[发明专利]一种区块链数据保护系统

说明书

本发明涉及区块链安全领域，提供了一种区块链数据保护系统，目的是在区块链传统数据保护的基础上，同时对数据的处理过程进行保护，包括交易内容处理、智能合约执行过程等情形，营造一个安全机密的通信环境。其主要方案包括密钥处理模块：初始化节点之间的公私钥对，生成机密执行模块和存储数据加密模块之间通信的对称密钥；交易传输模块：传输交易，在客户端与工作节点通信过程中，为保密的交易内容额外提供保护；机密执行模块：将加密交易放入安全隔离的环境内解析，并在智能合约的执行阶段，对全过程进行隔离保护，同时对返回客户端的执行结果加密处理；存储数据加密模块：对上链的保密数据提供保护。

技术领域

本发明是属于区块链安全领域，当参与方需要对交易内容以及智能合约秘密执行时，根据该方法提供保密通信和安全执行环境。该方法通过利用经典的密码学算法以及硬件安全，保护了信息的机密性和完整性。对链上数据进行安全保护可丰富区块链的应用场景。

背景技术

区块链作为目前最火热的技术之一，正在金融服务方面获得技术采用，它的透明性、可追溯性、不可篡改性和可验证性在多方业务协作方面也很有价值，如供应链管理。但在生产实际中，人们对于某些交易只希望授权节点访问，对非授权节点保密。目前许多人都投身于研究如何安全有效的保护链上数据。但难点在于一个交易的全流程安全保护非常困难，从交易的发起开始，一直到交易结束数据上链，其中包含有许多的过程，都存在安全风险。目前，国内外针对于区块链上安全保护的研究主要包括基于密码学算法的安全技术和基于可信执行环境的安全技术。

区块链上基于密码学算法的安全技术是对数据本身进行安全保护，比如交易内容、合约的部分代码、以及上链的属性内容，安全保护的手段主要是利用对称密码体制、非对称密码体制以及单向哈希算法。

对称密码体制在加密过程中使用相同的密钥，常见的对称加密算法有3-DES、AES、RC4等，其加密速度很快，常用于对大量数据进行加密，在区块链中，一般用于消息的原始数据进行加密。对称密码体制的关键问题在于加解密都使用的是同一密钥，如何安全可靠的将这一密钥传输到消息的接收方是一个难题。

非对称密码体制在加密过程中使用不同的密钥，常见的非对称加密算法有RSA、ECC、Elgamal等，其加密速度相对于对称密码体制来说要慢很多，但在相同密钥长度下它的安全性更高、并且适应场景与对称密码体制互补。非对称密码体制通常是在本地生成公钥和私钥，私钥本地保存，公钥向外界公开作为身份的一种识别方式。外界通过公钥加密传输，接收到后用本地保存的私钥解密，向外界加密传输时则使用私钥加密，外界即可通过公钥解密，这种用法也叫做数字签名，因为只有身份的拥有者才持有相应的私钥。一般和对称密码体制结合使用，通过私钥加密对称密钥进行传输，就能安全达成对称密码体制的密钥协商。非对称密码体制使用场景具有数据量小、安全性要求高、需要身份识别的特点。

单向哈希算法是把任意长度的输入消息串变化成固定长度的输出串，并且这一过程是单向的，即利用输出串无法还原到输入串，常见的单向哈希算法有MD系列、SHA系列。一般用于产生消息摘要，配合对称密码体制和非对称密码体制，保护消息的完整性。

区块链上基于可信执行环境的安全技术是对代码执行环境和数据访问环境进行安全保护，比如代码执行时候其他应用不能查看到代码执行的变量变化、以及对密文解密后明文访问时不被窥探，可信执行环境主要是利用Intel提供的SGX。

Intel推出SGX(software guard extensions)指令集拓展，旨在以硬件安全为强制性保障，不依赖固件和软件的安全状态，提供用户空间的可信执行环境，通过一组新的指令集扩展与访问控制机制，实现不同程序间的隔离运行，保障用户关键代码和数据的机密性与完整性不受恶意软件破坏。不同于其他安全技术，SGX的可信计算基仅包括硬件，避免了基于软件的可信计算基自身存在软件安全漏洞与威胁的缺陷，并且SGX可保障运行时的可信执行环境，恶意代码无法访问与篡改其他程序运行时的保护内容，进一步增强了系统的安全性。

发明内容