背景技術(shù)：

本文所公開的主題總體上涉及安全授權(quán)令牌，并且更具體地說，涉及用于驗證電梯廳門呼叫的匿名和臨時令牌。

電梯可使用移動裝置來控制。移動裝置可首先加載有任何所需要的應(yīng)用軟件。使用此應(yīng)用程序，用戶可生成電梯廳門呼叫消息并將其發(fā)送給電梯控制服務(wù)器。如果所接收的電梯廳門呼叫消息被驗證，那么電梯廳門呼叫將被處理并發(fā)送到電梯控制器。響應(yīng)于接收所驗證的電梯廳門呼叫消息，電梯控制器然后呼叫電梯轎廂。

然而，用于以安全方式進行處理的當(dāng)前實現(xiàn)方式更容易受到一個或多個流氓代理(有時也稱為黑客)的攻擊。例如，為了通過智能電話應(yīng)用程序遠(yuǎn)程地、安全地發(fā)出電梯廳門呼叫，當(dāng)前解決方案提出使用構(gòu)建特定的可共享驗證碼(passcode)。用戶將使用這些驗證碼向包括電梯控制系統(tǒng)的后端系統(tǒng)進行驗證。然而，這些驗證碼意味著容易在用戶之間共享，并且因此可在所謂的拒絕服務(wù)攻擊中被黑客用于使系統(tǒng)關(guān)于廳門呼叫過載。一種所提出的對這些攻擊的解決方案是對這種攻擊實施入侵檢測。然而，這種入侵檢測需要存儲用戶和/或裝置標(biāo)識信息，從而造成隱私問題。因此，存在對可幫助解決黑客攻擊的匿名驗證的需要。

技術(shù)實現(xiàn)要素：

根據(jù)一個實施方案，提供一種用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法。例如，所述方法包括：在移動裝置處接收包括到期時間的安全授權(quán)令牌；使用來自移動裝置的安全授權(quán)令牌將移動裝置連接到后端系統(tǒng)；使用后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性；響應(yīng)于安全授權(quán)令牌的真實性被檢驗，在后端系統(tǒng)處生成安全訪問令牌和隨機數(shù)；以及在移動裝置處接收安全訪問令牌和隨機數(shù)以用于進行電梯呼叫請求。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中在移動裝置處接收包括到期時間的所述安全授權(quán)令牌包括：由物業(yè)管理者向后端系統(tǒng)請求安全授權(quán)令牌；使用后端系統(tǒng)生成安全授權(quán)令牌；將安全授權(quán)令牌從后端系統(tǒng)傳輸?shù)轿飿I(yè)管理者；以及將安全授權(quán)令牌從物業(yè)管理者傳輸?shù)揭苿友b置。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中使用后端系統(tǒng)生成安全授權(quán)令牌包括使用到期時間以及到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型和用戶偏好中的一個或多個來生成安全授權(quán)令牌。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中使用后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性還包括：基于到期時間和到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型以及用戶偏好中的一個或多個來檢驗安全授權(quán)令牌的真實性。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中響應(yīng)于安全授權(quán)令牌的真實性被檢驗在后端系統(tǒng)處生成安全訪問令牌包括：將長期到期時間、長期到期日期、臨時標(biāo)識符以及建筑物標(biāo)識中的一個或多個包括在安全訪問令牌內(nèi)，其中臨時標(biāo)識符使用建筑物標(biāo)識和序列號來生成；以及使用建筑物特定的秘密密鑰(kid)對安全訪問令牌進行加密以使安全訪問令牌安全。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括：將安全訪問令牌和隨機數(shù)存儲在移動裝置的存儲器裝置中，其中隨機數(shù)是第一隨機數(shù)；基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息；響應(yīng)于接收用戶輸入，將安全訪問令牌從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；在后端系統(tǒng)處檢驗安全訪問令牌；響應(yīng)于檢驗安全訪問令牌，在后端系統(tǒng)處生成第二隨機數(shù)；將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)；將第一隨機數(shù)與電梯服務(wù)請求消息一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；響應(yīng)于第一隨機數(shù)被檢驗，將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處；以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中；基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息；將電梯服務(wù)請求消息從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處；響應(yīng)于接收電梯服務(wù)請求消息，在后端系統(tǒng)處生成第二隨機數(shù)；將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)；將第一隨機數(shù)與安全訪問令牌一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；在后端系統(tǒng)處檢驗第一隨機數(shù)和安全訪問令牌；以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中后端系統(tǒng)包括服務(wù)器、服務(wù)器刀片、服務(wù)器機架、服務(wù)器群、分布式服務(wù)器以及計算機的多節(jié)點分布式處理網(wǎng)絡(luò)中的一個或多個。

除上述特征中的一個或多個之外，或者作為替代方案，所述方法的另外的實施方案可包括，其中移動裝置位于用戶使其中的電梯呼叫安全的建筑物的近距離內(nèi)，其中物業(yè)管理者位于建筑物場外，并且其中后端系統(tǒng)位于通過一個或多個網(wǎng)絡(luò)連接到移動裝置和物業(yè)管理者的云環(huán)境中。

根據(jù)一個實施方案，提供一種用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)。所述系統(tǒng)包括移動裝置，所述移動裝置接收包括到期時間的安全授權(quán)令牌，使用安全授權(quán)令牌連接到后端系統(tǒng)，并且接收安全訪問令牌和第一隨機數(shù)，以用于使用由移動裝置生成的電梯服務(wù)請求消息來進行電梯呼叫請求；后端系統(tǒng)，所述后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性，并且響應(yīng)于安全授權(quán)令牌的真實性被檢驗，生成安全訪問令牌和第一隨機數(shù)；物業(yè)管理者，所述物業(yè)管理者向后端系統(tǒng)請求安全授權(quán)令牌，并且將安全授權(quán)令牌從后端系統(tǒng)傳輸?shù)揭苿友b置；電梯控制器，所述電梯控制器接收由移動裝置生成的電梯服務(wù)請求消息；以及電梯轎廂，所述電梯轎廂由電梯控制器基于電梯服務(wù)請求消息來控制。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中安全授權(quán)令牌包括到期時間、到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型以及用戶偏好中的一個或多個。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中后端系統(tǒng)基于到期時間和到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型以及用戶偏好中的一個或多個來檢驗安全授權(quán)令牌的真實性。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中后端系統(tǒng)在安全訪問令牌中將長期到期時間、長期到期日期、臨時標(biāo)識符以及建筑物標(biāo)識中的一個或多個包括在安全訪問令牌中，其中臨時標(biāo)識符使用建筑物標(biāo)識和序列號來生成，并且其中后端系統(tǒng)使用建筑物特定的秘密密鑰(kid)對安全訪問令牌進行加密以使安全訪問令牌安全

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中所述系統(tǒng)還被配置來：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中；基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息；響應(yīng)于接收用戶輸入，將安全訪問令牌從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；在后端系統(tǒng)處檢驗安全訪問令牌；響應(yīng)于檢驗安全訪問令牌，在后端系統(tǒng)處生成第二隨機數(shù)；將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)；將第一隨機數(shù)與電梯服務(wù)請求消息一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；響應(yīng)于第一隨機數(shù)被檢驗，將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處；以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中所述系統(tǒng)還被配置來：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中；基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息；將電梯服務(wù)請求消息從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處；響應(yīng)于接收電梯服務(wù)請求消息，在后端系統(tǒng)處生成第二隨機數(shù)；將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)；將第一隨機數(shù)與安全訪問令牌一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；在后端系統(tǒng)處檢驗第一隨機數(shù)和安全訪問令牌；以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中后端系統(tǒng)包括服務(wù)器、服務(wù)器刀片、服務(wù)器機架、服務(wù)器群、分布式服務(wù)器以及計算機的多節(jié)點分布式處理網(wǎng)絡(luò)中的一個或多個。

除上述特征中的一個或多個之外，或者作為替代方案，所述系統(tǒng)的另外的實施方案可包括，其中移動裝置位于用戶使其中的電梯呼叫安全的建筑物的近距離內(nèi)，其中物業(yè)管理者位于建筑物場外，并且其中后端系統(tǒng)位于通過一個或多個網(wǎng)絡(luò)連接到移動裝置和物業(yè)管理者的云環(huán)境中。

根據(jù)一個實施方案，提供一種用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的計算機程序產(chǎn)品。所述計算機程序產(chǎn)品包括計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)具有與所述計算機可讀存儲介質(zhì)一起體現(xiàn)的程序指令。所述程序指令可由處理器執(zhí)行以致使處理器：在移動裝置處接收包括到期時間的安全授權(quán)令牌；使用來自移動裝置的安全授權(quán)令牌將移動裝置連接到后端系統(tǒng)；使用后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性；響應(yīng)于安全授權(quán)令牌的真實性被檢驗，在后端系統(tǒng)處生成安全訪問令牌和第一隨機數(shù)；以及在移動裝置處接收安全訪問令牌和第一隨機數(shù)以用于進行電梯呼叫請求。

除上述特征中的一個或多個之外，或者作為替代方案，所述計算機程序產(chǎn)品的另外的實施方案可包括另外的程序指令，所述程序指令可由處理器執(zhí)行以致使處理器：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中；基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息；響應(yīng)于接收用戶輸入，將安全訪問令牌從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；在后端系統(tǒng)處檢驗安全訪問令牌；響應(yīng)于檢驗安全訪問令牌，在后端系統(tǒng)處生成第二隨機數(shù)；將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)；將第一隨機數(shù)與電梯服務(wù)請求消息一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)；響應(yīng)于第一隨機數(shù)被檢驗，將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處；以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂。

除上述特征中的一個或多個之外，或者作為替代方案，所述計算機程序產(chǎn)品的另外的實施方案可包括，其中在移動裝置處接收包括到期時間的安全授權(quán)令牌包括：由物業(yè)管理者向后端系統(tǒng)請求安全授權(quán)令牌；使用后端系統(tǒng)生成安全授權(quán)令牌，其中生成安全授權(quán)令牌使用到期時間和到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型以及用戶偏好中的一個或多個；將安全授權(quán)令牌從后端系統(tǒng)傳輸?shù)轿飿I(yè)管理者；以及將安全授權(quán)令牌從物業(yè)管理者傳輸?shù)揭苿友b置。

前述特征和元件可以各種組合來組合而不具排他性，除非另外明確地指示。這些特征和元件及其操作將根據(jù)以下描述和附圖而變得更顯而易見。然而，應(yīng)理解，以下描述和附圖意圖在本質(zhì)上是說明性和示例性的并且是非限制性的。

附圖簡述

根據(jù)以下結(jié)合附圖進行的詳細(xì)描述，本公開的前述和其他特征及優(yōu)點是顯而易見的，在附圖中：

圖1描繪根據(jù)一個或多個示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)的方框圖；

圖2描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)的元件之間的通信流程圖；

圖3描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)的元件之間的通信流程圖；

圖4描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法的流程圖；

圖5描繪示出構(gòu)成根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法步驟的步驟的流程圖；

圖6描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的另外的方法步驟的流程圖；并且

圖7描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的另外的方法步驟的流程圖。

具體實施方式

如本文所示出和描述的，將呈現(xiàn)本公開的各種特征。各種實施方案可具有相同或類似的特征，并且因此相同或類似的特征可用相同的參考數(shù)字來標(biāo)記，但是前面有指示示出所述特征的圖的不同的第一數(shù)字。因此，例如，在圖x中示出的元件“a”可標(biāo)記為“xa”，并且圖z中的類似特征可標(biāo)記為“za”。盡管可在一般意義上使用類似的參考數(shù)字，但是將描述各種實施方案，并且各種特征可包括如本領(lǐng)域的技術(shù)人員將了解的變化、更改、修改等，無論是明確描述的還是以其他方式將為本領(lǐng)域的技術(shù)人員所了解的。

本文所描述的一個或多個實施方案涉及用于對試圖使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法和/或系統(tǒng)。所述系統(tǒng)包括移動裝置、后端系統(tǒng)、物業(yè)管理者、電梯控制器以及電梯轎廂。在一個或多個實施方案中，物業(yè)管理者可以是獨立于電梯的位置和使用來控制并管理對電梯的訪問的任何實體，例如像建筑物管理者、建筑物所有者，或者明確地可以是特定電梯或電梯系統(tǒng)的電梯管理者。此方法和系統(tǒng)可提供抵抗黑客的改進的保護，同時維持用戶的匿名隱私設(shè)置。所述系統(tǒng)和方法還可以提供改進的乘客體驗并減少登乘次數(shù)，同時保護所述系統(tǒng)免受攻擊。例如，根據(jù)一個或多個實施方案，可提供隨時間的推移而到期并且不可與其他人共享的臨時安全令牌。此外，可提供對用戶和/或裝置的匿名標(biāo)識和有效入侵檢測而不影響用戶隱私。

現(xiàn)在轉(zhuǎn)到圖1，示出根據(jù)一個或多個示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)100的方框圖。系統(tǒng)100包括移動裝置102，移動裝置102通信連接到后端系統(tǒng)104和物業(yè)管理者106。后端系統(tǒng)104也連接到物業(yè)管理者106。此外，后端系統(tǒng)104通信連接到包括電梯控制器109和電梯轎廂107的建筑物電梯系統(tǒng)。

根據(jù)一個實施方案，移動裝置102可以是智能電話。此外，根據(jù)一個或多個實施方案，移動裝置102可以是平板電腦、筆記本、上網(wǎng)本、可穿戴電子設(shè)備、專用fob或其他裝置中的任一種。后端系統(tǒng)104可以是位于建筑物和后端系統(tǒng)104所控制的電梯系統(tǒng)場外的單個服務(wù)器。可替代地，后端系統(tǒng)104可位于建筑物場內(nèi)。例如，后端系統(tǒng)104可位于建筑物內(nèi)的服務(wù)器室中，后端系統(tǒng)104可以分布式方式放置在多個服務(wù)器室中，或者后端系統(tǒng)104可位于后端系統(tǒng)104所控制的電梯系統(tǒng)附近、之上或之內(nèi)。根據(jù)其他實施方案，后端系統(tǒng)104可包括服務(wù)器、服務(wù)器刀片、服務(wù)器機架、服務(wù)器群、分布式服務(wù)器以及計算機的多節(jié)點分布式處理網(wǎng)絡(luò)中的一個或多個。物業(yè)管理者106也可位于場內(nèi)或場外。在任一種情況下，物業(yè)管理者用戶可通過計算機終端和門戶網(wǎng)站訪問物業(yè)管理者106，通過計算機終端和門戶網(wǎng)站，物業(yè)管理者用戶可部分地訪問并控制驗證過程，如以下所描述。包括電梯控制器109和至少一個電梯轎廂107的電梯系統(tǒng)可包括多個電梯轎廂，所述電梯轎廂由一個電梯控制器或由針對每個轎廂的單個控制器控制。電梯轎廂107和電梯控制器109可以是繩索式或無繩電梯系統(tǒng)的一部分。電梯控制器109可安裝在電梯轎廂107之上或之內(nèi)?？商娲兀娞菘刂破?09可安裝在并不位于電梯轎廂107中的固定位置中。

在此布置中，移動裝置102與物業(yè)管理者106和后端系統(tǒng)104兩者之間存在通信路徑。后端系統(tǒng)104進而連接到電梯控制器109和電梯轎廂107。因此，在傳輸和準(zhǔn)許任何電梯請求之前，使用移動裝置的任何用戶通過后端系統(tǒng)104進行通信并由后端系統(tǒng)104進行驗證。

根據(jù)另一個實施方案，驗證和授權(quán)系統(tǒng)和操作可包括在電梯控制器109內(nèi)并由其執(zhí)行，移動裝置102可與電梯控制器109直接通信。此外，根據(jù)另一個實施方案，電梯控制器109還可包括物業(yè)管理者106系統(tǒng)和操作，使得移動裝置102還可直接與電梯控制器通信以執(zhí)行由物業(yè)管理者106提供的操作。

圖2描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)的元件之間的通信流程圖。流程圖包括移動裝置202，移動裝置202可與后端系統(tǒng)204和物業(yè)管理者206兩者進行通信。首先，物業(yè)管理者206向后端系統(tǒng)204請求安全授權(quán)令牌(操作210)。后端系統(tǒng)204(其也可稱為服務(wù)器204)然后生成安全授權(quán)令牌(操作211)。安全授權(quán)令牌可使用元件值來生成，元件值為安全授權(quán)令牌提供有限持續(xù)時間，從而為令牌提供臨時特性。例如，安全授權(quán)令牌可使用包括以下各項中的一項或多項的元件值來生成：建筑物標(biāo)識(id)、到期時間、到期日期、當(dāng)前日期、當(dāng)前時間、當(dāng)前用戶位置、用戶類型以及用戶偏好。安全授權(quán)令牌然后被傳輸?shù)秸埱蟀踩跈?quán)令牌的物業(yè)管理者206(操作212)。物業(yè)管理者206然后將安全授權(quán)令牌轉(zhuǎn)發(fā)到移動裝置202(操作213)。裝置202然后使用安全授權(quán)令牌連接到后端系統(tǒng)204(操作214)。服務(wù)器然后處置檢驗安全授權(quán)令牌的真實性，并且當(dāng)檢驗是可能的時，生成安全訪問令牌(操作215)。此安全訪問令牌然后被傳輸?shù)揭苿友b置202(操作216)。安全訪問令牌然后自動與其他應(yīng)用程序數(shù)據(jù)一起存儲在移動裝置上(操作217)。

在這些操作之后，系統(tǒng)準(zhǔn)備開始來自移動裝置202的電梯服務(wù)請求消息的批準(zhǔn)過程(操作222)。如圖所示，批準(zhǔn)過程發(fā)送令牌，并且在發(fā)送服務(wù)請求之前得到檢驗。明確地，移動裝置202向后端系統(tǒng)204發(fā)送安全訪問令牌(操作218)。后端系統(tǒng)204檢驗安全訪問令牌(操作219)，然后將所生成的隨機數(shù)返回到移動裝置(操作220)。移動裝置202然后將隨機數(shù)與電梯服務(wù)請求消息一起傳輸回去(操作221)。

圖3描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的系統(tǒng)的元件之間的通信流程圖。如圖所示，操作310至317與圖2的操作210至217基本上類似。相比之下，操作318至321與圖2的操作218和321不同，如以下所解釋。

確切地，流程圖包括移動裝置302，移動裝置302可與后端系統(tǒng)304和物業(yè)管理者306兩者進行通信。首先，物業(yè)管理者306向后端系統(tǒng)304請求安全授權(quán)令牌(操作310)。后端系統(tǒng)304(其也可稱為服務(wù)器304)然后生成安全授權(quán)令牌(操作311)。安全授權(quán)令牌可使用以下各項中的一項或多項來生成：建筑物標(biāo)識(id)、到期時間、到期日期、當(dāng)前日期、當(dāng)前時間、當(dāng)前用戶位置、用戶類型以及用戶偏好。安全授權(quán)令牌然后被傳輸?shù)秸埱蟀踩跈?quán)令牌的物業(yè)管理者306(操作312)。物業(yè)管理者306然后將安全授權(quán)令牌轉(zhuǎn)發(fā)到移動裝置302(操作313)。裝置302然后使用安全授權(quán)令牌連接到后端系統(tǒng)304(操作314)。服務(wù)器然后處置檢驗安全授權(quán)令牌的真實性，并且當(dāng)檢驗是可能的時，生成安全訪問令牌(操作315)。此安全訪問令牌然后被傳輸?shù)揭苿友b置302(操作316)。安全訪問令牌然后自動與其他應(yīng)用程序數(shù)據(jù)一起存儲在移動裝置上(操作317)。

在這些操作之后，系統(tǒng)準(zhǔn)備開始來自移動裝置302的電梯服務(wù)請求消息的批準(zhǔn)過程(操作322)。此批準(zhǔn)過程與圖2批準(zhǔn)過程的不同之處在于：此批準(zhǔn)過程首先發(fā)送請求，然后在發(fā)送令牌和隨機數(shù)之后進行檢驗。確切地，移動裝置302可使用加載的應(yīng)用軟件來向后端系統(tǒng)發(fā)送電梯服務(wù)請求消息(操作318)。響應(yīng)于接收消息，后端系統(tǒng)生成隨機數(shù)(操作319)。后端系統(tǒng)304然后將隨機數(shù)傳輸?shù)揭苿友b置(操作320)。移動裝置302然后向后端系統(tǒng)304提供安全訪問令牌和隨機數(shù)(操作321)。

圖4描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法400的流程圖。所述方法包括：在移動裝置處接收包括到期時間的安全授權(quán)令牌(操作405)。所述方法還包括：使用來自移動裝置的安全授權(quán)令牌將移動裝置連接到后端系統(tǒng)(操作410)。此外，所述方法包括：使用后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性(操作415)。所述方法然后包括：響應(yīng)于安全授權(quán)令牌的真實性被檢驗，在后端系統(tǒng)處生成安全訪問令牌和第一隨機數(shù)(操作420)。最后，在移動裝置處接收安全訪問令牌和第一隨機數(shù)以用于進行電梯呼叫請求之后(操作425)，所述方法可結(jié)束。根據(jù)一個或多個實施方案，所述方法在此時可不結(jié)束，如由如圖所示的繼續(xù)元件“b”所指示，所述繼續(xù)元件“b”接著圖6和圖7中的方法。

圖5描繪示出構(gòu)成根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的方法步驟的步驟的流程圖。確切地，在移動裝置處接收包括到期時間的安全授權(quán)令牌還可包括：通過物業(yè)管理者向后端系統(tǒng)請求安全授權(quán)令牌(操作505)。所述方法還可包括：使用后端系統(tǒng)生成安全授權(quán)令牌(操作510)。此外，所述方法包括：將安全授權(quán)令牌從后端系統(tǒng)傳輸?shù)轿飿I(yè)管理者(操作515)。所述方法還包括：將安全授權(quán)令牌從物業(yè)管理者傳輸?shù)揭苿友b置(操作520)。

圖6描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的另外的方法操作601的流程圖。確切地，這些步驟接續(xù)圖4上的圓圈標(biāo)記的“b”，所述圓圈標(biāo)記的“b”與圖6上示出的“b”相同。

因此，所述方法還包括：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中(操作605)。所述方法還包括：基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息(操作610)，以及響應(yīng)于接收用戶輸入，將安全訪問令牌從移動裝置傳輸?shù)胶蠖讼到y(tǒng)(操作615)。所述方法還包括：在后端系統(tǒng)處檢驗安全訪問令牌(操作620)，以及響應(yīng)于檢驗安全訪問令牌，在后端系統(tǒng)處生成第二隨機數(shù)(操作625)。此外，所述方法包括：將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)(操作630)；以及將第一隨機數(shù)與電梯服務(wù)請求消息一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)(操作635)。最后，所述方法還可包括：響應(yīng)于第一隨機數(shù)被檢驗，將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處(操作640)，以及響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂(操作645)。

圖7描繪根據(jù)示例性實施方案的用于對使建筑物中的電梯呼叫安全的用戶進行授權(quán)的另外的方法操作701的流程圖。確切地，這些步驟接續(xù)圖4上的圓圈標(biāo)記的“b”，所述圓圈標(biāo)記的“b”與圖7上示出的“b”相同。

因此，所述方法還包括：將安全訪問令牌和第一隨機數(shù)存儲在移動裝置的存儲器裝置中(操作705)，并且基于用戶輸入在移動裝置處生成電梯服務(wù)請求消息(操作710)。所述方法還包括：將電梯服務(wù)請求消息從移動裝置傳輸?shù)胶蠖讼到y(tǒng)(操作715)，以及將從移動裝置接收的電梯服務(wù)請求消息存儲在后端系統(tǒng)處(操作720)。此外，所述方法包括：響應(yīng)于接收電梯服務(wù)請求消息，在后端系統(tǒng)處生成第二隨機數(shù)(操作725)，以及將第二隨機數(shù)從后端系統(tǒng)傳輸?shù)揭苿友b置，其中移動裝置存儲第二隨機數(shù)(操作730)。所述方法還包括：將第一隨機數(shù)與安全訪問令牌一起從移動裝置傳輸?shù)胶蠖讼到y(tǒng)(操作735)，以及在后端系統(tǒng)處檢驗第一隨機數(shù)和安全訪問令牌(操作740)。最后，所述方法包括：響應(yīng)于第一隨機數(shù)和安全訪問令牌被檢驗，將電梯服務(wù)請求消息從后端系統(tǒng)傳輸?shù)诫娞菘刂破饕员愫艚须娞蒉I廂(操作745)。

雖然僅結(jié)合有限數(shù)量的實施方案對本公開進行了詳細(xì)描述，但是應(yīng)易于理解，本公開不限于這些所公開的實施方案。相反，本公開可被修改來并入迄今未描述但與本公開的范圍相稱的任何數(shù)量的變化、更改、替換、組合、子組合或等效布置。另外，雖然已描述了本公開的各種實施方案，但是應(yīng)理解，本公開的各方面可僅包括所描述實施方案中的一些。

例如，根據(jù)一個或多個實施方案，途徑可以為用戶提供叫做安全授權(quán)令牌的臨時令牌開始。令牌可由物業(yè)管理者提供，物業(yè)管理者可以是建筑物所有者/管理者。令牌可由以下信息組成：(a)建筑物id、(b)當(dāng)前日期、(c)到期時間；(d)其他特征或?qū)傩?，諸如用戶類型、用戶偏好。可用僅存儲在后端系統(tǒng)處的建筑物特定的秘密密鑰來使令牌安全。用戶然后可首先使用安全授權(quán)令牌來向后端系統(tǒng)進行驗證。后端系統(tǒng)將使用秘密密鑰(其也可稱為建筑物特定的秘密密鑰(kid))來對信息進行解密，以便確認(rèn)令牌。然后確認(rèn)可主要基于建筑物id、當(dāng)前用戶位置、到期時間、當(dāng)前日期等來執(zhí)行，如果信息有效，后端系統(tǒng)將創(chuàng)建到智能電話的叫做安全訪問令牌的另一個令牌，以用于發(fā)出電梯呼叫。安全訪問令牌可包括以下信息，諸如建筑物id、到期日期和時間、其他屬性?？捎脙H存在于后端系統(tǒng)處的建筑物秘密密鑰來使安全訪問令牌安全。智能電話app將安全地將此令牌存儲在其數(shù)據(jù)存儲區(qū)中，并且使用令牌來連接到系統(tǒng)。為了使系統(tǒng)更安全，將使用多因素驗證系統(tǒng)：(a)app向后端系統(tǒng)發(fā)送安全訪問令牌；(b)后端系統(tǒng)檢驗安全訪問令牌并發(fā)送隨機數(shù)；(c)app將隨機數(shù)與轎廂和廳門呼叫消息一起發(fā)送回裝置。由后端系統(tǒng)生成隨機數(shù)有助于避免通信的重用或重播。例如，可通過限制授權(quán)用戶在給定持續(xù)時間內(nèi)進行的呼叫次數(shù)來減輕可能的攻擊。

此外，根據(jù)一個或多個實施方案，為了標(biāo)識人員，安全訪問令牌還可包括由建筑物id和序列號制成的臨時標(biāo)識符。此臨時標(biāo)識符隨后可由在服務(wù)器處運行的入侵檢測算法使用，以將惡意用戶列入黑名單。

根據(jù)一個或多個實施方案，在移動裝置處接收包括到期時間的安全授權(quán)令牌可包括幫助完成接收安全授權(quán)令牌的多個過程。確切地，包括的過程是：由物業(yè)管理者向后端系統(tǒng)請求安全授權(quán)令牌。包括的另一個過程是：使用后端系統(tǒng)生成安全授權(quán)令牌。此外，還包括：將安全授權(quán)令牌從后端系統(tǒng)傳輸?shù)轿飿I(yè)管理者，并且將安全授權(quán)令牌從物業(yè)管理者傳輸?shù)揭苿友b置。

根據(jù)一個或多個實施方案，使用后端系統(tǒng)生成安全授權(quán)令牌確切地包括：使用到期時間以及到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型和用戶偏好中的一個或多個來生成安全授權(quán)令牌。

根據(jù)一個或多個實施方案，使用后端系統(tǒng)基于至少到期時間檢驗來自移動裝置的安全授權(quán)令牌的真實性還包括：基于到期時間和到期日期、當(dāng)前日期、當(dāng)前時間、建筑物標(biāo)識、當(dāng)前用戶位置、用戶類型以及用戶偏好中的一個或多個來檢驗安全授權(quán)令牌的真實性。

根據(jù)一個或多個實施方案，響應(yīng)于安全授權(quán)令牌的真實性被檢驗在后端系統(tǒng)處生成安全訪問令牌提供：將長期到期時間、長期到期日期、臨時標(biāo)識符以及建筑物標(biāo)識中的一個或多個包括在安全訪問令牌內(nèi)，其中使用建筑物標(biāo)識和序列號來生成臨時標(biāo)識符；以及通過使用建筑物特定的秘密密鑰(kid)對安全訪問令牌進行加密以使安全訪問令牌安全。

根據(jù)另一個實施方案，后端系統(tǒng)包括服務(wù)器、服務(wù)器刀片、服務(wù)器機架、服務(wù)器群、分布式服務(wù)器以及計算機的多節(jié)點分布式處理網(wǎng)絡(luò)中的一個或多個。

根據(jù)一個或多個實施方案，移動裝置位于用戶使其中的電梯呼叫安全的建筑物的近距離內(nèi)。此外，根據(jù)一個實施方案，物業(yè)管理者位于建筑物場外，并且后端系統(tǒng)位于通過一個或多個網(wǎng)絡(luò)連接到移動裝置和物業(yè)管理者的云環(huán)境中。

根據(jù)一個或多個實施方案，用戶可指定起始樓層和目的地樓層兩者。這將引起發(fā)送分別對應(yīng)于起始和目的地樓層的廳門呼叫消息和轎廂呼叫消息兩者的請求。為了完成此請求，所創(chuàng)建的是包括‘廳門呼叫消息’或‘廳門呼叫’和‘轎廂呼叫消息’或‘轎廂呼叫’兩者的‘電梯服務(wù)請求消息’。此外，在一個或多個實施方案中，電梯服務(wù)請求消息可被定義成包括以下參數(shù)，所述參數(shù)包括但不限于：起始樓層、目的地樓層以及前門或后門使用。因此，在一個或多個實施方案中，電梯服務(wù)請求消息的目的在于使用門廳呼叫將電梯召喚到所請求的起始樓層，隨后電梯激活到所請求的目的地樓層的轎廂呼叫。

因此，以上所討論的實施方案中的一個或多個的益處是多重的：(a)以安全方式發(fā)出電梯呼叫的基于安全令牌的技術(shù)；(b)以匿名的方式將用戶列入黑名單；以及(c)防止通信的重用或重播。

本文使用的術(shù)語僅用于描述特定實施方案的目的，并且不意圖是限制性的。除非上下文明確地另外指出，否則本文所用的單數(shù)形式“一個”、“一種”和“所述”意圖同樣包括復(fù)數(shù)形式。還將理解，術(shù)語“包括(comprises)”和/或“包括(comprising)”當(dāng)在此說明書中使用時，規(guī)定存在所陳述的特征、整數(shù)、步驟、操作、元件和/或組件，但是不排除存在或添加一個或多個其他特征、整數(shù)、步驟、操作、元件、組件和/或其群組。

以下權(quán)利要求書中的所有裝置或步驟加功能要素的對應(yīng)結(jié)構(gòu)、材料、動作和等效物意圖包括用于結(jié)合如具體要求保護的其他所要求保護的要素來執(zhí)行所述功能的任何結(jié)構(gòu)、材料或動作。本說明書已出于說明和描述的目的來呈現(xiàn)，但是并不意圖是詳盡的或限于所公開形式的實施方案。在不脫離本公開的范圍的情況下，許多修改和變化對于本領(lǐng)域的普通技術(shù)人員將是顯而易見的。選擇并且描述實施方案以便最好地解釋本公開的原理和實際應(yīng)用，并且使得本領(lǐng)域的其他普通技術(shù)人員能夠了解適合于所設(shè)想的具體用途的具有各種修改的各種實施方案。

本發(fā)明實施方案可以是處于任何可能的技術(shù)細(xì)節(jié)整合水平的系統(tǒng)、方法和/或計算機程序產(chǎn)品。計算機程序產(chǎn)品可包括計算機可讀存儲介質(zhì)(或多個介質(zhì))，計算機可讀存儲介質(zhì)上具有計算機可讀程序指令，以用于致使處理器實施本公開的各方面。

計算機可讀存儲介質(zhì)可以是可保持并存儲指令以供指令執(zhí)行裝置使用的有形裝置。計算機可讀存儲介質(zhì)可以是例如但不限于：電子存儲裝置、磁性存儲裝置、光學(xué)存儲裝置、電磁存儲裝置、半導(dǎo)體存儲裝置或前述裝置的任何合適組合。計算機可讀存儲介質(zhì)的更具體實例的非詳盡列表包括以下各項：便攜式計算機磁盤、硬盤、隨機存取存儲器(ram)、只讀存儲器(rom)、可擦除可編程只讀存儲器(eprom或閃存)、靜態(tài)隨機存取存儲器(sram)、便攜式光盤只讀存儲器(cd-rom)、數(shù)字多功能光盤(dvd)、存儲棒、軟盤、機械編碼裝置(諸如穿孔卡或槽中的凸起結(jié)構(gòu)，其上記錄有指令)、以及前述存儲介質(zhì)的任何合適組合。如本文所用，計算機可讀存儲介質(zhì)不應(yīng)被解釋為本身是暫時的信號，諸如無線電波或其他自由傳播的電磁波、通過波導(dǎo)或其他傳輸介質(zhì)傳播的電磁波(例如，通過光纖電纜傳遞的光脈沖)、或通過導(dǎo)線傳輸?shù)碾娦盘枴?/p>

本文所描述的計算機可讀程序指令可從計算機可讀存儲介質(zhì)下載到相應(yīng)的計算/處理裝置，或通過網(wǎng)絡(luò)(例如互聯(lián)網(wǎng)、局域網(wǎng)、廣域網(wǎng)和/或無線網(wǎng))下載到外部計算機或外部存儲裝置。網(wǎng)絡(luò)可包括銅傳輸電纜、光學(xué)傳輸纖維、無線傳輸、路由器、防火墻、交換機、網(wǎng)關(guān)計算機和/或邊緣服務(wù)器。每個計算/處理裝置中的網(wǎng)絡(luò)適配器卡或網(wǎng)絡(luò)接口從網(wǎng)絡(luò)接收計算機可讀程序指令，并且轉(zhuǎn)發(fā)計算機可讀程序指令，以便存儲在相應(yīng)的計算/處理裝置內(nèi)的計算機可讀存儲介質(zhì)中。

用于實施本公開的操作的計算機可讀程序指令可以是匯編器指令、指令集架構(gòu)(isa)指令、機器指令、機器相關(guān)指令、微代碼、固件指令、狀態(tài)設(shè)置數(shù)據(jù)、用于集成電路的配置數(shù)據(jù)，或用一種或多種編程語言的任何組合寫入的源代碼或目標(biāo)碼，編程語言包括面向?qū)ο蟮木幊陶Z言(諸如java、smalltalk、c++等)以及常規(guī)的過程編程語言(諸如“c”編程語言或類似的編程語言)。計算機可讀程序指令可完全在用戶的計算機上執(zhí)行，部分地在用戶的計算機上執(zhí)行，作為獨立的軟件包執(zhí)行，部分地在用戶的計算機上且部分地在遠(yuǎn)程計算機上執(zhí)行，或完全在遠(yuǎn)程計算機或服務(wù)器上執(zhí)行。在后一種場景中，遠(yuǎn)程計算機可通過任何類型的網(wǎng)絡(luò)(包括局域網(wǎng)(lan)或廣域網(wǎng)(wan))連接到用戶的計算機，或者可連接到外部計算機(例如，通過使用互聯(lián)網(wǎng)服務(wù)提供商的互聯(lián)網(wǎng))。在一些實施方案中，電子電路(包括例如可編程邏輯電路、現(xiàn)場可編程門陣列(fpga)或可編程邏輯陣列(pla))可通過利用計算機可讀程序指令的狀態(tài)信息將電子電路個性化來執(zhí)行計算機可讀程序指令，以便實行本公開的各方面。

本文參考根據(jù)實施方案的方法、設(shè)備(系統(tǒng))和計算機程序產(chǎn)品的流程圖圖解和/或方框圖來描述本發(fā)明的各方面。應(yīng)理解，流程圖圖解和/或方框圖中的每個方框以及流程圖圖解和/或方框圖中的方框的組合可由計算機可讀程序指令來實現(xiàn)。

可將這些計算機可讀程序指令提供到通用計算機、專用計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器來產(chǎn)生機器，以使得通過計算機或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)流程圖和/或方框圖的一個或多個方框中所指定的功能/動作的手段。這些計算機可讀程序指令還可存儲在計算機可讀存儲介質(zhì)中，計算機可讀存儲介質(zhì)可引導(dǎo)計算機、可編程數(shù)據(jù)處理設(shè)備和/或其他裝置以特定方式起作用，以使得其中存儲有指令的計算機可讀存儲介質(zhì)包括制品，所述制品包括實現(xiàn)流程圖和/或方框圖的一個或多個方框中所指定的功能/動作的各方面的指令。

計算機可讀程序指令還可被加載到計算機、其他可編程數(shù)據(jù)處理設(shè)備或其他裝置上，以致使在計算機、其他可編程設(shè)備或其他裝置上實行一系列操作步驟，以便產(chǎn)生計算機實現(xiàn)過程，以使得在計算機、其他可編程設(shè)備或其他裝置上執(zhí)行的指令實現(xiàn)流程圖和/或方框圖的一個或多個方框中所指定的功能/動作。

附圖中的流程圖和方框圖示出根據(jù)各種實施方案的系統(tǒng)、方法和計算機程序產(chǎn)品的可能實現(xiàn)方式的架構(gòu)、功能性和操作。在這方面，流程圖或方框圖中的每個方框可表示指令的模塊、片段或部分，所述模塊、片段或部分包括用于實現(xiàn)所指定的邏輯功能的一個或多個可執(zhí)行指令。在一些替代實現(xiàn)方式中，方框中所指出的功能可不按附圖中所指出的順序發(fā)生。例如，取決于所涉及的功能性，連續(xù)示出的兩個方框?qū)嶋H可基本上同時執(zhí)行，或者方框可有時按相反順序執(zhí)行。還應(yīng)指出，方框圖和/或流程圖圖解的每個方框以及方框圖和/或流程圖圖解中的方框的組合可由基于專用硬件的系統(tǒng)來實現(xiàn)，所述系統(tǒng)執(zhí)行所指定功能或動作或者實施專用硬件和計算機指令的組合。

各種實施方案的描述已出于說明目的而呈現(xiàn)，但是并不意圖是詳盡的或限于所公開的實施方案。在不背離所描述實施方案的范圍和精神的情況下，許多修改和變化對于本領(lǐng)域的普通技術(shù)人員來說將是顯而易見的。選擇本文中所使用的術(shù)語來最好地解釋實施方案的原理、實際應(yīng)用或?qū)υ谑袌鲋兴娂夹g(shù)的技術(shù)改進，或者使本領(lǐng)域的其他普通技術(shù)人員能夠理解本文所公開的實施方案。

因此，本公開不應(yīng)被視為由先前描述限制，而是僅由所附權(quán)利要求書的范圍限制。