CN113631947A - 具有基于定位的意图检测的物理访问控制系统 - Google Patents

Abstract

本文描述了用于具有基于定位的意图检测的物理访问控制系统的系统和技术。在示例中，访问控制系统可以管理对资产的访问。访问控制系统适于使用第一无线连接从与用户相关联的密钥设备接收用于资产的凭证。访问控制系统还可以适于将凭证存储在存储器的缓存中。访问控制系统还可以适于与密钥设备建立第二无线连接。访问控制系统还可以适于响应于与密钥设备建立第二无线连接而向授权服务请求对凭证的验证。访问控制系统可以从授权服务接收验证令牌。访问控制系统还可以适于将验证令牌存储在缓存中。

Description

具有基于定位的意图检测的物理访问控制系统

技术领域

本文描述的实施方式总体上涉及物理访问控制系统，并且更具体地涉及具有凭证位置检测能力的物理访问控制系统。

背景技术

可以由电子物理访问控制系统(PACS)(例如通过门口)控制对区域的物理访问。人可以具有钥匙卡或移动设备以向PACS提供他们的凭证。PACS的环境可以随着可以提供访问的人数和进入点的数目而变化。例如，公司的建筑物可以具有为所有员工提供进入访问的单个进入点。在该建筑物内，可以有为选定的员工提供进入访问的多个办公室和私人会议室。另一示例可以是酒店，该酒店针对每个房间有许多进入点，但每个房间只能由选定的个人访问。

附图说明

在不必按比例绘制的附图中，相似的附图标记可以在不同的视图中描述类似的部件。具有不同字母后缀的相似的附图标记可以表示类似部件的不同实例。附图通常以示例的方式而非限制性的方式来示出本文档中所论述的各种实施方式。

图1示出了根据一些实施方式的用户与PACS交互的示例。

图2A至图2D示出了根据一些实施方式的密钥设备与PACS交互的示例。

图3示出了根据一些实施方式的人直接接近三个门口的示例。

图4示出了根据一些实施方式的人接近三个门口的示例。

图5示出了根据一些实施方式的显示用于管理对资产的访问的技术的流程图。

图6示出了根据一些实施方式的显示用于使用密钥设备来管理对资产的访问的技术的流程图。

图7示出了根据一些实施方式的显示用于管理对资产的访问的技术的流程图。

图8示出了根据一些实施方式的显示用于管理对资产的访问的技术的流程图。

图9示出了根据一些实施方式的显示用于管理对资产的访问的技术的流程图。

图10示出了根据一些实施方式的显示用于管理对资产的访问的技术的流程图。

图11是示出可以在其上实现一个或更多个实施方式的机器的示例的框图。

具体实施方式

当试图进入安全区域时，人可能会因他们接近进入点与安全进入机制(例如，电子控制的门锁)的解锁之间的延迟响应而感到沮丧。例如，员工可能一天多次通过安全区域的进入点。另外，在一些常规的PACS中，用户可能需要将他们的凭证(例如，卡/徽章或移动设备)物理地呈现给位于墙上的读取器，这在某些情况下(例如如果用户的手满了)会给用户带来不便或者造成进一步不必要的延迟。因此，能够更容易且无缝地识别用户(例如，认证用户结束安全区域的许可)的PACS可以产生对用户更友好且更优选的体验。此外，具有PACS的进入用户可以在确定用户意图的PACS中发现益处，使得PACS可以执行抢先凭证验证，从而可以在用户接近进入点时解锁安全进入机制。

在一些情况下，本文描述的系统和方法可以通过在无需用户主动呈现包含凭证的设备(例如，卡或移动设备)的情况下从用户获得或接收凭证而允许无缝体验。也就是说，在一些情况下，本文描述的系统和方法可以包括当用户接近读取器时向读取器自动发送凭证(例如，在没有来自用户的主动输入的情况下)。

在一些情况下，本文描述的系统和方法可以实现检测用户的意图的各种方法，使得不仅在具有适当凭证的用户处于进入点的限定的附近时进入点将打开，而且一旦充分确定经认证的用户意图穿过进入点时进入点也将打开。执行抢先凭证验证的挑战可能是识别误报，这将导致在不应当解锁安全进入机制时(例如，错误的意图检测)将其释放。这可能存在问题，因为未经授权的人可能获得对入口的访问。例如，经授权的人可以沿走廊行走并且经过安全进入点。如果PACS误识别了人对安全进入点的接近，则PACS可以解锁安全进入机制。人可能经过门，而当安全进入机制解锁时另一个人可以通过安全进入点进入。

无线PACS可以具有通常使用的无线通信技术，例如近场通信(NFC)，例如射频识别(RFID)技术和个人局域网(PAN)技术，例如IEEE 802.15.1和低功耗蓝牙(BLE)。这些技术在无缝用户体验和进入方面可能存在缺陷。例如，NFC的范围有限，使得凭证交换通常不会发生，直到用户尝试获得访问(例如，站在门前，拿着钥匙卡对着读取器)。将凭证传送至读取器并且由主机服务器进行响应可能需要几秒钟的时间，这会产生令人沮丧的用户体验。此外，例如，用户通常可能需要从其口袋中取出钥匙卡或访问设备，并且将钥匙卡或访问设备放在读取器上或者非常靠近读取器以开始该过程。

BLE设备具有几十米(例如，十米到二十米)的范围。因此，可以在用户接近读取器时执行凭证交换。PAN标准可以以安全握手、加密以及用于发现和数据传输的有利能量简档为特征。然而，PAN标准不提供对设备的准确物理跟踪(例如，测距、定位)。因此，在没有任何附加意图证据的情况下，读取器可能难以确定用户的内部是否真正获得对安全区域的访问。附加意图证据可以包括触摸门把手以及用密钥设备做姿势。然而，与用户简单地走向读取器并且获得对安全区域的访问相比，这可能仍然是不太理想的用户体验。

可以将超宽带(UWB)无线通信协议用于通过经由时间调制(例如，脉冲位置编码)对数据进行编码的通信。利用UWB，符号由可用时间单元集合中的时间单元子集上的脉冲来指定。UWB编码的其他示例可以包括幅度调制和极性调制。与基于载波的传输技术相比，宽带传输对于多径衰落趋于具有更强的鲁棒性。此外，任何给定频率的脉冲功率较低，会趋于减少对基于载波的通信技术的干扰。

UWB可以用于雷达操作并且提供数十厘米尺度的定位精度。由于脉冲中不同频率的可变吸收和反射的可能性，可以检测到对象的表面和阻挡(例如，覆盖)特征。在某些情况下，除了提供范围或距离之外，定位还可以提供入射角。

物理访问控制可以包括用于管理例如人对安全区域的访问的一系列系统和方法。物理访问控制可以包括对经授权用户或设备(例如，车辆、无人机)的识别以及对大门、门或其他用于保护区域的设施的致动。PACS可以包括保存授权数据的读取器(例如，在线或离线读取器)，并且可以能够确定所提供的凭证是否被授权用于致动器(例如，门锁、开门器、关闭警报)。在线读取器或系统可以包括连接至网络或因特网以用于确定授权的系统。离线读取器或系统可以是不连接至任何外部资源的自包含系统。例如，用于住宅的PACS可以是离线的。

PACS可以包括主机服务器，读取器和致动器(例如，经由控制器)以集中管理的配置连接至该主机服务器。在集中管理的配置中，读取器可以从密钥设备(例如，卡中的射频识别(RFID)芯片、钥匙扣或诸如移动电话的个人电子设备)获得凭证并且将这些凭证传递给PACS主机服务器。主机服务器可以确定凭证是否授权访问安全区域并且相应地命令致动器。

为了解决识别意图的问题，定位技术(例如，使用安全UWB测距)可以与PAN发现和密钥交换组合。密钥设备和读取器可以使用PAN技术协调安全测距。这可以包括读取器提供用于标记测距消息以防止欺骗的秘密(例如，加扰时间戳(STS))。密钥设备可以在共享秘密的同一PAN会话期间提供凭证。除非凭证被缓存直到意图触发发生，否则读取器可以像其通常那样解密或以其他方式准备凭证。

读取器可以使用UWB来物理定位密钥设备。在一些示例中，在共享秘密之后激活UWB以节省能量，这可能对电池供电的读取器或密钥设备有用。

与其他技术相比，利用UWB识别密钥设备的物理位置更准确，并且可以精确到几十厘米，从而向读取器提供范围和方向二者。当不协调读取器时，该准确度超过PAN的约10米的准确度。UWB准确度的精度可以提供用户意图确定所需的细节。例如，可以限定多个区域(例如距读取器的不同距离范围)以提供用于理解用户意图的不同上下文。此外，跟踪的准确性实现了可以从中辨别意图的用户运动的准确模型。因此，读取器可以将用户运动分类为可能接近读取器或简单地走过。

意图阈值或意图触发器可以就位，其中一旦意图的可能性超过意图阈值，意图触发器可以激活一系列事件，例如使读取器对缓存的凭证起作用。对于离线读取器，读取器可以控制致动器(例如，断开连接的门锁上的锁)。在集中管理的PACS中，读取器可以将凭证转发至主机服务器以进行操作(例如，将凭证发送至控制器以做出确定并且在适当时进一步致动门锁)。

可以实现本文描述的系统和方法，使得经由具有较长距离能力或者在一些情况下具有更低的准确度的通信协议(例如，BLE、Wi-Fi)与密钥设备的第一次传输或交换可以用于向读取器提供用户的凭证。这些凭证可以存储在读取器内的缓存位置中，直到并且除非在经由具有更高准确度和精度的通信协议(例如，UWB)与密钥设备的第二次传输或交换时，确定用户确实意图进入安全区域(例如，打开安装读取器的门)。一旦确定了用户的意图，然后读取器可以释放凭证(有时称为PACS位)以进行处理，例如将凭证发送至控制器以确定用户的访问许可或者直接解锁门(例如，在离线读取器的情况下)。这种两步认证序列可以减少可能导致用户开门延迟(也称为延时)的计算时间。利用该方法，在系统已经确定用户确实意图进门并且用户到达门时，已经高效地执行读取器与密钥设备之间的认证和通信。

在一些实施方式中，如果意图触发未在时间段内发生，或者发生反意图触发——例如从读取器移动离开——则可以清除缓存的凭证。由于许多凭证可以缓存在读取器中，因此上述操作可以被执行，但是可能缓存凭证的较小子集实际上可以用于认证过程(例如，基于稍后预测的意图)。

在一些实施方式中，如果读取器已识别凭证是否提供对安全区域的访问(例如离线读取器的情况下)，则如果确定凭证不提供对安全区域的访问，则不缓存凭证。另外，可以不激活UWB定位。

在一些实施方式中，读取器可以包括对凭证的持久认证。持久性可以基于超时值。凭据被存储的时间量或其持久性取决于超时值。如果超时很长，则重新交换PAN凭据的需求会减少。

例如，密钥设备在读取器的PAN范围内。读取器可以缓存从由密钥设备提供的凭证中读取的PACS ID(例如，用于传统系统的26位PACS)。基于时间的一次性密码(TOTP)技术的种子由读取器生成并且经由PAN共享给密钥设备。从密钥设备接收到的UWB测距包括读取器验证的TOPT。如果UWB测出密钥设备距离读取器或其他目标(例如门的中央)足够近(在几米内)，则读取器将缓存的PACS ID发送至主机服务器。主机服务器触发开门。然后读取器可以删除缓存的PACS ID。反之，如果UWB在某个超时(例如，5分钟)之后未对密钥设备进行测距，则TOTP失效。然后，密钥设备必须连接至读取器以获得新的TOTP。另外，在某些认证超时(例如，几小时)之后，PAN认证可能过期。

当使用安全UWB定位时，为了在系统中高效运行，所涉及的任何读取器可能需要用于安全测距的种子或秘密，例如STS。例如，如果可以(例如，经由BLE、网状网络等)连接多个读取器以在所有参与的读取器之间分发相同的秘密。这可能减少在每个读取器与密钥设备之间交换STS的需要。此外，该共享的交换可以将缓存的PACS ID例如从与密钥设备连接的一个初始读取器交换给所有读取器。通过这样做，每个密钥设备都需要一个凭证和STS交换。

协调的PACS可以使用网关设备来协调PACS内的多个读取器，无论读取器是集中管理的还是离线的。读取器可以作为到网关的远程无线电头端操作，其中网关执行凭证缓存、意图确定以及凭证转发到主机服务器或者命令制动器操作。协调的PACS有助于对密钥设备与一个或更多个所连接的读取器进行UWB定位。在一些示例中，网关可以对UWB定位责任进行负载平衡。这在密集的密钥设备场景中(例如在售票速度门处)可能是有帮助的。

在一些实施方式中，被发送至读取器的凭证可以包括编码或加密的信息，例如存储在密钥设备中或密钥设备上的HID Global的

凭证、NXP的

凭证或Sony的FeliCa^TM凭证。读取器可以根据从密钥设备接收的凭证来解密或获得各种信息，并且将该信息提供给访问服务器(例如，控制器)以确定用户的许可(例如访问许可)。在一些情况下，读取器可以解密凭证并且获得关于用户的访问控制识别信息(例如，PACS位)，并且将这些信息发送至控制器以确定用户是否具有访问他们试图获得访问的受控制区域或系统的许可。

图1示出了根据一些实施方式的用户与PACS交互的示例100。门口105可以用通过PACS控制的电子锁来确保安全。PACS使用读取器110从期望进入门口105的用户115接收凭证。

当用户115接近门口105和读取器110时，第一无线通信120与用户115的密钥设备进行通信。第一无线通信120可以是诸如BLE的低功耗通信。第一无线通信120可以具有与更远距离处的密钥设备通信的能力，但可能不能够执行密钥设备的定位和测距。使用第一无线通信120，读取器110可以从密钥设备接收凭证和其他识别信息。读取器110可以缓存凭证或者可以将凭证发送至PACS的验证系统，该验证系统可以确定用户115是否可以进入门口105。

随着用户115继续接近门口105和读取器110，第二无线通信125开始与用户115的密钥设备通信。第二无线通信125可以是诸如UWB的高功耗且高级的通信。第二无线通信125可以包括定位和测距以跟踪用户115的移动。第二无线通信125可以跟踪用户115并且使用诸如用户115移动的速度的因素来确定用户115的意图是否是进入门口105。例如，如果用户115不意图进入门口115，则他们的速度可以保持恒定。反之，如果用户115的意图是进入门口105，则用户115可以在其接近门口105并且接触门把手时放慢其步伐。

PACS可以使用利用第二无线通信125从读取器110接收的数据来确定用户115意图通过门口105的可能性或概率。该确定可以使用接收到的数据来计算或者可以将接收到的数据提供给固定的或演化的模型。如果所确定的意图的概率超过预定阈值，则PACS可以解锁门，使得用户115可以无缝地进入门口105。阈值可以根据概率确定的精确程度以及门口105可能需要的安全程度而变化。例如，会议室的意图概率的阈值可以为50％，因为如果会议室因误报而被解锁也不存在风险。然而，用于新产品开发的实验室的门的意图概率的阈值可以为90％。此外，使用系统可用的用户凭证来关联另外的信息，例如但不限于访问权限和访问历史，可以针对每个用户调整阈值。

图2A至图2D示出了根据一些实施方式的用于密钥设备与PACS交互的示例200。PACS的示例200包括用读取器210和锁215确保安全的门口205。读取器包括用于存储从密钥设备接收的凭证和其他数据的缓存220。读取器210与访问控制225通信。访问控制225可以是连接至本地内部网络的服务器。访问控制225可以是通过互联网连接的远程系统，以用于管理对多个位置的访问。

在图2A中，密钥设备A 230、密钥设备B 235和密钥设备C 240进入读取器210的BLE范围(作为低能量无线通信的示例)内。在与读取器210建立连接时，密钥设备A 230、密钥设备B 235和密钥设备C 240中的每一个向读取器210提供凭证。

在图2B中，读取器210可以执行对凭证的初步认证。例如，读取器210可以包括黑名单或白名单以做出关于跟踪密钥设备的立即决定。使用UWB进行测距和定位提供了有关密钥设备的移动的附加信息，但也需要更多的能量。因此，有利的是可以做出是否应当跟踪密钥设备的确定。在图2B的示例200中。读取器210确定密钥设备B 235不具有进入门口205的凭证。因此，读取器210不利用UWB对密钥设备B 235进行测距，因为密钥设备B 235将不被允许访问门口205。

在一些实施方式中，读取器210可以将凭证发送至访问控制225以进行授权。如果访问控制225确定与密钥设备相关联的凭证被授权进入与读取器210相关联的门口205，则访问控制225可以向读取器210提供针对该凭证的令牌。读取器210可以将每个令牌与其相应的凭证一起存储。类似地，在该实施方式中，如果读取器210没有接收到令牌，则凭证被移除并且诸如密钥设备B 235的密钥设备不被跟踪。

在一些实施方式中，读取器210可以在首次通过BLE接收到凭证时缓存凭证。读取器210可以将凭证保存在缓存中直到使用UWB进行测距。一旦密钥设备在某个范围内，读取器210就可以释放凭证以用于通过访问控制225或认证服务器进行认证。

在图2C中，密钥设备A 230和密钥设备C 240已经移动到更靠近读取器210并且UWB可以用于通信。使用UWB，可以进行定位或测距。将密钥设备A 230和密钥设备C 240的位置信息提供给读取器210。可以使用位置信息来确定具有每个相应密钥设备的人的意图。可以例如通过执行范围检测从UWB得出位置信息。

在图2D中，密钥设备A230和密钥设备C 240继续移动并且它们各自移动的位置信息通过UWB通信被提供给读取器210。密钥设备C 240从读取器210移动离开，并且因此所确定的密钥设备C 240进入门口205的意图较低。读取器210可以继续跟踪密钥设备C 240直到它超出范围。读取器210可以是电池意识和硬件意识的以监测如何使用功率和处理。这可以包括一旦确定不再需要凭证(例如如果意图下降到阈值以下)就从缓存中丢弃凭证。基于访问进入点的人的信心或意图来管理存储在缓存中的凭证对于管理进入大门集合(例如一组旋转门)的PACS而言可能是必要的。这种类型的进入点(例如地铁或体育场的入口)可以在某些时间接收大量凭证。

密钥设备A230继续接近门口205，因此密钥设备A 230将访问门口205的意图较高。读取器210可以将密钥设备A 230的令牌释放给访问控制225。当访问控制225接收到令牌时，访问控制225可以向门锁215发送命令以解锁，使得持有密钥设备A 230的人可以轻松且没有延迟地进入门口205。如果没有提供令牌，读取器可以将密钥设备A230的凭证发送至访问控制225以解锁门锁215。对于离线系统，读取器210可以直接控制门锁215并且直接向门锁215发送命令以解锁。

可以使用许多因素来确定读取器210何时应当向访问控制225发送释放，例如发送令牌。如果门口205是用于安全区域，则所确定的访问门口205的意图或概率可能需要非常高，并且因此具有高阈值，使得门口205不会无意地打开。其他因素(例如人访问门口205的频率或已知的上下文数据，例如即将在门口205的房间开始的会议)可以有助于确定意图的阈值。

为了安全起见，读取器210可以生成用于与诸如密钥设备A230的密钥设备进行通信的会话密钥。诸如读取器210和密钥设备A230的每一侧可以具有计数器。该计数器可以作为会话密钥的一部分进行哈希处理。为了跟踪密钥设备A230的移动，读取器210持续地与密钥设备A230通信以确定距离。对于每次通信，读取器210或密钥设备A230可以分别增加哈希计数器的计数。然后，随着每次通信改变会话密钥以防止恶意攻击，同时读取器210和密钥设备A230可以持续通信，因为读取器210和密钥设备A230每个都知道计数应当是多少并且可以解密哈希。

识别人进入门口的意图可以用于加速认证凭证和解锁门口的过程，使得人不受该过程的阻碍并且呈现出看起来是无缝过渡的过程。先前的讨论集中在识别单个门口的意图。当存在多个门口和多个读取器时，识别意图出现挑战，如图3和图4的示例中发现的。

图3示出了根据一些实施方式的人335直接接近三个门口的示例300。人335可以接近直接在其前方的门口集合。对于门口305、门口315和门口325中的每一个，相应的读取器310、读取器320和读取器330可能难以识别人335意图进入哪个门口。例如，如果读取器310、读取器320和读取器330单独使用测距，则人335将在到达读取器的相对相同的范围内。识别人335的位置并且执行对人335的连续定位(通过其密钥设备)可以提供人335正在移动的方向。使用所确定的方向，读取器可以识别到达角度340。可以使用到达角度340确定人335意图进入多个门口中的哪个门口。

图4示出了根据一些实施方式的人435接近三个门口的示例400。人435可以接近可能在人435一侧的门口集合，例如如果人435正在沿办公楼的走廊行走。对于门口405、门口415和门口425中的每一个，相应的读取器410、读取器420和读取器430可能难以识别人335意图进入哪个门口。尽管人435与读取器410、读取器420和读取器430中的每一个相距不同距离，但人435可以停在这些门口中的任何一个门口。

当人435沿着走廊移动并且经过读取器，例如经过示例400中的读取器430时，则可以立即从可能的意图门口移除门口425。这可以释放读取器430的缓存并且改变人435意图进入门口405或门口415的概率。

PACS可以试图监测人435正在移动的速度。人在这种情况下移动的速度可能是相对恒定的，直到该人刚好到达其意图的门口之前，此时其步伐放慢。这种类型的移动信息可以用于识别意图门口。神经网络可以利用人们如何沿着走廊移动以及他们的移动如何相对于他们进入的门口而变化的移动数据来训练。神经网络可以与PACS以及读取器通过UWB提供的位置数据一起使用，以识别意图门口。

在示例400中，PACS可以使用上下文数据来识别意图的门口。例如，PACS可以访问公司的日历系统。PACS可以识别出会议即将在与门口415对应的房间开始。因此，尽管人435的意图门口无法单独通过移动来确定，但使用日历，PACS可以确定人435的意图是进入门口415。如果PACS访问被邀请参加会议的个人并且然后将人435的认证(来自他们的密钥设备)与受邀者的列表交叉对照，则可以进一步提高意图的准确性。

该示例的另一场景可以是带有读取器410的门口405、带有读取器420的门口415和带有读取器430的门口425是酒店的走廊的情况。识别客人的意图可能不太容易，因为客人将具有仅对应于一个门口的凭证。因此，当客人沿酒店走廊走过时，酒店的PACS甚至可以在客人进入他们房间的读取器范围内之前就对客人的意图进行预测，因为PACS可以识别出仅存在一个门口/房间是客人具有凭证进行访问的。

PACS可以访问诸如电子邮件、即时消息和短消息服务(SMS)的通信系统，这些通信系统可以提供用于确定人意图进入的门口的信息。例如，如果John向Bob发送了即时消息，要求Bob在实验室B与John会面，则当Bob接近实验室的门口时，PACS可以基于John的请求识别出Bob意图进入实验室B。

不同类型的门口或进入点可以改变如何利用意图以及读取器何时将释放发送至访问控制系统。例如，进入点可以是旋转门，并且如果存在大量旋转门，则在直到人已经踏入旋转门，才可以识别出意图旋转门。门口或进入点的类型可以包括手动锁、自动锁、手动门、自动门、旋转门、过境快速门、停车门或电梯。

可以通过由通过UWB执行的测距和定位接收到的数据来确定释放凭证和解锁门口的时间。意图可以通过与读取器的距离半径来改变。不同的进入环境可能改变这个时间。例如，具有多个安全门口的办公室的开放区域可能导致在释放发生之前等待直到密钥设备处于特定门口，因为由于多个安全门口而无法确定足够高的意图的概率。反之，房子的前门锁可以在前门的人到达该门之前很好地被释放，因为将不存在人进入的其他门。

密钥设备可以是移动设备，例如智能电话或平板电脑。诸如智能电话的设备包括可以向PACS提供信息的不同类型的传感器。由于密钥设备通过BLE和UWB无线连接与读取器和PACS通信，可以将从密钥设备上的传感器收集的数据发送至读取器和PACS。密钥设备可以包括传感器，例如陀螺仪、加速度计、气压计、全球定位系统(GPS)、麦克风和摄像装置。密钥设备可以从诸如Wi-Fi、BLE的通信协议中收集信息。可以使用从这些传感器和通信协议提供的数据来确定密钥设备的相对位置、运动和速度。

传感器数据可以提供用于确定具有密钥设备的人的意图的信息。例如，PACS可以确定密钥设备正在快速接近门口。使用从陀螺仪和加速度计提供的数据，PACS可以识别出人正在跑步。基于对人正在跑步的确定，可以采取不同的动作。在一种情况下，如果仅存在一个人具有凭证进行访问的门口，则PACS可以更快地解锁门，因为人将比他们行走时更快地到达门。在另一种情况下，如果人具有多个会议室的凭证，但使用日历系统，PACS识别到会议在10分钟前在会议室之一开始，则PACS可以基于跑步的人确定该会议室是意图的目的地。

存储在移动设备中的数据和移动设备的当前功能的数据可以被传递至PACS并且用于确定意图。如果PACS未连接至日历系统，则移动设备可以提供来自移动设备中提醒或日历或的信息。例如，住在公寓楼的人可能与另一租户分担育儿责任，并且每个人都可以访问对方的公寓。该人可以具有去接另一租户的孩子上学的提醒，该提醒用于识别该人将进入另一租户的公寓的意图。

可以将移动设备的当前功能传递至PACS，例如该人是否正在移动设备上通话或者玩游戏。例如，如果人沿走廊正在行走的同时在他们的移动设备上玩游戏，则可以确定进入会议室的意图较低。

可以使用摄像装置、噪声传感器(麦克风)以及诸如温度计和气压计的环境传感器来为PACS提供信息以识别意图。例如，可以使用摄像装置来帮助识别用户意图进入哪个旋转门。室外的温度可能影响用户的路径或习惯。例如，如果两个门口彼此靠近，但一个通向外面，则PACS可以确定，在外面正在结冰的情况下外面的门口很可能是意图的门口。

PACS可以连接至附加系统，附加系统可以不需要密钥设备来访问但提供人随后可能试图进入由PACS控制的门口的动作的指示。这可以包括物联网(IoT)设备。人可以与之交互的、可以向PACS提供意图指示和行为模式的设备和系统的示例可以包括车库开门器、恒温器、智能照明、电视和电器。

PACS可以使用利用用户习惯训练的神经网络来预测和识别用户进入门口的意图。这可以包括识别用户例如使用他们的移动设备可能正在执行的不同动作或连接。例如，办公室可能具有供人们使用的健身房。作为Tara正常工作日的一部分，她可能每天多次路过健身房的门和读取器。然而，当Tara确实使用健身房时，她通常是利用她的蓝牙耳塞听音乐。PACS神经网络可以使用该数据识别出Tara在使用她的耳塞时通常意图进入健身房，但其他时候进入的意图非常低。

可以利用每个用户的习惯来训练PACS神经网络以识别常见的用户动作和动作序列，这些用户动作和动作序列可以用于识别意图的门口和进入点。例如，人的典型的一天可以包括：进入建筑物访问点、进入其楼层的访问点、然后访问安全房间。这些访问点中的一些可以具有多种选择，例如对于不同的租户楼层可以有不同的门。习惯数据可以包括其他数据以识别习惯的改变。例如，先前描述的习惯可以是针对人早上何时到达办公室。然而，在午餐时间，人可以带着午餐返回并且通过楼层的不同门口进入午餐室。

可以使用经训练的神经网络来识别未知或新用户的意图。例如，新员工可以开始工作并且因此对于该员工不存在特定的习惯数据。PACS神经网络识别出员工从事会计工作，从而使用其他会计员工的经训练的数据来识别新员工的意图。

PACS可以接收关于用户利用他们的移动设备执行的其他应用和功能的数据。例如，用户可以在办公室或会议室中具有Wi-Fi连接的灯。用户可以在他们到达这样房间的门口之前利用他们的移动设备打开灯。PACS可以使用该动作数据来识别出用户意图进入房间。

PACS神经网络可以组合多个因素来识别人进入门口的意图以及释放用于进入门口的凭证的时间。例如，确定用户的正常例程可能受温度的影响。

当通过BLE接收到凭证时，读取器可以执行初步认证以识别是否应当认证由密钥设备提供的凭证以及是否应当与密钥设备发生任何进一步通信，例如利用UWB进行测距。如果读取器能够利用广泛的验证确定所提供的凭证将不进行认证，则消除了使用UWB对密钥设备进行测距的功率和处理成本。

可以使用黑名单或白名单来执行初步认证。黑名单和白名单可以具有条件因素，例如时间条件。例如，建筑物可以在夜间限制访问，因此从晚上8:00到早上6:00使用仅包括安全和维护的白名单。

可以通过正则表达式匹配和相似模式识别来执行初步认证。读取器可以通过与密钥设备的BLE通信接收凭证。读取器可以使用在该读取器处接受以用于进入的凭证的格式序列的正则表达式来识别接收到的凭证是否为正确的格式序列。如果不是，则读取器可以丢弃凭证并且停止与密钥设备的通信。作为示例，由读取器接受的用于进入的凭证的格式序列可以为字母“K”后跟六个数字。如果所提供的凭证的格式序列为字母“WX”后跟七个数字，则读取器可以忽略该凭证，并且不对其进行缓存或认证，包括停止任何通信或测距以节省电力和处理。

PACS可以基于试图访问安全门口的人附近的人来启动用于访问安全门口的附加预防措施，例如用于防止尾随者(例如，试图通过跟随经授权的人获得访问的人)。如果PACS识别出经授权的密钥设备附近的未授权的密钥设备，这可以增加用于识别意图的阈值，以及仅当经授权的密钥设备非常靠近门口时才解锁门口。如果摄像装置与PACS一起使用并且在具有经授权的密钥设备的人附近存在没有密钥设备的人，则可以应用相同的情况。

图5示出了根据一些实施方式的显示用于管理对资产的访问的技术500的流程图。技术500可以用于管理对以下资产的访问，其中资产是物理位置，例如房间、建筑物或家。技术500可以用于管理对以下资产的访问，其中资产是电子设备，例如计算机、计算机网络、智能电话或诸如自动柜员机的特定设备。

技术500包括与密钥设备建立第一连接(例如密钥设备和读取器之间的连接)的操作502。第一连接可以是NFC，例如RFID技术或PAN技术，例如IEEE 802.15.1、Wi-Fi或BLE。密钥设备可以是具有集成电路的物理卡，该物理卡存储诸如凭证的信息以及关于密钥设备的持有者的信息。密钥设备可以是诸如智能电话的移动设备。移动设备可以包括用于与读取器对接的应用或者包括安全元件。

技术500包括通过第一连接接收用户的凭证的操作504。在读取器与密钥设备之间建立第一连接后，密钥设备可以向读取器发送凭证(例如用户的凭证)。技术500可以包括将凭证存储在读取器的缓存存储器中的操作。可以将凭证存储在其他存储器中或者发送至另一计算机系统以存储在系统的相应存储器中。

技术500包括与密钥设备建立第二连接的操作506。第二连接可以是UWB。技术500可以包括使用第二连接来维持密钥设备的位置或定位的操作。可以使用范围检测来确定位置或定位。与密钥设备建立第二连接的操作可以基于密钥设备使用第一连接的交互而发生。

技术500可以包括对与访问资产的凭证相关联的用户的凭证进行认证的操作。认证可以包括将凭证发送至认证机构。技术500可以包括从认证服务接收验证指示并且因此允许访问资产的操作。

技术500包括向访问控制器提供凭证的操作508。向访问控制器提供凭证可以包括从缓存存储器传送凭证的操作。可以基于确定用户意图访问资产来向访问控制器提供凭证。访问控制器可以包括物理访问控制系统控制器。

在确定用户意图访问资产时，技术500可以包括使用第二连接确定密钥设备的位置点集合的操作。位置点可以是通过UWB检测的距离读取器的位置、定位或范围。技术500可以包括计算用户将使用该位置点集合访问资产的概率的操作。技术500可以包括确定概率超过预定阈值的操作。根据资产和安全访问的类型，可以调整阈值，因此对于更安全的资产可以设置高概率阈值，而对于较不安全的资产可以设置低概率阈值。

技术500可以包括从访问控制器接收验证指示并且允许访问资产的操作。例如，可以验证用户可以访问资产的凭证。资产可以是门口或安全进入点，或者资产可以是电子设备。

技术500可以包括从缓存存储器中移除凭证的操作。可以基于接收到用户不被允许访问资产的指示而从缓存存储器中移除凭证。例如，凭证可能未被验证，并且读取器可以接收到用户可能无法访问资产的指示。可以基于丢失与密钥设备的第二连接而从缓存存储器中移除凭证。例如，如果密钥设备移出第二连接的范围，这可以指示密钥设备(和用户)不再靠近读取器，并且因此访问资产的意图较低，因此从缓存存储器中移除凭证。可以基于预定时间的流逝而从缓存存储器中移除凭证。例如，从建立第二连接的时间起，如果在预定时间段内没有使用密钥设备访问资产，则可以从缓存存储器中移除凭证。这可以被执行以节省内存和资源。用户可能需要执行例如将密钥设备放置在读取器上的动作，以再次传送凭证并且尝试访问资产。

图6示出了根据一些实施方式的显示用于使用密钥设备来管理对资产的访问的技术600的流程图。技术600可以用于管理对以下资产的访问，其中资产是物理位置，例如房间、建筑物或家。技术600可以用于管理对以下资产的访问，其中资产是电子设备，例如计算机、计算机网络或智能电话。

技术600包括在密钥设备进入第一连接范围时在密钥设备与读取器之间建立第一连接的操作502。第一连接可以是PAN，例如通过BLE。技术600包括使用第一连接从密钥设备向读取器提供与用户相关联的凭证的操作604。

技术600包括在密钥设备与读取器之间建立第二连接的操作606。第二连接可以是UWB。第二连接是基于进入第二连接范围的密钥设备。例如，UWB不具有与BLE一样大的范围。密钥设备可以首先通过BLE与读取器建立连接。当密钥设备移动靠近读取器并且在UWB范围内时，密钥设备和读取器可以通过UWB建立第二连接。通过UWB，可以确定密钥设备的范围或位置。

技术600包括从读取器向授权服务提供凭证的操作608。读取器可以发送凭证以接收密钥设备的用户访问资产的授权。技术600包括在读取器处接收来自授权服务的对凭证的验证的操作610。如果凭证不具有访问资产的许可，则读取器可以接收到来自授权服务的拒绝。

技术600包括从读取器向访问控制器发送准许对资产的访问的命令的操作612。这可以是解锁门口的命令或者解锁电子设备以供使用的命令。可以基于确定用户意图访问资产来向访问控制器提供凭证。在确定用户意图访问资产时，技术600可以包括在读取器处使用第二连接确定密钥设备的位置点集合的操作。这可以通过使用UWB的范围检测来执行。技术600可以包括使用该位置点集合计算用户将访问资产的概率并且确定该概率超过预定阈值的操作。

可以部分地基于从密钥设备的传感器收集的传感器数据来确定用户意图访问资产。例如，密钥设备的GPS可以提供位置信息，或者密钥设备的加速度计可以提供移动信息(例如用户正在跑步)。

图7示出了根据一些实施方式的显示用于管理对资产的访问的技术700的流程图。技术700包括使用第一无线连接从与用户相关联的无线密钥设备接收第一消息的操作702。PACS可以在读取器处接收第一消息以用于安全进入点。第一消息可以包括用户凭证。第一无线连接可以是NFC，例如RFID技术或PAN技术，例如IEEE 802.15.1和BLE。

技术700包括使用第二无线连接从无线密钥设备接收消息集合的操作704。第二无线连接可以是UWB。该消息集合可以是读取器与密钥设备之间来回的一系列通信。通信可以包括种子或哈希计数器以提供安全性并且防止密钥设备的欺骗。

技术700包括使用第二无线连接针对该消息集合识别无线密钥设备的位置点集合的操作706。PACS可以使用诸如UWB的通信技术，识别密钥设备的位置或者密钥设备到读取器或多个读取器的范围。

技术700包括基于该位置点集合确定用户意图物理地访问安全进入点的操作708。安全进入点可以是第二无线连接范围内的多个安全进入点之一。技术700包括基于从该位置点集合计算轨迹来确定多个安全进入点中用户意图物理地访问的安全进入点的其他操作。

技术700包括使用该位置点集合计算用户将物理地访问安全进入点的概率并且确定该概率超过预定阈值的其他操作。例如，读取器可以识别距离读取器的多个半径范围。对于确定密钥设备在其中的每个逐渐接近的范围，概率可能增加。如果确定密钥设备在范围中的一个范围内停止或者如果密钥设备返回到较远的范围，则概率可能降低。预定阈值可以用于识别概率或意图何时足够高以使得应当释放安全进入点。阈值可以取决于诸如以下因素：被访问的区域(即会议室或开发实验室)的安全级别、附近其他进入点的数目以及特定密钥设备访问安全进入点的频率。

技术700包括发送解锁安全进入点的命令的操作710。存在许多类型的安全进入点，例如门口、旋转门、通过门、电梯和停车臂。解锁安全进入点包括针对该类型安全进入点的任何适用方法，其将提供受限访问以变得不受密钥设备持有者限制。

技术700包括向授权服务发送凭证的其他操作。授权服务对于读取器来说可以是本地的，例如在住宅中。授权服务可以通过网络或因特网连接至读取器，以向多个位置或进入点提供凭证授权。授权服务可以被集成到读取器中。技术700包括从授权服务接收用户被授权访问安全进入点的指示的其他操作。授权服务可以验证凭证并且向读取器返回凭证持有者被授权或未被授权进入安全进入点的指示。

图8示出了根据一些实施方式的显示用于管理对资产的访问的技术800的流程图。技术800包括使用第一无线连接从与用户相关联的密钥设备接收凭证的操作802。第一无线连接可以是NFC，例如RFID技术或PAN技术，例如IEEE 802.15.1和BLE。

技术800包括利用对资产的初步认证来验证凭证的操作804。初步认证可以发生在读取器或读取器本地的设备处。初步认证可以包括使用模式匹配来识别凭证包括模式。可以使用正则表达式来限定该模式。技术800包括利用通过将凭证与凭证的白名单进行比较的初步认证来验证凭证的操作。白名单可以应用于基于一天中的时间的初步认证。例如，白名单可以识别被允许在晚上和周末进入办公楼的一组人。

技术800包括响应于利用初步认证来验证凭证而与密钥设备建立第二无线连接的操作806。第二无线连接可以是UWB。PACS可以使用诸如UWB的通信技术，识别密钥设备的位置或者密钥设备到读取器或多个读取器的范围。

技术800包括向授权服务发送凭证并且从授权服务接收用户被授权访问资产的指示的操作。执行初步授权以帮助消除因为凭证可能不符合正确的格式或模式而将被授权服务自动拒绝的任何凭证。这可以消除发送和认证这些凭证的时间和处理。技术800包括提供准许对资产的访问的命令的操作808。

图9示出了根据一些实施方式的显示用于管理对资产的访问的技术900的流程图。技术900包括使用第一无线连接从与用户相关联的密钥设备接收资产的凭证的操作902。第一无线连接可以是NFC，例如RFID技术或PAN技术，例如IEEE 802.15.1和BLE。

技术900包括将凭证存储在存储器的缓存中的操作904。PACS可以将凭证缓存在存储器(例如读取器的存储器)中，以用于将来在用户意图进入资产时进行认证。认证凭证的意图阈值可以在解锁对资产的访问的意图阈值以下。例如，当用户朝向门口移动时，PACS可以确定用户意图进入门口的概率为60％，并且将凭证发送至认证服务。随着用户继续朝向门口，概率可以改变为90％，并且然后读取器发送解锁门口的命令。

技术900包括与密钥设备建立第二无线连接的操作906。第二无线连接可以是UWB。PACS可以使用诸如UWB的通信技术，识别密钥设备的位置或者密钥设备到读取器或多个读取器的范围。

技术900包括响应于与密钥设备建立第二无线连接而向授权服务请求对凭证的验证的操作908。授权服务对于读取器来说可以是本地的，例如在住宅中。授权服务可以通过网络或因特网连接至读取器，以向多个位置或进入点提供凭证授权。授权服务可以被集成到读取器中。

技术900包括从授权服务接收验证令牌的操作910。验证令牌可以用于发送至授权服务或访问控制服务以指示所提供的凭证已被验证。技术900包括将验证令牌存储在缓存中的操作912。

技术900还可以包括使用第二无线连接确定密钥设备在多个范围半径的第一范围半径内的操作，其中，多个范围半径从无线密钥设备读取器延伸。PACS可以识别距读取器的距离范围。例如，PACS可以指定三个范围，第一个在读取器的五英尺半径内，第二个在读取器的五英尺到十英尺半径内，并且第三个在读取器的十英尺到十五英尺半径内。

技术900还可以包括使用第二无线连接确定密钥设备在多个范围半径的第二范围半径内的操作，其中，第二范围半径比第一范围半径更靠近无线密钥设备读取器。根据先前的三个范围的示例，PACS可以使用UWB确定密钥设备最初在第三范围内并且已经移动到第二范围中。

技术900还可以包括基于确定无线密钥设备在第二范围半径内来计算用户意图物理地访问资产的概率的操作。根据先前的示例，密钥设备已经从较远的距离范围移动到较近的距离范围，从而增加了用户朝向读取器移动的概率。

技术900还可以包括确定概率超过预定阈值的操作。技术900还可以包括将验证令牌发送至访问控制服务的操作。基于超过阈值的概率，PACS可以将验证令牌发送至访问控制服务以指示资产应当被解锁。技术900还可以包括接收准许对资产的访问的命令的操作。授权服务和访问控制服务可以集成到PACS中，可以联网到PACS，或者可以是对PACS的单独服务。

技术900还可以包括使用第二无线连接确定密钥设备在多个范围半径的第二范围半径内的操作，其中，第二范围半径比第一范围半径距无线密钥设备读取器更远。根据先前的三个范围的示例，PACS可以使用UWB确定密钥设备最初在第二范围内，并且已经更远地移动到第三范围内。

技术900还可以包括从缓存中移除验证令牌和凭证的操作。根据先前的示例，密钥设备已经从较近的距离范围移动到较远的距离范围，从而增加了用户不意图访问资产的概率，并且因此从缓存中移除所存储的信息(例如凭证和验证令牌)。

技术900还可以包括确定在预定时间段内未接收到来自密钥设备的响应的操作。当PACS发送消息时，PACS可以启动定时器。当PACS接收到来自无线密钥设备的响应时，可以取消定时器。如果定时器超时，基于所确定的超时时间，则PACS可以确定无线密钥设备不再在范围内，并且因此用户意图访问资产的概率非常低。技术900还可以包括基于不再需要验证令牌和凭证而将他们从缓存中移除的操作。

图10示出了根据一些实施方式的显示用于管理对资产的访问的技术1000的流程图。技术1000包括使用第一无线连接从与用户相关联的密钥设备接收用户的凭证的操作1002。第一无线连接可以是NFC，例如RFID技术或PAN技术，例如IEEE 802.15.1和BLE。

技术1000包括与密钥设备建立第二无线连接的操作1004。第二无线连接可以是UWB。PACS可以使用诸如UWB的通信技术，识别密钥设备的位置或者密钥设备到读取器或多个读取器的范围。

技术1000包括基于从第二无线连接得出的生成的数据集来确定用户意图访问资产的操作1006。PACS可以通过使用UWB根据第二无线连接确定位置信息。第二无线连接可以包括来自密钥设备的信息，例如来自密钥设备的传感器的传感器数据。数据集可以包括从密钥设备提供的以及从第二无线连接得出的可以用于确定用户意图的数据二者。

在确定用户意图访问资产时，技术1000可以包括使用数据集和经训练的机器学习模型来确定用户意图访问资产的概率的操作。经训练的机器学习模型利用从多个用户收集的数据集进行训练。数据集可以包括多个用户在资产范围内的移动数据。数据集可以包括来自多个用户的移动数据。从无线密钥设备接收到的信息可以包括从无线密钥设备的加速度计收集的用户的移动数据。

例如，对于特定资产或安全进入点，当进入安全进入点时不同的人如何接近安全进入点以及朝向安全进入点移动的位置数据和移动数据以及当人们不进入安全进入点时的数据可以用于训练机器学习模型。该训练可以提供机器学习模型以识别当人们的意图是进入安全进入点时人们可能如何移动和他们接近的角度。数据集可以包括一天中的时间的时间戳并且用户的数据集可以被加上时间戳。将时间包括在机器学习模型的训练中可以指示基于一天中的时间的不同模式和动作。例如，人们可能不太可能在午餐时间访问安全进入点。

对用户意图访问资产的确定可以包括使用从日历系统接收的数据。技术1000还可以包括识别日历系统中与资产相关联的事件的操作。例如，日历系统可以指示在附接至安全进入点的房间中正在进行会议。技术1000还可以包括识别用户出席事件的指示的操作。日历系统可以提供会议的出席者列表并且PACS可以识别用户是这些出席者之一，这可以增加用户意图进入安全进入点的概率。技术1000包括发送准许对资产的访问的命令的操作1008。

图11示出了可以在其上执行本文中讨论的任何一种或更多种技术(例如，方法)的示例机器1100的框图。在替选的实施方式中，机器1100可以作为独立的设备操作或者可以连接(例如，联网)至其他机器。在联网的部署中，机器1100可以在服务器-客户端网络环境中以服务器机器、客户端机器或二者的能力进行操作。在示例中，机器1100可以充当对等(P2P)(或其他分布式)网络环境中的对等机器。机器1100可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、移动电话、web应用、网络路由器、交换机或桥接器，或者能够(顺序地或以其他方式)执行指定要由该机器采取的动作的指令的任何机器。此外，尽管仅示出了单个机器，但是术语“机器”也可以被视为包括单独或联合地执行一组(或多组)指令以执行本文所讨论的诸如云计算、软件即服务(SaaS)或其他计算机集群配置的方法中的任意一个或更多个的机器的任何集合。

如本文所述，示例可以包括逻辑或多个部件或机制，或者可以由逻辑或多个部件或机制操作。电路组是在包括硬件(例如，简单电路、门、逻辑等)的有形实体中实现的电路的集合。电路组成员随时间和底层硬件可变性可以是灵活的。电路组包括可以在操作时单独或组合执行指定操作的成员。在示例中，电路组的硬件可以被不变地设计成执行指定操作(例如，硬连线)。在示例中，电路组的硬件可以包括可变地连接的物理部件(例如，执行单元、晶体管、简单电路等)以对指定操作的指令进行编码，可变地连接的物理部件包括被物理地修改(例如，磁力地、电力地、不变质量粒子的可移动放置等)的计算机可读介质。在连接物理部件时，硬件组件的底层电性能被改变，例如从绝缘体被改变为导体或者从导体被改变为绝缘体。指令使得嵌入式硬件(例如，执行单元或加载机制)能够经由可变连接创建硬件中的电路组的成员以在操作时执行指定操作的部分。因此，当设备在操作时，计算机可读介质通信地耦接至电路组成员的其他部件。在示例中，物理部件中的任何部件可以在多于一个电路组的多于一个成员中使用。例如，在操作中，执行单元可以在一个时间点在第一电路组的第一电路中使用，并且在不同的时间被第一电路组中的第二电路或者被第二电路组中的第三电路重复使用。

机器(例如，计算机系统)1100可以包括硬件处理器1102(例如，中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核、现场可编程门阵列(FPGA)或其任意组合)、主存储器1104和静态存储器1106，以上中的一些或全部可以经由互连(例如，总线)1108彼此通信。机器1100还可以包括显示单元1110、字母数字输入设备1112(例如，键盘)和用户界面(UI)导航设备1114(例如，鼠标)。在示例中，显示单元1110、输入设备1112和UI导航设备1114可以是触摸屏显示器。机器1100可以附加地包括存储设备(例如，驱动单元)1116、信号生成装设备1118(例如，扬声器)、网络接口设备1120以及一个或更多个传感器1121例如全球定位系统(GPS)传感器、指南针、加速度计或其他传感器。机器1100可以包括输出控制器1128，例如串行(例如，通用串行总线(USB)、并行或者其他有线或无线(例如，红外(IR)、近场通信(NFC)等)连接以进行通信或控制一个或更多个外围设备(例如，打印机、读卡器等)。

存储设备1116可以机器可读介质1122，其上存储有实现本文描述的技术或功能中的任何一个或更多个或由其使用的一个或更多个数据结构集合或指令1124(例如，软件)。指令1124还可以在机器1100执行该指令期间全部地或至少部分地驻留在主存储器1104内、静态存储器1106内或硬件处理器1102内。在示例中，硬件处理器1102、主存储器1104、静态存储器1106或存储设备1116中的一个或任意组合可以构成机器可读介质。

尽管机器可读介质1122被示出为单个介质，但是术语“机器可读介质”可以包括被配置成存储一个或更多个指令1124的单个介质或多个介质(例如，集中式或分布式数据库，和/或相关联的缓存和服务器)。

术语“机器可读介质”可以包括能够存储、编码或携载用于由机器1100执行并且使机器1100执行本公开内容的技术中的任意一个或更多个的指令或者能够存储、编码或携载由这样的指令使用的数据结构或者与这样的指令相关联的数据结构的任意介质。非限制性机器可读介质示例可以包括固态存储器以及光学和磁性介质。在示例中，大容量机器可读介质包括具有多个粒子的机器可读介质，所述粒子具有不变(例如，静止)质量。因此，大容量机器可读介质不是暂态传播信号。大容量机器可读介质的具体示例可以包括：非易失性存储器，例如半导体存储器设备(例如，电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))和闪速存储器设备；磁盘，例如内部硬盘和可移动盘；磁光盘；以及CD-ROM和DVD-ROM盘。

还可以利用多个传输协议(例如，帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)中的任意一个经由网络接口设备1120使用传输介质通过通信网络1126发送或接收指令1124。示例通信网络可以包括局域网(LAN)、广域网(WAN)、分组数据网络(例如，因特网)、移动电话网络(例如，蜂窝网络)、普通老式电话(POTS)网络以及无线数据网络(例如，被称为

的电气和电子工程师协会(IEEE)802.11标准族、被称为

的IEEE 802.16标准族)、IEEE 802.15.4标准族、对等式(P2P)网络等。在示例中，网络接口设备1120可以包括一个或更多个物理插孔(例如，以太网、同轴或电话插孔)或者用于连接至通信网络1126的一个或更多个天线。在示例中，网络接口设备1120可以包括多个天线以使用单输入多输出(SIMO)技术、多输入多输出(MIMO)技术或多输入单输出(MISO)技术中至少一个来无线地通信。术语“传输介质”应当被认为包括能够存储、编码或携载用于由机器1100执行的指令的任意无形介质，并且包括数字或模拟通信信号或其他无形介质以便于这样的软件的通信。

以上的详细描述包括对附图的参照，这些附图形成详细描述的一部分。附图通过说明的方式示出了可以实践的特定实施方式。这些实施方式在本文中也称为“示例”。这样的示例可以包括除了示出或描述的元件之外的元件。然而，本发明人还考虑了其中仅提供了所示出或描述的这些元件的示例。此外，本发明人还考虑了使用关于特定示例(或者特定示例的一个或更多个方面)或关于在本文中示出或描述的其他示例(或者其他示例的一个或更多个方面)示出的或描述的这些元件(或者这些元件的一个或更多个方面)的任何组合或置换的示例。

本文档中提及的所有出版物、专利和专利文献通过引用整体并入本文中，如同通过引用单独地并入一样。如果在本文档与通过引用并入的那些文档之间存在不一致用法，则并入的(一个或更多个)参考文档中的用法应当被视为对本文档的用法的补充；对于矛盾的不一致之处，请以本文档中的用法为准。

在本文档中，如在专利文档中常见的，术语“一”或“一个”用于包括一个或多于一个，而与“至少一个”或“一个或更多个”的任何其他实例或使用无关。在本文档中，除非另有说明，否则术语“或”用于表示非排他性的或，使得“A或B”包括“A而非B”、“B而非A”以及“A和B”。在所附权利要求中，术语“包括(including)”和“其中(in which)”用作相应术语“包含(comprising)”和“其中(wherein)”的普通英文等同物。此外，在以下的权利要求中，术语“包括(including)”和“包含(comprising)”是开放式的，也就是说，包括除了权利要求中在这样的术语之后列出的那些元素之外的元素的系统、设备、物品或过程仍然被认为落入该权利要求的范围内。此外，在以下权利要求中，术语“第一”、“第二”和“第三”等仅用作标记，并且不旨在对其对象施加数值要求。

以上描述旨在是说明性的，而非限制性的。例如，上述示例(或上述示例的一个或更多个方面)可以彼此组合使用。在查看上面的描述之后，可以例如由本领域的普通技术人员使用其他实施方式。摘要是为了使读者能够快速地确定技术公开内容的性质，并且在理解摘要将不用于解释或限定权利要求的范围或含义的情况下提交了本摘要。此外，在以上具体实施方式中，可以将各种特征组合在一起以简化本公开内容。这不应当被解释为旨在是未要求保护的公开特征对于任何权利要求是必要的。而是，发明主题可以在于少于特定公开实施方式的所有特征。因此，以下权利要求由此并入具体实施方式中，其中每项权利要求独立地作为单独的实施方式。应当参照所附权利要求以及这些权利要求所赋予的等同物的全部范围来确定本实施方式的范围。

Claims (20)

1.一种用于管理对资产的访问的方法，包括：

使用第一无线连接从与用户相关联的密钥设备接收用于所述资产的凭证；

将所述凭证存储在存储器的缓存中；

与所述密钥设备建立第二无线连接；

响应于与所述密钥设备建立所述第二无线连接，向授权服务请求对所述凭证的验证；

从所述授权服务接收验证令牌；以及

将所述验证令牌存储在所述缓存中。

2.根据权利要求1所述的方法，其中，所述第一无线连接是低功耗蓝牙并且所述第二无线连接是超宽带。

3.根据权利要求1或2所述的方法，还包括：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第一范围半径内，其中，所述多个范围半径从密钥设备读取器延伸。

4.根据权利要求3所述的方法，还包括：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第二范围半径内，其中，所述第二范围半径比所述第一范围半径更靠近所述密钥设备读取器；

将所述验证令牌发送至访问控制服务；以及

接收准许对所述资产的访问的命令。

5.根据权利要求4所述的方法，还包括：

基于确定所述密钥设备在所述第二范围半径内，计算所述用户意图物理地访问所述资产的概率；以及

确定所述概率超过预定阈值。

6.根据权利要求3所述的方法，还包括：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第二范围半径内，其中，所述第二范围半径比所述第一范围半径距所述密钥设备读取器更远；以及

从所述缓存中移除所述验证令牌和凭证。

7.根据任一前述权利要求所述的方法，还包括：

确定在预定时间段内没有接收到来自所述密钥设备的响应；以及

从所述缓存中移除所述验证令牌和凭证。

8.根据任一前述权利要求所述的方法，其中，所述资产是物理位置。

9.根据任一前述权利要求所述的方法，其中，所述资产是电子设备。

10.根据任一前述权利要求所述的方法，其中，所述密钥设备是移动设备。

11.一种用于管理对资产的访问的系统，包括：

至少一个处理器；以及

存储器，其包括指令，所述指令在由所述至少一个处理器执行时，使所述至少一个处理器进行以下操作：

使用第一无线连接从与用户相关联的密钥设备接收用于所述资产的凭证；

将所述凭证存储在所述存储器的缓存中；

与所述密钥设备建立第二无线连接；

响应于与所述密钥设备建立所述第二无线连接，向授权服务请求对所述凭证的验证；

从所述授权服务接收验证令牌；以及

将所述验证令牌存储在所述缓存中。

12.根据权利要求11所述的系统，其中，所述第一无线连接是低功耗蓝牙并且所述第二无线连接是超宽带。

13.根据权利要求11或12所述的系统，还包括用于进行以下操作的指令：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第一范围半径内，其中，所述多个范围半径从密钥设备读取器延伸。

14.根据权利要求13所述的系统，还包括用于进行以下操作的指令：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第二范围半径内，其中，所述第二范围半径比所述第一范围半径更靠近所述密钥设备读取器；

将所述验证令牌发送至访问控制服务；以及

接收准许对所述资产的访问的命令。

15.根据权利要求14所述的系统，还包括用于进行以下操作的指令：

基于确定所述密钥设备在所述第二范围半径内，计算所述用户意图物理地访问所述资产的概率；以及

确定所述概率超过预定阈值。

16.根据权利要求13所述的系统，还包括用于进行以下操作的指令：

使用所述第二无线连接确定所述密钥设备在多个范围半径中的第二范围半径内，其中，所述第二范围半径比所述第一范围半径距所述密钥设备读取器更远；以及

从所述缓存中移除所述验证令牌和凭证。

17.根据权利要求11至16中任一项所述的系统，还包括用于进行以下操作的指令：

确定在预定时间段内没有接收到来自所述密钥设备的响应；以及

从所述缓存中移除所述验证令牌和凭证。

18.根据权利要求11至17中任一项所述的系统，其中，所述资产是物理位置。

19.根据权利要求11至18中任一项所述的系统，其中，所述资产是电子设备。

20.根据权利要求11至19中任一项所述的系统，其中，所述密钥设备是移动设备。

Images