基于XMPP協(xié)議的通信客戶端的設(shè)計(jì)與實(shí)現(xiàn)

◆周建偉 董 潔 郭金盈

（1.北華航天工業(yè)學(xué)院 河北 065000；2.河北省航天遙感信息信息處理與應(yīng)用協(xié)同創(chuàng)新中心 河北065000；3.航天遙感信息應(yīng)用技術(shù)國(guó)家地方聯(lián)合工程研究中心 河北 065000）

據(jù)不完全統(tǒng)計(jì)在2018年上半年Facebook 泄露的信息就達(dá)8700 余萬(wàn)條，而且國(guó)內(nèi)如圓通快遞多達(dá)10億條數(shù)據(jù)被人在暗網(wǎng)上兜售。此外，常見的客戶端軟件越來越傾向于集多種功能于一體。娛樂方面比如QQ的厘米秀、微信的跳一跳，購(gòu)物方面QQ 微信都有相關(guān)京東的門戶入口；文件傳輸大小受限制且分類不清晰也是一個(gè)非常明顯的問題。

1 XMPP協(xié)議簡(jiǎn)介

XMPP協(xié)議最早是1998年由Jeremie Miller在Jabber 開源社區(qū)發(fā)出，由客戶端、服務(wù)器、網(wǎng)關(guān)構(gòu)成基本的客戶端/服務(wù)器網(wǎng)絡(luò)架構(gòu)，兩兩之間可通過XML Stream 進(jìn)行通信[1]?？蛻舳伺c服務(wù)器通信過程如下：TCP 握手->TLS 握手->SASL驗(yàn)證->驗(yàn)證成功[2]。

通過對(duì)XMPP協(xié)議通信原理的研究發(fā)現(xiàn)XMPP協(xié)議的優(yōu)勢(shì)在于已經(jīng)將TLS（Transport Layer Security，安全傳輸層協(xié)議）對(duì)XML 流進(jìn)行加密、SASL（Simple Authentication and Security Layer，一種用來擴(kuò)充C/S模式驗(yàn)證能力的機(jī)制）身份驗(yàn)證等寫入核心技術(shù)規(guī)格，從一定程度上保證了通信的安全性；此外由于XMPP是基于XML（Extensible Markup Language，擴(kuò)展標(biāo)記語(yǔ)言）的，所以與傳統(tǒng)的應(yīng)用層協(xié)議HTTP（Hyper Text Transport Protocol，超文本傳輸協(xié)議）、SMTP（Simple MailTransfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議）等彈性很好，在研究的過程中可以根據(jù)實(shí)際情況的需要進(jìn)行調(diào)整；XMPP的核心由一些RFC（Request For Comments，一系列以編號(hào)排定的文件）文檔組成，這對(duì)研究其通信原理及過程具有非常大的幫助作用，無須再去分析繁雜的數(shù)據(jù)頭等，非常簡(jiǎn)單方便；同時(shí)傳輸層采用TCP 進(jìn)行連接傳輸保證了信息的完整性[3]。

2 體系結(jié)構(gòu)

2.1 系統(tǒng)設(shè)計(jì)

在滿足基本辦公需求的前提下本系統(tǒng)構(gòu)建了登錄注冊(cè)模塊、用戶管理模塊、通信三大模塊。登錄注冊(cè)模塊包括登錄功能、注冊(cè)功能；通信模塊好友通信包括發(fā)送文字功能、發(fā)送抖動(dòng)功能、發(fā)送表情功能、發(fā)送文件功能、發(fā)送截屏功能，群?jiǎn)T通信包括發(fā)送文字功能、發(fā)送文件功能、發(fā)送表情功能、發(fā)送截屏功能；好友管理模塊包括添加好友功能、刪除好友功能。各模塊及相應(yīng)功能如圖1所示：

圖1 客戶端模塊功能圖

2.2 工作原理

本系統(tǒng)中首先客戶端發(fā)起TCP 連接，服務(wù)器對(duì)客戶端進(jìn)行響應(yīng)并攜帶認(rèn)證機(jī)制和流特性，然后客戶端和服務(wù)器嘗試在已有的TCP鏈路上完成TLS 握手以及SASL 握手過程[4]。最后服務(wù)器提示客戶端認(rèn)證通過，客戶端與客戶端之間開始進(jìn)行通信。其工作原理如圖2所示。

2.3 設(shè)計(jì)實(shí)現(xiàn)客戶端的關(guān)鍵問題

本文主要對(duì)通信安全機(jī)制、群文件的改進(jìn)進(jìn)行詳細(xì)介紹。

（1）通信安全機(jī)制

為了提高賬戶的安全性，本文采用MD5 算法對(duì)密碼進(jìn)行保護(hù)，MD5 算法的特點(diǎn)是當(dāng)密碼即使只改變一個(gè)字母也會(huì)導(dǎo)致生成的散列值有很大的不同。將原始密碼通過MD5 算法生成散列值，同時(shí)服務(wù)器本身對(duì)密碼又加入了一層MD5 算法，即將客戶端生成的散列值再次通過MD5 算法生成散列值來保障密碼的安全性。通信消息方面將Message中的Body 進(jìn)行AES加密，可以有效避免窮舉攻擊、差分攻擊、線性攻擊帶來的傷害。

（2）群文件的改進(jìn)

目前大部分的文件傳輸都存在傳輸大小受限、斷網(wǎng)之后傳輸中斷、群文件分類雜亂不易查找等問題，本文從源頭進(jìn)行改進(jìn)，在上傳時(shí)首先選擇上傳類別，傳輸采用離線傳輸?shù)姆绞?，方便群成員下載；為了避免斷網(wǎng)重傳，文件較大浪費(fèi)很多時(shí)間，支持?jǐn)帱c(diǎn)續(xù)傳，提高了辦公效率。此外為了提高通信效率以及公司文件的安全性，單獨(dú)部署一個(gè)文件服務(wù)器，提高了客戶端的安全性。

圖2 網(wǎng)絡(luò)通信圖

3 性能測(cè)試以及結(jié)果分析

3.1 安全性

XMPP協(xié)議是公開的，任何人都可以搭建自己的服務(wù)器，本客戶端在保證辦公需求的情況下，服務(wù)器完全可以部署在企業(yè)或者公司內(nèi)部，避免了第三方客戶端信息泄露對(duì)企業(yè)或者公司造成不可挽回的損失。同時(shí)本客戶端TLS協(xié)議、SASL 身份認(rèn)證、AES加密、MD5 算法等保證了客戶端軟件通信以及密碼的安全。

3.2 友好性

首先，從用戶體驗(yàn)的角度出發(fā)，不同的顏色、圖案可以調(diào)節(jié)人的心情，所以本客戶端在設(shè)計(jì)時(shí)，在登錄模塊中加入了不同時(shí)間登錄會(huì)有不同的背景的功能，在辦公之處就給人以積極的心里暗示，調(diào)節(jié)了辦公人員的心情，提高了積極性。

其次，考慮到辦公人員彼此之間可能熟悉但是也可能是陌生人，所以本客戶端在設(shè)計(jì)時(shí)加入了對(duì)好友的介紹功能，方便各個(gè)部門員工之間的溝通，提高辦公效率。

3.3 實(shí)用性

由于XMPP協(xié)議本身大部分的工作，如連接管理、信息路由等工作由服務(wù)器承擔(dān)，減小了客戶端軟件的壓力，提高了辦公效率。在設(shè)計(jì)實(shí)現(xiàn)過程中后臺(tái)服務(wù)器采用Openfire服務(wù)器，此外內(nèi)網(wǎng)WIFI 環(huán)境中進(jìn)行10次傳輸測(cè)試，統(tǒng)計(jì)傳輸速度的平均值，結(jié)果如表1所示：

表1 同類型軟件對(duì)比

由表1可以看到本客戶端在相同帶寬下傳輸速度可達(dá)到10M/S，單次傳輸量為4G，傳輸大小、傳輸速度上均具有較好的實(shí)用性。此外，由于服務(wù)器部署簡(jiǎn)單，客戶端是自己研發(fā)，可以極大節(jié)約成本。

4 結(jié)語(yǔ)

隨著信息安全泄露事件頻發(fā)，而且目前客戶端軟件越來越傾向于娛樂、文件傳輸大小受限制且分類較雜亂，設(shè)計(jì)一款擁有自主權(quán)限的安全的辦公軟件是每個(gè)企業(yè)的目標(biāo)。通過對(duì)目前網(wǎng)絡(luò)安全現(xiàn)狀、員工辦公需求的分析，對(duì)XMPP協(xié)議的安全性分析，采用C/S 架構(gòu)，設(shè)計(jì)實(shí)現(xiàn)了安全性高、傳輸快捷、簡(jiǎn)單方便、界面友好的客戶端辦公軟件。通過多次測(cè)試，傳輸速度可達(dá)10M/S，測(cè)試過程中單次最大傳輸量可達(dá)4G。