密码处理系统、密钥生成装置、加密装置、解密装置、签名处理系统、签名装置以及验证装置的制作方法
专利名称:密码处理系统、密钥生成装置、加密装置、解密装置、签名处理系统、签名装置以及验证装置的制作方法
技术领域:
本发明涉及函数型密码(Functional Encryption, FE)方式。
背景技术:
在非专利文献3-6、10、12、13、15、18中,记载了作为函数型密码方式的一个类型的基于ID的密码(Identity-Based Encryption, IBE)方式。另外,在非专利文献2、7、9、16、19、23-26、28中,记载了作为函数型密码方式的一个类型的基于属性的密码(Attribute-Based Encryption, ABE)方式。非专利文献 I :Beimel,A.,Secure schemes for secret sharing and key distribution. PhD Thesis,Israel Institute of Technology,Technion,Haifa,Israel,1996非专利文献2 Bethencourt, J.,Sahai, A.,Waters, B. :Ciphertextpolicyattribute-based encryption. In:2007IEEE Symposium on Security and Privacy,pp.321 · 34. IEEE Press (2007)非专利文献3 :Boneh,D.,Boyen,X. !Efficient selective-ID secure identitybased encryption without random oracles. In:C achin,C.,Camenisch,J. (eds.)EUR0CRYPT 2004. LNCS, vol. 3027,pp.223 · 38. Springer Heidelberg (2004)非专利文献4 :Boneh,D.,Boyen,X. : Secure identity based encryptionwithout random oracles. In:Franklin, M. K. (ed. ) CRYPTO 2004.LNCS,vol.3152,pp.443 · 59. Springer Heidelberg (2004)非专利文献5 :Boneh,D.,Boyen, X.,Goh, E. :Hierarchical identity basedencryption with constant size ciphertext. In:Cramer,R. (ed. )EUR0CRYPT 2005. LNCS,vol. 3494,pp.440 · 56. Springer Heidelberg (2005)非专利文献6 :Boneh,D.,Franklin, M. : Identity-based encryption from theWeil pairing. In:Kilian,J. (ed. ) CRYPT02001. LNCS, vol. 2139,pp. 213 · 29. SpringerHeidelberg (2001)非专利文献7 :Boneh,D.,Hamburg, M. :Generalized identity based andbroadcast encryption scheme. In:Pieprzyk,J. (ed. )ASIACRYPT 2008. LNCS,vol. 5350,pp.455 · 70. Springer Heidelberg (2008)非专利文献8 :Boneh,D.,Katz, J.,Improved efficiency for CCA-securecryptosystems built using identity based encryption. RSA-CT 2005, LNCS, SpringerVerlag (2005)非专利文献9 :Boneh,D.,Waters, B. : Conjunctive,subset,and range querieson encrypted data. In: Vadhan, S. P. (ed. )TCC2007. LNCS, vol. 4392,pp. 535 *54. SpringerHeidelberg (2007)
非专利文献10 Boyen,X. ,Waters,B. :Anonymous hierarchical identity-basedencryption(without random oracles). In:Dwork,C. (ed. )CRYPT0 2006. LNCS,vol. 4117,pp.290 · 07.Springer Heidelberg (2006)非专利文献11 :Canetti,R. , Halevi S.,Katz J.,Chosen-ciphertext securityfrom identity-based encryption. EUR0CRYPT2004, LNCS, Springer-Verlag (2004)非专利文献12 Cocks, C. :An identity based encryption scheme based onquadratic residues. In:Honary, B. (ed. ) IMAInt. Conf. LNCS, vol. 2260,pp. 360 · 63.Springer Heidelberg (2001)非专利文献 13 :Gentry,C. :Practical identity-based encryption withoutrandom oracles. In:Vaudenay,S. (ed. ) EUR0CRYPT2006. LNCS, vol. 4004,pp. 445 · 64.Springer Heidelberg (2006) 非专利文献14 Gentry, C.,Halevi, S. :Hierarchical identity-basedencryption with polynomially many levels. In:Reingold, 0. (ed. ) TCC 2009. LNCS,vol. 5444,pp.437 · 56. Springer Heidelberg (2009)非专利文献15 Gentry, C.,Silverberg, A. !Hierarchical ID-basedcryptography. In:Zheng, Y. (ed. ) ASIACRYPT2002. LNCS,vol. 2501,pp. 548 · 66. SpringerHeidelberg (2002)非专利文献16 Goyal, V.,Pandey,0.,Sahai, A.,Waters, B. :Attribute-basedencryption for fine-grained access controlof encrypted data. In:ACM Conferenceon Computer and Communication Security 2006,pp.89 · 8,ACM (2006)非专利文献17 Groth, J.,Sahai, A. !Efficient non-interactive proofsystems for bilinear groups. In:Smart, N. P. (ed. ) EUR0CRYPT 2008. LNCS, vol.4965,pp.415 · 32. Springer Heidelberg (2008)非专利文献18 Horwitz, J.,Lynn, B. :Towards hierarchical identity-basedencryption. In:Knudsen,L. R. (ed. )EUR0CRYPT2002. LNCS, vol. 2332,pp. 466 *81. SpringerHeidelberg (2002)非专利文献19 :Katz,J.,Sahai, A.,Waters, B. !Predicate encryptionsupporting disjunctions, polynomial equations, andinner products.In:Smart,N. P. (ed. ) EUR0CRYPT 2008. LNCS, vol. 4965,pp. 146 · 62. Springer Heidelberg (2008)非专利文献20 Lewko, Α· Β·,Waters, B. :Fully secure HIBE with shortciphertexts. ePrint,IACR,http://eprint. iacr. org/2009/482非专利文献 21 Okamoto, Τ·,Takashima,K. :Homomorphic encryption andsignatures from vector decomposition. In:Galbraith,S.D.,Paterson,K. G. (eds.)Pairing 2008. LNCS, vol. 5209,pp.57 · 4.Springer Heidelberg (2008)非专利文献22 Okamoto, Τ·,Takashima,K. :Hierarchical predicateencryption for Inner-Products, In:ASIACRYPT 2009,Springer Heidelberg (2009)非专利文献23 0strovsky, R.,Sahai, A.,Waters, B. :Attribute-basedencryption with non-monotonic access structures. In:ACM Conference on Computerand Communication Security 2007,pp.195 · 03,ACM (2007)
非专利文献24 Pirretti, Μ.,Traynor, P.,McDaniel,P.,Waters, Β· :Secureattribute-based systems. In:ACM Conferenceon Computer and CommunicationSecurity 2006,pp.99 · 12,ACM,(2006)非专利文献25 Sahai, A.,Waters, B. :Fuzzy identity-based encryption.In:CrameriR. (ed. ) EUROCRYPT 2005. LNCS, vol. 3494, pp. 457 · 73. Springer Heidelberg(2005)非专利文献26 :Shi,Ε·,Waters, Β· !Delegating capability in predicateencryption systems. In:Aceto, L.,Damgard, I.,Goldberg,L. A.,Halldosson,M. M.,Ingofsdotir,A.,Walukiewicz, I. (eds. ) ICALP (2) 2008. LNCS, vol. 5126,pp. 560 · 78.Springer Heidelberg (2008)非专利文献27 :Waters,B. !Efficient identity based encryption without random oracles. Eurocrypt 2005,LNCS No. 3152,pp.443 · 59. Springer Verlag,2005.非专利文献28 :Waters,Β· :Ciphertext-policy attribute-basedencryption:an expressive,efficient,and provably securerealization. ePrint,IACR,http://eprint. iacr. org/2008/290非专利文献29 :Waters,B. :Dual system encryption:Realizing fully secureIBE and HIBE under simple assumptions. In:Halevi, S. (ed. ) CRYPTO 2009.LNCS,vol. 5677,pp.619 · 36.Springer Heidelberg (2009)
发明内容
本发明的目的在于提供一种具有多功能的密码功能的安全的函数型密码方式。本发明提供一种密码处理系统,具备密钥生成装置、加密装置、以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理,其特征在于,所述密钥生成装置具备第I信息输入部,输入作为关于i=l,. . .,L (L是I以上的整数)的各整数i的变量P (i)、并且是识别信息t (t=l,...,d中的某一个整数)和属性矢量V':= (Vi5iO(i’=l,...,nt,nt是I以上的整数)的肯定形的组(t,v —J或者否定形的组I (t, ΥΛ)中的某一个的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M ;以及解密密钥生成部,根据依据具有r个要素的矢量f —以及w'和所述第I信息输入部输入的矩阵M生成的列矢量τ = Cs1,..., sL) t =m · rτ、值S。=w— · rτ、以及规定的值Θ i (i=l, . . .,L),生成要素kV和关于i=l,. . .,L的各整数i的要素1Λ,并且作为基底的基底矢量b\p (p是规定的值)的系数而设定所述值-Stl,作为基底矢量b\q (q是与所述P不同的规定的值)的系数而设定规定的值K,而生成要素kV针对i=l,. . .,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量Ku的系数而设定Si+ Θ ,并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量b'i的系数而设定Θ iVi,i,并生成要素1Λ,在变量P (i)是否定形的组,(t, V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ,的系数而设定SiV^并生成要素k',
所述加密装置具备第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xt,i>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素Ct,并且生成作为基底Btl的基底矢量(P是所述P)的系数而设定而随机数值δ、作为基底矢量(q是所述q)的系数而设定了规定的值ζ的要素Ctl,针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt, i,(i’=l,...,nt)的系数而设定了所述随机数值δ倍后的Xt,i,的要素ct,所述解密装置具备数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素Ct、和所述属性集合Γ的加密数据c ;解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素f、和所述变量P (i)的解密密钥sks;补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl、要素Ct、和所述解密密钥Sks中包含的要素ki、要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(I)所示的配对运算,计算值K=gT ζ κ,式I
权利要求
1.一种密码处理系统,其特征在于,具备密钥生成装置、加密装置以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理, 所述密钥生成装置具备 第I信息输入部,输入变量P (1)以及1行1'列(1'是1以上的整数)的规定的矩阵M,上述变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) (i’ = I, . . . , nt,nt是是I以上的整数)的肯定形的组(t,V')或者否定形的组,(t, V^i)中的某一个;以及 解密密钥生成部,根据依据具有r个要素的矢量f —以及w—和所述第I信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值Θ i (i=l,. . .,L),生成要素k*Q和关于i=l,. . .,L的各整数i的要素k',即 作为基底的基底矢量b\p (p是规定的值)的系数而设定所述值-S(1,作为基底矢量b*0,q (q是与所述P不同的规定的值)的系数而设定规定的值κ,从而生成要素kV 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量fu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定Θ iVi,i,,从而生成要素K,在变量P (i)是否定形的组I (t, )的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定SiViii,,从而生成要素k',所述加密装置具备 第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素ct,即 生成作为基底Btl的基底矢量(ρ是所述ρ)的系数设定了随机数值δ,并且作为基底矢量(q是所述q)的系数设定了规定的值ζ的要素Ctl, 针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt,i,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素ct, 所述解密装置具备 数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素ct、和所述属性集合Γ的加密数据c ; 解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素1Λ、和所述变量P (i)的解密密钥Sks; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥Sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,v')且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组I (t, V—i)且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据C中包含的要素Ctl、要素Ct、和所述解密密钥Sks中包含的要素kY要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数Cl i,计算式(I)所示的配对运算,计算值K=g/K, 式I
2.根据权利要求I所述的密码处理系统,其特征在于, 所述密码处理系统使用至少具有基底矢量K, i (i=l, ... ,5)的基底Btl、至少具有基底矢量 bt,i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t=l, ...,d)、至少具有基底矢量(i=l, ... ,5)的基底B*。、以及至少具有基底矢量 b*t, i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt)的基底 B'(t=l,...,d),执行密码处理, 所述密钥生成装置的所述解密密钥生成部根据随机数值Htl和规定的值κ生成式(2)所示的要素G,并且在变量P (i)是肯定形的组(t,V')的情况下,根据随机数值Qi,Hi, i, (i=l,. . .,L, i’ =1, . . . , wt),生成式(3)所示的要素Pi,在变量P (i)是否定形的组,(t,V—i )的情况下,根据随机数值(i=l,· · ·,L,i’ =1,· · ·,wt),生成式(4)所示的要素k', 所述加密装置的所述加密数据生成部根据随机数值δ,φ0和规定的值ζ生成式(5)所示的要素(V并且根据所述随机数值δ. . .,zt),生成式(6)所示的要素ct, 式2
3.—种密钥生成装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成解密密钥sks,该密钥生成装置具备第I信息输入部,输入变量P (1)以及1行1'列(1'是1以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) (i’=1, · · ·,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组,(t, V—i)中的某一个; 解密密钥生成部,根据依据具有r个要素的矢量f —以及w'和所述第I信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值Θ i (i=l,. . .,L),生成要素K、和关于i=l,. . .,L的各整数i的要素k',即 作为基底的基底矢量b\p (ρ是规定的值)的系数而设定所述值-S(1,作为基底矢量b*0,q (q是与所述P不同的规定的值)的系数而设定规定的值κ,从而生成要素kV 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量fu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定Θ iVi,i,,从而生成要素K,在变量P (i)是否定形的组,(t, )的情况下,作为该组的识别信息t和 i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ,的系数而设定SiV^,从而生成要素f ;以及 密钥分发部,将包括所述第I信息输入部输入的变量P (i)、和所述解密密钥生成部生成的要素以及要素f的数据作为解密密钥Sks分发。
4.一种加密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成加密数据C,该加密装置具备 第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素ct,即 生成作为基底Btl的基底矢量(ρ是规定的值)的系数设定了随机数值δ,且作为基底矢量(q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素Ctl, 针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt,i,(i’ =1,. . .,nt)的系数设定了所述随机数值δ倍了的Xt,ρ的要素Ct ;以及 数据输出部,将所述第2信息输入部输入的属性集合Γ、和所述加密数据生成部生成的要素Ctl以及要素Ct作为加密数据c输出。
5.一种解密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,用解密密钥Sks对加密数据c进行解密,该解密装置具备 数据取得部,作为加密数据c,与属性集合Γ 一起取得针对t=l,...,d的至少I个以上的整数t而根据具有识别信息t、和属性矢量x — t:= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素Ctl、和要素Ct (所述属性集合Γ中包含的各整数)、即 作为基底Btl的基底矢量(ρ是规定的值)的系数设定了随机数值δ、且作为基底矢量(q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素Ctl、和针对所述属性集合Γ中包含的各识别信息t,作为基底Bt的基底矢量卜丨^’^,...,nt)的系数设定了所述随机数值δ倍了的xt,i,的要素ct; 解密密钥取得部,作为解密密钥Sks,与变量P (i) —起取得根据依据具有!■个(r是I以上的整数)要素的矢量f—以及w —和L行r列的规定的矩阵M生成的列矢量 Ττ:=(S1,. . . , sL )T —7及值 S0 :=w— f —\规定的值 θ i(i=l,. . .,L)、以及是关于 i=l,...,L (L是I以上的整数)的各整数i的所述变量P (i)且是识别信息t (t=l,...,d中的某一个整数)以及属性矢量V' = Cvia,) (i’ =1,. . .,nt,nt是I以上的整数)的肯定形的组(t,v —J或者否定形的组鬥(t,V—、)中的某一个的变量P (i)生成的要素k*Q、和要素k'(i=l,...,L的各整数)、即 作为基底的基底矢量b\p(p是所述P)的系数设定了所述值-Stl、作为基底矢量b\q (q是所述q)的系数设定了规定的值K的要素kV 是针对i=l,...,L的各整数i而在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量Ku的系数设定了 Si+ Θ 、且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量b'i的系数设定了 Θ iVi,i,的要素1Λ,且是在变量P (i)是否定形的组I (t, V^i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量b^i,的系数设定了 SiViJ的要素k' ; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥Sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Sks中包含的要素ki以及要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(7 )所示的配对运算而计算值K=gT ζ κ, 式7
6.一种密码处理系统,其特征在于,具备密钥生成装置、加密装置以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理, 所述密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 解密密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成要素kY和关于所述属性集合Γ中包含的各识别信息t的要素k*t,即 生成作为基底的基底矢量b\p (ρ是规定的值)的系数设定了随机数值δ,且作为基底矢量b\q (q是与所述P不同的规定的值)的系数设定了规定的值κ的要素kV针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt,,,的要素k', 所述加密装置具备 第2信息输入部,输入变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) Cij =1, . . . , nt, nt是I以上的整数)的肯定形的组(t,v')或者否定形的组,(t, V—i)中的某一个;以及加密数据生成部,根据依据具有r个要素的矢量f —以及w'和所述第2信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值θ (i=l,...,L),生成要素C。和关于i=l,. . .,L的各整数i的要素Ci,即 作为基底Btl的基底矢量ρ (ρ是所述ρ)的系数,设定所述值-Stl,作为基底矢量K, q(q是所述q)的系数设定规定的值ζ,从而生成要素Ctl, 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定Θ iVi,i,,从而生成要素Ci,在变量P (i)是否定形的组,(t5 V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定SiViii,,从而生成要素Ci,所述解密装置具备 数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素Ct、和所述变量P(i )的加密数据c ; 解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素1Λ、和所述属性集合Γ的解密密钥skr ; 补充系数计算部,根据关于所述数据取得部取得的加密数据c中包含的i=l,. . .,L的各整数i的变量P (i)、和所述解密密钥取得部取得的解密密钥skr中包含的属性集合Γ,确定i=l, . . . , L的各整数i中的、变量P (i)是肯定形的组(t, V')且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为S0的补充系数ai;以及 配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Skr中包含的要素ki以及要素f,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(8)所示的配对运算而计算值K = g/k, 式8
7.根据权利要求6所述的密码处理系统,其特征在于, 所述密码处理系统使用至少具有基底矢量Ui = 1,...,5)的基底Btl、至少具有基底矢量 K’iQ = I, . . . , nt, . . . , nt+u, , nt+ut+wt, , nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t = 1,...,d)、至少具有基底矢量b\i(i = 1,...,5)的基底B*。、以及至少具有基底矢量 b*t, i (i = I, . . . , nt, . . . , nt+ut, , nt+u+wt, , nt+ut+wt+zt)的基底B*t(t=l,...,d)来执行密码处理, 所述密钥生成装置的所述解密密钥生成部根据随机数值s、φο和规定的值κ生成式(9)所示的要素k*Q,并且根据所述随机数值S >ft,i (i=l, Wt )生成式(10)所示的要素k', 所述加密装置的所述加密数据生成部根据随机数值Htl和规定的值ζ生成式(11)所示的要素Ctl,并且在变量P (i)是肯定形的组(t,V')的情况下,根据随机数值θ” Ili,^ (i = I,. . . , L, i’ = I,. . . , zt),生成式(12)所示的要素Ci,在变量P (i)是否定形的组,(t, Vl)的情况下,根据随机数值Li, (i = 1,···,L,i’ = 1,···,zt),生成式(13)所不的安素Ci, 式9
4= (SA^O)W0
8.—种密钥生成装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成解密密钥skr,具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 解密密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成要素kY和关于所述属性集合Γ中包含的各识别信息t的要素k*t,即 生成作为基底的基底矢量b\p (ρ是规定的值)的系数设定了随机数值δ,并且作为基底矢量b\q (q是与所述P不同的规定的值)的系数设定了规定的值κ的要素kV 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素k*t;以及 密钥分发部,将包括所述第I信息输入部输入的变量P (i)、和所述解密密钥生成部生成的要素G以及要素f的数据作为解密密钥Sk1^分发。
9.一种加密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成加密数据C,该加密装置具备 第2信息输入部,输入变量P (i)以及L行r列(r是I以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),且是识别信息t (t=l,. . . , d中的某一个整数)和属性矢量V' = Cviji.) (i’ =1, · · · , nt, nt是I以上的整数)的肯定形的组(t,V')或者否定形的组(t, V—i)中的某一个; 加密数据生成部,根据依据具有r个要素的矢量f —以及w'和所述第2信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值θ (i=l,...,L),生成要素C。和关于i=l,. . .,L的各整数i的要素Ci,即 作为基底Btl的基底矢量、ρ (ρ是所述ρ)的系数而设定所述值-S(1,作为基底矢量<q (q是所述q)的系数而设定规定的值 ,从而生成要素Ctl,针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定Θ iVi,i,,从而生成要素Ci,在变量P (i)是否定形的组I (t, V^i)的情况下,作为该组的识别信息t和i ’ =1,. . .,nt的各整数i ’表示的基底矢量bt, r的系数而设定SiVi, r,从而生成要素Ci ;以及 数据输出部,将所述第2信息输入部输入的属性集合Γ、和所述加密数据生成部生成的要素Ctl以及要素Ct作为加密数据c输出。
10.一种解密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,用解密密钥Skr对加密数据C进行解密,该解密装置具备 数据取得部,作为加密数据C,与变量P (i) —起取得根据依据具有!■个(r是I以上的整数)要素的矢量广以及f和L行r列的规定的矩阵M生成的列矢量 Ττ = Cs1,...,Sli) τ :=Μ · f —τ 及值 Stl :=w—· f —\规定的值 Qi (i=l, · · · , L)、以及是关于 i=l, · · · , L (L是I以上的整数)的各整数i的所述变量P (i)且是识别信息t (t=l, . . .,d中的某一个整数)和属性矢量V' = Cvi,,-) (i ’ =1,. . .,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组I (t,I)和的某一个的变量P (i)生成的要素Ctl和要素Ci(i=l,...,L的各整数),即 作为基底Btl的基底矢量(ρ是规定的值)的系数设定了所述值-Stl、作为基底矢量b0,q (q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素(V 针对i=l,. . . ,L的各整数i,在变量P (i)是肯定形的组(t, V')的情况下作为该组的识别信息t表示的基底Bt的基底矢量bu的系数设定了 Si+ Θ 、并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数设定了 Θ iVi,i,的要素Ci、在变量P (i)是否定形的组’ (t, V^i )的情况下作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数设定了 SiVu的要素Ci ; 解密密钥取得部,作为解密密钥sky与属性集合Γ 一起取得针对t=l,, d的至少I个以上的整数t而根据具有识别信息t和属性矢量x — t:= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素ki和要素k*t (t是所述属性集合Γ中包含的各整数),即 作为基底的基底矢量b\p (ρ是所述ρ)的系数设定了随机数值δ、并且作为基底矢量b\q (q是所述q)的系数设定了规定的值κ的要素kV 针对所述属性集合Γ中包含的各识别信息t,作为基底(的基底矢量b'.i,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素k'; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的变量P (i)、和所述解密密钥取得部取得的解密密钥Sks中包含的属性集合Γ,确定i=l,, L的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组I (t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Sks中 包含的要素ki以及要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(14)所示的配对运算而计算值K=g/ κ, 式14
11.一种签名处理系统,其特征在于,具备密钥生成装置、签名装置以及验证装置,使用关于t=l,. . .,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理, 所述密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xt,i>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 签名密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成关于所述属性集合Γ中包含的各识别信息t的要素k*t、要素k*d+2以及要素k*d+3,即 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量1/“,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt, i,的要素k', 生成作为基底B*d+2的基底矢量b*d+2,p, (P’是规定的值)的系数设定了所述随机数值δ的要素k*d+2, 生成作为基底B*d+2的基底矢量IA+m, (q’是与所述P’不同的规定的值)的系数设定了所述随机数值δ的要素k*d+3, 所述签名装置具备 第2信息输入部,输入变量P (i)、L行r列(r是I以上的整数)的规定的矩阵M、以及消息m,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l,· · ·,d中的某一个整数)和属性矢量V' := ('r) (i’ =1,· · ·,nt,nt是I以上的整数)的肯定形的组(t,V、)或者否定形的组一· ( t,V^i )中的某一个;签名密钥取得部,作为签名密钥skr而取得所述签名密钥生成部生成的要素k*t、要素k*d+2、要素k*d+3、以及所述属性集合Γ ;补充系数计算部,根据关于i=l,...,L的各整数i的变量P (i)、和所述签名密钥取得部取得的签名密钥Skr中包含的属性集合Γ,确定i = l,... ,L的各整数i中的、变量P(i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i,根据所述第2信息输入部输入的矩阵M的第i行的要素即Mi,计算在合计了α具的情况下成为规定的矢量w —的补充系数a i ; 签名生成部,根据所述变量P (i)、所述属性集合Γ、所述补充系数计算部确定的集合I以及所述补充系数计算部计算出的补充系数a i,生成关于i=l,. . .,L的各整数i的S'、和s\,即 将β i设为在针对表示矩阵M的各行编号的各整数i而合计了 β具的情况下所有要素成为O的值, 针对表示矩阵M的各行编号的各整数i, 在i e I、变量ρ (i)是肯定形的组(t,v')的情况下,设为值Y i :=a i,将矢量y':=Cyi, ,)(1 :=1,· · ·,nt)设为y —i与V —i的内积是O、并且Yu=I的矢量, 在i el、变量ρ (i)是否定形的组,(t, V—i)的情况下,设为值Yi==Qi/(V' · X'),将矢量 y —i = Cyij , ) ( I =1,... , nt)设为 y —i 与 v —i 的内积是 I 的矢量,在并非i e I、而变量ρ (i)是肯定形的组(t,V')的情况下,设为值Yi :=0,将矢量 y —i = Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在并非ie I、而变量ρ (i)是否定形的组,(t, V^i)的情况下,设为值Yi :=0,将矢量y' = Cyi, ,)(ι :=1,...,nt)设为y'与V'的内积是I的矢量, 如式(15)所示,生成关于表示矩阵M的各行编号的各整数i的 <、和s\, 所述验证装置具备 数据取得部,取得包括所述签名生成部生成的A以及sV消息m、变量P (i)以及矩阵M的签名数据sig; 加密数据生成部,根据依据具有r个要素的矢量f'所述矢量w —以及所述数据取得部取得的矩阵M生成的列矢量S —τ = Cs1,..., sL) t =M · f —τ、值sQ :=w— · f —T、以及规定的值Θ i (i是矩阵M的各行编号和X),生成关于表示矩阵M的各行编号的各整数i的要素Ci和要素cx,即 针对表示所述矩阵M的各行编号的各整数i,在变量P (i)是肯定形的组(t,v')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bt>1的系数而设定Si+ Θ ,并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt, i,的系数而设定eiVi,i,,从而生成要素Ci,在变量P (i)是否定形的组,(t, V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定SiViii,,从而生成要素Ci, 对基底Bd+2的基底矢量bd+2,p,(ρ’是所述P’ )设定S0- Θ xm,并且对基底矢量bd+2, ,,(q’是所述q’ )设定θ χ,从而生成要素cx ;以及 配对运算部,针对表示矩阵M的各行编号和X的各整数i,进行式(16)所示的配对运算,验证所述签名数据sig的合法性,式15
12.根据权利要求11所述的签名处理系统,其特征在于, 所述签名处理系统使用至少具有基底矢量Wi (i=l, ... ,4)的基底Btl、至少具有基底矢量 bui (i=l,. . . , nt,. . . , nt+ut,, nt+ut+wt,, nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t=l,...,d)、至少具有基底矢量bd+1,i (i=l,...,4)的基底Bd+1、至少具有基底矢量bd+w (i=l,...,8)的基底Bd+2、至少具有基底矢量(i=l,...,4)的基底B*。、至少具有基底矢量 b*t, i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt)的基底 B'(t=l,...,d)、至少具有基底矢量bVu (i=l,...,4)的基底B*d+1、以及至少具有基底矢量b*d+2,i (i=l,. . .,8)的基底B*d+2来执行签名处理, 所述密钥生成装置的所述签名密钥生成部针对所述属性集合Γ中包含的各识别信息t、和^ =1,. . .,Wt的各整数^,根据随机数值δ J,q>0,ft, U (Pd 丨,I,fd+2, 2,fd+3, I,CPd+3,2,如式(17)所示,生成要素 k*Q、要素k'、要素k*d+2以及要素k*d+3, 所述签名装置还具备对所述矩阵M的第L+1行追加规定的行矢量的矩阵生成部, 所述签名装置的所述签名生成部根据要素K、要素k*t、要素k*d+2、要素k*d+3以及随机数值ξ,如式(18)所示,作为关于i=l,. . .,L+1的各整数i的A和&而生成A以及s\+2, 所述验证装置的所述加密数据生成部针对i=l,. . .,L+1的各整数i、和i ‘= 1,...,Zt的各整数i’,根据随机数值Qi, Iiia,,iu+2,2,如式(19)所示,作为要素Ci和要素Cx而生成要素Ctl以及要素Cu2, 所述配对运算部针对i=l,. . .,L+2的各整数i,进行所述配对运算, 式17
13.—种密钥生成装置,其特征在于,在使用关于t=l,...,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理的签名处理系统中,生成签名密钥skr,该密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量χ —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 签名密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成关于所述属性集合Γ中包含的各识别信息t的要素要素k*d+2以及要素k*d+3,即 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt,,,的要素k', 生成作为基底B*d+2的基底矢量b*d+2,p,(P’是规定的值)的系数设定了所述随机数值δ的要素k*d+2, 生成作为基底B*d+2的基底矢量lA+M,(q’是与所述P’不同的规定的值)的系数设定了所述随机数值δ的要素k*d+3;以及 密钥分发部,将包括所述第I信息输入部输入的属性集合Γ、所述签名密钥生成部生成的要素k*t、要素k*d+2以及要素k*d+3的数据作为签名密钥skr分发。
14.一种签名装置,其特征在于,在使用关于t=l,...,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理的签名处理系统中,生成签名数据sig,该签名装置具备 第2信息输入部,输入变量P (i)、L行r列(r是I以上的整数)的规定的矩阵M、以及消息m,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := CvijiO Cif =1,,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组1 ( t,V —i)中的某一个;签名密钥取得部,作为签名密钥Skr,与属性集合Γ 一起取得针对t=l,. . .,d的至少I个以上的整数t而根据具有识别信息t、和属性矢量χ':= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素k*t (t是所述属性集合Γ中包含的各识别信息)、要素k*d+2以及要素kV3jP 针对所述属性集合Γ中包含的各识别信息t,作为基底(的基底矢量b'.i,(i’=l,...,nt)的系数而设定了所述随机数值δ倍了的xt,,,的要素k', 作为基底B*d+2的基底矢量b*d+2,p,(ρ’是规定的值)的系数而设定了所述随机数值δ的要素k*d+2,以及 作为基底B*d+2的基底矢量lA+M,(q’是与所述P’不同的规定的值)的系数而设定了所述随机数值δ的要素k*d+3 ; 补充系数计算部,根据关于i=l,. . .,L的各整数i的变量P (i)、和所述签名密钥取得部取得的签名密钥skr中包含的属性集合Γ,确定i=l,... ,L的各整数i中的、变量P(i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的χ'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的χ'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i,根据所述第2信息输入部输入的矩阵M的第i行的要素即Mi,计算在合计了α具的情况下成为规定的矢量w —的补充系数a i ; 签名生成部,根据所述变量P (i)、所述属性集合Γ、所述补充系数计算部确定的集合I、以及所述补充系数计算部计算出的补充系数a i,生成关于表示矩阵M的各行编号的各整数i的A和‘即 将β i设为在针对表示矩阵M的各行编号的各整数i合计了 β具的情况下所有要素成为O的值, 针对表示矩阵M的各行编号的各整数i, 在i e I、变量ρ (i)是肯定形的组(t,v')的情况下,设为值Y i :=a i,将矢量y':=Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在i el、变量ρ (i)是否定形的组,(t, V—i)的情况下,设为值YiFai/(V' · X'),将矢量 y —i = Cyij , ) ( I =1,... , nt)设为 y —i 与 v —i 的内积是 I 的矢量,在并非i e I、而变量ρ (i)是肯定形的组(t,V')的情况下,设为值Yi :=0,将矢量 y —i = Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在并非ie I、而变量ρ (i)是否定形的组I (t, V^i)的情况下,设为值Yi:=0,将矢量y' = Cyi, ,)(ι :=1,...,nt)设为y'与V'的内积是I的矢量, 如式(20)所示,生成关于表示矩阵M的各行编号的各整数i的 < 和s\ ;以及数据输出部,将包括所述第2信息输入部输入的变量P (i)、矩阵M、消息m、所述签名生成部生成的sV s*,以及s\的数据作为签名数据sig输出, 式20
全文摘要
本发明的目的在于提供一种具有大量的密码功能的安全性的函数型密码方式。通过在取值范围程序中应用属性矢量的内积,构成了访问架构。该访问架构在取值范围程序的设计、和属性矢量的设计上具有自由度,在访问控制的设计中具有很高的自由度。另外,通过对该访问架构使用秘密分散的概念,实现了具有大量的密码功能的安全性的函数型密码处理。
文档编号G09C1/00GK102859571SQ20118002099
公开日2013年1月2日 申请日期2011年2月15日 优先权日2010年4月27日
发明者高岛克幸, 冈本龙明 申请人:三菱电机株式会社, 日本电信电话株式会社
技术领域:
本发明涉及函数型密码(Functional Encryption, FE)方式。
背景技术:
在非专利文献3-6、10、12、13、15、18中,记载了作为函数型密码方式的一个类型的基于ID的密码(Identity-Based Encryption, IBE)方式。另外,在非专利文献2、7、9、16、19、23-26、28中,记载了作为函数型密码方式的一个类型的基于属性的密码(Attribute-Based Encryption, ABE)方式。非专利文献 I :Beimel,A.,Secure schemes for secret sharing and key distribution. PhD Thesis,Israel Institute of Technology,Technion,Haifa,Israel,1996非专利文献2 Bethencourt, J.,Sahai, A.,Waters, B. :Ciphertextpolicyattribute-based encryption. In:2007IEEE Symposium on Security and Privacy,pp.321 · 34. IEEE Press (2007)非专利文献3 :Boneh,D.,Boyen,X. !Efficient selective-ID secure identitybased encryption without random oracles. In:C achin,C.,Camenisch,J. (eds.)EUR0CRYPT 2004. LNCS, vol. 3027,pp.223 · 38. Springer Heidelberg (2004)非专利文献4 :Boneh,D.,Boyen,X. : Secure identity based encryptionwithout random oracles. In:Franklin, M. K. (ed. ) CRYPTO 2004.LNCS,vol.3152,pp.443 · 59. Springer Heidelberg (2004)非专利文献5 :Boneh,D.,Boyen, X.,Goh, E. :Hierarchical identity basedencryption with constant size ciphertext. In:Cramer,R. (ed. )EUR0CRYPT 2005. LNCS,vol. 3494,pp.440 · 56. Springer Heidelberg (2005)非专利文献6 :Boneh,D.,Franklin, M. : Identity-based encryption from theWeil pairing. In:Kilian,J. (ed. ) CRYPT02001. LNCS, vol. 2139,pp. 213 · 29. SpringerHeidelberg (2001)非专利文献7 :Boneh,D.,Hamburg, M. :Generalized identity based andbroadcast encryption scheme. In:Pieprzyk,J. (ed. )ASIACRYPT 2008. LNCS,vol. 5350,pp.455 · 70. Springer Heidelberg (2008)非专利文献8 :Boneh,D.,Katz, J.,Improved efficiency for CCA-securecryptosystems built using identity based encryption. RSA-CT 2005, LNCS, SpringerVerlag (2005)非专利文献9 :Boneh,D.,Waters, B. : Conjunctive,subset,and range querieson encrypted data. In: Vadhan, S. P. (ed. )TCC2007. LNCS, vol. 4392,pp. 535 *54. SpringerHeidelberg (2007)
非专利文献10 Boyen,X. ,Waters,B. :Anonymous hierarchical identity-basedencryption(without random oracles). In:Dwork,C. (ed. )CRYPT0 2006. LNCS,vol. 4117,pp.290 · 07.Springer Heidelberg (2006)非专利文献11 :Canetti,R. , Halevi S.,Katz J.,Chosen-ciphertext securityfrom identity-based encryption. EUR0CRYPT2004, LNCS, Springer-Verlag (2004)非专利文献12 Cocks, C. :An identity based encryption scheme based onquadratic residues. In:Honary, B. (ed. ) IMAInt. Conf. LNCS, vol. 2260,pp. 360 · 63.Springer Heidelberg (2001)非专利文献 13 :Gentry,C. :Practical identity-based encryption withoutrandom oracles. In:Vaudenay,S. (ed. ) EUR0CRYPT2006. LNCS, vol. 4004,pp. 445 · 64.Springer Heidelberg (2006) 非专利文献14 Gentry, C.,Halevi, S. :Hierarchical identity-basedencryption with polynomially many levels. In:Reingold, 0. (ed. ) TCC 2009. LNCS,vol. 5444,pp.437 · 56. Springer Heidelberg (2009)非专利文献15 Gentry, C.,Silverberg, A. !Hierarchical ID-basedcryptography. In:Zheng, Y. (ed. ) ASIACRYPT2002. LNCS,vol. 2501,pp. 548 · 66. SpringerHeidelberg (2002)非专利文献16 Goyal, V.,Pandey,0.,Sahai, A.,Waters, B. :Attribute-basedencryption for fine-grained access controlof encrypted data. In:ACM Conferenceon Computer and Communication Security 2006,pp.89 · 8,ACM (2006)非专利文献17 Groth, J.,Sahai, A. !Efficient non-interactive proofsystems for bilinear groups. In:Smart, N. P. (ed. ) EUR0CRYPT 2008. LNCS, vol.4965,pp.415 · 32. Springer Heidelberg (2008)非专利文献18 Horwitz, J.,Lynn, B. :Towards hierarchical identity-basedencryption. In:Knudsen,L. R. (ed. )EUR0CRYPT2002. LNCS, vol. 2332,pp. 466 *81. SpringerHeidelberg (2002)非专利文献19 :Katz,J.,Sahai, A.,Waters, B. !Predicate encryptionsupporting disjunctions, polynomial equations, andinner products.In:Smart,N. P. (ed. ) EUR0CRYPT 2008. LNCS, vol. 4965,pp. 146 · 62. Springer Heidelberg (2008)非专利文献20 Lewko, Α· Β·,Waters, B. :Fully secure HIBE with shortciphertexts. ePrint,IACR,http://eprint. iacr. org/2009/482非专利文献 21 Okamoto, Τ·,Takashima,K. :Homomorphic encryption andsignatures from vector decomposition. In:Galbraith,S.D.,Paterson,K. G. (eds.)Pairing 2008. LNCS, vol. 5209,pp.57 · 4.Springer Heidelberg (2008)非专利文献22 Okamoto, Τ·,Takashima,K. :Hierarchical predicateencryption for Inner-Products, In:ASIACRYPT 2009,Springer Heidelberg (2009)非专利文献23 0strovsky, R.,Sahai, A.,Waters, B. :Attribute-basedencryption with non-monotonic access structures. In:ACM Conference on Computerand Communication Security 2007,pp.195 · 03,ACM (2007)
非专利文献24 Pirretti, Μ.,Traynor, P.,McDaniel,P.,Waters, Β· :Secureattribute-based systems. In:ACM Conferenceon Computer and CommunicationSecurity 2006,pp.99 · 12,ACM,(2006)非专利文献25 Sahai, A.,Waters, B. :Fuzzy identity-based encryption.In:CrameriR. (ed. ) EUROCRYPT 2005. LNCS, vol. 3494, pp. 457 · 73. Springer Heidelberg(2005)非专利文献26 :Shi,Ε·,Waters, Β· !Delegating capability in predicateencryption systems. In:Aceto, L.,Damgard, I.,Goldberg,L. A.,Halldosson,M. M.,Ingofsdotir,A.,Walukiewicz, I. (eds. ) ICALP (2) 2008. LNCS, vol. 5126,pp. 560 · 78.Springer Heidelberg (2008)非专利文献27 :Waters,B. !Efficient identity based encryption without random oracles. Eurocrypt 2005,LNCS No. 3152,pp.443 · 59. Springer Verlag,2005.非专利文献28 :Waters,Β· :Ciphertext-policy attribute-basedencryption:an expressive,efficient,and provably securerealization. ePrint,IACR,http://eprint. iacr. org/2008/290非专利文献29 :Waters,B. :Dual system encryption:Realizing fully secureIBE and HIBE under simple assumptions. In:Halevi, S. (ed. ) CRYPTO 2009.LNCS,vol. 5677,pp.619 · 36.Springer Heidelberg (2009)
发明内容
本发明的目的在于提供一种具有多功能的密码功能的安全的函数型密码方式。本发明提供一种密码处理系统,具备密钥生成装置、加密装置、以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理,其特征在于,所述密钥生成装置具备第I信息输入部,输入作为关于i=l,. . .,L (L是I以上的整数)的各整数i的变量P (i)、并且是识别信息t (t=l,...,d中的某一个整数)和属性矢量V':= (Vi5iO(i’=l,...,nt,nt是I以上的整数)的肯定形的组(t,v —J或者否定形的组I (t, ΥΛ)中的某一个的变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M ;以及解密密钥生成部,根据依据具有r个要素的矢量f —以及w'和所述第I信息输入部输入的矩阵M生成的列矢量τ = Cs1,..., sL) t =m · rτ、值S。=w— · rτ、以及规定的值Θ i (i=l, . . .,L),生成要素kV和关于i=l,. . .,L的各整数i的要素1Λ,并且作为基底的基底矢量b\p (p是规定的值)的系数而设定所述值-Stl,作为基底矢量b\q (q是与所述P不同的规定的值)的系数而设定规定的值K,而生成要素kV针对i=l,. . .,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量Ku的系数而设定Si+ Θ ,并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量b'i的系数而设定Θ iVi,i,并生成要素1Λ,在变量P (i)是否定形的组,(t, V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ,的系数而设定SiV^并生成要素k',
所述加密装置具备第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xt,i>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素Ct,并且生成作为基底Btl的基底矢量(P是所述P)的系数而设定而随机数值δ、作为基底矢量(q是所述q)的系数而设定了规定的值ζ的要素Ctl,针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt, i,(i’=l,...,nt)的系数而设定了所述随机数值δ倍后的Xt,i,的要素ct,所述解密装置具备数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素Ct、和所述属性集合Γ的加密数据c ;解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素f、和所述变量P (i)的解密密钥sks;补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl、要素Ct、和所述解密密钥Sks中包含的要素ki、要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(I)所示的配对运算,计算值K=gT ζ κ,式I
权利要求
1.一种密码处理系统,其特征在于,具备密钥生成装置、加密装置以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理, 所述密钥生成装置具备 第I信息输入部,输入变量P (1)以及1行1'列(1'是1以上的整数)的规定的矩阵M,上述变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) (i’ = I, . . . , nt,nt是是I以上的整数)的肯定形的组(t,V')或者否定形的组,(t, V^i)中的某一个;以及 解密密钥生成部,根据依据具有r个要素的矢量f —以及w—和所述第I信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值Θ i (i=l,. . .,L),生成要素k*Q和关于i=l,. . .,L的各整数i的要素k',即 作为基底的基底矢量b\p (p是规定的值)的系数而设定所述值-S(1,作为基底矢量b*0,q (q是与所述P不同的规定的值)的系数而设定规定的值κ,从而生成要素kV 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量fu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定Θ iVi,i,,从而生成要素K,在变量P (i)是否定形的组I (t, )的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定SiViii,,从而生成要素k',所述加密装置具备 第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素ct,即 生成作为基底Btl的基底矢量(ρ是所述ρ)的系数设定了随机数值δ,并且作为基底矢量(q是所述q)的系数设定了规定的值ζ的要素Ctl, 针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt,i,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素ct, 所述解密装置具备 数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素ct、和所述属性集合Γ的加密数据c ; 解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素1Λ、和所述变量P (i)的解密密钥Sks; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥Sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,v')且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组I (t, V—i)且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据C中包含的要素Ctl、要素Ct、和所述解密密钥Sks中包含的要素kY要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数Cl i,计算式(I)所示的配对运算,计算值K=g/K, 式I
2.根据权利要求I所述的密码处理系统,其特征在于, 所述密码处理系统使用至少具有基底矢量K, i (i=l, ... ,5)的基底Btl、至少具有基底矢量 bt,i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t=l, ...,d)、至少具有基底矢量(i=l, ... ,5)的基底B*。、以及至少具有基底矢量 b*t, i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt)的基底 B'(t=l,...,d),执行密码处理, 所述密钥生成装置的所述解密密钥生成部根据随机数值Htl和规定的值κ生成式(2)所示的要素G,并且在变量P (i)是肯定形的组(t,V')的情况下,根据随机数值Qi,Hi, i, (i=l,. . .,L, i’ =1, . . . , wt),生成式(3)所示的要素Pi,在变量P (i)是否定形的组,(t,V—i )的情况下,根据随机数值(i=l,· · ·,L,i’ =1,· · ·,wt),生成式(4)所示的要素k', 所述加密装置的所述加密数据生成部根据随机数值δ,φ0和规定的值ζ生成式(5)所示的要素(V并且根据所述随机数值δ. . .,zt),生成式(6)所示的要素ct, 式2
3.—种密钥生成装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成解密密钥sks,该密钥生成装置具备第I信息输入部,输入变量P (1)以及1行1'列(1'是1以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) (i’=1, · · ·,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组,(t, V—i)中的某一个; 解密密钥生成部,根据依据具有r个要素的矢量f —以及w'和所述第I信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值Θ i (i=l,. . .,L),生成要素K、和关于i=l,. . .,L的各整数i的要素k',即 作为基底的基底矢量b\p (ρ是规定的值)的系数而设定所述值-S(1,作为基底矢量b*0,q (q是与所述P不同的规定的值)的系数而设定规定的值κ,从而生成要素kV 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量fu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量ΙΑ」,的系数而设定Θ iVi,i,,从而生成要素K,在变量P (i)是否定形的组,(t, )的情况下,作为该组的识别信息t和 i’ =1,. . .,nt的各整数i’表示的基底矢量ΙΑ,的系数而设定SiV^,从而生成要素f ;以及 密钥分发部,将包括所述第I信息输入部输入的变量P (i)、和所述解密密钥生成部生成的要素以及要素f的数据作为解密密钥Sks分发。
4.一种加密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成加密数据C,该加密装置具备 第2信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 加密数据生成部,根据所述第2信息输入部输入的属性集合Γ,生成要素Cci、和关于所述属性集合Γ中包含的各识别信息t的要素ct,即 生成作为基底Btl的基底矢量(ρ是规定的值)的系数设定了随机数值δ,且作为基底矢量(q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素Ctl, 针对所述属性集合Γ中包含的各识别信息t,生成作为基底Bt的基底矢量bt,i,(i’ =1,. . .,nt)的系数设定了所述随机数值δ倍了的Xt,ρ的要素Ct ;以及 数据输出部,将所述第2信息输入部输入的属性集合Γ、和所述加密数据生成部生成的要素Ctl以及要素Ct作为加密数据c输出。
5.一种解密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,用解密密钥Sks对加密数据c进行解密,该解密装置具备 数据取得部,作为加密数据c,与属性集合Γ 一起取得针对t=l,...,d的至少I个以上的整数t而根据具有识别信息t、和属性矢量x — t:= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素Ctl、和要素Ct (所述属性集合Γ中包含的各整数)、即 作为基底Btl的基底矢量(ρ是规定的值)的系数设定了随机数值δ、且作为基底矢量(q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素Ctl、和针对所述属性集合Γ中包含的各识别信息t,作为基底Bt的基底矢量卜丨^’^,...,nt)的系数设定了所述随机数值δ倍了的xt,i,的要素ct; 解密密钥取得部,作为解密密钥Sks,与变量P (i) —起取得根据依据具有!■个(r是I以上的整数)要素的矢量f—以及w —和L行r列的规定的矩阵M生成的列矢量 Ττ:=(S1,. . . , sL )T —7及值 S0 :=w— f —\规定的值 θ i(i=l,. . .,L)、以及是关于 i=l,...,L (L是I以上的整数)的各整数i的所述变量P (i)且是识别信息t (t=l,...,d中的某一个整数)以及属性矢量V' = Cvia,) (i’ =1,. . .,nt,nt是I以上的整数)的肯定形的组(t,v —J或者否定形的组鬥(t,V—、)中的某一个的变量P (i)生成的要素k*Q、和要素k'(i=l,...,L的各整数)、即 作为基底的基底矢量b\p(p是所述P)的系数设定了所述值-Stl、作为基底矢量b\q (q是所述q)的系数设定了规定的值K的要素kV 是针对i=l,...,L的各整数i而在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底B'的基底矢量Ku的系数设定了 Si+ Θ 、且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量b'i的系数设定了 Θ iVi,i,的要素1Λ,且是在变量P (i)是否定形的组I (t, V^i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量b^i,的系数设定了 SiViJ的要素k' ; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的属性集合Γ、和所述解密密钥取得部取得的解密密钥Sks中包含的变量P (1),确定1=1,...,1^的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Sks中包含的要素ki以及要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(7 )所示的配对运算而计算值K=gT ζ κ, 式7
6.一种密码处理系统,其特征在于,具备密钥生成装置、加密装置以及解密装置,使用关于t=0,. . .,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理, 所述密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 解密密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成要素kY和关于所述属性集合Γ中包含的各识别信息t的要素k*t,即 生成作为基底的基底矢量b\p (ρ是规定的值)的系数设定了随机数值δ,且作为基底矢量b\q (q是与所述P不同的规定的值)的系数设定了规定的值κ的要素kV针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt,,,的要素k', 所述加密装置具备 第2信息输入部,输入变量P (i)、以及L行r列(r是I以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := Cviji.) Cij =1, . . . , nt, nt是I以上的整数)的肯定形的组(t,v')或者否定形的组,(t, V—i)中的某一个;以及加密数据生成部,根据依据具有r个要素的矢量f —以及w'和所述第2信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值θ (i=l,...,L),生成要素C。和关于i=l,. . .,L的各整数i的要素Ci,即 作为基底Btl的基底矢量ρ (ρ是所述ρ)的系数,设定所述值-Stl,作为基底矢量K, q(q是所述q)的系数设定规定的值ζ,从而生成要素Ctl, 针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定Θ iVi,i,,从而生成要素Ci,在变量P (i)是否定形的组,(t5 V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定SiViii,,从而生成要素Ci,所述解密装置具备 数据取得部,取得包括所述加密数据生成部生成的要素Ctl以及要素Ct、和所述变量P(i )的加密数据c ; 解密密钥取得部,取得包括所述解密密钥生成部生成的要素ki以及要素1Λ、和所述属性集合Γ的解密密钥skr ; 补充系数计算部,根据关于所述数据取得部取得的加密数据c中包含的i=l,. . .,L的各整数i的变量P (i)、和所述解密密钥取得部取得的解密密钥skr中包含的属性集合Γ,确定i=l, . . . , L的各整数i中的、变量P (i)是肯定形的组(t, V')且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为S0的补充系数ai;以及 配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Skr中包含的要素ki以及要素f,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(8)所示的配对运算而计算值K = g/k, 式8
7.根据权利要求6所述的密码处理系统,其特征在于, 所述密码处理系统使用至少具有基底矢量Ui = 1,...,5)的基底Btl、至少具有基底矢量 K’iQ = I, . . . , nt, . . . , nt+u, , nt+ut+wt, , nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t = 1,...,d)、至少具有基底矢量b\i(i = 1,...,5)的基底B*。、以及至少具有基底矢量 b*t, i (i = I, . . . , nt, . . . , nt+ut, , nt+u+wt, , nt+ut+wt+zt)的基底B*t(t=l,...,d)来执行密码处理, 所述密钥生成装置的所述解密密钥生成部根据随机数值s、φο和规定的值κ生成式(9)所示的要素k*Q,并且根据所述随机数值S >ft,i (i=l, Wt )生成式(10)所示的要素k', 所述加密装置的所述加密数据生成部根据随机数值Htl和规定的值ζ生成式(11)所示的要素Ctl,并且在变量P (i)是肯定形的组(t,V')的情况下,根据随机数值θ” Ili,^ (i = I,. . . , L, i’ = I,. . . , zt),生成式(12)所示的要素Ci,在变量P (i)是否定形的组,(t, Vl)的情况下,根据随机数值Li, (i = 1,···,L,i’ = 1,···,zt),生成式(13)所不的安素Ci, 式9
4= (SA^O)W0
8.—种密钥生成装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成解密密钥skr,具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 解密密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成要素kY和关于所述属性集合Γ中包含的各识别信息t的要素k*t,即 生成作为基底的基底矢量b\p (ρ是规定的值)的系数设定了随机数值δ,并且作为基底矢量b\q (q是与所述P不同的规定的值)的系数设定了规定的值κ的要素kV 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素k*t;以及 密钥分发部,将包括所述第I信息输入部输入的变量P (i)、和所述解密密钥生成部生成的要素G以及要素f的数据作为解密密钥Sk1^分发。
9.一种加密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,生成加密数据C,该加密装置具备 第2信息输入部,输入变量P (i)以及L行r列(r是I以上的整数)的规定的矩阵M,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),且是识别信息t (t=l,. . . , d中的某一个整数)和属性矢量V' = Cviji.) (i’ =1, · · · , nt, nt是I以上的整数)的肯定形的组(t,V')或者否定形的组(t, V—i)中的某一个; 加密数据生成部,根据依据具有r个要素的矢量f —以及w'和所述第2信息输入部输入的矩阵M生成的列矢量s —T := (S1, , sL) τ =Μ · f —τ、值S。=w— · f —τ、以及规定的值θ (i=l,...,L),生成要素C。和关于i=l,. . .,L的各整数i的要素Ci,即 作为基底Btl的基底矢量、ρ (ρ是所述ρ)的系数而设定所述值-S(1,作为基底矢量<q (q是所述q)的系数而设定规定的值 ,从而生成要素Ctl,针对i=l,...,L的各整数i,在变量P (i)是肯定形的组(t,V')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bu的系数而设定Si+ Θ iVi,1;并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定Θ iVi,i,,从而生成要素Ci,在变量P (i)是否定形的组I (t, V^i)的情况下,作为该组的识别信息t和i ’ =1,. . .,nt的各整数i ’表示的基底矢量bt, r的系数而设定SiVi, r,从而生成要素Ci ;以及 数据输出部,将所述第2信息输入部输入的属性集合Γ、和所述加密数据生成部生成的要素Ctl以及要素Ct作为加密数据c输出。
10.一种解密装置,其特征在于,在使用关于t=0,...,d (d是I以上的整数)的各整数t的基底Bt和基底B'来执行密码处理的密码处理系统中,用解密密钥Skr对加密数据C进行解密,该解密装置具备 数据取得部,作为加密数据C,与变量P (i) —起取得根据依据具有!■个(r是I以上的整数)要素的矢量广以及f和L行r列的规定的矩阵M生成的列矢量 Ττ = Cs1,...,Sli) τ :=Μ · f —τ 及值 Stl :=w—· f —\规定的值 Qi (i=l, · · · , L)、以及是关于 i=l, · · · , L (L是I以上的整数)的各整数i的所述变量P (i)且是识别信息t (t=l, . . .,d中的某一个整数)和属性矢量V' = Cvi,,-) (i ’ =1,. . .,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组I (t,I)和的某一个的变量P (i)生成的要素Ctl和要素Ci(i=l,...,L的各整数),即 作为基底Btl的基底矢量(ρ是规定的值)的系数设定了所述值-Stl、作为基底矢量b0,q (q是与所述P不同的规定的值)的系数设定了规定的值ζ的要素(V 针对i=l,. . . ,L的各整数i,在变量P (i)是肯定形的组(t, V')的情况下作为该组的识别信息t表示的基底Bt的基底矢量bu的系数设定了 Si+ Θ 、并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt,i,的系数设定了 Θ iVi,i,的要素Ci、在变量P (i)是否定形的组’ (t, V^i )的情况下作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数设定了 SiVu的要素Ci ; 解密密钥取得部,作为解密密钥sky与属性集合Γ 一起取得针对t=l,, d的至少I个以上的整数t而根据具有识别信息t和属性矢量x — t:= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素ki和要素k*t (t是所述属性集合Γ中包含的各整数),即 作为基底的基底矢量b\p (ρ是所述ρ)的系数设定了随机数值δ、并且作为基底矢量b\q (q是所述q)的系数设定了规定的值κ的要素kV 针对所述属性集合Γ中包含的各识别信息t,作为基底(的基底矢量b'.i,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的Xt,i,的要素k'; 补充系数计算部,根据所述数据取得部取得的加密数据c中包含的变量P (i)、和所述解密密钥取得部取得的解密密钥Sks中包含的属性集合Γ,确定i=l,, L的各整数i中的、变量P (i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组I (t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i计算在合计了 a iSi的情况下成为Stl的补充系数a i ;以及配对运算部,针对所述加密数据c中包含的要素Ctl以及要素Ct、和所述解密密钥Sks中 包含的要素ki以及要素1Λ,根据所述补充系数计算部确定的集合I、和所述补充系数计算部计算出的补充系数a i,进行式(14)所示的配对运算而计算值K=g/ κ, 式14
11.一种签名处理系统,其特征在于,具备密钥生成装置、签名装置以及验证装置,使用关于t=l,. . .,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理, 所述密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量X' = (xt,i>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ;以及 签名密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成关于所述属性集合Γ中包含的各识别信息t的要素k*t、要素k*d+2以及要素k*d+3,即 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量1/“,(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt, i,的要素k', 生成作为基底B*d+2的基底矢量b*d+2,p, (P’是规定的值)的系数设定了所述随机数值δ的要素k*d+2, 生成作为基底B*d+2的基底矢量IA+m, (q’是与所述P’不同的规定的值)的系数设定了所述随机数值δ的要素k*d+3, 所述签名装置具备 第2信息输入部,输入变量P (i)、L行r列(r是I以上的整数)的规定的矩阵M、以及消息m,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l,· · ·,d中的某一个整数)和属性矢量V' := ('r) (i’ =1,· · ·,nt,nt是I以上的整数)的肯定形的组(t,V、)或者否定形的组一· ( t,V^i )中的某一个;签名密钥取得部,作为签名密钥skr而取得所述签名密钥生成部生成的要素k*t、要素k*d+2、要素k*d+3、以及所述属性集合Γ ;补充系数计算部,根据关于i=l,...,L的各整数i的变量P (i)、和所述签名密钥取得部取得的签名密钥Skr中包含的属性集合Γ,确定i = l,... ,L的各整数i中的、变量P(i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的X'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i,根据所述第2信息输入部输入的矩阵M的第i行的要素即Mi,计算在合计了α具的情况下成为规定的矢量w —的补充系数a i ; 签名生成部,根据所述变量P (i)、所述属性集合Γ、所述补充系数计算部确定的集合I以及所述补充系数计算部计算出的补充系数a i,生成关于i=l,. . .,L的各整数i的S'、和s\,即 将β i设为在针对表示矩阵M的各行编号的各整数i而合计了 β具的情况下所有要素成为O的值, 针对表示矩阵M的各行编号的各整数i, 在i e I、变量ρ (i)是肯定形的组(t,v')的情况下,设为值Y i :=a i,将矢量y':=Cyi, ,)(1 :=1,· · ·,nt)设为y —i与V —i的内积是O、并且Yu=I的矢量, 在i el、变量ρ (i)是否定形的组,(t, V—i)的情况下,设为值Yi==Qi/(V' · X'),将矢量 y —i = Cyij , ) ( I =1,... , nt)设为 y —i 与 v —i 的内积是 I 的矢量,在并非i e I、而变量ρ (i)是肯定形的组(t,V')的情况下,设为值Yi :=0,将矢量 y —i = Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在并非ie I、而变量ρ (i)是否定形的组,(t, V^i)的情况下,设为值Yi :=0,将矢量y' = Cyi, ,)(ι :=1,...,nt)设为y'与V'的内积是I的矢量, 如式(15)所示,生成关于表示矩阵M的各行编号的各整数i的 <、和s\, 所述验证装置具备 数据取得部,取得包括所述签名生成部生成的A以及sV消息m、变量P (i)以及矩阵M的签名数据sig; 加密数据生成部,根据依据具有r个要素的矢量f'所述矢量w —以及所述数据取得部取得的矩阵M生成的列矢量S —τ = Cs1,..., sL) t =M · f —τ、值sQ :=w— · f —T、以及规定的值Θ i (i是矩阵M的各行编号和X),生成关于表示矩阵M的各行编号的各整数i的要素Ci和要素cx,即 针对表示所述矩阵M的各行编号的各整数i,在变量P (i)是肯定形的组(t,v')的情况下,作为该组的识别信息t表示的基底Bt的基底矢量bt>1的系数而设定Si+ Θ ,并且作为所述识别信息t和i’ =2,. . .,nt的各整数i’表示的基底矢量bt, i,的系数而设定eiVi,i,,从而生成要素Ci,在变量P (i)是否定形的组,(t, V—i)的情况下,作为该组的识别信息t和i’ =1,. . .,nt的各整数i’表示的基底矢量bt,i,的系数而设定SiViii,,从而生成要素Ci, 对基底Bd+2的基底矢量bd+2,p,(ρ’是所述P’ )设定S0- Θ xm,并且对基底矢量bd+2, ,,(q’是所述q’ )设定θ χ,从而生成要素cx ;以及 配对运算部,针对表示矩阵M的各行编号和X的各整数i,进行式(16)所示的配对运算,验证所述签名数据sig的合法性,式15
12.根据权利要求11所述的签名处理系统,其特征在于, 所述签名处理系统使用至少具有基底矢量Wi (i=l, ... ,4)的基底Btl、至少具有基底矢量 bui (i=l,. . . , nt,. . . , nt+ut,, nt+ut+wt,, nt+ut+wt+zt) (ut, wt, zt 是 I 以上的整数)的基底Bt (t=l,...,d)、至少具有基底矢量bd+1,i (i=l,...,4)的基底Bd+1、至少具有基底矢量bd+w (i=l,...,8)的基底Bd+2、至少具有基底矢量(i=l,...,4)的基底B*。、至少具有基底矢量 b*t, i (i=l, , nt, , nt+ut, , nt+ut+wt, , nt+ut+wt+zt)的基底 B'(t=l,...,d)、至少具有基底矢量bVu (i=l,...,4)的基底B*d+1、以及至少具有基底矢量b*d+2,i (i=l,. . .,8)的基底B*d+2来执行签名处理, 所述密钥生成装置的所述签名密钥生成部针对所述属性集合Γ中包含的各识别信息t、和^ =1,. . .,Wt的各整数^,根据随机数值δ J,q>0,ft, U (Pd 丨,I,fd+2, 2,fd+3, I,CPd+3,2,如式(17)所示,生成要素 k*Q、要素k'、要素k*d+2以及要素k*d+3, 所述签名装置还具备对所述矩阵M的第L+1行追加规定的行矢量的矩阵生成部, 所述签名装置的所述签名生成部根据要素K、要素k*t、要素k*d+2、要素k*d+3以及随机数值ξ,如式(18)所示,作为关于i=l,. . .,L+1的各整数i的A和&而生成A以及s\+2, 所述验证装置的所述加密数据生成部针对i=l,. . .,L+1的各整数i、和i ‘= 1,...,Zt的各整数i’,根据随机数值Qi, Iiia,,iu+2,2,如式(19)所示,作为要素Ci和要素Cx而生成要素Ctl以及要素Cu2, 所述配对运算部针对i=l,. . .,L+2的各整数i,进行所述配对运算, 式17
13.—种密钥生成装置,其特征在于,在使用关于t=l,...,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理的签名处理系统中,生成签名密钥skr,该密钥生成装置具备 第I信息输入部,针对t=l,. . .,d的至少I个以上的整数t,输入具有识别信息t、和属性矢量χ —t = (xtji>) (i’ =1,· · ·,nt, nt是I以上的整数)的属性集合Γ ; 签名密钥生成部,根据所述第I信息输入部输入的属性集合Γ,生成关于所述属性集合Γ中包含的各识别信息t的要素要素k*d+2以及要素k*d+3,即 针对所述属性集合Γ中包含的各识别信息t,生成作为基底B'的基底矢量(i’=l,...,nt)的系数设定了所述随机数值δ倍了的xt,,,的要素k', 生成作为基底B*d+2的基底矢量b*d+2,p,(P’是规定的值)的系数设定了所述随机数值δ的要素k*d+2, 生成作为基底B*d+2的基底矢量lA+M,(q’是与所述P’不同的规定的值)的系数设定了所述随机数值δ的要素k*d+3;以及 密钥分发部,将包括所述第I信息输入部输入的属性集合Γ、所述签名密钥生成部生成的要素k*t、要素k*d+2以及要素k*d+3的数据作为签名密钥skr分发。
14.一种签名装置,其特征在于,在使用关于t=l,...,d,d+2 (d是I以上的整数)的各整数t的基底Bt和基底B'来执行签名处理的签名处理系统中,生成签名数据sig,该签名装置具备 第2信息输入部,输入变量P (i)、L行r列(r是I以上的整数)的规定的矩阵M、以及消息m,该变量P (i)是关于i=l,...,L (L是I以上的整数)的各整数i的变量P (i),并且是识别信息t (t=l, · · · , d中的某一个整数)和属性矢量V —i := CvijiO Cif =1,,nt,nt是I以上的整数)的肯定形的组(t,V')或者否定形的组1 ( t,V —i)中的某一个;签名密钥取得部,作为签名密钥Skr,与属性集合Γ 一起取得针对t=l,. . .,d的至少I个以上的整数t而根据具有识别信息t、和属性矢量χ':= CxtaO (i’=l,...,nt,nt是I以上的整数)的所述属性集合Γ生成的要素k*t (t是所述属性集合Γ中包含的各识别信息)、要素k*d+2以及要素kV3jP 针对所述属性集合Γ中包含的各识别信息t,作为基底(的基底矢量b'.i,(i’=l,...,nt)的系数而设定了所述随机数值δ倍了的xt,,,的要素k', 作为基底B*d+2的基底矢量b*d+2,p,(ρ’是规定的值)的系数而设定了所述随机数值δ的要素k*d+2,以及 作为基底B*d+2的基底矢量lA+M,(q’是与所述P’不同的规定的值)的系数而设定了所述随机数值δ的要素k*d+3 ; 补充系数计算部,根据关于i=l,. . .,L的各整数i的变量P (i)、和所述签名密钥取得部取得的签名密钥skr中包含的属性集合Γ,确定i=l,... ,L的各整数i中的、变量P(i)是肯定形的组(t,V')并且该组的V'与该组的识别信息t表示的Γ中包含的χ'的内积成为O的i、和变量P (i)是否定形的组,(t, V—i)并且该组的V'与该组的识别信息t表示的Γ中包含的χ'的内积不成为O的i的集合I,并且针对所确定的集合I中包含的i,根据所述第2信息输入部输入的矩阵M的第i行的要素即Mi,计算在合计了α具的情况下成为规定的矢量w —的补充系数a i ; 签名生成部,根据所述变量P (i)、所述属性集合Γ、所述补充系数计算部确定的集合I、以及所述补充系数计算部计算出的补充系数a i,生成关于表示矩阵M的各行编号的各整数i的A和‘即 将β i设为在针对表示矩阵M的各行编号的各整数i合计了 β具的情况下所有要素成为O的值, 针对表示矩阵M的各行编号的各整数i, 在i e I、变量ρ (i)是肯定形的组(t,v')的情况下,设为值Y i :=a i,将矢量y':=Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在i el、变量ρ (i)是否定形的组,(t, V—i)的情况下,设为值YiFai/(V' · X'),将矢量 y —i = Cyij , ) ( I =1,... , nt)设为 y —i 与 v —i 的内积是 I 的矢量,在并非i e I、而变量ρ (i)是肯定形的组(t,V')的情况下,设为值Yi :=0,将矢量 y —i = Cyi, ,) ( I :=1,· · · nt)设为 y —i 与 V —i 的内积是 O、且 Y^1=I 的矢量, 在并非ie I、而变量ρ (i)是否定形的组I (t, V^i)的情况下,设为值Yi:=0,将矢量y' = Cyi, ,)(ι :=1,...,nt)设为y'与V'的内积是I的矢量, 如式(20)所示,生成关于表示矩阵M的各行编号的各整数i的 < 和s\ ;以及数据输出部,将包括所述第2信息输入部输入的变量P (i)、矩阵M、消息m、所述签名生成部生成的sV s*,以及s\的数据作为签名数据sig输出, 式20
全文摘要
本发明的目的在于提供一种具有大量的密码功能的安全性的函数型密码方式。通过在取值范围程序中应用属性矢量的内积,构成了访问架构。该访问架构在取值范围程序的设计、和属性矢量的设计上具有自由度,在访问控制的设计中具有很高的自由度。另外,通过对该访问架构使用秘密分散的概念,实现了具有大量的密码功能的安全性的函数型密码处理。
文档编号G09C1/00GK102859571SQ20118002099
公开日2013年1月2日 申请日期2011年2月15日 优先权日2010年4月27日
发明者高岛克幸, 冈本龙明 申请人:三菱电机株式会社, 日本电信电话株式会社
最新回复(0)