一种对等网络体系结构实现方法

1、一种对等网络体系结构实现方法，该方法实现的对等网络建立在TCP/IP协议之上， 由抽象的对等实体之间组成无层次结构的逻辑网络，实体之间的地位完全平等；每个实体 既作为向其它实体提供服务的服务器，又作为使用其它实体所提供服务的客户端；实体的 具体实现形式为在计算机上运行的特定软件实例或专用的信息终端设备；其特征在于：
I、实体之间建立对等网络的步骤如下：
(1)新连接到网络中的实体A，通过UDP端口向本实体的已在线实体名单中的其中之 一实体B，发出表示本实体A已在线的通知信息；
(2)收到该信息的实体B，向发出信息的实体A返回一个应答，确认收到该信息，同 时向其发出一个数据包，其内容为实体B所有已知道的已在线实体名称；
(3)实体A将所收到的名单加入本实体的已在线实体名单；
(4)实体B将实体A加入本实体的已在线实体名单；
(5)实体A从已在线实体名单中选取下一个已在线实体，并重复上述四个步骤，直至 与所有已在线实体完成上述通信过程；
II、网络实体之间通信步骤如下：
(1)当实体A需要与实体B通信时，实体A向实体B发出一个通信请求；
(2)收到该信息的实体B向发出信息的实体A返回一个应答，确认收到该信息；
(3)实体A与实体B协商确定由其中一方作为服务器，另一端作为客户端，其选择原 则为：若实体A和实体B均在同一透明网络环境中，中间没有隔离防火墙，则实体B作为 服务器，实体A作为客户端；若有且只有其中一个实体处于防火墙之后，则未处于防火墙之 后的实体作为服务器，处于防火墙之后的实体作为客户端；若双方均处于防火墙之后且分属 于不同的防火墙，则请求一未处于防火墙之后的实体C作为服务代理，实体B作为服务器， 其服务由实体C代理，实体A作为客户端；
(4)实体B与实体A间以服务器与客户机方式进行通信；
(5)通信内容传输完毕后，由实体A发起拆除服务请求，实体B应答，通信过程结束。

一、技术领域\n本发明涉及到网络与通讯技术领域，具体涉及一种对等网络体系结构的实 现方法。\n二、背景技术\n所谓对等网络(P2P，peer-to-peer)是一种用于不同PC用户之间，不经 过服务器直接交换数据或服务的技术，它允许Internet用户直接使用对方的 资源或直接进行交流。每个联网用户可以直接连接到其他用户的计算机上， 并进行数据的交换，而不需要连接到服务器上再进行浏览与下载。因为消除 了中间环节，对等网络技术使得网络上的沟通变得更快速、更直接。\n目前可以实现对等网络技术的软件国外有Napstere及ICQ，国内有OICQ、 Ezpeer等，其中Ezpeer的具体的运作方式为：首先，所有安装了Ezpeer软 件的用户均会登陆Ezpeer的服务器，服务器即可掌握各电脑所储藏的档案资 料；当某一用户连入Internet时，即可看到装有此一软件的所有其它连网用 户及其共享信息，当输入欲搜寻的关键词后，Ezpeer服务器会寻找其他储存 此类文件的电脑资料，然后显示在此用户的搜寻结果中，用户随即可从其他 用户的电脑上直接下传所需的资料。整个资料的传递仅在用户的电脑之间进 行，并无须经过Ezpeer的服务器，但用户之间的连接不是直接的，需要有位 于中心的服务器来协调。\n现有的相关发明已有一些，但与本发明有着根本区别。如发明专利“用 于下载的程序之间的保密对等通信的系统和方法(公告号：1163433)”是用 于在来自同一保密域、但运行在第一和第二计算机上的计算机程序之间建立 对等通信联系的系统和方法，其对等通讯的建立过程为：第一计算机程序在 第一计算机上运行，同时发送一条信息到第二计算机，请求建立对等通信联 系。当在第二计算机上收到该信息时，第二计算机确定是否有一个满足建立 对等通信联系的预定条件的第二计算机程序运行在第二计算机上，如果是， 第二计算机向第一计算机发送一条接受该请求的回答信息。当第一计算机收 到该回答信息后，所请求的在第一和第二计算机程序之间的对等通信联系即 被建立。上述对等网络软件及方法在具体实现时或者通过电信公司的P2P服 务器以ASP的方式实现或者通过企业自己在电信公司的IDC中架设P2P服务 器来实现，所以它们并不是完全对等，只是减轻了服务器的负担，并不能完 全脱离服务器，且不能穿透防火墙和NAT路由器，同时还存在信任和安全问 题。\n三、发明内容\n本发明针对上述现有技术的不足之处，提出了一种对等网络体系结构实 现方法，本发明解决其技术问题所采用的技术方案是：\n该体系结构中的对等网络建立在TCP/IP协议之上，由抽象的对等实体之 间组成无层次结构的逻辑网络，实体之间的地位完全平等，每个实体既作为 向其它实体提供服务的服务器，又作为使用其它实体所提供服务的客户端， 实体的具体实现形式为在计算机上运行的特定软件实例或专用的信息终端设 备。\n实体之间建立对等网络的步骤如下：(1)新连接到网络中的实体A，通 过UDP端口向本实体的已在线实体名单中的其中之一实体B，发出表示本实 体A已在线的通知信息。(2)收到该信息的实体B，向发出信息的实体A返 回一个应答，确认收到该信息，同时向其发出一个数据包，其内容为实体B 所有知道的已在线实体名称；(3)实体A将所收到的名单加入本实体的已在 线实体名单；(4)实体B将实体A加入本实体的已在线实体名单；(5)实体 A从已在线实体名单中选取下一个已在线实体，并重复上述四个步骤，直至 与所有已在线实体完成上述通信过程。\n网络实体之间通信步骤如下：(1)当实体A需要与实体B通信时，实体 A向实体B发出一个通信请求；(2)收到该信息的实体B向发出信息的实体 A返回一个应答，确认收到该信息；(3)实体A与实体B协商确定由其中一 方作为服务器，另一端作为客户端，其选择原则为：若实体A和实体B均在 同一透明网络环境中，中间没有隔离防火墙，则实体B作为服务器，实体A 作为客户端；若有且只有其中一个实体处于防火墙之后，则未处于防火墙之 后的实体作为服务器，处于防火墙之后的实体作为客户端；若双方均处于防 火墙之后且分属于不同的防火墙，则请求一未处于防火墙之后的实体C作为 服务代理，实体B作为服务器，其服务由实体C代理，实体A作为客户端； (4)实体B与实体A间以服务器与客户机方式进行通信。(5)通信内容传输 完毕后，由实体A发起拆除服务请求，实体B应答，通信过程结束。\n本发明中的实现方法在正常的网络形态和具有防火墙或NAT路由器的网 络中均能实现无中心交换机或中心服务器的轻负荷的对等网络结构，并可以 使任何该类型的实体连接上网后通过认证可以立即获知其它相关实体是否在 线，并通知已在线的实体，告知本实体已在线的信息。从而可使各种联网企 业与用户之间安全地进行信息交流与资源共享。\n本发明通过把认证、授权和加密三个要素结合在一起创建一个安全的对 等网络体系结构。认证涉及到在一个网络(如因特网)中对等点向其他对等 点认证它们自己；授权涉及到授予一个认证过的实体实施某些行为或访问某 些资源的许可的过程。在一个对P2P应用中，一个对等点可能被认证为只可 以访问另一个对等点的部分资源；加密涉及到把易理解的信息转化为一种对 未授权的个人和系统来说难理解的形式的过程，解密是这一过程的逆过程。 加密可以保护在一个不安全网络(如因特网)中的对等点间流动的信息，而 这通过与每个对等点的安全认证结合在一起，可确保交换数据不会在通信中 被窃听，如果信息是被数字签名过的或在其中加入了MAC(消息认证码)， 那么双方还能确定该信息没有被修改过。\n四、附图说明\n下面结合附图和实施例对本发明作进一步说明。\n图1是本发明中网络实体间建立对等网络的示意图。\n图2是本发明中基于专有协议的端到端通讯流程图。\n图3是本发明中处于不同防火墙内的网络实体间通讯过程流程图。\n五、具体实施方式\n实体(对等点)之间建立对等网络的步骤如图1所示：(1)新连接到网 络中的实体A通过UDP端口向已在线实体名单中的其中之一实体B发出表示 本实体A已在线的通知信息；(2)收到该信息的实体B向发出信息的实体A 返回一个应答，确认收到该信息并要求实体A认证实体B，同时向其发出一个 数据包，其内容为实体B所有知道的已在线实体名称。认证过程中实体A和 实体B都用一个共享密钥交换秘密的信息；(3)实体A对实体B进行认证后， 将所收到的名单加入实体A的已在线实体名单并要求实体B认证实体A；(4) 实体B对实体A进行认证后，将实体A加入本实体的已在线实体名单，并通 过分配给实体A特权的方式来授权实体A访问某些资源；(5)在进一步的 通信发生之前，这两个对等点可以协商加密它们之间的通道连接。然后，实 体A从已在线实体名单中选取下一个已再线实体，并重复上述四个步骤，直 至与所有已在线实体完成上述对等网络连接。\n对等实体间内容的验证采用基于数字签名的机制，其过程为：(1)如图1 所示，实体A和实体B建立了一个安全的连接；(2)在它们建立好通道后， 实体A向实体B要求一个内容，如果实体B创建了该内容，它就会在传送该 内容之前为其数字签名，如果实体B只是发布在别处创建的内容，那么该内 容是已经被签名过的；(3)在实体A收到内容后，它将验证附在内容上的数 字签名。\n本发明中所提出的建立在TCP/IP上的专有协议(Firewall Special Protocol， FSP)可以使防火墙后的实体能够不受限制地运行各种端到端的应用。其核心 技术是TCP/IP数据包的再封装，下面介绍基于此协议的端到端通讯过程：如 图2所示，首先，位于防火墙外的实体A上的应用程序向位于防火墙内的实 体B发送一个网络请求，经过网络层后，数据包由本地的FSP软件处理，经 过编码和封装成为一个HTTP数据包，然后发送到HTTP/TCP/IP通道，经由 80端口通过防火墙到达实体B。在实体B，数据包先通过HTTP/TCP/IP通道 送交以上FSP软件，经过解码后插入本实体的网络协议栈，最后到达实体B 的应用程序，就像没有经过防火墙一样。在FSP中，每个TCP/IP包都以HTTP 的GET请求或回应GET请求消息的形式出现，因而在通过防火墙时不会造成 兼容性问题。IP包经过MIME编码成为HTTP消息体，而TCP包头信息被分 析后编码到HTTP头信息中。其中数据包被定义为由信封和正文组成的任意 大小的束。信封是标准格式，它包括：报头、源端点信息(URI格式)、目 的地端点信息(URI格式)、消息摘要(用于安全性目的)，消息正文的长 度是任意的，包含一个可选的信任状(用于安全性目的)和内容。\n本发明的具体实施例是在网络化的产品协同开发中的应用，如图3所示， 企业1和企业2都组建有自己的局域网，且通过防火墙与外界的广域网相连， 安装有实现FSP协议应用软件的计算机A和计算机B分别属于局域网1与局 域网2。计算机A和计算机B根据本发明中的方法建立对等网络的体系结构： 因双方均处于防火墙之后且分属于不同的防火墙，则计算机A请求一未处于 防火墙之后的联网计算机C作为服务代理，计算机B作为服务器，其服务由 计算机C代理，计算机A作为客户端。计算机B与计算机A之间以服务器与 客户机方式进行对等通信。当计算机A和计算机B的通讯过程建立后，双方 用户在产品协同设计过程中只需把自己的各种设计文档保存或拖放到本机共 享文件夹中，对方就可以对这些文件进行访问，同时双方用户还可以进行实 时网上交流。企业1和企业2内的各部门、业务伙伴之间都可以通过以上方 法建立起对等网络关系，而不通过服务器直接共享和传输数据、文件、信息、 代码或多媒体信息等。