CN105637522B - 使用受信证书的世界驱动访问控制 - Google Patents

使用受信证书的世界驱动访问控制 Download PDF

Info

Publication number
CN105637522B
CN105637522B CN201480048909.2A CN201480048909A CN105637522B CN 105637522 B CN105637522 B CN 105637522B CN 201480048909 A CN201480048909 A CN 201480048909A CN 105637522 B CN105637522 B CN 105637522B
Authority
CN
China
Prior art keywords
strategy
environment
module
certificate
event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201480048909.2A
Other languages
English (en)
Other versions
CN105637522A (zh
Inventor
T·河野
D·A·莫尔纳
A·N·莫舒克
F·勒斯那
J·H·王
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/020,735 external-priority patent/US9413784B2/en
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN105637522A publication Critical patent/CN105637522A/zh
Application granted granted Critical
Publication of CN105637522B publication Critical patent/CN105637522B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本文描述了用于接收表征环境中的特征的事件以及用于基于事件来确定至少一个策略的功能。功能咨询与策略相关联的证书,以判定策略是否有效。如果有效,则功能使用策略来管控至少一个应用的行为,诸如通过控制应用的事件消费。受信通行证授权可以被用来生成证书。每个证书可以:(1)确定其源自于受信通行证授权;(2)包含描述策略打算被在环境内应用的上下文的上下文信息;和/或(3)包含机器可读内容,当被执行时,机器可读内容施行策略的至少一个方面。

Description

使用受信证书的世界驱动访问控制
背景技术
增强现实应用提供了将从环境捕获的信息与增补信息组合的输出呈现。例如,一种增强现实应用呈现环境的图像,以及对图像内的对象进行注解的标签。另一类型的增强现实应用提供复制了人类用户的运动的动画人物,以及用户可与其交互的虚拟对象。
从周围环境捕获信息的任何应用提出了隐私担忧。例如,上述增强现实应用捕获环境的图像或视频;反过来,该信息可能包含敏感项,诸如人面部,个人书写、账号等。该隐私信息的“所有者”经常偏向于或者坚持该信息不透露给其它人。该隐私信息的所有者可对应于使用增强现实应用的人或受该技术影响的某其它人,诸如旁观者。上述的隐私担忧不是增强现实应用所独有的,而是扩展至任何从环境捕获知觉信息的应用。这些应用在本文称为环境感测应用。
实际上,应用开发者可以将环境感测应用创建为“一次性”独立代码单元。在这样做时,如果该问题全部解决,每个开发者可以在应用代码本身内以分开的(通常是自组织的)方式,来解决上述的隐私担忧。
发明内容
本文描述了用于接收表征环境中的特征的事件以及用于基于事件来确定(identify)至少一个策略的管理模块。管理模块通过咨询与策略相关联的证书来确保策略是有效的。如果有效,则管理模块使用该策略来管控至少一个应用的行为。例如,管理模块能够控制转送到应用的事件的类型和形式。
根据另一示例的方面,采用受信通行证授权(PA)实体来生成证书。所授予的每个证书涉及到关于环境中的特定目标特征将权利给予一个或多个应用的策略,特定目标特征诸如为人、无生命对象、身体区域等。PA实体发布证书,当证书成功地校验请求证书的实体经授权来设定用于该目标特征的策略时,该证书应用于目标特征。如果经授权,则该实体可视为目标特征的“所有者”或控制代理。
根据另一示例的方面,每个证书可以提供:(1)指示其源自受信PA实体的签名;(2)描述策略旨在应用于环境内的上下文的上下文信息;和/或(3)由管理模块用于实施策略的至少一个方面的机器可读内容。在一些情况下,机器可读内容可对应于管理模块可装载的可执行指令(例如代码),允许管理模块自此后识别与该策略相关联的对象。
根据另一示例的方面,监控功能可用于判定在策略的应用中是否发生了异常。例如,在期望调用策略的触发线索存在的那些情形下,监控功能可判定调用策略的触发线索是否仍存在于环境中。如果该测试不满足,则监控功能可以采取一种或多种威胁改善措施。
总之,上面概述的功能提供了易于适应且应用不可知的方法来控制环境感测应用与其环境交互的方式。证书的功能的使用以及监控功能减弱了个体恶意或者无意地将欺骗策略引入环境中和/或从环境去除有效策略的能力。
上述方法能够在多种类型的系统、组件、方法、计算机可读存储介质、数据结构、图形用户接口呈现、制品等中表现。
提供该概述为以简化形式引入概念的选择;这些概念将在下面的具体实施方式中进一步描述。该概述不意在确定权利要求主题的关键特征或重要特征,也不意在用于限制权利要求主题的范围。
附图说明
图1示出了用于管理应用消费关于环境的信息的方式的示例性的框架。
图2示出了可应用图1的框架的示例性的场景。
图3示出了响应于图2的场景,由图1的框架产生的示例性的输出呈现。
图4示出了作为图1的框架的组件的管理模块的进一步的示例性的细节。反过来,该管理模块包括识别系统和策略处置模块。
图5示出了图4的管理模块的一个实现方式。
图6示出了图4的识别系统的一个实现方式。
图7示出了图4的识别系统的又一具体的实现方式。
图8示出了作为图4的策略处置模块的组件的策略识别模块的一个实现方式。
图9示出了可由图1的框架中的受信通行证授权(PA)实体生成的示例性的数字证书。
图10示出了作为图4的策略处置模块的组件的行为管控模块的一个实现方式。
图11是示出了策略处置模块的对带外策略进行处理的图。
图12是示出了策略处置模块的对带内策略进行处理的图。
图13是示出了策略处置模块的对多事件流进行处理从而检测策略的图。
图14是示出策略处置模块可使用在第一事件流中检测到的触发线索来修正第二事件流中的信息的一种方式的图。
图15是示出策略处置模块可在检测触发线索时减少抖动的一种方式的图。
图16是描述PA实体(图1)能够发布证书的一种方式的流程图。
图17是描述图4的策略处置模块的一种操作方式的流程图。
图18是描述(图4的)策略处置模块可以对在策略实施中遇到的异常做出反应的一种方式的流程图,例如去除环境中的触发线索。
图19示出了能够用于实现前述图中所示的特征的任意方面的示例的计算功能。
在公开和图中使用相同的标记来指代相似的组件和特征。100系列数字指代图1中最初出现的特征,200系列数字指代图2中最初出现的特征,300系列数字指代图3中最初出现的特征,等等。
具体实施方式
本公开组织如下。A部分描述了示例的环境感测框架,其中由与被感测环境中的特征相关联的策略来控制应用,并且其中受信通行证授权(PA)实体担保那些策略的真实性。B部分阐述了示例的方法,其说明了A部分的功能的操作。C部分描述了示例的计算功能,其能够用于实现A和B部分中所描述的特征的任意方面。
作为初步事项,一些图描述了一个或多个结构组件的上下文中的概念,多样化地称为功能、模块、特征、要素等。图中所示的各组件能够通过任何物理和有形的机制以任何方式实现,例如,通过在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等等、和/或其任意组合。在一种情况下,图示的图中各组件分离成不同的单元可以反映在实际的实现方式中使用对应的不同的物理和有形组件。可选地,或者另外地,图中所示的任何单个组件可以由多个实际的物理组件来实现。可选地,或者另外地,图中任意两个或更多个分离组件的描绘可以反映由单个实际物理组件执行的不同功能。将要顺次描述的图19提供了关于图中所示的功能的一个示例的物理实现方式的额外细节。
其它图描述了流程图形式的概念。在该形式中,一些操作被描述为构成以某顺序执行的不同框。这些实现方式是示例性的,而非限制性的。本文描述的一些框能够组合在一起且在单个操作中执行,一些框能够分解成多个组件框,一些框能够按不同于本文图示的顺序来执行(包括执行框的平行方式)。流程图中示出的框能够通过任何物理和有形机制以任意方式实现,例如,通过在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任意组合。
关于术语,短语“被配置为”涵盖了任何类型的物理和有形功能能够被构造来执行确定的操作的任意方式。功能能够被配置为使用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任意组合来执行操作。
术语“逻辑”涵盖了任何用于执行任务的物理和有形的功能。例如,流程图中所示的每个操作对应于用于执行该操作的逻辑组件。能够利用例如在计算机设备上运行的软件、硬件(例如,芯片实现的逻辑功能)等、和/或其任意组合来执行操作。当通过计算设备来实现时,逻辑组件代表了作为计算系统的物理部分而实现的电气组件。
下面的说明可以确定一个或多个特征为“可选的”。这类型的陈述不解释为可视为可选的特征的穷尽表示;也即,其它特征可视为可选的,虽然在本文中没有明确地标识。最后,术语“示范性的”或“示例性的”是指许多可能的实现方式中的一种实现方式。
A.示例性的环境感测框架
A.1.框架概览
图1示出了包括与单个计算设备或两个或更多个计算设备相关联的功能104的环境感测框架102(“框架”)(为简化说明,下面计算设备将以单数形式提及)。在用户或其它控制实体的指导下,计算设备及其功能104在环境106内操作。更具体地,框架102托管(host)了功能104的多个这样的实例,每个实例与在相应环境中操作的至少一个计算设备相关联,且在相应的用户或其它实体的控制之下。图1仅示出了功能104的单个代表性实例及其环境106来简化说明。
计算设备可对应于执行计算功能的任何类型的设备,诸如传统意义上的固定个人计算设备、膝上型计算设备、机顶盒设备、游戏控制台设备、智能手机或其它移动电话设备、便携式数字助理设备、平板式或触针式计算设备、媒体播放设备、电子书阅读器设备、便携式游戏机设备、可佩戴计算设备,等等。
功能104可视为与不同意义上的计算设备相关联,对应于不同的相应实现方式。在第一情况下,功能104与计算设备相关联,因为其由计算设备的壳体或者设备本身的其它部分所围。可选地,或者另外地,功能104与计算设备相关联,因为其在本地与计算设备耦合。可选地,或者另外地,功能104与计算设备相关联,因为其能够由计算设备访问,但是不一定在本地与计算设备相关联。
功能104托管了一个或多个增强现实应用108和/或任何其它环境感测应用的集合。一般地,应用108执行相应的功能,这涉及到接收和消费已从环境106提取出的信息。事实上,一些应用108可通过连续地感测和处理从环境106提取的信息而操作。从这种应用108的视角看,感测环境106的感测机构(未示出)连续地在其活跃(“ON”)状态下操作。
功能104可以任何方式从任何源获得应用108。在一种情况下,用户能够显式地下载或以其它方式从任何源获得环境感测应用,诸如这种应用的在线市场。在另一情况中,用户可以更被动地选择应用,诸如通过访问调用应用的在线网站。应用一般对应于以任何计算语言或计算语言的组合表达的计算机实现的指令的主体。
功能104的操作可涉及到两个主要的信息流。在第一主流中,基于策略的管理模块110(自此后,简称为“管理模块”)从环境106接收信息。更具体地,环境106可被认为包含多个特征,对应于环境106内的不同对象、位置、事件等。在一个实现方式中,管理模块110使用生成事件的识别系统(下文将要说明)。每个事件表征环境106中的一个或多个感测的特征。例如,一个事件可以确定环境106中存在人。另一事件可以确定人所采取的措施。另一事件可以描述该人的面部。另一事件可以确定由无线电的源生成的信标的存在,等等。管理模块110还可以从一个或多个附加源(诸如公共可获得的数据库和/或私有数据库,等)接收与环境106有关的增补信息。
基于采集的事件,管理模块110确定零个、一个或多个策略。每个策略管控一个或多个应用108的行为。例如,一些策略可以控制应用108被允许从环境106提取的信息。例如,这些策略可以规定可发送到一个或多个应用的事件。另外,这些策略中的一些策略还可以规定在事件被发送到应用之前,要对事件执行的处理。
例如,上述类型的第一示例策略可以规定不允许一个或多个应用接收任何在健康俱乐部的浴室中捕获的视频信息。第二策略可以规定在语音识别器已经检测到短语“不许记录”之后不允许一个或多个应用接收任何视频信息;不许记录状态保持有效,直到语音识别器检测到“开始记录”音频消息。第三策略可以规定允许一个或多个应用从环境106接收视频信息,但是仅在出现于视频信息中的面部已经适当模糊化之后。第四策略可以执行与第三策略相同的面部模糊化功能,但是仅针对对于执行记录的用户而言是陌生人的人;管理模块110能够使用面部识别器来区分陌生人和用户熟悉的人。
另外,或者可选地,一些策略可以管控一个应用被允许与另一应用或另一实体共享的信息。另外,或者可选地,一些策略可以管控应用被允许发送到输出设备的信息。另外,或者可选地,一些策略可以管控应用被允许实施的代码,等等。
在第二主流中,应用108将输出信息提供给共享渲染器112。共享渲染器112基于输出信息来更新共享状态信息。共享渲染器112然后基于共享状态信息来生成输出呈现,其将输出呈现提供给一个或多个输出设备114,诸如计算设备的显示机构。
功能104的管理模块110和共享渲染器112可以表示由计算设备提供的受信功能。例如,计算设备的受信操作系统可以实现共享渲染器112和管理模块110。相比而言,应用108可对应于非受信模块。
本公开的随后的部分更加详细地描述了管理模块110的操作。通过此处的概述,管理模块110可以基于与一个或多个策略相关联的策略信息来管控应用108的行为。策略信息的实例可以包括信息的多个组件。一个组件对应于许可授予信息,这描述了对应的策略施加的约束,诸如通过规定当用户正在浴室中操作计算设备时,策略禁止所有应用(或一些应用)记录环境106。
在一种方法中,管理模块110可以响应于检测到环境106中的触发线索而接收对应于特定策略的策略信息。一些触发线索对应于明确地确定策略的环境106中的特征。例如,明确的触发线索可以包括但不限于:任何类型的可视觉识别码,诸如条形码、快速响应(QR)码、颜色码,等等;字母数字标签,诸如读作“不许记录!”等的标题;指示器(telltale)姿势等,诸如当用户用他或她的手掌做出停止姿势时;口语消息,如当用户讲出短语“停止记录”时;承载代码或消息的信号,诸如无线电信标,超声信号,等等。
可选地,或者另外地,触发线索基于环境中的自然对象和/或事件来隐式地确定策略。例如,管理模块110可以在检测到以下隐式线索中的任一个时来选择限制记录模式:关闭门;类似便器的物体或冲洗式的声音;通信参与者中的低语;一天中的时间;一周中的一天;位置,等等。
或者,管理模块110能够使用任何显式和/或隐式证据项的汇聚来判定环境106的特性,例如如果一组N个可能的证据项中的任何x个证据项表明用户存在于该环境中,则判定用户存在于浴室环境中。
一旦策略被触发,管理模块110能够从不同的源获得与调用的策略相关联的策略信息。例如,在一种情况下,管理模块110可以从环境106本身获得至少一些策略信息。例如,管理模块110能够从浴室内的无线电信标提取策略信息;换言之,该信号可以既调用策略,又描述该策略的特征。
可选地,或者另外地,管理模块110能够从本地和/或远程源获得至少一些策略信息,本地和/或远程源意指相对于计算设备的位置在本地或远程的源。例如,考虑触发策略的线索对应于QR代码的示例情况。该QR代码可以传送指向本地源的链接,诸如存储在提供关于策略的信息的本地数据库中的文件。可选地,或者另外地,链接可以对应于指向远程站点的统一资源定位符(URL)等,诸如提供关于策略的信息的远程数据库。在从远程源获得信息时,管理模块110能够可选地将其存储在本地库中,以使其自此后在策略后续调用时更易于供管理模块110使用。如果管理模块110不能立即访问远程源,则其可以缓冲查找请求且稍后再次尝试。
另外,或者可选地,管理模块110能够在任何策略调用之前接收策略信息。例如,在初步配置操作中,当计算设备遇到与那些策略相关联的触发线索时,管理模块110可以接收并存储为随后可能调用的一组策略提供策略信息的文件。上述场景是示例性的,而不是穷尽性的;管理模块110能够从另外的源获得关于策略的信息。
要解释框架102的另外的方面,首先考虑与确定的策略信息的实例相关联的特定策略的示例性的本质。策略的目标是针对环境中确定的目标特征,将某权利给予一个或多个应用。例如,目标特征可以对应于人、无生命对象、地理区域、建筑物、房间等。
在许多情况下,人、人群、或其它类型的实体对于确定的目标特征享受设定策略的特权。该实体在本文称为授权实体,或者不太正式地称为策略的“所有者”或控制代理。例如,考虑目标特征对应于例如从无生命对象(汽车、房屋等)选出的人所拥有的对象以及人本身(他本身或她本身)的特征(他或她的面部、语音等)的情况。该人可对应于被赋权来设定用于该对象的策略的授权实体。在其它情况下,授权实体可对应于“拥有”该目标特征的人群。例如,镇区可以设定关于在其公园或其它公共区域中发生的记录的策略。在其它情况下,授权实体可对应于代表其它人设定策略的代理。例如,父母可以代表他或她的孩子来设定策略,雇主可以为其雇员设定策略,等等。
在框架102的一个实现方式中,任何策略可以绑定到操作计算设备的终端用户,或者非绑定。在后者情况下,用户可以由于任何原因凌驾于该策略。然而,框架102可以对用户凌驾于由旁观者而不是用户他本身或她本身授权或发起的策略的能力施加更多约束。
管理模块110可能在施行由不同实体授权和“拥有”的策略时遇到若干挑战。在第一挑战中,两个或更多个实体可以基于所有权的有效权利要求来设定关于相同目标特征的策略。例如,雇主和雇员两者可以设定与应用记录雇员的面部的能力有关的策略。那些策略可能冲突,因为雇员可能禁止记录,但是雇主可允许记录,或者反之亦然。子部分A.5描述了用于解决该挑战的技术。简言之,管理模块110能够将各种规则应用于排序冲突策略,然后选择顶级策略。另外,或者可选地,在决定哪个策略应用于目标特征之前,管理模块110能够从计算设备的用户(或者某其它实体)请求指令。
在另一情况下,实体可以设定即使实体不是该特征的授权实体也会影响目标特征的策略。实体可能以恶意或非故意方式执行该动作。例如,考虑策略由QR代码的检测触发的示例的情况。恶意行动者可以创建欺骗性的QR码并且在特定位置处(诸如在特定建筑物的特定房间中的墙壁)将其粘贴到有效QR码上。或者,恶意行动者可以从第一位置去除QR码并且将其放置在第二位置,使曾经合法的QR码为现在欺骗性的QR码。在任一情况下,欺骗性的QR码会导致读取它的计算设备执行可能非期望的动作,诸如当不允许记录时记录环境106,或者当期望记录时未能记录环境106。甚至更令人烦恼的是,QR码可允许与欺骗性的QR码串联工作的恶意应用将隐私信息发送到恶意站点,诸如通过将视频捕获的信用卡号码发送给恶意站点。根据另一策略,恶意实体可以简单地在特定位置处去除存在的QR码,其具有去除在该位置与QR码相关联的任何记录相关的规则的效果。
在更无辜的情形下,雇员可能将不正确的QR码错放到会议室,或者错误地去除现有的QR码。该雇员可能认为,他或她具有执行该动作的授权,但是实际上,雇员缺少该授权。
实体可能以类似的方式篡改其它类型的线索。例如,恶意实体可能尝试阻挡(例如,堵住)无线电信标,和/或引入欺骗性的无线电信标,等等。
框架102包括各种解决上述类型的与策略真实性有关的威胁的机制。根据第一机制,框架102提供通行证授权(PA)实体116。PA实体116发布用于相应策略的数字证书。对于应用于目标特征的对应策略,每个证书充当策略由目标特征的所有者创建的证明。进一步,PA实体116可以利用其私钥118来签署证书。证书的接收者可以使用对应公钥(例如,由管理模块110使用的公钥120)来对证书解密,并且如果解密成功,则因此证实其源自PA实体116,而不是某其它实体。
证书可以提供与其对应策略有关的信息的各个项。例如,证书可以提供描述策略打算被在环境内应用的上下文的上下文信息。例如,上下文信息可以表明,策略仅当计算设备在距无线电信标的一定接近度内时才应用,例如表明计算设备在特定建筑物或房间内。管理模块110能够使用上下文信息来判定策略是否正确地应用于已经遇到的实际上下文。例如,QR码可以在特定位置触发特定策略,但是上下文信息可以表明,策略不意在应用于该位置。作为响应,管理模块110可以选择忽略策略,或者采取某其它实现方式特定的措施。
另外,或者可选地,证书可以提供机器可读内容,诸如可执行指令、配置设置、元数据等。管理模块110能够使用机器可读内容来配置自身,使其能够实施考虑中的策略的某方面。例如,机器可读内容可对应于可执行代码。管理模块110能够使用可执行代码来识别环境106中的特定线索,而当遇到时,其将触发考虑中的策略。
另外,证书可以提供许可授予信息,其描述了由策略给予一个或多个应用的许可。证书可以包括另外的信息项。
更一般地,在一种情况下,数字证书封装且传送与策略相关联的全部策略信息,包括上述许可授予信息。在另一情况下,数字证书还可以担保不是由数字证书本身传送的策略信息的其它方面的真实性。例如,策略信息可以对应于连同分开的证书一起的许可授予信息;证书担保许可授予信息的真实性。然而,为了简化说明,自此后假设数字证书包含与策略有关的全部信息。
然而,在一些实现方式中,不是所有策略都具有对应的证书。在一些情况下,例如,存在恶意实体能够劫持策略的低风险。在其它情况下,存在恶意实体可以侵占策略的风险,但是由这种误用导致的可能的破坏不大。目标特征的所有者可以可选地选择在上述示例情况下省略该目标特征的证书。与不具有证书的策略相关联的策略信息可对应于未签署的许可授予信息和/或其它信息的实例。
管理模块110能够以不同的情况特定的以及实现方式特定的方法来处置证书的缺失。例如,管理模块110能够评估缺失证书的风险(基于多种因素),并且然后如果认为恰当则采取各种威胁改善措施。例如,管理模块110能够在某些情形下拒绝应用缺少证书的策略;在其它情形下,其可以应用该策略,但是给予用户警告消息。
任何类型的装备能够用于实现PA实体116。例如,在一种情况下,PA实体116可以利用一个或多个服务器计算设备、关联的数据库等来实现。本文称为请求实体的一方可以与PA实体116交互以达到对于其打算拥有的目标特征来创建证书的目的。请求实体能够使用各种设备以及经由各种通信信道来执行该交互。例如,PA实体116可以利用任何类型的计算设备来提供请求实体可与其交互的安全的网站。
在操作中,请求实体可以提交PA实体116所请求的无论任何证明来满足PA实体116:请求实体实际上是所争论的目标特征的所有者。在各情况下,证明取决于目标特征的本质以及PA实体116的实现方式特定的需求。引用示例性的示例,假设人希望设定将阻止其它人记录他或她家内部的策略。该人可通过证明他或她拥有所争论的家或者至少居住在那里,来证明他或她有权设定该策略。在另一情况下,假设人希望设定将阻止其它人记录他或她的面部的策略。该人可通过提交诸如驾驶证、护照等适合的资料来证明她“拥有”他或她的面部。
在图1的示例的上下文中,一个或多个策略所有者可以操作计算机系统122来与PA实体116交互。PA实体116随后可以将发布的证书存储在一个或多个数据库124中。在一种情况下,例如,PA实体116可以管理作为网络可访问站点的部分的数据库124。可选地,或者另外地,每个所有者可以提供存储其目标特征的证书的数据库。
上面的说明书已经阐述了管理模块110可以获得策略信息的多种方式。在证书可对应于用于提供对应策略的一些或全部策略信息的媒介物的范围内,管理模块110可使用任何上述技术来获得证书。例如,管理模块110能够通过从远程源(诸如数据库124)和/或本地源取回证书来获得策略信息。进一步,管理模块110可以在策略被调用时和/或在调用策略之前获得证书。如果从远程源获得证书,则管理模块110可以将证书缓存在本地库中,使得在再次遇到相关联策略时其更易于可用。管理模块110还能够以任何方式来管理其本地存储的证书。例如,每个证书可以包括表明其为有效的时间跨度的时间信息。管理模块110能够执行周期性和/或偶发的维护来删除已经过期的证书,以及获得这些证书的更新版本。
在一些实现方式中,用于策略的策略信息可包括未被证书本身传送的信息的一些项。在那些情况下,管理模块110能够从单个源或者从不同的相应源获得不同的多条策略信息。管理模块110能够进一步使用单个协议来收集不同的多条策略信息或不同的相应协议。
计算机网络126可允许框架102内的各种实体彼此通信。计算机网络126可对应于局域网、广域网(例如,因特网)、点对点链接,等等,或者它们的任意组合。例如,所有者可以使用计算机网络126来与PA实体116交互。管理模块110还可以使用计算机网络126来从数据库124接收证书,等等。
虽然图1中没有显示,框架102还能够提供监控功能。该监控功能可检测策略实施中的异常。在一个这样的情况下,监控功能能够推断与策略相关联的触发线索已经从环境中被恶意地或非故意地去除。监控功能随后可以采取下面要描述的一种或多种威胁改善措施。
总之,框架102允许计算设备主要基于环境内的调用对应策略的线索来控制应用消费来自环境106的信息的方式。用户以及其它“拥有”或以其它方式控制目标特征的实体以用户驱动的分布的方式限定用于那些特征的策略。受信PA实体116校验设定策略的实体有权这样做,并且提供能够用于判定在特定情形下应用策略是否合适的其它信息。框架102以应用不可知方式来应用全部这些服务,例如,通过利用计算设备的受信管理模块,其可由计算设备的相应的操作系统来实现。
框架102可以提供多个优点。非穷尽性的和示例性的可能益处的列表如下。
首先,框架102具有对许多不同应用的广泛应用,主要是因为它本质上是应用不可知的。换言之,应用接收框架102的服务,而不是以特别的以及应用特定的方式在其应用代码内实现那些服务。
第二,框架102在解决隐私担忧时减轻了对应用开发者的负担,也是因为框架102利用管理模块110来处置安全性,而不是将那些操作委托给应用。同时,框架102不排除以应用为中心的安全解决方案的使用(诸如显示和提示),其可作为框架102提供的那些服务的增补服务来操作。
第三,框架102将统一的隐私相关体验提供给环境感测技术的用户,以及那些受其使用影响的旁观者。该优点促进了对该技术的熟悉,这反过来可以促进该技术的接受。虽然一般体验是统一的,框架102还授权给个体用户来以精细的以及可能特殊的方式来设定策略,例如通过将用户定义策略附着到环境中的具体特征。换言之,受环境感测技术影响最大的用户是最终针对世界的“事物”定义策略的主代理。
第四,例如,通过消除或减少用户交互(例如,通过使用提示,等等),框架102减轻了在环境感测技术的使用期间对于终端用户的负担。
第五,框架102提供关于其策略的应用的一系列防护措施。一种这样的防护措施对应于其对受信管理模块110在施行策略方面的使用。另一防护措施对应于其对证书的使用以及帮助确保策略有效且正确应用的监控功能。这些防护措施可进一步促进环境感测技术的公共接受。
A.2 示例方案
图2示出了框架102可应用于控制环境感测应用与感测的环境交互的方式的场景。在该仅示例性的情况下,假设至少一些环境感测应用寻求从环境捕获视频信息以及因各种原因而处理该视频信息。例如,这种类型的增强现实应用可寻求从环境捕获视频信息以及随后将描述性标签添加到环境中被识别的对象。该增强现实应用可产生将自现场捕获的视频信息与其添加的标签进行组合的输出呈现。
如图2所示,真实世界设置202包括站在白板206之前的第一人204。在其它特性当中,第一人204拥有面部208,以及佩戴载有标签的徽章210。此外,第一人204采用了他的胳膊212外伸的姿态。在真实世界设置202中还可能发生各种动作。例如,第一人204正在用他外伸的手做出姿势214,前后摆动好像表明不同意。白板206包括书写216和载有代码的标签218。
真实世界设置202还包括一个或多个信号源220,诸如任何电磁信号源(无线电信号、微波信号、红外信号、磁信号等)、声信号源(例如超声信号等),等等。一些信号源220可以相对于立即感测的环境(诸如Wi-Fi接入点源)是本地的。其它信号源220可以是远程的,诸如无线电塔、卫星源等等。环境感测框架102能够使用任何技术来处理来自源220的信号,诸如技术,航位推测技术,三角测量技术,全球位置检测技术,声音检测技术,等等。
第二人222利用诸如智能手机、平板计算设备等的计算设备224来捕获上述现场。计算设备224实现图1所示的功能104的至少部分。更具体地,第二人222定向计算设备224,使得其视频照相机(未示出)捕获至少第一人204和白板206的视频表示。计算设备224还能够包括一个或多个其它环境感测机构,诸如但不限于一个或多个麦克风、一个或多个运动感测设备(诸如一个或多个加速度计、一个或多个陀螺仪等),等等。这些其它感测机构可以捕获真实世界设置202的其它方面。
计算设备224还可以包括一个或多个输出设备,诸如显示机构226。显示机构226提供由在当前时间运行的环境感测应用产生的输出呈现。在图1所示的场景中,从第二人222的有利点看,显示机构226充当真实世界设置202的“窗口”。换言之,呈现在显示机构226上的内容将实际的世界镜像在计算设备224的前面,就好像用户正在通过窗口看世界一样。
在图2的情况下,第二人222指向计算设备224,使得视频照相机的视场被引导远离第二人222。但是,其它布置可用于输送增强现实体验。在另一情况下,例如,第二人222可以在与多个视频照相机相关联的视场内操作,这样从不同有利点捕获第二人222。第二人222可以消费由任何输出设备(诸如通常放置在第二人222前面的显示监控器(未示出))上的环境感测应用所产生的输出呈现。
在另一情况下,第二人222可经由任意类型的可佩戴计算设备与环境感测应用交互。例如,该计算设备可固定到眼镜、服装、手表、珠宝、徽章、或其它可佩戴物品上。任何类型的感测机构和输出设备可固定到可佩戴物品或以其它方式与可佩戴物品相关联。例如,固定到眼镜的视频照相机能够捕获在第二人222前面的现场的视觉表示,而固定到眼镜的显示机构可以输送由环境感测应用提供的输出呈现。上述的形状因子是通过示例而不是限制的方式引用的;此外其它布置是可能的。
总之,图2所示的环境包括多个触发线索。每个这样的触发线索调用特定策略。每个策略反过来与由授权实体“拥有”的环境中的特定目标特征相关联。
例如,载有代码的标签218可以与第一策略P1相关联。该策略可约束应用捕获白板206的视频信息的方式。对应于该触发线索的目标特征是白板206。假设白板出现在公司的房间内,并且该公司因此是该目标特征的授权实体。
徽章210与第二策略P2相关联。该策略可以约束应用捕获第一人204或者仅第一人的面部208的视频信息的方式。在该情况下,目标特征对应于作为整体的第一人204,或他的面部208。在该情况下,授权实体可能对应于第一人204。虽然没有显示,由第一人204做出的摇动姿势214可以与由第一人204所“拥有”的另一策略相关联。
可对应于(例如)无线电信标的信号源220与第三策略P3相关联。该策略可约束应用在城市特定区域内操作的同时一般捕获视频信息的方式。在该情况下的目标特征对应于城市的特定区域。在该情况下授权实体对应于城市,其可通过适当授权的表示而行动。在另一情况下,信号源220可对应于声发射器,诸如超声源。与该源相关联的策略P3可应用于计算设备的声检测器(例如,麦克风)能够“听到”该源发出的信号的任何地方,这可对应于建筑物的特定部分,例如个体房间。
能够理解,图2的真实世界设置202可包含与相应策略相关联的任何附加类型的触发线索。
图3示出了响应于图2的场景,由框架102生成的示例性的输出呈现302。假设第一策略使得管理模块110在将该视频信息发送到应用之前,去除与书写216相关联的现场的视频部分。假设第二策略使得管理模块110类似地在将该视频信息发送到应用之前,去除与第一人面部208相关联的现场的视频部分。假设第三策略对视频信息的收集没有施加任何约束,但是可以阻挡音频信息传递到应用。假设至少一个应用以标签304来注释输出呈现302,其确定在输出呈现302中的个体的姓名(如果对于基于面部检测技术的应用是已知的)。
在上述示例中,策略以相同的方式影响所有的应用。但是不一定是这种情况。策略能够规定许可第一应用接收视频信息,但是不许可第二应用接收视频信息。例如,第一应用可以比其它应用享有更多特权,因为第一应用是受信的,而第二应用不是。例如,考虑公司创建消费从环境提取的信息的特定本地应用的情况。公司可以创建用于其园区的策略,其准许其自身的应用偏好状况(相对于其它人的应用)。
A.3.管理模块
图4示出了在图1的上下文中引入的管理模块110的一个实现方式。管理模块110包括三个主要的组件:环境感测机构402、识别系统404和策略处置模块406。
环境感测机构402包括用于从环境106收集知觉信息(也称为原始数据)的任何传感器和设备。环境感测机构402可以包括例如在以下非穷尽列表中的任意机构:视频照相机、静态图片照相机、深度照相机设备(诸如由华盛顿州的雷德蒙德的公司生产的KinectTM设备)、麦克风、语音识别机构、任何类型的生理传感器、运动感测设备(诸如加速度计、陀螺仪等)、位置感测设备(诸如GPS机构、航位推测机构、三角测量机构等)、嗅觉输入设备、振动检测设备、压力计等等。
一些感测机构402可以集成到与计算设备相关联的壳体中。其它感测机构402可与计算设备通信地耦合,但是在计算设备的本地。其它感测机构可以关于计算设备被远程地定位。其它感测机构可以分布在多个位置上。
一些感测机构402还可以具体被配置为检测在环境106中存在触发线索。例如,视频识别器可被设计,在窄范围内调整以检测QR码,而不是提供QR码出现的整个现场的高品质图像。框架102能够受益于这种感测机构的使用,因为:(a)相比于通用感测机构,其可以提供更精确的信息;和/或(b)相比于通用感测机构,其可以消费更少的资源(例如,电力资源)。
识别系统404接收并处理由感测机构402提供的知觉信息,以提供事件集合。每个事件表达环境106的某个特征,诸如对象、事件等。每个事件确定其所源起的识别器。每个事件还包括以任何方式表达的描述该特征的有效载荷(例如,使用数据结构等)。数据库408可以缓冲事件。
更具体地,识别系统404可使用识别器集合来产生事件。每个识别器接收输入信息,将一些预定操作应用于输入信息以产生输出信息,以及提供表达输出信息的事件。输入信息可源自于一个或多个感测机构和/或一个或多个其它识别器。例如,语音识别器可以将从麦克风接收到的原始音频信息转换成识别的字流。在该情况下的特定事件可对应于在特定时间帧下识别的一个或多个字。代码识别器可将由视频照相机产生的视频信息转换成数字代码。在该情况下的特定事件可对应于从一个或多个视频帧提取的代码信息。
策略处置模块406基于事件来判定策略(如果有),然后基于策略来管控应用108的行为。要执行该任务,策略处置模块406包括策略确定模块410、许可设置模块412、数据库414、以及应用行为管控模块416。
策略确定模块410基于如数据库408中的事件所表达的环境106中的线索,检测一个或多个策略的存在。例如,由代码识别器生成的事件流可以表明触发代码承载线索的存在。策略确定模块410还执行在后面的子节中描述的其它功能,诸如基于其相应的数字证书来验证策略。许可设置模块412基于由策略确定模块410确定的策略,在每个应用的基础上设置应用许可信息。数据库414存储由许可设置模块412生成的应用许可信息,其可以部分地包括访问控制列表中的条目。在缺失发现的影响应用的权利的策略的情况下,数据库414可以为该应用提供缺省应用许可信息。应用行为管控模块416基于存储在数据库414中的应用许可信息来管控一个或多个应用108的行为。
图5示出了与图1的功能104的一个实例相关联的能够实现图4的管理模块110的一个计算机实现的系统502。系统502包括本地计算设备504,诸如在子节A.1中提到的任意类型的计算设备(例如,智能电话、平板式计算设备等)。在一种情况下,本地计算设备504实现管理模块110的全部方面。
在另一实现方式中,本地计算设备504能够利用本地资源506来实现管理模块110的一些方面,而远程计算框架508可以实现管理模块110的其它方面。远程计算框架508可以实现为一个或多个远程服务器计算设备。本地计算设备504可以经由诸如局域网、广域网(例如,因特网)、点对点链接等的任何计算机网络510来与远程计算框架508交互。
在一个示例性的功能分配中,本地计算设备504能够实现一个或多个本地识别器,而远程计算框架508能够实现一个或多个远程识别器。因此,在该系统502中的识别系统404分布在至少两个不同的位置上。更具体地,远程计算框架508能够处置识别系统404中的计算最密集的识别器,诸如那些执行复杂的图像处理任务(诸如在一种情况下为面部识别任务)的识别器。
远程计算框架508的远程组件(诸如远程识别器)可同时提供服务给任意数量的本地计算设备。例如,远程组件可以将服务提供给本地计算设备504和另一本地计算设备512。通过这种方式,远程组件模拟虚拟机的操作(通过将服务提供给同一物理平台上的两个或更多个独立任务)。
A.4.识别系统
图6示出了图4中介绍的识别系统404的一个示例性的实现方式。如前面的子节中阐述的,识别系统404通过从一个或多个感测机构402接收知觉信息而操作。识别系统404然后利用一个或多个识别器来分析知觉信息。每个识别器将输入信息变换成输出信息。输出信息表达输入信息的某方面,本文称为事件。
馈送给任何识别器的输入信息可以源自于一个或多个其它的识别器。然后,整体上,识别系统404形成由一个或多个识别器构成的数据流图。识别系统404动态地构建数据流图以提供在特定时间运行的应用请求的无论何种事件。
图7示出了对于运行的应用的特定子集,在特定时间出现时的识别系统702的一个实现方式。识别系统702包括视频识别器704,其从视频照相机706接收原始RGB数据,并且将表达相同原始视频数据的事件输出。换言之,视频识别器704可以对应于驱动视频照相机706的驱动器。识别系统702还包括深度识别器708,其从深度捕获机构710接收深度图像,并且输出表达深度图像的深度事件。换言之,深度识别器708可以构成深度捕获机构710的驱动器。反过来,深度捕获机构710可以使用任何技术来生成深度图像,诸如结构化光技术、飞行时间技术、立体技术等等。在一种情况下,感测机构(例如,视频照相机706和深度捕获机构710)在连续访问状态下保持为“接通”,无论从这些机构的输出得到的事件最终是否到达应用108。换言之,如上所述,访问节流点是策略处置模块406,而不是感测机构402的接通/关断状态。
面部检测器识别器712接收由视频识别器704生成的RGB事件,以生成面部事件。如果人存在于现场中,面部事件包括描述现场中人的面部的数据,但是不会显现与面部相关联的全部RGB数据。骨架识别器714接收来自深度识别器708和视频识别器704的输入事件。基于这些输入事件,如果人存在,骨架识别器714生成描述现场中任何人的姿态的骨架事件。手识别器716接收骨架事件并且提供描述人手的位置和朝向的输出事件。代码识别器718确定承载代码的标签的存在,诸如QR码,并且确定与该标签相关联的代码。能够理解的是,通过示例的方式而不是限制的方式引用上述一组特定的识别器。
通过上述方式,策略处置模块406接收全部上述事件并且将它们缓冲在数据库408中。行为管控模块416然后咨询数据库414中的应用许可信息来判定是否将事件转送给已经请求了这些事件的应用。例如,应用A 720接收第一组事件,如果被许可,而应用B 722接收第二组事件,如果被许可。行为管控模块416可以可选地在将事件发送到请求的应用之前修改所述事件中的一些事件。
A.5.策略确定模块
图8示出了在图4的上下文中引入的策略确定模块410的一个实现方式。策略确定模块410包括或者能够概念化为包括执行相应任务的各个子组件。策略确定模块410的整体功能是将如由一个或多个事件所表达的环境106的特定“快照”与一个或多个策略相关联。
策略检测模块。首先,策略检测模块802检查已被接收的事件以判定它们是否传送触发线索,触发线索反过来调用相应的策略。策略检测模块802能够被配置为通过寻找由事件表达的指示器信息来确定触发线索的存在。在一种情况下,例如,策略检测模块802能够检查专用于检测一些线索的存在的识别器的输出流。例如,策略检测模块802能够通过检查专门设计成确定视频信息内的QR码的识别器的输出流来确定存在QR码。策略检测模块802随后能够判定检测的QR码是否指向策略,或者是否传送与策略信息的确定无关的一些其它信息。在另一情况下,策略检测模块802能够对一个或多个事件执行附加分析以判定触发线索的存在,诸如通过分析音频信息流来检测冲洗便器的声音;这样的事件表明用户正处在浴室环境中。
策略检测模块802可以通过咨询可配置且可扩展线索检测组件(未示出)来执行其分析。该组件可提供用于确定接收到的事件中的特定触发线索的存在的无论何种信息和/或代码。不太正式地讲,该组件告诉策略检测模块802在环境中寻找何种线索。
在检测到线索时,策略检测模块802能够取回关于线索的策略信息。例如,再假设事件流确定QR码的存在。策略检测模块802能够确定与QR码相关联的链接。策略检测模块802随后可以使用链接来取回关于与QR码相关联的无论何种策略的策略信息。如子节A.1.中所描述,策略检测模块802能够从任何本地和/或远程源来获得策略信息。在一种情况下,策略检测模块802接收数字证书,数字证书封装了全部的策略信息。在另一情况下,策略检测模块802从两个或更多个分开的源获得策略信息,其中一个可对应于证书。
映射模块。映射模块804可以将检测到的策略与对应于策略所属的对象或事件的目标特征相关联。在一些情况下,策略与目标特征之间的关联由策略信息本身明确地阐明。例如,图2的承载代码的标签218可指向策略信息,并且该策略信息可明确地规定所调用策略与白板对象有关。
在其它情况下,映射模块804能够使用各种方案来推断检测到的策略与目标特征之间的关联。在可视域内,例如,映射模块804能够将策略与位于在策略触发线索的指定距离内或围绕触发线索形成的定义的限界框内的无论何种对象相关联。通过利用由深度照相机提供的深度信息,能够以任意多种尺寸来评估距离。另外,或者可选地,映射模块804能够基于视频信息和/或深度信息来判定对象的边界,并且如果触发线索表现为位于边界内,则将策略分配给对象。例如,映射模块804能够判定与图2中的徽章210相关联的标签属于第一人204,因为徽章210位于与第一人204相关联的边界内。在其它情况下,识别的对象本身可以充当触发线索,诸如识别的人,识别的车辆,等等。此处,映射模块804能够将策略分配给识别的对象。映射模块102能够应用将策略与目标特征关联的其它方案。
冲突解决模块。冲突解决模块806处理了当两个或更多个策略与同一目标特征相关联且这些策略彼此冲突时发生的情况。例如,第一策略可以指示许可应用接收与人的面部相关联的面部数据,而第二策略可以指示抑制同一应用接收面部数据。冲突解决模块806能够使用从这些规则的可配置数据库(未示出)选出的不同的规则来解决这种性质的冲突。
在一种情况下,冲突解决模块806能够选择最保守的策略,并且因此是最安全的。在一种设置中,最保守的方案可以涉及对发送给应用的信息施加限制。在另一设置中,诸如在仓库监督环境中,更保守的选择可能需要允许应用记录环境。
可选地,或者另外地,每个策略可被加有优先级或其它类型的冲突解决信息的标记。冲突解决模块806能够挑选具有最高优先级的策略。在一种情况下,与策略相关联的策略信息能够关于一个或多个其它类型的策略来传送与策略相关联的优先级。事实上,在一种实现方式中,数字证书本身能够传送该信息。
另外,或者可选地,冲突解决模块806能够明确地询问正操作计算设备的用户如何解决冲突,尤其在没有其它从竞争策略中进行选择的基础的那些情况下。
在一些情况下,用户还可以选择凌驾于由策略确定模块410做出的特定策略推荐,例如通过忽略该策略,或者将推荐的策略替换成用户选定的策略。冲突解决模块806能够通过不同的方式来解决该情况。在一个实现方式中,每个策略被加有强制状况或建议状况的标记。强制状况例如可以表明,策略影响环境106内的其它个体的隐私,而不仅是执行记录的用户。与建议的策略相比,冲突解决模块806能够对用户凌驾于强制策略的能力施加更多的约束。例如,冲突解决模块806能够在用户寻求凌驾于强制策略时显示警告消息,并且可选地询问用户继续进行的明确许可,或者获得继续进行的额外授权。
最终,框架102不能强迫用户遵守其任意策略,因为用户可以决定使用遗留的记录设备来记录环境106,这不包含框架102的规定。尽管如此,框架102仍充当对认真的用户的关于特定环境内的期望的记录惯例的提醒。例如,框架102警告用户其它人的隐私担忧,否则这对于用户而言可能不是显然的。
策略验证模块。策略验证模块808判定确定的策略是否有效。有效性分析可以包括串行或并行地执行的多个阶段。在第一阶段中,策略验证模块808可以判定策略是否具有源自于PA实体116的数字证书。策略验证模块808能够通过使用PA实体116的公钥120解密数字证书来做出该判定。如果该解密成功,则PA实体116能够得出结论,数字证书源自于PA实体116。如果解密不成功,则策略验证模块808能够忽略策略,因为其可能源自于欺骗源。
策略验证模块808能够通过不同的实现方式特定的方法来处理完全缺乏数字证书的策略。在一些情况下,策略验证模块808可以忽略缺乏证书的策略,也即,通过不应用这些策略。在其它情况下,策略验证模块808可以指望各种因素来判定是否应用缺乏证书的策略,诸如劫持策略的风险,劫持策略造成的威胁,被感测的当前环境的性质,所争论的目标特征的性质,等等。另外地,或者可选地,策略验证模块808能够在其应用无证书的策略时提供警告消息给用户等;或者策略验证模块808能够在其应用可疑策略之前应用警告消息,与询问用户继续进行的许可的提示相耦合。
在验证处理的另一阶段中,策略验证模块808可以咨询由数字证书传送的上下文信息。上下文信息确定策略打算被在环境106中应用的上下文。策略验证模块808能够将所描述的上下文与策略在环境中应用的实际上下文进行比较。如果它们不匹配,则策略验证模块808可以忽略策略,或者采取任何其它上述实现方式特定的措施。
例如,考虑应用于特定的所有者房屋的策略。上下文信息可描述房屋,诸如通过提供与房屋相关联的限界框的GPS坐标。当该策略被调用时,策略验证模块808能够判定用户当前是否位于与房屋相关联的限界框内。如果没有,则策略验证模块808可以拒绝应用该策略。在其它情况下,上下文信息可以通过其任何其它属性来描述目标特征,例如其视觉和/或声音特性,等等。
策略验证模块808还能够应用另外的分析阶段来判定策略是否有效。策略验证模块808可以得出结论,如果策略通过其验证处理的全部阶段,则策略是有效的。策略验证模块808能够在任意分析阶段来执行其测试。在一种情况下,策略验证模块808在策略被调用时执行其测试,例如,在遇到与策略相关联的触发线索时。在另一情况下,策略验证模块808能够在环境内遇到策略之前执行至少一些测试。例如,在环境中遇到策略之前(假设所查验的证书是最新的),策略验证模块808能够在初步阶段判定策略是否是真实的(意思是其源自于PA实体116)。
策略验证模块808能够将策略信息存储在本地数据库810(和/或未示出的远程数据库)中。策略信息可以包括与策略相关联的证书的集合。
策略监控功能。策略监控功能812判定在一个或多个策略的应用中是否发生异常。策略监控功能812随后在检测到异常时采取一个或多个威胁改善措施。在一个特定情况下,策略监控功能812检测要么恶意地要么非故意地从环境中去除触发线索或者以其它方式禁用触发线索的情形并且对此做出回应。
策略监控功能812可以具有本地和/或远程组件。例如,策略监控功能812可以包括中央监控服务814,例如,如由与一个或多个数据库相关联的一个或多个服务器计算设备来实现。中央监控服务814可以与由记录环境的每个相应计算设备提供的策略确定模块410的每个实例所提供的策略监控模块816通信。中央监控服务814可以经由诸如因特网的任意类型的计算网络与本地监控模块交互。
在一个实现方式中,由中央监控服务814提供的异常检测模块818可以从由相应计算设备提供的策略监控模块816的不同实例接收报告信息。在图1的上下文中,报告信息的实例可以描述管理模块110在环境106内应用策略的方式。该报告信息反过来可以描述管理模块110在环境106内所遇到的策略触发线索。异常检测模块818随后可以确定在与特定环境相关联的策略的应用中的差异。
例如,异常检测模块818能够在它发现不同计算设备正在同一环境内应用不同策略时确定潜在的异常。在另一情况下,异常检测模块818能够在它发现一些计算设备正持续应用策略而其它计算设备没有应用时确定潜在的异常。当策略尚未被其所有者撤销时,异常检测模块818还能够在它发现一个或多个计算设备停止在环境中应用策略时确定潜在的异常(例如,因为它们停止检测触发线索)。
由中央监控服务814提供的措施采取模块820能够在它检测到很可能发生了异常情况时采取各种形式的威胁改善措施。例如,措施采取模块820能够对于正在操作看起来产生异常报告信息的计算设备的用户生成警报。另外地,或者可选地,措施采取模块820能够对在正在受影响的环境内操作计算设备的全部用户生成警报。另外地,或者可选地,措施采取模块820能够修改被授予在受影响的计算设备上运行的应用的许可,例如,在一些情况下防止应用记录环境106。另外地,或者可选地,措施采取模块820能够通知与行为不端的策略相关联的所有者。另外地,或者可选地,措施采取模块820能够派遣技术员来检查受影响环境中的感测机构,等等。
中央监控服务814还可以收集其它能够被用于改进策略的设计和应用的信息。例如,中央监控服务814能够接收指示在特定环境中大量用户正凌驾于特定策略的信息。中央监控服务814能够通知策略所有者,然后策略所有者可以决定做出各种改变来处理该情形,诸如通过松弛策略的一些约束来使其更可为终端用户接受。
可选地或者另外地,一些监控与威胁改善功能能够由策略监控模块816的每个本地实例来执行。例如,策略监控模块816能够存储管理模块在一定时间跨度内在特定环境中的行为的历史。策略监控模块816随后能够将在该环境中的管理模块的当前行为与过去的行为进行比较。如果存在异议,则策略监控模块816能够采取任意类型的威胁改善措施。例如,监控模块816可以在其做出以下判定之后采取正确措施,所述判定的内容为:特定策略在过去一个月中在特定浴室内活跃而现在不再活跃且该差别不能归因于已知的原因,例如接收到浴室的修改的策略信息,所述修改的策略信息由浴室所有者合法授权。在另一情况下,策略监控模块816能够在计算设备位于特定环境内的同时检测触发线索的突然去除,例如,指示无线电信标已经被堵塞或者以其它方式被某人禁用。
其它模块。最后,图8指示出策略确定模块410可以包括执行任何其它策略相关功能的任何其它策略分析模块822。
图9示出了与特定策略相关联的数字证书902的一个实现方式。证书902包括描述策略应用的上下文(或多个上下文)的上下文信息904。能够以不同方式来描述上下文,取决于与策略相关联的目标特征的性质。考虑目标特征对应于位置的情况。上下文信息能够描述策略应用的位置的限界框。考虑目标特征对应于特定汽车的另一情况。上下文信息能够以任何方式来确定汽车,诸如通过提供其牌照号(其能够由现场的视频照相机检测到)。考虑目标特征对应于普通类型的对象例如人脸的另一情况。上下文信息可以描述面部识别算法借以将面部数据与非面部数据区分的面部的普通视觉特性,等等。
证书902还包括可选的机器可读内容906,诸如指令(例如,代码等)、配置设置,等等。管理模块110能够使用机器可读内容906来配置其功能的任意方面以允许该功能更有效地检测和/或处理所考虑的策略。例如,机器可读内容906可以对应于实现由特定识别器使用的新的识别算法的代码。该识别器可以使用新算法来检测与跟证书902有关的策略相关联的触发线索。在另一情况下,机器可读内容906可以配置策略检测模块802来查找一个或多个事件中的特定类型的触发线索。在另一情况下,机器可读内容906可提供用于关于其它冲突策略对策略排序的算法,等等。在另一情况下,机器可读内容906可以在事件发送到订阅应用之前提供对事件执行后处理的算法。
在一些情况下,管理模块110能够在第一次遇到策略时,例如,当在环境中首次遇到用于策略的触发线索时装载证书(其提供机器可读内容906)之际,使用机器可读内容906。在其它情况下,管理模块110能够使用机器可读内容906以便在下一次在环境中遇到时更有效地处理策略,但是可能不是第一次。例如,管理模块110可以使用第一识别器算法来检测策略。该策略的证书反过来可以规定管理模块110可使用来更高效地且精确地检测策略的新的识别器算法。管理模块110可以在未来使用该新的识别器算法来检测策略。在子节A.1中描述的其它情形下,管理模块110能够在检测到对应的策略之前在初步配置操作中装载证书。
一般地,使用证书来传送机器可读内容906提供了一种在引入新的策略、新的识别算法等时动态地适应管理模块110的便利方法。该方面反过来贡献于管理模块110整体上的灵活性和可扩展性。
策略证书902还可以包括另外的信息项。例如,证书902可以包括许可授予信息908,其确定对应的策略给予一个或多个应用的许可。
A.6.行为管控模块
图10示出了行为管控模块416的一个实现方式,其基于在数据库414中提供的应用许可信息来管控一个或多个应用108的行为。
行为管控模块416包括事件转送模块1002,其基于应用许可信息来控制从识别系统404向应用108转送事件。输出判定模块1004控制每个应用被许可向诸如显示机构的每个输出设备发送何种类型的信息。输出判定模块1004还可以控制由第一应用生成的输出信息如何与由第二应用生成的输出信息交互。应用间共享模块1006控制每个应用被允许与其它应用和/或其它实体共享何种信息。其它行为相关模块1008指示行为管控模块416能够控制应用的行为的任何其它方面,诸如通过控制许可应用运行何种代码,通过控制照相机的闪光灯设备或电话的振铃器的开/关状态,等等。
事件转送模块1002能够以如下方式操作。在初步设置阶段中,每个应用能够将订阅请求转送给注册模块1010。每当那些事件出现在由识别系统404生成的事件流中时,该请求要求注册模块1010将规定的一组事件转送给应用。例如,特定的应用可以提供取决于现场中的人的识别的服务。因此,该应用将注册以接收由面部检测器识别器生成的事件。响应于订阅请求,注册模块1010将每个应用的订阅信息存储在数据库1012中,规定应用的请求事件。
当事件被接收到时,事件转送模块1002能够咨询每个应用的订阅信息(由注册模块1010维护),以及用于该应用的应用许可信息(在数据库414中维护)。如果订阅信息指示应用已请求事件,且应用许可信息指示应用有权接收事件,则事件转送模块1002能够将事件转送给该应用。
更具体地,在一些情况下,应用许可信息被叙述为二进制是/否决策。此处,如果订阅应用被许可接收事件,则事件转送模块1002将提供它;如果不许可,则事件转送模块1002将阻止应用接收它。在其它情况下,应用许可信息指示应用有权只在某规定的过滤被应用于事件之后,例如通过去除视频事件流中的字母数字内容,才接收事件。在一些情况下,事件转送模块1002能够利用事件后处理模块1014来主动执行这种过滤,也即,通过执行由识别系统404提供的事件的后处理。在其它情况下,事件转送模块1002可以从由不同的相应识别器生成的事件流中选择。例如,在上述示例中,事件转送模块1002能够选择由已经编校了其视频帧中的字母数字内容的识别器生成的事件流。
在许多情况下,事件转送模块1002能够丢弃未按照特定策略而送到特定应用的事件。在其它情况下,事件转送模块1002能够将这些被拒绝的事件中的至少一些缓冲在本地和/或远程库中。终端用户随后可以可选地访问与调用的策略相关联的决策,可能导致事件稍后被发送到已请求它们的应用。
A.7.示例性的策略调用细节
图11-15提供了关于策略处置模块406能够检测且应用不同类型的策略的一种方式的额外的细节。首先,图11示出了策略处置模块406处理带外策略的方式。策略处置模块406在遇到调用事件1102时调用这种类型的策略,例如在浴室入口处存在“停止记录”的记号。策略处置模块406在遇到撤销事件1104时中断策略,诸如在浴室出口处“开始记录”的记号,或者在检测到超时周期之际,等等。策略处置模块406在从调用事件1102延伸到撤销事件1104的跨度1106内保持策略处于活跃状态。策略处置模块406能够通过在调用事件1102被遇到时对应用许可信息做出首次改变以及当撤销事件1104被遇到时对应用许可信息做出第二次改变,例如通过对访问控制列表做出适当的改变,来实现上述行为。应用许可信息的当前状态控制在每个特定时间实例处行为管控模块416的操作。在上述示例中,撤销事件1104发生在与调用事件1102相同的事件流中,但是其能够可选地出现在由不同识别器提供的另一事件流中。
图12示出了策略处置模块406处置带内策略的方式。在该情况下,假设从识别系统404接收到的事件显现出某触发线索在规定的时间跨度1202内存在于事件流中。策略处置模块406在匹配的时间跨度1204内保持关联的策略。例如,策略处置模块406可以保持不许记录策略(只要其检测到视频信息的帧中的QR码),其中在一个特定情况下,QR码固定到特定对象(例如,信用卡)或人。再次,策略处置模块406能够设置反映在其被检测到的那些时间期间该触发线索的存在的应用许可信息;应用许可信息反过来控制行为管控模块416的操作。
图13描述了策略处置模块406使用两种类型的事件识别器的情况,两种类型的事件识别器依赖于不同的相应感测机构,或者相同的感测机构。此处,策略处置模块406检测由第一识别器生成的第一事件流中的模式调用事件1302。响应于模式调用事件1032,策略处置模块406调用计算设备的触发器检测模式,其中计算设备在环境中检查在另一事件流中后续触发事件的可能的出现,诸如在由第二识别器生成的第二事件流中嵌套的调用事件1304。响应于该嵌套的调用事件1304,策略处置模块406调用特定的策略。策略处置模块406可以当其在第一事件流中遇到模式撤销事件1306时中断其触发器检测模式。
在上述示例中,策略处置模块406使用带外操作模式来激活触发器检测模式。但是,策略处置模块406可以可选地利用带内策略(如图12所示),例如通过调用触发器检测模式(只要在第一事件流中检测到模式调用事件),来调用触发器检测模式。类似地,策略处置模块406可以利用带外或带内操作模式来检测第二事件流中嵌套的触发线索。
为提供具体的情况,策略处置模块406可以在其开始检测到由超声信标传达的触发代码时调用触发器检测模式。策略处置模块406随后可以检查由视频识别器生成的事件流来确定环境中的有色码的存在。该有色码可以调用指示计算设备编校被确定的颜色(与颜色码相关联)加颜色的任何对象的策略。
图13所示的策略可具有各种优点。例如,策略处置模块406能够在检测到策略存在时利用不同识别器的相应强度。例如,与视频识别器相比,超声识别器更不易于出错,但是它可能不能找到策略所应用的对象的精确位置。策略检测模块406能够因此使用超声识别器作为颜色码存在于普通区域(例如,在特定房间内)的可靠指示,并且然后使用视频识别器来检测与区域中的颜色码相关联的特定对象。另外,计算设备能够在其遇到模式调用事件时选择性地应用视频识别器,这样可以减少施加到计算设备上的总处理负担。
策略处置模块406能够以其它方式来利用多个事件识别器的使用。例如,策略处置模块406能够在检测到N个可能的触发线索中的任一个存在时或者当其检测到存在N个可能的触发线索中的任意两个或更多个时,确定策略的存在。一般地,通过使用不同的事件识别器来检测策略,策略处置模块406能够减少错误否定、错误肯定、时延问题等的发生。当策略处置模块406在触发线索实际上没有存在于环境中时检测到其存在时,发生错误肯定。当策略处置模块406在实际上触发线索存在于环境中时未能检测到其存在时,,发生错误否定。当策略处置模块406展现出策略检测的延迟,和/或策略中止的滞后时,发生时延问题。
前进至图14,再假设第一识别器生成第一事件流且第二识别器生成第二事件流。第一事件流和第二事件流捕获同一环境的不同方面。接着假设第一流显现出在环境中存在触发线索1402。在一些情况下,由触发线索1402调用的策略指示策略处置模块406修改发生在第一事件流中的事件,也即,触发线索已经被检测到的同一流。但是在其它情况下,策略指示策略处置模块406对一个或多个分开的事件流,诸如第二事件流,做出改变。例如,视频识别器能够检测到环境中QR码的存在。对应的策略可以指示策略处置模块406从由分开的语音识别器生成的事件流中去除对应于在其中检测到QR码的同一时间跨度的语音数据。
第二事件流可相对于第一事件流而被延迟,或者反之亦然,例如,因为这些流从执行具有不同复杂度级别的不同功能的识别器发出。为处理该问题,策略处置模块406可试图匹配第一事件流中的触发线索1402的发生与第二事件流中的对应时间点。策略处置模块406能够通过找到与关联于第一事件流中的触发线索1402的帧号或时间戳匹配的第二事件帧中的帧号或时间戳来执行该匹配操作。为执行该操作,策略处置模块406能够在搜索窗1404内执行搜索来找到第二事件帧中的匹配帧1406。
在其它情况下,策略处置模块406能够应用各种近似的解决方案,例如通过应用预设偏差来找到第二事件流中的相对于触发线索1402的近似位置。或者,策略处置模块406能够在第一事件流中的触发线索1402发生时选择第二事件流中的最近期的帧。或者,策略处置模块406能够将校正措施应用于搜索窗1404内的第二事件流中的帧群组,而不具体找到精确的匹配帧1406。这些近似的解决方案相比于精确匹配解决方案可以提供降低的精确性,但是它们可能比精确匹配解决方案执行更快速。
图15示出了策略处置模块406检测事件流中的起作用而调用带内策略的触发线索流的情况。然而,由于识别误差(例如,抖动),策略处置模块406可能当那些触发线索实际上存在于环境中时未能检测到一个或多个触发线索(诸如触发线索1502)。抖动的存在会导致策略处置模块406暂时中断相关联的带内策略的应用,导致性能降级。
要解决上述情形,策略处置模块406能够继续应用带内策略(只要其以不足百分之百的一定的置信度检测到触发线索)。例如,策略处置模块406能够当在检测线索的最后z个机会的一定百分比下检测到触发线索时(例如通过检测最后z个视频帧中的任意n个帧中的线索),继续保持带内策略,其中n是1、2或3,等等。最后z个机会或帧与图15中的窗口1504相关联。通过使用该操作模式,策略处置模块406能够在连续的时间跨度1506上应用带内策略。但是该模式还将使得在识别系统合法地未能检测到环境中触发线索的存在之后,策略处置模块406在短的时间跨度内应用策略,例如,因为计算设备已经移动,或者由于不归因于识别误差的某其它原因。
作为另一特征(未示出),策略处置模块406能够应用两个或多个策略来修改单个事件流。例如,策略处置模块406能够应用第一过滤规则(与第一策略相关联)来修改由识别系统404提供的事件流,以及应用第二过滤规则(与第二策略相关联)来修改同一原始事件流。策略处置模块406随后能够将这两个过滤操作的结果组合来提供修正的事件流,修正的事件流被其传递给订阅应用。在该情况下,两个过滤阶段以并行的方式操作于原始输入事件流,这样减少了恶意过滤操作会破坏另一过滤操作的操作的几率。在另一情况下,一个过滤阶段能够操作于较早期过滤阶段的结果上,例如,串行地,而不是在原始事件流上操作。
B.示例性的过程
图16-18示出了说明图1的框架102的一种操作方式的程序。由于成为框架102的操作的基础的原理已经在A部分中进行了说明,在该部分将以概述方式处理某些操作。
从图16开始,该图示出了说明通行证授权(PA)实体116的一种操作方式的程序。在框1604中,对于影响环境106中的目标特征的确定策略,PA实体116接收请求实体对证书的请求。在框1606中,PA实体116判定请求实体是否是授权实体,意指具有恰当授权来为考虑中的目标特征设定策略的实体。在框1608中,PA实体116明确表达该策略的数字证书,也即,对于请求实体被判定为授权实体的情况。在框1610中,PA实体116用其私钥118签署数字证书。在框1612中,PA实体116可以将签署的数字证书存储在图1的数据库124中,和/或其它地方。
图17示出了描述图4的策略处置模块406的一种操作方式的程序1702。在框1704中,策略处置模块406接收表征环境中的特征的事件。在框1706中,策略处置模块406基于由接收的事件表达的触发线索来确定至少一个策略。策略处置模块406还确定与策略相关联的证书,如果有的话。在框1708中,策略处置模块406判定策略是否有效。该操作反过来可以包括不同的分析阶段,诸如通过判定证书是否源自于PA实体116,并且然后判定在证书中规定的上下文是否匹配已经检测到策略的实际的占优势的(prevailing)上下文。该处理的第一阶段能够可选地在策略调用之前被执行。在框1710中,策略处置模块406基于策略来管控一个或多个应用的行为,如果其在框1708中被视为有效。更具体地,框1710需要使用存储在数据库414中的应用许可信息来管控行为管控模块416的操作。在框1712中,策略处置模块406可选地基于在证书中规定的机器可读内容(如果有的话)来配置管理模块110的一个或多个部分。这将使策略处置模块406在随后在环境106中遇到策略时能够更有效地处理该策略。在一些情况下,机器可读内容还能在其首次遇到策略时,如当例如机器可读内容描述待由图10的事件后处理模块1014应用于事件的后处理算法时,应用于处理策略。
图18示出了代表图8的策略监控功能812的一种操作方式的程序1802。在框1804中,策略监控功能812判定在策略实施中是否检测到异常,例如,指示已经从环境中去除了预期的触发线索。如果是这样,在框1806中,策略监控功能812采取在A部分中描述的一种或多种形式的威胁改善措施。
C.代表性的计算功能
图19示出了能够用于实现图1的环境感测框架102的任何方面的计算功能1902。例如,图19所示的计算功能1902的类型能够用于实现与一个或多个计算设备相关联的图1的功能104的任意方面。图19所示的计算功能1902的类型还可以用于实现PA实体116的任意方面。计算功能1902还能够用于实现图8的中央监控服务814的任意方面。在所有情况下,计算功能1902代表了一个或多个物理的且有形的处理机构。
计算功能1902可以包括一个或多个处理设备1904,诸如一个或多个中央处理单元(CPU)、和/或一个或多个图形处理单元(GPU),等等。
计算功能1902还可以包括用于存储任意类型的信息(诸如代码、设置、数据等)的任意存储资源1906。不是限制,例如,存储资源1906可以包括任意类型的RAM、任意类型的ROM、闪速设备、硬盘、光盘等中的任一种。更一般地,任何存储资源可以使用用于存储信息的任何技术。此外,任何存储资源可以提供信息的易失性或非易失性存留。此外,任何存储资源可以代表计算功能1902的固定的或可移除组件。当处理设备1904实施存储在任何存储资源或存储资源组合中的指令时,计算功能1902可以执行上述任意功能。
关于术语,任意存储资源1906或者存储资源1906的任意组合可以被视为计算机可读介质。在许多情况下,计算机可读介质代表了某种形式的物理和有形实体。术语计算机可读介质还涵盖传播的信号(例如经由物理导管和/或空气或其它无线介质等发送或接收)。然而,具体的术语“计算机可读存储介质”和“计算机可读介质设备”明确地排除了传播信号本身,而包括所有其它形式的计算机可读介质。
计算功能1902还包括用于与任何存储资源交互的一个或多个驱动机构1908,诸如硬盘驱动机构、光盘驱动机构,等等。
计算功能1902还包括用于接收各种输入(经由输入设备1912)以及用于提供各输出(经由输出设备1914)的输入/输出模块1910。示例性的输入设备包括键盘设备、鼠标输入设备、触摸屏输入设备、数字板、一个或多个视频照相机、一个或多个深度照相机、自由空间姿势识别机构、一个或多个麦克风、语音识别机构、任何运动检测机构(例如,加速度计、陀螺仪等),等等。一个特定的输出机构可以包括呈现设备1916以及相关联的图形用户接口(GUI)1918。其它输出设备包括打印机、模型生成机构、触觉输出机构、档案机构(用于存储输出信息),等等。计算功能1902还可以包括用于经由一个或多个通信导管1922与其它设备交换数据的一个或多个网络接口1920。一个或多个通信总线1924将上述组件通信地耦合在一起。
通信导管1922能够以任意方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任意组合。通信导管1922能够包括由任意协议或协议的组合所管控的硬接线链接、无线链接、路由器、网关功能、名称服务器等的任意组合。
可选地,或者另外地,在前面的部分中描述的任意功能能够至少部分地由一个或多个硬件逻辑组件来执行。例如,不是限制,可以利用如下一个或多个来实现计算功能1902:现场可编程门阵列(FPGA);专用集成电路(ASIC);专用标准产品(ASSP);片上系统的系统(SOC);复杂可编程逻辑器件(CPLD),等等。
最后,本文所述的功能能够采用各种机制来根据用户期望以及相关管辖权的适用法律和规范来确保由功能所采集和/或保持的用户数据的隐私。例如,功能能够允许用户明确地选择加入功能的规定(以及随后明确地选择退出)功能的规定。功能还能够提供适合的安全机制来确保用户数据的隐私(诸如,数据消毒机制、加密机制、密码保护机制等)。
此外,说明书在示例的挑战或问题的上下文中描述了各概念。这种说明方式不构成其它人已经按本文规定的方式领悟和/或清楚表达挑战或问题的表示。此外,权利要求主题不限于解决任何或全部所提到的挑战/问题的实现方式。
更一般地,虽然以特定于结构特征和/或方法行为的语言描述了主题,但是应当理解在随附权利要求中限定的主题不必局限于上述的特定特征或行为。而是,上述的具体特征和行为被公开作为实现权利要求的示例形式。

Claims (10)

1.一种由一个或多个计算设备实现的用于管理至少一个应用的行为的方法,包括:
接收表征环境中的特征的音频、图像、或视频事件,所述环境是由所述一个或多个计算设备感测的,所述音频、图像、或视频事件包括表征在所感测的环境中存在的人的个体音频、图像、或视频事件;
在表征所感测的环境中的特征的所述音频、图像、或视频事件中确定触发线索;
当在表征所感测的环境中的特征的所述音频、图像、或视频事件中确定了所述触发线索时,取回与在所感测的环境中存在的人相关联的的策略;
获取与所述策略相关联的证书以及与证书发源实体相关联的公钥;
至少部分地基于所述证书是否是使用与所述证书发源实体相关联的公钥进行解密的来判定所述策略是否有效;以及
当所述策略被判定为有效时,关于表征在所感测的环境中存在的人的所述个体音频、图像、或视频事件来管控一个或多个应用的行为,所述行为通过过滤或修改表征在所感测的环境中存在的人的所述个体音频、图像、或视频事件而被管控。
2.如权利要求1所述的方法,其中所述证书是从所述证书发源实体获取的,其中所述证书发源实体是受信通行证授权实体。
3.如权利要求2所述的方法,
其中所述证书由所述受信通行证授权实体签署,以及
其中所述判定所述策略是否有效包括判定所述策略是否能够利用与所述受信通行证授权实体相关联的公钥进行解密。
4.如权利要求1所述的方法,
其中所述证书包括上下文信息,所述上下文信息描述所述策略打算被在环境内应用的上下文,以及
其中所述判定所述策略是否有效包括判定所述策略是否被应用于匹配所述上下文信息的实际上下文。
5.如权利要求1所述的方法,
其中所述证书提供机器可读内容,当被实施时,所述机器可读内容执行与所述策略相关联的至少一个功能,以及
其中所述方法进一步包括基于所述机器可读内容来配置所述一个或多个计算设备。
6.如权利要求5所述的方法,其中当被实施时,所述机器可读内容检测与所述策略相关联的触发线索。
7.如权利要求1所述的方法,进一步包括:
检测在所述策略的实施中是否存在异常;
如果检测到存在异常,则执行威胁改善措施来处理所述异常。
8.如权利要求7所述的方法,其中所述异常对应于如下的情况:其中当与所述策略相关联的触发线索被预期存在于环境中时,在所述环境中未检测到所述触发线索。
9.实现管理模块的一个或多个计算设备,包括:
识别系统,其用于生成表征环境中的特征的音频、图像、或视频事件,所述环境是由所述一个或多个计算设备感测的,所述音频、图像、或视频事件包括表征在所感测的环境中存在的人的个体音频、图像、或视频事件;以及
策略处置模块,包括:
策略检测模块,其被配置为在表征所感测的环境中的特征的所述音频、图像、或视频事件中确定触发线索,以及在当在表征所感测的环境中的特征的所述音频、图像、或视频事件中确定了所述触发线索时,取回与在所感测的环境中存在的人相关联的的策略;
策略验证模块,其被配置为获取与所述策略相关联的证书以及与证书发源实体相关联的公钥,以及至少部分地基于所述证书是否是使用与所述证书发源实体相关联的公钥进行解密的来判定所述策略是否有效;以及
行为管控模块,其被配置为当所述策略被判定为有效时,关于表征在所感测的环境中存在的人的所述个体音频、图像、或视频事件来管控一个或多个应用的行为。
10.如权利要求9所述的一个或多个计算设备,其中
所述识别系统接收由至少一个感测机构生成的传感器信息,并且基于所述传感器信息生成表征环境中的特征的所述音频、图像、或视频事件;
所述策略处置模块进一步包括许可设置模块,其被配置为在所述证书被判定有效的情况下,基于所述策略来设置应用许可信息;以及
行为管控模块,其被配置为基于所述应用许可信息来管控所述一个或多个应用的行为。
CN201480048909.2A 2013-09-06 2014-09-03 使用受信证书的世界驱动访问控制 Active CN105637522B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US14/020,735 2013-09-06
US14/020,735 US9413784B2 (en) 2013-09-06 2013-09-06 World-driven access control
US14/166,774 2014-01-28
US14/166,774 US9697365B2 (en) 2013-09-06 2014-01-28 World-driven access control using trusted certificates
PCT/US2014/053771 WO2015034854A1 (en) 2013-09-06 2014-09-03 World-driven access control using trusted certificates

Publications (2)

Publication Number Publication Date
CN105637522A CN105637522A (zh) 2016-06-01
CN105637522B true CN105637522B (zh) 2019-07-09

Family

ID=51585185

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201480048909.2A Active CN105637522B (zh) 2013-09-06 2014-09-03 使用受信证书的世界驱动访问控制

Country Status (4)

Country Link
US (1) US9697365B2 (zh)
EP (1) EP3042337B1 (zh)
CN (1) CN105637522B (zh)
WO (1) WO2015034854A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9413784B2 (en) 2013-09-06 2016-08-09 Microsoft Technology Licensing, Llc World-driven access control
GB2541572A (en) * 2014-05-01 2017-02-22 Sequitur Labs Inc Applications of secured memory areas and secure environments in policy-based access control systems for mobile devices
US10188950B2 (en) * 2014-10-23 2019-01-29 Nokia Technologies Oy Method and apparatus for providing privacy policy generation based on in-game behavior data
CN106572049B (zh) * 2015-10-09 2019-08-27 腾讯科技(深圳)有限公司 一种身份验证方法及装置
US10395016B2 (en) * 2017-01-24 2019-08-27 International Business Machines Corporation Communication pattern recognition
US10581861B2 (en) 2017-09-12 2020-03-03 International Business Machines Corporation Endpoint access manager
CN107704930B (zh) * 2017-09-25 2021-02-26 创新先进技术有限公司 基于共享数据的建模方法、装置、系统及电子设备
JP7035886B2 (ja) * 2018-07-30 2022-03-15 トヨタ自動車株式会社 画像処理装置、画像処理方法
US11562087B2 (en) * 2019-03-14 2023-01-24 International Business Machines Corporation Sensitive data policy recommendation based on compliance obligations of a data source
US11392766B2 (en) * 2020-02-26 2022-07-19 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US11263317B2 (en) 2020-02-26 2022-03-01 Cyberark Software Ltd. Understanding and mediating among diversely structured operational policies
US11921900B2 (en) * 2021-02-25 2024-03-05 Dell Products L.P. System and method for secure manageability of privacy mode

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0997808A2 (en) * 1998-10-29 2000-05-03 Datum, Inc. Controlling access to stored information
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法

Family Cites Families (58)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6085976A (en) * 1998-05-22 2000-07-11 Sehr; Richard P. Travel system and methods utilizing multi-application passenger cards
JP4031112B2 (ja) * 1998-07-23 2008-01-09 富士通株式会社 パスポート取引装置,パスポート取引方法およびパスポート取引システム
US7317699B2 (en) * 2001-10-26 2008-01-08 Research In Motion Limited System and method for controlling configuration settings for mobile communication devices and services
US7401233B2 (en) 2003-06-24 2008-07-15 International Business Machines Corporation Method, system, and apparatus for dynamic data-driven privacy policy protection and data sharing
US7693545B2 (en) 2004-02-05 2010-04-06 Samsung Electronics Co., Ltd System and method for controlling functions of mobile communication terminal in a restricted zone
JP4665406B2 (ja) 2004-02-23 2011-04-06 日本電気株式会社 アクセス制御管理方法、アクセス制御管理システムおよびアクセス制御管理機能付き端末装置
US7444287B2 (en) * 2004-07-01 2008-10-28 Emc Corporation Efficient monitoring system and method
US20060048142A1 (en) * 2004-09-02 2006-03-02 Roese John J System and method for rapid response network policy implementation
US7940302B2 (en) 2004-09-15 2011-05-10 The Regents Of The University Of California Apparatus and method for privacy protection of data collection in pervasive environments
US8006290B2 (en) * 2006-01-12 2011-08-23 International Business Machines Corporation System and method for ratification of policies
US10198709B2 (en) 2006-03-27 2019-02-05 Hewlett Packard Enterprise Development Lp Managing assets using at least one policy and asset locations
JP2008022526A (ja) * 2006-06-13 2008-01-31 Hitachi Ltd 属性証明書検証方法、属性認証局装置、サービス提供装置、および属性証明書検証システム
US8326272B1 (en) * 2006-07-26 2012-12-04 Amdocs Software Systems Limited System, method and computer program product for subscriber-specific policies
US7933611B2 (en) 2006-09-01 2011-04-26 Research In Motion Limited Disabling operation of features on a handheld mobile communication device based upon location
US7706837B2 (en) 2006-09-01 2010-04-27 Research In Motion Limited Disabling operation of a camera on a handheld mobile communication device based upon enabling or disabling devices
US8199003B2 (en) 2007-01-30 2012-06-12 At&T Intellectual Property I, Lp Devices and methods for detecting environmental circumstances and responding with designated communication actions
US7974950B2 (en) * 2007-06-05 2011-07-05 International Business Machines Corporation Applying a policy criteria to files in a backup image
US7996879B1 (en) * 2007-07-03 2011-08-09 Trend Micro Incorporated Network deployment techniques employing radio frequency identification (RFID)
US9491045B2 (en) * 2007-10-16 2016-11-08 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus for improving the efficiency of resource utilisation in a communications system
US8170280B2 (en) 2007-12-03 2012-05-01 Digital Smiths, Inc. Integrated systems and methods for video-based object modeling, recognition, and tracking
US8219144B2 (en) 2008-01-11 2012-07-10 Alcatel Lucent Disabling of mobile phone camera operation by video-restricted location device
CN101499919B (zh) * 2008-01-28 2012-12-12 华为技术有限公司 策略决策实体的管理方法、管理网元及网络系统
US20090259591A1 (en) * 2008-04-11 2009-10-15 Microsoft Corporation Information Rights Management
WO2009145730A1 (en) 2008-05-29 2009-12-03 Nanyang Polytechnic Method and system for disabling camera feature of a mobile device
US9703806B2 (en) 2008-06-17 2017-07-11 Microsoft Technology Licensing, Llc User photo handling and control
US8254902B2 (en) 2008-06-26 2012-08-28 Apple Inc. Apparatus and methods for enforcement of policies upon a wireless device
US8238604B2 (en) 2008-08-18 2012-08-07 Kabushiki Kaisha Toshiba System and method for validation of face detection in electronic images
US9824495B2 (en) 2008-09-11 2017-11-21 Apple Inc. Method and system for compositing an augmented reality scene
US20100077484A1 (en) * 2008-09-23 2010-03-25 Yahoo! Inc. Location tracking permissions and privacy
US8719901B2 (en) * 2008-10-24 2014-05-06 Synopsys, Inc. Secure consultation system
US8331739B1 (en) 2009-01-21 2012-12-11 Google Inc. Efficient identification and correction of optical character recognition errors through learning in a multi-engine environment
US8494215B2 (en) 2009-03-05 2013-07-23 Microsoft Corporation Augmenting a field of view in connection with vision-tracking
WO2011018937A1 (ja) * 2009-08-11 2011-02-17 日本電気株式会社 端末装置、通信システム、データ管理方法、サーバ装置、および記録媒体
US8768313B2 (en) 2009-08-17 2014-07-01 Digimarc Corporation Methods and systems for image or audio recognition processing
US8732619B2 (en) 2010-03-31 2014-05-20 Phunware, Inc. Methods and systems for interactive user interface objects
KR101016556B1 (ko) 2010-05-06 2011-02-24 전성일 증강 현실을 이용하여 인물의 정보에 접근하기 위한 방법, 서버 및 컴퓨터 판독 가능한 기록 매체
US8971628B2 (en) 2010-07-26 2015-03-03 Fotonation Limited Face detection using division-generated haar-like features for illumination invariance
US20120042076A1 (en) * 2010-08-16 2012-02-16 Nokia Corporation Method and apparatus for managing application resources via policy rules
US9904797B2 (en) * 2010-12-27 2018-02-27 Nokia Technologies Oy Method and apparatus for providing data based on granularity information
JP2012182779A (ja) * 2011-01-31 2012-09-20 Nippon Hoso Kyokai <Nhk> 受信装置、放送システム及びプログラム
US9471934B2 (en) 2011-02-25 2016-10-18 Nokia Technologies Oy Method and apparatus for feature-based presentation of content
US20120222083A1 (en) * 2011-02-28 2012-08-30 Nokia Corporation Method and apparatus for enforcing data privacy
KR20130136566A (ko) 2011-03-29 2013-12-12 퀄컴 인코포레이티드 로컬 멀티-사용자 협업을 위한 모듈식 모바일 접속된 피코 프로젝터들
US8744143B2 (en) 2011-04-01 2014-06-03 Yahoo! Inc. Adding privacy protection to photo uploading/ tagging in social networks
US8996688B2 (en) 2011-05-31 2015-03-31 Nokia Corporation Method and apparatus for monitoring and controlling data sharing
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US9465427B2 (en) * 2011-06-30 2016-10-11 International Business Machines Corporation Software-centric power management by indirectly determining that user is not actively using computer program running on computing device
US10019962B2 (en) 2011-08-17 2018-07-10 Microsoft Technology Licensing, Llc Context adaptive user interface for augmented reality display
US9106650B2 (en) 2011-11-09 2015-08-11 Microsoft Technology Licensing, Llc User-driven access control
US8972263B2 (en) 2011-11-18 2015-03-03 Soundhound, Inc. System and method for performing dual mode speech recognition
US20130239192A1 (en) 2012-03-09 2013-09-12 RAPsphere, Inc. Method and apparatus for securing mobile applications
US20130263016A1 (en) 2012-03-27 2013-10-03 Nokia Corporation Method and apparatus for location tagged user interface for media sharing
US20140009609A1 (en) 2012-07-06 2014-01-09 Conexant Systems, Inc. Video door monitor using smarttv with voice wakeup
WO2014028009A1 (en) 2012-08-15 2014-02-20 Empire Technology Development Llc Digital media privacy protection
US20140282840A1 (en) * 2013-03-15 2014-09-18 True Ultimate Standards Everywhere, Inc. Managing data handling policies
US9413784B2 (en) 2013-09-06 2016-08-09 Microsoft Technology Licensing, Llc World-driven access control
US9355268B2 (en) 2013-09-06 2016-05-31 Microsoft Technology Licensing, Llc Managing access by applications to perceptual information
US9424239B2 (en) 2013-09-06 2016-08-23 Microsoft Technology Licensing, Llc Managing shared state information produced by applications

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0997808A2 (en) * 1998-10-29 2000-05-03 Datum, Inc. Controlling access to stored information
CN103065088A (zh) * 2011-09-20 2013-04-24 卡巴斯基实验室封闭式股份公司 基于计算机用户的裁决检测计算机安全威胁的系统和方法

Also Published As

Publication number Publication date
WO2015034854A1 (en) 2015-03-12
US9697365B2 (en) 2017-07-04
EP3042337B1 (en) 2023-08-23
US20150074746A1 (en) 2015-03-12
CN105637522A (zh) 2016-06-01
EP3042337A1 (en) 2016-07-13

Similar Documents

Publication Publication Date Title
CN105637522B (zh) 使用受信证书的世界驱动访问控制
DeNardis The Internet in everything
US20200366671A1 (en) Identity verification and management system
JP7030981B2 (ja) 資産管理方法および装置、および電子デバイス
US11133929B1 (en) System and method of biobehavioral derived credentials identification
US10440019B2 (en) Method, computer program, and system for identifying multiple users based on their behavior
US11755706B2 (en) Entity identification and authentication using a combination of independent identification technologies or platforms and applications thereof
US9875592B1 (en) Drone used for authentication and authorization for restricted access via an electronic lock
CN106104555B (zh) 用于保护外围设备的行为分析
US20170255938A1 (en) Blocking fraudulent transactions in an nfc device
US20220094550A1 (en) User movement and behavioral tracking for security and suspicious activities
CN105229596A (zh) 高级验证技术和应用
RU2679983C2 (ru) Обусловленное окружающей средой управление доступом
CN104956715A (zh) 对移动设备上的行为特征的自适应观察
KR102320723B1 (ko) 사용자를 인증하는 방법 및 시스템
CN110895689B (zh) 用于面部识别认证的混合模式照明
US10037419B2 (en) System, method, and apparatus for personal identification
US20220382840A1 (en) Entity identification and authentication using a combination of independent identification technologies or platforms and applications thereof
CA3202706A1 (en) Method and apparatus for user recognition
CN112699354A (zh) 一种用户权限管理方法及终端设备
Zheng Towards privacy protection in the era of adversarial machine learning: Attack and defense
US12035136B1 (en) Bio-behavior system and method
US20240020879A1 (en) Proof-of-location systems and methods
US20240187242A1 (en) Identity verification system, user device and identity verification method
Najmath et al. Enhanced computer vision applications with blockchain: A review of applications and opportunities

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant