瞬态交易服务器的制作方法

由计算机系统执行的交易具有多种安全漏洞。随着越来越有价值的交易通过互联网和可经由互联网访问的计算机执行，此类交易变得越来越容易受到攻击。

因此，需要经改进的技术来保护交易以及此类交易所访问的数据免受攻击。

技术实现要素：

一种联网计算机系统使得能够安全地执行一个或多个交易。发起方将服务请求发送到控制服务器。控制服务器创建或选择现有交易服务器，用于执行服务请求所请求的交易的唯一目的。如果交易服务器是预先存在的，则其可能处于不可访问状态，然后响应于接收到服务请求而变得可访问。控制服务器通知发起方所创建的交易服务器。发起方(以及可能一个或多个其他授权参与方)独立于控制服务器利用交易服务器进行交易。交易服务器诸如在交易完成、超时期限到期或满足另一个服务器终止标准时终止。使用这种一次性交易服务器提高了安全性、隐私性和匿名性。

根据以下描述和权利要求，本发明的各个方面和实施方案的其他特征和优点将变得显而易见。

附图说明

图1是根据本发明的一个实施方案的用于使用瞬态服务器执行一个或多个交易的系统的数据流程图；

图2是根据本发明的一个实施方案的由图1的系统执行的方法的流程图；

图3是根据本发明的一个实施方案的用于使现有但不可寻址的交易服务器可寻址以便执行一个或多个交易的系统的数据流程图；

图4是根据本发明的一个实施方案的由图3的系统执行的方法的流程图；

图5是根据本发明的一个实施方案的用于使用ip地址池随时间改变交易服务器的ip地址的系统的数据流程图；

图6是由图5的系统执行的方法的流程图；

图7是根据本发明的一个实施方案的用于连续预配交易服务器的系统的数据流程图；

图8是根据本发明的一个实施方案的由图7的系统执行的方法的流程图。

具体实施方式

本发明的实施方案包括用于预配虚拟服务器的系统和方法，该虚拟服务器用于处理有限数量的(例如，一个)交易，在所述交易之后服务器被解除预配。此类系统和方法具有多种优点，诸如能够更好地保护交易免受外部干扰，并且允许此类交易及其访问的数据具有更好的匿名性和隐私性。

例如，参考图1，示出了根据本发明一个实施方案的用于执行交易的系统100的数据流程图。参考图2，示出了根据本发明一个实施方案的由图1的系统100执行的方法200的流程图。

系统100包括控制服务器102。控制服务器102是如本文中所使用的术语“计算机系统”。术语“计算机系统”在本文中是指相互协调地用于执行指令以对输入和/或存储的数据执行操作从而产生输出的任何一个或多个计算机。计算机系统(诸如控制服务器102_可以例如由任何种类的单个计算机(例如，服务器、台式pc、膝上型pc、智能电话、平板电脑、pda)或任何种类的任何数量的计算机的任何组合组成。计算机系统和/或其任何组成计算机可以是物理机或虚拟机。因此，计算机系统可以包括任何一个或多个物理机和/或任何一个或多个虚拟机，其可以进行任何组合，相对于彼此位于任何位置，包括其中两个或更多个机器彼此在本地或通过网络彼此可远程访问的配置。计算机系统中的组成计算机可以经由任何一个或多个机构彼此通信，诸如一个或多个电线、总线、电缆、有线网络连接、无线网络连接、应用程序接口(api)或其任何组合。

尽管计算机系统102在本文中称为“服务器”，但是控制服务器102不需要根据客户端-服务器架构进行操作。仅仅是为了方便起见，术语“服务器”在本文中用于指代控制服务器102和本文公开的其他服务器，并且用于指示控制服务器102对提供服务的请求作出响应。如本文中使用的术语“服务器”指代任何类型的计算机系统，无论该计算机系统是否根据客户端-服务器架构进行操作。因此，控制服务器102和本文公开的其他服务器不必是如传统意义上使用的术语“服务器”，但更一般地可以是任何类型的计算机系统。

系统100还包括发起方104。发起方104可以但不必是计算机系统。发起方104向控制服务器102提供用于交易的请求106，并且控制服务器102接收请求106(图2，操作202)。术语“交易”和“服务”在本文中可互换使用。术语“服务请求”和“交易请求”在本文中用于指代执行服务/交易的请求。

控制服务器102可以具有可以对通信(诸如请求106)寻址的地址。控制服务器102的地址例如可以是公共互联网协议(ip)地址和/或端口，但这不是对本发明的限制。作为另一示例，控制服务器102的地址可以是公司或其他专用防火墙后面的地址。控制服务器102可以需要或可以不需要并且加入安全通信。例如，请求106以及控制服务器102加入的其他通信可以是安全通信。作为另一示例，控制服务器102可以将其连接仅限于众所周知的发起方，或者具有诸如硬件密钥设备和/或生物识别等其他安全措施来认证发起方104和其他发起方。

发起方104可以但不一定是打算加入请求106所请求的交易的最终用户或机器。例如，代理(未示出)可发起交易，这可以使发起方104将请求106提供给控制服务器102。

发起方104可以通过将请求106寻址到控制服务器102的地址(例如，ip地址和/或端口)向控制服务器102提供(例如，传输)请求106，作为响应，系统100可以按控制服务器102的地址将请求106递送到控制服务器102。发起方104可以多种方式中的任何一种并且使用多种机构中的任何一种向控制服务器102提供请求106，诸如通过经由一个或多个电线、总线、电缆、有线网络连接、无线网络连接、应用程序接口(api)或其任何组合来提供(例如，传输)请求106。这同样适用于本文公开的任何其他通信。

一般来讲，请求106包含指示执行特定交易的请求的数据。例如，此类数据可以指示进行任何组合的以下各项中的任何一项或多项：待执行的交易的类型、交易的一个或多个参数以及每个此类参数的一个或多个值。请求106可以请求任何类型的交易诸如任何类型的软件即服务(saas)交易。此类交易的示例包括但不限于数字资产交换服务、医疗保健记录服务、安全消息服务以及工业物联网软件/固件更新服务。

例如，请求106可以包括表示以下属性中的任何一个或多个的数据：

交易类型。其是请求106所请求的交易的类型。交易类型确定应创建什么类型的交易服务器108。示例包括数字资产的传送、安全消息递送、软件分发以及数据操作和分析。

超时。超时指定交易服务器108最多应保留多长时间。通常，交易服务器108将在交易完成后自行终止，但是如果由于某种原因交易没有在超时期限内完成，交易服务器108将在交易完成之前终止。

交易特定属性。某些交易类型可具有与正在处理的交易相关的附加属性，并且需要在创建交易服务器108之前指定。示例包括用于传送的最大允许消息大小和用于交换的最大允许货币量。这些参数紧接在任何授权参与方与交易服务器通信之前应用。

隐私。其他交易属性可以是专用的，或者可以仅直接递送至交易服务器108，从而绕过控制服务器102。这些属性的示例包括文件的最大下载次数和第二参与方进入交易所需的密码。

授权参与方。可以在服务请求时指定授权参与方的列表。如果是，只有那些参与方被允许与交易服务器108进行通信以参与交易。可以通过机器ip地址、用户名和密码或者参与方可以联系交易服务器108的其他方式(浏览器类型、设备类型等)指定授权参与方。

认证方法。其用于确定实体如何向交易服务器108进行认证。认证方法的示例包括：无需认证(公共服务)、机器地址认证(例如，ip地址)、软件认证(用户/密码对)、双因素认证、确认代码或令牌、使用授权浏览器扩展、生物识别认证或上述的组合。

隐私级别/日志记录。由于交易服务器108在交易完成后自行终止，因此不会永久存储交易记录。发起方104可能希望交易记录持续留存。如果是，交易服务器108可以向控制服务器102或另一服务器(未示出)发送信息，以创建交易服务器108和/或交易的永久记录，诸如将日志文件复制到永久存储位置并且/或者在交易服务器108(或其一部分)终止之前获取其存在时的快照。

在图1的示例中，示出了单个控制服务器102。这种控制服务器102例如可以是通用的，意味着其能够处理许多(例如，任何)类型的请求106。作为另一示例，控制服务器102可以是专用的，意味着其可能仅能够处理一个或一组有限的请求类型。在后一种情况下，系统100可以包括多个控制服务器102，每个控制服务器能够处理一种或多种类型的请求。

系统100还包括交易服务器108。在发起方104将请求106提供给控制服务器102之前，交易服务器108可能不存在(例如，可能尚未预配)。相反，响应于接收到请求106，控制服务器102可创建110(例如，预配)交易服务器108(图2，操作204)。例如，控制服务器102可以基于请求106的内容创建110交易服务器108。例如，控制服务器102可以生成能够执行由请求106指示的交易类型的交易服务器108。另外或替代地，请求106可以包括表示执行所请求的交易所需和/或期望的服务器的一个或多个属性的数据，在这种情况下，控制服务器102可以创建具有由请求106表示的属性的交易服务器108。另外或替代地，控制服务器102可以访问多个预定义的交易服务器映像，控制服务器102可以从中创建交易服务器108。不同的交易服务器映像可以例如用于执行不同类型的交易(例如，一个交易服务器映像用于执行第一类型的交易，并且另一个交易服务器映像用于执行第二类型的交易)，或者用于执行相同类型但具有交易请求106中指定的不同属性的交易。

图1中的元素110表示控制服务器102创建交易服务器108。此类创建可以多种方式中的任何一种来执行。例如，控制服务器102可以向云服务提供方(未示出)提供(例如，传输)创建请求，指定交易服务器108被预配用于处理请求106。例如，交易服务器108可以使用行业标准机器映像来创建，该行业标准机器映像先前被构建为处理由请求106表示的saas请求的类型(诸如可以使用请求106中指示请求106类型的信息识别)。例如，此类机器映像可以包含执行请求106所请求的交易所需的所有软件，包括所有必要的定制和配置。任何交易特定的参数(诸如交易的参与方、交易所交换的数据和/或资产的类型、交易中商定的汇率等)可以由在启动时或者在创建交易服务器108的过程中对交易服务器108可用的控制文件指定。

交易服务器108是如本文中使用的术语“计算机系统”的示例。例如，交易服务器108可以是物理或虚拟服务器(例如，可通过互联网经由公共ip地址访问的计算机系统)，或者可包括多于一个的虚拟或云服务器。交易服务器108可以包括用于辅助交易服务器108执行请求106所请求的交易的按需资源，诸如专用数据库、高速磁盘缓存和/或第三方服务和/或软件。

控制服务器102识别112(例如，接收)可访问交易服务器108的地址(图2，操作206)。例如，控制服务器102可以在由交易服务器108传输到控制服务器102的消息中接收交易服务器108的地址。作为另一示例，控制服务器102可以生成交易服务器108的地址并将生成的地址分配给交易服务器108。交易服务器108还可以(诸如通过向控制服务器102传输适当的消息)向控制服务器102指示交易服务器108准备好执行发起方104在请求106中所请求的交易。因此，一般来讲，图1中的元素112指示在创建交易服务器108之后，交易服务器108向控制服务器102提供发起方104和/或授权参与方116a-n连接到交易服务器108并与之通信所需的所有信息。

控制服务器102向发起方104提供114交易服务器108的地址，诸如通过将包含交易服务器108的地址的消息传输到发起方104(图2，操作208)。此类消息可以通过数字通信网络(诸如互联网)进行传输。例如，可以响应于来自发起方104的请求106传输该消息。更一般地，图1中的元素114指示控制服务器102向发起方104指示交易服务器108准备好执行请求106所请求的交易，并且向发起方104提供发起方104与交易服务器108通信所需的所有信息，诸如交易服务器108的地址。

如上文所简述的，除了发起方104之外，系统100还可包括授权参与由请求106所请求的交易的一个或多个参与方116a-n。注意，n可以是任何数字，诸如0、1、2或更高。如果n＝0，则发起方104是请求106所请求的交易中的唯一参与方。如果n＝1，则只有发起方104和授权参与方116a参与请求106所请求的交易，并且系统100将不包括授权参与方116n。在本发明的某些实施方案中，发起方104参与交易服务器108的创建，但不参与交易服务器108执行的交易。在此类实施方案中，授权参与方116a-n参与由交易服务器108执行的一个或多个交易，而发起方104不参与此类交易。

在某些实施方案中，控制服务器102可以向授权参与方116a-n通知交易服务器108，诸如以与控制服务器102向发起方104通知交易服务器108相同的方式。替代地，例如，在控制服务器102向发起方104通知交易服务器108之后，发起方104可以向授权参与方116a-n通知交易服务器108。

一旦创建了交易服务器108并且通知发起方104(以及可能地，授权参与方116a-n)关于交易服务器108，发起方104可以加入118请求106所请求的与交易服务器108的交易(图2，操作210)。发起方104可以通过使用由发起方104从控制服务器102接收的地址114寻址交易服务器108从而向交易服务器108提供(例如，传输)信息。授权参与方116a-n和交易服务器108之间的通信(如果有)也是如此。

如果授权参与方116a-n将参与交易，则授权参与方116a-n也可加入由请求106所请求的与交易服务器108的交易120a-n。一般来讲，图1中的元素118和120a-n表示参与交易服务器108执行交易的发起方104、授权参与方116a-n和交易服务器108之间和中间的所有交互。此类交互可以包括通过网络(诸如互联网)传输和接收消息(例如，从交易服务器108到发起方104和/或其他参与方，或者从发起方和/或其他参与方到交易服务器108)，其中此类消息可以包括命令和/或数据。

在交易服务器108完成交易执行之后的某个时刻，交易服务器108终止(例如，解除预配或以其他方式删除、销毁或停用)(图2，操作212)。例如，交易服务器108可以在交易完成时立即终止，或者以其他方式响应于交易的完成而终止，或者在交易启动后的某个预定的超时期限到期之后(并且作为响应)终止，即使交易仍未完成。这些服务器终止标准仅仅是示例，而并非对本发明的限制。交易服务器108可以响应于满足任何一个或多个服务器终止标准而终止，诸如响应于以下各项而终止：

交易服务器108完成某一预定数量的交易；

确定交易服务器108正在执行的交易满足异常条件或否则以某种方式反常(例如，具有一个或多个超出允许值范围的参数值)；

确定至少某一预定数量的参与方参与了与交易服务器108的交易；

满足与交易服务器108执行的交易相关的任何二进制标准；

确定由交易服务器108(或者作为整体的交易服务器108)执行的交易已经传送了至少某一预定量的数据；以及

确定由交易服务器108(或者作为整体的交易服务器)执行的交易已经传送了至少某一预定量的文件。

如上所述，在某些实施方案中，交易服务器108在终止之前最多可以执行一个(例如，恰好一个)交易。在本发明的其他实施方案中，交易服务器108在终止之前执行大于一个的有限数量的交易，或者在终止之前执行任何数量的交易持续不超过某一预定的有限时间量(本文中称为超时期限)。作为另一示例，交易服务器108可以在执行具有指定属性的交易之后(可能在执行了一个或多个附加交易之后)终止。更一般地，系统100可以将一个或多个终止标准应用于交易服务器108。响应于确定已经满足终止标准，系统100可以终止交易服务器108。本文明确公开的终止标准的特定示例(例如，最大交易数量、最大时间量、交易类型)仅仅是示例，而并非对本发明的限制。

如上所述，控制服务器102参与交易服务器108的创建，但是不以其他方式参与交易服务器108执行交易。例如，除了创建交易服务器108和获取有关交易服务器108的创建和可用性的信息所需的信息以外，控制服务器102不向交易服务器108发送任何信息或从其接收任何信息(例如，命令和/或数据)，如图1中的元素110、112和114所指示。在本发明的一些实施方案中，在创建交易服务器108的过程中，控制服务器102不向交易服务器108发送信息或从其接收信息，在这种情况下，控制服务器102在任何时刻都不向交易服务器108发送任何信息或从其接收任何信息。

具体地讲，在创建交易服务器108之后，交易服务器108在没有控制服务器102参与的情况下执行请求106所请求的交易。例如，交易服务器108在没有控制服务器102参与的情况下加入与发起方104和授权参与方116a-n的所有通信118和120a-n。作为另一示例，交易服务器108在没有控制服务器102参与的情况下终止。作为另一示例，交易中涉及的命令或数据(诸如关键、专用或敏感数据)可以不通过控制服务器102。

控制服务器102可以参与或不参与交易服务器108的终止。例如，控制服务器102可以诸如通过向交易服务器108发送终止指令或通过另一机构使交易服务器108终止。替代地，例如，交易服务器108可以在没有控制服务器102参与的情况下自行终止。

如上所述，控制服务器102和交易服务器108各自具有至少一个可对其寻址的地址(例如，ip地址)。控制服务器102的地址不同且相异于交易服务器108的地址。例如，控制服务器102可以具有一个ip地址，并且交易服务器108可以具有与控制服务器102的ip地址不同的另一个ip地址。作为另一示例，控制服务器102和交易服务器108可以在相同的ip地址的不同端口处被访问。控制服务器102可以是物理机，并且交易服务器108可以是不同于控制服务器102的另一物理机。作为又一示例，控制服务器102和交易服务器108可以是驻留在相同物理计算机系统上的不同虚拟机。

本发明的实施方案(诸如图1的系统100和图2的方法200)的一个优点在于，其使得请求106所请求的交易能够比现有技术系统更安全地执行。仅针对有限数量的交易(例如，一个交易)创建和使用交易服务器108，并且独立于控制服务器102执行交易，这避免了对该交易的成功攻击也将危及其他交易以及此类交易可访问的数据的风险，因为对交易服务器108所执行交易的任何攻击都不能访问其他交易或此类交易可访问的数据。因此，本发明的实施方案包括改进的计算机系统和方法，其解决了计算机安全中先前未解决的技术问题，即如何保护服务器免受其他服务器攻击的危害的技术问题。该问题及其通过本发明实施方案的解决方案本质上植根于计算机技术，表示对计算机技术的改进，并且使用非传统计算机技术的特定组合产生先前未实现的技术益处。

图3至图8中示出的本发明的实施方案的一个优点在于，其通过在需要之前预配交易服务器，从而使得此类交易服务器能够在没有延迟(在需要时才预配此类交易服务器的情况下将存在)的情况下可用，使得计算机能够比现有技术的系统更快和更有效地执行交易。因此，图3至图8中所示的实施方案解决了如何使虚拟服务器能够更有效地执行交易的技术问题，并且使用本质上植根于计算机技术的解决方案来实现，该解决方案是对计算机技术的改进，并且使用非传统计算机技术的特定组合产生先前未实现的技术益处。

如上所述，在本发明的一些实施方案中，在控制服务器102接收到请求106之前，交易服务器108可能不存在(例如，预配)。然而，在本发明的其他实施方案中，交易服务器108可在控制服务器接收到请求106之前存在。然而，在此类实施方案中，在接收到请求106之前，交易服务器108至少对于除控制服务器102之外的系统100的任何部件是不可访问的。在接收到请求106之前，交易服务器108甚至可能不可被系统100的任何部件(包括控制服务器102)访问。如将在下文更详细地描述的，在此类实施方案中，响应于接收到请求106，控制服务器102可以使交易服务器108(例如，对发起方104和/或授权参与方116a-n)可访问，使得交易服务器108变得可用于以上述任何方式执行一个或多个交易。

更具体地，参考图3，示出了系统300的数据流程图，其包括一个或多个“暗”交易服务器308a-m，用于使得暗交易服务器308a-m中的一个可被访问以用作交易服务器308。参考图4，示出了根据本发明的一个实施方案的由图3的系统300执行的方法400的流程图。尽管本文中的描述示出了多个暗交易服务器308a-m，并且该描述在本文中提及所述多个暗交易服务器308a-m，但是所有此类引用应理解为指代任意数量的交易服务器，包括少至一个交易服务器。

图3的系统300可以执行图1的系统100的一些或全部功能。为了便于说明和解释，本文中仅描述了图3的系统300不同于图1的系统100的方面。本文没有结合图3的系统300描述图1的系统100的各方面，这并不意味着图3的系统300也不具有那些方面。相对于图2的方法200，图4的方法400也是如此。

甚至在发起方104向控制服务器102提供请求106之前(图4，操作402)，控制服务器102也可以预配310一个或多个交易服务器308a-m(本文中称为“暗”交易服务器)。在控制服务器102接收到请求106之前预配暗交易服务器308a-m可能有益的一个原因在于，在控制服务器102接收到请求106的时间和交易服务器(例如，图1中的交易服务器108)可被预配并变得完全可用于执行交易的时间之间可能存在明显的延迟。这种延迟可能是不期望的，并且当使用交易服务器执行时间敏感交易时，减轻或消除这种延迟可能是有益的。在许多环境中，五秒钟或更长的延迟是不期望的，并且在某些情况下，这种延迟可能长达两三分钟，或甚至更长。如下面更详细地描述的，本发明的实施方案可用于减轻或消除这种延迟，同时保持交易服务器108的瞬态性质的安全益处。

控制服务器102以使得暗交易服务器308a-m不可寻址的方式预配暗交易服务器308a-m。这种不可寻址性是使得暗交易服务器308a-m“暗”的原因。控制服务器102可使暗交易服务器308a-m一经预配即不可寻址，使得暗交易服务器308a-m不可寻址，除非且直到其随后通过诸如以下描述的任何方式变得可寻址。

控制服务器102可以多种方式中的任何一种来使暗交易服务器308a-m不可寻址。例如，控制服务器102可配置提供暗交易服务器308a-m的服务器提供方的一个或多个安全策略，以使暗交易服务器308a-m不可寻址。

即使暗交易服务器不可寻址，其仍然可能能够发出传出请求。在服务器不可寻址时，其可以轮询控制服务器302以确定控制服务器302是否已经接收到尚未分配给交易服务器的交易请求。如下面更详细地描述的，控制服务器302可以将交易请求分配给暗交易服务器，并且当需要用于服务交易请求时，向暗交易服务器提供交易参数和其他信息。

一般来讲，不论控制服务器102用于使暗交易服务器308a-m不可寻址的特定机构如何，这种不可寻址性的效果是禁止系统300的元素(诸如发起方104、授权参与方116a-n，及甚至控制服务器102本身)看到网络上的暗交易服务器308a-m，并且禁止向暗交易服务器308a-m发送网络流量或从其接收网络流量。因此，在暗交易服务器处于其不可寻址(暗)状态时，系统300的此类元素不能改变暗交易服务器308a-m的配置或不能改变暗交易服务器308a-m的预定行为。

现在假设控制服务器102接收到交易请求106，如以上结合图1和图2所示和所述。响应于接收到请求106，控制服务器102选择312暗交易服务器308a-m中的一个，并且使314所选择的暗交易服务器可通过网络寻址(图4，操作404)。所得的可寻址(非暗)交易服务器在图3中被示出为交易服务器308。

控制服务器102可以多种方式中的任何一种使得交易服务器308可寻址，诸如通过更新服务器提供方的安全策略以允许网络流量被发送到交易服务器308并且从其接收网络流量。此类更新可以指定被授权与交易服务器308通信的特定实体(例如，发起方104和/或授权参与方116a-n)，使得只有那些实体而没有其他实体可以与交易服务器308通信。因此，系统300的元素(诸如发起方104、授权参与方116a-n和控制服务器102本身)可以看到网络上的交易服务器308，并且可以在交易服务器308处于其可寻址(非暗)状态时向交易服务器308发送网络流量并且从其接收网络流量。从安全角度来看，在控制服务器302接收到请求106之前预配处于不可寻址状态的交易服务器308，然后响应于接收到请求106而使交易服务器308可寻址的效果类似于响应于接收到请求106而预配交易服务器308，因为交易服务器308不可访问，且因此在接收到请求106之前不可能被篡改，但是通过消除在接收到请求106之后预配交易服务器308所需的时间，使得交易参与方(例如，发起方104和/或授权参与方116a-n)可以比直到接收到请求106之后才预配交易服务器308更快地访问交易服务器308。

控制服务器302可以预配316新的暗交易服务器，并且将新预配的服务器包括在暗交易服务器308a-m池中(图4，操作406)。控制服务器302可以上面结合暗交易服务器308a-m的预配310公开的任何方式预配新的暗交易服务器(图4，操作402)。然后，在下次执行方法400的操作404时，新预配的服务器可供选择作为交易服务器。

在随后的时间，交易服务器308终止316(图4，操作408)。交易服务器308可以(例如)以多种方式中的任何一种终止，诸如本文结合图1的交易服务器108的终止公开的任何方式(图2，操作212)，诸如通过响应于交易服务器308完成其交易或者响应于超时期限在交易服务器308完成其交易之前过去而终止交易服务器308。控制服务器302可以响应于满足多种条件中的任何一种(包括复杂条件)预配新的暗交易服务器。例如，控制服务器302可以让现有交易服务器308在工作时间期间运行，并且在现有交易服务器308已经在休息时间期间以待机模式运行了两个小时之后终止交易服务器。

响应于终止交易服务器308，控制服务器302可以本文公开的任何方式在暗交易服务器308a-m池中预配新的暗交易服务器。然后，在下次执行方法400的操作404时，新预配的服务器可供选择作为交易服务器。

在操作408中终止交易服务器308仅是一种可能性，而并非对本发明的限制。替代地，例如，代替终止交易服务器308，交易服务器308可以被重新置于不可寻址状态(使用本文公开的任何技术)，并且由此再次成为暗交易服务器308a-m池的一部分，其中该交易服务器将再次变得可供选择以执行一个或多个附加交易。尽管由此产生的暗交易服务器不会是全新的，因为其已经执行过交易，但是其将再次处于不可寻址状态，从而防止任何外部实体影响其功能。相比于其中交易服务器被终止的实施方案，此类实施方案将降低操作系统300的总成本，并且将向大容量交易系统提供处理如此大容量的能力，而不需要快速地预配和终止服务器。

本发明的某些实施方案可保持暗交易服务器池(诸如图3所示的暗交易服务器308a-m池)和ip地址池两者。此类实施方案通过图5的系统500和图6的对应方法600示出。

图5的系统500包括控制服务器502，控制服务器502可以与图3的控制服务器302相同或相似。图5的系统500还包括暗交易服务器508a-m池，所述暗交易服务器508a-m池可以与图3的暗交易服务器308a-m池相同或相似。为了便于说明和解释，本文中仅描述图5的系统500不同于图3的系统300的各方面。本文没有结合图5的系统500描述图3的系统300的方面，这并不意味着图5的系统500也不具有那些方面。相对于图4的方法400，图6的方法600也是如此。

如在图3的系统300和图4的方法400中，在图5的系统500中，甚至在发起方104向控制服务器502提供请求106之前，控制服务器502可以使用上面公开的任何技术预配交易服务器508a-m中的一个或多个(图6，操作602)。类似地，如在图3的系统300和图4的方法400中，在图5的系统500中，控制服务器502可以接收交易请求106，如以上结合图1和图2所示和所述的。响应于接收到请求106，控制服务器502选择510暗交易服务器508a-m中的一个，并且使314所选择的暗交易服务器可通过网络寻址(图6，操作604)。所得的可寻址(非暗)交易服务器在图5中被示出为交易服务器508。

控制服务器502还从系统500中的ip地址池520中(例如，随机地)选择512ip地址中的一个，将所选择的ip地址分配给所选择的交易服务器508(图6，操作606)。然后，所选择的ip地址不再可供选择或分配给任何其他服务器。

控制服务器102诸如通过更新服务器提供方的安全策略，以允许在所选择的ip地址向交易服务器508发送网络流量并从其接收网络流量，使得514所选择的交易服务器508能够在所选择的ip地址处寻址(图6，操作608)。

在随后的时间(诸如响应于交易服务器508完成其交易或者响应于超时期限的流逝而交易服务器508未完成交易)，控制服务器102执行两个动作516：(1)使所选择的ip地址与交易服务器508不相关，并且可以或者可以不使所选择的ip地址再次可从ip地址池520中选择(图6，操作610)；以及(2)使交易服务器508不可寻址，并且使交易服务器508再次可供从暗交易服务器508a-m池中选择进行使用(图6，操作612)。

图5的系统500和图6的方法600使得交易服务器508a-m可以被使用一次以上(无论其实际上是否使用过一次以上)，从而获得减少或消除响应于每个新的交易请求而预配新服务器所需的时间的益处，同时在其被使用时随机化分配给交易服务器的ip地址，从而减少或消除通过重新使用服务器引入的安全风险。此外，不管每个交易服务器508a-m在终止之前执行的交易数量如何，图5的系统500和图6的方法600的优点在于，其使得暗交易服务器的ip地址在被激活用于交易之前是不可知的。

本发明的又一个实施方案由图7和图8示出，图7是用于连续预配交易服务器的系统的数据流程图700，图8是根据本发明的一个实施方案的由图7的系统700执行的方法800的流程图。

控制服务器702(其可以与本文公开的任何其他控制服务器102、302和502相同或相似)重复地(例如，周期性地)在暗交易服务器池706中预配712新的暗交易服务器(图8，操作802)。例如，控制服务器702可以预配一个暗交易服务器并在一个时间将其添加到暗交易服务器池706中，然后在稍后的时间预配另一个暗交易服务器并将其添加到暗交易服务器池706中。控制服务器702可以在任意时间量内并且针对任意数量的暗交易服务器重复该过程。控制服务器702可以本文公开的任何方式将池706中的每个暗交易服务器预配为“暗”(不可寻址)交易服务器。

发起方704(其可以与图1的发起方104相同或相似)诸如以上面结合图1和图2公开的任何方式请求714交易服务器(图8，操作804)。

在任何时候，当交易服务器池706中的新的暗交易服务器已经完成初始化并准备好执行交易时，该交易服务器通知716控制服务器702交易服务器准备好执行交易(图8，操作806)。注意，新发起的交易服务器可以在任何时候通知控制服务器702其可用性，诸如在发起方704从控制服务器702请求714交易服务器之前和/或之后。

如果在新发起的交易服务器通知控制服务器702新发起的交易服务器可用于执行交易时，在控制服务器702处没有待处理的交易请求，则交易服务器终止716(图8，操作808)。例如，控制服务器702可以确定其没有任何待处理的交易请求，并且响应于此类确定，终止交易服务器或指示交易服务器终止。

响应于接收到请求714，控制服务器702：(1)选择可用于执行交易的暗交易服务器(如果有)，这可以包括等待暗交易服务器变得可用；(2)使所选择的交易服务器可寻址，并且以其他方式使所选择的交易服务器能够进行通信；并且(3)通知716发起方704所选择的交易服务器的地址(图8，操作810)。发起方704和所选择的交易服务器(不再是“暗”的)然后可以彼此通信，并且交易服务器可以本文公开的任何方式代表发起方704执行一个或多个交易。

通过在图7的系统700中错开随时间连续预配的所述数量的服务器，可以消除服务请求714和服务该请求的服务器可用之间的任何延迟，同时保持本文所公开的瞬态交易服务器的安全益处。

本文公开的本发明的实施方案可以各种方式彼此组合。例如，对本领域普通技术人员来说显而易见的是，图1和图2的系统100和方法可以分别以各种方式与图3至图8的系统和方法进行组合。

本发明的实施方案可以用于多种应用(诸如以下应用)中，这些应用仅仅是说明性的，而不是穷尽的。

来自原始设备制造商(oem)的软件更新或补丁推送。智能机器oem104或授权的第三方可以使用交易服务器108来认证软件更新并将软件更新传输到远程智能机器116n。

具有连接到互联网的微处理器、可编程逻辑控制(plc)、数据采集与监控(scada)系统以及分布式控制系统(dcs)的机器(称为智能机器116n)需要进行定期软件更新。这些智能机器通常缺乏用于安全通信的系统或认证发送者或软件包的系统，并且其可从试图保护对智能机器的未授权控制或安装破坏性软件的不良行为者处接收未授权的软件更新。

本发明的实施方案可用于在其分散的远程智能机器116n上安装软件更新。oem充当发起方108，用于通过向控制服务器102发送请求106以使用特定参数创建交易服务器108，建立交易服务器108。在这种情况下，交易服务器108参数可以是或包括认证信息。一旦被创建，交易服务器108即认证oem104，并且将软件从oem104传送118到交易服务器108。然后，将认证的软件从交易服务器108传输120n到智能机器116n。

上述软件更新/补丁实施方案的优点包括以下各项：(1)防止安装恶意软件；(2)可扩展——可以创建无限数量的交易服务器；(3)可以从单个或多个交易服务器更新无限智能机器；以及(4)冗余性——可以用冗余更新创建交易服务器，以确保更新与各种平台上或各种环境中的预期设备通信，或者经由各种传输方法进行通信。

健康记录传输。本发明的实施方案可以使用交易服务器108减轻未经授权访问数字健康记录并将数字健康记录从记录生成方116a传送到另一个授权参与方116b的风险的可能性和量级。发起方104可以是生成记录的医疗团体、患者、保险公司或需要记录的另一医疗机构。

在该示例中，发起方104可以是需要受保患者医疗记录的受保人的保险公司，并且授权参与方116a可以是生成医疗记录的医疗团体。保险公司(发起方104)联系106控制服务器102以建立110具有指定参数的交易服务器108。这些参数可以是符合保险和hippa或其他健康监管和行业要求的认证、网络安全以及数据记录保存和报告要求。交易服务器108通知(118和120a)发起方104和医疗团体或授权参与方116a其已经根据指定参数创建，医疗团体116a将健康记录传输120a到交易服务器108。然后，交易服务器108将健康记录转发118给保险公司104。然后，终止212交易服务器108。所有通信和数据传送均使用加密密钥进行保护。

上述健康记录传输实施方案的优点包括：(1)防止不良行为者在传输期间将记录作为目标的中间人攻击；(2)消除直接重复的连续通信链路漏洞；(3)针对加密格式的大数据存储建立基础；并且(4)通过将交易服务器上可用的记录限制为仅执行特定交易所需的记录显著降低风险。

瞬态资产托管和交换。交易服务器108可用于为信托和银行公司、数字交换运营商、产权公司以及证券交易所、经纪公司或清算机构安全地交换数字资产。

作为说明性示例，数字交换运营商(发起方104)识别希望(经由交易订单匹配)交换数字资产的两个交易者或授权参与方116a和116b。数字资产可能是加密货币(诸如比特币或莱特币)、数字法定货币、数字契约或任何其他有价值的数字资产。数字交换不必保管数字资产或资产的专用密码密钥。资产由两个所有者持有，直到完成交易订单匹配并且交易准备开始。

当授权参与方116a和授权参与方116b准备好交换资产时，数字交换运营商或发起方104与控制服务器102通信118，所述控制服务器创建110交易服务器108和托管。交易服务器108通过向控制服务器102、发起方104和交易者或授权参与方(116a和116b)传送(112)适当的消息确认其是根据发起方104的指定参数建立的。每个授权参与方(116a和116b)将其资产发送到托管和交易服务器108。交易服务器108将根据指定的参数确认细节并认证各方和交易。一旦确认资产保管在相关区块链上持续指定的时间段(块，基于由控制服务器102指定的交易担保或清算风险)，交易服务器108将把资产传送(120a和120b)到相应的接收者、授权参与方(116a和116b)。根据参数，交易服务器108可以确认或不确认预期接收者已经接收到新的数字资产。一旦交易完成，交易服务器108即传输控制服务器102在参数中指定的信息，然后终止212。交易服务器108可以在其存在期间控制一个交易或多个交易。

上述瞬态资产托管和交换实施方案的优点包括：(1)系统建立真正的托管；(2)不良行为者不具有足够的时间定位、瞄准和渗透交易服务器，因为交易服务器仅存在短暂的一段时间；(3)不良行为者不知道托管交易服务器的服务器的位置或地址，因为交易服务器是在随机外部服务器上创建的；(4)由于交换运营商无法访问各方的专用密钥，因此没有资产被聚合，并且网络钓鱼数字交换运营商不像目前在交换运营商系统中那样提供对聚合存款池的访问；以及(5)降低数字交换运营商的储备货币要求和网络安全成本。

应理解，虽然上文已参考特定实施方案描述本发明，但是上文实施方案仅提供作为说明性的，且不限制或限定本发明的范围。各种其他实施方案(包括但不限于下文)也在权利要求的范围内。例如，本文中描述的元件和部件可进一步划分为额外部件或结合在一起以形成用于执行相同功能的更少部件。

本文中公开的任何功能可使用用于执行这些功能的装置来实施。此类装置包括但不限于本文中公开的任何部件，诸如下文描述的计算机相关部件。

上文描述的技术可以例如硬件、有形地存储在一个或多个计算机可读介质上的一个或多个计算机程序、固件或其任何组合来实施。上文描述的技术可以在可编程计算机上执行(或可由其执行)的一个或多个计算机程序实施，所述可编程计算机包括任何数量的下列各项的任何组合：处理器、可由处理器读取和/或写入的存储介质(包括例如易失性和非易失性存储器和/或存储元件)、输入设备和输出设备。程序代码可应用至使用输入设备键入的输入以执行所描述的功能并使用输出设备产生输出。

本发明的实施方案包括仅在使用一个或多个计算机、计算机处理器和/或计算机系统的其他元件的情况下才可能实施和/或实施才可行的特征。此类特征在脑力上实施和/或手动地实施是不可能的或不切实际的。例如，本发明的实施方案包括计算机系统，该计算机系统包括诸如控制服务器102和交易服务器108等多种部件，其本身是计算机系统，并且通过数字通信网络(诸如互联网)彼此通信。因此，本发明的实施方案涉及对计算机技术的改进。

本文中肯定需要计算机、处理器、存储器或类似计算机相关元件的任何权利要求旨在需要此类元件，并且不应被解释为好像此类元件不存在于这些权利要求中或不被这些权利要求所需要一样。此类权利要求并非旨在且不应被解释为涵盖缺少所述计算机相关元件的方法和/或系统。例如，本文中叙述由计算机、处理器、存储器和/或类似计算机相关元件执行所要求保护的方法的方法权利要求旨在并且应仅被解释为包括由所述计算机相关元件执行的方法。这种方法权利要求不应被解释为包括例如脑力上或手动(例如，使用笔和纸)执行的方法。类似地，本文中叙述所要求保护的产品包括计算机、处理器、存储器和/或类似计算机相关元件的任何产品权利要求旨在并且应仅被解释为包括具有所述计算机相关元件的产品。此类产品权利要求不应被解释为例如包括不具有所述计算机相关元件的产品。

所附权利要求的范围内的每个计算机程序可以诸如汇编语言、机器语言、高阶程序式编程语言或面向对象的编程语言的任何编程语言实施。例如，编程语言可为编译或解译编程语言。

每个这种计算机程序可以有形体现在机器可读存储设备中供计算机处理器执行的计算机程序产品实施。本发明的方法步骤可由一个或多个计算机处理器执行，所述一个或多个计算机处理器执行有形体现在计算机可读介质上的程序以通过操作输入和产生输出而执行本发明的功能。适合的处理器包括例如通用微处理器和专用微处理器两者。通常，处理器接收(读取)来自存储器(诸如只读存储器和/或随机存取存储器)的指令和数据并且将指令和数据写入(存储)至存储器。适于有形体现计算机程序指令和数据的存储设备包括例如所有形式的非易失性存储器，诸如半导体存储器设备，包括eprom、eeprom和闪存存储器设备；磁盘，诸如内部硬盘和可移除磁盘；磁光盘；以及cd-rom。任何上述内容可由专门设计的asic(专用集成电路)或fpga(现场可编程门阵列)补充或并入其中。计算机通常也可接收(读取)来自诸如内部磁盘(未示出)或可移除磁碟的非暂时性计算机可读存储介质的程序和数据，并且将程序和数据写入(存储)至所述非暂时性计算机可读存储介质中。这些元件也将见于传统的台式计算机或工作站计算机以及适于执行实施本文中描述的方法的计算机程序的其他计算机中，所述方法可结合任何数字打印引擎或标记引擎、显示监视器或能够在纸、膜、显示屏幕或其他输出介质上产生彩色或灰阶像素的其他光栅输出设备使用。

本文中公开的任何数据可实施在例如有形地存储在非暂时性计算机可读介质上的一个或多个数据结构中。本发明的实施方案可将此类数据存储在此类一个或多个数据结构中并且从此类一个或多个数据结构中读取此类数据。