一种基于P2P的统一身份服务网络模型*

孙韩林，刘建华

（1.西安邮电大学计算机学院 西安 710121；2.西安邮电大学信息中心 西安 710121）

1 引言

随着信息网络技术的发展，人们使用的信息服务越来越多，这需要用户记忆大量的认证信息（如账号、密码等），给用户带来极大的不便。统一身份认证 （unified identifier authentication）可实现“一次登录，多处访问”，消除了用户记忆大量认证信息的负担。标准化组织，如ITU-T（International Telecommunications Union TelecommunicationStandardization Sector，国际电信联盟远程通信标准化组织）、自由联盟、OASIS（Organization for the Advancement of Structured Information Standards，结构化信息标准促进组织）、IETF（Internet Engineering Task Force，互联网工程任务组）、ETSI（European Telecommunications Standards Institute，欧洲电信标准化协会）等，都在进行统一身份认证研究。美国、韩国和日本等信息技术发达国家纷纷提出各自的身份认证战略。我国也成立了全国信息安全标准化技术委员会鉴别与授权工作组，推动身份识别和授权技术的研究和发展。

ITU-T将统一身份认证定义为 “是对一实体声称的标识为真提供证明，并实现单点登录”，“实体可以为真人、动物、法律人、组织、主动或被动之物、设备、软件应用、服务等或上述个体的组合”[1]。ITU-T全球兼容身份管理的功能需求包括：身份信息的管理、身份信息的关联、身份信息的认证、身份信息的发现与桥接、身份信息的传输、身份信息的审计与追踪和身份信息的扩展[2]。其中，“身份信息的发现与桥接”是实现可互操作的分布式身份管理的关键，它指在一个拥有大量游牧用户和身份提供商的分布式公共网络中发现并使用新的身份服务。参考文献[3]提出了一种基于行政区划的层次式统一身份认证服务网络模型。该模型中，若某个服务节点发生故障，则整个身份服务网络将会被分裂，导致部分服务不可用。其次，层次式网络的身份服务发现过程也较繁琐。

对等网络（peer-to-peer，P2P）是一种构建在IP网络之上的应用层覆盖网络，具有良好的可扩展性、顽健性、自组织、部署和维护成本低等特点，常用于文件共享。基于P2P搜索机制，也可实现分布式信息的发现。参考文献[4]用P2P网络实现Web服务的发布与发现。参考文献[5]提出一种双层P2P结构的物联网 ONS（object name service，对象名字服务）网络模型，ONS也是一种信息发现服务。统一身份服务网络也可用P2P模型进行组织，利用P2P搜索机制实现服务的发现与定位。

基本的P2P网络结构分为无结构网络和结构化网络。无结构网络通常采用泛洪法进行搜索，代价大，适用于小规模网络组织；结构化网络则可利用网络拓扑信息进行快速搜索且代价小，其缺点是拓扑结构维护的开销较大。结构化网络的主流技术是分布式散列表 （distributed hash table,DHT），Chord协议是DHT技术的典型代表。本文基于结构化Chord网络提出一种统一身份服务网络模型。

2 Chord网络

DHT的基本思想是通过一致性散列函数把系统中的节点（node）和数据（data）都映射到ID空间的一个唯一标识，即 NodeID=Hash(Node)，DataID=Hash(Data)。所有节点将ID空间分割成若干子空间，每个节点负责一个子空间，数据存储在负责DataID所在子空间的节点上。Chord网络中所有节点按其NodeID大小顺时针排列成一个环，每个节点负责存储DataID小于自身NodeID但大于自身前驱节点NodeID的数据对象。每个节点维护有一张含有m项（m是ID的位数）信息的路由表，节点M的路由表的第i项表示顺时针方向与节点M的距离至少为2i-1的第一个节点，即每个表项指向的节点到当前节点的距离是指数递增的，每一步路由能将当前查询节点与目标节点间的距离缩短至少一半。在一个有N个节点的Chord网络中，查询请求的平均跳数为O(lb N)，但同时，当有节点加入或离开时，环中需要更新路由信息的节点数也为O(lb N)[6]。

3 基于P2P的统一身份服务网络模型

3.1 体系结构

按角色可将统一身份服务网络的参与者分为身份服务提供商（identification service provider,ISP）、应用服务提供商（application service provider,ASP）和普通用户（client）。身份服务提供商实现身份管理的各种功能需求，如身份注册、关联、认证、审计和追踪等。应用服务提供商提供某种类型的应用服务，支持普通用户以自己的统一身份访问，它需要访问某个ISP，对访问用户的统一身份进行认证。普通用户需要发现所需的某种应用服务，并以自己的统一身份访问该服务。因此，身份服务网络所要实现的关键功能之一就是服务（身份服务或应用服务）的发现与定位。

身份服务网络的所有参与者都具有一个唯一的统一身份，使服务的发现处理一致。统一身份从身份管理机构获得，身份管理机构保证统一身份标识的唯一性。身份服务网络的服务发现具体描述如下。

（1）身份认证时，应用服务提供商根据访问用户的统一身份查找该身份的注册身份服务提供商。

（2）应用服务查询时，普通用户根据服务关键词（service keyword）查找所需的服务。一个服务往往有多个关键词，为了减小信息冗余，将服务关键词与服务统一身份绑定，将服务统一身份与服务相关信息绑定，服务查询分两步完成，即先根据服务关键词查询服务统一身份，再根据统一身份查询服务信息。

（3）身份服务是一种特殊的服务，普通用户或应用服务注册统一身份时也需要先根据服务关键词查询身份服务。因而，基于P2P的统一身份服务网络可分为两个逻辑独立的P2P网络——“服务查询网络”（service querying network,SQN）“身份查询网络 ”（identifier querying network,IQN），如图 1所示。SQN实现服务关键词到服务统一身份的映射，IQN实现统一身份到身份相关信息的映射。

节点的频繁加入和退出会造成DHT网络不稳定，极大地增加维护代价。用户（普通用户和应用服务提供商）只有在需要服务发现或认证时短暂地访问身份服务网络。身份服务发现应视为身份服务提供商应该提供的一种功能，而且由于服务的性质，ISP会一直处于在线工作状态（故障除外）。为了避免网络的波动，减小网络拓扑维护开销，限定只有身份服务提供商参与组成结构化的P2P身份服务网络。SQN和IQN都是由身份服务提供商组成的Chord环。身份服务提供商提供代理服务，作为用户接入身份服务网络的入口，应用服务提供商或普通用户可以选择某个身份服务提供商作为自己的接入代理。

3.2 服务查询网络和身份查询网络

服务查询网络存储有服务关键词与服务提供商统一身份的绑定关系，用户可根据服务关键词从这个网络中查询支持统一身份访问的服务的统一身份。DHT只支持精确的关键词匹配查询，而用户在查询时往往根据自己的需求用若干个关键词对服务进行模糊描述。例如，用户可能要查找离自己最近的某种服务或某个特定位置的某种服务或具有其他某种属性的服务。因此，服务商在服务查询网络中发布自己的服务时，需要根据服务属性抽象出多个服务关键词。服务查询网络中DataID根据服务关键词进行计算，这些关键词可能存储在不同的节点上。另一方面，相同类型的服务（由不同提供商提供）若恰巧选择了相同的关键词进行发布，它们将存储在同一个节点上，查询网络要能进行区分，使这些服务都能存储，也都能被用户检索。用户查询关键词和服务发布关键词由用户和服务提供商独立拟订，并不完全匹配，代理在为用户进行服务查询时，可对用户提供的服务关键词进行智能化处理，实现有效查询。

身份查询网络存储所有统一身份和与身份相关联的信息，对普通用户而言是用户属性信息（如注册ISP地址），对服务（包括应用服务和身份服务）而言是服务属性信息（如服务地址、服务描述、服务质量、注册ISP地址等）。查询根据统一身份进行，DataID根据统一身份计算。用统一身份进行查询是精确的，不需要特殊处理。

不同于传统的数据存储P2P网络，身份服务网络（尤其是身份查询网络）中存储的信息是动态的。例如，统一身份的部分属性信息可能需要更新或增加属性信息。身份服务网络节点应能支持根据DataID进行数据读、写（增加）、删除和更新等操作。

3.3 统一身份注册及发布

身份服务提供商和应用服务提供商注册统一身份，并在身份服务网络中发布统一身份和服务信息后才能支持用户访问；普通用户要以统一身份访问应用服务，也必须在ISP进行注册，并在身份查询网络中发布统一身份信息。普通用户的统一身份注册及发布过程（如图2所示）描述如下。

图1 基于P2P的统一身份服务网络模型

（1）普通用户根据自己的注册需求提炼出身份服务关键词（可能有若干个），将这些关键词发送给自己的服务查询接入代理，代理在服务查询网络中查找身份服务提供商。若有多个关键词，用户可将它们同时发送给代理进行并行查找，加快搜索速度。

（2）服务查询网络根据P2P路由查询符合条件的身份服务提供商，以列表形式返回给用户（通过服务查询代理）。

（3）用户根据返回的统一身份在身份查询网络中查找相应身份服务提供商的详细信息（通过身份查询网络代理）。

（4）用户依据某种策略选择其中一个身份服务提供商，根据它的地址访问服务进行统一身份注册。

（5）注册成功后，用户还要在身份查询网络中发布自己的统一身份信息，主要包括统一身份和提供该身份管理的ISP的绑定关系等。

应用服务提供商的统一身份注册过程同上。此外，为了让用户能找到自己的服务，应用服务提供商还要在服务查询网络中发布自己的服务信息，后续步骤（如图2所示）如下。

图2 统一身份注册流程

（6）应用服务提供商拟订若干服务关键词，并与自己的统一身份进行绑定。

（7）应用服务提供商将每一对绑定关系都通过代理发布到服务查询网络中。

与应用服务提供商不同，身份服务提供商自己进行统一身份注册，然后在身份查询网络中发布自己的统一身份信息，在服务查询网络中发布自己的身份服务信息。

3.4 统一身份访问服务流程

所有参与者注册并发布自己的统一身份信息（服务还要发布服务信息）后，身份服务网络支持普通用户以自己的统一身份访问在网络中注册的所有应用服务。一次完整的普通用户以其统一身份访问某应用服务的过程（如图3所示）如下。

（1）普通用户根据所需的服务拟定一个或多个应用服务关键词，用这些关键词在服务查询网络中查找支持统一身份访问的应用服务的统一身份（通过服务查询网络代理）。

图3 用统一身份访问应用服务流程

（2）服务查询网络可能查找到若干匹配的应用服务，向用户返回这些服务提供商的统一身份列表（通过代理）。

（3）用户根据这些统一身份在身份查询网络中查找它们的详细信息（通过代理），然后根据某种策略选择其中的一个应用服务进行访问。

（4）用户根据该服务提供商的地址访问应用服务。服务要求认证时，用户把自己的统一身份发送给该服务。

（5）应用服务接收到用户的统一身份后，根据该身份在身份查询网络中查找该身份的注册身份服务提供商的地址。

（6）应用服务将用户统一身份发送给该身份服务提供商请求认证。

（7）身份服务返回认证结果给应用服务。

（8）若认证通过，应用服务允许用户访问自己的服务。

4 分析与讨论

P2P网络具有良好的自组织性、可扩展性和顽健性。新的身份服务提供商加入身份服务网络时，只需要知道已参加服务网络的一个节点即可，网络协议可自动完成节点路由信息的更新。当某个节点退出身份服务网络时，该节点会把自己存储的统一身份和服务信息转交给其他节点，只有在该ISP注册的用户或服务受影响。当某个节点由于异常退出服务网络时，P2P协议保证网络可自愈，只有存储在该节点上的服务信息或身份信息不可查询 （在该ISP注册的用户或服务也受影响）。

基于P2P的身份服务网络的查询时延可能较大。P2P是应用层的覆盖网络，它的逻辑拓扑和物理拓扑相分离，查询物理路径可能很长。通过设计合理的ID空间（如包含地理位置信息），使在Chord环上邻近的节点在物理位置上也邻近，或在代理上对常用的身份和服务信息进行缓存，都可加快查询速度。

应用服务提供商可能需要使用自己的认证系统（即整合已有的认证基础设施）。这要求用户在该服务提供商注册自己的服务用户身份。若服务提供用户以统一身份进行访问，需要对用户的统一身份和服务身份进行绑定。这些绑定关系可由用户或服务提供商管理，例如由用户或应用服务提供商在身份查询网络中作为自己身份的属性进行保存。当用户以统一身份访问该服务时，ASP从身份管理网络获得相应的用户服务身份再进行认证。

5 结束语

服务发现与定位是统一身份服务中的关键问题之一。本文基于结构化的P2PChord网络提出了一种新的统一身份服务网络模型。该模型中，ISP提供身份管理需求的各种功能，并组成服务查询和身份查询P2P网络，利用P2P的搜索机制实现服务的发现与定位，具有良好的可扩展性和顽健性。本文也讨论了该模型网络的体系结构、统一身份信息的注册和发布、服务信息的发布，给出了普通用户用统一身份访问应用服务的流程。设计并实现一个实用的基于P2P的身份服务网络是进一步的研究工作。

1 ITU-T X.1250.Baseline Capabilities for Enhanced Global Identity Management and Interoperability,2009

2 ITU-T.Report on Requirements for Global Interoperable Identity Management,2007

3 孙韩林，刘建华.公众网络统一身份认证服务及标准研究.电信科学,2013,29(2):84~88

4 孙尚，吴卿，周必水.基于P2P的语义Web服务发现机制.计算机工程,2009,35(11):38~40

5 罗卫敏，熊江，应宏等.物联网中基于两层P2P结构的ONS模型.计算机工程,2012,38(12):80~83

6 张春红，裘晓峰，弭伟等.P2P技术全面解析.北京:人民邮电出版社,2010