函数密码应用系统及方法

专利名称：函数密码应用系统及方法
技术领域：
本发明涉及密码技术，特别涉及函数密码技术。
背景技术：
基于ID的加密(IBE Identity-based Encryption)方式是，能够使用公开参数和某一识别符(ID)来生成密码文，且能够使用与该识别符一对一对应的密钥信息SKid对该密码文进行解密的方式(例如，参照非专利文献1等)。近年来，提出了应用这样的基于ID的密码方式的各种协议。例如，已知在基于ID的密码方式中，通过将包含与时间区间对应的值和接收者装置的固有识别符的值作为识别符进行加密和密钥信息生成，从而能够构成前向安全 (Forward-secure)密码或密钥隔离(KeyHnsulated)密码，其中，时间区间包含当前的日期时间(例如，参照非专利文献2、3等)。此外，已知在基于ID的密码方式中，能够构成如下的关键字检索加密存储将密码文与被加密的检索对象相对应的加密数据库，并且利用以包含关键字的信息作为识别符的密钥信息来检索加密数据库，其中，密码文是以包含与检索对象对应的关键字的信息作为识别符(例如，参照非专利文献4等)。除此之外，例如，若将应对密码文进行解密的时刻作为识别符，则能够实现定时释放(Timed-Release)加密， 若将随机数那样的一次性信息作为识别符，则能够实现CCA2 (Chosen Ciphertext Attack 2)密码。现有技术文献非专利文献# # ^lJ i K 1 :D. Boneh, Μ. Franklin, “Identity Based Encryption from the Weil Pairing,，，Crypto 2001, Lecture Notes in Computer Science, Vol. 2139, Springer-Verlag, pp.213-229，2001.非专禾Ij文献 2 :R.Canetti，S.Halevi，J.Katz，‘‘A Forward-Secure Public-Key Encryption Scheme, ”EUR0CRYPT，2003,255-271.非专禾Ij 文献 3 :Y.Dodis，M.Franklin，J. Katz，A. Miyaji and M.Yung, "Intrusion-Resilient Public-Key Encryption,，，CT RSA 2003, Lecture Notes in Computer Science,2612(2003), Springer-Verlag, 19-32.非专利文献4 :D. Boneh,G. Di Crescenzo,R. Ostrovsky,and G. Persiano,"Public Key Encryption with keyword Serch,，，Eurocrypt 2004.

发明内容
发明要解决的课题如上所述，在基于ID的密码方式中，根据所使用的识别符能够构成各种协议。因此，能够通过切换所使用的识别符来切换协议。此外，若将与多个协议对应的识别符的组合作为新的识别符来使用，则还能够构成多个协议的组合、即兼备了多个协议的特征的新的协议。但是，基于ID的密码方式的密钥信息和识别符是一对一对应。即，在应用了基于 ID的密码方式的协议中，每个协议需要单独的密钥信息。因此，在构成了生成密码文的一侧的装置选择要用于密码文的生成的识别符，并且根据所选择的识别符来切换协议的系统的情况下，进行密码文的解密的装置需要对被切换的各个协议分别保持单独对应的各个密钥信息。这样的密钥信息的生成/管理烦杂，并不理想。同样地，对于一个明文(平文)的基于ID的密码方式的密码文与识别符是一对一对应。即，在应用了基于ID的密码方式的协议中，每个协议需要单独的密码文。因此，在构成了生成密钥信息的一侧的装置选择要用于密钥信息的生成的识别符，并且根据所选择的识别符来切换协议的系统的情况下，进行密码文的生成的装置需要对被切换的各个协议分别保持单独对应的各个密码文。这样的密码文的生成/管理烦杂，并不理想。这样的问题在构成如下的系统的情况下也同样会产生生成密钥信息的一侧的装置选择要用于密钥信息的生成的识别符，能够根据所选择的识别符来切换协议，并且生成密码文的一侧的装置选择要用于密码文的生成的识别符，还能够根据所选择的识别符来切换协议。本发明鉴于这样的问题而完成，其目的在于提供一种不需要烦杂的处理/管理， 且能够根据所选择的识别符来切换协议的技术。用于解决课题的方案在本发明中为了解决上述课题，构成按照如下的函数密码方式的协议，即当与第1 对应信息以及第2对应信息的组合对应的逻辑式的真值为真的情况下，密码文被正确地解
Γ t [ O本发明的信息输出装置，根据对按照函数密码方式的每个协议决定的规则、或者对按照函数密码方式的协议的组合的每一个决定的规则，确定与按照函数密码方式的特定的协议对应的、或者与按照函数密码方式的特定的协议的组合对应的一种识别符或者多种识别符，设定与一种识别符或者多种识别符的组合对应的特定的第1对应信息，输出第1信息，该第1信息是与特定的第1对应信息对应的函数密码方式的密码文或者密钥信息。本发明的信息处理装置，将第1信息、以及作为对应于特定的第2对应信息的函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，在与对应于第1信息的特定的第1对应信息以及对应于第2信息的特定的第2对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果。另外，当第1信息为对应于特定的第1对应信息的密码文时，第2信息是对应于特定的第2对应信息的密钥信息，当第1信息为对应于特定的第1对应信息的密钥信息时，第2信息是对应于特定的第2对应信息的密码文。如上所述，在函数密码方式中，在与对应于第1信息的特定的第1对应信息以及对应于第2信息的特定的第2对应信息的组合对应的逻辑式的真值为真时，生成正确的解密结果。此外，特定的第1信息是对一种识别符或者多种识别符的组合决定的信息。此外，特定的第2信息取相对于特定的第1对应信息所取的一种值或者多种值能够分别得到解密结果的值。即，在本发明中，能够对一种以上的第1信息共享相同的第2信息，从而进行正确的解码。发明效果
如上所述，在本发明中，对于一种以上的第1信息能够共享相同的第2信息。因此， 即使在信息输出装置选择一种识别符或者两种以上的该识别符的组合，并根据所选择的识别符来切换协议从而生成第1信息的情况下，信息处理装置也不需要对被切换的每个协议单独生成第2信息。结果，在本发明中，不需要烦杂的处理/管理，且能够根据所选择的识别符来切换协议。


图1是用于说明第1实施方式的函数密码应用系统的整体结构的方框图。图2是用于说明图1的发送者装置(信息输出装置)的结构的方框图。图3是用于说明图1的接收者装置(信息处理装置)的结构的方框图。图4是用于说明图1的密钥生成装置的结构的方框图。图5A是例示了第1实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图5B是例示了第1实施方式中的用于确定一种以上的协议的确定信息 PI和协议的对应关系的图。图6A是用于说明在第1实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID(h)的规则的一例的图。图6B是用于说明在第1实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID(h)的规则的一例的图。图7是用于说明在第1实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID(h)的规则的一例的图。图8A是用于说明用于对一种识别符ID(h)或者两种以上的识别符ID(h)的组合确定一个属性信息ATT的属性信息表的一例的图，图8B是用于说明通过该属性信息表决定的属性信息ATT的数据结构的图。图9A是用于说明用于对一种识别符ID(h)或者两种以上的识别符ID(h)的组合确定一个属性信息ATT的属性信息表的一例的图，图9B是用于说明通过该属性信息表决定的属性信息ATT的数据结构的图。图IOA是用于说明分别与多项式f(xQ，. . .，Xih)对应的谓语信息PRE的一例的图。 图IOB是用于说明该谓语信息PRE的数据结构的图。图IlA是用于说明分别与多项式f(xQ，. . .，Xih)对应的谓语信息PRE的一例的图。 图IlB是用于说明该谓语信息PRE的数据结构的图。图12A是用于说明第1实施方式的加密处理的流程图。图12B是用于说明第1实施方式的密钥信息生成处理的流程图。图13是用于说明第1实施方式的解密处理的流程图。图14A是用于说明将属性信息ATT以及谓语信息PRE的一部分区域设为预备区域的例子的图。图14B是用于说明将属性信息ATT以及谓语信息PRE的一部分区域设为预备区域的例子的图。图15A是用于说明将属性信息ATT以及谓语信息PRE的一部分区域设为预备区域的例子的图。图15B是用于说明将属性信息ATT以及谓语信息PRE的一部分区域设为预备区域的例子的图。图16是用于说明设定与逻辑式对应的属性信息ATT以及谓语信息PRE的情况下的一例的图，其中，该逻辑式在一部分中包含与确定信息PI的值无关地预先被设定成为真的命题的逻辑与。图17A是用于说明设定与逻辑式对应的属性信息ATT以及谓语信息PRE的情况下的一例的图，其中，该逻辑式在一部分中包含与确定信息PI的值无关地预先被设定成为真的命题的逻辑与。图17B是用于说明设定与逻辑式对应的属性信息ATT以及谓语信息PRE 的情况下的一例的图，其中，该逻辑式在一部分中包含与确定信息PI的值无关地预先被设定成为真的命题的逻辑与。图18A是用于说明设定与逻辑式对应的属性信息ATT以及谓语信息PRE的情况下的一例的图，其中，该逻辑式在一部分中包含与确定信息PI的值无关地预先被设定成为真的命题的逻辑与。图18B是用于说明设定与逻辑式对应的属性信息ATT以及谓语信息PRE 的情况下的一例的图，其中，该逻辑式在一部分中包含与确定信息PI的值无关地预先被设定成为真的命题的逻辑与。图19是用于说明第2实施方式的函数密码应用系统的整体结构的方框图。图20是用于说明图19的发送者装置(信息输出装置)的结构的方框图。图21是用于说明图19的接收者装置(信息处理装置)的结构的方框图。图22k是例示了第2实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图22B是例示了第2实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图23A是用于说明在第2实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID (h)的规则的一例的图。图2 是用于说明在第2实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID(h)的规则的一例的图。图M是用于说明在第2实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符ID(h)的规则的一例的图。图25是用于说明第2实施方式的加密DB的一例的图。图26A是用于说明第2实施方式的检索依赖处理的流程图。图26B是用于说明第 2实施方式的密钥信息生成处理的流程图。图27是用于说明第2实施方式的检索处理的流程图。图28是用于说明第3实施方式的函数密码应用系统的整体结构的方框图。图四是用于说明图观的发送者装置(信息输出装置)的结构的方框图。图30是用于说明图观的接收者装置(信息处理装置)的结构的方框图。图31A是用于说明第3实施方式的发送者装置的处理的流程图。图31B是用于说明第3实施方式的接收者装置的处理的流程图。图32是例示用于表现标准形逻辑式的树结构数据的图。图33是例示用于表现标准形逻辑式的树结构数据的图。图34是用于说明函数密码的(Dec-I)的处理的具体例的图。图35是用于说明第4实施方式的函数密码应用系统的整体结构的方框图。图36是用于说明图35的发送者装置(信息输出装置)的结构的方框图。图37是用于说明图35的接收者装置(信息处理装置)的结构的方框图。图38是用于说明第4实施方式的密钥生成装置的结构的方框图。
图39A是例示了第4实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图39B是例示了第4实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图40A是用于说明在第4实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图40B是用于说明在第4实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图41是用于说明在第4实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图42A是用于说明属性信息VSETl的数据结构的图。图42B是用于说明条件信息 VSET2的数据结构的图。图43A是用于说明第4实施方式的加密处理的流程图。图4 是用于说明第4实施方式的密钥信息生成处理的流程图。图44是用于说明第4实施方式的解密处理的流程图。图45A是用于说明将属性信息VSETl的一部分区域设为预备区域的例子的图。图 45B是用于说明将条件信息VSET2的一部分区域设为预备区域的例子的图。图46是用于说明第5实施方式的发送者装置(信息输出装置)的结构的方框图。图47是用于说明第5实施方式的接收者装置(信息处理装置)的结构的方框图。图48A是例示了第5实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图48B是例示了第5实施方式中的用于确定一种以上的协议的确定信息PI和协议的对应关系的图。图49A是用于说明在第5实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图49B是用于说明在第5实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图50是用于说明在第5实施方式中对每个协议或者该协议的组合的每一个所决定的、用于确定识别符IDU)的规则的一例的图。图51是用于说明第5实施方式的加密DB的一例的图。图52是用于说明第5实施方式的检索依赖处理的流程图。图53A是用于说明第5实施方式的密钥信息生成处理的流程图。图5 是用于说明第5实施方式的检索处理的流程图。图M是用于说明第6实施方式的发送者装置(信息输出装置)的结构的方框图。图55是用于说明第6实施方式的接收者装置(信息处理装置)的结构的方框图。图56A是用于说明第6实施方式的发送者装置的处理的流程图。图56B是用于说明第6实施方式的接收者装置的处理的流程图。
具体实施例方式以下，说明用于实施本发明的方式。[第1 第3实施方式中的定义]
首先，定义在第1 第3实施方式中使用的用语和记号。矩阵“矩阵”表示以矩形排列了运算所定义的集合的元。不仅是以环的元作为元素的形式，以群的元作为元素的形式也表现为“矩阵”。(·)Τ:(·)Τ表示·的转置矩阵。(0^:(04表示·的逆矩阵。Λ Λ表示逻辑与。V: V表示逻辑或。Z :Ζ表示整数集合。k :k 表示安全参数(k e Z，k > 0)。{0，1}* :{0，1}*表示任意比特长度的二进制序列。其一例是，由整数O以及1组成的序列。但是，{0，1}*不限于由整数O以及1组成的序列。{0，1}*与位数2的有限域或者其扩张域为相同含义。q:q表示1以上的整数。Zq =Zq表示位数q的有限环。有限环上的运算例如能够通过以位数q作为除数的余数运算而容易构成。Fq =Ftl表示位数q的有限域。为了 Fq为有限域，位数q必须是素数或者素数的幂乘值。有限域F,的例子为素域或以素域为基础域的扩张域。另外，有限域Ftl为素域时的运算例如能够通过以位数q作为除数的余数运算而容易构成。此外，有限域F,为扩张域时的运算例如能够通过以不可约多项式作为除数的余数运算而容易构成。有限域F,的具体的构成方法例如在参考文献 1 "IS0/IEC 18033-2 Jnformation technology-Security techniques-Encryption algorithms-part 2 :Asymmetric ciphers"中公开。Of =Of表示有限域F,的加法单位元(零元)。If =If表示有限域F,的乘法单位元。δ (i, j) δ (i，j)表示克罗内克(Kronecker)的 δ 函数。i = j 时满足 δ (i, j) =1F，i 兴 j 时满足 δ (i，j) = 0F。E =E表示在有限域F,上定义的椭圆曲线。椭圆曲线E被定义为在对由满足仿射 (affine)坐标版的Weierstrass方程式Y^a1 · χ · y+a3 · y = x3+a2 · x2+a4 · x+a6 . . . (1)(其中，a2,a3, a4, a6 e Fq)的x，y e Fq组成的点(x，y)的集合附加了被称为无限远点的特别的点0的集合。能够对椭圆曲线E上的任意两点定义被称为椭圆加法运算的两项运算+、以及对椭圆曲线E上的任意一点定义被称为椭圆逆元的单项运算_。此外，已熟知由椭圆曲线E上的有理点组成为有限集合关于椭圆加法运算构成群、使用椭圆加法运算能够定义被称为椭圆标量(scalar)倍算的运算、以及计算机上的椭圆加法运算等的椭圆运算的具体的运算方法(例如，参照参考文献1、参考文献2“RFC 5091 =Identity-Based cryptography Standard(IBCS)#1 :Super singular Curve Implementations of the BF and BBlCryptosystems”、参考文献 3 “ 4 了 > · F · 7..，夂、办 r 4 工卟 七口夕〉、于 ^夕工卟· P · 7 7 —卜=著作、“楕円曲線暗号”、出版=If 7 乂 > ·工尹二夕一 * 3 >、 ISBN4-89471-431-0” 等)。此外，由椭圆曲线E上的有理点组成的有限集合具有位数ρ (p ^ 1)的部分群。例如，在将由椭圆曲线E上的有理点组成的有限集合的元素数目设为#E，将ρ设为整除#E的大的素数的情况下，由椭圆曲线E的ρ等分点组成的有限集合E[p]构成由椭圆曲线E上的有理点组成为有限集合的部分群。另外，椭圆曲线E的ρ等分点是指，椭圆曲线E上的点A 中，椭圆曲线E上的椭圆标量倍算值ρ · A满足ρ · A = 0的点。G1, G2, Gt =G1, Gt, Gt表示位数q的循环群。循环群G1, G2的具体例为由椭圆曲线E 的P等分点组成的有限集合E[p]或其部分群。可以是G1 = G2，也可以是G1^ (；2。此外，循环群Gt的具体例为关于以有限域Ftl作为基础域的扩张域的加法的部分群。其一例是，由有限域F,的代数闭包中的1的ρ根组成的有限集合。另外，在第1 第3实施方式中，以加法方式表现在循环群G1A2上定义的运算，以乘法方式表现在循环群Gt上定义的运算。S卩，对于χ e F,以及Ω e G1的χ ·Ω e &表示，对Ω e G1实施χ次在循环群G1上定义的运算，对于Q1, Ω2 e G1的e 6工表示，将Q1 e &和Ω2 e G1作为被运算符而进行在循环群G1上定义的运算。同样地，对于 χ e F,以及Ω e &的χ · Ω e &表示，对Ω e (}2实施χ次在循环群(；2上定义的运算， 对于Q1, Ω2 e (}2的Ω^Ω2 e (}2表示，将Q1 e &和Ω2 e ( 作为被运算符而进行在循环群&上定义的运算。另一方面，对于χ e F,以及Ω e Gt的Ω x e Gt表示，对Ω e Gt 实施χ次在循环群Gt上定义的运算，对于Ω π Ω 2 e Gt的Ω工· Ω 2 e Gt表示，将Ω工e Gt 和Ω2 e Gt作为被运算符而进行在循环群Gt上定义的运算。G1n+1: G1n+1表示η+1 (η≥1)个循环群G1的直积。G2n+1 表示n+1个循环群G2的直积。gl, g2, gT :gl, g2, gT 表示循环群 G1, G2, Gt 的生成元。V :V表示由n+1个循环群G1的直积组成的n+1维的向量空间。V* =V*表示由n+1个循环群G2的直积组成的n+1维的向量空间。e :e表示将直积G1n+1和直积G2n+2的直积G1n+1映射到循环群Gt的非退化的双线性映射(bilinear map)。双线性映射e将循环群G1的n+1个元yl(L = 1，· ·，η+1) (η彡1)和循环群(；2的11+1个元l，..，n+l)作为输入，输出循环群Gt的一个元。e : G1n+1*G2n+1 → GT . . . (2)双线性映射e满足以下的性质。[双线性性]关于所有的「ie Gr1,「2 e G2n+1以及ν，κ e Fq满足以下的关系。“▽·「“·「2) =“「”「》 ...(3)[非退化性]并非将所有的「ie Gr1,「2 e G2n+1映射到循环群Gx的单位元。[可计算性]存在能够关于所有的「ie G,1，「2 e G2n+1高效地计算e(「1;「2)的算法。在第1 第3实施方式中，利用将循环群G1和循环群( 的直积G1X G2映射到循环群Gt的非退化的双线性映射Pair =G1XG2 ^ Gt . . . (4)来构成双线性映射e。第1 第3实施方式的双线性映射e对由循环群G1的η+1 个元Yl(L= 1，..，η+1)组成的η+1维向量(Y1, ...，yn+1)和由循环群&的η+1个元 YL*(i = 1，..，n+l)组成的η+1维向量(ΥΛ...，Υη+1*)的输入，输出循环群Gt的一个元。e = Π L = 1n+1Pair(YL, Yl*) . · · (5)
另外，双线性映射I^air将循环群G1的一个元和循环群( 的一个元的组作为输入， 输出循环群Gt的一个元，且满足以下的性质。[双线性性]关于所有的Q1G G1, Ω2 G &以及ν，κ e Ftl满足以下的关系。Pair ( ν · Ω” κ · Ω2) = Pair(Q1, Ω2)ν.κ . · · (6)[非退化性]并非将所有的Q1e G1, Ω2 e ( 映射到循环群Gt的单位元。[可计算性]存在关于所有的Q1G G1, Ω2 G ( 高效地计算I^air (Ω” Ω2)的算法。另外，双线性映射I^air的具体例为用于进行W^eil配对和Tate配对等配对运算的函数(例如，参照参考文献 4 “Alfred. J.Menezes，ELLIPTIC CURVE PUBLIC KEY CRYPTOSYSTEMS, KLUffER ACADEMIC PUBLISHERS, ISBN0-7923-9368-6, pp. 61-81”等)。此夕卜，也可以根据椭圆曲线E的种类，将对用于进行Tate配对等配对运算的函数和规定的函数Phi进行了组合的变更配对函数ΜΩρ phi(Q2)) (Q1 e G1, Ω2 e G2)作为双线性映射 Pair来使用(例如，参照参考文献2等)。此外，作为用于在计算机上进行配对运算的算法， 存在公知的Miller 的算法(参考文献5“V. S.Miller，“aiort Programs for functions on Curves, ” 1986，互联网 <http://crypto. Stanford, edu/miller/miller. pdf>”)等。此外， 用于高效地进行配对运算的椭圆曲线和循环群的构成方法已熟知(例如，参照参考文献2、 参考文献6“A. Miyaji,M. Nakabayashi, S. Takano,"New explicit conditions of elliptic curve Traces for FR-Reduction, ” IEICE Trans. Fundamentals, vol.E84-A, no05, pp. 1234-1243,May 2001”、参考文献 7"P. S. L. Μ. Barreto,B. Lynn,Μ. Scott,"Constructing elliptic curves with prescribed embedding degrees, "Proc.SCN' 2002, LNCS 2576, pp. 257-267，Springer-Verlag. 2003”、参考文献 8“R. Dupont，A. Enge，F. Morain,"Building curves with arbitrary small MOV degree over finite prime fields, Tittp://eprint. iacr. org/2002/094，，等)。Bi (i = 1,... ,n+1) : 表示以循环群G1的11+1个元作为元素的n+1维的基向量。 基向量 的一例是，将κ工e G1作为第i维的元素，将剩余的η个元素作为循环群G1的单位元(以加法方式表现为“0”)的n+1维的基向量。这时，若将n+1维的基向量 (i = 1，. . .，n+1)的各个元素分别列举表现，则成为如下。B1 = (K1. gl,0,0, . . . ,0)a2 = (0, K1' gl,0, . . . ,0) …(7)an+1 = (0，0，0，· · ·，κ i · gl)这里，κ工是由加法单位元Of以外的有限域F,的元组成的常数，K1GFq的具体例是K i = 1F。基向量 是正交基，以循环群G1的n+1个元作为元素的所有的n+1维向量通过n+1维的基向量 (i = 1，. . .，n+1)的线性和来表示。S卩，n+1维的基向量 扩展前述的向量空间V。ai*(i = 1,... ,n+1)表示以循环群(；2的11+1个元作为元素的n+1维的基向量。 基向量的一例是，将κ 2 · & e (}2作为第i维的元素，将剩余的η个元素作为循环群( 的单位元(以加法方式表现为“0”)的n+1维的基向量。这时，若将基向量aji = 1，...， n+1)的各个元素分别列举表现，则成为如下。
Bi* = (κ 2 . g2,0,0, . . . ,0)a2* = (0，κ 2 · g2，0，· · ·，0) …(8)an+1* = (0，0，0，· · ·，κ 2 · g2)这里，κ 2是由加法单位元Of以外的有限域F,的元组成的常数，K2GFq的具体例是K2= 1F。基向量 < 是正交基，以循环群(；2的11+1个元作为元素的所有的n+1维向量通过n+1维的基向量ai*(i = 1，...，n+1)的线性和来表示。S卩，n+1维的基向量 < 扩展前述的向量空间圹。另外，基向量 和基向量 < 是指，关于除Of以外的有限域F,的元τ = K1-K2, 满足下式。e(ai,a；) =g/.s(i,J) ...(9)即，i = j时，根据式(5) (6)的关系，满足下式。e(ai; a/) =Pair(K1.g1，κ 2 · g2) · Pair (0,0) ·... ‘ Pair (0,0)= Pair(gl, g2) Kl' K2 · Pair (gl, g2)°-° · . . . · Pair(gl, g2)°-°=Pair(gl,g2)Kl-K2 = g/另一方面，在i乒 j 时，e(ai，aj*)不包含 I^air ( κ i ，κ 2 ，成为 I^air ( Κ i ·&， 0)和l^ir(0，κ 2 . g2)和Pair(0，0)的积。进而，根据式(6)的关系而满足I^air (gl，0)= Pair(0, g2) = Pairfe1，g2)°。因此，在 i Φ j 时，满足下式。e(ai; a；) = e(gl, g2)° = gT°尤其，在τ = K1* K2 = “时(例如，K1= K2= “时)，满足下式。e(ai,a；) = g/(i'J) …(10)这里，gT° = 1是循环群Gt的单位元，g/ = &是循环群&的生成元。这时，基向量 和基向量 < 是对偶标准正交基，向量空间ν和向量空间r是能够构成双线性映射的对偶向量空间[对偶配对向量空间(DPVS =Dual Paring Vector space)]。A :A表示以基向量EiiG = 1，...，η+l)作为元素的n+1行n+1列的矩阵。例如， 在通过式(7)表示基向量= 1，...，n+l)时，矩阵A成为下式。[数1]
权利要求
1.一种函数密码应用系统，其具有 信息输出装置；以及信息处理装置，其中，所述信息输出装置包括识别符确定部，根据对按照函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则，确定与按照所述函数密码方式的特定的协议对应的、或者与按照所述函数密码方式的特定的协议的组合对应的一种识别符或者多种识别符，其中，所述函数密码方式是在与第1对应信息以及第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式；对应信息设定部，设定与所述一种识别符或者所述多种识别符的组合对应的特定的第 1对应信息；以及输出部，输出第1信息，所述第一信息是与所述特定的第1对应信息对应的函数密码方式的密码文或者密钥信息， 所述信息处理装置包括解密部，将所述第1信息、以及与特定的第2对应信息对应的作为函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，并且在与对应于所述第1信息的所述特定的第1对应信息以及对应于所述第2信息的所述特定的第2对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的一种值或者多种值分别能够得到解密结果的值，当所述第1信息为对应于所述特定的第1对应信息的密码文时，所述第2信息是对应于所述特定的第2对应信息的密钥信息，当所述第1信息为对应于所述特定的第1对应信息的密钥信息时，所述第2信息是对应于所述特定的第2对应信息的密码文。
2.如权利要求1所述的函数密码应用系统，其中，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的多种值分别能够得到解密结果的值。
3.如权利要求1或2所述的函数密码应用系统，其中，所述识别符确定部确定与所述特定的协议的组合对应的所述一种识别符或者多种识别符，所述特定的协议的组合是由按照所述函数密码方式的多种协议构成的组合。
4.如权利要求3所述的函数密码应用系统，其中， 所述信息输出装置还包括第1切换部，根据所述特定的协议，切换所述第1信息是密码文还是密钥信息， 所述信息处理装置还包括第2切换部，根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
5.如权利要求1或2所述的函数密码应用系统，其中， 所述信息输出装置还包括第1切换部，根据所述特定的协议，切换所述第1信息是密码文还是密钥信息， 所述信息处理装置还包括第2切换部，根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
6.如权利要求1所述的函数密码应用系统，其中，在所述第2对应信息和所述第1对应信息输入到预先决定的函数时，相对于所述第1 对应信息所取的一种或者多种值，该第2对应信息使该函数的函数值成为预先决定的值，所述解密函数是，在对应于所述第1信息的所述特定的第1对应信息和对应于所述第 2信息的所述特定的第2对应信息输入到所述预先决定的函数时的函数值成为所述预先决定的值的情况下，生成正确的解密结果的函数。
7.如权利要求6所述的函数密码应用系统，其中，在所述第2对应信息和所述第1对应信息输入到预先决定的函数时，相对于所述第1 对应信息所取的多种值，该第2对应信息使该函数的函数值成为所述预先决定的值。
8.如权利要求7所述的函数密码应用系统，其中， 所述第1对应信息以及所述第2对应信息是向量，所述预先决定的函数是计算所述第1对应信息和所述第2对应信息的内积的函数，所述预先决定的值为0。
9.如权利要求8所述的函数密码应用系统，其中，至少一部分的所述第1对应信息是，作为一部分元素的第1预备区域的值被预先固定的向量，至少一部分的所述第2对应信息是，作为一部分元素的第2预备区域的值被预先固定的向量，包含所述第1预备区域的所述第1对应信息的该第1预备区域的位置与所述第2对应信息的所述第2预备区域的位置互相相等，构成包含所述第1预备区域的所述第1对应信息的该第1预备区域的向量与构成所述第2对应信息的所述第2预备区域的向量的内积为0，而与所述一种识别符或者所述多种识别符的组合无关。
10.如权利要求9所述的函数密码应用系统，其中， 所述第1预备区域的值都为0。
11.如权利要求9所述的函数密码应用系统，其中， 所述第2预备区域的值都为0。
12.如权利要求10所述的函数密码应用系统，其中， 所述第2预备区域的至少一部分的值为0以外。
13.如权利要求11所述的函数密码应用系统，其中， 所述第1预备区域的至少一部分的值为0以外。
14.如权利要求8至13的任一项所述的函数密码应用系统，其中，所述第1对应信息是，将对用于表示包含逻辑或和/或逻辑与的逻辑式的多项式的各项的不定元分量代入了所述识别符后的值作为各个元素的向量，所述第2对应信息是，将表示所述逻辑式的多项式的各项的系数分量作为各个元素的向量，表示所述逻辑式的多项式是如下的多项式通过取不定元和常数的差的多项式来表现该不定元为该常数的命题，通过分别表现命题的多项式的积来表现该命题的逻辑或，通过分别表现命题或者命题的逻辑或的多项式的线性和来表现该命题或者命题的逻辑或的逻辑与，并由此表现了所述逻辑式，表示所述逻辑式的多项式与所述第1对应信息和所述第2对应信息的内积相等，所述逻辑式为真的情况等价于表示所述逻辑式的多项式为0。
15.如权利要求14所述的函数密码应用系统，其中，所述第1对应信息以及所述第2对应信息对应于，在一部分中包含与所述一种识别符或者所述多种识别符的组合无关地被预先设定为真的命题的逻辑与的所述逻辑式。
16.如权利要求1所述的函数密码应用系统，其中，所述第1对应信息包含一个或者多个第1部分对应信息，所述第2对应信息包含一个或者多个第2部分对应信息，在所述第1部分对应信息以及所述第2部分对应信息输入到预先决定的函数时，根据所述第1部分对应信息的值以及所述第2部分对应信息的值的组合，该函数的函数值成为预先决定的值或者成为该预先决定的值以外的值，对所述第1部分对应信息以及所述第2部分对应信息的组合的每一个，决定是将所述函数的函数值成为所述预先决定的值的情况设为所述第1部分对应信息以及所述第2部分对应信息的组合为真，还是将所述函数的函数值不成为所述预先决定的值的情况设为所述第1部分对应信息以及所述第2部分对应信息的组合为真，所述解密函数是，在成为真的所述第1部分对应信息以及所述第2部分对应信息的组合的集合满足了预先决定的条件时，生成正确的解密结果的函数。
17.如权利要求16所述的函数密码应用系统，其中，对所述第1部分对应信息分别关联向量或者对所述第2部分对应信息分别关联向量， 所述解密函数是，在由成为真的所述第1部分对应信息以及所述第2部分对应信息的组合分别包含的、所述第1部分对应信息或者所述第2部分对应信息所相关联的向量扩展的向量空间内存在特定的向量时，生成正确的解密结果的函数。
18.如权利要求16或17所述的函数密码应用系统，其中， 所述第1部分对应信息以及所述第2部分对应信息是向量，所述预先决定的函数是计算所述第1部分对应信息和所述第2部分对应信息的内积的函数，所述预先决定的值为0。
19.如权利要求18所述的函数密码应用系统，其中， 至少一部分的所述第1部分对应信息是值被预先固定的向量， 至少一部分的所述第2部分对应信息是值被预先固定的向量，作为值被预先固定的向量的所述第1部分对应信息与作为值被预先固定的向量的所述第2部分对应信息的内积为0，而与所述一种识别符或者所述多种识别符的组合无关。
20.如权利要求19所述的函数密码应用系统，其中，作为值被预先固定的向量的所述第1部分对应信息是，所有元素为0的向量。
21.如权利要求19所述的函数密码应用系统，其中，作为值被预先固定的向量的所述第2部分对应信息是，所有元素为0的向量。
22.如权利要求20所述的函数密码应用系统，其中，作为值被预先固定的向量的所述第2部分对应信息是包含0以外的元素的向量。
23.如权利要求21所述的函数密码应用系统，其中，作为值被预先固定的向量的所述第1部分对应信息是包含0以外的元素的向量。
24.如权利要求1所述的函数密码应用系统，其中，所述信息处理装置存储与一种所述特定的第2对应信息对应的一种所述第2信息。
25.如权利要求1所述的函数密码应用系统，其中，决定应对按照所述函数密码方式的协议或者按照所述函数密码方式的协议的组合使用的第1对应信息的类别，所述规则是确定用于决定应对所述特定的协议或者所述特定的协议的组合使用的类别的所述特定的第1对应信息的所述一种识别符或者所述多种识别符的组合的规则。
26.如权利要求1或25所述的函数密码应用系统，其中，所述协议是从包含定时释放密码协议、前向安全密码协议、密钥隔离密码协议、CCA2安全密码协议、关键字检索密码协议中的至少一个的集合中选择的协议，所述协议为定时释放密码协议时的所述规则为，将用于确定所述第1信息的生成时刻以后的时刻的信息设为所述识别符的规则，所述协议为前向安全密码协议或者密钥隔离密码协议时的所述规则分别是，将包含所述第1信息的生成时刻的时间区间或者用于确定所述第1信息的生成时刻以后的时间区间的信息设为所述识别符的规则，所述协议为CCA2安全密码协议时的所述规则为，将用于确定每当生成所述第1信息时新设定的一次性信息的信息设为所述识别符的规则，所述协议为关键字检索密码协议时的所述规则为，将用于确定数据库的检索用关键字的信息设为所述识别符的规则。
27.一种信息输出装置，包括识别符确定部，根据对按照函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则，确定与按照所述函数密码方式的特定的协议对应的、或者与按照所述函数密码方式的特定的协议的组合对应的一种识别符或者多种识别符，其中，所述函数密码方式是在与第1对应信息以及第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式；对应信息设定部，设定与所述一种识别符或者所述多种识别符的组合对应的特定的第 1对应信息；以及输出部，输出第1信息，所述第1信息是与所述特定的第1对应信息对应的函数密码方式的密码文或者密钥信息。
28.如权利要求27所述的信息输出装置，其中，所述识别符确定部确定与所述特定的协议的组合对应的所述一种识别符或者多种识别符，所述特定的协议的组合是由按照所述函数密码方式的多种协议构成的组合。
29.如权利要求27或观所述的信息输出装置，还包括第1切换部，根据所述特定的协议，切换所述第1信息是密码文还是密钥信息。
30.一种信息处理装置，包括解密部，将与特定的第1对应信息对应的作为函数密码方式的密码文或者密钥信息的第1信息、以及与特定的第2对应信息对应的作为所述函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，并且在与对应于所述第1信息的特定的第 1对应信息以及对应于所述第2信息的所述特定的第2对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果，其中，所述特定的第1对应信息与一种识别符或者多种识别符的组合对应，该一种识别符或者多种识别符的组合根据对按照所述函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则而决定，所述函数密码方式是在与所述第1对应信息以及所述第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的一种值或者多种值分别能够得到解密结果的值，当所述第1信息为对应于所述特定的第1对应信息的密码文时，所述第2信息是对应于所述特定的第2对应信息的密钥信息，当所述第1信息为对应于所述特定的第1对应信息的密钥信息时，所述第2信息是对应于所述特定的第2对应信息的密码文。
31.如权利要求30所述的信息处理装置，其中，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的多种值分别能够得到解密结果的值。
32.如权利要求30或31所述的信息处理装置，其中，所述识别符确定部确定与所述特定的协议的组合对应的所述一种识别符或者多种识别符，所述特定的协议的组合是由按照所述函数密码方式的多种协议构成的组合。
33.如权利要求32所述的信息处理装置，还包括第2切换部，根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
34.如权利要求30或31所述的信息处理装置，还包括第2切换部，根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
35.一种密码协议执行方法，包括以下步骤识别符确定步骤，信息输出装置根据对按照函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则，确定与按照所述函数密码方式的特定的协议对应的、或者与按照所述函数密码方式的特定的协议的组合对应的一种识别符或者多种识别符，其中，所述函数密码方式是在与第1对应信息以及第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式；对应信息设定步骤，所述信息输出装置设定与所述一种识别符或者所述多种识别符的组合对应的特定的第1对应信息；输出步骤，所述信息输出装置输出第1信息，所述第1信息是与所述特定的第1对应信息对应的函数密码方式的密码文或者密钥信息；以及解密步骤，信息处理装置将所述第1信息、以及与特定的第2对应信息对应的作为函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，并且在与对应于所述第1信息的所述特定的第1对应信息以及对应于所述第2信息的所述特定的第2 对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的一种值或者多种值能够分别得到解密结果的值，当所述第1信息为对应于所述特定的第1对应信息的密码文时，所述第2信息是对应于所述特定的第2对应信息的密钥信息，当所述第1信息为对应于所述特定的第1对应信息的密钥信息时，所述第2信息是对应于所述特定的第2对应信息的密码文。
36.一种信息输出方法，包括识别符确定步骤，识别符确定部根据对按照函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则，确定与按照所述函数密码方式的特定的协议对应的、或者与按照所述函数密码方式的特定的协议的组合对应的一种识别符或者多种识别符，其中，所述函数密码方式是在与第1对应信息以及第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式；对应信息设定步骤，对应信息设定部设定与所述一种识别符或者所述多种识别符的组合对应的特定的第1对应信息；以及输出步骤，输出部输出第1信息，所述第1信息是与所述特定的第1对应信息对应的函数密码方式的密码文或者密钥信息。
37.如权利要求36所述的信息输出方法，其中，所述识别符确定步骤是确定与所述特定的协议的组合对应的所述一种识别符或者多种识别符的步骤，所述特定的协议的组合是由按照所述函数密码方式的多种协议构成的组合。
38.如权利要求36或37所述的信息输出方法，还包括切换步骤，切换部根据所述特定的协议，切换所述第1信息是密码文还是密钥信息。
39.一种信息处理方法，包括解密步骤，解密部将与特定的第1对应信息对应的作为函数密码方式的密码文或者密钥信息的第1信息、以及与特定的第2对应信息对应的作为所述函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，并且在与对应于所述第1信息的特定的第1对应信息以及对应于所述第2信息的所述特定的第2对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果，其中，所述特定的第1对应信息与一种识别符或者多种识别符的组合对应，该一种识别符或者多种识别符的组合根据对按照所述函数密码方式的每个协议决定的规则、或者对按照所述函数密码方式的协议的组合的每一个决定的规则而决定，所述函数密码方式是在与所述第1对应信息以及所述第2对应信息的组合对应的逻辑式的真值为真的情况下密码文被正确解密的方式，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的一种值或者多种值分别能够得到解密结果的值，当所述第1信息为对应于所述特定的第1对应信息的密码文时，所述第2信息是对应于所述特定的第2对应信息的密钥信息，当所述第1信息为对应于所述特定的第1对应信息的密钥信息时，所述第2信息是对应于所述特定的第2对应信息的密码文。
40.如权利要求39所述的信息处理方法，其中，在对应于所述特定的第1对应信息的所述第1信息、以及对应于所述特定的第2对应信息的所述第2信息输入到所述解密函数时，所述特定的第2对应信息取相对于所述特定的第1对应信息所取的多种值分别能够得到解密结果的值。
41.如权利要求39或40所述的信息处理方法，其中，所述一种识别符或者多种识别符与所述特定的协议的组合对应，所述特定的协议的组合是由按照所述函数密码方式的多种协议构成的组合。
42.如权利要求41所述的信息处理方法，还包括切换步骤，切换部根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
43.如权利要求39或40所述的信息处理方法，还包括切换步骤，切换部根据所述特定的协议，切换所述第2信息是密钥信息还是密码文。
44.一种程序，使计算机作为权利要求27的信息输出装置发挥作用。
45.一种程序，使计算机作为权利要求30的信息处理装置发挥作用。
46.一种计算机可读取的记录介质，存储了使计算机作为权利要求27的信息输出装置发挥作用的程序。
47.一种计算机可读取的记录介质，存储了使计算机作为权利要求30的信息处理装置发挥作用的程序。
全文摘要
信息输出装置根据对按照函数密码方式的每个协议决定的规则、或者对该协议的组合的每一个决定的规则，确定与按照函数密码方式的特定的协议或者该特定的协议的组合对应的一种识别符或者多种识别符，设定与这些识别符对应的特定的第1对应信息，输出与特定的第1对应信息对应的作为函数密码方式的密码文或者密钥信息的第1信息。信息处理装置将第1信息、以及作为与特定的第2对应信息对应的函数密码方式的密钥信息或者密码文的第2信息输入到函数密码方式的解密函数，并且在与对应于第1信息的特定的第1对应信息以及对应于第2信息的特定的第2对应信息的组合对应的逻辑式的真值为真的情况下生成解密结果。
文档编号H04L9/14GK102484586SQ20108003397
公开日2012年5月30日 申请日期2010年7月30日 优先权日2009年8月3日
发明者小林铁太郎, 铃木幸太郎 申请人:日本电信电话株式会社