分散式電子轉(zhuǎn)移系統(tǒng)的制作方法
【專利摘要】一種在分散式電子轉(zhuǎn)移系統(tǒng)中使用的方法,所述方法包括步驟:-生成代表從第一用戶的安全庫至第一用戶的不安全庫的第一事務(wù)的第一數(shù)字代碼;-發(fā)送所述數(shù)字代碼至與所述不安全庫相關(guān)的安全貯存存儲器以貯存在所述存儲器的區(qū)域中;-與所述不安全庫相關(guān)的處理器生成代表從所述不安全庫至第二用戶的庫的第二事務(wù)的第二數(shù)字代碼;-將所述處理器連接至因特網(wǎng);以及后續(xù)步驟:-所述處理器檢索貯存在所述安全貯存存儲器中的第一數(shù)字代碼;-所述處理器通過因特網(wǎng)連接公布所述檢索到的數(shù)字代碼以使第一事務(wù)生效;-所述處理器通過因特網(wǎng)連接公布第二數(shù)字代碼以使第二事務(wù)生效。
【專利說明】分散式電子轉(zhuǎn)移系統(tǒng)
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及在分散式電子轉(zhuǎn)移系統(tǒng)中使用的方法和裝置。
【背景技術(shù)】
[0002] 分散式電子轉(zhuǎn)移系統(tǒng)被創(chuàng)立以便消除對每次轉(zhuǎn)移進(jìn)行檢查和驗(yàn)證的中心機(jī)構(gòu)的 必要性進(jìn)而避免其成本。中心電子轉(zhuǎn)移系統(tǒng)依賴將身份識別和身份驗(yàn)證與用戶的中心機(jī)構(gòu) 組合以驗(yàn)證用戶做出的轉(zhuǎn)移請求。分散式電子轉(zhuǎn)移系統(tǒng)依賴將身份識別與公布組合以驗(yàn)證 轉(zhuǎn)移請求。因此公眾能夠看到所有的轉(zhuǎn)移--它們都被公布--并檢查其正確性。該社會 控制形式與拒絕不正確的已公布轉(zhuǎn)移機(jī)制結(jié)合形成了分散式電子轉(zhuǎn)移系統(tǒng)的支柱。
[0003] 分散式電子轉(zhuǎn)移系統(tǒng)的缺點(diǎn)為具有失去不安全庫(unsecure repository)的風(fēng) 險,并且因此丟失關(guān)于該不安全庫作出的所有轉(zhuǎn)移。在安全庫中已經(jīng)提供了解決方案從而 保證其不失竊或丟失。但是,對于分散式電子轉(zhuǎn)移系統(tǒng)的可用性來說這是一個缺點(diǎn),因?yàn)槭?用安全庫的障礙明顯增加。
[0004] 本發(fā)明的目的是提供在分散式電子轉(zhuǎn)移系統(tǒng)中使用的方法和裝置來解決上述缺 點(diǎn)中的至少一個。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的實(shí)施例提供了在分散式電子轉(zhuǎn)移系統(tǒng)中使用的方法,該方法包括步驟:
[0006] -生成代表從第一用戶的安全庫發(fā)至第一用戶的不安全庫的第一事務(wù) (transaction)的第一數(shù)字代碼;
[0007] -發(fā)送所述數(shù)字代碼至與所述不安全庫相關(guān)的安全貯存存儲器以將其貯存到所述 存儲器的區(qū)域;
[0008] -使用與所述不安全庫相關(guān)的處理器生成代表由所述不安全庫發(fā)往所述第二用戶 的庫的第二事務(wù)的第二數(shù)字代碼;
[0009] -連接所述處理器至因特網(wǎng);
[0010] 以及后續(xù)步驟:
[0011] -使用所述處理器檢索貯存在安全貯存存儲器中的第一數(shù)字代碼;
[0012] -使用所述處理器通過所述因特網(wǎng)連接公布所述檢索到的數(shù)字代碼以使第一事務(wù) 生效;
[0013] -使用所述處理器通過所述因特網(wǎng)連接公布所述第二數(shù)字代碼以使第二事務(wù)生 效;
[0014] 根據(jù)本發(fā)明的這個實(shí)施例,創(chuàng)建了新的庫狀態(tài)。傳統(tǒng)上,庫具有兩種狀態(tài),即空狀 態(tài)和已填充狀態(tài)。根據(jù)本發(fā)明的實(shí)施例,這些狀態(tài)中被補(bǔ)充了新的狀態(tài)即潛在地將被填充 (potential-to-be-filled)狀態(tài)。由此不安全庫為空(或基本上為空),但包括其可用于 (因此具有潛在地)重填充其自身的信息。為實(shí)現(xiàn)此目的,將轉(zhuǎn)移代碼的創(chuàng)建與轉(zhuǎn)移代碼 的公布進(jìn)行分離。在傳統(tǒng)的配置中,當(dāng)生成轉(zhuǎn)移代碼后其被直接公布以使得所述轉(zhuǎn)移有效。 根據(jù)本發(fā)明,目的為重新填充不安全庫的第一轉(zhuǎn)移代碼在第一實(shí)例中并不公布,而是貯存 在所述不安全庫的安全貯存存儲器區(qū)域。該庫被提供以便在公布與發(fā)出的轉(zhuǎn)移相關(guān)的轉(zhuǎn)移 代碼之前公布所述第一轉(zhuǎn)移代碼以使其有效。因此,通過轉(zhuǎn)移代碼的分別發(fā)布可在小的時 間段中對庫進(jìn)行重新填充和清空。從而最小化丟失已填充庫的風(fēng)險,也就是說所述庫處于 已填充(在第一轉(zhuǎn)移代碼公布之后,且在第二轉(zhuǎn)移代碼公布之前)的時間段很短。
[0015] 優(yōu)選地,第一數(shù)字代碼包括多個數(shù)字代碼,每個均代表預(yù)先確定價值的事務(wù),其中 處理器以這樣一種方式檢索所述多個數(shù)字代碼的選項(xiàng),即所述選項(xiàng)的價值等于或高于第二 事務(wù)的價值。
[0016] 所述多個數(shù)字代碼給予用戶關(guān)于實(shí)現(xiàn)第二事務(wù)時的自由度。可以作出所述數(shù)字代 碼的組合以便使積累的被代表的價值恰好等于或者至少接近于期望的價值。這降低了在失 去不安全庫時的風(fēng)險,因?yàn)樵谒霾话踩珟熘邢顺~價值(excess of value)。
[0017] 優(yōu)選地,使用與所述不安全相關(guān)的處理器生成代表從不安全庫至安全庫的第三事 務(wù)的第三數(shù)字代碼,所述第三事務(wù)以這樣的方式代表價值,即所述選項(xiàng)的價值等于第二事 務(wù)的價值與第三事務(wù)的價值之和,在檢索到的數(shù)字代碼公布之后,所述處理器通過所述因 特網(wǎng)連接公布所述第三數(shù)字代碼以使所述第三事務(wù)生效。
[0018] 通過生成和公布第三事務(wù),價值可被平衡,以使得所述庫在公布事務(wù)代碼后再次 為空。在不安全庫由于失竊或丟失而不可訪問時,這將實(shí)際損失降低至零。
[0019] 優(yōu)選地,在檢索第一數(shù)字代碼的步驟之前,包括輸入個人識別碼(pin-code)以獲 取對安全貯存存儲器的訪問權(quán)的步驟。
[0020] 個人識別碼提供了屏障以防止非授權(quán)人員訪問不安全庫。特別地,因?yàn)樗雠c不 安全庫相關(guān)的存儲器包括有哪個庫可被填充的事務(wù)代碼,這樣的屏障是有利的。所述安全 存儲器區(qū)域阻止對所述存儲器內(nèi)容的直接讀取訪問,并且僅允許憑借成功完成身份驗(yàn)證的 預(yù)先確定的處理器對存儲器進(jìn)行讀取訪問。由此,該處理器可以訪問并執(zhí)行對來自所述存 儲器的數(shù)據(jù)的必要步驟。通過個人識別碼來限制對所述處理器的訪問提供了進(jìn)一步的風(fēng)險 降低效果。很明顯在技術(shù)上與已提出的個人識別碼規(guī)程等價的其它身份驗(yàn)證規(guī)程也可被使 用。
[0021] 優(yōu)選地,在生成第二數(shù)字代碼的步驟之前,包括輸入第二個人識別碼以取得對所 述處理器中代碼生成功能的訪問權(quán)的步驟。生成數(shù)字代碼和從存儲器中檢索第一數(shù)字代碼 是不同的功能,為其可設(shè)立不同的授權(quán)請求。這些個人識別碼可具有相同或不同的數(shù)值。第 二個人識別碼提供了屏障以防止非授權(quán)人員通過命令處理器來操作所述庫。優(yōu)選地,處理 器根據(jù)代表不安全庫的第一公共地址、代表第二用戶的庫的第二公共地址、與所述不安全 庫相關(guān)的私有簽名和值生成數(shù)字代碼。
[0022] 當(dāng)作為安全貯存存儲器一部分的處理器被編程以便生成所述數(shù)字代碼時,公共地 址可被存入該安全存儲器。如果該庫被非授權(quán)人員所占有,該人員無法檢索該庫中的地址, 并且因而無法生成轉(zhuǎn)移代碼。只有擁有用于激活所述處理器的個人識別碼的授權(quán)用戶可以 生成并公布轉(zhuǎn)移代碼。
[0023] 優(yōu)選地,公布所述第一及第二數(shù)字代碼的步驟在預(yù)先確定的時間段中執(zhí)行。優(yōu)選 地,預(yù)先確定的時間段小于5分鐘,優(yōu)選地小于1分鐘,更優(yōu)的選擇為小于30秒。在公布第 一數(shù)字代碼與第二數(shù)字代碼之間的時間中所述庫處于"已填充"狀態(tài)。因此,為了最小化損 失"已填充"庫的概率,處于已填充狀態(tài)的所述時間應(yīng)被最小化。
[0024] 優(yōu)選地,通過原子操作(atomic operation)來執(zhí)行公布第一和第二數(shù)字代碼步 驟。在原子的操作中,一個動作不能與另一個動作分離。盡管是兩個步驟,它們也作為一個 來執(zhí)行。這樣,將不會丟失已填充的庫,因?yàn)槠湓谝粋€動作中被填充和清空。
[0025] 在另一個實(shí)施例中,本發(fā)明涉及在分散式電子系統(tǒng)中使用的庫,該庫被連接至用 于接收來自安全庫的第一數(shù)字代碼的通信裝置、適于貯存第一數(shù)字代碼的安全貯存存儲 器、適于訪問所述安全貯存存儲器并被編程以便生成代表第二事務(wù)的第二數(shù)字代碼的處理 器、以及用于命令所述處理器以便生成第二數(shù)字代碼的輸入裝置,所述處理器被編程通過 所述通信裝置隨后公布第一數(shù)字代碼和第二數(shù)字代碼。
[0026] 依據(jù)本發(fā)明實(shí)施例的庫被連接至那些執(zhí)行依據(jù)本發(fā)明的方法所必須的組件。這組 合成獨(dú)特的特征組合,在允許產(chǎn)生來自所述庫的轉(zhuǎn)移的同時降低當(dāng)丟失該庫時失去由該庫 產(chǎn)生的轉(zhuǎn)移的風(fēng)險。通過提供可以將第一代碼貯存在其中的安全貯存存儲器來達(dá)成該目 標(biāo)。該第一代碼可在用戶打算產(chǎn)生第二事務(wù)時進(jìn)行公布,通過所述第一事務(wù)的公布得到這 樣的效果,即該庫"已填充"并且因此處于可對第三方進(jìn)行轉(zhuǎn)移的狀態(tài)。
【專利附圖】
【附圖說明】
[0027] 現(xiàn)在僅以示例的方式參考附圖對依據(jù)本發(fā)明實(shí)施例的裝置和/或方法的一些實(shí) 施例進(jìn)行描述,其中:
[0028] 圖1示出了本發(fā)明的工作原理;
[0029] 圖2示出了本發(fā)明的方法中使用的不同庫;并且
[0030] 圖3示出了依據(jù)本發(fā)明的庫。
【具體實(shí)施方式】
[0031] 電子支付系統(tǒng)是現(xiàn)代銀行業(yè)標(biāo)志性的特征?,F(xiàn)今,可追蹤的電子支付工具如信用 卡和借記卡在普通人群中已非常普遍。在另一方面,自David Chaum的開創(chuàng)性論文提出了電 子貨幣以來,過去三十年的文獻(xiàn)對非可追蹤支付機(jī)制、基于盲簽名的不可追蹤支付媒介以 及生成所述貨幣、對其進(jìn)行兌換并針對用戶或商戶的欺詐行為檢查所有交易的"銀行"(受 信任方)進(jìn)行了研究。
[0032] 最近出現(xiàn)的分散式不可追蹤電子支付系統(tǒng)去除了檢查和驗(yàn)證每次貨幣交易的中 心受信任方的必要性。分散式系統(tǒng)的優(yōu)點(diǎn)包括:沒有可能成為單點(diǎn)故障的控制整個系統(tǒng)運(yùn) 作的中心實(shí)體;沒有被單一經(jīng)濟(jì)實(shí)體用以創(chuàng)建、兌換并保證電子貨幣價值的隱含信任;不 存在由于法律或組織的擔(dān)憂如周末或銀行休業(yè)日而導(dǎo)致的處理延遲;消除了中心實(shí)體上的 處理負(fù)擔(dān)--以報酬作為形式的建立任意交易的費(fèi)用。
[0033] 集中式的電子貨幣系統(tǒng)通常需要受信任方根據(jù)商戶描述的顧客付款證明來使顧 客與商戶之間的交易生效。分散式電子貨幣系統(tǒng)依賴公共可見性及識別過去交易歷史的能 力來驗(yàn)證支付請求。通過公共監(jiān)督保證支付完整歷史的正確性,所述公共監(jiān)督為防止不正 確的轉(zhuǎn)移被計入系統(tǒng)活動的歷史記錄之中的強(qiáng)制措施。在這樣的系統(tǒng)中,通過非對稱加密 算法的支持,用戶自主地創(chuàng)建不重復(fù)使用的身份來實(shí)現(xiàn)匿名(或使用假名),這允許用戶通 過使用公共-私有密鑰對發(fā)出新的支付或未決賠償(claim outstanding)的數(shù)據(jù)傳輸。在 文獻(xiàn)中分散式電子貨幣系統(tǒng)的一個示例是最近幾年發(fā)行并日益被公眾所接受的比特幣。
[0034] 對于分散式電子貨幣系統(tǒng)來說,主要問題在于使用戶能夠發(fā)送和要求資金劃撥的 底層密鑰管理子系統(tǒng)。第一個挑戰(zhàn)是對存有公共-私有密鑰的電子設(shè)備喪失控制(通過盜 竊、非授權(quán)的復(fù)制或者破壞)的風(fēng)險,這意味著丟失所有與該電子設(shè)備相關(guān)的資金。傳統(tǒng)的 解決方案基于磁盤文件加密及解密并結(jié)合遠(yuǎn)程備份在固定接入場景中對安全電子設(shè)備進(jìn) 行了設(shè)計,因此只要備份副本被保留并且加密密碼沒有被遺忘,那么可以保護(hù)這樣的電子 設(shè)備不被竊取或丟失。但是這些方案對于分散式電子貨幣系統(tǒng)的可用性具有缺陷,因?yàn)樗?們明顯危害到了用戶體驗(yàn)。
[0035] 靜態(tài)的備份存有密鑰的電子設(shè)備帶來了嚴(yán)重的可用性問題:由于新的密鑰作為系 統(tǒng)運(yùn)行的一部分被不斷的生成(例如,為了保存用戶假名),備份需要被不斷的刷新以包括 運(yùn)營中使用的新的密鑰,貨幣在所述運(yùn)營中被收到。
[0036] 在這些情形中,用戶喪失對存有密鑰的電子設(shè)備的控制僅容許部分恢復(fù)該用戶的 財產(chǎn)(也就是說,僅僅是與所述密鑰相關(guān)的包括在備份中的資金)。該問題對于便攜及移動 硬件非常危險,如筆記本電腦、智能手機(jī)及其它間歇性地與網(wǎng)絡(luò)連接的設(shè)備(并且昂貴,而 且可能不可靠或不安全),所述與網(wǎng)絡(luò)的連接容許對存有密鑰的該電子設(shè)備的備份副本進(jìn) 行頻繁的更新。
[0037] 本發(fā)明在實(shí)施例中提供的用于在分散式電子貨幣系統(tǒng)中使用的方法和裝置解決 了上述密鑰管理方案的可用性問題,同時還提供了用于降低失去資金--即作為過去交易 的結(jié)果,用戶可積累的任意數(shù)量的貨幣--的風(fēng)險的通用機(jī)制。所述方法基于兩個電子設(shè) 備的使用,第一 "安全"設(shè)備,其被小心的存儲并可能經(jīng)常地進(jìn)行備份,和第二"非安全"設(shè) 備,其可適于被安裝在便攜設(shè)備上并用于在移動環(huán)境中進(jìn)行支付。
[0038] 比特幣即為使用點(diǎn)對點(diǎn)網(wǎng)絡(luò)、數(shù)字簽名及加密的行為證明以使得可在不依賴于信 任的情況下在各方之間進(jìn)行不可撤銷的轉(zhuǎn)移(支付)的分散式電子貨幣系統(tǒng)。使用比特幣 進(jìn)行支付,其為通過比特幣網(wǎng)絡(luò)發(fā)行和轉(zhuǎn)移的數(shù)字貨幣。節(jié)點(diǎn)將事務(wù)廣播至所述網(wǎng)絡(luò),其通 過以共識為基礎(chǔ)的行為證明系統(tǒng)對所述事務(wù)進(jìn)行驗(yàn)證后將所述事務(wù)計入公共歷史中。本發(fā) 明不限于比特幣,并且可以在其它發(fā)生轉(zhuǎn)移的分散式電子系統(tǒng)中應(yīng)用。
[0039] 為了正確的理解本發(fā)明,下文對一些術(shù)語進(jìn)行定義。庫是物理的或數(shù)字的資金持 有者。資金的數(shù)字持有者為資金被分配或連接至的目標(biāo)或地址。在比特幣中,資金被分配至 公共-私有密鑰。因此在本發(fā)明的說明書中,由于資金可被分配至此類密鑰,每個公共-私 有密鑰均為庫。
[0040] 數(shù)字庫(作為地址或密鑰)可被貯存在存儲器。多種庫可貯存在電子設(shè)備的一個 庫中。該電子設(shè)備的失竊或損失導(dǎo)致失去該庫以及貯存或分配在該庫中的全部資金。
[0041] 每個分散式電子系統(tǒng)的用戶均擁有多種庫。在庫中,用戶可以貯存預(yù)算,優(yōu)選地以 數(shù)字貨幣的形式。該預(yù)算包括具有價值的資金。所述庫的功能如同數(shù)字錢包。因此,庫通 常被保護(hù)的很好,并且保持處于安全的地點(diǎn)。但是,保持庫處于安全狀態(tài)妨礙了該庫的所有 者輕松的使用該庫。因此常規(guī)上,作為安全措施,用戶可以持有用于貯存資金的安全庫(如 保管庫)和不安全庫(如錢包)。在安全庫中,可以貯存具有高價值的預(yù)算,然而在不安全 庫中,包括的預(yù)算價值應(yīng)保持的相當(dāng)之小。如果不安全庫中的價值不足,用戶可使用所述安 全庫對其補(bǔ)充。
[0042] 為了進(jìn)行從一個庫至另一個庫的轉(zhuǎn)移--這兩個庫是由同一人還是由不同人所 擁有是無關(guān)緊要的--生成了數(shù)字代碼。該數(shù)字代碼基于發(fā)送方的身份(發(fā)送庫的數(shù)字地 址)、接收方的身份(接收庫的數(shù)字地址)以及將要轉(zhuǎn)移的數(shù)量。優(yōu)選地該數(shù)字代碼進(jìn)一 步使用與發(fā)送方相關(guān)的私有密鑰進(jìn)行簽名。所述數(shù)字代碼表明了從誰(發(fā)送方)轉(zhuǎn)移多少 (數(shù)量)給誰(接收方)。所述簽名可以由任何人采用發(fā)送方的公共密鑰來加以驗(yàn)證。
[0043] 分散式電子系統(tǒng)中的轉(zhuǎn)移僅在公布后才生效。事實(shí)上所述轉(zhuǎn)移在被公眾驗(yàn)證后才 生效,這意味著在公布后,如果該轉(zhuǎn)移被認(rèn)為是無效的(例如由于所述庫沒有包含轉(zhuǎn)出數(shù) 量的資金,或者由于發(fā)送方的簽名不正確),公眾具有使已公布的轉(zhuǎn)移失效的權(quán)力。憑借公 眾可以接受或拒絕已公布的轉(zhuǎn)移,該分散式電子系統(tǒng)具有驗(yàn)證機(jī)制。
[0044] 經(jīng)過驗(yàn)證的數(shù)字代碼代表被捆綁并連接成鏈條的轉(zhuǎn)移。對于最近公布的數(shù)字代 碼,計算其是否與現(xiàn)存的鏈條一致,并且如果答案是肯定的,該數(shù)字代碼成為該鏈條的一部 分,從而變得有效。如果現(xiàn)存的鏈條與該數(shù)字代碼不一致,該數(shù)字代碼被拒絕,從而使得該 數(shù)字代碼代表的轉(zhuǎn)移失效。
[0045] 在分散式電子系統(tǒng)中,到處都是代碼(庫地址以及加密代碼)。用戶可以根據(jù)庫的 代碼產(chǎn)生從該庫至任意其它庫的轉(zhuǎn)移。因此在傳統(tǒng)的分散式電子系統(tǒng)中,通過保管庫、加密 的存儲器或其它方式對所述代碼的安全性進(jìn)行增強(qiáng)。
[0046] 本發(fā)明實(shí)施例的方法提供了新的庫"狀態(tài)",其可在庫中以不同的方式增強(qiáng)可用預(yù) 算的安全性。作為對填充不安全庫(如常規(guī)做法)的替代,不安全庫和其可用以重新填充 自身的信息一同被提供。因此,該庫不處于"已填充"狀態(tài),因?yàn)閷τ谠搸靵碚f沒有已完成 的裝讓。該庫也不處于"空"狀態(tài),因?yàn)槠浒▽⒁?填充"的信息。如上面描述的那樣,該 庫處于潛在地將被填充狀態(tài)。轉(zhuǎn)移代碼在所述不安全庫中被生成(從用戶安全庫轉(zhuǎn)移價值 至該不安全庫)和存儲。
[0047] 當(dāng)這樣的庫丟失或失竊時,合法用戶,同時也是用于補(bǔ)充所述不安全庫的安全庫 的擁有者,可以通過轉(zhuǎn)移該安全庫的預(yù)算至第三個庫以清空該安全庫。當(dāng)所述失竊的不安 全庫被使用,意味著失竊的代碼被公開,這些公布將被公眾所拒絕,因?yàn)樵摪踩珟欤◤脑搸?填充價值至所述不安全庫)是空的。
[0048] 圖1的上部區(qū)域展示了兩個用戶,用戶1和用戶2,在分散式電子系統(tǒng)中擁有的一 些庫。用戶1擁有三個庫:地址為1的安全1、地址為1. 1的安全1. 1、以及具有地址U1的 不安全1。因此安全1和安全1. 1被安全的存儲在如保管庫中,而不安全1則被用戶1作為 錢包來使用,并且因此被不安全的保存。用戶2有一個具有地址為2的安全2。
[0049] 作為示例,讓我們假設(shè)除了包括價值1的安全1之外,所有的安全均為空。在圖1A 示出的常規(guī)系統(tǒng)中,用戶1生成數(shù)字代碼從而將他的價值1從安全1轉(zhuǎn)移至不安全1。這在 圖中塊3中進(jìn)行了展示,其中數(shù)字代碼使用數(shù)據(jù)來加以表示,其根據(jù):f (來自)為Sl、t (至) 為U1并且v(價值)為1。在常規(guī)系統(tǒng)中,該數(shù)字代碼在特定的時間被公布,所以其可被公 眾所驗(yàn)證。當(dāng)用戶1試圖使用他的錢包(不安全1)向用戶2進(jìn)行支付時,該用戶生成新的 由塊4代表的數(shù)字代碼。塊4展示了代表價值(v) 1從不安全1 (U1)轉(zhuǎn)移至安全2 (S2)的 數(shù)字代碼。其在T2時被公布,之后其可被公眾所驗(yàn)證。
[0050] 不安全庫U1在時間段Λ t上包括價值1。如果在該時間段中所述不安全庫丟失或 失竊,則會喪失所述價值1。
[0051] 圖1B展示了較簡單但使用了本發(fā)明實(shí)施例的方法的解決方案。在塊5示出了第 一數(shù)字代碼如何生成并像塊3那樣將價值1從安全1 (S1)轉(zhuǎn)移至不安全1 (S2)。然而,該數(shù) 字代碼被存儲在所述不安全庫中而非被公布。當(dāng)用戶想產(chǎn)生對另一個用戶的轉(zhuǎn)移時,他生 成塊6代表的與塊4類似的第二代碼,但在他公布該第二數(shù)字代碼之前,他首先公布在塊5 中生成的第一數(shù)字代碼。因此該用戶在他花費(fèi)該庫中的價值之前不久對該庫進(jìn)行填充。這 使得該庫處于已填充的時間非常之短。
[0052] 在圖1B的案例中,如果不安全庫被丟失或者失竊,那么塊7示出的轉(zhuǎn)移將防止惡 意用戶使用貯存在該不安全庫中的信息。即塊7代表了從安全1(S1)至安全1.1 (S1.1)的 價值1的轉(zhuǎn)移的數(shù)字代碼。該塊的公布將清空安全1并使安全1. 1受益。惡意用戶對不安 全庫中的代碼的公布將公布一個從空的庫至另一個庫的轉(zhuǎn)移。由于認(rèn)識到安全1不再包括 價值1,公眾將拒絕該轉(zhuǎn)移代碼,因而從空的庫發(fā)起的轉(zhuǎn)移不可能生效。
[0053] 圖2展示了以不同方式依照本發(fā)明的實(shí)施例的方法。其展示了安全1如何生成代 碼(生成1),并且將該代碼發(fā)送至不安全1,在那里該代碼被保存。不安全1可以生成第二 代碼(生成2)并且可在生成代碼前公布已保存的代碼。在圖中代碼的公布由接觸到時間 線T上的箭頭表示。
[0054] 圖3展示了可用于依照與圖中展示的功能塊一致的優(yōu)選實(shí)施例存儲不安全庫1的 電子設(shè)備的架構(gòu)。圖3展示了包括僅可通過預(yù)先確定的處理器(CPU)訪問的安全貯存存儲 器(存儲器)的不安全1。被生成以填充不安全1的數(shù)字代碼被貯存在所述安全貯存存儲 器中。由于存儲器不可直接訪問,而是僅能通過CPU進(jìn)行訪問,這增強(qiáng)了貯存在不安全1中 的數(shù)字代碼的安全性。不安全1包括用于接收對用戶生成轉(zhuǎn)移代碼的請求入口(IN),該入 口還可用于接收被生成用以補(bǔ)充不安全1的數(shù)字代碼,其可被貯存在所述存儲器中。不安 全1還包括出口,通過其可以根據(jù)用戶的請求輸出貯存在存儲器中的已生成的代碼或數(shù)字 代碼。入口和出口均由該電子設(shè)備上的電子(后其它物理類型)連接端口提供。優(yōu)選地, 入口和出口由一個或多個因特網(wǎng)連接端口形成。在這樣的電子設(shè)備中,形成庫的私有-公 共密鑰可被貯存在還保存數(shù)字代碼的安全貯存存儲器的區(qū)域中。備選地,它們可以貯存在 單獨(dú)的安全存儲器中。
[0055] 安全貯存存儲器在本領(lǐng)域是已知的并且包括處理器和僅可通過該處理器訪問的 存儲器。因此,該處理器管理和控制對貯存在所述存儲器中數(shù)據(jù)的訪問。這樣的安全貯存 存儲器阻止了非授權(quán)用戶訪問所述數(shù)據(jù)。
[0056] 本發(fā)明的方法可通過生成用于補(bǔ)充所述不安全1的多種數(shù)字代碼來進(jìn)行進(jìn)一步 的優(yōu)化。因此所述多種數(shù)字代碼具有這樣的目的,即可通過選擇公布哪個數(shù)字代碼來對補(bǔ) 充價值進(jìn)行選擇。這容許用戶以準(zhǔn)確的數(shù)量或者以接近于他或她希望花費(fèi)數(shù)量的數(shù)量來對 所述不安全庫進(jìn)行補(bǔ)充。
[0057] 作為更進(jìn)一步的安全措施,可在至第三方的轉(zhuǎn)移做出后生成第三數(shù)字代碼以清空 所述不安全庫。因此該第三數(shù)字代碼表示轉(zhuǎn)移的數(shù)量等于補(bǔ)充的數(shù)量減去所述(至第三 方)轉(zhuǎn)移的數(shù)量,執(zhí)行的數(shù)量是在所述對第三方的轉(zhuǎn)移進(jìn)行后所述不安全庫剩余的數(shù)量, 至所述第一用戶的安全庫。
[0058] 依照本發(fā)明實(shí)施例的方法可通過要求不安全庫在預(yù)先確定的時間段內(nèi)產(chǎn)生轉(zhuǎn)移 來進(jìn)行進(jìn)一步的改進(jìn)。要求的一個例子為用于補(bǔ)充所述不安全庫的數(shù)字代碼的公布和用于 將價值轉(zhuǎn)移至第三方的數(shù)字代碼的公布必須在最長10分鐘的時間段之中、優(yōu)選地最長為5 分鐘、更優(yōu)選地為最長1分鐘、最優(yōu)選地為最長30秒。
[0059] 依照本發(fā)明實(shí)施例的方法可通過將對所述第一數(shù)字代碼的公布和對所述第二數(shù) 字代碼的公布的執(zhí)行作為原子操作來進(jìn)行進(jìn)一步的改進(jìn)。更優(yōu)選地將第一、第二以及第三 數(shù)字代碼的公布作為原子操作來執(zhí)行。這確保了所述不安全庫總是為空,即在一個動作中 其被重新填充并再次被轉(zhuǎn)移清空。
[0060] 本發(fā)明可在其它特定裝置和/或方法中被具體化。描述的實(shí)施例應(yīng)被認(rèn)為僅僅是 對各方面的說明而非限制。特別地,本發(fā)明的范圍由所附的權(quán)利要求而非此處的說明書和 圖表指出。與權(quán)利要求的意義和范圍等價的所有變化均被包含在權(quán)利要求的范圍之中。
[0061] 本領(lǐng)域技術(shù)人員能夠輕易認(rèn)識到多種上述方法的步驟可以使用被編程的計算機(jī) 執(zhí)行。在此,一些實(shí)施例還旨在覆蓋程序存儲設(shè)備如數(shù)字?jǐn)?shù)據(jù)存儲介質(zhì),其可被機(jī)器或計算 機(jī)讀取并且編碼機(jī)器可執(zhí)行或計算機(jī)可執(zhí)行的指令的程序,其中所述指令執(zhí)行一些或全部 所述上述方法的步驟。所述程序存儲設(shè)備可為如數(shù)字存儲器、磁存儲媒介如磁盤和磁帶、硬 盤驅(qū)動器、或光可讀數(shù)字?jǐn)?shù)據(jù)存儲媒介。實(shí)施例還旨在覆蓋被編程以執(zhí)行上述方法的所述 步驟的計算機(jī)。
[0062] 以上敘述和描繪僅僅示出了本發(fā)明的原理部分。因此需要指出本領(lǐng)域技術(shù)人員能 夠遵循本發(fā)明的原理設(shè)計出多種本文中沒有明確描述或展示的實(shí)施例,但其仍然包括在本 發(fā)明的精神和范圍之中。此外,所有在此列舉的例子主要為了教導(dǎo)的目標(biāo)以幫助讀者理解 本發(fā)明的原理以及發(fā)明人提出的概念以推動本領(lǐng)域技術(shù)的發(fā)展,并且所舉示例還應(yīng)被理解 為不限于本文這些特別列舉的例子和條件。此外,所有對本發(fā)明原理、整體情況、實(shí)施例以 及具體示例的陳述均包括其等同物。
[0063] 圖中示出的多種元素的功能,包括標(biāo)記為"處理器"或"邏輯器件"的功能塊,可通 過使用專用硬件以及能執(zhí)行適當(dāng)軟件的硬件來提供。當(dāng)由處理器提供時,提供該功能的處 理器可能是單獨(dú)的專用處理器、單獨(dú)的共享處理器或部分獨(dú)立處理器被共享的多個獨(dú)立處 理器。此外,術(shù)語"處理器"或"控制器"或"邏輯器件"的明確使用不應(yīng)被理解為涉及排除能 執(zhí)行軟件的硬件,并且應(yīng)理解為其包括但不限于數(shù)字信號處理器(DSP)硬件、網(wǎng)絡(luò)處理器、 專用集成電路(ASIC)、現(xiàn)場可編程門陣列(FPGA)、用來存儲軟件的只讀存儲器(ROM)、隨機(jī) 存儲器(RAM)以及非易失存儲器。其余常規(guī)和/或定制硬件設(shè)備也可包括在內(nèi)。類似地, 圖中示出的任何交換都是邏輯意義上的。其功能可能通過對程序邏輯的操作來執(zhí)行,也可 能通過專用邏輯器件、或通過程序控制與專用邏輯器件的交互作用、甚至手動來進(jìn)行執(zhí)行, 具體實(shí)現(xiàn)方式可以由實(shí)施者依照其個人對上下文的理解來進(jìn)行選擇。
[0064] 需指出對于本領(lǐng)域技術(shù)人員來說,此處任意方框圖描繪的是體現(xiàn)本發(fā)明原理的電 路的概念性視圖。類似地,需要指出所有流程圖表、流程圖、狀態(tài)轉(zhuǎn)移圖、偽碼及類似物實(shí)質(zhì) 上位于計算機(jī)可讀媒體中并可以被計算機(jī)或處理器執(zhí)行的各種進(jìn)程,不論這樣的計算機(jī)或 處理器是否被明確地示出。
【權(quán)利要求】
1. 一種在分散式電子轉(zhuǎn)移系統(tǒng)中使用的方法,所述方法包括以下步驟: -生成代表從第一用戶的安全庫至第一用戶的不安全庫的第一事務(wù)的第一數(shù)字代碼; -發(fā)送所述數(shù)字代碼至與所述不安全庫相關(guān)的安全貯存存儲器以貯存在所述存儲器的 區(qū)域中; -與所述不安全庫相關(guān)的處理器生成代表從所述不安全庫至第二用戶的庫的第二事務(wù) 的第二數(shù)字代碼; -將所述處理器連接至因特網(wǎng); 以及后續(xù)步驟: -所述處理器檢索貯存在所述安全貯存存儲器中的第一數(shù)字代碼; -所述處理器通過因特網(wǎng)連接公布所述檢索到的數(shù)字代碼以使第一事務(wù)生效; -所述處理器通過因特網(wǎng)連接公布第二數(shù)字代碼以使第二事務(wù)生效。
2. 如權(quán)利要求1所述的在分散式電子系統(tǒng)中使用的方法,其中所述第一數(shù)字代碼包括 多個數(shù)字代碼,每個均代表預(yù)先確定價值的事務(wù),其中所述處理器以這樣的方式從所述多 個數(shù)字代碼中檢索出選項(xiàng),即所述選項(xiàng)的價值等于或高于第二事務(wù)的價值。
3. 如權(quán)利要求2所述的在分散式電子系統(tǒng)中使用的方法,其中所述處理器生成與所述 不安全庫相關(guān)的、代表從所述不安全庫至所述安全庫的第三事務(wù)的第三數(shù)字代碼,所述第 三事務(wù)以這樣的方式來表示價值,即所述選項(xiàng)的價值等于所述第二事務(wù)的價值與所述第三 事務(wù)的價值之和,在檢索出的數(shù)字代碼被公布后,所述處理器通過因特網(wǎng)連接公布所述第 三數(shù)字代碼以使所述第三事務(wù)生效。
4. 如前述權(quán)利要求任意之一所述的在分散式電子系統(tǒng)中使用的方法,其中在檢索所述 第一數(shù)字代碼的步驟之前,輸入個人識別碼以獲得對所述安全貯存存儲器的訪問權(quán)。
5. 如前述權(quán)利要求任意之一所述的在分散式電子系統(tǒng)中使用的方法,其中在所述生成 所述第二數(shù)字代碼的步驟之前,輸入第二個人識別碼以獲得對所述處理器中所述代碼生成 功能的訪問權(quán)。
6. 如前述權(quán)利要求任意之一所述的在分散式電子系統(tǒng)中使用的方法,其中所述處理器 基于代表所述不安全庫的第一公共地址、代表第二用戶的庫的第二公共地址、與所述不安 全庫相關(guān)的私有簽名和值來生成數(shù)字代碼。
7. 如前述權(quán)利要求任意之一所述的在分散式電子系統(tǒng)中使用的方法,其中公布第一和 第二數(shù)字代碼的步驟在預(yù)定義的時間段中被執(zhí)行。
8. 如權(quán)利要求6所述的在分散式電子系統(tǒng)中使用的方法,其中所述預(yù)定義的時間段小 于5分鐘、優(yōu)選地小于1分鐘、更優(yōu)選地小于30秒。
9. 如權(quán)利要求8所述的在分散式電子系統(tǒng)中使用的方法,其中公布第一和第二數(shù)字代 碼的步驟通過原子操作來執(zhí)行。
10. -種用于在分散式電子系統(tǒng)中使用的庫,所述庫連接至用于接收來自安全庫的第 一數(shù)字代碼的通信裝置、適于貯存所述第一數(shù)字代碼的安全貯存存儲器、適于訪問所述安 全貯存存儲器并被編程以生成代表第二事務(wù)的第二數(shù)字代碼的處理器、以及用于命令所述 處理器生成所述第二數(shù)字代碼的輸入裝置,所述處理器被編程以便在隨后通過所述通信裝 置公布所述第一數(shù)字代碼和所述第二數(shù)字代碼。
【文檔編號】G06Q20/36GK104145282SQ201380012137
【公開日】2014年11月12日 申請日期:2013年2月25日 優(yōu)先權(quán)日:2012年3月2日
【發(fā)明者】F·皮安尼斯, N·伊萬斯 申請人:阿爾卡特朗訊公司