（通信与信息系统专业论文）基于jxta的p2p应用系统分析与研究.pdf

摘要 p 2 p 网络是近年来计算机领域研究与关注的一个焦点，它在很多领域都得到了 应用。p 2 p 网络自身的分散化、自治性、动态性、自组织性、异构性等特点，对 p 2 p 的安全问题提出了很大的挑战。不过这些安全问题在j x t a 平台中得到了一定 的解决。j x t a 是s u n 公司推出的开放性对等网络研究项目，其主要目的是致力于 从所有的p 2 p 系统中分离出系统通用的需求，从而建立一整套泛型p 2 p 基础协议， 整合p 2 p 应用、标准化p 2 p 服务，利用该平台可以开发出跨平台的、高效的、安 全的网络应用系统。 本文主要论述了笔者设计并实现的x i d i a n t a l k 系统模型。该系统以j x t a 架构为基础，实现了对等组管理模块、安全即时通信模块，包含对等组内一对一 和群组文本消息通信。 本文的主要研究和实现工作可以分为以下几个方面： ( 1 ) 介绍研究背景以及国内外研究现状； ( 2 ) 对p 2 p 网络技术进行研究，重点包含p 2 p 网络结构、特点以及其安全性； ( 3 ) 对j x t a 技术进行介绍，包括j x t a 基本概念、网络架构以及协议簇，并 且重点研究了j x t a 安全性； ( 4 ) 对本文设计并实现的系统( x i d i a n t a l k ) 进行详细分析，并对其进行总体 设计和功能模块的划分； ( 5 ) 对x i d i a n t a l k 系统中主要功能模块：对等组管理模块，安全即时通信 模块进行详细的分析、设计以及实现； ( 6 ) 对x i d i a n t a l k 系统模型中各功能模块进行测试，验证其可行性和准确 性。 经测试，本文所设计并实现的x i d l a n t a l k 系统能够完成各项预期功能。 关键词：p 2 pj x t a 即时通信对等组管理安全认证j a v a a b s t r a c t p e e r - t o p e e rn e t w o r ki saf o c u so fr e s e a r c ha n da t t e n t i o n si nt h ef i e l d so fc o m p u t e r i nr e c e n t y e a r s ，a n d i th a sb e e na p p l i e di nm a n yf i e l d s h o w e v e r , d u et oi t s c h a r a c t e r i s t i c so fd e c e n t r a l i z a t i o n , a u t o n o m y ，d y n a m i c s ，s e l f - o r g a n i z a t i o n a n d h e t e r o g e n e i t y ，w h i c hh a v eb r o u g h ta b o u tg r e a tc h a l l e n g e st os e c u r i t yi s s u e b u tt h e s e s e c u r i t yi s s u e sh a v eb e e ng o t t e nc e r t a i ns o l u t i o ni nt h ej x t ap l a t f o r m j x t ai sa l lo p e n p 2 pp r o j e c tb ys u nc o r p i t st a r g e ti st oe x t r a c tt h eg e n e r a lr e q u i r e m e n t sf o r ma l lp 2 p s y s t e m s ，s oa st oc r e a t ec o m m o nu n d e r n e a t hp r o t o c o l s ，w h i c hu s e dt on o r m a l i z ea n d s t a n d a r d i z ea l lk i n d so fp 2 pc o r e ，s e r v i c e sa n da p p l i c a t i o n s i ti s e a s yt od e v e l o p e f f i c i e n ta n ds e c u r en e t w o r ka p p l i c a t i o ns y s t e mo nd i f f e r e n tp l a t f o r m sb yj x t a p l a t f o r m t 【l i sp a p e rp r i m a r i l yd i s c u s s e sw h a tih a v ed e s i g n e da n di m p l e m e n t e das y s t e m m o d e ln a m e dx i d i a n t a l k 。w i t ht h ej x t at e c h n i q u e ，t h ep r o j e c th a sr e a l i z e dt h e m a n a g e m e n to ft h ep e e rm o d u l eo fg r o u p s ，a n da l s oh a sr e a l i z e da s e c u r ei n s t a n t c o m m u n i c a t i n gm o d u l ew h i c hc a np r o c e s si n s t a n tt e x t u a lm e s s a g eb e t w e e np e e r so r a m o n ga l lp e e r si nap e e rg r o u p n em a i nr e s e a r c ha n di m p l e m e n t a t i o nw o r ko ft h i sp a p e ra r ea sf o l l o w s ( a )i n t r o d u c et h er e s e a r c hb a c k g r o u n da n dr e s e a r c hi n l a n d o v e r s e a sa c t u a l i t y ； ( b ) e x p l o r e p 2 pn e t w o r kt e c h n o l o g y ， i n c l u d i n g p 2 pn e t w o r k s t r u c t u r e ， c h a r a c t e r i s t i c sa n di t ss a f e t y ； ( c ) i n t r o d u c ej x t at e c h n o l o g y ，i n c l u d i n g i t sb a s i cc o n c e p t s ，j x t an e t w o r k a r c h i t e c t u r ea n dp r o t o c o lf a m i l y ，a n df o c u so nt h ej x t as e c u r i t y ； ( d ) a n a l y z et h ef u n c t i o n so fx t d t a n t a l k , m a k eo v e r a l ld e s i g na n dd i v i d et h e s y s t e mi n t or u n i o nm o d u l e s ； ( e ) a n a l y z e ，d e s i g na n di m p l e m e n t t h es y s t e m sm a i nf u n c t i o nm o d u l e s ，i n c l u d i n g p e e rg r o u pm a n a g e m e n tm o d u l e ，s e c u r i t y i n s t a n t m e s s a g e t r a n s m i s s i o n m o d u l e ； t e s tt h em o d u l e si nt h ex i d i a n t a l ks y s t e m , v a l i d a t i n gi t sf e a s i b i l i t ya n d c o r r e c t n e s s t h r o u g ht e s t i n g ，a l lf u n c t i o n so fx i d i a n t a l ks y s t e mi nt h i sp a p e rh a v eb e e n c o m p l e t e l yi m p l e m e n t e d k e y w o r d ：p 2 pj x t a i n s t a n tc o m m u n i c a t i n g g r o u pm a n a g e m e n t j a v a 独创性( 或创新性) 声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其它人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：立坠缢j 贫 日期望! ! ! ! 鱼：! l 一 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复制手段保存论文。( 保密的论文 在解密后遵守此规定) 本学位论文属于凭密在一年解密 本人签名：主坠笾益 导师签名：孝选 后适用本授权书。 日期! 坐：! ：! ! 第一章绪论 第一章绪论 1 1 课题背景 随着计算机技术和i n t e m e t 技术的发展以及社会信息化的普及，p 2 p ( 对等网络) 应运而生，并且显示出了强大的生命力，其出现彻底打破了c s 模式。p 2 p 模式主 要是对i n t e m e t 中信息、带宽和计算资源进行有效利用的技术。该技术采用基于网 络的计算模式，而不是过分依赖于中央控制节点。p 2 p 中每个节点的地位都是对等 的，既充当服务器，为其它节点提供服务，同时又充当客户端的角色，享用其它 节点提供的服务。p 2 p 提供了一种新的计算模式，将p 2 p 和现有的网络技术结合 起来将会带来一些突破。如将p 2 p 和多播结合起来改进流媒体的播放；将p 2 p 和 q o s 结合起来，改善网络的性能；将p 2 p 和a c t i v en e t w o r k 结合，利用a c t i v e n e t w o r k 中的移动代码主动地改进网络。p 2 p 模式除了提高信息发现、内容传递和 信息处理的性能之外，还在文件共享、深度搜索、分布计算、协同工作、边界服 务等应用领域具有独特的优势。因此p 2 p 被美国财富杂志称为改变因特网发 展的四大新技术之一，甚至被认为是无线宽带互联网的未来技术。 在p 2 p 应用高速发展的同时，也暴露出一些亟需解决的问题，其中包括技术 性的( 例如：带宽吞吐、网络可扩展性差、通信安全等问题) ，也包括社会性的( 例 如：只是产权问题等) 。其中，限制其得到更广泛应用的真正瓶颈在于其脆弱的安 全性能，目前p 2 p 的安全性能远不如c s 模式，许多专家学者也因为其安全性能 始终没有得到解决而对p 2 p 产生质疑【l 】。 同时，当下网络安全总的形势也是严峻的，黑客攻击事件频频发生，各种病 毒程序层出不穷，技术越来越新颖，手段越来越高明，从单一行动走向了群体化、 甚至恐怖主义集团化的复合型技术行为，造成的经济损失以几何型数量级增长。 尽管在网络安全的道路上还是较长远，但是人们对网络攻击危害的关注和网络安 全的重视已经今非昔比。 1 2 课题意义 与传统c s 模式的服务器可以做主动和被动的防御相比，p 2 p 节点安全防护手 段的匮乏，p 2 p 协议缺乏必要的认证机制以及计算操作系统的安全漏洞，使得安全 问题在p 2 p 网络中尤为严重，这直接影响p 2 p 大规模商业应用。由于p 2 p 的资源 共享，其门户开放，使它很容易受到攻击。现在人们的信息安全意识逐渐增强， 2 基于j x t a 的p 2 p 应用系统分析与研究 对计算机的安全性越来越重视，对p 2 p 安全性能产生质疑，影响它的商业化。 2 0 0 1 年，s u n 公司为p 2 p 模式提供了j x t a 平台，并且开放源码，用于构建 p 2 p 服务和应用，为p 2 p 应用程序的开发带来了极大的便利。j x t a 解决了对等网 络的一系列技术的标准化问题，取得了跨平台、跨操作系统和跨编程语言的巨大 进步。但如何把这些分布广泛的、自治的、不同种类的资源组织成一个虚拟对等 网络，创建一个安全而自由的通讯环境，最有效的完成通讯任务，依然有待解决 2 1 。 本文实现了若干基于p 2 p 的应用，研究了其安全性，设计并实现一些安全措 施，以此提高对等网络中通信的安全。 1 3 国内外现状 近年来，以即时通讯软件为代表的p 2 p 取得了迅猛的发展，然而，p 2 p 应用 系统在安全方面面临着巨大的挑战。p 2 p 系统需要在没有中心节点的情况下，提供 身份的认证、授权以及数据信息的安全存储、数字签名、加密、安全传输等措施。 在病毒泛滥的网络环境中，p 2 p 应用的安全问题尤为突出。以近期发生的p 2 p 系 统应用的安全事件为例，一种通过p 2 p 共享目录进行传播的蠕虫病毒，理论上它 能在3 0 秒内感染5 0 万台电脑。可见，p 2 p 应用带来应用方便的同时，也带来了安 全隐患【3 1 。 今天，各种蠕虫、间谍软件等和移动代码等相结合，形成复合型威胁，使其 更加难以抵御。这给企业、用户、网络基础设施带来了各种巨大损失。面对这些 问题，传统的安全解决方案根本无法处理，因此我们需要一个全新的安全解决方 案。 j x t a 技术提供的基础性机制解决当前分布式计算应用中面临的问题，实现新 一代统一、安全、互操作以及异构的应用。j x t a 将j a v a 技术和x m l 数据表达相 结合，提供了强大的功能使得各种应用得以交互，并且可以克服目前p 2 p 软件中 协议相互独立的限制。但是，对于应用层安全问题，j x t a 仍没有有效地解决【3 】。 当前，p 2 p 应用主要的安全隐患来自于安全漏洞。据赛门铁克公司统计，目前 已公开的p 2 p 应用软件的漏洞约有6 0 个，并且这一数字还在上升。因此，在p 2 p 应用成为一个热点的同时，其安全问题也是一个重要研究方向，这些研究主要集 中在：强化防火墙功能、引入先进加密手段、建立p 2 p 应用的安全信任机制、加 强p e e r 之间的认证机制等方面。 1 4 本文主要研究内容 西安电子科技大学c n i s 重点实验室承接的科研项目：国家高技术研究发展计 第一章绪论 3 翅j ( 8 6 3 计划) 的项目( 项目编号：2 0 0 7 a a 0 1 2 4 3 5 ) “公众移动网络的p 2 p 安全技术研 究”，该项目针对目前公众移动网络中相对薄弱的安全环节，设计并实现了一个基 于j x t a 的p 2 p 网络协同工作平台，并确保其安全性。主要研究如何在公众移动 网络中构建一个安全的、移动的p 2 p 协同工作平台，实现一个集安全即时通信、 聊天室、语音通讯、文件共享、视频会议模型。本文研究如何在p c 上运用开放的 j x t a 平台实现该模型中相关p 2 p 应用：对等组管理模块的实现、即时通讯等，为 了保证其安全性，设计并实现一整套安全措施，包括证书申请、利用第三方安全 包以及相关密码算法实现通信的安全等。 1 5 本文组织结构 本文组织结构如下。 第一章：绪论。主要介绍了当前p 2 p 网络的现状及p 2 p 网络中存在的安全问 题，阐述了课题的研究意义以及本文的研究背景和进行的工作。 第二章：详细介绍了p 2 p 网络的相关概念，包括p 2 p 的发展、p 2 p 网络的特 点以及其网络结构，还介绍了p 2 p 的主要应用，最后着重分析了p 2 p 网络的安全 性。 第三章：介绍了j x t a 相关基础概念，详细阐述了j x t a 技术的主要内容，包 括j x t a 的层析结构、网络架构等，以及如何运用j x t a 平台去实现某个具体应用， 章节后面还详细叙述了j x t a 的安全性。 第四章：在前面两章的基础上，本章着重设计并实现了一个基于j x t a 的p 2 p 系统模型( x i d i a n t a l k ) ，并对该模型的相关模块进行介绍。 第五章：本章主要介绍了前一章中x i d i a n t a l k 系统模型中的对等组的管理 模块的设计和实现。 第六章：本章完成了第四章中x i d i a n t a l k 系统模型中的即时通信模块的介 绍，并且阐述如何来设计即时通讯模块的安全性，最后给出了该模块具体实现。 第七章：对前面几章所设计并实现的系统模型的性能进行测试，对测试结果 进行了分析。 第八章：结束语。总结全文及进一步的研究方向。 第二章p 2 p 技术及其安全性 第二章p 2 p 技术及其安全性 2 1p 2 p 网络发展历史 网络应用太都采用客户端服务器( c s ) 模式，该模式最初被广泛应用在局域网 中，其由服务器和客户端组成，提供有限的非交互性应用。w e b 的出现使得c s 模式更加普及，这种普及得益于其采用通用的客户端( 浏览器) 、标准的通信协议和 标准的信息组织格式，同耐j a v a 和x m l 技术的兴起对w e b 应用起了推动作用。 p 2 p 的出现使得互联网回归到其建设的初衷，用户可以随意直接交互而不需要凭借 w e b 服务器、聊天室、b b s 等中间系统。整个互联网的演变过程如图2 - 1 所示h 。 臼s 甲p 。 遵。 。，朵刁肿 孵 图2 - 1 分布式计算的演化过程 事实上，p 2 p 技术的兴起，是互联网技术走了一个回头路。p 2 p 计算并非一种 全新的技术，最初的p 2 p 应用从因特网诞生起就存在了，并且有的至今仍然在使 用。尽管这些早期应用的核心就是p 2 p ，但是大多数使用者并来意识到，早在1 9 6 9 年因特网的前身a r p a n e t 刚出现的时候，网络的应用模式就是p 2 p 。a r p a n e t 的最初目的是在全美范围内共享计算资源，所面临的问题是如何集成当时各种不 同的网络，如u c l a ，s r i ，u c s b 和u t a h 大学的计算机系统，使之成为一个通用 的网络，并且使得各个主机成为网络上的平等成员。早期的互联网应用方式中， 有很多体现了p 2 p 的思想，例如t e h l e t 、u s e n e t 等。但是，随着万维n ( w w w ) 应 用方式的推行，c l i e n t s e r v e r 的结构开始成为了互联网中的主流。然而，随着新的 p 2 p 应用技术的开发，这一“古老”的思想开始焕发出新的光彩口6 】。 u s e n e t 产生于1 9 7 9 年，是一种分布式系统，能够为各个地方提供新闻组。当 时并没有任何类似于互联网上“随选”信息的概念，文件只能通过电话线批量传送， 且常常选在长途费用比较低的夜间进行。由于当时的u s e n e t 若采用集中式的控制 管理方法将效率低下，后来提出了一种分散、分布式的管理方法。这种分布的结 构一直沿用到今天。p 2 p 应用的另个杰出代表就是f i d o n e t 。它和u s * n e t 类似， 臼 溥 一 6 基于j x t a 的p 2 p 应用系统分析与研究 也是一个分散、分布的信息交换系统，使不同b b s 系统中的用户们可以互相交换 信息。这种符合人们需求的技术，迅速发展起来，并一直沿用到今天1 7 儿引。 第一代p 2 p 软件是由1 9 岁的肖恩范宁( s h a w nf a n n i n g ) 在1 9 9 8 年编写的共享 软件n a p s t e r 。1 9 9 9 年夏天，n a p s t e r 在互联网上出现。每一个安装了n a p s t e r 软件 的电脑充当了双重角色，既是服务器又是客户端，当这台电脑连上网络后，就能 够搜索到另一台装有n a p s t e r 软件的电脑里的音乐文件，同时也能被装有n a p s t e r 软件的其它电脑访问。然而，n a p s t e r 并非纯粹的p 2 p ，出于运行效率的考虑，n a p s t e r 把所有的音乐文件地址都集中存放在一个服务器中。n a p s t e r 的用户能够方便地过 滤大量的地址，快速找到自己需要的m p 3 文件。n a p s t e r 使得p 2 p 技术得以绽放出 新的生命力例。 第二代p 2 p 软件吸取了n a p s t e r 的经验和不足。1 9 9 9 年底，美国在线( a o l ) 的员工贾斯汀弗兰克尔( j u s t i nf r a n k e l ) 开发了c m u t e l l a 。该软件采用了一种新的文 件交换网络技术，g n u t e l l a 不需要固定的服务器，使用者也不必进行注册，从理论 上讲，只要打开g n u t e l l a 便能连上网络上的某台机器，用户发送的搜索请求在每 一台电脑间来回传递，直到找到文件为止，然后再将信息传回搜索者的电脑，这 是一种真正意义上的对等分布式网络【i o 】。但第二代p 2 p 软件有个很大的问题，就 是很难分辨它与蚕食网络带宽的蠕虫病毒之间有何区别。当数以百万计的搜索请 求在网络上同时运行时，网络大塞车的情况就屡屡发生。 近两年来，p 2 p 的用户越来越多，互联网上运行着各种各样的p 2 p 软件，这 直接导致的结果就是网络带宽趋于紧张。有调查显示，互联网三分之二的带宽是 被p 2 p 或b t 下载软件“吃掉”的，p 2 p 和b t 软件转眼之间成为众矢之的。于是， 使用节约带宽新技术的第三代p 2 p 软件应运而生。这类软件进一步改进了搜索算 法，借鉴了“g o o g l e ”等搜索引擎常用的“快照”技术( s n a ps h o t ) ，把文件的“快照”分 布式地存放在网络上。当用户发出搜索指令时，搜索要求先到达网络上的任何一 台电脑上，然后这台电脑就会再将它转到另一台有更多文件信息的电脑，第三台 电脑可能就拥有文件本身或者也可能再继续将搜索要求转到其它有正确信息 的电脑。整个过程就像在照着交通指示牌循序问路，而不是路上随便找个人问路， 这在很大程度上提高了搜索效率，节约了带宽。在第三代p 2 p 网络里，分布式存 放的索引文件都会随着电脑及文件的加入而持续更别l l 】【1 2 】【1 3 】。 2 2 1p 2 p 定义 2 2p 2 p 定义和特点 p 2 p 是 p e e r - t o p e e r 的缩写，p e e r 在英语里有“( 地位、能力等) 同等者”、“同事” 第二章p 2 p 技术及其安全性 7 和“伙伴”等意义。因此，p 2 p 也就可以理解为“伙伴对伙伴”的意思，通常译为对等 网。i n t e l 将p 2 p 计算定义为“通过系统间的直接交换所达成的计算机资源与信息的 共享”，这些资源与服务包括信息交换、处理器时钟、缓存和磁盘空间等。m m 则 给p 2 p 赋予更广阔的定义，把它看成是由若干互联协作的计算机构成的系统并具 备若干特性【1 4 】【1 5 】【1 6 1 。 p 2 p 是一种分布式网络，网络的参与者共享它们所拥有的一部分硬件资源( 处 理能力、存储能力、网络连接能力、打印机等) ，这些共享资源需要由网络提供服 务和内容，能被其它对等体( p e e r ) 直接访问而无需经过中间实体。在此网络中的参 与者既是资源( 服务和内容) 提供者( s e r v e r ) ，又是资源( 服务和内容) 消费者( c l i e n t ) 。 p 2 p 打破了传统的c l i e n t s e r v e r ( c s ) 模式，在网络中的每个结点的地位都是对等的。 每个结点既充当服务器，为其它节点提供服务，同时也利用其它节点来提供的服 务。p 2 p 与c s 模式的对比如图2 - 2 所示【1 7 1 。 c a l e n t 图2 - 2p 2 p 与c s 模式的比较 简单的说，p 2 p 直接将人们联系起来，让人们通过互联网直接交互。p 2 p 使得 网络上的沟通变得容易、更直接共享和交互，真正地消除中间商。p 2 p 网络中可以 直接连接到其它用户的计算机进行交换文件，而不是像过去那样连接到服务器去 浏览与下载。p 2 p 另一个重要特点是改变互联网现在的以太网站为中心的状态、重 返“非中心化”，并把权力交还给用户。p 2 p 看起来似乎很新，但是正如b 2 c 、b 2 b 是将现实世界中很平常的东西移植到互联网上一样，p 2 p 并不是什么新东西。在现 实生活中我们每天都按照p 2 p 模式面对面地或者通过电话交流和沟通【4 】【5 1 。 总体来讲，p 2 p 计算系统是分布式的，有别于集中式的结构，也有别于基于服 务器的结构。纯粹的p 2 p 计算系统不存在不可或缺的服务器( 某些混杂系统存在中 央服务器，比如b n ，在p 2 p 计算系统中的实体一般同时扮演两种角色：客户端 和服务器。 8 基于j x t a 的p 2 p 应用系统分析与研究 2 2 2p 2 p 特点 从p 2 p 定义可以看出，p 2 p 技术的提出是技术发展的必然，与其它网络模型 相比，p 2 p 具有以下特点【1 1 】【6 】【1 2 1 。 ( 1 ) 非中心化 网络中的资源和服务分散在所有节点上，信息的传输和服务的实现都直接在 节点之间进行，无需中间环节和服务器的介入，避免了可能的瓶颈。即使在混合 p 2 p 中，虽然在查找资源、定位服务或安全检验等环节需要集中式服务器的参与， 但主要的信息交换最终仍然在节点中间直接完成这种策略降低了对集中式服务器 的资源和性能要求。分散化是p 2 p 的基本特点，由此带来了其在可扩展性、健壮 性等方面的优势。 ( 2 ) 可扩展性 在传统的c s 架构中，系统能够容纳的用户数量和提供服务的能力主要受服 务器的资源限制。为支持互联网上的大量用户，需要在服务器端使用大量的高性 能计算机，铺设大带宽的网络。为此集群、c l u s t e r 等技术纷纷上阵。在这些结构 中，集中式服务器之间的同步、协同等处理产生了大量的开销，限制了系统规模 的扩展。 而在p 2 p 网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资 源和服务能力也在同步地扩充，始终能较容易满足用户的需要。即使在诸如 b i t c o m e t 等混合型架构中，由于大部分处理直接在节点之间进行，减少了对服务 器的依赖，因而能够方便地扩展到数百万个以上的用户。而对于纯p 2 p 来说，整 个体系是全分布的，不存在瓶颈。理论上其可扩展性几乎是无限的。 ( 3 ) 健壮性 网络中断、网络拥塞、节点失效等各种异常事件都会给系统的稳定性和服务 持续性带来影响。在传统的集中式服务模式中，集中式服务器成为整个系统的要 害所在，一旦发生异常就会影响到所有用户。 而p 2 p 架构则天生具有耐攻击、高容错的优点。由于服务是分散在各个节点 之间进行的，部分节点或网络遭到破坏对其它部分的影响很小。而且p 2 p 模型一 般在部分节点失效时能够自动调整整体拓扑，保持其它节点的连通性。事实上， p 2 p 网络通常都是以自组织的方式建立起来的，并允许节点自由地加入和离开。一 些p 2 p 模型还能够根据网络带宽、节点数、负载等不断地做自适应式的调整。 ( 4 ) 隐私保护 随着互联网的普及，以及计算和存储能力飞速增长，收集隐私信息变得越来越 容易。隐私的保护作为网络安全性的一个方面越来越被大家所关注。目前的i n t c r n c t 通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征，获得 第二章p 2 p 技术及其安全性 9 i p 地址。甚至可以使用一些跟踪软件直接从口地址追踪到个人用户。 在p 2 p 网络中，由子信息的传输分散在各节点之间进行而无需经过某个集中环 节，用户的隐私信息被窃听和泄漏的可能性减小。此外，目前解决i n t e m e t 隐私问 题主要采用中继转发的技术方法，从而将通信的参与者隐藏在众多的网络实体之 中。在传统的一些匿名通信系统中，实现这一机制依赖于某些中继服务器节点。 而在p 2 p 中，所有参与者都可以提供中继转发的功能，因而提高了匿名通讯的灵 活性和可靠性，能够为用户提供更好的隐私保护。 ( 5 ) 负载均衡 p 2 p 网络环境下由于每个节点既是服务器又是客户机，减少了对传统c s 结构 服务器计算能力、存储能力的要求，同时因为资源分布在多个节点，更好的实现 了整个网络的负载均衡。总的说来，p 2 p 与现有互联网中广泛采用的c s 模式既针 锋相对的又互为补充的，p 2 p 系统与c s 系统存在很多不同的地方，在表2 1 中就 p 2 p 和c s 一些相关的特点做简单的比较l 1 8 1 。 表2 - 1p 2 p 和c s 各项特性比较 特性 c sp 2 p 数据发布差好 数据接收好中 数据互动性差好 数据及时性( 传输速度)差好 数据更新差好 数据质量( 价值)好中 数据覆盖率和数量( 价值)好差 容错性差好 可扩展性 差 好 成本控制差好 安全性好差 易管理性好差 ( 6 ) 高性能 性能优势是p 2 p 被广泛关注的一个重要原因。随着硬件技术的发展，个人计 算机的计算和存储能力以及网络带宽等性能依照摩尔定理高速增长。而在目前的 互联网上，这些普通用户拥有的节点只是以客户机的方式连接到网络中，仅仅作 为信息和服务的消费者，游离于互联网的边缘。对于这些边际节点的能力来说， 存在极大的浪费。 采用p 2 p 架构可以有效地利用互联网中散布的大量普通节点，将计算任务或 存储资料分布到所有节点上。利用其中闲置的计算能力或存储空间，达到高性能 计算和海量存储的目的。这与当前高性能计算机中普遍采用的分布式计算的思想 是一致的。但通过利用网络中的大量空闲资源，可以用更低的成本提供更高的计 1 0 基于j x t a 的p 2 p 应用系统分析与研究 算和存储能力。 2 3p 2 p 网络结构分类 关于p 2 p 网络的分类，目前尚不统一。一些学者认为类似b t 这类带有服务器 的网络结构不属于p 2 p 网络；另一部分人则认为虽然带有服务器，但此处的服务 器弱化了功能，不同于c s 模式中的服务器，而且此处客户端的连接方式符合分 散式拓扑结构，故可以将其视为广义的p 2 p 网络。按不同的标准，对现有的p 2 p 网络分类如下【1 1 j 【1 5 1 1 9 1 0 】【1 2 】。 按系统中是否存在集中式服务器，p 2 p 系统可分为纯p 2 p 系统和混杂式p 2 p 系统( h y b r i dp 2 p 或s e r v e r - m e d i a t e dp 2 p ) 1 5 】【1 9 】【2 0 】。 2 3 1 纯p 2 p 系统 纯p 2 p 系统不存在集中式服务器，网状的节点之间构成一个分散式网络，拓 扑结构如图2 3 所示。通过基于对等网络协议的客户端软件搜索网络中存在的对等 节点，节点之间不必通过服务器，可直接建立连接。g n u t e l l a 和f r e e n e t 均属于此 种类型的p 2 p 网络。 图2 3 纯分布式p 2 p 系统 这种p 2 p 网络模型的优点在于； ( 1 ) 允许用户设定自己的规则和建立自己的网络环境； ( 2 ) 提供近似的即插即用特性； ( 3 ) 适用于l a n 和i n t e m e t 各种网络环境。 第二章p 2 p 技术及其安全性 这种p 2 p 网络模型的缺点： ( 1 ) 由于没有中心管理者，网络节点难以发现； ( 2 ) 不易管理且安全性较差。 2 3 2 混杂式p 2 p 系统 混杂式p 2 p 系统中存在特定功能的集中式服务器，但该服务器并不充当整个 系统的核心，拓扑结构如图2 _ 4 所示。各节点之间可以直接建立连接，但网络的构 建需要借助于中心服务器，实现认证和数据索引。然而服务器仅用于辅助对等点 之间建立连接，一旦连接成功，服务器不再起作用，对等节点之间直接进行通信。 这不同于c s 模式中的服务器，也可以认为是弱化了服务器的作用。这种p 2 p 网 络模型和纯p 2 p 网络相比，易于发现网络节点、易于管理且安全性较好，但也有 类似于c s 模式的缺陷，如容错性差等。出于效率和目前技术发现的限制，目前 p 2 p 技术的应用大多为这种模式，较为典型的如：b t 、m a z e 等。 2 3 2 其它p 2 p 分类 图2 _ 4 混杂式p 2 p 系统 l 、按系统中用户的行为方式，p 2 p 系统可以分为多对多、少对少和少对多三 类结构。在第一类结构中，系统操作的双方用户人数基本相当，基于因特网的开 放式文件共享系统多数属于此类，如g - n u t e l l a 、f r e e n e t 、n a p s t e r 等；在第二类结 构中，系统是封闭的，即系统的发起者构建一个系统，不允许它人加入，在系统 运行期间，所有参与者的地位均等；第三类系统属于典型的开放式分布计算系统， 系统中存在少量的中央服务器，为多数用户所使用。 2 、按成员标识管理方式，p 2 p 计算系统可分为集中式和局部式。前者是最直 1 2 基于j x t a 的p 2 p 应用系统分析与研究 接和普通的方式，它创建一个全局的名字空间，保证所有实体的名字的唯一性； 后者既不需要集中式授权机制，也无需求助于分层结构，于是也很自然地采用了 公共密钥加密机制。 2 4p 2 p 网络的应用 p 2 p 技术快速发展的同时，相关的应用也在蓬勃发展。包括基于各种目的的网 络内容分发、在线流媒体服务、游戏或其它软件分发等等都开始引入这种新的技 术。p 2 p 应用飞速发展，但是对于其应用还处在不断摸索的阶段，总体上来说p 2 p 应用可大致分为以下部分【1 1 】【6 】【1 8 】【2 。 2 4 1p 2 p 文件共享、存储 内容共享和文件交换是到目前为止最引人注目的p 2 p 应用。高效的大规模内容 共享直接推动了p 2 p 技术研究的热潮。基于p 2 p 的内容共享包括p 2 p 文件共享、 高速下载、p 2 p 存储等。p 2 p 文件共享，每个对等的节点都提供文件内容的共享， 同时也可以在整个点对点网络中检索获得其它的节点上存储的资源。这类系统可 以分为三类： ( 1 ) 非结构化p 2 p 系统：这类系统的特点是文件的发布和网络拓扑松散相关。 该类方法包括含有中心索引服务器的最早的p 2 p 文件共享系统；纯p 2 p 文件共享 系统；包含有超级节点的混合型p 2 p 文件共享系统； ( 2 ) 结构化p 2 p 系统：这类系统的特点是文件的发布和网络拓扑紧密相关。文 件按照p 2 p 拓扑中的逻辑地址精确的分布在网络中； ( 3 ) 松散结构化p 2 p 系统：此类系统介乎结构化和非结构化之间。系统中的每 个节点都有分配有虚拟的逻辑地址，但整个系统仍然是松散的网络结构。文件的 分布根据文件的索引分配到相近地址的节点上。随着系统的使用，文件被多个检 索路径上的节点加以缓存。 p 2 p 分布式存储系统具有类似于上一类系统的功能和构造，但侧重于分布式系 统中文件系统管理。此类系统主要包括两个类型： ( 1 ) 非结构化p 2 p 系统：通过使用密钥加密文件的内容，并把密文的备份发布 到可信任的节点上。每个节点根据获得的文件内容，组织成编目的文件系统； ( 2 ) 结构化p 2 p 系统：此类分布式文件系统基于分布式散列表( d i s t i r b u t e d h a s ht a b l e ，简称d h t ) 的思想，将文件发布到d h t 上，并组织成树状的文件系统。 第二章p 2 p 技术及其安全性 2 4 2p 2 p 流媒体播放 每个流媒体点播用户都是一个节点，用户可以根据它们的网络状态和设备能力 与一个或几个用户建立连接来分享数据。流媒体点播用户播放的流媒体内容可以 完全来自于其它流媒体点播用户的设备，而同流媒体服务器毫无关联，也可以既 来自于其它流媒体点播用户的设备又来自于流媒体服务器。比较典型的如p p l i v e 。 2 4 3 对等计算 对等计算是分布式计算的思想在广域网上的延伸，目的是将网络上的c p u 资 源共享，把网络中众多的普通计算机中暂时不用的计算能力累计起来，用以执行 以前需要超级计算机来完成的任务。在对等计算中，大型的计算任务被分解成很 多个小的分片，分别分配给网络中的节点独立执行。实际上可以将p 2 p 看作一个 松藕合的分布式计算系统，可以有集中控制节点，也可以是纯p 2 p 架构。受互联 网的限制，其子任务之间的同步和数据交换比较少，基本是相互独立的。 2 4 4 对等搜索 p 2 p 文件共享首先要解决文件定位的问题。但是基于p 2 p 的文件搜索技术可以 独立出来，成为传统的搜索引擎等系统强大的搜索工具。p 2 p 搜索技术使用户能够 深度搜索文档。而且这种搜索无需通过w e b 服务器，也不受信息文档格式和宿主 设备的限制，可达到传统目录式搜索引擎( 只能搜索到2 0 - 3 0 的网络资源) 所不能 达到的深度( 理论上将包括网络上的所有开放的信息资源) 。 2 4 5 协同工作与下线交流 协同工作依托在网络之上。但以传统的w e b 方式实现，往往给服务器带来极 大的负担，并造成昂贵的成本支出。而采用p 2 p 技术，可以在互联网上任意两个 用户之间建立实时的联系和信息传输，避免了中央服务器产生的网络延迟和处理 延迟及性能瓶颈，因而能够更方便、高效地实现用户之间的协同。最近几年方兴 未艾的即时通( i n s t a n tm e s s a g i n g ，简称t m ) 正是实现了用户之间的直接交流，受到 了互联网用户的极大欢迎，典型的如q q 等。目前很多公司正努力将这种方式应 用到企业级的协同工作平台中来，己经推出了一些产品。由于其具有成本低廉、 平均事务处理能力较高、可动态扩展等优良性质，并能够有效地提高信息交流和 沟通效率，未来p 2 p 技术在企业级协同工作领域有着很好的应用前景。 1 4 基于j x t a 的p 2 p 应用系统分析与研究 2 4 6 基于p 2 p 的网络游戏 基于p 2 p 方式的网络游戏是一个很有前景的应用。目前已经有一些公司开始 这方面的研发工作。在网络游戏的通信过程中，经常是玩家之间的计算机在进行 直接通信，这就是p 2 p 技术非常适用的原因。同时采用p 2 p 的模式的网络游戏可 以节约服务商在服务器购买的投入。 2 5p 2 p 网络的安全特点 从前两章有关介绍可以看出，在p 2 p 为人们追捧的同时，其安全问题亦成为 了制约其发展的一个重要因素。除了前面分析外，鉴于p 2 p 网络的自身特点，p 2 p 网络安全问题主要体现在以下两个方面。 ( 1 ) 信息安全：几乎8 0 的即时通讯没有加密或数字签名，因此很容易出现网 络窃听，篡改和伪造等攻击，另外在即时通讯客户软件中，例如缓冲区漏洞、d o s 攻击和加密较弱等严重的安全漏洞经常被发现，黑客能利用这些安全漏洞，窃取 用户密码，读取敏感数据以及进一步破坏。 ( 2 ) 传播病毒：由于p 2 p 不经过中继服务器，p 2 p 即时通讯和文件共享就无法 避免病毒和间谍软件发布到p 2 p 网络中。这使得用户在获取文件同时，存在着被 感染的威胁【l j 。 2 6 提高p 2 p 网络安全的措施 p 2 p 应用的安全问题主要涉及到三个方面：p 2 p 网络安全、p 2 p 节点自身安个 和p 2 p 中对等节点之间的通讯安全。目前采用的主要技术有防火墙技术、v p n 技 术、病毒防范技术、身份认证技术和入侵检测技术。 2 6 1 防火墙技术 防火墙技术包含了动态的封包过滤、应用代理服务、网络地址转换、口防假 冒、日志分析等功能。可以有效的将内部网络和外部网络隔离开来，保证不被入 侵。主要体现在： ( 1 ) 限定用户从一个特别的控制点进入； ( 2 ) 防止侵袭者接近你的其它防护措施； ( 3 ) 限定用户从一个控制点的离开。 因此，防火墙可以分析传输信息，通过检查、筛选、过滤和屏蔽信息流中的 第二章p 2 p 技术及其安全性 有害服务，防止对计算机系统进行蓄意破坏，确保符合节点的设定安全策略。具 体实现，主要包括以下几种。 ( 1 ) 包过滤防火墙 包过滤防火墙安装于路由器，对数据包进行检查。优点是简单方便、速度快。 缺点是缺乏日志、审计信息。 ( 2 ) 混合型防火墙 混合型防火墙是把代理和包过滤等功能结合在一起，形成新的防火墙。所用 主机称为堡垒主机，负责代理服务。 ( 3 ) 应用级网关 应用级网关使用专用软件转发和过滤特定的应用服务。如t e l n e t 、f t p 服 务。这是一种代理服务，适合应用层。 2 6 2v p n 技术 v p n ( 虚拟专用网) 是v l a n ( 虚拟局域网) 和远程工作站的集成体，它应用隧道 技术，通过i s p 、n s p 建立专用隧道，规范点到点的连接。由