张高明 沈庆国 蔡锦浦

【摘要】 通过在具体网络环境中对模型进行实例化，能够描述异构网络中不同领域中的策略。我们在可扩展策略模型的基础上建立了一个图形化的策略编辑器，简化了策略的创建。

【关键词】 基于策略的网络管理 异构网络 可扩展策略模型 策略创建

一、通信服务链概念和通信服务链中的策略

通信服务链中存在以下四种类型的策略。

安全策略：安全策略能够用来规定一个用户是否允许访问特定的服务。同时也支持其它和安全相关的问题，例如授权和认证。例如：工作时间禁止用户A使用VoD业务。

SLA/SLO（Service Level Agreement/Service Level Objective）：服务等级协定描述了用户对会话质量的要求，如端到端通信的保障带宽、丢包率要求、时延和同时接入的会话数量等。例如：VoIP业务的丢包率小于1%且单向延迟不超过150ms

呈现服务策略：呈现服务策略规定谁被允许查看和修改用户的个人信息。这些信息不仅包括静态的信息如地址和电话号码，也包括用户的动态数据如用户的位置信息和用户的状态等。例如：禁止用户A查看我的个人信息。

用户个性化策略：用户个性化服务策略允许终端用户定制服务的功能。一个典型的例子就是呼叫转移（电话、短消息或者电子邮件等）。在呼叫转移中，用户能够规定在什么环境下进行呼叫转移并且规定呼叫转移到哪里。例如：工作时间将打往家里的电话转接到办公室。

在通信服务链环境下有多种设备和多种服务需要管理，为了方便使用策略管理通信服务链中的各种服务，必须有一种简单的方法能够创建各种类型的策略。为了解决这个问题，下文我们详细描述了通用策略模型的建立，以及对模型的扩展。

二、策略模型的建立

我们的策略模型分为下面3个部分：

通用策略模型：通用策略模型对策略相关的概念如策略、策略规则、策略组件等进行了建模。

特定环境模型：为了使策略能够应用于特定的环境如安全或者QoS管理，通过引入特定环境的概念，我们对通用策略模型进行了扩展。例如，QoS管理的相关策略定义了和QoS管理相关的概念RSVP、PHB、setMark、shape和路由器等概念。

服务模型：通过明确地描述服务模型，策略能够应用于特定的服务。如果将服务模型中的概念映射到通用策略模型中去，策略管理员在创建策略的时候就能够使用高层应用的概念，如VoIP业务需求、服务提供商和终端用户以及他们的属性。

通用策略模型描述了不同领域中策略的通用属性，同时为策略的定义提供了统一的规范。通过将特定领域和应用的概念映射到通用策略模型中去，能够描述不同类型的策略。下面给出了不同模型的详细描述。

2.1通用策略模型

通用策略模型描述了策略中通用的概念，这些概念能够被分成3类：

1、能够用于策略中的信息；

2、策略的结构；

3、策略如何组成策略集。

如图1所示的通用策略模型包含常见的策略概念，如主体、客体、动作、条件和事件等。通过引入更加具体的策略条件的构成对通用策略模型进行扩展，可满足具体环境中策略表达要求，使得策略模型的扩展能够比较简单的实现。我们也能够通过支持动作和策略的组合实现复杂策略的创建。

通用策略模型描述了策略的基本概念和相关结构，为策略描述提供了统一的定义规范，但是它并不能直接表达特定环境和应用中的策略。为了在特定应用环境下实现通用策略模型的扩展，下面给出了特定环境的模型的描述。

2.2特定环境模型

由于通用策略模型只描述了策略的通用概念和策略的结构，它并不适合用于特定的环境中，如QoS管理和安全。通用策略模型中并没有QoS管理的相关概念，如路由器、Delay、LossRate和SetBandWidth等。为了方便策略在特定的环境中的创建，我们建立了特定环境的模型，如图2所示。本文中我们主要关注QoS的管理。

策略作用域：指某类业务策略所作用于的网络元素的集合，包含实现策略功能的全體被管对象。因此，策略作用域指的是对某个服务进行管控的，全体策略作用的网络范围，也就是说策略作用域是承载某个服务的网络元素的集合[7]。需要注意的是，策略作用域并不是将若干被管对象封装起来，而是类似于文件系统，只是存储了被管对象的引用。

策略作用域和网络自治域有如下的区别：（1）网络自治域是依靠组网管理权限划分的，指的是某个网络路由区域或某个物理连接区域内的所有设备的集合，如某个局域网；策略作用域是依靠业务划分的，指的是实现某个业务的所有设备的集合，如执行某个QoS业务的端到端的域；（2）网络自治域可以包括一些网络设备、服务器和主机，策略作用域可能与网络自治域相同，或者包含多个网络自治域，也可能包含多个属于不同自治域的服务器和主机。

在基于角色的访问控制（RBAC，Role-Based Access Control）中，权限与角色相关联，用户通过成为适当角色的成员而得到这些角色的权限。在一个组织中，角色是为了完成各种工作而创造，用户则依据它的责任和资格来被指派相应的角色，用户能够很容易地从一个角色被指派到另一个角色。角色可依据新的需求和系统的合并而赋予新的权限，而权限也可以根据需要从某角色中回收。通过创建角色的概念，极大的简化了访问控制中权限的管理。通过建立域和角色的概念，极大的简化了系统的管理。

2.3服务模型

为了能够将策略应用于更多的服务中，我们需要对服务中和策略相关的概念进行建模。如图3所示，我们将服务中和策略相关的概念分为服务行为、服务对象、服务变量、服务事件和服务描述。

图3中只给出了服务模型的一般组成，并没有给出特定服务的扩展，为了描述通信服务链中的各种服务，需要对服务模型进行扩展。图2所示的通信服务链场景中，存在多种业务，如统一通信中能够实现VoIP业务、视频会话业务、电子邮件和短信等。为了描述这些业务，涉及到的服务的相关概念很复杂，需要根据具体的业务场景和业务需求进行建模。图4只给出了通信服务链场景中服务模型的简单扩展，并没有画出完整的模型。需要注意的是，在具体业务的管理中必须建立完备的服务模型。

通过将整个模型分为通用策略模型、特定环境模型和服务模型，不仅统一了策略的结构，同时详细描述了目标管理系统和应用中的各种概念，这样能够很容易使用策略描述异构环境中的各种管理需求。然而这种形式的策略并不适合终端用户的使用，为了方便终端用户的使用，我们需要一种易用的、图形化的策略编辑工具。

三、总结

为了解决复杂、异构网络环境中难以使用策略管理的问题，我们创建了一种可扩展的策略模型，使用该模型能够方便的描述复杂环境中各种类型的策略。同时我们给出了一种图形化的策略编辑器。模型分为三部分：通用策略模型、系统环境模型和服务模型，这三个模型统一了策略、系统环境和各种服务的描述。基于策略模型，结合图形化的策略编辑器，极大的简化了异构环境中策略的创建。虽然我们解决了策略表示的问题，但是使用策略进行管理的过程中出现的如策略冲突、策略精化和策略部署的问题仍需要进一步的研究。

参 考 文 献

[1] IETF Policy Core Information Model（PCIM）. http：//www.ietf.org/rfc/rfc3060.txt

[2]OASIS eXtendible Access Control Markup Language（XACML）. http：//www.oasis-open.org/committees/tc_home.php？wg_abbrev=xacml

[3]N. Damianou， N. Dulay， E. Lupu and M. Sloman. The Ponder Policy Specification Language. Workshop on Policies for Distributed Systems and Networks（Policy2001）， Jan 2001.

[4]G. Maes and J. Marien. Service-Oriented Architecture： Orchestrating the OSDE. Jan 2006