面向多維統一標識體系的標識解析映射機制

繆靜瑩，郜 帥，侯心迪，劉寧春

(北京交通大學 電子信息工程學院 移動專用網絡國家工程研究中心，北京 100044)

0 引 言

在傳統TCP/IP網絡體系架構中，標識是支撐網絡通信的重要基石。隨著第五代數據網(網絡5.0)概念的出現，網絡要求作為數據網的IP網有著更加全面的內生能力[1]，然而，由于歷史原因，傳統互聯網標識命名及其解析映射體系存在先天的缺陷和不足，難以支撐起“互聯網+”形勢下多元化的應用需求[2]。具體來說：

(1)在網絡層中，使用的IP地址存在身份與位置綁定的二義性問題，造成傳統網絡有著移動性支持、安全和位置隱私、多家鄉連接、路由規模可擴展性等諸多問題；

(2)在傳輸層中，采用的形式來標識連接，使得傳輸層的名稱空間依賴于下層網絡層的名稱空間，這種設計限制了上層應用提供移動場景下的無縫通信服務。同時，由于業務與網絡的分層解耦[3]，使得網絡缺乏對上層應用的需求感知，難以支持網絡智慧化通信；

(3)在應用層中，采用層次化語義URI對服務和內容資源進行統一描述，并通過DNS系統維護URI與IP地址之間的映射關系，造成資源與網絡位置的依賴，使得網絡中存在資源冗余、靈活性差、傳輸效率低的弊端。

當前，國內外研究機構已開展了對新型網絡標識以及標識解析映射的相關研究和開發，出現了多種新型網絡，具有代表性的有：美國國家科學基金會NSF資助的FIA中包含的4個未來互聯網體系結構項目[4]，分別是以內容資源為中心的命名數據網絡NDN[5]，圍繞移動性為設計目標的MobilityFirst[6]，以云計算為中心的NEBULA[7]，支持主機、內容、服務等主體間接通信的XIA[8]；國家啟動的“863”計劃、“973”計劃以及國家重點研發計劃產出了面向服務的SOFIA體系架構，提出“4種標識”和“3種映射”的一體化標識網絡[9]，支持網絡資源動態適配的智慧協同標識網絡[10]和融合全網多空間、多維度資源的智融標識網絡[2]等。

為了滿足面向未來互聯網的多元化業務在高安全、輕量級、智能化、高效性、移動性等方面的迫切需求，張宏科院士團隊提出了面向對象、內容、服務、連接的多維統一標識體系，能夠合理解決傳統互聯網的不足。多維統一標識可用于描述設備對象、內容、服務、特定組等多種網絡對象，采用多維屬性描述(Multidimensional Attribute Description，MAD)對差異化的網絡對象進行抽象表述，采用扁平化的多維統一標識(Unified Identifiers，UID)作為身份標識符，采用可聚合的網絡連接標識(Network Interconnection Identifiers，NID)作為位置標識符，將網絡對象的身份與位置分離，保護用戶安全和位置隱私，支持移動性。

隨著新型網絡研究的開展，尤其在ICN出現后，標識解析服務被認為是由網絡本身提供的一項基礎功能，用于幫助用戶終端使用持久化的唯一標識符訪問網絡對象。至今為止，國內外的研究者提出了一些標識解析映射機制。基于LISP[11]協議，出現了ALT[12]、LISP-DHT[13]、NERD、LISP-TREE[14]等不同架構的標識映射方案。NetInf[15]項目中的標識解析系統采用多層次分布式哈希表(MDHT[16])保證了恒定跳數的解析。MobilityFirst項目中提出了Auspice[17]、GMap、DMap[18]三種全局名稱解析服務(GNS)，Auspice采用需求感知的副本引擎部署映射信息，GMap和DMap都采用分布式哈希表(DHT)，不同的是GMap考慮了標識的地理歸屬。在一體化標識網絡以及標識網絡的后續研究中，針對前綴可聚合的接入標識AID，研究者提出了基于字典樹前綴匹配的層級式映射系統[19]，引入租約機制確保映射信息的強一致性[20]。

從上述新型網絡標識及其標識解析映射機制的研究可以看出，標識解析映射機制的設計與標識本身的命名機制、應用場景、網絡類型、規模大小緊密相關，現階段的研究方案主要針對從唯一身份標識到位置標識的一次映射，缺乏對網絡資源檢索的支持，并且在移動場景中欠缺對網絡位置實時感知、映射同步更新的考慮。

針對多維統一標識體系，該文提出了一種面向多維統一標識體系的標識解析映射機制，以滿足基于多維屬性的多維統一標識網絡通信需求。表1比較了幾種網絡架構與其映射系統的特點。標識解析映射機制維護了多維統一標識與多維屬性描述及網絡連接標識三種信息之間的映射關系，將網絡對象中靜態的固有屬性和動態的網絡屬性進行分離，實現網絡資源靈活搜索、服務智慧定位的功能，賦予網絡除數據承載外更豐富的資源感知能力。 同時， 基于網絡控制與轉發分離的新型網絡范式，將網絡位置的映射解析能力集中在控制面，提高了映射的實時同步效率。本標識解析映射機制的特點如下：基于服務層和網絡層的雙層解析映射；支持基于多維屬性的多類型對象檢索；支持移動感知與映射同步更新；采用分布式的映射存儲集群，配合高性能分布式搜索引擎，實現大規模映射信息的存儲和查詢。

表1 幾種網絡架構與其映射系統的特點比較

1 面向多維統一標識體系的標識解析映射機制

1.1 多維統一標識體系框架與運行機理

多維統一標識體系框架如圖1所示，由服務層、接口層和網絡層以及映射空間構成。

圖1 多維統一標識體系框架

服務層針對上層新型多樣的網絡應用，基于多維屬性對差異化的應用屬性進行統一描述，構成多維屬性描述。面向復雜多維的用戶需求，將請求統一為對目的對象的多維屬性描述。

接口層對服務層生成的MAD進行管理，建立從抽象的MAD到UID的映射關系(稱為服務層映射)，并且向映射空間發布服務層映射。根據用戶多維屬性需求描述發起服務層映射查詢，獲取目的對象的UID，從而為服務層提供透明的基于多維屬性描述的通信服務。同時，通過解析目的對象的多維屬性描述，為網絡層傳遞基于網絡對象特性的通信配置。

網絡層負責管理設備的UID，基于UID區分不同的網絡對象，通過標識通告機制向映射空間注冊UID到NID的動態映射關系(稱為網絡層映射)。網絡層支持使用UID建立域內通信或使用NID建立快速的跨域通信，基于接口層傳遞的通信配置，支持多維尋址、個性化路由。

映射空間存儲服務層、網絡層映射關系，完成標識映射關系的注冊、查詢和響應。該空間為服務請求者提供基于多維屬性的網絡對象檢索功能，無需感知難以理解的網絡標識。

在多維統一標識體系中，每個網絡對象擁有MAD、UID、NID三種描述信息。在網絡設備首次入網時需發起服務層映射注冊，注冊信息包含設備離線認證生成的DUID(Device Unified Identifiers)和設備MAD，之后，作為服務提供者的網絡設備可注冊其提供的服務或內容的MAD，由標識解析映射系統生成UID并返回。完成服務層注冊的網絡對象可以被其他網絡用戶通過服務層映射查詢請求搜索到，通過UID建立一對一單播通信，或向其他網絡用戶傳遞內容資源。任何網絡設備連接至新的網絡后，會發起網絡層映射注冊，因此網絡層映射隨著設備的跨域移動實時發生更新。標識解析映射系統保證通信建立時，路由設備通過網絡層映射查詢能夠獲取最新的NID信息。

1.2 標識解析映射框架

多維統一標識的標識解析映射框架如圖2所示，主要模塊功能如下：

終端接入模塊負責建立終端和解析映射系統之間的接入關系。其中，接入檢測單元轉發已認證終端的多維統一標識通告報文(簡稱標識通告報文)至網絡層解析映射模塊；解析轉發單元解析多維統一標識數據報文類型和目的標識，進行相應的報文轉發操作。該模塊在網絡中的實體設備為接入交換路由器。

網絡層解析映射模塊負責建立和維護網絡層映射關系。其中，網絡層映射檢測單元通過解析標識通告報文獲取UID信息，檢測報文來源的接入模塊網絡位置、接入端口等信息生成NID標識，下發UID轉發表的流表項至交換機用于域內轉發，同時構建UID-NID網絡層映射信息傳遞至網絡層映射管理單元。網絡層映射管理單元負責注冊或查詢網絡層映射信息，對于注冊請求，首先將映射關系轉換為UID-NID映射表的流表項下發至交換機，同時，將映射信息發送至映射存儲集群模塊進行同步存儲；對于查詢請求，向映射存儲集群模塊發起分布式搜索，獲取網絡層映射信息轉換為UID-NID映射表的流表項下發。該模塊在網絡中的實體設備為網絡層映射服務器。

服務層解析映射模塊負責建立和維護服務層映射關系。其中，服務層映射解析單元通過解析多維統一標識映射報文，識別映射報文類型，提取報文中UID標識、對象類型、多維屬性描述等信息，傳遞至服務層映射管理單元。服務層映射管理單元針對報文類型執行相應操作。該模塊在網絡中的實體設備為服務層映射服務器。

對于服務層映射注冊請求(對服務對象，該單元會根據MAD信息生成服務對象的SUID)，服務層映射管理單元建立待注冊對象的UID-MAD服務層映射，發送至映射存儲集群單元進行映射存儲。

對于映射查詢請求，服務層映射管理單元依據MAD信息向映射存儲集群模塊發起分布式搜索，支持精確查詢、最優查詢、批量查詢三種查詢方式。精確查詢用于搜索包含全部屬性描述的查詢請求，若沒有全部屬性均匹配的網絡對象則會響應查詢失敗；最優查詢用于搜索包含全部或部分屬性描述的查詢請求，查詢會返回一條屬性匹配度最高的網絡對象信息；批量查詢用于搜索包含部分屬性描述的查詢請求，查詢結果按屬性匹配度順序返回多條網絡對象信息。

映射存儲集群模塊存儲多維統一標識映射信息，采用多個節點構成一個容量可伸縮的映射存儲集群，部署實時的分布式搜索引擎Elasticsearch和關系型數據庫MySQL，能夠兼顧服務層基于MAD的對象檢索功能和頻繁更新的網絡層映射查詢。采用一主多從的安全備份策略，既提高了數據響應效率，還能避免數據丟失的風險，保障了系統可用性。該模塊在網絡中的實體設備為映射存儲集群。

圖2 標識解析映射框架

1.3 標識解析映射工作流程

1.3.1 多維統一標識映射報文

在多維統一標識體系中，終端設備是服務層映射注冊和查詢的主體，終端發送的多維統一標識映射報文如圖3所示。事務ID保證了請求和響應報文的一一對應，映射報文類型與子類型明確了具體的請求事務，響應報文通過狀態碼傳遞事務執行狀態，報文主體部分填充JSON格式的MAD或UID信息。

圖3 多維統一標識映射報文格式

1.3.2 服務層解析映射工作流程

以應用服務的注冊和查詢為例，介紹服務層解析映射的具體工作流程。如圖4所示，該流程中的終端設備1和終端設備2已經完成設備注冊，此時，終端設備1注冊其應用服務，圖4(a)展示了服務層映射注冊的過程。終端設備1發起服務層映射注冊請求，接入交換路由器解析出報文類型后轉發報文至區域內的服務層映射服務器，服務器解析報文負載中相關信息，生成SUID并構建服務層映射條目存儲至映射存儲集群，存儲成功后返回的響應報文中包含SUID信息。

圖4 服務層解析映射工作流程

在設備1注冊成功后，設備2想要請求該應用服務，圖4(b)展示了服務層映射查詢的過程。終端設備2發起服務層映射查詢，查詢類型標記在多維統一標識映射報頭子類型字段中，請求轉發至區域內服務層映射服務器，服務器提取報文負載中的信息，向存儲集群發起分布式搜索，最后根據用戶請求的查詢類型整合搜索結果構建響應報文返回至查詢方。

1.3.3 網絡層解析映射及傳輸工作流程

網絡層解析映射及傳輸工作流程如圖5所示。設備1進入接入交換路由器1所在網絡中，圖5(a)展示了網絡層映射注冊流程。設備1向網絡中發送標識通告報文，報文由接入交換路由器轉發至網絡層映射服務器，服務器從報文中解析UID，同時獲取報文來源路由設備、端口等位置信息生成NID標識，構建出UID-NID網絡層映射，該映射信息存儲至映射集群。映射存儲成功之后，服務器會下發UID轉發表、UID-NID映射表條目至報文來源路由器。

設備1注冊成功后，設備2向設備1發起通信，圖5(b)展示了報文傳輸及網絡層映射查詢的流程。設備2發起通信請求，接入交換路由器2解析目的UID，由于路由器2中無此UID的映射條目，因此觸發了網絡層映射查詢流程。此通信報文被轉發至網絡層映射服務器，服務器查詢到結果后將NID填入報文中，然后將報文下發至報文來源路由器，路由器依據報文中的NID進行轉發。同時，服務器會構建UID-NID映射條目下發至路由器2，用于之后通信報文的快速轉發。報文到達接入交換路由器1后，路由器會刪除NID信息，依據UID轉發表將報文發送至目的終端設備1。

圖5 網絡層解析映射工作流程

2 實驗測試和結果

2.1 實驗環境

多維統一標識解析映射原型系統網絡拓撲如圖6所示。網絡中包含三臺數據平面可編程P4交換機，型號均為Barefoot Networks Wedge100BF-32X。兩臺高性能服務器，分別為服務層映射服務器S1、網絡層映射服務器S2，配置為Intel?Xeon?Silver 4212 CPU @ 2.20 GHz * 48，搭載62.6 GB內存。S2與網絡內三臺交換機通過P4Runtime協議通信。一臺主機作為服務請求方A與交換機R2相連，一臺普通服務器作為服務提供方B與交換機R3相連，S1與交換機R1相連。

圖6 標識解析映射原型系統拓撲

2.2 功能測試

2.2.1 標識解析映射機制注冊功能測試

在本測試環境中，設備A和設備B均已離線申請并認證了DUID。首先，兩臺設備接入網絡，設備發出標識通告報文，交換機收到報文后轉發至網絡層映射服務器S2進行網絡層映射注冊，S2執行網絡層映射構建、映射存儲、流表分發等流程。如圖7(a)所示，S2的數據庫中存儲了DUID-A、DUID-B的網絡層映射條目，圖7(b)展示了相關流表的下發情況。

(a)注冊后網絡層映射數據庫內容

同時，設備A和設備B向服務層映射服務器S1發起設備注冊。作為服務提供方，設備B繼續向S1注冊了高清視頻服務。圖7(c)中展示了S1解析B發送的高清視頻服務屬性描述，并且將生成的SUID-B存儲到數據庫的日志內容。S1完成上述步驟后，發送服務層映射注冊響應報文給設備B，然后設備B會發送標識通告報文對SUID-B進行網絡層映射注冊。可以看出，該機制在實驗環境下完成了標識映射關系的注冊。

2.2.2 標識解析映射機制查詢功能測試

設備成功注冊之后，可以與其他網絡對象建立通信或請求/提供應用服務。服務請求方A想要觀看高清視頻，A通過多維統一標識終端發起服務類型屬性為高清視頻的最優查詢，服務層映射查詢請求轉發至S1，S1解析出網絡中提供該類型服務的網絡對象SUID-B并發送響應報文。圖8(a)展示了S1執行本功能的日志。

接著，服務請求方A請求SUID-B的服務，數據報文的目的UID為SUID-B。交換機R2本地未匹配SUID-B條目，因此向S2發起網絡層映射請求。S2處理網絡層映射查詢請求，將查詢結果以流表的形式下發至交換機R2，圖8(b)展示了網絡層映射流表的具體內容。通過上述流程，該機制在實驗環境下完成了標識映射關系的查詢，實現了網絡的正常運行。

(a)服務層解析映射查詢事務日志

2.3 性能測試

為測試解析映射機制的性能，本測試在圖6所示的環境中使用JMeter壓力測試工具使一臺設備可以發出大量報文，模擬大規模終端并發場景。

2.3.1 服務層解析映射性能測試

本測試將使用響應時延對服務層解析映射機制的性能進行評估。響應時延是指用戶從開始發送請求到接收到相應請求的響應報文的時間間隔，該指標是衡量該機制解析映射處理效率的重要指標。

圖9展示了服務層解析映射響應時延的測試結果箱線圖。由于注冊是數據寫入過程，查詢是數據讀取過程，而數據庫的寫入比讀取更大的開銷，因此注冊的響應時延要高于查詢過程。從圖中可以看出，隨著并發量遞增，服務層映射注冊的平均響應時間在23 ms內，服務層映射查詢的平均響應時間在3 ms以內。隨著并發量的增加，響應時延的抖動略有增加，這與網絡質量的抖動相關，但響應時延仍然保持在合理的范圍內。

圖9 服務層解析映射性能測試結果

2.3.2 網絡層解析映射性能測試

本測試將使用平均查詢時延對網絡層解析映射機制的性能進行評估，平均查詢時延是指網絡層映射服務器查詢映射所用的平均時間。

同時，使用平均傳輸時延評估網絡層解析映射對原型系統網絡傳輸的影響。平均傳輸時延是指從一個設備發出數據通信報文，交換機查詢網絡層映射并根據查詢結果轉發報文，目的設備收到數據報文的平均間隔時間，包括了上述查詢時延部分。

為了模擬高并發高移動場景，讓每個報文轉發都經歷網絡層映射查詢過程，在測試過程中，1.3.3節所述的映射查詢結果不會寫入交換機流表中。

表2展示了平均查詢時延與傳輸時延的測試結果。從表中分析可得，隨著并發量遞增，兩種時延值在增加，但是查詢時延的占比保持在穩定的水平并且還有下降的趨勢，說明大流量對網絡傳輸造成了一定的影響，使得查詢時延和傳輸時延都有一定程度的增加，但是網絡層映射查詢功能的開銷是穩定的。由于網絡層解析映射服務器與服務層解析映射服務器相比增加了設備感知、網絡控制、流表下發等功能，機器負載較高，因此，與2.3.1節中服務層映射查詢響應時延相比，本節測試結果中平均查詢時延較高。

表2 網絡層解析映射性能測試結果

綜上所述，在高并發高移動場景中，在保證網絡帶寬的前提下，本解析映射機制能提供較為穩定的通信傳輸時延。

3 結束語

針對現有網絡在標識設計及解析映射機制上的缺陷，提出了一種面向多維統一標識體系的標識解析映射機制。提出了多維統一標識體系框架，通過設計多維統一標識映射報文，實現多維統一標識體系下映射注冊與查詢的信息交互；通過服務層解析映射和支持分布式搜索的存儲集群，實現了基于多維屬性的大規模多類型對象的注冊和檢索；通過網絡層解析映射，能夠對網絡位置實時感知、同步更新映射。功能和性能測試的結果表明，該機制能夠有效地實現面向多維統一標識體系的標識解析映射，可承受較大規模的并發請求，映射解析過程給傳輸帶來的時延穩定在合理的范圍內。