随着Internet的发展，计算机安全出现新的特点，即网络攻击的突发性、时效性加强且涉及面广，造成的后果严重。在这种情况下，必须要快速、准确定位网络内部系统事故源。

对于CERNET这样庞大、完整的网络系统而言，要准确定位其内部系统事故源、追踪到具体负责人，作出快速判断和反应，就必须建立一套新的更为详尽、庞大的Whois数据库系统，从而弥补目前edu.cn的Whois数据库资源的不足。

因此，在“十五”211工程公共服务体系“CERNET主干网运行安全基本保障系统”项目中，IP地址信息系统成为建设重点之一。

系统的设计和实现

IP地址信息系统包括两部分：后台数据库管理平台和前端的公共查询平台。后台数据管理平台是为各级管理员提供数据录入、修改的统一操作平台。公共查询系统则是面向普通用户的平台，所有数据查询请求被系统分析后自动转到相应的数据库中进行。由于数据库是由不同角色的管理员参与建设的，系统提供了简单口令和PKI/CA相结合的两种认证方式区分管理员角色。前者易用性强，但过于简单，易受攻击；后者易用性差，但安全性强。系统管理员可根据本地情况在两者中进行选择。

后台数据管理平台

丰富Whois数据库资源最简单的方式是增加数据资源的密集度，但存在如下棘手问题无法解决：

资源信息来源：对Whois系统管理员来讲，IP地址的详细信息无法准确获得，尤其是像CERNET这样如此庞大且完整的网络系统，从区域地址分配机构获得的IP地址块会被再分配到下属院校，甚至有些院校还会继续向下属的系或部门对地址块进行再分配，而Whois系统管理员无法追踪整个过程，所以很难获取准确的信息，这也是各大区域Whois系统资源简略的根本原因。

资料信息更新：若所属院校IP地址信息发生变化，需逐层上报到Whois系统管理员才能体现出来。这明显会滞后，且通常情况，下级机构不知道如何通知或不会主动积极通知Whois系统管理员。

为从根本上解决上述缺陷，本系统提出了分布式的Whois后台管理系统模型，这个模型包括多点部署与单点层次管理结构两方面内容。

多点部署：后台Whois数据库多点部署，即在CERNET每个主节点各部署一套管理平台，负责本地接入院校IP地址资料信息的建设和维护，当然下属接入院校也可直接部署自己的管理平台。目前在CERNET的部署如图1所示。

这些分布点分别为东北地区主节点东北大学、华北地区主节点北京大学、西北地区主节点西安交通大学、华中地区主节点华中科技大学、华东南地区主节点东南大学、华东北地区主节点上海交通大学和华南地区主节点华南理工大学七个点，至今仍没有院校单独部署的例子。事实上，对这些主节点系统而言，只是为本地院校提供了一个数据库管理的公共平台，而实际IP地址资料数据的添加、删除、变更等操作是由具体所属院校的管理员来完成的，主节点管理员只负责对下级管理员权限、资源的分配和管理以及系统自身的维护，并不参与具体的资源建设。

图1 CERNET Whois数据库

单点层次管理结构：以往的Whois数据库由管理员集中式管理，数据的更新缺乏效率。本系统设计了多层次多角色的管理员，各管理员行使其职责范围内的权力，同级管理员间不能越权修改数据；上下级管理员体现的是帐户间的管理关系；越级数据修改的行为同样被严格禁止，逻辑层次明确，并且相互独立，保持了系统数据高度的一致性和完整性。

本系统设了四类管理员帐户，其层次关系如图2所示：

图2 管理员的层次结构

系统管理员：负责Whois资源初始化、创建根管理员、系统日常运行维护等工作；

根管理员：负责创建高级/普通管理员，为高级管理员分配IP、域资源，维护高级管理员资料属性，为普通管理员指定上级管理员，根管理员只有一个；

高级管理员：把授权的IP、域资源再分配给下属的普通管理员，维护下属普通管理员资料属性，高级管理员可设多个，为高级管理员组；

普通管理员：Whois系统中最基本的成员。负责添加、修改、更新其所属IP、域资源对应关系资料。普通管理员成员最多，工作也最繁琐，直接反映着Whois系统资料的详实、新旧程度。同资源的管理可设多个普通管理员，组成普通管理员组，共同承担数据的日常维护和更新。

上述四类管理员的层次是可伸缩的，若系统规模小，完全可以只设一个系统管理员或一两类管理员；若系统规模大或想把层次规划得很细，也完全可以把高级/普通管理员再分级扩展。一般来讲，四级层次已经足够了，层次划得更深，会引起管理结构混乱的严重问题，本系统中所有管理员均是由根管理员创建就是基于这一原则进行。

公共查询系统的实现

一个完整的Whois系统，后台Whois数据库可由多个数据库及其管理平台组成，而公共查询系统必须设计为集中式的统一查询，公共查询系统的逻辑结构如图3所示。用户提交的查询请求经前端程序分析并关联数据库后，派送到指定的数据库进行查询并返回结果。整个过程对用户是透明的，用户无须了解数据是存储在哪个数据库中，这样既规避了内部系统模型的复杂关系，又延续了用户的使用习惯。

图3 Whois公共查询系统逻辑结构

PKI/口令认证

CERNET是规模庞大的ISP，有多个后台数据库及管理平台，拥有大量的普通管理员参与资源的建设。本系统采用了PKI/CA证书的方式，禁止管理员的跨平台访问和操作，即管理员必须拥有其所属管理平台认可的证书。 同管理平台下的管理员则是通过简单口令认证来鉴别其身份，而没有延用证书方式主要是出于系统复杂性的考虑。

研制及运行情况

IP地址信息系统由北京大学负责开发，证书部分由华南理工大学证书子系统支持。在开发和部署的过程中分别得到了东南大学、华南理工大学、东北大学、西安交通大学、上海交通大学、华中科技大学等院校的大力协助。

系统是在Ripe Whois 3.2.0版本的基础上进行开发，实现了分布式的模型，完成了系统基本的功能，但仍有一些功能需日后完善，如中文字符支持、新属性的扩展、单一PKI/CA认证、支持IPv6地址等诸多功能。

    该系统目前已基本完成了部署，但具体的资源建设工作还没有完全展开，资料还比较粗，信息不够细致，完全发挥系统的作用还需设专门管理机构和人员去做大量具体的管理、协调和维护工作，相信在下一个五年阶段该系统将会得到更多完善。