基于分布式策略验证的可信虚拟组织构建方法及装置.pdf

本发明公开了一种基于分布式策略验证的可信虚拟组织构建方法及装置，其中该方法包括：通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略，所述虚拟组织服务器包括于所述起始自治域或目标自治域中；根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信，若是，则根据所述虚拟组织协作策略，构建可信虚拟组织。本发明所提供的技术方案，针对现有技术虚拟组织构建方法中存在构建效率不高、且虚拟组织协作策略存在安全性隐患的问题，实现了快速、安全地构建可信虚拟组织的目的。

1、  一种基于分布式策略验证的可信虚拟组织构建方法，其特征在于，包括：
通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略，所述虚拟组织服务器包括于所述起始自治域或目标自治域中；
根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；
根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信，若是，则根据所述虚拟组织协作策略，构建可信虚拟组织。

2、  根据权利要求1所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略，包括：
所述映射策略为基于角色分级映射策略，包括一级映射策略和二级映射策略；
建立起始自治域中指定角色至虚拟组织服务器中指定角色的一级映射策略，并存储于所述虚拟组织服务器；
建立所述虚拟组织服务器中指定角色至目标自治域中指定角色的二级映射策略，并存储于起始自治域；
根据所述一级映射策略和二级映射策略，建立所述起始自治域中指定角色至所述目标自治域中指定角色的基于角色分级映射策略。

3、  根据权利要求2所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略，包括：
所述起始自治域策略包括起始自治域角色层次继承关系；
所述虚拟组织服务器策略包括虚拟组织服务器角色层次继承关系；
所述目标自治域策略包括目标自治域角色层次继承关系；
根据所述一级映射策略、二级映射策略、起始自治域角色层次继承关系、虚拟组织服务器角色层次继承关系和目标自治域角色层次继承关系，定制虚拟组织协作策略。

4、  根据权利要求2所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信，包括：
所述虚拟组织协作策略有效规则包括第一规则和第二规则；
所述第一规则为，在所述起始自治域与目标自治域之间的映射策略中，其一条映射策略链包括至少一个所述虚拟组织服务器中指定角色，且包括一个所述起始自治域中指定角色和一个所述目标自治域中指定角色；
所述第二规则为，所述指定角色包括于所述起始自治域、虚拟组织服务器与目标自治域所构成的闭包集合，且不存在所述起始自治域中指定角色至所述目标自治域中指定角色的直接映射策略；
根据所述第一规则和第二规则，分布验证所述虚拟组织协作策略是否可信。

5、  根据权利要求2所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，所述分布验证所述虚拟组织协作策略包括：
根据虚拟组织服务器策略，采用Warshall算法获取虚拟组织服务器闭包集合；
根据起始自治域策略，采用Warshall算法获取起始自治域闭包集合；
根据目标自治域策略，采用Warshall算法获取目标自治域闭包集合；
根据所述起始自治域闭包集合、目标自治域闭包集合、虚拟组织服务器闭包集合、一级映射策略和二级映射策略，生成映射策略全集；
判断所述映射策略全集中是否有违反所述第一规则和/或第二规则的映射策略链，若有，则所述虚拟组织协作策略为不可信。

6、  根据权利要求4所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，违反所述第一规则的映射策略链，包括：
至少一个所述虚拟组织服务器中指定角色，且包括一个所述起始自治域中指定角色和另一个所述起始自治域中指定角色；
或者，包括至少一个所述虚拟组织服务器中指定角色，且包括一个所述目标自治域中指定角色和另一个所述起始自治域中指定角色。

7、  根据权利要求4所述的基于分布式策略验证的可信虚拟组织构建方法，其特征在于，违反所述第二规则的映射策略链包括：
所述起始自治域中指定角色，不通过所述虚拟组织服务器中指定角色，直接映射至所述目标自治域中指定角色。

8、  一种基于分布式策略验证的可信虚拟组织构建装置，其特征在于，包括：
映射策略模块，用于通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略；
定制模块，连接于所述映射策略模块，用于根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；
分布验证模块，连接于所述定制模块，用于根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信；
构建模块，连接于所述分布验证模块，用于若分布验证所述虚拟组织协作策略为可信，则根据所述虚拟组织协作策略，构建可信虚拟组织。

9、  根据权利要求8所述的基于分布式策略验证的可信虚拟组织构建装置，其特征在于，所述映射策略模块包括：
一级映射策略单元，用于建立起始自治域中指定角色至虚拟组织服务器中指定角色的一级映射策略，并存储于所述虚拟组织服务器；
二级映射策略单元，用于建立所述虚拟组织服务器中指定角色至目标自治域中指定角色的二级映射策略，并存储于起始自治域；
分级映射策略单元，分别连接于所述一级映射策略单元和二级映射策略单元，用于根据所述映射策略一级映射策略和映射策略二级映射策略，建立所述起始自治域中指定角色至所述目标自治域中指定角色的基于角色分级映射策略。

基于分布式策略验证的可信虚拟组织构建方法及装置
技术领域
本发明涉及虚拟组织构建技术，特别涉及一种基于分布式策略验证的可信虚拟组织构建方法及装置，属于分布式计算和信息安全技术领域。
背景技术
随着当今计算机技术的迅速发展，虚拟化(Virtualization)、软件即服务(Software as a Service)以及Web交互技术的发展，对基于互联网构建可信的网络化软件应用系统提供了有效支撑，以不断为用户提供更多简单、透明方式而动态获取大规模计算和存储服务能力。例如“云”和“云计算”就是一种典型的此类应用模式。
所谓“云”可理解为计算机群，可包括几十万台、甚至上百万台计算机。“云”的好处在于，其中的计算机可以随时更新。目前的“云”基本都为大型企业所用，例如亚马逊(Amazon)的弹性计算服务(Elastic Compute Cloud，简称EC2)、简单数据存储服务(Simple Storage Service，简称S3)、微软的云计算产品Windows Azure等，都是构建这样的“云。
“云”是“云计算”的平台，即所谓“云计算”可理解为是基于“云”的计算，更进一步地，是基于虚拟化、软件即服务以及Web交换等相关技术之上的新兴技术。“云计算”带来的是一种新的资源和软件应用尝试，用户只通过网络并借助浏览器就可以很方便的访问“云”，把“云”做为资料存储以及应用服务的中心。目前在拥有“云”的大型企业中，其用户根据企业内部“云”所进行的“云计算”具体为，用户所需的计算和存储能力将转移到企业内部的整个局域网(所谓“云”)内，通过让用户所进行的计算分布在大量的分布式计算机上，而非本地计算机或远程服务器中，从而使企业数据中心的运行将更与互联网相似，进而使得企业能够将资源切换到需要的应用上，根据需求访问计算机和存储系统。
随着硬件技术的不断发展，虚拟机的出现为企业内部构造“云”提供了便利。由于虚拟机本身具有良好的隔离性、可监控性和迁移性，保证了“云”中单一计算机或单一系统节点安全性，然而对“云”从整体上进行管理，则需要面向虚拟机的安全策略来实现。基于虚拟机的安全策略管理，可有效地构建单一域(所述单一域涉及企业或学校等)内的“云计算”平台，国内外IT公司如VMWare的产品VirtualCenter、Microsoft的产品Hyper-V、RedHat的系统OVirt等。然而，随着“云计算”平台中用户应用对计算能力需求的伸缩性，各个单一域所提供的自治域(可包括至少一个“云”)，并不一定能够满足用户的需求。因此，发明人凭借在本领域从事多年研究工作的经验，深刻认识到构建多个自治域形成VO(Virtual Organization，虚拟组织)仍然是解决多个自治域间资源分享一种方法。例如当某企业的自治域内虚拟资源不足时，可以租用Amazon自治域的部分虚拟资源形成VO；或者某网络策略实验室为构建多地理位置部署的系统，需要租用处于不同地理位置自治域提供商的虚拟资源，形成自己的VO。但现有技术中，在构建VO时存在以下缺陷：
1.自治域间的可联合方面：涉及到跨域资源分享，其虚拟资源的加入退出往往较为频繁，在这种情形下，对VO构建的效率提出挑战，如VOMS(Virtual Organization Management Service，虚拟组织管理服务)、CAS(Central Authentication Service，中央认证服务)等VO管理系统需要预先指派用户加入VO，由于VO的构建直接以用户为基本模块，因此VO构建的效率不高。
2.构建VO的策略安全性方面：由于自治域间的权限相互映射，很容易导致一个低级别用户经过映射回环享受一个高级别用户权限，破坏原有自治域策略的安全性。
3.VO运行效率的可保障方面：由于VO构建涉及到策略定制、安全性验证等多个过程，确保最终使用VO的VO用户授权的效率至关重要，针对该问题，现有技术动态信任链的构造VO的方法中，由于没有相关的授权协议对VO用户的可信度进行限定，因此VO用户授权的效率相对较低。
发明内容
本发明的目的是提供一种基于分布式策略验证的可信虚拟组织构建方法及装置，针对现有技术虚拟组织构建方法中虚拟组织构建效率不高、起始自治域的安全性存在隐患以及虚拟组织用户授权效率较低的技术问题，以实现快速、安全地构建可信虚拟组织的目的。
为实现上述目的，本发明提供了一种基于分布式策略验证的可信虚拟组织构建方法，其中包括：
通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略，所述虚拟组织服务器包括于所述起始自治域或目标自治域中；
根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；
根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信，若是，则根据所述虚拟组织协作策略，构建可信虚拟组织。
进一步地，本发明提供了一种基于分布式策略验证的可信虚拟组织构建装置，其中包括：
映射策略模块，用于通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略；
定制模块，连接于所述映射策略模块，用于根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；
分布验证模块，连接于所述定制模块，用于根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信；
构建模块，连接于所述分布验证模块，用于若分布验证所述虚拟组织协作策略为可信，则根据所述虚拟组织协作策略，构建可信虚拟组织。
由以上技术方案可知，本发明所提供的基于分布式策略验证的可信虚拟组织构建方法及装置，提供了一种基于分布式策略验证的虚拟组织构建方式，通过分布验证虚拟组织协作策略是否可信，若是则根据所述虚拟组织协作策略，构建虚拟组织的技术方案，针对现有技术虚拟组织构建方法中虚拟组织构建效率不高、起始自治域的安全性存在隐患的技术问题，实现了快速、安全地构建可信虚拟组织的目的。
附图说明
图1为本发明基于分布式策略验证的可信虚拟组织构建方法的流程图；
图2为本发明自治域构成可信虚拟组织的结构示意图；
图3为本发明基于分布式策略验证的可信虚拟组织构建装置的结构示意图；
图4为本发明基于分布式策略验证的可信虚拟组织构建装置中映射策略模块的结构示意图；
图5为本发明可信虚拟组织结构示意图；
图6为可信虚拟组织各服务器分配结构示意图。
具体实施方式
下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。
图1为本发明基于分布式策略验证的可信虚拟组织构建方法的流程图。如图1所示，该方法包括：
101、通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略，所述虚拟组织服务器包括于所述起始自治域或目标自治域中；
结合如图2为本发明自治域构成虚拟组织的结构示意图所示，可信虚拟组织4的结构中包括起始自治域1、目标自治域2和虚拟组织服务器(VirtualOrganization Server，VOS)3，其中，虚拟组织服务器3可由起始自治域1和目标自治域2协商选定或由起始自治域1主动选取自治域中的某台服务器，在本实施例中虚拟组织服务器3可为包括于起始自治域1中的某台服务器。进一步地，起始自治域1包括角色R_A1和R_A2，角色R_A2^p RA1(p表示角色层次继承关系)，具体为起始自治域策略H_i，其中角色与权限是相关联的，表示如果一个用户属于角色R_A1的成员，则自动被指派角色R_A2的所有权限；目标自治域2包括角色R_B1和R_B2，角色R_B2≤R_B1，具体为目标自治域策略H_k^o，同理表示如果一个用户属于角色R_B1的成员，则自动被指派角色R_B2的所有权限；虚拟组织服务器3包括角色R_VO1和R_VO2，角色R_VO2≤R_VO1，具体为虚拟组织服务器策略H_VO，同理表示如果一个用户属于角色R_VO2的成员，则自动被指派角色R_VO1的所有权限。以建立角色R_A1和R_B1之间的映射策略为例，具体地，通过所述R_A1和R_B1之间的映射策略为基于角色分级映射策略，首先建立一级映射策略m_VO，具体地建立起始自治域1中指定角色R_A1至虚拟组织服务器3中指定角色R_VO1的一级映射策略m₁，并存储于所述虚拟组织服务器3；接着建立二级映射策略m_i，具体地建立虚拟组织服务器3中指定角色R_VO1至目标自治域2中指定角色R_B1的二级映射策略m_i，并存储于起始自治域1中；根据所述一级映射策略m₁和二级映射策略m_i，建立起始自治域1中指定角色R_A1至目标自治域2中指定角色R_B1的基于角色分级映射策略，可表示为映射策略链(m₁，m_i)。可通过上述以建立角色R_A1和R_B1之间的映射策略为例，建立起始自治域1和目标自治域2中所有角色的映射策略，相应地角色权限也被相应的进行了继承；
102、根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；
根据所述一级映射策略m₁和二级映射策略m_i、起始自治域策略H_i、虚拟组织服务器策略H_VO和目标自治域策略H_k^o，定制虚拟组织协作策略；
103、根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信，若是，则根据所述虚拟组织协作策略，构建可信虚拟组织；
所述虚拟组织协作策略有效规则包括第一规则和第二规则；再如图2所示，以映射策略链(m₁，m_i)为例，
所述第一规则为，在起始自治域1与目标自治域2之间的映射策略中，映射策略链(m₁，m_i)包括至少一个虚拟组织服务器3中指定角色R_VO1，且包括一个所述起始自治域1中指定角色R_A1和一个所述目标自治域中指定角色R_B1；
所述第二规则为，指定角色R_A1、R_B1和R_VO1包括于所述起始自治域1、虚拟组织服务器3与目标自治域2所构成的闭包集合内，且不存在起始自治域1中指定角色R_A1至目标自治域2指定角色R_B1的直接映射策略；
所述第一规则和第二规则，避免了如图2所示的目标自治域2中，原本角色R_B2≤R_B1的角色层次继承关系，被多次映射策略之后变为R_B1≤R_B2，在实际情况中，常常表现为在目标自治域2端，一个属于角色R_B1的低级别权限用户通过自治域2与虚拟组织服务器3之间的多次角色转换，最终在目标自治域2中获得高级别角色R_B2才能访问的权限，从而对目标自治域2的安全性造成潜在威胁，具体地，另一个一级映射策略m₃为角色R_VO2≤R_B2(其中m₁和m₃统一表示为m_i)，再通过角色R_VO1≤R_VO2和角色R_B1≤R_VO1的映射策略，就会映射策略出R_B1≤R_B2，进一步地R_VO2有R_B2的权限，R_VO1有R_VO2的权限，R_B1有R_VO1的权限，因此R_B2就拥有R_B1的权限，原因在于，另一个一级映射策略m₃与m_i构不成一完整的映射策略链，同时也没就有遵循在第一规则中一映射策略链需包括一个所述起始自治域1中指定角色和一个目标自治域2指定角色的规定。对于原本R_B1拥有R_B2的正常角色层次继承关系，导致了目标自治域2中角色层次继承关系的混乱，威胁了目标自治域2的安全性；
根据所述第一规则和第二规则，对每个基于角色分级映射策略建立的映射策略链进行验证是否可信，而不是等所有的映射策略链都建立完了再去验证，分布验证所述虚拟组织协作策略是否可信，随着所有关于角色和权限关系的映射策略链的建立完成，可信虚拟组织即构建完成。
关于分布验证所述虚拟组织协作策略的具体方法，可通过以下步骤来实现：
步骤11、根据虚拟组织服务器策略H_VO，采用Warshall算法获取虚拟组织服务器闭包集合H_vo⁺，一般虚拟组织服务器闭包集合只有一个；
步骤12、根据起始自治域策略H_i，采用Warshall算法获取起始自治域闭包集合H_i⁺，一般起始自治域闭包集合也只有一个；
步骤13、根据目标自治域策略H_k^o，采用Warshall算法获取目标自治域闭包集合H_k^o+，由于目标自治域一般会有多个，因此H_k^o+，k＝n，对应的会存在多个目标自治域闭包集合；
步骤14、根据所述起始自治域闭包集合H_i⁺、目标自治域闭包集合H_k^o+、虚拟组织服务器闭包集合H_vo⁺、一级映射策略的统一表示m_VO和二级映射策略m_i，生成映射策略全集S；
步骤15、判断所述映射策略全集中是否有违反所述第一规则和/或第二规则的映射策略链，若有，则所述虚拟组织协作策略为不可信。
违反所述第一规则的映射策略链，包括：至少一个所述虚拟组织服务器中指定角色，且包括一个所述起始自治域中指定角色和另一个所述起始自治域中指定角色；或者，包括至少一个所述虚拟组织服务器中指定角色，且包括一个所述目标自治域中指定角色和另一个所述起始自治域中指定角色，这种情况称之为存在隐式冲突策略；
违反所述第二规则的映射策略链包括：所述起始自治域中指定角色，不通过所述虚拟组织服务器中指定角色，直接映射至所述目标自治域中指定角色，这种情况称之为存在显示冲突策略；
判断所述映射策略全集中是否存在隐式冲突策略和/或显示冲突策略，若是，则所述虚拟组织协作策略为不可信。
在实际应用中，根据以上方法，分布验证所述虚拟组织协作策略是否可信子程序的具体编程方式为：
Policy_Evaluation()
 {
Hvo+=Warshall(HVO);]]>//采用Warshall算法获取虚拟组织服务器闭包集合H_vo⁺
Hi+=Warshall(Hi);]]>//采用Warshall算法获取起始自治域策略的闭包集合H_i⁺
for(int k＝1；k＜＝n；k++)
 {
if(k！＝i){Hko+=Warshall(Hko);}]]>//采用Warshall算法获取所有目标自治域闭包集
S=(Uk=1nHko+·mVO·HVO+·mi·Hi+);]]>//根据所述起始自治域闭包集合H_i⁺、目标自治域闭包集合H_k^o+、虚拟组织服务器闭包集合H_vo⁺、一级映射策略的统一表示m_VO和二级映射策略m_i，生成映射策略全集S
if{return false；}//存在显式冲突策略，F_i为根据目标自治域所定制的不能进行角色映射的集合
if((r，r)∈S&&r∈R_i)){return false；}//若存在如图2中(m₃、m₂)的映射策略回环，则存在隐式冲突策略
  }
return true；
}
本实施例所提供的基于分布式策略验证的可信虚拟组织构建方法，通过分布验证虚拟组织协作策略是否可信，若是则根据所述虚拟组织协作策略，构建虚拟组织的技术方案，针对现有技术虚拟组织构建方法中虚拟组织构建效率不高、起始自治域的安全性存在隐患的技术问题，实现了快速、安全地构建可信虚拟组织的目的。
图3为本发明基于分布式策略验证的可信虚拟组织构建装置的结构示意图。如图3所示，本实施例所提供的基于分布式策略验证的可信虚拟组织构建装置包括：映射策略模块301，定制模块302，分布验证模块303和构建模块304。其中映射策略模块301通过虚拟组织服务器，建立起始自治域与目标自治域之间的映射策略，并存储所述映射策略；定制模块302连接于映射策略模块301，根据所述映射策略、起始自治域策略、虚拟组织服务器策略和目标自治域策略，定制虚拟组织协作策略；分布验证模块303连接于定制模块302，根据虚拟组织协作策略有效规则，分布验证所述虚拟组织协作策略是否可信；构建模块304连接于分布验证模块303，若分布验证所述虚拟组织协作策略为可信，则根据所述虚拟组织协作策略，构建可信虚拟组织。
进一步地，如图4为本发明基于分布式策略验证的可信虚拟组织构建装置中映射策略模块301的结构示意图所示，映射策略模块301包括一级映射策略单元401、二级映射策略单元402和分级映射策略单元403。其中，一级映射策略单元401建立起始自治域中指定角色至虚拟组织服务器中指定角色的一级映射策略，并存储于所述虚拟组织服务器；二级映射策略单元402建立所述虚拟组织服务器中指定角色至目标自治域中指定角色的映射策略二级映射策略，并存储于起始自治域；分级映射策略单元403分别连接于一级映射策略单元401和二级映射策略单元402，并根据所述一级映射策略和二级映射策略，建立所述起始自治域中指定角色至所述目标自治域中指定角色的基于角色分级映射策略。
这里需说明的是，本实施例基于分布式策略验证的可信虚拟组织构建装置对可信虚拟组织构建的具体方法，如上述基于分布式策略验证的可信虚拟组织构建方法实施例中的具体描述所述，这里不再赘述。
本实施例所提供的基于分布式策略验证的可信虚拟组织构建装置，利用分布验证模块分布验证虚拟组织协作策略是否可信，若是，则根据所述虚拟组织协作策略，通过构建模块构建可信虚拟组织的技术方案，针对现有技术虚拟组织构建方法中虚拟组织构建效率不高、起始自治域的安全性存在隐患的技术问题，实现了快速、安全地构建可信虚拟组织的目的。
图5为本发明可信虚拟组织结构示意图。如图5所示，虚拟组织结构主要包括虚拟组织管理装置501和虚拟组织运维装置502，其中，
虚拟组织管理装置501用于为管理员提供操作数据库的接入点，封装对数据库操作的命令，以及用户权限的管理；对管理者角色、用户角色的验证，并实现虚拟组织的创建、虚拟组织的策略配置、用户管理、角色管理和权限管理，并根据不同虚拟组织的创建需求，为不同的虚拟组织生成不同的数据库；执行服务进程，以提供读取虚拟组织数据库的操作，并在用户发送查询或获取指令时，为用户提供查询接口。
虚拟组织运维装置502用于提供属性证书请求、代理证书创建等命令行工具，以供资源请求者根据应用需求生成所述资源请求者所需的属性证书；供资源提供者使用，提供对资源请求者属性证书、能力证书的验证，并执行授权强制和决策。
进一步地，虚拟组织管理装置501包括门户模块5011、配置服务模块5012和运行服务模块5013。其中，门户模块5011用于为管理员提供操作数据库的接入点，封装对数据库操作的命令，以及用户权限的管理；配置服务模块5012，连接门户模块5011，用于对管理者角色、用户角色的验证，并实现虚拟组织的创建、虚拟组织的策略配置、用户管理、角色管理和权限管理，并根据不同虚拟组织的创建需求，为不同的虚拟组织生成不同的数据库；运行服务模块5013，连接配置服务模块5012，用于执行服务进程，以提供读取虚拟组织数据库的操作，并在用户发送查询或获取指令时，为用户提供查询接口。
再进一步地，虚拟组织运维装置502包括起始自治域5021和目标自治域5022，其中，起始自治域5021与运行服务模块5013连接，用于提供属性证书请求、代理证书创建等命令行工具，以供资源请求者根据应用需求生成所述资源请求者所需的属性证书；目标自治域5022，属于加入虚拟组织的一个自治域，用于供资源提供者使用，提供对资源请求者属性证书、能力证书的验证，并执行授权强制和决策。
结合虚拟组织结构，该虚拟组织的运行过程具体为：
在虚拟组织管理装置501侧：
步骤51、管理员或虚拟组织用户通过门户模块5011登录，输入用户的身份信息，所述身份信息包括用户名、密码和验证码，或采用身份证书登录；
步骤52、通过配置服务模块5012将用户输入的身份信息与数据库中用户的密码散列对比，或者通过https协议实现对用户的身份证书验证，以生成验证信息，并将保存到交互的会话中；
步骤53、若所述验证信息为通过状态，配置服务模块5012接收来至门户模块5011的操作指令，并实现不同虚拟组织数据库的创建、删除和配置等操作，其中在配置服务模块5012的配置操作中，主要包括用户的加入和退出、用户组和角色的建立和销毁、以及用户与组/角色的映射策略指派操作。
在虚拟组织管理装置502侧：
步骤54、用户通过起始自治域5021首先基于GSS-API安全会话与运行服务模块5013通过双向的身份鉴别，建立安全会话的上下文，并配置属性证书获取参数信息表，指定需要获取角色类型的证书等；
步骤55、运行服务模块5013服务读取用户起始自治域的请求指令，并查询指定虚拟组织数据库的信息，根据需求返回用户所需的属性信息(经过运行服务模块5013根证书签名)；
步骤56、起始自治域5021向目标自治域5022发起资源请求访问，与目标自治域5022建立安全会话，并携带所请求虚拟组织的属性证书；
步骤57、目标自治域5022验证起始自治域的身份属性信息，并根据本地的安全策略对资源访问请求作出最终授权。
本实施例提供了虚拟组织结构，对基于分布式策略验证构建起的虚拟组织，通过其自身包括的虚拟组织管理装置和虚拟组织运维装置，实现了对整个虚拟组织的运行，具备安全和运行效率高的特点。
在虚拟组织构建成后，其虚拟组织管理生命周期内，从组织建立到任务执行，虚拟组织协作策略、各个自治域的一级映射策略都随时变化，而且自治域也会随时加入或退出，这些变化都会引起对虚拟组织协作策略是否可信的重新评估。结合如图6为可信虚拟组织各服务器分配结构示意图所示，本实施例以包括自治域服务器602的自治域2加入基于分布式策略验证构建起的虚拟组织1背景，说明虚拟组织对虚拟组织协作策略中自治域策略和虚拟组织服务器策略的管理过程，具体为：
步骤61：自治域2中自治域服务器602的向虚拟组织1中的虚拟组织服务器601发起加入请求，并将自治域服务器602中所存储自治域策略的部分公开信息发送给虚拟组织服务器601；
步骤62：虚拟组织1通过所述部分公开信息，对新加入自治域2的身份进行鉴别，如准入控制验证成功后，将向自治域3～5中的自治域服务器603～605发起协作策略更新和重新评估请求；
步骤63：自治域3～5通过对各自治域服务器603～605的自自治域策略的评估，返回评估结果。如果评估结果为每个自治域3～5都不存在冲突情形，则返回正确。如果存在且冲突处理策略是“协作优先”，则对存有该冲突自治域的自治域策略修改，直至评估成功。如果处理策略是“自治域优先”，则向虚拟组织服务器601报告该冲突具体在哪个自治域；
步骤64：虚拟组织服务器601在接收到包括自治域服务器603～605的每个自治域的返回消息后，如果接收到某个自治域的“自治域优先”冲突解决建议，虚拟组织根据预先配置决定是否对其自治域策略进行修改，如果修改则重复进入步骤2，如果验证虚拟组织协作策略是可信的，则全部自治域的安全性评估结果都成功，则通知包括自治域2加入成功。
在虚拟组织中，关于自治域的退出和更新等其他操作步骤都与上述过程是类似的，这里不再赘述。
进一步地，本实施例用于说明在虚拟组织构建成后，虚拟组织中用户在使用虚拟组织需对所述用户进行授权，可分为用户所在的起始自治域中的角色指派、虚拟组织服务器中的虚拟组织角色指派和目标自治域中的角色指派三个过程，具体为：
步骤71：用户向其所在起始自治域中的自治域服务器发送外部角色查询请求，自治域服务器将所述用户关联的所有开放角色集进行签名(其中自治域服务器签名信息用于虚拟组织服务器和目标自治域对每条映射策略链有效性进行验证)，形成信任证发送给用户；
步骤72：用户向虚拟组织服务器发送虚拟组织角色指派请求，虚拟组织服务器通过对虚拟组织协作策略的查询，为用户在虚拟组织所属的角色集进行签名，生成信任证发送给用户；
步骤73：对于虚拟组织的用户，起始自治域转发虚拟组织所属的角色给其内部的自治域服务器，由起始自治域的自治域服务器检查所述映射策略链的有效性，为用户指派目标自治域中的角色，并转发给目标自治域的自治域服务器，并由目标自治域的自治域服务器对用户进行授权，如果授权结果为允许，目标自治域将授权用户的资源请求，如果授权结果为拒绝或者不确定，目标自治域将拒绝用户的资源请求。
本实施例中提供了虚拟组织用户加入虚拟组织的相关授权协议对虚拟组织用户的可信度进行限定，提高了VO用户加入虚拟组织的授权效率。
最后应说明的是：以上实施例仅用以说明本发明的技术方案而非对其进行限制，尽管参照较佳实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对本发明的技术方案进行修改或者等同替换，而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。