Cernet導報2001-3—CERNET—中國教育和科研計算機網CERNET

中國教育和科研計算機網網絡信息中心

中國教育和科研計算機網網絡信息中心（China Education and Research Network Information Center，簡稱CERNIC）是一個面向全國教育和科研單位的Internet資源註冊和管理部門。負責中國教育和科研計算機網CERNET的IP網絡地址分配、網絡域名註冊和網絡資源註冊，並為CERNET用戶提供網絡技術支持，對外定期發布CERNET的最新信息等。

CERNIC提供的主要服務如下：

§         註冊服務（URL： http://www.nic.edu.cn/RS/cindex.html）

為CERNET用戶提供網絡資源分配、註冊和管理等服務。

IP位址分配     欲加入CERNET的單位用戶應首先與相應的CERNET地區網絡中心取得聯繫，根據本單位的實際需求，如實填寫「IP位址申請表」（URL：http://www.nic.edu.cn/RS/templates/ipform），以電子郵件的方式發至CERNET地區網絡中心，各地區網絡中心所負責的省、自治區和直轄市及相應IP位址申請受理的e-mail地址如表1所示，再由CERNET地區網絡中心轉交CERNIC進行處理。CERNIC一般在兩周內發出IP位址分配結果。

域名註冊       CERNET用戶在申請到IP位址，並已經正式與CERNET聯網以後，即可以申請EDU.CN下的域名。用戶可從CERNIC主頁（URL：http://www.nic.edu.cn/RS/templates/domainform）下載域名申請表格，填寫後以電子郵件的方式發給CERNET的本地區網絡中心，由地區網絡中心審核後轉交CERNIC處理。在填寫表格前請認真閱讀「中國教育和科研計算機網EDU.CN網絡域名註冊辦法」（URL：http://www.nic.edu.cn/RS/policy/ policy1.txt）。域名註冊的處理周期一般為兩周。

網絡資源註冊   CERNET用戶在從CERNIC申請到域名，並建立自己的區域網和信息資源後，可以通過填寫「網絡資源註冊表格」（URL：http://www.nic.edu.cn/RS/ service.html），申請在CERNET主頁上加入此信息資源的連結。

§         目錄服務（URL：http://www.nic.edu.cn/DS/cindex.html）

提供網絡資源的目錄查詢和資料庫檢索服務。用戶可以在CERNET範圍內查詢有關域名、IP位址空間、人員、主機等信息。

§         出版刊物（URL： http://www.edu.cn/cernet/news/）

出版季刊《CERNET導報》，定期發布CERNET網絡進展。

§         信息發布和信息資源建設

建立和維護CERNET的信息伺服器，如CERNET主頁（URL： http://www.edu.cn）、中國SunSITE（URL：http://sunsite.edu.cn）等。

§         服務聯繫

熱線電話：            (010)62784049  

服務/諮詢電子郵件信箱：webmaster@net.edu.cn

CERNIC通信地址：      北京清華大學中央主樓224房間（100084）

表1：CERNET各地區網絡中心所負責的省、自治區和直轄市:

地區網絡中心	E-mail地址	電話	負責省市、自治區、直轄市
華南理工大學	Nicstaff@gznet.edu.cn	（020）87110596 87110018   87114790	廣東、廣西、海南
東南大學	Nicstaff@njnet.edu.cn	（025）3794341，42        3614718	江蘇、安徽、山東
華中科技大學	Nic@sea.whnet.edu.cn	（027）87541443        87541440	湖北、湖南、河南
上海交通大學	Ghfeng@shnet.edu.cn	（021）62932919        62933558	上海、浙江、福建、 江西
西安交通大學	Dhn@mail.xanet.edu.cn	（029）3268575        3269037	陝西、青海、甘肅、 寧夏、新疆
電子科技大學	Nic-staff@cdnet.edu.cn	（028）3203691  3201194	四川、雲南、貴州、 西藏、重慶
東北大學	Chang@neu.edu.cn	（024）23841798   23908770	遼寧、吉林、黑龍江
清華大學	Ip-staff@net.edu.cn(IP) Auto-dbm@net.edu.cn(DNS)	（010）62784049	北京
北京大學	Hostmaster@pku.edu.cn	（010）62751980   62751984	天津、河北、北京
北京郵電大學	Mayan@bupt.edu.cn	（010）62283044       －8001，8002	內蒙古、山西、北京

 

CERNIC第三季度新增域名統計表

 

名稱	域名	入網時間
江蘇教育學院	jsie.edu.cn	2001-7-3
洛陽醫學高等專科學校	lyyz.edu.cn	2001-7-3
濟南交通高等專科學校	jncc.edu.cn	2001-7-4
新鄉市教育信息中心	xxei.edu.cn	2001-7-9
川北醫學院	nsmc.edu.cn	2001-7-11
杭州師範學院	hztc.edu.cn	2001-7-11
浙江財經學院	zufe.edu.cn	2001-7-11
常州技師學院	czjsy.edu.cn	2001-7-11
成都電子機械高等專科學校	cec.edu.cn	2001-7-11
商丘師範學院	sqnc.edu.cn	2001-7-12
四川廣播電視大學	scrtvu.edu.cn	2001-7-12
南京金融高等專科學校	njcf.edu.cn	2001-7-12
桂林航天工業高等專科學校	glcat.edu.cn	2001-7-12
瀘州醫學院	lzmc.edu.cn	2001-7-13
大連大學	dlu.edu.cn	2001-7-31
遼寧工學院	lnit.edu.cn	2001-7-31
甘肅政法學院	gsli.edu.cn	2001-7-31
瀋陽大學師範學院	sdsy.edu.cn	2001-7-31
河南紡織高等專科學校	hntc.edu.cn	2001-7-31
南昌職業技術師範學院	ncsy.edu.cn	2001-7-31
浙江廣播電視大學樂清分校	yqtvu.edu.cn	2001-7-31
國土資源部巖溶動力學開放研究實驗室	Karst.edu.cn	2001-7-31
皖西學院	wxc.edu.cn	2001-8-13
中共南通市委黨校	jsntdx.edu.cn	2001-8-13
桂林旅遊高等專科學校	giot.edu.cn	2001-8-13
安徽建築工業學院	aiai.edu.cn	2001-8-14
上海公安高等專科學校	shpc.edu.cn	2001-8-14
廣東農工商職業技術學院	gdaib.edu.cn	2001-8-14
濟寧醫學院	jnmc.edu.cn	2001-8-28
錦州醫學院	jzmc.edu.cn	2001-8-28
合肥聯合大學	hfuu.edu.cn	2001-8-28
河南廣播電視大學	openha.edu.cn	2001-8-28
山東商業職業技術學院	sict.edu.cn	2001-8-28
本溪治金高等專科學校	bxyz.edu.cn	2001-8-31
廣東藥學院	gdpc.edu.cn	2001-9-3
南通職業大學	ntvc.edu.cn	2001-9-3
泰州職業技術學院	tzpc.edu.cn	2001-9-3
太原重型機械學院	tyhmi.edu.cn	2001-9-10
世紀龍信息網絡有限責任公司	21cn.edu.cn	2001-9-10
呂梁高等專科學校	uhc.edu.cn	2001-9-12
華北工學院分院	cancit.edu.cn	2001-9-12
山西大學工程學院	sxuec.edu.cn	2001-9-12
運城高等專科學校	ycatc.edu.cn	2001-9-12
晉東南師範專科學校	jdntc.edu.cn	2001-9-12
德州學院	dzu.edu.cn	2001-9-19
新鄉醫學院	xxmc.edu.cn	2001-9-19
彭城職業大學	pcc.edu.cn	2001-9-19
大連水產學院	dlfu.edu.cn	2001-9-19
中央音樂學院	ccom.edu.cn	2001-9-19
武進市洛陽中學	wjlyms.edu.cn	2001-9-19
洛陽農業高等專科學校	lynz.edu.cn	2001-9-19
清華同方股份有限公司	Chinadaxuesheng.edu.cn	2001-9-21
貴州師範大學	gznu.edu.cn	2001-9-24
鹽城市第一中學	jsycyz.edu.cn	2001-9-24
鹹寧師範高等專科學校	xntc.edu.cn	2001-9-24
新疆教育學院	xjei.edu.cn	2001-9-25
達縣師範高等專科學校	dxtc.edu.cn	2001-9-29
湖北公安高等專科學校	hbpa.edu.cn	2001-9-29
河南公安高等專科學校	hngazk.edu.cn	2001-9-29
吉林農業大學	jlan.edu.cn	2001-10-8

 

CERNIC累計域名註冊月統計圖

（1995年12月－2001年9月）

CERNIC累計IP位址分配月統計圖

（1993年9月－2001年9月）

 

國家「211工程」高等教育公共服務體系

CERNET地區主幹網和重點學科信息服務體系建設完成

 

    「中國教育和科研計算機網(CERNET)地區主幹網和重點學科信息服務體系」建設項目7月18日通過國家驗收。該項目的建成使CERNET真正成為我國高等教育事業公共服務體系和信息基礎設施的重要組成部分。

　　「CERNET地區主幹網和重點學科信息服務體系」建設項目於1998年，經國家發展計劃委員會批准立項，由清華大學等全國42所高校承擔建設。經過兩年多的時間，該項目建成並開通了CERNET八大地區主幹網線路28條，其中155Mbps以上速率線路24條，比原定的技術指標有10倍以上的提高；建成了總容量達800GB的全世界主要大學和著名國際學術組織的10個信息鏡像系統和12個重點學科信息鏡像系統，以及一批知名的國際學術網站；建成了系統容量為150萬頁的中英文全文檢索系統和涵蓋100萬個文件的文件檢索系統。

　　該項目所取得的成果對我國的網絡用戶有著極為重要的意義。CERNET地區主幹網的建成，實現了CERNET網絡規模和用戶數量的飛速增長，入網單位從1998年的344個增至2001年的895個，其中高等學校800所以上，用戶數量從1998年的80萬人增至2001年的747萬人；國外著名大學和重點學科信息鏡像系統的建成，使用戶無需訪問國外網站就能獲得所需信息，減少了大量國際通信流量費用，促進了國際合作和技術交流；高等教育和重點學科信息全文檢索系統的建成，使網上信息資源的利用率大大提高。

　　鑑定會上，與會專家對項目建設取得的成果給予高度評價，認為該項目按照要求高質量、超額完成了建設任務，實現了預期目標，已建成了CERNET基本框架，為我國教育事業的發展打下了堅實基礎。

《中國教育報》7月19日

   

我國下一代網際網路研究建設取得重大突破

 

國家自然科學基金重大項目--"中國高速互聯研究試驗網絡 NSFCNET"最近研製成功，日前在清華大學通過國家鑑定驗收。這是我國第一個高速計算機互聯試驗網絡，首次實現了與國際下一代網際網路Internet2的連接，標誌著我國下一代網際網路研究建設取得重大突破。

該項目由清華大學、中科院計算機信息中心、北京大學、北京航空航天大學和北京郵電大學聯合承擔建設。NSFCNET採用200GBPS密集波分復用DWDM光傳輸技術，在北京建立了連接六個節點的2.5－10GBPS高速計算機互聯研究試驗網，並分別與中國教育和科研計算機網CERNET、中國科技網CSTNET，以及國際下一代網際網路Internet 2和亞太地區高速網APAN互聯，是我國第一個與Internet 2實現互聯的計算機網際網路。

項目主持人、清華大學吳建平教授介紹說，NSFCNET研究內容及成果主要包含了三個方面的內容：一是密集波分多路復用光纖傳輸系統，二是高速計算機網際網路，三是高速網絡的典型應用。

鑑定會上，與會專家對這一成果給予了高度評價。NSFCNET的研製成功不亞於當初計算機網際網路引入中國，它為我國積極參與國際下一代網際網路研究計劃提供了必要手段，為未來國家信息基礎設施建設起到了示範作用，推動了我國高速網際網路關鍵技術和基礎理 論的研究，為我國開展基於高速網際網路及其應用的各類基礎研究提供了與世界接軌的試驗環境，發揮了我國計算機和光通信學科的交叉優勢。對我國實施"科教興國"戰略、實現中華民族的偉大復興具有重要意義。有關方面負責人介紹說，如果能獲得大力支持，將以現有的NSFCNET試驗網為基礎，在兩三年內建成一個全國範圍的中國下一代高速互聯研究網絡。

國家自然科學基金委陳佳洱主任、周炳琨副主任、教育部袁成琛副司長、信息產業部陳小築副司長、清華大學龔克副校長、北大陳章良副校長等參加了鑑定會。    

《新清華》8月22日

 

CERNET第八屆學術年會在瀋陽舉行

李海元

    中國教育和科研計算機網CERNET第八屆學術年會9月24－28日在瀋陽召開。來自全國300多所高校、科研機構的400多名代表出席會議，會議由CERNET管理委員會主辦，東北大學承辦。

    座落在瀋陽城北的遼寧大廈迎來了全國眾多高校、科研機構等的網絡技術專家，出席為期5天的CERNET第八屆學術年會。與會代表就網絡技術發展的現狀、發展以及未來，就當前學術熱點、以及大家共同關心的問題展開廣泛深入研討。一年一屆的CERNET年會已經成為國內高校網絡技術專家的重要聚會。

    隨著國家「211工程」高等教育公共服務體系「中國教育和科研計算機網地區主幹網和重點學科信息服務體系」建設項目的建設完成，並順利通過國家的鑑定驗收，CERNET的主幹網的傳輸速率已達到2.5G，地區主幹網傳輸速率達到155M，通達中國大陸的160個城市，聯網的大學、中小學等教育和科研機構達到近900個（其中高等學校800所以上），網絡用戶已達747萬人，CERNET已經具備了連接全國所有高等學校的能力。此外，CERNET還通過28條國際和地區性信道，分別與美國、加拿大、英國、德國、日本和香港特區聯網，總帶寬在120M以上。

    經過近八年的發展，CERNET的基本框架已經搭建完成。作為我國教育科研和事業發展重要的信息基礎設施之一，CERNET為國內教育和科研領域的廣大教師、學者、學生進行科研、協作、學習交流提供了重要平臺，基於網絡建設的以總容量達800GB的全世界主要大學和著名國際組織的信息資源鏡像系統、十二個重點學科的信息資源鏡像系統的重點學科信息服務體系為代表的豐富資源，將與中國高等教育文獻保障體系一起，共同構成我國高等教育公共服務體系，為我國教育和科研事業作出重要的貢獻。

教育部科技司袁成琛副司長、遼寧省信息中心，東北大學和CERNET管理委員會的有關領導出席年會。                                                            

 

400公裡連未來

馮瑞

　　現在的網際網路是什麼？「工具論」的觀點最能站得住腳，想想我們上網做什麼？收發郵件，閱讀新聞，查收股票實時行情……的確是以往資訊工具的替代品，與以前不一樣的是它的海量信息以及快速的檢索功能，即便如此它在我們生活中的位置同傳真機、字典沒有什麼兩樣。有時候我們用它，有時候我們還是習慣用順手了的舊工具。網際網路的工具屬性似乎決定了它的前程，判了它的死刑！我們人類社會是環境的產物，我們依靠環境而生存，而不是依靠工具而生存。那麼說，現在的網際網路真的走不出寒冬了嗎？不！科學家正在為我們創建一個新的網絡生存環境——下一代網際網路。

　　我國科學家已經在中關村搭起一條長度達400公裡的下一代網際網路，這條超級寬帶網連起清華大學、中國科學院、北京大學、北京航空航天大學、北京郵電大學和國家自然基金委員會。負責建造這條網絡的清華大學吳建平教授，曾領銜創建我國最早的計算機網際網路———中國教育和科研計算機網，他在清華現場自豪地告訴記者，中國高速互聯研究試驗網絡還首次與美國的下一代網際網路和日本的亞太地區高速網實現了互聯，首次與國際下一代網際網路Internet2連接。

　　在清華大學的實驗室裡，記者看到，通過下一代網絡傳送的18組會議現場圖像非常清晰，而且沒有絲毫的阻滯感覺。專家告訴記者，下一代網際網路可同時傳送50至100組多媒體圖像。它傳輸速度比現有的網際網路快1000倍以上，過去需要一天才能傳輸完的數據現在只需幾十秒；網上的內容不單單是文字和圖片，清晰的聲音、比電視還要清楚的圖像也將在網絡上暢通無阻；萬裡之外的外科醫生可以遙控手術刀，讓處在不同地點的醫生合作進行外科手術。

　　新世紀的兩彈一星

　　雖然只有400公裡，現在受惠的只有北大、清華的師生，但是中國高速互聯試驗網絡（NSFCNET）的成功開通，其意義一點不亞於當初中國接入INTERNET。用吳建平的話說是「中國INTERNET2的嬰兒，是中國下一代網際網路建設的裡程碑。」

　　說它是中國新世紀的兩彈一星，此話絕非譁眾取寵。我們現在在網絡上有多少發言權？我們在信息技術上有多少關鍵技術要看別人眼色？對於未來的網絡社會，網際網路這一基本要素將對社會經濟、科技教育發展，乃至國防政治都將起到決定性的影響，如果我們失去對下一代網際網路的發言權，我們也將在很大程度上受制於別人。吳建平告訴記者，正因為其戰略意義重要，當該項目缺少線路支持時，一些國外機構表示願意無償捐贈，但考慮到一些負面影響，項目的建設者找到了信息產業部。在張春江副部長的親自協調下，2000年8月，中國網通捐贈了一條10M的線路到美國的全球下一代網絡交換中心STARTAP，中國電信捐贈了一條10M的線路到日本的亞太地區下一代網際網路APAN交換中心。3年免費，時值1億元人民幣。

　　吳建平說，下一代網際網路的研究也是國家自然基金委員會歷史上最大的一個項目，以前最大項目的款額沒有超過500萬元，但該項目支持額度高達2000萬元。但要想把這一試驗網絡推向全國，已經不是自然基金委員會一個

　　項目所能承擔的了。前些天在鑑定會上一些專家建議，應把下一代網際網路研究放到像重視兩彈一星的程度上，國家應建立戰略性計劃，舉國之力建設中國下一代網際網路。

　　搭建人類新的生活環境

　　吳建平教授從五個方面介紹了下一代網際網路與現代網際網路的區別：更快、更大、更安全、更及時、更方便。更快，下一代網際網路將比現在的網絡傳輸速度提高1000至10000倍。更大，下一代網際網路將逐漸放棄IPV4，啟用IPV6地址協議（二者的區別有點像電話號碼的升級，但有本質區別，如不可能像電話號碼那樣在瞬間切換），幾乎可以給你家庭中的每一個可能的東西分配一個自己的IP，讓數位化生活變成現實。更安全，目前的計算機網絡因為種種原因，存在大量安全隱患，下一代網際網路將可以有效控制，解決網絡安全問題。

　　一位專家預測說，在下一代網際網路，真正的數位化時代將來臨，家庭中的每一個物件都將可能分配一個IP，都將進入網絡世界，所有的一切都可以通過網絡來調控。它帶給人類的，不僅僅是一種獲取信息的工具，而是一種新的生存環境。

　　吳建平還有一個更形象的說法，在人類發展史上，火的使用是人類真正出現的一個標誌，下一代網際網路對我們未來的意義與影響，就如火的使用。 

           《北京晚報》2001年7月25日

 

我國教育和科研計算機網「能力」大增

 

    經過三年努力，中國第一個全國範圍的學術性計算機信息網絡雛形——中國教育和科研計算機網「能力」大增，實際入網高校已近九百所。

    專家認為，這意味著中國高等院校能夠更加方便快捷地接入網際網路。

    一九九八年，在國家計委立項支持下，中國教育和科研計算機網初步建成，但這一網絡的速率卻僅相當於國際上八十年代末期水平，而且由於缺乏地區主幹網，大部分高校採用電話撥號等方式上網，通信費用昂貴，通信效率低。

    為改變這一局面，清華大學等四十二所高校共同承擔了「中國教育和科研計算機網地區主幹網和重點學科信息服務體系」建設項目。「這一項目主要致力於充實和擴展設在北京、上海、南京、西安、廣州、武漢、成都、瀋陽的八個地區網絡中心，建設八大地區主幹網。」項目負責人、清華大學吳建平教授說。

    八大地區主幹網的建成，使中國教育和科研計算機網規模和用戶數量實現飛速增長，入網單位從一九九八年的三百四十四個增至目前的八百九十五個，用戶數量也從一九九八年的八十萬人增加到七百四十七萬人，佔據了中國網際網路用戶的四分之一。

與此同時，國外著名大學和重點學科信息鏡像系統的建成，使用戶不需要訪問國外網站就能獲得所需信息，不僅促進了國際合作、技術交流和出國留學，還大大減少了國際通信費用。

新華網 2001年7月24日

 

下一代網際網路 中國不能錯失良機

遊雪晴 張習文

 

    「第一代網際網路，我們錯過了。但對於這樣一項具有戰略意義的技術，到了第二代中國必須佔有一席之地，否則我們將永遠處於從屬地位。」清華大學信息網絡工程研究中心主任、中國教育和科研計算機網（CERNET）網絡中心主任吳建平教授不論在哪個場合，只要有機會總要表達他的這個觀點。雖然由他負責的「中國高速互聯研究試驗網」（NSFCNET）項目不久前在北京通過國家鑑定驗收，並得到了相當高的評價；雖然這個標誌著中國下一代網際網路研發實驗的項目得到了國家自然基金委成立以來最多的一次資金資助———2000萬元；雖然得到了國內兩家電信運營商對通信線路的資助，解決了與國際網絡的互聯互通，但吳建平依然希望：國家能從戰略角度出發，制定有效的規劃，像研製兩彈一星那樣，興舉國之力支持中國下一代網際網路的研究與建設。因為下一代網際網路給我們帶來的寶貴機會，我們再也不能錯過了！

    目前的網際網路已經難堪重負

    9月11日，美國遭受恐怖主義襲擊，一時間通信線路異常繁忙，經常有電話打不通的情況出現，網際網路成了美國公眾與親人取得聯繫的首選途徑。雖然在可靠性方面，網際網路比電話更高一籌，但同時密集地上網造成網路堵塞，使得人們平添了不少煩躁不安，由於用戶蜂擁上網查找有關恐怖事件的最新消息，一些新聞網站甚至在幾個小時之內都無法正常運營。例如，搜索網站Google一度不得不告訴用戶請關閉電腦，打開電視或收音機收看或收聽最新消息。當網際網路變得在人們生活中越來越重要的同時，其自身無法更改的缺陷也越來越多地限制了它的發展，新一代網際網路取代現在的第一代網際網路將成為必然。

   現有的網際網路的致命缺陷是「地址空間」———由於當初設計時根本沒有考慮到網際網路會有今天如此廣泛的應用，遠遠不能滿足今天所產生的對IP地址的巨大需求。到目前為止，世界上70％的地址已經分配光了。幾乎所有的手機廠商都在向國際網際網路地址管理機構ICANN申請，要給他們生產的每一臺手機都分配一個IP地址，而家電廠商則要求給每一臺帶有聯網功能的電視、音響都設置一個IP地址。作為ICANN中唯一的中國執行委員，吳建平對此深有體會，他說：「要滿足這些要求，在現有的網際網路技術框架上做一些修修補補已經不行了，必須有一個全新的、大容量的技術框架來替代，這就是基於IPv6協議的下一代網際網路。」

    如果改用新的標準IPv6，那就意味著網際網路中許多核心設備需要更新，大量軟體需要改寫，全球完成整個升級大約需要投入幾千億美元。吳建平教授認為，下一代網際網路技術是嶄新的，從光纖到路由、交換器，再到上層的伺服器，包括作業系統和各種軟體，以及與此相關的各種標準，都將產生革命性的變革，業界將因此而重新「洗牌」，遊戲規則將重新制訂。那時大家都站在同一起跑線上，對中國將是一個絕好的發展機會。

    吳建平介紹說，我們現在所用的網際網路又稱為第一代網際網路。它是美國從60年代開始研究、經過30多年的發展而成的。它完全由美國獨立完成，從各種基礎的硬體，如路由器、伺服器，到各種標準、軟體，乃至關鍵技術，全部由美國掌握，包括中國在內的其他國家都是跟隨者。憑藉這個優勢，美國不僅在新經濟中大獲全勝，而且在軍事、社會生活等各個方面發揮著巨大的影響。正是意識到了網際網路的重要意義，國際上對下一代網際網路技術的研究十分重視。1992年，美國政府主導進行了「下一代網際網路計劃」的研究，1996年美國國家科學基金會又設立了「下一代網際網路」研究計劃（NGI）。另外，美國140多所大學和研究機構聯合起來，共同構造了一個叫做「Internet2」的網絡。隨後，英國、德國、法國、日本、加拿大等國也紛紛投入到下一代網際網路的研究中，除了擁有政府投資建設和運行的大規模教育和科研網絡之外，都對研究下一代網際網路進行了巨資投入。

    「網速提高1000倍，什麼不能做？！」

    下一代網際網路什麼樣？與第一代相比有什麼特點呢？這是所有人都關心的問題。吳建平教授總結了下一代網際網路的五大特點：第一是更快，下一代網際網路的速度將是現有網絡的1000倍，我們原來的一般是56K接入，但下一代起碼是10M接入；第二是更大，下一代網際網路採用IPV6，其地址空間將由32位擴展到128位，就是總地址數高達2的128次方；第三是更安全，下一代網際網路在IP協議中將考慮到安全問題，可以有效控制，不會像現在這樣黑客、病毒泛濫。第四是更及時，也就是解決服務質量保證的問題；第五是更方便，下一代網際網路的應用將更方便，簡單，更符合普通人的使用習慣。

    「網速提高1000倍以上，那什麼事情不能做呀？！」一位網民被這個美妙的前景激動得不知說什麼好。的確，下一代網際網路最誘人的，就是讓我們現在所能想到的和想像不到的，都變成現實。這首先會影響到遠程醫療和遠程教學，如果沒有高速網的承載，高質量的遠程醫療是不可能實現的。現在的遠程教育，遠程醫療，在一定程度上並不是真正的網絡教育或醫療。充其量不過是遠程會議，並不能真正地進行互動教學和診斷治療，但在下一代網際網路上，這些都將成為最普通的應用。

    在下一代網際網路，真正的數位化時代將來臨，家庭中的每一個物件都將可能分配一個IP，都將進入網絡世界，所有的一切都可以通過網絡來調控。甚至它還可以提供一些更「前衛」的功能，我們一般都不大能想得到的。比如它可以為用戶提供一種「幻覺」服務，不管用戶身在哪裡，網絡可以讓你看到你和與你相距千萬裡以外的人處在同一地理環境中，看起來就像三維的電影剪影。

    另一個重要的影響就是使科學技術的研究手段發生重要的變化。位於美國夏威夷的11家全球天文臺已經連接了第二代網際網路，阿姆斯特丹的天文學家可以精確地調整天文望遠鏡，並通過第二代網際網路提供的先進的電話會議技術與全球同行討論觀察結果。而華盛頓特區的外科醫生也已經可以用第二代網際網路對在其它地區的眼科手術進行實時指導。

    中國的下一代網際網路與世界同步

    早在1999年，從事CERNET建設的一些專家就開始探討中國應不應該開展下一代高速網際網路研究的問題。結果，大家一致認為：下一代網際網路對中國來說至關重要。

    吳建平教授說，下一代網際網路的誕生過程類似於第一代網際網路。發達國家開展下一代網際網路及其典型應用研究採用的模式基本上是在政府支持下，由大學和科研單位負責建設和運行高速試驗網絡，商業機構只能捐獻設備和資金，它們可以作為合作夥伴，但不能介入其中。只有當下一代網絡結構和技術成熟以後，才會出現大規模的商業應用。

    因此在中國，以CERNET為代表的中國教育和科研網中的大學、科研機構責無旁貸地挑起了這副重擔，成為中國下一代高速網際網路研究的先行者。去年3月份，NSFCNET正式與國際下一代網際網路研究組織籤訂了法律協議，成為國際上下一代網際網路研究大家庭中的一員。

    經過不到一年的努力，由清華大學、中科院計算機信息中心、北京大學、北京航空航天大學和北京郵電大學聯合建設的「中國高速互聯研究試驗網」（NSFCNET），終於通過了專家驗收，鑑定委員會的專家對「中國高速互聯研究試驗網」評價極高：在國內首次建成了IPv6試驗網絡，並與國際IPv6試驗網成功連接，首次實現了我國與國際下一代網際網路的連接。NSFCNET技術先進，在200GB／s的密集波分多路復用光傳輸技術、高速網際網路互聯及網絡技術、高速網絡應用技術等方面取得了一批重大研究成果，項目的總體水平達到了國際先進、國內領先水平。其中，將10GbpsDWDM系統用於網際網路及光子層的自愈保護水平處於國際領先水平。NSFCNET為我國積極參與國際下一代網際網路研究計劃提供了必要手段和試驗環境，為未來國家信息基礎設施起到了示範作用，已經並將進一步推動我國高速網際網路關鍵技術實踐和基礎理論的研究。

    同時，NSFCNET在高速網絡環境下的應用研究也取得了可喜的成績。這個網目前開闢了四大應用：一是高速實時視頻傳輸；二是高速網科學資料庫；三是遠程教育系統；四是地理信息系統。研究試驗也取得了令人滿意的效果。

    例如，在高速網絡環境下建立的中國重要生物學資料庫映像點，使我國從事新藥設計和算法研究的科學家可以在不用支付國際網絡通信費用的情況下，從國際核酸序列資料庫中得到最新的序列信息。這對節約科研費用、提升我國的科學研究能力和水平，具有重要的現實意義。

    再如基於天文資料庫的太陽活動預報的研究。在該高速網絡環境下，北京天文臺懷柔太陽觀測站、美國大熊湖天文臺、雲南天文臺、西班牙坎拉裡島天文臺觀測站，組成了一個全球太陽色球觀測網，可以實現數據共享。利用這一條件，我國天文工作者在2000年進行的16次太陽質子事件的預報中，成功預報9次，成功率高出國際同行近一倍。

    在下一代網際網路的建設中，國家需要制定整體規劃

    NSFCNET雖然取得了初步的成績，但目前它只連接了6個點，而且只限於北京地區。這是遠遠不夠的，NSFCNET下一步的目標是連接100所大學和100個科研機構，真正成為覆蓋全國的高速網絡。吳建平說：「聯網只是我們工作的第一步。有了這麼一個網，我們就可以在上面做很多試驗和研究。這就像搞實驗物理學研究一樣，沒有對撞機，怎麼能分析出高能量下各種粒子的性質？」

    吳建平希望能獲得大力支持，以現有的試驗網為基礎，在兩三年內建成一個全國範圍的中國下一代高速互聯研究網絡。

    吳建平，這個中國網際網路的開拓者更關心的是我們國家在下一代網際網路研究與建設上的整體規劃與策略。「美國的下一代網際網路是由國家制定整體計劃，並由總統直接領導，真正是在舉國之力研究與建設下一代網際網路，原因很簡單：下一代網際網路的成功與否決定著美國能否在世界上繼續領跑。在第一代網際網路上，美國獲得的不僅僅是金錢，而是從生活到政治、軍事等社會發展的各個方面的領先地位。」

    第一代網際網路因為種種原因，我們未能跟上，但在下一代網際網路研究與建設上給我們提供了機會。「有人認為應把下一代網際網路提高到像『兩彈一星』一樣重視，我認為一點都不過分。網絡是未來社會最基本的元素，因此在下一代網際網路能否發言，將直接影響著中國在未來經濟、軍事乃至整個社會發展的制約權。吸取我們在第一代網際網路建設上的一些經驗，我們必須舉國之力，制定全方面的下一代網際網路研究與建設規劃，加快我國在下一代網際網路研究與建設的步伐。」

吳建平說，他相信我們國家會集合各方力量拿出這個整體規劃的，但他希望時間不要太長。

《科技日報》2001年9月19日

聲明：以上所摘錄文章僅限於內部交流

 

 

IP sec安全策略

汪淼 生擁宏

 

    一、 安全策略的含義

    策略位於安全檢查規範的最高一級，是決定系統的安全要素。安全策略定義了系統中哪些行為是允許的，哪些是不允許的。按ISO安全參考模型，安全策略建立在授權行為這一概念之上。按授權的性質，可區分兩種不同的策略，即基於規則的策略和基於身份的策略。基於規則的安全策略是根據系統的一般屬性建立的一組規則，授權通常依賴於信息與資源的敏感屬性，它們通常是強制性的。基於身份的策略是建立在特定的個別屬性之上的授權準則，其目的是過濾對特定數據或資源的訪問和使用。

    二、 安全策略的作用

    安全策略的目的是決定一個組織怎樣來保護自己。一般說來，策略包括兩個部分：總體策略和具體規則。總體策略闡明公司安全政策的總體思想，具體規則用於說明什麼行為是允許的，什麼行為是禁止的。

    IPsec是一種協議套件，它通過兩個安全協議AH和ESP為IP數據包提供安全保護。不同的用戶和不同的通信可能需要不同的安全服務。例如，假設在公司中有一個集中的管理部門，在管理部門內部的通信必須保證信息的完整性，但不需要加密，而管理部門和公司的其他部門之間的通信則既需要保證信息的完整性，又必須保證機密性，因此需要加密。可以以IP地址為依據制訂相應的安全策略。  

    三、 安全策略的表示與管理

    1． 策略的表示

    策略是通過柔性語言表達的，而機器只能識別形式語言。例如：人的想法可能是：對我的所有訪問要進行身份驗證。而機器的定義則可能是對目的地為202.96.4.1的通信要通過HMACSHA進行身份驗證。一般而言，不存在一個映射方式將柔性語言表達式無損地映射到形式語言表達式中。所以，從基本流程上來說，IPsec安全策略管理要提供一個人機界面，安全管理員以儘可能自然的方式輸入非形式化的安全策略表達式。安全策略通常以安全策略資料庫的形式表現出來，庫中的每條記錄對應一個安全策略。

    2． 策略的管理

    網絡安全是非常複雜的，要保護的網絡的規模越大，描述如何保障安全的策略就越複雜。如果一個網絡管理員必須逐一訪問每一個網絡實體，並且依照系統安全策略對網絡實體進行手工配置，幾乎是不可能的，因此，有必要集中地管理安全策略。IPsec系統所使用的策略庫一般保存在一個策略伺服器中，該伺服器為域中的所有節點（主機和路由器）的維護策略庫，各節點可將策略庫拷貝到本地，也可使用輕型目錄訪問協議（LDAP）動態獲取策略。

為了確定提供給數據包的安全服務，IPsec 內核需頻繁地查詢策略。因此，應在系統初始化時將安全策略庫置於內核中，以保證查詢速度，並定期進行更新和刷新，保證策略庫的有效性和安全性。

    四、 安全策略的要素

    IPsec本身沒有為策略定義標準，目前只規定了兩個策略組件：SAD（安全關聯資料庫）和SPD（安全策略資料庫）。在IPsec系統中，安全策略通過SPD得到表現。

    對於外出包，必須先檢索SPD，決定提供給它的安全服務。對於進入包，也要查閱SPD，判斷為其提供的安全保護是否和策略規定的安全保護相符。SPD是有序的，每次查找的順序應相同。SPD還控制密鑰管理（如ISAKMP）的數據包，即對ISAKMP數據包的處理要明確說明，否則該包將被丟棄。

    策略描述主要包括兩方面的內容：一是對通信特性的描述，二是對保護方法的描述。

    1． 使用選擇符描述通信特性

    選擇符包括下面6個方面的內容：

  目的IP地址： 可為單個IP地址、地址列表、地址範圍或通配（掩碼）地址。後兩種用於支持共享一個SA的多個目的系統。

  源IP地址：可為單個IP地址、地址列表、地址範圍或通配（掩碼）地址。後兩種用於支持共享一個SA的多個原發系統。

  名字：其中包括一個DNS 名、X.500區分名或者在IPsec DOI中定義的其他名字類型。只有在IKE協商期間（而非包處理期間），名字欄位才能作為一個選擇符使用。

  傳輸層協議：許多情況下，只要使用了ESP，傳送協議無法訪問，這時需使用通配符。

  源和目標埠：TCP或UDP埠號，可為單個埠、埠列表或通配埠。如果埠不能訪問，則要使用通配符。

  數據敏感等級：通信數據的保密等級，可分為普通、秘密、機密、絕密。

    2． 對保護方法的描述

    對於進入或外出的每一份數據報，都可能有三種處理：丟棄、繞過或應用IPsec。若是應用IPsec，策略記錄要包含使用的IPsec協議、模式、算法和嵌套要求等。

    五、 安全策略的實例--安全關聯（SA）

    1． SA的定義

    安全關聯（Security Association，SA）是兩個應用IPsec實體（主機、路由器）間的一個單向邏輯連接，決定保護什麼、如何保護以及誰來保護通信數據。它規定了用來保護數據包安全的IPsec協議、轉換方式、密鑰以及密鑰的有效存在時間等等。SA是單向的，要麼對數據包進行「進入」保護，要麼進行「外出」保護。 SA用一個三元組（安全參數索引SPI、目的IP地址、安全協議）唯一標識。

    2． SA的作用

SA提供的安全服務取決於所選的安全協議（AH或ESP）、SA模式、SA作用的兩端點和安全協議所要求的服務。 例如，AH為IP數據報提供數據源驗證和無連接完整性。AH還提供抗重播服務。接收端是否需要這一服務，可自行決定。AH不對數據包進行加密，ESP則可提供加密和驗證以及抗重播服務。ESP驗證的數據不包括外部IP頭，加密和驗證服務至少選擇其中之一。

ESP為SA的加密服務提供了有限業務流機密性。隧道模式隱藏了數據包的源地址和最終目的地址。ESP數據包進行填充，隱藏了數據包的真實大小，進而隱藏了其通信特徵。移動用戶的IP地址是動態分配的，通過與公司的作為網關使用的防火牆間建立隧道模式ESP SA，也可實現業務流的機密性。

    3． SA的使用

    一個SA對IP數據報不能同時提供AH和ESP保護。有時，特定的安全策略要求對通信提供多種安全保護，這就需要使用多個SA。當把一系列SA應用於業務流時，稱為SA束。SA束的順序由安全策略決定，SA束中各個SA的終點可能不同。例如，一個SA可能用於移動主機與安全網關之間，而另一個可能用於移動主機與安全網關內的主機。

多個SA可以用傳輸鄰接和嵌套隧道兩種方式聯合起來。

    （1） 傳輸鄰接（Transport Adjacency）

    傳輸鄰接是指將多個安全協議應用於一份IP數據報中，應用過程中不出現隧道。這種方式僅允許AH和ESP進行一層聯合。如SA中的算法強度足夠，則沒有必要將多個SA嵌套。對一份數據報同時使用AH和ESP傳輸模式時，應先應用ESP，再應用AH。

    （2）嵌套隧道（Iterated Tunneling）

    嵌套隧道是指將多個SA嵌套用於一份數據報，這些SA的起點和終點可以不同。

    4．安全關聯資料庫（SAD）

    SAD為進入和外出包維持一個活動的SA列表。SAD的欄位包括：

    外部頭目的IP地址：SA的目的地址，可為終端用戶系統、防火牆和路由器等網絡系統。原則上講，目的地址可以是單播地址、廣播地址或多播地址。但目前的SA管理機制只支持單播地址的SA。

    IPsec協議：標識SA用的是AH還是ESP。

    SPI：32比特的安全參數索引，標識同一個目的地的SA。

    序號計數器：32比特，用於產生AH或ESP頭的序號，僅用於外出數據包。

    序號計數器溢出標誌：標識序號計數器是否溢出。如溢出，則產生一個審計事件，並禁止用SA繼續發送數據包。

    抗重播窗口：32比特計數器及位圖，用於決定進入的AH或ESP數據包是否為重發。僅用於進入數據包，如接收方不選擇抗重播服務（如手工設置SA時），則抗重播窗口未被使用。

    密碼算法及密鑰：AH和ESP驗證算法及其密鑰、ESP加密算法、密鑰、IV模式、IV等。

    SA的生存期：一個時間間隔。超過這一間隔後，應建立一個新的SA（以及新的SPI）或終止通信。生存期以時間或字節數為標準，或將兩者結合使用，並優先採用先到者。

    IPsec協議模式：隧道、傳輸或通配，說明應用AH或ESP的模式。

    查找MTU：所考察的路徑的MTU及其壽命變量。

    5．SA的管理

    SA管理的兩大任務就是創建和刪除。SA的管理既可手工進行，也可通過IKE來完成。

    手工方式下，安全參數由管理員按安全策略手工指定、手工維護。但是，手工維護容易出錯，而且手工建立的SA沒有生存周期限制，一旦建立了，就不會過期，除非手工刪除。

    SA的自動建立和動態維護是通過IKE進行的。如果安全策略要求建立安全、保密的連接，但卻不存在相應的SA，IPsec的內核則啟動或觸發IKE協商。

《計算機世界日報》

密鑰認證的幾種典型應用

何奇 趙曉芳

    安全通信

    即時的電子信息系統目前已經非常普及，如AOL的即時信息、ICQ、MSN信使等。但是這些信息系統都沒有很好地考慮安全性問題：一個人很容易在線竊聽信息，電子郵件的問題就更為嚴重。電子郵件是網際網路上最主要的服務，許多電子郵件的內容是非常敏感的，是發送方和接收方都希望保密的信息，而目前還沒有非常有效的解決方案來保證這一點。PGP通過提供一個加密解密工具包部分地解決了這一問題，但需要用戶手工找到對方的公鑰以發送加密郵件或對一個文件進行身份認證，而這樣的工作對於普通用戶來講是很大的負擔。

    目前對信息系統或電子郵件的安全問題還沒有非常有效的解決方案，其主要原因是由於網際網路固有的異構性，因此沒有一個單一的信任機構可以滿足所有的需要，也沒有一個單一的協議適用於所有的情況。解決的辦法就是利用軟體代理：代理自動管理用戶所持有的證書（即用戶所屬的信任結構）以及用戶所有的行為。當用戶要發送一則消息或一封電子郵件時，代理自動與對方的代理協商，找出一個共同信任的機構或一個通用協議進行通信。

    這就是SecMail原型系統的工作：當一個用戶要向另外某一方發送一則安全的保密信息時，用戶的本地代理將與對方的代理通信，協商一個雙方都可以接受的認證機構。

    之後，加密過的信息被發送出去，使用的就是上面協商的證書。這些都是代理自動完成的，對用戶來講都是透明的。事實上，對用戶來講，這樣的系統使用起來就和ICQ一樣簡單，區別就在於現在他得到了這樣的保證，他發送出去的信息不會被中間截獲。

    下一代的安全信息系統會自動為用戶發送加密的郵件，同樣當用戶要向某人發送電子郵件，用戶的本地代理首先將與對方的代理交互，協商一個適合雙方的認證機構。值得注意的是，對於電子郵件這裡需要不同的技術：電子郵件不是直接端到端的通信，比如當Alice 給Bob發電子郵件的時候，她不需要與Bob的機器建立直接的聯接，相反，她只需要把郵件發到她的ISP，她的ISP會把她的電子郵件分程傳遞到其他的機器，並最後到Bob那裡。以分程傳遞的方式來協商不是一件容易的事情。

    這裡我們想強調的一點是，代理技術是解決PKI 問題所必須的。從一個不正確的假設，即整個網際網路將採用統一的結構框架和統一的標準，來開始解決問題是不現實的。在這樣的一個固有的異構的環境中，唯一的方法是適應環境，使自身具有足夠的靈活性。

    安全在線購物

    現在，用戶可以使用信用卡在網際網路上在線購物。但現在的系統是構造在兩個很危險的假設之上的，即：

    1. 用戶具有合法的權利使用他的信用卡。

    2. 商家是足可以信賴的，他們不會利用他們客戶的信用卡信息作出不利於客戶的事情。

    基於這樣脆弱的假設之上，目前的購物流程有很嚴重的安全缺陷。例如，當一個黑客闖入商家的資料庫，信用卡的信息可能被惡意地公布出來。另外，一個不法的商家很容易在其他的交易中模仿他的客戶。

    中科院計算所數字安全實驗室設計的無爭議付帳機制SecPay，通過數字籤名減小了在線購物中的風險。SecPay使用了商家和客戶的證書以及數字籤名。其過程協議如下：

    1. 客戶向商家發出網絡訪問、查詢；

    2. 商家接到客戶的查詢後向用戶發出附有貿易站點證書的定單表格；

    3. 客戶的安全的電子付帳系統被激活，並從瀏覽器上下載定單表格、驗證附在定單表格上的證書，並在客戶所持有的、伺服器發放的證書中自動匹配商家可以接受的證書（信用卡）；

    4. 付帳系統顯示填好的定單表格內的信息，包括：貨品描述、價格、購買條款、數量等，並用商家可接受的證書相應的用戶私鑰在定單（包括時間戳）上簽字，再用商家的公鑰對定單信息進行加密，並把加密信息發送到商家的伺服器上；

    5. 商家接收到客戶信息後，對加密的定單進行解密、驗證客戶的證書/信用卡的有效性，驗證定單上的籤名，如果以上都是正確的，伺服器產生一個確認信息，並用客戶證書中的公鑰進行加密，然後把確認信息發給客戶；

    6. 商家的付帳系統對加密的確認信息進行解密，確認商家已經收到了定單。

    基於PKI的SSH

    SSH是將取代rlogin和rsh登錄到遠程機器、執行命令的程序，它為在不安全的網絡上的兩個非信任的主機提供安全通信。X11連接和任意TCP/IP 埠都可以通過這個安全通道轉發。

    正如所共知的，只有在客戶端和伺服器都知道他們在和誰通信、加密解密使用什麼密鑰的前提條件下，他們才能開始安全的加密通信。因此在SSH的最開始，身份認證和密鑰協商是必須要做的。

    目前絕大部分的確認方式不使用PKI，而是基於口令的，這種方式很危險。這是因為口令是以普通的文本形式在網絡上發送的，因此很容易被截獲。被截獲的口令可能被黑客使用而假扮成口令的擁有者。進一步，不使用PKI，加密密碼的協商和分發也成問題，即盲目地接受另外一個主機送過來的公鑰也是很危險的。

    基於PKI的SSH避免了上面提到的問題。在智能代理的幫助下，身份認證和密碼交換可以自動進行，而同時達到更高的安全性。

    SSH包括如下的層次結構：

    TCP/IP為上層提供底層（不安全的）可靠的數據流；SSH TRANS提供伺服器身份認證和完整性；SSH USERAUTH為伺服器鑑別客戶端用戶； SSH CONN把加密通道分化成多個邏輯通道。

    TCP/IP在具體的SSH協議中，主機密碼是一個RSA 密碼，用於確認主機；伺服器密碼也是一個RSA密碼，每小時更新。主機可以擁有多個用不同算法產生的主機密碼。多個主機也可以共享同一主機密碼。每個主機必須至少用每個必須的公鑰算法產生一個密碼。

    目前SSH使用的算法分為必需的、推薦使用的和可選用的，分別列在右面的表格中。

    利用個性化的安全代理來實現時，每個運行SSH 的主機（不管是伺服器還是客戶端）必須有一個安全代理程序在上面運行。例如，要獲得主機密碼和伺服器密碼，個性化代理參與如下的兩部分：

    1. 密鑰生成和存儲：當伺服器需要生成主機密碼和伺服器密碼時，它會要求本地的安全代理來完成這一工作。本地安全代理或是自己生成密鑰對，或是要求另一個安全代理來生成。SSH協議並不區分這兩種情況。生成的密鑰由安全代理保管，在需要時使用。

    2. 身份認證：當客戶端得到主機密碼或伺服器密碼，它要傳給自己的安全代理，由安全代理負責對密碼進行認證。作為認證結果，安全代理會返回「成功」或「失敗」。SSH協議本身不關心有關密碼的細節。稍後，如果有新的公鑰算法引入SSH，只需要替換安全代理的部分。

    數字現金

    隨著網絡交易的發展和普及，數字現金將成為一種必要存在的流通貨幣形式。人們有很多的理由不願意通過網際網路傳送他們的信用卡號，並且支票和信用卡具有審計線索，不能隱藏個體的消費隱私。匿名的數字現金有著很大的社會需求。利用數字籤名、盲籤名等技術實現的數字現金與電子支票和信用卡相比較，具有不怕偽造和拷貝、不怕丟失、能保護消費者消費隱私等特點。

    一次用數字現金進行交易的完整過程涉及到消費者、商家和銀行三個實體。首先是消費者向銀行發出支取數字現金的要求（採用盲籤名技術），而銀行通過一定的驗證付給消費者一定的數字現金，消費者在得到數字現金後按照相應的過程與商家打交道支付數字現金獲得自己想購買的東西，而商家把得到的數字現金存進銀行。

    目前的數字現金技術利用不經意傳輸技術和位承諾技術已經很好地解決了雙重花費問題，並能識別出是消費者試圖欺騙商家，還是商家試圖欺騙銀行。

    一個理想的數字現金系統應具有如下6個性質：（1）獨立性，即數字現金可以通過計算機網絡傳遞；（2）安全性，指數字現金不能被拷貝或重用；（3）能保護消費者的消費隱私；（4）脫線付款，即客戶和商家之間的交易不需要和 銀行進行通信；（5）可轉移性，是指數字現金可被轉給其他用戶；（6）可分割性。

    電子投票

    現有的投票系統的實現有三種技術，一種是基於「全或無」的機制，一種是基於盲籤名的機制，還有一種是基於概率加密和同態函數的方法。第一種方法效率低，計算複雜計算量大；最後一種方法協議極其複雜，同樣有計算複雜計算量大的缺點，且不具有可擴展性，不方便使用；只有基於盲籤名的方法比較靈活方便、計算複雜度低、協議簡單，滿足上面所有的要求。

    一個理想的電子投票系統至少要滿足這樣幾項要求，即只有經授權的投票者才能參加投票且僅能投一次票、任何人不能確定別人投票的內容、沒有人能複製或修改別人的選票、每個投票人都可以在結果公布後能確定自己的選票被計算在內的。中科院計算所數字安全實驗室研究設計的電子投票系統採用盲籤名技術，但與其他的方案不同的是不直接對選票進行盲籤名，這樣使這個系統更加靈活、協議更加簡單，並且真正做到沒有任何個體，包括進行盲籤名的權威機構在內，不會了解具體選票的任何情況，而每個投票人能確定他的選票已經被計票。而選票傳輸過程中混合路由的設計，通過延時和亂序功能，保證用戶投票的源信息不能被唱票系統知道，同時可能的第三方監聽者也不能根據用戶包的出入來分析出用戶信息。

 

《計算機世界日報》

聲明：以上所摘錄文章僅限於內部交流