CN111819815A

CN111819815A - 用于转移对数字资产的控制的计算机实现的方法和系统

Info

Publication number: CN111819815A
Application number: CN201980016368.8A
Authority: CN
Inventors: C·S·赖特
Original assignee: Nchain Holdings Ltd
Current assignee: Nchain Holdings Ltd
Priority date: 2018-03-02
Filing date: 2019-02-19
Publication date: 2020-10-23
Anticipated expiration: 2039-02-19
Also published as: EP4398514A3; TW201946412A; US11791992B2; JP2021515271A; JP2021515270A; WO2019166916A1; US20210049690A1; JP7328237B2; EP3759864B1; CN111788791A; CN118316591A; US20240064008A1; GB201817506D0; US20210042829A1; JP2023133560A; CN111788791B; SG11202007880PA; EP4398514A2; WO2019166915A1; JP7385580B2

Abstract

公开了一种转移对数字资产(2)的控制的方法。该方法包括：在多个第一参与者(4)之间分发椭圆曲线密码术(ECC)系统的第一私钥d_A的份额d_Ai。第一私钥通过第一私钥的第一阈值数量(6)的份额d_Ai是可访问的，而在没有第一阈值数量的份额的情况下是不可访问的，并且对数字资产(2)的访问通过用第一私钥对第一加密消息的数字签名提供。密码系统的确定性密钥D_k的份额在第一参与者或多个第二参与者之间分发，其中，确定性密钥通过确定性密钥的第二阈值数量的份额是可访问的，而在没有第二阈值数量的份额的情况下是不可访问的。提供第二加密消息，其中，对数字资产(2)的访问通过用加密系统的第二私钥d_A+D_k对第二加密消息的数字签名提供，其中，第二私钥通过确定性密钥D_k与所述第一私钥有关。生成利用第二私钥签名的第二加密消息的份额S_i，其中，该第二加密消息可以通过签名的消息的第三阈值数量(12)的份额利用第二私钥被签名，而在没有第三阈值数量的份额的情况下不能被签名。

Description

用于转移对数字资产的控制的计算机实现的方法和系统

技术领域

本发明大体涉及数据和基于计算机的资源的安全性。更具体地，本发明涉及加密货币和密码学，并且还涉及椭圆曲线密码学、椭圆曲线数字签名算法(ECDSA)和阈值密码学。本发明可以用于与区块链实现的加密货币(诸如(例如)比特币)相关地获得益处，但在这方面不受限制，并且可以具有更广泛的适用性。在一个实施例中，本发明可以被描述为提供阈值数字签名方案。

背景技术

在本文档中，我们使用术语“区块链”来包括电子的基于计算机的分布式分类账(ledger)的所有形式。这些包括基于共识的区块链和交易链技术、许可的和未被许可的分类账、共享分类账及其变型。尽管已经提出并开发了其他区块链实现方式，但是区块链技术最广为人知的应用是比特币分类帐。尽管仅为了方便和说明的目的在本文中可能提及比特币，但是应当注意，本发明不限于与比特币区块链一起使用，并且替代的区块链实现和协议落入本发明的范围内。

区块链是一种点对点的电子分类帐，实现为基于计算机的去中心化的系统，该系统由区块组成，而区块又由交易组成。每个交易是一种数据结构，该数据结构对区块链系统中参与者之间的数字资产的控制的转移进行编码，并包括至少一个输入和至少一个输出。每个区块都包含前一个区块的哈希值，因此区块变为被链接在一起来创建所有交易的永久、不可更改的记录，这些交易自其开始就已经写入区块链。

去中心化的概念是比特币方法学的基础。与分布式或中心化系统不同，去中心化系统具有以下优势：没有单点故障。因此，它们提供了高级别的安全性和弹性(resilience)。通过使用诸如椭圆曲线密码学和ECDSA等已知的密码技术，可以进一步增强该安全性。

然而，尽管在提交本申请时，比特币协议本身已被证明可以抵抗任何重大攻击，但存在对补充比特币网络或建立在比特币网络之上的交易所和钱包的攻击。随着比特币价值的增加，标准的中心化系统中可能会发生更多事件，例如涉及Mt Gox和Bitfinex的那些事件。

发明内容

因此，需要一种进一步增强这种系统的安全性的方案。本发明提供了这样的优点以及其他。

本发明提供了如所附权利要求书中所限定的方法和系统。

根据本发明，可以提供一种转移对数字资产的控制的方法，该方法包括：

在多个第一参与者中分发至少一个第一秘密值的份额，其中，至少一个所述第一秘密值是具有同态性质的密码系统的第一私钥-公钥对的第一私钥，所述第一秘密值通过所述第一秘密值的第一阈值数量的所述份额是可访问的，而在没有所述第一秘密值的所述第一阈值数量的份额的情况下是不可访问的，并且对所述数字资产的访问通过利用所述第一私钥对第一加密消息的数字签名来提供；

在所述多个第一参与者中分发至少一个第二秘密值的份额，其中，至少一个所述第二秘密值是所述密码系统的确定性密钥，所述第二秘密值通过所述第二秘密值的第二阈值数量的所述份额是可访问的，而在没有所述第二秘密值的所述第二阈值数量的份额的情况下是不可访问的；

提供第二加密消息，其中，对所述数字资产的访问通过利用所述密码系统的第二私钥-公钥对的第二私钥对所述第二加密消息的数字签名来提供，并且其中，所述第二私钥通过所述确定性密钥与所述第一私钥有关；以及

生成至少一个第三秘密值的份额，其中，至少一个所述第三秘密值是利用所述第二私钥签名的所述第二加密消息，并且其中，所述第二加密消息可以通过所述第三秘密值的第三阈值数量的所述份额，利用所述第二私钥被签名，而在没有所述第三秘密值的所述第三阈值数量的份额的情况下不能被签名。

通过提供第二加密消息，其中，对所述数字资产的访问是通过利用所述密码系统的第二私钥-公钥对的第二私钥对所述第二加密消息的数字签名提供的，并且其中，所述第二私钥通过所述确定性密钥与所述第一私钥相关，通过生成至少一个第三秘密值的份额，其中，至少一个所述第三秘密值是利用所述第二私钥签名的所述第二加密消息，并且其中，所述第二加密消息可以通过所述第三秘密值的第三阈值数量的所述份额，利用所述第二私钥被签名，而在没有所述第三秘密值的所述第三阈值数量的份额的情况下不能被签名，这提供了以下优势：通过使用确定性密钥，使得能够以安全且轻松的方式将对数字资产的控制从第一私钥中的阈值数量的份额转移到第二私钥中的阈值数量的份额。而且，通过分发确定性密钥的份额，这提供了以下优势：使签名方案中的参与者数量能够容易地改变。因此，例如如果一个或多个参与者的安全性受到损害，则可以实现进一步的操作可靠性和安全性。这还提供了进一步的优势：使能够容易地增加签名方案中的参与者的数量。

该方法可以还包括：将所述确定性密钥的通过所述密码系统加密的版本分发给多个第二参与者，其中，所述同态性质使能够从所述第一公共密钥和所述确定性密钥的所述版本导出所述第二公共密钥。

传送给每个所述第一参与者和/或第二参与者的份额对于每个其他的所述第一参与者和/或第二参与者来说可能是不可访问的。

这提供了以下优势：提供进一步的安全性和防止对私钥的未经授权的使用。

将所述份额传送给每个所述第一参与者和/或第二参与者的步骤可以包括：向所述或每个所述第一参与者和/或第二参与者提供相应的加密通信信道。

分发至少一个所述第一秘密值的份额的步骤可以包括：

将第三参与者已知的第四秘密值的相应的第一份额分发给多个第四参与者，其中，所述第一份额通过所述密码系统的至少一个第三私钥-公钥对被加密，其中，需要第四阈值数量的第一份额以便使所述第四参与者能够确定第四秘密值；

从多个所述第四参与者中的每一个接收所述第四参与者已知的相应的第五秘密值的至少一个第二份额，其中，所述第二份额通过所述密码系统的至少一个第四私钥-公钥对被加密，并且需要第五阈值数量的第二份额以便使除了所述第四参与者之外的参与者能够确定第五秘密值；以及

从多个所述第二份额形成所述第一秘密值的第三份额，其中，需要所述第一阈值数量的第三份额以便使能够确定第一秘密值。

通过从多个所述第二份额形成第一秘密值的第三份额，其中需要第一阈值数量的第三份额以便使能够确定第一秘密值，这提供了提高方法的安全性的优点，因为不再需要公开对应于第四秘密值和第五秘密值的私钥或将其存储在存储器中。

所述第四秘密值和第五秘密值的第一份额和第二份额可以通过相应的沙米尔Shamir秘密共享方案来创建。

该方法还可以包括将通过所述密码系统加密的所述第一份额的版本传送给多个所述第四参与者中的每一个。

这提供了以下优点：使能够在不公开私钥或份额的情况下检查从不同的第四参与者接收的份额的一致性，从而使能够忽略可疑的不可信的参与者而不损害该方法的安全性。

该方法还可以包括确定通过所述密码系统加密的至少一个第一秘密值的版本。

多个所述第一份额可以是第一多项式函数的相应值，并且第一秘密值可以通过从所述第一阈值数量的所述份额推导出多项式函数来确定。

多个所述第一份额可以是第二多项式函数的相应值，并且该方法还可以包括：将通过所述密码系统加密的所述第二多项式函数的系数的版本传送给多个所述第四参与者中的每一个。

这提供了以下优点：使能够通过重构第二多项式函数来验证直接从第三参与者接收的第一份额与从第四参与者接收的通过所述密码系统加密的第一份额的一致性，而不损害该方法的安全性。

该方法还可以包括：验证直接从所述第三参与者接收的所述第一份额的版本与通过所述密码系统加密并且从多个所述第四参与者接收的所述第一份额的版本的一致性。

这提供了以下优点：使能够识别潜在的不可信的参与者，而不损害方法的安全性。

该方法还可以包括：验证通过所述密码系统加密并从一个所述第四参与者接收的所述第一份额的版本与通过所述密码系统加密并从另一所述第四参与者接收的所述第一份额的版本的一致性。

这还提供了以下优点：使能够识别潜在的不可信的参与者，而不损害方法的安全性。

该方法还可以包括以下步骤：向多个第四参与者分发具有零值的第六秘密值的相应的第四份额，其中，所述第四份额通过所述密码系统的至少一个第五私钥-公钥对被加密。

这提供了以下优点：使份额和/或私钥得以更新，从而使能够从参与中移除非安全的或不一致的参与者。

该方法还可以包括：从所述第四参与者接收至少一个所述第四份额；以及从所述第三份额和所述第四份额形成所述第一秘密值的第五份额，其中，需要第六阈值数量的第五份额，以便使能够确定第一秘密值。

至少一个所述第一秘密值可以通过联合随机秘密共享(JRSS)在多个所述第一参与者之间共享。

这提供了以下优点：通过防止任何单个第一参与者访问第一秘密值来提高安全性。

共享至少一个所述第一秘密值可以包括共享由联合零秘密共享(JZSS)生成的掩码份额。

这提供了以下优点：使数字签名更易于生成而不损害系统的安全性。

该密码系统可以是椭圆曲线密码系统，每个所述公钥-私钥对的所述公钥可以通过椭圆曲线生成器点与对应的私钥的相乘而与所述私钥相关，并且所述第二私钥可以通过所述确定性密钥与所述第一私钥的相加而与所述第一私钥相关。

本发明还提供一种系统，包括：

处理器；以及

包括可执行指令的存储器，该可执行指令由于被处理器执行而使系统执行本文所述的计算机实现的方法的任何实施例。

本发明还提供一种非暂时性计算机可读存储介质，其上存储有可执行指令，该可执行指令由于被计算机系统的处理器执行而使计算机系统至少执行本文所述的计算机实现的方法的实施例。

附图说明

本发明的这些和其他方面将从本文描述的实施例变得显而易见并参考这些实施例而阐明。现在将仅通过示例的方式并参考附图来描述本发明的实施例，附图中：

图1是实施本发明的系统的示意图，该系统用于以加密货币的形式转移对数字资产的控制；以及

图2是示出其中可以实现各种实施例的计算环境的示意图。

具体实施方式

先前的工作

沙米尔秘密共享方案(Shamir Secret Sharing Scheme，SSSS)

Shamir(1979年)首先引入了一种基于经销商的秘密共享方案，该方案允许对密钥进行分布式管理。与该方案相关的问题源自必须信任无法被验证的经销商。该方案的这种形式与本申请中公开的系统完全兼容，并且可以用于通过本文所述的过程创建的各个密钥片(key slice)的组分布。

联合随机秘密共享(Joint Random Secret Sharing，JRSS)(Pedersen，1992年)

该过程的既定目标是创建一种方法，在该方法中，一组参与者可以集体共享秘密，而任何参与者都不知道该秘密。每个参与者选择随机值作为其本地秘密，并使用SSSS向该组分发从该随机值得出的值。然后，每个参与者添加从参与者收到的所有份额，包括其自己的份额。该总和是联合随机秘密共享。单个诚实参与者提供的随机性足以维护组合的秘密值的机密性。即使所有(n-1)个其他参与者有意选择非随机秘密值，该状态也保持为真。

联合零秘密共享(Joint Zero Secret Sharing，JZSS)(Ben-Or，1988年)

JZSS类似于JRSS，不同之处在于每个参与者共享0作为随机值的替代。使用此技术产生的共享有助于消除JRSS算法中的任何潜在弱点。

Desmedt[1987年]引入了面向组的密码学的概念。该过程允许参与者以仅允许参与者的选定子集解密消息的方式将消息发送给一组人。在系统中，如果发送者必须知道使用公钥的成员，则称成员是已知的；如果该组有独立于成员而保存的单个公钥，则该组是匿名的。本申请中公开的系统集合了这两种方法，并且允许已知和匿名的发送者和签名者同时存在于一个组中。

方法与实现

最初，以国际专利申请WO 2017/145016中详细描述的方式在参与者之间建立安全的通信信道，使得数据可以在参与者之间交换而对于其他参与者是不可用的。

当已经在参与者之间建立了安全的通信信道时，第一私钥d_A的份额d_A(i)通过以下所述的方法在一组第一参与者之间分发。

算法1密钥生成

域参数(曲线，基数n，生成器G)

输入：N/A

输出：密钥份额d_A1,d_A2…d_AN

算法1的方法如下：

1)(N)中的每个参与者p_(i)(其中，1≤i≤N)与所有其他参与者交换ECC公钥(或在该实现中，交换比特币地址)。该地址是组身份地址，不需要用于任何其他目的。

应当注意，这是例如在国际专利申请WO2017/145016中公开的派生地址，并且根据其中公开的过程，是基于每个参与者之间的份额值的密钥。

2)每个参与者p_(i)以所有其他方都不知道的方式选择具有随机系数的(k-1)次多项式f_i(x)。

该函数受被选择为多项式自由项的参与者的秘密

的约束。该值未共享。使用派生的私钥计算该值。

f_i(h)被限定为函数f_(x)的结果，函数f_(x)由参与者p_(i)为了点(x＝h)处的值而选择，参与者p_(i)的基本等式被限定为函数：

在该等式中，a₀是每个参与者p(_i)的秘密，并且不被共享。

因此，每个参与者p_(i)都有秘密保存的函数f_i(x)，该函数表示为(k-1)次多项式，其中自由项

被限定为参与者的秘密，使得：

3)每个参与者p_(i)使用如上所述的P_(h)的公钥加密对参与者P_(h)的f_i(h)，

并交换P_(h)的值以用于解密。

鉴于Z_n是字段，并且可以对被选择为ECC私钥的值有效进行拉格朗日插值取模n，存在得出的结论是Shamir的秘密共享方案SSSS[5]可以在Z_n上实现的条件。

4)每个参与者P_(i)向所有参与者广播以下值。

a)

b)

与上式中的变量h相关联的值可以是参与者P_(h)的位置，使得如果参与者P_(h)表示方案中的第三参与者，则h＝3，或同等地可以表示作为整数的参与者使用的ECC公钥的值。存在对于任一实现的使用案例和场景。在后一种实现中，该值h＝{1,...,N}将由映射到单个参与者的使用的公钥的值的阵列代替。

5)每个参与者P_(h≠i)验证接收到的份额与从每个其他参与者接收到的份额的一致性。即：

f_i(h)G与参与者的份额一致。

6)每个参与者P_(h≠i)验证该参与者(P_(h≠i))拥有并接收到的份额与其他接收到的份额一致：

实际上，这意味着参与者执行了以下过程：将从接收到的份额中恢复共享的秘密，但从与G相乘的份额中恢复与生成器点G相乘的共享的秘密。如果不一致，则参与者拒绝协议并重新开始。

7)现在，参与者p_(i)将其份额d_A(i)计算为：

其中：

以及

其中：

其中，运算“Exp-Interpolate(f₁,...,f_N)”表示以通常用于从份额f₁,…f_N恢复共享的秘密d_A的方式从份额f₁ x G,…f_N x G中恢复共享的秘密值G x d_A的运算，例如，在Shamir秘密共享方案的情况下借助于使用拉格朗日系数的插值。

返回(d_A(i),Q_A)

现在，参与者p_(i)将份额用在计算签名中。可以由任何参与者或在收集签名过程中充当协调者的一方p_(c)来担任此角色。参与者p_(c)可以变化，并且不需要在每次尝试时都是同一方以收集足够多的份额来签名交易。

因此，在不知道其他参与者的份额的情况下已经创建了私钥份额

算法2更新私钥

输入：私钥d_A的参与者P_i的份额，表示为d_A(i)。

输出：参与者P_i的新私钥份额d_A(i)‘。

算法2可以用于更新私钥以及用于向协议中添加随机性。

1)每个参与者选择受0作为其自由项的约束的(k-1)次随机多项式。这类似于算法1，但是参与者必须验证所有其他参与者的选定秘密为零。

应该注意的是：

其中，0是椭圆曲线上无穷大的点。

使用该等式，所有活动的参与者验证函数：

生成零份额：

2)d_A(i)′＝d_A(i)+z_i

3)返回：d_A(i)′

参与者集合根据算法1构造私钥份额

新的密钥份额Dk₁,Dk₂,...,Dk_N被引入集合中的每个参与者。可以使用上面的算法1来构造这些份额，其中，阈值份额的参与者可能能够构造以前未知的共享的秘密Dk。可替代地，Dk可以是预先已知的(例如，确定性密钥)，并且份额可以以类似于算法的方式构造，但是使得预先已知的Dk被选择为多项式中的自由项。在任一情况下，

是所有人都已知的，但是仅片(slice)Dk₁,Dk₂,...,Dk_N是集合中的每个参与者已知的。

由于所有参与者都知道第一公钥

他们可以计算

而无需广播其片d_A或Dk，因为第一V_1S私钥和第二V_2S私钥的关系是V_2S＝V_1S+Dk。各个份额

和Dk₁,Dk₂,...,Dk_N

保持仅对每个单独的参与者是已知的。

可以创建新地址P_2S并以及签名到其的交易tx，该交易改变谁控制主要资金。也就是说，从P_1S到P_2S的支付可以由地址P_1S的成员签名。

Dk集合可以被设置为来自P_1S集合中的组(阈值数量的或所有的成员)，也可以是新组。Dk的每个阈值片能够被分别分配，但是要记住，如果P_1S和Dk分别被控制，则这创建双重签名结构，其中，P_1S和Dk两者需要以各自的阈值率以签名交易tx。还应该指出，P_1S和Dk不要求相同的成员或相同的比例。

算法3签名生成

输入：

要签名的消息

e＝H(m).

私钥份额

其中，

确定性密钥份额

Dk₁,Dk₂,...,Dk_N，其中，

私钥份额

是借助于算法1生成的。确定性密钥份额Dk₁,Dk₂,...,Dk_N是使用随机常数作为多项式中的自由项，或者使用预先已知的确定性密钥Dk作为自由项，借助于算法1生成的。

输出：

签名

(r,s)，其中，

签名是使用将私钥d_A的份额和确定性密钥Dk的份额两者都结合到签名中的方法生成的。对此详细描述如下。

首先，每个参与者使用算法1生成临时密钥份额

接下来，使用上述算法1生成掩码份额

使用上述算法2生成零掩码份额

β_i∈Z_nc_i∈Z_n.

每个参与者都知道k_i,α_i,β_i,c_i，而其他任何人都不知道。

1)e＝H(m)

分发消息(要签名的交易)。广播

ν_i＝k_iα_i+β_imodn

以及

2)计算μ:＝Interpolate(ν₁,...,ν_N)modn

其中，α是与掩码份额α_i对应的私钥，运算“Interpolate(ν₁,....ν_N)”意味着例如通过使用拉格朗日插值系数从份额ν₁,....ν_N获得共享的秘密μ。

3)计算θ:＝Exp-Interpolate(ω₁,...,ω_N)modn

4)计算(R_x,R_y)，其中

5)限定

r:＝r_x＝R_xmodn.

如果r＝0，则重新开始。

6)广播

请注意，如果

和Dk_i表示不同的参与者集合，则来自每个集合的两个参与者必须通信以广播每个单独的S_i。

7)s：＝Interpolate(S₁，...，S_M)mod n

如果S＝0，则重新开始。

8)返回(r,s)

9)构造来自

的交易。这是具有(r,s)签名的标准比特币交易。在任何时候都没有重构d_A或Dk(除非Dk已与现有的已知值分开)。

参照图1，描述了一种实施本发明的方法，该方法用于转移对数字资产2(例如，加密货币(例如，比特币)的数量)的控制。首先，使用上述算法1，在多个第一参与者4之间分发第一私钥d_A的份额d_Ai。为了将资产2转移到第三方14，第一私钥d_A通过第一私钥d_A的第一阈值数量6的份额d_Ai是可访问的，而在没有第一私钥d_A的第一阈值数量6的份额d_Ai的情况下是不可访问的。确定性密钥D_k的份额D_ki在多个第二参与者4之间分发，使得确定性密钥D_k通过确定性密钥D_k的第二阈值数量10的份额D_ki是可访问的，而在没有第二阈值数量10的份额D_ki的情况下是不可访问的。在根据上述算法3的过程生成签名份额S_i之后，对数字资产2的访问基于第三阈值数量12的签名份额S_i由利用第二私钥d_A+D_k的数字签名提供。

现在转向图2，提供了可用于实践本公开的至少一个实施例的计算装置2600的说明性简化框图。在各种实施例中，计算装置2600可以用于实现以上示出和描述的任何系统。例如，计算装置2600可以被配置为用作数据服务器、网络服务器、便携式计算装置、个人计算机或任何电子计算装置。如图2所示，计算装置2600可以包括具有一个或多个级别的高速缓冲存储器和存储器控制器的一个或多个处理器(统称为2602)，该处理器可以被配置为与包括主存储器2608和永久存储装置2610的存储子系统2606通信。如图所示，主存储器2608可以包括动态随机存取存储器(DRAM)2618和只读存储器(ROM)2620。存储子系统2606和高速缓存存储器2602可以用于存储信息，例如与本公开中所描述的与交易和区块相关联的细节。(一个或多个)处理器2602可用于提供本公开中所描述的任何实施例的步骤或功能。

(一个或多个)处理器2602还可以与一个或多个用户接口输入装置2612、一个或多个用户接口输出装置2614以及网络接口子系统2616通信。

总线子系统2604可以提供用于使得计算装置2600的各个组件和子系统能够按预期彼此通信的机制。尽管总线子系统2604被示意性地示出为单个总线，但是总线子系统的替代实施例可以利用多个总线。

网络接口子系统2616可以提供至其他计算装置和网络的接口。网络接口子系统2616可以用作从不同于计算装置2600的其他系统接收数据以及将数据传输到其他系统的接口。例如，网络接口子系统2616可以使数据技术人员能够将装置连接至网络，使得数据技术员可以在位于远程位置(例如，数据中心)的同时，将数据传输到该装置并从该装置接收数据。

用户接口输入装置2612可以包括一个或多个用户输入装置，例如，键盘；诸如集成鼠标、轨迹球、触摸板或图形输入板等定点装置；扫描仪；条形码扫描仪；合并到显示器中的触摸屏；诸如语音识别系统、麦克风等音频输入装置；以及其他类型的输入装置。通常，术语“输入装置”的使用旨在包括用于将信息输入到计算装置2600的所有可能类型的装置和机构。

一个或多个用户接口输出装置2614可以包括显示子系统、打印机或诸如音频输出装置等非可视显示器。显示子系统可以是阴极射线管(CRT)、诸如液晶显示器(LCD)、发光二极管(LED)显示器或投影仪的平板装置或其他显示装置。通常，术语“输出装置”的使用旨在包括用于从计算装置2600输出信息的所有可能类型的装置和机构。一个或多个用户接口输出装置2614可以用于例如呈现用户界面以有助于用户与执行所描述的过程及其中的变型的应用的交互，当这样的交互是适当的时。

存储子系统2606可以提供计算机可读存储介质，该计算机可读存储介质用于存储可以提供本公开的至少一个实施例的功能的基本编程和数据构造。当由一个或多个处理器执行时，应用程序(程序、代码模块、指令)可以提供本公开的一个或多个实施例的功能，并且可以被存储在存储子系统2606中。这些应用程序模块或指令可以由一个或多个处理器2602执行。另外，存储子系统2606可以提供用于存储根据本公开而使用的数据的存储库。例如，主存储器2608和高速缓存存储器2602可以为程序和数据提供易失性存储。永久存储装置2610可以为程序和数据提供永久性(非易失性)存储，并且可以包括闪存、一个或多个固态驱动器、一个或多个磁性硬盘驱动器、一个或多个具有相关的可移动介质的软盘驱动器、一个或多个具有相关的可移动介质的光驱(例如，CD-ROM或DVD或Blue-Ray)驱动器，以及其他类似的存储介质。这样的程序和数据可以包括用于执行如本公开中所描述的一个或多个实施例的步骤的程序以及与本公开中所描述的交易和区块相关联的数据。

计算装置2600可以是各种类型，包括便携式计算机装置、平板计算机、工作站或以下描述的任何其他装置。另外，计算装置2600可以包括可以通过一个或多个端口(例如，USB、耳机插孔、闪电连接器等)连接到计算装置2600的另一装置。可以连接到计算装置2600的装置可以包括被配置为接受光纤连接器的多个端口。因此，该装置可以被配置为将光信号转换为电信号，该电信号可以通过将装置连接至计算装置2600的端口传输以进行处理。由于计算机和网络不断变化的性质，图2中所描绘的计算装置2600的描述仅旨在作为特定示例用于说明该装置的优选实施例的目的。具有比图2中描绘的系统更多或更少的组件的许多其他配置是可能的。

应当注意，上述实施例说明而不是限制本发明，并且本领域技术人员将能够设计许多替代实施例，而不脱离由所附权利要求限定的本发明的范围。在权利要求中，括号中的任何附图标记都不应解释为对权利要求的限制。单词“包括(comprising，comprise)”等不排除任何权利要求或整个说明书中列出的元素或步骤之外的元素或步骤的存在。在本说明书中，“包括(comprise)”是指“包括(include)或由……组成(consist of)”，“包括(comprising)”是指“包括(including)或由……组成(consisting of)”。元素的单数形式并不排除此类元素的复数形式，反之亦然。本发明可以通过包括几个不同元件的硬件以及通过适当编程的计算机来实现。在列举几个装置的装置权利要求中，这些装置中的几个可以由一个且相同的硬件来实施。在互不相同的从属权利要求中记载某些手段的事实并不表示不能有利地使用这些手段的组合。

参考资料

1)Ben-Or,M.,Goldwasser,S.,Wigderson,A.:“Completeness theorems fornoncryptographic fault-tolerant distributed computation(非密码容错分布式计算的完备性定理)”，在：Proceedings of the Twentieth Annual ACM Symposium on Theoryof Computing(第二十届ACM年度计算机理论研讨会论文集)，第1-10页，STOC’88,ACM,NewYork,NY,USA(1988年)

2)Chaum，David(1983)，“Blind signatures for untraceable payments(无法追踪支付的盲签名)”(PDF)，Advances in Cryptology Proceedings of Crypto，82(3)：199–203。

3)Desmedt.Yuo(1987)，“Society and Group Oriented Cryptography:A NewConcept(面向社会和群体的密码学：一个新概念)”，在A Conference on the Theory andApplications of Cryptographic Techniques on Advances in Cryptology(关于密码学进展的密码技术的理论和应用会议)(CRYPTO'87),Carl Pomerance(编).Springer-Verlag,London,UK,UK,120-127

4)Feldman.P.“A practical scheme for non-interactive verifiable secretsharing(一种用于非交互式可验证秘密共享的实用方案)”，Proceedings of the 28thIEEE Annual Symposium on Foundations of Computer Science(第28届IEEE计算机科学基础年度研讨会论文集)，1987年，第427-437页。

5)Gennaro,R.,Jarecki,S.,Krawczyk,H.,Rabin,T.:“Robust threshold DSSsignatures(稳健阈值DSS签名)”，在：Proceedings of the 15th Annual InternationalConference on Theory and Application of Cryptographic Techniques(第十五届国际密码技术理论与应用国际会议论文集)，第354–371页，EUROCRYPT’96,SpringerVerlag,Berlin,Heidelberg(1996)

6)Ibrahim,M.,Ali,I.,Ibrahim,I.,El-sawi,A.:“A robust thresholdelliptic curve digital signature providing a new verifiable secret sharingscheme(提供了一种新的可验证的秘密共享方案的稳健阈值椭圆曲线数字签名)”，在：Circuits and Systems,2003IEEE 46th Midwest Symposium on，卷1，第276–280页(2003)

7)Pedersen,T.:“Non-interactive and information-theoretic secureverifiable secret sharing(非交互式和信息论安全可验证的秘密共享)”，在：Feigenbaum,J.(编)Advances in Cryptology(密码学进展)—CRYPTO’91,LNCS,第576卷，第129–140页，Springer(1992)

8)Shamir,Adi(1979)，“How to share a secret(如何共享秘密)”，Communications of the ACM,22(11)，第612–613页

Claims

1.一种转移对数字资产的控制的方法，所述方法包括：

在多个第一参与者中分发至少一个第一秘密值的份额，其中，至少一个所述第一秘密值是具有同态性质的密码系统的第一私钥-公钥对的第一私钥，所述第一秘密值通过所述第一秘密值的第一阈值数量的所述份额是能够访问的，在没有所述第一秘密值的所述第一阈值数量的份额的情况下是不能够访问的，并且对所述数字资产的访问通过利用所述第一私钥对第一加密消息的数字签名来提供；

在所述多个第一参与者中分发至少一个第二秘密值的份额，其中，至少一个所述第二秘密值是所述密码系统的确定性密钥，所述第二秘密值通过所述第二秘密值的第二阈值数量的所述份额是能够访问的，在没有所述第二秘密值的所述第二阈值数量的份额的情况下是不能够访问的；

生成至少一个第三秘密值的份额，其中，至少一个所述第三秘密值是利用所述第二私钥签名的所述第二加密消息，并且其中，所述第二加密消息能够通过所述第三秘密值的第三阈值数量的所述份额利用所述第二私钥来签名，在没有所述第三秘密值的所述第三阈值数量的份额的情况下不能被签名。

2.根据权利要求1所述的方法，还包括：将所述确定性密钥的通过所述密码系统加密的版本分发给多个第二参与者，其中，所述同态性质使能够从所述第一公钥和所述确定性密钥的所述版本导出所述第二公钥。

3.根据前述权利要求中的任一项所述的方法，其中，传送给每个所述第一参与者和/或第二参与者的份额对于每个其他的所述第一参与者和/或第二参与者是不能够访问的。

4.根据前述权利要求中的任一项所述的方法，其中，将所述份额传送给每个所述第一参与者和/或第二参与者的步骤包括：向所述或每个所述第一参与者和/或第二参与者提供相应的加密通信信道。

5.根据前述权利要求中的任一项所述的方法，其中，分发至少一个所述第一秘密值的份额的步骤包括：

从多个所述第二份额形成所述第一秘密值的第三份额，其中，需要所述第一阈值数量的第三份额以便使得能够确定第一秘密值。

6.根据权利要求5所述的方法，其中，所述第四秘密值和第五秘密值的第一份额和第二份额通过相应的沙米尔Shamir秘密共享方案来创建。

7.根据权利要求5或6所述的方法，还包括：将通过所述密码系统加密的所述第一份额的版本传送给多个所述第四参与者中的每一个。

8.根据权利要求5至7中的任一项所述的方法，还包括：确定通过所述密码系统加密的至少一个第一秘密值的版本。

9.根据权利要求5至8中的任一项所述的方法，其中，多个所述第一份额是第一多项式函数的相应值，并且通过从所述第一阈值数量的所述份额推导出多项式函数来确定第一秘密值。

10.根据权利要求5至9中的任一项所述的方法，其中，多个所述第一份额是第二多项式函数的相应值，并且所述方法还包括：将通过所述密码系统加密的所述第二多项式函数的系数的版本传送给多个所述第四参与者中的每一个。

11.根据权利要求5至10中任一项所述的方法，还包括：验证直接从所述第三参与者接收的所述第一份额与通过所述密码系统加密并且从多个所述第四参与者接收的所述第一份额的版本的一致性。

12.根据权利要求5至11中的任一项所述的方法，还包括：验证通过所述密码系统加密并从一个所述第四参与者接收的所述第一份额的版本与通过所述密码系统加密并从另一所述第四参与者接收的所述第一份额的版本的一致性。

13.根据权利要求5至12中的任一项所述的方法，还包括以下步骤：向多个第四参与者分发具有零值的第六秘密值的相应的第四份额，其中，所述第四份额通过所述密码系统的至少一个第五私钥-公钥对被加密。

14.根据权利要求5至13中任一项所述的方法，还包括：从所述第四参与者接收至少一个所述第四份额，并从所述第三份额和所述第四份额形成所述第一秘密值的第五份额，其中，需要第六阈值数量的第五份额以便使得能够确定第一秘密值。

15.根据权利要求5至14中任一项所述的方法，其中，至少一个所述第一秘密值通过联合随机秘密共享JRSS在多个所述第一参与者之间共享。

16.根据权利要求15所述的方法，其中，共享至少一个所述第一秘密值包括共享由联合零秘密共享JZSS生成的掩码份额。

17.根据前述权利要求中任一项所述的方法，其中，所述密码系统是椭圆曲线密码系统，每个所述公钥-私钥对的所述公钥通过椭圆曲线生成器点与对应的私钥的相乘而与所述私钥相关，并且所述第二私钥通过所述确定性密钥与所述第一私钥的相加而与所述第一私钥相关。

18.一种计算机实现的系统，包括：

处理器；以及

包括可执行指令的存储器，所述可执行指令由于处理器的执行而使该系统执行根据权利要求1至17中任一项所述的计算机实现的方法的任何实施方式。

19.一种非暂时性计算机可读存储介质，其上存储有可执行指令，所述可执行指令由于被计算机系统的处理器执行而使计算机系统至少执行根据权利要求1至17中任一项所述的方法的实施方式。