TWI794366B - 用以安全分享密碼材料之系統及方法 - Google Patents

Abstract

本文所描述的系統及方法涉及多方各自產生和交換基於一已分享秘密的量(例如，該已分享秘密的冪次)而不暴露該已分享秘密的技術。根據一協定，兩方或更多方可以交換在多項式上產生的橢圓曲線點集合，其可以由兩方或更多方中的每一方使用，以決定一已分享秘密的一冪次。該協定可被利用作為決定用於一智能合約之參數的一部分，該智能合約會被廣播到一區塊鏈網路(例如，比特幣)。基於該協定，一附加方(例如，與該等兩方或更多方不同的一第三方)可以執行一計算任務，諸如執行該智能合約。

Description

用以安全分享密碼材料之系統及方法

發明領域 本發明一般係涉及電腦安全性和驗證，更具體地說，係涉及允許多方(例如，多於兩方)分享一群之元素的技術，其指數或乘法係數取決於一已分享秘密的冪次。量可被分享使得該等多方交換量係基於該已分享秘密(例如，該已分享秘密的冪次)而不用暴露該已分享的秘密。本發明特別適合，但不侷限於，使用在智能合約中，其中該等多方可以是該智能合約的各方，他們商定了用於該智能合約的參數。本發明可以利用密碼學和數學的技術來分享量用以獲得與安全相關的優點。

發明背景 一區塊鏈可以指一種同儕式的電子分類賬，其被實現為一種基於電腦的、去中心化的、分散式的系統，其由區塊組成，而這些區塊又可能是由交易和其他資訊所組成。在一些實例中，一「區塊鏈交易」指的是編碼場值之一結構化集合的一輸入訊息，該場值包含有資料和一條件集合，其中滿足該條件集合是把該場集合寫入到一區塊鏈資料結構的先決條件。例如，對於比特幣，每一個交易係一資料結構，該資料結構編碼在該區塊鏈系統中在參與者之間一數位資產的該控制轉移，並且包括至少一個輸入和至少一個輸出。在一些實施例中，「數位資產」指的是與一使用權相關聯的二進制資料。數位資產的實例包括比特幣、以太幣、和萊特幣。在一些實現方式中，可藉由把一數位資產的至少一部分從一第一實體重新關聯到一第二實體來執行轉移一數位資產的控制。該區塊鏈的每一個區塊可以包含前一個區塊的一雜湊，以使區塊變得被鏈接在一起，以創建自該區塊鏈開始以來所有已寫入到該區塊鏈之交易的一種永久、不可更改的記錄。交易包含嵌入到其輸入和輸出中被稱為腳本的小程式，該等程式指出如何以及由誰可以存取該等交易的該輸出。在比特幣的平台上，這些腳本係使用一種基於堆疊的腳本語言來編寫的。

雖然區塊鏈技術係以加密貨幣實現的使用而被廣為人知，但數位企業家已經開始探索使用比特幣所基礎之該加密安全系統以及可被儲存在區塊鏈上之該資料兩者來實現新的系統。如果區塊鏈可被使用在不侷限於加密貨幣領域的自動化任務和過程，那將是非常有利的。這樣的解決方案將能夠利用區塊鏈的好處(例如，事件的一份永久性防篡改記錄、分散式處理、等等)，同時在其應用中更加的多功能。

本發明描述了一或多個基於區塊鏈之電腦程式的技術方面。一基於區塊鏈的電腦程式可以是被記錄在一區塊鏈交易中的一機器可讀取且可執行程式。該基於區塊鏈的電腦程式可包含可以處理輸入的規則以便產生結果，然後可取決於那些結果來致使將被執行的操作。目前研究的一個領域是使用基於區塊鏈的電腦程式來實現「智能合約」。與使用自然語言所編寫的一傳統合約不同，智能合約可以是被編程來自動執行一機器可讀合約或協議條款的電腦程式。

總結 因此，藉由交換可被使用來決定在兩方或多方之間一已分享秘密之冪次的量，提供一種用於在一區塊鏈上多方驗證金鑰記錄的協定係為所欲的。在各種實施例中，可能希望一智能合約的兩方或更多方能夠交換可使用來決定包含一驗證金鑰和一求值金鑰之一共同參考字串的量。在各種實施例中，本文所描述的該等技術允許兩方或更多方在不使用諸如加密之密碼技術的情況下可交換一已分享秘密的冪次，而且不要求該等各方建立交換資料所需要之加密可驗證保證機密性的一通信通道。因此，本發明提供了改善的安全性及驗證解決方案。

這一種改善的解決方案現在已經被設計出。

因此，根據本發明，提供了如在該等所附請求項中所限定的系統及方法。

根據本發明，可提供一種用於一區塊鏈網路之一節點的電腦實現的方法，該電腦實現的方法包含有：在複數位參與者中之一參與者處，決定可用來映射有限場元素的一函數；基於數位參與者數產生在一點集合中求值的多項式；把該等多項式分發給該等複數位參與者的對應參與者；決定該等複數位參與者之每一位參與者的多項式的一總和，其中該總和對應於一秘密的一冪次；以及在該等多位參與者之間並基於該秘密共同地產生一區塊鏈交易。

較佳的是，該點集合係一橢圓曲線點集合。

較佳的是，該多項式總和的該決定係基於一拉格朗日(Lagrange)插值。

如在本文中所描述的一種方法更可包含有至少部分地基於該秘密的該冪次來決定可由該等複數位參與者所決定的一共同參考字串。

如在本文中所描述的一種方法更可包含有從該等複數位參與者之每一位參與者接收多項式的對應值。

較佳的是，在把該等多項式的該等值分發給該等對應的參與者時係利用鏈外通信。鏈外通信可以指未被區塊鏈網路廣播及/或不可由區塊鏈網路驗證的資料通信。

較佳的是，可使用來映射該等有限場元素的該函數作用為一群之一生成元的一係數或指數。

較佳的是，該等複數位參與者恰好是兩位參與者。

決定該秘密可基於在一特定點處求值的該多項式總和，諸如在一特定的橢圓曲線點處。

該特定點可以是一交叉點，諸如每一位參與者之該等多項式的該總和構成了該(主)多項式，其與y-軸的該交叉點係該秘密。

該點集合可排除該交叉點—換句話說，在至少一些情況下，該交叉點不是該點集合的一成員。

在該點集合中求值的該等多項式可至少為2階。

較佳的是，該點集合中之每一個點係一不同的點，使得在該點集合中沒有重複的點。

也希望提供一種系統，其包含有：一處理器；包括有可執行指令的記憶體，當該等可執行指令由該處理器執行時，會致使該系統執行要求保護之該等方法中的任一個。

也希望提供一種非暫時性的電腦可讀取儲存媒體，已在其上儲存有可執行指令，當該等可執行指令由一電腦系統之一或多個處理器來執行時，會致使該系統執行要求保護之該等方法中的任一個。

較佳實施例之詳細說明 圖1圖示出一區塊鏈環境，其中可以實現各種實施例；

本發明描述了一些技術，該等技術可被使用來實現讓多方可安全地分享一群之元素的系統及方法，其指數或乘法係數取決於一已分享秘密的冪次。量可被分享使得該等多方交換基於該已分享秘密的量(例如，該已分享秘密的冪次)而不用暴露該已分享的秘密。因此，在各種實施例中，複數n 位參與者建立一已分享秘密之冪次的表示式(例如，在該乘法的情況中為

)。

在一實施例中，使用本文所描述之技術及方法的一協定被一智能合約的雙方使用來分享可由該等各方所使用的量，以決定一已分享秘密的冪次而不用分享該秘密本身並且不會洩露會使另一個計算實體(例如，不是該智能合約一方的一計算實體)可確定該秘密的資訊。在一個實施例中，該協定包含計算一第一參數集合之一智能合約的一第一方，該第一參數集合被發送到該智能合約的一第二方，該第二方計算一第二參數集合並將那些參數提交給該第一方，其中，在交換如以上所述的該等參數時，雙方都能夠計算該相同的共同參考字串，其包含一驗證金鑰。然後，該等各方可商定一交易，其中他們按比例貢獻數位資產給該智能合約，該等數位資產被鎖到一位址(例如，一區塊鏈網路之一工作者節點的位址)並且可以被解鎖(例如，花掉)。在一實施例中，在該智能合約的該等各方之間的鏈外通信被侷限在交換使用來產生該共同參考字串之該等參數，同時確保安全性被維持(例如，該秘密值不會被洩露也不會由對手或非該智能合約之一方的其他計算實體基於該等交換的參數以其他方式來確定)。在一實施例中，該等雙方(或者，在更為一般的情況下，兩方或更多方)採用了分享一已分享秘密之冪次的技術，諸如在本文件之其他地方，例如，結合圖1-7所描述的該方式。

參照圖1，其圖示出一實例計算環境100，其中本發明的各種實施例可被實踐。在本文中所描述的系統及方法可以涉及用於一智能合約之各方的協定用以交換量，該等第一及第二計算實體可以使用該量來計算該相同的共同參考字串。圖1圖示出一計算環境100，其包含有一第一計算實體102和一第二計算實體104，它們交換一參數集合，其讓該等第一計算實體和第二計算實體兩者決定一共同參考字串108。該共同參考字串可由該等各方利用來產生一智能合約110，該智能合約110鎖住該等計算實體之任一或兩者貢獻作為交易輸入的數位資產。該共同參考字串可以包含一求值金鑰112和一驗證金鑰112。該智能合約110可被發佈到一區塊鏈，諸如在圖1中所示的該區塊鏈118。該智能合約110可以由一第三計算實體106來執行，該第三計算實體不是該智能合約106的一方。作為執行該智能合約的一部分或與執行該智能合約相關聯，該第三計算實體(例如，工作者)可至少部分地基於該共同參考字串的該求值金鑰來產生該智能合約之正確執行的證明116。該正確執行的證明116可由任何合適的計算系統(例如，該智能合約的各方或充當一驗證者節點之該區塊鏈網路的一節點)來在計算上做驗證。在一實施例中，該驗證金鑰114由一第四計算實體(例如，驗證者電腦系統)使用來驗證發佈到該區塊鏈網路118的該證明係正確的。

根據至少一個實施例，該第一計算實體102和該第二計算實體104係一智能合約之參與方的電腦系統。一智能合約的各方可以指在執行一智能合約的條款上達成協議(例如，根據透過相關的使用者輸入裝置所提供的使用者輸入)的兩個或更多個計算實體。該第一計算實體102和該第二計算實體104兩者都同意一智能合約並對該智能合約提供交易輸入，使得該智能合約之該等各別的交易輸入會擔保給一鎖住腳本，該鎖住腳本可被解鎖(例如，花掉)作為一工作者節點提供該智能合約的一正確執行證明的結果。在本文中所描述的系統及方法涉及啟用一鎖住腳本來保護該驗證金鑰V_K 不被變更，以及檢查一證明π的有效性，從而允許在交易驗證期間中在一區塊鏈上執行一種零知識協定。

在各種實施例中，該第一計算實體102和該第二計算實體104可以商定一智能合約，在一實施例中，係藉由交換一訊息集合，該訊息集合編碼用於該智能合約的參數，諸如被使用來控制該智能合約之該執行的日期、時間、條件、以及動作(例如，數位資產之控制的轉移)。舉例來說，一智能合約(例如，一可執行程式)可確保一方可預防一特定航班的延誤，並且該程式的執行可以包括使用諸如在某一天一特定商業航班之航班資訊的外部資料來判定該特定航班是否被延遲。如果該航班延誤，該程式的一方可能會收到一資產轉移(例如，提供旅行保險以防止延誤的一智能合約)。

在一實施例中，該智能合約110用一高階程式語言被編碼為諸如C、C++、或Java的原始碼。這些僅是說明性的實例，該智能合約可以使用其他合適的程式語言來被編碼。在一實施例中，諸如一編譯器、解譯器、及/或組譯器的軟體可被利用來把該智能合約110轉換為一算術電路，該算術電路由「線路」所組成，該等線路攜帶有來自一場

之值並連接到加法和乘法閘。應被注意的是，該算術電路可以指一邏輯電路，該邏輯電路可由包含有由實體線所連接之一系列實體閘(例如，使用電晶體-電晶體邏輯(TTL)積體電路，諸如7400系列閘、正反器、緩衝器、解碼器、多工器、等等)的一實體電路來實現。雖然一智能合約110的該執行係被描述在圖1和其他地方的情境中，但是一智能合約的該使用僅是可被轉換為一算術電路之原始碼的一個非限制性的實例。在一實施例中，一客戶端(例如，該第一計算實體102，不是單獨就是與該第二計算實體104結合)決定原始碼用於執行由一組操作所限定的一任務，其中該任務的執行被委託給一第三計算實體106(被稱為一工作者或證明者)。一般而言，一驗證者可以執行與判定該證明者正確地執行該任務相關聯的任務，諸如藉由驗證由該證明者所產生之一正確執行證明116的該有效性。

一可驗證的計算係允許產生計算之證明的一種技術。在一實施例中，一客戶端利用這一種技術把在一輸入x上對一函數f的求值外包給在此被稱為一證明者的另一計算實體。在某些情況下，該客戶端在計算上受到限制，因此要該客戶端執行該函數的求值係不可行的(例如，該計算使用該客戶端可用計算資源的預期運行時間超過一最大可接受的臨界值)，雖然實情未必如此，一般而言，該客戶端可以基於任何合適的標準，諸如計算運行時間、計算成本(例如，分配計算資源來執行該函數求值的財務成本)、等等，對在輸入x上該函數f的求值進行委託。

在一實施例中，一證明者係任何合適的計算實體，諸如在本發明的其他地方被更詳細描述的一區塊鏈節點。在一實施例中，一證明者(例如，一區塊鏈節點)求出該函數f在輸入x上的值，並產生一輸出y以及該輸出y之該正確性的一證明π，其可由諸如上述該客戶端之類的其他計算實體及/或該區塊鏈網路的其他節點來驗證。證明，其也可被稱為論證，可以比該實際的計算被更快地驗證—因此，藉由驗證該證明的正確性而不是在輸入x上重新計算該函數f來判定由該上述證明者所產生之輸出的正確性，可以減少計算開銷(例如，降低功率開銷以及與供電和運行計算資源相關聯的該成本)。在零知識可驗證計算中，該證明者提供一證明給該客戶端指出該證明者知道具有一特定屬性的輸入。

知識之一種零知識證明的一有效變型係zk_SNARK(簡潔非互動式的知識論證)。在一實施例中，所有基於配對的zk-SNARK包括一程序，其中該證明者使用一般的群操作來計算數個群元素並且該驗證者使用數個配對的乘積方程式來檢查該證明。在一實施例中，該線性互動式證明適用於一有限場，並且該證明者和驗證者的訊息包括編碼、參考，或以其他方式包括可用於確定場元素向量的資訊。

在一實施例中，該第一計算實體及/或該第二計算實體藉由交換一訊息集合來商定一智能合約的執行條款，該訊息集合編碼用於執行該智能合約的提議參數，諸如一或多個布林(Boolean)表示式，該等布林表示式編碼一條件集合，該條件集合基於一條件被滿足決定是否及/或如何執行該智能合約以及要執行的一操作集合。在一實施例中，一個計算實體把一參數集合發送給該第二計算實體作為一協定的一部分，並且該第二計算實體判定該等參數對於該智能合約是否可接受。如果該等參數不被接受，則該第二計算實體可以向該第一計算實體提供一不同的參數集合，作為用於執行該智能合約的一第二提議參數集合。該第二計算實體還可以提供一信號指出該第一參數集合係不可接受的，並且該第一計算實體決定要提供一第二參數集合。在任一種情況下，一旦所有的各方都已信令出對該等參數的協議，在一實施例中，任一計算實體可都以產生一鎖住交易其中該等輸出中之一被該程式(例如，一智能合約腳本)鎖住並把它發送給該智能合約的一交易對方。該鎖住交易可以指一種初始化限制條件的交易，在該等限制條件上可驗證一解鎖交易。在一些實例中，一「解鎖交易」指的是一區塊鏈交易其把一先前交易之一UTXO所指出之一數位資產的至少一部分重新關聯(例如，轉移所有權或控制)到與一區塊鏈位址相關聯的一實體。

在一實施例中，該第一計算實體產生一鎖住交易並添加涵蓋部分該工作者費用的一交易輸入。應被注意的是，此時，該鎖住交易尚未生效，因為該等交易輸入的值不等於該鎖住交易之該等交易輸出的值。繼續本實例，當該第二計算實體接收到該鎖住交易時，該第二計算實體驗證該智能合約(例如，驗證該共同參考字串以及用於執行該智能合約的參數)並把一輸入添加到該鎖住交易並解鎖一UTXO以轉移給該發行人商定的數位資產，還包括將支付給該工作者執行該程式(例如，該智能合約)的一費用以及具有給該工作者之該費用值的輸出。在該第一計算實體和該第二計算實體兩者都向該智能合約提供交易輸入的情況下，該智能合約可以由雙方所共同擁有，並且該智能合約的轉移(例如，交換或銷售)可能需要來自雙方的一證明。

該智能合約110可由諸如一區塊鏈網路之一節點的一第三計算實體106來執行。該第三計算實體106可被稱為一工作者或一證明者。在一實施例中，該工作者藉由至少執行涉及計算在一輸入上的一函數值的計算任務來執行該智能合約。在一實施例中，該工作者係該智能合約之該(等)擁有者可把計算任務委託給其之任何合適的電腦系統。在一實施例中，一輸入包括證明該工作者身份的資訊，諸如使用與該工作者相關聯的一私鑰所產生的數位簽名。在一實施例中，該工作者係一電腦系統，該等第一和第二計算實體同意轉移數位資產給它以換取成功地完成一計算任務。在一實施例中，該智能合約該(等)擁有者提供一輸入x和該求值金鑰E_K 112給一證明者，該證明者對一計算程序使用一求值模組來計算該輸出y(即，y=f(x)，其中該輸入為x且該函數為f)並且使用該求值金鑰E_K 產生一正確執行證明116，其在本說明書的其他地方也可被稱為一正確性證明。在一實施例中，該工作者係包含有硬體及/或軟體的一電腦系統，該硬體及/或軟體包括指令，如果該等指令由該電腦系統的一或多個處理器執行，會致使該電腦系統求出一QAP之該內部電路線的該等值並產生該QAP的一輸出y。

在實施例中，一輸出y，即該內部電路線的值(或其一子集合)，以及該求值金鑰E_K 被使用來產生該正確性證明。該證明π可被儲存在該區塊鏈上並由多方驗證，而不需要該工作者分別地與該等多方互動。以這種方式，一第四計算實體(例如，一驗證者電腦系統)可以使用該公開的驗證金鑰V_K 114和該證明π來驗證該經廣播的交易，從而驗證該智能合約。在某些情況下，如果驗證失敗，該智能合約的該(等)擁有者可以收回由該經廣播交易擔保的數位資產。在某些情況下，該智能合約該(等)擁有者可以執行該證明的該驗證。

在一實施例中，根據上面及/或下面所描述的技術，該驗證金鑰114和對應的證明116被產生。因此，一驗證者被給予驗證金鑰V_K 和證明π：

使得該驗證者計算複數個橢圓曲線乘法(例如，每一個公開的輸入變數一個)和五對檢查，其中一個包括一額外的配對乘法。

給定驗證金鑰

、證明π、以及

，來驗證

整除

並因此

，該驗證者如下進行。首先，它檢查所有的三個

項：

其中

、

、以及

。然後，該驗證者檢查

項：

以及

。最後，該驗證者檢查該可整除性需求：

其中

、

。

因此，考慮來自上述部分和在本發明中所描述之該等實例的該符號，根據一個實施例，該驗證包括以下元素的一配對檢查集合：

圖2圖示出一計算環境200，其中一第一計算實體202和一第二計算實體204交換量，該等量可被使用來決定在兩方或更多方之間一已分享秘密的冪次。該第一計算實體202和該第二計算實體204可以交換量(如在圖2中所示之該水平箭頭的下方)，該等量被使用來計算一相同的共同參考字串。在一實施例中，該第一計算實體和該第二計算實體係一區塊鏈網路的節點，它們係根據圖1所描述的那些節點。根據至少一個實施例，令

係場上的一函數、令

係對應的算術電路、以及

係該對應之大小為m 次數為d 的QAP(二次算術規劃)。再者，令

係一雙線性映射，

為

的一生成元。在一實施例中，加法式表示(而非指數式表示)被選擇。在一實施例中，藉由以下方式來選擇一求值金鑰和一驗證金鑰：選擇隨機的

，並設定

、

(通常：

)、以及對應地

，來構建該等金鑰：

和

其中

，即，該輸入輸出數。在考慮一不對稱配對的一實施例中，該配對映射將被定義為

，而

係

的一生成元，i =1,2。在這種情況下，該CRS會略有變化，該

將會是

其中

且

。

如所指出的，電路係藉由多項式

來被描述，它們接下來會用一秘密

來求值，其只有擁有/創建該電路以及對應QAP的該方才知道(例如，該智能合約的該等擁有者)。

更準確地說，如以上所述，該客戶端產生該等元素：

有鑑於本提出解決方案的該安全性係依賴於該參數，

，在一些實施例中，暴露該等剩下的(

)會洩露資訊，該資訊會使該系統不會成為零知識及/或該客戶端不希望其他實體知道該資訊。

在一實施例中，對於一工作者被要求要提供一正確性證明的解決方案，可以存在一OP_碼(或等效物)用於驗證針對一驗證金鑰的該正確性證明。

應被注意的是在本說明書中，除非另有說明，否則在本文中的該等多項式是在一個場

上被定義的。因此，令

為一個場。因此，在場

上的一多項式係由

給出

其中

。

在一實施例中，藉由該等多項式

以一秘密

求值，該共同參考字串被表示出，表達形式如下：

在一實施例中，本文所描述的技術被利用來決定和分享橢圓曲線點，型式為：

，用於該相關群(例如，橢圓曲線點)的一生成元

。因此，在一實施例中，本文所描述的系統及方法被利用來決定和分發

，對於任意整數冪

。

根據至少一個實施例，分享和分發

的技巧被圖示在圖2中。作為一實例，結合圖2以下對

的情況做很詳細地描述，並且應該被視為是在該智能合約的各方之間分享秘密之冪次的一非限制性實例。此外，值得注意的是，在本文所描述的各種實施例中，一臨界值的該等效物被事先給出並假定該必要的參與者數先要商定。

圖2根據至少一個實施例圖示出在兩位參與者的情況下分享和分發一已分享秘密之冪次的技術。如圖2所示並且根據至少一個實施例，恰好有兩方參與者，它們分享一已分享秘密的冪次(即，

的情況)。該等第一和第二計算實體可分別被稱為A和B。在一實施例中，A和B可以交換以下的資訊：A發送

給B，並收到

作為回應(

)。以這種方式，兩者都可以計算出

使用拉格朗日(Lagrange)插值(拉格朗日(Lagrange)多項式)，可以用

和

來表達

：

並且，藉由延伸，可用

來表達

(參見WP0559)。雖然該等參與者無法重建

，但藉由該等交換的點

他們可以重建

(特別是

)。這對於更高冪次

也同樣地正確。作為該多項式公式(多項式定理)的結果：

對於

這變成：

接下來，其產生了以下的項之「塔」(這裡

)：

示意地該交換可看起來如下所示(對於某

)：

在這次交換之後(遵循某些預先安排的慣例)雙方都可以計算出

，並且特別是

。

圖3圖示出一計算環境300，其中一第一計算實體302和一第二計算實體304交換一參數集合，這些參數使得一協定—例如結合圖1所描述的那些—成為零知識。根據各種實施例，一公開的驗證金鑰可以採用以下的形式：

有鑑於本提出解決方案的該安全性係依賴於該參數，

，在一些實施例中，暴露該等剩下的(

)會洩露資訊，該資訊會使該系統不會成為零知識及/或該客戶端不希望其他實體知道該資訊。因此，在一實施例中，使用來產生一驗證金鑰306之該等剩下參數的一些或全部使用結合圖3所描述的技術被分享。

在一實施例中，根據在本發明中其他地方所描述的技術，多項式被交換在該第一計算實體302與該第二計算實體304(它們可分別稱為A和B)之間，諸如結合圖1、2以及4所討論的那些。因此，在一實施例中，該第一計算實體302計算並分享一橢圓曲線點集合

給該第二計算實體304，並且該第二計算實體304計算並分享一橢圓曲線點集合

給該第一計算實體302。另外，被使用來產生該驗證金鑰306的其他參數可以不用跨越一通信通道以一種明文格式來被揭露，而是使用以下描述的技術來發送。

根據一實施例，令

係

的一生成元，

並且對於

，

。此外，在一實施例中，

被分享，並且其他參數以一種可確保該等參數之該機密性的方式(例如，加密或其他隱藏的技術)來被傳播。值得注意的是，該等參與者中之任一可以，相反地，產生該等參數

，並且可以離線或在線(例如，鏈上)把它們傳送給另外一個。關於前者—即，確保該等其他參數的機密性—各種技術可被使用。例如，藉由使用沙米爾(Shamir)秘密分享方案(4S)來分享該等元素

(並且可能有

，取決於實現方式/協定)及/或使用一種迪菲-赫爾曼(Diffie-Hellman)類似的密碼產生用於

。

在一實施例中，該等元素

，或它們的某組合的形式為

。與

的情況一樣，每位參與者

產生一多項式

，以

對其進行求值，並與參與者

分享對應的

。因此，每位參與者都可以確定

，並且特別是

，其中

可以是

、

或它們的某個組合，其中該特定的組合可以是基於一協定/約定，諸如一zk_SNARKs協定。

在一實施例中，該

參數借助於橢圓曲線點來被分享，而其他參數可藉由純量數值。對於這樣的值，根據至少一個實施例，一種迪菲-赫爾曼(Diffie-Hellman)方案被使用在兩個計算實體之間分享純量參數，而不用分享該等參數本身。因此，在一實施例中，令

係一N 個參數的集合。在一實施例中，假設A和B已經商定使用具有模數

和生成元

的一乘法群

，並且該等參加者(A和B)進行以下的該等步驟(雖然該指數表示被使用於此處作為一說明性的實例，但是其他合適的表示也可以被使用)：對於每一個

，該等第一和第二計算實體分別創建一(私有地)隨機數

，並且兩者都導出一(公開的)元素：

和

。然後該等計算實體進行交換

和

，並分別計算

和

(=

)。因此，該等參數被設置為

。

因此，該等上述的技術已示範該等第一和第二計算實體兩者都分享該參數

，而無需藉由交換

和

來交換它們。應被注意的是，根據至少一個實施例，由於在該前述方式中至少一個參數被交換，故參與者的該數量被限制為n=2。

圖4圖示出一種協定的示意圖400，基於一種雙方共同參考字串(CRS)以及對應的正確性證明(POC)或正確執行的證明。該圖400圖示出一第一計算實體402、一第二計算實體404、以及一第三計算實體106，其中在執行該智能合約時，該第一計算實體402和該第二計算實體404共同對可由該第三計算實體406來解鎖的一智能合約做出貢獻。在一實施例中，該協定至少部分地使用區塊鏈網路來實現。

根據本發明，並且更為詳細地描述(例如，結合圖4)，用於兩位參與者A和B的一方案和協定可被利用來產生一已分享的秘密，並且因此產生一已分享的共同參考字串(CRS)，其可被使用於驗證一相關電路的該正確執行。在一實施例中，該方案假定資料的一鏈外交換，首先在A與B之間，其次在A+B(或者任一個)與代表A或B之至少一個執行一計算任務的工作者C之間。為了使該工作者C執行該計算任務(例如，一智能合約的執行)，A和B兩者都簽署一交易(其可以包含或可以不包含一P2SH型態的贖回腳本)，其要求該工作者C提供一正確性證明並證明持有正確的驗證金鑰(VK)以解鎖該資金。

在一些實施例中，用於實現在本發明中所呈現該協定的技術不需要對現有區塊鏈網路做任何的協定改變(例如，可以使用已支援之現有的命令在一基於比特幣之區塊鏈網路上實現)。在一些實施例中，由該比特幣協定所支援之該現有命令集的擴展也在本文被討論—該擴展可以包括新命令(例如，新的OP代碼)，其可以具有各種益處，諸如提高智能合約的執行效率、減小該智能合約的大小(這可以減少該區塊鏈網路節點要正常運行所需要的儲存空間量)、等等。在一些實施例中，對該區塊鏈確認一智能交易的成本至少部分地基於該智能合約的大小。

在一實施例中，橢圓曲線點的交換及轉移以及與該共同參考字串有關的其他資料係在鏈外被傳輸。在一實施例中，該驗證金鑰最終還是被廣播或以其他方式經由用於該工作者C和希望要求值其智能合約之雙方(A和B)所執行之工作(例如，一智能合約的執行)之數位資產的交換被提供在鏈上。如本文所述，幾種方案都是有可能的。例如，當準備該鎖住交易時，A和B可以兩者都或非兩者都提供該VK或VK的雜湊。換句話說，在一實施例中，大部分容量密集之工作負載的係在鏈外完成的。

在一實施例中，該協定包括鏈外和鏈上兩者的成分，如在圖4中所示的該虛線所示。鏈外成分可包括在不把資料儲存到一區塊鏈分類帳的情況下所發生之資料及資訊的通信及交換。例如，該協定的一鏈外成分可以包括在一來源與目的地之間的IP封包交換(例如，該第一計算實體402係一來源，其把一第一參數集合發送到一目的地，即該第二計算實體404)。例如，該協定的一鏈上成分可以包括把資料廣播到一區塊鏈分類賬，該區塊鏈分類賬可被提供用於該區塊鏈網路的節點。

在一實施例中，該第一計算實體402至少部分地基於一第一多項式計算一橢圓曲線點集合

。該第一計算實體402可以向該第二計算實體404發送資料，其包含有該橢圓曲線點集合中的至少一些。例如，該第一計算實體402可以發送橢圓曲線點的該完整集合。作為一第二實例，該第一計算實體402可以發送該等橢圓曲線點的一子集

。

在一些實施例中，發送附加資料時並不要求要維護一已分享秘密s的保密性，但可能需要使該系統成為零知識。例如，

、

，或者其之某種組合也可被計算(如上面結合圖3所述)以產生可被使用作為確定一共同參考字串之一部分的附加參數值。在一實施例中，

係一純量值集合。在一實施例中，

指的是一橢圓曲線點集合。

在一實施例中，該第二計算實體404同樣地計算一橢圓曲線點集合

，基於可能與該第一計算實體402所使用之多項式不同的一多項式。該第二計算實體404可執行如以上所述的類似操作。例如，該第二計算實體404可以把該已產生之橢圓曲線點的一子集

發送給該第一計算實體402。另外，在一實施例中，可選擇的參數諸如

,

，或者它們的某組合可被交換，其雖然非維持該已分享秘密s之保密性所必需的，但是可被利用來確保該協定係零知識。

在一實施例中，該已交換的量可由該第一計算實體402和該第二計算實體404兩者來計算該相同的共同參考字串。它們可以或可以不向該第三計算實體(例如，工作者)提供該共同參考字串，因為該第三計算實體406稍後必須證明持有該正確的驗證金鑰。由該等第一及第二計算實體兩者對該相同共同參考字串的決定可以在鏈外被執行。

繼續該協定，根據一個實施例，該等第一和第二計算實體商定了一交易，在該交易中它們依比例做出貢獻用於該智能合約的執行。在一實施例中，該等第一和第二計算實體就貢獻比例達成一致，並且每一個提供被擔保給該智能合約的交易輸入，並且可以在執行該智能合約時由該第三計算實體來解鎖。這可能是也可能不是一種付費給腳本雜湊(P2SH)類型的協議，它們兩者都轉移資金到同一位址(C的位址)。該P2SH類型腳本可以包含或可以不包含該驗證金鑰的該等元素或驗證金鑰雜湊值，即，

。在一實施例中，該金鑰已被分割成塊。該智能合約可被廣播到一區塊鏈成為在圖4中所示的該第一交易410，其具有由該第一計算實體402所貢獻的一第一交易輸入和由該第二計算實體404所貢獻的一第二交易輸入，其作用為以該等第一和第二計算實體所商定的一比例支付給一工作者的費用。

在一實施例中，該第三計算實體406—也被稱為一工作者—根據在英國專利申請案第1719998.5號及/或英國專利申請案第1720768.9號的該等協定在一第二交易410中解鎖該等資金—而且該第三計算實體406解鎖用於工作的該等資金(該電路的正確執行)並且這樣子做，證明了它擁有(a)正確的驗證金鑰以及(b)一有效的正確性證明。該驗證可由另一電腦系統(例如，為一驗證者之該區塊鏈的一節點)執行或由作為該智能合約之一方的該等計算實體中的任一/兩者來執行。

圖5根據一實施例展示出程序500的一說明性實例，該程序500係一種用於產生包含有一驗證金鑰及一求值金鑰的一種兩方共同參考字串。該程序500之部分或全部(或在本文中所描述之任何其他的程序，或其之變型及/或組合)可在組配有電腦可執行指令之一或多個電腦系統的控制下被執行，並且可被實現為程式碼(例如，電腦可執行指令、一或多個電腦程式、或一或多個應用程式)由硬體、軟體、或其之組合在一或多個處理器上集體地執行。該程式碼可被儲存在一電腦可讀取儲存媒體上，例如，儲存成一種電腦程式的形式，該電腦程式包含有可由一或多個處理器執行之複數個電腦可讀取指令。該電腦可讀取儲存媒體可以是一種非暫時性的電腦可讀取媒體。在一些實施例中，可使用來執行該程序500之該等電腦可讀取指令中的至少一些不是僅使用暫時性的信號(例如，一傳播中的瞬態電或電磁波傳輸)來儲存。一種非暫時性的電腦可讀取媒體可包括在暫態信號之收發器內部的非暫時性的資料儲存電路(例如，緩衝器、快取、以及佇列)。

在一實施例中，執行該程序500的該系統係一計算實體，其係一智能合約的一方，其執行一程序以至少建立可由該系統及該智能合約的另一方使用來計算一相同的共同參考字串的資訊。結合該程序500所描述的該共同參考字串可以與，例如，結合圖1-4所討論的那些一致。在一實施例中，藉由該等多項式

以一秘密

求值，該共同參考字串被表示出，表達形式如下：

在一實施例中，502該第一計算實體決定一第一多項式以產生一第一橢圓曲線值集合。在一實施例中，該系統產生橢圓曲線點，型式為：

，對於該相關群(例如，橢圓曲線點)的一生成元

。除非另有說明，否則在這個程序500中的該等多項式是在一個場

上被定義的。因此，令

為一個場。因此，在場

上的一多項式係由

給出並且

其中

。該橢圓曲線點集合可被表示為

。

該第一計算實體可以504把該橢圓曲線點集合提供給該第二計算實體。在一實施例中，該系統不需要把該橢圓曲線點的完整集合提供給該第二計算實體—而是在一實施例中，該系統僅發送該等橢圓曲線點的一子集

。

例如，根據至少一個實施例，其中

，該第一計算實體計算

，並與該第二計算實體分享

。該等剩下的量

可由該第一計算實體利用來計算該共同參考字串。

該第二計算實體，其也是該智能合約的一方，可以為該等相同的輸入點分別地產生一橢圓曲線點集合(例如，產生橢圓曲線點

)，並把該等已產生點的全部或一些提供給該第一計算實體。該第一計算實體可以506從該第二計算實體接收一第二橢圓曲線點集合，其對應由該第二計算實體所產生之橢圓曲線點的一些或全部，其中該子集可基於在本發明中其他地方(例如，結合圖2和圖6)所描述的技術來決定。

在一實施例中，508該系統基於該等第一和第二橢圓曲線點集合的至少一部分決定一相同的共同參考字串。例如，在交換橢圓曲線點之後，一拉格朗日(Lagrange)插值可被使用來以

和

來表達

。在一實施例中，該智能合約的雙方可以藉由該等交換的點

重建冪次

(並且特別是，

)。對於冪次

，如以上所述之該多項式公式可被利用：

例如，對於

這變成：

在一實施例中，附加參數(例如，純量值及/或橢圓曲線點)被交換在該等第一與第二計算實體之間，諸如以結合圖3所描述的方式，以及該等參數結合該已分享秘密的一冪次

被使用來計算該驗證金鑰及/或求值金鑰。在一實施例中，該等參數是在不依賴於提供機密性之密碼式可驗證保證之加密及/或通信通道的情況下被交換的。

在一實施例中，該等第一和第二計算實體就一交易達成協議，並且510每一個計算實體對該智能合約的一各別交易輸入做出貢獻，其可由正確執行該智能合約的一第三計算實體(例如，工作者)來解鎖。在一實施例中，該等計算實體之任一個提供一比例的工作者費用。可能存在也可能不存在一種P2SH類型協議，其中兩者都對相同的位址(例如，工作者的位址)做出貢獻。在一實施例中，該P2SH腳本包括該驗證金鑰的元素或該驗證金鑰的雜湊值。一工作者(例如，第三計算實體)可藉由提供一計算上可驗證的認證來解鎖(例如，解鎖)該等貢獻，該計算上可驗證的認證指出該工作者具有正確的驗證並且藉由，例如，使用結合在英國專利申請案第1719998.5號及/或英國專利申請案第1720768.9號中所描述的技術來提供一有效的正確性證明。

圖6根據至少一個實施例圖示出一種用於在n方(例如，n＞2)之間分享一已分享秘密之冪次的程序600的一說明性實例。該程序600之部分或全部(或在本文中所描述之任何其他的程序，或其之變型及/或組合)可在組配有電腦可執行指令之一或多個電腦系統的控制下被執行，並且可被實現為程式碼(例如，電腦可執行指令、一或多個電腦程式、或一或多個應用程式)由硬體、軟體、或其之組合在一或多個處理器上集體地執行。該程式碼可被儲存在一電腦可讀取儲存媒體上，例如，儲存成一種電腦程式的形式，該電腦程式包含有可由一或多個處理器執行之複數個電腦可讀取指令。該電腦可讀取儲存媒體可以是一種非暫時性的電腦可讀取媒體。在一些實施例中，可使用來執行該程序600之該等電腦可讀取指令中的至少一些不是僅使用暫時性的信號(例如，一傳播中的瞬態電或電磁波傳輸)來儲存。一種非暫時性的電腦可讀取媒體可包括在暫態信號之收發器內部的非暫時性的資料儲存電路(例如，緩衝器、快取、以及佇列)。在一實施例中，一臨界值的該等效物被事先給出並假定參與者的該必要數量要先商定。這不同於各種現有技術，諸如在沙米爾(Shamir)秘密分享方案(4S)中所描述的技術，其中一秘密的分享僅能施行在一給定臨界值被達到的限制下。

根據各種實施例，秘密分享適用於一任意數量的參與方。在一實施例中，在本發明中所描述形式的大部分都可適用於多方(n＞2)的情境。在一些實施例中，多方系統(n＞2)不被要求要隱藏特定的其他參數(例如，以下非橢圓曲線(例如，純量)參數：

的一些或所有)。然而，如果那些參數根據該協定都保持為私有的，則不同的方法—諸如結合圖3所描述的那些—可被使用來隱藏諸如

的參數。

在一實施例中，所有的參與者都602同意及/或可以使用該函數

，其把有限場元素映射到其他的有限場元素。在一實施例中，該等函數作用為群之生成元的係數/指數。為了說明的目的，下文所描述的實施例聚焦於多項式，因為我們感興趣的該等函數可藉由泰勒(Taylor)級數的推廣使用多項式來表示。特別的是，在各種實施例中，參與的各方會用該相同的值來估量該等函數，並且不用在他們自己之間傳遞該值。例如，在1階多項式的情況下，這相當於使用沙米爾(Shamir)秘密分享方案。對於更高階(n＞1)，該等各方正在處理以下形式的表示式：

因此，本文所描述的技術可被利用來確保所有的參與者都具有相同的

。例如，在根據至少一個實施例所描述的一協定中，對於任意的整數冪r ，可藉由公開地分發具有

形式的點，該相同的EQ_FSG可以在兩位或更多位參與者之間(即，

)被分享，因為

，其中

係討論中該群(例如，橢圓曲線點的)一生成元。

在一實施例中，每一位參與者能夠604產生多項式，其在一點集合

上被求值，其中

，並且該等點對所有的各方都可能是已知的。在一實施例中，每一位參與者的該等多項式的總和構成該(主)多項式，其中與y軸的該交點係該秘密，即，

， 具有

，其中

係該參與者數。如以上所述之與y軸的交點可以被稱為一交叉點。

為了建立

，606每一位參與者分享在該等不同點

上求值之一對應的多項式。更具體地說，對於

參與者

創建/計算

，並發送

至

。一旦這些量被分享，608每一位參與者就能夠計算或以其他方式確定該已分享秘密的一冪次

。

在考慮

時需要稍微地仔細，因為它相當於分享以下的表示式

由於該生成元的冪次通常沒被定義，因此可能無法計算

的冪次。然而，由於所有參與者都可以藉由該等已交換的

來推斷

，因此可以藉由檢查該拉格朗日(Lagrange)插值多項式

的冪來做為開始(因為該主多項式通常可以藉由拉格朗日(Lagrange)插值(拉格朗日(Lagrange)多項式)來被建構出)。該拉格朗日(Lagrange)插值可被寫為：

其中

並因此

其中

係該多項式係數(多項式定理)。因此，該等多項式

可由每一位參與者獨立地計算出。接下來，每一位參與者可以計算：

使得

其，接下來，可被重寫為(使用多項展開)：

這意味著，參與者

(多項式

的該擁有者/創建者)可以為參與者

提供

的冪次，即，提供以下集合：

這允許參與者

計算

(和類似地

)等等。在一實施例中，一參與者計算具以下形式的表示式：

根據至少一個實施例考慮一實例，其中參與者使用一橢圓曲線，並且其中

係在該對應的(乘法)表示式中的一生成元。在兩位參與者的情況下，A和B：A發送

給B，並收到

作為回應。因此，參與者A可以計算出

同樣地，參與者B可以計算出

使用拉格朗日(Lagrange)插值，可以使用

和

來表達

：

每一位參與者可藉由該等交換的點

重建

(而且特別是

)。對於更高的冪次

，可以使用上一節中的該多項式公式：

對於

這變成：

在這個交換之後(遵循某些預先安排的慣例)，雙方都可以計算

，並且特別是

。

根據該程序600的一協定在以下被描述。由於每位參與者需要能夠獲得具

形式的表示式，因此在交換該等點時可能需要一種順序。這裡我們說明一種如此的解決方案。

在不失一般性的情況下，根據至少一個實施例，可以假設參與者1係提交該等第一橢圓曲線點的參與者。在一實施例中，該協定遵循以下的該等步驟： 1. 參與者1分發

給所有

的參與者，其中

和

，並且其中

係該參與者數量。 2. 參與者2分發

給所有

的參與者，其中

、

以及

3. 參與者3分發

給所有

的參與者，其中

、

、

以及

4. ....(對於每一位參與者依此類推)

在該序列中的第

位參與者分發

給所有

的參與者，其中

對於

、

以及

。當最後一位參與者，

，分發他/她的點時，所有的參與者都有必要的成分來計算

。

在一實施例中，該程序600包括複數

位參與者(例如，多於2位參與者)，他們交換具有形式

的點集合，其中該等點被每一位參與者使用來計算

。然後，該等參與者可以使用

，配合使用拉格朗日(Lagrange)插值，來獲得

，並且特別是，

。在一實施例中，該等點係橢圓曲線點，其中

。

因此，本說明書和附圖應被視為是說明性的而非限制性的。然而，將顯而易見的是，在不脫離如在該等請求項中所闡述之本發明範圍的情況下，可以對其進行各種的修改和改變。同樣地，其他的變型也是在本發明的範圍內。因此，儘管該等揭露的技術係易於進行各種修改和結構替換，某些圖示出的實施例已被展示在該等附圖中並且已在上面做出詳細地描述。然而，應被理解的是，本文並無意圖把本發明限制在所揭露之特定形式或多個形式，相反的是，其目的係欲涵蓋落入到本發明範圍內之所有的修改、替代結構以及等同物，如在該等所附請求項中所限定的。

除非另有說明或與上下文相互矛盾，否則術語「集合」(例如，「一項目集合」)或「子集」的使用應被解釋為包含有一或多個成員的一非空集合。此外，除非另有說明或與上下文相互矛盾，否則一對應集合的術語「子集」不一定表示為該對應集合的一真子集，而是該子集和該對應的集合可能是相等的。

連結性語言，諸如「A、B、及C中之至少一個」或「A、B及C中之至少一個」形式的短語，除非另有明確說明或與上下文明顯矛盾，否則將被理解為通常使用在呈現一項目、項目、等等的上下文中，可以是A或B或C，或A及B及C之該集合的任何非空子集。例如，在一具有三個成員之集合的說明性實例中，該連結短語「A、B、及C中之至少一個」和「A、B及C中之至少一個」」指的是以下集合之任一：{A}、{B}、{C}、{A、B}、{A、C}、{B、C}、{A、B、C}。因此，這種連結性語言通常不旨在暗示某些實施例需要至少一A、至少一B以及至少一C，每一個都要存在。此外，除非另有說明或另外從上下文可清楚其意，否則短語「基於」意味著「至少部分地基於」而不是「僅基於」。

除非另有說明或與上下文明顯矛盾，否則所描述之程序的操作可以以任何合適的順序來執行。所描述之程序(或其之變型及/或組合)可在組配有電腦可執行指令之一或多個電腦系統的控制下被執行，並且可被實現為程式碼(例如，電腦可執行指令、一或多個電腦程式、或一或多個應用程式)由硬體或其之組合在一或多個處理器上集體地執行。在一些實施例中，該程式碼可被儲存在一電腦可讀取儲存媒體上，例如，儲存成一種電腦程式的形式，該電腦程式包含有可由一或多個處理器執行之複數個電腦可讀取指令。在一些實施例中，該電腦可讀取儲存媒體係非暫時性的。

在本文中使用任一及所有的實例，或提供示例性語言(例如，「諸如」)僅旨在更好地說明本發明的實施例，除非另外聲明，否則不對本發明的範圍構成限制。在本說明書中的任何語言都不應被解讀為表示任何未要求保護的元素對於本發明的實踐係必要的。

本發明的實施例被描述，其包括本發明人所認知實現本發明的最佳模式。在閱讀前面的描述後，那些實施例的變化對於本領域的普通技術人員來說將變得顯而易見。本發明人期望熟練的技術人員適當地採用這些變化，並且本發明人意圖以非具體描述的其他方式來實踐本發明的實施例。因此，本發明的範圍包括適用法律所允許的在所附請求項之技術主題中所有的修改和等同物。此外，除非另有說明或與上下文明顯矛盾，否則該等以上所描述的要素其所有可能變型的任何組合都被包含在本發明的範圍內。

本文引用之所有的參考文獻，包括出版物、專利申請案、以及專利均藉由引用被併入於本文中，其程度如同每一參考文獻被各別地且被具體地指出要藉由引用被併入並且係以其之整體來被闡述。

應被注意的是，該等上述實施例係說明本發明而不是限制本發明，並且本領域的習知技藝者將能夠設計出許多的替代實施例而不脫離由所附請求項所限定之本發明的範圍。某些措施被敘述在相互不同的從屬請求項中僅為陳述事實，但並不表示這些措施的一種組合無法被使用來獲益。

100、200、300‧‧‧計算環境 102、302、402‧‧‧第一計算實體 104、304、404‧‧‧第二計算實體 106、406‧‧‧第三計算實體 108‧‧‧共同參考字串 110‧‧‧智能合約 112‧‧‧求值金鑰 114、306‧‧‧驗證金鑰 116‧‧‧正確執行的證明 118‧‧‧區塊鏈 400‧‧‧示意圖 408‧‧‧第一交易 410‧‧‧第二交易 500、600‧‧‧程序 502〜510、602〜608‧‧‧方塊 700‧‧‧ 702‧‧‧處理器 704‧‧‧匯流排子系統 706‧‧‧儲存區子系統 708‧‧‧記憶體子系統 710‧‧‧檔案儲存子系統 712‧‧‧使用者介面輸入裝置 714‧‧‧使用者介面輸出裝置 716‧‧‧網路介面 718‧‧‧RAM 720‧‧‧ROM 724‧‧‧時鐘

從本文所描述的實施例以及參考其之闡明，本發明的這些和其他方面將是顯而易見的。現在將僅通過示例的方式並參照該等附圖來描述本發明的一實施例，其中： 圖1圖示出一計算環境，其中一智能合約的多方與一第三方商定一協議以執行該智能合約； 圖2圖示出一計算環境，其中一第一計算實體和一第二計算實體交換可被使用來決定在兩方或更多方之間一已分享秘密之冪次的量； 圖3圖示出一計算環境，其中一第一計算實體和一第二計算實體交換使之為零知識的一參數集合； 圖4圖示出基於一兩方共同參考字串(CRS)和對應的正確性證明(POC)或正確執行證明之一協定的一示意圖； 圖5根據一實施例圖示出一種用於產生包含有一驗證金鑰和求值金鑰之一個兩方共同參考字串的程序； 圖6根據至少一個實施例圖示出一種用於在多方之間分享一已分享秘密之冪次的程序；以及 圖7圖示出一計算裝置的一簡化的方塊圖其可被使用來實踐本發明的至少一個實施例。

100‧‧‧計算環境

102‧‧‧第一計算實體

104‧‧‧第二計算實體

106‧‧‧第三計算實體

108‧‧‧共同參考字串

110‧‧‧智能合約

112‧‧‧求值金鑰

114‧‧‧驗證金鑰

116‧‧‧正確執行的證明

118‧‧‧區塊鏈

Claims (15)

1. 一種電腦實施的方法，其包含有：在多個參與者中之各者處：決定一可用於映射有限場元素的函數；產生在一點集合中求值的多項式，該等多項式之數量係基於參與者之數量；把該等多項式分發給該等多個參與者中之對應的參與者；以及決定該等多個參與者中每一個參與者之多項式的一總和，其中該總和對應到一秘密的一冪次；以及在該等多個參與者之間並基於該秘密，共同地產生一區塊鏈交易。
2. 如請求項1之方法，其中該點集合係一橢圓曲線點集合。
3. 如請求項1之方法，其中決定多項式的該總和係基於一拉格朗日(Lagrange)插值。
4. 如請求項1之方法，其更包含有至少部分地基於該秘密的該冪次，決定可由該等多個參與者來決定的一共同參考字串。
5. 如請求項1之方法，其更包含有從該等多個參與者中每一個參與者接收多項式之對應的值。
6. 如請求項1之方法，其中鏈外通信被利用在把該等多項式的該等值分發給該等對應參與者。
7. 如請求項1之方法，其中可使用來映射該 等有限場元素的該函數作用為一群組之一生成元的一係數或指數。
8. 如請求項1之方法，其中該等多個參與者正好是兩個參與者。
9. 如請求項1之方法，其中該秘密係基於在一特定點處被求值之多項式的該總和來決定。
10. 如請求項9之方法，其中該特定點係一交叉點。
11. 如請求項1之方法，其中該點集合排除交叉點。
12. 如請求項1之方法，其中在該點集合中求值的該等多項式至少為2階。
13. 如請求項1之方法，其中該點集合中的每一個點係一不同的點。
14. 一種系統，其包含有：一處理器；以及包括有可執行指令的記憶體，作為該等可執行指令由該處理器執行的一結果，會致使該系統執行如請求項1至13中任一項之電腦實施的方法。
15. 一種儲存有可執行指令之非暫時性電腦可讀儲存媒體，作為該等可執行指令由一電腦系統之一處理器執行的一結果，會致使該電腦系統至少執行如請求項1至13中任一項之電腦實施的方法。

Images