CN105812141B - 一种面向外包加密数据的可验证交集运算方法及系统 - Google Patents

Abstract

一种面向外包加密数据的可验证交集运算方法及系统，属于可验证外包计算领域。在可信第三方实体、至少两个客户端实体以及外包服务器端之间进行，客户端实体为数据集合的持有者以及数据集合交集运算的请求者。第三方实体主要负责公共参数的初始化以及公共参数的分发；两个客户端实体主要负责生成密钥、加密数据集合、计算认证信息、验证外包服务器端返回结果和证据以及解密外包服务器端返回的密文数据集合；外包服务端主要负责执行数据集合交集运算。外包服务器在执行交集运算的过程中不需要解密出明文数据集合，外包服务器是对密文进行操作，能够保证用户数据的隐私性。实体间交互次数少，通信代价较小及高效的运算结果正确性验证。

Description

一种面向外包加密数据的可验证交集运算方法及系统

所属技术领域

本发明属于可验证外包计算领域，特别涉及一种面向外包加密数据的可验证交集运算方法及系统。

背景技术

随着计算机技术和云计算的迅速发展，出现了一种新型的数据管理模式：外包数据。外包数据模式主要有3个实体：数据拥有者、数据服务提供者即外包服务器、数据查询请求者。数据拥有者将数据外包给数据服务提供者，由于数据服务提供者可以采用集群应用、网格技术或者分布式文件系统等技术，因此可以为数据查询请求者提供高效的数据查询服务。然而数据拥有者把数据存储在不可信的第三方的外包服务器上，加大了数据资源的不安全性。

继外包数据之后，由于现实社会中计算资源的不均衡，特别是在大数据的环境下，外包计算逐渐在日常生活和科学研究中被广泛使用。外包计算本质上是指算法开发者将所开发的算法部署到一个第三方的计算服务提供商的服务器上，这个第三方服务提供商的服务器在响应其他实体的计算请求时应该如实地按照算法开发者提供的算法进行计算，并将计算的结果如实地返回给计算的请求实体。

近几年，伴随着云计算相关技术的逐渐成熟，同时由于云计算拥有超大规模存储、高可靠性、高可扩展性和廉价等特点，数据拥有者更加希望把数据外包给具有强大资源、强大存储能力和强大数据处理能力的外包服务器，并往往需要对外包数据进行相关查询或针对外包数据进行计算。因此数据拥有者和/或数据查询请求者需要对外包服务器返回的查询结果或者计算结果进行考量，并且希望外包服务器端每次返回的结果都有相应的正确性证据以方便作为数据拥有者和/或数据查询请求者的客户端进行验证。但是由于外包服务器是不可信的，它可能为了节省计算资源而不正确执行算法；或者外包服务器被恶意实体控制，导致计算结果被恶意修改，因此研究如何保证面向外包数据的计算结果的正确性就显得很重要。

然而外包计算当前还存在着很多安全隐患，包括数据隐私泄漏和计算结果错误等问题。因此理想的外包计算应该支持隐私保护并保证计算结果的可验性，也就是外包服务器能够处理密文数据，并且在返回计算结果的同时，返回关于结果正确性的证据。当结果和证据返回给计算能力弱的实体时，其能够依据结果和证据完成对于结果的正确性验证。

另外，目前基于可验证计算的外包计算还没有能够满足面向外包加密数据的可验证交集运算的方法。

发明内容

针对现有技术存在的不足，本发明提供一种面向外包加密数据的可验证交集运算方法及系统。

本发明的技术方案为：

一种面向外包加密数据的可验证交集运算方法，该方法在可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server之间进行，其中所述客户端实体为数据集合的持有者以及数据集合交集运算的请求者；包括如下步骤：

步骤1：TTP生成公共参数pm并把pm分别发送给Server、Alice和Bob；

步骤2：依据收到的公共参数pm，Alice和Bob分别生成其各自的公私密钥对{pk_a,sk_a}和{pk_b,sk_b}，并分别把其各自的公钥pk_a和pk_b发布出去；

步骤3：Alice和Bob分别依据其各自的公钥pk_a和pk_b，分别对其各自的明文数据集合D_a和D_b进行加密，对应生成Alice和Bob的密文数据集合C_a、C_b以及Alice和Bob的摘要信息Dig_a、Dig_b，且Alice和Bob均将其各自的密文数据集合C_a、C_b发送给Server；

步骤4：Alice和Bob分别依据其各自的私钥sk_a,sk_b与摘要信息Dig_a,Dig_b、以及对方的公钥pk_b,pk_a，分别生成Alice的认证信息au_a和Bob的认证信息au_b并均发送给Server；

步骤5：Alice和Bob向Server发送数据集合交集运算的请求；

步骤6：当收到Alice和Bob的数据集合交集运算的请求时，Server依据Alice的密文数据集合C_a和Bob的密文数据集合C_b、以及Alice的认证信息au_a和Bob的认证信息au_b进行计算得到交集运算结果rslt_a,rslt_b和运算结果正确性证据proof_a,proof_b，并分别将(rslt_a,proof_a)和(rslt_b,proof_b)发送给Alice和Bob；

步骤7：Alice和Bob分别利用其各自保存的摘要信息Dig_a,Dig_b以及Server返回的交集运算结果rslt_a,rslt_b和运算结果正确性证据proof_a,proof_b，完成数据集合交集运算结果正确性的验证；

步骤8：客户端体Alice和Bob分别依据其各自的私钥sk_a和sk_b，分别对其各自收到的数据集合交集运算结果rslt_a和rslt_b进行解密生成相应的明文。

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤1包括如下步骤：

步骤1.1：生成双线性配对参数；

设定安全参数k，并依据该安全参数k，TTP生成双线性配对参数(e,g,G₁,G₂,p)；其中，G＝{e,G₁,G₂,p},G₁和G₂是两个阶为素数p的乘法循环群，e:G₁×G₁→G₂表示的是一个双线性映射，g为G₁群内的随机数生成元；

步骤1.2：根据安全参数k和双线性配对参数，生成公共参数pm；

依据安全参数k，TTP首先从p阶整数群Z_p中随机选取一个整数s，再利用步骤1.1中的双线性配对参数完成对PBC双线性配对算法的初始化，然后循环执行幂运算生成参数令则可得到公共参数pm＝{mamPk,e,p,g,G₁,G₂}；其中mamPk代表用于对客户端实体的明文数据集合计算摘要的公钥；q≤k为正整数；

步骤1.3：TTP将其生成的公共参数pm发布出去。

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤2包括如下步骤：

步骤2.1：依据收到的公共参数pm，Alice和Bob分别调用签名密钥生成算法sigKeyGen生成用于对其各自的密文数据集合进行签名的签名公私钥对(sigPk_a,sigSk_a)和(sigPk_b,sigSk_b)，其中sigPk_a为Alice的签名公钥，sigPk_b为Bob的签名公钥，sigSk_a为Alice的签名私钥，sigSk_b为Bob的签名私钥；

步骤2.2：Alice和Bob均从p阶整数群Z_p中随机选取两个整数β_a,γ_a和β_b,γ_b，则可得到Alice的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_a＝{β_a,γ_a,sigSk_a}、Bob的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_b＝{β_b,γ_b,sigSk_b}；

步骤2.3：Alice和Bob分别把其各自的公钥pk_a和pk_b发布出去。

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤3包括如下步骤：

步骤3.1：假设Alice的明文数据集合D_a＝{d_a,1,d_a,2,...,d_a,n}，Bob的明文数据集合D_b＝{d_b,1,d_b,2,...,d_b,m}，为了保护客户端实体的输入隐私，Alice和Bob分别从G₁中随机选取元素d_a,0和d_b,0，并分别将d_a,0和d_b,0加入到D_a和D_b中；其中D_a中的元素d_a,i∈G₁，0≤i≤n；D_b中的元素d_b,t∈G₁，0≤t≤m；

步骤3.2：在i的取值范围[0,n]内，Alice按照i从0至n的取值顺序依次从Z_p中随机选取整数对r_i1、r_i2并依次相应得到进而得到Alice的密文数据集合C_a＝(cph_a,0,cph_a,1,...,cph_a,n)，并将其发送给Server；同时，在t的取值范围[0,m]内，Bob按照t从0至m的取值顺序依次从Z_p中随机选取整数对r_t3、r_t4并依次相应得到进而得到Bob的密文数据集合C_b＝(cph_b,0,cph_b,1,...,cph_b,m)，并将其发送给Server；

步骤3.3：Alice和Bob分别按照计算并生成Alice的明文数据集合D_a的摘要信息Dig_a和Bob的明文数据集合D_b的摘要信息Dig_b；其中h_a,i＝H(e(d_a,i,g))和h_b,t＝H(e(d_b,t,g))，其中e(d_a,i,g)代表d_a,i和g的配对值；H()代表哈希函数；h_a,i代表对d_a,i和g的配对值计算哈希值；e(d_b,t,g)代表d_b,t和g的配对值；h_b,t代表对d_b,t和g的配对值计算哈希值。

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤4包括如下步骤：

步骤4.1：Alice和Bob分别依据其各自的私钥sk_a,sk_b计算代理重加密密钥和

步骤4.2：Alice使用Bob的公钥pk_b来加密其自己的摘要信息Dig_a得到Dig_a的密文Bob使用Alice的公钥pk_a来加密其自己的摘要信息Dig_b得到Dig_b的密文其中r₁,r₂,r₃,r₄是从Z_p中随机选取的整数；

步骤4.3：Alice和Bob分别依据sigSk_a,cph_B和sigSk_b,cph_A，通过调用不可抵赖的签名算法sigSign分别生成cph_B的签名信息σ_B和cph_A的签名信息σ_A，完成对cph_B和cph_A的签名；

步骤4.4：Alice和Bob分别得到其各自的认证信息au_a＝{rk_a,cph_B,σ_a}与au_b＝{rk_b,cph_A,σ_b}，且Alice和Bob分别将au_a和au_b发送给Server。

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤6包括如下步骤：

步骤6.1：先对C_a和C_b进行转化处理，以使D_a与D_b中所具有的相同明文数据部分能够转化为相同的密文；

分别对cph_a,i和cph_b,t进行转化，且用T_a,i和T_b,t表示转化后的结果，T_a,i和T_b,t分别表示为mamD_a＝{H(T_a,1),H(T_a,2),...,H(T_a,n)}和mamD_b＝{H(T_b,1),H(T_b,2),...,H(T_b,m)}，

步骤6.2：Server依据mamPk、mamD_a和mamD_b，为Alice和Bob生成对应的交集运算结 果mamRslt和对应的运算结果正确性证据mamWit_a和mamWit_b，其中mamRslt＝mamD_a∩mamD_b；和均为证明交 集运算结果mamRslt正确性的部分证据；其中mamD_a- mamRslt代表mamD_a和mamRslt的差集运算，x_a是该差集中的元素；mamD_b-mamRslt代表mamD_b和mamRslt的差集运算，x_b是该差 集中的元素；为子集证据，用来证明集合交集运算结果分别为对应的参与交集 运算的两个数据集合的子集；以及为完整性证据，用来证明对应的参 与交集运算的两个数据集合除交集之外没有其他共同元素；令 x′_a是mamD_a中的元素，x′_b是mamD_b中的元素；依据欧几里得定 理，寻找q_a1(s)，q_a2(s)使得p₂(s)*q_a1(s)+R_a(s)*q_a2(s)＝1成立，从而得到q_a1(s)，q_a2(s)的 值，以及寻找q_b1(s)，q_b2(s)使得p₁(s)*q_b1(s)+R_b(s)*q_b2(s)＝1成立，从而得到q_b1(s)，q_b2(s) 的值；

步骤6.3：Server令rslt_a＝{cph_a,i|H(e(d_a,i,g))∈mamRslt}，proof_a＝(mamWit_a,cph_A,σ_b)，rslt_b＝{cph_b,t|H(e(d_b,t,g))∈mamRslt}，proof_b＝(mamWit_b,cph_B,σ_a)；其中H()代表哈希函数；并分别将(rslt_a,proof_a)和(rslt_b,proof_b)发送给Alice和Bob；

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤7包括如下步骤：

步骤7.1：Alice和Bob分别依据sigPk_a,cph_B,σ_a和sigPk_b,cph_A,σ_b，通过调用签名认证算法sigVerify分别验证cph_B和cph_A的完整性，以确定Sever返回的交集运算结果rslt_a,rslt_b没有被更改，如果sigVerify算法的结果为0，则转至步骤7.3，否则执行步骤7.2；

步骤7.2：Alice和Bob分别调用成员结果验证算法mamVerify对Sever返回的交集运算结果rslt_a,rslt_b的正确性进行验证，若验证成功则mamVerify算法返回1，同时执行步骤8，若验证失败则mamVerify算法返回0，并转至步骤7.3；

步骤7.2.1：Alice和Bob分别依据其各自的私钥sk_a,sk_b分别对cph_B,cph_A进行解密得到mamDig_a,mamDig_b；

步骤7.2.2：Alice和Bob分别判断rslt_a和rslt_b是否为空，是，则mamVerify算法返回0，并转至步骤7.3；否，则Alice进行{H(e(d_a,i,g))|cph_a,i∈rslt_a}-cph_a,i的计算，同时Bob进行{H(e(d_b,t,g))|cph_b,t∈rslt_b}-cph_b,t的计算，还原出Sever返回给它们的mamRslt值，并执行步骤7.2.3；

步骤7.2.3：Alice依据mamPk,mamDig_b,mamRslt,mamWit_a,mamDig_a，调用成员结果验证算法mamVerify：a).首先依据mamRslt计算其中x代表mamRslt中的元素；b).通过双线性映射方法判断等式是否成立，是，则认为子集证据和正确，并执行步骤c)，否，则mamVerify算法返回0，并转至步骤7.3；c).最后判断等式是否成立，是，则认为完整性证据正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；

同样，Bob依据mamPk,mamDig_b,mamRslt,mamWit_b,mamDig_a，调用成员结果验证算法mamVerify：(a).首先依据mamRslt计算其中x代表mamRslt中的元素；(b).判断等式是否成立，是，则认为子集证据和正确，并执行步骤(c)，否，则mamVerify算法返回0，并转至步骤6.3；(c).最后判断等式是否成立，是，则认为完整性证据正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；

步骤7.3：Verify算法执行结束，返回0；

根据所述的面向外包加密数据的可验证交集运算方法，所述步骤8包括如下内容：

假设rslt_a＝(cph_a,j,...,cph_a,k)，其中1≤j,k≤n，可以借助私钥sk_a，利用公式来解密rslt_a，其中j≤i≤k，得到相应的明文D_a'＝D_a∩D_b＝{d_a,j,...,d_a,k}；

假设rslt_b＝(cph_b,j,...,cph_b,k)，其中1≤j,k≤m，可以借助私钥sk_b，利用公式来解密rslt_b，其中j≤t≤k，得到相应的明文D_b'＝D_a∩D_b＝{d_b,j,...,d_b,k}。

根据所述的面向外包加密数据的可验证交集运算方法的面向外包加密数据的可验证交集运算系统，由可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server构成；所述客户端实体为数据集合的持有者以及数据集合交集运算的请求者；其中，TTP包括公共参数生成与分发模块；Server包括数据集合交集运算模块；Alice与Bob均包括密钥生成模块、数据加密模块、认证信息生成模块、结果验证模块和数据解密模块；

所述公共参数生成与分发模块，负责整个系统中所有实体的公共参数的初始化，并在初始化公共参数后将公共参数分别发送给Server、Alice与Bob；

所述数据集合交集运算模块，用于当Alice与Bob发起数据集合交集运算请求时，根据从客户端实体接收的认证信息，对Alice和Bob提供的密文数据集合进行交集运算，同时计算运算结果正确性的证据，并将所述运算结果和所述证据分别发送给Alice和Bob；

所述密钥生成模块，负责生成公私密钥对，即用于对客户端实体的明文数据集合进行加密的公钥和用于对客户端实体的对应的密文数据集合进行解密的私钥；

所述数据加密模块，负责对客户端实体的明文数据集合进行加密，完成对客户端实体的明文数据集合向密文数据集合的转换，同时生成客户端实体的明文数据集合摘要；

所述认证信息生成模块，负责生成代理重加密密钥、客户端实体的明文数据集合摘要的密文以及其对应的签名，进而生成客户端实体的认证信息，并将该认证信息发送给Server；

所述结果验证模块，负责完成对客户端实体收到的所述运算结果和所述证据的正确性验证；

所述数据解密模块，若所述结果验证模块验证成功，则对数据集合交集运算结果的密文数据集合进行解密，完成该密文数据集合向明文数据集合的转换。

本发明的有益效果是：本发明具有以下几方面的优点：

1.本发明中，外包服务器在执行交集运算的过程中不需要解密出明文数据集合，外包服务器是对密文进行操作，能够保证用户数据的隐私性。计算过程中使用了代理重加密密钥rka和rk_b，分别对密文C_a和C_b进行了转化，得到{cph_a,i}和{cph_b,t}，即将明文D_a与D_b中由不同密钥加密的相同的部分转化为相同的密文形式。之后再分别对cph_a,i和cph_b,t进行转化得到mamD_a和mamD_b，这样就可以使用mamRslt＝mamD_a∩mamD_b，来完成交集计算。其中外包服务器只能够看到两个用户的密文C_a和C_b，不会获得明文D_a与D_b的任何信息。

2.可信第三方TTP、外包服务器和客户端之间交互的次数比较少，而且他们共享的信息不是大文件，只是一些加密过后的数据，因而通信代价较小。方案中的交互分为4个阶段。第一个阶段为可信TTP生成公共参数pm后，将公共参数pm发送给两方计算请求实体和外包服务器，总共3次交互过程。第二个阶段为两方计算实体生成各自的公钥pk后，将公钥pk发送给对方，总共2次交互过程。第三个阶段为执行计算请求时，两方计算请求实体将各自的密文集合C和认证信息au发送给外包服务器，总共2次交互。第四个阶段为计算完成后，外包服务器将计算结果rslt和运算结果正确性证据proof发送给两方计算请求实体，总共2次交互。因此整个方案过程仅需要9次交互即可完成可验证的密文集合交集运算。另外，从每个用户(计算请求者)的角度来讲，整个过程仅需要5次交互，因此方案具有交互次数少和通信代价较小的特点。

3.本发明方法使用了双线性映射累加器和不可抵赖的数字签名方案，并且在客户 端进行验证交集运算结果的时候，只需要进行双线性映射的简单验证，实现了高效的运算 结果正确性验证。客户端在进行验证的过程时，首先使用签名认证算法sigVerify来验证外 包服务器返回的计算结果rslt的完整性。根据不可抵赖的数字签名的特性，有效地避免了 结果在传输过程中被恶意的篡改或因其他原因而被更改。另外，通常的数字签名算法使用 了哈希函数等高效的算法，因此客户端仅需要很少的计算代价和时间代价来验证签名的正 确性。在验证运算结果正确性时，客户端首先使用各自的私钥sk_a,sk_b对cph_B,cph_A进行解密 得到mamDig_a,mamDig_b，计算过程为 之后客户端各自使用公式{H(e(d_a,i,g)) |cph_a,i∈rslt_a}-cph_a,i和{H(e(d_b,t,g))|cph_b,t∈rslt_b}-cph_b,t，还原出外包服务器返回给 它们的mamRslt值。最后依次使用以下三个公式来确定结果的正确性： 从以上算法可知，整个验证过程使用了椭圆曲线群上 的乘方计算，双线性配对计算和哈希函数计算。所有计算均为高效的算法，可以被客户端效 率地执行。因此该方案实现了高效的运算结果正确性验证。

附图说明

图1为本发明一种实施方式的面向外包加密数据的可验证交集运算方法流程图；

图2为本发明一种实施方式的面向外包加密数据的可验证交集运算方法中实体间通信过程示意图；

图3为本发明一种实施方式的面向外包加密数据的可验证交集运算系统的结构示意图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细说明。

本实施方式的面向外包加密数据的可验证交集运算方法，如图1所示，在可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server之间进行。

可信第三方(Trusted Third Party,TTP)：公共参数的生成者，在所有的实体中，第三方实体TTP是可信的，负责整个方法所有实体的公共参数的初始化，在初始化公共参数之后将公共参数发送给外包服务器端以及两个客户端实体。

客户端Alice和Bob：数据集合的持有者以及数据集合交集运算的请求者，Alice和Bob是半可信的，它们都希望知道对方实体的明文数据，负责计算数据集合的累加器值以及最终交集运算结果正确性的验证。当客户端要进行数据集合交集运算请求时，依据可信第三方发送过来的公共参数pm，假设Alice和Bob分别持有明文数据集合D_a和D_b，首先进行加密得到密文数据集合C_a和C_b，并计算数据集合的摘要值Dig_a和Dig_b。除此之外，依据另外客户端实体公布的公钥以及自己的私钥计算认证信息au_a和au_b，然后向外包服务器端发起数据集合交集运算的请求，等待外包服务器端返回交集运算结果和对应的运算结果正确性证据，最后客户端用户再完成结果正确性的验证。

外包服务器端Server：集合交集运算的执行者，可能由于为了节省计算资源或者程序中包括Bug而导致计算错误，因此它是不可信的，负责针对客户端Alice和Bob数据的交集运算，并计算对应结果正确性的证据。当收到客户端Alice和Bob的数据集合交集运算的请求时，依据可信第三方发送过来的公共参数pm，客户端发送的密文数据集合C_a和C_b，以及客户端计算的认证信息au_a和au_b，服务器端通过调用算法SetOperation，来完成集合交集运算，生成结果Rslt和对应证据Wit。

表1为本实施方式中在对本发明的技术方案内容进行描述时将会出现的部分符号的含义说明。

表1符号含义

符号	含义	符号	含义
				Setup	公共参数初始化算法	KeyGen	密钥生成算法
Enc	加密算法	Dec	解密算法
				AuGen	生成认证信息算法	SetOperation	集合交集运算算法
Verify	结果正确性验证算法

本实施方式的面向外包加密数据的可验证交集运算方法，如图1所示，包括如下步骤：

步骤1：TTP执行Setup算法，生成公共参数pm并把pm分别发送给Server、Alice和第Bob；其中下述的步骤1.1至步骤1.2描述的技术方案内容即为所述的Setup算法。

步骤1.1：生成双线性配对参数；

设定安全参数k，并依据该安全参数k，TTP调用双线性配对参数生成算法MapGen生成双线性配对参数(e,g,G₁,G₂,p)；其中，G＝{e,G₁,G₂,p},G₁和G₂是两个阶为素数p的乘法循环群，e:G₁×G₁→G₂表示的是一个双线性映射，g为G₁群内的随机数生成元；双线性配对参数生成算法MapGen为现有算法；

步骤1.2：根据安全参数k和双线性配对参数，利用公私钥生成算法mamKeyGen生成公共参数pm；

依据安全参数k，TTP调用所述的公私钥生成算法mamKeyGen，首先从p阶整数群Z_p中随机选取一个整数s，再利用步骤1.1中的双线性配对参数通过计算完成对PBC双线性配对算法的初始化，然后循环执行幂运算生成参数令则可得到公共参数pm＝{mamPk,e,p,g,G₁,G₂}；其中mamPk代表用于对客户端实体的明文数据集合计算摘要的公钥；q≤k为正整数；

步骤1.3：TTP将其生成的公共参数pm发布出去；

步骤2：依据收到的公共参数pm，Alice和Bob分别利用KeyGen算法生成其各自的公私密钥对{pk_a,sk_a}和{pk_b,sk_b}，并分别把其各自的公钥pk_a和pk_b发布出去；其中下述的步骤2.1至步骤2.2描述的技术方案内容即为所述的KeyGen算法。

步骤2.1：依据收到的公共参数pm，Alice和Bob分别调用签名密钥生成算法sigKeyGen生成用于对其各自的密文数据集合进行签名的签名公私钥对(sigPk_a,sigSk_a)和(sigPk_b,sigSk_b)，其中sigPk_a为Alice的签名公钥，sigPk_b为Bob的签名公钥，sigSk_a为Alice的签名私钥，sigSk_b为Bob的签名私钥；所述签名密钥生成算法sigKeyGen为现有算法。

步骤2.2：Alice和Bob均从p阶整数群Z_p中随机选取两个整数β_a,γ_a和β_b,γ_b，则可得到Alice的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_a＝{β_a,γ_a,sigSk_a}、Bob的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_b＝{β_b,γ_b,sigSk_b}；

步骤2.3：Alice和Bob分别把其各自的公钥pk_a和pk_b发布出去；

步骤3：Alice和Bob分别依据其各自的公钥pk_a和pk_b，通过Enc算法分别对其各自的明文数据集合D_a和D_b进行加密，对应生成Alice和Bob的密文数据集合C_a、C_b以及Alice和Bob的摘要信息Dig_a、Dig_b，且Alice和Bob均将其各自的密文数据集合C_a、C_b发送给Server；其中下述的步骤3.1至步骤3.3描述的技术方案内容即为所述的Enc算法。

步骤3.1：假设Alice的明文数据集合D_a＝{d_a,1,d_a,2,...,d_a,n}，Bob的明文数据集合D_b＝{d_b,1,d_b,2,...,d_b,m}，为了保护客户端实体的输入隐私，Alice和Bob分别从G₁中随机选取元素d_a,0和d_b,0，并分别将d_a,0和d_b,0加入到D_a和D_b中；其中D_a中的元素d_a,i∈G₁，0≤i≤n；D_b中的元素d_b,t∈G₁，0≤t≤m；

步骤3.2：在i的取值范围[0,n]内，Alice按照i从0至n的取值顺序依次从Z_p中随机选取整数对r_i1、r_i2并依次相应得到进而得到Alice的密文数据集合C_a＝(cph_a,0,cph_a,1,...,cph_a,n)，并将其发送给Server；同时，在t的取值范围[0,m]内，Bob按照t从0至m的取值顺序依次从Z_p中随机选取整数对r_t3、r_t4并依次相应得到进而得到Bob的密文数据集合C_b＝(cph_b,0,cph_b,1,...,cph_b,m)，并将其发送给Server；

步骤3.3：Alice和Bob分别通过明文摘要生成算法mamGen，即 分别生成Alice的明文数据集合D_a的摘要信息Dig_a和Bob的明文数据集合D_b的摘要信息Dig_b；其中h_a,i＝H(e(d_a,i,g))和h_b,t＝H(e(d_b,t,g))，其中e(d_a,i,g)代表d_a,i和g的配对值；H()代表哈希函数；h_a,i代表对d_a,i和g的配对值计算哈希值；e(d_b,t,g)代表d_b,t和g的配对值；h_b,t代表对d_b,t和g的配对值计算哈希值；

步骤4：Alice和Bob分别依据其各自的私钥sk_a,sk_b与摘要信息Dig_a,Dig_b、以及对方的公钥pk_b,pk_a，通过AuGen算法分别生成Alice的认证信息au_a和Bob的认证信息au_b并均发送给Server；其中下述的步骤4.1至步骤4.4描述的技术方案内容即为所述的AuGen算法。

步骤4.1：Alice和Bob分别依据其各自的私钥sk_a,sk_b计算代理重加密密钥和

步骤4.2：Alice使用Bob的公钥pk_b来加密其自己的摘要信息Dig_a得到Dig_a的密文Bob使用Alice的公钥pk_a来加密其自己的摘要信息Dig_b得到Dig_b的密文其中r₁,r₂,r₃,r₄是从Z_p中随机选取的整数；

步骤4.3：Alice和Bob分别依据sigSk_a,cph_B和sigSk_b,cph_A，通过调用不可抵赖的签名算法sigSign分别生成cph_B的签名信息σ_B和cph_A的签名信息σ_A，完成对cph_B和cph_A的签名；不可抵赖的签名算法sigSign为现有算法。

步骤4.4：Alice和Bob分别得到其各自的认证信息au_a＝{rk_a,cph_B,σ_a}与au_b＝{rk_b,cph_A,σ_b}，且Alice和Bob分别将au_a和au_b发送给Server；

步骤5：Alice和Bob向Server发送数据集合交集运算的请求；

步骤6：当收到Alice和Bob的数据集合交集运算的请求时，Server依据Alice的密文数据集合C_a和Bob的密文数据集合C_b、以及Alice的认证信息au_a和Bob的认证信息au_b执行SetOperation算法得到交集运算结果rslt_a,rslt_b和运算结果正确性证据proof_a,proof_b，并分别将(rslt_a,proof_a)和(rslt_b,proof_b)发送给Alice和Bob；下述的步骤6.1至步骤6.3描述的技术方案内容即为所述的SetOperation算法。

步骤6.1：先对C_a和C_b进行转化处理，以使D_a与D_b中所具有的相同明文数据部分能够转化为相同的密文；

分别对cph_a,i和cph_b,t进行转化，且用T_a,i和T_b,t表示转化后的结果，T_a,i和T_b,t分别表示为mamD_a＝{H(T_a,1),H(T_a,2),...,H(T_a,n)}和mamD_b＝{H(T_b,1),H(T_b,2),...,H(T_b,m)}，

步骤6.2：Server依据mamPk、mamD_a和mamD_b，调用执行运算算法mamProve为Alice和 Bob生成对应的交集运算结果mamRslt和对应的运算结果正确性证据mamWit_a和mamWit_b。所 述mamProve算法为：计算mamRslt＝mamD_a∩mamD_b；计算和计算和令依据欧几里得定理，寻找q_a1(s)， q_a2(s)使得p₂(s)*q_a1(s)+R_a(s)*q_a2(s)＝1成立，从而得到q_a1(s)，q_a2(s)的值，以及寻找q_b1 (s)，q_b2(s)使得p₁(s)*q_b1(s)+R_b(s)*q_b2(s)＝1成立，从而得到q_b1(s)，q_b2(s)的值；其中 mamWit_a和mamWit_b均为证明交集运算结果mamRslt正确性的部分证据；mamD_a-mamRslt代表 mamD_a和mamRslt的差集运算，x_a是该差集中的元素；mamD_b-mamRslt代表mamD_b和mamRslt的 差集运算，x_b是该差集中的元素；为子集证据，用来证明集合交集运算结果分别 为对应的参与交集运算的两个数据集合的子集；x′_a是mamD_a中的元素；x′_b是mamD_b中的元 素；以及为完整性证据，用来证明对应的参与交集运算的两个数据集 合除交集之外没有其他共同元素；

步骤6.3：Server令rslt_a＝{cph_a,i|H(e(d_a,i,g))∈mamRslt}，proof_a＝(mamWit_a,cph_A,σ_b)，rslt_b＝{cph_b,t|H(e(d_b,t,g))∈mamRslt}，proof_b＝(mamWit_b,cph_B,σ_a)；其中H()代表哈希函数；并分别将(rslt_a,proof_a)和(rslt_b,proof_b)发送给Alice和Bob；

步骤7：Alice和Bob分别利用其各自保存的摘要信息Dig_a,Dig_b以及Server返回的交集运算结果rslt_a,rslt_b和运算结果正确性证据proof_a,proof_b，通过Verify算法来完成数据集合交集运算结果正确性的验证；其中下述的步骤7.1至步骤7.3描述的技术方案内容即为所述的Verify算法。

步骤7.1：Alice和Bob分别依据sigPk_a,cph_B,σ_a和sigPk_b,cph_A,σ_b，通过调用签名认证算法sigVerify分别验证cph_B和cph_A的完整性，以确定Sever返回的交集运算结果rslt_a,rslt_b没有被更改，如果sigVerify算法的结果为0，则转至步骤7.3，否则执行步骤7.2；所述签名认证算法sigVerify为现有算法。

步骤7.2：Alice和Bob分别调用成员结果验证算法mamVerify对Sever返回的交集运算结果rslt_a,rslt_b的正确性进行验证，若验证成功则mamVerify算法返回1，同时执行步骤8，若验证失败则mamVerify算法返回0，并转至步骤7.3；下述的步骤7.2.1至步骤7.2.3描述的技术方案内容即为所述的mamVerify算法。

步骤7.2.1：Alice和Bob分别依据其各自的私钥sk_a,sk_b分别对cph_B,cph_A进行解密得到mamDig_a,mamDig_b；

步骤7.2.2：Alice和Bob分别判断rslt_a和rslt_b是否为空，是，则mamVerify算法返回0，并转至步骤7.3；否，则Alice进行{H(e(d_a,i,g))|cph_a,i∈rslt_a}-cph_a,i的计算，同时Bob进行{H(e(d_b,t,g))|cph_b,t∈rslt_b}-cph_b,t的计算，还原出Sever返回给它们的mamRslt值，并执行步骤7.2.3；

步骤7.2.3：Alice依据mamPk,mamDig_b,mamRslt,mamWit_a,mamDig_a，调用mamVerify算法：a).首先依据mamRslt计算其中x代表mamRslt中的元素；b).通过双线性映射方法判断等式是否成立，是，则认为子集证据和正确，并执行步骤c)，否，则mamVerify算法返回0，并转至步骤6.3；c).最后判断等式是否成立，是，则认为完整性证据 正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；所述双线性映射方法为现有方法。

同样，Bob依据mamPk,mamDig_b,mamRslt,mamWit_b,mamDig_a，调用mamVerify算法：(a).首先依据mamRslt计算其中x代表mamRslt中的元素；(b).通过双线性映射方法判断等式是否成立，是，则认为子集证据和正确，并执行步骤(c)，否，则mamVerify算法返回0，并转至步骤6.3；(c).最后判断等式是否成立，是，则认为完整性证据正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；

步骤7.3：Verify算法执行结束，返回0；

步骤8：客户端体Alice和Bob分别依据其各自的私钥sk_a和sk_b，利用Dec算法分别对其各自收到的数据集合交集运算结果rslt_a和rslt_b进行解密生成相应的明文；下述内容即为Dec算法内容：

假设rslt_a＝(cph_a,j,...,cph_a,k)，其中1≤j,k≤n，可以借助私钥sk_a，利用公式来解密rslt_a，其中j≤i≤k，得到相应的明文D_a'＝D_a∩D_b＝{d_a,j,...,d_a,k}；

假设rslt_b＝(cph_b,j,...,cph_b,k)，其中1≤j,k≤m，可以借助私钥sk_b，利用公式来解密rslt_b，其中j≤t≤k，得到相应的明文D_b'＝D_a∩D_b＝{d_b,j,...,d_b,k}。

在本实施方式的面向外包加密数据的可验证交集运算方法中，实体间的具体通信过程可以划分为十个阶段，如图2所示。为了描述方便，以下在描述实体间的具体通信过程时，采用下面的格式进行描述。

[R]_t:program，表示实体R在时刻t执行算法program；

[R₁→R₂]_t:data，表示实体R₁在时刻t将数据data传至实体R₂；

[R→*]_t:data，表示实体R在时刻t将数据data发布出去。

本实施方式中实体间的具体通信过程的十个阶段为：

(1)初始化阶段：在t₀时刻，TTP进行公共参数初始化，TTP依据安全参数k来生成公共参数pm，之后把公共参数pm发送出去，本阶段包括以下四个步骤：

(2)Alice密钥生成阶段：在t₁时刻，Alice依据TTP的公共参数pm，来生成公私密钥对{pk_a,sk_a}，之后把公钥pk_a发布出去，该阶段包括以下两个步骤：

(3)Bob密钥生成阶段：在t₂时刻，Bob依据TTP的公共参数pm，来生成公私密钥对 {pk_b,sk_b}，之后把公钥pk_b发布出去，该阶段包括以下两个步骤：

(4)Alice数据加密阶段：在t₃时刻，Alice依据TTP的公共参数pm，自己生成的公钥pk_a以及明文数据集合D_a，来生成密文数据集合C_a，以及摘要信息Dig_a，之后把密文数据集合C_a发送给Server，该阶段包括以下两个步骤：

(5)Bob数据加密阶段：在t₄时刻，Bob依据TTP的公共参数pm，自己生成的公钥pk_b以及明文数据集合D_b，来生成密文数据集合C_b，以及摘要信息Dig_b，之后把密文数据集合C_b发送给服务器端Server，该阶段包括以下两个步骤：

(6)Alice认证信息生成阶段：在t₅时刻，Alice依据自己生成的私钥sk_a摘要信息Dig_a，以及Bob的公钥pk_b，来生成认证信息au_a，之后把认证信息au_a发送给Server，该阶段包括以下两个步骤：

(7)Bob认证信息生成阶段：在t₆时刻，Bob依据自己生成的私钥sk_b摘要信息Dig_b，以及Alice的公钥pk_a，来生成认证信息au_b，之后把认证信息au_b发送给Server，该阶段包括以下两个步骤：

(8)计算阶段：在t_c时刻，Server依据C_a和C_b，以及au_a和au_b执行数据集合交集运算。该阶段包括以下三个步骤：

(9)验证阶段：在t_v时刻，Alice和Bob分别利用自己保存的数据集合摘要值以及Server返回的结果和证据来完成数据集合交集运算结果正确性的验证。验证阶段包括以下两个步骤：

(10)解密阶段：在t_v+1时刻，Alice和Bob分别利用其各自的私钥sk_a和sk_b，对其各自收到的数据集合交集运算结果rslt_a和rslt_b进行解密生成相应的明文；该阶段包括以下两个步骤：

(a){D_a'}←Dec(sk_a，rslt_a)；

(b){D_b'}←Dec(sk_b，rslt_b)。

根据本实施方式的面向外包加密数据的可验证交集运算方法的面向外包加密数据的可验证交集运算系统，如图3所示，由可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server构成；所述客户端实体为数据集合的持有者以及数据集合交集运算的请求者；其中，TTP包括公共参数生成与分发模块；Server包括数据集合交集运算模块；Alice与Bob均包括密钥生成模块、数据加密模块、认证信息生成模块、结果验证模块和数据解密模块；

本实施方式的公共参数生成与分发模块，负责整个系统中所有实体的公共参数的初始化，并在初始化公共参数后将公共参数分别发送给Server、Alice与Bob；公共参数初始化及分发的实现过程为：

(1)可信第三方初始化公共参数的操作封装在TTP类中，首先创建该类的对象，可信第三方之后的初始化操作依赖该对象的方法调用。

(2)可信第三方调用公共参数生成方法，然后调用文件操作函数把公共参数写入文件中。

(3)利用Qt中Socket的相关函数完成文件的传输。

本实施方式的数据集合交集运算模块，用于当Alice与Bob发起数据集合交集运算请求时，根据从客户端实体接收的认证信息，对Alice和Bob提供的密文数据集合进行交集运算，同时计算运算结果正确性的证据，并将所述运算结果和所述证据分别发送给Alice和Bob；

本实施方式的密钥生成模块，负责生成公私密钥对即用于对客户端实体的明文数据集合进行加密的公钥和用于对客户端实体的对应的密文数据集合进行解密的私钥，并将公钥发送给对应的另一客户端实体的数据加密模块；

本实施方式的数据加密模块，负责利用对应的另一客户端实体的公钥对本客户端实体的明文数据集合进行加密，完成对本客户端实体的明文数据集合向密文数据集合的转换，同时生成本客户端实体的明文数据集合摘要；

本实施方式的认证信息生成模块，负责生成代理重加密密钥、客户端实体的明文数据集合摘要的密文以及其对应的签名，进而生成客户端实体的认证信息，并将该认证信息发送给Server；

本实施方式的结果验证模块，负责完成对客户端实体收到的所述运算结果和所述证据的正确性验证；

本实施方式的数据解密模块，若所述结果验证模块验证成功，则对数据集合交集运算结果的密文数据集合进行解密，完成该密文数据集合向明文数据集合的转换。

本实施方式的面向外包加密数据的可验证交集运算系统的集合交集运算具体过程如下：

(1)客户端Alice的操作封装在用户类中，当创建该类的对象后，客户端Alice的之后操作都依赖该对象的方法调用。

(2)客户端Alice调用函数密钥生成函数生成密钥。

(3)客户端Alice调用函数加密算法加密数据集合。

(4)客户端Alice调用函数认证信息生成算法生成认证信息。

(5)客户端Alice调用文件操作函数将生成的密文数据集合写入文件cipher.txt中。同时也将认证信息写入文件中。

(6)客户端Bob的操作同样封装在用户类中，首先创建该类的对象，客户端Bob的之后操作依赖该对象的方法调用。之后跟客户端Alice一样调用相关函数完成过程(2)-(5)。

(7)客户端Alice和Bob分布发送密文数据集合和认证信息到服务器端。

(8)服务器端依据接收到的密文数据集合和认证信息计算集合交集和对应的证据。

(9)服务器端执行数据转换函数将密文数据集合转换为大整数。

(10)服务器调用交集运算函数计算大整数的交集。

(11)服务器端依据大整数集合的交集，调用密文运算生成函数计算交集对应的密文数据集合。

(12)服务器端调用证据生成函数生成计算结果正确性的证据。返回客户端Alice和Bob对应的结果和证据。

本实施方式的面向外包加密数据的可验证交集运算系统的开发平台：硬件环境：Intel(R)Core(TM)i3CPU 550@3.20GH处理器，4.00GB DDR2内存；软件环境：Ubuntu 64bit操作系统，开发语言为C++，工具为Qt Creator。

本实施方式的面向外包加密数据的可验证交集运算系统用到的开发工具包括：

(1)PBC函数库：PBC(Pairing-Based Cryptography)函数库是一个基于GMPlibrary的用来执行双线性映射运算的开源库，完全由C语言编写而成。它提供了用于生成双线性映射相关循环群的接口，避免了程序员了解双线性映射以及椭圆曲线的数学细节。

PBC函数库主要包含了配对相关函数和元素相关函数。配对相关函数拥有初始化pairing、双线性配对、双线性配对相关循环群等函数。元素相关函数拥有元素初始化、元素赋值、元素转换、元素运算、元素比较、元素随机生成和元素导入导出等函数。

本实施方式的系统从PBC函数库提供的7类不同的配对参数中，选择类型A作为配对参数，它对应的椭圆曲线方程为：y²＝x³+x，其中大素数r＝730750818665451621361119245571504901405976559617。

另外，本实施方式面向外包加密数据的可验证交集运算方法是基于双线性映射实现的，因此构建的方案使用了大量的双线性映射。双线性配对的具体实现是基于PBC函数库。在PBC函数库中，双线性配对的数据结构为：配对上下文参数类型pairing_t和元素类型element_t。

(2)NTL函数库：NTL(Number Theory Library)函数库是一个由C++语言编写而成的高性能函数库，它提供了任意长度整数的数据结构和算法、任意精度的浮点运算功能、由有限域整数和任意整数构成的向量、矩阵、多项式的相关数据结构等功能。

本发明系统主要使用了任意长度整数的数据结构以及由有限域整数构成的多项式数据结构等功能。

(3)OpenSSL函数库：OpenSSL函数库是一个由C语言编写而成的函数库。它实现了目前大部分主流的密码算法和标准。其中包括DES、AES、CAST、Blowfish、IDEA、RC2、RC5等对称加密算法，DH、RSA、EC、DSA等非对称加密算法，MD2、MD5、SHA-1等信息摘要算法以及密钥协商、证书管理等功能。其中对称加密算法都支持电子密码本模式、加密分组链接模式、加密反馈模式和输出反馈模式等四种常用的分组密码加密模式。

本发明系统主要使用了其中的数字签名功能，用于完成数据集合双线性累加器值加密之后的验证，保证在传输过程中加密数据的完整性。

(4)Socket通信：本发明系统中四个实体间通信都采用基于TCP/IP的Socket双向通信技术。Socket通常被称为“套接字”。应用程序通过Socket来建立网络连接。当连接成功建立后，应用程序两端分别产生Socket实例。本发明系统使用Qt函数库对套接字封装的接口来完成程序编写。主要有以下几个部分：第三方可信实体分发公共参数；客户端两个实体间交换公共密钥；客户端实体与外包服务器端实体进行数据传输。

综上所述，本发明提供的可扩展、易实施的面向外包加密数据的可验证交集运算的系统及方法，能在不可信的网络环境下保证计算的正确性与数据的机密性，并且这种系统和方法具有普适性，即与现有系统兼容，可以实现很好的系统升级和过渡。且拥有保护数据隐私性、通信代价小和正确性验证效率高等特点，因此有着广泛的应用前景，可以用来实现可验证的外包密文数据的交集运算，具体应用包括数据库操作、大数据处理等。

Claims (9)

1.一种面向外包加密数据的可验证交集运算方法，其特征在于：该方法在可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server之间进行，其中所述客户端实体为数据集合的持有者以及数据集合交集运算的请求者；包括如下步骤：

步骤1：TTP生成公共参数pm并把pm分别发送给Server、Alice和Bob；

步骤2：依据收到的公共参数pm，Alice和Bob分别生成其各自的公私密钥对{pk_a，sk_a}和{pk_b，sk_b}，并分别把其各自的公钥pk_a和pk_b发布出去；

步骤3：Alice和Bob分别依据其各自的公钥pk_a和pk_b，分别对其各自的明文数据集合D_a和D_b进行加密，对应生成Alice和Bob的密文数据集合C_a、C_b以及Alice和Bob的摘要信息Dig_a、Dig_b，且Alice和Bob均将其各自的密文数据集合C_a、C_b发送给Server；

步骤4：Alice和Bob分别依据其各自的私钥sk_a，sk_b与摘要信息Dig_a，Dig_b、以及对方的公钥pk_b，pk_a，分别生成Alice的认证信息au_a和Bob的认证信息au_b并均发送给Server；

步骤5：Alice和Bob向Server发送数据集合交集运算的请求；

步骤6：当收到Alice和Bob的数据集合交集运算的请求时，Server依据Alice的密文数据集合C_a和Bob的密文数据集合C_b、以及Alice的认证信息au_a和Bob的认证信息au_b进行计算得到交集运算结果rslt_a，rslt_b和运算结果正确性证据proof_a，proof_b，并分别将(rslt_a，proof_a)和(rslt_b，proof_b)发送给Alice和Bob；

步骤7：Alice和Bob分别利用其各自保存的摘要信息Dig_a，Dig_b以及Server返回的交集运算结果rslt_a，rslt_b和运算结果正确性证据proof_a，proof_b，完成数据集合交集运算结果正确性的验证；

步骤8：客户端实体Alice和Bob分别依据其各自的私钥sk_a和sk_b，分别对其各自收到的数据集合交集运算结果rslt_a和rslt_b进行解密生成相应的明文。

2.根据权利要求1所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤1包括如下步骤：

步骤1.1：生成双线性配对参数；

设定安全参数k，并依据该安全参数k，TTP生成双线性配对参数(e，g，G₁，G₂，p)；其中，G＝{e，G₁，G₂，p}，G₁和G₂是两个阶为素数p的乘法循环群，e：G₁×G₁→G₂表示的是一个双线性映射，g为G₁群内的随机数生成元；

步骤1.2：根据安全参数k和双线性配对参数，生成公共参数pm；

依据安全参数k，TTP首先从p阶整数群Z_p中随机选取一个整数s，再利用步骤1.1中的双线性配对参数完成对PBC双线性配对算法的初始化，然后循环执行幂运算生成参数令则可得到公共参数pm＝{mamPk，e，p，g，G₁，G₂}；其中mamPk代表用于对客户端实体的明文数据集合计算摘要的公钥；q≤k为正整数；

步骤1.3：TTP将其生成的公共参数pm发布出去。

3.根据权利要求2所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤2包括如下步骤：

步骤2.1：依据收到的公共参数pm，Alice和Bob分别调用签名密钥生成算法sigKeyGen生成用于对其各自的密文数据集合进行签名的签名公私钥对(sigPk_a，sigSk_a)和(sigPk_b，sigSk_b)，其中sigPk_a为Alice的签名公钥，sigPk_b为Bob的签名公钥，sigSk_a为Alice的签名私钥，sigSk_b为Bob的签名私钥；

步骤2.2：Alice和Bob均从p阶整数群Z_p中随机选取两个整数β_a，γ_a和β_b，γ_b，则可得到Alice的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_a＝{β_a，γ_a，sigSk_a}、Bob的明文数据集合加密公钥和对应的密文数据集合解密私钥sk_b＝{β_b，γ_b，sigSk_b}；

步骤2.3：Alice和Bob分别把其各自的公钥pk_a和pk_b发布出去。

4.根据权利要求3所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤3包括如下步骤：

步骤3.1：假设Alice的明文数据集合D_a＝{d_a，1，d_a，2，...，d_a，n}，Bob的明文数据集合D_b＝{d_b，1，d_b，2，...，d_b，m}，为了保护客户端实体的输入隐私，Alice和Bob分别从G₁中随机选取元素d_a，0和d_b，0，并分别将d_a，0和d_b，0加入到D_a和D_b中；其中D_a中的元素d_a，i∈G₁，0≤i≤n；D_b中的元素d_b，t∈G₁，0≤t≤m；

步骤3.2：在i的取值范围[0，n]内，Alice按照i从0至n的取值顺序依次从Z_p中随机选取整数对r_i1、r_i2并依次相应得到进而得到Alice的密文数据集合C_a＝(cph_a，0，cph_a，1，...，cph_a，n)，并将其发送给Server；同时，在t的取值范围[0，m]内，Bob按照t从0至m的取值顺序依次从Z_p中随机选取整数对r_t3、r_t4并依次相应得到进而得到Bob的密文数据集合C_b＝(cph_b，0，cph_b，1，...，cph_b，m)，并将其发送给Server；

步骤3.3：Alice和Bob分别按照计算并生成Alice的明文数据集合D_a的摘要信息Dig_a和Bob的明文数据集合D_b的摘要信息Dig_b；其中h_a，i＝H(e(d_a，i，g))和h_b，t＝H(e(d_b，t，g))，其中e(d_a，i，g)代表d_a，i和g的配对值；H()代表哈希函数；h_a，i代表对d_a，i和g的配对值计算哈希值；e(d_b，t，g)代表d_b，t和g的配对值；h_b，t代表对d_b，t和g的配对值计算哈希值。

5.根据权利要求4所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤4包括如下步骤：

步骤4.1：Alice和Bob分别依据其各自的私钥sk_a，sk_b计算代理重加密密钥和

步骤4.2：Alice使用Bob的公钥pk_b来加密其自己的摘要信息Dig_a得到Dig_a的密文Bob使用Alice的公钥pk_a来加密其自己的摘要信息Dig_b得到Dig_b的密文其中r₁，r₂，r₃，r₄是从Z_p中随机选取的整数；

步骤4.3：Alice和Bob分别依据sigSk_a，cph_B和sigSk_b，cph_A，通过调用不可抵赖的签名算法sigSign分别生成cph_B的签名信息σ_B和cph_A的签名信息σ_A，完成对cph_B和cph_A的签名；

步骤4.4：Alice和Bob分别得到其各自的认证信息au_a＝{rk_a，cph_B，σ_a}与au_b＝{rk_b，cph_A，σ_b}，且Alice和Bob分别将au_a和au_b发送给Server。

6.根据权利要求5所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤6包括如下步骤：

步骤6.1：先对C_a和C_b进行转化处理，以使D_a与D_b中所具有的相同明文数据部分能够转化为相同的密文；

分别对cph_a，i和cph_b，t进行转化，且用T_a，i和h_b，t表示转化后的结果，T_a，i和T_b，t分别表示为mamD_a＝{H(T_a，1)，H(T_a，2)，...，H(T_a，n)}和mamD_b＝{H(T_b，1)，H(T_b，2)，...，H(T_b，m)}，

步骤6.2：Server依据mamPk、mamD_a和mamD_b，为Alice和Bob生成对应的交集运算结果mamRslt和对应的运算结果正确性证据mamWit_a和mamWit_b，其中mamRslt＝mamD_a∩mamD_b；和均为证明交集运算结果mamRslt正确性的部分证据；其中mamD_a-mamRslt代表mamD_a和mamRslt的差集运算，x_a是该差集中的元素；mamD_b-mamRslt代表mamD_b和mamRslt的差集运算，x_b是该差集中的元素；为子集证据，用来证明集合交集运算结果分别为对应的参与交集运算的两个数据集合的子集；以及为完整性证据，用来证明对应的参与交集运算的两个数据集合除交集之外没有其他共同元素；令x′_a是mamD_a中的元素，x′_b是mamD_b中的元素；依据欧几里得定理，寻找q_a1(s)，q_a2(s)使得p₂(s)*q_a1(s)+R_a(s)*q_a2(s)＝1成立，从而得到q_a1(s)，q_a2(s)的值，以及寻找q_b1(s)，q_b2(s)使得p₁(s)*q_b1(s)+R_b(s)*q_b2(s)＝1成立，从而得到q_b1(s)，q_b2(s)的值；

步骤6.3：Server令rslt_a＝{cph_a，i|H(e(d_a，i，g))∈mamRslt}，proof_a＝(mamWit_a，cph_A，σ_b)，rslt_b＝{cph_b，t|H(e(d_b，t，g))∈mamRslt}，proof_b＝(mamWit_b，cph_B，σ_a)；其中H()代表哈希函数；并分别将(rslt_a，proof_a)和(rslt_b，proof_b)发送给Alice和Bob。

7.根据权利要求6所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤7包括如下步骤：

步骤7.1：Alice和Bob分别依据sigPk_a，cph_B，σ_a和sigPk_b，cph_A，σ_b，通过调用签名认证算法sigVerify分别验证cph_B和cph_A的完整性，以确定Sever返回的交集运算结果rslt_a，rslt_b没有被更改，如果sigVerify算法的结果为0，则转至步骤7.3，否则执行步骤7.2；

步骤7.2：Alice和Bob分别调用成员结果验证算法mamVerify对Sever返回的交集运算结果rslt_a，rslt_b的正确性进行验证，若验证成功则，mamVerify算法返回1，同时执行步骤8，若验证失败则mamVerify算法返回0，并转至步骤7.3；

步骤7.2.1：Alice和Bob分别依据其各自的私钥sk_a，sk_b分别对cph_B，cph_A进行解密得到mamDig_a，mamDig_b；

步骤7.2.2：Alice和Bob分别判断rslt_a和rslt_b是否为空，是，则mamVerify算法返回0，并转至步骤7.3；否，则Alice进行{H(e(d_a，i，g))|cph_a，i∈rslt_a}-cph_a，i的计算，同时Bob进行{H(e(d_b，t，g))|cph_b，t∈rslt_b}-cph_b，t的计算，还原出Sever返回给它们的mamRslt值，并执行步骤7.2.3；

步骤7.2.3：Alice依据mamPk，mamDig_b，mamRslt，mamWit_a，mamDig_a，调用成员结果验证算法mamVerify：a).首先依据mamRslt计算其中x代表mamRslt中的元素；b).通过双线性映射方法判断等式是否成立，是，则认为子集证据和正确，并执行步骤c)，否，则mamVerify算法返回0，并转至步骤7.3；c).最后判断等式是否成立，是，则认为完整性证据正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；

同样，Bob依据mamPk，mamDig_b，mamRslt，mamWit_b，mamDig_a，调用成员结果验证算法mamVerify：(a).首先依据mamRslt计算其中x代表mamRslt中的元素；(b).判断等式是否成立，是，则认为子集证据和正确，并执行步骤(c)，否，则mamVerify算法返回0，并转至步骤7.3；(c).最后判断等式是否成立，是，则认为完整性证据正确，mamVerify算法返回1，同时执行步骤8，否，则mamVerify算法返回0，转至步骤7.3；

步骤7.3：Verify算法执行结束，返回0。

8.根据权利要求7所述的面向外包加密数据的可验证交集运算方法，其特征在于：所述步骤8包括如下内容：

假设rslt_a＝(cph_a，j，...，cph_a，k)，其中1≤j，k≤n，借助私钥sk_a，利用公式来解密rslt_a，其中j≤i≤k，得到相应的明文D_a＇＝D_a∩D_b＝{d_a，j，...，d_a，k}；

假设rslt_b＝(cph_b，j，...，cph_b，k)，其中1≤j，k≤m，借助私钥sk_b，利用公式来解密rslt_b，其中j≤t≤k，得到相应的明文D_b＝D_a∩D_b＝{d_b，j，...，d_b，k}。

9.一种面向外包加密数据的可验证交集运算系统，采用根据权利要求1所述的面向外包加密数据的可验证交集运算方法，其特征在于：该系统由可信第三方实体即TTP、至少两个客户端实体即Alice与Bob以及外包服务器端实体即Server构成；所述客户端实体为数据集合的持有者以及数据集合交集运算的请求者；其中，TTP包括公共参数生成与分发模块；Server包括数据集合交集运算模块；Alice与Bob均包括密钥生成模块、数据加密模块、认证信息生成模块、结果验证模块和数据解密模块；

所述公共参数生成与分发模块，负责整个系统中所有实体的公共参数的初始化，并在初始化公共参数后将公共参数分别发送给Server、Alice与Bob；

所述数据集合交集运算模块，用于当Alice与Bob发起数据集合交集运算请求时，根据从客户端实体接收的认证信息，对Alice和Bob提供的密文数据集合进行交集运算，同时计算运算结果正确性的证据，并将所述运算结果和所述证据分别发送给Alice和Bob；

所述密钥生成模块，负责生成公私密钥对，即用于对客户端实体的明文数据集合进行加密的公钥和用于对客户端实体的对应的密文数据集合进行解密的私钥；

所述数据加密模块，负责对客户端实体的明文数据集合进行加密，完成对客户端实体的明文数据集合向密文数据集合的转换，同时生成客户端实体的明文数据集合摘要；

所述认证信息生成模块，负责生成代理重加密密钥、客户端实体的明文数据集合摘要的密文以及其对应的签名，进而生成客户端实体的认证信息，并将该认证信息发送给Server；

所述结果验证模块，负责完成对客户端实体收到的所述运算结果和所述证据的正确性验证；

所述数据解密模块，若所述结果验证模块验证成功，则对数据集合交集运算结果的密文数据集合进行解密，完成该密文数据集合向明文数据集合的转换。