張高明 沈慶國 蔡錦浦

【摘要】 通過在具體網(wǎng)絡(luò)環(huán)境中對模型進(jìn)行實(shí)例化，能夠描述異構(gòu)網(wǎng)絡(luò)中不同領(lǐng)域中的策略。我們在可擴(kuò)展策略模型的基礎(chǔ)上建立了一個(gè)圖形化的策略編輯器，簡化了策略的創(chuàng)建。

【關(guān)鍵詞】 基于策略的網(wǎng)絡(luò)管理 異構(gòu)網(wǎng)絡(luò) 可擴(kuò)展策略模型 策略創(chuàng)建

一、通信服務(wù)鏈概念和通信服務(wù)鏈中的策略

通信服務(wù)鏈中存在以下四種類型的策略。

安全策略：安全策略能夠用來規(guī)定一個(gè)用戶是否允許訪問特定的服務(wù)。同時(shí)也支持其它和安全相關(guān)的問題，例如授權(quán)和認(rèn)證。例如：工作時(shí)間禁止用戶A使用VoD業(yè)務(wù)。

SLA/SLO（Service Level Agreement/Service Level Objective）：服務(wù)等級協(xié)定描述了用戶對會(huì)話質(zhì)量的要求，如端到端通信的保障帶寬、丟包率要求、時(shí)延和同時(shí)接入的會(huì)話數(shù)量等。例如：VoIP業(yè)務(wù)的丟包率小于1%且單向延遲不超過150ms

呈現(xiàn)服務(wù)策略：呈現(xiàn)服務(wù)策略規(guī)定誰被允許查看和修改用戶的個(gè)人信息。這些信息不僅包括靜態(tài)的信息如地址和電話號碼，也包括用戶的動(dòng)態(tài)數(shù)據(jù)如用戶的位置信息和用戶的狀態(tài)等。例如：禁止用戶A查看我的個(gè)人信息。

用戶個(gè)性化策略：用戶個(gè)性化服務(wù)策略允許終端用戶定制服務(wù)的功能。一個(gè)典型的例子就是呼叫轉(zhuǎn)移（電話、短消息或者電子郵件等）。在呼叫轉(zhuǎn)移中，用戶能夠規(guī)定在什么環(huán)境下進(jìn)行呼叫轉(zhuǎn)移并且規(guī)定呼叫轉(zhuǎn)移到哪里。例如：工作時(shí)間將打往家里的電話轉(zhuǎn)接到辦公室。

在通信服務(wù)鏈環(huán)境下有多種設(shè)備和多種服務(wù)需要管理，為了方便使用策略管理通信服務(wù)鏈中的各種服務(wù)，必須有一種簡單的方法能夠創(chuàng)建各種類型的策略。為了解決這個(gè)問題，下文我們詳細(xì)描述了通用策略模型的建立，以及對模型的擴(kuò)展。

二、策略模型的建立

我們的策略模型分為下面3個(gè)部分：

通用策略模型：通用策略模型對策略相關(guān)的概念如策略、策略規(guī)則、策略組件等進(jìn)行了建模。

特定環(huán)境模型：為了使策略能夠應(yīng)用于特定的環(huán)境如安全或者QoS管理，通過引入特定環(huán)境的概念，我們對通用策略模型進(jìn)行了擴(kuò)展。例如，QoS管理的相關(guān)策略定義了和QoS管理相關(guān)的概念RSVP、PHB、setMark、shape和路由器等概念。

服務(wù)模型：通過明確地描述服務(wù)模型，策略能夠應(yīng)用于特定的服務(wù)。如果將服務(wù)模型中的概念映射到通用策略模型中去，策略管理員在創(chuàng)建策略的時(shí)候就能夠使用高層應(yīng)用的概念，如VoIP業(yè)務(wù)需求、服務(wù)提供商和終端用戶以及他們的屬性。

通用策略模型描述了不同領(lǐng)域中策略的通用屬性，同時(shí)為策略的定義提供了統(tǒng)一的規(guī)范。通過將特定領(lǐng)域和應(yīng)用的概念映射到通用策略模型中去，能夠描述不同類型的策略。下面給出了不同模型的詳細(xì)描述。

2.1通用策略模型

通用策略模型描述了策略中通用的概念，這些概念能夠被分成3類：

1、能夠用于策略中的信息；

2、策略的結(jié)構(gòu)；

3、策略如何組成策略集。

如圖1所示的通用策略模型包含常見的策略概念，如主體、客體、動(dòng)作、條件和事件等。通過引入更加具體的策略條件的構(gòu)成對通用策略模型進(jìn)行擴(kuò)展，可滿足具體環(huán)境中策略表達(dá)要求，使得策略模型的擴(kuò)展能夠比較簡單的實(shí)現(xiàn)。我們也能夠通過支持動(dòng)作和策略的組合實(shí)現(xiàn)復(fù)雜策略的創(chuàng)建。

通用策略模型描述了策略的基本概念和相關(guān)結(jié)構(gòu)，為策略描述提供了統(tǒng)一的定義規(guī)范，但是它并不能直接表達(dá)特定環(huán)境和應(yīng)用中的策略。為了在特定應(yīng)用環(huán)境下實(shí)現(xiàn)通用策略模型的擴(kuò)展，下面給出了特定環(huán)境的模型的描述。

2.2特定環(huán)境模型

由于通用策略模型只描述了策略的通用概念和策略的結(jié)構(gòu)，它并不適合用于特定的環(huán)境中，如QoS管理和安全。通用策略模型中并沒有QoS管理的相關(guān)概念，如路由器、Delay、LossRate和SetBandWidth等。為了方便策略在特定的環(huán)境中的創(chuàng)建，我們建立了特定環(huán)境的模型，如圖2所示。本文中我們主要關(guān)注QoS的管理。

策略作用域：指某類業(yè)務(wù)策略所作用于的網(wǎng)絡(luò)元素的集合，包含實(shí)現(xiàn)策略功能的全體被管對象。因此，策略作用域指的是對某個(gè)服務(wù)進(jìn)行管控的，全體策略作用的網(wǎng)絡(luò)范圍，也就是說策略作用域是承載某個(gè)服務(wù)的網(wǎng)絡(luò)元素的集合[7]。需要注意的是，策略作用域并不是將若干被管對象封裝起來，而是類似于文件系統(tǒng)，只是存儲(chǔ)了被管對象的引用。

策略作用域和網(wǎng)絡(luò)自治域有如下的區(qū)別：（1）網(wǎng)絡(luò)自治域是依靠組網(wǎng)管理權(quán)限劃分的，指的是某個(gè)網(wǎng)絡(luò)路由區(qū)域或某個(gè)物理連接區(qū)域內(nèi)的所有設(shè)備的集合，如某個(gè)局域網(wǎng)；策略作用域是依靠業(yè)務(wù)劃分的，指的是實(shí)現(xiàn)某個(gè)業(yè)務(wù)的所有設(shè)備的集合，如執(zhí)行某個(gè)QoS業(yè)務(wù)的端到端的域；（2）網(wǎng)絡(luò)自治域可以包括一些網(wǎng)絡(luò)設(shè)備、服務(wù)器和主機(jī)，策略作用域可能與網(wǎng)絡(luò)自治域相同，或者包含多個(gè)網(wǎng)絡(luò)自治域，也可能包含多個(gè)屬于不同自治域的服務(wù)器和主機(jī)。

在基于角色的訪問控制（RBAC，Role-Based Access Control）中，權(quán)限與角色相關(guān)聯(lián)，用戶通過成為適當(dāng)角色的成員而得到這些角色的權(quán)限。在一個(gè)組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責(zé)任和資格來被指派相應(yīng)的角色，用戶能夠很容易地從一個(gè)角色被指派到另一個(gè)角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權(quán)限，而權(quán)限也可以根據(jù)需要從某角色中回收。通過創(chuàng)建角色的概念，極大的簡化了訪問控制中權(quán)限的管理。通過建立域和角色的概念，極大的簡化了系統(tǒng)的管理。

2.3服務(wù)模型

為了能夠?qū)⒉呗詰?yīng)用于更多的服務(wù)中，我們需要對服務(wù)中和策略相關(guān)的概念進(jìn)行建模。如圖3所示，我們將服務(wù)中和策略相關(guān)的概念分為服務(wù)行為、服務(wù)對象、服務(wù)變量、服務(wù)事件和服務(wù)描述。

圖3中只給出了服務(wù)模型的一般組成，并沒有給出特定服務(wù)的擴(kuò)展，為了描述通信服務(wù)鏈中的各種服務(wù)，需要對服務(wù)模型進(jìn)行擴(kuò)展。圖2所示的通信服務(wù)鏈場景中，存在多種業(yè)務(wù)，如統(tǒng)一通信中能夠?qū)崿F(xiàn)VoIP業(yè)務(wù)、視頻會(huì)話業(yè)務(wù)、電子郵件和短信等。為了描述這些業(yè)務(wù)，涉及到的服務(wù)的相關(guān)概念很復(fù)雜，需要根據(jù)具體的業(yè)務(wù)場景和業(yè)務(wù)需求進(jìn)行建模。圖4只給出了通信服務(wù)鏈場景中服務(wù)模型的簡單擴(kuò)展，并沒有畫出完整的模型。需要注意的是，在具體業(yè)務(wù)的管理中必須建立完備的服務(wù)模型。

通過將整個(gè)模型分為通用策略模型、特定環(huán)境模型和服務(wù)模型，不僅統(tǒng)一了策略的結(jié)構(gòu)，同時(shí)詳細(xì)描述了目標(biāo)管理系統(tǒng)和應(yīng)用中的各種概念，這樣能夠很容易使用策略描述異構(gòu)環(huán)境中的各種管理需求。然而這種形式的策略并不適合終端用戶的使用，為了方便終端用戶的使用，我們需要一種易用的、圖形化的策略編輯工具。

三、總結(jié)

為了解決復(fù)雜、異構(gòu)網(wǎng)絡(luò)環(huán)境中難以使用策略管理的問題，我們創(chuàng)建了一種可擴(kuò)展的策略模型，使用該模型能夠方便的描述復(fù)雜環(huán)境中各種類型的策略。同時(shí)我們給出了一種圖形化的策略編輯器。模型分為三部分：通用策略模型、系統(tǒng)環(huán)境模型和服務(wù)模型，這三個(gè)模型統(tǒng)一了策略、系統(tǒng)環(huán)境和各種服務(wù)的描述?；诓呗阅Ｐ停Y(jié)合圖形化的策略編輯器，極大的簡化了異構(gòu)環(huán)境中策略的創(chuàng)建。雖然我們解決了策略表示的問題，但是使用策略進(jìn)行管理的過程中出現(xiàn)的如策略沖突、策略精化和策略部署的問題仍需要進(jìn)一步的研究。

參 考 文 獻(xiàn)

[1] IETF Policy Core Information Model（PCIM）. http：//www.ietf.org/rfc/rfc3060.txt

[2]OASIS eXtendible Access Control Markup Language（XACML）. http：//www.oasis-open.org/committees/tc_home.php？wg_abbrev=xacml

[3]N. Damianou， N. Dulay， E. Lupu and M. Sloman. The Ponder Policy Specification Language. Workshop on Policies for Distributed Systems and Networks（Policy2001）， Jan 2001.

[4]G. Maes and J. Marien. Service-Oriented Architecture： Orchestrating the OSDE. Jan 2006