CN116957790A - 一种实现区块链上交换的通证化方法及系统 - Google Patents

Abstract

根据本发明，可以提供一种用于控制经由区块链进行的处理的性能的方法及对应的系统。本发明提供一种在区块链交易(Tx)中嵌入数据的区块链实现的方法(及对应的系统)。该方法包括以下步骤：推导数据的公钥‑私钥加密对；使用公钥‑私钥加密对推导数据的签名；对该数据编码以生成该数据的编码元数据。编码元数据发送到交易中的区块链。从至少一个用户接收签名和脚本，以使得能够访问嵌入的数据。该脚本包括签名方的公钥。元数据包括数据的散列和指向数据的指针，使得可以定位数据。散列用作存储数据的查找表中的主键。

Description

一种实现区块链上交换的通证化方法及系统

本申请是申请日为2017年2月14日、国家申请号为201780009136.0的PCT国家阶段申请的分案申请。

技术领域

本发明总体上涉及一种用于经由计算机实现的网络交换实体或资产的通证化(tokenisation)方法及相应的系统及其控制。本发明涉及关于网络上交换和转移的安全机制。特别地，本发明涉及合约的转移。本发明可以与任何点对点分布式网络结合使用。本发明可以是以包括(但不限于)加密货币区块链的区块链相关技术。

背景技术

在本文献中，我们使用术语“区块链”以涵盖所有形式的基于电子、计算机的分布式账本。这些包括但不限于基于共识的区块链和交易链技术、许可和未许可的账本、共享账本及其变型。区块链技术最广为人知的应用是加密货币账本，但是已经提出并开发了其他区块链实现方式。虽然本文中出于方便和说明的目的可以引用加密货币，但应注意，本发明不限于与加密货币区块链一起使用，并且替代的区块链实现方式和协议落入本发明的范围内。

区块链为一种电子账本，其被实现为基于计算机的去中心化的分布式系统，该系统由多个块组成，而这些块又由多笔交易组成。每笔交易是对区块链系统中的参与者之间的数字资产的控制的转移进行编码的数据结构，并且每笔交易包括至少一个输入和至少一个输出。每个块包含前一个块的散列，从而这些块变为链接在一起，以创建自从区块链起始已写入区块链的所有交易的永久的不可更改的记录。交易包含嵌入其输入和输出中的称为脚本的小程序，这些程序指定可以如何以及通过谁来访问交易的输出。在加密货币平台上，这些脚本是使用基于堆栈的脚本语言编写的。

为了将交易写入区块链，必须对交易进行“验证”。网络节点(矿工)执行工作以确保每笔交易是有效的，并且使无效交易受拒于网络。安装在节点上的软件客户端通过执行其锁定脚本和解锁脚本，对未花费的交易(UTXO)执行此验证工作。如果锁定脚本和解锁脚本的执行被评估为真(TRUE)，则交易有效并且交易写入区块链。因此，为了将交易写入区块链，该交易必须：i)由接收交易的第一节点验证，如果交易被验证，则节点将该交易中继到网络中的其他节点；ii)添加到由矿工建造的新区块；以及iii)被开采，即添加到过去交易的公共账本。

尽管区块链技术以加密货币实现方式的应用而广为人知，但数字企业家已经开始探索加密货币所基于的加密安全系统以及可存储在区块链上以实现新系统的数据的应用。如果区块链可以用于不限于加密货币领域的自动化任务和处理，那将是非常有利的。这样的解决方案将能够利用区块链的优点(例如事件的永久性、防篡改记录、分布式处理等)，同时能够在其应用中更加通用。

目前研究的一个领域是区块链在实施“智能合约”方面的应用。这些智能合约是设计于自动执行机器可读合约或协议条款的计算机程序。与将用自然语言编写的传统合约不同，智能合约是一种机器可执行程序，该机器可执行程序包括可以处理输入以产生结果的规则，然后可以使得取决于这些结果执行动作。

区块链相关的另一兴趣领域是使用“通证”(或“彩色币”)以经由区块链来表示和转移现实世界的实体。潜在的敏感或秘密项目可以由通证表示，该通证没有可辨别的含义或价值。因此，通证用作允许从区块链引用真实世界项目的标识。

发明内容

因此，根据本发明，可以提供一种用于控制经由(即使用)区块链进行的处理的性能的方法及相应的系统。区块链可以是加密货币区块链，也可以不是加密货币区块链。本发明还可以包括通证化技术和加密技术，这为数字资产或项目的转移提供增强的安全性。

本发明可以提供一种区块链实现的方法。本发明可以提供一种用于嵌入数据的机制。可以将数据嵌入区块链交易(Tx)中。附加地或替代地，这可以包括用于控制、交换和/或转移资产或项目的方法。上述资产可以是数字资产。附加地或替代地，本发明可以提供一种通证化方法。可以将资产和/或合约通证化。

该方法可以包括以下步骤：

推导项目或部分数据的公钥-私钥加密对；

使用该公钥-私钥加密对推导该数据的签名；

对该数据编码以生成该数据的编码元数据。

上述数据可以涉及资产或实体，或者可以涉及与资产相关联的(智能)合约。智能合约可以存储在基于计算机的资源中，该资源可以独立于区块链。

本发明可以被设置成控制经由区块链进行的关于资产或资产代表的转移。资产或代表可以包括一个或更多个加密私钥，或者可以与之相关联，每个私钥与资产的所有者/控制者相关联。私钥可以是加密密钥对的一部分。可以根据实质上如下文标题为“生成资产的公钥”一节中描述的技术生成一个或更多个私钥。可以使用共同秘密生成一个或更多个密钥。该密钥可以是从主加密密钥生成的子密钥。

本发明可以包括为资产分配或生成地址和/或密钥。本发明还可以包括为资产的所有者或控制者或者与资产相关联的某个其他实体分配和/或生成地址和/或加密密钥。可以使用下文标题为“生成资产的公钥”一节中定义的确定性子密钥处理创建资产和/或控制者的地址/密钥。在一个或更多个实施例中，地址可以是区块链地址。优选地，该地址被生成为从主地址(密钥)推导的子地址。主密钥可以属于资产的控制者/所有者，或者可以与之相关联。使用子密钥生成技术，可以允许以加密地强制的安全方式在资产与所有者之间进行直接交互。使用子密钥生成技术还可以使得能够以层级方式嵌套或构造多个(智能)合约，每个合约由同一区块链交易内的相应计算资源控制。

本发明可以包括一种用于确定第一实体和第二实体共同的秘密的技术。上述实体可以称为节点或资产。第一实体或第二实体可以是资产，而另一实体可以是与资产相关联的控制者或其他实体。本发明可以包括实质上如下文标题为“生成资产的公钥”一节中描述的方法。该方法可以包括以下步骤：

·基于至少第一实体主私钥和生成器值确定第一实体第二私钥；

·基于至少第二实体主私钥和生成器值确定第二实体第二私钥；

·基于第一实体第二私钥和第二实体第二公钥在第一实体处确定共同秘密(CS)，并且基于第二实体第二私钥和第一实体第二公钥在第二实体处确定共同秘密(CS)；

·其中，分别地，第一实体第二公钥基于至少第一实体主密钥和生成器值，第二实体第二公钥基于至少第二实体主密钥和生成器值。

该方法还可以包括将编码元数据发送到区块链的步骤。可以设置编码元数据以便引用或提供对合约的访问。上述合约可以是本领域已知的智能合约。可以实质上根据如下文标题为“编码方案”一节中描述的编码方案对元数据编码。这可以包括三个参数或数据项，涉及：

1)在合约下可用的股份的量；

2)待从一方转移到另一方的转移单位或价值项的数目；它们可以是加密货币的单位；

3)用于计算转移单位的数目的值的因子。

该方法还可以包括从至少一个用户接收签名和脚本以便能够访问嵌入的数据的步骤。该脚本可以包括签名方的公钥。术语“用户”可以指人类用户或者计算机实现的资源或代理。

元数据可以包括数据的散列(hash)。元数据可以包括指向数据的指针或对数据的其他引用。这可以允许引用和/或访问数据。因此，数据可以“离块”存储，即不存储在区块链中。

散列可以用作存储数据的查找表中的主要密钥。该散列可以是DHT。

该方法还可以包括区块链实现的系统。该系统可以可操作用于：

推导数据的公钥-私钥加密对；

使用公钥-私钥加密对推导数据的签名；

对数据编码以生成该数据的编码元数据。

该系统可以被设置成实现上述方法的任何实施例。

该系统可操作用于将编码元数据发送到区块链。

该系统可操作用于从至少一个用户接收签名和脚本，以便能够访问嵌入的元数据。该脚本可以包括签名方的公钥。

该系统可操作用于生成数据的散列并将该散列存储为元数据的一部分。

该系统可操作用于生成指向数据的指针或对数据的其他引用。该系统可操作用于将散列作为主密钥存储在可存储数据的查找表中。

附加地或替代地，本发明的一个或更多个实施例可以包括用于生成一个或更多个加密密钥的方法。这可以实质上如下文标题为“生成资产的公钥”一节中所述。该方法可以包括以下步骤：

-在第一节点(C)处确定与第一节点(C)和第二节点(S)共同的共同秘密(CS)，其中，第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联，其中，该方法包括：

-基于至少第一节点主私钥(V_1C)和确定性密钥(DK)确定第一节点第二私钥(V_2C)；

-基于至少第二节点主公钥(P_1S)和确定性密钥(DK)确定第二节点第二公钥(P_2S)；以及

-基于第一节点第二私钥(V_2C)和第二节点第二公钥(P_2S)确定共同秘密(CS)，

其中，第二节点(S)具有基于第一节点第二公钥(P_2C)和第二节点第二私钥(V_2S)的同一共同秘密(S)，其中：

-第一节点第二公钥(P_2C)基于至少第一节点主公钥(P_1C)和确定性密钥(DK)；以及

-第二节点第二私钥(V_2S)基于至少第二节点主私钥(V_1S)和确定性密钥(DK)。

确定性密钥(DK)可以基于消息(M)。该方法还可以包括以下步骤：

-基于消息(M)和第一节点第二私钥(V_2C)生成第一签署消息(SM1)；以及

-通过通信网络将第一签署消息(SM1)发送到第二节点(S)，

其中，可以用第一节点第二公钥(P_2C)验证第一签署消息(SM1)，以认证第一节点(C)。

优选地，该方法可以包括以下步骤：

-通过通信网络从第二节点(S)接收第二签署消息(SM2)；

-用第二节点第二公钥(P_2S)验证第二签署消息(SM2)；以及

-基于验证第二签署消息(SM2)的结果，认证第二节点(S)，

其中，基于消息(M)或第二消息(M2)以及第二节点第二私钥(V_2S)，生成第二签署消息(SM2)。

优选地，该方法可以包括以下步骤：

-生成消息(M)；以及

-通过通信网络将消息(M)发送到第二节点(S)。

优选地，该方法可以包括以下步骤：

-通过通信网络从第二节点(S)接收消息(M)。

优选地，该方法可以包括以下步骤：

-通过通信网络从另一节点接收消息(M)。

优选地，该方法可以包括以下步骤：

-从与第一节点(C)相关联的数据存储器和/或输入接口接收消息(M)。

优选地，分别地，第一节点主公钥(P_1C)可以基于第一节点主私钥(V_1C)和生成器(G)的椭圆曲线点乘法，第二节点主公钥(P_1S)可以基于第二节点主私钥(V_1S)和生成器(G)的椭圆曲线点乘法。

优选地，该方法可以包括以下步骤：

-通过通信网络接收第二节点主公钥(P_1S)；以及

-在与第一节点(C)相关联的数据存储器处存储第二节点主公钥(P_1S)。

优选地，该方法可以包括以下步骤：

-在第一节点(C)处生成第一节点主私钥(V_1C)和第一节点主公钥(P_1C)；

-通过通信网络将第一节点主公钥(P_1C)发送到第二节点(S)和/或其他节点；以及

-在与第一节点(C)相关联的第一数据存储器中存储第一节点主私钥(V_1C)。

优选地，该方法可以包括以下步骤：

-通过通信网络向第二节点发送通知，其指示对于确定共同秘密(CS)的方法使用具有公共生成器(G)的公共椭圆曲线加密(ECC)系统，以及

其中，生成第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的步骤包括：

-基于公共ECC系统中指定的可允许范围中的随机整数，生成第一节点主私钥(V_1C)；以及

-基于第一节点主私钥(V_1C)和公共生成器(G)的椭圆曲线点乘法，根据以下公式确定第一节点主公钥(P_1C)：

P_1C＝V_1C×G。

优选地，该方法可以包括以下步骤：

-基于确定消息的散列(M)，对确定性密钥(DK)进行确定，以及

其中，确定第一节点第二私钥(V_2C)的步骤基于第一节点主私钥(V_1C)和确定性密钥(DK)的根据以下公式的标量加法：

V_2C＝V_1C+DK，以及

其中，确定第二节点第二公钥(P_2S)的步骤基于根据以下公式的确定性密钥(DK)和公共生成器(G)的椭圆曲线点乘法，再与第二节点主公钥(P_1S)的椭圆曲线点相加：

P_2S＝P_1S+DK×G。

优选地，确定性密钥(DK)可以基于确定先前的确定性密钥的散列。

分别地，第一非对称加密对可以基于先前的第一非对称加密对的函数，第二非对称加密对可以基于先前的第二非对称加密对的函数。

以上关于一个实施例或方面描述的任何特征可以与任何其他方面或实施例相关地使用。

附图说明

参考本文所述的实施例，本发明的这些方面及其他方面将变得明显并得以阐明。

现在将仅通过示例并参考附图来描述本发明的实施例，在附图中：

图1示出包括多个计算设备的P2P网络；以及

图2a至图2e示出资产的公钥的生成。

具体实施例

可以用于实现实施例的系统可以包括如图1所示的P2P网络。图1示出用于形成P2P网络的多个计算机。

区块链是具有分布式架构的P2P网络，其在互连的计算设备(其被称为“节点”或“对等体”)之间共享工作和任务。因为没有单独计算机被指定为“负责”，所以这样的网络是去中心化的。近年来，已经见证了使用P2P网络实现基于共识的加密货币区块链和加密货币激发的变化。

编码方案

可以将用于引用合约的元数据以各种方式格式化。然而，本文中描述合适的编码方案。

如果合约所限定的权利赋予合约的持有者或所有者，则合约是可转让的。不可转让的合约的示例是参与者被指定——也就是说，权利被赋予特定的指定实体而不是合约的持有者——的合约。本编码方案仅讨论可转让的合约。

通证代表详述或定义合约赋予的权利的特定合约。根据本发明，通证是加密货币交易形式的合约的表示。

该编码方案使用包括三个参数或数据项的元数据。该数据可以指示：

i)在合约下的可用股份的量(本文中可以称为‘NumShares’)；

ii)从发送方转移到至少一个接收方的转移单位的数目(本文中可以称为‘ShareVal’)；以及

iii)用于计算转移单位的数目的值的因子(本文中可称为“钉住率”)。

该编码方案的优点是：其可以用于仅使用上述三个参数将合约概述或表示为区块链上的的通证。实际上，可以使用这三个数据项中的最小者来指定合约。由于该编码方案可用于任何类型的可转让的合约，因此可以设计和应用通用算法。以下提供这些元数据项的其他细节。

生成资产的公钥

系统可以使用如现在描述的子密钥生成方法来生成资产的公钥。

图2a示出系统1，该系统1包括第一节点3，该第一节点3通过通信网络5与第二节点7进行通信。第一节点3具有相关联的第一处理设备23，第二节点5具有相关联的第二处理设备27。第一节点3和第二节点7可以包括电子设备，例如计算机、电话、平板电脑、移动通信设备、计算机服务器等。在一个示例中，第一节点3可以是客户端(用户)设备，第二节点7可以是服务器。服务器可以是数字钱包提供商的服务器。

第一节点3与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联。第二节点(7)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联。换句话说，第一节点和第二节点各自拥有相应的公钥-私钥对。

第一节点3的第一非对称加密对和第二节点7的第二非对称加密对可以在注册处理(例如关于钱包的注册)期间得以生成。每个节点的公钥可以例如通过通信网络5公开地得以共享。

第一节点3执行方法300的步骤，第二节点7执行方法400的步骤，以在第一节点3和第二节点7二者处确定共同秘密(CS)，而不通过通信网络5传送私钥。

由第一节点3执行的方法300包括：基于至少第一节点主私钥(V_1C)和生成器值(GV)确定(330)第一节点第二私钥(V_2C)。生成器值可以基于在第一节点与第二节点之间共享的消息(M)，这可以包括：如下面进一步详细描述的通过通信网络5共享消息。方法300还包括：基于至少第二节点主公钥(P_1S)和生成器值(GV)确定(370)第二节点第二公钥(P_2S)。方法300包括：基于第一节点第二私钥(V_2C)和第二节点第二公钥(P_2S)确定(380)共同秘密(CS)。

重要的是，也可以通过方法400在第二节点7处确定同一共同秘密(CS)。方法400包括：基于第一节点主公钥(P_1C)和生成器值(GV)确定(430)第一节点第二公钥(P_2C)。方法400还包括：基于第二节点主私钥(V_1S)和生成器值(GV)确定(470)第二节点第二私钥(V_2S)。方法400包括：基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)确定(480)共同秘密(CS)。

通信网络5可以包括局域网、广域网、蜂窝网络、无线电通信网络、互联网等。这些网络(其中，可以经由诸如电线、光纤或无线等通信介质传输数据)易受例如窃听者11窃听的影响。方法300和方法400可以允许第一节点3和第二节点7能够皆独立地确定共同秘密，而无需通过通信网络5传送共同秘密。

因此，一个优点在于：可以由每个节点安全且独立地确定共同秘密(CS)，而无需通过潜在地不安全的通信网络5传送私钥。进而，共同秘密可以用作秘密密钥(或者作为秘密密钥的基础)。

方法300和方法400可以包括附加步骤。参见图2e。方法300可以包括：在第一节点3处基于消息(M)和第一节点第二私钥(V_2C)生成签署消息(SM1)。方法300还包括：通过通信网络将第一签署消息(SM1)发送(360)到第二节点7。进而，第二节点7可以执行步骤：接收(440)第一签署消息(SM1)。方法400还包括以下步骤：用第一节点第二公钥(P_2C)验证(450)第一签署消息(SM2)，并基于验证第一签署消息(SM1)的结果认证(460)第一节点3。有利地，这允许第二节点7认证所声称的第一节点(在此处生成第一签署消息)是第一节点3。这基于以下假设：只有第一节点3具有对第一节点主私钥(V_1C)的访问，因此只有第一节点3可以确定用于生成第一签署消息(SM1)的第一节点第二私钥(V_2C)。应当理解，类似地，例如在点对点场景中，可以在第二节点7处生成第二签署消息(SM2)并将其发送到第一节点3，使得第一节点3可以认证第二节点7。

可以通过各种方式实现在第一节点与第二节点之间共享消息(M)。在一个示例中，可以在第一节点3处生成消息，然后通过通信网络5向第二节点7发送消息。可替代地，可以在第二节点7处生成消息，然后通过通信网络5发送消息。在一些示例中，消息(M)可以是公开的，因此可以通过不安全的网络5得以传送。一个或更多个消息(M)可以存储在数据存储器13、数据存储器17、数据存储器19中。本领域技术人员将认识到，可以通过各种方式实现消息的共享。

有利地，可以保存记录以允许重新创建共同秘密(CS)，而不必私有地存储或安全传送记录本身。

注册方法100和注册方法200

将参考图2c描述注册方法100和注册方法200的示例，其中，方法100由第一节点3执行，方法200由第二节点7执行。这包括：分别建立用于第一节点3的第一非对称加密对和用于第二节点7的第二非对称加密对。

非对称加密对包括相关联的私钥和公钥，例如在公钥加密中使用的非对称加密对。在该示例中，使用椭圆曲线加密术(ECC)和椭圆曲线运算的性质生成非对称加密对。

在方法100和方法200中，这包括：第一节点以及第二节点关于公共ECC系统进行约定(110、210)，并使用基点(G)。(注意：基点可以称为公共生成器，但术语“基点”用于避免与生成器值GV混淆)。在一个示例中，公共ECC系统可以基于secp256K1，该secp256K1是加密货币所使用的ECC系统。基点(G)可以被选择、随机生成或被分配。

现在转向第一节点3，方法100包括：在公共ECC系统和基点(G)上进行安排(110)。这可以包括：从第二节点7或第三节点9接收公共ECC系统和基点。可替代地，用户接口15可以与第一节点3相关联，由此用户可以选择性地提供公共ECC系统和/或基点(G)。在又一替代方案中，公共ECC系统和/或基点(G)中的一者或两者可以由第一节点3随机选择。第一节点3可以通过通信网络5向第二节点7发送指示使用公共ECC系统和基点(G)的通知。进而，第二节点7可以通过发送指示对使用公共ECC系统和基点(G)确认的通知来进行安排(210)。

方法100还包括：第一节点3生成(120)第一非对称加密对，该第一非对称加密对包括第一节点主私钥(V_1C)和第一节点主公钥(P_1C)。这包括：至少部分地基于在公共ECC系统中指定的可允许范围中的随机整数来生成第一主私钥(V_1C)。这还包括：基于第一节点主私钥(P_1C)和基点(G)的椭圆曲线点乘法，根据以下公式确定第一节点主公钥(P_1C)：

P_1C＝V_1C×G (公式1)

因此，第一非对称加密对包括：

V_1C：由第一节点保密的第一节点主私钥。

P_1C：使得公开地获知的第一节点主公钥。

第一节点3可以将第一节点主私钥(V_1C)和第一节点主公钥(P_1C)存储在与第一节点3相关联的第一数据存储器13中。为了安全起见，第一节点主私钥(V_1C)可以存储在第一数据存储器13的安全部分中，以确保密钥保持私有。

方法100还包括：通过通信网络5将第一节点主公钥(P_1C)发送(130)到第二节点7，如图2c所示。在接收(220)到第一节点主公钥(P_1C)时，第二节点7可以将第一节点主公钥(P_1C)存储(230)在与第二节点7相关联的第二数据存储器17中。

类似于第一节点3，第二节点7的方法200包括：生成(240)第二非对称加密对，该第二非对称加密对包括第二节点主私钥(V_1S)和第二节点主公钥(P_1S)。第二节点主私钥(V_1S)也是可允许范围内的随机整数。进而，第二节点主公钥(P_1S)由以下公式确定：

P_1S＝V_1S×G (公式2)

因此，第二非对称加密对包括：

V_1S：由第二节点保密的第二节点主私钥。

P_1S：使得公开地获知的第二节点主公钥。

第二节点7可以将第二非对称加密对存储在第二数据存储器17中。方法200还包括：将第二节点主公钥(P_1S)发送(250)到第一节点3。进而，第一节点3可以接收(140)并存储(150)第二节点主公钥(P_1S)。

应当理解，在一些替代方案中，相应的主公钥可以被接收并存储在与第三节点9(例如可信第三方)相关联的第三数据存储器19处。这可以包括作为公共目录的第三方，例如证书颁发机构。因此，在一些示例中，第一节点主公钥(P_1C)可以仅当确定需要共同秘密(CS)时由第二节点7请求和接收(反之亦然)。

作为初始设置，注册步骤可以只需要发生一次。

会话发起并由第一节点3确定共同秘密

现在将参考图2d描述确定共同秘密(CS)的示例。共同秘密(CS)可以用于第一节点3与第二节点7之间的特定会话、时间、交易或其他目的，并且使用相同的共同秘密(CS)可能是不期望的或不安全的。因此，可以在不同的会话、时间、交易等之间改变共同秘密(CS)。

提供下述内容以说明上面已经描述的安全传输技术。

生成消息(M)310

在该示例中，由第一节点3执行的方法300包括：生成(310)消息(M)。消息(M)可以是随机的、伪随机的或用户定义的。在一个示例中，消息(M)基于UnixTime和随机数(nonce)(和任意值)。例如，消息(M)可以通过以下公式提供为：

消息(M)＝UnixTime+随机数 (公式3)

在一些示例中，消息(M)是任意的。然而，应当理解，消息(M)可以具有在某些应用中可能有用的可选择的值(例如UnixTime等)。

方法300包括：通过通信网络3将消息(M)发送(315)到第二节点7。由于消息(M)不包括关于私钥的信息，因而消息(M)可以通过不安全的网络被发送。

确定生成器值(GV)320

方法300还包括步骤：基于消息(M)确定(320)生成器值(GV)。在该示例中，这包括：确定消息的加密散列。加密散列算法的示例包括SHA-256以创建256位生成器值(GV)。即：

GV＝SHA-256(M) (公式4)

应当理解，可以使用其他散列算法。这可以包括安全散列算法(SHA)系列中的其他算法。一些特定示例包括SHA-3子集中的实例，该SHA-3子集包括SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128、SHAKE256。其他散列算法可以包括RACE原始完整性校验消息摘要(RIPEMD)系列中的实例。特定示例可以包括RIPEMD-160。其他散列函数可以包括基于Zémor-Tillich散列函数和基于背包的散列函数的系列。

确定第一节点第二私钥330

然后，方法300包括步骤330：基于第二节点主私钥(V_1C)和生成器值(GV)确定(330)第一节点第二私钥(V_2C)。第一节点第二私钥(V_2C)可以基于第一节点主私钥(V_1C)和生成器值(GV)根据以下公式的标量加法：

V_2C＝V_1C+GV (公式5)

因此，第一节点第二私钥(V_2C)不是随机值，而是确定性地从第一节点主私钥推导的。加密对中的相应公钥，即第一节点第二公钥(P_2C)，具有以下关系：

P_2C＝V_2C×G (公式6)

将公式5中的V_2C带入公式6中，提供：

P_2C＝(V_1C+GV)×G (公式7)

其中，‘+’运算符指的是椭圆曲线点加法。注意，椭圆曲线密码学代数是分布式的，公式7可以表示为：

P_2C＝V_1C×G+GV×G (公式8)

最后，公式1可以代入公式7中，以提供：

P_2C＝P_1C+GV×G (公式9.1)

P_2C＝P_1C+SHA-256(M)×G (公式9.2)

因此，倘若知道第一节点主公钥(P_1C)和消息(M)，那么可以推导相应的第一节点第二公钥(P_2C)。如将在下面关于方法400进一步详细讨论的那样，第二节点7可以具有该知识以独立地确定第一节点第二公钥(P_2C)。

基于消息和第一节点第二私钥生成第一签署消息(SM1)350

方法300还包括：基于消息(M)和所确定的第一节点第二私钥(V_2C)生成(350)第一签署消息(SM1)。生成签署消息包括：应用数字签名算法以对消息(M)进行数字签名。在一个示例中，这包括：在椭圆曲线数字签名算法(ECDSA)中将第一节点第二私钥(V_2C)应用于消息以获得第一签署消息(SM1)。ECDSA的示例包括基于具有secp256k1、secp256r1、secp384r1、se3cp521r1的ECC系统的实例。

可以利用第二节点7处的相应的第一节点第二公钥(P_2C)来验证第一签署消息(SM1)。第二节点7可以使用第一签署消息(SM1)的验证结果以认证第一节点3，这将在下面的方法400中讨论。

确定第二节点第二公钥370'

然后，第一节点3可以确定(370)第二节点第二公钥(P_2S)。如上所述，第二节点第二公钥(P_2S)可以至少基于第二节点主公钥(P_1S)和生成器值(GV)。在该示例中，由于公钥确定(370')为私钥与基点(G)的椭圆曲线点乘法，因此第二节点第二公钥(P_2S)可以通过类似于公式6的方式表示为：

P_2S＝V_2S×G (公式10.1)

P_2S＝P_1S+GV×G (公式10.2)

公式10.2的数学证明与上面关于推导第一节点第二公钥(P_2C)的公式9.1所描述的相同。应当理解，第一节点3可以独立于第二节点7确定(370)第二节点第二公钥。

在第一节点3处确定共同秘密380

然后，第一节点3可以基于所确定的第一节点第二私钥(V_2C)和所确定的第二节点第二公钥(P_2S)来确定(380)共同秘密(CS)。共同秘密(CS)可以由第一节点3通过以下公式确定：

S＝V_2C×P_2S (公式11)

在第二节点7处执行的方法400

现在将描述在第二节点7处执行的对应方法400。应当理解，这些步骤中的一些步骤类似于上述由第一节点3执行的步骤。

方法400包括：通过通信网络5从第一节点3接收(410)消息(M)。这可以包括在步骤315由第一节点3发送的消息(M)。然后，第二节点7基于消息(M)确定(420)生成器值(GV)。由第二节点7确定(420)生成器值(GV)的步骤类似于上述由第一节点执行的步骤320。在该示例中，第二节点7独立于第一节点3执行该确定步骤420。

下一步骤包括：基于第一节点主公钥(P_1C)和生成器值(GV)确定(430)第一节点第二公钥(P_2C)。在该示例中，由于公钥确定(430')为私钥与基点(G)的椭圆曲线点相乘，因此第一节点第二公钥(P_2C)可以通过类似于公式9的方式表示为：

P_2C＝V_2C×G (公式12.1)

P_2C＝P_1C+GV×G (公式12.2)

公式12.1和公式12.2的数学证明与上面关于公式10.1和公式10.2所讨论的数学证明相同。

第二节点7认证第一节点3

方法400可以包括由第二节点7执行以认证所声称的第一节点3是第一节点3的步骤。如前所述，这包括：从第一节点3接收(440)第一签署消息(SM1)。然后，节点7可以用在步骤430确定的第一节点第二公钥(P_2C)验证(450)第一签署消息(SM1)上的签名。

可以根据如上所述的椭圆曲线数字签名算法(ECDSA)来完成验证数字签名。重要的是，由于V_2C和P_2C形成的加密对，因此应当仅用对应的第一节点第二公钥(P_2C)正确地验证用第一节点第二私钥(V_2C)签署的第一签署消息(SM1)。由于这些密钥关于在第一节点3的注册时生成的第一节点主私钥(V_1C)和第一节点主公钥(P_1C)是确定性的，因此验证第一签署消息(SM1)可以用作认证所声称的发送第一签署消息(SM1)的第一节点在注册期间是否为同一第一节点3的基础。因此，第二节点7还可以执行下述步骤：基于验证(450)第一签署消息的结果来认证(460)第一节点3。

第二节点7确定共同秘密

方法400还可以包括：第二节点7基于第二节点主私钥(V_1S)和生成器值(GV)确定(470)第二节点第二私钥(V_2S)。类似于第一节点3执行的步骤330，第二节点第二私钥(V_2S)可以基于根据以下公式的第二节点主私钥(V_1S)和生成器值(GV)的标量相加：

V_2S＝V_1S+GV (公式13.1)

V_2S＝V_1S+SHA-256(M) (公式13.2)

然后，第二节点7可以独立于第一节点3，基于第二节点第二私钥(V_2S)和第一节点第二公钥(P_2C)，根据以下公式确定(480)共同秘密(CS)：

S＝V_2S×P_2C (公式14)

由第一节点3和第二节点7确定的共同秘密(CS)的证明

由第一节点3确定的共同秘密(CS)与在第二节点7处确定的共同秘密(CS)相同。现在将描述公式11和公式14提供相同的共同秘密(CS)的数学证明。

转到由第一节点3确定的共同秘密(CS)，可以将公式10.1代入公式11中，如下：

S＝V_2C×P_2S (公式11)

S＝V_2C×(V_2S×G)

S＝(V_2C×V_2S)×G (公式15)

转到由第二节点7确定的共同秘密(CS)，可以将公式12.1代入公式14中，如下：

S＝V_2S×P_2C (公式14)

S＝V_2S×(V_2C×G)

S＝(V_2S×V_2C)×G (公式16)

由于ECC代数是可交换的，因此公式15和公式16是等效的，即：

S＝(V_2C×V_2S)×G＝(V_2S×V_2C)×G (公式17)

共同秘密(CS)和密钥

共同秘密(CS)现在可以用作秘密密钥，或者用作用于第一节点3与第二节点7之间的安全通信的对称密钥算法中的秘密密钥的基础。

共同秘密(CS)可以具有椭圆曲线点(x_S，y_S)的形式。这可以使用由节点3和节点7协定的标准公知操作转换为标准密钥格式。例如，x_S值可以是256位整数，其可以用作AES₂₅₆加密的密钥。对于需要160位整数长度密钥的任何应用，其也可以使用RIPEMD160转换为160位整数。

可以根据需求来确定共同秘密(CS)。重要的是，由于可以基于消息(M)重新确定共同秘密(CS)，因此第一节点3不需要存储共同秘密(CS)。在一些示例中，所使用的消息(M)可以存储在数据存储器13、数据存储器17、数据存储器19(或其他数据存储器)中，而无需与主私钥所需的相同安全级别。在一些示例中，消息(M)可以是公开地可用的。

然而，取决于一些应用，倘若共同秘密(CS)保持与第一节点主私钥(V_1C)一样安全，那么共同秘密(CS)可以存储在与第一节点相关联的第一数据存储器(X)中。

有利地，该技术可用于基于单个主密钥加密对来确定可以对应于多个安全秘密密钥的多个共同秘密。

生成器值(密钥)的层级

例如，可以确定一系列相继的生成器值(GV)，其中，每个相继的GV可以基于先前的生成器值(GV)得以确定。例如，取代了生成相继的单用途密钥的重复步骤310至步骤370和步骤410至步骤470，通过节点之间的先前协议，双方可以重复地反复散列化先前使用的生成器值(GV)以建立生成器值的层级。实际上，基于消息(M)的散列的生成器值可以是下一代的生成器值(GV')的下一代消息(M')。这样做允许计算相继几代的共享秘密而无需进一步的协议建立传输，特别是无需关于每一代的共同秘密传输多个消息。下一代共同秘密(CS')可以如下得以计算。

首先，第一节点3和第二节点7二者独立地确定下一代的生成器值(GV')。这类似于步骤320和步骤420，但是采用以下公式：

M'＝SHA-256(M) (公式18)

GV'＝SHA-256(M') (公式19.1)

GV'＝SHA-256(SHA-256(M)) (公式19.2)

然后，第一节点3可以确定下一代的第二节点第二公钥(P_2S')和第一节点第二私钥(V_2C')，类似于上述步骤370和步骤330，但是采用以下公式：

P_2S'＝P_1S+GV'×G (公式20.1)

V_2C'＝V_1C+GV' (公式20.2)

然后，第二节点7可以确定下一代的第一节点第二公钥(P_2C')和第二节点第二私钥(V_2S')，类似于上述步骤430和步骤470，但是采用以下公式：

P_2C'＝P_1C+GV'×G (公式21.1)

V_2S'＝V_1S+GV' (公式21.2)

然后，第一节点3和第二节点7可以各自确定下一代共同秘密(CS')。具体地，第一节点3使用以下公式确定下一代共同秘密(CS')：

CS'＝V_2C'×P_2S' (公式22)

第二节点7使用以下公式确定下一代共同秘密(CS')：

CS'＝V_2S'×P_2C' (公式23)

可以通过相同的方式计算其他代(CS”、CS”'等)以创建链层级。该技术要求第一节点3和第二节点7都跟踪原始消息(M)或最初计算的生成器值(GV)以及其涉及哪个节点。由于这是公开地已知的信息，因此不存在关于保留此信息的安全问题。因此，该信息可以保存在“散列表”上(将散列值链接到共同秘密)并且通过网络5(例如使用种子(Torrent))自由分发。此外，如果层级中的任何单独共同秘密(CS)真是受到危及，则倘若私钥V_1C、V_1S保持安全，那么这不影响层级中任何其他共同秘密的安全性。

密钥的树结构

除了如上所述的链(线性)层级之外，还可以创建树结构形式的层级。利用树结构，可以确定用于不同目的的各种密钥，例如认证密钥、加密密钥、签名密钥、支付密钥等，由此这些密钥都链接到单个安全维护的主密钥。可以通过若干方式实现树分支，以下描述了其中三种。

(i)主密钥引发(spawning)

在链层级中，通过将多重反复散列化的消息与原始主密钥相加来创建每个新“链接”(公钥/私钥对)。例如，(为清楚起见，仅示出第一节点3的私钥)：

V_2C＝V_1C+SHA-256(M) (公式24)

V_2C'＝V_1C+SHA-256(SHA-256(M)) (公式25)

V_2C”＝V_1C+SHA-256(SHA-256(SHA-256(M))) (公式26)

...依此类推。

为了创建分支，任何密钥可以用作子主密钥。例如，V_2C'可以通过将其与散列相加来用作子主密钥(V_3C)，如对于常规主密钥进行的那样：

V_3C＝V_2C'+SHA-256(M) (公式27)

子主密钥(V_3C)本身可以具有下一代密钥(V_3C')，例如：

V_3C'＝V_2C'+SHA-256(SHA-256(M)) (公式28)

(ii)逻辑关联

在此方法中，树中的所有节点(公钥/私钥对)是作为链(或者以任何其他方式)生成的，并且树中的节点之间的逻辑关系通过表得以维护，在表中，树中的每个节点仅使用指针与树中的其父节点关联。因此，指针可以用于确定相关的公钥/私钥对，以确定会话的共同秘密(CS)。

(iii)消息多重性

可以通过在链或树中的任何点处引入新消息来生成新的私钥/公钥对。消息本身可以是任意的，或者可以带有一些含义或功能(例如，消息可以与“现实”银行帐户号等有关)。可能希望安全保留这些用于形成新的私钥/公钥对的新消息。

代理的实现方式的示例

本发明可以利用计算资源或代理(其有时可以称为“预言机(oracle)”)以执行合约处理的自动化方面。以下提供合适代理的示例，但是可以使用其他实现方式。

代理可以与区块链一起操作，在图灵机的实现方式中将区块链用作不可擦除的条带。该代理与区块链网络并行运行、监督和处理(循环)处理的执行。循环处理被设计用于执行给定任务，例如，处理的自动化或设备或系统的控制。该并行资源可以监视区块链的状态，并且可以使得交易写入区块链。从某种意义上说，代理利用区块链作为图灵机的不可擦除条带，具有以下定义和特征：

1.区块链作为图灵机的条带。区块链中的每笔交易代表条带上的一个小单元。该小单元可以包含来自有限字母表的符号。

2.条带头可以从已经写入区块链上的区块读取信息。

3.条带头可以将包含许多交易的新区块写入区块链的末尾。但是，这些新区块无法写入已存在的区块上。因此，区块链条带是不可擦除的。

4.每笔交易的元数据可以存储为多重签名支付到脚本散列(P2SH)交易的一部分。

代理的重要功能是充当监视区块链的当前状态的自动化实体。代理还可以从任何区块外部源接收信号或输入。代理可以取决于区块链状态和/或接收的输入，执行特定动作。代理决定要执行哪些动作。这些可以涉及或者可以不涉及“现实世界”(即，区块外)中的动作和/或区块链上的动作(例如创建和广播新交易)。代理所采取的动作可以由区块链状态触发。代理还可以决定下一组交易待广播到加密货币网络并且随后写入区块链。

代理的动作与区块链(例如加密货币)网络并行地且同时地运行。从某种意义上说，这扩展了区块链(例如加密货币)脚本的功能。这种连续监视实现“循环”控制流构造，使得所组合的代理和区块链系统是图灵完备的。

图灵机包括两个栈：

·数据栈：其由如上所述的区块链表示。

·控制栈：其由代理功能表示。控制栈存储与重复控制流功能有关的信息。

控制栈与数据栈的分离提供防止加密货币核心内发生无限循环、缓解拒绝服务攻击的优点。

代理管理和运行那些能够经由任何类型的循环构造(例如FOR-NEXT；REPEATUNTIL等)循环的子程序。本文描述的说明性实施例包括使用“重复”构造的一个示例的处理。用户可以指定索引(i)和限值(J)。索引(i)和限值(J)分别表示当前迭代次数(通常从0开始计数)和重复循环的总迭代次数。

对于每次迭代：

1.索引递增1。对于退出条件，迭代将当索引达到限值时停止；

2.执行包含“if condition then action”(ICTA)语句的代码块；该动作可以是区块链上的任何动作或者区块链外的任何动作；

3.计算该子例程的加密散列。这可以作为交易的一部分存储在区块链中。由于散列对每个代码是唯一的，因此散列将使得能够验证已使用的代码。

循环体包括代码块。每个代码块包含“If condition then action”(ICTA)语句。这监视区块链的当前状态，以用于与以下内容匹配的交易：

·启动或触发条件(例如，当达到特定日期时)。

·重复条件(即与先前迭代相关联的元数据或散列)。

·停止条件(即循环的最后迭代)。

ICTA语句使代理能够基于区块链的当前状态决定要进行的下一笔交易。进行下一笔交易涉及将交易广播到加密货币网络上，并将新交易写入区块链上。

这作为已执行此迭代的记录。一旦将交易已经写入区块链上，管理者就将随后将发现先前迭代已执行并写入区块链上，并将执行下一次迭代。后者继续，直到当索引(i)达到代码块中指定的限值(J)时，重复循环退出。

每笔交易以可以复用的方式保存在区块链中。在加密货币实现方式中，交易中的每个签名都附加有SIGHASH标志。该标志可以采用不同的值，每个值指示在没有该签名的所有者参与的情况下是否可以修改交易的其他部分。在交易输入中的一笔交易输入中，可复用的交易具有SIGHASH标志“SigHash_AnyoneCanPay”。这允许任何人对交易的输入做出贡献。该参数使代理的ICTA功能能够执行并重复多次并具有不同的输入。该功能的使用可以例如经由可复用的交易的版权而限于授权方。

ICTA代码块的“If condition”部分可以监视任何类型的条件。这与其他编程语言(例如C、C++、Java)类似，并且不限于存储在区块链上的信息。例如，其可以监视日期和时间(即，何时达到特定日期和时间)，或者可以监视天气(即何时温度低于10℃且下雨)，监视合约或信托(即当公司A购买公司B时)的条件。

ICTA代码块的“Then action”部分可以执行许多动作。本发明关于可采取的动作的数量或类型并不受限。尽管包含与该动作相关的元数据的交易可以写在区块链上，但是该动作不限于区块链上的交易。

元数据可以是任意形式。然而，在一个实施例中，元数据可以存储对包含与该动作有关的更多数据或指令的文件的超链接。元数据可以存储对包含与动作有关的更多数据或指令的散列表的超链接以及用作散列表的循环键(loop-up key)的动作的散列。

代理的控制栈可以通过特定于每个用户需求的多种方式得以实现。例如，控制栈的重复循环可以基于任何图灵完备语言。一种可能的语言选择是Forth风格的基于堆栈的语言。使用这种语言的优点是它使编程风格与已经知道并广为使用的加密货币脚本保持一致。

使用加密货币脚本的替代栈作为数据存储空间

加密货币脚本包含命令(也称为操作码)，其使用户能够将数据移动到可替代的栈(称为“alt栈”)上。

操作码为：

·OP_TOALTSTACK-将数据从主栈的顶部移动到alt栈的顶部上。

·OP_FROMALTSTACK-将数据从alt栈的顶部移动到主栈的顶部。

这使得来自中间计算步骤的数据能够存储在alt栈中，这类似于允许将数据存储在计算器上的“存储器”功能。在一个实施例中，alt栈用于配置加密货币脚本以解决小的计算任务并将结果返回到计算中。

使用代码寄存器以管理代理

代理还管理其拥有并运行的所有代码的注册表。该注册表的结构类似于将特定密钥映射到特定值的查找表或字典。密钥和值对分别由代码块的散列(H₁)和存储代码的地方的IPv6地址表示。为了使用密钥H₁检索代码块，使用查找表以检索关联值(这是存储代码的位置)并相应地检索源代码。代码注册表的实现方式可以变化。

代理的代码的交易元数据和循环的重新成引发

在特定迭代时重新引发代理的循环所需的信息可以作为元数据存储在区块链上记录的交易中。

以此方式，区块链上的交易可存储或提供对关于在代理上正执行的循环的给定迭代的信息的访问。该信息可以包括与循环相关联的任何变量(例如索引i)的值、以及任何其他必要信息(例如代码块中使用的参数值、或者指定何处可以访问其他所需信息的位置相关数据)。

元数据本身作为交易中多重签名支付到脚本散列(P2SH)脚本的一部分得以存储。通过交易所记录的元数据还能够记录过去如何执行代码的审计跟踪。

存在代理可以在每次迭代时重新引发重复循环代码块的若干方式。代码块可以硬编码到代理本身中，或者可以存储在私有或公共可用文件中，或者存储为私有或公共散列表文件上的条目，或者上述的组合。代码块可以是带有硬编码变量的静态代码块，或者可以是静态的但包含可以填充的参数。参数可以是任何数据格式的单个值，或者可以是小片块的代码，或者是上述的组合。可以通过直接从交易(例如加密货币交易)中的元数据或从诸如内部数据库或私有/公共文件或散列表或上述的任何组合的外部源检索参数来填充它们。指向参数值的外部源的指针可以存储在交易中的元数据中。

以下步骤提供代理可以如何在第i次迭代时重新引发重复循环代码块的一个示例。在此示例中，代码注册表为散列表，其中，散列值用作表的查找键，并存储在交易上的元数据中。

1.代理关于包含与代码注册表中的条目匹配的代码块的散列的交易而监视区块链。

2.代理寻找包含对应散列(H₁)的交易。

3.代理读取“Metadata-CodeHash”，得到CodeHash字段以得到H₁并使用H₁以检索代码(C₁)。如果RIPEMD-160(SHA256(C₁))等于H₁，则代码尚未改变，并且继续到下一步骤是安全的。

4.代理读取存储索引I的“Metadata-CodeHash”，并在第i次迭代时重新引发代码。换句话说，循环在适当的迭代时得以“重新加载”。

5.用户的签名包括于P2SH命令中，以验证元数据的来源。

6.如果循环的这次迭代需要这些数据，则代理读取“Metadata-OutputHash”和“Metadata-OutputPointer”以检索前面步骤的输出。

应当注意，上述实施例说明本发明，而不意在限制本发明，并且本领域技术人员能够设计许多替代实施例，但是这些替代实施例不脱离由所附权利要求书限定的本发明的范围。在权利要求书中，置于括号中的任何附图标记不应被解释为限制权利要求。词语“包括”和“包含”等不排除除了在任一项权利要求或说明书中作为整体列出的要素或步骤之外还存在其他要素或步骤。在本说明书中，“包括”意指“包含或具有”。要素的单数引用不排除这些要素的复数引用，以及要素的复数引用不排除这些要素的单数引用。本发明可以通过包括若干不同元件的硬件以及通过适当编程的计算机得以实现。在列举若干装置的设备权利要求中，这些装置中的若干个装置可以由硬件的一个且同一项来实现。在相互不同的从属权利要求中陈述特定措施的事实并不表示不能充分使用这些措施的组合。

Claims (20)

1.一种区块链实现的控制方法，所述方法包括：

推导部分数据的公钥-私钥加密对，其中所述部分数据与智能合约有关；

使用所述公钥-私钥加密对推导所述部分数据的签名；

对所述部分数据进行编码以生成数据的编码元数据。

2.根据权利要求1所述的方法，包括：通过以下方式从现有的加密密钥对推导所述加密密钥对中的一个密钥或两个密钥：

至少基于第一实体主私钥和生成器值确定第一实体第二私钥；

至少基于第二实体主私钥和所述生成器值确定第二实体第二私钥；

基于所述第一实体第二私钥和所述第二实体第二公钥在所述第一实体处确定共同秘密(CS)，并且基于所述第二实体第二私钥和第一实体第二公钥在所述第二实体处确定所述共同秘密(CS)，

其中：

所述第一实体第二公钥至少基于所述第一实体主密钥和所述生成器值，所述第二实体第二公钥至少基于所述第二实体主密钥和所述生成器值。

3.根据权利要求1或2所述的方法，所述方法还包括：

将所述编码元数据发送到所述区块链。

4.根据前述权利要求中任一项所述的方法，所述方法还包括：

从至少一个用户接收签名和脚本，以使得能够访问嵌入的数据。

5.根据权利要求4所述的方法，其中，所述脚本包括签名方的公钥。

6.根据前述权利要求中任一项所述的方法，其中，所述元数据包括所述数据的散列。

7.根据前述权利要求中任一项所述的方法，其中，所述元数据包括指向所述数据的指针。

8.根据权利要求4所述的方法，其中，所述散列用作存储所述数据的查找表中的主键。

9.根据前述权利要求中任一项所述的方法，包括以下步骤：通过在第一节点(C)处确定与所述第一节点(C)和第二节点(S)共同的共同秘密(CS)来生成或推导加密密钥对中的一个密钥或两个密钥，其中，所述第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且所述第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联；

其中，所述步骤包括：

至少基于所述第一节点主私钥(V_1C)和确定性密钥(DK)确定第一节点第二私钥(V_2C)；

至少基于所述第二节点主公钥(P_1S)和所述确定性密钥(DK)确定第二节点第二公钥(P_2S)；以及

基于所述第一节点第二私钥(V_2C)和所述第二节点第二公钥(P_2S)确定所述共同秘密(CS)，

其中，所述第二节点(S)具有基于第一节点第二公钥(P_2C)和第二节点第二私钥(V_2S)的同一共同秘密(S)，其中：

所述第一节点第二公钥(P_2C)至少基于所述第一节点主公钥(P_1C)和所述确定性密钥(DK)；以及

所述第二节点第二私钥(V_2S)至少基于所述第二节点主私钥(V_1S)和所述确定性密钥(DK)。

10.根据权利要求9所述的方法，其中，所述确定性密钥(DK)基于消息(M)。

11.一种区块链实现的控制系统，所述系统能够操作用于：

推导部分数据的公钥-私钥加密密钥对，其中所述部分数据与智能合约有关；

使用所述公钥-私钥加密密钥对推导所述部分数据的签名；

对所述数据进行编码以生成所述部分数据的编码元数据。

12.根据权利要求10所述的系统，所述系统还能够操作用于：

将所述编码元数据发送到所述区块链。

13.根据权利要求11或12所述的系统，所述系统还能够操作用于：

从至少一个用户接收签名和脚本以使得能够访问嵌入的元数据。

14.根据权利要求13所述的系统，其特征在于，所述脚本包括签名方的公钥。

15.根据权利要求11至14中任一项所述的系统，所述系统还能够操作用于：

生成所述数据的散列并将所述散列存储为所述元数据的一部分。

16.根据权利要求11至15中任一项所述的系统，所述系统还能够操作用于：

生成指向所述数据的指针。

17.根据权利要求15所述的系统，所述系统还能够操作用于：

将所述散列作为主键存储在存储所述数据的查找表中。

18.根据权利要求11至17中任一项所述的系统，所述系统被设置为通过以下步骤在第一节点(C)处确定与所述第一节点(C)和第二节点(S)共同的共同秘密(CS)，其中，所述第一节点(C)与具有第一节点主私钥(V_1C)和第一节点主公钥(P_1C)的第一非对称加密对相关联，并且所述第二节点(S)与具有第二节点主私钥(V_1S)和第二节点主公钥(P_1S)的第二非对称加密对相关联，所述步骤包括：

至少基于所述第一节点主私钥(V_1C)和确定性密钥(DK)确定第一节点第二私钥(V_2C)；

至少基于所述第二节点主公钥(P_1S)和所述确定性密钥(DK)确定第二节点第二公钥(P_2S)；以及

基于所述第一节点第二私钥(V_2C)和所述第二节点第二公钥(P_2S)确定所述共同秘密(CS)，

其中，所述第二节点(S)具有基于第一节点第二公钥(P_2C)和第二节点第二私钥(V_2S)的同一共同秘密(S)，其中：

所述第一节点第二公钥(P_2C)至少基于所述第一节点主公钥(P_1C)和所述确定性密钥(DK)；以及

所述第二节点第二私钥(V_2S)至少基于所述第二节点主私钥(V_1S)和所述确定性密钥(DK)。

19.根据权利要求18所述的系统，其中，所述确定性密钥(DK)基于消息(M)。

20.根据权利要求11至19中任一项所述的系统，其中，所述系统被设置为通过以下步骤从现有的加密密钥对推导所述加密密钥对中的一个密钥或两个密钥：

至少基于第一实体主私钥和生成器值确定第一实体第二私钥；

至少基于第二实体主私钥和所述生成器值确定第二实体第二私钥；

基于所述第一实体第二私钥和所述第二实体第二公钥在所述第一实体处确定共同秘密(CS)，并且基于所述第二实体第二私钥和所述第一实体第二公钥在所述第二实体处确定所述共同秘密(CS)，

其中：

所述第一实体第二公钥至少基于所述第一实体主密钥和所述生成器值，所述第二实体第二公钥至少基于所述第二实体主密钥和所述生成器值。