[0001] 本发明总体上涉及一种用于控制和/或转移资产，或转移资产所有权的解决方案。特别地，涉及一种创建、转移所有权和赎回代表资产的令牌的方法。本发明特别应用于如比特币区块链的点对点分布式分类账上，创建与交易相关的令牌。该令牌可代表合约权利、智能合约或其它形式的资产。

[0002] 商业交易可能涉及产权转移。这些权利可包括不动产或个人财产(包括有形财产和无形财产二者)。此外，当事人之间的合约还可包括约束双方的合约权利。在数字经济中，可能期望交易以及时的方式且在很远的距离内进行。这种期望以及实际限制表示传统的财产转移形式——例如代表合约、可转让票据等文件的硬拷贝的实际交付或有形财产本身——是不可取的。最近，区块链已被用于数字资产的转移。

[0003] 区块链是一种电子分类账，该电子分类账作为一种由块组成的基于计算机的分散式、分布式、点对点系统而生效，而这些块又由交易组成。每个交易(Tx)都是在区块链系统中，对参与者之间的数字资产的控制转移进行编码的数据结构，并且包括至少一个输入和至少一个输出。每个块均包含先前块的散列，使得这些块被链接在一起以创建所有交易的永久的、不可更改的记录，这些记录自其创建以来已被写入区块链中。交易包含嵌入其输入和输出中的称为脚本的小程序，这些脚本指定如何以及何人可以访问交易的输出。在比特币平台上，这些脚本使用基于堆栈的脚本语言编写。

[0004] 为了将交易写入区块链，必须对其进行“验证”。网络节点(矿工)执行工作以确保每个交易都有效，并且从网络拒绝无效交易。安装在节点上的软件客户端通过执行其锁定和解锁脚本，对未用过的交易(UTXO)执行这种验证工作。如果锁定和解锁脚本的执行评估为TRUE，则交易有效并且将交易写入区块链。因此，为了将交易写入区块链，必须i)通过接收交易的第一节点验证-如果交易验证通过，则节点将其中继到网络中的其它节点；ii)加入到由矿工建造的新块；和iii)开采，即加入到过去交易的公共分类账。

[0005] 尽管区块链技术最广为人知的是用于加密货币的实施方案，但数字企业家已经开始探索比特币所基于的加密安全系统以及可存储在区块链上以实现新系统的数据二者的使用。如果区块链可用于不限于加密货币领域的自动化任务和过程，那将是非常有利的。这样的解决方案将能够利用区块链的益处(例如永久性、防篡改的事件记录、分布式处理等)，同时在其应用中更通用。

[0006] 目前研究的一个领域是使用区块链来实施“智能合约”。这些是设计成自动执行机器可读的合约或协议的条款的计算机程序。与用自然语言编写的传统合约不同，智能合约是机器可执行程序，其包括可处理输入以产生结果的规则，然后可根据那些结果执行动作。

[0007] 与区块链利益相关的另一个领域是使用“令牌”(或“彩色硬币”)以通过区块链来表示和转移现实世界的或虚拟的实体。潜在敏感或秘密的项目可由令牌表示，该令牌没有可辨别的含义或价值。因此，令牌充当了允许从区块链中引用资产的标识符。

[0008] 对本说明书中包括的文档、行为、材料、设备、物品等的任何讨论不应被视为承认任何或所有这些事项形成现有技术基础的一部分或是与本发明相关领域的公知常识，由于他们存在于本发明的每个权利要求的优先权日之前。

[0009] 在本文档中，我们使用术语“区块链”来包括所有形式的电子的、基于计算机的、点对点的分布式分类账。这些包括但不限于基于共识的区块链和交易链技术、许可和未许可的分类账、共享的分类账及其变体。区块链技术最广为人知的应用是比特币分类账，尽管已经提出并开发了其它区块链的应用方案。虽然本文中出于方便和说明的目的引用了比特币，但应注意，本发明不限于通过比特币区块链来使用，其他替代性的区块链应用方案和协议也落入本发明的范围内。

[0010] 在整个说明书中，词语“包括(comprise)”或诸如“包括(comprises)”或“包括(comprising)”的变体将被理解为暗示包括所叙述的元件、整体或步骤，或元件、整体或步骤的组，但不排除任何其它元件、整体或步骤，或元件、整体或步骤的组。

[0011] 本发明提供了如所附权利要求中所限定的发明。

[0012] 本发明可提供用于通过区块链来安全控制和/或转移资产或权利的解决方案。附加地或可替代地，本发明可实现对资产或权利的所有权的控制和/或转移。这可以是数字或虚拟资产，例如智能合约或现实世界/实物资产。本发明可使用令牌化技术来促进这种控制或转移。结合使用密钥，本发明能够以安全的方式实施转移，密钥，同时不需要对底层区块链协议进行任何改变。

[0013] 本发明尤其提供：通过使用散列技术增强了对用于电子转移的存储器使用，改进的安全性和数据完整性的优化，通过消除对可信第三方的需要改进了安全性，以及增强了数据的匿名性。该优点列表不是限制性的或详尽的。

[0014] 本发明可能需要各种不同且独立的基于计算机的资源的交互和相互通信，例如一个或多个用户设备和分布式计算机系统(区块链)，其包括被配置为执行区块链相关软件和协议的计算节点。

[0015] 本发明可提供一种方法，包括以下步骤：生成区块链交易(Tx)，其具有与数字资产(B1)相关的输出(TxO)和兑换脚本(RS1)的散列(H1)，赎回脚本(RS1)的散列(H1)包括：
包括令牌的元数据，所述令牌是令牌化实体的表示或引用；和
至少一个(优选两个或更多个)公共密钥。
数字资产(B1)可为例如比特币的一定数量的加密货币。可在交易输出TxO的锁定脚本内提供赎回脚本。可在赎回脚本中为元数据提供位置，该位置在区块链协议中被指定为密钥的位置。
该方法还可包括将交易Tx提交给区块链的步骤。实际上，加密货币(B1)因此可与令牌相关地锁定在区块链上。该数量的加密货币(B1)只能在提供解锁脚本时花费(赎回)，该解锁脚本满足用于输出TxO的锁定脚本的要求。特别是，必须提供赎回脚本，当进行散列处理时，该赎回脚本与TxO的锁定脚本提供的散列匹配。由于输出TxO的锁定脚本包括赎回脚本的散列，其继而包括令牌(在元数据中)，加密货币(B1)与令牌相关。在呈现正确的解锁(赎回)脚本时，加密货币(B1)的所有权可被转移到赎回方或用户，即它被花费。
术语“花费”、“转移”、“赎回”或“转移所有权/控制权”在本文中可互换使用。此外，术语“用户”在本文中可用于指代人类用户或基于机器的资源。
公钥可与相应的私钥相关联，以形成密钥对。可能需要相应的私钥以解锁交易输出(TxO)，从而实现数字资产和/或其所有权的转移。令牌化实体可存储在区块链之上或之外。
它可为数字资产，例如(智能)合约或某种其它形式/类型的资产或实体。可在赎回脚本中提供令牌，如此它看起来是区块链协议，或由区块链协议解释为密钥。因此，底层区块链协议可能与赎回脚本中提供的令牌和/或其它元数据的存在无关。然而，元数据可由参与本发明过程的用户解释并作为令牌使用。
因此，本发明可包括能够通过区块链以加密强制和安全的方式向用户发行数字令牌的实施例或方面。可提供相应的系统，该系统被安排用于实现上述任何实施例的方法，并且包括区块链网络和相关节点。

[0016] 现在提供本发明的其他或替代措辞、特征或实施例。与本发明的一个或多个方面或实施例描述的特征，可与一个或多个其它方面或实施例相关地使用。

[0017] 本发明可提供由发行方(I)创建第一令牌(T1)的计算机实现方法。第一令牌(T1)可与第一数量的加密的、可电子转移的数字资产(B1)相关联。

[0018] 作为上述方法的补充或替代，该方法可包括以下步骤中的一个或多个：通过通信网络，接收来自第一用户(A)的对第一令牌(T1)的请求；确定第一用户公钥(P1A)，其中第一用户公钥(P1A)与第一用户私钥(V1A)形成密码对；分配第一数量的加密的、可电子转移的数字资产(B1)以与第一令牌(T1)相关联；确定第一赎回脚本(RS1)的第一散列(H1)，其中第一赎回脚本(RS1)基于：至少第一元数据(MD1)，其包括与第一令牌(T1)相关的信息；第一用户公钥(P1A)；和与发行方(I)相关的第一发行方公钥(P1I)，其中第一发行方公钥(P1I)与第一发行方私钥(V1I)形成密码对；通过通信网络，向点对点分布式分类账发送第一数据输出(O1)，所述第一数据输出包括：第一数量的所述数字资产(B1)交易到第一用户(A)的指示；和第一散列(H1)，其中第一散列(H1)与第一数量的所述数字资产(B1)相关联，以提供与第一用户(A)和发行方(I)相关的第一令牌(T1)。确定第一赎回脚本(RS1)的第一散列(H1)，其中第一赎回脚本(RS1)基于包括与第一令牌(T1)相关的信息的至少第一元数据(MD1)，与发行方(I)相关的第一用户公钥(P1A)和第一发行方公钥(P1I)，并且通过通信网络，发送包括第一散列(H1)的第一数据输出(O1)，提供多个有益效果。首先，因为关于令牌的信息被安全地嵌入诸如区块链的公共区块链中，提供数据传输的安全性，同时避免对可信第三方的需要，因为交易各方可依赖于相关交易的细节以公开可验证的方式被锁定。此外，保留交易的匿名性，由于第一赎回脚本进行了散列处理，在不引起赎回脚本的相应散列值的改变的情况下，改变元数据的值将是不切实际且困难的。还提供以下优点：第一元数据可嵌入在赎回脚本中可用于公钥的一个或多个位置中，从而使得不适合处理元数据的节点能够简单地将赎回脚本发送到其它节点，而不是阻止其进程。这继而改进相关交易的计算效率。提供的进一步的优点是元数据可包含指向合约的条款和条件的指针，从而使该信息能够存储在块外存储库中。这使得可减少处理和所用的存储器资源的数量，因为可在不需要传输其整个交易历史的情况下处理交易，同时还能够在之后可靠地验证相关交易的细节。提供的进一步优点是控制数据可合并到元数据中，例如在代表场地券或旅行券或代金券的令牌的情况下，用于屏障的访问代码。还提供的另一个优点是可划分令牌，启用两个或更多个交易输出，每个交易输出可与令牌化或非令牌化的数字资产相关。

[0019] 第一数据输出(O1)可有助于记录脚本散列交易中的付费。

[0020] 在该方法中，接收来自第一用户(A)的对令牌(T)的请求的步骤可包括接收要约或对合约的接受。接收来自第一用户(A)对令牌(T)的请求的步骤可进一步包括接收合约的至少一个或多个条款和条件。

[0021] 该方法可进一步包括向第一用户(A)发送合约的至少一个或多个条款和条件。

[0022] 第一元数据(MD1)中的信息可包括合约的至少一个或多个条款和条件的散列。第一元数据(MD1)中的信息包括以下中的一个或多个信息：一种合约；合约的一个或多个条款和条件；指向合约的条款和条件的指针；以及有关如何处理交易的信息。

[0023] 该方法可进一步包括将第一赎回脚本(RS1)存储在数据存储中。

[0024] 在该方法中，第一赎回脚本(RS1)可采用以下格式：
其中
NumSigs是赎回第一令牌(T1)所需的签名数量；
NumKeys是脚本中公钥槽的总数，包括元数据和公钥；
OP_CHECKMULTISIG是一种按顺序将签名与公钥槽进行比较的操作。

[0025] 该方法可进一步包括：确定第一用户(A)是否具有发行方(I)的账户(ACA)以帮助与第一令牌(T1)相关的交易，其中如果第一用户(A)不具有账户，该方法进一步包括：通过通信网络，发送为第一用户(A)开立账户(ACA)的请求，其中该账户(ACA)与包括第一用户(A)的第一用户私钥(V1A)和第一用户公钥(P1A)的密码对相关联。

[0026] 在该方法中，分配第一数量的所述数字资产(B1)以与第一令牌(T1)相关联的步骤可包括：确定第一令牌(T1)的第一令牌价值(TV1)；确定第一令牌(T1)的钉住汇率(PR1)；和基于钉住汇率(PR1)和第一令牌价值(TV1)确定第一数量的所述数字资产(B1)。

[0027] 在一个备选方案中，分配第一数量的所述数字资产(B1)以与第一令牌(T1)相关联的步骤可包括：确定第一令牌(T1)的所述数字资产(MT1)的最小阈值；确定处于或高于所述数字资产(MT1)的最小阈值的第一数量的所述数字资产(B1)。

[0028] 一种根据上述创建第一令牌(T1)的方法赎回与第一数量的所述数字资产(B1)相关的第一令牌(T1)的计算机实现方法，该方法包括发行方：通过通信网络，接收来自第一用户(A)的请求以赎回第一令牌(T1)；确定与第一令牌(T1)相关的第一赎回脚本(RS1)；接收第一用户私钥(V1A)；用第一用户私钥(V1A)和第一发行方私钥(V1I)签署第一赎回脚本(RS1)以解锁与第一令牌(T1)相关的第一数量的所述数字资产(B1)；通过通信网络，向点对点分布式分类账发送第二数据输出(O2)，所述第二数据输出包括第一数量的所述数字资产(B1)交易到发行方(I)的指示。

[0029] 在赎回第一令牌(T1)的方法中，第一令牌(T1)可具有第一部分(R1)和第二部分(R2)的令牌价值，其中来自第一用户(A)的赎回第一令牌(T1)的请求包括赎回第一部分(R1)的价值的请求，该方法进一步包括：确定第一用户公钥(P1A)；和分配第二数量的所述数字资产(B2)以与第二令牌(T2)相关联，其中第二令牌具有基于第二部分(R2)的第二令牌价值(TV2)。该方法进一步包括确定第二赎回脚本(RS2)的第二散列(H2)，其中第二赎回脚本(RS2)基于：至少第二元数据(MD2)，至少部分与第一令牌(T1)相关的第一元数据(MD1)；第一用户公钥(P1A)；和与发行方(I)相关的第一发行方公钥(P1I)。在该方法中，输出到公共分类账的第二数据输出(O2)还可包括：至少第二数量的所述数字资产(B2)交易到第一用户(A)的指示；和第二散列(H2)，其中所述第二散列(H2)与第二数量的所述数字资产(B2)相关联，以提供与第一用户(A)和发行方(I)相关的第二令牌(T2)。

[0030] 一种由发行方(I)创建第三令牌(T3)的计算机实现方法，其中根据上述创建第一令牌(T1)的方法，第三令牌与来自第一令牌(T1)的值的转移相关联，该方法包括：通过通信网络，接收来自第一用户(A)和/或第二用户(B)的请求，以创建第三令牌(T3)；确定与第一令牌(T1)相关的第一赎回脚本(RS1)；接收第一用户私钥(V1A)；和用第一用户私钥(V1A)和第一发行方私钥(V1I)签署第一赎回脚本(RS1)，以解锁与第一令牌(T1)相关的第一数量的所述数字资产(B1)。该方法进一步包括确定第二用户公钥(P1B)，其中第二用户公钥(P1B)与第二用户私钥(V1B)形成密码对；和分配第三数量的所述数字资产(B3)以与第三令牌(T3)相关联。该方法进一步包括确定第三赎回脚本(RS3)的第三散列(H3)，其中第三赎回脚本(RS3)基于：至少第三元数据(MD3)，至少部分与第一令牌(T1)相关的第一元数据(MD1)；第二用户公钥(P1B)；和第一发行方公钥(P1I)。该方法进一步包括通过通信网络，向点对点分布式分类账发送第三数据输出(O3)，该第三数据输出包括：至少第三数量的所述数字资产(B3)交易到第二用户(B)的指示；和第三散列(H3)，其中第三散列(H3)与第三数量的所述数字资产(B3)相关联，以提供与第二用户(B)和发行方(I)相关的第三令牌(T3)。

[0031] 在创建第三令牌(T3)的方法中，第一令牌(T1)可具有第一部分(R1)和第二部分(R2)的令牌价值，其中创建第三令牌(T3)的请求包括基于第一部分(R1)创建具有第三令牌价值(TV3)的第三令牌(T3)的请求，该方法进一步包括：确定第一用户公钥(P1A)；和分配第二数量的所述数字资产(B2)以与第二令牌(T2)相关联，其中第二令牌具有基于第二部分(R2)的第二令牌价值(TV2)。该方法进一步包括确定第二赎回脚本(RS2)的第二散列(H2)，其中第二赎回脚本(RS2)基于；至少第二元数据(MD2)，至少部分与第一令牌(T1)相关的第一元数据(MD1)；第一用户公钥(P1A)；与发行方(I)相关的第一发行方公钥(P1I)。在该方法中，输出到点对点分布式分类账的第三数据输出(O3)可进一步包括：至少第二数量的所述数字资产(B2)交易到第一用户(A)的指示；和第二散列(H2)，其中第二散列(H1)与第二数量的所述数字资产(B2)相关联，以提供与第一用户(A)和发行方(I)相关的第二令牌(T2)。

[0032] 在创建第三令牌(T3)的方法中，分配第二数量的所述数字资产(B2)的步骤可包括：确定第二令牌(T2)的钉住汇率(PR2)；和基于钉住汇率(PR2)和第二令牌价值(TV2)确定第二数量的所述数字资产(B2)。

[0033] 在创建第三令牌(T3)的方法中，分配第二数量的所述数字资产(B2)的步骤可包括：确定第二令牌(T2)的所述数字资产(MT2)的最小阈值；和确定第二数量的所述数字资产(B2)，其处于或高于第二令牌(T2)的所述数字资产(MT2)的最小阈值。

[0034] 在创建第三令牌(T3)的方法中，第二数量的所述数字资产(B2)和/或第三数量的所述数字资产(B3)至少部分包括第一数量的所述数字资产(B1)。

[0035] 创建第三令牌(T3)的方法可进一步包括：将第四数量的所述数字资产(B4)确定为交易费，其中输出到点对点分布式分类账的第一数据输出(O1)、第二数据输出(O2)和第三数据输出(O3)进一步包括，第四数量的所述数字资产(B4)作为交易费的交易的指示。

[0036] 在上述方法中，点对点分布式分类帐可包括比特币区块链。

[0037] 一种赎回与如上定义的第一数量的所述数字资产(B1)相关的第一令牌(T1)的计算机实现方法，该方法包括发行方：通过通信网络，接收来自第一用户(A)的请求以赎回第一令牌(T1)；确定与第一令牌(T1)相关的第一赎回脚本(RS1)；通过通信网络，发送第一赎回脚本(RS1)以由第一用户(A)签署；通过通信网络，接收由第一用户用第一用户私钥(V1A)签署的第一赎回脚本(RS1A)；用第一发行方私钥(V1I)签署由第一用户(RS1A)签署的第一赎回脚本，以解锁与第一令牌(T1)相关的第一数量的所述数字资产(B1)；通过通信网络，向点对点分布式分类账发送第二数据输出(O2)，所述第二数据输出包括第一数量的所述数字资产(B1)交易到发行方(I)的指示。

[0038] 一种由发行方(I)创建第三令牌(T3)的计算机实现方法，其中根据上述创建第一令牌(T1)的方法，第三令牌与来自第一令牌(T1)的值的转移相关联，该方法包括：通过通信网络，接收来自第一用户(A)和/或第二用户(B)创建第三令牌(T3)的请求；确定与第一令牌(T1)相关的第一赎回脚本(RS1)；通过通信网络，发送第一赎回脚本(RS1)以由第一用户(A)签署；通过通信网络，接收由第一用户用第一用户私钥(V1A)签署的第一赎回脚本(RS1A)；用第一发行方私钥(V1I)签署由第一用户(RS1A)签署的第一赎回脚本，以解锁与第一令牌(T1)相关的第一数量的所述数字资产(B1)；
确定第二用户公钥(P1B)，其中第二用户公钥(P1B)与第二用户私钥(V1B)形成密码对；
分配第三数量的所述数字资产(B3)以与第三令牌(T3)相关联；确定第三赎回脚本(RS3)的第三散列(H3)，其中第三赎回脚本(RS3)基于：至少第三元数据(MD3)，至少部分与第一令牌(T1)相关的第一元数据(MD1)；第二用户公钥(P1B)；和第一发行方公钥(P1I)；通过通信网络，向点对点分布式分类账发送第三数据输出(O3)，所述第三数据输出包括：至少第三数量的所述数字资产(B3)交易到第二用户(B)的指示；和第三散列(H3)，其中第三散列(H3)与第三数量的所述数字资产(B3)相关联，以提供与第二用户(B)和发行方(I)相关的第三令牌(T3)。

[0039] 本发明可进一步提供一种令牌化方法。它可使用例如区块链的分布式点对点网络来实现。因此，本发明可利用区块链技术的所有已知优势。本发明可为通过区块链平台安全转移数据项目提供一种改进的解决方案。它可被描述为用于在例如区块链上高效安全地转移令牌的解决方案。

[0040] 该方法可提供代表合约的解决方案，该合约提供至少一个资产和/或服务。合约可为可转移合约。

[0041] 本发明不限于由合约转移的资产和/或服务的性质、类型、数量等。该方法可提供用于令牌化任何类型的可转移合约的编码方案。

[0042] 该方法可包括生成区块链交易的步骤。交易可包括三个参数或数据项。该数据可指示：

[0043] i)在合约下可用的份额数量(此处可称为“NumShares”)；

[0044] ii)从发送者转移到至少一个接收方的一定数量的转移单元(这里可称为“ShareVal”)；和iii)计算该一定数量的转移单元的价值的因子(这在本文中可称为“钉住汇率”)。

[0045] 本发明的一个优点是它可用于将合约封装或表示为区块链上的令牌。这仅可使用上述三个参数来实现。实际上，可最少的使用这三个数据项来指定合约。由于本发明提供可用于任何类型的可转移合约的解决方案，因此可设计和应用通用算法。

[0046] 这三个数据项可作为交易内的元数据提供。有利地，仅需要少量的元数据(以字节为单位)来表示任何类型的合约。因此，本发明提供用于在诸如区块链的点对点分布式系统上转移令牌的高效且有效并强大的机制。

[0047] 该数据可进一步包括资产可用性的指示，即根据合约提供的商品和/或服务。附加地或替代地，它可包括根据合约提供的资产或服务的类型和/或数量的指示。

[0048] 该交易在实践中还可包括第四参数或数据项，其标识正在转移的特定资产，例如与交易有关的房屋或竞赛马。

[0049] 该方法可进一步包括将交易发送到至少一个接收者(或与至少一个接收者相关的地址)的步骤。

[0050] 交易可包括合约；和/或用于访问合约或访问包含合约的文件的信息。这为通过区块链转移合约或转移与包含合约的文件的位置相应的信息提供了便利。

[0051] 该交易可包括合约的散列。优点是为验证合约的真实性提供了一种手段的。

[0052] 该交易可包括至少一个加密签名。这提供了识别交易来源的优点。

[0053] 该交易可包括至少一个锁定脚本和至少一个公钥。这提供防止合约被交易的预期接收者以外的其他人赎回的优点。

[0054] 转移单元可与加密货币有关，其可与比特币相关的或无关。转移单元可是比特币的金额，区块链可为比特币区块链。这提供了可在现有基础设施上实现该方法的优点。

[0055] 因此，本发明提供了一种在区块链上安全转移合约的简单且有效的方案。

[0056] 一种计算机程序，包括机器可读指令，以使处理设备实施上述任何一种方法。

[0057] 一种设备，包括执行上述任一方法的处理设备。附图说明

[0058] 参考以下附图描述本发明的各示例：

[0059] 图1是用于创建和赎回令牌的示例系统的示意图；

[0060] 图2(a)是示出第一用户和发行方之间的第一种类型的交易示例的图，该第一种类型的交易包括创建令牌；

[0061] 图2(b)是示出第一用户和赎回发行方之间的第二种类型的交易示例的图，第二种类型的交易赎回令牌。

[0062] 图2(c)是示出第一用户和第二用户之间且由发行方促进的第三种类型的交易示例的图，第三种类型的交易导致令牌的价值从第一用户转移到第二用户；和

[0063] 图3(a)是示出第一用户和发行方之间的第四种类型的交易示例的图，第四种类型的交易赎回令牌的一部分价值；

[0064] 图3(b)是示出第一用户和第二用户之间且由发行方促进的第五种类型的交易示例的图，第五种类型的交易导致令牌的一部分价值从第一用户转移到第二用户；

[0065] 图4是用于创建令牌的计算机实现方法的流程图。

[0066] 图5是用户注册注册的计算机实现方法的流程图。

[0067] 图6是创建令牌的计算机实现方法的另一个示例的流程图。

[0068] 图7是赎回令牌的计算机实现方法的流程图。

[0069] 图8是图7所示的计算机实现方法中的附加步骤的流程图。

[0070] 图9是由发行方促进的从第一用户向第二用户转移价值的计算机实现方法的流程图；

[0071] 图10是图9所示的计算机实现方法中的附加步骤的流程图。

[0072] 图11是赎回令牌的计算机实现方法的变型的流程图，其中赎回脚本被发送到第一用户以进行签署；

[0073] 图12是由发行方促进的从第一用户向第二用户转移价值的计算机实现方法的变型的流程图，其中将赎回脚本发送到第一用户以进行签署；和

[0074] 图13示出示意性示例处理设备。

[0075] 现在将描述用于创建、赎回和转移令牌的方法和系统。图1示出系统1，其包括发行方(I)3、第一用户(A)5和第二用户(B)7。发行方(I)3创建令牌，发行方(I)3可为例如银行、另一个金融机构、铸币厂、公司等。发行方(I)3与第一处理设备13相关，用于实施方法100、200、300，发行方(I)3与通信网络8通信。尽管第一处理设备13显示为单个节点，但是应当了解本文描述的方法100、200、300可由与发行方(I)3相关的多于一个的处理设备13或节点实施，一个或多个步骤可在不同的节点分发和执行。发行方(I)还可具有关联的数据存储11。

[0076] 第一用户(A)5与第二处理设备15相关，并通过通信网络8，与发行方(I)3的第一处理设备13通信。第一用户(A)5可请求发行方(I)3创建令牌，与发行方(I)3兑换令牌，或请求将令牌的部分或全部价值转移给第二用户(B)7。

[0077] 第二用户(B)7与第三处理设备17相关，并通过通信网络8，与第一处理设备13通信。在一些示例中，第二处理设备15和第三处理设备17可为由对应的第一和第二用户5、7使用的计算机、移动通信设备或其它电子设备。在其它示例中，第二处理设备15和第三处理设备17可为第一和第二用户经由终端或其它接口可访问的虚拟机。

[0078] 还示出用于记录交易的点对点分布式分类帐9。点对点分布式分类帐9可与一个或多个处理设备19相关以接收和记录交易。点对点分布式分类帐的示例包括区块链，其是基于比特币协议的交易的分布式数据库。因此，与分类帐相关的处理设备19可为由“矿工”使用的处理设备。涉及令牌的交易的概述

[0079] 在非限制性示例中，存在涉及令牌的三种通常类型的交易，如图2所示。在该示例中，发行方(I)是金融机构，其还管理第一用户(A)5和第二用户(B)7的电子钱包。

[0080] 如图2(a)中所示，第一种类型的交易涉及第一令牌(T1)的创建，其中第一用户(A)转移法定货币(例如，$1,000AUD)给发行方(I)3。在法定货币的交换中，发行方(I)“令牌化”第一数量的加密货币(B1)，使其具有令牌价值，并且发行方(I)将该第一数量的加密货币(B1)转移给第一用户(A)5。第一令牌(T1)可代表合约，例如合约规定发行方(I)同意以特定的法定货币量(例如$1,000AUD)赎回第一令牌(T1)的持有人。因此，第一令牌(T1)可类似于可转让票据。“加密货币”是指加密的、可电子转移的数字资产，例如但不限于比特币。

[0081] 如图2(b)中所示，第二种类型的交易涉及与发行方(I)3从第一用户(A)5赎回第一令牌(T1)。在该交易中，第一数量的加密货币(B1)从第一用户(A)5转移到发行方(I)3。作为回报，发行方(I)3以法定货币的形式将赎回的值发送给第一用户(A)5。转移到发行方(I)3的第一数量的加密货币(B1)可在其它后续交易中花费。发行方(I)3可选择其持有的第一数量的加密货币(B)是否保持“令牌化的”或被转换为“非令牌化的”加密货币。

[0082] 如图2(c)中所示，第三种类型的交易涉及第一用户(A)5将第一令牌(T1)的价值转移给第二用户(B)7。在该示例中，表示第一令牌(T1)的第一数量的加密货币(B1)从第一用户(A)5转移到第二用户(B)7。发行方(I)3参与该交易，因为发行方(I)需要签署赎回脚本(下面讨论)以授权交易。该交易的结果是第二用户(B)7具有第一数量的加密货币(B1)，第一数量的加密货币(B1)具有令牌价值，该令牌价值可通过与发行方(I)3兑换而被“花费”(以与上面讨论的类似方式)或可转移给另一个用户。

[0083] 在一些情形下，第一用户(A)5仅可花费第一令牌(T1)的价值的一部分。参考图3(a)和3(b)，这将描述为第四和第五种类型的交易，图3(a)和3(b)是上面讨论的第二和第三种类型的交易的变型。在这些示例中，第一令牌(T1)具有由第一部分(R1)加上第二部分(R2)组成的总令牌价值，并且第一用户(A)5希望“花费”第一部分(R1)并将第二部分(R2)作为找零退回。

[0084] 在第四种类型的交易中，如图3(a)中所示，第一用户(A)5具有代表来自先前交易的第一令牌(T1)的第一数量的加密货币(B1)。然后，第一用户(A)通过将一定数量的加密货币作为具有第一部分(R1)的价值的令牌进行转移来赎回令牌(T1)的第一部分(R1)，并且作为回报，第一用户(A)接收具有代表第一部分(R1)的价值的法定货币。由于仅赎回了第一部分(R1)，剩余的第二部分(R2)与第一用户(A)5保持在一起。这被表示为第二数量的加密货币(B2)并作为具有表示第二部分(R2)的价值的令牌。在一个示例中，第二数量的加密货币(B2)是第一数量的加密货币(B1)减去转移到发行方(I)3的数量。

[0085] 在第五种类型的交易中，如图3(b)中所示，第一用户还具有表示来自先前交易的第一令牌(T1)的第一数量的加密货币(B1)。然后，第一用户(A)通过将第三数量的加密货币(B3)作为具有第一部分(R1)的价值的令牌转移给第二用户(B)7来转移令牌(T1)的第一部分(R1)。由于仅转移第一部分(R1)，剩余的第二部分(R2)与第一用户(A)5保持在一起。这被显示为第二数量的加密货币(B2)作为具有表示第二部分(R2)的价值的令牌。在一个示例中，第二数量的加密货币(B2)和第三数量的加密货币(B3)从第一数量的加密货币(B1)派生而来。

[0086] 现在将描述上述类型的交易的详细示例。第一种类型的交易——发行方为第一用户(A)创建第一令牌(T1)

[0087] 本文描述的方法的非限制性的应用示例包括存入法定货币量(例如，$1000AUD)到发行方(I)(例如金融机构)的第一用户(A)5，发行方(I)继而为第一用户(A)5创建代表存入的法定货币的价值的第一令牌(T1)。取决于特定条款和条件，第一用户(A)5可在未来的日期兑换与存入的法定货币相关的价值的第一令牌(T1)。条款和条件还可允许第一用户(A)5具有转移给第二用户(B)的令牌的至少一部分价值。这些条款和条件可为特定于令牌的，或可为用户5、7和发行方(I)3之间的一般条款和条件。创建令牌的方法概述

[0088] 现在将参考图2(a)和4描述由在发行方(I)3的第一处理设备13创建第一令牌(T1)的方法100的示例。方法100包括通过通信网络8接收110来自第一用户(A)5的对第一令牌(T1)的请求。该方法进一步包括确定120第一用户公钥(P1A)，其与第一用户私钥(V1A)形成密码对。

[0089] 方法100包括分配130第一数量的加密货币(B1)，以与第一令牌(T1)相关。方法100进一步包括确定140第一赎回脚本(RS1)的第一散列(H1)，其中第一赎回脚本(RS1)基于：至少第一元数据(MD1)，其包括与第一令牌(T1)相关的信息；第一用户公钥(P1A)；和与发行方(I)相关的第一发行方公钥(P1I)，其中第一发行方公钥(P1I)与第一发行方私钥(V1I)形成密码对。

[0090] 方法100还包括通过通信网络8，发送150第一数据输出(O1)到点对点分布式分类账9。第一数据输出(O1)包括：将第一数量的加密货币(B1)给到第一用户(A)5的交易的指示；和第一散列(H1)，其中第一散列(H1)与第一数量的加密货币(B1)相关，以提供与第一用户(A)5和发行方(I)相关的第一令牌(T1)。

[0091] 因此，方法100允许创建令牌，由此该令牌的记录被发送到点对点分布式分类帐9。在点对点分布式分类帐9上记录该交易的优点在于它可允许诸如第一用户(A)5的接收者验证令牌(T1)的存在。此外，由于包括与第一令牌(T1)相关的信息的至少第一元数据(MD1)进行了散列处理，这允许根据与令牌相关的信息对交易(在公共记录上)进行验证。在一个示例中，与第一令牌(T1)相关的信息可为合约的条款和条件。因此，在将进行了散列处理的第一赎回脚本中包括条款和条件，好处在于可使第一用户(A)5(或任何其它用户)感到舒适，因为任何变化将改变第一散列(H1)，所以条款和条件不能被改变。由于在创建第一令牌(T1)时，将第一散列(H1)发送并记录在点对点分布式分类账9上，因此在以后会提供相同的第一散列(H1)的时间点，更改条款和条件是不可能的(或困难的)。
现在将描述发行方(I)3为第一用户(A)5创建令牌的详细示例，包括初始注册过程400。
注册方法400

[0092] 现在将参考图5描述注册方法400。方法100可包括确定312第一用户(A)5是否具有发行方(I)的账户。特别地，这可包括确定第一用户(A)5是否具有适合于促进与第一令牌(T1)相关的交易的账户。

[0093] 如果第一用户(A)5不具有帐户，则该方法可进一步包括通过通信网络8，发送314为第一用户(A)开立帐户的请求。开立账户的请求可包括向第一用户(A)5发送用于发行方(I)的账户的条款和条件的一般细节，以及向第一用户(A)5发送接受条款和条件的请求。这还可包括发送对第一用户(A)5的细节的请求。

[0094] 另外，发送开立账户的请求还可包括发送用于生成密码对的请求，该密码对包括第一用户(A)5的第一用户私钥(V1A)和第一用户公钥(P1A)。在一些示例中，这可包括向与发行方(I)相关的另一节点发送请求以生成第一用户私钥(V1A)和第一用户公钥(P1A)，由此另一节点继而生成第一用户私钥(V1A)和第一用户公钥(P1A)并发送到第一用户(A)5。在其它示例中，这可包括向第一用户(A)5发送在与第一用户(A)5相关的第二处理设备15处生成第一用户私钥(V1A)和第一用户公钥(P1A)的请求。应当了解，与第一用户(A)5相关的这些密钥可由其它方法生成，或在其它工具处生成，只要第一用户私钥(V1A)是安全的，并且仅在第一用户(A)5的授权下使用。

[0095] 第一用户(A)5可接收714开立账户的请求，继而向发行方(I)3发送716开立账户的信息。

[0096] 注册方法400还也可包括创建316与第一用户(A)5的账户相关的电子钱包，并且将与该电子钱包和账户相关的信息存储在数据存储11中。

[0097] 在一些示例中，第一用户私钥(V1A)可存储在电子钱包中，从而理想地，第一用户私钥(V1A)仅可在第一用户(A)5的授权下访问。例如，电子钱包可具有与第一用户(A)5相关的多个私钥，由此当第一用户(A)5成功且安全地用发行方(I)3登录时(例如在虚拟机环境或终端中)，第一私钥可用。然后，第一用户(A)5可选择性地授权发行方(3)以从数据存储11中获取和使用这些私钥进行交易。在一些示例中，用户私钥不是存储在电子钱包中，但能够由发行方(I)3用来自相应用户的授权来重新创建。在又一个示例中，用户私钥可为拆分密钥，其中电子钱包具有一部分而用户具有剩余部分，由此它们可组合以重新创建私钥。

[0098] 在其它示例中，第一用户私钥(V1A)可与发行方(I)、第一处理设备13和数据存储11保持分离。例如，第一用户(A)5可将第一用户私钥(V1A)的硬拷贝保存在个人电子设备、计算机或存储设备的保险的或安全的部分中。

[0099] 应当了解，方法400中的步骤可在方法100期间执行，例如在接收110来自第一用户(A)5的请求第一令牌(T1)的步骤之后。在其它示例中，可预先实施该方法或注册400。创建令牌100的详细方法

[0100] 现在将参考图2(a)、4和6(分别示出由发行方(I)3和第一用户(A)5实施的方法100和500)详细描述创建第一令牌(T1)的方法100。。在该示例中，将在第一用户(A)5通过发行方(I)3存入现金以换取代表存入现金的令牌的背景下讨论创建令牌。然而，应当了解，这是非限制性示例，可在其它交易的背景中创建令牌。例如，令牌可代表任何其它合约、可转让票据、有形资产等，也可表示包括用于设置障碍而设的访问代码的可转移资产，例如在代表场地券或旅行券或代金券的令牌的情况下。同意用于令牌的条款和条件

[0101] 在注册方法400之后或之前，第一用户(A)5可发送510对第一令牌(T1)的请求。在一个示例中，第一用户(A)5通过存入法定货币(例如$1000AUD)来进行该请求，并请求将该金额用于令牌(T1)。

[0102] 在一个示例中，由第一用户(A)5发送的请求可包括合约的要约。该要约可包括合约的一个或多个条款和条件。例如，第一用户(A)5可在请求中包括与存入的$1000 AUD的相关的令牌应当具有与加密货币固定的钉住汇率钉住汇率。例如，要求钉住汇率为1000satosshi/cent(AUD)。应当了解，在要约中可包括其它条款和条件，例如账户保管费、交易费，如何赎回令牌等。

[0103] 如图6中所示，通过通信网络8，发行方(I)的第一处理设备13接收110来自第一用户(A)5对第一令牌(T1)的请求，在某些情况下，至少条款和条件中的一些。然后，发行方(I)可确定112是否接受该请求，提出包括修改请求的条款和条件的的还价，或拒绝该请求。然后，方法100包括通过通信网络8，发送114步骤112中确定的结果。

[0104] 然后，第一用户(A)5可通过通信网络8，接收520步骤112中确定的结果，该结果包括接受、还价或拒绝请求。

[0105] 在一个备选示例中，发送510到发行方(I)的请求可简单地包括对第一令牌(T1)的请求。在这种情况下，发行方(I)可向第一用户(A)5发送包括条款和条件的要约。第一用户(A)5继而可确定是否接受要约、提出还价或拒绝要约，然后将确定的结果发送到发行方(I)。

[0106] 应当了解，步骤510、520和110、112、114可被修改为包括在发行方(I)和第一用户(A)5之间发送和接收的多轮要约和还价，直到它们达成一致为止。

[0107] 在一些备选方案中，可标准化条款和条件，由此用户通过实施方法100、500中的步骤来接受条款和条件。在一个示例中，发行方(I)可具有包括第一用户(A)5在内的其客户提供令牌的标准化要约。这些令牌的要约可公开列出，例如在公共交易所或发行方的网站上。发行方(I)也可私下向第一用户(A)5提供有效要约，例如通过电子邮件，通过应用程序，或通过登录安全网站。

[0108] 与令牌相关的条款和条件可存储在数据存储11中，发送给第三方存储或用作种子文件。确定第一用户公钥120

[0109] 方法100包括确定120第一用户公钥(P1A)。在一个示例中，第一用户公钥(P1A)可通过通信网络8由第一用户(A)5发送530给发行方(I)。在另一示例中，第一用户公钥(P1A)可关联存储在数据存储11中(例如，可在第一用户(A)5注册期间接收和存储)。因此，确定120第一用户公钥(P1A)的步骤包括从数据存储11中获取密钥。在又一示例中，可通过通信网络8，从第三方接收第一用户公钥(P1A)。第三方可包括，例如，充当公共目录的可信第三方，例如发证机构。
分配与令牌130相关的第一数量的加密货币

[0110] 方法100包括分配130与第一令牌(T1)相关的第一数量的加密货币(B1)。为了将涉及第一令牌(T1)的交易的记录记录在点对点分布式分类账(在该示例中是区块链)中，该令牌必须与一定数量的加密货币相关联。继而，该数量的加密货币被记录在点对点分布式分类账上，作为从发行方(I)3到第一用户(A)5的交易。换句话说，区块链交易Tx被提交给区块链网络以包含在分类账中。Tx包括输出，该输出可用于将该数量的加密货币(或其所有权/控制权)从一方(例如发行方)转移到另一方(例如第一用户)。

[0111] 与第一令牌(T1)相关的第一数量的加密货币(B1)的分配可基于令牌价值的比率。例如，可为第一令牌(T1)指定钉住汇率(PR1)。因此，分配130第一数量的加密货币(B1)的步骤可包括基于钉住汇率(PR1)和第一令牌价值(TV1)确定第一数量的加密货币(B1)。作为说明性示例，钉住汇率(PR1)可为1000satoshis/cent AUD，第一令牌价值(TV1)是$1000 AUD。
因此，第一数量的加密货币(B1)可为10,000,000。

[0112] 为令牌分配的加密货币的数量可能受以下某些考虑因素的影响。首先，在理想情况下，分配的该数量的加密货币具有小于令牌的价值(“令牌价值”)的市场价值(为此，这表示假设加密货币具有价值，加密货币的市场价值在其自身，无需参考令牌价值)。这是合乎需要的，使得没有动机将该数量的加密货币用于潜在价值而不是作为令牌。这可能类似于现金硬币，硬币的面值高于铸造硬币的金属的价值是可取的，因此没有欲望熔化硬币而得到金属的价值。在一些示例中，令牌价值是该数量的加密货币的潜在价值的几倍。然而，应当了解，某些令牌可能没有固定的或容易确定的令牌价值。例如，令牌可代表执行工作的合约，由此该价值可每天改变。在其它示例中，合约可能仅具有在兑换当天可确定的价值。

[0113] 另一个考虑是，相对于令牌价值或交易的价值，分配的加密货币的数量不应太大，因为在点对点分布式分类账上记录该数量的加密货币的交易可能是有代价的，如收取交易费。在一些示例中，交易费基于交易中的加密货币的数量，因此可能希望将令牌的加密货币的数量保持在最小水平。

[0114] 另一方面，分配用于与令牌相关的加密货币的数量不能无限小。首先，加密货币可具有最小面值金额，且例如，比特币具有最小量的一个satoshi(其中1比特币(BTC)＝10,000,000satoshi)。其次，加密货币的交易可被限制到最小否则不会被记录(或交易的成本将接近或超过执行交易的成本)。在一些示例中，该最小量是“尘埃”极限。因此，在一些示例中，为令牌分配一定数量的加密货币必须高于加密货币的最小阈值(MT1)。因此，方法100可包括确定适合于第一令牌(T1)的加密货币的最小阈值(MT1)以及确定处于或高于加密货币的最小阈值(MT1)的第一数量的加密货币(B1)。在一个示例中，“比特币”中，加密货币的最小阈值(MT1)是546satoshis。

[0115] 为令牌分配该数量的加密货币时的另一个考虑是用于后续令牌的该数量的加密货币的可分性。例如，第一令牌(T1)可具有$1000 AUD的令牌价值(TV1)，第一用户(A)5可能希望将$800 AUD的令牌价值转移给第二用户(B)7并保持剩余的$200 AUD令牌。这样的交易会涉及使用第一令牌(T1)的交易，其导致代表$200 AUD的第二令牌(T2)作为找零与第一用户(A)5保持在一起，并且创建要转移给第二用户(B)7的代表$800 AUD的第三令牌(T3)。因此，这种转移的结果是两个令牌，第二令牌(T2)和第三令牌(T3)，其中这些令牌中的每一个也必须被分配一定数量的加密货币。如果第一数量的加密货币(B1)是最小的，例如在“尘埃”极限，则将需要获得更多数量的加密货币，以便创建的每个新令牌也都与足够数量的加密货币相关联以满足最低阀值。因此，为第一令牌(T1)分配足够数量的加密货币(B1)可能是有利的，使得该数量足以被分割以用于预期数量的后续令牌。在一个示例中，条款和条件可指定加密货币的数量或令牌的最小价值或面额。例如，条款和条件可将令牌价值的最小面额设置为$10AUD。因此，为第一令牌(T1)分配$1000 AUD的令牌价值(TV1)的第一数量的加密货币(B1)可包括确定第一数量，该数量将确保如果整个令牌价值(TV1)被分割为最小面额，存在足够的加密货币。在该示例中，令牌价值(TV1)可被分割为100个后续令牌(由$1000/$10计算)。因此，合适的第一数量的加密货币(B1)可为“尘埃”极限的100倍。
确定第一赎回脚本(RS1)的第一散列(H1)140

[0116] 该方法进一步包括确定140第一赎回脚本(RS1)的第一散列(H1)。在一个示例中，赎回脚本的散列可用于为脚本散列交易的付费提供到付费脚本散列(P2SH-pay-to-script-hash)的地址。一个示例包括比特币协议中使用在P2SH脚本中的散列函数。这可包括SHA 256和RIPEMD160的组合。

[0117] 第一赎回脚本(RS1)是可用于解锁第一令牌(T1)的脚本，如稍后所讨论的，第一令牌(T1)包括第一数量的加密货币(B1)的交易。当解锁第一令牌(T1)时，必须满足第一赎回脚本(RS1)的某些条件以解锁交易。特别是，需要第一用户(A)5和发行方(I)的签名。现在将描述第一赎回脚本(RS1)的示例。第一赎回脚本(RS1)

[0118] 第一赎回脚本(RS1)基于：至少第一元数据(MD1)，其包括与第一令牌、第一用户公钥(P1A)和第一发行方公钥(P1I)相关的信息。(i)P2SH中的赎回脚本总述

[0119] 作为背景，在付费脚本散列方法中，赎回脚本可采用以下形式：
其中
NumSigs-是满足兑换脚本以解锁交易所需的有效签名的数量“m”
PubK1，PubK2...PubK15-是与解锁交易的签名相应的公钥(达到最大15个公钥)NumKeys-是公钥的数量“n”(必须为15或更小)

[0120] 为了解锁上述赎回脚本，需要对应于公钥的至少数量“m”个签名。在一些示例中，公钥的顺序是重要的，并且用于签署的“n”个中的数量“m”的签名必须按顺序完成。例如，假设“m”是2并且公钥的数量“n”是15。假设有两个签名可供使用，例如Sig1(对应于PubK1)，Sig15(对应于PubK15)，赎回脚本必须首先由Sig1签署，然后是Sig15。(ii)使用P2SH的第一赎回脚本(RS1)

[0121] 回到本示例，利用P2SH的第一赎回脚本(RS1)可包括赎回脚本中的至少第一元数据(MD1)。特别地，至少第一元数据(MD1)可嵌入在赎回脚本中可用于公钥的15个位置中的一个或多个中。

[0122] 因此，在一个示例中，第一赎回脚本(RS1)可采取以下形式：其中
NumSigs-是满足赎回脚本以解锁交易所需的有效签名的数量“m”
Metadata 1和Metadata 2包括代替公钥位置的元数据
PubK1和PubK2-是实际的公钥。在一个示例中，PubK1可是第一用户公钥(P1A)，PubK2可是发行方公钥(P1I)
NumKeys-是元数据和公钥所占位置的总数(必须为15或更少)。

[0123] 这样做的优点是元数据将被包括在第一赎回脚本(RS1)中，继而将对该脚本进行散列处理，并且其记录将被包括在点对点分布式分类帐9中。因此，如果不是不可能的话，改变元数据的值而不引起第一赎回脚本散列(RS1)的相应散列的改变会是困难的。

[0124] 以下示例可说明实际的优点。第一用户(A)5和发行方(I)3可能希望签订具有特定条款和条件的合约。合约可包括创建令牌的发行方(I)，其中特定的条款和条件包括在赎回脚本中嵌入的元数据中。然后将赎回脚本的散列记录在点对点分布式分类帐9上，该记录变为难以或不可能改变的交易记录。假设发行方(I)试图欺骗第一用户(A)5，例如试图修改条款并声称经修改的条款在最初约定的合约中。第一用户(A)5可通过将经修改的条款放在赎回脚本的元数据中并对其进行散列，然后显示这与在点对点分布式分类账上记录的赎回脚本不匹配来对此进行争辩。因此，将与令牌相关的信息包括在至少第一元数据中，可对确保令牌的完整性有用。

[0125] 应当了解，赎回脚本中的元数据本身可包括其它信息的散列。例如，如果条款和条件很长，则可使用条款和条件的散列来提供较短的元数据。

[0126] 第一赎回脚本(RS1)可存储在数据存储11中，作为记录并用于赎回第一令牌(T1)。在一些备选示例中，可将第一赎回脚本发送给第一用户(A)5或第三方。
元数据

[0127] 在本示例中，第一赎回脚本(RS1)采用以下形式：<2 Metadata1 Metadata2 P1A P1I 4 OP_CHECKMULTISIG>

[0128] 因此，至少第一元数据(MD1)包括占据赎回脚本中的两个位置的Metadata1和Metadata2。两个公钥依次跟随其后，即第一用户公钥(P1A)和第一发行方公钥(P1I)。NumSigs为2，表示需要两个签名来解锁交易。

[0129] 元数据可以多种方式包括关于令牌的信息。如所讨论的，在一个示例中，条款和条件可包括在元数据中。在另一示例中，条款和条件的散列可包括在元数据中。在又一示例中，元数据可包括指向包含合约的条款和条件的文件的指针。在进一步的实施例中，包括以上中的一个或多个的组合可包括在元数据中。(i)具有指向条款和条件的指针的元数据

[0130] 第一元数据(MD1)的具体示例在下表1中示出。表1

[0131] 该示例包括与令牌和交易相关的最少量信息。该示例包括提供指向合约的指针，在合约的大小排除了元数据中包括的这样的细节的情况下，该指针可能是有用的。此外，由于元数据可公开，或通过不安全的网络传输，因此出于隐私原因，可能希望掩藏或隐藏令牌的特定细节。

[0132] metadata1的前4个字节表示合约的类型。例如，合约类型可能是“法定货币”。接下来的16个字节保存实际电子合约文件的位置的IP地址，允许IPv6地址。注意，在一些实施例中，该值可指向torrent文件的种子，使得合约文件可在云上分发而不是集中。跟随着的12个字节包含特定于合约类型的数据。

[0133] metadata2的前20个字节是在应用于文件的SHA256上使用RIPEMD-160的实际合约文件的散列。由于实际合约文件是可获取的，这允许根据合约验证交易。注意到，根据特定实施例的要求，合约文件本身可为完全公开的(未加密的和人类可读的)或可加密以保护隐私。根据合约的类型，可使用metadata2的剩余的12个字节的内容。(ii)具有令牌的关键参数的元数据

[0134] 第一元数据的另一具体示例如表2所示，如下：表2

[0135] 在该示例中，在元数据中包含令牌的一些关键参数。通过关键参数，这可包括与令牌本身相关的信息或可辅助处理交易的信息。特别是，分配给子字段上表1中的“ContractTypeData1”的子字段用于表示：法定面额、钉住汇率和交易类型。

[0136] 重要的是，在元数据中包括关键参数可有助于更高的处理效率，因为在某些情况下，发行方(I)3可在交易中处理令牌，而无需为了处理交易所需的关键信息而获取合约文件。

[0137] 除了上述信息外，还可包括与令牌或令牌之前的令牌的历史有关的其它信息。例如，如果第一用户(A)5希望赎回第一令牌(T1)的一部分并且发行方(I)创建第二令牌(T2)以表示剩余部分的价值，则发行方可将信息嵌入元数据中以将第二令牌(T2)与第一令牌(T1)相关联。对于诸如银行的发行方(I)来说，这可帮助发行方(I)负责并跟踪令牌而无需追踪交易历史中的花费，，这种追踪可为密集通信任务。

[0138] 在表2中，元数据包含2字节字段以指示法定货币(FiatDenomination)以及称为PeggingRate的1字节字段。钉住汇率由发行方(I)设定。可为相同的法定货币设置几种不同的比率，然而，对于每种不同的比率，将需要不同的令牌(用于不同的合约)。比率的选择可由发行方(I)自行决定，然而对于如上所讨论的令牌的该数量的加密货币的分配，可对钉住汇率采取类似的考虑。

[0139] 在一个示例中，PeggingRate是8比特编码值，如下：最左边的比特将用作标记：
1＝以satoshis/cent表示的比率('cent'是指法定货币的百分之一，这是最低法定数量)
0＝以cent/satoshis表示的比率
最右边的七比特以二进制中的十的幂表示比率，例如：USD 10000010表示
100satoshis/cent的比率(标记开启)
PHP 00000000表示1 centavo/satoshi的比率(标记关闭)
IDR 00000001表示10 rupiah/satoshi的比率(标记关闭)

[0140] 在一个示例中，TransactionType是1字节字段，指示交易是否是“发行”(其中令牌是从加密货币创建的)，支付(其中至少部分令牌价值从一个用户转移到另一个用户)；或赎回(令牌转移到发行方(I)并转换回常规加密货币)。

[0141] 在一些示例中，Metadata1和Metadata2中的“Padding”可包括每个交易的随机生成的值。结果是Metadata1和Metadata2中的每一个都会在交易之间变化。一个优点是，这可降低不道德的人试图确定私钥的风险和动机，而该私钥会与Metadata1或Metadata2中的一个或两个作为密码对匹配(目的是使用这样的私钥来签署赎回脚本)。这对于标准化的令牌可能是重要的，其中Metadata1或Metadata2的剩余大部分是相同的。公钥

[0142] 第一用户公钥(P1A)和发行方公钥(P1I)分别与相应的第一用户私钥(V1A)和发行方私钥(V1I)配对。应当了解，公钥可能广为人知，而在其它示例中，可能希望根据需要传送公钥。在任何情况下，赎回脚本只需要公钥，因为只有在签署和解锁赎回脚本时(例如赎回令牌时)才需要相应的私钥。

[0143] 如上所述，在一些备选方案中，第一和第二用户5、7可通过虚拟机环境或终端访问他们的电子钱包。电子钱包可由发行方(I)3(或与发行方(I)3相关的服务器)托管，其中相应用户的私钥存储在数据存储11中但只能在该用户的授权下发行方(I)3才能访问(或重新创建)。在这种情况下，第一和第二用户5、7可授权将他们的私钥提供给发行方(I)3以解锁赎回脚本。这可包括授权将用户的私钥发送到发行方(I)3的第一处理设备13，其中第一处理设备13可用用户的私钥(例如P1A、P1B)和第一发行方公钥(P1I)解锁赎回脚本。将第一数据输出(Q1)发送到点对点分布式分类账150

[0144] 方法100进一步包括通过通信网络8，发送150第一数据输出(O1)到点对点分布式分类账9。该第一数据输出(O1)可包括将第一数量的加密货币(B1)交易到第一用户(A)5的指示。也就是说，记录与第一令牌(T1)相关的基础数量的加密货币(B1)已被转移到第一用户(A)5。第一数据输出(O1)还包括上面讨论的第一散列(H1)。第一散列(H1)与第一数量的加密货币(B1)相关，以提供与第一用户(A)5和发行方(I)相关的第一令牌(T1)的记录。

[0145] 重要的是，第一散列(H1)在点对点分布式分类账9上，点对点分布式分类账可用于证明或验证令牌(T1)、发行方(I)和第一用户(A)5之间的关系，和/或令牌的条款和条件的存在。

[0146] 该方法还可包括将第一赎回脚本(RS1)存储160在数据存储11中以供以后使用。

[0147] 现在将参考图2(a)描述创建第一令牌(T1)的交易的具体示例。第一用户(A)5向发行方(I)存入$1000AUD，以获得同等价值的令牌

[0148] 在该示例中，第一用户(A)5希望向发行方(I)存入$1000 AUD，作为回报发行方(I)通过将$1000 AUD的令牌价值(TV1)与10,000,000的第一数量的加密货币(B1)相关联，用$1000 AUD的令牌价值(TV1)来创建第一令牌(T1)。

[0149] 为了创建令牌，发行方(I)需要具有加密货币。这可源自先前交易，或源自对第一用户(A)5对第一令牌(T1)的请求的响应。这在图2(a)的左侧显示为“第一数量的(非令牌化的)加密货币”。

[0150] 下表3以交易-ID/Satoshis数量/锁定脚本的形式显示的始发交易输出。该始发交易输出表示发行方(I)从先前交易获得加密货币，其中至少一些加密货币将用于与第一令牌相关联。表3

[0151] 第一行“ID-201”是用于标识该交易的交易标识符。下一行是该交易中satoshis的数量，为50,000,000。第三行是该交易的锁定脚本(输出脚本)。该输出中的赎回脚本显示该输出已用第一发行方公钥(P1I)锁定。也就是说，可使用发行方的相应的第一发行方私钥(V1I)来解锁该交易。

[0152] 如上讨论，方法100包括分配适合于第一令牌(T1)的第一数量的加密货币(B1)。然而，发行方(I)手边的加密货币的数量可能不完全匹配加密货币(B1)的第一数量。在本示例中，所需的第一数量的加密货币(B1)是10,000,000，其远小于来自交易ID-201的50,000,000。

[0153] 因此，创建第一令牌(T1)的交易将包括对于令牌所不需要的过量的加密货币，将加密货币的找零提供回发行方(I)。

[0154] 此外，令牌100的创建可为需要向矿工支付交易费的交易。这参考下表4说明，表4显示用于创建令牌的交易。表4

[0155] 第一行“ID-210”是用于标识该交易的交易标识符。第二行指示“版本号”，其说明所使用的比特币协议的版本。第三行指示用于该交易的输入数量，指示单个输入。

[0156] 表4中的第四到第七行涉及那些“输入”，即先前交易，即为当前交易ID-210提供资金的ID-201。第四行是先前交易的交易标识符，第五行“IDX-00”是先前交易ID-201的输出索引(在这种情况下是对先前交易ID-201的第一输出的引用，应被使用)。第六行是“ScriptSig”，它是先前交易ID-201的解锁脚本。如上所述，先前交易用第一发行方公钥(P1I)锁定，该公钥由PubK-Issuer表示。因此，可使用表示为Sig-Issuer的发行方相应的第一发行方私钥(V1I)来解锁先前交易。第七行是与输入相关的序列号。

[0157] 在比特币交易中，每个都包含称为“序列号”的4字节字段，其不再被比特币核心使用。根据发行方的实施，一种选项是利用该字段将交易输入分配到输出。序列号可表示一串1比特标记，其中每个标记的位置从最右边的比特开始表示输入已将其部分资金贡献给已标记的输出。在该示例中，序列号“000000000000000000000000000000011”指示输入将被支付到输出1和2中，这将在下面描述。

[0158] 表4中的第8行指示该交易的输出数量，即两个。第9到11行指示第一输出，第12到14行指示第二输出。

[0159] 第一输出反映与第一令牌(T1)相关的第一数量的加密货币(B1)。第9行是第一数量的加密货币(B1)的输出值，即10,000,000satoshis。第10行指示输出脚本长度。第11行是输出脚本，即锁定第一数量的加密货币(B1)的锁定脚本。这包括第一赎回脚本(RS1)的第一散列(H1)，并表示为：OP_HASH160OP_EQUAL

[0160] “OP_HASH160”是一种类型的散列函数，其中输入用SHA-256进行两次散列处理-，随后用RIPEMD-160。该赎回脚本散列是第一赎回脚本(RS1)的散列，其形式为上述形式，该示例为：2 metadata1 metadata2 P1A P1I4 OP_CHECKMULTISIG

[0161] 这包括如上所述的第一用户公钥(P1A)和第一发行方公钥(P1I)。metadata1和metadata2可包括如上所述的元数据，包括这是“发行”交易的指示。OP_EQUAL提供用于验证输出的Boolean结果。

[0162] 第二输出反映交易中发行方的找零。考虑到先前交易ID-201，由于输入包括50,000,000satoshis，发行方(I)可期望接收剩余的satoshis。第12行是第二输出的输出值，即
39,999,000。第13行是输出脚本长度，第14行是第二输出的输出脚本。由于第二输出是回到发行方(I)的找零，发行方应当可自由地花费第二输出。因此，输出脚本(即锁定脚本)仅包括由表示的第一发行方公钥(P1I)。

[0163] 通常，交易的输出值必须等于或小于输入。在上面的示例中，输入为50,000,000，输出为49,999,000(基于第一输出的10,000,000和第二输出的39,999,000)。因此，赤字为1,000satoshis。在该示例中，1,000satoshis是交易费(例如矿工的费用)。
第二种类型的交易——第一用户(A)请求发行方(I)赎回令牌
赎回令牌的概述

[0164] 在该示例中，发行方(I)是为用户5、7提供电子钱包的服务提供商，其中用户的私钥安全保存在与发行方(I)3相关的数据存储11中。因此，在该示例中，用户5、7(或他们各自的处理设备15、17)不签署赎回脚本。反而，发行方(I)3在用户5、7的授权下签署赎回脚本。这可在图7中所示的方法200和600中示出，其中第一用户(A)5发送610赎回第一令牌的请求到发行方(I)3。无论是隐含地还是明确地，赎回第一令牌的这个请求还包括第一用户(A)5的授权，授权发行方(I)3使用第一用户私钥(P1A)来赎回第一令牌。

[0165] 方法200包括通过通信网络8，接收210来自第一用户(A)5的赎回第一令牌(T1)的请求610。方法200包括确定220与第一令牌(T1)相关的第一赎回脚本(RS1)。

[0166] 该方法也包括发行方(I)3接收235第一用户私钥(V1A)。在一个示例中，这包括从数据存储11中获取第一用户私钥(V1A)。可以理解，包含在由发行方(I)管理的电子钱包中的用户私钥应当安全保存。在另一个备选方案中，发行方(I)3可从另一个实体或节点接收第一用户私钥(V1A)。

[0167] 然后，发行方可用用户私钥(P1A)和第一发行方私钥(V1I)签署245第一赎回脚本。这可能是有利的，因为作为第一用户(A)5的服务提供商的发行方(I)3可在第一处理设备13处安全地执行这些步骤并且无需通过通信网络8发送签署或未签署的第一赎回脚本(RS1)。

[0168] 方法200还包括通过通信网络8，向点对点分布式分类账9发送260第二数据输出(O2)，该第二数据输出包括对将第一数量的加密货币(B1)发到发行方(I)的交易的指示。

[0169] 因此，方法200将与第一令牌(T1)相关的第一数量的加密货币(B1)返回到发行方(I)。在一个示例中，由于第一赎回脚本(RS1)用第一用户(A)5和发行方(I)二者的私钥签署，该交易中的第一数量的加密货币(B1)的接收者(为发行方(I)3)可随后在其它交易中花费第一数量的加密货币(B1)——无论作为单独的加密货币或与其它相关令牌共同使用。

[0170] 现在将描述用于赎回第一令牌(T1)的交易的具体示例。第一用户(A)5从发行方(I)以$1000AUD赎回第一令牌(T1)

[0171] 在该示例中，第一用户(A)5希望用如图2(b)所示的令牌价值请求发行方(I)赎回第一令牌(T1)。这导致从第一用户(A)5到发行方(I)的第一数量的加密货币(B1)的交易，下面称为交易ID-510。作为回报，发行方(I)向第一用户(A)提供$1000AUD的法定货币。

[0172] 在该示例中，通过解锁第一数量的加密货币(B1)并将它们转移到发行方(I)3来赎回第一令牌。将第一数量的加密货币(B1)转移回到发行方(I)允许发行方(I)3随后在未来的交易中花费第一数量的加密货币(B1)。发行方(I)3也可通过一个或多个移除元数据的交易(可包括将第一数量的加密货币(B1)转移回到发行方(I)3的赎回交易)“去令牌化(detokenize)”第一数量的加密货币(B1)。发行方(I)可进一步花费这种加密货币而不需要来自第一用户(A)5或其它用户的授权(例如签名)。

[0173] 在描述赎回第一令牌的交易ID-510之前，我们将简要描述作为当前赎回交易ID-510的输入的始发交易输出(来自交易ID-210和ID-610)。通常，这两个输入包括与第一令牌(T1)相关的第一数量的加密货币(B1)，以及至少部分用于支付交易费(例如矿工费用)的另一数量的加密货币。

[0174] 从前面的示例中，第一用户(A)5在交易ID-210中接收第一数量的加密货币(B1)。在交易ID-210中，去到第一用户(A)5的输出可概括为：
表5

[0175] 表5中的第二行指示与第一令牌(T1)相关的第一数量的加密货币(B1)，其数量为10,000,000satoshis。第三行表示输出脚本，其等同于上述表4中的第11行。从前面的示例中，创建第一令牌(T1)的交易ID-210具有两个输出，但只有与第一数量的加密货币(B1)对应的第一输出与赎回交易ID-510相关。如表4所示，交易ID-210中的第二输出为回到发行方(I)的找零。

[0176] 发行方(I)还需要支付赎回交易ID-510的交易费(例如矿工费)，该支付部分来自先前交易ID-610接收到的一定数量的加密货币。该数量的加密货币可概括为：表6

[0177] 表6的第二行指示来自先前交易的加密货币的数量,为9,999,000。表6的第三行是来自该先前交易的输出脚本。由于来自该交易ID-610的加密货币与令牌(或与令牌相关的用户)无关，赎回脚本散列只是显示为PubK-Issuer的第一发行方公钥(P1I)的散列。也就是说，为了花费来自交易ID-610的输出，这仅需要用第一发行方私钥(V1I)签署。

[0178] 现在将参考下表7讨论用于赎回第一令牌(T1)的交易ID-510。表7

[0179] 表7的第三行指示存在两个输入，第14行指示该交易ID-510中有两个输出。

[0180] 第一输入显示在第4到8行，它是待赎回的第一数量的加密货币(B1)的输入，它来自先前交易ID-210。第五行为标记为“IDX-00”的先前交易输出索引，是指交易ID-210的第一输出，是第一数量的加密货币(B1)。第7行显示的ScripSig允许花费第一数量的加密货币(B1)。这显示第一赎回脚本(RS1)需要四个签名中的两个，且特别是用第一用户私钥(V1A)和第一发行方私钥(V1I)进行签署。

[0181] 第二输入显示在第9到13行，这来自用于资助当前交易ID-510的先前交易ID-610。第12行的ScriptSig要求用第一发行方私钥(V1I)签署包含第一发行方公钥(P1I)的先前输出脚本。

[0182] 第一输出显示在第15到17行，其输出为10,000,000satoshis。这对应于来自第一令牌(T1)的第一数量的加密货币(B1)。输出脚本在第17行，且相应的赎回脚本为：1 metadata1 metadata2 PubK-Issuer 3 OP_CHECKMULTISIG

[0183] 该赎回脚本包括来自第一令牌的元数据以及显示为PubK-Issuer的发行方公钥(P1I)。该赎回脚本需要三个签名中的一个来花费10,000,000satoshis。实际上，第一发行方私钥(V1I)可用于签署，并在后续交易中花费加密货币。值得注意的是，第一用户公钥(P1A)不在该赎回脚本中。这是因为该数量的加密货币已经被发行方(I)赎回，因此可被认为由第一用户(A)5花费。因此，发行方(I)应当自由地花费该数量的加密货币而无需授权(例如通过第一用户(A)5的签名的隐式授权)。

[0184] 然后，发行方3可使用发行方公钥(P1I)进行进一步的交易，以从输出脚本(在第17行)赎回该赎回脚本，由此进一步的交易产生没有元数据的输出脚本。

[0185] 尽管上面提到的第一输出保留来自赎回脚本中的第一令牌(T1)的元数据，应当了解，在一些备选方案中，由于第一令牌(T1)已被赎回且因此“去令牌化”，该元数据不需要包括在第一输出中。也就是说，第一数量的加密货币(B1)可在赎回交易期间通过移除相应的第一和/或第二元数据(MD1/MD2)与第一令牌(T1)解除关联。此外，应当了解，输出脚本可为由发行方(I)指定的其它形式。

[0186] 第二输出显示在第18到20行，其输出为9,998,000satoshis。这与对应于具有9,999,000satoshis的交易ID-610的输入形成对比。1,000satoshis的差异反映该交易的矿工费用。
第四种类型的交易——第一用户(A)从发行方(I)赎回第一部分
赎回第一令牌(T1)的一部分价值

[0187] 在以上示例中，第一用户(A)5赎回第一令牌(T1)的整个价值。然而，在一些示例中，第一用户(A)5可能想要仅赎回第一令牌(T1)的一部分价值。

[0188] 参考图3(a)和8，第一令牌(T1)具有可包括第一部分(R1)和第二部分(R2)的总和的令牌价值。因此，第一用户(A)5可通过通信网络8，发送610赎回第一令牌(T1)的第一部分(R1)的价值的请求。继而，发行方(I)3通过通信网络8，接收210来自第一用户(A)5的赎回第一令牌(T1)的请求。然后，发行方可执行如上所述的用于赎回第一令牌(T1)的步骤220、230、240和250。

[0189] 然而，由于第一用户(A)5已经请求赎回总令牌价值(T1)的第一部分(R1)的价值，剩余的第二部分(R2)的价值将需要分配给第二令牌(T1)返回给第一用户(A)5。现在将参考图8描述第二令牌。

[0190] 第一用户(A)5可通过通信网络8，发送645第一用户公钥(P1A)到发行方(I)3以创建第二令牌(T2)。继而，方法200包括发行方(I)确定255来自第一用户(A)5的第一用户公钥(P1A)。应当了解，发行方(I)可能已经具有来自先前交易(或电子钱包中)的第一用户公钥(P1A)，在这种情况下，可能不需要由第一用户(A)5再次发送第一用户公钥(P1A)。反而，可从数据存储11和/或第三方接收第一用户公钥(P1A)。

[0191] 在又一备选方案中，第一用户(A)5可能希望将不同的密码对用于第二令牌(T2)。因此，发送645和确定255第一用户公钥的步骤可包括与第一令牌(T1)相关的第一用户公钥不同的第一用户公钥。

[0192] 然后，方法200包括分配265第二数量的加密货币(B2)以与第二令牌(T2)相关，其中第二令牌具有基于第二部分(R2)的第二令牌价值(TV2)。分配265第二数量的加密货币(B2)的步骤可包括与分配上述第一数量的加密货币(B1)类似的考虑。

[0193] 在一些示例中，第二令牌(T2)的钉住汇率(PR2)与第一令牌(T1)的钉住汇率(PR1)相同，这对于第一用户(A)5可能是合乎需要的，由于第一(T1)和第二(T2)令牌的条款和条件保持相同，例外的是令牌价值的量子。

[0194] 在其它示例中，第二数量的加密货币(B2)可能需要处于或高于加密货币(MT2)的最小阈值，该最小阈值与第一令牌(T1)的加密货币(MT1)的最小阈值不同。因此，分配265第二数量的加密货币(B2)可包括确定第二令牌(T2)的加密货币(MT2)的最小阈值，并确定处于或高于第二令牌(T2)的加密货币(MT2)的最小阈值的第二数量的加密货币(B2)。

[0195] 方法200进一步包括确定275第二赎回脚本(RS2)的第二散列(H2)，其中第二赎回脚本(RS2)基于：至少第二元数据，其至少部分基于与第一令牌(T1)相关的第一元数据(MD2)；第一用户公钥(P1A)；以及与发行方(I)相关的第一发行方公钥(P1I)。

[0196] 至少第二元数据(MD2)可包括例如与第一令牌(T1)的一个或多个条款和条件的关联。因此，第二令牌(T2)可具有与第一令牌(T1)相同或类似的特征，尽管具有不同的令牌价值。在一些特定示例中，第二令牌(T2)的至少第二元数据(MD2)与第一令牌的至少第一元数据(MD1)相同。在这样的示例中，第二令牌(T2)的第二赎回脚本(RS2)与第一令牌(T1)的第一赎回脚本(RS1)相同。因此，与第二令牌(T2)相关的第二散列(H2)也与与第一令牌(T1)相关的第一散列(H1)相同。这可能是有利的，因为通过将第二令牌(T2)的第二散列(H2)与第一令牌(T1)的第一散列(H1)进行比较可容易地验证第二令牌(T2)的第二散列(H2)。这也可减少与存储第二散列(H2)(或后续散列)相关的存储空间，因为它们将是相同的。

[0197] 如上所述，在一些备选方案中，第二令牌(T2)的第一用户公钥(P1A)可与与第一令牌(T1)相关的第一用户公钥不同，并且类似地，与第二令牌(T2)的与发行方(I)相关的第一发行方公钥(P1I)也可以是不同的。例如，出于安全原因，发行方(I)和/或第一用户(A)5可能希望使用不同的密码对。

[0198] 在该示例中，通过通信网络8，向点对点分布式分类账发送260第二数据输出(O2)的步骤可进一步包括，将第二数量的加密货币(B2)交易到第一用户(A)5的指示和第二散列(H2)，其中第二散列(H2)与第二数量的加密货币(B2)相关，以提供与第一用户(A)5和发行方(I)相关的第二令牌(T2)。因此，向第一用户(A)5提供第二令牌(T2)，该第二令牌(T2)基于第二部分(R2)的价值，并且在一些示例中，该第二令牌(T2)携带与第一令牌(T1)类似的特征。

[0199] 在图3(a)中示出赎回第一部分的示例，其中第一用户(A)5与发行方(I)兑换第一令牌(T1)，其包括兑换第一令牌(T1)的第一部分(R1)的价值的请求，其中第一部分相当于$500 AUD法定货币。作为回报，发行方(I)3提供$500 AUD法定货币和第二数量的加密货币(B2)以向第一用户(A)5提供第二令牌(T2)。第二数量的加密货币(B2)与第二令牌相关，第二令牌可代表$500 AUD的第二部分(R2)的价值。
第三种类型的交易——第一用户(A)将价值转移到第二用户(B)
从第一用户(A)5到第二用户(B)的价值转移的概述

[0200] 本发明还包括由发行方(I)3创建一个或多个附加令牌的方法300，如图9中所示。第一用户(A)5希望将第一令牌(T1)的价值或价值的一部分转移给第二用户(B)的，由于诸如上述原因，创建了这些附加令牌。这可通过创建与第二用户(B)7和发行方(I)3相关的第三令牌(T3)来实现。

[0201] 这可能是有利的，允许第一用户(A)5实际上将与第一令牌(T1)相关的相同或类似权限转移给第二用户(B)。尽管以第三令牌(T3)的形式创建了新令牌，第三令牌(T3)可具有与第一令牌(T1)类似的特征。例如，令牌可具有相同或类似的关联元数据。这可能是有用的，例如，如果第一用户(A)5和发行方(I)3之间适用的相同或类似的条款和条件应该在第二用户(B)7和发行方(I)3之间也适用。

[0202] 在一些情况下，第一用户(A)5可能希望将第一令牌(T1)的价值的至少一部分转移给第二用户(B)，如图2(c)中所示。在一个示例中，这通过从第一用户(A)5到第二用户(B)7的与第一令牌(T1)相关的第一数量的加密货币(B1)的交易来实现。在第一令牌(T1)的全部价值被转移给第二用户(B)8的交易中，可能涉及用第一数量的加密货币B1创建第三令牌(T3)，转移第三令牌(T3)到第二用户(B)7。有效地，第三令牌(T3)是将第一令牌(T1)以及与第一令牌(T1)相关的权限到第二用户(B)7的转移。

[0203] 在该示例中，从第一用户(A)5到第二用户(B)的价值转移涉及发行方(I)3作为中介以促进转移。这与从第一用户(A)5到第二用户(B)7的第一数量的加密货币(B1)的直接交易不同。由于许多原因，使发行方(I)参与这种价值转移可能是有利的。首先，在价值转移中涉及发行方(I)降低了第一数量的加密货币(B1)被转移给第一用户(A)5，并被第一用户(A)5作为普通加密货币花费，而不是将第一数量的加密货币(B1)作为令牌而使用的风险。通过要求发行方(I)签署赎回脚本来防止这种情况。其次，在价值转移中涉及发行方(I)可允许发行方(I)3跟踪与特定用户相关的令牌和特定权限和/或责任。这可能对会计、财务报告和/或监管目的有用。

[0204] 现在将参考图2(c)和9详细描述转移价值的示例，其中方法300、700、800分别由发行方(I)3、第一用户(A)5和第二用户(B)7执行。第一用户(A)5可通过通信网络8，发送710创建第三令牌(T3)的请求，其中第三令牌(T3)与第一令牌(T1)相关联。结合或替代地，第二用户(B)7可通过通信网络8，发送810创建第三令牌(T3)的请求。这些请求是由第一用户(A)5和/或第二用户(B)7中的一个或两者发送，可取决于第一令牌(T1)的条款和条件。

[0205] 然后，发行方(I)通过通信网络8，接收310创建第三令牌(T3)的请求。应当了解，来自第一用户(A)5和第二用户(B)的请求可经由通信网络8中的另一方发送。另外，该请求可是零散的，请求的一部分来自第一用户(A)5，请求的另一部分来自第二用户(B)7。

[0206] 然后，方法300包括确定320与第一令牌(T1)相关的第一赎回脚本(RS1)。

[0207] 方法300还包括接收335第一用户私钥(V1A)。在一个示例中，这包括从数据存储11中获取第一用户私钥(V1A)。该方法进一步包括发行方(I)3用用户私钥(P1A)和第一发行方私钥(P1I)签署345第一赎回脚本。步骤335和345类似于上述用于赎回第一令牌(T1)的方法200中的步骤235和245，类似的考虑也可应用。

[0208] 为了创建第三令牌(T3)，需要第二用户公钥(P1B)。该第二用户公钥(P1B)是具有第二用户私钥(V1B)的密码对。发行方(I)3可以多种方式确定360第二用户公钥(P1B)。首先，发行方(I)3可为第二用户(B)7的服务提供者，第二用户公钥(P1B)可存储在发行方(I)的数据存储11中。或者，第二用户公钥(P1B)可能已经在先前交易期间由发行方(I)接收，因此，在某些情况下，第二用户公钥(P1B)可从发行方(I)的数据存储11中获取。在一些其它备选方案中，可由通信网络8中的第三方接收第二用户公钥(P1B)。在又一备选方案中，通过通信网络8，第二用户(B)7可发送820第二用户公钥(P1B)到发行方(I)3。

[0209] 方法300进一步包括分配370第三数量的加密货币(B3)以与第三令牌(T3)相关联。在将第一令牌(T1)的总价值转移到第二用户(B)的一些示例中，从第一数量的加密货币(B1)中分配与其相同的第三数量的加密货币(B3)，也是合适的。在其它备选方案中(例如将在下面进一步详细讨论的第五种类型的交易)，仅将第一令牌(T1)的总价值的一部分传送到第二用户(B)，并且相应的部分可能分配给第三数量的加密货币(B3)。在更进一步的示例中，第三数量的加密货币(B3)可从与第一数量的加密货币(B1)无关的其它加密货币分配。
应当了解，分配370第三数量的加密货币(B3)的考虑可与在方法100中分配130第一数量的加密货币(B1)以及在方法200中分配265第二数量的加密货币(B2)的考虑相同或类似。

[0210] 该方法进一步包括确定380第三赎回脚本(RS3)的第三散列(H3)，其中第三赎回脚本(RS3)基于：至少第三元数据(MD3)，其至少部分基于与第一令牌相关的第一元数据(MD1)；第二用户公钥(P1B)；和第一发行方公钥(P1I)。这可包括与在方法100中确定140第一赎回脚本(RS1)的第一散列(H1)或在方法200中确定275第二赎回脚本(RS2)的第二散列(H2)类似或相同的考虑。

[0211] 方法300进一步包括通过通信网络，向点对点分布式分类账发送390第三数据输出(O3)，该步骤包括：至少第三数量的加密货币(B3)交易到第二用户(B)的指示；和第三散列(H3)，其中第三散列(H3)与第三数量的加密货币(B3)相关联，以提供与第二用户(B)7和发行方(I)相关联的第三令牌(T3)。这类似于上述步骤150和260，并且可应用类似的变化和替代。第五种类型的交易——第一用户(A)将第一部分转移给第二用户(B)

[0212] 在另一示例中，仅第一令牌(T1)的总价值的第一部分(R1)被转移到第二用户(B)7，在这种情况下，总价值剩余的第二部分(R2)可包括在第二令牌(T2)中，该第二令牌(T2)被退回给第一用户(A)5。这可类似于上述方法200中的退款价值的第二部分(R2)。因此，创建第三令牌(T3)的请求可明确地或隐含地包括基于第一部分(R1)，创建具有第三令牌价值(TV3)的第三令牌(T3)的请求。

[0213] 将参考图3(b)和10描述以第二令牌(T2)的形式退款给第一用户(A)5。为了创建第二令牌(T2)，方法300包括确定355第一用户公钥(P1A)。这可通过如上所述的多种方法实现，可包括通过通信网络8，接收第一用户(A)5发送745的第一用户公钥(P1A)。

[0214] 该方法进一步包括分配365第二数量的加密货币(B2)以与第二令牌(T2)相关联，其中第二令牌具有基于第二部分(R2)的第二令牌价值(TV2)。方法300还包括确定375第二赎回脚本(RS2)的第二散列(H2)，其基于：第二元数据(MD2)，其至少部分基于与第一令牌(T1)相关的第一元数据(MD1)；第一用户公钥(P1A)；和与发行方(I)3相关的第一发行方公钥(P1I)。因此，将第三数据输出(O3)发送390到点对点分布式分类账的步骤进一步包括：将至少第二数量的加密货币(B2)交易到第一用户(A)5的的交易的指示；和第二散列(H2)，其中第二散列(H2)与第二数量的加密货币(B2)相关联，以提供与第一用户(A)5和发行方(I)3相关的第二令牌(T2)。将价值从第一用户(A)5转移到第二用户(B)的示例

[0215] 现在将描述交易ID-110的具体示例。参考图3(b)，第一用户(A)5具有总价值为$10.00 AUD的令牌。第一用户(A)5希望将$7.30 AUD的第一部分(R1)转移到第二用户(B)作为第三令牌(T3)并且具有剩余的$2.70 AUD的第二部分(R2)，第二部分(R2)以第二令牌(T2)的形式作为找零返回给第一用户(A)5。

[0216] 在该示例中，第一令牌(T1)包括两个令牌块，每个块表示$5.00 AUD的价值。这可代表具有标准化价值的令牌(例如，在$5.00块中)或代表从不同交易中获得该两个块的第一用户(A)5。这些块中的每一块都包含50,000satoshis，当钉住汇率为100satoshis/cent时，相当于$5.00 AUD。这在下表8中作为交易ID-101和ID-102示出，它们是创建第一令牌(T1)的交易。表8

[0217] ID-101和ID-102的第3行表示各个交易的输出脚本，其类似于上述表4中的第11行。

[0218] 发行方(I)也需要为该交易支付交易费(矿工费)。该交易费可部分的从先前交易ID-103所接收到的一定数量的加密货币中支付，如表8中所示。这显示了10,000,000satoshis的先前交易，先前交易的10,000,000satoshis中的部分将用于为该交易提供资金。参考表6，这类似于上面描述的先前交易ID-610。

[0219] 现在将参考下表9讨论将价值转移到第二用户(B)的交易ID-110。表9

[0220] 表9的第三行指示存在三个输入，第19行指示存在三个输出。输入中的两个代表第一令牌(T1)，第三输入用于支付交易费。第一输出表示向第二用户(B)7转移价值，第二输出表示返回令牌的找零给第一用户(A)5，第三输出为返回加密货币的找零到发行方(I)。

[0221] 基于先前交易ID-101的第一输入显示在第4到第8行，第一输入是50,000,000satoshis的第一块的输入，是第一数量的加密货币(B1)的一半，且代表价值$5.00 AUD。
第7行显示ScriptSig以允许花费该数量的加密货币。这显示第一赎回脚本(RS1)需要四个签名中的两个，且特别是用第一用户私钥(V1A)和第一发行方私钥(V1I)签署。第8行指示序列号，其中第一输入被标记为第一输出。

[0222] 基于先前交易ID-102的第二输入显示在第9到13行，第二输入是50,000,000satoshis的第二块的输入，是第一数量的加密货币(B1)的另一半，且代表$5.00 AUD价值。第12行显示类似于上面第7行的ScriptSig。第12行指示序列号，其中第二输入被标记为第一输出和第二输出二者的输出。这是因为50,000,000satoshis的第二块将被分割，其中
23,000satoshis到第一输出，且27,000satoshis到第二输出。

[0223] 第14至18行示出第三输入，其基于用于为当前交易ID-110提供资金的先前交易ID-103。第17行的ScriptSig要求用第一发行方私钥(V1I)签署包含第一发行方公钥(P1I)的先前输出脚本。

[0224] 在第20到22行示出第一输出，其输出为73,000satoshis，这是第三令牌(T3)的第三数量的加密货币(B3)。在该示例中，用于第三令牌(T3)的钉住汇率是100satoshis/cent(与第一令牌(T1)的钉住汇率相同)，因此第三数量的加密货币(B3)具有基于7.30 AUD的第一部分(R1)的$7.30 AUD的第三令牌价值(TV3)。

[0225] 输出脚本在第22行，在该示例中，对应的赎回脚本为：2 metadata1 metadata2 P1B P1I4 OP_CHECKMULTISIG

[0226] 这包括如上所述的第二用户公钥(P1B)和第一发行方公钥(P1I)。重要的是，由于第三令牌(T3)用于第二用户(B)7进行赎回，第二用户公钥(P1B)被使用。metadata1和metadata2可包括如上所述的元数据，包括这是用户之间的“支付”或“转移”交易的指示。因此，第一输出提供第三令牌(T3)，第三令牌可由第二用户(B)7从发行方(I)3赎回$7.30 AUD的价值。

[0227] 第二输出在第23到24行显示，并且具有27,000satoshis的输出，这是第二令牌(T2)返回第一用户(A)5的第二数量的加密货币(B2)。在该示例中，相同的钉住汇率为100satoshis/cent，且因此第二数量的加密货币(B2)具有$2.70AUD的第二令牌价值(TV3)，这是基于$2.70AUD的剩余的第二部分(R2)。输出脚本在第25行，且该示例的相应的赎回脚本为：
2 metadata1 metadata2 P1A P1I 4 OP_CHECKMULTISIG

[0228] 这包括第一用户公钥(P1A)和第一发行方公钥(P1I)。重要的是，使用第一用户公钥(P1A)，因为第二令牌(T2)用于第一用户(A)5去赎回。元数据还可包括这是用户之间的“支付”或“转移”交易的一部分的指示。

[0229] 第三输出显示在第26到28行，且反映用于交易的发行方的找零。在本交易中，交易费为1,000satoshis，因此，发行方(I)可预期从10,000,000satoshis的第三输入获得找零。第26行是第三输出的输出值，即9,999,000。由于第三输出是返回发行方(I)的找零，发行方应当可自由地花费第三输出。因此，第28行的输出脚本仅包括由表示的第一发行方公钥(P1I)。

[0230] 上面的示例显示单个交易可能具有“令牌化”和“非令牌化”的加密货币的混合。在一个示例中，验证输入令牌价值等于输出令牌价值可能是重要的。因此，发行方(I)可验证第一令牌(T1)的第一令牌价值(TV1)等于第二令牌价值(TV2)和第三令牌价值(TV3)的总和。

[0231] 在上面的示例中，交易费由发行方(I)支付，发行方可通过其它方式转嫁这些费用。应当了解，在一些备选方案中，交易费可由第一用户和/或第二用户直接支付。例如，可能要求第一用户贡献加密货币以用于支付交易费。在另一个示例中，第一、第二或第三数量的加密货币的一部分可在每个交易中用于支付交易费。在又一备选方案中，每个交易可包括额外的输出，其为矿工创建额外的令牌，促进与发行方(I)3赎回的交易。变形——用户用相应的私钥签署赎回脚本

[0232] 在以上示例中，发行方(I)是第一用户(A)5和第二用户(B)7的服务提供者并且管理相应的电子钱包。因此，发行方(I)3可在用户的授权下访问相应的用户私钥。这包括从数据存储11中获取用户私钥。

[0233] 在一些备选示例中，可能希望用户自己保存私钥。这种分离可允许用户更好地控制他们的私钥。这也可能更安全，因为有权访问发行方(I)3的数据存储11中的所有信息的人---包括第一发行方私钥(V1I)，将不能解锁赎回脚本，因为他们不会有相应的用户私钥。

[0234] 因此，该方法的一种变型可包括将赎回脚本发送给用户5、7以便用他们相应的私钥进行签名。在这样的示例中，发行方(I)3不需要拥有用户的私钥。

[0235] 现在将参考图11描述赎回第一令牌(T1)的方法200'、600'的这种变化。

[0236] 第一用户(A)5可通过通信网络8，发送610赎回第一令牌(T1)的请求。继而，通过通信网络8，发行方(I)3接收210来自第一用户(A)5的赎回第一令牌(T1)的请求。然后，方法200包括确定220与第一令牌(T1)相关的第一赎回脚本(RS1)。在一个示例中，这可包括从数据存储11中获取第一赎回脚本(RS1)。在另一示例中，这可包括用来自一个或多个源的数据重新创建第一赎回脚本(RS1)。例如，这可包括从数据存储11中获取至少第一元数据(MD1)和第一发行方公钥(P1I)，以及通过通信网络8接收第一用户公钥(P1A)。然后可组合该数据以重新创建第一赎回脚本(RS1)。

[0237] 然后，方法200'包括通过通信网络8，发送230第一赎回脚本(RS1)以供第一用户(A)5签署。继而，第一用户(A)5接收620第一赎回脚本(RS1)。应当了解，在一些备选示例中，可在其它时间执行将第一赎回脚本(RS1)发送到第一用户(A)5的步骤。例如，在发行方(I)3创建第一令牌(T1)期间或之后，可将第一赎回脚本(RS1)发送给第一用户(A)5。在另一个备选方案中，第一用户(A)5可从数据存储中获取第一赎回脚本(RS1)。在其它备选方案中，第一用户(A)5可独立地确定与第一令牌(T1)相关的第一赎回脚本(RS1)。例如，第一用户(A)5可从一个或多个源获取第一元数据(MD1)、第一发行方公钥(P1I)和第一用户公钥(P1A)以确定第一赎回脚本(RS1)。

[0238] 然后，第一用户(A)5用第一用户私钥(V1A)签署630第一赎回脚本(RS1)，以提供由第一用户签署的第一赎回脚本(RS1A)。然后，通过通信网络8，由第一用户签署的第一赎回脚本(RS1A)从第一用户(A)5发送640到发行方(I)3。

[0239] 继而，方法200'包括通过通信网络8，接收240由第一用户签署的第一赎回脚本(RS1A)。方法200进一步包括用第一发行方私钥(V1I)签署250由第一用户签署的第一赎回脚本(RS1A)，以解锁与第一令牌(T1)相关的第一数量的加密货币(B1)。

[0240] 方法200'进一步包括通过通信网络8，向点对点分布式分类账发送260第二数据输出(O2)的步骤，该步骤包括第一数量的加密货币(B1)的交易到发行方(I)的指示。在一个示例中，第一数量的加密货币(B1)被转移回发行方(I)，并且第一数量的加密货币(B1)可能不再与第一令牌(T1)相关，因为第一令牌(T1)已被赎回。在一些情况下，可移除与第一数量的加密货币(B1)相关的元数据以“去令牌化”加密货币。可在同一交易或随后的交易中使用这样操作，这可是发行方(I)3的一个选择。

[0241] 值得注意的是，上述方法200'要求第一用户(A)5和发行方(I)共同签署第一赎回脚本(RS1)。这可能有利于防止或降低第一用户(A)5意外地或疏失地花费第一数量的加密货币(B1)，而超出预期的令牌目的的风险。例如，如果第一用户(A)5试图将第一数量的加密货币(B1)花费于另一用户(而非发行方(I))，则这样的交易将不会进行，因为需要第一发行方私钥(V1I)来解锁第一数量的加密货币(B1)。另一方面，需要第一用户(A)5签署第一赎回脚本(RS1)，为赎回第一数量的加密货币(B1)提供了一定程度上的安全性，因为第一用户(A)5可能控制第一用户私钥(V1A)并有选择地将其用于授权交易。

[0242] 此外，使发行方(I)最后签署赎回脚本可提高安全性，因为它可避免通过可能不安全的通信网络发送完全签署的赎回脚本。例如，当赎回第一令牌(T1)时，公钥的顺序可指示第一用户(A)5签署第一赎回脚本(RS1)，之后将其发送到发行方(I)以用于最终签名。由于发行方(I)提供解锁的最终签名，这降低了有人拦截发行方(I)与第一用户(A)5之间的通信而可欺骗性地访问令牌(T1)和/或第一数量的加密货币(B1)的风险。

[0243] 当将第一令牌(T1)的价值从第一用户(A)5转移给第二用户(7)时，也可使用类似的步骤，如图12中所示的方法300'、700'、800'所示。方法300'、700'、800'包括与上面参考图9描述的方法300、700、800中所描述的那些类似的步骤，但是具有以下例外。不是由发行方(I)3接收335第一用户私钥(V1A)并用其签署第一赎回脚本(RS1)，而是由第一用户(A)5完成。因此，方法300'包括通过通信网络8，发行方(I)3发送330用于由第一用户(A)5签署的第一赎回脚本(RS1)。

[0244] 第一用户(A)5接收720第一赎回脚本，并用第一用户私钥(V1A)签署730第一赎回脚本。这提供了由第一用户签署的第一赎回脚本(RS1A)，然后通过通信网络8将其发送740到发行方(I)3。

[0245] 然后，方法300'包括通过通信网络8，接收340由第一用户签署的第一赎回脚本(RS1A)。接下来，通过用第一发行方私钥(V1I)签署350由第一用户签署的第一赎回脚本(RS1A)，以解锁与第一令牌(T1)相关的第一数量的加密货币(B1)。

[0246] 方法300'可进一步包括步骤360、370、380和390，以用与上述方法300类似的方式完成第三令牌(T3)的创建。

[0247] 令牌和编码过程如果合约所规定的权利授予合约的持有人或所有者，则合约可转让。不可转让的合约的一个示例是参与者被命名的合约-也就是说，其中权利被赋予特定的具名实体而不是合约的持有者。本文仅讨论可转让的合约。
令牌表示特定的合约，该合约详细说明或定义了由合约赋予的权利。实际的合约可为以分布方式存储的文件。例如，它可存储在云中。在优选实施例中，令牌是以比特币交易的形式所代表的合约。
可分割的令牌是交易输出的价值可被细分为跨多个令牌分配的较小量(即，跨多个交易分配)的令牌。原型是令牌化的法定货币。可分割的合约被定义为那些指定非零钉住汇率(PeggingRate)的合约。对于可分割的合约，在交易输出中转移的令牌化价值通过PeggingRate与基础比特币(BTC)价值绑定。也就是说，合约规定了持有人在PeggingRate方面的权利。对于不可分割的令牌，没有PeggingRate，且合约规定了持有人在固定价值(例如不记名债券“该合约可兑换正好$1000”或代金券“该合约可兑换一次理发”)。对于不可分割的合约，基础交易BTC价值与合约价值无关。
短语“基础BTC价值”是指附加到交易输出的比特币金额(BTC)。在比特币协议中，每个交易输出必须具有非零BTC金额才被认为是有效的。实际上，BTC金额必须大于设定的最小值(称为“尘埃”)，在撰写时，目前设定为546satoshis。1比特币定义为相当于1亿satoshis。
由于比特币交易在此仅用作促进所有权交换的手段，实际的基础BTC金额是任意的：真正的价值在于合约规范。从理论上讲，每个令牌都可被尘埃携带。
在本发明的协议中，特别是对于可分割的令牌，基础BTC价值确实具有含义：它通过PeggingRate与合约价值有关系。PeggingRate本身是任意的，选择的PeggingRate会使基础BTC价值保持较小。使用PeggingRate而不是简单地用尘埃基础化每个令牌交易的原因是，因为本发明的协议促进可分割性：当令牌被分割成几个较小量的交易输出时，不必调整原始合约。更精确地说，每个细分令牌的合约价值仅根据PeggingRate和基础BTC价值的细分价值计算。
有限令牌是总发行值是固定的(或“限定”)令牌，由非零数量的份额限定，其由被称为份额数量(NumShares)的数量定义。因此，根据有限合约不可再发行任何份额。例如，竞赛马的部分所有权合约仅限于竞赛马的100％(例如100份额每份额1％，或10份额每份额10％，等等)。无限合约表示发行方能够承保进一步的份额发行，例如将所需数量的法定货币加入他们的储备账户。必须在所有合约中明确说明NumShares。有限合约必须具有NumShares>0；
无限合约是通过设置NumShares＝0来表示的。
典型的示例是货币储备(类似于黄金储备)，如此储备银行账户中持有的总价值与现有期票(即未赎回的令牌)中的总价值相匹配。这一概念不仅限于货币储备，还包括库存。例如，持牌印刷T恤令牌的发行方可从库存10,000件T恤开始，并可发行一个可分割的令牌来代表那些10,000件T恤(其中，例如，每份额＝1件T恤)。可细分原始令牌，并且根据由PeggingRate定义的交易输出的基础BTC价值，每个细分的令牌由多件T恤赎回。然而，如果需求增加，发行方可能决定发行更多份额(即增加流通的份额数量(比如说)另外10,000)。
在这种情况下，发行方有责任在其储备账户(即库存仓库)中再存入10,000件t恤，以便承保进一步的发行。因此，任何时候库存中的T恤总数(其中库存充当“储备账户”)＝未赎回份额的总数。
PeggingRates仅适用于可分割的合约，其中份额的价值(由名称为份额价值
(ShareVal)的量表示)与基础BTC金额挂钩。例如，合约可指定发行方承诺以每基础1BTC$
10,000的比率赎回令牌。这将表示(例如)具有令牌化基础输出值15,400satoshis的交易将可兑换$1.54。PeggingRate的值为0表示合约是不可分割的(即只能整体转移，如不记名债券)。当PeggingRate设置为0时(表示不可分割的令牌)，基础BTC价值与合约价值无关，且可被设置为任何金额。通常在这种情况下，希望保持基础BTC金额尽可能小(即设置为尘埃)以使操作成本最小化。
NumShares是根据(有限)合约可用的总(固定)份额数。对于有限合约，NumShares必须是大于零的整数。对于无限合约，NumShares不是固定的，因为可在任何时候发行更多的份额(只要它们被承保)，通过将值设置为0来表示。
份额被定义为转移单元，ShareVal是该单元的价值。例如，对于法定货币，转移单元可设置为1cent。或者，例如，转移单元可设置为50cents，在这种情况下，转移只能以多个
50cents的“批次”执行。ShareVal也可表示为百分比：例如，如果饲养员希望以10个相等的份额出售竞赛马，那么ShareVal＝10％。ShareVal必须>0且必须在合约上定义。
发行总额(TotalIssuance)代表已发行份额的总价值。该价值仅与有限合约有关，至于无限合约，发行是不固定的且可发行更多份额。
如果份额以百分比表示，那么根据定义，TotalIssuance＝100％。
对于有限合约，NumShares、ShareVal和TotalIssuance以下列方式相关：
NumShares x ShareVal＝TotalIssuance。
TotalIssuance的值为0表示它是无限合约。无限合约的一个示例是法定货币(因此TotalIssuance设定为0)；有限合约的示例为：(i)限量版纪念币(1000铸造，其中1份额＝1个硬币)：TotalIssuance＝1000 x 1＝1000个硬币；以及(ii)在售票场地的座位，其中TotalIssuance＝可用座位的总数。
流通定义为未花费的令牌的总价值(即由UTXO中的交易确定--未花销的交易输出)。所有未花费的交易的完整集均保存在所有比特币节点可用的列表中。例如，如果发行方最初发行$10,000作为法定货币类型令牌，随着时间的推移，$5500价值的令牌被赎回，那么流通＝$4500(即未赎回令牌的价值)。此价值应与关联的储备帐户中的余额保持一致。
应当注意，在一些(非典型的)情况下，流通可能会低于储备账户余额，但从绝不会出现相反的情况。例如，考虑一个饲养员发行10份额的竞赛马(根据定义，TotalIssuance＝
100％)。买方可通过将令牌发送回饲养员来兑换他们的令牌，如果她将其去令牌化，在流通中只会有9份额＝90％的马，尽管当然全部100％的马都在储备中(＝马厩)。在这种情况下，超额储备(即未计算的10％所有权)隐含属于发行方。
尽管这种情况是良性的并且落入本发明的范围内，可执行一份协议，其中规定100％的份额必须被明确地解释(即，在这种解释下，不允许饲养员使令牌去令牌化)。
示例1-木柴(按重量计)。在该示例中，合约写着：“持有人有权以每基础600satoshi 
20kg的比率获得木柴。”元数据定义为代表以下关键参数：NumShares＝0；ShareVal＝20kg；
和PeggingRate＝600satoshis/份额。这些参数定义了无限且可分割的合约，其中合约中的份额具有20kg的木柴价值，其中交易内的600satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例2-袋装木柴。在该示例中，合约写着：“持有人有权获得一袋20kg的木柴。“元数据定义为代表以下关键参数：NumShares＝0；ShareVal＝1袋；和PeggingRate＝0。这些参数定义了无限且不可分割的合约，其中合约中的份额具有一袋20kg的木柴的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例3-$1000票据。在该示例中，合约写着：“持有人确实有权获得正好$1000”。元数据定义为表示以下关键参数：NumShares＝0；ShareVal＝$1000；PeggingRate＝0。这些参数定义了无限且不可分割的合约，其中合约中的份额具有$1000的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
例4-纪念币#1。在该示例中，合约写着：“持有人有权获得限量版(1000个硬币)2000年奥运银币(每个客户最多一个)”。元数据定义为表示以下关键参数：NumShares＝1000；
ShareVal＝1个硬币；PeggingRate＝0。这些参数定义了限于1000份额的不可分割的合约，其中合约中的份额具有1个硬币的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance是1000个硬币。
示例5-纪念币#2。在该示例中，合约写着：“持有人有权以每基础600satoshis1个硬币的比率获得限量版(10,000个硬币)2000年奥运会铜币”。元数据定义为表示以下关键参数：
NumShares＝10,000；ShareVal＝1个硬币；PeggingRate＝600satoshis/份额。这些参数定义了限于10,000份额的可分割的合约，其中合约中的份额具有1硬币的价值，其中交易内的
600satoshis的每个倍数对应于合约中的一个份额。在该实施例中，TotalIssuance是10,
000个硬币。
示例6-法定货币#1。在该示例中，合约写着：“持有人有权以每基础比特币$10,000的比率获得加元。转移单元为50分”。元数据定义为表示以下关键参数：NumShares＝0；ShareVal＝50分；PeggingRate＝5000satoshis/份额。这些参数定义了无限且可分割的合约，其中合约中的份额具有50加拿大分的值，其中交易内的5000satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例7-法定货币#2。在该示例中，合约写着：“持有人有权以$10,000每基础比特币的比率获得澳元AUD。转移单元是1分”。元数据定义为表示以下关键参数：NumShares＝0；
ShareVal＝1分；PeggingRate＝100satoshis/份额。这些参数定义了无限且可分割的合约，其中合约中的份额具有1澳大利亚分的值，其中交易内的100satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。附带说一下，可以看出在该示例中实际可转移的最低AUD是6分。任何更少的将导致基础BTC价值低于有效交易所需的当前最小值。
示例8-共享房屋。在该示例中，合约写着：“持有人有权以每基础600satoshis 10％的比率获得财产(地址)的部分所有权”。元数据定义为表示以下关键参数：NumShares＝10；
ShareVal＝10％；PeggingRate＝600satoshis/份额。这些参数定义了限于10份额的可分割的合约，其中合约中的份额具有10％的价值，其中交易内的600satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance是房屋的100％所有权。
示例9-竞赛马。在该示例中，合约写着：“持有人有权以每基础600satoshis的1％比率获得'Naka's Delight'的部分所有权”。元数据定义为表示以下关键参数：NumShares＝
100；ShareVal＝1％；PeggingRate＝600satoshis/份额。这些参数定义了限于100份额的可分割的合约，其中合约中的份额具有1％的价值，其中交易内的600satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance是马的100％所有权。
示例10-已分配的座位票。在该示例中，合约写着：“持有人有权在2016年2月14日在中央音乐厅举行的'死蜥蜴'音乐会上获得座位B54”。元数据定义为表示以下关键参数：
NumShares＝1；ShareVal＝1张票；PeggingRate＝0。这些参数定义了限于一个份额的不可分割的合约，其中合约中的份额具有1张票的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance是1张票。该票可包括进入活动场地的障碍通道的代码，从而提供票据已被兑换的反馈。
示例11-名人约会的凭证。在该示例中，合约写着：“持有人有权在2016年3月31日与乔治克鲁迪在悉尼市中心的斯芬菲酒店享受一次性的颁奖晚宴，包括乘坐出租车回家”。元数据定义为表示以下关键参数：NumShares＝1；ShareVal＝1个约会；PeggingRate＝0。这些参数定义了限于一个份额的不可分割的合约，其中合约中的份额具有1个约会的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance是1个约会。
示例12-用于理发的代金券。在该示例中，合约写着：“持有人有权享受一次理发和吹制，除公共假期外的任何工作日都有效”。元数据定义为表示以下关键参数：NumShares＝0；
ShareVal＝1个代金券；PeggingRate＝0。这些参数定义了无限且不可分割的合约，其中合约中的份额具有1个代金券的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例13-T恤。在该示例中，合约写着：“持有者有权以每1000satoshis1件T恤的比率获得2016年世界巡回赛的'死蜥蜴'纪念品T恤”。元数据定义为表示以下关键参数：NumShares＝0；ShareVal＝1件t恤；PeggingRate＝1000。这些参数定义了无限且可分割的合约，其中合约中的份额具有1件T恤的价值，其中交易内的每1000satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例14-未分配的座位票。在该示例中，合约写着：“持有人有权以每基础1000satoshis 
1张门票的比率参加2016年4月29日在Sadie酒吧举行的Jazz Jivers音乐会。只有137个座位可用“。元数据定义为表示以下关键参数：NumShares＝137；ShareVal＝1张票；
PeggingRate＝1000。这些参数定义了限于137份额的可分割的合约，其中合约中的份额具有1张票的价值，其中交易内的1000satoshis的每个倍数对应于合约中的一个份额。在该实施例中，TotalIssuance是137张票。
示例15-音乐文件。在该示例中，合约写着：“持有者有权获得The Dead Lizard的专辑'Chameleon Rising'的一份副本。”元数据定义为表示以下关键参数：NumShares＝0；
ShareVal＝1张专辑；PeggingRate＝0。这些参数定义了无限且不可分割的合约，其中合约中的份额具有对应于或包含专辑的1个文件的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
示例16-目录上的家具。在该示例中，合约写着：“持有人有权获得这件令人惊叹的，独特的保存完好的乔治王时代的写字台”。元数据定义为表示以下关键参数：NumShares＝1；
ShareVal＝1件商品；PeggingRate＝0。这些参数定义了限于一个份额的不可分割的合约，其中合约中的份额具有1件商品的价值，其中交易内的任何金额的基础比特币对应于合约中的一个份额。在该示例中，TotalIssuance是1件商品。
示例17-成批次的高尔夫球。在该示例中，合约写着：“持有人有权以每基础
600satoshis 12球的比率获得优质的Tigger Wodes'A'级高尔夫球。”元数据定义为表示以下关键参数：NumShares＝0；ShareVal＝12个高尔夫球；PeggingRate＝600。这些参数定义了无限且可分割的合约，其中合约中的份额具有12个高尔夫球的价值，其中交易中的
600satoshis的每个倍数对应于合约中的一个份额。在该示例中，TotalIssuance不是固定的。
处理设备

[0248] 如上所述，发行方(I)3、第一用户(A)5和第二用户(B)7可与第一处理设备13、第二处理设备15和第三处理设备17相关联。点对点分布式分类帐9还可与多个处理设备19相关联。

[0249] 这种处理设备可为例如计算机、平板电脑、移动通信设备、计算机服务器等电子设备的一部分。除了处理设备之外，电子设备还可包括数据存储11和用户接口。

[0250] 图13示出处理设备13、15、17、19的示例。处理设备13、15、17、19包括经由总线1530彼此通信的处理器1510、存储器1520和接口设备1540。存储器1520存储用于实现上述方法100、200、300、400、500、600、700、800的指令和数据，处理器1510执行来自存储器1520的指令以实现这些方法。接口设备1540可包括通信模块，其促进与通信网络5的通信，并且在一些示例中，也促进与用户接口和诸如数据存储11的外围设备通信。应当注意，尽管处理设备
1501可为独立的网络元件，处理设备也可为另一网络元件的部分。此外，由处理设备执行的一些功能可分布在多个网络元件之间。例如，在与发行方(I)3相关的安全局域网中，发行方
3可具有多个处理设备23来实施方法100、200、300、400。

[0251] 本发明描述的用户、发行方、商家、提供者或其它实体执行特定动作(包括签名，发行，确定，计算，发送，接收，创建等)，这些措辞是为了清楚的说明。应当理解，这些动作由这些实体操作的计算设备实施。

[0252] 签署可包括执行加密功能。加密函数具有明文输入和密钥输入，例如私钥。处理器可执行该函数以计算可用作签名的数字或字符串。然后将签名与明文一起提供以提供签署的文本。如果消息文本或密钥更改单一比特，则签名将完全更改。虽然计算签名需要很少的计算能力，重新创建具有给定签名的消息实际上是不可能的。这样，如果私钥可用，则只能更改明文并附带有效签名。此外，其它实体可使用公共可用的公钥容易地验证签名。

[0253] 在大多数情况下，加密和解密包括执行加密功能的处理器，以分别计算表示加密消息或明文消息的输出串。

[0254] 密钥、令牌、元数据、交易、要约、合约、签名、脚本、元数据、邀请等是指存储在数据存储器中的数字、文本或字符串表示的数据，例如“字符串”或“int”或其它类型的程序代码中的变量或文本文件。

[0255] 点对点分类账的一个示例是比特币区块链。用比特币货币转移资金或支付费用包括，在比特币区块链上创建交易，资金或费用为交易的输出。比特币交易的示例包括输入交易散列、交易金额、一个或多个目的地、一个或多个收款人的公钥，通过使用该输入交易作为输入消息创建的签名以及计算签名的付款人的私钥。可通过检查输入交易散列存在于比特币区块链的副本中并且使用公钥的签名是正确的来验证该交易。为了确保在其它地方尚未使用相同的输入交易散列，该交易被广播到计算节点(“矿工”)网络。仅当输入交易散列尚未连接且签名有效时，矿工才接受并记录该交易在区块链上。如果输入交易散列已链接到不同的交易，则矿工拒绝该交易。

[0256] 为令牌分配加密货币包括用分配的加密货币和在交易中的元数据字段中表示的令牌创建交易。

[0257] 当两个项目相关时，这表示这些项目之间存在逻辑连接。例如，在数据库中，两个项目的标识符可存储在相同的记录中，以使两个项目彼此相关联。在交易中，两个项目的标识符可包括在交易字符串中，以使两个项目彼此相关联。

[0258] 使用比特币协议、赎回脚本和/或解锁令牌包括使用私钥计算脚本和/或交易的签名字符串。脚本可能需要从不同私钥或其它条件派生的多于一个签名。然后将该交易的输出提供给矿工。

[0259] 授权另一个实体可包括使用私钥计算交易的签名字符串，并将该签名字符串提供给该实体，以允许该实体使用该签名来验证该交易。

[0260] 用户在另一个实体中拥有帐户可包括存储关于用户的信息的实体，例如电子邮件地址、名称和潜在的公钥。例如，实体可维护例如SQL、OrientDB、MongoDB或其它数据库。在一些示例中，实体还可存储一个或多个用户的私钥。

[0261] 本领域技术人员将了解，在不脱离本发明的广泛的一般范围的情况下，可对上述实施例进行多种变化和/或修改。因此，本发明的实施例在所有方面都被认为是说明性的而非限定性的。