[发明专利]一种基于区块链的可信计算芯片

权利要求书

1.一种基于区块链的可信计算芯片，其特征在于，包括enclave保护模块、智能合约执行装置和加密模块，所述enclave保护模块用于构建芯片上的可信计算环境并保护芯片上的所有数据状态和执行动作；

智能合约执行装置包括合约原语的解码转化单元和指令执行单元；

所述解码转化单元接受外部输入的二进制码，利用解码装置将所述二进制码反解析出合约原语序列，并根据所述解码装置中预嵌入的原语含义功能，将反解析出的原语序列转换生成所述指令执行单元所需要的指令代码；

所述加密模块包括加密协处理器，所述指令执行单元的处理结果交由所述加密协处理器对计算结果进行签名加密。

2.根据权利要求1所述的可信计算芯片，其特征在于，所述指令执行单元包括寄存器堆和执行组件，所述执行组件与所述寄存器堆和外置的内存连接。

3.根据权利要求2所述的可信计算芯片，其特征在于，所述执行组件包括指令读取单元、指令解码单元、算术逻辑运算单元、内存读写单元和寄存器读写单元；其中，

所述指令读取单元从合约原语的解码转化单元中接受输出的指令代码作为需要执行的底层指令，

所述指令解码单元根据指令的结构码解析出指令的类别，

所述算术逻辑运算单元根据输入的指令代码进行运算，通过操作至少一个寄存器进行整形算术逻辑运算，

所述内存读写单元操作所述内存，读取或修改所述内存中的数据，

所述寄存器读写单元操作所述寄存器堆，读取或修改寄存器堆中各寄存器的数据。

4.根据权利要求2或3所述的可信计算芯片，其特征在于，所述寄存器堆包括PC指令计数器，所述PC指令计数器引导读取指令的索引或者被跳转指令修改设置。

5.根据权利要求4所述的可信计算芯片，其特征在于，所述寄存器堆还包括控制和状态寄存器以及计算预留寄存器。

6.根据权利要求1-5任一项所述的可信计算芯片，其特征在于，所述加密协处理器提供非对称加密方法，根据其内部写入的硬件密钥的唯一身份标识对执行结果进行非对称加密，生成签名并输出。

7.根据权利要求6所述的可信计算芯片，其特征在于，所述密钥在制造过程中被随机写入所述可信计算芯片上，以用于所述可信计算芯片的身份标识，所述密钥包括不可访问的私钥和可被读取以用于服务端验证的公钥。

8.根据权利要求7所述的可信计算芯片，其特征在于，所述可信计算芯片分成可信区域和不可信区域；

当所述可信计算芯片在执行多用户智能合约时，芯片在机器模式下为多个智能合约执行程序配置各自的软硬件资源，可信区域中的多个智能合约执行程序之间相互隔离；

当存在多用户可信智能合约时，运行在所述可信计算芯片上的多个智能合约执行程序中的一个应用程序访问其他可信智能合约程序的受保护资源时，需要提供相应的私钥或者私钥签名后的访问指令，由安全监视器进行验证和仲裁以确定其对其他可信应用程序及资源的访问权限。

9.根据权利要求8所述的可信计算芯片，其特征在于，所述可信计算芯片在执行智能合约时，每个可信智能合约执行程序使用安全监视器分配的软硬件资源，将应用程序代码放置在可信区域，访问受保护的物理内存、调用安全监视器分配的处理器内核资源，并将智能合约的执行结果写入受保护的物理内存中，由安全监管者负责智能合约执行结果的后续处理。

10.根据权利要求8或9所述的可信计算芯片，其特征在于，所述可信计算芯片的保护机制包括物理内存保护，通过设置可信区域和不可信区域，通过直接物理地址保护芯片物理内存或者通过虚拟内存系统保护物理内存；或者

所述可信计算芯片的保护机制包括处理器内核保护、软硬件资源保护以及信任基保护，机器模式下配置每个用户程序可以访问的处理器内核资源、软硬件资源和信任基，当发生异常时，控制权移交给机器模式进行访问权限的鉴定和授权。