在访问管理系统等中委托访问资源等的权限

摘要

第一组织的资源向第二组织的请求者提供对该资源的访问。第一组织的第一管理员向第二组织的第二管理员发放第一凭证，第一凭证包括第二管理员可代表第一管理员向请求者发放第二凭证的策略。第二管理员向请求者发放第二凭证，第二凭证包括所发放的第一凭证。请求者请求访问该资源，并且包括发放的第一和第二凭证。该资源确认所发放的第一凭证将第一管理员与第二管理员联系起来，并且确认所发放的第二凭证将第二凭证与请求者联系起来。该资源因而知道请求是基于由第一管理员通过第二管理员委托给请求者的权限。

主权项

一种用于第一组织的资源向第二组织的请求者提供对该资源的访问的方法，所述第一组织具有所述资源信任的第一管理员，所述第二组织具有第二管理员，所述第一和第二管理员的每一个向实体发放凭证，由管理员发给实体的每个凭证将该实体与发放管理员联系起来，并且表明该实体与发放管理员之间的关系，所述方法包括：第一管理员向第二管理员发放第一凭证，所述第一凭证陈述第二管理员可代表第一管理员向包括请求者在内的一组特定实体发放第二凭证的策略，所述第一凭证包括所述第二管理员的公钥(PU-B)以及基于所述第一管理员的私钥的数字签名(S(PR-A))，所述第二管理员代表所述第一管理员向请求者发放第二凭证，所述第二凭证包括所述第一凭证以及基于所述第二管理员的私钥的数字签名(S(PR-B))，所述第二组织的请求者发出访问所述第一组织的资源的请求，所述请求包括所述第二凭证；所述资源从请求者接收包括所述第二凭证的请求；所述资源获取所述第一管理员的公钥(PU-A)；所述资源通过下述步骤验证所述第二凭证：将所述第一管理员的公钥(PU-A)应用于所述基于第一管理员的私钥的数字签名(S(PR-A))，从所述第一凭证中获取所述第二管理员的公钥(PU-B)，以及将所述第二管理员的公钥(PU-B)应用于所述基于第二管理员的私钥的数字签名(S(PR-B))；以及响应于所述资源确认了所述第二凭证，所述资源知道来自这样的请求者的这样的请求是基于从可信的第一管理员通过所述第二管理员委托给所述请求者的权限，从而继续进行对所述资源的请求，由此，所述第一组织的资源可以识别所述第二组织的请求者并且向其授予访问权限，即使可信的第一组织的第一管理员没有向这样的请求者发放过任何凭证。