中本聪与比特币：《比特币：一种点对点的电子现金系统》

中本聪与⽐特币：《⽐特币：⼀种点对点的电⼦现⾦系统》

中本聪的⽐特币论⽂：《⽐特币：⼀种点对点的电⼦现⾦系统》

[摘要]：本⽂提出了⼀种完全通过点对点技术实现的电⼦现⾦系统，它使得在线⽀付

能够直接由⼀⽅发起并⽀付给另外⼀⽅，中间不需要通过任何的⾦融机构。虽然数

字签名（Digital signatures）部分解决了这个问题，但是如果仍然需要第三⽅的⽀持

才能防⽌双重⽀付（double-spending）的话，那么这种系统也就失去了存在的价值。

我们(we)在此提出⼀种解决⽅案，使现⾦系统在点对点的环境下运⾏，并防⽌双重⽀

付问题。该⽹络通过随机散列（hashing）对全部交易加上时间戳（timestamps），

将它们合并⼊⼀个不断延伸的基于随机散列的⼯作量证明（proof-of-work）的链条作

为交易记录，除⾮重新完成全部的⼯作量证明，形成的交易记录将不可更改。最长

的链条不仅将作为被观察到的事件序列（quence）的证明，⽽且被看做是来⾃ CPU

计算能⼒最⼤的池（pool）。只要⼤多数的 CPU 计算能⼒都没有打算合作起来对全

⽹进⾏攻击，那么诚实的节点将会⽣成最长的、超过攻击者的链条。这个系统本⾝

需要的基础设施⾮常少。信息尽最⼤努⼒在全⽹传播即可，节点(nodes)可以随时离

开和重新加⼊⽹络，并将最长的⼯作量证明链条作为在该节点离线期间发⽣的交易

的证明。

1. 简介

互联⽹上的贸易，⼏乎都需要借助⾦融机构作为可资信赖的第三⽅来处理电⼦⽀付信息。虽然这类系统在绝⼤多数情况下都运作良好，但是

这类系统仍然内⽣性地受制于“基于信⽤的模式”(trust bad model)的弱点。我们⽆法实现完全不可逆的交易，因为⾦融机构总是不可

避免地会出⾯协调争端。⽽⾦融中介的存在，也会增加交易的成本，并且限制了实际可⾏的最⼩交易规模，也限制了⽇常的⼩额⽀付交易。

并且潜在的损失还在于，很多商品和服务本⾝是⽆法退货的，如果缺乏不可逆的⽀付⼿段，互联⽹的贸易就⼤⼤受限。因为有潜在的退款的

可能，就需要交易双⽅拥有信任。⽽商家也必须提防⾃⼰的客户，因此会向客户索取完全不必要的个⼈信息。⽽实际的商业⾏为中，⼀定⽐

例的欺诈性客户也被认为是不可避免的，相关损失视作销售费⽤处理。⽽在使⽤物理现⾦的情况下，这些销售费⽤和⽀付问题上的不确定性

却是可以避免的，因为此时没有第三⽅信⽤中介的存在。

所以，我们⾮常需要这样⼀种电⼦⽀付系统，它基于密码学原理⽽不基于信⽤，使得任何达成⼀致的双⽅，能够直接进⾏⽀付，从⽽不需要

第三⽅中介的参与。杜绝回滚(rever)⽀付交易的可能，这就可以保护特定的卖家免于欺诈；⽽对于想要保护买家的⼈来说，在此环境下

设⽴通常的第三⽅担保机制也可谓轻松加愉快。在这宫廷大戏 篇论⽂中，我们(we)将提出⼀种通过点对点分布式的时间戳服务器来⽣成依照时间前后

排列并加以记录的电⼦交易证明，从⽽解决双重⽀付问题。只要诚实的节点所控制的计算能⼒的总和，⼤于有合作关系的(cooperating)攻

击者的计算能⼒的总和，该系统就是安全的。

2. 交易(Transactions)

我们定义，⼀枚电⼦货币（an electronic coin）是这样的⼀串数字签名：每⼀位所有者通过对前⼀次交易和下⼀位拥有者的公钥(Public

key) 签署⼀个随机散列的数字签名，并将这个签名附加在这枚电⼦货币的末尾，电⼦货币就发送给了下⼀位所有者。⽽收款⼈通过对签名

进⾏检验，就能够验证该链条的所有者。

img src="/v2-5c5286f04db038cfd25f479b3030f4da_" data-

rawwidth="577" data-rawheight="385" class="origin_image zh-lightbox-thumb"

width="577" data-original="/v2-

5c5286f04db038cfd25f479b3030f4da_">

该过程的问题在于，收款⼈将难以检验，之前的某位所有者，是否对这枚电⼦货币进⾏了双重⽀付。通常的解决⽅案，就是引⼊信得过的第

三⽅权威，或者类似于造币⼚(mint)的机成长周记 构，来对每⼀笔交易进⾏检验，以防⽌双重⽀付。在每⼀笔交易结束后，这枚电⼦货币就要被造币

⼚回收，⽽造币⼚将发⾏⼀枚新的电⼦货币；⽽只有造币⼚直接发⾏的电⼦货币，才算作有效，这样就能够防⽌双重⽀付。可是该解决⽅案

的问题在于，整个货币系统的命运完全依赖于运作造币⼚的公司，因为每⼀笔交易都要经过该造币⼚的确认，⽽该造币⼚就好⽐是⼀家银

⾏。

我们需要收款⼈有某种⽅法，能够确保之前的所有者没有对更早发⽣的交易实施签名。从逻辑上看，为了达到⽬的，实际上我们需要关注的

只是于本交易之前发⽣的交易，⽽不需要关注这笔交易发⽣之后是否会有双重⽀付的尝试。为了确保某⼀次交易是不存在的，那么唯⼀的⽅

法就是获悉之前发⽣过的所有交易。在造币⼚模型⾥⾯，造币⼚获悉所有的交易，并且决定了交易完成的先后顺序。如果想要在电⼦系统中

排除第三⽅中介机构，那么交易信息就应当被公开宣布（publicly announced）[1] ，我们需要整个系统内的所有参与者，都有唯⼀公认的

历史交易序列。收款⼈需要确保在交易期间绝⼤多数的节点都认同该交易是⾸次出现。

3. 时间戳服务器(Timestamp rver)

本解决⽅案⾸先提出⼀个“时间戳服务器”。时间戳服务器通过对以区块(block)形式存在的⼀组数据实施随机散列⽽加上时间戳，并将该

随机散列进⾏⼴播，就像在新闻或世界性新闻组⽹络（Unet）的发帖⼀样[2][3][4][5]。显然，该时间戳能够证实特定数据必然于某特定

时间是的确存在的，因为只有在该时刻存在了才能获取相应的随机散列值。每个时间戳应当将前⼀个时间戳纳⼊其随机散列值中，每⼀个随

后的时间戳都对之前的⼀个时间戳进⾏增强(reinforcing)，这样就形成了⼀个链条（Chain）。

img src="/v2-293bebcf723e78e47c87372749e35769_" data-

rawwidth="562" data-rawheight="192" class="origin_image zh-lightbox-thumb"

width="562" data-original="/v2-

293bebcf723e78e47c87372749e35769_">

4. ⼯作量证明（Proof-of-Work）

为了在点对点的基础上构建⼀组分散化的时间戳服务器，仅仅像报纸或世界性新闻⽹络组⼀样⼯作是不够的，我们还需要⼀个类似于亚当

柏克（Adam Back）提出的哈希现⾦（Hashcash）[6]。在进⾏随机散列运算时，⼯作量证明机制引⼊了对某⼀个特定值的扫描⼯作，⽐

⽅说SHA-256下，随机散列值以⼀个或多个0开始。那么随着0的数⽬的上升, 找到这个解所需要的⼯作量将呈指数增长，⽽对结果进⾏检

验则仅需要⼀次随机散列运算。

我们在区块中补增⼀个随机数(Nonce)，这个随机数要使得该给定区块的随机散列值出现了所需的那么多个0。我们通过反复尝试来找到这

个随机数，直到找到为⽌，这样我们就构建了⼀个⼯作量证明机制。只要该CPU耗费的⼯作量能够满⾜该⼯作量证明机制，那么除⾮重新完

成相当的⼯作量，该区块的信息就不可更改。由于之后的区块是链接在该区块之后的，所以想要更改该区块中的信息，就还需要重新完成之

后所有区块的全部⼯作量。

img src="/v2-dcd1e7c5ab9c5b92628b348a1c106126_" data-

rawwidth="566" data-rawheight="177" class="origin_image zh-lightbox-thumb"

width="566" data-original="/v2-

dcd1e7c5ab9c5b92628b348a1c106126_">

同时，该⼯作量证明机制还解决了在集体投票表决时，谁是⼤多数的问题。如果决定⼤多数的⽅式是基于IP地址的，⼀IP地址⼀票，那么如

果有⼈拥有分配⼤量IP地址的权⼒，则该机制就被破坏了。⽽⼯作量证明机制的本质则是⼀CPU⼀票。“⼤多数”的决定表达为最长的链，

因为最长的链包含了最⼤的⼯作量。如果⼤多数的CPU为诚实的节点控制，那么诚实的链条将以最快的速度延长，并超越其他的竞争链条。

如果想要对业已出现的区块进⾏修改，攻击者必须重新完成该区块的⼯作量外加该区块之后所有区块的⼯作量，并最终赶上和超越诚实节点

的⼯作量。我们将在后⽂证明，设想⼀个较慢的攻击者试图赶上随后的区块，那么其成功概率将呈指数化递减。

另⼀个问题是，硬件的运算速度在⾼速增长，⽽节点参与⽹络的程度则会有所起伏。为了解决这个问题，⼯作量证明的难度(the proof-of-

work difficulty)将采⽤移动平均⽬标的⽅法来确定，即令难度指向令每⼩时⽣成区块的速度为某⼀个预定的平均数。如果区块⽣成的速度

过快，那么难度就会提⾼。

5. ⽹络

运⾏该⽹络的步骤如下：

1) 新的交易向全⽹进⾏⼴播；

2) 每⼀个节点都将收到的交易信息纳⼊⼀个区块中；

3) 每个节点都尝试在⾃⼰的区块中找到⼀个具有⾜够难度的⼯作量证明；

4) 当⼀个节点找到了⼀个⼯作量证明，它就向全⽹进⾏⼴播；

5) 当且仅当包含在该区块中的所有交易都是有效的且之前未存在过的，其他节点才认同该区块的有效性；

6) 其他节点表⽰他们接受该区块，⽽表⽰接受的⽅法，则是在跟随该区块的末尾，制造新的区块以延长该链条，⽽将被接受区块的随

机散列值视为先于新区快的随机散列值。

节点始终都将最长的链条视为正确的链条，并持续⼯作和延长它。如果有两个节点同时⼴播不同版本的新区块，那么其他节点在接收到该区

块的时间上将存在先后差别。当此情形，他们将在率先收到的区块基础上进⾏⼯作，但也会保留另外⼀个链条，以防后者变成最长的链条。

该僵局（tie）的打破要等到下⼀个⼯作量证明被发现，⽽其中的⼀条链条被证实为是较长的⼀条，那么在另⼀条分⽀链条上⼯作的节点将转

换阵营，开始在较长的链条上⼯作。

所谓“新的交易要⼴播”，实际上不需要抵达全部的节点。只要交易信息能够抵达⾜够多的节点，那么他们将很快被整合进⼀个区块中。⽽

区块的⼴播对被丢弃的信息是具有容错能⼒的。如果⼀个节点没有收到某特定区块，那么该节点将会发现⾃⼰缺失了某个区秋游的日记 块，也就可以提

出⾃⼰下载该区块的请求。

6. 激励

我们约定如此：每个区块的第⼀笔交易进⾏特殊化处理，该交易产⽣⼀枚由该区块创造者拥有的新的电取消超链接 ⼦货币。这样就增加了节点⽀持该⽹

络的激励，并在没有中央集权机构发⾏货币的情况下，提供了⼀种将电⼦货币分配到流通领域的⼀种⽅法。这种将⼀定数量新货币持续增添

到货币系统中的⽅法，⾮常类似于耗费资源去挖掘⾦矿并将黄⾦注⼊到流通领域。此时，CPU的时间和电⼒消耗就是消耗的资源。

另外⼀个激励的来源则是交易费（transaction fees）。如果某笔交易的输出值⼩于输⼊值，那么差额就是交易费，该交易费将被增加到该

区块的激励中。只要既定数量的电⼦货币已经进⼊流通，那么激励机制就可以逐渐转换为完全依靠交易费，那么本货币系统就能够免于通货

膨胀。

激励系统也有助于⿎励节点保持诚实。如果有⼀个贪婪的攻击者能够调集⽐所有诚实节点加起班主任管理理念 来还要多的CPU计算⼒，那么他就⾯临⼀个选

择：要么将其⽤于诚实⼯作产⽣新的电⼦货币，或者将其⽤于进⾏⼆次⽀付攻击。那么他就会发现，按照规则⾏事、诚实⼯作是更有利可图

的。因为该等规则使得他能够拥有更多的电⼦货币，⽽不是破坏这个系统使得其⾃⾝财富的有效性受损。

7. 回收硬盘空间

如果最近的交易已经被纳⼊了⾜够多的区块之中，那么就可以丢弃该交易之前的数据，以回收硬盘空间。为了同时确保不损害区块的随机散

列值，交易信息被随机散列时，被构建成⼀种Merkle树（Merkle tree）[7] 的形态，使得只有根(root)被纳⼊了区块的随机散列值。通过

将该树（tree）的分⽀拔除（stubbing）的⽅法，⽼区块就能被压缩。⽽内部的随机散列值是不必保存的。

img src="/v2-ae384f96a100e86814ecdaf1dd559db1_" data-

rawwidth="756" data-rawheight="443" class="origin_image zh-lightbox-thumb"

width="756" data-original="/v2-

ae384f96a100e86814ecdaf1dd559db1_">

不含交易信息的区块头（Block header）⼤⼩仅有80字节。如果我们设定区块⽣成的速率为每10分钟⼀个，那么每⼀年产⽣的数据位

4.2MB。（80 bytes * 6 * 24 * 365 = 4.2MB）。2008年，PC系统通常的内存容量为2GB，按照摩尔定律的预⾔，即使将全部的区块

头存储于内存之中都不是问题。

8. 简化的⽀付确认（Simplified Payment Verification）

在不运⾏完整⽹络节点的情况下，也能够对⽀付进⾏检验。⼀个⽤户需要保留最长的⼯作量证明链条的区块头的拷贝，它可以不断向⽹络发

起询问，直到它确信⾃⼰拥有最长的链条，并能够通过merkle的分⽀通向它被加上时间戳并纳⼊区块的那次交易。节点想要⾃⾏检验该交

易的有效性原本是不可能的，但通过追溯到链条的某个位置，它就能看到某个节点曾经接受过它，并且于其后追加的区块也进⼀步证明全⽹

曾经接受了它。

img src="/v2-8e422d7baafda6b157c13c5c3a01431f_" data-

rawwidth="771" data-rawheight="315" class="origin_image zh-lightbox-thumb"

width="771" data-original="/v2-

8e422d7baafda6b157c13c5c3a01431f_">

当此情形，只要诚实的节点控制了⽹络，检验机制就是可靠的。但是，当全⽹被⼀个计算⼒占优的攻击者攻击时，将变得较为脆弱。因为⽹

络节点能够⾃⾏确认交易的有效性，只要攻击者能够持续地保持计算⼒优势，简化的机制会被攻击者焊接的（fabricated）交易欺骗。那么

⼀个可⾏的策略就是，只要他们发现了⼀个⽆效的区块，就⽴刻发出警报，收到警报的⽤户将⽴刻开始下载被警告有问题的区块或交易的完

整信息，以便对信息的不⼀致进⾏判定。对于⽇常会发⽣⼤量收付的商业机构，可能仍会希望运⾏他们⾃⼰的完整节点，以保持较⼤的独⽴

完全性和检验的快速性。

img src="/v2-1301b7719c240ffeb4d0cac63ba8d5a5_" data-

rawwidth="327" data-rawheight="272" class="content_image"

width="327">

9. 价值的组合与分割（Combining and Splitting Value）

虽然可以单个单个地对电⼦货币进⾏处理，但是对于每⼀枚电⼦货币单独发起⼀次交易将是⼀种笨拙的办法。为了使得价值易于组合与分

割，交易被设计为可以纳⼊多个输⼊和输出。⼀般⽽⾔是某次价值较⼤的前次交易构成的单⼀输⼊，或者由某⼏个价值较⼩的前次交易共同

构成的并⾏输⼊，但是输出最多只有两个：⼀个⽤于⽀付，另⼀个⽤于找零（如有）。

需要指出的是，当⼀笔交易依赖于之前的多笔交易时，这些交易⼜各⾃依赖于多笔交易，但这并不存在任何问题。因为这个⼯作机制并不需

要展开检验之前发⽣的所有交易历史。

10. 隐私（Privacy）

img src="/v2-29389c97c70fc8a5656b5acbbdde969a_" data-

rawwidth="708" data-rawheight="238" class="origin_image zh-lightbox-thumb"

width="708" data-original="/v2-

29389c97c70fc8a5656b5acbbdde969a_">

传统的造币⼚模型为交易的参与者提供了⼀定程度的隐私保护，因为试图向可信任的第三⽅索取交易信息是严格受限的。但是如果将交易信

息向全⽹进⾏⼴播，就意味着这样的⽅法失效了。但是隐私依然可以得到保护：将公钥保持为匿名。公众得知的信息仅仅是有某个⼈将⼀定

数量的货币发所给了另外⼀个⼈，但是难以将该交易同特定的⼈联系在⼀起，也就是说，公众难以确信，这些⼈究竟是谁。这同股票交易所

发布的信息是类似的，股票交易发⽣的时间、交易量是记录在案且可供查询的，但是交易双⽅的⾝份信息却不予透露。

作为额外的预防措施，使⽤者可以让每次交易都⽣成⼀个新的地址，以确保这些交易不被追溯到⼀个共同的所有者。但是由于并⾏输⼊的存

在，⼀定程度上的追溯还是不可避免的，因为并⾏输⼊表明这些货币都属于同⼀个所有者。此时的风险在于，如果某个⼈的某⼀个公钥被确

认属于他，那么就可以追溯出此⼈的其它很多交易。

11. 计算

设想如下场景：⼀个攻击者试图⽐诚实节点产⽣链条更快地制造替代性区块链。即便它达到了这⼀⽬的，但是整个系统也并⾮就此完全受制

于攻击者的独断意志了，⽐⽅说凭空创造价值，或者掠夺本不属于攻击者的货币。这是因为节点将不会接受⽆效的交易，⽽诚实的节点永远

不会接受⼀个包含了⽆效信息的区块。⼀个攻击者能做的，最多是更改他⾃⼰的交易信息，并试图拿回他刚刚付给别⼈的钱。

诚实链条和攻击者链条之间的竞赛，可以⽤⼆叉树随机漫步（Binomial Random Walk)来描述。成功事件定义为诚实链条延长了⼀个区

块，使其领先性+1，⽽失败事件则是攻击者的链条被延长了⼀个区块，使得差距-1。

攻击者成功填补某⼀既定差距的可能性，可以近似地看做赌徒破产问题（Gambler’s Ruin problem）。假定⼀个赌徒拥有⽆限的透⽀信

⽤，然后开始进⾏潜在次数为⽆穷的赌博，试图填补上⾃⼰的亏空。那么我们可以计算他填补上亏空的概率，也就是该攻击者赶上诚实链

条，如下所⽰[8] ：

img src="/v2-77591d5a9dcd6841b310c40e49c883b2_" data-

rawwidth="396" data-rawheight="239" class="content_image"

width="396">

假定p>q，那么攻击成功的概率就因为区块数的增长⽽呈现指数化下降。由于概率是攻击者的敌⼈，如果他不能幸运且快速地获得成功，那

么他获得成功的机会随着时间的流逝就变得愈发渺茫。那么我们考虑⼀个收款⼈需要等待多长时间，才能⾜够确信付款⼈已经难以更改交易

了。我们假设付款⼈是⼀个⽀付攻击者，希望让收款⼈在⼀段时间内相信他已经付过款了，然后⽴即将⽀付的款项重新⽀付给⾃⼰。虽然收

款⼈届时会发现这⼀点，但为时已晚。

收款⼈⽣成了新的⼀对密钥组合，然后只预留⼀个较短的时间将公钥发送给付款⼈。这将可以防⽌以下情况：付款⼈预先准备好⼀个区块链

然后持续地对此区块进⾏运算，直到运⽓让他的区块链超越了诚实链条，⽅才⽴即执⾏⽀付。当此情形，只要交易⼀旦发出，攻击者就开始

秘密地准备⼀条包含了该交易替代版本的平⾏链条。

然后收款⼈将等待交易出现在⾸个区块中，然后在等到z个区块链接其后。此时，他仍然不能确切知道攻击者已经进展了多少个区块，但是

假设诚实区块将耗费平均预期时间以产⽣⼀个区块，那么攻击者的潜在进展就是⼀个泊松分布，分布的期望值为：

img src="/v2-d19cdc73e4f0dbb33b8855a542e0e23d_" data-

rawwidth="53" data-rawheight="35" class="content_image"

width="53">

当此情形，为了计算攻击者追赶上的概率，我们将攻击者取得进展区块数量的泊松分布的概率密度，乘以在该数量下攻击者依然能够追赶上

的概率。

img src="/v2-a9e334d735d550ec7830312aae31b07d_" data-

rawwidth="284" data-rawheight="112" class="content_image"

width="284">

化为如下形式，避免对⽆限数列求和：

img src="/v2-8b2bdfcf7971f9f65f618c318384c9a5_" data-

rawwidth="284" data-rawheight="94" class="content_image"

width="284">

写为如下C语⾔代码：

#include double AttackerSuccessProbability(double q, int z)

{

double p = 1.0 - q;

double lambda = z * (q / p);

double sum = 1.0;

int i, k;

for (k = 0; k <= z; k++)

{

double poisson = exp(-lambda);

for (i = 1; i <= k; i++)

poisson *= lambda / i;

sum -= poisson * (1 - pow(q / p, z - k));

}

return sum;

}

对其进⾏运算，我们可以得到如下的概率结果，发现概率对z值呈指数下降。

当q=0.1时

z=0 P=1.0000000

z=1 P=0.2045873

z=2 P=0.0509779

z=3 P=0.0131722

z=4 P=0.0034552

z=5 P=0.0009137

z=6 P=0.0002428

z=7 P=0.0000647

z=8 P=0.0000173

z=9 P=0.0000046

z=10 P=0.0000012

当q=0.3时

z=0 P=1.0000000

z=5 P=0.1773523

z=10 P=0.0416605

z=15 P=0.0101008

z=20 P=0.0024804

z=25 P=0.0006132

z=30 P=0.0001522

z=35 P=0.0000379

z=40 P=0.0000095

z=45 P=0.0000024

z=50 P=0.0000006

求解令P<0.1%的z值：

为使P<0.001，则

q=0.10 z=5

q=0.15 z=8

q=0.20 z=11

q=0.25 z=15

q=0.30 z=24

q=0.35 z=41

q=0.40 z=89

q=0.45 z=340

12.结论

我们在此提出了⼀种不需要信⽤中介的电⼦⽀付系统。我们⾸先讨论了通常的电⼦货币的电⼦签名原理，虽然这种系统为所有权提供了强有

⼒的控制，但是不⾜以防⽌双重⽀付。为了解决这个问题，我们提出了⼀种采⽤⼯作量证明机制的点对点⽹络来记录交易的公开信息，只要

诚实的节点能够控制绝⼤多数的CPU计算能⼒，就能使得攻击者事实上难以改变交易记录。该⽹络的强健之处在于它结构上的简洁性。节点

之间的⼯作⼤部分是彼此独⽴的，只需要很少的协同。每个节点都不需要明确⾃⼰的⾝份，由于交易信息的流动路径并⽆任何要求，所以只

需要尽其最⼤努⼒传播即可。节点可以随时离开⽹络，⽽想重新加⼊⽹络也⾮常容易，因为只需要补充接收离开期间的⼯作量证明链条即

可。节点通过⾃⼰的CPU计算⼒进⾏投票，表决他们对有效区块的确认，他们不断延长有效的区块链来表达⾃⼰的确认，并拒绝在⽆效的区

块之后延长区块以表⽰拒绝。本框架包含了⼀个梦见别人吃蛇 P2P电⼦货币系统所需要的全部规则和激励措施。

注释

1. W Dai（戴伟）,a scheme for a group of untraceable digital pudonyms to pay each other with money and to enforce

contracts amongst themlves without outside help（⼀种能够借助电⼦假名在群体内部相互⽀付并迫使个体遵守规则且不需要

外界协助的电⼦现⾦机制）, “B-money”, , 1998

2. H. Massias, X.S. Avila, and J.-J. Quisquater, “Design of a cure timestamping rvice with minimal trust

requirements,”（在最⼩化信任的基础上设计⼀种时间戳服务器） In 20th Symposium on Information Theory in the Benelux,

May 1999.

3. S. Haber, W.S. Stornetta, “How to time-stamp a digital document,” （怎样为电⼦⽂件添加时间戳）In Journal of

Cryptology, vol 3, No.2, pages 99-111, 1991.

4. D. Bayer, S. Haber, W.S. Stornetta, “Improving the efficiency and reliability of digital time-stamping,”（提升电⼦时间戳

的效率和可靠性） In Sequences II: Methods in Communication, Security and Computer Science, pages 329-334, 1993.

5. S. Haber, W.S. Stornetta, “Secure names for bit-strings,”（⽐特字串的安全命名） In Proceedings of the 4th ACM

Conference on Computer and Communications Security, pages 28-35, April 1997. on Computer and Communications

Security, pages 28-35, April 1997.

6. A. Back, “Hashcash – a denial of rvice counter-measure,”（哈希现⾦——拒绝服务式攻击的克制⽅法）, 2002.

7. R.C. Merkle, “李克勤一生不变 Protocols for public key cryptosystems,” （公钥密码系统的协议）In Proc. 1980 Symposium on Security

and Privacy, IEEE Computer Society, pages 122-133, April 1980.

S. Haber, W.S. Stornetta, “Secure names for bit-strings,”（⽐特字串安全命名） In Proceedings of the 4th ACM

Conference on Computer and Communications Security, pages 28-35, April 1997. on Computer and Communications

Security, pages 28-35, April 1997.

H. Massias, X.S. Avila, and J.-J. Quisquater, “Design of a cure timestamping rvice with minimal trust

requirements,”（在最⼩化信任的条件下设计⼀种时间戳服务器） In 20th Symposium on Information Theory in the Benelux,

May 1999.

8. W. Feller, “An introduction to probability theory and its applications,” （概率学理论与应⽤导论）1957