使用来自多个移动装置的数据点的加密资产托管系统的风险缓解的制作方法

使用来自多个移动装置的数据点的加密资产托管系统的风险缓解
1.相关申请的交叉引用
2.本技术要求2019年9月20日提交的美国专利申请16/577,361和2019年8月20日提交的美国临时申请62/889,381的权益。
技术领域
3.本说明书通常涉及加密资产托管系统的风险缓解。


背景技术：

4.近年来，诸如比特币(bitcoin)、以太坊(ethereum)和瑞波币(ripple)等的加密货币已开始普及并获得价值，并且许多人期望继续如此。每天基于加密货币进行的交易的种类越来越多，并且可以想象，将来可能产生新类型的加密的加密资产，即不一定是货币的加密资产。
5.随着加密资产的使用越来越多，需要可以安全地存储大量加密资产并且控制对这些加密资产的访问的可信托管系统。事实上，美国证券法规要求代表另一方持有超过一定数额资金(例如，1.5亿美元)的某些实体使用托管机构来持有这些资金。有时使用硬件钱包和其他形式的“冷存储”来存储加密货币，然而，这些装置将访问仅限制到装置的所有者，因此不适合许多商业用途，其中在这些商业用途中，许多个人可能需要访问加密资金或其他加密资产。


技术实现要素：

6.本说明书描述加密资产托管系统(有时称为“ccs”)的风险缓解。用于加密资产托管系统的风险缓解的方法、系统和设备包括：服务器计算机，其被配置为传输对要由所述服务器计算机在区块链上进行的加密资产交易的背书请求。所述背书请求可被传输到与所述加密资产托管系统的用户相关联的用户装置。所述背书请求可被配置为使得所述用户装置提示所述用户对所述加密资产交易进行背书。所述服务器计算机可以接收多个数据点，所述多个数据点是从可通信地耦接到所述用户装置且与所述用户相关联的一个或多于一个移动装置收集的。所述数据点可以表示所述用户的身份。风险分析模块可通信地耦接到所述服务器计算机。所述风险分析模块可以在风险评审仪表板上基于所述数据点来生成风险度量的图形可视化。所述风险度量表示从所述用户装置接受所述加密资产交易的背书的风险。
7.这些和其他方面、特征以及实现可被表示为用于进行功能的方法、设备、系统、组件、程序产品、部件或步骤，并且可以以其他方式表示。
8.这些和其他方面、特征以及实现通过包括权利要求书的以下说明将变得明显。
附图说明
9.图1示出加密资产托管系统的示例框图。
10.图2a是示出利用加密资产托管系统的存入(deposite)处理流程的示例的示意图。
11.图2b是示出该存入处理流程的示例的流程图。
12.图3a是示出利用加密资产托管系统的取出(withdrawal)处理流程的示例的示意图。
13.图3b是示出该取出过程流程的示例的流程图。
14.图4是示出硬件安全模块结合所请求的操作所进行的处理的示例的流程图。
15.图5是示出用于使用离线用户装置对所请求的交易进行背书(endorse)的处理的示例的流程图。
16.图6示出使用来自移动装置的数据点进行风险缓解的加密资产托管系统的示例框图。
17.图7示出从移动装置收集的数据点的趋势。
18.图8示出用于加密资产托管系统的风险缓解的处理。
19.图9是示出可用于实现加密资产托管系统或用户装置的一部分或全部的处理系统的硬件架构的示例的高级框图。
具体实施方式
20.在以下说明中，为了解释的目的，阐述了许多具体细节以便提供对所公开的实施例的全面理解。然而，显而易见，可以在没有这些具体细节的情况下实践这些实施例。
21.在附图中，为了便于说明，示出了示意要素(诸如表示装置、模块、指令块和数据要素的要素等)的具体布置或排序。然而，本领域技术人员应当理解，附图中的示意要素的特定排序或布置并不意在意味着需要处理的特定顺序或序列或者过程的分离。此外，在附图中包括示意要素并不意在意味着在所有实施例中都需要这种要素、也不意味着在一些实施例中由这种要素表示的特征可以不包括在其他要素中或可以不与其他要素组合。
22.此外，在附图中，在连接要素(诸如实线或虚线或箭头等)用于例示两个或多于两个其他示意要素之间的连接、关系或关联时，没有任何这种连接要素并不意在意味着不能存在连接、关系或关联。换句话说，要素之间的一些连接、关系或关联未在附图中示出，以便不使本公开内容模糊。另外，为了便于例示，可以使用单个连接要素来表示要素之间的多个连接、关系或关联。例如，在连接要素表示信号、数据或指令的通信的情况下，本领域技术人员应理解，这种要素表示影响通信可能需要的一个或多个信号路径(例如，总线)。
23.现在将详细参考实施例，其示例在附图中例示出。在以下的详细说明中，阐述了许多具体细节，以便提供对所描述的各种实施例的全面理解。然而，本领域普通技术人员将显而易见，可以在没有这些具体细节的情况下实施所描述的各种实施例。
24.以下说明数个特征，其中这些特征各自可以彼此独立地使用、或者与其他特征的任何组合一起使用。然而，任何单独的特征可能无法解决以上论述的问题中的任何问题，或者可能仅解决以上论述的问题其中之一。以上论述的问题中的一部分问题可能无法通过本文所述的特征中的任何特征来完全解决。尽管提供了标题，但与特定标题相关但未在具有该标题的部分中找到的信息也可以在本说明书的其他部分找到。
25.图1示出加密资产托管系统100的示例框图。加密资产托管系统100是用于维护加密货币和/或其他加密资产的托管并且控制对加密货币和/或其他加密资产的访问的计算机实现的系统。加密资产托管系统100可以由商业企业(在这里被称为加密资产托管机构)拥有和/或运营。加密资产托管系统100包括多层安全，以使得能够以安全方式维护大量加密资产。在某些实施例中，加密资产托管系统100包括基于生物特征识别的多用户验证、交易风险分析、以及使用硬件安全模块105来提供认证/验证功能以及加密资产的私钥的安全存储的组合。此外，可以将两个或多于两个不同的生物特征认证技术应用于任何给定的交易请求。如本文所使用的，术语“硬件安全模块”是指用于保护和管理认证所用的数字密钥并提供加密处理功能的专用物理计算装置。硬件安全模块105可被体现为插入卡或者直接附接至计算机的外部装置。
26.在某些实施例中，当用户装置108请求涉及加密资产的交易(诸如加密货币资金的取出或转移等)时，加密资产托管系统100使得将背书请求消息发送至多个用户装置108中的各用户装置，其中各用户装置与已被定义为针对涉及该加密资产的交易的规定数量(quorum)的合格成员的不同用户相关联(在其他实施例中，多个用户可以共用同一用户装置108)。该背书请求消息被配置为使得各接收用户装置108提示其背书人/用户提供所请求的交易的加密背书。这种上下文中的背书是背书人/用户对操作的批准或拒绝。当接收到这样的提示的背书人/用户在他或她的用户装置108(例如，智能电话、平板或笔记本计算机)上对交易进行背书时，该用户装置108用该用户的私钥对加密背书进行签名，并将已签名的背书传输至加密资产托管系统100。该私钥存储在用户装置108内的安全指定位址空间114中。各用户装置108中的安全指定位址空间114用于存储相应用户的私钥并生成该用户的数字签名。
27.硬件安全模块105判断基于策略的规定数量的多个用户是否背书(批准)了所请求的动作，诸如加密货币资金的取出或转移等。在从用户接收到的加密背书中，硬件安全模块105针对各个用户使用公钥-私钥对中的私钥生成签名并使用公钥验证签名。在一个实现中，仅在判断为基于策略的规定数量的多个用户已有效地背书了所请求的动作之后，硬件安全模块105才允许自身访问或导出该特定加密资产的私钥(例如，供加密货币基金的特定存入用)，并且使用该私钥来对交易进行签名作为交易可以继续进行的授权。
28.可以使用客户端密钥来访问或导出特定加密资产的私钥(有时称为“加密密钥”)，并且可以从一个或多于一个用户装置上所存储的供客户端的授权代表用的加密客户端密钥来导出客户端密钥。加密客户端密钥可以被传输到硬件安全模块105，并且硬件安全模块可以通过使用硬件安全模块105的安全存储装置内所存储的基于硬件的加密密钥对加密客户端密钥进行解密来从加密客户端密钥导出客户端密钥。硬件安全模块105的安全存储装置107内的基于硬件的加密密钥仅存储在硬件安全模块105中，因此基于硬件的加密密钥不能被硬件安全模块105外部的任何实体读取。交易的批准例如可以包括将交易传输到已知的区块链网络上。在某些实施例中，硬件安全模块105对交易的批准仅在所请求的交易通过了可能是部分或完全自动化的风险评审的情况下和之后才发生。这里所介绍的系统和技术还可用于除加密资产之外的其他类型的数字资产的安全托管。
29.现在参考图1，其示出加密资产托管系统100的高级框图。在所示的实施例中，加密资产托管系统100包括服务器计算机102、中继服务器103、风险分析模块104、硬件安全模块
105和数据存储设施106。数据存储设施106可以包括一个或多于一个数据库，该一个或多于一个数据库可以是或包括关系数据库或者用于以组织方式存储数据的任何其他类型的机构，其中数据可以是结构化数据和/或非结构化数据。硬件安全模块105还包括自身的内部安全存储设施107。注意，在加密资产托管系统100中可以存在上述组件中的各组件的多个实例，尽管示出各组件的仅一个实例以简化说明。一个或多于一个用户装置108(也称为“客户端”)可以经由诸如因特网等的公共计算机网络109与加密资产托管系统100进行通信。各个用户装置108可以是例如智能电话、平板计算机、膝上型计算机和台式计算机等中的任一个。各用户装置108可以包括诸如基于ios的安全指定位址空间等的安全指定位址空间114，该安全指定位址空间114用于存储相应用户的私钥并且生成该用户的数字签名。在至少一些实施例中，各用户装置108与不同的用户相关联，并且之后的说明书采用这样的实施例来便于说明。然而，注意，可以具有多个用户共用同一用户装置108的实施例。
30.在一些实施例中，中继服务器103用作跨越物理气隙的桥，以将硬件安全模块105与公共计算机网络109隔离。在其他实施例中，中继服务器103用作虚拟气隙，以将硬件安全模块105与公共计算机网络109隔离。中继服务器104和硬件安全模块105在安全区110内工作。硬件安全模块105可以从物理上驻留在无法直接访问任何外部网络的物理上安全的数据中心内。硬件安全模块105和服务器计算机102之间的消息在半双工连接上路由到安全区110中的中继服务器103。中继服务器103在与服务器计算机102进行通信时使自身从安全网络断开，并且在与硬件安全模块105进行通信时使自身从所有的外部网络断开，使得不能从外部建立与这些装置的交互式会话。中继服务器103为关键基础设施提供了“气隙”安全。
31.在某些实施例中，加密资产托管系统100还可以访问与加密资产托管系统100具有托管权的加密资产相对应的至少一个区块链网络111。对区块链网络111的访问可以经由公共计算机网络109(例如，因特网)。
32.在一些实施例中，加密资产托管系统100的客户所提交的各交易均将经历可以是部分或完全自动化的风险分析模块104。例如，在加密资产托管系统100的一些实施例中，自动风险分析软件可以决定所提议的交易是否是可接受的。风险分析代理或软件可以遵循在各单独保险库上设置的策略，并且可以查看各种风险信号(例如，交易金额、授权该交易的用户的数量、请求和批准交易的(一个或多于一个)位置、目的地地址)中的任何风险信号，以计算可能导致批准交易或请求更多信息的最终风险度量。
33.图2a是示出利用加密资产托管系统100的存入处理流程的示例的示意图。图2b是示出存入处理流程的示例的流程图。在一些实施例中，存入是由客户通过在客户的用户装置108上执行的软件应用(因此称为“加密资产托管系统应用”)经由因特网来发起的。在一些实施例中，存入操作的发起是使用web仪表板来进行的。存入请求的这种发起可能需要对加密资产托管系统应用进行加密背书。在一些实施例中，存入请求的发起不需要加密背书。
34.存入的发起可以通过客户在加密资产托管系统应用中选择加密资产类型并请求给定数额的存入来进行。一旦发起，对区块链存入地址的请求被发送至服务器计算机102，该服务器计算机102接收到该请求(步骤201)，并且将请求经由中继服务器103转发(步骤202)到硬件安全模块105(如上所述，硬件安全模块105通过中继服务器103与因特网隔离)。硬件安全模块105生成(步骤203)新的公钥-私钥对221以唯一地对应于该存入，即对应于所请求的区块链地址。在某些实施例中，硬件安全模块105使用相关组织的私钥以及密钥导出
函数(kdf)来生成针对区块链地址的新密钥对。如以下进一步论述的，这种上下文中的“组织”是与特定客户相对应的数据结构。在一个实现中，新生成的密钥对中的私钥不能从硬件安全模块105中提取，但可以安全地备份在加密文件中。在该实现中，硬件安全模块105内部的密钥生成确保了私钥221仅存在于硬件安全模块105内，在世界上任何其他地方都不可用，并且不能由硬件安全模块105外部的任何实体访问。
35.接着，硬件安全模块105根据新创建的密钥对中的公钥来生成(步骤204)存入所用的区块链地址。可以使用区块链地址的公钥的特定于区块链的变换。硬件安全模块105用组织的私钥对区块链地址进行签名(步骤205)，并将已签名的区块链地址返回到服务器计算机102。服务器计算机102使得(步骤206)将已签名的区块链地址222发送至客户的用户装置108，以使得用户装置108以易于使用和可共享的格式(例如，作为qr码)在用户装置108上的加密资产托管系统应用中向客户呈现该地址，以用作区块链交易中的目的地地址。用户装置108上的加密资产托管系统应用在将地址呈现给客户之前核实(步骤207)地址的签名。
36.客户的用户装置108使用组织的公钥(该公钥是先前从加密资产托管系统100接收到并本地存储的)来核实该用户装置108从加密资产托管系统100接收到的区块链地址的真实性。客户发起(步骤208)交易以将加密资产存入到加密资产托管系统100中。该交易可以是从交易所、从客户的个人钱包、或者从其他加密资产商店发起的。加密资产无需确认即可出现在加密资产托管系统100中。
37.存入的地址与加密资产托管系统100中属于客户的其他地址一起存储在集合(被称为客户的“保险库”)中。这种上下文中的保险库是包含加密资产和策略图的数据实体，该策略图包含用于管理从这些加密资产的存入和取出以及相关的区块链管理动作的一个或多于一个策略。例如，管理动作可以包括委托、质押和投票。策略可以管理对与加密资产有关的交易的参与。加密资产被表示为可以保持一定数额的加密资产类型(例如，比特币、以太坊)的保险库内的槽。一旦利用加密资产托管系统100托管并存储，加密资产就完全在加密资产托管系统100的控制下。
38.服务器计算机102判断客户是否在所定义的时间段内确认了交易(步骤209、210)。一旦存入交易由客户确认并且在区块链上被确认，服务器计算机102就向客户通知(步骤211)该情况，并且加密资产被视为由加密资产托管系统100托管。在所定义的时间段内未接收到确认的情况下，服务器计算机102向客户通知(步骤212)交易中的错误。
39.图3a是示出利用加密资产托管系统100的取出处理流程的示例的示意图。图3b是示出该取出处理流程的示例的流程图。图3a和图3b示出取出一定数额的先前存入的加密资产(诸如加密货币等)的处理的示例。可以通过选择要取出的特定加密资产和数额来从用户装置108a上的加密资产托管系统应用发起取出。一旦发起，使授权方知晓取出请求。在一个实现中，要求规定数量的授权客户或用户在他们的移动装置108a和108b上单独授权取出请求。在一些实施例中，要求一个或多于一个“被要求的”客户或用户授权取出请求。该一个或多于一个“被要求的”客户或用户可以是规定数量的一部分。在一些实施例中，必须满足所定义的规定数量，并且所有“被要求的”用户必须授权了交易。在一些实施例中，可以实现针对“被要求的”用户的条件定义。例如，“如果usd估值高于100万美元或者如果在给定时间交易金额超过加密资产的持有量的50％，则需要joe doe”。在其他实施例中，针对要满足的“策略”配置附加要求的批准或条件。
40.在该处理期间，要求授权用户评审交易并批准交易，其中各用户的批准均可以经过生物特征认证(例如，指纹、面部识别和/或语音识别)。在某些实施例中，在取出可以成功地继续移动到下一阶段之前，每个请求都被发送到风险分析模块104，以便对可疑活动进行检查并被授权为合法。硬件安全模块105可以验证为所定义的规定数量(例如，大多数、25％或33％)的用户授权了交易，并且该交易由风险评审模块104批准。例如，对于拥有需要转移资金能力的五名不同雇员的给定公司客户，适当的规定数量配置可能是需要来自这五名雇员中的三名组成的组的经验证的批准以移动任何资金。一旦硬件安全模块105验证了与包括任何规定数量要求的策略图的合规性，硬件安全模块105就通过用账户持有者的私有加密资产特定密钥对所请求的交易进行签名来授权所请求的交易(例如，所请求的取出)。服务器计算机102将已签名的加密资产移动交易提交给区块链111。
41.在图3b中进一步示出取出处理的示例。服务器计算机102最初从客户接收到(步骤301)取出请求331。服务器计算机102检查(步骤302)针对作为交易的对象的加密资产的批准策略(如在加密资产的保险库中所示)，以确定哪些个人的授权(背书)可用于满足用以批准该取出的规定数量。服务器计算机102将背书请求发送(步骤303)至这些个人的移动装置108a、108b(这些移动装置先前已在加密资产托管系统100中注册)。响应于这些请求，可以从用户的移动装置108a、108b接收到一个或多于一个加密背书，其中如以下进一步所述，这些加密背书由在用户各自的移动装置中安全地存储的这些用户各自的私钥来进行本地签名，并且经过一个或多于一个生物特征认证技术。因此，如在针对加密资产的策略中指定的，服务器计算机102判断(步骤304)在超时时间段内是否接收到规定数量的授权并且是否认证了相应的授权方。如果为“是”，则服务器计算机102将交易请求331传递(步骤305)到风险分析模块104。否则，服务器计算机将交易拒绝通知至少发送(步骤310)至请求了该交易的用户(以及可能地发送至在针对加密资产的策略中识别的所有其他用户)。
42.风险分析模块104进行如上所述可以是完全或部分自动化的风险分析(步骤306)。如果交易通过风险分析(步骤306)，则控制流程传递到硬件安全模块105，该硬件安全模块105通过进行与步骤304相同的判断或类似的判断，核实(步骤308)是否满足了规定数量要求，风险分析模块104也是如此(步骤306)(以下进一步描述)。如果硬件安全模块105核实为满足规定数量，则硬件安全模块105利用区块链地址的私钥对取出交易进行签名。服务器计算机102将该交易提交到区块链111上以执行取出(步骤309)。否则，硬件安全模块105向服务器计算机102以信号方式发送失败，该服务器计算机102作为响应将交易拒绝通知至少发送(步骤310)至请求该交易的用户(以及可能地发送至在针对加密资产的策略中识别出的所有其他用户)。
43.如上所述，当用户对交易请求进行背书时，用户可以由他们的移动装置和/或加密资产托管系统100进行一个或多于一个形式的认证，以确定这些用户是采取动作的预期人员。这些认证形式可以包括一个或多于一个生物特征认证技术，诸如指纹核实、声纹核实、语音识别、面部识别和/或姿势识别等。用户的移动装置(例如，智能电话)可以进行这些认证技术中的一个或多于一个。
44.附加地或可选地，还可以要求用户将他们的移动装置所拍摄到的视频上传到加密资产托管系统100，其中例如通过以下可以从该视频中证明用户的身份：对照已知面部的图像(例如，用户的以前视频)来识别视频中的用户的面部；对照用户的经训练的语音配置文
件来识别视频中的用户的语音；基于交易来要求用户在视频中说出特定词语或采取特定动作(参见以下的进一步论述)；要求用户作出先前指定的姿势、或者在痛苦时做出痛苦姿势；要求用户在视频上识别用户处于的预期房间；以及/或者进行被认为是提高用户是他或她声称是谁的置信度水平的任何其他动作。
45.当判断为有必要时，可以要求用户完成质询，以证实他或她实际上是被授权对交易采取动作的人。这些质询可以是基于交易的上下文而确定性地生成的。例如，基于交易中的诸如id、数额或目的地等的关键信息，加密资产托管系统100可以生成可用于从已知词语集中选择几个(例如，三到五个)词语的随机数。加密资产托管系统100可以将这些词语呈现给用户，并让用户在用户的移动装置所拍摄到的视频中说出这些词语，用户的移动装置将该视频传输到加密资产托管系统100。在评审交易时，评审机构可以基于交易数据来独立地生成预期词语，并且核实为用户说出了这些词语。该视频也可以经受面部和/或语音识别。通过进行该确定性质询生成，可以防止攻击者通过拍摄并重用来自用户的先前传输的认证视频来伪造交易。
46.图4是示出硬件安全模块105结合所请求的操作所进行的处理的示例的流程图。硬件安全模块105的主要作用是核实操作的有效性。硬件安全模块105通过硬件安全模块105对密钥的特权访问来执行签名者的意愿并且认证了签名者是操作的授权方。对交易进行签名所需的至少一个密钥安全地存储在硬件安全模块105中，并且永远不会离开。在一些实施例中，硬件安全模块105通过安全执行环境(see)来加强这些策略，该see运行除了对硬件安全模块105的物理访问以外不能更改的代码，并且需要由加密资产托管机构的多名员工安全地持有的智能卡集。
47.在某些实施例中，为了促进上述功能，硬件安全模块105在其内部存储107中存储被称为“组织”的数据结构的多个实例，即针对加密资产托管机构的各客户存储一个实例。在一个实现中，组织数据结构可以包含以下的字段：组织的标识符(id)、组织的名称、组织的公钥、属于组织的用户的列表、策略图、属于组织的保险库及其各自的策略图的列表、以及在每次更新组织结构时递增的生成编号。“策略图”是包括针对可以执行的各可能动作(例如，添加用户或改变保险库策略)的一个策略的策略集。组织数据结构由硬件安全模块105使用该组织的私钥(其不能由任何外部实体读取)签名，以表示组织数据结构是通过由用户和风险评审人员授权的一组有效的改变而产生的。在一些实施例中，硬件安全模块105跟踪最新版本以防止回滚攻击。在其他实施例中，硬件安全模块105的代码是版本化的，并且在升级过程中存在检查以防止回滚攻击。
48.为了加入新客户，硬件安全模块105创建新的组织实例。为了帮助确保充分安全，硬件安全模块105可以针对所请求的用户集来创建该组织。在一些实施例中，硬件安全模块105针对所创建的每个新组织来生成新的唯一密钥。因而，由于每个组织均具有唯一的组织密钥，因此防止了攻击者试图欺骗或复制现有组织的身份(id)。
49.图4示出在至少一些实施例中、可以由硬件安全模块105响应于用以执行操作的请求而进行的处理的示例。该请求可以由硬件安全模块105从中继服务器103接收到。最初，硬件安全模块105从中继服务器103接收(步骤401)指定组织的操作描述。该操作描述是描述所请求的操作(诸如所请求的加密货币的存入、取出或转移等)的一组数据和元数据。硬件安全模块105核实(步骤402)所指定的组织的完整性。
50.硬件安全模块105在组织或保险库的策略图中查找策略(步骤403)。硬件安全模块105查看内部风险评审人员的策略，以确定必须实现哪些内部风险背书以及多少内部风险背书(即，加密资产托管机构的人员的背书)(步骤404)。硬件安全模块105可以判断(步骤405)(从用户)接收到的加密背书中的任何背书是否表示“拒绝(reject)”所请求的操作。如果“是”，则硬件安全模块105可以通过向中继服务器返回“拒绝”消息来拒绝所请求的操作(步骤411)，中继服务器将相应的“拒绝”消息返回到服务器计算机，以使得向请求方进行通知。硬件安全模块105不费心地检查任何进一步的签名，并且仅拒绝该操作。
51.硬件安全模块105判断(步骤406)所有接收到的针对交易的加密背书是否有效。该判断包括：通过检查以下内容来核实所提供的加密背书的有效性：i)用户在组织中；ii)签名对于所指定的操作而言是正确的；以及iii)各个签名具有“批准”决定。如果并非所有接收到的针对交易的加密背书都是有效的，则处理进入如上所述的步骤411。
52.如果所有接收到的针对交易的加密背书都是有效的，则硬件安全模块105判断(步骤407)加密背书是否满足对象加密资产的相关策略(即，满足所指定的规定数量)。如果有效的加密背书不满足该策略，则处理进入如上所述的步骤411。如果加密背书满足该策略，则硬件安全模块105判断(步骤408)所请求的操作是否通过风险分析模块104。如果为“否”，则处理进入如上所述的步骤411。如果所请求的操作通过了风险分析模块104，则硬件安全模块105判断(步骤409)所请求的操作是否有效。该判断步骤可以包括：核实为操作在内部是一致的，并且可以将操作应用于该操作所针对的组织、保险库或加密资产。如果所请求的操作无效，则处理进入如上所述的步骤411。否则，硬件安全模块105执行(步骤410)所请求的操作(或触发使得执行该操作的动作)。用以改变组织、保险库或策略的操作产生了具有更高的生成值和应用了改变的新的已签名的组织数据结构。用以取出加密资产的操作使得硬件安全模块105利用与对象加密资产相对应的私钥对区块链交易进行签名。用以存入加密资产的操作使得硬件安全模块105生成存入地址。
53.图5是示出用于使用离线用户装置对所请求的交易进行背书的处理的示例的流程图。作为用于降低用户与他们的个人装置上的加密资产托管系统应用交互的风险的方法，加密资产托管系统100可能需要来自离线装置的授权。该离线装置(诸如具有安全指定位址空间的消费者电话或者ipod touch或个人数字助理等的类似功能的计算装置等)将在其正常状态下与因特网完全断开，并且以离线方式用于对授权所需的交易进行签名。
54.可以如下执行该处理。用户的电话或类似装置是他或她的保险库策略的规定数量的成员并且未连接至任何无线或蜂窝网络。该装置运行与用于使得用户能够对所请求的交易进行背书的加密资产托管系统应用软件类似的软件、或者以不同模式工作的相同软件。用户通过规定数量中的不同装置发起针对他或她的保险库的交易。诸如其他电话或web浏览器等的在线装置有权访问该交易。在线装置可以是规定数量中的其他电话/安全装置，或者在线装置可以仅仅为了显示交易而存在。装置能够将需要由离线装置签名的数据传输至离线装置。该传输可以通过不能通过因特网访问的通道(诸如显示qr码、播放对数据进行编码的声音或声音序列、或者通过蓝牙(bluetooth)传输等)来实现。离线装置显示为了离线装置签名所传输的数据，以供用户批准或拒绝。离线装置基于用户的期望动作来对操作的背书进行签名。离线装置以与接收方式类似的方式(例如，显示qr码、播放对数据进行编码的声音或声音序列、或者通过蓝牙传输)将其已签名的有效载荷通信回至在线装置。在线装
置将已签名的决定有效载荷通信回至加密资产托管系统100的服务器计算机。
55.在图5中，在线用户装置经由因特网从加密资产托管系统100接收(步骤501)操作描述。在线用户装置(例如，用户装置108)将该操作描述(或其一部分)使用离线通道传输(步骤502)到离线用户装置。如上所述，离线通道是不能通过因特网访问的通道，诸如利用在线用户装置的本地视觉显示、在线用户装置所生成的声音或声音序列、或者(例如，经由蓝牙)来自在线用户装置的短距离无线传输等。离线用户装置经由离线通道从在线用户装置接收操作描述(步骤503)，并且基于由此接收到的信息，显示操作描述(或其一部分)，并且向用户提示该操作的背书(步骤504)。如果离线装置在超时时间段内接收到有效背书作为用户输入(步骤505)，则离线装置将“接受(accept)”消息经由该离线装置接收到操作描述的同一离线通道或者经由不同的离线通道发送至在线用户装置(步骤506)。在线用户装置从离线装置接收到加密背书的结果(步骤507)，并且将结果有效载荷经由因特网传输到加密资产托管系统(步骤508)。如果离线用户装置在超时时间段内未从用户接收到有效的加密背书(步骤505)，则离线用户装置将“拒绝(reject)”消息经由离线通道传输到在线用户装置，其中在线用户装置进而将该“拒绝”有效载荷经由因特网传输到加密资产托管系统(步骤508)。
56.离线装置可以以其安全密钥预先登记在组织中的状态被交付至用户，或者可以允许离线装置在线以进行初始登记处理，或者离线装置可以通过与授权处理相同的过程来发送其登记。
57.可能需要周期性地更新离线装置上的加密资产托管系统软件。在一些实施例中，为了允许这样的更新，离线装置按预定义的节奏被安排经由wi-fi连接至因特网并更新其软件。在其他实施例中，离线装置检测到作为从在线用户装置接收到要签名的交易的结果(表示离线装置上的软件版本不再兼容)而需要更新其软件。每当该装置在线时，该装置可以记录该装置可以访问因特网这一事实并尝试将该事实传输至加密资产托管系统100以使得该信息可用于由平台在稍后时间评估风险。在其他实施例中，离线装置不需要wi-fi。例如，离线装置连接到能够更新软件的膝上型电脑。
58.除了保持离线之外，离线用户装置以及一个或多于一个在线装置可被限制成仅在预定义信标的范围内对交易采取动作。可以使无线(例如，蓝牙)信标装置对用户可用，并且除非检测到信标可用，否则加密资产托管系统100应用可以拒绝授权交易。
59.提交给加密资产托管系统100的每个交易均记录在内部分类账中，该内部分类账是防篡改的，且允许审计员在每个用户的账户具有每个历史事件的加密证据。区块链加密资产的所有权通过拥有与公用钱包地址相对应的私钥来控制。加密资产托管系统100可以通过利用与用户的保险库相对应的私钥对审计员所选择的一串随机选择文本进行签名来向审计员证明这些加密资产的所有权。考虑以下示例：
60.审计员希望看到加密资产托管系统100有权访问由地址“1bvbmseystn5au4m4gfg7yjanvn2”标识的钱包中的资金的证据。因此，审计员随机地生成长字符串(例如，“xgg8vqfnd8qdwhz6uj1gx”)，并且提交以下质询：
61.{
62.地址：1bvbmseystn5au4m4gfg7yjanvn2,
63.令牌：“audit-challenge-xgg8vqfnd8qdwhz6uj1gx”,
64.}
65.加密资产托管系统100接收质询并将该质询作为预定义的模板化序列化包转发给硬件安全模块105。硬件安全模块105被编程为接受这样的审计请求(其不是任意的有效载荷，因此不存在随后被解释为已签名的区块链交易的风险)，并且用与所指定的地址相关联的私钥对这些审计请求进行签名。加密资产托管系统100针对审计员可以独立核实的质询返回有效签名。该核实证明了加密资产托管系统100能控制与区块链上的条目相对应的私钥，从而实现对加密资产的控制的证明。
66.在某些实施例中，加密资产托管系统100包括阈值化服务，该阈值化服务使得系统的其他部分(风险分析模块104和硬件安全模块105)能够安全地判断为用户操作和交易遵循了客户特定的业务逻辑，并且已被自动风险评审系统批准。阈值化服务可以核实多重签名(多用户)规定数量。
67.阈值化服务验证由用户发起并批准的操作，以确保这些操作在被执行之前已符合阈值规定数量。这样的操作可以包括交易、或者添加或删除其他用户。不同的用户可以具有不同的访问控制作用(例如，仅查看、仅发起交易、可授权、必需)。加密资产托管系统100能够向每个可报告状况通知规定数量接受生命周期，但不能签署同意未被客户授权的操作。所有动作都被载入日志到仅追加分类账中，以用于所有账户交互的可审计性。
68.阈值化服务的一个功能是核实规定数量的授权用户已签署同意了所请求的操作。可能需要规定数量的合格操作例如可以包括：提出交易(例如，“取出100比特币”)、将用户添加到账户、更改用户的权限、将用户从账户中删除、以及更改阈值化逻辑。规定数量默认情况下可被定义为绝对多数的用户(例如，5个中的3个)，或者规定数量可以在客户加入时被设置为自定义规定数量。此外，授权用户可以配置规定数量，以要求某些特定用户对交易进行背书，以构成规定数量。加密资产托管系统100还可以允许跨多个所需组的阈值化。例如，在公司中，可能要求财务团队的大多数以及管理部门签署同意。
69.在某些实施例中，阈值化服务在其规定数量核实中实现了细粒度访问控制模型，其中不同用户可以具有不同的访问级别，这些访问级别可以包括以下的级别，例如：
[0070]-仅查看
[0071]-这是默认访问级别
[0072]-该级别的用户可以查看所有的加密资产位置
[0073]-该级别的用户可以标记任何交易
[0074]-该级别的用户可以冻结所有加密资产
[0075]-查看-授权
[0076]-该级别的用户可以充当趋向规定数量的动作的授权投票
[0077]-该级别的用户可以查看所有加密资产位置
[0078]-该级别的用户可以标记任何交易
[0079]-该级别的用户可以冻结所有加密资产
[0080]-查看-授权-必须
[0081]-该级别的用户是动作的所需投票
[0082]-该级别的用户可以查看所有加密资产位置
[0083]-该级别的用户可以标记任何交易
[0084]-该级别的用户可以冻结所有加密资产
[0085]
在某些实施例中，用户的访问级别可以仅随着通过阈值化服务核实的适当核实规定数量而改变。
[0086]
如上所述，用户对动作的批准可以由加密数字签名表示，以受益于不可抵赖性保证。加密资产托管机构可以确定持有私钥的关联用户确实是批准该动作的用户，因为数字签名是无法伪造的。在某些实施例中，用户的签名是从用户的移动装置中的ios安全指定位址空间生成的，并且由用户装置108中的ios应用编程接口(api)组件转发到加密资产托管系统100。可以对交易内容的加密散列进行签名，以确保交易无法被篡改。可能需要所有用户对交易标识符(id)相同的相同散列进行签名，以便签名计入规定数量。阈值化服务可以提供供客户端签名的模板，并且可以核实ios客户端所完成的所有已完成签名。在至少一些实施例中，阈值化服务用用户签名密钥的公共组件核实签名，但不持有这些用户签名密钥的私有组件。
[0087]
一旦满足了阈值，阈值化服务将相应的签名数据发布到风险分析模块104，以由风险分析模块104在签署同意之前进行进一步分析，并且将签名数据序列化为硬件安全模块105签名服务所要消耗的有效载荷。可以将提供给阈值化服务和核实的各附加签名记录在仅追加日志服务中。该记录除了将提供阈值化服务的存储装置中所捕获到的元数据以外，还将提供附加审计和状况更新，这对于向用户客户端提供可消耗的更新将是至关重要的。
[0088]
假定规定数量的授权成员可用于对交易进行加密签名。因此，规定数量应保持“活跃”，即在任何给定时间，加密资产托管系统100都具有规定数量的所有潜在成员都维持拥有他们的安全装置密钥并且可以积极参与交易的合理置信度。在某些实施例中，加密资产托管系统100可以进行以下操作，以实现置信度水平：
[0089]
1.有权访问实现策略的规定数量所需的用户公钥的集合。
[0090]
2.设置策略的活性阈值，即时间量，在该时间量之后认为密钥存在不可用风险。可以是固定的，或者可以与正常交易节奏相关。
[0091]
3.要求用户用他们的私钥周期性地对证明交易进行签名。可以作为活性检查而是显式的，或者通过需要他们的密钥进行诸如登录等的常规操作而是隐藏/隐式的。
[0092]
4.记录任一个或多于一个用户的密钥的最新活跃时间。
[0093]
5.持续监测任何用户的活跃时间是否超过了活性阈值。
[0094]
6.使用上述信息来提示用户证明这些用户仍有权访问他们的签名密钥和/或向其他用户通知规定数量可能存在风险。
[0095]
风险分析模块104可以实现被称为风险api的api，并且还可以包括对所有交易的评审和管理用户操作。在一些实施例中，风险api驱动评审系统。风险api可以提供与内部风险仪表板的集成，以供评审各交易。
[0096]
在某些实施例中，所有交易都由(一个或多于一个)指定员工手动批准；所有管理用户操作(添加、删除、权限更改)都由指定的(一个或多于一个)加密资产托管机构员工手动批准；在需要风险分析之前，可评审实体必须通过了自动核实处理；可评审实体必须提供与用户批准有关的稳健上下文，以便自动检查；以及风险批准和拒绝都被载入日志在仅追加分类账中以进行审计。
[0097]
风险api重新核实由阈值化服务确定的适当阈值。风险api还可以处理附加业务逻
辑，诸如在阈值化服务被简化的实施例中等：例如，如果阈值化服务仅检查规定数量，则风险api可以检查所需的签名者。这里所述的其他功能也可以在模块之间移动。
[0098]
风险api可以接收与在交易中涉及的各用户有关的上下文数据，以呈现给分类系统。该数据例如可以包括批准了交易的(一个或多于一个)用户、(一个或多于一个)批准的时间、(一个或多于一个)批准的场所、以及批准了交易的(一个或多于一个)装置/密钥id。该数据可被馈送到内部风险分析仪表板中，并且可能地被馈送到其他自动评审系统中。
[0099]
在一些实施例中，如果交易通过了自动风险评审，则风险api需要批准。为了批准，可能需要雇员在他或她批准了交易/操作的情况下用加密密钥进行签名，并将该签名呈现给风险api以供验证。此外，优选存在多个密钥(每个风险评审人员一个密钥)，使得将进行了评审的人载入日志。优选地，容易在破解的情况下轮换风险批准密钥。
[0100]
图6示出使用来自移动装置604、608的数据点进行风险缓解的加密资产托管系统100的示例框图。如参考图1更详细地所述，加密资产托管系统100包括服务器计算机102、中继服务器103、硬件安全模块105、风险分析模块104和数据存储设施106。
[0101]
服务器计算机102是包括为客户端程序和装置(例如，用户装置108)提供功能的软件的计算机装置。服务器计算机102提供不同的功能，诸如请求用户装置108对加密资产交易进行背书、与硬件安全模块105进行通信、以及响应于客户端请求而在区块链111上进行加密资产交易等。例如，服务器计算机102将对要由服务器计算机102在区块链111上进行的加密资产交易的背书请求传输到多个用户装置108。用户装置108可以是智能电话、平板电脑、膝上型计算机或台式计算机。各用户装置108例如使用网络109可通信地耦接到服务器计算机102。网络109是公共计算机网络，诸如参考图1更详细地示出和描述的因特网等。各用户装置108与加密资产托管系统100的用户相关联。
[0102]
背书请求被配置为使得各用户装置108提示其用户对加密资产交易进行背书。各用户已被定义为涉及加密资产的交易的规定数量的潜在成员。这样的上下文中的背书是用户对操作的批准或拒绝。当接收到这样的提示的用户在他或她的用户装置108上对交易进行背书时，用户装置108用该用户的私钥对加密背书进行签名，并将已签名的加密背书传输到服务器计算机102。该私钥存储在用户装置108内的安全指定位址空间114内。各用户装置108中的安全指定位址空间114用于存储相应用户的私钥并生成该用户的数字签名。
[0103]
移动装置604、608是智能电话、可穿戴技术装置、或者可以作为植入物或配件并入到衣服中或佩戴在身体上的智能电子装置。移动装置604、608包括微处理器、专用集成电路、触摸屏或gps接收器，以提供不同的功能。移动装置604、608可以是物联网的实现，其中物联网使得物体能够在不需要人为干预的情况下通过因特网来与所连接的装置(例如，用户装置108)交换数据。各移动装置604、608例如使用蓝牙、wi-fi、射频通信、网络109或其组合可通信地耦接到用户装置108。各移动装置604、608与用户装置108所关联的用户相关联。
[0104]
移动装置604可以是活动追踪器或健身追踪器，其监测和追踪用户的健身相关度量，诸如步行或跑步的距离、卡路里消耗以及在一些情况下的心跳等。智能手表608是采用腕表形式的可穿戴计算机，其提供本地触摸屏界面并且包括用于管理和遥测(诸如长期生物监测等)的关联智能电话应用(app)。可以是本文公开的部分或全部实施例中的一部分的移动装置的其他示例是进行诸如计算、数字时间告知、翻译、玩游戏的等的任务的装置，并且可以包括移动应用、移动操作系统和wifi/蓝牙连接。移动装置的其他示例包括便携式媒
体播放器，其具有fm无线电以及经由蓝牙头戴式耳机的数字音频和视频文件的回放。
[0105]
在一些实施例中，由用户装置108提示用户以使得能够在对加密资产交易进行背书时捕获一个或多于一个数据点。例如，可以提示用户使用用户装置108或移动装置(例如，诸如604、608等)来拍摄她的面部的照片。因此，照片是数据点。在其他实施例中，一旦用户已同意，移动装置604、608就可以收集与该用户相关联的多个数据点。数据点表示用户的身份。例如，智能手表608或健身追踪器604可以包括全球定位系统(gps)接收器。gps接收器测量智能手表608或健身追踪器604的地理位置(坐标)。因此，数据点可以包括地理定位和时间信息。数据点可以包括移动装置604、608其中之一的标识号。例如，标识号可以是移动标识号(min)或移动订户标识号(msin)，其是无线运营商用于识别智能电话的10位唯一号码。
[0106]
数据点可以包括由移动装置604、608的gps接收器或气压计传感器测量出的移动装置604、608相对于海平面的高度。例如，移动装置604、608可以确定装置相对于gps卫星的轨道中心的距离以确定高度。数据点可以包括移动装置604、608所连接到的无线网络的服务集标识符(ssid)。ssid是指wi-fi网络的标识符。移动装置604或用户装置108还可以通过ssid连接到打印机。因此，数据点还可以包括所连接的打印机的标识符或ip地址。数据点可以包括移动装置604、608的蓝牙装置地址。蓝牙装置地址(或bd_addr)是由制造商指派给各蓝牙装置的唯一48位标识符。
[0107]
数据点可以包括由用户装置108或移动装置604、608捕获到的用户的生物特征数据。生物特征数据可以包括用户的心率、温度、语音样本、照片或视频记录。参考图3b更详细地描述了数据点的附加示例。在一些实施例中，由移动装置604、608捕获到的数据点被传输到用户装置108，用户装置108将这些数据点传输到服务器计算机102。在其他实施例中，一旦用户装置108向移动装置604、608通知背书请求，移动装置604、608就可以将数据点直接传输到服务器计算机102。
[0108]
数据点可以包括以美元、其他货币或加密货币表示的交易的数额。例如，一旦接收到取出请求，风险分析模块104就可以在散点图上标绘所请求的取出数额以及先前的取出数额。散点图例如可以包括y轴上的usd估值和x轴上的时间。突出显示当前的和将发生的取出，使得风险分析模块104可以判断当前取出请求数额是否是异常值或可疑地高。在一些实施例中，将数据点以及数据点的趋势以图形用户界面的形式显示在风险评审仪表板上。趋势可以以图形方式显示为散点图、直方图、条形图、线图或饼图。图形用户界面使得能够通过图形图标和视觉指示器(诸如辅助符号、基于文本的用户界面、键入的命令标签或文本导航等)来与风险评审仪表板交互。批准者可以在以信号方式发送其对加密资产交易的批准之前检测数据点是否与期望值匹配。
[0109]
风险分析模块104在可以进行交易之前对加密资产交易的通信(背书、批准)进行基于风险的评审。参考图1更详细地示出和描述了风险分析模块104，并且风险分析模块104可以以硬件或软件实现。风险分析模块104可通信地耦接到服务器计算机102。风险分析模块104在风险评审仪表板上生成数据点的图形可视化。自动风险分析代理可以评估风险评审仪表板，以决定加密资产交易是否已被充分授权接受。
[0110]
图形可视化可以包括基于多个数据点的风险度量。风险度量表示从用户装置108接受加密资产交易的加密背书的风险。风险度量可以是0和100之间的数字(0表示最小风险并且100表示最大风险)、或者0.00和1.00之间的数字。在一些实施例中，风险度量是包括不
同类别(例如，恶意行为者拥有用户的移动装置604的风险、加密背书被欺骗的风险、移动装置正发生故障的风险)中的风险得分的向量。
[0111]
生成图形可视化包括：判断某些数据点是否与多个数据点的期望值匹配。例如，如果用户携带用户装置108并且佩戴智能手表604，则各装置所报告的gps位置预期将是相同的。如果位置不匹配，则风险度量增加。图形可视化可以包括数据点随时间的经过而改变的趋势。如果移动装置604、608所测量出的生物特征与随时间的经过所测量出的值相比存在大的变化，则风险度量增加。例如，如果用户的心率以往为80并且智能手表将心率测量为95，则检测到不匹配。因此，风险分析模块104可以基于趋势来预测各数据点的期望值。
[0112]
在一些实施例中，服务器计算机102将对加密资产交易的背书请求传输到用户装置108。该背书请求被配置为使得用户装置108提示用户对加密资产交易进行背书。服务器计算机102接收从一个或多于一个移动装置(例如，604、608)收集的多个数据点。这些数据点表示用户的身份。风险分析模块104在风险评审仪表板上生成多个数据点的图形可视化。图形可视化可以包括散点图、直方图、条形图、线图、饼图或其他形式的图形可视化。图形可视化可以由风险专家评审，或者图形可视化可被传输到其他实体以供评审。
[0113]
在一些实施例中，如上所述，服务器计算机102接收从一个或多于一个移动装置收集的多个数据点。风险分析模块104基于多个数据点来生成风险度量。风险度量表示从用户装置108接受加密资产交易的加密背书的风险。为了生成风险度量，风险分析模块104可以判断数据点是否与期望值匹配。例如，风险度量可以是数据点的测量值与期望值之间的差的函数。风险分析模块104还可以计算多个数据点的趋势，并且基于该趋势来确定数据点的期望值。各移动装置(例如，604、608)可以具有必需的状况或非必需的状况。因此，风险分析模块104可以检测到不存在来自特定移动装置的数据点，其中该特定移动装置被指派了必需的状况。在这种情形下，风险分析模块104可以响应于检测到不存在来增加风险度量。硬件安全模块105可被配置为响应于风险度量低于阈值，经由中继服务器103从服务器计算机102接收加密资产交易的加密背书。
[0114]
在一些实施例中，风险分析模块104在接收数据点之前，在加密资产托管系统100上注册与用户相关联的各移动装置(例如，604、608)。响应于从用户装置108接收到注册请求而进行注册移动装置(例如，604、608)。注册请求将加密资产托管系统100的用户与各移动装置108相关联。例如，将用户装置108的标识号与移动装置604、608的标识号相关联的数据可以存储在数据存储设施106中。如果服务器计算机102从未注册的移动装置接收到数据点，则风险度量增加，这反映黑客可能正在篡改加密资产托管系统100。
[0115]
在一些实施例中，注册移动装置604、608包括：向移动装置604、608指派必需的状况或非必需的状况。必需的状况可以由编码到注册过程中的二进制“1”值表示。非必需的状况可以由编码到注册过程中的二进制“0”值表示。例如，可能要求用户始终携带他或她的智能手表608，但可以不要求用户始终佩戴他或她的健身追踪器604。风险分析模块104检测到不存在从移动装置608收集的数据点，其中移动装置608被指派了必需的状况(二进制“1”)。例如，风险分析模块104检测到没有从智能手表608接收到数据。风险分析模块104响应于检测到不存在来自这样的装置的信号来增加风险度量。
[0116]
在一些实施例中，风险分析模块104检测到多个数据点中的第一数据点和第二数据点之间的不匹配，该第一数据点是从一个或多于一个移动装置中的第一移动装置收集
的，并且该第二数据点是从一个或多于一个移动装置中的第二移动装置收集的。例如，智能手表608可以将用户的心率测量为某个值r1。健身追踪器604可以将用户的心率测量为另一值r2。如果在r1和r2之间存在显著的差(例如，差50)，则风险分析模块104增加风险度量。
[0117]
在一些实施例中，风险分析模块104包括特征提取模块和可通信地耦接到该特征提取模块的机器学习模块。特征提取模块从数据点提取或确定一个或多于一个特征向量。如以下参考图8所述，特征提取可以在软件或用专用硬件中实现。特征提取模块通过将数据点变换为简化的特征集(特征向量)来减少数据点中的冗余。在一些实施例中，特征提取模块可以使用以下的降维技术来降低特征向量的维度：独立分量分析、isomap、核pca、潜在语义分析、偏最小二乘或多因子降维。特征向量包含来自数据点的相关信息，使得机器学习模块使用简化表示而不是数据点来识别感兴趣的特征。
[0118]
机器学习模块基于特征向量来生成风险度量。机器学习模块经训练以基于多个数据点是否与多个数据点的期望值匹配来表示接受加密背书的风险。机器学习模块包括数学和连接模型，其经训练以在无需明确编程的情况下做出预测或决策。加密资产托管系统100可以使用一个或多于一个机器学习方法来训练机器学习模块。在一个实施例中，使用k最近邻法。k最近邻法可用于分类和回归。对于分类和回归这两者，训练数据集由特征向量空间中的k个最接近的训练示例构成。在一些实施例中，使用支持向量机方法。支持向量机使用监督学习来利用关联的学习算法训练机器学习模块，其中这些关联的学习算法分析用于分类和回归分析的特征向量。向机器学习模块呈现一组训练示例，各训练示例被标记为属于两个类别中的一个类别或另一类别。支持向量机方法训练机器学习模块以将新示例指派给一个类别或另一类别，从而使机器学习模块成为非概率二元线性分类器。
[0119]
如果风险分析模块104判断为风险度量低于阈值风险度量，则服务器计算机102将加密资产交易的加密背书通过可通信地耦接到服务器计算机102的中继服务器103传输到硬件安全模块105。参考图1更详细地示出和描述了中继服务器103。例如，对于0至100的风险度量范围(其中0表示更低风险)，对于更安全的操作，阈值风险度量可被选择为10。仅当风险度量被确定为小于10时，服务器计算机102才将加密资产交易的加密背书传输到硬件安全模块105。对于不太安全的操作，阈值风险度量可被设置得更高。可以基于历史数据和数据点值的趋势来确定阈值风险度量。
[0120]
硬件安全模块105是专用物理计算装置，其保护和管理认证所用的数字密钥并且提供安全执行环境。参考图1更详细地示出和描述了硬件安全模块105。硬件安全模块105可通信地耦接到中继服务器103。硬件安全模块105从中继服务器103接收加密资产交易的加密背书。硬件安全模块105生成与加密资产交易相关联的加密密钥。参考图1、图2b和图3b更详细地描述了加密密钥的生成。加密密钥可用于控制对区块链111的访问。参考图1更详细地描述了区块链111。
[0121]
数据存储设施106可以包括一个或多于一个数据库，该一个或多于一个数据库可以是或包括关系数据库或者用于以组织方式存储加密资产托管系统100的数据的任意其他类型的机构，其中数据可以是结构化数据和/或非结构化数据。参考图1更详细地示出和描述了数据存储设施106。
[0122]
图7示出从移动装置604、608收集的数据点的趋势700。参考图6更详细地示出和描述了移动装置604、608。趋势700示出在四个不同时间点捕获的不同数据点。数据点704是在
用户对第一加密资产交易进行了背书时的3月10日上午9:43捕获的用户图像。数据点704看起来是女性的图像。因此，当在第二时间点捕获数据点716时，图像704将是用户的图像的期望值。数据点708是在用户正在对第一加密资产交易进行背书时的3月10日上午9:43检测到的用户(或至少捕获装置)的位置。数据点708将用户的位置示出为旧金山。因此，旧金山将是下一次检测时的位置的期望值(例如，数据点720)。数据点712捕获直到用户正在对第一加密资产交易进行背书时的3月10日上午9:43为止用户所步行的步数。步数可以由图6的健身追踪器604捕获。数据点712将步数示出为4062。可以捕获或收集如参考图6所述的其他数据点。用户装置108或服务器计算机102还可以从所收集的数据点导出度量。例如，可以将步行的步数转换成每小时步数度量或每分钟步数度量，使得可以针对捕获时间将度量归一化。因此，可以将步数4062除以9小时43分钟，以导出4062/583或6.97步/分钟的每分钟步数度量，其中9小时43分钟等于583分钟。
[0123]
数据点716是在用户正在对第二加密资产交易进行背书时的6月7日下午3:19捕获的用户的图像。在图像716中，用户佩戴眼镜。风险分析模块104通过例如图像处理和面部识别来判断图像716是否与期望值(图像704中的面部)匹配。数据点720是在用户正在对第二加密资产交易进行背书时检测到的用户的位置。数据点720将用户的位置示出为旧金山。位置720与期望值(旧金山)匹配。数据点724捕获直到用户对第二加密资产交易进行了背书时为止用户所步行的步数。数据点724将步数示出为7217。尽管步数7217不等于4062，但风险分析模块104可以基于捕获时间而判断为匹配。例如，可以将步数7217除以15小时19分钟(下午3:19)以导出7217/919或7.85步/分钟的每分钟步数度量，其中15小时19分钟等于前一天午夜过后的919分钟。在一些实施例中，风险分析模块104可以针对与期望值的差来设置阈值，其中高于该阈值则可以拒绝背书。例如，可以设置100步/分钟的阈值。这里，差7.85-6.97小于100。因此，数据点724被判断为与数据点712匹配。该阈值针对更严格的匹配可被设置得更低，或者针对更宽松的匹配可被设置得更高。由于数据点716、720、724与基于数据点704、708、712的期望值匹配，因此接受加密背书。
[0124]
数据点728是在用户对第三加密资产交易进行了背书时的8月17日下午3:55捕获的用户图像。在图像728中，用户没有佩戴眼镜，但图像728看起来是同一女性。风险分析模块104基于数据点704、716(期望值)通过例如图像处理和面部识别来判断匹配。数据点732是在8月17日下午3:55检测到的用户的位置。数据点732将用户的位置示出为纽约。因此，位置732不等于期望值(位置708、720)。然而，如果足够的其他数据点匹配，风险分析模块104判断为用户过去已从纽约登录，或者如果用户的其他标识符(例如，住宅或办公室地址)在纽约，则可以忽略位置的不匹配。数据点736捕获直到8月17日下午3:55为止用户所步行的步数。数据点736将步数示出为7673。如果差低于与期望值(例如，7.85和6.97步/分钟的平均值)的阈值差，则风险分析模块104可以判断为匹配。
[0125]
数据点740是在用户正在对第四加密资产交易进行背书时的8月19日下午6:12捕获的声称用户的图像。图像740是具有胡子和胡须的人的图像，并且看起来是男性的图像。风险分析模块104判断为数据点740与期望值不匹配。数据点744是在用户正在对第四加密资产交易进行背书时的8月19日下午6:12检测到的用户的位置。数据点744将用户的位置示出为旧金山。因此，位置744与期望值(位置708、720)匹配。然而，严重不匹配的其他数据点可以否决位置匹配。例如，数据点748捕获直到下午6:12为止用户已步行的步数。数据点748
将步数示出为11。由于所导出的步/分钟度量是11/1092或0.01步/分钟(其中1092分钟等于午夜过后的18小时12分钟(下午6:12))，因此风险分析模块104可以判断为不匹配。度量0.01步/分钟与约7步/分钟的期望值差别很大。由于数据点740、748与基于先前收集的数据点的期望值不匹配，因此拒绝加密背书。加密资产托管系统100可以进一步调查，联系用户以收集更多信息，或者依赖于其他数据点，诸如移动装置604连接到的wi-fi网络的ssid、其他生物特征数据、智能电话的品牌和型号、移动装置的标识符、或者用户的移动装置的蓝牙地址等。
[0126]
图8示出用于加密资产托管系统100的风险缓解的处理800。参考图1和图6更详细地示出和描述了加密资产托管系统100。在一些实施例中，图8的处理800由加密资产托管系统100进行。在其他实施例中，其他实体(例如，用户装置108或移动装置604)进行处理800的步骤的一部分或全部。参考图1更详细地示出和描述了用户装置108。参考图6更详细地例示和描述了移动装置604。同样，实施例可以包括不同的和/或附加的步骤，或者以不同的顺序进行这些步骤。
[0127]
加密资产托管系统100将对加密资产交易的背书请求传输(804)到与加密资产托管系统100的用户相关联的用户装置108。该背书请求是由加密资产托管系统100的服务器计算机102(例如，服务器计算机102)传输的。参考图1和图6更详细地示出和描述了服务器计算机102。用户装置108可通信地耦接到服务器计算机102。加密资产交易将由服务器计算机102在区块链111上进行。参考图1更详细地示出和描述了区块链111。背书请求被配置为使得用户装置108提示用户对加密资产交易进行背书。
[0128]
加密资产托管系统100使用服务器计算机102来接收(808)多个数据点。这些数据点是从可通信地耦接到用户装置108的一个或多于一个移动装置(例如，604、608)收集的。该一个或多于一个移动装置(例如，604、608)与用户相关联。多个数据点可以表示用户的身份。例如，移动装置608可以是用户的智能手表。数据点可以包括由智能手表608的全球定位系统接收器测量的智能手表608的地理位置。
[0129]
加密资产托管系统100使用服务器计算机102来从用户装置108接收(812)加密资产交易的加密背书。例如，当接收背书请求的用户在他或她的用户装置108(例如，智能电话、平板电脑或笔记本计算机)上对加密资产交易进行背书时，用户装置108用该用户的私钥对加密背书进行签名，并将已签名的加密背书传输到服务器计算机102。该私钥可以存储在用户装置108内的安全指定位址空间114内。各用户装置108中的安全指定位址空间114用于存储相应用户的私钥并生成该用户的数字签名。参考图1更详细地示出和描述了安全指定位址空间114。
[0130]
加密资产托管系统100可以使用风险分析模块104来基于多个数据点生成(816)包括风险度量的图形可视化。参考图1和图6更详细地示出和描述了风险分析模块104。风险分析模块104可通信地耦接到服务器计算机102。风险度量表示从用户装置108接受加密资产交易的背书的风险。为了生成图形可视化，风险分析模块104判断多个数据点是否与期望值匹配。图形可视化可以包括数据点随时间的经过而改变的趋势。风险分析模块104可以基于该趋势来确定各数据点的期望值。
[0131]
响应于风险度量低于阈值风险度量，加密资产托管系统100将加密资产交易的加密背书从服务器计算机102传输(820)到加密资产托管系统100的硬件安全模块105。参考图
1和图6更详细地示出和描述了硬件安全模块105。该传输通过加密资产托管系统100的半双工中继服务器103来进行。硬件安全模块105通过半双工中继服务器103可通信地耦接到服务器计算机102。参考图1更详细地示出和描述了半双工中继服务器103。
[0132]
加密资产托管系统100利用硬件安全模块105生成(824)加密密钥。加密密钥与加密资产交易相关联，并且可用于控制对区块链111的访问。例如，区块链111上的加密货币存入的地址可以与加密资产托管系统100中属于用户的其他地址一起存储在集合(被称为客户的“保险库”)中。这样的上下文中的保险库是包含加密资产和策略图的数据实体，该策略图包含用于管理从这些加密资产的存入和取出的一个或多于一个策略。加密资产被表示为可以保持一定数额的加密资产类型(例如，比特币、以太坊)的保险库内的槽。一旦利用加密资产托管系统100托管并存储，加密资产就可用于交易。
[0133]
图9是示出可用于实现加密资产托管系统100或用户装置108中的一部分或全部的处理系统900的硬件架构的示例的高级框图。加密资产托管系统100可以包括诸如图9所示等的架构的一个或多于一个实例，其中多个这样的实例可以经由一个或多于一个专用网络彼此耦接。
[0134]
例示的处理系统900包括包含cpu 910的一个或多于一个处理器、一个或多于一个存储器911(其至少一部分可被用作工作存储器，例如随机存取存储器(ram))、一个或多于一个数据通信装置912、一个或多于一个输入/输出(i/o)装置913、以及一个或多于一个大容量存储914，所有这些经由互连器915彼此耦接。互连器915可以是或包括一个或多于一个导电迹线、总线、点对点连接、控制器、适配器、以及/或者其他传统连接装置。各处理器910控制处理装置900的操作的一部分，并且可以是或包括例如一个或多于一个通用可编程微处理器、数字信号处理器(dsp)、移动应用处理器、微控制器、专用集成电路(asic)或可编程门阵列(pga)等、或者这样的装置的组合。
[0135]
各存储器911可以是或包括一个或多于一个物理存储装置，其可以采用ram、只读存储器(rom)(其可以是可擦除和可编程的)、闪速存储器、小型硬盘驱动器或其他合适类型的存储装置、或者这样的装置的组合的形式。各大容量存储914可以是或包括一个或多于一个硬盘驱动器、数字多功能盘(dvd)、或者闪速存储器等。各存储器911和/或大容量存储914可以(单独或共同)存储对(一个或多于一个)处理器910进行配置以执行用以实现上述技术的操作的数据和指令。各通信装置912可以是或包括例如以太网适配器、线缆调制解调器、wi-fi适配器、蜂窝收发器、基带处理器、或者蓝牙或蓝牙低功耗(ble)收发器等、或者它们的组合。根据处理系统900的特定性质和用途，各i/o装置913可以是或包括诸如显示器(其可以包括透明ar显示面)、音频扬声器、键盘、鼠标或其他指示装置、麦克风、或者照相机等的装置。然而，注意，如果处理装置900仅被体现为服务器计算机，则这样的i/o装置可能是不必要的。
[0136]
在用户装置的情况下，通信装置912可以是或包括例如蜂窝电信收发器(例如，3g、lte/4g、5g)、wi-fi收发器、基带处理器、或者蓝牙或ble收发器等、或者它们的组合。在服务器的情况下，通信装置912可以是或包括例如上述类型的通信装置、有线以太网适配器、线缆调制解调器或dsl调制解调器等中的任一个、或者这样的装置的组合。
[0137]
除非与物理可能性相反，否则设想：(i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤；以及(ii)可以以任何方式组合各个实施例的组件。
[0138]
上述机器实现的操作可以通过由软件和/或固件编程/配置的可编程电路实现，或者完全通过专用(“硬连线”)电路实现，或者通过这些形式的组合实现。这种专用电路(如果有的话)可以采用例如一个或多于一个专用集成电路(asic)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、或者片上系统(soc)的形式。
[0139]
用以实现这里介绍的技术的软件或固件可以存储在机器可读存储介质上，并且可以由一个或多于一个通用或专用可编程微处理器执行。在本文中使用术语“机器可读介质”时，“机器可读介质”包括可以以机器(机器可以是例如计算机、网络装置、蜂窝电话、个人数字助理(pda)、制造工具、或者具有一个或多于一个处理器的任何装置)可访问的形式存储信息的任何机构。例如，机器可访问介质包括可记录/不可记录的介质(例如，ram或rom；磁盘存储介质；光存储介质；或者闪速存储器装置)等。
[0140]
如本文所使用的术语“逻辑”意味着：i)专用硬接线电路，诸如一个或多于一个专用集成电路(asic)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、或(一个或多于一个)其他类似装置等；ii)用软件和/或固件编程的可编程电路，诸如一个或多于一个编程的通用微处理器、数字信号处理器(dsp)和/或微控制器、片上系统(soc)、或者(一个或多于一个)其他类似装置等；或者iii)在i)和ii)中所述的形式的组合。
[0141]
如本领域普通技术人员将显而易见，上述特征和功能中的任何或全部可以彼此组合，除了以上另外陈述的程度、或者任何这样的实施例借助于它们的功能或结构可能不兼容的程度之外。除非与物理可能性相反，否则设想：i)可以以任何顺序和/或以任何组合进行本文所述的方法/步骤；以及(ii)可以以任何方式组合各个实施例的组件。
[0142]
尽管已经用特定于结构特征和/或行为的语言描述了本主题，但应当理解，在所附权利要求书中定义的主题不一定局限于上述的具体特征或行为。相反，上述的具体特征和行为被公开为实现权利要求书的示例，并且其他等同的特征和行为也意图在权利要求书的范围内。
[0143]
在先前描述中，已经参考许多具体细节描述了实施例，这些具体细节可因实现而不同。因此，说明书和附图应被视为说明性的，而非限制性意义的。实施例范围的唯一且排他的指示、以及申请人期望是实施例范围的内容是以发布权利要求书的具体形式从本技术发布的权利要求书的字面和等同范围，包括任何后续修正。本文中明确阐述的用于被包括在此类权利要求中的术语的任何定义应当以此类术语如在权利要求书中所使用的意义为准。另外，当在先前的说明书或所附权利要求书使用术语“还包括”时，该短语的下文可以是附加的步骤或实体、或先前所述的步骤或实体的子步骤/子实体。