在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门时使用的所 述真公开参数PP;以及
[0035] 在所述发送装置对所述关键字进行加密、所述接收装置生成所述陷门、所述服务 器装置进行所述隐匿检索时使用的所述保护密钥PK'。
[0036] 发明效果
[0037] 本发明的密钥生成装置分开生成公开参数中包含的真公开参数PP和保护密钥 PK',因此,能够提高陷门的安全性。
【附图说明】
[0038] 图1是实施方式1的隐匿检索系统1000的结构图。
[0039] 图2是示出实施方式1的公开参数PK和主秘密密钥SK的结构的图。
[0040] 图3是实施方式1的加密标签的生成中使用的加密(Enc)算法的流程图。
[0041] 图4是实施方式1的陷门的生成中使用的密钥生成(GenKey)算法的流程图。
[0042] 图5是实施方式1的服务器200的隐匿检索中使用的解密(Dec)算法的流程图。
[0043] 图6是示出实施方式1的从接收者300向发送者100和服务器200发布公开参数 PK等的发布方法的流程图。
[0044] 图7是汇总实施方式1的加密标签的生成、陷门的生成和隐匿检索中使用的密钥 信息的图。
[0045] 图8是汇总实施方式1的加密标签的生成、陷门的生成和隐匿检索中使用的密钥 信息的表形式的图。
[0046] 图9是实施方式1的密钥生成装置310-1的框图。
[0047] 图10是实施方式1的密钥生成装置310-2的框图。
[0048] 图11是实施方式1的密钥生成装置310-3的框图。
[0049] 图12是示出在实施方式2中关于非专利文献2和非专利文献3作为函数型加密 利用时的算法、和作为PEKS利用时的算法的一览的图。
[0050] 图13是示出实施方式2的公开参数PK和主秘密密钥SK的结构的图。
[0051] 图14是实施方式2的生成加密标签时使用的加密(Enc)算法的流程图。
[0052] 图15是实施方式2的陷门的生成中使用的密钥生成(GenKey)算法的流程图。
[0053] 图16是实施方式2的服务器200的隐匿检索中使用的解密(Dec)算法的流程图。
[0054] 图17是示出实施方式3的发送装置100、接收装置300等的外观的图。
[0055] 图18是示出实施方式3的发送装置100、接收装置300等的硬件结构的图。
【具体实施方式】
[0056] 下面,通过示出实施方式对本发明的具体内容进行说明。在实施方式1中,公开了 在非专利文献2记载的PEKS中确保陷门的安全性的方法。在实施方式2中,公开了在利用 非专利文献3记载的函数型加密作为PEKS的情况下确保陷门的安全性的方法。
[0057] 首先,对以下说明的各实施方式中共同的结构进行说明。
[0058] 图1是各实施方式中共同的隐匿检索系统1000的结构图。
[0059] (1)发送者100-1~发送者100-n表示加密标签的生成者。这里,η为任意整数, 表示在PEKS中生成加密标签的发送者的数量。另外,发送者100-1~发送者100-η的实体 是发送者使用的发送装置。由此,发送者100-1~100-n意味着这些发送者使用的1~η 的发送装置。下面,有时将发送者100-1~100-η记作发送装置100-1~100-η。并且,在 不需要区分各发送者(各发送装置)的情况下,简记作发送者100 (发送装置100)。
[0060] (2)接收者300表示公开密钥、主秘密密钥、陷门的生成者。另外,接收者300的 实体是接收者300使用的接收装置。由此,接收者300意味着接收者300使用的接收装置。 下面,有时将接收者300记作接收装置300。
[0061] (3)服务器装置200(以下称作服务器200)表示外部数据库。它们经由因特网等 网络400连接。
[0062] (4)如图1所示,隐匿检索系统1000具有发送装置100-1~100-η、服务器200和 接收装置300。
[0063] 另外,在使用PEKS实现加密数据的外部托管应用的情况下,发送者100-1~发送 者100-η成为加密数据的发送者,接收者300成为加密数据的接收者300。并且,服务器200 为外部数据库。服务器200从发送者100托管加密数据和加密标签。服务器200针对从接 收者300发送的隐匿检索请求(陷门),使用从接收者300发送的陷门和从接收者300发布 的公开参数PK (实际上如图6所述为公开参数PK中的真公开参数PP)执行隐匿检索,将检 索中命中的加密数据返回给接收者300。
[0064] 另外,这里,为了简便,仅假设接收者300为1人的情况,但是,也可以构成为存 在多个接收者300。该情况下,存在各接收者单独实施后述安装算法(图2)的方法。并 且,作为PEKS的扩展,通过利用如层次型内积谓语加密(Hierarchical Inner-product Encryption)那样包含层次构造的算法的方法,与接收者为1人的情况同样,能够实现加密 数据的外部托管应用。
[0065] 实施方式1
[0066] 在实施方式1中,公开了在非专利文献2记载的PEKS中确保陷门的安全性的方 法。首先,对非专利文献2记载的PEKS的算法中的与本实施方式1有关的部分进行说明。 另外,下面,如果说到"非专利文献2记载的PEKS的算法",则是指非专利文献2的第4节 "Our Main Construction"记载的 predicate-only version 的算法。在非专利文献 2 的附 录 B 节中,作为 "A Full-Fledged Predicate Encryption Scheme",记载有使第 4 节的算 法发展而用作所谓的函数型加密时的算法,但是,本领域技术人员能够容易地理解,在用作 PEKS的情况下第4节的算法即可。
[0067] 图2示出执行非专利文献2记载的PEKS的算法中的安装算法而生成的公开参数 PK和主秘密密钥SK的结构。
[0068] 在图2中,
[0069] (l)p、q、r分别表示素数。
[0070] (2)G表示能够进行配对运算e~ :GXG - Gt的椭圆曲线上的位数N = pqr的循环 群。
[0071] (3) &表示配对运算后的位数N的循环群。
[0072] (4) e~表示配对运算。
[0073] (5) gp、g,、表示"位数分别为p、q、r的G p、G,、G/'的部分群的生成元。
[0074] (6)Rtl表示群Gr上均匀随机选出的要素。
[0075] (7) Ih1^h2、山=1、...、n表示群G p上均匀随机选出的要素。
[0076] 这里,η表示生成加密标签和生成陷门时使用的谓语矢量的维数。
[0077] (8) {RKi、R2、山=1、...、η表示群G r上均匀随机选出的要素。
[0078] 在非专利文献2记载的PEKS的算法中,以利用PEKS的全部实体(在图1的例子 中来说,是发送者100-1~100-η、服务器200、接收者300)共享该公开参数PK的信息为前 提。如后所述,在服务器200执行隐匿检索时利用的算法即解密(Dec)算法中,使用公开参 数PK的信息。
[0079] 实施方式1的特征在于向各实体发布公开参数PK的方法。即,实施方式1的目的 在于,通过研宄公开参数PK的发布方法来确保陷门的安全性。其详细情况利用图6的说明 在后面叙述。
[0080] 另外,如图2所示,为了进行后面的说明,在本实施方式1中,将"队6、&、^"的部 分称作真公开参数PP,将其余的结构要素即"g p、gp Q、IHk i、H2、Jni = κ ...、n"的部分称作保 护密钥ΡΓ。
[0081] 即,利用非专利文献2记载的安装算法生成的公开参数PK由真公开参数PP和保 护密钥ΡΚ'构成。公开参数PP与保护密钥ΡΚ'的差异通过后面的说明可知。
[0082] (加密标签的生成)
[0083] 接着,使用图3示出非专利文献2记载的PE