当前，通过网络连接级安全(用于无线LAN的WEP/WPA)、UPnP(通 用即插即用)安全以及Web服务安全来为普适计算环境设置安全功能。 然而，随着普适计算被投入实际使用，作为服务，需要简单且安全的机 制来对设备进行控制。网络上的安全机制通常是复杂并且不充分的。
由于从任何位置都可以进行网络访问，而现有技术的网络安全通常 是繁琐的并且不考虑设备，所以限制了用户访问网络的便利性。

本发明将解决上述问题。
本发明的一个方面是利用网络和物理接口的组合来提供普适安全。
本发明的另一方面是在普适计算机系统中提供服务级的安全。
本发明的又一方面是为普适计算机系统提供不可见(最少用户动作) 的安全。
本发明的再一方面是为公共或者半公共的计算机网络提供安全。
通过方法、计算机可读的介质、以及系统来实现本发明的上述方面， 其中所述系统利用物理接口和网络接口的组合来向针对用户的服务提供 普适安全，并且包括以下功能：通过所述用户的客户端设备来建立到所 述服务的网络连接；由所述服务向所述用户的客户端设备发送一标识符； 由所述服务来确定所述用户是否在与所述服务物理邻近的情况下向该服 务输入了所述标识符；以及如果所述用户已经在与所述服务物理邻近的 情况下向所述服务输入了所述标识符，则调用所述服务。
本发明扩展了普适计算环境中的服务，使之包括一种利用网络和物 理接口的组合的普适安全机制。本发明对于普适计算环境中的认证、授 权以及计费也是有用的。本发明利用了物理影响(physical leverage)， 例如对于无线通信、受限的用户交互和生物识别特征认证的邻近性的需 要。对于无线通信的邻近性利用了无线介质的受限范围，所述无线介质 例如有蓝牙、红外线、以及小型信标(MINI-BEACON)(小型信标在以下 专利申请中得到了公开：2003年9月22日在美国专利商标局提交的美国 临时专利申请No.60/503878，以及2004年8月31日在美国专利商标局 提交的美国专利申请No.10/929763(律师案卷No.1634.1009)，在此 以引用方式并入这两个的内容))。
在本发明中，当用户请求访问具体实现在一设备中的服务时，该设 备或者(1)返回一密钥(如PIN(个人身份标识号)或条形码)，或者(2) 获得访问该设备的所述用户的生物识别特征数据(指纹、虹膜扫描等)。 只有在以下情况下所述设备才允许所述用户的访问：(1)在与该设备直 接相连接的物理接口上提供了所述密钥，或者(2)在与该设备直接相连 接的物理传感器上完成了匹配生物识别特征测量。
这些以及随后将变得清楚的其他方面和优点，都体现在如以下更加 全面地描述和权利要求所述的结构和操作的细节中，所述细节是必须对 构成所述结构和操作的一部分的说明，其中贯穿全文都使用相同的标号 表示相同的部分。
附图说明
图1A表示本发明中的客户端设备与提供服务的网络化服务设备之 间的接口。
图1B表示普适计算系统的概况。
图2表示普适计算系统。
图3表示本发明的利用网络和物理接口的组合的普适安全的高层流 程图。
图4表示本发明的登录/注销(check-in/check-out)情景。
图5A表示本发明的设备锁定功能的流程图。
图5B表示本发明的设备调度(scheduling)功能的流程图。
图5C表示本发明的现场设备调度(on-the-spot device schedule) 功能的流程图。
图5D表示本发明的利用超时或者释放按钮调用一服务的流程图。
图5E表示本发明中的获取PIN的流程图。
图6表示本发明的控制页面(control page)的一个示例。
图7表示使用URL浏览器队列来实现本发明的现场调度的一个示例。
图8表示本发明的控制页面的另一个示例。
图9表示本发明的控制页面、输入装置和服务之间的关系。
图10表示本发明的租用体系结构(lease architecture)功能的流 程图。
图11表示本发明概况的流程图。

在对本发明进行详细说明之前，现在先对本发明在普适计算环境中 所提供的安全机制的特征进行论述。这些特征包括：不可见安全、相互 认证、访问控制、计费、设备访问模型，以及普适环境的特点与设备的 物理实现的影响。
不可见安全的特征表示安全对用户体验的影响应该最小。为了获得 最大的用户接受度，应该很少进行或者不进行安装，以及/或者很少有或 没有改变用户环境的需要。该特征是“最小影响”，而不是“没有影响”， 因为有时候让用户知道其设备上的安全设置是很重要的。
相互认证的特征表示：如果有必要，则每个客户端在使用一服务前 都要对该服务进行认证，并且每个服务在允许一客户端使用该服务前也 需要执行同样的操作。所述相互认证的特征发生在两个不同的层级：(1) 服务发现阶段，以及(2)服务合成或执行阶段。
访问控制的特征与上述相互认证的特征相联系，并且定义用于客户 端/服务交互的逻辑。
计费的特征表示客户端由于使用服务而被收费。
设备访问模型的特征表示：由于大多数服务在可由多个客户端同时 访问的设备上运行，所以对于针对设备的访问的设备锁定及调度就非常 重要。
普适环境的特点与设备物理实现的影响这一特征表示：由于普适环 境提出了不同种类的挑战，所以它们也提供了有效地利用环境限制和物 理邻近的机会。相对基础的有用解决方案(包括将设备连接到独立的网 络，或者使用小键盘来限制对设备的访问)提供了充分的安全机制。
因为在普适计算环境中存在着与设备物理邻近的用户，所以可能需 要设备在物理上是安全的。
另外，本发明的安全机制基于采纳的标准，由于只需要客户端揭示 适当量的信息以获取对服务的访问而保护了普适环境中的客户端隐私， 并且可以容易地适应于其中在提供服务以前对关联环境条件 (contextual criteria)(例如客户端的位置)进行认证的关联环境认 证。在本发明中可以保持用户的匿名性。
现在对本发明进行详细说明。
图1A表示本发明的普适安全机制10的概况。在本发明中，本发明 的普适安全机制10包括：用户202及用户客户端设备112与服务204之 间的物理邻近及网络连接。更具体地，根据本发明，用户202及用户客 户端设备112物理邻近于向用户客户端设备112提供的服务204。另外， 用户客户端设备112建立了用户客户端设备112与服务204之间的网络 连接。该网络连接可以是有线连接、无线局域网(无线LAN)、蓝牙、红 外线或者其它路径。而且，在用户客户端设备112与服务204之间的网 络连接中可以提供HTTPS。
可选地，并且同样如图1A所示，服务204可以对用户客户端112进 行位置确定，以确定用户客户端112是否与服务204物理邻近。
还是参照图1A，服务204通过网络连接来为用户客户端112提供凭 证(credential)、令牌、个人身份标识号(PIN)、通行码(pass phrase)、 以及条形码等，使得用户202能够向服务204确认该用户及用户客户端 设备112与服务204物理邻近。可选地，服务204设有与该服务204物 理耦接的输入装置114(例如小键盘)，从而使用户202可以向该小键盘 键入PIN。例如，所述用户客户端设备的用户202可以受服务204指示来 按击与服务204物理耦接的输入装置114上的一个按钮，或者向与服务 204物理耦接的输入装置114键入一已提前从服务204传送到用户客户端 设备112的PIN，以验证所述用户与服务204物理邻近，由此使得该用户 可以通过用户客户端设备112来调用服务204。
使用(PIN，小键盘)对作为(输入，输入装置)来对本发明的示例 进行说明。在本发明的备选实施例中，(输入，输入装置)对包括(通行 码，小键盘)对和(条形码，条形码读取器)对，并且这些备选实施例 适用于本发明的下述示例。
在本发明中，当服务(典型地，通过网络)向用户返回一PIN时在 网络级建立了用户与服务之间的连接，并且在用户把所述PIN键入到所 述服务中时在物理级建立了用户与服务之间的连接。所述PIN通常由服 务以纯文本方式返回给用户，其可能被其他用户截取。然而，由于所述 其他用户不会物理上处于所述服务的前面或者与所述服务物理邻近，所 以只有为其产生并返回所述PIN的用户才可以使用该PIN来调用所述服 务。另选地，为了提高安全性(但是潜在地会降低用户的匿名性)，可以 由服务对PIN进行加密，并由预期的用户对其解密，以防止所述PIN被 截取。
另外，服务204可以跟踪用户客户端112的网络ID。
可选地，服务204与服务器104进行通信。所述服务器在登录/注销 过程(在下文论述)中向服务204提供密钥、令牌、凭证、和/或生物识 别特征，服务204使用这些密钥、令牌、凭证、和/或生物识别特征来对 用户客户端112进行认证。这些密钥、令牌、凭证、和/或生物识别特征 被从服务204传送到用户客户端112。可选地，服务204包括诸如令牌读 取器或生物传感器的输入装置114。在调用服务204之前，用户客户端 112必须通过向输入装置114输入例如提前从服务204传送到用户客户端 112的用于服务204的令牌，来验证用户客户端112与服务204物理邻近。
图1B表示一个普适计算系统100。如图1B所述，该普适计算系统 100包括一网络102，该网络102包括多个服务器104、多个计算机106、 多个网络化服务设备108以及多个接入点110。这些接入点110使得客户 端设备112可以通过客户端设备112与接入点110之间的有线连接，或 者通过客户端设备112与接入点110之间的无线连接(例如通过无线LAN， 或者蓝牙)，来接入网络102。通过对网络102的访问，客户端设备112 获得对服务204(图1B中未示出)的访问，所述服务204是由服务器104、 计算机106以及网络化服务设备108通过网络102来提供的。服务器104、 计算机106以及网络化服务设备108可以包括处理器、小键盘、显示器、 存储器、以及输入装置等。
也就是说，网络化服务设备108是与网络102相连接的物理实施例， 并且该物理实施例向用户或客户端设备112提供普适计算机系统100的 服务204。例如，网络化服务设备108可以是显示单元、投影仪、打印机 或者任何其它提供服务的物理端(physical point)。
普适计算系统的一个示例是任务计算(TASK COMPUTING)，这在美国 专利商标局中的下列专利申请中有所公开：2002年12月19日提交的美 国临时专利申请No.60/434432；2003年9月9日提交的美国临时专利 申请No.60/501012；2003年10月17日提交的美国临时专利申请No. 60/511741；以及2003年12月12日提交的美国专利申请No.10/733328， 在此以引用的方式并入所有这些专利申请的内容。
任务计算包括服务发现阶段以及服务合成和执行阶段，并且在与图 1B的普适计算机系统100相关的一个示例中，用户202将通过与接入点 110进行通信的客户端设备112、或者直接通过网络化服务设备108来访 问这些服务。
图2表示用户202访问设置在普适计算机系统100中的服务204的 一个示例200。这些服务204是由上述的服务器104、计算机106、以及 网络化服务设备108多方面地提供给与访问网络102的客户端设备112 进行交互的用户202的。这些服务204(1、2、和3)的示例包括打印服 务、投影仪服务、显示服务以及地图服务等等。
重新参照图1B，如图1B中的普适计算系统100所示，客户端设备 112必须与向用户提供服务204的网络化服务设备108物理邻近。例如， 网络化服务设备108可以包括输入装置114(例如小键盘、键盘、麦克风 以及摄像头等，在下文进行说明)，其用于使用户202输入PIN以获取对 网络化服务设备108或服务204的访问。
本发明的普适安全机制10确定授权多个用户客户端设备112中的哪 个来访问一特定服务204。
也就是说，本发明包括一系统，其向由所述普适计算机系统所提供 的服务输入一标识符，并对该标识符进行认证，根据对该标识符的认证 来授权使用所述服务，并且使用登录/注销功能和租用功能中的至少一个 来向系统提供不可见的安全性。
在本发明中，在向用户202或客户端设备112提供选定服务204的 网络化服务设备108或接入点110处提供安全性。即，与所述客户端设 备112连接以提供网络102的服务204的网络化服务设备108和接入点 110包括执行软件程序的处理器，所述软件程序使得网络化服务设备108 或接入点110执行下面说明的普适安全功能。
图3表示本发明的利用网络和物理接口的组合的普适安全的高层流 程图320。
现在参照图3，用户设备112建立与服务204的网络连接(322)。 接着服务204向该用户设备112传送一标识符(324)。当用户202获得 对所述服务204的输入装置114的物理访问时(326)，该用户输入所述 标识符。如果所述用户202向服务204输入了正确、有效的标识符(327)， 则调用服务204(328)。否则，不调用服务204(330)。
本发明包括几个实施例以提供安全性：(1)登录/注销功能，(2)设 备调度，(3)通过位置确定的安全性，以及(4)租用体系结构。
现在说明作为利用物理接口和网络接口的组合的普适安全机制10 而被包括的本发明的实施例。
对登录/注销功能400进行简要概述后，将参照图4说明登录/注销 功能400。
本发明通过登录/注销功能来提供不可见的安全性。所述登录/注销 功能在登录阶段向客户端设备112提供所有必要的凭证，并且还执行计 费。这些凭证包括证书、密钥、生物识别特征标识符、或者智能令牌。 可以通过隔离的无线网络(其仅具有能够登记用户进入次数的必要且充 分的连接)、或者诸如红外线和蓝牙的受限信道、或者物理传递(如果凭 证是物理对象)，来将上述凭证提供给客户端设备112。例如，这些凭证 是由与网络102进行通信的服务器104产生并保持的。
对于证书的情况，客户端证书和服务证书二者都提供对彼此的相互 验证。对于共享密钥的情况，所述共享密钥用作密码胶(cryptographic glue)，其使得客户端设备112和服务器104相互认证。
生物识别特征标识符(例如指纹、脸部识别、以及虹膜模式)被用 作为客户端侧112的认证用凭证。即，必须针对服务204对客户端设备 112的用户202进行认证，并且所述用户202必须与服务204物理邻近， 这是在一特定的网络化服务设备108处向用户202提供服务204的条件。 生物识别特征为客户端设备112的认证提供了高层次的安全性。
智能令牌是卡或者其它物理对象。这些智能令牌也可以用于客户端 侧112的认证。智能令牌配置有在对由普适计算机系统100提供的服务 204进行访问之前必须出示的红外线发送器、简单条形码、RFID(射频标 识)标签、以及蓝牙发送器等。这提供了认证(其中服务204可以理解 且接受或者拒绝所述条形码或红外线信标)和计费。而且，由于受限信 道的特点(其确保智能令牌的持有者与服务204物理上邻近)，所以智能 令牌提供了位置和身份认证。
邻近的使用包括从红外线范围、RF范围到几乎是零距离的条形码范 围的整个频谱。物理邻近是一强大的安全功能，因为物理邻近直接与物 理安全相关。即，如果智能令牌的持有者由于具有正确的令牌而通过了 认证并且与服务204物理邻近，则只有在不允许该持有者物理进入建筑 物内部的情况下才会危及系统的安全。
与所述邻近的使用相关的是物理制品的使用。在网络化服务设备108 上设有诸如小键盘114、触摸屏以及按钮的物理制品，以确保只有靠近服 务204的用户202才能使用服务204。
在用户202靠近要访问的服务204的场合，智能令牌或者物理制品 的使用是合适的。
同样与所述邻近的使用相关的是对网络化服务设备108或者服务 204进行加锁/解锁的真正的“钥匙”的使用。
可以使用证书、密钥或者智能令牌来实现计费。无论何时使用智能 令牌(即，无论何时广播红外线信标，或者无论何时扫描条形码)，被访 问的服务204都可以记录时标(time stamp)，并由此向访问服务204的 客户端设备112收费。在本发明的一个实施例中，智能令牌卡中还包括 时间片(time slice)(在下文中说明)的使用，其中卡的每次使用都对 应于一固定的时间片。
在注销过程中，撤销提供给客户端设备112的所有凭证。使用计费 过程来对所述客户端设备恰当地收费。
现在参照图4，说明登录/注销情景400。
在登录过程中，用户202请求并接收其全部凭证(402)。如果要使 用的凭证是智能令牌，则可以通过向用户202物理传递所述智能令牌来 实现。在凭证为诸如证书和共享密钥的情况下，登录过程包括将这些凭 证安装在客户端设备112上的步骤。这可以通过允许客户端112访问一 无线局域网(LAN)来实现，所述无线局域网(以服务的形式)向用户202 提供web/UPnP接口，以安装所述证书和密钥。
用户请求访问系统100的服务204(404)。当凭证仍然有效时(406)， 用户202可以访问由普适计算机系统100提供的服务204(408)，并且普 适计算机系统100的计费功能将跟踪该访问(410)。
当客户端112正在访问服务204时(408)，用户202的经历再次取 决于是使用证书/密钥机制还是使用智能令牌方法。在使用智能令牌方法 的情况下，需要一些用户输入(在如下方面：刷、挥动所述智能卡令牌， 将所述智能卡插入插槽，或者使用小键盘/按钮)。而证书/密钥机制就所 涉及的用户而言是透明的，这不同于如在HTTPS中的用户客户端设备上 的确认或者警告消息。
一旦凭证到期(基于对用户202访问服务204的跟踪(410))(406)， 则拒绝用户202访问服务204(412)。
所述登录/注销情景提供了最少的配置体验，其中用户202能够以最 少的努力步入任何环境，并且能够访问普适计算机系统100的服务204。
现在参照图5A、5B和5C，来说明本发明的设备调度功能500。
由于受限信道的特性(其要求网络化服务设备108(或者服务204) 的用户与网络化服务设备108(或者服务204)紧密邻近)，所以上述的 智能令牌提供了隐式的网络化服务设备108调度。类似地，可以通过以 下方式来加强显式的网络化服务设备108(或者服务204)的访问控制： (1)设备锁定，(2)设备调度，或者(3)现场设备调度。可以选择地 或者彼此组合地调用这些访问控制功能(1)、(2)和(3)。
设备锁定为一个特定用户202锁定设置在一网络化服务设备108上 的一服务204，并且防止其他用户访问该网络化服务设备108上的所述服 务204。即，只要一个特定用户202正在访问网络化服务设备108上的一 服务204，那么其他的用户202就不能访问在同一网络化服务设备108上 的同一服务204。
图5A表示本发明的设备锁定功能的流程图500-A。如图5A所示， 用户202-1请求访问设备108/服务204(500-2)。接着设备108/服务204 确定该设备108/服务204是否处于由另一用户202-2锁定的状态 (500-4)。然后设备108/服务204向用户202-1(或者客户端设备112) 发送该设备108/服务204是否处于由所述另一用户202-2锁定的状态。 如果设备108/服务204被所述另一用户202-2锁定，则拒绝用户202-1 对所述设备108/服务204的访问(500-6)。另选地，如果所述设备未被 所述另一用户202-2锁定，则向用户202-1授权对设备108/服务204的 访问，并且用户202-1锁定所述设备以防止其他用户访问，直到用户202-1 已经结束并且放弃对所述设备108/服务204的访问(500-8)。
与在分时操作系统中的情况一样，设备调度允许一用户在一特定时 间段内访问一设备108/服务204，在该特定时间段之后，所述设备108 被提供给另一用户。参照下文的租用体系结构来说明其细节。图5B表示 设备调度的简要流程图500-B。
图5B表示本发明的设备调度功能的流程图500-B。如图5B所示， 用户202-1请求访问设备108/服务204(500-100)。如果有可用的时间 片，则向用户202-1分配该设备108/服务204的一个时间片(500-120)。 如果没有可用的时间片，则拒绝用户202-1的访问。如果用户202-1在 分配的时间片中不在访问设备108/服务204(500-140)，则用户202-1 必须等待(500-160)以进行访问(500-180)。如果用户202-1在分配的 时间片中正在访问所述设备，则向用户202-1授权对设备108/服务204 的访问(500-180)。
现场设备调度在不使用预先获得的令牌的情况下为可能的用户提供 设备调度。
参照图5C来说明本发明的现场设备调度功能。
图5C表示本发明的现场设备调度功能500-C的流程图500-C。
带有物理实现的服务204具有一与之关联的输入装置114(在图1B 中称作小键盘114，但是也包括按钮、数字小键盘、麦克风等)。当用户 202请求访问服务204时(500-200)，该服务204通过与网络化服务设备 108/服务204的通信来指示用户202(通过客户端设备112)按下按钮、 键入PIN(个人身份标识号)代码、或者对麦克风说出PIN代码等 (500-220)。例如，如果服务204具有网页，则该服务可以通过网页向 用户202发出指令。只有在用户202遵循所述指令之后，用户202才可 以开始使用服务204。
如果为使用服务而对用户202进行认证(500-240)，则可以利用用 户设备112的IP(因特网协议)地址或者证书来对用户202进行标识。 然后用户202(由IP地址或者证书来标识)可以根据使用条款(无限期 地，持续一定的时间段，或者持续一定的调用次数)继续使用所述服务 204(500-260)。在后一种情况下，首先会向用户202发出警告：该用户 202的时间段将很快到期，并且在所述时间段之后或者在一定的调用次数 之后，最终将会要求用户202遵循另一用于服务调用的指令以继续操作。 只要用户202(物理上)位于网络化服务设备108/服务204及相关联的 输入装置114的前面，实际上就防止了其他用户使用服务204。只要用户 202位于网络化服务设备108/服务204的前面，所述用户202就可以独 占使用网络化服务设备108/服务204。
在本发明的一个实施例中，服务供应者可以键入一特殊的代码以禁 用服务204(500-280)，直到某个用户(物理上)来到该服务204的前面 并遵循指示。该机制提供了这样一种方式，即其用于在用户202已经离 开服务204或者提供服务204的网络化服务设备108的场所之后，防止 该用户202使用所述服务204。服务供应者也可以键入另一特殊的代码以 禁用所述锁定(500-280)，从而使用户202自由地使用服务204。
而且，可以将经认证的生物识别特征(例如指纹)从其上存储有经 认证的生物识别特征的服务器204下载到网络化服务设备108，并且由所 述网络化服务设备在现场针对用户202进行检查。
此外，可以使用该机制来将服务204变成付费服务。当调用服务204 时，该服务204要求用户202为使用服务而存一些钱(500-220)或者刷 该用户的信用卡(500-220)。该用户(由IP地址或者证书来标识)可以 使用所述服务持续一定时间段或者一定调用次数。通过范围受限的信道 而非将PIN或者一些其它消息发送给用户所经过的原始信道，来将所述 PIN或者一些其它消息发送回所述服务。所述范围受限的信道包括物理用 户接口、蓝牙以及红外线等。
现场设备调度对于公共场所中的普适服务尤其有用。这为诸如因特 网信息亭(kiosk)、地图浏览器、地图择路器、打印机以及其它的服务 提供了一种简单且充分的解决方案。
图5D表示本发明的利用超时或者释放按钮来调用一服务的流程图 (550)。
如图5D所示，服务204被初始设置为“不忙”(555)，并且服务204 等待一事件(560)。如果该事件是按下释放按钮(如输入装置114那样 与实现服务204的网络化服务设备108相连)或者超时(在一特定的时 间段(例如，5分钟、30分钟等)内没有对服务204的输入)(566)，则 将服务204设为“不忙”(568)，并且控制返回到等待一事件(560)。如 果事件是获得请求(570)，则进行查询以确定服务204是否为忙(572)。 如果服务204不忙，则用户(即，用户X)输入一PIN(574)，并且如果 该PIN是正确的，则为用户X将所述服务设为“忙”(576)。如果服务204 为忙，则该服务拒绝来自除用户X外的用户的请求，直到满足用户X的 请求(直到用户X结束调用所述服务204)(578)。
当用户A正在调用服务204时，服务204可以继续向不同于服务204 的当前用户的用户分配PIN，以形成服务204的PIN/后继用户队列，也 可以不这样做。
图5E表示接收对PIN的请求的流程图590。如图5E所示，服务204 接收来自用户A的请求(592)，然后为用户A获取PIN(594)。
下面是应用情景。
将为带有客户端设备(如具有受限显示的小型PDA或者移动电话) 的用户显示信息的公共显示信息亭(public display kiosk)。该公共显 示信息亭可以用于网页或者其它需要较大显示面积而有用的应用。所述 公共显示信息亭与LAN相连，该LAN还具有提供无线LAN能力的接入点。 所述公共显示信息亭具有与提供显示服务的显示装置108相连的数字小 键盘114。
带有用户客户端212的用户202接近所述公共显示信息亭。假定所 述客户端设备具有无线LAN能力。
所述用户202通过在与WLAN进行通信的所述客户端设备上调用服务 发现协议，将发现所述公共显示信息亭。该用户将选择所述“公共显示 信息亭”服务，并且试图通过所述客户端设备上的功能来调用该服务。 这将与实现“公共显示信息亭”服务的服务器进行通信。所述服务器将 向该客户端设备返回一用于使能该设备的PIN。所述用户一直等待直至所 述公共显示信息亭变为空闲状态。然后该用户向与所述公共显示信息亭 相连接的小键盘键入所述PIN。如果该PIN是正确的，则该用户被授权对 所述“公共显示信息亭服务”进行访问，并且能够通过所述客户端设备 继续控制该显示。
更具体地，当用户202调用公共显示信息亭服务204时(500-200)， 在用于公共显示信息亭的控制页面中出现消息“请键入9357以访问所述 服务”(500-220)。
图6表示公共显示信息亭的控制页面600的一个示例，所述公共显 示信息亭包括一计算机，该计算机包括显示器和诸如小键盘或者键盘的 输入装置。该控制页面600由因特网浏览器(例如，MICROSOFT INTERNET EXPLORER)呈现给用户，并且呈现在用户客户端设备112的显示器上。
如图6所示，控制页面600指示用户键入所述PIN 9357以开始使用 服务204。一旦向控制页面600中键入了所述PIN 9357，公共显示信息 亭服务204随即可由用户202进行访问。
只有在用户202键入所述PIN(500-24)之后，该用户202才可以 使用所述服务204。
另选地，当要在用户客户端设备112上显示所述控制页面600时， 可以在控制页面600上显示条形码来代替PIN，或者除了显示PIN外还显 示条形码。
用户202继续不受打搅地使用所述公共显示信息亭服务204一段时 间(500-26)，因为其他用户即使试图调用服务204也不能键入呈现给他 们的PIN。
在当前用户202已经离开公共显示信息亭之后，另一用户可以通过 键入有效的PIN来访问所述公共显示信息亭。
可以使用一服务管理器来监视所述网络化服务设备。如果所述服务 管理器发现所述服务204仍然在被远程使用，但是没有物理上在场的用 户，那么，该服务管理器键入“0000”以防止用户202(以及任何其他用 户)使用服务204，直到某个其他用户来到服务204的前面并且键入为该 用户202呈现的PIN以使用服务204。
在本发明的一个实施例中，例如在办公室环境中，将网络安全和物 理安全合并到本发明中。用户202需要物理上位于设备108的前面从而 键入所述PIN以使用所述服务204，而且需要被授权位于网络102上。
现在说明现场调度的本发明的一个实施例，该实施例包括使用URL 浏览器队列的实现。
在本部分中，对怎样使用URL浏览器服务的请求队列来实现现场设 备调度进行说明。可以在网络化服务设备108上执行所述URL浏览器服 务。同样的实现可以应用于其它普适服务，例如地图浏览器和择路器服 务。
定义：
SR-PIN：安全解除(Secuity Release)PIN(缺省值：“9999”)
SE-PIN：安全加强(Secuity Enforcement)PIN(缺省值：“0000”)
C-PIN：当前PIN
C-U：由IP地址、通过用户的证书或者任何其它方法标识的当前用 户
通常为了用户方便而将PIN设为固定长度(例如，4位)(以符合用 户对PIN的预想，并且为了减少错误)。然而，PIN并非必须具有固定长 度。
队列有两种模式：
安全解除模式，
安全加强模式。
参照图7对本发明的使用URL浏览器队列来实现现场调度的流程图 700进行说明。
现在参照图7，最初，将系统100设为安全解除模式(702)。对于 安全解除模式：
所述URL浏览器将接受任何调用(706)，
除SE-PIN外的所有PIN输入都被忽略。当输入SE-PIN时(704)， 进入所述安全加强模式(708)。
对于安全加强模式，
当接收到来自不同于C-U的IP地址的调用请求时(710)，
产生C-PIN(712)，
可以根据所述用户设备的IP地址(以及所述服务设备的IP地址)， 根据所述用户的一些属性，或者合理地专用于所述用户或所述用户设备 的任何其它方法，来随机地产生C-PIN。
向控制面板800返回消息以输入C-PIN(714)。
图8中示出了这样的控制面板800的示例以及消息“请键入‘0661’ 以开始使用服务”。该控制面板800被通过因特网浏览器(例如，MICROSOFT INTERNET EXPLORER)在显示器上呈现给用户，并且可被呈现在网络化 服务设备108的显示器上。
等待设定的时间片(缺省值：一分钟)(716)以查看是否键入了 C-PIN。
如果在该时间片内键入了所述C-PIN，则将C-U设置为新的IP地址， (722)并且接纳(accommodate)所述请求(720)。
在键入了所述C-PIN之前，并且如果有来自C-U的请求(718)，则 接纳所述请求(720)。
当所述调用请求来自C-U时(724)，则接纳该请求(720)。
如果在726键入了SR-PIN，则进入安全解除模式(728)。
现在说明利用位置确定的安全。
客户端112的服务器侧104位置确定可以用作为提高安全的另一途 径。例如，三角测量(triangulation)和信标技术可以确定WLAN客户 端112的位置。服务204可以联系所述位置确定服务器(多个服务器104 中的一个)以确定访问服务204的客户端112是否确实在服务204的可 接受范围之内。对于位置确定，可以将下列方法用作为本发明的位置确 定技术：跟踪回溯到所述客户端112的IP地址的路线，或者确定所述客 户端112正在使用哪一个WLAN接入点110。对于蓝牙或者IR(红外线) 的情况，因为它们固有的短通信范围，所以用户112可以与设备108/110 进行通信的事实将用作为安全的基础。
图9表示本发明的在用户客户端设备112上显示的控制页面800、 耦连到网络化服务设备108的输入装置114、以及由所述网络化服务设备 108提供的服务204之间的关系。在图9的示例中，服务204是提供服务 的因特网网页。如图9中所示，控制页面800提示用户键入PIN“0661” 以开始使用所述服务。所述控制页面800可以是显示在用户客户端设备 112上的弹出窗口。一旦用户从所述控制页面800读取完PIN并将该PIN 键入与网络化服务设备108耦连的小键盘114，则调用了服务204，并且 用户接着无中断地使用由网络化服务设备108提供的服务204，例如因特 网浏览。该用户必须物理上位于所述输入装置114处以键入所述PIN。
现在参照图10来说明本发明的租用体系结构功能的一个实施例。
图10表示本发明的租用体系结构功能的流程图1000。
当客户端设备112进入UPnP网络102时(1002)，或者当开启控制 点(在UPnP中所述控制点对设备进行控制并发现服务)时，随着所述控 制点意识到网络102中的设备，出现一阵UPnP动作。所述控制点接收来 自客户端设备112的广播(1004)并且为各个客户端设备112生成持续 一定量时间的租约(lease)。租约可以基于时间片、服务调用次数等。 该时间片通常是15-30分钟。这是所述客户端设备112合法地处于所述 网络中的时间量。当该租约到期时(1006)，如果所述控制点未再从所述 设备112收到广播(并且不曾接收到再见消息)(1008)，那么该控制点 认为所述客户端设备112已经离开了所述网络102(1010)。另一方面， 如果该控制点确实收到来自所述设备112的回音，则用于所述设备112 的租约被更新，并且所述设备112继续处于所述网络102上，返回到操 作1004。
采用某种形式的基于租约的体系结构使得可以控制对服务以及任何 物理设备(如小键盘)的访问，并且使得可以向上建立更高级别的安全 特征。
所述租用体系结构的一个示例是某人想在一网络化服务设备108(例 如投影仪，这是网络102提供的多种服务204中的一种)上展示某些内 容时的情况。没有这样的租用体系结构，如果一具有IP地址/证书的用 户202(或者客户端设备)对取得了所述投影仪的控制权并且从该投影仪 投影了图像，那么一旦请求结束，另一用户就可以调用该投影仪，而该 投影仪正在其上投影图像的屏幕上显示的任何东西都将被该下一用户所 覆盖。
但是如果当所述用户(客户端设备112 IP地址/证书)调用所述投 影仪的服务时该投影仪向该用户提供一租约，提供一定量时间内对该投 影仪的控制权，则可以避免上述的情况。单个用户设备108(如所述投影 仪)一次提供一个租约。只要所述单个用户设备108已经提供了一活动 租约，则该单个用户设备108就不能由另一服务调用。这防止了其他用 户将他们的材料放到所述投影仪上。它还防止了除持有所述租约的用户 外的任何用户进行的控制，因此访问该投影仪的控制面板的用户不能操 作另一用户的幻灯片放映。即，只有出租方(leasee)有权这样做。
设备或服务(例如仅仅提供内容而对于谁可以使用该设备以及在什 么时间使用该设备没有隐含限制的信息提供者中的任何一个)可以分配 持续时间很短的租约，或者如果还有待分配租约则不阻止其他用户调用 该服务。
根据内置的安全等级，可以根据需要将获取设备租约的过程设为复 杂的过程或者简单的过程。
上述租用体系结构也适用于特定的客户端系统，其示例包括STEER 浏览器，其说明见上述的任何计算专利申请(美国专利商标局，2002年 12月19日提交的美国临时专利申请No.60/434432；2003年9月9日提 交的美国临时专利申请No.60/501012；2003年10月17日提交的美国 临时专利申请No.60/511741；以及2003年12月12日提交的美国专利 申请No.10/733328，在此以引用的方式并入所有这些专利申请的内容)。
所述租用体系结构系统的一个基本步骤是将租约发布给任何请求它 们的人。即，操作所述特定客户端(例如STEER)的任何用户或者任何 UPnP控制点都可以操作可从所述网络102获得的服务。
第一安全等级是：仅仅将租约发布给确认他们正在执行特定软件(例 如所述特定客户端(如所述STEER浏览器))的人员，而不将租约发布给 计划之外的人员。
下一安全等级更为复杂，并且需要签名的证书、生物信息、或者其 它安全方案。
可以将这些安全等级彼此组合。
为了处理有剩余租约时间的用户没有释放租约就离开服务的情况， 可以并入一些附加的机制。
这些机制之一是：在所述同一用户的不活动达到一短时段之后，使 所述租约自动过期。可以通过在用户每次使用所述服务时自动扩展所述 租约来进一步改进该机制。
另选地，可以同时在用户侧设置租约的最大数量(通常1个)。当该 用户调用另一服务并获得对于该另一服务的新租约时，其仍打开的旧租 约将变得无效，从而释放先前的服务。同样，当所述特定客户端关机时， 任何当前打开的租约将变得无效。
图11表示本发明的概况的流程图1100。在本发明中，一用户202 向一由普适计算机系统100提供的服务204输入一标识符(1102)。该用 户202使用一客户端设备112，或者直接使用与网络化服务设备108相连 的输入装置114，来将所述标识符输入到所述网络化服务设备108。该标 识符可以是PIN、生物识别特征标识符、智能令牌等。所述服务204随即 对该用户202进行认证(1104)，并且基于该服务204对所述标识符的认 证而授权使用该服务204(1106)。在所述服务204的实施例处，例如通 过所述网络化服务设备108，来进行该认证和授权。随后本发明继续使用 上述的普适安全功能(例如登录/注销功能、设备调度、租用等)来向所 述系统100提供不可见(最少的用户动作)的安全(1108)。
附加安全考虑事项
对设备或服务的访问是由简单物理访问控制来增强的主要基于网络 的访问。这是一种双重但易于使用的访问控制框架的模型。
对于物理访问控制，PIN或者智能令牌的使用可以给予用户对设备 或服务的无限访问、或者授予访问情况下的一固定时间片。
另一方面是如下情况：在物理访问控制之后，一用户在其时间片结 束之前离开所述设备。这使得另一用户可以观察所述服务但是不向其他 用户提供任何额外特征。这和大多数服务访问主要基于网络紧密联系在 一起。例如，假设允许一用户使用该双重访问控制模型来访问一地图服 务，并且授予该用户20秒的时间片，但是该用户在5秒后结束了观察其 地图并且离开。如果另一用户来到示出所述地图的设备之前，他可以观 察该地图，但是他不能调用或者控制(放大、或者移动)任何其它的地 图(为了调用或控制任何其它地图他必须再次通过所述双重访问控制模 型)。
本发明提供了用于在普适计算环境中的访问控制、授权以及认证的 机制，所述普适计算环境的一个示例是任务计算(在美国专利商标局中 的下列专利申请中对所述任务计算进行了公开：2002年12月19日提交 的美国临时专利申请No.60/434432；2003年9月9日提交的美国临时 专利申请No.60/501012；2003年10月17日提交的美国临时专利申请 No.60/511741；以及2003年12月12日提交的美国专利申请No. 10/733328，在此以引用的方式并入所有这些专利申请的内容)。
本发明提供了普适服务的安全使用，其特征包括：
登录、注销安全过程普适服务
基于租约的服务使用模型
使用关联输入装置的服务/设备访问
现场服务/设备调度功能以及一个实施例
利用物理位置的增强安全
如上所述，任务计算环境及STEER浏览器中的登录、注销安全的实 施例。
本发明通过使得用于服务和网络化服务设备的网络接口具有便利性 来为用户提供了便利。用户可以使用该用户所习惯的设备。本发明利用 了设备的物理实施例，从而使得便于用户从任何地方访问网络。在本发 明的一个实施例中，需要用户位于现场以被授权操作设备。本发明的PIN 机制不需要用户与设备之间的预先安排，这对于例如位于公共或半公共 环境(例如商场、公园、图书馆、博物馆、以及办公室等)中的信息亭 尤其有利。
另外，利用本发明的普适安全机制，可以保护用户的匿名性。
所述系统还包括永久的或者可移动的存储装置，例如磁盘或光盘、 RAM、ROM等，其上可以存储和分布有本发明的过程和数据结构。所述过 程也可以例如通过从网络(如因特网)下载来发布。
根据以上的详细说明，本发明的许多特征和优点变得显而易见，因 此，所附权利要求将覆盖落入本发明的实质和范围内的本发明的所有这 些特征和优点。另外，因为本领域技术人员可以容易地进行许多修改和 变化，所以不能将本发明限于所示出和说明的精确结构和操作，因此认 为所有适当的修改和等同物均落入本发明的范围。