雷登科，陳亮

（1.萍鄉(xiāng)廣播電視大學(xué)，江西 萍鄉(xiāng)337000；2.北京交通大學(xué)，北京100044）

隨著大量網(wǎng)絡(luò)技術(shù)的興起，有限的網(wǎng)絡(luò)資源變得越來越緊張.一方面，不同種類的網(wǎng)絡(luò)應(yīng)用會有不同的服務(wù)質(zhì)量要求，如視頻、音頻多媒體業(yè)務(wù)對時延、丟包率、抖動等有著嚴(yán)格的要求.另一方面，網(wǎng)絡(luò)中存在非授權(quán)使用和偷竊網(wǎng)絡(luò)資源的情況，如何保證合法用戶使用網(wǎng)絡(luò)資源也成為一個重要的網(wǎng)絡(luò)安全問題.要解決這些問題，需要一種對IP網(wǎng)絡(luò)的QoS進(jìn)行控制管理的認(rèn)證和安全機(jī)制[1-2].QoS不能制造帶寬，它只能在有限的網(wǎng)絡(luò)帶寬的基礎(chǔ)上，優(yōu)先保證一些級別比較高的應(yīng)用，而降低另外一些級別較低的應(yīng)用.為此，筆者介紹了QoS策略控制系統(tǒng)的工作原理，并對其核心部分-策略信息模型給出了大體設(shè)計方案，通過該模型可以完成對各種策略信息有效的存儲、查詢，從而在該模型的基礎(chǔ)上可以進(jìn)一步建立整個策略控制系統(tǒng).

1 QoS策略控制系統(tǒng)概述

一個典型的QoS策略控制系統(tǒng)如圖1所示.

圖1 QoS策略控制系統(tǒng)整體框架模型Fig.1 Theoverallframeworkofstrategiccontrolsystemmodel

策略控制系統(tǒng)的3個主要組成部分為策略決策者 (PDP)，策略執(zhí)行者 (PEP)，策略倉庫 (目錄服務(wù)器DS).策略執(zhí)行者一般位于網(wǎng)絡(luò)節(jié)點(diǎn)如路由器中，用于執(zhí)行策略決策者做出的決定；而策略決策者一般位于遠(yuǎn)程的策略服務(wù)器中，用來接收策略執(zhí)行者的請求，從策略倉庫中取出相應(yīng)的策略并返回給策略執(zhí)行者； 目錄服務(wù)器 (DS)，用于存儲具體的策略規(guī)則.圖1所示QoS策略控制系統(tǒng)的工作原理為:1）當(dāng)一個請求QoS的RSVP信令消息到達(dá)路由器后，RSVP模塊將該請求發(fā)送給PEP；2）PEP將該請求發(fā)送到遠(yuǎn)端的PDP，請求相應(yīng)的策略；3）PDP從策略倉庫中查找并取出策略返回給PEP，再由PEP將其轉(zhuǎn)發(fā)到RSVP模塊；4）RSVP模塊通知通信控制模塊 (Traffic control)，根據(jù)策略由數(shù)據(jù)包分類器(PC)和數(shù)據(jù)包調(diào)度器 (PS)對數(shù)據(jù)包進(jìn)行分類，并進(jìn)入具有不同優(yōu)先級的隊列中進(jìn)行發(fā)送.

通過該系統(tǒng)，具有高優(yōu)先級的用戶，如域內(nèi)用戶、實時性通信程序等可以獲得較高的QoS保證；而一般的用戶的通信質(zhì)量則會被降低或只能按傳統(tǒng)的盡最大努力方式進(jìn)行；非法用戶則會被拒絕.從而達(dá)到了管理IP網(wǎng)絡(luò)QoS以及控制網(wǎng)絡(luò)安全的目的.

目錄服務(wù)器是實現(xiàn)策略統(tǒng)一管理的基礎(chǔ)，用來存儲策略及其相關(guān)的各種信息，而策略又是整個策略控制系統(tǒng)運(yùn)行的核心，所以策略控制系統(tǒng)的核心技術(shù)就是如何將內(nèi)容眾多，形式多變的策略信息按照目錄服務(wù)的信息模型組織成一個靈活、高效的策略信息庫.要完成從普通的策略信息模型到基于LDAP目錄服務(wù)的信息模型的轉(zhuǎn)變則需要一個擴(kuò)展過程和一個映射過程：從普通的策略信息模型擴(kuò)展成為針對QoS的策略信息模型，從針對QoS的策略信息模型映射到基于LDAP目錄服務(wù)的QoS策略信息模型.

2 策略及策略信息模型

2.1 策略

策略即一些通過 “與”和 “或”連接的條件集合，當(dāng)值為真的時候就會采取一些措施.單獨(dú)使用的一條策略一般稱為策略規(guī)則，為了完成更為復(fù)雜的工作，策略還可以組合成為策略組，一些簡單的策略組還可以組合成為更復(fù)雜的策略組.策略組可以表示出對象之間的復(fù)雜的相互依賴關(guān)系，如一個用于應(yīng)用程序訪問的用戶登錄策略組就是用戶身份鑒別，網(wǎng)絡(luò)定位，登錄方法和時間等一系列策略的組合.

策略具有優(yōu)先級，其目的是為了方便在通用的策略中的個別特殊情況的策略應(yīng)用.例如，為一個組的成員發(fā)起的通信過程制定了一個通用的QoS策略，而該組中有一個特殊成員要求級別更高的服務(wù)質(zhì)量保證，于是又為該成員制定了一條優(yōu)先級更高的QoS策略，由于這2個策略對該成員都適用，但其優(yōu)先級不同，高優(yōu)先級的策略將被實施.策略有以下幾種類型：驅(qū)動型策略、配置型策略、使用型策略、安裝型策略、出錯和事件型策略、安全型策略、服務(wù)型策略.

2.2 角色

角色的概念是整個策略模型的核心所在.與集中管理網(wǎng)絡(luò)中眾多的資源不同，策略管理員把每個資源分配給一個或多個角色，然后指定施加于這些角色的策略，因此策略模型就可以通過執(zhí)行分配給角色的策略來管理和配置資源，從而減輕重復(fù)工作，便于管理.

角色是一種屬性，用于從眾多可用的策略中為網(wǎng)絡(luò)設(shè)備和節(jié)點(diǎn)選擇適合他們的一條或多條策略.角色又可以組合成為角色組合，它是一個屬性集，同樣用于在策略集合中選擇適用于網(wǎng)絡(luò)實體的策略子集，而這些正是角色和角色組合的主要功能所在.

例如定義了 3 個角色 “Ethernet”、“Campus”、“WAN”，在策略倉庫中有分別適用于角色“Ethernet”、“Campus”和“WAN”，角色組合“Campus”+“Ethernet”和“Ethernet”+“WAN”的策略，如果定義了一個具有角色組合 “Ethernet”+“WAN” 的節(jié)點(diǎn)A，那么將會有3種策略適用于它，即適用于角色“Ethernet”及“WAN”的策略，以及適用于策略組合“Ethernet”+“WAN”的策略.

角色組合還可以用來解決策略沖突.如在策略管理系統(tǒng)明確知道“Campus”和“WAN”這 2 個角色不能兼容，策略管理員可以為具有角色組合“Campus”+“Ethernet” 的節(jié)點(diǎn) A 和具有角色組合“Ethernet”+“WAN”的節(jié)點(diǎn) B 制定 2 套策略.當(dāng)發(fā)現(xiàn)角色組合“Campus”+“WAN”的時候，策略管理系統(tǒng)會把其標(biāo)記為錯誤.

2.3 策略信息模型

策略信息模型定義了2種對象類：一種為結(jié)構(gòu)類，用于表示及控制策略；另一種是關(guān)系類，指出了各個對象實例之間如何發(fā)生聯(lián)系.共有PolicyGroup、 PolicyRule、 Policycondition、 Policyaction、 PolicyRepository和PolicyTimePeriod-Condition等幾個主要的結(jié)構(gòu)類，每個類都有自己對應(yīng)的屬性.在信息模型中，對象實例之間的關(guān)系也被表示成類，稱為關(guān)系類.一個關(guān)系類通常聯(lián)系了2個類，它可以表示出這2個類之間的一對多、多對多的包含關(guān)系；有的關(guān)系類聯(lián)系的是同一個類，該關(guān)系類表示了它們之間的遞歸包含關(guān)系 ， 共 有 PolicyGroupInPolicyGroup、 PolicyRuleInPolicyGroup、 PolicyConditionInPolicyRule、PolicyActionInPolicyRule等幾個重要的關(guān)系類.

策略信息模型定義了高層的策略并引入了對各種類型的策略信息模型都適用的術(shù)語，它意在通過一系類的類和關(guān)系來得到一種對策略規(guī)則、策略組合、策略條件和行為等策略信息的通用表示方法，當(dāng)策略信息模型擴(kuò)展成其他的策略模型時，這些類和關(guān)系仍然可以使用，這極大地方便了互操作性.信息模型中不涉及具體的實現(xiàn)方式，實際使用中需要把具體的策略模型映射到使用LDAP存取的目錄中.

3 基于LDAP的QoS策略信息模型

QoS策略信息模型對普通的策略信息模型在很多方面進(jìn)行了許多擴(kuò)展，如擴(kuò)展了層次化的策略存儲倉庫的概念以滿足具體的QoS應(yīng)用，擴(kuò)展了可重用對象的概念，擴(kuò)展了策略規(guī)則的結(jié)構(gòu).另外，在QoS策略信息模型中還增加了許多普通的策略信息模型中沒有的概念，如在普通的策略信息模型中PolicyGroup是PolicyGroup及PolicyRules的容器，但這些策略規(guī)則只是簡單的集合，而不允許規(guī)則的嵌套，而擴(kuò)展了的信息模型中則允許規(guī)則的嵌套；在QoS策略信息模型中增加了策略執(zhí)行決定的概念，用于選擇策略執(zhí)行的先后順序；QoS策略信息模型中還定義了復(fù)合條件和預(yù)定義常量和變量；并對Policycondition、Policyaction在QoS應(yīng)用方面進(jìn)行了擴(kuò)展.

QoS策略信息模型和普通的策略信息模型都只是一個虛擬的信息模型，獨(dú)立于具體的策略存儲倉庫和訪問協(xié)議.只有依靠映射才能完成實際的應(yīng)用.我們可以將其映射成使用LDAP協(xié)議訪問的存儲在目錄中的信息模型.

在策略信息模型中包含2個系列的對象類：一是結(jié)構(gòu)類，另一個是關(guān)系類.而在LDAP目錄中有3種類：抽象類，結(jié)構(gòu)類，輔助類.要完成到LDAP模型的映射，需要在2種模型的對象類之間完成相應(yīng)的映射：對于結(jié)構(gòu)類及其所包含的屬性，只需要一對一的映射到LDAP類中即可；對于關(guān)系類，則有3種方法，即映射為LDAP的輔助類、映射為屬性DN來索引被關(guān)聯(lián)的對象、在目錄信息樹中利用子節(jié)點(diǎn)和父節(jié)點(diǎn)的關(guān)系來表示其包容關(guān)系.2種模型的類及屬性之間還有其他一些不同之處：在LDAP模型中屬性稱為 “attribute”， 而在普通信息模型中為 “property”； 在LDAP模型中類和屬性是以O(shè)ID標(biāo)識的，而在普通信息模型中是以名字標(biāo)識；在LDAP中屬性的定義是全局的，可以出現(xiàn)在許多類中，而在普通信息模型中一個屬性只能出現(xiàn)在一個類中，或者繼承到該類的子類中，但不會出現(xiàn)在其他類中.

LDAP的映射關(guān)系形成了一個嚴(yán)格的樹型結(jié)構(gòu)，一棵樹由代表各個對象實例的結(jié)點(diǎn)組成，有3種類型的結(jié)點(diǎn)：一個根結(jié)點(diǎn)root，葉子結(jié)點(diǎn)，非葉子結(jié)點(diǎn)；根節(jié)點(diǎn)有一個或多個分支結(jié)點(diǎn)，這些節(jié)點(diǎn)是葉子結(jié)點(diǎn)或非葉子結(jié)點(diǎn)，非葉子節(jié)點(diǎn)又可以包含其他的葉子節(jié)點(diǎn)和非葉子節(jié)點(diǎn).樹形結(jié)構(gòu)的一個特點(diǎn)就是包含：直接將被包含對象置于包含對象之下作為一個葉子節(jié)點(diǎn)或者將存儲于其他地方的對象通過在包含對象中用DN索引來間接包含.

一棵QoS策略信息模型樹通常是目錄信息樹的一個區(qū)域，它的根是qosPolicyGroup對象的一個實例，一般有2個分支，一個是可重用對象倉庫policyRepository，包括一些可以重用對象qosPolicyVariable、 qosPolicyValue、 qosPolicySimpleCondition、PolicyAction等的實例；另一個則是由一些策略規(guī)則組成的策略信息樹，它由一些qosPolicyDomain分支組成，每一個qosPolicyDomain分支代表了一個特定的管理域，如代表一個公司不同的部門，或代表執(zhí)行不同的功能，如用戶身份鑒定，網(wǎng)絡(luò)資源的分配等，它包含了一組qosNamedPolicyContainer對象的實例，他們是QoS策略的容器，包含具體的策略規(guī)則PolicyRule，這些策略有一個優(yōu)先級屬性，高優(yōu)先級的策略先執(zhí)行.PolicyRule又由PolicyCondition和PolicyAction組成.

4 在目錄信息樹中查找策略對象

當(dāng)策略決策者 (PDP)根據(jù)策略執(zhí)行者 (PEP)的請求從LDAP目錄中查找策略對象時，如何快速、有效地在目錄中找到所查詢策略所在子樹的入口點(diǎn)就成為一個主要的問題.在基于LDAP的QoS策略信息模型中采用了DN和輔助類的方法.如圖2所示，PDP開始得到了指向策略信息樹的某個入口點(diǎn)A的DN，A是一個結(jié)構(gòu)類，在A上附加了一個輔助類policySubtreesPtrAuxClass，該輔助類有一個多值的屬性policySubtreesAux-ContainedSet用于指向一系列包含相關(guān)策略信息的策略信息子樹的根節(jié)點(diǎn)，通過把該屬性附加到其他類的實例上，用戶可以很容易地找到目錄中的相關(guān)策略信息的入口點(diǎn).在此圖中該輔助類包含了指向2棵子樹的根節(jié)點(diǎn)C和D的DN.一旦PDP得到了這些DN，它將根據(jù)LDAP請求消息中的對象選擇標(biāo)準(zhǔn)來選擇策略對象.這些選擇標(biāo)準(zhǔn)常定義為 “object class=policy”的形式，因為所有代表策略規(guī)則，策略條件，策略行為等的類都是抽象類Policy的子類，所以對于這些類該選擇標(biāo)準(zhǔn)都為真值.特殊情況下，PDP要查找的不是策略對象，如IP地址等，這時可以用輔助類policyElement標(biāo)記入口點(diǎn)，以滿足 “object class=policy”形式的選擇標(biāo)準(zhǔn).有時PDP只需要策略對象的某個子集，這時可以用policyKeywords屬性來增加選擇標(biāo)準(zhǔn).

圖2 策略對象查找圖例Fig.2 Policy object search map

5 結(jié) 語

筆者給出了一個基于LDAP的QoS策略信息模型的大體框架設(shè)計方案，通過該模型可以有效的建立QoS策略控制系統(tǒng)，從而達(dá)到管理IP網(wǎng)絡(luò)QoS及實現(xiàn)網(wǎng)絡(luò)安全的目的.QoS和網(wǎng)絡(luò)安全是下一代網(wǎng)絡(luò)亟待解決的問題，而策略控制是解決這些問題的關(guān)鍵所在.盡管現(xiàn)有的策略信息及策略控制方面的技術(shù)還不成熟，但是隨著技術(shù)的不斷發(fā)展完善，策略控制必將展現(xiàn)出其強(qiáng)大的發(fā)展前景.

[1]楊海松，洪佩琳，李津生.IP網(wǎng)絡(luò)QoS策略信息存儲模型的研究[J].計算機(jī)工程，2002，11(11)：63-65.

[2]陳亮,梁滿貴,張宗軼.QoS策略控制在Windows 2000中的實現(xiàn)[J].現(xiàn)代電子技術(shù)，2006（2）：67-70.