使用硬件安全密钥的加密资产托管系统的风险缓解的制作方法

使用硬件安全密钥的加密资产托管系统的风险缓解
1.相关申请的交叉引用
2.本技术要求2019年9月24日提交的美国专利申请16/580,931的权益，并且该申请要求2019年8月20日提交的美国临时申请62/889,393的权益。
技术领域
3.本说明书通常涉及加密资产托管系统的风险缓解。


背景技术：

4.近年来，诸如比特币(bitcoin)、以太坊(ethereum)和瑞波币(ripple)等的加密货币已开始普及并获得价值，并且许多人期望继续如此。每天基于加密货币进行的交易的种类越来越多，并且可以想象，将来可能产生新类型的加密资产，即不一定是货币的加密资产。
5.随着加密资产的使用越来越多，需要可以安全地存储大量加密资产并且控制对这些加密资产的访问的可信托管系统。事实上，美国证券法规要求代表另一方持有超过一定数额资金(例如，1.5亿美元)的某些实体使用托管机构来持有这些资金。有时使用硬件钱包和其他形式的“冷存储”来存储加密货币，然而，这些装置将访问仅限制到装置的所有者，因此不适合许多商业用途，其中在这些商业用途中，许多个人可能需要访问加密资金或其他加密资产。


技术实现要素：

6.本说明书描述加密资产托管系统(有时称为“ccs”)的风险缓解。用于加密资产托管系统的风险缓解的方法、系统和设备包括：使用加密资产托管系统的服务器计算机来传输对加密资产交易的批准请求。该批准请求是根据加密资产托管系统的硬件安全模块中所存储的策略而传输的。该策略可以指定加密资产交易的批准所需的加密资产托管系统的至少一个特定批准者。该批准请求被传输到与特定批准者相关联的计算机装置。该批准请求可被配置为使得计算机装置提示特定批准者批准加密资产交易。
7.服务器计算机从与特定批准者相关联的硬件安全令牌接收安全密钥。该安全密钥表示加密资产交易的批准。加密资产托管系统的风险分析模块可以基于安全密钥来认证特定批准者的身份。响应于特定批准者的身份的认证，硬件安全模块可以使用硬件安全模块中所存储的加密密钥来对加密资产交易进行签名。加密密钥是与加密资产交易相关联且可用于控制对加密资产的访问的非对称加密密钥对中的私钥。服务器计算机使用加密密钥来对加密资产进行加密资产交易。
8.这些和其他方面、特征以及实现可被表示为用于进行功能的方法、设备、系统、组件、程序产品、部件或步骤，并且可以以其他方式表示。
9.这些和其他方面、特征以及实现通过包括权利要求书的以下说明将变得明显。
附图说明
10.图1示出加密资产托管系统的示例框图。
11.图2a是示出利用加密资产托管系统的存入(deposite)处理流程的示例的示意图。
12.图2b是示出该存入处理流程的示例的流程图。
13.图3a是示出利用加密资产托管系统的取出(withdrawal)处理流程的示例的示意图。
14.图3b是示出该取出过程流程的示例的流程图。
15.图4是示出硬件安全模块结合所请求的操作所进行的处理的示例的流程图。
16.图5是示出用于使用离线用户装置对所请求的交易进行背书(endorse)的处理的示例的流程图。
17.图6示出使用硬件安全密钥进行风险缓解的加密资产托管系统的示例框图。
18.图7示出加密资产托管系统的风险缓解的处理。
19.图8是示出可用于实现加密资产托管系统或用户装置的一部分或全部的处理系统的硬件架构的示例的高级框图。
具体实施方式
20.在以下说明中，为了解释的目的，阐述了许多具体细节以便提供对所公开的实施例的全面理解。然而，显而易见，可以在没有这些具体细节的情况下实践这些实施例。
21.在附图中，为了便于说明，示出了示意要素(诸如表示装置、模块、指令块和数据要素的要素等)的具体布置或排序。然而，本领域技术人员应当理解，附图中的示意要素的特定排序或布置并不意在意味着需要处理的特定顺序或序列或者过程的分离。此外，在附图中包括示意要素并不意在意味着在所有实施例中都需要这种要素、也不意味着在一些实施例中由这种要素表示的特征可以不包括在其他要素中或可以不与其他要素组合。
22.此外，在附图中，在连接要素(诸如实线或虚线或箭头等)用于例示两个或多于两个其他示意要素之间的连接、关系或关联时，没有任何这种连接要素并不意在意味着不能存在连接、关系或关联。换句话说，要素之间的一些连接、关系或关联未在附图中示出，以便不使本公开内容模糊。另外，为了便于例示，可以使用单个连接要素来表示要素之间的多个连接、关系或关联。例如，在连接要素表示信号、数据或指令的通信的情况下，本领域技术人员应理解，这种要素表示影响通信可能需要的一个或多个信号路径(例如，总线)。
23.现在将详细参考实施例，其示例在附图中例示出。在以下的详细说明中，阐述了许多具体细节，以便提供对所描述的各种实施例的全面理解。然而，本领域普通技术人员将显而易见，可以在没有这些具体细节的情况下实施所描述的各种实施例。
24.以下说明数个特征，其中这些特征各自可以彼此独立地使用、或者与其他特征的任何组合一起使用。然而，任何单独的特征可能无法解决以上论述的问题中的任何问题，或者可能仅解决以上论述的问题其中之一。以上论述的问题中的一部分问题可能无法通过本文所述的特征中的任何特征来完全解决。尽管提供了标题，但与特定标题相关但未在具有该标题的部分中找到的信息也可以在本说明书的其他部分找到。
25.图1示出加密资产托管系统100的示例框图。加密资产托管系统100是用于维护加密货币和/或其他加密资产的托管并且控制对加密货币和/或其他加密资产的访问的计算
机实现的系统。加密资产托管系统100可以由商业企业(在这里被称为加密资产托管机构)拥有和/或运营。加密资产托管系统100包括多层安全，以使得能够以安全方式维护大量加密资产。在某些实施例中，加密资产托管系统100包括基于生物特征识别的多用户验证、交易风险分析、以及使用硬件安全模块105来提供认证/验证功能以及加密资产的私钥的安全存储的组合。此外，可以将两个或多于两个不同的生物特征认证技术应用于任何给定的交易请求。如本文所使用的，术语“硬件安全模块”是指用于保护和管理认证所用的数字密钥并提供加密处理功能的专用物理计算装置。硬件安全模块105可被体现为插入卡或者直接附接至计算机的外部装置。
26.在某些实施例中，当用户装置108请求涉及加密资产的交易(诸如加密货币资金的取出或转移等)时，加密资产托管系统100使得将背书请求消息发送至多个用户装置108中的各用户装置，其中各用户装置与已被定义为针对涉及该加密资产的交易的规定数量(quorum)的潜在成员的不同用户相关联(在其他实施例中，多个用户可以共用同一用户装置108)。该背书请求消息被配置为使得各接收用户装置108提示其背书人/用户提供所请求的交易的背书。这种上下文中的背书是背书人/用户对操作的批准或拒绝。当接收到这样的提示的背书人/用户在他们的用户装置108(例如，智能电话、平板或笔记本计算机)上对交易进行背书时，该用户装置108用该用户的私钥对背书进行签名，并将已签名的背书传输至加密资产托管系统100。该私钥存储在用户装置108内的安全指定位址空间114中。各用户装置108中的安全指定位址空间114用于存储相应用户的私钥并生成该用户的数字签名。
27.硬件安全模块105判断基于策略的规定数量的多个用户是否背书(批准)了所请求的动作，诸如加密货币资金的取出或转移等。在从用户接收到的背书中，硬件安全模块105通过针对多个用户中的各用户用公钥-私钥对中的公钥来验证签名。在一个实现中，仅在判断为基于策略的规定数量的多个用户已有效地背书了所请求的动作之后，硬件安全模块105才允许自身访问或导出该特定加密资产的私钥(例如，供加密货币基金的特定存入用)，并且使用该私钥来对交易进行签名作为交易可以继续进行的授权。
28.可以使用客户端密钥来访问或导出特定加密资产的私钥，并且可以从一个或多于一个用户装置上所存储的供客户端的授权代表用的加密客户端密钥来导出客户端密钥。加密客户端密钥可以被传输到硬件安全模块，并且硬件安全模块可以通过使用硬件安全模块的安全存储装置内所存储的基于硬件的加密密钥对加密客户端密钥进行解密来从加密客户端密钥导出客户端密钥。硬件安全模块的安全存储装置内的基于硬件的加密密钥仅存储在硬件安全模块105中，因此基于硬件的加密密钥不能被硬件安全模块105外部的任何实体读取。交易的批准例如可以包括将交易传输到已知的区块链网络上。在某些实施例中，硬件安全模块105对交易的批准仅在所请求的交易通过了可能是部分或完全自动化的风险评审的情况下和之后才发生。这里所介绍的系统和技术还可用于除加密资产之外的其他类型的数字资产的安全托管。
29.现在参考图1，其示出加密资产托管系统100的高级框图。在所示的实施例中，加密资产托管系统100包括服务器计算机102、中继服务器103、风险分析模块104、硬件安全模块105和数据存储设施106。数据存储设施106可以包括一个或多于一个数据库，该一个或多于一个数据库可以是或包括关系数据库或者用于以组织方式存储数据的任何其他类型的机构，其中数据可以是结构化数据和/或非结构化数据。硬件安全模块105还包括自身的内部
安全存储设施107。注意，在加密资产托管系统100中可以存在上述组件中的各组件的多个实例，尽管示出各组件的仅一个实例以简化说明。一个或多于一个用户装置108(也称为“客户端”)可以经由诸如因特网等的公共计算机网络109与加密资产托管系统100进行通信。各个用户装置108可以是例如智能电话、平板计算机、膝上型计算机和台式计算机等中的任一个。各用户装置108可以包括诸如基于ios的安全指定位址空间等的安全指定位址空间114，该安全指定位址空间114用于存储相应用户的私钥并且生成该用户的数字签名。在至少一些实施例中，各用户装置108与不同的用户相关联，并且之后的说明书采用这样的实施例来便于说明。然而，注意，可以具有多个用户共用同一用户装置108的实施例。
30.在一些实施例中，中继服务器103用作跨越物理气隙的桥，以将硬件安全模块105与公共计算机网络109隔离。在其他实施例中，中继服务器103用作虚拟气隙，以将硬件安全模块105与公共计算机网络109隔离。中继服务器104和硬件安全模块105在安全区110内工作。硬件安全模块105可以从物理上驻留在无法直接访问任何外部网络的物理上安全的数据中心内。硬件安全模块105和服务器计算机102之间的消息在半双工(仅外传请求-响应)连接上路由到安全区110中的中继服务器103。中继服务器103在与服务器计算机102进行通信时使自身从安全网络断开，并且在与硬件安全模块105进行通信时使自身从所有的外部网络断开，使得不能从外部建立与这些装置的交互式会话。中继服务器103为关键基础设施提供了“气隙”安全。加密资产托管系统100还可以访问用于记录加密资产托管系统100具有托管权的加密资产的至少一个区块链网络111。对区块链网络111的访问可以经由公共计算机网络109(例如，因特网)。
31.在一些实施例中，加密资产托管系统100的客户所提交的各交易均将经历可以是部分或完全自动化的风险分析模块104。例如，在加密资产托管系统100的一些实施例中，风险分析代理(也称为“批准者”)可以评价风险评审仪表板上所显示的自动风险分析软件的输出，以决定交易是否已被充分授权而被接受。批准者或软件可以遵循在各单独保险库上设置的策略，并且可以查看各种风险信号(例如，交易金额、授权该交易的用户的数量、请求和批准交易的(一个或多于一个)地点、目的地地址)中的任何风险信号，以计算可能导致批准交易或请求更多信息的最终风险度量。
32.图2a是示出利用加密资产托管系统100的存入处理流程的示例的示意图。图2b是示出存入处理流程的示例的流程图。在一些实施例中，存入是由客户通过在客户的用户装置108上执行的软件应用(因此称为“加密资产托管系统应用”)经由因特网来发起的。在一些实施例中，存入操作的发起是使用web仪表板来进行的。存入请求的这种发起需要对加密资产托管系统应用进行加密背书。
33.存入的发起可以通过客户在加密资产托管系统应用中选择加密资产类型并请求给定数额的存入来进行。一旦发起，对区块链存入地址的请求被发送至服务器计算机102，该服务器计算机102接收到该请求(步骤201)，并且将请求经由中继服务器103转发(步骤202)到硬件安全模块105(如上所述，硬件安全模块105通过中继服务器103与因特网隔离)。硬件安全模块105生成(步骤203)新的公钥-私钥对221以唯一地对应于该存入，即对应于所请求的区块链地址。在某些实施例中，硬件安全模块105使用相关组织的私钥以及密钥导出函数(kdf)来生成针对区块链地址的新密钥对。如以下进一步论述的，这种上下文中的“组织”是与特定客户相对应的数据结构。在一个实现中，新生成的密钥对中的私钥不能从硬件
安全模块105中提取，但可以安全地备份在加密文件中。在该实现中，硬件安全模块105内部的密钥生成确保了私钥221仅存在于硬件安全模块105内，在世界上任何其他地方都不可用，并且不能由硬件安全模块105外部的任何实体访问。
34.接着，硬件安全模块105根据新创建的密钥对中的公钥来生成(步骤204)存入所用的区块链地址。可以使用区块链地址的公钥的特定于区块链的变换。硬件安全模块105用组织的私钥对区块链地址进行签名(步骤205)，并将已签名的区块链地址返回到服务器计算机102。服务器计算机102使得(步骤206)将已签名的区块链地址222发送至客户的用户装置108，以使得用户装置108以易于使用和可共享的格式(例如，作为qr码)在用户装置108上的加密资产托管系统应用中向客户呈现该地址，以用作区块链交易中的目的地地址。用户装置108上的加密资产托管系统应用在将地址呈现给客户之前核实(步骤207)地址的签名。
35.客户的用户装置108使用组织的公钥(该公钥是先前从加密资产托管系统100接收到并本地存储的)来核实该用户装置108从加密资产托管系统100接收到的区块链地址的真实性。客户发起(步骤208)交易以将资产存入到加密资产托管系统100中。该交易可以是从交易所、从客户的个人钱包、或者从其他加密资产商店发起的。资产无需确认即可出现在加密资产托管系统100中。
36.存入的地址与加密资产托管系统100中属于客户的其他地址一起存储在集合(被称为客户的“保险库”)中。这种上下文中的保险库是包含加密资产和策略图的数据实体，该策略图包含用于管理从这些加密资产的存入和取出以及对与加密资产有关的交易的参与的一个或多于一个策略。加密资产被表示为可以保持一定数额的加密资产类型(例如，比特币、以太坊)的保险库内的槽。一旦利用加密资产托管系统100托管并存储，加密资产就完全在加密资产托管系统100的控制下。
37.服务器计算机102判断客户是否在所定义的时间段内确认了交易(步骤209、210)。一旦存入交易由客户确认并且在区块链上被确认，服务器计算机102就向客户通知(步骤211)该情况，并且资产被视为由加密资产托管系统100托管。在所定义的时间段内未接收到确认的情况下，服务器计算机102向客户通知(步骤212)交易中的错误。
38.图3a是示出利用加密资产托管系统100的取出处理流程的示例的示意图。图3b是示出该取出处理流程的示例的流程图。图3a和图3b示出取出一定数额的先前存入的加密资产(诸如加密货币等)的处理的示例。可以通过选择要取出的特定加密资产和数额来从用户装置108a上的加密资产托管系统应用发起取出。一旦发起，使授权方知晓取出请求。在一个实现中，要求规定数量的授权客户或用户在他们的移动装置108a和108b上单独授权取出请求。在一些实施例中，要求一个或多于一个“被要求的”客户或用户授权取出请求。该一个或多于一个“被要求的”客户或用户可以是规定数量的一部分。在一些实施例中，必须满足所定义的规定数量，并且所有“被要求的”用户必须授权了交易。在一些实施例中，可以实现针对“被要求的”用户的条件定义。例如，“如果usd估值高于100万美元或者如果在给定时间交易金额超过加密资产的持有量的50％，则需要joe doe”。在其他实施例中，针对要满足的“策略”配置附加要求的批准或条件。
39.在该处理期间，要求授权用户评审交易并批准交易，其中各用户的批准均可以经过生物特征认证(例如，指纹、面部识别和/或语音识别)。在某些实施例中，在取出可以成功地继续移动到下一阶段之前，每个请求都被发送到风险分析模块104，以便对可疑活动进行
检查并被授权为合法。硬件安全模块105可以验证为所定义的规定数量(例如，大多数、25％或33％)的用户授权了交易，并且该交易由风险评审模块104批准。例如，对于拥有需要转移资金能力的五名不同雇员的给定公司客户，适当的规定数量配置可能是需要来自这五名雇员中的三名组成的组的经验证的批准以移动任何资金。一旦硬件安全模块105验证了与包括任何规定数量要求的策略图的合规性，硬件安全模块105就通过用账户持有者的私有加密资产特定密钥对所请求的交易进行签名来授权所请求的交易(例如，所请求的取出)。服务器计算机102将已签名的交易请求提交给区块链111。
40.在图3b中进一步示出取出处理的示例。服务器计算机102最初从客户接收到(步骤301)取出请求331。服务器计算机102检查(步骤302)针对作为交易的对象的加密资产的批准策略(如在加密资产的保险库中所示)，以确定哪些个人的授权(背书)可用于满足用以批准该取出的规定数量。服务器计算机102将背书请求发送(步骤303)至这些个人的移动装置108a、108b(这些移动装置先前已在加密资产托管系统100中注册)。响应于这些请求，可以从用户的移动装置108a、108b接收到一个或多于一个背书，其中如以下进一步所述，这些背书由在用户各自的移动装置中安全地存储的这些用户各自的私钥来进行本地签名，并且经过一个或多于一个生物特征认证技术。因此，如在针对加密资产的策略中指定的，服务器计算机102判断(步骤304)在超时时间段内是否接收到规定数量的授权并且是否认证了相应的授权方。如果为“是”，则服务器计算机102将交易请求331传递(步骤305)到风险分析模块104。否则，服务器计算机将交易拒绝通知至少发送(步骤310)至请求了该交易的用户(以及可能地发送至在针对加密资产的策略中识别的所有其他用户)。
41.风险分析模块104可以进行如上所述可以是完全或部分自动化的风险分析(步骤306)。如果交易通过风险分析(步骤306)，则控制流程传递到硬件安全模块105，该硬件安全模块105通过进行与步骤304相同的判断或类似的判断，核实(步骤308)是否满足了规定数量要求，风险分析模块104也是如此(步骤306)(以下进一步描述)。如果硬件安全模块105核实为满足规定数量，则硬件安全模块105利用区块链地址的私钥对取出交易进行签名。服务器计算机102将该交易提交到区块链111上以执行取出(步骤309)。否则，硬件安全模块105向服务器计算机102以信号方式发送失败，该服务器计算机102作为响应将交易拒绝通知至少发送(步骤310)至请求该交易的用户(以及可能地发送至在针对加密资产的策略中识别出的所有其他用户)。
42.如上所述，当用户对交易请求进行背书时，用户可以由他们的移动装置和/或加密资产托管系统100进行一个或多于一个形式的认证，以确定这些用户是采取动作的预期人员。这些认证形式可以包括一个或多于一个生物特征认证技术，诸如指纹核实、声纹核实、语音识别、面部识别和/或姿势识别等。用户的移动装置(例如，智能电话)可以进行这些认证技术中的一个或多于一个。
43.附加地或可选地，还可以要求用户将他们的移动装置所拍摄到的视频上传到加密资产托管系统100，其中例如通过以下可以从该视频中证明用户的身份：对照已知面部的图像(例如，用户的以前视频)来识别视频中的用户的面部；对照用户的经训练的语音配置文件来识别视频中的用户的语音；基于交易来要求用户在视频中说出特定词语或采取特定动作(参见以下的进一步论述)；要求用户作出先前指定的姿势、或者在痛苦时做出痛苦姿势；要求用户在视频上识别用户处于的预期房间；以及/或者进行被认为是提高用户是他或她
声称是谁的置信度水平的任何其他动作。
44.当判断为有必要时，可以要求用户完成质询，以证实他或她实际上是被授权对交易采取动作的人。这些质询可以是基于交易的上下文而确定性地生成的。例如，基于交易中的诸如id、数额、目的地等的关键信息，加密资产托管系统100可以生成可用于从已知词语集中选择几个(例如，三到五个)词语的随机数。加密资产托管系统100可以将这些词语呈现给用户，并让用户在用户的移动装置所拍摄到的视频中说出这些词语，用户的移动装置将该视频传输到加密资产托管系统100。在评审交易时，评审机构可以基于交易数据来独立地生成预期词语，并且核实为用户说出了这些词语。该视频也可以经受面部和/或语音识别。通过进行该确定性质询生成，可以防止攻击者通过拍摄并重用来自用户的先前传输的认证视频来伪造交易。
45.图4是示出硬件安全模块105结合所请求的操作所进行的处理的示例的流程图。硬件安全模块105的主要作用是核实操作的有效性。硬件安全模块105通过硬件安全模块105对密钥的特权访问来执行签名者的意愿并且认证了签名者是操作的授权方。对交易进行签名所需的至少一个密钥安全地存储在硬件安全模块105中，并且永远不会离开。在一些实施例中，硬件安全模块105通过安全执行环境(see)来加强这些策略，该see运行除了对硬件安全模块105的物理访问以外不能更改的代码，并且需要由加密资产托管机构的多名员工安全地持有的智能卡集。
46.在某些实施例中，为了促进上述功能，硬件安全模块105在其内部存储107中存储被称为“组织”的数据结构的多个实例，即针对加密资产托管机构的各客户存储一个实例。在一个实现中，组织数据结构可以包含以下的字段：组织的标识符(id)、组织的名称、组织的公钥、属于组织的用户的列表、策略图、属于组织的保险库及其各自的策略图的列表、以及在每次更新组织结构时递增的生成编号。“策略图”是包括针对可以执行的各可能动作(例如，添加用户或改变保险库策略)的一个策略的策略集。组织数据结构由硬件安全模块105使用该组织的私钥(其不能由任何外部实体读取)签名，以表示组织数据结构是通过由用户和风险评审人员授权的一组有效的改变而产生的。在一些实施例中，硬件安全模块105跟踪最新版本以防止回滚攻击。在其他实施例中，硬件安全模块105的代码是版本化的，并且在升级过程中存在检查以防止回滚攻击。
47.为了加入新客户，硬件安全模块105创建新的组织实例。为了帮助确保充分安全，硬件安全模块105可以针对所请求的用户集来创建该组织。在一些实施例中，硬件安全模块105针对所创建的每个新组织来生成新的唯一密钥。因而，由于每个组织均具有唯一的组织密钥，因此防止了攻击者试图欺骗或复制现有组织的身份(id)。
48.图4示出在至少一些实施例中可以由硬件安全模块105响应于用以执行操作的请求而进行的处理的示例。该请求可以由硬件安全模块105从中继服务器103接收到。最初，硬件安全模块105从中继服务器103接收(步骤401)指定组织的操作描述。该操作描述是描述所请求的操作(诸如所请求的加密货币的存入、取出或转移等)的一组数据和元数据。硬件安全模块105核实(步骤402)所指定的组织的完整性。
49.硬件安全模块105在组织或保险库的策略图中查找策略(步骤403)。硬件安全模块105查看内部风险评审人员的策略，以确定必须实现哪些内部风险背书以及多少内部风险背书(即，加密资产托管机构的人员的背书)(步骤404)。硬件安全模块105可以判断(步骤
405)(从用户)接收到的加密背书中的任何背书是否表示“拒绝(reject)”所请求的操作。如果“是”，则硬件安全模块105可以通过向中继服务器返回“拒绝”消息来拒绝所请求的操作(步骤411)，中继服务器将相应的“拒绝”消息返回到服务器计算机，以使得向请求方进行通知。硬件安全模块105不费心地检查任何进一步的签名，并且拒绝该操作。
50.硬件安全模块105判断(步骤406)所有接收到的针对交易的加密背书是否有效。该判断包括通过检查以下内容来核实所提供的加密背书的有效性：i)用户在组织中；ii)签名对于所指定的操作而言是正确的；以及iii)各个签名具有“批准”决定。如果并非所有接收到的针对交易的加密背书都是有效的，则处理进入如上所述的步骤411。
51.如果所有接收到的针对交易的背书都是有效的，则硬件安全模块105判断(步骤407)背书是否满足对象加密资产的相关策略(满足所指定的规定数量)。如果有效的背书不满足该策略，则处理进入如上所述的步骤411。如果背书满足该策略，则硬件安全模块105判断(步骤408)所请求的操作是否通过风险分析模块104。如果为“否”，则处理进入如上所述的步骤411。如果所请求的操作通过了风险分析模块104，则硬件安全模块105判断(步骤409)所请求的操作是否有效。该判断步骤可以包括：核实为操作在内部是一致的，并且可以将操作应用于该操作所针对的组织、保险库或资产。如果所请求的操作无效，则处理进入如上所述的步骤411。否则，硬件安全模块105执行(步骤410)所请求的操作(或触发使得执行该操作的动作)。用以改变组织、保险库或策略的操作产生了具有更高的生成值和应用了改变的新的已签名的组织数据结构。用以取出资产的操作使得硬件安全模块105利用与对象资产相对应的私钥对区块链交易进行签名。用以存入资产的操作使得硬件安全模块105生成存入地址。
52.图5是示出用于使用离线用户装置对所请求的交易进行背书的处理的示例的流程图。作为用于降低用户与他们的个人装置上的加密资产托管系统应用交互的风险的方法，加密资产托管系统100可能需要来自离线装置的授权。该离线装置(诸如具有安全指定位址空间的消费者电话或者ipod touch或个人数字助理等的类似功能的计算装置等)将在其正常状态下与因特网完全断开，并且以离线方式用于对授权所需的交易进行签名。
53.可以如下执行该处理。用户的电话或类似装置是他们的保险库策略的规定数量的成员并且未连接至任何无线或蜂窝网络。该装置运行与用于使得用户能够对所请求的交易进行背书的加密资产托管系统应用软件类似的软件、或者以不同模式工作的相同软件。用户通过规定数量中的不同装置发起针对他们的保险库的交易。诸如其他电话或web浏览器等的在线装置有权访问该交易。在线装置可以是规定数量中的其他电话/安全装置，或者在线装置可以仅仅为了显示交易而存在。装置能够将需要由离线装置签名的数据传输至离线装置。该传输可以通过不能通过因特网访问的通道(诸如显示qr码、播放对数据进行编码的声音或声音序列、或者通过蓝牙(bluetooth)传输等)来实现。离线装置显示为了离线装置签名所传输的数据，以供用户批准或拒绝。离线装置基于用户的期望动作来对操作的背书进行签名。离线装置以与接收方式类似的方式(例如，显示qr码、播放对数据进行编码的声音或声音序列、或者通过蓝牙传输)将其已签名的有效载荷通信回至在线装置。在线装置将已签名的决定有效载荷通信回至加密资产托管系统100的服务器计算机。
54.在图5中，在线用户装置经由因特网从加密资产托管系统100接收(步骤501)操作描述。在线用户装置(例如，用户装置108)将该操作描述(或其一部分)使用离线通道传输
(步骤502)到离线用户装置。如上所述，离线通道是不能通过因特网访问的通道，诸如利用在线用户装置的本地视觉显示、在线用户装置所生成的声音或声音序列、或者(例如，经由蓝牙)来自在线用户装置的短距离无线传输等。离线用户装置经由离线通道从在线用户装置接收操作描述(步骤503)，并且基于由此接收到的信息，显示操作描述(或其一部分)并且向用户提示该操作的背书(步骤504)。如果离线装置在超时时间段内接收到有效背书作为用户输入(步骤505)，则离线装置将“接受(accept)”消息经由该离线装置接收到操作描述的同一离线通道或者经由不同的离线通道发送至在线用户装置(步骤506)。在线用户装置从离线装置接收到背书的结果(步骤507)，并且将结果有效载荷经由因特网传输到加密资产托管系统(步骤508)。如果离线用户装置在超时时间段内未从用户接收到有效背书(步骤505)，则离线用户装置将“拒绝(reject)”消息经由离线通道传输到在线用户装置，其中在线用户装置进而将该“拒绝”有效载荷经由因特网传输到加密资产托管系统(步骤508)。
55.离线装置可以以其安全密钥预先登记在组织中的状态被交付至用户，或者可以允许离线装置在线以进行初始登记处理，或者离线装置可以通过与授权处理相同的过程来发送其登记。
56.可能需要周期性地更新离线装置上的加密资产托管系统软件。为了允许这样的更新，离线装置可按预定义的节奏被安排经由wi-fi连接至因特网并更新其软件，或者离线装置可以检测到作为从在线用户装置接收到要签名的交易的结果(表示离线装置上的软件版本不再兼容)而需要更新其软件。每当该装置在线时，该装置可以记录该装置可以访问因特网这一事实并尝试将该事实传输至加密资产托管系统100以使得该信息可用于由平台在稍后时间评估风险。
57.除了保持离线之外，离线用户装置以及一个或多于一个在线装置可被限制成仅在预定义信标的范围内对交易采取动作。可以使无线(例如，蓝牙)信标装置对用户可用，并且除非检测到信标可用，否则加密资产托管系统100应用可以拒绝授权交易。
58.提交给加密资产托管系统100的每个交易均记录在内部分类账中，该内部分类账是防篡改的，且允许审计员在每个用户的账户具有每个历史事件的加密证据。区块链资产的所有权通过拥有与公用钱包地址相对应的私钥来控制。加密资产托管系统100可以通过利用与用户的保险库相对应的私钥对审计员所选择的一串随机选择文本进行签名来向审计员证明这些资产的所有权。考虑以下示例：
59.审计员希望看到加密资产托管系统100有权访问由地址“1bvbmseystn5au4m4gfg7yjanvn2”标识的钱包中的资金的证据。因此，审计员随机地生成长字符串(例如，“xgg8vqfnd8qdwhz6uj1gx”)，并且提交以下质询：
60.{
61.地址：1bvbmseystn5au4m4gfg7yjanvn2,
62.令牌：“audit-challenge-xgg8vqfnd8qdwhz6uj1gx”,
63.}
64.加密资产托管系统100接收质询并将该质询作为预定义的模板化序列化包转发给硬件安全模块105。硬件安全模块105被编程为接受这样的审计请求(其不是任意的有效载荷，因此不存在随后被解释为已签名的区块链交易的风险)，并且用与所指定的地址相关联的私钥对这些审计请求进行签名。加密资产托管系统100针对审计员可以独立核实的质询
返回有效签名。该核实证明了加密资产托管系统100能控制与区块链111上的条目相对应的私钥，从而实现对资产的控制的证明。
65.在某些实施例中，加密资产托管系统100包括阈值化服务，该阈值化服务使得系统的其他部分(风险分析模块104和硬件安全模块105)能够安全地判断为用户操作和交易遵循了客户特定的业务逻辑，并且已被自动风险评审系统批准。阈值化服务可以核实多重签名(多用户)规定数量。
66.阈值化服务验证由用户发起并批准的操作，以确保这些操作在被执行之前已符合阈值规定数量。这样的操作可以包括交易、添加或删除其他用户等。不同的用户可以具有不同的访问控制作用(例如，仅查看、仅发起交易、可授权、必需)。加密资产托管系统100能够向每个可报告状况通知规定数量接受生命周期，但不能签署同意未被客户授权的操作。所有动作都被载入日志到仅追加分类账中，以用于所有账户交互的可审计性。
67.阈值化服务的一个功能是核实规定数量的授权用户已签署同意了所请求的操作。可能需要规定数量的合格操作例如可以包括：提出交易(例如，“取出100比特币”)、将用户添加到账户、更改用户的权限、将用户从账户中删除、以及更改阈值化逻辑。规定数量默认情况下可被定义为绝对多数的用户(例如，5个中的3个)，或者规定数量可以在客户加入时被设置为自定义规定数量。此外，授权用户可以配置规定数量，以要求某些特定用户对交易进行背书，以构成规定数量。加密资产托管系统100还可以允许跨多个所需组的阈值化。例如，在公司中，可能要求财务团队的大多数以及管理部门签署同意。
68.在某些实施例中，阈值化服务在其规定数量核实中实现了细粒度访问控制模型，其中不同用户可以具有不同的访问级别，这些访问级别可以包括以下的级别，例如：
[0069]-仅查看
[0070]-这是默认访问级别
[0071]-该级别的用户可以查看所有的资产位置
[0072]-该级别的用户可以标记任何交易
[0073]-该级别的用户可以冻结所有资产
[0074]-查看-授权
[0075]-该级别的用户可以充当趋向规定数量的动作的授权投票
[0076]-该级别的用户可以查看所有资产位置
[0077]-该级别的用户可以标记任何交易
[0078]-该级别的用户可以冻结所有资产
[0079]-查看-授权-必须
[0080]-该级别的用户是动作的所需投票
[0081]-该级别的用户可以查看所有资产位置
[0082]-该级别的用户可以标记任何交易
[0083]-该级别的用户可以冻结所有资产
[0084]
在某些实施例中，用户的访问级别可以仅随着通过阈值化服务核实的适当核实规定数量而改变。
[0085]
如上所述，用户对动作的批准可以由加密数字签名表示，以受益于不可抵赖性保证。加密资产托管机构可以确定持有私钥的关联用户确实是批准该动作的用户，因为数字
签名是无法伪造的。在某些实施例中，用户的签名是从用户的移动装置中的ios安全指定位址空间生成的，并且由用户装置108中的ios应用编程接口(api)组件转发到加密资产托管系统100。可以对交易内容的加密散列进行签名，以确保交易无法被篡改。可能需要所有用户对交易标识符(id)相同的相同散列进行签名，以便签名计入规定数量。阈值化服务可以提供供客户端签名的模板，并且可以核实ios客户端所完成的所有已完成签名。在至少一些实施例中，阈值化服务用用户签名密钥的公共组件核实签名，但不持有这些用户签名密钥的私有组件。
[0086]
一旦满足了阈值，阈值化服务将相应的签名数据发布到风险分析模块104，以由风险分析模块104在签署同意之前进行进一步分析，并且将签名数据序列化为硬件安全模块105签名服务所要消耗的有效载荷。可以将提供给阈值化服务和核实的各附加签名记录在仅追加日志服务中。该记录除了将提供阈值化服务的存储装置中所捕获到的元数据以外，还将提供附加审计和状况更新，这对于向用户客户端提供可消耗的更新将是至关重要的。
[0087]
假定规定数量的授权成员可用于对交易进行加密签名。因此，规定数量应保持“活跃”，即在任何给定时间，加密资产托管系统100都具有规定数量的所有潜在成员都维持拥有他们的安全装置密钥并且可以积极参与交易的合理置信度。在某些实施例中，加密资产托管系统100可以进行以下操作，以实现置信度水平：
[0088]
1.有权访问实现策略的规定数量所需的用户公钥的集合。
[0089]
2.设置策略的活性阈值，即时间量，在该时间量之后认为密钥存在不可用风险。该时间可以是固定的，或者可以与正常交易节奏相关。
[0090]
3.要求用户用他们的私钥周期性地对证明交易进行签名。该签名可以作为活性检查而是显式的，或者通过需要他们的密钥进行诸如登录等的常规操作而是隐藏/隐式的。
[0091]
4.记录任一个或多于一个用户的密钥的最新活跃时间。
[0092]
5.持续监测任何用户的活跃时间是否超过了活性阈值。
[0093]
6.使用上述信息来提示用户证明这些用户仍有权访问他们的签名密钥和/或向其他用户通知规定数量可能存在风险。
[0094]
风险分析模块104可以实现被称为风险api的api，并且还可以包括对所有交易的评审和管理用户操作。在一些实施例中，风险api驱动评审系统。风险api可以提供与内部风险仪表板的集成，以供评审各交易。
[0095]
风险api重新核实由阈值化服务确定的适当阈值。风险api还可以处理附加逻辑，诸如在阈值化服务被简化的实施例中等：例如，如果阈值化服务仅检查规定数量，则风险api可以检查所需的签名者。这里所述的其他功能也可以在模块之间移动。
[0096]
风险api可以接收与在交易中涉及的各用户有关的上下文数据，以呈现给分类系统。该信息例如可以包括批准了交易的(一个或多于一个)用户、(一个或多于一个)批准的时间、(一个或多于一个)批准的场所、以及批准了交易的(一个或多于一个)装置/密钥id。该数据可被馈送到内部风险分析处理中，并且可能地被馈送到其他自动评审系统中。
[0097]
在一些实施例中，如果交易通过了风险评审过程，则风险api获得批准。为了批准，如果雇员批准交易/操作，则雇员使用来自他们的硬件安全令牌604的安全密钥登录。如以下参考图6更详细地所述，该安全密钥被呈现给风险api(风险分析模块104)。优选地存在多个安全密钥(每个风险评审人员(批准者)一个安全密钥)，并且系统将进行了评审的人载入
日志。在某些实施例中，在第一风险批准安全密钥被破解的情况下，系统可以轮换到第二风险批准安全密钥。参考图6来更详细地示出和说明硬件安全令牌604对安全密钥的使用。
[0098]
图6示出使用硬件安全密钥进行风险缓解的加密资产托管系统100的示例框图。如参考图1更详细地所述，加密资产托管系统100包括服务器计算机102、中继服务器103、硬件安全模块105、风险分析模块104和数据存储设施106。
[0099]
服务器计算机102是包括为客户端程序和装置(诸如参考图1更详细地示出和描述的用户装置108等)提供功能的软件的计算机装置。参考图1和图6，属于加密资产托管系统100的批准者的计算机装置608通过网络109与加密资产托管系统100进行通信。计算机装置608是与服务器计算机102所要进行的加密资产交易的批准者相关联的智能电话、平板计算机、膝上型计算机或台式计算机。例如，利用加密资产托管系统100的一些实施例，自动风险分析软件可以决定所提议的交易是否可接受。批准者可以遵循在各单独保险库上设置的策略，并且可以查看可能导致交易被批准或更多信息被请求的各种风险信号(例如，交易金额、授权该交易的用户的数量、请求和批准交易的(一个或多于一个)地点、以及/或者目的地地址)中的任何风险信号。策略可以存储在硬件安全模块105中，并且可以指定批准各交易所需的其他批准者中的至少一个特定批准者。
[0100]
服务器计算机102可以提供不同的功能，诸如请求计算机装置608批准加密资产交易、与硬件安全模块105进行通信、以及响应于客户端请求而在区块链111上进行加密资产交易等。一旦所需的规定数量的用户背书了与加密资产相关联的加密资产交易，服务器计算机102就根据硬件安全模块105中所存储的策略将对加密资产交易的批准请求传输到加密资产托管系统100的授权代表。硬件安全模块105通过中继服务器103可通信地耦接到服务器计算机102。除其他要求之外，策略可以指定加密资产交易的批准所需的加密资产托管系统100的特定批准者。批准请求被传输到与特定批准者相关联的计算机装置608。批准请求还可被传输到其他批准者(要求的或非要求的)，使得规定数量的批准者批准该请求。
[0101]
批准请求被配置为使得计算机装置608提示特定批准者和其他批准者批准加密资产交易。例如，批准请求可以在计算机装置608的数字屏幕上显示文本，向计算机装置608进行电话呼叫，向计算机装置608发送电子邮件，在计算机装置608上打开应用窗口，或者以其他方式通知计算机装置608。当加密资产托管系统100的特定批准者在他们的计算机装置608上批准加密资产交易时，批准者用来自硬件安全令牌604的安全密钥对批准进行签名，并将已签名的批准传输到加密资产托管系统100。一旦特定批准者批准了加密资产交易，服务器计算机102就接收到加密资产交易的批准。
[0102]
硬件安全令牌604是批准者为了获得对诸如加密资产托管系统100等的电子受限资源的访问而使用的物理装置。硬件安全令牌604如电子密钥那样起作用，以认证批准者的身份并表示批准，使得所生成的安全密钥可以证明批准者是他们所声称的人。在一些实施例中，硬件安全令牌604将用于生成安全密钥的加密密钥以数字签名或生物特征数据(诸如指纹细节等)的形式存储在安全指定位址空间612内。在一些实施例中，硬件安全令牌604存储一个或多于一个安全密钥或者包含防篡改包装。在一些实施例中，硬件安全令牌604包括用以允许pin的输入的小键盘或者用以开始生成例程的简单按钮，该生成例程用于将所生成的密钥号码或代码显示在硬件安全令牌604的显示器上。在一些实施例中，硬件安全令牌604使用通用串行总线(usb)、近场通信(nfc)、射频识别(rfid)或蓝牙以连接到加密资产托
管系统100。在其他实施例中，硬件安全令牌604通过网络109连接到加密资产托管系统100。
[0103]
在一些实施例中，硬件安全令牌604包括智能卡。智能卡是用于控制对加密资产托管系统100的访问的物理电子授权装置。智能卡可以是具有生成安全密钥的嵌入式集成电路的塑料信用卡大小的卡。在一些实施例中，硬件安全令牌604包括usb令牌。在usb令牌中，批准者的安全密钥驻留在安全指定位址空间612中，并且不能在令牌外部传递。在对批准进行签名的同时，在令牌上创建数字签名。在一些实施例中，硬件安全令牌604包括硬件保护器(hardware dongle)。硬件保护器是连接到其他装置(例如，计算机装置608)上的端口以向该装置提供安全批准功能的计算机硬件。例如，计算机装置608上的批准应用仅在硬件保护器插入计算机装置608中时才起作用。在一些实施例中，批准者可以具有多于一个硬件安全令牌604，其各自使用蓝牙、wi-fi、射频通信、网络109或它们的组合通信地耦接到计算机装置608或加密资产托管系统100。在一些实施例中，各硬件安全令牌604与计算机装置608所关联的批准者相关联。
[0104]
一旦服务器计算机102将批准请求传输到与特定批准者相关联的计算机装置608，服务器计算机102就从与特定批准者相关联的硬件安全令牌604接收到安全密钥。在一些实施例中，计算机装置608接收到批准请求并且将对安全密钥的请求自动传输到硬件安全令牌604。在其他实施例中，计算机装置608接收到批准请求并且提示特定批准者操作硬件安全令牌604。
[0105]
在一些实施例中，服务器计算机102直接从硬件安全令牌604接收到安全密钥。在其他实施例中，计算机装置608从硬件安全令牌604接收到安全密钥，并将安全密钥传输到服务器计算机102。服务器计算机102将安全密钥传输到风险分析模块104。风险分析模块104使用安全密钥来认证特定批准者的身份。
[0106]
对于加密资产交易的每次批准，将安全密钥传输到加密资产托管系统100。硬件安全令牌604是数个硬件安全令牌其中之一。各硬件安全令牌生成不同的安全密钥。多于一个硬件安全令牌可以与特定批准者相关联，使得需要多于一个安全密钥来认证特定批准者。在一些实施例中，各硬件安全令牌与加密资产托管系统100的不同批准者相关联。不同的批准者包括所需的特定批准者。
[0107]
在一些实施例中，从硬件安全令牌604接收到的安全密钥是同步动态安全密钥。硬件安全令牌604生成由硬件安全令牌604中的第一计时器编索引的同步动态安全密钥组。例如，硬件安全令牌604按固定的时间间隔(例如，基于利用与特定批准者相关联的秘密密钥加密的一天中的时间)生成不同的同步动态安全密钥。风险分析模块104包括与第一计时器同步的第二计时器。第二计时器对由风险分析模块104为了验证批准者所生成的同步动态安全密钥编索引。
[0108]
在一些实施例中，从硬件安全令牌604接收到的安全密钥是异步一次性安全密钥。异步一次性安全密钥是由硬件安全令牌604基于与特定批准者相关联的秘密密钥使用加密算法所生成的。例如，加密算法可以是将相同的秘密密钥用于加密明文和解密密文这两者的对称密钥算法。异步一次性安全密钥仅对一次使用且有限的时间有效。风险分析模块104基于与特定批准者相关联的秘密密钥使用相同的加密算法来验证异步一次性安全密钥。
[0109]
在一些实施例中，风险分析模块104基于加密资产交易的上下文来生成加密认证质询。加密认证质询被传输到计算机装置608或硬件安全令牌604。从硬件安全令牌604接收
到的安全密钥是由硬件安全令牌604生成的对加密认证质询的响应。例如，硬件安全令牌604从服务器计算机102接收到质询。硬件安全令牌604通过将加密散列函数应用于与同特定批准者相关联且存储在安全指定位址空间612中的秘密密钥组合的来自服务器计算机102的质询来计算响应。硬件安全令牌604将响应以及原始质询传输回到服务器计算机102。一旦服务器计算机102接收到响应，风险分析模块104就将相同的散列函数应用于与同特定批准者相关联的秘密密钥的副本组合的质询数据。如果如此得到的值与由硬件安全令牌604发送的响应匹配，则认证了批准者的身份。
[0110]
在一些实施例中，响应于硬件安全模块105判断为在满足用于对加密资产交易进行背书的规定数量时从多个用户装置108接收到了加密资产交易的背书，服务器计算机102将批准请求传输到计算机装置608。各用户装置108与加密资产托管系统100的不同用户相关联，并且该规定数量是由硬件安全模块105中所存储的策略指定的。参考图1、图3a、图3b、图4和图5更详细地示出和描述了完成规定数量的背书用户的处理。
[0111]
响应于判断为从硬件安全令牌604接收到的安全密钥有效，硬件安全模块105使用硬件安全模块105中所存储的加密密钥对加密资产交易进行签名。加密密钥是与加密资产交易相关联且可用于控制对加密资产的访问的非对称加密密钥对中的私钥。参考图1、图2a和图2b更详细地示出和描述了利用非对称加密密钥对中的私钥对加密资产交易进行签名。服务器计算机102使用加密密钥对加密资产进行加密资产交易。
[0112]
参考图1更详细地示出和描述了数据存储设施106。数据存储设施106可以包括一个或多于一个数据库，该一个或多于一个数据库可以是或包括关系数据库或者用于以组织方式存储加密资产托管系统100的数据的任何其他类型的机构，其中数据可以是结构化数据和/或非结构化数据。
[0113]
图7示出用于加密资产托管系统100的风险缓解的处理700。参考图1和图6更详细地示出和描述了加密资产托管系统100。在一些实施例中，图7的处理700由加密资产托管系统100进行。在其他实施例中，其他实体(例如，计算机装置608)进行处理700的步骤中的一部分或全部。参考图6更详细地示出和描述了计算机装置608。同样，实施例可以包括不同的和/或附加的步骤，或者以不同的顺序进行步骤。
[0114]
加密资产托管系统100使用服务器计算机102来传输(704)对与加密资产相关联的加密资产交易的批准请求。该批准请求是根据加密资产托管系统100的硬件安全模块105中所存储的策略而传输的。硬件安全模块105可通信地耦接到服务器计算机102。策略可以指定(1)在可以进行加密资产交易之前必须批准加密资产交易的最小数量的批准者、(2)需要批准的至少一个特定批准者、或者(3)必须接收到所有批准的最大时间段。批准请求被传输到与特定批准者相关联的至少一个计算机装置608。计算机装置608通过网络109与加密资产托管系统100进行通信。批准请求使得计算机装置608提示特定批准者批准加密资产交易。
[0115]
加密资产托管系统100使用服务器计算机102从与特定批准者相关联的硬件安全令牌604接收(708)安全密钥。安全密钥表示加密资产交易的批准。对于加密资产交易的每次批准，将安全密钥传输到加密资产托管系统100。硬件安全令牌604可以是数个硬件安全令牌其中之一。在这种情况下，各硬件安全令牌生成不同的安全密钥。多于一个硬件安全令牌可以与特定批准者相关联，使得需要多于一个安全密钥来认证特定批准者。在一些实施
例中，各硬件安全令牌与加密资产托管系统100的不同批准者相关联。不同的批准者包括所需的特定批准者。
[0116]
加密资产托管系统100使用加密资产托管系统100的风险分析模块104来基于安全密钥认证(712)特定批准者的身份。风险分析模块104可通信地耦接到服务器计算机102。在一些实施例中，风险分析模块104基于加密资产交易的上下文来生成加密认证质询。加密认证质询被传输到计算机装置608或硬件安全令牌604。从硬件安全令牌604接收到的安全密钥是由硬件安全令牌604生成的对加密认证质询的响应。例如，硬件安全令牌604从服务器计算机102接收到质询。硬件安全令牌604通过将加密散列函数应用于与同特定批准者相关联且存储在安全指定位址空间612中的秘密密钥组合的来自服务器计算机102的质询来计算响应。硬件安全令牌604将响应以及原始质询传输回到服务器计算机102。一旦服务器计算机102接收到响应，风险分析模块104就将相同的散列函数应用于与同特定批准者相关联的秘密密钥的副本组合的质询数据。如果如此得到的值与由硬件安全令牌604发送的响应匹配，则认证了批准者的身份。
[0117]
响应于对特定批准者的身份的认证，加密资产托管系统100使用硬件安全模块105以使用硬件安全模块105中所存储的加密密钥来对加密资产交易进行签名(716)。加密密钥是与加密资产交易相关联且可用于控制对加密资产的访问的非对称加密密钥对中的私钥。
[0118]
加密资产托管系统100使用服务器计算机102来使用加密密钥对加密资产进行(720)加密资产交易。例如，加密资产交易的地址与加密资产托管系统100中属于客户的其他地址一起存储在集合(被称为客户的“保险库”)中。加密资产被表示为可以保持一定数额的资产类型(例如，比特币、以太坊)的保险库内的槽。
[0119]
图8是示出可用于实现加密资产托管系统100或用户装置108中的一部分或全部的处理系统800的硬件架构的示例的高级框图。加密资产托管系统100可以包括诸如图8所示等的架构的一个或多于一个实例，其中多个这样的实例可以经由一个或多于一个专用网络彼此耦接。
[0120]
例示的处理系统800包括包含cpu 810的一个或多于一个处理器、一个或多于一个存储器811(其至少一部分可被用作工作存储器，例如随机存取存储器(ram))、一个或多于一个数据通信装置812、一个或多于一个输入/输出(i/o)装置813、以及一个或多于一个大容量存储814，所有这些经由互连器815彼此耦接。互连器815可以是或包括一个或多于一个导电迹线、总线、点对点连接、控制器、适配器、以及/或者其他传统连接装置。各处理器810控制处理装置800的操作的一部分，并且可以是或包括例如一个或多于一个通用可编程微处理器、数字信号处理器(dsp)、移动应用处理器、微控制器、专用集成电路(asic)或可编程门阵列(pga)等、或者这样的装置的组合。
[0121]
各存储器811可以是或包括一个或多于一个物理存储装置，其可以采用ram、只读存储器(rom)(其可以是可擦除和可编程的)、闪速存储器、小型硬盘驱动器或其他合适类型的存储装置、或者这样的装置的组合的形式。各大容量存储814可以是或包括一个或多于一个硬盘驱动器、数字多功能盘(dvd)、或者闪速存储器等。各存储器811和/或大容量存储814可以(单独或共同)存储对(一个或多于一个)处理器810进行配置以执行用以实现上述技术的操作的数据和指令。各通信装置812可以是或包括例如以太网适配器、线缆调制解调器、wi-fi适配器、蜂窝收发器、基带处理器、或者蓝牙或蓝牙低功耗(ble)收发器等、或者它们
的组合。根据处理系统800的特定性质和用途，各i/o装置813可以是或包括诸如显示器(其可以包括透明ar显示面)、音频扬声器、键盘、鼠标或其他指示装置、麦克风、照相机等的装置。然而，注意，如果处理装置800仅被体现为服务器计算机，则这样的i/o装置可能是不必要的。
[0122]
在用户装置的情况下，通信装置812可以是或包括例如蜂窝电信收发器(例如，3g、lte/4g、5g)、wi-fi收发器、基带处理器、或者蓝牙或ble收发器等、或者它们的组合。在服务器的情况下，通信装置812可以是或包括例如上述类型的通信装置、有线以太网适配器、线缆调制解调器或dsl调制解调器等中的任一个、或者这样的装置的组合。
[0123]
除非与物理可能性相反，否则设想：(i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤；以及(ii)可以以任何方式组合各个实施例的组件。
[0124]
上述机器实现的操作可以通过由软件和/或固件编程/配置的可编程电路实现，或者完全通过专用(“硬连线”)电路实现，或者通过这些形式的组合实现。这种专用电路(如果有的话)可以采用例如一个或多于一个专用集成电路(asic)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、片上系统(soc)等的形式。
[0125]
用以实现这里介绍的技术的软件或固件可以存储在机器可读存储介质上，并且可以由一个或多于一个通用或专用可编程微处理器执行。在本文中使用术语“机器可读介质”时，“机器可读介质”包括可以以机器(机器可以是例如计算机、网络装置、蜂窝电话、个人数字助理(pda)、制造工具、具有一个或多于一个处理器的任何装置等)可访问的形式存储信息的任何机构。例如，机器可访问介质包括可记录/不可记录的介质(例如，ram或rom；磁盘存储介质；光存储介质；闪速存储器装置；等等)等。
[0126]
如本文所使用的术语“逻辑”意味着：i)专用硬接线电路，诸如一个或多于一个专用集成电路(asic)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、或(一个或多于一个)其他类似装置等；ii)用软件和/或固件编程的可编程电路，诸如一个或多于一个编程的通用微处理器、数字信号处理器(dsp)和/或微控制器、片上系统(soc)、或者(一个或多于一个)其他类似装置等；或者iii)在i)和ii)中所述的形式的组合。
[0127]
如本领域普通技术人员将显而易见，上述特征和功能中的任何或全部可以彼此组合，除了以上另外陈述的程度、或者任何这样的实施例借助于它们的功能或结构可能不兼容的程度之外。除非与物理可能性相反，否则设想：i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤；以及(ii)可以以任何方式组合各个实施例的组件。
[0128]
尽管已经用特定于结构特征和/或行为的语言描述了本主题，但应当理解，在所附权利要求书中定义的主题不一定局限于上述的具体特征或行为。相反，上述的具体特征和行为被公开为实现权利要求书的示例，并且其他等同的特征和行为也意图在权利要求书的范围内。
[0129]
在先前描述中，已经参考许多具体细节描述了实施例，这些具体细节可因实现而不同。因此，说明书和附图应被视为说明性的，而非限制性意义的。实施例范围的唯一且排他的指示、以及申请人期望是实施例范围的内容是以发布权利要求书的具体形式从本技术发布的权利要求书的字面和等同范围，包括任何后续修正。本文中明确阐述的用于被包括在此类权利要求中的术语的任何定义应当以此类术语如在权利要求书中所使用的意义为准。另外，当在先前的说明书或所附权利要求书使用术语“还包括”时，该短语的下文可以是
附加的步骤或实体、或先前所述的步骤或实体的子步骤/子实体。