[发明专利]一种针对区块链轻客户端的基于SGX的可验证范围查询方法

权利要求书

1.一种针对区块链轻节点的基于Intel SGX的可验证的范围查询方法，其特征在于，包括：在全节点上采用Intel SGX可信硬件为区块链轻节点提供可信查询服务；通过整合基于ADS的MB-tree与基于可信硬件的Intel SGX，在有限的SGX Enclave内存空间内实现可信的范围查询与验证；具体地，所述针对区块链轻节点的基于Intel SGX的可验证的范围查询方法包括以下步骤：

步骤1：在全节点上基于Enclave构建MB-tree索引，包括以下子步骤：

步骤1-1：轻节点验证全节点上Enclave的合法性，依据Enclave返回的远程证明与全节点Enclave建立安全通道；

步骤1-2：轻节点将已验证的MB-tree根结点经安全通道上传至Enclave；

步骤1-3：Enclave中的MB-tree维护线程接收到全节点转发的最新区块，对其中的交易数据进行提取并依照区块链系统的验证规则验证无误后更新MB-tree索引项；

步骤2：在全节点上基于MB-tree在Enclave中执行查询处理及构建VO，包括以下子步骤：

步骤2-1：轻节点与全节点中的Enclave建立加密通道，并将范围查询条件发送至Enclave；

步骤2-2：在MB-tree中依据范围下界执行点查询，并在查找过程中记录可验证下界结果的VO；

步骤2-3：在MB-tree中依据范围上界执行点查询，并在查找过程中记录可验证上界结果的VO；

步骤2-4：在MB-tree中依据范围下界和上界执行范围查询，并在查找过程中记录可验证结果集的VO及位于查询范围内的结果集；

步骤3：在全节点上基于MB-tree在Enclave中依据VO执行查询验证，包括以下子步骤：

步骤3-1：基于步骤2-2中构建的VO验证下界结果的正确性；

步骤3-2：基于步骤2-3中构建的VO验证上界结果的正确性；

步骤3-3：基于步骤2-4中构建的VO验证查询结果集的正确性及查询范围的完整性；

步骤3-4：将验证后的查询结果集经加密通道传回至轻节点。

2.如权利要求1所述的针对区块链轻节点的基于Intel SGX的可验证的范围查询方法，其特征在于，所述步骤2-2包括如下步骤：

步骤2-2-1：依据查询范围下界，Enclave中的查询线程由MB-tree根节点开始自顶向下查询直至找到包含下界边界索引项的叶子节点，并记录查找路径上所有结点的索引项digest值作为VO；

步骤2-2-2：记录下界值左面第一个索引项的key作为下界边界索引项，用于范围下界的完整性验证。

3.如权利要求1所述的针对区块链轻节点的基于Intel SGX的可验证的范围查询方法，其特征在于，所述步骤2-3包括如下步骤：

步骤2-3-1：依据查询范围上界，Enclave中的查询线程由MB-tree根节点开始自顶向下查询直至找到包含上界边界索引项的叶子节点，并记录查找路径上所有结点的索引项digest值作为VO；

步骤2-3-2：记录上界值右面第一个索引项的key作为上界边界索引项，用于范围上界的完整性验证。

4.如权利要求1所述的针对区块链轻节点的基于Intel SGX的可验证的范围查询方法，其特征在于，所述步骤2-4包括如下步骤：

步骤2-4-1：依据下界和上界限定的查询范围，由MB-tree根节点开始自顶向下查询直至找到位于下界与上界之间的所有叶子结点，记录遍历过程中整棵查找子树的所有结点的索引项digest值作为VO；

步骤2-4-2：依序记录位于下界和上界范围内的所有叶子结点的value作为结果集。

5.如权利要求2所述的针对区块链轻节点的基于Intel SGX的可验证的范围查询方法，其特征在于，所述步骤3-1包括如下步骤：

步骤3-1-1：基于步骤2-2中构建的VO，自叶子结点开始自底向上直至根结点验证下界查询路径的正确性；如果路径上有结点位于Enclave中，则该路径的验证通过，并提前结束验证；

步骤3-1-2：验证步骤2-2-2中下界边界索引项的key小于下界且与下界邻接。