[发明专利]一种不可信网络环境下的云存储ORAM访问系统和方法

权利要求书

1.一种不可信网络环境下的云存储ORAM访问系统，其特征在于，所述系统包括：服务器端和客户端；

所述服务器端包括：

数据存储模块，用于完全二叉树型存放用户上传到云端的数据文件密文，所述完全二叉树的节点对应桶，每个桶包含：Z个真实数据块和S个虚拟数据块；

循环移位模块，用于在客户端对服务器端进行了A次访问后，对数据存储模块中按驱逐次数G对叶子节点个数取模结果的逆字典序选中的根桶驱逐目标路径的所有节点进行循环移位，使得叶子节点移到根，驱逐次数G在第一次循环移位时赋值为0，每完成一次循环移位G加1，驱逐率A根据真实数据块数量Z设置；

客户端包括：

位置映射表，用于存放每个数据块在数据存储模块被分配的路径，数据块对应的路径为根节点到数据块被分配的叶子节点形成的路径，G每加1进行更新；

数据缓存模块，用于存储在访问操作存入的解密后的目标数据块、根桶驱逐操作从数据存储模块读出的数据块；

根桶驱逐模块，用于在循环移位模块进行1次循环移位后，将根桶中未被访问的所有真实数据块读出并存储在数据缓存模块，并与数据缓存模块随机选出的部分真实数据块构成Z个真实数据块，再与S个虚拟数据块构成新的根桶，写回数据存储模块的根桶。

2.如权利要求1所述的系统，其特征在于，所述客户端还包括：

数据混洗模块，用于在同一个桶进行了S次访问之后，将其作为目标桶，将该目标桶中剩余所有真实数据块传回数据缓存模块，并与数据缓存模块选出的部分真实数据块构成Z个真实数据块，再与S个虚拟数据块构成新的桶，写回数据存储模块的该目标桶；

所述数据缓存模块还用于存储数据混洗操作从数据存储模块读出的数据块；

所述位置映射表还用于释放客户端缓存选出的真实数据块的原对应地址映射表信息，并更新它们的地址映射表为目标桶的位置。

3.如权利要求1或2所述的系统，其特征在于，每个桶还包括元数据，所述元数据为桶中每个数据块的索引和偏移量以及桶被访问的次数。

4.如权利要求1或2所述的系统，其特征在于，

所述服务器端还包括：异或计算模块，用于对数据存储模块每次访问读出的所有数据块的数据进行异或计算，将异或结果传递给用户请求处理模块；

所述客户端还包括：

目标路径查找模块，用于在用户发送读请求时，根据用户请求的目标数据块在位置映射表中的映射关系，寻找该数据块对应的从根到叶的目标路径，将其发送给数据读取模块，将该数据块随机映射到一条根到叶的目标路径，并更新位置映射表；在用户发送写请求时，根据用户请求的目标数据块在位置映射表中的映射关系，寻找该数据块对应的从根到叶的目标路径，将其发送给数据读取模块，将该数据块随机映射到一条根到叶的目标路径，并更新位置映射表，并将用户写入的数据发送给用户请求处理模块；

数据读取模块，用于根据目标路径查找模块输出的目标路径，从数据存储模块按照目标路径依次读取每个桶，对目标数据块存在的桶读取真实目标数据块，其他桶随机读取一个虚拟数据块，将读取到的所有数据块直接发送给异或计算模块；

用户请求处理模块，用于在读操作时，将异或计算模块得到的数据与H个虚拟数据块进行异或，恢复出目标数据块，对目标数据块进行解密，若解密后的数据块为目标数据块，将解密后的目标数据块存入数据缓存模块同时传给用户，若解密后的数据块不包含真实数据，则所求目标块已经存在于数据存储模块，直接将其读出并传给用户；在写操作时，将异或计算模块得到的数据与虚拟数据块进行异或，恢复出目标数据块，对目标数据块进行解密，若解密后的数据块为目标数据块，将解密后的目标数据块中数据修改为用户写入的数据，存入数据缓存模块，若解密后的数据块不包含真实数据，则所求目标块已经存在于数据存储模块，直接将其修改为用户写入的数据，H表示完全二叉树的树高。