CN105939191A - 一种云存储中密文数据的客户端安全去重方法 - Google Patents

Abstract

本发明公开了一种云存储中密文数据的客户端安全去重方法，包括如下步骤：(1)密钥生成；(2)文件初始化；(3)数据块初始化；(4)数据块验证；(5)文件存储；(6)生成挑战；(7)生成证据；(8)验证证据；(9)文件解密。本发明基于盲签名构造了一个安全的密钥生成协议，实现了对收敛密钥的二次加密，保证了密钥的安全性；并在此基础上提出了一个新的基于签名的拥有权证明方法，它能够确保用户以一个更加安全高效的方式向云服务器证明其确实拥有云端的某个文件，并且它能够同时实现对密文文件的文件级和块级去重。

Description

一种云存储中密文数据的客户端安全去重方法

技术领域

本发明涉及云存储和信息安全技术领域，特别是一种云存储中密文数据的客户端安全去重方法。

背景技术

随着云存储服务的广泛使用，越来越多的企业和个人将他们的数据信息外包给云服务提供商(Cloud Service Provider，CSP)，这将会在云端产生大量的冗余数据。所以，云服务提供商将面临的一个严峻的挑战就是如何高效地管理持续增加的数据。

为此，研究人员提出了一种客户端的数据去重技术，它使得CSP对相同文件只存储一次，所有拥有该文件的用户只能通过那份唯一的拷贝来访问文件。更具体地来说，就是CSP只在接收到第一个用户上传请求的时候，执行数据文件的存储；对于后面的上传请求，只是分配一个原始数据副本的链接。这样既节约了存储空间，也节约了传输带宽。然而，客户端的数据去重存在一个很大的安全问题：攻击者可能凭借单一的文件hash值就可以从云端获得相应文件的下载权限。这类攻击的根本原因是一个很短的文件hash值就可以代表整个文件，一旦攻击者获得此hash值，就可以获得整个文件。为了解决这个问题，一个拥有权证明(Proof of Ownership，PoW)的方法被提出。PoW就是一个在证明者和验证者之间的交互的协议。通过执行这个协议，证明者使验证者相信，他/她确实是一个被验证者存储的文件的所有者。因此，对于客户端的数据安全去重来说，PoW是相当重要的。

此外，云服务器是诚实而好奇的，它可能窃取用户的数据隐私。因此，用户在将数据上传至云服务器之前，需要对数据进行加密来实现数据隐私保护。然而，当不同用户利用各自的私钥对相同的文件进行加密时，将会产生不同的密文，不利于云服务器对相同文件进行去重。一种收敛加密的技术被提出，它利用数据本身产生的一个hash值作为数据的加密密钥，这样相同的数据文件将会产生相同的密文，便于云服务器进行去重处理。但是，收敛加密存在很大的安全漏洞，如字典攻击：对于可预测的文件，攻击者很容易推导出收敛密钥，并检测文件是否存在于云服务器中。另外，收敛加密会产生很多的收敛密钥，这给用户对自己密钥的管理造成了很大困难。

发明内容

本发明的目的在于提供一种安全、高效的云存储中密文数据的客户端安全去重方法，以实现对收敛密钥的二次加密，保证数据的隐私，预防暴力字典攻击。

实现本发明目的的技术解决方案为：一种云存储中密文数据的客户端安全去重方法，针对加密数据的客户端去重模型，去重过程涉及到的实体如下：用户Users，云服务提供商CSP和密钥服务器KS，具体步骤如下：

步骤1，密钥生成：

用户为每一个数据块m_i计算相对应的加密密钥k_i，1≤i≤n，n为数据块的总数；

步骤2，文件初始化：

用户为每一个数据块m_i计算块密文C_i，同时生成文件的标签T＝(T₁,T₂)，其中T₁用于数据完整性验证，T₂用于块签名的验证；

步骤3，数据块初始化：

当云端不存在文件标签T时，用户为每一个数据块m_i计算块标签τ_i和块签名σ_i，其中τ_i用于块的索引，σ_i用于块存在的证明；同时，用户用自己的私钥sk加密每一个块密钥得到密钥的密文C_key；

步骤4，数据块验证：

当云端存在数据块标签τ_i时，执行块去重；CSP验证用户上传的数据块签名σ_i是否正确，从而判断用户和CSP是否拥有相同的数据块，并将验证结果返回给用户；

步骤5，文件存储：

当云端不存在数据块标签τ_i时，请求用户上传数据块签名σ_i、块密文C_i和密钥的密文C_key至CSP，CSP验证块标签和块密文是否来自相同文件，并且验证块签名σ_i的正确性；最终，CSP存储每一个块标签、块签名、块密文、密钥的密文；并给用户分配相应的权限；

步骤6，生成挑战：

当云端存在文件标签T时，执行文件去重；CSP生成挑战信息chal＝{i,v_i}_i∈I，再将该挑战信息返回给用户，其中I为[1,n]的任意子集，随机数v_i∈Z_q，其中Z_q是q阶素数域；

步骤7，生成证据：

用户收到挑战信息后，根据所选的块生成响应证据P_V，并返回给CSP；

步骤8，验证证据：

CSP验证响应证据P_V的正确性，从而判断用户和CSP是否拥有相同的文件，并将验证结果返回给用户；

步骤9，文件解密：

当用户需要从CSP下载文件时，CSP首先验证用户身份的合法性，并将密钥的密文C_key和块密文C_i返回给用户；用户首先利用自己的私钥sk解密得到每一个块密钥k_i；然后，再利用k_i解密每一个块密文C_i得到块明文m_i。

进一步地，步骤1所述密钥生成：用户为每一个数据块m_i计算相对应的加密密钥k_i，1≤i≤n，n为数据块的总数，具体如下：

(1.1)KS随机选择一个k-bit的素数q并创建两个q阶的椭圆曲线方程G₁，G₂和q阶的素数域Z_q；P，Q是G₁的两个不同的生成元，并产生一个线性配对e：G₁×G₁→G₂；KS随机选择一个整数x∈Z_q作为私钥，并计算公钥P_pub＝x·P；KS公开***参数{q,G₁,G₂,e,P,Q,P_pub}，保持x私有；

(1.2)用户将文件M分成n个块，即M＝m₁||m₂||…||m_n，用户为每一个数据块m_i计算收敛密钥h_i＝h(m_i)，其中哈希函数h(·)：{0,1}^*→G₁；然后，用户随机选择r∈Z_q作为盲化因子，再计算对h_i盲化后的值a_i＝h_i+r·P，并将a_i上传到KS；

(1.3)KS计算对a_i加密后的值b_i＝a_i·x，并将b_i返回给用户；

(1.4)用户计算对b_i去盲化后的值d_i＝b_i-r·P_pub，同时用户验证d_i的正确性：e(d_i,P)＝e(h(m_i),P_pub)；最后，用户令k_i＝d_i作为每一个块m_i的加密密钥。

进一步地，步骤2所述文件初始化：用户为每一个数据块m_i计算块密文C_i，同时生成文件的标签T＝(T₁,T₂)，其中T₁用于数据完整性验证，T₂用于块签名的验证，具体如下：

(2.1)用户使用对称加密的方法为文件M的每一个块m_i(1≤i≤n)，计算块密文C_i＝Enc(k_i,m_i)，C_i∈Z_q；

(2.2)用户计算：T₁＝H₁(C₁||C₂||…||C_n)，T₂＝H₂(M)·P，其中哈希函数H₁(·)：Z_q→{0,1}^*，H₂(·)：{0,1}^*→Z_q；最后，用户生成文件M的标签：T＝(T₁,T₂)，并上传T至CSP。

进一步地，步骤3所述数据块初始化：当云端不存在文件标签T时，用户为每一个数据块m_i计算块标签τ_i和块签名σ_i，其中τ_i用于块的索引，σ_i用于块存在的证明；同时，用户用自己的私钥sk加密每一个块密钥得到密钥的密文C_key，具体如下：

(3.1)当用户检测到云端文件标签T不存在时，用户为每一个文件块m_i计算块标签τ_i＝H₂(M)·h(m_i)；

(3.2)用户计算块签名：σ_i＝H₂(M)·(k_i+C_i·Q)；

(3.3)用户随机选择自己的私钥sk，并对块密钥k_i进行加密，计算密钥的密文C_key＝Enc(sk,k₁||k₂||…||k_n)。

进一步地，步骤4所述数据块验证：当云端存在数据块标签τ_i时，执行块去重；CSP验证用户上传的数据块签名σ_i是否正确，从而判断用户和CSP是否拥有相同的数据块，并将验证结果返回给用户，具体如下：

当收到来自用户的块标签τ_i和块签名σ_i，CSP检测到块标签τ_i存在则执行块去重；然后CSP验证块签名σ_i的正确性，即CSP验证σ_i＝σ_i'是否成立，其中σ_i'是CSP存储的数据块的签名；若成立，说明用户和CSP拥有相同的数据块，该数据块已存在于CSP，CSP只需为该数据块添加用户的身份ID_user；否则，返回一个请求失败消息给用户。

进一步地，步骤5所述文件存储：当云端不存在数据块标签τ_i时，请求用户上传数据块签名σ_i、块密文C_i和密钥的密文C_key至CSP，CSP验证块标签和块密文是否来自相同文件，并且验证块签名σ_i的正确性；最终，CSP存储每一个块标签、块签名、块密文、密钥的密文；并给用户分配相应的权限，具体过程如下：

(5.1)一旦CSP收到所有的块密文C_i，CSP开始验证T₁＝H₁(C₁||C₂||…||C_n)是否成立，若成立，说明用户上传的密文和标签是一致的；否则，说明用户上传了与标签不一致的密文，返回一个请求失败消息给用户；

(5.2)CSP验证用户上传的每一个数据块签名σ_i是否正确，通过验证是否成立，若成立，说明用户上传的数据块签名σ_i是正确的，CSP存储T、τ_i、σ_i、C_i和C_key，并添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合；否则，CSP返回一个请求失败的信息给用户。

进一步地，步骤6所述生成挑战：当云端存在文件标签T时，执行文件去重；CSP生成挑战信息chal＝{i,v_i}_i∈I，再将该挑战信息返回给用户，其中I为[1,n]的任意子集，随机数v_i∈Z_q；具体如下：

当CSP检测到文件标签T存在时，CSP根据文件M的总块数n，从1～n中随机生成c个数，组成I＝{s₁,s₂,…,s_c}，且对于s_i和s_j是相互独立的；对于随机生成一个数v_i∈Z_q，组成挑战信息chal＝{i,v_i}_i∈I，然后CSP将chal发送给用户。

进一步地，步骤7所述响应证据P_V的计算公式如下：

$P_V=\underset{i\∈I}{\mathrm{\Σ}}\left(\right(k_i+C_i\·Q)\·H_2(M)\·v_i)$

进一步地，步骤8所述验证证据：CSP验证响应证据P_V的正确性，从而判断用户和CSP是否拥有相同的文件，并将验证结果返回给用户，具体过程如下：

CSP验证是否成立：若成立，说明用户和CSP拥有相同的文件，该文件已存在于CSP中，用户不需要上传文件到CSP，用户只需上传C_key、ID_user到CSP，CSP存储C_key，并且添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合；否则，CSP返回一个请求失败的信息给用户。

进一步地，步骤9所述文件解密：当用户需要从CSP下载文件时，CSP首先验证用户身份的合法性，并将密文C_key和C_i返回给用户；用户首先利用自己的私钥sk解密得到每一个块密钥k_i；然后，再利用k_i解密每一个块密文C_i得到块明文m_i，具体如下：

(9.1)首先，用户发送文件M的标签T和自己的身份ID_user到CSP；

(9.2)CSP收到文件标签T和用户的身份ID_user后，验证文件标签T和用户身份ID_user是否正确，如果正确，将其对应的密钥的密文C_key和块密文C_i传送给用户；否则返回一个请求失败信息给用户；

(9.3)用户收到密钥的密文C_key和块密文C_i后，首先验证T₁＝H₁(C₁||C₂||…||C_n)是否正确，如果不正确，说明CSP返回给了用户不正确的密文文件；否则，用户先用自己的私钥sk，解密每一个块密钥：k₁||k₂||…||k_n＝Dec(sk,C_key)，然后用户解密每一个数据块：m_i＝Dec(k_i,C_i)。

本发明与现有技术相比，其显著优点为：

(1)收敛密钥安全性：基于盲签名的方法，用户首先选择一个随机数r作为盲化因子，对收敛密钥进行了盲化处理，KS再对盲化后的收敛密钥进行加密。在整个传输过程中，收敛密钥始终是盲化的，攻击者(甚至是KS)即使获得了交互过程中的一些信息，也不能推导出收敛密钥；

(2)数据机密性：由于数据块的加密密钥只在用户端生成，且此加密密钥中包含了数据块的收敛密钥和KS的私钥，此外收敛密钥安全性是得到有效保护的，所以攻击者是不可能获得和破解此密钥的，数据机密性是得到有效保护的；

(3)数据完整性：基于文件的密文产生文件的标签T₁，当用户上传文件标签T₁和每一个块密文C_i后，云服务器利用收到的文件标签和密文验证：T₁＝H₁(C₁||C₂||…||C_n)是否成立，从而判断用户是否上传了与标签一致的密文。其次，用户下载的密文后，还需验证：T₁＝H₁(C₁||C₂||…||C_n)是否成立，从而判断CSP是否给了用户正确的密文文件；

(4)预防字典攻击：数据块的加密密钥是通过KS对收敛密钥进行二次加密得到的，攻击者是不可能推导出收敛密钥和数据块的加密密钥的；由于数据块的加密密钥中包含KS的私钥，而KS的私钥是一个随机值，所以加密产生的密文存在更大的无关联性，这样攻击者在对密文发起字典攻击的过程中，除非他们知道数据块的加密密钥，否则他们就很难猜测明文，从而预防了字典攻击。

附图说明

图1是本发明的***模型图。

图2是本发明的云存储中密文数据的客户端安全去重方法的基本流程图。

图3是本发明的基于盲签名的密钥生成协议示意图。

具体实施方式

下面结合附图及实施示例对本发明作进一步详细描述。以下实施例在以本发明技术方案为前提下进行实施，给出了详细的实施方式和过程，但本发明的保护范围不限于下述的实施例。

本发明提供一种云存储中密文数据的客户端安全去重方法，该方法的***模型如图1所示，包含三类实体：云服务提供商(Cloud Service Provider，CSP)，密钥服务器(KeyServer，KS)，用户(Users)。其中，CSP由主服务器和存储服务器组成，它有足够的存储空间和计算能力，为用户提供数据存储和去重验证服务。KS与用户进行交互，对盲化的收敛密钥进行再加密。Users包括多个普通用户，他们在上传文件到CSP之前，检查要上传的文件是否已存在于CSP，若存在，不需要上传文件到CSP；否则，上传文件到CSP。

本发明云存储中密文数据的客户端安全去重方法能够实现对收敛密钥的二次加密，保证数据的隐私，预防了暴力字典攻击；同时用户能够在本地以一种安全有效的方式向云服务器证明其确实拥有云端的某个文件，既节约了存储空间，也节约了上传带宽。

为了更好地理解本实施例提出的方法，选取一次云存储环境下用户对其在CSP上存储的文件的数据安全去重事件，基本流程如图2所示，本实施例具体实施步骤如下：

步骤101：密钥生成：用户为每一个数据块m_i(总共有n个块，1≤i≤n)计算其相对应的加密密钥k_i，其密钥生成协议如图3，具体过程如下：

(1.1)首先，为了密钥的生成和去重的证明，初始化一些***参数。KS随机选择一个k-bit的素数q并创建两个q阶的椭圆曲线方程G₁，G₂和q阶的素数域Z_q。P，Q是G₁的两个不同的生成元，并产生一个可接受的线性配对e：G₁×G₁→G₂。KS随机一个选择整数x∈Z_q，并计算P_pub＝x·P。KS公开***参数{q,G₁,G₂,e,P,Q,P_pub}，保持x私有。

(1.2)用户首先将文件M分成n个块：M＝m₁||m₂||…||m_n。用户为每一个数据块m_i计算收敛密钥h_i＝h(m_i)，其中哈希函数h(·)：{0,1}^*→G₁；然后，用户随机选择r∈Z_q作为盲化因子，再计算对h_i盲化后的值a_i＝h_i+r·P，并将a_i上传到KS。

(1.3)KS计算对a_i加密后的值b_i＝a_i·x，并将b_i返回给用户。

(1.4)用户计算对b_i去盲化后的值d_i＝b_i-r·P_pub，同时用户能够验证d_i的正确性：e(d_i,P)＝e(h(m_i),P_pub)。最后，用户令k_i＝d_i作为每一个块m_i(1≤i≤n)的加密密钥。

步骤102：文件初始化：初始化文件M的信息，用户为每一个数据块m_i计算块密文C_i，同时生成文件的标签T＝(T₁,T₂)，其中T₁用于数据完整性验证，T₂用于块签名的验证，具体过程如下：

(2.1)用户使用对称加密的方法为文件M的每一个块m_i(1≤i≤n)，计算块密文C_i＝Enc(k_i,m_i)，C_i∈Z_q。

(2.2)用户计算：T₁＝H₁(C₁||C₂||…||C_n)，T₂＝H₂(M)·P，其中哈希函数H₁(·)：Z_q→{0,1}^*，H₂(·)：{0,1}^*→Z_q。最后，用户生成文件M的标签：T＝(T₁,T₂)，并上传T至CSP。

步骤103：数据块初始化：初始化数据块信息。当用户检测到云端文件标签T不存在时，用户为每一个数据块m_i计算块标签τ_i和块签名σ_i，其中τ_i用于块的索引，σ_i用于块存在的证明；同时，用户用自己的私钥sk加密每一个块密钥得到密钥的密文C_key，具体过程如下：

(3.1)用户为每一个文件块m_i(1≤i≤n)，计算块标签：τ_i＝H₂(M)·h(m_i)。

(3.2)用户计算块签名：σ_i＝H₂(M)·(k_i+C_i·Q)。

(3.3)用户随机选择自己的私钥sk，并对块密钥k_i(1≤i≤n)进行加密，计算密钥的密文C_key＝Enc(sk,k₁||k₂||…||k_n)。

步骤104：数据块验证：当收到来自用户的块标签τ_i和块签名σ_i。CSP检测到块标签τ_i存在，执行块去重；CSP验证用户上传的数据块签名σ_i是否正确，从而判断用户和CSP是否拥有相同的数据块，并将验证结果返回给用户，具体过程如下：

当收到来自用户的块标签τ_i和块签名σ_i，CSP检测到块标签τ_i存在则执行块去重；然后CSP验证块签名σ_i的正确性，即CSP验证：σ_i＝σ_i'是否成立，其中σ_i'是CSP存储的数据块的签名。若成立，说明用户和CSP拥有相同的数据块，该数据块已存在于CSP，CSP只需为该数据块添加用户的身份ID_user；否则，返回一个请求失败消息给用户。

步骤105：文件存储：当收到来自用户的块标签τ_i和块签名σ_i，云端不存在数据块标签τ_i时，请求用户上传数据块签名σ_i、块密文C_i和密钥的密文C_key至CSP，CSP验证块标签和块密文是否来自相同文件，并且验证块签名σ_i的正确性；最终，CSP存储每一个块标签、块签名、块密文、密钥的密文；并给用户分配相应的权限，具体过程如下：

(5.1)一旦CSP收到所有的块密文C_i(1≤i≤n)，CSP开始验证：T₁＝H₁(C₁||C₂||…||C_n)是否成立。若成立，说明用户上传的密文和标签是一致的；否则，说明用户上传了与标签不一致的密文，返回一个请求失败消息给用户。

(5.2)其次，CSP能够验证用户上传的每一个数据块签名σ_i是否正确，通过验证是否成立。若成立，说明用户上传的数据块签名是正确的，CSP存储T、τ_i、σ_i、C_i和C_key，并添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合；否则，CSP返回一个请求失败的信息给用户。

步骤106：生成挑战：当云端存在文件标签T时，执行文件去重；CSP生成挑战信息chal＝{i,v_i}_i∈I，再将该挑战信息返回给用户，其中I为[1,n]的任意子集，随机数v_i∈Z_q；具体过程如下：

当CSP检测到文件标签T存在时，CSP根据文件M的总块数n，从1～n中随机生成c个数，组成I＝{s₁,s₂,…,s_c}，且对于s_i和s_j是相互独立的；对于随机生成一个数v_i∈Z_q，组成挑战信息chal＝{i,v_i}_i∈I，然后CSP将chal发送给用户。

步骤107：生成证据：用户收到来自CSP发送的挑战信息chal后，响应挑战，计算响应证据返回给CSP。具体过程如下：

用户计算响应证据：将P_V发送给CSP。

步骤108：验证证据：CSP收到来自用户的响应证据后，CSP验证响应证据P_V的正确性，从而判断用户和CSP是否拥有相同的文件，并将验证结果返回给用户，具体过程如下：

CSP验证：是否成立。若成立，说明用户和CSP拥有相同的文件，该文件已存在于CSP中，用户不需要上传文件到CSP。用户只需上传C_key，ID_user到CSP；CSP存储C_key，并且添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合。否则，CSP返回一个请求失败的信息给用户。

步骤109：文件解密：当用户需要从CSP下载文件时，CSP首先验证用户身份的合法性，并将密文C_key和C_i返回给用户；用户首先利用自己的私钥sk解密得到每一个块密钥k_i；然后，再利用k_i解密每一个块密文C_i得到块明文m_i，具体过程如下：

(9.1)首先，用户发送文件M的标签T和自己的身份ID_user到CSP。

(9.2)CSP收到文件标签T和用户的身份ID_user后，验证文件标签T和用户身份ID_user是否正确，如果正确，将其对应的C_key和C_i(1≤i≤n)传送给用户；否则返回一个请求失败信息给用户。

(9.3)用户收到C_key和C_i(1≤i≤n)后，首先验证T₁＝H₁(C₁||C₂||…||C_n)是否正确，如果不正确，说明CSP返回给了用户不正确的密文文件；否则，用户先用自己的私钥sk，解密每一个块密钥：k₁||k₂||…||k_n＝Dec(sk,C_key)。然后，用户解密每一个数据块：m_i＝Dec(k_i,C_i)(1≤i≤n)。

综上所述，本发明利用盲签名的方法构造了一个更加安全高效的密钥生成协议，通过引入一个密钥服务器，实现了对收敛密钥的二次加密，使得数据加密更加安全，有效地预防了暴力字典攻击。同时，在此基础上提出了一个新的基于签名的拥有权证明方法，用户和云服务器之间必须执行一个挑战/响应协议，才能确定用户是否拥有和云端相同的文件，它有效地预防了攻击者通过单一的哈希值来获取整个文件，并且本发明的方案能够同时实现对密文数据的文件级和块级去重。

Claims (10)

1.一种云存储中密文数据的客户端安全去重方法，其特征在于，针对加密数据的客户端去重模型，去重过程涉及到的实体如下：用户Users，云服务提供商CSP和密钥服务器KS，具体步骤如下：

步骤1，密钥生成：

用户为每一个数据块m_i计算相对应的加密密钥k_i，1≤i≤n，n为数据块的总数；

步骤2，文件初始化：

用户为每一个数据块m_i计算块密文C_i，同时生成文件的标签T＝(T₁,T₂)，其中T₁用于数据完整性验证，T₂用于块签名的验证；

步骤3，数据块初始化：

当云端不存在文件标签T时，用户为每一个数据块m_i计算块标签τ_i和块签名σ_i，其中τ_i用于块的索引，σ_i用于块存在的证明；同时，用户用自己的私钥sk加密每一个块密钥得到密钥的密文C_key；

步骤4，数据块验证：

当云端存在数据块标签τ_i时，执行块去重；CSP验证用户上传的数据块签名σ_i是否正确，从而判断用户和CSP是否拥有相同的数据块，并将验证结果返回给用户；

步骤5，文件存储：

当云端不存在数据块标签τ_i时，请求用户上传数据块签名σ_i、块密文C_i和密钥的密文C_key至CSP，CSP验证块标签和块密文是否来自相同文件，并且验证块签名σ_i的正确性；最终，CSP存储每一个块标签、块签名、块密文、密钥的密文；并给用户分配相应的权限；

步骤6，生成挑战：

当云端存在文件标签T时，执行文件去重；CSP生成挑战信息chal＝{i,v_i}_i∈I，再将该挑战信息返回给用户，其中I为[1,n]的任意子集，随机数v_i∈Z_q，其中Z_q是q阶素数域；

步骤7，生成证据：

用户收到挑战信息后，根据所选的块生成响应证据P_V，并返回给CSP；

步骤8，验证证据：

CSP验证响应证据P_V的正确性，从而判断用户和CSP是否拥有相同的文件，并将验证结果返回给用户；

步骤9，文件解密：

当用户需要从CSP下载文件时，CSP首先验证用户身份的合法性，并将密钥的密文C_key和块密文C_i返回给用户；用户首先利用自己的私钥sk解密得到每一个块密钥k_i；然后，再利用k_i解密每一个块密文C_i得到块明文m_i。

2.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤1所述密钥生成：用户为每一个数据块m_i计算相对应的加密密钥k_i，1≤i≤n，n为数据块的总数，具体如下：

(1.1)KS随机选择一个k-bit的素数q并创建两个q阶的椭圆曲线方程G₁，G₂和q阶的素数域Z_q；P，Q是G₁的两个不同的生成元，并产生一个线性配对e：G₁×G₁→G₂；KS随机选择一个整数x∈Z_q作为私钥，并计算公钥P_pub＝x·P；KS公开***参数{q,G₁,G₂,e,P,Q,P_pub}，保持x私有；

(1.2)用户将文件M分成n个块，即M＝m₁||m₂||…||m_n，用户为每一个数据块m_i计算收敛密钥h_i＝h(m_i)，其中哈希函数h(·)：{0,1}^*→G₁；然后，用户随机选择r∈Z_q作为盲化因子，再计算对h_i盲化后的值a_i＝h_i+r·P，并将a_i上传到KS；

(1.3)KS计算对a_i加密后的值b_i＝a_i·x，并将b_i返回给用户；

(1.4)用户计算对b_i去盲化后的值d_i＝b_i-r·P_pub，同时用户验证d_i的正确性：e(d_i,P)＝e(h(m_i),P_pub)；最后，用户令k_i＝d_i作为每一个块m_i的加密密钥。

3.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤2所述文件初始化：用户为每一个数据块m_i计算块密文C_i，同时生成文件的标签T＝(T₁,T₂)，其中T₁用于数据完整性验证，T₂用于块签名的验证，具体如下：

(2.1)用户使用对称加密的方法为文件M的每一个块m_i(1≤i≤n)，计算块密文C_i＝Enc(k_i,m_i)，C_i∈Z_q；

(2.2)用户计算：T₁＝H₁(C₁||C₂||…||C_n)，T₂＝H₂(M)·P，其中哈希函数H₁(·)：Z_q→{0,1}^*，H₂(·)：{0,1}^*→Z_q；最后，用户生成文件M的标签：T＝(T₁,T₂)，并上传T至CSP。

4.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤3所述数据块初始化：当云端不存在文件标签T时，用户为每一个数据块m_i计算块标签τ_i和块签名σ_i，其中τ_i用于块的索引，σ_i用于块存在的证明；同时，用户用自己的私钥sk加密每一个块密钥得到密钥的密文C_key，具体如下：

(3.1)当用户检测到云端文件标签T不存在时，用户为每一个文件块m_i计算块标签τ_i＝H₂(M)·h(m_i)；

(3.2)用户计算块签名：σ_i＝H₂(M)·(k_i+C_i·Q)；

(3.3)用户随机选择自己的私钥sk，并对块密钥k_i进行加密，计算密钥的密文C_key＝Enc(sk,k₁||k₂||…||k_n)。

5.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤4所述数据块验证：当云端存在数据块标签τ_i时，执行块去重；CSP验证用户上传的数据块签名σ_i是否正确，从而判断用户和CSP是否拥有相同的数据块，并将验证结果返回给用户，具体如下：

当收到来自用户的块标签τ_i和块签名σ_i，CSP检测到块标签τ_i存在则执行块去重；然后CSP验证块签名σ_i的正确性，即CSP验证σ_i＝σ_i'是否成立，其中σ_i'是CSP存储的数据块的签名；若成立，说明用户和CSP拥有相同的数据块，该数据块已存在于CSP，CSP只需为该数据块添加用户的身份ID_user；否则，返回一个请求失败消息给用户。

6.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤5所述文件存储：当云端不存在数据块标签τ_i时，请求用户上传数据块签名σ_i、块密文C_i和密钥的密文C_key至CSP，CSP验证块标签和块密文是否来自相同文件，并且验证块签名σ_i的正确性；最终，CSP存储每一个块标签、块签名、块密文、密钥的密文；并给用户分配相应的权限，具体过程如下：

(5.1)一旦CSP收到所有的块密文C_i，CSP开始验证T₁＝H₁(C₁||C₂||…||C_n)是否成立，若成立，说明用户上传的密文和标签是一致的；否则，说明用户上传了与标签不一致的密文，返回一个请求失败消息给用户；

(5.2)CSP验证用户上传的每一个数据块签名σ_i是否正确，通过验证是否成立，若成立，说明用户上传的数据块签名σ_i是正确的，CSP存储T、τ_i、σ_i、C_i和C_key，并添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合；否则，CSP返回一个请求失败的信息给用户。

7.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤6所述生成挑战：当云端存在文件标签T时，执行文件去重；CSP生成挑战信息chal＝{i,v_i}_i∈I，再将该挑战信息返回给用户，其中I为[1,n]的任意子集，随机数v_i∈Z_q；具体如下：

当CSP检测到文件标签T存在时，CSP根据文件M的总块数n，从1～n中随机生成c个数，组成I＝{s₁,s₂,…,s_c}，且对于s_j∈I(i≠j)，s_i和s_j是相互独立的；对于随机生成一个数v_i∈Z_q，组成挑战信息chal＝{i,v_i}_i∈I，然后CSP将chal发送给用户。

8.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤7所述响应证据P_V的计算公式如下：

$P_V=\underset{i\∈I}{\mathrm{\Σ}}\left(\left(k_i+C_i\·Q\right)\·H_2\left(M\right)\·v_i\right).$

9.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤8所述验证证据：CSP验证响应证据P_V的正确性，从而判断用户和CSP是否拥有相同的文件，并将验证结果返回给用户，具体过程如下：

CSP验证是否成立：若成立，说明用户和CSP拥有相同的文件，该文件已存在于CSP中，用户不需要上传文件到CSP，用户只需上传C_key、ID_user到CSP，CSP存储C_key，并且添加用户的身份ID_user到ID_M，则ID_M＝ID_M∪ID_user，其中ID_M代表所有拥有文件M的用户身份的集合；否则，CSP返回一个请求失败的信息给用户。

10.根据权利要求1所述的云存储中密文数据的客户端安全去重方法，其特征在于：步骤9所述文件解密：当用户需要从CSP下载文件时，CSP首先验证用户身份的合法性，并将密文C_key和C_i返回给用户；用户首先利用自己的私钥sk解密得到每一个块密钥k_i；然后，再利用k_i解密每一个块密文C_i得到块明文m_i，具体如下：

(9.1)首先，用户发送文件M的标签T和自己的身份ID_user到CSP；

(9.2)CSP收到文件标签T和用户的身份ID_user后，验证文件标签T和用户身份ID_user是否正确，如果正确，将其对应的密钥的密文C_key和块密文C_i传送给用户；否则返回一个请求失败信息给用户；

(9.3)用户收到密钥的密文C_key和块密文C_i后，首先验证T₁＝H₁(C₁||C₂||…||C_n)是否正确，如果不正确，说明CSP返回给了用户不正确的密文文件；否则，用户先用自己的私钥sk，解密每一个块密钥：k₁||k₂||…||k_n＝Dec(sk,C_key)，然后用户解密每一个数据块：m_i＝Dec(k_i,C_i)。