[发明专利]一种基于硬件加密保护的区块链数字签名系统及使用流程

说明书

本发明公开了一种基于硬件加密保护的区块链数字签名系统及使用流程，包含包括用户端、管理端、数字签名保护系统、硬件加密保护模块，用户端通过数字签名保护系统与硬件加密保护模块双向通讯连接，管理端是离线系统，通过数字签名保护系统与硬件加密保护模块双向通讯连接，用户端与外部区块链网络通信连接，硬件加密保护模块为HSM硬件加密机或采用Intel SGX技术的CPU，本系统用户私钥和签名规则均位于硬件加密保护模块中，用户私钥位于硬件加密保护模块中持续在线，可适应高频交易，并且私钥和签名规则储存时也是以加密形态存在，有效降低了系统被入侵、用户账号被劫持、数字货币被盗取、区块链交易被冒充等风险。

技术领域

本发明涉及区块链技术领域，具体为一种基于硬件加密保护的区块链数字签名系统及使用流程。

背景技术

区块链一般被理解为一个分布式的账本，它实质上也是一个分布式计算和存储系统，不同区块链节点通过一定的计算规则达成共识，并且将共识后的交易执行结果以区块的形式存储至数据库中，多个区块组成了区块链。

在区块链技术体系中，各节点之间进行通讯并达成信任，需要依赖数字签名技术，它主要实现了身份确认并确保了信息完整性。数字签名涉及到私钥、公钥和钱包等工具。数字签名有两个作用，一是证明消息确实是由信息发送方发出来的，二是确定消息的完整性。通过私钥、公钥的非对称加密机制，使用特定接收人的公钥进行发送内容加密，只有此接收人的私钥才能解密发送内容，从而实现对指定接收人的信息传送安全保障，另外通过在发送端和接收端对报文内容执行同样的Hash计算并比较Hash值，确保发送信息的完整性。由此可见私钥是区块链技术中最重要的部分，因为能够唯一代表用户的身份，所以私钥的保存和使用必须绝对安全，一旦泄露并被他人使用则意味着此区块链用户完全被窃取并替代。

目前对私钥的保存和管理主要采用冷钱包的方式，即离线保存，使用时再读取上线的方式，虽具有一定的安全性，但使用效率非常低，完全不适应需要进行高频操作的应用场景，而且离线保存意味着一旦丢失或遗忘则无法有效找回，此外企业如果采取离线方式保存私钥意味着需要人工进行私钥的管理和取用，难以防范内鬼对私钥的窃取。

使用私钥进行数字签名的操作过程必须绝对可控，由于目前数字签名的使用方式是通过程序调用在计算机操作系统中进行，所以存在数字签名操作或数字签名功能接口被攻击者控制的风险。最近已经多次发生企业或者交易所被黑客攻击或内鬼窃取造成私钥丢失，最终损失大量虚拟货币的安全事件，区块链生态体系内需要一种技术能够安全可控地进行私钥和数字签名的管理和使用。为此，提出一种基于硬件加密保护的区块链数字签名系统及使用流程。

发明内容

本发明的目的在于提供一种基于硬件加密保护的区块链数字签名系统及使用流程，以解决上述背景技术中提出的问题。

为了实现上述目的，本发明提供了如下技术方案：

一种基于硬件加密保护的区块链数字签名系统，所述系统包括用户端、管理端、数字签名保护系统、硬件加密保护模块，所述用户端通过数字签名保护系统与硬件加密保护模块双向通讯连接，所述管理端通过数字签名保护系统与硬件加密保护模块双向通讯连接，所述用户端与外部区块链网络通信连接，所述管理端为离线系统，只能在本地或局域网进行访问，从而保障本系统的安全性。

进一步的，所述硬件加密保护模块为HSM硬件加密机或采用Intel SGX技术的CPU，HSM硬件加密机是一种实体的计算设备，可以是单独的硬件设备也可以是以硬件板卡形式安装在用户的计算机上，Intel SGX是对英特尔CPU技术体系的一个扩展，用于增强数据处理的安全性。Intel SGX的处理方式并不是识别和隔离操作系统上的所有恶意软件，而是将合法软件的安全操作封装在一个范围中，保护其不受恶意软件的攻击。借助Intel处理器的SGX技术，通过CPU的硬件模式切换，系统进入可信模式执行，只使用必需的硬件构成一个完全隔离的特权安全模式。Intel SGX技术可以提供HSM硬件加密机类似的安全处理功能，但大大节约了安装和制造成本，从而提高了本发明技术方案的应用性。