用于终端的访问控制的计算机实现的方法和计算机程序产品与流程

本发明涉及一种用于终端的访问控制的计算机实现的方法，私人数据和其他数据存储在终端上，并且对私人数据的访问可以受到限制或不受限制，在无限制访问的情况下，该方法包括以下步骤：借助于终端的相机捕获图像信号，以及借助于捕获的图像信号执行面部检测处理。

背景技术：

终端可以是计算机、终端装置，特别是移动终端，例如智能电话或平板电脑。在这方面，私人数据包括标记为私人、在终端上存储、或由终端接收并中间存储的数据。例如，可以将来自智能电话的通讯录的联系人标记为私人(私人联系人)，并且借助于此，与标记为私人的联系人相关联的所有数据(例如，联系人信息、聊天显示、呼叫信令、位置等)也将自动标记为私人。通常，这样的私人数据被本地存储在终端上并且被完全加密。这可能使得难以绕过访问控制或避免访问控制。

在这方面，面部检测处理被理解为已知的图像分析方法。例如，在数字相机的情况下，这种方法被频繁使用用于在图像中定位面部(面部定位)。在这方面，面部的位置仅是不太重要的。面部检测处理本质上指定图像中的一个或多个面部的自动检测(在确定方面，而不是标识)。通常基于眼睛的移动、典型的形状(椭圆形)和颜色(皮肤色素)和/或排列和距离的检测和评估，使得其成为可能。与此相反，面部标识涉及将面部分配给某个人。面部标识是一种生物识别方法，并且例如可以用作用于人的认证的生物识别因素。由此，例如，将面部的生物识别特征与存储的已知面部的特征进行比较，并且在匹配的情况下确认人的身份。术语“面部检测”既可以指面部检测处理也可以指面部标识，并且因此在下文中将在很大程度上避免。

访问控制本质上控制用户可以访问哪些数据，并且特别是哪些数据一般是用户可见的。典型的访问控制系统区分被阻止的访问(访问停用)和无限制访问，被阻止的访问的特征在于被阻止的数据不可见。访问停用例如可以是屏幕锁定，该屏幕锁定只能借助于用户的认证来取消。在访问停用的情况下，在终端上阻止对所有数据(即，私人和其他数据)的访问。因此，在主动访问停用的情况下，终端上存储的数据通常都不可见。在任何情况下，访问公共状态信息(例如，时间、接收到的信号等被取代，而不管主动访问停用，由此可见)。

例如从us8,370,639b2中已知这种访问控制。其中描述了一种借助于面部识别来认证和连续跟踪用户(例如移动电话)的方法。可以通过键入其他认证特性(例如密码)来初始化面部识别。但是，在这种访问控制的情况下，无法区分阻止访问和限制访问，或者区分限制访问和无限制访问：一旦并且只要可以认证用户，就存在无限制访问。停留在终端附近的第二用户由此接收与授权用户本质上相同的无限制访问。特别是，所有显示的数据都可以被其他人读取。

在us8,660,322b中也示出了一种类似的方法。在这种方法的情况下，如果用户离开相机的视野，则阻止访问；一旦再次检测到他/她，将再次允许无限制访问。而且这里，没有提供限制访问。

技术实现要素：

本发明的目的是保护私人数据不被其他人窥探和读取。

在根据本发明的前述类型的方法的情况下，连续监视在面部检测处理期间在检测到的图像信号中检测到的面部的数目，其中如果面部的数目大于一，则访问被限制。由此，只要在相机的视野(即，相机检测到的区域)中仅检测到一个人，就仅允许无限制访问。一旦第二人的面部进入相机的视野，访问将受到限制，这意味着终端将切换为限制访问。之后，终端的用户继续访问存储在终端上的未标记为私人的其他数据。按照该方式，第二人很难窥探私人数据。例如，私人联系人和与私人联系人通信的所有指示对除了终端的授权用户之外的其他人保持机密。用户执行将数据标记为私人，并存储在终端上。例如，用户可以将现有联系人标记为“私人”，或者他/她创建具有指示“私人”的新联系人，或者他/她创建具有指示“私人”的新联系人。随后，终端将链接到该联系人的所有数据视为私人数据，例如较早的呼叫、文本消息、电子邮件、聊天消息、联系人信息本身、或联系人喜欢的图像或视频。

如果终端包括用于显示私人和其他数据的屏幕，则如果在限制访问的情况下完全隐藏私人数据并且仅显示其他数据，将是特别有利的。这意味着对私人数据的访问不仅通过使得其不可标识而受到限制，而且按照以下方式受到限制，即在限制访问的情况下，没有该数据的存在的指示是明显的。特别是，未授权的用户不应识别到他们仅具有受限制的访问。

在这方面，如果在无限制访问的情况下显示无限制访问的视觉指示，这已被示出是有利的。由此，在无限制访问的情况下，用户可以识别出，现在显示其他数据以及私人数据两者，并且他/她由此可以完全自由地访问所有数据。视觉指示可以例如是屏幕上的绿色框。授权用户可以通过不存在视觉指示而识别出无限制的访问；但是，未经授权的用户无法识别出受限制的访问，因为该用户不知道或预期该视觉指示。

优选地，在限制访问的情况下，以限制(例如设限)的形式在屏幕上显示与私人数据有关的事件。即使在限制访问的情况下(例如，如果终端未使用或未单独使用)，该功能也应使得可能向用户指出与私人数据有关的事件(例如来自私人联系人的消息)。例如，如果智能电话公开地躺在桌子上，则来自私人联系人的呼叫可以显示为“未知号码”。

关于开始连续分析，有利的是，如果为了获得无限制访问而执行用户的认证，其中，在允许无限制访问之前，使用终端的相机捕获图像信号，利用所捕获的图像信号执行面部检测处理，并执行所捕获的图像信号中的面部的数目的确定，其中仅在面部数目精确为一的情况下，才发生访问的允许。即使在成功认证的情况下，也仅在未检测到观察者和潜在的共同阅读者的情况下，才允许无限制访问。

在该上下文中，如果认证包括生物识别认证，尤其是面部标识和/或虹膜标识，将是特别有利的。在这种情况下，可以基于相同的图像数据执行认证和面部的数目。附加地或替代地，当然也可以使用其他因素用于认证，例如，密码或指纹。

在本发明的优选变型中，可以与面部数目的分析并行地，规则地或随机地重复面部标识。这使得可能确保在授权用户离开相机视野的同时、出现在相机视野中的未授权用户具有无限制的访问。

附图说明

下面根据特别优选的实施例解释本发明，但本发明不应局限于此，并且将参照附图进一步解释本发明。详细地，这些图：

图1示意性地示出了根据本发明的方法的简单变型的顺序。

图2示意性地示出了根据本发明的方法的简单变型的顺序。

图3a示意性地示出了具有被阻止的访问的移动终端。

图3b示意性地示出了具有无限制访问的移动终端。

图3c示意性地示出了具有受限制访问的移动终端。

图4a示意性地示出了在移动终端上进行无限制访问的用例；和

图4b示意性地示出了用于在移动终端上进行限制访问的用例。

具体实施方式

图1示出了用于终端的访问控制的计算机实现的方法的序列(参见图3a-c)。私人数据和其他数据存储在终端上。对私人数据的访问可以受到限制或不受限制。

基于无限制访问1(参见图3b)，图1所示的方法包括以下步骤，这些步骤被示为功能块。最初，使用终端的相机捕获2图像信号(参见图4a-b)。随后，使用捕获图像信号执行面部检测处理3。完成面部检测处理后，在捕获图像信号中分析在面部检测处理期间检测到的面部的数目4。如果面部的数目大于一(参见图4b)，则访问被限制5(参见图3c)。否则6，捕获下一个图像信号，使得在无限制访问期间执行相机视野中的面部数目的连续监视7。一旦访问受到限制，就可以取消监视。

如果终端包括用于显示私人和其他数据的屏幕，则在限制访问的情况下私人数据将被完全隐藏，并且仅显示其他数据。在无限制访问的情况下，按照彩色(例如绿色)框的形式在屏幕上显示无限制访问的视觉指示。优选地，在限制访问的情况下，如果发生与私人数据有关的事件，则按照限制(例如，设限)的形式在屏幕上显示该事件。

图2示出了根据本发明的方法的增强变型。在监视7期间，还执行面部标识8。之后是对用户授权的分析9。如果用户未被授权，则访问受到限制5。简化图2中的表示；可以例如仅随机地执行面部标识8，或者例如在分析7的每十遍处执行面部标识8，以便节省终端的资源(cpu时间、电池)。

根据根据本发明的方法的另一变型，可以执行使用面部标识以及可选地虹膜标识的用户的生物识别认证，以获得无限制访问。在允许无限制访问之前，使用终端的相机捕获图像信号，使用捕获的图像信号执行面部检测处理，并确定捕获的图像信号中的面部数目。随后，仅当面部的数目精确为一时，允许无限制访问才发生。

在图3a-c中，示出了终端10的各种状态，这些状态可以在根据本发明的方法的应用的上下文中形成。在该示例中，终端10是具有屏幕11的智能电话。在图3a中，终端10被示出为具有被阻止的访问。在屏幕11上，显示一般图标，该图标象征访问停用并使其可标识。在这种状态下，通常不允许访问存储在终端10上的数据；特别是，不会显示装置的用户的个人数据。最多可以显示技术数据(例如时间、信号、网络信息等)。如果例如通过证明他/她的身份来认证授权用户、并且成功认证已经发生，则终端通常直接切换到对终端上存储的所有数据进行无限制访问的状态。该状态在图3b中示出。在这种状态下，在终端装置10的屏幕11上，显示来自四个联系人的消息，即来自联系人“安东尼”的第一消息12、来自联系人“比阿特丽斯”的第二消息13、来自联系人“克里斯”的第三消息14、以及联系人“大卫”的第四消息15。联系人“克里斯”被标记为私人联系人。因此，第三消息14示出为带有视觉指示1“6私人”；指示16允许终端10的用户识别出已允许无限制访问。

在终端10上执行的根据本发明的方法的上下文中，一旦在相机的图像信号中检测到多于一个面部，则终端10切换到限制访问的状态。该状态在图3c中示出。在这种状态下，显示第一消息12、第二消息13和第四消息15。第三消息14来自标记为私人的联系人“克里斯”，并因此也被标记为私人，并因此是私人数据的一部分。因此，图3c中所示的限制访问不显示任何内容的指示或私人第三消息14的存在。因此，连同用户一起观察屏幕11的观察者不知道第三消息14的存在。由于视觉指示16也被隐藏，因此观察者也不能看到访问当前受到限制。

图4a和4b示出了与根据图3b和3c的状态对应的用例。在图4a中，示出了第一用例，其中授权用户17正在使用终端10。终端10已经被解锁并且处于无限制访问私人数据18和其他数据19的状态。利用布置在与屏幕11相同的一侧的终端10的前置摄像头20，重复地捕获图像，并且检测所捕获的图像中的面部的数目(参见图1)。在第一用例中，只有授权用户17处于前置摄像头20的视野中，使得每次进行分析时仅检测到一个面部，由此维持无限制访问。

第二用例如图4b所示。观察者21走到授权用户17一侧，并进入前置摄像头20的视野。分析立即检测到识别出的面部数目大于一，并将终端10置于限制访问的状态(参见图3c)。屏幕上仅显示其他数据19。所有私人数据18已经从显示器隐藏，这样它们的存在和内容对观察者21隐藏。