CN102750494A

CN102750494A - 自加密

Info

Publication number: CN102750494A
Application number: CN2012100687556A
Authority: CN
Inventors: 大卫·欧文
Original assignee: Individual
Current assignee: MAIDSAFE NET Ltd
Priority date: 2006-12-01
Filing date: 2007-11-21
Publication date: 2012-10-24
Anticipated expiration: 2027-11-21
Also published as: US20100064354A1; US8788803B2; GB0624053D0; US20120210120A1; EP2118808A2; CN102750494B; GB2444342A; EP2472430A1; US20130061049A1; GB0709759D0; WO2008065341A2; CA2707531A1; AU2007327389A1; CA2768014A1; GB2446199A; IN2009KN02415A; WO2008065341A3; CN101627395A

Abstract

本发明的网络用新的方法实现其用户的隐私、安全和自由。通过允许匿名访问而具有隐私性；通过对资源进行加密和模糊而具有安全性；通过允许用户匿名并不可驳地被视为网络上的真实用户、完全安全地与其它用户通信、以及安全访问其自身的数据和其它用户与其共享的数据，而具有自由。此外，本发明包括能自愈数据、保证安全收发消息并具有投票系统的系统，以允许用户指定网络的开发方向，从而决定接受或拒绝对网络进行建议的添加。本发明解决了发展的差距和区间受到不当影响的网络和因特网的不兼容和安全缺陷。本发明的基本机制是将恢复开放的通信和不用担心的访问，并且，通过拒绝服务攻击和垃圾消息，病毒和缺陷难以对本发明造成影响，此外，还将提供使卖家锁定无需成为问题的基础。

Description

自加密

发明综述

现有网络的一个问题是厂商锁定施加的基于厂商的控制以及缺乏标准。本发明允许用户以这样的方式负责新的全球网络，即，将维持有效性并促进公共目标的设置和实现。

现有网络的另一个问题是数据的安全性和保密性。本发明允许安全、保密且自由的网络，其用户可享受高效管理的工作环境，该环境能保证一定级别的、私人的安全保护的活动。

目前，许多计算机资源被大量使用，包括磁盘空间、内存、处理能力和任何其它附属的资源，这不仅效率低并在环境上是有害的。本发明希望充分利用这些资源，并在全球将这些资源共享给购买这些资源的人或被视为适于受益于这些资源的人或组织，例如，贫穷国家的儿童、科学实验室等。这些资源池以及其它资源的分配将由系统的用户决定。

背景技术

数据通常存储在各PC的硬盘上，这些PC总是具有内存和操作开销限制。存储在例如因特网的分布式系统上也是可能的，但是需要具有可用的具体的存储服务器。除了这些物理系统之外，还需要例如安全、修复、加密、验证、匿名和映射等数据管理元素来确保通过因特网实现成功的数据处理和管理。现在存在消息接发和投票系统，但这些系统要么不允许对投票进行身份验证，要么不允许在线匿名。已经做出了如下尝试，但这些系统与maidsafe.net的操作都不相同。

如下列出了各元素的现有技术，我们对这些元素进行分析并拒绝将其作为真正的现有技术，在必要时我们会指出其为什么不是本发明的现有技术。

永久数据

大多数永久数据生成都分配有时间&日历等(US62669563，JP2001100633)。这与本发明无关，因为我们与说明和永久生成时间相关的数据的日历无关。然而，例如通信终端的外部装置(JP2005057392)(这是与本发明无关的硬件装置)已用于多个包交换，以允许在网络之间进行漫游数据的永久切换。电池组(EP0944232)已用于连续可接入连接于宽带网络的用户房屋装置，并通过宽带网络接口的永久模式操作加强。此外，永久数据可在对等或分布式网络中以可靠的方式存储和获取。唯一的关联是这些装置连接于因特网连接，但在其它方面未提供现有技术。

数据库&数据存储方法

专利WO9637837、TW223167B、US6760756和US7099898描述了故障时的数据复制和数据保留方法。

专利WO200505060625公开了发生故障时的安全互连方法。

身份验证

身份验证服务器用于用户和数据处理验证，例如，JP2005311545描述了这样的系统，其中对电子文档的“数字印章”的应用符合电子签名条例。这与签署纸质文档的情况类似，但却是通过电子印章验证系统使用电子签名。该系统包括：客户计算机，每个客户计算机都连接有图形输入板；电子印章验证服务器和带有电子印章验证服务器的PKI验证服务器。US2004254894公开了一种自动系统，其用于在这种情况下对匿名用户的资料数据进行确认有效的验证。

JP2005339247描述了基于服务器的一次性ID系统，并使用了便携式终端。US2006136317公开了银行下拉框，并建议通过不发送任何密码或ID来进行更有效的保护。专利US2006126848公开了一种中心服务器，其处理一次性密码或验证词，并且不用于分布式网络。专利US2002194484公开了一种分布式网络，其中全部的块不分别进行验证，而是仅在对文件和数据散列进行了更新且该更新仅用于确认之后重新计算清单。

自验证

这主要用于生物测定中(WO2006069158)。系统用于从由一系列元素构成的旧版本数据和同样由一系列元素构成的新版本数据生成补丁文件(US2006136514)。通常使用验证服务器(因此不是根据本发明的分布式网络原理)(JP2006107316、US2005273603、EP1548979)。

然而，可使用服务器和用户交换有效证书(US2004255037)。还可由验证参与者对信息交换系统使用(语义信息)来代替服务器(JP2004355358)，该语义信息的存储和引用也与本发明不同。

基于身份加密和门限秘密共享的概念提供了分布式密钥管理和认证。在没有假设节点之间的任何预固定信任关系的情况下，自组网络以自组织的方式工作以提供密钥生成和密钥管理服务，这有效地解决了在传统的支持公共密钥基础建设(PKI)的系统中的单点失效的问题(US2006023887)。认证涉及用于确认的加密密钥(WO2005055162)。与本发明不同，它们是为已知用户确认的。外罩也被用于认证(WO2005034009)。所有的这些系统都需要丢失授权用户和密码或证书，或需要(无论是否是分布式的)记录授权用户和密码或证书，并且因此不代表现有技术。

可逐步执行排序、散列以用于认证，并且可在对多个设备进行数字认证后执行设备的经验认证。多个认证设备中的每个均可根据高经验排序的散列值单向地产生低经验排序的散列值，并且根据经验接收一组高经验排序和散列值。按照这种方式，认证设备对彼此的经验排序进行认证(US2004019788)。这是对已知身份的访问进行散列并且提供基于努力的访问的机制的系统。本发明未依赖或使用这样的机制。

快速加密

这是另外一种认证方法(JP2001308845)。用于计算机系统的自验证证书使用私人密钥和公共密钥——未分块而是用于可信的硬件子系统(US2002080973)。这是用于认证的自签署证书的机制，而且对于基于努力的计算是有用的，但是不使用于本发明中。其它认证模式是交换信息包的设备(JP2001186186)、开放的密钥证书管理数据(JP10285156)和用于认证的证书(WO96139210)。对等(Peer to Peer)系统的认证是由数字版权管理说明的(US2003120928)。数字版权管理和CSC(该专利的一部分是DRM容器)问题是基于使用的能力而不是获得对网络或资源的访问，并且因此不是现有技术。

已知的自愈技术被笼统地分为两类。一类是集中控制系统，其提供了从网络的中心位置开始的整个重路由控制。按照这种方式，随着失效通道的个数的增加，重路由算法和报警收集次数的建立变得越来越复杂，并且如果复用传输系统的大量信道失效，那么将需要大量时间来收集报警信号和传递重路由信息。另一类是分布式方法，在该方法中，重路由功能由网络的分布点提供。下面的关于分布式重路由方法的文章已经出版：(它们都涉及自愈，但基于网络路径观点，因此不是本发明的现有技术，本发明处理数据或数据块的自愈机制。)

文献1：W.D.Grover的“The Selfhealing Network”，1987年11月发表于Proceedings of Grobecom′87。

文献2：H.C.Yang和S.Hasegawa的“Fitness：Failure Immunization Technology For Network Service Survivability”，1988年12月发表于Proceedings of Grobecom′88。

文献3：H.R.Amirazizi的“Controlling Synchronous Networks With Digital Cross-Connect Systems”，1988年12月发表于Proceedings of Grobecom′88。

文献1涉及用于单传输系统中的失效的恢复技术，而文献2涉及“多波”方法，在该方法中，路由查找包以多波的方式被广播以寻找最大带宽，直到建立了具有必要带宽的预备路由为止。多波方法的一个缺点是它需要很长的恢复时间。文献3也涉及单传输系统的故障恢复，而文献3的缺点在于路由查找包趋于形成循环并且因此可能遇到延迟。

自愈

自愈由分布式系统上的安全的防篡改的远端文件的系统和方法说明，并且其对完整性核查失效的数据进行重定向以安装用于修复的模块(WO20566133)。该公开依赖于来自于中心定位的测试数据而不是如本发明的分布式分块。它也不允许多个访问以及共享这些块的测试和所有权。服务器被用于自愈(US2004177156)，有效地将这些从现有技术中去除。自修复是由数据覆盖实现，该数据覆盖被建立为逻辑空间顶部上的数据结构，该逻辑空间是由对等(P2P)网络环境中的分布式散列表(DHT)定义的(US2005187946)。该微软专利是关于DT网络的专利，因为它们存在一些数量并且已经完成了很多年，因此它们是特有的，然而，没有要求保护关于本发明中的自修复数据而要求保护关于自修复数据存储定位(即，在P2P项中寻找最近的节点)。这不是自愈数据，而仅仅是对典型的DHT的描述以及对数据的路由的有效性和提供多个路由的有效性的描述。这不是用于本发明的现有技术，但是因为存在很多与该微软专利相反的现有技术的情况，因此它很可能不可实施。

相同的通信节点元件被用于供电网络的自修复(US2005043858)。自愈也涉及分布式的数据系统，并且，更具体地说，其涉及在分布式数据系统群集内执行群集拓扑自愈过程中提供高有效性。群集拓扑自愈过程可被执行以响应于节点失效，从而将存储于失效节点上的数据集从存储该数据集的另一个副本的第一节点复制到第二非失效节点(US2004066741)。用于软件的自愈的装置和方法可依赖于网络的目录服务中的分配对象，以提供数据用于控制软件的分配和与之相关联的文件的安装(US6023586)。一种用于对数字通信网络进行基本瞬时自愈的技术。通过使用编码算法对来自于N个邻近源的每一个的数字数据流进行组合和编码以产生N+M个编码数据流。然后，通过分离的长距离通信链路，N+M个编码数据流的每一个被传输到达解码器，在解码器处，N+M个编码数据流中的任意N个可被唯一地解码以产生原始的N个数据流(EP0420648)。为了提供即使失效已经发生在复用传输线中，仍可在短时期内从失效恢复的自愈通信网络(US5235599)。上面的专利和发明是基于群集技术并且不是分布式计算或基于因特网的计算。群集简单地是被连接以创建更大的机器的多个机器。它被视为具有已知用户访问等的单个机器，并且不是本发明的现有技术。讨论的N+M编码方案是基于数字通信和接收链路的专利，并且不涉及本发明，尽管初看之下它们好像在一些方面出现相同的语言。

进行了获得自加密的一些限制方面的尝试，其表现为：

(a)US2003053053625公开示出了非对称加密算法和对称加密算法的限制，并且更具体地说，既不需要根据对称密钥产生密钥流，也不需要任何时间同步，具有最小的计算复杂并且能够高速地工作。首先，将被安全地传输的一串数据流被解复用为N个加密器输入数据流。具有级联级的输入数据片被创建，它们包括映射和延迟功能以产生输出片。这些数据片是通过传输信道传输的。解密器应用级联级的逆向步骤，均衡延迟功能和映射以生成输出数据片。输出数据流是多路传输的。加密器和解密器不需要同步或定时并且以简单流的形式工作。N:N映射不需要浪费的计算并且是通过查表实施的。这提供了鲁棒的安全性和效率。该方法和现有的加密法之间的重要区别是会话密钥被用于在数据传输之前得到加密器和解密器的处理参数(表格和延迟)，而不是被用于以实时速率产生密钥流。用于根据会话密钥产生参数的算法被公开。该专利是基于数据通信、在传输中自动地加密数据以及在远端处自动地进行解密，这不涉及本发明。

(b)US2002184485公开提出了通过消息的加密实现的安全通信(SSDO-自签署文档对象)，以使只有拥有秘密密钥的已知接收者可读取该消息和该消息的确认，从而验证消息的文本和源。两个能力被建立在消息中，该消息可通过因特网传输并且通过执行文档表示语言的计算机被解密或验证，该文档表示语言支持动态的内容，例如：任何标准的web浏览器，以使详细描述的过程确保不再需要具有相同软件的传输计算机和接收计算机。用于验证的加密的消息或一个编码的消息可在其自身内携带指定解密所需算法需要的全部信息。这是描述密钥对加密和对相同软件进行确认的专利。这不是由本发明使用的，在本发明中，密钥对被用于一些数据的非对称加密，但这被用于RSA(现在不属于专利)加密密码并且不是按照上面描述的更多地用于确认的方式被使用的。

已经开发出一系列自加密的受限方法，例如：用于对可自由选择的数字数据序列进行随机加密的系统(EP1182777)(这是密钥生成专利，而不是本发明示出的自加密)、使用代码密钥计算加密模式但是通过使用服务器(CN1658553)、使用自测试模式(US6028527)、用于在接收机处对传输的(非存储的)和再产生的信息的数据信号进行随机化处理的加密系统(US4760598)、在组件中使用私人加密密钥并且将它们发送给可信的代理(而不是根据本发明的自加密)(JP2005328574)、具有密钥托管特征的密码系统而不是本发明中所述的自加密(US6009177)、首先对一组具有密钥转换的消息信号进行编码的步骤(US6385316)、对不安全口令的系统进行自动调整(US6370649)、包括将语音信号分解为时间间隔和随机排序等的基于时间的加密的方法(RU2120700)、使用硬件解密模块(HDM)(US2003046568)、通过半导体存储设备实现数据安全存储和算法存储(US2006149972)、使用来自于证书服务器的证书(US20020428080)、使用用于对通信进行加密的证书(EP1422865)、使用用于对数据进行加密和传输的自服务终端(US2006020788)、用于通过加密算法执行安全通信的方法(US2005047597)、数据加密-块加密可变长度(BEVL)编码的方法(克服了CMEA算法的弱点)(US2004190712)、用于安全数据传输的加密密码(CN1627681)、使用快速建立一次性密钥和自同步加密流数据的方法和系统(US2005232424)、以及为了安全性生成数据完整性的MAC进行电子签名并使用TREM软件模块(US2004199768)。

上述系统均未利用根据本发明的自加密、均未涉及语音与数据传输、也均未包括硬件控制器或服务器。

私人共享文件

US6859812公开了用于区分私人文件和公共文件的系统和方法，其中成群集的计算机共享公共的存储资源、连接网络的存储(NAS)和存储区域网络(SAN)，因此不是如本发明中的分布式的。US5313646具有提供写时复制特征的系统，当用户试图在后层修改共享文件时，该系统通过自动地将共享文件复制到用户的私有层中以保护共享文件的完整性，这也是不同的技术，并且依赖于对用户的了解——非匿名的。WO02095545公开了使用用于非匿名的私人文件共享的服务器的系统。

分布式网络共享映射

US5117350公开了具有多个由公共广播式总线互连的节点的计算机系统。US5423034示出了目录结构中的每个文件和层如何具有网络访问权限。文件目录结构发生器和检索工具具有文档定位器模块，该文档定位器模块将存储在存储器中的文件的目录结构映射到文件的实际等级文件结构。因此，其不是分布在公共网络上也不是匿名的或自加密的，本发明未使用这种方式的广播。

安全性

如今，系统通过加密技术确保交易的安全，例如，安全套接字层(SSL)、数字证书和公共密钥加密技术。如今，这些系统通过如防火墙和入侵检测系统等技术对黑客进行寻址。商家认证程序被设计为确保商家具有足够的内置安全性以合理地向消费者保证其交易将是安全的。这些系统还确保供应商将不会由于试图通过如口令保护等第二确认系统和最终的智能卡技术验证消费者而引起收费。

网络防火墙通常是基于包滤波，其在原理上是被限制的，因为判断哪些包被接收或拒绝的规则是基于主观的决定。由于默认程序被允许对其它程序、其数据文件、或操作系统的关键文件进行任何操作，因此即使是VPN(虚拟私人网络)和包括数字签名等其它形式的数据加密也并不是真正安全的，因为信息可在加密处理之前被窃取。这是通过(CA247150)自动地创建数量不限的对资源虚拟共享的虚拟环境(VE)是实现的，从而每个VE中的程序认为它们是独立地存在于计算机上。本发明采用了完全不同的安全方法并且避免了对上面的很多尤其是CA2471505的要求。

US6185316公开了经由指纹成像测试的代码位安全性，其通过使用封闭的虚像以阻止欺诈复制，这与本发明的不同之处在于根本不存储图像因此图像当然不在数据库中。

安全&存储系统

目前，存在用于商业环境的几种类型的集中文件存储系统。一种这样的系统是服务器限制的存储系统，该系统通过局域网或LAN与终端用户进行通信。终端用户通过LAN将存储和检索文件的请求发送至文件服务器，通过控制存储和/或检索操作以提供或存储被请求的文件对上述请求进行响应。虽然这种系统对于更小的网络工作得很好，但是在LAN与文件存储系统之间的接口处可能存在瓶颈。

另一种类型的集中存储系统是存储区域网络，它是用于将存储资源连接至服务器的共享的专用高速网络。虽然通常存储区域网络在给不同的服务器存储环境提供终端用户连接方面更加灵活且更加可扩展，但是这些系统也更加复杂。这些系统需要如网关、路由器、交换机等硬件，因此在硬件和相关联的软件需求方面更加昂贵。

第三种类型的存储系统是网络连接的存储系统，在该存储系统中，一个或多个专用服务器操纵LAN上的文件存储。

另一种文件存储系统利用位于在该系统上操作的不同节点或计算机上的分布式的存储资源，而非专用的集中存储系统。这些分布式系统的客户进行对等通信以确定将哪些存储资源分配给特殊的文件、目录等。这些系统被组织为全局文件存储，这些全局文件存储物理上分布于该系统上的计算机上。全局文件存储是单块文件系统，其在系统上被索引为如分级目录等。这些系统中的节点使用拜占庭协议管理文件复制，用于提高文件的有效性和/或可靠性。拜占庭协议需要相当冗长的消息交换且因此效率很差，并且甚至在期望对文件进行很多修改的系统中使用是不实际的。US200211434示出了对等存储系统，其描述了集中管理分布式存储资源的存储协调器。其区别是需要存储代理，从而使其不完全是分布式。本发明的不同还在于本发明不具有用于该系统的任何部位的集中资源，并且我们还对数据进行加密以确保安全，以及我们系统的自愈方面也是分布式的。

US7010532公开了对存储于存储设备上的信息的改进访问。多个第一节点和一个第二节点通过通信通道彼此耦合，第二节点被耦合于存储设备以确定包括到存储设备中的文件数据的块地址映射的元数据。

JP2OO3273860公开了一种在访问包括加密内容的加密文档期间增强安全等级的方法。用于对加密文档内的加密内容进行解密的文档访问密钥被存储在管理设备中，并且希望访问加密文档的用户设备将其用户ID、通过私人密钥进行加密的加密文档的文档标识密钥、以及公共密钥传输给管理设备，以请求发送文档访问密钥。与本发明不同之处在于，其从未传输用户ID并且根本不在网络中登录。并且，其不需要任何形式的管理设备。

JP2002185444公开了对网络中的安全进行改进并且当然满足处理请求。在用户注册的情况下，打印服务器形成了秘密密钥和公共密钥，并且将公共密钥传送给用户终端，其形成用户ID、秘密密钥和公共密钥，通过使用公共密钥对用户ID和公共密钥进行加密，并且将它们传送给打印服务器。这与本发明根本不相关，并且这是用于证明对网络节点的访问的PKI基础设施的系统。

用户的私人密钥和公共密钥在US6925182中被使用，通过使用各用户标识密钥用对称算法进行加密，并且被存储在网络服务器上，这使它成为与分布式网络不同的提案。

US2005091234描述了数据分块系统，该系统将数据划分为显著地固定尺寸的块以使复制数据可被识别。这与分布式网络的数据存储和传输是相关联的。US2006206547公开了一种集中存储系统，而US2005004947公开了新的基于PC的文件系统。US2005256881公开了存储于由路径算法定义的位置处的数据。这是基于服务器的复制去除并且不必加密数据，与本发明不同，本发明完成这两项但不需要服务器。

安全&加密

敏感信息的普通邮件通信是以明码传送，并且在传输期间可通过发送机系统上的未授权代码读取以及可通过接收机系统上的未授权代码读取。当要求高度机密时，硬件和软件的组合保护数据的安全。

US2002099666公开了连接于因特网或LAN的一个计算机或几个计算机的高度安全性。由处理器模块、如双磁盘驱动器等冗余的非易失性存储系统和多个通信接口构成的硬件系统被使用。这种类型的安全系统必须通过通行短语被解锁以访问数据，并且所有数据被透明地加密、存储、归档并且可用于加密备份。保持安全通信、文件传输和用PKI进行文档签署的系统和进行入侵监控和系统完整性核查的系统以在某一时间防篡改的方式被提供、登录和可选择地报警。

加密

WO2005093582公开了加密的方法，其中经由用于匿名网络浏览的私人标签确保数据位于接收节点中。然而，很多其它加密方法也可利用，例如：(i)Reed Solomon算法的植入(WO02052787)，其确保数据按照抛物线的方式被编码以用于自修复和存储，(ii)存储包括增量备份(WO02052787)，(iii)使用速记法(US2006177094)，(iv)使用密码密钥(CN1620005)、非文本的加密(US2006107048)和US2005108240公开了用户密钥和随机产生的叶节点密钥。本发明未使用这些加密方法中的任何一个，并且更确切地说，本发明确保所有块是唯一的并且不会指向另一个以确保安全性(关于Reed Solomon和执行N+K次抛物线编码的问题)。

加密文件签署

WO2005060152公开了表示单向散列的数字水印，其被嵌入签署文档以用于电子签署。大多数加密文档签署是与法律文档相关联的，例如：在线公正等(US2006161781)、签署验证(US6381344)。WO0182036公开了通过使用公共密钥加密对电子文档进行签署、存储和认证的系统和方法。该系统包括经由如因特网或万维网等网络连接于用户计算机、文档所有者服务器计算机和注册计算机的文档服务计算机群集。WO0013368公开了数据对象和签署数据都被加密。与本发明不同，这些系统都没有被设计为或允许分布式签名网络。

US6912660公开了一种用于对电子文档并行批准的方法。文档认证代码(DAC 0)被生成并且与原始文档相关联。接下来对文档的批准生成与该具体批准有关的DAC x。这与本发明不相关，因为它是文档批准系统——更确切地说，是允许文档具有多个签署以认证批准的系统，本发明根本不进行此处理。

US6098056公开了一种用于控制对如因特网等分布式信息系统中的数字内容的访问权利以及安全性的系统和方法。该网络包括至少一个耦合于存储设备的服务器，该存储设备对通过使用被称作文档加密密钥(DEK)的随机产生密钥进行加密的有限访问数字内容进行存储。DEK进一步通过使用公共/私人密钥对算法用服务器的公共密钥进行加密，并且被放置在存储于存储设备中的数字容器中，并且包括容器中的元信息的一部分。客户的工作站被耦合于服务器(与本发明的区别之一)以用于在授权的情况下请求访问限制的数据内容。在信任信息操作装置(TIH)将数据签署和签署算法的类型提供给描述客户与所有者之间的购买协议的交易数据之后，由服务器对该信任信息操作装置进行验证。当操作装置已经被认证之后，服务器使用其私人密钥对加密的DEK进行解密，并使用操作装置的公共密钥对DEK进行再加密，以确保只有信息操作装置可处理该信息。使用客户的公共密钥对加密的DEK进行进一步加密，该公告密钥使数字内容对于客户是私人的。客户的程序使用其私人密钥对DEK进行解码并将它和加密的内容一起传递给操作装置，该操作装置使用其私人密钥对DEK进行解密并继续对内容进行解密以显示给客户。

US5436972公开了一种通过托管的数字秘密的受托人防止托管的数字秘密的非故意背叛的方法。在描述用户的唯一标识数据已经输入计算机系统之后，用户被要求选择口令以保护该系统。US5557518公开了通过使用可信的代理商开启电子商务的系统。US5557765公开了一种用于数据恢复的系统和方法。加密用户通过使用秘密存储密钥(KS)对方法进行加密并且连接数据恢复域(DRF)，其包括加密消息的访问规则索引(ARI)和KS。

US5590199公开了一种认证和授权用户访问异构计算机网络上的服务的系统。该系统包括至少一个工作站和一个通过网络彼此连接的授权服务器。

US2006T23227和WO0221409描述了基于信任的努力测量技术以在无需中心主体或中心消息发送实体的情况下确认签署。这是一个有趣的新构思，但未被本发明使用。

自加密

对获得自加密的一些限制方面的尝试表现为：

(a)US2003053053625公开示出了非对称加密算法和对称加密算法的限制，并且更具体地说，既不需要根据对称密钥产生密钥流，也不需要任何时间同步，具有最小的计算复杂并且能够高速地工作。首先，将被安全地传输的一串数据流被解复用为N个加密器输入数据流。具有级联级的输入数据片被创建，它们包括映射和延迟功能以产生输出片。这些数据片是通过传输信道传输的。解密器应用级联级的逆向步骤，均衡延迟功能和映射以生成输出数据片。输出数据流是多路传输的。加密器和解密器不需要同步或定时并且以简单流的形式工作。N:N映射不需要浪费的计算并且是通过查表实施的。这提供了鲁棒的安全性和效率。该方法和现有的加密法之间的重要区别是会话密钥被用于在数据传输之前得到加密器和解密器的处理参数(表格和延迟)，而不是被用于以实时速率产生密钥流。用于根据会话密钥产生参数的算法被公开。其为数据通信网络并且与本发明无关。

(b)US2002184485公开提出了通过消息的加密实现的安全通信(SSDO-自签署文档对象)，以使只有拥有秘密密钥的已知接收者可读取该消息和该消息的确认，从而验证消息的文本和源。两个能力被建立在消息中，该消息可通过因特网传输并且通过执行文档表示语言的计算机被解密或验证，该文档表示语言支持动态的内容，例如：任何标准的web浏览器，以使详细描述的过程确保不再需要具有相同软件的传输计算机和接收计算机。用于验证的加密的消息或一个编码的消息可在其自身内携带指定解密所需算法需要的全部信息。

匿名交易&接口

US2004117303公开了匿名支付系统并且该系统被设计为使因特网和其它网络的用户能够将现金换为电子货币，该电子货币可被用于通过公共网络在世界各地进行商业交易。US2005289086公开了允许支付系统的web注册的匿名。US2002073318描述了服务器的使用，系统是基于努力信任于交易的匿名密钥和购买非匿名信贷的公共密钥的组合。这些系统中的每一个都是集中控制系统，并且不提供了将信贷或现金传送给匿名账户的机制。这些系统中的很多实际上要求用户在web网站上注册。

US2003163413公开了一种通过因特网进行匿名交易以保护消费者免受身份欺诈的方法。该过程包括形成安全匿名交易引擎以使操作如因特网等开放网络的任何消费者能够匿名地浏览、收集信息、查找、购物和购买。通过模拟商店内匿名现金交易但是通过因特网进行的，安全匿名交易引擎组件通过因特网提供了消费者与的商品或服务的供应商之间的高安全性连接。这也是基于服务器的并且需要用户注册。

对于现金转移，真正的匿名购买是购买者与销售者是彼此不了解的，购买过程未被任何其它人看见，并且交易媒体是现金。这种交易是不规范的。如果商业中的现金交易未被记录在录像带上以作为例行安全测量，那么商业中的现金交易通常是被销售员和其它顾客或旁观者看见的。另一方面，如个人支票或信用卡的支付等普通交易媒体表现了匿名性的明显丢失，因为购买者的身份以及其它个人信息与该交易相关联(例如，驾驶证号码、地址、电话号码和与姓名、信用卡或驾驶证号码关联的任何信息)。因此，尽管现金交易不是真正的匿名购买，但是它提供了比包括个人支票或信用卡的交易明显更高的购买匿名性程度，并且可能负担目前能够达到的最高的购买匿名性程度。然而，现金的使用具有一些限制，特别是在电子商务的情况下。

WO0203293公开了经由如因特网等通信网络执行交易并保留各方中的至少一方的匿名性的方法、系统和设备。当交易设备在传统的具体商业以及电子商务的虚拟世界里进行交易时，交易设备被连接于匿名账户以允许一方在使用现金时保留匿名的相同等级。因此，交易设备可被认为等同于灵活且多功能的现金钱包。按照这种方式，将现金的期望特征(匿名、安全和接收)与电子商务的期望特征(速度、容易和便利)相结合。与本发明不同，该发明与接下来的发明一样要求基于硬件的设备。

EP0924667是基于分布式支付系统，该系统通过使用网络用支付芯片卡进行现金自由支付。该系统由如安装在客户站点处的客户系统和如安装在经销商处的服务器系统构成。

US6299062公开了通过使用电子现金执行电子交易的电子现金系统，该系统包括至少一个用户装置，每个用户装置能够使用电子现金；认证中心装置，其用于接收用户身份信息、对应的公共密钥以及来自于一个用户装置的证明提出请求，并用于在确定对应的用户的身份之后发出对用户装置的公共密钥的证明。这也需要硬件和系统的用户注册。

US2004172539公开了用于在提供公共密钥基础设施的通信系统中生成电子收据的方法，该方法包括如下步骤：由第二方接收来自于第一方的请求消息，该请求消息包括交易请求和基于第一方拥有的秘密的第一公共密钥，并且在其中，该秘密是至少与第一方的又一个公共密钥的秘密相关联的。(基于服务器)

WO0219075公开了可公共访问的、独立的且安全的主因特网站点，该站点给任何匿名客户PC提供可下载的代理程序，该代理程序根据将被注册的文档在客户PC内生成注册校验。

匿名投票

US2003159032公开了自动生成唯一的、单向紧密且记忆的选民证件，其支持隐私和安全服务。公开了任何投票系统、投票组织或投票游戏，在其中，参与者需要是匿名的和/或必须交换秘密和/或做出集体决定。US2002077887(需要注册和对接收投票的人的初步了解，并且需要服务器)公开了通过使用公共密钥技术允许通过因特网进行匿名的电子投票的结构。通过使用分离的公共密钥/私人密钥对，投票调解员确认投票请求。(硬件设备)DE10325491公开了一种投票方法，其具有用于收集编码的电子投票单的电子投票盒和用于收集解码投票单的电子投票盒。选民在计算机上填写其投票单并且使用匿名签署设置单元验证其投票。

US2004024635(基于硬件、需要服务器)公开了分布式的网络投票系统，以及用于处理通过分布式计算网络处理投票投递的服务器。该服务器包括存储器、数据标识、相关当事人和与存储器进行通信的处理器。处理器操作为将问题提交给客户计算机的用户、从用户接收关于问题的投票、并根据识别存储于存储器中的相关当事人的数据将与该投票相关的数据传输至相关当事人。处理器进一步操作为当用户提交投票时产生投票状态的cookie信息、将投票状态的cookie信息传输至客户处以进行存储，并将数据传输至用户处使该用户提供关于用户的认证数据，然后，处理器接收关于用户的认证数据并根据认证数据对用户进行认证。

WO03098172公开了具有分布式投票逻辑的模块监控和保护系统。

映射

US2006112243公开了硬盘映射，其中数据在本地被复制并且然后由机器决定其可使用任意一个副本并且决定是否更新另一个副本。EP1049291公开了通过使用设备定位的预计算映射的远端设备监控。上述文献均是基于硬件的数据映射系统并且是不相关的。

因为上面的现有技术突出了用于经由因特网进行数据交易和存储的单独存在的元素，例如：存储、安全、修复、加密、认证、匿名、投票和映射等。一些单独元素之间存在一些有限的关联，但是这些元素均没有互连以通过因特网使用提供对安全数据存储和传输的全面解决方案。下面的发明列出了解决此真空的解决方案，并且给安全因特网数据存储和传输的低成本的解决方案提供了其它额外的益处。

发明内容

本发明的主要实施方式如下：

共享对私人文件的访问的系统具有以下功能元素：

1.永久数据

2.自加密

3.数据映射

4.匿名验证

5.对私人文件的共享访问

6.ms信使

7.计算机现金

8.全球投票系统

其还可具有以下关联的功能元素：

1.同级排序

2.自愈

3.安全可用性

4.存储和获取

5.复制去除

6.存储文件

7.分块

8.加密/解密

9.标识块

10.修正控制

11.用非常小的文件标识数据

12.登录

13.提供密钥对

14.确认

15.创建映射图

16.共享映射

17.提供公共ID

18.加密通信

19.文档签署

20.合同对话

21.防伪造

22.允许销售机器资源

23.与非匿名系统的接口

24.匿名交易

25.匿名性

26.已证明的个体

27.对被使用投票的确认

28.分布式可控制的投票

一种分布式的网络系统和产品提供了：

a.安全通信

b.存储数据&共享资源

c.匿名备份和获取数据

d.在不使用服务器的情况下共享私人文件和确保数据安全

e.用户的匿名认证

f.批准基于数字货币的交易

g.经由匿名投票系统的CPU共享

一种允许用户通过使用匿名共享的计算机资源在分布式网络上安全地存储数据并共享资源的方法。

一种通过使用连接于匿名ID的公共ID以对用户进行认证并通过允许合同签署会话来允许确保用户之间的通信安全的方法。

一种通过使用基于努力的测试和全球分布式网络中的匿名认证的用户来允许对资源进行全球地共享和分配的方法。

一种专门在分布式网络中匿名地备份和获取数据的方法，该方法确保完整性和恢复时间。

一种在无需使用文件服务器或任何控制主体或集中资源的情况下共享私人安全数据的方法。

一种基于数字货币批准资源交换和其它交易的方法，其使用了与非匿名支付系统之间的连接。

一种通过使用非常小的数据映射文件允许数据被解码描述和标识的方法。

一种允许对网络上的用户进行匿名认证的方法。

一种允许全球地共享CPU功率并根据来自于全球安全和匿名投票系统的用户输入贡献给系统的方法。

一种方法，其中个人的计算机操作系统和相关的计算机程序可保留在可移动磁盘上(例如，USB棒，其可选择地具有用于避开键盘记录器的生物标识)，并且被用于启动具有已知病毒/木马自由系统的任何兼容计算机来远程且安全地访问其数据，而无需担心其正在使用的主机的完整性。

至少一个计算机程序包括用于使至少一个计算机执行根据前面所述的任意一个方法、系统和产品的指令。

上面的至少一个计算机程序被包含在记录媒质或只读存储器上。

附图说明

图1a-1i示出了maidsafe.net关联；

图2示出了自验证细节；

图3示意性地示出了根据本发明一个实施方式的对等网络；

图4示出了根据本发明的优选实施方式的验证的流程图；

图5示出了根据本发明的第一实施方式的数据保证事件顺序的流程图；

图6示出了根据本发明的第二实施方式的文件分块事件顺序的流程图；

图7示出了文件分块实施例的示意图；

图8示出了自愈事件顺序的流程图；

图9示出了同级排序事件顺序的流程图；

图10示出了复制去除事件顺序的流程图；

图11示出了永久性数据；

图12示出了块核查；

图13示出了额外块的存储；

图14示出了自愈；

图15示出了A放置；

图16示出了A忽略；

图17示出了自加密文件；

图18示出了对私人文件的共享访问；

图19示出了ms信使；

图20示出了全球投票。

具体实施方式

(在系统功能性的描述中使用的ID的参考符号)

MID——这是基本ID，并主要用于存储和忽略文件。这些操作中的每个都将需要签名的请求。恢复可仅需要附有ID的请求。

PMID——这是代理服务器报文输入描述符，其用于管理从任何网络节点至该节点的指示的接收，例如，获得(get)/放置(put)/忽略(forget)等。这是存储在节点上的密钥对，尽管PMID密钥对不能实现太多功能，但是如果该密钥对被盗，其可简单地再生而防止窃贼窃取。

CID——块标识符，其简单地为网络上的chunkid.KID消息。

TMID——这是今天的ID，与一次性密码不同，这是一次性ID。这将进一步掩饰用户，并确保用户的MID尽可能保持保密。

MPID——maidsafe.net的公共ID。这是用户可添加其自身姓名和真实数据(如果需要的话)的ID。这是用于消息传送、共享、非匿名投票和需要知道用户的任何其它方法的ID。

MAID——这基本上是MID的实际公共密钥的散列。该ID用于标识用户行动，例如，在maidsafe.net网络上获得/放置/忽略。其允许分布式PKI基础结构存在并自动检测。

KID——Kademlia ID，其可从已知的并优选地为匿名的信息(例如，MAID上的匿名公共密钥散列)随机生成或导出。在这种情况下，将kademlia示例性地用作覆盖网络，尽管其几乎可为任何的网络环境。

WISID——maidsafe.net共享ID，专门为每个共享创建以允许用户利用与其MID无关的唯一密钥与共享交互的ID和密钥对，其中，唯一密钥应该总是匿名的并为分离的。

匿名验证描述

匿名验证涉及系统验证，尤其涉及对访问存储在分布式或对等文件系统上的资源的用户的验证。其目的在于保持用户的匿名性并在分布式系统上为用户提供数据和共享资源的安全的和私人的存储。其是对到分布式系统的访问进行验证的方法，并包括以下步骤：

接收用户标识符；

获取由该用户标识符标识的加密的确认记录；

对该加密的确认记录进行解密，以提供解密的信息；以及

利用该解密的信息验证对分布式系统的数据访问。

接收、获取和验证可在分布式网络中的节点上执行，优选地，执行上述步骤的节点不同于执行解密步骤的节点。该方法进一步包括利用散列生成用户标识符的步骤。因此，用户标识符可认为是唯一的(如果出现冲突则可改变)，并适于标识唯一的确认记录。验证访问的步骤可优选地包括对用户标识符进行数字签名的步骤。这就提供了可相对于可信机构生效的验证。该方法还包括使用签名的用户标识符作为会话通行证以验证对分布式系统的多个访问。这就允许对扩展会话进行持续性验证。

解密的步骤优选地包括对第一数据块在分布式系统中的地址进行解密，验证访问的步骤进一步包括确定第一数据块在该地址处存在、或以先前描述的数据映射的形式提供具体数据元在网络中的位置和名称。这有效地将验证的任务与开始从系统获取数据相结合。该方法优选地还包括使用第一块的内容从分布式系统更多块的步骤。此外，来自其它块的解密数据可包含密钥对，该密钥对允许用户在该级对发送至网络的数据包进行签名以对其进行确认或者还可优选地签署其自身的id。

因此，由于用户节点在登录到系统之后构造其文件位置的数据库，所以无需使文件结构的潜在地易损坏的记录在分布式系统中保持在一个位置。

提供了这样的分布式系统，其包括：

存储模块，其适于存储加密的确认记录；

客户节点，包括解密模块，其适于对加密的确认记录进行解密以提供解密的信息；以及

验证节点，其包括：

接收模块，其适于接收用户标识符；

获取模块，其适于从存储模块获取由用户标识符标识的加密的确认记录；

发送模块，其适于将加密的确认记录发送至客户节点；以及

验证模块，其适于利用来自客户节点的解密的信息对分布式文件系统的数据访问进行验证。

客户节点还适于利用散列生成用户标识符。验证模块还适于通过对用户标识符进行数字签名来验证访问。签名的用户标识符被用作会话通行证来验证客户节点对分布式系统的多个访问。解密模块还适于根据确认记录对第一数据块在分布式系统中的地址进行解密，验证模块还适于通过确定第一块在该地址处的存在来验证访问。客户节点还适于使用第一块的内容从分布式系统获得其它验证块。

提供了包括使至少一个计算机执行的程序指令的至少一个计算机程序。一个计算机程序嵌入在记录媒质或只读存储器中、存储在至少一个计算机存储器中、或携带在电载波信号上。

此外，检查系统以确保用户登录到有效节点(软件包)。这将优选地包括系统检查运行的maidsafe.net软件的有效性的能力，该检查通过运行节点的内容散列或优选地证书检查和运行节点本身来实现。

maidsafe.net的关联元素(图1)

maidsafe.net产品发明由八个发明构成，共具有28个互连的功能元素。

各发明为：

PT1——永久数据

PT2——自加密

PT3——数据映射

PT4——匿名验证

PT5——对私人文件的共享访问

PT6——ms信使

PT7——计算机现金

PT8——全球投票系统

互连的功能元素为：

P1——同级排序

P2——自愈

P3——安全可用性

P4——存储和获取

P5——复制去除

P6——存储文件

P7——程序分块

P8——加密/解密

P9——标识块

P10——修正控制

P11——用非常小的文件标识数据

P12——登录

P13——提供密钥对

P14——确认

P15——创建映射图

P16——共享映射

P17——提供公共ID

P18——加密通信

P19——文档签署

P20——合同对话

P21——防伪造

P22——允许销售机器资源

P23——与非匿名系统的接口

P24——匿名交易

P25——匿名

P26——已证明的个体

P27——对使用的投票的确认

P28——分布式可控制的投票

(对图1的描述)

自验证详述(图2)

1.由用户接口和块服务器系统(处理匿名数据块的系统)构成的计算机程序应该在运行，如果该程序没有运行，则在用户选择图标或启动程序的其它装置时启动该程序。

2.用户将输入其已知的某些数据，例如在这种情况下输入用户id(随机ID)和PIN码。这些信息可被集中在一起并被散列以创建唯一的(可通过搜索确认)标识符。在这种情况下，将其称为MID(maidsafe.net ID)。

3.从网络中获取TMID(今天的MID)，然后对其进行如下计算：

TMID是不断变化的一次性ID或当日使用ID。这允许maidsafe.net基于用户ID pin和可计算的其它已知变量来计算散列。对于该变量，使用当前的日期变量，其为自历元(01/01/1970)起的天数。这允许每天一个新的ID，有助于维持用户的匿名性。该TMID将创建临时密钥对以对数据库块签名并接受来自这些db块的持有者的挑战响应(challenges response)。在获取和生成新的密钥对之后，将db重新放置到新的位置——将该TMID块中包含的全部内容表示为无用的。TMID不能由任何人签名(因此黑客不能在DOS攻击中阻止未签名用户获取该TMID)，这是特殊的块，其中的数据散列不与块的名称相匹配(因为块的名称是通过与其它块杂凑而计算出的随机数，也就是，如下描述的TMID的散列)。

取dave为用户ID，1267为pin，

dave+(pin)1267＝dave1267，其散列为MID，

day(日期)变量(今天是从历元开始的第13416天)＝13416

取该pin并例如加上该数使pin为：

613dav41e1267

(起始处的6是再次绕pin移动得到的)

这通过以下步骤完成：取第一pin码1，从而将第一日期值置于位置1

下一个pin码为2，从而将日期值2置于位置2

下一个pin码为6，从而将日期值3置于位置6

下一个pin码为7，从而将日期值4置于位置7

下一个pin码为1，从而将日期值5置于位置1(再次)

因此TMID是散列613dav41e1267，且MID仅为散列dave1267

(这是示例算法并且可使用更多算法进一步加强安全性。)

4.根据TMID块识别用户数据库的映射(或文件映射列表)。该数据库从包括用户数据映射和任何密钥口令等的网络中恢复。将该数据库块立即存储在另一位置，且将旧块忽略。现在这是可实现的，因为MID密钥对也在该数据库中并可用于操作用户数据。

5.当maidsafe.net代表该MID时，其对其自身进行验证，并可放置、获取或忽略属于该用户的数据块。

6.监视处理和块服务器总是能访问PMID密钥对，因为其存储于机器本身，从而可启动、接收和验证匿名的放置/获取/忽略命令。

7.DHT ID是DHT网络中的节点所需的。其可随机生成，或者事实上可使用PMID公共密钥的散列标识该节点。

8.当用户成功登录后，其可检查其在网络上的验证确认记录，如下实现。

MAID(maidsafe.net匿名ID)

1.这是存储在网络上的数据元，其优选地命名为MID公共密钥的散列。

2.其包含MID公共密钥+与该用户相关联的任何PMID公共密钥。

3.其用MID私人密钥数字签名，以防止伪造。

4.利用这一机制，通过允许任何用户访问该数据元并对于来自与该MID相关的任何节点的任何挑战响应检查签名，允许对MID签名进行确认(因为仅MID所有者具有签名该MID的私人密钥)。任何窃贼都不能创建该私人密钥以与公共密钥匹配从而进行数字签名，这样在给定计算机资源的情况下就不可能进行伪造。

5.该机制还允许用户根据意愿添加或去除PMID(或类似于代理服务器以其名义作用的块服务器)，并在PMID泄密的情况下随时替换PMID。因此，可将其看作PMID验证元素。

PMID(代理服务器MID)

1.这是存储在网络上的数据元，并优选地以PMID公钥的散列命名。

2.其包含PMID公钥和MID ID(即，MID公钥的散列)，并由MID私钥(经验证的)签名。

3.这允许机器作为匿名块的储存库，并为用于MID的网络提供资源。

4.当答复挑战响应时，任何其它机器都将通过搜寻并检查用于PMID的MIAD并确保MAID位中提及了PMID来确认PMID，否则 PMID被认为是胭脂(rouge)。

5.密钥对存储在机器本身，并且，可选地，在代理服务器供应商希望进一步加强PMID安全性的情况下，可相对于启动后必须输入的口令对密钥对编码或加密。

6.该设计允许在PMID密钥被攻击或被盗的情况下对其进行恢复，因为MAID数据元可简单地将PMID ID从MAID去除而使其表现为未经验证的。

图3示意性地示出了根据本发明一个实施方式的对等网络。

图4示出了根据本发明的优选实施方式的验证的流程图。

参见图3，对等网络2具有由通信网络14连接的节点4至12。这些节点可为个人计算机(PC)或可执行操作本发明所需的处理、通信和/或存储操作的任何其它装置。文件系统将通常具有所有类型的、比图3所示更多的节点，且PC可用作本文描述的一个或多个类型的节点。数据节点4和6将文件块16存储在分布式系统中。确认记录节点8具有存储模块18，用于存储由用户标识符标识的加密的确认记录。

客户节点10具有用于输入和生成用户标识符的模块20。其还具有用于对加密的确认记录解密以提供解密的信息的解密模块22、块位置数据库或数据映射24、以及用于获取的块和由获取的块装配的文件的存储器26。

确认节点12具有接收模块28，用于从客户节点接收用户标识符。获取模块30被配置为从数据节点获取由用户标识符标识的加密的确认记录。可选地，在优选实施方式中，确认记录节点8和确认节点12是相同的节点，即，存储模块18是确认节点12的一部分(图3中未示出)。发送模块32将加密的确认记录发送给客户节点。验证模块34利用解密的信息验证对分布在数据节点上的数据块的访问。

参照图4，在图中示出了本发明的操作的更详细的流程图，在用户PC(客户节点)执行的步骤在左边40示出，在确认PC(节点)上执行的步骤在中间42示出，在数据PC(节点)上执行的步骤在右边44示出。

提供需要用户名或其它细节的登录框46。优选地，电子邮件地址(在客户节点软件安装和注册过程中使用的同一个地址)或简称(即，昵称)和用户的唯一码，优选地为PIN码。如果用户是“主用户”，则某些细节可能已经存储在PC上。如果用户是访客，则出现登录框。

根据两个数据项创建内容散列码48，例如SHA(安全散列算法)，优选地，长度为160位。该“散列”现在已知为“用户ID密钥”(MID)，其在此被归类为在系统中是“未确认的”。其在网络中存储为MAID，并仅为包含未加密公钥的公钥散列，用于之后由任何的其它节点确认。这就无需确认机构。用户PC上的软件然后将该MID与标准的“hello”代码元组合50，以创建“hello.packet”52。然后，将hello.packet和定时确认一起在因特网上传送。

该hello.packet将由第一节点(在此说明书中称为“确认节点”)拾起，该节点标识hello.packet的用户ID密钥元素54，将其与存储区域中存储的加密的确认文件匹配56。登录尝试监控系统确保最多三个响应。在多次尝试后，确认PC创建“黑名单”用于传送给同级。可选地，如果发现“黑名单”进入，则向用户返回警报，并且可要求用户进行或执行病毒检查。

确认节点然后通过因特网将加密的确认记录文件返回给用户。通过对话框60要求用户口令58，然后将允许对确认记录文件进行解密。

当确认记录文件被解密62之后，提取包括“解密地址”的第一数据块细节64，且用户PC向确认节点回发请求66，以开始在从解密的确认记录文件中提取的“解密地址”处查询第一“文件块ID”，或者优选地，查询数据库块的数据映射以重新创建数据库并提供到与该MID相关联的密钥对的访问。

确认节点然后用作“中继节点”并启动在“解密地址”处对该“文件块ID”的“仅通知”查询。

给定某些其它节点(在本实施方式中称为“数据节点”)已识别该请求68并已回发有效的“仅通知”消息70，通知与确认节点发送的请求对应的“文件块ID”确实存在，确认节点则对初始用户ID密钥进行数字签名72，然后发回给用户。

用户在接收到之后74，已验证的用户ID密钥被用作用户的会话通行证。用户的PC继续将文件系统的数据库构造76为用户在网络上的备份。该数据库描述了构成用户的文件系统的所有块的位置。优选地，ID密钥将包括不可驳的证据，例如公共/私人密钥对，以允许签署在网络上作为授权的用户，优选地，这是自签署他或她自己的ID的情况，在该情况中，ID密钥被解密并且用户是有效的——自确认。

现在将描述该实施方式的更多细节。“代理服务器控制的”握手例程是通过加密的点对点信道被使用的，从而确保只有合法所有者有权访问该系统，然后访问用户的文件存储数据库，然后访问其中的文件。通过生成被称作“用户ID密钥”的“未验证加密散列”，从用户登录的PC(用户的PC)发起握手检查，优选地，该用户ID密钥是根据用户的信息被创建的，优选地，该用户信息是邮件地址及其PIN码。“散列”作为“hello.packet”被传输到因特网上，以被识别与系统具有的具体数据相关联的用户ID的任何系统拾取。然后，PC成为“验证PC”，并且在认证处理时首先用作用户PC的“网关”进入系统。验证PC具有的数据的加密项将暂时被用作“确认记录”，其直接与用户的身份相关联并具有属于用户且位于对等分布式文件系统任意处的大量数据块的具体地址。该“确认记录”返回用户PC以解密，并且希望只有合法用户可提供将允许其精确解密的具体信息。

优选地，该数据可为返回到确认节点的已签名的响应，这是可能的，因为解密的(优选地，对称地解密的)id块包括允许数据包的不可驳签署的用户公共密钥和私人密钥。

优选地，在成功地对TMID包进行解密(如前所述)之后，该机器现在将能够访问数据块的数据映射和公共/私人密钥对，从而允许无约束地访问该系统。

应该注意，在该实施方式中，优选地，在没有如TLS(传输层安全)或SSL(安全套接层)等加密信道被首先建立的情况下，不经由任何节点进行通信。同级经由加密信道与另一个同级进行对话，另一个同级 (代理服务器)则请求信息(例如，请求一些空间以保存信息或者用于文件获取)。加密的链路形成于通信的每端的所有同级之间，并且在认证处理期间还通过代理服务器。这有效地禁止了探听者检测谁与谁在通话，并且还禁止了探听者检测正在被发送或获取的内容。用于自认证的初始握手也通过加密链路进行。

按照不要求干预的方式，安全连接经由证明通行节点被提供的，其中每个节点均由另一个节点确认，在这里，由于任何原因(欺诈检测、来自于节点的探听、或到达该节点的任何无效算法)的任何无效事件或数据将使由该节点建立的链无效。这对于用户是完全透明的。

在不偏离本文描述的发明的范围的情况下，可增加其它修改和改进。

图5示出了根据本发明的第一实施方式的数据保证事件顺序的流程图。

图6示出了根据本发明的第二实施方式的文件分块事件顺序的流程图。

图7示出了文件分块实施例的示意图。

图8示出了自愈事件顺序的流程图。

图9示出了同级排序事件顺序的流程图。

图10示出了复制去除事件顺序的流程图。

参照图5，流程图说明了由数据保证确保的对用户数据的访问性。在步骤(10)中，数据被复制到至少三个不同的位置。在步骤(20)中，这些不同的位置存储具有指向另外两个位置的附录并且由内容的散列重命名的数据。在步骤(30)中，优选地，该行为由另一个节点管理，即，用作媒介的超级节点。

在步骤(40)中，通过完整性测试核查用户PC处的每个本地副本的有效性，此外，在步骤(50)中通过完整性测试进行有效性核查以确定其它两个副本也是有效的。

在步骤(60)中，任何单个节点失效发起在另一个不同位置处进行的等效叶节点的替换副本，并且在步骤(70)中，其它剩余的复制被更新以反映该改变从而反映出新添加的替换叶节点。

通过其他网络实施存储和获取步骤以隐藏该发起者(30)。

该方法进一步包括对用文件内容的散列对所有文件进行重命名的步骤。

因此，通过运行如MD5或SHA变体等内容散列算法，并将其结果与文件的名字进行比较，可核查每个文件的有效性或篡改。

参照图6，提供了管理数据元大小并使赠送的数据结构能够进行压缩和加密的方法，该步骤是用于文件分块。通过用户的预选择，将指定的数据元(文件)传递给分块处理。通过步骤80，每个数据元(文件)被分离为小的块，通过步骤(90)，数据块被加密以便为数据提供安全性。在步骤(100)处，数据块被存储在本地以准备对副本进行网络传输。只有整个数据所属的个人或群组将了解这些或其它相关但不相似的数据块的位置。所有操作都是在用户的本地系统中进行的。数据不会被向外递送。

上面的块中的每一个均不包括任何其它不相似的块的位置信息。这为数据内容的安全性提供了完整性核查和冗余的基础。

该方法进一步包括只允许数据所述的个人(群组)访问该数据的步骤，优选地，该访问通过共享加密技术实现。这允许数据的持久性。

机器之间的数据或数据块的核查是通过任何存在类型的协议被执行的，例如，这些协议为分布式散列表网络。

在所有数据块已经被重新定位(即，用户一时还未登录)的情况下，重定向的记录被创建并被存储在超级节点网络(与数据相似的三个副本的处理)中，因此，当用户请求核查时，重定向记录将被提供给用户以更新其数据库。

在网络波动(churn)成为对等网络或分布式网络中的问题时，这有效地允许数据获取。

参照图7，其示出了文件分块的实施例的流程图。用户的常规文件具有5Mb文档，其被分块为任意顺序的更小的可变化的大小，例如：135kb、512kb或768kb。所有的块均可通过使用通行短语被压缩和加密。下一个步骤是单个地对块进行散列并用散列命名。然后，用散列块的名称将数据记录制作为文件，这些散列块的名称被聚集在如原始文件(C1########，t1，t2，t3：C2########，t1，t2，t3等)的空版本中，然后，该文件被传送到分配给客户应用的存储空间中的传输队列。

参照图8，提供了自愈事件顺序方法。需要自愈来保证精确数据的有效性。在步骤(110)中，由于失败的完整性测试，数据或块变为无效。在步骤(120)处，失效的数据块的位置被评估为不可靠的并且来自于该位置的叶节点的其它数据被忽略。来自于“已知良好的”数据块的“良好复制”被重创建在新的等效的叶节点中。在步骤(130)中，数据或块被重创建在新的更安全的位置中。在步骤(140)中，具有失效数据块的叶节点被标记为不可靠的，并且其中的数据被标记为“脏的”。在步骤(150)中，同级的叶节点得知该不可靠的叶节点并且将其位置添加至观察表中。所有的操作都是在用户的本地系统中进行的。数据不会被向外递送。

因此，将防止病毒、蠕虫等的引入并且故障机器/设备将被自动识别。

该网络将使用SSL或TLS型加密以阻止未授权的访问或窥探。

参照图9，需要同级排序ID来确保为用户记录的保证的交互水平的一致响应和性能。对于同级排序，每个节点(叶节点)以可伸缩的方式监控其自己的同级节点的资源和有效性，每个叶节点均被持续监控。

每个数据存储(无论是网络服务还是物理驱动等)的有效性均被监控。在步骤(160)中，通过监控超级节点群组的共识，合格的有效性排序被附加给(叶)存储节点地址。排序图将在步骤(160)中被添加，并通过提供来自于监控超级节点的密钥被签名。这将优选地由更多的超级节点同意，以建立对改变节点排序的共识。新的排序将优选地被添加至节点地址或通过相似的机制以允许节点被管理，优选地，管理其存储什么内容以及存储数据的多少个副本作为永久数据。

经由内容散列机制对每片数据进行数据完整性的核查，通过对这片数据获取和运行散列算法，该核查通过在步骤(170)中存储节点自身执行、或者在步骤(180)中经由超级节点通过其合作节点执行、或者在步骤(190)中经由超级节点通过激励节点执行。数据核查循环重复进行。

当同级(无论是操纵节点或合作同级(即，具有相同块的同级))核查该数据时，查询存储同级的超级节点将用完整性核查的结果做出响应并在存储同级上更新该状态。激励节点或合作同级将决定忽略该数据并将它复制在更合适的位置中。如果数据的完整性核查失败了，那么在步骤(200)中该节点自身将被标记为“脏的”，并且在步骤(210)中，“脏的”状态被附加给叶节点地址以将它标记为需要对它具有的数据的完整性进行进一步的核查。在步骤(220)中，对存储在被标记了“脏的”叶节点上的数据执行额外核查。如果数据的预定百分比被发现是“脏的”，那么在步骤(230)中，除了消息流量之外，将节点从该网络上去除。被建立的脏的数据的某个百分比可推断，该节点是折中的或者被损坏的并且将该消息告知该网络。在步骤(230)中，除了向其发送警告消息的目的之外，在该点处将该节点将从网络上去除。

这允许将数据存储在具有等同有效性和效率的节点上或者限定维持可靠性所需的数据副本的个数。

在不偏离本文描述的发明范围的情况下，可增加其它修改和改善。

参照图10，复制数据被去除以使磁盘空间的有效使用最大化。在步骤(240)启动数据备份过程之前，可在步骤(250)中将内部生成的内容散列与存储于因特网上的散列或者之前备份的数据列表进行匹配核查。这将只允许只有一个数据备份副本被保留。这减小了对具有完全相同的内容的备份数据的网络宽度要求。在步骤(260)中，共享密钥存在的通知被传回激励节点以访问请求的授权核查，因为签署的结果将传回存储节点，因此该通知必须被传递。在步骤(270)中，存储节点将共享密钥和数据库传回激励节点。

当证明了该文件存在于激励节点上之后(260)，经由共享密钥备份该数据，共享密钥(270)与该激励节点共享。然后，该数据的位置被传送至该节点，以在稍后当需要时用于获取。

因为人们只能备份证明了其系统上拥有的内容并且不能公然地共享网络上公开的侵犯了版权的数据，因此这维护了版权。

在步骤(280)中，该数据可被标记为被保护的或未被保护的，这已经进行了对保护的或未被保护的数据内容的核查。被保护的数据忽略了共享过程。

永久性数据(图1的PT1和图11)

根据本发明的相关方面，文件被分块或分离为组成部分(1)。该过程包括计算块大小，优选地根据如文件自身的散列的前几字节等已知数据计算，并且优选地通过使用模块划分技术来解决用于网络传输和存储的最佳的最小块大小与最佳的最大块大小之间的图。

优选地，以相同的方式对每个块进行加密和模糊化以保护数据。优选地，执行对网络搜索以查询与每个块的内容散列有关的值(2)。

如果找到该值(4)，那么其它块也被识别，不能识别所有块可意味着文件名在网络上存在冲突或者其它机器正处于对相同文件进行备份的过程中。计算回退时间以再次核查其它块。如果所有块都在网络上，那么该文件被认为是备份的，并且用户将优选地在挑战响应之后将其MID签名增加至该文件，以确保具有有效用户并且具有足够的资源完成该步骤。

如果网络上没有块，那么用户将优选地经由另一个节点(3)请求将第一副本进行保存(优选地，在不同的时区或者其它地理分散法)。

该块将被存储在存储节点上(5)，允许我们看到存储节点的PMID并对它进行存储。

然后，优选地，发起者的块ID公共密钥的键-值对被写至网络创建块ID(CID)(6)。

存储和获取(图1的P4)

根据本发明的相关方面，数据被存储在多个位置中。每个位置存储其具有相同块(至少内容相同)的同级的位置，并且都定期地进行通信以确定数据的健康。优选的方法如下：

优选地，数据被复制至至少三个不同的位置。

优选地，通过多个节点执行每个复制以隐藏该发起者。

优选地，核查每个本地副本的有效性并且优选地核查其它两个副本也仍然是有效的。

优选地，任意单个节点失效引起在另一个不同位置处进行替换复制，并且其它相关联的副本被更新以反映该变化。

优选地，经由其它网络节点实施存储和获取的步骤以隐藏该发起者。

优选地，该方法进一步包括用对具有文件内容的散列对所有文件进行重命名的步骤。

优选地，每个块可通过已知的处理对其名称进行改变，例如，已知的处理为将数据段进行向左的二进制移动。因为未在网络上冲突，因此不仅允许存在相同的内容，还允许这些块呈现出三个不同的数据位。

优选地，每个块具与它连接的计数器，该计数器允许网络容易地了解有多少用户通过共享或其它方法被连接到该块。如果请求“块忽略”的用户是使用该块的唯一用户，那么该用户将发起系统询问，并且如果是这样，那么该块将被删除并且该用户所需的磁盘空间将因此被减少。这允许用户删除不再需要的文件和释放本地磁盘空间。优选地，将任何也被共享的文件从用户配额中去除，并且将用户的数据库记录或数据映射(如下所述)删除。

优选地，该计数器由共享该数据的每个节点数字签名，并且因此将需要签名的“忽略”或“删除”命令。优选地，即使“存储”、“放置”、“获取”和“获得”命令也应该被数字签名或优选地通过PKI挑战响应机制。

为了确保公平，优选地，该方法将由超级节点或类似的方法监控以确保用户在未给数据释放磁盘空间的情况下不会简单地复制该数据映射以供稍后使用。因此，用户的私人ID公共密钥将被用于请求忽略的块状态。这将被用于指示用户接受“块忽略”命令并允许用户恢复磁盘空间。对块的任何请求将优选地由该密钥签名，并且因此除非用户的系统释放出访问该文件所需的空间，否则该请求将被拒绝。

优选地，存储块的每个用户将按照可识别的方式将其已签名的请求附加至块的端部，即，加前缀80等。

忽略块意味着从该文件中去除签名。与原始的备份请求一样，这通过来自于存储节点的已签名的请求再次完成。

优选地，已签名的请求是和数据块存储在相同位置处的另一个小块，其在块标识符上具有附加后缀以显示私人ID正在存储该块。除非其他人首先订购了该文件，否则他们试图对该文件进行的任何下载将被拒绝，即，块被称作12345，则将文件保存为12345<签名的存储请求>。这将允许在对块的全部签字均去除时忽略文件。用户将发送签名的“不存储”或“忽略”，而其ID块将被去除，并且此外如果该用户是存储该块的最后一个用户，那么该块将被去除。优选地，这将允许当块失效或损坏时发送私人匿名消息，从而允许保护的方法维持清洁的数据。

优选地，当节点失效时，其它节点可优选地向块的所有共享者发送消息以识别替换块的新的位置。

优选地，连接于文件的且稍后立即下载的任何节点都应该被考虑为警告，并且系统可采取措施以减缓该节点的活动甚至终止该节点以防止数据被盗取。

块核查(图1的P9和图12)

1、包含块1的存储节点核查其同级。当每个同级被核查时，其也交换地进行该核查。优选地，这些核查被分为两种类型：

a、有效性核查(即，简单的网络查验(ping))。

b、数据完整性核查——在该情况下，核查节点取一个块、将随机数据附加至该块并且对结果进行散列处理。然后，将随机数据发送至正在被核查的节点并请求使用附加的随机数据对块进行散列。将该结果与已知的结果进行比较，并且将该块评估为健康的或不健康的。如果是不健康的，那么进一步用其它节点进行核查以找到坏的节点。

2、可能存在取决于机器等级和其它因素的多个存储节点。上面的核查是通过从1至n的所有节点被执行的(在这里，n是被选择用于该块的所有存储节点的总数)。明显地，低等级的节点将要求释放与正在被存储的块的个数有关的磁盘空间以允许永久性的数据存在。这是由被断开的节点付出的代价。

3、对块进行存储的用户将核查来自于随机选择的1个存储节点的块。该核查将确保块的完整性并且还将确保对于该块已经存在至少10个其它签名。如果没有这些签名并且用户的ID未被列出，那么用户将对块进行签名。

4、示出了核查块的另一个用户的另一个实施例。注意，用户核查X(在该图表中是40天)一直是忽略时间保留(Y)的至少75％(即，当块通过所有签名被忽略时，它被保留一段时间Y)。这是另一个将继续发展的算法。

额外块的存储：(图12)

1、用户登录的maidsafe.net程序(因此MID存在)已经将文件进行分块。它已经存储了块并且现在希望存储额外的块。因此，块ID(CID)应该存在于网络上。该过程获取该CID。

2、如图所示存储最初的块中的CID包括块名称和正在共享该块的任何公共密钥。在该情况下，因为我们是最初存储这些块的人，因此它应该只是我们的密钥(其它人应该在回退期观察我们是否已经备份了其它块)。我们移动最后的位(只要我们可对其进行复制，那么其可为任何位上的任何函数)。

3、然后，我们核查我们将不会与因特网上的任何其它存储块冲突，即，再次进行CID搜索。

4、然后，我们向我们的超级节点(即，我们所连接的超级节点)发送广播，声明我们需要存储X个字节和关于我们需要将它存储于何处的任何其它信息(在我们的例子中，在地理上为时区(TZ))。

5、超级节点网络为我们找寻具有正确排序等的存储位置。

6、在成功的挑战响应后，块被存储在maidsafe.net网络中。MDI将要求确保去正在与有效节点对话或对其进行处理，以按照如下步骤执行该挑战处理：发送机[S]，接收机[R]

·[S]我希望进行通信(存储、获取、忽略数据等)，并且我是MAID。

·[R]从DHT获取MAID公共密钥，并且对挑战进行加密(可能是用获取的公共密钥进行大量的加密)。

·[S]获得密钥并用由[R]的公共密钥加密的挑战号对[R]应答进行解密和加密。

·[R]接收响应并对其挑战进行解密，并且将再次由[S]公共密钥加密的应答传递回去。

(现在，这两个节点之间的通信被认证。)

7、然后，用第二块的名称及其存储位置对CID进行更新。根据所需的块的副本数目，重复该过程。

8、块的副本取决于很多因素，这些因素包括文件的流行性(流行的文件可需要更加分散地接近节点并且具有更多的副本)。非常低排序的机器可要求增加的块数以确保能够在任何时间被获取(因此，低排序的机器将必须放弃更多的空间)。

安全有效性(图1的P3)

根据本发明的相关方面，每个文件都被分为小的块，并且每个文件都被加密以给数据提供安全性。只有全部数据的所属的个人或群组才会了解其它相关的但不同的数据块的位置。

优选地，上述块中的每一个均不包含关于任何其它不同块的位置信息；这提供了数据内容的安全性，这是完整性核查和冗余的基础。

优选地，该方法进一步包括只允许数据所属的个人(或群组)对该数据进行访问的步骤，优选地，该访问通过允许数据的持久性的共享加密技术实现。

优选地，机器之间的数据或数据块的核查是通过任何存在类型的协议被执行的，例如，分布式散列表网络。

优选地，当所有数据块已经被重定位，即，用户暂时还未登录的情况下，重定向的记录被创建并被存储在超级节点网络(与数据相似的三个复制过程)中，因此，当用户请求核查时，重定向记录被提供给用户以更新其数据库，在网络动荡成为对等网络或分布式网络中的问题时，这有效地允许数据回弹。该系统消息可优选地通过本文描述的消息发送系统被传递。

优选地，该系统可简单地允许用户搜索其块并且通过挑战响应机制对其自身进行定位和认证以具有获得/忽略该块的权利。

进一步地，用户可决定各种操作模式，优选地，例如，将其本地机器上的所有文件的本地副本保持为未加密的或分块的，或者对本地文件也进行分块和加密以确保机器的安全(优选地被称作离线模式操作)，或者实际的用户可决定去除所有本地数据并优选地完全依赖于maidsafe.net或类似的系统以确保其数据安全。

自愈(图1的P2)

根据本发明的相关方面，自愈网络方法通过下面的过程被提供；

·当数据或块变得无效时，数据从该位置处被忽略。

·数据或块被重创建在新的且更安全的位置中。

·原始的位置被标记为坏的。

·同级注意该情况并将坏的位置添加至观察表。

这将防止引入病毒、蠕虫等，并将允许故障机器/设备被自动地识别。

优选地，网络层将使用SSL或TLS信道加密以防止未授权的访问或窥探。

自愈(图13)

1、为每个块创建被称作块ID(CID)的数据元。并在其上添加其它相同的块“也被存储在”MID处。因为其它块的名称可能略微重命名(即，通过计算的方式将名字的一部分进行移位)，因此其它块也可在这里。

2、所有的存储节点(与该块有关)都具有该CID文件的副本，或者可在DHT网络的任何级对该文件进行访问，同时给每个节点提供对所有其它节点的了解。

3、存储节点中的每一个都具有该块的副本。

4、每个节点以一定的频率间隔查询其合作者的有效性。当在较低的频率间隔时，请求进行块健康核查。这包括创建一些随机数据并将这些随机数据附加至其块并进行散列的节点。合作节点将被请求获取这些随机数据并进行相似的步骤然后将散列结果返回。该结果相对于发起者具有的结果进行核查并且然后将块认为是健康的或不健康的。当每个节点了解了其块应该创建的散列时可进行进一步的测试，并可按照该方式进行自核查错误并报告脏的节点。

5、现在我们具有节点失效(创建脏块)。

6、注意到这点的第一节点向其它节点发送广播以告知其正在请求移动数据。

7、其它节点同意使CID更新(可执行其自己的核查以进行确定)。

8、广播被发送到与失效的存储节点最近的超级节点网络以发出重存储请求。

9、超级节点网络拾取该请求。

10、该请求将到达超级节点网络以将x个数据存储为级别y。

11、超级节点将回复位置。

12、存储节点和新的位置执行挑战响应请求以相互验证。

13、块被存储，并且CID被存储该块的三个或更多个节点更新和签名。

同级排序(图1的P1)

根据本发明的相关方面，存在额外的同级排序机制，在该机制中，每个节点(叶节点)以可伸缩的方式监控其自身的同级节点的资源和有效性。节点不断地执行该监控功能。

每个数据存储(无论是网络服务还是物理驱动等)被监控有效性。用提供自监控超级节点的密钥添附至排序图并对其进行签署，这将优选地由更多的超级节点同意以在改变节点的排序之前建立共识。因为数据将被看作是永久性的，因此新的排序将优选地被添加至节点地址或通过相似的机制以允许对节点进行管理，该管理在于管理所存储的内容以及存储了多少个文件副本。

经由内容散列机制对每片数据进行核查。通过获取或运行针对这片数据的散列算法，由存储节点自身、或者经由超级节点由其合作节点、或者经由超级节点由激励节点执行核查。

优选地，当同级(无论是激励节点或合作同级(即，具有相同块的同级))核查该数据时，查询存储同级的超级节点将用完整性核查的结果做出响应并在存储同级上更新该状态。激励节点或合作同级将决定忽略该数据并将其复制在更合适的位置中。

如果数据的完整性核查失败了，该节点自身将被标记为“脏的”，并且该状态将优选地被附加至叶节点地址，以考虑到这一点对其它数据进行进一步的核查。优选地，被建立的脏的数据的某个百分比可归纳为该节点是折中的或者被损坏的并且将该消息告知该网络。除了向网络发送警告消息的目的之外，在该点处将该节点从网络上去除。

通常，节点排序图将至少考虑：网络连接的有效性、资源的有效性、具有排序的网络上的时间(稍后用于基于努力的信任模型)、资源的总量(包括网络资源)、以及任何节点的连接能力(即，直接或非直接的接触)。

然后，这允许数据被存储在具有相同的有效性和效率的节点上，并允许数据决定需要维持可靠性的数据副本的个数。

A放置(Aput)：(图15)

在这里，MID是将数据保存至网络的机器的MID，而PMID是存储节点块服务器的ID。因此，通信是在具有登录用户的maidsafe.net应用程序(以提供MID)和网络上的某些地方(存储节点)上的分块系统之间进行的。

1、签署了用户MID的消息(通过从网络获得MAID数据包而核查)被接收用于请求数据块。

2、该消息是声明存储节点的ID(PMID)和将被保存和签名的块名称的特殊消息(即，它是唯一的消息)。

3、块服务器决定是否将存储该块。

4、将返回签名的消息，声明是否PMID将存储该块(块ID)。

5、该块被存储和核查(SHA核查)。

6、消息被送回以声明该块被存储并且已经完成。这是由块服务器的PMID签署的。

7、块服务器等待对其它相同的块的定位。

8、相同的块的位置返回至签署了MID的块服务器。

9、每个存储节点被接触并且公共密钥被交换(PMID)。

10、发起块核查过程。

A忽略(Aforget)(图16)

1、用户已经请求文件应该从其备份中删除(忽略)。该系统通过使用用户MID签署请求。

2、该请求被发送至块服务器(存储节点)。

3、存储节点拾取该请求。

4、存储节点将签署的请求发送至具有该块的其它存储节点。

5、当MID位于正在观察该块的MID列表上时，该MID被核查(记住，只有一些MID被列出，在此实例中是20个MID)。

6、其它存储节点被告知该情况。

7、如果这是唯一被列出的MID，那么所有的所有者都可能离开了。

8、块删除时间开始，定时将总是大于用户核查间隔——即，计时为60天，用户核查间隔为40天。

9、该信息也被传递至其它存储节点。

复制去除(图1的P5)

根据本发明的相关方面，在数据被备份之前，可相对于先前备份数据的列表核查内容散列。这将允许只保留一个数据备份副本，从而减小具有完全相同的内容的备份数据的网络带宽要求。优选地，这将通过在网络上搜索具体文件的所有块的存在而完成。

优选地，该数据是通过共享密钥或将密钥附加于数据块的机制被备份的。在证明了文件存在于激励节点上之后，共享密钥被激励节点共享，并且如果存储节点能够在文件上执行如获取/忽略(删除)等行为，那么存储节点发出挑战响应以将其ID添加至池(pool)中。然后，数据的位置被传送给该节点以在稍后当需要时获取。

因为人们只能备份证明了在其系统上具有的内容并且不容易公然地共享网络上公开的侵犯版权的数据，因此这维护了版权。

优选地，数据可被标记为受保护的和不受保护的。优选地，受保护的数据忽略共享过程。

分块(图1的P7)

根据本发明的相关方面，对文件进行拆分，优选地，通过使用算法计算块的大小，将文件分为多个组成部分。优选地，根据文件总体上的已知信息计算出各部分的大小，该信息优选地为完整文件的散列。该信息是通过允许文件被优选地分为至少三部分的算法运行的，该算法例如，将已知信息的前x位加在一起并使用模块划分以给出块大小。

优选地，将来自于每个块的已知信息用作加密密钥。优选地，这是通过计算每个块的散列并将该散列作为加密算法的输入以对文件中的另一个块进行加密而完成的。优选地，该算法是对称的算法，例如，AES256。

优选地，该密钥被输入口令创建算法中，如pbkdf等算法，并依此计算出初始向量及密钥。优选地，pbkdf的迭代量是根据另一片已知信息被计算的，优选地，为另一个块或相似的块的位的总和。

优选地，将每个初始块散列和加密之后的最终散列存储在某些地方以用于稍后的解密。

自加密文件(图1的PT2和图17)

1、取文件或数据元的内容散列。

2、对文件进行分块，优选地使用随机计算大小对文件进行分块，即，基于内容散列算法(以允许文件获取)进行分块。并且模糊该文件，例如，如3所述。

3、模糊这些块以确保安全性，即使最终加密被破坏(如果给出足够的处理功率和时间，那么所有的加密都被破坏)。

a、将块2的字节1和块1的字节1交换；

b、将块3的字节1和块2的字节2交换；

c、将块1的字节2和块3的字节2交换；

d、重复上述过程直到所有字节均被交换，然后重复相同的次数，因为每次迭代都有块使下一个块成为第一个；

e、即，在第二轮时，块2为开始位置。

4、取每个块的散列并且用其散列对块进行重命名。

5、取h2、以及h3的前x个字节(在本实施例中是6个)，并且使用模块划分或相似的技术以获得两个固定参数之间的随机数(在本实施例中是1000)，从而获得可变的数。使用上面的随机数和h2作为加密密钥以对h1进行加密，或使用h2和随机数作为另一个算法的输入来创建密钥和iv(初始化向量)。

6、该过程可重复多次以对遍及一系列的块的任何密钥进行稀释。

7、块的名称，即，h1(未加密的)和h1c(同样地对于每个块)被写入位置中以用于稍后对数据进行恢复。此外，如果文件已经被改变，那么我们可简单地用新块更新该位置，从而创建修正控制系统，在该系统中，每个文件可被重建为任何之前的状态。

8、在网络上对块的存在进行核查以确保其还未被备份。可在此时对所有的块进行核查。

9、如果块存在，那么所有的块必须被核查是否存在。

10、该块被保存。

11、该文件被标记为备份的。

12、如果检测到冲突，那么通过改变原始大小的算法(2)重新进行该过程以创建新的块集合，每个系统将了解该技术并且将进行完全相同的过程直到一系列块不再冲突为止。在这里将存在回退期以确保由于另一个系统正在备份相同的文件而使这些块未完成。在存在错误的块或已经被忽略的块的情况下，原始的块集合将被频繁地核查。如果原始的名称变得有效，那么通过使用这些参数对该文件进行重新处理。

复制去除(图1的P5)

根据本发明的相关方面，被分块且准备进行存储的数据可被存储在分布式网络上，但是优选地应该搜索被创建的所有相关联的块是否存在。优选地，这些块的位置具有和用户相同的排序(来自于前面的排序系统)或比其更好的排序，否则，网络上存在的块将被提升到至少具有相同的排序的位置。如果所有的块都存在，该文件则被认为已经被备份。如果不是所有的块都存在，这将优选地被认为是冲突(在一段时间之后)，并且将通过使用辅助算法对该文件进行重新分块(优选地，只调节文件大小)。这允许两个或更多个机器上的复制文件将仅被备份一次，尽管通过永久性的数据，每个文件将存在多个副本，这被限制为将维持永久性数据的量。

加密-解密(图1的P8)

根据本发明的相关方面，实际的加密和解密是通过对文件内容的了解被完成的，并且这是以某种方式被保持的(见下文)。密钥会被生成并且优选地被存储以用于解密。实际上，对文件的加密将优选地包含压缩处理和进一步的模糊方法。优选地，块将与已知散列一同被存储，优选地，基于块的内容存储。

解密文件将优选地需要收集所有块并重建块自身。文件可优选地将通过模糊技术将其内容混合以提供每个块，除非块是在该文件自身上。

优选地，每个文件将在块之间通过字节(或优选地是位)交换过程，以确保原始文件在不具有所有块的情况下表现为无用的。

该进程将优选地包括运行算法，该算法优选地取块大小然后以伪随机的方式分配字节，优选地取块数并用该数目作为进程的迭代量。该算法将优选地保护数据，即使在某些人得到了解密密钥的情况下仍能保护数据——因为这些块数据被表现为无用的，即使在不加密的情况下被公开传输。

这就防止了某些人复制所有数据并且储存多年直到如今的算法的解密成为可能，尽管已经过去了很多年。

还防止某些人在不试图通过建立巨大数量的可能密钥以对块进行解密(在2^54的范围内)、也不建立密钥并将这些块提供给所有密钥的情况下(如果这是可能的(不大可能发生))，将块解密。在这里被定义的过程使这种尝试无效。

现在，在原始块范围内的所有数据都将被认为是被稀释的，优选地，对该算法的增加将只能加强该过程。

识别块(图1的P9)

根据本发明的相关方面，块的原始散列或者可计算的唯一标识符将被存储。优选地，其将与最终块名称一起被存储。这方面定义了每个文件将有单独的映射，优选地为文件或数据库入口，以识别文件和其组成部分的名称。优选地，该映射文件或数据库将包括用户本地信息，例如，原始位置和权限(例如只读系统等)。优选地，该信息的一些可被认为可与其它人共享，例如文件名、内容散列值和块的名称。

具有小型文件的ID数据(图1的P11)

根据本发明的相关方面，这些数据映射和原始数据自身相比可能非常小，从而允许通过如因特网等网络的文件传输具有相当的简单性、安全性和带宽效率。优选地，映射的传输将以非常安全的方式完成，但是传输失败类似于目前通过电子邮件发送文件的全部内容。

该映射允许如数据映射或数据库记录等非常小的文件由用户在某一位置处共享或保持，该位置的大小通常不足以适合任何大尺寸的文件系统，例如PDA或移动电话。块名称的识别、原始名称和最终名称是获取块并确定地重建文件所需的全部信息。

当数据映射位于适当位置时，用户的整个机器或其数据可存在与别处。简单地获取所有数据的数据映射是允许用户对其数据和同意共享的任何文件有完整具有完全的可见性和访问权限所需的全部。

修正控制(图1的P10)

根据本发明的相关方面，当数据被更新并且映射内容改变以反映新的内容时，优选地，不需要删除或移除现有块，而是允许保持现有的块并在映射上附加新的修正存在的指示。优选地，除非被请求打开较早的修订，否则对文件的更近一步的访问将自动打开上次修订。

优选地，任何文件的修订可被忽略或删除(优选地，在检查文件计数器或上述共享者的访问列表之后)。这将允许用户从不再需要的修订恢复空间。

建立映射的映射(图1的P15)

根据本发明的相关方面，数据标识符，优选地为如前所述的数据映射，可按照这样的方式互相添加，即，优选地允许单个文件或数据库记录识别一个映射中的几个文件。这被称作共享。这种共享可以是个人私有的，从而替代用户习惯的文件目录结构，并且采用与卷和档案柜非常相似的新的共享结构替代，因为这种新结构更加线性并且人性化，会使事情变简单。

共享映射(图1的P16)

根据本发明的相关方面，该映射的映射优选地通过一些用户之间互相已知的公共ID识别连接在其上的用户，映射本身会被传递给同意加入共享的用户。优选地，这通过如ms信使等加密过的通道被传递。然后，该映射可在用户已经被指定的任何等级水平上被访问。优选地，将存在例如如今通常被使用的读、删除、添加、编辑等访问权限。当映射被改变时，用户发起对相对于用户列表再次进行核查，以判断其是否被允许。如果不被允许，那么请求被忽略，但是优选地用户自身可将数据作为私人文件存入其自己的数据库或数据映射，或者甚至将文件复制到其有权访问的共享中。优选地，这些共享也将展上述的修正控制机制。

优选地，加入共享意味着用户订购了共享占用空间并且减少了其其订购，即，10Gb的共享被建立然后个人放弃10Gb(或决定于系统需求的等价量，可能是10Gb倍数或约数)。另一个用户加入共享意味着他们都有5Gb的空间可放弃，5个用户加入共享意味着他们都有2Gb或等价空间可供放弃，所以共享的人越多，对所有用户的需求越少。

对私人文件的共享访问(图1的PT5和图18)

1.用户1登录到网络。

2.认证ID——即，访问其公共和私人密钥以对消息签名。该认证ID不该在本地被存储而是应该从安全位置匿名地、安全地获取。

3.用户1正常地保存文件(该文件在网上通过签名的和匿名的ID被加密、模糊、分块和存储)。该ID是特殊的maidsafe.net共享ID(MSID)，并且基本上是完全为共享用户之间交互而建立的新的密钥对，以掩饰用户的MID(即，不能通过共享与MPID进行绑定)。因此，再次地，MSID是密钥对并且是公共密钥的散列，该公共密钥储存在称作散列的块中并且被签名和放在网上以用于供其它用户获取并且确认公共密钥是属于该散列的。

4.用户建立共享——该共享是包含一些额外单元用于覆盖用户和特权的数据映射。

5.加至文件映射的文件数据在备份过程中被建立，一个不同之处在于，这是映射的映射并且可能包含许多文件，见14。

6.用户2登录。

7.用户2具有认证细节(即，其MPID密钥)，并且用户2可用该MPID公共密钥签名/解密。

8.用户1向用户2发出共享加入请求(共享在网络上是不可见的——即，除了共享者没有人知道该共享位于何处)。

9.用户1对该共享请求进行签名以声明其将加入共享。此时，该用户建立其自己的MSID密钥对。被签名的响应包括用户2的MSID公共密钥。

10.共享映射被加密或加密地与存在的共享的任何用户的MSID 公共密钥一同发送(可能通过安全消息发送器发送)给用户1。注意，因为如3中所述MSID块被保存在网络上，因此MSID公共密钥的传输可能不需要，所以任何用户都可随时检查公共密钥，这样就仅将搜索操作保存在块上，从而稍微地加快了处理速度。

11.每个用户都具有加入共享的细节，这些细节包括公共名称(MPID)和权限(读、写、删除、管理等)。

12.共享文件的描述

注意，当每个用户保存新的块时，其用MSID密钥进行该操作，这意味着如果共享被删除或移除，那么块仍然存在于用户的本地数据库中，并且用户可选择将数据映射和文件保存为单个文件保留或简单地将其忽略。

也应注意，当用户打开文件时，锁定被传输到其它所有共享者，并且这些共享者只被允许将文件打开为只读——他们可以请求解除锁定(即，另外一个用户对文件解除锁定——意味着文件变为只读)。非登录用户将具有为其缓冲的消息，如果文件关闭了那么缓冲消息被删除(因为现在向用户发送缓冲消息已毫无意义)，并且登录用户也被更新。

当使用系统的消息发送组件以自动地从共享用户接收与共享有关的消息时(但并不局限于此)，上述情况将发生。

提供公共ID(图1的P17)

根据本发明的相关方面，公共密钥和私有密钥对在网络上被建立，在该网络上，优选地，用户匿名地登录，并且优选地，用户具有可改变的伪随机私有ID，该ID仅用于对访问该网络ID块进行传输和获取。

优选地，该公共和私人密钥对将与公共ID相关联。该ID将通过使用几乎任何方法以相对无害的方式传输，这些方法包括开放的(电子邮件、文件传输协议、万维网等)、但优选地加密的形式。优选地，该ID应该足够简单以记住如电话号码类型长度。然而，优选地，该ID应该足够长以应对全世界人口及更多，所以其优选地应该为大约11字节长。

该ID可被打印在名片或固定型的电话号码或电子邮件地址上，并且不能通过外部资源被链接到用户的私有ID。然而，通过将数据存储在用户登录到网络时搜索的ID位上、或通过其它等效的安全网络认证的方法，用户自身的私有信息进行此链接。

然后，该ID按照比私有ID更公开的方式在与其它用户共享的数据或资源中使用。这保持了私有ID的私有性并且允许更先进的节点间的或人与人之间的通信。

安全通信(图1的P18)

根据本发明的相关方面，节点之间的通信应该私有并且有效。优选地，这是不可驳的，但是，如果需要的话，应该有可驳通信的选项。对于不可驳的通信，用户登录到网络并且获取其密钥对和ID。然后，获取的密钥对和ID被用于启动通信。优选地，在掩蔽用户的私有ID之外，用户的系统将寻找另一个节点以随机地发送和接收，因为私有ID除了用于登录网络外不用于与网络资源进行任何握手。

作为用户之间初次握手的一部分，密钥可被传递。优选地，该密钥是以例如只有包括在其中的用户才知道的pin码的方式中通过另一种通信机制在用户之间传递的代码，或者其可像将用户名或其它信息附加给通信请求包一样简单，例如，如今一些即时消息发送客户中的那样，即，大卫想和你通信，允许/拒绝/阻塞。

与如今许多的通信系统不同，这是在分布式的独立于服务器(server-less)的网络中执行的。然而，这提供的问题是，当用户离线时做什么。如今，消息被停止或存储在服务器上，并且在很多情况下没有加密或保护。本发明允许用户在离线时使消息被安全地缓冲。优选地，通过节点创建仅用于这个会话的唯一标识符并且将该ID传递给在用户地址薄中的所有已知节点来实现。在线用户立刻得到该ID，离线用户将它缓冲到他们最后已知的随机ID。这确保了监听用户消息的能力被显著减小，因为在地址薄之外的人没有与消息被存储的随机ID位的名称相关的标识符。优选地，随机节点ID位被用作标识符缓冲文件名的第一部分，并且当更多的消息被储存时，用该随机ID储存另一个文件，附加于其的号码代表了下一个顺序可用的号码。因此，用户将继续地登录和获取消息。这允许存在缓冲地安全地和分布地消息发送。

文档签名(图1的P19)

根据本发明的相关方面，前面描述了通过使用非对称加密在节点之间进行安全通信的副产品，引入了非可驳的链接。这不仅允许节点之间的消息是非可驳的，而且允许按照与消息相同的方式被签名的文档是非可驳的。如今，因为用户不是匿名的，因此一些人可轻易地偷取用户的密码或故意攻击用户；本发明提供了大量的匿名性并且用对资源的访问进行备份。

如同在许多国家中的合同一样，文档被合法地强制为在各方之间被签名和传递。

合同会话(图1的P20)

根据本发明的相关方面，会话或话题在各种各样的合同条件下被请求。例如，系统可具有非公开协定并且当双方在接受合同会话的情况下自动地对该协定进行数字签名。在这种情况下是非公开的会话。优选地，这将加快和保护商业实体进入协议或者仅仅调查关系。优选地，其它情况可被应用在这里，例如，优选地，完全公开的会话、订购单会话、合同签署会话等。这完全通过这样的系统实施，该系统优选地已经制作了用于自动签署的可执行的合同。这些合同可优选地在国家或特殊的合法领地执行，并且这些合同将需要在会话发生的国家的法律下可实施。这将需要用户优选地自动地使用地理IP状况的组合，并且通过选择其国家、被定位和进行会话时其所处的位置。

优选地只有讨论线程是符合本合同的，允许任何一方停止合同但不停止符合本合同的线程内容。

优选地，也可存在非常清晰的双方都同意的会话意图声明。在发生任何争论时，该声明将形成合同的基础。意图声明越清晰，可执行力越强。这些会话可能是不可实施的，但应能对稍后需要的任何决议进行简化。优选地，这可与如非公开协议等实际的合同会话结合在一起以在每次会话时形成合同包。合同会话将被清晰地识别，并且合同副本为双方随时可见，这些合同将优选地为数据映射并且需要的存储空间将会非常小。

ms_messenger (图1的PT6和图19)

1.优选地，非公开ID，在其它自治的系统中使用为机制中的签名并且建立公共ID密钥对的ID。

2.用户通过键入能被轻易记住的名字(例如昵称)选择或建立其公共ID，检查网络中具有其散列的数据元的存在。如果不存在，该名字被允许。否则，用户被要求重新选择。

3.被称作MPID(maidsafe.net公共ID)的ID可被自由地在朋友之间传输或被打印在名片上等，就像今天的电子邮件地址一样。

4.为了启动通信，用户键入其试图通话的人的昵称以及可能的短的声明(例如：预先安排的pin或其它挑战)。接收者同意或不同意该请求，不同意意味着开始建立与发起人的负分。该得分会持续几小时、几天甚至几个月，这取决于拒绝的规律性。高分将伴随任何通信请求消息。用户可设置在被自动忽略之前用户具有多少拒绝的限制。

5.现在完成对所有消息的传输，从而用接收方的公共密钥对其进行加密，从而使得消息较为不可驳。

6.这些消息可通过代理服务器系统或额外的节点以隐藏每个用户的位置。

7.该系统还允许文档签名(数字签名)并且有趣地允许合同会话。这是合同在用户之间被签名和共享的地方。优选地，签署的合同对于前述签名的用户都是同等有效的(不可改变的方式)并且可由所有用户获取。因此，分布式环境适合这种方法。这些合同可以是NDA投标、采购订单等。

8.在一些情况下，这需要个人证明其身份，并且可采取很多形式，从处理驾驶员执照到亲自签署账单，或者通过其他它电子的方法，例如：输入护照号码、驾驶员执照号码等。

9.如果接收者在线，那么消息然后被直接发送给他们以进行解码。

10.如果接收者不在线，那么消息被要求像现在的电子邮件一样进行缓存。

11.与现在的电子邮件不同，这是不具有用于缓存的服务器的分布式系统。在maidsafe.net中，用接收器的公共密钥加密的消息被储存在网络上。缓冲节点可为已知的信任节点或者非信任节点。

12.消息将看起来像接收器ID.消息1.消息2......或简单地附加在用户MPID块上，在这两种情况下，消息由发送器签名。这允许消息在用户离线的情况下被缓存。当用户上线时，他将核查他的ID块并且寻找如上面的ID.消息1等附加消息，即，MPID.<消息1数据>、<消息2数据>等。

该系统允许发送自动系统消息的能力，即，在共享该共享文件的情况下，数据映射可存在于每个人的数据库上并且不会公开地被传输和储存。通过使用如上所述的消息发送系统，文件锁定和对映射的改变可自动地在用户之间被路由。这是由于maidsafe.net的分布式属性，并且是与其它消息发送系统的主要的、积极的区别。因为安全原因，这些系统命令被严格限制，并且将首先被用于从信任节点发送警报和进行更新以由私人文档共享的其它共享者共享信息(不论他们是否在对话中)。

以我们现在的能力摆脱垃圾邮件的最好是方式去除电子邮件服务器。

匿名交易(图1的P24)

根据本发明的相关方面，在本发明中，能够在全球数字媒体中进行交易。这是通过将被签名的信用传递给卖家以换取货物的方式实现的。信用是具有给定值的数据块，该值优选地为1、5、10、20、50、100等单位(在这里称作网络现金(cyber))。这些网络现金是货币价值的数字表示并且可如下所述可被购买或赚取以释放机器资源，例如，CPU时间的磁盘空间等。优选地，应该有很多种赚取网络现金的方法。

网络现金实际上是具有数字签名的数据片，它包含数值声明，即， 10个网络现金，并且优选地包含序列号。在交易过程中，卖家的序列号数据库被单独检查网络现金的有效性。优选地，用于交易的ID的记录不被传递和记录。网络现金将由发行机关签署为具有一定价值。该值将已经被证明，并且优选地，首先将实际上等于单一货币，例如，与欧元有关的货币。优选地，当随着时间的推移系统能力的提高时，这将改变。

一些卖家可请求非匿名交易，并且如果用户同意，其将使用公共ID建立过程以认证该交易并可能需要提供更多的数据。然而，可能存在其它将匿名销售的卖家。因为一些商品将在任何地方销售而一些商品将不能在任何地方销售，因此这对市场和人口统计学分析等有很大的影响。假定该系统允许隐私和自由购买商品而无需被分析。

交易网络现金的过程将优选地包括签名系统，以使交易双方实际上将网络现金从购买者处传递给卖家。该过程将优选地将在网络现金上的签名改为卖家的签名。该新的签名被报告返回发行机关。

与非匿名系统的接口(图1的P23)

根据本发明的相关方面，人们可从任何现金卖家处购买数字现金或信用卡。优选地，卖家将建立已签名的并且为了防伪而连续的实际现金数据块。优选地，这可认为是今天的实际现金来防止欺诈和伪造。优选地，卖家将在某些情况下集中登记。然后，用户可购买网络现金用作现金并且将其储存在系统中的文件数据库中，优选地，例如存储在maidsafe.net中。

当网络现金被购买以后，优选地，其不能被使用，并且实际上是被用于通过购买系统要求网络现金的货币价值的参考号。优选地，该参考号将在一段时间内有效。然后，购买者登录到系统，例如maidsafe.net，并且在安全通信媒体中输入参考号作为网络现金请求。该请求通过发行机关分析并且交易过程开始。优选地，网络现金由发行机关签名，然后，优选地，发行机关使用购买者的公共密钥对其进行加密并发出签名请求。此时，网络现金不是有效的。只有当发行机关接收了网络现金的已签名副本时，序列号才是有效的并且网络现金是激活的。

现在，该网络现金属于购买者并且由发行者验证。为了执行交易，该过程优选地被再次执行，即，卖家要求付款并且买方签名的网络现金被提供——这是通过这样的方式被验证的，即，向发行机关核查序列码是有效的并且买方是网络现金的实际所有者。优选地，买方向发行机关提供数字签名的交易记录以声明其将改变网络现金的所有者。然后，这将被传递到被请求的卖方以对其进行签名。然后，卖方对网络现金签名并且通过已签署的请求要求发行机关接受其作为新的所有者。然后，发行机关在其记录中简单地更新网络现金的所有者。

优选地，这些交易是匿名的，因为用户应该使用私人ID完成该过程。该私人ID可随时更改但旧的ID应该被保存以允许使用旧的ID进行网络现金交易。

匿名性(图1的P25)

根据本发明的相关方面，不可驳的且匿名的投票系统将被考虑。这是允许在全球范围发生自由言论和思想而不发生指责和负面反馈的需要，该情况是经常发生。

为了参加投票，用户将必须按照上述被认证，然后优选地，提出将被投票的问题。然后，用户将使用私人ID密钥匿名地对其投票进行签名。优选地，还可通过简单地进行从私有ID到公共ID的转换，在系统中实现非匿名的、不可驳的投票。优选地，这将构成基于申述的系统的基础，该基于申述的系统作为投票系统的附加系统。

系统将需要能被公布(优选地，通过消息发送器广播给每一个用户)并且被系统的每一个用户拾取并表现为选举投票的数据块。然后，该选举投票将被用户签名并且发送回选举投票发行者处，发行者的系统将计算投票并且优选地示出迄今为止投票的持续指示。

由于存在有效的公共ID和私有ID，优选地，将要求每一个投票仅使用一个ID以防止两次投票。优选地，地理IP可被用于建立对投票团体的地理分析——特别是对局部问题的分析。

投票系统(图1的PT8和图20)

1.按照正常的方式中建立投票。其可以是候选人列表或用户必须选择的选项列表。优选地，该列表将始终具有一个选项：“我没有足够的信息”，该选项附加在该列表的底部以确保投票者具有足够的了解以做出决定。最后一个选项的限制应该被规定为使投票无效的限制，并且在提供了更多信息的情况下重新投票。

2.该投票被存储在具有投票机关ID的系统上。其可以是用特殊名字称呼的数据块，并可被数字签名以进行认证。所有存储节点都可被允许以确保某些机关被允许存储投票，并且只存储用正确的ID数字签名的投票。

3.可使用系统广播让感兴趣的每个人都知道将有新的投票。这是可选择的步骤以通过对投票的不停核查减少网络拥塞；其它相似的系统也可用于相同的目的。

4.登录到该网络的非匿名用户将提取投票。这是具有至少被机关知道的公共ID的用户。投票实际上是这样的共享块，即，只有某些ID能对其进行访问或知道其位置(即，被分为几个组成部分和被用于在投票已经准备好时进行提醒的通信系统)。

5.匿名用户可登录到网络上并且实际上可使用随机ID以提取投票。

6.投票被获取。

7.系统将发送回一个已签名的(由用于提取投票的ID签名)“我接受投票”。

8.投票机关将传输投票纸，即被数字签名的(并且可能被加密/被分块)的投票纸。其可能是数字签名的“批准投票”纸片，该纸片可能是也可能不是被顺序编号的纸片，投票纸还可能为一批x个相同序列号(以防止通过在一个源处进行多重投票的欺骗，即，随机发行5个相同的号码并且对这个号码只接受5次投票)。

9.用户机器对选票纸进行解密。

10.用户系统建立一次性ID+密钥对以进行投票。该公告密钥可如MAID和PMID那样在网络上被散列和储存以允许对被发送回来的任何被签名或加密的投票进行核查。

11.投票被发送回机关，该投票是已签名的并且优选地已用机关的公共密钥进行了加密。

12.在匿名或非匿名投票的情况下，可通过使投票在途中通过代理服务器机器对此进一步伪装。

13.投票被接收并且接收块被放在网络上。该块被称作用户的临时(或投票)ID散列，其最后一位被移位或以其他方式故意破坏，以免与投票ID位冲突，该投票ID位是用户储存以用于对他们的公共密钥进行认证的。

14.然后，机关可公布谁投票给哪个选项的列表(即关于投票和投票ID的列表)。

15.用户的系统核查系统中正在被使用的ID的列表，并验证投票被正确投递。

如果情况并非如此。

16.用户系统发出警告。该警告可为多种形式并且可包括签署投票警告包；该包可按照(与13)相似的方式被打包、被改变为投票块自身的已知形式。存在很多提出警告的形式，包括通过消息发送器等简单地传输消息，并且传输至投票认证方而不必是投票机关本身。

17.用户将所有的信息显示给调查投票真实性、准确性、合法性或一些其它方面的一方，从而允许对错误和故意引入的问题进行追踪。

18.用户具有在此时将投票的所有追踪从其系统中去除的选项。

被证明的个人(图1的P26)

根据本发明的相关方面，使用匿名认证系统，优选地，如maidsafe.net中匿名认证系统，第一阶段是部分地完成的，并且个人账户是真实的，但这并未回答匿名个人的问题，在这里对此进行描述。

通过使用我们拥有的信息(密码等)或我们身体上具有的东西(虹膜/指纹或其他生物试验)访问系统。为证明个人身份，系统将优选地使用生物试验。这是投票系统的关键，因为其变得越来越广泛采用。在该系统中固有的是，任何个人识别数据必须保持保密并且任何密码或访问控制信息都不会被传递。

当用户认证时，系统可以识别其是否已经完成这样的生物识别。在这种情况下，帐户被视为唯一个体而不是个人帐户。这是可能的，因为例如maidsafe.net可在无需访问服务器或生物特征的数据块记录的情况下进行认证。

当用户通过生物机制登录maidsafe.net时，登录状态被得知，因此不会提供用于将信息输入以访问该系统的登录框。这允许系统保证用户是生物地登录的。在每个机器上的系统总是通过登录maidsafe.net被验证的，以确保该过程不被折中。

优选地，一些投票将只对在生物上被认证的用户而存在。

分布式受控投票(图1的P29)

根据本发明的相关方面，为了进一步地管理系统，必须有一定程度的控制和分配，以使所有用户可随时对其进行访问。投票的分布被系统消息控制并且通过先前描述的消息发送系统为用户储存。

系统具有的主要问题是例如：投什么样的票以及“谁”做出投票和文字投票。这是该系统和过程的公平性以及明确性的关键。该投票系统将优选地总是具有“没有足够的信息”的选项来提供使用户能够访问信息以便在作出任何决策之前充分得知信息的路由。

系统将需要个体群组，其优选地作为投票系统的投保人/受托人被公众选举进入办公室。该群组将由其公共ID被得知并且使用其公共ID以认证和公布投票调查。该群组将优选地被投票进入办公室持续一个任期，并可在任何时候通过投票公众的协商一致被免除。因为这个原因，将存在持续的在线投票，该投票反映投保人作为群组以及优选地还作为个人的工作情况。

根据本发明的相关方面，系统的用户将在系统上输入更大的问题。宏管理应该通过如前所述的在任何时间可被选进或选出的系统投保人被实施，然而，更大的问题应该留给用户。这些问题可优选地是使用什么样的许可证、系统的成本、慈善事业贡献的分发、人道主义者的供应和大规模虚拟计算资源的科学项目等。

为了达到该目的，优选地，系统消息将被发出，在这里，该消息不表现为消息而是作为投票。这应该在用户系统的用户投票阶段展现。用户私人ID将被要求作用于该投票，并且他们可做出自己的决定。

当投票结论显示对小团体和整个系统将产生危险时，将对这些票进行申述。用户将具有这样的选项，即，继续投票和可能的损害，但是这实际上是由用户决定的，并且这将是最终的决定。优选地，该系统不具有集体投票、或在任何时候根据另一个个人对一个个人进行评估或以任何其它方式提供优势的任何其它系统。这要求代理服务器没有权利允许对任何决策或任何投票传递进行否决，从而使被验证的用户的决定被视为是被正确地记录并且是最后的结果。

根据本发明的相关方面，具有永久数据、自加密文件和数据映射的系统将允许存在全球匿名数据备份和恢复系统。该系统可根据前面的讨论被构造，在这里，数据可被被永久性地制造在网络上并且被匿名地共享以防止复制。这与对文件进行核查、操作和保持修订控制的能力一起增加了“时间机器”型环境的能力，在该环境中，数据可在备份时被用时间印记。

这就允许系统根据自从使用了maidsafe.net或类似的技术之后的历史中的任何时间存在的数据局对用户数据集进行重建。如现有技术中查询、内幕交易等情况一直被考虑，这可不时地形成防卫，因为系统是安全的并且通过其它节点等被验证。因此，可以示出，在特定情况下，任何人拥有哪些知识(至少从与拥有与主题有关的数据的角度来看)。

根据本发明的相关方面，优选地，使用如前所定义的方面或可改进该情形的任何方面。进行分布式认证、备份和恢复以及数据映射共享；系统可进一步添加细粒度访问控制的能力。在该情况下，进入网络的节点将请求验证者认证其访问。在该情况下，验证者将为经理或在组织中有同等地位的人(不论是矩阵管理还是传统的金字塔形式)。当访问该节点的数据及其进行的任何其它认证(在认证链中)时，该认证将授权者的公共ID绑定于系统。

这允许在合作的或私人的环境中实现分布式的安全备份、恢复和共享的环境。

根据该发明的相关方面，除上述的能力之外，本文描述的全部能力都将确保网络节点被建立，在建立的节点上，用户具有安全隐私和操作自由。

对于不同目的，这些节点将具有可驳的ID(MAID，PMID等等)和不可驳的ID(MPID)，就像在人生中通常存在被识别的时间和最好不被识别的时间。

根据本发明的相关方面，增加不可驳的消息发送的能力允许用户不仅可以真诚地、安全地进行通信，而且还允许用户具有在订约条件下进行通信的能力。这允许使贸易合法地保持保密地执行(如NDA协定等隐含的)，并允许更多订约的通信。这将有希望减少如诉讼等法律问题的负担。

根据本发明的相关方面，增加建立两个投票系统即匿名投票系统和非匿名投票系统的能力允许系统提供即时民主化的机制。这是通过允许用户帐户中的投票板来实现的，该投票板被不断更新关于系统的问题和其最初改进。这些投票将是匿名的。

在另一个匿名投票的情景中，用户可不断地对某个主题进行投票(如正在进行的投票)，这些主题可以是董事会的领导等。

在非匿名投票的情景中，可具有一组确定身份的人(通过其MPID)，这些人具有共同的分组，例如慈善团体或类似的组织，并且可能需要某些人对某些事件进行投票并且被识别。这就是MPID在投票中的用处。

根据本发明的相关方面，还增加了匿名地收集和处理信任的能力，允许用户销售其未在使用的机器资源、用等量的现金在网络上进行交易并且像在现实生活中一样在网络处理事务。

Claims

1.一种保护数据的方法，包括：

将所述数据模糊化，包括将所述数据分成多个块，并在所述块之间交换数据；以及

使用加密算法加密所述数据。

2.如权利要求1所述的方法，其中，将来自所述数据的已知信息用作加密密钥。

3.如权利要求2所述的方法，其中，每个块被单独加密，并且对于每个块，将来自另一个块的已知信息用作所述加密密钥。

4.如前述权利要求中任一项所述的方法，包括为所述数据确定散列值，以及使用所确定出的散列值来确定所述块的大小和/或所述块的数量。

5.如前述权利要求中任一项所述的方法，其中，所述加密算法为对称加密算法。

6.如前述权利要求中任一项所述的方法，其中，在所述块之间交换数据包括将第一块的字节与第二块的字节交换。

7.如前述权利要求中任一项所述的方法，包括确定每个块的散列值并使用所确定出的所述块的散列值重命名所述块。

8.如前述权利要求中任一项所述的方法，包括在分布式网络上存储所保护的数据。

9.如前述权利要求中任一项所述的方法，包括确定所述数据的各个块是否已存在于所述网络，如果所述数据的各个块已存在，则不存储所保护的数据。