一種基于P2P的統一身份服務網絡模型*

孫韓林，劉建華

（1.西安郵電大學計算機學院 西安 710121；2.西安郵電大學信息中心 西安 710121）

1 引言

隨著信息網絡技術的發展，人們使用的信息服務越來越多，這需要用戶記憶大量的認證信息（如賬號、密碼等），給用戶帶來極大的不便。統一身份認證 （unified identifier authentication）可實現“一次登錄，多處訪問”，消除了用戶記憶大量認證信息的負擔。標準化組織，如ITU-T（International Telecommunications Union TelecommunicationStandardization Sector，國際電信聯盟遠程通信標準化組織）、自由聯盟、OASIS（Organization for the Advancement of Structured Information Standards，結構化信息標準促進組織）、IETF（Internet Engineering Task Force，互聯網工程任務組）、ETSI（European Telecommunications Standards Institute，歐洲電信標準化協會）等，都在進行統一身份認證研究。美國、韓國和日本等信息技術發達國家紛紛提出各自的身份認證戰略。我國也成立了全國信息安全標準化技術委員會鑒別與授權工作組，推動身份識別和授權技術的研究和發展。

ITU-T將統一身份認證定義為 “是對一實體聲稱的標識為真提供證明，并實現單點登錄”，“實體可以為真人、動物、法律人、組織、主動或被動之物、設備、軟件應用、服務等或上述個體的組合”[1]。ITU-T全球兼容身份管理的功能需求包括：身份信息的管理、身份信息的關聯、身份信息的認證、身份信息的發現與橋接、身份信息的傳輸、身份信息的審計與追蹤和身份信息的擴展[2]。其中，“身份信息的發現與橋接”是實現可互操作的分布式身份管理的關鍵，它指在一個擁有大量游牧用戶和身份提供商的分布式公共網絡中發現并使用新的身份服務。參考文獻[3]提出了一種基于行政區劃的層次式統一身份認證服務網絡模型。該模型中，若某個服務節點發生故障，則整個身份服務網絡將會被分裂，導致部分服務不可用。其次，層次式網絡的身份服務發現過程也較繁瑣。

對等網絡（peer-to-peer，P2P）是一種構建在IP網絡之上的應用層覆蓋網絡，具有良好的可擴展性、頑健性、自組織、部署和維護成本低等特點，常用于文件共享?；赑2P搜索機制，也可實現分布式信息的發現。參考文獻[4]用P2P網絡實現Web服務的發布與發現。參考文獻[5]提出一種雙層P2P結構的物聯網 ONS（object name service，對象名字服務）網絡模型，ONS也是一種信息發現服務。統一身份服務網絡也可用P2P模型進行組織，利用P2P搜索機制實現服務的發現與定位。

基本的P2P網絡結構分為無結構網絡和結構化網絡。無結構網絡通常采用泛洪法進行搜索，代價大，適用于小規模網絡組織；結構化網絡則可利用網絡拓撲信息進行快速搜索且代價小，其缺點是拓撲結構維護的開銷較大。結構化網絡的主流技術是分布式散列表 （distributed hash table,DHT），Chord協議是DHT技術的典型代表。本文基于結構化Chord網絡提出一種統一身份服務網絡模型。

2 Chord網絡

DHT的基本思想是通過一致性散列函數把系統中的節點（node）和數據（data）都映射到ID空間的一個唯一標識，即 NodeID=Hash(Node)，DataID=Hash(Data)。所有節點將ID空間分割成若干子空間，每個節點負責一個子空間，數據存儲在負責DataID所在子空間的節點上。Chord網絡中所有節點按其NodeID大小順時針排列成一個環，每個節點負責存儲DataID小于自身NodeID但大于自身前驅節點NodeID的數據對象。每個節點維護有一張含有m項（m是ID的位數）信息的路由表，節點M的路由表的第i項表示順時針方向與節點M的距離至少為2i-1的第一個節點，即每個表項指向的節點到當前節點的距離是指數遞增的，每一步路由能將當前查詢節點與目標節點間的距離縮短至少一半。在一個有N個節點的Chord網絡中，查詢請求的平均跳數為O(lb N)，但同時，當有節點加入或離開時，環中需要更新路由信息的節點數也為O(lb N)[6]。

3 基于P2P的統一身份服務網絡模型

3.1 體系結構

按角色可將統一身份服務網絡的參與者分為身份服務提供商（identification service provider,ISP）、應用服務提供商（application service provider,ASP）和普通用戶（client）。身份服務提供商實現身份管理的各種功能需求，如身份注冊、關聯、認證、審計和追蹤等。應用服務提供商提供某種類型的應用服務，支持普通用戶以自己的統一身份訪問，它需要訪問某個ISP，對訪問用戶的統一身份進行認證。普通用戶需要發現所需的某種應用服務，并以自己的統一身份訪問該服務。因此，身份服務網絡所要實現的關鍵功能之一就是服務（身份服務或應用服務）的發現與定位。

身份服務網絡的所有參與者都具有一個唯一的統一身份，使服務的發現處理一致。統一身份從身份管理機構獲得，身份管理機構保證統一身份標識的唯一性。身份服務網絡的服務發現具體描述如下。

（1）身份認證時，應用服務提供商根據訪問用戶的統一身份查找該身份的注冊身份服務提供商。

（2）應用服務查詢時，普通用戶根據服務關鍵詞（service keyword）查找所需的服務。一個服務往往有多個關鍵詞，為了減小信息冗余，將服務關鍵詞與服務統一身份綁定，將服務統一身份與服務相關信息綁定，服務查詢分兩步完成，即先根據服務關鍵詞查詢服務統一身份，再根據統一身份查詢服務信息。

（3）身份服務是一種特殊的服務，普通用戶或應用服務注冊統一身份時也需要先根據服務關鍵詞查詢身份服務。因而，基于P2P的統一身份服務網絡可分為兩個邏輯獨立的P2P網絡——“服務查詢網絡”（service querying network,SQN）“身份查詢網絡 ”（identifier querying network,IQN），如圖 1所示。SQN實現服務關鍵詞到服務統一身份的映射，IQN實現統一身份到身份相關信息的映射。

節點的頻繁加入和退出會造成DHT網絡不穩定，極大地增加維護代價。用戶（普通用戶和應用服務提供商）只有在需要服務發現或認證時短暫地訪問身份服務網絡。身份服務發現應視為身份服務提供商應該提供的一種功能，而且由于服務的性質，ISP會一直處于在線工作狀態（故障除外）。為了避免網絡的波動，減小網絡拓撲維護開銷，限定只有身份服務提供商參與組成結構化的P2P身份服務網絡。SQN和IQN都是由身份服務提供商組成的Chord環。身份服務提供商提供代理服務，作為用戶接入身份服務網絡的入口，應用服務提供商或普通用戶可以選擇某個身份服務提供商作為自己的接入代理。

3.2 服務查詢網絡和身份查詢網絡

服務查詢網絡存儲有服務關鍵詞與服務提供商統一身份的綁定關系，用戶可根據服務關鍵詞從這個網絡中查詢支持統一身份訪問的服務的統一身份。DHT只支持精確的關鍵詞匹配查詢，而用戶在查詢時往往根據自己的需求用若干個關鍵詞對服務進行模糊描述。例如，用戶可能要查找離自己最近的某種服務或某個特定位置的某種服務或具有其他某種屬性的服務。因此，服務商在服務查詢網絡中發布自己的服務時，需要根據服務屬性抽象出多個服務關鍵詞。服務查詢網絡中DataID根據服務關鍵詞進行計算，這些關鍵詞可能存儲在不同的節點上。另一方面，相同類型的服務（由不同提供商提供）若恰巧選擇了相同的關鍵詞進行發布，它們將存儲在同一個節點上，查詢網絡要能進行區分，使這些服務都能存儲，也都能被用戶檢索。用戶查詢關鍵詞和服務發布關鍵詞由用戶和服務提供商獨立擬訂，并不完全匹配，代理在為用戶進行服務查詢時，可對用戶提供的服務關鍵詞進行智能化處理，實現有效查詢。

身份查詢網絡存儲所有統一身份和與身份相關聯的信息，對普通用戶而言是用戶屬性信息（如注冊ISP地址），對服務（包括應用服務和身份服務）而言是服務屬性信息（如服務地址、服務描述、服務質量、注冊ISP地址等）。查詢根據統一身份進行，DataID根據統一身份計算。用統一身份進行查詢是精確的，不需要特殊處理。

不同于傳統的數據存儲P2P網絡，身份服務網絡（尤其是身份查詢網絡）中存儲的信息是動態的。例如，統一身份的部分屬性信息可能需要更新或增加屬性信息。身份服務網絡節點應能支持根據DataID進行數據讀、寫（增加）、刪除和更新等操作。

3.3 統一身份注冊及發布

身份服務提供商和應用服務提供商注冊統一身份，并在身份服務網絡中發布統一身份和服務信息后才能支持用戶訪問；普通用戶要以統一身份訪問應用服務，也必須在ISP進行注冊，并在身份查詢網絡中發布統一身份信息。普通用戶的統一身份注冊及發布過程（如圖2所示）描述如下。

圖1 基于P2P的統一身份服務網絡模型

（1）普通用戶根據自己的注冊需求提煉出身份服務關鍵詞（可能有若干個），將這些關鍵詞發送給自己的服務查詢接入代理，代理在服務查詢網絡中查找身份服務提供商。若有多個關鍵詞，用戶可將它們同時發送給代理進行并行查找，加快搜索速度。

（2）服務查詢網絡根據P2P路由查詢符合條件的身份服務提供商，以列表形式返回給用戶（通過服務查詢代理）。

（3）用戶根據返回的統一身份在身份查詢網絡中查找相應身份服務提供商的詳細信息（通過身份查詢網絡代理）。

（4）用戶依據某種策略選擇其中一個身份服務提供商，根據它的地址訪問服務進行統一身份注冊。

（5）注冊成功后，用戶還要在身份查詢網絡中發布自己的統一身份信息，主要包括統一身份和提供該身份管理的ISP的綁定關系等。

應用服務提供商的統一身份注冊過程同上。此外，為了讓用戶能找到自己的服務，應用服務提供商還要在服務查詢網絡中發布自己的服務信息，后續步驟（如圖2所示）如下。

圖2 統一身份注冊流程

（6）應用服務提供商擬訂若干服務關鍵詞，并與自己的統一身份進行綁定。

（7）應用服務提供商將每一對綁定關系都通過代理發布到服務查詢網絡中。

與應用服務提供商不同，身份服務提供商自己進行統一身份注冊，然后在身份查詢網絡中發布自己的統一身份信息，在服務查詢網絡中發布自己的身份服務信息。

3.4 統一身份訪問服務流程

所有參與者注冊并發布自己的統一身份信息（服務還要發布服務信息）后，身份服務網絡支持普通用戶以自己的統一身份訪問在網絡中注冊的所有應用服務。一次完整的普通用戶以其統一身份訪問某應用服務的過程（如圖3所示）如下。

（1）普通用戶根據所需的服務擬定一個或多個應用服務關鍵詞，用這些關鍵詞在服務查詢網絡中查找支持統一身份訪問的應用服務的統一身份（通過服務查詢網絡代理）。

圖3 用統一身份訪問應用服務流程

（2）服務查詢網絡可能查找到若干匹配的應用服務，向用戶返回這些服務提供商的統一身份列表（通過代理）。

（3）用戶根據這些統一身份在身份查詢網絡中查找它們的詳細信息（通過代理），然后根據某種策略選擇其中的一個應用服務進行訪問。

（4）用戶根據該服務提供商的地址訪問應用服務。服務要求認證時，用戶把自己的統一身份發送給該服務。

（5）應用服務接收到用戶的統一身份后，根據該身份在身份查詢網絡中查找該身份的注冊身份服務提供商的地址。

（6）應用服務將用戶統一身份發送給該身份服務提供商請求認證。

（7）身份服務返回認證結果給應用服務。

（8）若認證通過，應用服務允許用戶訪問自己的服務。

4 分析與討論

P2P網絡具有良好的自組織性、可擴展性和頑健性。新的身份服務提供商加入身份服務網絡時，只需要知道已參加服務網絡的一個節點即可，網絡協議可自動完成節點路由信息的更新。當某個節點退出身份服務網絡時，該節點會把自己存儲的統一身份和服務信息轉交給其他節點，只有在該ISP注冊的用戶或服務受影響。當某個節點由于異常退出服務網絡時，P2P協議保證網絡可自愈，只有存儲在該節點上的服務信息或身份信息不可查詢 （在該ISP注冊的用戶或服務也受影響）。

基于P2P的身份服務網絡的查詢時延可能較大。P2P是應用層的覆蓋網絡，它的邏輯拓撲和物理拓撲相分離，查詢物理路徑可能很長。通過設計合理的ID空間（如包含地理位置信息），使在Chord環上鄰近的節點在物理位置上也鄰近，或在代理上對常用的身份和服務信息進行緩存，都可加快查詢速度。

應用服務提供商可能需要使用自己的認證系統（即整合已有的認證基礎設施）。這要求用戶在該服務提供商注冊自己的服務用戶身份。若服務提供用戶以統一身份進行訪問，需要對用戶的統一身份和服務身份進行綁定。這些綁定關系可由用戶或服務提供商管理，例如由用戶或應用服務提供商在身份查詢網絡中作為自己身份的屬性進行保存。當用戶以統一身份訪問該服務時，ASP從身份管理網絡獲得相應的用戶服務身份再進行認證。

5 結束語

服務發現與定位是統一身份服務中的關鍵問題之一。本文基于結構化的P2PChord網絡提出了一種新的統一身份服務網絡模型。該模型中，ISP提供身份管理需求的各種功能，并組成服務查詢和身份查詢P2P網絡，利用P2P的搜索機制實現服務的發現與定位，具有良好的可擴展性和頑健性。本文也討論了該模型網絡的體系結構、統一身份信息的注冊和發布、服務信息的發布，給出了普通用戶用統一身份訪問應用服務的流程。設計并實現一個實用的基于P2P的身份服務網絡是進一步的研究工作。

1 ITU-T X.1250.Baseline Capabilities for Enhanced Global Identity Management and Interoperability,2009

2 ITU-T.Report on Requirements for Global Interoperable Identity Management,2007

3 孫韓林，劉建華.公眾網絡統一身份認證服務及標準研究.電信科學,2013,29(2):84~88

4 孫尚，吳卿，周必水.基于P2P的語義Web服務發現機制.計算機工程,2009,35(11):38~40

5 羅衛敏，熊江，應宏等.物聯網中基于兩層P2P結構的ONS模型.計算機工程,2012,38(12):80~83

6 張春紅，裘曉峰，弭偉等.P2P技術全面解析.北京:人民郵電出版社,2010