访问控制系统.pdf

公开一种访问控制系统。所述访问控制系统用于计算设备，所述计算设备包括显示器、一个或多个处理器、存储介质、通信接口和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：用于通过所述通信接口读取物理密钥的标识符(ID)的指令；和用于确定从所述物理密钥中读取的ID是否被包括在已配对的物理密钥的列表上的指令，其中如果从所述物理密钥中读取的ID被包括在所述已配对的物理密钥的列表上，那么所述访问控制系统调用向所述操作系统传送与有效口令的输入等效的授权信号的指令。

1.  一种用于计算设备的访问控制系统，所述计算设备包括显示器、一个或多个处理器、存储介质、通信接口和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：
用于通过所述通信接口读取物理密钥的标识符(ID)的指令；和
用于确定从所述物理密钥中读取的ID是否被包括在已配对的物理密钥的列表上的指令，其中如果从所述物理密钥中读取的ID被包括在所述已配对的物理密钥的列表上，那么所述访问控制系统调用向所述操作系统传送与有效口令的输入等效的授权信号的指令。

2.  如权利要求1所述的访问控制系统，其中所述通信接口包括NFC通信接口，并且其中所述物理密钥包括NFC标签。

3.  如权利要求1所述的访问控制系统，其中所述通信接口包括Wi-Fi通信接口、蓝牙通信接口和USB通信接口中的一个或多个。

4.  如权利要求1所述的访问控制系统，其中如果从所述物理密钥中读取的ID不在所述已配对的物理密钥的列表上，那么所述访问控制系统调用用于确定从所述物理密钥中读取的ID是否被包括在已核准的物理密钥标识符的列表上的指令，其中：如果从所述物理密钥中读取的ID被包括在所述已核准的物理密钥标识符的列表上，那么所述访问控制系统调用使得所述显示器的屏幕显示口令提示、并且通过把从所述物理密钥中读取的ID存储在所述已配对的物理密钥的列表上来对有效口令的输入作出响应但不对任何其他的输入作出响应的指令；如果从所述物理密钥中读取的ID不被包括在所述已核准的物理密钥标识符的列表上，那么所述访问控制系统不与所述物理密钥进行配对。

5.  如权利要求4所述的访问控制系统，其中所述已核准的物理密钥标识符的列表被存储在所述计算设备上的存储介质中。

6.  如权利要求5所述的访问控制系统，其中存储在所述计算设备上的存储介质中的已核准的物理密钥标识符的列表是被加密的。

7.  如权利要求2所述的访问控制系统，其中所述ID是通过以下操作被读取的：检测在与所述计算设备通信连接的NFC读取器接口的操作范围内所述 物理密钥的存在，在所述NFC读取器接口与所述物理密钥之间建立NFC通信链接，以及从所述物理密钥中读取所述ID。

8.  如权利要求1所述的访问控制系统，其中所述计算设备进一步包括无线数据通信接口，所述已核准的物理密钥标识符的列表被存储在计算机中而不是存储在所述计算设备中，并且所述访问控制系统包括用于通过所述无线数据通信接口与所述计算机而不是与所述计算设备进行通信操作的指令，所述通信操作与确定从所述物理密钥中读取的ID是否在所述已核准的物理密钥标识符的列表上有关。

9.  一种用于计算设备的访问控制系统，所述计算设备包括显示器、一个或多个处理器、存储介质、近场通信(NFC)读取器接口和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：
用于执行以下操作的指令：检测在所述NFC读取器接口的操作范围内物理密钥的存在，在所述NFC读取器接口与所述物理密钥之间建立NFC通信链接，以及通过所述NFC读取器接口从所述物理密钥中取回标识符(ID)；和
用于执行以下操作的指令：确定从所述物理密钥中读取的ID是否被包括在已配对的物理密钥的列表上的指令，其中如果从所述物理密钥中读取的ID被包括在所述已配对的物理密钥的列表上，那么所述访问控制系统调用向所述操作系统传送与有效口令的输入等效的授权信号的指令；如果从所述物理密钥中读取的ID不在所述已配对的物理密钥的列表上，那么所述访问控制系统调用用于确定从所述物理密钥中读取的ID是否被包括在已核准的物理密钥标识符的列表上的指令，其中：如果从所述物理密钥中读取的ID被包括在所述已核准的物理密钥标识符的列表上，那么所述访问控制系统调用使得所述显示器的屏幕显示口令提示、并且通过把从所述物理密钥中读取的ID加密并存储在所述已配对的物理密钥的列表上来对有效口令的输入作出响应的指令；如果从所述物理密钥中读取的ID不被包括在所述已核准的物理密钥标识符的列表上，那么所述访问控制系统不与所述物理密钥进行配对。

10.  如权利要求9所述的访问控制系统，其中所述计算设备进一步包括无线数据通信接口，所述已核准的物理密钥标识符的列表被存储在计算机中而不是存储在所述计算设备中，并且所述访问控制系统包括用于通过所述无线数据 通信接口与所述计算机而不是与所述计算设备进行通信操作的指令，所述通信操作与确定从所述物理密钥中读取的ID是否在所述已核准的物理密钥标识符的列表上有关。

11.  一种用于计算设备的访问控制系统，所述计算设备包括显示器、一个或多个处理器、存储介质、通信接口、电子商务界面和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：
用于通过所述通信接口读取物理密钥的标识符(ID)的指令；和
用于确定从所述物理密钥中读取的ID是否被包括在有效信用值物理密钥的列表上的指令，
其中所述有效信用值物理密钥的列表被存储在计算机中而不是存储在所述计算设备中，并且所述访问控制系统包括用于与所述计算机而不是与所述计算设备进行通信操作的指令，所述通信操作与确定从所述物理密钥中读取的ID是否在所述有效信用值物理密钥的列表上有关，
其中所述有效信用值物理密钥的列表包括每个有效信用值物理密钥的对应值，并且
其中如果从所述物理密钥中读取的ID被包括在所述有效信用值物理密钥的列表上，那么所述访问控制系统调用向所述电子商务界面传送信用值授权信号的指令，所述信用值授权信号可操作地用于向账户余额增加相应量，所述账户余额可操作地用于通过所述电子商务界面为交易提供资金。

12.  如权利要求11所述的访问控制系统，进一步包括：
用于确定从所述物理密钥中读取的ID是否与一个或多个预定标准相符的指令，所述预定标准将有效信用值物理密钥与对于信用值而言并非有效的其他物理密钥区分开，
其中所述一个或多个预定标准中的每个预定标准对应于与所述一个或多个预定标准相符的物理密钥的对应值，并且
其中如果从所述物理密钥中读取的ID与将有效信用值物理密钥与对于信用值而言并非有效的其他物理密钥区分开的预定标准相符，那么所述访问控制系统调用向所述电子商务界面传送信用值授权信号的指令，所述信用值授权信号可操作地用于向账户余额增加相应量，所述账户余额可操作地用于通过所述 电子商务界面为交易提供资金。

13.  如权利要求11所述的访问控制系统，其中所述通信接口包括NFC通信接口，并且其中所述物理密钥包括NFC标签。

14.  如权利要求11所述的访问控制系统，其中所述通信接口包括Wi-Fi通信接口、蓝牙通信接口和USB通信接口中的一个或多个。

15.  如权利要求13所述的访问控制系统，其中所述ID是通过以下操作被读取的：检测在与所述计算设备通信连接的NFC读取器接口的操作范围内所述物理密钥的存在，在所述NFC读取器接口与所述物理密钥之间建立NFC通信链接，以及从所述物理密钥中读取所述ID。

访问控制系统
技术领域
本发明一般涉及用于计算设备的访问控制(access control)领域，更具体地但不作为限制而言，本发明涉及新的并且非显而易见的访问控制系统，所述访问控制系统与计算设备上的访问控制软件和近场通信(NFC)读取器接口或其他通信接口相结合地使用NFC标签(tag)，来管理对所述计算设备、所述计算设备的资源、和/或可用于电子商务(e-commerce)交易的虚拟信用值(virtual credit)的访问。
背景技术
因为包括(但非限制性)隐私、儿童安保和公司安全的原因，需要控制对计算设备和/或计算设备的资源的访问。以前已知的对计算设备的访问控制在传统上通过登陆凭证(login credential)(例如，用户名和/或口令挑战值(password challenge))和/或生物特征认证(biometric authentication)(例如，指纹读取器)等的使用而得以实现。
计算设备越来越多地被用于诸如家庭和企业环境之类的各环境中，在这些环境中，多个用户可能需要或者想要使用同一计算设备。在这样的使用情况下，对该设备和/或该设备的资源的访问的可靠控制是极重要的。尽管已经将基于口令的控制用于这样的环境，但是它们并不总是适当的或者足够的，因为例如(但非限制性)口令能够被猜出、盗取、忘记、或者出现其他被泄露的情形。诸如指纹读取器之类的生物特征认证措施不具有基于口令的控制的某些弊端，但是生物特征认证也可能出现问题，因为它依赖于个人的身体存在。因此，在缺少个人批准授权(granting authorization)的身体存在而需要认证的情形下，生物特征认证是不可能的。
需要一种访问控制系统，每当需要认证时(例如，每当需要口令时)，都能够使用这种系统，但这种系统不具有基于口令的措施和生物特征认证措施的缺点。
发明内容
在示例性的实施方式中，提供一种用于计算设备的访问控制系统，所述计算设备具有显示器、一个或多个处理器、存储介质、近场通信(NFC)读取器接口和操作系统。所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行。示例性的访问控制系统包括：用于执行以下操作的指令：检测在所述NFC读取器接口的操作范围内NFC标签的存在，在所述NFC读取器接口与所述NFC标签之间建立NFC通信链接，以及通过所述NFC读取器接口从所述NFC标签中读取标识符(ID)；和用于执行以下操作的指令：确定从所述NFC标签中读取的ID是否被包括在已配对的NFC标签的列表上。在这样的示例性实施方式中，如果从所述NFC标签中读取的ID被包括在所述已配对的NFC标签的列表上，那么所述访问控制系统调用向所述操作系统传送与有效口令的输入等效的授权确认的指令。
在一些实施方式中，如果从所述NFC标签中读取的ID不在所述已配对的NFC标签的列表上，那么所述访问控制系统调用用于确定从所述NFC标签中读取的ID是否被包括在已核准的(approved)NFC标签标识符的列表上的指令。如果从所述NFC标签中读取的ID被包括在所述已核准的NFC标签标识符的列表上，那么所述访问控制系统调用使得显示器的屏幕显示口令提示(password prompt)、并且通过把从所述NFC标签中读取的ID加密和存储在所述已配对的NFC标签的列表上来对有效口令的输入作出响应的指令。否则，如果从所述NFC标签中读取的ID不被包括在所述已核准的NFC标签标识符的列表上，那么所述访问控制系统不与所述NFC标签进行配对。
在一些实施方式中，所述计算设备进一步包括无线数据通信接口，所述已核准的NFC标签标识符的列表被存储在计算机中而不是存储在所述计算设备中，并且所述访问控制系统包括用于通过所述无线数据通信接口与所述计算机而不是与所述计算设备进行通信操作的指令，所述通信操作与确定从所述NFC标签中读取的ID是否在所述已核准的NFC标签标识符的列表上有关。
在一些示例性实施方式中，平板电脑(tablet computer)或其他计算设备连同操作系统(OS)和OS Overlay(OS覆盖)系统一起包括访问控制系统。在其他实施方式中，作为在平板电脑或者其他计算设备的操作系统内可执行的软 件，访问控制系统不配备有OS overlay系统。
在一些实施方式中，所述访问控制系统取回物理密钥的标识符(ID)并确定该物理密钥是否已被配对。如果该物理密钥已被配对，那么所述访问控制系统产生与有效口令的输入等效的授权信号。如果该物理密钥尚未被配对，那么所述访问控制系统确定该物理密钥是否是可信的，如果是可信的，那么继续进行配对处理。在其他实施方式中，该物理密钥被用于兑现对于电子商务界面中的价值来说可交换的虚拟信用值。
在示例性的实施方式中，提供一种用于计算设备的访问控制系统，所述计算设备包括显示器、一个或多个处理器、存储介质、通信接口和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：用于通过所述通信接口读取物理密钥的标识符(ID)的指令；和用于确定从所述物理密钥中读取的ID是否被包括在已配对的物理密钥的列表上的指令，其中如果从所述物理密钥中读取的ID被包括在所述已配对的物理密钥的列表上，那么所述访问控制系统调用向所述操作系统传送与有效口令的输入等效的授权信号的指令。
在示例性的实施方式中，提供一种用于计算设备的访问控制系统，所述计算设备包括显示器、一个或多个处理器、存储介质、通信接口、电子商务界面和操作系统，其中所述访问控制系统被存储在所述存储介质中并且被配置成由所述一个或多个处理器执行，所述访问控制系统包括：用于通过所述通信接口读取物理密钥的标识符(ID)的指令；和用于确定从所述物理密钥中读取的ID是否被包括在有效信用值物理密钥的列表上的指令，其中所述有效信用值物理密钥的列表被存储在计算机中而不是存储在所述计算设备中，并且所述访问控制系统包括用于与所述计算机而不是与所述计算设备进行通信操作的指令，所述通信操作与确定从所述物理密钥中读取的ID是否在所述有效信用值物理密钥的列表上有关，其中所述有效信用值物理密钥的列表包括每个有效信用值物理密钥的对应值，并且其中如果从所述物理密钥中读取的ID被包括在所述有效信用值物理密钥的列表上，那么所述访问控制系统调用向所述电子商务界面传送信用值授权信号的指令，所述信用值授权信号可操作地用于向账户余额增加相应量，所述账户余额可操作地用于通过所述电子商务界面为交易提供资金。
发明人就此也已经提交了2013年3月15日提交的序列号为No.13/841,461、名称为“Tablet Computer(平板电脑)”和2013年3月28日提交的序列号为No.13/852,840、名称为“Tablet Computer(平板电脑)”的共同未决申请，这些申请描述了示例性的平板电脑，这些电脑适于与这里描述的访问控制系统一起使用，并且通过此引用而将这些申请以它们各自的全部内容并入本文。但是，这里描述的访问控制系统并不限于这样的平板电脑，而是也可设置在任何计算设备上。
各种实施方式可以并入这里描述的这些和其他特征的一个或多个而保持在本发明的实质和范围内。通过参考附图和下文的详细描述，所述访问控制系统的进一步的特征、它的本质以及各种优点和实施方式将更明显。
附图说明
本发明的优选实施方式作为实例而不作为限制被示出于附图的各图中，其中类似的参考标记指代类似的元件，并且其中：
图1是图示出根据一些实施方式的访问控制系统示例性配置的框图。
图2是图示出根据一些实施方式的访问控制系统初始化处理的图。
图3是图示出一种计算机系统的框图，一些实施方式可以在该计算机系统的基础上得以实现。
图4是图示出根据一些实施方式的OS Overlay系统的核心架构的图。
图5是图示出根据一些实施方式的用于提示输入口令的用户界面实例的图。
图6是图示出根据一些实施方式用于显示用以输入口令的口语提示的界面视觉效果图的实例。
图7是图示出根据一些实施方式的示例性使用流程图。
图8是图示出根据一些实施方式的另一示例性使用流程图。
具体实施方式
在以下的描述中，已详尽地解释了众多具体细节，以提供对本发明一些实施方式的更彻底的理解。但是，本领域的普通技术人员将理解的是，本发明的实施方式在没有这些具体的细节或者对这些细节有不同实现方式的情况下也 可以被实践。此外，并未详细示出一些公知的结构以避免不必要地模糊本发明。
NFC是一组短距离的无线技术，通常要求有10cm或更短的距离。NFC利用位于彼此的近场中的两环形天线之间的磁感应，有效地形成空心变压器(air-core transformer)。NFC始终涉及启动器(initiator)和目标(target)。启动器主动地产生能够给无源目标供电的RF场。这使得NFC目标能以简单的物理形状要素(form factor)例如物理密钥(physical key)、标签、贴纸(sticker)、密钥坠(keyfob)或者卡片存在。NFC标签包含数据并且通常是只读的，但可以是可重写的(rewriteable)。它们能够被它们的制造商定制编码(custom-encode)，或者采用NFC Forum(NFC论坛)提供的规格。通常请见www.nfc-forum.org。
NFC标签能够安全地存储数据。大多数标签具有稳定唯一的标识符(ID)，但一些标签会在每次它们被发现时产生伪随机ID，而且有一些根本没有ID的标签(字节数组(byte array)将为零长度(zero-sized))。标签ID是低级序列号(low level serial number)，用于防冲突(anti-collision)和识别。ID的大小和格式专门用于标签所使用的RF技术。
NDEF是一种NFC论坛数据格式。目前有四种NFC论坛标准化标签类型，这些类型能被格式化成包含NDEF数据：
NFC论坛类型1标签(NFC_FORUM_TYPE_1)，例如Innovision Topaz；
NFC论坛类型2标签(NFC_FORUM_TYPE_2)，例如NXP MIFARE Ultralight；
NFC论坛类型3标签(NFC_FORUM_TYPE_3)，例如Sony Felica；和
NFC论坛类型4标签(NFC_FORUM_TYPE_4)，例如NXP MIFARE Desfire。
从NFC标签中读取NDEF数据可以例如(但非限制性)利用安卓中的标签分派系统(tag dispatch system)而进行处理，该系统分析所发现的NFC标签、适当地对该数据加以归类、并且启动所归类数据中感兴趣的应用。想要处理所扫描NFC标签的应用能够申报(declare)意向过滤器(intent filter)并且请求处理该数据。
NDEF数据被封装在消息(NdefMessage)内，该消息含有一条或多条记录(NdefRecord)。每条NDEF记录必须根据期望的记录类型的规格被恰当地形成(well-form)。也可以使用不含NDEF数据的其他类型的标签，和/或可以使用 用于与NFC标签通信的其他协议。
有两种NFC通信模式：被动的和主动的。在被动通信模式下，启动器设备提供载波场(carrier field)而目标设备通过调制现有的场来应答。在这种模式下，目标设备可以从启动器提供的电磁场中抽取它的操作电力(operating power)，由此将目标设备做成应答器。在主动通信模式下，启动器和目标设备二者都通过交替产生它们自己的场来进行通信。设备在等待数据时使它的RF场无效。在这种模式下，两种设备通常都有电源。
总的来说，访问控制系统借助(leverage)NFC标签作为口令的安全物理替代物。包括NFC标签的物理密钥能够通过接触或者非接触通信被计算设备上的软件和NFC读取器接口所读取，以便完成要求认证和/或授权的动作。需要可能与物理密钥相关联地使用的认证和/授权的这种动作包括(但非限制性)将设备解锁、在计算设备的用户环境和/或用户界面之间切换、访问数据和/或应用程序、购买、计算设备的硬件和/或软件设置的配置、父母控制(parental control)的配置或者对计算设备上内容的可访问性(accessibility)的其他限制。
有利的是，由于NFC标签的小物理尺寸，含有NFC标签的物理密钥可以是尺寸足以容纳NFC标签的任何物理物体(physical object)。这种特征促进了与计算设备相关联的增多的销售机会，因为许多不同种类的物体能够作为用于访问控制系统的物理密钥被卖掉，诸如(但非限制性)能被用来解锁与娱乐性有关的特定内容的特许商品、以及品牌配件和玩具。
访问控制系统采用在物理密钥中的NFC标签上编码的唯一ID和计算设备上的软件和NFC读取器接口来读取NFC标签ID，确定NFC标签ID是否被包括在已核准的ID的列表上，并且把受到被授权用户的认可(acknowledgment)和允许的计算设备与物理密钥进行配对。访问控制系统软件然后会将NFC密钥ID加密并存储在计算设备上。配对仅需对每个单独的密钥发生一次。在存储在计算设备上的密钥丢失的情况下，用户仅需再次对密钥进行配对或者获得新密钥。在初始化处理完成后，当用户响应于口令提示使密钥接近平板电脑或者在平板电脑上轻敲密钥时，软件会自动完成认证和/或授权处理。
尽管一些实施方式可以与市场中可获得的通用(generic)NFC标签一起使用，不过一些实施方式通过使用具有仅能从授权的来源获取的定制ID(custom ID)的专有NFC标签来提供额外的安全性。当使得包含NFC标签的物理密钥 接近计算设备和/或与计算设备相接触时，计算设备中的NFC读取器接口建立与NFC标签的NFC通信链接，并且从NFC密钥中取回(retrieve)唯一ID。ID查找模块(lookup module)然后会询问数据库以确定该ID是否被包括在已核准的ID的列表中。已核准的ID的列表可以被本地存储在计算设备上，或者它最好可以利用计算设备的网络通信能力被远程存储和访问。只有当NFC密钥中的ID被包括在已核准的ID的列表中时，这里讨论的访问控制系统的配对和其他动作才被允许进行。
访问控制系统可以用在示例性的实施方式中以授权诸如但不限于以下的动作：
1.模式切换(例如，在计算设备上的用户环境和/或用户界面之间进行切换)；
2.支付授权(例如，授权购买内容和/或应用)；和
3.内容过滤(例如，授权访问内容，否则对所述内容的访问会被阻挡)。
以下进一步描述促进这些动作的具体实施方式。
在图1所示的示例性实施方式中，计算设备100包括处理器101，处理器101可操作用以执行用于访问控制系统软件107的指令和用于ID查找模块105的指令。如图1所示，已核准的ID的列表109和/或已配对的ID的列表115可以被存储在计算设备100上。已核准的ID的列表109和/或已配对的ID的列表115可以选择性地被加密。可选地，在其他实施方式(图中未示)中，如图3所示，已核准的ID的列表109可以通过计算设备100的网络通信能力被远程存储和访问。计算设备100进一步包括NFC读取器接口103，NFC读取器接口103能根据NFC标准和技术规格而与NFC标签进行通信。当使NFC标签113接近计算设备100和/或与计算设备100相接触时，NFC读取器接口103建立NFC链接111，NFC链接111使得能在NFC读取器接口103与NFC标签113之间进行无线通信，并且使得能通过NFC读取器接口103读取编码在NFC标签113上的ID。
计算设备的其他细节示于图3中，图3是图示出计算机系统300的框图，一些实施方式可以在计算机系统300的基础上得以实现。计算机系统300包括：总线302或者其他用于传送信息的通信机构；和处理器304，处理器304与总线302连接并用于处理信息。计算机系统300还包括主存储器306，主存储器 306诸如是随机存取存储器(RAM)或者其他的动态存储设备，主存储器306连接到总线302并用于存储要被处理器304执行的指令和信息。主存储器306还可以用于在要被处理器304执行的指令执行期间存储临时变量或者其他中间信息。计算机系统300进一步包括连接到总线302并且用于存储处理器304的指令和静态信息的只读存储器(ROM)308或者其他静态存储设备。提供诸如磁盘、光盘或者闪存设备之类的存储设备310并将存储设备310连接到总线302，存储设备310用于存储信息和指令。
计算机系统300可以经由总线302连接到诸如阴极射线管(CRT)或液晶显示器(LCD)之类的显示器312或者其他显示设备，显示器312或者其他显示设备用于将信息显示给计算机用户。包括字母数字键和其他键的输入设备314连接到总线302，输入设备314用于将信息和命令选择传送给处理器304。另一种类型的用户输入设备是诸如鼠标、跟踪球或光标方向键之类的光标控制装置316，光标控制装置316用于把方向信息和命令选择传送给处理器304并且用于控制显示器312上的光标移动。这种输入设备通常具有沿两个轴的两个自由度，两个轴是第一轴(例如，x)和第二轴(例如，y)，这使得该设备能指定平面中的位置。在一些实施方式中，输入设备314被整合到显示器312中，诸如被整合到用于把命令选择传送给处理器304的触摸屏显示器。另一种类型的输入设备包括视频照相机、深度照相机(depth camera)或者3D照相机。另一种类型的输入设备包括语音命令输入设备，例如可操作地连接到用于把命令选择传送给处理器304的语音翻译模块(speech interpretation module)的麦克风。
一些实施方式涉及用于实现这里所描述技术的计算机系统300的使用。根据一些实施方式，那些技术由计算机系统300响应于执行包含在主存储器306中的一条或多条指令的一个或多个序列的处理器304来执行。这样的指令可以被从诸如存储设备310这样的另一个机器可读介质中读入到主存储器306中。包含在主存储器306中的指令序列的执行促使处理器304执行这里描述的处理步骤。在可选择的实施方式中，可以用硬连线电路(hard-wired circuitry)代替软件指令来实施本发明，或者硬连线电路可以与软件指令相结合来实施本发明。因而，实施方式并不限于硬件电路和软件的任何特定组合。在其他实施方式中，将多个计算机系统300可操作地连接以在分布式系统中实施这些实施方式。
如这里使用的术语“机器可读介质”是指参与提供促使机器以具体方式操作的数据的任何介质。在使用计算机系统300实施的实施方式中，例如在提供指令给处理器304以执行时，涉及各种机器可读介质。这样的介质可以采取许多形式，包括但不限于存储介质和传输介质。存储介质包括非易失性介质和易失性介质两者。非易失性介质包括例如光盘、磁盘或者闪存设备，诸如存储设备310。易失性介质包括动态存储器，诸如主存储器306。传输介质包括同轴电缆、铜线和光纤，包括包含总线302的线。传输介质还能够采取声波或者光波，诸如在无线电波和红外数据通信期间产生的那些波的形式。所有这样的介质必须是可感知的(tangible)，以使介质所承载的指令能被将指令读取到机器中的物理机构(physical mechanism)检测到。
机器可读介质的普通形式包括例如软盘(floppy disk)、柔性盘(flexible disk)、硬盘、磁带、或者任何其他的磁介质、CD-ROM、任何其他的光介质、穿孔卡片(punch card)、纸带、任何其他带有孔图案的物理介质、RAM、PROM和EPROM、FLASH-EPROM、闪存设备、任何其他存储芯片或盒、如下文所述的载波、或计算机能够读取的任何其他介质。
可以包含各种形式的机器可读介质以将一条或多条指令的一个或多个序列传送给处理器304用于执行。例如，指令可以最初被承载在远程计算机的磁盘上。远程计算机能够将指令装入它的动态存储器中并且利用调制解调器在数据传输线上发送这些指令。计算机系统300本地的调制解调器能够接收数据传输线上的数据，并且利用红外发射器(transmitter)将数据转换为红外信号。红外探测器能够接收红外信号中承载的数据并且适当的电路能够将数据放置在总线302上。总线302将数据传送给主存储器306，处理器304从主存储器306中取回指令并且执行这些指令。被主存储器306接收的指令可以在由处理器304执行之前或者之后被选择性地存储在存储设备310上。
计算机系统300还包括连接到总线302的通信接口318。通信接口318向网络链接320提供双向数据通信连接，网络链接320连接至本地网络322。例如，通信接口318可以是综合业务数字网(ISDN)卡或者其他的互联网连接设备，或者是用以将数据通信连接提供给相应类型数据传输线的调制解调器。作为另一个实例，通信接口318可以是局域网(LAN)卡，以将数据通信连接提供给兼容LAN。也可以实施无线网络链接。在任何这样的实施中，通信接口 318发送和接收承载代表各种类型信息的数字数据流的电信号、电磁信号或者光信号。
计算机系统300还包括连接至总线302的NFC读取器接口332。NFC读取器接口332向NFC通信链接334提供通信连接，NFC通信链接334是在NFC读取器接口332与NFC标签336之间。NFC通信优选但并非必要地符合NFC论坛规格和/或现有的标准，现有的标准包括(但不限于)ISO/IEC18092和ISO/IEC14443-2，3，4以及JIS X6319-4。尽管这里描述的示例性实施方式考虑了符合NFC标准的通信，不过通信可以在通信协议和/或数据交换格式方面不同于NFC标准以增强安全性和/或复制保护，可以使用其他的射频识别(RFID)标准，和/或可以使用其他模式的通信，诸如但不限于蓝牙、Wi-Fi和诸如USB之类的有线通信。NFC读取器接口332和NFC标签336二者都包括环形天线，当位于彼此的近场内时，二者在全域范围(globally)可获得的并且未经许可的13.56MHz射频ISM波段范围内利用磁感应形成空心变压器以无线传输数据。
网络链接320通常通过一个或多个网络向其他数据设备提供数据通信。例如，网络链接320可以通过本地网络322向主机计算机324或者向互联网服务提供商(ISP)326操作的数据装备提供连接。ISP326继而通过现已被普遍称为互联网328的世界范围的分组数据通信网络(world wide packet data communication network)提供数据通信服务。本地网络322和互联网328二者都使用承载数字数据流的电信号、电磁信号或者光信号。向和从计算机系统300300传送数字数据的那些经过各种网络的信号和那些在网络链接320上以及经过通信接口318的信号，是输送信息的载波的示例性形式。
计算机系统300能够通过网络、网络链接320和通信接口318发送消息并接收数据，包括程序代码。在互联网实例中，服务器330可以通过互联网328、ISP326、本地网络322和通信接口318传输对应用程序的请求代码。
接收的代码随着它被接收到而被处理器304执行，并且/或者被存储在存储设备310或者其他非易失性存储装置中以用于后续的执行。这种方式下，计算机系统300可以得到载波形式的应用代码。
NFC标签必须通过初始化处理首先与计算设备配对，它的示例性实施方式图示于图2中。如图2所示，在步骤202，使物理密钥接近计算设备和/或与 计算设备相接触。在一些实施方式中，利用除NFC之外的通信(包括但不限于诸如蓝牙或者Wi-Fi之类的已知无线通信或者诸如USB之类的有线通信)实施物理密钥与计算设备之间的通信。计算设备的NFC读取器接口或者其他通信接口读取物理密钥中的ID并且将该ID传送给访问控制系统。在步骤203，访问控制系统确定ID是否在已配对的ID的列表上。如果访问控制系统在步骤203确定ID在已配对的ID的列表上，那么初始化处理结束，例如授权处理可以如图7所示进行。如果访问控制系统在步骤203确定ID不在已配对的ID的列表上，那么初始化处理继续到步骤204。在一些实施方式中，参照图8所示，ID对应于虚拟信用值而不是口令。在这样的实施方式中，物理密钥中的ID可以对应于在价值上可以被交换的虚拟信用值，这种情况下，如图8和随附的描述进一步说明的那样，实施用于确定ID是否在有效信用值ID的列表上的处理。访问控制系统在步骤204确定ID是否在已核准的ID的列表上。已核准的ID的列表可以被存储在计算设备上，或者它可以通过计算设备的通信能力被远程存储和访问。在替代方式下，在计算设备不具有对于远程存储的已核准的ID的列表的接入或访问能力的情况下(例如(但不限于)因为计算设备正在离线模式下工作)，访问控制系统可以通过确定ID是否符合已核准的ID的预定规则来验证ID是否是已核准的ID。这可以通过举例的方式包括但不限于确定ID是否包括已核准的ID所共有的预定字母数字前缀或者其他预定的可识别系列或者图案，和/或符合用于已核准的ID的专有格式，已核准的ID能够基于此格式而与未核准的ID区分开。如果在步骤204确定NFC标签的ID没有在已核准的ID的列表上，那么计算设备不会与含有NFC标签的物理密钥进行配对，如在步骤206所示。如果相反，在步骤204确定NFC标签的ID在已核准的ID的列表上，那么处理前进到步骤208，其中提示计算设备的授权用户的口令输入。一旦输入口令，处理前进到步骤210，在该步骤进行口令是否正确的确定。如果在步骤210确定输入的口令不正确，那么计算设备不会与含有NFC标签的物理密钥进行配对，如在步骤206所示；或者，在其他实施方式中，处理返回到步骤208以再次提示口令的输入，选择性地经历有限次数的尝试，在有限次数的尝试之后，计算设备可以为了安全起见而自动锁定自身。如果在步骤208确定输入的口令是正确的，那么处理前进到步骤212，其中将含有NFC标签的物理密钥与计算设备进行配对。然后处理前进到步骤214， 其中已配对的密钥的ID被加密并存储在计算设备上，以在将来用作口令的物理替代物或者其他的认证形式。
在其他示例性的实施方式中，访问控制系统可以与计算设备上虚拟信用值的兑现(redemption)相关联地使用，此兑现能够被用来通过计算设备上的电子商务界面来购买虚拟物品或者实物。图8图示出用于兑现(redeem)虚拟信用值的使用流程800的示例性实施方式。如图8中图示出的示例性实施方式中所示，在步骤802，使包含NFC标签的物理密钥接近计算设备和/或与计算设备相接触。在一些实施方式中，利用除NFC之外的通信形式实施物理密钥与计算设备之间的通信，包括但不限于诸如蓝牙或者Wi-Fi之类的已知无线通信或者诸如USB之类的有线通信。计算设备的NFC读取器接口或者其他通信接口读取物理密钥中的ID并且将该ID传送给访问控制系统。在步骤803，访问控制系统确定ID是否在有效信用值ID的列表上，此列表包括每个有效信用值ID的对应值805。利用计算设备的通信能力将有效信用值ID的列表存储在安全的远程位置并且此列表对于计算设备而言是可访问的。作为替代，在离线使用的实施方式中，访问控制系统不是在步骤803确定ID是否在有效信用值ID的列表上，而是确定ID是否符合有效信用值ID所共有的预定的可识别系列或者图案，和/或用于有效信用值ID的专有格式，有效信用值ID能够基于此格式而与对于信用值而言无效的其他ID区分开。如果访问控制系统利用这里描述的其他技术在步骤803确定ID没有在有效信用值ID的列表上，或者ID并非有效信用值ID，那么使用流程800在步骤807结束。如果访问控制系统在步骤803确定ID在有效信用值ID的列表上，或者ID符合已核准的ID所共有的预定的可识别系列或者图案和/或符合用于已核准的ID的专有格式，已核准的ID能够基于此格式而与对于信用值而言无效的其他ID区分开，那么访问控制系统在步骤809读取对应值805，并且在步骤811产生对于计算设备上的电子商务界面的授权，以将计算设备上的信用值余额增加被确定为有效信用值ID的ID的对应值805。
根据一些实施方式，计算设备的操作系统(OS)配备有至少两个不同的用户界面(UI)，由此可以基于具体用户类型或者概况(profile)定制每个UI，并且使用含有NFC标签的物理密钥来授权UI之间的切换和/或授权在所管理的UI内对于计算设备的资源的访问。这样的实施方式可以采用2013年3月 15日提交的、序列号为No.13/841,461、名称为“Tablet Computer(平板电脑)”和2013年3月28日提交的、序列号为No.13/852,840、名称为“Tablet Computer(平板电脑)”的共同未决申请中披露的教导。
例如，在家庭群组的情况下，用户界面类型或者概况可以包括儿童的一个或多个界面或概况(“小孩模式”)和父母的一个或多个界面或概况(“父母模式”)。这里描述的示例性实施方式是指父母/父母模式和小孩/小孩模式以代表不同用户类型和用户界面的实例。但是，这样的描述仅用于示例的目的而并不应限制本发明的范围，并且这样的实施方式在任何多用户环境中可能是有用的，该环境可以受益于基于用户概况的UI定制并且可以访问应用和内容。其他用户和用户类型可以在不脱离本发明实质的情况下与本发明的实施方式一起使用。在一些实施方式中，每个类型的UI在视觉外观方面和工作流程方面是不同的。可以以任何OS来实现各实施方式，所述OS包括诸如安卓、iOS、bada、黑莓OS、S40和Windows Phone(Windows电话)之类的移动OS以及诸如Windows和Mac OS之类的台式电脑或便携式电脑OS。为了示例的目的，以用于移动设备的安卓OS来实现这里描述的一些示例性实施方式。
在示例性小孩模式下，用户配有“小孩友好型”环境，该环境允许访问专为小孩制作的游戏和安排的(curated)(例如，先前被识别为适于一种年龄组或者性别组的)应用；浏览专用于他们年龄和性别的网站内容；通过在平板电脑上进行活动来赚取虚拟货币；在小孩的app store(苹果应用商店)中花费虚拟货币；以及通过核心课程(core-curriculum)、状态标准化(state-standardized)课程改善他们的教育技能。
在示例性父母模式下，用户配有默认的OS环境，该环境允许他们能无约束地访问所有的应用和内容；访问平板电脑的设置；配置对其他用户(例如，小孩模式)的访问控制；以及无约束地访问诸如在线app store、视频商店的音乐商店之类的内容获取设施；和用one-click(一键式服务)来进行购买。
根据一些实施方式，父母或者监管用户能够通过浏览报告和分析来监控小孩模式下他们孩子的时间和对内容的使用。另外，父母能够通过一系列开/关切换或者是否使得访问有效的其他指示来允许或者限制他们的孩子在小孩模式下访问某些应用、游戏、或者某些类型的内容。在一些实施方式中，可以通过经由互联网可访问的在线Parental Dashboard(父母的控制盘)来实现监控和 配置能力。
将单个OS与多个不同的UI组合的优点在于，一个环境能够控制另一个环境或者是另一个环境的监管者。另一个优点在于，平板电脑的每个用户能够有自己的UI和用户体验。
根据包括OS Overlay的一些示例性实施方式，核心架构如图4所示。如图所示，OS Overlay建立在现有的OS Core(OS核心)上，带有添加给现有OS Core的应用框架层级401的OS Overlay系统管理器库文件(library)，和包括在现有OS Core的应用层级403中的额外应用。如图4的图表中所示，本地和第三方OS Overlay应用405被包括在OS Core的应用层中，位于本地和第三方安卓应用407旁边。访问控制系统可以是例如(但不限于)本地和第三方OS Overlay应用405之一或者第三方安卓应用407之一。在应用框架层400中，OS Overlay系统管理器库文件409被包括在安卓系统管理器库文件411旁边。
OS Overlay架构使得单个的OS能够提供多个可切换和可定制的由模式管理器支持和管理的UI。在用于家庭群组的示例性实施方式中，可切换的UI模式允许小孩在受保护的小孩模式环境下使用平板设备，而允许父母以在线父母控制盘和/或父母模式下父母的控制管理器来管理小孩模式对应用、内容和设置的访问。父母还能够享有在父母模式下对OS的全部能力无约束的访问。OS Overlay架构还允许一种嵌入式父母控制，该嵌入式父母控制帮助在安全的环境内保护小孩能够访问的东西，以及提供OS层级内的监控机制以便提供使用该设备的小孩在应用上所花费的时间、访问和使用。
在应用框架层级，OS Overlay系统包括以下特征和要素：
1.模式管理器
在一些示例性的实施方式中，模式管理器提供优于使用同一界面而没有对小孩的分开控制环境的小孩和父母所共用的平板电脑的优点。通常在这些情况下，控制是可用的，但是被不加区别地应用于可能被称为“locked down(锁定)”模式的情形中，或者控制被切断，导致形成一种无控制环境，在这种无控制环境中，任何用户能够访问内容并改变系统设置而不管这样的动作对于指定的用户是否是适当的。模式管理器提供可切换用户界面模式，包括父母模式和小孩模式。包含NFC标签的物理密钥可以用在访问控制系统中，作为对口令的替 代物，该密钥会被要求从小孩模式切换到父母模式，或者授权在小孩模式中访问资源，这些资源否则会在父母控制的操作配置下不可用，这在以下将作进一步讨论。
2.父母控制管理器
在示例性的实施方式中，父母控制管理器提供管理和限制在小孩模式下对应用、内容和其他设置的访问的能力。
3.儿童监控管理器
在示例性的实施方式中，儿童监控管理器提供对小孩模式下所有动作的访问、使用和时间追踪。在一些实施方式中，儿童监控管理器与在线父母控制盘服务相链接，该在线父母控制盘服务是通过互联网可访问的以提供基于实时网络的报告。在一些实施方式中，儿童监控管理器进一步提供对内容的使用、测试、性能评价和用户与内容的其他交互的结果的监控。除了被立即用于与自适应学习系统相结合地使用之外，如这里所描述的那样，监控的结果也能够被上传给诸如服务器之类的远程设施，在远程设施那里能够进行范围更广的性能分析。
4.应用管理器
在示例性的实施方式中，应用管理器提供用来基于各单独的用户概况来管理和限制通过Add Apps(添加应用)界面对应用的访问的能力。这允许被授权的那些组的应用能在小孩模式下变成可用的。在小孩模式下可用的被授权的那些组的应用可以被服务提供商安排或者被父母或其他授权角色安排，以便它们被识别成适于一种年龄组或性别组或者其他子组用户。
5.内容管理器
在示例性的实施方式中，内容管理器基于诸如年龄、性别和兴趣之类的用户概况参数来过滤内容。它限制在小孩模式下的访问以提供安全的环境。例如，内容管理器可以利用在与用户概况参数有关的元数据(metadata)标签中的预定义归类来使用内容。内容管理器可以通过将内容的元数据与用户概况参数进行比较来限制对用户概况的内容访问，并且仅提供具有满足用户概况参数的元数据的内容。内容管理器提供那些可以被父母修改的可定制设置，用来提供对于内容的每个用户概况个性化访问。
在应用层级，OS Overlay的示例性实施方式包括OS Overlay系统应用、 第三方预装应用、本地安卓应用和第三方应用。
OS Overlay的示例性实施方式包括预装的定制第三方应用，这些应用可以包括一个或者多个被预选的定制第三方应用以提供和/或补充对儿童来说被视为很重要的体验，例如学习、创造、观察、阅读和玩。某些第三方应用与OS Overlay系统环境紧密地结合，包括链接到OS Overlay系统的App Zone(苹果应用地带)电子零售店应用，例如，以便于将免费的第三方应用升级到付费版本。
一旦对含有NFC标签的物理密钥进行了配对，它就可以被用作口令的物理替代物或者其他的认证形式。这样的使用实例在以下段落中有所描述。已配对的含有NFC标签的物理密钥可以是一般口令的等效物，此一般口令可以用来授权任何受限制的功能或者可以被限于授权一个或多个特定功能。
提示输入口令的界面实例示于图5和6中。在图5中，502是提示输入口令以授权购买虚拟硬币的界面实例，而504是提示输入口令以授权通用动作的界面实例。图6示出根据一些实施方式的替代提示界面，该界面用于具有阅读困难和/或更喜欢非文本提示的用户。在图6中，动画的脸提供口语提示代替图5中所示的基于文本的提示，例如，这对于不能阅读和/或不能以适于预定年龄组的格式传达消息的用户来说更优于基于文本的界面。在一些实施方式中，该动画的脸可以在界面上带有文本而被示出，例如以基于文本的字幕形式示出。同步的形象化与声音的其他组合可以在不脱离本发明实质的情况下被用来提供声音提示以提示用户输入口令。
图7图示出使用流程700的示例性实施方式。图示的示例性使用流程可以与在各模式之间切换、授权支付、授权访问内容、和/或授权完成计算设备被配置成要求诸如口令之类的授权的任何动作相关联地使用。
在步骤702，输入对受限制特征或者内容的访问请求，所述受限制特征或者内容需要在计算设备的操作配置下的授权。这样的请求可以包括(但不限于)从小孩模式切换到父母模式(或者任何其他用户模式的改变)的请求、对从应用商店购买应用或者从内容商店购买内容(诸如含有感兴趣的程序的音频文件或者视频文件)的授权请求、或者对当前在计算设备的操作配置下不被允许的、存储在计算设备上的内容的访问请求。这样的请求可以由用户输入，或者可以作为应用功能的一个方面，由期望访问受限制特征或者内容的应用来传输。响 应于请求702，在步骤704提示口令的输入。如上所述，这样的提示可以是示例性实施方式中图5和6所示的形式。然后使用流程前进到步骤706，在步骤706，使含有NFC标签的物理密钥接近计算设备和/或轻敲在计算设备上。计算设备中的NFC读取器接口发起与含有NFC标签的物理密钥中NFC标签的NFC通信，并且读取该标签的ID。在步骤708，访问控制系统确定标签的ID是否在已配对的ID的列表上。如果ID不在已配对的ID的列表上，那么处理前进到步骤710并且终止。如果ID在已配对的ID的列表上，那么处理前进到步骤712并且访问控制系统允许请求被批准。在一些实施方式中，已配对的ID是通用ID，等效于一般口令。在其他实施方式中，已配对的ID限于一个或多个具体功能，这样的具体功能可通过给定的已配对ID授权。在这些实施方式中，已配对的ID并不默认用以授权所有可被一般口令授权的功能，而是可被规定用以仅授权一个或多个具体功能，并且已配对的ID的列表指示哪一个或多个具体功能可以使用给定的已配对ID来授权。在请求从小孩模式切换到父母模式的情况下，在步骤712实现该切换。在请求购买授权的情况下，在步骤712授权交易，并且在一些实施方式中，发起下载和/或安装所购买的资料。在请求访问存储在计算设备上的、当前在计算设备的操作配置下不被允许的内容的情况下，在步骤712批准访问。
在其他示例性实施方式中，即使ID被固定在NFC标签中，也可以对ID进行重新编程以用于不同意向的使用。例如，在在线购买软件并且下载模块以便安装或者允许在线访问的情况下，经常需要用诸如通过电子邮件分开接收的授权密钥激活该软件。为了提供类似的功能，任何现有的标签能通过两步法被赋予新的用途(re-purpose)以被用作授权密钥。在例如通过计算设备的电子商务界面购买需要用于激活的授权密钥的软件或者其他内容期间，读取物理密钥的ID并且将读取的ID传输给软件发布商、商店操作员或者软件的其他分销商。相应地，将ID编码于下载的软件中或者其他内容中而不是对用于激活的正常授权密钥进行编码。然后此物理密钥能够如图7和所附的书面描述说明的那样，像用于口令的那些一样，被用来在处理中激活软件并授权访问软件。
本发明的其他特征、方面和目的能够从对附图和权利要求书的阅览中获得。应理解的是，本发明的其他实施方式能够被开发并落入本发明和权利要求书的实质和范围内。为了进行图示和描述，以上提供了前述对本发明优选实施 方式的描述。本文并非意在穷举或者将本发明限于所披露的精确形式。各种增加、删除和修改都涵盖在本发明的范围内。因此，本发明的范围由所附的权利要求书而非前面的描述限定。另外，可能落入权利要求书及其各要素和特征的等同物含义和范围内的所有改变都要被涵盖在它们的范围内。