TWI770160B - 私密金鑰對動態節點群組之安全再用 - Google Patents

Abstract

一種電腦實施方法包括：i)藉由一區塊鏈網路中之一節點廣播將一或多個數位資產結轉至與一會議公開金鑰相關聯的一公開群組位址之一交易；ii)產生一私密金鑰份額以待用於一臨限簽名方案中，在該臨限簽名方案中，至少必須使用私密金鑰份額之一臨限值來經由組合代表該會議之部分簽名來產生一有效簽名，且其中該等私密金鑰份額之其他持有者為該會議之該等其他成員，該等其他成員已藉由將各別數位資產結轉至該公開群組位址而加入該會議；以及iii)使用該私密金鑰份額協作地產生用於自該公開群組位址之一交易的一有效簽名。

Description

私密金鑰對動態節點群組之安全再用

本發明大體上係關於分散式總帳，且更特定言之，係關於用於提供對與數位總帳相關聯之數位資產的非集中式控制之方法及系統。本發明特別適於但不限於用來啟用工作量證明區塊鏈網路(proof-of-work blockchain network)與權益證明區塊鏈網路(proof-of-stake blockchain network)之間的雙向掛鉤。

在此文件中，吾人使用術語「區塊鏈」來包括所有形式的基於電腦之電子分散式總帳。此等包括但不限於區塊鏈及交易鏈技術、許可及未許可總帳、共用總帳及其變化。區塊鏈技術之最廣泛已知之應用為比特幣總帳，但其他區塊鏈實施也經提議並開發出。儘管本文中出於方便及說明之目的可提及比特幣，但應注意，本發明不限於與比特幣區塊鏈一起使用，且替代區塊鏈實施及協定屬於本發明的範疇內。

區塊鏈係基於共識之電子總帳，其實施為由區塊組成的基於電腦的非集中式的分散式系統，區塊又由交易及其他資訊組成。在比特幣之情況下，每一交易係編碼區塊鏈系統中之參與者之間的數位資產之控制結轉的資料結構，且包括至少一個輸入及至少一個輸出。每一區塊含有先前區塊之散列，使得該等區塊鏈接在一起以建立自一開始即已寫入至區塊 鏈之所有交易的永久性不可變更之記錄。交易含有嵌入至其輸入及輸出中的被稱為指令碼的小型程式，該等指令碼指定交易之輸出可被存取之方式及人員。在比特幣平台上，此等指令碼係使用基於堆疊之指令碼處理語言來撰寫。

為了將交易寫入至區塊鏈，必須「驗證」交易。一些網路節點充當挖掘者(miner)且執行工作以確保每一交易有效，其中無效交易被網路拒絕。舉例而言，安裝於節點上之軟體用戶端對參考未用交易輸出(UTXO)之交易執行此驗證工作。驗證可藉由執行其鎖定及解除鎖定指令碼來執行。若鎖定及解除鎖定指令碼之執行評估為真，且若滿足特定其他條件，則交易有效且交易可寫入至區塊鏈。因此，為了使交易寫入至區塊鏈，該交易必須i)藉由在交易經驗證之情況下接收該交易的節點驗證，該節點將該交易轉送至網路中之其他節點；及ii)新增至藉由挖掘者建置之新區塊；及iii)經挖掘，亦即，新增至過去交易之公開總帳。當足夠數目個區塊經新增至區塊鏈以使交易實際上不可逆時，該交易被視為經確認。

儘管區塊鏈技術由於密碼貨幣實施之使用而最為廣泛已知，但數位企業家已開始探索比特幣基於之密碼編譯安全系統及可儲存於區塊鏈上以實施新系統之資料二者的使用。可使用區塊鏈用於並不純粹受限於密碼貨幣中指定之付款的自動化任務及過程將係非常有利的。此類解決方案將能夠利用區塊鏈之益處(例如，事件之永久性防篡改記錄、分散式處理等)，同時在其應用中變得更通用。

隨著區塊鏈技術擴展以提供新特徵，維持區塊鏈之安全性及其中表示之數位資產尤為重要。依賴於區塊鏈之擴展的特徵集可能經受來自惡意方的攻擊。因此，提供為區塊鏈或區塊鏈的新特徵提供額外安全性，或控制數位資產之所有權以維持區塊鏈的完整性的方法及裝置可為有用 的。

另外，隨著開發區塊鏈的新改良或修改，具有用於控制數位資產自一個區塊鏈至另一區塊鏈之結轉同時維持兩個區塊鏈之完整性的技術係有幫助的。因此，需要提供在此等態樣中之一或多者中改良區塊鏈技術的改良之方法及裝置。

因此，根據本發明，提供一種如隨附申請專利範圍所定義之方法。

如下文將更詳細地描述，可在一區塊鏈網路上形成一會議。會議可為區塊鏈網路中之任何節點在向與會議相關聯之集區提交足夠權益後即可加入之開放式成員資格群組。舉例而言，節點可經由將諸如數位貨幣(諸如比特幣)之數位資產、符記或其他權益或值結轉至與會議相關聯之資源(例如帳戶)來加入會議。會議可部分地經由私密金鑰份額之分散式產生而為安全的。每一私密金鑰份額可由其持有者用來產生交易之部分簽名。臨限簽名方案可用以使用部分簽名之至少一臨限值來產生用於此類交易之有效簽名。成員存款可能由於惡意行為而被沒收。

有利地，經由使用金鑰份額及其他安全性特徵之分散式產生，金鑰份額可經保全以防止群組成員或非群組成員之惡意活動。與使用臨限簽名方案結合之此類安全性可允許形成自控管式的分散式群組，且該群組可用於數個目的中的任一個，包括例如提供雙向掛鉤。更特定言之，臨限簽名方案可允許群組控制由與該群組相關聯之公開金鑰約束的數位資產。

因此，根據本發明，可提供一種電腦實施方法。該電腦實施方法可包括：i)藉由一區塊鏈網路中之一節點廣播將一或多個數位資產結 轉至與一會議公開金鑰相關聯的一公開群組位址之一交易，該公開群組位址與相關聯於一會議之其他成員的一或多個其他數位資產相關聯；ii)產生一私密金鑰份額以待用於一臨限簽名方案中，在該臨限簽名方案中，至少必須使用私密金鑰份額之一臨限值來經由組合代表該會議之部分簽名來產生一有效簽名，且其中該等私密金鑰份額之其他持有者為該會議之該等其他成員，該等其他成員已藉由將各別數位資產結轉至該公開群組位址而加入該會議；iii)使用該私密金鑰份額協作地產生用於自該公開群組位址之一交易的一有效簽名；iv)偵測分配新金鑰份額之一請求；以及v)與該會議之其他成員協作以將用於相同公開金鑰之私密金鑰份額發出至該群組之新成員。

在一些實施方案中，該臨限簽名方案為橢圓曲線數位簽名演算法。

在一些實施方案中，該電腦實施方法可進一步包括：i)偵測一惡意方之惡意活動，其中該惡意方為該會議之該等其他成員中之一者；以及ii)沒收由該惡意方先前結轉至該公開群組位址之數位資產的至少一部分。在一些實施中，沒收可包含結轉至一不可用位址，且在一些實施中，可包含使用該私密金鑰份額與該會議之其他成員協作以產生用於至該不可用位址之交易的有效簽名。

在一些實施中，該電腦實施方法可進一步包括：i)偵測一再分配請求；ii)與其他會議成員協作以將該公開群組位址中之所有數位資產結轉至與一新公開金鑰相關聯之一新公開位址；以及iii)產生一新私密金鑰份額。

在一些實施中，該電腦實施方法可進一步包括確認由已離開該會議之一成員持有的先前使用的一私密金鑰份額已自與該成員相關聯之 一節點刪除。在一些實施中，與已離開一會議之一成員相關聯的該節點包括一受信任執行環境，其提供對由該成員持有的先前使用之該私密金鑰份額之刪除的認證。在一些實施中，每一成員之受信任執行環境可經組態以在其存款被回收之前週期性地認證其已部分地簽名或可能需要其廣播此類認證之所有交易。

在一些實施中，會議公開金鑰約束自群組成員及非群組成員接收之數位資產，且偵測分配新金鑰份額之請求包括使用包括在數位資產至該公開群組位址之至少一些交易中的屬性來識別會議成員。

在一些實施中，產生該私密金鑰份額及使用該私密金鑰份額係在該節點內之一受信任執行環境上執行。

在一些實施中，該電腦實施方法可進一步包括：i)自為一會議成員之一請求者接收撤回先前由該請求者存放且當前由該會議控制的數位資產之一請求；ii)對照所判定準則評估該請求；以及iii)使用該私密金鑰份額協作地產生一數位簽名且使用該數位簽名將由該請求者先前存放之該等數位資產結轉回至該請求者。

根據本發明，可提供一種電子裝置。該電子裝置包括一介面裝置、耦接至該該介面裝置之一處理器及耦接至該處理器之一記憶體。該記憶體已在其上儲存電腦可執行指令，該等電腦可執行指令在執行時組態該處理器以執行本文中所描述之方法。

根據本發明，可提供一種電腦可讀儲存媒體。該電腦可讀儲存媒體包括電腦可執行指令，該等電腦可執行指令在執行時組態一處理器以執行本文中所描述之方法。

根據本發明，可提供一種電腦實施方法，該電腦實施方法包含在一區塊鏈網路中之一節點中：藉由該節點廣播將一或多個符記結轉至 與一會議公開金鑰相關聯的一公開群組位址之一交易，該公開群組位址與相關聯於一會議之其他成員的一或多個其他符記相關聯；使用該節點之一處理器的一安全區域產生一私密金鑰份額以待用於一臨限簽名方案，在該臨限簽名方案中，至少必須使用私密金鑰份額之一臨限值來經由組合代表該會議之部分簽名產生一有效簽名，且其中該等私密金鑰份額之其他持有者為該會議之該等其他成員，該等其他成員已藉由將各別符記結轉至該公開群組位址而加入該會議；以及使用該安全區域之該私密金鑰份額來協作地產生用於自該公開群組位址之一交易的一有效簽名。

在一些實施中，該安全區域可為一受信任執行環境。

在一些實施中，該安全區域可儲存一BGLS私密金鑰(其可為與一聚集簽名方案相關聯之私密金鑰，諸如Boneh、Gentry、Lynn及Shacham「BGLS」方案(Aggregate and Verifiably Encrypted Signatures from Bilinear Maps，密碼編譯技術理論及應用國際會議(International Conference on the Theory and Applications of Cryptographic Techniques)，EUROCRYPT 2003：密碼學進展(Advances in Cryptology)，第416至432頁))，且該方法可進一步包括產生安全區域、登記交易之BGLS私密金鑰，該登記交易包括對應於與區塊鏈網路相關聯之區塊鏈上的最近區塊之資訊、對應於適於用作廣播頻道(用於會議之成員之間的通信)之另一區塊鏈上的最近區塊之資訊以及使用安全區域之認證金鑰簽名且綁定至與BGLS私密金鑰相關聯的公開金鑰之安全區域內的記憶體之初始內容之散列。

100‧‧‧區塊鏈網路

102‧‧‧節點

102a‧‧‧節點

102b‧‧‧節點

102c‧‧‧節點

104‧‧‧挖掘者

110‧‧‧會議

200‧‧‧電子裝置

210‧‧‧處理器

220‧‧‧記憶體

230‧‧‧介面裝置

240‧‧‧匯流排

250‧‧‧TEE

300‧‧‧起始會議之方法

302~308‧‧‧步驟

400‧‧‧加入會議之方法

402~410‧‧‧步驟

500‧‧‧沒收數位資產之實例方法

502~504‧‧‧步驟

600‧‧‧更新私密金鑰份額分配之實例方法

602~606‧‧‧步驟

700‧‧‧更新私密金鑰份額分配之另一實例方法

702~704‧‧‧步驟

800‧‧‧返還存款之實例方法

802~806‧‧‧步驟

900‧‧‧第一區塊鏈網路

902‧‧‧第二區塊鏈網路

906‧‧‧挖掘者

1000‧‧‧雙向掛鉤之方法

1002~1012‧‧‧步驟

本發明之此等及其他態樣將自本文中描述之實施例顯而易見且參考本文中所描述之實施例進行闡明。現將僅藉助於實例且參考附圖而描述本發明之實施例，在附圖中： 圖1說明實例區塊鏈網路之方塊圖。

圖2說明可充當區塊鏈網路中之節點的實例電子裝置之方塊圖。

圖3為起始會議之實例方法的流程圖。

圖4為加入會議之實例方法的流程圖。

圖5為沒收數位資產之實例方法的流程圖。

圖6為再分配金鑰份額之實例方法的流程圖。

圖7為再分配金鑰份額之另一實例方法的流程圖。

圖8為返還存款之實例方法的流程圖。

圖9為第一區塊鏈網路及第二區塊鏈網路之方塊圖。

圖10為用於提供雙向掛鉤之實例方法的流程圖。

區塊鏈網路

首先將參考圖1，其以方塊圖形式說明與區塊鏈相關聯的實例區塊鏈網路100。該區塊鏈網路100可為公開區塊鏈網路，其係任何人可在無邀請或無其他成員同意之情況下加入的同級間開放式成員資格網路。執行區塊鏈網路100操作所根據之區塊鏈協定之執行個體的分散式電子裝置可參與區塊鏈網路100。此等分散式電子裝置可稱為節點102。舉例而言，區塊鏈協定可為比特幣協定。

執行區塊鏈協定且形成區塊鏈網路100之節點102的電子裝置可具有各種類型，包括例如電腦，諸如桌上型電腦、膝上型電腦、平板電腦；伺服器；行動裝置，諸如智慧型電話；可穿戴式電腦，諸如智慧型手錶；或其他電子裝置。

區塊鏈網路100之節點102使用可包括有線及無線通信技術之合適通信技術彼此耦接。此通信遵循與區塊鏈相關聯之協定。舉例而言， 在區塊鏈係比特幣區塊鏈之情況下，可使用比特幣協定。

節點102維護區塊鏈上之所有交易之全域總帳。因此，全域總帳為分散式總帳。每一節點102可儲存全域總帳之完整複本或部分複本。在由工作量證明確保安全之區塊鏈的情況下，由節點102進行的影響全域總帳之交易由其他節點102證實，使得維持全域總帳之有效性。當區塊鏈係基於工作量證明之區塊鏈時，區塊亦藉由檢查隨區塊提交之工作量證明來證實。

節點102中的至少一些作為區塊鏈網路100之挖掘者104而操作。圖1之區塊鏈網路100為工作量證明區塊鏈，其中挖掘者104執行昂貴計算以便促進區塊鏈上之交易。舉例而言，工作量證明區塊鏈可能需要挖掘者解決密碼編譯問題。在比特幣中，挖掘者104找到臨時亂數，使得區塊標頭藉由SHA-256散列至小於由當前難度定義之值的數。工作量證明演算法所需之散列能力意謂在已在交易上挖掘某數目個區塊之後，該交易被視為實際上不可逆。解決密碼編譯問題之挖掘者104建立用於區塊鏈之新區塊，且將新區塊廣播至其他節點102。其他節點102證實挖掘者104實際上已解決密碼編譯問題，且因此在接受應將區塊新增至區塊鏈之前已表明足夠工作量證明。該區塊係藉由節點102之共識來新增至區塊鏈(亦即，新增至分散式全域總帳)。

由挖掘者104建立之區塊包括已由節點102廣播至區塊鏈之交易。舉例而言，該區塊可包括自與節點102中之一者相關聯的位址至與節點102中之另一者相關聯的位址的交易。以此方式，該區塊充當自一個位址至另一位址之交易的記錄。請求交易包括於區塊中之方藉由使用對應於其公開金鑰之私密金鑰對請求進行簽名來證明其經授權以起始結轉(例如，在比特幣之情況下，花費比特幣)。可僅在該請求經有效簽名之情況下 將結轉新增至區塊。

在比特幣之情況下，存在公開金鑰與位址之間的一對一對應。亦即，每一公開金鑰係與單一位址相關聯。因此，本文中對將數位資產結轉至公開金鑰及自公開金鑰結轉數位資產(例如，支付至公開金鑰)以及將數位資產結轉至與彼公開金鑰相關聯之位址或自與彼公開金鑰相關聯之位址結轉數位資產的任何提及係指常見操作。

節點102中之一些未作為挖掘者而操作，且可替代地作為驗證節點而參與。交易驗證可涉及檢查簽名，確認對有效UTXO之參考等。

圖1之實例包括五個節點102，其中之三個作為挖掘者104而參與。實務上，節點102或挖掘者104之數目可不同。在許多區塊鏈網路100中，節點102及挖掘者104之數目可遠大於圖1中所說明之數目。

如將在下文中解釋，各種節點102可協作以形成在本文中將稱作會議110之群組。在所說明之實例中，三個節點102展示為參與會議110。然而，會議110成員之實際數目可大得多。

會議110係任何節點102在向與會議110相關聯之集區提交足夠權益後可加入之開放式成員資格群組。舉例而言，節點可經由將諸如數位貨幣(諸如比特幣)之數位資產、符記或其他權益或值結轉至與會議110相關聯之帳戶來加入會議。加入會議之節點102可為區塊鏈網路100之任何節點，包括挖掘節點及非挖掘節點二者。在會議之至少一些應用(諸如在會議正執行雙向掛鉤時，如下文所描述)中，充當會議成員之節點在其下載(但不一定保持)全部區塊鏈的意義上監視該區塊鏈。

在涉及由區塊鏈網路100之節點102形成的群組之各種已知系統中，群組成員資格係固定的。舉例而言，由M.H.Ibrahim(亞伯拉罕)在2017年3月於國際網路安全雜誌(International Journal of Network Security) 上發表的「SecureCoin：A Robust Secure and Efficient Protocol for Anonymous Bitcoin Ecosystem」(第19卷，第2期，第295至312頁)提供幣聚集及混合，但交換幣的節點群組中的成員資格係固定的。相比之下，節點102既可加入亦可離開會議110。方便地，藉由允許此類靈活的群組成員資格，與諸如SecureCoin之系統相比，會議110可藉由避免反覆地自零開始形成節點群組之需要而減少額外負荷。

下文將更詳細地論述用於加入、離開及參與會議110之技術。

作為節點操作之電子裝置

圖2為說明可充當同級間區塊鏈網路100(圖1)中之節點102(圖1)的實例電子裝置200之組件的方塊圖。實例電子裝置200亦可稱為處理裝置。電子裝置可採取各種形式，包括例如桌上型電腦、膝上型電腦、平板電腦、伺服器、諸如智慧型電話之行動裝置、諸如智慧型手錶之可穿戴式電腦或另一類型之形式。

電子裝置200包括處理器210、記憶體220及介面裝置230。此等組件可直接或間接地耦接至彼此，且可彼此通信。舉例而言，處理器210、記憶體220及介面裝置230可經由匯流排240彼此通信。記憶體220儲存包含機器可讀指令及資料之電腦軟體程式，其用於執行本文中所描述之功能。舉例而言，記憶體可包括處理器可執行指令，該等處理器可執行指令在由處理器210執行時使電子裝置200執行本文中所描述之方法。處理器可執行指令可包括在由處理器210執行時使電子裝置200實施與區塊鏈網路100(圖1)相關聯之協定的指令。舉例而言，該等指令可包括用於實施比特幣協定之指令。

記憶體220可儲存區塊鏈網路100(圖1)之全域總帳或其 部分。亦即，記憶體220可儲存區塊鏈之所有區塊或該等區塊之一部分，諸如最近區塊或一些區塊中之資訊之一部分。

儘管記憶體220在圖2中藉由單一區塊說明，但實務上，電子裝置200可包括多個記憶體組件。記憶體組件可具有各種類型，包括例如RAM、HDD、SSD、隨身碟等。不同類型之記憶體可適合於不同目的。另外，儘管記憶體220說明為與處理器210分開，但處理器210可包括嵌入式記憶體。

如圖2中所說明，處理器210可包括諸如TEE250(受信任執行環境)之安全區域。TEE 250係隔離之執行環境，其向電子裝置200提供額外安全性，諸如隔離之執行、受信任應用程式之完整性及資產機密性。TEE 250提供執行空間，其確保就機密性及完整性而言，載入TEE 250內之電腦指令及資料受到保護。TEE 250可用以保護諸如金鑰之重要資源的完整性及機密性。TEE 250至少部分地在硬體層級處實施，使得保護在TEE 250內執行之指令及資料以免電子裝置200之剩餘部分及諸如電子裝置之擁有者的外部方進行存取及操縱。TEE 250內之資料及計算由包括TEE 250之節點102的一方保證安全。

TEE 250可操作以執行個體化指定位址空間(enclave)，且接著一次一個地新增記憶體之頁面，同時累積地散列。亦可對遠端機器(其可為開發者機器或另一機器)進行類似操作，使得遠端機器判定及儲存預期之散列。因此，指定位址空間之內容可藉由任何遠端機器證實以確保指定位址空間正執行核准之演算法。此證實可藉由比較散列來執行。當指定位址空間經完全建置時，其被鎖定。有可能在TEE 250中執行程式碼且將秘密發送至程式碼，但不能改變該程式碼。最終散列可藉由認證金鑰簽名，且可使得可用於資料擁有者以在資料擁有者將任何秘密發送至指定位址空 間之前證實該散列。

TEE 250可用以保護與供會議110(圖1)使用之會議公開金鑰相關聯的私密金鑰份額之機密性及完整性。舉例而言，TEE 250可用於產生及儲存私密金鑰份額。TEE 250意欲確保無成員能夠自成員間通信或指定位址空間之間通信直接獲得保持於TEE 250指定位址空間內之私密金鑰份額或關於其他私密金鑰份額之資訊。協定對於對指定位址空間臨限值之危害亦具有穩健性。另外，TEE 250可實現遠端認證，其可由節點102(圖1)使用以向其他節點102證明TEE 250可靠且正執行用於由會議110實施之協定的核准之電腦可執行指令。遠端認證可由TEE 250藉由執行特定程式碼片段及發送指定位址空間內部之由用於指定位址空間之內部認證金鑰進行簽名的程式碼之散列來提供。

TEE 250可用以在會議110的先前已在電子裝置200上使用私密金鑰份額之成員已選擇離開會議時認證私密金鑰份額之安全刪除。電子裝置200可經由提供於TEE 250中之遠端認證協定將刪除認證提供至其他會議成員。可能需要在准許成員撤回其成員存款之前進行刪除認證。亦即，返還存款之條件可為對保持於成員之指定位址空間內的私密金鑰份額之刪除的認證。

TEE 250可配備有安全隨機數產生器，其在TEE之指定位址空間內部，該安全隨機數產生器可用以產生私密金鑰、隨機挑戰或其他隨機資料。TEE 250亦可經組態以自外部記憶體讀取資料且可經組態以將資料寫入至外部記憶體。此資料可藉由僅保持於指定位址空間內部之秘密金鑰加密。

可使用諸如受信任平台模組(TPM)或Intel軟體防護擴充(SGX)來實施TEE 250。舉例而言，SGX支援遠端認證，其使得指定位址 空間能夠自正執行特定指定位址空間之處理器獲取經簽名聲明，其中成員具有之給定者被稱為引述。諸如Intel認證服務(IAS)之第三方認證服務可證明源自真實CPU之此等經簽名聲明符合SGX規範。

電子裝置200充當區塊鏈網路100(圖1)中之節點102(圖1)，且可加入及以其他方式參加會議110(圖1)。在數位資產群組承載諸如數位貨幣之集區數位資產、符記或區塊鏈網路100(圖1)支援之其他權益或值時，形成會議110。

會議及臨限簽名

會議110可為許可或非許可群組。亦即，區塊鏈網路100(圖1)中之任何節點102(圖1)(亦即，監視及儲存區塊鏈中之資訊之至少一部分的任何節點)可加入會議110。為加入會議110，節點102將一或多個數位資產結轉至與會議110相關聯之數位資產集區(亦即，結轉至與一或多個數位資產相關聯之公開群組位址，該一或多個數位資產又與會議之其他成員相關聯)。此數位資產集區可稱為會議集區。舉例而言，節點102可藉由將此類數位資產結轉(亦即，存放)至與會議集區相關聯之位址(亦即，結轉至亦可稱為公開群組位址之「會議位址」)來加入會議110。在具有稱為會議公開金鑰之單一公開金鑰的群組臨限簽名之控制下來置放數位資產。會議成員持有以分配方式產生之私密金鑰份額。所持有之份額之數目可與存放在集區中之量成比例。

由會議110控制之包括結轉至會議位址之任何數位資產的數位資產，在臨限簽名方案的控制下置放。在臨限簽名方案下，總私密金鑰份額持有量超過臨限值之成員群組需要產生允許脫離會議110之控制結轉數位資產的有效簽名。亦即，至少必須使用臨限數目個私密金鑰份額來產生有效簽名以用於由會議110控制之數位資產的任何傳出結轉。

會議公開金鑰約束由會議110之成員存放在會議集區以換回私密金鑰份額的數位資產，及由會議110之成員或非成員存放至與會議集區相關聯之位址的任何數位資產(亦即，在會議之完全、部分或條件性控制下置放)，該等數位資產以出於除獲得私密金鑰份額外之原因而存放。非成員或成員可出於各種原因將數位資產存放至與會議相關聯之位址。在下文更詳細解釋之一個實例中，成員或非成員可將數位資產存放至會議110以將此類資產移動至另一區塊鏈，該另一區塊鏈可稱為替代鏈(alternative chain、alt-chain)，諸如側鏈。側鏈可為與主區塊鏈並行(亦即，與主鏈並行)地執行的區塊鏈。

由於相同會議公開金鑰可控制兩個成員存放(亦即，由會議成員提供以換取私密金鑰份額之數位資產)及由成員或非成員出於其他目的提供之數位資產，因此至與會議相關聯之位址的至少一些存放可加特殊旗標以指示存放之類型。舉例而言，將數位資產結轉至會議位址之交易可包括指示正進行之存放之性質的旗標、識別符或其他屬性。作為實例，將數位資產結轉至會議位址的並非出於加入會議或提高會議成員資格之權益的目的而進行的交易可包括指示存放係出於另一目的而進行的特殊識別符。此類識別符可由與會議110相關聯之節點102在管理私密金鑰產生時使用。更特定言之，出於加入群組之目的而存放數位資產的節點102被分配用於會議110之私密金鑰份額(作為進行數位資產存放之結果)，而出於其他目的而存放數位資產(例如，結轉至側鏈)之其他節點102可能不持有用於會議(亦即，對應於會議公開金鑰)之會議私密金鑰份額。

會議110可充當自控管式群組，其中經由威脅沒收全部或部分成員存款而強制協作行為。非協作或惡意成員可藉由數個誠實成員參與協作協定而使此等數位資產被沒收。亦即，為確保所有節點102遵循預定 義協定或準則操作，至會議集區中之成員存款可能會遭受沒收。沒收意謂永久地防止被視為沒收之成員存款的返還。形成成員存款之由於惡意活動而不被返還的數位資產可離開會議集區但不返還(例如，若已達成(在替代鏈上)不應返還其之共識)、立即或在未來結轉至另一不可用位址或以其他方式沒收，且沒收之性質可取決於會議是否充當用於側鏈之結合驗證器集合。

另外，在會議成員希望離開會議110時，其可撤回其成員存款(亦即，請求會議110將成員存款結轉回至成員個人的位址)。然而，僅在群組(亦即，會議)之成員使用超過產生有效數位簽名所需之臨限值的數個私密金鑰份額來批准撤回的情況下才執行資金撤回。

由會議110實施之臨限簽名方案可具有各種類型。只要至少臨限數目個私密金鑰份額已促成產生有效簽名，臨限簽名方案便允許在n方之間共用簽名能力。小於臨限值之任何子集不能產生有效簽名。更特定言之，各方中之每一者控制私密簽名金鑰之一份額，且必須使用臨限數目個金鑰份額來經由組合部分簽名產生有效簽名。小於臨限值之金鑰份額之任何子集不能產生有效簽名。

臨限簽名方案可為橢圓曲線數位簽名演算法(ECDSA)方案。舉例而言，ECDSA方案可屬於由Ibrahim等人在「A robust threshold elliptic curve digital signature providing a new verifiable secret sharing scheme」(2003年EIII第46屆中西部電路及系統研討會，1：276-280(2003))中所提議的類型。此臨限簽名方案為數位簽名方案(其為基於橢圓曲線密碼學之演算法)之擴充，其中需要來自具有n個金鑰份額持有者之方的t+1個金鑰份額來重構私密金鑰。該方案可用以建構有效簽名而不必重構私密金鑰且任何方無需向另一方顯露其金鑰份額。

因為t+1個金鑰份額足以重構秘密，因此根據此技術，可容許的敵人之最大數目為t。在Ibrahim等人之模型中，敵人為損毀持有秘密份額方且可存取該秘密份額之實體。敵人可具有各種類型。舉例而言，拜占庭(Byzantine)敵人為可假裝參與協定而實際上發送不正確資訊之敵人。由Ibrahim所提議之ECDSA方案對於高達t<=n/4個惡意敵人係穩健的。此穩健性可上升至t<=n/3，但以較大複雜度為代價。

Ibrahim等人之ECDSA方案對於阻止t<=n/3個阻止敵人係穩健的。阻止敵人能夠防止被損毀方參與協定或阻止中途參與。

此ECDSA方案包括可由節點102用以識別惡意或不協作方之各種機制。舉例而言，可證實秘密共用(VSS)可用以共用沙米爾(Shamir)秘密共用(SSS)所需之多項式。SSS係一種形式之秘密共用，其中將秘密劃分成多個部分且將其在每一參與者自身之獨特部分中提供至該參與者。此等部分可用以重構秘密。若不一致份額提供至不同節點102或若份額秘密地發送至不同於廣播至所有節點的盲份額之節點，則VSS可由節點102用來識別惡意節點102或成員。不一致份額可由節點102中之任一者識別。秘密之共用可藉由包括允許節點102證實其份額一致之輔助資訊來變得可證實。

不正確份額至個別節點(亦即，不同於所廣播之盲份額之份額)的發送可藉由該份額之預期接收者節點識別。可使用可公開證實秘密共用(PVSS)之技術使得可公開證實秘密地發送至節點之不正確份額的識別。此類技術可避免欺騙發送者之識別中的可能延遲，該延遲可在不使用PVSS且不正確份額之接收者離線或在發送不正確份額時自網路之大部分斷開的情況下出現。

諸如將不一致的份額提供至不同節點之不當行為可由會議 110解決以阻止惡意行為。舉例而言，當一節點102(圖1)由其他節點102識別為惡意方時，超過臨限值(例如，t+1)之數目個節點102(亦即，與會議成員相關聯之節點)可協作以處罰惡意方。舉例而言，節點102可採取涉及由惡意方存放至會議之數位資產(諸如數位貨幣、符記或其他權益或值)的動作。舉例而言，會議可藉由將數位貨幣、符記、權益或值結轉至不可用位址來燒毀數位貨幣、符記、權益或值，或會議可藉由與其他節點達成拒絕共識來沒收此類數位資產。並非不當行為節點之節點102亦可藉由協作以排除不當行為節點(例如，藉由有效地使金鑰份額無效；例如，藉由排除節點參與會議協定，或藉由重新共用私密金鑰，或不向不當行為節點分配份額)來阻止不當行為。

可經由使用TEE增強上文所描述的ECDSA技術。舉例而言，基於Ibrahim等人之臨限ECDSA簽名技術設想在本文中稱為敵人的強形式的拜占庭敵人。此類型之敵人可能任意地作出行為，例如，其不僅拒絕參與簽名程序或中途停止，而且可能假裝誠實地參與且發送不正確資訊。然而，藉由使用TEE及產生用於儲存有秘密私密金鑰份額之TEE之指定位址空間內的簽名，可提供額外安全性，此係因為指定位址空間極不可能大量受損。假定n充分大，若每一TEE經分配不超過一個金鑰份額，則例如可能受損TEE之數目可合理地預期為不會接近對抗拜占庭敵人之穩健性臨限值。若相對於金鑰份額之總數，協定耐受小比例之惡意敵人，則此認可協定係安全的。

舉例而言，若所有節點具有TEE，則可僅藉由對節點進行實體存取且僅以巨大的努力及費用獲取儲存於指定位址空間內之秘密，其限制條件為TEE之製造商未受到損毀。預期此製造商層級損毀係可管理的。舉例而言，若製造商錯誤地主張數個公開金鑰對應於真正的TEE，則 其可直接存取私密金鑰份額且潛在地發起攻擊。然而，此攻擊將需要足夠數目個金鑰份額以允許製造商在無其他節點輔助之情況下產生有效簽名。此將意謂累積總權益之大部分，其將係相當昂貴的。此外，藉由實施攻擊，權益持有量之值之大百分比將被毀壞。

當使用TEE時，涵蓋協定對「被損毀節點」之穩健性係有用的。被損毀節點係使得TEE外部之硬體受到損毀但TEE之完整性未受到損害的節點。被損毀節點可控制指定位址空間接收及不接收何資訊。特定而言，被損毀節點可阻止，亦即，抑制參與協定。若提供至協定之資訊需要由秘密地保持於指定位址空間中之私密金鑰(其中對應公用金鑰係在認證期間鑑認)來簽名，則私密金鑰如指定位址空間自身般值得信任。因此，被損毀節點無法將任意(經鑑認)資訊發送至協定，且可僅藉由制止或試圖矇騙指定位址空間使其不恰當地起作用(例如，藉由向其提供過時資訊)來試圖進行干擾。因此，對於被損毀節點，成功攻擊將需要搜集足夠數目個部分簽名以產生完整簽名。藉由TEE，Ibrahim等人之協定對於2t個被損毀節點係穩健的。因為可在n-2t>=2t+1之情況下產生簽名，所以大小係2t+1<=(n+1)/2之金鑰份額的任何限定子集係足夠的。因此，當使用TEE時，用於臨限簽名方案之臨限值可經組態為大於或等於用以在存在被損毀節點之情況下產生有效簽名的金鑰份額之50%的數目。

亦可使用其他臨限簽名方案。舉例而言，臨限簽名方案可為由Goldfeder等人之「Securing Bitcoin Wallets Via a New DSA/ECDSA threshold signature scheme」(2015)所提議的類型之ECDSA臨限方案。此協定允許t+1方產生有效簽名。因此，敵人必須控制以產生有效簽名之金鑰份額之數目等於敵人必須擁有以重建構私密金鑰之金鑰份額之數目。此技術在需要一致同意以產生有效簽名之情況下可提供高效方案。在最一般 情況下，此方案外加隨會議成員之數目以指數方式按比例調整的空間要求，此係因為對於任意臨限值，一者需要針對n個當中之t+1個參與者之任何可能子集重複整個協定。對於n及t二者之較大值，將需要儲存大量金鑰份額。為緩解此類儲存要求，標準比特幣多重簽名可與臨限簽名組合。特定而言，可使用多重簽名來鎖定數位資產，使得每一私密金鑰分成多個份額。就空間要求而言，此技術將使較大會議更高效。按比例調整屬性亦可藉由以反覆方式在多個層級處組成用於較小團體大小當中之大量參與者之方案來改良。舉例而言，臨限簽名方案可與Cohen等人之Efficient Multiparty Protocols via Log-Depth Threshold Formulae(2013)(密碼學進展-CRYPTO 2013，第185至202頁)的技術組合。

可使用包括非ECDSA簽名方案之其他臨限方案。舉例而言，基於施諾爾(Schnorr)方案之臨限方案可由節點102用以實施會議110。

區塊鏈網路100(圖1)中之節點102(圖1)可基於選定臨限簽名方案實施會議協定。此等節點102可包括儲存於記憶體220(圖2)中之實施會議協定的電腦可執行指令。此等指令在由處理器210(圖2)執行時使節點102(諸如，參看圖2所描述之類型的電子裝置200)執行會議協定之一或多個方法。此等方法可包括圖4至圖8及圖10之起始會議之方法300、加入會議之方法400、沒收數位資產之實例方法500、更新私密金鑰份額分配之實例方法600、更新私密金鑰份額分配之另一實例方法700、返還存款之實例方法800、雙向掛鉤之方法1000中之任一者或組合。因此，會議協定可包括圖4至圖8及圖10之起始會議之方法300、加入會議之方法400、沒收數位資產之實例方法500、更新私密金鑰份額分配之實例方法600、更新私密金鑰份額分配之另一實例方法700、返還存款之實例方法800、雙向掛鉤之方法1000中之一或多者。該等方法可藉由一節點與相關 聯於其他會議成員之其他節點協作地執行。

會議起始

現參看圖3，說明起始會議之方法300。起始會議之方法300可藉由最初受信任方執行以設置會議110。亦即，與最初受信任方相關聯之節點102可執行起始會議之方法300。

起始會議之方法300包括在步驟302處提供會議公用金鑰。若其他節點102希望加入會議，則可將會議公用金鑰提供至其以允許為會議公用金鑰進行支付。亦即，其他者可將數位資產結轉至與會議公用金鑰相關聯之位址以便加入會議。

執行起始會議之方法300之節點102在步驟304處允許對公用金鑰進行支付，直至滿足一或多個條件。舉例而言，節點102可允許對公用金鑰進行支付持續所判定之時間段或持續所判定之數目個區塊。在條件符合之後(例如，在此時間段期滿或挖掘該數目個區塊之後)，執行起始會議之方法300之節點102在步驟306處識別會議之初始成員。

在識別到將構成會議之初始成員資格的多方之後，在步驟307處根據臨限簽名方案將私密金鑰分成多個私密金鑰份額。接著在步驟308處將私密金鑰份額自執行起始會議之方法300之節點102分配至經識別方。私密金鑰份額與可屬於本文中所描述之類型的臨限簽名方案相關聯。

在步驟308期間，經識別為會議成員之節點102協作以產生新的私密金鑰份額及新的公用金鑰。由初始受信任方發送至此等節點之原始金鑰份額可用以對將會議集區中之所有數位資產發送至新公用金鑰之交易進行簽名且廣播該交易，該新公用金鑰接著變成會議公用金鑰。亦即，在步驟408期間，建立新的群組公開位址，且將在會議控制下之數位資產結轉至此新位址，該位址變成用於該群組之新位址且與會議公用金鑰相關 聯。在確認此結轉之後，可無信任地操作會議。形成新的群組公開位址，可在未來自希望加入會議110之其他節點或出於如上文所描述之其他目的將數位資產存款接收於該新的群組公開位址中。會議成員現被視為加入會議中，且此等節點現可在無初始受信任方輔助之情況下操作。此外，初始受信任方在會議操作中不再起任何作用。

在會議已起始之後加入會議

現將參考說明加入會議之方法400的圖4。圖4之加入會議之方法400可協同圖3之起始會議之方法300操作，但圖4之加入會議之方法400藉由同一區塊鏈網路100(圖1)中操作之節點102中之不同者執行，執行圖3之起始會議之方法300的節點在該區塊鏈網路100中操作。圖4之加入會議之方法400包括在步驟402處獲得會議公用金鑰。會議公用金鑰可自起始會議的諸如執行圖3之起始會議之方法300之節點的一方直接獲得，或其可自包括例如在區塊鏈網路100(圖1)外操作之第三方系統的第三方獲得。舉例而言，會議公用金鑰可自可經由公用網際網路存取之公用網頁伺服器獲得。

執行加入會議之方法400之節點102在步驟404處藉由將數位資產交易自與節點102相關聯之私密帳戶廣播至會議位址(亦即，與會議公用金鑰相關聯之位址)來支付於會議公用金鑰中。更特定而言，節點102將結轉一或多個數位資產之交易廣播至與會議公用金鑰相關聯之公開群組位址。公開群組位址為會議集區之位址。會議集區包括與會議之其他成員相關聯之其他數位資產。因此，在步驟404處之交易一旦藉由挖掘者104(圖1)新增至區塊，即將數位資產結轉至包括來自其他成員的數位資產之會議集區。公開群組位址可接收來自希望加入會議之多方的結轉及來自不希望加入會議之多方的結轉。不希望加入會議之多方將數位資產結轉 至會議集區，使得可在會議之全部、部分或條件性控制下使用由會議所用之臨限簽名方案來置放此等數位資產。

在步驟404處之交易可包括旗標、識別符或其他屬性，其指示結轉數位資產之一方希望加入會議且存放係出於此目的來進行。

在將數位資產存放至會議集區之後，執行加入會議之方法400之節點102在步驟406處接收私密金鑰份額。接著，節點102在步驟408處藉由執行協定之單一執行個體來重新產生私密金鑰份額。私密金鑰份額之產生可在節點102之TEE內執行。

在步驟408處，節點102產生待用於臨限簽名方案中之私密金鑰份額，在臨限簽名方案中，至少私密金鑰份額之臨限值必須用以代表會議產生用於交易之有效簽名。私密金鑰份額之其他持有者係會議的已藉由將各別數位資產結轉至公開群組位址而在許可或非許可基礎上加入會議的其他成員。

為重新產生私密金鑰份額，在步驟408處，現存會議成員可協作以更新金鑰份額。舉例而言，節點102可產生階數為t且常數項為零

(x)之隨機多項式。節點102可接著計算點

(n+1)且將此設定為其私密金鑰份額。節點102可接著將此多項式

(i)上之點分散至現存會議成員中之每一者，i=1,...,n。每一現存會議成員(i=1,...,n)接著將所接收值新增至其現存私密金鑰份額以獲得新的私密金鑰份額。節點102現具有等同於所有其他成員之私密金鑰份額且對應公用金鑰保持不變。如上文所描述，臨限簽名方案可屬於各種類型，包括橢圓曲線數位簽名演算法或基於施諾爾方案之臨限方案。

私密金鑰份額可在TEE 250(圖2)內產生且可安全地儲存於節點102上。舉例而言，私密金鑰份額可儲存於TEE 250中。

在由各別節點產生私密金鑰份額之後，可將在先前會議公用金鑰之控制下的資金(例如，結轉至與原始會議公用金鑰相關聯之公開群組位址的資金)結轉(經由在臨限簽名方案下足以產生有效簽名之數個群組節點的協作)至與新私密金鑰份額相關聯之新會議公用金鑰。

在私密金鑰份額產生於步驟處408處之後，其可用於加入會議之方法400之步驟410處。私密金鑰份額可用以自可由成員廣播之公開群組位址以協作方式產生用於交易之有效簽名。亦即，私密金鑰份額可用於臨限簽名方案中以促成簽名產生。在臨限簽名方案下，各別成員需要使用會議之臨限數目個私密金鑰份額以產生有效簽名，其允許脫離會議來結轉數位資產。執行加入會議之方法400之節點102可自儲存器擷取私密金鑰份額且使用私密金鑰份額以便促成簽名產生。若足夠數目個其他會議成員亦使用其各別私密金鑰以促成簽名產生，則產生簽名且可廣播有效傳出交易。當區塊鏈網路100之挖掘者104(圖1)將交易新增至藉由區塊鏈網路100中之節點102之共識而新增至區塊鏈的經挖掘區塊且該區塊經確認時，傳出交易係完整的。此時，表示於交易中之數位資產可不再處於會議之控制下。亦即，此類數位資產可能不再受會議公用金鑰約束。

在步驟408處私密金鑰份額之使用可在節點102之TEE內執行。TEE保護私密金鑰份額使得系統之其他部分及成員自身皆無法存取儲存於指定位址空間中之任何資料，諸如私密金鑰份額。另外，TEE保護私密金鑰，此係因為若成員希望其存款被返還且接收回其存款，則TEE無法保持私密金鑰之複本，此係因為其必須在返還成員存款之前認證私密金鑰之刪除。

圖4之加入會議之方法400可在初始設置階段期間或之後執行。亦即，加入會議之方法400可在初始金鑰份額分散之前(例如，在圖3 之起始會議之方法300的步驟308期間)或之後(例如，在下文將更詳細地論述之重新平衡期間)執行。

在步驟410處之交易可將數位資產結轉回至最初將彼等數位資產存放至會議集區之一方。亦即，結轉可將數位資產返還至存款人。結轉亦可將數位資產結轉至其他處。舉例而言，可將數位資產結轉至第三方或不可用位址。

數位資產之沒收

現參看圖5，說明沒收數位資產之實例方法500。圖5之沒收數位資產之實例方法500可藉由節點102執行，該節點可為執行圖4之加入會議之方法400的同一節點。沒收數位資產之實例方法500可在圖4之加入會議之方法400的步驟408之後執行，使得在執行圖5之沒收數位資產之實例方法500時，節點102已存取私密金鑰份額。

在步驟502處，節點102偵測藉由惡意方進行之惡意活動。惡意方可為會議之另一成員。當節點102判定會議之成員違反協定或準則時，偵測到惡意活動。舉例而言，當作為會議中之成員的節點時將錯誤資訊(亦即，錯誤的、不一致的或因其他原因不可接受的資訊)報告至會議之其他成員時，該成員可被視為惡意成員。

在步驟503處，回應於偵測到惡意活動，節點102與會議中之其他節點協作可暫停作為惡意方之成員。亦即，該會議可排除惡意方進一步參與會議。

為確保所有節點102遵循預定義協定或準則操作，存款至會議集區中之成員可能會遭受沒收。沒收意謂永久地防止被視為沒收之成員存款的返還。形成由於惡意活動而不被返還的成員存款之數位資產可離開會議集區但不被返還(回應於應進行此動作之共識)、立即或在未來結轉至 另一不可用位址或以其他方式沒收，且沒收之性質可取決於會議是否充當用於側鏈之結合驗證器集合。舉例而言，在步驟504處，回應於偵測到惡意方之惡意活動，執行沒收數位資產之實例方法500之節點102可使用私密金鑰份額來提供沒收交易(其為將數位資產結轉至不可用位址或作為揭露惡意活動之獎賞而結轉至另一節點的交易)之部分簽名。亦即，該節點與會議之其他節點協作以沒收先前由惡意方結轉至公開群組位址(亦即，結轉至會議集區)的數位資產之至少一部分。亦即，回應於觀察到群組成員違反預定義協定或準則，利用私密金鑰份額來促成與群組成員相關聯且持有於會議集區中之一或多個數位資產的交易之授權。

由於臨限簽名方案與會議公用金鑰一起使用，因此單獨起作用之個別節點無法脫離會議集區來結轉另一會議成員之數位資產存款(例如，結轉至不可用位址)。確切而言，可僅在臨限數目個私密金鑰份額由其各別成員用以產生有效簽名從而將數位資產結轉另一位址時或在具有至少臨限數目個私密金鑰份額之成員群組達成暫停成員(在步驟503處)之共識時藉由結轉沒收數位資產，其使來自暫停成員之任何撤回請求被自動忽略。在藉由結轉沒收數位資產時，數位資產可結轉至之另一位址可與不可用位址相關聯。舉例而言，該另一位址可為無私密金鑰存在以使得任何方皆不可存取受該位址之公開金鑰束縛之數位資產的位址。在確認將數位資產結轉至不可用位址之交易時或在側鏈上達成應沒收數位資產之共識時，可認為數位資產已被燒毀，因為其不再可由會議之任何成員或替代地由區塊鏈網路100中之任何節點使用。

因此，在步驟504處，節點可藉由使用私密金鑰份額與會議之其他成員協作來產生用於至不可用位址之交易的有效簽名來沒收數位資產，且在一些實施中可涉及在第二區塊鏈上達成成員應永久地被剝奪其全 部或部分存款之共識。

另外，在一些實施中，會議可充當保證權益證明側鏈之安全的聯合的證實者集合，且此側鏈可用作廣播通道。舉例而言，可藉由側鏈上的會議成員達成已有成員惡意地起作用之共識。此共識可對應於含有惡意活動之控告證據的側鏈交易之確認。當達成共識時，將拒絕由惡意成員作出之對撤回成員存款的任何請求，且將存款視為被沒收。被沒收的數位資產可在未來某一時間燒毀。亦即，在稍後的某個時間，臨限數目個成員(不包括惡意成員)可協作以授權被沒收數位資產至不可用位址之結轉。

由於會議係可由區塊鏈網路100之任何節點102經由存放數位資產來加入之開放群組，因此群組成員資格可能週期性地改變。當此等改變出現時，可更新私密金鑰份額分散。現參看圖6，說明更新私密金鑰份額分配之實例方法600。更新私密金鑰份額分配之實例方法600可藉由區塊鏈網路100之節點102協同區塊鏈網路100之其他節點執行。

使用新公開位址更新私密金鑰份額分配

在更新私密金鑰份額分配之實例方法600之步驟602處，節點102偵測重新分配請求，其為若欲滿足則需要重新分配金鑰份額之請求。舉例而言，節點102可偵測到預期新成員已將數位資產結轉至公開群組位址中或現存成員已請求撤回成員存款。

可藉由請求加入會議或在會議中增加其參與之節點及藉由未請求加入會議但替代地出於另一目的(諸如，將數位資產結轉至側鏈，如下文將描述)將數位資產結轉至會議之其他節點來將數位資產結轉至公開群組位址(亦即，結轉至會議集區)。在步驟602處，節點102可使用包括於至公開群組位址之數位資產交易中之至少一些中的一或多個屬性識別會議成員(亦即，為加入會議而非出於另一目的來將數位資產結轉至會議 公用金鑰之多方)。舉例而言，可使用交易中之屬性將某些交易標記為特殊交易。此等屬性(或其存在或不存在)可指示進行結轉之目的。舉例而言，當結轉者並非請求加入會議時，可將旗標包括於交易中。

回應於在步驟602處偵測到滿足需要重新分配金鑰份額之請求，在步驟604處，藉由節點102以類似於在圖4之加入會議之方法400之步驟408處產生私密金鑰份額之方式的方式產生新私密金鑰份額。會議之其他成員節點亦產生各別私密金鑰份額。此等私密金鑰份額可與用於新會議公用金鑰之臨限簽名方案一起使用。此時將離開會議之成員在步驟604期間不產生新的私密金鑰份額，且由於其將未經分配私密金鑰份額以與新的會議公用金鑰一起使用，因此其失去參加會議之能力且不再被視為會議成員。

另外，回應於偵測到重新分配請求(其係滿足需要重新分配金鑰份額之請求)，在步驟606處，節點102與其他會議成員合作以將公開群組位址中之所有數位資產結轉至與新的公用金鑰(其將接著變成新的會議公用金鑰)相關聯之新的公開位址。

因此，根據圖6之更新私密金鑰份額分配之實例方法600，當存款之分配改變時或當自成員接收到撤回存款之請求時，可重新產生私密金鑰份額且可將在會議之控制下的所有數位資產移動至新的公用金鑰。可更新會議之成員資格的頻率受區塊鏈網路100之區塊時間限制。許多應用可僅需要低頻率之重新平衡。

更新私密金鑰份額分配同時保持現存公開群組位址

現參看圖7，說明更新私密金鑰份額分配之另一實例方法700。更新私密金鑰份額分配之另一實例方法700可藉由區塊鏈網路100之節點102協同區塊鏈網路100之其他節點執行。

在圖7之更新私密金鑰份額分配之另一實例方法700中，會議公開金鑰並不在成員存款之分配每次改變時改變。當偵測到分配新的金鑰份額之請求時(在步驟702處，其可經由將數位資產存放至公開群組位址來發生)，節點102與會議之其他成員協作以將針對同一公用金鑰之新的私密金鑰份額發出(在步驟704處)至群組之新成員。合作之節點之數目至少係在臨限簽名方案下產生數位簽名所需之節點之臨限數目。在步驟704處，可分配額外金鑰份額，而其他金鑰份額保持相同。此可需要(臨限簽名方案之)臨限值的改變，但實務上，該改變可為小的。或者，在步驟704處，可分配額外金鑰份額，同時更新其他金鑰份額。此類更新需要伴隨著對前一代之任何金鑰份額之刪除的認證。在此情況下，可分配新份額同時維持相同臨限值(在SSS之上下文中，此涉及階數增加之新多項式的共用)。

在步驟702處，節點102可使用包括於至公開群組位址之數位資產交易中之至少一些中的一或多個屬性識別會議成員(亦即，為加入會議而非出於另一目的來將數位資產結轉至會議公用金鑰之多方)。舉例而言，可使用交易中之屬性將某些交易標記為特殊交易。此等屬性(或其存在或不存在)可指示進行結轉之目的。舉例而言，當結轉者並非請求加入會議時，可將旗標包括於交易中。

當成員離開使用更新私密金鑰份額分配之另一實例方法700之會議時，其可安全地刪除其私密金鑰份額。為確保舊成員之私密金鑰份額不可用，可能需要會議之成員使用具有特殊TEE之節點102。TEE係在硬體層級處實施之架構，其保證執行於其內之指令及資料受到保護以免由系統之剩餘部分存取及操縱。TEE可使用硬體機構來對遠端認證挑戰作出回應，該等挑戰可用以向外部方，諸如會議中之其他節點證實系統之完整性。

每一成員節點可使用經鑑定之TEE，其經組態以產生一或多個隨機秘密值，該等值在不損害積體電路層級處之硬體的情況下不可由主體系統存取。以此方式產生之秘密值將用於私密金鑰份額之分散式產生中(例如，在圖4之加入會議之方法400的步驟410處)。此秘密值亦可用以在會議之設置階段中建立共用的公用金鑰。與設置協定相關聯之計算係在TEE指定位址空間內執行，使得無成員或之前成員可自成員間通信或任何其他方法導出關於其自身的或其他私密金鑰份額之任何資訊。TEE內之指定位址空間使得能夠執行遠端認證協定，其可用以向其他節點證明TEE指定位址空間可靠且其正執行批准之電腦可讀指令。

與群組改變相關聯之計算係在TEE指定位址空間內執行。舉例而言，在TEE指定位址空間中執行可出於SSS之目的而用於計算新多項式的新的安全隨機秘密之產生。

TEE指定位址空間亦旨在確保在可返還成員存款之前，不再使用的先前金鑰份額及先前秘密被安全地刪除。更特定而言，為返還成員存款，認證協定可能需要TEE指定位址空間對金鑰份額之刪除進行認證。每一節點102可經由遠端認證協定將此認證解譯為所需刪除已在其他節點上發生之確認。因此，更新私密金鑰份額分配之另一實例方法700亦可包括確認已自與已離開會議之成員相關聯的節點刪除先前持有於彼成員之TEE內的私密金鑰份額。此確認可藉由接收對私密金鑰份額之刪除的認證來執行。因此，遠端認證協定可用以獲得對先前持有於已離開會議之成員之TEE中的私密金鑰份額之刪除的認證。

圖6之更新私密金鑰份額分配之實例方法600及圖7之更新私密金鑰份額分配之另一實例方法700各自提供各種益處。舉例而言，圖6之更新私密金鑰份額分配之實例方法600並不依賴於安全刪除且並不需要 依賴於受信任硬體。然而，圖6之更新私密金鑰份額分配之實例方法600可受益於此硬體，此係因為在一些情況下，此硬體可使金鑰份額之惡意彙集更不可能。

圖7之更新私密金鑰份額分配之另一實例方法700避免在每次成員資格改變時必須在新的會議公用金鑰下重新鎖定數位資產。舉例而言，使用TEE實施更新私密金鑰份額分配之另一實例方法700可允許可使用永久群組位址，其中群組成員可進出而不損害安全性。方便地，以此方式，可避免必須改變群組地址之額外負荷，同時仍提供適當安全性。另外，在一些情況下，更新私密金鑰份額分配之另一實例方法700可比圖6之更新私密金鑰份額分配之實例方法600更快速地更新成員資格，此係因為在圖7之更新私密金鑰份額分配之另一實例方法700下，不需要將交易新增至區塊鏈以將所有數位資產移動至新的公用金鑰，此係因為不將數位資產移動新的公用金鑰。亦即，可使用圖7之更新私密金鑰份額分配之另一實例方法700更新成員資格而不必等待若干區塊產生以確認數位資產至新的公用金鑰之結轉，此係因為公用金鑰不改變。

自會議解除登記

如上文所提到，群組成員可能偶爾請求離開會議且在群組成員自會議解除登記時，可將其存放至會議集區之數位資產返還給該群組成員。現參看圖8，以流程圖形式說明返還存款之實例方法800。該方法可藉由節點102與會議之其他節點102協作執行。

在返還存款之實例方法800之步驟802處，節點102自係會議成員之請求者接收撤回請求。撤回請求亦可稱為解除登記請求。撤回請求係撤回先前由請求者存放且當前受會議控制之數位資產的請求。該請求可已由請求者廣播至所有會議成員。

回應於接收到該請求，節點102在步驟804處對照所判定準則評估該請求。此類準則可為預定準則。若會議根據每次群組成員資格改變時會議公用金鑰皆不改變之會議協定而操作，則在步驟804處，節點102可確認私密金鑰份額已由請求者刪除。可使用與TEE相關聯之遠端認證協定獲得此確認。

若會議協定係當成員資格改變時會議公用金鑰改變之協定，則節點102可能不確認私密金鑰份額之刪除，此係因為私密金鑰份額不再有效。實情為，可使用新的會議金鑰且可將在會議控制下之其他數位資產結轉至新的會議金鑰。

若節點102基於評估而批准撤回請求，則在步驟806處，節點促進數位資產之撤回。亦即，節點102使用其私密金鑰份額協作地產生數位簽名且使用數位簽名將先前由請求者傳存放之數位資產結轉回至請求者。舉例而言，可將數位資產發送回至先前接收數位資產所自的位址。根據臨限簽名方案執行步驟806使得僅在至少臨限數目個會議成員對撤回進行授權之情況下實行。步驟806係在需要解除登記之成員暫停活動持續一段時間之後執行。此等待週期防止成員在正執行返還其成員存款之協定的同時作出不當行為。

該會議協定可用於數個不同目的。該會議提供用於執行各種功能之安全機制。該會議可不受信任地操作且提供對數位資產之所有權控制。

舉例而言，會議協定可用來實施安全無許可工作量證明區塊鏈與安全無許可權益證明區塊鏈之間的雙向掛鉤。雙向掛鉤為允許數位資產自一個區塊鏈至另一區塊鏈且再次返回之有效結轉的機制。更特定而言，數位符記可自可稱為主鏈之主區塊鏈網路結轉至可稱為側鏈或替代鏈 之單獨的輔助區塊鏈網路。主鏈無需為特殊組態之主鏈。實際上，下文描述之技術將利用現有協定在主鏈(諸如比特幣)上操作。該等技術將利用授權使用數位簽名結轉數位資產之任何主鏈進行操作。如下文將更詳細地描述，自主鏈之結轉可藉由將數位資產暫時鎖定在主鏈上同時側鏈之挖掘者鑄就側鏈上之對應數位資產來達成。在存在此動作藉以導致解除鎖定主鏈上之等效量之數位資產的機制時，自側鏈至主鏈之結轉亦可藉由燒毀側鏈上之數位資產來執行。

具有多個區塊鏈網路之系統

現參考圖9，說明實例第一區塊鏈網路及第二區塊鏈網路之方塊圖。第一區塊鏈網路900為工作量證明區塊鏈網路。第一區塊鏈網路900可具有上文參考圖1所描述的類型。第一區塊鏈網路900包括使用可包括有線及無線通信技術之合適通信技術彼此耦接之數個節點102a、節點102b。

第一區塊鏈網路900之節點102a、節點102b維護第一區塊鏈(其可稱為主鏈)上之所有交易的全域總帳。節點102a、節點102b中的至少一些作為該區塊鏈網路900之挖掘者104而操作。

第二區塊鏈網路902為權益證明區塊鏈網路。第二區塊鏈網路902包括彼此耦接且維護第二區塊鏈網路902之全域總帳的多個節點102c、節點102b。第二區塊鏈網路902之全域總帳與第一區塊鏈網路900之全域總帳分開且相異。第二區塊鏈網路902之全域總帳可稱為側鏈。

基於權益證明之第二區塊鏈網路902提供用於達成共識之替代機制。在權益證明區塊鏈網路中，區塊鏈由權益證明而非工作量證明保證安全。在權益證明下，挖掘者906存放數位資產之安全存款，且被選為挖掘區塊之節點的概率與提供為安全存款之數位資產的量成比例。權益 證明區塊鏈系統可用以避免對工作量證明區塊鏈進行挖掘所需之計算費用及能量。另外，相比工作量證明區塊鏈，權益證明區塊鏈可允許更高頻率及更規則的區塊建立。

第二區塊鏈網路902亦包括使用合適通信技術耦接至一起的數個節點102b、節點102c。此等節點102b、節點102c維護第二區塊鏈網路902之全域總帳。

多個節點102b充當第二區塊鏈網路902之挖掘者906。因為第二區塊鏈網路902為權益證明區塊鏈網路，因此挖掘者906存放數位資產以便被包括為挖掘者。更特定而言，側鏈之挖掘者906形成結合驗證器集合以便在第二區塊鏈網路902上挖掘。此等挖掘者906亦為與第一區塊鏈網路900相關聯之會議110的成員。亦即，為第一區塊鏈網路900及第二區塊鏈網路902二者之部分的節點102b充當第二區塊鏈網路902之挖掘者906及在第一區塊鏈網路900上建立的會議110之成員。此等挖掘者906根據上文所描述的方法加入會議110且參與會議110。其數位資產至會議集區之存放在主鏈中進行。亦即，會議成員將其「權益」存放在工作量證明第一區塊鏈網路900上以成為第一區塊鏈網路900之會議成員，且亦藉由形成結合驗證器集合而充當第二區塊鏈網路902上之挖掘者906。第一區塊鏈網路900上之成員存款充當第二區塊鏈網路902之安全存款。

又，因為成員持有之私密金鑰份額之量係基於成員的安全存款量，且因為此類存款由於惡意行為而經受沒收，因此對會議活動具有較大影響的成員(亦即，持有較多私密金鑰份額之成員)較之於影響較小的成員會有更大損失。會議110為任何節點在提交足夠權益至與會議110相關聯的集區之後即可加入的開放式成員資格群組。因為會議成員為第二區塊鏈網路902上之挖掘者，因此其可在第二區塊鏈網路902上建立新數位 資產以有效地將數位資產自第一區塊鏈網路900結轉至第二區塊鏈網路902。會議110可用以提供工作量證明區塊鏈與權益證明區塊鏈之間的雙向掛鉤。

圖9中所說明的節點102a、節點102b、節點102c可為上文參考圖2所描述的類型之電子裝置200。

雙向掛鉤

現將參考以流程圖形式作為實例說明提供雙向掛鉤之方法1000的圖10。雙向掛鉤之方法1000可由在第一區塊鏈網路900(亦即，工作量證明區塊鏈網路)及第二區塊鏈網路902(亦即，權益證明區塊鏈網路)二者中操作的節點102b執行。電腦可讀指令可儲存於此類節點之記憶體中，且此等指令在由節點之處理器執行時組態該處理器以執行雙向掛鉤之方法1000。

在步驟1002處，節點102b加入會議。可以上文參考圖4所描述的方式加入會議。舉例而言，節點102b可將一或多個數位資產結轉至與會議公開金鑰相關聯之公開群組位址。公開群組位址具有與會議之其他成員(例如，其他節點102b)相關聯之一或多個其他數位資產。在節點102b加入會議時，節點102b產生私密金鑰份額以供用於臨限簽名方案中，在臨限簽名方案中，至少必須使用私密金鑰份額之臨限值來產生代表會議之有效簽名。如上文所描述，臨限簽名方案可具有各種類型，包括橢圓曲線數位簽名演算法或基於施諾爾方案之臨限方案。

私密金鑰份額之其他持有者係會議的已藉由將各別數位資產結轉至公開群組位址而在許可或非許可基礎上加入會議的其他成員。

在步驟1004處，加入會議之節點102b與會議之其他成員一起形成權益證明區塊鏈網路(例如，第二區塊鏈網路902)上之結合驗證器 集合。亦即，在將數位資產存放為安全數位資產(其存放可稱為「結合」)之後，會議(其經由存放在第一區塊鏈網路900上而形成)之成員現在充當第二區塊鏈網路902上之挖掘者，從而週期性地產生用於第二區塊鏈網路902之新區塊。

在已形成會議之後，為會議成員之節點102b可在步驟1006處偵測對工作量證明區塊鏈網路上之數位資產至群組公開位址之特殊交易的確認。若該交易滿足將該交易與用來加入會議之交易區分開之預定準則，則判定該交易特殊。舉例而言，若該交易包括特定旗標、變數或屬性，則可判定該交易特殊。

在偵測到特殊交易之後，節點102b可等待直至至少臨限數目個區塊已新增至工作量證明區塊鏈網路之區塊鏈。此等待週期可降低工作量證明區塊鏈網路上的區塊鏈之可能重組(其可能使步驟1006處之交易成空)的風險。因此，儘管未在圖10中說明，但該方法可包括判定在偵測到特殊交易之後至少臨限數目個區塊已新增至工作量證明區塊鏈網路之區塊鏈的操作。

在臨限數目個區塊已新增至工作量證明區塊鏈之後，節點102b鑄就(在步驟1008處)權益證明區塊鏈網路上的對應數位資產。此等數位資產係回應於偵測到特殊交易而鑄就，且鑄就量對應於在步驟1006處偵測到的特殊交易中之數位資產之量。

所鑄就之數位資產在權益證明區塊鏈網路上置放至與公開金鑰之擁有者(其進行在1006處偵測到的特殊交易)相關聯的帳戶中。因此，將數位資產結轉至工作量證明區塊鏈網路上之會議的一方恢復對權益證明區塊鏈網路上之數位資產之控制。此方現在以各種方式自由地使用此等數位資產，包括例如將此等數位資產結轉至其他帳戶。

鑄就藉由所選會議成員執行。更特定而言，選擇亦充當權益證明區塊鏈網路之挖掘者906的會議成員來藉由權益證明區塊鏈網路產生區塊。節點被選擇之概率係基於節點已擁有的數位資產之量。該概率可與節點已存放至會議公開金鑰之數位資產之量成比例。

在稍後某一時間，數位資產之擁有者可能希望將數位資產結轉回至工作量證明區塊鏈網路(亦即，主鏈)。為此，其可發出將數位資產結轉回至工作量證明區塊鏈網路之請求。此類請求可以權益證明區塊鏈網路上之特殊交易的形式來發出。此交易可為特殊的，因為其為至特殊不可用位址之交易，特殊不可用位址為在發送者希望將基金結轉回至主鏈時應將此等基金發送至之位址。亦即，交易特殊可能係因為位址為特殊位址。在步驟1010處，節點102b可偵測將權益證明區塊鏈網路上之數位資產結轉回至工作量證明區塊鏈網路之請求。舉例而言，在步驟1010處，可能存在將基金發送至特殊位址的交易之挖掘。

為防止重組，節點102b可等待直至在步驟1010處偵測到請求之後至少臨限數目個區塊新增至權益證明區塊鏈網路之區塊鏈。因此，儘管未在圖10中說明，但雙向掛鉤之方法1000可包括判定在偵測到請求之後至少臨限數目個區塊已新增至權益證明區塊鏈網路之區塊鏈的操作。

回應於偵測到此類請求且判定臨限數目個區塊已新增至權益證明區塊鏈，節點102b在步驟1012處使用用於會議之其私密金鑰份額來協作地產生用於自公開群組位址之交易的有效簽名。舉例而言，交易可直接或藉由將會議成員之間的交易之所需資訊包括在側鏈上而經由側鏈流通，且成員可新增其部分簽名直至獲得有效簽名，此時，交易可廣播至工作量證明區塊鏈網路之挖掘者104。該交易將數位資產結轉至工作量證明區塊鏈網路上之一位址，該位址可為與發出在步驟1010偵測到的請求的節點 相關聯的位址。

在步驟1010處結轉數位資產至之特殊位址為不可用位址。因此，在步驟1010處結轉數位資產燒毀權益證明區塊鏈上之數位資產以防止加倍花費(亦即，數位資產在兩個區塊鏈上重複)。

為增強安全性，可在節點中的受信任執行環境中執行結轉操作的至少一部分。舉例而言，可在節點上之受信任執行環境內執行至少臨限數目個區塊已新增至權益證明區塊鏈網路之區塊鏈的判定。在使用私密金鑰份額之前，該節點亦可在受信任執行環境內確認在步驟1010處偵測到的請求之有效性。亦可在受信任執行環境內執行私密金鑰份額之產生及使用。

防止單向下注攻擊

為進一步增強安全性，協定可包括一或多個保障措施以保護免受單向下注攻擊。單向下注攻擊之實例出現於(亦即，與惡意方相關聯之節點)在主鏈上建構耗費在會議控制下(亦即，由會議公開金鑰約束)之全部或一部分數位資產。詐騙者可能提供至其他成員之交易以新增部分簽名。若與成員相關聯之臨限數目個私密金鑰份額參與，則可產生有效簽名。若用於協定之臨限簽名方案不為聚集簽名方案(例如，若使用ECDSA)，則可能難以識別貢獻部分簽名之成員。若詐騙成功則可能預計會得到付款的成員可能將其部分簽名新增至交易，且將交易傳給他人而無作為詐騙方暴露之風險。新增部分簽名由此可視為單向下注，因為可能發生之最壞情況為收集的部分簽名不足以獲得完整簽名。

因此，協定可包括用於保護協定免於單向下注之一或多個特徵。舉例而言，每一節點之TEE可經組態以週期性地認證其已部分地簽名之所有交易，或可能需要其在回收其存款之前廣播此類認證。若節點認證 已將部分簽名新增至稍後判斷(藉由會議成員之臨限值)為詐騙交易之交易，則可藉由其他誠實成員節點偵測此類惡意活動(例如，在圖5之沒收數位資產之實例方法500的步驟502處)。在偵測到此類惡意活動時，誠實成員節點可協作以暫停成員(如上文參考圖5之沒收數位資產之實例方法500之步驟503所描述)或沒收該成員之數位資產(如上文參考圖5之沒收數位資產之實例方法500之步驟504所描述)。儘管可用於幫助保護協定免於單向下注，但此技術在使用週期性認證時可能引入額外負荷。另外，在返還存款之前需要認證的情況下，可能歷時長時間段偵測不到詐騙。

協定可包括其他安全性措施以便防止單向下注。舉例而言，可使用聚集簽名方案，諸如Boneh、Gentry、Lynn及Shacham「BGLS」方案(Aggregate and Verifiably Encrypted Signatures from Bilinear Maps，密碼編譯技術理論及應用國際會議，EUROCRYPT 2003：密碼學進展，第416至432頁)。聚集簽名允許不同簽名者對不同訊息進行簽名，同時僅產生一個簽名，該簽名可「一次性」地進行驗證。

為了使用BGLS，每一成員之TEE可持有在主鏈上使用之臨限簽名方案的單一私密金鑰份額及BGLS私密金鑰。對應於BGLS私密金鑰之公開金鑰可稱為份額ID(「SID」)。BGLS私密金鑰可為使用TEE內之安全隨機數產生器產生之隨機數。用於臨限簽名方案之私密金鑰份額為已使用多方金鑰產生協定在TEE內部計算的份額。

BGLS可以如下方式提供對單向下注之防止。在節點出於登記目的支付至會議公開金鑰(其可在圖4的加入會議之方法400之步驟404處發生)時，登記交易可包括：i)主鏈上由指定位址空間已看到的最近區塊之數目及散列，以及可用作廣播頻道用於成員之間通信的第二區塊鏈(亦即，側鏈)上的最近區塊之數目及散列；ii)引述(記憶體之在由 TEE之認證金鑰簽名且綁定至SID的指定位址空間內的初始內容之散列)。

在請求TEE提供登記交易所需的資料之前，成員必須將主鏈及第二區塊鏈上之所有區塊依次發送至其TEE中，以每一區塊鏈之起源區塊開始。TEE經組態以檢查主鏈上之工作量證明且保持當前成員資格之記錄，該記錄可藉由分析登記及解除登記交易來獲得。此允許TEE獨立地(例如，獨立於其擁有者)建立當前SID。亦即，其允許TEE建立對應於會議之所有當前成員之SID。

為進行登記(例如，在圖4的加入會議之方法400之步驟404期間)，(前瞻性)成員建構可支付至用於會議之公開群組位址的登記交易、對該登記交易進行簽名且將其廣播至為主鏈之區塊鏈網路(例如，圖9之第一區塊鏈網路900)。登記交易參考對於至少一個金鑰份額足夠之UTXO。在主鏈上確認登記交易時，會議之成員可協作以發出新金鑰份額至已登記成員之TEE(例如，如上文參考圖7之更新私密金鑰份額分配之另一實例方法700之步驟704所描述)。

在會議希望起始由會議公開金鑰約束之數位資產之交易時，會議中之節點可提出在第二區塊鏈網路902上(亦即，在諸如側鏈之替代鏈上)之交易T(M)。此時，交易T(M)為意欲結轉主鏈M上之數位資產之無簽名交易，其係在側鏈A上提出。亦即，第二區塊鏈網路902(亦即，側鏈)可用作廣播頻道。在一個成員希望將一些資訊傳達至所有其他成員時，其可將資訊置於交易上且將其發送至側鏈。

在第二區塊鏈網路902(側鏈)頂部上挖掘出至少臨限數目個區塊時，認為交易T(M)在第二區塊鏈網路902(側鏈)上被批准。在TEE觀察到交易在第二區塊鏈網路902(亦即，諸如側鏈之替代鏈)上被批准(亦即，提出並確認)時，其廣播預提交項(precommit)。預提交項由交易T(M) 上的BGLS簽名及對應於該BGLS簽名之SID構成。預提交項發送至第二區塊鏈網路902，以使得其與其他會議成員共用。亦即，預提交項可囊封於第二區塊鏈網路902上的交易中。

一旦由節點且更特定而言由主鏈及第二區塊鏈網路902二者之區塊輸入至之TEE觀察到預提交項之臨限值，節點即會輸出已預提交的交易T(M)之提交項(部分簽名)。舉例而言，臨限值可設定於所有當前SID中之簡單多數。含於交易中的提交項在含有T(M)之部分簽名的第二區塊鏈網路902上發送，該部分簽名參考T(M)。

在第二區塊鏈網路902中觀察到至少臨限數目個提交項以建構完整簽名時，經簽名交易T(M)經建構且廣播至第一區塊鏈網路900(例如，主鏈)。

使用預提交項可提供額外安全性，因為聚集簽名方案之特性意謂成員不能在不展現其身分識別的情況下貢獻預提交項。亦即，其身分識別以SID形式展現，該SID與登記程序期間之成員存放相關聯。

除了上文所描述的措施之外，與節點相關聯之TEE可經進一步組態以使得交易僅在其已在第二區塊鏈網路902上批准的情況下才提交或預提交。舉例而言，所有區塊可建構於TEE內，該等TEE經組態而使得區塊將始終含有需要其之獲批交易之預提交項或提交項(對應於建構有該等預提交項或提交項之TEE之SID)。因此，成員不能制止將提交項或預提交項發送至獲批交易且繼續在側鏈上挖掘。

觀察到至第二區塊鏈網路902上之未獲批交易的預提交項之節點可將此類惡意行為報告至結合驗證器集合之其他成員。可經由暫停或沒收成員存款而懲罰惡意成員(由其SID識別)，如上文所描述。舉例而言，回應於觀察到至未獲批交易之預提交項，成員可協作以立即暫停SID， 以使得不再接受其獲得任何進一步提交項，且暫停有罪成員參與協定。另外，一旦含有控告證據之交易在第二區塊鏈網路902中確認，即可沒收有罪成員之存款，且其存款燒毀。誠實的成員可協作以獎賞報告惡意行為之節點(例如，藉由將所沒收數位資產的至少一部分結轉至報告惡意行為之節點)。因此，聚集簽名方案在預提交階段之應用可例如藉由防止單向下注攻擊而加強協定之安全性。

為防止成員嘗試哄騙TEE判定主鏈中工作量證明的當前難度小於其當前難度，TEE可經組態以在觀察到難度之急劇降低時採取動作。更特定而言，若區塊在其到達時提交至TEE，則可依據區塊之間的時間間隔建立難度。預期難度中任何降低為逐漸的，且急劇降低(可基於預定準則判定降低為「急劇」)可由成員嘗試藉由以下操作來哄騙TEE造成：在區塊到達時不提供區塊，以使得看起來難度已下降以使得更容易假冒工作量證明主鏈之區塊。為提供進一步安全性，TEE可經組態以回應於在主鏈上觀察到難度之急劇降低而將預提交項輸出至待在第二區塊鏈網路902上挖掘之新難度(連同區塊之散列及區塊數目)。包括區塊之散列以允許證實區塊對應於新難度，且包括區塊數目以允許其他成員快速比較所要求的難度或區塊散列與區塊鏈之其複本上相同高度處之區塊。

僅在其具備用於含有達到相同難度(對應於在難度急劇降低之前使存款處於適當位置的其他成員)的預提交項之臨限值的第二區塊鏈之區塊時，其才會重新校準主鏈難度且接受在主鏈上註冊之新成員，此係因為觀察到難度之急劇下降。

在使用諸如BGLS之聚集簽名方案的情況下，用於返還成員存款之程序可包括額外要求。舉例而言，可能需要請求返還存款之節點認證(經由其TEE)私密金鑰份額及BGLS私密金鑰二者之刪除。其他成 員節點可經組態以在將成員存款返還至撤回成員的交易中僅包括其預提交項或部分簽名(若該撤回成員已認證刪除了私密金鑰份額及BGLS私密金鑰二者)。

亦可能需要撤回成員之節點經由其TEE認證其已預提交或提交之所有交易。其他成員節點可經組態以在將成員存款返還至撤回成員的交易中僅包括其預提交項或部分簽名(若該撤回成員尚未預提交被判定為尚未批准之任何交易)。

由於上述程序，惡意成員極不可能得益於自TEE保留區塊。除對應於已確認SID之預提交項以外，TEE可能認為有效之僅有預提交項為對應於不再存在之BGLS私密金鑰的預提交項(且此情況可能以顯著概率發生之唯一方式為成員尚未提供具有最新區塊之TEE且TEE將一些成員註冊為當前成員，實際上此時所述成員已離開會議、刪除其金鑰份額且回收其成員存款)。另外，由於上述原因，成員不能誘發其TEE提供預提交項至詐騙(亦即，未批准)交易，且隨後被會議准許返還其存款。因此，激勵成員確保TEE具有區塊鏈(亦即，主鏈及替代鏈)之最新複本。

因此，可藉由組態節點以根據包括以下特徵中之一或多者的協定進行操作來保證協定安全：i)TEE經組態以要求在其將在預提交交易上輸出部分簽名之前在第二區塊鏈網路902(例如，權益證明側鏈)上觀察到預提交項之臨限值；ii)僅在一成員之TEE a)認證刪除了私密金鑰份額及BGLS私密金鑰且b)其預提交之所有交易無一者被判斷(藉由第二區塊鏈網路902上之共識)為未獲批的情況下才返還該成員存款；iii)在TEE內建構之任何區塊將始終含有需要(預)提交項之獲批交易(亦即，有待搜集(預)提交項之臨限值的那些獲批或預提交交易)之(預)提交項；以及iv)TEE可經組態以回應於主鏈上難度之觀察到的急劇降低而將預提 交項輸出至待在第二區塊鏈網路902上挖掘之新難度(連同區塊之散列)。僅在其具備用於含有達到相同難度(對應於在難度急劇降低之前使存款處於適當位置的其他成員)的預提交項之臨限值的第二區塊鏈之區塊時，其才會重新校準主鏈難度且接受在主鏈上註冊之新成員，此係因為觀察到難度之急劇下降。

支援本文中所描述的第二區塊鏈網路之協定可在諸如比特幣之現有工作量證明公開區塊鏈協定的頂部上分層，而無需許可，此係因為其經由在主鏈(例如，比特幣)外部之多方協定來經由建構數位簽名進行互動，此意謂其可操作而無需主鏈挖掘者或開發者之同意。因此，協定可在現有公開工作量證明區塊鏈「上」實施，而不取決於對該公開工作量證明區塊鏈之協定的修改。在此意義上，協定可無需許可而新增至區塊鏈(因為區塊鏈協定自身無需經修改以適應另一協定)。

上文所描述之方法已大體描述為在節點處執行，但方法之特徵依賴於與其他節點之協作且可在其他處執行。

儘管以上描述大體描述在工作量證明區塊鏈網路上實施會議，但可替代地在權益證明區塊鏈網路上實施會議。

除了已經提及的特定益處及特徵之外，本文所描述的技術亦可提供額外益處。舉例而言，雙向掛鉤可允許將圖靈完備的(Turing-complete)智慧型合約功能性新增至由現有工作量證明區塊鏈(諸如比特幣)及權益證明側鏈組成之二元區塊鏈系統。在一特定實例中，儘管現有比特幣指令碼處理語言並非圖靈完備的，但可使用本文所描述技術中之一或多者來為比特幣提供圖靈完備的指令碼處理。在另一特定實例中，可藉由向權益證明側鏈賦予圖靈完備指令碼處理語言來實現此類功能性。另外，本文所描述技術中的至少一些可提供不遭受權益證明區塊鏈之 先前建議實施之無利害關係問題(nothing-at-stake problem)的權益證明區塊鏈所侵害、可提供與傳統權益證明方案相關聯之更快且更規則的區塊建立之優勢。另外，本文所描述之至少一些技術提供權益證明主鏈之挖掘者持有相當大數目個數位資產之激勵，持有相當大數目個數位資產增大工作量證明主鏈之安全性。

應注意，上文所提及之實施例說明而非限制本發明，且熟習此項技術者將能夠設計許多替代性實施例而不偏離本發明之如由附加申請專利範圍定義的許多替代性實施例。在申請專利範圍中，置放於圓括號中之任何參考符號不應被認為限制申請專利範圍。詞語「包含(comprising、comprises)」及類似者並不排除除任何請求項申請專利範圍或說明書中整體列出之彼等元件或步驟外的元件或步驟之存在。在本說明書中，「包含」意謂「包括或由……組成」。元件之單數參考並不排除此等元件之複數參考，且反之亦然。本發明可藉助於包含若干獨特元件之硬體且借助於經合適程式化之電腦予以實施。在枚舉若干構件之裝置技術方案中，此等構件中之若干者可由硬體之同一物件體現。某些措施敍述於彼此不同之附屬項中的純粹實情並不指示此等措施不能有利地組合使用。

300‧‧‧起始會議之方法

302~308‧‧‧步驟

Claims (15)

1. 一種私密金鑰對動態節點群組之安全再用的電腦實施方法，其包含：藉由一區塊鏈網路中之一節點廣播將一或多個數位資產結轉至與一會議公開金鑰相關聯的一公開群組位址之一交易，該公開群組位址與相關聯於一會議之其他成員的一或多個其他數位資產相關聯；產生一私密金鑰份額以待用於一臨限簽名方案中，在該臨限簽名方案中，至少必須使用私密金鑰份額之一臨限值來經由組合代表該會議之部分簽名來產生一有效簽名，且其中該等私密金鑰份額之其他持有者為該會議之該等其他成員，該等其他成員已藉由將各別數位資產結轉至該公開群組位址而加入該會議；以及使用該私密金鑰份額協作地產生用於自該公開群組位址之一交易的一有效簽名。
2. 如申請專利範圍第1項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其中該臨限簽名方案為一橢圓曲線數位簽名演算法。
3. 如申請專利範圍第1項或第2項中任一項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其進一步包含：偵測一惡意方之惡意活動，其中該惡意方為該會議之該等其他成員中之一者；以及沒收由該惡意方先前結轉至該公開群組位址之數位資產的至少一部分。
4. 如申請專利範圍第3項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其中沒收包含結轉至一不可用位址。
5. 如申請專利範圍第4項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其中沒收包含使用該私密金鑰份額與該會議之其他成 員協作以產生用於至該不可用位址之該交易的一有效簽名。
6. 如申請專利範圍第1項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其進一步包含：偵測一再分配請求；與其他會議成員協作以將該公開群組位址中之所有數位資產結轉至與一新公開金鑰相關聯之一新公開位址；以及產生一新私密金鑰份額。
7. 如申請專利範圍第1項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其進一步包含：偵測分配新金鑰份額之一請求；以及與該會議之其他成員協作以將用於相同公開金鑰之私密金鑰份額發出至該群組之新成員。
8. 如申請專利範圍第7項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其進一步包含確認由已離開該會議之一成員先前持有的一私密金鑰份額已自與該成員相關聯之一節點刪除。
9. 如申請專利範圍第8項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其中與已離開該會議之該成員相關聯的該節點包括一受信任執行環境，該受信任執行環境提供對該成員先前持有的該私密金鑰份額之刪除的認證。
10. 如申請專利範圍第7項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其中該會議公開金鑰約束自群組成員及非群組成員接收之數位資產，且偵測分配新金鑰份額之一請求包括使用包括在數位資產至該公開群組位址之至少一些交易中的屬性來識別會議成員。
11. 如申請專利範圍第1項所述之私密金鑰對動態節點群組之安全再用的 電腦實施方法，其中產生該私密金鑰份額及使用該私密金鑰份額係在該節點內之一受信任執行環境上執行。
12. 如申請專利範圍第1項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法，其進一步包含：自為一會議成員之一請求者接收撤回先前由該請求者存放且當前由該會議控制的數位資產之一請求；對照所判定準則評估該請求；以及使用該私密金鑰份額協作地產生一數位簽名且使用該數位簽名將由該請求者先前存放之該等數位資產結轉回至該請求者。
13. 一種電腦可讀儲存媒體，其包含電腦可執行指令，該等電腦可執行指令在執行時組態一處理器以執行如申請專利範圍第1項至第12項中任一項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法。
14. 一種電子裝置，其包含：一介面裝置；一處理器，其耦接至該介面裝置；一記憶體，其耦接至該處理器，該記憶體具有儲存於其上之電腦可執行指令，該等電腦可執行指令在執行時組態該處理器以執行如如申請專利範圍第1項至第12項中任一項所述之私密金鑰對動態節點群組之安全再用的電腦實施方法。
15. 如申請專利範圍第14項所述之電子裝置，其中該處理器包括一受信任執行環境，且其中該等電腦可執行指令係在該受信任執行環境內執行。

Images