張高明 沈慶國 蔡錦浦

【摘要】 通過在具體網(wǎng)絡環(huán)境中對模型進行實例化，能夠描述異構網(wǎng)絡中不同領域中的策略。我們在可擴展策略模型的基礎上建立了一個圖形化的策略編輯器，簡化了策略的創(chuàng)建。

【關鍵詞】 基于策略的網(wǎng)絡管理 異構網(wǎng)絡 可擴展策略模型 策略創(chuàng)建

一、通信服務鏈概念和通信服務鏈中的策略

通信服務鏈中存在以下四種類型的策略。

安全策略：安全策略能夠用來規(guī)定一個用戶是否允許訪問特定的服務。同時也支持其它和安全相關的問題，例如授權和認證。例如：工作時間禁止用戶A使用VoD業(yè)務。

SLA/SLO（Service Level Agreement/Service Level Objective）：服務等級協(xié)定描述了用戶對會話質量的要求，如端到端通信的保障帶寬、丟包率要求、時延和同時接入的會話數(shù)量等。例如：VoIP業(yè)務的丟包率小于1%且單向延遲不超過150ms

呈現(xiàn)服務策略：呈現(xiàn)服務策略規(guī)定誰被允許查看和修改用戶的個人信息。這些信息不僅包括靜態(tài)的信息如地址和電話號碼，也包括用戶的動態(tài)數(shù)據(jù)如用戶的位置信息和用戶的狀態(tài)等。例如：禁止用戶A查看我的個人信息。

用戶個性化策略：用戶個性化服務策略允許終端用戶定制服務的功能。一個典型的例子就是呼叫轉移（電話、短消息或者電子郵件等）。在呼叫轉移中，用戶能夠規(guī)定在什么環(huán)境下進行呼叫轉移并且規(guī)定呼叫轉移到哪里。例如：工作時間將打往家里的電話轉接到辦公室。

在通信服務鏈環(huán)境下有多種設備和多種服務需要管理，為了方便使用策略管理通信服務鏈中的各種服務，必須有一種簡單的方法能夠創(chuàng)建各種類型的策略。為了解決這個問題，下文我們詳細描述了通用策略模型的建立，以及對模型的擴展。

二、策略模型的建立

我們的策略模型分為下面3個部分：

通用策略模型：通用策略模型對策略相關的概念如策略、策略規(guī)則、策略組件等進行了建模。

特定環(huán)境模型：為了使策略能夠應用于特定的環(huán)境如安全或者QoS管理，通過引入特定環(huán)境的概念，我們對通用策略模型進行了擴展。例如，QoS管理的相關策略定義了和QoS管理相關的概念RSVP、PHB、setMark、shape和路由器等概念。

服務模型：通過明確地描述服務模型，策略能夠應用于特定的服務。如果將服務模型中的概念映射到通用策略模型中去，策略管理員在創(chuàng)建策略的時候就能夠使用高層應用的概念，如VoIP業(yè)務需求、服務提供商和終端用戶以及他們的屬性。

通用策略模型描述了不同領域中策略的通用屬性，同時為策略的定義提供了統(tǒng)一的規(guī)范。通過將特定領域和應用的概念映射到通用策略模型中去，能夠描述不同類型的策略。下面給出了不同模型的詳細描述。

2.1通用策略模型

通用策略模型描述了策略中通用的概念，這些概念能夠被分成3類：

1、能夠用于策略中的信息；

2、策略的結構；

3、策略如何組成策略集。

如圖1所示的通用策略模型包含常見的策略概念，如主體、客體、動作、條件和事件等。通過引入更加具體的策略條件的構成對通用策略模型進行擴展，可滿足具體環(huán)境中策略表達要求，使得策略模型的擴展能夠比較簡單的實現(xiàn)。我們也能夠通過支持動作和策略的組合實現(xiàn)復雜策略的創(chuàng)建。

通用策略模型描述了策略的基本概念和相關結構，為策略描述提供了統(tǒng)一的定義規(guī)范，但是它并不能直接表達特定環(huán)境和應用中的策略。為了在特定應用環(huán)境下實現(xiàn)通用策略模型的擴展，下面給出了特定環(huán)境的模型的描述。

2.2特定環(huán)境模型

由于通用策略模型只描述了策略的通用概念和策略的結構，它并不適合用于特定的環(huán)境中，如QoS管理和安全。通用策略模型中并沒有QoS管理的相關概念，如路由器、Delay、LossRate和SetBandWidth等。為了方便策略在特定的環(huán)境中的創(chuàng)建，我們建立了特定環(huán)境的模型，如圖2所示。本文中我們主要關注QoS的管理。

策略作用域：指某類業(yè)務策略所作用于的網(wǎng)絡元素的集合，包含實現(xiàn)策略功能的全體被管對象。因此，策略作用域指的是對某個服務進行管控的，全體策略作用的網(wǎng)絡范圍，也就是說策略作用域是承載某個服務的網(wǎng)絡元素的集合[7]。需要注意的是，策略作用域并不是將若干被管對象封裝起來，而是類似于文件系統(tǒng)，只是存儲了被管對象的引用。

策略作用域和網(wǎng)絡自治域有如下的區(qū)別：（1）網(wǎng)絡自治域是依靠組網(wǎng)管理權限劃分的，指的是某個網(wǎng)絡路由區(qū)域或某個物理連接區(qū)域內的所有設備的集合，如某個局域網(wǎng)；策略作用域是依靠業(yè)務劃分的，指的是實現(xiàn)某個業(yè)務的所有設備的集合，如執(zhí)行某個QoS業(yè)務的端到端的域；（2）網(wǎng)絡自治域可以包括一些網(wǎng)絡設備、服務器和主機，策略作用域可能與網(wǎng)絡自治域相同，或者包含多個網(wǎng)絡自治域，也可能包含多個屬于不同自治域的服務器和主機。

在基于角色的訪問控制（RBAC，Role-Based Access Control）中，權限與角色相關聯(lián)，用戶通過成為適當角色的成員而得到這些角色的權限。在一個組織中，角色是為了完成各種工作而創(chuàng)造，用戶則依據(jù)它的責任和資格來被指派相應的角色，用戶能夠很容易地從一個角色被指派到另一個角色。角色可依據(jù)新的需求和系統(tǒng)的合并而賦予新的權限，而權限也可以根據(jù)需要從某角色中回收。通過創(chuàng)建角色的概念，極大的簡化了訪問控制中權限的管理。通過建立域和角色的概念，極大的簡化了系統(tǒng)的管理。

2.3服務模型

為了能夠將策略應用于更多的服務中，我們需要對服務中和策略相關的概念進行建模。如圖3所示，我們將服務中和策略相關的概念分為服務行為、服務對象、服務變量、服務事件和服務描述。

圖3中只給出了服務模型的一般組成，并沒有給出特定服務的擴展，為了描述通信服務鏈中的各種服務，需要對服務模型進行擴展。圖2所示的通信服務鏈場景中，存在多種業(yè)務，如統(tǒng)一通信中能夠實現(xiàn)VoIP業(yè)務、視頻會話業(yè)務、電子郵件和短信等。為了描述這些業(yè)務，涉及到的服務的相關概念很復雜，需要根據(jù)具體的業(yè)務場景和業(yè)務需求進行建模。圖4只給出了通信服務鏈場景中服務模型的簡單擴展，并沒有畫出完整的模型。需要注意的是，在具體業(yè)務的管理中必須建立完備的服務模型。

通過將整個模型分為通用策略模型、特定環(huán)境模型和服務模型，不僅統(tǒng)一了策略的結構，同時詳細描述了目標管理系統(tǒng)和應用中的各種概念，這樣能夠很容易使用策略描述異構環(huán)境中的各種管理需求。然而這種形式的策略并不適合終端用戶的使用，為了方便終端用戶的使用，我們需要一種易用的、圖形化的策略編輯工具。

三、總結

為了解決復雜、異構網(wǎng)絡環(huán)境中難以使用策略管理的問題，我們創(chuàng)建了一種可擴展的策略模型，使用該模型能夠方便的描述復雜環(huán)境中各種類型的策略。同時我們給出了一種圖形化的策略編輯器。模型分為三部分：通用策略模型、系統(tǒng)環(huán)境模型和服務模型，這三個模型統(tǒng)一了策略、系統(tǒng)環(huán)境和各種服務的描述?；诓呗阅Ｐ?，結合圖形化的策略編輯器，極大的簡化了異構環(huán)境中策略的創(chuàng)建。雖然我們解決了策略表示的問題，但是使用策略進行管理的過程中出現(xiàn)的如策略沖突、策略精化和策略部署的問題仍需要進一步的研究。

參 考 文 獻

[1] IETF Policy Core Information Model（PCIM）. http：//www.ietf.org/rfc/rfc3060.txt

[2]OASIS eXtendible Access Control Markup Language（XACML）. http：//www.oasis-open.org/committees/tc_home.php？wg_abbrev=xacml

[3]N. Damianou， N. Dulay， E. Lupu and M. Sloman. The Ponder Policy Specification Language. Workshop on Policies for Distributed Systems and Networks（Policy2001）， Jan 2001.

[4]G. Maes and J. Marien. Service-Oriented Architecture： Orchestrating the OSDE. Jan 2006