TWI760149B

TWI760149B - 決定用於資訊的安全交換的共同私密，及階層化的決定性加密金鑰

Info

Publication number: TWI760149B
Application number: TW110109249A
Authority: TW
Inventors: 克雷格賴特; 斯特凡薩凡納
Original assignee: 安地卡及巴布達商恩鏈控股有限公司
Priority date: 2016-02-23
Filing date: 2017-02-21
Publication date: 2022-04-01
Also published as: DK3268914T3; CN108292402A; EP3364598B1; JP2019507510A; HK1251840A1; SG11201805472RA; US11936774B2; AU2017223133B2; WO2017145016A1; SI3268914T1; US20230068423A1; US20190052458A1; TW201733303A; CL2018002363A1; CN108292402B; US12470369B2; PL3268914T3; SG10201805995VA; ES2687182T3; GB2561728B

Abstract

本發明為用來決定兩個節點(3, 7)的方法(300)及系統(1)。每個節點(3, 7)個別具有一個不對稱加密對，每個加密對包含一主要私人金鑰及一主要公用金鑰。根據主要私人金鑰、主要公開金鑰及一決定性金鑰來個別決定第二私人及公用金鑰。根據第二私人及公用金鑰來決定每個節點上的共同私密。一個例子為，節點(3, 7)可根據：(i)奠基於節點本身的主要私人金鑰及決定性金鑰的一第二私人金鑰；及(ii)奠基於其他節點的主要公用金鑰及決定性金鑰的一第二公用金鑰，來決定共同私密。本發明適用於，但不限於，數位錢包、區塊鏈(例如，比特幣)科技及個人裝置安全。

Description

決定用於資訊的安全交換的共同私密，及階層化的決定性加密金鑰

本發明關於一種兩個節點的共同私密的決定。在一些應用中，共同私密可用於密碼學中來致能兩個節點之間的安全通信。本發明適用，於但不限於，數位錢包、區塊鏈(例如，比特幣)科技及個人裝置安全。

密碼學牽涉到用於兩個或更多節點之間的安全通信的技術。一節點可包含一行動通信裝置、一平板電腦、一筆記型電腦、桌上型電腦、其他形式的計算裝置及通信裝置、網路中的一伺服器裝置、網路中的客戶端裝置、分散式網路中的一個或多個節點等等。節點可與一自然人、一群人如公司的員工、一系統如銀行系統關連。

在一些情形下，兩個或更多的節點可經由一個不安全的通信網路來連結。例如，兩個節點可經由一個第三方經可竊聽節點之間通信的通信網路來連結。因此，節點之間傳送的信息會以加密的形式來傳送，並且於接收時，可預期的接收者可用對應解密金鑰(或其他解密方法)來解密信息。因此，此種通信的安全性取決於是否可避免第三方判斷出對應的解密金鑰而定。

一種密碼學的方法包含使用對稱金鑰演算法。金鑰是互相對稱的，其意義為相同的對稱金鑰皆使用於平常文字信息的加密及機密文字的解密上。使用對稱金鑰演算法的一個考量是如何將對稱金鑰以安全的方式傳送到兩個節點，來避免竊聽者獲得對稱金鑰。這個會包含，例如將對稱金鑰實體傳送到(授權的)節點，使得對稱金鑰永遠不會在不安全的通信網路上傳送。然而，並非永遠都可以選擇實體傳遞。因此，此種加密系統的問題在於，節點之間透過一個不安全網路所建立的對稱金鑰(其以共同私密為基礎)。近來，情勢的發展使得金鑰的傳送通常是以電子的方式在通信系統，如網際網路上完成的方式是會讓人想要的。因此，提供一個共享私密(例如對稱金鑰)的此步驟有潛在的災難弱點。當對稱金鑰(及協定)是簡易且廣泛使用的話，則兩個節點須要能安全地在不安全的網路環境中，決定一個共同私密金鑰。

其他現存的加密方法包含使用不對稱金鑰。這些不對稱金鑰可使用於公用金鑰加密方法，其中這些不對稱金鑰包含一私人金鑰及一對應的公用金鑰。公用金鑰為可被公開取得的，然而私人金鑰，如其名所暗示，為私密地被保存。這些不對稱金鑰可用於公用金鑰加密及用於其他事物間的數位簽章。現存的協定包含迪菲-赫爾曼密鑰交換 (Diffie–Hellman key exchange)及三通協定(Three Pass Protocol)，其能夠在不安全的網路上安全分享私密。然而這些方法在一些情形下會造成計算量龐大，如在新的私密持續產生跟分享的情形下。

另外一種可選擇的不對稱金鑰階層(如在比特幣開發者指南中所述者)依賴一隨機種子及一指標結構，而造成不良的金鑰管理。相對地，本發明的實施例可包含使用有意義的”信息”(M)，以便不僅產生不對稱金鑰，更可以產生決定性的階層化分享私密，其中決定性的階層化分享私密證明為與特定資料關連。

任何包含在本發明說明書中的文件、法令、材質、裝置、物品或類似者，皆不作為這些的全部或任何一個會形成部分的習知技術的自白，或是被當作存在於這個申請案的每個請求項的優先權日之前，與本發明相關領域的通常普遍知識。

在本份說明書全文中，字詞“包含”(comprise)及“包括”(comprising)，可理解為暗示包含一個陳述到的元件、整數或步驟，或是元件的群組、整數或步驟，而非排除任何其他元件、整數或步驟，或是元件的群組、整數或步驟。

根據本發明的一態樣，提供了一種電腦實現的方法，來決定在一第一節點(C)上與該第一節點(C)及一第二節點(S)共同的共同私密(CS)，其中該第一節點(C)與具有一第一節點主要私人金鑰(V_1C )及一第一節點主要公用金鑰(P_1C )的一第一不對稱加密對關連，而該第二節點(S)與具有一第二節點主要私人金鑰(V_1S )及一第二節點主要公用金鑰(P_1S )的一第二不對稱加密對關連，其中該方法包含：根據至少該第一節點主要私人金鑰(V_1C )及一決定性金鑰(DK)，決定一第一節點第二私人金鑰(V_2C )；根據至少該第二節點主要公用金鑰(P_1S )及該決定性金鑰(DK)，決定一第二節點第二公用金鑰(P_2S )；以及根據至少該第一節點第二私人金鑰(V_2C )及該第二節點第二公用金鑰(P_2S )，決定該共同私密(CS)；其中第二節點(S)具有相同的該共同私密(CS)，該共同私密(CS)奠基於一第一節點第二公用金鑰(P_2C )及一第二節點第二私人金鑰(V_2S )，其中：該第一節點第二公用金鑰(P_2C )係奠基於至少該第一節點主要公用金鑰(P_1C )及該決定性金鑰(DK)；該第二節點第二私人金鑰(V_2S )係奠基於至少該第二節點主要私人金鑰(V_1S )及該決定性金鑰(DK)。

這樣提供了能夠讓第二公用金鑰在每個節點上獨立取得的優點，同時能夠讓一台機器自動產生子金鑰。這樣更提供了具有無法追蹤的匹配交易輸入的優點，因為公用金鑰間的關係無法由第三方來決定。因此這樣能夠達成高度的匿名性，藉此改善安全性。

決定性金鑰(DK)可奠基於信息(M)。該方法可進一步包含：根據該信息(M)及該第一節點第二私人金鑰(V_2C )，產生一第一簽名信息(SM1)；以及透過該通信網路傳送該第一簽名信息(SM1)到該第二節點(S)，其中該第一簽名信息(SM1)可利用該第一節點第二公用金鑰(P_2C )來確認，以認證該第一節點(C)。

該方法更包含：透過該通信網路，自該第二節點(S)接收一第二簽名信息(SM2)；利用該第二節點第二公用金鑰(P_2S )來確認該第二簽名信息(SM2)；以及根據確認該第二簽名信息(SM2)的結果來認證該第二節點(S)，其中該第二簽名信息(SM2)係根據該信息(M)或一第二信息(M2)及該第二節點第二私人金鑰(V_2S )來產生。

該方法更包含：產生一信息(M)；以及透過一通信網路，傳送該信息(M)到該第二節點(S)。另一種方式為，該方法可包含：透過該通信網路，自該第二節點(S)接收該信息(M)。又一種方式為，該方法可包含：透過該通信網路，自另一節點接收該信息(M)。又一種方式為，該方法可包含：自一資料儲存及/或與該第一節點(C)關連的一輸入介面，接收該信息(M)。

第一節點主要公用金鑰(P_1C )及第二節點主要公用金鑰(P_1S )可個別奠基於第一節點主要私人金鑰(V_1C )及第二節點主要私人金鑰(V_1S )的橢圓曲線點乘法及一產生器(G)。

該方法更包含以下步驟：透過該通信網路，接收該第二節點主要公用金鑰(P_1S )；以及將該第二節點主要公用金鑰(P_1S )儲存在與第一節點(C)關連的一資料儲存中。

該方法更包含以下步驟：在一第一節點(C)上產生該第一節點主要私人金鑰(V_1C )及該第一節點主要公用金鑰(P_1C )；透過該通信網路，傳送該第一節點主要公用金鑰(P_1C )到該第二節點(S)及/或其他節點；以及將第一節點主要私人金鑰(V_1C )儲存在與第一節點(C) 關連的一第一資料儲存中。

該方法更包含：透過該通信網路，傳送一通知至該第二節點，該通知代表使用具有共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統於決定共同私密(CS)方法中。產生第一節點主要私人金鑰(V_1C )及第一節點主要公用金鑰(P_1C )的步驟可包含：根據一隨機整數，產生該第一節點主要私人金鑰(V_1C )，該隨機整數位於共同橢圓曲線密碼學(ECC)系統指定的可核准範圍內；以及根據該第一節點主要私人金鑰(V_1C )及共同產生器(G)的橢圓曲線點乘法，決定該第一節點主要公用金鑰(P_1C )，依據以下的公式： P_1C = V_1C x G

該方法更可包含：根據該信息(M)的雜湊(hash)的決定，來決定決定性金鑰(DK)，其中決定一第一節點第二私人金鑰(V_2C )的步驟係奠基於該第一節點主要私人金鑰(V_1C )的純量加法(scalar addition)及該決定性金鑰(DK)，根據以下公式得到： V_2C = V_1C + DK

決定第二節點第二公用金鑰(P_2S )的步驟，可奠基於第二節點主要公用金鑰(P_1S )以橢圓曲線點加法，加上決定性金鑰(DK)及共同產生器(G)之橢圓曲線點乘法，根據以下公式得到： P_2S = P_1S + DK x G

決定性金鑰(DK)可奠基於前一個決定性金鑰的雜湊的決定。

第一不對稱加密對及第二不對稱加密對，可奠基於前一個第一不對稱加密對及前一個第二不對稱加密對的函數。

根據本發明的另一態樣，提供了利用對稱金鑰演算法在一第一節點及一第二節點之間安全通信的方法，其中該方法包含：根據由上述方法所決定的共同私密，決定一對稱金鑰；利用該對稱金鑰對一第一通信信息加密成一加密的第一通信信息；以及透過一通信網路，自第一節點(C)傳送該加密的第一通信信息到第二節點(S)。

該方法更包含：透過一通信網路，自第二節點(S)接收一加密的第二通信信息；以及利用該對稱金鑰對該加密的第二通信信息解密成一第二通信信息。

根據本發明的進一步態樣，提供了在一第一節點及一第二節點之間實行線上交易的方法，其中該方法包含：根據由上述方法所決定的共同私密，來決定一對稱金鑰；利用該對稱金鑰對一第一交易信息加密成一加密的第一交易信息；透過一通信網路，自該第一節點(C)傳送該加密的第一交易信息到該第二節點(S)；透過一通信網路，自該第二節點(S)接收一加密的第二交易信息；以及利用該對稱金鑰對該加密的第二交易信息解密成一第二交易信息。

根據本發明的進一步態樣，提供了用來決定在一第一節點(C)的一共同私密(CS)的裝置，共同私密(CS)與一第二節點(S)共同且其中第一節點(C)與具有一第一節點主要私人金鑰(V_1C )及一第一節點主要公用金鑰(P_1C )的一第一不對稱加密對關連，且第二節點(S)與具有一第二節點主要私人金鑰(V_1S )及一第二節點主要公用金鑰(P_1S )的一第二不對稱加密對關連，其中該裝置包含一第一處理裝置以實行如上所定義的方法來決定該共同私密。

根據本發明的進一步態樣，提供了用來安全通信或在一第一節點及一第二節點之間實行安全線上交易的裝置。其中該裝置包含一第一處理裝置，以實行安全通信的方法，或是實行如上所述安全線上交易。

該裝置可包含一第一資料儲存來儲存一個或多個第一節點主要私人金鑰(V_1C )。第一資料儲存更可儲存一個或多個第一節點主要公用金鑰(P_1C )、第二節點主要公用金鑰(P_1S )，及信息(M)。

該裝置更可包含一通信模組來透過一通信網路來接收及/或傳送一個或多個信息(M)、第一節點主要公用金鑰(P_1C )、第二節點主要公用金鑰(P_1S )、第一簽名信息(SM1)、第二簽名信息(SM2)、代表使用一共同橢圓曲線密碼學(ECC)系統及一共同產生器(G)的通知。

根據本發明的進一步態樣，提供了用來決定一第一節點(C)及一第二節點(S)之間的共同私密的系統，其中：該第一節點(C)與具有一第一節點主要私人金鑰(V_1C )及一第一節點主要公用金鑰(P_1C )的一第一不對稱加密對關連；該第二節點(S)與具有一第二節點主要私人金鑰(V_1S )及一第二節點主要公用金鑰(P_1S )的一第二不對稱加密對關連；一第一處理裝置，與該第一節點(C)關連，其設置為：根據至少該第一節點主要私人金鑰(V_1C )及一決定性金鑰(DK)，決定一第一節點第二私人金鑰(V_2C )；根據至少該第二節點主要公用金鑰(P_1S )及該決定性金鑰(DK)，決定一第二節點第二公用金鑰(P_2S )；根據該第一節點第二私人金鑰(V_2C )及該第二節點第二公用金鑰(P_2S )，決定該共同私密(CS)；以及一第二處理裝置，與該第二節點(S)關連，其設置為：根據至少該第一節點主要公用金鑰(P_1C )及該決定性金鑰(DK)，決定一第一節點第二公用金鑰(P_2C )；以及根據至少該第二節點主要私人金鑰(V_1S )及該決定性金鑰(DK)，決定一第二節點第二私人金鑰(V_2S )；以及根據該第一節點第二公用金鑰(P_2C )及一第二節點第二私人金鑰(V_2S )，決定該共同私密(CS)，其中該第一處理裝置及第二處理裝置決定相同的該共同私密(CS)。

在系統中，決定性金鑰(DK)奠基於一信息(M)，且第一處理裝置進一步設置為：根據信息(M)及第一節點第二私人金鑰(V_2C )產生一第一簽名信息(SM1)；以及透過通信網路傳送該第一簽名信息(SM1)到第二節點(S)。第二處理裝置可進一步設置為：接收該第一簽名信息(SM1)；利用該第一節點第二公用金鑰(P_2C )確認該第一簽名信息(SM1)；以及根據確認該第一簽名信息(SM1)的結果，認證該第一節點(C)。

在系統中，該第二處理裝置可進一步設置為：根據信息(M)或一第二信息(M2)及第二節點第二私人金鑰(V_2S )，產生一第二簽名信息(SM2)；傳送該第二簽名信息(SM2)到第一節點(C)；其中該第一處理裝置進一步設置為：接收該第二簽名信息(SM2)；利用第二節點第二公用金鑰(P_2S )確認該第二簽名信息(SM2)；根據確認該第二簽名信息(SM2)的結果，認證該第二節點(S)。

在系統中，該第一處理裝置可進一步設置為：產生信息(M)；以及傳送該信息(M)，其中該第二處理裝置設置為：接收該信息(M)。一個可選擇的方式為，信息由另一節點來產生，其中該第一處理裝置設置為：接收該信息(M)，且其中第二處理裝置設置為接收該信息(M)。

在又一種可選擇的方式中，系統包含一系統資料儲存及/或輸入介面，其中第一處理裝置及第二處理裝置自該系統資料儲存及/或輸入介面，接收該信息(M)或第二信息(M2)。

第一處理裝置可自該系統資料儲存及/或輸入裝置，接收該第二節點主要公用金鑰(P_1S )，且第二處理裝置可自該系統資料儲存及/或輸入裝置，接收該第一節點主要公用金鑰(P_1C )。

該第一節點主要公用金鑰(P_1C )及該第二節點主要公用金鑰(P_1S )，可分別奠基於：該第一節點主要私人金鑰(V_1C )及一產生器(G)的橢圓曲線點乘法；該第二節點主要私人金鑰(V_1S )及該產生器(G)的橢圓曲線點乘法。

該系統進一步包含：與該第一節點(C)關連的一第一資料儲存，來儲存該第一節點主要私人金鑰(V_1C )；以及與第二節點(S) 關連的一第二資料儲存，來儲存該第二節點主要私人金鑰(V_1S )。

在系統中，第一處理裝置可設置為：產生該第一節點主要私人金鑰(V_1C )及該第一節點主要公用金鑰(P_1C )；傳送該第一節點主要公用金鑰(P_1C )；以及將該第一節點主要私人金鑰(V_1C )儲存在該第一資料儲存，其中第二處理裝置設置為：產生該第二節點主要私人金鑰(V_1S )及該第二節點主要公用金鑰(P_1S )；傳送該第二節點主要公用金鑰(P_1S )；以及將該第二節點主要私人金鑰(V_1S )儲存在該第二資料儲存。

在系統中，第一資料儲存可接收及儲存該第二節點主要公用金鑰(P_1S )；且第二資料儲存可接收及儲存該第一節點主要公用金鑰(P_1C )。

在系統中，第一處理裝置可進一步設置為：根據一隨機整數，產生該第一節點主要私人金鑰(V_1C )，該隨機整數位於由一共同橢圓曲線密碼學(ECC)系統所指定的一可允許的範圍內；以及根據該第一節點主要私人金鑰(V_1C )及一共同產生器(G)的橢圓曲線點乘法，決定第一節點主要公用金鑰(P_1C )，依據以下公式： P_1C = V_1C x G

第二處理裝置可進一步設置為：根據一隨機整數，產生該第二節點主要私人金鑰(V_1S )，該隨機整數位於由一共同橢圓曲線密碼學(ECC)系統所指定的一可允許的範圍內；以及根據該第二節點主要私人金鑰(V_1S )及該共同產生器(G)的橢圓曲線點乘法，決定第二節點主要公用金鑰(P_1S )，依據以下公式： P_1S = V_1S X G

在系統中，第一處理裝置可設置為：根據該信息(M)的一雜湊來決定決定性金鑰(DK)；並且其中：第一節點第二私人金鑰(V_2C )係根據於該第一節點主要私人金鑰(V_1C )及該決定性金鑰(DK)的純量加法，依據以下公式得到： V_2C = V_1C + DK 並且第二節點第二公用金鑰(P_2S )可奠基於第二節點主要公用金鑰(P_1S )以橢圓曲線點加法，加上決定性金鑰(DK)與共同產生器(G)的橢圓曲線點乘法，根據以下公式得到： P_2S = P_1S + DK x G 第二處理裝置可進一步設置為：根據該信息(M)的一雜湊決定決定性金鑰(DK)，並且其中第二節點第二私人金鑰(V_2S )係根據第二節點主要私人金鑰(V_1S )及決定性金鑰(DK)的純量加法，依據以下公式得到： V_2S = V_1S + DK 並且第一節點第二公用金鑰(P_2C )係奠基於第一節點主要公用金鑰(P_1C )以橢圓曲線點，加上決定性金鑰(DK)與共同產生器(G)的橢圓曲線點乘法，根據以下公式得到： P_2C = P_1C + DK x G

系統進一步包含：一第一通信模組，與該第一處理裝置關連，以透過一通信網路傳送及/或接收一個或多個該信息(M)、該第一節點主要公用金鑰(P_1C )、該第二節點主要公用金鑰(P_1S )、該第一簽名信息(SM1)、該第二簽名信息(SM2)，及代表使用具有一共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統的一通知；以及一第二通信模組，與該第二處理裝置關連，以透過一通信網路傳送及/或接收一個或多個該信息(M)、該第一節點主要公用金鑰(P_1C )、該第二節點主要公用金鑰(P_1S )、該第一簽名信息(SM1)、該第二簽名信息(SM2)，及代表使用具有一共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統的該通知。

在系統中，決定性金鑰(DK)可奠基於前一個決定性金鑰的雜湊的決定。

在系統中，第一不對稱加密對及第二不對稱加密對可個別奠基於前一個第一不對稱加密對及前一個第二不對稱加密對的函數。

根據本發明進一步的態樣，提供了用於在一第一節點及一第二節點之間以對稱金鑰進行安全通信的系統，其中該系統包含：一個上述的系統，以決定該第一處理裝置及該第二處理裝置的一共同私密，其中該第一處理裝置進一步設置為：根據該共同私密決定一對稱金鑰；利用該對稱金鑰將一第一通信信息加密成一加密的第一通信信息；以及傳送該加密的第一通信信息。該第二處理裝置進一步設置為：根據該共同私密決定相同的該對稱金鑰；接收該加密的第一通信信息；利用該對稱金鑰將該加密的第一通信信息解密為該第一通信信息。

在用於安全通信的系統中，該第二處理裝置可進一步設置為：利用該對稱金鑰將一第二通信信息加密成一加密的第二通信信息；以及傳送該加密的第二通信信息。該第一處理裝置可進一步設置為：接收該加密的第二通信信息；利用該對稱金鑰將該加密的第二通信信息解密為該第二通信信息。

在上述的系統中，該第一通信信息及該第二通信信息可為該第一節點及該第二節點之間的交易信息，該交易信息用於在第一節點及第二節點之間的線上交易。

根據本發明的進一步態樣，提供了一電腦程式，其包含了機器可讀取的指令，來使得一處理裝置實現上述方法的任何之一。

概要

用來決定在第一節點(C)的共同私密(CS)的方法、裝置及系統將在此說明，其中第一節點(C)的共同私密與第二節點的共同私密為相同。第1圖顯示包含第一節點3的系統1，其中第一節點3透過通信網路5與第二節點7通信。第一節點3具有關連的第一處理裝置23，且第二節點7具有關連的第二處理裝置27。第一節點3及第二節點7可包含電子裝置，如電腦、平板電腦、行動通信裝置、電腦伺服器等等。在一例子中，第一節點3可為客戶端裝置，而第二節點7為伺服器。

第一節點3與具有第一節點主要私人金鑰(V_1C )及第一節點主要公用金鑰(P_1C )的第一不對稱加密對關連。第二節點7與具有第二節點主要私人金鑰(V_1S )及第二節點主要公用金鑰(P_1S )的第二不對稱加密對關連。個別用於第一節點3及第二節點7的第一不對稱加密對及第二不對稱加密對可在註冊期間產生。由第一節點3及第二節點7所實行的註冊100、200的方法將在以下參照第3圖來進一步詳細說明。每個節點的公用金鑰可公開共享，如透過通信網路5公開共享。

為了決定第一節點3及第二節點7的共同私密(CS)，節點3、7不使用透過通信網路5上傳送的通信私人金鑰，來實行個別的方法300、400的步驟。

第一節點3所實行的方法300，包含步驟330，其中根據至少第一節點主要私人金鑰(V_1C )及決定性金鑰(DK)，來決定第一節點第二私人金鑰(V_2C )。決定性金鑰可奠基於在第一節點3及第二節點7之間共享的信息(M)，其中信息的分享可包含透過通信網路5分享信息，如以下進一步說明者。方法300包含步驟370，其中根據至少第二節點主要公用金鑰(P_1S )及決定性金鑰(DK)，來決定第二節點第二公用金鑰(P_2S )。方法300包含步驟380，其中根據第一節點第二私人金鑰(V_2C )及第二節點第二公用金鑰(P_2S )，來決定共同私密(CS)。

重要的是，相同的共同私密(CS) 也能夠在第二節點7經由方法400來決定，方法400包含步驟430，其中根據第一節點主要公用金鑰(P_1C )及決定性金鑰(DK)，來決定第一節點第二公用金鑰(P_2C )。方法400包含步驟470，其中根據第二節點主要私人金鑰(V_1S )及決定性金鑰(DK)，來決定第二節點第二私人金鑰(V_2S )。方法400包含步驟480，其中根據第二節點第二私人金鑰(V_2S )及第一節點第二公用金鑰(P_2C ) ，來決定共同私密(CS)。

通信網路5可包含區域網路、寬域網路、手機網路、無線電通信網路、網際網路等等。當資料經由通信媒介如電線、光纖，或是無線的方式傳送時，這些網路容易遭到竊聽，如被竊聽者11竊聽。方法300、400可允許第一節點3及第二節點7皆獨立決定共同私密，而不需要透過通信網路5傳送共同私密。因此，如此的優點在於每個節點可安全地決定共同私密，而不需要透過一個潛在不安全的通信網路5來傳送私人金鑰。依序地，共同私密可作為私密金鑰(或是作為私密金鑰的基礎)，用於第一節點3及第二節點7之間透過通信網路5的加密通信。

方法300、400可包含額外的步驟。方法300可包含，在第一節點3根據信息(M)及第一節點第二私人金鑰(V_2C )產生簽名信息(SM1)。方法300更包含步驟360，其中透過通信網路傳送第一簽名信息(SM1)到第二節點7。依序地，第二節點7可執行步驟440，以接收第一簽名信息(SM1)。方法400更包含步驟450，以利用第一節點第二公用金鑰(P_2C )來確認第一簽名信息(SM1)，以及步驟460，以根據第一簽名信息(SM1)的確認結果來認證第一節點3。有利的是，這樣允許了第二節點7來認證所聲稱的第一節點(第一簽名信息形成於其中)為第一節點3。這是基於只有第一節點3具有存取第一節點主要私人金鑰(V_1C )的假設，且因此只有第一節點3能決定用來產生第一簽名信息(SM1)的第一節點第二私人金鑰(V_2C )。可理解的是，相似地，第二簽名信息(SM2)可在第二節點7產生且傳送到第一節點3，使得第一節點3能夠認證第二節點7，如以點對點的方案來認證。

在第一及第二節點之間分享信息(M)可以用多種方式來完成。一個例子為，信息可在第一節點3產生及傳送，透過通信網路5到第二節點7。另一種方式為，信息可在第二節點7產生及傳送，透過通信網路5到第一節點3。另一個例子為，信息可在第三節點9產生，且信息傳送到第一節點3及第二節點7。又一種方式為，使用者可經由使用者介面15輸入信息而由第一節點3及第二節點 7接收之。又一個例子為，信息(M)可由一資料儲存19取回且傳送到第一節點3及第二節點 7。在一些例子中，信息(M)可為公開的，且因此可以在一個不安全的網路5上傳送。

進一步的例子為，一個或多個信息(M)可儲存在資料儲存13、 17、19，其中信息可以與在第一節點3及第二節點7之間的一個對談或交易關連。因此，信息(M)可由第一節點3及第二節點 7個別取回，且重造出與該對談或交易關連的共同私密(CS)。有利的是，用來允許共同私密(CS)重造的記錄可被保存下來，而不需要讓記錄自己私以下儲存或是安全地傳送。若數個交易實行於第一節點 3及第二節點 7的話，這樣的方式是有利的，且在節點本身上儲存所有的信息(M)是不實際的作法。

註冊方法100、200

註冊方法100、200的例子，將參照第3圖來說明，其中方法100由第一節點3來實行，而方法200由第二節點7來實行。這包含了為第一節點3及第二節點7個別建立第一不對稱加密對及第二不對稱加密對。

不對稱加密對包含關連的私人及公用金鑰，如使用於公用金鑰加密者。在本例子中，不對稱加密對係使用橢圓曲線密碼學(ECC)及橢圓曲線運作的特性來產生。

ECC的標準可包含已知的標準，如Standard for Efficiency Cryptography Group (www.sceg.org)中所描述者。橢圓曲線密碼學亦說明於美國專利US5,600,725、US5,761,305、US5,889,865、US5,896,455、US5,933,504、US6,122,736、US6,141,420、US6,618,483、US6,704,870、US6,785,813、US6,078,667、US6,792,530。

在方法100、200中，這個方法包括了步驟110、120，以將第一及第二節點安置到一個共同橢圓曲線密碼學(ECC)系統及使用共同產生器。一個例子為，共同橢圓曲線密碼學(ECC)系統可奠基於secp256K1，其為比特幣所使用的橢圓曲線密碼學(ECC)系統。共同產生器可以被選擇、被隨機產生，或是被指定。

現將注意力轉到第一節點3，方法100包含步驟110，以安置到一個共同橢圓曲線密碼學(ECC)系統及共同產生器。這包括了自第二節點7或第三節點9接收共同橢圓曲線密碼學(ECC)系統及共同產生器。另一種方式為，使用者介面15可與第一節點3關連，藉此使用者可選擇性地提供共同橢圓曲線密碼學(ECC)系統及/或共同產生器(G)。又一種方式為，共同橢圓曲線密碼學(ECC)系統及/或共同產生器的其中之一或兩者可隨機地由第一節點3來選擇。第一節點3可透過通信網路5傳送代表使用共同橢圓曲線密碼學(ECC)系統及共同產生器的通知到第二節點7。依序地，在步驟210中，第二節點7可藉由送出代表確認使用到共同橢圓曲線密碼學(ECC)系統及共同產生器的通知來安置。

方法100也包含步驟120，其中第一節點3產生第一不對稱加密對，其包含第一節點主要私人金鑰(V_1C )及第一節點主要公用金鑰(P_1C )。這個包含了根據至少部分的隨機整數來產生第一節點主要私人金鑰(V_1C )，其中該隨機整數位於共同橢圓曲線密碼學(ECC)系統所指定的可允許範圍內。這個也包含了根據第一節點主要私人金鑰(V_1C )及共同產生器(G)的橢圓曲線點乘法，決定第一節點主要公用金鑰(P_1C )，依據以下公式： P_1C = V_1C x G (公式1)

因此，第一不對稱加密對包含： V_1C ：第一節點主要私人金鑰，由第一節點來保持私密。 P_1C ：第一節點主要公用金鑰，為公開為人所知的。

第一節點3可將第一節點主要私人金鑰(V_1C )及第一節點主要公用金鑰(P_1C )儲存在與第一節點3關連的第一資料儲存13。為了安全起見，第一節點主要私人金鑰(V_1C )可以儲存在第一資料儲存13中的安全部分，以確保金鑰保持私密。

方法100更包含步驟130，以將第一節點主要公用金鑰(P_1C )透過通信網路5傳送到第二節點7。在步驟220中，第二節點7可接收到第一節點主要公用金鑰(P_1C )，而在步驟230中，第二節點7將第一節點主要公用金鑰(P_1C ) 儲存在與第二節點7關連的第二資料儲存17中。

與第一節點3相似的是，第二節點7的方法200包含步驟240，以產生第二不對稱加密對，其包含第二節點主要私人金鑰(V_1S )及第二節點主要公用金鑰(P_1S )。第二節點主要私人金鑰(V_1S )為位於可允許範圍內的隨機整數。依序地，第二節點主要公用金鑰(P_1S )係由下列公式所決定： P_1S = V_1S x G (公式2)

因此，第二不對稱加密對包含： V_1S ：第二節點主要私人金鑰，由第二節點來保持私密。 P_1S ：第二節點主要公用金鑰，為公開為人所知的。

第二節點7可將第二不對稱加密對儲存在第二資料儲存17中。方法200更包含步驟250，以將第二節點主要公用金鑰(P_1S )傳送到第一節點3。依序地，在步驟140中，第一節點可接收第二節點主要公用金鑰(P_1S )，而在步驟150中，將第二節點主要公用金鑰(P_1S )儲存。

應理解的是，在其他的替代方式中，個別的公用主要金鑰可被接收且儲存在與第三節點9(如一個受信任的第三方) 關連的第三資料儲存19。這個可包含作用為公用目錄的第三方，如數位憑證認證機構。因此，在一些例子中，只有在需要決定共同私密(CS)時，才可由第二節點7來請求與接收第一節點主要公用金鑰(P_1C )(反之亦然)。

註冊步驟可只需要發生一次，當作起始設置。之後，主要金鑰可被以安全的方式再使用，來產生依賴於(特別是)決定性金鑰(DK)的公用私密。

對談起始及由第一節點3決定共同私密

決定共同私密(CS)的例子將參照第4圖來說明。共同私密(CS)可被使用於第一節點3及第二節點7之間的一個特殊的對談、時間、交易，且使用相同的共同私密(CS)是不理想或是不安全的情形下。因此共同私密(CS)可在不同的對談、時間、交易等等之間變換。

產生一信息(M)310

在這個例子中，由第一節點3來實施的方法300包含步驟310，以產生信息(M)。信息(M)可為隨機、偽隨機，或是使用者定義的。一個例子為，信息(M)奠基於Unix時間(Unix Time)及任意值(nonce)。例如，可提供信息(M)為：信息(M) = UnixTime + nonce (公式3)

在一些例子中，信息(M)為任意值。然而，應理解的是信息(M)可以有選擇值(如Unix時間等等)，其在一些應用中可能是有用的。

方法300包含步驟315，以透過通信網路3傳送信息(M)到第二節點7。當信息(M)並未包含私人金鑰上的資訊時，信息(M)可透過一個不安全的網路傳送。

步驟320：決定決定性金鑰

方法300更包含步驟320，以根據信息(M)來決定決定性金鑰(DK)。在這個例子中，這個包含了決定信息的一個密碼雜湊(cryptographic hash)。密碼雜湊演算法的一個例子包括SHA-256，用來創造一個256位元的決定性金鑰。也就是說： DK = SHA-256(M) (公式4)

應理解的是其他雜湊演算法也可以使用。這個包括了其他在安全雜湊演算法(SHA)家族中具有演算法者。一些特殊的例子包含SHA-3子集合中的情況，包括SHA3-224、SHA3-256、SHA3-384、SHA3-512、SHAKE128和 SHAKE256。其他雜湊演算法可包含RACE原始完整性校驗消息摘要(RACE Integrity Primitives Evaluation Message Digest, RIPEMD)家族中的演算法。一個特殊的例子為可包含RIPEMD-160演算法。其他雜湊函數可包含基於Zémor-Tillich雜湊函數及以背包為基礎的雜湊函數(knapsack-based hash functions)的家族成員。

步驟330：決定第一節點第二私人金鑰

方法300包含步驟330，以根據第一節點主要私人金鑰(V_1C )及決定性金鑰(DK)，來決定第一節點第二私人金鑰(V_2C )。這個可根據第一節點主要私人金鑰(V_1C )及決定性金鑰(DK)的純量加法，依據下列公式得出： V_2C = V_1C + DK (公式5)

因此，第一節點主要私人金鑰(V_1C )並非為一隨機數值，而應為由第一節點主要私人金鑰來決定性地求得。在加密對中對應的公用金鑰，意即第一節點第二公用金鑰(P_2C )，具有下列的關係： P_2C = V_2C x G (公式6)

將公式5的V_2C 置換到公式6，而提供了： P_2C = (V_1C + DK) x G (公式7)

其中運算子’+’係指純量加法，而運算子’x’係指橢圓曲線點乘法。注意橢圓曲線密碼學代數是分佈性的，公式7也可表示為： P_2C = V_1C x G + DK x G (公式8)

最後，公式1可被置換到公式7來提供： P_2C = P_1C + DK x G (公式9.1) P_2C = P_1C + SHA-256(M) x G (公式9.2)

在公式8到9.2中，運算子’+’是指橢圓曲線點加法。因此，對應的第一節點第二公用金鑰(P_2C )可以由第一節點主要公用金鑰(P_1C )及信息(M)的給定知識來求得。如下面關於方法400的進一步詳細討論者，第二節點7可擁有此種知識來獨立決定第一節點第二公用金鑰(P_2C )。

步驟350：根據信息及第一節點第二私人金鑰來產生第一簽名信息(SM1)

方法300更包含步驟350，以根據信息(M)及已經決定的第一節點第二私人金鑰(V_2C )來產生第一簽名信息(SM1)。產生簽名信息包括應用數位簽名演算法來數位簽名該信息(M)，一個例子為，這個包括將第一節點第二私人金鑰(V_2C )應用到橢圓曲線數位簽名演算法(Elliptic Curve Digital Signature Algorithm， ECDSA)的信息中，以得到第一簽名信息(SM1)。

橢圓曲線數位簽名演算法(ECDSA)的例子包括奠基於使用secp256k1、secp256r1、secp384r1、se3cp521r1的ECC系統的演算法。

第一簽名信息(SM1)可利用第二節點7上之對應的第一節點第二公用金鑰(P_2C )來驗證。第一簽名信息(SM1)的這項驗證可由第二節點7來使用以認證第一節點3，而將在以下討論方法400時說明。

步驟370：決定第二節點第二公用金鑰

在步驟370，第一節點3可接著決定第二節點第二公用金鑰(P_2S )。如上面所討論者，第二節點第二公用金鑰(P_2S )可奠基於至少第二節點主要公用金鑰(P_1S )及決定性金鑰(DK)。在這個例子中，因為步驟370’中公用金鑰決定為私人金鑰與產生器(G)的橢圓曲線點乘法，第二節點第二公用金鑰(P_2S )可以採用類似公式6的方式來表示，如： P_2S = V_2S x G (公式10.1) P_2S = P_1S + DK x G (公式10.2)

公式10.2的數學證明與前述公式9.1中第一節點第二公用金鑰(P_2C )的求得相同。應理解的是在步驟370中，第一節點3會獨立於第二節點7來決定第二節點第二公用金鑰。

步驟380：在第一節點3決定共同私密380

接著，第一節點3可根據已經決定的第一節點第二私人金鑰(V_2C )及已經決定的第二節點第二公用金鑰(P_2S )來決定共同私密(CS)。共同私密(CS)可由第一節點3藉由下列公式來決定： S = V_2C x P_2S (公式11)

在第二節點7實施的方法400

現在說明在第二節點7實施的相對應方法400。應理解的是這些步驟的某些步驟與上述由第一節點3所實施的步驟相似。

方法400包含步驟410，以透過通信網路5自第一節點3接收信息(M)。這個可包括步驟315由第一節點3所傳送的信息(M)。第二節點7接著根據信息(M)決定一決定性金鑰(DK)。由第二節點7來決定決定性金鑰(DK)的步驟420，與上述由第一節點來實施的步驟320相似。在這個例子中，第二節點7獨立於第一節點3來實施這個決定步驟420。

下個步驟包含步驟430，以根據第一節點主要公用金鑰(P_1C )及決定性金鑰(DK)來決定第一節點第二公用金鑰(P_2C )。在這個例子中，因為在步驟430中公用金鑰決定為私人金鑰與產生器(G)的橢圓曲線點乘法，第一節點第二公用金鑰(P_2C )可以採用類似公式9的方式來表示，如： P_2C = V_2C x G (公式12.1) P_2C = P_1C + DK x G (公式12.2)

公式12.1與12.2的數學證明與前述公式10.1及10.2所討論者相同。

第二節點7認證第一節點3

方法400可包含由第二節點7所實行的，用以認證所宣稱的第一節點3為第一節點3的步驟。如前所討論者，這個包含了步驟440，以自第一節點3接收第一簽名信息(SM1)。接著，在步驟450中第二節點7會利用在步驟430中決定的第一節點第二公用金鑰(P_2C )，來確認第一簽名信息(SM1)中的簽名。

驗證數位簽名可根據如上所討論的橢圓曲線數位簽名演算法(ECDSA)來完成。重要的是，與第一節點第二私人金鑰(V_2C )一起簽名的第一簽名信息(SM1)，應該只能由對應的第一節點第二公用金鑰(P_2C )來正確驗證，因為V_2C 及P_2C 形成加密對。由於這些金鑰決定於第一節點3註冊時所產生的第一節點主要私人金鑰(V_1C )及第一節點主要公用金鑰(P_1C )，第一簽名信息(SM1)的驗證可被用為，在註冊期間用來認證傳送第一簽名信息(SM1)的所宣稱的第一節點與第一節點3為相同的基礎。因此，第二節點7可進一步實行步驟460，以根據步驟450的確認第一簽名信息的結果，認證第一節點3。

上面的認證可適用於，當兩個節點的其中之一為一個可信任的節點，且只有節點的其中之一需要被認證的情形。例如，第一節點3可為一客戶端，而第二節點7可為由該客戶端所信任的伺服器。因此，伺服器(第二節點7)需要認證客戶端(第一節點3)的信用，以便允許客戶端存取伺服器系統。伺服器不需要向客戶端認證其信用。然而，在一些情形下，如點對點的情形下，會令人滿意的是兩個節點彼此互相認證，這個會在以下的一個例子中說明。

第二節點7決定共同私密

方法400可更包含步驟470，以第二節點7根據第二節點主要私人金鑰(V_1S )及決定性金鑰(DK)來決定第二節點第二私人金鑰(V_2S )。相似於由第一節點3所實行的步驟330，第二節點第二私人金鑰(V_2S )根據第二節點主要私人金鑰(V_1S )及決定性金鑰(DK)的純量加法，依據以下公式求得： V_2S = V_1S + DK (公式13.1) V_2S = V_1S + SHA-256(M) (公式13.2)

接著，在步驟480中第二節點7可獨立於第一節點3地根據第二節點第二私人金鑰(V_2S )及第一節點第二公用金鑰(P_2C )，依據以下公式來決定共同私密(CS)： S = V_2S x P_2C (公式14)

由第一節點3及第二節點7決定的共同私密(CS)的證明

由第一節點3決定的共同私密(CS)與由第二節點7決定的共同私密(CS)是相同的。現在說明公式11及公式14提供了相同的共同私密(CS)的數學證明。

注意力轉向由第一節點3決定的共同私密(CS)，公式10.1置換到如下的公式11中： S = V_2C x P_2S (公式11) S = V_2C x (V_2S x G) S = (V_2C x V_2S ) x G (公式15)

注意力轉向由由第二節點7決定的共同私密(CS)，公式12.1置換到如下的公式14中： S = V_2S x P_2C (公式14) S = V_2S x (V_2C x G) S = (V_2S x V_2C ) x G (公式16)

由於ECC代數有交換性，公式15與公式16是相等的，因為： S = (V_2C x V_2S ) x G = (V_2S x V_2C ) x G (公式17)

共同私密(CS)及私密金鑰

共同私密(CS)可使用作為私密金鑰，或是作為用於第一節點3及第二節點7之間的安全通信的對稱金鑰系統中的私密金鑰的基礎。

共同私密(CS)的形式可為橢圓曲線點(x_S , y_S )。這個可以使用由第一節點3及第二節點7所同意的標準公開已知的作業，來轉換成標準金鑰形式。例如，x_S 值可為256位元的整數，其為用於AES₂₅₆ 加密法的金鑰。x_S 值亦能夠使用RIPEMD160加密法來轉換成160位元的整數，來提供給任何需要這種長度金鑰的應用。

共同私密(CS)可依需求來決定。重要的是，第一節點3並不需要儲存共同私密(CS)，因為這可根據信息(M)重新決定。在一些例子中，所使用的信息(M)可儲存在資料儲存13、17、19(或其他的資料儲存中)，而不需要如主要私人金鑰所需求的相同安全等級。在一些例子中，信息(M)可為能夠被公開取得的。

然而，假定共同私密(CS)保存的安全性如同第一節點主要私人金鑰(V_1C )一般，共同私密(CS)可依據一些應用，來儲存在與第一節點關連的第一資料儲存(X)中。

再者，本發明的系統可允許與多個安全私密金鑰相對應的多個共同私密(CS)，根據單一主要金鑰密碼對來決定。這種作法的一個優點將由下面的例子來說明。

在有多個對談的情形下，每個對談與多個個別的共同私密(CS) 關連。存有與那些多個對談關連的記錄是令人想要的，使得個別的共同私密(CS)在未來可以重新決定。在已知的系統中，這個可能會需要將多個私密金鑰儲存在一個安全的資料儲存中，進而導致費用昂貴或維護不方便。相對地，本發明的系統具有安全保存在個別的第一節點及第二節點中的主要私人金鑰，同時其他的決定性金鑰或信息(M)以安全或不安全的方式儲存。儘管決定性金鑰(DK)或信息(M)以不安全的方式儲存，但由於主要私人金鑰需要被用來判斷共同私密(CS)仍然安全，因此多個共同私密(CS)會被安全地保存著。

本方法也可以被用來產生用於暫時通信連結中的”對談金鑰”，如用於安全傳送登入密碼。

應用例 本發明的方法、裝置及系統，可以有數種應用，其包括但不限於以下說明的應用。

信息加密

本發明可被用來促進安全通信，特別是透過一個潛在不安全的通信網路5在第一節點3及第二節點7之間收發通信信息。這個可經由使用共同私密(CS)作為對稱金鑰的基礎來達成。這個決定一個共同私密(CS)及使用對稱金鑰於通信信息的加密及解密的方法，與已知的公用金鑰加密方法相比，在運算上會更有效率。

在第一節點3及第二節點7之間的安全通信的方法，現在參照第5圖來說明。在步驟510中，第一節點3根據上述方法所決定的共同私密(CS)來決定對稱金鑰。這個可包括將共同私密(CS)轉換成一個標準金鑰格式。相似地，在步驟610中第二節點7亦會根據共同私密(CS)來決定對稱金鑰。

要將第一通信信息透過通信網路安全地自第一節點3傳送到第二節點7，第一通信信息必須要加密。因此，在步驟520中對稱金鑰由第一節點來使用以加密第一通信信息，而形成加密的第一通信信息，其接著在步驟530中透過通信網路5傳送到第二節點7。依序地，在步驟620中第二節點7收到加密的第一通信信息，且在步驟630利用對稱金鑰，來解密該加密的第一通信信息成為該第一通信信息。

相似地，在步驟640中第二節點7可利用對稱金鑰來加密第二通信信息成為加密的第二通信信息，其接著在步驟650中傳送到第一節點3。在步驟540中第一節點3接著可接收該加密的第二通信信息，且在步驟550將其解密成為該第二通信信息。

加密貨幣錢包

在另一個例子中，本發明的方法可用來產生及管理共同私密(CS)，如用於加密貨幣交易的安全金鑰。加密貨幣金鑰，如使用於比特幣交易者，一般都會與能夠進行交換來獲取價值的基金及資產關連。

電子資源租賃

使用本發明的方法及系統來促進電子資源租賃的一個例子將會參照第6圖來說明。第6圖繪示了系統701，其中第一節點3與客戶端703關連且第二節點7與電子資源關連，例如與超級電腦設施707關連。因此，客戶端703可要求使用設置在遠端的超級電腦設施707來處理大量的機密資料。

超級電腦設施707可將超級電腦的中央處理器時間，在每個時間及/或每個中央處理器週期的基礎上租出去。客戶端703可藉由存入它們的公用金鑰，利用超級電腦設施來註冊，如在步驟130中藉由透過通信網路5，傳送第一節點主要公用金鑰(P_1C )到第二節點7。

超級電腦設施707可接著提供軟體給客戶端703來實行背景程序，如使用AES加密法來建立安全連線及用於促進上述方法300中的步驟。

在實行方法300時，在步驟360中第一節點3可傳送第一簽名信息(SM1)，其一部分係奠基於包含與Nonce連結在一起的Unix時間的信息(M)。

在步驟440中，第二節點7可接收第一簽名信息(SM1)。第二節點7可進一步實行一個步驟，來決定信息(M)中的Unix時間是否在Unix時間所容許的數值的範圍內。例如，Unix時間所容許的數值，可根據客戶端703及超級電腦設施707之間所協議的契約及條件來設置。例如，在步驟440中當超級電腦設施收到第一簽名信息(SM1)時，(信息的)Unix時間可要求為在一個設置的時期(例如300秒)的範圍內。若信息(M)中的Unix時間不在所允許的時間範圍內，機密資料的交換將不會被接受。

上面的步驟可確保根據步驟380， 480所決定的共同私密(CS)來產生的對談金鑰，是絕對無法在稍後重製的，且對於所建立的對談而言是獨一無二的。接著可使用一協定來建立對稱對談金鑰，如AES加密/解密金鑰，以便在對談的期間使用。對談金鑰用於第一節點3及第三節點7之間，在對談期間的所有通信上。這樣允許了客戶端來加密碼及/或加密大量資料、將這些傳送到超級電腦設施707來處理，以及自超級電腦設施707接收加密的結果。

密碼替換、補充或選擇

本發明的系統及方法可被用來做密碼的替換、補充或選擇。參照第7圖，第7圖提供了系統，其包括與一使用者關連的一第一節點3及複數個額外節點7’、7’’、7’’’。該等複數個額外節點的每一個，可與參加相同協定的個別機構關連。例如，該等機構可包含銀行、服務供應商、政府服務、保險公司、電信供應商、零售商等等。

使用者803請求與這些機構以安全的方式通信來存取服務。在已知的系統中，這個會要求使用者擁有數個密碼來登入每個個別的機構。由於安全的緣故，使用相同的密碼來登入數個機構，是令人不被期望的。

在這個例子中，使用者及多個機構在使用相同的協定上達成協議。這個包括了在ECC系統(如奠基於secp256k1、secp256r1、secp384r1、 secp521r1者)及產生器(G)上達成協議。接著使用者可以註冊，以及將第一節點主要公用金鑰(P_1C )與複數個機構及關連的額外節點7’、7’’、7’’’共享。該等額外節點7’、7’’、7’’’每個可實行方法的步驟，其相似於上述的第二節點7。

每一此使用者請求登入參加機構的網站的其中之一時，他們並不需要使用密碼。取而代之的是，協定取代了每個機構對於密碼的需要。在第一節點3所需要的是：機構的公用金鑰，其為永遠都可以取得的，以及使用者在該等機構的註冊(包括向機構註冊第一節點主要公用金鑰(P_1C ))。由於使用者向機構註冊，於以網路為基礎的服務來說是項正常的慣例，因此對於使用者803而言並不會造成負擔。一旦註冊完成，共同私密(CS)便可決定來使用或再使用以取代密碼。例如在每個對談的一開始，在步驟310中第一節點3可產生一信息(M)，其傳送到涉及對談的額外節點7’、7’’、7’’’。在步驟320， 410中信息(M)用來決定一個對應的決定性金鑰，其接著皆可為第一節點3及額外節點7’、7’’、7’’’來使用，來決定上述方法中所描述的共同私密(CS)。可選擇的是，信息(M)可由7’、7’’、7’’’來接收或產生。另外一種可選擇的是，信息(M)可為預先決定的信息，其儲存在可為第一節點3及/或額外節點7’、7’’、7’’’存取的資料儲存13、17、19中。

這項技術替機構移除了重要的安全負擔。特別是，機構不再需要保存密碼檔案(密法的秘密記錄或密碼雜湊)，因為共同私密可由非私密資訊重新計算得出。機構寧可只需要安全保存它們自己的主要私人金鑰。再者，使用者不需要記憶或安全儲存許多組密碼(每個機構一組密碼)，只要他們將他們的第一節點主要私人金鑰(V_1C )安全保存起來。

變化

一些變化現在於以下的例子來做說明：

點對點認證

在點對點的情形下，第一節點3及第二節點7需要互相認證對方的信用。現在參照第8圖來說明這種方式的一個例子。在這個例子中，方法300， 400中用來根據確認的第一簽名信息(SM1)來認證第一節點3的該等步驟，與上面所討論的相似。

然而，由第二節點7來實行的方法400更包含步驟462，以根據信息(M)及第二節點第二私人金鑰(V_2S )產生一第二簽名信息(SM2)。在一些替代方案中，第二簽名信息(SM2)可奠基於一第二信息(M2)及第二節點第二私人金鑰(V_2S )，其中第二信息(M2)與第一節點3共享。方法400更包含步驟464，以透過通信網路5傳送第二簽名信息(SM2)到第一節點3。

在第一節點3，方法300包含自第二節點7接收該第二簽名信息(SM2)。該方法包含步驟374，以利用步驟370所決定的第二節點第二公用金鑰(P_2S )來確認第二簽名信息(SM2)上的簽名。方法300接著可包含步驟376，以根據第二簽名信息(SM2)的確認結果來認證第二節點7。這會導致第一節點3及第二節點7彼此互相認證。

決定性金鑰的階層

在一個例子中，可決定一系列的連續決定性金鑰，其中每個連續金鑰可根據前一個決定性金鑰來決定。

例如，與其重複步驟310至370及410至470來產生連續的單一用途的金鑰，本發明藉由節點之間的先前協議，之前使用的決定性金鑰(DK)能由雙方來重複地重新拼湊，以建立決定性金鑰的階層。實際上，奠基於信息(M)的雜湊的決定性金鑰，能作為下一代的決定性金鑰(DK’)的下一代信息(M')。如此做法會允許共享私密的連續世代，在不需要傳輸進一步的協定建立的情形下計算出來，特別是不需要為了每一代的共同私密(CS)傳輸多個信息。下一代的共同私密(CS’)可依以下說明來運算出來。

首先，第一節點3及第二節點7皆獨立地決定下一代的決定性金鑰(DK')。這樣的作法類似於步驟320及420，然而要以下列公式來進行調整： M’ = SHA-256(M) (公式18) DK’ = SHA-256(M’) (公式19.1) DK’ = SHA-256(SHA-256(M)) (公式19.2)

第一節點3可接著決定下一代的第二節點第二公用金鑰(P_2S ’)及下一代的第一節點第二私人金鑰(V_2C ’)，其作法類似於上述的步驟370及330，然而要以下列公式來進行調整： P_2S ’ = P_1S + DK’ x G (公式20.1) V_2C ’ = V_1C + DK’ (公式20.2)

第二節點7接著可決定下一代的第一節點第二公用金鑰(P_2C ’)及下一代的第二節點第二私人金鑰(V_2S ’)，其作法類似於上述的步驟430及470，然而要以下列公式來進行調整： P_2C ’ = P_1C + DK’ x G (公式21.1) V_2S ’ = V_1S + DK’ (公式21.2)

第一節點3及第二節點7可接著決定下一代的共同私密(CS’)。

特別是，第一節點3利用下列公式來決定下一代的共同私密(CS’)： CS’ = V_2C ’ x P_2S ’ (公式22)

第二節點7利用下列公式來決定下一代的共同私密(CS’)： CS’ = V_2C ’ x P_2S ’ (公式23)

下幾代的共同私密(CS’’、CS’’’)可用相同的方式來計算，以產生一鎖鏈階層。這項技術要求第一節點3及第二節點7皆會追蹤原始信息(M)或原始計算出的決定性金鑰(DK)，以及與它關連的節點。由於這是個公開為人所熟知的資訊，關於資訊的保存方面就沒有安全性的問題。因此，這項資訊便可以保存在”雜湊表”(連結雜湊值到公用金鑰)中，且自由地分布在網路5上(例如使用torrent)。再者，若是在階層中任何的個人共同私密(CS)曾經遭到洩漏，只要私人金鑰V_1C 、V_1S 維持安全的話，這並不會影響到階層中的任何其他共同私密的安全性。

金鑰的樹狀結構

連同上述的鎖鏈(線性)階層，樹狀結構形式的階層也可以被創造出。

利用樹狀結構，用於不同用途的各種金鑰，如認證金鑰、加密金鑰、簽名金鑰、付款金鑰等等，可以決定出來，藉此這些金鑰全部連結到單一個受安全維護的主要金鑰。這個係由第9圖來做最佳的解說，其顯示具有不同金鑰的一樹狀結構901。這些金鑰每一個都能用來創造一個與其他方共享的私密。

樹狀分枝化可以採用數種方式來完成，其中的三種說明如下：

(i) 產生主要金鑰

在鎖鏈結構中，每個新的”連結”(公用/私人金鑰對)係由將一個多次重新拼湊的信息，加入到原始的主要金鑰來創造出來。例如(為了清楚說明，僅顯示第一節點3的私人金鑰)： V_2C = V_1C + SHA-256(M) (公式24) V_2C ’ = V_1C + SHA-256(SHA-256(M)) (公式25) V_2C ’’ = V_1C + SHA-256(SHA-256(SHA-256(M))) (公式26) …等等。

為了要創造一個分枝，任何金鑰可以被當作一個次主要金鑰來使用。例如，藉由將雜湊加入V_2C ’，V_2C ’可被當作一個次主要金鑰(V_3C ) 來使用，如同正規的主要金鑰的處理方式一般： V_3C = V_2C ’ + SHA-256(M) (公式27)

次主要金鑰(V_3C )本身可具有一個下一代的產生金鑰(V_3C )，例如： V_3C ’ = V_2C ’ + SHA-256(SHA-256(M)) (公式28)

這樣便提供了一個使用主要金鑰產生方法的的樹狀結構903，如第10圖所示。

(ii) 邏輯關連

在這個方法中，樹中的所有節點(公用/私人金鑰對)會被產生為一個鎖鏈(或其他方式)，並且樹中節點之間的邏輯關係由一個表格來維護，其中樹中的每個節點僅使用指標與其樹中的母節點關連。因此，指標可被用來決定公用/私人金鑰對，以決定用於對談的共同私密(CS)金鑰。

(iii) 信息多樣性

新的私人/公用金鑰對，能藉由在鎖鏈或樹中的任何點上導入一個新的信息來產生。信息本身可為任意信息或可傳達一些意義或功能(例如，其可與一個"真實的"銀行帳號等等有關)。令人期望的是，用來形成新的私人/公用金鑰對的此等新信息，是被安全地保存著。

處理裝置

如上所提到的，第一節點3及第二節點7可為一電子裝置，如一電腦、平板電腦、行動通信裝置、電腦伺服器等等。電子裝置可包含一處理裝置23、27、一資料儲存13、17，及一使用者介面15。

第11圖顯示處理裝置23、27的一個例子。處理裝置23、27可用在第一節點3、第二節點7或其他節點9上。處理裝置23、27包含一處理器1510、一記憶體1520及一介面裝置1540，彼此經由一匯流排1530互相通信。記憶體1520儲存用來完成上述的方法100、200、300、400的指令及資料，而處理器1510實行來自記憶體1520的指令。來完成方法100、200、300、400。介面裝置1540可包含一通信模組，其促進了與通信網路5的通信，以及在一些例子中，其促進了與使用者介面15及周邊裝置如資料儲存13、17、19的通信。應注意的是雖然處理裝置1510可為獨立的網路元件，處理裝置1510也可為另一個網路元件的一部分。進一步而言，由處理裝置1510所實行的一些功能可分配於多個網路元件之間。例如，第一節點3可具有多個處理裝置23，用以在與第一節點3關連的一個安全的區域網路中實行方法100、300。

當在本發明說明到一個使用者、發行人、商人、供應商或其他實體，實行了一個特殊的行為(包括，簽名、發明、決策、計算、傳送、接收、創造等等)，此種措辭的使用是為了要清楚呈現的緣故。應了解的是這些行為是藉由這些實體所運作的運算裝置來實行。

簽名可包含執行一個加密功能。加密功能有一個輸入端來輸入清晰文字及一輸入端來輸入一金鑰，如一個私人金鑰。一處理器可執行功能來計算用來當作簽名的一個數字或字串。接著簽名與清晰文字一起提供出來以提供一個簽名的文字。若信息文字或金鑰的一個單一位元改變了，簽名就會完全改變。在計算簽名只需要一個很微小的運算力時，想要重新創造一個具有一個既定簽名的信息，實際上是不可能的。這樣一來，若是私人金鑰是可以取得的，清晰文字只能夠藉由一個有效的簽名來改變及附隨。進一步而言，其他實體能夠使用公開可取得的公用金鑰來核對簽名。

在大部分的情形下，加密及解密包含處理器執行密碼功能，來分別計算代表加密信息或一清晰文字的輸出字串。

金鑰、符記(token)、元資料、交易、報價、合約、簽名、腳本 (script)、元資料、邀請函及類似之物，是指代表為儲存在資料記憶體中的數字、文字或字串的資料，如程式碼中的type ”String”或”int”中的變數，或是其他的type或文字檔案。

點對點底稿的一個例子是比特幣的區塊鏈(Blockchain)。基金的轉移或以比特貨幣付款包含在比特幣的區塊鏈上創造一個交易，且基金或費用由交易中輸出。比特幣交易的一個例子包括輸入交易雜湊、交易量、一個或多個目的地、收款人的公用金鑰，以及經由使用輸入交易所創造作為輸入信息的簽名，以及付款人的私人金鑰以計算簽名。交易的確認是經由檢查輸入交易雜湊存在於比特幣的區塊鏈的一個副本中，以及使用公用金鑰檢查簽名為正確。為了確保相同的輸入交易雜湊尚未在其他地方使用過，交易會被廣播到運算節點(礦工)的一個網路上。僅有在輸入交易雜湊尚未連線且簽名為正確的情形下，礦工(miner)會接受且紀錄交易於區塊鏈上。若輸入交易雜湊已經連結到一個不同的交易，礦工會拒絕交易。

將加密貨幣分配給符記的方式，包含創造一個使用分配的加密貨幣的交易，以及創造代表交易中的元資料領域的符記。

當兩個項目關連時，這就表示這些項目之間有邏輯牽連。例如，在一資料庫中，兩個項目的辨識子可儲存在相同的記錄中，來讓兩個項目彼此互相關連。在交易中，兩個項目的辨識子可包含在交易字串中，來讓兩個項目彼此互相關連。

經由使用比特幣協定，贖回腳本及/或解鎖符記包含計算腳本的簽名字串及/或使用私人金鑰的交易。腳本可要求超過一個簽名，其由不同私人金鑰或條件所產生。這個交易的輸出接著提供給一個礦工。

授權另一個實體包含了使用一個私人金鑰來計算一個交易的簽名字串，以及提供該簽名字串給該實體以允許該實體使用簽名來確認交易。

具有另一個實體的帳號的使用者，可包含該實體以儲存關於該使用者的資訊，如電子郵件位址、名字及潛在的公用金鑰。例如，該實體可維持一個資料庫，如SQL、OrientDB、MongoDB或其他者。在一些例子中，該實體也可儲存一個或多個該使用者的私人金鑰。

熟悉技術者將理解到本發明提供了數種優於習知技術的技術助益及優點。例如，BIP32協定(例如，描述於比特幣開發者指南的ass)使用了一個隨機種子來產生次金鑰。這會引起維護指標的資料庫的需求。然而，根據本發明，一個有意義的信息M被用來產生次金鑰(並且因此也產生了次分享私密)。有優勢的是，這樣會消除對於指標的資料庫的需求，並且從而提供了一種較為簡單的安全技術，其在需要用來執行它的運算資源的方面上是更有效率的。此外，其能夠讓有意義的資訊與次金鑰相關連。例如，可重複使用的次金鑰可被用來代表特定的銀行帳戶或客戶端代碼等等。可選擇的是，只能使用一次的次金鑰可根據拼湊出一個特定的發貨單或電影(或其他資料)檔案等等來產生。

將可由熟悉技術的人士所理解的是，可以對上述實施例做出多種變化及/或修正，而不脫離本發明的寬廣普遍範圍，如所附的請求項所定義者。因此，本實施例在所有方面都應該被視為只作為解說之用，而非作為限制本發明的範圍之用。

1:系統 3:第一節點 23:第一處理裝置 13、17、19:資料儲存 27:第二處理裝置 5:網路 7:第二節點 9:第三節點 11:竊聽者 15:使用者介面 701：系統 703:客戶端 707:超級電腦設施 7’、7’’、7’’’:額外節點 801:系統 803:使用者 901、903:樹狀結構 1510:處理器 1520:記憶體 1522:資料 1524:指令 1530:匯流排 1540:介面 P_1C :第一節點主要公用金鑰 P_1S :第二節點主要公用金鑰 V_1C :第一節點主要私人金鑰 V_1S :第二節點主要私人金鑰 M:信息 V_2C :第一節點第二私人金鑰 V_2C ’、V_2C ’ ’:下一代的第一節點第二私人金鑰 V_3C :次主要金鑰 V_3C ’:下一代的次主要金鑰

本發明的例子將參照以下圖式來說明：第1圖為用來決定第一節點及第二節點的共同私密的範例系統的示意圖；第2圖為由電腦來實現的用來決定共同私密的方法的流程圖；第3圖為由電腦來實現的註冊第一及第二節點的方法的流程圖；第4圖為由電腦來實現的用來決定共同私密的方法的另一流程圖；第5圖為由電腦來實現的在第一節點及第二節點之間進行安全通信的方法的流程圖；第6圖為用於電子資源租賃的一範例系統的示意圖；第7圖為應用本發明的方法來更換密碼的範例系統的示意圖；第8圖為由電腦來實現的用來認證第一節點及第二節點的方法的流程圖；第9圖為用於不同目的之不同按鍵的樹狀結構的一個例子；第10圖為使用主要金鑰大量產生方法的樹狀結構的一個例子；以及第11圖顯示處理裝置的例子的示意圖。

1:系統

3:第一節點

23:第一處理裝置

13、17、19:資料儲存

27:第二處理裝置

5:網路

7:第二節點

9:第三節點

11:竊聽者

15:使用者介面

P_1C:第一節點主要公用金鑰

P_1S:第二節點主要公用金鑰

V_1C:第一節點主要私人金鑰

V_1S:第二節點主要私人金鑰

M:信息

Claims

一種以電腦完成的方法來決定在一第一節點(C)上的共同私密(CS)，該共同私密(CS)在該第一節點(C)上及一第二節點(S)上是共同的，其中該第一節點(C)係與該第一節點(C)及一第二節點(S)共同的一橢圓曲線密碼學系統的一第一不對稱加密對關連，且使用與該第一節點(C)及該第二節點(S)共同的一產生器(G)，該第一不對稱加密對具有一第一節點主要私人金鑰(V_1C)及一第一節點主要公用金鑰(P_1C)，且該第二節點(S)係與該橢圓曲線密碼學系統的一第二不對稱加密對關連，該第二不對稱加密對具有一第二節點主要私人金鑰(V_1S)及一第二節點主要公用金鑰(P_1S)，其中該第一節點主要公用金鑰(P_1C)與該第二節點主要公用金鑰(P_1S)，係奠基於個別藉由該產生器(G)的該第一節點主要私人金鑰(V_1C)及該第二節點主要私人金鑰(V_1S)的橢圓曲線點乘法，且其中該方法包含下列步驟：根據至少該第一節點主要私人金鑰(V_1C)及一決定性金鑰(DK)來決定一第一節點第二私人金鑰(V_2C)，該決定性金鑰(DK)係與該第一節點(C)及該第二節點(S)共同；藉由該產生器(G)的該決定性金鑰(DK)，根據至少該第二節點主要公用金鑰(P_1S)及該橢圓曲線點乘法來決定一第二節點第二公用金鑰(P_2S)；以及根據該第一節點第二私人金鑰(V_2C)及該第二節點第二公用金鑰(P_2S)來決定該共同私密(CS)；其中該第二節點(S)根據一第一節點第二公用金鑰(P_2C)及一第二節點第二私人金鑰(V_2S)具有與該第一節點相同的共同私密(CS)，其中：藉由該產生器(G)的該決定性金鑰(DK)，該第一節點第二公用金鑰(P_2C)奠基於至少該第一節點主要公用金鑰(P_1C)及該橢圓曲線點乘法；以及該第二節點第二私人金鑰(V_2S)奠基於至少該第二節點主要私人金鑰(V_1S)及該決定性金鑰(DK)。
如請求項1所述之方法，其中該決定性金鑰(DK)奠基於一信息(M)。
如請求項2所述之方法，更包含：根據該信息(M)及該第一節點第二私人金鑰(V_2C)來產生一第一簽名信息(SM1)；以及透過一通信網路來傳送該第一簽名信息(SM1)到該第二節點(S)；其中該第一簽名信息(SM1)可利用該第一節點第二公用金鑰(P_2C)來確認，以便認證該第一節點(C)。
如請求項2或3所述之方法，更包含：透過一通信網路自該第二節點(S)接收一第二簽名信息(SM2)；利用該第二節點第二公用金鑰(P_2S)來確認該第二簽名信息(SM2)；以及根據該第二簽名信息(SM2)的確認結果來認證該第二節點(S)；其中該第二簽名信息(SM2)根據該信息(M)或一第二信息(M2)，以及該第二節點第二私人金鑰(V_2S)來產生。
如請求項2或3所述之方法，更包含：產生一信息(M)；以及透過一通信網路傳送該信息(M)到該第二節點(S)。
如請求項2或3所述之方法，更包含：透過該通信網路自該第二節點(S)接收該信息(M)。
如請求項2或3所述之方法，更包含：透過該通信網路自另一節點接收該信息(M)。
如請求項2或3所述之方法，更包含：自一資料儲存及/或與該第一節點(C)關連的一輸入介面，接收該信息(M)。
如請求項1所述之方法，更包含下列步驟：透過該通信網路接收該第二節點主要公用金鑰(P_1S)；以及將該第二節點主要公用金鑰(P_1S)儲存在與該第一節點(C)關連的一資料儲存中。
如請求項1所述之方法，更包含下列步驟：在該第一節點(C)產生該第一節點主要私人金鑰(V_1C)及該第一節點主要公用金鑰(P_1C)；透過該通信網路傳送該第一節點主要公用金鑰(P_1C)到該第二節點(S)及/或其他節點；以及將該第一節點主要私人金鑰(V_1C)儲存到與該第一節點(C)關連的一第一資料儲存。
如請求項10所述之方法，更包含下列步驟：透過該通信網路，傳送一通知到該第二節點(S)，該通知代表使用具有一共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統於決定一共同私密(CS)的方法中；其中產生該第一節點主要私人金鑰(V_1C)及該第一節點主要公用金鑰(P_1C)的步驟包含：根據一隨機整數來產生該第一節點主要私人金鑰(V_1C)，該隨機整數位於由該共同橢圓曲線密碼學(ECC)系統所指定的一可允許的範圍內；以及根據下列公式，由該第一節點主要私人金鑰(V_1C)及該共同產生器(G)的該橢圓曲線點乘法來決定該第一節點主要公用金鑰(P_1C)：P_1C=V_1C x G。
如請求項11所述之方法，更包含下列步驟：根據該信息(M)的一雜湊來決定該決定性金鑰(DK)；以及其中決定該第一節點第二私人金鑰(V_2C)的步驟，係根據該第一節點主要私人金鑰(V_1C)及該決定性金鑰(DK)的純量加法，根據下列公式所示：V_2C=V_1C+DK，以及其中決定一第二節點第二公用金鑰(P_2S)的步驟，係根據將該第二節點主要公用金鑰(P_1S)以橢圓曲線點加法，加上該決定性金鑰(DK)及共同產生器(G)的該橢圓曲線點乘法，依據下列公式所示：P_2S=P_1S+DK x G。
如請求項1所述之方法，其中該決定性金鑰(DK)係取決於前一個決定性金鑰的一雜湊。
如請求項1所述之方法，其中該第一不對稱加密對及該第二不對稱加密對，個別奠基於前一個第一不對稱加密對及前一個第二不對稱加密對的一函數。
一種在一第一節點(C)及一第二節點(S)之間，利用對稱金鑰演算法的安全通信的方法，其中該方法包含下列步驟：根據前述請求項之任一項所述之方法所決定的該共同私密(CS)，來決定一對稱金鑰；利用該對稱金鑰，將一第一通信信息加密成一加密的第一通信信息；以及透過一通信網路，自該第一節點(C)傳送該加密的第一通信信息到該第二節點(S)。
如請求項15所述之方法，其中該方法更包含：透過一通信網路，自該第二節點(S)接收一加密的第二通信信息；以及利用該對稱金鑰，將該加密的第二通信信息解密成一第二通信信息。
一種在一第一節點(C)及一第二節點(S)之間實行線上交易的方法，其中該方法包含下列步驟：根據請求項1至14之任一項所述之方法所決定的該共同私密(CS)，來決定一對稱金鑰；利用該對稱金鑰，將一第一交易信息加密成一加密的第一交易信息；透過一通信網路，自該第一節點(C)傳送該加密的第一交易信息到該第二節點(S)；透過一通信網路，自該第二節點(S)接收一加密的第二交易信息；以及利用該對稱金鑰，將該加密的第二交易信息解密成一第二交易信息。
一種用於決定在一第一節點(C)上的一共同私密(CS)的裝置，該共同私密(CS)與該第一節點(C)及一第二節點(S)是共同的，其中該第一節點(C)與具有一第一節點主要私人金鑰(V_1C)及一第一節點主要公用金鑰(P_1C)的一第一不對稱加密對關連，且該第二節點(S)與具有一第二節點主要私人金鑰(V_1S)及一第二節點主要公用金鑰(P_1S)的一第二不對稱加密對關連，其中該裝置包含一第一處理裝置，以執行請求項1-17中任一項所述之方法來決定該共同私密。
一種裝置，用於安全通信或是在一第一節點(C)及一第二節點(S)之間實行安全線上交易，其中該裝置包含一第一處理裝置，以實行由請求項15至17之任一項所述之方法。
如請求項18或19所述之裝置，更包含一第一資料儲存，以儲存一個或多個第一節點主要私人金鑰(V_1C)。
如請求項20所述之裝置，其中該第一資料儲存進一步儲存了一個或多個該第一節點主要公用金鑰(P_1C)、該第二節點主要公用金鑰(P_1S)，以及該信息(M)。
如請求項18或19所述之裝置，更包含一通信模組，以透過一通信網路傳送及/或接收一個或多個信息(M)、該第一節點主要公用金鑰(P_1C)、該第二節點主要公用金鑰(P_1S)、該第一簽名信息(SM1)、該第二簽名信息(SM2)、代表使用具有共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統的該通知。
一種用於決定一第一節點(C)及一第二節點(S)之間的共同私密(CS)的系統，其中：該第一節點(C)係與該第一節點(C)及一第二節點(S)共同的一橢圓曲線密碼學系統的一第一不對稱加密對關連，且使用與該第一節點(C)及該第二節點(S)共同的一產生器(G)，該第一不對稱加密對具有一第一節點主要私人金鑰(V_1C)及一第一節點主要公用金鑰(P_1C)；以及該第二節點(S)係與該橢圓曲線密碼學系統的一第二不對稱加密對相關，該第二不對稱加密對具有一第二節點主要私人金鑰(V_1S)及一第二節點主要公用金鑰(P_1S)其中該第一節點主要公用金鑰(P_1C)與該第二節點主要公用金鑰(P_1S)，係奠基於個別藉由該產生器(G)的該第一節點主要私人金鑰(V_1C)及該第二節點主要私人金鑰(V_1S)的橢圓曲線點乘法，且該系統包括：一第一處理裝置，與該第一節點(C)關連，設置用以：根據至少該第一節點主要私人金鑰(V_1C)及一決定性金鑰(DK)來決定一第一節點第二私人金鑰(V_2C)，該決定性金鑰(DK)係與該第一節點及該第二節點共同；藉由該產生器(G)的該決定性金鑰(DK)，根據至少該第二節點主要公用金鑰(P_1S)及該橢圓曲線點乘法來決定一第二節點第二公用金鑰(P_2S)；以及根據該第一節點第二私人金鑰(V_2C)及該第二節點第二公用金鑰(P_2S)來決定該共同私密(CS)；以及一第二處理裝置，與該第二節點(S)關連，設置用以：藉由該產生器(G)的該決定性金鑰(DK)，根據至少該第一節點主要公用金鑰(P_1C)及該橢圓曲線點乘法來決定一第一節點第二公用金鑰(P_2C)；根據至少該第二節點主要私人金鑰(V_1S)及該決定性金鑰(DK)來決定一第二節點第二私人金鑰(V_2S)；以及根據至少該第一節點第二公用金鑰(P_2C)及該第二節點第二私人金鑰(V_2S)來決定該共同私密；其中該第一處理裝置及該第二處理裝置決定相同的共同私密(CS)。
如請求項23所述之系統，其中該決定性金鑰(DK)奠基於一信息(M)，且該第一處理裝置進一步設置為：根據該信息(M)及該第一節點第二私人金鑰(V_2C)產生一第一簽名信息(SM1)；以及透過該通信網路傳送該第一簽名信息(SM1)到該第二節點(S)；其中該第二處理裝置進一步設置為：接收該第一簽名信息(SM1)；利用該第一節點第二公用金鑰(P_2C)確認該第一簽名信息(SM1)；以及根據該第一簽名信息(SM1)的確認結果認證該第一節點(C)。
如請求項24所述之系統，其中該第二處理裝置進一步設置為：根據該信息(M)或一第二信息(M2)，以及該第二節點第二私人金鑰(V_2S)，來產生一第二簽名信息(SM2)；以及傳送該第二簽名信息(SM2)到該第一節點(C)；其中該第一處理裝置進一步設置為：接收該第二簽名信息(SM2)；利用該第二節點第二公用金鑰(P_2S)來確認該第二簽名信息(SM2)；以及根據該第二簽名信息(SM2)的確認結果來認證該第二節點(S)。
如請求項24或25所述之系統，其中該第一處理裝置設置為：產生該信息(M)；以及傳送該信息(M)；其中該第二處理裝置設置為：接收該信息(M)。
如請求項24或25所述之系統，其中該信息係由另一個節點產生，其中該第一處理裝置設置為：接收該信息(M)；其中該第二處理裝置設置：接收該信息(M)。
如請求項24或25所述之系統，更包含一系統資料儲存及/或輸入介面，其中該第一處理裝置及第二處理裝置自該系統資料儲存及/或輸入介面，接收該信息(M)或該第二信息(M2)。
如請求項28所述之系統，其中該第一處理裝置自該系統資料儲存及/或輸入介面，接收該第二節點主要公用金鑰(P_1S)，以及該第二處理裝置自該系統資料儲存及/或輸入介面，接收該第一節點主要公用金鑰(P_1C)。
如請求項24或25所述之系統，更包含：一第一資料儲存，與該第一節點(C)關連，以儲存該第一節點主要私人金鑰(V_1C)；以及一第二資料儲存，與該第二節點(S)關連，以儲存該第二節點主要私人金鑰(V_1S)。
如請求項30所述之系統，其中該第一處理裝置係設置：產生該第一節點主要私人金鑰(V_1C)及該第一節點主要公用金鑰(P_1C)；傳送該第一節點主要公用金鑰(P_1C)；以及將該第一節點主要私人金鑰(V_1C)儲存在該第一資料儲存中；其中該第二處理裝置係用來：產生該第二節點主要私人金鑰(V_1S)及該第二節點主要公用金鑰(P_1S)；傳送該第二節點主要公用金鑰(P_1S)；以及將該第二節點主要私人金鑰(V_1S)儲存在該第二資料儲存中。
如請求項30所述之系統，其中：該第一資料儲存接收及儲存該第二節點主要公用金鑰(P_1S)；以及該第二資料儲存接收及儲存該第一節點主要公用金鑰(P_1C)。
如請求項24或25所述之系統，其中該第一處理裝置進一步設置為：根據該信息(M)的一雜湊，決定該決定性金鑰(DK)，並且其中：根據該第一節點主要私人金鑰(V_1C)及該決定性金鑰(DK)的純量加法，依據下列公式求出該第一節點第二私人金鑰(V_2C)： V_2C=V_1C+DK；以及根據該第二節點主要公用金鑰(P_1S)以橢圓曲線點加法，加上決定性金鑰(DK)及共同產生器(G)之該橢圓曲線點乘法，依據以下公式求出該第二節點第二公用金鑰(P_2S)：P_2S=P_1S+DK x G並且其中該第二處理裝置設置為：根據該信息(M)的一雜湊，決定該決定性金鑰(DK)，並且其中：根據該第二節點主要私人金鑰(V_1S)及該決定性金鑰(DK)的純量加法，依據下列公式求出該第二節點第二私人金鑰(V_2S)：V_2S=V_1S+DK；以及根據該第一節點主要公用金鑰(P_1C)以橢圓曲線點加法，加上決定性金鑰(DK)及共同產生器(G)之該橢圓曲線點乘法，依據以下公式求出該第一節點第二公用金鑰(P_2C)：P_2C=P_1C+DK x G。
如請求項23至25之任一項所述之系統，更包含：一第一通信模組，與該第一處理裝置關連，以透過一通信網路來傳送及/或接收一個或多個該信息(M)、該第一節點主要公用金鑰(P_1C)、該第二節點主要公用金鑰(P_1S)、該第一簽名信息(SM1)、該第二簽名信息(SM2)，以及代表使用具有一共同產生器(G)的一共同橢圓曲線密碼學(ECC)系統的一通知；以及一第二通信模組，與該第二處理裝置關連，以透過一通信網路來傳送及/或接收一個或多個該信息(M)、該第一節點主要公用金鑰(P_1C)、該第二節點主要公用金鑰(P_1S)、該第一簽名信息(SM1)、該第二簽名信息(SM2)，以及代表使用具有一共同產生器(G)的一共同橢圓曲線密碼學(ECC)的一通知。
如請求項23至25之任一項所述之系統，其中該決定性金鑰(DK)係奠基於前一個決定性金鑰的一雜湊。
如請求項23至25之任一項所述之系統，其中該第一不對稱加密對及該第二不對稱加密對，個別奠基於前一個第一不對稱加密對及前一個第二不對稱加密對的一函數。
一種利用對稱金鑰演算法在一第一節點(C)及一第二節點(S)之間進行安全通信的系統，其中該系統包含：根據請求項23至36之任一項所述之系統，以該第一處理裝置及該第二處理裝置決定一共同私密(CS)，其中該第一處理裝置進一步設置為：根據該共同私密(CS)來決定一對稱金鑰；利用該對稱金鑰加密一第一通信信息成一加密的第一通信信息；以及傳送該加密的第一通信信息；其中該第二處理裝置進一步設置為：根據該共同私密(CS)來決定相同的對稱金鑰；接收該加密的第一通信信息；以及利用該對稱金鑰解密該加密的第一通信信息成該第一通信信息。
一種利用對稱金鑰演算法在一第一節點(C)及一第二節點(S)之間進行安全通信的系統，其中該第二處理裝置進一步設置為：利用該對稱金鑰加密一第二通信信息成一加密的第二通信信息；以及傳送該加密的第二通信信息；其中該第一處理裝置進一步設置為：接收該加密的第二通信信息；以及利用該對稱金鑰解密該加密的第二通信信息成該第二通信信息。
如請求項37或38所述之系統，其中該第一及第二通信信息係在該第一節點(C)及該第二節點(S)之間，用於在該第一節點(C)及該第二節點(S)之間的線上交易的交易信息。
一種電腦程式，包含機械可讀取的指令，以引起一處理裝置來完成如請求項1至17之任一項所述之方法。