[发明专利]一种基于SGX技术的联盟区块链秘钥存储方法、装置、设备及介质

说明书

本发明公开一种基于SGX技术的联盟区块链秘钥存储方法、装置、设备及介质，其中，该方法包括：生成秘钥并对秘钥进行加密；通过可信通道将生成的秘钥以及密码口令导入到Enclave(SGX安全区)所在的服务器端；导入成功后，将对相应的秘钥文件和相应的密码口令都删除，不保存关于秘钥的任何信息，只存储通过Enclave封装后的数据；区块链平台在使用私钥时，需要先进行身份认证，身份认证通过后，要在Enclave可信环境中对封装的数据进行解密。在一个区块链网络上，Intel SGX能够保证攻击者已经获得对操作系统控制的情况下也能保证代码和数据安全。采用SGX技术进行秘钥存储，能够解决证书秘钥存放的问题。

技术领域

本发明涉及联盟区块链的秘钥存储领域，尤其涉及一种基于SGX技术的联盟区块链秘钥存储方法、装置、设备及介质。

背景技术

区块链技术，区块链是一种新型去中心化协议，能安全地存储数字货币交易或其他数据，信息不可伪造和篡改，区块链上的交易确认由区块链上的所有节点共同完成，由共识算法保证其一致性，区块链上维护一个公共的账本，公共账本位于存储区块上任何节点可见，从而保证其不可伪造和篡改。

SGX技术，Intel Software Guard Extensions是英特尔指令架构的扩展，用于增强软件的安全。概括的来说，就是Intel CPU提供的一套TEE机制，通过将合法软件封装在Enclave(安全区)中，以实现对软件进行保护的目的。

传统联盟区块链证书的私钥都存放在本地，例如Hyperleger Fabric的证书机制，不同证书对应的私钥都保存在本地相应证书的文件夹内，如果私钥泄露或被他人盗取，则可以生成相应的伪证书，会带来不必要的麻烦。如何将证书的私钥存储在一个足够安全的环境下来更好的应用实际生产也是一项严峻的挑战。

发明内容

鉴于此，本发明实施例提出一种基于SGX技术的联盟区块链秘钥存储方法、装置、设备及介质，解决了秘钥文件存放在不安全的地方可能会被恶意盗取的问题，从而能够保证证书的私钥在安全环境下进行存储。

第一方面，本发明实施例提供一种基于SGX技术的联盟区块链秘钥存储方法，该方法包括：

S1.生成秘钥：将使用证书生成工具生成的秘钥或在第三方获取的秘钥，采用对称加密的方式将秘钥进行加密；

S2.传输至Enclave并封装秘钥：在运行区块链平台之前，需要通过可信通道将生成的秘钥以及密码口令导入到Enclave所在的服务器端；

S3.清除秘钥文件并存储封装后的文件：导入成功后，区块链平台对相应的秘钥文件和相应的密码口令都会删除，不会保存关于秘钥的任何信息，平台只存储通过Enclave封装后的数据；

S4.使用秘钥：区块链平台在使用私钥时，需要先进行身份认证，身份认证通过后，平台要在Enclave可信环境中对封装的数据进行解密，使用秘钥的过程都在Enclave可信环境中进行，秘钥不会再被暴露。

进一步的，所述步骤S1中，所述秘钥优选私钥。

进一步的，所述步骤S1中，采用AES对秘钥进行加密。

进一步的，所述步骤S1中，加密中用的密码包括数字、字母、特殊符号。

进一步的，所述步骤S2中，使用可信通道TNC将秘钥传输到Enclave中，使用Enclave对传输的秘钥进行解密后再进行秘钥数据密封。

进一步的，所述步骤S2中，对秘钥封装的步骤包括：

Enclave中的代码使用EGETKEY指令获取封装秘钥seal key，该seal key是结合Enclave的身份、签名信息导出的，采用对称加密对秘钥进行加密，通过seal key的公钥对加密后的私钥进行密封，然后存储到硬盘上，封装后得到返回值，然后将返回值存储到平台上。