[发明专利]一种基于SGX的区块链交易安全保护系统及其方法

说明书

本发明公开了一种基于SGX的区块链交易安全保护系统及其方法。该系统包括用户侧基于区块链钱包应用的轻量型客户端系统和区块链上基于全节点的服务端系统。轻量型客户端与全节点服务端建立可信加密渠道，轻量型客户端通过该可信加密渠道向全节点发送加密的用户请求，包括交易验证、交易构造等。全节点在SGX安全区内解密并处理用户请求，通过茫然随机访问来进行交易数据的本地存取，从而满足请求处理需求。本发明的方法为区块链轻量型客户端的交易验证和发起交易过程提供了隐私安全保护，有效防止用户隐私被攻击者窃取。

技术领域

本发明涉及信息技术安全领域，特别涉及一种基于SGX的区块链交易安全保护系统及其方法。

背景技术

目前，中心化的网络服务系统提供了便捷的交易、支付、沟通渠道，但在用户使用服务的过程中，服务的提供者和网络的提供者都能收集用户的使用记录和痕迹，使得用户的隐私安全容易受到威胁。随着比特币的兴起和应用，作为比特币底层架构的区块链技术提供了去中心化的交易方式，近年来引起广泛关注。

区块链本质是一个去中心化的分布式账本，具有数据不可篡改、系统集体维护、交易公开透明等优势。然而，区块链系统的设计要求每个区块链网络的参与者必须维护整个区块链数据，这就使得智能手机等移动设备难以直接接入区块链网络。为此，比特币提供了SPV(Simple Payment Verification)模式，允许用户运行轻量型客户端，只需要保存区块链的极少部分信息，在全节点的帮助下完成交易的验证。这虽然可以使移动端用户使用区块链服务，但是也让系统在全节点处产生了中心化，具有和传统的中心化服务同样的隐私威胁性。为了改善这种情况，比特币在后续的改进方案中提出了Bloom过滤器，但现有的研究证明其存在较高的被攻击的风险。因此，区块链的交易隐私安全亟需进一步的安全保护。

英特尔公司于2013年提出了SGX(Software Guard Extensions)安全保护机制，它是一套基于硬件的扩展指令和安全保护机制，允许应用程序在设计时分割可信部分和不可信部分，为可信部分的代码和数据创建可信的加密内存区域，从而保证运行过程中代码的完整性和数据的一致性，这个加密的内存区域被称为安全区(enclave)。安全区中的数据只能被安全区中的代码访问，并且任何同一平台上的恶意软件、特权软件甚至是操作系统本身都无法对安全区进行访问，从而确保安全区内部的数据不会被泄露或者恶意篡改。

ORAM(Oblivious Random Access Machine，茫然随机访问机)是一种隐藏IO操作的数据访问模式的加密方案，通过一次性读入多个数据来隐藏真正想要获得的数据内容，即使两次请求访问了相同的内容，两次请求读入的数据也不相一致。这使得第三方无法通过数据访问模式来推断出用户隐私。

发明内容

针对现有技术的不足，本发明提供一种基于SGX的区块链交易安全保护系统及其方法。通过引入SGX的硬件保护机制，构建受保护的区块链安全交易环境。同时，本系统不需要特定区块链架构等条件，只需要提供SGX支持的运行环境，即可与其他安全防护措施同时使用，保护区块链的交易安全。

本发明提供如下所述的解决方案：

一种基于SGX的区块链交易安全保护系统，包括：

区块链客户端，获取用户指定的地址，根据需求构造交易请求，并将交易请求通过可信加密渠道发送给区块链全节点；通过可信加密渠道接收区块链全节点的返回结果；

区块链全节点，包括位于安全区内的SGX加密模块、安全存取模块、交易验证模块、交易构造模块和位于系统磁盘上的本地安全存储；

所述SGX加密模块，提供验证信息和SGX访问密钥；

所述安全存取模块，将区块链上交易数据读取后整理归类，在本地安全存储中加密存储区块链上的交易数据；