装置的一例。并且，通信板816、显示装置813等是输出部、输出装置的一例。通信板816与网络连接。

在磁盘装置820中存储有操作***821(OS)、windows***822、程序组823、文件组824。程序组823的程序由CPU810、操作***821、windows***822执行。

在上述程序组823中存储有执行在以上实施方式的说明中作为“～部”说明的功能的程序。程序由CPU810读出并执行。

在文件组824中存储有“～的判定结果”、“～的计算结果”、“～的提取结果”、“～的生成结果”、“～的处理结果”等信息、数据、信号值、变量值、参数等作为“～文件”、“～数据库”的各项目。“～文件”、“～数据库”存储在盘或存储器等记录介质中。盘或存储器等存储介质中存储的信息、数据、信号值、变量值、参数经由读写电路而由CPU810读出到主存储器或高速缓冲存储器中，用于提取、检索、参照、比较、运算、计算、处理、输出、打印、显示等的CPU的动作。在提取、检索、参照、比较、运算、计算、处理、输出、打印、显示的CPU的动作期间内，信息、数据、信号值、变量值、参数暂时存储在主存储器、高速缓冲存储器、缓冲存储器中。

并且，在以上所述的实施方式的说明中，数据、信号值记录在RAM812的存储器、CDD818的小型盘、磁盘装置820的磁盘、其它光盘、迷你盘、DVD(Digital·Versatile·Disk)等记录介质中。并且，通过总线825、信号线、缆线及其它传送介质在线传送数据、信号。

并且，在以上的实施方式的说明中，作为“～部”进行说明的部分也可以是“～单元”，并且，还可以是“～步骤”、“～顺序”、“～处理”。即，作为“～部”说明的部分可以通过仅软件、或软件与硬件的组合以及与固件的组合来实施。固件和软件作为程序存储在磁盘、软盘、光盘、小型盘、迷你盘、DVD等记录介质中。程序由CPU810读出并由CPU810执行。即，程序使计算机作为以上所述的“～部”发挥功能。或者使计算机执行以上所述的“～部”的顺序或方法。

在以上的实施方式中说明了接收装置300等，但是，根据以上的说明，接收装置300(密钥生成装置)当然能够作为密钥生成程序掌握。

在以上的实施方式中说明了以下的密钥生成装置。分成真公开参数和保护密钥来生成函数型加密或PEKS的公开参数的密钥生成装置。

在以上的实施方式中说明了以下的密钥生成装置。将函数型加密或PEKS的现有的公开参数分成真公开参数和保护密钥的密钥生成装置。

在以上的实施方式中说明了以下的公开参数发布方法。向发送者100发布真公开参数和保护密钥，但是向服务器装置仅发布真公开参数的公开参数发布方法。

标号说明

1000：隐匿检索***；100、101-1、100-n：发送装置；200：服务器；300：接收装置；310-1、310-2、310-3：密钥生成装置；311：真公开参数生成部；312：保护密钥生成部；313：输入部；314：公开参数生成部；400：网络。

Claims (8)

1.一种密钥生成装置，其特征在于，该密钥生成装置具有：

第1生成部，其生成隐匿检索***中使用的密钥信息即公开参数PK中包含的真公开参数PP；以及

第2生成部，其生成所述公开参数PK中包含的保护密钥PK’，

所述隐匿检索***具有：

发送装置，其生成并发送加密数据和用于检索所述加密数据的加密后的关键字即加密标签；

服务器装置，其从所述发送装置接收所述加密数据和所述加密标签进行保管，并且，根据隐匿检索的请求来执行所述隐匿检索；以及

接收装置，其生成陷门并将其发送给所述服务器装置，从所述服务器装置接收所述隐匿检索的结果，该陷门是与所述关键字的数字签名相当的数据，并且是向所述服务器装置请求所述加密数据的所述隐匿检索的数据，

所述密钥信息包含：

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门、所述服务器装置进行所述隐匿检索时使用的所述真公开参数PP；以及

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门时使用的所述保护密钥PK’。

2.根据权利要求1所述的密钥生成装置，其特征在于，

所述密钥生成装置还具有输入所述公开参数PK的输入部，

所述第1生成部通过从所述输入部输入的所述公开参数PK中提取所述真公开参数PP，生成所述真公开参数PP，

所述第2生成部通过从所述输入部输入的所述公开参数PK中提取所述保护密钥PK’，生成所述保护密钥PK’。

3.根据权利要求2所述的密钥生成装置，其特征在于，

所述密钥生成装置还具有生成所述公开参数PK的第3生成部，

所述输入部输入所述第3生成部生成的所述公开参数PK。

4.一种隐匿检索***，该隐匿检索***具有：

发送装置，其生成并发送加密数据和用于检索所述加密数据的加密后的关键字即加密标签；

服务器装置，其从所述发送装置接收所述加密数据和所述加密标签进行保管，并且，根据隐匿检索的请求来执行所述隐匿检索；以及

接收装置，其生成陷门并将其发送给所述服务器装置，从所述服务器装置接收所述隐匿检索的结果，该陷门是与所述关键字的数字签名相当的数据，并且是向所述服务器装置请求所述加密数据的所述隐匿检索的数据，

所述隐匿检索***的特征在于，

所述接收装置具有密钥生成装置，该密钥生成装置具有：

第1生成部，其生成所述隐匿检索***中使用的密钥信息即公开参数PK中包含的真公开参数PP；以及

第2生成部，其生成所述公开参数PK中包含的保护密钥PK’，

所述密钥信息包含：

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门、所述服务器装置进行所述隐匿检索时使用的所述真公开参数PP；以及

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门时使用的所述保护密钥PK’。

5.根据权利要求4所述的隐匿检索***，其特征在于，

所述服务器装置仅发布所述密钥生成装置生成的所述真公开参数PP和所述保护密钥PK’中的所述真公开参数PP。

6.根据权利要求4或5所述的隐匿检索***，其特征在于，

所述发送装置以离线方式被供给所述密钥生成装置的所述第2生成部生成的所述保护密钥PK’。

7.根据权利要求4或5所述的隐匿检索***，其特征在于，

所述发送装置经由仅所述发送装置能够阅览的电子布告牌被供给所述密钥生成装置的所述第2生成部生成的所述保护密钥PK’。

8.一种密钥发布方法，其特征在于，

对发送装置发布隐匿检索***中使用的密钥信息即公开参数PK中的真公开参数PP和保护密钥PK’双方，

对服务器装置仅发布所述真公开参数PP，

所述隐匿检索***具有：

所述发送装置，其生成并发送加密数据和用于检索所述加密数据的加密后的关键字即加密标签；

所述服务器装置，其从所述发送装置接收所述加密数据和所述加密标签进行保管，并且，根据隐匿检索的请求来执行所述隐匿检索；以及

接收装置，其生成陷门并将其发送给所述服务器装置，从所述服务器装置接收所述隐匿检索的结果，该陷门是与所述关键字的数字签名相当的数据，并且是向所述服务器装置请求所述加密数据的所述隐匿检索的数据，

所述密钥信息包含：

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门、所述服务器装置进行所述隐匿检索时使用的所述真公开参数PP；以及

在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门时使用的所述保护密钥PK’。