密码系统、密码方法以及密码程序的制作方法

密码系统、密码方法以及密码程序的制作方法
【专利摘要】目的在于无需重发公开参数，而能够追加属性类别。密码系统(10)在对偶配对矢量空间中的对偶系统密码中，使用附加索引的技术。具体而言，密码系统(10)针对关于索引j的发送侧矢量tj，作为规定的基底矢量的系数，设定对索引j预先分配了的信息J，针对与索引j对应的索引j'的接收侧矢量rj'，作为与所述规定的基底矢量对应的基底矢量的系数，设定与信息J的内积成为0的信息J'。
【专利说明】密码系统、密码方法以及密码程序

【技术领域】
[0001] 本发明涉及无需重发公开参数而能够追加属性类别的密码系统。

【背景技术】
[0002] 在非专利文献29中，有关于函数型密码方式的记载。
[0003] 非专利文献 1 :Beimel, A. , Secure schemes for secret sharing and key distribution. PhD Thesis,Israel Institute of Technology, Technion, Haifa,Israel, 1996.
[0004] 非专利文献 2 :Bethencourt，J.，Sahai，A.，Waters，B. :Ciphertext_policy attribute-based encryption. In :2007IEEE Symposiumon Security and Privacy, pp.321-334. IEEE Press (2007)
[0005] 非专利文献 3 :Boneh，D.，Boyen，X. :Efficient selective-ID secure identity based encryption without random oracles. In ：Cachin, C. , Camenisch, J. (eds.) EUR0CRYPT2004. LNCS, vol. 3027,pp.223-238. Springer Heidelberg(2004)
[0006] 非专利文献 4 :Boneh， D. ， Boyen， X. :Secure identity based encryption without random oracles. In ：Franklin, Μ. K. (ed. )CRYPT02004. LNCS, vol.3152, pp.443-459. Springer Heidelberg(2004)
[0007] 非专利文献 5 :Boneh，D.，Boyen，X.，Goh，E. :Hierarchical identity based encryption with constant size ciphertext. In ：Cramer, R. (ed.)EUR0CRYPT2005. LNCS, vol. 3494, pp.440-456. Springer Heidelberg(2005)
[0008] 非专利文献 6 :Boneh，D.，Boyen，X.，Shacham，H. :Short group signatures. In : Franklin, M. (ed.)CRYPT02004. LNCS, vol. 3152,pp.41-55. Springer, Heidelberg(2004)
[0009] 非专利文献 7 :Boneh，D.，Franklin，M. :Identity_based encryption from the Weil pairing. In ：Kilian, J. (ed.)CRYPT02001. LNCS, vol.2139, pp.213-229.Springer Heidelberg(2001)
[0010] 非专利文献 8 :Boneh，D.，Hamburg，M. :Generalized identity based and broadcast encryption scheme. In ：Pieprzyk, J. (ed.)ASIACRYPT2008. LNCS, vol.5350, pp.455-470. Springer Heidelberg(2008)
[0011] 非专利文献 9 :Boneh，D.，Katz，J.，Improved efficiency for CCA-secure cryptosystems built using identity based encryption. RSA-CT2005，LNCS，Springer Verlag(2005)
[0012] 非专利文献 10 :Boneh，D.，Waters，B. :Conjunctive，subset，and range queries on encrypted data. In ：Vadhan, S. P. (ed.)TCC2007. LNCS, vol.4392, pp.535-554. Springer Heidelberg(2007)
[0013] 非专利文献 11 :Boyen，X.，Waters，B. :Anonymous hierarchical identity-based encryption(without random oracles). In ：Dwork, C. (ed.)CRYPT02006. LNCS, vol. 4117, pp.290-307. Springer Heidelberg(2006)
[0014] 非专利文献 12 :Canetti，R.，Halevi S.，Katz J. :Chosen_ciphertext security from identity-based encryption. EUR0CRYPT2004, LNCS, Springer Heidelberg (2004)
[0015] 非专利文献 13 :Chase，M. :Multi_authority attribute based encryption. TCC， LNCS，pp. 515-534, Springer Heidelberg(2007) ·
[0016] 非专利文献 14 :Chase，M. and Chow，S. :Improving privacy and security in multi-authority attribute-based encryption, ACM Conference on Computer and Communications Security, pp. 121-130, ACM(2009).
[0017] 非专利文献 15 :Cocks，C. ：An identity based encryption scheme based on quadratic residues. In ：Honary, B. (ed.) IMA Int. Conf. LNCS, vol. 2260, pp. 360-363. Springer Heidelberg(2001)
[0018] 非专利文献 16 :Gentry，C. ：Practical identity-based encryption without random oracles. In ：Vaudenay, S. (ed. ) EUR0CRYPT2006. LNCS, vol. 4004, pp. 445-464. Springer Heidelberg(2006)
[0019] 非专利文献 17 :Gentry， C. ， Halevi， S. :Hierarchical identity-based encryption with polynomially many levels. In ：Reingold, 0. (ed. )TCC2009. LNCS, vol. 5444, pp.437-456. Springer Heidelberg(2009)
[0020] 非专利文献 18 :Gentry，C.，Silverberg，A. :Hierarchical ID-based cryptography. In ：Zheng, Y. (ed.) ASIACRYPT2002. LNCS, vol. 2501, pp. 548-566. Springer Heidelberg (2002)
[0021] 非专利文献 19 :Goyal，V.，Pandey，0·，Sahai，A.，Waters，B. :Attribute_based encryption for fine-grained access control of encrypted data. In ：ACM Conference on Computer and Communication Security2006, pp. 89-98, ACM(2006)
[0022] 非专利文献 20 :Katz，J.，Sahai，A.，Waters，B. :Predicate encryption supporting disjunctions, polynomial equations，and inner products. In ：Smart, N. P. (ed. )EUR0CRYPT2008. LNCS, vol. 4965, pp. 146-162. Springer Heidelberg(2008)
[0023] 非专利文献 21 :Lewko, A.，Okamoto，T.，Sahai，A.，Takashima，K.，Waters，B.: Fully secure functional encryption ：Attributebased encryption and(hierarchical) inner product encryption, EUR0CRYPT2010. LNCS, Springer Heidelberg(2010)
[0024] 非专利文献 22 :Lewko，A. B.，Waters，B. :New techniques for dual system encryption and fully secure HIBE with short ciphertexts. In ：Micciancio, D. (ed.) TCC2010. LNCS, vol. 5978,pp.455-479.Springer Heidelberg(2010)
[0025] 非专利文献 23 :Lewko，A. B.，Waters，B. :Decentralizing Attribute-Based Encryption, the proceedings of Eurocrypt2011，LNCS，Springer Heidelberg(2011) ·
[0026] 非专利文献 24 :Lewko, A. B.，Waters，B. :Unbounded HIBE and attribute-based encryption, the proceedings of Eurocrypt2011，LNCS，Springer Heidelberg(2011) ·
[0027] 非专利文献 25 :H. Lin，Z. Cao，X. Liang，and J. Shao. :Secure threshold multi authority attribute based encryption without a central authority， IND0CRYPT， LNCS, vol. 5365, pp. 426-436, Springer Heidelberg(2008).
[0028] 非专利文献 26 :S. Μ ·· uller，S. Katzenbeisser，and C. Eckert. ;0n multi-authority ciphertext-policy attribute-based encryption, Bull. Korean Math Soc. 46, No. 4, pp. 803-819 (2009) ·
[0029] 非专利文献 27 :0kamoto，T.，Takashima，K. :Homomorphic encryption and signatures from vector decomposition. In ：Galbraith, S. D. , Paterson, K. G. (eds.) Pairing2008. LNCS, vol. 5209,pp.57-74, Springer Heidelberg(2008)
[0030] 非专利文献 28 :0kamoto， T. ， Takashima， K. :Hierarchical predicate encryption for inner-products, In ：ASIACRYPT2009,Springer Heidelberg(2009)
[0031] 非专利文献 29 :0kamoto， T. ， Takashima， K. :Fully secure functional encryption with general relations from the decisional linear assumption. In ： Rabin, T. (ed.)CRYPT02010. LNCS, vol.6223, pp. 191-208. Springer Heidelberg(2010). Full version is available at http ：//eprint. iacr. org/2010/563
[0032] 非专利文献 30 :0kamoto，T.，Takashima，K. :Efficient attribute-based signatures for non-monotone predicates in the standard model， In :PKC2011， Springer Heidelberg(2011)
[0033] 非专利文献 31 :0kamoto，T.，Takashima，K. :Decentralized Attribute-Based Signatures http ：//eprint. iacr. org/2011/701
[0034] 非专利文献 32 :0strovsky，R.，Sahai，A.，Waters，B. :Attribute_based encryption with non-monotonic access structures. In ：ACM Conference on Computer and Communication Security2007, pp. 195-203, ACM(2007)
[0035] 非专利文献 33 :Pirretti，M.，Traynor，P.，McDaniel，P.，Waters，B. :Secure attribute-based systems. In ：ACM Conference on Computer and Communication Security2006, pp.99-112, ACM，（2006)
[0036] 非专利文献 34 :Sahai，A.，Waters，B. :Fuzzy identity-based encryption. In ：Cramer, R. (ed. ) EUR0CRYPT2005.LNCS, vol.3494, pp. 457-473.Springer Heidelberg(2005)
[0037] 非专利文献 35 :Shi，E.，Waters，B. delegating capability in predicate encryption systems. In :Aceto, L，Damg「i ard，I.，Goldberg，L A.，Halid 々 i rsson， M.M.，Ing 々工 lfsd 々工 ttir，A.，Walukiewicz，I. (eds.)ICALP(2)2008.LNCS，vol.5126， pp.560-578. Springer Heidelberg(2008)
[0038] 非专利文献 36 :Waters，B. :Efficient identity based encryption without random oracles. Eurocrypt2005, LNCS, vol. 3152, pp. 443-459. Springer Verlag, (2005)
[0039] 非专利文献 37 :Waters，B. ：Ciphertext-policy attribute-based encryption ： an expressive, efficient, and provably secure realization. ePrint，IACR，http :// eprint. iacr. org/2008/290
[0040] 非专利文献 38 :Waters，B. :Dual system encryption :realizing fully secure IBE and HIBE under simple assumptions. In ：Halevi, S. (ed.)CRYPT02009. LNCS, vol. 5677, pp.619-636. Springer Heidelberg(2009)


【发明内容】

[0041] 在非专利文献29记载的函数型密码方式中，针对每个属性类别，需要基底Bt以及 基底B '的对，在追加属性类别的情况下，需要生成新的基底Bt以及基底B '的对。另外， 基底Bt包含于公开参数中，所以需要重发公开参数。
[0042] 本发明的目的在于，无需重发公开参数，而能够追加属性类别。
[0043] 本发明的密码系统是使用规定的基底B以及规定的基底B+进行处理的密码系统， 其特征在于，具备：
[0044] 发送装置，生成关于多个索引j中的一个以上的索引j的发送侧矢量该发送侧 矢量h在所述基底B中的规定的基底矢量binta的系数中设定了对索引j预先分配了的信 息J，在所述基底B中的其他基底矢量batt的系数中设定了关于索引j的参数以及
[0045] 接收装置，使用关于多个索引j'中的一个以上的索引j'的接收侧矢量IV，针对关 于索引j的所述发送侧矢量h和关于与所述索引j对应的索引j'的所述接收侧矢量IV， 计算每对应的基底矢量的配对运算之积，该接收侧矢量&在与所述基底矢量b inta对应的 所述基底B +中的基底矢量b'ndra￡的系数中设定了和对与索引j'对应的索引j预先分配 了的信息J的内积成为〇的信息J'，在与所述基底矢量b att对应的所述基底B +中的基底矢 量b\tt的系数中设定了关于索引j'的参数Ψ」，。
[0046] 在本发明的密码系统中，在发送侧矢量\中，设定了对索引j预先分配了的信息 J，在接收侧矢量中，设定了与信息J的内积成为0的信息J'。由此，能够在维持了安全 性的状态下，针对所有属性类别使用共用的基底B以及基底B'无需针对每个属性类别使 用基底B t以及基底B'。其结果，在追加属性类别的情况下，无需生成新的基底Bt以及基 底B %，无需重发公开参数，而能够追加属性类别。

【专利附图】

【附图说明】
[0047] 图1是矩阵M~的说明图。
[0048] 图2是矩阵M s的说明图。
[0049] 图3是sQ的说明图。
[0050] 图4是s - T的说明图。
[0051] 图5是执行实施方式2的KP-FE方式的密码系统10的结构图。
[0052] 图6是实施方式2的密钥生成装置100的结构图。
[0053] 图7是实施方式2的加密装置200的结构图。
[0054] 图8是实施方式2的解密装置300的结构图。
[0055] 图9是示出实施方式2的Setup算法的处理的流程图。
[0056] 图10是示出实施方式2的KeyGen算法的处理的流程图。
[0057] 图11是示出实施方式2的Enc算法的处理的流程图。
[0058] 图12是示出实施方式2的Dec算法的处理的流程图。
[0059] 图13是执行实施方式3的CP-FE方式的密码系统10的结构图。
[0060] 图14是实施方式3的密钥生成装置100的结构图。
[0061] 图15是实施方式3的加密装置200的结构图。
[0062] 图16是实施方式3的解密装置300的结构图。
[0063] 图17是示出实施方式3的KeyGen算法的处理的流程图。
[0064] 图18是示出实施方式3的Enc算法的处理的流程图。
[0065] 图19是示出实施方式3的Dec算法的处理的流程图。
[0066] 图20是执行实施方式4的HIPE方式的密码系统10的结构图。
[0067] 图21是实施方式4的密钥生成装置100的结构图。
[0068] 图22是实施方式4的加密装置200的结构图。
[0069] 图23是实施方式4的解密装置300的结构图。
[0070] 图24是实施方式4的密钥转交装置400的结构图。
[0071] 图25是示出实施方式4的Setup算法的处理的流程图。
[0072] 图26是示出实施方式4的KeyGen算法的处理的流程图。
[0073] 图27是示出实施方式4的Enc算法的处理的流程图。
[0074] 图28是示出实施方式4的Dec算法的处理的流程图。
[0075] 图29是示出实施方式4的Delegate^算法的处理的流程图。
[0076] 图30是执行实施方式5的签名方式的密码系统10的结构图。
[0077] 图31是实施方式5的密钥生成装置100的结构图。
[0078] 图32是实施方式5的签名装置500的结构图。
[0079] 图33是实施方式5的验证装置600的结构图。
[0080] 图34是示出实施方式5的Setup算法的处理的流程图。
[0081] 图35是示出实施方式5的KeyGen算法的处理的流程图。
[0082] 图36是示出实施方式5的Sig算法的处理的流程图。
[0083] 图37是示出实施方式5的Ver算法的处理的流程图。
[0084] 图38是多管理者的说明图。
[0085] 图39是多管理者的情况下的能够追加属性类别的函数型密码方式的说明图。
[0086] 图40是示出密钥生成装置100、加密装置200、解密装置300、密钥转交装置400、 签名装置500、验证装置600的硬件结构的一个例子的图。
[0087](附图标记说明）
[0088] 10 :密码系统；100 :密钥生成装置；110 :主密钥生成部；120 :主密钥存储部；130 : 信息输入部；140 :解密密钥生成部；141 :f矢量生成部；142 :s矢量生成部；143 :随机数 生成部；144 :密钥要素生成部；145 :随机化要素生成部；146 :转交要素生成部；150 :密钥 分发部；200 :加密装置；210 :公开参数取得部；220 :信息输入部；230 :加密数据生成部； 231 :随机数生成部；232 :密码要素生成部；240 :数据发送部；300 :解密装置；310 :解密密 钥取得部；320 :数据接收部；330 :张成方案计算部；340 :补充系数计算部；350 :配对运算 部；360 :消息计算部；400 :密钥转交装置；410 :解密密钥取得部；420 :信息输入部；430 : 转交密钥生成部；431 :随机数生成部；432 :下位密钥要素生成部；433 :下位随机化要素生 成部；434 :下位转交要素生成部；440 :密钥分发部；500 :签名装置；510 :签名密钥取得部； 520 :信息输入部；530 :补充系数计算部；540 :签名数据生成部；541 :随机数生成部；542 : 签名要素生成部；550 :数据发送部；600 :验证装置；610 :公开参数取得部；620 :数据接收 部；630 :验证数据生成部；631 :f矢量生成部；632 :s矢量生成部；633 :随机数生成部； 634 :验证要素生成部；640 :配对运算部。

【具体实施方式】
[0089] 以下，根据附图，说明发明的实施方式。
[0090] 在以下的说明中，处理装置是后述CPU911等。存储装置是后述R0M913、RAM914、 磁盘920等。通信装置是后述通信板（communication board)915等。输入装置是后述键 盘902、通信板915等。即，处理装置、存储装置、通信装置、输入装置是硬件。
[0091] 说明以下的说明中的记法。
[0092] 在A是随机的变量或者分布时，式101表示依照A的分布从A随机地选择y。艮P， 在式101中，y是随机数。
[0093] [式 101]
[0094]

【权利要求】
1. 一种密码系统，使用规定的基底B以及规定的基底B+进行处理，该密码系统的特征 在于，具备： 发送装置，生成关于多个索引j中的一个以上的索引j的发送侧矢量该发送侧矢量 tj在所述基底B中的规定的基底矢量bindra￡的系数中设定了对索引j预先分配了的信息J， 在所述基底B中的其他基底矢量b att的系数中设定了关于索引j的参数以及 接收装置，使用关于多个索引j'中的一个以上的索引j'的接收侧矢量IV，针对关于 索引j的所述发送侧矢量h和关于与所述索引j对应的索引j'的所述接收侧矢量计 算每对应的基底矢量的配对运算之积，其中，该接收侧矢量在与所述基底矢量b imfa对应 的所述基底B +中的基底矢量的系数中设定了和对与索引j'对应的索引j预先分 配了的信息J的内积成为〇的信息J'，在与所述基底矢量b att对应的所述基底B +中的基底 矢量b\tt的系数中设定了关于索引j'的参数Ψ」，。
2. 根据权利要求1所述的密码系统，其特征在于， 所述发送装置是生成密文ct的加密装置，将t = 1，...，d的整数t作为所述索引j，将 关于整数t的属性信息xt作为关于所述索引j的所述参数Φρ关于一个以上的整数t，生 成作为所述发送侧矢量h包括密码矢量c t的密文ct，该密码矢量ct在所述基底矢量bimfa 的系数中设定了对整数t分配了的信息J，在所述基底矢量batt的系数中设定了关于整数t 的属性信息xt，其中，d是1以上的整数， 所述接收装置是对所述密文ct进行解密的解密装置，将i = 1，. . .，L的整数i作为 所述索引j'，将关于整数i的谓词信息Vi作为关于所述索引j'的所述参数Ψρ关于各整 数i，将在所述基底矢量b 的系数中设定了和对与整数i对应的整数t分配了的信息 J的内积成为〇的信息J'并在所述基底矢量b \tt的系数中设定了关于整数i的谓词信息 Vi的密钥矢量k '用作所述接收侧矢量，关于所述各整数i，针对关于该整数i的密钥 矢量k '和关于与该整数i对应的整数t的密码矢量ct，计算每对应的基底矢量的配对运 算之积，其中，L是1以上的整数。
3. 根据权利要求2所述的密码系统，其特征在于， 所述密码系统使用规定的基底仏以及规定的基底B %、和规定的基底B以及规定的基 底B+进行处理， 所述发送装置生成包括密码矢量C(l以及关于t = 1，. . .，d的一个以上的整数t的密 码矢量Ct的密文ct，该密码矢量q以及密码矢量ct如式1所示， 所述接收装置针对关于i = 0, . . .，L的各整数i的式2所示的密钥矢量k '和所述 密码矢量ct，计算式3，
式1 : 此处，
是随机数， η是1以上的整数， u。，wQ, zQ, u, w, ζ分别是0以上的整数， 式2 :
此处，
是随机数，
是具有r个要素的矢量， Μ是L行r列的矩阵， P (i)是预先分配了
或者
的变量， η是1以上的整数， u。，wQ, zQ, u, w, ζ分别是0以上的整数， 式3 :
此处，
其中，Mi是Μ的第i行，
4. 根据权利要求1所述的密码系统，其特征在于， 所述发送装置是生成密文ct的加密装置，将i = 1，. . .，L的整数i作为所述索引j， 将关于整数i的谓词信息Vi作为关于所述索引j的所述参数Φρ关于各整数i，生成作为 所述发送侧矢量h包括密码矢量 Ci的密文ct，该密码矢量Ci在所述基底矢量bimfa的系数 中设定了对整数i分配了的信息J，在所述基底矢量b att的系数中设定了关于整数i的谓词 信息Vi，其中，L是1以上的整数， 所述接收装置是对所述密文ct进行解密的解密装置，将t = 1，. . .，d的整数t作为 所述索引j'，将关于整数t的属性信息xt作为关于所述索引j'的所述参数Ψρ关于一个 以上的整数t，将在所述基底矢量b %ndex的系数中设定了和对与整数t对应的整数i分配 了的信息J的内积成为〇的信息J'并在所述基底矢量b \tt的系数中设定了关于整数t的 属性信息xt的密钥矢量k '用作所述接收侧矢量&，关于所述各整数i，针对关于该整数 i的密码矢量Ci和关于与该整数i对应的整数t的密钥矢量k %，计算每对应的基底矢量 的配对运算之积，其中，d是1以上的整数。
5. 根据权利要求4所述的密码系统，其特征在于， 所述密码系统使用规定的基底仏以及规定的基底B %、和规定的基底B以及规定的基 底B+来进行处理， 所述发送装置生成包括关于i = 0, . . .，L的各整数i的式4所示的密码矢量Ci的密 文ct, 所述接收装置针对密钥矢量k %以及关于t = 1，...，d的一个以上的整数t的密钥 矢量k %、和所述密码矢量Ci，计算式6,该密钥矢量k \以及密钥矢量k '如式5所示， 式4 :
此处，
是随机数，
是具有r个要素的矢量，
Μ是L行r列的矩阵， P (i)是预先分配了或者 的变量， η是1以上的整数，
u。，wQ, zQ, u, w, ζ分别是0以上的整数， 式5 : 此处，

是随机数， η是1以上的整数， u。，wQ, zQ, u, w, ζ分别是0以上的整数， 式6 :
此处，
其中，是Μ的第i行，
6. 根据权利要求1所述的密码系统，其特征在于， 所述发送装置是生成密文ct的加密装置，将i = 1，. . .，L的整数i作为所述索引j， 将关于整数i的属性信息Xi作为关于所述索引j的所述参数Φρ关于各整数i，生成作为 所述发送侧矢量h包括密码矢量 Ci的密文ct，该密码矢量Ci在所述基底矢量bimfa的系数 中设定了对整数i分配了的信息J，在所述基底矢量b att的系数中设定了关于整数i的属性 /[目息Xi，其中，L是1以上的整数， 所述接收装置是对所述密文ct进行解密的解密装置，将所述整数i作为所述索引j'， 将关于整数i的谓词信息Vi作为关于所述索引j'的所述参数Ψρ关于各整数i，将在所 述基底矢量b 的系数中设定了和对整数i分配了的信息J的内积成为0的信息J'并 在所述基底矢量b \tt的系数中设定了关于整数i的谓词信息Vi的密钥矢量k %用作所述 接收侧矢量，关于所述各整数i，针对关于该整数i的密钥矢量k '和密码矢量ct，计算 每对应的基底矢量的配对运算之积。
7. 根据权利要求6所述的密码系统，其特征在于， 所述密码系统使用规定的基底仏以及规定的基底B %、和规定的基底B以及规定的基 底B+进行处理， 所述发送装置生成包括作为关于i = 0, . . .，L的各整数i的密码矢量Ci之和的密码 矢量Ci的密文ct，该密码矢量Ci如式7所示， 所述接收装置针对作为关于所述各整数i的密钥矢量k %之和的式8所示的密钥矢量 k\,de。和所述密码矢量Cl，计算每对应的基底矢量的配对运算之积， 式7 : 此处，

是随机数， 是1以上的整数， uQ, wQ, zQ, u, w, z分别是0以上的整数， 式8 :
此处，

是随机数，
η是1以上的整数， u。，wQ, zQ, u, w, ζ分别是0以上的整数。
8. 根据权利要求1所述的密码系统，其特征在于， 所述发送装置是生成签名数据sig的签名装置，将t = 1，. . .，d的整数t作为所述索 引j，将关于整数t的属性信息xt作为关于所述索引j的所述参数Φ」，关于一个以上的整 数t，使用在所述基底矢量b imfa的系数中设定了对整数t分配了的信息J并在所述基底矢 量batt的系数中设定了关于整数t的属性信息x t的密钥矢量k %，关于i = 1，. . .，L的各 整数i，生成作为所述发送侧矢量h包括签名要素 Si的签名数据sig，该签名要素Si包括 关于与整数i对应的整数t的密钥矢量k %，其中，d是1以上的整数，L是1以上的整数， 所述接收装置是对所述签名数据sig进行验证的验证装置，将所述整数i作为所述索 弓丨j '，将关于整数i的谓词信息Vi作为关于所述索引j '的所述参数Ψρ关于各整数i，将 在所述基底矢量b 的系数中设定了和对与整数i对应的整数t分配了的信息J的内积 成为〇的信息J'并在所述基底矢量b \tt的系数中设定了关于整数i的谓词信息Vi的验 证要素 Ci用作所述接收侧矢量ιγ，关于所述各整数i，针对关于该整数i的签名要素Si和 验证要素 Ci，计算每对应的基底矢量的配对运算之积。
9. 根据权利要求8所述的密码系统，其特征在于， 所述密码系统使用规定的基底仏以及规定的基底B %、规定的基底B以及规定的基底 B '和规定的基底Bd+1以及规定的基底B %+1来进行处理， 所述发送装置使用密钥矢量k关于t = 1，. . .，d的一个以上的整数t的密钥矢量 k %、密钥矢量d+u、以及密钥矢量d+1,2，生成包括关于i = 0,. . .，L+1的各整数i的式10所 示的签名要素 Si的签名数据sig，该密钥矢量k 密钥矢量k %、密钥矢量、以及密钥 矢量d+1,2如式9所示， 所述接收装置针对关于所述各整数i的式11所示的验证要素 Ci和所述签名要素Si， 计算式12， 式9 :
此处，

是随机数， η是1以上的整数， u。，wQ, zQ, u, w, ζ分别是0以上的整数， 式10 :
此处， I,
是随机数，
丨被定义为

Μ是L行r列的矩阵， P (i)是预先分配了或者-
的变量， Η是散列值，
式11 :
此处，

是随机数，

是具有r个要素的矢量，Μ是L行r列的矩阵， P (i)是预先分配了
或者
！的变量， η是1以上的整数，如Wd, Zd, u, w, z分别是0以上的整数， 式12 :
10. -种密码方法，使用规定的基底B以及规定的基底来进行处理，该密码方法的特 征在于，具备： 发送工序，发送装置生成关于多个索引j中的一个以上的索引j的发送侧矢量该发 送侧矢量h在所述基底B中的规定的基底矢量binta的系数中设定了对索引j预先分配了 的信息J，在所述基底B中的其他基底矢量b att的系数中设定了关于索引j的参数Φ ^以及 接收工序，接收装置使用关于多个索引j'中的一个以上的索引j'的接收侧矢量IV， 针对关于索引j的所述发送侧矢量h和关于与所述索引j对应的索引j'的所述接收侧矢 量，计算每对应的基底矢量的配对运算之积，其中，该接收侧矢量&在与所述基底矢量 bindra￡对应的所述基底B +中的基底矢量b'ndra￡的系数中设定了和对与索引j'对应的索引 j预先分配了的信息J的内积成为〇的信息J'，在与所述基底矢量batt对应的所述基底B + 中的基底矢量b\tt的系数中设定了关于索引j'的参数Ψ」，。
11. 一种密码程序，使用规定的基底Β以及规定的基底Β+来进行处理，其特征在于，使 计算机执行： 发送处理，生成关于多个索引j中的一个以上的索引j的发送侧矢量该发送侧矢量 tj在所述基底B中的规定的基底矢量bindra￡的系数中设定了对索引j预先分配了的信息J， 在所述基底B中的其他基底矢量b att的系数中设定了关于索引j的参数以及 接收处理，使用关于多个索引j'中的一个以上的索引j'的接收侧矢量ιγ，针对关于 索引j的所述发送侧矢量h和关于与所述索引j对应的索引j'的所述接收侧矢量计 算每对应的基底矢量的配对运算之积，其中，该接收侧矢量在与所述基底矢量b imfa对应 的所述基底B +中的基底矢量的系数中设定了和对与索引j'对应的索引j预先分 配了的信息J的内积成为〇的信息J'，在与所述基底矢量b att对应的所述基底B +中的基底 矢量b\tt的系数中设定了关于索引j'的参数Ψ」，。
【文档编号】G09C1/00GK104160437SQ201380012925
【公开日】2014年11月19日 申请日期:2013年3月1日 优先权日:2012年3月6日
【发明者】高岛克幸, 冈本龙明 申请人:三菱电机株式会社, 日本电信电话株式会社