WO2021070838A1 - 秘匿認証方法および秘匿認証システム - Google Patents

Abstract

秘匿認証方法は、秘密分散法により分散されたユーザ情報の特徴量である第１分散化特徴量と暗号化ＬＳＨパラメータとを入力として、秘匿ＬＳＨを用いて分散化ＬＳＨ値を導出し（Ｓ６０１）、分散化ＬＳＨ値と、一方向性関数の処理を実行するための分散鍵とを入力として、秘匿一方向性関数を用いて、分散化ハッシュ値を導出し（Ｓ６０２）、分散化ハッシュ値の分散を解除してハッシュ値に復号し（Ｓ６０３）、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納された秘匿ハッシュテーブルから、復号されたハッシュ値と一致するハッシュ値を含む組を選択し（Ｓ６０４）、選択された組に含まれる分散化特徴量と第１分散化特徴量との類似度を秘匿したまま計算し（Ｓ６０５）、計算された類似度に基づいてユーザの認証結果を秘匿したまま導出し（Ｓ６０６）、導出された認証結果を出力する（Ｓ６０７）。

Description

秘匿認証方法および秘匿認証システム

　本開示は、ユーザ情報およびユーザ情報に関連する情報を秘匿したままユーザの認証を行う秘匿認証方法および秘匿認証システムに関する。

　ディープニューラルネットワークを用いた画像認識性能の向上に伴い、例えばユーザの顔画像などを利用した認証（いわゆる、生体認証）の精度が向上している。近年、機械学習を用いた認証が多くの場面で活用されるようになっている。例えばコンビニエンスストアにおける決済、または、アミューズメント施設もしくはイベント会場への入場時の認証などに顔認証などの生体認証が用いられている。

　このような認証サービスをユーザが利用するためには、ユーザは、サーバに対してユーザ自身の情報（つまり、ユーザ情報）または当該情報から得られる特徴量を送信する必要がある。しかしながら、顔画像などのユーザ情報はプライバシ情報そのものであるため、保護されなければならない。また、ユーザ情報の特徴量から元のユーザ情報を推定する攻撃が知られているため、ユーザ情報だけでなく、特徴量も保護されなければならない。

　そのため、ユーザ情報およびユーザ情報に関連する情報（例えば、特徴量など）を秘匿したまま、ユーザの認証を行う技術が求められている。

　例えば、非特許文献１は、ユーザ端末装置で導出されたＬＳＨ（Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ）値とユーザ情報の特徴量とを暗号化してサーバへ送信することにより、ユーザ情報およびユーザ情報に関連する情報を秘匿したままユーザの認証を行う技術を開示している。また、例えば、非特許文献２は、入力データ（例えば、ユーザ情報の特徴量およびＬＳＨパラメータ）を秘匿したままＬＳＨ値の計算を複数回行い、得られるベクトルと乱数ベクトルとの内積をハッシュテーブルのインデックスとして利用する技術を開示している。

M. Sadegh Riazi、外４名、「Sub-Linear Privacy-Preserving Near-Neighbor Search with Untrusted Server on Large-Scale Datasets」（https://arxiv.org/abs/1612.01835） Alexander J. Titus、外８名、「SIG-DB: leveraging homomorphic encryption to Securely Interrogate privately held Genomic DataBases」（https://arxiv.org/abs/1612.01835）

　しかしながら、非特許文献１に記載の技術では、ユーザ情報およびユーザ情報に関連する情報を完全には秘匿できていないため、ユーザ情報が推測される可能性がある。また、非特許文献２に記載の技術では、ＬＳＨを複数回実行する必要があるため、計算量が膨大であり、効率が悪い。

　そこで、本開示では、ユーザ情報およびユーザ情報に関連する情報の秘匿性を向上させ、かつ、処理速度を向上させる秘匿認証方法および秘匿認証システムを提供する。

　上記課題を解決するため、本開示の秘匿認証方法の一様態は、入力を秘匿したまま認証処理を行う秘匿認証方法であって、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨ（Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ）の分散化されたパラメータである分散化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、分散されたＬＳＨ値である分散化ＬＳＨ値を導出し、導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま前記一方向性関数の処理を実行する秘匿一方向性関数を用いて、分散されたハッシュ値である分散化ハッシュ値を導出し、導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号し、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出し、導出された前記認証結果を出力する。

　また、上記課題を解決するため、本開示の秘匿認証システムの一様態は、入力を秘匿したまま認証処理を行う秘匿認証システムであって、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨの分散化されたパラメータである分散化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、分散されたＬＳＨ値である分散化ＬＳＨ値を導出する分散化ＬＳＨ値導出部と、前記分散化ＬＳＨ値導出部により導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて分散されたハッシュ値である分散化ハッシュ値を導出する分散化ハッシュ値導出部と、前記分散化ハッシュ値導出部により導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号する復号部と、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを格納する秘匿ハッシュテーブル格納部と、前記秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出する分散化認証結果導出部と、前記分散化認証結果導出部により導出された前記認証結果を出力する出力部と、を備える。

　本開示の秘匿認証方法および秘匿認証システムによれば、ユーザ情報およびユーザ情報に関連する情報の秘匿性を向上させ、かつ、処理速度を向上させることができる。

図１は、実施の形態に係る秘匿認証システムの全体構成の一例を示す図である。 図２は、実施の形態におけるユーザ端末装置の構成の一例を示す図である。 図３は、実施の形態におけるデータ提供装置の構成の一例を示す図である。 図４は、実施の形態におけるデータ演算装置の構成の一例を示す図である。 図５は、実施の形態における認証結果利用装置の構成一例を示す図である。 図６は、実施の形態に係る秘匿認証システムの初期化フェーズの動作の一例を示すシーケンス図である。 図７は、実施の形態に係る秘匿認証システムの登録フェーズの動作の一例を示すシーケンス図である。 図８は、図７のステップＳ２０５における詳細な処理の一例を示すシーケンス図である。 図９は、実施の形態に係る秘匿認証システムの認証フェーズの動作の一例を示すシーケンス図である。 図１０は、図９のステップＳ４０５における詳細な処理の一例を示すシーケンス図である。 図１１は、実施の形態におけるＬＳＨパラメータの一例を示す図である。 図１２は、実施の形態におけるＬＳＨ値の一例を示す図である。 図１３は、ハッシュテーブルの一例を示す図である。 図１４は、実施の形態における分散化特徴量の一例を示す図である。 図１５は、実施の形態における秘匿ハッシュテーブルの一例を示す図である。 図１６は、本実施の形態に係る秘匿認証方法の一例を示すフローチャートである。

　（本開示に至った知見）
　近年、機械学習を用いたユーザの認証（例えば、生体認証）が多くの場面で活用されるようになっている。例えば、生体認証には、ユーザの顔画像だけでなく、指紋画像、もしくは、虹彩画像などのユーザの身体的特徴に関する情報、歩容もしくは行動履歴などのユーザの行動的特徴に関する情報、または、ユーザが所持している文書情報などの所有物の特徴に関する情報を用いた認証をも含まれる。

　ユーザの認証には、１対１認証と１対Ｎ認証との２種類の認証方法が存在する。１対１認証とは、照合する本人のＩＤを例えばＩＤカードなどから読み出し、そのＩＤに紐づけられて登録されたユーザ情報と、センシングされたユーザ情報との同一性を判断することによりユーザを認証する方法である。一方、１対Ｎ認証は、複数のユーザのＩＤとそれらのＩＤのそれぞれに紐づけられたユーザ情報とを格納したデータベース（例えば、テーブル）の中から、センシングされたユーザ情報がどのＩＤに紐づけられたユーザ情報に対応するかを判定することにより、または、データベースに格納されたいずれのユーザ情報とも対応しないかを判定することにより、ユーザを認証する方法である。

　１つのユーザ情報との同一性のみを判定すれば良い１対１認証と比較して、データベースに予め登録された全てのユーザ情報との比較を行う必要がある１対Ｎ認証の方が処理量も多く、認証処理の難易度は高くなるが、ユーザがＩＤカード等を携帯および提示する必要がないため利便性に優れている。

　１対Ｎ認証を効率的に実現する方法として、最近傍探索を用いる方法がある。この方法では、事前にデータベースなどに登録された複数のユーザに関する情報（いわゆる、ユーザ情報）の特徴量と、認証用にカメラ、スキャナ、または、マイクなどのセンサでセンシングされたユーザ情報の特徴量（認証用のユーザ情報の特徴量ともいう）との類似度を計算し、認証用のユーザ情報の特徴量と最近傍の（つまり、最も類似している）特徴量をデータベースから探索する。この最近傍の特徴量と認証用のユーザ情報の特徴量との類似度が閾値以下であれば認証失敗とし、閾値より高ければ認証成功とする。

　最近傍探索手法として、Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ（ＬＳＨ）（非特許文献３：Piotr Indyk、外１名、「Approximate nearest neighbors: Towards removing the curse of dimensionality.」（https://www.cs.princeton.edu/courses/archive/spr04/cos598B/bib/IndykM-curse.pdf））と呼ばれる技術が用いられる。

　ＬＳＨは、近い入力値を同一のハッシュ値にマッピングする技術である。１対Ｎ認証でＬＳＨを用いると、似ているユーザ情報の特徴量をＬＳＨに入力すると同じハッシュ値（以下、ＬＳＨ値と呼ぶ）が出力されるため、認証用にセンシングされたユーザ情報に似ているユーザ情報の特徴量群をデータベースから効率的に取り出すことができる。そして、取り出された特徴量群に含まれる全ての特徴量と、認証用にセンシングされたユーザ情報の特徴量との類似度を計算することにより、認証用のユーザ情報の特徴量と最近傍の特徴量を求めることが出来る。

　このような認証サービスをユーザが利用するためには、ユーザは、サーバに対してユーザ自身の情報（つまり、ユーザ情報）または当該情報から得られる特徴量を送信する必要がある。しかしながら、顔画像などのユーザ情報はプライバシ情報そのものであるため、保護されなければならない。また、ユーザ情報の特徴量から元のユーザ情報を推定する攻撃が知られているため、ユーザ情報だけでなく、特徴量などのユーザ情報に関連する情報も保護されなければならない。

　そのため、ユーザがユーザ情報およびユーザ情報に関連する情報を秘匿したまま、効率良くユーザの認証を行う技術が求められている。

　データを秘匿したまま計算を行うことが可能な手法として、秘密計算（非特許文献４：Takashi Nishide、外１名「Multiparty computation for interval, equality, and comparison without bitdecomposition protocol.」（https://www.iacr.org/archive/pkc2007/44500343/44500343.pdf））を用いて、認証処理を行う方法が考えられている。秘密計算は、データを保管する主体に対して計算過程と結果とを秘匿することができる技術である。

　秘密計算を用いると、例えば、クラウドサーバのような第三者が管理するサーバにデータを保管し、その保管しているデータに対してあらゆる演算を実行することができる。第三者には、入力データ、計算過程、および、計算結果を知られることがないため、個人情報のような機微な情報に対する分析処理をアウトソースすることができる。

　また、入力データを秘匿したままユーザの認証を行う方式として、例えば、非特許文献１は、ユーザ端末装置で導出されたＬＳＨ値とユーザ情報の特徴量とを暗号化してサーバへ送信することにより、ユーザ情報およびユーザ情報に関連する情報を秘匿したままユーザの認証を行う技術を開示している。しかしながら、この方法ではユーザ情報およびユーザ情報に関連する情報を完全には秘匿できていないため、ユーザ情報が推測される可能性がある。

　また、入力データを秘匿したままＬＳＨを計算しデータベース検索を行う方式として、例えば、非特許文献２は、入力データ（例えば、ユーザ情報の特徴量およびＬＳＨパラメータ）を秘匿したままＬＳＨ値の計算を複数回行い、得られるベクトルと乱数ベクトルとの内積をハッシュテーブルのインデックスとして利用する技術を開示している。しかしながら、この方法では、計算量が膨大であるため実用的ではない。

　そこで本発明者らは、上記課題を鑑み鋭意検討した結果、ＬＳＨと秘密分散法とを用い、さらに、ＬＳＨの計算により得られるＬＳＨ値を秘匿したまま一方向性関数で処理することにより、ユーザ情報の秘匿性を向上させ、かつ、処理速度を向上させることができることを見出した。これにより、ＬＳＨ値を一方向性関数で処理したハッシュ値が漏洩しても、ハッシュ値から元のユーザ情報を推定することができない。また、ＬＳＨを用いることにより、１対Ｎ認証における計算量が低減される。さらに、秘密分散法を用いることにより、秘匿性および処理効率が向上される。

　したがって、本開示の秘匿認証方法および秘匿認証システムによれば、ユーザ情報およびユーザ情報に関連する情報の秘匿性を向上させ、かつ、処理速度を向上させることができる。

　本開示の一態様は以下の通りである。

　本開示の一様態に係る秘匿認証方法は、入力を秘匿したまま認証処理を行う秘匿認証方法であって、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨ（Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ）の暗号化されたパラメータである暗号化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、暗号化され、かつ、分散されたＬＳＨ値である分散化ＬＳＨ値を導出し、導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって暗号化され、かつ、分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま前記一方向性関数の処理を実行する秘匿一方向性関数を用いて、暗号化され、かつ、分散されたハッシュ値である分散化ハッシュ値を導出し、導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号し、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出し、導出された前記認証結果を出力する。

　これにより、秘匿認証方法では、ハッシュ値以外の情報は秘密分散法により分散されているため、例えばＬＳＨ値および特徴量などのユーザ情報に関連する情報などの元のユーザ情報を推定可能な情報が一切公開されない。そのため、秘匿認証方法では、ユーザ情報およびユーザ情報に関連する情報の秘匿性が向上される。また、ハッシュ値を用いて秘匿ハッシュテーブルを参照することから、少ない計算コストで認証処理を行うことができる。したがって、秘匿認証方法によれば、ユーザ情報およびユーザ情報に関連する情報の秘匿性を向上させ、かつ、処理速度を向上させることができる。

　本開示の一様態に係る秘匿認証方法は、前記ユーザの前記認証結果の導出において、選択された前記組に含まれる前記分散化特徴量のうち、前記第１分散化特徴量と最も類似度の高い分散化特徴量を第２分散化特徴量として抽出し、抽出された前記第２分散化特徴量と前記第１分散化特徴量と類似度が閾値よりも高いか否かを判定し、前記類似度が前記閾値よりも高いと判定された場合、前記ユーザの認証が成功したことを表す分散化された数値を前記認証結果として出力し、前記類似度が前記閾値以下であると判定された場合、前記ユーザの認証が失敗したことを表す分散化された数値を前記認証結果として出力してもよい。

　これにより、秘匿認証方法では、認証用のユーザ情報の特徴量である第１分散化特徴量と最も類似度の高い分散化特徴量を抽出することができるため、計算量が削減される。また、秘匿認証方法では、閾値に基づいてユーザ本人であるか否かを判定するため、例えば、センシングの条件などにより特徴量に誤差が生じた場合でも、事前登録されたユーザ本人の特徴量と同じものであると判定することができる。

　本開示の一様態に係る秘匿認証方法では、前記特徴量は、前記ユーザの身体的特徴に関する身体的特徴量、前記ユーザの行動的特徴に関する行動的特徴量、および、前記ユーザが保有している保有物の特徴に関する保有物特徴量のいずれかであり、前記身体的特徴量は、網膜画像、虹彩画像、指紋画像、静脈画像、音声情報、耳の形状情報、ＤＮＡ（ｄｅｏｘｙｒｉｂｏｎｕｃｌｅｉｃ　ａｃｉｄ）情報、および、手のひらの画像のうちの少なくとも１つの情報の特徴量を含み、前記行動的特徴は、筆跡、キーストローク、歩容、および、行動履歴のうちの少なくとも１つの情報の特徴量を含み、前記保有物特徴量は、前記ユーザが保有している文書情報、記憶、および、所有物のうちの少なくとも１つの情報の特徴量を含んでもよい。

　これにより、秘匿認証方法では、設計に応じて、認証に使用される特徴量を適宜選択することができる。

　本開示の一様態に係る秘匿認証方法では、前記第１分散化特徴量および前記分散化特徴量は、それぞれ、分散された複数種類の特徴量を含み、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との前記類似度の計算において、前記複数種類の特徴量のそれぞれの類似度を計算してもよい。

　これにより、より高い精度で、かつ、応用性の高い認証が可能となる。

　本開示の一様態に係る秘匿認証方法では、前記分散化ハッシュ値は、ランダム性を有してもよい。

　ＬＳＨの取りうる値の範囲が小さい場合、全ての値のハッシュ値を計算することは容易であるため、出力から入力ランダム性を持たせることで、ハッシュ値から元のＬＳＨ値を計算するのが困難になる。そのため、秘匿認証方法によれば、ＬＳＨ値およびユーザ情報の秘匿性（安全性ともいう）が向上する。

　本開示の一様態に係る秘匿認証方法では、前記データ列は、さらに、分散化されたユーザＩＤである分散化ユーザＩＤを含んでもよい。

　これにより、秘匿認証方法では、ユーザの認証とともにユーザＩＤの確認も可能となるため、汎用性が向上する。

　本開示の一様態に係る秘匿認証方法は、前記認証結果の出力において、導出された前記認証結果と、選択された前記組の前記データ列に含まれる前記分散化特徴量および前記ユーザＩＤの少なくとも１つを出力してもよい。

　これにより、秘匿認証方法は、認証結果を利用する際に、ユーザに関する様々な情報を用いることが出来るため、認証結果とともにユーザＩＤを表示するなどより高度なサービスの提供が可能になる。

　本開示の一様態に係る秘匿認証方法では、前記ユーザのユーザ端末は、センシングによって得られた前記ユーザ情報から前記特徴量を算出し、算出された前記特徴量を暗号下肢、かつ、秘密分散法により分散することにより、前記第１分散化特徴量を導出してもよい。

　これにより、秘匿認証方法では、ユーザがユーザ端末装置を用いてユーザ情報の特徴量を求めることができるため、例えば顔画像などのプライバシ情報そのものであるユーザ情報を外部に送信する必要がなくなる。そのため、秘匿認証方法によれば、ユーザ情報の安全性が向上する。

　本開示の一様態に係る秘匿認証方法では、前記ユーザのユーザ端末装置は、センシングによって得られた前記ユーザ情報を情報が漏洩しない信頼できるサーバに送信し、前記サーバは、前記ユーザ情報から前記特徴量を導出し、前記特徴量を秘密分散法により分散することにより前記第１分散化特徴量を導出してもよい。

　これにより、秘匿認証方法では、ユーザ端末装置が行う処理を削減することができるため、ユーザ端末装置に必要なリソースが少なくて済む。

　本開示の一様態に係る秘匿認証方法では、前記第１分散化特徴量は、前記ユーザの認証結果を導出する演算装置で導出され、前記ユーザのユーザ端末装置は、センシングによって得られた前記ユーザ情報を秘密分散法により分散した分散化ユーザ情報を前記演算装置に送信し、前記演算装置は、前記分散化ユーザ情報から前記第１分散化特徴量を導出してもよい。

　これにより、秘匿認証方法では、信頼できるサーバを用意する必要がなく、また、信頼できるサーバから情報が漏洩する危険性もないため、安全に特徴量を計算することが可能となる。

　本開示の一様態に係る秘匿認証方法では、前記分散化ＬＳＨパラメータは、前記ユーザの認証結果を導出する演算装置に送信され、前記演算装置は、前記第１分散化特徴量と、前記分散化ＬＳＨパラメータとを入力として、前記秘匿ＬＳＨを用いて前記分散化ＬＳＨ値を導出してもよい。

　これにより、サービス提供者（例えば、データ提供装置を有する企業など）の資産であるＬＳＨパラメータの漏洩も防ぐことが出来る。

　本開示の一様態に係る秘匿認証方法では、前記ＬＳＨは、ＳｉｍＨａｓｈであってもよい。

　本開示の一様態に係る秘匿認証方法では、前記ＬＳＨは、ＭｉｎＨａｓｈであってもよい。

　本開示の一様態に係る秘匿認証方法では、前記一方向性関数は、ＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）であってもよい。

　本開示の一様態に係る秘匿認証方法では、前記一方向性関数は、ＳＨＡ（Ｓｅｃｕｒｅ　Ｈａｓｈ　Ａｌｇｏｒｉｔｈｍ）またはＭＤ５（Ｍｅｓｓａｇｅ　Ｄｉｇｅｓｔ　５）であってもよい。

　本開示の一様態に係る秘匿認証方法では、前記一方向性関数は、ＥｌＧａｍａｌ暗号またはＲＳＡ（Ｒｉｖｅｓｔ－Ｓｈａｍｉｒ－Ａｄｌｅｍａｎ）暗号または楕円曲線暗号であってもよい。

　本開示の一様態に係る秘匿認証システムは、入力を秘匿したまま認証処理を行う秘匿認証システムであって、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨの暗号化されたパラメータである暗号化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、暗号化され、かつ、分散されたＬＳＨ値である分散化ＬＳＨ値を導出する分散化ＬＳＨ値導出部と、前記分散化ＬＳＨ値導出部により導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって暗号化され、かつ、分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて暗号化され、かつ、分散されたハッシュ値である分散化ハッシュ値を導出する分散化ハッシュ値導出部と、前記分散化ハッシュ値導出部により導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号する復号部と、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを格納する秘匿ハッシュテーブル格納部と、前記秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出する分散化認証結果導出部と、前記分散化認証結果導出部により導出された前記認証結果を出力する出力部と、を備える。

　これにより、秘匿認証システムでは、ハッシュ値以外の情報は秘密分散法により分散されているため、例えばＬＳＨ値および特徴量などのユーザ情報に関連する情報などの元のユーザ情報を推定可能な情報が一切公開されない。そのため、秘匿認証システムでは、ユーザ情報およびユーザ情報に関連する情報の秘匿性が向上される。また、ハッシュ値を用いて秘匿ハッシュテーブルを参照することから、少ない計算コストで認証処理を行うことができる。したがって、秘匿認証システムによれば、ユーザ情報およびユーザ情報に関連する情報の秘匿性を向上させ、かつ、処理速度を向上させることができる。

　なお、以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。以下の実施の形態で示される数値、形状、構成要素、ステップ、ステップの順序などは、一例であり、本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、最上位概念を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。また、各図は、必ずしも厳密に図示したものではない。各図において、実質的に同一の構成については同一の符号を付し、重複する説明は省略または簡略化することがある。

　また、本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を実施の形態に施したものや、全ての実施の形態において、各々の実施の形態における一部の構成要素を組み合わせて構築される別の形態も、本開示の範囲に含まれる。

　（実施の形態）
　以下、本実施の形態に係る秘匿認証方法および秘匿認証システムについて図面を用いて説明する。

　［１．秘匿認証システムの概要］
　まず、本実施の形態に係る秘匿認証システムの概要について説明する。本実施の形態に係る秘匿認証システムは、ユーザ情報を秘匿したままユーザの認証処理を行うためのシステムである。より具体的には、秘匿認証システムは、ユーザ情報を秘匿したまま、近似最近傍探索手法の１つであるＬＳＨ（Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ）を用いて、ハッシュテーブルに事前に登録された複数のユーザ情報の中から、認証対象のユーザ情報と同じハッシュ値のユーザ情報を抽出し、抽出されたユーザ情報と認証対象のユーザ情報との類似度に基づいてユーザの認証処理を行うためのシステムである。ここでは、秘匿または秘匿化とは、秘密分散法により分散されることをいい、以下、分散または分散化とも称する。また、暗号または暗号化とは、秘密分散法以外の何らかの暗号化技術により暗号化されることをいう。使用される暗号化技術は、特に限定されない。

　［１．１　秘匿認証システムの構成］
　続いて、本実施の形態に係る秘匿認証システムの構成について図１を参照しながら説明する。

　図１は、本実施の形態に係る秘匿認証システムの全体構成の一例を示す図である。図１に示されるように、秘匿認証システム５００は、例えば、ユーザ端末装置１００と、データ提供装置２００と、３つのデータ演算装置３００、３１０、３２０と、認証結果利用装置４００と、を備える。各装置間の通信は、有線のインターネット線、無線通信、専用通信等のいずれかであればよい。

　ユーザ端末装置１００は、認証対象であるユーザが所有する端末装置である。データ提供装置２００は、秘匿認証サービスを提供する企業または団体が所有する装置である。データ演算装置３００、３１０、３２０は、ユーザ端末装置１００から送信されたユーザ情報の特徴量と、データ提供装置２００から送信された演算に必要なパラメータなどの情報とを取得して、取得した情報を秘匿したまま認証結果を導出するための演算処理を行う装置である。ここでは、データ演算装置３００、３１０、３２０はそれぞれ、１つのクラウドサーバ、または、１つのクラウドサーバに含まれる装置である。認証結果利用装置４００は、ユーザの認証結果を利用する企業または団体が所有する装置である。認証結果利用装置４００は、例えば、ユーザが利用する施設の受付などに設置される。

　秘匿認証システム５００では、例えば、データ提供装置２００は、ＬＳＨパラメータと、一方向性関数を計算するために必要な鍵と、ユーザの認証処理（より具体的には、認証結果の導出処理）で用いる閾値とを、３つのクラウドサーバ、すなわち、データ演算装置３００、３１０、３２０に送信する。なお、データ提供装置２００は、上記の鍵を秘匿化してデータ演算装置３００、３１０、３２０に送信する。上記のＬＳＨパラメータおよび閾値は、秘密分散法により分散されて送信される。

　また、秘匿認証システム５００では、例えば、ユーザ端末装置１００は、ユーザが秘匿認証サービスを利用する際に、ユーザ情報の特徴量を秘匿して３つのクラウドサーバであるデータ演算装置３００、３１０、３２０（以下、３つのクラウドサーバとも呼ぶ）に送信する。

　３つのクラウドサーバは互いに通信を行うことにより、それぞれのクラウドサーバが他のクラウドサーバで得られたデータを利用しながら、データを秘匿したまま認証結果を導出する。そして、３つのクラウドサーバはそれぞれ得られた認証結果を秘匿したまま認証結果利用装置４００に送信する。

　なお、ユーザ端末装置１００は１つ以上であってもよいし、データ提供装置２００も１つ以上であってもよいし、認証結果利用装置４００も１つ以上であってもよい。

　さらに、図１に示す例では、秘匿認証システム５００は、データ演算装置を３つ備えているが、データ演算装置を少なくとも２つ備えていればよい。理由を簡単に説明すると、本実施の形態で用いられる秘密分散法では、分散されたデータの秘密分散法による分散を解除して秘密分散法により分散される前のデータ（つまり、元のデータ）に復号するために、分散されたデータのうち少なくとも２つの分散されたデータが必要となる。つまり、秘密分散法では、１つの分散されたデータから元のデータを復号することができない。したがって、秘匿認証システム５００は、データ演算装置を少なくとも２つ備えていれば、秘密分散法による分散を解除することができる。

　上述のように、秘密分散法により分散されたデータは、１つの分散されたデータだけでは元のデータを復号できないため、各データ演算装置で行われる処理もデータを秘匿したまま行われ、当該処理により導出された認証結果もまた、秘密分散法により秘匿された状態である。したがって、復号された認証結果を得るために、２つ以上の秘匿された認証結果が必要となる。

　なお、秘匿認証システム５００を構成する各装置間の通信は、リアルタイムの通信でなくてもよい。例えば、ユーザ端末装置１００はセンシングしたユーザ情報または秘匿認証処理の要求コマンドをある程度集めて、一時に、３つのデータ演算装置３００、３１０、３２０に送信してもよい。

　以下、秘匿認証システム５００の各構成について説明するが、図１に示される秘匿認証システム５００は一例であって、本開示の秘匿認証システムは、これに限定されない。

　［１．２　ユーザ端末装置］
　図２は、本実施の形態におけるユーザ端末装置１００の構成の一例を示す図である。ユーザ端末装置１００は、例えば、センシング部１０１と、特徴量算出部１０２と、特徴量分散部１０３と、通信部１０４とを備える。ユーザ端末装置１００は、例えば、認証対象であるユーザが所有する端末装置である。ユーザ端末装置１００は、例えば、プロセッサ（マイクロプロセッサ）、メモリ、センサ、および、通信インタフェース等を備えるコンピュータまたは携帯端末に実装される。

　ユーザ端末装置１００は、例えば、ユーザに関するユーザ情報をセンシングし、センシングされたユーザ情報の特徴量を算出し、算出された特徴量を秘密分散法により分散し、分散された特徴量（いわゆる、分散化特徴量）をデータ演算装置３００、３１０、３２０に送信する。例えば、センシング部１０１は、ユーザ情報をセンシングし、特徴量算出部１０２は、センシングされたユーザ情報の特徴量を算出し、特徴量分散部１０３は、算出された特徴量を秘密分散法により分散し、通信部１０４は、分散された特徴量をデータ演算装置３００、３１０、３２０へ送信する。

　そして、ユーザ端末装置１００は、算出された特徴量に対応する認証結果をデータ演算装置３００、３１０、３２０に要求し、秘匿された認証結果をデータ演算装置３００、３１０、３２０から得て、秘匿認証システム５００におけるサービスに利用してもよい。このとき、ユーザ端末装置１００は、取得した認証結果を復号して利用する。

　［１．２．１　センシング部］
　センシング部１０１は、ユーザを認証するために必要な情報をセンシングするためのセンサである測定装置を、１つ以上含んで構成される。ユーザを認証するために必要な情報は、言い換えると、ユーザを他のユーザから識別するための情報であり、例えば、ユーザそのものが有する特徴またはユーザの行動の特徴に関する情報（以下、ユーザの情報ともいう）である。

　センシング部１０１がセンシングする情報は、ユーザを認証するために用いられる。例えば、ユーザそのものが有する特徴に関する情報は、ユーザの身体的特徴に関する情報である。ユーザの身体的特徴に関する情報は、例えば、顔、耳、もしくは、手のひらなど身体の一部に関する情報、または、静脈、声紋、指紋、網膜、虹彩、もしくは、ＤＮＡ（deoxyribonucleic acid）などの身体に一部に準ずる要素に関する情報でもよい。これらの情報は、画像データ、音声データ、または、数値などの文字列データである。例えば、ユーザの身体的特徴に関する情報は、顔画像、網膜画像、虹彩画像、指紋画像、静脈画像、音声情報、耳の形状情報、ＤＮＡ情報、または、手のひらの画像などである。

　また、センシング部１０１がセンシングする情報は、ユーザの行動の特徴（以下、行動的特徴という）に関する情報であってもよい。例えば、ユーザの行動的特徴に関する情報は、筆跡、キーストローク、もしくは、歩容などのユーザの癖に関する情報、または、行動履歴に関する情報である。行動履歴に関する情報は、例えば、ＧＰＳ（Global Positioning System）で得られる位置情報、ユーザが電気機器、もしくは、車両等の移動体を操作した履歴を示すログ情報、または、ユーザによる商品等の購入履歴情報等でもよい。

　ログ情報は、例えば、ユーザが車両を操作した場合、ステアリング操作、アクセル操作、ブレーキ操作、変速ギアの操作等に関連して取得または測定される各種情報であり、例えば、車両の移動の変位量、速度、または、加速度等を操作時刻と対応付けた情報であってもよい。

　なお、センシング部１０１がセンシングする情報は、例えばユーザが他人に知られたくない個人的な事柄であるプライバシデータであってもよい。例えば、プライバシデータは、ユーザが保有している文書情報、記憶、または、所有物に関する情報であってもよい。

　［１．２．２　特徴量算出部］
　特徴量算出部１０２は、センシング部１０１で取得したユーザの情報（以下、ユーザ情報ともいう）から特徴量を算出する。特徴量算出部１０２によって算出される特徴量は、複数の成分を含むベクトルで表され得る。

　特徴量は、例えば、ユーザの身体的特徴に関する情報から算出される特徴量（以下、身体的特徴量ともいう）、ユーザの行動的特徴に関する情報から算出される特徴量（以下、行動的特徴量ともいう）、および、ユーザが保有している保有物の特徴に関する情報から算出される特徴量（以下、保有物特徴量ともいう）のいずれかである。

　例えば、身体的特徴量は、網膜画像、虹彩画像、指紋画像、静脈画像、音声情報、耳の形状情報、ＤＮＡ情報、および、手のひらの画像のうちの少なくとも１つの情報の特徴量を含む。また、例えば、行動的特徴量は、筆跡、キーストローク、歩容、および、行動履歴のうちの少なくとも１つの情報の特徴量を含み、保有物特徴量は、ユーザが保有している文書情報、記憶、および、所有物のうちの少なくとも１つの情報の特徴量を含む。

　なお、特徴量は、例えば、ユーザ情報がユーザの顔画像である場合、顔画像における特徴的なパラメータの主成分である。当該特徴量は、例えば、ユーザの顔画像のある領域の位置、面積、または、幅等に関する特徴的なパラメータを含むベクトルで表されてもよい。また、特徴量は、例えば、ユーザ情報がユーザの行動履歴に関する情報である場合、当該履歴情報から、時間軸に対応した要素の傾向を（例えば多項式で表現した場合の各項の係数を）成分として含むベクトルで表されてもよい。

　なお、センシング部１０１で取得したユーザ情報から抽出された特徴量自体も、プライバシデータであり得る。特徴量は任意のｄ（ここで、ｄは自然数）に対して、ｄ個の要素を持つベクトルであり、例えば｛１，２，３，４，５｝のようなデータである。

　［１．２．３　特徴量分散部］
　特徴量分散部１０３は、特徴量算出部１０２により算出された特徴量を、あらかじめ定められた方法により分散して秘匿する。特徴量分散部１０３では、データ演算装置３００、３１０、３２０において特徴量を分散された状態のまま使用して予測処理を行うことが可能な方法、例えば、Ｓｈａｍｉｒ（２，３）閾値秘密分散法（非特許文献５：Adi Shamir、「How to Share a Secret」（http://cs.jhu.edu/~sdoshi/crypto/papers/shamirturing.pdf））を用いて特徴量を分散させることにより、分散された特徴量（以下、分散化特徴量ともいう）を作成する。

　秘密分散法とは、秘密情報から複数の分散情報を生成する技術である。分散情報は予め定められた組み合わせからは秘密情報を復元できるが、それ以外の組み合わせからは秘密情報が復元できないように作られる。予め定められた組み合わせには様々な構造を取ることができ、その構造は、アクセス構造と呼ばれる。

　様々なアクセス構造があるが、代表的なアクセス構造として、ここでは閾値型アクセス構造について簡単に説明する。閾値型アクセス構造は、生成される分散情報の数ｎと、閾値ｔ（ｔ≦ｎ）の２つのパラメータで表される。ｔ個以上の分散情報からは秘密情報が復元できるが、ｔ個未満の分散情報からは秘密情報が復元できない。

　閾値型アクセス構造を有する秘密分散法には、例えば、上記のＳｈａｍｉｒ（２，３）閾値秘密分散法があり、秘密情報を入力として３個の分散情報を生成するための分散処理と、２個以上の分散情報から秘密情報を復元する復元処理とを含む。

　分散処理に用いる法ｐは、あらかじめシステムで決定され、特徴量分散部１０３で保持される。図１４は、本実施の形態における分散化特徴量の一例を示す図である。

　［１．２．４　通信部］
　通信部１０４は、複数（例えば、３つ）のデータ演算装置３００、３１０、３２０と通信を行う。通信部１０４は、特徴量分散部１０３で作成された分散された特徴量（いわゆる、分散化特徴量）をそれぞれデータ演算装置３００、３１０、３２０に送信する。

　複数（例えば、３つ）のデータ演算装置３００、３１０、３２０は、これらの分散化特徴量を受信した後、これらの分散化特徴量を秘匿された状態のまま使用して、事前登録処理および認証処理を実行する。詳細は、後述する。

　［１．３　データ提供装置］
　続いて、データ提供装置２００について説明する。データ提供装置２００は、秘匿認証サービスを提供する企業または団体が所有する装置である。データ提供装置２００は、例えば、ＬＳＨパラメータと、ユーザの認証処理に用いる閾値と、一方向性関数を計算するために必要な鍵とを、データ演算装置３００、３１０、３２０に提供するための装置である。

　図３は、本実施の形態におけるデータ提供装置２００の構成の一例を示す図である。データ提供装置２００は、例えば、ＬＳＨパラメータ生成部２０１と、鍵生成部２０２と、鍵分散部２０３と、閾値設定部２０４、通信部２０５と、を備える。

　データ提供装置２００は、精度よくユーザの認証を行うためのＬＳＨパラメータを作成し、作成したＬＳＨパラメータを秘密分散法により分散して３つのデータ演算装置３００、３１０、３２０に送信する。ＬＳＨパラメータは、例えば、ＬＳＨを用いて同じ人の顔画像の特徴量から同じＬＳＨ値が導出されるように設定される。また、データ提供装置２００は、ユーザ情報が漏洩しないような、一方向性関数の処理を実行するための鍵を生成し、生成した鍵を秘密分散法により分散させて、分散された暗号鍵（以下、分散鍵という）をそれぞれ３つのデータ演算装置３００、３１０、３２０に送信する。

　［１．３．１　ＬＳＨパラメータ生成部］
　ＬＳＨパラメータ生成部２０１は、ＬＳＨを用いた認証を行うために必要なＬＳＨパラメータを生成し、通信部２０５に送信する。

　図１１は、本実施の形態におけるＬＳＨパラメータの一例を示す図である。図１２は、本実施の形態におけるＳｉｍＨａｓｈを用いたＬＳＨ値の計算式、およびＬＳＨ値の一例である。図１２に示されるように、例えば、ＳｉｍＨａｓｈと呼ばれるハッシュ関数を利用するＬＳＨの場合、特徴量のＬＳＨ値は、任意のｎ個のベクトルとの内積を計算し、それぞれの内積値が０以上であるかを確認する。内積値が０以上であれば１とし、０未満であれば０とすることで、ｍ個の｛０、１｝つまりｍビットの値が得られる。このｍビットの値をＬＳＨ値とする。図１１に示されるＬＳＨパラメータは、ｍを３としたときの、ＳｉｍＨａｓｈを利用するＬＳＨにおけるベクトルである。

　［１．３．２　鍵生成部］
　鍵生成部２０２では、一方向性関数の処理を実行するために用いられる鍵を生成する。例えば、一方向性関数としてＡｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ（ＡＥＳ）（非特許文献６：Joan Daemen、Vincent Rijmen、「AES Proposal: Rijndael」（https://csrc.nist.gov/csrc/media/projects/cryptographic-standards-and-guidelines/documents/aes-development/rijndael-ammended.pdf））を用いる場合、鍵生成部２０２は、一方向性を安全に満たすために、１２８ｂｉｔ、１９２ｂｉｔまたは２５６ｂｉｔの値を暗号鍵として生成する。

　［１．３．３　鍵分散部］
　鍵分散部２０３は、鍵生成部２０２で作成した暗号鍵を秘密分散法により分散し、通信部２０５へ送信する。

　［１．３．４　閾値設定部］
　閾値設定部２０４では、ユーザの認証処理に用いる閾値を設定し、設定した閾値を秘密分散法により分散し、通信部２０５へ送信する。データ演算装置３００、３１０、３２０がユーザの認証処理を行う際は、ユーザ情報の特徴量（第１分散化特徴量）と、サーバに事前に登録済みの分散化特徴量のうち、最も類似度が高い分散化特徴量との類似度が、閾値設定部２０４で設定した閾値以上であれば、事前に登録されたユーザであると判定して、ユーザを認証し、類似度が閾値以下であれば、事前に登録されたユーザではないと判定して、ユーザを否認する。

　［１．３．５　通信部］
　通信部２０５は、データ演算装置３００、３１０、３２０と通信を行う。通信部２０５は、ＬＳＨパラメータ生成部２０１で作成された分散化ＬＳＨパラメータと、鍵分散部２０３で作成された分散鍵と、閾値設定部２０４で設定された分散化閾値を複数（ここでは、３つ）のデータ演算装置３００、３１０、３２０に送信する。

　［１．４　データ演算装置］
　続いて、データ演算装置について説明する。データ演算装置３００、３１０、３２０は、例えば、クラウドサーバである。秘匿認証システム５００では、データ演算装置３００は、２つ以上備えられていればよい。

　本実施の形態では、３つのデータ演算装置３００、３１０、３２０はそれぞれ、互いに通信を行うことで、入力を秘匿したまま認証処理を行い、認証結果利用装置４００へ送信する。

　より具体的には、データ演算装置３００、３１０、３２０は、ユーザ情報の特徴量である第１分散化特徴量と、分散化されたＬＳＨのパラメータである分散化ＬＳＨパラメータとを入力として、入力を秘匿したままＬＳＨの処理を実行する秘匿ＬＳＨを用いて分散化ＬＳＨ値を計算する。

　さらにデータ演算装置３００、３１０、３２０は、分散化ＬＳＨ値と分散鍵とを入力として、入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて、分散化ハッシュ値を計算し、分散化ハッシュ値を、秘密分散法による分散を解除されたハッシュ値に復号する。

　その後、データ演算装置３００、３１０、３２０は、得られたハッシュ値をインデックスとして、秘匿ハッシュテーブル格納部３０６に格納されている秘匿ハッシュテーブルを参照する。秘匿ハッシュテーブルには、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されている。

　データ演算装置３００、３１０、３２０は、ユーザ情報の事前登録処理を行う際には、得られたハッシュ値をインデックスとして、秘匿ハッシュテーブルのデータ列にユーザ端末装置１００から送信された分散化特徴量を格納する。

　また、データ演算装置３００、３１０、３２０は、ユーザの認証処理を行う際には、秘匿ハッシュテーブルに格納されている複数の組のうち、復号されたハッシュ値と一致するハッシュ値を含む組を選択し、選択された組に含まれる分散化特徴量と、ユーザ端末装置１００から送信されたユーザの分散化特徴量（いわゆる、第１分散化特徴量）との類似度を計算し、計算された類似度に基づいてユーザの認証結果を秘匿したまま導出する。例えば、データ演算装置３００、３１０、３２０は、第１分散化特徴量との類似度が最も高い分散化特徴量を第２分散化特徴量として抽出する。そして、データ演算装置３００、３１０、３２０は、抽出された第２分散化特徴量と第１分散化特徴量との類似度が閾値よりも高いか否かを判定し、類似度が閾値より高ければ事前登録されたユーザ本人であると認証し、類似度が閾値以下であれば事前登録されたユーザ本人ではないと拒否する。

　図４は、データ演算装置３００の構成の一例を示す図である。データ演算装置３００は、分散鍵格納部３０１と、ＬＳＨパラメータ格納部３０２と、分散化ＬＳＨ値導出部３０３と、閾値格納部３０４と、分散化ハッシュ値導出部３０５と、秘匿ハッシュテーブル格納部３０６と、分散化認証結果導出部３０７と、通信部３０８と、分散化ハッシュ値復号部３０９と、を備える。

　データ演算装置３１０、３２０も、データ演算装置３００と同じ構成である。

　［１．４．１　分散鍵格納部］
　分散鍵格納部３０１は、データ提供装置２００から送信された、秘密分散法により分散された分散鍵を受け取り格納する。

　［１．４．２　ＬＳＨパラメータ格納部］
　ＬＳＨパラメータ格納部３０２は、データ提供装置２００から送信された分散化ＬＳＨパラメータを受け取り格納する。

　［１．４．３　分散化ＬＳＨ値導出部］
　分散化ＬＳＨ値導出部３０３は、ユーザ端末装置１００から送信された分散化特徴量と、ＬＳＨパラメータ格納部３０２に格納された分散化ＬＳＨパラメータとを用いて、分散化特徴量を復号することなくＬＳＨの処理を実行する秘匿ＬＳＨを用いて分散化特徴量のＬＳＨ値、つまり、分散化ＬＳＨ値を導出する。分散化ＬＳＨ値導出部３０３は、導出した分散化ＬＳＨ値を分散化ハッシュ値導出部３０５に送信する。

　ＬＳＨの計算方法としては、ＳｉｍＨａｓｈ（非特許文献７：Moses S. Charikar、「Similarity Estimation Techniques from Rounding Algorithms.」（https://www.cs.princeton.edu/courses/archive/spring04/cos598B/bib/CharikarEstim.pdf））、または、ＭｉｎＨａｓｈ（非特許文献８：Ping Li、外１名、「b-Bit Minwise Hashing」（https://arxiv.org/pdf/0910.3349.pdf））を用いてもよい。上述したように、ＳｉｍＨａｓｈでは、ＬＳＨパラメータとして特徴量と同じ次元数の、値がランダムなベクトルをｎ個作成しておく。このｎ個のベクトルと特徴量との内積を計算し、内積値が０以上か否かを判定する。これによって得られたｎ個の｛０，１｝をＬＳＨ値として用いる。

　［１．４．４　閾値格納部］
　閾値格納部３０４は、データ提供装置２００から送信された、ユーザの認証処理で用いられる閾値を受け取り格納する。

　［１．４．５　分散化ハッシュ値導出部］
　分散化ハッシュ値導出部３０５は、分散化ＬＳＨ値導出部３０３で導出された分散化ＬＳＨ値と、分散鍵格納部３０１に格納された分散鍵とを用いて、ＬＳＨ値を秘匿したまま一方向性関数の処理を実行する秘匿一方向性関数を用いて分散化ハッシュ値を導出する。分散化ハッシュ値導出部３０５は、導出した分散化ハッシュ値を分散化ハッシュ値復号部３０９に送信する。復号し、復号されたハッシュ値を出力、秘匿ハッシュテーブル格納部３０６に送信する。

　一方向性関数としては、ＭＤ５、もしくは、Ｓｅｃｕｒｅ　Ｈａｓｈ　Ａｌｇｏｒｉｔｈｍ（ＳＨＡ）などの暗号学的ハッシュ関数、べき乗関数（非特許文献９：Chao Ning、外１名、「Constant-Rounds, Linear Multi-party Computation for Exponentiation and Modulo Reduction with Perfect Security」（https://eprint.iacr.org/2011/069.pdf））、または、ＡＥＳ、または、ＥｌＧａｍａｌ暗号、ＲＳＡ暗号、楕円曲線暗号などの公開鍵暗号を用いてもよい。

　例えば、一方向性関数として、べき乗関数を用いる場合は、分散鍵をｋ、分散化ＬＳＨ値をｘ、出力のハッシュ値をｙとしたとき、ｙ＝ｋ＾ｘ　ｍｏｄ ｐを計算する。なお、ｐは秘密分散法における法と異なる値でも良いが、同じ値の方が、効率が良い。

　一方向性関数として、ＡＥＳを用いる場合には、分散鍵は秘密分散法により分散されたＡＥＳ鍵のことをさす。一方向性関数として、鍵の入力を必要としない方法を用いる場合には、分散鍵は空としてもよい。

　［１．４．６　分散化ハッシュ値復号部］
　分散化ハッシュ値復号部３０９は、分散化ハッシュ値導出部３０５で導出した分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号し、復号されたハッシュ値を秘匿ハッシュテーブル格納部３０６に送信する。

　［１．４．７　秘匿ハッシュテーブル格納部］
　秘匿ハッシュテーブル格納部３０６は、秘匿ハッシュテーブルを格納している。秘匿ハッシュテーブルは、ハッシュ値をインデックスとしてのハッシュ値と、データ列としての分散化特徴量との組が予め格納されたテーブルである。

　秘匿ハッシュテーブル格納部３０６は、ユーザ情報の事前登録処理の際には、分散化ハッシュ値復号部３０９で復号したハッシュ値を用いて秘匿ハッシュテーブルを参照し、ユーザ端末装置１００から送信された分散化特徴量を格納する。例えば、秘匿ハッシュテーブル格納部３０６は、復号されたハッシュ値と同じハッシュ値をインデックスとするデータ列に、ユーザ端末装置１００から送信された分散化特徴量を秘匿ハッシュテーブルに格納してもよい。また、例えば、秘匿ハッシュテーブル格納部３０６は、復号されたハッシュ値と、ユーザ端末装置１００から送信された分散化特徴量とを紐づけて、つまり、組として、秘匿ハッシュテーブルに格納してもよい。

　秘匿ハッシュテーブル格納部３０６は、ユーザの認証処理の際には、分散化ハッシュ値復号部３０９で復号したハッシュ値を用いて秘匿ハッシュテーブルを参照し、復号されたハッシュ値と同じハッシュ値をインデックスとする行に格納されている分散化特徴量を全て読み出し、分散化認証結果導出部３０７に送信する。

　また、例えば、秘匿ハッシュテーブル格納部３０６は、ユーザの認証処理の際には、分散化ハッシュ値復号部３０９で復号したハッシュ値と一致するハッシュ値を含む組を秘匿ハッシュテーブルから選択し、選択された組を分散化認証結果導出部３０７に送信してもよいし、選択された組に含まれる分散化特徴量を全て分散化認証結果導出部３０７に送信してもよい。

　ここで、ハッシュテーブルについて具体的に説明する。図１３はハッシュテーブルの一例を示す図であり、図１５は本実施の形態における秘匿ハッシュテーブルの一例を示す図である。この例では、３人のユーザ情報が事前登録されている。

　図１３に示されるハッシュテーブルは、平文のハッシュテーブルであり、インデックスとしてのＬＳＨ値と、データ列としての特徴量とが紐づけられて格納されている。平文のハッシュテーブルは、ＬＳＨ値から元のユーザ情報を導出することができるため、ユーザ情報の安全性の観点から好ましくない。そこで、図１５に示されるように、本実施の形態では、秘匿一方向性関数を用いて分散化ＬＳＨ値のハッシュ値である分散化ハッシュ値を導出し、導出された分散化ハッシュ値を復号して得られたハッシュ値をインデックスとすることにより、安全性を高めている。また、本実施の形態では、秘匿ハッシュテーブルには、インデックスとしてのハッシュ値にデータ列としての分散化特徴量が紐づけられて格納されている。図１５では、秘密分散法の法ｐは、例えば、６５５１９である。

　［１．４．８　分散化認証結果導出部］
　分散化認証結果導出部３０７は、例えば、秘匿ハッシュテーブル格納部３０６から送信された分散化特徴量を受け取り、受け取った分散化特徴量と認証対象のユーザの分散化特徴量（第１分散化特徴量）との類似度に基づいてユーザの認証結果を導出する。

　例えば、分散化認証結果導出部３０７は、ユーザの認証結果の導出において、選択された組に含まれる分散化特徴量のうち、ユーザ端末装置１００から送信された第１分散化特徴量と最も類似度の高い分散化特徴量を第２分散化特徴量として抽出し、抽出された第２分散化特徴量と第１分散化特徴量との類似度が閾値よりも高いか否かを判定する。なお、分散化認証結果導出部３０７は、類似度を計算する際には、平文の類似度を求めてもよいし、秘密分散法により分散された類似度の分散値（分散化類似度ともいう）を求めてもよい。

　最後に、分散化認証結果導出部３０７は、計算された類似度が閾値よりも高ければ、ユーザを認証し、閾値よりも低ければユーザを否認する。

　類似度としては、２つの特徴量（ここでは、第１分散化特徴量と第２分散化特徴量）のユークリッド類似度、または、２乗ユークリッド類似度を類似度としてもよいし、コサイン類似度を類似度としてもよい。

　認証結果は、平文の認証結果であってもよいし、秘密分散法により分散された認証結果の分散値（分散化認証結果ともいう）であってもよい。

　分散化認証結果導出部３０７は、導出した認証結果を通信部３０８に送信する。送信された認証結果は、最終的に認証結果利用装置４００に送信される。なお、認証結果はユーザ端末装置１００に送信されてもよい。

　［１．４．９　通信部］
　通信部３０８は、ユーザ端末装置１００、および、データ提供装置２００と通信を行う。例えば、通信部３０８は、データ提供装置２００から分散化ＬＳＨパラメータと、認証処理で用いられる分散化閾値と、秘密分散法により分散された鍵とを受け取り、分散化ＬＳＨパラメータをＬＳＨパラメータ格納部３０２に、分散化閾値を閾値格納部３０４に、分散鍵を分散鍵格納部３０１に送信する。

　また、通信部３０８は、ユーザ端末装置１００から秘密分散法により分散された特徴量（いわゆる、分散化特徴量）を受け取り、分散化ＬＳＨ値導出部３０３、および、分散化認証結果導出部３０７に送信する。

　［１．５　認証結果利用装置］
　続いて、認証結果利用装置について説明する。認証結果利用装置４００は、例えば、イベント会場等の受付に設置されている端末であり、プロセッサ（マイクロプロセッサ）、メモリ、センサ、通信インタフェース等を備えるコンピュータまたは携帯端末に実装される。秘匿認証システム５００では、認証結果利用装置４００は、１つ以上備えられてもよい。

　本実施の形態では、認証結果利用装置４００は、３つのデータ演算装置３００、３１０、３２０から分散された認証結果（分散化認証結果ともいう）を受け取り、秘密分散法による分散を解除して平文の認証結果に復号する。

　分散化認証結果は、例えば、受付担当者またはユーザに認証結果に関する情報を提示するために利用されてもよく、イベント会場への入退場ゲートを開錠するために利用されてもよい。

　図５は、認証結果利用装置４００の構成の一例を示す図である。認証結果利用装置４００は、分散化認証結果復号部４０１と、認証結果利用部４０２と、通信部４０３と、を備える。

　［１．５．１　分散化認証結果復号部］
　分散化認証結果復号部４０１は、データ演算装置３００、３１０、３２０から送信された分散化認証結果を復号する。例えば、分散化認証結果復号部４０１は、分散化認証結果の秘密分散法による分散を解除して、認証結果に復号してもよい。分散化認証結果復号部４０１は、復号された認証結果を認証結果利用部４０２に送信する。

　［１．５．２　認証結果利用部］
　認証結果利用部４０２は、分散化認証結果復号部４０１で復号した分散化認証結果を利用する。分散化認証結果は、例えば、受付担当者またはユーザに認証結果に関する情報を提示するために利用される。認証結果利用部４０２は、例えばディスプレイ、音声出力装置、その他のユーザインタフェースを含んで実装されうる。

　認証結果の提示の例としては、例えば、認証結果利用装置４００のディスプレイに認証結果に関する情報を表示すること等が挙げられる。認証結果に関する情報は、例えば、ユーザ本人であると認証された場合、「ＯＫ」、または、「認証されました」などのユーザが認証されたことを示す情報であってもよく、当該情報に加え、ユーザのＩＤなどのユーザに関するユーザ情報を含んでもよい。また、認証結果に関する情報は、例えば、ユーザが否認された場合、「ＮＧ」、または、「認証されませんでした」などの否認されたことを示す情報であってもよい。

　また、分散化認証結果は、例えば、イベント会場への入退場ゲートを開錠するために利用されてもよい。認証結果利用装置４００は、例えば、イベント会場等への入退場ゲートと接続されていてもよい。その場合、分散化認証結果復号部４０１で復号された認証結果（いわゆる、認証結果）を受け取った認証結果利用部４０２は、ユーザが認証されていたら入退場ゲートを開ける等の操作に関する制御を行ってもよい。

　［１．５．３　通信部］
　通信部４０３は、データ演算装置３００、３１０、３２０と通信を行う。通信部４０３は、データ演算装置３００、３１０、３２０から秘密分散法で分散された認証結果（いわゆる、分散化認証結果）を受け取り、分散化認証結果復号部４０１へ送信する。

　［２．　秘匿認証システムの動作（秘匿認証方法）］
　続いて、本実施の形態に係る秘匿認証システム５００の動作の一例について説明する。秘匿認証システム５００の動作は、（１）データ提供装置２００が秘密分散法により分散された鍵（いわゆる、分散鍵）と、分散化ＬＳＨパラメータと、ユーザの認証処理に用いられる閾値をデータ演算装置３００、３１０、３２０に送信する初期化フェーズと、（２）ユーザが自身の情報（つまり、ユーザ情報）の特徴量を登録する登録フェーズと、（３）ユーザが現在取得したユーザ情報を用いて認証を行う認証フェーズと、を含む。

　［２．１　初期化フェーズ］
　まず、秘匿認証システム５００の初期化フェーズの動作について説明する。図６は、本実施の形態に係る秘匿認証システム５００の初期化フェーズの動作の一例を示すシーケンス図である。

　初期化フェーズでは、まず、データ提供装置２００は、ＬＳＨパラメータ生成部２０１でＬＳＨパラメータを生成し、閾値設定部２０４で認証に用いる閾値を設定する（Ｓ１０１）。

　続いて、データ提供装置２００は、データ演算装置３００、３１０、３２０にＬＳＨパラメータと閾値とを送信する（Ｓ１０２）。

　続いて、データ演算装置３００、３１０、３２０は、データ提供装置２００から送信されたＬＳＨパラメータと閾値とを受け取り、受け取ったＬＳＨパラメータをＬＳＨパラメータ格納部３０２に格納し、閾値を閾値格納部３０４に格納する（Ｓ１０３）。

　続いて、データ提供装置２００は、鍵生成部２０２で一方向性関数の処理に用いる鍵を生成する（Ｓ１０４）。

　続いて、データ提供装置２００は、ステップＳ１０４の処理で生成された鍵を鍵分散部２０３で秘密分散法により分散する（Ｓ１０５）。

　続いて、データ提供装置２００は、ステップＳ１０５の処理で分散された鍵（いわゆる、分散鍵）をデータ演算装置３００、３１０、３２０に送信する（Ｓ１０６）。

　続いては、データ演算装置３００、３１０、３２０は、データ提供装置２００から送信された分散鍵を受け取り、受け取った分散鍵を分散鍵格納部３０１に格納する（Ｓ１０７）。

　以上により、初期化フェーズでは、データ提供装置２００は、ＬＳＨの処理で用いられるＬＳＨパラメータを生成し、一方向性関数の処理で用いられる分散鍵を設定して、ＬＳＨパラメータおよび分散鍵をデータ演算装置３００、３１０、３２０に送信する。これにより、データ演算装置３００、３１０、３２０は、ユーザ端末装置１００から分散化特徴量が送信された場合に、当該分散化特徴量を受け取り、ユーザの登録処理（以下の登録フェーズの動作）およびユーザの認証処理（以下の認証フェーズの動作）を行うことができる。

　［２．２　登録フェーズ］
　次に、秘匿認証システム５００の登録フェーズの動作について説明する。図７は、本実施の形態に係る秘匿認証システム５００の登録フェーズの動作の一例を示すシーケンス図である。

　登録フェーズでは、まず、ユーザ端末装置１００は、センシング部１０１でユーザ情報をセンシングする（Ｓ２０１）。ステップＳ２０１では、例えば、顔認証のための顔画像を登録する場合、センシング部１０１はユーザの顔画像を撮影する。

　続いて、ユーザ端末装置１００は、特徴量算出部１０２にて、ステップＳ２０１でセンシングされたユーザ情報から特徴量を算出する（Ｓ２０２）。ここで、特徴量を算出する方法は、サービス提供者により事前に決定され、全てのユーザ端末装置１００に共有されているものとする。

　続いて、ユーザ端末装置１００は、特徴量分散部１０３にて、ステップＳ２０２で算出された特徴量を秘密分散法によって分散し（Ｓ２０３）、分散された特徴量（いわゆる、分散化特徴量）をデータ演算装置３００、３１０、３２０に送信する（Ｓ２０４）。

　続いて、データ演算装置３００、３１０、３２０は、ユーザ端末装置１００から分散化特徴量を取得すると、ユーザの登録処理を行う（Ｓ２０５）。

　以下、ユーザの登録処理について図８を参照しながらより具体的に説明する。図８は、図７のステップＳ２０５における詳細な処理の一例を示すシーケンス図である。

　ステップＳ２０５の処理では、データ演算装置３００、３１０、３２０は、分散化ＬＳＨ値導出部３０３で特徴量の分散化ＬＳＨ値を導出する（Ｓ３０１）。より具体的には、データ演算装置３００、３１０、３２０は、それぞれ、ユーザ端末装置１００から取得した分散化特徴量と、ＬＳＨパラメータ格納部３０２に格納されたＬＳＨパラメータ（分散化パラメータ）と入力として、分散化ＬＳＨ値導出部３０３にて、入力を秘匿したままＬＳＨの処理を実行する秘匿ＬＳＨを用いて、特徴量の分散化ＬＳＨ値を導出する。これにより、データ演算装置３００、３１０、３２０は、得られた分散化特徴量の秘密分散法による分散を解除することなく、分散化ＬＳＨ値を導出することができる。

　続いて、データ演算装置３００、３１０、３２０は、ＬＳＨ値の分散化ハッシュ値を導出する（Ｓ３０２）。より具体的には、データ演算装置３００、３１０、３２０は、ステップＳ３０１で導出された分散化ＬＳＨ値と、分散鍵格納部３０１に格納された分散鍵とを入力として、分散化ハッシュ値導出部３０５にて、入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて、ＬＳＨ値の分散化ハッシュ値を導出する。これにより、データ演算装置３００、３１０、３２０は、分散化ＬＳＨ値の秘密分散法による分散を解除することなく、ＬＳＨ値の分散化ハッシュ値を導出することができる。

　続いて、データ演算装置３００、３１０、３２０は、分散化ハッシュ値を復号する（Ｓ３０３）。より具体的には、データ演算装置３００、３１０、３２０は、ステップＳ３０２で導出された分散化ハッシュ値を、分散化ハッシュ値復号部３０９にて、秘密分散法による分散が解除されたハッシュ値に復号する。

　続いて、データ演算装置３００、３１０、３２０は、ステップＳ３０３で得られたハッシュ値をインデックスとして、ユーザ端末装置１００から取得した分散化特徴量を秘匿ハッシュテーブルに追加する（Ｓ３０４）。上述したように、秘匿ハッシュテーブルは、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との組が予め格納されたテーブルである。データ演算装置３００、３１０、３２０は、例えば、秘匿ハッシュテーブル格納部３０６にて、ステップＳ３０３で得られたハッシュ値をインデックスとして秘匿ハッシュテーブルを参照し、ハッシュ値が示す行のデータ列に、ユーザ端末装置１００から送信された分散化特徴量を追加する。

　以上により、登録フェーズでは、データ演算装置３００、３１０、３２０は、それぞれ、ユーザ端末装置１００から送信された分散化特徴量のＬＳＨ値のハッシュ値を、秘密分散法による分散を解除せずに導出し、導出されたハッシュ値（つまり、分散化ハッシュ値）が示す行のデータ列にユーザ端末装置１００から送信された分散化特徴量を追加することでユーザ登録処理を行う。

　［２．３　認証フェーズ］
　次に、秘匿認証システム５００の認証フェーズの動作について説明する。図９は、本実施の形態に係る秘匿認証システム５００の認証フェーズの動作の一例を示すシーケンス図である。

　認証フェーズでは、まず、ユーザ端末装置１００は、センシング部１０１でユーザ情報をセンシングする（Ｓ４０１）。ステップＳ４０１では、例えば、登録フェーズのステップＳ２０１において顔認証のための顔画像を登録した場合、センシング部１０１はユーザの顔画像を撮影する。

　続いて、ユーザ端末装置１００は、特徴量算出部１０２にて、ステップＳ４０１でセンシングされたユーザ情報から特徴量を算出する（Ｓ４０２）。なお、ステップＳ２０２と同様に、特徴量を算出する方法はサービス提供者により事前に決定され、全てのユーザ端末装置１００に共有されているものとする。

　続いて、ユーザ端末装置１００は、特徴量分散部１０３にて、ステップＳ４０２で算出された特徴量を秘密分散法によって分散し（Ｓ４０３）、分散された特徴量（いわゆる、分散化特徴量）をデータ演算装置３００、３１０、３２０に送信する（Ｓ４０４）。

　続いて、データ演算装置３００、３１０、３２０は、ユーザ端末装置１００から分散化特徴量（以下、認証フェーズにおいて、第１分散化特徴量という）を取得すると、ユーザの認証処理を行う（Ｓ４０５）。ユーザの認証処理の詳細については、後述する。

　続いて、データ演算装置３００、３１０、３２０は、ステップＳ４０５のユーザの認証処理で得られた分散化認証結果を認証結果利用装置４００に送信する（Ｓ４０６）。

　続いて、認証結果利用装置４００は、データ演算装置３００、３１０、３２０から取得した分散化認証結果を復号する（Ｓ４０７）。より具体的には、認証結果利用装置４００は、データ演算装置３００、３１０、３２０から送信された分散化認証結果を取得すると、分散化認証結果復号部４０１にて分散化認証結果の秘密分散法による分散を解除して、平文の認証結果に復号する。

　続いて、認証結果利用装置４００は、ステップＳ４０７で復号された認証結果を認証結果利用部４０２にて利用する（Ｓ４０８）。例えば、認証結果利用部４０２は、認証結果を受付担当者またはユーザに認証結果に関する情報を提示するために利用してもよく、イベント会場への入退場ゲートを会場するために利用してもよい。イベント会場の入退場ゲートだけでなく、例えば、建物または部屋などのドアであってもよい。

　以下、ユーザの認証処理について図１０を参照しながらより具体的に説明する。図１０は、図９のステップＳ４０５における詳細な処理の一例を示すシーケンス図である。

　ステップＳ４０５の処理では、データ演算装置３００、３１０、３２０は、分散化ＬＳＨ値導出部３０３で特徴量の分散化ＬＳＨ値を導出する（Ｓ５０１）。より具体的には、データ演算装置３００、３１０、３２０は、それぞれ、ユーザ端末装置１００から取得した分散化特徴量と、ＬＳＨパラメータ格納部３０２に格納されたＬＳＨパラメータ（いわゆる、分散化ＬＳＨパラメータ）とを入力として、分散化ＬＳＨ値導出部３０３にて、入力を秘匿したままＬＳＨの処理を実行する秘匿ＬＳＨを用いて、特徴量の分散化ＬＳＨ値を導出する。これにより、データ演算装置３００、３１０、３２０は、得られた分散化特徴量の秘密分散法による分散を解除することなく、分散化ＬＳＨ値を導出することができる。

　続いて、データ演算装置３００、３１０、３２０は、ＬＳＨ値の分散化ハッシュ値を導出する（Ｓ５０２）。より具体的には、データ演算装置３００、３１０、３２０は、ステップＳ５０１で導出された分散化ＬＳＨ値と、分散鍵格納部３０１に格納された分散鍵とを入力として、分散化ハッシュ値導出部３０５にて、入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて、ＬＳＨ値の分散化ハッシュ値を導出する。これにより、データ演算装置３００、３１０、３２０は、分散化ＬＳＨ値の秘密分散法による分散を解除することなく、ＬＳＨ値の分散化ハッシュ値を導出することができる。

　続いて、データ演算装置３００、３１０、３２０は、分散化ハッシュ値を復号する（Ｓ５０３）。より具体的には、データ演算装置３００、３１０、３２０は、ステップＳ５０２で導出された分散化ハッシュ値を、分散化ハッシュ値復号部３０９にて、秘密分散法による分散が解除されたハッシュ値に復号する。

　続いて、データ演算装置３００、３１０、３２０は、分散化認証結果導出部３０７にて、ステップＳ５０３で得られたハッシュ値をインデックスとして秘匿ハッシュテーブルを参照し、ハッシュ値が示す行のデータ列に格納されている分散化特徴量群を取り出す（Ｓ５０４）。分散化特徴量群は、例えば、０個以上の分散化特徴量を含むリストである。なお、秘匿ハッシュテーブルは、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルであってもよい。この場合、データ演算装置３００、３１０、３２０は、分散化認証結果導出部３０７にて、当該秘匿ハッシュテーブルを用いて、複数の組のうち、分散化ハッシュ値復号部３０９により復号されたハッシュ値と一致するハッシュ値を含む組を選択してもよい。

　続いて、データ演算装置３００、３１０、３２０は、ステップＳ５０４で秘匿ハッシュテーブルから取り出された分散化特徴量群に含まれるすべての分散化特徴量と、ステップＳ４０４でユーザ端末装置１００から送信された認証用の分散化特徴量（いわゆる、第１分散化特徴量）との分散化類似度（以下、類似度という）を計算する（Ｓ５０５）。例えば、データ演算装置３００、３１０、３２０は、分散化認証結果導出部３０７にて、秘匿ハッシュテーブルから選択された組に含まれる分散化特徴量と、第１分散化特徴量との類似度を秘匿のまま計算してもよい。

　続いて、データ演算装置３００、３１０、３２０は、ステップＳ５０５にて計算された類似度に基づいてユーザの認証結果を導出する。例えば、データ演算装置３００、３１０、３２０は、分散化認証結果導出部３０７にて、分散化特徴量群の中で、認証用の分散化特徴量（つまり、第１分散化特徴量）と最も類似度の高い分散化特徴量を第２分散化特徴量として抽出し、抽出された第２分散化特徴量と第１分散化特徴量との類似度が閾値よりも高いか否かを判定し、認証結果を導出する（Ｓ５０６）。

　ステップＳ５０６では、例えば、データ演算装置３００、３１０、３２０は、分散化認証結果導出部３０７にて、類似度が閾値よりも高いと判定された場合、ユーザの認証が成功したことを表す数値の分散値を認証結果として出力し、類似度が閾値以下であると判定された場合、ユーザの認証が失敗したこと（つまり、ユーザを否認したこと）を表す数値の分散値を認証結果として出力する。

　ユーザの認証が成功したことを表す数値と、ユーザの認証が失敗したことを表す数値とは、異なる数値であり、システムで決定されていればどのような数値であってもよい。例えば、ユーザの認証が成功したことを表す数値は１であり、ユーザを否認したことを表す数値は０であってもよい。

　以上により、認証フェーズでは、データ演算装置３００、３１０、３２０は、秘匿ＬＳＨと秘匿一方向性関数とを用いて、ユーザが認証用に送信したユーザ情報、および、ユーザにより秘匿ハッシュテーブルに事前に登録されたユーザ情報を秘匿にしたまま、認証処理を行う。認証処理では、データ演算装置３００、３１０、３２０は、認証用の分散化特徴量（いわゆる、第１分散化特徴量）と最も類似度の高い分散化特徴量を第２分散化特徴量として抽出することにより認証対象のユーザ情報と最も類似度の高いユーザ情報を効率的に検索することができる。そして、データ演算装置３００、３１０、３２０は、抽出された第２分散化特徴量と第１分散化特徴量との類似度が閾値よりも高いか否かを判定し、認証が成功したか否かを表す数値の分散値を認証結果として出力する。

　以上、秘匿認証システム５００の一例について説明したが、秘匿認証システム５００は、少なくとも以下の構成を備えるシステムであってもよい。

　秘匿認証システム５００は、例えば、分散化ＬＳＨ値導出部３０３（図４参照）と、分散化ハッシュ値導出部３０５（図４参照）と、分散化ハッシュ値復号部３０９（図４参照）と、秘匿ハッシュテーブル格納部３０６（図４参照）と、分散化認証結果導出部３０７（図４参照）と、出力部（図４の通信部３０８に対応）と、を備えているとよい。各部については上述したためここでの説明を省略する。

　また、秘匿認証方法は、少なくとも以下の処理フローを含む方法であってもよい。図１６は、本実施の形態に係る秘匿認証方法の一例を示すフローチャートである。図１６に示されるように、秘匿認証システム５００により実行される秘匿認証方法は、例えば、暗号化され、かつ、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨの暗号化されたパラメータである暗号化ＬＳＨパラメータとを入力として、入力を秘匿したままＬＳＨの処理を実行する秘匿ＬＳＨを用いて、暗号化され、かつ、分散されたＬＳＨ値である分散化ＬＳＨ値を導出し（Ｓ６０１）、導出された分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって暗号化され、かつ、分散された鍵である分散鍵とを入力として、入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて、暗号化され、かつ、分散されたハッシュ値である分散化ハッシュ値を導出し（Ｓ６０２）、導出された分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号し（Ｓ６０３）、インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを用いて、複数の組のうち、復号されたハッシュ値と一致するハッシュ値を含む組を選択し（Ｓ６０４）、選択された組に含まれる分散化特徴量と、第１分散化特徴量との類似度を秘匿したまま計算し（Ｓ６０５）、計算された類似度に基づいてユーザの認証結果を秘匿したまま導出し（Ｓ６０６）、導出された認証結果を出力する（Ｓ６０７）。

　（他の実施の形態）
　以上、本開示に係る秘匿認証システム、および、秘匿認証方法について、実施の形態に基づいて説明したが、本開示は、上記の実施の形態に限定されるものではない。本開示の主旨を逸脱しない限り、当業者が思いつく各種変形を実施の形態に施したものや、実施の形態における一部の構成要素を組み合わせて構築される別の形態も、本開示の範囲に含まれる。例えば、以下のような場合も本開示に含まれる。

　（１）上記実施の形態では、ユーザ情報の特徴量として例えば顔画像の特徴量を利用してユーザの認証を行っているが、網膜画像、虹彩画像、指紋画像、静脈画像、音声情報、耳の形状情報、ＤＮＡ情報、もしくは、手のひらの画像といったユーザの身体的特徴の特徴量、筆跡、キーストローク、歩容、もしくは、行動履歴などのユーザの行動的特徴の特徴量、または、ユーザが所有している文書情報、ユーザの記憶、もしくは、ユーザが所持しているもの（所有物）などのユーザの所有物の特徴に関する特徴量をユーザの認証に利用してもよい。

　（２）上記実施の形態では、単一の特徴量（例えば、第１分散化特徴量）のみを用いてユーザの認証を行っているが、例えば上記（１）に示される複数種類の特徴量を組み合わせてユーザの認証を行ってもよい。例えば、指紋画像と虹彩画像とを用いてユーザの認証を行ってもよい。この場合、指紋画像を用いたユーザの認証が成功しても、虹彩画像を用いたユーザの認証が失敗した場合、ユーザは否認される。

　（３）上記実施の形態では、ユーザ端末装置１００がユーザ情報から特徴量を算出しているが、データ演算装置３００、３１０、３２０がユーザ情報から特徴量を算出ユーザ情報から特徴量を算出してもよい。この場合、データ演算装置３００、３１０、３２０は、分散化ユーザ情報から分散化特徴量を算出する。例えば、ユーザ端末装置１００は、ユーザ情報を分散した分散化ユーザ情報をデータ演算装置３００、３１０、３２０に送信する。データ演算装置３００、３１０、３２０は、分散化ユーザ情報を取得すると、ユーザ情報を秘匿したまま特徴量を算出する、つまり、分散化ユーザ情報から分散化特徴量を算出する。

　上記の実施の形態では、登録フェーズおよび認証フェーズで、ユーザ端末装置１００が分散化特徴量をデータ演算装置３００、３１０、３２０に送信しているが、データ演算装置３００、３１０、３２０がユーザ端末装置１００から送信された分散化ユーザ情報から分散化特徴量を算出してもよい。なお、登録フェーズおよび認証フェーズでは、特徴量の算出方法が同じであればよく、どのような算出方法を使ってもよい。

　（４）上記実施の形態では、ユーザ端末装置１００がユーザ情報から特徴量を算出しているが、ユーザ端末装置１００とは別に、特徴量の算出を行う特徴量算出装置を用意し、特徴量算出装置でユーザ情報の特徴量を算出してもよい。

　この場合、ユーザ端末装置１００はユーザ情報を分散した分散化ユーザ情報を特徴量算出装置に送信し、特徴量算出装置がユーザ情報を秘匿したまま特徴量を算出してもよい。また、ユーザ端末装置１００はユーザ情報を特徴量算出装置に送信し、特徴量算出装置がユーザ情報から特徴量を算出してもよい。

　なお、暗号化ユーザ情報を特徴量算出装置に送信する場合は、特徴量算出装置が信頼のおける装置であり、特徴量算出装置からユーザ情報が漏洩しないことが求められる。

　（５）上記実施の形態では、秘匿ハッシュテーブルのデータ列には分散化特徴量のみを含んでいるが、さらに、分散化ユーザＩＤなどの分散化されたユーザ情報を含んでもよい。秘匿ハッシュテーブルに格納されるユーザ情報はこれに限定されず、秘匿ハッシュテーブルのデータ列に分散化特徴量が含まれていればいかなるデータでも良い。この場合、データ演算装置３００、３１０、３２０は、認証結果として認証が成功したか否かを表す数値に加え、秘匿ハッシュテーブルに格納されているユーザ情報を出力してもよい。

　（６）上記実施の形態では、データ演算装置３００、３１０、３２０は、認証処理を行う際に、認証用の分散化特徴量（第１分散化特徴量）と最も類似度の高い分散化特徴量（第２分散化特徴量）との類似度と閾値とを比較して認証が成功したか否かを表す数値の分散値を認証結果として出力しているが、秘匿ハッシュテーブルから選択された分散化特徴量、および、それに対応する分散化ユーザＩＤなどの分散化ユーザ情報を認証結果利用装置４００に出力してもよい。この場合、データ演算装置３００、３１０、３２０から分散化特徴量、分散化ユーザＩＤ、または、その他の分散化ユーザ情報を受け取った認証結果利用装置４００にて、認証対象のユーザ情報と、データ演算装置３００、３１０、３２０から送信されたユーザ情報とを比較することでユーザの認証を行ってもよい。

　（７）上記実施の形態では、データ演算装置３００、３１０、３２０は分散化認証結果を認証結果利用装置４００に送信しているが、データ演算装置３００、３１０、３２０が分散化認証結果を認証結果に復号してから認証結果を認証結果利用装置４００に送信してもよい。これにより、認証結果利用装置４００は分散化認証結果を平文の認証結果に復号する必要がないため、受け取った認証結果をそのまま利用することができる。

　（８）上記実施の形態では、データ演算装置３００、３１０、３２０は分散化認証結果を認証結果利用装置４００に送信しているが、分散化認証結果をユーザ端末装置１００に送信してもよい。この場合、ユーザ端末装置１００は、例えば、分散化認証結果復号部４０１および認証結果利用部４０２を備えており、取得した分散化認証結果を復号して利用してもよい。

　（９）上記実施の形態では、データ演算装置３００、３１０、３２０は認証結果利用装置４００に分散化認証結果を送信しているが、認証結果利用装置４００およびユーザ端末装置１００の両方に分散化認証結果を送信してもよい。

　（１０）上記実施の形態では、一方向性関数としてＡＥＳを用いた例を説明したが、一方向性関数として、出力から入力を求められない関数であればいかなる関数を用いても良い。

　（１１）上記（１０）では、一方向性関数として、出力から入力を求められない関数であればいかなる関数でもよいとしているが、べき乗関数、または、ＳＨＡもしくはＭＤ５などの暗号学的ハッシュ関数等、一方向性関数の計算にランダムな値を用いることで出力にランダム性を持たせることができる関数を用いることとしてもよい。

　このような関数を用いない場合、ＬＳＨ値の取り得る全ての値を入力として一方向性関数の計算を実行することにより、入力と出力との対応表を作成することが可能となる。そのため、特にＬＳＨ値の取りうる値が少ない場合には、上記の対応表を容易に作成することができるため、対応表を用いて一方向性関数に入力したＬＳＨ値を容易に求めることができる。ＬＳＨ値からユーザ情報を特定することができるため、ユーザ情報の安全性の観点で問題になる。しかしながら、（１１）に例示した関数を用いることで、上記の対応表を作成することができなくなるため、一方向性関数の出力から入力を求めることが困難になる。そのため、ユーザ情報の安全性が向上される。

　（１２）上記実施の形態では、一方向性関数としてＡＥＳを用いているが、ＥｌＧａｍａｌ暗号やＲＳＡ暗号、楕円曲線暗号等の公開鍵暗号を用いてもよい。公開鍵暗号を用いる場合、鍵ペアを作成後に公開鍵を削除することで、ＡＥＳよりも一方向性を強固にすることができる。

　（１３）上記実施の形態では、一方向性関数で用いる鍵の一例としてＡＥＳの暗号鍵について言及しているが、一方向性関数を計算するために、入力データ以外に複数のデータが必要な場合は、それらをまとめて鍵としてもよい。また、鍵が複数の情報を表す場合、データ提供装置２００の鍵分散部２０３は、それらすべての情報を分散する必要はなく、一方向性関数の出力から入力に関する情報を求めることが出来ない範囲で、それらの情報の一部を平文でデータ演算装置３００、３１０、３２０へ送信してもよい。

　（１４）上記実施の形態では、秘密分散法を用いて各データを秘匿しているが、準同型暗号（非特許文献１０：Pascal Paillier、「Public-Key Cryptosystems Based on Composite Degree Residuosity Classes」（https://rd.springer.com/chapter/10.1007%2F3-540-48910-X_16））、完全準同型暗号（非特許文献１１：Jung Hee Cheon、外３名、「Hommorphic Encryption for Arithmetic of Approximate Numbers.」（https://eprint.iacr.org/2016/421.pdf）、非特許文献１２：Junfeng Fan、外１名、「Somewhat Practical Fully Homomorphic Encryption.」（https://eprint.iacr.org/2012/144.pdf））、または、ＧａｒｂｌｅｄＣｉｒｃｕｉｔ（非特許文献１３：Andrew Chi-Chih Yao、「How to generate and exchange secrets.」（https://ieeexplore.ieee.org/document/4568207?arnumber=4568207））を用いてもよい。

　（１５）上記実施の形態では、ＬＳＨのハッシュ関数としてＳｉｍＨａｓｈを用いているが、ＭｉｎＨａｓｈを用いてもよい。

　（１６）上記実施の形態において、秘匿ハッシュテーブルから選択された組に含まれる分散化特徴量と第１分散化特徴量との類似度の計算は、ユークリッド距離、ユークリッド距離の２乗値、マンハッタン距離、ハミング距離、レーベンシュタイン距離、コサイン類似度、または、ピアソンの相関係数などを用いてもよい。ここで、類似度が高いとは、ユークリッド距離、ユークリッド距離の２乗値、マンハッタン距離、ハミング距離、もしくは、レーベンシュタイン距離が小さいこと、または、コサイン類似度、もしくは、ピアソンの相関係数が高いことを意味する。

　（１７）上記の実施の形態における各装置は、具体的には、マイクロプロセッサ、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）、ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムである。ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記録されている。マイクロプロセッサが、上記コンピュータプログラムに従って動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（１８）上記の実施の形態における各装置は、構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Ｌａｒｇｅ　Ｓｃａｌｅ　Ｉｎｔｅｇｒａｔｉｏｎ：大規模集積回路）から構成されていてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。ＲＡＭには、コンピュータプログラムが記録されている。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、システムＬＳＩは、その機能を達成する。

　また、上記の各装置を構成する構成要素の各部は、個別に１チップ化されていても良いし、一部または全てを含むように１チップ化されてもよい。

　また、ここでは、システムＬＳＩとしたが、集積度の違いにより、ＩＣ（Ｉｎｔｅｇｒａｔｅｄ　ｃｉｒｃｕｉｔ）、ＬＳＩ、スーパーＬＳＩ、ウルトラＬＳＩと呼称されることもある。また、集積回路化の手法はＬＳＩに限るものではなく、専用回路または汎用プロセッサで実現してもよい。ＬＳＩ製造後に、プログラムすることが可能なＦＰＧＡ（Ｆｉｅｌｄ　Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）、ＬＳＩ内部の回路セルの接続または設定を再構成可能なリコンフィギュラブル・プロセッサを利用してもよい。

　さらには、半導体技術の進歩または派生する別技術によりＬＳＩに置き換わる集積回路化の技術が登場すれば、当然、その技術を用いて機能ブロックの集積化を行ってもよい。バイオ技術の適用等が可能性としてありえる。

　（１９）上記の各装置を構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含んでいてもよい。マイクロプロセッサが、コンピュータプログラムに従って動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有してもよい。

　（２０）本開示は、上記に示す方法であるとしてもよい。また、これらの方法をコンピュータにより実現するコンピュータプログラムであるとしてもよいし、上記コンピュータプログラムからなるデジタル信号であるとしてもよい。

　また、本開示は、上記コンピュータプログラムまたは上記デジタル信号をコンピュータ読み取り可能な記録媒体、例えば、フレキシブルディスク、ハードディスク、ＣＤ－ＲＯＭ、ＭＯ（Ｍａｇｎｅｔｏ－Ｏｐｔｉｃａｌ　ｄｉｓｃ）、ＤＶＤ、ＤＶＤ－ＲＯＭ、ＤＶＤ－ＲＡＭ、ＢＤ（Ｂｌｕ－ｒａｙ（登録商標）Ｄｉｓｃ）、半導体メモリなどに記録したものとしてもよい。また、これらの記録媒体に記録されている上記デジタル信号であるとしてもよい。

　また、本開示は、上記コンピュータプログラムまたは上記デジタル信号を、電気通信回線、無線または有線通信回線、インターネットを代表とするネットワーク、データ放送等を経由して伝送するものとしてもよい。

　また、本開示は、マイクロプロセッサとメモリを備えたコンピュータシステムであって、メモリは、上記コンピュータプログラムを記録しており、マイクロプロセッサは、コンピュータプログラムに従って動作するとしてもよい。

　また、プログラムまたはデジタル信号を記録媒体に記録して移送することにより、または、プログラムもしくは上記デジタル信号を、ネットワーク等を経由して移送することにより、独立した他のコンピュータシステムにより実施するとしてもよい。

　（２１）上記実施の形態および上記変形例をそれぞれ組み合わせるとしてもよい。

　本開示は、ユーザの機微情報をデータ演算装置において平文で扱わず、プライバシを保護するシステム等に適用され得る。

　１００　ユーザ端末装置
　１０１　センシング部
　１０２　特徴量算出部
　１０３　特徴量分散部
　１０４　通信部
　２００　データ提供装置
　２０１　ＬＳＨパラメータ生成部
　２０２　鍵生成部
　２０３　鍵分散部
　２０４　閾値設定部
　２０５　通信部
　３００、３１０、３２０　データ演算装置
　３０１　分散鍵格納部
　３０２　ＬＳＨパラメータ格納部
　３０３　分散化ＬＳＨ値導出部
　３０４　閾値格納部
　３０５　分散化ハッシュ値導出部
　３０６　秘匿ハッシュテーブル格納部
　３０７　分散化認証結果導出部
　３０８　通信部
　３０９　分散化ハッシュ値復号部
　４００　認証結果利用装置
　４０１　分散化認証結果復号部
　４０２　認証結果利用部
　４０３　通信部
　５００　秘匿認証システム

Claims (17)

1. 　入力を秘匿したまま認証処理を行う秘匿認証方法であって、
   　秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨ（Ｌｏｃａｌｉｔｙ　Ｓｅｎｓｉｔｉｖｅ　Ｈａｓｈｉｎｇ）の秘密分散法により分散されたパラメータである分散化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、分散されたＬＳＨ値である分散化ＬＳＨ値を導出し、
   　導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま前記一方向性関数の処理を実行する秘匿一方向性関数を用いて、分散されたハッシュ値である分散化ハッシュ値を導出し、
   　導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号し、
   　インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、
   　選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、
   　計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出し、
   　導出された前記認証結果を出力する、
   　秘匿認証方法。
2. 　前記ユーザの前記認証結果の導出において、
   　選択された前記組に含まれる前記分散化特徴量のうち、前記第１分散化特徴量と最も類似度の高い分散化特徴量を第２分散化特徴量として抽出し、
   　抽出された前記第２分散化特徴量と前記第１分散化特徴量との類似度が閾値よりも高いか否かを判定し、
   　前記類似度が前記閾値よりも高いと判定された場合、前記ユーザの認証が成功したことを表す分散化された数値を前記認証結果として出力し、
   　前記類似度が前記閾値以下であると判定された場合、前記ユーザの認証が失敗したことを表す分散化された数値を前記認証結果として出力する、
   　請求項１に記載の秘匿認証方法。
3. 　前記特徴量は、前記ユーザの身体的特徴に関する身体的特徴量、前記ユーザの行動的特徴に関する行動的特徴量、および、前記ユーザが保有している保有物の特徴に関する保有物特徴量のいずれかであり、
   　前記身体的特徴量は、網膜画像、虹彩画像、指紋画像、静脈画像、音声情報、耳の形状情報、ＤＮＡ（ｄｅｏｘｙｒｉｂｏｎｕｃｌｅｉｃ　ａｃｉｄ）情報、および、手のひらの画像のうちの少なくとも１つの情報の特徴量を含み、
   　前記行動的特徴量は、筆跡、キーストローク、歩容、および、行動履歴のうちの少なくとも１つの情報の特徴量を含み、
   　前記保有物特徴量は、前記ユーザが保有している文書情報、記憶、および、所有物のうちの少なくとも１つの情報の特徴量を含む
   　請求項１または２に記載の秘匿認証方法。
4. 　前記第１分散化特徴量および前記分散化特徴量は、それぞれ、分散された複数種類の特徴量を含み、
   　選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との前記類似度の計算において、前記複数種類の特徴量のそれぞれの類似度を計算する、
   　請求項１～３の何れか１項に記載の秘匿認証方法。
5. 　前記分散化ハッシュ値は、ランダム性を有する、
   　請求項１～４の何れか１項に記載の秘匿認証方法。
6. 　前記データ列は、さらに、分散されたユーザＩＤである分散化ユーザＩＤを含む、
   　請求項１～５の何れか１項に記載の秘匿認証方法。
7. 　前記認証結果の出力において、導出された前記認証結果と、選択された前記組の前記データ列に含まれる前記分散化特徴量および前記ユーザＩＤの少なくとも１つと、を出力する、
   　請求項６に記載の秘匿認証方法。
8. 　前記ユーザのユーザ端末装置は、センシングによって得られた前記ユーザ情報から前記特徴量を算出し、算出された前記特徴量を秘密分散法により分散することにより、前記第１分散化特徴量を導出する、
   　請求項１～７の何れか１項に記載の秘匿認証方法。
9. 　前記ユーザのユーザ端末装置は、センシングによって得られた前記ユーザ情報を情報が漏洩しない信頼できるサーバに送信し、
   　前記サーバは、前記ユーザ情報から前記特徴量を導出し、前記特徴量を秘密分散法により分散することにより前記第１分散化特徴量を導出する、
   　請求項１～７の何れか１項に記載の秘匿認証方法。
10. 　前記第１分散化特徴量は、前記ユーザの認証結果を導出する演算装置で導出され、
    　前記ユーザのユーザ端末装置は、センシングによって得られた前記ユーザ情報を秘密分散法により分散した分散化ユーザ情報を前記演算装置に送信し、
    　前記演算装置は、前記分散化ユーザ情報から前記第１分散化特徴量を導出する、
    　請求項１～７の何れか１項に記載の秘匿認証方法。
11. 　前記分散化ＬＳＨパラメータは、前記ユーザの認証結果を導出する演算装置に送信され、
    　前記演算装置は、前記第１分散化特徴量と、前記分散化ＬＳＨパラメータとを入力として、前記秘匿ＬＳＨを用いて前記分散化ＬＳＨ値を導出する、
    　請求項１～１０の何れか１項に記載の秘匿認証方法。
12. 　前記ＬＳＨは、ＳｉｍＨａｓｈである、
    　請求項１～１１の何れか１項に記載の秘匿認証方法。
13. 　前記ＬＳＨは、ＭｉｎＨａｓｈである、
    　請求項１～１１の何れか１項に記載の秘匿認証方法。
14. 　前記一方向性関数は、ＡＥＳ（Advanced Encryption Standard）である、
    　請求項１～１３の何れか１項に記載の秘匿認証方法。
15. 　前記一方向性関数は、ＳＨＡ（Ｓｅｃｕｒｅ　Ｈａｓｈ　Ａｌｇｏｒｉｔｈｍ）またはＭＤ５（Ｍｅｓｓａｇｅ　Ｄｉｇｅｓｔ　５）である、
    　請求項１～１３の何れか１項に記載の秘匿認証方法。
16. 　前記一方向性関数は、ＥｌＧａｍａｌ暗号またはＲＳＡ（Ｒｉｖｅｓｔ－Ｓｈａｍｉｒ－Ａｄｌｅｍａｎ）暗号または楕円曲線暗号である、
    　請求項１～１３の何れか１項に記載の秘匿認証方法。
17. 　入力を秘匿したまま認証処理を行う秘匿認証システムであって、
    　暗号化され、かつ、秘密分散法により分散された特徴量であり、ユーザに関するユーザ情報の特徴量である第１分散化特徴量と、ＬＳＨの暗号化されたパラメータである暗号化ＬＳＨパラメータとを入力として、前記入力を秘匿したまま前記ＬＳＨの処理を実行する秘匿ＬＳＨを用いて、暗号化され、かつ、分散されたＬＳＨ値である分散化ＬＳＨ値を導出する分散化ＬＳＨ値導出部と、
    　前記分散化ＬＳＨ値導出部により導出された前記分散化ＬＳＨ値と、一方向性関数の処理を実行するための鍵であって暗号化され、かつ、分散された鍵である分散鍵とを入力として、前記入力を秘匿のまま一方向性関数の処理を実行する秘匿一方向性関数を用いて暗号化され、かつ、分散されたハッシュ値である分散化ハッシュ値を導出する分散化ハッシュ値導出部と、
    　前記分散化ハッシュ値導出部により導出された前記分散化ハッシュ値を、秘密分散法による分散が解除されたハッシュ値に復号する復号部と、
    　インデックスとしてのハッシュ値と、データ列としての分散化特徴量との複数の組が予め格納されたテーブルである秘匿ハッシュテーブルを格納する秘匿ハッシュテーブル格納部と、
    　前記秘匿ハッシュテーブルを用いて、前記複数の組のうち、復号された前記ハッシュ値と一致するハッシュ値を含む組を選択し、選択された前記組に含まれる分散化特徴量と、前記第１分散化特徴量との類似度を秘匿したまま計算し、計算された前記類似度に基づいて前記ユーザの認証結果を秘匿したまま導出する分散化認証結果導出部と、
    　前記分散化認証結果導出部により導出された前記認証結果を出力する出力部と、
    　を備える、
    　秘匿認証システム。

Images