利用本體建模和SWRL推理實現(xiàn)策略自動部署

黃寥若，沈慶國

(中國人民解放軍理工大學(xué)通信工程學(xué)院，江蘇 南京 210007)

0 引言

隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)業(yè)務(wù)的復(fù)雜性不斷提高，用戶對于網(wǎng)絡(luò)管理系統(tǒng)也不斷提出新的要求。為能夠適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)的不斷發(fā)展，要求網(wǎng)絡(luò)管理系統(tǒng)首先能夠適應(yīng)動態(tài)、復(fù)雜的網(wǎng)絡(luò)環(huán)境，其次在使用過程中要有一定的可靠性和便利性?；诓呗缘木W(wǎng)絡(luò)管理PBNM(Policy-Based Network Management)在一定程度上滿足了以上的要求。在PBNM系統(tǒng)中，通過制定相應(yīng)的策略，可使系統(tǒng)按照事先設(shè)定的條件，自動管理網(wǎng)絡(luò)設(shè)備的行為。在現(xiàn)有PBNM系統(tǒng)中，往往是由人將策略事先部署到網(wǎng)絡(luò)設(shè)備中，當(dāng)網(wǎng)絡(luò)環(huán)境發(fā)生變化時，這些設(shè)備策略可能無法得到及時的更新。

目前，對于如何進(jìn)行動態(tài)的策略更新和部署，相關(guān)研究還比較少。文獻(xiàn)[1]提出了一種結(jié)合本體技術(shù)和SWRL規(guī)則推理，以提高PBNM自動化的模型，但是對于如何進(jìn)行策略的自動部署，并未做深入研究。對于策略部署方面的研究，大多集中于如何利用COPS-PR協(xié)議的“pull”和“push”模式進(jìn)行策略分發(fā)，但是設(shè)備如何找到適合的策略，怎樣進(jìn)行正確的策略部署，這些問題并未涉及。

此外，之前已有部分學(xué)者將本體技術(shù)引入PBNM中，但是其主要研究的方面在于利用本體對策略進(jìn)行描述，文獻(xiàn)[2-4]提出了幾種利用本體進(jìn)行描述的方法，使得在異構(gòu)網(wǎng)絡(luò)中部署策略成為了可能，并且利用本體的語義描述能力，為策略的精華和沖突檢測提供可能。在文獻(xiàn)[11]中，提到了一種利用本體技術(shù)進(jìn)行策略沖突檢測的方法，如何利用本體技術(shù)和SWRL規(guī)則提高PBNM系統(tǒng)管理的自動化方面，還沒有更深入的研究成果。

為了進(jìn)一步提高基于策略網(wǎng)管系統(tǒng)的自動化水平，本文提出一種方法，將本體和 SWRL(Semantic Web Rule Language，語義Web規(guī)則描述語言)規(guī)則推理技術(shù)運用于網(wǎng)管系統(tǒng)中，對網(wǎng)絡(luò)元素進(jìn)行本體建模，并通過規(guī)則推理，使得管理系統(tǒng)可以感知網(wǎng)絡(luò)拓?fù)涞膭討B(tài)變化，推斷出相關(guān)設(shè)備應(yīng)用策略的改變，并自動地將已經(jīng)更新的策略部署到相關(guān)設(shè)備。

1 相關(guān)知識介紹

1.1 本體技術(shù)

利用本體對網(wǎng)絡(luò)元素建模是一種常用的方法。本體作為一種能夠進(jìn)行語義描述的模型，可以為PBNM系統(tǒng)提供一種明確的定義語義的方式，使得機(jī)器能夠“真正”理解網(wǎng)絡(luò)中各個元素和事件的含義。

本體是共享概念模型的明確的形式化規(guī)范說明，是一個含有豐富語義信息的對象描述模型。本體模型含有一系列的概念、關(guān)系、約束和規(guī)則，能夠?qū)σ粋€抽象的模型進(jìn)行精確的語義定義和功能描述。與XML等語義網(wǎng)描述語言不同的是，本體除了可以對對象進(jìn)行描述之外，還可以表示規(guī)則，通過規(guī)則來表示各個元素之間的隱含關(guān)系，并且通過規(guī)則的推理，得出新的概念或關(guān)系，將這些新的元素加入到本體之中，豐富了本體的表示，進(jìn)而可以解決更為復(fù)雜的問題[2]。

為了能夠使策略部署更加智能化和自動化，要求信息定義語言不僅具備準(zhǔn)確的語義描述能力，還要有一定的推理能力，以支持網(wǎng)絡(luò)環(huán)境的動態(tài)變化。基于以上考慮，本文使用的本體描述語言為OWL，它是由W3C Web本體工作組制定的，它的優(yōu)點在于具有豐富的對象描述能力，又能夠支持規(guī)則的推理[3]。

在本體中共有3類實體:(1)類(class):是具有相同特征的類或?qū)嵗募?，類可以具有子類或父類?2)實例(instance):一個類的實體。(3)屬性(attribute):兩個類之間或類與數(shù)據(jù)類型之間的關(guān)系。在OWL中，屬性主要有兩種類型:一種描述的是兩個對象之間的關(guān)系，稱為對象屬性;另一種描述的是一個對象和數(shù)據(jù)類型值之間的關(guān)系，稱為數(shù)據(jù)類型屬性。

1.2 SWRL 推理規(guī)則

雖然本體具有豐富的語義信息，并且支持規(guī)則的推理，但它本身并不具有推理的能力，為了實現(xiàn)這一功能，需要利用專門的推理語言，建立正確的推理規(guī)則。語義Web規(guī)則描述語言則為本體補(bǔ)充了這一功能。SWRL綜合了本體語言O(shè)WL和DataLog RuleML規(guī)則標(biāo)記語言，并在OWL的基礎(chǔ)上補(bǔ)充了規(guī)則定義的能力[4]。

SWRL定義的一條規(guī)則包括一個前提(antecedent)和一個結(jié)論(consequent)，其基本形式為:

antecedent→consequent

含義是:如果前提為true，則能夠得出結(jié)論。

利用OWL建立起本體知識庫，并用SWRL建立起推理規(guī)則庫之后，就能夠利用OWL豐富的表達(dá)能力和SWRL的推理能力，實現(xiàn)對象的精確描述和隱含信息的正確推理。

2 支持策略自動部署的系統(tǒng)設(shè)計

按照IETF的策略系統(tǒng)結(jié)構(gòu)，策略管理系統(tǒng)是由策略決策點PDP(Policy Decision Point)和策略執(zhí)行點PEP(Policy Enforcement Point)組成的。為了實現(xiàn)本文提出的方法，需要將本體知識庫和推理規(guī)則庫與PBNM集成起來，圖1表示的是整個系統(tǒng)的總體設(shè)計。其中Ontology Tool對策略和網(wǎng)絡(luò)元素進(jìn)行本體建模和推理，然后由擴(kuò)展 PonderTalk轉(zhuǎn)換、映射為OWL策略實例，將策略存入目錄服務(wù)器中，PDP通過LDAP訪問目錄服務(wù)器獲取相應(yīng)的策略，然后通過COPS-PR協(xié)議[5-6]分發(fā)給PEP代理，進(jìn)而PEP代理根據(jù)策略對PEP進(jìn)行管理。

圖1 系統(tǒng)總體設(shè)計

策略在網(wǎng)絡(luò)中作用的范圍稱為策略的作用域。通常情況下，當(dāng)策略作用域的情況發(fā)生變化時，就需要進(jìn)行策略更新。隨著網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜和無線網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)的環(huán)境不再是一成不變，而是在每時每刻動態(tài)變化。在基于策略的網(wǎng)絡(luò)管理系統(tǒng)中，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化時，如果仍然采用原先的策略，則可能導(dǎo)致策略沖突，甚至是網(wǎng)絡(luò)錯誤。為了避免上述情況的發(fā)生，要求設(shè)備能夠根據(jù)本體知識庫的內(nèi)容，動態(tài)地感知網(wǎng)絡(luò)拓?fù)涞淖兓⑼ㄟ^事先制定好的規(guī)則進(jìn)行策略推理，得出適合當(dāng)前情況的新策略。網(wǎng)絡(luò)拓?fù)涞淖兓钪庇^的就是路由表和IP地址的變化，為了使設(shè)備能夠準(zhǔn)確地感知網(wǎng)絡(luò)拓?fù)涞淖兓?，就要對網(wǎng)絡(luò)IP地址和設(shè)備路由表進(jìn)行本體建模。

可以通過對IP地址和路由表本體建模，按照編寫的SWRL規(guī)則進(jìn)行推理，得出設(shè)備在策略作用域中所處的位置，從而使系統(tǒng)能夠自動地找出適用的策略并進(jìn)行部署。為了能夠精確地描述網(wǎng)絡(luò)設(shè)備、策略、策略作用域之間的關(guān)系，不但需要對策略本身的結(jié)構(gòu)進(jìn)行本體描述，還需要對設(shè)備、IP地址等各個網(wǎng)絡(luò)元素以及它們之間的關(guān)系進(jìn)行完備的本體建模。

為了使系統(tǒng)能夠根據(jù)本體知識推理出正確的結(jié)果，還需要根據(jù)具體的應(yīng)用情況編寫推理規(guī)則庫。推理規(guī)則是一條根據(jù)條件推出結(jié)論的推斷式，通過檢查設(shè)備是否滿足條件，就能夠知道其在策略作用域中的位置以及起到的作用，進(jìn)而在數(shù)據(jù)庫中選擇合適的策略進(jìn)行部署。推斷出設(shè)備適用的策略之后，需要將設(shè)備的IP地址和設(shè)備的代理地址與策略關(guān)聯(lián)起來，這樣PDP就可以找到策略需要部署的PEP代理，而PEP代理也可以找到需要進(jìn)行管理的被管對象。

3 本體知識庫的建立

本體知識庫是實現(xiàn)設(shè)備動態(tài)感知網(wǎng)絡(luò)環(huán)境的基礎(chǔ)，它包含了網(wǎng)絡(luò)的拓?fù)湫畔?、設(shè)備信息、域間關(guān)系等內(nèi)容。在本文中，本體知識庫的建立參考了IETF的PCIM策略模型，并在此模型的基礎(chǔ)上進(jìn)行了擴(kuò)展。但與PCIM模型的區(qū)別在于，本文中的本體知識庫在對策略結(jié)構(gòu)進(jìn)行描述的基礎(chǔ)上，增加了對網(wǎng)絡(luò)元素之間關(guān)系的描述[7-8]。本文對策略的本體建模，參考了文獻(xiàn)[9]的PCIM模型，實質(zhì)上是對模型中的被管對象類進(jìn)行了細(xì)化，以便于推理策略作用域和被管對象的關(guān)系，以及策略和被管對象的關(guān)系。

3.1 本體建模的基本框架

本文的本體模型整體框架如圖2所示。

圖2 本體建?？蚣?/p>

為了表示被管對象和策略作用域之間的關(guān)系，要求對被管對象地址的網(wǎng)絡(luò)號或子網(wǎng)號進(jìn)行判斷，所以，要求對IP地址的每個部分進(jìn)行建模，每個IP地址類都有兩個部分:網(wǎng)絡(luò)前綴(網(wǎng)絡(luò)及子網(wǎng)號)和主機(jī)號。IP地址類和組件(ComponentsofAddress)之間是關(guān)聯(lián)關(guān)系[10]。

在對IP地址建模的基礎(chǔ)上，將路由表中的目的地址(Destination)、下一跳地址(NextHop)、本體地址(Address)進(jìn)行建模，它們均是IPAddress的實例。然后，還需要對路由表的條目進(jìn)行單獨建模，這是為了將目的地址和下一跳地址唯一地關(guān)聯(lián)起來。通過路由表建模，就可以使設(shè)備理解路由表，從而通過路由表中的信息，推理得到各個策略作用域之間的關(guān)系和設(shè)備與策略作用域之間的關(guān)系。如圖3所示。

3.2 推斷出的策略與設(shè)備地址和代理地址相關(guān)聯(lián)

當(dāng)推理過程結(jié)束，正確的策略已經(jīng)和被管對象建立關(guān)系，為了方便PDP和PEP進(jìn)行策略的傳遞和安裝，還需要將PEP代理的地址以及被管對象的地址與策略唯一地關(guān)聯(lián)起來。這樣，在進(jìn)行策略部署的時候，PDP和PEP就可以通過地址的查詢，找到正確的PEP代理和被管對象。如圖4所示。

圖4 策略與地址關(guān)聯(lián)

通過本體建模，當(dāng)一個設(shè)備新加入網(wǎng)絡(luò)，或在網(wǎng)絡(luò)中的位置發(fā)生變化時，系統(tǒng)就可以根據(jù)它的IP地址得到其具體位置，以及適用哪些策略，并且進(jìn)行更新和更改。

4 推理規(guī)則庫的建立

本體知識庫建立完畢之后，需要根據(jù)本體知識庫建立推理規(guī)則庫，編寫具體的推理規(guī)則。SWRL語言主要由4部分組成，分別為imp、built-in、atom和variable。在atom中包含了限制式，主要有以下4種形式:

其中使用的變量:?x、?y，是variable類別中的實例，這些變量均是本體中描述的對象。由于SWRL是建立在本體之上的，所以它能夠與本體描述語言很好地配合，充分利用本體中描述的對象和屬性來達(dá)到推理的目的。

4.1 推理被管對象與域之間的關(guān)系

在本文中認(rèn)為策略的作用域有兩種，一種是單域，它往往是一個網(wǎng)段或是一個主機(jī);另一種是復(fù)合域，它由多個單域組合而成，可以包含多個網(wǎng)段或主機(jī)，往往是指某個數(shù)據(jù)流流經(jīng)的范圍。

可以建立規(guī)則集:

其中IPAddressHasNetPrefix(?ad，?sn)可以用 IPAddressHasHostAddr(?ad，?sn)替代。則這一規(guī)則集中包含了兩條規(guī)則，可以推斷出一個被管對象是否包含在某個策略作用域中。

4.2 推理被管對象在域中的位置

在大多數(shù)情況下，不同位置的網(wǎng)絡(luò)設(shè)備在網(wǎng)絡(luò)管理系統(tǒng)中承擔(dān)著不同的功能，例如邊界路由器負(fù)責(zé)設(shè)置DSCP，而核心路由器負(fù)責(zé)分配帶寬和轉(zhuǎn)發(fā)等[11]。所以，為了知道某個設(shè)備適用哪一條策略，需要推理出設(shè)備在策略作用域中的位置。本文以路由器為例進(jìn)行說明。

(1)推斷路由器是邊界路由器。

以端到端流控策略為例:

規(guī)則表示的含義:如果一個設(shè)備在一個流控策略作用域中，而它的報文到策略源端或目的端可以直接發(fā)送的話，那么這個設(shè)備就是距該數(shù)據(jù)流發(fā)生點最近的設(shè)備，即為該策略作用域的邊界節(jié)點。

以訪問控制策略為例:

和

規(guī)則表示的含義:如果一個設(shè)備在一個訪問控制策略的作用域中，它下一跳可以到達(dá)另一個域，則它是這個域的邊界節(jié)點。

(2)推斷路由器是核心路由器。

規(guī)則表示的含義:如果一個節(jié)點不是策略作用域的邊界節(jié)點，則默認(rèn)其是核心節(jié)點。

4.3 由被管對象的位置推理適用的策略

本文假設(shè)，對于策略作用域的不同節(jié)點的策略已經(jīng)編寫完畢，并已存儲在策略庫中，則可以通過上文推出的位置，得到適用的策略。

規(guī)則表示的含義:在一個策略作用域中，一個被管對象所在的位置，與某條策略適用的位置，如果匹配，則該被管對象適用該策略。

4.4 將策略與PEP代理地址和MO地址關(guān)聯(lián)起來

為了在策略推理過程結(jié)束后，使PDP能夠?qū)⒉呗哉_地發(fā)送到PEP代理和MO，需要在前期IP地址建模的基礎(chǔ)上，將策略作用的MO地址及其代理的地址與策略唯一地關(guān)聯(lián)起來。

和

這樣每條策略都有其作用的設(shè)備地址和PEP代理地址了，需要注意的是，一條策略可以有多個對應(yīng)的設(shè)備地址和PEP代理地址。

5 實驗驗證

圖5為網(wǎng)絡(luò)實驗拓?fù)鋱D。

圖5 網(wǎng)絡(luò)實驗拓?fù)?/p>

現(xiàn)有數(shù)據(jù)流F1，從PC0到PC1，需要穿越自治域PolicyDomain1，包含R0、R1和R2。實驗系統(tǒng)中兩個PEP代理PEPagent0和PEPagent1，其中3個路由器均由PEPagent0負(fù)責(zé)管理。現(xiàn)有策略Policy_pd1負(fù)責(zé)管控該數(shù)據(jù)流，經(jīng)過策略精化后，得到底層策略Policy_pd1_edge和Policy_pd1_core分別作用于不同的路由器之上。本實驗需要驗證的是，當(dāng)網(wǎng)絡(luò)拓?fù)浒l(fā)生變化之后，不用管理員進(jìn)行配置，PEPagent0就可以自動更新策略，對路由器進(jìn)行控制。

在實驗中使用 Protégé 3.4.8 進(jìn)行本體建模(如圖6 所示)，并用 Jess 推理機(jī)進(jìn)行推理[4，12]。采用LDAP服務(wù)器存儲策略條目，使用Openlab for Windows 6.6.29。PDP和 PEP代理之間使用 COPS-PR協(xié)議進(jìn)行通信，本文在Eclipse 3.6.2中進(jìn)行編寫和運行。實線表示的為原先的網(wǎng)絡(luò)拓?fù)洌摼€表示的為變化后的網(wǎng)絡(luò)拓?fù)?。原先R2為PolicyDomain1的邊界節(jié)點，拓?fù)渥兓驲1從PolicyDomain1的核心節(jié)點變?yōu)檫吔绻?jié)點，需要重新部署策略。

圖6 Protégé本體建模

實驗的整個過程如下:

(1)首先需要在Protégé中進(jìn)行本體建模，形成ontobase.owl文件。

(2)PDP對owl文件進(jìn)行分析，將策略應(yīng)用的設(shè)備地址以及代理地址等信息從owl文件中提取出來，并進(jìn)行記錄。

(3)向LDAP數(shù)據(jù)庫存儲策略條目，并將策略適用的設(shè)備地址及代理地址作為一個屬性，編輯入策略條目。

(4)啟動 PDP上的 COPS-PR程序，運行 PolicyServer服務(wù)器。

(5)在PEPagent上設(shè)置PDP和所管各路由器的IP地址，然后啟動PolicyClient程序與PolicyServer服務(wù)器進(jìn)行連接，并委托服務(wù)器在LDAP數(shù)據(jù)庫中查詢相應(yīng)的策略條目，如果策略條目中的代理地址與自身地址匹配，則自動更新和安裝策略。

(6)當(dāng)拓?fù)浒l(fā)生變化后，R1和R2的路由表跟著發(fā)生變化，PEPagent0通過網(wǎng)管協(xié)議SNMP能自動采集到變化了路由表并上傳給PDP。

(7)PDP對owl文件進(jìn)行更新，然后推斷出Policy_pd1_edge和Policy_pd1_core策略有新的被管設(shè)備地址，并將這些變化情況通知PEPagent0，進(jìn)行設(shè)備策略更新。

在Eclipse中的Server端，如圖7所示。

圖7 實驗中Server端的運行結(jié)果

在Eclipse中的Client端，如圖8所示。

圖8 實驗中Client端的運行結(jié)果

通過實驗，可以看到PEPagent0成功地更新了策略，可以對相應(yīng)的設(shè)備進(jìn)行動態(tài)控制。

6 結(jié)束語

為了實現(xiàn)真正的策略自動部署，整個系統(tǒng)還有很多方面需要完善。本體知識庫還需要進(jìn)一步地深入研究，以便整個系統(tǒng)可以適應(yīng)更加復(fù)雜的網(wǎng)絡(luò)環(huán)境。此外，當(dāng)推理過程完畢之后，如何實現(xiàn)PDP與PEP代理之間的策略自動安裝和部署，還有很多細(xì)節(jié)的實現(xiàn)問題需要進(jìn)一步探討。

[1] Debao Xiao，Hui Xu.An Integration of ontology-based and policy-based network management for automation[C]//International Conference on Computational Intelligence for Modelling，Control and Automation，2006 and International Conference on Intelligent Agents，Web Technologies and Internet Commerce.2006:27.

[2] 林林.基于本體的語義Web服務(wù)QoS感知能力研究[D].北京 :北京郵電大學(xué)，2009.

[3] Uszok A，Bradshaw J M，Lott J，et al.New developments in ontology-based policy management:Increasing the practicality and comprehensiveness of KAoS[C]//IEEE Workshop on Policies for Distributed Systems and Networks 2008.2008:145-152.

[4] 紀(jì)兆輝，李存華.基于SWRL和Jess構(gòu)造語義Web規(guī)則及其對策分析[J].淮海工學(xué)院學(xué)報:自然科學(xué)版，2009，18(4):26-29.

[5] RFC 3084，COPS Usage for Policy Provisioning(COPSPR)[S].

[6] RFC 2748，The COPS(Common Open Policy Service)Protocol[S].

[7] Wang X H，Zhang D Q，Gu T，et al.Ontology based context modeling and reasoning using OWL[C]//Proceedings of the Second IEEE Annual Conference on Pervasive Computing and Communications Workshops，2004.2004:18-22.

[8] 沈海波.面向語義Web的基于語義和上下文的訪問控制模型[J].計算機(jī)應(yīng)用，2009，29(5):1289-1292..

[9] RFC 3060，Policy Core Information Model-Version 1 Specification[S].

[10] Hui Xu，Debao Xiao.A common ontology-based intelligent configuration management model for IP network devices[C]//First International Conference on Innovative Computing，Information and Control，2006.2006:385-388.

[11] 周捷.策略抽象模型及表示語言研究[D].南京:中國人民解放軍理工大學(xué)，2012.

[12] 陳布偉.面向語義Web服務(wù)的SWRL推理機(jī)制研究[D].大連:大連海事大學(xué)，2009.