CN112104609B - 在移动群智感知系统中可验证的、具有隐私意识的真值发现的方法 - Google Patents

Abstract

本发明提供一种在移动群智感知系统中可验证的、具有隐私意识的真相发现的方法，在现有真值发现的基础上增加了：1)扰动机制，每个用户在将原始的感知数据提交到云之前，首先要独立地干扰其感知数据。另外，要求每个用户对扰动感知数据进行数字签名，以利于服务器随后生成证明。2)验证机制，云服务器执行保护隐私的真相发现算法，将聚合结果以及相应的证明消息返回给任务请求者。任务请求者可以仅通过检查证明消息来验证从云服务器返回的聚合结果的正确性，从而选择接受还是拒绝聚合结果。本发明满足公开可验证、高效率、可扩展、无前缀功能和多个数据提供者需求，在聚合精度、计算和通信开销方面具有优越的性能。

Description

在移动群智感知系统中可验证的、具有隐私意识的真值发现 的方法

技术领域

本发明具体涉及信息安全技术，特别涉及在移动群智感知系统中的真值发现技术。

技术背景

随着移动设备数量的快速增长和移动通信与智能终端技术的深度融合，移动群智感知系统已被广泛应用在如智能交通等领域。该系统的云服务器可以使用各种传感器嵌入到移动设备，将数据收集任务分配给一组移动用户,并让他们上传感知数据(如道路状况)。例如，云服务器可以从驾驶员上传的交通数据中，分析得到目前的道路状况，然后将分析结果实时发送给驾驶员，提醒其及时根据路况做出路径规划。

然而，从各种移动设备产生的充满噪声的、异构的、大规模的数据中提取真实数据仍然是一个未解决的挑战。在现实中，不可控的人群感知环境往往会导致采集到的数据质量参差不齐。一些用户将提供高质量的数据，而另一些用户可能由于硬件问题或环境噪声上传低质量甚至是错误的数据。真值发现解决了这个问题，它是通过给每个用户赋予权重来找到真实的信息。一般来说，如果用户提供的数据项更接近聚合结果，则该用户将获得更高的权重。且该用户的数据在执行时会被计算得更多。

真值发现机制为在复杂的众感知环境中寻找真实数据提供了一个强大的渠道。然而，它忽略了现实场景中的两个基本问题，即数据隐私保护和聚合结果的可验证性。一旦用户将感知数据上传到不可信的云服务器上，用户的数据隐私可能会受到损害，例如共享个人实时GPS信息有助于交通监控、导航和交通控制，但也增加了向公众暴露用户位置隐私的风险。另一方面，如何验证聚合数据的正确性是另一个关键问题。在一个典型的移动群智感知系统中，任务请求者付钱给云服务器，让云服务器通过真值发现算法收集数据并找到真实值。不诚实的服务器可能会为了减少计算开销而偏离聚合协议，或者更糟的是，恶意伪造一些可疑交易的结果。

理想的真值发现机制应该满足6个要求：公开可验证、高效率、可扩展、无前缀功能和多个数据提供者(用户)需求。

已提出的真值发现过程中，云服务器需要执行多项式和对数运算。Q.Li,Y.Li,J.Gao,B.Zhao,W.Fan,and J.Han.2014.Resolvingconflicts in heterogeneous data bytruth discovery and sourcere liability estimation.In Proceedings of ACMSIGMOD.1187–1198.

目前的真值发现研究存在以下不足：1)无法有效地验证从服务器返回结果的正确性，同时保护每个用户的隐私；2)在云服务器不可信的前提下，集中式差分隐私难以保护用户的隐私数据；3)在处理大规模数据和用户时开销较大，且难以实现低延迟。

发明内容

本发明所要解决的技术问题是，提供一种在云服务器不可信的前提下，能有效验证从服务器返回结果的正确性，同时保护每个用户的隐私的真值发现方法。

本发明为解决上述技术问题所采用的技术方案是，在移动群智感知系统中可验证的、具有隐私意识的真值发现的方法，包括以下步骤：

1)用户进行感知数据收集，对感知数据进行独立扰动，并生成数据标签，之后对扰动感知数据进行数字签名；最后将扰动感知数据、签名以及数据标签一起发送至云服务器；所述对感知数据进行独立扰动的方式是，各用户遵循预设的高斯分布在感知数据中添加噪声；

2)云服务器验证签名，对通过签名验证的各用户传送的扰动感知数据进行聚合得到聚合结果；同时计算用于真值发现中多项式运算的算数电路中每个“门”的输出的验证标签，并将最后一个门的输出的验证标签作为证明消息作为证明消息，之后将证明消息与聚合结果一起发送至任务请求者；

3)任务请求者通过验证证明消息来判断是否接受聚合结果。

本发明在现有真值发现的基础上增加了：

1)扰动机制

充分考虑真值发现的特点，每个用户在将原始的感知数据提交到云之前，首先要独立地干扰其感知数据，严格满足局部差异隐私的定义使得在加入大噪声的情况下仍能保证较高的聚集精度。另外，要求每个用户对扰动感知数据进行数字签名，以利于服务器随后生成证明。

2)验证机制

云服务器执行保护隐私的真值发现算法，将聚合结果以及相应的证明消息返回给任务请求者。任务请求者可以仅通过检查证明消息来验证从云服务器返回的聚合结果的正确性，从而选择接受还是拒绝聚合结果。

本发明的有益效果是，提出了众感知系统中第一个可验证的、具有隐私意识的真值发现协议。1)提出了一种新的基于局部差分隐私的扰动方案来保护用户的数据隐私。；2)在保护隐私的真值发现过程中提出了一种公开可验证的方法，满足公开可验证、高效率、可扩展、无前缀功能和多个数据提供者需求的方法；3)V-PATD在聚合精度、计算和通信开销方面具有优越的性能。

具体实施方式

本发明提出V-PATD(Verifiable and Privacy-Aware Truth Discovery)模型，包括三种角色：任务请求者、云服务器、用户。

假定任务请求者是可信任的，并且不会与任何实体合谋。所有用户都被认为是诚实但好奇的，这意味着每个用户都会诚实地上传云服务器所需的本地感知数据，但是，它也可能会尝试利用掌握的先验知识来损害其他用户的数据隐私。云服务器被认为是不诚实的，可能会损害我们的V-PATD模型。

实现V-PATD协议的真值发现步骤包括：

任务请求者向云服务器请求收集感知数据；

云服务器发布感知数据的收集任务至各用户；

各用户接受任务，进行感知数据收集，再将收集到的感知数据进行独立扰动，并生成数据标签，之后对扰动感知数据进行数字签名；将扰动感知数据、签名以及数据标签一起发送至云服务器；

云服务器验证签名，对通过签名验证的各用户传送的扰动感知数据进行聚合得到聚合结果，根据聚合结果赋予更接近聚合结果的数据提供者(用户)更高的权重，使得该用户发送的感知数据在执行时会被计算得更多。同时在对接收到扰动感知数据通过算术电路进行真值发现的多项式运算过程中计算每一个门输出的标签，将算术电路最后一个门的输出的验证标签作为证明消息，之后将证明消息与聚合结果一起发送至任务请求者；

任务请求者通过验证证明消息来判断是否接受聚合结果。

其中，V-PATD协议对现有真值发现过程进行改进的有两部分，第一部分为用户对感知数据的扰动机制，第二部分为云服务器生成可验证的，用于证明自身在进行聚合结果计算时完整性的证明消息的机制。

第一部分：扰动机制仅要求每个用户产生噪声并将其添加到原始的感知数据中。具体同时在对接收到扰动感知数据通过算术电路进行真值发现的多项式运算过程中计算每一个门输出的标签，将算术电路最后一个门的输出的验证标签作为证明消息步骤如下:

步骤1.1：假设有

个用户观察到总共

个独特的对象，使用符号

来表示第n个用户对第m个对象所记录的感知数据,

步骤1.2：在将

上传到云服务器之前，每个用户n首先向

添加从高斯分布N

中选择的噪声

对

进行独立扰动处理，

是第n个用户上传所有数据项时选择的高斯分布的方差。对于精度的可控性，我们要求所有用户从具有超参数η₂的指数分布中独立选择方差。扰动感知数据

由各用户添加噪声体现局部差异隐私。

步骤1.3：每个用户将扰动感知数据

提交给云服务器。为了支持可验证的计算，还要求每个用户将

的数据标签上载到云服务器。

第二部分：验证机制，由于云服务器在真值发现过程中需要执行多项式和对数运算。然而，为指数结果生成证明通常涉及昂贵的成本。在V-PATD中，云服务器只需要通过算术电路计算等式中的多项式以及相应的证明。在验证以上计算的完整性之后，每个用户都可以计算对数运算(即log(·))。这是可行的，并且对于每个用户仅需要少量的通信和计算开销。设

m＝1，具体步骤如下:

步骤2.1：用户n收集到一项需要记录的目标物体的感知数据x_n，对感知数据x_n进行扰动处理得到扰动感知数据

扰动感知数据

中还包含有描述

的数据标签τ。

步骤2.2：为了处理每个浮点数

可以需要时使用较大的舍入因子

将每个

缩放为整数

只需在最终验证过程中删除

即可恢复

为简单起见，在以下描述中省略了上述操作，并且默认情况下扰动感知数据

均为整数。

步骤2.3：执行全局参数生成算法Setup(1^λ)→(pp)。给定安全参数λ，算法Setup(1^λ)输出在V-PATD验证机制中使用的全局安全参数pp＝(e，p，G1，G2，g，h，H，H′)。G1和G2是素数为p的两个组，e是双线性图表示为e：G1×G1→G2，g和h是组G1的生成器。H：{0,1}^*→Z^p和H′：{0,1}^*→Z^p是两个不同的抗碰撞哈希函数，它们分别将任意字符串映射到整数集Z^p中的元素。Setup(1^λ)→(pp)算法可以由可信任用户生成后再广播至V-PATD系统中的其他主体，或者委托给受信任的第三方生成后在系统中广播。

步骤2.4：用户执行密钥对生成算法Gen_key(pp)→(sk,pk)。给定公共参数pp，用户根据算法Gen_key(pp)为生成私钥sk和公钥pk：私钥sk_n＝(β_n,β′_n,β″_n)是用户n随机选择的，公钥根据私钥生成

用户n将私钥保存在本地，将公钥发送给云服务器。

步骤2.5：用户执行签名算法

云服务器对签名进行验证。用户将扰动感知数据

(带有标签τ，表示

的描述)和私钥sk_n输入算法

算法

输出签名

算法

具体为：用户n首先将数据标签τ输入哈希函数计算

和F_τ＝H′(τ)。然后，它随机选择一个整数t_n∈Z_p并计算

将签名

表示为

最后，用户n将产生的签名

和数据标签τ发送到云服务器。本步骤与步骤1.3同时进行。

云服务器在接收到签名

和数据标签τ之后，按照以下方式验证签名

的真实性：

其中，

如果满足

两边相等则表明签名验证通过，云服务器存储接收到的来自用户的扰动感知数据

和签名

否则，输出空符号⊥。

步骤2.6：云服务器或者任务请求者执行门输出的验证标签计算算法

该算法是V-PATD验证机制的核心。云服务器运行算法Gate_eval来计算算术电路中门输出的验证标签σ′，其中验证标签σ′用于验证门输出的正确性。这里使用符号

表示服务器执行的多项式，其中

是用户的干扰数据。根据现有真值发现技术将

表示为

其中c_i是常数，e_n表示

的指数。然后，采用算术电路来表示

算术电路由若干门级联而成，门有两种类型：乘积门以及总和门。每一个门的输入线有两条。所有乘积门都在求和门之前执行。当给定乘积或总和门G，G的输入线

和

以及相应的验证标签σ₁和σ₂作为算法

的输入，

则输出G的验证标签σ′。验证标签由对应的公钥与签名组成。

基于算术电路的结构，V-PATD将验证标签分为两类：即，类别1验证标签和类别2验证标签。

I类别1验证标签包括：①每个用户的扰动感知数据的验证标签(算术电路中第一个门的输入的验证标签)。②乘积门输出的验证标签。③总和门输出的验证标签且该总和门的两根输入线上分别为同一公钥签名的两个类别1验证标签。

类别1验证标签中公钥的生成方法与步骤2.4中的密钥对生成方法Gen_key中的公钥生成方法相同，签名的生成方法与步骤2.5中签名算法相同。

以输入线

(数据标签为τ₁)为例，输入线

的类别1验证标签

表示为

其中输入线

的私钥为

是云服务器从Z_p中随机选择的整数。

II类别2验证标签为：排除属于类别1验证标签情况的总和门的输出的验证标签。即，包括①总和门输出的验证标签且该总和门的两根输入线上的不是同一公钥签名的验证标签、②总和门输出的验证标签且该总和门的两根输入线上有类别2验证标签。

类别2验证标签中公钥的生成方法与步骤2.4中的密钥对生成方法Gen_key中的公钥生成方法相同，签名的生成方法仅第一个元素μ的生成方法与步骤2.5中签名算法相同，第2、3、4个元素v⁽¹⁾,v⁽²⁾,v⁽³⁾的生成方法与步骤2.5中签名算法不同。

其中，

为类别2验证标签所在的输入线，t是云服务器从Z_p中随机选择的整数，输入线

的私钥为(β,β′,β″)，

F_τ为两个签名中间量。

以

为例，输入线

的类别2验证标签

表示为

其中

的私钥为

是云服务器从Z_p中随机选择的整数。

门输出的验证标签计算算法

先根据两种类型的门G，再根据两条输入线

以及其对应的两种类别验证标签，分别采用不同计算步骤：

I如果门G的类型是总和门，则进一步判断输入线以及对应类别验证标签所属以下哪5种情况：

情况I-1：输入G的

为变量，

为常数，且

对应类别1验证标签。Gate_eval的计算步骤为2.6.1。

情况I-2：输入G的

为变量，

为常数，且

对应类别2验证标签。Gate_eval的计算步骤为2.6.2。

情况I-3：输入G的

和

均为变量，且均对应类别1验证标签。Gate_eval的计算步骤为2.6.3。

情况I-4：输入G的是两个变量

和

且一个对应类别1验证标签，一个对应类别2验证标签。Gate_eval的计算步骤为2.6.4。

情况I-5：输入G的是两个变量

和

且均对应类别2验证标签。Gate_eval的计算步骤为2.6.5。

II如果G是乘积门，则进一步判断是输入线以及对应类别验证标签所属以下哪2种情况：

情况II-1：输入G的

为变量，

为常数。Gate_eval的计算步骤为2.6.6。

情况II-2：输入G的

和

均为变量，且均对应类别1验证标签。Gate_eval的计算步骤为2.6.7。

Gate_eval的不同计算步骤如下：

步骤2.6.1：G是总和门，G的输入是变量

和常数

具有类别1验证标签

G的输出

的验证标签σ′＝(pk′,ρ′)为：

其中，

步骤2.6.2：G是总和门，G的输入是变量

和常数

拥有类别2验证标签

G的输出

的验证标签σ′＝(pk′,ρ′)为：

其中

步骤2.6.3：G是总和门，G的输入是两个变量

和

它们都分别具有类别1验证标签

和

G的输出

的验证标签σ′＝(pk′,ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.3-1当

即σ₁和σ₂由同一用户生成，则σ′＝(pk′,ρ′)：

其中

其中，

与

的计算方法与组成上述类型1验证标签的签名中的第2、3、4元素的计算方式相同。

2.6.3-2当

即σ₁和σ₂由不同用户生成，则云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′,ρ′)：

⑴云服务器发送

给任务请求者；

⑵任务请求者随机选择三个整数ξ,ξ′,ξ″∈Z_p作为门输出的验证标签(类型2验证标签)对应的私钥，提交生成新的公钥所需的元素

到云服务器；

⑶云服务器计算出G输出的验证标签σ′＝(pk′,ρ′)：

其中，

步骤2.6.4：G是总和门，G的输入是两个变量

和

具有类别1验证标签

具有类别2验证标签

G的输出

的验证标签σ′＝(pk′,ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.4-1当

σ′＝(pk′,ρ′)：

其中

2.6.4-2当

云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′,ρ′)：

⑴云服务器发送

给任务请求者；

⑵由于V-PATD验证机制中类别2验证标签的私钥都是由任务请求者生成的，即此处

的私钥

是任务请求者生成，因此任务请求者计算生成新的公钥所需的元素

并将其发送到云服务器；

⑶服务器计算出G输出的验证标签σ′＝(pk′,ρ′):

其中

步骤2.6.5：G是总和门，G的输入是两个变量

和

和

都分别具有类别2验证标签

和

G的输出

的验证标签σ′＝(pk′,ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.5-1当

σ′＝(pk′,ρ′)：

其中

2.6.5-2当

云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′,ρ′)：

⑴云服务器首先选择一条输入线(例如

)作为主要输入，并请求任务请求者生成一个新的公钥；

⑵由于类别2验证标签的私钥都是由任务请求者生成的，任务请求者计算生成新的公钥所需的元素

并发送到云服务器；

⑶云服务器计算出G输出的验证标签σ′＝(pk′,ρ′)：

其中

步骤2.6.6：G是乘积门，门G的输入是变量

和常数

其中

可以是扰动的感知数据

或其他乘积门的输出。由于所有乘积门都在求和门之前执行，因此，

的验证标签σ₁必须是类别1验证标签。假设

则门G的输出

的验证标签σ′＝(pk′,ρ′)：

步骤2.6.7：G是乘积门，门G的输入是两个变量

和

和

都具有类别1验证标签

和

云服务器首先选择一个变量(例如，

)作为主要输入，并请求任务请求者生成一个新的公钥，然后由任务请求者生成门G的输出

的验证标签σ′＝(pk′,ρ′)：

⑴云服务器发送

和

给任务请求者；

⑵任务请求者验证σ₁和σ₂的真实性。如果验证失败，任务请求者输出⊥。

否则，任务请求者随机选择三个整数生成新的私钥(ξ,ξ′,ξ″)，ξ,ξ′,ξ″∈Z_p，再根据私钥生成公钥

⑶任务请求者计算门G的输出的验证标签σ′＝(pk′,ρ′)：

ρ′＝(μ′,v′)＝(μ′,v′⁽¹⁾,ν′⁽²⁾,v′⁽³⁾)

其中，

t′是任务请求者从Z_p中随机选择的整数；

⑷任务请求者提交

到云服务器。

步骤2.7：云服务器执行证明消息生成算法Gen_proof(σ_R)→P。当计算到达算术电路的最后一个门时，云服务器将计算最后一个门G的输出的验证标签σ_R＝(pk_R,ρ_R)，并设置证明消息P＝σ_R。然后，服务器将聚合结果

和证明消息P返回给任务请求者。

步骤2.8：任务请求者执行验证证明消息算法Proof_verify(P)→(True,False)。任务请求者在收到汇总结果R和证明消息P之后，通过检查证明消息P＝σ_R来验证R的正确性。具体来说，对于带有数据标签τ_n的每个

任务请求者首先计算

和

然后设置

以及

再根据验证标签σ_R的类型进行验证：

2.8.1如果验证标签σ_R＝(pk_R,ρ_R)是类别1验证标签，则任务请求者通过以下等式验证P：

其中，

特别的，

是从最后一个门算出的随机整数。如果验证成功，任务请求者将接受结果R；否则，任务请求者拒绝结果R。

2.8.2如果验证标签σ_R＝(pk_R,ρ_R)是类别2验证标签，则任务请求者通过以下等式验证P：

其中，

特别的，

t_R∈Z_p是从最后一个门算出的随机整数。如果验证成功，任务请求者将接受结果R；否则，任务请求者拒绝结果R。

Claims (4)

1.在移动群智感知系统中可验证的、具有隐私意识的真值发现的方法，其特征在于，包括以下步骤：

1)用户进行感知数据收集，将收集到的感知数据进行独立扰动，生成描述扰动感知数据的数据标签，之后根据生成的密钥对扰动感知数据进行数字签名；最后将包含有数据标签的扰动感知数据以及签名一起发送至云服务器；对感知数据进行独立扰动的方式是，各用户遵循预设的高斯分布在感知数据中添加噪声；

2)云服务器验证签名，对通过签名验证的各用户传送的扰动感知数据进行聚合得到聚合结果；同时计算用于真值发现中多项式运算的算数电路中每个“门”的输出的验证标签，并将最后一个门的输出的验证标签作为证明消息，之后将证明消息与聚合结果一起发送至任务请求者；

3)任务请求者通过验证证明消息来判断是否接受聚合结果；

步骤2)中验证标签通过云服务器或者任务请求者执行门输出的验证标签计算算法生成；验证标签用于验证算术电路中门输出的正确性；所述算术电路由若干门级联而成，门有两种类型：乘积门以及总和门；每一个门的输入线有两条，输出一条；所有乘积门都在求和门之前执行；

验证标签由对应的公钥与签名组成；验证标签分为两类：类别1验证标签和类别2验证标签；

I类别1验证标签包括：①每个用户的扰动感知数据的验证标签、②乘积门输出的验证标签、③总和门输出的验证标签且该总和门的两根输入线上分别为同一公钥签名的两个类别1验证标签；

II类别2验证标签为：①总和门输出的验证标签且该总和门的两根输入线上的不是同一公钥签名的验证标签、②总和门输出的验证标签且该总和门的两根输入线上有类别2验证标签。

2.如权利要求1所述方法，其特征在于，用户生成密钥对的方法是：

(1)任务请求者、云服务器与用户得到全局安全参数pp＝(e，p，G1，G2，g，h，H，H′)，其中G1和G2是素数为p的两个组，e是双线性图表示为e：G1×G1→G2，g和h均是组G1的生成器；H：{0，1}^*→Z^p和H′：{0，1}^*→Z^p是两个不同的抗碰撞哈希函数，它们分别将任意字符串映射到整数集Z^p中的元素；

(2)用户n随机选择三个整数β_n，β′_n，β″_n构成私钥sk_n＝(β_n，β′_n，β″_n)，根据私钥生成公钥

用户n将私钥保存在本地，将公钥发送给云服务器；

用户对扰动感知数据进行数字签名的方法是：用户n首先将扰动感知数据的数据标签τ输入哈希函数计算签名中间量

和F_τ＝H′(τ)；再选择一个整数t_n∈Z_p并计算组成签名的四个元素

将签名

表示为

用户n将产生的签名

和数据标签τ发送到云服务器；

云服务器验证签名的方法是：云服务器在接收到签名

和数据标签τ之后，按照以下方式验证签名

的真实性：

其中，

如果满足

两边相等则表明签名验证通过，云服务器存储接收到的来自用户的扰动感知数据

和签名

否则，输出空符号⊥。

3.如权利要求2所述方法，其特征在于，类别1验证标签中公钥的生成方法与用户生成公钥的方法相同；类别1验证标签中签名的生成方法与用户对扰动感知数据进行数字签名的方法相同；

类别2验证标签中公钥的生成方法与用户生成公钥的方法相同；类别2验证标签中签名的生成方法与签名的生成方法仅第一个签名元素μ的生成方法与用户对扰动感知数据进行数字签名的方法相同，第2、3、4个签名元素v⁽¹⁾，v⁽²⁾，v⁽³⁾的表示为：

其中，

为类别2验证标签所在的输入线，t是云服务器从Z_p中随机选择的整数，输入线

的私钥为(β，β′，β″)，

F_τ为两个签名中间量。

4.如权利要求3所述方法，其特征在于，门输出的验证标签计算算法Gate_eval先根据两种类型的门G，再根据两条输入线

以及其对应的两种类别验证标签，分别采用不同计算步骤：

I如果G的类型是总和门，则进一步判断输入线以及对应类别验证标签所属以下哪5种情况：

情况I-1：输入G的

为变量，

为常数，且

对应类别1验证标签；Gate_eval的计算步骤为2.6.1；

情况I-2：输入G的

为变量，

为常数，且

对应类别2验证标签；Gate_eval的计算步骤为2.6.2；

情况I-3：输入G的

和

均为变量，且均对应类别1验证标签；Gate_eval的计算步骤为2.6.3；

情况I-4：输入G的是两个变量

和

且一个对应类别1验证标签，一个对应类别2验证标签；Gate_eval的计算步骤为2.6.4；

情况I-5：输入G的是两个变量

和

且均对应类别2验证标签。Gate_eval的计算步骤为2.6.5；

II如果G是乘积门，则进一步判断是输入线以及对应类别验证标签所属以下哪2种情况：

情况II-1：输入G的

为变量，

为常数；Gate_eval的计算步骤为2.6.6；

情况II-2：输入G的

和

均为变量，且均对应类别1验证标签；Gate_eval的计算步骤为2.6.7；

步骤2.6.1：G的输出的验证标签σ′＝(pk′，ρ′)为：

其中，pk′表示验证标签σ′的公钥；ρ′表示验证标签σ′的签名；

分别为输入线

的验证标签的公钥与签名；

是从Z_p中随机选择的整数，

为输入线

的私钥；

步骤2.6.2：G的输出的验证标签σ′＝(pk′，ρ′)为：

其中

步骤2.6.3：G的输出的验证标签σ′＝(pk′，ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.3-1当

输入线

的验证标签

和输入线

的验证标签

由同一用户生成，则σ′＝(pk′，ρ′)：

其中

其中，

与

分别为输入线

和

验证标签的签名中的第2、3、4元素；

2.6.3-2当

云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′，ρ′)：

⑴云服务器发送

给任务请求者；

⑵任务请求者随机选择三个整数ξ，ξ′，ξ″∈Z_p作为门输出的验证标签对应的私钥，提交生成新的公钥所需的元素

到云服务器；

⑶云服务器计算出G输出的验证标签σ′＝(pk′，ρ′)：

其中，

步骤2.6.4：G的输出的验证标签σ′＝(pk′，ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.4-1当

其中

2.6.4-2当

云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′，ρ′)：

⑴云服务器发送

给任务请求者；

⑵任务请求者已知

的私钥

生成新的公钥所需的元素

并将其发送到云服务器；

⑶服务器计算出G输出的验证标签σ′＝(pk′，ρ′):

其中

步骤2.6.5：G的输出的验证标签σ′＝(pk′，ρ′)根据两个输入线的公钥是否相同分为两种计算方式：

2.6.5-1当

其中

2.6.5-2当

云服务器通知任务请求者需要重新生成一个公钥，任务请求者产生生成新的公钥所需的元素至云服务器，云服务器再计算σ′＝(pk′，ρ′)：

⑴云服务器首先选择一条输入线作为主要输入，并请求任务请求者生成一个新的公钥；

⑵任务请求者计算生成新的公钥所需的元素

并发送到云服务器；

⑶云服务器计算出G输出的验证标签σ′＝(pk′，ρ′)：

其中

步骤2.6.6：G的输出的验证标签σ′＝(pk′，ρ′)：

步骤2.6.7：云服务器首先选择一条输入线作为主要输入，并请求任务请求者生成一个新的公钥，然后由任务请求者生成门G的输出

的验证标签σ′＝(pk′，ρ′)：

⑴云服务器发送

和

给任务请求者；

⑵任务请求者验证σ₁和σ₂的真实性，如果验证失败，任务请求者输出⊥，否则，

任务请求者随机选择三个整数生成新的私钥(ξ，ξ′，ξ″)，ξ，ξ′，ξ″∈Z_p，再根据私钥生成公钥

⑶任务请求者计算门G的输出的验证标签σ′＝(pk′，ρ′)：

ρ′＝(μ′，v′)＝(μ′，v′⁽¹⁾，v′⁽²⁾，v′⁽³⁾)

其中，

t′是任务请求者从Z_p中随机选择的整数，

分别是两条输入线

的两个签名中间量；

F′_τ分别是输出的验证标签的两个签名中间量；

⑷任务请求者提交

到云服务器。