[发明专利]一种基于可信硬件的区块链系统和数据存储方法

权利要求书

1.一种基于可信硬件的区块链系统，其特征在于，包括：

客户端系统，所述客户端系统和所述节点服务器通信连接，用于获取用户需求，对所述用户需求中的数据进行可信计算，并将数据基本信息上传到区块链网络；

基于可信硬件的节点服务器，所述节点服务器连接至可信硬件，用于对用户信息以及需上链的数据信息进行可信存储，以及所述节点服务器与所述区块链网络达成共识；

区块链网络，所述区块链网络包括多个区块链节点。

2.根据权利要求1所述的系统，其特征在于，在所述客户端系统和所述节点服务器之间进行数据交互，其中，所述客户端系统进程在用户需要上链时调用安全服务，通过可信执行环境通信代理进入到所述节点服务器；在所述节点服务器中创建安全服务进程，并通过调度所述可信硬件中的进程执行安全服务；在所述安全服务完成后返回所述客户端系统进行所述可信计算。

3.根据权利要求1所述的系统，其特征在于，在所述客户端系统和所述节点服务器的数据交互过程中使用隐藏频率保序加密算法。

4.根据权利要求3所述的系统，其特征在于，在所述客户端系统和所述节点服务器的数据交互过程中使用密文索引方法将密文的顺序关系以密码学的方法转换到数据结构之中，使得处于目标区间内的数据都可以通过索引快读地定位和读取。

5.根据权利要求4所述的系统，其特征在于，所述密文索引方法使用平衡二叉搜索树法。

6.根据权利要求1所述的系统，其特征在于，所述节点服务器，包括：

可信应用层，部署有用于与非可信执行环境或非可信应用进行交互的可信应用，所述可信应用根据调用不同的API接口实现不同的功能；

拓展功能层，部署有扩展功能模块，所述拓展功能模块用于给不同的可信应用提供不同功能的API接口；

基础内核层，用于为指定的扩展功能模块提供基础系统功能。

7.根据权利要求6所述的系统，其特征在于，所述可信应用层部署有认证服务器和文件管理器；其中，

所述认证服务器，用于当收到非可信执行环境下的所述客户端系统发起的可信执行环境的访问请求时，验证所述客户端系统的身份；

所述文件管理器，用于在所述可信执行环境下，利用加密函数进行可信存储。

8.根据权利要求6所述的系统，其特征在于，所述节点服务器还用于：

在所述节点服务器的所述扩展功能层中对敏感数据进行加密，并将加密封装后的文件存储在所述文件管理器中；

其中，利用存储密钥sk（storage key）实现加密函数，利用HMACk（m）和ENCK（m）来保证敏感数据的安全性和完整性，其中HMACk（m）表示使用密钥K对敏感数据m计算消息验证码；ENCK（m）表示使用密钥k对敏感数据m进行加密，根据k的类型采取相应的对称与非对称加密。

9.根据权利要求1所述的系统，其特征在于，所述系统还包括：

使用TCM芯片作为所述可信硬件，为所述节点服务器提供基础的安全服务。

10.一种基于可信硬件的数据存储方法，其特征在于，包括：使用如权利要求1-9中任一项所述的区块链系统实现数据存储。