秘密分散系统、数据分散装置、分散数据变换装置、秘密分散方法、以及程序制造方法及图纸

秘密分散系统将Ramp型秘密分散的分散值变换为具有同态的秘密分散的分散值。数据分散装置由分散部将信息a通过任意的Ramp型秘密分散方式S1分散为N个分散值fa(n)。分散数据变换装置由随机数选择部生成以L个随机数ri,l作为元素的随机数向量ri。第一随机数分散部将随机数向量ri通过Ramp型秘密分散方式S1分散为N个分散值fri(n)。第二随机数分散部将L个随机数ri,l通过任意的秘密分散方式S2分别分散为N个分散值gri,l(n)。干扰部利用分散值fa(i)和分散值frλ(i)生成分散值Ui。恢复部根据分散值Uλ通过Ramp型秘密分散方式S1恢复L个干扰信息cl。再分散部将干扰信息cl通过秘密分散方式S2分别分散为N个而生成分散值gcl(n)。变换部利用分散值gcl(i)和分散值grλ,l(i)生成信息a的分散值gal(i)。

【技术实现步骤摘要】
【国外来华专利技术】秘密分散系统、数据分散装置、分散数据变换装置、以及秘密分散方法
本专利技术涉及Ramp型秘密分散技术以及多方计算技术。
技术介绍
秘密分散是将数据变换为多个分散值，如果利用一定个数以上的分散值就能够恢复原来的数据，根据少于一定个数的分散值则完全无法恢复原来的数据的技术。在将分散值的总数设为N，将恢复所需的分散值的最小数设为K(≤N)时，存在对N、K的值没有限制的方式和有限制的方式。作为秘密分散的代表性方式，有Shamir秘密分散方式(例如，参照非专利文献1)。在该方式的例子中，将p设为质数，将GF(p)设为位数p的有限域，根据针对a∈GF(p)成为f(0)＝a的、以x作为变量的K-1次方程式f(x)，获得a的分散值Si(a)＝f(i)(i＝1，...，N)。将n1、......、nK设为1以上N以下的相互不同的整数，以下的关系成立，因此能够根据任意的不同的K个分散值恢复a。【数1】此外，作为秘密分散的一种、有针对小于Kの整数L，根据K-L个以下的分散值完全无法恢复原来的数据的Ramp型秘密分散方式(例如，参照非专利文献2)。在该方式的例子中，根据由信息a＝(a0，a1，...，aL-1)(a0，a1，...，aL-1∈GF(p))以及随机数rL、......、rK-1∈GF(p)决定的、以x作为变量的K-1次方程式f(x)＝a0+a1x+...+aL-1xL-1+rLxL+...+rK-1xK-1，获得a的分散值Ti(a)＝f(i)(i＝1，...，N)。则，将n1、......、nK设为1以上N以下的互相不同的整数，能够根据式f(x)的K个点(ni，f(ni))(i＝1，...，K)唯一地求出式f(x)的系数a0、a1、......、aL-1。这只要针对以a0、a1、......、aL-1、rL、......、rK-1作为变量的以下的矩阵求出a0、a1、......、aL-1的解即可。【数2】另一方面，提出了以秘密分散作为主要技术的多方计算方式。多方计算是各计算主体i(i＝1，...，N)分别以信息ai作为输入，对其他的计算主体不透漏信息ai，获得特定的函数值Fi(a1，...，aN)的技术。在上述的Shamir秘密分散方式中，根据信息a，b∈GF(p)的分散值Si(a)、Si(b)，不透漏各计算主体的输入，能够获得a+b的分散值Si(a+b)以及ab的分散值Si(ab)(参照非专利文献3)。即，只要是Shamir秘密分散方式，能够利用加法以及乘法的多方计算。另外，将满足Si(a)+Si(b)＝Si(a+b)的关系的秘密分散称为具有加法同态的秘密分散。此外，作为秘密分散的一种，有线性秘密分散方式。线性秘密分散方式被定义为针对原来的数据a∈GF(p)，所有的分散值均能够通过a∈GF(p)以及GF(p)上的随机数的线性组合来表现的秘密分散。已知能够将任意的线性秘密分散方式扩展到多方计算上(参照非专利文献4)。现有技术文献非专利文献非专利文献1：A.Shamir，“Howtoshareasecret.”，Commun.ACM22(11)，pp.612-613，1979.非专利文献2：山本博资，“秘密分散法とそのバリエ一ション(秘密分散法及其变化)”，数理解析研究所講究録1361卷，19-31，2004年.非专利文献3：M.Ben-Or，S.Goldwasser，andA.Wigderson，“Completenesstheoremsfornon-cryptographicfault-tolerantdistributedcomputation(extendedabstract)”，STOC1988，pp.1-10，1988.非专利文献4：R.Cramer，I.Damgard，andU.Maurer，“GeneralSecureMulti-PartyComputationfromanyLinearSecret-SharingScheme”，Eurocrypto2000，pp.316-334，2000.
技术实现思路
专利技术要解决的课题Shamir秘密分散方式中，如果将信息a及其各分散值的数据量设为一定，则分散值的总数据量成为各信息a的数据量的大致N倍。恢复所需的分散值的总数据量成为各信息a的数据量的大致K倍。分散值的数据量随着通信时间和保存数据的增大而增大，因此期望尽量抑制分散值的数据量。在Ramp型秘密分散方式中，若设为a+b：＝(a0+b0，a1+b1，...，aL-1+bL-1)，则成为Ti(a)+Ti(b)＝Ti(a+b)，能够进行加法的多方计算。但是，在Ramp型秘密分散方式中，Ti(a)Ti(b)一般不会成为ab：＝(a0b0，a1b1，...，aL-1bL-1)的分散值，认为乘法的多方计算的方法并非是明显的。本专利技术鉴于这一点而完成，其目的在于提供能够利用基于Ramp型秘密分散方式的分散值进行多方计算的秘密分散技术。用于解决课题的手段为了解决上述课题，本专利技术的秘密分散系统包括数据分散装置与N台分散数据变换装置。在本专利技术中，设N、K、L是2以上的整数，且N≥K＞L、n＝1，...，N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环。数据分散装置包括分散部。分散部将信息a＝(a1，...，aL)∈RL通过任意的具有同态的Ramp型秘密分散方式S1分散为N个分散值fa(n)。分散数据变换装置包括随机数选择部、第一随机数分散部、第二随机数分散部、干扰部、恢复部、再分散部、以及变换部。随机数选择部生成以L个随机数ri，1、......、ri，L∈R作为元素的随机数向量ri＝(ri，1，...，ri，L)。第一随机数分散部将随机数向量ri通过任意的具有同态的Ramp型秘密分散方式S1分散为N个分散值fri(n)。第二随机数分散部将随机数ri，1、......、ri，L通过任意的具有同态的秘密分散方式S2分别分散为N个分散值gri，1(n)、......、gri，L(n)。干扰部利用在分散值fa(n)中包含的分散值fa(i)和K个分散值frλ(i)生成分散值Ui。恢复部根据K个分散值Uλ通过任意的具有同态的Ramp型秘密分散方式S1恢复L个干扰信息c1、......、cL。再分散部将干扰信息c1、......、cL通过任意的具有同态的秘密分散方式S2分别分散为N个而生成分散值gc1(n)、......、gcL(n)。变换部利用在分散值gc1(n)、......、gcL(n)中包含的L个分散值gc1(i)、......、gcL(i)和L×K个分散值grλ，1(i)、......、grλ，L(i)生成信息a的分散值ga1(i)、......、gaL(i)。专利技术效果根据本专利技术的秘密分散技术，能够将基于任意的具有同态的Ramp型秘密分散方式的分散值变换为基于任意的具有同态的秘密分散方式的分散值。例如，Shamir秘密分散方式等现有的多数线性秘密分散方式是具有同态的秘密分散方式，利用基于Shamir秘密分散方式等现有的线性秘密分散方式的分散值进行多方计算的方法是已知的。因此，作为具有准同型性的秘密分散方式而选择Shamir秘密分散方式等现有的线性秘密分散方式，从而能够利用基本文档来自技高网...

【技术保护点】
一种秘密分散系统，包括数据分散装置和N台分散数据变换装置，N、K、L是2以上的整数，且N≧K＞L，n＝1,…,N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，fx(n)是x的N个分散值，R是环，所述数据分散装置包括：分散部，将信息a＝(a1,…,aL)∈RL通过任意的具有同态的Ramp型秘密分散方式S1分散为N个分散值fa(n)，所述分散数据变换装置包括：随机数选择部，生成以L个随机数ri,1、……、ri,L∈R作为元素的随机数向量ri＝(ri,1，……，ri,L)；第一随机数分散部，将所述随机数向量ri通过所述Ramp型秘密分散方式S1分散为N个分散值fri(n)；第二随机数分散部，将所述随机数ri,1、……、ri,L通过任意的具有同态的秘密分散方式S2分别分散为N个分散值gri,1(n)、……、gri,L(n)；干扰部，利用在所述分散值fa(n)中包含的分散值fa(i)和K个分散值frλ(i)生成分散值Ui；恢复部，根据K个分散值Uλ通过所述Ramp型秘密分散方式S1恢复L个干扰信息c1、……、cL；再分散部，将所述干扰信息c1、……、cL通过所述秘密分散方式S2分别分散为N个而生成分散值gc1(n)、……、gcL(n)；以及变换部，利用在所述分散值gc1(n)、……、gcL(n)中包含的L个分散值gc1(i)、……、gcL(i)和L×K个分散值grλ,1(i)、……、grλ,L(i)生成所述信息a的分散值ga1(i)、……、gaL(i)。...

【技术特征摘要】
【国外来华专利技术】2012.07.05 JP 2012-1511391.一种秘密分散系统，包括数据分散装置和N台分散数据变换装置，N、K、L是2以上的整数，且N≥K＞L，n＝1，...，N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，x表示任意的信息，fx(n)表示信息x的N个分散值，R是环，a1，...，aL是环R上的值，所述数据分散装置包括：分散部，将信息a＝(a1，...，aL)∈RL通过任意的具有同态的Ramp型秘密分散方式S1分散为N个分散值fa(n)，所述分散数据变换装置包括：随机数选择部，从环R随机地选择L个随机数ri，1、......、ri，L，生成随机数向量ri＝(ri，1，......，ri，L)；第一随机数分散部，将所述随机数向量ri通过所述Ramp型秘密分散方式S1分散为N个分散值fri(n)；第二随机数分散部，将所述随机数ri，1、......、ri，L通过任意的具有同态的秘密分散方式S2分别分散为N个分散值gri，1(n)、......、gri，L(n)；干扰部，利用在所述分散值fa(n)中包含的分散值fa(i)和K个分散值frλ(i)生成分散值Ui；恢复部，根据K个分散值Uλ通过所述Ramp型秘密分散方式S1恢复L个干扰信息c1、......、cL；再分散部，将所述干扰信息c1、......、cL通过所述秘密分散方式S2分别分散为N个而生成分散值gc1(n)、......、gcL(n)；以及变换部，利用在所述分散值gc1(n)、......、gcL(n)中包含的L个分散值gc1(i)、......、gcL(i)和L×K个分散值grλ，1(i)、......、grλ，L(i)生成所述信息a的分散值ga1(i)、......、gaL(i)。2.如权利要求1所述的秘密分散系统，其中，所述干扰部对所述分散值fa(i)加上所述分散值frλ(i)的总和而生成所述分散值Ui，所述变换部针对j＝1，...，L，从所述分散值gcj(i)减去所述分散值grλ，j(i)的总和而生成所述分散值gaj(i)。3.如权利要求1或2所述的秘密分散系统，其中，所述秘密分散方式S2是Shamir秘密分散方式。4.一种分散数据变换装置，其中，N、K、L是2以上的整数，且N≥K＞L，n＝1，...，N，λ是互异的1以上且N以下的K个整数，i是i∈λ的整数，x表示任意的信息，fx(n)表示信息x的N个分散值，R是环，a1，...，aL是环R上的值，所述分散数据变换装置包括：随机数选择部，从环R随机地选择L个随机数ri，1、......、ri，L，生成随机数向量ri＝(ri，1，...，ri，L)；第一随机数分散部，将所述随机数向量ri通过任意的具有同态的Ramp型秘密分散方式S1分散为N个分散值fri(n...

【专利技术属性】
技术研发人员：千田浩司，五十岚大，滨田浩气，菊池亮，
申请(专利权)人：日本电信电话株式会社，
类型：发明
国别省市：日本;JP