CN108885741A

CN108885741A - 一种实现区块链上交换的通证化方法及系统

Info

Publication number: CN108885741A
Application number: CN201780009136.0A
Authority: CN
Inventors: 克雷格·史蒂文·赖特; 史蒂芬·萨凡纳
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2016-02-23
Filing date: 2017-02-14
Publication date: 2018-11-23
Anticipated expiration: 2037-02-14
Also published as: GB2571367A; JP2019513312A; AU2017222470B2; MX2018010054A; JP2022095918A; EP3420507A1; KR20180115764A; CA3014726A1; US20220156737A1; US20190043048A1; BR112018016826A2; HK1259177A1; GB201806700D0; SG11201806785YA; CN108885741B; JP7489422B2; WO2017145008A1; CN116957790A; ZA201805062B; AU2017222470A1

Abstract

根据本发明，可以提供一种用于控制经由区块链进行的处理的性能的方法及对应的系统。区块链可以是比特币区块链，或可以不是比特币区块链。该处理可以是贷款处理。有利地，本发明提供一种使得房产或其他资产的最终所有者能够针对该资产借入资金，并且阐述可以如何通过不需要通过支付利息确定对投资的回报的方式实现该机制。这使其符合非利息形式的贷款。本发明提供一种在区块链交易(Tx)中嵌入数据的区块链实现的方法(及对应的系统)。该方法包括以下步骤：推导数据的公钥‑私钥加密对；使用公钥‑私钥加密对推导数据的签名；对该数据编码以生成该数据的编码元数据。编码元数据发送到交易中的区块链。从至少一个用户接收签名和脚本，以使得能够访问嵌入的数据。该脚本包括签名方的公钥。元数据包括数据的散列和指向数据的指针，使得可以定位数据。散列用作存储数据的查找表中的主键。

Description

一种实现区块链上交换的通证化方法及系统

技术领域

本发明总体上涉及一种用于经由计算机实现的网络交换实体或资产的通证化(tokenisation)方法及相应的系统及其控制。本发明涉及关于网络上交换和转移的安全机制。特别地，本发明涉及合约的转移。本发明可适用于但不限于非债务借贷处理。本发明可以与任何点对点分布式网络结合使用。本发明可以是以包括(但不限于)比特币区块链的区块链相关技术。

背景技术

在本文献中，我们使用术语“区块链”以涵盖所有形式的基于电子、计算机的分布式账本。这些包括但不限于基于共识的区块链和交易链技术、许可和未许可的账本、共享账本及其变型。区块链技术最广为人知的应用是比特币账本，但是已经提出并开发了其他区块链实现方式。虽然本文中出于方便和说明的目的可以引用比特币，但应注意，本发明不限于与比特币区块链一起使用，并且替代的区块链实现方式和协议落入本发明的范围内。

区块链为一种电子账本，其被实现为基于计算机的去中心化的分布式系统，该系统由多个块组成，而这些块又由多笔交易组成。每笔交易是对区块链系统中的参与者之间的数字资产的控制的转移进行编码的数据结构，并且每笔交易包括至少一个输入和至少一个输出。每个块包含前一个块的散列，从而这些块变为链接在一起，以创建自从区块链起始已写入区块链的所有交易的永久的不可更改的记录。交易包含嵌入其输入和输出中的称为脚本的小程序，这些程序指定可以如何以及通过谁来访问交易的输出。在比特币平台上，这些脚本是使用基于堆栈的脚本语言编写的。

为了将交易写入区块链，必须对交易进行“验证”。网络节点(矿工)执行工作以确保每笔交易是有效的，并且使无效交易受拒于网络。安装在节点上的软件客户端通过执行其锁定脚本和解锁脚本，对未花费的交易(UTXO)执行此验证工作。如果锁定脚本和解锁脚本的执行被评估为真(TRUE)，则交易有效并且交易写入区块链。因此，为了将交易写入区块链，该交易必须：i)由接收交易的第一节点验证，如果交易被验证，则节点将该交易中继到网络中的其他节点；ii)添加到由矿工建造的新区块；以及iii)被开采，即添加到过去交易的公共账本。

尽管区块链技术以加密货币实现方式的应用而广为人知，但数字企业家已经开始探索比特币所基于的加密安全系统以及可存储在区块链上以实现新系统的数据的应用。如果区块链可以用于不限于加密货币领域的自动化任务和处理，那将是非常有利的。这样的解决方案将能够利用区块链的优点(例如事件的永久性、防篡改记录、分布式处理等)，同时能够在其应用中更加通用。

目前研究的一个领域是区块链在实施“智能合约”方面的应用。这些智能合约是设计于自动执行机器可读合约或协议条款的计算机程序。与将用自然语言编写的传统合约不同，智能合约是一种机器可执行程序，该机器可执行程序包括可以处理输入以产生结果的规则，然后可以使得取决于这些结果执行动作。

区块链相关的另一兴趣领域是使用“通证”(或“彩色币”)以经由区块链来表示和转移现实世界的实体。潜在的敏感或秘密项目可以由通证表示，该通证没有可辨别的含义或价值。因此，通证用作允许从区块链引用真实世界项目的标识。

本发明结合各种技术构思，以提供能够在不同方之间进行贷款的基于区块链的机制和基础设施。这可以在没有债务出现的情况下得以实现。贷款是金融服务市场不可分割的一部分，允许借款方从贷款方获得资金，以换取对那些预付资金的后续支付。近年来，经由例如银行的金融机构实现的传统贷款通过点对点(P2P)贷款已经得到扩展，其中，池化的个人贷款通常为借款方寻找更高的个人回报，但是损失预付基金的风险也随之增加。

存在许多P2P池，其中，这些P2P池自身的定制贸易交换平台(例如Zopa、资金圈)需要个人注册到这些应用程序以参与P2P借贷处理。这些贷款是在其经营所在地区内的传统银行网络和技术基础设施的基础上得以巩固并实施。因此，目前用于P2P借贷的系统本质上是受约束且复杂的。

发明内容

提供替代的解决方案将是有利的。该解决方案的益处可以包括例如消除对本地定制交换的需求，同时使得复杂的贷款处理能够得以执行。区块链的已知益处(例如其防篡改、永久交易记录)可以被利用以显优势。该解决方案将提供全新的架构和技术平台。现在已经设计出这种改进的解决方案。

因此，根据本发明，提供一种如所附权利要求中限定的方法及系统。

因此，根据本发明，可以提供一种用于控制经由(即使用)区块链进行的处理的性能的方法及相应的系统。区块链可以是比特币区块链，也可以不是比特币区块链。该处理可以是贷款处理。本发明还可以包括通证化技术和加密技术，这为数字资产或项目的转移提供增强的安全性。

本发明可以提供一种区块链实现的方法。本发明可以提供一种用于嵌入数据的机制。可以将数据嵌入区块链交易(Tx)中。附加地或替代地，这可以包括用于控制、交换和/或转移资产或项目的方法。上述资产可以是数字资产。附加地或替代地，本发明可以提供一种通证化方法。可以将资产和/或合约通证化。

该方法可以包括以下步骤：

推导项目或部分数据的公钥-私钥加密对；

使用该公钥-私钥加密对推导该数据的签名；

对该数据编码以生成该数据的编码元数据。

上述数据可以涉及资产或实体，或者可以涉及与资产相关联的(智能)合约。智能合约可以存储在基于计算机的资源中，该资源可以独立于区块链。

本发明可以被设置成控制经由区块链进行的关于资产或资产代表的转移。资产或代表可以包括一个或更多个加密私钥，或者可以与之相关联，每个私钥与资产的所有者/控制者相关联。私钥可以是加密密钥对的一部分。可以根据实质上如下文标题为“生成资产的公钥”一节中描述的技术生成一个或更多个私钥。可以使用共同秘密生成一个或更多个密钥。该密钥可以是从主加密密钥生成的子密钥。

本发明可以包括为资产分配或生成地址和/或密钥。本发明还可以包括为资产的所有者或控制者或者与资产相关联的某个其他实体分配和/或生成地址和/或加密密钥。可以使用下文标题为“生成资产的公钥”一节中定义的确定性子密钥处理创建资产和/或控制者的地址/密钥。在一个或更多个实施例中，地址可以是区块链地址。优选地，该地址被生成为从主地址(密钥)推导的子地址。主密钥可以属于资产的控制者/所有者，或者可以与之相关联。使用子密钥生成技术，可以允许以加密地强制的安全方式在资产与所有者之间进行直接交互。使用子密钥生成技术还可以使得能够以层级方式嵌套或构造多个(智能)合约，每个合约由同一区块链交易内的相应计算资源控制。

本发明可以包括一种用于确定第一实体和第二实体共同的秘密的技术。上述实体可以称为节点或资产。第一实体或第二实体可以是资产，而另一实体可以是与资产相关联的控制者或其他实体。本发明可以包括实质上如下文标题为“生成资产的公钥”一节中描述的方法。该方法可以包括以下步骤：

·基于至少第一实体主私钥和生成器值确定第一实体第二私钥；

·基于至少第二实体主私钥和生成器值确定第二实体第二私钥；

·基于第一实体第二私钥和第二实体第二公钥在第一实体处确定共同秘密(CS)，并且基于第二实体第二私钥和第一实体第二公钥在第二实体处确定共同秘密(CS)；

·其中，分别地，第一实体第二公钥基于至少第一实体主密钥和生成器值，第二实体第二公钥基于至少第二实体主密钥和生成器值。

该方法还可以包括将编码元数据发送到区块链的步骤。可以设置编码元数据以便引用或提供对合约的访问。上述合约可以是本领域已知的智能合约。可以实质上根据如下文标题为“编码方案”一节中描述的编码方案对元数据编码。这可以包括三个参数或数据项，涉及：

1)在合约下可用的股份的量；

2)待从一方转移到另一方的转移单位或价值项的数目；它们可以是加密货币的单位；

3)用于计算转移单位的数目的值的因子。

该方法还可以包括从至少一个用户接收签名和脚本以便能够访问嵌入的数据的步骤。该脚本可以包括签名方的公钥。术语“用户”可以指人类用户或者计算机实现的资源或代理。

元数据可以包括数据的散列(hash)。元数据可以包括指向数据的指针或对数据的其他引用。这可以允许引用和/或访问数据。因此，数据可以“离块”存储，即不存储在区块链中。

散列可以用作存储数据的查找表中的主要密钥。该散列可以是DHT。

该方法还可以包括区块链实现的系统。该系统可以可操作用于：

推导数据的公钥-私钥加密对；

使用公钥-私钥加密对推导数据的签名；

对数据编码以生成该数据的编码元数据。

该系统可以被设置成实现上述方法的任何实施例。

该系统可操作用于将编码元数据发送到区块链。

该系统可操作用于从至少一个用户接收签名和脚本，以便能够访问嵌入的元数据。该脚本可以包括签名方的公钥。

该系统可操作用于生成数据的散列并将该散列存储为元数据的一部分。

该系统可操作用于生成指向数据的指针或对数据的其他引用。该系统可操作用于将散列作为主密钥存储在可存储数据的查找表中。

附加地或替代地，本发明的一个或更多个实施例可以包括用于生成一个或更多个加密密钥的方法。这可以实质上如下文标题为“生成资产的公钥”一节中所述。该方法可以包括以下步骤：

-在第一节点(C)处确定与第一节点(C)和第二节点(S)共同的共同秘密(CS)，其中，第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联，其中，该方法包括：

-基于至少第一节点主私钥(V_1C)和确定性密钥(DK)确定第一节点第二私钥(V_2C)；

-基于至少第二节点主公钥(P_1S)和确定性密钥(DK)确定第二节点第二公钥(P_2S)；以及

-基于第一节点第二私钥(V_2C)和第二节点第二公钥(P_2S)确定共同秘密(CS)，

其中，第二节点(S)具有基于第一节点第二公钥(P_2C)和第二节点第二私钥(V_2S)的同一共同秘密(S)，其中：

-第一节点第二公钥(P_2C)基于至少第一节点主公钥(P_1C)和确定性密钥(DK)；以及

-第二节点第二私钥(V_2S)基于至少第二节点主私钥(V_1S)和确定性密钥(DK)。

确定性密钥(DK)可以基于消息(M)。该方法还可以包括以下步骤：

-基于消息(M)和第一节点第二私钥(V_2C)生成第一签署消息(SM1)；以及

-通过通信网络将第一签署消息(SM1)发送到第二节点(S)，

其中，可以用第一节点第二公钥(P_2C)验证第一签署消息(SM1)，以认证第一节点(C)。

优选地，该方法可以包括以下步骤：

-通过通信网络从第二节点(S)接收第二签署消息(SM2)；

-用第二节点第二公钥(P_2S)验证第二签署消息(SM2)；以及

-基于验证第二签署消息(SM2)的结果，认证第二节点(S)，

其中，基于消息(M)或第二消息(M2)以及第二节点第二私钥(V_2S)，生成第二签署消息(SM2)。

优选地，该方法可以包括以下步骤：

-生成消息(M)；以及

-通过通信网络将消息(M)发送到第二节点(S)。

优选地，该方法可以包括以下步骤：

-通过通信网络从第二节点(S)接收消息(M)。

优选地，该方法可以包括以下步骤：

-通过通信网络从另一节点接收消息(M)。

优选地，该方法可以包括以下步骤：

-从与第一节点(C)相关联的数据存储器和/或输入接口接收消息(M)。

优选地，分别地，第一节点主公钥(P_1C)可以基于第一节点主私钥(V_1C)和生成器(G)的椭圆曲线点乘法，第二节点主公钥(P_1S)可以基于第二节点主私钥(V_1S)和生成器(G)的椭圆曲线点乘法。

优选地，该方法可以包括以下步骤：

-通过通信网络接收第二节点主公钥(P_1S)；以及

-在与第一节点(C)相关联的数据存储器处存储第二节点主公钥(P_1S)。

优选地，该方法可以包括以下步骤：

-在第一节点(C)处生成第一节点主私钥(V_1C)和第一节点主公钥(P_1C)；

-通过通信网络将第一节点主公钥(P_1C)发送到第二节点(S)和/或其他节点；以及

-在与第一节点(C)相关联的第一数据存储器中存储第一节点主私钥(V_1C)。

优选地，该方法可以包括以下步骤：

-通过通信网络向第二节点发送通知，其指示对于确定共同秘密(CS)的方法使用具有公共生成器(G)的公共椭圆曲线加密(ECC)系统，以及

其中，生成第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的步骤包括：

-基于公共ECC系统中指定的可允许范围中的随机整数，生成第一节点主私钥(V_1C)；以及

-基于第一节点主私钥(V_1C)和公共生成器(G)的椭圆曲线点乘法，根据以下公式确定第一节点主公钥(P_1C)：

P_1C＝V_1C×G。

优选地，该方法可以包括以下步骤：

-基于确定消息的散列(M)，对确定性密钥(DK)进行确定，以及

其中，确定第一节点第二私钥(V_2C)的步骤基于第一节点主私钥(V_1C)和确定性密钥(DK)的根据以下公式的标量加法：

V_2C＝V_1C+DK，以及

其中，确定第二节点第二公钥(P_2S)的步骤基于根据以下公式的确定性密钥(DK)和公共生成器(G)的椭圆曲线点乘法，再与第二节点主公钥(P_1S)的椭圆曲线点相加：

P_2S＝P_1S+DK×G。

优选地，确定性密钥(DK)可以基于确定先前的确定性密钥的散列。

分别地，第一非对称加密对可以基于先前的第一非对称加密对的函数，第二非对称加密对可以基于先前的第二非对称加密对的函数。

以上关于一个实施例或方面描述的任何特征可以与任何其他方面或实施例相关地使用。

附图说明

参考本文所述的实施例，本发明的这些方面及其他方面将变得明显并得以阐明。

现在将仅通过示例并参考附图来描述本发明的实施例，在附图中：

图1示出包括多个计算设备的P2P网络；

图2a示出与系统有关的各方的相对定位；

图2b至图2f示出资产的公钥的生成；

图3示出场景1的设置交易；

图4示出科林(Colin)作为交易的投资报价；

图5至图8示出科林、鲍勃(Bob)、玛丽(Mary)和弗兰克(Frank)对投资的出价；

图9示出一笔交易，其详细说明向科林发行募集资金以及向投资者发行已发行单位的情况。

图10示出对科林投资的回报的生成；

图11示出对科林、鲍勃、玛丽和弗兰克的回报的生成；

图12示出系统关于资产生成的元数据；

图13示出表征简(Jane)从鲍勃购买的交易；

图14示出从鲍勃向简发放所有权的交易；

图15示出使得生成的资产能够回报对简的资产的回报的交易；

图16示出关于针对资产生成的第二投资的资产元数据；

图17示出建立包括房屋的财产的资产元数据；

图18示出在区块链上创建房产的交易；

图19示出向爱丽丝发布第一房屋的交易；

图20示出爱丽丝从第一房屋产生租金收入的交易；

图21示出使回报能够支付投资的交易；

图22示出使爱丽丝能够出售其部分投资的交易；以及

图23示出使投资能够生成租金收入的交易。

具体实施例

本发明的一个或更多个实施例可以使房产或其他资产的最终所有者能够基于该资产借入资金。这可以通过不需要通过支付利息来确定对投资者的回报的方式得以实现，使其符合非利息形式的贷款。

通过对资产进行通证化，可以将资产的所有权与资产的使用分开。因此，所有者(或“控制者”)及其资产成为本发明内的两个独立实体。因此，所有者可以以更强大和灵活的方式使用、控制和管理资产，例如，所有者可以将其资产外包给其他方。

为了实现这一点，本发明可以包括使用来自所有者的资产的单独地址。这可以使用下文标题为“生成资产的公钥”一节中定义的确定性子密钥处理得以创建。在一个或更多个实施例中，地址是区块链地址。优选地，地址被生成为从主地址(密钥)推导的子地址。主密钥可以属于资产的控制者/所有者，或者与之相关联。

此外，生成实现合约结构的智能合约。智能合约允许其他人以资产对投资进行投标。也可以针对房产/资产注册附加智能合约并将其记录在区块链上，例如，一些人自己租赁房产，提供与房产有关的特定服务或者促进房产方面的金融投资。

房产中的投资者则可以获得回报或者支付与房产维护相关联的成本。

本发明使资产的最终所有者(或者合约的大多数当前所有者，假设合约条款的如此结构化)能够：

·在区块链上以允许当前所有者的所有权隐匿的方式表示网络当前所有者的资产；因此，为网络用户提供匿名性；

·将当前所有者的全部资产或部分资产份额出售、转移或交换给另一位投资者；

·允许在投资者之间无需参考最终所有者，而是以开放市场设定的价格交易该资产；

·允许资产所有权生成可支付给当前投资者的回报；

·允许资产从当前投资者收回其成本；

·回购投资(以原始投资合约本身的条款为准)；以及

·通过增加现有单位总数(类似于股权发行)或者通过创建针对资产的额外投资，提高针对资产的额外投资。

通过根据本发明的系统可以实现以下益处。

资金有限的投资者可以通过无需固定单位信托或房地产投资信托(REIT)的方式投资房产。这是因为房产的所有者在智能合约中规定了什么样的出价是可以接受的。然后交由投资者决定投资是否适合他们。取决于合约的具体情况，可以允许较小额投资者取得通过使用传统投资方法不易获得的投资；以及

·因为所有回报在智能合约中预先公布，所以具有防止投资者以高利贷的方案进行投资的道德或宗教信仰的投资者可以这样做。这样，金融回报将是什么样的预先是100％透明的。

可以用于实现实施例的系统可以包括如图1所示的P2P网络。图1示出用于形成P2P网络的多个计算机。

区块链是具有分布式架构的P2P网络，其在互连的计算设备(其被称为“节点”或“对等体”)之间共享工作和任务。因为没有单独计算机被指定为“负责”，所以这样的网络是去中心化的。近年来，已经见证了使用P2P网络实现基于共识的比特币区块链和比特币激发的变化。

命名

在本文中已经使用以下术语，这些术语可以按照以下含义来解释：

这些个体在所描述的系统中的应用的相对定位示出于图2a中。

尽管在购买房产的背景下描述本发明，但这并不是限制性的，并且应该理解，本发明可以有利地用于各种目的或应用，并且可以提供各种技术益处。

场景1-房产购买

图3至图8示出姓名为科林的买方购买价值1000比特币的房产的处理。

图3示出使科林能够设置房产购买的交易。该交易用作使得能够启动邀请的种子交易。

科林希望使用与其他投资者的单位信托安排，购买价值1000比特币的房产。科林使用适当编程的计算(客户端)设备生成交易元数据。

以下述方式构建交易：交易元数据设定房产的详细信息，并且没有提及所有者或他拥有的股份。

交易元数据设定买方将支付交付成本的51％，从而持有控股权益，而从投资者筹集另外的49％。作为这项投资的回报，每个投资者将获得与当前市场利率挂钩的每六个月的“租赁”收入。如图4所示，交易元数据作为交易公布到区块链。

该系统生成智能合约，该智能合约详细说明了下述内容：

·投资点的总规模(1000比特币)

·单位数量(100)加上这些单位的“面”值(10比特币)

·投资不封顶的事实(例如，没有定义终止日期)

·可以在任何点触发中断条款，其中，单位的“面”值回报给投资者(以涵盖科林出售房产)

·每六个月回报加上计算规则的回报条件

共有四位投资者交付所需的1000比特币投资。其中一位投资者是科林(事实上的所有者，他交付多数股权以确保他继续控制标的资产)。其他投资者是鲍勃、玛丽以及弗兰克，鲍勃交付所需的1000比特币投资中的230比特币，玛丽交付所需的1000比特币投资中的90比特币，弗兰克交付所需的1000比特币投资中的170比特币。系统按比例分配单位数量给科林(51单位)、鲍勃(23单位)、玛丽(9单位)以及弗兰克(17单位)。说明来自科林、鲍勃、玛丽和弗兰克的出价的交易如图5至图8所示。

如图9所示，资产在交易ID ASSET-S1-T3中向科林发放募集资金。ASSET-S1-T3接收图5至图8中设定的每笔交易作为输入，并在ASSET-S1-T3的输出中将单位发放给科林、鲍勃、玛丽和弗兰克。

也就是说，交易ASSET-S1-T3在同一交易内执行两个功能。其首先整合募集资金并将募集资金转交给科林，并同时向投资者科林、鲍勃、玛丽和弗兰克发行资产中的单位。

对于科林要从ASSET-S1-T3解锁他的输出，他必须签署赎回脚本的散列：

OP_2 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Colin PubK-Asset OP_6 OP_CHECKMULTISIG

对于鲍勃要从ASSET-S1-T3解锁他的输出，他必须签署赎回脚本的散列：

OP_2 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Bob PubK-Asset OP_6 OP_CHECKMULTISIG

对于玛丽要从ASSET-S1-T3解锁她的输出，她必须签署赎回脚本的散列：

OP_2 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Mary PubK-Asset OP_6 OP_CHECKMULTISIG

对于弗兰克要从ASSET-S1-T3解锁他的输出，他必须签署赎回脚本的散列：

OP_2 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Frank PubK-Asset OP_6 OP_CHECKMULTISIG

该资产将定期生成对标的投资的回报，该回报将以每股回报计算，并然后按比例扩大以涵盖个人所有权。当前所有权状态可以通过资产直接受维护，或通过从资产(ASSET-S1-T3)生成的基础发行交易扫描区块链上的资产交易而推导。对于这种情况，假设科林(资产的所有者)将使用交易IDCOLIN-S1-T3提供资金以回报给投资者，如图10所示，交易IDCOLIN-S1-T3生成输出，其用作对交易ASSET-S1-T3的输入(具有输出索引IDX-00的COLIN-S1-T3)以生成如图11所示的回报。情况并非一定如此——实际上这些资金的来源可以是任何东西，但重要的是，资产的责任是计算回报并支付回报。

科林可以通过签署赎回脚本的散列来花费他的回报：

OP_1 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Colin OP_5OP_CHECKMULTISIG

鲍勃可以通过签署赎回脚本的散列来花费他的回报：

OP_1 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Bob OP_5OP_CHECKMULTISIG

玛丽可以通过签署赎回脚本的散列来花费她的回报：

OP_1 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Mary OP_5OP_CHECKMULTISIG

弗兰克可以通过签署赎回脚本的散列来花费他的回报：

OP_1 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Frank OP_5OP_CHECKMULTISIG

场景2-出售单位

在本示例中，鲍勃决定出售他在场景1中获得的单位中的10个，并协商每单位12比特币的价格。电子表格示出他和简之间的双边交易。

在此情况下，两个投资者之间存在交易，导致以下情况发生：

投资者	回报的投资	投资量	分配的单位
				鲍勃	120比特币		-10
简		120比特币	10
					120比特币	120比特币	0

这使得持股的状态如下(假设简支付了市场利率)：

系统生成该资产的资产元数据，其使得能够交易鲍勃想要出售的单位。元数据如图12所示。

然后生成购买交易，其使简能够从想要出售的鲍勃处购买单位。该交易(交易IDJANE-S2-T1)如图13所示。

为了花费来自此交易的输出，鲍勃需要签署赎回脚本的散列：

注意，这与方案1中详述的原始投资的不同之处在于，支付是去往由鲍勃控制的帐户，而不是代表标的资产本身管理的帐户。

详细说明从鲍勃向简转移单位的交易如图14中通过交易ID BOB-S2-T1所示。为了花费第一输出，将需要签署以下赎回脚本的散列：

OP_2 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Jane PubK-Asset OP_6 OP_CHECKMULTISIG

为了花费第二输出，需要签署以下赎回脚本的散列：

该资产将定期生成对标的投资的回报，该回报将以每股回报计算，并按比例扩大以涵盖个人所有权。当前所有权状态可通过资产直接受维护，或通过从资产(交易IDASSET-S1-T3)生成的基础发行交易扫描区块链上的资产交易而推导出。对于这种情况，假设科林(资产所有者)将提供资金以回报给投资者；情况并非一定如此——实际上，这些资金的来源可以是任何东西，但重要的是，资产的责任是计算回报并支付回报。

资产的回报的生成示出于图15中陈述的具有交易ID ASSET-S2-T1的交易中。交易ID COLIN-S2-T1用作对交易ID ASSET-S2-T1的输入，其以对于5个投资者中的每个投资者的回报的形式生成5个输出。

为了花费来自第一输出的回报，科林将需要提供赎回脚本的签署散列：

为了花费来自第二输出的回报，鲍勃将需要提供赎回脚本的签署散列：

为了花费来自第三输出的回报，玛丽将需要提供赎回脚本的签署散列：

为了花费来自第四输出的回报，弗兰克将需要提供赎回脚本的签署散列：

为了花费来自第五输出的回报，简需要提供赎回脚本的签署散列：

OP_1 AssetMetaDataA AssetMetadataB InvestmentMetadataAInvestmentMetadataB PubK-Jane OP_5OP_CHECKMULTISIG

也就是说，该系统使资产能够使用区块链交易自动生成回报。

场景3-家居装修

该系统使得能够针对现有资产创建第二笔投资。在此情况下，所有者集体决定安排能源效率升级以适用于房产。有两种对此集资的方式：

·将提供额外的单位，按现有投资者的持股的比例首先对现有投资者赋予优先级(这是传统股权发行将运作的方式)。

·将创建一项新投资，其将某百分比的节约能量返还给那些投资者(例如，每年将支付关于房产的能量成本的节省的50％)

正是该第二选项将需要对同一资产进行第二次投资。(您可以以类似的方式实现第一次投资，但实际上，使用附加单位重新发行原始投资是实现相同目标的更有效方法。

在交易流方面，场景3是场景1的直接重复，其中，InvestmentMetadata(投资元数据)块定义新的投资房产。

该系统生成资产投资元数据。资产投资元数据如图16所示。所产生的交易与图3至图11所示的交易相同，但显然该交易具有图16所示的投资元数据。

场景4-完整生命周期

该场景由科林发起，他希望针对价值1000比特币的房屋筹集490比特币。第一位投资者鲍勃希望投资230比特币。第二位投资者玛丽希望投资90比特币。第三位投资者弗兰克希望投资170比特币。资产需要发行100股，每股标称值10比特币。

一家名为区块链律师行(Blockchain Law Associates Ltd)的公司成立了一家名为BLA注册有限公司(BLA Registrar Ltd，或简称BLAR)的子公司。BLAR正在为所有权契约(title deed)注册提供新的在线的基于区块链的服务，并保证其处理和文件符合其管辖范围内的所有相关法律和法规。此外，他们获得官方注册官(official State Registrar)的许可，以代表他们存储和管理所有权契约。

为了实现这一点，区块链律师行为BLAR创建一个新的子密钥。可以实质上根据下文标题为“生成资产的公钥”一节中描述的方法来执行子密钥生成。

新技术开发者公司(NewTech Developers Ltd，NTDL)建立一个新的住宅区并签订BLAR合约，以将全部所有权契约存放在BLAR的注册表上。对于住宅区中的每个房屋，BLAR：

(i)根据如上所述的智能合约编码方案，以存储在DHT上的合约的形式创建所有权契约。

(ii)向支付到脚本散列(P2SH)发行表示作为比特币交易的所有权契约的通证，其中，锁定脚本包含合约元数据(DHT位置加查找散列)以及BLAR和NTDL二者的公钥。

此时，住宅区中的每个房产具有代表房产在区块链上的UTXO，如交易BLAR-S4-T1所示。

BLAR-S4-T1是为住宅区中的每个房产创建合约的初始交易。在该示例中，仅存在四项房产，但是应该理解，这是说明性的，并且本文的描述可以应用于具有任何数量的房产的住宅区。

资产使用的元数据字段如图17所示，图17中描述住宅区的资产投资元数据。

图18示出为住宅区中的每个房产创建合约的初始交易。应该注意的是，尽管在本示例中，对于这四个房产中的每个房产，元数据的基础结构都是相同的，但是这四个房产中的每个房产具有不同的元数据。

BLAR-S4-T1生成5个输出，即每个用于房产和矿工费用中的每一个。

为了花费第一输出，系统需要以下赎回脚本的签署散列：

OP_2 House1MetadataA House1MetadataB PubK-NTDL PubK-BLAR OP_4 OP_CHECKMULTISIG

为了花费第二输出，系统需要以下赎回脚本的签署散列：

OP_2 House2MetadataA House2MetadataB PubK-NTDL PubK-BLAR OP_4 OP_CHECKMULTISIG

为了花费第三输出，系统需要以下赎回脚本的签署散列：

OP_2 House3MetadataA House3MetadataB PubK-NTDL PubK-BLAR OP_4 OP_CHECKMULTISIG

为了花费第四输出，系统需要以下赎回脚本的签署散列：

OP_2 House4MetadataA House4MetadataB PubK-NTDL PubK-BLAR OP_4 OP_CHECKMULTISIG

然后，系统可操作用于使用交易的锁定脚本的未散列版本(即，显示公钥和元数据块)来更新(在与合约分离的字段中的)DHT。作为注册商，BLAR还需要针对其客户(目前为NTDL)维护KYC信息，上述KYC信息将在内部数据库中被维护。

爱丽丝从NTDL购买新建的房屋，作为该交换的一部分，通过将通证转移到她指定的公钥以及另一个P2SH交易中的BLAR公钥，将所有权契约重新注册到爱丽丝。合约(以及因此查找散列)保持不变，但是，BLAR使用未加密版本的锁定脚本(此时显示的是爱丽丝的公钥而不是NTDL的公钥)再次更新DHT上的“Ownership”字段。BLAR还使用爱丽丝的详细信息更新任何内部KYC数据库。此时，通过NTDL表示房产所有权的UTXO花费到由爱丽丝控制的新UTXO中。这示出于图19中的交易NTDL-S4-T1中。

然后该系统可操作用于生成进一步的交易，该交易使得第一房屋(交易输出参考BLAR-S4-T1，即来自图18中所示的交易的第一输出)能够释放到爱丽丝的所有权中。出于该示例的目的，购买交易本身以法定货币发生，并且未显示。但是，发布产权的交易如图19所示。

为了向爱丽丝发布产权，爱丽丝必须提供以下赎回脚本的签署散列：

OP_2 House1MetadataA House1MetadataB PubK-Alice PubK-BLAR OP_4 OP_CHECKMULTISIG

该系统使爱丽丝能够使用服务提供商SP生成投资产品，该服务提供商SP抵押房屋的租金收入。房屋的所有权不转移给另一方。房屋的初始分配回到爱丽丝自己。

系统关于爱丽丝使用该系统生成的投资产品生成交易。该交易如图20所示。

爱丽丝住在房屋里，但她也通过出租空闲房屋得到一些租金。她还想筹集一些资本，因此她决定抵押这笔租金收入来创建投资，对投资者的回报是所收租金的一部分。

她的服务提供商(SP)发行一份有限的可分割的合约，其中包含房屋所生成的收入中的100股。合约规定所有条款和条件，包括按比例(pro-rata)的租赁收入和维护，并签订了托管服务以促进投资。

当最初创建投资时，所有100股发放返回给爱丽丝进行后续撤资。与该投资相关联的锁定脚本包括与房屋相关联的元数据、与投资相关联的元数据加上服务提供商的公钥和爱丽丝的公钥。

此时，表示爱丽丝投资所有权的UTXO被创建。这示出于图20中所示的交易SP-S4-T1中。

为了实现返回爱丽丝的初始资产分配，爱丽丝必须提供以下赎回脚本的签署散列：

OP_2 House1MetadataA House1MetadataB InvestMetadata1 InvestMetadata2PubK-Alice PubK-SP OP_6 OP_CHECKMULTISIG

产品生成回报，并且系统生成交易，以使得能够将回报支付给爱丽丝。该交易如图21所示。

图21中所示的交易(ID SP-S4-T2)具有两个输出。第一输出需要爱丽丝的公钥的散列，第二输出需要SP的公钥的散列。

SP可以根据上文标题为“代理建立”一节中详述的合约和程序设立相关联的自动化代理。在一段时间内，由于爱丽丝是投资的唯一所有者，因此她(她的指定公钥)是应计租金的唯一接收者，也是合约维护支付的支付人。交易SP-S4-T2显示返回到爱丽丝的第一收入分配，假设为2,000聪/股。

稍后爱丽丝使用P2P交换服务出价49股，并设法在图22中设立的交易中向鲍勃出售29股，并向Eve出售20股。由于自动化代理已经建立，因此收入/成本支付的变化仅基于投资通证的转移而无缝地发生。

此时，发行UTXO花费于三个输出：一个返回爱丽丝、一个去往具有鲍勃的公钥的赎回脚本、一个去往具有Eve的公钥赎回脚本。这显示于交易ALICE-S4-T1中。

还示出第二投资回报交易(SP-S4-T3)，其示出新的投资回报分拆情况。

图22中详述的交易有四个输出。为了让爱丽丝花费第一输出，系统需要以下赎回脚本的签署散列：

为了让鲍勃花费第二输出，系统需要以下赎回脚本的签署散列：

OP_2 House1MetadataA House1MetadataB InvestMetadata1 InvestMetadata2PubK-Bob PubK-SP OP_6 OP_CHECKMULTISIG

为了让Eve花费第三输出，系统需要以下赎回脚本的签署散列：

OP_2 House1MetadataA House1MetadataB InvestMetadata1 InvestMetadata2PubK-Eve PubK-SP OP_6 OP_CHECKMULTISIG

第四输出将改变从交易花费回到爱丽丝。

该系统可操作用于生成使SP能够将回报支付给爱丽丝、鲍勃和Eve的交易。这样的交易如图23所示。

总之，该系统使资产和投资在文档和处理方面保持分离，这意味着存在代表资产本身(房屋)和投资产品的分离通证。还有分离地管理的分离的DHT：注册表DHT由BLAR管理，而投资DHT(及其伴随的自动化代理)由爱丽丝的SP管理。

该系统可以被配置为使得能够使用编码方案使用区块链交易中的元数据来引用合约，该编码方案使得能够以各种方式格式化合约。现在描述这种合适的编码方案

编码方案

可以将用于引用合约的元数据以各种方式格式化。然而，本文中描述合适的编码方案。

如果合约所限定的权利赋予合约的持有者或所有者，则合约是可转让的。不可转让的合约的示例是参与者被指定——也就是说，权利被赋予特定的指定实体而不是合约的持有者——的合约。本编码方案仅讨论可转让的合约。

通证代表详述或定义合约赋予的权利的特定合约。根据本发明，通证是比特币交易形式的合约的表示。

该编码方案使用包括三个参数或数据项的元数据。该数据可以指示：

i)在合约下的可用股份的量(本文中可以称为‘NumShares’)；

ii)从发送方转移到至少一个接收方的转移单位的数目(本文中可以称为‘ShareVal’)；以及

iii)用于计算转移单位的数目的值的因子(本文中可称为“钉住率”)。

该编码方案的优点是：其可以用于仅使用上述三个参数将合约概述或表示为区块链上的的通证。实际上，可以使用这三个数据项中的最小者来指定合约。由于该编码方案可用于任何类型的可转让的合约，因此可以设计和应用通用算法。以下提供这些元数据项的其他细节。

生成资产的公钥

系统可以使用如现在描述的子密钥生成方法来生成资产的公钥。

图2b示出系统1，该系统1包括第一节点3，该第一节点3通过通信网络5与第二节点7进行通信。第一节点3具有相关联的第一处理设备23，第二节点5具有相关联的第二处理设备27。第一节点3和第二节点7可以包括电子设备，例如计算机、电话、平板电脑、移动通信设备、计算机服务器等。在一个示例中，第一节点3可以是客户端(用户)设备，第二节点7可以是服务器。服务器可以是数字钱包提供商的服务器。

第一节点3与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联。第二节点(7)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联。换句话说，第一节点和第二节点各自拥有相应的公钥-私钥对。

第一节点3的第一非对称加密对和第二节点7的第二非对称加密对可以在注册处理(例如关于钱包的注册)期间得以生成。每个节点的公钥可以例如通过通信网络5公开地得以共享。

第一节点3执行方法300的步骤，第二节点7执行方法400的步骤，以在第一节点3和第二节点7二者处确定共同秘密(CS)，而不通过通信网络5传送私钥。

由第一节点3执行的方法300包括：基于至少第一节点主私钥(V_1C)和生成器值(GV)确定(330)第一节点第二私钥(V_2C)。生成器值可以基于在第一节点与第二节点之间共享的消息(M)，这可以包括：如下面进一步详细描述的通过通信网络5共享消息。方法300还包括：基于至少第二节点主公钥(P_1S)和生成器值(GV)确定(370)第二节点第二公钥(P_2S)。方法300包括：基于第一节点第二私钥(V_2C)和第二节点第二公钥(P_2S)确定(380)共同秘密(CS)。

重要的是，也可以通过方法400在第二节点7处确定同一共同秘密(CS)。方法400包括：基于第一节点主公钥(P_1C)和生成器值(GV)确定(430)第一节点第二公钥(P_2C)。方法400还包括：基于第二节点主私钥(V_1S)和生成器值(GV)确定(470)第二节点第二私钥(V_2S)。方法400包括：基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)确定(480)共同秘密(CS)。

通信网络5可以包括局域网、广域网、蜂窝网络、无线电通信网络、互联网等。这些网络(其中，可以经由诸如电线、光纤或无线等通信介质传输数据)易受例如窃听者11窃听的影响。方法300和方法400可以允许第一节点3和第二节点7能够皆独立地确定共同秘密，而无需通过通信网络5传送共同秘密。

因此，一个优点在于：可以由每个节点安全且独立地确定共同秘密(CS)，而无需通过潜在地不安全的通信网络5传送私钥。进而，共同秘密可以用作秘密密钥(或者作为秘密密钥的基础)。

方法300和方法400可以包括附加步骤。参见图2f。方法300可以包括：在第一节点3处基于消息(M)和第一节点第二私钥(V_2C)生成签署消息(SM1)。方法300还包括：通过通信网络将第一签署消息(SM1)发送(360)到第二节点7。进而，第二节点7可以执行步骤：接收(440)第一签署消息(SM1)。方法400还包括以下步骤：用第一节点第二公钥(P_2C)验证(450)第一签署消息(SM2)，并基于验证第一签署消息(SM1)的结果认证(460)第一节点3。有利地，这允许第二节点7认证所声称的第一节点(在此处生成第一签署消息)是第一节点3。这基于以下假设：只有第一节点3具有对第一节点主私钥(V_1C)的访问，因此只有第一节点3可以确定用于生成第一签署消息(SM1)的第一节点第二私钥(V_2C)。应当理解，类似地，例如在点对点场景中，可以在第二节点7处生成第二签署消息(SM2)并将其发送到第一节点3，使得第一节点3可以认证第二节点7。

可以通过各种方式实现在第一节点与第二节点之间共享消息(M)。在一个示例中，可以在第一节点3处生成消息，然后通过通信网络5向第二节点7发送消息。可替代地，可以在第二节点7处生成消息，然后通过通信网络5发送消息。在一些示例中，消息(M)可以是公开的，因此可以通过不安全的网络5得以传送。一个或更多个消息(M)可以存储在数据存储器13、数据存储器17、数据存储器19中。本领域技术人员将认识到，可以通过各种方式实现消息的共享。

有利地，可以保存记录以允许重新创建共同秘密(CS)，而不必私有地存储或安全传送记录本身。

注册方法100和注册方法200

将参考图2d描述注册方法100和注册方法200的示例，其中，方法100由第一节点3执行，方法200由第二节点7执行。这包括：分别建立用于第一节点3的第一非对称加密对和用于第二节点7的第二非对称加密对。

非对称加密对包括相关联的私钥和公钥，例如在公钥加密中使用的非对称加密对。在该示例中，使用椭圆曲线加密术(ECC)和椭圆曲线运算的性质生成非对称加密对。

在方法100和方法200中，这包括：第一节点以及第二节点关于公共ECC系统进行约定(110、210)，并使用基点(G)。(注意：基点可以称为公共生成器，但术语“基点”用于避免与生成器值GV混淆)。在一个示例中，公共ECC系统可以基于secp256K1，该secp256K1是比特币所使用的ECC系统。基点(G)可以被选择、随机生成或被分配。

现在转向第一节点3，方法100包括：在公共ECC系统和基点(G)上进行安排(110)。这可以包括：从第二节点7或第三节点9接收公共ECC系统和基点。可替代地，用户接口15可以与第一节点3相关联，由此用户可以选择性地提供公共ECC系统和/或基点(G)。在又一替代方案中，公共ECC系统和/或基点(G)中的一者或两者可以由第一节点3随机选择。第一节点3可以通过通信网络5向第二节点7发送指示使用公共ECC系统和基点(G)的通知。进而，第二节点7可以通过发送指示对使用公共ECC系统和基点(G)确认的通知来进行安排(210)。

方法100还包括：第一节点3生成(120)第一非对称加密对，该第一非对称加密对包括第一节点主私钥(V_1C)和第一节点主公钥(P_1C)。这包括：至少部分地基于在公共ECC系统中指定的可允许范围中的随机整数来生成第一主私钥(V_1C)。这还包括：基于第一节点主私钥(P_1C)和基点(G)的椭圆曲线点乘法，根据以下公式确定第一节点主公钥(P_1C)：

P_1C＝V_1C×G (公式1)

因此，第一非对称加密对包括：

V_1C：由第一节点保密的第一节点主私钥。

P_1C：使得公开地获知的第一节点主公钥。

第一节点3可以将第一节点主私钥(V_1C)和第一节点主公钥(P_1C)存储在与第一节点3相关联的第一数据存储器13中。为了安全起见，第一节点主私钥(V_1C)可以存储在第一数据存储器13的安全部分中，以确保密钥保持私有。

方法100还包括：通过通信网络5将第一节点主公钥(P_1C)发送(130)到第二节点7，如图2d所示。在接收(220)到第一节点主公钥(P_1C)时，第二节点7可以将第一节点主公钥(P_1C)存储(230)在与第二节点7相关联的第二数据存储器17中。

类似于第一节点3，第二节点7的方法200包括：生成(240)第二非对称加密对，该第二非对称加密对包括第二节点主私钥(V_1S)和第二节点主公钥(P_1S)。第二节点主私钥(V_1S)也是可允许范围内的随机整数。进而，第二节点主公钥(P_1S)由以下公式确定：

P_1S＝V_1S×G (公式2)

因此，第二非对称加密对包括：

V_1S：由第二节点保密的第二节点主私钥。

P_1S：使得公开地获知的第二节点主公钥。

第二节点7可以将第二非对称加密对存储在第二数据存储器17中。方法200还包括：将第二节点主公钥(P_1S)发送(250)到第一节点3。进而，第一节点3可以接收(140)并存储(150)第二节点主公钥(P_1S)。

应当理解，在一些替代方案中，相应的主公钥可以被接收并存储在与第三节点9(例如可信第三方)相关联的第三数据存储器19处。这可以包括作为公共目录的第三方，例如证书颁发机构。因此，在一些示例中，第一节点主公钥(P_1C)可以仅当确定需要共同秘密(CS)时由第二节点7请求和接收(反之亦然)。

作为初始设置，注册步骤可以只需要发生一次。

会话发起并由第一节点3确定共同秘密

现在将参考图2e描述确定共同秘密(CS)的示例。共同秘密(CS)可以用于第一节点3与第二节点7之间的特定会话、时间、交易或其他目的，并且使用相同的共同秘密(CS)可能是不期望的或不安全的。因此，可以在不同的会话、时间、交易等之间改变共同秘密(CS)。

提供下述内容以说明上面已经描述的安全传输技术。

生成消息(M)310

在该示例中，由第一节点3执行的方法300包括：生成(310)消息(M)。消息(M)可以是随机的、伪随机的或用户定义的。在一个示例中，消息(M)基于UnixTime和随机数(nonce)(和任意值)。例如，消息(M)可以通过以下公式提供为：

消息(M)＝UnixTime+随机数 (公式3)

在一些示例中，消息(M)是任意的。然而，应当理解，消息(M)可以具有在某些应用中可能有用的可选择的值(例如UnixTime等)。

方法300包括：通过通信网络3将消息(M)发送(315)到第二节点7。由于消息(M)不包括关于私钥的信息，因而消息(M)可以通过不安全的网络被发送。

确定生成器值(GV)320

方法300还包括步骤：基于消息(M)确定(320)生成器值(GV)。在该示例中，这包括：确定消息的加密散列。加密散列算法的示例包括SHA-256以创建256位生成器值(GV)。即：

GV＝SHA-256(M) (公式4)

应当理解，可以使用其他散列算法。这可以包括安全散列算法(SHA)系列中的其他算法。一些特定示例包括SHA-3子集中的实例，该SHA-3子集包括SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256。其他散列算法可以包括RACE原始完整性校验消息摘要(RIPEMD)系列中的实例。特定示例可以包括RIPEMD-160。其他散列函数可以包括基于Zémor-Tillich散列函数和基于背包的散列函数的系列。

确定第一节点第二私钥330

然后，方法300包括步骤330：基于第二节点主私钥(V_1C)和生成器值(GV)确定(330)第一节点第二私钥(V_2C)。第一节点第二私钥(V_2C)可以基于第一节点主私钥(V_1C)和生成器值(GV)根据以下公式的标量加法：

V_2C＝V_1C+GV (公式5)

因此，第一节点第二私钥(V_2C)不是随机值，而是确定性地从第一节点主私钥推导的。加密对中的相应公钥，即第一节点第二公钥(P_2C)，具有以下关系：

P_2C＝V_2C×G (公式6)

将公式5中的V_2C带入公式6中，提供：

P_2C＝(V_1C+GV)×G (公式7)

其中，‘+’运算符指的是椭圆曲线点加法。注意，椭圆曲线密码学代数是分布式的，公式7可以表示为：

P_2C＝V_1C×G+GV×G (公式8)

最后，公式1可以代入公式7中，以提供：

P_2C＝P_1C+GV×G (公式9.1)

P_2C＝P_1C+SHA-256(M)×G (公式9.2)

因此，倘若知道第一节点主公钥(P_1C)和消息(M)，那么可以推导相应的第一节点第二公钥(P_2C)。如将在下面关于方法400进一步详细讨论的那样，第二节点7可以具有该知识以独立地确定第一节点第二公钥(P_2C)。

基于消息和第一节点第二私钥生成第一签署消息(SM1)350

方法300还包括：基于消息(M)和所确定的第一节点第二私钥(V_2C)生成(350)第一签署消息(SM1)。生成签署消息包括：应用数字签名算法以对消息(M)进行数字签名。在一个示例中，这包括：在椭圆曲线数字签名算法(ECDSA)中将第一节点第二私钥(V_2C)应用于消息以获得第一签署消息(SM1)。ECDSA的示例包括基于具有secp256k1、secp256r1、secp384r1、se3cp521r1的ECC系统的实例。

可以利用第二节点7处的相应的第一节点第二公钥(P_2C)来验证第一签署消息(SM1)。第二节点7可以使用第一签署消息(SM1)的验证结果以认证第一节点3，这将在下面的方法400中讨论。

确定第二节点第二公钥370'

然后，第一节点3可以确定(370)第二节点第二公钥(P_2S)。如上所述，第二节点第二公钥(P_2S)可以至少基于第二节点主公钥(P_1S)和生成器值(GV)。在该示例中，由于公钥确定(370')为私钥与基点(G)的椭圆曲线点乘法，因此第二节点第二公钥(P_2S)可以通过类似于公式6的方式表示为：

P_2S＝V_2S×G (公式10.1)

P_2S＝P_1S+GV×G (公式10.2)

公式10.2的数学证明与上面关于推导第一节点第二公钥(P_2C)的公式9.1所描述的相同。应当理解，第一节点3可以独立于第二节点7确定(370)第二节点第二公钥。

在第一节点3处确定共同秘密380

然后，第一节点3可以基于所确定的第一节点第二私钥(V_2C)和所确定的第二节点第二公钥(P_2S)来确定(380)共同秘密(CS)。共同秘密(CS)可以由第一节点3通过以下公式确定：

S＝V_2C×P_2S (公式11)

在第二节点7处执行的方法400

现在将描述在第二节点7处执行的对应方法400。应当理解，这些步骤中的一些步骤类似于上述由第一节点3执行的步骤。

方法400包括：通过通信网络5从第一节点3接收(410)消息(M)。这可以包括在步骤315由第一节点3发送的消息(M)。然后，第二节点7基于消息(M)确定(420)生成器值(GV)。由第二节点7确定(420)生成器值(GV)的步骤类似于上述由第一节点执行的步骤320。在该示例中，第二节点7独立于第一节点3执行该确定步骤420。

下一步骤包括：基于第一节点主公钥(P_1C)和生成器值(GV)确定(430)第一节点第二公钥(P_2C)。在该示例中，由于公钥确定(430')为私钥与基点(G)的椭圆曲线点相乘，因此第一节点第二公钥(P_2C)可以通过类似于公式9的方式表示为：

P_2C＝V_2C×G (公式12.1)

P_2C＝P_1C+GV×G (公式12.2)

公式12.1和公式12.2的数学证明与上面关于公式10.1和公式10.2所讨论的数学证明相同。

第二节点7认证第一节点3

方法400可以包括由第二节点7执行以认证所声称的第一节点3是第一节点3的步骤。如前所述，这包括：从第一节点3接收(440)第一签署消息(SM1)。然后，节点7可以用在步骤430确定的第一节点第二公钥(P_2C)验证(450)第一签署消息(SM1)上的签名。

可以根据如上所述的椭圆曲线数字签名算法(ECDSA)来完成验证数字签名。重要的是，由于V_2C和P_2C形成的加密对，因此应当仅用对应的第一节点第二公钥(P_2C)正确地验证用第一节点第二私钥(V_2C)签署的第一签署消息(SM1)。由于这些密钥关于在第一节点3的注册时生成的第一节点主私钥(V_1C)和第一节点主公钥(P_1C)是确定性的，因此验证第一签署消息(SM1)可以用作认证所声称的发送第一签署消息(SM1)的第一节点在注册期间是否为同一第一节点3的基础。因此，第二节点7还可以执行下述步骤：基于验证(450)第一签署消息的结果来认证(460)第一节点3。

第二节点7确定共同秘密

方法400还可以包括：第二节点7基于第二节点主私钥(V_1S)和生成器值(GV)确定(470)第二节点第二私钥(V_2S)。类似于第一节点3执行的步骤330，第二节点第二私钥(V_2S)可以基于根据以下公式的第二节点主私钥(V_1S)和生成器值(GV)的标量相加：

V_2S＝V_1S+GV (公式13.1)

V_2S＝V_1S+SHA-256(M) (公式13.2)

然后，第二节点7可以独立于第一节点3，基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)，根据以下公式确定(480)共同秘密(CS)：

S＝V_2S×P_2C (公式14)

由第一节点3和第二节点7确定的共同秘密(CS)的证明

由第一节点3确定的共同秘密(CS)与在第二节点7处确定的共同秘密(CS)相同。现在将描述公式11和公式14提供相同的共同秘密(CS)的数学证明。

转到由第一节点3确定的共同秘密(CS)，可以将公式10.1代入公式11中，如下：

S＝V_2C×P_2S (公式11)

S＝V_2C×(V_2S×G)

S＝(V_2C×V_2S)×G (公式15)

转到由第二节点7确定的共同秘密(CS)，可以将公式12.1代入公式14中，如下：

S＝V_2S×P_2C (公式14)

S＝V_2S×(V_2C×G)

S＝(V_2S×V_2C)×G (公式16)

由于ECC代数是可交换的，因此公式15和公式16是等效的，即：

S＝(V_2C×V_2S)×G＝(V_2S×V_2C)×G (公式17)

共同秘密(CS)和密钥

共同秘密(CS)现在可以用作秘密密钥，或者用作用于第一节点3与第二节点7之间的安全通信的对称密钥算法中的秘密密钥的基础。

共同秘密(CS)可以具有椭圆曲线点(x_S，y_S)的形式。这可以使用由节点3和节点7协定的标准公知操作转换为标准密钥格式。例如，x_S值可以是256位整数，其可以用作AES₂₅₆加密的密钥。对于需要160位整数长度密钥的任何应用，其也可以使用RIPEMD160转换为160位整数。

可以根据需求来确定共同秘密(CS)。重要的是，由于可以基于消息(M)重新确定共同秘密(CS)，因此第一节点3不需要存储共同秘密(CS)。在一些示例中，所使用的消息(M)可以存储在数据存储器13、数据存储器17、数据存储器19(或其他数据存储器)中，而无需与主私钥所需的相同安全级别。在一些示例中，消息(M)可以是公开地可用的。

然而，取决于一些应用，倘若共同秘密(CS)保持与第一节点主私钥(V_1C)一样安全，那么共同秘密(CS)可以存储在与第一节点相关联的第一数据存储器(X)中。

有利地，该技术可用于基于单个主密钥加密对来确定可以对应于多个安全秘密密钥的多个共同秘密。

生成器值(密钥)的层级

例如，可以确定一系列相继的生成器值(GV)，其中，每个相继的GV可以基于先前的生成器值(GV)得以确定。例如，取代了生成相继的单用途密钥的重复步骤310至步骤370和步骤410至步骤470，通过节点之间的先前协议，双方可以重复地反复散列化先前使用的生成器值(GV)以建立生成器值的层级。实际上，基于消息(M)的散列的生成器值可以是下一代的生成器值(GV')的下一代消息(M')。这样做允许计算相继几代的共享秘密而无需进一步的协议建立传输，特别是无需关于每一代的共同秘密传输多个消息。下一代共同秘密(CS')可以如下得以计算。

首先，第一节点3和第二节点7二者独立地确定下一代的生成器值(GV')。这类似于步骤320和步骤420，但是采用以下公式：

M'＝SHA-256(M) (公式18)

GV'＝SHA-256(M') (公式19.1)

GV'＝SHA-256(SHA-256(M)) (公式19.2)

然后，第一节点3可以确定下一代的第二节点第二公钥(P_2S')和第一节点第二私钥(V_2C')，类似于上述步骤370和步骤330，但是采用以下公式：

P_2S'＝P_1S+GV'×G (公式20.1)

V_2C'＝V_1C+GV' (公式20.2)

然后，第二节点7可以确定下一代的第一节点第二公钥(P_2C')和第二节点第二私钥(V_2S')，类似于上述步骤430和步骤470，但是采用以下公式：

P_2C'＝P_1C+GV'×G (公式21.1)

V_2S'＝V_1S+GV' (公式21.2)

然后，第一节点3和第二节点7可以各自确定下一代共同秘密(CS')。具体地，第一节点3使用以下公式确定下一代共同秘密(CS')：

CS'＝V_2C'×P_2S' (公式22)

第二节点7使用以下公式确定下一代共同秘密(CS')：

CS'＝V_2S'×P_2C' (公式23)

可以通过相同的方式计算其他代(CS”、CS”'等)以创建链层级。该技术要求第一节点3和第二节点7都跟踪原始消息(M)或最初计算的生成器值(GV)以及其涉及哪个节点。由于这是公开地已知的信息，因此不存在关于保留此信息的安全问题。因此，该信息可以保存在“散列表”上(将散列值链接到共同秘密)并且通过网络5(例如使用种子(Torrent))自由分发。此外，如果层级中的任何单独共同秘密(CS)真是受到危及，则倘若私钥V_1C、V_1S保持安全，那么这不影响层级中任何其他共同秘密的安全性。

密钥的树结构

除了如上所述的链(线性)层级之外，还可以创建树结构形式的层级。利用树结构，可以确定用于不同目的的各种密钥，例如认证密钥、加密密钥、签名密钥、支付密钥等，由此这些密钥都链接到单个安全维护的主密钥。图12中最佳地示出具有各种不同密钥的树结构901。其中的每个密钥可用于与另一方创建共享秘密。可以通过若干方式实现树分支，以下描述了其中三种。

(i)主密钥引发(spawning)

在链层级中，通过将多重反复散列化的消息与原始主密钥相加来创建每个新“链接”(公钥/私钥对)。例如，(为清楚起见，仅示出第一节点3的私钥)：

V_2C＝V_1C+SHA-256(M) (公式24)

V_2C'＝V_1C+SHA-256(SHA-256(M)) (公式25)

V_2C”＝V_1C+SHA-256(SHA-256(SHA-256(M))) (公式26)

...依此类推。

为了创建分支，任何密钥可以用作子主密钥。例如，V_2C'可以通过将其与散列相加来用作子主密钥(V_3C)，如对于常规主密钥进行的那样：

V_3C＝V_2C'+SHA-256(M) (公式27)

子主密钥(V_3C)本身可以具有下一代密钥(V_3C')，例如：

V_3C'＝V_2C'+SHA-256(SHA-256(M)) (公式28)

这使用如图13所示的主密钥引发方法提供树结构903。

(ii)逻辑关联

在此方法中，树中的所有节点(公钥/私钥对)是作为链(或者以任何其他方式)生成的，并且树中的节点之间的逻辑关系通过表得以维护，在表中，树中的每个节点仅使用指针与树中的其父节点关联。因此，指针可以用于确定相关的公钥/私钥对，以确定会话的共同秘密(CS)。

(iii)消息多重性

可以通过在链或树中的任何点处引入新消息来生成新的私钥/公钥对。消息本身可以是任意的，或者可以带有一些含义或功能(例如，消息可以与“现实”银行帐户号等有关)。可能希望安全保留这些用于形成新的私钥/公钥对的新消息。

代理的实现方式的示例

本发明可以利用计算资源或代理(其有时可以称为“预言机(oracle)”)以执行合约处理的自动化方面。以下提供合适代理的示例，但是可以使用其他实现方式。

代理可以与区块链一起操作，在图灵机的实现方式中将区块链用作不可擦除的条带。该代理与区块链网络并行运行、监督和处理(循环)处理的执行。循环处理被设计用于执行给定任务，例如，处理的自动化或设备或系统的控制。该并行资源可以监视区块链的状态，并且可以使得交易写入区块链。从某种意义上说，代理利用区块链作为图灵机的不可擦除条带，具有以下定义和特征：

1.区块链作为图灵机的条带。区块链中的每笔交易代表条带上的一个小单元。该小单元可以包含来自有限字母表的符号。

2.条带头可以从已经写入区块链上的区块读取信息。

3.条带头可以将包含许多交易的新区块写入区块链的末尾。但是，这些新区块无法写入已存在的区块上。因此，区块链条带是不可擦除的。

4.每笔交易的元数据可以存储为多重签名支付到脚本散列(P2SH)交易的一部分。

代理的重要功能是充当监视区块链的当前状态的自动化实体。代理还可以从任何区块外部源接收信号或输入。代理可以取决于区块链状态和/或接收的输入，执行特定动作。代理决定要执行哪些动作。这些可以涉及或者可以不涉及“现实世界”(即，区块外)中的动作和/或区块链上的动作(例如创建和广播新交易)。代理所采取的动作可以由区块链状态触发。代理还可以决定下一组交易待广播到比特币网络并且随后写入区块链。

代理的动作与区块链(例如比特币)网络并行地且同时地运行。从某种意义上说，这扩展了区块链(例如比特币)脚本的功能。这种连续监视实现“循环”控制流构造，使得所组合的代理和区块链系统是图灵完备的。

图灵机包括两个栈：

·数据栈：其由如上所述的区块链表示。

·控制栈：其由代理功能表示。控制栈存储与重复控制流功能有关的信息。

控制栈与数据栈的分离提供防止比特币核心内发生无限循环、缓解拒绝服务攻击的优点。

代理管理和运行那些能够经由任何类型的循环构造(例如FOR-NEXT；REPEATUNTIL等)循环的子程序。本文描述的说明性实施例包括使用“重复”构造的一个示例的处理。用户可以指定索引(i)和限值(J)。索引(i)和限值(J)分别表示当前迭代次数(通常从0开始计数)和重复循环的总迭代次数。

对于每次迭代：

1.索引递增1。对于退出条件，迭代将当索引达到限值时停止；

2.执行包含“if condition then action”(ICTA)语句的代码块；该动作可以是区块链上的任何动作或者区块链外的任何动作；

3.计算该子例程的加密散列。这可以作为交易的一部分存储在区块链中。由于散列对每个代码是唯一的，因此散列将使得能够验证已使用的代码。

循环体包括代码块。每个代码块包含“If condition then action”(ICTA)语句。这监视区块链的当前状态，以用于与以下内容匹配的交易：

·启动或触发条件(例如，当达到特定日期时)。

·重复条件(即与先前迭代相关联的元数据或散列)。

·停止条件(即循环的最后迭代)。

ICTA语句使代理能够基于区块链的当前状态决定要进行的下一笔交易。进行下一笔交易涉及将交易广播到比特币网络上，并将新交易写入区块链上。

这作为已执行此迭代的记录。一旦将交易已经写入区块链上，管理者就将随后将发现先前迭代已执行并写入区块链上，并将执行下一次迭代。后者继续，直到当索引(i)达到代码块中指定的限值(J)时，重复循环退出。

每笔交易以可以复用的方式保存在区块链中。在比特币实现方式中，交易中的每个签名都附加有SIGHASH标志。该标志可以采用不同的值，每个值指示在没有该签名的所有者参与的情况下是否可以修改交易的其他部分。在交易输入中的一笔交易输入中，可复用的交易具有SIGHASH标志“SigHash_AnyoneCanPay”。这允许任何人对交易的输入做出贡献。该参数使代理的ICTA功能能够执行并重复多次并具有不同的输入。该功能的使用可以例如经由可复用的交易的版权而限于授权方。

ICTA代码块的“If condition”部分可以监视任何类型的条件。这与其他编程语言(例如C、C++、Java)类似，并且不限于存储在区块链上的信息。例如，其可以监视日期和时间(即，何时达到特定日期和时间)，或者可以监视天气(即何时温度低于10℃且下雨)，监视合约或信托(即当公司A购买公司B时)的条件。

ICTA代码块的“Then action”部分可以执行许多动作。本发明关于可采取的动作的数量或类型并不受限。尽管包含与该动作相关的元数据的交易可以写在区块链上，但是该动作不限于区块链上的交易。

元数据可以是任意形式。然而，在一个实施例中，元数据可以存储对包含与该动作有关的更多数据或指令的文件的超链接。元数据可以存储对包含与动作有关的更多数据或指令的散列表的超链接以及用作散列表的循环键(loop-up key)的动作的散列。

代理的控制栈可以通过特定于每个用户需求的多种方式得以实现。例如，控制栈的重复循环可以基于任何图灵完备语言。一种可能的语言选择是Forth风格的基于堆栈的语言。使用这种语言的优点是它使编程风格与已经知道并广为使用的比特币脚本保持一致。

使用比特币脚本的替代栈作为数据存储空间

比特币脚本包含命令(也称为操作码)，其使用户能够将数据移动到可替代的栈(称为“alt栈”)上。

操作码为：

·OP_TOALTSTACK-将数据从主栈的顶部移动到alt栈的顶部上。

·OP_FROMALTSTACK-将数据从alt栈的顶部移动到主栈的顶部。

这使得来自中间计算步骤的数据能够存储在alt栈中，这类似于允许将数据存储在计算器上的“存储器”功能。在一个实施例中，alt栈用于配置比特币脚本以解决小的计算任务并将结果返回到计算中。

使用代码寄存器以管理代理

代理还管理其拥有并运行的所有代码的注册表。该注册表的结构类似于将特定密钥映射到特定值的查找表或字典。密钥和值对分别由代码块的散列(H₁)和存储代码的地方的IPv6地址表示。为了使用密钥H₁检索代码块，使用查找表以检索关联值(这是存储代码的位置)并相应地检索源代码。代码注册表的实现方式可以变化。

代理的代码的交易元数据和循环的重新成引发

在特定迭代时重新引发代理的循环所需的信息可以作为元数据存储在区块链上记录的交易中。

以此方式，区块链上的交易可存储或提供对关于在代理上正执行的循环的给定迭代的信息的访问。该信息可以包括与循环相关联的任何变量(例如索引i)的值、以及任何其他必要信息(例如代码块中使用的参数值、或者指定何处可以访问其他所需信息的位置相关数据)。

元数据本身作为交易中多重签名支付到脚本散列(P2SH)脚本的一部分得以存储。通过交易所记录的元数据还能够记录过去如何执行代码的审计跟踪。

存在代理可以在每次迭代时重新引发重复循环代码块的若干方式。代码块可以硬编码到代理本身中，或者可以存储在私有或公共可用文件中，或者存储为私有或公共散列表文件上的条目，或者上述的组合。代码块可以是带有硬编码变量的静态代码块，或者可以是静态的但包含可以填充的参数。参数可以是任何数据格式的单个值，或者可以是小片块的代码，或者是上述的组合。可以通过直接从交易(例如比特币交易)中的元数据或从诸如内部数据库或私有/公共文件或散列表或上述的任何组合的外部源检索参数来填充它们。指向参数值的外部源的指针可以存储在交易中的元数据中。

以下步骤提供代理可以如何在第i次迭代时重新引发重复循环代码块的一个示例。在此示例中，代码注册表为散列表，其中，散列值用作表的查找键，并存储在交易上的元数据中。

1.代理关于包含与代码注册表中的条目匹配的代码块的散列的交易而监视区块链。

2.代理寻找包含对应散列(H₁)的交易。

3.代理读取“Metadata-CodeHash”，得到CodeHash字段以得到H₁并使用H₁以检索代码(C₁)。如果RIPEMD-160(SHA256(C₁))等于H₁，则代码尚未改变，并且继续到下一步骤是安全的。

4.代理读取存储索引I的“Metadata-CodeHash”，并在第i次迭代时重新引发代码。换句话说，循环在适当的迭代时得以“重新加载”。

5.用户的签名包括于P2SH命令中，以验证元数据的来源。

6.如果循环的这次迭代需要这些数据，则代理读取“Metadata-OutputHash”和“Metadata-OutputPointer”以检索前面步骤的输出。

应当注意，上述实施例说明本发明，而不意在限制本发明，并且本领域技术人员能够设计许多替代实施例，但是这些替代实施例不脱离由所附权利要求书限定的本发明的范围。在权利要求书中，置于括号中的任何附图标记不应被解释为限制权利要求。词语“包括”和“包含”等不排除除了在任一项权利要求或说明书中作为整体列出的要素或步骤之外还存在其他要素或步骤。在本说明书中，“包括”意指“包含或具有”。要素的单数引用不排除这些要素的复数引用，以及要素的复数引用不排除这些要素的单数引用。本发明可以通过包括若干不同元件的硬件以及通过适当编程的计算机得以实现。在列举若干装置的设备权利要求中，这些装置中的若干个装置可以由硬件的一个且同一项来实现。在相互不同的从属权利要求中陈述特定措施的事实并不表示不能充分使用这些措施的组合。

Claims

1.一种区块链实现的控制方法，所述方法包括：

推导项目或部分数据的公钥-私钥加密对；

使用所述公钥-私钥加密对推导所述数据的签名；

对所述数据编码以生成所述数据的编码元数据。

2.根据权利要求1所述的方法，包括以下步骤：通过以下方式从现有加密密钥对推导加密密钥中的一个密钥或两个密钥：

基于至少第一实体主私钥和生成器值确定第一实体第二私钥；

基于至少第二实体主私钥和所述生成器值确定第二实体第二私钥；

基于所述第一实体第二私钥和所述第二实体第二公钥在所述第一实体处确定共同秘密(CS)，并且基于所述第二实体第二私钥和第一实体第二公钥在所述第二实体处确定所述共同秘密(CS)；以及

其中：

分别地，所述第一实体第二公钥基于至少所述第一实体主密钥和所述生成器值，所述第二实体第二公钥基于至少所述第二实体主密钥和所述生成器值。

3.根据权利要求1或2所述的方法，所述方法还包括：

将所述编码元数据发送到所述区块链。

4.根据前述权利要求中任一项所述的方法，所述方法还包括：

从至少一个用户接收签名和脚本，以使得能够访问嵌入的数据。

5.根据权利要求4所述的方法，其中，所述脚本包括签名方的公钥。

6.根据前述权利要求中任一项所述的方法，其中，所述元数据包括所述数据的散列。

7.根据前述权利要求中任一项所述的方法，其中，所述元数据包括指向所述数据的指针。

8.根据权利要求4所述的方法，其中，所述散列用作存储所述数据的查找表中的主键。

9.根据前述权利要求中任一项所述的方法，包括以下步骤：通过在第一节点(C)处确定与所述第一节点(C)和第二节点(S)共同的共同秘密(CS)来生成或推导加密密钥对中的一个密钥或两个密钥，其中，所述第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且所述第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联；

其中，所述步骤包括：

-基于至少所述第一节点主私钥(V_1C)和确定性密钥(DK)确定第一节点第二私钥(V_2C)；

-基于至少所述第二节点主公钥(P_1S)和所述确定性密钥(DK)确定第二节点第二公钥(P_2S)；以及

-基于所述第一节点第二私钥(V_2C)和所述第二节点第二公钥(P_2S)确定所述共同秘密(CS)，

其中，所述第二节点(S)具有基于第一节点第二公钥(P_2C)和第二节点第二私钥(V_2S)的同一共同秘密(S)，其中：

-所述第一节点第二公钥(P_2C)基于至少所述第一节点主公钥(P_1C)和所述确定性密钥(DK)；以及

-所述第二节点第二私钥(V_2S)基于至少所述第二节点主私钥(V_1S)和所述确定性密钥(DK)。

10.根据权利要求9所述的方法，其中，所述确定性密钥(DK)基于消息(M)。

11.一种区块链实现的控制系统，所述系统能够操作用于：

推导项目或部分数据的公钥-私钥加密对；

使用所述公钥-私钥加密对推导所述数据的签名；

对所述数据编码以生成所述数据的编码元数据。

12.根据权利要求10所述的系统，所述系统还能够操作用于：

将所述编码元数据发送到所述区块链。

13.根据权利要求11或12所述的系统，所述系统还能够操作用于：

从至少一个用户接收签名和脚本以使得能够访问嵌入的元数据。

14.根据权利要求13所述的系统，其特征在于，所述脚本包括签名方的公钥。

15.根据权利要求11至14中任一项所述的系统，所述系统还能够操作用于：

生成所述数据的散列并将所述散列存储为所述元数据的一部分。

16.根据权利要求11至15中任一项所述的系统，所述系统还能够操作用于：

生成指向所述数据的指针。

17.根据权利要求15所述的系统，所述系统还能够操作用于将所述散列作为主键存储在存储所述数据的查找表中。

18.根据权利要求11至17中任一项所述的系统，所述系统被设置为通过以下步骤在第一节点(C)处确定与所述第一节点(C)和第二节点(S)共同的共同秘密(CS)，其中，所述第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且所述第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联，所述步骤包括：

19.根据权利要求18所述的系统，其中，所述确定性密钥(DK)基于消息(M)。

20.根据权利要求11至19中任一项所述的系统，其中，所述系统被设置为通过以下步骤从现有加密密钥对推导所述加密密钥对中的一个密钥或两个密钥：

基于所述第一实体第二私钥和所述第二实体第二公钥在所述第一实体处确定共同秘密(CS)，并且基于所述第二实体第二私钥和所述第一实体第二公钥在所述第二实体处确定所述共同秘密(CS)；以及

其中：