CN112991136B - 一种基于水印的安全明文图像云存储和处理方法 - Google Patents

Abstract

本发明提出一种基于水印的安全明文图像云存储和处理方法，包括：步骤1、初始化阶段，管理机构MA初始化系统参数，图像所有者IO、云服务器CS、图像使用者IU注册该系统，获得各自的公私钥和密文水印；步骤2、图像上传阶段，在上传图像之前，IO和CS将IO的水印和CS的水印嵌入到图像，获得含IO和CS水印的图像并将之存储在云服务器；步骤3、图像取回阶段，当IO请求从CS取回图像时，CS首先从云服务器上的图像中抹除嵌入IO水印和CS水印，获得原图，将原图发送回IO；步骤4、图像分享阶段，IU从CS上下载IO的图像，CS从该图像中抹除CS水印，同时将IU的水印嵌入该图像，获得含IU水印的图像并将之发送给IU；步骤5、检测被泄露图像中是否存在CS水印或IU的水印，判断是CS或IU泄露了IO的图像。

Description

一种基于水印的安全明文图像云存储和处理方法

技术领域

本发明涉及支持密文乘法运算与密文加法运算的加密技术与乘法扩频水印技术，具体涉及在密文域实现对密文水印的嵌入，抹除与检测。

背景技术

云存储服务已经成为存储和共享图像的一种切实可行的方式。根据Facebook的统计数据，每天有3亿照片被上传到Facebook，同时，共享按钮的平均浏览量为近一千万个网站。用户将数据存储在云上，可减少本地设备上的存储。但是数据放在社交平台上就失去了用户的保护，这些数据可能会被其他人滥用。例如图像所有者上传的图像可能包含隐私信息，如身份证号码，这时图像所有者打算删除云上的图像。不幸的是，这对图像所有者来说很困难，因为云存储服务存在灾难备份机制，云会存储多个图像副本于不同的服务器。因此，即使从当前删除一个数据副本，其他副本仍存储于其他线服务器。因此，如何保护云中数据的隐私和控制云数据的删除是一个挑战。

常用加密技术减少云中数据的安全问题和隐私问题。用户的数据通常在存储到云端之前被加密，因此加密的云数据可以保持私有和内容安全。删除云中的加密数据是通过销毁来相应的加密密钥，导致加密的云数据无法被解密，进而无法访问原来的明文数据，所以明文数据相当于被删除。但加密后的数据失去了使用的方便性，不可见、不可读、不可识别，这个浏览、查阅与展示带来不便。外包明文数据是在现实中比外包密文数据更常见，如微信朋友圈上晒出的图片Facebook上的视频。但是，直接将明文外包到云上提供了数据的可展示性，但也带了被滥用，被广泛传播，难删除的问题。

发明内容

为了在云端的存储明文数据的同时保护数据的所有权，防止数据的泄露和滥用，在数据脱离用户的情况下控制数据的删除，数据的无损取回和共享，本发明利用数字水印的可追溯性来识别泄漏用户数据或不按用户要求删除用户数据的云服务商。水印的嵌入、去除和检测操作在加密域中进行，不暴露任何明文水印。水印的嵌入位置是隐藏，没有人知道水印的嵌入位置。用户上传的数据有多种形式，如图像、音频和文档等。这里以用户上传明文图像为例来阐述本发明的内容。

本发明的技术方案为一种基于水印的安全明文图像云存储和处理方法，包括如下步骤：

步骤1、系统初始化阶段，管理机构MA生成系统参数，图像所有者IO、云服务器CS、图像使用者IU获得各自的公私钥，分别记为 代表各自身份的密文水印，分别记为/>和/>

步骤2、图像上传阶段，在上传图像之前，IO和CS使用Diffie-Hellman密钥交换协议生成它们的联合公钥和组合水印/>IO和CS将嵌入图像X获得/>CS将之解密获得/>并将之存储于服务器；

步骤3、图像取回阶段，当IO请求从CS取回时，CS和IO首先抹除被嵌入的水印SW_oc然后，获得加密图像/>发送给IO，IO将之解密获得他/她的原始图像X；

步骤4、图像分享阶段，IU从CS上下载IO的图像需要将IU的身份水印W_u嵌入到/>中以跟踪IU的私自散播行为，同时抹除嵌入的水印SW_oc；

步骤5、利用嵌入的水印信息进行泄露追踪。

有益效果：

本发明相对于现有支持云存储密文数据的技术，支持明文存储，明文图像具有可视性，同时保护图像的所有权，防止图像被云泄露出去。

现有的支持云存储明文数据技术，可实现图像的无损取回，图像上传者取回的图像不含任何水印。此外图像上传者可将云中存储的图像分享给云的其他用户使用，但保证图像的所有权仍属于图像上传者，防止其他用户泄露上传者的图像。

附图说明

图1.本发明协议中的各个阶段；

图2生成IO和CS的混合水印

图3生成IO和IU的混合水印

图4(a)当L＝10时，在不同|N|比特长度下参与者i的运行时间；

图4(b)当L＝10时，在不同|N|比特长度下参与者j的运行时间；

图4(c)当L＝10时，在不同|N|比特长度下子协议的通信开销；

图4(d)当|N|＝1024时，在不同向量长度L下参与者i的运行时间；

图4(e)当|N|＝1024时，在不同向量长度L下参与者j的运行时间；

图4(f)当|N|＝1024时，在不同向量长度L下子协议的通信开销；

图5(a)上传图像PSNR＝34.43dB；

图5(b)取回图像PSNR＝Inf dB；

图5(c)分享图像PSNR＝55.63dB。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅为本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

根据本发明的一个实施例，本发明利用数字水印的可追溯性来识别泄漏用户数据或不按用户要求删除用户数据的云服务商。水印的嵌入、去除和检测操作在加密域中进行，不暴露任何明文水印。水印的嵌入位置是隐藏，没有人知道水印的嵌入位置。用户上传的数据有多种形式，如图像、音频和文档等。这里以图像上传者上传明文图像为例来阐述本发明的内容。

本发明提出的协议模型涉及四方：图像所有者、云服务器、图像使用者、管理机构，分别简记为IO、CS、IU和MA。图像所有者、云服务器、图像使用者和管理机构之间的主要交互阶段如图1所示，包括注册阶段、图像上传阶段、图像取回阶段和图像分享阶段。

图像所有者(IO)将其图像存储在云上服务器，取回这些图像并共享这些图像给图像使用者IU。IO的图像存在云中，图像的所有权仍属IO，可被展示，可被要求删除，但不可随意被下载，不可被随意散播。IO使用他/她的唯一身份水印W_o作为版权信息。水印是隐私数据，对其他方是保密的。

云服务器(CS)具有强大的计算能力和巨大的存储空间，为用户提供数据存储和数据分享服务，并收取费用。CS具有独特唯一的身份水印W_c，属于隐私数据，对其他人是机密的。

图像使用者(IU)在IO同意的情况下从CS获取IO的图像。IU具有代表其身份的水印W_u，水印信息属于隐私数据，对其他人保密。

管理机构(MA)是一个半信任方。它负责生成密码系统参数和管理密钥。此外，MA还负责验证和管理每个注册者的唯一身份水印。

三个代表身份信息的水印W_o,W_c和W_u，分别属于IO,CS和IU。在上传图像X到CS之前，X已被添加了W_o和W_c，获得含水印图像嵌入W_o是为证明图像的所有权属于IO。嵌入W_c用于跟踪CS的泄露行为。在取回图像/>时，要求CS从/>中抹除W_o和W_c恢复出原始图像X，将原图X返还给IO。图像共享期间阶段，CS从云存储的图像/>中移除W_c同时，嵌入W_u以生成含水印图像/>将之发送给IU。W_u用于跟踪IU的泄露行为。W_o,W_c和W_u是隐私信息，在整个处理的过程中都是密文。

威胁模型

在本发明中，我们假设IO、CS、IU和MA都是半可信的参与者。他们正确地遵循协议，但对别人的隐私信息很是好奇，隐私信息有原始图像和明文身份水印。这里列出了不同类型的潜在安全问题如下所示：

1)MA：为了利益或被入侵，MA可能会出售或泄露参与者的私钥。

2)IO：我们讨论IO可能引起四个安全问题。第一个问题是在图像上传阶段，IO获取W_c并将之与W_o一起嵌入到图像X，伪造出含水印图像IO暴露伪造的图像/>然后，IO诬陷是CS泄露了/>针对这个问题的解决办法是水印在使用的过程中是处于加密状态，这使得IO无法获得CS的明文身份水印W_c。第二个问题是在图像取回阶段，IO通过不从/>中移除W_c，再利用原始图像X来获得W_c。为了解决这个问题，CS负责从/>中删除嵌入的水印W_c。同时，要求CS不知道嵌入位置，以防止CS破坏嵌入的水印W_c，导致水印检测失败。第三个新问题是在图像共享阶段，IO与CS串通，骗去IU的水印W_u。然后，IO利用W_u伪造/>随后，IO暴露伪造的图像/>并指控IU未经授权随意散播IO的图像/>第四个新问题是在共享阶段，IO串通IU来骗CS的W_c，随后伪造/>并指控CS未经授权随意泄露IO的图像。

3)CS：我们讨论CS可能引起四个安全问题。第一个问题是CS给IO一个假身份水印而不是真实水印W_c，这样CS可以逃避水印的检测与追踪。第二个问题是获取W_c的嵌入位置，CS可以从中嵌入W_c的位置移除W_c。第三个问题是CS与IU合谋得到原始的明文图像X。第四个问题是CS协助IO欺骗IU，获取W_u。

4)IU：讨论IU可能导致三个安全问题。首先，为了逃避水印的检测跟踪，IU给IO一个假水印代替了真实水印W_u。第二，IU与CS合作来欺骗IO的原始图像X。第三，IU帮助IO欺骗CS的W_c。

安全明文图像存储协议(SPIS)

本发明的方法包括以下五个阶段或步骤：系统初始化、图像上传、图像取回、图像共享和泄露跟踪。所有五个阶段都在密文域进行，加密基础是受限的Paillier加密算法。其中涉及到子协议及其功能列在表格1中。下面针对各个阶段做详细的介绍，然后描述子协议的执行。

表格1子协议的功能及缩写

一、系统初始化阶段

MA生成受限Paillier加密系统公钥(N,g)和强私钥λ。当一个参与者i加入该系统时，获得相应的公私钥对和身份证书ID_i。同时，参与者i生成自己的身份水印W_i，每个元素都属于Z_N。W_i的长度设置为L。参与者i利用乘法加密算法对W_i进行加密并生成/>然后，将/>传输到MA，MA将/>存储在MA的数据库中。由于没有参与者i的私钥，MA无法修改/>参与者i与其他参与者在交互之前，通过运行身份认证协议来验证彼此的身份。与参与者i有关的数据以表2所示格式存储在MA数据库。

表格2参与者i存在MA数据库中的数据

二、图像上传阶段

在上传图像之前，IO和CS使用Diffie-Hellman密钥交换协议生成它们的联合公钥MA将强私钥λ被分成两分，一个被表示为λ_o被传输到IO。另一个被表示为λ_c被发送到CS。

步骤1(@IO)：IO向CS发送请求，请求IO将图像X外包给云。

步骤2(@CS)：CS将转发到IO。

步骤3(@IO和CS)：为了检查和/>的明文数据是否相同，在IO和CS之间运行SEqVer子协议来验证不同密文中的明文是否相同。如果它们相同，则继续。否则，IO和CS将重新执行步骤2和步骤3。

步骤4(@IO和CS)：为了增强水印的嵌入强度，在IO和CS之间执行SStreOper子协议，生成CS的密文增强水印

步骤5(@IO)：

(1)IO计算自己密文增强的水印将其与/>拼接，并添加直到组合后水印/>的长度为W×H，即图像X的大小，图2描述了的生成过程。

(2)IO选择一个置乱密钥K_o对进行置乱，得到/>

(3)IO计算和/>然后将/>Mul_o和InterR_o发送给CS，其中L是水印W_o的长度。

步骤6(@CS)：

(1)CS计算其中L是水印W_c的长度。

(2)CS检查是否成立。只有成立时，CS才会继续。否则，CS会向IO请求正确的数据。W×H是水印SW_oc的长度。

(3)CS使用刷新/>得到新版本。接着CS使用置乱密钥K_c置乱该新版本，其结果记为：/> 其中R_oc,i＝r_oc,i+r′_oc,i。

(4)CS计算然后将/>Mul_c和InterR_c传输到IO。

(5)CS将保存在服务器中用于图像取回。

步骤7(@IO)：IO通过检查公式是否成立来验证/>中是否仍包含SW_o和SW_c。只有成立时，IO才会继续。否则，IO要求CS发送正确的数据。

步骤8(@IO和CS)：IO和CS执行SCMul子协议，生成密文含水印的图像CS解密/>并将明文图像/>被存储于服务器。

步骤9(@CS)：CS将和/>返回给IO。

步骤10(@IO)：

(1)IO使用他/她的本地和CS发来的K_c和/>重新执行步骤6(@CS)中的步骤(3)，并获得/>

(2)IO判断与/>是否相等，如果不相等，IO向CS请求正确的数据。

(3)IO向CS发送和/>

步骤11(@CS)：CS存储和/>以及IO的其他数据，如表3所示。

表3上传图像阶段存储在CS上的IO数据

三、图像取回阶段

当IO请求从CS取回图像时，CS使用密文水印/> 从图像/>中抹除SW_oc，获得加密的图像/>并将之发送到IO。在解密/>之后，IO获得他/她的原始图像X，该过程如下所示。

步骤1(@IO)：IO向CS将要取回原始图像。

步骤2(@CS)：接收IO取回图像的请求，CS向IO发送 给IO。

步骤3(@IO和CS)：IO通过执行SCMul子协议，使得IO获得原始图像X。

四、图像分享阶段

IU想从CS上下载IO的图像IO担心IU可能会出售或分发他/她的图像。因此，需要将IU的身份水印W_u嵌入到/>中以跟踪IU的行为，同时删除/>中嵌入的水印 K_c和K_o分别是IO和CS的置乱密钥。为了简洁起见，我们简化图像共享阶段的/>为我们用i＝(1,…,W×H)作为下标。IO和IU通过Diffie-Hellman密钥交换协议生成联合公钥表示为/>

步骤1(@IU)：IU请求用于下载IO的图像同时将/>发送给IO。

步骤2(@IO和IU)：为了检查和/>的明文相同，在IO和IU之间运行SEqVer子协议。如果它们相同，则继续。否则，IO和CS将重新执行步骤1和步骤2。

步骤3(@IO和IU)：为增加水印的嵌入强度，在IO和IU之间执行SStreOper子协议，生成IU密文增强的水印，记为

步骤4(@IO)：

(1)IO产生将之与/>拼接，得到/>然后添加直到合并后的水印长度为W×H，W×H为图像X的大小，得到混合后的密文水印的生成过程如图3所示。

(2)为了防止IU知道水印SW_ou的嵌入位置，选择置乱密钥K_u对进行置换，生成置换后的密文水印/>

(3)为了保证IU向IO发送的是正确数据IO执行SDExpon子协议。

(4)IO向CS请求CS发送/>到IO，其中r_c,i是由CS随机选择。这里，CS发送IO/>而不是/>以防止IO解密在上传图像阶段生成的混合密文水印/>

(5)IO通过计算和/>将/>与/>纠缠在一起。然后，IO将/> 被发送到CS。同时IO将/>发送到IU。

步骤5(@CS)：

(1)CS使用r_c,i刷新得到刷新后的版本/>

(2)CS使用以下公式从抹除水印/>同时将/>嵌入到中：

其中U＝[r_ouθ_u-(R_oc+r_c)θ_c]·θ_omod 2p′q′。

(3)CS存储并将/>转发给IU。图像共享后IO存储在云端的数据如表4所示。

表4图像分享阶段存储在CS上的IO数据

步骤6(@IU)：

(1)IU从IO接收到后，首先计算/>接着计算

(2)IU计算得到含水印图像

五、泄露追踪阶段

一旦IO发现与图像X相似的图像Y，则IO从CS取回存储的数据，其中包括身份信息，置乱密钥和密文水印。然后，IO在执行SWaterDec子协议，判断W_c存在于Y中，如果存在，CS是泄露者；如果判断W_u存在于Y中，如果存在，则IU是泄露者。

若IO要求CS删除存储在服务器上的图像X的含水印的副本图像CS回复IO含水印图像/>已被删除，同时IO看到云平台上的数据已被删除。但是IO发现与图像X相似的图像Y，则IO从CS取回存储的数据，其中包括身份信息，置乱密钥和密文水印。然后，IO在执行SWaterDec子协议，判断W_c存在于Y中，如果存在，说明CS没有按照IO的删除请求删除图像/>

计算子协议

在本发明的一个实施例中，详细介绍五个安全计算SPIS协议中涉及的子协议。每个子协议在密文中实现特定的功能。

(1)安全组合乘法子协议(SCMul)：将密文水印嵌入图像X，生成含水印图像/>

步骤1(@IO和CS)：IO和CS共同计算 其中r_i是一个随机数。

步骤2(@CS)：从选择S＝{s_i}，计算/> 保留P，将T₁传送给IO。

步骤3(@IO)：

(1)计算及其逆/>

(2)计算如下：/>

(3)计算如下/>

(4)计算

(5)计算将/>和/>发送给CS。

步骤4(@CS)：

(1)计算其中/>

在IO和CS之间执行的SCMul子协议可形式化为：

在CS和IO之间执行的SCMul子协议可形式化为： 是/>在模N下的乘法逆元。

(2)安全水印强化协议(SStrenOper)：用于控制密文水印的嵌入强度。

步骤1(@IO)：IO嵌入强度系数α＝(α₁,α₂,…,α_L)发送给CS。

步骤2(@CS)：

(1)接收α，计算1+αW_c。

(2)从中选择r＝{r_i}，计算/>从/>中选择r^′＝{r_i ^′}(i＝1,2,…,L)，计算/>

(3)发送和/>至IO。

步骤3(@IO)：

(1)计算再利用加法加密算法加密/>和获得/>和/>

(2)向CS发送和/>

步骤4(@CS)：

(1)计算INC＝[(h_oc)^r]^-1mod N,INC^′＝[(h_oc)^r′]^-1mod N。

(2)计算和/>然后计算它们的所有元素之积为：

(3)发送{M_1,1,M_1,2,M_2,1,M_2,2}至CS。

步骤5(@IO)：

(1)解密M_1,1,M_2,1：获得F₁,F₂如下：

(2)检验是否成立。如果成立，IO确信/>和/> 进而确信从CS发送来的/>是正确的。

在IO和CS之间执行的SStrenOper子协议，可形式化为：

在IO和IU之间执行的SStrenOper子协议，可形式化为：

(3)安全等同验证协议(SEqVer)：用于验证的明文数据是否相等。

步骤1(@CS)：CS发送和/>到IO。

步骤2(@IO)：

(1)从中随机选择r_o,i，计算中间结果M₁，/>

(2)选择一个置乱密钥K_o对M₁进行置乱，获得K_o(M₁)并将K_o(M₁)发送给CS。

步骤3(@CS)：

(1)计算

(2)将发送给IO。

步骤4(@IO)：

(1)使用K_o逆置乱获得/>其中/>

(2)计算验证等式/>是否成立。如果成立，IO相信/>和/>中的明文数据是相同的，发送K_o和r_o,i(i＝1,2,…,L)给CS。否则，IO要求CS发送正确的数据。

步骤5(@CS)：

(1)使用K_o逆置乱获得/>

(2)使用r_o计算然后检查等式/>是否成立。如果可以的话，CS是确定IO是诚实的。否则，CS可以指控IO欺骗CS的明文水印W_oc。

在IO和CS之间执行的SEqVer子协议，可形式化为：

在IO和IU之间执行的SEqVer子协议，可形式化为：

(4)安全水印检测子协议(SWaterDec)：检测密文水印是否存在于图像X的副本Y中。

步骤1(@IO)：

(1)用图像X的副本Y和计算/>

(2)发送到CS。

步骤2(@CS)：

(1)CS计算逆元素及其各个元素的乘积/>再用λ_c计算/>

(2)发送{M₁,M₂和}给IO。

步骤3(@IO)：

(1)用λ_o计算计算相关度值/>

(2)计算相关度值

(3)检查corr₁＝corr₂是否相等。如果相等，说明相关度值corr₁和corr₂都是正确的，然后判断相关度值corr₁是否大于选定的水印阈值δ，大于阈值δ，说明副本Y中含有水印SW_oc，副本Y是从CS中泄露的。如果corr₁＝corr₂不成立，IO要求CS发送正确的数据。

在IO和CS之间执行的SWaterDec子协议，可形式化为：

在IO和IU之间执行的SWaterDec子协议，可形式化为：

(5)安全双指数算术协议(SDExpon)：用于进行两次指数计算。

步骤1(@IO)：

(1)计算和/>

(2)发送给IU。

步骤2(@IU)：

(1)计算

(2)从随机选择r_u,i,计算/>以及

(3)发送和/>给IO。

步骤3(@IO)：

(1)计算

(2)检查是否成立。如果成立，IO确信/>中含有指数r_i和θ_u。否则，IO要求IU发送正确的数据。

在IO和IU之间执行的SDExpon子协议，可形式化为：

分析消耗代价

一个具有指数长度为|N|的指数运算需要1.5个N的乘法运算,也就是说若r的长度是N，计算g^r需要1.5个N的乘法运算。设在子协议中的向量长度为L,五个子协议的计算代价与传输代价如表5所示。

表5各个子协议的计算代价与传输代价

所述水印向量的长度表示为L_W,L_W＜＜N，图像的大小表示为L_I，L_W＜＜N，置乱密钥的长度为|N|。上传图像阶段，取回图像阶段，追踪图像阶段和分享图像阶段的计算代价和传输代价如表6所示。

表6各个参与者的计算代价与传输代价

实施子协议

子协议涉及两个参与者，分别标记为参与者i和参与者j。子协议中参与者的计算与通信代价，如图4(a)-4(f)所示。

图4(a)当L＝10时，在不同|N|比特长度下参与者i的运行时间；

图4(b)当L＝10时，在不同|N|比特长度下参与者j的运行时间；

图4(c)当L＝10时，在不同|N|比特长度下子协议的通信开销；

图4(d)当|N|＝1024时，在不同向量长度L下参与者i的运行时间；

图4(e)当|N|＝1024时，在不同向量长度L下参与者j的运行时间；

图4(f)当|N|＝1024时，在不同向量长度L下子协议的通信开销。

实施水印协议

选用256×256大小的灰度图像Lena，采用非重叠8×8块上的2D-DCT变换。我们随机选择1024个块的DCT系数，然后我们从每个块的第三位到第十位以Zig-Zag的顺序扫描，获得载体X＝{x₁,x₂,…,x₈₁₉₂}。选择1024位比特长度的模数N并达到80位安全级别。上传图像的嵌入强度α为设置为0.6，分享图像时，水印的嵌入强度为0.6。W_o,W_c和W_u长度为2048，占X长度的四分之一。整数化参数Q＝2¹⁰,利用Q对于将X,W_o,W_c,W_u和α量化为整数。

各个阶段的计算成本和通信开销记录在表7中，其中时间消耗为毫秒级，其中的1B＝8bit。

表7SPIS中各个阶段的计算代价与传输代价

为了评估水印图像的视觉质量，我们使用峰值信噪比(PSNR)测量。这个Lena图像的实验结果如图5(a)-图5(c)所示。

图5(a)上传图像，PSNR＝34.43dB；(b)取回图PSNR＝Inf dB；(c)分享图像PSNR＝55.63dB。

图像跟踪阶段的性能记录在表8。从表8可以看出，图像X的副本Y与水印与之间的检测度高于水印阈值。因此我们提出的协议的可追溯性可以得到保证。

表8图像跟踪阶段的性能

追溯图像的泄露源	水印相关度	阈值	是否含有水印
				CS	18.8784	17.8219	是
IU	13.7746	13.6861	是

以上所述，仅为本发明较简单的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换水印方案或加密方案，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (5)

1.一种基于水印的安全明文图像云存储和处理方法，其特征在于，包括如下步骤：

步骤1、系统初始化阶段，管理机构MA生成系统参数，图像所有者IO、云服务器CS、图像使用者IU获得各自的公私钥，分别记为 代表各自的密文身份水印，分别记为/>和/>

步骤2、图像上传阶段，在上传图像之前，IO和CS使用Diffie-Hellman密钥交换协议生成它们的联合公钥和组合水印/>IO和CS先将嵌入图像X，获得/>然后CS将之解密，获得/>并将之存储于服务器；所述步骤2具体包括：

步骤2.1：IO向CS发送请求，请求IO将图像X发送给云服务器CS；

步骤2.2：CS将转发到IO；

步骤2.3：IO和CS运行SEqVer子协议验证和/>中的明文数据是否相同，如果它们相同，则继续；否则，IO和CS将重新执行步骤2.2和步骤2.3；

步骤2.4：IO和CS执行SStreOper子协议，生成CS的密文增强水印控制水印的嵌入强度；

步骤2.5：

(1)IO计算自己的密文增强水印将其与/>组合，并添加直到组合后的水印/>的长度为W×H，其中W×H是图像X的大小；

(2)IO选择一个置乱密钥K_o对进行置乱，得到/>

(3)IO计算和/>然后将/>Mul_o和InterR_o发送给CS；L是水印W_o的长度；

步骤2.6：CS将水印数据保存在服务器中用于图像取回；

步骤2.7：IO通过检查公式是否成立来验证/>中是否仍包含SW_o和SW_c；只有成立时，IO才会继续；否则，IO要求CS发送正确的数据；

步骤2.8：IO和CS执行SCMul子协议，生成密文含水印的图像CS解密将明文/>被存储在服务器中；

步骤2.9：CS将K_c和/>返回给IO；

步骤2.10：

(1)IO使用他/她的本地和CS发来的K_c和/>重新执行步骤2.6中的步骤(3)，并获得/>

(2)IO判断与/>是否相等，如果不相等，IO向CS请求正确的数据；

(3)IO向CS发送和/>

步骤2.11：CS存储和/>于服务器；

步骤3、图像取回阶段，当IO请求从CS取回时，CS和IO首先抹除被嵌入的水印SW_oc然后，获得加密图像/>发送给IO，IO将之解密获得他/她的原始图像X；

步骤4、图像分享阶段，IU从CS上下载IO的图像需要将IU的身份水印W_u嵌入到中以跟踪IU的私自散播行为，同时抹除嵌入的水印SW_oc；所述步骤4具体包括：

步骤4.1：IU请求用于下载IO的图像同时将/>发送给IO；

步骤4.2：为了检查和/>的明文是否相同，在IO和IU之间运行SEqVer子协议；如果它们相同，则继续；否则，IO和CS将重新执行步骤4.1和步骤4.2；

步骤4.3：为增强水印的嵌入强度，在IO和IU之间执行SStreOper子协议，生成IU密文增强的水印，称为

步骤4.4：

(1)IO产生与/>拼接，得到/>然后添加直到合并后的水印长度为W×H，其中W×H为图像X的大小，得到混合后的密文水印/>

(2)为了防止IU知道水印SW_ou的嵌入位置，IO选择置乱密钥K_u对进行置换，生成置换版本/>

(3)IO为确保IU向IO发送的是正确的数据IO执行SDExpon子协议；

(4)IO向CS请求CS发送/>到IO，其中r_c,i是由CS随机选择；这里，CS发送IO/>而不是/>以防止IO解密在上传图像阶段生成的密文水印/>

(5)IO通过计算和/>将/>与/>纠缠在一起；然后，IO将/> 被发送到CS；同时IO将/>被发送到IU；

步骤4.5：

(1)CS首先使用r_c,i刷新得到刷新后的版本/>

(2)CS使用以下公式从抹除密文水印/>并将/>嵌入到中：

其中U＝[r_ouθ_u-(R_oc+r_c)θ_c]·θ_omod 2p'q'；

(3)CS存储并将/>发送给IU；

步骤4.6：

(1)IU从IO接收到后，首先计算/>接着计算

(2)IU计算得到含水印图像/>步骤5、利用嵌入的水印信息进行泄露追踪。

2.根据权利要求1所述的一种基于水印的安全明文图像云存储和处理方法，其特征在于，所述步骤1具体包括：

MA生成受限Paillier加密系统公钥(N,g)和强私钥λ；当一个参与者i加入该系统时，获得相应的公私钥对和身份证书ID_i；同时，参与者i生成自己的身份水印W_i，每个元素都属于Z_N；W_i的长度设置为L；参与者i利用乘法加密算法对W_i进行加密并生成/>然后，将/>传输到MA，MA将/>存储在MA的数据库中；由于没有i的私钥，MA无法修改/>参与者i与其他参与者在交互之前，通过运行身份认证协议来验证彼此的身份。

3.根据权利要求2所述的一种基于水印的安全明文图像云存储和处理方法，其特征在于，所述步骤2.6包括：

(1)CS计算其中L是水印W_c的长度；

(2)CS检查是否成立；只有成立时，CS才会继续；否则，CS向IO请求正确的数据；W×H是水印SW_oc的长度；

(3)CS使用刷新/>得到新版本；接着CS使用置乱密钥K_c置乱该新版本，其结果记为/> 其中R_oc,i＝r_oc,i+r'_oc,i；

(4)CS计算然后将/>Mul_c和InterR_c传输到IO；

(5)CS将密文水印保存在服务器中用于图像取回。

4.根据权利要求1所述的一种基于水印的安全明文图像云存储和处理方法，其特征在于，所述步骤3具体包括：

步骤3.1：IO向CS将要取回原始图像；

步骤3.2：接收IO取回图像的请求，CS向IO发送给IO；

步骤3.3：IO通过执行SCMul子协议，使得IO获得原始图像X。

5.根据权利要求1所述的一种基于水印的安全明文图像云存储和处理方法，其特征在于，所述步骤5具体包括：

在泄露追踪阶段，一旦IO发现与图像X相似的图像Y，则IO从CS取回存储的数据，其中包括身份信息，置乱密钥和密文水印；然后，IO在执行SWaterDec子协议，判断W_c存在于Y中，如果存在，CS是泄露者；如果判断W_u存在于Y中，如果存在，则IU是泄露者；

若IO要求CS删除存储在服务器中含水印图像CS回复IO含水印图像/>已被删除，同时IO看到云平台上的数据已被删除；但是IO发现与图像X相似的图像Y，则IO从CS取回存储的数据，其中包括身份信息，置乱密钥和密文水印；然后，IO在执行SWaterDec子协议，判断W_c存在于Y中，如果存在，说明CS没有按照IO的删除请求删除图像/>