在访问管理系统等中委托访问资源等的权限的制作方法

专利名称：在访问管理系统等中委托访问资源等的权限的制作方法
技术领域：
本发明涉及访问管理系统，通过该系统，对资源诸如数字内容或数字服务的访问仅仅是按照诸如可在数字许可证或证书中表示的对访问的相应授权而提供的。更具体而言，本发明涉及以如下方式委托访问这样的资源的权限，该方式使得即使在之前没有明确知道对访问授权的委托的情况下，授予对该资源的访问权限。
背景技术：
非常需要结合授予对诸如数字服务或数字内容(可包括数字音频、数字视频、数字文本、数字数据、数字多媒体等)等数字资源的访问权限的访问管理。资源可以是上述内容或类似的内容、具有内容库等的服务器等、或者是用户可能希望访问的任何其他信息或信息的数字储存库，诸如电子邮件服务器、游戏服务器、网络访问服务器或接入点等等。同样，资源可以是一种服务，诸如打印机、编译器、呈现器等等。
通常，在访问管理上下文中，在提供带有标识请求者的凭证的请求之后，向请求者授予对资源的访问权限。例如，凭证可包括发给请求者且标识该请求者的数字证书。在任何情况下，凭证一般由资源知道并且信任的发放者发给请求者。例如，在组织的上下文中，资源可以是由数据服务器管理的数据文件，而发放者可以是由管理员建立的身份服务器，以向该组织每个成员提供标识凭证。
在基于请求者实际有权访问所请求的资源的凭证和可能的其它信息满足该资源时，那么这样的资源就提供这样的访问。例如，如果请求是针对来自资源的数据文件，则资源提供这样的数据文件，并且如果请求是回顾可从资源获得的信息，则资源允许请求者实际回顾这样的信息。
值得注意的是，在至少某些情况下，资源提供数据给请求者。如果这么做，则资源可选择按照允许请求者解密该数据，但不能解密其它数据的格式来加密该数据。例如，请求者所呈现的凭证可以是包括与其相关联的公钥的数字证书，而资源按照所提供的凭证的公钥加密所提供的数据。因而，请求者可将与数字证书相关联的相应私钥应用于加密数据来揭示该数据。
同样值得注意的是，资源可选择在加密数据上附加请求者必须遵守的条款与条件。如果这么做，并且再次假定所提供的请求者凭证是包括与其相关联的公钥的数字证书，则资源可按照所选择的对称密钥加密所提供的数据，按照所提供的凭证的公钥加密对称密钥，并且将加密过的对称密钥和条款与条件放在数字许可证中。因而，请求者可将与数字证书相关联的相应私钥应用于许可证的加密对称密钥以揭示它，并且随后将解密过的对称密钥应用于加密数据以揭示它，当然假定许可证中的条款与条件允许这么做。
通常，假定资源之前已经知道请求者，或者至少已经知道向请求者提供凭证的管理员，并且因而基于此向请求者提供访问。例如，资源可能遵循这样的规则只对资源已知的一组特定请求者允许访问，或者只对提供来自资源已知的特定管理员的凭证的请求者允许访问。如果请求者不在这样一个组内，那么，资源按照该规则不向这样的请求者提供访问。
然而，存在这样的情况，其中即使资源之前不知道请求者并且请求者不在资源所遵循的关于来自特定的请求者组或者具有来自特定管理员的凭证的规则内，也应该向请求者提供访问。例如，在组织ABC内的资源可被设置为遵循这样一个访问规则，即向来自ABC的所有职员提供访问，如由每个这样的职员具有来自ABC管理员的适当凭证所表示的一样。然而，情况可以是ABC已经雇用了来自XYZ的承包者，并且这样的XYZ承包者也应该有权访问资源。
在现有技术中，随后可通过向每个这样的XYZ承包者给予一个来自ABC管理员的ABC凭证，来向XYZ承包者给予对ABC资源的访问。然而，ABC管理员可能讨厌这么做，尤其是如果ABC凭证会具有将XYZ承包者视为ABC职员对待的效果，或者会允许XYZ承包者不适当地访问另一个ABC资源。
作为一种替换方案，并且还是在现有技术中，可通过改变ABC资源的访问规则来向XYZ承包者给予对该ABC资源的访问。例如，能改变这类访问规则，以允许ABC资源基于这样的承包人具有来自XYZ管理员的凭证，向一组特定的XYZ承包人提供访问。然而，要意识到，改变资源的访问规则是很麻烦和繁重的，尤其是如果这类访问规则必须在正在进行的基础上按照在访问策略方面的改变而不断改变。而且，要意识到，改变在一个特定组织内存在的许多资源中的每一个资源的访问规则很容易变成庞大的任务。
同样，有一种情况是通常只允许ABC的某些职员访问给定的资源。随着时间的推移，可能会有允许其它职员临时访问该资源的需求。例如，已授权访问的职员可能需要在旅行时授予较低级别的临时访问权限。还有一种情况是，他们希望允许辅助访问，因此他们可代表他们自己采取某些业务过程。
在现有技术中，随后可用与最初被授权的职员相同方式向通常无权访问资源的ABC职员给予对资源的访问。如果这要求发放新的凭证，或者要求设置新的帐户属性，则ABC管理员可能讨厌这么做，尤其是如果这么做会有这样的结果，即授予职员比所需要的更多的访问权限，或者要求在这样的访问不再有效时采取附加的管理动作来移除这类权限。
因而，需要这样一种方法和机制，通过该方法和机制，资源可基于访问规则等向其之前不知道的请求者提供访问。具体地，需要这样一种方法和机制，通过该方法和机制，资源只需要查看定义的信任源是否为管理员等等，以确定访问是否应当向请求者提供访问。而且，需要这样一种方法和机制，通过该方法和机制，定义的信任源可以标识是否向请求者提供访问，而无论请求者是来自定义的信任源的组织的内部还是外部。

发明内容
上述需求至少部分地由本发明来满足，本发明提供一种方法，用于第一组织的资源为第二组织的请求者提供对该资源的访问。第一组织具有该资源信任的第一管理员，并且第二组织具有第二管理员，其中，第一和第二管理员的每一个向实体发放凭证。由一个管理员发给一个实体的每个凭证将该实体与该发放管理员联系起来，并且表明该实体与该发放管理员之间的关系。
在该方法中，第一管理员向第二管理员发出第一凭证，其中发放的第一证明陈述了第二管理员可代表第一管理员向请求者发放第二凭证的策略。第二管理员实际上代表第一管理员向请求者发放第二证明，其中发放的第二证明可包括或引用发放的第一证明。第二组织的请求者之后请求访问第一组织的资源，并且在这么做时将发放的第一凭证与发放的第二凭证与该请求包括在一起。
资源接收请求，并且确认发放的第一凭证，以确认发放的第一凭证将可信的第一管理员与第二管理员联系起来，并且还确认发放的第一凭证允许第二管理员向请求者发放第二凭证的策略。而且，资源确认发放的第二凭证，以确认发放的第二凭证将第二管理员与请求者联系起来。假定这样的确认成功，则资源知道来自这样的请求者的这一请求基于从可信的第一管理员通过第二管理员委托给该请求者的权限，从而继续进行访问资源的请求。因而，即使第一组织的可信的第一管理员没有向第二组织的请求者发放任何凭证，第一组织的资源也可以识别这样的请求者并且向其授予访问权限。
类似地，允许最终用户将它们的全部或部分权限委托给另一个最终用户。在该方法中，第一管理员向第一最终用户发放第一凭证，其中发放的第一凭证包括确定第一最终用户对于资源的权限所必需的信息，并且陈述第一最终用户可代表第一管理员向请求者发放第二凭证的策略。第一最终用户实际上代表第一管理员向请求者发放第二凭证，其中发放的第二凭证可包括或引用发放的第一凭证。请求者之后请求访问资源，并且在这么做时将请求与发放的第一凭证和发放的第二凭证包括在一起。随后可由资源以先前描述的方式确认和使用这些凭证，以确定是否应该授予访问权限。


上述发明内容以及随后本发明实施例的详细描述，将在结合附图阅读时得到更好的理解。为了说明本发明，在附图中示出了目前较佳的实施例。然而应该理解，本发明不限于所示的精确方案和装置。在附图中图1是表示可实现本发明的示例性非限制计算环境的框图；图2是表示可实现本发明的具有各种各样计算设备的示例性网络环境的框图；图3是示出一种体系结构的框图，在该体系结构中，一组织具有资源、该资源信任的管理员、以及基于来自该管理员的凭证请求访问该资源的请求者；图4是按照本发明的一个实施例示出一种体系结构的框图，在该体系结构中，第一组织具有资源和该资源信任的第一管理员，第二组织具有请求者和第二管理员，并且基于由第一组织的管理员给第二组织的管理员的委托凭证和由第二组织的管理员给请求者的受委托凭证，第二组织的请求者请求第一组织的资源；以及图5是按照本发明的一个实施例，示出图4所示的实体执行的关键步骤的流程图；具体实施方式
计算机环境图1和下面的讨论旨在提供可实现本发明的合适计算环境的简要概括描述。然而应该理解，预期所有种类的手持式、便携式和其它计算设备可结合本发明使用。尽管下面描述了通用计算机，但这只是一个示例，并且本发明只要求具有网络服务器互操作能力和交互作用的瘦客户机。因而，本发明可在其中涉及非常少或最少的客户机资源的网络化主存的服务的环境中实现，例如其中客户机设备仅用作万维网的浏览器或接口的网络化环境。
尽管不作要求，但本发明可通过供开发者使用的应用编程接口(API)来实现，和/或将本发明包括在网络浏览软件中，后者将在计算机可执行指令的一般上下文中描述，诸如在由一个或多个计算机，如客户机工作站、服务器或其它设备执行的程序模块中描述。通常，程序模块包括例程、程序、对象、组件、数据结构等等，它们执行特定的任务或实现特定的抽象数据类型。通常，程序模块的功能可如在各种实施例中所希望的那样组合或分布。而且，本领域的技术人员将意识到，可与其它计算机系统配置一起实践本发明。其它众所周知的、适合与本发明一起使用的计算系统、环境和/或配置包括但不限于，个人计算机(PC)、自动售货机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、可编程消费电子产品、网络PC、小型计算机、大型计算机等等。本发明还可在分布式计算环境中实践，其中任务由通过通信介质或其它数据传输介质链接的远程处理设备来执行。在分布式计算环境中，程序模块可定位在本地或远程计算机存储介质中，包括存储器存储设备。
因而，图1示出了合适的计算系统环境100的示例，虽然如上面清楚地表明的，但是计算系统环境100只是合适的计算环境的一个示例，并且不是对本发明的使用范围或功能提出任何限制。也不应该将计算环境100解释为具有与示例性操作环境100所示的任何一个组件或组件组合有关的任何依赖性或要求。
参考图1，用于实现本发明的示例性系统包括计算机110形式的通用计算设备。计算机110的组件可包括但不限于，处理单元120、系统存储器130以及系统总线121，后者将包括系统存储器在内的各种系统组件耦合到处理单元120。系统总线121可以是任何若干类型的总线结构，包括存储器总线或存储器控制器、外设总线以及使用任何各种各样总线体系架构的局部总线。作为示例而非局限，这类体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型ISA(EISA)总线、视频电子技术标准协会(VESA)局部总线和外围部件互连(PCI)总线(也称为Mezzanine总线)。
计算机110一般包括各种各样计算机可读介质。计算机可读介质可以是任何可用的、可由计算机110访问的介质，并且包括易失性与非易性介质、可移动与不可移动介质。作为示例而非限制性地，计算机可读介质可包括计算机存储介质和通信介质。计算机存储介质包括易失性与非易失性、可移动与不可移动介质，它们以存储诸如计算机可读指令、数据结构、程序模块或其它数据之类的信息的任何方法或技术来实现。计算机存储介质包括但不限于，RAM、ROM、EEPROM、闪存或其它存储器技术、CDROM、数字多功能盘(DVD)或其它光盘存储、磁带盒、磁带、磁盘存储或其它磁存储设备、或可以用于存储需要的信息并且可以由计算机110访问的任何其它介质。通信介质一般具体化为诸如载波或其它传送机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其它数据，并且包括任何信息传送介质。术语“已调制数据信号”指这样一种信号，其一个或多个特征以将信息编码到该信号中方式来设置或改变。作为示例且非限制，通信介质包括有线介质，诸如有线网络或直接线连接，并包括无线介质，诸如声音、射频、红外和其它无线介质。上述任何各项的组合也应该包括在计算机可读介质的范围内。
系统存储器130包括易失性和/或非易失性存储器形式的计算机存储介质，诸如只读存储器(ROM)131和随机存取存储器(RAM)132。基本输入/输出系统133(BIOS)，包含诸如在启动期间帮助计算机110内元素之间传送信息的基本例程，一般存储在ROM 131中。RAM 132一般包含可由处理单元120直接访问和/或当前正在操作的数据和/或程序模块。作为示例且非限制，图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。仅作为示例，图1示出读写不可移动的非易失性磁介质的硬盘驱动器141，读写可移动的非易失性磁盘152的磁盘驱动器151，以及读写可移动的非易失性光盘156，诸如CD ROM或其它光介质的光盘驱动器155。其它可在示例性操作环境中使用的可移动/不可移动、易失性/非易失性计算机存储介质包括但不限于，磁带盒、闪存卡、数字多功能盘、数字视频带、固态RAM、固态ROM等等。硬盘驱动器141一般通过不可移动的存储器接口，如接口140连接到系统总线121，而磁盘驱动器151和光盘驱动器155一般通过可移动的存储器接口，如接口150连接到系统总线121。
上面描述的并且在图1中示出的驱动器及其相关联的计算机存储介质为计算机110提供计算机可读指令、数据结构、程序模块和其它数据的存储。例如在图1中，硬盘驱动器141被示为存储操作系统144、应用程序145、其它程序模块146和程序数据147。注意，这些组件或者可以与操作系统134、应用程序135、其它程序模块136和程序数据137相同，或者可以与它们不同。操作系统144、应用程序145、其它程序模块146和程序数据147在这里给出不同的标号，以说明至少它们是不同的副本。用户可通过输入设备，诸如键盘162和定点设备161(通常称为鼠标、轨迹球或触摸板)将命令和信息输入到计算机110中。其它输入设备(未示出)可包括话筒、操纵杆、游戏垫、卫星天线、扫描仪等等。这些和其它输入设备常常通过用户输入接口160(它耦合到系统总线121)连接到处理单元120，但可通过其它接口和总线结构，诸如并行端口、游戏端口或通用串行总线(USB)来连接。
监示器191或其它类型的显示设备也通过接口，如视频接口190连接到系统总线121。图形接口182，诸如NorthBridge(北桥)也可连接到系统总线121。NorthBridge是一个芯片组，它与CPU通信，或者作为处理单元120的宿主，并且承担加速图形端口(AGP)通信的职责。一个或多个图形处理单元(GPU)184可与图形接口182通信。在这点上，GPU 184一般包括片上存储器存储，诸如寄存器存储，并且GPU 184与视频存储器186通信，然而GPU 184只是协处理器的一个示例，并且因而在计算机110内可包括各种各样的协处理设备。监示器191或其它类型的显示设备也通过接口，诸如视频接口190连接到系统总线121，视频接口190进而可与视频存储器186通信。除监示器191之外，计算机还可包括其它外围输出设备，诸如扬声器197和打印机196，它们可通过输出外设接口195连接。
计算机110可使用到一个或多个远程计算机，如远程计算机180的逻辑连接在网络化环境中运行。远程计算机180可以是个人计算机、服务器、路由器、网络PC、对等设备或其它常见的网络节点，并且一般包括上面相对于计算机110描述的许多或全部元件，尽管在图1中只示出了存储器存储设备181。图1所示的逻辑连接包括局域网(LAN)171和广域网(WAN)173，但也可包括其它网络。这样的网络环境在办公室、企业级计算机网络、内联网和因特网中是很常见的。
当在LAN网络环境中使用时，计算机110通过网络接口或适配器170与LAN171连接。当在WAN网络环境中使用时，计算机110一般包括调制解调器172或用于通过WAN 173，诸如因特网建立通信的其它装置。调制解调器172可以是内置或外置的，它可通过用户输入接口160或其它合适的机制连接到系统总线121。在网络化环境中，相对于计算机110描述的程序模块或其部分可存储在远程存储器存储设备中。作为示例而非限制，图1将远程应用程序185示为驻留在存储器设备181上。将意识到，所示的网络连接是示例性的，并且可使用在计算机之间建立链接的其它手段。
本领域普通技术人员可以意识到，计算机110或其它客户机设备可以作为计算机网络的一部分来部署。在这点上，本发明适合于任何计算机系统，它们具有任意数量的存储器或存储单元，并且具有可跨任意数量的存储单元或卷存在的任意数量的应用程序和进程。本发明可应用于带有在网络环境中部署的服务器计算机与客户机计算机、具有远程或本地存储的环境。本发明还可应用于具有编程语言功能、解释和执行能力的独立的计算设备。
分布式计算帮助通过在计算设备和系统之间的直接交换来对计算机资源和服务的共享。这些资源与服务包括信息交换、高速缓存存储和文件的磁盘存储。分布式计算利用网络连通性，允许客户机利用它们的集体力量来使整个企业受益。在这点上，各种各样的设备可具有应用程序、对象或资源，它们可交互以包含本发明用于可信的图形管道的认证技术。
图2提供示例性网络化或分布式计算环境的示意图。分布式计算环境包括计算对象10a、10b等，以及计算对象或设备110a、110b、110c等。这些对象可包括程序、方法、数据存储、可编程逻辑等等。对象可包括诸如PDA、电视机、MP3播放器、电视、个人计算机等相同或不同的设备的各部分。每个对象可以通过通信网络14与另一个对象通信。该网络自己可包括为图2的系统提供服务的计算对象和计算设备。按照本发明的一方面，每个对象10或110可包含可请求本发明用于可信的图形管道的认证技术的应用程序。
还可以意识到的是，诸如110c等对象可主存在另一个计算设备10或110上。因而，尽管所示的物理环境可将连接的设备示为计算机，但是这样的例示仅是示例性的，并且可供替换地，可将物理环境描绘或描述为包括诸如PDA、电视机、MP3播放器等各种数字设备，并包括诸如接口、COM对象等软件对象。
存在支持分布式计算环境的各种各样的系统、组件和网络配置。例如，计算系统可由有线或无线系统通过本地网络或远距离分布的网络连接在一起。目前，许多网络耦合到因特网，因特网提供远距离分布式计算的基础架构并且包括许多不同的网络。
在家庭网络环境中，存在至少四种完全不同的网络传输媒体，它们可分别支持一种唯一的协议，诸如电力线、数据(无线或有线两者)、语音(例如电话)和娱乐媒体。大多数家庭控制设备，诸如灯开关和电器可使用电力线来连通。数据服务可作为宽带(例如DSL或者电缆调制解调器)进入家庭，并且在家庭里可使用无线(例如HomeRF或802.11b)或有线(例如Home PNA、5类线甚至电力线)连通来访问。语音通信可作为有线(例如3类线)或无线(例如蜂窝电话)进入家庭，并且可使用3类线布线分布在家庭里。娱乐媒体可通过卫星或电缆进入家庭，并且一般使用同轴电缆分布在家庭里。IEEE 1394和DVI也作为媒体设备群的数字互连而出现。所有这些网络环境及可作为协议标准出现的其它环境可以互连，形成可通过因特网连接到外部世界的内联网。简而言之，存在各种各样完全不同的来源用于存储和传输数据，并且因此，在发展中，计算设备将需要各种方法来保护在数据处理管道的所有部分中的内容。
“因特网”通常指使用TCP/IP协议套件的网络与网关的集合，这是计算机网络领域中众所周知的。TCP/IP是“传输控制协议/接口程序”的缩略语。因特网可以描述为由执行允许用户通过网络交互和共享信息的网络协议的计算机互连的地理上分布的远程计算机网络的系统。因为这样的分布广泛的信息共享，所以诸如因特网等远程网络迄今为止已经发展成一种开放式系统，开发者实际上可以不受限制地设计软件应用程序以用于执行特殊的操作或服务。
因而，网络基础架构允许各种网络拓朴结构，诸如客户机/服务器、对等或混合体系结构。“客户机”是一个类或组的成员，该类或组使用与其不相关的另一类或组的服务。因而，在计算中，客户机是一个进程，粗略地说，就是请求由另一个程序提供的服务的一组指令或任务。客户机进程使用所请求的服务，不必“知道”有关其它程序或服务本身的任何工作细节。在客户机/服务器体系结构中，尤其在网络化系统中，客户机通常是访问由另一个计算机，例如服务器提供的共享网络资源的计算机。在图2的示例中，计算机110a、110b等可以视为客户机，而计算机10a、10b等可以视为服务器，其中服务器10a、10b等保存随后在客户机计算机110a、110b等中复制的数据。
服务器一般是能通过诸如因特网等远程网络访问的远程计算机系统。客户机进程可在第一个计算机系统中活动，而服务器进程可在第二计算机系统中活动，它们彼此通过通信介质通信，因而提供分布式功能并且允许多个客户机利用服务器的信息收集能力。
客户机和服务器利用由协议层提供的功能彼此通信。例如，超文本传输协议(HTTP)是结合万维网(WWW)使用的公共协议。通常，诸如通用资源定位符(URL)或因特网协议(IP)地址等计算机网络地址用于标识服务器或客户机计算机。网络地址可以称为通用资源定位符地址。例如，通信可以通过通信介质来提供。具体地，客户机和服务器可通过TCP/IP连接相互耦合，用于高容量的通信。
因而，图2示出一个可使用本发明的示例性网络化或分布式环境，其中服务器通过网络/总线与客户机计算机通信。更详细地，多个服务器10a、10b等通过通信网络/总线14(它们可以是LAN、WAN、内联网、因特网等)与多个客户机或远程计算设备110a、110b、110c、110d、110e等等互连，诸如便携式计算机、手持式计算机、瘦客户机、网络化电器或如VCR、TV、烤箱、灯、加热器等其它设备。因而预期的是，本发明可应用于任何计算设备，希望结合它们来处理、存储或呈现来自可信源的安全内容。
例如，在其中通信网络/总线14是因特网的网络环境中，服务器10可以是网络服务器，客户机110a、110b、110c、110d、110e等通过诸如HTTP等多个已知协议中的任一种与服务器10通信。服务器10还可用作客户机110，因为这是分布式计算环境的特性。在适当的时候，通信可以是有线或无线的。客户机设备110可以通过或者可以不通过通信网络/总线14通信，并且可具有与其相关联的独立通信。例如，在TV或VCR的情况下，可以有或者可以没有关于其控制器的网络化方面。每个客户机计算机110和服务器计算机10可以安装各种应用程序模块或对象135，并且与各种类型的存储元件或对象连接或者访问它们，可跨这些存储元件存储文件或者可将文件的(一些)部分下载或移动到这些存储元件。因而，本发明可以在这样一种计算机网络环境中使用，该环境具有客户机计算机110a、110b等，这些客户机计算机可以访问计算机网络/总线14或与它们交互，并且该环境具有服务器计算机10a、10b等，这些服务器计算机可与客户机计算机110a、110b等以及其它设备111和数据库20交互。
访问管理概观如已知的，并且现在参考图3，在应用于数字信息的访问管理中，在组织10等的上下文内，组织10内向组织10的资源14请求信息的请求者12必须向资源14提供凭证16，该凭证标识请求者12，并且例如可包括请求者12与组织10的关系。
如可意识到的，在不脱离本发明的精神与范围的情况下，组织10可以是任何合适类型的组织。例如，组织10可以是公众团体、私人公司、政府机关、非盈利慈善团体、研究基金会等等。如还可意识到的，同样在不脱离本发明的精神与范围的情况下，组织10内的请求者12可以是任何合适的请求者。例如，请求者12可以是任何职员、主管、管理人、政府官员等等。
通常，资源14接收访问数字信息或服务的请求，并且按照预定义的规则提供这样的访问。这样的数字信息可包括数字内容或数据等，并且这样的数字服务可包括打印服务、呈现服务、数据转换服务等等。因而，在不脱离本发明的精神与范围的情况下，这样的资源14和这样的数字信息可以是任何合适的数字资源和数字信息。
在不脱离本发明的精神与范围的情况下，资源14在向请求者12提供访问时所遵循的预定义规则可以是任何规则。在本发明的上下文中，这样的规则至少隐含地要求请求者12向资源12提供凭证16，并且还可要求请求者12在组织10内具有最低级别的职位，如可在凭证16中所阐述的，要求请求者12有权访问资源14，如可在凭证16中所阐述的，等等。这类规则例如还可要求在一天中的特定时间接收来自请求者12的请求，要求请求者1通过特定类型的连接访问资源14，等等。
在不脱离本发明的精神与范围的情况下，如由请求者12提供并且表示请求者12的凭证16可以是任何合适的凭证。通常，凭证16是如由组织10的管理员18(资源14所信任的管理员)发给请求者12的数字证书，但可以是某种其它形式的标识标记。假定凭证16实际上是数字证书16，在这样的数字证书16内可具有适合于标识请求者12的信息。例如，数字证书16可包括请求者12的名字、请求者12在组织内的职位、请求者12在组织内的权限、有效期等等。通常，这样的数字证书16是基于其内容并按照公钥-私钥对中的私钥来签署的，并且可按照所附的证书链(包括相应的公钥)来确认它。
数字证书16本身可具有相关联的公钥-私钥对，在证书16中带有公钥。因而，资源14可用按照这样的请求者12的证书16的公钥直接或间接加密的数据来响应请求者12。因此，请求者12可通过适当地应用证书16的相应私钥来访问这样的数据。
在不脱离本发明的精神与范围的情况下，管理员18可以是在作出访问决定过程中由资源14信任的任何合适的管理员，当然假定管理员18能够发放凭证/证书16给请求者12。有可能的是，资源14的规则要求通过包括来自可信的管理员18的凭证/证书16，使来自任何请求者的任何请求向后与可信管理员18联系起来。
委托访问资源14的权限如上所述，组织10内的资源14在决定是否向请求者12提供访问时，一般审查由请求者12提供的凭证16并且确保凭证16向后与组织10的信任的管理员18联系起来。然而，并且明显地，请求者12时常可以缺少合适的凭证16，或者单独地基于所提供的凭证16不允许请求者12访问资源14，而仍然还应该基于由其它可信实体所作的决定来允许请求者12访问资源14。另外，请求者12时常可以不在组织10内并且没有来自组织10的凭证16，而仍然还应该允许请求者12访问组织的资源14。
更一般地，在应用程序可以是多层的、跨多个组织10分布、跨越多个管理边界、和/或涉及具有动态关系的多个实体的时期中，按照这样一个应用程序的操作对资源14的访问必须要求跨包括管理环境的边界。因而，来自第一组织10的资源14必须能够识别来自第二组织10的请求者12并且向其授予访问权限，其中请求者12不是由第一组织10的可信管理员18发放凭证的。然而并且再一次，第一组织10的资源14应该至少仍要求来自第二组织10的请求者12建立向后与第一组织10的可信管理员18的某种联系。
尽管用于第一组织10的资源14的规则可以在有规律的基础上更新以改变谁可访问这样的资源14(或者通过改变特定的请求者权限或者表示来自第二组织10的请求者12与第一组织10的管理员18的联系)，但这样的更新是麻烦的、繁重的、充满危险的，并且具有安全风险。因此，并且在本发明的一个实施例中，用于第一组织10的资源14的规则只要求由第一组织10的管理员18直接或者间接地将访问这样的资源14的权限委托给来自第二组织10的请求者12。这样的委托可具体化为如数字证书16等凭证16中的委托策略。明显地，通过要求经由这样的凭证/证书16的委托，可提供带有约束的证书16，这些约束限制请求者12具有的关于资源14的权限。
现在转到图4，如果假定两个组织10a、10b分别具有管理员18a、18b，假定资源14a与组织18a相关联并且只信任管理员18a，并且假定请求者12b与组织18b相关联，则本发明可用下面和图5所示的方式来实现。开始时，组织10a的管理员18a向组织10b的管理员18b发送凭证16a，凭证16a陈述这样一种策略，该策略大意是组织10b的管理员18b可代表组织10a的管理员18a并且相对于组织10a的一个或多个资源14a发放凭证16b(步骤501)。于是，这样的凭证16a就是将组织10a的管理员18a的发放权限委托给组织10b的管理员18b。注意，凭证16a可陈述凭证16b可以由组织10b的管理员18b发给组织10b的特定请求者12b，或者可指定这样的一组特定请求者12b，或者可指定组织10b的所有请求者14b。
不管怎样，带有来自组织10a的管理员18a的委托凭证16a的组织10b的管理员18b并且基于该凭证实际向组织10b的请求者12b发放所委托的凭证16b。明显地，并且在本发明的一个实施例中，凭证16b将请求者12b与管理员18b联系起来，并且凭证16a将管理员18b与管理员18a联系起来。例如，并且在凭证16a、16b是数字证书16a、16b的情况下，如图4所示，每个管理员18a、18b具有公钥-私钥(PU-A，PU-B，PR-A，PR-B)，证书16a包括管理员18b的公钥(PU-B)并且由管理员18a的私钥(PU-A)来签署，而证书16b由管理员18b的私钥(PU-B)来签署。
因而，当管理员18b向请求者12b发放所委托的凭证/证书16b时，这样的管理员18b以证书链的方式将委托证书16a与证书16b包括在一起(步骤503)。之后，并且在某个点，请求者12b实际请求访问资源14a，并且通过这么做，将16a、16b的证书链与请求包括在一起(步骤505)。在接收到该请求时，资源14a确认证书链16a、16b，以确定可信管理员18a实际通过管理员18b将如此的访问权限委托给请求者12b，作为决定是否兑现该请求的一部分。具体地，基于已知(PU-A)的假定，资源14a将这样的(PU-A)应用于来自委托证书16a的(S(PR-A))来确认(S(PR-A))(步骤507)，并且假定这样的确认成功，则资源14a随后从委托证书16a获得(PU-B)(步骤509)，并将这样的(PU-B)应用于来自所委托的证书16b的(S(PR-B))来确认(S(PR-B))(步骤511)。这里，假定这样的确认成功，则请求可以在资源14a是安全的情况下继续，因为资源14a知道来自请求者12b的请求是基于由可信管理员18a通过管理员18b委托的权限(步骤513)。
如迄今为止阐述的，委托链从可信管理员18a延伸到管理员18b，并且从管理员18b延伸到请求者12b。然而，并且明显地，在不脱离本发明的精神与范围的情况下，委托可以从资源14a所认同的信任源延伸多个链接，并且可以通过多个分支延伸到多个请求者12b。而且，并且在本发明的一个实施例中，通过使用凭证16建立链接，可以给每个这样的凭证16提供在资源14a提供对它的访问之前请求者12b必须满足的策略。
因而，可通过适当地发放凭证16来创建下列分布式策略-组织10a内的资源14a信任组织10a的管理员18a，以确定谁可发放凭证16；-管理员18a通过凭证16授权组织10b的管理员18b向这样的组织10b的请求者12b发放凭证16；-管理员18a通过凭证16授权组织10c的管理员18c向这样组织10c的请求者12c(未示出)发放凭证16，其中请求者12c具有如购买者或检阅者的角色，并且管理员18a还授权管理员18c能够将这样的能力委托给这样的组织10c中的副管理员18；以及-管理员18c通过凭证16授权其购买副管理员18c1向组织10c的购买请求者12c1发放凭证16。
因而，当资源14a从请求者12c1接收到伴有来自管理员18a、18c和18c1的凭证链16的访问请求时，资源14a可以使用在所有这类凭证16内陈述的策略来确定是否授予访问权限。更一般地，如由凭证16表示的每个链接表示对权限的受约束的委托，来标识可以获得对资源14a的访问的请求者12，并且每个链接还提供授权语句，这些语句声明请求者12在被提供这样的访问之前必须遵循的策略。明显地，通过在每个凭证16中存储这样的策略，资源14a不需要参考任何特定的策略的中央储存库，并且在之前根本不需要知道请求者12和除管理员18a之外的任何管理员18。而是，资源14a认同凭证链16中的策略，因为该链在一个信任点，即管理员18a处开始，并在请求访问资源14a的请求者12处结束，并且因为在该链中的每个凭证16通过其确认过的签名将这样的请求者12向后与这样的可信管理员18a联系起来。
要意识到，在不脱离本发明的精神与范围的情况下，在凭证16内阐述的策略可以是任何策略。例如，策略可以向这样的凭证16的处理器提供访问组织10a的所有资源14a的全部授权，或者可以设置有关基于凭证16可以进行请求的特定请求者12的限制、可以设置有关基于凭证16可以访问的特定资源14a的限制、时间限制、地理位置、截止时间、对访问权限的限制、对通信协议的限制等等。凭证16内的策略还可要求资源14a检查撤消列表来确定该凭证16是否还没有撤消。策略甚至可指定链接的凭证16的最大数量、行使权限的先决条件、或者在行使权限之后必须执行的动作。可以想到，策略甚至可参考可以找到附加策略的一个或多个外部位置。
在不脱离本发明的精神与范围的情况下，凭证16内的策略可以用任何合适的方式来表示。例如，这样的策略可以用下面的策略语句形式来表示主体P具有断言的权限断言匹配A*给类型P*的主体服从条件C由I发放有效日期时间D其中-P是对允许进行委托的特定主体的引用。
-断言的权限可以是显式或隐式的，但指示P可创建满足委托授权约束的断言。这样的断言能用由P签署的凭证16的形式来编码。
-A*是所有有效的委托断言必须匹配的一个或多个模式。例如，“emailName＝*@xzy.com拥有属性角色＝购买者”形式的模式可陈述，P可断言带有xyz.com域中的电子邮件地址的实体具有购买者角色。“emailName＝*@xzy.com读文件＝\mysys.txt”形式的模式，允许P断言带有xyz.com域中的电子邮件地址的实体可以读这个指定的文件。
-P*是标识可接受P委托的价值实体的一个或多个模式。例如只有持有X.509证书的XYZ公司职员是有效的委托对象；或者只有XZY公司域的成员是有效对象。
-C*是零个或多个条件，它们影响由P进行的任何委托的有效性。这些条件可包括时间约束，诸如委托可以持续的最长时间，检查委托授权的撤消的要求，等等。
-I是对实体的引用，该实体发放了策略以及证明起源和保证完整性的数字签名。
-D是委托授权有效的时间段。
在不脱离本发明的精神与范围的情况下，上述策略语句可以用任何合适的方式来编码。例如，可将策略语句编码到ASN.1结构中，用于集成到X.509证书或Kerberos权证中。然而，要认识到，不是所有编码和结构可完全支持这样的策略语句，并且在本发明的一个实施例中，策略语句和包含的凭证16是按照可扩展标记语言(XML)构造的，XML定义了一种标准，诸如国际标准化组织(ISO)批准的MPEG权限表达语言(REL)，它已经设计了必需的句法形式。
注意，尽管本发明迄今为止已经按照请求者12阐述了本发明，其中请求者带有一对来自两个管理员18的链接的凭证16，但该凭证链16可通过任何数量的链接来延伸，这些链接代表任意数量的管理员18，甚至是任意数量的其它请求者12。有可能的是，并且如现在应该意识到的，带有特定凭证链16并且希望基于该链访问资源14的请求者12实际上可以访问这样的资源14，但仅当凭证链16向后到达由该资源识别的信任根时，并且还仅当每个凭证16内的策略实际上允许这样的访问。
因而，并且明显地，可在凭证16内陈述的一条策略是，凭证16内的权限是否可通过将链接的凭证16发给特定的请求者12来委托。例如，可以是这样一种情况，带有访问特定资源14的第一凭证16的第一请求者12可通过在这样的第一凭证16内的特定策略，将访问这样的特定资源14的能力委托给第二请求者12(通过将来自第一请求者12的第二凭证16发给第二请求者12)。同样，可以是这样一种情况，这样的第一请求者12可以通过这样的第二凭证16委托给第二请求者12，但第一凭证16内的委托策略限制对特定的权限子集的委托。
因而，应该意识到，通过上述本发明，带有第一凭证16的第一请求者12可以将它访问给定资源14的权限委托给第二请求者12(通过将第二凭证16发给它)，但仅当按照第一凭证16内阐述的策略授权第一请求者12这么做的时候。有可能的是，基于在第二请求者12所拥有的任何其它凭证16，这样的第二请求者12是不能访问资源14的。
通常，在这样一种委托中，资源14已知的第一管理员18向第一请求者12发放第一凭证16，它标识并且有可能指示所允许的资源访问。重要的是，第一管理员18还在第一凭证16内陈述这样一个策略，其大意是第一请求者12可用作中介，并且因而向第二请求者12授予代表第一请求者12为了访问资源14而行动的权限。可选择地，可在引用第一凭证16的附属凭证16中陈述该策略。然后第一请求者12向第二请求者12发放第二凭证16，其中第二凭证16陈述有关第二请求者12在访问资源14时要具有的权限的策略。在以前，第二凭证16包括或者引用第一凭证16。第二请求者12之后请求访问资源14并且将第一和第二凭证16与这样的请求包括在一起，以使资源14能够作出访问决定。
具体地，并且与以前相似，资源14接收请求，并且确认发放的第二凭证16以证实是由第一凭证16的持有者发放该凭证的，并且还确认发放的第一凭证16以证实是由第一管理员18发放该凭证16的。然后资源14检查第二凭证16中所委托的权限符合第一凭证16中的策略。假定这样的确认和策略检查成功，则资源14知道来自这样的第二请求者12的这样的请求基于从第一请求者12适当地委托的权限，从而继续进行访问请求。因而，并且再一次，资源14可以识别第二请求者12并且向第二请求者12授予访问权限，即使第一管理员18没有直接向这样的第二请求者12发放任何授予对资源14的访问权限的凭证16。
结论要意识到，尽管本发明是按照执行某些动作的资源14来描述的，但实际情况是，资源管理器代表资源14执行这样的动作。如可意识到的，实际上常有的情况是，资源管理器管资源14，并且为资源14强制实施访问控制决定。然而，除非有必要，可以将执行一个动作的资源14视为等价于代表资源14执行该动作的资源管理器，反之亦然。
实现结合本发明执行的过程所必需的编程是相对简单的，并且对于有关的普通编程人员是显然的。因此，不在此附上这样的编程。因而，在不脱离本发明的精神与范围的情况下，任何特定的编程可用于实现本发明。
在本发明中，提供一种方法和机制，通过该方法和机制，基于访问规则等，资源14可以向它先前不知道的请求者12提供访问。而是，资源14只需要查看定义的信任源是否为管理员18等，以确定是否应该向请求者12提供访问权限。定义的信任源可以通过经由发放的凭证16将权限委托给这样的请求者12，来标识是否要给请求者12提供访问，而不管请求者12是在定义的信任源的组织10的内部还是外部。
应该意识到，可以在不脱离本发明的概念的情况下，对上述实施例作出改变。因此应该理解，本发明不限于所揭示的特定实施例，但旨在覆盖在由所附权限要求书定义的本发明的精神与范围内的修改方案。
权利要求
1.一种用于第一组织的资源向第二组织的请求者提供对该资源的访问的方法，所述第一组织具有所述资源信任的第一管理员，所述第二组织具有第二管理员，所述第一和第二管理员的每一个向实体发放凭证，由管理员发给实体的每个凭证将该实体与发放管理员联系起来，并且表明该实体与发放管理员之间的关系，所述方法包括第一管理员向第二管理员发放第一凭证，所发放的第一凭证陈述第二管理员可代表第一管理员向请求者发放第二凭证的策略，所述第二管理员实际上代表所述第一管理员向请求者发放第二凭证，所发放的第二凭证包括所发放的第一凭证，所述第二组织的请求者之后请求访问所述第一组织的资源，并且在这么做时将所述请求与所发放的第一凭证和所发放的第二凭证包括在一起；所述资源从请求者接收包括所发放的第一凭证和所发放的第二凭证的请求；所述资源确认所发放的第一凭证，以证实所发放的第一凭证将可信的第一管理员与所述第二管理员联系起来，并且还证实所发放的第一凭证的策略允许所述第二管理员向请求者发放第二凭证；所述资源确认所发放的第二凭证，以证实所发放的第二凭证将所述第二管理员与所述请求者联系起来；以及假定这样的确认成功，则所述资源知道来自这样的请求者的这样的请求是基于从可信的第一管理员通过所述第二管理员委托给所述请求者的权限，从而继续进行对所述资源的请求，由此，所述第一组织的资源可以识别所述第二组织的请求者并且向其授予访问权限，即使可信的第一组织的第一管理员没有向这样的请求者发放过任何凭证。
2.如权利要求1所述的方法，其特征在于，所述第一管理员向所述第二管理员发放第一凭证，所述第一凭证陈述所述第二管理员可向包括所述请求者在内的一组特定实体发放所述第二凭证的策略。
3.如权利要求1所述的方法，其特征在于，所述第一管理员向所述第二管理员发放第一凭证，所述第一凭证还陈述限制所述请求者具有的有关所述资源的权限的策略。
4.如权利要求1所述的方法，其特征在于，所述第一管理员具有公钥-私钥对(PU-A，PR-A)，并且所述第二管理员具有公钥-私钥对(PU-B，PR-B)，并且其中，所述第一管理员向所述第二管理员发放第一凭证，在所述第一凭证中包括所述第二管理员的公钥(PU-B)和基于所述第一管理员的私钥的数字签名(S(PR-A))，所述第二管理员向所述请求者发放第二凭证，所述第二凭证中包括基于所述第二管理员的私钥的数字签名(S(PR-B))。
5.如权利要求4所述的方法，其特征在于，所述资源已知(PU-A)，所述方法包括所述资源将(PU-A)应用于来自所发放的第一凭证的(S(PR-A))以确认(S(PR-A))假定这样的确认成功，则所述资源然后从经确认的第一凭证获得(PU-B)，并且将这样的(PU-B)应用于来自所发放的第二凭证的(S(PR-B))以确认(S(PR-B))。
6.如权利要求1所述的方法，其特征在于，包括所述第一管理员向所述第二管理员发放第一凭证，所述第一凭证还陈述允许所述请求者访问所述资源的策略，所述第二管理员代表所述第一管理员向请求者发放第二凭证，并且所述第二凭证包括允许所述请求者访问所述资源的策略；所述资源还确认所发放的第一凭证，以证实所发放的第一凭证允许所述请求者访问所述资源；以及所述资源还确认所发放的第二凭证，以证实所发放的第二凭证允许所述请求者访问所述资源。
7.如权利要求1所述的方法，其特征在于，包括发放每个凭证，在每个凭证中包括如下指定的每个策略主体P具有断言的权限断言匹配A*向类型P*的主体服从条件C由I发放有效日期时间D其中P是对允许进行委托的特定主体的引用，A*是所有有效委托断言必须匹配的一个或多个模式，P*是标识可接受P委托的价值实体的一个或多个模式，C*是关于由P进行的任何委托的零或多个条件，I是发放策略的实体，以及D是委托授权有效的时间段。
8.一种用于第一组织的资源通过第三组织向第二组织的请求者提供对该资源的访问的方法，所述第一组织具有所述资源信任的第一管理员，所述第二组织具有第二管理员，所述第三组织具有第三管理员，每个管理员向实体发放凭证，由管理员发给实体的每个凭证将该实体与发放管理员联系起来，并且表明该实体与发放的管理员之间的关系，所述方法包括第一管理员向第三管理员发放第一凭证，所发放的第一凭证陈述所述第三管理员可代表所述第一管理员向第二管理员发放第二凭证并且所述第二管理员可代表所述第一管理员向请求者发放第三凭证的策略，所述第三管理员实际上代表所述第一管理员向所述第二管理员发放第二凭证，并且所述第二管理员实际上代表所述第一管理员向请求者发放第三凭证，所发放的第二凭证包括所发放的第一凭证，并且所发放的第三凭证包括所发放的第一凭证和所发放的第二凭证，所述第二组织的请求者之后请求访问所述第一组织的资源，并且在这么做时将请求与所发放的第一凭证和所发放的第二凭证和所发放的第三凭证包括在一起；所述资源从所述请求者接收包括所发放的第一凭证和所发放的第二凭证和所发放的第三凭证的请求；所述资源确认所发放的第一凭证，以证实所发放的第一凭证将可信的第一管理员与所述第三管理员联系起来，并且还证实所发放的第一凭证的策略允许所述第三管理员向所述第二管理员发放第二凭证，以及所发放的第一凭证的策略还允许所述第二管理员向所述请求者发放第三凭证；所述资源确认所发放的第二凭证，以证实所发放的第二凭证将所述第三管理员与所述第二管理员联系起来，并且还证实所发放的第二凭证的策略允许所述第二管理员向所述请求者发放第三凭证；所述资源确认所发放的第三凭证，以证实所发放的第三凭证将所述第二管理员与所述请求者联系起来；以及假定这样的确认成功，则所述资源知道来自这样的请求者的这样的请求是基于由可信的第一管理员通过所述第三管理员和所述第二管理员委托给所述请求者的权限，从而继续进行对所述资源的请求，由此，所述第一组织的资源可以识别所述第二组织的请求者并且向其授予访问权限，即使所述第一组织的可信的第一管理员没有向这样的请求者发放任何凭证。
9.如权利要求8所述的方法，其特征在于，所述第一管理员向所述第三管理员发放第一凭证，所述第一凭证陈述所述第二管理员可向一组包括请求者在内的特定实体发放第三凭证的策略。
10.如权利要求8所述的方法，其特征在于，所述第一管理员向所述第三管理员发放第一凭证，所述第一凭证还陈述限制所述请求者具有的有关所述资源的权限的策略。
11.如权利要求8所述的方法，其特征在于，所述第一管理员具有公钥-私钥对(PU-A，PR-A)，并且所述第二管理员具有公钥-私钥对(PU-B，PR-B)，并且所述第三管理员具有公钥-私钥对(PU-C，PR-C)，并且其中，所述第一管理员向所述第三管理员发放第一凭证，在所述第一凭证中包括所述第三管理员公钥(PU-C)和基于所述第一管理员的私钥的数字签名(S(PR-A))，所述第三管理员向所述第二管理员发放第二凭证，在所述第二凭证中包括所述第二管理员的公钥(PU-B)和基于所述第三管理员的私钥的数字签名(S(PR-C))，所述第二管理员向所述请求者发放第三凭证，在所述第三凭证中包括基于所述第二管理员的私钥的数字签名(S(PR-B))。
12.如权利要求11所述的方法，其特征在于，所述资源已知(PU-A)，所述方法包括所述资源将(PU-A)应用于来自所发放的第一凭证的(S(PR-A))以确认(S(PR-A))；假定这样的确认成功，则所述资源然后从经确认的第一凭证获得(PU-C)，并且将这样的(PU-C)应用于来自所发放的第二凭证的(S(PR-C))以确认(S(PR-C))。假定这样的确认成功，则所述资源然后从经确认的第二凭证获得(PU-B)，并且将这样的(PU-B)应用于来自所发放的第三凭证的(S(PR-B))以确认(S(PR-B))。
13.如权利要求8所述的方法，其特征在于，包括所述第一管理员向所述第三管理员发放第一凭证，所述第一凭证还陈述允许所述请求者访问所述资源的策略，所述第三管理员代表所述第一管理员向所述第二管理员发放第二凭证，并且所述第二凭证包括允许所述请求者访问所述资源的策略，所述第二管理员代表所述第一管理员向所述请求者发放第三凭证，并且所述第三凭证包括允许所述请求者访问所述资源的策略；所述资源还确认所发放的第一凭证，以证实所发放的第一凭证允许所述请求者访问所述资源；所述资源还确认所发放的第二凭证，以证实所发放的第二凭证允许所述请求者访问所述资源；以及所述资源还确认所发放的第三凭证，以证实所发放的第三凭证允许所述请求者访问所述资源。
14.如权利要求8所述的方法，其特征在于，包括发放每个凭证，在每个凭证中包括如下指定的每个策略主体P具有断言的权限断言匹配A*向类型P*的主体服从条件C由I发放有效日期时间D其中P是对允许进行委托的特定主体的引用，A*是所有有效委托断言必须匹配的一个或多个模式，P*是标识可接受P委托的价值实体的一个或多个模式，C*是关于由P进行的任何委托的零或多个条件，以及D是委托授权有效的时间段。
15.一种用于组织的资源通过中介向请求者提供对该资源的访问的方法，所述组织具有该资源信任的管理员，所述方法包括管理员向中介发放第一凭证，所发放的第一凭证陈述所述中介可代表所述管理员向请求者发放第二凭证的策略，所述中介实际上代表所述管理员向请求者发放第二凭证，所发放的第二凭证包括所发放的第一凭证，所述请求者之后请求访问所述组织的资源，并且在这么做时将所述请求与所发放的第一凭证和所发放的第二凭证包括在一起；所述资源从所述请求者接收包括所发放的第一凭证和所发放的第二凭证的请求；所述资源确认所发放的第一凭证，以证实所发放的第一凭证将所述可信管理员与所述中介联系起来，并且还证实所发放的第一凭证的策略允许所述中介向所述请求者发放第二凭证；所述资源确认所发放的第二凭证，以证实所发放的第二凭证将所述中介与所述请求者联系起来；以及假定这样的确认成功，则所述资源知道来自这样的请求者的这样的请求是基于由所述可信管理员通过所述中介委托给请求者的权限，从而继续进行对所述资源的请求，由此，所述组织的资源可以识别所述请求者并且向其授予访问权限，即使所述组织的可信管理员没有向这样的请求者发放任何凭证。
16.如权利要求15所述的方法，其特征在于，所述管理员向所述中介发放第一凭证，所述第一凭证陈述所述中介可向一组包括所述请求者在内的特定实体发放第二凭证的策略。
17.如权利要求15所述的方法，其特征在于，所述管理员向所述中介发放第一凭证，所述第一凭证还陈述限制所述请求者具有的关于所述资源的权限的策略。
18.如权利要求15所述的方法，其特征在于，所述管理员具有公钥-私钥对(PU-A，PR-A)，并且所述中介具有公钥-私钥对(PU-B，PR-B)，并且其中，所述管理员向所述中介发放第一凭证，在所述第一凭证中包括所述中介的公钥(PU-B)和基于所述管理员的私钥的数字签名(S(PR-A))，所述中介向所述请求者发放第二凭证，在所述第二凭证中包括基于所述中介的私钥的数字签名(S(PR-B))。
19.如权利要求18所述的方法，其特征在于，所述资源已知(PU-A)，所述方法包括所述资源将(PU-A)应用于来自所发放的第一凭证的(S(PR-A))，以确认(S(PR-A))；假定这样的确认成功，则所述资源然后从经确认的第一凭证获得(PU-B)，并且将这样的(PU-B)应用于来自所发放的第二凭证的(S(PR-B))以确认(S(PR-B))。
20.如权利要求15所述的方法，其特征在于，包括所述管理员向所述中介发放第一凭证，所述第一凭证还陈述允许所述请求者访问所述资源的策略，所述中介代表所述管理员向所述请求者发放第二凭证，并且所述第二凭证包括允许所述请求者访问所述资源的策略；所述资源还确认所发放的第一凭证，以证实所发放的第一凭证允许所述请求者访问所述资源；以及所述资源还确认所发放的第二凭证，以证实所发放的第二凭证允许所述请求者访问所述资源。
21.如权利要求15所述的方法，其特征在于，包括发放每个凭证，在每个凭证中包括如下指定的每个策略主体P具有断言的权限断言匹配A*向类型P*的主体服从条件C由I发放有效日期时间D其中P是对允许进行委托的特定主体的引用，A*是所有有效委托断言必须匹配的一个或多个模式，P*是标识可接受P委托的价值实体的一个或多个模式，C*是关于由P进行的任何委托的零或多个条件，以及D是委托授权有效的时间段。
全文摘要
第一组织的资源向第二组织的请求者提供对该资源的访问。第一组织的第一管理员向第二组织的第二管理员发放第一凭证，第一凭证包括第二管理员可代表第一管理员向请求者发放第二凭证的策略。第二管理员向请求者发放第二凭证，第二凭证包括所发放的第一凭证。请求者请求访问该资源，并且包括发放的第一和第二凭证。该资源确认所发放的第一凭证将第一管理员与第二管理员联系起来，并且确认所发放的第二凭证将第二凭证与请求者联系起来。该资源因而知道请求是基于由第一管理员通过第二管理员委托给请求者的权限。
文档编号G06F21/00GK1831833SQ20061000447
公开日2006年9月13日 申请日期2006年2月13日 优先权日2005年3月11日
发明者B·B·迪拉维, B·拉马克齐亚, M·帕拉马斯万姆, R·N·潘迪亚, C·F·罗斯三世 申请人:微软公司