CN116917920A

CN116917920A - 数字货币的安全机制

Info

Publication number: CN116917920A
Application number: CN202280014352.5A
Authority: CN
Inventors: J·M·波夫斯纳
Original assignee: National Monetary Technology Corp
Current assignee: National Monetary Technology Corp
Priority date: 2021-02-11
Filing date: 2022-02-09
Publication date: 2023-10-20
Also published as: CN116848820B; CN118540066A; CN116848820A

Abstract

集中跟踪系统包括安全网关系统和主存储器系统。安全网关系统在因特网协议地址处通过因特网与公众交互，并且安全网关系统包括：存储器，其存储通过因特网从公众接收到的分组；以及处理器，其执行多个算法以对从公众接收到的各分组强制实行安全检查。主存储器系统由安全网关系统对公众屏蔽，存储集中跟踪系统的记录，并且一旦来自公众的指令通过安全检查，就从安全网关系统接收对记录的更新。

Description

数字货币的安全机制

相关申请的交叉引用

本专利申请要求以下申请的优先权：2021年2月11日提交的美国临时申请号63/148,335、2021年4月12日提交的美国临时申请号63/173,631、2021年6月12日提交的美国临时申请号63/209,989、2021年9月5日提交的美国临时申请号63/240,964、2021年12月29日提交的美国临时申请号63/294,732、以及2022年1月30日提交的美国临时申请号63/304,684，所有这些申请的全部内容都通过引用而被并入本文。

背景技术

国家数字货币(National digital currency，NDC)潜在地用于补充或取代国家实物货币。在该背景下已研究了分布式账本技术(DLT)。DLT提供了共识网络，其中在该共识网络的各独立节点处维护和更新分类账的副本。在关于交易出现问题时，节点之间的共识决定对该问题的回答。由于诸如安全等的各种原因，DLT不是特别适合用于实现NDC。因此，在本申请和相关申请中描述的主题的(一个或多于一个)发明人研究了如何使用集中跟踪(centralized tracking)实际安全地实现NDC。

附图说明

在结合附图阅读时，从以下的详细说明最好理解示例实施例，其中：

图1A例示NDC的生命周期概述；图1B例示跟踪NDC；并且图1C例示用于跟踪NDC的中央系统(CS)；

图2A、图2B、图2C、图2D、图2E和图2F例示用于处理NDC的简短的格式化的查询和指令(SFIOI)的方法；

图3A例示NDC的基于云的交易流；并且图3B例示用于存储NDC的虚拟票据(VN)的记录的系统；

图4A例示安全网关系统处理接收到的SFIOI的方法；图4B例示安全网关系统的处理布置；图4C例示安全网关系统处理接收到的SFIOI的方法；并且图4D和图4E例示用于CS的存储器系统处的安全检查的方法；

图5A、图5B、图5C和图5D例示处理接收到的SFIOI的安全网关系统的存储器布置；

图6例示SFIOI的示例格式；

图7A和图7B例示因特网网络路由器的布置；图7C例示在分组(packet)到达因特网协议目的地地址之前对分组进行过滤的方法；图7D例示用于在分组到达因特网协议目的地地址之前对分组进行过滤的通信系统；并且图7E和图7F例示用于在安全网关系统处分发针对寻址到因特网协议目的地地址的分组的安全检查的方法。

具体实施方式

在以下的详细说明中，出于解释而非限制的目的，阐述了公开具体细节的代表性实施例以提供对根据本教导的代表性实施例的透彻理解。然而，与本发明一致的其他实施例可能背离本文中公开的具体细节。可以省略对已知的系统、装置、操作方法和制造方法的说明，以避免使代表性实施例的说明变模糊。尽管如此，在与本教导相关的多个领域中的一个或多于一个领域中的普通技术人员的视界内的系统、装置和方法在本教导的范围内并且可以根据代表性实施例来使用。应理解，本文中所使用的术语仅用于说明特定实施例的目的，而不是旨在限制。所定义术语是对在本教导的技术领域中通常理解和接受的所定义术语的技术和科学意义的补充。

如果要使用集中跟踪来实现NDC，则必须解决许多安全问题。用于跟踪NDC的CS必须与公众交互，并且必须保持安全，以免受到所有可想到形式的威胁。在科技界，普遍认为通过因特网与公众的联系的任何事物都不能被认为是安全的。换句话说，CS必须可供世界上具有因特网连接的任何个人访问，但必须能够过滤或拒绝由世界上具有因特网连接的任何个人造成的每个可想到威胁。可用作挑战该信念的起点的安全的一个方面是，政府定义可被CS接受的内容，并采取措施以阻止和删除被定义为可接受内容之外的任何内容。

在图1A所示的NDC的生命周期概述中，在步骤A处，在CS150与由参与方控制的电子通信装置(ECD)之间转移虚拟票据(VN)，以诸如在创建VN之后最初将VN指派给金融机构等。NDC的VN可以是定义的数据集，这些数据集各自被指派了VN的唯一标识、面额和源，尽管也可以包括其他信息。CS150和本文所述的任何其他CS是集中跟踪系统。然后，在步骤B、C、D和E处，在由不同参与方(装置101、装置102、装置103和装置104)控制的多个ECD之间转移VN。然后，在步骤F处，将VN提供回到CS150，以诸如暂时或永久地收回VN等。用于通信VN的装置(例如，装置101、装置102、装置103和装置104)是诸如计算机或蜂窝电话等的ECD。可以通过根据传输控制协议/因特网协议(TCP-IP)和/或用户数据报协议(UDP-IP)交换分组的分组交换网络来对VN进行分组化和通信。图1A中的CS150可以创建、分发、跟踪和/或收回VN。

在图1B所示的跟踪NDC中，交易请求方和/或交易对手方向CS150发送简短的、格式化的查询和指令(SFIOI)，以查询VN的所有权或提供用以转移VN的所有权的指令。例如，交易对手方可以主动向CS150验证交易请求方拥有VN，并且CS150可以基于SFIOI中的指令来转移VN。SFIOI的格式由VN的源定义。使用预定义格式，由公众使用的ECD将能够确保遵从性，并且SFIOI的分组可以在这些分组在安全网关系统156的因特网协议地址处被接收之前被预过滤，并且通过在安全网关系统156处运行的算法被后过滤以确保分组满足预定义格式。

CS150可以生成多因素推送通知并将其发送到ECD，以确认据称由ECD发起的转移或查询。发起交易或转移通知的ECD预计将开启并由交易请求方掌握，使得多因素认证可以由交易请求方能够实时地合理预期。由于通知可以被提供到记录的所有者的记录的通信地址，因此仅在交易请求方是记录的所有者的情况下，交易请求方才可以由CS150单独通知以提供或确认同意VN的转移。在一些实施例中，诸如在交易请求方向交易请求方提供唯一地标识交易请求方的验证信息的情况下等，交易对手方可以向CS验证交易请求方是VN的所有者，而无需CS向交易请求方确认将转移VN。对手方可以向CS 150呈现验证信息，使得CS150可以假定交易请求方已同意转移VN，因为对手方可能猜测到任何特定参与方是任何特定VN的记录的所有者的风险非常低。并且CS150可以对不准确的SFIOI强制实行严格的惩罚。

SFIOI可以被发送到CS150的预定主机名或IP地址。VN的转移可以由发送VN时的交易请求方和接收到VN时的对手方中的任一个或这两者报告给CS150。

出于各种原因(包括交易请求方的转移频率、交易请求方的活动频率(例如，许多VN的处置)以及许多其他原因)，可以针对VN维持灰名单。也可以针对诸如受到特殊监控的交易请求方等的参与方来维持灰名单。在一些实施例中，可以防止交易请求方针对预定最少次数的干预不同所有者(诸如2次或5次等)或者在将VN的所有权转移走之后的诸如48小时等的预定时间范围内重新获得VN的所有权。

确保遵从SFIOI的适当格式化的要求的一个方式是使用经授权的货币读取器应用和/或电子钱包程序。经授权的货币读取器应用和/或电子钱包程序的实例可以被提供与CS150处的记录中的参与方的唯一标识相关联地维护的唯一标识。

在图1C所示的用于跟踪NDC的CS中，安全网关系统156用作公众与CS 150的其他元件之间的接口。CS150包括安全网关系统156、ID管理系统151(标识管理系统)、LSS152(分类账存储系统)、主存储器系统153、人工智能和分析系统154、以及备份存储器系统155。图1C的箭头示出：在一些情况下，CS150的元件之间的通信可以主要或完全被限制于单向通信。在基于图1C的实施例中，来自至少公众的通信可以被限制到安全网关系统156。具有想要发送加密通信的庞大客户群的中介服务提供商可以被允许访问与安全网关系统156相邻的位置靠近的设施，使得适当加密可以被提供给位置靠近的设施处的端点，然后被解密并直接馈送到安全网关系统156。

ID管理系统151可用于存储并更新被授权使用由CS150跟踪的NDC的参与方的记录。

LSS152用于维持由CS150跟踪的所有VN的当前所有权记录。一旦SFIOI中的查询通过了安全网关系统156处的安全检查，LSS152就用于寻址来自公众的所有权查询。在经由SFIOI转移VN时，从主存储器系统153更新LSS152。LSS152可用于通过按字母顺序、数字顺序或字母数字顺序分层存储VN的记录来快速地跟踪和验证VN的所有权。这样，可以使用VN的唯一标识来查找VN的记录。LSS152中的记录可以仅包括VN的最新所有者。使用LSS152，CS153存储跟踪数字资产(例如，NDC的VN)的各实例的当前所有权的记录。在一些实施例中，安全网关系统156可以在所有或几乎所有情况下向LSS152确认SFIOI中所列出的VN的所有权，只要确认为SFIOI的发送方具有SFIOI中所列出的所有VN的所有权可以始终或几乎始终是SFIOI的重要安全检查这一准确知识即可。

主存储器系统153包括一个或多于一个数据库、固态存储(SSD)和/或适合存储数百万、数十亿甚至数万亿个数据项(诸如VN、电子钱包程序、货币读取器程序、参与方、ECD等的唯一标识等)的其他形式的存储器。人工智能和分析系统154对主存储器系统153中的数据项应用人工智能和分析。例如，人工智能和分析系统154可被配置为从主存储器系统153中所存储的数据项获得并分析VN的记录。备份存储器系统155将记录的备份存储在主存储器系统153处。可以针对主存储器系统153提供多于一个备份存储器系统155，并且可以针对LSS152提供一个或多于一个备份系统(未示出)。安全网关系统156用作图1C中的CS150的与公众的唯一接口。

CS150提供了许多内部安全措施。例如，LSS152有效地与ID管理系统151隔离或至少可与ID管理系统151隔离。主存储器系统153和ID管理系统151在无需交互的情况下或者在最低限度的交互的情况下可以通过单向通信进行通信。人工智能和分析系统154可以仅被提供对主存储器系统153的访问，与公众完全隔离，并且仅可供经授权的政府官员和经授权的研究人员使用。备份存储器系统155在正常操作中也可以与公众完全隔离，尽管如果备份存储器系统155被切换成开启，则可以将对主存储器系统153的更新代替地提供给备份存储器系统155，并且可以将主存储器系统153与CS150的其他元件之间的交互切换到备份存储器系统155。主存储器系统153和/或备份存储器系统155可以例如通过在地下的专用数据中心中实现、被屏蔽免于电磁脉冲(EMP)等而得到物理保护。对主存储器系统153和备份存储器系统155中的设备的更新可限于本地进行的更新，并且主存储器系统153和备份存储器系统155可与公众完全断开，除非它们可用于基于安全网关系统156处理的经由SFIOI提供的指令来存储VN的记录。

在任何SFIOI中可指定的VN数量可限制为诸如9个等。SFIOI格式化也可以将SFIOI的数据大小限制为诸如512字节等的特定大小。安全网关系统156还可以经由传出通信来实现反欺骗措施。例如，安全网关系统156可以发起小代码的生成以与用于确认转移指令的任何多因素认证检查一起发送。可以将小代码与消息一起发送到所有者的记录的通信地址，或者显示在与所有者的记录的通信地址相对应的装置上的弹出窗口上。可能要求所有者手动返回小代码(诸如两个字符等)以确认转移。这样，即使欺骗程序知道反欺骗消息被发送并且计划欺骗对反欺骗消息的响应，这些欺骗程序在欺骗程序无法猜测出由安全网关系统156动态生成和发送的字符时也可能被阻挡。

安全网关系统156可以通过专用和/或其他安全线路或通信信道或甚至一个或多于一个呼叫中心来提供对执法机构、邮局、银行和类似实体系统以及诸如美国国务卿办公室等的其他政府办公室的访问。安全网关系统156用作受控接入点，其具有向CS150的公众公布的唯一因特网协议地址，并且以其他方式限制对CS150的其他元件的任何访问，使得不存在对其他元件的直接公共访问。安全网关系统156起到屏蔽主存储器系统153以及CS150的其他元件不受公众影响的功能。不符合SFIOI的特定格式的通信可以被毫无例外地丢弃。

安全网关系统156可以执行对在CS150处接收到的SFIOI系统地进行全面安全检查的复杂软件。能够对安全网关系统156进行全面安全检查的软件能够快速且高效地处理大量适当的SFIOI并检测和删除任何其他内容。一整套灵活软件子应用可以适应针对在与本文所述的CS相同或类似的任何CS中使用的SFIOI所设置的各种格式中的任何格式。各个软件子应用包括针对不同算法的指令，各算法进行与其他软件子应用不同的一个或多于一个任务。换句话说，各个软件子应用专用于相对于其他软件子应用的唯一且不同的任务。多核处理器的子应用或核不执行或处理SFIOI的任何分组整体，而是子应用处理各分组的不同部分。软件子应用可以被提供作为软件程序或实现软件程序的预编程专用多核处理器。数个类型的软件子应用可以被提供作为安全网关系统156的安全程序，并且能够检测SFIOI的不同类型的损坏，使得检测损坏的SFIOI并且不以与未损坏的SFIOI相同的方式处理损坏的SFIOI。

对于遵从SFIOI格式的分组强制512字节或其他大小提供了数个类型的安全。例如，安全网关系统156可以检查一个字段以确保VN的源ID与安全网关系统156的提供方相对应。再者，安全网关系统156可以检查SFIOI中指定的各VN实际上属于SFIOI中被识别为据称所有者的参与方#1。安全网关系统156可以检查以确保空字段为空，诸如跳数等的头部信息正好是预期的(例如，0)，并且针对一个或多于一个VN所分配的字段满足预期(例如，如果VN计数指定在SFIOI中未识别出这样的VN，则#8和#9为空)。

32位(4字节)足够用NDC的唯一标识来唯一地标识美国人口。8位(1字节)足够用NDC的唯一标识来唯一地标识各个国家。16位(2字节)足够用NDC的唯一标识来唯一地标识美国的各银行或类似实体。可以通过诸如银行或类似实体等的金融机构获得唯一参与方标识。银行或类似实体的唯一标识可以是参与方的唯一标识的一部分。由银行或其他实体指派的唯一参与方标识可能需要超过4字节(诸如5字节等)，以适应具有超过50万的庞大客户群的银行或其他实体。使银行或类似实体为NDC指派唯一参与方标识的一个益处在于：参与方的简档可以保留在银行或类似实体处，而不是保留在CS150处。类似地，可以通过国家邮政服务的当地分支机构向无银行账户的个人提供NDC的唯一参与方标识。国家邮政服务的分支机构可以配备有可以由具有手指的任何个人使用以唯一地标识他们自己的数字指纹垫。邮政服务可以使用数字指纹垫来确认现有的身份，并且可以在保留由无银行账户的参与方提供的指纹、姓名和/或其他信息的同时将唯一参与方标识发送到ID管理系统151。

安全网关系统156的处理环境可以将大量预过滤的SFIOI以1对1的方式(24/7/365)逻辑地存储在闪速存储器页中。协调的软件安全子应用的集合可以由安全网关系统156中的单个多核处理器在到达安全网关系统156的SFIOI上执行。安全子应用可以在以FIFO顺序存储在闪速存储器页中的SFIOI上运行。各安全子应用以相同的方式对其被授权处理的各SFIOI进行其指派类型的安全处理。通过使安全子应用错开以按预定顺序在各页上运行、直到所有安全子应用在页上结束了它们对SFIOI的处理为止，来高度协调针对每页的处理。

也可以通过拒绝安全网关系统156处的任何传入连接请求并且仅接受各个分组来确保CS150的安全。例如，CS150可以不接受任何类型的传入连接请求，并且这种连接请求在它们到达CS150之前可以在因特网中的网络路由器处被阻挡。可以为CS150提供附加的安全机制。例如，可以在无需提供SFIOI到达安全网关系统156的任何域名的情况下提供已发布的IP地址以与公众交互，因为这可以帮助完全避免域名劫持。安全网关系统156可以仅接收和接受诸如UDP/IP分组等的单个非顺序SFIOI，并且可以不接受或建立诸如来自TCP/IP分组序列等的任何传入连接，以便帮助阻止DOS攻击。此外，SFIOI要求可以设置可在任何单个SFIOI中指定的VN的最大数量(例如，9个)。

SFIOI和包括安全网关系统156的CS150的技术也可用于其他目的，诸如更新护照持有者的旅行记录并跟踪诸如以下等的其他类型的信息等：不动产和相应按揭的所有权、汽车和相应汽车贷款的所有权、数字娱乐和计算机软件的所有权、与数字娱乐和计算机软件相对应的DRM、以及私营企业的股份和私营企业的相应债务的所有权。

CS150的安全网关系统156可以包括多个节点，并且每个节点都能够每分钟处理成千上万(例如，40000个或更多个)合法SFIOI。本文所述的安全子应用可以是可调整的，以处置指定除512字节或256字节以外的数据大小的统一格式。传入SFIOI可以存储在诸如512字节(即，闪速存储器页)等的统一存储器单元的顺序地址空间处。各SFIOI中的最后几个(例如，8个)字可能要求为空，并且不被写入闪速存储器页。

安全子应用的集合对各接收到的SFIOI进行不同的安全处理，作为对任何查询进行响应或执行任何指令的条件。各安全子应用仅在各页的(一个或多于一个)相同相对位置处处理一个或多于一个特定字节以进行其功能，并且除非被分派了确认实质性数据的不存在的任务，否则不处理预期没有实质性数据的字节。

安全网关系统156处的处理可以被可视化为4维处理。512字节的页是具有64 64位的字线的2维存储器。各安全子应用在第三维度的页之间递增地移动，并且在各页上处理相同的(一个或多于一个)字节或(一个或多于一个)字。安全子应用在时间上错开作为第四维度，使得安全子应用避免试图同时从相同的(一个或多于一个)字节或(一个或多于一个)字读取或向相同的(一个或多于一个)字节或(一个或多于一个)字写入的冲突。附加地，在一个核集合向LSS 152发送对时，针对第四类型的安全子应用的所有权检查必然涉及定时偏移，并且另一核集合处理来自LSS152的响应以避免任何核发送对、然后挂起等待响应。

状况更新系统可以使用与用于存储SFIOI的存储器页相同的存储器页。状况更新系统用于在安全子应用处理大量SFIOI时同步安全子应用。对NDC的跟踪可能要求对用于存储SFIOI的存储器进行大量的写循环。如果在各SFIOI的处理期间使用相同的存储器单元或者甚至相同类型的存储器单元来对状况进行10至20次的更新，则对状况存储器单元的写循环的数量将是对用于存储SFIOI的存储器单元的写循环的数量的许多倍。这将意味着在状况存储器单元变得疲劳时总体存储器可能更快地疲劳。例如，512字节的SFIOI的末尾处的864位(8字节)处理字可以强制为空，而不被写入页，并且代替SFIOI中的任何实质性数据，可以将存储器页中的相应存储器单元用于状况更新。换句话说，SFIOI可以以1对1的方式存储在安全网关系统156处的512字节的页上，但例如无需将SFIOI的末尾处的8 64位的空处理字写入页。相反，页的末尾处的存储器单元可以用于跟踪安全子应用的状况，使得安全子应用可以在对SFIOI进行安全处理之前检查适当的状况字/字节，并且可以在进行它们的安全处理之后更新不同的状况字/字节。状况检查和状况更新的功能可以是各安全子应用的一部分。状况更新系统确保了状况更新可以以有效地与用于存储SFIOI的实质性数据的存储器单元相同的速率写入，并且这与在各SFIOI的处理期间将状况更新重复写入状况更新的(一个或多于一个)相同字节10次或更多次相比，可以将存储器寿命延长至少1000％。

要求证明各SFIOI中指定的据称所有者是实际所有者，这可以是关键安全措施，尽管避免挂起等待来自LSS152的响应可能是所有安全处理不是由多核处理器的独立核线性实现的关键原因或关键原因之一。在针对所有者特定的处置指令、黑名单和灰名单等进行检查时，可能会强制执行其他挂起。

IPV4分组的512字节SFIOI的64个字可以至少包括：IP头部的3个字(20个字节+4个空字节)；用于标识VN的9个字；用于标识参与方的2个字；用于标识VN的国家/区域来源的1个字；用于指定在SFIOI中据称标识的VN的数量的1个字；用于指定SFIOI的类型(目的)的1个字；末尾处的8个字，其强制为空，并且可以与SFIOI的处理期间的状况更新所使用的页末尾处的存储器空间相对应。其他字可以为空。24核/48线程(例如，AMD)处理器是适合于安全网关系统156的多核处理器的类型的示例，因此在通过线程针对SFIOI实现的处理完成时，8个处理字(64字节)提供足够的字节从而以1-1或更好的方式专用于各线程以进行更新。

数百个或甚至数千个成对的多核处理器和闪速存储器可以统一地安装在任何安全网关系统156处。多核处理器和闪速存储器的对可以以组为单位轮流使用或停止服务。各安全子应用可以检查一个指派的状况字段(从一个指派的状况字段读取)以确保安全子应用在继续之前被清除以处理SFIOI，并且可以在完成处理时更新(写入)至少一个不同的状况字段，使得(一个或多于一个)下一子应用可以在对SFIOI进行其安全处理之前检查更新。安全子应用的集合可以针对各SFIOI至少检查以下项：

○确认在正确的CS150处接收到SFIOI-示例算法涉及检查状况；如果被批准继续，则在VN来源字段读取一个或多于一个字节；将该值与诸如187等的期望值进行比较；并且根据比较结果来更新状况。

○确认SFIOI的净荷大小符合据称在SFIOI中指定的VN数量的预期。例如，如果字段表明SFIOI指定6个VN、并且假定6个VN应在字8、9、10、11、12和13处列出，则子应用可以检查字14、15和16以确保在继续之前这些字中的值为空。

○确认一个或多于一个空字或字节实际为空。

○确认一个或多于一个空位实际为空，诸如在专用于参与方ID的字中的参与方ID之后的位或专用于VN ID的字中的VN ID之后的位。

○验证为VN的据称所有者为实际所有者-示例算法涉及检查状况；如果被批准继续，则在参与方#1ID字段和VN#1ID字段中读取一个或多于一个字节；并且将所读取的数据和页码发送到LSS152-不同子应用接收针对VN#1ID所有权检查的响应，并根据结果更新(一个或多于一个)状况字段。

○检查所有者指令，并发起用以从安全网关系统156打开传出连接的处理，以在被所有者指令要求时对预定通信地址进行多因素认证-示例算法涉及检查状况；如果被批准继续，则在参与方#1ID字段处读取一个或多于一个字节；并且将所读取的数据和页码发送到ID管理系统151以在被所有者要求时发起多因素认证-不同子应用接收来自ID管理系统151的响应，并根据结果更新(一个或多于一个)状况字段。

在进行安全检查之后，安全子应用可以在继续之前针对各512字节的页或扇区标记适当的状况字段，以向连续的安全子应用通知它们是否应进行它们的处理。例如，如果任何安全子应用在任何SFIOI中检测到错误，则安全子应用可以更新所有更新字段的状况，以表明任何子应用针对页上的SFIOI不需要更多处理。这可以通过简单地指示已进行了所有所需处理来进行，使得连续的安全子应用跳过检测到错误的SFIOI。

安全子应用中的一些安全子应用可以生成对CS150内的外部系统(即，安全网关系统156的外部)的查询，并且在等待对查询的回答期间具有任何处理资源暂停将是低效的。CS150内的通信可以使用内部寻址，使得外部参与方可能不知晓安全网关系统156如何从LSS152或ID管理系统151获得信息。被指派了任何IP地址的CS150的唯一元件可以是安全网关系统156。对于向CS150内的永久系统的查询，安全网关系统156处的复杂软件的第一算法集合可以发送查询(例如，对LSS152的所有权查询)，并且安全网关系统156处的复杂软件的第二算法集合可以检查对查询的响应。

在图2A中的用于处理NDC的SFIOI的方法中，在CS接收到SFIOI时，该方法在S211处开始。在S212处，CS读取SFIOI中的批计数、发送方信息和对手方信息、以及VN信息。批计数可以指定在SFIOI中有多少个VN信息字段，使得CS知晓VN信息字段的实质性数据在何处结束。发送方信息和对手方信息可以是CS所使用的通用类型的唯一标识，或者可以翻译为CS所使用的通用类型的其他类型的唯一标识。VN信息可以包括SFIOI中指定的一个或多于一个VN的唯一标识。在S213处，如有必要，则CS翻译发送方和/或对手方信息。也就是说，如果发送方和/或对手方信息不是CS所使用的通用类型，则CS可以将发送方和/或对手方信息翻译为CS所使用的通用类型。在S214处，CS读取VN信息。在S215处，CS判断VN信息与SFIOI中所指示的当前所有权是否匹配。如果VN信息与SFIOI中所指示的当前所有权匹配(S215＝“是”)，则在S216处，CS判断VN信息是否用于SFIOI中所指定的最后一个VN。如果VN不是SFIOI中所指定的最后一个VN(S215＝“否”)，则CS在S217处读取下一VN信息并返回到S215。如果VN是SFIOI中所指定的最后一个VN(S216＝“是”)，则CS在S218处删除SFIOI，并在S219处向查询方或指示方发送响应。此外，如果CS在任何时间判断为VN信息与SFIOI中所指示的当前所有权不匹配(S215＝“否”)，则CS在S218处删除SFIOI，并且可以在S219处向查询方或指示方发送响应。

在图2B中的用于处理SFIOI的方法中，发送方发送在S221处由CS接收的转移SFIOI。通常，来自适当发送方的转移SFIOI应由CS接受。然而，如果CS被编程为确认从据称接收方接收到VN，则CS可以进行图2B所示的方法的其余部分。在S222处，CS将SFIOI的VN信息存储在高速缓存中并启动第一计时器。第一计时器例如可以是两分钟、五分钟、或者CS可能预期接收方接收(一个或多于一个)VN并向CS确认接收的另一相对较较短的时间段。在S223处，CS等待第一时间。在第一时间已到时，CS在S224处检查接收方是否确认了(一个或多于一个)VN的接收。如果接收方确认了(一个或多于一个)VN的接收(S224＝“是”)，则CS在S226处更新(一个或多于一个)VN的记录并清除高速缓存。如果接收方未确认(一个或多于一个)VN的接收(S224＝“否”)，则在S225处，CS向接收方发送查询并启动第二计时器。第二计时器可以与第一计时器相同或比第一计时器更长。例如，第二计时器在接收方休眠或以其他方式被占用的情况下可以大于一天。在S227处，CS等待第二时间。S227处的等待可能是预防性的，并且诸如在默认假定是接收到VN的情况下等不必一定需要该等待。在第二时间经过之后，在S228处，CS判断接收方是否确认了接收。如果接收方在第二时间之后未确认接收(S228＝“否”)，则CS在S229处向发送方和接收方通知转移的取消并清除高速缓存。如果接收方在第二时间之后确认了接收(S228＝“是”)，则接收方在S226处更新(一个或多于一个)VN的记录并清除高速缓存。

在由CS接收到转移SFIOI时，图2C中的确认针对NDC的VN的转移SFIOI的方法从S251开始。转移SFIOI可以包括唯一地标识VN的唯一标识、标识VN的接收方的标识、以及标识VN的源的标识。在基于图2C的实施例中，在基于转移SFIOI更新VN的电子历史之前可以发生三个单独处理。在S252处，针对接收方检索参与方信息。参与方信息可以是标识参与方的一个或多于一个形式的唯一标识。参与方信息可以包括个人信息、装置信息、账户信息和/或程序信息。在S253，检索参与方黑名单和参与方灰名单。例如，CS150可以存储黑名单和灰名单。与黑名单和灰名单分开地，诸如针对涉及大量VN的交易或涉及在相对短的时间范围内参与许多其他交易的参与方的交易等，可以强制实行其他形式的监控。例如，在VN的源或VN的接收方对于VN的使用相对新、或使用相对新的唯一标识来标识自身时，可以对VN的源和/或VN的接收方的历史进行标记。在S254处，将参与方信息与参与方黑名单和参与方灰名单进行比较。比较可以是简单的模式匹配，以查看针对接收方所提交的信息是否与参与方黑名单和参与方灰名单其中之一上的条目匹配。在S255处，如果根据S254处的比较存在匹配，则进行动作。动作可以包括在存在与灰名单的匹配的情况下通知诸如政府机构等的第三方、或者简单地将转移的条目添加到针对正在监控的接收方所维持的记录。对于黑名单，动作可以简单地包括向接收方和/或VN的源通知源未被授权转移VN或接收方未被授权接收VN。

在第二子处理中，在S256处，检索VN信息。在S257处，检索VN黑名单和VN灰名单。在S258处，将经受转移SFIOI的VN的VN信息与VN黑名单和VN灰名单进行比较。S258处的比较可以是简单模式匹配，以查看唯一地标识VN的唯一标识是否与任何VN黑名单或VN灰名单上的条目匹配。在S259处，如果根据S258处的比较存在匹配，则进行动作。在S259处可以进行的动作可以包括：在VN在灰名单上的情况下更新VN的记录。用于匹配灰名单的动作还可以包括：通过命令将VN提供给CS150以对VN的文件进行检验，或者命令由ECD处的货币读取器程序或电子钱包程序对VN的文件进行检验，来发起对VN的检验要求。对于与黑名单上的条目的匹配，在S259处采取的动作可以包括向VN的接收方和源简单地通知VN没有资格被转移。

对于第三子处理，在S260处，可以检索针对VN所登记的所有者信息。第三子处理可以是针对VN选择性地应用或始终应用的反欺骗处理。在S261处，针对所登记的所有者VN生成通知。通知可以是向VN的登记所有者的记录上的通信地址，并且可以包括用于文本消息的电话号、电子邮件地址或用于推送通知的另一形式的通信地址。通信地址可以从由CS150针对被登记为与VN进行交易的参与方所维持的记录来获得，并且可以完全独立于在S251处被提供了转移SFIOI的任何参与方信息而获得。在S262处，诸如经由文本消息、电子邮件或经由推送通知等发送通知。在S263处，第三子处理包括在授权记录中的所有权的转移之前等待来自所登记的所有者的肯定确认。第三子处理可以由VN的源预期，并且可以在源发出转移SFIOI的数秒内通过宽带因特网网络提供，即使在该源相对于CS150在世界的另一侧时也是如此。

在S264处，图2C的处理包括判断转移是否OK。仅在第一子处理和第二子处理中不存在与黑名单的匹配的情况下、在第一子处理和/或第二子处理中满足针对灰名单的任何要求的情况下、以及/或者如果在第三子处理中接收到确认的情况下，所有权的转移才是OK的。在S265处，如果转移OK(S264＝“是”)，则更新VN的电子历史。附加地，可以向VN的接收方通知VN的电子历史已被成功更新。在S266处，如果转移不OK(S264＝“否”)，则拒绝转移。附加地，可以向VN的接收方和VN的源这两者通知VN的电子历史未被更新。

图2C的处理可以在正在转移VN的所有权的任何时间进行，并且与通常针对对手方进行的查询处理分开。在基于图2C的各种实施例中，图2C的子处理中的一些可以被省略，或者用其他子处理替换或补充。图2C的处理中的更新可以实时地或近实时地进行，或者可以在一些方面周期性地但不是实时地或近实时地进行。例如，在CS150的完整记录集合存储在中央位置时，可以每12或24小时更新完整记录集合。远离中央位置的中间系统可以累积12或24小时的更新，然后利用所累积的更新来周期性地更新CS150。附加地，仅存储诸如各VN的当前所有者等的有限记录并且可以用于实时所有权查询的LSS可以被实时更新，并且可以与存储完整记录集合的中央位置以及与累积诸如12或24小时等的时间段的更新的任何中间系统物理地分离。在一些实施例中，主存储器系统可以被实时更新，然后可以用于更新存储诸如VN的当前所有权等的有限记录的辅助LSS。在一些实施例中，可以为主备份记录系统、辅助备份记录系统和/或第三备份记录系统提供延迟更新，而不是针对需要更新记录以提供对主动所有权查询的响应的记录系统提供延迟更新。

在图2D中的CS处理针对一个或多于一个VN的所有权查询所用的方法中，在S231处，CS接收一个或多于一个VN的所有权SFIOI。所有权SFIOI可以包括查询方的参与方标识、据称所有者的参与方标识、以及一个或多于一个VN的(一个或多于一个)唯一标识。所有权SFIOI可以由CS150的安全网关系统156接收。在S232处，为了安全起见，CS开始对所有权SFIOI进行预处理。在S232处，CS读取VN计数。在S232处，CS还将VN计数与SFIOI中的VN信息的字段中的VN信息的实质大小进行核对。CS可以包括基于VN计数的大小应预期的SFIOI中的字节数范围，并且如果VN信息的字段中的实质性信息的大小超过预期大小，则可以在S232处删除所有权SFIOI。

CS处的安全检查可以通过以下进行：通过专用于重复地针对SFIOI的特定字段重复性地进行(一个或多于一个)相同任务的线程、核或处理器来系统地处理传入SFIOI，以及掩蔽或以其他方式消隐未被作为其指令的一部分读取的读取字(例如，64位字)中的任何其他位。在S233处，CS从所有权SFIOI检索参与方信息。参与方信息可以包括针对各参与方在4字节和8字节之间，并且可以被提供作为SFIOI中的分组净荷的预定字段中的参与方标识。如果许可，则进行从S233到S239的处理以解决混叠。例如，可以向参与方指派用于CS的通用标识，但也可以将诸如电话号、驾驶执照号、电子邮件地址等的其他标识与通用标识相关。在S234处，CS识别并确认在参与方标识中指定的国家和州或地区。在一些实施例中，甚至通用标识可以包括国家代码，使得CS可以识别出主要登记到其他CS的外部参与方。在使用诸如由美国的州颁发的驾驶执照等的州标识作为参与方信息时，该州标识还可以指定参与方标识来自哪个州。在S234处，CS识别并确认在参与方标识的字段中指定的国家和州/地区。如果国家是由CS表示的国家，则CS可以使用状态/区域字段的数据来检查指定州/区域的参与方标识的期望格式。在S235处，CS判断参与方信息是否是通用参与方标识类型。例如，各自跟踪自身的NDC的数个国家可以关于通用参与方ID的格式(诸如16位标识等，其中前2或3位指示参与方登记到哪个州)达成一致。在S235处，CS判断参与方标识是否为通用参与方标识类型。例如，通用参与方标识类型可以包括诸如社会安全号等的国家标识、或者诸如州驾驶执照号或州标识号等的州标识。CS可被配置为通用地处理参与方ID，使得仅接受并处理通用ID。如果参与方标识为通用参与方标识类型(S235＝“是”)，则在S239处检索并确认来自最终字段的通用ID号。在S236处，如果参与方标识类型不是通用ID(S235＝“否”)，则CS标识ID类型。例如，ID类型可以指定社交网络ID和社交网络的身份、或者通信地址ID和提供与通信地址ID相对应的通信账户的通信或服务提供商的类型的身份。在实施例中，ID类型可以是电话号。在另一实施例中，ID类型可以是由与参与方ID相对应的用户所使用的货币读取器程序或电子钱包程序的应用标识。在S237处，CS检索并确认ID号。在S237处，检索并确认在S236处标识的ID类型的ID号。可以以特定于ID类型的格式来格式化ID号，因此S237处的确认可以包括将ID号(的例如长度)与ID类型的一个或多于一个预定参数进行核对。在S238处，CS将ID号翻译为CS所使用的通用ID号。翻译可以涉及从数据库中的查找表检索通用ID。在仅使用通用ID进行CS处的处理时可以使用通用ID，尽管CS接受SFIOI中的其他ID类型。在S239处，在S238处的翻译之后或者在参与方信息为通用参与方标识类型(S235＝“是”)的情况下，CS检索并确认通用ID号。在S239处，CS检索并确认通用ID号。无论是否翻译，通用ID号都可用于核对灰名单和黑名单。当然，也可以针对通用ID和其他类型的ID这两者提供灰名单和黑名单，使得可以识别被禁止使用VN或经受监控的参与方，并相应地处理交易。附加地，基于转移SFIOI并且假定转移被授权，可以更新参与方的记录以反映VN正被提供到参与方或转移到另一参与方。在S240处，CS将(一个或多于一个)VN与(一个或多于一个)VN的电子历史进行比较，以判断(一个或多于一个)VN的当前所有者是否是在所有权SFIOI中由在S231处接收到的通用参与方标识列出的参与方。之后，CS诸如通过简单的是或否等对请求方做出响应。

在图2E中的CS处理针对一个或多于一个VN的转移SFIOI所用的方法中，在S270处，CS接收针对一个或多于一个VN的转移SFIOI。转移SFIOI可以指定指示方的参与方标识、接收方的参与方标识、以及一个或多于一个VN的(一个或多于一个)唯一标识。在S272处，为了安全起见，CS开始对转移SFIOI进行预处理。关于图2D所述的预处理的各方面在本文中不是全部被重复，但关于图2D所述的预处理的大部分或全部同样适用于图2E中的预处理。在S272处，CS读取转移SFIOI中的VN计数。在S272处，CS还将VN计数与转移SFIOI中的VN信息字段中的实质性数据的实际大小进行核对。CS可以包括针对不同潜在VN计数的VN信息中的实质性数据的预期大小的范围，并且如果实质性数据的大小超过预期大小，则可以在S272处删除转移SFIOI。在S273处，CS从转移SFIOI检索参与方信息。如果许可，则进行从S273到S279的处理以解决混叠。在S274处，CS识别并确认在参与方标识中指定的国家和州或区域。在S275处，CS判断参与方信息是否是通用参与方标识类型。在S276处，如果参与方标识类型不是通用ID(S275＝“否”)，则CS标识该ID类型。在S277处，CS检索并确认ID号。在S278处，CS将ID号翻译为CS所使用的通用ID号。在S279处，在S278处的翻译之后或者在参与方信息是通用参与方标识类型(S275＝“是”)的情况下，CS检索并确认通用ID号。在S280处，CS将(一个或多于一个)VN与(一个或多于一个)VN的电子历史进行比较，以判断(一个或多于一个)VN的当前所有者是否是在转移SFIOI中在S270处接收到的通用参与方标识所列出的参与方。之后，CS诸如通过确认将更新(一个或多于一个)VN的电子历史等，对指示方进行响应。

在图2D和图2E中，在CS处接收到SFIOI时，处理参与方标识。CS150可被配置为仅接受通用ID作为参与方ID，或可被配置为接受并处理多个类型的参与方ID。附加地，在CS接收多个类型的参与方ID时，CS150可以将该多个类型翻译为通用ID类型以用于一致处理，或可以按原样处理各个不同类型，只要接受了这些不同类型即可。

在基于图2D和/或图2E的一些实施例中，CS150可以将不同的替代ID存储在不同数据库中，使得替代ID的各不同集合与替代ID的所有其他集合隔离开。例如，CS150可以存储用于将美国的所有电话号翻译成CS所使用的相应通用ID的第一翻译表数据库、以及用于将所有货币读取器标识翻译成相应通用ID的另一翻译表数据库。当然，可以将多于2个单独的数据库配置用于向通用ID的翻译。每当接收到替代ID作为传入SFIOI的一部分时，可以使用用于不同类型ID的翻译的不同存储器的存储器布置的隔离来确保通用ID的最快可能查找。

作为用于存储通用ID的替代的查找表的替代，可以将通用ID编号系统设计为使得可以从诸如大型社交网络提供商和通信服务提供商等的经批准的源来接受替代ID。例如，如果将11位通用ID用于多达999亿人的人口，则可以使用末尾的第12位来指定SFIOI是来自于大型社交网络提供商或通信服务提供商处的特定账户还是来自于大型社交网络提供商或通信服务提供商。作为示例，用户99999999999(11位)可以使用9999999991(12位)来指定来自用户的Facebook消息传递账户的指令，使用999999999992(12位)来指定来自用户的Gmail账户的指令，使用999999999993(12位)来指定来自用户的Verizon消息传递账户的指令，等等。如果将10位通用ID用于最多99.9亿人的人口，则可以使用末尾的第11位和第12位来指定多达99个不同账户或其他特性以向中央跟踪系统发送SFIOI。该备选方案是将唯一社交媒体标识、电子邮件地址、电话号或其他替代发送到由CS查找的通用ID的备选方案。

图2F中的针对NDC的监控、检验和替换方法通过接收灰名单检测通知而从S290开始。在检测到灰名单上的VN向或从灰名单上的参与方的移动的通知时，可以在CS150处生成灰名单检测通知。CS150可以具有设置成针对一些或所有这样的通知发起图2F的处理的自动化处理。在S291处，向VN的新所有者提供预期的VN特性以及用以将预期的VN特性与VN进行比较并报告结果的指令。在S292处，判断是否发生匹配。S292处的判断可以在货币读取器程序或电子钱包程序分析VN之后从VN的新所有者作为通知结果而接收。如果存在匹配，则图2F的处理在S293处结束。如果不存在匹配，则在S294处，CS150可以将VN交换为相同面额的替换VN。例如，CS150可以指示ECD转发与期望的VN特性不匹配的VN，然后向ECD提供新的VN作为替换。图2F的处理可导致出于任何数量的原因的交换，这些原因包括试图篡改、成功篡改、磨损、老化、伪造、通过经由灰名单监控所有者或地理区域或国家的通行、或者对VN不包括预期特性的任何其他解释。S294处的交换通常被预期用于磨损，诸如在通过电子通信网络的通信期间来自丢弃分组的数据的丢失等。

在图3A中的针对NDC的基于云的交易流中，如本文所述，数据中心340用于处理由CS管理的大量数据。图3A中的基础设施包括装置101、装置102、一个或多于一个电子通信网络130、CS150和数据中心340。装置101在步骤A处通过(一个或多于一个)电子通信网络130向CS150发起通信。步骤A处的通信可以是用以从装置101向装置102转移VN的转移SFIOI。在步骤B处，CS150向数据中心340发送用以验证和/或检索信息的请求。步骤B处的用以验证和/或检索信息的请求可以是用以确认VN由装置101的所有者拥有的请求。在步骤C处，数据中心340用验证或所请求的信息进行响应。步骤C处的验证或所请求的信息可以确认VN由装置101的所有者拥有。CS150在步骤D处向装置102发起通信。步骤D处的通信可以是向装置102的如下通知：通过来自装置101的指令，VN将被转移到装置102。尽管在图3A中步骤A处的通信是来自装置101，但在替代实施例中，CS150可以从装置102或从装置101和装置102这两者接收步骤A处的通信。在步骤E处，CS150对装置101进行响应，诸如基于来自步骤C的验证或所请求的信息来确认转移SFIOI等。使用图3A中的基础设施，可以验证、转移和跟踪NDC的VN。例如，在装置101正在请求将VN转移到装置102时，CS150可以检查数据中心340处的记录，并在VN属于装置101时向装置102通知转移。CS150可以更新数据中心340处的记录。

数据中心340可以存储大量数据。存储在数据中心340处且可从数据中心340检索以供使用的数据可以包括：

○VN的灰名单：当前被怀疑参与有问题活动的VN的列表，包括每当正在转移VN时针对灰名单上的各VN的处置指令。

○VN的黑名单：已被报告丢失、被盗、已收回且不应涉及转移的VN的列表，包括针对据称正在转移黑名单上的VN的各个实例的处置指令。

○参与方的灰名单：被怀疑参与有问题活动的参与方、ECD、货币读取器程序和电子钱包程序的列表，包括每当灰名单上的条目在SFIOI中被提供作为转移方或受让方时的处置指令。

○参与方的黑名单：出于任何原因而被禁止参与使用VN的参与方、ECD、货币读取器程序和电子钱包程序的列表，包括每当黑名单上的条目在SFIOI中被提供作为转移方或受让方时的处置指令。

图3A中的数据中心340代表可用于存储CS150的数据的一个或多于一个数据中心，并且代表用于实现NDC的任何其他形式的大规模存储。即使数据中心340除了通过安全网关系统156以外以其他方式与公众隔离，数据中心340也可以提供图1C的元件中的一个或多于一个。

图3A中的数据中心340也可以被实现为NDC的云配置的一部分，其包括将NDC的设备和操作与其他参与方和使用的设备和操作隔离的私有云配置。数据中心340可以使用固态驱动器(SSD)阵列来实现。SSD在速度更快、电力使用更低等方面，可能比硬盘驱动器(HDD)更优选。

另外，VN可以在元数据字段中包括对公众无用的私有地址。私有地址可以是可由CS150解释的地址，并且可以包括私有服务器或数据库地址，或者甚至私有服务器或数据库地址的特定端口地址。这样，如果VN将针对VN的记录的更新发送回甚至私有云，则CS150可以解包更新的一部分以识别哪个私有服务器或数据库地址存储VN的记录。这可以用作基于VN的唯一标识的寻址的补充或替代，使得即使CS甚至部分地使用VN的唯一标识来识别用于存储VN的记录的服务器和数据库的子组，由VN发送的私有地址也可用于针对任何公共地址不可达到的组件来指定服务器、数据库、服务器端口、数据库端口或子组内的其他内部通信地址。

在图3B中的用于存储NDC的VN的记录的系统中，过滤/隔离系统349在SFIOI被CS150接收之前对SFIOI进行过滤和隔离。过滤/隔离系统349可以检验各SFIOI以确保各SFIOI符合SFIOI的要求。该检验可以涉及用于确定各SFIOI的数据大小、各SFIOI的类型、各SFIOI中的预期信息顺序和/或可从SFIOI导出的任何其他类型的信息的大小检查。过滤/隔离系统349可以用于两个目的：1，通过确保SFIOI不包含可能损坏第一存储器子系统151A和LSS152中的任一个的可执行代码来滤除任何黑客尝试；2，严格确保SFIOI满足要求。过滤/隔离系统349可以包括图1C的安全网关系统156或包括在图1C的安全网关系统156中、或者以其他方式与图1C的安全网关系统156集成，或者可以是安全网关系统156的替代。

图4A中的安全网关系统处理接收到的SFIOI的方法是在安全网关系统156处进行的安全检查的概述，并且在S402A处通过将分组净荷存储在地址空间中开始。分组大小可以被标准化以供在安全网关系统处进行处理。例如，SFIOI分组可以是512字节，然后单独存储在闪速存储器的页中，以供在安全网关系统处进行处理。可以在无需发起连接的情况下从世界上的任何地方异步地发送分组，使得如果分组被处理并且满足安全网关系统的期望，则发送方可以期望快速响应。当然，这里的教导不限于512字节或者所有都是统一大小的分组，因为这些细节在某些方面可以被认为是最佳的。出于与标准化以及统一处理和存储相关的类似原因，分组也可以被标准化为512字节的分数或倍数。在S404A处，检查以字节为单位的分组净荷的大小。例如，所检查的大小可以是分组中的有意义数据的量，例如除头部以外的所有数据等。只要交易中的参与方可以仅由少至4个字节唯一地标识，并且只要SFIOI中指定的VN可以由少至5个字节唯一地标识，如果未提供其他字段，则指定7个VN的SFIOI可以包括少至43个字节的有意义数据。然而，可能需要其他字段，诸如用于发行VN的国家或地区的字段(1字节)、用于指定面额的各VN的单独字段(如果不是在VN标识中隐含，则针对各VN为1字节)、用于据称在SFIOI中标识的VN的数量的单独字段(1字节)、用于正分批单独发送的分组总数中的相对放置的单独字段(1字节)、等等。可以在分组的头部中指定分组中的有意义数据的总长度，并且可以将该头部信息与地址空间中所存储的有意义数据的实际长度进行比较。在S408A处，确定据称在SFIOI中标识的VN的数量。据称在SFIOI中标识的VN的数量可以在SFIOI的特定字节中指定。在S410A处，根据S408A处确定的数量来建立分组中的有意义数据的预期大小，并且将S410A处确定的预期大小与S404A处确定的实际大小进行比较。当然，如果存在差异，则可以从地址空间中删除分组，因为一旦识别出威胁或潜在威胁，安全网关系统就可以一贯地消除任何威胁或潜在威胁。在S412A处，确定SFIOI中指定的VN的据称所有者标识。据称所有者可以由SFIOI中的少至4个指定字节来标识。在S414A处，将据称所有者标识连同各单独VN标识一起发送以进行所有权检查。可以将据称所有者标识连同各单独VN标识一起在单个通信中或作为一批单独通信发送到图1C中的LSS152。作为提醒，LSS 152可以包括各VN的仅当前所有者的记录、或者比主存储器系统153中所存储的任何VN或参与方的完整记录少的另一数据集合。在S416A处，对来自VN的实际所有者的存储指令(如果存在任何这样的指令)进行检查。S416A处的检查在主存储器系统153中存储来自VN的所有者的处理指令的情况下可以针对主存储器系统153，或者在LSS152中存储来自VN的所有者的处理指令的情况下可以针对LSS152，或者在存储处理指令的另一存储系统与LSS152和主存储器系统153分开的情况下可以针对该另一存储系统。在S418A处，反欺骗在由在S416A处检查的存储指令指示的情况下发起。例如，VN的所有者可以指定应在由所有者拥有的VN经受向CS150的SFIOI的任何时间调用多因素认证。在S420A处，检查SFIOI的类型。该类型可以包括查询、转移到另一参与方的指令、转移到同一所有者的不同账户或装置的指令、特殊处理的指令等。在S422A处，根据所检查的类型来处理SFIOI。如果指令是转移VN的所有权的指令，则可以向主存储器系统153发送指令以更新VN的所有权记录并且可以将单独确认发送到指令的源。如果指令是关于VN的所有权的查询，则可以向该指令的源发送将所有权确认为在SFIOI标识的据称所有者(如果正确)的确认。在一些实施例中，可以对VN的唯一标识进行加密，使得对手方可以在不知晓唯一标识的情况下将加密后的唯一标识发送到CS150以确认VN的面额和所有权，直到交易实际发生为止。因而，处理还可以包括在SFIOI是所有权查询时对VN的唯一标识进行解密，并且VN的唯一标识仅可由CS150解密，并且具体地由安全网关系统156解密。其他处理可以涉及向跟踪其他NDC的其他CS的通知、或者由安全网关系统156处理的其他指令或确认。

在图4B中的安全网关系统的处理装置中，第一服务器41561处的核集合参考1对1地存储各个地址空间的状况的状况空间。状况空间可以是与在因特网路由器和交换机中使用的工作存储器类似的RAM，并且地址空间可以是闪速存储器。在这方面，尽管地址空间可以适合512字节或另一相对较大量的准确SFIOI大小，但状况空间可以约为4字节。例如，在4字节或可能的5字节内，状况空间可以指定它们对应于哪个地址空间以及地址空间的实际状况。状况可以指定哪个核接下来要处理地址空间和/或哪个核最后处理了地址空间。这样，在状况指示核将处理相应地址空间中的分组净荷时，核集合可以顺次参考状况空间并处理相应地址空间中的分组净荷。第一核(核#1)应在以第一地址空间(AS1)开始的任何地址空间上开始处理，然后更新相应的状况空间(SS1)，然后开始处理第二地址空间(AS2)，然后更新相应的状况空间(SS2)。一旦第一状况空间(SS1)指示其余核开始利用第一地址空间的处理，其余核将开始利用第一地址空间的处理，然后在利用下一状况空间进行检查之前更新第一状况空间(SS1)。当然，如果任何处理指示相应地址空间中的分组净荷应被删除或以其他方式被单独保留，则可以更新状况空间中的状况以反映指示删除的状况，诸如指示下一处理将是删除的“99”等。在针对任何地址空间的处理完成时，还应更新相应地址空间中的状况以反映下一处理将是删除。这样，一旦分隔间(bay)X中的所有分组净荷被定期处理并准备好被删除，相应状况空间中的最后一个状况可以统一地反映指示删除的状况。在分隔间X被完全删除时，分隔间X可以重新进入另一批传入分组的循环。分隔间在使用之后可以被给予诸如30或60分钟等的中断，以使得电路能够冷却等。

在图4B中，在核识别出尚不需要核时，可以触发核以延迟处理。然而，在核每分钟处理40000个或更多分组的情况下，处理的延迟可以非常小，诸如1/4秒或1/10秒或更小等。在1/4秒内，核应能够前进约170个分组。考虑到简单性以及处理和存储器资源的优点，基于图4B的实施例可以将相对较多的地址空间用于相对较多量的接收分组。例如，图4B中的第一服务器41561可以在较新的分组切换到第二服务器或至少切换到第一服务器41561的另一分隔间之前在5分钟内接受200000个或更多个分组。在实现CS150之前，可以进行测试以优化任何服务器进行操作在旋转脱线之前接收和处理分组的时间。还可以进行测试以优化一次使用多少个服务器、传入分组如何分发到不同服务器、等等。

在一些实施例中，图4B中的核被参考状况空间而非各个核的各个线程替代，只要核可以实现多个线程并因此可以在相同的地址空间上进行多个处理、并且不止一次地更新相应的状态空间即可。

在图4C的安全网关系统处理接收到的SFIOI的方法中，资源在安全网关系统156处分别和单独地处理地址空间中的分组净荷。在图4C的方法开始之前，接收到分组。对于NDC，可以按每分钟成千上万次的速率并且可能至少在几天内按每分钟更大的速率来预期SFIOI。因此，分组被接收到并被立即写入顺序地址空间，使得可以处理分组。在处理了分隔间中的所有分组之后，可以通过删除分隔间中的所有地址空间中的数据来清除这些地址空间。在S402B处，将分组净荷存储在地址空间中。具有分组净荷的分组的头部也可以存储在地址空间中，并且在图4C的方法中，来自分组净荷和头部这两者的数据可以由资源检索并处理。

在S404B处，由第一资源(即，资源1)检查以字节为单位的分组净荷的大小。第一资源可以是线程、核或处理器，并且可以是针对分隔间中的地址空间以一次一个的方式迭代地进行(一个或多于一个)相同处理的资源。可以通过查看地址空间中的有意义数据的存在(诸如通过搜索用于指定分组净荷的结束的结束模式和/或读取头部中的分组大小字段等)来检查分组净荷的大小。结束模式可以用于SFIOI以指定分组净荷的最后一个字节。在一些实施例中，可以将来自头部的分组大小数据与对地址空间中的有意义数据的存在的搜索结果进行比较。也可以将分组大小数据和地址空间中的有意义数据的实际大小与一个或多于一个预定阈值(诸如针对SFIOI允许的最大大小或准确大小等)进行比较。

在S406A处，判断所检查的大小是否OK。如果所检查的大小不OK(诸如如果分组大小数据和/或地址空间中的有意义数据的实际大小指示分组净荷大于针对SFIOI允许的最大大小或准确大小等)，则在S406C处从地址空间删除分组或标记该分组以供删除。如果所检查的大小OK，则在S406B处，使第一资源递增，并且将在S404B处刚刚检查了分组净荷大小的地址空间添加到将处理该地址空间的下一资源(即，资源#2)的地址队列。在S408B处，在SFIOI中据称标识的VN的数量由第二资源(即，资源#2)确定。该数量可以在SFIOI所需的字段中诸如由字节或甚至少于8位等指定。在S408C处，使第二资源递增，并且将确定了在SFIOI中据称标识的VN的数量的地址空间添加到将处理地址空间的下一资源(资源3)的地址队列。在S410B处，根据在S408B处确定的VN的数量来建立分组净荷的预期大小。由于VN标识应具有统一的大小，因此可以基于VN的数量预先确定分组净荷的预期大小。附加地，由于可以使可在分组中指定的VN的数量保持在或低于诸如7个等的最大值，因此也可以使分组净荷的潜在大小最小化到诸如7个等的数量。在S410B处，将预期大小与来自S404B的所检查的大小进行比较。预期大小应与所检查的大小匹配，尽管由于尚不明显的原因可能将容许小差异。

在S410C处，判断S410B处的比较是否导致匹配(ok)还是不匹配(不ok)。如果期望大小和所检查的大小匹配(S410C＝“是”)，则在S410D处，使第三资源递增，并且将在S410B刚刚进行比较的地址空间添加到将处理该地址空间的下一资源(资源4)的地址队列。如果预期大小和所检查的大小不匹配(S410C＝“否”)，则在S410E处从地址空间删除分组或标记该分组以供删除。

在S412B处，由第四资源来确定VN的据称所有者的参与方标识和据称对手方(如果有的话)的参与方标识，然后由第四资源发送以进行聚合检查。使第四资源递增，并且将刚刚在S412B处做出判断的地址空间添加到接下来的7个资源(资源5至11)的(一个或多于一个)队列。通过向CS150的单独部分(诸如向ID管理系统151等)发送内部查询来进行针对所有者和对手方标识的聚合检查。聚合检查可以涉及检查以查看VN的据称所有者的参与方标识和据称对手方(如果有的话)的参与方标识是否在黑名单或灰名单上。可以与图4C的方法的其余部分并行地进行聚合检查，使得可以在稍后进行S422B之前接收应防止在S422B处执行对SFIOI的响应的任何结果。附加地，在针对SFIOI所允许的VN的最大数量为7个的示例中，将地址空间添加到接下来的7个资源的(一个或多于一个)队列；然而，在一些实施例中，资源一次处理多于1个VN标识，并且在一些实施例中，最大数量小于7个或大于7个。在S414B处，据称所有者标识和各VN标识可以被单独发送以由接下来的七个资源(资源5至11)进行所有权检查。所有权检查可以通过向LSS152发送内部查询来进行，并且可以涉及VN的据称所有者是否与VN的所列出的所有者匹配的简单比较。将正进行所有权检查的SFIOI的地址空间添加到接下来的7个资源(资源12至18)的(一个或多于一个)队列。可以进行将另一资源集合用于响应，使得没有资源正在发送查询以及等待响应这两者，以最大化在安全网关系统156处的处理中所使用的资源的效率。

在S414C处，对S414B处的所有权检查的响应由接下来的7个资源(资源12至18)各自接收，并且例如可以指定当前所有者的匹配或不匹配。换句话说，甚至单个位也可用于表示所有权检查的匹配或不匹配。S414C处的响应可以简单地指定正在检查的分组净荷的地址空间、以及在分组净荷中正在检查的相对VN或在S414B处作出请求的资源。在S414D处，检查S414B出的所有所有权查询是否都得到匹配。如果S414B处的所有所有权查询根据S414C处接收到的结果得到匹配(S414D＝“是”)，则在S414E处使第十二资源至第十八资源递增，并且将地址空间添加到下一资源(即，资源19)的队列。如果S414B处的任何所有权查询均未得到匹配(S414D＝“否”)，则在S414F处从地址空间中删除分组或者标记分组以供删除。

在S416B处，由资源19对来自实际所有者的存储指令(如果有的话)进行检查。可以通过向主存储器系统153发送针对任何VN的查询来进行检查，以查找实际所有者并查看是否指定了任何处置指令。例如，所有者可以指定在不使用多因素认证、不在电话呼叫或电子邮件中或经由其他机制或另一类型的特殊处置确认转移的情况下，不从其所有权转移任何VN。在发送查询之后，资源19可以使地址空间递增并将该地址空间添加到下一资源(即，资源20)的队列。在一些实施例中，VN的所有者指令可以存储在LSS152处，或者存储在与LSS152并行设置但针对所有者存储与用于处置他们拥有的VN的任何特殊指令有关的粗略信息的另一系统(未示出)中。例如，所有者可以指定在无多因素认证的情况下、或者在所有者没有首先预先更新粗略信息以允许转移的情况下，将不转移VN，

在S418B处，第二十资源在由来自S416B的对第十九资源的查询的响应指示的情况下，发起反欺骗措施。可以通过发起多因素认证检查、然后使另一资源(图4C中未示出)等待认证来进行反欺骗。在一些实施例中，多因素认证可以包括动态地生成代码(诸如2个字符的集合等)，并且将代码或字符发送到预定通信地址(诸如VN的实际所有者的电话号等)。实际所有者可能要求在确认转移的响应中键入2个字符。尽管可以包括更多处理，但由于在页上未剩余空间以适当地示出更多处理，因此在图4C中未示出等待对反欺骗检查的响应并且处理该响应的详情。在反欺骗检查之后，进行反欺骗检查的(一个或多于一个)资源递增，并将该资源的地址空间添加到下一资源的(一个或多于一个)队列。

在S420B处，下一资源(即，资源21)检查SFIOI的类型。在S420C处，使资源21递增，并且将分组的地址空间添加到实际处理SFIOI的下一资源的队列。处理SFIOI的资源的数量可以根据基于SFIOI可以进行多少个不同类型的不同动作而不同。在S422B处，SFIOI由接下来的资源(资源22+)中的一个或多于一个处理。处理可以包括：在主存储器系统153处发送更新所有权和所有者记录的指令，并确认向源的转移SFIOI，或简单地确认对源的所有权查询。由于在S414B处检查了所有权、并且如果所有权查询具有一个或多于一个否定结果则SFIOI已得到回答或被删除或被标记以供删除，因此可以在无需任何进一步的查询的情况下默认进行任何所有权查询的确认。其他类型的处理是可能的，诸如更新处置指令、或者转移所有权记录以反映所有者将特定VN从一个托管账户移动到另一托管账户或从一个装置移动到另一装置等。

图4D中的CS的存储器系统处的聚合安全检查的方法可以在主存储器系统153处或由主存储器系统153进行，在AI和分析系统154处或由AI和分析系统154进行，或者在CS150的另一元件处进行。可以进行该方法以检查任何转移中的发起方和/或对手方的模式，诸如查看账户是被可疑地耗尽还是被可疑地填充等。由于怀疑针对不同的人、地点和时间可以是相对的，因此可以应用不同的阈值和分析来寻找不同的模式。

在S430处，接收到针对所转移的VN的记录更新。记录更新可以存储在VN的历史、以及发起方和对手方的历史中。可以将不同的算法应用于VN的历史和发起方的历史以检查模式的不同特性。在S431处，确定(一个或多于一个)最近时间段内的受让方和转移方的总金额。总金额可以是在过去的60秒、5分钟、30分钟、1小时、24小时和/或其他时间量内向受让方和转移方或者从受让方和转移方转移的总金额。在S432处，将总金额与阈值进行比较，以查看总金额是否高于阈值。S432的比较可以涉及不同总金额与不同阈值的比较，并且阈值可以针对不同的参与方(诸如基于最近时间段中参与方所拥有的平均值或最高金额或最低金额等)而变化。这样，确定可以识别出：在一天内通过3次或4次交易以所有者的名义从所有者移除$1000中的$800这一操作是可疑的，但在一天内通过3次或4次交易以所有者的名义从所有者移除$10000中的$800这一操作是不可疑的。因此，诸如CS150等的本文所述的CS可以针对各交易检查VN的源的历史和/或VN的接收方的历史，以在VN的源和/或VN的接收方参与异常大量的交易或异常大金额的交易时进行标记。如果总金额中的一个或多于一个高于(一个或多于一个)相应阈值(S432＝“是”)，则在S433处可以将相应参与方添加到黑名单或灰名单。如果总金额不高于相应阈值(S432＝“否”)，则可以进行附加检查。黑名单还可以列出呈现不拥有或伪造的VN的参与方，以及/或者可以列出如下的参与方，这些参与方呈现对手方以及不与正在呈现的对手方相对应的VN的信息(例如，作为VN_info)，或者不同意转移VN。黑名单还可以列出被禁止接收VN的参与方，并且灰名单可以列出受到监控的参与方。黑名单可以包括被识别为向CS150提交针对所有权查询的VN的源的不正确据称标识的参与方、被识别为向CS150提交未经授权的转移SFIOI的参与方、经受所检测到的欺骗攻击的参与方、被识别为试图更改VN的参与方、或者CS150发现有理由禁止接收VN的所有权的任何其他参与方。黑名单可以指定处置了被报告丢失或被盗的VN的诸如货币读取器程序和钱包程序等的信息，并且不限于仅列出参与方的唯一身份。

灰名单可以包括受政府或监管机构对可疑活动(诸如潜在犯罪活动等)的监控的参与方、特定地点或地理区域(诸如特定国家等)中的参与方、或者对CS150而言相对较新或正在使用相对较新的唯一参与方标识的参与方。可以基于一些类型的活动(诸如指定VN的唯一标识的SFIOI查询以及不匹配的参与方标识等)来更新灰名单。例如，在参与方提交不准确的SFIOI时，可以将计数和/或列表包括在灰名单条目中，并且当该操作在相对较短的时间范围(诸如2小时等)中发生两次时，在明白该参与方标识已被泄露的情况下，可以将该参与方标识从灰名单转移到黑名单。

根据交易请求方是否可被示出或强烈怀疑参与潜在欺诈，交易请求方可被放置在黑名单或灰名单上。可以对照黑名单检查通过验证服务所接收到的请求的全部或子集，以查看据称请求方是否重复提供错误信息，并且如果验证服务确认或甚至怀疑交易请求方故意提供错误(例如，欺诈)信息，则禁止据称请求方。

另外，VN黑名单可以包括已收回或报告为被盗或丢失的VN。作为示例，一旦检测到涉及相同唯一标识的一个或多于一个伪造尝试，则可以收回VN。VN灰名单可以包括在受政府或监管机构对可疑活动(诸如潜在犯罪活动等)进行监控的参与方拥有之后正在监控的VN。例如，在参与方受到税务机关的调查时，税务机关可以命令CS150将参与方当前拥有的所有VN放置在灰名单上，使得可以针对为该人维护的文件专门记录VN的移动。在S434处，另一检查可以涉及定时触发或位置触发。例如，从参与方向危险区域中的因特网协议地址的转移可能触发向黑名单或灰名单的添加。作为另一示例，在当地时间2:00AM来自参与方的转移可能触发向黑名单或灰名单的添加。在S435处，如果定时或位置生成触发(S434＝“是”)，则将参与方添加到黑名单或灰名单，否则，结束图4D的处理。

在图4E中的安全网关系统处理接收到的SFIOI的方法中，作为如何将一个或多于一个显卡中的不同显卡或处理器组指派给安全网关系统中的不同任务的示例，图4A的方法被分为4个部分。如在现代处理中已知的，考虑到同时为大量像素绘制图形数据的原始任务，显卡可以包括主要并行运行的许多处理器。许多处理器的使用已应用于各种其他任务。可以预期CS150的安全网关系统156连续地进行操作，其中有时每分钟接收到成千上万个SFIOI。因此，在安全网关系统处进行的任务将固有地针对不同的接收分组并行进行。只要由显卡提供的处理可以恰当地应用于SFIOI，就可以使用显卡。

在图4E中，处理器被分为4组。各组的处理可以在向单独的内部系统发送查询时结束，因为确保高效处理的最简单(如果不是最简单)方式之一是不使任何处理器专门等待对它们发送出的查询的回答，并且不使回答发送回到发送了查询的特定处理器。与图4B一样的状况空间的使用可以确保高效地处理各地址空间。作为示例，可以将显卡中的3200个处理器分为4组800个处理器。处理器可以一次处理800个地址空间。利用显卡的处理的并行方面产生于将组同时应用于不同的地址空间组，使得第一组可以是处理地址空间2401至3200，第二组可以是处理地址空间1601至2400，第三组可以是处理地址空间801至1600，并且第四组可以是处理地址空间001至800。各组中的处理器一旦完成了它们的当前处理就一次递增800个地址空间。当然，诸如在由一个组进行的任务可以比由另一组进行的任务更快地进行的情况下等，处理器组不必全部都具有相同数量的处理器。相反，为了增强处理的相对连续性，可以将要求比一个或多于一个第二任务的集合更多的处理时间的一个或多于一个第一任务的集合指派给第一组处理器，该第一组处理器包括比进行一个或多于一个第二任务的集合的第二组处理器更多的处理器。

在图5A中的处理接收到的SFIOI的安全网关系统的存储器布置中，诸如图1C中的安全网关系统156等的安全网关系统包括包含SFIOI存储器5561和物理分离的状况存储器5562等的各种电子组件。SFIOI存储器预计将一对一地(诸如每512字节的页一个SFIOI、或者每512字节的页的倍数或分数一个SFIOI等)存储SFIOI。状况存储器5562预计将在处理器、核或线程处理SFIOI存储器中的SFIOI时存储状况更新。

本文中所解决的技术问题的一个方面是安全网关系统156的编程/擦除周期。状况更新可能要求针对写入SFIOI存储器5561的各SFIOI，向状况存储器5562写入两个或多于两个状况更新。然而，由于在各实例向状况存储器5562的写入可以被限制为字节或字，因此各潜在状况更新可以被写入状况存储器5562的不同位、字节或字。这样，线程可以首先读取状况存储器5562以通过引用已被更新的字节或字的状况来判断是否进行了先决条件处理。

作为简单示例，线程#7可以检查由线程#6更新的字节#6的状况，并且如果状况表明线程#6已处理了SFIOI，则线程#7可以读取由线程#7处理SFIOI的无论哪个部分。在线程#7结束对SFIOI的处理时，线程#7可以更新状况存储器中的字节#7以表明线程#7完成了其对SFIOI的处理。如应清楚，通过线程#7的该处理可以极其快速，诸如以每分钟40k或更多SFIOI的速率等，并且这对于在安全网关系统156处理SFIOI的其他处理器、核和线程是适用的。

在图5B中的处理接收到的SFIOI的安全网关系统的存储器布置中，SFIOI存储器5561被示出为包括第一SFIOI存储器5561-1、第二SFIOI存储器5561-2、……、第四万SFIOI存储器5561-40k。状况存储器5562被示出为包括第一状况存储器5562-1、第二状况存储器5562-2、……、第四万状况存储器5562-3。各处理器、核或线程在首先检查状况存储器5562中的相应状况之后并且在更新状况存储器5562中的相应状况之前，对SFIOI存储器5561中的SFIOI进行特定处理。如所述，根据本发明的安全网关系统156预计将处置大量SFIOI，诸如每分钟40000个或甚至更多等。因而，SFIOI存储器5561可以是安全网关系统156中的第一分隔间，并且作为示例可以被指派一分钟的传入SFIOI。安全网关系统156中的第二分隔间可以与第一分隔间基本相同，并且在该示例定时可以被指派下一分钟的传入SFIOI。可以周期性地(诸如每5、10、15、30或60分钟等)进行通过分隔间的循环。此外，尽管分隔间可以被指派SFIOI以在固定时间范围上进行处理，但这可能特别地并不是最佳实践。相反，可以动态地实现负载平衡和其他类型的实践，使得SFIOI存储器和状况存储器在适当时可以用附加的物理资源来增强。

如应清楚，在图5A和图5B中，状况存储器5562与SFIOI存储器5561物理上分离，使得处理器、核或线程在处理时在这两者之间来回切换。然而，各个处理器、核或线程通过仅处理SFIOI的特定部分而不是SFIOI存储器5561中的整个SFIOI、以及通过仅对状况存储器5562中的各个字节或字进行检查和写入而进行操作。

在图5C中的处理接收到的SFIOI的安全网关系统的存储器布置中，存储器管理涉及在安全网关系统156处将组合SFIOI和状况存储器5563用于SFIOI的存储器空间和状况的存储器空间。换句话说，组合SFIOI和状况存储器5563包括用于存储SFIOI的第一区域和用于跟踪SFIOI的处理的状况的第二区域。页的256字节可以被保留用于利用安全网关系统156的处理器、核或线程的处理中的特定使用。例如，如果512字节的页可以存储多达64 64位的字、并且针对SFIOI保留64位的字中的32，则可以将从组合SFIOI和状况存储器5563的第33字线开始的存储器用于状况。可以通过在位级别、在字节级别或在字级别写入来更新状况。例如，状况空间中的默认状况可以被设置为0(零)，并且可以在状况更新中被更新为1(一)，使得在相应处理完成时，组合SFIOI和状况存储器5563中的状况空间中的字节或字可以在一个或多于一个位位置被写入1。因此，在SFIOI的处理期间，处理器、核或线程可以在处理SFIOI的特定部分、然后更新状况空间的另一部分之前读取组合SFIOI和状况存储器5563的第33字线处或之后的状况。处理器、核或线程可以被组织以高效地使用安全网关系统156的存储器页，使得各单个物理存储器页被逻辑地分区。当然，分区不必一定正好是存储器页或其他预定义可寻址存储器单元的总空间的一半。

在图5D中的处理接收到的SFIOI的安全网关系统的存储器布置中，组合SFIOI和状况存储器5563被示出为包括第一部分5563-1、第二部分5563-2、……、第40000部分5563-40k。当然，安全网关系统156的分隔间不限于40000页的区段或存储器的其他单元，并且不限于每分钟或各40000个SFIOI切换到新分隔间。相反，利用本文所述的安全网关系统156实现CS所需的众多技术领域的普通技术人员将认识到这些数字仅是示例，尽管在实现时使用的单位(例如，512字节的页)的存储器的高效使用将肯定以各种方式提供高效处理。进行该处理的最高效方式可以是使用预定义的存储器单元，这些存储器单元与各SFIOI的大小一样大或比SFIOI的大小大，并且提供各SFIOI的状况更新所需的任何存储器空间。这样，SFIOI可以1对1地存储在预定义的可寻址存储器空间中。

图6例示SFIOI的示例格式。SFIOI的格式可以是安全地实现NDC的最重要方面其中之一。例如，安全网关系统156可以仅执行对遵从所需格式的SFIOI中的指令或对查询的响应，并且拒绝任何其他类型的传入分组。

在图6中，IP分组的头部包括24字节、或者3个64位/8字节字的等同物。IPv4分组的头部通常被指派20字节，因此最后四个字节可以是格式中的空值。考虑到更大的IP寻址方案，IPv6分组的头部通常被指派40字节。在图6中，在头部之后的第一个字段用于被提供8字节/64位的VN计数，尽管如果格式中的VN字段的最大数量被限制为如7、13、19或另一小数值那样的数值，则VN计数可能仅需要几位。可以处理VN计数，以确保IP分组的实质性数据根据VN计数中指定的VN的数量而在其应结束的位置处结束。接着，第一参与方ID字段和第二参与方ID字段各自具有8字节/64位。这样，即使第一参与方ID和第二参与方ID小于64位的实质性数据，第一参与方ID字段和第二参与方ID字段各自也可以被读作整个字。在图6中，16个单独字段各自被提供作为完整字以指定16个VN。即使各VN的唯一ID小于64位的实质性数据，为对VN进行安全检查所指派的各线程也可以将VN的相应唯一标识读取为整个字。然而，所分配的VN字段的大多数或全部可以包括实质性数据。例如，VN的唯一ID可以包括针对国家/地区代码的第一个字节、针对面额的第二个字节、以及针对实际唯一ID的六个更多字节。最后一个实质性字段是针对SFIOI的类型，因为仅在SFIOI通过初步安全处理的情况下才处理SFIOI中所指定的查询或指令的类型。

图6中的SFIOI格式的最终字段是空的，并且被保留用于安全网关系统156处的状况更新。总共16字节的两个字可以足够针对各安全检查用不同的字节跟踪16个安全检查的状况，总共24字节的三个字可以足够跟踪24个安全检查的状况，等等。通过将分组中的VN的允许的唯一ID的数量保持在或低于适当极限，即使SFIOI的256字节格式也足以处置安全网关系统156处的处理，尽管本发明主要使用512字节格式的示例。SFIOI的格式可以与除闪速存储器页以外的存储器单元的大小匹配。

第一参与方ID字段可以包括requester_ID。第二参与方ID字段可以包括counterparty_ID。VN ID字段可以包括由唯一ID指定的各VN的VN_info。尽管在图6中未示出，但格式可以包括通知方类型字段，该通知方类型字段可以指示通知是由交易请求方还是交易对手方进行的。notifier_type还可以指示通知方是否是可信系统。

SFIOI格式可以指定在各参与方标识的512字节分组中允许8字节。参与方标识可以被格式化以隐含地指定哪个国家或地区是各个参与方标识的源，使得可以将单个参与方标识用于由不同CS跟踪的NDC。位或整个字节也可以专用于指定最终用户获得唯一标识所通过的银行或类似实体，使得在无需由CS150管理完整简档的情况下，最终用户的标识可以由银行或类似实体保留。

SFIOI格式的类型的示例可以允许参与方：

查询对手方是否拥有VN；

指示将VN的所有权转移给对手方；

指示后续特殊处置或撤销特殊处置；

指示VN丢失或被盗；

为最近未转移的VN提供元数据状况更新。

在一些实施例中，SFIOI的另一字段还可以指定交易中涉及的总金额、交易中涉及的零钱金额(即，小于$1.00的金额)或另一金额。例如，在针对VN没有发行小面额、或者CS没有以其他方式跟踪小面额的情况下，SFIOI仍可以根据SFIOI是否正指定交易中的转账来指定要从与各参与方相对应的账户贷记和/或借记的零钱金额。这样，SFIOI的格式仍可适应涉及未作为VN发行或未由CS以其他方式跟踪的面额的转账。登记使用货币的VN的参与方可以具有与他们的唯一标识相关联的信用账户、支票账户或储蓄账户。这样，可以将小于例如$1.00的金额记入关联账户或从关联账户借记。作为示例，如果参与方正为交易中的项目支付$50.00并且预期65美分的零钱，则该零钱可被自动贷记到该参与方的关联账户并从卖方的关联账户借记。可以在CS的外部维护关联账户，使得由提供账户作为服务的金融机构维护关联账户。CS可以简单地向ID管理系统151或维持参与方的ID记录以发起与金融机构的借记或贷记的另一节点进行通知。在一些实施例中，可以要求登记到CS的参与方具有关联账户，尽管政府和/或中央银行可以(例如，通过向金融机构提供激励)便于为尚未具有这种账户的人口部分开户。

在一些实施例中，如在2022年2月公布的美联储技术方案中所述，VN格式可以提供可变面额。用于指定固定面额的面额字段也可以指定用于指示可变面额的类型，并且这可以用作指定改变金额的替代。

只要VN设置有唯一标识，SFIOI的格式就可以用于跟踪VN。因此，VN可以是具有镜像数据的完整数据集、具有逻辑数据(其在请求VN的可视化时利用模板补充)的部分数据集、加密数据集(诸如加密货币等)、或者任何其他类型的数据集，只要VN设置有可用于跟踪目的的唯一标识即可。

还可以向金融机构和其他类型的组织提供发行本文所述的参与方ID的能力。例如，可以向金融机构提供具有4个数位的唯一标识，使得可以以两个或三个字节表示该唯一标识。金融机构可以使用其唯一标识作为被指派为参与方ID的完整标识的前两个或三个字节。然后，参与方ID可以是如参与方的三个字节、四个字节或五个字节以及金融机构的两个或三个字节那样的字节。这样，CS可以不被要求存储参与方的任何识别信息，而是可以依靠金融机构来知晓参与方ID对应于谁。至少在美国，金融机构可以存储参与方ID，然后在政府实体想知晓参与方ID对应于谁的情况下仅需要许可证。可以被允许发行客户的唯一标识的其他类型的组织可以包括Coinbase、Facebook或具有大型客户群的其他实体等的实体，只要客户群包括实际信任这样的实体以尽可能或甚至合理地维护其隐私的客户即可。作为示例，CS可以向银行提供参与方的唯一ID，并让银行确定哪个参与方将被指派唯一ID。

在一些实施例中，可以向参与方提供用以在接收到VN时(诸如在从陌生人接收到VN时等)将VN自动存入关联账户的能力。作为安全方面，由于陌生人可能知道哪些VN刚刚被转移到参与方，因此自动或至少快速地将VN转移到关联账户的能力可以帮助阻止陌生人的潜在欺骗尝试。附加地，在将VN转移到金融机构以存入关联账户时，金融机构可以简单地保留这些VN并发放信贷作为对参与方的分类账余额的更新，使得参与方可以开始收取利息。在一些实施例中，可以使用参与方ID来跟踪银行本票、旅行支票、稳定币、以及本国货币的其他固定面额表示，只要它们被唯一地标识即可。

SFIOI的类型可以在SFIOI的格式所需的字段(诸如完整字节或者甚至2或3位的字段等)中指定。由于本文所述的跟踪可以扩展到许多其他用途，因此类型字段可以包括完整字节，使得尽管将一个或相对较少的字节用于本文所述的NDC跟踪，但最终可以使用相同格式指定多达256个不同类型。

在图7A中的因特网网络路由器的布置中，网络路由器的系统将向CS150的通信限制到作为UDP/IP分组(或非顺序TCP/IP分组)发送的非顺序分组(即，单分组)SFIOI。图7A中的网络路由器的系统可以扩展到各种用途。例如，本文所述的SFIOI的示例格式可适于各种其他用途，诸如在实体希望禁止服务器接收连接请求的上下文中发送用于服务器的单分组请求以发起与请求装置的通信连接等。其他示例包括跟踪不动产、贷款等。如在图7A、图7B、图7C、图7D和图7E以及图7F中示出和所述，SFIOI的分组在到达安全网关系统156之前，可以经受其他基本安全检查。

其他基本安全要求可以在因特网内(诸如在离安全网关系统156最近的因特网边缘处等)实现。例如，由网络服务提供商提供的因特网中的一个或多于一个网络路由器可被配置和编程以确保寻址到与本文所述的CS相对应的IP地址的分组恰好是512字节、以及/或者是非顺序UDP/IP分组或非顺序TCIP/IP分组而非顺序TCP/IP分组。可替代地，可以在利用因特网中的最后一个因特网路由器的处理之后并且在分组到达安全网关系统156之前提供这些检查。例如，基于因特网路由器的经修改安全系统可以截取正发送到一个或多于一个特定IP地址的分组，并进行一个或多于一个初步检查，诸如遵从准确大小要求、禁止TCP/IP分组等。一方面，这些初步检查将延迟经修改安全系统处的处理，因为各检查基本上使因特网路由器的原始基本处理要求倍增(即，根据路由表检查目的地IP地址和路由分组)。另一方面，现代高端因特网路由器以与针对CS150所预期的量类似或更大的量每秒或每分钟处理大量的分组。因此，基于对高端因特网路由器的修改的一个或极少数经修改安全系统可以在分组曾到达安全网关系统156之前进行最基本的安全检查中的一个或多于一个。特别是在预计到DOS攻击时可以动态扩展经修改安全系统的数量以帮助最小化对CS150的破坏的情况下，这可用于抵御DOS攻击。

经修改网络路由器或交换机可以使用DDR4随机存取存储器(RAM)而不是闪速存储器来在处理分组时暂时存储这些分组。例如，分组可以存储在DDR 4RAM中，然后可以读取目的地IP地址并将其与路由表进行比较，并且如果路由表被修改以指示向目的地IP地址的分组将经受初步安全检查，则进行初步安全检查。经修改路由器或交换机的安全检查可以是非常基本的，诸如确认分组是特定大小或低于阈值、或者确认分组是由UDP或非顺序TCP发送的等。在其他实施例中，网络服务提供商处的大多数路由器可被配置为简单地将寻址到特定目的地IP地址的分组发送到用于进行安全检查、然后将分组一直传递到特定目的地IP地址的服务节点。服务节点可以包括一个或多于一个经修改路由器或另一形式的高速处理环境，该环境对寻址到要求分组来满足预期格式化要求的特定IP地址的分组添加一个或很少的安全检查。例如，与将分组过滤到要求分组遵从诸如512字节格式等的特定格式的一个或多于一个目的地的纠察系统类似，可以将服务节点作为独立服务来提供。

附加地，尽管由于一个或几个网络路由器在离安全网关系统156(逻辑上和/或物理上)最近的网络中、因此一个或几个网络路由器可以被具体编程以在因特网内进行分组检查，但附加的网络路由器可被配置为被动态调整以在被指示时(诸如在网络服务提供商检测到安全网关系统156的IP地址经受拒绝服务攻击的情况下等)实现分组检查。例如，默认设置可以是：基本安全要求由离安全网关系统156(逻辑上和/或物理上)最近的网络中的网络路由器中的3个网络路由器进行，但在检测到DOS攻击时，可以动态地调整接下来的9个或27个或97个最近的网络路由器以开始检测并删除寻址到过大或过小或错误类型的IP地址的分组。

附加地或可替代地，一个或多于一个附加网络路由器可以在CS内或紧挨在CS之外维持停止服务，并且在检测到DOS攻击时动态地投入使用以开始辅助针对分组大小和类型的基本安全检查。附加网络路由器可以插入在安全网关系统156和因特网之间，并且被配置为在被指示时动态启动并实现分组检查。例如，默认设置可以是：基本安全要求由离安全网关系统156(逻辑和/或物理上)最近的网络中的网络路由器中的3个网络路由器进行，但在检测到DOS攻击时，附加的3个或27个或97个附加网络路由器可被动态启动并被分配朝向安全网关系统156的流量，以开始检测并删除寻址到过大或过小或错误类型的IP地址的分组。

在图7A中，专业ISP 7140是专业因特网服务提供商。例如，政府或私营企业可能希望支持专业ISP 7140进行向提供安全网关系统7156的CS的最后一英里路由。专业ISP 7140还可以为一个或多于一个其他服务提供商、CS等提供专用分组路由。

在图7A中，专业ISP 7140包括第一因特网网络路由器7141、第二因特网网络路由器7142和第三因特网网络路由器7143。图7A中的各个因特网网络路由器被配置为对寻址到一个或多于一个预定因特网协议地址的分组进行一个或多于一个安全检查。该一个或多于一个安全检查是对因特网网络路由器的核心功能(以超高速路由分组)的补充。因此，对寻址到一个或多于一个预定因特网协议的分组强制实行安全检查将使由专业ISP 7140处置的分组的路由与其他因特网流量相比减慢。

可以使用各种逻辑配置来使得因特网网络路由器能够针对一些或甚至大多数流量正常操作。例如，可以使因特网网络路由器作为最后一英里目的地服务处置的因特网协议地址集中在一起，使得一个因特网网络服务器维持将实现特殊安全过程的这种因特网协议地址的列表。换句话说，可以具体指定图7A中的因特网网络路由器来对向因特网网络路由器是最后一英里路由器的一个或多于一个因特网协议地址的流量实现一个或多于一个安全检查。附加地，在拒绝服务(DOS)攻击的情况下，一个因特网网络路由器可以请求辅助，使得其他因特网网络路由器中的一个或两个开始处理流量，并且对接收特殊处置的相同的一个或多于一个因特网协议地址实现相同的安全检查。不要求可用于默认实现一个或多于一个安全过程的最大或最小数量的因特网网络路由器。也不要求在DOS攻击的情况下可动态地引入以实现一个或多于一个安全过程的备份因特网网络路由器。

在图7B中的因特网网络路由器的布置中，来自图7A的因特网网络路由器设置在CS7150中，使得因特网网络路由器是向CS 7150处的一个或多于一个因特网协议地址的流量的接收方。图7B中的因特网网络路由器专用于CS 7150，因此不为第三方因特网协议地址提供路由服务。在图7B中，可以指派单个因特网网络路由器以实现一个或多于一个安全检查，并且可以在检测到DOS攻击时动态地激活或引入其他两个因特网网络路由器以处置流量并实现(一个或多于一个)安全检查。

在基于图7A和图7B的一些实施例中，可以以链的形式提供两个或多于两个因特网网络路由器，其中两个或多于两个因特网网络路由器各自实现不同的安全检查。例如，第一因特网网络路由器可以检查针对所列出的因特网协议地址的各分组的大小，并且删除大于或小于512字节或者在包括512字节的范围之外的分组。第二因特网网络路由器可以检查针对所列出的协议地址的各分组的头部，并且确保根据UDP/IP而非TCP/IP来传输分组。这样，分组可以由多个因特网网络路由器处理，并且在各因特网网络路由器处经受不同的基本安全检查，使得减轻了对安全网关系统7156的负担。

在基于图7A和图7B的一些实施例中，单独的控制器(未示出)可以协调因特网网络路由器，以诸如在检测到DOS攻击时增加处置向特定因特网协议地址的流量并实现安全检查的因特网网络服务器的数量等。单独的控制器可被配置为监控因特网网络路由器的集合，并且可以在其他方面与因特网或公众完全断开。可以被引入以处置DOS攻击中的增加的流量的因特网网络路由器的数量不限于2个，而是可以是任何数量(诸如27个、97个或997个等)的离目标因特网协议地址逻辑上和/或物理上最近的因特网网络路由器。附加地，因特网网络路由器不必一定同时全部被调用，而是可以分阶段被激活。例如，在第一阶段，可以指派两个因特网网络路由器来帮助针对目标因特网协议地址的安全检查，并且在第二阶段，可以指派八个附加因特网网络路由器来帮助针对目标因特网协议地址的安全检查。

基于图7A的实施例，专业ISP 7140可以为专业因特网协议地址提供安全服务。尽管安全检查最初被设计用于与NDC相关并朝向CS150的流量，但专业ISP 7140可以将类似的服务提供到一个或多于一个其他政府或私营部门提供商。换句话说，专业ISP 7140可以将作为独立服务提供，而不限于CS 7150。

在图7C中的用于在分组到达因特网协议目的地地址之前对这些分组进行过滤的方法中，在S710处接收到分组，并且在S720处读取目的地因特网协议地址(目的地IP)和路由策略。在S730处判断目的地IP是否被标记，诸如在路由表上具体提到的目的地IP、还是经受在路由表处被标记的特殊处置的一组因特网协议地址的一部分等。如果分组未被标记(S730＝“否”)，则在S740处按正常对分组进行路由。如果分组被标记(S730＝“是”)，则在S760处检查要被检查的格式参数。如果分组符合(S760＝“是”)，则在S740处按正常对分组进行路由。如果分组不符合(S760＝“否”)，则在S770处删除分组。图7C的方法可以由因特网网络中的经修改安全系统进行。经修改安全系统可以是经修改路由器或交换机，其被简单地修改以检查朝向路由表中标记的目的地IP的分组的一个或多于一个参数。任何这样的路由器或交换机应被放置为相对于因特网网络中的目的地IP在逻辑上和/或物理上最接近，或者放置在逻辑上和/或物理上最接近的路由器或交换机之间。

在图7D中的用于在分组到达安全网关系统处的因特网协议目的地地址之前对这些分组进行过滤的通信系统中，第一经修改安全系统被示出为MSS 7148，并且第二经修改安全系统被示出为MSS 7149。MSS 7148和MSS 7149可以进行在图7C的方法中所述的类型的安全检查。MSS 7148和MSS 7149可以在因特网网络中，诸如在专业因特网服务提供商网络中等。可替代地，MSS 7148和MSS 7149可以被提供作为针对本文所述的CS的专用纠察系统。在其他实施例中，MSS 7148和MSS 7149可以被提供作为针对诸如本文所述的CS等的一组最终用户系统的专用纠察系统、以及可受益于在特定分组到达它们被寻址到的目的地IP地址之前对这些特定分组进行的安全检查的其他组织。

在图7E中的用于分发针对寻址到安全网关系统处的因特网协议目的地地址的分组的安全检查的方法中，第一MSS 7148进行如下的方法，该方法包括：解调所接收到的第一信号，将来自解调后的信号的分组存储在寄存器中，检查分组的大小，将分组调制在第二信号中，并且在分组满足其目的地IP地址的大小要求时经由第二信号转发分组。CS 7150处的安全网关系统7156进行如下的方法，该方法包括：解调第二信号，将来自解调后的信号的分组诸如以1对1的方式等存储在闪速存储器中，并且执行安全子程序以确保分组满足在安全网关系统7156处实现的预期格式和安全控制。

在图7F中的用于分发针对寻址到安全网关系统处的因特网协议目的地地址的分组的安全检查的方法中，第一MSS 7148进行如下的方法，该方法包括：解调所接收到的第一信号，将来自解调后的信号的分组存储在寄存器中，检查来自分组的头部信息，将分组调制在第二信号中，并且在来自分组的头部信息满足其目的地IP地址的要求时经由第二信号转发分组。CS 7150处的安全网关系统7156再次进行如下的方法，该方法包括：解调第二信号，将来自解调后的信号的分组诸如以1对1的方式等存储在闪速存储器中，并且执行安全子程序以确保分组满足在安全网关系统7156处实现的预期格式和安全控制。

存在本文所述的技术可以如何用于安全地实现NDC的许多示例使用情况。本文所解决的安全问题的一个示例是：在用VN交换另一VN时，给发起方或发起方的同伙留下欺骗接收方并经由SFIOI指示CS将VN的所有权改变回到发起方或同伙的可乘之机。

如本文所述，本文所述的CS可以向接收方的记录的地址发起反欺骗(例如，多因素)通信。另外，接收方可以自动将来自陌生人的VN与CS交换以避免该情景，或者诸如通过将VN存入(如针对VN修改的)支票账户或储蓄账户等，向金融机构提供新VN以交换该金融机构的账户中的信贷。也可以针对来自CS的具有更高面额的VN来合并低面额的VN。这些和其他机制通过本文的教导来实现，并且可用于安全地避免如今的技术无法安全提供的任何或几乎任何形式的不当行为。作为一个示例，本文所述的在CS处跟踪VN可以使得参与方能够快速地将VN转移到它们的金融机构，使得以前的所有者不能为了重新获得VN的控制而欺诈地冒充所有者。

在另一使用情况中，在对手方主动发送从向CS发起交易的参与方提供的VN的唯一标识时，该唯一标识可以在SFIOI中被加密。该唯一标识仅可由CS解密，因此CS可以对对手方进行响应并指示VN是否属于发起交易的参与方，并且可以确认唯一标识的面额。这可以在无需对手方具有下属唯一标识的情况下发生，使得直到发生交易为止，防止对手方拥有为支付所提供的VN的唯一标识。因而，可以将未加密的唯一标识和加密后的唯一标识这两者与VN一起提供，使得可以在对手方接受VN以供在交易中支付之前提前发送未加密版本以进行认证。

另外，在许多通信中，可以假定使用诸如SSL等的加密机制来传输VN。在可以将不同的加密机制用于处置VN的某种程度上，本文中的教导不应被视为与在适当情形中使用任何特定加密特别不一致。

尽管针对VN说明了数字货币的安全机制，但本文中的教导不限于应用于VN、或者由政府授权或由中央银行或代表中央银行发行的任何特定NDC。相反，本文中的教导的各方面可以被实现用于其他形式的数字货币(其包括稳定币和其他形式的加密货币)、以及用作价值介质的其他形式的数字令牌(其包括不共用如本文所述的VN的一个或多于一个特性的数字货币)。

提供所公开的实施例的前述描述以使得本领域的任何技术人员能够实践本发明中所述的概念。正因如此，以上公开的主题被认为是说明性的而非限制性的，并且所附权利要求意图覆盖落在本发明的真实精神和范围内的所有这样的修改、改进和其他实施例。因此，为了使法律所允许的范围最大化，本发明的范围由所附权利要求及其等同项的最广泛的允许解释来确定，并且不应受到前述具体实施方式的约束或限制。

Claims

1.一种集中跟踪系统，包括：

安全网关系统，用于在因特网协议地址处通过因特网与公众交互，所述安全网关系统包括存储器和处理器，所述存储器用于存储通过因特网从公众接收到的分组，所述处理器用于执行多个算法以对从公众接收到的各分组强制实行安全检查；以及

主存储器系统，其由所述安全网关系统对公众屏蔽，所述主存储器系统用于存储所述集中跟踪系统的跟踪数字资产的所有实例的记录，并且一旦来自公众的指令通过所述安全检查，就从所述安全网关系统接收对所述记录的更新。

2.根据权利要求1所述的集中跟踪系统，还包括：

分类账存储系统，其由所述安全网关系统对公众屏蔽，所述分类账存储系统用于存储所述跟踪数字资产的各实例的当前所有权的记录，并且对所述安全网关系统处的所述多个算法进行响应以确认分组中所列出的所有权对于分组中所列出的各跟踪数字资产是否正确。

3.根据权利要求2所述的安全网关系统，

其中，所述安全网关系统处的所述多个算法的第一集合向所述分类账存储系统发送所有权查询，并且所述安全网关系统处的所述多个算法的第二集合检查对来自所述分类账存储系统的所有权查询的响应。

4.根据权利要求1所述的集中跟踪系统，其中，在所述安全网关系统处接收到的分组在所述因特网协议地址处被接收之前，对所述分组进行预过滤，以确保遵从在所述集中跟踪系统处处理所述分组所要求的预定义格式，以及其中，所述安全网关系统处接收到的分组由所述多个算法进行后过滤以确保所述分组遵从所述预定义格式，以及

其中，所述安全网关系统之前的预过滤和所述安全网关系统处的后过滤中的至少一个包括大小检查，所述大小检查用于确保各分组符合所述预定义格式所要求的特定大小。

5.根据权利要求1所述的集中跟踪系统，

其中，所述分组以1对1的方式存储在所述安全网关系统处的所述存储器的统一存储器单元中，其中所述多个算法被顺次执行以处理各分组，并且被并行执行以同时处理不同的分组，其中以1对1的方式存储分组的各存储器单元被划分为第一区域和第二区域，其中所述第一区域用于存储将被处理的分组的净荷，所述第二区域用于在所述多个算法顺次处理分组时跟踪所述多个算法的状况。

6.根据权利要求1所述的集中跟踪系统，其中，从公众接收到的分组被限制为个体的非顺序的分组，以及

其中，所述跟踪数字资产的各实例被指派用于跟踪所述跟踪数字资产的唯一标识。

7.一种用于集中跟踪的方法，包括：

使安全网关系统在因特网协议地址处通过因特网与公众交互，其中所述安全网关系统包括存储器和处理器；

将通过因特网从公众接收到的分组存储在所述存储器中；

执行多个算法以对从公众接收到的各分组强制实行安全检查；

由所述安全网关系统使主存储器系统对公众屏蔽；

将集中跟踪系统的跟踪数字资产的所有实例的记录存储在所述主存储器系统处；以及

在来自公众的指令通过所述安全检查的情况下，更新所述主存储器系统处的记录。

8.根据权利要求7所述的方法，还包括：

在所述安全网关系统处拒绝来自公众的任何连接请求。