本發明公開了一種異步網絡環境下的多用戶ORAM訪問系統及方法，屬于信息安全技術領域。本發明選用“無驅逐”數據寫回，將桶數據簡單分為“真”數據區和“假”數據區，“客戶端”寫回時將數據寫回目的桶節點的“真”數據區，對于路徑上其他桶節點，則在能寫入的“真”數據區和“假”數據區隨機選擇一個位置寫入，在客戶端直接確定數據寫回路徑和位置，以略微的“客戶端”計算和存儲消耗來降低整體的數據訪問消耗，達到真正接近0(1)的整體平均帶寬放大，同時保障系統的安全性。采用Shamir秘密共享算法構建選擇向量來查找數據，每個服務端的中間數據都是經過秘密共享算法計算后的值，相比于之前的類似工作，不需要復雜的同態加密過程，極大提高了ORAM的實用性。

技術領域

本發明屬于信息安全技術領域，更具體地，涉及一種異步網絡環境下的多用戶ORAM訪問系統及方法。

背景技術

云計算的高速發展，使得越來越多的數據在云上存儲，在帶來便利的同時，也帶來了一系列安全問題。傳統的加密能夠保證數據內容的安全性，但僅僅依靠加密是不足以完全確保數據的隱私的，因為訪問模式(Accesspattern)，也就是客戶端對于服務端的一系列地址訪問序列以及在地址上的操作行為，會泄露大量的客戶敏感信息。而茫然隨機訪問機(ObliviousRandomAccessMachine，ORAM)技術則是目前重要的訪問模式保護技術。

然而，自ORAM被提出，而后發展到今天，ORAM方案仍然很難被應用到商業或實際生活中，原因就是它巨大的帶寬消耗以及遠離實際的單用戶節點設計。ORAM技術誕生起就有一個O(logN)帶寬下限，目前最優秀的單用戶節點ORAM方案S³ ORAM借助Shamir算法達到了O(1)的帶寬放大，但是它的延遲驅逐操作會產生一個很大的響應延遲，不適用于多用戶場景下執行并發訪問，并且它存在一些安全隱患。

發明內容

針對現有技術多用戶ORAM無法兼顧性能和安全導致難以實際應用的問題，本發明提供了一種異步網絡環境下的多用戶ORAM訪問系統及方法，其目的在于實現多用戶并發訪問的安全性和O(1)級別的帶寬放大和客戶端存儲。

為實現上述目的，按照本發明的第一方面，提供了一種異步網絡環境下的多用戶ORAM訪問系統，所述系統包括：

服務器端，包括l個互不通信、相互獨立的服務器，每個服務器以完全二叉樹形式存儲數據、與代理服務器通信并傳遞數據；

多個客戶端，每個客戶端用于請求數據；

可信代理服務器，用于處理多個客戶端對服務器端的并發訪問，并在檢索到數據后將數據塊無驅逐地寫回到l個服務器，所述可信代理服務器包括：

序列器，用于按序保存客戶端訪問請求、按序給請求處理模塊發送訪問請求、按序給客戶端返回訪問結果；

請求處理模塊，用于依據序列器傳遞的訪問請求，采用Shamir秘密共享算法，對服務器端進行真實的數據訪問，并將服務器端返回的數據傳遞給序列器。

具體地，SORAM的服務端的高H的完全二叉樹T中，每個節點桶存放Z個數據塊，包括：r個真實數據塊和(Z-r)個虛擬數據塊，每個樹T最多能存放N≤r·(2^H-1)個真實數據塊，將T中的數據塊按照從上到下、從左到右的順序進行索引，樹中塊的索引T[i，j]表示數據塊是T中第i個桶中的第j個塊，1≤i≤2^H，1≤j≤Z，每個塊劃分為M個chunks。