用于对本地网络设备提供安全访问的系统和方法与流程

家庭网络正在连接家中越来越多数量的设备，使得家庭用户能够管理、操作以及使多种家庭设备(从娱乐设备到公用连接设备)自动化。遗憾的是，对于非熟练用户来说，配置对家庭网络上的设备的访问可能是具有挑战性的任务。

一些用户可能希望为家中的客人提供对一些设备的暂时访问。然而，为客人提供家庭网络访问和/或本地网络地址和密码以访问设备管理界面对于家庭主人和客人两者来说可能很繁冗，也不安全。另一方面，使家庭设备简单地暴露于全球互联网可使设备容易受到任何人攻击。

用于对家庭网络上的设备提供访问的传统方法诸如通用即插即用(UPnP)可能提供太少控制和安全性。用于控制家庭网络流量的传统方法，诸如互联网协议(IP)转发，对于用户来说可能难以理解和正确配置。

因此，本公开识别并解决了对用于对本地网络设备提供安全访问的另外并且改善的系统和方法的需要。

技术实现要素：

如将在下文更详细地描述，本公开描述了用于基于访问本地网络设备的权限对设备提供安全访问的各种系统和方法，所述权限由身份断言提供程序通过以下方式设定：利用通过身份断言提供程序获得的共享密钥来验证访问设备的请求。

在一个例子中，用于对本地网络设备提供安全访问的计算机实现的方法可包括(1)识别局域网，该局域网提供到局域网内的至少一个设备的互联网连接，(2)从身份断言提供程序获得(i)用于认证设备的客人用户身份的共享密钥，和(ii)客人用户从局域网之外访问设备的权限，(3)将共享密钥和权限存储在局域网内，(4)经由互联网连接，接收来自局域网之外的客人用户的访问设备的请求，以及(5)响应于基于共享密钥和权限验证请求来提供对设备的访问。

在一些例子中，(1)将共享密钥和权限存储在局域网内可包括将共享密钥和权限存储在网关上，该网关提供到局域网的互联网连接，(2)接收请求可包括在网关处接收认证信息，并且(3)基于共享密钥和权限来验证请求可包括利用共享密钥验证认证信息。

在一些实施例中，(1)身份断言提供程序可包括社交联网服务提供程序，并且(2)可能已通过局域网所有者经由社交联网服务提供程序的社交联网平台启用了客人用户从局域网之外访问设备的权限。

在一些例子中，经由互联网连接接收来自局域网之外的客人用户的访问设备的请求可包括接收消息，该消息被寻址到分配给局域网上的设备的端口号。在一些实施例中，响应于验证请求提供对设备的访问还基于地理定位数据，该地理定位数据数据识别从其发送请求的客人设备的当前位置。在一些例子中，从身份断言提供程序获得共享密钥和权限可响应于授权身份断言提供程序授予局域网上的权限。

用于对本地网络设备提供安全访问的另一计算机实现的方法可包括(1)在社交联网平台上，接收社交联网平台第一用户的为社交联网平台的第二用户提供对局域网内设备的访问的请求，该局域网由第一用户控制，(2)识别用于访问社交联网平台的认证系统，(3)为局域网预置用于经由认证系统来认证社交联网平台第二用户的认证信息，以及(4)响应于接收到第一用户的请求，将权限信息从社交联网平台传输至局域网，该权限信息为第二用户提供对由第一用户控制的局域网内的设备的访问。

在一些例子中，接收第一用户的请求以为社交联网平台第二用户提供对设备的访问可包括(1)识别社交联网平台上的由第一用户托管并且将第二用户邀请到的事件，以及(2)至少部分地基于第二用户被邀请到事件，确定第二用户有权访问设备。

在一些实施例中，确定第二用户有权访问设备可包括确定第二用户在社交联网平台上所定义的事件持续时间内有权访问设备。除此之外或作为另外一种选择，确定第二用户有权访问设备可包括(1)识别设备的设备类型，(2)识别第二用户在事件中的角色，(3)识别设备类型与客人角色之间的映射，以及(4)基于设备类型、角色以及设备类型与客人角色之间的映射，确定第二用户在事件中的角色使第二用户有权访问设备。

在一些例子中，接收第一用户的请求以为社交联网平台第二用户提供对设备的访问可包括(1)识别社交联网平台上的第一用户与第二用户之间的关系，以及(2)基于社交联网平台上的第一用户与第二用户之间的关系，确定第二用户有权访问设备。

在一些实施例中，设备可提供多个特征，并且权限信息可指定第二用户是否具有访问设备所述多个特征中的每个特征的权限。在一些例子中，将权限信息从社交联网平台传输至局域网可包括传输权限信息以驻留在局域网的接收互联网通信的网关设备上。除此之外或作为另外一种选择，将权限信息从社交联网平台传输至局域网可包括传输权限信息以驻留在设备上。

在一个实施例中，用于实现上述方法的系统可包括(1)存储在存储器中的识别模块，该识别模块识别局域网，该局域网提供到局域网内的至少一个设备的互联网连接，(2)存储在存储器中的获得模块，该获得模块从身份断言提供程序获得(i)用于认证设备的客人用户身份的共享密钥，和(ii)客人用户从局域网之外访问设备的权限，(3)存储在存储器中的存储模块，该存储模块将共享密钥和权限存储在局域网内，(4)存储在存储器中的接收模块，该接收模块经由互联网连接接收来自局域网之外的客人用户的访问设备的请求，(5)存储在存储器中的提供模块，该提供模块响应于基于共享密钥和权限验证请求来提供对设备的访问，以及(6)执行识别模块、获得模块、存储模块、接收模块和提供模块的至少一个物理处理器。

在一些例子中，上述方法中的一者或多者可被编码为非暂态计算机可读介质上的计算机可读指令。

来自上述实施例中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述，将会更充分地理解这些和其他实施例、特征和优点。

附图说明

附图示出了多个示例性实施例并且为说明书的一部分。这些附图结合下面的描述展示并且说明本发明的各种原理。

图1为用于对本地网络设备提供安全访问的示例性系统的框图。

图2为用于对本地网络设备提供安全访问的另外示例性系统的框图。

图3为用于对本地网络设备提供安全访问的示例性方法的流程图。

图4为用于对本地网络设备提供安全访问的示例性方法的流程图。

图5为用于对本地网络设备提供安全访问的另外示例性系统的框图。

图6为能够实施本文描述和/或示出的实施例中的一者或多者的示例性计算系统的框图。

图7为能够实施本文描述和/或示出的实施例中的一者或多者的示例性计算网络的框图。

在全部附图中，相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施例易受各种修改和替代形式的影响，但在附图中以举例的方式示出了特定实施例并且将在本文详细描述。然而，本文所述的示例性实施例并非旨在限于所公开的特定形式。相反，本发明涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。

具体实施方式

本公开整体涉及用于对本地网络设备提供安全访问的系统和方法。如将在下文更详细地说明，通过基于通过身份断言提供程序获得的访问局域网上的设备的权限并且基于通过身份断言提供程序获得的共享密钥来验证访问设备的请求，本文所述的系统和方法可允许家庭网络所有者向客人安全提供粒度设备访问。另外，在一些例子中，身份断言提供程序可包括社交联网平台(和/或为社交联网平台提供认证服务)。在这些例子中，本文所述的系统和方法可允许家庭网络所有者向社交联网联系人提供设备访问。

下面将参考图1、图2和图5提供用于对本地网络设备提供安全访问的示例性系统的详细描述。也将结合图3至图4提供相应计算机实现的方法的详细描述。此外，将分别结合图6和图7提供能够实现本文所述实施例中的一者或多者的示例性计算系统和网络体系结构的详细描述。

图1为用于对本地网络设备提供安全访问的示例性系统100的框图。如该图所示，示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如，并且如将在下文更详细地说明，示例性系统100可包括存储在存储器中的识别模块104，该识别模块104识别局域网，该局域网提供到局域网内的至少一个设备的互联网连接，(2)存储在存储器中的获得模块106，该获得模块106从身份断言提供程序获得(i)用于认证设备客人用户身份的共享密钥，和(ii)客人用户从局域网之外访问设备的权限，(3)存储在存储器中的存储模块108，该存储模块108将共享密钥和权限存储在局域网内，(4)存储在存储器中的接收模块110，该接收模块110经由互联网连接接收来自局域网之外的客人用户的访问设备的请求，以及(5)存储在存储器中的提供模块112，该提供模块112响应于基于共享密钥和权限验证请求来提供对设备的访问。尽管例示为独立元件，但图1中的模块102中的一者或多者可表示单个模块或应用程序的部分。

在某些实施例中，图1中的模块102中的一者或多者可表示一个或多个软件应用程序或程序，当通过计算设备执行时，所述软件应用程序或程序可使计算设备执行一个或多个任务。例如，并且如将在下文更详细地描述，模块102中的一者或多者可表示被存储来并且被配置为在一个或多个计算设备上运行的软件模块，所述计算设备诸如图2中示出的设备(例如，计算设备202、身份断言提供程序206、设备210和/或设备214)、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。图1中的模块102中的一者或多者也可表示被配置为执行一个或多个任务的一台或多台专用计算机的全部或部分。

如图1所示，示例性系统100还可包括一个或多个数据库，诸如数据库120。在一个例子中，数据库120可被配置为存储用于通过身份断言提供程序执行认证的一个或多个共享密钥和/或对连接至局域网的设备的访问进行管控的一个或多个权限。

数据库120可表示单个数据库或计算设备的组成部分或者多个数据库或计算设备。例如，数据库120可表示图2中的计算设备202、设备214和/或局域网208的一部分、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。作为另外一种选择，图1中的数据库120可表示能够通过计算设备访问的一个或多个物理独立设备，诸如图2中的设备214、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。

图1中的示例性系统100可以多种方式来实现。例如，示例性系统100的全部或一部分可表示图2中的示例性系统200的部分。如图2所示，系统200可包括局域网208中的计算设备202，该计算设备202经由网络204与身份断言提供程序206和设备210通信。在一个例子中，计算设备202可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。除此之外或作为另外一种选择，设备214可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。

在一个实施例中，图1的模块102中的一者或多者在通过计算设备202和/或设备214的至少一个处理器执行时，可允许计算设备202和/或设备214对设备214(例如，对使用设备210的客人用户212)提供安全访问。例如，并且如将在下文更详细地描述，模块102中的一者或多者可使得计算设备202和/或设备214(1)识别局域网208，该局域网208提供至局域网208内的至少一个设备(例如，设备214)的互联网连接(例如，至网络204和/或经由网络204的连接)，(2)从身份断言提供程序206获得(i)用于认证设备214的客人用户212身份的共享密钥220，和(ii)客人用户212从局域网208之外(例如，经由连接至网络204的设备210)访问设备214的权限222，(3)将共享密钥220和权限222存储在局域网208内，(4)经由互联网连接，接收来自局域网208之外的客人用户212(例如，经由设备210和网络204)访问设备214的请求224，以及(5)响应于基于共享密钥220和权限222验证请求224来对设备214提供访问。

计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的例子包括但不限于笔记本电脑、平板电脑、台式机、服务器、移动电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如，智能手表、智能眼镜等)、游戏机、这些设备中一者或多者的组合、图6中的示例性计算系统610，或任何其他合适的计算设备。在一些例子中，计算设备202可表示局域网208的网关和/或路由器，该网关和/或路由器将互联网流量导向至局域网208并且导向来自局域网208的互联网流量。

身份断言提供程序206通常表示能够促进用户认证的任何类型或形式的计算设备、平台和/或服务。身份断言提供程序206可包括被配置为提供各种数据库服务和/或运行某些软件应用程序的一个或多个应用程序服务器和/或数据库服务器。在一些例子中，身份断言提供程序206可包括社交联网平台和/或为社交联网平台提供认证。

设备210通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的例子包括但不限于笔记本电脑、平板电脑、台式机、服务器、移动电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如，智能手表、智能眼镜等)、游戏机、这些设备中一者或多者的组合、图6中的示例性计算系统610，或任何其他合适的计算设备。

设备214通常表示能够与局域网连接的任何类型或形式的设备。设备214的例子包括但不限于家庭自动化设备、家庭娱乐设备、家庭安全设备、台式机、服务器、多媒体播放器、嵌入式系统、游戏机、这些设备中一者或多者的组合、图6中的示例性计算系统610，或任何其他合适的计算设备。

网络204通常表示能够促进通信或数据传输的任何介质或体系结构。网络204的例子包括但不限于互联网、广域网(WAN)、电力线通信网(PLC)、蜂窝网络(例如，全球移动通信系统(GSM)网络)、局域网(LAN)、个人区域网(PAN)、内联网、图7中的示例性网络体系结构700，等等。网络204可使用无线或有线连接来促进通信或数据传输。在一个实施例中，网络204可促进局域网208、身份断言提供程序206以及设备210之间的通信。

图3为用于对本地网络设备提供安全访问的示例性计算机实现方法300的流程图。图3中示出的步骤可通过任何合适的计算机可执行代码和/或计算系统执行。在一些实施例中，图3中示出的步骤可通过图1中的系统100、图2中的系统200、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分的组件中的一者或多者执行。

如图3所示，在步骤302处，本文所述系统中的一者或多者可识别局域网，该局域网提供至局域网内至少一个设备的互联网连接。例如，识别模块104可作为图2中的计算设备202的一部分，识别局域网208，该局域网208提供至局域网208内的至少一个设备(例如，设备214)的互联网连接(例如，至网络204和/或经由网络204的连接)。

局域网可包括多种站点中的任一者处的网络。例如，局域网可包括家庭网络、办公室网络、商业网络(例如，酒店的网络)和/或具有连接设备的任何其他网络，网络所有者和/或管理员可能希望对所述连接设备授予客人访问。

设备可包括能够与局域网连接的任何类型或形式的设备。例如，设备可包括家庭自动化设备(例如，以控制一个或多个灯和/或加热、通风和/或空调系统)。在一些例子中，设备可包括家庭安全设备(例如，以控制一个或多个锁、门、车库门、运动传感器、门和/或窗传感器，和/或警报器)。除此之外或作为另外一种选择，设备可包括多媒体设备(例如，音频和/或视频设备、相机等)。

局域网可以任何合适的方式提供至设备的互联网连接。例如，局域网可通过局域网内的网关提供至设备的互联网连接。如本文所用，术语“网关”可指网关、路由器、和/或可将局域网连接至互联网、可过滤传入流量和/或将传入流量导向至局域网、和/或可提供至局域网内设备的连接的任何其他网络设备。在一些例子中，局域网可通过将外部互联网协议(IP)请求转发至设备(例如，基于在IP请求中指定的端口)来提供至设备的互联网连接。

识别模块104可在任何合适的环境中识别局域网。例如，识别模块104可在局域网的网关设备上执行。在该例子中，识别模块104可通过在网关设备上执行来识别局域网。

如图3所示，在步骤304处，本文所述系统中的一者或多者可从身份断言提供程序获得(i)用于认证设备的客人用户身份的共享密钥，和(ii)客人用户从局域网之外访问设备的权限。例如，获得模块106可作为图2中的计算设备202的一部分，从身份断言提供程序206获得(i)用于认证设备214的客人用户212身份的共享密钥220，和(ii)客人用户212从局域网208之外(例如，经由连接至网络204的设备210)访问设备214的权限222。

如本文所用，短语“身份断言提供程序”可指能够促进用户认证的任何实体、服务和/或平台。在一些例子中，身份断言提供程序可提供联合身份管理。例如，身份断言提供程序可提供用于对跨多个服务的用户进行认证的单点登录(SSO)服务。身份断言提供程序可使用多种标准和/或协议中的任何一者提供认证服务。例如，身份断言提供程序可使用OAUTH、安全断言标记语言(SAML)和/或OPENID。在一些例子中，身份断言提供程序可包括社交联网平台和/或为社交联网平台提供认证服务。身份断言提供程序的例子可包括但不限于GOOGLE、FACEBOOK和SYMANTEC O3。

如本文所用，短语“社交联网平台”可指任何计算设备和/或设备、软件框架、和/或它们的可用于提供和/或托管社交联网服务(例如，经由互联网)的组合。如本文所用，短语“社交联网服务”可指管理社交连接和/或基于社交连接共享、编译、格式化和/或广播信息的任何服务和/或互联网站点。社交联网平台的例子可包括FACEBOOK、TWITTER、LINKEDIN和GOOGLE+。在一些例子中，在线服务可托管数据和/或经由基于云的应用程序(例如，基于Web的电子邮件客户端、在线日历应用程序、在线画册等)处理数据以用于个人和/或私人使用。

如本文所用，短语“共享密钥”可指可包括认证令牌和/或可用于生成和/或验证认证令牌的任何数据。如本文所用，短语“认证令牌”可指可对用户身份和/或用户发出的请求的有效性进行认证的任何数据。

如本文所用，术语“权限”可指用于确定对设备和/或由设备提供的服务进行访问的任何规则和/或标准。例如，权限可指定允许哪种用户访问设备，在哪种情况下允许用户访问设备，和/或允许用户对设备进行哪种级别访问。在一些例子中，权限可指定允许用户基于用户特性(例如，用户属于指定群组，具有指定角色等)和/或基于设备特性(例如，设备为照明设备)来访问设备。在一些例子中，权限可适用于用户群组和/或设备群组。

获得模块106可在任何合适的环境中获得共享密钥和权限。例如，获得模块106可响应于授权身份断言提供程序授予局域网上的权限，从身份断言提供程序获得共享密钥和权限。例如，获得模块106可作为局域网上联网设备(例如，客人要访问的网关和/或设备)的一部分操作。在该例子中，局域网的管理员(例如，家庭所有者)可指示获得模块106信任身份断言提供程序(例如，并且接受来自身份断言提供程序的权限和认证信息)。除此之外或作为另外一种选择，获得模块106可被预配置为与身份断言提供程序进行互操作。

图4示出了示例性方法400，该方法400提供了获得模块106可获得共享密钥和权限的环境的例子。如图4所示，在步骤402处，本文所述系统中的一者或多者可在社交联网平台上接收社交联网平台第一用户的为社交联网平台的第二用户提供对局域网内设备的访问的请求，该局域网由第一用户控制。

图5示出了用于对本地网络设备提供安全访问的示例性系统500。图5可提供例子以示出图3和图4中所示的方法。如图5所示，系统500可包括网络504，该网络504将局域网508(例如，由用户516拥有、管理和/或控制)与社交联网平台506、认证系统530和设备510(例如，由客人用户512拥有和/或使用)连接在一起。在一个例子中，用户516可能希望为客人用户512提供对局域网508内设备514的访问。在该例子中，局域网508的路由器502可被配置为具有模块102。社交联网平台506可被配置为具有界面模块550(例如，社交联网平台的应用程序，该应用程序促进经由社交联网平台上的用户账户提供对设备的访问)。因此，路由器502可被配置为与社交联网平台506和/或认证系统530交互以促进用户516为客人用户512提供对设备514的访问。例如，用户516可在社交联网平台506上具有用户账户532并且客人用户512可在社交联网平台506上具有用户账户534。用户516可通过社交联网平台506(以用户账户532的方式)发起请求以便为客人用户512(以用户账户534的方式)提供对设备514的访问(例如，通过将局域网508、路由器502和/或设备514与用户账户532相关联并且将所请求的访问与用户账户534相关联)。

社交联网平台可接收请求以采用多种方式中的任何一种为第二用户提供对设备的访问。例如，社交联网平台内的界面模块550可提供界面(例如，经由社交联网平台所托管的应用程序)，该界面允许第一用户从用户列表(例如，社交网络上的朋友和/或联系人)中选择以及选择局域网中的设备(例如，已向社交联网平台注册的设备)。除此之外或作为另外一种选择，界面模块550可允许第一用户通过社交联网平台的另一个特征来请求第二用户的访问。例如，界面模块550可允许第一用户通过将第二用户邀请到某个事件(例如，在局域网的站点处，诸如第一用户的家)来请求第二用户对设备的访问。例如，界面模块550可识别社交联网平台上的事件，该事件由第一用户托管并且第二用户被邀请到该事件。随后界面模块550可至少部分地基于第二用户被邀请到该事件，确定第二用户有权访问设备。

在一些例子中，界面模块550可确定，第二用户仅在满足一个或多个附加条件之后才有权访问设备。例如，界面模块550可确定，如果第二用户经由社交联网平台接受邀请，则第二用户有权访问设备。在一个例子中，界面模块550可确定，第二用户在社交联网平台上定义的事件的持续时间内有权访问设备。例如，如果社交联网平台上定义的事件是下午6:00至晚上10:00，则界面模块550可确定，第二用户从下午6:00至晚上10:00(或者，从下午5:45至晚上10:15，以允许宽限期)有权访问设备。

在一些例子中，界面模块550可确定，第二用户有权基于以下各项访问设备(例如，在事件期间)：(1)识别设备的设备类型，(2)识别第二用户在事件中的角色，(3)识别设备类型与客人角色之间的映射，以及(4)基于设备类型、角色以及设备类型与客人角色之间的映射，确定第二用户在事件中的角色使第二用户有权访问设备。例如，界面模块550可确定任一位受邀客人均可在事件中访问照明设备，但具有“音乐主持人”角色的客人还有权在事件中访问多媒体设备。在一些例子中，界面模块550可使用社交联网平台内的已定义关系确定客人对局域网内设备的默认访问权限。例如，相比于与社交网络中定义的第一用户具有“朋友的朋友”关系的客人，与第一用户具有“直系亲属”关系的客人可被授予对更多设备(和/或对更多设备特征)的访问特权。因此，界面模块550可识别社交联网平台上的第一用户与第二用户之间的关系，并且基于社交联网平台上的第一用户与第二用户之间的关系，确定第二用户有权访问设备。

尽管界面模块550可作为社交联网平台的一部分操作，但在一些例子中，界面模块550可作为门户(例如，具有一个或多个相关联Web服务)的一部分操作，该门户可为局域网管理员提供于其中定义用户账户、用户群组和/或访问策略(例如，访问类型、访问条件和/或可通过已定义用户账户和/或用户群组访问的设备)的界面。在一些例子中，门户可允许第一用户向第二用户提供对局域网上设备的访问而不涉及社交联网平台。

返回图4，在步骤404处，本文所述系统中的一者或多者可识别用于访问社交联网平台的认证系统。例如，界面模块550可作为图5中社交联网平台506的一部分，识别用于访问社交联网平台506的认证系统530。

在一些例子中，认证系统可提供联合身份管理。例如，身份断言提供程序可提供用于对跨多个服务的用户进行认证的单点登录(SSO)服务。认证系统可使用多种标准和/或协议中的任何一者提供认证服务。例如，身份断言提供程序可使用OAUTH、安全断言标记语言(SAML)和/或OPENID。

界面模块550可以任何合适的方式识别认证系统。例如，界面模块550可通过作为使用和/或提供认证系统的社交联网平台的一部分进行操作来识别认证系统。除此之外或作为另外一种选择，界面模块550可通过识别和/或使用用于与认证系统连接的应用程序编程接口(API)来识别认证系统。

返回图4，在步骤406处，本文所述系统中的一者或多者可为局域网预置用于经由认证系统认证社交联网平台第二用户的认证信息。例如，界面模块550可作为图5中社交联网平台506的一部分，为局域网508预置用于经由认证系统530认证客人用户512(例如，与用户账户534相关联)的认证信息(例如，从认证系统530中检索)。例如，界面模块550可为局域网508的路由器502提供共享密钥520。在一些例子中，界面模块550可通过指示认证系统530向路由器502提供认证信息来为局域网508预置认证信息。

界面模块550可在任何合适的环境中为局域网预置认证信息。在一些例子中，当第二用户首先被识别为用于接收对局域网上的设备进行访问的权限的候选者时(例如，在接收访问设备的当前请求之前)，界面模块550可为局域网预置认证信息。除此之外或作为另外一种选择，界面模块550可在为第二用户提供对设备的访问的请求后为局域网预置认证信息。

返回图4，在步骤408处，本文所述系统中的一者或多者响应于接收到第一用户的请求，将权限信息从社交联网平台传输至局域网，该权限信息为第二用户提供对由第一用户控制的局域网内的设备的访问。例如，界面模块550可作为图5中的社交联网平台506的一部分，响应于接收到用户516的请求，将权限522从社交联网平台506传输至局域网508(例如，传输至局域网508内的路由器502)，该权限522为客人用户512提供对局域网508内设备514的访问。

尽管共享密钥520和权限522示为存储在图5中的路由器502处，但在一些例子中，共享密钥520和/或权限522可存储在另一个位置用于通过局域网508访问。例如，共享密钥520和/或权限522可存储在设备514处，使得替代在路由器502处验证和/或除了在路由器502处验证之外，在设备514处验证客人用户512访问设备514的尝试。

返回对图3中步骤304的讨论，获得模块106可在身份断言提供程序(例如，社交联网平台)将共享密钥和权限传输至局域网时获得共享密钥和权限。例如，身份断言提供程序可经由表述性状态转移(REST)API将共享密钥和/或权限推送至局域网的网关。除此之外或作为另外一种选择，获得模块106可从预定义源(例如，经由REST API)获取共享密钥和/或权限，所述预定义源诸如身份断言提供程序和/或相关联社交联网平台。

返回图3，在步骤306处，本文所述系统中的一者或多者可将共享密钥和权限存储在局域网内。例如，存储模块108可作为图2中的计算设备202的一部分，将共享密钥220和权限222存储在局域网208内。

存储模块108可以任何合适的方式将共享密钥和权限存储在局域网内。例如，存储模块108可将共享密钥和/或权限存储在局域网的网关上。除此之外或作为另外一种选择，存储模块108可将网关的共享密钥和/或权限存储在客人用户被授予访问的设备上。

在步骤308处，本文所述系统中的一者或多者可经由互联网连接接收来自局域网之外的客人用户的访问设备的请求。例如，接收模块110可作为图2中的计算设备202的一部分，经由互联网连接，接收来自局域网208之外的客人用户212的(例如，经由设备210和网络204)访问设备214的请求224。

请求可包括多种信息中的任何一种。例如，请求可包括用于认证请求(例如，来源于客人用户)的认证信息(例如，认证令牌)。认证信息可以是多种格式中的任何一种。例如，认证信息可呈现为端口碰撞序列(例如，在局域网IP地址处的指定序列端口处的一系列请求)。除此之外或作为另外一种选择，认证信息可经由传输控制协议认证选项(TCP-AO)进入。在一些例子中，请求可包括用于认证客人用户的基于散列的消息认证码(HMAC)。

在一些例子中，请求可包括客人用户的识别。除此之外或作为另外一种选择，请求可包括指定客人用户当前位置的地理定位信息(例如，通过指定由客人用户携带和/或由客人用户用于发送请求的设备的当前位置)。在一些例子中，接收模块110可识别请求来源于的IP地址(例如，以将该IP地址与来自身份断言提供程序和/或相关联社交联网平台的有关当前IP地址的信息进行比较，客人用户从通过该当前IP地址与身份断言提供程序通信)。在一些例子中，接收模块110可通过接收被寻址到分配给局域网上的设备的端口号来接收请求。

接收模块110可在任何合适的环境中接收请求。例如，客人用户可能已通过身份断言提供程序认证，身份断言提供程序继而可能已代表客人用户提交请求。除此之外或作为另外一种选择，客人用户可能已通过身份断言提供程序认证，身份断言提供程序继而可能已向客人用户和/或向接收模块110提供了令牌(例如，作为客人用户身份的断言)。在一些例子中，客人用户在尝试访问设备以便首先通过身份断言提供程序进行认证时，可能已被重新导向至身份断言提供程序。在一个例子中，客人用户可能经由社交联网平台应用程序发起了请求。在该例子中，社交联网应用程序可能已经向客人用户提供了访问局域网内的设备所需的IP地址、动态域名和/或端口。

返回图3，在步骤310处，本文所述系统中的一者或多者可响应于基于共享密钥和权限验证请求来提供对设备的访问。例如，提供模块112可作为图2中的计算设备202的一部分，响应于基于共享密钥220和权限222验证请求224来对设备214提供访问。

提供模块112可以多种方式中的任何一种来验证请求。例如，提供模块112可确定在请求中提供的认证信息基于共享密钥为有效的。在一些例子中，提供模块112还可检查权限来确定客人用户有权访问设备。除此之外或作为另外一种选择，提供模块112可检查权限和请求以确定客人用户有权访问设备的所请求特征和/或以请求指定的方式与设备交互。在一些例子中，提供模块112还可基于附加信息(例如，随请求接收)来验证请求。例如，提供模块112可基于地理定位数据来验证请求，该地理定位数据识别从其发送请求的客人设备的当前位置。例如，提供模块112可基于地理定位数据来验证请求，该地理定位数据指示请求从局域网的物理站点和/或与局域网相关联的物理站点(例如，局域网落入其中的属性边界)发送。

提供模块112可以任何合适的方式提供对设备的访问。例如，提供模块112可响应于验证请求将请求转发到设备(例如，替代拦截、过滤和/或重新导向请求)。

在一个例子中，社交联网应用程序(例如，FACEBOOK应用程序)可允许用户配置客人访问受保护本地网络中的资源。社交联网应用程序还可向已配置客人提供访问受保护本地网络内的每个受保护资源所需的IP地址、动态域名和/或端口。受保护网络的路由器可与社交联网应用程序连接以了解应当允许哪些客人对哪些设备以及在哪些情况下进行哪些类型的访问。当路由器在所提供端口中的一者上接收到请求时，可使用社交联网应用程序发现传入的请求是否与已配置客人用户(例如，可登录到社交网络的用户)的IP地址相匹配，并且可允许或拒绝所请求的访问。

在一些例子中，本文所述的系统可考虑客人的物理位置—仅当客人物理地位于局域网的站点上时(或者，相反，仅当客人物理地在局域网的站点外时)才授予对一些资源进行访问。这些系统可使用认证方案(诸如TCP-AO)传送已授予的访问级别。作为另外一种选择，对资源的访问级别可取决于资源所暴露的内容(例如，流式相机在默认情况下可示出流式内容；除了流式之外，这些系统还可授予访问以改变相机的方位和/或缩放级别)。

社交联网应用程序(或另一个身份提供程序)可用的界面可提供已知登录用户的IP地址(以及，在一些例子中，地理定位信息)。除了允许对设备的不同访问级别之外，本文所述的系统还可指定授予访问的条件。在一些例子中，这些条件可绑定到社交联网平台的日历上的事件。例如，这些系统可针对社交联网平台上的接受了邀请的(并且，例如，根据用户的地理定位状态为物理存在的)所有受邀用户可获取的预定生日事件建立默认访问级别。在一些例子中，可在事件的持续时间内授予访问(例如，在社交联网平台的日历上指定)。在一些情况下，这些系统还可考虑在将默认访问级别分配给设备时为受邀客人指定的具体角色(例如，在社交联网平台上指定)。例如，这些系统可授予被指定为“DJ”的用户对资源进行访问以控制房子周围的音乐和/或视频。

在一些例子中，这些系统可将某些类型的事件绑定到事件客人的具体访问级别。例如，这些系统通过经由社交联网平台预定客人入住度假屋可自动地授予度假屋的留宿客人访问以控制照明装置、恒温器、视听设备和泳池热度。在一些例子中，这些系统还可预期客人的到达(例如，因为客人预定到达和/或因为地理定位数据指示客人在靠近)向设备发送预设的命令，诸如预热房子或解除安全系统。

本文所述的系统可列出以多种方式中的任何一种到达受保护网络网关的经允许用户(连同访问权限和持续时间)的列表。例如，这些系统可将客人列表和配置推送到路由器(例如，经由REST API)或者路由器可从配置源获取客人列表和配置(例如，经由REST API或通过链接的身份提供程序和/或社交联网平台)。在一些例子中，这些系统可使用所指定IP地址处的端口碰撞来允许访问。除此之外或作为另外一种选择，这些系统可使用TCP-AO指示直到联网设备的认证状态(并且，例如，指定粒度权限)。

本文所述的系统可按用户和/或按群组和/或按用户类别指定访问的类型和条件。这些系统可针对所有经授予用户、针对特定的用户类别(例如，密友、亲戚、直系亲属等)和/或针对指定的个别用户提供默认访问类型和条件。在一些例子中，这些系统可将默认访问类型和条件应用于指定事件的客人。这些系统还可按设备类型使访问类型和条件个体化(例如，对Web相机的访问仅可进行远程流传输，但可允许就地平移、缩放和快照)。

本文所述的系统可识别策略，所述策略指定默认访问类型和条件以及它们结合在受保护网络的路由器与社交联网应用程序之间的已建立认证链接所应用于的设备。

在一些例子中，门户(具有相关联Web服务)可为受保护网络的管理员提供于其中定义用户账户、用户群组和策略(例如，访问的类型和条件)的界面。相关联的Web服务可为路由器提供界面，以查询已登录客人的IP地址和/或获取与客人相关联的策略。路由器随后可因此授予或拒绝对设备的访问。

图6为能够实施本文描述和/或示出的实施例中的一者或多者的示例性计算系统610的框图。例如，计算系统610的全部或一部分可执行和/或作为一种装置用于单独地或与其他元件结合来执行本文所述的步骤中的一者或多者(诸如图3所示的步骤中的一者或多者)。计算系统610的全部或一部分也可执行和/或作为一种装置用于执行本文描述和/或示出的任何其他步骤、方法或过程。

计算系统610在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统610的例子包括但不限于工作站、笔记本电脑、客户端侧终端、服务器、分布式计算系统、手持式设备或任何其他计算系统或设备。在其最基本的配置中，计算系统610可包括至少一个处理器614和系统存储器616。

处理器614通常表示能够处理数据或解译和执行指令的任何类型或形式的物理处理单元(例如，硬件实现的中央处理单元)。在某些实施例中，处理器614可接收来自软件应用程序或模块的指令。这些指令可使处理器614执行本文描述和/或示出的一个或多个示例性实施例的功能。

系统存储器616通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器616的例子包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器或任何其他适用的存储器设备。尽管不是必需的，但在某些实施例中，计算系统610可包括易失性存储器单元(诸如系统存储器616)和非易失性存储设备(诸如，主要存储设备632，如下详述)两者。在一个例子中，图1的模块102中的一者或多者可加载到系统存储器616中。

在某些实施例中，除处理器614和系统存储器616之外，示例性计算系统610还可包括一个或多个组件或元件。例如，如图6所示，计算系统610可包括存储器控制器618、输入/输出(I/O)控制器620和通信接口622，它们中的每一者都可通过通信基础结构612互连。通信基础结构612通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础结构。通信基础结构612的例子包括但不限于通信总线(诸如工业标准体系结构(ISA))、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。

存储器控制器618通常表示能够处理存储器或数据或者控制计算系统610的一个或多个组件之间的通信的任何类型或形式的设备。例如，在某些实施例中，存储器控制器618可通过通信基础结构612来控制处理器614、系统存储器616和I/O控制器620之间的通信。

I/O控制器620通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如，在某些实施例中，I/O控制器620可控制或促进计算系统610的一个或多个元件之间的数据传输，所述元件诸如处理器614、系统存储器616、通信接口622、显示适配器626、输入接口630和存储接口634。

通信接口622在广义上表示能够促进示例性计算系统610与一个或多个附加设备之间的通信的任何类型或形式的通信设备或适配器。例如，在某些实施例中，通信接口622可促进计算系统610与包括附加计算系统的专用或公共网络之间的通信。通信接口622的例子包括但不限于有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器和任何其他合适的接口。在至少一个实施例中，通信接口622可通过与网络(诸如互联网)的直接链接来提供与远程服务器的直接连接。通信接口622还可通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其他合适的连接来间接提供此类连接。

在某些实施例中，通信接口622还可表示主机适配器，该主机适配器被配置为通过外部总线或通信信道来促进计算系统610与一个或多个附加网络或存储设备之间的通信。主机适配器的例子包括但不限于小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤通道接口适配器、以太网适配器等。通信接口622还可允许计算系统610参与分布式或远程计算。例如，通信接口622可接收来自远程设备的指令或将指令发送到远程设备以供执行。

如图6所示，计算系统610还可包括至少一个显示设备624，该显示设备624通过显示适配器626联接到通信基础结构612。显示设备624通常表示能够以可视方式显示显示适配器626转发的信息的任何类型或形式的设备。类似地，显示适配器626通常表示被配置为转发来自通信基础结构612(或来自帧缓冲器，如本领域所已知)的图形、文本和/或其他数据以在显示设备624上显示的任何类型或形式的设备。

如图6所示，示例性计算系统610还可包括经由输入接口630联接到通信基础结构612的至少一个输入设备628。输入设备628通常表示能够向示例性计算系统610提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备628的例子包括但不限于键盘、指示设备、语音识别设备或任何其他输入设备。

如图6所示，示例性计算系统610还可包括主要存储设备632和经由存储接口634联接到通信基础结构612的备份存储设备633。存储设备632和633通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如，存储设备632和633可为磁盘驱动器(例如，所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等等。存储接口634通常表示用于在计算系统610的存储设备632和633与其他组件之间传输数据的任何类型或形式的接口或设备。在一个例子中，图1的数据库120可存储在主要存储设备632中。

在某些实施例中，存储设备632和633可被配置为对被配置为存储计算机软件、数据和/或其他计算机可读信息的可移除存储单元执行读取和/或写入。合适的可移除存储单元的例子包括但不限于软盘、磁带、光盘、闪存存储器设备等。存储设备632和633还可包括允许将计算机软件、数据或其他计算机可读指令加载到计算系统610内的其他类似结构或设备。例如，存储设备632和633可被配置为读取和写入软件、数据和/或其他计算机可读信息。存储设备632和633还可为计算系统610的一部分，或者可为通过其他接口系统进行访问的独立设备。

可将许多其他设备或子系统连接到计算系统610。相反地，无需图6中示出的所有组件和设备都存在，亦可实践本文描述和/或示出的实施例。上文提及的设备和子系统也可通过不同于图6所示的方式互连。计算系统610也可采用任何数量的软件、固件和/或硬件配置。例如，本文所公开的一个或多个示例性实施例可被编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。如本文所用，短语“计算机可读介质”通常指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读介质的例子包括但不限于传输型介质，诸如载波，和非暂态型介质，诸如磁存储介质(例如，硬盘驱动器、磁带驱动器和软盘)、光存储介质(例如，光盘(CD)、数字视频盘(DVD)和蓝光光盘)、电子存储介质(例如，固态驱动器和闪存介质)和其他分配系统。

可将包含计算机程序的计算机可读介质加载到计算系统610中。然后可以将计算机可读介质上存储的全部或部分计算机程序存储在系统存储器616和/或存储设备632和633的各个部分中。当由处理器614执行时，加载到计算系统610中的计算机程序可使处理器614执行和/或作为一种装置用于执行本文描述和/或示出的示例性实施例中的一者或多者的功能。除此之外或作为另外一种选择，可在固件和/或硬件中实施本文描述和/或示出的示例性实施例中的一者或多者。例如，计算系统610可被配置为用于实施本文所公开的示例性实施例中的一者或多者的专用集成电路(ASIC)。

图7为示例性网络体系结构700的框图，其中客户端系统710、720和730以及服务器740和745可联接到网络750。如上文所详述，网络体系结构700的全部或一部分可执行和/或作为一种装置用于单独地或与其他元件结合来执行本文所公开的步骤中的一者或多者(诸如图3所示的步骤中的一者或多者)。网络体系结构700的全部或一部分也可用于执行和/或作为一种装置用于执行本公开中阐述的其他步骤和特征。

客户端系统710、720和730通常表示任何类型或形式的计算设备或系统，诸如图6中的示例性计算系统610。类似地，服务器740和745通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统，诸如应用程序服务器或数据库服务器。网络750通常表示任何电信或计算机网络，包括例如内联网、WAN、LAN、PAN或因特网。在一个例子中，客户端系统710、720和/或730和/或服务器740和/或745可包括图1的系统100的全部或一部分。

如图7所示，一个或多个存储设备760(1)-(N)可直接附接到服务器740。类似地，一个或多个存储设备770(1)-(N)可直接附接到服务器745。存储设备760(1)-(N)和存储设备770(1)-(N)通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。在某些实施例中，存储设备760(1)-(N)和存储设备770(1)-(N)可以表示被配置为使用各种协议(诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS))与服务器740和745进行通信的网络附接存储(NAS)设备。

服务器740和745也可以连接到存储区域网络(SAN)架构780。SAN架构780通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。SAN架构780可促进服务器740和745与多个存储设备790(1)-(N)和/或智能存储阵列795之间的通信。SAN架构780还可以通过网络750以及服务器740和745以这样的方式促进客户端系统710、720和730与存储设备790(1)-(N)和/或智能存储阵列795之间的通信：设备790(1)-(N)和智能存储阵列795呈现为客户端系统710、720和730的本地附接设备。与存储设备760(1)-(N)和存储设备770(1)-(N)相同，存储设备790(1)-(N)和智能存储阵列795通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。

在某些实施例中，并参照图6的示例性计算系统610，通信接口(诸如图6中的通信接口622)可用于在每个客户端系统710、720和730与网络750之间提供连接。客户端系统710、720和730能够使用例如网页浏览器或其他客户端软件来访问服务器740或745上的信息。此类软件可允许客户端系统710、720和730访问由服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)和/或智能存储阵列795托管的数据。尽管图7示出了使用网络(诸如互联网)来交换数据，但本文描述和/或示出的实施例并非仅限于互联网或任何特定的基于网络的环境。

在至少一个实施例中，本文所公开的一个或多个示例性实施例中的全部或一部分可被编码为计算机程序并加载到服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)、智能存储阵列795、或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施例中的全部或一部分也可被编码为计算机程序，存储在服务器740中，由服务器745运行，以及通过网络750分配到客户端系统710、720和730。

如上详述，计算系统610和/或网络体系结构700的一个或多个组件可执行和/或作为一种装置用于单独或与其他元件结合来执行用于对本地网络设备提供安全访问的示例性方法的一个或多个步骤。

虽然上述公开内容使用特定框图、流程图和例子阐述了各种实施例，但每个框图组件、流程图步骤、操作和/或本文描述和/或示出的组件可使用多种硬件、软件或固件(或其任何组合)配置单独和/或共同地实施。此外，包含在其他组件内的组件的任何公开内容应当被视为在本质上是示例性的，因为可实施许多其他体系结构来实现相同功能。

在一些例子中，图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可以通过互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务、平台即服务、基础结构即服务等)可以通过网页浏览器或其他远程接口进行访问。本文所述的各种功能可以通过远程桌面环境或任何其他基于云的计算环境提供。

在各种实施例中，图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户应用。换句话讲，本文所述的软件模块可配置计算系统(例如，服务器)以促进本文所述功能中的一者或多者的多租户应用。例如，本文所述软件模块中的一者或多者可对服务器进行编程以允许两个或多个客户端(例如，顾客)共享正在服务器上运行的应用程序。以这种方式编程的服务器可在多个顾客(即，租户)之间共享应用程序、操作系统、处理系统和/或存储系统。本文所述模块中的一者或多者还可为每个顾客分割多租户应用程序的数据和/或配置信息使得一个顾客不能访问另一个顾客的数据和/或配置信息。

根据各种实施例，图1中的示例性系统100的全部或一部分可在虚拟环境中实现。例如，本文所述模块和/或数据可在虚拟机内驻留和/或执行。如本文所用，短语“虚拟机”通常指由虚拟机管理器(例如，超级管理程序)从计算硬件中抽象出来的任何操作系统环境。除此之外或作为另外一种选择，本文所述的模块和/或数据可在虚拟化层内驻留和/或执行。如本文所用，短语“虚拟化层”通常指覆盖操作系统环境和/或从操作系统环境中抽象出来的任何数据层和/或应用层。虚拟化层可由软件虚拟化解决方案(例如，文件系统过滤器)管理，软件虚拟化解决方案将虚拟化层呈现为就好像它是底层基本操作系统的一部分。例如，软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。

在一些例子中，图1中的示例性系统100的全部或一部分可表示移动计算环境的部分。移动计算环境可由多种移动计算设备来实现，这些设备包括移动电话、平板电脑、电子书阅读器、个人数字助理、可穿戴计算设备(例如，具有头戴式显示器的计算设备、智能手表等)，等等。在一些例子中，移动计算环境可具有一个或多个显著特征，包括(例如)对电池供电的依赖、在任何给定时间只呈现一个前台应用程序、远程管理特征、触摸屏特征、(例如，由全球定位系统、陀螺仪、加速度计等提供的)位置和移动数据、限制对系统级配置的修改和/或限制第三方软件检查其他应用程序的行为的能力的受限平台、限制应用程序的安装的控制装置(例如，仅安装来源于经批准的应用程序商店的应用程序)，等等。本文所述的各种功能可被提供用于移动计算环境和/或可与移动计算环境交互。

此外，图1中的示例性系统100的全部或一部分可表示一个或多个信息管理系统的部分，与一个或多个信息管理系统交互，使用由一个或多个信息管理系统产生的数据，并且/或者产生被一个或多个信息管理系统使用的数据。如本文所用，短语“信息管理”可以指数据的保护、组织和/或存储。信息管理系统的例子可包括但不限于存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、虚拟化系统等。

在一些实施例中，图1中的示例性系统100的全部或一部分可表示一个或多个信息安全系统的部分，产生受一个或多个信息安全系统保护的数据，并且/或者与一个或多个信息安全系统通信。如本文所用，短语“信息安全”可以指对受保护数据的访问控制。信息安全系统的例子可包括但不限于提供受管理的安全服务的系统、数据丢失防护系统、身份认证系统、访问控制系统、加密系统、政策遵循系统、入侵检测与防护系统、电子发现系统等等。

根据一些例子，图1中的示例性系统100的全部或一部分可表示一个或多个端点安全系统的部分，与一个或多个端点安全系统通信，并且/或者受一个或多个端点安全系统保护。如本文所用，短语“端点安全”可以指保护端点系统以避免未授权和/或不合法的使用、访问和/或控制。端点保护系统的例子可包括但不限于反恶意软件系统、用户认证系统、加密系统、保密系统、垃圾邮件过滤服务，等等。

本文描述和/或示出的过程参数和步骤序列仅通过举例的方式给出并且可根据需要改变。例如，虽然本文示出和/或描述的步骤可以特定顺序示出或讨论，但这些步骤不必按示出或讨论的顺序来执行。本文描述和/或示出的各种示例性方法也可省略本文描述或示出的步骤中的一者或多者，或除了所公开的那些步骤之外还包括附加步骤。

虽然本文已经在全功能计算系统的背景中描述和/或示出了各种实施例，但这些示例性实施例中的一者或多者可作为各种形式的程序产品来分配，而不考虑用于实际进行分配的计算机可读介质的特定类型。本文所公开的实施例也可使用执行某些任务的软件模块来实施。这些软件模块可包括脚本、批文件或可存储在计算机可读存储介质上或计算系统中的其他可执行文件。在一些实施例中，这些软件模块可将计算系统配置为执行本文所公开的示例性实施例中的一者或多者。

此外，本文所述的模块中的一者或多者可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。例如，本文所述的模块中的一者或多者可接收要转换的权限、将权限转换成局域网的访问配置、将转换结果输出至局域网内的设备、使用转换结果为客人用户提供对局域网内设备的访问，以及将转换结果存储在局域网内。除此之外或作为另外一种选择，本文所述模块中的一者或多者可通过在计算设备上执行、在计算设备上存储数据和/或以其他方式与计算设备交互，来将处理器、易失性存储器、非易失性存储器、和/或物理计算设备的任何其他部分从一种形式转换为另一种形式。

提供前面描述的目的是使本领域的其他技术人员能够最好地利用本文所公开的示例性实施例的各种方面。该示例性描述并非旨在是详尽的或局限于所公开的任何精确形式。在不脱离本发明精神和范围的前提下，可进行许多修改和变化。本文所公开的实施例在所有方面均应被视为示例性的而非限制性的。应当参考所附权利要求及其等同形式来确定本发明的范围。

除非另有说明，否则在本说明书和权利要求中使用的术语“连接到”和“联接到”(以及其衍生形式)应该理解为允许直接和间接(即，经由其他元件或组件)连接。此外，在本说明书和权利要求中使用的术语“一”或“一个”应当理解为表示“......中的至少一者”。最后，为了易于使用，在本说明书和权利要求中使用的术语“包括”和“具有”(以及其衍生形式)与词语“包含”可互换并且与词语“包含”具有相同含义。