[发明专利]基于位置访问受控访问资源

说明书

系统和方法提供对认可位置之外的位置限制资源的访问。一个示例，方法包括从客户端设备接收对受控访问资源的请求，并确定该请求不与认可位置相关联，但存在用于客户端设备标识符的状态数据。响应于辨别状态数据，该方法包括在服务器生成用于访问受控访问资源的链接，生成包括时间戳、随机数和来自状态数据的许可资源信息，在链接中包含加密令牌，并将该链接提供给客户端设备。客户端设备使用该链接向服务器请求受控访问资源，服务器确定该请求包括该令牌，确定该令牌未过期，并将该受控访问资源提供给客户端设备。

相关申请

本申请要求于2018年9月5日提交的美国申请第16/122,294号的优先权，以及2018年8月13日提交的美国临时申请第62/718,309号的优先权，并通过引用的方式将其全部内容合并于此。

技术领域

本申请涉及基于位置访问受控访问资源。

背景技术

一些系统基于认可位置，例如IP地址(例如，代理服务器，VPN等)，物理位置等，来控制对资源的访问。例如，大学可能与特定发布者达成协议，允许使用校园内计算机或校园内WiFi网络的任何人访问由发布者管理的部分或全部文章。作为另一实施例，员工可以在使用企业软件时，访问公司内部的网页(例如，通过VPN或代理服务器)。当在认可位置之外时将阻止访问这些资源，例如，针对与认可位置不匹配的IP地址关联的请求。

发明内容

实施例使得在不使用个人身份信息或不需要登录程序的情况下，可以安全、无缝地访问认可位置以外的受控访问资源，同时使得资源所有者/管理者仍然能够监视访问和处理潜在的滥用。当客户端设备从认可位置访问受控访问资源时，例如，使用校园内WiFi或通过虚拟专用网络(VPN)登录时，实施例创建客户端设备的状态数据。状态数据可包括时间戳、设备标识符和许可资源信息。许可资源信息可以是任何用于基于认可位置识别用户的资源的信息。换句话说，许可资源信息表示基于客户端设备和与认可位置相关联的机构的隶属关系，客户端可用的资源。设备标识符可以是由服务器或与认可位置相关联的其他计算机(例如，校园或图书馆网站或代理服务器)生成的cookie，或者可以是另一个标识符，例如移动号码或用户账户标识符。在一些实施例中，这样的标识符可以在状态数据记录中进行散列。例如，在状态数据生成后经过了预定时间后，状态数据过期。

实施方式使用状态数据使客户端设备能够稍后在认可位置之外访问受控访问资源。例如，一旦学生离开校园，实施方式使学生能够在有限的时间内访问资源，就像学生仍在校园一样。因此，实施方式提供了无缝访问。当系统接收到来自认可位置以外的对受控访问资源的请求时，系统会检查该设备的未过期状态数据。响应于未过期状态数据的位置，系统提供受控访问资源的链接，例如，URL，链接中包含加密令牌，例如，添加到URL。资源所有者/管理者识别请求中的令牌的存在，对令牌进行解密，并使用未加密的令牌数据执行一个或多个验证测试。测试可包括令牌是否过期、令牌被呈现了多少次，和/或由客户端设备呈现的令牌是否离生成令牌的请求的位置太远。这些测试可以阻止另一个客户端设备例如通过共享URL来访问。

在一个通常方面，一种方法包括：从客户端设备接收对受控访问资源的请求，该请求包括客户端设备标识符，用于确定该请求不与所认可位置相关，鉴别客户端设备标识符的状态数据，在服务器生成用于访问受控访问资源的链接，生成加密令牌，该加密令牌包括时间戳、随机数和来自状态数据的许可资源信息，在所述链接中包括所述加密令牌，并将该链接提供给客户端设备。该链接被配置为被客户端设备用于请求受控访问资源。即，客户端设备使用该链接来请求受控访问资源。

所述请求可以是第一请求，所述受控访问资源可以是第一受控访问资源，在接收第一请求之前，该方法可以进一步包括，接收来自客户端设备的第二请求，所述第二请求包括客户端设备标识符，确定所述第二请求与认可位置相关联，生成所述客户端设备的状态数据；以及将所述状态数据存储在存储器中。

所述状态数据可以包括时间戳、客户端设备标识符和许可资源信息。

所述许可资源信息可以表示被认可位置。