及授权的范围。例如,访客可在路由器获得基于碰撞的持久链接,在家呆一段时间,接着当设备的位置超过财产边界或当指定时间段已过(或者这些和其它条件的组合)时丢失链接。系统可具有关于“被邀请”到链接作为建立链接的一条件的访客的概念。例如,策略规则可在访客试图访问之前被提供给系统。系统可包括基于规则的策略系统,它能够基于碰撞/NFC认证满足供应条件来确定何时建立深度链接,以及基于由授权设备用稍后终止链接的条件确定的策略来确定新建立的深度链接的策略和条件。
[0019]当设备被带到接近另一个设备(可以是专用W1-Fi管理器、私有网络上的任何机器,或某一任意‘代理’设备等等)时,系统提供基于规则的策略系统,其中在设备可被授予对本地资源的任何类型的访问权之前要满足条件。除了需要NFC单独不提供的一个或多个附加条件以外,NFC/碰撞通信允许设备保证接近度或物理接触。在作出规则的条件被满足的判定之后,用基于与规则相关联的策略的权利来建立深度链接。例如,当具有NFC支持的便携设备被带到安全打印机附近时,安全打印机可请求设备的紧密接近度(或与打印机碰撞)用于认证,其中可由用户完成打印的特定时间窗口,以及打印机上与那个用户相关联的项目。在打印机情形中,深度链接策略监视可请求用户保持在打印机或与该打印机相关联的其它NFC设备附近的在场,否则策略关联被打破且安全打印停止。类似地,打印可被要求在特定时间窗口内完成,否则链接被打破。最后,链接策略可请求链接在最后页的打印完成之后终止,即使全部其它条件仍然满足。
[0020]资源访问系统可提供或接收组合时间和空间质量的策略,或策略的其它组合以获取并维持对资源的访问。例如,只要宾馆客人处在他或她的宾馆房间中,并在办理入住时在宾馆前台将他或她的智能电话进行碰撞,系统就可提供对宾馆资源(例如,客W1-F1、小冰箱、电影等)的访问。类似的情形包括用于在受限时间窗口内购买商品、通过接近电话会议门户的设备在场且用户是被邀请者的需求(附加条件)加入电话会议会话,以及临时密钥存储的认证。另一个示例是监视器和键盘站,其中用户是活跃目录服务的已知成员,并且接近度被维持到键盘和监视器,且用户物理地被诸如网络摄像头或麦克风检测到(如链接策略指定的)。本领域技术人员将认识到大量的其它情形,基于NFC的策略系统以及附加条件可被应用到这些情形以去除复杂性并提供传统授予访问权的方法不能确保的附加的保证。
[0021]图1是示出一个实施例中的资源访问系统的组件的框图。系统100包括到访设备110、设备检测组件120、资源管理组件130、链接发起组件140、访客策略组件150、设备访问组件160、以及访问生命周期组件170。这些组件中的每一个都在此处进一步详细讨论。尽管是分开描述的,本领域技术人员将理解在此描述的各种概念性的组件可在同一软件库或硬件组件中被一起实现。例如,组件120到170可以是可信提供者的一部分,而组件110在可信边界之外。
[0022]到访设备110是包括启用可被接收设备检测到的碰撞技术(例如,近场通信(NFC)、蓝牙,或W1-Fi)的计算设备。到访设备110可以是智能电话、MP3播放器、平板计算机、膝上计算机,或包括NFC芯片或类似硬件以利用在此描述的系统100的其它便携计算设备。到访设备可以是到访具有访客可用的资源的场所的用户所携带的设备。到访设备110可为到访设备110它自身的使用或为来访用户携带的其它设备(例如单独的膝上电脑)请求对资源的访问。用户可携带使用如资源访问系统所使用的类似或不同的通信技术的若干设备,诸如用作用于膝上电脑或平板计算机的个人W1-Fi热点的智能电话。
[0023]设备检测组件120是与所到访场所相关联的物理设备,设备检测组件包括用于检测到访设备110的启用碰撞的技术。设备检测组件120可以是类似到访设备110的设备的一部分,诸如另一台智能电话,可以是可向其提供访问的资源的一部分,诸如具有NFC硬件的打印机或路由器,或者可以是单独的外围设备或整个的计算设备。设备检测组件120检测诸如到访设备110的设备的在场或接近度,并通知资源管理组件130使得策略条件可被验证以确定是向到访设备110授予对场所资源的访问还是拒绝访问。在一些情况中,文本标签或其它指示可通知到访用户将到访设备110带到设备检测组件120接近度之内会允许特定功能或资源访问。特定场所可包括服务多个到访用户、在该场所的多个可用资源,或用于诸如区分到访用户可请求的多个类型的访问(例如在打印机上轻拍一处请求彩色打印,而轻拍另一处请求黑白打印)的其它目的的设备检测组件120的多个实例。
[0024]资源管理组件130将被到访的场所的一个或多个可用资源编目录并管理到访设备对经编目录的资源的访问。资源可包括到访用户可通过系统100被授予访问权的任何类型的计算设备、外围设备,或其它设备,诸如打印机、W1-Fi网络、游戏、灯光、立体声系统、扬声器、投影仪等。资源管理组件130可提供管理界面,诸如基于web的配置应用、移动应用、程序接口,或管理员(例如该场所的拥有者)可通过它通知资源管理组件130在该场所可用的特定资源的其它接口。资源管理组件130还可使用自动化设施,诸如通过网络广播、通用即插即用(UPnP)请求或类型通信以标识并确定可用资源。
[0025]链接发起组件140发起到访设备110和在被到访的场所处的一个或多个可用资源之间的链接。链接可包括在通过启用碰撞的技术(例如NFC硬件或类似)在到访设备110和设备检测组件120进行初始通信之后建立W1-Fi连接、蓝牙连接、或其它通信。基于NFC的通信可(例如通过设备标识符、凭证、密钥对、MAC地址、网际协议(IP)地址,或其它标识符)标识到访设备110,使得当通过另一协议的链接发起发生时,辅助协议知晓设备及其被许可的对资源的访问级别。到访设备110或资源可在经由NFC交换信息之后发起链接。
[0026]访客策略组件150管理定义条件的一个或多个策略规则,在这些条件之下到访设备可访问被到访场所处的资源。规则可包括与可授予对资源的什么访问权以及那个访问权何时可被取走两者相关的策略信息。例如,对W1-Fi网络的访问可被松散地授予可(通过NFC碰撞或类似证明)证明他或她在该场所的任何人,但可受时间限制(例如,30分钟),受位置限制(例如,只要用户在距离该场所100英尺内就有效),或一旦已经被授予访问权之后可终止或限制对资源的访问的其它约束。访客策略组件150可提供用户接口或程序接口,通过该接口管理员可指定适用于特定场所的策略规则。访客策略组件150管理任何接收到的或默认规则的存储和执行。
[0027]响应于访客策略组件确定到访设备110已经满足对特定资源的访问的一个或多个条件,设备访问组件160向到访设备110提供这样的访问。设备访问组件160可通知特定资源,诸如打印机或W1-Fi网络,接受来自到访设备110的使用请求。例如,设备访问组件可将访设备的MAC地址添加到可连接到W1-Fi路由器以访问互联网的可允许MAC地址列表。设备访问组件160负责资源管理组件130和访客策略组件150之间的通信以执行用于访问资源的策略。
[0028]访问生命周期组件170执行与到访设备110对一个或多个资源的访问的终止相关的策略规则。对资源的访问通常不会无限地或没有什么续订过程地授予。例如,提供W1-Fi访问的商家业主可能仅想要向顾客提供公共互联网访问达受限时段,或者可能想要顾客周期性地续订访问。为此,商家业主可指定策略规则,该策略规则要求访客周期性地(例如,每小时)或在商家业务处购买之后将到访设备110对照设备检测组件120来轻拍来维持或恢复对资源的访问。访问生命周期组件170可执行用于终止访问(例如,将到访设备MAC地址从被允许地址列表中移除)的动作,以及用于(例如,经由推送通知、电子邮件,或其它通知)通知并告知到访用户对资源的访问即将终止的动作。
[0029]在其上面实现资源访问系统的计算设备可包括中央处理单元、存储器、输入设备(例如,键盘和指示设备)、输出设备(例如,显示设备),以及存储设备(例如,磁盘驱动器或其他非易失性存储介质)。存储器和存储设备是可以用实现或启用该系统的计算机可执行指令(如软件)来编码的计算机可读存储介质。此外,数据结构和消息结构可被存储在计算机可读存储介质上。在此所要求保护的任何计算机可读介质仅包括那些落入法定可授权类型的介质。该系统