您当前的位置: 首页 > CERNET > CERNET服务 > CERNET导报
Cernet导报2001-3

中国教育和科研计算机网网络信息中心

中国教育和科研计算机网网络信息中心(China Education and Research Network Information Center,简称CERNIC)是一个面向全国教育和科研单位的Internet资源注册和管理部门。负责中国教育和科研计算机网CERNET的IP网络地址分配、网络域名注册和网络资源注册,并为CERNET用户提供网络技术支持,对外定期发布CERNET的最新信息等。

CERNIC提供的主要服务如下:

§         注册服务(URL: http://www.nic.edu.cn/RS/cindex.html)

CERNET用户提供网络资源分配、注册和管理等服务。

IP地址分配     欲加入CERNET的单位用户应首先与相应的CERNET地区网络中心取得联系,根据本单位的实际需求,如实填写“IP地址申请表”(URL:http://www.nic.edu.cn/RS/templates/ipform),以电子邮件的方式发至CERNET地区网络中心,各地区网络中心所负责的省、自治区和直辖市及相应IP地址申请受理的e-mail地址如表1所示,再由CERNET地区网络中心转交CERNIC进行处理。CERNIC一般在两周内发出IP地址分配结果。

域名注册       CERNET用户在申请到IP地址,并已经正式与CERNET联网以后,即可以申请EDU.CN下的域名。用户可从CERNIC主页(URL:http://www.nic.edu.cn/RS/templates/domainform)下载域名申请表格,填写后以电子邮件的方式发给CERNET的本地区网络中心,由地区网络中心审核后转交CERNIC处理。在填写表格前请认真阅读“中国教育和科研计算机网EDU.CN网络域名注册办法”(URL:http://www.nic.edu.cn/RS/policy/ policy1.txt)。域名注册的处理周期一般为两周。

网络资源注册   CERNET用户在从CERNIC申请到域名,并建立自己的局域网和信息资源后,可以通过填写“网络资源注册表格”(URL:http://www.nic.edu.cn/RS/ service.html),申请在CERNET主页上加入此信息资源的链接。

§         目录服务(URL:http://www.nic.edu.cn/DS/cindex.html)

提供网络资源的目录查询和数据库检索服务。用户可以在CERNET范围内查询有关域名、IP地址空间、人员、主机等信息。

§         出版刊物(URL: http://www.edu.cn/cernet/news/)

出版季刊《CERNET导报》,定期发布CERNET网络进展。

§         信息发布和信息资源建设

建立和维护CERNET的信息服务器,如CERNET主页(URL: http://www.edu.cn)、中国SunSITE(URL:http://sunsite.edu.cn)等。

§         服务联系

热线电话:            (010)62784049  

服务/咨询电子邮件信箱:webmaster@net.edu.cn

CERNIC通信地址:      北京清华大学中央主楼224房间(100084)

1:CERNET各地区网络中心所负责的省、自治区和直辖市:

地区网络中心

E-mail地址

电话

负责省市、自治区、直辖市

华南理工大学

Nicstaff@gznet.edu.cn

020)87110596

87110018   87114790

广东、广西、海南

东南大学

Nicstaff@njnet.edu.cn

025)3794341,42

       3614718

江苏、安徽、山东

华中科技大学

Nic@sea.whnet.edu.cn

027)87541443

       87541440

湖北、湖南、河南

上海交通大学

Ghfeng@shnet.edu.cn

021)62932919

       62933558

上海、浙江、福建、

江西

西安交通大学

Dhn@mail.xanet.edu.cn

029)3268575

       3269037

陕西、青海、甘肃、

宁夏、新疆

电子科技大学

Nic-staff@cdnet.edu.cn

028)3203691

 3201194

四川、云南、贵州、

西藏、重庆

东北大学

Chang@neu.edu.cn

024)23841798

  23908770

辽宁、吉林、黑龙江

清华大学

Ip-staff@net.edu.cn(IP)

Auto-dbm@net.edu.cn(DNS)

010)62784049

北京

北京大学

Hostmaster@pku.edu.cn

010)62751980

  62751984

天津、河北、北京

北京邮电大学

Mayan@bupt.edu.cn

010)62283044

      -8001,8002

内蒙古、山西、北京

 

CERNIC第三季度新增域名统计表

 

名称

域名

入网时间

江苏教育学院

jsie.edu.cn

2001-7-3

洛阳医学高等专科学校

lyyz.edu.cn

2001-7-3

济南交通高等专科学校

jncc.edu.cn

2001-7-4

新乡市教育信息中心

xxei.edu.cn

2001-7-9

川北医学院

nsmc.edu.cn

2001-7-11

杭州师范学院

hztc.edu.cn

2001-7-11

浙江财经学院

zufe.edu.cn

2001-7-11

常州技师学院

czjsy.edu.cn

2001-7-11

成都电子机械高等专科学校

cec.edu.cn

2001-7-11

商丘师范学院

sqnc.edu.cn

2001-7-12

四川广播电视大学

scrtvu.edu.cn

2001-7-12

南京金融高等专科学校

njcf.edu.cn

2001-7-12

桂林航天工业高等专科学校

glcat.edu.cn

2001-7-12

泸州医学院

lzmc.edu.cn

2001-7-13

大连大学

dlu.edu.cn

2001-7-31

辽宁工学院

lnit.edu.cn

2001-7-31

甘肃政法学院

gsli.edu.cn

2001-7-31

沈阳大学师范学院

sdsy.edu.cn

2001-7-31

河南纺织高等专科学校

hntc.edu.cn

2001-7-31

南昌职业技术师范学院

ncsy.edu.cn

2001-7-31

浙江广播电视大学乐清分校

yqtvu.edu.cn

2001-7-31

国土资源部岩溶动力学开放研究实验室

Karst.edu.cn

2001-7-31

皖西学院

wxc.edu.cn

2001-8-13

中共南通市委党校

jsntdx.edu.cn

2001-8-13

桂林旅游高等专科学校

giot.edu.cn

2001-8-13

安徽建筑工业学院

aiai.edu.cn

2001-8-14

上海公安高等专科学校

shpc.edu.cn

2001-8-14

广东农工商职业技术学院

gdaib.edu.cn

2001-8-14

济宁医学院

jnmc.edu.cn

2001-8-28

锦州医学院

jzmc.edu.cn

2001-8-28

合肥联合大学

hfuu.edu.cn

2001-8-28

河南广播电视大学

openha.edu.cn

2001-8-28

山东商业职业技术学院

sict.edu.cn

2001-8-28

本溪治金高等专科学校

bxyz.edu.cn

2001-8-31

广东药学院

gdpc.edu.cn

2001-9-3

南通职业大学

ntvc.edu.cn

2001-9-3

泰州职业技术学院

tzpc.edu.cn

2001-9-3

太原重型机械学院

tyhmi.edu.cn

2001-9-10

世纪龙信息网络有限责任公司

21cn.edu.cn

2001-9-10

吕梁高等专科学校

uhc.edu.cn

2001-9-12

华北工学院分院

cancit.edu.cn

2001-9-12

山西大学工程学院

sxuec.edu.cn

2001-9-12

运城高等专科学校

ycatc.edu.cn

2001-9-12

晋东南师范专科学校

jdntc.edu.cn

2001-9-12

德州学院

dzu.edu.cn

2001-9-19

新乡医学院

xxmc.edu.cn

2001-9-19

彭城职业大学

pcc.edu.cn

2001-9-19

大连水产学院

dlfu.edu.cn

2001-9-19

中央音乐学院

ccom.edu.cn

2001-9-19

武进市洛阳中学

wjlyms.edu.cn

2001-9-19

洛阳农业高等专科学校

lynz.edu.cn

2001-9-19

清华同方股份有限公司

Chinadaxuesheng.edu.cn

2001-9-21

贵州师范大学

gznu.edu.cn

2001-9-24

盐城市第一中学

jsycyz.edu.cn

2001-9-24

咸宁师范高等专科学校

xntc.edu.cn

2001-9-24

新疆教育学院

xjei.edu.cn

2001-9-25

达县师范高等专科学校

dxtc.edu.cn

2001-9-29

湖北公安高等专科学校

hbpa.edu.cn

2001-9-29

河南公安高等专科学校

hngazk.edu.cn

2001-9-29

吉林农业大学

jlan.edu.cn

2001-10-8

 

CERNIC累计域名注册月统计图

1995年12月-2001年9月)

CERNIC累计IP地址分配月统计图

1993年9月-2001年9月)

 

国家“211工程”高等教育公共服务体系

CERNET地区主干网和重点学科信息服务体系建设完成

 

    “中国教育和科研计算机网(CERNET)地区主干网和重点学科信息服务体系”建设项目718日通过国家验收。该项目的建成使CERNET真正成为我国高等教育事业公共服务体系和信息基础设施的重要组成部分。

  “CERNET地区主干网和重点学科信息服务体系”建设项目于1998年,经国家发展计划委员会批准立项,由清华大学等全国42所高校承担建设。经过两年多的时间,该项目建成并开通了CERNET八大地区主干网线路28条,其中155Mbps以上速率线路24条,比原定的技术指标有10倍以上的提高;建成了总容量达800GB的全世界主要大学和著名国际学术组织的10个信息镜像系统和12个重点学科信息镜像系统,以及一批知名的国际学术网站;建成了系统容量为150万页的中英文全文检索系统和涵盖100万个文件的文件检索系统。

  该项目所取得的成果对我国的网络用户有着极为重要的意义。CERNET地区主干网的建成,实现了CERNET网络规模和用户数量的飞速增长,入网单位从1998年的344个增至2001年的895个,其中高等学校800所以上,用户数量从1998年的80万人增至2001年的747万人;国外著名大学和重点学科信息镜像系统的建成,使用户无需访问国外网站就能获得所需信息,减少了大量国际通信流量费用,促进了国际合作和技术交流;高等教育和重点学科信息全文检索系统的建成,使网上信息资源的利用率大大提高。

  鉴定会上,与会专家对项目建设取得的成果给予高度评价,认为该项目按照要求高质量、超额完成了建设任务,实现了预期目标,已建成了CERNET基本框架,为我国教育事业的发展打下了坚实基础。

《中国教育报》719

   

我国下一代互联网研究建设取得重大突破

 

国家自然科学基金重大项目--"中国高速互联研究试验网络 NSFCNET"最近研制成功,日前在清华大学通过国家鉴定验收。这是我国第一个高速计算机互联试验网络,首次实现了与国际下一代互联网络Internet2的连接,标志着我国下一代互联网研究建设取得重大突破。

该项目由清华大学、中科院计算机信息中心、北京大学、北京航空航天大学和北京邮电大学联合承担建设。NSFCNET采用200GBPS密集波分复用DWDM光传输技术,在北京建立了连接六个节点的2.510GBPS高速计算机互联研究试验网,并分别与中国教育和科研计算机网CERNET、中国科技网CSTNET,以及国际下一代互联网络Internet 2和亚太地区高速网APAN互联,是我国第一个与Internet 2实现互联的计算机互联网。

项目主持人、清华大学吴建平教授介绍说,NSFCNET研究内容及成果主要包含了三个方面的内容:一是密集波分多路复用光纤传输系统,二是高速计算机互联网络,三是高速网络的典型应用。

鉴定会上,与会专家对这一成果给予了高度评价。NSFCNET的研制成功不亚于当初计算机互联网络引入中国,它为我国积极参与国际下一代互联网络研究计划提供了必要手段,为未来国家信息基础设施建设起到了示范作用,推动了我国高速互联网络关键技术和基础理 论的研究,为我国开展基于高速互联网络及其应用的各类基础研究提供了与世界接轨的试验环境,发挥了我国计算机和光通信学科的交叉优势。对我国实施"科教兴国"战略、实现中华民族的伟大复兴具有重要意义。有关方面负责人介绍说,如果能获得大力支持,将以现有的NSFCNET试验网为基础,在两三年内建成一个全国范围的中国下一代高速互联研究网络。

国家自然科学基金委陈佳洱主任、周炳琨副主任、教育部袁成琛副司长、信息产业部陈小筑副司长、清华大学龚克副校长、北大陈章良副校长等参加了鉴定会。    

《新清华》822

 

CERNET第八届学术年会在沈阳举行

李海元

    中国教育和科研计算机网CERNET第八届学术年会92428日在沈阳召开。来自全国300多所高校、科研机构的400多名代表出席会议,会议由CERNET管理委员会主办,东北大学承办。

    座落在沈阳城北的辽宁大厦迎来了全国众多高校、科研机构等的网络技术专家,出席为期5天的CERNET第八届学术年会。与会代表就网络技术发展的现状、发展以及未来,就当前学术热点、以及大家共同关心的问题展开广泛深入研讨。一年一届的CERNET年会已经成为国内高校网络技术专家的重要聚会。

    随着国家“211工程”高等教育公共服务体系“中国教育和科研计算机网地区主干网和重点学科信息服务体系”建设项目的建设完成,并顺利通过国家的鉴定验收,CERNET的主干网的传输速率已达到2.5G,地区主干网传输速率达到155M,通达中国大陆的160个城市,联网的大学、中小学等教育和科研机构达到近900个(其中高等学校800所以上),网络用户已达747万人,CERNET已经具备了连接全国所有高等学校的能力。此外,CERNET还通过28条国际和地区性信道,分别与美国、加拿大、英国、德国、日本和香港特区联网,总带宽在120M以上。

    经过近八年的发展,CERNET的基本框架已经搭建完成。作为我国教育科研和事业发展重要的信息基础设施之一,CERNET为国内教育和科研领域的广大教师、学者、学生进行科研、协作、学习交流提供了重要平台,基于网络建设的以总容量达800GB的全世界主要大学和著名国际组织的信息资源镜像系统、十二个重点学科的信息资源镜像系统的重点学科信息服务体系为代表的丰富资源,将与中国高等教育文献保障体系一起,共同构成我国高等教育公共服务体系,为我国教育和科研事业作出重要的贡献。

教育部科技司袁成琛副司长、辽宁省信息中心,东北大学和CERNET管理委员会的有关领导出席年会。                                                            

 

400公里连未来

冯瑞

  现在的互联网是什么?“工具论”的观点最能站得住脚,想想我们上网做什么?收发邮件,阅读新闻,查收股票实时行情……的确是以往资讯工具的替代品,与以前不一样的是它的海量信息以及快速的检索功能,即便如此它在我们生活中的位置同传真机、字典没有什么两样。有时候我们用它,有时候我们还是习惯用顺手了的旧工具。互联网的工具属性似乎决定了它的前程,判了它的死刑!我们人类社会是环境的产物,我们依靠环境而生存,而不是依靠工具而生存。那么说,现在的互联网真的走不出寒冬了吗?不!科学家正在为我们创建一个新的网络生存环境——下一代互联网。

  我国科学家已经在中关村搭起一条长度达400公里的下一代互联网,这条超级宽带网连起清华大学、中国科学院、北京大学、北京航空航天大学、北京邮电大学和国家自然基金委员会。负责建造这条网络的清华大学吴建平教授,曾领衔创建我国最早的计算机互联网———中国教育和科研计算机网,他在清华现场自豪地告诉记者,中国高速互联研究试验网络还首次与美国的下一代互联网络和日本的亚太地区高速网实现了互联,首次与国际下一代互联网络Internet2连接。

  在清华大学的实验室里,记者看到,通过下一代网络传送的18组会议现场图像非常清晰,而且没有丝毫的阻滞感觉。专家告诉记者,下一代互联网可同时传送50100组多媒体图像。它传输速度比现有的互联网快1000倍以上,过去需要一天才能传输完的数据现在只需几十秒;网上的内容不单单是文字和图片,清晰的声音、比电视还要清楚的图像也将在网络上畅通无阻;万里之外的外科医生可以遥控手术刀,让处在不同地点的医生合作进行外科手术。

  新世纪的两弹一星

  虽然只有400公里,现在受惠的只有北大、清华的师生,但是中国高速互联试验网络(NSFCNET)的成功开通,其意义一点不亚于当初中国接入INTERNET。用吴建平的话说是“中国INTERNET2的婴儿,是中国下一代互联网建设的里程碑。”

  说它是中国新世纪的两弹一星,此话绝非哗众取宠。我们现在在网络上有多少发言权?我们在信息技术上有多少关键技术要看别人眼色?对于未来的网络社会,互联网这一基本要素将对社会经济、科技教育发展,乃至国防政治都将起到决定性的影响,如果我们失去对下一代互联网的发言权,我们也将在很大程度上受制于别人。吴建平告诉记者,正因为其战略意义重要,当该项目缺少线路支持时,一些国外机构表示愿意无偿捐赠,但考虑到一些负面影响,项目的建设者找到了信息产业部。在张春江副部长的亲自协调下,20008月,中国网通捐赠了一条10M的线路到美国的全球下一代网络交换中心STARTAP,中国电信捐赠了一条10M的线路到日本的亚太地区下一代互联网络APAN交换中心。3年免费,时值1亿元人民币。

  吴建平说,下一代互联网的研究也是国家自然基金委员会历史上最大的一个项目,以前最大项目的款额没有超过500万元,但该项目支持额度高达2000万元。但要想把这一试验网络推向全国,已经不是自然基金委员会一个

  项目所能承担的了。前些天在鉴定会上一些专家建议,应把下一代互联网研究放到像重视两弹一星的程度上,国家应建立战略性计划,举国之力建设中国下一代互联网。

  搭建人类新的生活环境

  吴建平教授从五个方面介绍了下一代互联网与现代互联网的区别:更快、更大、更安全、更及时、更方便。更快,下一代互联网将比现在的网络传输速度提高100010000倍。更大,下一代互联网将逐渐放弃IPV4,启用IPV6地址协议(二者的区别有点像电话号码的升级,但有本质区别,如不可能像电话号码那样在瞬间切换),几乎可以给你家庭中的每一个可能的东西分配一个自己的IP,让数字化生活变成现实。更安全,目前的计算机网络因为种种原因,存在大量安全隐患,下一代互联网将可以有效控制,解决网络安全问题。

  一位专家预测说,在下一代互联网,真正的数字化时代将来临,家庭中的每一个物件都将可能分配一个IP,都将进入网络世界,所有的一切都可以通过网络来调控。它带给人类的,不仅仅是一种获取信息的工具,而是一种新的生存环境。

  吴建平还有一个更形象的说法,在人类发展史上,火的使用是人类真正出现的一个标志,下一代互联网对我们未来的意义与影响,就如火的使用。 

           《北京晚报》2001725

 

我国教育和科研计算机网“能力”大增

 

    经过三年努力,中国第一个全国范围的学术性计算机信息网络雏形——中国教育和科研计算机网“能力”大增,实际入网高校已近九百所。

    专家认为,这意味着中国高等院校能够更加方便快捷地接入互联网。

    一九九八年,在国家计委立项支持下,中国教育和科研计算机网初步建成,但这一网络的速率却仅相当于国际上八十年代末期水平,而且由于缺乏地区主干网,大部分高校采用电话拨号等方式上网,通信费用昂贵,通信效率低。

    为改变这一局面,清华大学等四十二所高校共同承担了“中国教育和科研计算机网地区主干网和重点学科信息服务体系”建设项目。“这一项目主要致力于充实和扩展设在北京、上海、南京、西安、广州、武汉、成都、沈阳的八个地区网络中心,建设八大地区主干网。”项目负责人、清华大学吴建平教授说。

    八大地区主干网的建成,使中国教育和科研计算机网规模和用户数量实现飞速增长,入网单位从一九九八年的三百四十四个增至目前的八百九十五个,用户数量也从一九九八年的八十万人增加到七百四十七万人,占据了中国互联网用户的四分之一。

与此同时,国外著名大学和重点学科信息镜像系统的建成,使用户不需要访问国外网站就能获得所需信息,不仅促进了国际合作、技术交流和出国留学,还大大减少了国际通信费用。

新华网 2001724

 

下一代互联网 中国不能错失良机

游雪晴 张习文

 

    第一代互联网,我们错过了。但对于这样一项具有战略意义的技术,到了第二代中国必须占有一席之地,否则我们将永远处于从属地位。”清华大学信息网络工程研究中心主任、中国教育和科研计算机网(CERNET)网络中心主任吴建平教授不论在哪个场合,只要有机会总要表达他的这个观点。虽然由他负责的“中国高速互联研究试验网”(NSFCNET)项目不久前在北京通过国家鉴定验收,并得到了相当高的评价;虽然这个标志着中国下一代互联网研发实验的项目得到了国家自然基金委成立以来最多的一次资金资助———2000万元;虽然得到了国内两家电信运营商对通信线路的资助,解决了与国际网络的互联互通,但吴建平依然希望:国家能从战略角度出发,制定有效的规划,像研制两弹一星那样,兴举国之力支持中国下一代互联网的研究与建设。因为下一代互联网给我们带来的宝贵机会,我们再也不能错过了!

    目前的互联网已经难堪重负

    911日,美国遭受恐怖主义袭击,一时间通信线路异常繁忙,经常有电话打不通的情况出现,互联网成了美国公众与亲人取得联系的首选途径。虽然在可靠性方面,互联网比电话更高一筹,但同时密集地上网造成网路堵塞,使得人们平添了不少烦躁不安,由于用户蜂拥上网查找有关恐怖事件的最新消息,一些新闻网站甚至在几个小时之内都无法正常运营。例如,搜索网站Google一度不得不告诉用户请关闭电脑,打开电视或收音机收看或收听最新消息。当互联网变得在人们生活中越来越重要的同时,其自身无法更改的缺陷也越来越多地限制了它的发展,新一代互联网取代现在的第一代互联网将成为必然。

   现有的互联网的致命缺陷是“地址空间”———由于当初设计时根本没有考虑到因特网会有今天如此广泛的应用,远远不能满足今天所产生的对IP地址的巨大需求。到目前为止,世界上70%的地址已经分配光了。几乎所有的手机厂商都在向国际因特网地址管理机构ICANN申请,要给他们生产的每一台手机都分配一个IP地址,而家电厂商则要求给每一台带有联网功能的电视、音响都设置一个IP地址。作为ICANN中唯一的中国执行委员,吴建平对此深有体会,他说:“要满足这些要求,在现有的因特网技术框架上做一些修修补补已经不行了,必须有一个全新的、大容量的技术框架来替代,这就是基于IPv6协议的下一代互联网。”

    如果改用新的标准IPv6,那就意味着互联网中许多核心设备需要更新,大量软件需要改写,全球完成整个升级大约需要投入几千亿美元。吴建平教授认为,下一代互联网技术是崭新的,从光纤到路由、交换器,再到上层的服务器,包括操作系统和各种软件,以及与此相关的各种标准,都将产生革命性的变革,业界将因此而重新“洗牌”,游戏规则将重新制订。那时大家都站在同一起跑线上,对中国将是一个绝好的发展机会。

    吴建平介绍说,我们现在所用的互联网又称为第一代互联网。它是美国从60年代开始研究、经过30多年的发展而成的。它完全由美国独立完成,从各种基础的硬件,如路由器、服务器,到各种标准、软件,乃至关键技术,全部由美国掌握,包括中国在内的其他国家都是跟随者。凭借这个优势,美国不仅在新经济中大获全胜,而且在军事、社会生活等各个方面发挥着巨大的影响。正是意识到了互联网的重要意义,国际上对下一代互联网技术的研究十分重视。1992年,美国政府主导进行了“下一代互联网计划”的研究,1996年美国国家科学基金会又设立了“下一代因特网”研究计划(NGI)。另外,美国140多所大学和研究机构联合起来,共同构造了一个叫做“Internet2”的网络。随后,英国、德国、法国、日本、加拿大等国也纷纷投入到下一代互联网的研究中,除了拥有政府投资建设和运行的大规模教育和科研网络之外,都对研究下一代互联网进行了巨资投入。

    “网速提高1000倍,什么不能做?!”

    下一代互联网什么样?与第一代相比有什么特点呢?这是所有人都关心的问题。吴建平教授总结了下一代互联网的五大特点:第一是更快,下一代互联网的速度将是现有网络的1000倍,我们原来的一般是56K接入,但下一代起码是10M接入;第二是更大,下一代互联网采用IPV6,其地址空间将由32位扩展到128位,就是总地址数高达2128次方;第三是更安全,下一代互联网在IP协议中将考虑到安全问题,可以有效控制,不会像现在这样黑客、病毒泛滥。第四是更及时,也就是解决服务质量保证的问题;第五是更方便,下一代互联网的应用将更方便,简单,更符合普通人的使用习惯。

    网速提高1000倍以上,那什么事情不能做呀?!”一位网民被这个美妙的前景激动得不知说什么好。的确,下一代互联网最诱人的,就是让我们现在所能想到的和想象不到的,都变成现实。这首先会影响到远程医疗和远程教学,如果没有高速网的承载,高质量的远程医疗是不可能实现的。现在的远程教育,远程医疗,在一定程度上并不是真正的网络教育或医疗。充其量不过是远程会议,并不能真正地进行互动教学和诊断治疗,但在下一代互联网上,这些都将成为最普通的应用。

    在下一代互联网,真正的数字化时代将来临,家庭中的每一个物件都将可能分配一个IP,都将进入网络世界,所有的一切都可以通过网络来调控。甚至它还可以提供一些更“前卫”的功能,我们一般都不大能想得到的。比如它可以为用户提供一种“幻觉”服务,不管用户身在哪里,网络可以让你看到你和与你相距千万里以外的人处在同一地理环境中,看起来就像三维的电影剪影。

    另一个重要的影响就是使科学技术的研究手段发生重要的变化。位于美国夏威夷的11家全球天文台已经连接了第二代互联网,阿姆斯特丹的天文学家可以精确地调整天文望远镜,并通过第二代互联网提供的先进的电话会议技术与全球同行讨论观察结果。而华盛顿特区的外科医生也已经可以用第二代互联网对在其它地区的眼科手术进行实时指导。

    中国的下一代互联网与世界同步

    早在1999年,从事CERNET建设的一些专家就开始探讨中国应不应该开展下一代高速互联网研究的问题。结果,大家一致认为:下一代互联网对中国来说至关重要。

    吴建平教授说,下一代互联网的诞生过程类似于第一代互联网。发达国家开展下一代互联网及其典型应用研究采用的模式基本上是在政府支持下,由大学和科研单位负责建设和运行高速试验网络,商业机构只能捐献设备和资金,它们可以作为合作伙伴,但不能介入其中。只有当下一代网络结构和技术成熟以后,才会出现大规模的商业应用。

    因此在中国,以CERNET为代表的中国教育和科研网中的大学、科研机构责无旁贷地挑起了这副重担,成为中国下一代高速互联网研究的先行者。去年3月份,NSFCNET正式与国际下一代互联网研究组织签订了法律协议,成为国际上下一代互联网研究大家庭中的一员。

    经过不到一年的努力,由清华大学、中科院计算机信息中心、北京大学、北京航空航天大学和北京邮电大学联合建设的“中国高速互联研究试验网”(NSFCNET),终于通过了专家验收,鉴定委员会的专家对“中国高速互联研究试验网”评价极高:在国内首次建成了IPv6试验网络,并与国际IPv6试验网成功连接,首次实现了我国与国际下一代互联网的连接。NSFCNET技术先进,在200GBs的密集波分多路复用光传输技术、高速互联网互联及网络技术、高速网络应用技术等方面取得了一批重大研究成果,项目的总体水平达到了国际先进、国内领先水平。其中,将10GbpsDWDM系统用于互联网及光子层的自愈保护水平处于国际领先水平。NSFCNET为我国积极参与国际下一代互联网络研究计划提供了必要手段和试验环境,为未来国家信息基础设施起到了示范作用,已经并将进一步推动我国高速互联网络关键技术实践和基础理论的研究。

    同时,NSFCNET在高速网络环境下的应用研究也取得了可喜的成绩。这个网目前开辟了四大应用:一是高速实时视频传输;二是高速网科学数据库;三是远程教育系统;四是地理信息系统。研究试验也取得了令人满意的效果。

    例如,在高速网络环境下建立的中国重要生物学数据库映像点,使我国从事新药设计和算法研究的科学家可以在不用支付国际网络通信费用的情况下,从国际核酸序列数据库中得到最新的序列信息。这对节约科研费用、提升我国的科学研究能力和水平,具有重要的现实意义。

    再如基于天文数据库的太阳活动预报的研究。在该高速网络环境下,北京天文台怀柔太阳观测站、美国大熊湖天文台、云南天文台、西班牙坎拉里岛天文台观测站,组成了一个全球太阳色球观测网,可以实现数据共享。利用这一条件,我国天文工作者在2000年进行的16次太阳质子事件的预报中,成功预报9次,成功率高出国际同行近一倍。

    在下一代互联网的建设中,国家需要制定整体规划

    NSFCNET虽然取得了初步的成绩,但目前它只连接了6个点,而且只限于北京地区。这是远远不够的,NSFCNET下一步的目标是连接100所大学和100个科研机构,真正成为覆盖全国的高速网络。吴建平说:“联网只是我们工作的第一步。有了这么一个网,我们就可以在上面做很多试验和研究。这就像搞实验物理学研究一样,没有对撞机,怎么能分析出高能量下各种粒子的性质?”

    吴建平希望能获得大力支持,以现有的试验网为基础,在两三年内建成一个全国范围的中国下一代高速互联研究网络。

    吴建平,这个中国互联网的开拓者更关心的是我们国家在下一代互联网研究与建设上的整体规划与策略。“美国的下一代互联网是由国家制定整体计划,并由总统直接领导,真正是在举国之力研究与建设下一代互联网,原因很简单:下一代互联网的成功与否决定着美国能否在世界上继续领跑。在第一代互联网上,美国获得的不仅仅是金钱,而是从生活到政治、军事等社会发展的各个方面的领先地位。”

    第一代互联网因为种种原因,我们未能跟上,但在下一代互联网研究与建设上给我们提供了机会。“有人认为应把下一代互联网提高到像‘两弹一星’一样重视,我认为一点都不过分。网络是未来社会最基本的元素,因此在下一代互联网能否发言,将直接影响着中国在未来经济、军事乃至整个社会发展的制约权。吸取我们在第一代互联网建设上的一些经验,我们必须举国之力,制定全方面的下一代互联网研究与建设规划,加快我国在下一代互联网研究与建设的步伐。”

吴建平说,他相信我们国家会集合各方力量拿出这个整体规划的,但他希望时间不要太长。

《科技日报》2001919

声明:以上所摘录文章仅限于内部交流

 

 

IP sec安全策略

汪淼 生拥宏

 

    一、 安全策略的含义

    策略位于安全检查规范的最高一级,是决定系统的安全要素。安全策略定义了系统中哪些行为是允许的,哪些是不允许的。按ISO安全参考模型,安全策略建立在授权行为这一概念之上。按授权的性质,可区分两种不同的策略,即基于规则的策略和基于身份的策略。基于规则的安全策略是根据系统的一般属性建立的一组规则,授权通常依赖于信息与资源的敏感属性,它们通常是强制性的。基于身份的策略是建立在特定的个别属性之上的授权准则,其目的是过滤对特定数据或资源的访问和使用。

    二、 安全策略的作用

    安全策略的目的是决定一个组织怎样来保护自己。一般说来,策略包括两个部分:总体策略和具体规则。总体策略阐明公司安全政策的总体思想,具体规则用于说明什么行为是允许的,什么行为是禁止的。

    IPsec是一种协议套件,它通过两个安全协议AHESPIP数据包提供安全保护。不同的用户和不同的通信可能需要不同的安全服务。例如,假设在公司中有一个集中的管理部门,在管理部门内部的通信必须保证信息的完整性,但不需要加密,而管理部门和公司的其他部门之间的通信则既需要保证信息的完整性,又必须保证机密性,因此需要加密。可以以IP地址为依据制订相应的安全策略。  

    三、 安全策略的表示与管理

    1 策略的表示

    策略是通过柔性语言表达的,而机器只能识别形式语言。例如:人的想法可能是:对我的所有访问要进行身份验证。而机器的定义则可能是对目的地为202.96.4.1的通信要通过HMACSHA进行身份验证。一般而言,不存在一个映射方式将柔性语言表达式无损地映射到形式语言表达式中。所以,从基本流程上来说,IPsec安全策略管理要提供一个人机界面,安全管理员以尽可能自然的方式输入非形式化的安全策略表达式。安全策略通常以安全策略数据库的形式表现出来,库中的每条记录对应一个安全策略。

    2 策略的管理

    网络安全是非常复杂的,要保护的网络的规模越大,描述如何保障安全的策略就越复杂。如果一个网络管理员必须逐一访问每一个网络实体,并且依照系统安全策略对网络实体进行手工配置,几乎是不可能的,因此,有必要集中地管理安全策略。IPsec系统所使用的策略库一般保存在一个策略服务器中,该服务器为域中的所有节点(主机和路由器)的维护策略库,各节点可将策略库拷贝到本地,也可使用轻型目录访问协议(LDAP)动态获取策略。

为了确定提供给数据包的安全服务,IPsec 内核需频繁地查询策略。因此,应在系统初始化时将安全策略库置于内核中,以保证查询速度,并定期进行更新和刷新,保证策略库的有效性和安全性。

    四、 安全策略的要素

    IPsec本身没有为策略定义标准,目前只规定了两个策略组件:SAD(安全关联数据库)和SPD(安全策略数据库)。在IPsec系统中,安全策略通过SPD得到表现。

    对于外出包,必须先检索SPD,决定提供给它的安全服务。对于进入包,也要查阅SPD,判断为其提供的安全保护是否和策略规定的安全保护相符。SPD是有序的,每次查找的顺序应相同。SPD还控制密钥管理(如ISAKMP)的数据包,即对ISAKMP数据包的处理要明确说明,否则该包将被丢弃。

    策略描述主要包括两方面的内容:一是对通信特性的描述,二是对保护方法的描述。

    1 使用选择符描述通信特性

    选择符包括下面6个方面的内容:

  目的IP地址: 可为单个IP地址、地址列表、地址范围或通配(掩码)地址。后两种用于支持共享一个SA的多个目的系统。

  IP地址:可为单个IP地址、地址列表、地址范围或通配(掩码)地址。后两种用于支持共享一个SA的多个原发系统。

  名字:其中包括一个DNS 名、X.500区分名或者在IPsec DOI中定义的其他名字类型。只有在IKE协商期间(而非包处理期间),名字字段才能作为一个选择符使用。

  传输层协议:许多情况下,只要使用了ESP,传送协议无法访问,这时需使用通配符。

  源和目标端口:TCPUDP端口号,可为单个端口、端口列表或通配端口。如果端口不能访问,则要使用通配符。

  数据敏感等级:通信数据的保密等级,可分为普通、秘密、机密、绝密。

    2 对保护方法的描述

    对于进入或外出的每一份数据报,都可能有三种处理:丢弃、绕过或应用IPsec。若是应用IPsec,策略记录要包含使用的IPsec协议、模式、算法和嵌套要求等。

    五、 安全策略的实例--安全关联(SA

    1 SA的定义

    安全关联(Security AssociationSA)是两个应用IPsec实体(主机、路由器)间的一个单向逻辑连接,决定保护什么、如何保护以及谁来保护通信数据。它规定了用来保护数据包安全的IPsec协议、转换方式、密钥以及密钥的有效存在时间等等。SA是单向的,要么对数据包进行“进入”保护,要么进行“外出”保护。 SA用一个三元组(安全参数索引SPI、目的IP地址、安全协议)唯一标识。

    2 SA的作用

SA提供的安全服务取决于所选的安全协议(AHESP)、SA模式、SA作用的两端点和安全协议所要求的服务。 例如,AHIP数据报提供数据源验证和无连接完整性。AH还提供抗重播服务。接收端是否需要这一服务,可自行决定。AH不对数据包进行加密,ESP则可提供加密和验证以及抗重播服务。ESP验证的数据不包括外部IP头,加密和验证服务至少选择其中之一。

ESPSA的加密服务提供了有限业务流机密性。隧道模式隐藏了数据包的源地址和最终目的地址。ESP数据包进行填充,隐藏了数据包的真实大小,进而隐藏了其通信特征。移动用户的IP地址是动态分配的,通过与公司的作为网关使用的防火墙间建立隧道模式ESP SA,也可实现业务流的机密性。

    3 SA的使用

    一个SAIP数据报不能同时提供AHESP保护。有时,特定的安全策略要求对通信提供多种安全保护,这就需要使用多个SA。当把一系列SA应用于业务流时,称为SA束。SA束的顺序由安全策略决定,SA束中各个SA的终点可能不同。例如,一个SA可能用于移动主机与安全网关之间,而另一个可能用于移动主机与安全网关内的主机。

多个SA可以用传输邻接和嵌套隧道两种方式联合起来。

    1 传输邻接(Transport Adjacency

    传输邻接是指将多个安全协议应用于一份IP数据报中,应用过程中不出现隧道。这种方式仅允许AHESP进行一层联合。如SA中的算法强度足够,则没有必要将多个SA嵌套。对一份数据报同时使用AHESP传输模式时,应先应用ESP,再应用AH

    2)嵌套隧道(Iterated Tunneling

    嵌套隧道是指将多个SA嵌套用于一份数据报,这些SA的起点和终点可以不同。

    4.安全关联数据库(SAD

    SAD为进入和外出包维持一个活动的SA列表。SAD的字段包括:

    外部头目的IP地址:SA的目的地址,可为终端用户系统、防火墙和路由器等网络系统。原则上讲,目的地址可以是单播地址、广播地址或多播地址。但目前的SA管理机制只支持单播地址的SA

    IPsec协议:标识SA用的是AH还是ESP

    SPI32比特的安全参数索引,标识同一个目的地的SA

    序号计数器:32比特,用于产生AHESP头的序号,仅用于外出数据包。

    序号计数器溢出标志:标识序号计数器是否溢出。如溢出,则产生一个审计事件,并禁止用SA继续发送数据包。

    抗重播窗口:32比特计数器及位图,用于决定进入的AHESP数据包是否为重发。仅用于进入数据包,如接收方不选择抗重播服务(如手工设置SA时),则抗重播窗口未被使用。

    密码算法及密钥:AHESP验证算法及其密钥、ESP加密算法、密钥、IV模式、IV等。

    SA的生存期:一个时间间隔。超过这一间隔后,应建立一个新的SA(以及新的SPI)或终止通信。生存期以时间或字节数为标准,或将两者结合使用,并优先采用先到者。

    IPsec协议模式:隧道、传输或通配,说明应用AHESP的模式。

    查找MTU:所考察的路径的MTU及其寿命变量。

    5SA的管理

    SA管理的两大任务就是创建和删除。SA的管理既可手工进行,也可通过IKE来完成。

    手工方式下,安全参数由管理员按安全策略手工指定、手工维护。但是,手工维护容易出错,而且手工建立的SA没有生存周期限制,一旦建立了,就不会过期,除非手工删除。

    SA的自动建立和动态维护是通过IKE进行的。如果安全策略要求建立安全、保密的连接,但却不存在相应的SAIPsec的内核则启动或触发IKE协商。

《计算机世界日报》

密钥认证的几种典型应用

何奇 赵晓芳

    安全通信

    即时的电子信息系统目前已经非常普及,如AOL的即时信息、ICQMSN信使等。但是这些信息系统都没有很好地考虑安全性问题:一个人很容易在线窃听信息,电子邮件的问题就更为严重。电子邮件是因特网上最主要的服务,许多电子邮件的内容是非常敏感的,是发送方和接收方都希望保密的信息,而目前还没有非常有效的解决方案来保证这一点。PGP通过提供一个加密解密工具包部分地解决了这一问题,但需要用户手工找到对方的公钥以发送加密邮件或对一个文件进行身份认证,而这样的工作对于普通用户来讲是很大的负担。

    目前对信息系统或电子邮件的安全问题还没有非常有效的解决方案,其主要原因是由于因特网固有的异构性,因此没有一个单一的信任机构可以满足所有的需要,也没有一个单一的协议适用于所有的情况。解决的办法就是利用软件代理:代理自动管理用户所持有的证书(即用户所属的信任结构)以及用户所有的行为。当用户要发送一则消息或一封电子邮件时,代理自动与对方的代理协商,找出一个共同信任的机构或一个通用协议进行通信。

    这就是SecMail原型系统的工作:当一个用户要向另外某一方发送一则安全的保密信息时,用户的本地代理将与对方的代理通信,协商一个双方都可以接受的认证机构。

    之后,加密过的信息被发送出去,使用的就是上面协商的证书。这些都是代理自动完成的,对用户来讲都是透明的。事实上,对用户来讲,这样的系统使用起来就和ICQ一样简单,区别就在于现在他得到了这样的保证,他发送出去的信息不会被中间截获。

    下一代的安全信息系统会自动为用户发送加密的邮件,同样当用户要向某人发送电子邮件,用户的本地代理首先将与对方的代理交互,协商一个适合双方的认证机构。值得注意的是,对于电子邮件这里需要不同的技术:电子邮件不是直接端到端的通信,比如当Alice Bob发电子邮件的时候,她不需要与Bob的机器建立直接的联接,相反,她只需要把邮件发到她的ISP,她的ISP会把她的电子邮件分程传递到其他的机器,并最后到Bob那里。以分程传递的方式来协商不是一件容易的事情。

    这里我们想强调的一点是,代理技术是解决PKI 问题所必须的。从一个不正确的假设,即整个因特网将采用统一的结构框架和统一的标准,来开始解决问题是不现实的。在这样的一个固有的异构的环境中,唯一的方法是适应环境,使自身具有足够的灵活性。

    安全在线购物

    现在,用户可以使用信用卡在因特网上在线购物。但现在的系统是构造在两个很危险的假设之上的,即:

    1. 用户具有合法的权利使用他的信用卡。

    2. 商家是足可以信赖的,他们不会利用他们客户的信用卡信息作出不利于客户的事情。

    基于这样脆弱的假设之上,目前的购物流程有很严重的安全缺陷。例如,当一个黑客闯入商家的数据库,信用卡的信息可能被恶意地公布出来。另外,一个不法的商家很容易在其他的交易中模仿他的客户。

    中科院计算所数字安全实验室设计的无争议付账机制SecPay,通过数字签名减小了在线购物中的风险。SecPay使用了商家和客户的证书以及数字签名。其过程协议如下:

    1. 客户向商家发出网络访问、查询;

    2. 商家接到客户的查询后向用户发出附有贸易站点证书的定单表格;

    3. 客户的安全的电子付账系统被激活,并从浏览器上下载定单表格、验证附在定单表格上的证书,并在客户所持有的、服务器发放的证书中自动匹配商家可以接受的证书(信用卡);

    4. 付账系统显示填好的定单表格内的信息,包括:货品描述、价格、购买条款、数量等,并用商家可接受的证书相应的用户私钥在定单(包括时间戳)上签字,再用商家的公钥对定单信息进行加密,并把加密信息发送到商家的服务器上;

    5. 商家接收到客户信息后,对加密的定单进行解密、验证客户的证书/信用卡的有效性,验证定单上的签名,如果以上都是正确的,服务器产生一个确认信息,并用客户证书中的公钥进行加密,然后把确认信息发给客户;

    6. 商家的付账系统对加密的确认信息进行解密,确认商家已经收到了定单。

    基于PKISSH

    SSH是将取代rloginrsh登录到远程机器、执行命令的程序,它为在不安全的网络上的两个非信任的主机提供安全通信。X11连接和任意TCP/IP 端口都可以通过这个安全通道转发。

    正如所共知的,只有在客户端和服务器都知道他们在和谁通信、加密解密使用什么密钥的前提条件下,他们才能开始安全的加密通信。因此在SSH的最开始,身份认证和密钥协商是必须要做的。

    目前绝大部分的确认方式不使用PKI,而是基于口令的,这种方式很危险。这是因为口令是以普通的文本形式在网络上发送的,因此很容易被截获。被截获的口令可能被黑客使用而假扮成口令的拥有者。进一步,不使用PKI,加密密码的协商和分发也成问题,即盲目地接受另外一个主机送过来的公钥也是很危险的。

    基于PKISSH避免了上面提到的问题。在智能代理的帮助下,身份认证和密码交换可以自动进行,而同时达到更高的安全性。

    SSH包括如下的层次结构:

    TCP/IP为上层提供底层(不安全的)可靠的数据流;SSH TRANS提供服务器身份认证和完整性;SSH USERAUTH为服务器鉴别客户端用户; SSH CONN把加密通道分化成多个逻辑通道。

    TCP/IP在具体的SSH协议中,主机密码是一个RSA 密码,用于确认主机;服务器密码也是一个RSA密码,每小时更新。主机可以拥有多个用不同算法产生的主机密码。多个主机也可以共享同一主机密码。每个主机必须至少用每个必须的公钥算法产生一个密码。

    目前SSH使用的算法分为必需的、推荐使用的和可选用的,分别列在右面的表格中。

    利用个性化的安全代理来实现时,每个运行SSH 的主机(不管是服务器还是客户端)必须有一个安全代理程序在上面运行。例如,要获得主机密码和服务器密码,个性化代理参与如下的两部分:

    1. 密钥生成和存储:当服务器需要生成主机密码和服务器密码时,它会要求本地的安全代理来完成这一工作。本地安全代理或是自己生成密钥对,或是要求另一个安全代理来生成。SSH协议并不区分这两种情况。生成的密钥由安全代理保管,在需要时使用。

    2. 身份认证:当客户端得到主机密码或服务器密码,它要传给自己的安全代理,由安全代理负责对密码进行认证。作为认证结果,安全代理会返回“成功”或“失败”。SSH协议本身不关心有关密码的细节。稍后,如果有新的公钥算法引入SSH,只需要替换安全代理的部分。

    数字现金

    随着网络交易的发展和普及,数字现金将成为一种必要存在的流通货币形式。人们有很多的理由不愿意通过互联网传送他们的信用卡号,并且支票和信用卡具有审计线索,不能隐藏个体的消费隐私。匿名的数字现金有着很大的社会需求。利用数字签名、盲签名等技术实现的数字现金与电子支票和信用卡相比较,具有不怕伪造和拷贝、不怕丢失、能保护消费者消费隐私等特点。

    一次用数字现金进行交易的完整过程涉及到消费者、商家和银行三个实体。首先是消费者向银行发出支取数字现金的要求(采用盲签名技术),而银行通过一定的验证付给消费者一定的数字现金,消费者在得到数字现金后按照相应的过程与商家打交道支付数字现金获得自己想购买的东西,而商家把得到的数字现金存进银行。

    目前的数字现金技术利用不经意传输技术和位承诺技术已经很好地解决了双重花费问题,并能识别出是消费者试图欺骗商家,还是商家试图欺骗银行。

    一个理想的数字现金系统应具有如下6个性质:(1)独立性,即数字现金可以通过计算机网络传递;(2)安全性,指数字现金不能被拷贝或重用;(3)能保护消费者的消费隐私;(4)脱线付款,即客户和商家之间的交易不需要和 银行进行通信;(5)可转移性,是指数字现金可被转给其他用户;(6)可分割性。

    电子投票

    现有的投票系统的实现有三种技术,一种是基于“全或无”的机制,一种是基于盲签名的机制,还有一种是基于概率加密和同态函数的方法。第一种方法效率低,计算复杂计算量大;最后一种方法协议极其复杂,同样有计算复杂计算量大的缺点,且不具有可扩展性,不方便使用;只有基于盲签名的方法比较灵活方便、计算复杂度低、协议简单,满足上面所有的要求。

    一个理想的电子投票系统至少要满足这样几项要求,即只有经授权的投票者才能参加投票且仅能投一次票、任何人不能确定别人投票的内容、没有人能复制或修改别人的选票、每个投票人都可以在结果公布后能确定自己的选票被计算在内的。中科院计算所数字安全实验室研究设计的电子投票系统采用盲签名技术,但与其他的方案不同的是不直接对选票进行盲签名,这样使这个系统更加灵活、协议更加简单,并且真正做到没有任何个体,包括进行盲签名的权威机构在内,不会了解具体选票的任何情况,而每个投票人能确定他的选票已经被计票。而选票传输过程中混合路由的设计,通过延时和乱序功能,保证用户投票的源信息不能被唱票系统知道,同时可能的第三方监听者也不能根据用户包的出入来分析出用户信息。

 

《计算机世界日报》

声明:以上所摘录文章仅限于内部交流

  
  

相关文章:

中国教育和科研计算机网版权与免责声明
①凡本网未注明稿件来源的所有文字、图片和音视频稿件,版权均属本网所有,任何媒体、网站或个人未经本网协议授权不得转载、链接、转贴或以其他方式复制发表。已经本网协议授权的媒体、网站,在下载使用时必须注明"稿件来源:中国教育和科研计算机网",违者本网将依法追究责任。
② 本网注明稿件来源为其他媒体的文/图等稿件均为转载稿,本网转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。

Copyright(c) 1994-2020 CERNIC,CERNET 京ICP备15006448号-16 京网文[2017]10376-1180号
关于假冒中国教育网的声明 | 版权所有:中国教育和科研计算机网网络中心