用于基于位置的安全性的系统和方法与流程

相关申请的交叉引用

本申请要求于2014年9月18日提交的美国临时申请no.62/052,321的权益，其全部内容通过引用被结合于此。

本公开涉及用于根据基于射频识别(rfid)的使用而获得的信息来使能和控制移动计算设备的某些硬件和软件组件的操作和/或运行的系统和方法。

背景技术：

已知的rfid实现形式是围绕跟踪具有附着在其上的rfid标签的资产(例如，诸如移动计算设备之类的产品)的物理位置而构建的。rfid标签由射频(rf)阅读器读取。在此场景中，资产自己并不知道它的基于rfid的位置，因为所有的位置信息在rfid标签和(一个或多个)rfid阅读器之间交换。

技术实现要素：

本公开的示例性实施例提供了一种移动计算设备，包括：第一存储器设备，该第一存储器设备具有在其上有形地记录的第一计算机可读指令；第一硬件处理器，该第一硬件处理器被配置为执行在第一存储器设备上记录的第一计算机可读指令；以及rfid组件，该rfid组件包括收发器和第二存储器设备，该收发器被配置为当rfid组件在至少一个rfid阅读器的预定范围内时从至少一个rfid阅读器接收邻近度信号，该第二存储器设备被配置为存储邻近度信号，其中第一硬件处理器被配置为：在执行第一存储器设备上记录的指令时，根据由rfid组件的收发器从至少一个rfid阅读器接收的邻近度信号来控制移动计算设备的至少一个操作。

本公开的示例性实施例提供了一种用于控制移动计算设备的至少一个操作的方法，方法包括：由rfid组件的收发器在rfid组件在至少一个rfid阅读器的预定范围内时从至少一个rfid阅读器接收邻近度信号；在rfid组件的第一存储器设备中存储邻近度信号；以及由移动计算设备的第一硬件处理器执行在移动计算设备的第二存储器设备上有形地记录的第一计算机可读指令，所执行的指令根据由rfid组件的收发器从至少一个rfid阅读器接收的邻近度信号来控制移动计算设备的至少一个操作。

本公开的示例性实施例提供了一种存储有指令的非暂态计算机可读存储介质，当指令被移动计算设备的硬件处理器执行时使得硬件处理器执行用于控制移动计算设备的至少一个操作的方法，方法包括：从以通信的方式连接到移动计算设备的rfid组件的收发器中接收邻近度信号，收发器在rfid组件在至少一个rfid阅读器的预定范围内时接收邻近度信号；以及由移动计算设备的硬件处理器执行在移动计算设备的非暂态计算机可读存储介质上存储的指令，所执行的指令根据由rfid组件的收发器从至少一个rfid阅读器接收的邻近度信号来控制移动计算设备的至少一个操作。

本公开的示例性实施例提供了一种存储有指令的非暂态计算机可读存储介质，当指令被位于以通信的方式连接到移动计算设备的rfid组件中的硬件处理器执行时使得硬件处理器执行用于控制移动计算设备的至少一个操作的方法，方法包括：由rfid组件的收发器在rfid组件在至少一个rfid阅读器的预定范围内时接收邻近度信号；在rfid组件的非暂态计算机可读存储介质中存储邻近度信号，rfid组件的非暂态计算机可读存储介质具有用于移动计算设备的控制策略，控制策略包括移动计算设备中基于接收的邻近度信号而可执行的操作的标识；将邻近度信号与控制策略进行比较，基于比较确定移动计算设备的哪些操作将被准许执行，并且生成标识移动计算设备中被确定可执行的操作的操作信号；以及向移动计算设备的第二硬件处理器发送操作信号，以根据发送到移动计算设备的操作信号来控制移动计算设备的至少一个操作。

现在将通过示例性实施例的方式来描述用于基于位置的安全性的系统和方法的具体实施例的这些以及其它特征和优点，但它们并不限于这些示例性实施例。

附图说明

当结合附图来阅读以下示例性实施例的具体描述时，本公开的范围被最佳地理解。以下图示被包括在附图中。

图1根据示例性实施例示出了可被使用的系统架构的图示。

图2是根据示例性实施例示出移动计算设备的硬件架构的框图。

图3是根据示例性实施例示出rfid阅读器的架构的框图。

图4是根据示例性实施例示出一种方法的流程图。

图5是根据示例性实施例示出一种方法的流程图。

图6是根据示例性实施例示出一种方法的流程图。

图7是示出由系统的设备执行的示例性功能的表格。

图8是示出使用管理程序的示例性架构的框图。

图9是示出使用管理程序的示例性架构的框图。

图10是根据示例性实施例示出一种方法的流程图。

本公开的应用的其它方面将根据此后提供的具体描述变得清楚。应当理解，对于示例性实施例的具体描述仅仅旨在描述性目的，因此并不旨在限制本公开的范围。

具体实施方式

此描述仅仅提供示例性实施例，并不意图限制本公开的用于基于位置的安全性的系统、方法和移动计算设备的范围、可应用性或配置。相反，接下来的实施例的描述将向本领域技术人员提供用于实现本公开的移动计算设备、系统和方法的实施例的使能描述。在不背离所附权利要求中提出的本公开的精神和范围的情况下，可在元件的布置和功能上做出各种改变。因此，各种实施例可在适当的时候省略、替换、或者添加各种步骤或组件。例如，应当认识到在替换性实施例中，方法可以以与所述次序不同的次序执行，并且各种步骤可被添加、省略、或组合。另外，针对某些实施例描述的特征可在各种其它实施例中进行组合。实施例的不同方面和元件可以类似的方式组合。

参考图1和图2，本公开的示例性实施例提供了基于位置的安全性的系统和方法，其中可移除地或者固定地附着于移动计算设备200的rfid组件210(例如，rfid标签)包括微控制器(例如，至少一个硬件处理器)，并且移动计算设备200的通信基础设施206(例如，内部和外部串行总线)在移动计算设备200的固件和(一个或多个)操作系统232与rfid组件210之间交换位置信息。如这里所用，移动计算设备200包括至少一个硬件处理器204，其被配置为执行有形地记录在非暂态计算机可读记录介质(“存储器”)208(例如，rom、硬盘驱动、光学存储器、闪存等等)上的计算机可读程序和操作系统232。移动计算设备200的示例包括本领域已知的膝上型计算机、平板计算机、智能电话等等。

图1是根据本公开的示例性实施例的用于基于位置的安全性的系统的组件的框图。在图1中，移动计算设备200被示出为具有附着于其上的rfid组件210。rfid组件210可被可移除地或者固定地附着于移动计算设备200。例如，rfid组件210可被包括在包含移动计算设备200的电子电路的壳体内。在示例性实施例中，rfid组件210可使得它自己的硬件处理器214与移动计算设备200的(一个或多个)硬件处理器相分离。此外，rfid组件210具有它自己的、与移动计算设备200的存储器208相分离的非暂态存储器212(例如，rom、硬盘驱动、光学存储器、闪存等等)以及收发器220。在示例性实施例中，rfid组件210不具有它自己的硬件处理器214，但是包含存储器212和收发器220。rfid组件210可以是无源的、有源的、或者电池辅助地无源的。有源rfid组件210具有板上电源并且周期性地发送包含数据消息(该消息可包括例如rfid组件的标识信息等等)的信号。电池辅助的无源rfid组件210在板上具有小型电池并且当存在rfid阅读器100时被激活。无源rfid组件210更便宜并且更小，因为它不具有电池；替代地，rfid组件210使用由rfid阅读器100发送的无线电能量。rfid组件210包括至少两个部分：用于存储和处理信息、调制和解调射频(rf)信号、从入射的阅读器信号收集dc能量、以及其它专用功能的集成电路；以及用于接收和发送信号的收发器220(例如，天线)。在示例性实施例中，收发器220可包括处于不同极化(例如，圆极化和线极化或者水平极化和垂直极化)的两个天线。还可使用单个天线。rfid组件210可例如在860mhz到960mhz之间的频率范围中操作。天线的灵敏度对于rfid组件210的操作是重要的，并且应当维持天线的最小接收增益大于-2db以确保正确的操作。在示例性实施例中，天线提供大体全向的辐射方向图。由于～900mhzism频率空间的分区带宽，(一个或多个)天线可被区域性地设计。例如，北美ism带宽是902-928mhz。在发射器处于符合fcc和uhfrfid第二版规范的28dbm的情况下，这应当获得大约20米的自由空间范围。

rfid组件210信息(即，标签信息)被存储在非易失性存储器(例如，存储器212)中。rfid组件210包括分别用于处理传输和传感器数据的固定或可编程逻辑。在示例性实施例中，rfid组件210包括impinjmonzax-8kdurarfid集成电路或者类似的集成电路。为了描述的清楚性，图1仅示出了一个rfid阅读器100和rfid组件210。然而，要理解的是若干rfid阅读器100可被装备在室内或者移动计算设备可被携带至的其它区域。rfid阅读器100发送无线电信号以询问rfid组件210，该无线电信号可被编码。rfid组件210从rfid阅读器100接收消息，并且然后以它的标识信息回应。图3示出了rfid阅读器100的示例性架构。rfid阅读器100包含能够存储邻近度信号(其包括位置数据和/或控制策略)的非暂态存储器设备302、硬件处理器(例如，cpu)300、和收发器304。

(一个或多个)rfid阅读器100向在移动计算设备200内嵌入的或者附着于移动计算设备200的rfid组件210发送邻近度信号(例如，位置相关信息，例如包括：地理坐标、配置的地区、和/或邻近度信息)，以指示(一个或多个)rfid阅读器100和/或移动计算设备200的经定义的物理位置。位置信息可在移动计算设备200处于上电和掉电状态二者时被发送至rfid组件210。rfid组件的存储器212中存储的消息被rfid组件210的硬件处理器214访问。硬件处理器214用作三个功能：1)根据对应的控制或管理策略处理由rfid组件210提供的位置信息以确定移动计算设备200的合适的功率状态；2)与移动计算设备200的功率控制进行通信以管理功率状态(例如，强制掉电、使能上电、以及禁止上电)；和3)向移动计算设备的串行总线206传递位置信息。在示例性实施例中，rfid阅读器100可调整它的发射功率以避开标准频率。

图2是根据示例性实施例示出移动计算设备200的架构的框图。本领域技术人员可认识到所公开的主题的实施例可以用各种计算机系统配置来实现，包括多核多处理器系统、小型计算机、大型计算机、用分布式功能链接或聚集的计算机、以及可被虚拟地嵌入到任何设备中的普通或微型计算机。例如，至少一个处理器设备和存储器可被用于实现上面描述的实施例。

这里讨论的硬件处理器设备可以是单个硬件处理器、多个硬件处理器、或者它们的组合。硬件处理器设备可具有一个或多个处理器“核”。这里描述的术语“计算机程序介质”、“非暂态计算机可读介质”、和“计算机可用介质”用于统称诸如存储器设备208、存储器设备212、和存储器设备303之类的有形介质。

本公开的各种实施例是就该示例性移动计算设备200而言进行描述的。在阅读此说明书之后，相关领域的技术人员将会清楚如何使用其它计算机系统和/或计算机架构来实现本公开。尽管操作可被描述为顺序的过程，但是一些操作可实际上被并行地、并发地、和/或在分布式环境中执行，其中程序代码被本地或远程地存储以供由单处理器机器或多处理器机器访问。此外，在一些实施例中，操作的次序可被重新布置而不背离所公开的主题的精神。

硬件处理器204可以是专用或通用处理器设备。硬件处理器214可以是专用或通用处理器设备。类似地，硬件处理器300可以是专用或通用处理器设备。硬件处理器设备204可被连接至通信基础设施206，例如总线、消息队列、网络、多核消息传递方案等等。网络可以是适合于执行这里所述的功能的任何网络，并且可包括局域网(lan)、广域网(wan)、无线网络(例如，wi-fi)、移动通信网络、卫星网络、互联网、光纤网络、同轴线网络、红外网络、射频(rf)网络、或者他们的任何组合。其它适合的网络类型和配置将对于相关领域的技术人员是清楚的。移动计算设备200还可包括存储器208(例如，随机存取存储器、只读存储器等等)，并且还可包括存储器212。存储器208和212可以以公知的方式读取和/或写入。在实施例中，存储器208和存储器212(以及存储器302)可以是非暂态计算机可读记录介质。

移动计算设备200中(例如，存储器208和存储器212中)存储的数据可被存储在任一类型的适合计算机可读介质上，例如光学存储设备(例如，光盘、数字多功能盘、蓝光盘等等)、磁带存储设备(例如，硬盘驱动)、或者固态驱动。操作系统232、一个或多个应用234、以及一个或多个管理程序(hypervisor)236可被存储在存储器208中。

在示例性实施例中，数据可被配置在任一类型的适合的数据库配置中，例如关系型数据库、结构化查询语言(sql)数据库、分布式数据库、对象数据库等等。相关领域的技术人员将清楚适合的配置和存储类型。

移动计算设备200还可包括通信接口224。通信接口224可被配置为允许软件和数据在移动计算设备200和外部设备之间传输。示例性通信接口224可包括调制解调器、网络接口(例如，以太网卡)、通信端口、pcmcia槽和卡等等。经由通信接口224传输的软件和数据可以是信号的形式，其可以是相关领域的技术人员清楚的电子信号、电磁信号、光学信号、或者其它信号。信号可经由通信路径226行进，通信路径226可被配置为运送信号，并且可使用电线、线缆、光纤、电话线、蜂窝电话链路、射频链路等等来实现。

计算机程序介质和计算机可用介质可指代存储器(例如，存储器208和存储器212)，存储器可以是存储器半导体(例如，dram等等)。这些计算机程序产品可以是用于向移动计算设备200提供软件的装置。计算机程序(例如，计算机控制逻辑)可被存储在存储器208和/或存储器212中。计算机程序还可经由通信接口224来接收。这样的计算机程序在被执行时可使得移动计算设备200能够实现如这里所述的本文的方法。具体地，当计算机程序被执行时可使得硬件处理器设备204能够实现如这里所述由图4-6和10所示的方法或者类似方法。因此，这样的计算机程序可代表移动计算设备200的控制器。如果本公开是使用软件实现的，则软件可被存储在计算程序产品或者非暂态计算机可读介质中，并且通过使用可移动存储驱动或者通信接口224被加载到移动计算设备200中。

移动计算设备200还可包括各种硬件设备，例如相机216、麦克风218、外围接口222、和输入/输出端口228(例如，usb、火线、雷电端口等等)。如将在下文更详细地描述的那样，rfid组件210可位于移动计算设备200内并且与移动计算设备200相集成，或者rfid组件210可在移动计算设备200之外并且通过诸如(一个或多个)线、无线通信等等之类的信号传输装置连接到移动计算设备200。

最后，移动计算设备200还可包括显示器接口202，其向显示器单元230(例如，lcd屏幕、等离子屏幕、led屏幕、dlp屏幕、crt屏幕等等)输出显示信号。

根据示例性实施例，通过移动计算设备的总线206提供的位置信息可通过使用设备驱动器与管理程序236或者原生操作系统232相集成。

管理程序236允许对客虚拟机(guestvirtualmachine)和移动计算设备200的硬件的控制。基于位置的安全性可被直接集成在管理程序控制域中或者被安装为与管理程序控制域相交接的客虚拟机。

基于位置的安全性可被配置有使用与各种定义的位置相关联的期望的自动响应来管理管理程序控制域的规则。基于定义的策略规则，可对虚拟机、网络接口卡、设备电源、usb端口、相机、麦克风、和其它设备硬件进行使能或禁用。

管理程序236被配置为进一步将位置信息分发到在主机上运行的客虚拟机。

移动计算设备200的(一个或多个)操作系统232可(在运行为原生操作系统232时)直接从串行总线206接收基于rfid的位置信息，或者(在客虚拟机上运行时)作为转递从管理程序236接收基于rfid的位置信息。本公开的基于位置的安全性技术与(一个或多个)操作系统232集成，从而使用定义的策略规则来控制对设备硬件和设备功率状态的访问。对所存储的或者在(一个或多个)操作系统232上运行的一个或多个文件及一个或多个应用234的访问也通过使用本公开的基于位置的安全性系统和方法的设备管理功能来进行使能或禁用。文件例如可以是文档、照片、视频、数据库记录等等。

图8是根据示例性实施例示出管理程序的框图。本公开例如利用hyper-v作为它的类型1管理程序。图8的示例性架构允许多个用户vm在将来运行。管理程序被用于把用户vm与控制策略中定义的硬件隔离、确保安全的网络环境、并且把vm彼此秘密地隔离。在图8的示例性架构中，网络vm可对加密层二者进行封装并且具有到网络接口的直接访问。

图9是示出示例性架构的框图，在该示例性架构中，虚拟系统管理(vsm)可被用于基于通过rfid发布的策略来提供安全的网络通信并且动态地管理用户os可用的硬件(usb设备、网络摄像头、麦克风、蓝牙等等)。

在图2中所示的示例性实施例中，移动计算设备200包括具有在其上有形地记录的计算机可读指令的存储器设备208。移动计算设备200还可包括被配置为执行在存储器设备208上记录的计算机可读指令的硬件处理器204。移动计算设备200还可包括rfid组件210，该rfid组件包括被配置为当rfid组件210在至少一个rfid阅读器100的预定范围内(例如，在几英尺或几米内)时从至少一个rfid阅读器100接收邻近度信号的收发器220(例如，天线)。该预定范围可基于以下各项来进行配置：(1)移动计算设备200、rfid组件210、和/或(一个或多个)rfid阅读器100的处理能力和/或电信能力；和/或(2)基于用于特定控制目标的可选择距离(例如，10英尺、20英尺、30英尺)；和/或(3)位置约束，例如房间、建筑物、或者建筑物的区段(例如，建筑物的第二层)的物理尺寸。移动计算设备200还可包括被配置为存储邻近度信号的存储器设备212。在示例性实施例中，硬件处理器204被配置为：当执行在存储器设备208上记录的指令时，根据由rfid组件210的收发器220从至少一个rfid阅读器100接收的邻近度信号来控制移动计算设备200的至少一个操作。

在示例性实施例中，硬件处理器204被配置为控制以下各项中的至少一项：(1)移动计算设备200的至少一个硬件组件(例如，存储器设备208、显示器接口202、相机216、麦克风218、外围接口222、通信接口224、端口228等等)；(2)在存储器设备208上记录的至少一个操作系统232；(3)在存储器设备208上记录的至少一个管理程序236；以及(4)可在移动计算设备200上执行的至少一个应用程序234。

在示例性实施例中，邻近度信号包括控制策略，该控制策略包括移动计算设备200可(例如，由移动计算设备200)执行的操作的标识。例如，根据控制策略，硬件处理器204被配置为使能或禁用对以下各项中的至少一项的访问：存储器设备208中存储的可执行应用234、存储器设备208中存储的文件、移动计算设备200的至少一个操作系统232、和移动计算设备200被配置为与其进行通信的外围硬件组件(例如，外部硬件驱动、服务器、外部盘驱动等等)。就是说，当移动计算设备200在rfid阅读器100的某一范围内时，硬件处理器300使得收发器304向rfid组件210发送包括控制策略的邻近度信号。因为控制策略标识了哪些操作、设备、文件、或应用能够被移动计算设备200访问和/或使用，硬件处理器204能够根据接收到的控制策略来控制移动计算设备200的操作和/或对设备、文件、应用等的访问。在示例性实施例中，服务器可针对个体的rfid阅读器100和/或移动计算设备200存储多个控制策略，并且每个控制策略可被发送到控制策略所应用于的适当的rfid阅读器100。控制策略可在服务器上被更新，并且经更新的控制策略可由服务器推送至适当的rfid阅读器100。当rfid阅读器接收它意图的控制策略时，该控制策略被保存在rfid阅读器100的存储器302中，其中它后续可通过收发器304被发送至移动计算设备200的rfid组件210。

在示例性实施例中，邻近度信号包括位置相关的数据，该位置相关的数据指示rfid组件210和至少一个rfid阅读器100中的至少一者的当前物理位置。在示例性实施例中，位置相关的数据可(通过名称、macid、序列号、代码、房间名称等等)标识发送该邻近度信号的阅读器。在示例性实施例中，位置相关的数据可标识已定义的区域(即，移动计算设备200所位于的空间区域)。在示例性实施例中，位置相关的数据可以是地理坐标。

在示例性实施例中，存储器设备208已经在其上记录了用于移动计算设备200的控制策略，该控制策略包括基于移动计算设备200的物理位置的、移送计算设备200可执行的操作的标识。硬件处理器204被配置为将位置相关的数据与控制策略进行比较，并且基于比较结果来确定移动计算设备200的哪些操作将被准许执行。

在示例性实施例中，基于位置相关的数据与控制策略的比较，硬件处理器204被配置为控制移动计算设备200的功率状态。示例性功率状态包括：掉电、上电、睡眠模式、休眠模式等等。

在示例性实施例中，基于位置相关的数据与控制策略的比较，硬件处理器204被配置为控制对移动计算设备200的至少一个硬件组件(例如，存储器设备208、显示器接口202、相机216、麦克风218、外围接口222、通信接口224、端口228等等)的访问。

在示例性实施例中，基于位置相关的数据与控制策略的比较，硬件处理器204被配置为使能或禁用对以下各项中的至少一项的访问：存储器设备208中存储的可执行应用234、存储器设备208中存储的文件、移动计算设备200的至少一个操作系统232、和移动计算设备200被配置为与其进行通信的外围硬件组件。

在示例性实施例中，rfid组件210的收发器220被配置为从至少一个rfid阅读器100接收更新信号，更新信号包含对存储器设备208上记录的控制策略中包括的至少一个标识的更新。硬件处理器204被配置为根据更新信号中包含的更新来更新存储器设备208中记录的控制策略。

在示例性实施例中，控制策略和邻近度信号中的至少一者被加密。因而，从rfid阅读器100接收的位置数据可被加密。例如，控制策略和/或邻近度信号可使用aes-256gcm算法进行加密，并且使用ecdsa曲线(curve)p-385签名或者类似加密方案进行签名。在示例性实施例中，ecdsa处理的证书作为系统配置的一部分进行分发并且基于组织区域进行分配。策略签名例如可在消息比特0到927上生成。在示例性实施例中，在签名被生成之后，可在整个消息比特0到1024上执行加密。每个rfid标签独有的预先分发的密钥材料(keymaterial)被存储在设备tpm中和服务器上。密钥材料与作为rfid传输的一部分的nonce进行哈希处理，以针对每个写入策略生成单独的会话密钥。在示例性实施例中，单个策略可被用于移动计算设备200的uefi/固件和移动计算设备200的操作系统232二者，从而二者均具有能够对整个消息进行解密和验证签名的密码能力。密钥存储可在支持tpm2.0的tpm中处置。在示例性实施例中，除了(一个或多个)nonce之外rfid组件210的所有消息被加密，例如使用以上方案来加密。

本公开中使用的消息可被存储在rfid组件210的存储器设备212中。在示例性实施例中，存储器设备212的存储大小是1024比特，并且存储控制策略以及crc16、ecdscurvep-384生成的签名、和该配置独有的512比特随机nonce。

在示例性实施例中，如图1中所示，系统包括移动计算设备200、至少一个rfid阅读器100、和rfid组件210。至少一个rfid阅读器100被配置为与移动计算设备200的rfid组件210进行无线通信，并且当rfid组件210在预定范围之内时向移动计算设备200的rfid组件210传输邻近度信号。在示例性实施例中，至少一个服务器被配置为：当移动计算设备200处于与rfid阅读器100的通信范围中时，向rfid阅读器100发送更新信号用于更新存储器设备208上记录的控制策略。

在示例性实施例中，系统包括移动计算设备200以及至少一个rfid阅读器100，该至少一个rfid阅读器100被配置为与移动计算设备200的rfid组件210进行无线通信，并且当rfid组件210在预定范围之内时向移动计算设备200的rfid组件210传输邻近度信号。

在示例性实施例中，存储器设备212具有在其上记录的计算机可读指令以及用于移动计算设备200的控制策略，该控制策略包括基于接收的邻近度信号中的位置相关的数据的、移动计算设备200可执行的操作的标识。

在示例性实施例中，rfid组件210包括硬件处理器214，该硬件处理器被配置为执行在存储器设备212上记录的计算机可读指令、将位置相关的数据与控制策略进行比较、基于比较结果确定移动计算设备200的哪些操作将被准许执行、并且生成标识移动计算设备200中被确定为可执行的操作的操作信号。

rfid组件210被配置为向移动计算设备200的硬件处理器204发送操作信号，并且硬件处理器204被配置为根据从rfid组件210的收发器220接收到的操作信号来控制移动计算设备200的至少一个操作。

在示例性实施例中，基于从rfid组件210的收发器220接收的操作信号，硬件处理器204被配置为控制移动计算设备200的功率状态。

在示例性实施例中，基于从rfid组件210的收发器220接收的操作信号，硬件处理器204被配置为控制对移动计算设备200的至少一个硬件组件(例如，存储器设备208、显示器接口202、相机216、麦克风218、外围接口222、通信接口224、端口228等等)的访问。

在示例性实施例中，基于从rfid组件210的收发器220接收的操作信号，硬件处理器204被配置为使能或禁用对以下各项中的至少一项的访问：存储器设备208中存储的可执行应用234、存储器设备208中存储的文件、移动计算设备200的至少一个操作系统232、和移动计算设备200被配置为与其进行通信的外围硬件组件。

在示例性实施例中，rfid组件210的收发器220被配置为从至少一个rfid阅读器100接收更新信号，更新信号包含对存储器设备212上记录的控制策略中包括的至少一个标识的更新。硬件处理器214被配置为根据更新信号中包含的更新来更新存储器设备212中记录的控制策略。

在图1中所示的示例性实施例中，系统例如包括移动计算设备200、至少一个rfid阅读器100、和rfid组件210。至少一个rfid阅读器100被配置为与移动计算设备200的rfid组件210无进行线通信，并且当rfid组件210在预定范围之内时向移动计算设备200的rfid组件210传输邻近度信号。至少一个服务器被配置为：当移动计算设备200处于与至少一个rfid阅读器100的通信范围中时，向至少一个rfid阅读器100发送更新信号用于更新存储器设备208上记录的控制策略。

在图10中所示的示例性实施例中，用于控制移动计算设备200的至少一个操作的方法包括：当rfid组件210在至少一个rfid阅读器100的预定范围内时，由rfid组件210的收发器220从至少一个rfid阅读器100接收邻近度信号(步骤s101)。该方法还包括在rfid组件210的存储器设备212中存储邻近度信号(步骤s103)。该方法还包括由移动计算设备200的硬件处理器204执行在移动计算设备200的存储器设备208上有形地记录的计算机可读指令，所执行的指令根据由rfid组件210的收发器220从至少一个rfid阅读器100接收到的邻近度信号控制移动计算设备200的至少一个操作(步骤s105)。

在示例性实施例中，非暂态计算机可读存储介质(例如，存储器208)存储指令，当该指令被移动计算设备200的硬件处理器204执行时，使得硬件处理器204执行用于控制移动计算设备200的至少一个操作的方法。该方法包括：从以通信的方式连接到移动计算设备200的rfid组件210的收发器220接收邻近度信号，收发器220在rfid组件210在至少一个rfid阅读器100的预定范围内时接收邻近度信号。以通信的方式连接例如意味着移动计算设备200和rfid组件210可通过任何类型的通信装置(例如，经由诸如线缆、总线等等信号传输装置或者无线地经由wi-fi、蓝牙、nfc等等)彼此进行通信。该方法还可包括由移动计算设备200的硬件处理器204执行存储在移动计算设备200的非暂态计算机可读存储介质(存储器208)上的指令，所执行的指令根据由rfid组件210的收发器220从至少一个rfid阅读器100接收到的邻近度信号控制移动计算设备200的至少一个操作。

在示例性实施例中，非暂态计算机可读存储介质(例如，存储器212)存储指令，当该指令被位于通信地连接到移动计算设备200的rfid组件210中的硬件处理器214执行时，使得硬件处理器214执行用于控制移动计算设备200的至少一个操作的方法。该方法包括：当rfid组件210在至少一个rfid阅读器100的预定范围内时，由rfid组件210的收发器220接收邻近度信号。该方法还可包括在rfid组件210的非暂态计算机可读存储介质(存储器212)中存储邻近度信号，rfid组件210的非暂态计算机可读存储介质具有用于移动计算设备200的控制策略。控制策略例如包括基于接收的邻近度信号的、移动计算设备200可执行的操作的标识。该方法还可包括将邻近度信号与控制策略进行比较、基于比较结果确定移动计算设备200的哪些操作将被准许执行、并且生成标识移动计算设备200中被确定为可执行的操作的操作信号。该方法还可包括向移动计算设备200的硬件处理器204发送操作信号，从而根据发送至移动计算设备200的操作信号控制移动计算设备200的至少一个操作。

以上描述的方法可执行如这里所述的移动计算设备100和rfid组件210的任何操作。另外，以上描述的移动计算设备200和rfid组件210的非暂态计算机可读存储介质可存储使得那些设备的(一个或多个)相应硬件处理器分别执行如这里所述的移动计算设备200和rfid组件的操作功能的指令。

图4是根据本公开的示例性实施例示出由rfid阅读器100执行的操作的流程图。根据示例性实施例，rfid阅读器100具有被配置为执行在rfid阅读器100的非暂态计算机可读记录介质302中有形地记录的计算可读软件的硬件处理器300(例如，cpu)。通过执行软件，硬件处理器300一直在扫描可用的rfid组件210(即，邻近rfid阅读器100的rfid组件210)。当rfid组件210例如在数英尺或数米的半径内时，该rfid组件210可能是在阅读器附近。当硬件处理器300找到rfid组件210时，它开始于rfid组件210的安全和签名的事务。rfid组件210发送它的当前配置和两个随机nonce，其被用于生成的密码密钥和签名。一个nonce被用于对当前配置和位置数据进行加密和签名，而另一个nonce被用于对被推送至rfid组件210的任何数据进行加密和签名。在找到rfid组件210时，rfid阅读器100检查当前配置，并把它与阅读器认为应当是的配置进行验证。如果存在不一致，那么rfid阅读器100的硬件处理器300推送配置，并然后重新读取标签来验证它是否被正确地写入。

图5是根据本申请的示例性实施例示出由rfid组件210的硬件处理器204执行的操作的流程图。在示例性实施例中，rfid组件210是无源标签，其中有源低功率处理器使能密码功能。在它的存储器212中，rfid组件210存储它的当前配置(例如，控制策略)以及供rfid阅读器100读取的两个nonce。如果rfid组件210从rfid阅读器100接收到经更新的配置，则对签名进行验证、对配置进行解密、并且把它推送到移动计算设备200。如果移动计算设备200在任何点处请求当前配置，它也将推送该配置。

图6是根据本公开的示例性实施例示出由移动计算设备200的硬件处理器204执行的操作的流程图。移动计算设备200的硬件处理器204执行专用于与rfid组件210相交接的软件程序。该软件的执行监控来自rfid组件210的任何推送的配置，对它们进行解密，并且在移动计算设备200上本地设置策略之前对它们上面的签名进行检查。当移动计算设备200被启动(即，上电)时，在引导(boot)上软件请求来自rfid组件210的当前状态(例如，控制策略)以设置初始引导策略。

本公开提供了可基于移动计算设备200在具有不同安全性指定的不同区域中的存在利用移动计算设备200执行不同的操作。图7是根据本公开示出了示例性场景的图示，其中移动计算设备200(简称为“主机”)在允许区域之外、进入未担保的允许区域、进入担保的允许区域、以及离开允许区域。对于这些区域中的每一者，图7示出了由rfid阅读器100(上部区块)、rfid组件210(中部区块)、和移动计算设备200的、执行上文所述专用于与rfid组件210相交接的软件的硬件处理器204(下部区块)执行的操作。

尽管已经在上面描述了所公开的系统和方法的多种示例性实施例，但应当理解它们仅仅被呈现用作示例而非限制的目的。它不是穷尽性的并且不把公开限制于所公开的精确形式。在不背离宽度或范围的情况下，在以上教导下的修改和变更是可能的，或者可从对公开的实践中获得修改和变更。

从上文可知，本申请提供的系统和方法可以多种方式实现，这多种方式如上文所述或者是本领域技术人员在阅读本公开后将清楚的方式。这些实施例以及经由本领域技术人员产生的对它们的变更和修改被本申请提供的系统和方法涵盖。因而，本申请提供的系统和方法的范围仅由所附权利要求中表达的界限所限制。