本發明公開了一種云數據訪問模式的分布式高效混淆方法，應用于包括服務端和客戶端構成的系統；服務端部署在兩臺互不通信、互相獨立的云服務器上，服務端的數據結構包括分區和緩沖區；客戶端的數據結構包括本地緩存和數據塊的位置映射表；目標數據塊在本系統進行讀寫的具體過程為：(1)根據目標的位置，對云服務器進行訪問，獲取目標數據塊至本地；(2)在本地讀取目標數據塊的值，若操作為寫，則將數據塊更新為寫入的值，然后對給數據塊隨機分配新的分區，寫入本地緩存；(3)按照順序，以一定速率對每個分區進行驅逐操作。本發明具有安全性高，高效，所需資源少的優點，極大提升了云數據訪問模式混淆方法的實用性。

技術領域

本發明屬于信息安全技術領域，尤其是涉及一種云數據訪問模式的分布式高效混淆方法。

背景技術

隨著大數據和云計算技術的發展，將大量數據外包存儲至云服務器已成常態。為了保護數據隱私，用戶往往會選擇將上傳至服務端的數據進行加密。但是依靠加密并不能完全保證數據安全，不可信的服務器仍能從用戶的訪問模式(Access pattern)中獲取敏感信息。為了解決這一問題，不經意隨機訪問機(Oblivious RAM，簡稱ORAM)應運而生，用以實現訪問模式的保護。

研究表明，不可信的服務器或攻擊者可以通過訪問模式獲取大量有關存儲數據的信息，例如每個數據塊的訪問頻率，同一個塊前后查詢操作存在的關聯，甚至加密數據本身的內容。在實際場景中，這就可能暴露用戶的行為特征、興趣愛好等，例如醫院將患者信息存儲在云服務器，則腫瘤科醫生對一名患者的信息進行查詢就有暴露患者罹患癌癥的可能。

通過完備的定義，ORAM通常能夠很好地保護以下信息：1)客戶端訪問的具體是哪個數據塊；2)對相同數據塊的訪問頻率；3)具體的訪問模式；4)訪問操作是讀還是寫。

在ORAM設計中，客戶端對服務器進行的通信訪問通常由讀(read)和寫(write)兩種原子操作組合完成。同時為了維護訪問的隱私和系統的穩定，不同ORAM模型還會設計更復雜的離線操作。例如層次ORAM通常需要在一個訪問周期后進行混洗操作(reshuffle)，即將部分數據塊的位置重新排列；樹狀ORAM則會通過驅逐操作(eviction)不斷地移動部分數據塊的位置，保證數據塊不會溢出。這些額外的操作就會帶來開銷，這些開銷體現在帶寬、計算、存儲空間等各個方面，尤其是帶寬開銷具有O(log N)的下界。正是這些開銷的存在，導致ORAM距離實際部署至生產環境仍有很長的距離。

為了解決開銷問題，一類ORAM研究通過分布式設計，借助多臺非共謀的(non-colluding)服務器實現數據訪問，從而達到開銷的優化。在已有的文獻中，一些ORAM選擇將客戶端到云端的帶寬開銷轉移至云服務器之間，使客戶端到云端的帶寬開銷降低至O(1)，并且將本由客戶端完成的混淆操作轉移到云上完成，減輕了客戶端的計算負擔，例如MCOS(Multi-Cloud oblivious storage，CCS，2013年)和NewMCOS(NewMCOS：Towards aPractical Multi-cloud Oblivious Storage Scheme，IEEE Transactions on Knowledgeand Data Engineering，2019年)。但是這類分布式ORAM設計仍然存在以下缺陷：

1、雖然將客戶端至云端的帶寬開銷優化到了O(1)，但是因此而轉移至云服務器間的帶寬開銷仍為O(log N)水平，這部分資源消耗不可避免；例如NewMCOS模型，為了達到設計的安全需求，需要將服務端部署于3臺或以上的云服務器，服務器資源需求較大；

2、數據訪問過程中，云服務器之間需要進行通信，所以存在更多的安全隱患。

發明內容

本發明針對現有分布式ORAM云間帶寬消耗仍然過高，需要云服務器數量較多且云間通信存在安全隱患的問題，提供了一種云數據訪問模式的分布式高效混淆方法，以實現ORAM的高性能表現，資源的低需求和無需云間通信的安全性。