Deprecated: The each() function is deprecated. This message will be suppressed on further calls in /home/zhenxiangba/zhenxiangba.com/public_html/phproxy-improved-master/index.php on line 456
JP6466812B2 - Name identification system, apparatus, method and program - Google Patents
[go: Go Back, main page]

JP6466812B2 - Name identification system, apparatus, method and program - Google Patents

Name identification system, apparatus, method and program Download PDF

Info

Publication number
JP6466812B2
JP6466812B2 JP2015202116A JP2015202116A JP6466812B2 JP 6466812 B2 JP6466812 B2 JP 6466812B2 JP 2015202116 A JP2015202116 A JP 2015202116A JP 2015202116 A JP2015202116 A JP 2015202116A JP 6466812 B2 JP6466812 B2 JP 6466812B2
Authority
JP
Japan
Prior art keywords
name identification
attribute
disturbance
attribute value
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015202116A
Other languages
Japanese (ja)
Other versions
JP2017075994A (en
Inventor
亮 菊池
亮 菊池
大 五十嵐
大 五十嵐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2015202116A priority Critical patent/JP6466812B2/en
Publication of JP2017075994A publication Critical patent/JP2017075994A/en
Application granted granted Critical
Publication of JP6466812B2 publication Critical patent/JP6466812B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

この発明は、異なる複数の主体が有するテーブルを名寄せする技術に関する。   The present invention relates to a technique for naming tables owned by a plurality of different subjects.

まず、本技術が想定するモデルについて説明する。n人のパーティP0,・・・,Pn−1が互いにテーブルτ0,・・・,τn-1を持っており、それぞれのテーブルは同じIDであるr∈Rを持つが、あるパーティのテーブルには年齢、ある異なるパーティのテーブルには年収など、テーブル毎に属性が異なる。 First, a model assumed by the present technology will be described. n parties P 0 , ..., P n-1 have tables τ 0 , ..., τ n-1 with each other, each table has the same ID r∈R, but Each table has different attributes, such as age for a party table and annual income for a table at a different party.

このようなテーブルを、互いに不必要な情報はできるだけ与えず、結合することを考える。そうすることで、年齢と年収の相関などといった分析が可能になる。   Consider joining such tables without giving unnecessary information to each other as much as possible. By doing so, analysis such as correlation between age and annual income becomes possible.

なお、本資料での説明では簡単のため、結合したテーブルを得るパーティをP0とするが、結合したテーブルを得るパーティはP0以外のどのパーティでも良い。 For the sake of simplicity, the description in this document, a party to obtain a bound table, but the P 0, parties to obtain a bound table may be any party other than P 0.

例えば以下の1.から3.により、P0が結合したテーブルを得ることができる。 For example, a table in which P 0 is joined can be obtained by the following 1. to 3.

1.決定的な(同じ値を暗号化した場合、同じ暗号文になる)暗号を用いて、ID及びテーブルを、P0のみが復号できるように暗号化し、P0に送る。
2.P0は暗号化されたIDを見て、同じ値のレコードを結合させる。
3.P0は全ての値を復号する。
1. Using deterministic encryption (if the same value is encrypted, the same ciphertext is used), the ID and table are encrypted so that only P 0 can be decrypted, and sent to P 0 .
2.P 0 sees the encrypted ID and combines records with the same value.
3. P 0 decodes all values.

しかしながら、P0は元々持っていたテーブルと突き合わせることによって、元々のテーブルのある個人Iと、結合したテーブルの個人Iを突き合わせることができる。すると、相関関係のような分析には本来不必要な個人に関する情報が、P0に渡ってしまう。例えば、「年齢が30歳の時に年収がぐっと上がる」という分析結果を得るために、P0は「Iさんは30歳になっても全然年収が上がっていない」といった情報を得てしまっており、プライバシーの問題が生じる可能性がある。 However, by matching P 0 with the original table, it is possible to match the individual I with the original table with the individual I with the combined table. Then, information about an individual that is essentially unnecessary for analysis such as correlation is passed to P 0 . For example, in order to obtain an analysis result that “when the age is 30 years old, the annual income rises a lot”, P 0 has obtained information such as “Mr. I does not increase the annual income even at the age of 30” , Privacy issues may arise.

この発明の目的は、復元する主体に対しプライバシーを保護することができる名寄せシステム、装置、方法及びプログラムを提供することである。   An object of the present invention is to provide a name identification system, apparatus, method, and program capable of protecting privacy for a subject to be restored.

この発明の一態様による名寄せシステムは、nを1以上の所定の整数として、自身が有するテーブルの各属性値を第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより自身が有するテーブルを暗号化する暗号部を含む第0装置から第n−1装置を備えている名寄せシステムにおいて、n−1装置は、第0装置からn−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、第0装置が有するテーブルの属性の集合A0として、名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては第0装置のみが復号できるように再乱数化することにより名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して上記第0装置のみが復号できるように暗号化した値で置換を行う撹乱部と、撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替部を更に備えており、第0装置は、並替後テーブルの各属性値を復号する復号部を更に備えている。 In the name identification system according to one aspect of the present invention, n is a predetermined integer equal to or greater than 1, and only the random number is changed without changing the contents of the ciphertext so that only the 0th device can decrypt each attribute value of the table of itself. In the name collation system including the 0th device to the (n-1) th device including the encryption unit that encrypts a table of itself by encrypting using a public key encryption capable of re -randomization, the n-1 device Is the name identification table, which is a table obtained by encrypting the tables encrypted by the n-1 apparatus from the 0th apparatus, and the attribute value of each attribute a∈A 0 of the name identification table as a set A 0 of the attributes of the table possessed by the 0th apparatus. determining whether to maintain like regular maintenance substituted disturbance in accordance with a predetermined parameter [rho a relative, for the determined attribute value to maintain be re randomized to only the 0 device can decrypt A disturbance unit that generates a random number for an attribute value determined not to be maintained and replaces the random number with an encrypted value so that only the 0th device can decrypt the random number. And a rearrangement unit that creates a rearranged table by rearranging the records in the name identification table after the disturbance, and the zeroth device further includes a decoding unit that decodes each attribute value of the rearranged table. I have.

この発明の一態様による名寄せ装置は、第0装置から第n−1装置は、nを1以上の所定の整数として、自身が有するテーブルの各属性値を第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより自身が有するテーブルを暗号化する暗号部を含むとして、第0装置からn−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、第0装置が有するテーブルの属性の集合A0として、名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては第0装置のみが復号できるように再乱数化することにより名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して第0装置のみが復号できるように暗号化した値で置換を行う撹乱部と、撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替部を更に含む第n−1装置である。 In the name identification device according to one aspect of the present invention, the 0th device to the (n-1) th device encrypt each n so that only the 0th device can decrypt each attribute value of the table, with n being a predetermined integer of 1 or more. From the 0th device to the (n-1) -th device, including an encryption unit that encrypts a table that it has by encrypting it using public key cryptography that can be re-randomized to change only the random number without changing the content of the sentence The table identified by the name of the encrypted table is referred to as a name identification table, and the attribute value of each attribute a∈A 0 of the name identification table is normally set in accordance with a predetermined parameter ρ a as the attribute set A 0 of the table of the 0th device. maintaining determine whether to maintain the same manner as substituted disturbance, for determining attribute values to maintain performs disturbance name identification table by re randomized so that only the zeroth device can decrypt, Wei A random number is generated for the attribute value determined to be not used, and a disturbance unit that replaces the random number with an encrypted value so that only the 0th device can decrypt the random value, and a record of the name identification table after the disturbance are arranged. It is the n-1th apparatus which further contains the rearrangement part which produces the table after rearrangement by changing.

復元する主体に対しプライバシーを保護することができる。   Privacy can be protected for the subject to restore.

名寄せ装置の例を説明するためのブロック図。The block diagram for demonstrating the example of a name collation apparatus. 名寄せ方法の例を説明するための流れ図。The flowchart for demonstrating the example of a name collation method. 名寄せプロトコルの例を示す図。The figure which shows the example of a name collation protocol.

まず、この発明の基礎となる事柄を説明する。   First, the matter which becomes the basis of this invention is demonstrated.

[記法]
abs(x)はxの絶対値を指し、集合Aに対し|A|は集合の要素数を表し、gは群を意味する。またx←Bは、Bが集合ならばBから一様ランダムに要素を選びxに代入することを指し、BがアルゴリズムならばBの出力をxに代入することを指す。
[notation]
abs (x) indicates the absolute value of x. For set A, | A | represents the number of elements in the set, and g represents a group. X ← B indicates that if B is a set, an element is selected at random from B and assigned to x, and if B is an algorithm, the output of B is assigned to x.

[データ形式と記法]
匿名化前後のデータは、各行が一個人のデータを表し(これをレコードと呼ぶ)、各列には属性と呼ばれる年齢、年収等の値が入力されているようなテーブルであるとする。
[Data format and notation]
The data before and after anonymization is a table in which each row represents one person's data (this is called a record), and values such as age and annual income called attributes are entered in each column.

テーブルに対する匿名化を形式的に議論するための定義を与える。   Gives definitions for formal discussion of anonymization for tables.

・Τ,τ:匿名化前のテーブルの確率変数及びそのインスタンス
・Τ’,τ’:匿名化テーブルの確率変数及びそのインスタンス
・R,R’:匿名化前/後のテーブルのレコード集合
・A,A’:匿名化前/後の属性の集合
・Va,V a’:匿名化前/後の属性a∈Aの取りうる属性値の集合
・V,V’:匿名化前/後のレコードが取りうる属性値の組み合わせの集合。すなわちΠで直積を表すとV=Πa∈AVaである。
・va:あるレコードの属性a∈Aの属性値のインスタンス。
・Δ,δ:プライバシー保護処理の確率変数及びそのインスタンス
・fX:確率変数Xに関する確率密度関数
・Π,π:R→R’であるようなランダム置換の確率変数及びそのインスタンス
τ,τ’,δはそれぞれτ:R→V,τ’:R’→V’,δ:(R→V)→(R→V’)であるような関数であり、π,δ,τ,τ’の間にはδ(τ)=τ’・πが成り立つ。また、τ(r)(a)をτ’(r’)(a’)をそれぞれレコードrの属性aの属性値、レコードr’の属性a’の属性値とする。
・ Τ, τ: Random variable of table before anonymization and its instance ・ Τ ', τ': Random variable of anonymization table and its instance ・ R, R ': Record set of table before / after anonymization ・ A , A ': Set of attributes before / after anonymizationV a , V a ': Set of possible attribute values of attribute a∈A before / after anonymizationV, V ': Before / after anonymization A set of attribute value combinations that a record can take. In other words, V = Π a∈A V a when the direct product is expressed by Π.
V a : an instance of an attribute value of attribute a∈A of a record.
・ Δ, δ: Random variables for privacy protection and their instances ・ f X : Probability density function for random variables X ・ Random substitution random variables such as Π, π: R → R ′ and their instances τ, τ ′ , δ are functions such as τ: R → V, τ ′: R ′ → V ′, δ: (R → V) → (R → V ′), and π, δ, τ, τ ′ In the meantime, δ (τ) = τ ′ · π holds. Also, let τ (r) (a) be τ ′ (r ′) (a ′) as the attribute value of attribute a of record r, and attribute value of attribute a ′ of record r ′.

[Pk-匿名性]
Pk-匿名性は、参考文献1,2で提案されたプライバシー保護指標である。あるτ’,r∈R,r’∈R,Δ(Τ)=Τ’・Πについて、Pr[Π(r)=r’|Τ’=τ’]を攻撃成功の確率とし、Pk-匿名性は以下のように定義される。
[Pk-anonymity]
Pk-anonymity is a privacy protection index proposed in References 1 and 2. For a certain τ ', r∈R, r'∈R, Δ (Τ) = Τ' ・ Π, Pr [Π (r) = r '| Τ' = τ '] is the probability of successful attack, and Pk-anonymous Sex is defined as:

〔参考文献1〕Dai Ikarashi, Ryo Kikuchi, Koji Chida, and Katsumi Takahashi, "k-anonymous microdata release via post randomisation method", In IWSEC 2015 (to appear), 2015.   [Reference 1] Dai Ikarashi, Ryo Kikuchi, Koji Chida, and Katsumi Takahashi, "k-anonymous microdata release via post randomisation method", In IWSEC 2015 (to appear), 2015.

〔参考文献2〕五十嵐大, 千田浩司, 高橋克巳, "k-匿名性の確率的指標への拡張とその適用例", In CSS, 2009.
実数k≧1について、あるプライバシー保護処理Δと匿名化テーブルτ’が、背景知識fΤを持つ攻撃者、任意のテーブルΤ、レコードr∈R、レコードr’∈R’について、
[Reference 2] University of Igarashi, Koji Senda, Katsumi Takahashi, "Expansion of k-anonymity to probabilistic index and its application examples", In CSS, 2009.
For real k ≧ 1, 'is, an attacker with a background knowledge f Τ, any table Τ, record r∈R, record r'∈R' some privacy protection process Δ and anonymous table τ for,

Figure 0006466812
Figure 0006466812

であるならば、(Δ,τ’)は背景知識fΤを持つ攻撃者に対してPk-匿名性を満たすという。 Then, (Δ, τ ′) satisfies Pk-anonymity for an attacker with background knowledge f Τ .

なお、この定義は参考文献1の定義から、弱い背景知識を持つ攻撃者も想定できるように拡張した定義となっている。   This definition is extended from the definition in Reference 1 so that an attacker with weak background knowledge can also be assumed.

[Pk-匿名化]
Pk-匿名化とは、Pk-匿名性を満たすための処理であり、ここではカテゴリ属性に対する維持置換撹乱(例えば、参考文献1,3を参照)を扱う。
[Pk-anonymization]
Pk-anonymization is a process for satisfying Pk-anonymity, and here, maintenance substitution disturbance (for example, see references 1 and 3) for a category attribute is handled.

〔参考文献3〕Rakesh Agrawal, Ramakrishnan Srikant, and Dilys Thomas, "Privacy preserving OLAP", In SIGMOD Conference, pp. 251-262, 2005.   [Reference 3] Rakesh Agrawal, Ramakrishnan Srikant, and Dilys Thomas, "Privacy preserving OLAP", In SIGMOD Conference, pp. 251-262, 2005.

Pk-匿名化の一種として、属性値を一定の確率で維持し、それ以外ではランダムな値に置換する手法を維持置換撹乱と呼ぶ。   As a kind of Pk-anonymization, the method of maintaining attribute values with a certain probability and replacing them with random values is called maintenance replacement disturbance.

遷移確率行列Aを、A(a)は属性aの値が匿名化によってどのように変化するかを表した|Va|×|V’a|の行列とする。A(a)の各要素 The transition probability matrix A, A (a) the value of the attribute a representation how changed by anonymous | a matrix | V a | × | V 'a. Each element of A (a)

Figure 0006466812
Figure 0006466812

は、匿名化によって属性値vaがv’aに遷移する確率となっている。維持置換撹乱とは、任意のa∈A,va∈Va,0≦ρa≦1について、 Is the probability that the attribute value v a transitions to v ′ a due to anonymization. Maintenance substitution disturbance is any a∈A, v a ∈V a , 0 ≦ ρ a ≦ 1,

Figure 0006466812
Figure 0006466812

を満たすものである。遷移確率行列Aとは、Πをクロネッカー積としたときA=Πa∈AA(a)である。このとき、Av,v’は、 It satisfies. The transition probability matrix A is A = Π a∈A A (a) where Π is the Kronecker product. At this time, A v, v ′ is

Figure 0006466812
Figure 0006466812

と同様に、レコードの属性値がvのとき、匿名化によって属性値がv’に変わる確率となっている。 Similarly, when the attribute value of the record is v, there is a probability that the attribute value will change to v ′ by anonymization.

維持置換撹乱は、   Maintenance replacement disturbance is

Figure 0006466812
Figure 0006466812

としたとき、 When

Figure 0006466812
Figure 0006466812

とすることで、Pk-匿名性を満たせることが知られている。 By doing so, it is known that Pk-anonymity can be satisfied.

[P(c,L)-多様性]
個人識別リスク以外にも、他の代表的なプライバシーリスクとして、属性推定リスクが知られている。
[P (c, L) -diversity]
In addition to personal identification risk, attribute estimation risk is known as another typical privacy risk.

識別リスクに加えて属性推定リスクを考慮する場合は、P(c,L)-多様性を利用することで、属性推定リスクを低減することができる。詳細な説明は参考文献4を参照のこと。   When considering attribute estimation risk in addition to identification risk, attribute estimation risk can be reduced by using P (c, L) -diversity. See Reference 4 for a detailed explanation.

〔参考文献4〕五十嵐大, 千田浩司, 高橋克巳, "Pl-多様性: 属性推定に対する再構築法のプライバシーの定量化", In CSS, 2010.   [Reference 4] University of Igarashi, Koji Senda, Katsumi Takahashi, "Pl-diversity: Quantifying privacy of reconstruction methods for attribute estimation", In CSS, 2010.

攻撃者が推定しようとしている属性をターゲット属性V*と呼ぶとき、全てのターゲット属性以外の属性値とターゲット属性単独の分布が既知であり、攻撃対象の個人のターゲット属性の値が、L-2個以内の属性値について確率がεより低いという背景知識持っている攻撃者に対して、攻撃対象の個人のターゲット属性値の推定確率について、 When an attribute that an attacker is trying to estimate is called a target attribute V * , the distribution of attribute values other than all target attributes and the target attribute alone is known, and the target attribute value of the individual subject to attack is L-2 For an attacker who has a background knowledge that the probability is less than ε for the attribute value within the number, about the estimated probability of the target attribute value of the individual to be attacked,

Figure 0006466812
Figure 0006466812

が成り立つとき、P(c,L)-多様性を持つという。維持置換撹乱において、ΩΣをターゲット属性の母集団の分布とし、ΩΣがP(c,L)-多様性を満たしているとき、維持置換撹乱において It holds that P (c, L) -diversity when In sustain substitution disturbance, when Ω Σ is the distribution of the target attribute population and Ω Σ satisfies P (c, L) -diversity,

Figure 0006466812
Figure 0006466812

とすればP(c’,L)-多様性を満たす。 Then P (c ′, L) -diversity is satisfied.

[再乱数化可能な公開鍵暗号]
暗号文の中身を変えず、乱数を変えることができるような公開鍵暗号を再乱数化可能な公開鍵暗号と呼ぶことにする。なお、準同型性を持てば再乱数化可能である。また、パラメータparamsはSetup以外のアルゴリズム全てに必要なため省略する。
[Re-randomized public key cryptography]
A public key cipher that can change the random number without changing the contents of the ciphertext is called a public key cipher that can be re-randomized. If it has homomorphism, it can be re-randomized. The parameter params is omitted because it is necessary for all algorithms other than Setup.

・Setup(1λ):セキュリティパラメータ1λを入力として、パラメータparamsを出力する。
・KGen():paramsを入力として、公開鍵と秘密鍵のペア(pk,sk)を出力する。
・Enc(pk,m)pkとメッセージmを入力として、暗号文cを出力する。
・Dec(sk,c)skと暗号文cを入力として、mを出力する。
・ReRand(pk,c)pkとcを入力として、再乱数化された暗号文c’を出力する。
Setup (1 λ ): Security parameter 1 λ is input and parameter params is output.
・ KGen (): params is input, and a public / private key pair (pk, sk) is output.
• Enc (pk, m) pk and message m are input and ciphertext c is output.
-Dec (sk, c) sk and ciphertext c are input and m is output.
ReRand (pk, c) Using pk and c as inputs, re-randomized ciphertext c ′ is output.

正当性として、任意のparams←Setup(1λ)、任意の(pk,sk)←KGen(params)についてm=Dec(sk,ReRand(pk,Enc(pk,m)))かつm=Dec(sk,Enc(pk,m))が成り立つ。 As correctness, m = Dec (sk, ReRand (pk, Enc (pk, m))) and m = Dec (for any params ← Setup (1 λ ), any (pk, sk) ← KGen (params) sk, Enc (pk, m)) holds.

ここでは、再乱数化可能な公開鍵暗号はIND-CPA安全性を持つと仮定する。すなわち、任意の多項式時間で動くチューリング機械Aに対し、   Here, it is assumed that public key cryptography that can be re-randomized has IND-CPA security. That is, for Turing machine A that moves in arbitrary polynomial time,

Figure 0006466812
Figure 0006466812

が成り立つ。 Holds.

具体的には準同型性を持つ暗号が挙げられる。ElGamal暗号やPaillier暗号などである。   Specifically, ciphers with homomorphism can be mentioned. ElGamal encryption and Paillier encryption.

[名寄せシステム、装置及び方法]
以下、図面を参照して、名寄せシステム、装置及び方法の一実施形態について説明する。名寄せシステムは、図1に示すように、第0装置、第1装置、・・・、第n−1装置を例えば備えている。第0装置、第1装置、・・・、第n−1装置のそれぞれが名寄せ装置である。第0装置は、暗号部2及び復号部5を例えば備えている。第1装置から第n−2装置は、維持置換撹乱部1及び暗号部2を例えば備えている。第n−1装置は、維持置換撹乱部1、暗号部2、撹乱部3及び並替部4を例えば備えている。名寄せ装置の各部が、図2の各ステップの処理を行うことにより、名寄せ方法が実現される。
[Name identification system, apparatus and method]
Hereinafter, an embodiment of a name identification system, apparatus, and method will be described with reference to the drawings. As shown in FIG. 1, the name identification system includes, for example, a 0th device, a first device,. Each of the 0th device, the 1st device,..., The n−1th device is a name identification device. The 0th device includes an encryption unit 2 and a decryption unit 5, for example. The first to n-2th devices include, for example, the maintenance replacement disturbance unit 1 and the encryption unit 2. The n-1th apparatus is provided with the maintenance replacement disturbance part 1, the encryption part 2, the disturbance part 3, and the rearrangement part 4, for example. Each part of the name collation apparatus performs the process of each step in FIG. 2 to realize the name collation method.

nを1以上の所定の整数として、第0装置から第n−1装置はそれぞれパーティP0,・・・,Pn−1である。P0,・・・,Pn−1はそれぞれτ0,・・・,τn−1を有している。τiはA=∪i<nAiであるようなAiを属性として持ち、 n as 1 or more predetermined integer, the 0th unit (n-1) th device each party P 0, · · ·, a P n-1. P 0, ···, P n- 1 , respectively τ 0, ···, have τ n-1. τ i has A i as an attribute such that A = ∪ i <n A i ,

Figure 0006466812
Figure 0006466812

としたときτi:R→Viとする。ここで、Rはiによらず一定であるということは、あるIDとなる属性が存在し、その属性値がどのテーブルでも同一だということである。なお、P0は再乱数化可能な公開鍵暗号の鍵生成をあらかじめ行い、公開鍵は配布済であるとする。
このとき、名寄せプロトコルの例は、図3に示される。
Τ i : R → V i . Here, the fact that R is constant regardless of i means that an attribute with a certain ID exists and the attribute value is the same in any table. Note that it is assumed that P 0 performs key generation for public key cryptography that can be re-randomized in advance, and the public key has been distributed.
At this time, an example of the name identification protocol is shown in FIG.

<ステップS1>
第1装置から第n−1装置のそれぞれは、自身が有するテーブルの各レコードの各属性aの属性値に対して所定のパラメータρaに従い維持置換撹乱を行う(ステップS1)。この処理は、第1装置から第n−1装置のそれぞれに備えられた維持置換撹乱部1により行われる。維持置換撹乱後の属性値は、暗号部2に出力される。
<Step S1>
Each of the first device to the (n−1) -th device performs the maintenance replacement disturbance on the attribute value of each attribute “a” of each record of its own table according to a predetermined parameter ρ a (step S1). This process is performed by the maintenance replacement disturbing unit 1 provided in each of the first to n-1th devices. The attribute value after the maintenance replacement disturbance is output to the encryption unit 2.

ステップS1の処理は、図3の名寄せプロトコルの「1:」から「6:」に対応している。   The processing in step S1 corresponds to “1:” to “6:” of the name identification protocol in FIG.

<ステップS2>
第0装置から第n−1装置のそれぞれは、維持置換撹乱後の属性値を第0装置のみが復号できるように暗号化することにより自身が有するテーブルを暗号化する(ステップS2)。この処理は、第1装置から第n−1装置のそれぞれに備えられた暗号部2により行われる。暗号化は、例えば、第0装置の、再乱数化可能な公開鍵暗号方式における公開鍵を用いて行われる。暗号化されたテーブルは、第n−1装置に出力される。
<Step S2>
Each of the 0th device to the (n-1) th device encrypts its own table by encrypting the attribute value after the maintenance replacement disturbance so that only the 0th device can decrypt it (step S2). This process is performed by the encryption unit 2 provided in each of the first device to the (n-1) th device. The encryption is performed using, for example, a public key in a public key cryptosystem that can be re-randomized by the 0th apparatus. The encrypted table is output to the (n-1) th apparatus.

ステップS2の処理は、図3の名寄せプロトコルの「7:」から「9:」に対応している。   The processing in step S2 corresponds to “7:” to “9:” of the name identification protocol in FIG.

<ステップS3>
第n−1装置は、第0装置からn−1装置が暗号化したテーブルを名寄せする。この名寄せしたテーブルを「名寄せテーブル」とする。
<Step S3>
The (n-1) th device names the tables encrypted by the n-1th device from the 0th device. This name-matched table is referred to as “name-matching table”.

第n−1装置の撹乱部3は、第0装置が有するテーブルの属性の集合A0として、名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては第0装置のみが復号できるように再暗号化することにより名寄せテーブルの撹乱を行う(ステップS3)。置換を行う場合には、例えば図3の名寄せプロトコルの「14:」「15:」のように、乱数を生成し、その乱数に対して第0装置のみが復号できるように暗号化した値で置換を行う。撹乱後の名寄せテーブルは、並替部4に出力される。 Disturbance portion 3 of the n-1 device, as a set A 0 of the attribute tables 0th device has a normal maintenance replacement in accordance with predetermined parameters [rho a relative attribute values for each attribute A∈A 0 name identification table Whether or not to maintain is determined in the same manner as the disturbance, and the attribute value determined to be maintained is re-encrypted so that only the 0th device can decrypt it, thereby disturbing the name identification table (step S3). When performing replacement, for example, a random number is generated, such as “14:” “15:” in the name identification protocol in FIG. 3, and the random number is encrypted so that only the 0th device can decrypt it. Perform replacement. The name identification table after the disturbance is output to the rearrangement unit 4.

ステップS3の処理は、図3の名寄せプロトコルの「10:」から「17:」に対応している。   The processing in step S3 corresponds to the name identification protocol “10:” to “17:” in FIG.

<ステップS4>
第n−1装置の並替部4は、撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する(ステップS4)。例えば、並替部4は、レコードをランダムにシャッフルする。並替後テーブルは、第0装置に送信される。
<Step S4>
The rearrangement unit 4 of the n-1th apparatus creates the rearranged table by rearranging the records in the name identification table after the disturbance (step S4). For example, the rearrangement unit 4 shuffles records randomly. The post-reordering table is transmitted to the 0th device.

ステップS4の処理は、図3の名寄せプロトコルの「18:」から「19:」に対応している。   The processing in step S4 corresponds to “18:” to “19:” of the name identification protocol in FIG.

<ステップS5>
第0装置の復号部5は、並替後テーブルの各属性値を復号する(ステップS5)。復号は、例えば、第0装置の、再乱数化可能な公開鍵暗号方式における秘密鍵を用いて行われる。
<Step S5>
The decoding unit 5 of the 0th device decodes each attribute value in the post-reordering table (step S5). The decryption is performed using, for example, a secret key in the public key cryptosystem that can be re-randomized by the 0th apparatus.

ステップS5の処理は、図3の名寄せプロトコルの「20:」から「21:」に対応している。   The process of step S5 corresponds to “20:” to “21:” of the name identification protocol in FIG.

このように、暗号化したまま維持置換撹乱によるPk-匿名化をすることにより、復元する主体である第0装置(P0)に対しプライバシーを保護することができる。 In this way, by performing Pk-anonymization by maintaining replacement perturbation with encryption, privacy can be protected for the 0th device (P 0 ) that is the main body to be restored.

以下、維持置換撹乱における所定のパラメータρa(維持確率ρa)の設定の例について説明する。 Hereinafter, an example of setting the predetermined parameter ρ a (maintenance probability ρ a ) in the maintenance replacement disturbance will be described.

背景知識を持たないP0に対して個人識別を防ぐためには、a∈A0については、kをセキュリティパラメータとして、 To prevent personal identification for P 0 without background knowledge, for a∈A 0 , k is a security parameter,

Figure 0006466812
Figure 0006466812

としたとき、ρaΡ a

Figure 0006466812
Figure 0006466812

と設定する。また、 And set. Also,

Figure 0006466812
Figure 0006466812

についてはρa=1とする。 Ρ a = 1.

背景知識を持つP0に対して個人識別を防ぐためには、a∈Aについて、kをセキュリティパラメータとして、 To prevent personal identification for P 0 with background knowledge, for a∈A, k is a security parameter,

Figure 0006466812
Figure 0006466812

としたとき、ρaΡ a

Figure 0006466812
Figure 0006466812

と設定する。 And set.

ある属性a∈A\A0に対して属性識別を防ぐためにP(c,L)-多様性を満足させる場合は、属性a∈A\A0の母集団分布ΩΣがP(c',L)-多様性を満たしているとき、 P with respect to an attribute A∈A\A 0 to prevent attribute identification (c, L) - if that satisfies diversity, population distribution attributes a∈A\A 0 Ω Σ is P (c ', L)-When meeting diversity

Figure 0006466812
Figure 0006466812

と設定する。c,c'は、0以上の所定の実数である。mは、m=|A\A0|である。すなわち、mは集合A\A0の要素の数である。 And set. c and c ′ are predetermined real numbers of 0 or more. m is m = | A \ A 0 |. That, m is the number of elements in the set A\A 0.

個人識別と属性推定の両方を防ぎたい場合であって、識別リスクと属性推定リスク両方を満たすように拡張する場合は、Pk-匿名性とP(c,L)-多様性を満たすように維持置換撹乱のパラメータρを設定すればよい。すなわち、各属性a∈Aに対してρaを計算し、最も低いρaを採用すれば良い。 If you want to prevent both personal identification and attribute estimation, and extend to meet both identification risk and attribute estimation risk, keep Pk-anonymity and P (c, L) -diversity The substitution disturbance parameter ρ may be set. That is, ρ a is calculated for each attribute a∈A, and the lowest ρ a may be adopted.

[プログラム及び記録媒体]
名寄せシステム、装置及び方法において説明した処理は、記載の順にしたがって時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。
[Program and recording medium]
The processes described in the name identification system, apparatus, and method are not only executed in chronological order according to the order of description, but may be executed in parallel or individually as required by the processing capability of the apparatus that executes the processes. .

また、名寄せ装置における各処理をコンピュータによって実現する場合、名寄せ装置又はモデル作成装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各処理がコンピュータ上で実現される。   Further, when each process in the name identification device is realized by a computer, the processing contents of the functions that the name identification device or the model creation device should have are described by a program. Then, by executing this program on a computer, each process is realized on the computer.

この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。   The program describing the processing contents can be recorded on a computer-readable recording medium. As the computer-readable recording medium, for example, any recording medium such as a magnetic recording device, an optical disk, a magneto-optical recording medium, and a semiconductor memory may be used.

また、各処理手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。   Each processing means may be configured by executing a predetermined program on a computer, or at least a part of these processing contents may be realized by hardware.

[変形例]
第1装置から第n−1装置における維持置換撹乱部1によるステップS1の処理は行われなくてもよい。この場合、第0装置から第n−1装置のそれぞれは、自身が有するテーブルの各属性値を第0装置のみが復号できるように暗号化することにより自身が有するテーブルを暗号化する(ステップS2)
その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。
[Modification]
The process of step S1 by the maintenance replacement disturbing unit 1 in the first device to the (n-1) th device may not be performed. In this case, each of the 0th device to the (n−1) th device encrypts its own table by encrypting each attribute value of its own table so that only the 0th device can decrypt it (step S2). )
Needless to say, other modifications are possible without departing from the spirit of the present invention.

1 維持置換撹乱部
2 暗号部
3 撹乱部
4 並替部
5 復号部
1 maintenance replacement disturbance unit 2 encryption unit 3 disturbance unit 4 rearrangement unit 5 decryption unit

Claims (8)

nを1以上の所定の整数として、自身が有するテーブルの各属性値を第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより上記自身が有するテーブルを暗号化する暗号部を含む上記第0装置から第n−1装置を含む名寄せシステムにおいて、
上記n−1装置は、上記第0装置から上記n−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、上記第0装置が有するテーブルの属性の集合A0として、上記名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては上記第0装置のみが復号できるように再乱数化することにより上記名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して上記第0装置のみが復号できるように暗号化した値で置換を行う撹乱部と、上記撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替部を更に含み、
上記第0装置は、上記並替後テーブルの各属性値を復号する復号部を更に含む、
名寄せシステム。
Public key cryptography that can be re-randomized by changing only the random number without changing the contents of the ciphertext so that only the 0th device can decrypt each attribute value of the table that n is a predetermined integer of 1 or more In the name collation system including the 0th device to the (n-1) th device including the encryption unit that encrypts the table that the device has by encrypting using the device,
The n-1 device uses a table obtained by identifying the tables encrypted by the n-1 device from the 0th device as a name identification table, and sets the attribute of the table of the 0th device as a set A 0 of the name identification table. Whether or not to maintain the attribute value of each attribute a ∈ A 0 according to a predetermined parameter ρ a in the same manner as in the normal maintenance replacement disturbance is determined, and for the attribute value determined to be maintained, the 0th device By re- randomizing so that only can be decrypted, the name identification table is disturbed, and a random number is generated for an attribute value determined not to be maintained, and only the 0th device can decrypt the random number. A disturbance unit that performs replacement with the encrypted value, and a rearrangement unit that creates a rearranged table by rearranging the records of the name identification table after the disturbance,
The 0th device further includes a decoding unit that decodes each attribute value of the post-reordering table,
Name identification system.
請求項1の名寄せシステムであって、
上記第1装置から第n−1装置は、自身が有するテーブルの各レコードの各属性aの属性値に対して所定のパラメータρaに従い維持置換撹乱を行う維持置換撹乱部を更に含み、上記暗号部は維持置換撹乱後の属性値を上記第0装置のみが復号できるように暗号化することにより上記自身が有するテーブルを暗号化する、
名寄せシステム。
The name identification system of claim 1,
Said the first device (n-1) -th apparatus further comprises a maintenance replacement disturbance unit which performs maintenance substituted disturbance in accordance with a predetermined parameter [rho a relative attribute values for each attribute a of each record in the table having its own, the encryption The unit encrypts the attribute value after maintaining replacement disturbance so that only the 0th device can decrypt the attribute value,
Name identification system.
請求項1又は2の名寄せシステムであって、
kをセキュリティパラメータとし、Rを匿名化前のレコードの集合とし、Vaを匿名化前の属性aの取り得る属性値の集合として、上記パラメータρaは、a∈A0である場合には、以下の式により定義されるρaであり、
Figure 0006466812
上記パラメータρaは、a∈A0でない場合には、ρa=1である、
名寄せシステム。
The name identification system according to claim 1 or 2,
When k is a security parameter, R is a set of records before anonymization, V a is a set of attribute values that can be taken by the attribute a before anonymization, and the parameter ρ a is a∈A 0 Ρ a defined by the following equation:
Figure 0006466812
The parameter ρ a is ρ a = 1 if not a∈A 0 ,
Name identification system.
請求項1又は2の名寄せシステムであって、
kをセキュリティパラメータとし、Rを匿名化前のレコードの集合とし、Vaを匿名化前の属性aの取り得る属性値の集合とし、Aを上記第0装置から上記第n−1装置が有するテーブルの属性の集合Aとして、上記パラメータρaは、以下の式により定義されるρaである、
Figure 0006466812
名寄せシステム。
The name identification system according to claim 1 or 2,
k is a security parameter, R is a set of records before anonymization, Va is a set of attribute values that can be taken by the attribute a before anonymization, and A is included in the 0th to n-1th devices as a set a of the attributes of table, the parameter [rho a is a [rho a is defined by the following formula,
Figure 0006466812
Name identification system.
請求項1又は2の名寄せシステムであって、
c,c'を0以上の所定の実数とし、Aを上記第0装置から上記第n−1装置が有するテーブルの属性の集合Aとし、mを集合A\A0の要素の数として、上記パラメータρaは、以下の式により定義されるρaである、
Figure 0006466812
名寄せシステム。
The name identification system according to claim 1 or 2,
c, c ′ is a predetermined real number greater than or equal to 0, A is the attribute set A of the tables of the 0th device to the (n−1) th device, and m is the number of elements of the set A \ A 0 parameter [rho a is a [rho a is defined by the following formula,
Figure 0006466812
Name identification system.
第0装置から第n−1装置は、nを1以上の所定の整数として、自身が有するテーブルの各属性値を上記第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより上記自身が有するテーブルを暗号化する暗号部を含むとして、
上記第0装置から上記n−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、上記第0装置が有するテーブルの属性の集合A0として、上記名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては上記第0装置のみが復号できるように再乱数化することにより上記名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して上記第0装置のみが復号できるように暗号化した値で置換を行う撹乱部と、上記撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替部を更に含む上記第n−1装置である名寄せ装置。
From the 0th device to the (n-1) th device, n is a predetermined integer of 1 or more, and only random numbers are used without changing the contents of the ciphertext so that only the 0th device can decrypt each attribute value of its own table. It includes an encryption unit that encrypts the table it has by encrypting it using public key cryptography that can be re-randomized
A table in which the tables encrypted from the 0th device to the n-1 device are identified is referred to as a name identification table, and each attribute a∈A 0 of the name identification table is set as a set A 0 of attributes of the table of the 0th device. It is determined whether or not to maintain the attribute value in the same manner as in the normal maintenance replacement disturbance according to a predetermined parameter ρ a , and the attribute value determined to be maintained is reproduced so that only the 0th device can decode. performed disturbance of the name identification table by randomization, substituted for the non as determined attribute value kept generates a random number for the random number encrypted value to be decoded only the 0th device The name collation apparatus which is said n-1th apparatus further including the disturbance part which performs, and the rearrangement part which produces the table after a rearrangement by rearranging the record of the name collation table after the said disturbance.
第0装置から第n−1装置のそれぞれの暗号部が、nを1以上の所定の整数として、自身が有するテーブルの各属性値を上記第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより上記自身が有するテーブルを暗号化する暗号ステップと、
上記n−1装置の撹乱部が、上記第0装置から上記n−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、上記第0装置が有するテーブルの属性の集合A0として、上記名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては上記第0装置のみが復号できるように再乱数化することにより上記名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して上記第0装置のみが復号できるように暗号化した値で置換を行う撹乱ステップと、
上記n−1装置の並替部が、上記撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替ステップと、
上記第0装置の復号部が、上記並替後テーブルの各属性値を復号する復号ステップと、
を含む名寄せ方法。
The ciphers of each of the 0th device to the (n-1) th device set the contents of the ciphertext so that only the 0th device can decrypt each attribute value of its own table, where n is a predetermined integer of 1 or more. A cryptographic step of encrypting the table that the device itself has by encrypting with public key cryptography that can be re-randomized to change only the random number instead of ;
The disturbing unit of the n-1 device defines a table in which the tables encrypted from the 0th device by the n-1 device are named as a name identification table, and sets the attribute A 0 of the table of the 0th device as the above It is determined whether or not to maintain the attribute value of each attribute a∈A 0 of the name identification table in the same manner as the normal maintenance replacement disturbance according to the predetermined parameter ρ a , and the attribute value determined to be maintained is the above The name identification table is disturbed by re- randomizing it so that only the 0th device can decode it, and a random number is generated for the attribute value determined not to be maintained. A perturbation step that replaces with an encrypted value so that it can be decrypted;
A rearrangement step in which the rearrangement unit of the n-1 device creates a rearranged table by rearranging the records of the name identification table after the disturbance,
A decoding step in which the decoding unit of the 0th device decodes each attribute value of the post-reordering table;
Name identification method including.
第0装置から第n−1装置は、nを1以上の所定の整数として、自身が有するテーブルの各属性値を上記第0装置のみが復号できるように暗号文の中身を代えずに乱数のみを変える再乱数化が可能な公開鍵暗号を用いて暗号化することにより上記自身が有するテーブルを暗号化する暗号部を含むとして、
上記第0装置から上記n−1装置が暗号化したテーブルを名寄せしたテーブルを名寄せテーブルとし、上記第0装置が有するテーブルの属性の集合A0として、上記名寄せテーブルの各属性a∈A0の属性値に対して所定のパラメータρaに従い通常の維持置換撹乱と同様に維持するか否かを決定し、維持すると決定された属性値に対しては上記第0装置のみが復号できるように再乱数化することにより上記名寄せテーブルの撹乱を行い、維持しないと決定された属性値に対しては乱数を生成しその乱数に対して上記第0装置のみが復号できるように暗号化した値で置換を行う撹乱部と、上記撹乱後の名寄せテーブルのレコードを並び替えることにより並替後テーブルを作成する並替部を更に含む名寄せ装置の上記暗号部、上記撹乱部及び上記並替部としてコンピュータを機能させるためのプログラム。
From the 0th device to the (n-1) th device, n is a predetermined integer of 1 or more, and only random numbers are used without changing the contents of the ciphertext so that only the 0th device can decrypt each attribute value of its own table. It includes an encryption unit that encrypts the table it has by encrypting it using public key cryptography that can be re-randomized
A table in which the tables encrypted from the 0th device to the n-1 device are identified is referred to as a name identification table, and each attribute a∈A 0 of the name identification table is set as a set A 0 of attributes of the table of the 0th device. It is determined whether or not to maintain the attribute value in the same manner as in the normal maintenance replacement disturbance according to a predetermined parameter ρ a , and the attribute value determined to be maintained is reproduced so that only the 0th device can decode. performed disturbance of the name identification table by randomization, substituted for the non as determined attribute value kept generates a random number for the random number encrypted value to be decoded only the 0th device The encryption unit, the disturbance unit, and the rearrangement of the name collation device further including a disturbance unit that performs the sorting, and a rearrangement unit that creates the rearranged table by rearranging the records of the name identification table after the disturbance. Program for causing a computer to function as a.
JP2015202116A 2015-10-13 2015-10-13 Name identification system, apparatus, method and program Active JP6466812B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2015202116A JP6466812B2 (en) 2015-10-13 2015-10-13 Name identification system, apparatus, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2015202116A JP6466812B2 (en) 2015-10-13 2015-10-13 Name identification system, apparatus, method and program

Publications (2)

Publication Number Publication Date
JP2017075994A JP2017075994A (en) 2017-04-20
JP6466812B2 true JP6466812B2 (en) 2019-02-06

Family

ID=58551243

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015202116A Active JP6466812B2 (en) 2015-10-13 2015-10-13 Name identification system, apparatus, method and program

Country Status (1)

Country Link
JP (1) JP6466812B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7747215B2 (en) * 2022-07-19 2025-10-01 Ntt株式会社 Client device, secret table management system, record registration request generation method, record registration method, processing request execution method, and program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6931403B1 (en) * 2000-01-19 2005-08-16 International Business Machines Corporation System and architecture for privacy-preserving data mining
JP5475610B2 (en) * 2009-10-07 2014-04-16 日本電信電話株式会社 Disturbing device, disturbing method and program
JP5761043B2 (en) * 2012-01-19 2015-08-12 富士通株式会社 Name identification processing method, apparatus and program
JP5939580B2 (en) * 2013-03-27 2016-06-22 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation Name identification system for identifying anonymized data, method and computer program therefor
JP6309866B2 (en) * 2014-09-04 2018-04-11 株式会社東芝 Anonymization system

Also Published As

Publication number Publication date
JP2017075994A (en) 2017-04-20

Similar Documents

Publication Publication Date Title
KR102224998B1 (en) Computer-implemented system and method for protecting sensitive data via data re-encryption
EP3373557B1 (en) Secure information retrieval and update
CN101485137B (en) Method and apparatus for encrypting/decrypting data
JP5348337B2 (en) Encrypted database management system, client and server, natural join method and program
JP5417092B2 (en) Cryptography speeded up using encrypted attributes
WO2012043056A1 (en) Encrypted database system, client terminal, encrypted database server, natural joining method, and program
Yang et al. Security for cloud storage systems
EP3883177B1 (en) General data protection method for multicentric sensitive data storage and sharing
Kumar et al. A survey on current key issues and status in cryptography
Deepika et al. Blockchain-based decentralized security using Crypto-Proof of Stake for securing sensitive personal health care records
CN108463971A (en) Ciphertext management method, ciphertext managing device and program
CN112906052A (en) Aggregation method of multi-user gradient permutation in federated learning
CN112380404B (en) Data filtering method, device and system
JP6466812B2 (en) Name identification system, apparatus, method and program
JP6437416B2 (en) Name identification system, apparatus, method and program
CN119544185A (en) A chaotic encryption and decryption method and system based on random weight
Cho et al. A New Encryption Mechanism Supporting the Update of Encrypted Data for Secure and Efficient Collaboration in the Cloud Environment
KR20170103321A (en) Order preserving encryption method and apparatus with enhanced security
Sheikh et al. A study on performance evaluation of cryptographic algorithm
US20230370252A1 (en) Service provision system
TW201605218A (en) The method of the key replacement, encryption, decryption, and computer program product
KR20130059205A (en) Apparatus for encrypting or decrpting data and method thereof
JP2013235535A (en) Data management system and data management program
Reddy et al. Privacy Preserving Data Deduplication in cloud using Advanced Encryption Standard
Patel et al. Fully dynamic password protected secret sharing: Simplifying ppss operation and maintenance

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171215

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180815

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180911

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181102

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20181113

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181211

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190110

R150 Certificate of patent or registration of utility model

Ref document number: 6466812

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150