[发明专利]基于分布式策略验证的可信虚拟组织构建方法及装置

说明书

技术领域

本发明涉及虚拟组织构建技术，特别涉及一种基于分布式策略验证的可 信虚拟组织构建方法及装置，属于分布式计算和信息安全技术领域。

背景技术

随着当今计算机技术的迅速发展，虚拟化(Virtualization)、软件即服 务(Software as a Service)以及Web交互技术的发展，对基于互联网构建 可信的网络化软件应用系统提供了有效支撑，以不断为用户提供更多简 单、透明方式而动态获取大规模计算和存储服务能力。例如“云”和“云计算” 就是一种典型的此类应用模式。

所谓“云”可理解为计算机群，可包括几十万台、甚至上百万台计算机。 “云”的好处在于，其中的计算机可以随时更新。目前的“云”基本都为大型企 业所用，例如亚马逊(Amazon)的弹性计算服务(Elastic Compute Cloud， 简称EC2)、简单数据存储服务(Simple Storage Service，简称S3)、微软 的云计算产品Windows Azure等，都是构建这样的“云。

“云”是“云计算”的平台，即所谓“云计算”可理解为是基于“云”的计算，更 进一步地，是基于虚拟化、软件即服务以及Web交换等相关技术之上的新兴 技术。“云计算”带来的是一种新的资源和软件应用尝试，用户只通过网络并 借助浏览器就可以很方便的访问“云”，把“云”做为资料存储以及应用服务的 中心。目前在拥有“云”的大型企业中，其用户根据企业内部“云”所进行的“云 计算”具体为，用户所需的计算和存储能力将转移到企业内部的整个局域网 (所谓“云”)内，通过让用户所进行的计算分布在大量的分布式计算机上， 而非本地计算机或远程服务器中，从而使企业数据中心的运行将更与互联网 相似，进而使得企业能够将资源切换到需要的应用上，根据需求访问计算机 和存储系统。

随着硬件技术的不断发展，虚拟机的出现为企业内部构造“云”提供了便 利。由于虚拟机本身具有良好的隔离性、可监控性和迁移性，保证了“云”中 单一计算机或单一系统节点安全性，然而对“云”从整体上进行管理，则需要 面向虚拟机的安全策略来实现。基于虚拟机的安全策略管理，可有效地构建 单一域(所述单一域涉及企业或学校等)内的“云计算”平台，国内外IT 公司如VMWare的产品VirtualCenter、Microsoft的产品Hyper-V、RedHat 的系统OVirt等。然而，随着“云计算”平台中用户应用对计算能力需求的 伸缩性，各个单一域所提供的自治域(可包括至少一个“云”)，并不一定 能够满足用户的需求。因此，发明人凭借在本领域从事多年研究工作的经 验，深刻认识到构建多个自治域形成VO(Virtual Organization，虚拟组织) 仍然是解决多个自治域间资源分享一种方法。例如当某企业的自治域内虚 拟资源不足时，可以租用Amazon自治域的部分虚拟资源形成VO；或者 某网络策略实验室为构建多地理位置部署的系统，需要租用处于不同地理位 置自治域提供商的虚拟资源，形成自己的VO。但现有技术中，在构建VO时 存在以下缺陷：

1.自治域间的可联合方面：涉及到跨域资源分享，其虚拟资源的加入退 出往往较为频繁，在这种情形下，对VO构建的效率提出挑战，如VOMS (Virtual Organization Management Service，虚拟组织管理服务)、CAS (Central Authentication Service，中央认证服务)等VO管理系统需要预先指 派用户加入VO，由于VO的构建直接以用户为基本模块，因此VO构建的效 率不高。

2.构建VO的策略安全性方面：由于自治域间的权限相互映射，很容易导 致一个低级别用户经过映射回环享受一个高级别用户权限，破坏原有自治域 策略的安全性。

3.VO运行效率的可保障方面：由于VO构建涉及到策略定制、安全性验 证等多个过程，确保最终使用VO的VO用户授权的效率至关重要，针对该 问题，现有技术动态信任链的构造VO的方法中，由于没有相关的授权协议 对VO用户的可信度进行限定，因此VO用户授权的效率相对较低。

发明内容

本发明的目的是提供一种基于分布式策略验证的可信虚拟组织构建方 法及装置，针对现有技术虚拟组织构建方法中虚拟组织构建效率不高、起始 自治域的安全性存在隐患以及虚拟组织用户授权效率较低的技术问题，以实 现快速、安全地构建可信虚拟组织的目的。