[发明专利]一种基于SGX的区块链交易安全保护系统及其方法

权利要求书

1.一种基于SGX的区块链交易安全保护系统，其特征在于包括：

区块链客户端，获取用户指定的地址，根据需求构造交易请求，并将交易请求通过可信加密渠道发送给区块链全节点；通过可信加密渠道接收区块链全节点的返回结果；

区块链全节点，包括位于安全区内的SGX加密模块、安全存取模块、交易验证模块、交易构造模块和位于安全区外系统磁盘上的本地安全存储；

所述SGX加密模块，提供验证信息和SGX访问密钥；

所述安全存取模块，将区块链上交易数据读取后整理归类，在本地安全存储中加密存储区块链上的交易数据；

所述交易验证模块，对区块链客户端的交易验证请求执行操作，通过SGX访问密钥进入安全区内调用交易获取函数，在安全区内打包交易数据并且返回到安全区外，最终发回区块链客户端；

所述交易构造模块，对区块链客户端发来的构造交易请求执行操作，通过所述SGX访问密钥进入安全区内调用交易构造函数，在安全区填充交易信息并返回到安全区外，最终向区块链网络广播该交易并向区块链客户端发回成功信息。

2.根据权利要求1所述的基于SGX的区块链交易安全保护系统，其特征在于所述的区块链客户端包括：

所述钱包应用模块，保存用户的交易地址，并向用户展示当前各个交易地址的货币持有情况和交易结果信息；

请求构造模块，构建满足用户需求和安全性要求的请求包，通过可信加密渠道发送给区块链全节点；通过可信加密渠道接收来区块链全节点的响应包，解包获取请求的交易地址或交易结果信息，返回给钱包应用模块。

3.一种基于SGX的区块链交易安全保护方法，其特征在于：

1)区块链客户端获取用户指定的地址，根据需求构造用户请求，并将请求通过可信加密渠道以请求包形式发送给区块链全节点；

2)区块链全节点接收通过可信加密渠道发来的用户请求，根据请求类型由交易验证模块或交易构造模块进行处理；

交易验证模块对区块链客户端的交易验证请求执行操作，通过SGX访问密钥进入安全区内调用交易获取函数，根据请求包内地址列表，通过安全存取模块从本地安全存储中读取交易数据，在安全区内打包交易数据为响应包并最终发回区块链客户端；

交易构造模块对区块链客户端发来的构造交易请求执行操作，通过所述SGX访问密钥进入安全区内调用交易构造函数，根据请求包内地址列表，通过安全存取模块从本地安全存储中读取交易数据，检查交易历史是否满足此次请求，当不满足时向区块链客户端返回包含失败信息的响应包；当满足时，根据用户请求构造交易，最终向区块链网络广播该交易并向区块链客户端发回包含成功信息的响应包。

4.根据权利要求3所述的区块链交易安全保护方法，其特征在于所述的请求包大小为固定阈值，根据请求信息所占的空间与设定的阈值相比，若空间仍有剩余则填充剩余空间，若空间不足则将多出部分重新打包进新的请求包，并且标记上一个请求包不为最后一个请求包，若空间仍不足，则重复此操作直至地址信息全部被打包进请求包。

5.根据权利要求3所述的区块链交易安全保护方法，其特征在于，所述的区块链客户端随机生成额外的请求包并在随机时间点向区块链全节点进行发送。

6.根据权利要求3所述的区块链交易安全保护方法，其特征在于，所述的区块链客户端在初次运行时，与区块链全节点上的安全区通过建立可信加密渠道；在每次运行时对该渠道进行测试通信。

7.根据权利要求3所述的区块链交易安全保护方法，其特征在于，所述的区块链全节点在处理交易验证请求包前还包括如下步骤：

a)初始化安全区

系统在启动后，为安全区分配内存空间，上载程序运行所需代码和数据，生成验证信息和访问密钥，通过SGX提供的远程认证服务与区块链客户端建立可信通信渠道；

b)初始化交易数据

区块链全节点与区块链网络同步，下载整条区块链数据；当同步完成后，区块链全节点将扫描整条区块链数据，通过安全区内的安全存取模块在本地安全存储空间上存储数据。