CN113297596B - 一种面向静态数据的高效茫然读取方法 - Google Patents

Abstract

本发明提供一种面向静态数据的高效茫然读取方法，客户端使用伪随机函数F在本地对数据进行加密，生成加密后的数据集C，并插值创建多项式函数f(x)使得f(i)＝C[i]，将多项式函数的系数上传至服务器；当客户端想要访问真实索引i对应的数据项时，将真实索引i盲化成伪索引γ_i发送给服务器；服务器收到访问请求后，计算出f(γ_i)并将结果返回给客户端；客户端收到f(γ_i)后在本地恢复成C[i]，然后使用伪随机函数F解密得到真实索引i对应的数据项；本发明利用了多项式的性质，盲化了用户访问的真实索引，保护了用户的访问模式，每次只访问盲化后索引所对应的数据块，降低了客户端和服务器传输的数据量，优化了带宽；并且不需要复杂的混洗操作和额外的存储空间，减少了计算和存储开销。

Description

一种面向静态数据的高效茫然读取方法

技术领域

本发明属于网络安全技术领域，具体涉及一种面向静态数据的高效茫然读取方法。

背景技术

近年来随着云计算技术的发展，越来越多的个人和用户选择将数据外包给云服务器存储和处理，但由于第三方云服务器提供商往往是不可信的，由此带来了一系列安全问题。一旦用户将数据上传给云服务器，便失去了对数据的掌控权，那么不可信的云服务提供商通过分析和挖掘这些数据，可以轻易地获取用户的隐私信息。传统的解决方案是直接将数据加密后外包给云服务器，保障了数据内容的完整性和机密性。从表面上看不可信的云服务提供商无法获取加密后的数据，但是这种方案并没有隐藏用户访问数据的索引，攻击者或云服务提供商可以记录和分析用户的访问模式来获取具体的数据。

Oblivious RAM(简称ORAM)是一种保护用户访问模式的有效手段，在文献“Software protection and simulation on oblivious RAMs.Journal of the ACM(JACM),43(3):431-473”中由Goldriche等人提出，它可以完全隐藏用户的访问模式，避免用户的隐私泄漏。用户的访问请求分为读和写两种操作，ORAM通过复杂化用户的访问行为或者在客户端和服务器上添加冗余的数据来混淆用户的访问行为和目标数据，从而使攻击者无法区分每一次访问是真实的还是随机的，无法根据用户的访问模式来推断用户的隐私。

茫然读取方法是一种保护用户访问模式的读取静态数据的方法，现有技术中多采用ORAM方案，然而ORAM方案大多数通过复杂化用户的访问操作来隐藏其访问行为，并且需要消耗大量的存储空间和计算资源。比如基于简单模型的ORAM方案，在服务器上需要存储所有的数据，每次访问也需要读取所有数据；基于平方根的ORAM方案每次只访问缓冲区里数据，但是需要执行复杂的混洗操作，会带来额外的开销；基于层次模型的ORAM方案使用哈希表建立了层次存储模型，虽然优化了带宽，但依然需要复杂的混洗操作；传统的基于树状模型的ORAM方案虽然不需要混洗操作，但是在客户端需要存储位置映射表，在服务器需要存储冗余数据，每当客户端提交一个访问请求后,服务器需要返回从根节点到某一叶节点路径上的所有数据块，这将导致至少O(logN)数量级别的开销，N表示输入数据规模，并且之后还需要进行复杂的驱逐操作。

因此，大多数ORAM方案虽然保护了用户的访问模式，但由此换来的是巨大的性能开销，在实际场景中往往因为成本、效率等问题并不能得到很好的应用。

发明内容

基于上述问题，本发明提出一种面向静态数据的高效茫然读取方法，客户端使用伪随机函数F在本地对数据进行加密，生成加密后的数据集C，插值创建多项式函数f(x)使得f(i)＝C[i]，将多项式函数的系数上传至服务器；当客户端访问真实索引i对应的数据项时，将真实索引i盲化成伪索引γ_i发送给服务器；服务器收到访问请求后，计算出f(γ_i)并将结果返回给客户端；客户端收到f(γ_i)后在本地恢复成C[i]，使用伪随机函数F解密得到真实索引i对应的数据项，包括：

步骤1：客户端初始化，客户端拥有大小为l的数据集D＝{d₀,d₁,…,d_l-1}，在本地对每个数据项d_i加密，i＝0,1,…,l-1，生成加密后的数据集C并对其插值生成多项式函数f(x)，然后计算f(x)的最大值，最后将多项式函数f(x)的系数上传给服务器；

步骤2：客户端盲化真实索引，客户端对访问数据项d_i的真实索引i进行盲化，将盲化得到的伪索引γ_i发送给服务器；

步骤3：服务器响应客户端请求，服务器根据多项式函数的系数重新生成多项式，然后响应客户端的访问请求，返回伪索引γ_i对应的值；

步骤4：客户端恢复目标数据，客户端收到伪索引γ_i对应的值后，处理得到真实索引i对应的值，然后在本地使用伪随机函数F解密，得到解密后的数据项d_i。

所述步骤1包括：

步骤1.1：客户端定义加解密数据所需要的伪随机函数F和密钥k_F，所述伪随机函数定义为F:{0,1}^k×{0,1}^*→{0,1}^k，所述密钥定义为k_F∈{0,1}^k，其中{0,1}^k表示k长度0和1组成的比特串；{0,1}^*表示任意长度的0和1组成的比特串；

步骤1.2：利用公式(1)对每个数据项d_i加密，生成加密后的数据集

式中，C[i]表示真实索引i代表的数据项加密后的值，表示伪随机函数F对于输入真实索引i输出的k长度0和1组成的比特串，/>表示异或运算；

步骤1.3：使用每组数据(i,C[i])插值生成一个多项式函数f(x)，即生成的多项式函数f(x)满足f(i)＝C[i]，i＝0,1,…,l-1；

步骤1.4：计算多项式函数f(x)的最大值MAX，即MAX＝max(C[0],…,C[l-1])，并将多项式函数的系数发送给服务器。

所述步骤1.3中多项式函数f(x)表示为：

f(x)＝a_l-1x^l-1+a_l-2x^l-2+…+a₁x+a₀ (2)

式中，a₀,a₁,…,a_l-1表示多项式函数的系数。

所述步骤2具体表示为：客户端选取随机整数q>MAX，计算伪索引γ_i＝i+q，并将γ_i发送给服务器。

所述步骤3具体表示为：服务器根据接收到的多项式函数的系数重新生成多项式函数f(x)，根据接收到的伪索引γ_i计算伪索引在多项式函数f(x)中的值v_i，即v_i＝f(γ_i)，然后将v_i返回给客户端。

所述步骤4包括：

步骤4.1：客户端接收到v_i后，计算v_i mod q得到C[i]，mod表示取模运算；

步骤4.2：计算得到解密后的数据项d_i。

本发明的有益效果是：

本发明提出了一种面向静态数据的高效茫然读取方法，利用了多项式的性质，隐藏了用户访问的真实索引，支持用户在本地加解密数据，在保证数据机密性的同时，也保护了用户的访问模式。既不需要复杂化用户的访问操作，也不需要额外的存储空间，计算高效，减少了传统方案的计算和存储开销，具有很高的实用性。

附图说明

图1为本发明中面向静态数据的高效茫然读取方法流程图；

图2为本发明中面向静态数据的高效茫然读取方法原理图；

图3为本发明中客户端初始化流程图；

图4为本发明中客户端盲化真实索引流程图；

图5为本发明中服务器响应客户端请求流程图；

图6为本发明中客户端恢复目标数据流程图。

具体实施方式

下面结合附图1～6和具体实施实例对本发明做进一步说明。

本发明提出一种面向静态数据的高效茫然读取方法，客户端使用伪随机函数F在本地对数据进行加密，生成加密后的数据集C，并插值创建多项式函数f(x)使得f(i)＝C[i]，将多项式函数的系数上传至服务器；当客户端想要访问真实索引i对应的数据项时，将真实索引i盲化成伪索引γ_i发送给服务器；服务器收到访问请求后，计算出f(γ_i)并将结果返回给客户端；客户端收到f(γ_i)后在本地恢复成C[i]，然后使用伪随机函数F解密得到真实索引i对应的数据项；

整个技术方案的实现包括客户端和服务器两个部分：

客户端拥有大小为l的数据集D＝{d₁,d₂,…,d_l}，选择伪随机函数F和其密钥k_F∈{0,1}^k，用来加解密数据(其中F:{0,1}^k×{0,1}^*→{0,1}^k)。在本地对数据集D中的每个数据项d_i加密，生成加密后的数据集并插值创建多项式f(x)使得f(i)＝C[i]，然后将多项式系数上传至服务器。客户端将真实访问索引i盲化成i+q发送给服务器，并将服务器返回的f(i+q)在本地恢复成C[i]，最后使用伪随机函数F解密得到想要访问的数据项/>

服务器根据客户端上传的多项式系数生成f(x)，接收到客户端发送的访问请求i+q后，计算并返回f(i+q)给客户端；

客户端使用伪随机函数F在本地对数据进行加密，生成加密后的数据集C，并插值创建多项式f(x)使得f(i)＝C[i]，然后将多项式系数上传至服务器。当客户端想要访问真实索引i对应的数据项时，将真实索引i盲化成伪索引γ_i发送给服务器。服务器收到访问请求后，计算f(γ_i)并将结果返回给客户端。客户端收到f(γ_i)后，根据多项式的性质在本地恢复成C[i]，然后使用伪随机函数F解密得到真实索引i对应的数据项。

本发明技术方案基于的多项式性质包括:

1.假设 是n个变量的多项式，那么对于任意输入和任意/>总是存在一个整数w满足：

f(u₁,…,u_i+r,…,u_n)＝f(u₁,…,u_i,…,u_n)+r·w

2.假设 是n个变量的多项式。如果存在一个点u＝{u₁,…,u_n}∈{0,…,l-1}ⁿ使得多项式f(u)≥0，那么以下等式总是成立：

f(u₁,…,u_i+r,…,u_n)mod r＝f(u₁,…,u_i,…,u_n)

其中整数r≥f(u)≥0，l表示数据集大小。

3.对于单个变量的多项式记为：

f(x+r)mod r＝f(x)

其中x∈{0,…,l-1}，整数r≥f(x)≥0。

基于上述性质，当客户端想要访问数据项d_i时，可以选取一个随机整数q>f(x)，将原本的索引i盲化成i+q发送给服务器。对于服务器来说，无法区分真实的索引i和伪索引i+q，因此隐藏了客户端的访问位置。客户端收到伪索引i+q上的值后，只需要模q就可以得到真实索引i对应的值。

基于上述原理，本发明提供的一种面向静态数据的高效茫然读取方法，如图1～2所示，具体包括如下步骤：

步骤1：客户端初始化，如图3所示，客户端拥有大小为l的数据集D＝{d₀,d₁,…,d_l-1}，在本地对每个数据项d_i加密，i＝0,1,…,l-1，生成加密后的数据集C并对其插值生成多项式函数f(x)，然后计算f(x)的最大值，最后将多项式函数f(x)的系数上传给服务器；包括：

步骤1.1：客户端定义加解密数据所需要的伪随机函数F和密钥k_F，所述伪随机函数定义为F:{0,1}^k×{0,1}^*→{0,1}^k，所述密钥定义为k_F∈{0,1}^k，其中{0,1}^k表示k长度0和1组成的比特串；{0,1}^*表示任意长度的0和1组成的比特串；

步骤1.2：利用公式(1)对每个数据项d_i加密，生成加密后的数据集

式中，C[i]表示真实索引i代表的数据项加密后的值，表示伪随机函数F对于输入真实索引i输出的k长度0和1组成的比特串，/>表示异或运算；

步骤1.3：使用每组数据(i,C[i])插值生成一个多项式函数f(x)，即生成的多项式函数f(x)满足f(i)＝C[i]，i＝0,1,…,l-1；

多项式函数f(x)表示为：

f(x)＝a_l-1x^l-1+a_l-2x^l-2+…+a₁x+a₀ (2)

式中，a₀,a₁,…,a_l-1表示多项式函数的系数；

步骤1.4：计算多项式函数f(x)的最大值MAX，即MAX＝max(C[0],…,C[l-1])，并将多项式函数的系数发送给服务器；

步骤2：客户端盲化真实索引，如图4所示，客户端对访问数据项d_i的真实索引i进行盲化，将盲化得到的伪索引γ_i发送给服务器；具体表示为：客户端选取随机整数q>MAX，计算伪索引γ_i＝i+q，并将γ_i发送给服务器；

步骤3：服务器响应客户端请求，如图5所示，服务器根据多项式函数的系数重新生成多项式，然后响应客户端的访问请求，返回伪索引γ_i对应的值；具体表示为：服务器根据接收到的多项式函数的系数重新生成多项式函数f(x)，根据接收到的伪索引γ_i计算伪索引在多项式函数f(x)中的值v_i，即v_i＝f(γ_i)，然后将v_i返回给客户端

步骤4：客户端恢复目标数据，如图6所示，客户端收到伪索引γ_i对应的值后，处理得到真实索引i对应的值，然后在本地使用伪随机函数F解密，得到解密后的数据项d_i；包括：

步骤4.1：客户端接收到v_i后，计算v_i mod q得到C[i]，mod表示取模运算，即v_i modq＝f(i+q)mod q＝C[i]；

步骤4.2：计算得到解密后的数据项d_i，即想要访问的数据项。

本发明主要利用了多项式的性质，只需要进行简单的计算就可以隐藏用户的真实访问索引。同时支持用户在本地加解密数据，既保护了用户的访问模式，又保证了数据的机密性。与传统的ORAM方案相比，本发明不需要复杂化用户的访问操作，也不需要客户端或服务器额外的存储开销。在每次访问后，服务器也无需进行类似的驱逐或混洗操作。

为了验证本发明方案的有效性，这里对比了几种常见的ORAM方案，表1总结了本发明与其性能的比较。

表1与常见ORAM方案的性能比较

在一般的ORAM方案中，用户需要对每次访问的所有数据块加解密来查找目标数据块。而本发明利用了多项式的性质，盲化了用户访问的真实索引，保护了用户的访问模式，每次只需要对一个数据块加解密。对比简单模型每次需要访问服务器上存储的所有数据，本发明每次只访问盲化后索引所对应的数据块，降低了客户端和服务器传输的数据量，优化了带宽；对比平方根模型和层次模型，本发明不需要复杂的混洗操作，减少了计算开销；对比传统的树状模型，本发明在客户端上只存储密钥和盲化索引时所选取的随机整数，不需要存储原来方案中的位置映射表，将空间复杂度从O(log N)数量级优化到了O(1)。在服务器上不需要存储原方案中的冗余数据，只需要存储多项式的系数，达到了O(N)的空间复杂度。每次访问时服务器只计算并返回伪索引对应的结果，而不必返回原始方案中从根节点到某一叶节点路径上的所有数据块，并且之后也无需复杂的驱逐操作，将O(log N)数量级的平均带宽和交互轮数优化到了O(1)。

因此，本发明的客户端存储大小为O(1)，服务器存储大小为O(N)，客户端和服务器的平均带宽为O(1)，交互轮数也为O(1),极大的减少了计算和存储开销，具有很高的实用性。

Claims (4)

1.一种面向静态数据的高效茫然读取方法，其特征在于，客户端使用伪随机函数F在本地对数据进行加密，生成加密后的数据集C，插值创建多项式函数f(x)使得f(i)＝C[i]，将多项式函数的系数上传至服务器；当客户端访问真实索引i对应的数据项时，将真实索引i盲化成伪索引γ_i发送给服务器；服务器收到访问请求后，计算出f(γ_i)并将结果返回给客户端；客户端收到f(γ_i)后在本地恢复成C[i]，使用伪随机函数F解密得到真实索引i对应的数据项；

包括：

步骤1：客户端初始化，客户端拥有大小为l的数据集D＝{d₀,d₁,…,d_l-1}，在本地对每个数据项d_i加密，i＝0,1,…,1，生成加密后的数据集C并对其插值生成多项式函数f(x)，然后计算f(x)的最大值，最后将多项式函数f(x)的系数上传给服务器；

步骤2：客户端盲化真实索引，客户端对访问数据项d_i的真实索引i进行盲化，将盲化得到的伪索引γ_i发送给服务器；

步骤3：服务器响应客户端请求，服务器根据多项式函数的系数重新生成多项式，然后响应客户端的访问请求，返回伪索引γ_i对应的值；

步骤4：客户端恢复目标数据，客户端收到伪索引γ_i对应的值后，处理得到真实索引i对应的值，然后在本地使用伪随机函数F解密，得到解密后的数据项d_i；

所述步骤1包括：

步骤1.1：客户端定义加解密数据所需要的伪随机函数F和密钥k_F，所述伪随机函数定义为F:{0,1}^k×{0,1}^*→{0,1}^k，所述密钥定义为k_F∈{0,1}^k，其中{0,1}^k表示k长度0和1组成的比特串；{0,1}^*表示任意长度的0和1组成的比特串；

步骤1.2：利用公式(1)对每个数据项d_i加密，生成加密后的数据集C＝C0,C1,…,Ci,…,Cl-1，

式中，Ci表示真实索引i代表的数据项加密后的值，表示伪随机函数F对于输入真实索引i输出的k长度0和1组成的比特串，/>表示异或运算；

步骤1.3：使用每组数据(i,C[i])插值生成一个多项式函数f(x)，即生成的多项式函数f(x)满足f(i)＝C[i]，i＝0,1,…,1；

步骤1.4：计算多项式函数f(x)的最大值MAX，即MAX＝max(C[0],…,C[l-1])，并将多项式函数的系数发送给服务器；

所述步骤2具体表示为：客户端选取随机整数q＞MAX，计算伪索引γ_i＝i+q，并将γ_i发送给服务器。

2.根据权利要求1所述的一种面向静态数据的高效茫然读取方法，其特征在于，所述步骤1.3中多项式函数f(x)表示为：

f(x)＝a_l-1x^l-1+a_l-2x^l-2+…+a₁x+a₀ (2)

式中，a₀,a₁,…,a_l-1表示多项式函数的系数。

3.根据权利要求1所述的一种面向静态数据的高效茫然读取方法，其特征在于，所述步骤3具体表示为：服务器根据接收到的多项式函数的系数重新生成多项式函数f(x)，根据接收到的伪索引γ_i计算伪索引在多项式函数f(x)中的值v_i，即v_i＝f(γ_i)，然后将v_i返回给客户端。

4.根据权利要求1所述的一种面向静态数据的高效茫然读取方法，其特征在于，所述步骤4包括：

步骤4.1：客户端接收到v_i后，计算v_imodq得到C[i]，mod表示取模运算；

步骤4.2：计算得到解密后的数据项d_i。