目录一简介...4 二钱包 APP 现状现有钱包的安全隐患硬件钱包的市场分析...7 三托肯钱包技术设计托肯钱包的安全基础私钥生成及存储的安全性签名过程的安全性托肯钱包

托肯卫士白皮书 2018 年 6 月 5 日 v1.0

目录一简介...4 二钱包 APP 现状... 5 2.1 现有钱包的安全隐患...5 2.2 硬件钱包的市场分析...7 三托肯钱包技术设计...7 3.1 托肯钱包的安全基础...8 3.1.1 私钥生成及存储的安全性... 8 3.1.2 签名过程的安全性... 10 3.2 托肯钱包的产品工作流程...11 3.2.1 托肯钱包的账户创建... 11 3.2.2 托肯钱包的交易 ( 支付 ) 发起流程... 11 四基于托肯钱包的跨链交易... 12 4.1 跨链交易的通信协议模型...13 4.2 跨链共识机制...15 4.2.1 区块链里的共识机制简介... 15 4.2.2 托肯链的代理权益拜占庭将军容错机制... 16 4.3 托肯链的隐私保护...18 4.4 基于托肯链的智能合约...21 五基于托肯钱包的支付数据模型... 22 5.1 支付数据模型...22 六发行与激励...23

6.1 TKGN 代币...23 6.2 发行数量... 23 6.3 验证人数量上限...24 6.4 针对验证人的惩罚...25 七创始团队与顾问...25 八备注...26

一简介根据最新的数据统计, 目前基于区块链技术在全球范围内的应用和普及, 目前最为主流的基于区块链技术的数字货币市场已经超过 1000 亿美金, 如比特币 (BTC) 以太币 (ETH) 莱特币 (LTC) 瑞波币 (Ripple) 等区块链是一串使用密码学方法产生的相关联的数据块, 这种数据块中包含了一次比特币网络交易的信息集合, 这种基于链式构建的数据块结合强有力的算力保障从而达到了一经确认, 无法篡改的目的区块链从而也成为了分布式数据存储点对点传输去中心化共识机制加密算法等计算机技术的新型应用模式随着区块链技术的迅猛发展, 使得数字货币逐步进入大众的视野, 而大量的数字货币交易的出现也催生了数字钱包开发行业, 根据钱包使用的联网特征我们将其分为热钱包和冷钱包两种所有数字货币钱包的本质功能都是帮助用户安全的管理自己的私钥和地址, 然后根据其他功能的不同也有很多种类, 为了方便记账和交易, 官方往往也会同时发布全节点钱包, 比如 Bitcoin Core Parity 钱包等, 第三方团队往往为了提升用户体验或运营目的, 也会开发一些钱包服务比如比特派 imtoken CocoWallet 币信币包等数字货币钱包, 它们并不同步所有的区块链数据, 也被称为轻钱包, 这两种钱包都被称为热钱包除了这种强在线的钱包外, 还有一些冷钱包服务, 我们将其称为硬件钱包, 相对热钱包来说, 硬件钱包由于私钥不接触网络, 相对安全性也比较高, 常见的硬件钱包有 Ledger Nano Trezor 钱包等通过我们对主流市场上的这些钱包进行分析后, 无论是热钱包还是其他的硬件钱包, 发现都存在着各种安全隐患从另一个方面, 自比特币 9 年前诞生以来, 数以千计的竞争币被相继开发出来, 都有着各自的优势和特性, 这些特性包括但不限于交易性能容量规模数据的隐私保护合规监管

的考虑等总体来说, 这些币或多或少都存在着去中心化的区块链, 但是这些链基本都有自己的数据结构和独特的生态体系, 而区块链之间的不互通性就极大地限制了这些区块链系统的应用空间无论对于公有链还是私有链, 跨链技术就是实现价值互联的关键, 它是把区块链从分散的孤岛联系起来的核心, 也是区块链向外拓展和连接的桥梁早期的跨链技术是以瑞波币和 BTC Relay 为代表的, 它们更多关注的是资产的转移其中瑞波提出了一种偏离比特币共识的替代性账本, 并创造了它们自己的代币瑞波币, 它建立了一套适用于所有记账系统能够容纳所有记账系统的差异性协议, 从而实现了一个全球统一的支付标准 BTC Relay 则是提出一种侧链的解决方案, 它是以锚定某种原链上的代币为基础的新型区块链, 侧链的目标是要连接各种链, 其他的区块链则可以独立存在然而现在侧链很难做到在其上建立跨链的智能合约, 所以很难实现各种金融功能, 这也是现有区块链在股票债券衍生品等领域尚未取得进展的根本原因托肯钱包首先基于可证明的安全性上打造的硬件钱包来保护用户私钥和数字资产, 它凭借着完善的协议和架构设计, 构筑了安全可信的存储与支付基础同时基于托肯钱包的可扩展性架构, 交易与支付过程不依赖于具体的区块链底层技术, 我们提出了一套跨链解决方案, 本跨链解决方案与传统的跨链技术关注资产转移不同, 我们更多关注的是链状态的转移, 以及基于链状态上的智能合约的设计二钱包 APP 现状 2.1 现有钱包的安全隐患在通常情况下, 区块链技术被认为是建立在严格的密码学基础上的, 是非常安全的, 然而近期出现的一系列数字货币资产巨大损失的案件

2014 年 2 月 7 日, 因遭受网络攻击, 世界最大规模的比特币交易所运营商 Mt.Gox 在当年 2 月 28 日宣布, 因交易平台的 85 万个比特币 ( 按目前市价计算约为 500 亿人民币 ), 被盗一空的 Mt.Gox 停止了一切比特币提取业务, 引发大量的交易混乱及用户的不满 2016 年 8 月 3 日凌晨, 最大的美元比特币交易平台 Bitfinex 官网挂出公告, 由于网站出现安全漏洞, 导致用户持有的比特币被盗, 被盗的比特币共约 12 万个比特币 ( 按目前市值计算月约为 60 亿人民币 ) 这一系列的盗币事件让我们开始思考 : 区块链真的安全吗? 其实这背后都折射出区块链网络安全的最重要的环节, 数字货币钱包的安全性问题近期托肯团队对国内外某些知名钱包 app 的分析发现, 很多钱包 app 在第一次运行的时候, 默认会为用户创建一个新的账户并将私钥文件在未加密的情况下直接存储在系统本地, 理论上攻击者随时可以读取存储在系统本地的私钥文件我们对目前热门的近 20 多款钱包进行了分析, 对运行类型做了三种形式的划分 ( 按安全性由若到强的顺序 ): 私钥和交易被托管类型, 私钥和交易的签名在 app 端, 私钥和交易的签名与外界网络隔离其中私钥和交易被托管类型的钱包服务, 相当于我们对资产的掌控权完全掌握在被托管的中心服务器上, 资产的安全依赖于第三方服务器的自觉性, 一旦托管我们私钥的服务方出现任何内部管理或技术的问题, 我们的资产就会非常危险对于私钥和交易的签名放到 app 端的钱包, 相比托管类型, 安全性会高很多, 因为我们自己拥有了对资金使用的一切权限然而这种类型的钱包也还是会暴漏较高的风险, 如我们的 app 端的运行环境是否安全, 比如某些手机端的钱包在使用之前根本就没有对当前系统的版本进行相应检测, 这样攻击者就很容易控制系统权限, 从而对手机上保存的私钥或助记词产生极大的威胁

对于私钥和交易的签名与外界网络隔离的做法, 相比前面两种情况, 安全系数是最高的, 然而, 在某些技术操作不当的情况下还是会暴漏一些风险比如很多钱包采用的私钥生成算法所依赖的随机数种子设置不当, 极有可能被攻击者利用来产生碰撞还有些弱助记词的设计也会给攻击者带来很大的私钥恢复的机会另外也是很容易被忽略的, 就是在使用钱包的签名功能之前已经掌握模拟签名的方法, 从而在交易数据进入钱包签名之前已经能伪造现阶段, 市场上大量的数字货币钱包的质量良莠不齐, 不少钱包产品在以业务为优先的原则下, 对钱包的安全性并没有足够的防护, 由于数字资产的特殊性, 一旦出现安全性问题导致大量账户出现资产被盗时, 被盗的资产是非常难以追回的因此数字钱包的安全性是至关重要的托肯团队会优先以钱包的安全为第一原则, 为数字资产的安全保驾护航 2.2 硬件钱包的市场分析实事求是的说, 在前些年, 做硬件钱包不算是一个好的选择, 因为当时市场并不成熟, 用户对数字资产的安全性并未得到足够的重视, 不过随着近期数字货币领域的井喷式的发展, 而且近期出现的多起数字资产的安全事件以来, 区块链的资产安全的解决方案已经被市场和用户越来越广泛的认可和接受当前, 数字货币甚至区块链行业都还处在发展初期阶段, 规模还比较小, 技术还不算成熟但随着基础设施的完善各种行业应用的落地, 许多应用势必像互联网一样渗透到人们生活的方方面面, 我们期待着一款专注用户资产安全且用户体验优秀的钱包及对应的生态将会受到大众的热捧三托肯钱包技术设计

3.1 托肯钱包的安全基础 3.1.1 私钥生成及存储的安全性在区块链网络中, 唯一能够证明你拥有数字资产的就是你的私钥, 一旦私钥丢失或泄露, 则你的数字资产会永远无法找回以上问题的出现也不能简单的说是区块链不安全, 其核心还是用户自己忽视了私钥保护的重要性可以这么说, 私钥的安全保护是确保区块链可信的基石由于私钥都是以文件作为载体存储在用户自己的电脑上或被托管到某个中心服务器上无论是私钥自己保存还是被托管, 被保存私钥文件的电脑上往往都会运行着大量的其他程序, 所以一旦出现电脑故障或程序漏洞, 都有可能导致比特币丢失, 而且被托管的私钥还要面临着中心服务器维护人员的道德风险, 而这种丢失现象在比特币或以太币中发生率都比较高, 甚至一下子直接丢失上万的币要想做到私钥的绝对安全, 我们提出以下五个必要条件也只有我们设计的硬件钱包对私钥的管理具备了以下五个条件, 我们才可以说, 我们的钱包是绝对安全的 (1) 私钥及地址的生成过程是离线的, 且生成的私钥必须满足不可重现的特征及不可预测的特征 (2) 私钥的存储是独立的, 也即私钥的存储或使用是一个独立的物理单元, 不依赖于其他的硬件或平台的 (3) 私钥的存储单位不与其他联网的设备自动通信 (4) 私钥只对满足特定结构的交易做签名认证, 同时对于外界系统来说, 整个签名过程对于外界来说相当于是一个黑盒子 (5) 私钥可以安全备份, 在一旦私钥存储的物理载体出现丢失或不可恢复的物理故障的

时候, 私钥是有办法能安全恢复的其中第一个条件至关重要, 可以这样说, 随机数是现代密码学的整个安全的基础, 整个系统的安全性 ( 也即私钥的安全性 ) 完全依赖于随机数序列的生成效率和质量, 高质量的随机数的核心即是不可预测性在我们的硬件钱包中, 我们的随机数生成标准采用德国联邦信息安全办公室给出的四个满足密码学安全性的随机数生成条件 : K1, 相同序列的概率非常低 K2, 符合统计学的平均性, 比如所有数字出现概率应该相同, 能通过卡方检验, 超长游程长度概略非常小, 任何长度的同一数字之后别的数字出现概率应该仍然相等 K3, 不应该能够从一段序列猜测出随机数发生器的工作状态或下一个随机数 K4, 不应该从随机数发生器的状态能猜测出随机数发生器以前的工作状态在我们的硬件设计中, 我们抛弃了时间戳 + 一组特殊 ID 组合作为种子的方式, 我们认为所有事先设定的随机数种子都会给黑客们一种猜种子的可能, 我们直接采集硬件里的各种真实的熵源来作为随机数种子的来源高质量的随机数生成算法保障了我们的私钥是不可用恶意预测且复现的第二个条件表明只有存储私钥的载体是独立的, 不依赖于任何第三方硬件或平台, 私钥才不会被黑客盗走的可能第三个条件保证私钥的存储单元不主动联网, 这一点比第二点的条件要弱一些, 在正常情况下断绝了给外界系统侵入到私钥存储单位的机会在需要私钥签名的时候, 唯一与外界通信的通道就是输入需要签名的交易信息, 输出为签名后的信息基于现在密码学里的安全假设, 仅由签名信息在计算资源有限的条件下, 无法计算出私钥第四个条件是从两个方面来说, 私钥只对满足特定结构的交易信息 ( 而不是用户构造的任意信息 ) 做签名认证可以有效地抵抗选择明文攻击 ( 这是一种对 ECC 算法非常有害的攻击方

式 ), 另外在整个签名过程不暴露于外界, 这就相当于在每次签名时没有泄露任何私钥相关的直接信息第五个条件独立于前面四点, 主要解决在私钥丢失 ( 也即存储私钥的硬件丢失或发生不可修复性故障 ) 如何找回的问题, 托肯钱包主要通过一种经过特殊改造过的助记词的方法来对私钥做备份最早的助记词设计是由于私钥 64 位, 完全没有可读性, 于是可以利用某种算法将 64 位私钥转换成十多个常见的英文单词, 这些单词都来源于一个固定词库, 再根据一定的算法来恢复出私钥, 于是助记词成为了你的私钥的另一个体现在托肯钱包的设计中, 我们的助记词并不来源于任何一个固定词库, 单词的构造完全由用户自由决定, 理论上这样构造的单词有无穷多种组合 3.1.2 签名过程的安全性在 3.1.1 中我们介绍了托肯钱包在生成私钥及存储私钥方面的安全性保证, 但硬件钱包的安全风险还会有来自向外输出信息时产生, 也即在做签名计算时输出签名信息时发生因为在签名时, 所有输入的交易信息以及输出的签名信息都是明文的, 可以用任何二维码扫描软件来读取的, 如果在签名计算时直接将私钥明文形式读取到内存中时, 一旦出现某种复制内存数据的事件发生时 ( 操作难度极大 ), 私钥将不再安全所以我们在设计相关签名计算时, 会采用经过生成的混淆的指令集来代替直接采用私钥的做签名计算的方式具体就是在 3.1.1 节中生成私钥文件时不直接生成静态数字型的私钥表达, 而是生成经过充分混淆的代码指令集代替私钥在对交易 hash 做私钥签名运算时, 是直接运行混淆的指令集的方式完成, 整个过程是完全在硬件的芯片中完成, 理论上在签名时杜绝

了泄漏私钥的可能性因为攻击者即使得到了经过混淆过的指令集, 也没有办法能推测出具体的私钥是什么 3.2 托肯钱包的产品工作流程在本节中, 我们会简要介绍一下托肯钱包的基本工作流程, 让大家对托肯钱包有一个更深入的认识 3.2.1 托肯钱包的账户创建首先托肯钱包的账户是一个离线账户, 在生成新账户的时候可直接在硬件屏幕的提示下直接操作对应的按键用户可以根据需要使用的数字货币类型 ( 比如比特币以太币等 ) 选择生成对应的私钥和地址需要特别留意的是, 在账户生成的时候需要用户手动输入 16 个单词的助记词, 虽然系统提供快捷生成账户的的方式 ( 理论上系统快捷方式生成的账户也是符合安全标准的 ), 还是强烈建议用户自己输入助记词, 因为用户的助记词可以输入非标准的英文单词词汇, 理论上用户自己输入的助记词具有无限的空间, 能较大的提高私钥的安全性无论是系统快捷生成的地址还是用户手动操作生成的地址, 都需要用户用纸抄下对应的助记词 ( 放到一个比较安全的环境里 ), 这是非常重要的, 因为一旦出现硬件钱包丢失的情况, 我们唯一能恢复私钥和地址的方式就是助记词 3.2.2 托肯钱包的交易 ( 支付 ) 发起流程托肯钱包核心作为一个私钥安全存储和签名的工具, 对于完成正常数字货币的支付和交易功

能, 还需要配合 PC 端软件或移动端 app 来使用这里以 PC 端的软件来描述整个交易过程, 移动端的使用情况类似在整个流程中, 交易客户端软件一直是通过 USB 接口与托肯钱包传输数据, 在交易完成后, 建议 PC 端与托肯钱包断开 USB 连接四基于托肯钱包的跨链交易首先托肯钱包旨在打造一个通用的数字货币钱包及通用数字货币的交易体系, 而今数字货币正处于百家争鸣的阶段, 每种数字货币都有着自己的交易模型和账本结构, 而且这些数字货币之间都没有直接的互通机制, 基于托肯钱包基础上, 我们打造一种跨链技术, 称之为托肯链托肯链是一种基于状态转移的跨链技术

4.1 跨链交易的通信协议模型区块链之间的通信协议与传统的 TCP/IP 协议类似, 建立可靠的连接传递消息消息一般分为消息头 (Header) 和消息体 (Data) 两部分, 其中消息头会记录消息的源目的长度类别等, 在消息的传递过程中, 消息头会逐层剥离按协议要求做对应的修改, 消息最终会按消息头的信息传到目的地整个消息在传递过程中是具有状态的, 发送方也可以根据接收方的反馈了解当前通信过程中所处的状态, 并作出正确的反应基于对 TCP/IP 协议的原理的分析, 我们也构建出一个完整的跨链通信协议, 我们的跨链通信协议主要包括两部分 : 通信地址通信数据通信地址包括消息来源链或目的链的链表示 (ChainID) 和当前链的区块高度 (height) 通信数据则包括了来源链的链标识 (srcchainid) 目的链的链标识 (dstchainid) 数据状态 (Status) 数据 (Data) 其中数据在传递过程中是不会被打开的跨链通信数据状态对应的是当前通信状态的机制, 当一个跨链交易的通信发起的时候, 通信状态是待接收状态, 当接收方收到消息时, 会返回给发送方一个发送成功的状态, 接收方然后回发一个接收成功的状态, 整个过程完成一次成功的跨链通信除了上述状态外, 我们还会规定一些如连接超时等异常状态比如当一笔交易从第一条链发

往第二条链的时候, 会指定以链高度为准的存活周期在到达存活周期之前, 链路会将通信结果的状态返回给第一条子链, 若超过存活周期, 则链路直接返回连接超时状态给第一条子链与通常的网络通信类似, 跨链通信也可能遭受网络攻击, 尤其是 DDoS 攻击因此, 我们还需要一套验证机制, 通过设计一套复杂的通信验证机制, 来防止链路上的攻击前面提到, 子链随时向链路上发送最新的区块以及最新的区块投票, 当一笔交易从子链向链路发来的时候, 会在通信地址中体现出该交易所在的区块的高度, 我们只需要查找在该区块高度中是否存在着这笔交易就可以了因为通过提交最新的区块及其投票便可以证明一个区块的真实性首先, 单靠一个区块本身是不能孤立的证明其是合法的因为针对一个已有的区块, 我们完全可以伪造一个不合法但是符合区块结构的假区块比如修改区块数据的部分交易信息, 并修改位于区块头中的交易 hash 值在通常的区块链的共识构造中, 一个区块被提议之后也往往会经过两轮或多轮的投票来达成共识, 其中在第二轮或更多轮共识的投票会被暂时存起来, 并当做下一轮所生成的区块的部分基于此, 如果子链一次性提交某个区块及投票信息后, 我们便可以在一轮区块生成周期内证明这个区块是可信的作为不同子链之间的桥梁, 我们的链路还需要负责维护关于子链的公共状态首先, 子链若希望与托肯链路进行通信, 则必须在托肯链上进行注册, 这其中包括子链的身份标识 (chainid), 子链上验证节点的信息, 子链上的资产种类, 以及子链的验证机制等, 以此来协助托肯链完成通信转发和验证操作其次, 托肯链需要实时收集来自子链的最新区块信息的通知以此来维护各个子链的基本状态, 帮助轻客户端来验证从子链发来的交易等

托肯链作为一种跨链技术, 除了完成基本的链间通信外, 还必须要设计一套独立的共识机制来验证子链上独立区块的合法性以及链间交易的合法性 4.2 跨链共识机制 4.2.1 区块链里的共识机制简介在选择托肯链的共识机制前, 我们先简要回顾一下目前在区块链领域常用的一些其他的共识机制工作量证明共识 (POW) 是最早应用在比特币以太坊上的一种共识算法自比特币发行至今, 工作量证明算法已经证明了其可靠性, 但是它对资源的浪费也是很惊人的权益证明机制 (POS) 是一种为了解决工作量证明机制中对资源严重浪费问题而提出来的, 它是通过投票人在投票权益池中的权益比重来代替矿工在挖矿时所消耗的算力, 再配以相应的惩罚机制来确保投票人的诚信然而, 在算力和权益之间还是有非常大的区别的, 通过算力, 一个矿工是不太可能在两条链上同时挖到矿, 但是拥有一定的权益的投票人则可以对每一个可能的区块投票, 只要任何一个区块成为将来的胜出者就可以保证自己的权益不受损, 这样也是有很大的安全隐患的, 因为这样可以大大降低作恶者所需要的作恶成本股份授权证明机制 (DPOS) 共识机制通过解耦投票权和记账权的方式, 它的原理是让每一个持有 token 的人进行投票来产生若干位代表, 我们可以把这些代表理解为超级节点, 而这些超级节点彼此的权利是完全对等的从某种角度来看,DPOS 有点像议会制度或人民代表大会制度, 如果代表不能履行他们的职责, 他们会被除名, 网络会选出新的超级节点来取代他们但是 DPOS 通过模拟人类的权益投票行为来产生记账权, 存在着一种中心化的趋向, 而且相比工作量证明的方式来说,DPOS 的作弊行为是没法提前预防的 Raft 作为瑞波币采用的共识机制, 也是分布式领域一种常用的高效的共识算法, 但其最大

的弊病在于不能防止拜占庭故障节点, 一个拥有强大网络配置的拜占庭领导者节点会给 raft 算法带来毁灭性打击另外目前在联盟链中比较常用的共识机制是实用拜占庭将军容错共识 (PBFT), 如基于 IBM 的 HyperLedger Fabric 项目就是采用 PBFT 共识 PBFT 是一种状态机副本复制算法, 即服务作为状态机进行建模, 状态机在分布式系统的不同节点进行副本复制每个状态机的副本都保存了服务的状态, 同时也实现了服务的操作, 将所有副本组成的集合使用大写字母 R 来表示, 使用 0 到 R 1的整数表示每一个副本, 假设系统里有可能失效的副本个数为 f, 若满足 R 3 f 1, 系统能满足最终最终一致性 4.2.2 托肯链的代理权益拜占庭将军容错机制在托肯链中, 我们的设计目的是要进行跨链交易, 这里与联盟链的模型较为接近而基于 PBFT 的共识机制在联盟链里是非常受欢迎的, 主要原因在于联盟链中, 节点间的网络拓扑结构相对较为稳定, 节点的进入和退出频率不会太高不可否认的是,PBFT 中所使用的拜占庭节点容错算法能保证 1/3 以下拜占庭节点的网络的安全但是在实际使用中, 尤其是涉及到跨链交易这种与经济利益相关时, 即使验证人是经过挑选的可靠节点, 我们也不能单纯的依赖于没有惩罚机制的 1/3 的安全, 这其中的奖赏与惩罚是必须与经济利益直接相关联的在这里, 我们对原有的 PBFT 共识机制进行了修改, 以使得验证人投票的权重与其所抵押在托肯链上的代币权益相对应这样一来, 原本在 PBFT 共识算法中要求的超过 2/3 投票人才能确认生成区块的机制被修改成超过 2/3 的总权益, 此外, 在 PBFT 共识算法中, 普通节点仅同步来自领导节点发来的新区块, 并不参与共识, 在 PBFT 中的安全性仅仅依赖于验证节点的数量, 因此普通节点的数

量的增加并不能提升拜占庭容错的安全性因此, 我们在托肯链的共识机制中增加了非验证节点的参与一个验证节点对应一个验证人帐号, 非验证人可以通过将权益委托给验证人, 从而授权该验证人代理投票的方式来获取属于自己的利益因为利益的关系的引入, 在托肯链中, 非验证人会非常谨慎的选择代理验证人, 从而做到了所有人都会参与到共识的行为中, 而这又没有因为所有节点的参与共识而带来任何效率上的损失托肯链的共识机制可以用下图来简单表示在托肯链的共识协议中, 如果 Leader 是诚实者, 它可以不断地推动共识节点就新的交易达

成共识但是, 如果 Leader 是恶意节点, 它可能会有意地延迟或丢弃来自其他诚实节点的消息, 并减慢协议为了惩罚这些恶意的 Leader 节点, 托肯链会定期通过权益委员会的投票来更改 Leader 节点这也可以防止恶意节点在无限期的时间内延迟共识另外基于托肯链所采用委托权益的 PBFT 共识机制, 我们可以非常容易打造轻钱包节点在普通的区块链客户端中因为需要同步区块链中的所有区块数据才可以实现验证交易, 这样的客户端功能强大, 但是由于需要存储的数据太多导致大量的冗余由于托肯链是通过验证人投票实现的 PBFT 算法, 我们的客户端只需要实时同步某条区块链上的最新验证组员, 就可以对该区块链上的信息进行验证轻客户端只需要连续同步某区块链区块头并更新验证人信息, 就可以实时跟进并验证该区块链上的最新的区块高度世界状态等信息 4.3 托肯链的隐私保护在区块链系统中, 隐私性一直都是比较强的需求, 特别是对于跨链结构来说, 隐私性保护尤为重要如果我们仅仅只是做到了保护区块链的交易安全性, 而对隐私性的问题避而不谈, 我们认为失去了保护安全性的意义了该如何在既保护安全性的前提下, 又让隐私性得到保护呢? 目前在区块链领域的隐私性解决方案主要有以下一些 : 混币方案, 这也是起源自早期的基于比特币或以太币的混币服务, 后来在门罗币种有使用到, 其目的主要是要让每个地址都要经过搅拌器和许多其他地址进行混合, 从混币器出来的交易, 除了混币器知道外, 别人谁都不知道这个币真实是由谁转给谁的直接存储和处理加密数据的方案, 这在有些联盟链中使用的比较多, 只有交易的参与方才能解密数据该方案相对较为可靠, 隐私性能得到密码学的严格论证, 但缺点是验证节点无法

做验证零知识证明, 零知识证明是一个非常强大的现代密码学工具, 在零知识证明算法中, 具有私有信息的一方在不泄露自己私密信息的情况下, 能让验证方正确的确认证明方的信息是对的不过基于 ZK-Snark 的非交互式零知识证明技巧在业界已表现出效率方面的问题当前在一台普通的计算机上创建一个 ZK-Snark 的零知识证明大约需要超过 90 秒的时间另外基于 ZK-Snark 算法的延展性比较差, 不能动态创建安全验证参数, 必须提前设置一些安全参数, 这在实际使用中也会带来一些问题环签名方案, 该方案实现了一种无条件匿名性的要求, 签名者可以自由指定自己的匿名范围, 外部攻击者即使非法获取了所有可能签名者的私钥, 他也不能确定出真正的签名者很明显, 环签名方式主要是通过匿名的方式来实现隐私性保护通过对以上主流的隐私性解决方案的分析, 结合跨链的实际需求, 托肯链采用环签名的方案来保护交易的隐私性环签名是一种签名者模糊的签名方案在环签名中不需要创建环, 也不需要分配指定的密钥, 无法撤销签名者的匿名性, 除非签名者自己想暴漏身份环签名方案中签名者首先选定一个临时的签名者集合, 集合中包括签名者自身然后签名者利用自己的私钥和签名集合中其他人的公钥就可以独立的产生签名, 无需他人的帮助环签名没有可信中心, 对于验证者来说, 签名人是完全正确匿名的环签名提供了一种匿名泄漏秘密的巧妙方法环签名的这种无条件匿名性在对信息需要长期保护的一些特殊环境是非常有用的

环签名由以下几部分构成 : (1) 密钥生成为环中每个成员产生一对密钥对 ( 公钥 PK i 和私钥 SK i ) (2) 签名签名者用自己的私钥和任意 n 个环成员 ( 包括自己 ) 的公钥为消息 m 生成签名 a (3) 签名验证验证者根据环签名 a 和消息 m 验证签名是否为环中成员所签, 如果有效则接收, 否则丢弃同时环签名必须满足以下特性 : (1) 无条件匿名性攻击者无法确定签名是由环中哪个成员生成, 即使在获得环成员私钥的情况下, 概率也不会超过 1/ n (2) 正确性 : 签名必需能被所有其他人验证 (3) 不可为造性 : 环中其他成员不能伪造真实签名者签名, 外部攻击者即使在获得某个有效环签名的基础上, 也不能为消息 m 伪造一个签名

4.4 基于托肯链的智能合约我们认为, 随着加密数字货币的兴起, 会极大的加速支付的合约化进程, 因为区块链作为架构在互联网上的基础设施, 可以用智能合约来实现信用保证支付结算和激励机制的完美统一基于托肯链中的资产所有者和工作者, 也或者叫托肯链中的一个成员, 每一个托肯成员都是基于 P2P 的扁平式的协作关系, 基于标准无差异的智能合约参与到整个系统的安全支付通道的建设中来, 同时每个成员在整个系统的安全支付通道的建设中会根据其对于的贡献度获取相应的回报智能合约的最大的特点和优势就是通过技术解决了信任问题在传统合约达成前, 参与者在支付前要了解各方的信用背景和选择合适的担保合约在托肯链上的资源是真实透明的, 合约内容确定后就无法更改, 执行更是不用依赖任何额外操作基于托肯链的智能合约跟通常区块链的智能合约相比, 多了一层含义, 就是跨资产的特性因为托肯链本身就是基于跨链技术来实现通用数字货币交易和支付体系, 资产在跨链交易的时候, 就出现更多的应用属性比如我们可以允许用户在以太坊中去验证比特币的交易, 可以实现多币种共同完成一次采购活动等

五基于托肯钱包的支付数据模型 5.1 支付数据模型托肯链通过打造一个通用的数字货币支付生态, 从长期来看, 将会积累大量的数字货币支付消费相关的数据从未来数据货币支付发展的角度来看, 托肯链将利用支付的大数据来改变消费者的支付习惯总的来说, 基于区块链技术的数字货币支付在很多方面与传统支付是有着相当大的区别的 : 区块链支付的基础是去中心化技术, 交易双方不再需要依赖一个中心系统来负责资金清算并存储所有的交易信息, 而是基于一个不需要进行信任协调的共识机制直接进行价值转移随着区块链支付的发展, 区块链分布式账本技术将区块链上的数字资产流动与现实支付相连接, 区块链支付在功能上非常类似于支付宝钱包, 但由于其建立在去中心化的 p2p 网络基

础上, 超出了国家和地域的局限, 所以在全球互联网市场上能够发挥出传统金融机构无法替代的的高效率低成本的价值传递作用基于托肯钱包就可以发展成一个自金融平台, 可以用于 P2P 的支付存款转账换汇借贷等六发行与激励 6.1 TKGN 代币托肯链作为一个典型的基于区块链的项目, 是一种全新的分布式自治经济组织, 其投资回报模式不是公司股权投资模式, 投资购买托肯钱包并非购买公司股权, 而是购买一种通用数字货币的安全工具, 托肯链借助跨链技术打造一种分布式的可信的资产交易与支付平台, 不过它也有本地代币, 叫做 TKGN TKGN 是托肯生态唯一的权益代币,TKGN 是持有人投票验证或委托给其他验证人的许可证, 就像以太坊的以太币一样, 同时 TKGN 也可以用来支付交易费以减少数据垃圾, 额外的通胀 TKGN 和区块交易费就作为验证人及委托人的奖励任何组合和自然人都可以依照同一规则获取 TKGN,TKGN 可以通过买入获得, 也可以通过完成系统任务获得,TKGN 的价格涨跌由市场决定 6.2 发行数量在项目前期会发行 TKGN 代币 5.9 亿个, 其中流通发行量 2.2 亿个, 剩余部分的详细发行方案如下表 : 发行数量 ( 亿 ) 发行用途说明

0.455 用于有资源的机构投资 0.59 用于社群节点奖励与补贴 ( 分三年释放 ) 0.885 用于社群及推广激励 0.295 用作公益慈善 ( 分五年释放 ) 0.885 用于团队奖励 ( 分三年释放 ) 0.59 用于安全技术及投资基金, 收益回馈代币持有用户其中托肯链对 TKGN 的增发做了严格限制, 只有满足如下条件才会按规则增发项目完成硬件钱包用户五万人以上, 进入去中心化钱包交易所开发, 为支持生态及应用, 会增发不超过 0.8 亿个 TKGN 项目完成硬件钱包交易所项目后, 进入数字资产支付系统生态及应用时, 分两年, 按项目进度每年增发不超过 0.8 亿个 TKGN 项目完成资产支付系统, 进入大数据及消费应用领域, 分两年, 按照项目进度每年可增发不超过 0.8 亿个 TKGN TKGN 总发行量不得超过 9.9 亿 6.3 验证人数量上限托肯链和比特币之类的工作量证明区块链不同, 由于通信复杂度提升, 验证人增加, 所以速度会更慢所幸的是, 我们可以支持足够多的验证人来实现全球稳健的分布式区块链, 使其拥有较短交易验证时间, 此外, 在提升带宽内存以及平行电脑计算能力的提升下, 在未来支持更多验证人的参与在创世块诞生那天, 验证人数量最多将设置为 100, 之后十年的增长率将在 13%, 最终达到

300 位验证人 6.4 针对验证人的惩罚针对验证人必须有一定的惩罚机制, 防止他们有意或无意地偏离已经批准的协议有些证据可以立即采纳, 比如在同样高度和回合的双重签名, 或者违反预投票锁定的这类证据将导致验证人损失良好的信誉, 而且其绑定的 TKGN 还有储备池内一定比例的代币份额也会减少有时因为地区网络中断电力故障或其他原因, 验证人无法连通如果在过去时间点的区块中, 验证人在区块链中提交的投票没有超过限制次数, 那么验证人将会被终止活动, 并且从权益中损失一定的验证人超时惩罚七创始团队与顾问托肯团队创始成员来自于全球资深的芯片安防领域专家以及区块链金融领域资深专家, 资深软件工程领域开发经验的工程师姓名或昵称职位经历 Robert CEO 托肯卫士创始人托肯卫士芯片核心专利持有人, 资深安防领域专家, 多家国际银行安防顾问, 多次参与过多家国际银行的安防领域的重点项目的设计与指导早期比特币投资者曹运波 CTO 美国华盛顿大学博士, 美籍华裔专家研究方向为分布式计算区块链金融大数据及人工智能等

亲自主持并参与过多个国家级项目以及华盛顿大学科研项目 Jason CPO 资深软件开发工程师常青藤大学软件工程硕士曾在多家知名国际软件企业工作, 有丰富的软件产品开发经验, 热衷于区块链技术 Fusion 架构师资深系统架构师, 电子科技大学硕士曾任某知名互联网公司任高级架构师具有丰富的高并发服务及可靠服务架构经验热衷于开源技术的研究对于比特币和以太坊等区块链项目技术有着深入的研究和独到的见解八备注本白皮书仅对托肯钱包及托肯链涉及的相关技术的核心部分的概览, 技术无止境, 托肯链将创造一个协作开放创新的技术生态托肯团队也欢迎全球优秀开发者加入托肯家族, 共同推进托肯生态的技术进步

目录 一 简介...4 二 钱包 APP 现状 现有钱包的安全隐患 硬件钱包的市场分析...7 三 托肯钱包技术设计 托肯钱包的安全基础 私钥生成及存储的安全性 签名过程的安全性 托肯钱包

目录一简介...4 二钱包 APP 现状现有钱包的安全隐患硬件钱包的市场分析...7 三托肯钱包技术设计托肯钱包的安全基础私钥生成及存储的安全性签名过程的安全性托肯钱包