(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210906257.8 (22)申请日 2022.07.29 (71)申请人 武汉科技大 学 地址 430081 湖北省武汉市青山区和平大 道947号 (72)发明人 任正伟　贺广鑫　余易晋　张凯　 (74)专利代理 机构 武汉科皓知识产权代理事务 所(特殊普通 合伙) 42222 专利代理师 严彦 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/40(2022.01) (54)发明名称 一种基于SGX的以太坊密钥管理方法及系统 (57)摘要 本发明提供一种基于SGX的以太坊密钥管理 方法及系统， 设置密钥管理端包含密钥生成与管 理模块、 密钥中转模块、 交易签名模块、 数据中转 模块， 交易处理端包含交易初始化模块、 交易处 理模块； 密钥生成与管理模块生成以太坊用户端 的公私钥， 对私钥进行密封和解密封操作， 通过 密钥中转模块完成密钥本地存取， 将私钥传给交 易签名模块； 交易初始化模块生成初始化以太坊 交易信息， 通过数据中转模块传给交易签名模 块； 交易签名模块用私钥对初始化信息签名， 通 过数据中转模块传给交易处理模块； 交易处理模 块对签名结果进行处理， 提交交易到以太坊交易 池。 本发明能在不影响以太坊正常功能的情况 下， 有效提高以太坊用户密钥在生成、 存储和使 用过程中的安全性。 权利要求书2页 说明书9页 附图3页 CN 115276982 A 2022.11.01 CN 115276982 A 1.一种基于SGX的以太坊密钥管理方法， 其特征在于： 设置密钥管理端包含密钥生成与 管理模块KGMM、 密钥中转模块KTM、 交易签名模块TxSM、 数据中转模块DTM， 交易处理端包含 交易初始化模块TxIM、 交易处 理模块TxPM； 密钥生成与管理模块KGMM生成以太坊用户端的公私钥， 对以太坊用户端的私钥进行密 封和解密封操作， 通过密钥中转模块KTM完成密钥的本地存 取， 将以太坊用户端的私钥 传给 交易签名模块TxSM； 交易初始化模块TxIM生成初始化的以太坊交易信息， 并通过数据中转模块DTM将该交 易信息传给交易签名模块TxSM； 交易签名模块TxSM用以太坊用户端的私钥 对初始化的以太坊交易信息进行签名， 通过 数据中转模块DTM将签名结果传给交易处 理模块TxPM； 交易处理模块TxPM对签名结果进行处理， 使其满足以太坊交易规范， 最后将处理后的 以太坊交易 提交到以太坊交易池； 密钥管理过程包括以下步骤， 1)以太坊用户端在密钥管理端的Enclave中生成满足以太坊规范的公私钥对， 用公钥 计算以太坊账户地址， 对私钥进行密封操作， 将公钥及密封后的私钥 保存在本地文件系统 中； 2)当需要发起一笔以太坊交易时， 用户端在交易处理端生成初始化的以太坊交易信 息， 并将该初始化交易信息发送给密钥管理端； 3)在密钥管理端， 用户端从本地文件系统中获取密封后的私钥， 恢 复出私钥， 并检查私 钥的正确性； 4)在密钥管理端， 用户端用私钥对以太坊交易信息进行签名， 将签名结果返回给交易 处理端， 然后对私钥进行密封操作， 将公钥及 密封后的私钥保存在本地文件系统中； 5)在交易处理端， 用户端对签名结果进行处理， 使其满足以太坊的规范， 并将处理后的 交易信息提交至以太坊交易池。 2.根据权利要求1所述一种基于SGX的以太坊密钥管理方法， 其特征在于： 步骤1)实现 方式包括以下子步骤， 1‑1)密钥生成与管理模块KGM M生成一对 满足规范的公私钥(pk,sk)； 1‑2)密钥生成与管理模块KGM M将公钥pk 转换为以太坊账户地址ad dress； 1‑3)密钥生成与管理模块KGMM验证公私钥(pk,sk)和账户地址address是否匹配， 若验 证失败， 则返回密钥生 成错误信息， 并转1 ‑1)； 否则， 转1 ‑4)； 1‑4)密钥生 成与管理模块KGMM 对私钥sk进行密封操作， 得到Sealsk， 并将公钥pk、 密封后的私钥Sealsk传给密钥中转模块 KTM； 1‑5)密钥中转模块KTM将pk和Sealsk保存在本地文件系统中。 3.根据权利要求2所述一种基于SGX的以太坊密钥管理方法， 其特征在于： 步骤2)实现 方式包括以下子步骤， 2‑1)用户端输入其交易信息； 2‑2)交易初始化模块TxIM将用户端输入 的交易信息填充到一个初始化的以太坊交易 数据结构体中， 从而生成初始化的交易信息Tx， 并将Tx传给 数据中转模块DTM； 2‑3)数据中转模块DTM将初始化的交易信息Tx传给交易签名模块TxSM 。权　利　要　求　书 1/2 页 2 CN 115276982 A 24.根据权利要求3所述一种基于SGX的以太坊密钥管理方法， 其特征在于： 步骤3)实现 方式包括以下子步骤， 3‑1)密钥中转模块KTM从本地文件系统中获取用户端的公钥pk和密封后的私钥Sealsk， 并将pk和Sealsk传给密钥生成与管理模块KGM M； 3‑3)KGMM检查sk的正确性， 包括以私钥sk作为输入， 计算其对应的公钥值pk ’， 检查pk’ 与从本地文件系统中获取的公钥值pk是否匹配； 若pk ’与pk不匹配， 说明私钥解密封失败， 返回密钥加载错 误信息； 否则， KGM M将私钥sk传给交易签名模块TxSM 。 5.根据权利要求4所述一种基于SGX的以太坊密钥管理方法， 其特征在于： 步骤4)实现 方式包括以下子步骤， 4‑1)收到交易信息Tx和用户端私钥sk之后， 交易签名模块TxSM对Tx进行签名得到签名 结果Signature； 4 ‑2)TxSM检查Signature的后 32字节是否小于secp256k1.size的一半， 是 则TxSM将Signature传给 数据中转模块DTM， 否则转 4‑1)； 4‑3)DTM将Signature返回给交易处 理端的交易处 理模块TxPM； 4‑4)密钥生成与管理模块KGMM对私钥sk进行密封操作， 得到Sealsk， 并将公钥pk、 密封 后的私钥Sealsk传给密钥中转模块KTM； 4‑5)密钥中转模块KTM将pk和Sealsk保存在本地文件系统中。 6.一种基于SGX的以太坊密钥管理系统， 其特征在于： 用于实现如权利要求1 ‑5任一项 所述的一种基于SGX的以太坊密钥管理方法。 7.根据权利要求6所述基于SGX的以太坊密钥管理系统， 其特征在于： 包括处理器和存 储器， 存储器用于存储程序指 令， 处理器用于调用存储器中的存储指 令执行如权利要求 1‑5 任一项所述的一种基于SGX的以太坊密钥管理方法。 8.根据权利要求6所述基于SGX的以太坊密钥管理系统， 其特征在于： 包括可读存储介 质， 所述可读存储介质上存储有计算机程序， 所述计算机程序执行时， 实现如权利要求1 ‑5 任一项所述的一种基于SGX的以太坊密钥管理方法。权　利　要　求　书 2/2 页 3 CN 115276982 A 3