[发明专利]后端受限委托模型

权利要求书

1. 一种用于实现委托的方法，包括以下步骤：

接收指定目标（230）的委托请求；

检查该目标（230）与执行计算机可执行指令的计算设备是否位于相同域中；

识别包含委托给目标（230）的要求的一个或多个策略；

确定是否满足所识别的一个或多个策略；

生成包含来自委托请求的信息的签名权标；以及

生成允许该委托请求的签名服务凭据；

其中如果所述检查揭示该目标（230）并非位于该域中，则执行用于实现生成签名权标的该计算机可执行指令；以及

其中进一步如果所述检查揭示该目标（230）位于该域中，则执行用于实现识别、确定和生成签名服务凭据的计算机可执行指令。

2. 根据权利要求1所述的方法，其中该一个或多个策略中的至少一个策略是由所述目标建立并控制的。

3. 根据权利要求1所述的方法，其中该签名权标和签名服务凭据指向另一个域。

4. 根据权利要求1所述的方法，其中所述确定还包括请求与所述要求相关联的附加信息。

5. 根据权利要求1所述的方法，还包括以下步骤：接收签名的标识，验证签名并且如果验证成功则签名该接收到的标识。

6. 根据权利要求5所述的方法，还包括以下步骤：

将如果验证成功则被签名的接收到的标识指向另一域。

7. 一种或多种计算机可读介质，包括用于执行权利要求1所述的步骤的计算机可执行指令。

8. 一种系统，包括：

客户端计算设备（210）；

后端层计算设备，包括第一后端计算设备（230）；

中间层计算设备（220），包括用于执行以下步骤的计算机可执行指令：

向第一域控制器计算设备提供中间层计算设备（220）设法作为客户端计算设备（210）与第一后端计算设备（230）通信的指示；

向第一域控制器计算设备提供中间层计算设备（220）的标识；

如果第一后端计算设备（230）和域控制器计算设备均在相同域中，则接收指示该中间层计算设备（220）可以作为客户端计算设备（210）与第一后端计算设备（230）通信的服务凭据；

将所述服务凭据呈现给第一后端计算设备（230）；

如果第一后端计算设备（230）与第一域控制器计算设备位于不同的域中，则接收指示该中间层计算设备（220）设法作为客户端计算设备（210）与第一后端计算设备（230）通信的权标；并且

将该权标呈现给第二域控制器计算设备；并且

该第一域控制器计算设备包括执行以下步骤的计算机可执行指令：

检查第一后端计算设备（230）是否位于还包括第一域控制器计算设备的域中；

识别包含用于委托给该第一后端计算设备（230）的要求的一个或多个策略；

确定中间层计算设备（220）是否满足所述要求；

生成、签名并且传送权标；以及

生成、签名并且传送服务凭据；

其中如果所述检查揭示该第一后端计算设备（230）并非位于该域中，则执行用于实现所述生成、签名并发送权标的计算机可执行指令；以及

其中进一步如果所述检查揭示该第一后端计算设备（230）位于该域中，则执行用于实现所述识别、确定和生成、签名并传送该已签名服务凭据的计算机可执行指令。

9. 根据权利要求8所述的系统，其中所述一个或多个策略中的至少一个策略是由第一后端计算设备建立并控制的。

10. 根据权利要求8所述的系统，其中该后端层计算设备除了第一后端计算设备还包括第二后端计算设备；其中另外该中间层计算设备还包括其他计算机可执行指令，以用于：作为客户端计算设备与第二后端计算设备通信；聚集从后端计算设备和第二后端计算设备接收的信息；并且将所聚集的信息提供给客户端计算设备。