基于策略的经由NFC的资源访问 |
|||||||
| 申请号 | CN201380058344.1 | 申请日 | 2013-11-07 | 公开(公告)号 | CN104769913A | 公开(公告)日 | 2015-07-08 |
| 申请人 | 微软公司; | 发明人 | E·南丁格尔; P·巴罕姆; B·拉玛基亚; | ||||
| 摘要 | 在此描述了解决了与访客对一场所处的资源的 访问 相关联的问题的一种资源访问系统,它通过使用NFC或碰撞作为快速认证过程来授予满足诸如维持链接的策略条件的对资源的持久访客权限。该系统提供了一种用于通过分派带有相关联的策略的持久链接来向到访新场所的启用NFC/碰撞的访客授予访问权的设施。该系统允许启用碰撞/NFC的设备用邻近的本地资源来认证,并向到访设备授权。这个动作证实要被授权的设备物理地处于该资源的场所,并且不涉及与用户进行任何代码或用户信息交换。这样,资源访问系统使用NFC和类似 近场通信 技术提供访客对场所资源的访问的简化设置。 | ||||||
| 权利要求 | 1.一种计算机实现的用于在到访设备和一个或多个基于场所的资源之间建立链接的方法,所述方法包括: |
||||||
| 说明书全文 | 基于策略的经由NFC的资源访问[0001] 背景 [0002] 当访客来到有WiFi网络或其它资源(例如,打印机)的新场所,常见的认证方法是向基于web的访问系统提供包括用户名和口令的凭证,或可替换地输入一次性或受限使用访问代码。宾馆,会议中心,咖啡店和其它地方常常需要确保那些正在使用公开提供的资源的人是那些应该要使用的人。例如,咖啡店可能想向其顾客提供WiFi接入而不是街上路过的每一个人。使用了各种方法来提供这样的认证。例如,该场所可以每天设置新口令并将口令给予那些被授权使用该资源的人。该场所可提供每个人可访问的网页,通过该网页用户输入口令从而能够访问任何其它页面。 [0003] 近场通信(NFC)是包括发射芯片和对应的接收器的紧临的一种网络连接类型。在一些情况中,发射器通过由接收器所提供的磁场来供电,接收器在线圈中引起电流,而在其它情况中,通信的两侧都被供电。例如,智能电话可包括NFC硬件使得两台智能电话可被放在一起足够的近以发起基于NFC的通信,或者一台智能电话可被放在接近某一其他接收器以发起与该接收器的基于NFC的通信。不像蓝牙或其它短程联网技术,NFC具有相对简单的建立过程无需复杂配对或其它步骤。因此,先前相互不知晓的两台设备可放在一起来建立连接而无需任何在先设置。 [0004] 一旦NFC连接已经被作出,连接可被用来发送各种类型的数据。NFC已经被用于非接触支付场景,以允许智能电话或其它设备代替具有可刷划的磁条的传统信用卡来使用。在一些情况中,塑料信用卡它们本身已经包括磁条和基于NFC的芯片两者,因此刷划或非接触支付都可被用来标识卡片并提供信用卡号或其它标识信息。 [0005] 现有的授予一场所的访客对该场所的计算资源的访问权的过程是缓慢的,并且涉及将诸如访问代码的信息向访客公开或从访客收集用户信息。这使得访客对场所资源的使用变得复杂,并且不能直接映射到想要访问资源的那些用户。例如,在邻近场所的人可能获得访问代码或其它信息,并且能够使用该资源,即使该资源的所有者或操作者并不想要他或她访问。 [0006] 概述 [0007] 在此描述了解决了与访客对一场所处的资源的访问相关联的问题的一种资源访问系统,它通过使用NFC或碰撞(即,将两台设备放到足够近的接触以经由基于无线电的或其它协议来相互通信)作为快速认证过程来授予满足诸如维持链接或基于时间的租赁的策略条件的对资源的持久访客权限。该系统提供了一种用于通过将设备经由物理接触(例如碰撞)与策略相关联来向到访新场所的启用NFC/碰撞的访客授予访问权的设施。该系统允许启用碰撞/NFC的设备用邻近的本地资源来认证,并向到访设备授权。这个动作证实要被授权的设备物理地处在特定场所,并且不涉及与用户进行任何代码或用户信息交换。所授予的权利接着允许对授权设备或附加资源的访问。设备通过接近度或通过接触(例如碰撞或NFC条件)来被认证。以此方式,NFC或类似硬件用作建立对在该场所的一些资源集的访问的权利的简化手段。NFC还可被用来建立用户正请求何种类型的权利。因此,资源访问系统使用NFC和类似近场通信技术提供访客对场所资源的访问的简化设置 [0010] 图2是示出一个实施例中的资源访问系统在到访设备和一个或多个基于场所的资源之间建立链接的处理的流程图。 [0011] 图3是示出一个实施例中该资源访问系统接收策略配置信息的处理的流程图。 [0012] 图4是示出一个实施例中在所到访的场所的通过允许碰撞的技术提供客户对资源的访问的资源访问系统的设置的框图。 [0013] 详细描述 [0014] 在此描述了一种资源访问系统,它通过使用NFC或碰撞作为快速认证过程来授予对资源的满足诸如维持Wi-Fi链接或其它行为(例如,在不同于Wi-Fi链接的其它资源情况下)的策略条件的持久访问者权限,解决了与访客对一场所处的资源的访问相关联的问题。对链接和链接终止的管理未被典型Wi-Fi情形解决,其它类型的资源也普遍如此。该系统还可提供对不同于Wi-Fi链接的其它资源的访问,诸如碰撞来接收Wi-Fi口令,或访问宾馆小冰箱(只要宾馆客人的智能电话处于房间内并连接到宾馆Wi-Fi)。替换地或附加地,系统可更安全地传递一些东西,诸如发放要被用于802.1X类型认证的以后可撤销的证书凭证。该系统提供了一种用于通过分派带有相关联的策略的持久链接(例如,深度链接)来向启用NFC/碰撞的访问新场所的访客授予访问权的设施。该系统允许启用碰撞/NFC的设备用邻近的本地资源来认证,并向到访设备授权。例如,在咖啡店或其它商务中心的打印机可具有NFC硬件,该NFC硬件允许携带具有NFC硬件的智能电话的用户在该用户将电话带入打印机的NFC硬件或在该场所的其它NFC硬件的范围(例如,在进口处或登记处旁边的碰撞位置)中之后使用该打印机进行打印。这个动作证实要被授权的设备物理地处在该场所,并且不涉及与用户进行任何代码或用户信息交换。所授予的权利接着允许对授权设备或附加资源(诸如在业主家里的Wi-Fi网络)的访问。例如,家庭用户可向客人提供无线网络,该无线网络在将请求访问的设备带入NFC或类似短程通信硬件的范围中之后可被访问。通过这个动作,设备的用户表明他或她物理地在家,并因此被授权访问客Wi-Fi网络。 [0015] 实现客Wi-Fi访问的一种方法是保持两个Wi-Fi区域,一个用于访客不能访问的本地家庭网络,另一个用于对网络的访客侧的客人访问。该网络可以是双重家庭的,或可通过Wi-Fi管理器上的代理提供访问。设备通过接近度或通过接触(即碰撞或NFC条件)来被认证。例如,访客可通过将他们的电话对照业主的路由器轻拍来获得对业主的家庭无线网络的安全Wi-Fi访问权。也可基于针对客人访问的策略通过将Wi-Fi访问代理通过接入点和/或Wi-Fi管理器来提供访问。以此方式,NFC或类似硬件用作建立对在该场所的一些资源集的访问的权利的简化手段。NFC还被用来建立用户正请求何种类型的权利。例如,可能有访客可将他或她的设备进行碰撞以请求对Wi-Fi网络、打印机、电视机、音乐册或一些其它资源的访问或对这些资源的每一个的各种不同级别的访问的多个NFC地带。这样,资源访问系统使用NFC和类似近场通信技术提供访客对场所资源的访问的简化设置。在另一示例中,碰撞提供用于访问家庭网络的密钥,该密钥在预定义时间段(例如24小时)后期满。 [0016] 资源访问系统允许如今复杂的几种类型的功能的简便的设置。首先,系统允许到访设备利用与私有网络的NFC/碰撞事件来供应提供客人或访客对资源和网络的访问的策略关联。该事件满足分类并许可该供应的策略。其次,系统允许监控策略并将策略应用到链接使得如果任何条件不满足就基于规则违背来终止链接。策略规则可包括暂时的、物理的,和情形因素,诸如时间、位置、与网络的距离,和邀请期满。第三,系统允许将访客对网络的访问划分成客服务集标识(SSID)或其它标识符以及私人家庭SSID Wi-Fi配置,使得供应的碰撞设备在策略被满足之后通过客网络被授予受限的访问,而私有的家庭设备继续经由家庭网络或其它策略接收完全访问。在此描述了可允许进一步的功能的各种扩展。 [0017] 资源访问系统是用于通过分派带有相关联的管理策略的持久或深度链接来向到访新场所的访客授予对该场所处的资源的访问权的系统。该系统允许启用碰撞/NFC的设备用邻近的本地资源来认证,并向到访设备授权。该权利接着允许对授权设备或附加资源(诸如在该场所的Wi-Fi网络)的访问。例如,访客可通过将他们的电话对照业主的路由器轻拍来获得对业主的家庭无线网络的安全Wi-Fi访问权。类似地,咖啡店的顾客可通过轻拍位于中央的设备来获得访问权。基于所有者定义的各种策略条件,权利在最初的接触或接近之后持续。 [0018] 深度链接周围的基础结构能够提供通过便携设备对资源的访问,以及围绕链接的策略的其它方面,诸如关于链接激活多久的时间约束,接近度限制(例如,访客可走到离场所多远并维持权利),以及授权的范围。例如,访客可在路由器获得基于碰撞的持久链接,在家呆一段时间,接着当设备的位置超过财产边界或当指定时间段已过(或者这些和其它条件的组合)时丢失链接。系统可具有关于“被邀请”到链接作为建立链接的一条件的访客的概念。例如,策略规则可在访客试图访问之前被提供给系统。系统可包括基于规则的策略系统,它能够基于碰撞/NFC认证满足供应条件来确定何时建立深度链接,以及基于由授权设备用稍后终止链接的条件确定的策略来确定新建立的深度链接的策略和条件。 [0019] 当设备被带到接近另一个设备(可以是专用Wi-Fi管理器、私有网络上的任何机器,或某一任意‘代理’设备等等)时,系统提供基于规则的策略系统,其中在设备可被授予对本地资源的任何类型的访问权之前要满足条件。除了需要NFC单独不提供的一个或多个附加条件以外,NFC/碰撞通信允许设备保证接近度或物理接触。在作出规则的条件被满足的判定之后,用基于与规则相关联的策略的权利来建立深度链接。例如,当具有NFC支持的便携设备被带到安全打印机附近时,安全打印机可请求设备的紧密接近度(或与打印机碰撞)用于认证,其中可由用户完成打印的特定时间窗口,以及打印机上与那个用户相关联的项目。在打印机情形中,深度链接策略监视可请求用户保持在打印机或与该打印机相关联的其它NFC设备附近的在场,否则策略关联被打破且安全打印停止。类似地,打印可被要求在特定时间窗口内完成,否则链接被打破。最后,链接策略可请求链接在最后页的打印完成之后终止,即使全部其它条件仍然满足。 [0020] 资源访问系统可提供或接收组合时间和空间质量的策略,或策略的其它组合以获取并维持对资源的访问。例如,只要宾馆客人处在他或她的宾馆房间中,并在办理入住时在宾馆前台将他或她的智能电话进行碰撞,系统就可提供对宾馆资源(例如,客Wi-Fi、小冰箱、电影等)的访问。类似的情形包括用于在受限时间窗口内购买商品、通过接近电话会议门户的设备在场且用户是被邀请者的需求(附加条件)加入电话会议会话,以及临时密钥存储的认证。另一个示例是监视器和键盘站,其中用户是活跃目录服务的已知成员,并且接近度被维持到键盘和监视器,且用户物理地被诸如网络摄像头或麦克风检测到(如链接策略指定的)。本领域技术人员将认识到大量的其它情形,基于NFC的策略系统以及附加条件可被应用到这些情形以去除复杂性并提供传统授予访问权的方法不能确保的附加的保证。 [0021] 图1是示出一个实施例中的资源访问系统的组件的框图。系统100包括到访设备110、设备检测组件120、资源管理组件130、链接发起组件140、访客策略组件150、设备访问组件160、以及访问生命周期组件170。这些组件中的每一个都在此处进一步详细讨论。尽管是分开描述的,本领域技术人员将理解在此描述的各种概念性的组件可在同一软件库或硬件组件中被一起实现。例如,组件120到170可以是可信提供者的一部分,而组件110在可信边界之外。 [0022] 到访设备110是包括启用可被接收设备检测到的碰撞技术(例如,近场通信(NFC)、蓝牙,或Wi-Fi)的计算设备。到访设备110可以是智能电话、MP3播放器、平板计算机、膝上计算机,或包括NFC芯片或类似硬件以利用在此描述的系统100的其它便携计算设备。到访设备可以是到访具有访客可用的资源的场所的用户所携带的设备。到访设备110可为到访设备110它自身的使用或为来访用户携带的其它设备(例如单独的膝上电脑)请求对资源的访问。用户可携带使用如资源访问系统所使用的类似或不同的通信技术的若干设备,诸如用作用于膝上电脑或平板计算机的个人Wi-Fi热点的智能电话。 [0023] 设备检测组件120是与所到访场所相关联的物理设备,设备检测组件包括用于检测到访设备110的启用碰撞的技术。设备检测组件120可以是类似到访设备110的设备的一部分,诸如另一台智能电话,可以是可向其提供访问的资源的一部分,诸如具有NFC硬件的打印机或路由器,或者可以是单独的外围设备或整个的计算设备。设备检测组件120检测诸如到访设备110的设备的在场或接近度,并通知资源管理组件130使得策略条件可被验证以确定是向到访设备110授予对场所资源的访问还是拒绝访问。在一些情况中,文本标签或其它指示可通知到访用户将到访设备110带到设备检测组件120接近度之内会允许特定功能或资源访问。特定场所可包括服务多个到访用户、在该场所的多个可用资源,或用于诸如区分到访用户可请求的多个类型的访问(例如在打印机上轻拍一处请求彩色打印,而轻拍另一处请求黑白打印)的其它目的的设备检测组件120的多个实例。 [0024] 资源管理组件130将被到访的场所的一个或多个可用资源编目录并管理到访设备对经编目录的资源的访问。资源可包括到访用户可通过系统100被授予访问权的任何类型的计算设备、外围设备,或其它设备,诸如打印机、Wi-Fi网络、游戏、灯光、立体声系统、扬声器、投影仪等。资源管理组件130可提供管理界面,诸如基于web的配置应用、移动应用、程序接口,或管理员(例如该场所的拥有者)可通过它通知资源管理组件130在该场所可用的特定资源的其它接口。资源管理组件130还可使用自动化设施,诸如通过网络广播、通用即插即用(UPnP)请求或类型通信以标识并确定可用资源。 [0025] 链接发起组件140发起到访设备110和在被到访的场所处的一个或多个可用资源之间的链接。链接可包括在通过启用碰撞的技术(例如NFC硬件或类似)在到访设备110和设备检测组件120进行初始通信之后建立Wi-Fi连接、蓝牙连接、或其它通信。基于NFC的通信可(例如通过设备标识符、凭证、密钥对、MAC地址、网际协议(IP)地址,或其它标识符)标识到访设备110,使得当通过另一协议的链接发起发生时,辅助协议知晓设备及其被许可的对资源的访问级别。到访设备110或资源可在经由NFC交换信息之后发起链接。 [0026] 访客策略组件150管理定义条件的一个或多个策略规则,在这些条件之下到访设备可访问被到访场所处的资源。规则可包括与可授予对资源的什么访问权以及那个访问权何时可被取走两者相关的策略信息。例如,对Wi-Fi网络的访问可被松散地授予可(通过NFC碰撞或类似证明)证明他或她在该场所的任何人,但可受时间限制(例如,30分钟),受位置限制(例如,只要用户在距离该场所100英尺内就有效),或一旦已经被授予访问权之后可终止或限制对资源的访问的其它约束。访客策略组件150可提供用户接口或程序接口,通过该接口管理员可指定适用于特定场所的策略规则。访客策略组件150管理任何接收到的或默认规则的存储和执行。 [0027] 响应于访客策略组件确定到访设备110已经满足对特定资源的访问的一个或多个条件,设备访问组件160向到访设备110提供这样的访问。设备访问组件160可通知特定资源,诸如打印机或Wi-Fi网络,接受来自到访设备110的使用请求。例如,设备访问组件可将访设备的MAC地址添加到可连接到Wi-Fi路由器以访问互联网的可允许MAC地址列表。设备访问组件160负责资源管理组件130和访客策略组件150之间的通信以执行用于访问资源的策略。 [0028] 访问生命周期组件170执行与到访设备110对一个或多个资源的访问的终止相关的策略规则。对资源的访问通常不会无限地或没有什么续订过程地授予。例如,提供Wi-Fi访问的商家业主可能仅想要向顾客提供公共互联网访问达受限时段,或者可能想要顾客周期性地续订访问。为此,商家业主可指定策略规则,该策略规则要求访客周期性地(例如,每小时)或在商家业务处购买之后将到访设备110对照设备检测组件120来轻拍来维持或恢复对资源的访问。访问生命周期组件170可执行用于终止访问(例如,将到访设备MAC地址从被允许地址列表中移除)的动作,以及用于(例如,经由推送通知、电子邮件,或其它通知)通知并告知到访用户对资源的访问即将终止的动作。 [0029] 在其上面实现资源访问系统的计算设备可包括中央处理单元、存储器、输入设备(例如,键盘和指示设备)、输出设备(例如,显示设备),以及存储设备(例如,磁盘驱动器或其他非易失性存储介质)。存储器和存储设备是可以用实现或启用该系统的计算机可执行指令(如软件)来编码的计算机可读存储介质。此外,数据结构和消息结构可被存储在计算机可读存储介质上。在此所要求保护的任何计算机可读介质仅包括那些落入法定可授权类型的介质。该系统还可包括数据可通过其传送的一个或多个通信链路。可以使用各种通信链路,诸如因特网、局域网、广域网、点对点拨号连接、蜂窝电话网络等。 [0030] 该系统的实施例可以在各种操作环境中实现,这些操作环境包括个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、数码照相机、网络PC、小型计算机、大型计算机、包括任何上述系统或设备、机顶盒、片上系统(SOC)等中任一种的分布式计算环境等。计算机系统可以是蜂窝电话、个人数字助理、智能电话、个人计算机、可编程消费电子设备、数码相机等。 [0031] 该系统可以在由一个或多个计算机或其他设备执行的诸如程序模块等计算机可执行指令的通用上下文中描述。一般而言,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。通常,程序模块的功能可在各个实施例中按需进行组合或分布。 [0032] 图2是示出一个实施例中的资源访问系统在到访设备和一个或多个基于场所的资源之间建立链接的处理的流程图。在框210开始,系统确定用于形成到访设备和与所到访的场所相关联的一个或多个资源之间的链接的初始条件。初始条件可包括邀请、开放的路由器、一天里的时间、或由预定义策略提供的任何其它策略设置。策略可包括关于谁可访问资源和/或在其下将授予访问权的条件(例如,在该场所的证明在场)的规则。 [0033] 在框220继续,系统检测到访设备的在场。系统可基于对照碰撞传感器的碰撞或近场通信(NFC)硬件来到NFC接收器的接近度之内来检测在场以允许NFC通信来确定到访设备在场。检测到访设备的在场可包括确定到访设备经由接近度与多个可用NFC接收器中的哪个进行了交互。 [0034] 在框230继续,系统基于到访设备的检测到的在场来评估用于形成一个或多个资源和到访设备之间的链接的策略。条件可指定到访设备必须接触以访问特定资源的特定NFC接收器、被允许访问特定资源的到访设备类型的范围,到访设备没有先前超出任何特定时间或有关资源的进一步使用的其它限制等等。 [0035] 在判定框240中继续,如果系统确定用于链接的形成的策略被满足,则系统继续到框250,否则系统拒绝对一个或多个资源的访问并结束。为了确定策略是否被满足,系统审阅策略和条件(并且,例如有可能传送到客或受限权限SSID)以应用于链接的形成和持续。 [0036] 继续到框250,系统提供到访设备对一个或多个资源的访问。系统形成与到访设备的链接并在能够监控条件的链接管理器中(在一种情况下,在客SSID上)创建持久关联。访问策略可指定到访设备可访问的特定资源,诸如Wi-Fi路由器、打印机,或其它资源,以及访问的任何条件或限制(例如,打印受限数量的页或传输受限量的数据)。 [0037] 继续到框260,系统监视所建立的链接以发现将导致链接终止的任何条件违背。系统可监视客链接并评估围绕链接的策略以发现维持链接的条件(例如,接近度、时间、访问企图、物理位置等等)的违背。例如,访问Wi-Fi资源可以是时间受限为一小时或其它时间段,而对打印机的访问可在页数限制、对打印机的接近度等等方面受限。在一些情况中,授予访问权的碰撞的本质还确定了访问的类型或条件。例如,系统可指定用户碰撞一次针对所请求的Wi-Fi访问每20分钟,那么因此如果用户碰撞三次系统可授予那个到访设备60分钟的Wi-Fi访问。 [0038] 在判定框270中继续,如果系统检测到条件失败,则系统在框280继续,否则系统循环到框260以继续监控链接条件。条件可能因到访设备或设备的用户的行为(例如,超过受限的授权访问或移出基于接近度条件的区域)、因授权访问生命周期的期满,或因资源所有者通过一个或多个策略规则指定其它任何理由而失败。例如,在特定时间关门的商家可在关门时使访问授权期满,而向客人提供Wi-Fi的家庭业主可允许从最初请求开始的持续受限时段(例如,24小时)的访问。一旦条件失败,系统可允许用户通过再次重复在此说明的步骤来续订访问。例如,如果用户再次将他或她的设备对照合适的NFC接收器碰撞,那么系统可再次授予用户和/或到访设备附加的访问(例如,通过延长访问生命周期或续订其它策略条件)。 [0039] 继续到框280,系统基于策略条件的失败撤销到访设备对一个或多个资源的访问权。撤销访问可包括与特定资源通信的系统丢弃现有连接或使用并阻止该资源进一步被该设备使用。例如,在Wi-Fi连接的情况下,系统可维持被允许使用Wi-Fi网络的MAC地址或其它标识符列表,使得可通过将任何特定设备从列表移除来撤销访问权。在框280之后,这些步骤结束。 [0040] 以下仅仅是资源访问系统可使用刚刚描述的那些步骤来允许的许多情形中的一些的列表。在一些实例中,NFC建立路由器和管理员特权机器之间的初始设置通信以构建持久访问。在这些两个设备之间发生碰撞。对于客人访问,有更多方涉及,并且潜在地在堆栈中有更多层级。例如,客人膝上电脑可以与网络上的任何其它计算机(而不是路由器)碰撞来协商访问权,使得第三方被涉及而不是仅仅路由器。作为另一个示例,向访客提供的资源集可取决于访客碰撞哪个机器(例如,碰撞文件服务器提供对特定文件共享的访问权、碰撞打印机提供对打印机设备的访问权等等)。 [0041] 在一些实施例中,资源访问系统包括用于授权碰撞及通过碰撞创建的访问的用户接口或其它配置过程。例如,系统可请求场所的业主或管理者明确允许基于碰撞的访问并指定提供的对在该场所的一个或多个资源的访问的类型和范围。不同场所可优选不同策略,或者可以存在在特定场所逐资源变化的策略。有时候,一些东西可以在任何时候碰撞,例如,作为房子里的客人的任何人可碰撞路由器来获得访问权。其它时候,业主可明示允许访客碰撞(或针对单次碰撞激活设备)。例如,商人可仅仅允许顾客在顾客购买了一些东西之后经由碰撞来获取访问权以阻止免费访问。 [0042] 对于无线网络,客无线局域网(WLAN)可以是安全的且加密的(而不是开放的),且可经由NFC(服从于在此描述的深度链接)向客人膝上电脑提供网络的SSID和密钥。传统的(开放)客WLAN可使用MAC地址过滤来控制客设备的访问,并且MAC地址过滤器可以被碰撞家庭网络上的可信任机器的NFC来更新,其重新配置路由器。对于商业场所,拥有“一天密钥”对于不让某天光顾该场所的某人在他们不作出购买的其它日子继续使用资源而言是有用的。对于支持虚拟Wi-Fi的接入点而言,那么新SSID可在进行中被实例化(即,新虚拟接入点),并且通过NFC将SSID和密钥提供给客人。以此方式,客网络可以是短暂的并且可在当天结束时自动被删除(例如,使得密钥更难以被蛮力破解)。访问时间的量或资源使用的其它量可通过碰撞的数量来被配置(类似停车计时器)。系统还可这样做使得不同客人不能相互看见其他人的流量并且可应用流量整形来使获取了过多带宽的客人停止。 [0043] 取决于访客对照哪个机器或NFC接收机碰撞,系统可提供对不同场所资源集(例如文件服务器、客WLAN或其它网络上的打印机)的访问。系统可以与允许针对家庭网络上的网络共享、媒体服务器和打印机的认证的微软视窗HomeGroup一起使用,以通过启用碰撞的技术来提供对HomeGroup的访问。家庭网络上的HomeGroup可具有附加的对资源的访客或公共访问级别。系统还可利用多个HomeGroup——一个针对受信用户而另一个针对访客。可向访客提供新瞬态HomeGroup,它在指定时间(如上)后期满,或具有其它限制。 [0044] 图3是示出一个实施例中资源访问系统接收策略配置信息的处理的流程图。在框310开始,系统标识在特定场所对客人访问可用的一个或多个资源。例如,资源可包括网络、打印机、文件共享、家用电子设备,或在该场所的任何其它类型的资源。系统可诸如通过UPnP或其它设备枚举协议自动标识资源,或可通过诸如配置用户界面从管理用户或所有者手动接收描述资源的信息。 [0045] 在框320中继续,系统对可用资源编目录并将描述可用资源的信息存储在资源数据存储中。数据存储可包括一个或多个文件、文件系统、硬盘驱动器、数据库、基于云的存储服务、或者用于存储数据的其他设施。系统可跟踪每个资源的身份以及其它信息,诸如资源类型、用于访问资源的默认策略规则、由资源所有者定义的任何关于使用或使用的生命周期的策略定制或限制等等。 [0046] 继续到框330,系统确定要应用到每个资源的初始策略规则,其中至少一个规则指定使用近场通信(NFC)结合其它策略规则来发起对资源的访问。策略规则可指定谁可以访问资源、获得对资源的访问权的条件或要执行的动作、任何授予的访问权的生命周期或受限时段、用于维持访问的条件等等。例如,对于检测到的Wi-Fi路由器,系统可对发起与路由器的基于NFC的连接的任何客人允许客访问,并且只要客人在所定义的路由器的接近度内(系统可通过Wi-Fi信号强度、路由器之间的三角测量或其它测量来进行测量)就可以允许这样的访问。 [0047] 在框340中继续,系统接收针对访问所标识的资源的定制策略规则。定制规则由管理员或资源所有者指定,并定义用于对所标识的资源的初始访问及继续访问的条件。规则可标识特定NFC或类似接收器,并可定义访问每个这样的接收器具有用于授予到访用户对所标识的资源的访问权的什么效果。例如,碰撞一个NFC接收器可授予Wi-Fi访问权,而碰撞另一个NFC接收器可授予打印权。系统可提供用户接口或程序接口,系统管理员通过该接口可访问系统并提供定制的规则和其它配置信息。例如,系统可提供管理员可从网络访问的基于web的用户接口或移动应用以配置系统。 [0048] 继续到框350,系统存储所接收的策略规则,并将规则应用于到访该场所的设备,该设备通过使用到访设备和与该场所相关联的NFC接收器之间的NFC接近度来请求对所标识的资源的访问。系统将策略规则存储在策略规则数据存储中,并在到访设备(诸如通过在NFC接收器或多个NFC接收器之一的接近度内碰撞到访设备或与到访设备相关联的另一设备)发起对访问的请求时访问规则。在框350之后,这些步骤结束。 [0049] 图4是示出一个实施例中的到访场所处的资源访问系统的设置的框图,该系统通过启用碰撞的技术向客人提供对资源的访问。场所包括客网络400和私有网络405。两个网络包括各种资源,一些仅通过一个网络可用,而一些跨两个网络共享,诸如网络服务器420、网络服务器425,和网络打印机430(在一个网络中示出,但是也可被共享)。网络还包括相关联的Wi-Fi/链接提供者410,它包括Wi-Fi天线440(或多根天线)、策略评估组件450,和策略存储455。策略存储455包括描述在其下访客可访问各种资源的条件以及哪些资源是启用碰撞等的策略信息。到访设备415抵达该场所并包括启用碰撞的传感器435。在该场所的各设备还可包括启用碰撞的硬件,诸如与网络服务器420相关联的碰撞传感器460、与链接提供者410相关联的碰撞传感器445,以及与网络服务器425相关联的碰撞传感器465。通过将到访设备415带到与这些碰撞传感器中的每一个接触,到访设备415的用户可根据策略获得对在该场所的各种资源的访问。策略存储455还可包括用于一旦授权后维持对资源的访问的条件。链接提供者410执行对到访设备415的访问的监控以实施这些条件。 |
||||||
QQ群二维码
意见反馈
意见反馈