[发明专利]一种区块链节点用户请求处理保护方法及装置

权利要求书

1.一种区块链用户请求处理装置，其特征在于，包括：

请求者合约，根据用户的请求发起交易，构造请求数据包并通过区块链网络发送给对接合约；从对接合约接收相应的请求处理结果；

对接合约，根据请求数据包的内容及附加信息生成请求数据包ID，并将请求数据包发送给与该对接合约对应的中继区；接收中继区返回的回应数据包并执行对应的行为；

中继区，对请求数据包进行验证，若验证通过，则通过访问密钥将用户的请求信息以及所需的数据和方法存入安全区；接收安全区返回的回应数据包并发送给对接合约；

安全区，使用内部私钥对访问密钥进行验证，若验证通过，则调用所述的数据和方法对用户的请求进行处理，将处理结果和验证结果打包成回应数据包发送给中继区；若验证失败，则将失败说明作为处理结果发送给中继区；所述的安全区包含标准时间模块和安全加密模块；所述的标准时间模块通过受信任的方式获取绝对时间，用于检验连接的时效性；所述的安全加密模块基于软件防护扩展指令SGX生成可信空间并对可信空间进行加密；可信空间用于存储需要被加密保护的数据和方法。

2.根据权利要求1所述的区块链用户请求处理装置，其特征在于，所述的请求者合约和对接合约位于区块链网络上；所述的中继区和安全区位于区块链节点的服务器上。

3.根据权利要求1所述的区块链用户请求处理装置，其特征在于，所述的区块链用户请求处理装置还包括数据源，为安全区提供处理请求所需的数据。

4.根据权利要求1所述的区块链用户请求处理装置，其特征在于，安全加密模块对可信空间进行非对称加密，生成由访问密钥和内部私钥组成的密钥对；访问密钥在生成后通过对接合约进行全网广播。

5.根据权利要求4所述的区块链用户请求处理装置，其特征在于，所述的访问密钥通过用户密钥、安全区内的存储信息以及SGX硬件处理器的物理验证信息共同决定产生。

6.一种区块链用户请求处理方法，其特征在于，包括以下步骤：

(1)请求者合约根据用户的请求发起交易并构造相应的请求数据包，通过区块链网络发送给对接合约；对接合约生成请求数据包ID，并将请求数据包发送给与该对接合约对应的中继区；

(2)中继区对请求数据包进行验证；若验证通过，则中继区启动软件防护扩展指令SGX创建安全区，并通过访问密钥将用户的请求信息以及所需的数据和方法存入安全区；

(3)安全区使用内部私钥对访问密钥进行验证；若验证通过，则调用所述的数据和方法对用户的请求进行处理，将处理结果和验证结果打包发送给中继区；若验证失败，则将失败说明作为处理结果发送给中继区；所述的安全区包含标准时间模块和安全加密模块；所述的标准时间模块通过受信任的方式获取绝对时间，用于检验连接的时效性；所述的安全加密模块基于软件防护扩展指令SGX生成可信空间并对可信空间进行加密；可信空间用于存储需要被加密保护的数据和方法；

(4)中继区将处理结果和验证验证结果打包成回应数据包并返回给对接合约，对接合约根据验证结果执行对应的行为。

7.根据权利要求6所述的区块链用户请求处理方法，其特征在于，步骤(1)中，所述的请求数据包包含用户请求信息、回调信息、处理请求所需的数据和方法。

8.根据权利要求6所述的区块链用户请求处理方法，其特征在于，步骤(2)包括：

(2-1)中继区对请求数据包ID以及区块链交易信息进行验证；

(2-2)若验证通过，则中继区调用预定的代码，在本地启动软件防护扩展指令SGX，准备安全区的运行；在SGX可信模式下，中继区根据请求信息为安全区分配地址空间和内存页；

(2-3)使用访问密钥将用户的请求信息以及所需的数据和方法存入安全区中；

(2-4)删除中继区上的信息，只保留在安全区内的信息副本。

9.根据权利要求6所述的区块链用户请求处理方法，其特征在于，步骤(4)中，对接合约根据验证结果执行以下行为：

(a)若验证结果为成功，则在区块链上广播该交易信息，对接合约将请求处理结果返回给请求者合约；

(b)若验证结果为失败，则停止该交易的广播并宣布给交易非法。