随着云计算技术的日益成熟,拥有高扩展性、高可靠性等优势的云存储服务越来越受到欢迎。然而,模糊的虚拟化边界以及易于受到攻击的公共平台,使用户的数据的安全性难以得到保证。用户的数据经加密后存放于云服务器中,加密密钥经公钥加密后由半可信的服务器保管,用户自己保存用于解密加密密钥的私钥。在一些情况下如云外包计算环境中,用户如果在虚拟机上实施数字签名,就必须把自己的私钥迁移至虚拟机,但这就背离了私钥不能离开本地的基本原则。并且私钥在实施加解密时需要映射至内存中,极易受到攻击导致泄漏,本方案研究私有云中私钥数据的保护技术。Intel SGX技术是至今为止安全性最高的内存加密技术之一,其安全边界仅仅包含CPU和其自身。当用户私钥映射至SGX加密的内存中时,任何攻击者和包括高权限的未经授予访问权限的用户都无法访问受保护的代码和数据。然而现有的一些攻击技术可以绕过内存加密技术,通过一些侧信道泄露的信息,分析代码对数据的访问模式,推测并且窃取用户的关键数据。针对如何确保用户私钥安全迁移至云环境,在云环境中安全保存,在使用密码算法执行加解密时避免泄漏密钥的明文信息、代码在执行过程中对数据的访问模式,本文提出了一种基于SGX和ORAM混淆技术的用户私钥保护方案,主要工作如下:一、改进了用户私钥保护方案。利用SGX的内存加密以及平台内、远程认证等机制,在OBFUSCURO方案的基础上,对方案的整体结构进行了改进,提升了用户私钥从用户客户端迁移至云虚拟客户端,在云客户端中的安全存储,以及运行时映射至内存中等方面的安全性。二、改进了ORAM方案。在树状模型的基础上,通过增加少量的客户端存储,减少了每一次读取数据过程中从服务器端取回的数据量并且简化了数据桶刷新和缓存区驱逐操作,降低ORAM控制器和ORAM树之间的带宽,提升整体的运行效率。在SGX加密环境中,确保用户私钥在运行时的访问模式不会泄露。通过对方案整体安全性的分析,以及ORAM混淆方式的代码实现和测试,方案为用户私钥在云环境下提供一个可信执行环境,避免代码运行时访问模式的泄漏,并且提升了ORAM的性能。