CN112954033A - 一种跨用户的云存储系统重复数据删除方法 - Google Patents

Abstract

本发明提供一种跨用户的云存储系统重复数据删除方法，包括以下步骤：S1：将要上传文件F至云服务器S的客户端作为上传者C，其他客户端作为检查者；S2：进行基于验证元认证的三方PAKE协议通讯；S3：得到k_iL||k_iR；得到k′_iL||k′_iR，并进行同态加密得到同态加密结果；S4：计算加密密文e；S5：对e进行解密，得到k_F＝Dec(sk，e)，利用k_F对文件F进行对称密钥加密，得到E(H(k_F)F)；S6：判断E(H(k_F)F)与

是否相等；如果相等，则文件F为重复文件，在云服务器S中删除E(H(k_F)F)，并容许上传者C访问

如果均不相等，则文件F为非重复文件，在云服务器S中存储E(H(k_F)，F)；S7：执行结束。本发明提供一种跨用户的云存储系统重复数据删除方法，解决了目前跨用户的云存储重复数据删除方法的安全性不够高的问题。

Description

一种跨用户的云存储系统重复数据删除方法

技术领域

本发明涉及数据处理技术领域，更具体的，涉及一种跨用户的云存储系统重复数据删除方法。

背景技术

云存储重复数据消除策略根据发生重复数据消除的主机进行分类。在服务器端重复数据消除中，所有文件都上载到云服务器，然后删除重复项，而客户端不知道重复数据消除，此策略可节省存储，但不节省带宽。在客户端重复数据消除中，客户端上传文件首先通过发送文件的哈希检查云服务器上是否存在此文件，而不会上载重复项，此策略同时保存存储和带宽，但允许客户端了解云服务器上是否存在文件。

云存储系统一般由云服务器和一系列将数据储存到云服务器的客户端组成。客户端之间并不通信，但是可以通过云服务器进行信息交换，实际中可以引入其他独立服务器来帮助实现重复数据删除，但安全性假设太强。在现实中如何构建一个可信第三方服务器也是一个难题，其次也很难保证第三方服务器不与云服务器合谋。因此，目前跨用户的云存储重复数据删除方法的安全性不够高，无法有效保护用户隐私安全。

现有技术中，如2020-01-10公开的中国专利，一种支持隐私和完整性保护的外包数据去重云存储方法，公开号为CN110677487A，为了保护被存储文件的机密性和隐私性并实现密文文件的去重，采用提取器技术使得外包存储数据的密文不依赖于加密者和加密算法，而依赖于数据本身，使得相同的文件F产生相同的密文，从而既保护了文件的隐私性，又实现了密文数据去重，但不能够抵御离线字典攻击，安全性不够高。

发明内容

本发明为克服目前跨用户的云存储重复数据删除方法的安全性不够高的技术缺陷，提供一种跨用户的云存储系统重复数据删除方法。

为解决上述技术问题，本发明的技术方案如下：

一种跨用户的云存储系统重复数据删除方法，包括以下步骤：

S1：将要上传文件F至云服务器S的客户端作为上传者C，其他客户端作为检查者并组成检查者组{C_i}，C_i为第i个检查者；

其中，在云服务器S中存储有每一个已上传文件F_i的对称加密值

为数据加密密钥的散列值，

为检查者C_i中已上传文件的加密密钥；

S2：将检查者C_i与上传者C进行基于验证元认证的三方PAKE协议通讯，并判断是否通讯成功；

若是，则使检查者C_i获取会话密钥k_i和上传者C获取对应的会话密钥k_i′；

若否，则执行步骤S7；

S3：对k_i进行扩展和拆分得到k_iL||k_iR，将k_iL和

发送至云服务器S；

对k_i′进行扩展和拆分得到k′_iL||k′_iR，并对k′_iR进行同态加密得到同态加密结果，将k′_iL和同态加密结果上传至云服务器S；

其中，k_iL为k_i拆分后得到的左分量，k_iR为k_i拆分后得到的右分量，k′_iL为k′_i拆分后得到的左分量，k′_iR为k′_i拆分后得到的右分量；

S4：在云服务器S中计算加密密文e，并将e返回至上传者C；

S5：通过上传者C使用同态加密的私钥sk对e进行解密，得到文件F的加密密钥k_F＝Dec(sk,e)，利用k_F对文件F进行对称密钥加密，得到文件F的对称加密值E(H(k_F)F)并发送至云服务器S；

S6：在云服务器S中判断E(H(k_F)F)与存储的

是否相等；

如果相等，则文件F为重复文件，在云服务器S中删除E(H(k_F)F)，并容许上传者C访问

如果均不相等，则文件F为非重复文件，在云服务器S中存储E(H(k_F),F)；

S7：执行结束。

优选的，设客户端A和客户端B要在云服务器S的协助下进行安全的密钥交换，其中A和B分别拥有口令π_A和π_B，云服务器S拥有相应的验证元

和

其中，s_A为云服务器中对应客户端A的盐值，H_A为云服务器中对应客户端A的口令哈希值，s_B为云服务器中对应客户端B的盐值，H_B为云服务器中对应客户端B的口令哈希值，F(·)是从口令空间到指数集Z_q上的变换；

通过以下步骤执行所述基于验证元认证的三方PAKE协议通讯：

S2.1：在客户端A中选择随机数r_A，计算与口令π_A的预哈希值

对应的ElGamal密文

并将消息<A,B,c_AS>发送至云服务器S；其中，g和h均为独立生成元，u_A为基于r_A计算出的ElGamal密文独立生成元，e_A为基于r_A和P_A计算出的ElGamal密文独立生成元；

在客户端B中选择随机数r_B，计算与口令π_B的预哈希值

对应的ElGamal密文

并将消息<B,A,c_BS>发送至云服务器S；其中，u_B为基于r_B计算出的ElGamal密文独立生成元，e_B为基于r_B和P_B计算出的ElGamal密文独立生成元；

S2.2：在云服务器S中，

为客户端A选择随机数x_A、y_A和z_A；

计算哈希密钥hk_A＝(x_A，y_A，z_A)和投射密钥的生成元

利用hk_A计算哈希值

并设置标签l_A＝A||B||S|c_AS||hp_1A||hp_2A、明文信息M_A＝s_A||H_A；其中，L_A为客户端A相关的语言，c_A为客户端A的密文；

将哈希值tk_A作为加密的随机值计算得到密文c_SA＝Enc(pk,M_A；l_A；tk_A)；其中，pk为上传者C独有的同态加密公钥；

将消息<s_A,hp_1A,hp_2A,c_SA>发送至客户端A；

为客户端B选择随机数x_B、y_B和z_B；

计算哈希密钥hk_B＝(x_B，y_B，z_B)和投射密钥的生成元

利用hk_B计算哈希值

并设置标签l_B＝B||A||S||c_BS||hp_1B||hp_2B、明文信息M_B＝s_B||H_B；其中，L_B为客户端B相关的语言，c_B为客户端B的密文；

将哈希值tk_B作为加密的随机值计算得到密文c_SB＝Enc(pk,M_B；l_B；tk_B)；

将消息<s_B,hp_1B,hp_2B,c_SB>发送至客户端B；

S2.3：在客户端A中，根据消息<s_A,hp_1A,hp_2A,c_SA>计算

利用tk′_A作为随机数重新计算密文c′_SA＝Enc(pk,M_A；l_A；tk_A)，并验证c′_SA与c_SA是否相等；

如果相等，则验证通过，选择随机数x构造生成元X＝g^x和计算MAC值δ_AS＝MAC(mk_A′,A||B||S||X)，并向云服务器S发送消息<X,δ_AS>；

如果不相等，则结束会话，通讯不成功，执行步骤S7；

在客户端B中，根据消息<s_B,hp_1B,hp_2B,c_SB>计算

利用tk′_B作为随机数重新计算c′_SB＝Enc(pk,M_B；l_B；tk_B)，并验证c′_SB与c_SB是否相等；

如果相等，则验证通过，选择随机数y构造Y＝g^y和计算MAC值δ_BS＝MAC(mk′_B,B||A||S||Y)，并向云服务器S发送消息<Y,δ_BS>；

如果不相等，则结束会话，通讯不成功，执行步骤S7。

S2.4：在云服务器S中使用密钥mk_A和mk_B验证MAC值δ_AS和δ_BS是否正确；

如果正确，则验证通过，计算δ_SA＝MAC(mk_A,A||B||S||X||Y),δ_SB＝MAC(mk_B,B||A||S||Y||X)，并向客户端A发送消息<Y,δ_SA>，向客户端B发送消息<X,δ_SB>；

如果不正确，则结束会话，通讯不成功，执行步骤S7；

S2.5：在客户端A和客户端B中分别利用密钥mk′_A和mk′_B验证MAC值δ_SA和δ_SB是否正确；

如果正确，则验证通过，通讯成功，在客户端A中计算会话密钥sk_AB＝Y^x，在客户端B中计算会话密钥sk_BA＝X^y；

如果不正确，则验证失败，结束会话，通讯不成功，执行步骤S7。

优选的，在客户端和云服务器都诚实执行所述基于验证元认证的三方PAKE协议的情况下，对于客户端A相关的语言

而言，将其各项展开则有如下等式成立：

由此可知，在客户端A和云服务器S中计算得到相同的tk_A||mk_A，在客户端B和云服务器S中同样将得到相同的tk_B||mk_B；因此，A和B将生成相同的会话密钥sk_AB＝Y^x＝g^xy＝X^y＝sk_BA。

优选的，在云服务器S中还存储有每一个已上传文件F_i的短哈希值sh_i。

优选的，在步骤S1中，还包括以下步骤：在上传者C中计算文件F的加密哈希值h和短哈希值sh，并将文件F的短哈希值sh发送至云服务器S。

优选的，在步骤S1中，还包括以下步骤：通过云服务器S在检查者组{C_i}中查找出拥有已上传文件F_i的短哈希值sh_i与文件F的短哈希值sh相等的检查者C_i。

优选的，在步骤S3中，

对k_i进行扩展和拆分得到k_iL||k_iR的具体步骤为：通过检查者C_i使用伪随机函数对k_i进行扩展，并将扩展结果拆分为左右两部分得到k_iL||k_iR；

对k′_i进行扩展和拆分得到k′_iL||k′_iR的具体步骤为：通过上传者C使用伪随机函数对k′_i进行扩展，并将扩展结果拆分为左右两部分得到k′_iL||k′_iR。

优选的，在步骤S3中，对k′_iR进行同态加密得到同态加密结果的具体步骤为：利用上传者C独有的同态加密公钥pk对k′_iR进行同态加密得到同态加密结果Enc(pk,k′_iR+r)；其中，r为上传者C任取的随机数。

优选的，在步骤S3中，还包括将同态加密公钥pk上传至云服务器S。

优选的，在步骤S4中，根据同态加密的原理计算

与现有技术相比，本发明技术方案的有益效果是：

本发明提供了一种跨用户的云存储系统重复数据删除方法，采用了基于验证元认证的三方PAKE协议进行通讯，能抵御离线字典攻击，削弱了传统的口令认证密钥交换(PAKE)协议易出现的云服务器文件泄露问题，提高了重复数据删除过程中的安全性，有效地保护了用户隐私安全；同时使得云存储环境中每个客户端仅仅需要和云服务器共享一个口令，就可以在云服务器的协助下与其他客户端进行安全的密钥交换，有效地减少了客户端管理口令的负担。

附图说明

图1为本发明的技术方案实施步骤流程图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

如图1所示，一种跨用户的云存储系统重复数据删除方法，包括以下步骤：

S1：将要上传文件F至云服务器S的客户端作为上传者C，其他客户端作为检查者并组成检查者组{C_i}，C_i为第i个检查者；

其中，在云服务器S中存储有每一个已上传文件F_i的对称加密值

为数据加密密钥的散列值，

为检查者C_i中已上传文件的加密密钥；

S2：将检查者C_i与上传者C进行基于验证元认证的三方PAKE协议通讯，并判断是否通讯成功；

若是，则使检查者C_i获取会话密钥k_i和上传者C获取对应的会话密钥k_i′；

若否，则执行步骤S7；

S3：对k_i进行扩展和拆分得到k_iL||k_iR，将k_iL和

发送至云服务器S；

对k′_i进行扩展和拆分得到k′_iL||k′_iR，并对k′_iR进行同态加密得到同态加密结果，将k′_iL和同态加密结果上传至云服务器S；

其中，k_iL为k_i拆分后得到的左分量，k_iR为k_i拆分后得到的右分量，k′_iL为k′_i拆分后得到的左分量，k′_iR为k′_i拆分后得到的右分量；

S4：在云服务器S中计算加密密文e，并将e返回至上传者C；在具体实施时，根据云服务器S接收到的k_iL、

k′_iR和同态加密结果等信息，根据同态加密的原理计算加密密文e；

S5：通过上传者C使用同态加密的私钥sk对e进行解密，得到文件F的加密密钥k_F＝Dec(sk,e)，利用k_F对文件F进行对称密钥加密，得到文件F的对称加密值E(H(k_F)F)并发送至云服务器S；

S6：在云服务器S中判断E(H(k_F)F)与存储的

是否相等；

如果相等，则文件F为重复文件，在云服务器S中删除E(H(k_F)F)，并容许上传者C访问

如果均不相等，则文件F为非重复文件，在云服务器S中存储E(H(k_F),F)；

S7：执行结束。

实施例2

更具体的，在云存储系统中定义一个长期密钥：客户端集合υ中每一个客户端U∈υ都拥有一个口令π_u(u代表某客户端)，云服务器拥有口令列表pw_s＝<pw_s[U]>,其中pw_s[U]＝{s_u,H_u}由口令π_u相对应的盐值s_u和口令哈希值H_u组成；

设客户端A和客户端B要在云服务器S的协助下进行安全的密钥交换，其中A和B分别拥有口令π_A和π_B，云服务器S拥有相应的验证元

和

其中，s_A为云服务器中对应客户端A的盐值，H_A为云服务器中对应客户端A的口令哈希值，s_B为云服务器中对应客户端B的盐值，H_B为云服务器中对应客户端B的口令哈希值，F(·)是从口令空间到指数集Z_q上的变换；

通过以下步骤执行所述基于验证元认证的三方PAKE协议通讯：

S2.1：在客户端A中选择随机数r_A，计算与口令π_A的预哈希值

对应的ElGamal密文

并将消息<A,B,c_AS>发送至云服务器S；其中，g和h均为独立生成元，u_A为基于r_A计算出的ElGamal密文独立生成元，e_A为基于r_A和P_A计算出的ElGamal密文独立生成元；

在客户端B中选择随机数r_B，计算与口令π_B的预哈希值

对应的

并将消息<B,A,c_BS>发送至云服务器S；其中，u_B为基于r_B计算出的ElGamal密文独立生成元，e_B为基于r_B和P_B计算出的ElGamal密文独立生成元；

在密码学中，ElGamal加密算法是一个基于迪菲-赫尔曼密钥交换的非对称加密算法；

S2.2：在云服务器S中，

为客户端A选择随机数x_A、y_A和z_A；

计算哈希密钥hk_A＝(x_A，y_A，z_A)和投射密钥的生成元

利用hk_A计算哈希值

并设置标签l_A＝A||B||S|c_AS||h_1A||hp_2A、明文信息M_A＝s_A||H_A；

将哈希值tk_A作为加密的随机值计算得到密文c_SA＝Enc(pk,M_Al_A；tk_A)；

将消息<s_A,hp_1A,hp_2A,c_SA>发送至客户端A；

为客户端B选择随机数x_B、y_B和z_B；

计算哈希密钥hk_B＝(x_B，y_B，z_B)和投射密钥的生成元

利用hk_B计算哈希值

并设置标签l_B＝B||A||S||c_BS||hP_1B||hp_2B、明文信息M_B＝s_B||H_B；

将哈希值tk_B作为加密的随机值计算得到密文c_SB＝Enc(pk,M_B；l_B；tk_B)；

将消息<s_B,hp_1B,hp_2B,c_SB>发送至客户端B；

S2.3：在客户端A中，根据消息<s_A,hp_1A,hp_2A,c_SA>计算

利用tk′_A作为随机数重新计算密文c′_SA＝Enc(pk,M_A；l_A；tk_A)，并验证c′_SA与c_SA是否相等；

如果相等，则验证通过，选择随机数x构造生成元X＝g^x和计算MAC值δ_AS＝MAC(mk′_A,A||B||S||X)，并向云服务器S发送消息<X,δ_AS>；

如果不相等，则结束会话，通讯不成功，执行步骤S7；

在客户端B中，根据消息<s_B,hp_1B,hp_2B,c_SB>计算

利用tk′_B作为随机数重新计算c′_SB＝Enc(pk,M_B；l_B；tk_B)，并验证c′_SB与c_SB是否相等；

如果相等，则验证通过，选择随机数y构造Y＝g^y和计算MAC值δ_BS＝MAC(mk′_B,B||A|S||Y)，并向云服务器S发送消息<Y,δ_BS>；

如果不相等，则结束会话，通讯不成功，执行步骤S7。

S2.4：在云服务器S中使用密钥mk_A和mk_B验证MAC值δ_AS和δ_BS是否正确；

如果正确，则验证通过，计算δ_SA＝MAC(mk_A,A||B||S||X||Y),δ_SB＝MAC(mk_B,B||A||S||Y||X)，并向客户端A发送消息<Y,δ_SA>，向客户端B发送消息<X,δ_SB>；

如果不正确，则结束会话，通讯不成功，执行步骤S7；

S2.5：在客户端A和客户端B中分别利用密钥mk′_A和mk′_B验证MAC值δ_SA和δ_SB是否正确；

如果正确，则验证通过，通讯成功，在客户端A中计算会话密钥sk_AB＝Y^x，在客户端B中计算会话密钥sk_BA＝X^y；在具体实施时，即检查者C_i获取会话密钥k_i，上传者C获取对应的会话密钥k_i′；

如果不正确，则验证失败，结束会话，通讯不成功，执行步骤S7。

在具体实施过程中，基于验证元认证的三方PAKE协议中，用到ElGamal公钥加密体制，明文m对应的ElGamal密文为c←Enc(pk,m；r)＝(u＝g^r,r＝h^r·m)；协议还采用口令哈希机制其中代数定义：s_P＝⊥,P＝g^F(π),s＝s_H∈{0,1}^kH＝s^F(π),F(π)是从口令空间到指数集Z_q上的变换；定义语言

为了实现在客户端和云服务器之间临时密钥交换的同时，适应客户端拥有口令而云服务器拥有验证元的条件，本实施例构建了适应上述语言L_s,H的平滑投射哈希函数；其中，哈希密钥为hk＝(x,y,z)，投射密钥为hp＝(hp₁,hp₂),hp₁＝g^xh^y,hp₂＝g^ys^z，利用哈希密钥和投射密钥计算哈希值的方式为Hash(hk,L_s,H,c＝(u,e))＝u^xe^yH^z，

客户端在利用投射密钥计算哈希值

时需要用到F(π)，验证了用户确实拥有F(π)和口令π；语言

的定义保证了生成元e＝h^rg^F(π)中的g^F(π)部分相对于生成元g的指数与口令哈希值H相对于盐值s的指数是相等的，即证实了云服务器确实拥有与客户端相匹配的验证元。由于ElGamal密文

使得服务器计算得到的作为密钥的哈希值tk_U||mk_U对攻击者来说是完全随机的，从而攻击者无法通过验证密文c_SU来判别其猜测口令的正确性，能够抵御离线字典攻击，有效地提高了安全性。

更具体的，在客户端和云服务器都诚实执行所述基于验证元认证的三方协议的情况下，对于客户端A相关的语言

而言，将其各项展开则有如下等式成立：

由此可知，在客户端A和云服务器S中计算得到相同的tk_A||mk_A，在客户端B和云服务器S中同样将得到相同的tk_B||mk_B；因此，A和B将生成相同的会话密钥sk_AB＝Y^x＝g^xy＝X^y＝sk_BA；在具体实施时，即检查者C_i获取的会话密钥k_i和上传者C获取的会话密钥k_i′相同。

更具体的，在云服务器S中还存储有每一个已上传文件F_i的短哈希值sh_i即SH(F_i)。

更具体的，在步骤S1中，还包括以下步骤：在上传者C中计算文件F的加密哈希值h即H(F)和短哈希值sh即SH(F)，并将文件F的短哈希值sh发送至云服务器S。

更具体的，在步骤S1中，还包括以下步骤：通过云服务器S在检查者组{C_i}中查找出拥有已上传文件F_i的短哈希值sh_i与文件F的短哈希值sh相等的检查者C_i。

在具体实施过程中，使用短哈希值sh进行第一次匹配有两处优点：一是在云存储环境下短哈希值sh具有高碰撞性，上传者很难通过短哈希值sh在云服务器中存在与否，就判断出上传文件是否为重复文件；二是不同的数据块可能拥有相同的短哈希值sh，攻击者无法通过短哈希值sh来获取更多信息，有效提高了云数据存储的安全性。

更具体的，在步骤S3中，

对k_i进行扩展和拆分得到k_iL||k_iR的具体步骤为：通过检查者C_i使用伪随机函数对k_i进行扩展，并将扩展结果拆分为左右两部分得到k_iL||k_iR；

对k_i′进行扩展和拆分得到k′_iL||k′_iR的具体步骤为：通过上传者C使用伪随机函数对k_i′进行扩展，并将扩展结果拆分为左右两部分得到k′_iL|k′_iR。

更具体的，在步骤S3中，对k′_iR进行同态加密得到同态加密结果的具体步骤为：利用上传者C独有的同态加密公钥pk对k′_iR进行同态加密得到同态加密结果Enc(pk,k′_iR+r)；其中，r为上传者C任取的随机数。

更具体的，在步骤S3中，还包括将同态加密公钥pk上传至云服务器S。

更具体的，在步骤S4中，根据同态加密的原理计算

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (10)

1.一种跨用户的云存储系统重复数据删除方法，其特征在于，包括以下步骤：

S1：将要上传文件F至云服务器S的客户端作为上传者C，其他客户端作为检查者并组成检查者组{C_i}，C_i为第i个检查者；

其中，在云服务器S中存储有每一个已上传文件F_i的对称加密值

为数据加密密钥的散列值，

为检查者C_i中已上传文件的加密密钥；

S2：将检查者C_i与上传者C进行基于验证元认证的三方PAKE协议通讯，并判断是否通讯成功；

若是，则使检查者C_i获取会话密钥k_i和上传者C获取对应的会话密钥k′_i；

若否，则执行步骤S7；

S3：对k_i进行扩展和拆分得到k_iL||k_iR，将k_iL和

发送至云服务器S；

对k′_i进行扩展和拆分得到k′_iL||k′_iR，并对k′_iR进行同态加密得到同态加密结果，将k′_iL和同态加密结果上传至云服务器S；

其中，k_iL为k_i拆分后得到的左分量，k_iR为k_i拆分后得到的右分量，k′_iL为k′_i拆分后得到的左分量，k′_iR为k′_i拆分后得到的右分量；

S4：在云服务器S中计算加密密文e，并将e返回至上传者C；

S5：通过上传者C使用同态加密的私钥sk对e进行解密，得到文件F的加密密钥k_F＝Dec(sk，e)，利用k_F对文件F进行对称密钥加密，得到文件F的对称加密值E(H(k_F)F)并发送至云服务器S；

S6：在云服务器S中判断E(H(k_F)F)与存储的

是否相等；

如果相等，则文件F为重复文件，在云服务器S中删除E(H(k_F)F)，并容许上传者C访问

如果均不相等，则文件F为非重复文件，在云服务器S中存储E(H(k_F)，F)；

S7：执行结束。

2.根据权利要求1所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，设客户端A和客户端B要在云服务器S的协助下进行安全的密钥交换，其中A和B分别拥有口令π_A和π_B，云服务器S拥有相应的验证元

和

其中，s_A为云服务器中对应客户端A的盐值，H_A为云服务器中对应客户端A的口令哈希值，s_B为云服务器中对应客户端B的盐值，H_B为云服务器中对应客户端B的口令哈希值，F(·)是从口令空间到指数集Z_q上的变换；

通过以下步骤执行所述基于验证元认证的三方PAKE协议通讯：

S2.1：在客户端A中选择随机数r_A，计算与口令π_A的预哈希值

对应的ElGamal密文

并将消息＜A，B，c_AS＞发送至云服务器S；其中，g和h均为独立生成元，u_A为基于r_A计算出的ElGamal密文独立生成元，e_A为基于r_A和P_A计算出的ElGamal密文独立生成元；

在客户端B中选择随机数r_B，计算与口令π_B的预哈希值

对应的ElGamal密文

并将消息＜B，A，c_BS＞发送至云服务器S；其中，u_B为基于r_B计算出的ElGamal密文独立生成元，e_B为基于r_B和P_B计算出的ElGamal密文独立生成元；

S2.2：在云服务器S中，

为客户端A选择随机数x_A、y_A和z_A；

计算哈希密钥hk_A＝(x_A，y_A，z_A)和投射密钥的生成元

利用hk_A计算哈希值

并设置标签l_A＝A||B||S|c_AS||hp_1A||hp_2A、明文信息M_A＝s_A||H_A；其中，L_A为客户端A相关的语言，c_A为客户端A的密文；

将哈希值tk_A作为加密的随机值计算得到密文c_SA＝Enc(pk，M_A；l_A；tk_A)；其中，pk为上传者C独有的同态加密公钥；

将消息＜s_A，hp_1A，hp_2A，c_SA＞发送至客户端A；

为客户端B选择随机数x_B、y_B和z_B；

计算哈希密钥hk_B＝(x_B，y_B，z_B)和投射密钥的生成元

利用hk_B计算哈希值

并设置标签l_B＝B||A||S||c_BS||hp_1B||hp_2B、明文信息M_B＝s_B||H_B；其中，L_B为客户端B相关的语言，c_B为客户端B的密文；

将哈希值tk_B作为加密的随机值计算得到密文c_SB＝Enc(pk，M_B；l_B；tk_B)；

将消息＜s_B，hp_1B，hp_2B，c_SB＞发送至客户端B；

S2.3：在客户端A中，根据消息＜s_A，hp_1A，hp_2A，c_SA＞计算

利用tk′_A作为随机数重新计算密文c′_SA＝Enc(pk，M_A；l_A；tk_A)，并验证c′_SA与c_SA是否相等；

如果相等，则验证通过，选择随机数x构造生成元X＝g^x和计算MAC值δ_AS＝MAC(mk′_A，A||B||S||X)，并向云服务器S发送消息＜X，δ_AS＞；

如果不相等，则结束会话，通讯不成功，执行步骤S7；

在客户端B中，根据消息＜s_B，hp_1B，hp_2B，c_SB＞计算

利用tk′_B作为随机数重新计算c′_SB＝Enc(pk，M_B；l_B；tk_B)，并验证c′_SB与c_SB是否相等；

如果相等，则验证通过，选择随机数y构造Y＝g^y和计算MAC值δ_BS＝MAC(mk′_B，B||A||S||Y)，并向云服务器S发送消息＜Y，δ_BS＞；

如果不相等，则结束会话，通讯不成功，执行步骤S7。

S2.4：在云服务器S中使用密钥mk_A和mk_B验证MAC值δ_AS和δ_BS是否正确；

如果正确，则验证通过，计算δ_SA＝MAC(mk_A，A||B||S||X||Y)，δ_SB＝MAC(mk_B，B||A||S||Y||X)，并向客户端A发送消息＜Y，δ_SA＞，向客户端B发送消息＜X，δ_SB＞；

如果不正确，则结束会话，通讯不成功，执行步骤S7；

S2.5：在客户端A和客户端B中分别利用密钥mk′_A和mk′_B验证MAC值δ_SA和δ_SB是否正确；

如果正确，则验证通过，通讯成功，在客户端A中计算会话密钥sk_AB＝Y^x，在客户端B中计算会话密钥sk_BA＝X^y；

如果不正确，则验证失败，结束会话，通讯不成功，执行步骤S7。

3.根据权利要求2所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在客户端和云服务器都诚实执行所述基于验证元认证的三方PAKE协议的情况下，对于客户端A相关的语言

而言，将其各项展开则有如下等式成立：

由此可知，在客户端A和云服务器S中计算得到相同的tk_A||mk_A，在客户端B和云服务器S中同样将得到相同的tk_B||mk_B；因此，A和B将生成相同的会话密钥sk_AB＝Y^x＝g^xy＝X^y＝sk_BA。

4.根据权利要求1所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在云服务器S中还存储有每一个已上传文件F_i的短哈希值sh_i。

5.根据权利要求4所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S1中，还包括以下步骤：在上传者C中计算文件F的加密哈希值h和短哈希值sh，并将文件F的短哈希值sh发送至云服务器S。

6.根据权利要求5所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S1中，还包括以下步骤：通过云服务器S在检查者组{C_i}中查找出拥有已上传文件F_i的短哈希值sh_i与文件F的短哈希值sh相等的检查者C_i。

7.根据权利要求1所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S3中，

对k_i进行扩展和拆分得到k_iL||k_iR的具体步骤为：通过检查者C_i使用伪随机函数对k_i进行扩展，并将扩展结果拆分为左右两部分得到k_iL||k_iR；

对k′_i进行扩展和拆分得到k′_iL||k′_iR的具体步骤为：通过上传者C使用伪随机函数对k′_i进行扩展，并将扩展结果拆分为左右两部分得到k′_iL||k′_iR。

8.根据权利要求1所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S3中，对k′_iR进行同态加密得到同态加密结果的具体步骤为：利用上传者C独有的同态加密公钥pk对k′_iR进行同态加密得到同态加密结果Enc(pk，k′_iR+r)；其中，r为上传者C任取的随机数。

9.根据权利要求8所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S3中，还包括将同态加密公钥pk上传至云服务器S。

10.根据权利要求9所述的一种跨用户的云存储系统重复数据删除方法，其特征在于，在步骤S4中，根据同态加密的原理计算

Images