實(shí)施例涉及增強(qiáng)計(jì)算系統(tǒng)的安全性，包括基于位置的安全性增強(qiáng)。

背景技術(shù)：

可移動計(jì)算設(shè)備為想要隨時隨地訪問數(shù)據(jù)、網(wǎng)絡(luò)和其他能力的用戶增加了方便性。已經(jīng)創(chuàng)造了此類設(shè)備的各種應(yīng)用和其他特征來幫助用戶，同時它們是可移動的。許多設(shè)備包括一種或多種安全性解決方案來保護(hù)設(shè)備免于未授權(quán)使用或攻擊。這些方案中的一些可以在確定要采取的適當(dāng)安全措施時考慮設(shè)備位置。然而，這些方案一般需要用戶交互并進(jìn)一步要求用戶記得更新一個位置處可能發(fā)生的任何行為變化。另外，用戶被要求針對特定位置設(shè)定合適的策略，這增加了用戶的認(rèn)知負(fù)荷，降低了用戶體驗(yàn)，并進(jìn)一步降低了安全措施的魯棒性。

附圖說明

圖1是根據(jù)本發(fā)明的實(shí)施例的用于選擇和應(yīng)用安全策略的方法的流程圖。

圖2是根據(jù)本發(fā)明的實(shí)施例的用于確定并應(yīng)用合適的安全策略的方法的流程圖。

圖3是根據(jù)本發(fā)明的實(shí)施例的用于更新安全策略的方法的流程圖。

圖4是根據(jù)本發(fā)明的另一實(shí)施例的用于更新安全策略的方法的流程圖。

圖5是根據(jù)實(shí)施例的策略和分析引擎的框圖。

圖6是根據(jù)另一實(shí)施例的策略和分析引擎的框圖。

圖7是根據(jù)實(shí)施例的本體分類器的框圖。

圖8是根據(jù)本發(fā)明的實(shí)施例的系統(tǒng)安排的框圖。

圖9是可以與實(shí)施例一起使用的示例系統(tǒng)的框圖。

圖10是可以與實(shí)施例一起使用的示例系統(tǒng)的框圖。

圖11是代表性計(jì)算機(jī)系統(tǒng)的框圖。

圖12是根據(jù)本發(fā)明的實(shí)施例的系統(tǒng)的框圖。

具體實(shí)施方式

在各實(shí)施例中，可以基于系統(tǒng)的位置(比如移動設(shè)備進(jìn)入具體位置的地方)自動地對所述系統(tǒng)應(yīng)用安全策略。可以增強(qiáng)用戶體驗(yàn)，因?yàn)橛脩舨恍枰浀冕槍ξ恢酶掳踩呗浴Ａ硗?，?shí)施例可以基于各種因素(包括對具體位置處用戶行為的觀察)使能對安全策略的動態(tài)更新。為此，實(shí)施例可以實(shí)現(xiàn)機(jī)器學(xué)習(xí)技術(shù)來標(biāo)識位置特定的安全策略的潛在更新(并自動地更新所述策略，潛在地在首先向用戶對其進(jìn)行確認(rèn)之后)。

仍進(jìn)一步地，實(shí)施例減輕了用戶記住和/或訪問要應(yīng)用在彼此類似的位置處的適當(dāng)安全策略的負(fù)擔(dān)。就這一點(diǎn)而言，實(shí)施例可以至少部分地基于具有類似位置語義情境的位置自動地確定何時第一位置與第二位置充分地相似。例如，本體可以與將其標(biāo)識為具有公共區(qū)域(例如，進(jìn)餐、對話、多人)的零售渠道的第一位置相關(guān)聯(lián)，并且安全策略被斷言(并且可能被用戶酌情確認(rèn))。假定第二位置同樣具有相關(guān)聯(lián)的本體，但缺乏位置特定的安全策略(locationspecificsecuritypolicy)。實(shí)施例可以確定這兩個位置之間的語義相似度，并從第一位置斷言要應(yīng)用于第二位置的安全策略。在某些情況下，例如取決于相似度的置信度，可以提醒用戶許可所述斷言，或者如果滿足相似度置信度的閾值則可以可選地省略這種許可。

這樣，實(shí)施例觀察用戶行為并對這些用戶在具體位置喜歡與設(shè)備交互的程度加以假設(shè)。仍進(jìn)一步地，與一個位置相關(guān)聯(lián)的策略可以基于所確定的位置相似度(存在或沒有用戶確認(rèn)的情況下)被自動地應(yīng)用在另一位置。實(shí)施例可以使用各種技術(shù)來斷言語義相似度，包括但不限于使用本體、相似的標(biāo)識符(比如商標(biāo)名稱)、徽標(biāo)、企業(yè)主、鄧白氏(dunandbradstreet，duns)號碼等。注意的是，雖然給定安全策略的特征不同，在某些情況下，可以使用位置特定的安全策略來確定：用戶認(rèn)證的強(qiáng)度；成功認(rèn)證會話到期之前的持續(xù)時間；當(dāng)用戶處于一個位置時可以被訪問的數(shù)字、遠(yuǎn)程和本地資產(chǎn)等。為了確定設(shè)備位置，可以使用一個或多個ml分類器來確立具有位置信息的位置給定的多個資源，包括但不限于固定位置信標(biāo)、全球定位系統(tǒng)(gps)、無線局域網(wǎng)(例如，wifi)、無線廣域網(wǎng)(例如，3g/4g)、音頻、視頻、光照、空氣質(zhì)量等。

在實(shí)施例中，監(jiān)測邏輯可以觀察用戶行為、環(huán)境因素和其他情境因素。此數(shù)據(jù)然后可以用來判定是否要更新設(shè)備的安全策略。在實(shí)施例中，傳感器和輸入設(shè)備數(shù)據(jù)可以被收集傳遞以便通過一個或多個情境分類器分類。進(jìn)而，策略和分析引擎(pae)接收已分類信息并用其來判定是否要以給定方式操縱當(dāng)前策略。為了做到這一點(diǎn)，ml位置分類器確定位置并將位置與地理圖、建筑圖、或拓?fù)鋱D進(jìn)行相關(guān)。取決于結(jié)果，可以存在對針對位置的安全策略的永久性更新、或在訪問期間持續(xù)的更新。為了判定是否要更新策略，在一些實(shí)施例中，可以使用用戶閾值策略來判定何時請求用戶確認(rèn)(和/或何時可允許自動地?cái)嘌愿?。這個確定可以至少部分地基于使用更新推薦的分?jǐn)?shù)或置信度值。例如，如果置信度分?jǐn)?shù)大于70且小于90，則尋求用戶許可；如果置信度分?jǐn)?shù)大于90，則所述策略可以直接被指定；并且如果置信度分?jǐn)?shù)小于70，則不指定所述策略。在這些情況中的任何一種下，pae繼續(xù)觀察傳感器和輸入的設(shè)備數(shù)據(jù)并判定策略改變和/或更新是否合適。

注意的是，在不同實(shí)施例中，可以存在按照上述流程確立位置相似度的多種方法。在一個實(shí)施例中，可以使用字符串比較操作。在另一實(shí)施例中，ml分類器和訓(xùn)練數(shù)據(jù)可以用來尋找類似的音質(zhì)、環(huán)境光照、或其他通過傳感器可獲得的機(jī)密形式。在又另一實(shí)施例中，本體可以用來基于類型分類粗略估計(jì)相似度。在又進(jìn)一步的情況下，可以應(yīng)用這些方法中的任意方法的組合來確定位置相似度以便使策略選擇自動化。

現(xiàn)在參照圖1，所示的是根據(jù)本發(fā)明的實(shí)施例的用于選擇和應(yīng)用安全策略的方法的流程圖。在各實(shí)施例中，方法10可以由安全引擎的邏輯執(zhí)行，比如多核處理器或其他片上系統(tǒng)(soc)的獨(dú)立安全協(xié)處理器。在不同實(shí)施例中，這種邏輯可以被實(shí)現(xiàn)為硬件、軟件、和/或固件的組合，并且在一個實(shí)施例中可以采取一個或多個微控制器、有限狀態(tài)機(jī)或其他硬編碼邏輯的形式。

如所見的，方法10開始于接收位置信息(框15)。這種位置信息可以與包括處理器的系統(tǒng)所存在的位置相關(guān)聯(lián)。例如，在可移動系統(tǒng)的情境下(比如智能手機(jī)、平板計(jì)算機(jī)等)，用戶可以將移動設(shè)備攜帶(例如)在口袋中或很靠近用戶的其他位置。這種位置信息可以是從不同的源接收的，從平臺內(nèi)部或從平外外部兩者。例如，全球定位系統(tǒng)(pgs)傳感器可以接收位置坐標(biāo)信息。其他位置傳感器也可以接收所述位置信息，例如從蜂窩通信系統(tǒng)、無線局域網(wǎng)或以任何其他方式，比如基于網(wǎng)絡(luò)的應(yīng)用，所述基于網(wǎng)絡(luò)的應(yīng)用利用一定的位置信息(例如，gps數(shù)據(jù))以便獲得關(guān)于位置的附加信息，比如文本信息(例如商業(yè)名稱等)。

仍然參照圖1，接下來可以判定所述位置信息是否與安全策略相關(guān)聯(lián)(菱形20)。也就是說，計(jì)算設(shè)備可以包括安全策略數(shù)據(jù)庫，所述安全策略數(shù)據(jù)庫包括各種安全策略，每種安全策略與具體位置或位置類型相關(guān)聯(lián)。一般地，每種安全策略可以包括：配置以及其他關(guān)于用戶和對在所述位置運(yùn)行合適的(例如，需要)系統(tǒng)設(shè)置的信息，或其他安全控制信息，比如某些應(yīng)用和/或硬件設(shè)備在具體位置的可用性/不可用性、對敏感信息的顯示的控制等。

作為示例，位置策略可以限定若干智能手機(jī)、平板或個人計(jì)算設(shè)備中的哪一個可以被使用、被訪問或被授權(quán)打開主處理器、顯示屏、通用串行總線(usb)、bluetooth^tm低能(ble)、串行或其他外圍設(shè)備連接邏輯。所述位置策略可以進(jìn)一步標(biāo)識特定文件、文件夾或其他數(shù)字內(nèi)容，所述其他數(shù)字內(nèi)容可以受安全處理器、可信執(zhí)行環(huán)境、或使用非對稱或?qū)ΨQ加密算法(比如高級加密標(biāo)準(zhǔn)(aes)、橢圓曲線密碼體系(ecc)、或李維斯特薩莫爾阿德曼(rsa)加密技術(shù)標(biāo)準(zhǔn))通過數(shù)據(jù)加密保護(hù)的其他數(shù)字內(nèi)容。

位置控制可以進(jìn)一步區(qū)分對數(shù)據(jù)敏感度加標(biāo)簽(datasensitivitylabeling)，其中，數(shù)據(jù)敏感度標(biāo)簽可以與硬件、設(shè)備、文件、文件夾或數(shù)據(jù)的其他電子表示相關(guān)聯(lián)。數(shù)據(jù)敏感度標(biāo)簽可以按照敏感度水平表達(dá)，其中，更高的水平代表更高的機(jī)密性保護(hù)要求，或者其中，敏感度可以按照完整性等級劃分表達(dá)，從而使得更強(qiáng)的完整性保證與更低的等級完整性保證被標(biāo)記以不同敏感度標(biāo)簽。可以進(jìn)一步用分類方案來區(qū)分敏感度標(biāo)簽，其中，對信息的分區(qū)是通過將其分解成更小的組成部分而確定的，例如一個公司可以由多個部門組成：銷售、市場、工程等。在又進(jìn)一步實(shí)施例中，位置策略可以限定主體要擁有的授權(quán)(證書或令牌的形式)，當(dāng)資源物理地或邏輯地位于位置傳感器的坐標(biāo)時，所述授權(quán)限定資源的敏感度標(biāo)簽/水平。

仍參照圖1，如果存在相關(guān)聯(lián)的安全策略，控制接下來轉(zhuǎn)至框30，在此框，可以應(yīng)用與位置信息相關(guān)聯(lián)的安全策略。仍進(jìn)一步地，在使用具體位置處計(jì)算設(shè)備的過程中，監(jiān)測邏輯可以監(jiān)測計(jì)算設(shè)備的使用，從而判定對安全策略的更新是否合適，例如基于用戶與所述位置處的計(jì)算設(shè)備交互的方式。例如，在進(jìn)入安全的建筑物時，用戶可以將智能手機(jī)的攝像頭組件禁能。這種類型的信息可以被用監(jiān)測邏輯監(jiān)測并且可以用來判定以這種方式更新安全策略是否合適。

仍參照圖1，如果不存在與所述位置相關(guān)聯(lián)的安全策略，控制反而從菱形20轉(zhuǎn)至框25。在框25，可以確定當(dāng)前位置與具有相關(guān)聯(lián)的安全策略的一個或多個位置的位置相似度。雖然本發(fā)明的范圍并不限于此，在實(shí)施例中，這個確定可以基于執(zhí)行一個或多個分類器以對位置信息與關(guān)于(安全策略數(shù)據(jù)庫中針對其存在有效安全策略的)位置的相似信息進(jìn)行比較。如在此所描述的，不同的實(shí)施例可以基于以下各項(xiàng)中一項(xiàng)或多項(xiàng)定義邏輯上相似的位置：本體分析、機(jī)器學(xué)習(xí)的相似度和簡單句法比較(比如包括特許名稱的邏輯位置符號、duns號碼、徽標(biāo)、名句和/或可聞音)。

從這個確定開始，控制接下來轉(zhuǎn)至菱形35從而判定所述位置是否在閾值置信度水平以上與存儲的位置相似。所述閾值置信度水平可以是基于所述一個或多個分類器進(jìn)行的位置評分的具體置信度水平。如果確定了所述位置與存儲的位置相似(例如，與安全策略數(shù)據(jù)庫中針對其存在安全策略的starbucks^tm咖啡店在不同城市的starbucks^tm咖啡店)，控制轉(zhuǎn)至框30，在此框，可以直接應(yīng)用類似位置的安全策略。

否則，如果位置相似度不高于這個閾值置信度水平，控制反而轉(zhuǎn)至框40，在此框，可以尋求用戶輸入。更確切地，這個用戶輸入可以通過通知用戶關(guān)于針對相似位置的安全策略的可用性并尋求用戶應(yīng)用這個相似策略的授權(quán)。在菱形42，判定用戶是否確認(rèn)這個請求。如果是，控制轉(zhuǎn)至框30，在此框，可以應(yīng)用所述安全策略。否則，控制轉(zhuǎn)至框45，在此框，不應(yīng)用所述安全策略。理解的是，盡管在圖1的實(shí)施例中以這種較高層次示出，但許多變體和替代方案是可能的。

現(xiàn)在參照圖2，所示的是根據(jù)本發(fā)明的另一實(shí)施例的用于至少部分地基于計(jì)算設(shè)備的位置確定要應(yīng)用的適當(dāng)安全策略的方法的流程圖。如圖2中所示，可以通過硬件、軟件和/或固件的組合(包括安全引擎的邏輯)執(zhí)行方法100。方法100開始于接收位置信息(框110)。這種位置信息可以從系統(tǒng)的各種傳感器和輸入設(shè)備(包括位置傳感器)接收。接下來在框115，可以基于這個位置信息確定設(shè)備的位置。在實(shí)施例中，策略和分析引擎可以執(zhí)行機(jī)器學(xué)習(xí)位置分類器來確定這種位置。接下來控制轉(zhuǎn)至框120，在此框，可以參照這個位置并進(jìn)一步使用位置數(shù)據(jù)庫118中存在的信息測試各種語義，所述位置數(shù)據(jù)庫可以是將各個位置與可用安全策略相關(guān)聯(lián)的本地?cái)?shù)據(jù)庫。在其他情況下，這種信息可以從遠(yuǎn)程數(shù)據(jù)庫比如基于云的存儲裝置(cloud-basedstorage)獲得。

仍參照圖2，控制接下來轉(zhuǎn)至框125，在此框，可以將當(dāng)前位置的控制情境與第二位置(例如，這個位置數(shù)據(jù)庫中存在的給定位置)的位置情境進(jìn)行比較。在實(shí)施例中，所述比較可以基于以下各項(xiàng)中的一項(xiàng)或多項(xiàng)：本體、字符串比較、duns號碼比較等?？刂平酉聛磙D(zhuǎn)至菱形130從而判定當(dāng)前位置是否與這個數(shù)據(jù)庫中的一個或多個位置相似。如果否，控制轉(zhuǎn)至框140，在此框，可以選擇默認(rèn)位置策略。這個默認(rèn)安全策略可以假定計(jì)算設(shè)備處于公共位置，并且這樣，某些安全保護(hù)特征被使能。

如果當(dāng)前位置被確定為與存儲的位置(具有相關(guān)聯(lián)的安全策略)相似，控制轉(zhuǎn)至框150從而推薦所述策略。接下來，在菱形160，判定是否向用戶確認(rèn)所述策略。在一個實(shí)施例中，關(guān)于是否向用戶確認(rèn)的這個確定可以基于位置與具有所述推薦的安全策略的位置的相似度的置信度水平。例如，可以將相似度的分?jǐn)?shù)或置信度水平與閾值置信度水平進(jìn)行比較。如果所述分?jǐn)?shù)大于所述閾值置信度水平，控制可以直接轉(zhuǎn)至框175，在此框，可以直接應(yīng)用安全策略，例如通過針對選定的策略對系統(tǒng)進(jìn)行配置，例如根據(jù)選定的策略控制設(shè)置、控制或使用限制。

如果要尋求用戶確認(rèn)，控制轉(zhuǎn)至框165，在此框，系統(tǒng)可以尋求用戶確認(rèn)，例如通過顯示合適的對話框或?qū)で箨P(guān)于針對具體位置的推薦的安全策略的用戶輸入和關(guān)于策略本身的細(xì)節(jié)。接下來，在菱形170，判定用戶是否確認(rèn)所述策略。如果否，在系統(tǒng)中設(shè)定默認(rèn)位置策略(框140)。否則，控制轉(zhuǎn)至框175從而應(yīng)用安全策略。理解的是，盡管在圖2的實(shí)施例中以這種較高層次示出，但許多變體和替代方案是可能的。

現(xiàn)在參照圖3，所示的是根據(jù)本發(fā)明的實(shí)施例的用于更新安全策略的方法的流程圖。如圖3中所示，可以通過硬件、軟件和固件的組合(包括安全引擎的邏輯)執(zhí)行方法200。方法200開始于接收多因素情境信息(框210)。這個多因素情境信息可以在處于具體位置的計(jì)算設(shè)備運(yùn)行的過程中被接收。雖然這種多因素情境信息的內(nèi)容可以廣泛地不同，在某些實(shí)施例中，此信息可以包括與計(jì)算設(shè)備的用戶交互、位置信息、環(huán)境信息、等其他這種信息?？梢詫Υ诵畔⑦M(jìn)行分析從而通過生成更新推薦來判定是否更新安全策略(框220)。此判定可以至少部分(通過執(zhí)行)基于一個或多個分類器，所述一個或多個分類器判定安全更新是否合適。因而，在菱形225，判定是否要針對此推薦更新策略。如果否，在框210和220可以發(fā)生對情境信息的繼續(xù)接收和分析。

相反，如果確定要更新策略，控制從菱形225轉(zhuǎn)至菱形230從而判定所述更新推薦是否超過閾值置信度水平(菱形230)。例如，分類器可以輸出有待與閾值置信度水平比較的推薦值。如果所述推薦值超過所述閾值置信度水平，控制轉(zhuǎn)至框240，在此框，可以直接更新安全策略。例如，可以基于用戶行為和交互更新針對給定位置的策略，從而使得當(dāng)用戶進(jìn)入所述位置時發(fā)動具體應(yīng)用。否則，如果確定了所述更新推薦未超過閾值置信度水平，控制轉(zhuǎn)至框250，在此框，可以關(guān)于策略更新尋求用戶輸入。如上，這個用戶輸入可以通過向用戶通知關(guān)于策略更新推薦以及尋求以這種方式更新策略的用戶授權(quán)。如果用戶許可更新(菱形260)，控制返回至框240，在此框，更新安全策略。否則，不更新安全策略(框270)。理解的是，盡管以這種較高層次示出，但許多變體和替代方案是可能的。

現(xiàn)在參照圖4，所示的是根據(jù)本發(fā)明的實(shí)施例的用于更新安全策略的方法的流程圖。如圖4中所示，可以類似地通過硬件、軟件和/或固件的組合(包括安全引擎的邏輯)執(zhí)行方法300。在示出的展示中，方法300開始于接收多因素情境信息(框310)。除了其他情境因素以外，這種信息可以包括系統(tǒng)的一個位置處的用戶行為和環(huán)境因素。另外，可以接收傳感器和輸入設(shè)備信息(框315)。響應(yīng)于接收到全部這條信息，可以執(zhí)行一個或多個情境分類器(框320)。所述情境分類器可以包括一個或多個機(jī)器學(xué)習(xí)分類器。雖然在各實(shí)施例中此類分類器可以被實(shí)現(xiàn)在具體計(jì)算設(shè)備的邏輯中，還可以利用基于云的位置處的計(jì)算資源和分類器，從而使得本地計(jì)算設(shè)備與所述云位置之間發(fā)生交互。

仍參照圖4，控制接下來轉(zhuǎn)至框330，在此框，可以在策略與分析引擎中分析(多個)分類器輸出。例如，來自位置分類器的輸出可以確定計(jì)算設(shè)備的位置，并且此策略和分析引擎將所述位置與各種信息(包括地理信息、建筑信息、拓?fù)鋱D等)相關(guān)?；诳梢园☉?yīng)用位置算法來建立現(xiàn)有地理位置與在語義上與所述第一地理位置等價的新地理位置之間的語義等價性的分析，可以判定是否確定要推薦對安全策略的更新(菱形335)。注意的是，在某些情況下，如果存在語義等價性，則可以自動地更新訪問控制策略從而包括第二地理位置，從而使得依據(jù)清楚的地理坐標(biāo)表達(dá)實(shí)際訪問策略?？梢允褂玫乩碜鴺?biāo)應(yīng)用對訪問策略的評估并且可以對其進(jìn)行性能調(diào)諧以便高效的處理。如果沒有安全策略要推薦，控制轉(zhuǎn)至框340，在此框，可以發(fā)生關(guān)于各情境因素的繼續(xù)觀察。

仍參照圖4，另外如果推薦了策略更新，控制轉(zhuǎn)至框350從而確定所述策略更新。雖然本發(fā)明的范圍不限于此，在某些情況下，這個確定可以基于地理相似度的程度。當(dāng)確定了這種更新時，控制轉(zhuǎn)至菱形360從而判定是否向用戶確認(rèn)策略改變。在一個實(shí)施例中，關(guān)于是否向用戶確認(rèn)的這個確定可以基于對策略推薦安全策略更新的置信度水平。例如，可以將推薦的分?jǐn)?shù)或置信度水平與閾值置信度水平進(jìn)行比較。如果分?jǐn)?shù)大于閾值置信度水平，控制可以直接轉(zhuǎn)至框375，在此框，可以更新安全策略，例如，就這一點(diǎn)而言，通過增加一種或多種附加設(shè)置、對策略的控制或使用限制以及更新所存儲(和應(yīng)用)的策略。

如果要尋求用戶確認(rèn)，控制轉(zhuǎn)至框365，在此框，系統(tǒng)可以尋求用戶確認(rèn)，例如通過顯示合適的對話框并請求關(guān)于有待更新的安全策略的用戶輸入和關(guān)于更新本身的細(xì)節(jié)。接下來，在菱形370，判定用戶是否確認(rèn)所述更新。如果否，在框340可以發(fā)生對系統(tǒng)使用的繼續(xù)觀察。否則，控制轉(zhuǎn)至框375，如上文所討論的進(jìn)行安全策略更新。理解的是，盡管在圖4的實(shí)施例中以這種較高層次示出，但許多變體和替代方案是可能的。

注意的是，在不同實(shí)施例中，可以存在多種用于確立位置相似度的方法。在一個實(shí)施例中，可以使用字符串比較操作。在另一實(shí)施例中，ml分類器和訓(xùn)練數(shù)據(jù)可以用來尋找類似的音質(zhì)、環(huán)境光照、或其他通過傳感器可獲得的機(jī)密形式。在又另一實(shí)施例中，本體可以用來基于類型分類粗略估計(jì)相似度。在又進(jìn)一步的情況下，可以應(yīng)用這些方法中的任意方法的組合來確定位置相似度以便使策略選擇自動化。

在一些情況下，可以在地圖數(shù)據(jù)與來自常識數(shù)據(jù)庫(所述常識數(shù)據(jù)庫可以是在設(shè)備上可用的，或通過基于云的存儲裝置可訪問的)的數(shù)據(jù)之間進(jìn)行字符串對比，從而確定兩個位置類似還是相同。例如，用戶走進(jìn)starbucks^tm店，并且用戶的設(shè)備接收指示它在starbucks^tm店內(nèi)或旁邊的地圖數(shù)據(jù)。然后，分類器可以將這個字符串與安全策略數(shù)據(jù)庫的信息進(jìn)行比較，從而判定是否有已經(jīng)存在的starbucks^tm策略，并詢問用戶是否要應(yīng)用這種策略。

現(xiàn)在參照圖5，所示的是根據(jù)實(shí)施例的策略和分析引擎的框圖。如圖5中所示，pae400包括字符串比較邏輯415。如所見的，比較邏輯415被配置成用于從各個源接收來到的數(shù)據(jù)(字符串)。在所示的實(shí)施例中，第一字符串是從地圖數(shù)據(jù)接收的，例如從一個或多個傳感器并進(jìn)一步參照地圖數(shù)據(jù)庫確定的，所述地圖數(shù)據(jù)庫與給定字符串具有相關(guān)聯(lián)的位置信息，比如商業(yè)名稱。另外，比較邏輯415被配置成用于從數(shù)據(jù)庫410接收第二字符串，所述數(shù)據(jù)庫可以存儲通用數(shù)據(jù)。在實(shí)施例中，這些字符串可以是標(biāo)識符或限定符的字符串表示，其中，名稱、徽標(biāo)、短語或可聞音的句法匹配可以標(biāo)識銷售商、零售商、個人或商業(yè)或零售商店的其他實(shí)體屬性或地點(diǎn)。例如，與第一位置相關(guān)聯(lián)的字符串“target(目標(biāo))”可以用來標(biāo)識字符串中具有標(biāo)識零售商的相同“target”字符串的第二位置。在不同情況下，數(shù)據(jù)庫410可以存儲在系統(tǒng)的存儲裝置(例如，給定的非易失性存儲裝置)中或可以存儲在遠(yuǎn)端例如基于云的位置。如所見的，字符串比較邏輯415進(jìn)行字符串比較并向策略邏輯420提供輸出。進(jìn)而，策略邏輯420被配置成用于生成策略推薦，例如基于這些字符串是否匹配。在這種情況下，當(dāng)?shù)谝惠斎胱址c第二輸入字符串匹配時，這意味著存在名稱上的匹配，并且因此與第二字符串相關(guān)聯(lián)的相應(yīng)策略(如策略數(shù)據(jù)庫中所存儲的)可以被用作合適的安全策略，基于所述字符串比較給定相似度。盡管在圖5的實(shí)施例中以這種較高層次示出，但pae的許多變體和替代方案是可能的。

現(xiàn)在參照圖6，所示出的是根據(jù)實(shí)施例的策略和分析引擎的框圖。在圖6中所示的實(shí)施例中，pae400’包括多個機(jī)器學(xué)習(xí)分類器，包括名稱分類器416、duns分類器417和本體分類器418。注意的是，名稱分類器416可以一般地對應(yīng)于圖5的字符串比較邏輯415。在圖6的實(shí)施例中，所述各分類器被配置成用于基于所接收的位置信息(即地圖數(shù)據(jù))接收輸入信息。例如，名稱分類器416可以接收文本字符串，duns分類器417可以接收duns號碼，并且本體分類器可以接收第一位置本體，與設(shè)備所位于的給定位置相關(guān)聯(lián)的所有這些都基于地圖數(shù)據(jù)。另外，這些分類器被配置成用于從訓(xùn)練數(shù)據(jù)庫430接收訓(xùn)練數(shù)據(jù)。一般地，訓(xùn)練數(shù)據(jù)庫430被配置成用于存儲從大量設(shè)備或位置獲得的訓(xùn)練數(shù)據(jù)。對所述訓(xùn)練數(shù)據(jù)進(jìn)行分析從而標(biāo)識跨所述各物理位置的相關(guān)性。所述訓(xùn)練數(shù)據(jù)被用來幫助所述設(shè)備上的多個因素找到多向量的匹配。

在實(shí)施例中，在訓(xùn)練模式下收集至少一部分訓(xùn)練數(shù)據(jù)，在所述訓(xùn)練模式中，傳感器用來供給ml算法從而記錄被當(dāng)做特征行為的樣本數(shù)據(jù)。所述訓(xùn)練數(shù)據(jù)變成參考樣本。當(dāng)訓(xùn)練結(jié)束時，模式變成工作模式，在工作模式中，所述傳感器收集被與參照比較的樣本數(shù)據(jù)。方差確定了模糊匹配，在模糊匹配中，可接受方差的閾值被超過并且樣本被確定與參照不同。作為一個示例，假定指紋閱讀器取得拇指指紋的樣本來建立參考樣本。第二次采樣產(chǎn)生與參照相似但不同的數(shù)據(jù)集。將每個偽像的統(tǒng)計(jì)差異與閾值進(jìn)行比較。所述閾值確定樣本何時被接受/拒絕。

基于在這些各分類器中進(jìn)行的分類，輸出被提供至策略邏輯420，所述策略邏輯進(jìn)而生成策略推薦。在某些情況下，策略邏輯420可以包括頂級分類器，即位置策略分類器，所述位置策略分類器基于這些子分類器中的每一個的結(jié)果確定相對匹配或相似度的置信度水平。在一些實(shí)施例中，策略邏輯420可以對這些子分類器不同地加權(quán)。例如，本體分類器418的輸出可以比其他分類器中的至少一個的輸出更高地加權(quán)，因?yàn)楸倔w分類對語義知識比句法匹配更精確地編碼。例如，詞語“目標(biāo)”可以指受歡迎的零售商或它可以指扔?xùn)|西的地方。同樣，用戶閾值策略可以確定何時適合從用戶請求確認(rèn)以及何時可以自動地?cái)嘌韵嗨贫取?/p>

如所描述的，策略分析引擎可以使用本體來找到大致的語義匹配位置。在一個實(shí)施例中，使用本體，pae可以通過本體基于相對路徑確定相似度，其中，‘is-a’和‘has-a’關(guān)系是相似的，但其中屬性值可以差異很大。例如，在如上的同一場景中，如果用戶走入peet’scoffee^tm店，與peet′s相關(guān)聯(lián)的本體可以是：

特征·營業(yè)地點(diǎn)·零售業(yè)務(wù)·咖啡店；其中，名稱屬性coffeeshopname(咖啡店名稱)＝“peet′scoffee”

starbucks的本體可以是：

特征·營業(yè)地點(diǎn)·零售業(yè)務(wù)·咖啡店；其中，名稱屬性coffeeshopname＝“starbucks”。

由于starbucks和peet′s都是咖啡館，pae可以確定(例如，通過推理)對兩個地點(diǎn)可以使用同一安全策略，即使名稱上字符串比較不匹配。

現(xiàn)在參照圖7，所示的是根據(jù)實(shí)施例的本體分類器的框圖。如圖7中所示，分類器418接收多個來到的本體，即第一位置本體432和第二位置本體434。注意的是，這些本體可以是starbucks^tm本體和peet′s^tm本體。這些不同本體被提供給本體映射器435，所述本體映射器進(jìn)行這兩個本體的比較并將結(jié)果傳遞給語義位置相似度推薦邏輯438，所述語義位置相似度推薦邏輯生成推薦或這兩個不同本體之間的相似度。例如，對于以上示例，可以以相對高的置信度水平確立這兩個位置是咖啡店，雖然文本字符串不同，本體的其他子元素具有高度相似度。理解的是，盡管在圖7的實(shí)施例中以這種較高層次示出，但許多變體和替代方案是可能的。

現(xiàn)在參照圖8，所示的是根據(jù)本發(fā)明的實(shí)施例的系統(tǒng)安排的框圖。如圖8中所見，系統(tǒng)500可以是用戶平臺比如移動設(shè)備、平板、平板手機(jī)、個人計(jì)算機(jī)(或其他形狀因素)并且包括soc505，所述soc可以是多核處理器。soc505可以包括安全執(zhí)行技術(shù)用來建立有待使用的可信執(zhí)行環(huán)境，如在此所述的。在不同實(shí)施例中，可以使用sgx技術(shù)、txt技術(shù)、或armtrustzone來實(shí)現(xiàn)tee。為此，實(shí)現(xiàn)方式可以包括各種硬件(通用的和專用的安全硬件兩者)用來創(chuàng)造tee并在此類環(huán)境中執(zhí)行基于位置的安全策略指定、更新和實(shí)施操作。

如在圖8的實(shí)施例中所見，soc505包括多個核510，所述多個核可以是同質(zhì)或異構(gòu)核的集合，比如整齊和亂序核的混合、低功率與較高功率核的混合、具有不同指令集架構(gòu)的核的混合等?？梢蕴幱诒慌渲贸蛇\(yùn)行于獨(dú)立電壓和頻率水平的一個或多個核域中的核510耦合至非核520，所述非核可以包括處理器的各種非核電路，比如緩存存儲器的一級或多級、系統(tǒng)代理、一個或多個集成存儲器控制器、功率管理單元和安全邏輯比如安全引擎525。

在所示的實(shí)施例中，可以被配置成用于創(chuàng)造tee并在這種可信環(huán)境下執(zhí)行的安全引擎525包括策略和分析引擎527以及監(jiān)測器邏輯529。pae527一般可以包括一個或多個分類器，包括多個子分類器以及主分類器。另外，pae527可以包括如在此所述的策略邏輯用于酌情執(zhí)行上文關(guān)于基于位置的安全策略標(biāo)識以及應(yīng)用和更新描述的方法中的一種或多種。進(jìn)而，監(jiān)測器邏輯529可以被配置成用于監(jiān)測各種系統(tǒng)情境，包括用戶行為、位置和環(huán)境信息等，并將這種信息提供給pae527從而判定對給定安全策略的一種或多種改變或更新是否可能是合適的并且要被推薦。如圖8中進(jìn)一步所示的，soc505進(jìn)一步包括傳感器/通信中樞540，各傳感器和模塊可以適配于所述傳感器/通信中樞。

出于基于位置的安全策略操作的目的，此類傳感器543可以包括生物特征輸入傳感器、一個或多個運(yùn)動傳感器設(shè)備、以及全球定位系統(tǒng)(gps)模塊或其他專用位置傳感器。在實(shí)施例中，還可以存在其他傳感器比如慣性和環(huán)境傳感器。作為若干示例，可以提供加速度計(jì)、力探測器、聲傳感器、和環(huán)境光探測器，并且從這些傳感器獲得的信息可以用于在此所描述的安全策略控制。同樣，在各實(shí)施例中，可以存在一個或多個無線通信模塊545從而使能與局域網(wǎng)或廣域網(wǎng)(比如根據(jù)3g或4g/lte通信協(xié)議的給定蜂窩系統(tǒng))通信。

仍參照圖8，存儲器系統(tǒng)的各部分耦合至soc505。在所示的實(shí)施例中，存在系統(tǒng)存儲器530(例如由動態(tài)隨機(jī)存取存儲器(dram)形成)和非易失性存儲裝置535，它們可以采取一個或多個閃存存儲器、磁盤驅(qū)動或其他大容量存儲裝置的形式。出于在此所描述的基于位置的安全策略操作的目的，非易失性存儲裝置535可以存儲訓(xùn)練數(shù)據(jù)庫536，所述訓(xùn)練數(shù)據(jù)庫如上文所討論的可以包括有待用于確定應(yīng)用于給定位置處的系統(tǒng)的適當(dāng)安全策略的各種訓(xùn)練信息。仍進(jìn)一步地，安全策略數(shù)據(jù)庫538可以存儲多個已經(jīng)生成的安全策略。此類安全策略數(shù)據(jù)庫可以包括多個表項(xiàng)，每個表項(xiàng)與具體的位置相關(guān)聯(lián)并且具有相關(guān)聯(lián)的安全策略，所述相關(guān)聯(lián)的安全策略可以提供關(guān)于對所述相關(guān)聯(lián)的位置處的系統(tǒng)的配置和控制的各種信息。

如圖8中進(jìn)一步所見的，平臺500可以進(jìn)一步包括可以通過通道544耦合至非核520的顯示處理器550，在某些實(shí)施例中，所述通道可以是可信通道。如所見的，顯示處理器550可以耦合至顯示器570，所述顯示器可以是用于接收用戶輸入的觸屏顯示器。因而，在本示例中，所述顯示器中配置的可以是觸摸屏575和觸摸屏控制器580(所述觸摸屏控制器當(dāng)然隱藏在所述顯示器本身后方)。在示例中可以是鍵盤和鼠標(biāo)的其他用戶接口(即用戶接口5951和5952可以通過嵌入式控制器590耦合。

實(shí)施例可以實(shí)現(xiàn)在soc或用于并入各種各樣平臺的其他處理器中。現(xiàn)在參照圖9，示出的是可以與實(shí)施例一起使用的示例系統(tǒng)的框圖。如所見的，系統(tǒng)900可以是智能手機(jī)或其他無線通信器?；鶐幚砥?05被配置成用于關(guān)于有待從所述系統(tǒng)發(fā)射或被所述系統(tǒng)接收的通信信號進(jìn)行各種信號處理。進(jìn)而，基帶處理器905耦合至應(yīng)用處理器910，所述應(yīng)用處理器可以是所述系統(tǒng)的用于執(zhí)行os和(除了許多熟知的社交媒體和多媒體app等用戶應(yīng)用之外)其他系統(tǒng)軟件的主cpu。應(yīng)用處理器910可以進(jìn)一步被配置成用于對所述設(shè)備進(jìn)行各種其他計(jì)算操作。在基于位置的安全策略操作的情境下，理解的是，應(yīng)用處理器910可以是包括一個或多個安全處理器的soc，所述一個或多個安全處理器被配置成用于至少部分地基于用戶行為、位置確定以及與具有相關(guān)聯(lián)的安全策略的一個或多個現(xiàn)有位置的相似度執(zhí)行基于位置的安全策略生成、標(biāo)識、和更新，如在此所描述的。

進(jìn)而，應(yīng)用處理器910可以耦合至用戶界面/顯示器920，例如，觸摸屏顯示器。另外，應(yīng)用處理器910可耦合至存儲器系統(tǒng)，所述存儲器系統(tǒng)包括非易失性存儲器(即閃存存儲器930)和系統(tǒng)存儲器(即dram935)。在一些實(shí)施例中，閃存存儲器930可以包括安全部分932，安全策略數(shù)據(jù)庫以及一個或多個其他數(shù)據(jù)庫可以存儲在所述安全部分中。如進(jìn)一步看到的，應(yīng)用處理器910還耦合至采集設(shè)備945，比如可以記錄視頻和/或靜止圖像的一個或多個圖像采集設(shè)備。

仍參照圖9，通用集成電路卡(uicc)940包括用戶身份模塊，在一些實(shí)施例中，所述用戶身份模塊包括安全的存儲裝置用于存儲安全的用戶信息。系統(tǒng)900可以進(jìn)一步包括安全處理器950，所述安全處理器可以耦合至應(yīng)用處理器910。在各實(shí)施例中，安全處理器950可以部分用于建立tee。多個傳感器925可以耦合至應(yīng)用處理器910從而使能輸入各種感測到的信息，比如加速度計(jì)和其他環(huán)境信息。另外，可以使用一個或多個認(rèn)證設(shè)備995來接收例如用于認(rèn)證操作的用戶生物特征輸入。

如進(jìn)一步展示的，近場通信(nfc)非接觸式接口960被設(shè)置為通過nfc天線965在nfc近場中通信。雖然圖9中示出了單獨(dú)的天線，理解的是，在某些實(shí)現(xiàn)方式中，可以提供一個天線或不同天線集合從而使能各種無線功能。

功率管理集成電路(pmic)915耦合至應(yīng)用處理器910從而執(zhí)行平臺級功率管理。為此，pmic915可以向應(yīng)用處理器910下發(fā)功率管理請求從而按照期望進(jìn)入一定的低功率狀態(tài)。而且，基于平臺限制，pmic915還可以控制系統(tǒng)900的其他組件的功率水平。

為了能夠發(fā)射和接收通信，各種電路可耦合于基帶處理器905與天線990之間。具體地，可存在射頻(rf)收發(fā)器970和無線局域網(wǎng)(wlan)收發(fā)器975。通常，rf收發(fā)器970可用于根據(jù)如3g或4g無線通信協(xié)議(如根據(jù)碼分多址(cdma)、全球移動通信系統(tǒng)(gsm)、長期演進(jìn)(lte)或其他協(xié)議)等給定無線通信協(xié)議來接收和發(fā)射無線數(shù)據(jù)和呼叫。另外，可以存在gps傳感器980，其中，位置信息被提供給安全處理器950以供使用，如在此所描述的。還可提供如無線電信號(例如，am/fm以及其他信號)的接收或發(fā)射的其他無線通信。另外，經(jīng)由wlan收發(fā)器975，還可以實(shí)現(xiàn)如根據(jù)bluetooth^tm標(biāo)準(zhǔn)或ieee802.11標(biāo)準(zhǔn)的本地?zé)o線通信。

現(xiàn)在參照圖10，示出的是可以與實(shí)施例一起使用的示例系統(tǒng)的框圖。在圖10的展示中，系統(tǒng)1300可以是移動低功率系統(tǒng)，諸如平板計(jì)算機(jī)、2”1平板機(jī)、平板手機(jī)或其他可轉(zhuǎn)換或獨(dú)立式平板系統(tǒng)。如展示的，存在soc1310并且其可以被配置成作為設(shè)備的應(yīng)用處理器而進(jìn)行操作。soc1310可以包括如在此描述的硬件、軟件、和/或固件以便提供基于位置的安全策略操作。

各種設(shè)備可以耦合至soc1310。在示出的展示中，存儲器子系統(tǒng)包括耦合至soc1310的閃存存儲器1340(可以存儲如在此所述的多個oem規(guī)定的清單)和dram1345。此外，觸摸面板1320耦合至soc1310以便經(jīng)由觸摸提供顯示能力和用戶輸入，包括在觸摸面板1320的顯示器上提供虛擬鍵盤。為了提供有效網(wǎng)絡(luò)連接，soc1310耦合至以太網(wǎng)接口1330。外圍中樞1325耦合至soc1310以便使得能夠與各種外圍設(shè)備對接，諸如可以通過各種端口或其他連接器中任何一項(xiàng)耦合至系統(tǒng)1300。

除了soc1310內(nèi)的內(nèi)部功率管理電路和功能，pmic1380耦合至soc1310以便提供基于平臺的功率管理，例如，基于系統(tǒng)是否經(jīng)由ac適配器1395而由電池1390或ac電源來供電。除了這一基于電源的功率管理，pmic1380可以基于環(huán)境和使用條件進(jìn)一步執(zhí)行平臺功率管理活動。仍進(jìn)一步地，pmic1380可以將控制和狀態(tài)信息傳送至soc1310以便在soc1310內(nèi)引起各種功率管理動作。

仍然參照圖10，為了提供無線能力，wlan單元1350耦合至soc1310并且進(jìn)而耦合至天線1355。在各種實(shí)現(xiàn)方式中，wlan單元1350可以根據(jù)一個或多個無線協(xié)議(包括ieee802.11協(xié)議、bluetooth^tm協(xié)議或任何其他無線協(xié)議)提供通信。

如進(jìn)一步展示的，多個傳感器1360可以耦合至soc1310。這些傳感器可以包括各個加速度計(jì)、環(huán)境和其他傳感器，包括用戶手勢傳感器。最終，音頻編解碼器1365耦合至soc1310以便向音頻輸出設(shè)備1370提供接口。當(dāng)然理解的是，盡管在圖10中采用此具體實(shí)現(xiàn)方式示出，但許多變體和替代方案是可能的。

現(xiàn)在參照圖11，示出的是代表性計(jì)算系統(tǒng)(諸如上網(wǎng)本、ultrabook^tm或其他小形狀因數(shù)系統(tǒng))的框圖。在一個實(shí)施例中，處理器1410包括微處理器、多核處理器、多線程處理器、超低電壓處理器、嵌入式處理器、或其他已知的處理元件。在所展示的實(shí)現(xiàn)方式中，處理器1410充當(dāng)用于與系統(tǒng)1400的各個部件中的許多部件進(jìn)行通信的主處理單元和中央中樞。作為一個示例，處理器1400被實(shí)現(xiàn)為soc。處理器1400可以包括如在此描述的硬件、軟件、和/或固件以便進(jìn)行基于位置的安全策略操作。

在一個實(shí)施例中，處理器1410與系統(tǒng)存儲器1415進(jìn)行通信。作為展示性示例，系統(tǒng)存儲器1415經(jīng)由多個存儲器設(shè)備或模塊來實(shí)現(xiàn)以便提供給定量的系統(tǒng)存儲器。

為了提供諸如數(shù)據(jù)、應(yīng)用、一個或多個操作系統(tǒng)等等的信息的永久性存儲設(shè)備，大容量存儲設(shè)備1420也可以耦合至處理器1410。在各實(shí)施例中，為了使得能夠?qū)崿F(xiàn)更薄且更輕的系統(tǒng)設(shè)計(jì)以及為了提高系統(tǒng)響應(yīng)，此大容量存儲設(shè)備可以經(jīng)由ssd來實(shí)現(xiàn)或者所述大容量存儲設(shè)備可以主要使用具有較小量的ssd存儲設(shè)備的硬盤驅(qū)動器(hdd)作為ssd緩存來實(shí)現(xiàn)，以便使得能夠在斷電情況期間對情境狀態(tài)和其他這種信息進(jìn)行非易失性存儲，從而在系統(tǒng)活動重新啟動時可以產(chǎn)生快速加電。同樣在圖11中示出的，閃存設(shè)備1422可以例如經(jīng)由串行外圍接口(spi)耦合至處理器1410。這個閃存設(shè)備可以提供對包括基本輸入/輸出軟件(bios)以及系統(tǒng)的其他固件的系統(tǒng)軟件的非易失性存儲，所述非易失性存儲可以被分割成如在此所述的多個部分。閃存設(shè)備1422還可以存儲如在此所描述的清單集合。

在系統(tǒng)1400內(nèi)可以存在各種輸入/輸出(io)設(shè)備。在圖11的實(shí)施例中具體示出的是顯示器1424，所述顯示器可以是進(jìn)一步為觸摸屏1425提供的高清晰度lcd或led面板。在一個實(shí)施例中，顯示器1424可以經(jīng)由顯示互連耦合至處理器1410，所述顯示互連可被實(shí)現(xiàn)為高性能圖形互連。觸摸屏1425可以經(jīng)由另一互連耦合至處理器1410，所述另一互連在實(shí)施例中可以是i2c互連。如在圖11中進(jìn)一步示出的，除了觸摸屏1425之外，還可以經(jīng)由觸摸板1430產(chǎn)生借助于觸摸的用戶輸入，該觸摸板可以被配置在機(jī)箱內(nèi)并且還可以耦合至與觸摸屏1425相同的i²c互連。

出于感知計(jì)算和其他目的，各種傳感器可以存在于系統(tǒng)內(nèi)并且以不同的方式耦合至處理器1410。某些慣性和環(huán)境傳感器可以通過傳感器中樞1440(例如，經(jīng)由i²c互連)來耦合至處理器1410。在圖11中示出的實(shí)施例中，這些傳感器可以包括加速度計(jì)1441、環(huán)境光傳感器(als)1442、指南針1443和陀螺儀1444。其他環(huán)境傳感器可以包括一個或多個熱傳感器1446，所述一個或多個熱傳感器在一些實(shí)施例中經(jīng)由系統(tǒng)管理總線(smbus)總線耦合至處理器1410。

同樣在圖11中可見的，各種外圍設(shè)備可以經(jīng)由低管腳數(shù)(lpc)互連耦合至處理器1410。在示出的實(shí)施例中，各種部件可通過嵌入式控制器1435被耦合。這類部件可包括(例如經(jīng)由ps2接口耦合的)鍵盤1436、風(fēng)扇1437和熱傳感器1439。在一些實(shí)施例中，觸摸板1430還可以經(jīng)由ps2接口耦合至ec1435。此外，安全處理器(諸如根據(jù)日期為2003年10月2日的可信計(jì)算組織(tcg)tpm規(guī)范版本1.2的可信平臺模塊(tpm)1438)也可以經(jīng)由這個lpc互連耦合至處理器1410。

系統(tǒng)1400可通過各種各樣的方式(包括無線地)與外部設(shè)備進(jìn)行通信。在圖11中示出的實(shí)施例中，存在各種無線模塊，所述無線模塊中的每個無線模塊可對應(yīng)于被配置成用于特定無線通信協(xié)議的無線電。用于諸如近場的短距離中的無線通信的一種方式可以經(jīng)由nfc單元1445，所述nfc單元在一個實(shí)施例中可以經(jīng)由smbus與處理器1410進(jìn)行通信。注意到的是，經(jīng)由這個nfc單元1445，彼此接近的設(shè)備可以進(jìn)行通信。

如在圖11中進(jìn)一步可見的，附加無線單元可包括其他短距離無線引擎，包括wlan單元1450和藍(lán)牙單元1452。使用wlan單元1450，可以實(shí)現(xiàn)根據(jù)給定的ieee802.11標(biāo)準(zhǔn)的wi-fi^tm通信，而經(jīng)由藍(lán)牙單元1452，可以產(chǎn)生經(jīng)由藍(lán)牙協(xié)議的短距離通信。這些單元可以例如經(jīng)由usb鏈路或通用異步接收機(jī)發(fā)射機(jī)(uart)鏈路與處理器1410進(jìn)行通信?；蛘?，這些單元可以經(jīng)由根據(jù)pcie^tm協(xié)議或者另一這種協(xié)議(諸如串行數(shù)據(jù)輸入/輸出(sdio)標(biāo)準(zhǔn))的互連耦合至處理器1410。

此外，經(jīng)由wwan單元1456可以產(chǎn)生(例如，根據(jù)蜂窩或其他無線廣域協(xié)議的)無線廣域通信，所述wwan單元進(jìn)而可以耦合至用戶身份模塊(sim)1457。此外，為了使得能夠接受和使用位置信息，還可以存在gps模塊1455。注意到的是，在圖11中示出的實(shí)施例中，wwan單元1456和集成捕捉設(shè)備(諸如相機(jī)模塊1454)可以經(jīng)由給定的usb協(xié)議(諸如usb2.0或3.0鏈路)或者uart或i2c協(xié)議來進(jìn)行通信。

集成相機(jī)模塊1454可并入蓋子中。為了提供音頻輸入和輸出，可以經(jīng)由數(shù)字信號處理器(dsp)1460實(shí)施音頻處理器，所述數(shù)字信號處理器可以經(jīng)由高保真音頻(hda)鏈路耦合至處理器1410。類似地，dsp1460可以與集成編碼/譯碼器(編解碼器)和放大器1462通信，所述集成編碼/譯碼器和放大器進(jìn)而可以耦合至可以在機(jī)箱內(nèi)實(shí)現(xiàn)的輸出揚(yáng)聲器1463。類似地，放大器和編解碼器1462可以被耦合以從麥克風(fēng)1465接收音頻輸入，所述麥克風(fēng)在實(shí)施例中可以經(jīng)由雙陣列麥克風(fēng)(諸如數(shù)字麥克風(fēng)陣列)來實(shí)施以提供高質(zhì)音頻輸入從而使得能夠?qū)ο到y(tǒng)內(nèi)的各種操作進(jìn)行語音激活控制。還注意的是，可以將音頻輸出從放大器/編解碼器1462提供至耳機(jī)插口1464。雖然在圖11的實(shí)施例中采用這些具體部件示出，但是要理解，本發(fā)明的范圍并不局限于這一方面。

各實(shí)施例可以采用許多不同的系統(tǒng)類型來實(shí)現(xiàn)?，F(xiàn)在參考圖12，示出了根據(jù)本發(fā)明的實(shí)施例的系統(tǒng)的框圖。如圖12所示，多處理器系統(tǒng)1500是點(diǎn)對點(diǎn)互連系統(tǒng)，且包括經(jīng)由點(diǎn)對點(diǎn)互連1550耦合的第一處理器1570和第二處理器1580。如圖12所示，處理器1570和1580中的每一個處理器可以是包括第一和第二處理器核(即，處理器核1574a和1574b以及處理器核1584a和1584b)的多核處理器，盡管所述處理器中可能潛在地存在更多的核。所述處理器中的每一個處理器可包括用于執(zhí)行在此描述的基于位置的安全策略技術(shù)的硬件和邏輯。

仍參照圖12，第一處理器1570進(jìn)一步包括存儲器控制器中樞(mch)1572和點(diǎn)對點(diǎn)(p-p)接口1576和1578。類似地，第二處理器1580包括mch1582和p-p接口1586和1588。如圖12所示，mch1572和1582將處理器耦合至相應(yīng)的存儲器(即存儲器1532和存儲器1534)，所述存儲器可以是本地附接至相應(yīng)處理器的系統(tǒng)存儲器(例如，dram)的部分。第一處理器1570和第二處理器1580可以分別經(jīng)由p-p互連1562和1564耦合至芯片組1590。如圖12所示，芯片組1590包括p-p接口1594和1598。

此外，芯片組1590包括接口1592，以便通過p-p互連1539將芯片組1590與高性能圖形引擎1538耦合。進(jìn)而，芯片組1590可以經(jīng)由接口1596耦合至第一總線1516。如圖12所示，各個輸入/輸出(i/o)設(shè)備1514可以與總線橋接器1518一起耦合至第一總線1516，所述總線橋接器將第一總線1516耦合至第二總線1520。在一個實(shí)施例中，各種設(shè)備可以耦合至第二總線1520，包括例如，鍵盤/鼠標(biāo)1522、通信設(shè)備1526和數(shù)據(jù)存儲單元1528(比如，磁盤驅(qū)動或可以包括代碼1530以及一個或多個清單的其他大容量存儲設(shè)備)。進(jìn)一步地，音頻i/o1524可以耦合至第二總線1520。各實(shí)施例可被結(jié)合在其他類型的系統(tǒng)中，包括：諸如智能蜂窩電話的移動設(shè)備、平板計(jì)算機(jī)、上網(wǎng)本、ultrabook^tm等等。

基于對位置相似度的推理并應(yīng)用相似的安全防范，實(shí)施例因而可以使得使用情境進(jìn)行的策略設(shè)計(jì)自動化，從而提高可用性。而且，實(shí)施例可以至少部分地基于附加情境推導(dǎo)可接受的策略。這樣，實(shí)施例可以分析用戶行為并自動地且動態(tài)地減少用戶在給定位置使能具體安全特征和/或策略將另外不得不招致的負(fù)荷。

以下示例涉及進(jìn)一步的實(shí)施例。

在示例1中，一種系統(tǒng)包括：處理器，所述處理器包括至少一個用于執(zhí)行指令的核；多個傳感器，所述多個傳感器包括用于獲得關(guān)于所述系統(tǒng)的位置的位置信息的第一傳感器；以及安全引擎，所述安全引擎用于向所述系統(tǒng)應(yīng)用安全策略，其中，所述安全引擎包括策略邏輯，所述策略邏輯用于至少部分地基于所述位置信息確定多個安全策略中要應(yīng)用的一個安全策略，其中，所述位置信息指示不同于與所述多個安全策略相關(guān)聯(lián)的位置的位置。

在示例2中，所述安全引擎包括：位置策略分類器，所述位置策略分類器用于確定所述系統(tǒng)的所述位置同與所述多個安全策略中的安全策略相關(guān)聯(lián)的所存儲位置之間的相似度，所述多個安全策略存儲在存儲裝置的策略數(shù)據(jù)庫中。

在示例3中，如示例2所述的安全引擎可選地用于：如果所述相似度大于閾值水平，則選擇所述多個安全策略中的所述安全策略并將其直接應(yīng)用于所述系統(tǒng)。

在示例4中，如示例2或3之一所述的安全引擎可選地用于：如果所述相似度小于所述閾值水平，則尋求對選擇所述多個安全策略中的所述安全策略的用戶確認(rèn)。

在示例5中，所述安全引擎用于：如果所述相似度小于第二閾值水平，則不將所述多個安全策略中的所述安全策略應(yīng)用于所述系統(tǒng)。

在示例6中，如以上示例中任意一項(xiàng)所述的安全引擎用于響應(yīng)于對在第一位置處與所述系統(tǒng)的用戶交互的分析而更新與所述第一位置相關(guān)聯(lián)的第一安全策略。

在示例7中，如以上示例中的一項(xiàng)或多項(xiàng)所述的安全引擎進(jìn)一步包括：第一分類器，所述第一分類器用于將與所述位置信息相關(guān)聯(lián)的第一字符串同與所述多個安全策略中的所述安全策略相關(guān)聯(lián)的第二字符串進(jìn)行比較，并輸出第一比較結(jié)果。

在示例8中，如示例7所述的安全引擎進(jìn)一步包括：第二分類器，所述第二分類器用于將與所述位置信息相關(guān)聯(lián)的第一信息同與所述多個安全策略中的所述安全策略相關(guān)聯(lián)的第二信息進(jìn)行比較，并輸出第二比較結(jié)果。

在示例9中，如示例8所述的安全引擎進(jìn)一步包括：第三分類器，所述第三分類器用于確定與所述位置信息相關(guān)聯(lián)的第一本體同與所述多個安全策略中的所述安全策略相關(guān)聯(lián)的所存儲位置相關(guān)聯(lián)的第二本體之間的語義位置相似度，并輸出第三比較結(jié)果。

在示例10中，所述系統(tǒng)進(jìn)一步包括：位置策略分類器，所述位置策略分類器包括加權(quán)邏輯，所述加權(quán)邏輯用于對所述第一比較結(jié)果、所述第二比較結(jié)果和所述第三比較結(jié)果進(jìn)行加權(quán)從而確定所述系統(tǒng)的所述位置同與所述多個安全策略中的所述安全策略相關(guān)聯(lián)的所述所存儲位置之間的相似度。

在示例11中，所述多個傳感器進(jìn)一步包括：用于測量環(huán)境信息的第二傳感器。

在示例12中，如示例11所述的系統(tǒng)進(jìn)一步包括：位置策略分類器，所述位置策略分類器用于將從所述第二傳感器獲得的并與所述位置信息相關(guān)聯(lián)的環(huán)境信息同與所述多個安全策略相關(guān)聯(lián)的所存儲環(huán)境信息進(jìn)行比較，并且輸出環(huán)境比較結(jié)果，所述策略邏輯用于至少部分地基于所述環(huán)境比較結(jié)果確定所述多個安全策略中要應(yīng)用的所述安全策略。

在示例13中，所述系統(tǒng)進(jìn)一步包括：第一數(shù)據(jù)庫，所述第一數(shù)據(jù)庫用于存儲所述多個安全策略，所述多個安全策略中的每一個與位置信息相關(guān)聯(lián)，所述位置信息包括字符串信息、地圖信息、和地理信息中的一項(xiàng)或多項(xiàng)。

在示例14中，如示例13所述的系統(tǒng)可選地進(jìn)一步包括：第二數(shù)據(jù)庫，所述第二數(shù)據(jù)庫用于存儲訓(xùn)練數(shù)據(jù)，所述訓(xùn)練數(shù)據(jù)是從遠(yuǎn)程源獲得的并且包括安全策略信息以及從在多個位置處的多個用戶的多個設(shè)備獲得的相應(yīng)位置信息。

在示例15中，一種方法包括：從一個或多個源接收關(guān)于所述系統(tǒng)的位置的位置信息；基于所述位置信息，判定安全策略是否與所述位置相關(guān)聯(lián)；并且如果是，將所述安全策略應(yīng)用于所述系統(tǒng)，并且如果不是，則確定所述系統(tǒng)的所述位置與具有相關(guān)聯(lián)的安全策略的第二位置之間的相似度，并基于所述相似度，將所述相關(guān)聯(lián)的安全策略應(yīng)用于所述系統(tǒng)。

在示例16中，所述方法可選地進(jìn)一步包括：如果所述相似度大于閾值置信度水平，則直接將所述相關(guān)聯(lián)的安全策略應(yīng)用于所述系統(tǒng)；并且如果所述相似度小于所述閾值置信度水平，則判定用戶是否接受所述相關(guān)聯(lián)的安全策略，并且如果是，則將所述相關(guān)聯(lián)的安全策略應(yīng)用于所述系統(tǒng)。

在示例17中，所述方法進(jìn)一步包括：進(jìn)行本體分析，從而基于所述系統(tǒng)的所述位置的類型分類確定所述相似度。

在示例18中，所述方法進(jìn)一步包括：至少部分地基于分類，確定訓(xùn)練數(shù)據(jù)與從所述系統(tǒng)的一個或多個傳感器獲得的環(huán)境信息之間的相似度。

在示例19中，一種機(jī)器可讀存儲介質(zhì)，包括當(dāng)被執(zhí)行時實(shí)施如以上示例中任一項(xiàng)所述的方法的機(jī)器可讀指令。

在示例20中，一種系統(tǒng)包括：處理器，所述處理器包括：至少一個核以及位置策略分類器，所述位置策略分類器用于接收來自多個子分類器的多個分類結(jié)果并對其進(jìn)行加權(quán)，所述多個子分類器用于輸出所述系統(tǒng)的位置同與存儲的安全策略相關(guān)聯(lián)的第二位置之間的相似度值；以及策略邏輯，所述策略邏輯用于至少部分地基于所述相似度值判定是否將所述存儲的安全策略應(yīng)用于所述系統(tǒng)；至少一個傳感器，所述至少一個傳感器用于獲得有待用于確定所述系統(tǒng)的所述位置的傳感器信息；以及至少一個用戶輸入設(shè)備，所述至少一個用戶輸入設(shè)備用于接收來自用戶的用戶輸入。

在示例21中，所述多個子分類器包括：第一分類器，所述第一子分類器用于將與所述系統(tǒng)的所述位置相關(guān)聯(lián)的第一字符串同與所述第二位置相關(guān)聯(lián)的第二字符串進(jìn)行比較，并且輸出第一比較結(jié)果；第二分類器，所述第二分類器用于將與所述系統(tǒng)的所述位置相關(guān)聯(lián)的第一信息同與所述第二位置相關(guān)聯(lián)的第二信息進(jìn)行比較，并輸出第二比較結(jié)果；以及第三分類器，所述第三分類器用于確定與所述系統(tǒng)的所述位置相關(guān)聯(lián)的第一本體同與所述第二位置相關(guān)聯(lián)的第二本體之間的語義位置相似度，并輸出第三比較結(jié)果。

在示例22中，所述位置策略分類器用于使所述第一比較結(jié)果、所述第二比較結(jié)果和所述第三比較結(jié)果中的至少一個的權(quán)重高于所述第一比較結(jié)果、所述第二比較結(jié)果和所述第三比較結(jié)果中的至少另一個。

在示例23中，如以上示例中的一項(xiàng)或多項(xiàng)所述的處理器包括監(jiān)測器邏輯，所述監(jiān)測器邏輯用于響應(yīng)于對在第一位置處與所述系統(tǒng)的用戶交互的分析而更新與所述第一位置相關(guān)聯(lián)的第一安全策略。

在示例24中，一種系統(tǒng)包括：用于從一個或多個源接收關(guān)于系統(tǒng)的位置的位置信息的裝置；用于判定安全策略是否與所述位置相關(guān)聯(lián)的裝置；用于如果所述安全策略與所述位置相關(guān)聯(lián)則將所述安全策略應(yīng)用于所述系統(tǒng)的裝置；用于確定所述系統(tǒng)的所述位置與具有相關(guān)聯(lián)的安全策略的第二位置之間的相似度的裝置；以及用于基于所述相似度將所述相關(guān)聯(lián)的安全策略應(yīng)用于所述系統(tǒng)的裝置。

在示例25中，所述系統(tǒng)可選地進(jìn)一步包括：用于如果所述相似度大于閾值置信度水平則將所述相關(guān)聯(lián)的安全策略直接應(yīng)用于所述系統(tǒng)的裝置；以及用于如果所述相似度小于所述閾值置信度水平則判定用戶是否接受所述相關(guān)聯(lián)的安全策略的裝置。

在示例26中，所述系統(tǒng)進(jìn)一步包括：用于進(jìn)行本體分析從而基于所述系統(tǒng)的所述位置的類型分類確定所述相似度的裝置。

在示例27中，所述系統(tǒng)進(jìn)一步包括：用于至少部分地基于分類來確定訓(xùn)練數(shù)據(jù)與從所述系統(tǒng)的一個或多個傳感器獲得的環(huán)境信息之間的相似度的裝置。

各實(shí)施例可以用于多個不同類型的系統(tǒng)中。例如，在一個實(shí)施例中，通信設(shè)備可被安排成用于執(zhí)行在此描述的所述各種方法和技術(shù)。當(dāng)然，本發(fā)明的范圍不限于通信設(shè)備，相反其他實(shí)施例可涉及用于處理指令的其他類型的裝置、或包括指令的一個或多個機(jī)器可讀介質(zhì)，所述指令響應(yīng)在計(jì)算設(shè)備上被執(zhí)行而使得所述設(shè)備執(zhí)行在此描述的方法和技術(shù)中的一項(xiàng)或多項(xiàng)。

實(shí)施例可以在代碼中實(shí)現(xiàn)并且可存儲在非瞬態(tài)存儲介質(zhì)上，所述非瞬態(tài)存儲介質(zhì)具有存儲在其上的指令，所述指令可用于對系統(tǒng)編程來執(zhí)行指令。實(shí)施例還可以用數(shù)據(jù)實(shí)現(xiàn)并且可以被存儲在非瞬態(tài)存儲介質(zhì)上，如果被至少一個機(jī)器使用，所述數(shù)據(jù)可以使得所述至少一個機(jī)器制造至少一個集成電路以執(zhí)行一個或多個操作。存儲介質(zhì)可以包括但不限于包括以下各項(xiàng)的任何類型的磁盤：軟盤、光盤、固態(tài)驅(qū)動器(ssd)、致密盤只讀存儲器(cd-rom)、可復(fù)寫致密盤(cd-rw)、和磁光盤；如只讀存儲器(rom)等半導(dǎo)體器件、如動態(tài)隨機(jī)存取存儲器(dram)和靜態(tài)隨機(jī)存取存儲器(sram)等隨機(jī)存取存儲器(ram)；可擦可編程只讀存儲器(eprom)；閃存；電可擦可編程只讀存儲器(eeprom)；磁卡或光卡；或者適合于存儲電子指令的任何其他類型的介質(zhì)。

雖然已經(jīng)關(guān)于有限數(shù)量的實(shí)施例對本發(fā)明進(jìn)行了描述，但是本領(lǐng)域技術(shù)人員將理解來自其中的許多修改和變體。旨在使得所附權(quán)利要求書覆蓋如落在本發(fā)明的真實(shí)精神和范圍內(nèi)的所有這種修改和變體。