CN111345005A

CN111345005A - 在区块链上记录验证密钥的系统

Info

Publication number: CN111345005A
Application number: CN201880073019.5A
Authority: CN
Inventors: 亚历山卓·科瓦奇; 西蒙娜·马代奥; 帕特里克·蒙特利斯基; 史蒂芬·文森特
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2017-11-09
Filing date: 2018-10-29
Publication date: 2020-06-26
Also published as: CN111345004A; JP2023075152A; SG11202004149UA; TW201923567A; JP2021502636A; JP2021502747A; JP2023036962A; JP7208989B2; KR20200080265A; US20210377041A1; US20210192514A1; JP2023052834A; CN111316595A; CN117640170A; KR20200079503A; KR20200086284A; TW201923648A; US20230318805A1; CN111406379A; SG11202004153UA

Abstract

本文所述的系统和方法涉及在区块链系统中执行锁定交易。在智能合约的情况下，拥有正确执行电路的证明和验证密钥的公共记录(例如记录在区块链上)是有利的，该证明由工作者发布，从而允许任何人(例如，区块链的节点)均可验证计算和证明的有效性。然而，在区块链上记录大数据块(例如，可能包含多个椭圆曲线点的大密钥)存在挑战。例如，在基于比特币的区块链网络中，利用标准交易的协议可能被限制为锁定脚本和解锁脚本，这些脚本的总和不大于第一预定大小限制，并且赎回脚本的大小(如果使用)可以限制为不超过第二预定大小限制。

Description

在区块链上记录验证密钥的系统

技术领域

本发明主要涉及计算机实现的安全性和/或验证技术。本发明还涉及用于扩展或增强区块链功能的解决方案，尤其是实现匿名或近乎匿名的数字交易。本发明特别适合，但不限于在可以利用和/或受益于完整性(如果正确地遵循了该协议，那么诚实的验证者将确信输出的有效性)、可靠性(没有欺骗证明者能够使诚实的验证者相信输出的真实性是真实的)和/或零知识(如果输出是有效的，则除了这一事实之外，欺骗验证者一无所知)的加密可验证保证的协议中使用。本文所描述的各种协议适用于在区块链上记录验证密钥，其中工作者能够证明拥有正确的验证密钥V_K(例如，由客户端发布)。本发明可以利用加密和数学技术来加强与电子转账有关的安全性，该电子转账通过区块链网络进行。

背景技术

在本文档中，“区块链”一词可以指多种类型的电子的、基于计算机的、分布式账本，包括基于共识的区块链和交易链技术、许可及未许可的账本、共享账本及其变型。虽然已经提出并开发了其他区块链实施方案，但是区块链技术最广为人知的应用是比特币账本。尽管出于方便和说明的目的，比特币被称为本文描述的技术的有用应用，但是比特币只是本申请中描述的技术适用的许多应用中的一种。然而，应当注意，本发明不限于与比特币区块链一起使用，其他区块链实施方案和协议，包括非商业应用，也落入本发明的范围内。例如，本发明中描述的技术将提供利用其他区块链实施方案的优势，这些区块链实施方案在记录验证密钥方面具有和比特币类似的局限性，其中实体能够证明拥有正确或适当的验证密钥V_K。应该注意的是，如本文所述，比特币是指任何基于比特币的区块链网络，例如比特币现金(Bitcoin Cash)和比特币经典版(Bitcoin Classic)。

区块链是一种点对点的电子账本，该电子账本是基于计算机的去中心化的分布式系统，该系统由区块组成，而区块又由交易和其他信息组成。在一些示例中，“区块链交易”是指对结构化的字段值集进行编码的输入消息，该结构化的字段值集包括数据和一组条件，其中满足该组条件是将该字段集写入区块链数据结构的前提。例如，对于比特币，每笔交易都是一种数据结构，该数据结构对在区块链系统中参与者之间数字资产的控制权的转移进行编码，并包括至少一个输入和至少一个输出。在一些实施例中，“数字资产”是指与使用权相关联的二进制数据。数字资产的示例包括比特币、以太币和莱特币。在一些实施方式中，可以通过将数字资产的至少一部分从第一实体重新关联到第二实体来执行数字资产的控制权的转移。区块链的每个区块都可以包含前一个区块的散列值，从而使区块链接在一起，以创建自区块链创建以来写入该区块链的所有交易的永久、不可更改的记录。

在一些示例中，“基于堆栈的脚本语言”是指编程语言，该编程语言支持各种基于堆栈或面向堆栈的执行模型和操作。即，基于堆栈的脚本语言可以利用堆栈。通过堆栈，可以将值推入堆栈的顶部或从堆栈的顶部弹出。对堆栈执行的各种操作可能导致将一个或多个值推入堆栈顶部或从堆栈顶部弹出。例如，OP_EQUAL操作会从堆栈中弹出顶部的两个项目，对其进行比较，然后将结果(例如，如果相等则为1，如果不相等则为0)推入堆栈的顶部。对堆栈执行的其他操作(例如OP_PICK)可以允许从堆栈顶部以外的位置选择项目。在本文一些实施例采用的某些脚本语言中，可能至少有两个堆栈：主堆栈和备用堆栈。脚本语言的某些操作可以将项目从一个堆栈的顶部移动到另一堆栈的顶部。例如，OP_TOALTSTACK将值从主堆栈的顶部移动到备用堆栈的顶部。应该注意的是，在某些情况下，基于堆栈的脚本语言可能不仅限于严格按照后进先出(LIFO)的方式操作。例如，基于堆栈的脚本语言可以支持将堆栈中的第n个项目复制或移动到顶部的操作(例如，在比特币中分别为OP_PICK和OP_ROLL)。可以将使用基于堆栈的脚本语言编写的脚本推入逻辑堆栈，该逻辑堆栈可以使用任何适当的数据结构(例如向量、列表或堆栈)来实现。

为了将交易写入区块链，必须对其进行“验证”。网络节点(挖矿节点)执行该工作以确保每个交易都是有效的，而无效交易在网络中将被拒绝。一个节点可以具有不同于其他节点的有效性标准。由于区块链中的有效性是基于共识的，因此，如果大多数节点同意交易有效，则该交易被视为有效。安装在节点上的软件客户端通过执行UTXO(unspenttransaction，未花费交易)的锁定和解锁脚本对部分引用UTXO的交易执行此验证工作。如果锁定和解锁脚本的执行评估为真(TRUE)，并且满足其他验证条件(如果适用)，则该交易通过该节点的验证。经验证的交易将传播到其他网络节点，随后挖矿节点可以选择将该交易包括在区块链中。因此，为了将交易写入区块链，该交易必须：i)由接收该交易的第一节点验证—如果该交易通过验证，则该节点将其中继到网络中的其他节点；ii)添加到挖矿节点建造的新区块中；和iii)被挖矿，即添加到先前交易的公共账本中。当将足够数量的区块添加到区块链，使该交易实际上不可逆时，该交易被视为已确认。

尽管区块链技术最广为人知的是使用加密货币实施方案，但数字企业家已经开始探索使用比特币基于的加密安全系统和可以存储在区块链上的数据来实现新系统。如果区块链可以用于自动化任务和过程，而不仅仅局限于加密货币领域，将会非常有利。这类解决方案将能够利用区块链的优势(例如，事件的永久防篡改记录、分布式处理等)，同时在其应用中更具通用性。

本发明描述了一个或多个基于区块链的计算机程序的技术方面。基于区块链的计算机程序可以是记录在区块链交易中的机器可读和可执行程序。基于区块链的计算机程序可包括处理输入以产生结果的规则，然后可根据这些结果执行操作。当前研究的一个领域是使用基于区块链的计算机程序实现“智能合约”。与使用自然语言编写的传统合约不同，智能合约可以是自动执行机器可读合约或协议条款的计算机程序。

与区块链有关的另一个领域是使用“令牌”(或“彩色币”)，通过区块链表示和转移现实世界的实体。潜在的敏感或秘密物品可以用没有明显含义或价值的令牌表示。因此，令牌可用作标识符，使现实世界的物品可通过区块链引用。

在实施例中，尽管与特定实体的交互可以在智能合约的特定步骤中进行编码，但是智能合约还可以自动执行和自我实施。智能合约是机器可读和可执行的。在一些示例中，自动执行是指执行智能合约，能够成功实现UTXO的转移。注意，在这类示例中，能够使UTXO转移的“实体”是指能够创建解锁脚本而无需证明知晓某些秘密的实体。换句话说，解锁交易可以在不验证数据源(例如，创建解锁交易的实体)是否可以访问加密秘密(例如，私密非对称密钥、对称密钥等)的情况下进行验证。同样，在此类示例中，自我执行是指使区块链网络的验证节点根据约束执行解锁交易。在一些示例中，从技术意义上使用“解锁”UTXO(也称为“花费”UTXO)，是指创建引用该UTXO的解锁交易，并有效执行。

区块链交易输出包括锁定脚本和有关数字资产(例如比特币)所有权的信息。锁定脚本(也可以称为产权负载)通过指定转移UTXO所需满足的条件“锁定”数字资产。例如，锁定脚本可能要求在解锁脚本中提供某些数据以解锁关联的数字资产。锁定脚本在比特币中也称为“scriptPubKey”。要求一方提供数据以解锁数字资产的技术涉及将数据的散列嵌入锁定脚本中。但是，如果在创建锁定脚本时未确定数据(例如，未知和固定的数据)，则会出现问题。

本发明可以描述为验证方法/系统，和/或描述为用于控制区块链交易的验证的控制方法/系统。在一些实施例中，经验证的区块链交易会使该交易在区块链上存有记录，在某些应用中，可能使数字资产经由区块链进行交换或转移。数字资产可以是由区块链管理的单位的资源。尽管在一些实施例中，数字资产可以用作加密货币，但可预期的是，在实施例中，数字资产可以在其他情况下附加地或替代地使用。注意，本发明虽然适用于数字资产的控制，但是本质上是技术性的，并且可以在利用区块链数据结构的其他情况下使用，而不一定涉及数字资产的转移。

发明内容

因此，期望提供能够在区块链上进行安全转移和交换的系统和方法。优选地，该区块链是公共区块链，但不一定如此。此外，期望实现匿名数字转移和/或通信，其中关于转移/通信的信息是模糊的，例如与区块链交易中的数字资产的接收者有关的信息。此外，期望提供用于在区块链上读取/写入元数据的凭证权限，使得根据协议不能读取和/或修改元数据，除非提供适当的凭证。因此，本发明提供增强的验证和/或安全性。

现在已经设计出这种改进的解决方案。

因此，本发明提供如所附权利要求书所限定的系统和方法。

本发明可以被描述为安全方法/系统。另外或可替代地，它可以被描述为验证方法/系统。本发明可以提供与(但不限于)完整性、可靠性和/或零知识的加密可验证保证有关的优势。另外或可替代地，本发明可以使得或至少有助于在区块链上记录验证密钥，其中实体能够证明拥有正确或适当的验证密钥V_K。另外或可替代地，本发明可以被描述为提供一种用于控制分布式计算性能的控制机制，从而增强效率和安全性。

本发明可以提供一种计算机实现的方法，该方法包括：获得与区块链交易相关的赎回脚本，所述第一脚本包括第一组命令和一个或多个加密散列值；生成第二脚本，该第二脚本包括第二组命令、多个元素的一个或多个子集，其中多个元素共同形成验证密钥，并且一个或多个子集共同包括验证密钥的每个元素、第一脚本和与生成第二脚本的计算机系统相关联的标识符；并至少部分地基于执行第一组命令和第二组命令确定一个或多个加密散列值是否与验证密钥的一个或多个子集匹配，以生成计算机系统有权访问验证密钥的证明。

多个元素中的元素可以是椭圆曲线上的点。

第一组命令和第二组命令可以共同包括指令，该指令用于至少部分地基于验证密钥的一个或多个子集中的子集来确定一个或多个加密散列值的第一加密散列值是否与散列输出相匹配。

可以使用诸如SHA-256和RIPEMD-160之类的加密散列算法来生成散列输出，如通过使用SHA-256和RIPEMD-160依次散列输入。

优选地，该方法可以包括通过以下步骤获得第一脚本：识别验证密钥的一个或多个子集，并为该验证密钥的一个或多个子集的每个子集计算对应的加密散列值，其中一个或多个加密散列值包括每个对应的加密散列值。

优选地，该方法可以包括将由交易锁定(encumber)的数字资产的控制权转移到计算机系统，但需要验证生成的证明。

优选地，该方法包括从第二计算机系统获得第一脚本，其中第二计算机系统贡献了至少一部分数字资产。

该交易可以是P2SH(Pay-to-Script-Hash，支付脚本散列)交易，例如根据基于比特币的协议的P2SH交易。

优选地，至少一些验证密钥的大小大于或等于512字节，且小于或等于520字节。在某些情况下，所有验证密钥的大小均大于或等于512字节，且小于或等于520字节。

优选地，第一脚本的大小大于或等于58字节，且小于或等于104字节，第二脚本的大小大于或等于1628字节，且小于或等于1650字节。

该交易可以是根据区块链协议的标准操作。

上述一个或多个子集可以恰好是一个子集，该子集包括验证密钥。

第一脚本可以进一步包括与计算机系统相关联的公钥，与计算机系统相关联的标识符可以是使用与该公钥相对应的私钥生成的数字签名，并且该计算机系统访问验证密钥的证明可以进一步至少部分地基于该数字签名和公钥。

还期望提供一种系统，该系统包括：处理器；以及存储器，该存储器包括可执行指令，该可执行指令在被处理器执行时，可使系统执行要求保护的方法中的任何一种。

还期望提供一种非暂时性计算机可读存储介质，存储有可执行指令，该可执行指令在被计算机系统的一个或多个处理器执行时，使该计算机系统至少执行要求保护的方法中的任何一种。上述与本发明的方法有关的任何特征也可以应用于相应的系统。

附图说明

参考本文描述的实施例，本发明的这些和其他方面将变得显而易见并得以阐明。现在仅通过举例的方式并参考附图来描述本发明的实施例，其中：

图1示出了可以在其中实现各种实施例的区块链环境；

图2示出了可用于根据各种实施例实施协议的计算环境；

图3示出了适合执行可验证计算的环境的示意图；

图4示出了根据区块链协议的数据结构的示意图，该协议适用于在区块链上记录验证密钥，其中工作者能够证明拥有正确的验证密钥V_K；

图5示出了根据本发明描述的各种实施例的锁定交易的示意图；

图6示出了根据至少一个实施例生成赎回脚本的过程。

图7示出了基于智能合约的执行对数字资产进行解锁时，修改协议以包括计算证明的示意图；和

图8示出了可用于实践本发明的至少一个实施例的计算设备。

具体实施方式

首先参考图1，根据本发明的实施例示出了与区块链相关联的示例性区块链网络100。在该实施例中，示例性区块链网络100包括被实现为点对点分布式电子设备的区块链节点，每个区块链节点运行软件和/或硬件的实例，该软件和/或硬件执行遵循区块链协议的操作，该协议至少部分地在节点102的操作者之间达成一致。在某些示例中，“节点”是指在区块链网络之间分布的点对点电子设备。区块链协议的一个例子是比特币协议。

在一些实施例中，节点102可以由任何合适的计算设备(例如，由数据中心中的服务器、客户端计算设备(例如，台式计算机、便携式计算机、平板计算机、智能手机等)、计算资源服务提供商的分布式系统中的多个计算设备，或任何合适的电子客户端设备，例如图8的计算设备800)组成。在一些实施例中，节点102具有用于接收数据消息或对象的输入，该数据消息和对象代表所提议的交易(例如交易104)。在一些实施例中，上述节点可查询其所维护的信息，例如交易104的状态信息。

如图1所示，节点102中的一些节点与节点102中的一个或多个其他节点通信连接。这种通信连接可包括有线或无线通信中的一个或多个。在该实施例中，每个节点102都维护区块链中所有交易的“账本”的至少一部分。以这种方式，该账本将是分布式账本。由节点处理的交易(该交易影响账本)可由一个或多个其他节点验证，从而维护账本的完整性。

至于哪些节点102可以与哪些其他节点通信，示例区块链网络100中的每个节点都可以与节点102中的一个或多个其他节点进行通信就足够了，以便在节点之间传递的消息可以在整个示例区块链网络100(或其重要部分)中传播，假设该消息是区块链协议指示应转发的消息。此类消息可能是节点102中的一个节点(例如节点102A)提议的交易的发布，该消息随后会沿着路径(例如路径106)传播。此类消息还可能是提议将新的区块包含到区块链中的发布。

在一个实施例中，节点102中的至少一些节点是执行复杂计算(例如解决加密问题)的挖矿节点。解决加密问题的挖矿节点为区块链创建一个新区块，并将该新区块广播到节点102的其他节点。节点102的其他节点验证挖矿节点的工作，并在验证后将该区块接受到区块链中(例如，通过将其添加到区块链的分布式账本中)。在一些示例中，区块是一组交易，通常用前一个区块的时间戳和“指纹”(例如，散列)进行标记。通过这种方式，每个区块都可以链接到先前的区块，从而在区块链中创建链接区块的“链”。在实施例中，通过节点102的共识将有效区块添加到区块链。在一些示例中，区块链还包括经过验证的区块的列表。

在一个实施例中，节点102中的至少一些节点充当验证本发明中所述交易的验证节点。在一些示例中，交易包括数据，该数据提供数字资产(例如，许多比特币)所有权的证明以及用于接受或转移该数字资产所有权/控制权的条件。在一些示例中，“解锁交易”指的是区块链交易，该区块链交易将数字资产的至少一部分重新关联(例如，转移所有权或控制权)到与区块链地址相关联的实体，该数字资产由先前交易的UTXO表征。在一些示例中，“先前交易”是指区块链交易，该区块链交易包含由解锁交易所引用的UTXO。在一些实施例中，该交易包括“锁定脚本”，该“锁定脚本”使交易无法具有在转移(“解锁”)所有权/控制权之前必须满足的条件。

在一些实施例中，区块链地址是一串字母数字字符，该字母数字字符与实体相关联，该实体为数字资产的至少一部分的控制权转移/重新关联到的实体。在一些实施例中实现的一些区块链协议中，与该实体相关联的公钥和该区块链地址之间存在一一对应的关系。在一些实施例中，交易的验证涉及验证在锁定脚本和/或解锁脚本中指定的一个或多个条件。交易104成功验证后，验证节点将交易104添加到区块链并将其分发到节点102。

本发明的说明性应用中描述的系统和方法涉及在区块链系统中执行锁定交易。锁定交易指的是初始化约束条件的交易，基于该约束条件可以对解锁交易进行验证。在一些说明性应用中，本发明可以用于安全地列出和交换交易。在智能合约的情况下，拥有正确执行线路的证明和验证密钥的公共记录(例如记录在区块链上)可能是有利的，该证明由工作者发布，从而使任何人(例如，区块链的节点)都能验证计算和证明的有效性。然而，在区块链上记录大数据块(例如，可能包含多个椭圆曲线点的大密钥)存在挑战。例如，在基于比特币的区块链网络中，利用标准交易的协议可能会被限制为锁定脚本和解锁脚本，这些脚本的大小总和不超过1650字节，并且赎回脚本(如果使用)可能将大小限制为不超过520字节。

可验证计算是一种允许生成计算证明的技术。在说明性实施例中，客户端可以利用这样的技术将对输入x的函数f的评估外包给本文中被称为工作者的另一计算实体。在某些情况下，客户端在计算上受到限制，因此客户端无法执行函数评估(例如，使用客户端可用的计算资源进行的计算的预期运行时间超过了最大可接受阈值)，尽管情况并非总是如此，通常来说，客户端可以基于任何合适的标准(例如，计算运行时间、计算成本(例如，分配计算资源来执行函数评估的财务成本)等等)，委托对输入x的函数f的评估。

正如本发明在其他地方更详细描述的，在一个实施例中，工作者是诸如区块链节点的任何合适的计算实体，如结合图1和图8描述的那些节点。在一个实施例中，工作者(如区块链节点)评估输入x上的函数f并生成输出y和输出y的正确性的证明π，该证明π可以由其他计算实体(例如，如上文所述的客户端)和/或区块链网络的其他节点进行验证。证明(也可以称为论据)的验证速度比实际计算要快得多，因此，通过验证证明的正确性，而不是重新计算输入x上的函数f以确定上述工作者生成的输出的正确性，可以减少计算开销(例如，减少电力开销和与供电和运行计算资源相关的成本)。在零知识可验证计算中，工作者向客户端提供证明，说明该工作者知道具有特定属性的输入。

知识的零知识证明的有效变体是“简明非交互零知识证明”(Succinct Non-interactive ARgument of Knowledge，简称zk-SNARK)。在一个实施例中，所有基于配对的zk-SNARK都包括一个过程，即工作者使用通用的分组运算来计算多个分组元素，并且验证者使用多个配对乘积方程式来检验证明。在一个实施例中，线性交互式证明在有限域上工作，并且工作者和验证者的消息包括编码、引用或包括可用于确定域元素矢量的信息。

在一个实施例中，本文描述的系统和方法允许区块链的挖矿节点执行一次计算(例如，对输入x的函数f的评估)，并生成可用于验证输出的正确性的证明，其中评估证明的正确性在计算上比评估函数要便宜。在这种情况下，操作和任务的成本(即花费)可以指代执行操作或任务的计算复杂度。在一个实施例中，计算复杂度是指执行排序算法(SortingAlgorithm)的平均计算成本或最坏情况的计算成本，例如，堆排序算法和快速排序算法都有一个平均计算成本O(n logn)，而快速排序算法有一种最坏情况下的计算成本O(n²)，而堆排序算法的最坏情况的计算成本为O(n logn)。在一个实施例中，评估输入x上的函数f的平均计算成本和/或最坏情况的计算成本比评估证明的正确性的平均计算成本和/或最坏情况的计算成本更高。因此，使用本文描述的系统和方法是非常有利的，并且(例如)可以运行更多计算昂贵的合约，因为此类合约不会增加按比例验证区块链所需的时间。其他优点包括减少验证者系统的电力消耗，从而提高验证者计算机系统的效率，并减少运行这种验证者计算机系统以评估证明的正确性的能源成本。现在必须在所有节点上执行和验证智能合约—此约束条件限制了智能合约的复杂性。本文所述的方法和系统可用于实施一种系统，该系统通过执行一次合约来生成正确性证明，从而提高区块链效率，并且基于工作者提供的正确性证明和客户端提供的验证密钥，区块链的所有节点都可以验证合约的有效性。以这种方式，通过增加智能合约的吞吐量来提高区块链的效率，该智能合约可以由区块链的节点聚合执行和/或使得能够计算计算上更加昂贵的智能合约。

在一个实施例中，可以从零知识协议的设置阶段生成的公共参数中提取验证密钥V_K或其部分，并将其与证明π以及输入/输出数据一起使用，以验证工作者提供的正确性计算的声称的证明。例如，如上文和下文更详细描述的，允许锁定脚本的系统和方法可防止验证密钥V_K被更改并检查证明π的有效性，从而允许在交易验证期间在区块链上执行零知识协议。因此，本发明提出了适合在区块链上记录验证密钥的系统和方法，其中工作者能够证明拥有正确的验证密钥V_K(例如，由客户端发行)，以便赎回数字资产，用于执行一组操作(例如，执行智能合约)。

图2示出了可用于根据各种实施例实施协议的计算环境200。该协议可以使用区块链技术来实现，以存储正确性证明，并将“按构造校正”(Correct-by-construction)加密方法与智能合约相结合。在一个实施例中，公共可验证计算方案包括三个阶段：建立阶段、计算阶段和验证阶段。

建立阶段可以作为部分过程来执行，以外包计算任务的执行。如下所述，客户端可以指代诸如客户或客户端计算机系统之类的实体，该实体将计算任务的执行委托给工作者，该工作者可以是不同的计算机系统。一般来讲，客户端可能出于各种原因委托执行计算任务，包括但不限于有限的计算资源、缺乏计算资源、与利用客户端计算机系统执行任务相关的财务成本，以及与利用客户端计算机系统执行任务相关的能源成本(例如，依靠电池供电的移动设备或便携式计算机可以利用工作者执行计算密集型任务，从而节省电能并延长电池供电设备的使用时间)，以及其他原因。

在一个实施例中，建立阶段涉及客户端、客户、组织的雇员或任何其他合适的实体，该实体使用具有精确语义的形式语言编写合约。合约可以用高级编程语言(例如C或Java)编写。一般而言，合约可以使用任何语言或语法表达，该语言或语法可以是或被转换为可由计算机系统操作的格式。在一个实施例中，具有有限目的的领域特定语言可以提供类型安全性，并且可以利用受限的表达性。生成的源代码可以是合约的精确描述。

编译器202可以是包括可执行代码的任何硬件、软件或其组合，该可执行代码在被计算机系统的一个或多个处理器执行时，会使该系统将源代码206作为输入并产生电路。编译器202可以指实施或执行指令的计算机程序，该指令基于已被编译成诸如二进制代码之类的机器可读格式的指令。应当注意，尽管示出了编译器202，但是可以利用解释器、汇编器以及其他合适的软件和/或硬件组件将源代码转换为电路。在一个实施例中，该电路是算术电路，其包括携带来自域F的值并连接到逻辑和/或算术门的电线。在一个实施例中，系统使用该电路

来生成二次程序(Quadratic Program)Q 208，该二次程序包括一组提供原始电路

的完整描述的多项式。

在一个实施例中，编译器202能够识别诸如C或Java之类的编程语言的实质性子集，包括但不限于：预处理器指令、静态初始化器、全局和局部函数、区块范围变量、数组、数据结构、指针、函数调用、函数运算符(例如，函子)、条件和循环以及算术和按位布尔运算符。在一个实施例中，编译器202不支持符合编程语言的标准的整个命令集(在某些情况下，这可能旨在防止在智能合约中执行某些类型的算法，例如禁止递归算法)。在一个实施例中，编译器将源代码的表达式扩展成算术门语言以产生算术电路。Campanelli，M.等人(2017年)在《重新审视零知识或有支付:攻击和服务支付》(Zero-Knowledge ContingentPayments Revisited:Attacks and Payments for Services)中，Tillich,S.和Smart,B在《适用于MPC和FHE的基本功能的电路》(Circuits of Basic Functions Suitable For MPCand FHE)中已经考虑过电路实现。编译器202或任何其他合适的硬件、软件或其组合(例如，图2中未示出的软件模块)可以利用算术电路构建二次算术问题(Quadratic ArithmeticProblem，简称QAP)。根据一个实施例，二次程序被编译成一组用于客户端(例如，密钥生成和验证)和工作者(例如，计算和证明生成)的加密例程。在一些实施例中，可以利用算术电路优化技术(例如在第1718505.9号英国专利申请中描述的)减少工作者确定智能合约的结果必需的资源。

在一个实施例中，密钥生成器204是硬件、软件或其组合，该硬件、软件或其组合包括可执行代码，该可执行代码在被计算机系统的一个或多个处理器执行时，使该系统从二次程序生成评估密钥和验证密钥。Gennaro,R.等人(2013年)所著的《没有PCP的二次跨度程序和简洁NIZK》(Quadratic Span Programs and Succinct NIZKs without PCPs)中考虑了将计算编码为二次程序的技术。在一个实施例中，二次算术问题(QAP)Q对域F上的电路进行编码，并包含一组m+1多项式：

V＝{v_k(x)},W＝{w_k(x)},Y＝{y_k(x)}

其中，0≤k≤m。还定义了目标多项式t(x)。假定函数f以F的n个元素作为输入并输出n’个元素，且N＝n+n'，则如果{c₁，…，c_N}∈F^N是f输入和输出组的有效赋值，且存在系数列表{c_N+1，…，c_m}，使得t(x)除以p(x)，则Q计算f：

因此，在一个实施例中，必须存在一些多项式h(x)，使得h(x)·t(x)＝p(x)。Q的大小为m，其阶次为t(x)的阶次。

在一个实施例中，为算术电路建立QAP包括为电路中的每个乘法门g选择任意根r_g∈F，并将目标多项式定义为t(x)＝∏_g(x-r_g)。在一个实施例中，索引k∈{1...m}与电路的每个输入以及乘法门的每个输出相关。V中的多项式将左输入编码到每个门中，W将右输入编码到每个门中，且Y编码输出。例如，如果第k条电线是门g的左输入，则v_k(r_g)＝1，否则，v_k(r_g)＝0。因此，对于特定的门g及其根r_g，可以将之前的等式简化为：

门的输出值等于其输入的乘积。整除性检查分解为deg(t(x))个单独的检查，其中每个门g和t(x)的根r_g对应一次检查，使得p(r_g)＝0。加法门和乘以常数门对QAP的大小或阶次不起作用。

在一个实施例中，在域Fp上定义QAP，其中p是大素数。在一个实施例中，期望基于Fp的QAP有效地计算可以用加法和乘法模p表示的任何函数。算术分离门可以设计为将算术线a∈Fp(已知在[0，2k-1]中)转换为k条二进制输出线。因此，可以得出，布尔函数可以使用算术门表达。例如，NAND(a,b)＝1–ab。每个嵌入式布尔门仅需一个乘法运算。此外，可以将诸如分割(Split)之类的新门定义为独立门，并与其他门组合。假定已知在[0,2^k-1]中的输入a∈F_p，分割门输出k条线，这些线持有∑^k 2^i-1a_i＝a的二进制数字a₁,...,a_k，并且每个a_i为0或1。

最后，作为建立阶段的一部分，系统会生成所有证明者和验证者使用的公共参数。应当注意，评估密钥E_K和验证密钥V_K是使用客户端选择的秘密值获得的。密钥生成器204可以结合密钥生成算法，利用二次算术程序(QAP)生成评估密钥E_K210和验证密钥V_K212。

在一个实施例中，执行计算任务涉及工作者对输入216的函数的计算(即，评估f(x)的过程)。在一个实施例中，工作者可以是任何合适的计算机系统，且客户端可以委托计算任务到该计算机系统。在一个实施例中，输入216包括证明该工作者身份的信息，例如使用与该工作者相关联的私钥生成的数字签名。在一个实施例中，该工作者是计算机系统，客户端将数字资产转移到该计算机系统，以作为成功计算的结果。在一个实施例中，客户端将输入x和评估密钥E_K提供给工作者，工作者将评估模块214应用到计算例程以计算输出y(例如，y＝f(x)，其中输入是x，函数是f)，并且使用评估密钥E_K210产生正确性证明218。在一个实施例中，评估模块是包含指令的硬件和/或软件，该指令在被计算机系统的一个或多个处理器执行时，使该计算机系统评估QAP 208的内部电路线的值并产生QAP的输出y。

在一个实施例中，二次程序的每个多项式v_k(x)∈F被映射到双线性群中的元素g^vk ^(s)，其中s是客户端选择的秘密值，g是该群的生成器，F是g的离散对数的域。在一个实施例中，对于给定的输入，工作者评估电路以获得输出和内部电路线的值，该内部电路线的值与二次程序的系数c_i相对应。因此，工作者可以评估v(s)＝∑_k∈{m}c_k·v_k(s)以获得g^v(s)；计算w(s)和y(s)；计算h(x)＝p(x)/t(x)＝∑^d h_i·x^i；并使用评估密钥中的h_i和g^s(i)项计算g^h(s)。在一个实施例中，正确性证明218包括(g^v(s),g^w(s),g^y(s),g^h(s))，并且验证者使用双线性映射以检查p(s)＝h(s)·t(s)。在一个实施例中，证明π存储在区块链222上以供后续使用，或者可以由多方验证，而无需证明者单独与它们中的每一个交互。在一个实施例中，可以执行对正确性证明的电路存储的评估，以解锁由交易的锁定脚本锁定(encumber)的资源(例如，数字资产)。

在一个实施例中，将证明π广播到区块链网络中，并且使用验证者220来验证该证明。在一个实施例中，验证者220是计算实体，如区块链的节点。还应注意，在某些情况下，验证证明的计算实体与生成评估密钥E_K和验证密钥V_K的计算实体相同。在一个实施例中，区块链的节点可以使用验证密钥V_K和证明π来验证支付交易，从而在验证成功的情况下验证合约。该协议的一项要求是，即使工作者知道验证密钥V_K，也不能提供不正确的证明。因此，在该协议中，公共参考字符串(Common Reference String，简称CRS)是由客户端或至少发布评估密钥E_K和验证密钥V_K的受信任的第三方生成的。在一个实施例中，任何计算实体都可以使用发布的验证密钥V_K验证计算。在一些实施例中，使用区块链脚本(例如，在基于比特币的网络中)执行验证阶段，该区块链脚本存储在验证计算时使用的元素，这与英国专利申请第1719998.5号中描述的技术一致。

使用本文所述的技术，客户端能够部分混淆交易数据，例如区块链交易的接收者的身份。在一个实施例中，解锁脚本不公开接收者的地址和接收者的公钥。但是，在某些情况下，交易的价值(例如转移的数字资产的数量)可能对区块链网络的节点可见。在一个实施例中，客户端利用如上下文所述的加密技术将锁定脚本转化为二次算术程序，而工作者则将算术程序求解以生成证明。

一般而言，客户端能够使用诸如P2PK和P2PKH之类的标准交易(例如，基于比特币的区块链网络中定义的标准交易)支付交易对方或工作者。例如，在一个实施例中，客户端将P2PK锁定脚本转换成算术电路，并广播包括从从该电路获得的谜题的支付交易。交易对方或工作者接收该电路，提供适当的输入(例如，证明工作者身份的信息，如客户端和工作者之间的共享秘密或使用工作者的私钥生成的数字签名)，然后运行该电路以生成正确性证明π。在一个实施例中，该证明用于解锁资源(例如，数字资产)，此外，可能存在这种情况，即识别交易对方或工作者的信息(例如，与交易对方或工作者相关联的公钥和/或数字签名)没有以不混淆的格式记录到区块链中。

在一个实施例中，根据上文和/或下文描述的技术生成验证密钥和相应的证明。因此，验证者将获得验证密钥V_K和证明π：

这样，验证者就可以计算多个椭圆曲线乘法运算(例如，对每个公共输入变量进行计算)和五个成对检查，其中之一包括额外的配对乘法。

基于验证密钥V_K、证明π和(a₁,a₂,…,a_N)验证t(x)除以p(x)，因此(x_N+1,…,x_m)＝f(x₀,…,x_N)，验证者的操作如下。首先，验证者检查所有三个α项：

其中，

然后，验证者检查β项：

和

最后，验证者检查整除性要求：

其中，

并且

因此，根据一个实施例，在考虑来自上述部分的表示法和本发明中描述的示例时，该验证包括以下元素的一组配对检查：

图3示出了用于协调可验证计算的执行的示意图300。客户端302、工作者304和验证者306可以是区块链网络的节点。客户端302可以是任何合适的计算机系统，其可以包括可执行代码，该可执行代码在被计算机系统的一个或多个处理器执行时，使得计算机系统接收智能合约308。在一个实施例中，智能合约308被使用高级编程语言(例如C、C++或Java)编码为源代码。在一个实施例中，可以利用诸如编译器、解释器和/或汇编器之类的软件将智能合约308转换为算术电路310，该算术电路310包括“线”，这些“线”带有来自域

的值并连接至加法和乘法门。应当注意的是，算术电路可以指逻辑电路，该逻辑电路可以由物理电路实施，该物理电路,包括通过物理线连接的一系列物理门(例如，使用晶体管-晶体管逻辑(TTL)的集成电路，诸如7400系列门、触发器、缓冲器、解码器、多路复用器等)。

在一个实施例中，客户端302向工作者304提供算术电路310和该电路的输入312。电路310可以用于生成二次程序Q，该二次程序Q包括提供原始电路的完整描述的一组多项式。在任一情况下，工作者304可以在输入312上执行电路

或二次程序

以产生一个或多个输出314。在一些实施例中，预期工作者(即证明者)将获得

的有效副本作为输出。

是对电路线的赋值，使得分配给输入线的值是x的值，中间值对应于

中每个门的正确操作，而分配给输出线的值是

如果声明的输出不正确(即

则不存在

的有效副本。在一个实施例中，期望工作者提供电路线的值的子集，其中，工作者事先并不知道电路线的值的所选子集。

在实施例中，使用输出

内部电路线(或其子集)的值以及评估密钥EK生成正确性证明316。该证明π可以存储在区块链上并且可以由多方验证而无需要求工作者304与多方分别交互。以这种方式，验证者306可以使用公共验证密钥VK和证明π来验证支付交易，从而验证合约。在某些情况下，如果验证失败，客户端302可以收回由支付交易锁定(encumber)的数字资产。

本文描述了在区块链网络上记录验证密钥的系统和方法。在许多情况下，区块链系统或网络用于如上所述的普通(标准)交易。根据本发明的实施例，有可能通过应用零知识简洁非交互式知识论证(Zero-knowledge Succinct Non-interactive Argument ofKnowledge，简称zk-SNARK)的实施方案提供用于创建和处理智能合约的系统。

在一个实施例中，交易包含称为脚本的小程序，这些脚本嵌入到交易的输入和输出中，并指定如何以及通过谁访问交易的输出。在比特币平台上，这些脚本是使用基于堆栈的脚本语言编写的。此外，区块链可以采用与数据(该数据可存储在区块中)量的最大数据阈值有关的约束条件，并且可以根据密钥(例如，编码多个椭圆曲线点的验证密钥V_K)的大小来选择协议，该密钥的大小与允许的最大大小相关。例如，在基于比特币的协议中，在一个实施例中，锁定和解锁脚本的总大小不可以超过1650字节，并且赎回脚本的大小不可以超过520字节。在一个实施例中，解锁脚本和/或赎回脚本除了对验证密钥进行编码之外，还包括指令(例如，操作码)，并且还可以包括其他指令和/或数据，该其他指令和数据用于验证工作者是否拥有验证密钥(例如，通过验证数字签名)。因此，生成提供如上所述的一些或全部功能的脚本是具有挑战性的，特别是结合使用较大的密钥大小，其在实施例中可以提供更大的安全性和/或安全性的加密保证。

在一个实施例中，作为锁定交易的一部分，客户端发布包括评估和验证密钥的公共参考字符串(Common Reference String，简称CRS)。在一个实施例中，CRS＝{E_K,V_K}，尽管应该注意的是，如前所述，公共参考字符串可以包括任何其他合适的信息。评估密钥E_K的大小至少部分地基于所考虑的电路的大小(例如，构成评估密钥E_K的元素的数量与电路的内部门的数量相对应和/或成比例)。在一个实施例中，验证密钥的大小仅取决于输入和输出。在很多情况下，拥有证明的公共记录(例如，由证明者/工作者发布的工作证明或正确执行的证明)和相应的验证密钥V_K很有用，因此，任何有权访问证明和验证密钥V_K的实体都可以验证计算和证明的有效性。在一个实施例中，验证者306可以是任何合适的实体，如区块链的节点。还应注意，在一些实施例中，验证者306和客户端302是同一计算机系统。换句话说，在一些实施例中，任何可访问区块链网络的计算机系统都能够执行验证过程，该验证过程确定由上述声称的证明者/工作者提供的计算和证明的有效性。

在某些系统中，工作者的身份是已知的，并且客户端能够为执行合约直接向工作者付款。在一个实施例中，客户端通过获得与该工作者相关联的地址并将数字资产转移到与该工作者相关联的地址直接向该工作者付款。

根据各种实施例，图4示出了根据区块链协议的数据结构的示意图400，该区块链协议适合在区块链上记录验证密钥，其中，工作者能够证明拥有正确的验证密钥V_K(例如，由客户端发布)，以赎回数字资产，执行一系列操作(例如，执行智能合约)。此外，在一些实施例中，该协议允许在赎回资金以执行合约时包括正确性的证明。在一个实施例中，该协议是根据现有的区块链协议实现的，例如，本文所述的系统和方法可以在现有的比特币网络上实现，而无需修改比特币协议。

在一个实施例中，区块链系统支持各种类型的交易。在一个实施例中，根据基于比特币的系统，受支持的交易(例如，标准交易)是基于脚本散列的交易，例如支付脚本散列(P2SH)的交易。一般而言，基于脚本散列的交易是指任何交易，该任何交易验证解锁脚本的有效性包括提供与指定的加密散列值匹配的脚本。例如，在基于比特币的P2SH交易中，解锁脚本包括赎回脚本，锁定脚本包括至少一个条件，即由解锁脚本提供的赎回脚本的散列与指定值相匹配。例如，在基于比特币的系统中，可以基于以下内容描述锁定脚本：

OP_HASH160<20-byte hash of redeem script>OP_EQUAL

在一个实施例中，图4中的示意图400示出了适用于对验证密钥进行编码的结构的轮廓，其中工作者能够证明拥有正确的验证密钥V_K。解锁脚本402和赎回脚本404可以根据支付脚本散列(P2SH)的交易描述的那些解锁脚本和赎回脚本实现。在某些情况下，区块链协议在解锁脚本402和相应的锁定脚本上强制实施最大总大小，和/或在赎回脚本404上强制实施最大总大小。例如，在基于比特币的系统中，P2SH标准交易必须小于或等于520字节。

解锁脚本402包括一个数据参数的集合，该数据参数集合满足放置在相应的锁定脚本中的一组条件。对于P2SH交易，锁定脚本通常包括散列值，并且要求解锁脚本包括赎回脚本，其中赎回脚本的散列与锁定脚本中编码的散列值相匹配。因此，在一个实施例中，锁定脚本通过对至少部分地基于该组约束条件的散列值进行编码、并通过要求解锁脚本中呈现的赎回脚本对该限制集合进行编码，间接地对该组条件进行编码。

具体地说，图4所示的解锁脚本402包括数字签名406、验证密钥V_K的一个或多个子集(例如，第一子集412和最后一个子集416)、赎回脚本404以及附加的操作码(在本发明中也被称为“命令、操作、函数和指令”)，如果被执行，则提供加密可验证的保证，即工作者拥有验证密钥V_K。在一个实施例中，数字签名406是使用工作者的私钥生成的，并且可以使用与工作者相关联的公钥408对数字签名406的真实性进行加密验证。与工作者相关联的公钥408可以被编码在赎回脚本404中。因此，数字签名406充当工作者拥有验证密钥V_K的证明。

在一个实施例中，验证密钥V_K包括多个元素

其中每个元素是椭圆曲线上的一个点。验证密钥V_K的元素可以划分为一个或多个子集。例如在图4中，示意图400示出了其中存在至少两个子集的示例，第一子集412和最后一个子集416—省略号表示在第一子集和最后一个子集之间可能存在其他的子集，但是情况未必总是如此—例如，可能有两个子集，其中第二子集是最后一个子集416。在一个实施例中，在此上下文中描述的每个子集都与任何其他子集不重叠，换句话说，如果元素

在一个子集中，它不是任何其他子集的成员。此外，在一个实施例中，验证密钥V_K的每个元素都在一个子集的成员中。

需要注意的是，在某些情况下，验证密钥V_K并没有被分割成多个不重叠的子集，而是在解锁脚本402中被编码为单个区块(即，作为整体)，单个散列被编码在赎回脚本404中。与图4的讨论相关，解锁脚本将以类似于上下文描述的实施例的方式工作，其中唯一的散列值与散列整个验证密钥V_K的输出进行比较。

继续上述对解锁脚本402所引用的讨论，解锁脚本还可以包括赎回脚本410。在一个实施例中，赎回脚本是一组参数，该组参数产生与在相应锁定脚本中编码的值匹配的散列输出。在一个实施例中，在两个步骤的过程中利用锁定脚本、解锁脚本和赎回脚本，其中在第一步骤中，对照锁定脚本检查赎回脚本以确定赎回脚本是否满足锁定脚本的条件，这些条件可能包含赎回脚本的散列值与预定值相匹配的条件。在一个实施例中，使用OP_HASH160操作码，其首先用SHA-256然后用RIPEMD-160对输入进行散列以产生散列输出。在一个实施例中，OP_HASH160操作的散列输出的大小为20字节(0x14字节)。

如上所述，解锁脚本402可以进一步包括操作码，其中解锁脚本402包括命令和数据，如果被执行，则该命令和数据提供加密可验证保证，即工作者拥有验证密钥V_K。例如，对于将验证密钥V_K分为两个子集的实施例，这样的解锁脚本可以按照以下方式来描述，诸如使用指令和数据(在括号中)描述的方式，该指令和数据基于堆栈的脚本语言(比如基于比特币的系统使用的脚本语言)：

OP_PUSHDATA1<length of signature><signature>OP_PUSHDATA1<byte-lengthof VK1>VK1 OP_PUSHDATA1<byte-length of VK2>VK2 OP_PUSHDATA1<length of redeemscript><redeem script>

其中，如上所述，命令(例如“OP_PUSHDATA1”)的描述不带括号，而数据则用括号描述(例如“<length of signature>”是与数字签名406的字节大小对应的1字节整数)。符号VK1是指验证密钥V_K的第一子集，而VK2是指验证密钥V_K的第二子集，以使验证密钥V_K＝VK1||VK2、

和

应当注意，在某些情况下，验证密钥V_K的各个子集具有相同的大小(例如，所有或一些子集包括与验证密钥V_K相同数量的元素)，但不总是这种情况。另外，“<redeem script>”是指赎回脚本的函数和数据，例如下文描述的示例性赎回脚本。

在一个实施例中，赎回脚本404用来满足在锁定脚本中编码的一个或多个条件。例如，锁定脚本可以包括散列值和条件，即解锁脚本包括例程，其中，例程上的散列输出产生与锁定脚本中包括的散列值匹配的输出值。在一个实施例中，该例程是赎回脚本404。在一个实施例中，对于验证密钥V_K的每个子集，赎回脚本404包括对应的散列值、与工作者相关联的公钥414，以及附加操作码(在本发明中也被称为“命令、操作、函数和指令”)，如果被执行，则该操作码提供加密可验证保证，即工作者拥有验证密钥V_K。在一个实施例中，赎回脚本404在解锁脚本402的环境中执行。在一个实施例中，在赎回脚本中编码的散列值以相反的顺序编码，其中，验证密钥V_K的相应子集出现在解锁脚本402中。例如，验证密钥V_K的相应子集首先出现在解锁脚本402中，对应的第一散列414是出现在赎回脚本404中的最后一个散列值。同样，相对于验证密钥其他子集的散列，对应于验证密钥最后一个子集的散列418首先出现在赎回脚本中。应当注意，在这种情况下，该顺序是指散列值的相对顺序，并不暗示或强加相对于赎回脚本404中编码的其他数据和其他命令的任何顺序。继续前面的例子，合适的赎回脚本的描述方式如下：

OP_HASH160<HVK1>OP_EQUALVERIFY OP_HASH160<HVK2>

OP_EQUALVERIFY<PubKey worker>OP_CHECKSIG

其中，如上所述，命令(例如，“OP_HASH160”)的描述不带括号，而数据则用括号描述(例如，“<HVK1>”是20字节的值，与将OP_HASH160操作应用于VK1的结果相对应)。在一个实施例中，赎回脚本由客户端提供给工作者。应当注意，在一个实施例中，赎回脚本404不直接提供关于验证密钥V_K的值的任何信息，其中验证密钥可用于促进密码攻击以确定验证密钥V_K。

在一个实施例中，区块链协议将解锁脚本402的最大大小定义为1650字节(包括1650字节)。区块链协议可以进一步定义520字节的最大大小，作为可以推入堆栈的最大整体数据块。在一个实施例中，验证密钥的元素的大小均为32字节。因此，根据上述约束条件，解锁脚本402可以包括以下内容：

因此，上述解锁脚本和赎回脚本可用于编码具有45个元素的验证密钥V_K，每个元素的大小为32字节。

图5示出了根据本发明描述的各个实施例的锁定交易的示意图500。在一个实施例中，第一方502和第二方504以任何合适的方式就合约的条件达成一致。例如，当事方可离线同意一组合约条款(例如，通过当事方代表之间的面对面谈判，通过电话、电子邮件或任何其他合适的通信介质进行的谈判)。在一个实施例中，合约条款以编程方式达成协议，例如，计算机系统配置有参数，以评估合约的要约(例如履行价格)并确定是否接受要约。例如，第一方和第二方同意第一方向第二方出售并发行令牌，该令牌的成本为第二方同意支付的价格。在一个实施例中，令牌可以被赎回以用于有形资产(例如，消费品和服务)、数字资产及其任何组合。

在一个实施例中，第一方创建包括两个输入(例如，输入508和510)和两个输出(例如，输出512和514)的锁定交易506，并用关于应如何验证(例如，使用OP_CHECKSIG)签名的指示对其进行签名。在一个实施例中，该指示包括操作模式的指示和指示谁可以付款(例如，任何人都可以付款)的修饰符。在一个实施例中，输入和输出使用SIGHASH_SINGLE和SIGHASH_ANYONECANPAY签名。在一个实施例中，输入包括标称值的交易量(例如，几个比特币)，而输出包括的交易量包括用于工作者的数字资产(其值可以基于诸如合约的价值等各种因素进行选择)和合约的价值(例如，第二方504根据合约条款同意向第一方502支付的数额)。

一般而言，操作模式可以提供锁定交易的哪些域的签名和/或以何种方式签名的指示。例如，其中所有可签名参数都被签名的第一操作模式(例如SIGHASH_ALL)。在一个实施例中，这包括交易的所有域，除了输入脚本。可支持的操作模式的第二个示例是不对输出进行签名的操作模式(例如SIGHASH_NONE)，因此，其他实体可以通过更改其输入序列号来修改交易。可以支持的操作模式的另一示例是其中输入被签名但序列号被消隐的模式(例如，SIGHASH_SINGLE)。在一个实施例中，仅有一些或所有操作模式都受支持。此外，除了操作模式之外，关于仅对单个输出(或更一般地，输出的任何子集)进行签名且其他输出可任意选择，可以做出单独指示(例如，SIGHASH_ANYONECANPAY)。

接下来，将锁定交易506提供给第二方504。该锁定交易由第二方接收，该第二方验证该锁定交易是否正确。在这种情况下，锁定交易的正确性是指锁定交易准确地反映了各方之间的事先协议，并且正确性的验证包括，例如，验证令牌中编码的价格是否为各方之间商定的成本，合约条款是否采用先前约定的形式。在一个实施例中，确定锁定交易的正确性包括验证数字签名的真实性。

在确定锁定交易是正确的之后，第二方504添加一个新的输入516，该输入516可以包括数字资产(例如，作为各方协议条款的一部分商定的付款)和工作者为合约的执行支付的数字资产。第二方504也可以添加输出518，该输出518约束公共参考字符串，使用SIGHASH_SINGLE或SIGHASH_ALL签名并进行广播(例如，广播到区块链网络)。锁定交易被广播后，第一方502可以被认为是合约的所有者。在一个实施例中,密钥(如作为CRS的一部分，包括验证密钥V_K和评估密钥E_K)是使用域F生成的,其中

是该域的一个函数和对应的算术电路

其中

是大小为m和阶次为d相应的二次算术程序(例如,QAP)。另外,在一个实施例中,

是双线性映射，g是G的生成器。应该注意的是,虽然在这种情况下描述的表达式是为了表达清楚而选择的附加表达式,其他表示式(例如,指数表达式)也可以在本发明的实施例中使用。

在一个实施例中，通过选择随机或伪随机值r_v,r_w,s,α_v,α_w,α_y,β,γ∈

并设置r_y＝r_v·r_w,r_v·g＝<g_v>构建评估密钥E_K和验证密钥V_K。换句话说，一般而言，<a>＝a·g。因此，评估密钥E_K被定义为：

验证密钥V_K被定义为：

V_K＝(<1>,<α_v>,<α_w>,<α_y>,<γ>,<βγ>,<t(s)>,{<v_k(s)><w_k(s)><y_k(s)>}_{k∈{0}∪[N]})

其中N＝N_in+N_out，即输入和输出的数量。在一个实施例中，具有配对映射的不对称配对将被定义为：

g_i是

的生成器。在这种情况下，V_K将被定义为：

V_K＝(<1>₁,<1>₂,<α_v>₂,<α_w>₂,<α_w>₁,<α_y>₂,<β>₁,<β>₂,

<r_yt(s)>₁,{<v_k(s)>₁<w_k(s)>₂<y_k(s)>₁}_{k∈{0}∪[N]})

其中r_y＝r_v·r_w。

如上所述，评估密钥E_K和验证密钥V_K由组元素组成。应该注意的是，尽管为了清楚起见，本文讨论的组是椭圆曲线，具有足够高基数的任何组都是合适的。

在一个实施例中，存在配对功能基于椭圆曲线的实现方案。在一个实施例中，区块链网络的加密基于椭圆曲线，如secp256k1椭圆曲线。在一些实施例中，可以确定和/或估计在区块链上分配密钥所需的空间量。如上所述，验证密钥V_K的元素的子集不涉及电路的大小，并且这些域所需的空间不依赖于电路的大小。

在某些情况下，标准区块链交易的最大大小对应于一个区块的最大大小。各种区块链系统可能具有各种上限，例如在基于比特币的系统中，标准交易定义的最大区块大小为1MB，最大标准交易大小为100KB。在某些区块链系统中，比如基于比特币的系统中，赎回脚本的大小为520字节或更小。在一个实施例中，赎回脚本的最大大小是可以被推送到堆栈上同时仍然符合标准交易条件的最大数据块的大小。在一个实施例中，解锁输入脚本和锁定脚本(例如，P2PK，P2PH等)的上限是1650字节。在一个实施例中，这等同于存储或以其他方式编码15个公钥的脚本。在一个实施例中，解锁脚本被称为输入脚本或签名脚本(例如，ScriptSig)，并且包括数据参数的集合，该数据参数集合满足放置在先前脚本的条件，先前锁定脚本可被称为输出脚本或脚本公钥(scriptPubKey)。

因此，在一个实施例中，赎回脚本和相应的输入脚本以这样的方式设置：附加尽可能大的数据量，赎回脚本、相应的输入脚本和/或其他数据的设置至少部分取决于最大大小。在一个实施例中，解锁脚本包括或编码数字签名。在一个实施例中，图4示出了可能存在的最大解锁和锁定脚本的结构，该最大解锁和锁定脚本包括根据基于比特币的系统的标准类型交易的签名。应当注意，在一个实施例中，利用图4所示的结构以便在区块链系统的约束条件内(例如，标准交易的最大大小)附加尽可能大的数据量，但是在其他实施例中，该结构是以任何其他合适的方式定义的，例如允许少于可被附加的最大数据量的结构。

在一个实施例中，数据以非标准交易记录，既可作为标准交易的补充和/或替代。在一个实施例中，硬编码脚本的长度是10千字节(KB)，并且区块链的一组挖矿节点为智能交易接受交易，这些智能交易原本被认为是非标准交易。换句话说，一些实施例利用可识别为智能交易的非标准交易，并且区块链网络的一个或多个节点接受这种交易。

图6示出了描述过程600的流程图，过程600根据至少一个实施例生成赎回脚本。过程600可以由任何合适的计算机系统执行，如结合图3在本发明中的其他地方描述的客户端。在一个实施例中，赎回脚本是在其他实施例的环境中生成的，例如结合图4描述的实施例。基于电路

和秘密s，客户端通过执行过程600确定包括验证密钥V_K的公共参考字符串CRS。在一个实施例中，该过程根据依赖于各种子例程的协议进行，这些子例程执行各种函数。例如，no_TX(ARG)函数用于以字节或以任何合适的度量单位测量参数ARG的大小，在一个实施例中，该度量单位已转换为字节(例如，比特)。在一个实施例中，该函数用于确定要创建的锁定脚本的数量(602)。在一个实施例中，no_TX(ARG)函数测量ARG输入参数的字节大小，如果数据量可以存储在标准脚本中，则返回1，如果ARG超过标准交易中最大脚本的大小，则返回容纳数据量所需的必要输出(脚本)的交易数，该数据量与函数的输入ARG相对应。在一个实施例中，该函数仅返回与输入ARG相对应的数据量是否超过标准交易中脚本的最大大小的指示，例如真(TRUE)或假(FALSE)布尔指示或其任何等效指示(例如，等于FALSE指示的0整数值和等于TRUE指示的非零值)。在一个实施例中，向no_TX()子例程(例如，如上所述)提供验证密钥V_K作为输入，提供了可用于确定要创建多少锁定交易的信息。

的值可以称为压缩密钥的大小。例如，验证密钥V_K可以被划分为多个32位子序列。

可以是<k>的特定表示形式，例如，可以是<k>的十六进制等效形式。

根据一个实施例，该系统将验证密钥序列化为多个元素(604)。一般来说，序列化数据是指例如根据某些标准或协议设置的长度，将数据分成较小的块。例如，验证密钥V_K可以划分为32位的块，即

在一个实施例中，块的大小至少部分地基于诸如压缩密钥之类的密钥的大小来选择。在一个实施例中，serialize(ARG)函数根据标准或协议设置的长度将ARG输入划分为较小的数据序列，例如，在一个实施例中，serialize(ARG)将数据序列序列化为连续的32字节子序列，尽管在其他实施例中，子序列可以具有由任何适当协议定义的不同的固定/可变长度。

一般而言，该系统选择验证密钥的元素的至少一个子集(606)。在一个实施例中，子集是总大小不超过阈值大小(例如，基于比特币的系统的堆栈对象的520字节的限制)的连续子集(例如，以上示例中所描述的那些)。在一个实施例中，通过按顺序选择符合规定大小限制的验证密钥V_K的许多元素来确定子集。

在一个实施例中，该系统针对每个锁定交易，按照一组规则分配要包括在相应的解锁脚本中的一组密钥。在一个实施例中，协议对可以推送到堆栈上的数据对象的大小设有上限，例如，在比特币中，520字节是一个区块允许的最大大小。因此，如果验证密钥V_K的大小小于或等于520字节(即如果系统能够确定可以对验证密钥进行编码而不将其拆分为多个子集)。在一个实施例中，系统计算所选元素的散列(608)，如上所述，该所选元素可以是整个验证密钥V_K。在一个实施例中，诸如OP_HASH160的操作码被用于散列子集。在一个实施例中，对象的散列利用多种加密散列算法，诸如SHA-256和RIPEMD-160，生成散列输出HVK，并被编码在赎回脚本中(如以下赎回脚本)：

OP_HASH160 OP_EQUALVERIFY<PubKey worker>OP_CHECKSIG

当然，其他散列算法和相应的散列操作码也可以在各种实施例中使用。当赎回脚本与提供证明工作者拥有验证密钥的解锁脚本一起执行时，该赎回脚本可用于解锁由相应锁定脚本锁定(encumber)的数字资产。因此，赎回脚本的产生带有一个或多个条件(610)，即对应的解锁脚本包括一个或多个参数，这些参数至少部分地基于所计算的散列值进行匹配。在一个实施例中，赎回脚本还包括以下条件：输出脚本包括使用工作者的私钥生成的数字签名，该工作者的私钥与在赎回脚本中编码的公钥相对应。

在一个实施例中，该系统确定验证密钥V_K超过了堆栈上的数据块所允许的最大大小，并将验证密钥V_K分为两个或更多子集。在一个实施例中，系统(例如)通过计算可以在协议的大小限制内编码的最大块数确定要包括在每个子集中的块数。在一个实施例中，系统使用最大的块数或未编码的剩余块数编码每个子集。例如，在基于比特币的系统中，其中，每个块

为32字节且

同时16<N≤32，验证密钥V_K被划分为至少两个子集，例如第一子集

和第二子集

应当注意的是，在此示例中，VK1包括基于比特币的系统中最大堆栈数据块大小内允许的最大块数(即16x 32＝512字节，这是在520字节的最大大小范围内，可以推送到堆栈上的最大整体数据块允许的最大块数)。在一个实施例中，每个子集，如VK1，VK2等被作为加密散列算法的输入提供以生成散列输出，并且该散列输出被编码为赎回脚本的条件，其中有效的解锁脚本提供了验证密钥V_K或其一部分。作为示例，其中

对于16<N≤32且第二子集为

合适的赎回脚本可以描述为：

OP_HASH160<HVK2>OP_EQUALVERIFY OP_HASH160<HVK1>

OP_EQUALVERIFY<PubKey worker>OP_CHECKSIG

其中<HVK1>＝HASH160(

)并且

在一个实施例中，系统生成第一散列<HVK1>，并确定从验证密钥元素的第二子集VK2生成第二散列<HVK2>。

作为第三示例，可以考虑结合图4描述的实施例，其中解锁脚本的最大大小是1650字节，而数据块的最大大小是520字节。系统最大化验证密钥

的大小，并选择第一子集

第二子集

和第三子集

计算相应的散列<HVK1>、<HVK2>和<HVK3>，并生成锁定脚本包括参数的条件，该参数与所计算的散列匹配，例如以下列方式：

OP_HASH160<HVK3>OP_EQUALVERIFY OP_HASH160<HVK2>

OP_EQUALVERIFY OP_HASH160<HVK1>OP_EQUALVERIFY<PubKeyworker>OP_CHECKSIG

每次生成散列时，系统可以确定是否应标识和散列其他子集(512)。在一个实施例中，系统基于确定验证密钥V_K的每个元素是否在赎回脚本中具有对应条件来确定是否不需要额外的子集，该条件的满足基于工作者提供相应元素作为解锁脚本的一部分。在一个实施例中，系统使赎回脚本对于(例如)工作者可用(614)，该工作者能够使用赎回脚本生成对应的解锁脚本。

为了将付款赎回给工作者(例如，与<PubKey worker>相关联的实体)，在一个实施例中，工作者证明拥有正确的验证密钥V_K。在一个实施例中，系统可以使用任何合适的证明，证明拥有正确的验证密钥V_K，其中交易对方能够以加密方式验证工作者所声称的拥有证明。在一个实施例中，工作者将为每个锁定脚本创建一个解锁脚本，就像创建赎回脚本的情况一样，该解锁脚本将根据序列化的验证密钥V_K的长度而有所不同。

如果序列化的验证密钥V_K的长度具有足够小的基数(例如，V_K足够小以至于可以将整个验证密钥推入堆栈而不进行分割)，那么工作者将创建解锁脚本：

OP_PUSHDATA1<length of signature><signature>OP_PUSHDATA1<byte-length

of VK>VK OP_PUSHDATA1<length of redeem script><redeem script>

否则，如果序列化的验证密钥的长度超过适用的阈值，则工作者将V_K分为两个或更多子集。例如，对于基于比特币的协议，其中

是32字节且

则创建解锁脚本：

OP_PUSHDATA1<length of signature><signature>OP_PUSHDATA1<byte-length

of VK1>VK1 OP_PUSHDATA1<byte-length of VK2>VK2 OP_PUSHDATA1

作为第三示例，可以考虑结合图4描述的实施例，其中解锁脚本的最大大小是1650字节，而数据块的最大大小是520字节。工作者将V_K分为三个子集：

并创建解锁脚本：

OP_PUSHDATA1<length of signature><signature>OP_PUSHDATA1<byte-lengthof VK1>VK1 OP_PUSHDATA1<byte-length of VK2>VK2 OP_PUSHDATA1

<byte-length of VK3>VK3 OP_PUSHDATA1<length of redeem script><redeemscript>

除了明确讨论的实施例之外，还考虑了对本发明中所描述的实施例的各种扩展。在一个实施例中，诸如基于比特币的协议被用于实现本文描述的系统和方法，在某些情况下，现有协议可以被扩展以便支持附加功能。

例如，在一个实施例中，输出被分成多个转移，例如，输出被分成两个部分，一部分用于属于第一组G1的元素，另一部分用于第二组G2。因此，在此示例中，有两个付款给工作者的公钥的输入(使用脚本中每个组的组元素的十六进制表示)。对于两个输入中的每一个，重复此协议中对称配对的步骤。在一个实施例中，相应地，协议将被扩展以将验证密钥拼凑在一起。

作为第二示例，密钥(例如，分别按照从组G1和G2产生的元素的顺序)保持原样，并且扩展了协议(例如，现有的基于比特币的协议)以对密钥进行编码和解码，通过使用散列映射或任何其他合适的数据结构，将组元素的哪个32字节表示形式分离到属于哪个组。在一个实施例中，在现有协议(例如，由区块链网络的节点集的至少一个子集使用的协议的扩展)之上运行的软件被用于编码和解码密钥，并且将组元素的哪个32字节表示形式分离到属于哪个组。

在一个实施例中，图7示出了一个实施例的示意图700，其中在赎回数字资产以执行合约时，协议被修改为包括计算证明(704)。例如，扩展了基于比特币的协议以支持包括赎回数字资产以执行合约时的计算证明。在一个实施例中，计算证明包括固定数量的元素并且具有固定长度属性。图7示出了如何在区块链上记录计算证明的一个示例，其中第一数据块702(例如，第一数据块Data1)被分割，使得第一数据块702包括对应于计算证明704的元素，该计算证明704被推送到alt堆栈(例如，使用诸如OP_TOALTSTACK的命令)，以便腾出空间来针对对应的公钥进行签名检查。在一个实施例中，对应于验证密钥的第一批元素在区块中被标记为“Data1”(708)。应当注意，数据块大小的注释纯粹是说明性的。

在本发明的范围内可以预期其他增强。如在别处所讨论的，可以通过附加支持来增强诸如本文所述协议，该附加支持可读取已验证密钥(例如，HASH160(V_K))和验证密钥V_K本身的散列值，并结合锁定和工作者赎回交易的交易标识符分别发布两者。因此，以这种方式，稍后验证工作者发布的正确性证明的实体可以这样做，确保密钥是客户最初发布的密钥。

在一个实施例中，本文描述的协议(例如，基于比特币的协议)通过对正确性的证明进行检查的附加操作码、命令或语句(例如，以上述方式)进行扩展。在一个实施例中，OP_CHECKPOC操作码受到支持并对正确性证明、验证密钥、输入(u)和输出(y)进行操作，操作方式与OP_CHECKSIG如何检查用于交易输入的签名是否有效的方式类似。在一个实施例中，OP_CHECKPOC返回真(TRUE)或假(FALSE)值，1或0值等，表征正确性证明是否通过验证。

图8是可用于实践本发明的至少一个实施例的计算设备800的示意性简化方框图。在各种实施例中，计算设备800可以用于实现以上图示和描述的任何系统。例如，计算设备800可以用作数据服务器、Web服务器，便携式计算设备、个人计算机或任何电子计算设备。如图8所示，计算设备800可以包括一个或多个处理器802，在实施例中，处理器通过总线子系统804与多个外围子系统通信并可有效地耦合到该外围子系统。在一些实施例中，这些外围子系统包括存储子系统806，该存储子系统包括存储器子系统808和文件/磁盘存储子系统810、一个或多个用户界面输入设备812、一个或多个用户界面输出设备814以及网络接口子系统816。此类存储子系统806可用于临时或长期存储信息。

在一些实施例中，总线子系统804提供了一种机制，该机制使计算设备800的各个组件和子系统能够按预期彼此通信。尽管总线子系统804被示意性地示出为单个总线，但是总线子系统的替代实施例可利用多个总线。在一些实施例中，网络接口子系统816提供到其他计算设备和网络的接口。在一些实施例中，网络接口子系统816用作用于从计算设备800接收数据以及将数据从计算系统800发送到其他系统的接口。在一些实施例中，总线子系统804被用于传达诸如细节、搜索项等的数据。

在一些实施例中，用户界面输入设备812包括一个或多个用户输入设备，例如键盘；指向设备，例如集成鼠标、轨迹球、触摸板或图形输入板；扫描仪；条形码扫描仪；集成到显示器的触摸屏；音频输入设备，例如语音识别系统，麦克风；和其他类型的输入设备。通常，术语“输入设备”旨在包括所有可能的类型的设备和用于向计算设备800输入信息的机制。在一些实施例中，一个或多个用户界面输出设备814包括显示子系统、打印机和非视觉显示器，例如音频输出设备等。在某些实施例中，显示子系统包括阴极射线管(CRT)、诸如液晶显示器(LCD)的平板设备、发光二极管(LED)显示器，或投影仪或其他显示设备。通常，术语“输出设备”旨在包括所有可能类型的设备和用于从计算设备800输出信息的机制。一个或多个用户界面输出设备814可用于(例如)呈现用户接口，这些接口有助于用户在此类交互合适时与执行所描述的过程及其变型的应用进行交互。

在一些实施例中，存储子系统806提供计算机可读存储介质，该计算机可读存储介质用于存储提供本发明的至少一个实施例的功能的基本程序和数据构造。在一些实施例中，该应用程序(程序、代码模块，指令)在被一个或多个处理器执行时，提供本发明的一个或多个实施例的功能，并且存储在存储子系统806中。这些应用程序模块或指令可由一个或多个处理器802执行。在各个实施例中，存储子系统806还提供了用于存储本发明使用的数据的存储库。在一些实施例中，存储子系统806包括存储器子系统808和文件/磁盘存储子系统810。

在实施例中，存储器子系统808包括多个存储器，例如用于在程序执行期间存储指令和数据的主随机存取存储器(RAM)818和/或只读存储器(ROM)820，其中固定指令可以被存储。在一些实施例中，文件/磁盘存储子系统810提供用于程序和数据文件的非临时性持久(非易失性)存储，并且可以包括硬盘驱动器、软盘驱动器以及相关联的可移动介质、光盘只读存储器(CD-ROM)驱动器、光盘驱动器、可移动介质盒或其他类似的存储介质。

在一些实施例中，计算设备800包括至少一个本地时钟824。在一些实施例中，本地时钟824是代表从特定开始日期起发生的滴答数的计数器，并且在一些实施例中，其整体位于计算设备800中。在各个实施例中，本地时钟824用于以特定的时钟脉冲同步数据传输(该数据传输位于计算设备800的处理器和其中包含的子系统中)，并可用于协调计算设备800与数据中心中的其他系统之间的同步操作。在另一个实施例中，本地时钟是可编程间隔计时器。

计算设备800可以是多种类型中的任何一种，包括便携式计算机设备、平板计算机、工作站或以下所述的任何其他设备。

另外，在某些实施例中，计算设备800可以包括可通过一个或多个端口(例如USB、耳机插孔、闪电连接器等)连接到计算设备800的另一设备。在实施例中，这样的设备包括接受光纤连接器的端口。因此，在一些实施例中，该设备是将光信号转换为电信号的设备，该电信号通过将设备连接至计算设备800的端口进行传输以进行处理。由于计算机和网络的不断变化的性质，图8中描绘的计算设备800的描述仅作为特定示例说明设备的优选实施例。比图8所示的系统具有更多或更少组件的许多其他配置都是可能的。

应当说明的是，上述实施例说明而非限制本发明，在不脱离本发明的由所附权利要求限定的范围的情况下，本领域技术人员将能够设计出许多替代性实施例。在权利要求中，括号中的任何附图标记不应解释为对权利要求的限制。词语“包括(comprising)”和“包括(comprises)”等并非在整体上排除其他元件和步骤的存在。在本说明书中，“包括(comprises)”意指“包括(includes)或由......组成(consists of)”，“包括(comprising)”意指“包括(including)或由......组成(consisting of)”。元件的单数引用不意味着排除这些元件的复数引用，反之亦然。本发明可以借助包括若干不同元件的硬件，以及借助适当编程的计算机来实施。在列举了若干装置的设备权利要求中，这些装置中的若干个可以由硬件的同一个部件来体现。不争的事实是，在相互不同的从属权利要求中列举了某些方法，并不代表这些方法的结合不能获得有益效果。

本文引用的所有参考文献，包括出版物、专利申请和专利，均以引用的方式并入本文，其引用程度如同每个参考文献均被单独地且具体地表示为通过引用并入本文并完整列出一样。

Claims

1.一种计算机实现的方法，包括：

获取与区块链交易相关的第一脚本，所述第一脚本包括：

第一组命令；和

一个或多个加密散列值；

生成第二脚本，所述第二脚本包括：

第二组命令；

多个元素的一个或多个子集，其中，多个元素共同形成验证密钥，并且一个或多个子集共同包括验证密钥的每个元素；

第一脚本；和

与生成第二脚本的计算机系统相关联的标识符；和

至少部分地基于执行第一组命令和第二组命令来确定一个或多个加密散列值是否与验证密钥的一个或多个子集匹配，以生成计算机系统有权访问验证密钥的证明。

2.根据权利要求1所述的计算机实现的方法，其中，所述多个元素中的元素是椭圆曲线上的点。

3.根据前述任意一项权利要求所述的计算机实现的方法，其中，所述第一组命令和所述第二组命令共同包括指令，所述指令用于至少部分地基于所述验证密钥的所述一个或多个子集中的子集来确定所述一个或多个加密散列值中的第一加密散列值是否与散列输出相匹配。

4.根据权利要求3所述的计算机实现的方法，其中，至少使用SHA-256和RIPEMD-160加密散列算法来生成所述散列输出。

5.根据前述任意一项权利要求所述的计算机实现的方法，其中，获得所述第一脚本包括：

识别所述验证密钥的所述一个或多个子集；和

为所述验证密钥的所述一个或多个子集的每个子集计算相应的加密散列值，其中所述一个或多个加密散列值包括每个相应的加密散列值。

6.根据前述任意一项权利要求中所述的计算机实现的方法，还包括：在验证生成的证明之后，将由所述交易承担的数字资产的控制权转移到所述计算机系统。

7.根据权利要求6所述的计算机实现的方法，还包括：从第二计算机系统获得所述第一脚本，其中，所述第二计算机系统贡献了所述数字资产的至少一部分。

8.根据前述任意一项权利要求所述的计算机实现的方法，其中，所述交易是P2SH交易。

9.根据前述任意一项权利要求中所述的计算机实现的方法，其中，所述验证密钥的所述一个或多个子集的至少一个子集的大小大于或等于512字节，并且小于或等于520字节。

10.根据前述任意一项权利要求所述的计算机实现的方法，其中：

第一脚本的大小大于或等于58字节，并且小于或等于104字节；和

第二脚本的大小大于或等于1628字节，并且小于或等于1650字节。

11.根据前述任意一项权利要求所述的计算机实现的方法，其中，所述交易是根据区块链协议的标准交易。

12.根据前述任意一项权利要求所述的计算机实现的方法，其中，所述验证密钥的每个元素恰好在所述子集中的一个子集中。

13.根据前述任意一项权利要求所述的计算机实现的方法，其中，所述一个或多个子集是一个子集，所述一个子集包括所述验证密钥。

14.根据前述任意一项权利要求所述的计算机实现的方法，其中：

所述第一脚本还包括与所述计算机系统相关联的公钥；

与所述计算机系统相关联的所述标识符是使用与所述计算机系统相关联的所述公钥相对应的私钥生成的数字签名；和

所述计算机系统可以访问所述验证密钥的所述证明还至少部分基于所述数字签名和所述公钥。

15.一种系统，包括：

处理器；和

存储器，所述存储器包括可执行指令，所述可执行指令在被所述处理器执行时，使得所述系统执行根据前述任意一项权利要求所述的计算机实现的方法。

16.一种非暂时性计算机可读存储介质，存储有可执行指令，所述可执行指令在被计算机系统的处理器执行时，使所述计算机系统至少执行根据权利要求1至14中任意一项所述的计算机实现的方法。