在与多个访问控制装置交互时捕获通信用户意图的制作方法

本公开总体涉及访问控制系统，并且更特别地涉及一种在与多个访问控制装置交互时捕获用户意图的系统和方法。

访问控制系统通常通过将指示访问权限的数据编码在物理密钥卡上来操作。一些访问控制系统是在线的，其中读取器可以使用一些手段来与访问控制系统进行通信。在线系统中，访问权限通常是参考标识符。其他访问控制系统是离线的，并且访问权限被编码为可以由离线锁解码和解释以检索访问权限的数据。一个实例是酒店锁定系统，其中前台对客人卡进行编码，并且客房门上的离线电池供电锁具有用于对密钥卡进行解码并基于已编码访问权限而准许或拒绝访问的装置。对访问权限进行编码的一些方法包括排序，其中后续访问权限具有大于先前访问权限的序列号。

已经利用各种移动装置来经由对着锁的提供方向性的红外‘光束’，或在盒上“按下按钮”来唤醒锁以通过蓝牙进行后续通信而开锁。有了蓝牙低功耗(btle)中存在的以非常低的功率进行通信的能力，新的系统架构要求锁‘始终开启’并且发送周期性btle通告，诸如每秒一次。非常低的功率要求导致有许多年的电池寿命。通过这种设置，用户将不需要‘按下按钮’来唤醒锁-所述锁已经是唤醒的，然而，在移动装置的范围内存在多个锁的环境中，诸如在酒店中，每个用户可以从大量锁接收通告，由此使用户意图的捕获复杂化。

技术实现要素：

根据本公开的一个公开的非限制性实施方案的一种通告过滤方法可以包括在移动装置上从多个访问控制装置中的每一个接收通告；基于移动装置上的凭证对所接收的通告进行过滤；将已过滤的接收的通告进行比较；以及响应于所述比较和通信，确定访问特定访问控制装置的用户意图。

本公开的另一实施方案可以包括其中访问控制装置是锁。

本公开的另一实施方案可以包括其中移动装置是智能手机。

本公开的另一实施方案可以包括基于rssi(接收信号强度指示符)对已过滤的接收的通告进行排序。

本公开的另一实施方案可以包括其中通信是先前通信。

本公开的另一实施方案可以包括其中通信包括当日时间。

本公开的另一实施方案可以包括其中通信包括位置信息。

本公开的另一实施方案可以包括其中先前通信包括位置信息和当日时间。

本公开的另一实施方案可以包括其中先前通信从另一个用户接收。

本公开的另一实施方案可以包括其中先前通信包括位置信息和当日时间。

本公开的另一实施方案可以包括其中通信来自乘客输送工具。

根据本公开的一个公开的非限制性实施方案的一种访问控制系统可以包括多个访问控制装置；以及移动装置，所述移动装置与多个访问控制装置进行通信，所述移动装置能够操作以至少部分地基于通信来确定访问多个访问控制装置中的特定访问控制装置的用户意图。

本公开的另一实施方案可以包括其中通信至少部分地基于移动装置中的gps模块和加速度计中的至少一者。

本公开的另一实施方案可以包括其中通信至少部分地基于通信的当日时间。

本公开的另一实施方案可以包括其中通信至少部分地基于由通信指示的位置。

本公开的另一实施方案可以包括其中通信至少部分地基于移动装置与乘客输送工具之间的通信。

本公开的另一实施方案可以包括其中乘客输送工具是电梯。

本公开的另一实施方案可以包括其中通信包括目的地楼层。

本公开的另一实施方案可以包括其中通信排除特定访问控制装置。

本公开的另一实施方案可以包括其中通信至少部分地基于从另一个移动装置共享的接收的通信。

除非另外明确指明，否则可以非排他地以各种组合来组合前述特征和元件。这些特征和元件以及其操作根据以下描述和附图将变得更加显而易见。然而，应理解，以下描述和附图意图在本质上是示例性的而非限制性的。

附图说明

根据以下的所公开的非限制性实施方案的具体实施方式，各种特征对于本领域技术人员而言将变得显而易见。伴随具体实施方式的附图可以如下简要描述：

图1是用户认证系统的大体示意性系统图；

图2是用户认证系统的框图；

图3是由用户认证系统执行的凭证管理方法的流程图；

图4是根据一个公开的非限制性实施方案的由用户认证系统执行的凭证管理方法的流程图；

图5是根据另一个公开的非限制性实施方案的凭证的示意图；

图6是根据一个公开的非限制性实施方案的通告过滤方法的流程图；

图7是根据另一个公开的非限制性实施方案的过滤方法的示意图；并且

图8是根据另一个公开的非限制性实施方案的过滤方法的示意图。

具体实施方式

图1示意性地示出了访问控制系统10。系统10通常包括移动装置12、服务器14和多个访问控制装置16，示意性地示出为16a，16b，...，16n。应了解，尽管在示意性框图中单独定义了特定系统，但是系统中的每一者或任一者可以经由硬件和/或软件另外地组合或分离。

移动装置12是具有无线能力的手持式装置，诸如智能手机，所述手持式装置能够操作以与服务器14和访问控制装置16进行通信。服务器14可以向移动装置12提供凭证和其他数据，诸如传送到访问控制装置16中的一个或多个的固件或硬件更新。尽管在本文中将服务器14示出为单一装置，但应了解，服务器14可以可选地体现为多个系统，移动装置12从所述多个系统接收凭证和其他数据。

每个访问控制装置16是具有无线能力的、限制访问的、或限制使用的装置，诸如无线锁、用于建筑物入口的访问控制读取器、电子银行控制装置、数据转移装置、密钥分配器装置、工具分配装置以及其他限制使用的机器。移动装置12向访问控制装置16提交凭证，从而选择性地准许用户访问或激活访问控制装置16的功能。用户可以例如向电子机械锁提交凭证以对其进行解锁，并且因此得以访问限制区域。在另一个实例中，用户可以向电子银行控制装置提交凭证以提取资金。在另一个实例中，用户可以将凭证提交到一个单元，所述单元给密钥卡分配与凭证相关联的数据或从凭证检索的数据。移动装置12可以存储上述的一个或所有或其他的实例的凭证，并且此外可以同时存储用于每种类型的应用的多个凭证。一些凭证可以用于多个访问控制装置16。例如，设施中的多个电子锁可以对相同的凭证进行响应。其他凭证可以专用于单一访问控制装置16。

参考图2，示例电子锁系统20的框图包括访问控制装置16a、移动装置12和服务器14。访问控制装置16a通常包括锁致动器22、锁控制器24、锁天线26、锁收发器28、锁处理器30、锁存储器32、锁电源34、锁读卡器90以及凭证模块36。访问控制装置16a对来自移动装置12的凭证进行响应，并且可以例如是加锁箱的锁、门锁或锁芯。虽然本公开主要集中于访问控制装置的凭证，但是应了解，其他系统也将从中受益，其中将凭证从移动装置传输到访问控制装置，以便为在线系统识别用户、或在离线系统中验证用户访问权限或许可。这类系统包括虚拟或电子银行系统、机器操作系统、分配系统、人员输送系统(例如，电梯、旋转门、地铁、火车等等)以及数据访问系统。

在使用凭证模块36从移动装置12接收并认证适当的凭证后，或在从锁读卡器90接收卡数据之后，锁控制器24命令锁致动器22对机械锁或电子锁进行锁定或解锁。锁控制器24和锁致动器22可以是单一电子或电子机械锁单元的零件，或可以是单独出售或安装的部件。

锁收发器28能够向至少移动装置12发送数据并从其接收数据。锁收发器28可以例如是近场通信(nfc)、蓝牙、或wi-fi收发器、或另一种适当的无线收发器。锁天线26是适合于锁收发器28的任何天线。锁处理器30和锁存储器32分别是数据处理和存储装置。锁处理器30可以例如是微处理器，所述微处理器可以处理指令来验证卡数据并且确定卡数据中所含的访问权限，或将消息从收发器传递到凭证模块36并且接收从凭证模块36返回的具有卡数据的响应指示。锁存储器32可以是ram、eeprom或其他存储介质，其中锁处理器30可以读取和写入数据，包括但不限于：锁配置选项和锁审查跟踪。锁审查跟踪可以是统一的审查跟踪，所述统一的审查跟踪包括通过经由锁读卡器90或移动装置12访问锁而启动的事件。锁电源34是电源，诸如线路电源连接、电力收集系统、或给锁控制器24供电的电池。在其他实施方案中，锁电源34可能仅给锁控制器24供电，其中锁致动器22主要或完全由另一个源，诸如用户做功(例如，转动螺栓)供电。

凭证模块36与锁处理器30进行通信，并且能够操作以对凭证进行解密和验证，以提取作为“虚拟卡读取”传送到锁控制器24中的虚拟卡数据。也就是说，访问控制装置16a本质上具有两个读取器，一个读取器90用于读取物理密钥卡92；以及凭证模块36，所述凭证模块36用于经由锁处理器30和收发器28以及天线26与移动装置12进行通信。

虽然所述图示出了连接到处理器30的锁天线26和收发器28，但是这并不对可能具有直接连接到凭证模块36的附加天线26和收发器28的其他实施方案进行限制。凭证模块36可以包含作为凭证模块的一部分的收发器28和天线26。或者凭证模块36可以具有与处理器30分开的收发器28和天线26，所述处理器也具有相同类型或不同的单独的收发器28和天线26。在一些实施方案中，处理器30可以将经由收发器28接收的通信输送到凭证模块36。在其他实施方案中，凭证模块可以经由收发器28与移动装置12直接进行通信。在其他实施方案中，凭证模块可以是整个在处理器30内执行的软件模块。

移动装置12通常包括密钥天线40、密钥收发器42、密钥处理器44、密钥存储器46、gps接收器48、输入装置50、输出装置52以及密钥电源54。密钥收发器42是对应于锁收发器28的类型的收发器，并且密钥天线40是对应的天线。在一些实施方案中，密钥收发器42和密钥天线40也可以用于与服务器14进行通信。在其他实施方案中，可以包括一个或多个单独的收发器和天线以与服务器14进行通信。密钥存储器46是用于在移动装置12上本地存储多个凭证的类型。在其他实施方案中，移动装置12在其与访问控制装置16a进行通信的同时与服务器14进行通信。这是在线配置，并且在这个实施方案中，移动凭证被实时检索并且传递到凭证模块36，而不是首先存储在移动装置12上的密钥存储器46中。

参考图3，一种有助于凭证的通信的方法100：以数字形式检索表示正常会被物理地编码在密钥卡92上的数据的凭证(步骤110)；将所述凭证封装在加密凭证中(步骤112)；将所述凭证下载到移动装置12(步骤114)；将所述凭证安全地传递到凭证模块36(步骤116)，所述凭证模块36对所述凭证进行解密和验证(步骤118)；提取虚拟卡数据(步骤120)；然后将虚拟卡数据作为“虚拟卡读取”传递到锁控制器24中(步骤122)。如将进一步所描述，这例如将准许用户绕过酒店的前台并且直接进入其房间。加密凭证可以由服务器14使用用于使用密码算法，诸如aes、ecc、rsa等等进行数字证书创建和加密的熟知的技术来生成。例如，凭证可以包含但不限于包括：凭证标识符、唯一访问控制装置16标识符、唯一凭证模块36标识符、与多个访问控制装置共享的标识符、指示凭证的类型或格式的参数，所述凭证可以包含加密数据，诸如虚拟卡数据，并且所述凭证可以包含数字签名。可以用凭证模块36可能已知的aes-128加密密钥对加密数据进行加密。或者可以用可以根据凭证中所含的信息确定的推导出的加密密钥对所述加密数据进行加密。另外，数字签名可以是基于例如凭证模块36可能已知的aes-128加密密钥的cbc-mac类型签名。或者，所述数字签名可以是基于服务器14已知的私用密钥的数字签名，并且可以通过凭证模块36已知的公共密钥来验证。

参考图4，绕过前台的方法200的一个实例由用户启动，所述用户首先经由受到酒店支持的任何程序，诸如移动预订、网站、旅行社等预订酒店房间(步骤210)。之后，登记入住手续确认其入住(步骤212)。再次，这可以经由受到酒店支持的任何程序来执行。

接着，基于客人偏好(或房间选择)和登记入住时的房间可用性而在酒店物业管理系统60中分派房间(步骤214)。酒店物业管理系统60可以使用由前台应用程序62提供的软件到软件应用程序编程接口(api)来请求呈数字形式的卡数据(步骤216)。前台应用程序62的工作范围可以是从独立编码器64到在云中运行的完整软件包，所述完整软件包能够操作以对被选择的房间的虚拟卡进行编码，并且将虚拟卡数据返回到酒店系统(步骤218)。

接着，在酒店系统已认证用户并已分配房间入住预订之后，酒店物业管理系统60将对凭证服务70进行另一次软件到软件api调用(步骤220)。相关信息以包括例如什么酒店物业、什么房间、什么客人(例如，用户id)、什么日期以及还有入住的虚拟卡数据的指示传送到凭证服务70。

在将虚拟卡数据发送到凭证服务70的同时或按先后次序，酒店物业管理服务60(再次经由任何常规方法)向用户传送确认登记入住并已分派房间的指示(步骤222)。

接着，基于移动装置12的酒店忠诚度移动应用程序80将利用移动库82中的软件到软件api(步骤224)，以从凭证服务70下载凭证(步骤226)。移动库82将用每次成功连接时可能会改变的先前建立的共享密钥来对凭证服务70进行安全地认证。

在被认证之后，凭证服务70在与移动库82通信时为用户生成凭证，并且为与移动库的这个实例相关联的客人将步骤220中接收的虚拟卡数据加密到凭证中。会为每个门或访问点生成一个凭证，并且虚拟卡数据在这些单独凭证中的每一个中将是相同的，但是可以用唯一密钥为特定门或访问点进行加密。加密方法可以是aes、3des、或其他此类加密方法。所使用的方法和凭证的类型可以是压缩数字证书或类似于x.509的基于标准的证书，或本领域已知的其他证书格式。也就是说，例如，用凭证模块36所已知的并由凭证服务70已知或可确定的唯一密钥将虚拟卡数据加密到凭证中。

移动库82将使用对具有装置特定信息，例如udid、imei、imsi、mac地址等的数据的本地os保护和附加加密来下载凭证列表并且将其存储在移动装置12上。既然登记入住已完成并且加密的移动凭证(具有虚拟卡数据)驻留在移动装置12上(图2)，则用户可以在任何稍后时间在离线模式下操作访问控制装置16，而不需要将移动装置12连接到凭证服务70。例如，在用户希望访问其房间的同时，其他实施方案可能会让移动装置12在移动装置与访问控制装置16通信的同时下载凭证。

当用户希望访问其房间(步骤228)时，用户可以经由以下各项指示这种意图：手势、点击按钮、敲击屏幕、指纹读取、密码、接近于锁、触摸锁等。响应于这种意图，酒店忠诚度移动应用程序80再次调用移动库82中的软件到软件api以启动加密的移动凭证到访问控制装置16的安全转移(步骤230)。当忠诚度应用程序80启动转移时，移动库在下一个步骤中单独地实施安全转移。

凭证的安全转移(步骤232)可以始于移动库82监听来自范围内的访问控制装置16的信号通告，诸如蓝牙低功耗(btle)通告的过程。也就是说，访问控制装置16按一定周期率通过指示访问控制装置16的标识符的通告数据来通告其存在，并且移动装置12可以自动地监听和连接，而无需人按下按钮来唤醒睡眠的电池供电锁16，或离开车辆以与车库门或其他装置上的读取器访问点进行交互。读取器访问点是另一种类型的锁16。另一个实施方案是使用近场通信(nfc)，并且人们将其移动装置“敲击”到锁16，并且安全凭证交换将移动凭证转移到访问控制装置16(步骤232)。安全凭证交换可以使用标准技术来完成，诸如建立会话密钥、对通信消息进行加密、以及验证消息发送方和接收方的真实性。

在访问控制装置使用蓝牙低功耗(btle)来通告的优选实施方案中，移动库82基于例如所接收的访问控制装置16的标识符，并通过与移动凭证列表中的每个凭证中包含的或与每个凭证相关联的标识符进行比较，并基于访问特定房间的用户意图，对所接收的通告进行过滤。比较可以是基于访问控制装置16的唯一标识符，或基于共享标识符，其中一组访问控制装置共享公共标识符。在一些情况下，访问控制装置16可以通告唯一标识符和共享标识符两者，并且移动库82可以基于两者而进行过滤。在接收到目标访问控制装置16的通告之后，移动库82启动无线连接，并且执行加密的移动凭证的安全转移(步骤232)。安全转移可以利用唯一会话加密密钥以及标准密码算法和技术。应理解，可以通过包括但不限于btle、zigbee、近场通信等的任何无线链路安全地传输数据。

凭证模块36将接收加密的移动凭证，然后对加密的移动凭证进行验证和解密以检索虚拟卡数据。解密和验证可以包括但不限于：验证数字签名、验证凭证类型、验证凭证标识符匹配锁存储器32中的标识符、验证凭证的开始日期和到期日期、验证凭证的来源等(步骤118；图3)。在被验证和解密之后，提取虚拟卡数据(步骤120；图3)。

然后根据实施方案，经由硬件和软件接口将虚拟卡数据传送到锁控制器24，所述锁控制器24可以进一步对虚拟卡数据进行解密，基于锁供应商规则处理数据，然后如果准许进入则开锁(步骤234)。值得注意的是，以等同于物理密钥卡数据格式的数据格式，将虚拟卡数据作为“虚拟卡读取”传送到锁控制器24中。因此，这准许在使用移动装置12的同时继续使用传统客人密钥卡92，诸如家庭成员、或只想要物理密钥卡92的副本的客人的传统客人密钥卡。

由移动装置12上传的审查跟踪可以仅是由移动装置12本身生成的审查，或者可以是包括由客人使用物理密钥卡实现的打开的统一审查。此外，当锁16打开时，可以将电池状态或它的其他维护信息在移动装置12的审查跟踪中上传到凭证服务70，使得可以向酒店通知低电量状态并且由所述酒店主动更换电池、或执行其他维护。与审查跟踪相关联的其他信息可以包括例如失败的打开或失败的尝试或验证失败的凭证。

使用“虚拟卡读取”维持连续的审查跟踪，并且还维持访问控制装置的已被编码到传统卡数据中的所有已知使用案例。此外，凭证模块36是锁供应商不可知的，使得任何锁供应商的数据可以被传递到其中，以允许每个锁供应商独立地革新卡数据。此外，凭证模块36可以由与锁16不同的公司供应。另外，除了将卡数据视为将对其进行编码、加密、转移、检索和递送的数据对象之外，服务器14、移动装置12和凭证模块36可能没有用于进一步解密或验证卡数据的方法。此外，可以离线使用“虚拟卡读取”，而不需要移动装置12通过wi-fi连接或实时连接而在线连接到凭证服务。也就是说，“虚拟卡读取”的数据存储在移动装置12上，并且在离线模式下安全地传递到凭证模块36。这并不是将性能限制于以在线模式另外发送“虚拟卡读取”。附加益处是除了使用凭证模块36之外，任何访问控制装置16可以使用任何卡类型，其中卡类型包括但不限于：磁条、rfid、感应等类型。

在另一个公开的非限制性实施方案中，凭证模块36可以用于许多目的，包括但不限于：将数据传递到产生物理密钥卡92的自助服务硬密钥分配器单元98。硬密钥分配器单元98具有凭证模块36，所述凭证模块36接收虚拟卡数据，对所述虚拟卡数据进行解密、提取并且将其发送到被配置成将数据编码到物理密钥卡92上的锁控制器24。也就是说，移动装置12上的虚拟卡数据被单元98写入到物理密钥卡92，并且以自动方式分配密钥卡92。除了用于密钥卡92的分配元件和包括但不限于电池、干路电源、能量采集等等的单元电源之外，单元98不需要任何用户接口。单元98的用户接口实际上是移动装置12的接口。当单元98快要用完空白密钥卡92时，移动装置12可以向凭证服务器70上传状态指示，所述状态指示可以变成向酒店通知需要将单元98重新装满的报告。

在其他公开的非限制性实施方案中，虚拟卡数据可以是用于标记卡访问系统的标准访问控制卡数据(即，识别数据)或被整合到自动售货机中，其中虚拟卡数据作为信用卡信息、令牌、购买参考标识符等等。

参考图5，除了具有由凭证服务70为特定访问控制装置16a生成的虚拟卡数据(显式许可)302的移动凭证之外，移动库82可以包括由凭证服务70基于访问类别300(隐式许可)而生成的移动凭证集合。访问类别300操作以授予用户对具有集体意义的访问控制装置16b的特定分组的访问。例如，一个访问类别可以是访问游泳池、商务中心、电梯和墙装读取器的“公共房间”。在酒店预订的背景下，当移动装置12与凭证服务70进行通信以下载加密的移动凭证时，凭证服务70为客人已被授予访问的一个或多个访问类别中的每个锁生成凭证。因此，加密的移动凭证将具有针对每个指定访问点，例如游泳池、商务中心等专门编码的相同虚拟卡数据，并且可以任选地在凭证中或通过凭证下载访问类别。然而，每个移动凭证将通过用于每个访问控制装置16b的唯一密钥来单独加密。

通过凭证服务70提供和使用访问类别300有助于在系统中对多个访问控制装置16b进行有效管理，在所述系统中，移动装置12可以打开多个锁，其中移动装置12具有用于每个锁的特定凭证。这比常规所需的更简单，例如两个访问控制系统-酒店系统的一个访问控制系统通过酒店系统访问业务规则的所有当前技术来生成虚拟卡数据；并且另一个访问控制系统用于通过移动凭证授予对每个访问点，例如客房、墙装读取器、游泳池、商务休息室等的访问。换言之，将需要在凭证服务中重复酒店系统的业务规则。

访问类别300允许多供应商整合，并且可以独立于被编码到虚拟卡数据中的酒店系统访问业务规则工作。因此，移动凭证是虚拟卡数据的“顶部”上的附加安全‘层’。访问类别300还允许相对更简单的维护程序，例如像，当‘公共’访问类别中的锁被更换时，只需要向更换锁分派相同的访问类别。然而，为了下载新的移动凭证集合，移动装置12仍然需要再次与凭证服务70进行通信。除了将更换锁包括在正确的访问类别中，客人或系统方面不需要进一步管理，并且即使新锁具有来自先前锁的唯一加密密钥，所有客人许可也将继续无缝地工作而不用修改。

参考图6，在另一个公开的非限制性实施方案中，当呈现有多个访问控制装置16时，可以启用通告过滤方法400来捕获用户意图。起初，每个访问控制装置16使用蓝牙低功耗(btle)来进行通告，所述通告由移动装置12接收(步骤402)。如果来自多个访问控制装置16的通告都接近于移动装置12，或所述通告以足够高的功率发射，使得所述通告处于距离移动装置12的一定距离内以便被接收，则可以接收所述通告。

接着，移动库82基于下载的凭证集合对所接收的通告进行过滤(步骤404)。也就是说，所接收的与下载到移动装置12的凭证集合不相关联的通告被过滤掉。以此方式，未对用户许可访问权限的任何访问控制装置16甚至不会被提供在选择列表中或待打开的可能的锁的缩减集合中。这种过滤可以基于访问控制装置16的通告消息中所含的标识符，并将这个标识符与移动装置12中存储的凭证中所含的或与所述凭证相关联的标识符相匹配来进行。

然后，移动装置12上的移动库82将已过滤的移动凭证列表中的每个凭证中所含的或与每个凭证相关联的标识符进行比较，以确定访问特定访问控制装置的用户意图(步骤406)。通常，在执行过滤之后，只有用户的房间会保持在范围内，使得用户的意图得以确定(步骤408)。

可选地或另外地，如果已过滤的凭证集合在范围内仍然具有多于一个锁，则可以通过rssi(接收信号强度指示符)或通过rssi的平均值对已过滤的凭证集合进行排序(步骤410)。有时，由于射频传播特性(例如，多路径、干扰等)，单一通告的rssi可能不准确，因此可以使用多于1个通告的平均函数来降低单次读数上的误差概率，以有助于例如在rssi的单次读数以外对rssi求平均值。因此，具有最高信号强度的访问控制装置由此被假定为最接近人，并且因此是用户的意图。另外，如果移动装置12正在利用其中移动装置相对于访问控制装置16的精确位置已知的诸如gps的定位系统，则可以使用位置和到访问控制装置的距离来确定最近的访问控制装置16。

可选地或另外地，移动装置12可以包括定向能力，例如罗盘和/或对蓝牙信号进行的三角测量。例如，移动装置12可以包括多个蓝牙天线以及使用无线通信和天线领域中的已知方法相对于移动装置12的方向来确定btle通告的方向的能力，或基于其中移动装置相对于访问控制装置16的精确位置已知的单独定位系统，可以使用罗盘来确定移动装置12指向访问控制装置16中的哪一个。

因此，如果已过滤的凭证集合在范围内仍然具有多于一个锁，则用户通常会将移动装置12指向所述用户意图打开的锁，并且因此可以利用所述方向来进一步对已过滤的凭证集合进行排序(步骤412)，并且确定与用户的意图相关联的访问控制装置。

可选地或另外地，可以将已过滤的凭证集合作为列表呈现给用户，例如房间1125、房间1127、礼宾休息室、电梯等(步骤414)。因此，用户可以从列表选择要打开的所希望的访问控制装置。可以各种方式将列表排序以包括最后打开的访问控制装置，使得例如用户的房间在初始访问之后将可能处于列表的顶部处(416)。用户可以通过敲击屏幕、或通过用‘是’或‘否’来响应读取房间的语音提示、或通过将其语音请求与已过滤的可用房间列表相匹配的语音识别算法，从列表中进行选择。可选地或另外地，所述用户还可以使用手势来滚动列表并且选择所希望的房间。手势将对移动装置12指示要往哪个方向滚动列表，然后可以使用单独的手势来指示选择，例如左右旋转手机、快速加速或其他手势。语音提示或手势优于敲击的益处是这些操作可以用一只手完成，例如使装置远离倾斜将向下滚动列表，并且使装置朝向倾斜将向上滚动列表，或其他此类手势。在用户具有例如多个同时酒店房间预订的情况下，确认号或其他参考信息也可以被包括在凭证中，所述多个同时酒店房间预订提供了对同时涉及多个预订，即游泳池、侧门等的相同访问类别和门集合的访问。因此，利用相同锁的多个凭证，用户的‘入住’或‘确认号’也可以用于过滤列表。

可选地或另外地，可以按‘类别’，即‘打开我的客房’将列表选择性地排序-并且如果用户只有一个客房，则将不属于此类别的其他锁过滤掉，即使所述其他锁在范围内并且被准许打开(步骤418)。例如，这可以通过在移动装置12上选择类别图标、或通过选择预设偏好，例如“公用门”来执行，以避免无意中打开房间门以及公共访问点，因为两者都在蓝牙范围内。

参考图7，可选地或另外地，可以利用次级接口500来向移动装置12提供附加信息，以有助于识别访问控制装置16。在一个实例中，nfc(近场通信)标签502可以与访问控制装置16相关联，使得读取nfc标签有助于指示通过蓝牙低功耗(btle)在与哪个访问控制装置通信。由于蓝牙低功耗(btle)具有相对较长的范围并且可以各种方式上下移动，因此这种次级接口有助于适当的接近度选择。例如可以相对于访问控制装置16添加nfc标签，使得通过将其移动装置12‘敲击’到锁上，所述移动装置从标签读取凭证标识符，因此所述标签与特定访问控制装置16相关联。应理解，可以可选地或另外地利用其他信息，诸如使用移动装置上的相机对房间号进行的图像识别、用于确定移动装置12处于哪个楼层的高度等。应了解，其他次级接口500，诸如打印在锁上的ibeacon、条形码、或qr码可以由移动装置12的相机读取以确定与访问控制装置16相关联的标识符。

通告过滤有助于用户与访问控制装置16之间的交互，因为不需要‘把锁打开’。另外，存在用户可以在距离锁一定距离处进行交互的益处。一个实例是停车库锁定点，其中传统上，用户必须打开窗户或离开车辆以在读取器终端上使用卡来打开进入口。

参考图8，可选地或另外地，可以利用目的地意图600来向移动装置12提供附加信息，以有助于识别所希望的访问控制装置16以便对用户意图进行预期。在一个实例中，可以利用对用户意图的预期，使得由于对移动装置12的接近度/路线规划，可以在途中打开中间门。在这个实例中，移动装置12可以将用户引导到特定的电梯/门以绕过高拥堵区域规划路线。高拥堵区域可以由正在使用相同应用程序或指示人的存在并可以将其传送给第一移动装置12以指示拥堵区域的另一个应用程序的其他人所携带的其他移动装置12确定。可选地，人的定位和路线的调整可以由凭证服务70完成。目的地和/或拥堵路线还可以基于例如当日时间和用户的时间表而调整。可以由移动装置12的用户通过从访问控制装置列表中选择特定目的地访问控制装置16来手动地选择目的地。或者，所述用户可以选择与访问控制装置16相关联的位置。关联可以利用各种手段，诸如直接关联或经由接近度关联(即，它们处于相同位置)。另外，可以基于用户时间表、当日时间、如用户的装置的另一个应用程序，诸如outlook日历上所获得的类似内容而自动地选择目的地。可以通过用于优化路线规划算法或室内路线规划算法的各种已知方法，并通过为沿着路线的实际访问点16的限定的“路点”来确定路线。在人沿着路线移动时，移动装置12在作为路线的一部分的访问点16进入移动装置12的范围内时自动地打开所述访问点。

在另一个实例中，目的地可以由系统10创建，或可以在系统10外部创建。这可以发生在例如酒店物业管理系统60将目的地发送到凭证服务70中的时候。在这个实例中，物业管理系统60处于系统10外部。这种情况的另一个实例是车辆共享项目，并且车辆系统将目的地发送到凭证服务70中，其中目的地是待共享的车辆的位置。车辆本身可以是在到达目的地之后将要打开的访问控制装置16。另外，车辆的点火装置可以是在被致动时启动车辆的访问控制装置16。车辆本身就是一种目的地。另一个实例可以是度假租赁财产或受访问控制装置16保护的其他资产，其中用户的目的地导致为目的地处的访问控制装置16对凭证服务70授予许可。

在另一个实例中，可以在一天中的给定时间在接近于特定访问控制装置16时对订购的杂货、女佣、私人助理、房地产展示等提供访问权，其中他们的目的地是在某一位置提供服务的预定事件。在另一个实例中，可以将意图从一个人委托给另一个人，其中第一人表达为第二人打开门的意图。可以例如通过向第二人提供目的地或通过根据给定目的地对另一个人安排某一位置处的服务来作出委托意图。在这种情况下，访问点16可以与目的地或与目的地的位置相关联。可选地或另外地，可能需要移动装置12上的工作单以结合相关联的特定访问控制装置16来对用户意图进行预期。也就是说，需要工作单和接近度来对用户意图进行预期，并且访问点16可以与工作单或工作单目的地的位置相关联。工作单可以经由电子邮件或通过提供特定授权的其他媒介发送。另外，移动装置12可能需要选择工作单以进一步表达意图，使得当移动装置12上没有选择或激活工作单时，就不表达用户意图。

就以上的实例而言，可以作为用户的预定目标选择目的地，其中目标是做某事，类似于‘找到敌人’或‘获得某物’，其中目标也可以不是静止的。目标不是地方，它是要做的事情。概括地说，目标将通过推断指定目的地，所述目的地通过推断将指定沿着到达目的地的路线的特定访问控制装置16或访问控制装置16的集合，并且目的地或路线可以随着目标的焦点的移动而动态地变化。

在另一个实例中，在导航到预期目的地600时，移动装置12可以诸如经由其相机提供路径查找以提供到达特定访问控制装置16的方向。也就是说，相机可以用于显示周围环境，方向或其他指示或视觉队列，诸如‘发光’的框或箭头或线覆盖在所述周围环境上以抵达特定访问控制装置16。在查看移动装置12的屏幕的过程中，人们可以通过敲击屏幕并经由视觉意图指示其希望打开的访问控制装置16来表达意图。虚拟增强将依赖于用于室内定位、室内制图、室外定位、室外制图以及类似gps、磁罗盘和加速度计的方向指示器的已知技术。类似这样的应用存在于有关观星、移动装置12的路径寻找和个人导航的技术领域中。访问控制装置16将被定义为个人导航系统内的路点或交互式虚拟装置，并且当被选择时可以触发打开门的动作和意图。

在另一个实例中，移动装置12可以找出这个位置特征，其中所述位置可以是gps位置、地址、事件或地点，并且引导用户通过各种访问控制装置16以到达所述位置，并且在到达所述特定gps位置之后，访问附近的访问控制装置16。

在另一个实例中，移动装置12可以向朋友和家人提供引导，并且移动装置12将打开沿着这个路径的任何特定访问控制装置16。也就是说，可以识别用户必须通过来访问朋友和家人，例如“找到我的朋友”的特定访问控制装置16，并且可以沿着路线选择性地打开所述特定访问控制装置以到达所述朋友和家人所在的位置。路线可以与以上实例中所描述类似的方式确定。由于朋友和家人的位置，为这些访问控制装置16自动地确定用户意图。朋友和家人可以具有类似的移动装置12或定位其当前位置的一些其他方法。

可选地或另外地，在移动装置12上提供朋友列表。然后利用对特定朋友或个人的选择来引导用户通过各种访问控制装置16以自动地将用户引导到所选择的家人或朋友。可选地，对所选择的家人或朋友的引导可以包括确定朋友的当前位置。可选地，可以确定将要会见朋友的位置。可选地，可以包括了解到朋友居住的固定位置。另外，可以经由与社交媒体账户的交互来确定“朋友”，其中移动装置12使用来自社交媒体账户或系统的信息来确定打开哪个访问控制装置16。另外，“朋友”可以选择向其他朋友公开其位置，从而提供可以用于表达意图的目的地。

可选地或另外地，目的地意图600可以是基于施加在移动装置12上的环境压力。这包括来自重力、气压和水下压力的压力。例如，访问控制装置16位于深水处，用户将使用其移动装置12来检测水下压力，并且当用户在访问控制装置12附近并处于某一深度时，这可以表示进门的用户意图。如果压力尚未达到某个水平，则暂且不表达用户意图。

可选地或另外地，目的地意图可以是基于移动装置12上检测到的环境温度。例如，访问控制装置16位于冷却剂池附近的核反应堆内，用户将使用其移动装置12来基于rssi和相对于反应堆堆芯的水的附近热量而选择正确的访问控制装置16。另一个实例是在建筑物中并且由于rssi和指示火灾所在的位置的房间的热量，消防员可以选择访问控制装置16。在一些实施方案中，移动装置12自身确定环境温度，在另一个实施方案中，环境温度可以作为通信意图900结合来自房间中、水中或测量某一热源的一些其他传感器的目的地意图600一起传送到移动装置12。再次，在以上火灾的实例中，目的地可以由火灾报警系统确定，所述火灾报警系统知道哪个房间最热并且经由访问控制装置16将消防员路由到火灾的位置。

可选地或另外地，rssi可以与在移动装置12上接收的声音报警组合。例如，若干访问控制装置16位于房间中并且通过其中一个门意识到火灾报警，用户将使用其移动装置12来基于rssi和因为火灾而发出的声音报警而选择正确的访问控制装置16。在这个实例中，当音频信号达到某个db级时，这可以表达打开访问控制装置16的意图。可选地，声音报警的通告可以向系统，例如入侵报警面板通知所述系统已被破坏，并且可以基于破坏的位置或声音报警的位置而自动地确定目的地，然后由入侵系统将其连同通信意图900一起传送给移动装置12。这在例如快速反应或报警的情况中将是有用的。另外，在另一个实例中，如果存在声音报警，则可以仅表达用户意图并且在不存在报警的情况下，不表达用户意图。这对于快速反应来说可能是有用的，其中除非报警发声，否则他们无需通过访问控制装置或甚至无需对访问控制装置进行授权。

可选地或另外地，目的地意图600将基于由移动装置12捕获的音频。例如，用户想要收听其最喜欢的乐队并且基于音乐的可听声音，通过更接近位于访问控制装置16设备后台的乐队的声音来提供所捕获的意图。

可选地或另外地，目的地意图600将基于在移动装置12上听到的语音。例如，用户希望能够找到某人，但是移动应用程序仅知道所选择的人的语音签名。在用户移动得更靠近所述人的语音时，基于相对于所选择的人的语音的靠近度而导出目的地。在一些实施方案中，直接由移动装置12检测语音信号，然而在其他实施方案中，可以由监控摄像头或其他设备检测语音信号并将其传送给移动装置12，并且通过监控设备相对于发出所述语音的人的邻近定位来确定目的地。

可选地或另外地，目的地意图600将基于移动装置12上捕获的图像。例如，用户在访问受控的停车库中停车，并且在停车之后，用户使用移动装置12来对其处于停车位上的汽车进行拍照。当用户试图返回其停车位时，目的地意图600是基于移动装置12上捕获的图像。例如，通过选择图像并指示前往拍摄所述图像的地点的意图将隐含地承认在前往汽车在这个实例中停车所在位置的途中打开访问控制装置器16的用户意图。可选地，图像可以用于与系统进行通信，所述系统可以从图像识别对象并且确定所述对象在真实世界中的当前位置，然后提供包括隐含用户意图的路线以打开沿着这个路线的访问控制装置16，以便前往所述对象的真实位置。

可选地或另外地，目的地意图600将基于移动装置上捕获的视频。例如，用户记录视频，并且稍后在选择这个视频时，所述用户隐含地选择拍摄视频的位置，并且通过表达想要前往拍摄视频的地点的愿望，所述用户给出了打开沿着路线或拍摄视频的位置处的任何访问控制装置16的隐含意图。另外，类似于以上的实例，来自视频的对象可以用于识别这个对象的当前位置(如果所述对象是可移动的话)并且表达想要前往所述当前位置的愿望，并且访问沿着到达新位置的路线的任何访问控制装置16。

可选地或另外地，可以基于到达经由蜂窝网络信号强度或经由wi-fi信号强度或仅仅是特定wi-fi接入点确定的位置而表达目的地意图。可以由移动装置12使用信号强度来确定所述移动装置是否已到达某一位置或所述移动装置是否与目的地相关。在这种情况下，目的地将被映射到特定蜂窝网络信号强度或基于若干手机信号塔的三角测量位置。此外，可以更一般地使用wi-fi接入点标识符，使得如果处于这个特定wi-fi装置(即，特定ssid或mac地址)的范围内，则已抵达目的地。另外，如果移动装置12在给定wi-fi网络附近，则由于接近于所述特定wi-fi网络，这可以表达用户意图。如果超出范围，则不表达用户意图，因为所述移动装置不再接近其通常与之交互的访问控制装置16。wi-fi和蜂窝信号的替代方案是基于的ibeacon，其中当移动装置12检测到特定蓝牙通告者时，所述移动装置通过推断了解到其已到达特定位置并且在所述位置将自动地具有打开所述位置处的访问控制装置16的目的地意图。

可选地或另外地，可以利用直接个人意图700来向移动装置12提供附加信息以捕获用户意图，并且由此有助于识别特定访问控制装置16。例如，接收信号强度指示符(rssi)可以用于启动访问过程，例如用户在特定访问控制装置16的1英尺范围内。访问过程可以在第一距离处开始，其中移动装置12可以从访问控制装置16听取通告并且对可能的凭证集合进行过滤(步骤404，图6)，然后当移动装置12更靠近地移动到第二距离内时，这将指示打开访问控制装置16的意图(步骤408，图6)。例如，第一距离可以是30英尺，并且第二距离可以是3英尺。可选地，访问过程还可以包括另一个中间距离，所述另一个中间距离是在开始进行过滤的第一距离与表达意图的第二距离之间。在这个中间距离处，移动装置12可以开始自动地与访问控制装置16进行通信，以期望不久将表达意图。在这种情况下，当表达意图时，打开访问控制装置16的过程已经开始并且可以快速地完成，从而给出‘打开时间’很快的印象。在另一个实例中，移动装置12保持在第二距离内的持续时间可以指示打开的意图，并且因此如果持续时间小于时间阈值(例如，1秒)，则将不打开访问控制装置16，但是如果持续时间长于阈值，则将表达意图。rssi可以与诸如摇晃移动装置12的手势组合以进一步捕获用户意图。在这种情况下，除非rssi处于某一水平内(即，处于第二距离内)，否则手势不会触发访问控制装置16的打开。可选地，rssi可以与移动装置12保持接近访问控制装置16或保持在距离所述访问控制装置的一定距离内的时间量组合。可选地，可以使用移动装置12中的加速度计来确定用户意图，例如如果移动装置12仍在移动，则不打开门，但是如果所述移动装置在所希望的访问控制装置16的一定距离内停止或不移动-则打开所述门。

在另一个实例中，基于视觉地图而选择访问控制装置16，所述视觉地图可以显示在移动装置12上，或可以是在其上地图为交互式的显示器或壁挂件上。访问控制装置16的表示是在地图上，并且当用户意图打开访问控制装置16时，所述用户敲击所述表示。访问控制装置的表示可以包括文本、图片、图标、与访问控制装置16相关联的某些东西(例如，门或进入口)，或所述表示可以是地图上通常显示的一些其他视觉指示符。在对地图进行将提供即时意图的选择时，用户可能就在附近。或者，用户可以提供延迟的意图，并且所述用户一进入范围内，访问控制装置16就会打开。或者，所述用户可以提供委托意图并且为其他人表达在其他人的移动装置12处于访问控制装置的范围内时打开选择的访问控制装置的意图。委托意图可以例如通过sms，通过电子邮件或经由凭证服务14从一个移动装置12发送到另一个移动装置12。如果地图例如处于移动装置12外部，则地图可能有能力通过向移动装置12发送蓝牙消息来与移动装置进行通信。另外，用户可以通过使用其移动装置12来读取地图上在视觉指示符的位置处的nfc标签而表达个人意图。或者，用户可以通过使用其移动装置12来读取紧挨着视觉指示符的qr码而表达意图。

在另一个实例中，移动装置12可以使用生物特征识别或跟踪来推断操作访问控制装置16的意图。在这个实例中，可以利用眼跟踪来捕获用户意图，例如望着访问控制装置16并且眨眼将表达解锁的意图。在这个实施方案中，移动装置12可以包括可穿戴部件，例如智能眼镜或具有跟踪眼运动的能力的类似物。类似于以上实施方案，这可以利用已知算法来跟踪增强现实并且识别将被映射到访问控制装置16的对象。

在另一个实例中，可以利用触觉反馈来确定用户意图。当移动装置12接近于可访问的访问控制装置16时，所述移动装置可以发出嗡嗡声或振动或发出声音。然后，可以利用手势来打开访问控制装置，例如在移动装置12的情况下是敲击来打开。移动装置12中的加速度计可以将敲击与装置的其他运动区分开。可选地，代替移动装置12，可以利用连接到移动装置12的装置，诸如智能眼镜、手表或其他这种装置来向移动装置12表达意图，其中用户对所连接的装置执行动作，诸如移动、用其手指进行敲击等。可选地或另外地，移动装置12可以用于显示增强现实视图，其中项目，例如用户已访问的访问控制装置16或用户已访问的门发光或以其他方式突出显示，并且用户在视图上指示其想要访问哪个门或资源。

可选地或另外地，用户可以通过实际上表达无意图来表达个人意图700。在以上的实例中，如果移动装置12在接近于访问控制装置16时提供触觉反馈(例如，振动)，如果用户在一定时间范围内不提供响应敲击或其他手势，则用户在表达无意图。另外，可以使用特定手势或敲击序列来表达无意图，诸如用来指示‘否’的左右手势，对比将指示‘是’的上下手势。或者，诸如快速连续的多次敲击的敲击序列-例如在1秒时间段内的两次敲击将指示无意图。可以用特定语音命令或词汇来表达无意图。

可选地或另外地，可以推断行为意图800来向移动装置12提供附加信息以有助于识别可访问的访问控制装置16以便对用户意图进行预期。在一个实例中，可以通过识别当日时间、路线、gps位置、与访问控制装置16的接近度、先前行为和/或邻近于用户排队等候的其他人来确定雇员的行为意图。在这个实例中，通过使用关于先前访问哪个访问控制装置16的先前行为，可以在接近时将用户意图推断为希望再次访问相同的访问控制装置。同样在这个实例中，用户在访问控制装置附近的当日时间可以表达意图，由此例如，所述用户通常想要在早晨或在中午进入建筑物并且因此在这些已知时间间隔期间接近时，所述用户将自动地表达意图。另外，如果当日时间与预定到达相关联，则当日时间加上时间表加上接近度可以解释为打开访问控制装置16的特定意图。另外，如果带有其他移动装置12的其他人在附近，其中其他装置在表达打开特定访问控制装置16的意图，则当用户的移动装置12接近于访问控制装置16时可以将用户意图推断为现在‘轮到他们’开门了。在这个实例中，多个移动装置12可以例如经由短程btle通告向彼此发送消息，以向周围的非常接近于与用户的移动装置12相同的位置的组群通知其活动。

可选地或另外地，可以利用通信意图900来向移动装置12传送附加信息以有助于识别可访问的访问控制装置16以便对用户意图进行预期。例如，可以利用与诸如电梯的乘客输送系统进行的通信来识别目的地楼层，以对移动装置12能够访问的可访问的访问控制装置16的列表进行过滤。这在访问控制装置16可以在楼层之间以足够强的信号传输时是有用的，并且过滤可以从列表中移除不在当前楼层上的任何访问控制装置16。可选地，用户可以指示所希望的目的地(例如，“我的办公室”或“5楼”等)，并且移动装置12可以将目的地传送到乘客输送工具或从所述乘客输送工具传送所述目的地，使得移动装置12的所指示的目的地然后可以用于进一步排除某些访问控制装置16，因为目的地将直接或间接地指定建筑物的特定楼层。

在另一个实例中，可以访问第一访问控制装置16，所述第一访问控制装置16提供对使用诸如电梯的乘客输送系统的授权，并且访问控制系统可以使用与用户相关联的默认楼层来自动地呼叫电梯。自动呼叫和目的地楼层将提供通信意图900并且可以用于进一步对次级访问控制装置16的列表进行过滤。此外，通信意图900可以在进行通信之后的某一时间段内应用-例如，可以将按楼层过滤执行一个时间段，或直到提供进一步通信意图900的这样一个时间为止。

在另一个实例中，非常接近的多个移动装置12可以例如经由短程btle通告来向彼此发送消息，以向周围的非常接近于与用户的移动装置12相同的位置的组群分享通信意图900。另外，在用户移动装置12之间发送的消息可以包括对用户当前所在楼层或其所在建筑物的指示，或通常为向用户的移动装置12提供位置感知的一些信息。另外，在用户移动装置12之间的通信可以简单地是重复从乘客输送系统接收的通信。

另外，如果通信意图900包括移动装置12感知位置的能力(例如，基本确定，诸如在建筑物内部对在所述建筑物外部，或在房间内或在房间外，或场地内的精确位置)，则可以基于访问控制装置16所在的资源而推断用户意图。在一个实例中，对于意图打开并从中走过的门，如果在门内侧的用户已经在建筑物或房间的内部，则所述用户将不需要打开门来进入。通常与访问控制系统分开地处理出口。

意图的确定有助于与多个访问控制装置进行交互，以为用户促成访问特定访问控制装置的自动方式。意图的确定还可为操作访问控制装置最小化与移动装置进行的否则更为广泛的交互。另外，通过基本上预期用户意图并至少部分地自动启动过程来减少打开访问控制装置的视时。

本文描述和描绘的元件，包括贯穿附图的流程图和框图暗示元件之间的逻辑边界。然而，根据软件或硬件工程实践，所描绘的元件和其功能可以通过具有能够执行存储在其上的程序指令的处理器的计算机可执行介质在机器上被实现为整体软件结构，实现为独立软件模块或实现为采用外部例程、代码、服务等等的模块或这些的任何组合，并且所有这类实现方式都可以处在本公开的范围内。

除非本文另外指明或明显与上下文矛盾，否则术语“一个”、“一种”、“所述”和类似参考物在说明书的上下文中(尤其是在以下权利要求的上下文中)的使用应被视为覆盖单数和复数形式两者。与数量结合使用的修饰词“约”包括所述值，并且具有上下文中指定的含义(例如，它包括与具体数量的测量相关联的误差程度)。本文公开的所有范围都包括端点，并且端点可独立地相互组合。

尽管不同的非限制性实施方案具有具体示出的部件，但是本发明的实施方案不限于那些特定组合。有可能使用来自任何非限制性实施方案的部件或特征中的一些与来自任何其他非限制性实施方案的特征或部件的组合。

应了解，相似的附图标记在若干附图中表示对应的或相似的元件。还应了解，尽管在所示出的实施方案中公开了特定部件布置，但是其他布置也将从此受益。

尽管示出、描述和要求保护特定步骤顺序，但是应理解，除非另外指明，否则步骤可以单独的或组合的任何次序执行，并且将仍然受益于本公开。

前述描述是示例性的而不被其中的限制所限定。本文公开了各种非限制性实施方案，然而，本领域的普通技术人员将认识到，根据以上教导的各种修改和变化将落入随附权利要求的范围内。因此，应理解，在随附权利要求的范围内，可以不同于如特别描述的方式实践本公开。因此，应研究随附权利要求来确定真实范围和内容。