专利名称:在通信网络中基于政策的管理的制作方法
技术领域:
本发明通常涉及一种用于在通信系统中基于政策的管理的方法和系 统,包括一个与多个政策决定点相联系的政策实施点,其中,所述实施 点传输一个来自所述决定点的决定请求。相关的技术说明在一个开放的服务市场中,诸如电信网络或数据网络的通信网络的 操作员希望为他们的网络提供高度安全、开放、标准的接口。网络的基于政策的管理是一种通过在网络部件中功能的分配并且通 过使用政策简化被分配的功能彼此的连接来满足这些需求的最近的方 法。在服务层,政策可以管理何时以及收多少费,身分是否应该被匿名, 等等。在本专利的说明书中的术语'基于政策的管理'应该被广泛地解释 为包括基于政策的通信网络功能的任何种类的控制。它还包括在一个通 信网络中政策的控制和评价、政策决定和政策实施。政策是一种陈述,它规定什么行为在何种条件下是适当的。网络管 理员可以定义一组管理网络的政策。政策由'政策逻辑'(即,要被评价 的规则/逻辑)和'政策数据'组成,包括在这个政策逻辑中可以是给定的特殊值的参数。政策可以以包括由条件和行动组成的脚本(script)的多 种形式被表示。所述条件将被评价。条件/行动表达不是表示政策的唯一 的方式,其它表示政策的例子是-保密优先选择表达语言。使用这种语言,用户可以在一组优先选择 规则中表达她的优先选择,随后,它可以被她的用户代理用来进行关于 来自P3P使能的网站的机器可读取的保密政策的可接受性的自动或半自 动的决定。(P3P代表"用于隐私优先选择计划的平台",它是由万维网 联盟开发的是一种工业标准,它为用户提供了 一种通过使用用户访问的 网站上的个人信息获得更多控制的简单、自动的方法。)-Parlay/OSA政策管理政策。Parlay通过一种安全的、标准的,并 且可记帐的接口联合电信网络性能和IT应用程序。OSA标准用于开放服 务结构;
-Parlay/0SA服务级别协议;-可扩展访问控制标记语言(XACML) , XACML定义一种#支用于保护 资源的普通政策语言以及一种访问决定语言。根据被规定的商业政策,基于政策的管理提供了一种方式来分配网 络资源,主要是网络带宽、服务质量(QoS)、以及安全性(诸如防火墙)。 在例如日益增加的对于IP上的话音(VoIP)和其它实时应用程序的使用 的QoS的需求中,基于政策的管理的重要性的增加是明显的。因为这些 类型的应用程序,所以增加了对于基于政策的带宽分配的需求。政策包括规则例如-访问在网络上的资源;-高优先权业务;-低优先权业务;-被保证传递的业务;-带宽分配以确保被保证传递。最近的趋势显示概念'政策'越来越多地在标准化的环境(context) 中出现并且越来越多地被用户提到。标准化实体的例子是开放移动联盟 (0MA)、自由联盟、 一般网络服务、Parlay/0SA、因特网工程任务组 (IETF)、以及结构信息标准推进组织(OASIS)。一种基于政策的管理系统允许管理员规定政策规则并且在所述政策 系统中管理它们。这些规则可以采用'如果满足条件,则随后行动,的 形式。条件可以是一个用户或用户群、钟点、应用程序类型、或网络地 址。政策规则随后被分配给网络资源。基于政策的管理系统对于大的网 络是最佳的,其中大量设备易于从央心位置进行管理。公用网络也使用 一种政策管理形式来分配资源,但是资源分配基于与用户建立的SLAs(服 务级别协议)。资源包括管理网络带宽、安全性、IP地址、存储器、处 理器、和代理的设备,以及管理诸如记帐和计算的服务的系统。在一个通信网络中有几处使用政策。因特网工程任务组(IETF)的 政策框架(POLICY)工作组已经开发了一种被认为是在因特网上的政策 管理的最佳方法的政策管理结构。它包括下列组成部分-政策管理服务 一个用于规定、编辑、和管理政策的图形用户接口;-专用政策储存库存储和检索政策信息的地方,诸如目录使能的网 络(DEN)设备或LDAP服务器(LDAP意思是'轻量级目录访问协议,,
应用程序用来访问目录的协"R);-政策决定点(PDP):负责处理事件并且根据那些事件做出决定(即 在时间x做y)的资源管理器或政策服务器;-政策实施点(PEP):在诸如路由器、防火墙、以及主机的网络节 点中的PEP。它根据已经从PDP接收的决定实施所述政策(即,完成一 个行动);-局部政策决定点(LPDP):这是一种在例如网络节点内的PEP内的 共同被定位的PDP。多种协议可以被用于在PDP和PEP之间传递政策信息。公共开放政 策服务(COPS)是PEP和PDP之间通常的协议,其中,PEP从PDP请求 一个决定。COPS是一种客户/服务器协议,它为在IP网络节点中移动政 策信息提供传送服务。它也为政策询问和应答提供传送服务。通过将政 策信息移动到不同的子网,用户可以在其它位置登录并且接收与他们从 他们的本地网络接收的相同的服务。其它的协议也可以被使用,例如, DIAMETER,它是一种用于鉴别、授权和计算的协议,或者筒单网络管理 协议(SNMP),它是一种用于网络管理软件的因特网标准协议。一种典型的政策处理从用户或另外的网络设备对于一些设备的资源 请求开始。例如,用户可以请求访问通向因特网的路由器接口 所述路 由器使用COPS协议将所述请求转发到所述政策服务器中的PDP。所述政 策服务器随后询问一个或多个目录服务器以便确定该用户的授权。所述 信息随后被用于建立一个被发送回所述路由器的"政策租约(Policy Lease)"。所述路由器随后通过它的政策实施点实现并且实施所述政策。在现有的技术中,PEPs主要只与一个PDP相联系。通常,PDP支持 一个或多个爿^知的配置协议,诸如COPS。对于自顶向下的物资供应,PDP 可以使用COPS-供应(COPS-PR)将自上向下的配置信息推进到相关的 PEPs。 COPS-PR是对于其中PDP接触PEP的COPS的扩充。C0PS-PR已经 在被最优化用于有效地供应政策到设备的框架中被设计。首先,COPS-PR 允许属性的有效传送、大量的数据基本交易、以及有效和灵活的错误报 告。第二,因为在被COPS客户类型识别的政策控制的每个区域的PEP和 PDP之间有一个单独的连接,所以它保证在任何给定的时间只有一个PDP 更新一种特殊的政策配置。根据现有技术的系统包括一个当在实现所述PEP的实体上出现一个
特殊事件时发送出一个决定请求到PDP的PEP。所述PEP发送关于所述 事件的信息或对于这种信息的指示器/参考到所述PDP。所述PDP根据与 所述事件有关的政策评价所述事件并且确定适当的政策实施。随后,所 述PDP返回关于PEP必须怎样对事件做出反应的决定到所述PEP,并且 所述PEP完成(实施)由PDP生成的决定。特别地在服务层区域可能出现多个政策决定点可能被涉及以及传递 它们的决定到一个PEP的问题,根据PEP的观点它可能导致多个相冲突 的决定。例如,和一组不同的政策一样,用户(行动者)的保密设置可 以被表示为由操作员/服务提供商(行动者)导出的一组政策和商业规 则。每组政策可以被一个专用固有的PDP评价。当为用户提供所述服务 时,两套政策的评价结果必须被考虑。通常,对于这个问题有两种已知 的解决方法。第一种已知的解决方法是PEP只从一个PDP请求行动。这意味着这 个PDP包括不同的行动者/角色的组合的规则。这可以被实现,但是在中 央PDP的管理端增加了很大负担。这种解决方法的问题是这变得十分复杂。例如,因为允许读-、写-、和/或对政策进行执行管理行动可能根据 每个行动者都不同。第二种已知的解决方法是PEP咨询多个PDP,并且以一种预先被配 置的或者硬编码的方式组合所述结果。硬编码特点是以不容易地被修改 的方式建造硬件或软件。例如,保密优先选择总是支配所述商业规则。 这种解决方法的问题是所述PEP必须以一种相对不可改变的方式积极地 知道不同的PDP和它们的优先权。发明概述本发明通过提供用于根据多个政策决定点(PDPs)的决定由一个政 策实施点(PEP)实施一个决定的方法和系统来处理上述问题。在本发明的第一个方面中,提供了一种方法用于在一种通信系统中 基于政策的管理,包括一个与多个政策决定点相联系的政策实施点,其 中,所述实施点从所述决定点传输一个决定请求,特征步骤是-用 一个决定策略配置一个政策策略点,包括一种用于确定所得到的 决定的算法;-所述决定点生成决定;-通过在所述决定上应用所述决定策略,所述策略点生成所述所得到 的决定;-所述策略点传递所得到的决定到所述实施点; -所述实施点执行所得到的决定。通过使用这种方法,在所述请求的处理中被涉及的角色(role)中 的每一个可以制定他们自己的一组规则。例如,所述商业规则由所述商 业管理者建立;保密规则(或保密文件)由最终用户和/或用户建立;除 非规则可以由用户和/或最终用户规定。风险承担者有以他们自己的方式 在所述网络管理和提供不同的PDP的自由,并且他们可以在相同的时间 依靠一个普通的政策策略点,它为所述政策实施点确保明确的决定以便 实施。因此,通过以一种灵活的方式配置一个政策策略点,将不同的政 策决定点的决定组合成一个要被实施的决定,变得更灵活。因此,许多 灵活性被提供给例如通信网络的操作员。如在本发明的第一个方面中净皮描述的方法的实施方案包括一种方 法,它还包括配置一种组织(orchestration)策略以便被所述策略点用 于获得所述决定点的决定。一种另外的实施方案包括一种方法,其中,所述算法包括组的算法, 它包括-所述决定由大部分决定点生成;-所述决定由大部分加权决定点生成;-所述决定已经被分配了最高加权;-所述决定由具有根据一种优先权方案的最高优先权的决定点生 成,其中,所述决定点的每一个具有一个被分配的优先权;-所述决定由已在所述决定点的至少一个其它的决定点的决定上增 加一个否决权的所述决定点的第一个决定点生成;-根据统计,所述决定大多数频繁地由所述决定点生成。-所述第一个决定由一个决定点生成;-一个另外的决定点的决定,它由所述策略点请求,条件是在多个决 定点的可用的决定上应用一种决定策略,则不导致结论性的决定。一个另外的实施方案包括一种方法,在选择的一种算法中具有层次。一个另外的实施方案包括一种方法,其中,配置一种决定策略的步 骤包括从一组决定策略中选择一个决定策略。
一个另外的实施方案包括一种方法,其中,配置一种决定策略的步 骤包括将来自一组策略元素的策略元素组成一个决定策略。一个另外的实施方案包括一种方法,其中,如果所述决定点所生成 的决定至少部分相互沖突,则所得到的决定是结论性的。一个另外的实施方案包括一种方法,其中,所述决定策略根据所述 决定的特征^t配置。一个另外的实施方案包括一种方法,其中,所述实施点传输一个决 定请求的步骤,包括引导所述请求到所述策略点。一个另外的实施方案包括一种方法,其中,所述实施点传输一个决 定请求的步骤,包括引导所述请求到所述决定点,并且还包括所述决定 点引导所述请求到所述策略点的步骤。一个另外的实施方案包括一种方法,其中,传输一个决定请求的步 骤是并4于或顺次的。一个另外的实施方案包括一种方法,其中,所述组织策略从一个决 定点,皮检索。一个另外的实施方案包括一种方法,其中,所述组织策略以根据已经获得的决定获得额外的决定点的决定的方式被配置。一个另外的实施方案包括一种方法,其中,所述政策点从一个政策 储存库请求和接收一个政策。在本发明的第二个方面中,提供了一种系统用于在一种通信系统中 基于政策的管理,包括一个与被安排用于生成决定的多个政策决定点相联系的政策实施点;所述实施点被安排从所述决定点传输一个决定请 求,并且用于执行得到的决定,所述系统中的特征还包括-被配置了 一个决定策略的政策策略点,包括一种用于确定所得到的 决定的算法;-通过在所述决定上应用所述决定策略,所述策略点被安排生成所述所得到的决定;-所述策略点被安排传递所得到的决定到所述实施点; 如在本发明的第二个方面中被描述的系统的一个实施方案包括一个系统,其中,所述策略点可共同操作地被连接到所述决定点中的至少一个。一个另外的实施方案包括一个系统,其中,所述策略点可共同操作
地被连接到所述实施点。一个另外的实施方案包括一个系统,其中,所述策略点可共同操作 地被连接到所述实施点以及所述决定点中的至少 一个。一个另外的实施方案包括一个系统,它还包括一个被安排为所述策略点提供政策的政策储存库,所述政策与一个特殊的PEP、多个PEP、 一 个特殊的PDP、和/或多个PDP相关。一个另外的实施方案包括一个系统,其中,所述政策储存库被安排 为所述策略点提供政策,所述政策与根据它所述政策被所述策略点请求 的事件相关。一个另外的实施方案包括一个系统,其中,所述政策储存库可共同 操作地被连接到所述策略点。 附图详述
图1和图2显示现有技术的解决方法。图1显示在一个应用程序服务提供商请求一种要被服务提供商提供 给用户的服务的情况下的现有技术情况。PEP 101通过多个PDP 102、 103、 104在201、 202、 203请求并且接收一个决定。这些PDP政策的例 子是涉及规则、立法、用户优先选择/最终用户设置、秘密、商业对商业 服务概况、收费、白名单/黑名单等等的政策。PEP 101具有一个硬编码 程序,如果它接收PDP 102、 103、或104的相冲突的决定,则它允许PEP 结论性的决定。所述结论性的决定可以被PEP强加给一个服务提供商(未 被显示)。图2显示一种现有技术的情况,其中,PDP 102可以从政策储存库 (PR) 107请求和接收204政策。所述政策储存库可以有多个政策用于 一个特殊的PEP、多个PEP、 一个特殊的PDP或多个PDP。所述PR 107 可以为PDP 102提供一个政策,所述政策与根据它所述政策被PDP 102 请求的事件有关。PR 107可以被共同定位在PDP 102上。 现在将通过如附图表示的例子来描述本发明。图3显示一个本发明的实施方案,其中, 一个单独的政策实施点 (PEP) 101通过一个(例如,共同被定位的)政策策略点(PSP) 105从多 个政策决定点(PDPs)请求和接收201、 202、 203决定。所述请求和/ 或接收201、 202、 203可以是并^亍或顺次的。如果PSP 105接收PDP 102、 103、或104的相冲突的决定,则PSP 105允许PEP 101通过应用一种
决定策略最后决定以便解决所述沖突。图4显示一个本发明的实施方案,其中, 一个单独的PEP 101通过 PSP 105从PDP 102、103和104请求和接收205 —个或多个决定。PSP 105 将PEP IOI的请求引导到PDP 102、 103、和104。 PSP 105评价并且协 调PDP102、 103和104的决定以便解决冲突。这导致一个最终得到的决 定。PSP 105发送所得到的决定到PEP 101。 PSP 105在这个实例中未,皮 共同定位到任一特殊的PDP。所述PSP可以被共同定位到任一网络节点 106。随意i也,所述PSP可以是一个点,它症且织(orchestrate) —个工 作流程,即,诸如请求PDP 102、 103、 104做出决定的顺序的事件的某 一顺序。在后面的实例中,请求PDP 102、 103、 104的顺序可以确定优 先权顺序。在相沖突决定的实例中,早期请求决定的PDP可以例如具有 越过后面的PDP的优先权。如果在决定中有僵局,则PSP 105也可以为 决定请求另外的PDP。所述另外被请求的PDP可以提供结论性的决定。图5显示本发明的一个实施方案,其中, 一个单独的PEP 101从PDP 102、 103和104请求和接收201、 202、 203决定。PDP 103、 104发送 209、 210决定以便被例如被共同定位在PDP 102上的PSP 105评价和协 调。所述PSP 105评价和协调PDP 102、 103、 104的决定以便排除相沖 突的决定。PDP 102、 103和/或104发送201、 202、 203被协调的决定 到PEP 101。图6显示本发明的一个实施方案,其中, 一个单独的PEP 101从PDP 102、 103和104请求和接收201、 202、 203决定。PDP 102、 103、 104 将PEP 101的请求引导到7〉共PSP 105,它评价和协调PDP 102、 103、 104的决定以便排除相冲突的决定。PDP 102、 103或104发送被协调的 决定到PEPIOI。在这个实例中,PSP 105未被共同定位在所述决定过程 中被涉及的任一 PDP上。所述PSP可以被共同定位在任一网络节点106 上。图7显示本发明的一个实施方案,其中,PSP 105可以从政策储存 库(PR) 107请求和接收206政策。所述政策储存库可以有多个政策用 于一个特殊的PEP、多个PEP、 一个特殊的PDP或多个PDP。所述政策储 存库可以为PSP 105提供一个政策,所述政策与根据它所述政策被PSP 105请求的事件有关。PSP 105可以被共同定位在任一网络节点106上。 政策储存库(PR) 107可以被共同定位在PSP 105上。
权利要求
1.一种用于在一个通信系统中基于政策的管理的方法,包括一个与多个政策决定点(102、103、104)相联系的政策实施点(101),其中,所述实施点(101)从所述决定点(102、103、104)传输一个对于决定的请求,其特征在于如下步骤-用一个决定策略配置一个政策策略点(105),包括一个用于确定所得到的决定的算法;-所述决定点(102、103、104)生成决定;-通过在所述决定上应用所述决定策略,所述策略点(105)生成所述所得到的决定;-所述策略点(105)传递所得到的决定到所述实施点(101);-所述实施点(101)执行所得到的决定。
2. 根据权利要求l中所述方法,还包括配置一个组织策略以便被所 述策略点(105 )应用来获得所述决定点(102、 103、 104)的决定。
3. 根据权利要求1中所述方法,其中,所述算法包括组的算法,它 包括-由大部分决定点(102、 103、 104)生成的决定; -由加权的大部分决定点(102、 103、 104)生成的决定; -已经根据最高加权被分配的决定;-根据优先权方案由具有最高优先权的决定点生成的决定,其中,决 定点(102、 103、 104)的每一个都具有被分配的优先权;-由已在决定点(102、 103、 104)的至少一个其它的决定点的决定 上增加否决权的决定点(102、 103、 104)中的第一个决定点生成的决定;-根据统计,由决定点(102、 103、 104)最频繁地生成的决定;-由决定点生成的第一决定;-另外的决定点的决定,它由所述策略点(105)请求,条件是在多 个决定点(102、 103、 104 )的可用的决定上应用决定策略不导致结论性 的决定。
4. 根据权利要求3中所述的方法,在选择的算法中包括层次。
5. 根据权利要求l中所述的方法,其中,配置决定策略的步骤包括 从一组决定策略中选择一个决定策略。
6. 根据权利要求1中所述的方法,其中,配置决定策略的步骤包括将来自 一组策略元素的策略元素合并成一个决定策略。
7. 根据权利要求1中所述的方法,其中,如果决定点(102、 103、 104)的被生成的决定至少部分相互沖突,则所得到的决定是结论性的。
8. 根据前述任何一个权利要求中所述的方法,其中,所述决定策略 根据所述决定的特征被配置。
9. 根据权利要求1中所述的方法,其中,所述实施点(101)传输 对于决定的请求的步骤包括将所述请求引导到所述策略点(105)。
10. 根据权利要求l中所述的方法,其中,所述实施点(101)传输 对于决定的请求的步骤包括将所述请求引导到所述决定点(102、 103、 104),并且还包括所述决定点(102、 103、 104 )将所述请求引导到所 述策略点(105 )的步骤。
11. 根据权利要求1中所述的方法,其中,传输对于决定的请求的 步骤是并行或顺次的。
12. 根据权利要求2中所述的方法,其中,组织策略从一个决定点 被检索。
13. 根据权利要求2中所述的方法,其中,组织策略以根据已经获 得的决定获得额外的决定点的决定的方式被配置。
14. 根据前述任一权利要求中所述的方法,其中,所述策略点(105) 从一个政策储存库(107 )接收一个政策。
15. —种用于在一个通信系统中基于政策的管理的系统,包括一个 与被安排用于生成决定的多个政策决定点(102、 103、 104)相联系的政 策实施点(101);所述实施点(101)被安排从所得到的决定,其特征 在于,所述系统还包括-一个政策策略点(105),其被配置利用一个决定策略来配置,包 括一个用于确定所得到的决定的算法;-通过在所述决定上应用所述决定策略,所述策略点(105)被安排 用于生成所述所得到的决定;-所述策略点(105)被安排用于传递所得到的决定到所述实施点 (101 )。
16. 根据权利要求15中所述的系统,其中,所述策略点(105)可 共同操作地被连接到所述决定点(102、 103、 104)中的至少一个。
17. 根据权利要求15中所述的系统,其中,所述策略点(105)可共同操作地被连接到所述实施点(101)。
18. 根据权利要求15中所述的系统,其中,所述策略点(105)可 共同操作地被连接到所述实施点(101 )和所述决定点(102、 103、 104 ) 中的至少一个。
19. 根据权利要求15中所述的系统,还包括一个策略储存库(107), 被安排给所述策略点(105 )提供一个政策,所述政策与一个特殊的PEP、 多个PEP、 一个特殊的PDP和/或多个PDP有关。
20. 根据权利要求19中所述的系统,其中,所述政策储存库(107) 被安排用于给所述策略点(105)提供一个政策,所述政策与一个事件有 关,根据该事件所述政策被所述策略点(105)请求的事件有关。
21. 根据权利要求19中所述的系统,其中,所述政策储存库(107) 可共同操作地被连接到所述策略点(105)。
全文摘要
一种用于在通信系统中基于政策的管理的方法和系统,包括与政策决定点(102、103、104)相联系的政策实施点(101)。所述实施点(101)从所述决定点(102、103、104)传输一个决定请求。一个政策策略点(105)被配置一个决定策略,包括一种用于确定一个所得到的决定的算法。所述决定点(102、103、104)生成决定,根据它所述策略点(105)通过在所述决定上应用所述决定策略来生成所述所得到的决定。所述策略点(105)传递所述所得到的决定到所述实施点(101),它执行所述所得到的决定。
文档编号H04L12/54GK101156360SQ200580049411
公开日2008年4月2日 申请日期2005年4月8日 优先权日2005年4月8日
发明者E·博尔斯马, H·A·A·M·范德维尔登, J·范埃尔伯格, P·卡雷曼斯 申请人:艾利森电话股份有限公司