CN112041842A - 数字资产托管系统 - Google Patents
数字资产托管系统 Download PDFInfo
- Publication number
- CN112041842A CN112041842A CN201980028214.0A CN201980028214A CN112041842A CN 112041842 A CN112041842 A CN 112041842A CN 201980028214 A CN201980028214 A CN 201980028214A CN 112041842 A CN112041842 A CN 112041842A
- Authority
- CN
- China
- Prior art keywords
- user
- transaction
- endorsement
- private key
- public
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012502 risk assessment Methods 0.000 claims abstract description 26
- 238000003860 storage Methods 0.000 claims abstract description 23
- 238000000034 method Methods 0.000 claims description 65
- 230000009471 action Effects 0.000 claims description 30
- 230000008569 process Effects 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 13
- 238000013475 authorization Methods 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 2
- 238000004590 computer program Methods 0.000 claims 1
- 230000006870 function Effects 0.000 abstract description 9
- 238000012795 verification Methods 0.000 abstract description 9
- 238000012423 maintenance Methods 0.000 abstract description 2
- 230000008520 organization Effects 0.000 description 29
- 238000012545 processing Methods 0.000 description 14
- 238000012552 review Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 7
- 230000015654 memory Effects 0.000 description 6
- 230000000694 effects Effects 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 230000008859 change Effects 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000003491 array Methods 0.000 description 3
- 238000012550 audit Methods 0.000 description 3
- 230000001815 facial effect Effects 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- AMGNHZVUZWILSB-UHFFFAOYSA-N 1,2-bis(2-chloroethylsulfanyl)ethane Chemical compound ClCCSCCSCCCl AMGNHZVUZWILSB-UHFFFAOYSA-N 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000000151 deposition Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003203 everyday effect Effects 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 230000003936 working memory Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/04—Payment circuits
- G06Q20/06—Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme
- G06Q20/065—Private payment circuits, e.g. involving electronic currency used among participants of a common payment scheme using e-cash
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
- G06F21/645—Protecting data integrity, e.g. using checksums, certificates or signatures using a third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q2220/00—Business processing using cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Polarising Elements (AREA)
- Molds, Cores, And Manufacturing Methods Thereof (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
公开了一种用于维护加密货币和/或其它数字资产的托管并控制对加密货币和/或其它数字资产的访问的数字资产托管系统。该数字资产托管系统包括多层安全,以使得能够以安全方式维护大量数字资产。该数字资产托管系统可以包括基于生物特征识别的多用户验证、交易风险分析、以及提供认证/验证功能和数字资产的私钥的安全存储的硬件安全模块(HSM)的组合。
Description
本申请要求2018年2月27日提交的美国临时专利申请62/636,106、2018年3月8日提交的美国临时专利申请62/640,429、以及2018年6月18日提交的美国专利申请16,011,529的权益,这三个申请各自通过引用而被全部包含于此。
技术领域
本发明的至少一个实施例涉及计算机系统,并且更特别地,涉及用于维护诸如加密货币等的数字资产的托管的计算机实现的系统。
背景技术
近年来,诸如比特币(Bitcoin)、以太坊(Ethereum)和瑞波币(Ripple)等的加密货币已开始普及并获得价值,并且许多人期望继续如此。每天基于加密货币进行的交易的种类越来越多,并且可以想象,将来可能产生新类型的加密资产,即不一定是货币的加密资产。
随着加密资产的使用越来越多,需要可以安全地存储大量加密资产并且控制对这些加密资产的访问的可信托管系统。事实上,美国证券法规要求代表另一方持有超过一定量资金(例如,1.5亿美元)的某些实体使用托管机构来持有这些资金。有时使用硬件钱包和其它形式的“冷存储”来存储加密货币,然而,这些装置将访问仅限制到装置的所有者,因此不适合许多商业用途,其中在这些商业用途中,许多个人可能需要访问加密资金或其它加密资产。
附图说明
本发明的一个或多个实施例是在附图的各图中通过示例而非限制性的方式示出的,其中相同的附图标记表示相似的元素。
图1是加密资产托管系统(CCS)的高级框图。
图2A是示出利用CCS的存入(deposite)处理流程的示例的示意图。
图2B是示出该存入处理流程的示例的流程图。
图3A是示出利用CCS的取出(withdrawal)处理流程的示例的示意图。
图3B是示出该取出处理流程的示例的流程图。
图4是示出硬件安全模块(HSM)结合所请求的操作所进行的处理的示例的流程图。
图5是示出用于使用离线用户装置来对所请求的交易进行背书(endorse)的处理的示例的流程图。
图6是示出可用于实现CCS或用户装置的一部分或全部的处理系统的硬件架构的示例的高级框图。
具体实施方式
在本说明书中,对“实施例”或“一个实施例”等的引用意味着正描述的特定特征、功能、结构或特性包括在这里介绍的技术的至少一个实施例中。在本说明书中这些短语的出现不必全部指代同一实施例。另一方面,所提到的实施例也不必相互排斥。
综述
这里介绍一种计算机实现的加密资产托管系统(CCS),即用于维护加密货币和/或其它加密资产的托管并且控制对加密货币和/或其它加密资产的访问的计算机实现的系统。CCS可以由商业企业(在这里被称为加密资产托管机构)拥有和/或运营。CCS包括多层安全,以使得能够以安全方式维护大量加密资产。在某些实施例中,CCS包括基于生物特征识别的多用户验证、交易风险分析、以及使用硬件安全模块(HSM)来提供认证/验证功能以及加密资产的私钥的安全存储的组合。此外,可以将两个或更多个不同的生物特征认证技术应用于任何给定的交易请求。如本文所使用的,术语“硬件安全模块”或“HSM”是指用于保护和管理认证所用的数字密钥并提供加密处理功能的专用物理计算装置。HSM可被体现为插入卡或者直接附接至计算机的外部装置。
在某些实施例中,当用户请求涉及加密资产的交易(诸如加密货币资金的取出或转移等)时,CCS使得将背书请求消息发送至多个用户装置中的各用户装置,其中各用户装置与已被定义为针对涉及该加密资产的交易的规定数量(quorum)的潜在成员的不同用户相关联(在其它实施例中,多个用户可以共用同一用户装置)。该背书请求消息被配置为使得各接收用户装置提示其用户提供所请求的交易的背书。该上下文中的背书是用户对操作的批准或拒绝。当接收到这样的提示的用户在他或她的用户装置(例如,智能电话、平板或笔记本计算机)上对交易进行背书时,该用户装置用该用户的私钥对背书消息进行签名,并将已签名的背书消息发送至CCS。该私钥存储在用户装置内的安全指定位址空间中。各用户装置中的安全指定位址空间用于存储相应用户的私钥并生成该用户的数字签名。
HSM判断基于策略的规定数量的多个用户是否背书(批准)了所请求的动作,诸如加密货币资金的取出或转移等。在从用户接收到的背书消息中,HSM通过针对多个用户中的各用户用公钥-私钥对中的公钥验证签名来实现这一点。仅在判断为基于策略的规定数量的多个用户已正当地背书了所请求的动作之后,HSM然后才允许自身访问HSM先前生成的该特定加密资产的私钥(例如,供加密货币基金的特定存入用),并且使用该私钥来对交易进行签名作为交易可以继续进行的授权。该加密资产的私钥仅存储在HSM中,这不许可HSM外部的任何实体读取该密钥。交易的批准例如可以包括将交易发送到已知的区块链网络上。在某些实施例中,HSM对交易的批准仅在所请求的交易通过了可能是部分或完全自动化的风险评审的情况下和之后才发生。其它详情将通过以下的说明变得显而易见。还注意,认为这里所介绍的系统和技术可用于除加密资产之外的其它类型的数字资产的安全托管。
现在参考图1,图1示出CCS的高级框图。在所示的实施例中,CCS 1包括在线服务器2、中继服务器3、风险分析阶段4、HSM 5和数据存储设施6。数据存储设施6可以包括一个或多个数据库,该一个或多个数据库可以是或包括关系数据库或者用于以组织方式存储数据的任何其它类型的机构,其中数据可以是结构化数据和/或非结构化数据。HSM 5还包括自身的内部安全存储设施7。注意,在CCS 1中可以存在上述组件中的各组件的多个实例,尽管示出各组件的仅一个实例以简化说明。一个或多个用户装置8(也称为客户端)可以经由诸如因特网等的公共计算机网络9与CCS 1进行通信。各个用户装置可以是例如智能电话、平板计算机、膝上型计算机和台式计算机等中的任一个。各用户装置8可以包括诸如基于iOS的安全指定位址空间等的安全指定位址空间14,该安全指定位址空间14用于存储相应用户的私钥并且生成该用户的数字签名。在至少一些实施例中,各用户装置8与不同的用户相关联,并且之后的说明书采用这样的实施例来便于说明。然而,注意,可以具有多个用户共用同一用户装置8的实施例。
中继服务器3充当虚拟空气间隙,以将HSM 5与公共计算机网络9隔离。中继服务器3和HSM 5在安全区10内工作。HSM 5可以从物理上驻留在无法直接访问任何外部网络的物理上安全的数据中心中。HSM 5和在线服务器2之间的消息在半双工(仅外传请求-响应)连接上路由到安全区10中的中继服务器3。中继服务器3在与在线服务器2进行通信时使自身从安全网络断开,并且在与HSM 5进行通信时使自身从所有的外部网络断开,使得不能从外部建立与这些装置的交互式会话。这为关键基础设施提供了虚拟“空气间隙”安全。
在某些实施例中,CCS 1还可以访问与CCS 1具有托管权的加密资产相对应的至少一个区块链网络11。对区块链网络11的访问可以经由公共计算机网络9(例如,因特网)。
在一些实施例中,CCS 1的客户所提交的各交易均将经历可以是部分或完全自动化的风险分析阶段4。例如,在CCS 1的一些实施例中,人工风险分析代理可以评价风险评审仪表板上所显示的自动风险分析软件的输出,以决定交易是否已被充分授权而被接受。风险分析代理或软件可以遵循在各单独保险库上设置的策略,并且可以查看各种风险信号(例如,交易金额、授权该交易的用户的数量、请求和批准交易的地点、目的地地址)中的任何风险信号,以计算可能导致批准交易或请求更多信息的最终风险得分。
存入
现在参考图2A和2B,图2A和图2B示出利用CCS 1存入诸如一定数额的加密货币等的加密资产的处理的示例。存入是由客户通过在客户的用户装置8上执行的软件应用(以下简称“CCS应用”)(未示出)经由因特网来发起的。这可以通过客户在CCS应用中选择资产类型并请求给定数额的存入来进行。一旦发起,对区块链存入地址的请求然后被发送至在线服务器2,该在线服务器2接收到该请求(步骤201),并且将请求经由中继服务器3转发到HSM5(如上所述,HSM 5通过中继服务器3与因特网隔离)(步骤202)。然后,HSM 5生成新的公钥-私钥对21(步骤203)以唯一地对应于该存入,即对应于所请求的区块链地址。在某些实施例中,HSM 5使用相关组织的私钥以及密钥导出函数(KDF)来生成用于区块链地址的新密钥对。如以下进一步论述的,该上下文中的“组织”是与特定客户相对应的数据结构。新生成的密钥对中的私钥不能从HSM 5中提取,但可以安全地备份在加密文件中。HSM 5内部的密钥生成确保了私钥21仅存在于HSM 5内,在世界上任何其它地方都不可用,并且不能由HSM 5外部的任何实体访问。
接着,HSM 5根据新创建的密钥对中的公钥生成存入所用的区块链地址(步骤204)。这可以通过使用众所周知的区块链地址的公钥的特定于区块链的变换来实现。然后,HSM 5用组织的私钥对区块链地址进行签名(步骤205),并将已签名的区块链地址返回到在线服务器2。然后,在线服务器2使得将已签名的区块链地址22发送至客户的用户装置8(步骤206),以使得用户装置8以易于使用的格式(例如,作为QR码)在用户装置上的CCS应用中向客户呈现该地址,以用作区块链交易中的目的地地址。用户装置上的CCS应用在将地址呈现给客户之前核实地址的签名(步骤207)。
客户的用户装置8使用组织的公钥(该公钥是先前从CCS 1接收到并本地存储的)来核实该用户装置8从CCS 1接收到的区块链地址的真实性。然后,客户发起交易以将资产存入到CCS 1中(步骤208)。该交易可以是从交易所、从客户的个人钱包、或者从另一加密资产商店发起的。资产无需确认即可出现在CCS 1中。
存入的地址与CCS 1中属于客户的其它地址一起存储在集合(被称为客户的“保险库”)中。该上下文中的保险库是包含资产和策略图的数据实体,该策略图包含用于管理从这些资产的存入和取出的一个或多个策略。加密资产被表示为可以保持一定数额的资产类型(例如,比特币、以太坊)的保险库内的槽。一旦利用CCS 1托管并存入,资产就完全在CCS1的控制下。
在线服务器2判断客户是否在所定义的时间段内确认了交易(步骤209、210)。一旦存入交易由客户确认并且在区块链上被确认,在线服务器2就向客户通知该情况(步骤211),并且资产被视为由CCS 1托管。在所定义的时间段内未接收到确认的情况下,在线服务器向客户通知交易中的错误(步骤212)。
取出
图3A和3B示出取出一定数额的先前存入的加密资产(诸如加密货币等)的处理的示例。取出可以通过选择要取出的特定加密资产和数额来从用户装置8A上的CCS应用发起。一旦发起,使所有的授权方都知晓取出请求并且要求所有的授权方在它们的移动装置8A和8B上单独授权。
在该处理期间,要求用户评审交易并批准交易,其中各用户的批准均经过生物特征认证(例如,指纹、面部识别和/或语音识别)。在某些实施例中,在取出可以成功地继续移动到下一阶段之前,每个请求都被发送到风险分析阶段,以便对可疑活动进行检查并被授权为合法。HSM 5验证为所定义的规定数量(例如,大多数)的用户授权了交易,并且该交易由风险评审阶段4批准。例如,对于拥有需要转移资金能力的五名不同雇员的特定公司客户,适当的规定数量配置可能是需要由这五名雇员中的三名组成的组来移动任何资金。然后,HSM 1继续进行签名并将资产流动交易提交给区块链11。
在图3B中进一步示出取出处理的示例。在线服务器2最初从客户接收到取出请求31(步骤301)。然后,在线服务器2检查针对作为交易的对象的加密资产的批准策略(如在加密资产的保险库中所示)(步骤302),以确定哪些个人的授权(背书)可用于满足用以批准该取出的规定数量。然后,在线服务器2将背书请求发送至这些个人的移动装置8A、8B(这些移动装置先前已在CCS 1中登记)(步骤303)。响应于这些请求,可以从用户的移动装置8A、8B接收到一个或多个背书消息,其中如以下进一步所述,这些背书消息由在用户各自的移动装置中安全地存储的这些用户各自的私钥本地签名,并且经过一个或多个生物特征认证技术。因此,如在针对该加密资产的策略中指定的,在线服务器2判断在超时时间段内是否接收到规定数量的授权并且是否认证了相应的授权方(步骤304)。如果为“是”,则在线服务器2将交易请求31传递到风险分析阶段4(步骤305)。否则,在线服务器将交易拒绝通知至少发送至请求了该交易的用户(以及可能地发送至在针对该加密资产的策略中识别的所有其它用户)(步骤310)。
风险分析阶段4进行如上所述可以是完全或部分自动化的风险分析(步骤306),或者在一些实施例中,可以完全由一个或多个人(基于计算机输出数据)进行。如果交易通过风险分析(步骤306),则控制流程传递到HSM 5,该HSM 5通过进行与步骤304相同的判断或类似的判断,核实满足了规定数量要求(步骤308),风险分析阶段4也是如此(步骤306)(以下进一步描述)。如果HSM 5核实为满足规定数量,则HSM用区块链地址的私钥对取出交易进行签名,并将该交易提交到区块链11上以执行取出(步骤309)。否则,HSM 5向在线服务器2以信号方式发送失败,该在线服务器2作为响应将交易拒绝通知至少发送至请求该交易的用户(以及可能地发送至在针对该加密资产的策略中识别出的所有其它用户)(步骤310)。
用户认证
如上所述,当用户对交易请求进行背书时,用户由他们的移动装置和/或CCS 1进行一个或多个形式的认证,以确定这些用户是采取动作的预期人员。这些认证形式可以包括一个或多个生物特征认证技术,诸如指纹核实、声纹核实、语音识别、面部识别和/或手势识别等。用户的移动装置(例如,智能电话)可以进行这些认证技术中的一个或多个。
附加地或可选地,还可以要求用户将利用他们的移动装置所拍摄到的视频上传到CCS 1,其中例如通过以下可以从该视频中证明用户的身份:对照已知面部的图像(例如,用户的以前视频)来识别视频中的用户的面部;对照用户的经训练的语音配置文件来识别视频中的用户的语音;基于交易来要求用户在视频中说出特定词语或采取特定动作(参见以下的进一步论述);要求用户作出先前指定的姿势、或者在痛苦时做出痛苦姿势;要求用户在视频上识别这些用户处于的预期房间;以及/或者其它的进行被认为是提高用户是他或她声称是谁的置信度水平的任何其它动作。
当判断为有必要时,可以要求用户完成质询,以证实他或她实际上是被授权对交易采取动作的人。这些质询可以是基于交易的上下文而确定性地生成的。例如,基于交易中的诸如ID、数额、目的地等的关键信息,CCS 1可以生成可用于从一组已知词语中选择几个(例如,三到五个)词语的随机数。CCS 1可以将这些词语呈现给用户,并让用户在用户的移动装置所拍摄到的视频中说出这些词语,然后用户的移动装置将该视频发送至CCS 1。在评审交易时,评审机构或人工评审人员可以基于交易数据来独立地生成预期词语,并且核实用户是否说出了这些词语。该视频也可以经受面部和/或语音识别。通过进行这种确定性质询生成,可以防止攻击者通过拍摄并重用来自用户的先前发送的认证视频来伪造交易。
HSM逻辑
HSM 5的主要作用是核实操作的正当性。HSM 5通过HSM对密钥的特权访问执行签名者的意愿并且认证了签名者是操作的授权方。对交易进行签名所需的密钥安全地存储在HSM 5中,并且永远不会离开。在一些实施例中,HSM 5通过安全执行环境(SEE)来加强这些策略,该SEE运行除了对HSM 5的物理访问以外不能更改的代码,并且需要由加密资产托管机构的多名员工安全地持有的一组智能卡。
在某些实施例中,为了促进上述功能,HSM 5在其内部存储装置7中存储被称为“组织”的数据结构的多个实例,即针对加密资产托管机构的各客户存储一个实例。组织数据结构可以包含以下的字段:组织的标识符(ID)、组织的名称、组织的公钥、属于组织的用户的列表、策略图、属于组织的保险库及其各自的策略图的列表、以及在每次更新组织结构时递增的生成编号。“策略图”是包括针对可以执行的各可能动作(例如,添加用户、改变保险库策略等)的一个策略的一组策略。组织由HSM使用该组织的私钥(其存储在HSM 5中且不能由任何外部实体读取)签名,以表明组织是通过由用户和风险评审人员授权的一组有效的改变而产生的。HSM跟踪最新版本以防止回滚攻击。
为了加入新客户,HSM 5创建新的组织实例。为了帮助确保充分安全,HSM 5可以利用已在组织中的所请求的一组用户来创建该组织。在一些实施例中,HSM 5必须针对以这种方式创建的每个新组织生成新的唯一密钥。这防止了攻击者要求HSM 5生成具有与现有组织相同的ID的“新”组织并欺骗用户信任该“新”组织。
图4示出在至少一些实施例中、可以由HSM 5响应于用以执行操作的请求而进行的处理的示例。该请求可以由HSM 5从中继服务器3接收到。最初,HSM 5从中继服务器3接收指定组织的操作描述(步骤401)。该操作描述是描述所请求的操作(诸如所请求的加密货币的存入、取出或转移等)的一组数据和元数据。然后,HSM 5核实所指定的组织的完整性(步骤402)。
然后,HSM 5在组织或保险库的策略图中查找策略(步骤403)。然后,HSM 5查看内部风险评审人员的策略,以确定必须实现哪些内部风险背书以及多少内部风险背书(即,加密资产托管机构的人员的背书)(步骤404)。接着,HSM 5判断(从用户)接收到的背书中的任何背书是否表示“拒绝(REJECT)”所请求的操作(步骤405)。如果为“是”,则HSM 5通过向中继服务器返回“拒绝”消息来拒绝所请求的操作(步骤411),中继服务器随后将相应的“拒绝”消息返回到在线服务器,以使得向请求方进行通知。在这种情况下,HSM 5不费心检查签名,并且仅仅拒绝该操作。
然后,HSM 5判断所有接收到的针对交易的背书是否有效(步骤406)。这包括:通过检查以下内容来核实所提供的背书的正当性:i)用户在组织中;ii)签名对于所指定的操作而言是正确的;以及iii)各个签名具有“批准”决定。如果并非所有接收到的针对交易的背书都是有效的,则处理进入如上所述的步骤411。
如果所有接收到的针对交易的背书都是有效的,则HSM 5然后判断背书是否满足对象加密资产的相关策略(即,满足所指定的规定数量)(步骤407)。如果有效的背书不满足该策略,则处理进入如上所述的步骤411。如果背书满足该策略,则HSM 5判断所请求的操作是否通过风险分析阶段(步骤408)。如果为“否”,则处理进入如上所述的步骤411。如果所请求的操作通过了风险分析阶段,则HSM 5判断所请求的操作是否有效(步骤409)。该步骤可以包括:核实为操作在内部是一致的,并且可以将操作应用于该操作所针对的组织、保险库或资产。如果所请求的操作无效,则处理进入如上所述的步骤411。否则,HSM 5执行所请求的操作(或触发使得执行该操作的动作)(步骤410)。用以改变组织、保险库或策略的操作产生了具有更高的生成值和应用了改变的新的已签名的组织数据结构。用以取出资产的操作使得HSM 5利用与对象资产相对应的私钥对区块链交易进行签名。用以存入资产的操作使得HSM 5生成存入地址。
离线装置背书
作为用于降低用户与他们的个人装置上的CCS应用交互的风险的方法,CCS 1可能需要来自离线装置的授权。该装置(诸如具有安全指定位址空间的消费者电话或iPodTouch等的类似功能的计算装置等)将在其正常状态下与因特网完全断开,并且以离线方式用于对授权所需的交易进行签名。
可以如下执行该处理。用户的电话或类似装置是他或她的保险库策略的规定数量的成员并且未连接至任何无线或蜂窝网络。该装置运行与用于使得用户能够对所请求的交易进行背书的CCS应用软件类似的软件、或者以不同模式工作的相同软件。用户通过规定数量中的不同装置发起针对他/她的保险库的交易。诸如另一电话或web浏览器等的在线装置有权访问该交易。在线装置可以是规定数量中的另一电话/安全装置,或者在线装置可以仅仅为了显示交易而存在。装置能够将需要由离线装置签名的数据发送至离线装置。这可以通过不能通过因特网访问的通道(诸如显示QR码、播放对数据进行编码的声音或声音序列、或者通过蓝牙发送等)来实现。离线装置显示为了离线装置签名所发送的数据,以供用户批准或拒绝。离线装置基于用户的期望动作来对操作的背书进行签名。离线装置以与接收方式类似的方式(例如,显示QR码、播放对数据进行编码的声音或声音序列、或者通过蓝牙发送)将其已签名的有效载荷通信回至在线装置。在线装置将已签名的决定有效载荷通信回至CCS 1的在线服务器。
图5是根据某些实施例的进一步示出该处理的流程图。在线用户装置经由因特网从CCS接收操作描述(步骤501)。然后,在线用户装置将该操作描述(或其一部分)经由离线通道发送到离线用户装置文件(步骤502)。如上所述,离线通道是不能通过因特网访问的通道,诸如利用在线用户装置的本地视觉显示、在线用户装置所生成的声音或声音序列、或者(例如,经由蓝牙)来自在线用户装置的短距离无线发送等。离线用户装置经由离线通道从在线用户装置接收操作描述(步骤503),并且基于由此接收到的信息,显示操作描述(或其一部分),并且向用户提示该操作的背书(步骤504)。如果离线装置在超时时间段内接收到有效背书作为用户输入(步骤505),则离线装置将“接受(ACCEPT)”消息经由该离线装置接收到操作描述的同一离线通道或者经由不同的离线通道发送至在线用户装置(步骤506)。然后,在线用户装置从离线装置接收到背书的结果(步骤507),并且将结果有效载荷经由因特网发送至CCS(步骤509)。如果离线用户装置在超时时间段内未从用户接收到有效背书(步骤505),则离线用户装置将“拒绝(REJECT)”消息经由离线通道发送至在线用户装置,而在线用户装置将该“拒绝”有效载荷经由因特网发送至CCS(步骤508)。
离线装置可以以其安全密钥预先登记在组织中的状态被交付至用户,或者可以允许离线装置在线以进行初始登记处理,或者离线装置可以通过与授权处理相同的过程来发送其登记。
可能需要周期性地更新离线装置上的CCS软件。为了允许这样的更新,离线装置可按预定义的节奏被安排经由Wi-Fi连接至因特网并更新其软件,或者离线装置可以检测到作为从在线用户装置接收到要签名的交易的结果(表明离线装置上的软件版本不再兼容)而需要更新其软件。每当该装置在线时,该装置可以记录该装置可以访问因特网这一事实并尝试将该事实发送至CCS 1以使得该信息可用于由平台在稍后时间评估风险。
除了保持离线之外,离线用户装置以及一个或多个在线装置可被限制成仅在预定义信标的范围内对交易采取动作。可以使无线(例如,蓝牙(Bluetooth))信标装置对用户可用,并且除非CCS应用检测到信标可用,否则CCS应用可以拒绝授权交易。
可审计性和所有权证明
提交给CCS 1的每个交易均记录在内部分类账中,该内部分类账是防篡改的,且允许审计员在每个用户的账户具有每个历史事件的加密证据。区块链资产的所有权通过拥有与公用钱包地址相对应的私钥来控制。CCS可以通过利用与用户的保险库相对应的私钥对审计员所选择的一串随机选择文本进行签名来向审计员证明这些资产的所有权。考虑以下示例:
审计员希望看到CCS有权访问由地址“1BvBMSEYstn5Au4m4GFg7yJaNVN2”标识的钱包中的资金的证据。因此,审计员随机地生成长字符串(例如,“xGG8vQFnd8QDwHz6Uj1GX”),并且提交以下质询:
CCS 1接收质询并将该质询作为预定义的模板化序列化包转发给HSM 5。HSM 5被编程为接受这样的审计请求(其不是任意的有效载荷,因此不存在随后被解释为已签名的区块链交易的风险),并且用与所指定的地址相关联的私钥对这些审计请求进行签名。然后,CCS 1针对审计员可以独立核实的质询返回有效签名。该核实证明了CCS 1能控制与区块链上的条目相对应的私钥,从而实现对资产的控制的证明。
阈值化服务
在某些实施例中,CCS 1包括阈值化服务,该阈值化服务使得系统的其它部分(风险分析阶段4和HSM 5)能够安全地判断为用户操作和交易遵循了客户特定的业务逻辑,并且已被人工/自动风险评审系统批准。阈值化服务可以核实多重签名(多用户)规定数量以实现这一点。
阈值化服务验证由用户发起并批准的操作,以确保这些操作在被执行之前已符合阈值规定数量。这样的操作可以包括交易、添加或删除其它用户等。不同的用户可以具有不同的访问控制作用(例如,仅查看、仅发起交易、可授权、必需)。CCS 1能够向每个可报告状况通知规定数量接受生命周期,但不能签署同意未被客户授权的操作。所有动作都被载入日志在仅追加分类账中,以用于所有账户的可审计性。
阈值化服务的一个功能是核实规定数量的授权用户已签署同意了所请求的操作。可能需要规定数量的合格操作例如可以包括:提出交易(例如,“取出100比特币”)、将用户添加到账户、更改用户的权限、将用户从账户中删除、以及更改阈值化逻辑。默认情况下,规定数量可被定义为绝对多数的用户(例如,5个中的3个),或者规定数量可以在客户加入时被设置为自定义规定数量。此外,授权用户可以配置规定数量,以要求某些特定用户对交易进行背书,以构成规定数量。CCS 1还可以允许跨多个所需组的阈值化。例如,在公司中,可能要求财务团队的大多数以及前线办公室签署同意。
在某些实施例中,阈值化服务在其规定数量核实中实现了细粒度访问控制模型,其中不同用户可以具有不同的访问级别,这些访问级别可以包括以下的级别,例如:
-仅查看
-这是默认访问级别
-该级别的用户可以查看所有的资产位置
-该级别的用户可以标记任何交易
-该级别的用户可以冻结所有资产
-查看-授权
-该级别的用户可以充当朝向规定数量的动作的授权投票
-该级别的用户可以查看所有资产位置
-该级别的用户可以标记任何交易
-该级别的用户可以冻结所有资产
-查看-授权-必要
-该级别的用户是动作的所需投票
-该级别的用户可以查看所有资产位置
-该级别的用户可以标记任何交易
-该级别的用户可以冻结所有资产
在某些实施例中,用户的访问级别可以仅随着通过阈值化服务核实的适当核实规定数量而改变。
如上所述,用户对动作的批准可以由加密数字签名表示,以受益于不可抵赖性保证。加密资产托管机构可以确定持有私钥的关联用户确实是批准该动作的用户,因为数字签名是无法伪造的。在某些实施例中,用户的签名是从用户的移动装置中的iOS安全指定位址空间生成的,并且由用户装置8中的iOS应用编程接口(API)组件转发到CCS 1。可以对交易内容的加密哈希进行签名,以确保交易无法被篡改。可能需要所有用户对交易标识符(ID)相同的相同哈希进行签名,以便签名计入规定数量。阈值化服务可以提供供客户端签名的模板,并且可以核实iOS客户端所完成的所有已完成签名。在至少一些实施例中,阈值化服务用用户签名密钥的公共组件核实签名,但不持有这些用户签名密钥的私有组件。
一旦满足了阈值,阈值化服务将相应的签名数据发布到风险分析阶段,以由风险分析阶段在签署同意之前进行进一步分析,并且将签名数据序列化为HSM签名服务所要消耗的有效载荷。可以将提供给阈值化服务和核实的各附加签名记录在仅追加日志服务中。这除了将提供阈值化服务的存储装置中所捕获到的元数据以外,还将提供附加审计和状况更新,这对于向用户客户端提供可消耗的更新将是至关重要的。
维持规定数量活性
假定规定数量的授权成员可用于对交易进行加密签名。因此,规定数量应保持“活跃”,即在任何给定时间,CCS 1都具有规定数量的所有潜在成员都维持拥有他们的安全装置密钥并且积极参与交易的合理置信度。在某些实施例中,CCS 1可以进行以下操作,以达到该级别的置信度:
1.有权访问实现策略的规定数量所需的用户公钥的集合。
2.设置策略的活性阈值,即时间量,在该时间量之后认为密钥存在不可用风险。这可以是固定的,或者可以与正常交易节奏相关。
3.要求用户用他们的私钥周期性地对证明交易进行签名。这可以作为活性检查而是显式的,或者通过需要他们的密钥进行诸如登录等的常规操作而是隐藏/隐式的。
4.记录任一个或多个用户的密钥的最新活动时间。
5.持续监视任何用户的活动时间是否超过了活性阈值。
6.使用上述信息来提示用户证明这些用户仍有权访问他们的签名密钥和/或向其它用户通知规定数量可能存在风险。
风险分析阶段
风险分析阶段4可以实现被称为风险API的API,并且还可以包括对所有交易和管理用户操作的人工评审。在一些实施例中,风险API驱动人工评审系统。风险API可以提供与内部风险仪表板的集成,以供加密资产托管机构的员工手动评审各交易。
在某些实施例中,所有交易都由指定员工手动批准;所有管理用户操作(添加、删除、权限更改)都由指定的加密资产托管机构员工手动批准;在需要风险分析之前,可评审实体必须通过了自动核实处理;可评审实体必须提供与用户批准有关的稳健上下文,以便人工检查和进一步的自动化检查;以及风险批准和拒绝都被载入日志在仅追加分类账中以进行审计。
风险API重新核实由阈值化服务确定的适当阈值。风险API还可以处理附加业务逻辑,诸如在阈值化服务被简化的实施例中等:例如,如果阈值化服务仅检查规定数量,则风险API可以检查所需的签名者。这里所述的其它功能也可以在模块之间移动。
风险API可以接收与在交易中涉及的各用户有关的上下文数据,以呈现给人和/或分类系统。该信息例如可以包括批准了交易的用户、批准的时间、批准的场所、以及批准了交易的装置/密钥ID。该数据可被馈送到内部风险分析仪表板中,并且可能地被馈送到其它自动评审系统中。
在一些实施例中,如果交易通过了手动和自动风险评审,则风险API需要来自加密资产托管机构的一个或多个员工的人工批准。为了批准,员工在他或她批准交易/操作的情况下,可能被要求用加密密钥进行签名,并且将签名呈现给风险API以进行验证。此外,优选存在多个密钥(针对各风险评审人员存在一个密钥),使得将进行了评审的人载入日志。优选地,在折中的情况下,容易转动风险批准密钥。
图6示出可用于实现CCS的一部分或全部,或(单独)任何用户装置、或这两者的处理系统的硬件架构的高级示例。CCS可以包括诸如图6所示等的架构的一个或多个实例,其中多个这样的实例可以经由一个或多个专用网络彼此耦接。
例示的处理系统600包括包含CPU 610的一个或多个处理器、一个或多个存储器611(其至少一部分可被用作工作存储器,例如随机存取存储器(RAM))、一个或多个数据通信装置612、一个或多个输入/输出(I/O)装置613、以及一个或多个大容量存储装置614,所有这些经由互连线615彼此耦接。互连线615可以是或包括一个或多个导电迹线、总线、点对点连接、控制器、适配器、以及/或者其它传统连接装置。各处理器610控制处理装置600的操作的一部分,并且可以是或包括例如一个或多个通用可编程微处理器、数字信号处理器(DSP)、移动应用处理器、微控制器、专用集成电路(ASIC)或可编程门阵列(PGA)等、或者这样的装置的组合。
各存储器611可以是或包括一个或多个物理存储装置,其可以采用RAM、只读存储器(ROM)(其可以是可擦除和可编程的)、闪速存储器、小型硬盘驱动器或其它合适类型的存储装置、或者这样的装置的组合的形式。各大容量存储装置614可以是或包括一个或多个硬盘、数字多功能盘(DVD)、或者闪速存储器等。各存储器611和/或大容量存储装置614可以(单独或共同)存储对处理器610进行配置以执行用以实现上述技术的操作的数据和指令。各通信装置612可以是或包括例如以太网适配器、线缆调制解调器、Wi-Fi适配器、蜂窝收发器、基带处理器、或者蓝牙或蓝牙低功耗(BLE)收发器等、或者它们的组合。根据处理系统600的特定性质和用途,各I/O装置613可以是或包括诸如显示器(其可以包括透明AR显示面)、音频扬声器、键盘、鼠标或其它指点装置、麦克风、照相机等的装置。然而,注意,如果处理装置600仅被体现为服务器计算机,则这样的I/O装置可能是不需要的。
在用户装置的情况下,通信装置612可以是或包括例如蜂窝电信收发器(例如,3G、LTE/4G、5G)、Wi-Fi收发器、基带处理器、或者蓝牙或BLE收发器等、或者它们的组合。在服务器的情况下,通信装置612可以是或包括例如上述类型的通信装置、有线以太网适配器、线缆调制解调器或DSL调制解调器等中的任一个、或者这样的装置的组合。
除非与物理可能性相反,否则设想:(i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤;以及(ii)可以以任何方式组合各个实施例的组件。
上述机器实现的操作可以通过由软件和/或固件编程/配置的可编程电路实现,或者完全通过专用(“硬连线”)电路实现,或者通过这些形式的组合实现。这种专用电路(如果有的话)可以采用例如一个或多个专用集成电路(ASIC)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、片上系统(SOC)等的形式。
用以实现这里介绍的技术的软件或固件可以存储在机器可读存储介质上,并且可以由一个或多个通用或专用可编程微处理器执行。“机器可读介质”在本文中使用该术语时,包括可以以机器(机器可以是例如计算机、网络装置、蜂窝电话、个人数字助理(PDA)、制造工具、具有一个或多个处理器的任何装置等)可访问的形式存储信息的任何机构。例如,机器可访问介质包括可记录/不可记录的介质(例如,RAM或ROM;磁盘存储介质;光存储介质;闪速存储器装置;等等)等。
如本文所使用的术语“逻辑”意味着:i)专用硬接线电路,诸如一个或多个专用集成电路(ASIC)、可编程逻辑装置(PLD)、现场可编程门阵列(FPGA)、或其它类似装置等;ii)用软件和/或固件编程的可编程电路,诸如一个或多个编程的通用微处理器、数字信号处理器(DSP)和/或微控制器、片上系统(SOC)、或者其它类似装置等;或者iii)在i)和ii)中所述的形式的组合。
如本领域普通技术人员将显而易见,上述特征和功能中的任何或全部可以彼此组合,除了以上另外陈述的程度、或者任何这样的实施例借助于它们的功能或结构可能不兼容的程度之外。除非与物理可能性相反,否则设想:i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤;以及(ii)可以以任何方式组合各个实施例的组件。
尽管已经用特定于结构特征和/或行为的语言描述了本主题,但应当理解,在所附权利要求书中定义的主题不一定局限于上述的具体特征或行为。相反,上述的具体特征和行为被公开为实现权利要求书的示例,并且其它等同的特征和行为也意图在权利要求书的范围内。
Claims (40)
1.一种用于对动作进行授权的方法,所述方法包括:
在服务器系统处接收针对所请求的动作的动作请求;
使用所述服务器系统中的硬件安全模块,以通过使用针对多个用户中的各用户的公钥-私钥对中的公钥来判断所述多个用户中的基于策略的规定数量的用户是否批准了所请求的动作;以及
仅在判断为所述多个用户中的所述基于策略的规定数量的用户批准了所请求的动作之后,通过使用所述硬件安全模块用仅存储在所述硬件安全模块中的加密密钥对所述动作的批准消息进行签名来批准所述动作,其中所述硬件安全模块不许可所述硬件安全模块外部的任何实体读取所述加密密钥。
2.根据权利要求1所述的方法,其中,针对所述多个用户中的各用户,将针对该用户的公钥-私钥对中的私钥存储在与该用户相关联的移动装置的安全存储装置中。
3.根据权利要求1所述的方法,其中,所请求的动作包括所请求的涉及数字资产的交易。
4.根据权利要求1所述的方法,还包括:响应于批准了交易,将所述交易发送到区块链网络上。
5.根据权利要求1所述的方法,其中,所请求的动作包括所请求的涉及资产的交易,其中所述加密密钥是与所述资产相关联的公钥-私钥对中的私钥,所述方法还包括:使用所述硬件安全模块来生成所述加密密钥。
6.根据权利要求1所述的方法,还包括:
使得将背书请求消息发送至多个用户装置中的各用户装置,所述多个用户装置中的各用户装置与所述多个用户中的不同用户相关联,各背书请求消息被配置为使得接收用户装置提示相应用户对所请求的交易进行背书。
7.根据权利要求6所述的方法,还包括:
针对所述用户装置中的至少两个用户装置,在所述服务器系统处核实所述用户装置通过使用生物特征认证技术与所请求的交易的背书相关地认证了相应用户。
8.一种用于对涉及加密资产的交易进行授权的方法,所述方法包括:
在服务器系统处接收针对所请求的涉及所述加密资产的交易的交易请求;
在所述服务器系统处,从至少一个用户装置接收至少一个背书消息,各所述至少一个背书消息与多个用户中的不同用户相关联;
利用所述服务器系统中的硬件安全模块来判断所述至少一个背书消息是否满足用于批准所请求的交易的规定数量,所述规定数量是在与所述加密资产相关联的所存储的策略中定义的;以及
仅在所述至少一个背书消息满足所述规定数量的情况下,通过使用所述硬件安全模块用与所述加密资产相关联的私钥对所请求的交易的批准进行签名,来授权所请求的交易。
9.根据权利要求8所述的方法,还包括:
针对所述至少一个用户装置中的至少一个用户装置,在所述服务器系统处核实该用户装置通过第一生物特征认证技术与所请求的交易的背书相关地认证了相应用户。
10.根据权利要求9所述的方法,还包括:在所述服务器系统处使用第二生物特征认证技术来与所请求的动作的背书相关地认证所述用户至少之一。
11.根据权利要求8所述的方法,还包括:在所述服务器系统处使用认证技术来与所请求的交易的背书相关地认证用户,所述认证技术包括:
使得该用户的用户装置向该用户输出提示,以将该用户进行所指定的动作或说出所指定的内容的视频记录并上传到所述服务器系统;
在所述服务器系统处接收响应于所述提示而上传的视频;以及
在所述服务器系统处通过进行以下操作至少之一分析所述视频来认证该用户:
核实来自所述视频的该用户的生物特征;或者
核实在所述视频中该用户进行了所指定的动作或说出了所指定的内容。
12.根据权利要求8所述的方法,还包括:
使得所述用户至少之一的用户装置将确定性认证质询输出至相应用户,其中所述确定性认证质询的内容是基于所请求的交易的上下文。
13.根据权利要求8所述的方法,还包括:
响应于所述交易请求,调用所请求的交易的风险分析,
其中,授权所述交易是仅在所述风险分析的结果表示与所请求的交易相关联的风险水平满足风险标准、并且所述至少一个背书消息满足所述规定数量的情况下进行的。
14.根据权利要求8所述的方法,还包括:
使用所述硬件安全模块来生成与所述加密资产相关联的私钥。
15.根据权利要求8所述的方法,还包括:
使用所述硬件安全模块来生成与所述加密资产相关联的私钥,作为与所述加密资产相关联的公钥-私钥对的一部分。
16.根据权利要求15所述的方法,还包括:
将与所述加密资产相关联的私钥存储在所述硬件安全模块内,其中,与所述加密资产相关联的私钥不能由所述硬件安全模块外部的任何实体读取或被发送至所述硬件安全模块外部的任何实体。
17.根据权利要求8所述的方法,还包括:
将针对各所述至少一个用户装置的公钥-私钥对中的公钥存储在所述硬件安全模块中。
18.根据权利要求17所述的方法,其中,各背书消息由相应用户装置用与所述相应用户装置相关联的公钥-私钥对中的私钥进行了签名。
19.根据权利要求17所述的方法,还包括:
在授权所请求的交易之前,将数据包提供至所述硬件安全模块,所述数据包包括表示所述规定数量的数据以及与各所述至少一个用户装置相关联的公钥。
20.根据权利要求8所述的方法,其中,所述硬件安全模块没有直接连接至任何公共计算机网络。
21.根据权利要求8所述的方法,其中,将与所述加密资产相关联的私钥存储在硬件安全模块中,所述私钥是与所述加密资产相关联的公钥-私钥对的一部分。
22.根据权利要求8所述的方法,利用服务器计算机系统使得将背书请求消息发送到各所述至少一个用户装置,各背书请求消息被配置为使接收用户装置提示相应用户对所请求的交易进行背书。
23.根据权利要求8所述的方法,存储与所述加密资产相关联的策略,所述策略定义所述交易的授权所需的多个用户的规定数量。
24.根据权利要求8所述的方法,其中,判断所述至少一个背书消息是否满足在与所述加密资产相关联的策略中所定义的规定数量是通过使用与发送了各背书消息的用户装置相关联的公钥验证相应背书消息来进行的。
25.根据权利要求8所述的方法,其中,所述至少一个背书消息是通过使用所述用户装置的安全存储装置中所存储的私钥在所述用户装置上进行签名而生成的。
26.根据权利要求8所述的方法,还包括:
将包括用于指定包含所述规定数量的策略的数据、以及与各所述至少一个用户装置相关联的公钥的数据包发送至所述硬件安全模块。
27.一种用于对交易进行授权的方法,所述方法包括:
在服务器计算机系统处经由公共计算机网络从用户装置接收针对所请求的与加密资产有关的交易的交易请求;
响应于所述交易请求,调用所请求的交易的风险分析;
利用所述服务器计算机系统访问与所述加密资产相关联的所存储的策略,所述策略指定所述交易的授权所需的多个用户的规定数量;
利用所述服务器计算机系统使得将背书请求消息发送至多个移动装置中的各移动装置,所述移动装置中的各移动装置与所述多个用户中的不同用户相关联,各背书请求消息被配置为使得接收移动装置提示相应用户对所请求的交易进行背书;
在所述服务器计算机系统处,从所述移动装置至少之一接收背书消息,各背书消息表示用户使用所述移动装置中的相应移动装置对所请求的交易进行了背书,各背书消息由相应移动装置用该相应移动装置中的安全存储装置内所存储的私钥进行了签名;
在没有直接连接至任何公共计算机网络的硬件安全模块中,存储与所述加密资产相关联的私钥,所述私钥是与所述加密资产相关联的公钥-私钥对的一部分;
利用所述硬件安全模块,通过使用与发送了各背书消息的移动装置相关联的公钥验证相应背书消息,来判断是否从所述移动装置中的两个或更多个移动装置中的各移动装置接收到有效背书以满足所述策略中所指定的规定数量;以及
仅在所述风险分析判断为与所请求的交易相关联的风险的水平低于阈值、并且从所述移动装置中的两个或更多个移动装置中的各移动装置接收到所请求的交易的有效背书以满足所述规定数量的情况下,通过使用所述硬件安全模块用与所述加密资产相关联的私钥对所请求的交易的批准进行签名,来授权所述交易。
28.一种数字资产托管系统,包括:
在线服务器子系统,其被配置为经由公共计算机网络从用户接收所请求的与数字资产有关的交易,并且响应于接收到所请求的交易,根据所存储的策略来使得将背书请求发送至至少一个移动装置,各所述至少一个移动装置与在所述策略中指定为用于批准所述交易的规定数量的可能成员的多个用户至少之一相关联,所述在线服务器子系统还被配置为从所述多个用户中的一个或多个用户的相应移动装置接收背书消息;以及
硬件安全模块,其被配置为从所述用户中的一个或多个用户的移动装置接收所述背书消息的指示,以基于与接收到了背书消息的所述多个用户中的各用户相关联的公钥来判断从所述用户中的两个或更多个用户中的各用户是否接收到有效背书以满足在所述策略中所指定的规定数量,并且通过仅在从所述用户中的两个或更多个用户中的各用户接收到所请求的交易的有效背书以满足所述规定数量的情况下、用与所述数字资产相关联的私钥对所请求的交易的批准进行签名,来授权所述交易。
29.根据权利要求28所述的数字资产托管系统,还包括中继服务器,所述中继服务器用于将安全模块与因特网隔离。
30.根据权利要求28所述的数字资产托管系统,还包括风险分析模块,所述风险分析模块用于将风险得分指派至所请求的交易。
31.根据权利要求28所述的数字资产托管系统,所述在线服务器子系统还被配置为使得将背书请求消息发送至多个移动装置中的各移动装置,各背书请求消息被配置为使得接收移动装置提示相应用户对所请求的交易进行背书。
32.根据权利要求28所述的数字资产托管系统,其中,所述硬件安全模块还被配置为:
生成与所述数字资产相关联的私钥作为与所述数字资产相关联的公钥-私钥对的一部分;
将与所述数字资产相关联的公钥-私钥对中的公钥提供至所述硬件安全模块外部的计算机系统;以及
将与所述数字资产相关联的公钥-私钥对中的私钥维持在所述硬件安全模块内的存储装置中,并且防止与所述数字资产相关联的公钥-私钥对中的私钥被所述硬件安全模块外部的任何实体读取。
33.根据权利要求28所述的数字资产托管系统,所述数字资产托管系统被配置为针对至少一个用户装置核实该用户装置通过第一生物特征认证技术与所请求的交易的背书相关地认证了相应用户。
34.根据权利要求33所述的数字资产托管系统,所述数字资产托管系统还被配置为使用第二生物特征认证技术来与所请求的动作的背书相关地认证所述用户至少之一。
35.根据权利要求28所述的数字资产托管系统,所述数字资产托管系统被配置为通过以下操作来与所请求的交易的背书相关地认证用户:
使得该用户的用户装置向该用户输出提示,以将该用户进行所指定的动作或说出所指定的内容的视频记录并上传到服务器系统;
接收响应于所述提示而上传的视频;以及
通过进行以下操作至少之一分析所述视频来认证该用户:
核实来自所述视频的该用户的生物特征;或者
核实在所述视频中该用户进行了所指定的动作或说出了所指定的内容。
36.根据权利要求28所述的数字资产托管系统,所述数字资产托管系统被配置为使得所述用户至少之一的用户装置将确定性认证质询输出至相应用户,其中所述确定性认证质询的内容是基于所请求的交易的上下文。
37.一种硬件安全模块,包括:
非易失性存储装置,用于存储加密数据;
通信接口,经由所述通信接口与主机计算机系统进行通信;以及
逻辑电路,其耦接至所述非易失性存储装置和所述通信接口,并且被配置为使得所述硬件安全模块进行包括以下的操作:
从调用处理接收数字资产的存入的指示;
响应于所述指示,
生成与所述数字资产相关联的公钥-私钥对,
将所述公钥-私钥对中的公钥提供至所述调用处理,以及
将所述公钥-私钥对中的私钥以受保护方式存储在所述非易失性存储装置中;
接收所请求的与所述数字资产有关的操作的指示、需要对所请求的操作进行背书以授权所请求的交易的用户的规定数量的指示、以及与表面上对所请求的交易进行了背书的多个用户中的一个或多个用户中的各用户相关联的公钥;
基于所述规定数量的指示以及与表面上对所请求的交易进行了背书的一个或多个用户中的各用户相关联的公钥,来判断从所述多个用户中的两个或更多个用户是否接收到有效背书以满足所述规定数量;以及
在判断为从两个或更多个用户接收到了有效背书以满足所述规定数量之后,通过用与所述数字资产相关联的公钥-私钥对中的私钥对所请求的交易的批准进行签名来授权所请求的交易。
38.根据权利要求37所述的硬件安全模块,其中,防止与所述数字资产相关联的公钥-私钥对中的私钥被所述硬件安全模块外部的任何实体读取。
39.根据权利要求37所述的硬件安全模块,所述操作还包括:仅在对所述交易的批准进行签名之后才使得将所述交易发送到区块链网络上。
40.一种方法,包括:
在与用户相关联的第一用户装置处,经由公共计算机网络从服务器系统接收包括与所请求的交易有关的交易描述的第一消息;
响应于所述第一消息,将包括所述交易的指示的第二消息从所述第一用户装置经由与所述公共计算机网络隔离的第一点对点通道发送至与所述用户相关联的第二用户装置,其中所述第二用户装置与所述公共计算机网络隔离,所述第二消息使得所述第二用户装置输出所述交易的描述并且提示所述用户对所述交易进行背书;
在所述第一用户装置处从所述第二用户装置接收表示所述用户使用了所述第二用户装置对所述交易进行背书的第三消息,所述第三消息是经由所述第一点对点通道或者经由与所述公共计算机网络隔离的第二点对点通道接收到的;以及
响应于所述第三消息,将表示所述用户对所述交易进行了背书的第四消息从所述第一用户装置经由所述公共计算机网络发送至所述服务器系统。
Applications Claiming Priority (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862636106P | 2018-02-27 | 2018-02-27 | |
| US62/636,106 | 2018-02-27 | ||
| US201862640429P | 2018-03-08 | 2018-03-08 | |
| US62/640,429 | 2018-03-08 | ||
| US16/011,529 | 2018-06-18 | ||
| US16/011,529 US20190266576A1 (en) | 2018-02-27 | 2018-06-18 | Digital Asset Custodial System |
| PCT/US2019/019414 WO2019168787A1 (en) | 2018-02-27 | 2019-02-25 | Digital asset custodial system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112041842A true CN112041842A (zh) | 2020-12-04 |
Family
ID=67685958
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980028214.0A Pending CN112041842A (zh) | 2018-02-27 | 2019-02-25 | 数字资产托管系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20190266576A1 (zh) |
| EP (2) | EP3982281A1 (zh) |
| CN (1) | CN112041842A (zh) |
| IL (2) | IL276876B2 (zh) |
| SG (1) | SG11202008077PA (zh) |
| WO (1) | WO2019168787A1 (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10756906B2 (en) * | 2013-10-01 | 2020-08-25 | Kalman Csaba Toth | Architecture and methods for self-sovereign digital identity |
| CN107154921A (zh) * | 2016-03-03 | 2017-09-12 | 阿里巴巴集团控股有限公司 | 共管账户的授权方法和装置、共管账户的认证方法和装置 |
| US11095446B2 (en) * | 2018-02-27 | 2021-08-17 | Anchor Labs, Inc. | Cryptoasset custodial system with different rules governing access to logically separated cryptoassets and proof-of-stake blockchain support |
| US11924323B2 (en) | 2018-07-02 | 2024-03-05 | International Business Machines Corporation | On-chain governance of blockchain |
| US11095433B2 (en) | 2018-07-02 | 2021-08-17 | International Business Machines Corporation | On-chain governance of blockchain |
| US11165826B2 (en) | 2018-07-02 | 2021-11-02 | International Business Machines Corporation | On-chain governance of blockchain |
| US10756884B2 (en) * | 2018-07-02 | 2020-08-25 | International Business Machines Corporation | On-chain governance of blockchain |
| US11108544B2 (en) | 2018-07-02 | 2021-08-31 | International Business Machines Corporation | On-chain governance of blockchain |
| US20200193420A1 (en) * | 2018-09-04 | 2020-06-18 | Bit Key, Inc. | Data management systems and methods |
| US11095458B2 (en) * | 2018-09-06 | 2021-08-17 | Securosys SA | Hardware security module that enforces signature requirements |
| IT201800011129A1 (it) * | 2018-12-14 | 2020-06-14 | Toi Srl | Sistema, dispositivo e metodo per trasferire in maniera sicura informazioni da un apparecchio a una blockchain |
| US11082235B2 (en) | 2019-02-14 | 2021-08-03 | Anchor Labs, Inc. | Cryptoasset custodial system with different cryptographic keys controlling access to separate groups of private keys |
| US11823198B1 (en) * | 2019-02-18 | 2023-11-21 | Wells Fargo Bank, N.A. | Contextually escalated authentication by system directed customization of user supplied image |
| WO2019179534A2 (en) | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for creating decentralized identifiers |
| CN111164594B (zh) | 2019-07-02 | 2023-08-25 | 创新先进技术有限公司 | 用于将去中心化标识映射到真实实体的系统和方法 |
| CN111316303B (zh) | 2019-07-02 | 2023-11-10 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
| CN111213147B (zh) * | 2019-07-02 | 2023-10-13 | 创新先进技术有限公司 | 用于基于区块链的交叉实体认证的系统和方法 |
| WO2019179533A2 (en) | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for issuing verifiable claims |
| WO2019179535A2 (en) | 2019-07-02 | 2019-09-26 | Alibaba Group Holding Limited | System and method for verifying verifiable claims |
| WO2021011282A1 (en) * | 2019-07-12 | 2021-01-21 | Mord Benjamin Allan | Custodial integrity for virtual digital assets and related technologies |
| US11301845B2 (en) | 2019-08-19 | 2022-04-12 | Anchor Labs, Inc. | Cryptoasset custodial system with proof-of-stake blockchain support |
| US11494763B2 (en) | 2019-08-19 | 2022-11-08 | Anchor Labs, Inc. | Cryptoasset custodial system with custom logic |
| US11562349B2 (en) | 2019-08-20 | 2023-01-24 | Anchor Labs, Inc. | Risk mitigation for a cryptoasset custodial system using data points from multiple mobile devices |
| US11100497B2 (en) | 2019-08-20 | 2021-08-24 | Anchor Labs, Inc. | Risk mitigation for a cryptoasset custodial system using a hardware security key |
| US11501291B2 (en) | 2019-08-23 | 2022-11-15 | Anchor Labs, Inc. | Cryptoasset custodial system using encrypted and distributed client keys |
| US11328080B2 (en) | 2019-11-18 | 2022-05-10 | Frostbyte, Llc | Cryptographic key management |
| US20220116214A1 (en) * | 2020-10-14 | 2022-04-14 | Blockchains, LLC | Multisignature key custody, key customization, and privacy service |
| US11483132B2 (en) * | 2020-12-04 | 2022-10-25 | Meta Platforms, Inc. | Generating and initiating pre-signed transaction requests for flexibly and efficiently implementing secure cryptographic key management |
| US11216271B1 (en) * | 2020-12-10 | 2022-01-04 | Servicenow, Inc. | Incremental update for offline data access |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140040051A1 (en) * | 2012-08-01 | 2014-02-06 | Visa International Service Association | Systems and methods to enhance security in transactions |
| US20150287026A1 (en) * | 2014-04-02 | 2015-10-08 | Modernity Financial Holdings, Ltd. | Data analytic and security mechanism for implementing a hot wallet service |
| US20150363778A1 (en) * | 2014-06-16 | 2015-12-17 | Bank Of America Corporation | Cryptocurrency electronic payment system |
| US20170076518A1 (en) * | 2015-09-11 | 2017-03-16 | Comcast Cable Communications, Llc | Consensus Based Authentication and Authorization Process |
| CN107533501A (zh) * | 2015-03-20 | 2018-01-02 | 里维茨公司 | 使用区块链自动认证设备完整性 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9892460B1 (en) * | 2013-06-28 | 2018-02-13 | Winklevoss Ip, Llc | Systems, methods, and program products for operating exchange traded products holding digital math-based assets |
| US10333696B2 (en) * | 2015-01-12 | 2019-06-25 | X-Prime, Inc. | Systems and methods for implementing an efficient, scalable homomorphic transformation of encrypted data with minimal data expansion and improved processing efficiency |
| US20180330342A1 (en) * | 2017-05-11 | 2018-11-15 | Gyan Prakash | Digital asset account management |
-
2018
- 2018-06-18 US US16/011,529 patent/US20190266576A1/en active Pending
-
2019
- 2019-02-25 WO PCT/US2019/019414 patent/WO2019168787A1/en unknown
- 2019-02-25 SG SG11202008077PA patent/SG11202008077PA/en unknown
- 2019-02-25 EP EP21211391.4A patent/EP3982281A1/en active Pending
- 2019-02-25 CN CN201980028214.0A patent/CN112041842A/zh active Pending
- 2019-02-25 EP EP19711197.4A patent/EP3759639A1/en active Pending
- 2019-02-25 IL IL276876A patent/IL276876B2/en unknown
-
2022
- 2022-02-24 IL IL290875A patent/IL290875B2/en unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140040051A1 (en) * | 2012-08-01 | 2014-02-06 | Visa International Service Association | Systems and methods to enhance security in transactions |
| US20150287026A1 (en) * | 2014-04-02 | 2015-10-08 | Modernity Financial Holdings, Ltd. | Data analytic and security mechanism for implementing a hot wallet service |
| US20150363778A1 (en) * | 2014-06-16 | 2015-12-17 | Bank Of America Corporation | Cryptocurrency electronic payment system |
| CN107533501A (zh) * | 2015-03-20 | 2018-01-02 | 里维茨公司 | 使用区块链自动认证设备完整性 |
| US20170076518A1 (en) * | 2015-09-11 | 2017-03-16 | Comcast Cable Communications, Llc | Consensus Based Authentication and Authorization Process |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190266576A1 (en) | 2019-08-29 |
| IL290875B1 (en) | 2023-01-01 |
| IL290875B2 (en) | 2023-05-01 |
| IL276876A (en) | 2020-10-29 |
| EP3982281A1 (en) | 2022-04-13 |
| IL276876B1 (en) | 2023-06-01 |
| SG11202008077PA (en) | 2020-09-29 |
| IL276876B2 (en) | 2023-10-01 |
| EP3759639A1 (en) | 2021-01-06 |
| WO2019168787A1 (en) | 2019-09-06 |
| IL290875A (en) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11411730B2 (en) | Cryptoasset custodial system with different rules governing access to logically separated cryptoassets and proof-of-stake blockchain support | |
| CN112041842A (zh) | 数字资产托管系统 | |
| US11757627B2 (en) | Cryptoasset custodial system with proof-of-stake blockchain support | |
| US11438174B2 (en) | Cryptoasset custodial system with different cryptographic keys controlling access to separate groups of private keys | |
| US20190268165A1 (en) | Cryptoasset custodial system with different rules governing access to logically separated cryptoassets | |
| CN114631286B (zh) | 具有自定义逻辑的加密资产托管系统 | |
| US11842341B2 (en) | Risk mitigation for a cryptoasset custodial system using a hardware security key | |
| US11501291B2 (en) | Cryptoasset custodial system using encrypted and distributed client keys |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |