设备启用的身份认证的制作方法

本申请根据35U.S.C.§119(e)要求于2015年9月14日提交的标题为“DEVICE ENABLED IDENTITY AUTHENTICATION”的临时美国专利申请62/218,015以及于2016年8月31日提交的标题为“DEVICE ENABLED IDENTITY AUTHENTICATION”的美国专利申请15/252,314的优先权，以上申请的全部内容通过引用并入本文。

背景技术：

本说明书总体涉及身份认证系统和技术。

物理访问控制系统需要专门的硬件和软件来管理用户对安全区域的访问。这种物理访问控制系统的常见示例包括访问控制器和卡读取器设备。这种物理访问控制系统还需要“凭证审核”(credentialing)，即，为用户提供向这种系统呈现的必要凭证。与凭证审核相伴随的是这种系统的用户管理，例如，添加用户、打印和注册凭证以及为设施内的用户和组生成许可级别所需的管理人员以及由专门人员定期维护时间表和许可规则。一般而言，发给个人的凭证只对由那个访问控制系统管理的具体设施或有限的一套设施有用。

技术实现要素：

根据一方面，用于对物理位置进行认证/访问控制的系统包括在第一物理位置处的至少一个访问控制设备，该访问控制设备控制对物理位置的访问；中央的、基于云的计算机集群，其执行基于订阅的访问服务应用，以代表订阅客户通过在第一物理位置处的一个或多个设备读取器来管理对物理位置的访问；以及用户设备，其通过下载到该用户设备的应用来访问物理位置，该应用由订阅服务应用管理。

根据附加的方面，用于管理对多个位置的认证/访问控制的系统包括中央的、基于云的计算机集群，该计算机集群被配置为执行基于订阅的访问服务应用以代表订阅客户通过一个或多个设备读取器来管理对物理位置的访问、接收对于管理用户对特定物理位置的访问的用户请求、检索对于访问物理位置而言唯一的具体指令/规则以发送回身份认证应用、生成体现该具体指令/规则以及来自用户设备的具体代码的请求的用户界面、根据该规则/指令处理从用户设备接收的数据；并且在得到认证时向用户设备发送认证凭证以存储在用户设备上。

各方面还包括方法和计算机程序产品。

上述各方面中的一个或多个可以提供以下优点中的一个或多个。

该系统提供灵活且可定制的物理访问控制系统，该系统允许智能设备利用该智能设备可执行的身份认证应用和基于服务器的订阅服务来管理自启用和自助服务身份认证。该灵活且可定制的物理访问控制系统包括在云中安装和控制的本地智能设备凭证读取器。用户通过订户网络进行订阅，以基于将注册信息与物理位置资格(qualification)匹配的预确定规则集来访问物理位置。只要那个位置在订户网络中，用户的智能设备就被用作针对大量位置的凭证。出于安全，网络按物理位置进行分区。

在本说明书(包括本发明内容部分)中描述的任何两个或更多个特征可以被组合，以形成未在本文具体描述的实现。

上述的全部或部分可以被实现为由有形地存储在一个或多个非瞬态机器可读存储介质/硬件设备上并在一个或多个处理设备上可执行的指令组成的计算机程序产品。上述的全部或部分可以被实现为可以包括一个或多个处理设备和存储用于实现功能的可执行指令的存储器的装置、方法或网络系统。

在附图和以下描述中阐述一个或多个示例的细节。其它特征、方面和优点将通过描述、附图和权利要求书而变得清楚。

附图说明

图1是启用设备的身份认证系统的框图。

图2是在图1的系统中执行的、用于注册用户的客户端动作和服务器动作的流程图。

图3是示出物理访问订阅服务处理的流程图。

图4是与基于云的身份服务进行通信的接入点的框图。

图5是基于云的客户分区的框图。

图6A、图6B是用户设备的框图。

图7是服务器设备的框图。

图8是具有智能设备读取器和控制器的接入点的框图。

具体实施方式

现在参考图1，示出了用于向多个位置进行认证/访问控制(以及在一些实现中业务(transaction)发起)的基于云的身份认证网络10。在这个基于云的身份认证网络10中，(由卡读取器表示的)物理位置可以变化，例如，住宅，访问任何类型的场所(例如，由第三方(即，客户或订户)所拥有和控制的商业区、工业区、建筑物等等(未示出))。该布置包括与中央服务14通信的多个用户设备12a-12c(其中三个被示出)，中央服务14是包括多个基于云的服务器19的基于云的计算系统。基于云的身份认证网络10还包括多个设备读取器16a-16c(其中三个被示出)，并且该多个设备读取器16a-16c被部署在场所(或不同的物理场所)内的不同物理位置中并且经由基于云的中央服务14被控制。基于云的中央服务14代表客户通过该一个或多个设备读取器16a-16c管理对物理位置的访问。在图1中，每个设备读取器代表不同订户的不同物理位置或场所。但是，设备读取器16a-16c可以代表单个场所内的不同位置。

用户经由用户设备(总体上为12)访问物理位置。在整个讨论中，用户设备12a将用于解释(除非另有说明)。用户设备12a是“智能”设备，例如启用互联网的设备(诸如基于“智能电话”(例如，(Apple公司)或(Google公司))的电话)，这仅仅是举了几个例子。其它品牌的“智能电话”以及包括平板计算设备在内的其它便携式移动设备也可以使用。包括智能卡或可以读取的其它类型设备的其它形式因素可以至少用于访问控制。在对用户设备12a的描述中将使用智能电话。

如本文所使用的，“智能电话”是包括通用处理器的移动手持设备，该通用处理器利用高级移动操作系统以及下载和/或安装的应用(通常称为“app”)来执行。智能电话将蜂窝电话的特征与其它设备的特征相结合，以使智能电话能够执行计算机程序或app。一般而言，智能电话包括GPS导航设备(例如，收发器)。智能电话一般包括触摸屏用户界面和相机，并且具有高速移动宽带4G LTE(或其它蜂窝通信连接能力)、互联网连接能力以及运动传感器和移动支付机制。

用户设备通过下载到用户设备的应用经由无线接入点18a-18c访问服务14。在图1中，智能电话设备中的两个12a和12b被示为依次寻求通过相同的无线接入点18b访问相同的智能设备读取器16c，而智能电话用户设备12c被示为通过接入点18c访问读取器16a。另一个无线接入点18a同样会涉及其它(未示出的)智能设备，这些智能设备将依次寻求通过无线接入点18a经由服务访问另一个智能设备读取器16b。

一般而言，虽然示出了三个无线接入点18a-18c、三个设备读取器16a-16c和三个用户设备12a-12c，但是应当理解的是，在典型的实现中将存在更多这样的项目。在图1中，无线接入点18a-18c和设备读取器16a-16c代表不同的物理位置和不同的客户位置(订户位置)，所有这些都由服务14管理。如本文所使用的，智能设备读取器是读取器设备(类似于常规的卡读取器设备)，但它不是读取常规的卡，而是从执行下载的身份认证应用30(图2)的用户的智能设备读取信息。这种信息是足以识别设备的信息(诸如设备ID)。在一些实现中，智能设备读取器16a-16c从执行访问应用的基于云的服务14接收信号以解锁电子锁，或者这种动作可以由从基于云的应用接收信号的访问控制器执行。

现在参考图2，示出了由安装在用户设备12a-12c上的身份应用30结合在基于云的计算机服务器19(图1)上执行的服务器身份认证应用50执行的注册处理29。注册处理29由安装在用户设备12a-12c上的身份应用30、服务器身份认证应用50和服务14执行。在一些实现中，服务器身份认证应用50可以执行服务14所需的特征中的一些或全部。再次使用用户设备12a作为示例，用户发送31下载身份应用30的请求。服务器身份认证应用50接收51下载请求，并开始将身份认证应用30从基于云的计算机服务器19下载52到用户设备12a。身份应用或“身份App”被下载32并在用户设备12a上执行，并且与服务器身份认证应用50交互。

服务器身份认证应用50管理用户的认证凭证，并且可选地，在这个阶段，服务器身份认证应用50产生(未示出)针对访问特定位置的请求的记录(其是空白的)。服务器身份认证应用50向用户设备12a发送(未示出)请求。身份应用30具有使用户设备12a读取(未示出)请求并与请求一起发送由服务器身份认证应用50使用以用于进一步认证的用户的生物测定信息的可选能力。这种生物测定信息可以包括指纹、虹膜扫描等等。例如，生物测定信息可以以数字形式驻留在存储介质上存储的文件/数据结构(等等)中，其中存储介质在执行服务器身份认证应用50的计算系统19中和/或在本地场所处的系统上。

服务器身份认证应用50被配置为向认证用户访问的每个物理位置注册用户的智能电话12a。

用户设备12a经由用户设备12a上的身份应用30生成33注册以访问特定位置的请求。用户设备填充35请求所需的并具有唯一地标识出请求受管理访问的物理位置的充足细节的请求数据。用户的位置，如由用户的设备12a或云服务应用所标识的那样，被加密并发送到服务器身份认证应用50。

服务器身份认证应用50接收52请求并转发到服务14。中央服务14接收61请求并使用特定物理位置所需的唯一细节/规则(包括使用生物测定信息(如果位置需要的话)等)以进行认证。即，响应于用户输入，服务器身份认证应用50将请求发送到服务14，以管理用户对特定物理位置的访问。

或者，根据需要，如图示出的服务14(或者服务器身份认证应用50)响应于接收到请求而检索62对于该物理位置唯一的具体指令/规则，以从集成的数据库集(其保持客户和用户的信息)发送回身份认证应用。或者，如图所示的服务14(或者服务器身份认证应用50)生成64用户界面，该用户界面体现具体指令/规则以及来自用户设备的具体代码(或多个代码)的请求。用户界面被发送到认证应用50，认证应用50进而转发53给用户设备12a。用户设备接收37用户界面并且用户填充用户界面并将其发送回认证应用50。

或者，如图所示的服务14(或者服务器身份认证应用50)还向读取与用户的设备(诸如用户设备12a)有关的具体信息的应用发送通常被称为“SSID”的唯一设备标识令牌。SSID(或服务集标识符)与无线局域网(IEEE 802.11标准)相关联。通常，客户端设备(诸如用户设备12a)将使用这个来标识和加入无线网络。可以使用下载到电话作为应用的一部分的其它唯一令牌或程序，诸如推送到用于具体场所的应用的唯一代码或其它这种唯一数据条目，以及物理位置所需的其它信息。例如，代码可以是用户手动读取的值，或者唯一设备ID代码由认证app 30自动读取并由app 30在用户界面中的字段中填充，等等。

接收到的用户界面由用户填充。要求用户输入特定于该位置所需的信息的信息，例如用户名、用户位置ID(例如，雇员ID或社会安全号等，唯一标识用户的任何东西，尤其是关于用户的一般不知但是服务知道(或可由服务从与该物理位置相关联的数据库/服务器访问)的信息。这个填充有与用户的设备12a和用户有关的(一个或多个)具体代码和/或具体信息的用户界面经由身份认证应用50被发送回服务14，这些具体代码和/或具体信息是为其请求服务的具体位置所需的。

一旦由身份认证应用30发送了这个信息，服务器身份认证应用50就接收56填充的用户界面，并将填充的用户界面或从用户界面提取的数据发送到服务14。

服务14(或服务器身份认证应用50)接收65填充的用户界面(或提取的数据)，并且针对检索出的对于该物理位置唯一的具体指令/规则来处理66从填充的界面接收到的信息。服务14检查67对于该物理位置唯一的具体代码(或多个代码)是否存在于由身份认证应用从用户界面返回的数据中，并比较如利用对于该位置唯一的规则从用户界面接收到的用户的信息。代码可以包括具体的加密数据片段，该加密数据片段根据为用户确定的访问特权唯一地认证用户设备能够访问物理位置(例如，图1的具体读取器或者与物理位置相关联的任何设备读取器)。

如果信息是正确的(如物理位置所要求的那样)，那么用户设备向服务注册，以对于物理位置进行自动认证。服务生成68凭证，这些凭证将放在用户设备上并将被传送到物理位置读取器设备(或下面讨论的用于无摩擦(frictionless)访问控制的协议)，以准许(grant)用户访问物理位置，而无需用户执行任何动作。所生成的凭证由服务14发送到服务器身份认证应用50，并且服务器身份认证应用50将凭证发送到用户设备12a和适当的设备读取器。否则，当数据不一致时，处理29可以退出或导致重试

现在参考图3，各个物理位置处的系统向服务订阅70，以向这种系统的用户提供自动认证服务。这种请求由认证服务系统从授权(authorized)的系统接收72。服务接收74请求，该请求包括足够的信息来标识位置，诸如接入设备网络地址等等。服务在请求中接收76认证用户所需的具体规则或其它信息。服务根据请求来确定78请求是否来自新客户，如果是，那么服务找到并更新80现有账户。否则，服务产生82新帐户并存储84帐户信息。

请求可以包括可以被认证的用户的列表。例如，规则可以包括用户可以通过服务访问物理位置的一种或多种方式，以及在准许或不准许访问时服务将做什么和/或允许用户做什么。例如，规则可以是以下类型：

主动(active)邀请规则

<向用户A发送邀请>

其中邀请被发送到与用户A相关联的用户设备(设备ID，设备IP地址，用户电子邮件地址)。电子邮件将包括用于下载认证应用的嵌入式链接。

<在由用户设备执行认证应用时服务执行的动作的列表>

<发送加密的凭证>

<注册用户设备A>

<其它>

<在检测时服务允许的动作>

<动作列表>

对访问设备<网络IP地址或其它访问设备ID>的认证的访问

<其它>

被动(passive)邀请规则

<向任意用户设备发送邀请>

其中任何用户设备是具有网络IP地址或与请求下载认证应用的用户设备相关联的设备ID的设备。

<在执行认证应用时服务执行的动作>

<发送加密的凭证>

<在检测时服务允许的动作>

<发送动作的列表>

访问访问设备<网络IP地址或其它访问设备ID>

捆绑(promotional)邀请

<其它>

积极(proactive)用户推送规则

<从用户设备A接收邀请，用于认证对B位置的访问>

其中A用户是与请求下载认证应用的用户设备关联的设备网络ID。

<在执行认证应用时服务执行的动作>

<发送加密的凭证>

<在执行认证应用时服务允许的动作>

<动作的列表>

对访问设备<网络IP地址或其它访问设备ID>认证的访问

<其它>

服务的客户(订户)将规则推送到云服务器19，以经由网页中到网站的URL链接、快速响应码^TM类型的矩阵条形码(或二维条形码(QR码))或在电子邮件中的URL链接等等存储在云数据库中。因此，位于物理位置处(或与其相关联)的系统将这种订阅请求发送到基于云的身份认证网络。基于云的身份认证网络中的服务器19处理这些订阅请求并且在必要时在基于云的数据库(未示出)中存储信息，以用于基于云的身份认证服务器。服务为许多客户提供基于云的身份认证，其中基于云的身份认证应用的单个实例在为多个“租户”(即，具有基于云的身份认证应用的相同视图的用户组)提供服务的服务器上运行。在多租户体系架构中，软件应用被设计为向每个租户提供应用实例的具体共享，包括数据、配置、用户管理、租户个人功能和非功能特性。相比之下，多租户应用让分离的软件实例代表不同的租户进行操作。

现在参考图4，对访问设备(未示出)进行控制的无线硬件设备(例如，设备读取器92a-92c(智能卡读取器))从云中的服务器19以多租户方式被控制，该方式经由本地物理场所(位置A至C，它们可以是相同或独立实体的地理上不同的位置)处的接入点通信。即，云中的服务器19使用参数(例如，在检测到用户设备12a时实时伴随以上规则的动作的列表)来处理所安装的设备的实例。示出了三个不同的实例。

一个位置(位置a)具有接入点和卡读取器(总体上为92a)的许多实例，该位置可以是用户在其中工作的建筑物或者用户可以访问的一组建筑物，另一个位置(位置b)具有一个接入点和卡读取器92b，该位置可以是用户的家，而另一个位置(位置c)具有两个接入点和卡读取器(总体上为92c)，该位置可以表示商业机构(establishment)。基于云的服务器19经由卡读取器(92a、92b、92c)从各个接入点中的一个接入点接收信号，其中读取器(92a、92b、92c)检测具有用户设备12a的用户的存在。服务器19处理这些信号，并基于(如从数据库91中检索出的)用户凭证经由接入点控制卡读取器(另请参阅下面的无摩擦访问控制)。

用户设备的检测以各种方式发生。例如，近场通信(NFC)或Wi-Fi或蓝牙技术可以被用于向服务器19指示移动设备12a处于具体区域中。此外，智能设备读取器92a-92e被用于检测移动智能设备的存在，并且智能设备读取器已经被呈现了验证移动设备被认证、可以解锁门等等的凭证。可选地，生物测定读取器也可以被用于进一步认证。

如上所述的访问注册规则可以是各种类型的，包括需要具体细节的规则。对订阅网络的访问可以通过以下方式：主动邀请或被动邀请和/或积极用户设备推送来下载认证程序。

可以提供各种具体规则来控制访问。例如，从执行认证应用的相同用户设备12a，认证应用可以提供其中物理位置不再仅仅被“锁定”或“解锁”而是可以利用订阅服务和认证应用之间的交互来智能地控制的实例。为了指出几个与订阅服务交互的示例，以下是一些示例：可以在有限的时间内解锁到当地健身房的有限的免费试用邀请；可以提供对利用密钥注册信息(名称、SS#)解锁的受限区域的安全访问；访问在线购买的仓库购物会员俱乐部(不需要客户服务台)；以及利用订阅服务在当地餐馆报到(check in)，以确定该人员是经常来的用餐者，从而指派优质餐桌，以及在工作场所内进行基于日程表的位置访问。其它示例是，雇员A只针对他/她被指派的班次被允许在受限区域。因此，不是仅仅用于访问控制系统的情境中的访问控制以锁定和解锁门，而是认证应用能够以业务的方式被使用。

身份认证网络

基于云的身份认证网络10由商业实体管理，并且使用目前存在的那些类型的产品来从基于云的服务器而不是在本地服务器上的访问控制来控制对场所的访问。以上特征提供了新颖的应用层(30和50)，其允许第三方(例如，住宅的所有者，或者商业区、工业区、建筑物等等的所有者/占有者(即，客户))能够订阅这项服务。即，利用身份认证网络50，订户为基于云的身份认证网络50提供订户场所的访问控制和/或业务控制所需的协议，并且基于云的身份认证网络10经由基于云的服务器19认证订户的授权用户。这进而向这些场所中的一个或多个场所的用户提供向基于云的身份认证网络10注册以从特定移动设备(总体上为12)访问多个这种经认证的访问的能力。

基于云的身份认证网络10在移动设备12与云服务器计算机19之间的通信之间广泛地使用加密。例如，SSID、输入的数据、用户的具体位置、用于每个位置的认证规则以及用户的具体场所订阅至少在设备/系统之间的传输期间将全部被加密，并且在适当时将优选地以加密形式存储在这种设备/服务上。

现在参考图5，基于云的身份认证网络10还将为每个客户订户账户(即，订阅该服务的第三方所有者/占有者住宅、商业区、工业区、建筑物等等)的规则集、列表等等在基于云的数据库91中提供安全分区100a-100c，这些分区可以由服务器19访问。安全分区100a-100c可以基于位置或基于客户-订户。这些安全分区100a-100c确保客户数据和规则与其他人的分开地分区，使得客户只能访问其自己的规则和/或数据。

在示例网络拓扑中，通信链路是设备之间的直接(单跳网络层)连接。正式的联网层可以使用一系列这些链路，连同适当的路由技术一起，以经一定的物理距离从一个设备向另一个发送消息(分段或不分段)。在其它网络拓扑中，每条链路可以表示两个或更多个跳和/或配置可以不同。

现在参考图6A、图6B，典型的移动设备12a被示为包括显示器13a、处理器13b、经由总线13d可操作地耦接到处理器13b的存储器13c，具有网络接口卡13e和其它接口13f(诸如显示接口，以连接到显示器)，以及存储装置13g。可以提供其它接口。

基于云的身份认证网络10可以利用控制访问的硬件设备(诸如控制器94a-94c)的无摩擦控制来与本地物理场所处的对应接入点一起操作。接入点将位置数据发送到分布式队列，分布式队列进而将这种数据供应给分布式处理集群19。如上面所讨论的，控制器94a-94c以多租户方式从云中的服务器19进行控制。但是，用户在任何特定位置处的存在不是由(如图4中那样的)读取器等确定的，而是“无摩擦地”确定的。即，云中的服务器19使用参数(例如，在(从数据库集群91)检测到用户设备12a时实时伴随以上规则的动作的列表)来处理注册的设备12a的实例。云服务经由若干不同技术或技术的组合中的任何技术(诸如用于室外跟踪和场所内的全球定位系统(GPS))跟踪用户的移动设备12a的无线网络服务集标识符(SSID)，云服务通过GPS以及蓝牙、NFC、UHF或Wi-Fi三角测量来确定无线网络服务集标识符(SSID)并跟踪用户设备的SSID以读取移动设备12a的移动凭证。通过以这种方式读取移动凭证，云服务知道用户设备12a的位置。根据由订户在服务中建立的规则，云服务从那个位置确定访问控制设备的位置等等，并且在距那个访问控制设备(或其它设备)阈值距离处，云将信号发送到访问控制设备(或其它设备)以激活设备12a等等。

具有或不具有无摩擦访问控制的基于云的身份认证网络10为许多独立位置提供灵活且可定制的物理访问订阅服务，该访问由用户利用用户设备12a管理。端用户利用下载的App(可以免费提供)使用他们的智能设备12a(例如，电话、平板电脑等等)来启用对物理位置的自助服务注册。对于订阅提供商，提供了具有安全客户分区(具有端用户设备安全性)并且控制智能读取器硬件的移动身份云体系架构。对于订阅客户(场所所有者)，他们订阅移动身份服务、设置智能设备读取器、实现访问注册规则和定制的集成。

参考图7，示出了基于云的身份认证网络10的示例性视图。接入点将位置数据发送到分布式队列93，分布式队列93进而将这种数据供应给分布式处理集群19。服务器19使用参数(例如，在(从数据库集群91)检测到用户设备12a时实时伴随以上规则的动作的列表)来处理注册的设备12a的实例。

在这个示例中，队列集群包括合作以与网络的端节点(例如，图1的接入点)通信并在存储器(例如，一个或多个硬件存储设备)中存储来自接入点的信息的多个网络设备。在操作中，由消息表示的通信来自具有从寻求在接入点处进行认证的移动设备捕获的数据的接入点。通信被存储在队列集群中的一个或多个设备中。在这个示例中，队列集群内的每个节点向外部世界给出REST风格(RESTful)的API。REST风格的API的目的在于去耦，并且允许任何用户与系统以良好定义的接口进行通信，从而避免例如用户或端设备知道队列集群的本机语言的需求。这个集群或任何集群包括集群的节点之间的适当通信通道。

现在参考图8，示出了具有访问控制122的设施120的一部分。在这个说明性示例中，设施120包括受保护的房间和外部入口通道。房间具有门口并且在房间中具有相关联的访问控制器126和入口智能设备读取器124。房间可以具有两个智能设备读取器：入口智能设备读取器和出口智能设备读取器。如图所示的视图还包括通过(由服务器19(图1)控制的)访问控制器16控制的示例性门锁122a、122b。在一些实现中，智能设备读取器可以包括控制门锁的电路系统。

分布式并行处理集群(系统)包括多个网络设备，这些网络设备合作来对来自队列集群的信息执行一个或多个操作。在这个示例中，这个系统没有呈现单点故障，并且所有节点都扮演着相同或相似的角色。分布式并行处理集群(系统)对接收到的数据和规则集进行操作。集群访问来自数据库(在示例中是没有单点故障的分布式数据库集群(系统))的数据。数据库集群包括多个网络设备，这些网络设备合作来提供存储以供处理集群使用。例如，经处理的数据可以存储在数据库集群中，可以从数据库集群中检索数据以进行处理，等等。上面描述的三种集群做法形成了示例基本分布式体系架构。

示例分布式网络拓扑可以包括自组织网络(诸如无线网状(mesh)网络)或者是其一部分。在一些实现中，所有分布式网络拓扑都是通过使用无线网状技术实现的。在一些实现中，使用无线网状技术来实现分布式网络拓扑的仅一部分。

如下所述，上述一个或多个网关和/或其它网络设备的功能可以分布在各种设备中。

就这点而言，在联网情境中，术语“云”可以包括驻留在由用户管理或控制的硬件之外的各种服务和应用。有几种场景说明这种概念，诸如用户访问Web应用的网站，或者数据库驻留在集中式或分布式外部位置而不是用户计算机上的联机库(online library)。用于这种范例的传统体系架构通常是用户界面(UI)，其中外部用户经由应用程序接口(API)连接到某种类型的数据库，以管理信息。用户界面经由API将请求提交给云服务器。通常，这些请求中的每一个请求都由称为“代理”或“工作者”的模块化程序处理，这些程序在基于云的服务器上运行，而不是在用户的计算机上运行。这些代理可以执行由用户指派的任务，例如查询数据库或执行涉及数据和用户输入的复杂操作。

存储器存储由设备的处理器使用的程序指令和数据。存储器可以是随机存取存储器和只读存储器的合适组合，并且可以托管合适的程序指令(例如，固件或操作软件)，并且配置和操作数据并且可以被组织为文件系统或其它方式。所存储的程序指令可以包括用于认证一个或多个用户的一个或多个认证处理。存储在存储器中的程序指令还可以存储软件部件，从而允许网络通信和到数据网络的连接的建立。软件部件可以，例如，包括互联网协议(IP)栈，以及用于各种接口的驱动部件。适于建立连接并跨网络进行通信的其它软件部件对于普通技术人员将是清楚的。

存储在存储器中的程序指令，连同配置数据一起，可以控制面板的整体操作。

监视服务器包括一个或多个处理设备(例如，微处理器)、网络接口和存储器(都未示出)。监视服务器可以物理地采取机架安装卡的形式并且可以与一个或多个操作者终端(未示出)通信。示例监视服务器是SURGARD^TMSG系统III虚拟(SG-System III Virtual)，或类似的系统。

每个监视服务器的处理器充当用于每个监视服务器的控制器，并且与每个服务器通信并控制整体操作。处理器可以包括存储器，或者与其通信，其中存储器存储处理器可执行指令，从而控制监视服务器的整体操作。合适的软件使每个监视服务器能够接收报警并导致适当的动作发生。软件可以包括合适的互联网协议(IP)栈和应用/客户端。

中央监视站的每个监视服务器可以与IP地址和(一个或多个)端口关联，每个监视服务器通过该IP地址和(一个或多个)端口与控制面板和/或用户设备进行通信，以处理报警事件等。监视服务器地址可以是静态的，并且因此总是对入侵检测面板标识监视服务器中特定的一个。作为替代，通过域名服务解析的动态地址可以被使用并且与静态域名相关联。

网络接口卡与网络接口以接收进入的信号，并且可以例如采取以太网网络接口卡(NIC)的形式。服务器可以是计算机、瘦客户端，等等，接收到的代表报警事件的数据被传递到服务器，用于由人类操作员处理。监视站还可以在数据库引擎的控制下包括或能访问包括数据库的订户数据库。数据库可以包含对应于到面板(像由监视站提供服务的面板)的各个订户设备/处理的条目。

本文描述的处理的全部或部分及其各种修改(以下称为“处理”)可以至少部分地经由计算机程序产品来实现，其中计算机程序产品即有形地体现在一个或多个作为计算机和/或机器可读存储设备的有形的物理硬件存储设备中的计算机程序，用于由数据处理装置(例如可编程处理器、计算机或多个计算机)执行，或者控制数据处理装置的操作。计算机程序可以用任何形式的编程语言编写，包括编译或解释语言，并且它可以以任何形式部署，包括作为独立程序或作为模块、部件、子例程或适合在计算环境中使用的其它单元。计算机程序可被部署成在一个计算机上或在一个站点的多个计算机上执行或者跨多个站点分布并由网络互连。

与实现处理相关联的动作可以由执行一个或多个计算机程序的一个或多个可编程处理器来执行以执行校准处理的功能。处理的全部或部分可被实现为专用逻辑电路，例如FPGA(现场可编程门阵列)和/或ASIC(专用集成电路)。

举例来说，适于计算机程序的执行的处理器包括通用和专用微处理器，以及任何类型的数字计算机的任何一个或多个处理器。一般而言，处理器将从只读存储区或随机存取存储区域或两者接收指令和数据。计算机(包括服务器)的元件包括用于执行指令的一个或多个处理器和用于存储指令和数据的一个或多个存储区域设备。一般而言，计算机还将包括或者被操作耦合一个或多个机器可读存储介质(诸如用于存储数据的大容量存储设备，例如磁盘、磁光盘或光盘)以从其接收数据，或向其传送数据，或两者兼有。

适于体现计算机程序指令和数据的有形的物理硬件存储设备包括所有形式的非易失性储存区域(举例来说，包括半导体存储区域设备，例如EPROM、EEPROM和闪存存储区域设备；磁盘，例如内部硬盘或可移除盘；磁-光盘；以及CD-ROM和DVD-ROM盘)，和易失性计算机存储器(例如，诸如静态RAM和动态RAM之类的RAM)以及可擦除存储器(例如，闪存)。

此外，附图中绘出的逻辑流不要求所示出的特定次序或顺序次序来达到期望的结果。此外，可以提供其它动作，或者可以从所描述的流程去除动作，并且可以向所描述的系统添加或从所描述的系统中移除其它部件。同样，附图中所绘出的动作可以由不同的实体执行或者被合并。

本文所述的不同实施例的元素可以被组合，以形成未在上面具体阐述的其它实施例。元素可被排除在本文所述的处理、计算机程序、网页等等之外，而不会不利地影响它们的操作。此外，各种独立的元素可被组合成一个或多个单独的元素，以执行本文所述的功能。

本文未具体描述的其它实现也在以下权利要求书的范围之内。