CN109313763B - 层次型网络系统以及用于层次型网络系统的节点 - Google Patents

Abstract

本发明确保网络间的资产移动的安全性。无限制地容许从上位网络A向下位网络B的资产移动，另一方面，以交付至上位网络A的资产的总量Σba不超过从上位网络A收取到的资产的总量Σab这一内容为条件容许从下位网络B向上位网络A的资产移动。

Description

层次型网络系统以及用于层次型网络系统的节点

技术领域

本发明涉及一种层次型网络系统、用于层次型网络系统的节点装置以及计算机程序，尤其涉及一种在网络间移动资产的机制。

背景技术

以往，已知有称为区块链的技术。该技术是一种在网络上的大量节点间使同一记录同步的机制，之所以称为区块链，是因为在对现有记录追加新的记录的情况下，成为记录单位的区块会在继承前面的区块的内容(散列)的同时呈链状地逐一追加下去。通常，区块链这一用语有时也指区块呈链状地联系在一起的数据库的结构，但有时也在包括以P2P网络的形式工作的机制、事务的认可的机制等在内的广义的意义上加以使用，其定义目前并不明确。因此，在本说明书中，为了防止两者的混淆，将在前一种狭义的意义上使用的情况称为“区块链”，将在后一种广义的意义上使用的情况称为“区块链技术”。

区块链技术具有零停机时间、难以篡改、低成本等大量优点，因此，不仅运用于包括比特币(bitcoin)和其衍生货币在内的虚拟货币，还作为将与各种资产(asset)相关的信息作为事务来管理的方法而开始受到关注。例如，非专利文献1中，记载有将在可靠性建立方面能够起到重要作用的区块链使用于各种文书的存在证明、身份证明的内容。

此外，非专利文献2中记载有如下内容：如图14所示，引入侧链，将以往多种加密货币所具有的自有区块链相互连结，以一个区块链的形式传送整个加密货币的资产。关于该侧链，非专利文献2中记载有如下内容：它是成为公用的分布式交易总账数据库即区块链的支链的一个概念；以及，通过以比特币的区块链为主链并进行双向锚定(two-ways peg)，能在加密技术、新技术的研究开发或β测试以及智能合约、现实资产的登记上实现各种资源的高效利用。

现有技术文献

非专利文献

非专利文献1：区块链构建网络空间内的信赖关系--“存在证明”、“身份证明”所具有的重要意义(ブロックチェーンはサイバー空間での信頼関係を築く――「存在証明」や「アイデンティティ証明」が持つ重要な意味)，[online]，[2016年3月28日检索]，网址＜URL：http://diamond.jp/articles/-/53050＞

非专利文献2：比特币在“侧链”上是否看到互联网繁荣的梦想？(ビットコインは「サイドチェイン」にインターネット興隆の夢を見るか？)，[online]，[2016年2月 18日检索]，网址＜http://btcnews.jp/blockstream-released-sidechains-whitepaper/ ＞

发明内容

发明要解决的问题

不过，区块链技术在其机制方面是P2P网络上的所有节点都保持有庞大的事务的副本。因此，一个网络每单位时间能够处理的事务的数量自然就有极限。结果，存在无法确保事务处理的可伸缩性、会因各节点的处理能力或网络带宽而无法确保充分的处理速度这样的问题。

为了提高可伸缩性，较有效的是，使用侧链技术将一个大网络分割为多个小网络而将事务的管理单位细化，作为其中之一，考虑枢纽型拓扑。然而，在枢纽型的情况下，各网络是相互对等的，其可靠性没有优劣。因此，从某一网络向其他网络的资产移动的安全性成为问题。

本发明是鉴于这种情况而成，其目的在于确保网络间的资产移动的安全性。

解决问题的技术手段

第1发明提供一种在层次结构中上下连接在一起的网络间进行资产的移动的层次型网络系统。该层次型网络系统具有上位网络和下位网络。上位网络以第1交易历史的形式对自己的网络内进行过的交易和与自己以外的网络之间进行过的资产的移动进行管理。此外，上位网络容许对位于自己的网络的下位的网络进行资产的移动。另一方面，下位网络是位于上位网络的下位的网络，并以第2交易历史的形式对自己的网络内进行过的交易和与自己以外的网络之间进行过的资产的移动进行管理。此外，下位网络参考第2交易历史，以交付至上位网络的资产的总量不超过从上位网络收取到的资产的总量这一内容为条件，容许对上位网络的资产的移动。

此处，在第1发明中，优选的是，在从成为资产的移动源的网络到成为资产的移动目的地的网络的资产的移动路径上介存有至少一个网络的情况下，反复进行在层次结构中上下连接在一起的网络间的资产的移动。

第2发明提供一种上述第1发明所涉及的层次型网络系统中的上位网络用的节点装置。该节点装置具有区块生成部和事务处理部。区块生成部生成包含第1事务的区块，所述第1事务以上位网络的地址为资产的移动源、以下位网络的地址为资产的移动目的地，而且以上位网络内的资产的消失的形式加以处理。事务处理部在上位网络中以按照规定的认可协议得到了区块的认可这一内容为条件、对下位网络许可第1事务所涉及的资产的产生。

第3发明提供一种上述第1发明所涉及的层次型网络系统中的下位网络用的节点装置。该节点装置具有区块生成部和事务处理部。区块生成部生成包含第2事务的区块，所述第2事务以下位网络的地址为资产的移动源、以上位网络的地址为资产的移动目的地，而且以下位网络内的资产的消失的形式加以处理。事务处理部在下位网络中以按照规定的认可协议得到了区块的认可这一内容以及参考第2交易历史而交付至上位网络的资产的总量不超过从上位网络收取到的资产的总量这一内容为条件、对上位网络许可第2事务所涉及的资产的产生。

此处，在第2或第3发明中，优选的是，上述事务处理部具有认可请求部和区块确定部。认可请求部对区块附加基于自身节点的私钥的签名，之后对自己的网络内的m(m≥2)个节点群发送区块的认可请求。在从成为认可的请求目的地的节点收到区块的认可结果的情况下，区块确定部使用认可的请求目的地的公钥来验证该认可结果中附加的签名的正当性，之后，以得到了m个节点中的n(m≥n≥1)个以上的认可这一内容为条件对第1交易历史或第2交易历史追加区块。

在第2或第3发明中，优选的是，上述第1交易历史或上述第2交易历史通过如下分布式数据库加以管理：上位网络内的各节点或者下位网络内的各节点同步地保持同一记录内容，而且成为记录单位的区块按照记录顺序联系在一起。

第4发明提供一种上述第1发明所涉及的层次型网络系统中的上位网络用的计算机程序。该计算机程序使计算机执行处理，所述处理具有：第1步骤，生成包含第1事务的区块，所述第1事务以上位网络的地址为资产的移动源、以下位网络的地址为资产的移动目的地，而且以上位网络内的资产的消失的形式加以处理；以及第2步骤，在上位网络中以按照规定的认可协议得到了区块的认可这一内容为条件、对下位网络许可第1事务所涉及的资产的产生。

第5发明提供一种上述第1发明所涉及的层次型网络系统中的下位网络用的计算机程序。该计算机程序使计算机执行处理，所述处理具有：第1步骤，生成包含第2事务的区块，所述第2事务以下位网络的地址为资产的移动源、以上位网络的地址为资产的移动目的地，而且以下位网络内的资产的消失的形式加以处理；以及第2步骤，在下位网络中以按照规定的认可协议得到了区块的认可这一内容以及参考第2交易历史而交付至上位网络的资产的总量不超过从上位网络收取到的资产的总量这一内容为条件、对上位网络许可第 2事务所涉及的资产的产生。

此处，在第4或第5发明中，优选的是，上述第2步骤具有如下步骤：对区块附加基于自身节点的私钥的签名，之后对自己的网络内的m(m≥2)个节点发送区块的认可请求的步骤；以及，在从成为认可的请求目的地的节点收到区块的认可结果的情况下，使用认可的请求目的地的公钥来验证该认可结果中附加的签名的正当性的步骤，之后，以得到了 m个节点中的n(m≥n≥1)个以上的认可这一内容为条件对第1交易历史或第2交易历史追加区块。

此外，在第4或第5发明中，优选的是，上述第1交易历史或上述第2交易历史通过如下分布式数据库加以管理：上位网络内的各节点或者下位网络内的各节点同步地保持同一记录内容，而且成为记录单位的区块按照记录顺序联系在一起。

发明的效果

根据本发明，以交付至上位网络的资产的总量不超过从上位网络收取到的资产的总量这一内容为条件来容许从下位网络向上位网络的资产移动。如此，在层次结构中，相较于下位网络而言更信赖上位网络一方，对于来自可靠性较低的下位网络的资产移动会限制总量，由此，即便不经过网络相互的高度的认可手续，也能安全地进行网络间的资产移动。

附图说明

图1为本实施方式的层次型网络系统的构成图。

图2为网络间的资产移动的说明图。

图3为层次结构中的跨网络的资产移动的说明图。

图4为网络的物理构成图。

图5为网络的逻辑构成图。

图6为私有节点中的公钥的设定方法的说明图。

图7为一般事务及交付事务的说明图。

图8为公共节点用的节点装置的功能框图。

图9为私有节点用的节点装置的功能框图。

图10为表示事务的记录处理的流程的图。

图11为表示事务的待处理状态的图。

图12为基于多重签名的区块认可的说明图。

图13为数据库结构的说明图。

图14为现有技术中的侧链概要图。

具体实施方式

图1为本实施方式的层次型网络系统的构成图。该层次型网络系统100由上下层次化的多个网络1构成，具有在从成为顶点的最上位的网络1朝下位的层次分支的情况下大量网络1连在一起的树结构。各网络1以交易历史的形式对自己的网络1内进行过的交易和与其他网络1之间进行过的资产的移动进行管理。在各网络1中，将何种交易作为管理的对象是根据其用途而预先决定为系统的规格。例如，若是银行系统，则实际货币的交易成为对象，若是证券系统，则证券的交易成为对象。在本说明书中，所谓“交易”，是指如下概念，即，实际货币、虚拟货币、证券、不动产等资产乃至该资产的状态的保持(存量)、资产的转让(流量)自然是包括在内的，还可以包括契约，契约可以成为资产也可以成为负债。此外，通过引入衍生品的概念，能够定义更广范围的交易。再者，各网络1所处理的资产可以是同一种资产，也可像例如某一网络1处理日元、别的网络1处理美元这样每一网络1处理不同种类的资产。

例如，“从A向B汇款1亿日元”、“B从A收取特定股票500股”等情况与资产的转让(流量)同义，可以理解为1个方向的交易。“A有1亿日元的存款”、“A持有特定股票500股”等情况可以理解为资产本身，也可以理解为资产的状态的保持(存量)这一概念。“A从B购入相当于1亿日元的美元”、“A以每股1000日元从B购入特定股票 500股”等情况可以理解为同时发生2个资产的转让(流量)的2个方向的交易。

图2为网络1间的资产移动的说明图。该资产移动是在层次结构中上下连接在一起的网络1间进行。但不是物理性地移动资产，而是通过移动源的网络A(或B)中的资产的“消失”以及移动目的地的网络B(或A)中的等价资产的“产生”这一对处理来实现资产移动。例如，在从上位网络A向下位网络B移动100日元的情况下(以下称为“下行资产移动”)，在上位网络A中使100日元“消失”，在下位网络B中使100日元“产生”。此外，在从下位网络B向上位网络A移动50日元的情况下(以下称为“上行资产移动”)，在下位网络B中使50日元“消失”，在上位网络A中使50日元“产生”。

网络A、B间的资产移动在网络A、B各自所具备的数据库4中被记录、管理而作为交易历史。上位网络A的数据库4对自己的网络A内的交易进行管理，而且还对自己的网络 A成为移动源/移动目的地的资产移动进行管理。同样地，下位网络B的数据库4对自己的网络B内的交易进行管理，而且还对自己的网络B成为移动源/移动目的地的资产移动进行管理。

此外，对于网络A、B间的资产移动，相较于下位侧而言更信赖上位侧一方。因而，最上位的网络1的可靠性最高，在这之下，可靠性按照第2层次、第3层次的顺序不断降低。于是，对于以可靠性较高的上位网络A为移动源的下行资产移动，原则上无限制地容许而不限制移动的资产的总量。相对于此，对于以可靠性较低的下位网络B为移动源的上行资产移动，在交付至上位网络A的资产的总量Σba不超过从上位网络A收取到的资产的总量Σab的范围内有条件地容许。在图2的例子中，从上位网络A向下位网络B的100日元的移动得到无限制地容许，但从下位网络B向上位网络A的50日元的移动是以满足Σ ab－Σba≥50作为条件的。根据以上内容，一概不受资产移动的限制的只有最上位的网络 1，这以外的网络1则受资产移动的限制。

如此，通过限制以可靠性较低的下位网络B为移动源的上行资产移动的总量，在从上位网络A来看的情况下，在系统上保证了资产仅在交付给下位网络B的资产的总量Σab的范围内有可能返回这一情况。由此，即便网络系统100的一部分发生了非法的资产移动，也能将其不良影响控制在最低限度，有助于提高网络系统100的安全性。

再者，关于资产移动的总量，可以通过检索数据库4中记录的交易历史中的、与网络间的资产移动相关的交易历史、将各交易历史的量相加来求出。但是，每当发生资产移动便执行这种检索、加法运算会导致处理速度的降低，因此，资产移动的总量优选以交易历史的一部分的形式利用索引进行管理。

图3为层次结构中的跨网络的资产移动的说明图。在从网络D向网络B移动资产(例如100日元)的情况下，其移动路径上介存有网络C、A。在这种移动形态下，会反复进行在层次结构中上下连接在一起的网络间(D→C、C→A、A→B)的资产的移动。这时，在上行资产移动(D→C)中须满足条件(Σcd－Σdc≥100)，在上行资产移动(C→A)中须满足条件(Σac－Σca≥100)。如此，即便资产的移动源与移动目的地是分开的，也可以通过反复进行上下连接在一起的网络间的资产移动来移动资产。

图4为构成层次型网络系统100的网络1的物理构成图。各网络1为P2P(Peer toPeer) 型网络，不仅包括纯粹的P2P，还包括所谓的混合型(部分包含客户-服务器型的构成)P2P。参加(连接至)网络1的节点2以1对1的对等的关系进行通信(P2P通信)。各节点2 具有计算机3和数据库4a作为节点装置。同一网络内的交易以及与上下连接在一起的网络间的资产移动相关的信息通过网络1上的分布式数据库4也就是每一节点2中设置的数据库4a的集合体来进行管理。存在于网络1上的所有数据库4a通过区块链技术进行同步，基本上保持有同一记录内容。在具有权限的节点2对分布式数据库4进行更新的情况下，将这一内容通知与自身节点2连接在一起的其他节点2，之后反复进行节点间的P2P通信，由此，最终通知整个网络1。由此，所有节点2的数据库4a得到更新，从而以同一记录内容的形式得到共享。

为了确保安全，网络1中的P2P通信是通过SSL通信来进行的。此外，关于在节点2间交接的事务的正当性，通过使用了公钥加密的电子签名来加以验证。其前提是各节点2保持有自己管理的地址的私钥(密码)(网络地址的所有者＝私钥的持有者)。根据私钥来唯一地确定公钥。网络地址可使用公钥本身，也可与比特币等一样使用对公钥进行散列处理而加入了校验和的地址。事务的送出方(资产的移动源)对将要送出的事务附加基于自己管理的地址的私钥的签名之后进行发送。事务的接收方利用与该私钥相对应的公钥来验证收取到的事务中附加的签名的正当性。再者，此处所使用的公钥加密与后文叙述的区块的认可所涉及的多重签名(Multisig)的公钥加密不一样。Multisig的私钥与上述网络地址无关，仅私有节点2b持有。

再者，图4展示的是各节点2与其他所有节点2连接在一起的全连接型，但这是一例，也可采用任何拓扑。此外，在对特定的节点2发送信息的情况下，也可引入能够指定地址而直接发送至发送目的地这样的协议而不是基于P2P通信的间接性发送。此外，在网络1 间进行资产移动的情况下，虽然可设为所有节点2能够访问其他网络1，但就确保安全性的观点而言，优选限制能够访问的节点2。

图5为网络1的逻辑构成图。在本实施方式中，构成网络1的节点2处存在公共节点2a和私有节点2b。公共节点2a是成为交易的主体的应用节点(有可能包含无法信赖的节点)。公共节点2a生成记有与交易相关的信息的事务并对其签名，之后直接或间接地发送至私有节点2b群。公共节点2a仅进行向私有节点2b群的事务的记录请求，自身不进行向分布式数据库4的记录处理。对于公共节点2a而言，重要的是(由于即便不是最新也可以)能够查询、在新制作的事务上签名、以及向私有节点2b群请求事务的认可。

再者，例如，在算出某一地址的余额这样的检索时，为了谋求处理的高速化，可以在多个公共节点2a的一部分以带索引的形式管理数据库4a的记录内容。分布式数据库4的数据基本上为Key-Value型，因此，存在有条件的查询极为耗时这一缺点。为了解决该问题，可以通过设置具有检索用的自有索引(包含上述的资产移动的总量)的节点来扩展应用范围。

私有节点2b是节点数受到限制的能够信赖的节点，针对从公共节点2a请求的事务而进行向分布式数据库4的记录处理。该记录处理是像后文叙述那样通过私有节点2b群协作来进行。在记录处理已完成的情况下，对请求源的公共节点2a通知处理结果。对于私有节点2b而言，重要的是对事务进行认可并加以区块化、之后追加至分布式数据库4，比特币等虚拟货币中采用的挖掘、手续费等报酬(激励)不一定是必需的。

多个私有节点2b使用公钥加密来进行基于区块的认可涉及的多重签名(Multisig) 的区块的认可。因此，如图6所示，各私有节点2b具有自身节点的私钥。同时，在系统的启动时读入记述有公钥的配置文件，由此，在私有节点2b之间共享公钥。此外，准备有使私有节点2b的公钥追加或失效的协议，通过执行该协议，即便不改写配置文件也能使公钥追加或失效。与该公钥相关的信息要求严格的管理，因此为了确保安全性，通过SSL 等来进行交换。

图7为一般事务及交付事务的说明图。各网络1所处理的事务有一般事务和交付事务 (及收取事务)。2个类型的事务在系统处理上都相同，都是作为一个事务加以处理，但其中记述的资产的移动目的地或移动源不一样。

如该图的(a)所示，一般事务是像“从转让源a1向转让目的地a2移动100日元”这样以带基于移动源a1的私钥的签名的形式记述同一网络A中的地址a1、a2间的交易内容。该事务所涉及的资产通过后文叙述的区块的确定而可以继续在网络A内使用。即，一般事务中的相当于资产的移动目的地(TxOut)的地址a2可以通过该事务的确定来进行以自己为移动源(TxIn)的新的事务的制作，换句话说就是新的资产的移动。

另一方面，如该图的(b)所示，交付事务是像“从(网络A的)地址a1向(网络B 的)地址b2移动100日元”这样以带基于移动源a1的私钥的签名的形式记述不同网络A、 B间的资产移动的内容。关于交付事务，与比特币等当中使用的燃烧证明(Proof of Burn) 一样，送至谁也不知道其私钥的地址，由此，以后在网络A内以不可使用的资产(资产的消失)的形式加以处理。关于谁也不知道其私钥的地址，例如，在网络B的地址b2的情况下，可以通过网络B的链标识符与地址b2的位串的相加、耦合等运算来制定，但为了方便起见，可以像后文叙述那样通过Peg标记的存在而作为谁也不知道私钥的地址加以使用。在网络B内，转而生成具有同等价值的收取事务。收取事务较理想为与交付事务一对一地、唯一地生成。由此，相当于资产的移动目的地(TxOut)的收取事务的地址b2可以通过该事务的确定来进行以自己为移动源(TxIn)的新的事务的制作，换句话说就是新的资产的移动。

作为将各网络1所具有的区块链彼此相连的具体的机制，例如可以使用双向锚定(two-ways peg)。在下行资产移动的情况下(向下位链的Peg)，对交付事务的移动目的地(TxOut)附加Peg标记，设定指定移动目的地的链的链标识符。该链标识符例如写入至该链的创世区块(链头区块)，无法在之后进行变更。附加有Peg标记的交付事务在该链内有与燃烧证明(Proof of Burn)同样的效果，无法再次使用。在移动目的地的链中使用收取到的资产的情况下，指定移动源的链标识符。

此外，在上行资产移动的情况下(来自下位链的PegBack)，若采用与下行资产完全相同的方法，则有送回对于上位链而言无价值的资产之虞(其原因是认为下位链的权威或可靠性比上位链低)。因此，PegBack时，如上所述，从上位链到下位链的Peg使得仅在相当于交付的总额的范围内有可能发生资产的回送。

作为资产的移动目的地中的收取事务的生成条件，第1是针对交付事务涉及的区块在移动源的网络内按照规定的认可协议得到认可，换句话说就是该区块确定下来。第2是，在上行资产移动相关的交付事务的情况下，交付至上位网络的资产的总量不超过从上位网络收取到的资产的总量。

图8为公共节点2a用的节点装置(以下称为“公共节点装置20”)的功能框图。该公共节点装置20具有事务生成部20a、记录请求部20b及结果收领部20c。事务生成部20a 按照规定格式来生成记有与交易相关的信息的事务(一般事务/交付事务)。与交易相关的信息例如从用户按照显示画面的指示输入了的输入信息或者从通过别的网络接收到的接收信息获取。记录请求部20b对由事务生成部20a生成的事务附加基于自己管理的地址的私钥的签名，之后经由节点2间的P2P通信发送至私有节点2b群，向私有节点2b群请求应记录事务这一内容。结果收领部20c收领从任一私有节点2b发送的事务的处理结果，并将其呈现给用户。

图9为私有节点2b用的节点装置(以下称为“私有节点装置21”)的功能框图。该私有节点装置21具有签名验证部22和事务处理部23。签名验证部22使用与私钥相对应的公钥来验证从公共节点2a以记录请求的形式受理的事务中附加的签名的正当性。再者，除了验证签名以外，还一并验证该资产未被双重使用等内容。

事务处理部23以能够验证出签名是正当的这一内容为前提、在满足规定条件的情况下将事务记录至分布式数据库4。该事务处理部23具有区块生成部23a、认可请求部23b、区块确定部23c及认可响应部23d。

此处，私有节点装置21起到2个作用。一个是自身节点2b生成区块并向其他节点2b请求区块的认可的作用，作为用于实现该目的的构成，存在区块生成部23a、认可请求部23b及区块确定部23c。并且，另一个是认可其他节点2b所生成的区块的作用，作为用于实现该目的的构成，存在认可响应部23d。如此，私有节点2b能够变为向其他节点2b请求自身节点2b所生成的区块的认可的请求方、以及自身节点2b进行由其他节点2b生成的区块的认可的认可方中的任一方。

区块生成部23a对从成为事务的记录的请求源的公共节点2a收到记录处理的请求的多个事务进行归纳，由此生成区块。这时，对于上行资产移动涉及的交付事务，判定交付至上位网络1的资产的总量是否未超过从上位网络1收取到的资产的总量，在超过的情况下，视为不恰当的事务而不进行区块化(处理结果＝NG)。认可请求部23b对由区块生成部23a生成的区块附加基于自身节点2b的私钥的签名，之后对预先设定为系统的配置的m (m≥2)个其他私有节点2b发送区块的认可请求。认可的请求目的地的节点中也可包含自身节点。区块确定部23c在从成为认可的请求目的地的私有节点2b接收到区块的认可结果的情况下，使用与认可的请求目的地的私钥相对应的公钥来验证该认可结果中附加的签名的正当性，之后判定是否满足以下的区块确定条件。

[区块确定条件]

得到了请求了认可的m(m≥2)个私有节点2b中的n(m≥n≥1)个以上的认可

在该区块确定条件中，n优选为m的半数以上。由此，能在合理且现实的范围内确保认可的可靠性。例如，在图5所示的存在4个私有节点2b的情形下，向3个(m＝3)私有节点2b请求认可，得到了其中的2个(n＝2)以上的认可，由此满足区块确定条件。

m优选为一位数、两位数等有限的数量以下，根据区块确定条件，有时优选为5个、9个等奇数个。n除了为m的半数以上以外，有时优选为半数以上的指定的规定数量。

作为区块确定条件，上述说明中可以采用一节点一票的认可，也可以对各节点给予任意正实数的票，通过其半数以上来判定得到了认可。在该情况下，所谓“半数以上”，是指超过相对于总票数的半数的数量。

在认可请求所涉及的区块满足区块确定条件的情况下，确定将该区块追加至分布式数据库4，在不满足的情况下，不进行向分布式数据库4的区块的追加。区块确定部23c对成为事务的记录的请求源的公共节点2a通知事务的处理结果(OK/NG)。在向分布式数据库4的区块的追加确定下来的情况下，对自身节点2b的数据库4a追加区块，而且对事务处理网络1的所有节点2通知随着区块的确定而追加新的区块这一内容。通过该通知，所有节点2的数据库4a即分布式数据库4得到更新。

寻求直接或间接地通知所有节点2，但除了对所有节点2直接通知随着区块的确定而追加新的区块这一内容的情况以外，也考虑通知所有私有节点2b以及公共节点2a的一部分、所有私有节点2b、私有节点2b的一部分以及公共节点2a的一部分、或者私有节点 2b的一部分的情况。

另一方面，在从成为认可的请求源的私有节点2b接收到区块的认可请求的情况下，认可响应部23d使用公钥(与认可的请求源的私钥相对应的公钥)来验证该认可请求中附加的签名的正当性。此外，认可响应部23d参考自身节点2b中记录的与事务相关的数据来验证认可请求所涉及的区块的内容(包括区块中的事务的相容性)。继而，在得到了内容是正当的这一验证结果的情况下，认可响应部23d将附加有基于自身节点2b的私钥的签名的认可结果发送至成为认可的请求源的私有节点2b。

就交付事务的处理的观点而言，认可请求部23b、区块确定部23c及认可响应部23d作为对成为资产的移动目的地的上位/下位网络1许可交付事务涉及的资产的产生的事务处理部而发挥功能。具体而言，在下行资产移动的情况下，以得到了区块的认可这一内容(也就是区块的确定)为条件对下位网络1许可交付事务涉及的资产的产生。此外，在上行资产移动的情况下，以得到了区块的认可这一内容以及交付至上位网络1的资产的总量不超过从上位网络1收取到的资产的总量这一内容为条件、对上位网络1许可交付事务涉及的资产的产生。收到该许可的成为资产的移动目的地的上位/下位的网络1生成记有与移动的资产相当的交易内容的收取事务，由此，资产从移动源移动至移动目的地。

再者，作为私有节点2b的黑客对策也就是私有节点2b被黑掉时，在区块生成部23a于自身节点2b中生成了一个区块的情况下，至少在将由其他节点2b生成的其他区块追加至分布式数据库4这一内容确定下来之前进行待机而不连续发送新的区块的认可请求。即，在同一私有节点2b中，禁止连续进行区块确定的处理。

接着，一边参考图10，一边对事务的记录处理的流程进行说明。首先，在某一公共节点2a中，生成记有与交易相关的信息的事务Tr(步骤1)，并对该事务Tr附加基于自己管理的地址的私钥的签名，之后将事务Tr的记录请求发送至私有节点2b群(步骤2)。例如，如图11所示，对资产的移动源a涉及的事务Tr1附加基于移动源a所管理的地址的私钥的签名“a”，对事务Tr2、Tr3也同样地进行签名。

接收到事务Tr的记录请求的私有节点2b中的各方使用与移动源的私钥相对应的公钥来验证记录请求中附加的签名(步骤3)。如图11所示，对于事务Tr1中附加的签名“a”，使用转让源a的公钥来进行验证，对于事务Tr2、Tr3也同样地进行验证。再者，如上所述，除了验证签名以外，还一并验证该资产未被双重使用等内容。在各私有节点2b中，在能够确认到签名的正当性等的情况下，事务Tr1～Tr3暂时存放至自身节点2b的存储装置中的规定的存储区域(待处理区域)(步骤4)。此外，在该步骤4中，在认为资产的移动源不正当的情况下，对成为请求源的公共节点2a通知这一内容。

在步骤5中，在任一私有节点2b中生成区块。该区块是对自身节点2b的待处理区域中存放的多个事务Tr进行归纳而得。继而，在步骤6中，生成具有图12的(a)所示那样的数据结构的带签名的认可请求。该数据结构具有请求区块的认可的请求源的签名栏、归纳有多个事务Tr的区块主体、以及区块的认可目的地的签名栏。但该图的构成是为了方便说明，实际上不需要划分请求源/认可目的地的签名栏。在由图5所示的4个私有节点2b群(将节点名设为A～D)中的节点A生成了区块的情况下，在图12的(a)的请求源签名栏中记入基于节点A的私钥的签名“A”，认可目的地签名栏(记入节点B～D的签名的栏)设为空白。节点A中生成的认可请求被发送至其他私有节点2b即3个节点B～D。

步骤7～9是接收到区块的认可请求的私有节点2b即认可的请求目的地B～D的处理。首先，在步骤7中，使用认可的请求源即节点A等的公钥来验证认可请求中附加的签名“A”等的正当性(步骤7)。在该步骤7中，不仅是节点A的签名，附加的其他签名也在该验证时间点同时得到验证。基本上是像节点A→B→C→D这样依序签名，在得到半数以上(n) 的签名的时间点确定下来。关于如何保持顺序，考虑各种实现方法。再者，关于区块的签名的验证自身，为了避免信任被黑掉的区块，不仅在私有节点2b、也在所有公共节点2a 中进行。在认为认可的请求源是正当的情况下，进入至步骤8，在认为不正当的情况下，不进行步骤8之后的处理。

在步骤8中，验证认可请求所涉及的区块的内容。具体而言，参考自身节点2b的待处理区域中存放的事务，在区块的内容至少满足以下的认可条件的情况下认可区块。在认为区块的内容是正当的情况下，进入至步骤9，在认为不正当的情况下，不进行步骤9的处理(处理结果＝NG)。

[区块的认可条件]

(1)区块中的所有事务Tr在自身节点2b中未处理(防止重复记录)

(2)区块中的所有事务Tr的内容与自身节点2b的待处理区域中存放的事务Tr的内容一致(防止数据的篡改)

(3)各事务Tr的资产未使用(禁止资产的双重使用)

在步骤9中，生成带签名的认可结果。在可以认可的情况下，如图12的(b)所示，在认可目的地签名栏中的分配给自身节点2b的栏中记入基于自己的私钥的签名。附加有签名的认可结果被发送至认可的请求源A。

步骤10～12是接收到区块的认可结果的私有节点2b即认可的请求源A的处理。首先，在步骤10中，使用认可的请求源B～D的公钥来验证认可结果中附加的签名的正当性(步骤10)。在认为认可的请求目的地是正当的情况下，进入至步骤11，在认为不正当的情况下，不进行步骤12之后的处理。

在步骤11中，在得到了m个私有节点中的n(m≥n≥1)个以上的认可的情况下，满足区块确定条件，对分布式数据库4追加区块这一内容确定下来。图12的(b)的例子意味着，得到了请求认可的3个节点B～D中的2个节点B、C的认可，但未得到节点D的认可。在该情况下，若区块确定条件为半数以上的认可，则n/m＝2/3，满足条件。反过来，在n＝0、1的情况下，不满足区块确定条件。

在满足区块确定条件的情况下，由认可的请求源A进行将确定好的区块记录至分布式数据库4的处理。具体而言，首先，在自身节点A中，从待处理区域删除确定区块中包含的事务Tr，对自己的数据库4追加确定好的区块。此外，以包括与自身节点A连接在一起的其他节点B～D在内的方式对整个网络1发送新追加确定好的区块这一内容的通知。网络1内的所有节点2在收到该确定区块的通知的时间点进行通知源的签名的验证，之后对自己的数据库4a追加确定区块。此外，在待处理区域中保持有未处理事务Tr的所有节点 2(包括节点B～D)根据该通知而将确定区块中包含的事务Tr从待处理区域内删除(步骤 13)。相对于此，在不满足区块确定条件的情况下，本次生成的区块予以取消。由此，继续保持待处理区域的未处理事务Tr，等待下次之后的区块的生成机会。

图13为数据库4a的结构的说明图。在该结构中，成为记录单位的区块按照记录顺序呈链状地联系在一起。各区块(确定区块)具有多个事务和前面的区块的散列。具体而言，某一区块2中含有从它前面的区块1继承的前区块1的散列H1。于是，区块2的散列H2 以含有自身区块2的事务群和从前区块1继承的散列H1的形式算出，该散列H2被其之后的区块继承。如此，在以散列的形式继承前面的区块的内容的同时(H0、H1、···)按照记录顺序使各区块呈链状地相连，使得记录内容具有贯彻始终的连续性，由此，有效防止记录内容的篡改。在过去的记录内容受到了变更的情况下，区块的散列变为与变更前不一样的值，为了使篡改后的区块伪装成正确的区块，就必须重新制作这之后的所有区块，这项工作现实中非常困难。

继而，在步骤12中，从任一私有节点2b(认可的请求源A)对成为事务Tr的记录的请求源的公共节点2a通知记录请求所涉及的事务Tr的处理结果(OK/NG)。该公共节点 2a收领处理结果，并对用户呈现处理结果(步骤14)。经过以上的一系列手续，事务的记录处理完成。

再者，在以上那样的事务的记录处理中，多个私有节点2b有可能同时生成包含同一事务的不同区块，即，有可能发生私有节点2b彼此的处理的竞争。该问题例如可以像循环法(round robin)那样通过在私有节点2b间分配区块生成的顺序而进行排他控制来加以解决。此外，也可对私有节点2b群分配优先顺位，在发生了上述竞争的情况下，仅准许优先顺位高的私有节点2b进行发生了竞争的事务的再处理。

如此，根据本实施方式，不是通过整个网络系统100来形成单一的区块链，而是分割为多个网络1，以网络单位来形成区块链。由此，各网络1的各节点2仅保持自己的网络 1中的事务的副本即可，无须保持自己以外的网络1的副本。由此，在整个网络系统100 中，每单位时间能够处理的事务的数量会有飞跃性地提高。结果，能够有效确保事务处理的可伸缩性，不论各节点的处理能力或网络带宽如何，都能确保充分的处理速度。

此外，根据本实施方式，无限制地容许从上位网络1向下位网络1的资产移动，另一方面，以交付至上位网络1的资产的总量不超过从上位网络1收取到的资产的总量这一内容为条件容许从下位网络1向上位网络1的资产移动。如此，在层次结构中，相较于下位网络1而言更信赖上位网络1一方，对来自可靠性较低的下位网络1的资产移动会限制总量，由此，即便不经过网络1相互的高度的认可手续，也能安全地进行网络1间的资产移动。

此外，根据本实施方式，将构成网络1的节点2区分为公共节点2a和私有节点2b。公共节点2a起到生成应记录的事务的作用，其后的向分布式数据库4的记录处理是通过私有节点2b群协作来进行。对于事务的生成，以有可能包含无法信赖的节点的公共节点 2a的形式广泛准许，另一方面，对于向分布式数据库4的记录处理，则限定于能够信赖的私有节点2b。如此，通过划分公共节点2a的作用与私有节点2b的作用，能够谋求公共节点方式的优点即应用领域的扩展性和私有节点方式的优点即记录的可靠性的并存。

进而，根据本实施方式，作为能够信赖的私有节点2b相互的认证方法，不是采用POW、 POS等成本高、速度慢的共识算法，而是采用使用公钥加密的多重签名(Multisig)这一相对简单的共识算法。由此，能在不损害记录的可靠性的情况下高速且可靠地处理大量事务。

再者，本发明也可以理解为实现上述的公共节点装置20或私有节点装置21的计算机程序。

符号说明

1 网络

2 节点

2a 公共节点

2b 私有节点

3 计算机

4a 数据库

4 数据库(分布式数据库)

20 公共节点装置

20a 事务生成部

20b 记录请求部

20c 结果收领部

21 私有节点装置

22 签名验证部

23 事务处理部

23a 区块生成部

23b 认可请求部

23c 区块确定部

23d 认可响应部

100 层次型网络系统。

Claims (5)

1.一种处理方法，它是节点中的处理方法，所述节点在具有上位网络以及位于所述上位网络的下位的1个或多个下位网络的网络中、构成所述1个或多个下位网络中的任一个，该处理方法的特征在于，包含：

所述节点生成包含事务的区块，所述事务产生从包含所述节点的下位网络向所述上位网络的资产的移动的步骤；以及

所述节点以从构成包含所述节点的下位网络的节点中的规定数量得到了认可这一内容为条件，使所述区块确定下来，并对包含所述节点的下位网络与自己以外的网络之间的交易历史追加所述区块的步骤，

根据所述区块的确定、以包括所述事务在内的向所述上位网络的资产的移动的总量不超过来自所述上位网络的资产的移动的总量这一内容为条件，容许向所述上位网络的资产的移动。

2.根据权利要求1所述的处理方法，其特征在于，

所述事务以所述下位网络中的资产的消失的形式加以处理，

向所述上位网络的资产的移动是通过使下述资产产生的所述上位网络内的事务来进行，该资产是指具有与从所述下位网络中消失的所述资产同等价值的资产。

3.根据权利要求1或2所述的处理方法，其特征在于，

所述下位网络的事务以所述下位网络的地址为资产的移动源、以谁也不知道其私钥的地址为资产的移动目的地。

4.根据权利要求1所述的处理方法，其特征在于，

所述下位网络的事务具有指定所述上位网络的区块链的链标识符。

5.一种节点，其在具有上位网络以及位于所述上位网络的下位的1个或多个下位网络的网络中构成所述1个或多个下位网络中的任一个，该节点的特征在于，

生成包含事务的区块，所述事务产生从包含所述节点的下位网络向所述上位网络的资产的移动，

以从构成包含所述节点的下位网络的节点中的规定数量得到了认可这一内容为条件，使所述区块确定下来，并对包含所述节点的下位网络与自己以外的网络之间的交易历史追加所述区块，

根据所述区块的确定、以包括所述事务在内的向所述上位网络的资产的移动的总量不超过来自所述上位网络的资产的移动的总量这一内容为条件，容许向所述上位网络的资产的移动。

Images