受限执行模式.pdf

在受限执行模式的各实施例中，移动设备可在集成显示设备上显示一设备锁定屏幕，并且从该设备锁定屏幕转变到显示共享空间的共享空间用户界面。转变到显示共享空间用户界面无需接收在设备锁定屏幕上输入的PIN码。移动设备实现受限执行服务，该受限执行服务被实现来激活移动设备的受限执行模式以及在受限执行模式被激活时限制对设备应用对设备内容的访问。受限执行服务还可允许在受限执行模式被激活时，包括在共享空间内的共享设备应用访问设备内容。

权利要求书1.  一种移动设备，包括：显示设备，所述显示设备被配置成显示设备锁定屏幕并在不需要在所述设备锁定屏幕上输入的认证凭证的情况下转变到共享空间的共享空间用户界面；处理系统，所述处理系统用于实现受限执行服务，所述受限执行服务被配置成：激活所述移动设备的受限执行模式；以及在所述受限执行模式被激活时，限制设备应用对设备内容的访问。2.  如权利要求1所述的移动设备，其特征在于：所述共享空间包括共享设备应用；以及所述受限执行服务被配置成在所述受限执行模式被激活时允许所述共享设备应用访问所述设备内容。3.  如权利要求2所述的移动设备，其特征在于：所述设备应用被配置成用对所述设备内容的请求来调用所述共享设备应用；以及所述受限执行服务被进一步配置成在所述受限执行模式被激活时，限制所述设备应用经由所述共享设备应用访问所述设备内容。4.  如权利要求2所述的移动设备，其特征在于：所述设备应用被配置成用对所述设备内容的请求来调用所述共享设备应用，所述请求包括指示所述设备应用被许可经由所述共享空间中的所述共享设备应用来访问所述设备内容的请求令牌；以及所述受限执行服务被进一步配置成根据所述请求令牌在所述受限执行模式被激活时允许所述设备应用经由所述共享设备应用访问所述设备内容。5.  如权利要求1所述的移动设备，其特征在于：所述设备应用被配置成发起访问所述设备内容的任务调用；并且其中所述受限执行服务被配置成根据一个或多个设备应用任务被指定为在所述受限执行模式被启用时被限制来限制对所述设备内容的访问。6.  一种方法，包括：在移动设备的集成显示设备上显示设备锁定屏幕；在不需要在所述设备锁定屏幕上输入的认证凭证的情况下，从显示所述设备锁定屏幕转变到显示共享空间的共享空间用户界面；激活所述移动设备的受限执行模式；以及在所述受限执行模式被激活时，限制设备应用对设备内容的访问。7.  如权利要求6所述的方法，其特征在于，还包括：允许被包括在所述共享空间内的共享设备应用在所述受限执行模式被激活时访问所述设备内容。8.  如权利要求7所述的方法，其特征在于，还包括：当所述设备应用用对所述设备内容的请求来调用所述共享设备应用时，在受限执行模式被激活时限制所述设备应用经由所述共享设备应用来访问所述设备内容。9.  如权利要求7所述的方法，其特征在于，还包括：根据所述设备应用包括在对所述共享设备应用请求所述设备内容的任务调用中的请求令牌来允许所述设备应用在所述受限执行模式被激活时经由所述共享设备应用访问所述设备内容，所述请求令牌指示所述设备应用被许可经由所述共享空间中的所述共享设备应用来访问所述设备内容。10.  如权利要求6所述的方法，其特征在于，还包括：根据一个或多个设备应用任务被指定为在所述受限执行模式被激活时被限制来限制对所述设备内容的访问。

说明书受限执行模式
背景技术
许多类型的设备，诸如移动电话、平板设备、以及其它计算、通信、以及娱乐设备，越来越多地提供更多对用户有益的功能、应用和特征，并且可增进人们的私人时间以及工作和社交活动。例如，移动电话不仅可用于文本、电子邮件和语音通信，还可用于娱乐，诸如听音乐、到因特网上冲浪、观看视频内容、玩游戏、以及用于照片和视频成像。类似的，便携式平板设备可用于电子邮件、浏览器、导航及其它计算应用，以及用于各种娱乐和照片功能。除了移动电话或平板设备的用户可获得的许多计算、通信和娱乐应用以外，看起来无限量的第三方应用和特征也可下载到设备。
还没有他们自己的移动电话的较年轻孩子的父母经常发现孩子要“玩”他们的手机来玩游戏、拍照、听音乐和其它活动。通常，父母在驾驶时可将他或她的手机递送到车辆后座的年轻孩子来保持该孩子进行娱乐。父母可能并不知道孩子随后在设备上访问什么特征和应用(诸如Web浏览器或无意地访问电子邮件应用)或哪些设备设置(诸如音频设置、闹钟设置、日历通知等)可能已经被改变。
发明内容
本发明内容引入受限执行模式的特征和简化概念，并在下面具体实施方式中描述和/或在附图中示出这些概念。本概述不应被认为描述了所要求保护的主题的必要特征，也不用于确定或限制所要求保护的主题的范围。
描述了受限执行模式。在各实施例中，移动设备可在集成显示设备上显示一设备锁定屏幕，并且从该设备锁定屏幕转变到显示共享空间的共享空间用户界面。转变到显示共享空间用户界面是在无需接收在设备锁定屏幕上输 入的PIN码或者其它认证凭证的情况下发生的。移动设备实现受限执行服务，该受限执行服务被实现来激活移动设备的受限执行模式以及在受限执行模式被激活时限制对设备应用对设备内容的访问。受限执行服务还可允许在受限执行模式被激活时，包括在共享空间内的共享设备应用访问设备内容。
在各实施例中，当设备应用用对设备内容的请求来调用共享设备应用时，受限执行服务在受限执行模式被激活时限制设备应用经由共享设备应用来访问设备内容。替换地，在受限执行模式被激活时，受限执行服务根据设备应用包括在向共享设备应用请求设备内容的任务调用中的请求令牌来允许设备应用经由共享设备应用访问设备内容。请求令牌指示设备应用被许可经由共享空间中的共享设备应用来访问设备内容。
在各实施例中，设备应用可被实现或设计使得用户能指定以在设备应用被包括在共享空间中作为共享设备应用的情况下允许设备应用访问设备内容。替换地，设备应用可被设计为即使该设备应用被包括在共享空间内也不被允许访问设备内容。附加地，这种类型的设备应用也可被实现为甚至不适合于用户指定被包括在共享空间中。被包括在共享空间内的设备应用可发起任务调用来访问设备内容。然而，受限执行服务根据设备应用任务中的一个或多个被指定为在受限执行模式被激活时被限制来限制对设备内容的访问。当受限执行模式被激活时，受限执行服务还可限制设备应用访问移动设备的文件系统。
附图简述
参考下面的附图描述了受限执行模式的实施例。可在全文中对附图中所示的类似特征和组件的标记使用相同的数字：
图1示出受限执行模式的示例。
图2示出了其中可以实现受限执行模式的各实施例的示例系统。
图3示出了根据一个或多个实施例的受限执行模式的示例性方法。
图4示出了根据一个或多个实施例的受限执行模式的示例性方法。
图5示出了根据一个或多个实施例的受限执行模式的示例性方法。
图6示出其中可以实现私有交互中枢的各实施例的示例系统。
图7示出了其中可以实现受限执行模式和/或家庭协调的各实施例的示例系统。
图8示出了根据一个或多个实施例的各种客户机设备服务和特征。
图9示出根据一个或多个实施例的家庭中枢的示例。
图10示出了具有能实现受限执行模式的各实施例的示例设备的示例系统。
具体实施方式
描述了受限执行模式的各实施例并提供能被实现为客户端设备服务或应用(诸如在移动电话、便携式平板设备或其它类型的计算和/或通信设备中)的受限执行服务。受限执行模式使得能够在设备上实现共享空间，在该共享空间中，用户拥有者可包括客人或孩子在不需要密码的情况下就能访问的设备应用，并且设备应用将被程序地阻止来能够访问设备上的其它私有设备内容。
可能存在设备的用户拥有者想要在不用PIN码或其它验证凭证来解锁移动电话的情况下访问他们移动电话上的一些内容或应用的情况。受限执行模式能够使得用户拥有者来作出在没有口令访问以及不违背敏感个人或企业数据的安全性的情况下的一些可用体验。在各实现中，受限执行模式允许应用运行、但通过使用若干机制(诸如安全性能力、阻止导航以及应用起源)来限制对敏感数据或体验的访问。如果应用具有特定的安全性能力，那么当应用尝试访问受保护的资源时可集中地作出运行时检查，并且如果应用在受限执行区域中运行，那么返回能由该应用处理的错误。当设备在受限执行模式下运行时，设备应用可被称为在受限执行“区域”中运行。
对于被阻止的导航安全性能力，应用通常利用内建任务来完成类似发送电子邮件、打电话等用户动作。当受限执行模式在设备上被激活时，在运行时的设备应用的起源是什么被考虑来确定设备应用、或者更明确地、任务是否将被允许。应用任务(其通常与应用程序编程接口(或API)调用同义)可包括数据访问API调用的各方面，但是它还包括对发起不同于数据访问的特定动作或特定多个动作的请求，并且任务请求可包含与所请求的任务的动 作相关联的元数据。根据按任务基础来提供功能级别以确定所请求的任务的动作或多个动作是否将在任务请求的运行时起源期间在受限执行模式中可用。设备应用可由设备来执行，但是在受限执行模式在设备上被激活时只有设备应用的一些功能将执行。
对设备应用功能的限制的示例可包括完全不允许设备应用被启动或限制设备应用仅调用AIP调用的受限子集，该API调用的受限子集窄于当移动设备在正常用户模式下运行时对应用可用的API调用的正常子集。限制对设备内容的访问还可包括不允许某些提供对特定的数据或内容集的访问的API调用。在许多示例中，限制功能或访问不包括分析或改变访问控制列表(ACL)、访问控制条目(ACE)或类似的由文件系统维护的文件系统访问控制元数据。例如，当受限执行模式在设备上被启用时，设备应用可被限制访问设备内容。
当运行在受限执行区域中时，所有应用请求的导航被遮蔽并且只有那些被系统允许的能继续。其它的在向后兼容性方式方面不足，使得传统应用不需要被更新来在受限执行区域中运行。对于应用起源安全性能力，只有起源于和/或已经从第一方提供者下载的应用才能在受限执行模式中运行(例如，执行)。这确保没有被安全检查过的并且可能访问设备上的敏感和/或私有数据的应用在没有用户首先解锁设备的情况下不运行。
尽管受限执行模式的特征和概念能够以任何数量的不同设备、系统、环境和/或配置来实现，但是受限执行模式的各实施例在以下各示例设备、系统和方法的上下文中描述。
图1示出受限执行模式的用户界面的示例。示例移动设备100可以是移动电话、平板设备、计算设备、通信、娱乐、游戏、导航、和/或其它类型的便携式电子设备中的任一个或组合。共享空间可被实现用于用户在不需要口令的情况下对设备应用的功能的访问以及用于对移动设备100的被用户指定为在共享空间内的任意应用、功能和特征的访问。
示例移动设备100包括在其上能显示用户界面的集成显示设备102，诸如在106处指示设备被锁定的设备锁定屏幕104。例如，当移动设备没有在 使用时移动设备的用户拥有者可将设备设置成锁定，使得其他人不能访问应用的完整功能(诸如电子邮件和文本消息)和/或在不提供验证凭证(诸如个人标识号(PIN)、登录或其他验证凭证)的情况下经由浏览器应用访问因特网。
移动设备100的用户拥有者可允许另一个人来使用手机，并在不需要通过输入PIN或其他凭证来将设备从设备锁定屏幕104解锁的情况下递交手机。如在示例108中显示的，借用手机的人能用手势输入来滑动设备锁定屏幕以访问共享空间用户界面110，112处示出了被显示在显示设备上时的该共享空间用户界面110，并且该共享空间用户界面110提供对应用功能的有限子集的访问。借用者不输入PIN或其他凭证来访问共享空间用户界面。在各实现中，手势输入可以是在移动设备的集成显示设备102上任意方向的任何类型的用户输入和/或手势输入。替换地或附加地，任意类型的设备、按钮和/或手势输入可被使用来有效地从设备锁定屏幕104转换到共享空间用户界面110。
图2示出了其中可以实现受限执行模式的各实施例的示例系统200。示例系统包括如参考图1描述的具有在其上能显示用户界面(诸如代表设备上的共享空间的共享空间用户界面110)的集成显示设备102的移动设备100。另外，可用各种组件来实现移动设备，诸如处理器和/或存储器系统、以及如下面参考图10所示的示例设备进一步描述的任意数量的不同组件及其组合，以实现受限执行模式的各实施例。
移动设备100包括能被实现为存储在计算机可读存储介质(诸如任意合适的存储器设备或电子数据存储)上的软件应用(例如，可执行指令)的受限执行服务202。另外，受限执行服务202可用移动设备处的处理系统来执行以实现如在此描述的受限执行模式的各实施例。受限执行服务202可被实现为可在设备上执行以与设备的多个应用、特征和功能对接的独立设备应用。
示例系统200还可包括云存储和服务206，该云存储和服务206可包括任意类型的被用于存储或维护可访问数据210(例如，可由移动设备100上的设备应用访问的数据)的基于云的(例如，基于网络的)数据服务208。 在此描述的设备和服务(例如，被实现为服务器设备)中的任意一个可经由网络212进行通信，该网络212可被实现为包括有线和/或无线网络。网络还可使用任何类型的网络拓扑结构和/或通信协议来实现，并可被表示为或以其他方式实现为两个或更多个网络的组合，以包括基于IP的网络和/或因特网。网络还可包括由移动网络运营商和/或其他网络运营商来管理的移动运营商网络，诸如通信服务提供商、移动电话提供商和/或因特网服务提供商。替换地或附加地，可使用对等通信技术，诸如使用对等通信网络连接的多个设备。
受限执行服务202被实现来管理共享空间216的受限执行模式214，诸如用来限定和/或限制设备应用218和被包括在可在不需要PIN或验证凭证的情况下访问的共享空间216中的共享设备应用220。设备应用218可包括在设备上运行的任意类型的软件应用以及它们的功能和特征，诸如用于用户与消息收发、玩游戏、媒体播放、文档查阅以及通信应用的交互。设备应用还可包括设备的用户一般不访问或使用、但通常在设备工作时在后台运行的系统级组件。共享设备应用可包括设备应用的任意子集，并当被包括在共享空间216中时被指定为用于在受限执行模式214在设备上被激活时的有限和/或受限功能的共享设备应用。
移动设备100的用户拥有者可选择能被包括在共享空间中并在受限执行模式被激活时能被孩子或客人访问的设备应用和特征和/或设备内容。此外，当在共享空间内运行时(即，应用可被执行)，设备应用可被允许受限功能级别以及对设备文件系统的有限访问，但一般不能访问被限制访问的设备内容222(诸如联系人、电子邮件以及日历数据库)。
当受限执行模式被激活时，内容数据库、设备文件系统、因特网访问以及其他设备内容和特征可被保护而不被设备应用访问。例如，可在设备被解锁并在正常用户模式下工作时访问因特网、电子邮件、联系人等的设备应用在受限执行模式被激活时将被自动地受限，就好像该设备应用已经被添加到共享空间并被允许在共享空间内的有限功能。作为一个示例，已经被添加到共享空间的数字相机应用可允许用户拍摄并查看新照片，但是当受限执行模式在设备上被启用时，将限制查看先前的照片。
共享空间的共享空间用户界面110可由设备的用户拥有者定制。例如， 用户拥有者可将应用(诸如游戏和音乐应用)添加到共享空间，使得应用被识别并可在共享空间中被启动(也许具有有限功能)。然而，在共享空间中不被识别的应用不能在共享空间中被启动。例如，如果在共享空间中被锁定或识别的游戏应用尝试自己启动浏览器应用(例如，作为游戏执行的一部分)，那么受限执行服务202将检查浏览器应用是否在共享空间内被锁定和识别。如果浏览器应用没有在共享空间内被识别，那么受限执行服务将不能启动该应用，或者如果浏览器应用被识别，那么游戏应用可在共享空间内启动浏览器应用。
如参考图1描述的，输入(诸如手势输入或设备可选择控制输入)可被接收，并且受限执行服务202在不需要接收输入到设备锁定屏幕上的PIN码或其他验证凭证的情况下启动从显示设备锁定屏幕104到显示共享空间216的共享空间用户界面110的转变。当受限执行模式214被激活时，受限执行服务202被实现来管理共享空间216。受限执行服务202可激活移动设备100的受限执行模式214，并对设备应用218对设备内容222、对移动设备的文件系统的访问进行限制，和/或在受限执行模式被激活时将应用限定为功能或任务的有限集。
共享空间216可包括共享设备应用220，并且受限执行服务202可允许共享设备应用在受限执行模式214被激活时访问设备内容222。受限执行服务202可确定设备应用218是否被实现或设计成使得用户能指定以在设备应用被包括在共享空间216中作为共享设备应用的情况下允许设备应用访问设备内容。替换地，设备应用可被设计为即使该设备应用被包括在共享空间内也不被允许访问设备内容。另外，这种类型的设备应用也可被实现为甚至不适合于用户指定被包括在共享空间中。
在受限模式中，设备应用的配置可被设计或编程来指示设备应用是否可能被允许在受限模式下运行(例如，执行)，而不管用户选择。例如，机密的企业应用或从第三方应用商店下载的可访问私有企业数据的另一应用可被配置为永远不被允许在任何受限模式下运行(例如，执行)，即使用户想要它这么做。一些设备应用的配置可以被用户控制来指示设备应用是否被允许在特定的受限模式中运行，诸如允许游戏或应用的子集在儿童区域受限模 式下运行或允许相机透镜应用的子集在电话被锁定时运行。
受限执行服务202还可被实现来将当前受限模式和目标应用的系统和用户配置考虑在内，验证一给定的设备应用是否能被导航而不管导航请求的理由是什么。另外，可为正常模式用户体验和为当前受限执行模式维护单独的导航栈。受限执行服务202还可被实现来根据场合需要允许或不允许应用从正常模式栈到受限模式栈或从受限模式栈到正常模式栈的迁移，并根据可用资源以及进入受限模式和离开受限模式的转变来确定何时关闭每个栈上的应用。
设备应用218可用对设备内容222的请求来发起对共享设备应用220的任务调用，并且受限执行服务202可在受限执行模式214被激活时限制设备应用经由共享设备应用对设备内容的访问。设备应用还可发起对操作系统204的任务调用以请求设备内容访问，并且受限执行服务可在受限执行模式被激活时根据被指定为受限的一个或多个设备应用任务来限制对设备内容的访问。
替换地，设备应用218可用对设备内容222的请求来发起对共享设备应用220的任务调用，并且该请求包括指示设备应用被许可经由共享空间216中的共享设备应用来访问设备内容的请求令牌。受限执行服务202随后可根据请求令牌在受限执行模式被激活时允许设备应用经由共享设备应用访问设备内容。受限执行服务还可响应于在设备锁定屏幕上输入的PIN码或认证凭证来停用受限执行模式214，并返回到移动设备的在其中设备应用218具有对设备内容222的无限制访问的正常用户模式。
受限执行服务200实现一机制以根据设备应用任务的任务信息字段来指示设备应用能在哪些受限模式中运行(例如，执行)。任务信息字段指示一特定任务是否能在受限执行模式被激活时被允许在共享空间中执行。这个新的字段将是位掩码，导航服务器将使用该位掩码与在进入受限模式时MobileUI(移动UI)将给其的导航过滤器掩码进行比较。由于当受限执行模式在设备上被激活时一些第一方设备应用具有能被允许在孩子共享空间(例如，儿童角)中执行的任务，但是不是所有应用功能都被允许，所以这些任 务信息字段是按任务而非按应用来标记的。如果设备应用被允许在共享空间内运行，那么受限执行服务可通过应用层根据被传递到核心系统组件的令牌来跟踪来自发起任务调用的发起者(例如，设备应用)的API任务调用，否则核心系统组件不能确定任务调用是否源自运行在共享空间内的设备应用。令牌可被用于确定任务调用是否被保护以免于受限执行模式。
参考相应的图3-5来描述根据受限执行模式的一个或多个实施例的示例方法300、400和500。一般而言，本文描述的服务、组件、模块、方法、以及操作的任一个都可使用软件、固件、硬件(例如，固定逻辑电路)、手动处理或其任何组合来实现。示例方法可在被存储在相对于计算机处理系统而言是本地和/或远程的计算机可读存储介质上的可执行指令的一般上下文中描述，并且各实现可包括软件应用、程序、功能等。
图3示出了受限执行模式的示例方法300。描述方法的次序并不旨在解释为限制，并且任何数量的所述方法操作都可以按任何次序组合以实现本方法或实现替换方法。
在302，设备锁定屏幕被显示在移动设备的集成显示设备上。例如，移动设备100(图1)在移动设备的集成显示设备102上显示设备锁定屏幕104。在304，在无需在设备锁定屏幕上输入的PIN码或其他认证凭证的情况下显示从设备锁定屏幕转变到显示共享空间的共享空间用户界面。例如，移动设备100的输入系统接收输入(诸如手势输入或设备可选择控制输入)，并且该输入有效地在无需在设备锁定屏幕上输入的PIN码或其他认证凭证的情况下从显示设备锁定屏幕104转变到显示共享空间216的共享空间用户界面110。
在306，激活移动设备的受限执行模式。例如，在移动设备100处的受限执行服务202响应于进入共享空间而激活移动设备的受限执行模式214。在308，当受限执行模式被激活时，限制设备应用对设备内容的访问。例如，在移动设备100处的受限执行服务202在受限执行模式214被激活时限制设备应用218对设备内容222的访问。
在310，响应于在设备锁定屏幕上输入的PIN码或其他认证凭证，停用受限执行模式。例如，在移动设备100处的受限执行服务202响应于在设备 锁定屏幕上输入的PIN码或其他认证凭证来停用受限执行模式。在312，设备返回到移动设备的用户模式，在该用户模式中，设备应用具有对设备内容的不受限的访问。例如，在移动设备100处的受限执行服务202返回到移动设备的用户模式，在该用户模式中，设备应用218具有对设备内容222的不受限的访问。
图4示出了受限执行模式的示例方法400。描述方法的次序并不旨在解释为限制，并且任何数量的所述方法操作都可以按任何次序组合以实现本方法或实现替换方法。
在402，被包括在共享空间内的共享设备应用被允许在受限执行模式被激活时访问设备内容。例如，在移动设备100处的受限执行服务202(图2)允许被包括在共享空间216的共享设备应用220在受限执行模式被激活时访问设备内容222。
在404，当受限执行模式在设备上被激活时，请求经由共享设备应用来访问设备内容的设备应用被限制。例如，当受限执行模式在设备上被激活时，在移动设备100处的受限执行服务202限制对共享设备应用220的、带有对访问设备内容222的请求的设备应用218任务调用。
在406，根据设备应用包括在向共享设备应用请求设备内容的任务调用中的请求令牌允许设备应用在受限执行模式被激活时经由共享设备应用访问设备内容。例如，在移动设备100处的受限执行服务202根据设备应用包括在向共享设备应用请求设备内容的任务调用中的请求令牌来允许设备应用218在受限执行模式被激活时经由共享设备应用访问设备内容222。请求令牌指示设备应用被许可经由共享空间中的共享设备应用来访问设备内容。
图5示出了受限执行模式的示例方法500。描述方法的次序并不旨在解释为限制，并且任何数量的所述方法操作都可以按任何次序组合以实现本方法或实现替换方法。
在502，根据设备应用任务被指定为在受限执行模式被激活时受限来限制对设备内容的访问，其中设备应用发起访问设备内容的任务调用。例如，在移动设备100处的受限执行服务202(图2)根据设备应用任务被指定为在受限执行模式被激活时受限来限制对设备内容222的访问，其中设备应用 218发起访问设备内容的任务调用。
在504，当受限执行模式被激活时，限制设备应用访问移动设备的文件系统。例如，当受限执行模式被激活时，在移动设备100处的受限执行服务202限制设备应用218访问移动设备的文件系统。
在506，如果设备应用被包括在共享空间内作为共享设备应用，则设备应用被确定为用户指定的以允许设备应用在受限执行模式中访问设备内容。替换地，在508，设备应用被确定为被设计为即使该设备应用被包括在共享空间内也不被允许访问设备内容。例如，在移动设备100处的受限执行服务202可确定如果设备应用被包括在共享空间内作为共享设备应用，该设备应用是否被用户指定以允许设备应用在受限执行模式中访问设备内容。受限执行服务202还可确定设备应用被设计(例如，被编程)为即使该设备应用被包括在共享空间内也不被允许访问设备内容。另外，这种类型的被编程的设备应用也可被实现为甚至不适合于用户指定被包括在共享空间中。
虽然在此作为单个受限执行模式来描述，但是在一些示例中，设备提供多个受限执行模式，诸如与用于方便与孩子分享移动设备的孩子共享空间相关联的第一受限执行模式以及与用于方便移动设备的用户的更安全驾驶的安全驾驶共享空间相关联的第二受限执行模式。这些不同受限执行模式可各自对设备的功能施加不同的限制集。例如，与孩子有关的执行模式可阻止对电子邮件数据的访问、对设备设置的更改或应用内购买，而第二驾驶安全受限执行区域可阻止可能将驾驶员从道路上分心的图形用户界面。
从显示在设备上的锁定屏幕，在无需输入PIN或其他认证凭证的情况下，用户可以能够到达不同的共享空间，每个共享空间具有与之相关联的不同的受限执行模式。例如，从锁定屏幕，用户可能输入第一手势(例如，左滑动)来到达具有第一受限执行模式的第一共享空间以及第二不同的手势(例如，右滑动)来到达具有第二受限执行模式的第二、不同的共享空间。在一些示例中，与受限执行模式相关联的共享空间可从不同的入口点来被访问，而非接收锁定屏幕上的输入(例如，手势输入)。
在此针对受限执行模式描述的各特征和概念可被用于支持和实现与用于便于与孩子共享设备的设备的孩子共享空间相关联的一个或多个受限执 行模式。本受限执行模式申请包含2012年12月22日提交的题为“移动设备孩子共享”的相关美国专利申请“13/726095”，该申请的内容通过整体引用合并于此。移动设备孩子共享使得能够实现用于移动设备的任何应用、数据、功能和特征的家长控制的“儿童角(也称为儿童空间或孩子区域)”，使得家长能够允许孩子玩设备而不访问受限应用、数据、功能和特征。儿童角是在移动电话上提供仅针对孩子的自定义目的地的孩子共享空间，并且也是在设备上孩子要去“玩”的地方。在孩子共享空间内，孩子访问被受限执行模式限制于仅仅那些家长选择的应用、游戏、音乐、视频、电影和其他内容。儿童角以外部的所有设置和内容被保护并且当处于儿童角中时购买可被阻止。移动设备的被阻止和/或限制的应用和特征可包括以下能力：打电话、发送文本或访问电子邮件以及访问因特网(诸如为了发贴到社交网络或搜索因特网)。
在此针对受限执行模式描述的各特征和概念可被用于支持和实现与用于便于安全驾驶模式的设备的安全驾驶共享空间相关联的一个或多个受限执行模式。本受限执行模式申请包含2012年12月22日提交的题为“移动设备安全驾驶”的美国专利申请“13/726097”，该申请的内容通过整体引用合并于此。移动设备安全驾驶使得能够实现一个或多个安全驾驶模式来最小化在驾驶车辆时移动电话的驾驶员分心。
图6示出了其中可以实现私有交互中枢和受限访问模式的各实施例的示例系统600。系统600包括示例移动设备602，它可以是有线或无线设备中的任一个或组合，如移动电话、平板、计算设备、通信设备、娱乐设备、游戏设备、媒体回放设备、和/或其他类型的设备。可以用各种组件来实现这些设备中的任一个，诸如处理系统和存储器、以及如下面参考图10所示的示例设备进一步描述的任意数量的不同组件及其组合。由此，移动设备602可完全地或部分地实现先前描述的技术，诸如参考受限执行服务202描述的技术。
移动设备602包括其上可显示用户界面的集成显示设备604，如中枢应用608的中枢用户界面606。中枢用户界面提供针对单个、私有交互中枢的中枢数据610的统一交互视图，并且中枢应用608聚集源自私有交互中枢的各个成员用户的不同类型的中枢数据610。例如，中枢用户界面可以提供对 共享中枢消息、状态更新、签到、中枢日历事件、中枢媒体、中枢应用、以及其他类型的中枢内容等的单个统一接入点。如上所述，私有交互中枢(或简称为“中枢”)是成员用户的私有网络或联合，这些成员用户自愿选择按双向方式彼此私有地交互和协作。中枢数据610包括被用于促进私有交互中枢的成员之间的交互和协作的任何共享数据或元数据，并且可包括用于消息收发、笔记、联系人管理、文档、任务、位置更新、照片、日历事件、应用(包括协作式游戏应用)和/或其他媒体内容的共享数据，如可从任何源获得或访问的任何类型的音频、音乐、视频和/或图像数据。
示例私有交互中枢的基本功能被示为显示在中枢应用608的中枢用户界面606中的高尔夫中枢。例如，中枢用户界面可包括各种可选用户界面块612，如可选择来发起私有交互中枢的组成成员的显示的成员块。用户界面块612还可包括中枢聊天和/或消息块以用于允许中枢成员参与同该中枢的其他成员用户的共享消息收发线程。例如，如图所示，成员“Bob”问到“有人现在想来一局吗？”用户界面块612还可包括可选择来查看中枢成员中的任一个与该中枢共享的照片的相册块，以及中枢成员可从中查看共享笔记的共享笔记块。例如，高尔夫中枢可包括汇编中枢成员对新高尔夫装备的集体搜索的共享笔记文档。中枢用户界面606还可显示允许中枢的成员查看、编辑、以及发布将与全部其他中枢成员共享的日历事件的共享日历。例如，日历块示出了对于所有成员在星期六上午9点在圣安德鲁斯的即将到来的开球时间。在用户选择群体项(例如，来自Bob的消息)或块(例如，消息收发块)时，与所选项有关的进一步细节或与所选块相关的各群体项可由中枢应用自身来显示或中枢应用可以调用不同的设备应用636(例如，消息收发应用)来显示与该项有关的进一步细节。
在用户选择或以其他方式参与一段所显示的中枢数据时，如来自Bob的高尔夫消息，中枢应用可以向用户提供附加细节或选项以准许该用户与该中枢数据进一步交互。例如，中枢应用可以显示允许用户编辑或回复Bob的消息的控件。作为替换或补充，在用户选择或以其他方式参与一段所显示的中枢数据(例如，Bob的消息)时，中枢应用可以启动或调用另一设备应用来准许用户与该段中枢数据进一步交互(例如，中枢应用可以调用本机消息 收发应用)。
中枢应用608的中枢用户界面606还可包括对第三方应用的用户可选访问，如在应用被“锁定”到或以其他方式与私有交互中枢共享时。锁定的第三方应用还可利用共享中枢数据，如共享应用偏好或共享应用状态数据。例如，在中枢用户界面606中显示的高尔夫中枢包括表示第三方天气应用的实况块，中枢的成员可以快速访问来查看他们本地高尔夫俱乐部的天气预报，如在计划即将到来的高尔夫出游时。移动设备602的用户还可定制中枢用户界面的各显示方面，如用户界面的内容以及中枢用户界面的元素如何被安排。中枢应用608的中枢用户界面的另一示例是全景中枢用户界面，诸如用于参考图9更详细地示出和描述的以家庭为中心的私有交互中枢。
示例系统600还包括中枢管理服务614以及云存储和服务616。中枢管理服务614管理私有交互中枢618的构成和维护。中枢管理服务可以通过将成员的账户标识符620与私有交互中枢中的一个或多个进行关联来将中枢的成员用户进行相关和关联。成员用户的账户标识符620可以与数据表中的私有交互中枢118的标识符相关联，中枢管理服务维护该数据表以将中枢成员与私有交互中枢中的一个或多个进行相关。中枢管理服务614还可基于设备标识符来关联与中枢成员相对应的设备。账户标识符620可包括用户成员资格标识符和/或登录凭证，如电子邮件和口令组合、或用户名和口令组合。登录凭证可以是被用于在多个web服务(包括云存储和服务616)处的认证目的的单点登录(“SSO”)凭证。
云存储和服务616可包括任何类型的基于云的(例如，基于网络的)数据和消息收发服务622。消息收发服务可包括任何类型的电子邮件、文本(例如，SMS、MMS)和/或即时消息收发服务。数据服务可包括任何类型的日历、相册、文件或文档共享、位置、地图、音乐共享、视频共享、游戏、联系人管理、和/或笔记本服务，以及可被用来共享所存储的中枢数据624的任何其他类型的服务。所存储的中枢数据可包括被维护来用于私有交互中枢618的并在来自设备的请求时和/或在数据“推送”到设备时可从移动设备602访问的任何形式的消息、更新、事件、内容、媒体、以及信息。云存储和服务616还维护包括与私有交互中枢618相关的设置和信息的所存储的中枢元 数据626，如中枢的名称、中枢的背景图像或照片、以及中枢成员的联合体。
虽然被一起显示为数据和消息收发服务622，但各应用数据服务和各消息收发服务可在分开的设备上操作和/或由分开的不同实体来操作。另外，虽然中枢管理服务614以及云存储和服务616被示为独立的服务，但是它们可一起被实现为单个服务。此外，服务器设备(或服务器设备群)可包括中枢管理服务614以及云存储和服务616两者的实现，表示可以是同一服务器系统、公司系统、域等的单个实体。
云存储和服务616及其构成数据和消息收发服务622在与私有交互中枢618的各成员用户相关联的移动设备之间交换所存储的中枢数据624和所存储的中枢元数据626。例如，云存储和服务616的数据和/或消息收发服务可从中枢成员所使用的移动设备602接收中枢数据610和/或中枢元数据628的副本，将这一中枢数据和中枢元数据储存在云存储中作为相应所存储的中枢数据624和所存储的中枢元数据626，并随后将所存储的中枢数据和所存储的中枢元数据分发到与同一私有交互中枢的其他成员用户相关联的其他移动设备以及与同一中枢成员相关联的其他移动设备。所存储的中枢元数据626可包括与私有交互中枢的成员用户有关的成员资格信息、将一段中枢数据与特定私有交互中枢进行相关的中枢标识符、将一段中枢数据与特定成员用户进行相关的用户标识符、修改日期、和/或其他元数据。
云存储和服务616及其构成数据和消息收发服务622可以利用单点登陆(“SSO”)凭证来用于认证目的，以限制所存储的中枢数据624和所存储的中枢元数据626只分发给中枢成员的授权设备。另外，在此描述的设备和服务(例如，被实现为服务器设备)中的任意设备和服务可经由网络630进行通信，该网络630可被实现为包括有线和/或无线网络。网络还可使用任何类型的网络拓扑结构和/或通信协议来实现，并可被表示为或以其他方式实现为两个或更多个网络的组合，以包括基于IP的网络和/或因特网。网络还可包括由移动网络运营商和/或其他移动运营商来管理的移动运营商网络，诸如通信服务提供商、移动电话提供商和/或因特网服务提供商。
移动设备602包括设备的操作系统632，并且操作系统包括被实现为将基于云的服务、中枢应用608、以及本地设备应用636与操作系统集成以实 现私有交互中枢618的各方面的中枢操作系统服务634。可被实现的这些方面包括中枢信息和成员资格维护、将移动设备上的中枢数据610与所存储的中枢数据624同步、以及将中枢元数据628与所存储的中枢元数据626同步、与云存储和服务616同步，以及向移动设备602上的中枢应用608和本地设备应用636提供对中枢数据610和中枢元数据628的访问。例如，中枢操作系统服务634可直接访问云存储和服务616处的所存储的中枢元数据626。
中枢操作系统服务634(或者另选地，中枢应用608)还可确定并维护成员用户账户标识符620和私有交互中枢标识符的成员资格联合体的本地副本。中枢操作系统服务634还可将来自云存储和服务616的所存储的中枢数据624与移动设备602处的中枢数据610进行同步，并将来自云存储和服务的所存储的中枢元数据626与移动设备处的中枢元数据628进行同步。中枢操作系统服务634还可与云存储和服务616进行同步(例如，通过向云存储和服务616发送对中枢数据610和中枢元数据628的变更或添加)。这样的数据同步可响应于用户启动中枢应用而发生。
移动设备602包括准许移动设备的用户访问、创建、和/或修改中枢数据610、用户的私有数据638、以及由云存储和服务616处的数据和消息收发服务622中的任一个来管理的所存储的中枢数据624的设备应用636。设备应用636中的一些或全部可被实现为数据和消息收发服务622中的任一个的客户机侧组件或模块，或可被实现为移动设备处的独立的本机应用(例如，本地设备应用)。设备应用636通常各自使用并只提供对中枢数据610的一部分或子集以及私有数据638的访问，如只有单个类型的中枢数据和私有数据(例如，只有消息收发数据，而没有日历数据)。设备应用通常还向用户呈现所使用的中枢数据以及私有数据638。私有数据是不与私有交互中枢相关联并且尚未与中枢的其他成员共享的数据或元数据(例如，尚未经由云存储和服务616共享的数据)。
移动设备602处的设备应用636可包括向用户提供消息收发警报以及对消息收发线程的访问的本机或第三方消息收发应用。消息收发应用提供对与私有交互中枢共享的共享消息线程和在移动设备的用户与非中枢的成员的其他用户之间的私有消息线程两者的访问。消息收发应用还允许用户在无需 访问中枢应用的中枢用户界面的情况下向所有中枢成员发送消息。消息收发应用可以不向用户提供对中枢消息以外的其他类型的中枢数据610的访问。例如，消息收发应用可以不提供对中枢的共享日历事件或共享相册的访问。
设备应用636还可包括提供日程安排警报和对视觉日历的访问的本机或第三方日历应用。日历应用向用户提供对与中枢成员共享的共享日历事件和还没有与中枢的其他成员共享的私有日历事件(例如，Exchange日历事件)两者的访问。日历应用还允许用户在无需访问中枢应用的中枢用户界面的情况下向所有中枢成员创建和/或共享日历事件。该应用可以不向用户提供对中枢日历事件以外的其他类型的中枢数据610的访问。例如，日历应用可以不提供对中枢的共享消息线程或共享相册的访问。
设备应用636还可包括提供对数字照片的相册或其他数字媒体的访问的本机或第三方媒体查看和/或编辑应用。媒体应用向用户提供对与私有交互中枢共享的共享媒体文件(例如，照片、视频和/或音乐)和尚未与中枢的其他成员共享的私有媒体文件两者的访问。媒体应用还允许用户在无需访问中枢应用的中枢用户界面的情况下与所有中枢成员共享媒体文件。媒体应用可以不向用户提供对中枢媒体文件以外的其他类型的中枢数据610的访问。例如，媒体应用可以不提供对中枢的共享消息线程或共享日历事件的访问。
中枢操作系统服务634可以向移动设备602上的中枢应用608和设备应用636展示一个或多个应用程序编程接口(“API”)、应用程序二进制接口、和/或其他类型的接口640，以允许这些应用访问、生成、和/或修改如本文所描述的中枢数据610和/或中枢元数据628。中枢操作系统服务634可被实现为操作系统632的集成软件组件或模块。中枢操作系统服务可在移动设备602处被维护为被储存在计算机可读存储介质上的可执行指令，如任何合适的存储器设备或电子数据存储，如参考图10中的示例设备所描述的。另外，中枢操作系统服务可以用移动设备处的处理系统来执行以实现私有交互中枢的各方面。
在各实施例中，中枢操作系统服务634可以发起中枢管理服务614以提供私有交互中枢618。移动设备602的用户可以开始私有交互中枢618并且 还邀请其他人加入现有的私有交互中枢。例如，中枢应用608的中枢用户界面606可以向现有中枢成员提供向该中枢添加新成员的选项，并且用户可以通过提供移动设备号码或通过从他们的社交网络或其他联系人之一中选择现有联系人来标识未来成员。
中枢操作系统服务634可以接收来自设备的现有成员用户的请求，并且作为响应，中枢操作系统服务634和/或中枢管理服务614传递作为发送到未来成员的移动设备的可包括到注册站点或其他注册指令的链接的SMS、MMS或即时消息的加入该中枢的邀请。中枢操作系统服务634和/或中枢管理服务614接收(例如，经由注册网站)包括至少账户标识符(如SSO凭证)的对加入私有交互中枢的邀请的接受，并在中枢管理服务614处将该新成员与现有中枢相关联。经更新的成员资格信息(包括新成员的账户标识符620)也可从中枢管理服务614被传播给私有交互中枢中的其他成员的其他移动设备。在新成员用户加入中枢时，可提示他或她下载和/或安装被配置成提供对所存储的中枢数据624和所存储的中枢元数据626的访问的各应用，如中枢应用608和/或设备应用636中的任意。中枢应用608也可以是用户借此创建新中枢和/或修改现有中枢的成员资格的入口点。
私有交互中枢618可被提供给任何人群，如家庭成员、同事、朋友、邻居、以及可在中枢中关联在一起的任何其他人。另外，一个私有交互中枢的成员用户也可以是多个中枢的成员，这可以基于向中枢操作系统服务634和/或中枢管理服务614标识该成员的单点成员登录。例如，一个人可以是将该人的家庭成员关联在一起的家庭中枢的成员，也是将该人的邻居成员关联在一起的邻居中枢的成员，还是将该人的通常一起玩高尔夫的朋友关联在一起的高尔夫中枢的成员。
移动设备的中枢应用608与操作系统632的集成提供了该设备的用户可以在中枢用户界面606上查看消息或更新以及在与该消息或更新相关联的应用的应用用户界面中查看该消息或更新。例如，中枢日历与移动设备602上的日历应用(例如，设备应用636)集成在一起，并且显示在中枢用户界面606中的日历更新可由用户选择来发起更新被显示在日历应用的日历用户界面中。或者，用户可以查看日历用户界面并选择与私有交互中枢相关联的日 历事件以发起中枢日历的显示，这包括中枢的各成员的日历事件。作为另一示例，中枢日历事件可被显示在中枢用户界面中，并且设备日历应用可以在该设备日历应用的用户界面中访问并显示中枢日历事件连同只有该设备的用户能访问来查看的任何私有数据日历事件。中枢应用608和设备应用636两者都获取同一中枢日历事件数据(例如，存储在移动设备上的同一中枢数据610)。这两个不同的用户界面(例如，中枢用户界面和设备应用用户界面)显示相同的日历事件数据。
在另一示例中，中枢消息和聊天特征与移动设备602上的消息收发应用(例如，设备应用636)集成在一起，并且显示在中枢用户界面606中的电子邮件、文本、或即时消息可由移动设备602的用户选择来发起该消息被显示在消息收发应用用户界面中。或者，用户可以在消息收发应用用户界面中查看来自私有交互中枢的成员的最近消息，并选择该消息以发起中枢消息界面的显示，如用于查看与该最近消息相关联的讨论线程。
在各实施例中，移动设备602处的中枢操作系统服务634可接收针对私有交互中枢618的成员用户的社交网络更新，如在中枢的成员中的两个或更多个也是公共社交网站(例如，或)上的“朋友”时。社交网络更新可基于在中枢管理服务614处私有交互中枢618的中枢成员的账户标识符620的所建立的关联来从社交网络站点拉取。中枢操作系统服务634随后可为特定中枢聚集社交网络更新以供显示在中枢用户界面606中或与该中枢相关联的主页“实况块”上。移动设备602处的中枢操作系统服务634还可被实现成协调对在私有交互中枢中被管理的事件的多用户交互式更新。例如，中枢的若干成员可参与多玩家交互式游戏，并且来自中枢的成员的每一连续交互式更新由该成员在相应的相关联移动设备处发起。
图7示出了其中可以实现私有交互中枢、受限执行模式和/或家庭协调的各实施例的示例系统700。示例系统包括客户端设备702，该客户端设备可以是移动电话704、平板设备706、计算设备708、通信、娱乐、游戏、导航、和/或其它类型的便携式电子设备中的任一个或组合。可用各种组件来实 现客户端设备710中的任一个，诸如处理器和/或存储器系统、以及如下面参考图10所示的示例设备进一步描述的任意数量的不同组件及其组合。
示例系统700包括设备关联服务712，该设备关联服务112通过设备标识符714、用户标识符716和/或任何其他类型的可标识的关联来关联或相关客户端设备710。设备和服务中的任一个可经由网络718进行通信，该网络108可被实现为包括有线和/或无线网络。网络还可使用任何类型的网络拓扑结构和/或通信协议来实现，并可被表示为或以其他方式实现为两个或更多个网络的组合，以包括基于IP的网络和/或因特网。该网络还可包括由移动运营商(诸如通信服务提供商、蜂窝电话提供商、和/或因特网服务提供商)来管理的移动运营商网络。移动运营方可促进任意类型的无线设备或移动电话的移动数据和/或语音通信。
客户端设备710可各自与不同的用户相关联，并且用户是家庭720的已定义成员。示例客户端设备702表示家庭中的各种客户端设备710。家庭中客户端设备中的任一个可包括可由处理器或处理器系统来执行以实现此处描述的各实施例的服务，诸如软件应用(例如，计算机可执行指令)。在该示例中，客户端设备702包括实现家庭中枢的特征的家庭协调架构722；实现家长控制板的特征的家长控制服务724；家庭签到服务726；实现静默时间和静默区域的设备静默服务728；安全驾驶服务730；以及设备共享服务732。还参考图8来描述客户端设备服务。
另外，各种客户端设备服务中的任一个或组合可被抽象以供诸如设备关联服务712的网络访问提供方来实现。例如，在家庭720中被关联的客户端设备710可通过中央计算设备或系统(例如，可以是客户端设备710之一)来互连，该中央计算设备或系统对于多个设备而言可以是本地的或者可以是位于设备远程的。在各实施例中，中央计算设备可以是经由网络718或其他通信链接被连接到多个设备的一个或多个服务器计算机的云服务。互连架构使得能够跨多个设备实现向多个设备的用户提供共同且无缝的体验的功能。客户端设备中的每一个可具有不同的物理配置和能力，且中央计算设备实现一平台来使得能够递送既是针对特定设备定制的又对所有设备来说也是共同的体验。
图8还示出了参考图7描述的各种客户端设备服务。客户端设备702包括家庭协调架构722、家长控制服务724、家庭签到服务726、设备静默服务728、安全驾驶服务730、和设备共享服务732，它们可被具体化为参考图1-6描述的受限执行服务202。在各实施例中，如此处描述的，家庭协调架构722可一般地被实现为服务。一般而言，所描述的服务中的任一个可在软件、固件、硬件(例如，固定逻辑电路)、手动处理、应用、例程、程序、对象、组件、数据结构、进程、模块、功能或其任何组合的一般上下文中实现和/或描述。软件实现表示当由计算机处理器执行时执行指定任务的程序代码。在各实施例中，处理、计算、过滤、代码执行等中的任一个可用诸如客户端设备上、服务器设备上和/或基于网络的服务上的分布式计算服务和/或设备来实现。
在客户端设备服务的该示例中，家庭协调架构722包括家庭中枢管理器800，该家庭中枢管理器800实现、协调和/或管理各种家庭特征，诸如家庭日历802、家庭聊天804、家庭共享联系人806、家庭日志和回忆808、任务和杂务810、家庭钥匙812、以及家庭预算814。家长控制服务724实现诸如家长控制板管理器816、年龄适合内容控制818和安全社交联网820的特征。设备静默服务728实现诸如静默时间822和静默区域824的特征。还在全文中描述了各种客户端设备服务和特征。
客户端设备服务中的任一个可包括、与其他客户端设备服务和应用中任一个相集成、或实现其他客户端设备服务和应用中的任一个。例如，家庭协调架构722可包括家长控制服务724、家庭签到服务726、设备静默服务728、安全驾驶服务730、和设备共享服务732中的任一个或组合。在各实施例中，家庭协调架构可被实现用于协调时间、消息收发、数据、活动和任何其他共享服务。共享服务可以是客户端设备服务和/或与一服务和/或多系统运营方(MSO)设备相关联的任何类型的共享服务中的任一个。此外，家长控制服务可被实现为节流、扩展、管理和/或重新分配客户端设备服务的数据共享。
家庭协调架构的家庭特征和/或应用中的任一个可被实现为私有、某些私有和某些公共、或者带有可选用户控制的私有，以与公共第三方服务和应用共享信息和数据。类似地，此处描述的客户端设备服务和应用中的任一个 可以是私有的、公共的、可共享的、用户可控制的、和/或其任意组合。在各实施例中，家庭协调架构和/或家庭中枢管理器可被实现为总体管理架构，被实现用于扩展性且被共同实例化为家庭协调和/或家庭中枢架构的客户端设备服务和/或应用中的任一个的集体实施例和/或集成。此外，客户端设备服务中的任一个可包括、与其他客户端设备服务和应用中的任一个相集成或实现其他客户端设备服务和应用中的任一个，并且可被集体地具体化为家庭中枢和/或协调架构或服务。
设备共享服务732可具体化参考图1-6描述的受限执行服务202，诸如来实现电话共享特征，该电话共享特征使用户能够与另一人共享他或她的电话(例如，移动设备)但限制该另一人对电话上的特征、功能和信息的访问。例如，移动电话的用户拥有者可激活设备上的受限执行模式，然后将电话与陌生人进行共享。在受限执行模式中，只有传出电话呼叫将被允许并且受限执行模式实施任务限制以限制传入呼叫，但当传出呼叫的起源被跟踪到已经被包括在共享空间内的设备电话应用时也允许传出呼叫。
在一实现中，家长可将他或她的电话与孩子共享来玩电话上的游戏，但是孩子不能应答电话呼叫、阅读电子邮件、访问文本消息、访问任何其他数据和电话设置或发起任何类型的金钱交易(例如，来购买电话应用或音乐下载)。类似地，电话用户可将她电话上他或她的照片与请求浏览照片的朋友进行共享，但是该朋友不能访问任何其他电话数据或设置。电话用户还可将他或她的电话在不给予对任何其他电话数据或设置的访问的情况下与需要打电话的任何人进行共享。
作为受限执行模式的特征的电话共享可以被设置口令以仅允许另一人根据用户设置限制来访问电话的指定功能。电话共享口令可用手势、键输入或一系列键输入来快速启用。另外，电话共享简档能针对不同类型的个体(诸如朋友、家长、陌生人、儿童、孩子等)来实现。电话共享特征还可针对房屋内任一家庭成员(诸如当儿童和朋友外出时或家长外出到商店办事或给予家庭访客以在他们逗留期间使用时)可随身携带的家庭电话来实现。
设备共享服务732还可被实现来限制传入电话呼叫和消息显示以限定移动设备1000的通信功能，但可允许传出电话呼叫以供共享使用。消息显 示可包括电子邮件和文本消息显示、日历事件和警告、即时消息以及任何其他可针对拥有设备的用户(例如，而非临时的共享用户)显示的消息。在移动设备的共享使用模式中，设备共享服务732还可限制对允许用户诸如经由浏览器发起金钱交易的应用和/或用户借此能实施购买交易、下载音乐、购买和下载应用以及任何其他类型的金钱交易的音乐和/或游戏应用的访问。虽然，可能存在孩子可被允许访问更多金钱的情况，例如在紧急情况下搭乘出租车。设备共享服务732还可被实现来限制较年幼孩子的将他或她的电话与车辆配对或从电话将项发送到家里的打印机的能力。随着电话变得启用NFC并且电话能在提供安全访问时代替钥匙，设备共享服务732可被实现来限制孩子使用电话设备打开某些房门的能力。
图9是显示用于面向家庭的中枢的中枢用户界面902、904的两个不同示例的系统900的示例。参考中心用户界面以及参考此处描述的和/或附图中示出的任何其他用户界面示出的文本、图像、照片、图形、链接、数据、信息和呈现特征的描述、布局、定向、特征和组织仅是可在被签到的移动设备的各实施例和/或实现的任一方面中更改的示例。
中枢是用于通信、活动、信息和集成的面向成员资格的协调的中央空间。指定的成员关系可被用于定义数据和信息如何被管理，并能被实现来充分利用诸如在所示示例的所定义的家庭组的各成员之间的社交联系。在一个或多个实现中，中枢被实现为用户界面(例如，通过客户端设备应用)，以用于集成和聚集面向成员的通信、活动和信息。中枢可被实现为已定义成员之间的私有的共享空间。中枢包含到其他成员的简档的链接，并且基于限制设置来允许聚集以用于中枢中其他成员的数据和信息中的一些的可视性。中枢共享可被查看和编辑的组日历、公共文本消息窗口、留言板、共享相册、签到特征以及任何其他类型的共享信息。
设备和/或设备帐户可在一组设备或设备帐户(例如，家庭电话帐户、用户帐户、已连接的一组设备等)内相关联，并且设备或帐户的全部或子集可以与其他设备或帐户通信。中枢的成员可通过任意数量的不同类的人来定义，诸如用于所示出的家庭示例的年轻人、青少年、妈妈、爸爸、(或父母)、祖父母、保姆、生活教练等。此外，家庭的成员可被定义以区别例如住在家 里的保姆与临时照顾幼儿者。
另外，中枢的成员资格以及成员对中枢的使用可由选定的用户集合来控制，诸如客户端设备的关联用户使用的一个或两个移动电话。例如，中枢中的成员之一可以是指定的控制人，诸如主持家庭的妈妈、雇主等。
从成员的单个配置，中枢能例如被自动地供应、建立和向外传播。中枢的特征和配置可默认是自动的简单建立，但任何规则、特征或配置方面都可被用户轻松地修改。供应中枢可以基于记账，例如，家庭或企业记账计划。然而，如果例如电话设备被改变成不同的运营方，则电话设备仍可接收与中枢有关的文本。另选地或另外地，供应中枢可以基于电子邮件地址、电话号码、用户账户标识符或任何其他标识符。
例如，出售新的电话套餐的零售人员能容易地向会员的新电话设备各个标识他们，并且启动正被实例化的中枢。从消费者的角度来看，它立刻工作，并且会员可在一切设置好的情况下走出商店。可用单次选择来共享全部数据和信息，因此会员不必单独地和分开地共享每一项(例如，杂货店列表、照片、日历等)。
中枢用户界面可用作共享空间，该共享空间是可定制的并且为用户生成并共享的内容而提供。某些信息可被共享，而其他信息则不能。例如，妈妈的完整的圣诞节列表不能由其他家庭成员查看，但是爸爸和儿童可向列表进行添加(并且仅能查看他们的贡献)。可“照菜单点”地执行中枢设置，意味着只有成员想显示在中枢墙上的特征才能被选择。例如，妈妈想要看到购物列表，而爸爸不购物，因此想让该列表不显示在他的设备上，但他仍然能够访问购物列表以在需要时添加物品。
中枢用户界面集成功能、日历功能、事件和/或数据汇总(即，在“墙”上)、以及在中枢的成员之间共享的内容(例如，列表、文档等)。例如，中枢用户界面可包括“家庭签到”或“签到”选项。中枢用户界面还可包括聊天部分，其中位置签到消息与在中枢的成员之间相互交换的其他消息可一起被显示。中枢“墙”表示组成员借此可添加想要信息的区域，诸如餐厅公告板、家庭冰箱等。在各实现中，信息可按柱或列来聚集，并如示出的被显示在中枢墙上。中枢墙还可及时表示出现在墙上的信息和数据中的任一个与其放置 处之间的相互关系。中枢设置使得用户可控制哪些功能被集成并显示在中枢内(例如，在墙上)。
中枢信息还可以是与中枢的成员相关的上下文，而日历包括共享的中枢事件。日历更新可作为通知事件被贴在墙上，并且用户可以看墙以查看即将到来的中枢事件、或者与中枢的一个或多个其他成员有关的事件。还可执行在中枢的成员之间私有的消息收发。成员可即时地发送文本(或其他通信)给中枢中的全部其他成员。键入文本(诸如用于工作会议)可将在每个成员在其相应设备上的显示划分成用于每个成员的个别屏幕。
中枢是可扩展的，并且可链接到家用计算机上的硬盘驱动器，或者仅与其他设备、管理器或云控制(例如，来自基于网络的服务)中的一个进行同步。中枢也可扩展到在中枢墙上添加注释的第三方，诸如用应用程序编程接口(API)实现以得到将数据张贴到中枢的功能。然而，第三方应用不能访问中枢墙的上下文诸如来获得或显示中枢数据。私有信息和中枢数据可被加密并仅由与中枢相关联的电话设备解密。
由此，中枢协调架构支持的中枢可被认作用于协调中枢的成员的通信、活动、信息和集成的中央空间。中枢可被定义成支持诸如针对家庭成员、同事、朋友、熟人、粉丝(爱好者)俱乐部等各种不同的成员资格。因此，虽然在以下讨论中讨论了与家庭有关的示例，但是显而易见的，中枢中的成员资格可在不背离本申请的精神和范围的情况下按各种其他方式来定义。因此，中枢协调架构可被用于支持各种不同的功能。该功能的一示例在此被描述为中枢受限执行服务，并且在此还讨论了私有交互中枢的进一步的方面。
图10示出了包括能实现受限执行模式的各实施例的实例设备1002的示例系统1000。例如，示例设备1002可被实现为参考以上附图1-9描述的设备、服务、和/或服务器中的任一个，如任何类型的客户端或移动设备、移动电话、平板设备、计算设备、通信设备、娱乐设备、游戏设备、媒体回放设备、和/或其他类型的设备。例如，图1-2中显示的移动设备100可被实现为示例设备1002。
设备1002包括启用设备数据1006(如设备处的媒体内容和共享消息、更新和事件数据)的有线和/或无线通信的通信设备1004。媒体内容可以包 括任何类型的音频、视频和/或图像数据。通信设备1004还可包括用于蜂窝电话通信和/或网络数据通信的收发机。
设备1002还包括提供设备、数据网络、以及其他设备之间的连接和/或通信链路的输入输出(I/O)接口1008，如数据网络接口。I/O接口可被用来将该设备耦合到任何类型的组件、外围设备、和/或附件设备。I/O接口还包括数据输入端口，经由该数据输入端口可以接收任何类型的数据、媒体内容和/或输入，诸如用户对设备的输入以及从任何内容和/或数据源接收的任何类型的音频、视频和/或图像数据。
I/O接口1008还支持对设备1002的自然用户界面(NUI)输入，诸如使得用户能够以“自然“方式与设备交互而无需由诸如鼠标、键盘、遥控器等输入设备强加的人为约束的任何接口技术。自然用户界面输入的示例可依赖于语音识别，触摸和指示笔识别，屏上姿势识别和接近该设备的运动姿势识别，头、眼以及环境识别和跟踪，增强现实和虚拟现实系统，以及可确定用户输入意图的任何其他类型的可听、视觉、触摸、姿势和/或机器智能。
设备1002包括可至少部分地在硬件中如用处理可执行指令的任何类型的微处理器、控制器等实现的处理系统1010。处理系统可包括集成电路组件、可编程逻辑器件、使用一个或多个半导体来形成的逻辑器件、以及硅和/或硬件的其他实现，如实现为片上系统(SoC)的处理器和存储器系统。另选地或补充地，设备可以用软件、硬件、固件或可以用处理和控制电路来实现的固定逻辑电路中的任何一个或其组合来实现。设备1002还可包括将设备中的各组件相耦合的任何类型的系统总线或其他数据和命令传输系统。系统总线可包括不同总线结构和架构以及控制和数据线中的任何一个或组合。
设备1002还包括计算机可读存储介质1012，如可由计算设备访问并且提供数据和可执行指令(例如，软件应用、程序、函数等)的持久存储的数据存储设备。计算机可读存储介质的示例包括易失性存储器和非易失性存储器、固定和可移动媒体设备、以及维护数据以供计算设备访问的任何合适的存储器设备或电子数据存储。计算机可读存储介质可包括各种存储器设备配置中的随机存取存储器(RAM)、只读存储器(ROM)、闪存、以及其他类型的存储介质的各种实现。
通常，计算机可读存储介质表示相对于仅信号传输、载波、或信号本身而言，启用对数据的持久和/或非瞬态存储的介质和/或设备。计算机可读信号介质可以指诸如经由网络传送指令的信号承载介质。信号介质可将计算机可读指令体现为已调制数据信号中的数据，如载波或其他传输介质。
计算机可读存储介质1012提供对设备数据1006和各个设备应用1014的存储，诸如被用计算机可读存储介质维护成软件应用并由处理系统1010执行的操作系统。在该示例中，设备应用还包括实现受限执行模式的各实施例的设备共享服务1016，如在示例设备1002被实现为图1所示的移动设备100时。设备共享服务1016的示例是在移动设备100处与操作系统204集成在一起的受限执行服务202，如参考图1描述的。
设备应用1014还可包括实现受限执行模式的各实施例的服务和应用1018中的任一个。示例设备1002还包括家庭协调架构1020，该家庭协调架构1020可在软件、固件、硬件(例如，固定逻辑电路)或其任意组合的一般上下文中实现以支持受限执行模式和/或移动设备家庭协调的各实施例。设备1002还可包括可被用来确定该设备的全球或导航位置的定位系统1022(如GPS收发机)或类似定位系统组件。
设备1002还包括为音频设备1026生成音频数据和/或为显示设备1028生成显示数据的音频和/或视频处理系统1024。音频设备和/或显示设备包括处理、显示、和/或以其他方式呈现音频、视频、显示和/或图像数据的任何设备。在各实现中，音频设备和/或显示设备是示例设备1002的集成组件。替代地，音频设备和/或显示设备是示例设备的外部、周边组件。
在各实施例中，针对受限执行模式描述的技术的至少一部分可被实现在诸如平台1032中的“云”1030上的分布式系统中。云1030包括和/或表示服务1034和/或资源1036的平台1032。例如，服务1034可包括云存储和服务206，以及参考图1描述的数据服务208中的任意一个。另外，资源1036可包括如参考图1描述的可访问数据210。
平台1032对诸如服务器设备(例如，包括在服务1034中)等硬件和/或软件资源(例如，包括在资源1036中)的底层功能进行抽象，并将示例设备1002与其他设备、服务器等相连接。资源1036还可包括可在计算机处 理在示例设备1002远程的服务器上执行时使用的应用和/或数据。另外，服务1034和/或资源1036可以便于订户网络服务，如通过因特网、蜂窝网络或Wi-Fi网络。平台1032还可用于抽象和缩放资源来对经由该平台实现的资源1036的需求进行服务，如在具有遍及系统1000分布的功能的互连设备实施例中。例如，该功能可部分地在示例设备1002中以及经由抽象云1032的功能的平台1030来实现。
尽管已经用特征和/或方法专用的语言描述了受限执行模式的各实施例，但是所附权利要求的主题不必限于所述的具体特征或方法。相反，这些具体特征和方法是作为受限执行模式的示例实现来公开的。