CN109417465B

CN109417465B - 区块链执行的智能合约的注册和自动化管理方法

Info

Publication number: CN109417465B
Application number: CN201780009120.XA
Authority: CN
Inventors: 克雷格·史蒂文·赖特; 史蒂芬·萨凡纳
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2016-02-23
Filing date: 2017-02-16
Publication date: 2021-01-15
Anticipated expiration: 2037-02-16
Also published as: SG11201806781SA; CN112686653A; EA201891827A1; CA3015569C; ES2680851T3; KR101987692B1; TWI817232B; AU2017223136A1; EP3257191B1; CA3227439A1; JP6511201B1; US20190057382A1; TW201732706A; BR112018016815A2; CA3015569A1; DK3257191T3; IL261209B; US20210090076A1; SI3257191T1; US11972422B2

Abstract

本发明涉及令牌化、区块链和智能合约技术领域。其提供了一种技术设置，简化了合同的自动化管理。本发明包括一种使用基于计算机的存储库来存储合同的方法和系统。然后合同由区块链上的交易来表示。交易脚本中的元数据包括合同的散列以及在存储库中标识其位置的方式。该交易还包括未花费的输出(UTXO)，其指示状态为开放(即未终止的)合同。通过在稍后的时间点花费输出来终止合同，例如，使用n锁定时间+检查锁定时间验证(n Lock Time+Check Lock Time Verify(CLTV))。通过将该概念与其他技术和计算部件相结合，本发明可以提供用于实施各种任务的强大机制，例如续约或延长合同，或将其划分为子合同或条件。此外，由于通过区块链，合同的状态和存在变得明显，这提供了永久的、公开可见的和不可更改的合同记录。

Description

区块链执行的智能合约的注册和自动化管理方法

技术领域

本发明主要涉及计算机协议，更具体地，涉及条件控制的过程的验证、执行和/或履行，例如，与合约有关的过程。本发明特别适合于使用区块链网络的用途，并且可以用于智能合约来获益。

背景技术

区块链是一个去中心化的、分布式的计算机系统，它由不可变的块组成，而这些块又由交易组成。每个块包含前一个块的散列，使得块链接在一起，从而创建自区块链诞生之始就已写入区块链的所有交易的记录。交易包含嵌入其输入和输出中的被成为脚本(script)的小程序，这些小程序指定如何以及由谁来访问交易的输出。每个未花费的交易(称为UTXO)都可以作为新交易的输入来使用。

虽然已经提出并开发了其他区块链实施方案，但是区块链技术最广为人知的应用是比特币账本(Bitcoin ledger)。虽然出于方便和说明的目的，本申请文件可能提到了比特币，但应该指出的是，本发明不限于比特币区块链(Bitcoin blockchain)的用途，其他区块链实施方式也落入到本发明的范围内。

区块链技术以其在加密货币(cryptocurrency)上的应用而闻名。然而，近年来，数字企业家们已经开始探索使用比特币所基于的加密安全系统和能够存储在区块链上的数据，从而实现新系统。这些系统包括但不限于：

·存储元数据

·实施数字令牌

·实施和管理合约

现代合同管理的一个关键问题是，它往往是临时的，有人工维护的本地存储和合同副本。因此，被称为“智能合约”的计算机协议已经开始引起人们的注意，因为它们可以部分地或全部地实现合约的自动化执行或履行。智能合约可以具有安全性增强和交易成本降低等长处。然而，尽管已经存在试图确保这些合同一旦存储就不能修改的已知技术方案，但还不存在被普遍接受的公共注册来检查合同的有效性(即合同仍然开放还是已经终止)。

因此，需要提供一种计算机实施的机制，该机制能够控制合同存在的公众可见性，并提高相关方以自动化的方式(通过机器管理而不是人工管理)管理、执行和维护如合同这样的基于履行的过程的能力。重要的是，这种机制将提供指定控制条件的技术能力，并触发合同中定义的行为。

应注意，本申请文件所定义和描述的发明不限于法律意义上的合同的使用。合同可以是一个文档、文件或其他机制，它定义了一组可以在特定条件下触发的行为。可以公开地满足控制条件。不应将本发明局限于在法律或商业导向的情形中使用，而且不应这样局限地对术语“合同”进行解释。例如，合同可以是铁路或航空公司的票据，也可以是音乐会入场券，其上印有一个进入码(例如机读条形码)，用于解锁屏障。

因此，本申请文件提供了所附权利要求中定义的发明。

发明内容

根据本发明的一个方面，提供了一种控制合同的可见性和/或履行的计算机实施的方法，该方法包括以下步骤：

(a)在基于计算机的存储库中存储合同；

(b)向区块链广播交易，交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包括标识符的元数据，该标识符指示合同存储的位置；以及

(c)通过以下方式续约或延长合同：

使用与前一密钥相关的数据生成新密钥；而前一密钥与合同相关联；

生成脚本，该脚本包含新密钥、合同的位置和合同的散列；以及

向脚本支付一定数量的货币。

通过使用与与合同相关联的前一密钥相关的数据生成新密钥，生成包含新密钥、合同位置和合同散列的脚本，以及向脚本支付一定数量的货币来续约或延长合同，具有以下优点：由于新密钥与前一密钥相关，因此授权方可以通过其与已续约或已延期的合同的联系来查看源合同，从而能够验证已延期的合同，而不会丧失确定性或隐私性。还具有更多优点：由于与已续约或已延期的合同相关联的密钥与源合同的密钥相关联，通过将合同存储在基于计算机的链外(off-chain)存储库中(即不形成区块链的一部分)，便可以降低存储和处理能力，而不会丧失确定性或隐私性。

在“延期(rollover)”的情况下，UTXO可能会被花费，将其发送到“新”的已延期合同中。然而，可以通过在锁定时间之前花费出来取消现有合同，从而取消整个合同。

本发明可以提供用于控制合同的可见性和/或履行的由计算机实施的方法和系统。“可见性”可能意味着合同的存在和/或内容是如何以及向谁/由谁提供的或访问的。合同可能是“智能合约”。该方法可以是自动化智能合约方法。它可以是一种自动化监控合同的存在，有效性和/或履行的过程的方法。由于合同可以以区块链交易的至少一部分的形式表示，因此本发明可以称为令牌化(tokenisation)方法/系统。交易中的元数据可以提供区块链实施的令牌，该令牌用于表示和/或访问合同。

本发明可以提供一种方法/系统，该方法/系统能够在存储库(注册表)中存储合同，其中合同的散列可以用作查找合同的查找键(look-up key)。

该方法包括以下步骤：

将合同存储在基于计算机的存储库中；并且

向区块链广播交易，该交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包括标识符的元数据，该标识符指示合同存储的位置。

可以将合同解读为开放的或有效的，直到将UTXO花费在区块链上。区块链可能是也可能不是比特币区块链。这就显示了一种用于表示由UTXO表示的区块链上的合同的状态或有效性的新机制的长处。

该方法可包括根据输出当前是否未被花费，使用链外(off-chain)计算机实施的过程、代理或其他实体来观察区块链的状态并进行某种动作的步骤。该过程用于将未花费的输出解读为合同状态的指示器。也就是说，当输出保持在区块链上的UTXO列表内，即交易仍然未被花费时，这可以用来指示指向元数据或被元数据引用的合同的有效性或开放状态。一旦花费了UTXO，则可以认为合同完成(终止)。此条件可在合同内说明。但是，一旦花费了UTXO，元数据可能继续包含指向合同的指针或对合同的引用以及合同的散列，使得合同可以保留其功能。

该方法可以包括公布合同存在的步骤，可以通过以下步骤实现：

·合同发布者(Contract Issuer)可以创建新的合同文档并将其发布到存储库。可以存储文档的位置和安全散列以供以后使用；

·在m/n多重签名结构中，创建涵盖受保护合同文件的赎回脚本(redeemscript)，其中：

○m至少是1；以及

○n是m加上元数据块的个数

·在脚本中包含至少一个公钥；这可能是合同发布者的公钥。但是，可能也需要其他签名

·向脚本支付一定数量的货币，例如比特币，优选地，通过支付到脚本散列(pay-to-script-hash，简称“P2SH”)支付

·等待直到交易发布到区块链并为已发布交易提取交易ID

·创建一个新交易，锁定时间设置为合同的到期时间，将交易的输出支付回公钥散列；或者

对于延长期限的合同：使用自动化计算代理检测区块链上的交易，并等到合同到期时间后触发代码将其转换为新合同；或者

对于基于完成的合同(其中y个实体中有x个同意合同已经履行)：创建m/n多签名交易并将其发布给这些实体以在完成时共同签名。

存储库可以是块外(off-block)存储资源。换句话说，存储库可能不构成区块链本身的一部分。基于计算机的存储库可以是或包括服务器。存储库可以是基于计算机的资源上提供的数据库或其他存储设施。可以对存储库编制索引，以允许对其进行搜索。存储库可以包括分布式散列表(Distributed Hash Table，简称“DHT”)。合同可以存储在分布式散列表(DHT)中或与之相关联。

该交易还可以包括确定性赎回或锁定脚本地址。地址可以是支付到脚本散列(P2SH)地址。因此，合同(或合同中定义的元素)的存在可以通过使用交易和/或合同的元数据而公开可用。其中，可以使用P2SH地址来将交易发布到区块链，而合同发布者可以决定或提供P2SH地址。

该方法还可以包括通过向区块链广播(进一步的)交易以花费输出(UTXO)来终止合同的步骤。进一步的交易可以包括作为输出(UTXO)的输入，包含签名的解锁脚本，元数据和公钥。

这可以通过使用区块链交易花费输出来提供自动化终止合同的益处。

合同可以定义：i)至少一个条件；ii)至少一项行为，其履行取决于对条件的评估。该条件可以是可以评估为真或假的测试。条件可能是合同(例如条款)的一部分。可能需要完成或履行条件来满足合同。如果评估为真，则可以完成该条件。

元数据可以包括i)合同存储在基于计算机的存储库中的地址或地址的表示；和/或ii)合同的散列。

该方法可以包括观察区块链状态的步骤。它可以包括搜索区块链以找到包含UTXO的交易。它可以包括通过确定未花费的交易UTXO是否在区块链的未花费的交易输出列表中来检查合同是否已经终止的步骤。该监视或检查过程可以是自动化的。它可以由适当编程的计算代理或资源来执行。它可以基本上如下面标题为“用于本发明的说明性计算代理”的部分中所述。代理可以基于UTXO的花费或未花费状态来执行动作。因此，UTXO的状态可以控制或影响块外(off-block)计算代理的行为。

该方法可以包括向区块链广播交易的步骤，该交易包括在指定日期和/或时间花费输出的指令。该指令可以是检查锁定时间验证(CheckLockTimeVerify)指令。

对合同的某些或全部内容的访问可限于至少一个指定的授权方。换言之，可能需要授权来访问或查看部分或全部合同。在一些实施例中，保护机制可以应用于合同本身。例如，可以保护文件的一个或多个部分，但是整个内容可以是公开的。该部分保护可应用于合同内的信息加密以及对其内容的散列检测变化。

合同可包括确定性有限自动机(Deterministic Finite Automaton，简称“DFA”)来实现合同。确定性有限自动机可以使用编码方案来定义。确定性有限自动机可以通过如下内容来实施：

i)至少一个区块链交易，最好使用脚本语言；

ii)用于监视区块链状态的计算代理(这可以如下面标题为“用于本发明的说明性计算代理”的部分中所述)；和/或

iii)数字钱包的一组指令。

根据本发明的另一方面，提供了一种控制合同的可见性和/或履行的计算机实施的方法，该方法包括以下步骤：

(a)在基于计算机的存储库中存储合同

(b)向区块链广播交易，该交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包括标识符的元数据，该标识符指示合同的存储位置；和

(c)生成从合同中派生的子合同，其中子合同与确定性地址相关联，并以下述方式生成：

iii)使用用种子(seed)派生的新公钥；

iv)通过合同的引用将子合同存储在存储库中，并向包含该引用的脚本的区块链广播交易；和/或

v)将子合同的引用添加到现有合同的元数据中。通过生成从合同中派生的子合同，其中子合同与确定性地址相关联，并以下述方式生成：使用用种子派生的新公钥；通过合同的引用将子合同存储在存储库中或存储库上，并向包含该引用的脚本的区块链广播交易；和/或将子合同的引用添加到现有合同的元数据中，这就提供了以下优点：可以独立地管理子合同而不会丧失确定性或隐私性，因为它们以加密方式绑定到源合同。此外，通过将子合同存储在块外(off-block)存储库中，可以使内存和处理资源最小化。

该方法可以包括使用基于计算机的代理来监视区块链和/或基于合同内容执行动作。这种代理可以基本上如下面标题为“用于本发明的说明性计算代理”的部分中所述。

本发明还可以提供一种计算机实施的系统，该系统被设置为执行上述任何方法步骤，或者本申请文件描述的方法的任何实施例。本发明可以提供一种用于控制合同的可见性和/或履行的计算机实施的系统，该系统包括：

用于存储合同的基于计算机的存储库；和

包含交易的区块链，该交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包含标识符的元数据，该标识符表示合同存储的位置。

元数据还可以存储合同的散列。合同可能是智能合约。

存储库可以包括数据库。它可能包括DHT。它可以被索引、搜索。它可以包括至少一个安全机制来控制对合同的访问。

该系统还可以包括适当配置的基于计算的实体或代理。可以安排代理监视和/或搜索区块链。可以将其布置成基于区块链的状态执行至少一个动作。可以用来确定是否已经花费了UTXO。可以用于基于UTXO是否已经花费执行一个或多个动作。

本申请文件关于一个实施例或方面描述的任何特征都可以与任何其他实施例或方面相关地使用。例如，关于该方法描述的任何特征也可以与系统相关地使用，反之亦然。

现在提供可由本发明提供的一些益处的非详尽列表。

本发明可以提供一种技术协议，其简化结构化控制条件(在本申请文件中可以称为“合同”)的自动化管理。这转而使得在发生争议时更容易对合同的状态达成一致意见。本发明还可以提供一种机制来保证合同的记录安全、公开，其方法是：允许通过计算机自动确定其有效性，并在生效时将其细节发布给授权实体。因此，本发明可以提供一种安全性增强的控制机制，其允许或禁止以智能方式访问资源。

本发明还提供了通过计算机系统向观众发布合同的能力，使得合同的细节可以仅限于授权实体，但是合同的存在是公知的。也就是说，A和B之间的合同是公知知识，并且可以公开验证，但除了其存在之外的任何知识都仅限于授权方(通常可能只有A和B)。

本发明还提供了一种计算机实施的机制，其允许合同有时间限制(即合同在一定时间后或在给定日期之后到期)、条件限制(即，一旦合同中规定的交付物已经履行，合同就会到期)或者是无限期的(即合同继续延期并有通知周期来终止合同)。

本发明可以提供用于以公共方式提供终止该合同的通知的机制。例如，在花费交易中使用n锁定时间+检查锁定时间验证(nLockTime+CheckLockTime Verify(CLTV))来“颁布”到期日。

本发明可以提供一种机制，以确定性方式构建子合同的层次结构，以允许对待划分的合同的不同方面进行控制。例如，在技术开发过程中，需求阶段可能具有与开发阶段不同的一组控制触发器。

由于本发明可以在区块链平台上实施，并且可以扩展区块链的功能以使区块链平台可以以技术上不同的方式使用，因此本发明可以提供改进的区块链系统或平台。

本发明可用于将任何未花费的交易(UTXO)转换为智能合约，例如用于数字访问。例如，考虑这样一种情境：消费者向商家付费从而在一段时间内享受服务。如果将商家的支付地址实施为智能合同，则本发明可用于为该服务实施访问控制机制。可以进行检查以确保已经支付了费用，并且可以使用自动过程在该服务时间的最后将款项清算到商家的账户。

附图说明

本发明的这些方面和其它方面可从本申请文件所描述的实施例中明显看出，或从本申请文件所描述的实施例中得到解释和阐明。本发明的一个实施例参照附图仅通过示例来进行描述，其中：

图1示出了本发明实施例如何使用区块链交易实现各种与合同相关的任务的概况。

图2a示出了简单的状态机，其具有两种状态：(i)合同是打开的，(ii)合同是关闭的。

图2b示出了图2a情境的元数据定义。元数据被携带在(比特币)交易输出上并且元数据定义(通过散列)指定合同位置和有效性证明。

图2c示出了与图2a和2b的情境相关的“发布”交易，其最初在区块链上存储了合同(的散列)。

图2d通过花费比特币取消了图2a到2c的合同。

图3a示出了一个情境的示例性元数据，其中创建了一个具有隐藏所有权的资产并将其发布到了区块链。

图3b示出了“投资”图3a的资产的一个示例性交易。也就是说，将一些比特币放入资产的公钥中，以便资产可以为其交易提供资金(如3c中所示的发布交易)。

图3c示出了用于图3a和3b的资产的发布的示例性区块链交易。

图3d示出了用于与图3a、b和c相关的合同的关闭的一个示例性交易。当需要取消合同时花费UTXO。在这个情境中，要求资产和资产的隐藏所有者都签字。

图4a示出了涉及租赁合同的情境的示例性状态机模型。

图4b示出了图4a情境的示例性元数据。

图4c示出了将图4a和4b中的资产所有权发布到区块链上的一个示例性交易。

图5a示出了一个情境的示例性状态机模型，其中一个合同处于延期状态。

图5b示出了图5a情境的示例性元数据。

图5c示出了一个示例性交易，该交易用于将图5a和5b的初始合同以及初始延期(rollover)发布到区块链上。

图5d示出了用于终止图5a至5d的合同的示例性交易。

图6a是一个涉及合同限制性的情境的示例性状态机模型。

图6b示出了图6a的情境的示例性元数据。

图6c示出了可用于创建初始合同和两个子合同并发布它们的示例性交易。

图6d示出了与6a到6c的情境相关的示例性交易。

图7至13示出了从父密钥派生子密钥的技术的各个方面，该技术适合于与本发明的方面相关的应用。

具体实施方式

内置到区块链中的智能合约可以通过逻辑和/或通过外部的基于计算机的应用程序来执行，其中逻辑直接嵌入到比特币交易中(即，在锁定/解锁脚本内)中。这种外部的基于计算机的应用程序可以称为“代理(agents)”、“预言机(Oracle)”或“机器人(bots)”。此外，一些合同条款可以通过其他比特币交易元素，例如n锁定时钟字段(nLockTime field)来执行。

本申请文件描述了一项发明，只要在代表合同的区块链上有一个有效的未花费的交易输出UTXO，则该合同被认为继续有效。由于各种机制(例如已编程的计算代理)的行为受合同本身的条件或规定的控制，这种未花费的状态可能受到影响并发生改变。例如，合同规定它将在某个日期到期，或者当某个值达到指定的阈值时到期。

这一利用未花费的交易输出表示合同的原则可以与其他特性，例如加密技术，结合使用。这就使得复杂的情境和活动得以实现。实际上，围绕未签名的交易输出UTXO和脚本中允许花费它的相关元数据的场合，允许交易作为指向包含合同的正式细节的链外(off-chain)存储库的指针或引用。在本申请文件中，“链外(off-chain)”意味着它不是区块链本身的一部分。这就提供了一种机制，通过这种机制，任何人都可以使用基于软件的元件或工具通过检查区块链来确定合同是已经终止还是仍然有效/开放。一旦合同终止，将把它记录在区块链上，作为交易中花费的输出，并供公众查阅。区块链交易成为合同的存在和现状的永久的、不变的和公开的记录。

存储库(也可以称为“注册表(registry)”或““注册(register)”)可以通过多种方式实现，包括，例如，作为分布式散列表(DHT)。可以生成合同的散列并将合同的散列存储为在区块链交易中的元数据，且合同的散列可以作为查找键用于从区块链引用合同。在交易元数据中也提供了对合同位置的引用。例如，可以提供存储库的链接(URL)。虽然元数据是开放给公众查看的，但合同本身可能不是，或者可能部分受保护。

标准的比特币特征，例如检查锁定时间验证(CheckLockTimeVerify，简称“CLTV”)，可以让合同在未来某个时间正式的自动化的到期。使用区块链可以使此到期日成为安全的(不可更改的)公共记录。这个概念结合下面描述的多个加密密钥的使用，使CLTV模型能够自动对合同进行延期或续约，除非明确地取消合同。

确定性子密钥的使用与本申请文件所述的令牌化(tokenisation)机制相结合，允许创建与合同相反的子合同或项目。

此外，使用块外(off-block)计算代理(预言机(Oracle))允许由可信任的第三方建立和修改合同条件。这意味着代理的行为可以受合同定义中提供的条件(如“IF”语句)的影响。

关键术语

本申请文件可以使用以下术语。

·合同发布者(Contract issuer)：

该实体表示负责将合同发布到区块链上的角色。

·感兴趣方(Interested party)：

该实体表示可能需要确定特定合同是否仍然存在或者可能需要确定合同的细节的角色。

·存储库(Repository)

该实体表示一个位置，该位置确保/存储区块链智能合约引用的合同的结构化表示；

·合同对方(Contract counterparty)：

该实体代表特定合同的对方。应注意的是，该实体在许多情况下不出现。

·合同(Contract)：

这是存储在存储库中的结构化文档或文件，它是从区块链引用的。合同可以是任何类型的合约或协议。这可能包括例如，金融合同、所有权证书、服务合同等等。合同内容可以是公开的，也可以是不公开的。合同是形式化的，它是以结构化的方式使用编码方案来表示的。

合同模型：

合同模型的基本要素如下：

·允许任何类型合同进行完整描述的编码方案。该方案可以是新的构造，也可以使用现有工具如XBRL、XML、JSON等；

·DFA(确定性有限自动机)，用来实现可在编码方案中完全定义的合同，由

以下内容组成的：

○一组参数，以及这些参数的来源

○一组状态定义

○一组状态之间的转换，包括用于转换的触发器和过渡过程中遵循的规则

○规则定义表

·用于合同的示例的具体参数的定义；

·保障和保护合同的机制；

·“浏览器”，使合同能够以正式的法律语言供人阅读，；和

·“编译程序”，将编码方案转换成Oracle代码和/或脚本，如比特币脚本。

实施合同

当合同在存储库中注册时，关联的地址(例如URL和散列)可以用作区块链交易中的元数据，以将链上的交易与控制合同本身关联起来。这可以以多种形式来实现，但是下面提供了一个合适的编码方案，用于在题为“编码方案”的部分中完成。

关于合同定义中包含的DFA如何实施，有多种不同的方法：

●作为块链交易或交易序列。可以在比特币脚本语言中直接实现各种形式的DFA；本领域的技术人员会理解这一点，并且本发明不限于通过区块链实现DFA的方式。

●作为基于代理的过程(如Oracle)或过程序列。下面标题为“用于本发明的说明性计算代理”的部分描述了定义和运行合适的代理来监视区块链和其它可能的外源的基本过程。

●作为智能钱包的一组指令。在这项内容中，智能钱包实际上只是一个本地Oracle过程，它可以处理某些合同条件，例如将交易输入分配给区块链交易。

应注意的是，给定的合同定义可以实施为上述三种机制的混合，其中每个合同状态转换实际上是单独的实施。从合同定义中创建实施方式有许多方法，包括手工编写相关交易/代码。

公布合同的存在

为了公布合同(或合同中的一个定义的元素)的存在，使用支付到脚本的散列地址(P2SH)将交易Tx发布到区块链。在P2SH交易中，接收方必须提供与脚本散列匹配的脚本，以及使脚本评估为真的数据，以便交易得以使用。与本发明的实施例相关，从以下内容可以很容易地确定支付到脚本散列(P2SH)：

-合同的发布者；和

-合同的元数据。

根据本发明的一些实施例，未使用的交易可以解释为合同状态的指示器。链外(off-chain)过程可用来监视区块链，并根据输出是否未用而采取某种行动。换言之，当此输出保持在区块链上的UTXO列表内(即交易仍然未使用)时，这指示了元数据所指向或引用的合同的有效性。一旦使用了这个输出，则认为合同完成。这种条件(只要UTXO存在，合同就仍然有效/开放)可以是合同本身的条件。然而，它不是协议的必要规定，因为在其他实施例中，可能存在可替代的终止条件。应注意的是，即使在交易已经使用(因此不再存在于UTXO列表中)，它仍然永久地驻留在区块链上，并且仍然保留指向该合同的指针或对合同的引用，以及合同的散列，从而即使使用了它也可以保留其功能。

子合同/条件

子合同是与现有合同直接相关的合同。条件是现有合同中的条款，这些条款必须履行以满足合同中的项目。

根据本发明的一个实施例，子合同和条件都可以以相同的方式实施，即作为具有确定性赎回脚本地址的UTXO实施的合同。在这两种情况下，当UTXO被花费时，可以将实体理解为完成(关于条件，这表明条件已经满足)。如上所述，元数据将仍然包含指向存储库内实体位置的指针或引用，以及它的散列。因此，在其他实施例中，根据合同约定的条件，即使在输出已经使用之后，子合同或条件可能仍然存在，并且仍保留功能。

有多个机制可用于创建条件或子合同的确定性地址：

-使用种子信息派生出新的公钥；

-在存储库内创建和发布具有对主合同的引用的子合同，并以此作为元数据引用；和

-将条件/子合同的引用添加到现有合同的元数据中。

保护合同安全

根据具体合同的正式需要，可以以各种方式对合同的正式表述(即指定合同内容的文档或文件)进行保护，尽管在所有情况下，合同的存在的公开记录都将在包含在元数据记录上的区块链上公开(特定元数据结构的细节参见标题为“编码方案”的部分)。

基于这个区块链记录，授权实体将能够得知正式表述的位置，以及散列，以确定自交易发布以来没有对正式表述进行修改。

然而，可以通过多种方法进一步保护正式表述本身：

-文档存储库本身可以提供访问控制机制；和

-合同本身可以通过标准加密技术来保护，这些技术通过访问相关解密密钥限制对实体的访问。

在多个情况下，合同本身会具有部分保护。例如，在整个内容是公开的情况下，文件中的某些部分可能受到保护，例如，公布如何实施固定利率贷款的细节，但是关于谁借出贷款、金额多少、利率多少这些方面只有合同当事人知晓。

这种部分保护既适用于合同内信息的加密，也适用于对其内容的散列检测变化。

对于多个合同来说，合同的细节可以在其有效期内修改，不应要求合同本身重新发布。这可以通过确定散列在合同子集上的范围来实现。一个可能有用的示例是单位信托的实施。支持单位信托的合同可能不会改变，但单位的受益人可以通过出售合同来修改。在一个实施例中，可以使用子合同来实现对变化的记录。

终止合同

由于区块链提供了永久的、不可改变的交易记录，合同不能通过简单地删除相关的合同文件而终止。这意味着安全合同存储库必须具有与通过多个标准机制来支持的区块链本身相同的存储和保留规则。这意味着该解决方案必须提供一种机制来通过区块链记录直接对合同的到期进行检测。

终止的方法在合同中定义为一个条件，并且可以以多种方式实现，所有这些方法都在概念上被本发明所涵盖。在本发明的一个优选实施例中，终止是通过代表合同的UTXO的花费来处理的。

对于多种合同类型，合同的到期可与合同本身的公布同时进行。实际上，创建了两个交易，一个用于发布合同并获得表示合同的交易输出，另一个用于花费该输出。第二个交易在其上具有一个检查锁定时间验证集(CheckLockTime Verify set)，用于在给定的将来日期(代表合同的结束)花费该输出。

根据前述内容，这是我们的标准方法，但不是唯一的方法。

这种自动花费可以扩展以支持合同的延期(例如，如果未被取消，则自动延长十二个月的合同)。在这种情况下，UTXO通过将其发送到“新”的延期合同而花费。然而，可以通过在锁定时间之前花费该输出来取消旧合同，从而取消整个合同。

用例模型

图1示出了根据本发明实施例的用例模型的概况。这个说明性用例模型演示了如何使用标准比特币交易来直接在比特币脚本中实施DFA的元素。为了说明的目的，以下提供了关键用例的示例。

创建合同

合同发布者(在本例中是主要角色)希望在区块链上公布一份合同供公众查阅。这个过程概括如表1所示：

这个情境中有两个关键的实施例或其变体，具体如下：

●从现有合同中创建子合同

●将现有合同延期为新合同(续约)

创建子合同

在这种情况下，合同发布者希望从现有合同中创建子合同，其过程概括如表2：

根据一个或多个实施例，可以独立地监测子合同。例如，考虑一个房地产建筑合同，需要一个检查员签字，合同规定“必须由<x>签署”。为了实现这一点，创建步骤150.60并循环到<x>以签名。偿还脚本(repay script)不是时间锁定的，而是创建为m/n多重签名元素，其中所需签名者为<x>。在一些实施例中，交易将有两个输出：支付给<x>的费用加上在步骤150.50中生成的UTXO的支付。

示例用例：延长现有合同

在本用例中，合同发布者希望将现有合同延长为新合同。如表3所示说明性过程：

示例：查看合同

在此用例中，感兴趣方希望确认合同的存在，以涵盖他(她)所询问的活动。这一过程如表4所示：

上述主要变量假设感兴趣方知道通过其他途径管理合同的交易(一般来说，他们要么是合同发布者，要么是合同对方)。但是，任何有权访问合同文档和合同发布者信息的实体都可以通过以下方式进行查看：

-导出UTXO交易的赎回脚本；和

-扫描区块链以找到具有匹配的赎回脚本散列的UTXO。

示例：关闭合同

在这种用例中，合同发布者或合同对方希望关闭现有合同。这一过程如表5所示：

合同条件

上述相同的机制可用于监视给定合同中的条件，例如检查点。例如，如果确定合同价值100BTC，并且在检查点1到5支付20BTC，那么上述子合同模型可用于派生主合同和五个子合同。这些子合同中的每一个都可以使用相同或不同的签名(例如公证人或类似签名人)标记为完成。通过这种方式，可以保持公共记录，表明已经满足合同附带的条件。然后可以将此概念与流程或应用程序(“bot”)结合使用，一旦合同标记为完成，该流程或应用程序可用于触发支付20BTC。

出于说明的目的，下面提供了一些示例情境，其示出了可以使用本发明的一些应用。在所有这些情境中，认为合同本身的内容是不相关的和非限制性的。

示例情境1：资产的公共注册表

在这个情境中，鲍勃(Bob)决定将他对资产(例如他的家)的所有权发布到区块链上。在这个阶段没有其它要做的；它只是一种资产，可以在后续交易中使用。在这种情况下，合同没有终止日期。图2a显示了一个具有两种状态的简单状态机：(i)合同开放和(ii)合同关闭。图2b显示了比特币交易输出上的元数据定义，元数据定义通过散列指定了合同位置和有效性证明。图2c显示了一个“发布”交易，该交易最初将合同存储在区块链上(尽管它实际上只存储散列而不是实际的合同)。图2d通过花费比特币来取消合同。

示例情境2：所有权隐藏的资产的创建和注册

其是情境1的略微增强版。在本示例中，鲍勃想要将资产发布到区块链上，但不想直接透露他的所有权。

在这种情况下，鲍勃首先从他的公钥创建子密钥来表示资产。然后，该子密钥作为资产详细信息的一部分发布到区块链上。在这种情况下，资产没有终止日期。(下面提供了可以生成子密钥的一种方式的示例详情。参见以下标题为“子密钥生成方法”的部分)。

此情境的状态机与情境1的状态机相同，如图2a所示。图3a显示了此情境的元数据定义。元数据被携带在比特币交易输出上，并(通过散列)指定合同位置和有效性证明。图3b示出了为资产“投资”的交易。也就是说，将一些比特币放入资产的公钥中，以便资产可以为其交易提供资金(例如图3c中的发布交易)。图3b没有显示鲍勃的资产子密钥的创建，因为它不是比特币交易。

图3c显示了用于资产发布的区块链交易。图3d显示了用于合同的关闭的交易。当需要取消合同时，花费UTXO。在这种情况下，要求资产和资产的隐藏的所有者签字。

示例情境3：租赁合同

在此情况下，鲍勃与伊芙(Eve)签订租赁合同，合同期限为三年。合同条款指定一些付款项。付款细节与本发明无关。但是，合同具有固定期限，没有违约条款。

有一个简单的状态机模型，如图4a所示。图4b显示了此情境的元数据。图4c显示了将资产所有权发布到区块链的交易。首先，鲍勃为资产提供一些资金，然后资产自我发布。

示例情境4：延期合同

在这种说明性的情况下，鲍勃决定以每年延期的方式向伊芙租赁房屋。如果他要在合同续约日取消租约，他需要提前两个月通知，否则将自动续约。这有一个简单的状态机模型，如图5a所示。图5b显示了此情境的元数据。图5c显示了发布初始合同的交易以及合同的初始延期(rollover)到区块链上。

在第一年之后，鲍勃继续租约，不终止合同。在伊芙-S3-T2(EVE-S3-T2)发布之后，它立即由自动化计算代理获取并再延期一年。应该注意的是，这也可能由伊芙使用她自己的内部逻辑来完成。

在第二年之后，鲍勃选择终止租约并使用与伊芙-S3-T3相同的输入提交交易。但是，由于此交易尚未提交，因此输入未花费，如果鲍勃的交易先发布到区块链，则会使EVE-S3-T3无效。虽然涉及的金额微不足道，但bot不会签署交易，除非输出是针对伊芙的公钥散列(或合同实际陈述的任何内容)。用于终止鲍勃的合同的交易如图5d所示。

示例情境5：合同受限性

在这种情况下，鲍勃与一些建筑商签订合同以交付新房产，并在合同中指定需要独立签字的若干条件(第一个是当地规划部门对计划的批准)。这有一个简单的状态机模型，如图6a所示。图6b显示了此情境的元数据。图6c示出了交易，其中鲍勃创建初始合同和两个子合同(在派生相关子密钥之后，可能使用下文描述的子密钥生成技术)并发布它们。图6d显示了签署了规划许可后的交易。

编码方案

用于引用合同的元数据可以是多种格式的。然而，这里描述了合适的编码方案。

如果合同所规定的权利赋予了合同持有人或所有者，则合同可以转让。不可转让合同的一个例子是合同方被命名的合同，也就是说，权利被赋予给特定的指定实体而不是合同的持有者。本编码方案仅讨论可转让合同。

令牌表示详述或定义合同赋予的权利的特定合同。根据本发明，令牌是比特币交易形式的合同的表示。

该编码方法使用包括三个参数或数据项的元数据。此数据可以表明：

i)合同规定的可用股份数量(在本申请文件中可以表示为“NumShares”)；

ii)从发送方转移到至少一个接收方的转移单位数量(在本文中可以表示为“ShareVal”)；和

iii)用于计算转移单元数量的值的因子(这在本文中可称为“挂钩率(peggingrate)”)。

该编码方案的一个优点是它可以仅使用上述三个参数来封装合同，或将合同表示为区块链上的令牌。实际上，可以至少使用这三个数据项来指定合同。由于该编码方案可用于任何类型的可转让合同，因此可以设计和应用通用算法。这些元数据项的进一步细节具体如下。

可分割令牌是其中交易输出上的值可以细分为跨多个令牌分配较小量(即，跨多个交易分配)的令牌。原型是令牌化的法定货币。可分割合同定义为指定非零挂钩率的合同。对于可分割合同，在交易输出中传递的令牌化值通过挂钩率与基础比特币(BTC)值相关联。也就是说，合同规定了持有人在挂钩率方面的权利。对于不可分割的令牌，没有挂钩率，合同以固定价值规定了持有人的权利(例如不记名债券：‘此合同可以兑换1000美元’或凭‘此合同可用来理发一次’)。对于不可分割的合同，基础交易BTC值与合同价值无关。

“基础BTC值”是指附加到交易输出的比特币金额(BTC)。在比特币协议中，每个交易输出必须具有非零BTC数量才被认为是有效的。实际上，BTC数量必须大于设定的最小值(称为“灰尘(dust)”)，在撰写本申请文件时，目前设定为546聪(satoshis)。1比特币定义为等于1亿聪。由于比特币交易仅用作促进所有权交换的手段，因此实际的基础BTC数量是任意的：真正的价值在于合同文件。从理论上讲，每一个令牌都可以被灰尘携带。

根据当前的编码方案，特别是对于可分割的令牌，基础BTC值确实具有含义：它通过挂钩率与合同价值相关。挂钩率本身是任意的，并且选择挂钩率以便使基础BTC量保持较小。使用挂钩率而不是简单地使每个令牌交易具有灰尘的原因是因为本发明的协议促进了可分性：当令牌被分成几个较小量的交易输出时，不必调整原始合同。相反，每个细分令牌的合同价值仅根据挂钩率和基础BTC值的细分量计算。

有限令牌是其中总发布值由固定的非零数量的股份固定(或“限制”)的令牌，其由称为NumShares的量定义。因此，根据有限合同不得再发行任何股份。例如，赛马的部分所有权合同仅限于赛马的100％(例如100股，每股1％或10股，每股10％，等等)。无限合同意味着发布人能够包销进一步的股票发行，例如将所需数量的法定货币加入其储备账户。必须在所有合同中明确说明NumShares。有限合同必须满足NumShares>0；通过设置NumShares＝0来表示无限合同。

典型的例子是货币储备(类似于黄金储备)，使得储备银行账户中持有的总价值与现有期票(即未兑现的令牌)中的总价值相匹配。这一概念不仅限于货币储备，还包括库存。例如，持有印花T恤令牌的发布者可以从库存10,000件T恤开始，并可以发出一个可分的令牌来代表这10,000件T恤(其中，例如，每股＝1件T恤)。可以细分原始令牌，并且根据挂钩率定义的交易输出的基础BTC值，每个细分的令牌可以兑换多件T恤。然而，如果需求增加，发布者可能决定发行更多股票(即增加流通股数量(比如)再加10,000股)。在这种情况下，发行人有责任在其储备账户(即库存仓库)中再存放10,000件T恤，以便包销进一步的发行。因此，任何时候库存中的T恤总数(其中股票充当“储备账户”)＝未兑现股票的总数。

挂钩率仅适用于可分割合同，其中股票的价值(由名为ShareVal的量表示)与基础BTC金额挂钩。例如，合同可以指定发布者承诺以每个基础1BTC 10,000美元的费率兑换令牌。这意味着(例如)具有令牌化基础输出值15,400聪的交易将可兑换为1.54美元。挂钩率的值为0表示合同是不可分割的(即只能整体转移，如不记名债券)。当挂钩率设置为0(表示不可分割的令牌)时，基础BTC值与合同值无关，可以设置为任何金额。通常在这种情况下，希望保持基础BTC金额尽可能小(即设置为灰尘)以使操作成本最小化。

NumShares是(有限)合同下可用的总(固定)股数。对于有限合同，NumShares必须是大于零的整数。对于无限合同，NumShares不是固定的，因为可以随时发布更多的股票(只要它们被包销)，通过将值设置为0来表示。

定义股份为转移单位，ShareVal是该单位的价值。例如，对于法定货币，转移单位可以设置为1美分。或者，例如，它可以设置为50美分，在这种情况下，转移只能以“许多”50美分执行。ShareVal也可以表示为百分比：例如，如果饲养员希望以10个相等的股份出售赛马，那么ShareVal＝10％。ShareVal必须>0且必须在合同上定义。

总发行(Totallssuance)代表已发行股票的总价值。该价值仅涉及有限合同，无限合同的发行不固定，可发行更多股份。如果股份以百分比表示，那么根据定义，Totallssuance＝100％。

对于有限合同，NumShares，ShareVal和Totallssuance以下列方式相关联：

NumShares x ShareVal＝Totallssuance

Totallssuance的值为0表示它是无限合同。无限合同的一个例子是法定货币(因此Totallssuance设为0)；有限合同的例子有：(i)限量版纪念币(铸造1000枚，其中1股＝1枚硬币)：Totallssuance＝1000x 1＝1000个硬币；(ii)在售票场地的座位，其中Totallssuance＝可用座位总数。

将流通量定义为未使用的令牌的总值(即，由UTXO中的交易确定-未使用的交易输出)。所有未使用的交易的完整集保存在可用于所有比特币节点的列表中。例如，如果发布者最初发行10,000美元作为法定货币类型令牌，并且随着时间的推移，价值5500美元的令牌被兑换，那么流通量＝4500美元(即未兑现令牌的价值)。此价值应与关联的储备帐户中的余额保持一致。

子密钥生成方法

在上文中，表3和示例情境指的是从原始(主)密钥生成子密钥是有利的情况。现在提供用于实现此目的的方法，用于说明可以执行此操作的一种方式。

图7示出了系统1，其包括通过通信网络5与第二节点7通信的第一节点3。第一节点3具有相关联的第一处理设备23，第二节点5具有相关联的第二处理设备27。第一和第二节点3,7可以包括电子设备，例如计算机，电话，平板计算机，移动通信设备，计算机服务器等。在一个示例中，第一节点3可以是客户端(用户)设备，第二节点7可以是服务器。服务器可以是数字钱包提供商的服务器。

第一节点3与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称密码对相关联。第二节点(7)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称密码对相关联。换句话说，第一和第二节点各自拥有相应的公钥-私钥对。

可以在注册过程期间生成用于相应的第一和第二节点3、7的第一和第二非对称密码对，例如钱包的注册。每个节点的公钥可以公开共享，例如通过通信网络5共享。

为了在第一节点3和第二节点7处确定公共秘密(CS)，节点3、7各自执行相应方法300、400的步骤，而不通过通信网络5传送私钥。

由第一节点3执行的方法300包括步骤330，至少基于第一节点主私钥(V_1C)和生成器值(GV)确定第一节点第二私钥(V_2C)。生成器值可以基于在第一和第二节点之间共享的消息(M)，其可以包括通过通信网络5共享消息，对此，下文将进一步详述。方法300还包括步骤370，至少基于第二节点主公钥(P_1S)和生成器值(GV)确定第二节点第二公钥(P_2S)。方法300包括步骤380，基于第一节点第二私钥(V_2C)和第二节点第二公钥(P_2S)确定公共秘密(CS)。

重要的是，同样的公共秘密(CS)也可以通过方法400在第二节点7上确定。方法400包括步骤430，基于第一节点主公钥(P_1C)和生成器值(GV)确定第一节点第二公钥(P_2C)。方法400还包括步骤470，基于第二节点主私钥(V_1S)和生成器值(GV)确定第二节点第二私钥(V_2S)。方法400包括步骤480，基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)确定公共密钥(CS)。

通信网络5可能包括局域网、广域网、蜂窝网络、无线通信网络、互联网等等。在这些网络中，数据可以通过通信传播媒介如电线、光纤、无线传输，数据容易被窃听，比如被窃听者11窃听。方法300、400可以使第一节点3和第二节点7都在不通过通信网络5传输公共秘密的情况下独立地确定公共秘密。

因此，一个优点是可以由每个节点安全且独立地确定公共秘密(CS)，而不必通过可能不安全的通信网络5发送私钥。接着，公共秘密可以用作秘密密钥(或者作为秘密密钥的基础)。

方法300、400可以包括附加步骤。参见图11。方法300可以包括：在第一节点3处基于消息(M)和第一节点第二私钥(V_2C)生成签名消息(SM1)。方法300还包括步骤360，通过通信网络将第一签名消息(SM1)发送到第二节点7。接着，在步骤440中，第二节点7可以执行接收第一签名消息(SM1)。方法400还包括以下步骤：步骤450，用第一节点第二公钥(P_2C)验证第一签名消息(SM1)，以及步骤460，基于验证第一签名消息(SM1)的结果认证第一节点3。有利地，这允许第二节点7认证所声称的第一节点(其中生成第一签名消息)是第一节点3。这基于以下假设：仅第一节点3可以访问第一节点主私钥(V_1C)，因此只有第一节点3可以确定用于生成第一签名消息(SM1)的第一节点第二私钥(V_2C)。应当理解的是，类似地，可以在第二节点7处生成第二签名消息(SM2)并将其发送到第一节点3，使得第一节点3可以认证第二节点7，例如在点对点(peer-to-peer)情境中。

可以以各种方式实现在第一和第二节点之间共享消息(M)。在一个示例中，可以在第一节点3处生成消息，然后将其通过通信网络5发送给第二节点7。或者，可以在第二节点7处生成消息，然后将其通过通信网络5发送给第二节点7。在一些示例中，消息(M)可以是公开的，因此可以通过不安全的网络5发送。一个或多个消息(M)可以存储在数据存储器13、17、19中。本领域技术人员将认识到，可以以各种方式实现消息的共享。

有利地，可以保持允许重新创建公共秘密(CS)的记录，而记录本身不必私下存储或安全传输。

注册方法100、200

参考图9描述注册方法100、200的示例，其中方法100由第一节点3执行，方法200由第二节点7执行。这包括为相应的第一和第二节点3、7建立第一和第二非对称密码对。

非对称密码对包括关联的私钥和公钥，例如在公钥加密中使用的密钥。在该示例中，使用椭圆曲线密码学(ECC)和椭圆曲线运算的属性生成非对称密码对。

在方法100、200中，这包括步骤110、210，第一和第二节点对于公共ECC系统并使用基点(G)达成一致。(注意：基点可以称为公共生成器，但术语“基点”用于避免与生成器值GV混淆)。在一个示例中，公共ECC系统可以基于secp256K1，secp256K1是比特币使用的ECC系统。可以选择、随机生成、或分配基点(G)。

至于第一节点3，方法100包括步骤110，选定公共ECC系统和基点(G)。这可以包括从第二节点7或第三节点9接收公共ECC系统和基点。或者，用户接口15可以与第一节点3相关联，由此用户可以选择性地提供公共ECC系统和/或基点(G)。在另一可选方案中，公共ECC系统和/或基点(G)中的一个或他们一起可以由第一节点3随机选择。第一节点3可以通过通信网络5给第二节点7发送使用具有基点(G)的公共ECC系统的指示通知。而在步骤210中，第二节点7可以通过发送确认使用公共ECC系统和基点(G)的指示通知来选定。

方法100还包括步骤120，第一节点3生成第一非对称密码对，其包括第一节点主私钥(V_1C)和第一节点主公钥(P_1C)。这包括至少部分地基于在公共ECC系统中指定的可允许范围内的随机整数来生成第一节点主私钥(V_1C)，还包括根据如下公式基于第一节点主私钥(P_1C)和基点(G)的椭圆曲线点乘法来确定第一节点主公钥(P_1C)：

P_1C＝V_1C x G (公式1)

因此，第一非对称密码对包括：

V_1C:由第一节点保密的第一节点主私钥。

P_1C：被公知的第一节点主公钥。

第一节点3可以将第一节点主私钥(V_1C)和第一节点主公钥(P_1C)存储在与第一节点3相关联的第一数据存储器13中。为了安全起见，第一节点主私钥(V_1C)可以存储在第一数据存储器13的安全部分中，以确保密钥保持私密。

方法100还包括步骤130，通过通信网络5将第一节点主公钥(P_1C)发送到第二节点7，如图9所示。第二节点7可以在步骤220中接收第一节点主公钥(P_1C)时，在步骤230中将第一节点主公钥(P_1C)存储在与第二节点7相关联的第二数据存储器17中。

类似于第一节点3，第二节点7的方法200包括步骤240，生成第二非对称密码对，第二非对称密码对包括第二节点主私钥(V_1S)和第二节点主公钥(P_1S)。第二节点主私钥(V_1S)也是允许范围内的随机整数。而第二个节点主公钥(P_1S)由以下公式确定：

P_1S＝V_1S x G (公式2)

因此，第二非对称密码对包括：

V_1S：由第二节点保密的第二节点主私钥。

P_1S：被公知的第二节点主公钥。

第二节点7可以将第二非对称密码对存储在第二数据存储器17中。方法200还包括步骤250，将第二节点主公钥(P_1S)发送到第一节点3。而在步骤140和150中，第一节点3可以接收并存储第二节点主公钥(P_1S)。

应当理解的是，在一些替代方案中，可以在与第三节点9(诸如可信的第三方)相关联的第三数据存储19处接收和存储相应的公共主密钥。这可能包括充当公共目录的第三方，例如证书颁发机构。因此，在一些示例中，第一节点主公钥(P_1C)可以仅在确定需要公共秘密(CS)时由第二节点7请求和接收(反之亦然)。

注册步骤可能只需要作为初始设置进行一次。

会话发起并由第一节点3确定公共秘密

现在将参考图10说明确定公共秘密(CS)的示例。公共秘密(CS)可以用于第一节点3和第二节点7之间的特定会话、时间、交易或其他目的。人们可能不希望使用相同的公共秘密(CS)，或者说这样做不安全。因此，可以在不同的会话、时间、交易等之间更改公共秘密(CS)。

提供以下内容用以说明上述安全传输技术。

生成消息(M)310

在该示例中，由第一节点3执行的方法300包括步骤310，生成消息(M)。消息(M)可以是随机的、伪随机的或用户定义的。在一个示例中，消息(M)基于Unix系统时间(UnixTime)和随机数(和任意值)。例如，可以将消息(M)可以为：

消息(M)＝Unix系统时间+随机数 (公式3)

在一些示例中，消息(M)是任意的。然而，应当理解，消息(M)可以具有在某些应用中可能有用的选择性值(例如Unix系统时间等)。

方法300包括步骤315，通过通信网络5将消息(M)发送到第二节点7。消息(M)可以在不安全的网络上发送，因为消息(M)不包含关于私钥的信息。

确定生成器值(GV)320

方法300还包括步骤320，基于消息(M)确定生成器值(GV)。在这个例子中，这包括确定消息的加密散列。加密散列算法的一个示例包括用于创建一个256位生成器值(GV)的SHA-256。即：

GV＝SHA-256(M) (公式4)

应当理解，其他散列算法也可以使用。其可以包括安全散列算法(Secure HashAlgorithm，简称“SHA”)系列中的其他散列算法。一些特定示例包括SHA-3子集中的实例，包括SHA3-224，SHA3-256，SHA3-384，SHA3-512，SHAKE 128，SHAKE256。其他散列算法可以包括RACE原始完整性校验消息摘要(RACE Integrity Primitives Evaluation MessageDigest，简称“RIPEMD”)系列中的散列算法。特定示例可以包括RIPEMD-160。其他散列函数可以包括基于Zemor-Tillich的散列函数和基于背包(knapsack)的散列函数的系列。

确定第一节点第二私钥330

然后方法300包括步骤330，基于第二节点主私钥(V_1C)和生成器值(GV)确定第一节点第二私钥(V_2C)。根据以下公式，V_2C可以基于第一节点主私钥(V_1C)和生成器值(GV)的标量相加之和：

V_2C＝V_1C+GV (公式5)

因此，第一节点第二私钥(V_2C)不是随机值，而是确定性地从第一节点主私钥导出。加密对中的相应公钥，即第一节点第二公钥(P_2C)，具有以下关系：

P_2C＝V_2C x G (公式6)

将公式5中的V_2C代入公式6中，则：

P_2C＝(V_1C+GV)x G (公式7)

其中，“+”运算符指标量加法，“x”运算符指椭圆曲线点乘法。注意椭圆曲线密码学代数具有分配律，公式7可以表示为：

P_2C＝V_1C x G+GV x G (公式8)

最后，公式1可以代入公式7，则:

P_2C＝P_1C+GV x G (公式9.1)

P_2C＝P_1C+SHA-256(M)x G (公式9.2)

在公式8到9.2中，“+”运算符指的是椭圆曲线点加法。因此，在已知第一节点主公钥(P_1C)和消息(M)的情况下，可以导出对应的第一节点第二公钥(P_2C)。第二节点7可以具有这样的知识以独立地确定第一节点第二公钥(P_2C)，这将在下文关于方法400进一步进行详细讨论。

基于消息和第一节点第二私钥生成第一签名消息(SM1)350

方法300还包括步骤350，基于消息(M)和确定的第一节点第二私钥(V_2C)生成第一签名消息(SM1)。生成签名消息包括应用数字签名算法对消息(M)进行数字签名。在一个示例中，这包括将第一节点第二私钥(V_2C)应用于椭圆曲线数字签名算法(Elliptic CurveDigital Signature Algorithm，简称“ECDSA”)中的消息以获得第一签名消息(SM1)。ECDSA的实例包括基于具有secp256k1、secp256r1、secp384r1、se3cp521r1的ECC系统的椭圆曲线数字签名算法。

在第二节点7处，采用对应的第一节点第二公钥(P_2C)来验证第一签名消息(SM1)。第二节点7可以使用对第一签名消息(SM1)的验证来认证第一节点3，这将在下面的方法400中进行讨论。

确定第二节点第二公钥370’

然后，在步骤370中，第一节点3可以确定第二节点第二公钥(P_2S)。如上所述，第二节点第二公钥(P_2S)可以至少基于第二节点主公钥(P_1S)和生成器值(GV)。在该示例中，由于将公钥确定为具有与基点(G)进行椭圆曲线点乘的私钥(步骤370’)，所以可以以类似于公式6的方式表达第二节点第二公钥(P_2S)，如：

P_2S＝V_2S x G (公式10.1)

P_2S＝P_1S+GV x G (公式10.2)

公式10.2的数学证明与上述用于导出第一节点第二公钥(P_2C)的公式9.1的数学证明相同。应当理解，在步骤370中，第一节点3可以独立于第二节点7确定第二节点第二公钥。

确定第一节点3处的公共秘密380

然后，在步骤380中，第一节点3可以基于所确定的第一节点第二私钥(V_2C)和所确定的第二节点第二公钥(P_2S)来确定公共秘密(CS)。公共秘密(CS)可以由第一节点3通过以下公式确定：

S＝V_2C x P_2S (公式11)

在第二节点7处执行的方法400

现在将描述在第二节点7处执行的对应方法400。应当理解，这些步骤中的一些步骤类似于上述由第一节点3执行的步骤。

方法400包括步骤410，通过通信网络5从第一节点3接收消息(M)。这可以包括在步骤315由第一节点3发送的消息(M)。然后在步骤420中，第二节点7基于消息(M)确定生成器值(GV)。由第二节点7确定生成器值(GV)的步骤420类似于由上述第一节点执行的步骤320。在该示例中，第二节点7独立于第一节点3执行该确定步骤420。

下一步骤包括步骤430，基于第一节点主公钥(P_1C)和生成器值(GV)确定第一节点第二公钥(P_2C)。在该示例中，由于将公钥确定(步骤430’)为具有与基点(G)进行椭圆曲线点乘的私钥，所以可以以类似于公式9的方式表达第一节点第二公钥(P_2C)，如：

P_2C＝V_2C x G (公式12.1)

P_2C＝P_1C+GV x G (公式12.2)

公式12.1和12.2的数学证明与上述针对公式10.1和10.2所讨论的内容相同。

第二节点7认证第一节点3

方法400可以包括由第二节点7执行以认证所声称的第一节点3是第一节点3的步骤。如前所述，这包括从第一节点3接收第一签名消息(SM1)的步骤440。然后，第二节点7可以用在步骤430确定的第一节点第二公钥(P_2C)验证(步骤450)第一签名消息(SM1)上的签名。

验证数字签名可以根据如上所述的椭圆曲线数字签名算法(ECDSA)来完成。重要的是，用第一节点第二私钥(V_2C)签名的第一个签名消息(SM1)应仅用相应的第一节点第二公钥(P_2C)正确验证，因为V_2C和P_2C形成密码对。由于这些密钥在在第一节点3注册时生成的第一节点主私钥(V_1C)和第一节点主公钥(P_1C)是具有确定性的，因此验证第一签名消息(SM1)可以用作认证的基础，即认证发送第一签名消息(SM1)的所谓第一节点是与在注册期间相同的第一节点3。因此，第二节点7还可以基于验证(450)第一签名消息的结果来执行认证(460)第一节点3的步骤。

第二节点7确定公共秘密

方法400还可以包括第二节点7基于第二节点主私钥(V_1S)和生成器值(GV)确定(步骤470)第二节点第二私钥(V_2S)。类似于第一节点3执行的步骤330，第二节点第二私钥(V_2S)可以根据以下公式基于第二节点主私钥(V_1S)和生成器值(GV)的标量相加之和：

V_2S＝V_1S+GV (公式13.1)

V_2S＝V_1S+SHA-256(M) (公式13.2)

然后，第二节点7可以独立于第一节点3，基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)基于以下公式确定(步骤480)公共秘密(CS)：

S＝V_2S x P_2C (公式14)

由第一节点3和第二节点7确定的公共秘密(CS)的证明

由第一节点3确定的公共秘密(CS)与在第二节点7处确定的公共秘密(CS)相同。现在对公式11和公式14提供相同的公共秘密(CS)的数学证明进行说明。

至于由第一节点3确定的公共秘密(CS)，公式10.1可以代入公式11，如下所示：

S＝V_2C x P_2S (公式11)

S＝V_2C x(V_2S x G)

S＝(V_2C x V_2S)x G (公式15)

至于由第二节点7确定的公共秘密(CS)，公式12.1可以代入公式14，如下所示：

S＝V_2S x P_2C (公式14)

S＝V_2S x(V_2C x G)

S＝(V_2S x V_2C)x G (公式16)

由于ECC代数是可交换的，因此公式15和公式16是等价的，因为：

S＝(V_2C x V_2S)x G＝(V_2S x V_2C)x G (公式17)

公共秘密(CS)和秘密密钥

公共秘密(CS)现在可以被用作秘密密钥，或者作为在第一节点3和第二节点7之间进行安全通信的对称密钥算法中的秘密密钥的基础。

公共秘密(CS)可以是椭圆曲线点(xs，ys)的形式。这可以使用由节点3、7所达成一致的标准公开已知操作转换成标准密钥格式。例如，xs值可以是256位的整数，可以用作AES₂₅₆加密的密钥。它也可以使用RIREMD160转换成160位的整数，用于任何需要这个长度密钥的应用程序。

可以根据需要确定公共秘密(CS)。重要的是，第一节点3不需要存储公共秘密(CS)，因为这可以基于消息(M)重新确定。在一些示例中，所使用的消息(M)可以存储在数据存储13、17、19(或其他数据存储)中，而不需要主私钥所要求的相同级别的安全性。在一些示例中，消息(M)可以是公开可用的。

然而，根据某些应用，公共秘密(CS)可以存储在与第一节点相关联的第一数据存储(X)中，前提是公共秘密(CS)与第一节点主私钥(V_1C)一样安全。

有利地，该技术可用于确定基于单个主密钥加密对对应多个安全密钥的多个公共秘密。

生成器值的层次结构(密钥)

例如，可以确定一系列连续的生成器值(GV)，其中可以基于先前的生成器值(GV)确定每个连续的GV。例如，无需重复步骤310至370和410至470以生成连续的单用途密钥，而是通过节点之间的先前协议，双方可以重复地重新散列先前使用的生成器值(GV)以建立生成器值的层级。实际上，基于消息(M)的散列的生成器值可以是下一代生成器值(GV’)的下一代消息(M’)。这样做允许计算连续几代共享秘密而无需进一步的协议建立传输，特别是为每一代公共秘密传输多个消息。下一代公共秘密(CS’)可以如下方式计算。

首先，第一节点3和第二节点7独立地确定下一代生成器值(GV’)。这类似于步骤320和步骤420，但适用于以下公式：

M’＝SHA-256(M) (公式18)

GV＝SHA-256(M’) (公式19.1)

GV’＝SHA-256(SHA-256(M)) (公式19.2)

然后，第一节点3可以确定下一代第二节点第二公钥(P_2S’)和第一节点第二私钥(V_2C’)，类似于上述步骤370和330，但是适用以下公式：

P_2S’＝P_1S+GV’x G (公式20.1)

V_2C’＝V_1C+GV’ (公式20.2)

然后，第二节点7可以确定下一代第一节点第二公钥(P_2C’)和第二节点第二私钥(V_2S’)，类似于上述步骤430和470，但是适用以下公式：

P_2C’＝P_1C+GV’x G (公式21.1)

V_2S’＝V_1S+GV’ (公式21.2)

然后，第一节点3和第二节点7可以各自确定下一代公共秘密(CS’)。特别地，第一节点3使用以下公式确定下一代公共秘密(CS’)：

CS’＝V_2C’x P_2S’ (公式22)

第二节点7使用以下公式确定下一代公共秘密(CS’)：

CS’＝V_2S’x P_2C’ (公式23)

可以以相同的方式计算更多代(CS”，CS”’等)以创建链层次结构。该技术要求第一节点3和第二节点7都跟踪原始消息(M)或最初计算的生成器值(GV)以及它所涉及的节点。由于这是公开信息，因此没有关于保留此信息的安全问题。因此，该信息可以保存在“散列表”(将散列值链接到公共密钥)上并且通过网络5自由分发(例如使用Torrent)。此外，如果层次结构中的任何单个公共秘密(CS)遭到破坏，不会影响层次结构中任何其他公共秘密的安全性，前提是私钥V_1C、V_1S仍然安全。

密钥的树结构

除了如上所述的链(线性)层级之外，还可以创建树结构形式的层级。利用树结构，可以确定用于不同目的的各种密钥，例如认证密钥，加密密钥，签名密钥，支付密钥等，这些密钥都链接到单个安全地维护的主密钥。这在图12中得到最充分的说明，其示出了具有各种不同密钥的树结构901，其中每个都可用于与另一方创建共享密钥。树枝可以以几种方式完成，其中三种如下所述。

(i)主密钥产生

在链层次结构中，通过向原始主密钥添加乘法重新散列的消息来创建每个新的“链接”(公钥/私钥对)。例如，(为清楚起见，仅显示第一个节点3的私钥)：

V_2C＝V_1C+SHA-256(M) (公式24)

V_2C’＝V_1C+SHA-256(SHA-256(M)) (公式25)

V_2C”＝V_1C+SHA-256(SHA-256(SHA-256(M))) (公式26)

…

要创建分支，任何密钥都可以用作子主密钥。例如，V_2C’可以通过向常规主密钥添加散列来用作子主密钥(V_3C)：

V_3C＝V_2C’+SHA-256(M) (公式27)

子主密钥(V_3C)本身可以具有下一代密钥(V_3C’)，例如：

V_3C’＝V_2C’+SHA-256(SHA-256(M)) (公式28)

这提供了使用如图13所示的主密钥产生方法的树结构903。

(ii)逻辑关联

在此方法中，树(公钥/私钥对)上的所有节点生成为链(或生成其它形式)，树中节点之间的逻辑关系由表维护，表中树中的每个节点仅使用指针与树中的父节点相关联。因此，可以使用指针来确定相关的公钥/私钥对，以确定会话的公共密钥(CS)。

(iii)消息多重性

可以通过链或树中的任何点引入新消息来生成新的私钥/公钥对。消息本身可以是任意的，或者可以带有一些含义或功能(例如，它可能与“真实的”银行帐号等有关)。可能希望安全地保留用于形成新的私钥/公钥对的这种新消息。

用于本发明的说明性计算代理

本发明可以利用计算资源或代理来执行合同过程的自动化方面。以下提供合适代理的示例(其他实施方式也可能可以使用)。

代理可以与区块链一起操作，在图灵机(Turing machine)的实施方式中将其用作不可擦除的带(tape)。该代理与区块链网络并行运行，监督和处理(循环)过程的执行。将循环过程设计为执行给定任务，例如，设备或系统的过程或控制的自动化。此并行资源监视区块链的状态，并可以将交易写入区块链。从某种意义上说，它利用区块链作为图灵机的不可擦除纸带，其定义和特征如下：

1.区块链充当图灵机的带。区块链中的每个交易代表带上的一个单元。该单元格可以

包含来自有限字母表的符号。

2.带头(tape head)可以从已经写入区块链的块中读取信息。

3.带头可以将包含许多交易的新块写入区块链的末尾。但是，它们无法写入已存在的

块。因此，区块链带是不可擦除的。

4.每个交易的元数据可以存储为多签名支付到脚本散列(P2SH)交易的一部分。

代理的一个重要功能是充当监控区块链当前状态的自动化实体。它还可以从任何块外(off-block)源接收信号或输入。根据区块链状态和/或接收的输入，代理可以执行某些动作。代理决定要执行哪个(或哪些)动作。这些可能涉及或不涉及“现实世界”(即块外(off-block))中的动作和/或区块链上的动作(例如创建和广播新交易)。代理所采取的操作可能由区块链状态触发。代理还可以决定要向比特币网络广播的下一组交易，并随后写入区块链。

代理的动作并行且同时运行到区块链(例如比特币)网络。从某种意义上说，这扩展了区块链(例如比特币)脚本的功能。这种连续监控实施了“循环”控制流构造，使组合代理和区块链系统具有图灵完备性。

图灵机包括两个堆栈：

·数据堆栈：这是由上述区块链表示的。

·控制堆栈：这是由代理函数表示的。它存储了与重复控制流功能相关的信息。

控制堆栈与数据堆栈的分离提供了防止比特币核心内发生无限循环、减轻拒绝服务攻击(denial-of-service attack)的优点。

代理管理和运行子例程，这些子例程能够通过任何类型的循环构造(例如，FOR-NEXT，REPEAT UNTIL等)进行循环。本申请文件描述的说明性实施例包括使用“重复”构造的一个示例的过程。用户可以指定索引(i)和限值(J)。这些分别表示当前迭代次数(通常从0开始计数)和重复循环的总迭代次数。

对于每一次迭代：

1.索引增量为1。对于退出条件，当索引达到限值时，迭代将停止；

2.执行包含“如果条件就动作(if condition then action，简称“(ICTA)”语句的代码块；该动作可以是区块链上或链外的任何动作；

3.计算该子例程的加密散列。这可以作为交易的一部分存储在区块链中。由于散列对每个代码都是唯一的，因此可以验证已使用的代码。

循环体包括代码块。每个代码块都包含“if condition then action”(ICTA)语句。这就为与以下内容匹配的交易监视了区块链的当前状态：

·启动或触发条件(例如，达到特定日期时)。

·重复条件(即与前一迭代相关联的元数据或散列)。

·停止条件(即循环的最后一次迭代)。

ICTA语句使代理能够根据区块链的当前状态决定下一个要进行的交易。进行下一个交易涉及将交易广播到比特币网络，并将新交易写入区块链。这充当了已执行此迭代的记录。一旦将交易写入区块链，管理器(Manager)随后将发现上一次迭代已执行并写入区块链，并将执行下一次迭代。后者继续，直到当索引(i)达到代码块中指定的限值(J)时重复循环退出。

每个交易都以可重复使用的方式保存在区块链中。在比特币实施方式中，交易中的每个签名都附加一个签名散列(SIGHASH)标志。该标志可以采用不同的值，每个值指示在没有该签名的所有者参与的情况下是否可以修改交易的其他部分。可重复使用的交易在交易输入中的一个具有SIGHASH标志“签名散列_任何人可付(SigHash_AnyoneCanPay)”。这允许任何人为交易的输入做出贡献。此参数使代理的ICTA功能能够执行并重复多次并使用不同的输入。该功能的使用可以限于授权方——例如，通过可重复使用的交易的版权。

ICTA代码块的“If条件(if condition)”部分可以监视任何类型的条件。这与其他编程语言(例如C，C++，Java)类似，并且不限于存储在区块链上的信息。例如，它可以监控日期和时间(即达到某个日期和时间)或监控天气(即当温度低于10℃且正在下雨时)，监控合同或信托的条件(即当公司A购买公司B时)。

ICTA代码块的“就动作(Then action)”部分可以执行多个动作。本发明不限制可采取的动作的数量或类型。该动作不限于区块链上的交易，尽管包含与动作相关的元数据的交易可以写入区块链。

元数据可以是任何形式的。然而，在一个实施例中，元数据可以将超链接存储到包含与动作相关的更多数据或指令的文件。元数据可以将超链接存储到散列表，该散列表包含与动作有关的更多数据或指令以及作为散列表的循环键的动作的散列。

代理的控制堆栈可以通过多种方式实施，这些方式属于每个用户的特定需求。例如，控制堆栈的重复循环可以基于任何图灵完备语言。一种可能的语言选择是Forth风格的基于堆栈的语言。使用这种语言的一个优点是它在编程风格上使控制堆栈与比特币脚本保持一致，而比特币脚本已经广为人知、广泛使用。

使用比特币脚本的备用堆栈作为数据存储空间

比特币脚本包含命令，也称为操作码(op codes)，使用户能够将数据移动到称为“alt堆栈”de备用堆栈(alternative stack)。

操作码为：

·OP_TOALTSTACK表示将数据从主堆栈的顶部移动到alt堆栈的顶部。

·OP_FROMALTSTACK表示将数据从alt堆栈的顶部移动到主堆栈的顶部。

这使得来自计算的中间步骤的数据能够存储在alt堆栈中，类似于允许将数据存储在计算器上的“存储器”功能。在一个实施例中，alt堆栈用于配置比特币脚本以解决小的计算任务并将计算结果返回。

使用代码注册表管理代理

代理还管理其拥有并运行的所有代码的注册表。此注册表的结构类似于将特定键映射到特定值的查找表或词典。键和值对由代码块的散列(H₁)和分别存储代码的互联网协议地6版(IPv6)地址表示。要使用键H₁检索代码块，查找表用于检索关联值(这是存储代码的位置)并相应地检索源代码。代码注册表的实现可以有所不同。

代理的代码的交易元数据，以及循环的重新生成

在特定迭代中重新生成代理循环所需的信息作为元数据存储在区块链上记录的交易中。

通过这种方式，区块链上的交易存储或提供对关于在代理上执行的循环的给定迭代的信息的访问。该信息可以包括与循环相关联的任何变量的值，例如索引i，以及任何其他必要信息，例如代码块中使用的参数值或指定可以访问其他所需信息的位置相关数据。

元数据本身作为交易中多签名支付到脚本散列脚本(P2SH)的一部分存储。记录了交易的元数据还能够记录过去如何执行代码的审计跟踪。

代理可以通过多种方式在每次迭代时重新生成重复循环代码块。代码块可以硬编码到代理本身中，也可以存储在非公用或公用文件中，或者存储为非公用或公用散列表文件中的条目，或者上述的组合。代码块可以是带有硬编码变量的静态代码，也可以是静态代码块但包含可以填充的参数。参数可以是任何数据格式的单个值，或者可以是小块代码，或者是上述的组合。可以通过直接从交易中的元数据(例如比特币交易)或从诸如内部数据库或非公用/公共文件或散列表或上述的任何组合的外部源检索它们来填充参数。指向参数值的外部源的指针可能存储在交易中的元数据中。

以下步骤提供了代理如何在第i次迭代中重新生成重复循环代码块的一个示例。在本示例中，代码注册表是散列表，散列值充当表的查找键，并存储在有关交易的元数据中。

1.代理监视用于交易的区块链，该交易包含与代码注册表中的条目匹配的代码块的散列值。

2.代理找到包含相应散列(H₁)的交易。

3.代理读取“元数据-代码散列(Metadata-CodeHash)”，获取代码散列(CodeHash)字段以获得H₁并使用它来检索代码(C₁)。如果RIPEMD-160(SHA256(C₁))等于H₁，则代码未更改，可以安全地继续进行下一步。

4.代理读取存储索引的“元数据-代码散列”，并在第i次迭代中重新生成代码。换句话说，在适当的迭代中“重新加载”循环。

5.用户的签名包含在P2SH命令中以验证元数据的来源。

6.如果循环的此迭代需要这些数据，则代理读取“元数据-输出散列(Metadata-OutputHash)”和“元数据-输出指针(Metadata-OutputPointer)”以检索前一步骤的输出。

应当说明的是，上述实施例对本发明进行说明而不是限制本发明，并且本领域技术人员将能够设计许多替代实施例而不脱离由所附权利要求限定的本发明的范围。在权利要求中，括号中的任何附图标记不应解释为对权利要求的限制。词语“包括(comprising)”和“包含(comprises)”等不排除除了在任何权利要求或说明书中作为整体列出的元件或步骤之外的元件或步骤的存在。在本说明书中，“包括(comprises)”意指“包括(includes)或由......组成(consists of)”，“包括(comprises)”意指“包括(including)或由......组成(consisting of)”。元素的单数引用不意味着排除这些元素的复数引用，反之亦然。本发明可以借助于包括若干不同元件的硬件以及借助于适当编程的计算机来实施。在列举了若干装置的设备权利要求中，这些装置中的若干个可以由该硬件的同一个部件来体现。在相互不同的从属权利要求中仅仅列举某些措施并不代表这些措施的组合不能用来获益。

Claims

1.一种控制合同的可见性和/或履行的计算机实施的方法，所述方法包括以下步骤：

(a)在基于计算机的存储库中存储合同；

(b)向区块链广播交易，所述交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包括标识符的元数据，所述标识符指示所述合同的存储的位置；

(c)所述合同在所述未花费的输出(UTXO)在所述区块链上使用之前为公开的或有效的；以及,

(d)通过以下方式续约或延长所述合同：

使用与前一密钥相关的数据生成新密钥；所述前一密钥与所述合同相关联；

生成脚本，所述脚本包含所述新密钥、所述合同的位置和所述合同的散列；以及

向所述脚本支付一定数量的货币。

2.根据权利要求1所述的方法，其中所述交易还包括确定性赎回脚本地址。

3.根据权利要求2所述的方法，其中所述赎回脚本地址是支付到脚本散列(P2SH)地址。

4.根据权利要求3所述的方法，还包括通过向所述区块链广播进一步的交易以花费所述输出(UTXO)来终止所述合同的步骤。

5.根据权利要求4所述的方法，其中所述进一步的交易包括：

作为输出(UTXO)的输入；和

包含签名、所述元数据以及公钥的解锁脚本。

6.根据任一在先权利要求所述的方法，其中所述合同定义：

i)至少一个条件；和

ii)至少一项行为，其履行取决于对所述条件的评估；和/或

其中所述元数据包括：

i)所述合同存储在所述基于计算机的存储库中的地址或地址的表示；和/或

ii)所述合同的散列。

7.根据权利要求1到5任一项所述的方法，包括以下步骤：

通过确定所述未花费的输出(UTXO)是否在所述区块链的未使用的交易输出列表中来检查所述合同是否已经终止。

8.根据权利要求1到5任一项所述的方法，其中

i)所述合同存储在分布式散列表(DHT)中；和/或

ii)包括以下步骤：

向所述区块链广播交易，所述交易包括在指定日期和/或时间花费所述输出的指令。

9.根据权利要求8所述的方法，其中所述指令是检查锁定时间验证(CheckLockTimeVerify)指令。

10.根据权利要求1到5任一项所述的方法，其中

i)对所述合同的某些或全部内容的访问限于至少一个指定的授权方；和/或

ii)所述合同包括确定性有限自动机(DFA)来实现所述合同。

11.根据权利要求10所述的方法，其中使用编码方案来定义所述确定性有限自动机。

12.根据权利要求11所述的方法，其中通过如下内容来实施所述确定性有限自动机：

i)至少一个区块链交易，最好使用脚本语言；

ii)用于监视所述区块链状态的计算代理；和/或

iii)数字钱包的一组指令。

13.一种控制合同的可见性和/或履行的计算机实施的方法，所述方法包括以下步骤：

(a)在基于计算机的存储库中存储合同；

(b)向区块链广播交易，所述交易包括：

i)至少一个未花费的输出(UTXO)；和

ii)包括标识符的元数据，所述标识符指示所述合同的存储位置的；

(c)所述合同在所述未花费的输出(UTXO)在所述区块链上使用之前为公开的或有效的；以及

(d)生成从所述合同中派生的子合同，其中所述子合同与确定性地址相关联，并以下述方式生成：

iii)使用用种子派生的新公钥；

iv)通过所述合同的引用将所述子合同存储在所述存储库中，并向包含脚本的所述区块链广播交易；所述脚本包含所述引用；和/或

v)将所述子合同的引用添加到所述合同的元数据中。

14.根据权利要求13所述的方法，其中所述交易还包括确定性赎回脚本地址。

15.根据权利要求14所述的方法，其中所述赎回脚本地址是支付到脚本散列(P2SH)地址。

16.根据权利要求15所述的方法，还包括通过向所述区块链广播进一步的交易以花费所述输出(UTXO)来完成所述合同的步骤。

17.根据权利要求16所述的方法，其中所述进一步的交易包括：

作为输出(UTXO)的输入；和

包含签名、所述元数据以及公钥的解锁脚本。

18.根据权利要求13至17中任意一项所述的方法，其中

i)所述合同定义：

a)至少一个条件；和

b)至少一项行为，其履行取决于对所述条件的评估；和/或

ii)所述元数据包括：

a)所述合同存储在所述基于计算机的存储库中的地址或地址的表示；和/或

b)所述合同的散列。

19.根据权利要求13至17中任意一项所述的方法，包括以下步骤：

通过确定所述未花费的交易UTXO是否在所述区块链的未使用的交易输出列表中来检查所述合同是否已经终止。

20.根据权利要求13至17中任意一项所述的方法，其中所述合同存储在分布式散列表(DHT)中。

21.根据权利要求13至17中任意一项所述的方法，包括以下步骤：

22.根据权利要求21所述的方法，其中所述指令是检查锁定时间验证(CheckLockTimeVerify)指令。

23.根据权利要求13至17中任意一项所述的方法，其中

ii)所述合同包括确定性有限自动机(DFA)来实现所述合同。

24.根据权利要求23所述的方法，其中使用编码方案来定义所述确定性有限自动机；和/或

通过如下内容来实施所述确定性有限自动机：

i)至少一个区块链交易，最好使用脚本语言；

ii)用于监视所述区块链状态的计算代理；和/或

iii)数字钱包的一组指令。

25.一种用于控制合同的可见性和/或履行的系统，包括通过通信网络进行数据通信的计算机节点，所述计算机节点用于执行任意一项前述权利要求的方法。