知財求人 - 知財ポータルサイト「IP Force」
特許7493014複数のストレージノードにわたる大きいブロックチェーンのセキュアな記憶を可能にする、コンピュータにより実現されるシステム及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-22
(45)【発行日】2024-05-30
(54)【発明の名称】複数のストレージノードにわたる大きいブロックチェーンのセキュアな記憶を可能にする、コンピュータにより実現されるシステム及び方法
(51)【国際特許分類】
H04L 9/32 20060101AFI20240523BHJP
【FI】
H04L9/32 200Z
H04L9/32 200B
【請求項の数】
15
【外国語出願】
(21)【出願番号】P 2022194142
(22)【出願日】2022-12-05
(62)【分割の表示】P 2020502349の分割
【原出願日】2018-07-16
(65)【公開番号】P2023024499
(43)【公開日】2023-02-16
【審査請求日】2022-12-23
(31)【優先権主張番号】1711867.0
(32)【優先日】2017-07-24
(33)【優先権主張国・地域又は機関】GB
(73)【特許権者】
【識別番号】318001991
【氏名又は名称】エヌチェーン ライセンシング アーゲー
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100135079
【弁理士】
【氏名又は名称】宮崎 修
(72)【発明者】
【氏名】デステファニス,ジュゼッペ
(72)【発明者】
【氏名】マデオ,シモーネ
(72)【発明者】
【氏名】モティリンスキ,パトリック
(72)【発明者】
【氏名】ヴィンセント,ステファヌ
【審査官】行田 悦資
(56)【参考文献】
【文献】国際公開第2016/151316(WO,A1)
【文献】国際公開第2017/108783(WO,A1)
【文献】特開2014-085882(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/32
(57)【特許請求の範囲】
【請求項1】
ブロックチェーンネットワークのマイナーノードのための、コンピュータにより実現される方法であって、ブロックチェーンから、プルーフオブストレージがチャレンジされるべき1つ以上のトランザクションを選択するステップであり、前記選択された1つ以上のトランザクションはトランザクション深さを有する、ステップと、
プルーフオブストレージがチャレンジされるべき前記1つ以上の選択されたブロックチェーントランザクションを示すプルーフオブブロックチェーンストレージトランザクションと、前記1つ以上の選択されたトランザクションを記憶するストレージノードによりロック解除できるプルーフオブブロックチェーンストレージ報酬とを作成するステップと、
前記プルーフオブブロックチェーンストレージトランザクションを含むメッセージを前記マイナーノードから前記ブロックチェーンネットワーク上の1つ以上のストレージノードに送信するステップであり、前記1つ以上の選択されたブロックチェーントランザクションの識別番号を含むチャレンジプレフィックスを生成することであり、前記チャレンジプレフィックス及び前記プルーフオブブロックチェーンストレージトランザクションは、前記ブロックチェーンネットワーク上の前記1つ以上のストレージノードに送信される、ことをさらに含む、ステップと、
を含む、コンピュータにより実現される方法。
【請求項2】
前記チャレンジプレフィックスと、前記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数又は前記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数とを生成するために、ランダムオラクルが使用される、請求項1に記載のコンピュータにより実現される方法。
【請求項3】
前記チャレンジプレフィックスは、完全性及び認証に対するデジタル署名を添えられ、あるいは、前記チャレンジプレフィックスのメッセージが、非トランザクションフィールドで送信される、請求項1又は2に記載のコンピュータにより実現される方法。
【請求項4】
前記チャレンジプレフィックスのメッセージは、ブロックチェーントランザクションの使用不可能アウトプットにおいて提供される、請求項3に記載のコンピュータにより実現される方法。
【請求項5】
前記マイナーノードと前記ストレージノードとの間に信頼された関係がある、請求項1乃至4のうちいずれか1項に記載のコンピュータにより実現される方法。
【請求項6】
前記暗号関数は、ハッシュ関数である、請求項2に記載のコンピュータにより実現される方法。
【請求項7】
前記暗号関数は、ブロックヘッダの、前記1つ以上の選択されたトランザクションのトランザクション識別子との連結のハッシュを含む、請求項2に記載のコンピュータにより実現される方法。
【請求項8】
前記プルーフオブブロックチェーンストレージ報酬は、前記ブロックチェーントランザクションの前記トランザクション識別子と連結された前記ブロックヘッダのハッシュを提供することにより取得される、請求項7に記載のコンピュータにより実現される方法。
【請求項9】
前記1つ以上の選択されたブロックチェーントランザクションは、前記ブロックチェーンにおける前記1つ以上のトランザクションの深さに対応するトランザクション深さdを有し、前記プルーフオブブロックチェーンストレージ報酬は、前記トランザクション深さdに従って設定され、それにより、前記トランザクション深さdがより大きいほど前記報酬がより大きい、
請求項1に記載のコンピュータにより実現される方法。
【請求項10】
前記ブロックチェーンネットワーク上の前記1つ以上のストレージノードに関連づけられた前記1つ以上のブロックチェーンネットワークアドレスは、認定されたブロックチェーンネットワークアドレスであり、認定は、秘密鍵シェアスキームを介して達成される、請求項1に記載のコンピュータにより実現される方法。
【請求項11】
前記プルーフオブブロックチェーンストレージトランザクションを受信すると、前記1つ以上のストレージノードは、それらノードに記憶された前記1つ以上の選択されたブロックチェーントランザクションにアクセスし、前記報酬をロック解除するために前記1つ以上の選択されたブロックチェーントランザクションを使用する、請求項1乃至10のうちいずれか1項に記載のコンピュータにより実現される方法。
【請求項12】
前記報酬は、前記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数、
前記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数、
のうち1つを算出することによりロック解除される、請求項11に記載のコンピュータにより実現される方法。
【請求項13】
コンピュータ実行可能命令を含むコンピュータ読取可能記憶媒体であって、前記コンピュータ実行可能命令は、実行されたときに、請求項1乃至12のうちいずれか1項に記載の方法を実行するように1つ以上のプロセッサを構成する、コンピュータ読取可能記憶媒体。
【請求項14】
インターフェースデバイスと、前記インターフェースデバイスに結合された1つ以上のプロセッサと、
前記1つ以上のプロセッサに結合されたメモリであり、前記メモリは、コンピュータ実行可能命令を記憶し、前記コンピュータ実行可能命令は、実行されたときに、請求項1乃至12のうちいずれか1項に記載の方法を実行するように前記1つ以上のプロセッサを構成する、メモリと、
を含む電子デバイス。
【請求項15】
ブロックチェーンネットワークのノードであって、請求項1乃至12のうちいずれか1項に記載の方法を実行するように構成される、ノード。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書は、概して、ブロックチェーンネットワークのノードにおける実装に適したコンピュータにより実現される方法及びシステムに関する。多数のトランザクション及び大きいトランザクションブロックを扱うための修正されたブロックチェーンノード構造、ネットワークアーキテクチャ、及びプロトコルが説明される。本発明は、これに限られないが、ビットコインブロックチェーンで使用するのに特に適する。
【背景技術】
【0002】
本文献では、用語「ブロックチェーン」を用いて、電子的なコンピュータベースの分散台帳の全ての形態を含める。これらには、ブロックチェーン及びトランザクションチェーン技術、許可あり(permissioned)及び許可なし(un-permissioned)台帳、共有台帳、及びこれらの変形が含まれるが、これらに限られない。ブロックチェーン技術の最も広く知られている適用はビットコイン(登録商標)台帳であるが、他のブロックチェーン実装が提案され、開発されている。本明細書では、簡便さ及び例示の目的でビットコインが参照されることがあるが、本発明はビットコインブロックチェーンでの使用に限定されず、代替的なブロックチェーンの実装及びプロトコルが本発明の範囲内に入ることに留意されたい。
【0003】
ブロックチェーンは合意に基づく電子台帳であり、これは、ブロックから構成されるコンピュータベースの非中央集権的な分散システムとして実現され、同様に、ブロックはトランザクション及び他の情報から構成される。ビットコインの場合、各トランザクションは、ブロックチェーンシステム内の参加者間のデジタル資産の制御の移転を符号化するデータ構造であり、少なくとも1つのインプット及び少なくとも1つのアウトプットを含む。各ブロックは前のブロックのハッシュを含み、それにより、ブロックが一緒にチェーン化されて、ブロックチェーンの開始以降にそれに書き込まれた全てのトランザクションの永続的で改変不可能なレコードを作成する。トランザクションは、そのインプット及びアウトプットに埋め込まれたスクリプトとして知られる小さいプログラムを含み、これは、トランザクションのアウトプットに如何にして及び誰がアクセスできるかを指定する。ビットコインプラットフォームでは、これらのスクリプトはスタックベースのスクリプト言語を使用して書かれる。
【0004】
トランザクションがブロックチェーンに書き込まれるためには、それは「検証され」なければならない。いくつかのネットワークノードが、マイナーとして動作し、作業を実行して各トランザクションが有効であることを保証し、無効なトランザクションはネットワークから拒否される。例えば、ノードにインストールされたソフトウェアクライアントは、未使用トランザクションアウトプット(unspent transaction、UTXO)を参照するトランザクションに対してこの検証作業を実行する。検証は、そのロック及びロック解除スクリプトを実行することにより行われてもよい。ロック及びロック解除スクリプトの実行がTRUEの評価である場合、及び特定の他の条件が満たされる場合、トランザクションは有効であり、トランザクションはブロックチェーンに書き込まれてもよい。ゆえに、トランザクションがブロックチェーンに書き込まれるためには、それは、i)トランザクションを受信したノードにより検証され、トランザクションが検証された場合、ノードはそれをネットワーク内の他のノードに中継する、ii)マイナーにより構築された新しいブロックに追加される、iii)マイニングされる、すなわち過去のトランザクションの公開台帳に追加される、がなされなければならない。トランザクションは、十分な数のブロックがブロックチェーンに追加されてトランザクションを事実上不可逆にしたとき、確認されたと考えられる。
【0005】
ブロックチェーン技術は、暗号通貨実装の使用に対して最も広く知られているが、デジタル起業家は、新しいシステムを実現するために、ビットコインが基礎とする暗号セキュリティシステムとブロックチェーンに記憶できるデータとの双方の使用を探求し始めている。ブロックチェーンが暗号通貨で表される支払いに純粋に限定されない自動化されたタスク及び処理に使用できる場合、かなり有利であろう。このような解決策は、その適用においてより多目的に使用できると同時に、ブロックチェーンの利点(例えば、イベントの永続的な改ざん防止のレコード、分散処理等)を利用することができる。
【0006】
研究の1つの分野は、「スマートコントラクト」の実装のためのブロックチェーンの使用である。これらは、マシン読取可能な契約又は同意の条件の履行を自動化するように設計されたコンピュータプログラムである。自然言語で書かれる従来の契約と異なり、スマートコントラクトは、インプットを処理して結果を生成することができるルールを含むマシン実行可能プログラムであり、これは次いで、これら結果に依存してアクションを実行させることができる。
【0007】
ブロックチェーン関連の関心のある別の領域は、ブロックチェーンを介して実世界のエンティティを表現及び移転するための「トークン」(又は「カラードコイン(coloured coins)」)の使用である。潜在的に機密又は秘密のアイテムは、認識可能な意味又は値を有さないトークンにより表現できる。ゆえに、トークンは、実世界のアイテムがブロックチェーンから参照されることを可能にする識別子として機能する。
【発明の概要】
【0008】
ブロックチェーンベースの暗号通貨の健全性を測定するための重要な要素の1つは、ブロックチェーンを実際に記憶しているノードの数である。ブロックチェーンは、秒あたりのトランザクション数に従って成長する。しかし、暗号通貨が普及すると、秒あたりの支払い数は増加し、ブロックチェーンの成長率も増加する。次いで、記憶コストが法外に高くなる。
【0009】
ゆえに、1つの技術的な問題は、ブロックチェーンネットワークがかなり大きいブロックチェーンを記憶するよう適合されるように、ブロックチェーンネットワークを再構成する方法である。さらなる技術的な問題は、ブロックチェーンネットワーク上のすべてのノードにそのようなかなり大きいブロックチェーンを記憶することを求めずに、これを達成する方法である。また、さらなる技術的な問題は、専門化されたストレージノードが、それらがそのようなかなり大きいブロックチェーンの少なくとも一部分を記憶していることを証明できるように、ブロックチェーンネットワークを再構成する方法である。また、さらなる技術的な問題は、専門化されたストレージノードがそのようなかなり大きいブロックチェーンの少なくとも一部分を記憶するよう動機づけされるように、ブロックチェーンネットワークを再構成する方法である。
【0010】
本発明の一目的は、本明細書に記載される技術的解決策を提供することにより、これらの技術的問題に対処することである。詳細には、本明細書は、(i)ストレージノードが公開ブロックチェーンを維持することに対して報酬を与えられることを可能にし、(ii)プルーフオブブロックチェーンストレージ(PoBS)スキームを用いてブロックチェーンの完全性を立証するプロトコルを説明する。このプロトコルは、チャレンジレスポンス方法を使用してリモートのサーバに記憶されたデータファイルが損なわれていないかを暗号でチェックする方法を提供する。このプロトコルは、中間者攻撃に対して安全にされる。悪意のあるピアは、データを記憶している第三者にチャレンジを渡してレスポンスを返すことができない。該スキームは、公に立証可能でもある。
【0011】
本発明の実施形態は、様々な形式で提供できる。例えば、コンピュータ実行可能命令を含むコンピュータ読取可能記憶媒体を提供でき、該コンピュータ実行可能命令は、実行されたときに、本明細書に記載される方法を実行するように1つ以上のプロセッサを構成する。また、インターフェースデバイスと、インターフェースデバイスに結合された1つ以上のプロセッサと、1つ以上のプロセッサに結合されたメモリであり、該メモリは、コンピュータ実行可能命令を記憶し、該コンピュータ実行可能命令は、実行されたとき、本明細書に記載される方法を実行するように1つ以上のプロセッサを構成する、メモリと、を含む電子デバイスを提供できる。さらに、ブロックチェーンネットワークのノードを提供でき、ノードは、本明細書に記載される方法を実行するように構成される。
【図面の簡単な説明】
【0012】
本発明のこれら及び他の態様が、本明細書に記載した実施形態から明らかであり、それらを参照して明らかにされるであろう。次に、本発明の一実施形態が、単なる例として、添付の図面を参照して説明される。
【図1】プルーフオブブロックチェーンストレージ(PoBS)プロトコルのステップ1を例示する図を示す。
【図2】プルーフオブブロックチェーンストレージ(PoBS)プロトコルにおけるステップ3を例示する図を示す。
【図3】分布関数f(T)を釣鐘状曲線の形式で示す。
【図4】プルーフオブブロックチェーンストレージ(PoBS)プロトコルで使用されるトランザクションの一例を示す。
【図5】プルーフオブブロックチェーンストレージ(PoBS)プロトコルにおけるランダムオラクルの使用を示す。
【発明を実施するための形態】
【0013】
発明の概要セクションに記載されるように、ブロックチェーンは、秒あたりのトランザクション数に従って成長する。しかし、暗号通貨が普及すると、秒あたりの支払い数は増加し、ブロックチェーンの成長率も増加する。次いで、記憶コストが法外に高くなる。
【0014】
(i)ストレージノードが公開ブロックチェーンを維持することに対して報酬を与えられることを可能にし、(ii)プルーフオブブロックチェーンストレージ(Proof-of-Blockchain Storage、PoBS)スキームを用いてブロックチェーンの完全性を立証するプロトコルを我々は説明する。このプロトコルは、チャレンジレスポンス方法を使用してリモートのサーバに記憶されたデータファイルが損なわれていないかを暗号でチェックする方法を提供する。このプロトコルは、中間者攻撃に対して安全にされる。悪意のあるピアは、データを記憶している第三者にチャレンジを渡してレスポンスを返すことができない。該スキームは、公に立証可能でもある。
【0015】
システムが提供され、(例えば)マイナーにより実行され、これにおいて、(例えば)毎分、各マイナーがブロックチェーンからランダムに取引をサンプリングする(マイナーは必ずしも同期されない)。
【0016】
ブロックチェーンネットワークのノードのための、コンピュータにより実現される方法が提供され、当該コンピュータにより実現される方法は、
ブロックチェーンから、プルーフオブストレージがチャレンジされる(challenged)べき1つ以上のトランザクションを選択するステップであり、上記選択された1つ以上のトランザクションはトランザクション深さを有する、ステップと、
プルーフオブストレージがチャレンジされるべき上記1つ以上の選択されたブロックチェーントランザクションを示すプルーフオブブロックチェーンストレージトランザクションと、上記1つ以上の選択されたトランザクションを記憶するストレージノードによりロック解除できるプルーフオブブロックチェーンストレージ報酬とを作成するステップと、
上記プルーフオブブロックチェーンストレージトランザクションを上記ブロックチェーンネットワーク上の1つ以上のストレージノードに送信するステップと、
を含む。
ブロックチェーンから、プルーフオブストレージがチャレンジされる(challenged)べき1つ以上のトランザクションを選択するステップであり、上記選択された1つ以上のトランザクションはトランザクション深さを有する、ステップと、
プルーフオブストレージがチャレンジされるべき上記1つ以上の選択されたブロックチェーントランザクションを示すプルーフオブブロックチェーンストレージトランザクションと、上記1つ以上の選択されたトランザクションを記憶するストレージノードによりロック解除できるプルーフオブブロックチェーンストレージ報酬とを作成するステップと、
上記プルーフオブブロックチェーンストレージトランザクションを上記ブロックチェーンネットワーク上の1つ以上のストレージノードに送信するステップと、
を含む。
【0017】
本方法は、ブロックチェーンネットワーク上のマイナーがブロックチェーンネットワーク上のストレージノードにチャレンジして、これらがブロックチェーン又はその少なくとも一部を記憶していることを証明できる手段を提供する。
【0018】
上記1つ以上の選択されたブロックチェーントランザクションは、上記ブロックチェーンにおける上記1つ以上のトランザクションの深さに対応するトランザクション深さdを有し、上記プルーフオブブロックチェーンストレージ報酬は、上記トランザクション深さdに従って設定でき、それにより、上記トランザクション深さdがより大きいほど上記報酬がより大きい。
【0019】
この特徴は、ストレージノードがブロックチェーンのうちより多くを記憶するよう奨励し、なぜならば、これらは、より深いトランザクションを記憶することに対してより大きい報酬を受けるからである。
【0020】
上記1つ以上のブロックチェーントランザクションは上記ブロックチェーンからランダムに選択できる。ブロックチェーントランザクションのリストが選択されてもよい。ランダムな選択を導入することは、システムのセキュリティを増大させることに役立つ。セキュリティは、上記1つ以上のトランザクションが上記ブロックチェーン上で複数の確認(confirmations)を受信した1つ以上のブロックから選択されることを保証することにより、さらに向上する。
【0021】
上記プルーフオブブロックチェーンストレージトランザクションは、上記ブロックチェーン上に記憶されるべき新たにマイニングされたブロックに関連づけられたデータを含むことができる。上記新たにマイニングされたブロックに関連づけられた上記データは、例えば、上記新たにマイニングされたブロックのブロックヘッダデータであり得る。そのようなものとして、マイナーは、それらがストレージノード上への記憶の準備ができた新たにマイニングされたブロックを有するとき、ブロックチェーン上のストレージノードにチャレンジすることができ、チャレンジは、記憶されるべき新たにマイニングされたブロックに関連づけられる。
【0022】
新たにマイニングされたブロックに関連づけられた上記データは、上記ブロックチェーンから選択された上記1つ以上のブロックチェーントランザクションに関連づけられたデータと組み合わせられ得る。例えば、上記新たにマイニングされたブロックに関連づけられた上記データは、XOR演算又は連結により、上記ブロックチェーンから選択された上記1つ以上のブロックチェーントランザクションに関連づけられた上記データと組み合わせられ得る。さらに、上記プルーフオブブロックチェーンストレージトランザクションは、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数、
のうち1つを含むことができる。
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数、
のうち1つを含むことができる。
【0023】
このような特徴は、報酬をロック解除するために1つ以上の選択されたブロックチェーントランザクションを所有するストレージノードにより算出できる暗号関数をセットアップする。
【0024】
上記プルーフオブブロックチェーンストレージトランザクションは、上記ブロックチェーンネットワーク上の上記1つ以上のストレージノードに関連づけられた1つ以上のブロックチェーンネットワークアドレスをさらに含む。これらのアドレスは、認定されたブロックチェーンネットワークアドレスでもよく、認定は、(後により詳細に説明されるように)システムのセキュリティを増大させるために、秘密鍵シェアスキームを介して達成される。
【0025】
当該方法は、上記1つ以上の選択されたブロックチェーントランザクションの識別番号を含むチャレンジプレフィックスを生成するステップ、をさらに含むことができ、上記チャレンジプレフィックス及び上記プルーフオブブロックチェーンストレージトランザクションは、上記ブロックチェーンネットワーク上の上記1つ以上のストレージノードに送信できる。チャレンジプレフィックスは、1つ以上のストレージノードにより、そのブロックチェーンのコピーから1つ以上の選択されたブロックチェーントランザクションを識別及び抽出するために使用できる。システムのセキュリティをさらに増大させるために、ランダムオラクルが使用されて、上記チャレンジプレフィックス、及び、上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数と上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数とのうち1つを生成することができる。上記チャレンジプレフィックスは、完全性及び認証に対するデジタル署名を添えられてもよく、あるいは、チャレンジプレフィックスメッセージが、非トランザクションフィールドでストレージノードに送信されてもよい。
【0026】
上記プルーフオブブロックチェーンストレージトランザクションを受信すると、上記1つ以上のストレージノードは、それらノードに記憶された上記1つ以上の選択されたブロックチェーントランザクションにアクセスし、上記報酬をロック解除するために上記1つ以上の選択されたブロックチェーントランザクションを使用することができる。例えば、前に説明された例に続き、上記報酬は、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数、
のうち1つを算出することによりロック解除できる。
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータの暗号関数、
上記1つ以上の選択されたブロックチェーントランザクションに関連づけられたデータと組み合わせられた新たにマイニングされたブロックに関連づけられたデータの暗号関数、
のうち1つを算出することによりロック解除できる。
【0027】
コンピュータ実行可能命令を含むコンピュータ読取可能記憶媒体が提供されてもよく、上記コンピュータ実行可能命令は、実行されたときに、本明細書に記載の方法を実行するように1つ以上のプロセッサを構成する。
【0028】
電子デバイスがさらに提供されてもよく、当該電子デバイスは、
インターフェースデバイスと、
上記インターフェースデバイスに結合された1つ以上のプロセッサと、
上記1つ以上のプロセッサに結合されたメモリであり、上記メモリは、コンピュータ実行可能命令を記憶し、上記コンピュータ実行可能命令は、実行されたときに、本明細書に記載の方法を実行するように上記1つ以上のプロセッサを構成する、メモリと、
を含む。
インターフェースデバイスと、
上記インターフェースデバイスに結合された1つ以上のプロセッサと、
上記1つ以上のプロセッサに結合されたメモリであり、上記メモリは、コンピュータ実行可能命令を記憶し、上記コンピュータ実行可能命令は、実行されたときに、本明細書に記載の方法を実行するように上記1つ以上のプロセッサを構成する、メモリと、
を含む。
【0029】
またさらに、ブロックチェーンネットワークのノードが提供でき、当該ノードは、本明細書に記載の方法を実行するように構成される
【0030】
次に、プルーフオブブロックチェーンストレージプロトコルの一例が説明される。このセクションでは、我々は、
と書いて、元xが集合Xからランダムにサンプリングされることを表す。我々は時に、y:=A(x)と書いて、インプットxに対するアルゴリズムAの実行の決定的結果を表す。文字列連結は縦棒(||)で表される。XOR演算はシンボル(
)で表される。ブロックチェーントランザクションの集合はシンボルBで表される。
【数1】
【数2】
【0031】
[各マイナーにより実行されるプロトコル]
1.時間τにおいて、ランダムに選ばれたトランザクションの集合がブロックチェーンから選定される(図1)。トランザクションのリストがローカルに記憶される(GenList機能)。
2.新しいブロックの成功裏のマイニングにおいて、成功したマイナーは多くのチャレンジを作成する(GenChal機能)。チャレンジ収益、すなわち$R:=GetRew(d)が算出され、dはトランザクション深さ(transaction depth)である。
3.マイナーは、プルーフオブストレージ(proof of storage)に関連づけられたチャレンジを含むコインベーストランザクションを含む新たにマイニングされたブロックデータをブロードキャストする(図2)。
1.時間τにおいて、ランダムに選ばれたトランザクションの集合がブロックチェーンから選定される(図1)。トランザクションのリストがローカルに記憶される(GenList機能)。
2.新しいブロックの成功裏のマイニングにおいて、成功したマイナーは多くのチャレンジを作成する(GenChal機能)。チャレンジ収益、すなわち$R:=GetRew(d)が算出され、dはトランザクション深さ(transaction depth)である。
3.マイナーは、プルーフオブストレージ(proof of storage)に関連づけられたチャレンジを含むコインベーストランザクションを含む新たにマイニングされたブロックデータをブロードキャストする(図2)。
【0032】
次に、PoBS構築で使用される機能を我々は定義する。
【0033】
前処理(PrePROCESSING):トランザクション深さdに対して演算するPoBS報酬関数Rewを設定する。トランザクションTがブロックチェーン内でより深いほど、PoBS報酬はより高い。
【0034】
GetReward機能:
Rewを報酬関数とする。深さdを受信すると、
GetReward(d):
1.Return Rew(d)
Rewを報酬関数とする。深さdを受信すると、
GetReward(d):
1.Return Rew(d)
【0035】
GenList機能:
nを、必要とされるトランザクションの総数とする。ブロックチェーンBを調べる(interrogating)と、リストLが作成される。
GenList(n):
nを、必要とされるトランザクションの総数とする。ブロックチェーンBを調べる(interrogating)と、リストLが作成される。
GenList(n):
【数3】
【0036】
セットアップ(SETUP):(i)新たにマイニングされたもののブロックヘッダHeadと、(ii)確認されたトランザクションのリストLと、を保持するマイナーMを所与として、Mは、チャレンジChalを生成し、該チャレンジは、とりわけ、Mが所有の証明(proof of possession)を望む特定のトランザクションT∈Lを示す。トランザクションは、複数の確認を受けたブロックに記録される。
【0037】
GenChal機能:
前に定義されたように、Headをブロックヘッダとし、Lを確認されたトランザクションのリストとし、Hを暗号ハッシュ関数とする。dをトランザクションの深さ(ブロック又はその後の確認の数)とする。GenChal(Head,L)機能は、以下のように定義される。
GenChal(Head,L):
前に定義されたように、Headをブロックヘッダとし、Lを確認されたトランザクションのリストとし、Hを暗号ハッシュ関数とする。dをトランザクションの深さ(ブロック又はその後の確認の数)とする。GenChal(Head,L)機能は、以下のように定義される。
GenChal(Head,L):
【数4】
【0038】
上記では、分布関数f(T)の形状を我々は示さなかったことに留意されたい。関数は一様であってもよく、あるいは釣鐘状曲線に従ってもよい(図3参照)。
【0039】
コインベースTXの準備(PREPARE COINBASE TX):Mは、コインベーストランザクションを、Chalとストレージノードの受領者ビットコインアドレスとを使用して完了する。例示の目的で、簡素な例が図4に与えられる。
【0040】
チャレンジ(CHALLENGE):Mは、トランザクション識別番号を含むチャレンジプレフィックスpref=Tidを生成する。そのメッセージは、(i)完全性及び認証に対するデジタル署名を添えられてもよく、あるいは(ii)非トランザクションフィールドに、例えば、OP_RETURNの後に含まれもよい。Mは、pref及びchalをストレージノードSに送信する。Chalを受信すると、サーバは、彼/彼女が資金をロック解除することを可能にするH(Head||T)を計算する。
【0041】
上述された手法は、プロトコルにランダムオラクル(random oracle)を追加することからの恩恵を受けることもできる。ランダムオラクルは、あらゆるクエリに対して、(正直者を表す)ランダムに選ばれたレスポンスで応答するオラクルである。このシナリオでは、マイナーMは、ブロックヘッダHeadについてランダムオラクル(RO)にクエリする。Headを受信すると、ROは、あらゆるクエリに対して、真にランダムなレスポンスH(Head||T)、pref=Tidで応答する(図5参照)。
【0042】
[認定されたビットコインアドレス]
さらに、認定されたビットコインアドレスを使用して、セキュリティの目的でマイナーとストレージノードとの間の共謀を防止することを我々は提案する。この点に関して、非中央集権的なピアツーピアシステムにおける挑戦の1つは、ノードが信頼ベースでネットワーク内の別のノードと通信できることを保証することである。いくつかの実装のネットワークアーキテクチャが進化したとき、いくつかのノードは、より専門化されたタスクを引き受ける可能性があり、他のノードは、(前に記載されたような)特定のデータのソースとして又は特定の機能の実行者としてこれらの専門化されたノードに依存する可能性がある。ノードが、情報のために又は正当なソースとして別のノードに依存しようとする場合、それは、そのノードと通信するために信頼された関係を確立できる必要がある。複数のノードが異なる役割を有する可能性がある場合、ノードの役割を決定及び立証するメカニズムを有することが有利である。さらに、ノードが違法又は悪意があることが判明した場合、他のノードがそれを覚えておき、そのようなノードからの将来の通信を無視することが可能であるべきである。ピアツーピアシステムでは、中央の権限を課すことによりシステムのピアツーピアの性質を妥協することなく、これらの問題を解決することが挑戦である。
さらに、認定されたビットコインアドレスを使用して、セキュリティの目的でマイナーとストレージノードとの間の共謀を防止することを我々は提案する。この点に関して、非中央集権的なピアツーピアシステムにおける挑戦の1つは、ノードが信頼ベースでネットワーク内の別のノードと通信できることを保証することである。いくつかの実装のネットワークアーキテクチャが進化したとき、いくつかのノードは、より専門化されたタスクを引き受ける可能性があり、他のノードは、(前に記載されたような)特定のデータのソースとして又は特定の機能の実行者としてこれらの専門化されたノードに依存する可能性がある。ノードが、情報のために又は正当なソースとして別のノードに依存しようとする場合、それは、そのノードと通信するために信頼された関係を確立できる必要がある。複数のノードが異なる役割を有する可能性がある場合、ノードの役割を決定及び立証するメカニズムを有することが有利である。さらに、ノードが違法又は悪意があることが判明した場合、他のノードがそれを覚えておき、そのようなノードからの将来の通信を無視することが可能であるべきである。ピアツーピアシステムでは、中央の権限を課すことによりシステムのピアツーピアの性質を妥協することなく、これらの問題を解決することが挑戦である。
【0043】
ゆえに、自律的な専門化されたノードのグループから要求ノードへのクレデンシャルのセキュアな配布を管理する方法及びデバイスを提供できる。クレデンシャルのセキュアな配布は、秘密シェア(secret share)と、ノードのいずれも再構築又は所有しないグループ秘密鍵とを使用してもよい。クレデンシャルは、要求ノードの識別子と、秘密点(secret point)とを含み、ノードは、該秘密点を、複数の専門化されたノードの各々により提供される秘密点の部分から組み立て、秘密点は、グループ秘密鍵と、要求ノードの識別子のマップツーポイント(map-to-point)ハッシュとに基づく。ノードは、いくつかの実装においてブロックチェーンノードであってもよい。
【0044】
2つのノードが、自律的な専門化されたノードのグループにより認定されているとして、グループを伴うこと又は中央集権的な認定管理者若しくは承認者を伴うことなく互いを認証することができる。この方法は、第1のノード及び第2のノードがそのそれぞれの識別子及び秘密点を伴う双線形ペアリング演算を使用して同じ鍵を導出することを伴ってもよい。秘密点及び識別子がグループ秘密鍵を使用してグループから取得されたという条件で、双線形ペアリング演算は、2つのノードの各々における同じ鍵の生成をもたらし、それにより、そのそれぞれのクレデンシャルを認証し、2つのノード間の信頼された通信を可能にする。
【0045】
ノードは、専門化されたノードのグループからクレデンシャルを取得することができ、専門化されたノードの各々は、グループ秘密鍵の秘密鍵シェアを有する。この方法は、ノードから複数の専門化されたノードにクレデンシャルの要求を送信することであり、ノードは識別子を有する、ことと、複数の専門化されたノード内の各ノードから、識別子とそのノードの秘密鍵シェアとからそのノードにより生成された秘密点の一部分を受信することと、秘密点の受信部分を組み合わせることにより秘密点を生成することと、を含んでもよく、秘密点は、グループ秘密鍵に識別子のマップツーポイントハッシュを掛けたもの(times)であり、クレデンシャルは、識別子及び秘密点である。専門化されたノード又はノードのいずれも、グループ秘密鍵の完全なコピーを取得するよう求められなくてもよい。
【0046】
いくつかの実装において、要求を送信することは、複数の専門化されたノードの各々に別個の要求を送信することを含んでもよい。識別子は、ノードを識別する識別子文字列と、専門化されたノードのグループの役割を識別する役割文字列とを含んでもよい。いくつかの場合、識別子は、クレデンシャルの満了時間をさらに含み、いくつかのさらなる場合、要求を送信することは、識別子文字列を送信することを含み、受信することは、識別子を受信することを含む。
【0047】
いくつかの実装において、秘密点を生成することは、秘密点の受信部分を組み合わせることを含む。組み合わせることは、いくつかの例示的な実装において合計することを含んでもよい。
【0048】
いくつかの実装において、秘密点は秘密シェアを使用して生成され、グループ秘密鍵に基づく。これらの場合のいくつかにおいて、秘密シェアは、グループ秘密鍵を再構築することなく、ラグランジュ補間と複数の専門化されたノードの秘密鍵シェアとを使用する。
【0049】
第1のノードが第2のノードとの信頼された通信を確立するために、コンピュータにより実現される方法をさらに提供でき、第2のノードは、第2のノード識別子及び第2の秘密点を有し、第2の秘密点は、グループ秘密鍵に第2のノード識別子のマップツーポイントハッシュを掛けたものであり、グループ秘密鍵は、クレデンシャルを付与するように構成されたノードのグループに関連づけられる。この方法は、ノードのグループから第1の秘密点を取得することであり、第1の秘密点は、グループ秘密鍵に第1のノード識別子のマップツーポイントハッシュを掛けたものである、ことと、第1のノード識別子を第2のノードに送信することと、第2のノード識別子を受信することと、第2のノード識別子のマップツーポイントハッシュを用い及び第1の秘密点を用いて双線形ペアリング演算を使用して第1のセッション鍵を生成することと、第1のセッション鍵が、第2の秘密点を用い及び第1のノード識別子のマップツーポイントハッシュを用いて双線形ペアリング演算を使用して第2のノードにより生成された第2のセッション鍵と一致することを確認することと、を含んでもよい。
【0050】
いくつかの実装において、第1のセッション鍵を生成する双線形ペアリング演算動作は、式:
KA=e(H1(idB),sA)、及び
KA=e(sB,H1(idA))
のうち一方により特徴づけられてもよく、第2のセッション鍵を生成する双線形ペアリング演算は、式のうち他方により特徴づけられ、e()は、双線形ペアリング演算であり、H1()は、マップツーポイントハッシュであり、idA及びidBは、第1のノード識別子及び第2のノード識別子の各ノード識別子であり、sA及びsBは、第1の秘密点及び第2の秘密点の各秘密点である。
KA=e(H1(idB),sA)、及び
KA=e(sB,H1(idA))
のうち一方により特徴づけられてもよく、第2のセッション鍵を生成する双線形ペアリング演算は、式のうち他方により特徴づけられ、e()は、双線形ペアリング演算であり、H1()は、マップツーポイントハッシュであり、idA及びidBは、第1のノード識別子及び第2のノード識別子の各ノード識別子であり、sA及びsBは、第1の秘密点及び第2の秘密点の各秘密点である。
【0051】
いくつかの実装において、第1の秘密点を取得することは、ノードのグループ内の複数のノードの各々から、第1の秘密点のそれぞれの部分を取得することと、グループ秘密鍵を再構築することなく、それぞれの部分を組み合わせて第1の秘密点を形成することとを含む。
【0052】
いくつかの実装において、確認することは、第1のノードから第2のノードに、第1のセッション鍵で暗号化されたチャレンジを送信することと、チャレンジに対するレスポンスを受信することと、レスポンスに基づいて、第2のノードが第2のセッション鍵を使用してチャレンジを有効に復号したと決定することと、を含む。
【0053】
いくつかの実装において、送信することは、第1のノンスを送信することをさらに含み、受信することは、第2のノンス及び算出されたC0値を受信することをさらに含み、C0値は、第2のセッション鍵、第1のノンス、及び第2のノンスの連結のハッシュを含む。これらの場合のいくつかにおいて、連結は、第1のノード識別子及び第2のノード識別子をさらに含む。これらの場合のいくつかにおいて、生成することは、第1のセッション鍵、第1のノンス、及び第2のノンスの連結のハッシュを含む算出されたC1値を生成することを含み、確認することは、算出されたC0値が算出されたC1値に一致することを確認することを含む。
【0054】
いくつかの実装において、第2の秘密点は、グループ秘密鍵に第2のノード識別子のマップツーポイントハッシュを掛けたものである。
【0055】
いくつかの実装において、第1の秘密点及び第2の秘密点は各々、秘密シェアリングを使用して第1のノード及び第2のノードにそれぞれ、ノードのグループにより提供される。
【0056】
例えば、ノードのグループ内の各ノードは、秘密鍵kのシェアkiを含むことができる。秘密シェアリングが、秘密kがn人のプレーヤ間で分割される閾値暗号システムで使用され、それにより、少なくともt+1人の参加者が、kを再構築するために協働するよう求められる。秘密kのうち任意のt個の断片についての知識は、後者の秘密kを未確定のままにする。
【0057】
秘密シェアリングは、多項式補間に基づき、秘密は、有限体Fの元であると仮定される。このスキームは、ディーラー(ディーラー無しバージョンも存在する)、n人の参加者の集合U1,・・・,Unを含む。そのプロトコルでは、任意のランダムな秘密がt次多項式f(x)におけるf(0)として記憶され、ノードiのみがそのシェアf(xi)を算出することができる。n個のノードのうちt+1個が協働した場合、それらは、ラグランジュ多項式補間を使用してf(x1),f(x2),・・・,f(xn)に対応する(鍵kの)そのシェアk1,k2,・・・,knを用いて、f(x)上のいかなる点も再構築することができる。ラグランジュ多項式補間は、次数tを有する関数f(x)がt+1個の点p={(x1,f(x1)),(x2,f(x2)),・・・,(xt+1,f(xt+1))}を用いて再構築できることを提供し、
であり、
である。bi,p(xi)=1であり、bi,p(xj)=0であることに留意する。この点で、biは補間係数である。
【数5】
【数6】
【0058】
ディーラー無しシェア分配を伴う一実装において、
1.各ノードiは、誰もが知るxiを割り当てられる。各xiは、一意である必要がある。
2.各ノードiは、次数tを有するランダムな多項式fi(x)を生成する。
3.各ノードiは、あらゆる他のノードに、多項式上のそのそれぞれの点fi(xj)mod nを秘密に送信する(受領者の公開鍵で暗号化される)。
4.各ノードiは、すべてのその受信したf1(xi),f2(xi),・・・fp(xi)、すべてのmod n(nは、基礎体Fnの特性である(Fnは、GF(n)、z/nzで表されることもある))を合計して、多項式上のシェアf(x) mod nであるki=f(xi) mod nを形成する。
1.各ノードiは、誰もが知るxiを割り当てられる。各xiは、一意である必要がある。
2.各ノードiは、次数tを有するランダムな多項式fi(x)を生成する。
3.各ノードiは、あらゆる他のノードに、多項式上のそのそれぞれの点fi(xj)mod nを秘密に送信する(受領者の公開鍵で暗号化される)。
4.各ノードiは、すべてのその受信したf1(xi),f2(xi),・・・fp(xi)、すべてのmod n(nは、基礎体Fnの特性である(Fnは、GF(n)、z/nzで表されることもある))を合計して、多項式上のシェアf(x) mod nであるki=f(xi) mod nを形成する。
【0059】
ノードのグループのうちのノードが、要求ノードのための秘密点sAを生成するよう協働する。秘密点sAは、巡回群G1内であり、その重要性は、ハンドシェイク及びペアリングに関する以下の説明から明らかになる。秘密点は、
sA=k・H1(idA)
として識別子に関連し、idAは、要求ノード504の識別子である。クレデンシャルは、いくつかの実装において(idA,sA)であると考えられてもよい。H1は、以下でより詳細に説明されるように、マップツーポイントハッシュ関数である。
sA=k・H1(idA)
として識別子に関連し、idAは、要求ノード504の識別子である。クレデンシャルは、いくつかの実装において(idA,sA)であると考えられてもよい。H1は、以下でより詳細に説明されるように、マップツーポイントハッシュ関数である。
【0060】
グループ秘密鍵kを再構築することなく秘密点を生成するために、ノードのグループは、秘密シェア参加(Secret Share Joining)の形式を使用して、sAを生成することにおいて協働する。要求ノードは、ノードのグループのうち少なくともt+1個のノードにクレデンシャル要求を送信する。これらのノードは各々、要求ノードにsAの一部分を提供する。詳細には、秘密点sAの各シェアsAiがノードiにより決定され、要求ノードに送信され、次いで、要求ノードは、それらを秘密点sAに組み立てる(すなわち、それらを組み合わせる)。いくつかの例において、シェアsAiは、これらを合計することにより組み合わせられ、秘密点sAを取得する。
【0061】
次に、クレデンシャルのグループベースの分散生成のための一例示的な処理が説明される。処理は、要求ノードにより実行される。これは、要求ノードがインデックスiを1に設定することで開始する。次いで、要求ノードは、ノードiからのクレデンシャルを要求する。ノードiは、本明細書に記載のクレデンシャル付与手順の実装を実行するように構成されたノードのグループ内の専門化されたノードである。ノードiは、グループ秘密鍵シェアkiの一部分を使用して、秘密点sAのi番目の部分を決定する。その部分は、sAiとして参照されてもよい。
【0062】
要求ノードはi番目のノードから部分sAiを受信し、すなわち、それは部分的なクレデンシャルを受信する。受信ノードは、インデックスiがt+1であるかどうかを評価する。そうである場合、受信ノードは、t+1個の部分的クレデンシャルを受信したが、そうでない場合、それは、秘密点sAを再構築するためにさらなる部分的なクレデンシャルを依然として必要とする。iがまだt+1に等しくない場合、それは1だけ増分され、処理は戻って、ノードのグループ内の別のノードからのさらなる部分的なクレデンシャルを要求する。iがt+1に等しい場合、動作712において、要求ノードは秘密点sAを組み立てる。
【0063】
ノードのグループ内のノードの協働作業を通してクレデンシャルを取得すると、中央の権限に依存すること又は検証/認証のためにグループに戻ることなく、クレデンシャルをチェック又は検証するメカニズムを有することが有利である。その方法で、同じノードグループからの、有効なクレデンシャルを有すると主張する2つのノードが、発行されたクレデンシャルを協働的に立証及び検証するノードのグループを有することに関連づけられた時間遅延及び通信オーバーヘッドの負担なく、互いのクレデンシャルを検証することができる。
【0064】
概観として、グループ秘密鍵kが有限体のメンバである、すなわちk∈Zqであることを考える。クレデンシャルを取得した要求ノードは、該クレデンシャルを、その識別子idAと巡回群G1内の秘密点sAとの形式で有する。この例示的な実施形態において、識別子(又は「仮名(pseudonym)」)idAは、(Alice||role||expiration time)であり、||は、2つの文字列の連結を示し、roleは、ノードのグループ及び/又はその機能若しくは役割に関連づけられた文字列又は他の英数字識別子である。要求ノードは、その識別子を誰にでも明らかにすることができるが、sAを秘密にする。
【0065】
別の要求ノードが、(Bob||role||expiration time)としての識別子idBと、秘密点sBとを取得する。
【0066】
秘密点sAは、sA=k・H1(idA)により与えられ、秘密点sBは、sB=k・H1(idB)により与えられることに留意する。
【0067】
AliceとBobが互いに信頼された通信を確立したい、すなわち、これらのうち一方又は双方が他方のクレデンシャルを立証したいとき、この2つのノードは、その秘密点を開示することなく、そのそれぞれの識別子/仮名を交換する。
【0068】
次いで、ノードAliceが、セッション鍵KAを、
KA=e(H1(Bob||role||expiration time),sA)
を計算することにより生成する。e()は、双線形写像、すなわちペアリング演算であり、ノードBobは、セッション鍵KBを、
KB=e(sB,H1(Alice||role||expiration time))
を計算することにより算出する。
KA=e(H1(Bob||role||expiration time),sA)
を計算することにより生成する。e()は、双線形写像、すなわちペアリング演算であり、ノードBobは、セッション鍵KBを、
KB=e(sB,H1(Alice||role||expiration time))
を計算することにより算出する。
【0069】
演算H1()は、以下でさらに説明されるように、マップツーポイント関数である。ペアリングの特性に起因して、2つの鍵は同じであり、すなわちKA=KBである。チャレンジ値を送信し、それのレスポンスを得ることにより、2つのノードは、プロトコルが成功したこと、すなわち、2つのノードが各々、同じ役割を示す同じノードグループにより発行されたクレデンシャルを保持していることを立証することができる。あるいは、一方の当事者が、他方に何らかのコンテンツを送信することができ、これは、ハンドシェイクが成功した場合、及びその場合に限り、成功裏に復号される。
【0070】
この例におけるペアリング演算は、sA及びsBがこの場合には同じ巡回群G1からであることに依存する。他の場合に、この2つは、別のアーベル群内の値を
e:G1×G2→GT
としてとる2つのアーベル群として関連する、異なる巡回群G1及びG2からであってもよく、G1、G2、及びGTは、同じ位数の巡回群である。
e:G1×G2→GT
としてとる2つのアーベル群として関連する、異なる巡回群G1及びG2からであってもよく、G1、G2、及びGTは、同じ位数の巡回群である。
【0071】
公開であるクレデンシャルの生成において特定のパラメータが存在する。これらは、処理において任意のノードにより生成され、他のノードと共有されてもよい。Eが、体Fq上のn個の点を含む楕円曲線であるという仮定から開始し、qが、2及び3に対し相対的に素な素数のべきである場合、公開パラメータは、以下:
params=(p,G1,G2,GT,g1,g2,e,H1,H2)
を含んでもよく、g1(resp.g2)は、双線形写像e(.,.)を有する素数位数pの群G1(resp.G2)の生成元である。G1は、互いに素なr、qを有する位数rのE(Fq)の巡回部分群である。そして、e(g1,g2)は、位数pを同様に有するGTを生成する。H1及びH2は、それぞれ、G1及びG2に関するマップツーポイントハッシュである。上述したように、いくつかの実装において、及び本明細書に記載した例の多くにおいて、G1のみが使用されてもよく、これは、同じマップツーポイントハッシュ関数H1が秘密点sA及びsBの双方に使用されることを意味する。
params=(p,G1,G2,GT,g1,g2,e,H1,H2)
を含んでもよく、g1(resp.g2)は、双線形写像e(.,.)を有する素数位数pの群G1(resp.G2)の生成元である。G1は、互いに素なr、qを有する位数rのE(Fq)の巡回部分群である。そして、e(g1,g2)は、位数pを同様に有するGTを生成する。H1及びH2は、それぞれ、G1及びG2に関するマップツーポイントハッシュである。上述したように、いくつかの実装において、及び本明細書に記載した例の多くにおいて、G1のみが使用されてもよく、これは、同じマップツーポイントハッシュ関数H1が秘密点sA及びsBの双方に使用されることを意味する。
【0072】
いくつかの楕円曲線暗号システムにおいて、ハッシュアルゴリズムは、有限体の元であるパスワード又は他の文字列を、所与の楕円曲線の点に写像するために使用される。これらは、マップツーポイントハッシュである。より正確には、マップツーポイントハッシュ関数H1は、インプットにメッセージをとって点P∈E(K)を返す変換である。より詳細には、H1は、点P∈E(K)[r]を返し、E(K)[r]は、G1により生成されたE(K)の部分群である。このスキームにおいて、基礎体Fqから曲線への1対1の写像が存在する。これは、f(H(m))を使用してハッシュすることを可能にし、Hは、古典的なハッシュ関数であり、H(m)∈Fqである。
【0073】
次に、互いのクレデンシャルを検証することにより信頼された通信チャネルを確立する際の、2つのノードA及びB間のメッセージフローが説明される。この例示的な実装において、ノードAは、その識別子idAをノードBに提供する。識別子idAは公に利用可能であり、いくつかの場合には別のソースからノードBにより取得されてもよい。これから、ノードBは、ノードAの識別子と、ノードBにより保持される秘密点sBと、クレデンシャルを発行したノードのグループにより規定されるマップツーポイントハッシュ関数H1とを使用して、セッション鍵KBを生成することができる。セッション鍵KBは、ノードのグループにより同様に規定されるペアリング演算e()、すなわち、
KB=e(sB,H1(Alice||role||expiration time))
を使用して生成され、この例において、ノードBの識別子idBは、(Alice||role||expiration time)である。
KB=e(sB,H1(Alice||role||expiration time))
を使用して生成され、この例において、ノードBの識別子idBは、(Alice||role||expiration time)である。
【0074】
ノードBは、その識別子idBをノードAを提供し、次いで、ノードAは、ノードBの識別子、その秘密点sA、並びに同じペアリング演算及びマップツーハッシュ関数、すなわち、
KA=e(H1(Bob||role||expiration time),sA)
を使用して、セッション鍵KAを同様に生成することができる。
KA=e(H1(Bob||role||expiration time),sA)
を使用して、セッション鍵KAを同様に生成することができる。
【0075】
秘密点が、同じグループ秘密鍵kとそれぞれのノードA及びBの識別子とを使用してノードのグループにより適法に協働的に生成された場合、ペアリング演算は、KA=KBの結果をもたらすはずである。これは、任意数の方法でテストしてもよい。この例示的な実装において、ノードAは、セッション鍵KAで暗号化されたチャレンジをノードBに送信する。ノードBは、そのセッション鍵KBを使用してチャレンジを復号しようとし、チャレンジに対するレスポンスを送信する。レスポンスは、セッション鍵KBにより暗号化されてもよい。これに基づいて、双方のノードは、これらが同じセッション鍵を有することを確かめることができる。そのセッション鍵は、2つのノード間の通信を暗号化するために使用されてもよい。別の実装において、セッション鍵は、別の鍵のセットアップにつながる通信を暗号化するために使用されてもよい。さらに別の実装において、2つのノード間の通信は、上述の手順に単に依存して互いのクレデンシャルを検証/認証し、2つのノード間の通信は、暗号化されないか、あるいはノードの通常の公開・秘密鍵ペアを使用して暗号化される。
【0076】
次に、別の例示的な実装が説明される。この例では、ノードAは、ランダムノンスnonceAを生成することで開始する。それは、その識別子idA及びそのノンスをノードBに送信する。ノードBは、その独自のノンスnonceBを生成する。ノードBは、次いで、この例では、ペアリング演算の結果とノンスを含む他のデータとのハッシュである値C0を生成する。この例では、値C0は、
C0=H(e(sB,H1(idA))||idA||idB||nonceA||nonceB)
により与えられてもよく、Hは、文字列から文字列への衝突耐性ハッシュ関数である。一例において、Hは、SHA‐256である。
C0=H(e(sB,H1(idA))||idA||idB||nonceA||nonceB)
により与えられてもよく、Hは、文字列から文字列への衝突耐性ハッシュ関数である。一例において、Hは、SHA‐256である。
【0077】
ノードBは、次いで、ノードAにリプライし、その識別子idB、そのノンスnonceB、及び値C0を提供する。ノードAは、次いで、同様の算出を実行して値C1を取得する。値C1は、この例では、
C1=H(e(H1(idB),sA)||idA||idB||nonceA||nonceB)
として表される。
C1=H(e(H1(idB),sA)||idA||idB||nonceA||nonceB)
として表される。
【0078】
C0に対するC1の式内の引数における唯一の差は、ペアリング演算であることに留意されたい。したがって、双線形ペアリング演算が、ノードA及びノードBのクレデンシャルが同じノードグループから取得されたことを確認した場合、2つの値は一致するはずである。ノードAは、それらが一致することを立証することができ、そうである場合、C1をノードBに送信し、ノードBもまた、それらが一致することを立証する。一実装において、値C0=C1は、次いで、ノードA及びノードBの間の通信を暗号化するためのセッション鍵として使用される。いくつかの実装において、ノードは、通常の公開鍵・秘密鍵のペアに単に依存して通信を暗号化し、上述の動作は、認証のためのものであり、セッション鍵を確立するためのものではない。
【0079】
いくつかの例示的な実装において、値C0及びC1を形成するために連結及びハッシュされるデータ又は文字列は、他のデータ又は文字列を含んでもよく、あるいは上記の例示的な文字列のうちいくつかを除外してもよい。例えば、一実装において、値C0とC1は、識別子idA及びidBの連結を含まなくてもよい。しかしながら、ハッシュ及びノンスが中間者攻撃から通信を保護するのに役立つことは理解されるであろう。
【0080】
上述の実施形態は、発明を限定するのでなく例示しており、当業者は、別記の特許請求の範囲により定義される発明の範囲から逸脱することなく多くの代替的な実施形態を設計可能であることに留意されたい。例えば、トランザクションはビットコインを移転し得るが、ユーザは本明細書に記載される方法及びシステムを使用して情報、コントラクト、及びトークンなどの他のリソースを代わりに交換してもよいことが理解されるべきである。トークンは、トークンに関連づけられたスマートコントラクトに従った資産又はリソースを表し、それにより、トークンの制御は資産又はリソースの制御を与える。スマートコントラクト自体はブロックチェーン外に記憶されてもよく、あるいは、それは1つ以上のトランザクション内部に記憶されてもよい。
【0081】
特許請求の範囲においては、括弧内に付されたいかなる参照符号も、特許請求の範囲を限定するものと解釈されてはならない。用語「含んでいる」及び「含む」などは、任意の請求項又は明細書全体に列挙されたもの以外の要素又はステップの存在を除外しない。本明細書において、「含む」は、「含める、又は、からなる」ことを意味し、「含んでいる」は、「含めている、又は、からなっている」ことを意味する。要素の単数の参照は、そのような要素の複数の参照を除外するものではなく、その逆もまた同様である。発明は、いくつかの区別可能な要素を含むハードウェアを用いて、及び適切にプログラムされたコンピュータを用いて実現されてもよい。いくつかの手段を列挙するデバイスクレームにおいては、これらの手段のうちいくつかは、1つ及び同じアイテムのハードウェアにより具現化されてもよい。特定の手段が相互に異なる従属請求項に記載されているという単なる事実は、これらの手段の組み合わせが利するように使用できないことを示すものではない。
【図1】
【図2】
【図3】
【図4】
【図5】