專利名稱:基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及虛擬組織構(gòu)建技術(shù),特別涉及一種基于分布式策略驗(yàn)證的可 信虛擬組織構(gòu)建方法及裝置�����,屬于分布式計(jì)算和信息安全技術(shù)領(lǐng)域���。
背景技術(shù):
隨著當(dāng)今計(jì)算機(jī)技術(shù)的迅速發(fā)展,虛擬化(Virtualization)、軟件即服 務(wù)(Software as a Service )以及Web交互技術(shù)的發(fā)展��,對(duì)基于互聯(lián)網(wǎng)構(gòu)建 可信的網(wǎng)絡(luò)化軟件應(yīng)用系統(tǒng)提供了有效支撐�����,以不斷為用戶提供更多簡(jiǎn) 單���、透明方式而動(dòng)態(tài)獲取大規(guī)模計(jì)算和存儲(chǔ)服務(wù)能力。例如"云�����,,和"云計(jì)算" 就是一種典型的此類應(yīng)用模式。
所謂"云���,����,可理解為計(jì)算機(jī)群���,可包括幾十萬(wàn)臺(tái)���、甚至上百萬(wàn)臺(tái)計(jì)算機(jī)。 "云�,����,的好處在于��,其中的計(jì)算機(jī)可以隨時(shí)更新��。目前的"云"基本都為大型企 業(yè)所用�,例如亞馬遜(Amazon)的彈性計(jì)算服務(wù)(Elastic Compute Cloud , 簡(jiǎn)稱EC2)�、簡(jiǎn)單數(shù)據(jù)存儲(chǔ)服務(wù)(Simple Storage Service,簡(jiǎn)稱S3)、微軟 的云計(jì)算產(chǎn)品Windows Azure等�,都是構(gòu)建這樣的"云。
"云����,,是"云計(jì)算�,,的平臺(tái)���,即所謂"云計(jì)算"可理解為是基于"云"的計(jì)算�,更 進(jìn)一步地�����,是基于虛擬化���、軟件即服務(wù)以及Web交換等相關(guān)技術(shù)之上的新興 技術(shù)���。"云計(jì)算"帶來(lái)的是一種新的資源和軟件應(yīng)用嘗試,用戶只通過(guò)網(wǎng)絡(luò)并 借助瀏覽器就可以很方便的訪問(wèn)"云"�,把"云"做為資料存儲(chǔ)以及應(yīng)用服務(wù)的 中心。目前在擁有"云���,�����,的大型企業(yè)中�����,其用戶根據(jù)企業(yè)內(nèi)部"云"所進(jìn)行的"云 計(jì)算"具體為���,用戶所需的計(jì)算和存儲(chǔ)能力將轉(zhuǎn)移到企業(yè)內(nèi)部的整個(gè)局域網(wǎng) (所謂"云,��,)內(nèi)�,通過(guò)讓用戶所進(jìn)行的計(jì)算分布在大量的分布式計(jì)算機(jī)上����, 而非本地計(jì)算機(jī)或遠(yuǎn)程服務(wù)器中�����,從而使企業(yè)數(shù)據(jù)中心的運(yùn)行將更與互聯(lián)網(wǎng) 相似�����,進(jìn)而使得企業(yè)能夠?qū)①Y源切換到需要的應(yīng)用上�,根據(jù)需求訪問(wèn)計(jì)算機(jī)和存儲(chǔ)系統(tǒng)。
隨著硬件技術(shù)的不斷發(fā)展�,虛擬機(jī)的出現(xiàn)為企業(yè)內(nèi)部構(gòu)造"云,��,提供了便 利��。由于虛擬機(jī)本身具有良好的隔離性����、可監(jiān)控性和遷移性,保證了"云"中 單一計(jì)算機(jī)或單一系統(tǒng)節(jié)點(diǎn)安全性�����,然而對(duì)"云"從整體上進(jìn)行管理,則需要 面向虛擬機(jī)的安全策略來(lái)實(shí)現(xiàn)���。基于虛擬機(jī)的安全策略管理�,可有效地構(gòu)建
單一域(所述單一域涉及企業(yè)或?qū)W校等)內(nèi)的"云計(jì)算,���,平臺(tái)���,國(guó)內(nèi)外IT 公司如VMWare的產(chǎn)品VirtualCenter、 Microsoft的產(chǎn)品Hyper-V�、 RedHat 的系統(tǒng)OVirt等。然而���,隨著"云計(jì)算��,�,平臺(tái)中用戶應(yīng)用對(duì)計(jì)算能力需求的 伸縮性����,各個(gè)單一域所提供的自治域(可包括至少一個(gè)"云"),并不一定 能夠滿足用戶的需求�����。因此,發(fā)明人憑借在本領(lǐng)域從事多年研究工作的經(jīng) 驗(yàn)�,深刻認(rèn)識(shí)到構(gòu)建多個(gè)自治域形成VO( Virtual Organization,虛擬組織) 仍然是解決多個(gè)自治域間資源分享一種方法。例如當(dāng)某企業(yè)的自治域內(nèi)虛 擬資源不足時(shí)���,可以租用Amazon自治域的部分虛擬資源形成VO;或者 某網(wǎng)絡(luò)策略實(shí)驗(yàn)室為構(gòu)建多地理位置部署的系統(tǒng)���,需要租用處于不同地理位 置自治域提供商的虛擬資源,形成自己的VO��。但現(xiàn)有技術(shù)中��,在構(gòu)建VO時(shí) 存在以下缺陷
1. 自治域間的可聯(lián)合方面涉及到跨域資源分享�����,其虛擬資源的加入退 出往往較為頻繁����,在這種情形下,對(duì)VO構(gòu)建的效率提出挑戰(zhàn)��,如VOMS
(Virtual Organization Management Service,虛擬組織管理月良務(wù))、CAS (Central Authentication Service,中央認(rèn)證服務(wù))等VO管理系統(tǒng)需要預(yù)先指
派用戶加入VO,由于VO的構(gòu)建直接以用戶為基本模塊�,因此VO構(gòu)建的效
率不高。
2. 構(gòu)建VO的策略安全性方面由于自治域間的權(quán)限相互映射���,很容易導(dǎo) 致一個(gè)低級(jí)別用戶經(jīng)過(guò)映射回環(huán)享受一個(gè)高級(jí)別用戶權(quán)限����,破壞原有自治域 策略的安全性�。
3. VO運(yùn)行效率的可保障方面由于VO構(gòu)建涉及到策略定制�����、安全性驗(yàn) 證等多個(gè)過(guò)程��,確保最終使用VO的VO用戶授權(quán)的效率至關(guān)重要�����,針對(duì)該 問(wèn)題��,現(xiàn)有技術(shù)動(dòng)態(tài)信任鏈的構(gòu)造VO的方法中���,由于沒(méi)有相關(guān)的授權(quán)協(xié)議對(duì)vo用戶的可信度進(jìn)行限定�,因此vo用戶授權(quán)的效率相對(duì)較低��。
發(fā)明內(nèi)容
本發(fā)明的目的是提供一種基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法及裝置,針對(duì)現(xiàn)有技術(shù)虛擬組織構(gòu)建方法中虛擬組織構(gòu)建效率不高�����、起始 自治域的安全性存在隱患以及虛擬組織用戶授權(quán)效率較低的技術(shù)問(wèn)題����,以實(shí) 現(xiàn)快速、安全地構(gòu)建可信虛擬組織的目的��。
為實(shí)現(xiàn)上述目的�����,本發(fā)明提供了一種基于分布式策略驗(yàn)證的可信虛擬組
織構(gòu)建方法�����,其中包括
通過(guò)虛擬組織服務(wù)器���,建立起始自治域與目標(biāo)自治域之間的映射策略���, 并存儲(chǔ)所述映射策略,所述虛擬組織服務(wù)器包括于所述起始自治域或目標(biāo)自 治域中;
根據(jù)所述映射策略�����、起始自治域策略�����、虛擬組織服務(wù)器策略和目標(biāo)自治 域策略����,定制虛擬組織協(xié)作策略;
根據(jù)虛擬組織協(xié)作策略有效規(guī)則�����,分布驗(yàn)證所述虛擬組織協(xié)作策略是否 可信��,若是�����,則根據(jù)所述虛擬組織協(xié)作策略��,構(gòu)建可信虛擬組織�����。
進(jìn)一步地�����,本發(fā)明提供了 一種基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建 裝置�����,其中包括
映射策略模塊�,用于通過(guò)虛擬組織服務(wù)器,建立起始自治域與目標(biāo)自治 域之間的映射策略��,并存儲(chǔ)所述映射策略�����;
定制模塊�,連接于所述映射策略模塊,用于根據(jù)所述映射策略����、起始自 治域策略、虛擬組織服務(wù)器策略和目標(biāo)自治域策略����,定制虛擬組織協(xié)作策略����;
分布驗(yàn)證模塊��,連接于所述定制模塊���,用于根據(jù)虛擬組織協(xié)作策略有效 規(guī)則��,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信���;
構(gòu)建模塊,連接于所述分布驗(yàn)證^t塊���,用于若分布驗(yàn)證所述虛擬組織協(xié) 作策略為可信,則根據(jù)所述虛擬組織協(xié)作策略�����,構(gòu)建可信虛擬組織���。
由以上技術(shù)方案可知��,本發(fā)明所提供的基于分布式策略驗(yàn)證的可信虛擬 組織構(gòu)建方法及裝置��,提供了一種基于分布式策略驗(yàn)證的虛擬組織構(gòu)建方式���,通過(guò)分布驗(yàn)證虛擬組織協(xié)作策略是否可信���,若是則根據(jù)所述虛擬組織協(xié)作策 略,構(gòu)建虛擬組織的4支術(shù)方案��,針對(duì)現(xiàn)有技術(shù)虛擬組織構(gòu)建方法中虛擬組織 構(gòu)建效率不高�、起始自治域的安全性存在隱患的技術(shù)問(wèn)題,實(shí)現(xiàn)了快速��、安 全地構(gòu)建可信虛擬組織的目的�。
圖1為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法的流程圖2為本發(fā)明自治域構(gòu)成可信虛擬組織的結(jié)構(gòu)示意圖3為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置的結(jié)構(gòu)示意
圖4為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置中映射策略 模塊的結(jié)構(gòu)示意圖5為本發(fā)明可信虛擬組織結(jié)構(gòu)示意圖6為可信虛擬組織各服務(wù)器分配結(jié)構(gòu)示意圖。
具體實(shí)施例方式
下面通過(guò)附圖和實(shí)施例��,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�����。 圖1為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法的流程圖��。
如圖1所示����,該方法包括
101�、通過(guò)虛擬組織服務(wù)器���,建立起始自治域與目標(biāo)自治域之間的映射策
略����,并存儲(chǔ)所述映射策略����,所述虛擬組織服務(wù)器包括于所述起始自治域或目
標(biāo)自治域中;
結(jié)合如圖2為本發(fā)明自治域構(gòu)成虛擬組織的結(jié)構(gòu)示意圖所示�,可信虛擬 組織4的結(jié)構(gòu)中包括起始自治域1 、目標(biāo)自治域2和虛擬組織服務(wù)器(Virtual Organization Server, VOS)3�,其中,虛擬組織服務(wù)器3可由起始自治域1和 目標(biāo)自治域2協(xié)商選定或由起始自治域1主動(dòng)選取自治域中的某臺(tái)服務(wù)器���,在 本實(shí)施例中虛擬組織服務(wù)器3可為包括于起始自治域1中的某臺(tái)服務(wù)器��。進(jìn)一 步地,起始自治域1包括角色R^和Ra2,角色Ra2£ RA1 ( £表示角色層次繼承關(guān)系)����,具體為起始自治域策略H,,其中角色與權(quán)限是相關(guān)聯(lián)的����,表示 如果一個(gè)用戶屬于角色R^的成員����,則自動(dòng)被指派角色RA2的所有權(quán)限; 目標(biāo)自治域2包括角色RB1和RB2�,角色RB2^RB1,具體為目標(biāo)自治域策略H:, 同理表示如果一個(gè)用戶屬于角色Rm的成員�����,則自動(dòng)被指派角色Rb2的所 有權(quán)限����;虛擬組織服務(wù)器3包括角色Rvm和Rvo2,角色RV02^RV01,具體為 虛擬組織服務(wù)器策略Hv���。����,同理表示如果一個(gè)用戶屬于角色Rvo2的成員�, 則自動(dòng)被指派角色RvcM的所有權(quán)限。以建立角色RAi和Rsi之間的映射策略 為例�,具體地�����,通過(guò)所述R^和Rm之間的映射策略為基于角色分級(jí)映射策略�, 首先建立一級(jí)映射策略mvo���,具體地建立起始自治域1中指定角色RA1至虛 擬組織服務(wù)器3中指定角色RvcM的一級(jí)映射策略mi�,并存儲(chǔ)于所述虛擬組 織服務(wù)器3;接著建立二級(jí)映射策略mi,具體地建立虛擬組織服務(wù)器3中指 定角色RV01至目標(biāo)自治域2中指定角色RB1的二級(jí)映射策略mi���,并存儲(chǔ)于 起始自治域l中�����;根據(jù)所述一級(jí)映射策略im和二級(jí)映射策略mi,建立起始 自治域1中指定角色RA1至目標(biāo)自治域2中指定角色RB1的基于角色分級(jí)映 射策略,可表示為映射策略鏈(n^, mi )�?���?赏ㄟ^(guò)上述以建立角色Ra!和Rb, 之間的映射策略為例,建立起始自治域1和目標(biāo)自治域2中所有角色的映射 策略��,相應(yīng)地角色權(quán)限也被相應(yīng)的進(jìn)行了繼承��;
102、 根據(jù)所述映射策略�����、起始自治域策略���、虛擬組織服務(wù)器策略和目標(biāo) 自治域策略,定制虛擬組織協(xié)作策略���;
根據(jù)所述一級(jí)映射策略mi和二級(jí)映射策略mi���、起始自治域策略H。虛 擬組織服務(wù)器策略Hv��。和目標(biāo)自治域策略H〖�����,定制虛擬組織協(xié)作策略�;
103、 根據(jù)虛擬組織協(xié)作策略有效規(guī)則��,分布驗(yàn)證所述虛擬組織協(xié)作策略 是否可信�,若是,則根據(jù)所述虛擬組織協(xié)作策略,構(gòu)建可信虛擬組織�;
所述虛擬組織協(xié)作策略有效規(guī)則包括第一規(guī)則和第二規(guī)則;再如圖2所 示�����,以映射策略鏈(mi����, mi)為例,
所述第一規(guī)則為��,在起始自治域l與目標(biāo)自治域2之間的映射策略中�����,映 射策略鏈(mp mi)包括至少一個(gè)虛擬組織服務(wù)器3中指定角色RV()1�����,且包
10括一個(gè)所述起始自治域1中指定角色R^和一個(gè)所述目標(biāo)自治域中指定角色
Rbi;
所述第二規(guī)則為��,指定角色R^�����、 Rb,和Rvcm包括于所述起始自治域1、 虛擬組織服務(wù)器3與目標(biāo)自治域2所構(gòu)成的閉包集合內(nèi)����,且不存在起始自治 域1中指定角色RA1至目標(biāo)自治域2指定角色RB1的直接映射策略;
所述第一規(guī)則和第二規(guī)則����,避免了如圖2所示的目標(biāo)自治域2中���,原本 角色Rb^Rim的角色層次繼承關(guān)系��,被多次映射策^(guò)g^后變?yōu)镽B1^RB2,在實(shí) 際情況中���,常常表現(xiàn)為在目標(biāo)自治域2端, 一個(gè)屬于角色RB1的低級(jí)別權(quán)限 用戶通過(guò)自治域2與虛擬組織服務(wù)器3之間的多次角色轉(zhuǎn)換�����,最終在目標(biāo)自 治域2中獲得高級(jí)別角色RM才能訪問(wèn)的權(quán)限�����,從而對(duì)目標(biāo)自治域2的安全性 造成潛在威脅�,具體地,另一個(gè)一級(jí)映射策略m3為角色RV022RB2 (其中m, 和m3統(tǒng)一表示為mi),再通過(guò)角色Rvo^Rvo2和角色RB15 RV01的映射策
略�����,就會(huì)映射策略出RB12RB2,進(jìn)一步地Rvo2有RB2的權(quán)限��,Rvm有Rvo2的
權(quán)限����,Rw有Rv(m的權(quán)限,因此RB2就擁有Rw的權(quán)限���,原因在于�,另一個(gè)一 級(jí)映射策略m3與nii構(gòu)不成一完整的映射策略鏈���,同時(shí)也沒(méi)就有遵循在第一 規(guī)則中一映射策略鏈需包括一個(gè)所述起始自治域1中指定角色和一個(gè)目標(biāo)自 治域2指定角色的規(guī)定����。對(duì)于原本Rw擁有RB2的正常角色層次繼承關(guān)系����,導(dǎo) 致了目標(biāo)自治域2中角色層次繼承關(guān)系的混亂,威脅了目標(biāo)自治域2的安全 性�;
根據(jù)所述第一規(guī)則和第二規(guī)則�����,對(duì)每個(gè)基于角色分級(jí)映射策略建立的映 射策略鏈進(jìn)行驗(yàn)證是否可信�,而不是等所有的映射策略鏈都建立完了再去驗(yàn) 證���,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信�,隨著所有關(guān)于角色和權(quán)限關(guān) 系的映射策略鏈的建立完成�,可信虛擬組織即構(gòu)建完成���。
關(guān)于分布驗(yàn)證所述虛擬組織協(xié)作策略的具體方法�,可通過(guò)以下步驟來(lái)實(shí)
現(xiàn)
步驟ll�、根據(jù)虛擬組織服務(wù)器策略Hv。�,采用Warshall算法獲取虛擬組 織服務(wù)器閉包集合H;。���, 一般虛擬組織服務(wù)器閉包集合只有一個(gè)��;步驟12��、根據(jù)起始自治域策略Hp采用Warshall算法獲取起始自治域 閉包集合H:, —般起始自治域閉包集合也只有一個(gè)��;
步驟13��、根據(jù)目標(biāo)自治域策略H��。采用Warshall算法獲取目標(biāo)自治域
閉包集合H〖+���,由于目標(biāo)自治域一般會(huì)有多個(gè)�,因此H〖+, k=n�,對(duì)應(yīng)的會(huì)存
在多個(gè)目標(biāo)自治域閉包集合;
步驟14�����、根據(jù)所述起始自治域閉包集合H:���、目標(biāo)自治域閉包集合Hf ��、
虛擬組織服務(wù)器閉包集合H:�。����、 一級(jí)映射策略的統(tǒng)一表示mvo和二級(jí)映射策略
mi,生成映射策略全集S;
步驟15、判斷所述映射策略全集中是否有違反所述第一規(guī)則和/或第二 規(guī)則的映射策略鏈,若有�,則所述虛擬組織協(xié)作策略為不可信�。
違反所述第一規(guī)則的映射策略鏈����,包括至少一個(gè)所述虛擬組織服務(wù)器 中指定角色,且包括一個(gè)所述起始自治域中指定角色和另一個(gè)所述起始自 治域中指定角色���;或者��,包括至少一個(gè)所述虛擬組織服務(wù)器中指定角色�,且 包括一個(gè)所述目標(biāo)自治域中指定角色和另一個(gè)所述起始自治域中指定角 色����,這種情況稱之為存在隱式?jīng)_突策略��;
違反所述第二規(guī)則的映射策略鏈包括所述起始自治域中指定角色��, 不通過(guò)所述虛擬組織服務(wù)器中指定角色��,直接映射至所述目標(biāo)自治域中指 定角色����,這種情況稱之為存在顯示沖突策略;
判斷所述映射策略全集中是否存在隱式?jīng)_突策略和/或顯示沖突策略�, 若是���,則所述虛擬組織協(xié)作策略為不可信。
在實(shí)際應(yīng)用中����,根據(jù)以上方法,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可 信子程序的具體編程方式為 Policy—Evaluation 0
H:��。= Warshall(Hv�。); 〃采用Warshall算法獲取虛擬組織服務(wù)器閉包集合H:�����。 H〖=Warshall(H,); 〃采用Warshall算法獲取起始自治域策略的閉包集合H〖 for (int k=l; k<=n; k++)if(k!=i){= Warshall(H�。; } 〃采用Warehall算法獲取所有目標(biāo)自治域閉包集
S = (UJ^H^ .mv��。 .HJ����。 .H「); 〃根據(jù)所述起始自治域閉包集合H〖��、目標(biāo)自治域閉包集合Hr ��、虛擬組織服務(wù)器閉包集合H:。����、 一級(jí)映射策略的統(tǒng)一表示mvo和二級(jí)映射策略mi,生成映射策略全集S
if(SnFj! = 0) { return false; }〃存在顯式?jīng)_突策略,F(xiàn)j為根據(jù)目標(biāo)
自治域所定制的不能進(jìn)行角色映射的集合
if ((r,r) eS && r eR!)) {return false;} 〃若存在如圖2中(m3�����、 m2 )的映射策略回環(huán)����,則存在隱式?jīng)_突策略
return true;
本實(shí)施例所提供的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法,通過(guò)分布驗(yàn)證虛擬組織協(xié)作策略是否可信���,若是則根據(jù)所述虛擬組織協(xié)作策略�,構(gòu)建虛擬組織的技術(shù)方案�,針對(duì)現(xiàn)有技術(shù)虛擬組織構(gòu)建方法中虛擬組織構(gòu)建效率不高��、起始自治域的安全性存在隱患的技術(shù)問(wèn)題�,實(shí)現(xiàn)了快速、安全地構(gòu)建可信虛擬組織的目的��。
圖3為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置的結(jié)構(gòu)示意圖�����。如圖3所示,本實(shí)施例所提供的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置包括映射策略模塊301,定制模塊302����,分布驗(yàn)證模塊303和構(gòu)建模塊304。其中映射策略模塊301通過(guò)虛擬組織服務(wù)器���,建立起始自治域與目標(biāo)自治域之間的映射策略�,并存儲(chǔ)所述映射策略���;定制模塊302連接于映射策略模塊301,根據(jù)所述映射策略��、起始自治域策略���、虛擬組織服務(wù)器策略和目標(biāo)自治域策略,定制虛擬組織協(xié)作策略���;分布驗(yàn)證模塊303連接于定制模塊302���,根據(jù)虛擬組織協(xié)作策略有效規(guī)則,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信;構(gòu)建模塊304連接于分布驗(yàn)證模塊303���,若分布驗(yàn)證所述虛擬組織協(xié)作策略為可信���,則根據(jù)所述虛擬組織協(xié)作策略,構(gòu)建可信虛擬組織��。進(jìn)一步地�����,如圖4為本發(fā)明基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置中映射策略模塊301的結(jié)構(gòu)示意圖所示����,映射策略模塊301包括一級(jí)映射策略單元401、 二級(jí)映射策略單元402和分級(jí)映射策略單元403�����。其中��,一級(jí)映射策略單元401建立起始自治域中指定角色至虛擬組織服務(wù)器中指定角色的一級(jí)映射策略��,并存儲(chǔ)于所述虛擬組織服務(wù)器���;二級(jí)映射策略單元402建立所述虛擬組織服務(wù)器中指定角色至目標(biāo)自治域中指定角色的映射策略二級(jí)映射策略���,并存儲(chǔ)于起始自治域;分級(jí)映射策略單元403分別連接于一級(jí)映射策略單元401和二級(jí)映射策略單元402�,并根據(jù)所述一級(jí)映射策略和二級(jí)映射策略,建立所述起始自治域中指定角色至所述目標(biāo)自治域中指定角色的基于角色分級(jí)映射策略��。
這里需說(shuō)明的是���,本實(shí)施例基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置對(duì)可信虛擬組織構(gòu)建的具體方法�����,如上述基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法實(shí)施例中的具體描述所述�����,這里不再贅述����。
本實(shí)施例所提供的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置����,利用分布驗(yàn)證模塊分布驗(yàn)證虛擬組織協(xié)作策略是否可信,若是,則根據(jù)所述虛擬組織協(xié)作策略�����,通過(guò)構(gòu)建模塊構(gòu)建可信虛擬組織的技術(shù)方案�,針對(duì)現(xiàn)有技術(shù)虛擬組織構(gòu)建方法中虛擬組織構(gòu)建效率不高、起始自治域的安全性存在隱患的技術(shù)問(wèn)題��,實(shí)現(xiàn)了快速���、安全地構(gòu)建可信虛擬組織的目的�����。
圖5為本發(fā)明可信虛擬組織結(jié)構(gòu)示意圖���。如圖5所示,虛擬組織結(jié)構(gòu)主要包括虛擬組織管理裝置501和虛擬組織運(yùn)維裝置502,其中���,
虛擬組織管理裝置501用于為管理員提供操作數(shù)據(jù)庫(kù)的接入點(diǎn)�����,封裝對(duì)數(shù)據(jù)庫(kù)操作的命令��,以及用戶權(quán)限的管理���;對(duì)管理者角色、用戶角色的驗(yàn)證����,并實(shí)現(xiàn)虛擬組織的創(chuàng)建、虛擬組織的策略配置����、用戶管理、角色管理和權(quán)限管理���,并根據(jù)不同虛擬組織的創(chuàng)建需求��,為不同的虛擬組織生成不同的數(shù)據(jù)庫(kù)�;執(zhí)行服務(wù)進(jìn)程����,以提供讀取虛擬組織數(shù)據(jù)庫(kù)的操作,并在用戶發(fā)送查詢或獲取指令時(shí)���,為用戶提供查詢接口���。
虛擬組織運(yùn)維裝置502用于提供屬性證書請(qǐng)求�、代理證書創(chuàng)建等命令行工具�,以供資源請(qǐng)求者根據(jù)應(yīng)用需求生成所述資源請(qǐng)求者所需的屬性證書;供資源提供者使用�,提供對(duì)資源請(qǐng)求者屬性證書、能力證書的驗(yàn)證�,并執(zhí)行授權(quán)強(qiáng)制和決策。
進(jìn)一步地����,虛擬組織管理裝置501包括門戶模塊5011、配置服務(wù)模塊5012和運(yùn)行服務(wù)模塊5013���。其中���,門戶模塊5011用于為管理員提供操作數(shù)據(jù)庫(kù)的接入點(diǎn),封裝對(duì)數(shù)據(jù)庫(kù)操作的命令���,以及用戶權(quán)限的管理��;配置服務(wù)模塊5012��,連接門戶模塊5011,用于對(duì)管理者角色�、用戶角色的驗(yàn)證,并實(shí)現(xiàn)虛擬組織的創(chuàng)建�、虛擬組織的策略配置、用戶管理�、角色管理和權(quán)限管理,并根據(jù)不同虛擬組織的創(chuàng)建需求�,為不同的虛擬組織生成不同的數(shù)據(jù)庫(kù)�;運(yùn)行服務(wù)模塊5013,連接配置服務(wù)模塊5012,用于執(zhí)行服務(wù)進(jìn)程��,以提供讀取虛擬組織數(shù)據(jù)庫(kù)的操作�,并在用戶發(fā)送查詢或獲取指令時(shí),為用戶提供查詢接口����。
再進(jìn)一步地,虛擬組織運(yùn)維裝置502包括起始自治域5021和目標(biāo)自治域5022��,其中�����,起始自治域5021與運(yùn)行服務(wù)模塊5013連接�,用于提供屬性證書請(qǐng)求、代理證書創(chuàng)建等命令行工具���,以供資源請(qǐng)求者根據(jù)應(yīng)用需求生成所述資源請(qǐng)求者所需的屬性證書�;目標(biāo)自治域5022,屬于加入虛擬組織的一個(gè)自治域,用于供資源提供者使用��,提供對(duì)資源請(qǐng)求者屬性證書����、能力證書的驗(yàn)證,并執(zhí)行授權(quán)強(qiáng)制和決策����。
結(jié)合虛擬組織結(jié)構(gòu),該虛擬組織的運(yùn)行過(guò)程具體為
在虛擬組織管理裝置501側(cè)
步驟51����、管理員或虛擬組織用戶通過(guò)門戶模塊5011登錄,輸入用戶的身份信息�����,所述身份信息包括用戶名���、密碼和驗(yàn)證碼���,或采用身份證書登
錄�����;
步驟52�����、通過(guò)配置服務(wù)模塊5012將用戶輸入的身份信息與數(shù)據(jù)庫(kù)中用戶的密碼散列對(duì)比�,或者通過(guò)https協(xié)議實(shí)現(xiàn)對(duì)用戶的身份證書驗(yàn)證��,以生成驗(yàn)證信息��,并將保存到交互的會(huì)話中�����;
步驟53�、若所述驗(yàn)證信息為通過(guò)狀態(tài)�,配置服務(wù)模塊5012接收來(lái)至門戶模塊5011的操作指令,并實(shí)現(xiàn)不同虛擬組織數(shù)據(jù)庫(kù)的創(chuàng)建��、刪除和配置等操作���,其中在配置服務(wù)模塊5012的配置操作中�����,主要包括用戶的加入和退出���、用戶組和角色的建立和銷毀��、以及用戶與組/角色的映射策略指派操作�。
在虛擬組織管理裝置502側(cè)
步驟54����、用戶通過(guò)起始自治域5021首先基于GSS-API安全會(huì)話與運(yùn)行服務(wù)模塊5013通過(guò)雙向的身份鑒別,建立安全會(huì)話的上下文���,并配置屬性證書獲取參數(shù)信息表�,指定需要獲取角色類型的證書等��;
步驟55�����、運(yùn)行服務(wù)模塊5013服務(wù)讀取用戶起始自治域的請(qǐng)求指令�,并查詢指定虛擬組織數(shù)據(jù)庫(kù)的信息,根據(jù)需求返回用戶所需的屬性信息(經(jīng)過(guò)運(yùn)行服務(wù)模塊5013根證書簽名);
步驟56����、起始自治域5021向目標(biāo)自治域5022發(fā)起資源請(qǐng)求訪問(wèn),與目標(biāo)自治域5022建立安全會(huì)話���,并攜帶所請(qǐng)求虛擬組織的屬性證書���;
步驟57、目標(biāo)自治域5022驗(yàn)證起始自治域的身份屬性信息����,并根據(jù)本地的安全策略對(duì)資源訪問(wèn)請(qǐng)求作出最終授權(quán)。
本實(shí)施例提供了虛擬組織結(jié)構(gòu)�����,對(duì)基于分布式策略驗(yàn)證構(gòu)建起的虛擬組織�����,通過(guò)其自身包括的虛擬組織管理裝置和虛擬組織運(yùn)維裝置���,實(shí)現(xiàn)了對(duì)整個(gè)虛擬組織的運(yùn)行,具備安全和運(yùn)行效率高的特點(diǎn)。
在虛擬組織構(gòu)建成后���,其虛擬組織管理生命周期內(nèi)�,從組織建立到任務(wù)執(zhí)行����,虛擬組織協(xié)作策略、各個(gè)自治域的一級(jí)映射策略都隨時(shí)變化�,而且自治域也會(huì)隨時(shí)加入或退出,這些變化都會(huì)引起對(duì)虛擬組織協(xié)作策略是否可信的重新評(píng)估�。結(jié)合如圖6為可信虛擬組織各服務(wù)器分配結(jié)構(gòu)示意圖所示,本實(shí)施例以包括自治域服務(wù)器602的自治域2加入基于分布式策略驗(yàn)證構(gòu)建起的虛擬組織1背景�,說(shuō)明虛擬組織對(duì)虛擬組織協(xié)作策略中自治域策略和虛擬組織服務(wù)器策略的管理過(guò)程,具體為
步驟61:自治域2中自治域服務(wù)器602的向虛擬組織1中的虛擬組織服務(wù)器601發(fā)起加入請(qǐng)求����,并將自治域服務(wù)器602中所存儲(chǔ)自治域策略的部分公開(kāi)信息發(fā)送給虛擬組織服務(wù)器601;
步驟62:虛擬組織l通過(guò)所述部分公開(kāi)信息,對(duì)新加入自治域2的身份進(jìn)行鑒別���,如準(zhǔn)入控制驗(yàn)證成功后�,將向自治域3~5中的自治域服務(wù)器
16603-605發(fā)起協(xié)作策略更新和重新評(píng)估請(qǐng)求�����;
步驟63:自治域3~5通過(guò)對(duì)各自治域服務(wù)器603-605的自自治域策略的評(píng)估,返回評(píng)估結(jié)果�����。如果評(píng)估結(jié)果為每個(gè)自治域3 5都不存在沖突情形�����,則返回正確�。如果存在且沖突處理策略是"協(xié)作優(yōu)先",則對(duì)存有該沖突自治域的自治域策略修改��,直至評(píng)估成功��。如果處理策略是"自治域優(yōu)先"����,則向虛擬組織服務(wù)器601報(bào)告該沖突具體在哪個(gè)自治域;
步驟64:虛擬組織服務(wù)器601在接收到包括自治域服務(wù)器603 605的每個(gè)自治域的返回消息后�����,如果接收到某個(gè)自治域的"自治域優(yōu)先"沖突解決建議����,虛擬組織根據(jù)預(yù)先配置決定是否對(duì)其自治域策略進(jìn)行修改,如果修改則重復(fù)進(jìn)入步驟2�,如果驗(yàn)證虛擬組織協(xié)作策略是可信的,則全部自治域的安全性評(píng)估結(jié)果都成功�����,則通知包括自治域2加入成功����。
在虛擬組織中,關(guān)于自治域的退出和更新等其他操作步驟都與上述過(guò)程是類似的�����,這里不再贅述����。
進(jìn)一步地,本實(shí)施例用于說(shuō)明在虛擬組織構(gòu)建成后����,虛擬組織中用戶在使用虛擬組織需對(duì)所述用戶進(jìn)行授權(quán),可分為用戶所在的起始自治域中的角色指派��、虛擬組織服務(wù)器中的虛擬組織角色指派和目標(biāo)自治域中的角色指派三個(gè)過(guò)程�����,具體為
步驟71:用戶向其所在起始自治域中的自治域服務(wù)器發(fā)送外部角色查詢請(qǐng)求,自治域服務(wù)器將所述用戶關(guān)聯(lián)的所有開(kāi)放角色集進(jìn)行簽名(其中自治域服務(wù)器簽名信息用于虛擬組織服務(wù)器和目標(biāo)自治域?qū)γ織l映射策略鏈有效性進(jìn)行驗(yàn)證)�,形成信任證發(fā)送給用戶;
步驟72:用戶向虛擬組織服務(wù)器發(fā)送虛擬組織角色指派請(qǐng)求��,虛擬組織服務(wù)器通過(guò)對(duì)虛擬組織協(xié)作策略的查詢����,為用戶在虛擬組織所屬的角色集進(jìn)行簽名,生成信任證發(fā)送給用戶�;
步驟73:對(duì)于虛擬組織的用戶,起始自治域轉(zhuǎn)發(fā)虛擬組織所屬的角色給其內(nèi)部的自治域服務(wù)器���,由起始自治域的自治域服務(wù)器檢查所述映射策
略鏈的有效性����,為用戶指派目標(biāo)自治域中的角色�����,并轉(zhuǎn)發(fā)給目標(biāo)自治域的自治域服務(wù)器�,并由目標(biāo)自治域的自治域服務(wù)器對(duì)用戶進(jìn)行授權(quán)��,如果授權(quán)結(jié)果為允許,目標(biāo)自治域?qū)⑹跈?quán)用戶的資源請(qǐng)求�,如果授權(quán)結(jié)果為拒絕或者不確定,目標(biāo)自治域?qū)⒕芙^用戶的資源請(qǐng)求��。
本實(shí)施例中提供了虛擬組織用戶加入虛擬組織的相關(guān)授權(quán)協(xié)議對(duì)虛擬
組織用戶的可信度進(jìn)行限定��,提高了 vo用戶加入虛擬組織的授權(quán)效率����。
最后應(yīng)說(shuō)明的是以上實(shí)施例僅用以說(shuō)明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制,盡管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說(shuō)明�,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)本發(fā)明的技術(shù)方案進(jìn)行修改或者等同替換,而這些修改或者等同替換亦不能使修改后的技術(shù)方案脫離本發(fā)明技術(shù)方案的精神和范圍��。
權(quán)利要求
1���、一種基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法���,其特征在于,包括通過(guò)虛擬組織服務(wù)器��,建立起始自治域與目標(biāo)自治域之間的映射策略��,并存儲(chǔ)所述映射策略���,所述虛擬組織服務(wù)器包括于所述起始自治域或目標(biāo)自治域中��;根據(jù)所述映射策略�、起始自治域策略、虛擬組織服務(wù)器策略和目標(biāo)自治域策略����,定制虛擬組織協(xié)作策略;根據(jù)虛擬組織協(xié)作策略有效規(guī)則�,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信,若是���,則根據(jù)所述虛擬組織協(xié)作策略��,構(gòu)建可信虛擬組織���。
2、 根據(jù)權(quán)利要求1所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法�����,其特征在于�����,通過(guò)虛擬組織服務(wù)器,建立起始自治域與目標(biāo)自治域之間 的映射策略���,并存儲(chǔ)所述映射策略,包括所述映射策略為基于角色分級(jí)映射策略�����,包括一級(jí)映射策略和二級(jí)映射 策略���;建立起始自治域中指定角色至虛擬組織服務(wù)器中指定角色的一級(jí)映射 策略���,并存儲(chǔ)于所述虛擬組織服務(wù)器;建立所述虛擬組織服務(wù)器中指定角色至目標(biāo)自治域中指定角色的二級(jí) 映射策略��,并存儲(chǔ)于起始自治域�;根據(jù)所述一級(jí)映射策略和二級(jí)映射策略,建立所述起始自治域中指定 角色至所述目標(biāo)自治域中指定角色的基于角色分級(jí)映射策略�。
3、 根據(jù)權(quán)利要求2所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法��,其特征在于����,根據(jù)所述映射策略����、起始自治域策略�、虛擬組織服務(wù)器策 略和目標(biāo)自治域策略,定制虛擬組織協(xié)作策略�����,包括所述起始自治域策略包括起始自治域角色層次繼承關(guān)系��; 所述虛擬組織服務(wù)器策略包括虛擬組織服務(wù)器角色層次繼承關(guān)系�����;所述目標(biāo)自治域策略包括目標(biāo)自治域角色層次繼承關(guān)系���; 根據(jù)所述一級(jí)映射策略��、二級(jí)映射策略��、起始自治域角色層次繼承關(guān)系����、虛擬組織服務(wù)器角色層次繼承關(guān)系和目標(biāo)自治域角色層次繼承關(guān)系,定制虛擬組織協(xié)作策略��。
4��、 根據(jù)權(quán)利要求2所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法�����,其特征在于�,根據(jù)虛擬組織協(xié)作策略有效規(guī)則�,分布驗(yàn)證所述虛擬組織 協(xié)作策略是否可信,包括所述虛擬組織協(xié)作策略有效規(guī)則包括第 一規(guī)則和第二規(guī)則�����;所述第一規(guī)則為���,在所述起始自治域與目標(biāo)自治域之間的映射策略中�����, 其一條映射策略鏈包括至少一個(gè)所述虛擬組織服務(wù)器中指定角色��,且包括一 個(gè)所述起始自治域中指定角色和一個(gè)所述目標(biāo)自治域中指定角色�;所述第二規(guī)則為,所述指定角色包括于所述起始自治域��、虛擬組織服務(wù) 器與目標(biāo)自治域所構(gòu)成的閉包集合����,且不存在所述起始自治域中指定角色至 所述目標(biāo)自治域中指定角色的直接映射策略;根據(jù)所述第一規(guī)則和第二規(guī)則�,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信。
5����、 根據(jù)權(quán)利要求2所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法,其特征在于����,所述分布驗(yàn)證所述虛擬組織協(xié)作策略包括根據(jù)虛擬組織服務(wù)器策略,采用Warshall算法獲取虛擬組織服務(wù)器閉包 集合����;根據(jù)起始自治域策略,采用Warshall算法獲取起始自治域閉包集合����; 根據(jù)目標(biāo)自治域策略,采用Warshall算法獲取目標(biāo)自治域閉包集合�����; 根據(jù)所述起始自治域閉包集合、目標(biāo)自治域閉包集合�����、虛擬組織服務(wù)器閉包集合��、 一級(jí)映射策略和二級(jí)映射策略����,生成映射策略全集��;判斷所述映射策略全集中是否有違反所述第一規(guī)則和/或第二規(guī)則的映射策略鏈��,若有���,則所述虛擬組織協(xié)作策略為不可信�。
6�����、 根據(jù)權(quán)利要求4所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法�,其特征在于�,違反所述第一規(guī)則的映射策略鏈���,包括至少一個(gè)所述虛擬組織服務(wù)器中指定角色�,且包括一個(gè)所述起始自治域 中指定角色和另一個(gè)所述起始自治域中指定角色�;或者,包括至少一個(gè)所述虛擬組織服務(wù)器中指定角色���,且包括一個(gè)所述 目標(biāo)自治域中指定角色和另一個(gè)所述起始自治域中指定角色���。
7、 根據(jù)權(quán)利要求4所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方 法����,其特征在于,違反所述第二規(guī)則的映射策略鏈包括所述起始自治域中指定角色���,不通過(guò)所述虛擬組織服務(wù)器中指定角色���, 直接映射至所述目標(biāo)自治域中指定角色。
8���、 一種基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝置����,其特征在于,包括映射策略模塊���,用于通過(guò)虛擬組織服務(wù)器�����,建立起始自治域與目標(biāo)自治 域之間的映射策略�����,并存儲(chǔ)所迷映射策略��;定制模塊��,連接于所述映射策略模塊,用于根據(jù)所述映射策略�����、起始自 治域策略����、虛擬組織服務(wù)器策略和目標(biāo)自治域策略���,定制虛擬組織協(xié)作策略;分布驗(yàn)證模塊����,連接于所述定制模塊,用于根據(jù)虛擬組織協(xié)作策略有效 規(guī)則�,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信;構(gòu)建模塊����,連接于所述分布驗(yàn)證模塊,用于若分布驗(yàn)證所述虛擬組織協(xié) 作策略為可信����,則4艮據(jù)所述虛擬組織協(xié)作策略,構(gòu)建可信虛擬組織��。
9�、 根據(jù)權(quán)利要求8所述的基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建裝 置,其特征在于�����,所述映射策略模塊包括一級(jí)映射策略單元��,用于建立起始自治域中指定角色至虛擬組織服務(wù)器 中指定角色的一級(jí)映射策略,并存儲(chǔ)于所述虛擬組織服務(wù)器���;二級(jí)映射策略單元�,用于建立所述虛擬組織服務(wù)器中指定角色至目標(biāo)自 治域中指定角色的二級(jí)映射策略���,并存儲(chǔ)于起始自治域����;分級(jí)映射策略單元��,分別連接于所述一級(jí)映射策略單元和二級(jí)映射策 略單元��,用于根據(jù)所述映射策略一級(jí)映射策略和映射策略二級(jí)映射策略����,建 立所述起始自治域中指定角色至所述目標(biāo)自治域中指定角色的基于角色分 級(jí)映射策略。
全文摘要
本發(fā)明公開(kāi)了一種基于分布式策略驗(yàn)證的可信虛擬組織構(gòu)建方法及裝置����,其中該方法包括通過(guò)虛擬組織服務(wù)器�,建立起始自治域與目標(biāo)自治域之間的映射策略,并存儲(chǔ)所述映射策略��,所述虛擬組織服務(wù)器包括于所述起始自治域或目標(biāo)自治域中;根據(jù)所述映射策略��、起始自治域策略�����、虛擬組織服務(wù)器策略和目標(biāo)自治域策略�����,定制虛擬組織協(xié)作策略����;根據(jù)虛擬組織協(xié)作策略有效規(guī)則,分布驗(yàn)證所述虛擬組織協(xié)作策略是否可信�,若是,則根據(jù)所述虛擬組織協(xié)作策略��,構(gòu)建可信虛擬組織�。本發(fā)明所提供的技術(shù)方案,針對(duì)現(xiàn)有技術(shù)虛擬組織構(gòu)建方法中存在構(gòu)建效率不高����、且虛擬組織協(xié)作策略存在安全性隱患的問(wèn)題,實(shí)現(xiàn)了快速、安全地構(gòu)建可信虛擬組織的目的���。
文檔編號(hào)G06F15/16GK101594386SQ20091008798
公開(kāi)日2009年12月2日 申請(qǐng)日期2009年6月29日 優(yōu)先權(quán)日2009年6月29日
發(fā)明者超 劉, 懷進(jìn)鵬, 李建欣, 沃天宇, 胡春明 申請(qǐng)人:北京航空航天大學(xué)