如何提供网格授权和访问控制解决方案以适应网格虚拟组织的自治性、动态性，是网格安全研究领域所面临的关键挑战。网格授权和访问控制包含了如下方面的问题，即自治前提下虚拟组织的访问控制模型、多自治域之间信任关系的建立、网格实体策略的隐私保护、虚拟组织的动态适应性。　　为在保证自治的前提下实现虚拟组织的访问控制，结合基于角色的访问控制模型，提出一种三层次的网格多域互操作模型。通过“功能组件”实现了虚拟组织应用逻辑层（虚拟组织层）访问控制和自治组织域层访问控制的分离，屏蔽了自治域的访问控制策略的变化对应用逻辑层的影响;各自治域具有对局部权限分派以及全局权限委托的控制权，而应用逻辑层的策略根据实际网格应用的具体情况指定应用逻辑方面的约束。　　访问控制的前提是授权，而授权实际上是建立一种信任关系。多自治域信任关系的建立是虚拟组织访问控制的前提。基于逻辑程序的方法，提出基于分布式DatalogC的策略表达方法，该方法具有丰富的规则表达能力。并提出基于角色的网格信任管理机制，组织域可以制定角色分派策略和角色撤销策略对其它自治域进行角色分派和角色撤销。另外，提出了两种规则评估机制，以便网格实体根据规则评估引擎的返回结果做出访问控制决策。　　基于属性的访问控制机制是无相互信任关系的网格实体之间建立信任的普遍方式，而另一方面，在某些情况下需要解决的一个关键问题是如何保护实体的访问控制策略或者证书隐私性。提出两种隐私保护方案，其一是利用“基于身份的加密”机制，提出基于IBE加密方案的隐私保护机制，该方案可以解决证书的“属性敏感”和“拥有敏感”问题，并且可以实现策略的“完全的策略不可辨别性”;其二是利用“双方安全函数计算”机制，提出基于安全函数计算的隐私保护机制，该方案可以解决证书属性值的“属性敏感”问题，且可以解决策略的属性值和属性组合关系的隐私性问题。　　虚拟组织的动态性对授权和访问控制机制提出了挑战。提出了基于身份的GDH签名方案，并在此基础上提出了基于身份的门限签名方案，该方案利用门限签名的思想，使得签名需要由多个签名份额进行组合才能产生。基于这种门限签名方案提出了联合授权管理机制，并详细阐述了模板策略、授权策略和投票策略模型，以及授权获取协议、撤销协议、安全交互协议。联合授权管理机制可以适应虚拟组织的动态性、自治性需求，同时可以保证授权信息的隐私性，且具有良好的可扩展性。