密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法以及密码处理程序的制作方法

密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法以及密码处理程序的制作方法
【专利摘要】目的在于提供一种系统整体的保密性不依赖于1个机关的分散多管理者函数型密码。多个密钥生成装置（100）中的、任意的一个密钥生成装置（100）生成gparam，各密钥生成装置（100）根据gparam生成管理者公开密钥apk和管理者秘密密钥ask。然后，多个密钥生成装置（100）中的至少一部分的密钥生成装置（100）根据管理者秘密密钥ask生成用户的解密密钥uskgid，（t，xt）的一部分。用户将至少一部分的密钥生成装置100生成的解密密钥uskgid，（t，xt）合起来作为1个解密密钥，对加密数据ctS进行解密。
【专利说明】密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法以及密码处理程序
【技术领域】
[0001]本发明涉及分散多管理者函数型密码(Decentralized Mult1-AuthorityFunctional Encryption)。
【背景技术】
[0002]在非专利文献31中，有与函数型密码有关的记载。
[0003]在非专利文献12、13、25、26、28中，有关于基于多管理者属性的密码(Mult1-Authority Attribute-Based Encryption)的记载。另外，基于属性的密码是函数型密码的I个类。
[0004]在非专利文献25中，有关于基于分散多管理者属性的密码的记载。
[0005]非专利文献
[0006]非专利文献 I:Beimel, A., Secure schemes for secret sharing and keydistribution.PhD Thesis，Israel Institute of Technology，Technion，Haifa，Israel，1996.[0007]非专利文献2:Bethencourt, J.，Sahai, A.，Waters, B.:Ciphertext-policyattribute-based encryption.1n:2007IEEE Symposiumon Security and Privacy,pp.321.34.1EEE Press (2007)
[0008]非专利文献3:Boneh，D.，Boyen，X.-Efficient selective-1D secure identitybased encryption witho ut random oracles.1n:Cachin，C.，Camenisch，J.(eds.)EUR0CRYPT2004.LNCS, vol.3027，pp.223.38.Springer Heidelberg (2004)
[0009]非专利文献4:Boneh， D.， Boyen, X.:Secure identity based encryptionwithout random oracles.1n:Franklin, M.K.(ed.) CRYPT02004.LNCS, vol.3152，pp.443.59.Springer Heidelberg (2004)
[0010]非专利文献5:Boneh，D.，Boyen, X.，Goh, E.!Hierarchical identity basedencryption with constant size ciphertext.1n:Cramer,R.(ed.)EUR0CRYPT2005.LNCS,vol.3494，pp.440.56.Springer Heidelberg (2005)
[0011]非专利文献6:Boneh，D.，Franklin, M.:Identity-based encryption from theWeil pairing.1n:Kilian，J.(ed.) CRYPT02001.LNCS, vol.2139，pp.213.29.SpringerHeidelberg (2001)
[0012]非专利文献7:Boneh，D.，Hamburg, M.!Generalized identity based andbroadcast encryption scheme.1n:Pieprzyk, J.(ed.) ASIACRYPT2008.LNCS，vol.5350，pp.455.70.Springer Heidelberg (2008)
[0013]非专利文献8:Boneh，D.，Katz, J.，Improved efficiency for CCA-securecryptosystems built using identity based encryption.RSA-CT2005, LNCS, SpringerVerlag (2005)[0014]非专利文献9:Boneh，D.，Waters, B.:Conjunctive, subset，and range querieson encrypted data.1n:Vadhan，S.P.(ed.)TCC2007.LNCS, vol.4392，pp.535 *54.SpringerHeidelberg (2007)
[0015]非专利文献10:Boyen，X.，Waters，B.:Anonymous hierarchical identity-basedencryption (without random oracles).1n:Dwork,C.(ed.)CRYPT02006.LNCS, vol.4117，pp.290.07.Springer Heidelberg (2006)
[0016]非专利文献11:Canetti，R.，Halevi S., Katz J.:Chosen-ciphertext securityfrom identity-based encryption.EUR0CRYPT2004, LNCS, Springer Heidelberg (2004)
[0017]非专利文献12:Chase，M.:Multi_authority attribute based encryption.TCC,LNCS, pp.515.34，Springer Heidelberg (2007).[0018]非专利文献13:Chase，M.and Chow, S.:Improving privacy and security inmult1-authority attribute-based encryption, ACM Conference on Computer andCommunications Security, pp.121.30，ACM (2009).[0019]非专利文献14 ；Cocks, C.:An identity based encryption scheme based onquadratic residues.1n:Honary，B.(ed.) IMAInt.Conf.LNCS, vol.2260，pp.360.63.Springer Heidelberg (2001)
[0020]非专利文献15:Estibals，Ν.:Compact hardware for computing the Tatepairing overl28-bit-security supersingular curves, IACR ePrint Archive:Report2010/371 (2010).[0021]非专利文献16:SECURE HASH STANDARD，FIPS PUB180-1，180_2，NIST，USA (1995，2002) [0022]非专利文献 17:Gentry，C.:Practical identity-based encryption withoutrandom oracles.1n:Vaudenay, S.(ed.) EUR0CRYPT2006.LNCS, vol.4004，pp.445.64.Springer Heidelberg (2006)
[0023]非专利文献18:Gentry, C.， Halevi, S.!Hierarchical identity-basedencryption with polynomially many levels.1n:Reingold, 0.(ed.) TCC2009.LNCS,vol.5444，pp.437.56.Springer Heidelberg (2009)
[0024]非专利文献19:Gentry, C.， Silverberg, A.!Hierarchical ID-basedcryptography.1n:Zheng，Y.(ed.) ASIACRYPT2002.LNCS, vol.2501，pp.548 *66.SpringerHeidelberg (2002)
[0025]非专利文献20:Goyal, V.，Pandey，0.，Sahai，A.，Waters, B.:Attribute-basedencryption for fine-grained access controlof encrypted data.1n:ACM Conferenceon Computer and Communication Security2006，pp.89.8，ACM (2006)
[0026]非专利文献21:1S0/IEC15946_5，Information technology.Securitytechniques.Cryptographic techniques based on elliptic curves.Part5:Ellipticcurve generation (2009).[0027]非专利文献22:Katz，J.，Sahai, A.，Waters, B.:Predicate encryptionsupporting disjunctions，polynomial equations，and inner products.1n:Smart,N.P.(ed.) EUR0CRYPT2008.LNCS, vol.4965，pp.146.62.Springer Heidelberg (2008)[0028]非专利文献23:Lewko, A.，Okamoto, T.，Sahai，A.，Takashima, K.，Waters,B.:Fully secure functional encryption:Attribute-based encryption and(hierarchical) inner product encryption,EUR0CRYPT2010.LNCS,Springer Heidelberg(2010)
[0029]非专利文献24:Lewko, Α.Β.，Waters, B.:New techniques for dual systemencryption and fully secure HIBE with short ciphertexts.1n:Micciancio,D.(ed.)TCC2010.LNCS, vol.5978，pp.455.79.Springer Heidelberg (2010)
[0030]非专利文献25:Lewko, A.Β.，Waters, Β.!Decentralizing Attribute-BasedEncryption, IACR ePrint Archive:Report2010/351 (2010).[0031]非专利文献26:Η.Lin，Z.Cao, X.Liang, and J.Sha0.:Secure threshold multiauthority attribute based encryption without a central authority, IND0CRYPT，LNCS, vol.5365，pp.426.36，Springer Heidelberg (2008).[0032]非专利文献27:Maji，Η.，Prabhakaran, Μ.，Rosulek，Μ.:Attribute-BasedSignatures, http://www.cs.uiuc.edu/ ?mmp/research.html
[0033]非专利文献28:S.Muller，S.Katzenbeisser, and C.Eckert.；0nmult1-authority ciphertext-policy attribute-based encryption, Bull.Korean MathSoc.46，N0.4，pp.803.19 (2009).[0034]非专利文献29:Okamoto, Τ.，Takashima，K.:Homomorphic encryption andsignatures from vector decomposition.1n:Galbraith，S.D.，Paterson，K.G.(eds.)Pairing2008.LNCS, vol.5209，pp.57.4，Springer Heidelberg (2008)
[0035]非专利文献30:Okamoto, Τ.，Takashima，K.!Hierarchical predicateencryption for inner-products，In:ASIACRYPT2009，Springer Heidelberg (2009)
[0036]非专利文献31:Okamoto, Τ.，Takashima，K.:Fully Secure FunctionalEncryption with Gene ral Relations from the Decisional Linear Assumption， In:CRYPT02010, Springer Heidelberg (2010)
[0037]非专利文献32:0strovsky, R.，Sahai，A.，Waters, B.:Attribute_basedencryption with non-monotonic access structures.1n:ACM Conference on Computerand Communication Security2007,pp.195.03，ACM (2007)
[0038]非专利文献33 ；Pirretti, M.，Traynor, P.，McDaniel，P.，Waters, B.:Secureattribute-based systems.1n:ACM Conference on Computer and CommunicationSecurity2006,pp.99.12，ACM，(2006)
[0039]非专利文献34 ；Sahai, A.，Waters, B.:Fuzzy identity-based encryption.1n:CrameriR.(ed.)EUR0CRYPT2005.LNCS,vol.3494,pp.457.73.Springer Heidelberg(2005)
[0040]非专利文献35:Shi，Ε.，Waters, Β.!Delegating capability in predicateencryption systems.1n:Aceto，L，Damg “工 ard，1.，Goldberg，L A.，Halldorsson，M.M.，IngolfsdottiriA.，Walukiewicz，1.(eds.) ICALP (2)2008.LNCS, vol.5126，pp.560.578.Springer Heidelberg (2008)
[0041]非专利文献36:Waters，B.!Efficient identity based encryption withoutrandom oracles.Eurocrypt2005, LNCS, vol.3152，pp.443.59.Springer Verlag，(2005)[0042]非专利文献 37:ffaters, B.:Ciphertext-policy attribute-based encryption:an expressive, efficient, and provably secure realization.ePrint, IACR, http://eprint.1acr.0rg/2008/290
[0043]非专利文献38:Waters, B.:Dual system encryption !realizing fully secureIBE and HIBE under simple assumptions.1n:Halevi, S.(ed.) CRYPT02009.LNCS,vol.5677, pp.619.36.Springer Heidelberg (2009)

【发明内容】

[0044]在函数型密码中，有系统整体的保密性依赖于I个机关这样的课题。
[0045]本发明的目的在于提供一种系统整体的保密性不依赖于I个机关的分散多管理者函数型密码。
[0046]本发明的密码处理系统，具备d个(d是I以上的整数)密钥生成装置、加密装置、以及解密装置，使用关于t=l，...，d的至少一个以上的整数t的基底Bt和基底B'来执行密码处理，其特征在于，
[0047]所述d个密钥生成装置的各密钥生成装置具备:
[0048]第I信息输入部，输入关于t=l，...，d中的针对每个密钥生成装置预定的整数t的属性信息X —t:= (xt,i) (i=l，...，nt, nt是I以上的整数)；
[0049]密钥要素生成部，根据所述整数t、所述第I信息输入部输入的属性信息X'、规定的值S、以及基底B'的基底矢量lA.1 (i=l，...，2nt)，生成包括式I所示的矢量的密钥要素k*t;以及
[0050]解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k*t、和所述属性信息X'的解密密钥USk发送到所述解密装置，
[0051]所述加密装置具备:
[0052]第2信息输入部，输入关于i=l，...，L (L是I以上的整数)的各整数i的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M，所述变量P (i)是识别信息t(t=l,..., d中的某一个整数)、和属性信息V':= (Vi, i，)(i’ =1,..., nt)的肯定形的组(t，V')或者否定形的组，(t，V')的某一个；
[0053]矢量生成部，根据具有r个要素的矢量f'和所述第2信息输入部输入的矩阵M，生成列矢量 S —τ:=(Sl，...，sL)T:=M *f —τ，并且根据设为 S。:=h— *f —T 而成为 S(l=h— *(f ’ )T的具有r个要素的矢量f —’、和所述矩阵M，生成列矢量(S1)T:= (s/,...，Sl ) τ:
=μ.(r，)T;
[0054]密码要素Ci生成部，根据所述矢量生成部生成的列矢量?Ττ以及列矢量(s’)τ、和关于i=l，, L的各整数i的规定的值Θ 1、Θ /，针对i=l，, L的各整数i，在变量P (i)是肯定形的组(t，v')的情况下，使用该组的识别信息t表示的基底Bt的基底矢量bt,i，(i’ =1,...，2nt),生成包括式2所示的矢量的密码要素Ci,在变量P (i)是否定形的组”(t，V')的情况下，使用该组的识别信息t表示的基底矢量bt,i (i=l,...，2nt)，生成包括式3所示的矢量的密码要素Ci ;以及
[0055]加密数据发送部，将包括所述密码要素Ci生成部生成的关于i=l，...，L的各整数i的密码要素C1、所述变量P (i)、以及所述矩阵M的加密数据cts&送到所述解密装置，[0056]所述解密装置具备:
[0057]解密密钥接收部，接收所述d个密钥生成装置中的、至少一个以上的密钥生成装置的所述解密密钥发送部发送了的解密密钥usk ；
[0058]数据接收部，接收所述加密数据发送部发送了的加密数据Cts ；
[0059]补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息X厂、和所述数据接收部接收到的加密数据Cts中包含的变量P (i)，在i=l，...，L的各整数i中，确定变量P (i)是肯定形的组(t，V')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积成为O的1、和变量P (i)是否定形的组，(t，V')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积不成为O的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据Cts中包含的矩阵M的第i行的要素的Mi,计算在对a ,Mi进行了合计的情况下成为规定的矢量h —的补充系数Cii ;以及
[0060]配对运算部，根据所述补充系数计算部计算的集合I和补充系数a i，针对所述加密数据Cts中包含的密码要素C1、和所述解密密钥USk中包含的密钥要素k*t，进行式4所示的配对运算，计算所述规定的信息K，
[0061][式I]
[0062]
【权利要求】
1.一种密码处理系统，具备d个(d是I以上的整数)密钥生成装置、加密装置、以及解密装置，使用关于t=l，...，d的至少一个以上的整数t的基底Bt和基底B'来执行密码处理，其特征在于， 所述d个密钥生成装置的各密钥生成装置具备: 第I信息输入部，输入关于t=l，...，d中的针对每个密钥生成装置预定的整数t的属性信息 X —t:= (xt, i) (i=l，...，nt, nt 是 I 以上的整数)； 密钥要素生成部，根据所述整数t、所述第I信息输入部输入的属性信息X'、规定的值S、以及基底B'的基底矢量Ku (i=l，...，2nt)，生成包括式I所示的矢量的密钥要素k';以及 解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k*t、和所述属性信息X'的解密密钥usk发送到所述解密装置， 所述加密装置具备: 第2信息输入部，输入关于i=l，...，L (L是I以上的整数)的各整数i的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M，所述变量P (i)是识别信息t(t=l，...，d中的某一个整数)、和属性信息V':= (Vi,r) (i’ =1,..., nt)的肯定形的组(t, v —J或者否定形的组，(t，V')的某一个； 矢量生成部，根据具有r个要素的矢量f'和所述第2信息输入部输入的矩阵M，生成列矢量 s —τ:= (Sl，...，SL)T:=M*f —τ，并且根据设为 S(l:=h—.f —τ 而成为 So=h-.(f-，)τ的具有1'个要素的矢量€’、和所述矩阵1生成列矢量(8’)1:=(81’，...，\’)1:=1--’)T 密码要素Ci生成部，根据所述矢量生成部生成的列矢量S — T以及列矢量(s’)Τ、和关于i=l，...，L的各整数i的规定的值θρ 0/，针对1=1，...，1-的各整数1，在变量P (i)是肯定形的组(t，V')的情况下，使用该组的识别信息t表示的基底Bt的基底矢量bt,i，(i’ =1，...，2nt)，生成包括式2所示的矢量的密码要素Ci，在变量P (i)是否定形的组，(t, V')的情况下，使用该组的识别信息t表示的基底矢量bt,i (i=l,...，2nt)，生成包括式3所示的矢量的密码要素Ci ；以及 加密数据发送部，将包括所述密码要素Ci生成部生成的关于i=l，...，L的各整数i的密码要素C1、所述变量P (i)、以及所述矩阵M的加密数据Cts发送到所述解密装置， 所述解密装置具备: 解密密钥接收部，接收所述d个密钥生成装置中的、至少一个以上的密钥生成装置的所述解密密钥发送部发送了的解密密钥usk ； 数据接收部，接收所述加密数据发送部发送了的加密数据Cts ； 补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息X厂、和所述数据接收部接收到的加密数据Cts中包含的变量P (1)，在1=1，...，1-的各整数i中，确定变量P (i)是肯定形的组(t，V')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积成为O的1、和变量P (i)是否定形的组，(t，v')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积不成为O的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据Cts中包含的矩阵M的第i行的要素的Mi,计算在对α具进行了合计的情况下成为规定的矢量h —的补充系数Cii ;以及 配对运算部，根据所述补充系数计算部计算的集合I和补充系数a i，针对所述加密数据Cts中包含的密码要素C1、和所述解密密钥usk中包含的密钥要素k*t，进行式4所示的配对运算，计算所述规定的信息K， [式I]
2.根据权利要求2所述的密码处理系统，其特征在于， 所述密码处理系统 针对t=l，...，d的至少一个以上的整数t，使用具有至少基底矢量bt,i (i=l,...，2nt, , 2nt+ut, , 2nt+ut+wt, , 2nt+ut+wt+zt) (ut、wt、zt 是 I 以上的整数)的基底 Bt、和具有至少基底矢量 b*t,i (i=l,..., 2nt,..., 2nt+ut,..., 2nt+ut+wt,..., 2nt+ut+wt+zt)的基底B'来执行密码处理， 在所述密钥生成装置中， 所述密钥要素生成部针对所述整数t，根据所述属性信息X'、所述规定的值δ、以及关于i=l，...，Wt的各整数i的随机玫<-，i，生成式5所示的密钥要素k'， 在所述加密装置中， 所述密码要素Ci生成部根据所述列矢量S — T及所述列矢量(S — ’)T、关于i=l，...，L的各整数i的所述规定的值Θ 1、Θ /、以及关于i=l，...，L的各整数i和i’ =1，...，Zt的各整数i’的随机数ITiii，，针对i=l，...，L的各整数i，在变量P (i)是肯定形的组(t，V')的情况下，生成式6所示的密码要素Ci，在变量P (i)是否定形的组，(t，v —J的情况下，生成式7所示的密码要素Ci， [式5]
3.根据权利要求1所述的密码处理系统，其特征在于， 所述加密装置还具备密码要素Cd+1生成部，该密码要素Cd+1生成部根据值gT以及所述S0生成对消息m进行了加密的式8所示的密码要素cd+1，所述gT是关于规定的整数i针对所述基底Bt的基底矢量bt,i和所述基底B'的基底矢量进行配对运算而计算得到的， 所述加密数据发送部将包括所述密码要素C1、和所述密码要素cd+1生成部生成的密码要素cd+1的加密数据Ct发送到所述解密装置， 所述解密装置还具备消息计算部，该消息计算部将所述密码要素cd+1除以所述配对运算部计算的规定的信息K，计算所述消息m， [式8]
4.一种密钥生成装置，是在使用关于t=l，...，d (d是I以上的整数)的至少一个以上的整数t的基底Bt和基底B'来执行密码处理的密码处理系统中，生成解密密钥usk的密钥生成装置，其特征在于，具备: 第I信息输入部，输入关于t=l，...，d中的预定的整数t的属性信息X':= Cxtji)(i=l,..., nt, nt是I以上的整数)； 密钥要素生成部，根据所述整数t、所述第I信息输入部输入的属性信息X'、规定的值S、以及基底B'的基底矢量Ku (i=l，...，2nt)，生成包括式9所示的矢量的密钥要素k';以及 解密密钥发送部，将包括所述密钥要素生成部生成的密钥要素k*t、和所述属性信息X'的解密密钥usk发送到解密装置，[式9]
5.一种加密装置，是在使用关于t=1，...，d (d是1以上的整数)的至少一个以上的整数t的基底Bt和基底B'来执行密码处理的密码处理系统中，生成加密数据Cts的加密装置，其特征在于，具备: 第2信息输入部，输入关于i=1，...，L (L是1以上的整数)的各整数i的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M，所述变量P (i)是识别信息t(t=1，...，d中的某一个整数)、和属性信息V→= （vi,i'） (i’=1，...，nt，nt是I以上的整数)的肯定形的组(t，V→i)或者否定形的组，(t，V→i)中的某一个； 矢量生成部，根据具有r个要素的矢量f→和所述第2信息输入部输入的矩阵M，生成列矢量 s→τ:= (S1，...，SL)T:=M*f→ ，并且，根据设为 s0:=h→f→τ 而成为 So=h→.(f→’)t的具有r个要素的矢量f→ ’、和所述矩阵M生成列矢量(S→ ’)T:=(s'1,...,sL')t:=M.(f→ ')T 密码要素Ci生成部，根据所述矢量生成部生成的列矢量S → T以及列矢量(S → ’)T、和关于i=l，, L的各整数i的规定的值θ 1、θ1’，针对i=1，, L的各整数i，在变量P(i)是肯定形的组(t，V')的情况下，使用该组的识别信息t表示的基底Bt的基底矢量bt,i，(i’ =1,...，2nt),生成包括式10所示的矢量的密码要素Ci,在变量P (i)是否定形的组，(t，V')的情况下，使用该组的识别信息t表示的基底矢量bt,i (i=l,...，2nt)，生成包括式11所示的矢量的密码要素Ci ;以及 加密数据发送部，将包括所述密码要素Ci生成部生成的关于i=l，...，L的各整数i的密码要素C1、所述变量P (i)、以及所述矩阵M的加密数据Cts发送到解密装置，

6.一种解密装置，是在使用关于t=l，...，d (d是I以上的整数)的至少一个以上的整数t的基底Bt和基底B'来执行密码处理的密码处理系统中，通过解密密钥usk对加密数据Cts进行解密的解密装置，其特征在于，具备: 解密密钥接收部，针对t=l,...，d中的至少一部分的整数t,接收包括属性信息X':=(Xtli) (i=l,...，nt，nt是I以上的整数)、和以包括式12所示的矢量的方式生成的密钥要素k'的解密密钥usk ； 数据接收部，接收包括关于i=1，...，L (L是I以上的整数)的各整数i的变量P (i)、L行r列(r是I以上的整数)的规定的矩阵M、以及针对i=l，, L的各整数i以包括式13所示的矢量的方式生成的密码要素Ci的加密数据cts，所述变量P (i)是识别信息t(t=l,..., d中的某一个整数)、和属性信息V':= (Vi, i，)(i’ =1,..., nt)的肯定形的组(t，V')或者否定形的组，(t，V')中的某一个； 补充系数计算部，根据所述解密密钥接收部接收到的解密密钥usk中包含的属性信息Xt、和所述数据接收部接收到的加密数据Cts中包含的变量P (1)，在1=1，...，L的各整数i中确定变量P (i)是肯定形的组(t，V')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积成为O的1、和变量P (i)是否定形的组，(t，V')、且所述解密密钥接收部接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积不成为O的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据Cts中包含的矩阵M的第i行的要素的Mi,计算在对α具进行了合计的情况下成为规定的矢量h —的补充系数Cii ;以及 配对运算部，根据所述补充系数计算部计算的集合I和补充系数a i，针对所述加密数据Cts中包含的密码要素C1、和所述解密密钥usk中包含的密钥要素k*t，进行式14所示的配对运算，计算所述规定的信息K，

7.一种密码处理方法，是使用关于t=l，...，d (d是I以上的整数)的至少一个以上的整数t的基底Bt和基底B'来执行密码处理的密码处理方法，具备: 第I信息输入工序，多个密钥生成装置中的至少一个以上的密钥生成装置输入关于七=1，...，(1中的针对每个密钥生成装置预定的整数七的属性信息1':= (Xta)nt，nt是I以上的整数)； 密钥要素生成工序，所述一个以上的密钥生成装置根据所述整数t、在所述第I信息输入工序中输入的属性信息X'、规定的值S、以及基底B'的基底矢量b'.1 (i=l，...，2nt)，生成包括式15所示的矢量的密钥要素k' ； 解密密钥发送工序，所述一个以上的密钥生成装置将包括在所述密钥要素生成工序中生成的密钥要素k*t、和所述属性信息X'的解密密钥usk发送到解密装置； 第2信息输入工序，加密装置输入关于i=l，...，L (L是I以上的整数)的各整数i的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M，所述变量P (i)是识别信息t (t=l,..., d中的某一个整数)、和属性信息V —1:= (Vi, r) (i’ =1,..., nt)的肯定形的组(t，V')或者否定形的组，(t，V')中的某一个； 矢量生成工序，所述加密装置根据具有r个要素的矢量f'和在所述第2信息输入工序中输入的矩阵M，生成列矢量S — T:= (Sl，...，SL)T:=M*fτ，并且，根据设为S。:=h-*f-T而成为S(l=h—.(f ? ) τ的具有r个要素的矢量f — ’、和所述矩阵M，生成列矢量(S —’ ) τ:=(s/，...，sL，)T:=M.(f —，)T ; 密码要素Ci生成工序，所述加密装置根据在所述矢量生成工序中生成的列矢量S — T以及列矢量(s’ ) τ、和关于i=l，...,L的各整数i的规定的值Θ 1、Θ /，针对i=l，...，L的各整数i，在变量P (i)是肯定形的组(t，V')的情况下，使用该组的识别信息t表示的基底Bt的基底矢量bt,i，(i’ =1，...，2nt)，生成包括式16所示的矢量的密码要素Ci，在变量P (i)是否定形的组，(t，v')的情况下，使用该组的识别信息t表示的基底矢量bt,i(i’ =1,...，2nt),生成包括式17所示的矢量的密码要素Ci ； 加密数据发送工序，所述加密装置将包括在所述密码要素Ci生成工序中生成的关于1=1,...，L的各整数i的密码要素C1、所述变量P (i)、以及所述矩阵M的加密数据Cts发送到所述解密装置； 解密密钥接收工序，所述解密装置接收所述d个密钥生成装置中的、所述至少一个以上的密钥生成装置的在所述解密密钥发送工序中发送的解密密钥usk ； 数据接收工序,接收在所述加密数据发送工序中发送的加密数据Cts ；补充系数计算工序，所述解密装置根据在所述解密密钥接收工序中接收的解密密钥usk中包含的属性信息X厂、和在所述数据接收工序中接收的加密数据Cts中包含的变量P(i)，在i=l，...，L的各整数i中，确定变量P (i)是肯定形的组(t，V')、且在所述解密密钥接收工序中接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积成为O的1、和变量P (i)是否定形的组，(t，V')、且在所述解密密钥接收工序中接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积不成为O的i的集合I,并且,针对所确定的集合I中包含的i,根据作为所述加密数据Cts中包含的矩阵M的第i行的要素的Mi,计算在对α具进行了合计的情况下成为规定的矢量IT的补充系数a i ；以及 配对运算工序，所述解密装置根据在所述补充系数计算工序中计算的集合I和补充系数a i，针对所述加密数据Cts中包含的密码要素Cp和所述解密密钥usk中包含的密钥要素k*t，进行式18所示的配对运算，计算所述规定的信息K，
[式 15]
8.一种密码处理程序，是具备在d个(d是I以上的整数)密钥生成装置中动作的密钥生成程序、在加密装置中动作的加密程序、以及在解密装置中动作的解密程序，使用关于t=l，...，(1的至少一个以上的整数t的基底Bt和基底B'来执行密码处理的密码处理程序，其特征在于， 所述密钥生成程序使计算机执行: 第I信息输入处理，输入关于t=l，...，d中的针对每个密钥生成装置预定的整数t的属性信息X —t:= (xt,i) (i=l，...，nt, nt是I以上的整数)； 密钥要素生成处理，根据所述整数t、在所述第I信息输入处理中输入的属性信息X'、规定的值S、以及基底B'的基底矢量1/(1=1，...，211,)，生成包括式19所示的矢量的密钥要素k*t;以及解密密钥发送处理，将包括在所述密钥要素生成处理中生成的密钥要素k*t、和所述属性信息X'的解密密钥USk发送到所述解密装置， 所述加密程序使计算机执行: 第2信息输入处理，输入关于i=l，...，L (L是I以上的整数)的各整数i的变量P(i)、以及L行r列(r是I以上的整数)的规定的矩阵M，所述变量P (i)是识别信息t(t=l,..., d中的某一个整数)、和属性信息V —1:= (Vi, r) (i’ =1,..., nt)的肯定形的组(t，V')或者否定形的组，(t，V')中的某一个； 矢量生成处理，根据具有r个要素的矢量f'和在所述第2信息输入处理中输入的矩阵M，生成列矢量?Ττ:= Cs1,..., sL) τ:=Μ.fτ，并且，根据设为sQ:=h—.fτ而成为8。=11'(广’)1的具有1'个要素的矢量广’、和所述矩阵1生成列矢量(8’)1: = (81’，...，sL，)T:=M.(f —，)T; 密码要素Ci生成处理，根据在所述矢量生成处理中生成的列矢量S —τ以及列矢量(s’)τ、和关于i=l，...，L的各整数i的规定的值Θ 1、Θ /，针对i=l，...，L的各整数i，在变量P (i)是肯定形的组(t，v')的情况下，使用该组的识别信息t表示的基底Bt的基底矢量bt, r (i’ =1,..., 2nt),生成包括式20所示的矢量的密码要素Ci,在变量P (i)是否定形的组，(t，V')的情况下，使用该组的识别信息t表示的基底矢量bt,i (i=l, ,2nt)，生成包括式21所示的矢量的密码要素Ci ；以及 加密数据发送处理，将包括在所 述密码要素Ci生成处理中生成的关于i=l，...，L的各整数i的密码要素C1、所述变量P (i)、以及所述矩阵M的加密数据Cts发送到所述解密装置， 所述解密程序使计算机执行: 解密密钥接收处理，接收在所述解密密钥发送处理中发送的解密密钥USk ; 数据接收处理，接收在所述加密数据发送处理中发送的加密数据Cts ; 补充系数计算处理，根据在所述解密密钥接收处理中接收的解密密钥USk中包含的属性信息X厂、和在所述数据接收处理中接收的加密数据Cts中包含的变量P (i)，在i=l，...，L的各整数i中，确定变量P (i)是肯定形的组(t，V')、且在所述解密密钥接收处理中接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积成为O的1、和变量P (i)是否定形的组，(t，v —J、且在所述解密密钥接收处理中接收包括该组的识别信息t表示的X'的解密密钥usk、且该组的V'与该组的识别信息t表示的属性信息X'的内积不成为O的i的集合I，并且，针对所确定的集合I中包含的i，根据作为所述加密数据Cts中包含的矩阵M的第i行的要素的Mi,计算在对α具进行了合计的情况下成为规定的矢量IT的补充系数Cii ;以及 配对运算处理，根据在所述补充系数计算处理中计算的集合I和补充系数a i，针对所述加密数据Cts中包含的密码要素C1、和所述解密密钥usk中包含的密钥要素k*t，进行式22所示的配对运算，计算所述规定的信息K，
【文档编号】H04L9/08GK103444126SQ201180069640
【公开日】2013年12月11日 申请日期:2011年12月16日 优先权日:2011年3月25日
【发明者】高岛克幸, 冈本龙明 申请人:三菱电机株式会社, 日本电信电话株式会社