[发明专利]一种基于区块链一体机的隐私保护方法及系统

权利要求书

1.一种基于区块链一体机的隐私保护方法，其特征在于，具体包括：

用户节点向区块链一体机发起节点加入申请，申请信息包括加密后的节点地址、身份信息、身份证书、账户权限和隐私保护等级；

通过集成于区块链一体机中的智能合约芯片建立用户节点可信通道，将所述申请信息通过可信通道传输至区块链一体机中的SGX可信执行环境，SGX可信执行环境内包括Enclave安全区域和非Enclave安全区域；

所述建立用户节点可信通道的过程包括：用户节点通过智能合约向SGX可信执行环境发起质询，SGX可信执行环境将所述质询发送给内部的Enclave安全区域，Enclave安全区域生成一个包含对质询的回应及Enclave临时公钥的清单，将清单经过摘要运算生成哈希摘要，将所述哈希摘要通过智能合约发送给用户节点，用户节点验证所述哈希摘要，验证通过后建立与SGX可信执行环境中的Enclave安全区域的可信通道，并将节点公钥通过可信通道传输给SGX可信执行环境；

在可信执行环境内对申请信息进行解密并验证，所述验证包括对节点地址、身份信息、身份证书、账户权限及隐私保护等级的验证；

所述解密过程包括在SGX可信执行环境中的非Enclave安全区域内进行，用节点公钥对申请信息进行解密；所述验证过程包括在SGX可信执行环境的Enclave安全区域内，对解密后的节点地址、身份信息、身份证书、账户权限及隐私保护等级进行验证，验证节点地址、身份信息是否正确，身份证书是否合规合法，调用证书授权列表，查看身份证书是否在证书授权列表内，并验证账户权限与隐私保护等级是否与身份信息相匹配，验证通过后将身份信息进行摘要运算后加入身份信息列表中；

SGX可信执行环境的Enclave安全区域与非Enclave安全区域通过SGX指令设置的安全参数传递机制进行交互；所述参数传递机制包括从Enclave安全区域外部将解密后的申请信息通过Ecall指令传递到Enclave安全区域内部，以及从Enclave安全区域内部将验证结果信息通过Ocall指令传递到Enclave安全区域外部；

验证通过后，在可信执行环境内对申请信息进行分割，分割为隐私信息与非隐私信息，将隐私信息打包为零知识信息，所述隐私信息包括所述隐私保护等级对应的信息；

根据账户权限与隐私保护等级为用户节点分配权限；

将用户节点加入到区块链网络中，并向全网进行广播。

2.根据权利要求1所述的基于区块链一体机的隐私保护方法，其特征在于，验证通过后，所述在可信执行环境内对申请信息进行分割，具体包括在SGX可信执行环境的Enclave安全区域内按照隐私保护等级对申请信息进行分割，分割为隐私信息与非隐私信息；将隐私信息打包为零知识信息，具体包括将所述隐私信息进行哈希运算Hash(pi,id,addr,sk,rn,sn)形成零知识信息，其中pi为隐私信息，id为账户信息，addr为节点地址，sk为节点私钥，rn为随机数，sn为序列号，rn和sn由在SGX可信执行环境中的随机模块和序列模块分别产生，哈希运算过程在SGX可信执行环境的Enclave安全区域中进行。

3.根据权利要求1所述的基于区块链一体机的隐私保护方法，其特征在于，所述根据账户权限与隐私保护等级为用户节点分配权限，所述权限包括交易权限、数据读写权限、存储权限、模型/函数/指令调用权限、通信权限、密钥权限与加解密算法调用权限。

4.根据权利要求1所述的基于区块链一体机的隐私保护方法，其特征在于，将用户节点加入到区块链网络中，并向全网进行广播之前，包括在SGX可信执行环境的Enclave安全区域中通过EGETKEY指令使用密钥分发算法生成加密密钥，对所述零知识信息进行加密，加密后与非隐私信息、验证结果信息一同打包成节点加入信息发布于区块链网络；网络中的其他用户节点确认所述验证结果信息，验证结果为通过时将所述节点加入信息添加至各自维护的节点信息列表中。