本發明公開了一種基于SGX的區塊鏈交易安全保護系統及其方法。該系統包括用戶側基于區塊鏈錢包應用的輕量型客戶端系統和區塊鏈上基于全節點的服務端系統。輕量型客戶端與全節點服務端建立可信加密渠道，輕量型客戶端通過該可信加密渠道向全節點發送加密的用戶請求，包括交易驗證、交易構造等。全節點在SGX安全區內解密并處理用戶請求，通過茫然隨機訪問來進行交易數據的本地存取，從而滿足請求處理需求。本發明的方法為區塊鏈輕量型客戶端的交易驗證和發起交易過程提供了隱私安全保護，有效防止用戶隱私被攻擊者竊取。

技術領域

本發明涉及信息技術安全領域，特別涉及一種基于SGX的區塊鏈交易安全保護系統及其方法。

背景技術

目前，中心化的網絡服務系統提供了便捷的交易、支付、溝通渠道，但在用戶使用服務的過程中，服務的提供者和網絡的提供者都能收集用戶的使用記錄和痕跡，使得用戶的隱私安全容易受到威脅。隨著比特幣的興起和應用，作為比特幣底層架構的區塊鏈技術提供了去中心化的交易方式，近年來引起廣泛關注。

區塊鏈本質是一個去中心化的分布式賬本，具有數據不可篡改、系統集體維護、交易公開透明等優勢。然而，區塊鏈系統的設計要求每個區塊鏈網絡的參與者必須維護整個區塊鏈數據，這就使得智能手機等移動設備難以直接接入區塊鏈網絡。為此，比特幣提供了SPV(Simple Payment Verification)模式，允許用戶運行輕量型客戶端，只需要保存區塊鏈的極少部分信息，在全節點的幫助下完成交易的驗證。這雖然可以使移動端用戶使用區塊鏈服務，但是也讓系統在全節點處產生了中心化，具有和傳統的中心化服務同樣的隱私威脅性。為了改善這種情況，比特幣在后續的改進方案中提出了Bloom過濾器，但現有的研究證明其存在較高的被攻擊的風險。因此，區塊鏈的交易隱私安全亟需進一步的安全保護。

英特爾公司于2013年提出了SGX(Software Guard Extensions)安全保護機制，它是一套基于硬件的擴展指令和安全保護機制，允許應用程序在設計時分割可信部分和不可信部分，為可信部分的代碼和數據創建可信的加密內存區域，從而保證運行過程中代碼的完整性和數據的一致性，這個加密的內存區域被稱為安全區(enclave)。安全區中的數據只能被安全區中的代碼訪問，并且任何同一平臺上的惡意軟件、特權軟件甚至是操作系統本身都無法對安全區進行訪問，從而確保安全區內部的數據不會被泄露或者惡意篡改。

ORAM(Oblivious Random Access Machine，茫然隨機訪問機)是一種隱藏IO操作的數據訪問模式的加密方案，通過一次性讀入多個數據來隱藏真正想要獲得的數據內容，即使兩次請求訪問了相同的內容，兩次請求讀入的數據也不相一致。這使得第三方無法通過數據訪問模式來推斷出用戶隱私。

發明內容

針對現有技術的不足，本發明提供一種基于SGX的區塊鏈交易安全保護系統及其方法。通過引入SGX的硬件保護機制，構建受保護的區塊鏈安全交易環境。同時，本系統不需要特定區塊鏈架構等條件，只需要提供SGX支持的運行環境，即可與其他安全防護措施同時使用，保護區塊鏈的交易安全。

本發明提供如下所述的解決方案：

一種基于SGX的區塊鏈交易安全保護系統，包括：

區塊鏈客戶端，獲取用戶指定的地址，根據需求構造交易請求，并將交易請求通過可信加密渠道發送給區塊鏈全節點；通過可信加密渠道接收區塊鏈全節點的返回結果；

區塊鏈全節點，包括位于安全區內的SGX加密模塊、安全存取模塊、交易驗證模塊、交易構造模塊和位于系統磁盤上的本地安全存儲；

所述SGX加密模塊，提供驗證信息和SGX訪問密鑰；

所述安全存取模塊，將區塊鏈上交易數據讀取后整理歸類，在本地安全存儲中加密存儲區塊鏈上的交易數據；