张高明 沈庆国 蔡锦浦
【摘要】 通过在具体网络环境中对模型进行实例化,能够描述异构网络中不同领域中的策略。我们在可扩展策略模型的基础上建立了一个图形化的策略编辑器,简化了策略的创建。
【关键词】 基于策略的网络管理 异构网络 可扩展策略模型 策略创建
一、通信服务链概念和通信服务链中的策略
通信服务链中存在以下四种类型的策略。
安全策略:安全策略能够用来规定一个用户是否允许访问特定的服务。同时也支持其它和安全相关的问题,例如授权和认证。例如:工作时间禁止用户A使用VoD业务。
SLA/SLO(Service Level Agreement/Service Level Objective):服务等级协定描述了用户对会话质量的要求,如端到端通信的保障带宽、丢包率要求、时延和同时接入的会话数量等。例如:VoIP业务的丢包率小于1%且单向延迟不超过150ms
呈现服务策略:呈现服务策略规定谁被允许查看和修改用户的个人信息。这些信息不仅包括静态的信息如地址和电话号码,也包括用户的动态数据如用户的位置信息和用户的状态等。例如:禁止用户A查看我的个人信息。
用户个性化策略:用户个性化服务策略允许终端用户定制服务的功能。一个典型的例子就是呼叫转移(电话、短消息或者电子邮件等)。在呼叫转移中,用户能够规定在什么环境下进行呼叫转移并且规定呼叫转移到哪里。例如:工作时间将打往家里的电话转接到办公室。
在通信服务链环境下有多种设备和多种服务需要管理,为了方便使用策略管理通信服务链中的各种服务,必须有一种简单的方法能够创建各种类型的策略。为了解决这个问题,下文我们详细描述了通用策略模型的建立,以及对模型的扩展。
二、策略模型的建立
我们的策略模型分为下面3个部分:
通用策略模型:通用策略模型对策略相关的概念如策略、策略规则、策略组件等进行了建模。
特定环境模型:为了使策略能够应用于特定的环境如安全或者QoS管理,通过引入特定环境的概念,我们对通用策略模型进行了扩展。例如,QoS管理的相关策略定义了和QoS管理相关的概念RSVP、PHB、setMark、shape和路由器等概念。
服务模型:通过明确地描述服务模型,策略能够应用于特定的服务。如果将服务模型中的概念映射到通用策略模型中去,策略管理员在创建策略的时候就能够使用高层应用的概念,如VoIP业务需求、服务提供商和终端用户以及他们的属性。
通用策略模型描述了不同领域中策略的通用属性,同时为策略的定义提供了统一的规范。通过将特定领域和应用的概念映射到通用策略模型中去,能够描述不同类型的策略。下面给出了不同模型的详细描述。
2.1通用策略模型
通用策略模型描述了策略中通用的概念,这些概念能够被分成3类:
1、能够用于策略中的信息;
2、策略的结构;
3、策略如何组成策略集。
如图1所示的通用策略模型包含常见的策略概念,如主体、客体、动作、条件和事件等。通过引入更加具体的策略条件的构成对通用策略模型进行扩展,可满足具体环境中策略表达要求,使得策略模型的扩展能够比较简单的实现。我们也能够通过支持动作和策略的组合实现复杂策略的创建。
通用策略模型描述了策略的基本概念和相关结构,为策略描述提供了统一的定义规范,但是它并不能直接表达特定环境和应用中的策略。为了在特定应用环境下实现通用策略模型的扩展,下面给出了特定环境的模型的描述。
2.2特定环境模型
由于通用策略模型只描述了策略的通用概念和策略的结构,它并不适合用于特定的环境中,如QoS管理和安全。通用策略模型中并没有QoS管理的相关概念,如路由器、Delay、LossRate和SetBandWidth等。为了方便策略在特定的环境中的创建,我们建立了特定环境的模型,如图2所示。本文中我们主要关注QoS的管理。
策略作用域:指某类业务策略所作用于的网络元素的集合,包含实现策略功能的全體被管对象。因此,策略作用域指的是对某个服务进行管控的,全体策略作用的网络范围,也就是说策略作用域是承载某个服务的网络元素的集合[7]。需要注意的是,策略作用域并不是将若干被管对象封装起来,而是类似于文件系统,只是存储了被管对象的引用。
策略作用域和网络自治域有如下的区别:(1)网络自治域是依靠组网管理权限划分的,指的是某个网络路由区域或某个物理连接区域内的所有设备的集合,如某个局域网;策略作用域是依靠业务划分的,指的是实现某个业务的所有设备的集合,如执行某个QoS业务的端到端的域;(2)网络自治域可以包括一些网络设备、服务器和主机,策略作用域可能与网络自治域相同,或者包含多个网络自治域,也可能包含多个属于不同自治域的服务器和主机。
在基于角色的访问控制(RBAC,Role-Based Access Control)中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。在一个组织中,角色是为了完成各种工作而创造,用户则依据它的责任和资格来被指派相应的角色,用户能够很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限,而权限也可以根据需要从某角色中回收。通过创建角色的概念,极大的简化了访问控制中权限的管理。通过建立域和角色的概念,极大的简化了系统的管理。
2.3服务模型
为了能够将策略应用于更多的服务中,我们需要对服务中和策略相关的概念进行建模。如图3所示,我们将服务中和策略相关的概念分为服务行为、服务对象、服务变量、服务事件和服务描述。
图3中只给出了服务模型的一般组成,并没有给出特定服务的扩展,为了描述通信服务链中的各种服务,需要对服务模型进行扩展。图2所示的通信服务链场景中,存在多种业务,如统一通信中能够实现VoIP业务、视频会话业务、电子邮件和短信等。为了描述这些业务,涉及到的服务的相关概念很复杂,需要根据具体的业务场景和业务需求进行建模。图4只给出了通信服务链场景中服务模型的简单扩展,并没有画出完整的模型。需要注意的是,在具体业务的管理中必须建立完备的服务模型。
通过将整个模型分为通用策略模型、特定环境模型和服务模型,不仅统一了策略的结构,同时详细描述了目标管理系统和应用中的各种概念,这样能够很容易使用策略描述异构环境中的各种管理需求。然而这种形式的策略并不适合终端用户的使用,为了方便终端用户的使用,我们需要一种易用的、图形化的策略编辑工具。
三、总结
为了解决复杂、异构网络环境中难以使用策略管理的问题,我们创建了一种可扩展的策略模型,使用该模型能够方便的描述复杂环境中各种类型的策略。同时我们给出了一种图形化的策略编辑器。模型分为三部分:通用策略模型、系统环境模型和服务模型,这三个模型统一了策略、系统环境和各种服务的描述。基于策略模型,结合图形化的策略编辑器,极大的简化了异构环境中策略的创建。虽然我们解决了策略表示的问题,但是使用策略进行管理的过程中出现的如策略冲突、策略精化和策略部署的问题仍需要进一步的研究。
参 考 文 献
[1] IETF Policy Core Information Model(PCIM). http://www.ietf.org/rfc/rfc3060.txt
[2]OASIS eXtendible Access Control Markup Language(XACML). http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml
[3]N. Damianou, N. Dulay, E. Lupu and M. Sloman. The Ponder Policy Specification Language. Workshop on Policies for Distributed Systems and Networks(Policy2001), Jan 2001.
[4]G. Maes and J. Marien. Service-Oriented Architecture: Orchestrating the OSDE. Jan 2006