一种新的策略冲突解决方法的研究.docx

          一种新的策略冲突解决方法的研究                    ■任占阳 望育梅 张 琳/北京邮电大学信息与通信工程学院（北京·100876)摘要：在3GPP的PCC(Policy and Charging Control)架构以及TISPAN的RACS(Resource and Admission ControlSubsystem)等资源控制平台中，资源控制和计费基于策略实现在这些系统中，如何准确检测以及有效解决策略间冲突成为策略控制的关键问题本文在对策略冲突分类和检测的分析基础上，指出了已有解决办法存在的问题，并提出了一种基于优先权设定的新方法，完备有效得解决策略间冲突关键词：策略冲突冲突的解决优先权TN915：A：1673-1131(2010)01-008-06一、引言在NGN(Next Generation Network)的资源控制平台研究方面．3GPP从移动接入角度出发，从R7版开始，把R6版中的策略控制功能和基于流的计费功能合并，提出了PCC…架构：TISPAN则从固网接入角度出发，提出了RACS[2]来解决NGN承载网的QoS问题策略控制是PCC与RACS实现的主要功能，从而策略的冲突成为需要解决的问题。

在PCC中，对于策略的冲突，提出了对动态策略和预定义策略进行简单的优先权分级方法：在RACS中．SPDF(Service Policy Decision Function)和A-RACF(Access-Resource Admission Control Function)是实现授权策略的实体，但是对策略的冲突没有做进一步研究本文旨在从策略人手，对消除策略冲突提供一般性方法．以解决在资源控制平台或其他策略系统中的策略冲突问题二、策略以及策略冲突的概念及其分类2.1策略的分类策略三要素，即主体、客体以及动作策略相当于策略主体与策略客体的一种关系或是策略主体对策略客体的一种行为基于策略主体和客体两个方面，可以将策略分为强制策略和授权策略[3]制策略基于策略主体，从管理的角度规定了必须做和不能做的操作授权策略基于策略客体，强调了允许还是不允许策略主体对策略客体进行的操作两种策略的作用方式如下图所示策略冲突指的是具有相同主体和客体的策略执行互斥的行为可以将策略冲突分为两大类，分别为模态冲突和应用相关冲突模态冲突指的是策略描述上的不一致这类冲突包括以下三种类型[4]：(1)授权冲突：为重叠的主体、客体和动作定义了肯定和否定的授权策略。

2)强制冲突一条策略强迫主体执行一个给定的动作，同时另一条策略禁止该主体执行同一动作3)未授权的强制冲突强迫主体执行一个并未被授权的动作应用相关冲突指的是策略的内容与外部约束中明确规定不允许出现的情况发生了冲突这类冲突包括以下五种类型：(1)责任冲突主体在同一客体上执行两个被应用定义为相互冲突的操作2)多管理者冲突：当两条策略的客体重叠时，同一客体的多个管理者之间存在着潜在冲突例如一台服务器的维护策略是要求其停止服务，但调度策略又要求服务器提供服务3)资源优先权冲突：资源有限，需求间存在着冲突4)自管理冲突：当一条授权策略的主体与另一条授权策略的客体重叠时，会产生自管理的可能，即管理者管理自身的情况5)利益冲突：同一主体在两组不同的目标上执行管理任务可能会产生的冲突三、策略冲突检测简介针对上文的策略冲突分类，下面给出对这两种策略冲突的检测方法简介3.1模态冲突检测模态冲突的特点是在策略的主体客体相同的情况下，策略的行为相悖所以模态冲突的检测可以通过先检测主体客体是否同时存在重叠，在存在重叠的情况下，然后检验行为是否相悖来检测以授权策略为例，如图2-1．两条策略Pl和P2，Sl. Tl、Al分别是Pl的主体、客体以及动作．S2、T2. A2分别是P2的主体、客体以及动作。

SC. TC. AC是两条策略的主体、客体以及动作重叠的部分Pl为正向授权策略，即客体允许主体进行某种操作，而P2为反向授权策略，即客体拒绝主体进行某种操作，当二者的主体、客体和行为存在重叠部分，即图2-1中的SC. TC和AC时，发生了主客体相同，而行为相悖的情况，即授权策略冲突需要注意的是在强制策略冲突中，需要考虑事件的重叠在事件有重叠的情况下，才会出现策略的冲突3.2应用相关冲突检测应用相关冲突的发生实际上是由实际的物理设备资源、时间资源以及各种应用等外部约束引起的不同的约束千变万化，很难用统一的方法来检测冲突文献[5]中提出了一种附加属性标签的方法Ponder[6]语言中提出元策略的检测方法还有一种用事件运算的方法来检测应用相关冲突附加属性标签方法的主要依据是发生冲突的策略之间存在着相同的关联对象这样根据冲突的种类，在相应的关联对象上附加属性标签的方法就可以检测冲突例如，QoS计费策略要求对于不同业务类型的资源制定不同的单位价格在制定策略的时候可以利用属性标签的方法，将业务类型与计费规则一一对应SvcID表示业务类型．ChaID表示计费规则，对于两两对应的业务类型和规则，给两个属性赋相同的值。

考虑两条冲突的计费策略，Pl：对用户请求的VoIP业务，执行计费规则A：P2：对用户请求的VoIP业务，执行计费规则B这样的冲突可能发生于系统添加新策略P2．而并没有及时将旧策略Pl删除的情况此情况下，VoIP的SvcID对应着两个计费规则属性ChaID，因此冲突能够被检测四、现有策略冲突解决方法分析4.1现有冲突解决方法介绍策略冲突的解决方法可以归结为三种[7]．即重写冲突策略、删除冲突策略和为发生冲突的策略建立优先权重写冲突策略在一个小的系统当中有一定的效用．但是对于一个策略众多的大型开放式系统来说，重写冲突策略则意味着潜在更多策略冲突，因为重写的策略会影响已制定策略的作用空间，从而很可能与系统中其他策略发生冲突删除冲突策略过于局限，这种方法目的只在于单纯得解决冲突．弊端很明显，冲突的策略被删除，策略的制定失去意义，系统功能不完善相比修改以及删除冲突策略，为发生冲突的策略建立优先权，也即确定在冲突状态下哪个策略的优先权高，是一个更为实际和有效的解决冲突的方法一般来说，只需给发生实际冲突的策略或有潜在冲突的策略定义优先权．当冲突发生后，根据策略的优先权来抑此策略扬彼策略目前已经存在的优先权设定办法有以下几种[8]，但是这些方案都有特定的适用区域，下面本文将详述这些优先权设定方案以及存在的问题。

1)否定策略优先否定策略优先明确了被拒绝执行的动作永远不会得到执行，这就保证了系统不会进行误操作2)本地策略优先本地策略指的是更为具体的策略，比如指定给子域的、包含更少对象的策略策略P1 lP地址为59.64.198．+的用户不可以请求更改最高优先级：策略P2: lP地址为59.64.198.96的用户可以请求更改最高优先级则依据本地策略优先，判定策略P2的优先权高于策略Pl，即保证特定用户可以更改QoS参数3)属主级别优先属主，也即策略的编辑者每条策略都有自己唯一的属主．属主级别优先的方案即给策略的属主赋予固定的优先权，当策略冲突出现的时候，通过比较该值来决定执行哪条策略，不执行哪条策略这种方案的实质是在系统管理员（比如，网络运营商的管理者角色）中间划分了等级．前提是每个管理员保证自己编辑的策略之间没有冲突存在4)新加载策略优先分布式系统的管理策略是随系统需求而不断变化着的，因此必然不是在系统启动的时候一次性完全载入，也就是说每条策略都有一个加载时间的属性在制定策略优先权的时候可以将该属性作为参考对象．规定新加载的策略具有更高的优先权，当策略出现冲突的时候，选择其中最新加载的策略加以执行，因为新加载的策略是系统此时更应该执行的策略，是管理员更想要的结果。

5)指定优先权通过给每条策略赋予严格意义的优先权值来定义它们执行的优先顺序，该方案从理论来说是最完备的，因为只要指定合适的优先权值就可以解决所有的冲突但是赋值的工作相当难做，在分布式系统中很容易发生优先权不一致的情况，尤其是在多个管理员异步操作的时候4.2解决方法存在的问题分析由以上几种优先权设定的办法，可以看到除指定优先权和新加策略优先之外，其他三种优先权设定方法都不是完备的，也即是说这三种方法中任何一种都不能够解决所有的策略冲突问题对于否定策略优先来说，如果发生冲突的策略同为肯定策略或同为否定策略，那么系统将不能解决冲突对于另外两种方法也是一样，都可能存在优先权相同的情况当两条本地策略或是两条属主相同的策略发生冲突的时候，系统是不能根据本地策略优先以及属主级别优先来消除冲突的至于新加策略优先和指定优先权方法，对于前者，可以通过细化策略的系统时间以趋近完备，但是考虑范围太局限，能解决冲突．但是不周全而指定优先权的方法如上所述，虽然是理论上最为完备的方案，但是实现的工作难度太大，而且最重要的一点，对于新加策略来讲，为其指定优先权会很容易与系统已有策略的优先权状况发生冲突也就是说，指定优先权的方法并不适合于动态策略系统，并且分布式系统的多管理员操作会使得这种情况更加严重。

基于以上分析，既要能够有效消除策略冲突，又使系统不发生新的问题，需要同时使用到以上的冲突解决办法本文接下来会探讨结合以上优先权设定的方法的可行性及产生的问题，然后再给出一种基于综合以上优先权设定方案的合理的解决方法五、一种改进的策略冲突解决方法的研究5.1综合现有解决方法存在的问题综合使用多种优先权设定原则带来的直接问题[9]是优先权的混乱如果用一种方法设定策略Pl的优先权高于策略P2的优先权，那么当结合另一种方法设定优先权的时候又可能使策略Pl的优先权低于策略P2的优先权可以用图论中的有向图来形象得表示这种问题的发生，图中椭圆表示优先权设定方法的作用区域，虚线弧表示方法1所设定的优先权，实线弧表示方法2设定的优先权有向图中弧的方向表示优先权由高向低图4-1中，很明显，策略C和策略D在方法1的作用域和在方法2的作用域下所得到的优先权相互冲突图4-2中，在方法l的作用域下．策略C的优先权高于策略D的优先权，也即在策略C和策略D发生冲突后策略C要先于策略D执行；而在方法2的作用域下，策略G的优先权高于策略C．策略D优先权高于策略G，所以在方法2的作用域下．策略D的优先权高于策略C这两种情况都表明，当两种或更多方法同时使用时，会使得策略C和策略D的冲突无法解决。

5.2改进的冲突解决方法由以上所做的分析，本文接下来会对综合优先权设定方法来解决策略冲突做一些探讨既然不同的优先权设定方法之间会发生冲突，那么问题的所在也就是如何综合优先权设定办法又不产生冲突本文解决方案的核心思想是，基于优先权设定的办法，在优先权设定办法之间再进行优先权的设定，也即给解决策略冲突的各种方法设定优先权首先．做两个定义定义1．主体级别优先主体指的是策略的主体．在定义对网络操作权限的策略中，主体一般为这条策略的执行者，在实现系统功能的策略中，如果策略的客体是系统参数，那么此参数的属主视为策略主体一条策略的主体可以是管理员也可以是用户（在资源控制平台中．更可能用到用户的标识）本文考虑这两种主体，并设定主体是管理员的策略优先权别高于主体是用户的策略考虑到本文所设计的解决方法，在主体级别上加入范围属性．也即将以上提到的本地策略优先作为参考，个体的优先权高于全体的优先权所以主体级别的优先权由高到低依次为特定管理员，所有管理员，特定用户，所有用户定义2. 具体策略优先具体策略是指策略所包含的因素更多．也即策略的规则描述更为具体．在本文中主要涉及。