装置访问撤销的制作方法

相关申请的交叉引用

本申请要求于2016年1月29日提交的、标题为“deviceaccessrevocation”的美国临时专利申请no.62/288,931的优先权，将其全文通过引用并入于此。

本说明书总的来说描述与装置访问控制系统有关的技术。

背景技术：

访问控制指的是可用于调节可以观看或者使用装置的用户的安全技术。例如，访问控制系统可以限制对属性、装置、计算机网络、系统文件和数据的访问。

技术实现要素：

装置访问撤销协议可用于防止重放攻击，其中恶意地使用或者欺骗性地重复有效数据传输。某些装置访问撤销协议要求具有一致的网络连接性和高存储器和存储装置要求的复杂的客户端-服务器架构以保护用户免受安全破坏。由于对应可用的计算或者存储资源的限制，这种装置访问撤销协议通常对于资源约束的计算环境是不适当的。类似地，某些系统可以需要当存在有限的或者不可靠的网络连接性时操作。

在某些实现中，访问控制系统包括在装置存储的访问控制黑名单。在已经给出对访问装置的授权之后，可以通过添加条目到黑名单来撤消访问。作为示例，资源装置可以将访问控制责任的一部分委托给另一装置，比如分布允许对资源装置的访问的访问令牌的服务器系统。资源装置可以配置为当呈递有效的访问令牌时允许访问，而不存储或者检查授权的用户或装置的列表。但是，如果资源装置的拥有者决定撤消访问，则有效的访问令牌可能仍然存在且可用于获得访问。为了即使呈递有效的访问令牌也阻挡访问，条目可以被添加到在资源装置存储的黑名单。资源装置在确定是否提供访问时检查该黑名单。即使呈递有效的访问令牌，例如如果在黑名单中标识与访问令牌相关联的用户，则资源装置也可以拒绝访问。以下讨论其他变型，包括从资源装置远程存储的访问黑名单的使用和将用户组(比如具有特定角色或者许可级别的所有用户)列入黑名单。

黑名单的使用比允许访问令牌期满更快地允许访问特权的撤销。例如，可以更新访问控制黑名单，以使得在访问令牌期满之前，黑名单限制使用访问令牌对资源装置的访问。在这点上，可以独立于装置访问授权执行资源装置的装置访问撤销，提供在即时访问限制是优选的但是由于在先访问授权而不可能的情形期间添加的安全性。

在一个总的方面中，由包括数据处理设备的资源装置执行方法，该方法包括：在一个或多个用户每个分别被批准允许对资源装置的访问的访问令牌之后，由资源装置接收指示应该撤消先前批准的对资源装置的访问的撤销数据，其中，该撤销数据指示(i)对其撤消访问的用户、角色或者许可级别和可选地指示(ii)允许对资源装置的访问的持续时间；在接收撤销数据之后，由资源装置接收从允许对资源装置的访问的访问令牌得出的令牌数据；由资源装置确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权；和响应于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权，由资源装置拒绝对资源装置的访问。其他版本包括配置为执行在计算机存储装置上编码的方法的动作的相应的系统和计算机程序。

实现可以包括一个或多个以下特征。例如，该方法可以包括：响应于接收撤销数据，在资源装置本地存储的访问控制黑名单中存储条目，该条目指示由撤销数据指示的用户、角色或者许可级别；和将在存储的黑名单中指示的一个或多个用户、角色或者许可级别与由从访问令牌得出的令牌数据指示的用户、角色或者许可级别比较。可以至少部分地基于该比较拒绝对资源装置的资源访问。撤销数据标识(i)特定用户和可选地标识(ii)访问令牌批准对资源的特定用户访问的持续时间。确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括确定从向特定用户发布的令牌得出令牌数据。接收令牌数据包括接收从向第一用户发布的访问令牌得出的令牌数据，该第一用户的访问令牌基于不同于第一用户的第二用户的权限。

在某些实现中，撤销数据标识(i)第二用户和可选地标识(ii)向第二用户发布的访问令牌批准第二用户对资源装置的访问的持续时间。确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括确定第一用户的访问令牌基于特定用户的权限。

在某些实现中，接收令牌数据包括接收从向第一用户发布的访问令牌得出的令牌数据，该第一用户的访问令牌基于不同于第一用户的第二用户的权限。撤销数据标识(i)第二用户和可选地标识(ii)向第二用户发布的访问令牌批准第二用户对资源装置的访问的持续时间。另外，确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括基于所接收的令牌数据，确定第一用户的访问令牌基于第二用户的权限。拒绝对资源装置的访问包括基于确定第一用户的访问令牌基于第二用户的权限而拒绝第一用户对资源装置的访问。

在某些实现中，资源装置基于在资源装置本地存储的数据来确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权，该资源装置配置为使用本地存储的数据以独立于资源装置是否具有网络连接性而评估是否批准对资源装置的访问。

在某些实现中，接收撤销数据包括在一时间接收撤销数据，该时间是(i)在已经批准特定访问令牌之后，该特定访问令牌具有期满时间，和(ii)在特定访问令牌的期满时间之前。接收令牌数据包括接收从特定访问令牌得出的令牌数据。在第二时间执行确定和拒绝，该第二时间是(i)在已经批准特定访问令牌之后，和(ii)在特定访问令牌的期满时间之前。

在某些实现中，该方法进一步包括：在资源装置存储的访问黑名单中存储用户的黑名单条目；基于该黑名单条目确定对用户批准的一个或多个访问令牌已经期满；和基于确定对用户批准的一个或多个访问令牌已经期满，删除用户的黑名单条目。

在某些实现中，该方法进一步包括：由资源装置确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌。拒绝对资源装置的访问包括基于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权，在确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌之后拒绝对资源装置的访问。

在某些实现中，通过在资源装置和用户装置之间建立的基于接近的连接从用户装置接收撤销数据。

在某些实现中，通过在资源装置和服务器计算机之间建立的网络连接从服务器计算机接收撤销数据。

在另一总的方面中，一种计算机实现的方法包括：由一个或多个计算机和向与用户相关联的用户装置，提供使用户装置能够获得对资源装置的访问的访问令牌，该访问令牌配置为在预定期满时间期满；由一个或多个计算机存储指示访问令牌的用户和预定期满时间的访问控制列表；由一个或多个计算机和在预定期满时间之前，接收指示应该撤消用户对资源装置的访问的数据；和由一个或多个计算机和向资源装置发送指示其访问应该被撤消的用户的撤销数据和指示期满时间的数据。

在某些实现中，发送指示其访问应该被撤消的撤销数据和指示期满时间的数据包括发送撤销数据以用于包括在于资源装置上存储的访问控制黑名单中。

在某些实现中，访问控制黑名单指示用于由用户访问资源装置的角色或者许可级别。

在某些实现中，撤销数据标识(i)特定用户和可选地标识(ii)访问令牌批准对资源的特定用户访问的持续时间。

这些方面的其他实现包括配置为执行在计算机存储装置上编码的方法的动作的相应的系统、设备和计算机程序。一个或多个计算机或者其他装置的系统可以借助于在系统上安装的软件、固件、硬件或者它们的组合来这样配置，其在操作中使得系统执行动作。一个或多个计算机程序可以借助于具有指令而这样配置，该指令当由数据处理设备执行时使得设备执行动作。

在以下的附图和说明书中阐述一个或多个实现的细节。其他潜在的特征和优点将从说明书、附图和权利要求变得明显。

附图说明

图1是图示包括访问控制黑名单的访问控制系统的示例的图。

图2a-图2b是图示用于撤消对于资源装置的访问的示例处理的图。

图3是在其上可以实现在这里描述的处理或者其一部分的计算装置的框图。

在附图中，相同的附图标记始终表示相应的部分。

具体实施方式

总的来说，该说明书描述包括便利撤消对访问资源装置的授权的访问控制黑名单的访问控制系统。例如，黑名单可以在资源装置本地存储。可以更新该黑名单，以使得即使用户拥有用于访问资源装置的有效的访问令牌也可以阻挡用户对资源装置的访问。

如全文描述的，“资源装置”可以是其中控制对装置的访问的任何类型的电子装置。例如，资源装置的示例包括移动装置、台式计算机、连接的家用电器、连接的扬声器和物理锁。总的来说，资源装置可以是任何类型的电子装置，特别是对另一实体委托至少一些访问控制功能的装置。

对资源装置的访问指的是不是资源装置的拥有者的用户的装置的物理或者逻辑的访问。例如，如果资源装置是门锁或者用于属性的警报系统，则访问可以涉及将锁解锁或者禁止警报。在其他示例中，访问可以涉及对数据的访问，比如允许在资源装置上存储的个人媒体的回放。

图1是图示访问控制系统100的示例的图。该示例示出了用于控制对资源装置140的访问的技术。资源装置140由拥有者拥有，拥有者使用系统100以向另一用户“请求共享者(sharee)”授权访问资源装置140。在对请求共享者批准访问之后，拥有者使用系统100以使用访问控制黑名单142撤消请求共享者的访问。

访问控制系统100包括经网络105连接的拥有者装置110、访问批准权限120和请求共享者装置130。访问批准权限120存储用户访问控制列表122和关联主令牌124。请求共享者装置130设置有受限令牌126a，该受限令牌126a然后用于通过发送令牌数据126b提供对资源装置140的访问。资源装置140还存储访问控制黑名单142。

更详细地，拥有者装置110可以是与资源装置140的拥有者相关联的电子计算装置。拥有者装置110可以是拥有者使用以批准和撤消对访问资源装置140的授权的移动装置。例如，拥有者装置110可以将指定可以访问资源装置140的用户和与访问相关联的一个或多个条件(例如，访问的时间段、访问的许可级别，等等)的访问控制数据发送到访问批准权限120。访问控制数据然后可以由访问批准权限120使用以生成和维持用户访问控制列表122。

访问批准权限120可以是基于由拥有者装置110做出的委托提供对资源装置140的有限访问的远程服务器或者控制器。例如，访问批准权限120可以存储用户访问控制列表122，该用户访问控制列表122基于从拥有者装置110发送的访问控制数据指定访问资源装置140的授权用户的列表。另外，访问批准权限120可以维持包括证书数据的主令牌124，该证书数据用于生成对于在用户访问控制列表122内指定的用户的有限访问令牌。例如，该主令牌124可以包括提供对资源装置140的无限制访问的证书数据。

访问批准权限120可以使用用户访问控制列表122和主令牌124内包括的信息以生成用于访问控制列表122中标识的每个用户的有限令牌。有限令牌向接收者提供访问资源装置140的能力。例如，访问批准权限120可以生成用于请求共享者装置130的有限令牌126a，该有限令牌126a随后作为令牌数据126b发送以提供通过请求共享者装置130对资源装置140的访问。

有限令牌126a可以包括控制何时有限令牌126a有效的一个或多个唯一令牌参数。例如，有限令牌126a可以包括指定有限令牌126a有效且可供请求共享者装置130用于访问资源装置140的生存时间(ttl)时段的期满时间。在有些情况下，有限访问令牌在它们发布之后24小时期满，且更长期的访问要求从访问批准权限120发布新的有限令牌。可以使用任何适当的有效性周期(例如，秒、分、小时、天、星期等)。在该示例中，有限令牌126a在期满时间之后变得无效，以使得在期满时间之后请求共享者装置130不能使用令牌数据126b来访问资源装置140。在其他示例中，有限令牌126可以包括导致有限令牌126a变得无效的请求共享者装置130相关联的条件。例如，有限令牌126a可以指定有限令牌126a无效的请求共享者装置130的特定地理位置。在该示例中，有限令牌126a可以在请求共享者装置130的装置条件受有限令牌126a限制的某个时间段期间无效，且在请求共享者装置130的装置条件不受有限令牌126a限制的其他时间段期间有效。在某些实现中，有限令牌126a可以包括与请求共享者装置130特别地相关联的一个或多个唯一令牌参数。

请求共享者装置130可以是与从拥有者装置110请求对资源装置140的访问的用户相关联的电子计算装置。例如，请求共享者装置130可以是从资源装置140的拥有者接收对资源装置140的共享的有限访问的移动装置。如上所述，可以通过使用有限令牌126a授权对资源装置140的访问，该有限令牌126a包括用于访问的条件且包括指定何时有限令牌126a可用于授权对资源装置140的访问的信息。

如先前描述的，可以由用户访问控制列表122和有限令牌126a指定对资源装置140的访问授权。在许多实例中，资源装置140具有有限的数据存储和有限的处理性能。另外，资源装置140可以不具有与访问批准权限120的可用因特网连接或者任何其他网络连接性。为处理这些限制，在某些实现中，资源装置140不存储授权用户的访问控制列表122，且当确定是否批准访问时不访问访问控制列表122。而是，资源装置140评估从有限访问令牌接收到的令牌数据，并根据令牌数据确定是否授权访问。

在发布有限访问令牌之后，它们通常有效直到期满为止。为了允许装置拥有者撤消授权而不等待直到未决令牌的期满为止，撤销数据可以被发送到资源装置并存储在黑名单中。资源装置140可以与指示访问撤销的访问控制黑名单142相关联。访问控制黑名单142指的是包括撤销数据的条目的列表。在某些实现中，已经由拥有者装置110启动访问的撤销。例如，撤销数据可以包括表示指示用户身份的值的用户标识符，比如与用户相关联的数据的散列值或者其他类型的衍生物。访问控制黑名单142还指定与已经撤消其访问的用户的有限令牌126a有关的信息。例如，该信息可以包括提供给用户的令牌的类型，指定何时有限令牌126a变得无效的唯一令牌参数，或者也影响有限令牌126a的有效性的与请求共享者装置130相关联的装置条件。

访问控制黑名单142内包括的撤销数据可用于撤消对请求共享者装置130的访问授权。例如，在某些实现中，访问控制黑名单142中的每个黑名单条目可以指定请求共享者装置130的令牌信息。资源装置140然后基于比较访问控制黑名单142内包括的令牌信息和有限令牌126a内包括的信息，使用访问控制黑名单142内包括的令牌信息来阻挡请求共享者装置130的访问。在其他实现中，访问控制黑名单142内的每个黑名单条目可以指定用户信息(例如，用户标识符数据)，其然后用于标识与请求共享者装置130相关联的用户和相应地阻挡访问。

可以由资源装置140使用各种技术接收和处理撤销数据。在某些实现中，资源装置140至少偶而地经网络105连接到访问批准权限，并经网络105接收撤销数据。在这种实现中，拥有者装置110发送撤销数据到访问批准权限120，访问批准权限120然后将添加黑名单条目的指令发送到资源装置140。响应于此，资源装置140更新访问控制黑名单142，以添加包括撤销数据的新的黑名单条目。

替代地，在其他实现中，撤销数据可以从拥有者装置110直接发送到资源装置140而无需到访问批准权限120的网络连接性。例如，拥有者装置110能够建立与资源装置140的基于接近的连接。基于接近的连接可以是用于在短距离上交换数据的直接的有线或者无线通信标准。例如，基于接近的连接可以是蓝牙连接、红外(ir)连接、近场通信(nfc)连接或者通用串行总线(usb)连接。在这种实现中，当资源装置140或者拥有者装置110目前不具有网络连接性时可以离线发送撤销数据。

在某些实现中，访问控制黑名单142的内容可以用于执行与请求共享者装置130相关联的多个用户的装置访问检查。有时用户的授权取决于一个或多个用户的授权，导致用户的权限链。例如，装置的拥有者可以与adam共享访问，adam与bob共享访问，而bob与chris共享访问。如果权限链中的任意用户被列入黑名单中，则拒绝访问。例如，如果chris尝试访问且adam已经被添加到黑名单，则资源装置可能拒绝chris访问，因为他的授权取决于列入黑名单的用户的授权。

作为另一示例，一个用户的授权的撤销可能导致关于多个用户的信息被包括在黑名单中。例如，当撤消特定用户的访问时，指示其访问资源装置140的权限取决于特定用户的权限的特定用户和所有用户的数据。因此，包括通过特定用户直接或者间接地接收授权的所有用户的权限链可以在黑名单中标识且它们的访问可能被阻挡。黑名单可以包括权限链作为单个条目，或者作为每个标识不同的列入黑名单的用户的多个分离的条目。例如，响应于接收指示特定访问令牌的撤销数据，资源装置140可以确定特定访问令牌是否曾经用于对其他用户批准授权。响应于此，资源装置140然后可以添加用于从该令牌接收授权的其他用户的附加的黑名单条目。因此，与特定访问令牌相关联的撤销传送到所有关联的用户，然后作为结果，这些关联的用户也不能访问资源装置140。

在某些实现中，访问控制黑名单142可以用于基于用户访问控制列表122内包括的用户分类信息来撤消访问授权。例如，用户访问控制列表可以包括与特定用户组相关联的用户角色、许可级别或其他属性。在这种实现中，响应于从拥有者装置110接收指示用户分类的撤销请求，访问批准权限120可以标识共享用户分类的用户访问控制列表122内的所有用户。访问批准权限120然后向资源装置140发送撤销数据，其标识共享撤销请求内包括的用户分类的所有用户。资源装置140然后可以创建用于访问控制黑名单142内所有用户的条目，且随后对随后发送访问请求到资源装置140的这些用户之一拒绝访问。替代地，单个条目可以对于具有特定分类的所有用户撤消访问。例如，黑名单条目可以指定对于分类为“管理者”的所有用户撤消访问而不单独地命名那些用户。

访问控制黑名单142可以由资源装置140存储和访问以用于撤消请求共享者装置130的访问。在某些实现中，访问控制黑名单142本地地存储在资源装置140上，且响应于接收撤销数据由资源装置140周期性地更新。在这种实现中，响应于接收新提交的撤销数据，资源装置140可以更新黑名单以包括用于所接收的撤销数据的附加条目，并除去不再与用户访问控制列表122相关的来自在先时间段的其他黑名单条目。在这点上，资源装置140可以通过这样基于对用户访问控制列表122的相关性智能地添加和除去黑名单条目，来对本地存储的访问控制黑名单142执行维护。

在某些实现中，代替本地地存储在资源装置上，访问控制黑名单142可以代替地存储于在请求共享者装置130的访问时由资源装置140可访问的分离位置上。例如，响应于从请求共享者装置130接收访问令牌，资源装置140然后访问分离的位置以确定请求共享者装置130的用户是否已经添加到访问控制黑名单142。分离的位置可以是经网络105连接的分离的计算装置(例如，远程服务器)、拥有者装置110或者能够与资源装置交换通信而无需到访问批准权限120的连接性的另一本地连接的装置(例如，外部存储装置)。

在有些情况下，访问控制黑名单142被分配固定量的存储器，在存储器中例如存储信息以便利资源约束的计算环境中的使用。黑名单142可以具有固定长度或者固定尺寸，例如，允许100个条目、1000个条目或者某些其它预定数目的黑名单条目。如上所述，资源装置140可以基于接收与用户访问控制列表122相关联的撤销数据和信息而添加或者除去单独的黑名单条目。例如，资源装置140可以从访问控制黑名单142除去对应于期满的访问令牌的黑名单条目。这些条目可以在期满日期之后的特定时段之后清除，因为请求共享者装置130不再能够使用这些期满的令牌访问资源装置，这表明访问控制黑名单142内的撤销数据是不必要的。该技术可以由资源装置140使用以保持可用于对应于仍然有效的令牌的黑名单条目的足够空间。

在某些实现中，不主动地清除与期满的令牌对应的黑名单条目，而是由较新条目替换。例如，当接收附加的撤销数据时，装置可以以新的黑名单条目重写与期满的令牌对应的条目。

在某些实现中，资源装置140能够基于与请求共享者装置130相关联的一组装置属性和从有限令牌126a得出的令牌数据，智能地对访问控制黑名单142执行维护操作。例如，资源装置140可以基于请求共享者装置130的装置分类(例如，基于指示更大安全性风险的特定装置类型、角色或者许可级别而优先单独的黑名单条目)对访问控制黑名单142执行不同类型的维护操作。在另一示例中，资源装置140可以基于有限令牌126a的特定令牌数据预测与所接收的撤销数据相关联的安全性危险，并相应地协调与访问控制黑名单142的操作以缓和安全性危险(例如，与预测为导致较低访问级别的访问令牌的操作相比，优先预测为导致高访问级别的访问令牌的操作)。

在图1中示出的示例中，访问控制黑名单142可以用于撤消对资源装置140的访问。结果，基于从拥有者装置110接收撤销数据，在有限令牌126a的期满之前，阻挡请求共享者装置130对资源装置140的访问。例如，虽然在1月25日的有限令牌126a的期满之前，令牌数据126b在1月15日发送到资源装置140，但是资源装置140基于包括具有用户id“10001”的用户的黑名单条目的访问控制黑名单142，而对请求共享者装置130拒绝访问。在该示例中，资源装置140基于比较由黑名单条目指定的用户id和由令牌数据126b指示的用户id，标识来自请求共享者装置130的后续访问请求与访问控制黑名单142中包括的用户相关联。

图2a-图2b是图示用于撤消对资源装置的访问的示例处理200a-200b的图。参考图2a，处理200a可以包括由资源装置接收撤销数据(210)，由资源装置接收访问令牌(220)，确定访问令牌依赖于列入黑名单的用户的授权(230)和拒绝对资源装置的访问(240)。

更详细地，处理200a可以包括由资源装置接收撤销数据(210)。例如，在一个或多个用户每个已经被批准允许对资源装置140的访问的各个有限访问令牌126a之后，资源装置140接收指示应该撤消先前批准的对资源装置140的访问的撤销数据。如先前描述的，撤销数据可以指示对于其撤消访问的用户、角色或者许可级别，和可选地指示允许对资源装置的访问的持续时间。

在某些实现中，撤销数据可以经网络105从访问批准权限120发送到资源装置140。例如，拥有者装置110最初发送撤销指令到访问批准权限120，访问批准权限120然后访问用户访问控制列表122以标识由所接收的撤销指令指示的特定用户或者访问令牌，且然后生成撤销数据以发送到资源装置140。

替代地，在其他实现中，撤销数据可以经资源装置140和拥有者装置110之间的基于接近的连接从拥有者装置110直接发送。例如，基于接近的连接可以是使资源装置140能够接收撤销而无需访问批准服务器120的网络连接性的蓝牙连接、nfc连接、ir连接或者usb连接。

在某些实现中，撤销数据标识特定用户且可选地标识访问令牌批准特定用户对资源装置的访问的持续时间。在这种实现中，如以下步骤230描述的，确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括确定从向特定用户发布的令牌得出令牌数据。

在某些实现中，接收撤销数据包括在已经批准具有期满时间的特定访问令牌之后，且在特定访问令牌的期满时间之前的时间接收撤销数据。在这种实现中，如以下步骤220描述的，由资源装置140接收令牌数据包括接收从特定访问令牌得出的令牌数据。另外，分别如步骤230和240描述的，在已经批准特定访问令牌之后且在特定访问令牌的期满时间之前的第二时间执行确定和拒绝。

处理200a可以包括接收从访问令牌得出的数据的资源装置(220)。例如，在接收撤销数据之后，资源装置140可以接收从对请求共享者装置130允许访问的有限令牌126a得出的令牌数据126b。如先前描述的，令牌数据126b可以包括对应于用户的用户标识符，比如用于指示特定用户的其他用户数据的散列值或者衍生物，和与有限令牌126a相关联的信息，比如令牌的到期日期或者令牌的有效性持续时间。

在某些实现中，接收令牌数据包括接收从向第一用户发布的访问令牌得出的令牌数据。第一用户的访问令牌可以基于不同于第一用户的第二用户的权限。撤销数据标识第二用户且可选地标识向第二用户发布的访问令牌批准第二用户对资源装置的访问的持续时间。在这种实现中，如以下步骤230描述的，确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权包括基于所接收的令牌数据，确定第一用户的访问令牌基于第二用户的权限。另外，如以下步骤240描述的，拒绝对资源装置140的访问包括基于确定第一用户的访问令牌基于第二用户的权限而拒绝第一用户对资源装置140的访问。

处理200a可以包括确定访问令牌依赖于列入黑名单的用户的授权(230)。例如，资源装置140可以确定有限令牌126a依赖于由撤销数据指示的用户、角色或者许可级别的授权。在有些情况下，资源装置140可以最初在访问控制黑名单142内的黑名单条目中存储由撤销数据指示的信息，且然后比较黑名单条目中的信息与令牌数据126b。当信息匹配时，资源装置140确定有限令牌126a依赖于由撤销数据指示的用户、角色或者许可的授权。

在某些实现中，资源装置140基于在资源装置140本地存储的数据来确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权。在这种实现中，资源装置140配置为使用本地存储的数据以独立于资源装置是否具有网络连接性而评估是否批准对资源装置的访问。

处理200a可以包括拒绝对资源装置的访问(240)。例如，响应于确定有限令牌126a依赖于由撤销数据指示的用户、角色或者许可的授权(例如，已经并入资源装置的黑名单中)，资源装置140可以拒绝请求共享者装置130对资源装置140的访问。在有些情况下，可以在有限令牌126a期满之前拒绝访问。例如，如在图1中的示例中示出的，虽然令牌数据126b指示请求共享者装置130具有访问资源装置140的权限，但是仍然可以基于所接收的撤销数据拒绝访问。在该示例中，可以在有限令牌126a的期满之前撤消用户对资源装置140的访问。

在某些实现中，处理200a可以包括附加的操作。例如，响应于接收撤销数据，处理200a包括在资源装置140本地存储的访问控制黑名单142中存储条目。该条目指示由撤销数据指示的用户、角色或者许可级别。处理200a也可以包括比较存储的黑名单142中指示的一个或多个用户、角色或者许可级别与由从访问令牌得出的令牌数据指示的用户、角色或者许可级别。另外，可以至少部分地基于该比较拒绝对资源装置的资源访问。

在某些实现中，处理200a可以另外包括在资源装置存储的访问黑名单中存储用户的黑名单条目。处理200a可以另外包括基于黑名单条目确定对用户批准一个或多个访问令牌已经期满，和基于确定对用户批准的一个或多个访问令牌已经期满而删除用户的黑名单条目。

在有些情况下，处理200a可以进一步包括资源装置140确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌。在这种情况下，拒绝对资源装置140的访问包括在确定所接收的令牌数据对应于提供对资源的访问的有效和未期满的令牌之后拒绝对资源装置140的访问。这可以基于确定访问令牌依赖于由撤销数据指示的用户、角色或者许可级别的授权。

现在参考图2b，处理200b可以包括提供访问令牌(212)、存储访问控制列表(222)、接收指示应该撤消访问的数据(232)和发送撤销数据(242)。

更详细地，处理200b可以包括提供访问令牌(212)。例如，访问批准权限120可以给请求共享者装置130提供使请求共享者装置130能够获得对资源装置140的访问的有限令牌126a。有限令牌126a可以配置为在预定期满时间期满。如先前描述的，预定期满时间可以基于与请求共享者装置130相关联的特定用户(例如，用户角色)、提供给请求共享者装置130的装置访问的类型(例如，许可级别)或者请求共享者装置130的装置特性(例如，装置类型)。

处理200b可以包括存储访问控制列表(222)。例如，访问批准权限120可以存储指示有限令牌126a的用户和预定期满时间的用户访问控制列表122。在有些情况下，批准权限的装置可以使用主令牌124以确定要提供给请求共享者装置130的有限令牌126a，在访问控制列表122内创建用于请求共享者的新条目及其有限令牌126a，且然后存储更新的访问控制列表122。在某些实现中，访问控制列表122指示由用户访问资源装置的角色或者许可级别。

处理200b可以包括接收指示应该撤消访问的数据(232)。例如，访问批准权限120可以在有限令牌126a的预定期满时间之前，接收指示应该撤消请求共享者装置130的用户对资源装置140的访问的数据。在有些情况下，所接收的数据可以包括在从拥有者装置110发送的撤销指令内，该撤销指令标识用户信息(例如，用户标识符)或者与有限令牌126a相关联的令牌信息。

处理200b可以包括发送撤销数据(242)。例如，访问批准权限120可以发送撤销数据到资源装置140，该撤销数据指示应该撤消其访问的请求共享者装置130的用户和指示有限令牌126a的期满时间的数据。如先前相对于图2a描述的，所发送的撤销数据可以由资源装置140使用以对请求共享者装置130拒绝访问。

在某些实现中，发送撤销数据包括发送撤销数据以用于包括在资源装置140上存储的访问控制黑名单中。在某些实现中，所发送的撤销数据标识特定用户且可选地标识访问令牌批准特定用户对资源装置的访问的持续时间。

图3是可以作为客户端或者作为服务器或者多个服务器用于实现该文档中描述的系统和方法的计算装置300、350的框图。计算装置300意在表示各种形式的数字计算机，比如膝上型电脑、台式电脑、工作站、个人数字助理、服务器、刀片服务器、大型机及其他适当的计算机。计算装置350意在表示各种形式的移动装置，比如个人数字助理、蜂窝电话、智能电话及其他类似的计算装置。另外，计算装置300或者350可以包括通用串行总线(usb)闪存驱动器。usb闪存驱动器可以存储操作系统及其他应用。usb闪存驱动器可以包括输入/输出组件，比如可以插入到另一计算装置的usb端口中的无线发射器或者usb连接器。这里示出的组件，它们的连接和关系，和它们的功能仅意味着为示例性，且不意味着限制该文档中描述和/或要求的本发明的实现。

计算装置300包括处理器302、存储器304、存储装置306、连接到存储器304和高速扩展端口310的高速接口308，和连接到低速总线314和存储装置306的低速接口312。每一组件302、304、306、308、310和312使用各种总线互连，且可以安装在公共的母板上或者按照需要以其他方式安装。处理器302可以处理用于在计算装置300内执行的指令，包括存储器304中或者存储装置306上存储以在外部输入/输出装置(比如耦合到高速接口308的显示器316)上显示用于gui的图形信息的指令。在其他实现中，按照需要，可以与多个存储器和多个类型的存储器一起使用多个处理器和/或多个总线。此外，多个计算装置300可以与提供部分必要的操作的每个装置连接，例如，作为服务器排、一组刀片服务器或者多处理器系统。

存储器304在计算装置300内存储信息。在一个实现中，存储器304是一个或多个易失性存储器单元。在另一实现中，存储器304是一个或多个非易失性存储器单元。存储器304也可以是另一形式的计算机可读介质，比如磁盘或者光盘。

存储装置306能够提供计算装置300的大容量存储。在一个实现中，存储装置306可以是或者可以包括计算机可读介质，比如软盘装置、硬盘装置、光盘装置或者磁带装置、闪存存储器或者其他类似的固态存储器装置，或者装置的阵列，包括以存储区网络或者其他配置的装置。计算机程序产品可以有形地具体表现在信息载体中。计算机程序产品也可以包括当执行时执行比如上面描述的一个或多个方法的指令。信息载体是计算机或者机器可读介质，比如存储器304、存储装置306或者处理器302上的存储器。

高速控制器308管理计算装置300的带宽集中操作，而低速控制器312管理较低带宽集中操作。这种功能的分配仅是示例性的。在一个实现中，高速控制器308例如通过图形处理器或者加速器耦合到存储器304、显示器316，且耦合到可以接受各种扩展卡(未示出)的高速扩展端口310。在该实现中，低速控制器312耦合到存储装置306和低速扩展端口314。低速扩展端口可以包括各种通信端口，例如，usb、蓝牙、以太网、无线以太网，其可以耦合到一个或多个输入/输出装置，比如键盘、定点装置、麦克风/扬声器对、扫描仪，或者例如通过网络适配器的联网装置，比如交换机或者路由器。计算装置300可以以多个不同的形式实现，如图所示。例如，它可以实现为标准服务器320，或者以这种服务器的组多次实现。它也可以实现为机架服务器系统324的一部分。另外，它可以以比如膝上型计算机322的个人计算机实现。替代地，来自计算装置300的组件可以与移动装置(未示出)，比如装置350中的其他组件组合。每一个这种装置可以包括一个或多个计算装置300、350，且整个系统可以由彼此通信的多个计算装置300、350组成。

计算装置300可以以多个不同的形式实现，如图所示。例如，它可以实现为标准服务器320，或者以这种服务器的组多次实现。它也可以实现为机架服务器系统324的一部分。另外，它可以以比如膝上型计算机322的个人计算机实现。替代地，来自计算装置300的组件可以与移动装置(未示出)，比如装置350中的其他组件组合。每一个这种装置可以包括一个或多个计算装置300、350，且整个系统可以由彼此通信的多个计算装置300、350组成。

计算装置350包括处理器352、存储器364和比如显示器354的输入/输出装置、通信接口366和收发器368，及其他组件。装置350也可以设置有存储装置，比如微驱动器或者其他装置，以提供附加的存储。每一组件350、352、364、354、366和368使用各种总线互连，且几个组件可以安装在公共的母板上或者按照需要以其他方式安装。

处理器352可以执行计算装置350内的指令，包括存储器364中存储的指令。处理器可以实现为包括单独的和多个模拟和数字处理器的芯片的芯片组。另外，处理器可以使用多个架构中的任意架构实现。例如，处理器310可以是cisc(复杂指令集计算机)处理器、risc(精简指令集计算机)处理器或者misc(最小指令集计算机)处理器。例如处理器可以提供用于装置350的其他组件的协调，比如用户界面的控制，由装置350运行的应用和装置350的无线通信。

处理器352可以通过耦合到显示器354的控制接口358和显示器接口356与用户通信。显示器354例如可以是是tft(薄膜晶体管液晶显示器)显示器或者oled(有机发光二极管)显示器，或者其他适当的显示技术。显示器接口356可以包括用于驱动显示器354以向用户呈现图形信息及其他信息的适当的电路。控制接口358可以从用户接收命令并将其转换以用于提交到处理器352。另外，可以提供外部接口362与处理器352通信，从而使能装置350与其他装置的附近区域通信。例如可以提供外部接口362在某些实现中用于有线通信，或者在其他实现中用于无线通信，且也可以使用多个接口。

存储器364在计算装置350内存储信息。存储器364可以实现为一个或多个计算机可读介质，一个或多个易失性存储器单元或者一个或多个非易失性存储器单元。扩展存储器374也可以被提供并通过扩充接口372连接到装置350，该扩充接口372例如可以包括simm(单列直插式存储器模块)卡接口。这种扩展存储器374可以提供用于装置350的额外存储空间，或者也可以存储装置350的应用或者其他信息。特别地，扩展存储器374可以包括进行或者补充上面描述的处理的指令，且还可以包括安全信息。因此，例如，扩展存储器374可以作为装置350的安全性模块提供，且可以用允许装置350的安全使用的指令编程。另外，安全应用可以与附加信息一起经由simm卡提供，比如以不可篡改方式将标识信息置于simm卡上。

如以下讨论的，存储器例如可以包括闪存存储器和/或nvram存储器。在一个实现中，计算机程序产品有形地具体表现为信息载体。计算机程序产品包括当执行时执行比如上面描述的一个或多个方法的指令。信息载体是计算机或者机器可读介质，比如存储器364、扩展存储器374或者例如可以经收发器368或者外部接口362接收的处理器352上的存储器。

装置350可以通过通信接口366无线地通信，该通信接口366在必要时可以包括数字信号处理电路系统。通信接口366可以提供用于在各种模式或者协议下的通信，比如gsm语音呼叫、sms、ems或者mms消息传递、cdma、tdma、pdc、wcdma、cdma2000或者gprs，等等。例如，这种通信可以通过射频收发器368发生。另外，可以发生短距离通信，比如使用蓝牙、wi-fi或者其他这种收发器(未示出)。另外，gps(全球定位系统)接收器模块670可以向装置350提供附加的导航和位置有关的无线数据，其可以由运行在装置350上的应用适当地使用。

装置350也可以使用音频编解码器360可听地通信，该音频编解码器360可以从用户接收讲话信息并将其转换为可使用的数字信息。音频编解码器360同样地可以生成用于用户的可听声音，比如通过例如在装置350的耳机中的扬声器。这种声音可以包括来自语音电话呼叫的声音，可以包括记录的声音，例如，语音消息、音乐文件等，且也可以包括由在装置350上操作的应用生成的声音。

计算装置350可以以多个不同形式实现，如图所示。例如，它可以实现为蜂窝电话380。它也可以实现为智能电话382、个人数字助理或者其他类似的移动装置的一部分。

这里描述的系统和方法的各种实现可以以数字电子电路、集成电路、特别设计的asic(专用集成电路)、计算机硬件、固件、软件和/或这种实现的组合来实现。这各种实现可以包括以在可编程系统上可执行和/或可解释的一个或多个计算机程序的实现，该可编程系统包括至少一个可编程处理器，其可以是专用或者通用的、耦合以从存储系统接收数据和指令并发送数据和指令到该存储系统，还包括至少一个输入装置，和至少一个输出装置。

这些计算机程序(也被称为程序、软件、软件应用或者代码)包括用于可编程处理器的机器指令，且可以以高级过程和/或面向对象的编程语言和/或以汇编/机器语言实现。如在此使用的，术语“机器可读介质”、“计算机可读介质”指的是用于向可编程处理器提供机器指令和/或数据的任何计算机程序产品、设备和/或装置，例如磁盘、光盘、存储器、可编程逻辑器件(pld)，该可编程处理器包括接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于向可编程处理器提供机器指令和/或数据的任何信号。

为提供与用户的交互，这里描述的系统和技术可以在计算机上实现，该计算机具有用于向用户显示信息的显示装置，例如，crt(阴极射线管)或者lcd(液晶显示器)监视器，和用户通过其可以向计算机提供输入的键盘和定点装置，例如，鼠标或者轨迹球。其它种类的装置也可用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈，例如，视觉反馈、听觉反馈或者触觉反馈；且来自用户的输入可以以任意形式接收，包括声学的、语音、或者触觉输入。

这里描述的系统和技术可以以计算系统的实现，该计算系统例如包括后端组件作为数据服务器，或者包括中间件组件，例如，应用服务器，或者包括前端组件，例如，具有用户可以通过其与这里描述的系统和技术的实现互动的图形用户界面或者网络浏览器的客户端计算机，或者这种后端、中间件或者前端组件的任何组合。系统的组件可以由任何形式或者介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“lan”)、广域网(“wan”)和因特网。

计算系统可以包括客户端和服务器。客户端和服务器通常彼此远离，且典型地通过通信网络互动。客户端和服务器的关系借助于运行在各个计算机上和彼此具有客户端-服务器关系的计算机程序而发生。

已经描述了多个实施例。然而，将理解可以做出各种修改而不脱离的精神和保护范围。另外，在图中示出的逻辑流程不要求示出的特定顺序，或者连续顺序来实现期望的结果。另外，可以提供其他步骤，或者可能从描述的流程中去除步骤，且其它组件可以添加到描述的系统或者从描述的系统除去。因此，其他实施例在以下权利要求的范围内。