CN111656732A

CN111656732A - 用于存储用于在区块链上对交易进行签名的数字钥匙的设备

Info

Publication number: CN111656732A
Application number: CN201880087464.7A
Authority: CN
Inventors: 伊曼纽尔·鲁伊斯; 卡洛斯·戴维·皮罗特·弗塞卡; 鲁本·阿方索·雷耶斯; 布莱恩·洛伊滕
Original assignee: Copsonic SAS
Current assignee: Copsonic SAS
Priority date: 2017-12-14
Filing date: 2018-12-12
Publication date: 2020-09-11
Also published as: WO2019115936A1; FR3075534B1; KR20200116455A; EP3707857A1; US20210073795A1; JP2021507586A; AU2018382778A1; FR3075534A1

Abstract

本发明涉及一种物理设备，该物理设备被设计为存储用于在区块链上执行交易的数字钥匙。物理设备(200)包括麦克风(213)、扬声器(215)和DSP处理器(219)，该DSP处理器(219)包括其中存储有成对的密钥和公钥的安全元件，DSP还包括声学编解码器，该声学编解码器使用字典S，字典S包含代表存储在DSP存储器中的随机或伪随机超声信号的字。DSP(219)被设计成解码经由麦克风(213)从声学信道接收到的、由S的字组成的消息，以借助于私钥对如此解码的消息进行签名，并经由扬声器(217)在所述声学信道(250)上以由来自S的连续的字组成的响应的形式发送以此方式获得的签名。

Description

用于存储用于在区块链上对交易进行签名的数字钥匙的设备

技术领域

一般而言，本发明涉及区块链，更具体地涉及用于存储加密钥匙的设备，该加密钥匙使用户能够认证他自己并在区块链上对交易进行签名。

背景技术

区块链在过去几年中已经有了长足发展，其中第一等级的区块链是比特币和以太坊。

区块链由加密机制以规则的时间间隔连接的一系列区块组成。连接是通过在当前区块的内容中插入前一个区块的散列(Hash)来获得的。区块链形成一个寄存器，该寄存器在网络中的所有节点上被分发和复制。

用户可以借助于轻量级客户端与区块链进行交互，以进行(即形成)交易和对交易进行签名，如果交易经过验证，则交易被存储在区块链的一个区块中。这样的交易的一个例子是将加密货币的总和转账给第三方。这些交易将被核实，然后通过节点(称为矿工)之间的共识机制被验证，这些节点具有链的完整副本，并竞争以根据前述加密机制构造区块。每个经验证的交易都被存储在一个被广播到网络中的所有节点的区块中。

在一般交易中，经由区块链执行财务操作需要在此链上有一个钱包地址(例如，比特币地址)。通常通过散列一对非对称钥匙(私钥-公钥)的公钥来获得这样的地址。更确切地，用户首先生成一个他必须保密的私钥，并借助于通过非对称加密系统(在本实例中为椭圆曲线加密系统或ECC(椭圆曲线密码学))的加密，从中推导出相应的公钥。接下来，该公钥由散列函数(例如Keccak，SHA-3)进行散列处理，以提供所涉及的钱包地址。

从原理上讲，可以将区块链上的钱包地址视为银行帐号，并将私钥视为用于验证对该帐户进行访问的密码。

在诸如比特币之类的区块链中，交易通常表示以加密货币(中本聪(satoshis)或比特币)计价的总和从发送方的一个或多个钱包地址转账到收款方的一个或多个钱包地址。更确切地，一笔交易会消耗一个或多个UTXO(未花费的交易输出)，每个UTXO代表未由其被访地址花费的总和，并由锁定脚本锁定在被访地址的钱包地址上。为了能够花费UTXO，所有者必须通过以解锁脚本的形式向UTXO显示加密元件(通常是从相应的私钥中生成的签名和他的公钥)来标识自己。如果解锁脚本中显示的元件满足锁定脚本中指定的条件，则该交易被视为已验证。

图1示意性地说明了区块链的两个用户爱丽丝(Alice)和鲍勃(Bob)之间的加密货币的总和的转账的示例。

Alice通过她的钱包进行交易，该钱包的地址@walletAlice与加密的公钥链接(更确切地，@walletAlice是她的公钥的散列)。

假设该交易仅消耗Alice的钱包(值为fund)的一个UTXO，该UTXO称为输入UTXO。该交易会创建一个UTXO，该UTXO称为Bob的钱包中的第一输出UTXO，其具有预期的支付数额(值为amount)。同样，该交易会在Alice的钱包中创建第二输出UTXO，其具有余额(值为balance＝fund-amount)。

为了进行支付(值为amount)，Alice进行了一个由输入段和输出段组成的交易T_a。

T_a的输入段(在比特币中称为scriptSig)是一个脚本，用于解锁在创建了输入UTXO的交易T_fund的输出段中出现的锁定脚本(在比特币中称为scriptPubKey)。

T_a的输出段包括：

-第一锁定脚本(scriptPubKey)，其将值amount锁定在Bob的钱包地址@walletBob上，这是Bob只能通过提供包含对他进行认证的签名的解锁脚本(scriptSig)才能解锁的锁；

-第二锁定脚本(scriptPubKey)，其用于锁定与Alice的钱包地址@walletAlice相关联的值amount，这是Alice只能通过提供包含对她进行认证的签名的解锁脚本(scriptSig)才能解锁的锁。

出现在T_a的输入段中的解锁脚本与出现在T_fund的输出段中的相应锁定脚本连接，然后执行生成的脚本。

执行生成的脚本可以核实由Alice提供的加密元件确实合法，也就是说，钱包地址@walletAlice确实对应于Alice的公钥(通过散列核实)，并且Alice确实是此公钥(借助于签名核实)的持有者。

如果核实是肯定的，则交易被验证并存储在区块链的新区块中并且该区块被开采。

交易的验证和存储实际上是在Bob的钱包中创建第一输出UTXO，并在Alice的钱包中创建第二输出UTXO。

这样，Bob就可以使用先前创建的第一输出UTXO作为输入UTXO来花费总和amount。为此，他将必须通过显示他自己的加密元件(公钥和签名)来解锁。

将理解的是，仅持有私钥就使得可以使用对应的钱包地址在区块链上进行交易。换句话说，私钥构成了钱包所有权的唯一证明，丢失私钥将阻止对该钱包中持有的加密货币资产(UTXO)的任何访问。同样，如果用户的密钥被恶意的第三方窃取，则用户将面临该第三方正在花费其所有的资产。

考虑到私钥的关键性质，通常建议通常以纸质形式存储私钥，而不是以电子格式将私钥存储在智能电话或计算机的存储器中。此外，私钥的长度使得用户自己几乎不可能记住它，即使他成功地记住了私钥，在每次交易中都提供私钥也是特别繁琐的。

以纸质形式存储几乎不能与漫游使用兼容。此外，用户可以拥有多个私钥和多个相应的钱包地址。

为了解决此问题，基本上以USB钥匙形式存在的物理钱包(硬件钱包)最近上市，用户可以在USB钥匙中存储其私钥以及相应的公钥或钱包地址(其通过对公钥进行散列处理获得)。这种硬件钱包的示例是以Trezor^TM或“LedgerNano S”名称出售的设备。

这些USB钥匙通常设有简单的界面(LCD屏幕和一些按钮)，使其所有者能够借助于PIN码对其进行解锁，并借助于所需的私钥对交易进行签名。密钥被存储在安全元件中，免受物理攻击，只能借助于PIN码来访问安全元件。这些USB钥匙使得无需使用纸质介质即可在区块链上对交易进行签名并且存储各种钥匙。另一方面，由于可能从通过电磁辐射或经由USB接口捕获的信号中推导出私钥，因此USB钥匙不能完全免受物理攻击。

因此，本发明的一个目的是提出一种用于存储数字钥匙的设备，该设备使得其所有者能够在与现有技术相比大大提高的安全性条件下认证自己并在区块链上对交易进行签名。

发明内容

本发明由一种用于存储用于在区块链上对交易进行签名的数字钥匙的设备来定义，所述设备包括麦克风、扬声器和具有旨在存储至少一个密钥的安全元件的DSP处理器，DSP还包括使用码本S的编码器/解码器，该码本S的码字被存储在该DSP的存储器中或仅可由该DSP访问的安全存储器中，这些码字表示随机或伪随机超声信号，该DSP仅通过声学信道与设备的外部通信，该DSP适用于解码经由麦克风从声学信道接收到的、由S的字组成的消息，适用于借助于所述私钥对如此解码的消息进行签名，并且适用于经由扬声器在所述声学信道上以由S的连续的字组成的响应的形式发送所述消息的签名来作为响应。

有利地，该设备包括人机界面(HMI)，用户可借助于该人机界面输入私钥或种子以生成一系列私钥，所述私钥或多个私钥被存储在DSP处理器的安全元件中。

DSP处理器通常使用椭圆曲线非对称加密系统，以用于根据用户输入的或由DSP从所述种子生成的私钥来计算公钥。

此外，DSP处理器适用于借助于散列函数来计算所述公钥的散列，以便获得区块链上的钱包地址。

该设备有利地管理软件模块，该软件模块适用于请求DSP处理器在公钥的声学信道上和/或在声学信道上发送钱包地址。

根据第一示例实施例，该设备是智能电话，DSP处理器以不同于智能电话的操作系统在其上运行的微处理器的芯片来实现。

根据第二示例实施例，该设备是USB钥匙，USB钥匙不包括除了电源引脚之外的任何连接引脚。

本发明进一步包括一种用于借助于如上定义的数字钥匙存储设备和管理第二软件模块的终端，使用户向第三方支付加密货币的总和的方法，所述终端通过互联网连接到实现区块链的P2P网络，其特征在于，所述用户在第二软件模块所显示的窗口中输入支付的数额和第三方的钱包地址，并且第二软件模块进行包括输入段和输出段的交易，该输入段包括对先前交易(T_fund)的至少一个引用，在该先前交易中用户是被访地址，脚本锁定该先前交易，输出段包括所述总和以及将所述总和锁定在第三方的钱包地址处的脚本，第二软件模块向数字钥匙存储设备发送包括如此形成的交易的第一消息(M)，并且在用户做出验证的情况下，DSP处理器对所述消息进行签名，并以第二消息(Sig)的形式将如此获得的签名发送至所述终端，第一消息和第二消息以借助于码本S的码字编码的形式在声学信道上被发送，并且第二软件模块在所述交易中用包含如此接收到的签名和用户的公钥的解锁脚本来替换锁定先前交易的脚本。

最后，本发明涉及一种用于借助于如上定义的数字钥匙存储设备，使用户向第三方支付加密货币的总和的方法，该方法以计算机或智能电话的形式实现，该设备管理第二软件模块(225)，并通过互联网连接到实现区块链的P2P网络，根据该方法，所述用户在第二软件模块所显示的窗口中输入支付的数额和第三方的钱包地址，并且该第二软件模块进行包括输入段和输出段的交易，该输入段包括对先前交易(T_fund)的至少一个引用，在该先前交易中用户是被访地址，脚本锁定该先前交易，输出段包括所述数额以及将所述数额锁定在第三方的钱包地址处的脚本，第二软件模块向数字钥匙存储设备发送包含如此进行的交易的第一消息(M)，并且在用户做出验证的情况下，DSP处理器对所述消息进行签名，并以第二消息(Sig)的形式将如此获得的签名发送给该设备，第一消息和第二消息以借助于码本S的码字编码的形式在声学信道上被发送，并且第二软件模块在所述交易中用包含如此接收到的签名和用户的公钥的解锁脚本来替换锁定先前交易的脚本。

在替换之后，交易(T_a)有利地被广播到P2P网络的节点，以便被验证并合并到区块链的下一个区块中。

附图说明

通过参考附图阅读本发明的优选实施例，本发明的其他特征和优点将显现，其中：

已描述的图1示意性地描绘了区块链的两个用户之间的加密货币的总和的转账；

图2示意性地描绘了根据本发明一个实施例的使用数字钥匙存储设备的系统；

图3A示意性地描绘了图2中的系统的钥匙存储设备的架构的第一示例；

图3B示意性地描绘了图2中的系统的钥匙存储设备的架构的第一示例；

图4A描绘了借助于图2中的系统进行的钱包的查阅操作的时序图；

图4B描绘了借助于图2中的系统进行的支付操作的时序图；

图5A示意性地描绘了根据本发明的第一变型实施方式的数字钥匙存储设备；以及

图5B示意性地描绘了根据本发明的第二变型实施方式的数字钥匙存储设备。

具体实施方式

本发明的基本思想是提供一种用于存储数字钥匙的设备(或物理钱包)，该设备包括扬声器、麦克风和具有安全元件的数字信号处理器DSP，在安全元件中存储有成对的密钥和公钥，DSP仅借助于随机(或伪随机)超声信号经由所述麦克风和所述扬声器与物理设备的外部进行通信。

为此，DSP包括使用码本S的声学编码/解码模块，码本S的码字表示存储在DSP的存储器中或仅DSP可访问的设备的安全存储器中的随机或伪随机超声信号。换句话说，码字是这种随机或伪随机超声信号的数字表示，该信号是通过将码字转换为模拟信号并在驱动换能器之前必要时放大该模拟信号而生成的。

该设备适用于经由所述设备与管理钱包应用程序的终端之间的声学信道以所述码本的字的形式向该钱包应用程序发送加密数据和从该钱包应用程序接收加密数据。

因此，加密数据不像天生具有被拦截(窃听)或物理攻击的风险的现有技术那样经由USB或蓝牙接口发送。短距离超声信号的使用使这些入侵尝试无效。此外，借助于随机或伪随机超声信号发送加密数据，实质上增加了信道对抗这种攻击的鲁棒性。

图2示意性地描绘了根据本发明的一个实施例的包括数字钥匙存储设备的系统。

数字钥匙存储设备(或物理钱包)已经在210处被描绘，DSP在219处被描绘，麦克风在213处被描绘，扬声器在217处被描绘。

该设备可以以图中所示的智能电话形式实现，或者可以以设有简单HMI界面(例如LCD屏幕和按钮)的专用USB钥匙实现，或者甚至可以以认证令牌(专用电子盒)的形式实现，或者甚至还可以以便携式计算机的形式实现。在本实例中，DSP 219可以是通过在便携式计算机中设计而已存在的一种DSP。

重要的是要注意，当物理存储钱包以专用USB钥匙的形式实现时，专用USB钥匙仅包含电源引脚。因此，可以将钥匙插入计算机的USB连接器中，从而在该计算机无法访问存储在物理钱包中的数据的情况下对钥匙供电。

除了物理钱包之外，系统200包括终端(通常是便携式计算机，PC)220，终端220连接到互联网并因此能够使用区块链与P2P(对等)网络中的其他节点通信。

在说明书的余下部分，我们将不失一般性地假设区块链是比特币。

用户的终端220管理钱包应用程序(wallet_app)225，例如SPV(简化支付验证)轻量级客户端，该客户端在终端上给予轻量级节点的功能并使终端能够在区块链上进行交易和检查交易。可选地，在非漫游使用的情况下，用户的终端可以管理完整的客户端，从而使终端能够访问整个共享寄存器的副本。

钱包应用程序225还包括使用码本S的解码模块，该解码模块使钱包应用程序225能够对从存储设备接收的随机/伪随机信号进行解码。可选地，终端可以包括DSP(未示出)，该DSP执行应用程序所请求的这种解码，并将如此解码的消息返回给应用程序。再次可选地，终端可以将已接收到的随机/伪随机信号发送到云中的解码服务器，然后，该解码服务器将向终端返回解码的消息。该最后的示例实施例是有利的，因为将有可能在解码服务器和存储设备中自适应地切换码本S。

数字钥匙存储设备210包括软件模块215，软件模块215被称为钱包控制模块(walletctrl_app)，其主要功能是生成一对或多对(私钥，公钥)并借助于如此生成的私钥对消息(例如钱包应用程序进行的交易)进行签名。

在第一阶段，物理数字钥匙存储钱包被初始化。

首先，可以借助于密码(PIN码)、指纹读取器、虹膜传感器或任何其他生物认证传感器来保护物理钱包。输入密码或生物识别条目的目的仅仅是为了保护对物理钱包的访问。

在使用密码进行认证的情况下，可以通过HMI界面(例如触摸屏)输入密码，并例如通过按下验证按钮或通过单击屏幕上显示的验证图标来进行验证。

此外，初始化阶段包括通过椭圆曲线加密系统或ECC(其域参数被预先存储在DSP中)生成至少一对钥匙(私钥，公钥)。私钥例如可以从借助于HMI界面输入或选择的一系列字中获得。优选地，根据标准BIP0032和BIP044，该系列被用作种子以创建分层确定性钱包(HD钱包)的成对(私钥-公钥)的连续生成。在所有情况下，私钥/公钥都不显式出现在HMI界面上，而是在DSP 219中生成并本地存储，私钥被存储在前述安全元件中。

一旦已经实现了初始化阶段并且在终端220上启动了钱包应用程序225，就可以借助于所涉及的钱包在区块链上执行操作。

最简单的操作是查阅钱包，也就是说，获取以用户(或者更确切地，用户钱包的地址)为目的地的UTXO的列表。

将回想起，通过对用户的公钥进行散列来获得钱包地址。用户当然可以拥有多个公钥和多个对应的钱包地址。在本实例中，可以将这些地址中的每个的目的地处的UTXO存储在wallet_app应用程序的不同目录中。

如果物理钱包仅存储了一对(私钥，公钥)，则用户可以经由物理钱包的HMI界面请求将公钥，或者甚至相应钱包的地址发送到应用程序225。

如果物理钱包已经在存储器中存储了多个公钥，则用户可以经由HMI界面选择所需的公钥或钱包地址，并请求将该公钥或钱包地址发送至应用程序225。

在两种情况下，DSP都借助于码本S的随机(或伪随机)超声信号来在声学信道250上发送公钥/钱包地址。S的码字(随机或伪随机超声信号)被选择，以便可选地由声学信道的等效滤波器过滤的这些信号的相关度量尽可能接近对角矩阵。换句话说，选择随机(或伪随机)超声信号，使得相关度量的值最小，而自相关系数的值最大。在2016年6月13日提交的、申请号为16 55443的法国申请中详细描述了这种码本S的创建，该法国申请的内容通过引用并入本文。

这些信号由物理设备210的扬声器(电声器件，例如压电换能器)217发送，并由终端的麦克风(例如压电换能器)223接收，以便提供给钱包应用程序225，在钱包应用程序负责解码的情况下信号直接提供给钱包应用程序，或者信号在通过驻留在终端中的DSP进行解码之后，或者通过如上所述的解码服务器进行解码之后提供给钱包应用程序。

无论解码如何变化，钱包应用程序都可以在区块链上提出请求，以查找针对该地址的交易(例如，借助于诸如block explorer之类的区块链浏览器或诸如blockchain.info之类的API)。如果公钥发送到终端，则钱包应用程序可以通过简单的散列确定相应的钱包地址，并像之前一样启动请求。然后扫描链，以查找针对该地址的交易。在所有情况下，以Alice为目的地的交易都显示在应用程序225的窗口中。

图3A描绘了图2的系统中的数字钥匙存储设备的架构的第一示例。

操作系统212(例如

)在微处理器211上运行。操作系统优选地仅通过微处理器与DSP通信，以增强对抗攻击的鲁棒性。

微处理器从DSP接收处于来自码本S的字的形式的数字消息，并将数字消息发送到扬声器217的驱动器。这些消息被转换为模拟信号并被放大，所得到的信号通过扬声器217被转换为相应的超声信号，以在声学信道250上发送。

相反地，微处理器从麦克风213接收先前以数字形式转换的超声信号，并将超声信号发送到DSP 219。

在此将理解，微处理器在DSP与设备的外部之间的交换中起通透作用。

图3B描绘了图2的系统中的数字钥匙存储设备的架构的第二示例。

DSP可以接收控制消息，并在适用的情况下像之前一样将响应消息返回给微处理器。另一方面，在此示例中，DSP直接接收和发送随机/伪随机超声信号，而无需通过微处理器。在特定示例实施例中，DSP、扬声器和麦克风形成一个相同声卡的一部分。

图4A示意性地概括了当Alice查阅她的钱包时系统200中的交换。在410中，物理钱包经由声学信道将Alice的公钥pK_a或钱包地址@walletAlice发送到终端的应用程序wallet_app。

更确切地，公钥pK_a以随机/伪随机超声信号σ(pK_a)的形式被发送，其中，σ指示借助于前述码本S来编码的操作。可选地，钱包地址@walletAlice将以随机/伪随机超声信号σ(@walletAlice)的形式被发送。

在对该信号进行解码之后，在420处，应用程序发送请求以在区块链中扫描以@walletAlice为目的地的交易。在430处恢复了这些交易之后，Alice可以在她的地址(以@walletAlice为目的地的交易、交易的输出未花费)中列出UTXO，以便在必要时对UTXO进行汇总。

因此，UTXO，或者甚至在汇总的情况下汇总的UTXO，都可以用作新交易的输入，以便进行支付。

相反，地址@walletAlice可以经由声学信道以编码的形式(σ(@walletAlice))传达给具有终端220的第三方，例如先前描述的第三方，以便第三方可以向Alice的钱包地址支付。

因此，如果Alice希望向Bob支付，则Alice在终端220上打开她的钱包应用程序225，并履行交易所需的参数。

她在投资组合中选择了希望用于转账的UTXO(或者在汇总情况下甚至是多个UTXO)、要转账的数额以及收款方的钱包地址@walletBob。在不失一般性的前提下，以下假设仅选择一个UTXO。此UTXO是源交易T_fund的输出，换句话说，该交易T_fund已创建此UTXO。

然后，钱包应用程序进行新交易T_a，例如借助于P2PKH(Pay to Public KeyHash，向公钥散列支付)脚本。

在T_a的输入段中，应用程序首先提供所选UTXO的引用，即源交易T_fund的散列，即h(T_fund)。

在T_a的输出段中，应用程序接下来提供要转账的数额，以及将此数额锁定在钱包地址@walletBob处的锁定脚本。

接下来，应用程序225必须提供用于解锁锁定脚本的加密元件，该锁定脚本保护T_a的输入UTXO(源交易T_fund中@walletAlice的UTXO)，即其公钥和借助于其私钥的签名。

为此，钱包软件225通过向物理钱包210发送消息M来请求物理钱包210对交易进行签名，该消息包括源函数h(T_fund)的散列、源交易T_fund的锁定脚本(scriptPubKey)、加密货币的数额和将所述数额锁定在钱包地址@walletBob处的锁定脚本(scriptPubKey)。

该消息M以σ(M)的形式经由声学信道被发送到DSP，该σ(M)是借助于码本S通过编码M而获得的。相应的超声信号由终端的扬声器227发送，并由物理钱包210的麦克风213接收。

DSP经由微处理器将支付目的地的地址和数额发送到应用程序walletctrl_app。然后，该应用程序请求用户确认交易(通过按下触摸屏的图标或按钮)。如果用户在time_out到期之前确认了交易，则应用程序walletctrl_app告知DSP确认了交易，然后DSP用私钥(借助于椭圆曲线签名算法或ECDSA)对消息M进行签名，并将获得的签名Sig发送到终端220。签名Sig是经由声学信道借助于来自码本S的信号以编码形式(σ(Sig))来发送的。

同样，信号σ(Sig)可以由钱包应用程序、本地DSP或远程解码服务器解码。在解码后，钱包应用程序225恢复签名Sig并将签名Sig与Alice的公钥pK_a连接起来，以形成解锁脚本(scriptSig)。该应用程序wallet_app提供源交易的散列h(T_fund)和解锁脚本，以形成交易T_a的输入段。

然后，钱包应用程序邀请用户确认支付(例如，通过单击图标)。如果确认支付，则交易T_a被广播到P2P网络中的节点，以便进行验证并合并到该链的未来区块中。

图4B示意性地概括了当Alice进行支付时系统200中的交换。

在步骤450中，在用户已经在钱包应用程序的窗口中输入了支付的数额和收款方的钱包地址之后，钱包应用程序从源交易的散列h(T_fund)、从源交易的锁定脚本、从加密货币中的支付的数额、以及从将数额锁定在收款方的钱包地址@walletBob处的锁定脚本中构造出消息M。

通过(借助于码本S)编码M获得的信号σ(M)借助于来自码本S的随机超声信号在声学信道上被发送。

在DSP对σ(M)进行解码和对消息M进行恢复之后，DSP在451处将收款方的钱包地址和数额发送给控制应用程序walletctrl_app。

在452中，通过walletctrl_app将用户所做出的验证发送到DSP。然后，DSP通过其私钥(EDCSA)对消息M进行签名，对借助于码本S获得的签名进行编码，以获得信号σ(Sig)，并如前所述，经由声学信道将信号σ(Sig)发送至终端220。

该信号σ(Sig)在终端220处被解码以便提供签名Sig。

然后在370处，钱包应用程序wallet_app从如此接收到的签名和从Alice的公钥中构造解锁脚本，以形成交易的输入段。同样，钱包应用程序wallet_app会将锁定脚本与数额连接起来，以形成交易的输出段。

一旦支付已由用户在钱包应用程序的窗口上验证，钱包应用程序就在480处将支付广播到P2P网络中的其他节点。

在上面的描述中，我们假设区块链是比特币。可选地，区块链可以是如下区块链，可以在该区块链中记录和执行智能合约。以太坊就是这种区块链的一个示例。智能合约是可以由P2P网络中的任何节点使用区块链执行的程序。特别地，智能合约可以作为软件代理来存储数据、发送和接收支付以及以分散的方式自主地执行动作。通常，智能合约会检查是否满足一定数量的条件，如果满足，则智能合约自动执行，以提供合约中编码的结果。

数字钥匙的物理钱包可以以相同的方式将它自己认证成智能合约的一部分，并且例如表示其同意。为此，钱包应用程序(或根据以太坊术语的帐户应用程序)可以进行交易，并且所有者可以借助于物理钱包对交易进行签名，如此签名的交易被发送到存储在区块链中的智能合约。

最后，在上面的描述中，假设终端220不同于数字钥匙存储设备210。如果数字钥匙存储设备210是智能电话，则数字钥匙存储设备210也可以用作连接到互联网的终端：然后该终端与该设备是一致的，并且第一软件模块和第二软件模块是一个相同应用程序(或者如图5A中的示例实施例所描绘的，甚至是智能电话的不同应用程序)的模块。然后，这些软件模块经由扬声器217和麦克风213之间的本地声学信道对话。

相反，终端可以将DSP 219与其安全元件合并，第一软件模块和第二软件模块形成终端的一个相同应用程序(或者甚至不同应用程序)的一部分，如图5B中的示例实施例所描绘的。然后，如在第一示例实施方式中那样，这些软件模块经由扬声器217和麦克风213之间的本地声学信道对话。

在本描述中我们还假设钥匙存储设备/终端使得相同码本S可用于发送和接收消息。可选地，可以使用两个不同的码本S和S′以用于发送和接收，其中一个的发送码本是另一个的接收码本，反之亦然。该实施例是有利的，因为它允许在声学信道上进行全双工交换。

Claims

1.用于存储用于在区块链上对交易进行签名的数字钥匙的设备，其特征在于，所述设备包括麦克风(213)、扬声器(217)和具有旨在存储至少一个密钥的安全元件的DSP处理器(219)，所述DSP还包括使用码本S的编码器/解码器，所述码本S的码字被存储在所述DSP的存储器中或仅可由所述DSP访问的安全存储器中，所述码字表示随机或伪随机超声信号，所述DSP仅通过声学信道(250)与所述设备的外部通信，所述DSP适用于解码经由所述麦克风(213)从声学信道接收到的、由S的字组成的消息，适用于借助于所述私钥对如此解码的消息进行签名，并且适用于经由所述扬声器(217)在所述声学信道上以由S的连续的字组成的响应的形式发送所述消息的签名来作为响应。

2.根据权利要求1所述的数字钥匙存储设备，其特征在于，所述设备包括人机界面，用户可借助于所述人机界面输入私钥或种子以生成一系列私钥，所述私钥或多个私钥被存储在所述DSP处理器的所述安全元件中。

3.根据权利要求2所述的数字钥匙存储设备，其特征在于，所述DSP处理器通常使用椭圆曲线非对称加密系统，以用于根据用户输入的或由所述DSP从所述种子生成的所述私钥来计算公钥。

4.根据权利要求3所述的数字钥匙存储设备，其特征在于，所述DSP处理器适用于借助于散列函数来计算所述公钥的散列，以便获得区块链上的钱包地址。

5.根据权利要求4所述的数字钥匙存储设备，其特征在于，所述设备管理软件模块(215)，所述软件模块(215)适用于请求所述DSP处理器在所述公钥的声学信道上和/或在所述声学信道上发送所述钱包地址。

6.根据前述权利要求中的一项所述的数字钥匙存储设备，其特征在于，所述数字钥匙存储设备以智能电话的形式实现，所述DSP处理器以不同于所述智能电话的操作系统在其上运行的微处理器的芯片来实现。

7.根据权利要求1至5中的一项所述的数字钥匙存储设备，其特征在于，所述数字钥匙存储设备以USB钥匙的形式实现，所述USB钥匙不包括除了电源引脚以外的任何连接引脚。

8.用于借助于根据前述权利要求中的一项所述的数字钥匙存储设备和管理第二软件模块(225)的终端(220)，使用户向第三方支付加密货币的总和的方法，所述终端通过互联网连接到实现区块链的P2P网络，其特征在于，所述用户在所述第二软件模块所显示的窗口中输入所述支付的数额和所述第三方的钱包地址，并且所述第二软件模块进行包括输入段和输出段的交易，所述输入段包括对先前交易(T_fund)的至少一个引用，在所述先前交易中用户是被访地址，脚本锁定所述先前交易，所述输出段包括所述总和以及将所述总和锁定在所述第三方的钱包地址处的脚本，所述第二软件模块向所述数字钥匙存储设备发送(450)包括如此形成的交易的第一消息(M)，并且在用户做出验证的情况下(452)，所述DSP处理器对所述消息进行签名，并以第二消息(Sig)的形式将如此获得的签名发送(460)至所述终端，所述第一信息和所述第二消息以借助于码本S的码字编码的形式在声学信道上被发送，并且所述第二软件模块在所述交易中用包含如此接收到的签名和用户的公钥的解锁脚本来替换锁定所述先前交易的脚本。

9.用于借助于根据权利要求1至5之一所述的数字钥匙存储设备，使用户向第三方支付加密货币的总和的方法，所述方法以计算机或智能电话的形式实现，所述设备管理第二软件模块(225)，并通过互联网连接到实现区块链的P2P网络，其特征在于，所述用户在所述第二软件模块所显示的窗口中输入所述支付的数额和所述第三方的钱包地址，并且所述第二软件模块进行包括输入段和输出段的交易，所述输入段包括对先前交易(T_fund)的至少一个引用，在所述先前交易中用户是被访地址，脚本锁定所述先前交易，所述输出段包括所述数额以及将所述数额锁定在所述第三方的钱包地址处的脚本，所述第二软件模块向所述数字钥匙存储设备发送(450)包括如此进行的交易的第一消息(M)，并且在用户做出验证的情况下(452)，所述DSP处理器对所述消息进行签名，然后以第二消息(Sig)的形式将如此获得的签名发送(560)给所述设备，所述第一消息和所述第二消息以借助于码本S的码字编码的形式在声学信道(250)上被发送，并且所述第二软件模块在所述交易中用包含如此接收到的签名和用户的公钥的解锁脚本来替换锁定所述先前交易的脚本。

10.根据权利要求8或9所述的支付方法，其特征在于，在替换之后，所述交易(T_a)被广播(480)到所述P2P网络的节点，以便被验证并合并到所述区块链的下一个区块中。