張高明 沈慶國 蔡錦浦
【摘要】 通過在具體網(wǎng)絡(luò)環(huán)境中對模型進(jìn)行實(shí)例化,能夠描述異構(gòu)網(wǎng)絡(luò)中不同領(lǐng)域中的策略。我們在可擴(kuò)展策略模型的基礎(chǔ)上建立了一個(gè)圖形化的策略編輯器,簡化了策略的創(chuàng)建。
【關(guān)鍵詞】 基于策略的網(wǎng)絡(luò)管理 異構(gòu)網(wǎng)絡(luò) 可擴(kuò)展策略模型 策略創(chuàng)建
一、通信服務(wù)鏈概念和通信服務(wù)鏈中的策略
通信服務(wù)鏈中存在以下四種類型的策略。
安全策略:安全策略能夠用來規(guī)定一個(gè)用戶是否允許訪問特定的服務(wù)。同時(shí)也支持其它和安全相關(guān)的問題,例如授權(quán)和認(rèn)證。例如:工作時(shí)間禁止用戶A使用VoD業(yè)務(wù)。
SLA/SLO(Service Level Agreement/Service Level Objective):服務(wù)等級協(xié)定描述了用戶對會(huì)話質(zhì)量的要求,如端到端通信的保障帶寬、丟包率要求、時(shí)延和同時(shí)接入的會(huì)話數(shù)量等。例如:VoIP業(yè)務(wù)的丟包率小于1%且單向延遲不超過150ms
呈現(xiàn)服務(wù)策略:呈現(xiàn)服務(wù)策略規(guī)定誰被允許查看和修改用戶的個(gè)人信息。這些信息不僅包括靜態(tài)的信息如地址和電話號碼,也包括用戶的動(dòng)態(tài)數(shù)據(jù)如用戶的位置信息和用戶的狀態(tài)等。例如:禁止用戶A查看我的個(gè)人信息。
用戶個(gè)性化策略:用戶個(gè)性化服務(wù)策略允許終端用戶定制服務(wù)的功能。一個(gè)典型的例子就是呼叫轉(zhuǎn)移(電話、短消息或者電子郵件等)。在呼叫轉(zhuǎn)移中,用戶能夠規(guī)定在什么環(huán)境下進(jìn)行呼叫轉(zhuǎn)移并且規(guī)定呼叫轉(zhuǎn)移到哪里。例如:工作時(shí)間將打往家里的電話轉(zhuǎn)接到辦公室。
在通信服務(wù)鏈環(huán)境下有多種設(shè)備和多種服務(wù)需要管理,為了方便使用策略管理通信服務(wù)鏈中的各種服務(wù),必須有一種簡單的方法能夠創(chuàng)建各種類型的策略。為了解決這個(gè)問題,下文我們詳細(xì)描述了通用策略模型的建立,以及對模型的擴(kuò)展。
二、策略模型的建立
我們的策略模型分為下面3個(gè)部分:
通用策略模型:通用策略模型對策略相關(guān)的概念如策略、策略規(guī)則、策略組件等進(jìn)行了建模。
特定環(huán)境模型:為了使策略能夠應(yīng)用于特定的環(huán)境如安全或者QoS管理,通過引入特定環(huán)境的概念,我們對通用策略模型進(jìn)行了擴(kuò)展。例如,QoS管理的相關(guān)策略定義了和QoS管理相關(guān)的概念RSVP、PHB、setMark、shape和路由器等概念。
服務(wù)模型:通過明確地描述服務(wù)模型,策略能夠應(yīng)用于特定的服務(wù)。如果將服務(wù)模型中的概念映射到通用策略模型中去,策略管理員在創(chuàng)建策略的時(shí)候就能夠使用高層應(yīng)用的概念,如VoIP業(yè)務(wù)需求、服務(wù)提供商和終端用戶以及他們的屬性。
通用策略模型描述了不同領(lǐng)域中策略的通用屬性,同時(shí)為策略的定義提供了統(tǒng)一的規(guī)范。通過將特定領(lǐng)域和應(yīng)用的概念映射到通用策略模型中去,能夠描述不同類型的策略。下面給出了不同模型的詳細(xì)描述。
2.1通用策略模型
通用策略模型描述了策略中通用的概念,這些概念能夠被分成3類:
1、能夠用于策略中的信息;
2、策略的結(jié)構(gòu);
3、策略如何組成策略集。
如圖1所示的通用策略模型包含常見的策略概念,如主體、客體、動(dòng)作、條件和事件等。通過引入更加具體的策略條件的構(gòu)成對通用策略模型進(jìn)行擴(kuò)展,可滿足具體環(huán)境中策略表達(dá)要求,使得策略模型的擴(kuò)展能夠比較簡單的實(shí)現(xiàn)。我們也能夠通過支持動(dòng)作和策略的組合實(shí)現(xiàn)復(fù)雜策略的創(chuàng)建。
通用策略模型描述了策略的基本概念和相關(guān)結(jié)構(gòu),為策略描述提供了統(tǒng)一的定義規(guī)范,但是它并不能直接表達(dá)特定環(huán)境和應(yīng)用中的策略。為了在特定應(yīng)用環(huán)境下實(shí)現(xiàn)通用策略模型的擴(kuò)展,下面給出了特定環(huán)境的模型的描述。
2.2特定環(huán)境模型
由于通用策略模型只描述了策略的通用概念和策略的結(jié)構(gòu),它并不適合用于特定的環(huán)境中,如QoS管理和安全。通用策略模型中并沒有QoS管理的相關(guān)概念,如路由器、Delay、LossRate和SetBandWidth等。為了方便策略在特定的環(huán)境中的創(chuàng)建,我們建立了特定環(huán)境的模型,如圖2所示。本文中我們主要關(guān)注QoS的管理。
策略作用域:指某類業(yè)務(wù)策略所作用于的網(wǎng)絡(luò)元素的集合,包含實(shí)現(xiàn)策略功能的全體被管對象。因此,策略作用域指的是對某個(gè)服務(wù)進(jìn)行管控的,全體策略作用的網(wǎng)絡(luò)范圍,也就是說策略作用域是承載某個(gè)服務(wù)的網(wǎng)絡(luò)元素的集合[7]。需要注意的是,策略作用域并不是將若干被管對象封裝起來,而是類似于文件系統(tǒng),只是存儲(chǔ)了被管對象的引用。
策略作用域和網(wǎng)絡(luò)自治域有如下的區(qū)別:(1)網(wǎng)絡(luò)自治域是依靠組網(wǎng)管理權(quán)限劃分的,指的是某個(gè)網(wǎng)絡(luò)路由區(qū)域或某個(gè)物理連接區(qū)域內(nèi)的所有設(shè)備的集合,如某個(gè)局域網(wǎng);策略作用域是依靠業(yè)務(wù)劃分的,指的是實(shí)現(xiàn)某個(gè)業(yè)務(wù)的所有設(shè)備的集合,如執(zhí)行某個(gè)QoS業(yè)務(wù)的端到端的域;(2)網(wǎng)絡(luò)自治域可以包括一些網(wǎng)絡(luò)設(shè)備、服務(wù)器和主機(jī),策略作用域可能與網(wǎng)絡(luò)自治域相同,或者包含多個(gè)網(wǎng)絡(luò)自治域,也可能包含多個(gè)屬于不同自治域的服務(wù)器和主機(jī)。
在基于角色的訪問控制(RBAC,Role-Based Access Control)中,權(quán)限與角色相關(guān)聯(lián),用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限。在一個(gè)組織中,角色是為了完成各種工作而創(chuàng)造,用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角色,用戶能夠很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限,而權(quán)限也可以根據(jù)需要從某角色中回收。通過創(chuàng)建角色的概念,極大的簡化了訪問控制中權(quán)限的管理。通過建立域和角色的概念,極大的簡化了系統(tǒng)的管理。
2.3服務(wù)模型
為了能夠?qū)⒉呗詰?yīng)用于更多的服務(wù)中,我們需要對服務(wù)中和策略相關(guān)的概念進(jìn)行建模。如圖3所示,我們將服務(wù)中和策略相關(guān)的概念分為服務(wù)行為、服務(wù)對象、服務(wù)變量、服務(wù)事件和服務(wù)描述。
圖3中只給出了服務(wù)模型的一般組成,并沒有給出特定服務(wù)的擴(kuò)展,為了描述通信服務(wù)鏈中的各種服務(wù),需要對服務(wù)模型進(jìn)行擴(kuò)展。圖2所示的通信服務(wù)鏈場景中,存在多種業(yè)務(wù),如統(tǒng)一通信中能夠?qū)崿F(xiàn)VoIP業(yè)務(wù)、視頻會(huì)話業(yè)務(wù)、電子郵件和短信等。為了描述這些業(yè)務(wù),涉及到的服務(wù)的相關(guān)概念很復(fù)雜,需要根據(jù)具體的業(yè)務(wù)場景和業(yè)務(wù)需求進(jìn)行建模。圖4只給出了通信服務(wù)鏈場景中服務(wù)模型的簡單擴(kuò)展,并沒有畫出完整的模型。需要注意的是,在具體業(yè)務(wù)的管理中必須建立完備的服務(wù)模型。
通過將整個(gè)模型分為通用策略模型、特定環(huán)境模型和服務(wù)模型,不僅統(tǒng)一了策略的結(jié)構(gòu),同時(shí)詳細(xì)描述了目標(biāo)管理系統(tǒng)和應(yīng)用中的各種概念,這樣能夠很容易使用策略描述異構(gòu)環(huán)境中的各種管理需求。然而這種形式的策略并不適合終端用戶的使用,為了方便終端用戶的使用,我們需要一種易用的、圖形化的策略編輯工具。
三、總結(jié)
為了解決復(fù)雜、異構(gòu)網(wǎng)絡(luò)環(huán)境中難以使用策略管理的問題,我們創(chuàng)建了一種可擴(kuò)展的策略模型,使用該模型能夠方便的描述復(fù)雜環(huán)境中各種類型的策略。同時(shí)我們給出了一種圖形化的策略編輯器。模型分為三部分:通用策略模型、系統(tǒng)環(huán)境模型和服務(wù)模型,這三個(gè)模型統(tǒng)一了策略、系統(tǒng)環(huán)境和各種服務(wù)的描述?;诓呗阅P停Y(jié)合圖形化的策略編輯器,極大的簡化了異構(gòu)環(huán)境中策略的創(chuàng)建。雖然我們解決了策略表示的問題,但是使用策略進(jìn)行管理的過程中出現(xiàn)的如策略沖突、策略精化和策略部署的問題仍需要進(jìn)一步的研究。
參 考 文 獻(xiàn)
[1] IETF Policy Core Information Model(PCIM). http://www.ietf.org/rfc/rfc3060.txt
[2]OASIS eXtendible Access Control Markup Language(XACML). http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
[3]N. Damianou, N. Dulay, E. Lupu and M. Sloman. The Ponder Policy Specification Language. Workshop on Policies for Distributed Systems and Networks(Policy2001), Jan 2001.
[4]G. Maes and J. Marien. Service-Oriented Architecture: Orchestrating the OSDE. Jan 2006