IPv6根DNS 服務(wù)器研究IPv6根DNS 服務(wù)器研究中國互聯(lián)網(wǎng)絡(luò)信息中心 技術(shù)部 金鍵 張鴻摘要：IPv6是下一代網(wǎng)絡(luò)的基礎(chǔ)協(xié)議。隨著IPv4地址的枯竭，人們開始考慮部署IPv6。作為網(wǎng)絡(luò)上最為

IPv6根DNS 服務(wù)器研究

IPv6根DNS 服務(wù)器研究

中國互聯(lián)網(wǎng)絡(luò)信息中心 技術(shù)部 金鍵 張鴻

摘要：IPv6是下一代網(wǎng)絡(luò)的基礎(chǔ)協(xié)議。隨著IPv4地址的枯竭，人們開始考慮部署IPv6。作為網(wǎng)絡(luò)上最為重要的基礎(chǔ)服務(wù)—DNS（Domain Name System）, 尤其是根DNS 的性能和可用性，將是影響網(wǎng)絡(luò)正常運行的關(guān)鍵因素之一。本文主要介紹了在IPv6 根DNS 方面CNNIC 所作的研究工作和研究成果，并簡要論述了一些技術(shù)難點和關(guān)鍵問題，從而為CNNIC 在IPv6的網(wǎng)絡(luò)服務(wù)方面提供技術(shù)性探索。

關(guān)鍵詞：IPv6 DNS 安全 性能 體系結(jié)構(gòu)

1引言

1.1 關(guān)于DNS

DNS 服務(wù)是互聯(lián)網(wǎng)的基礎(chǔ)服務(wù)，HTTP 、FTP 、Email 等服務(wù)都需要DNS

的支持。DNS 是樹型結(jié)構(gòu)，它的“根”是整個DNS 的根本，也是互聯(lián)網(wǎng)上最關(guān)鍵的服務(wù)之一。在IPv4網(wǎng)絡(luò)時代，由于歷史原因，到目前為止，中國還沒有建立DNS 根服務(wù)器。DNS 根服務(wù)器的建立是保障國家信息網(wǎng)絡(luò)安全的重要手段之一，如果能在我國的建立IPv6根服務(wù)器，將對國家信息安全和國家整體的安全戰(zhàn)略產(chǎn)生不可估量的影響。

為了研究和解決建立IPv6DNS 根服務(wù)器的關(guān)鍵技術(shù)，為中國申請和建

立IPv6DNS 根服務(wù)器提供技術(shù)保證，CNNIC 在構(gòu)建IPv6網(wǎng)絡(luò)環(huán)境的基礎(chǔ)上，深入研究了IPv6 DNS根服務(wù)器建立、運行、維護及安全、可靠性保障等方面的關(guān)鍵技術(shù)，使我國真正具備建立、運行和維護IPv6 DNS根服務(wù)器、保障服務(wù)器安全運行和高效響應(yīng)DNS 請求的能力，為中國申請并建立IPv6DNS 根服務(wù)器創(chuàng)造條件。

1.2國內(nèi)外根DNS 情況

DNS 根服務(wù)器是DNS 樹型域名空間的“根”。根服務(wù)器負責TLD 的解

析，對于域名解析起著極其關(guān)鍵的作用。如果根服務(wù)器失效，整個DNS 系統(tǒng)將癱瘓，互聯(lián)網(wǎng)也將崩潰。

到現(xiàn)在為止，IPv4網(wǎng)絡(luò)共有13臺根服務(wù)器，名字是由a.root-servers.net

到m.root-servers.net 。英國、日本和瑞典各擁有1臺，其余10臺均在美國的“美國航天航空局”、軍事和教育的站點。這些根服務(wù)器分別由9家機構(gòu)負責管理，主根服務(wù)器（a.root-server.net ）由美國NSI 公司（Network Solutions Incorporated of Herndon, Virginia, USA）管理，其余12個輔根服務(wù)器從主根

。根區(qū)域文件的修改是由IANA 控制服務(wù)器處獲得根區(qū)域文件（TLD 數(shù)據(jù)）

的。

這13個根服務(wù)器分布在4個國家的9個機構(gòu)里，由ICANN 的根顧問

委員會（ICANN Root Server System Advisory Committee ，RSSAC ）統(tǒng)一協(xié)調(diào)管理，其責任是給ICANN 的Board 提供關(guān)于根服務(wù)器的操作建議，提出 1

IPv6根DNS 服務(wù)器研究

運行根服務(wù)器的需求，包括硬件，操作系統(tǒng)，軟件版本，網(wǎng)絡(luò)連接等，并要對安全性提出建議。而且，根顧問委員會根據(jù)系統(tǒng)的穩(wěn)定性，健壯性、性能等提出對根服務(wù)器的數(shù)目，分布位置提出要求。

國內(nèi)已經(jīng)申請建立了F 根服務(wù)器的鏡像服務(wù)器，并正在計劃建立其它

的一些服務(wù)器鏡像。

目前國內(nèi)外沒有實際投入商業(yè)使用的IPv6根DNS 服務(wù)器，我們已知的IPv6試驗性根服務(wù)器試驗床只有由多個根服務(wù)器運行機構(gòu)聯(lián)合的OTDR （Operational Testing of new DNS RR types）項目。該項目建立了IPv6的根服務(wù)器測試床（Root Server Testbed Network），并在測試床上進行了IPv6 DNS解析、DNSSec 等測試。本項目也加入了該測試床，解析中文域名“. 中國”。 2主要研究內(nèi)容和技術(shù)要點

2.1 IPv6網(wǎng)絡(luò)建立和IPv6地址分配

現(xiàn)在,CNNIC 已經(jīng)建立了小規(guī)模的IPv6試驗網(wǎng)絡(luò)，并與國內(nèi)外多家骨干網(wǎng)通過隧道連接。經(jīng)過幾個月的運行和試驗，在2002年1月，連接6Bone ，并成為6Bone 的骨干節(jié)點pTLA ，獲得3ffe:8330::/28的IPv6試驗地址塊。并于2002年10月，成為APNIC 的TLA ，得到2001:0CC0::/32的IPv6商用地址塊。我們的IPv6試驗網(wǎng)絡(luò)的規(guī)模也隨之有一定程度的增加，并且建立了Web ，F(xiàn)TP 等基于IPv6的服務(wù)器。另外，我們還和國內(nèi)外十幾家IPv6網(wǎng)絡(luò)建立了對等互聯(lián)的Peer 關(guān)系。

作為國內(nèi)IP 地址分配機構(gòu)之一，在申請到IPv6地址后，我們對IPv6地址的分配方法和政策進行了調(diào)研，提出了國內(nèi)IPv6地址分配的方案。詳見《IPv6地址分配政策調(diào)研報告》。

2

IPv6根DNS 服務(wù)器研究

DELL-16

Tunn linux-ipv6

圖1 IPv6根服務(wù)器試驗網(wǎng)絡(luò)

2.2 IPv6根DNS 服務(wù)器試驗床

建立了IPv6試驗網(wǎng)絡(luò)之后，我們在網(wǎng)絡(luò)上建立了IPv6根服務(wù)器測試床。該測試床由多臺IPv6根服務(wù)器組成，組成了1主多輔的結(jié)構(gòu)。共同解析DNS 頂級域（TLD ）。網(wǎng)絡(luò)和服務(wù)器如圖1所示。

IPv6根服務(wù)器試驗床的操作系統(tǒng)采用Redhat Linux，DNS 解析軟件采用了Bind9。為滿足IPv6根服務(wù)器的要求，對服務(wù)器自身的運行提出了以下要求。

z 軟件：符合IETF 對DNS 的要求（RFC 1035，RFC 2181）

z 服務(wù)器吞吐量： 商用的根服務(wù)器響應(yīng)能力是現(xiàn)在的最繁忙的服務(wù)器的最

高峰值的3倍?，F(xiàn)在大約20，000次每秒。在試驗系統(tǒng)中采用PC 機，性能指標有所降低，單臺服務(wù)器約2000次每秒，但可以通過后面的高性能響應(yīng)技術(shù)加以提高。

z 連接性：要有冗余的網(wǎng)絡(luò)連接，帶寬要滿足上面提出的DNS 請求和回答

的150％

z 服務(wù)的Zone ：只解析root zone以及 root-servers.net區(qū)域

z 服務(wù)的查詢：回答任何合法IP 地址來的DNS 查詢

z 域傳送：只回答其它根服務(wù)器的域傳送要求

2.3 DNS 安全性

首先我們分析了對DNS 服務(wù)的攻擊和防范，然后探討了如何保護根服務(wù)器系統(tǒng)的安全。

3

IPv6根DNS 服務(wù)器研究

2.3.1 針對DNS 的攻擊及其防范

目前DNS 受到的網(wǎng)絡(luò)攻擊大致分為以下幾類：緩存中毒、拒絕服務(wù)、不安全的動態(tài)更新、信息泄漏和DNS 服務(wù)器權(quán)威數(shù)據(jù)庫的入侵。

1）緩存中毒

這種攻擊是利用DNS 的緩存機制使得某個名字服務(wù)器在緩存中存入錯誤的數(shù)據(jù)。造成這種攻擊的主要原因是當客戶端向名字服務(wù)器A 發(fā)出查詢，而A 的數(shù)據(jù)庫內(nèi)沒有相應(yīng)的資源記錄，那么它就會轉(zhuǎn)發(fā)給名字服務(wù)器B,B 做出應(yīng)答，把回答放在報文的回答區(qū)中，同時又會在附加區(qū)中填充一些和應(yīng)答不太相關(guān)的數(shù)據(jù)，A 接收這條應(yīng)答報文，而且對附加區(qū)中的數(shù)據(jù)不做任何檢查，直接放在緩存中。這樣使得攻擊者可以通過在B 中存放一些錯誤的數(shù)據(jù)，讓A 把這些錯誤的數(shù)據(jù)存放在緩存中，然后A 又會利用它的緩存回答以后客戶端或者服務(wù)器發(fā)來的查詢，從而導致更多的服務(wù)器中毒。可以看出造成緩存中毒的主要原因是沒有對應(yīng)答報文尤其是附加區(qū)中的數(shù)據(jù)進行完整性檢查。

對緩存中毒攻擊的防范可以使得DNS 名字服務(wù)器進入被動模式，它再向外部的DNS 發(fā)送查詢請求，只會回答對自己的授權(quán)域的查詢請求，不會緩存任何外部的數(shù)據(jù)，就不會遭受緩存中毒。但是這樣降低了DNS 的域名解析速度和效率。

另外，還可以采用DNSSec 機制進行防范。DNS安全擴展的主要思想是通過公鑰技術(shù)對DNS 中的信息創(chuàng)建密碼簽名，為DNS 內(nèi)部的信息同時提供權(quán)限認證和信息完整性檢查。先由HASH 算法從要發(fā)送DNS 中的信息中得到一個定長的字符串，稱為“信息摘要”，然后對這個“摘要”用私/公鑰對中私有密鑰進行加密，作為數(shù)字簽名和DNS 中的源信息以及“信息摘要”一起發(fā)送，接收方用私/公鑰對中的公鑰把接收到的“信息摘要”解密出來，再用HASH 算法對收到的源消息計算出“信息摘要”，最后接收者對比新生成的“信息摘要”和隨同信息傳送過來的“信息摘要”，如果兩者是相同的，就可以確認信息是完整、正確的。

DNSSEC 擴展提供通過密碼認證機制提供了三種新的服務(wù)：密鑰分配、數(shù)據(jù)源認證、DNS事務(wù)和查詢認證。數(shù)據(jù)源認證是DNSSEC 擴展的核心，它利用私鑰對DNS 數(shù)據(jù)進行數(shù)字簽名，然后通過密碼分配服務(wù)檢索到該私鑰對應(yīng)的公鑰來認證數(shù)據(jù)。DNS事務(wù)和查詢認證服務(wù)則提供了對DNS 查詢和DNS 報文頭的認證，這就保證了應(yīng)答報文中的數(shù)據(jù)的確是對原始查詢的應(yīng)答，并且應(yīng)答確實來自于被查詢的服務(wù)器。

2）拒絕服務(wù)攻擊（DoS ）及防范

攻擊者向DNS 服務(wù)器發(fā)送大量的查詢請求，這些查詢請求數(shù)據(jù)包中的源IP 地址為被攻擊DNS 服務(wù)器的IP 地址，通過巨量的DNS 請求造成DNS 服務(wù)器性能響應(yīng)下降，無法提供正常的域名解析。

對拒絕服務(wù)攻擊的防范是個很大的挑戰(zhàn)。 通過限制發(fā)送了非正常數(shù)量DNS 請求的IP 地址進行DNS 查詢，可以減輕“拒絕服務(wù)”攻擊，但是攻擊者還可以利用IP 欺騙偽裝成其它主機，進行查詢。本項目研究了通過任播（Anycast ）技術(shù)來構(gòu)建分布式根DNS 系統(tǒng)，以及服務(wù)器高性能響應(yīng)技術(shù)對拒絕服務(wù)攻擊進行防御的方法。

為了提高DNS 系統(tǒng)的服務(wù)性能，防御可能的攻擊（DoS ），在廣域網(wǎng)絡(luò)范圍中采用分布式DNS 是一種比較好的機制。本項目研究了利用BGP 協(xié)議在廣域網(wǎng)范圍內(nèi)進行BGP －Anycast 的方法。通過在網(wǎng)絡(luò)拓撲的多個點上部署DNS Server ，然后利用BGP4 路由協(xié)議，使得網(wǎng)絡(luò)上的用戶能夠就近訪問路由上最近 4

IPv6根DNS 服務(wù)器研究

的服務(wù)器。實現(xiàn)在廣域網(wǎng)絡(luò)上的負載均衡和就近服務(wù)。本方法無需修改客戶端和服務(wù)器軟件，完全對客戶透明。通過分布式DNS ，攻擊者只能對最近的DNS 服務(wù)器進行攻擊，避免了整個根DNS 系統(tǒng)的癱瘓。

BGP Anycast的原理如圖所示：

圖2 BGP Anycast 原理

多個DNS Server分布在網(wǎng)絡(luò)的不同位置，處于多個AS （自治系統(tǒng)）中，AS 號可以相同（這種情況下，這個AS 號是專門用于該分布式DNS 系統(tǒng)的）。這些DNS Server的IP 地址是相同的，每個AS 的邊界路由器都要把該DNS Server所在的地址段對外宣布出去。通過AS 之間交換路由信息，網(wǎng)絡(luò)上所有AS 的邊界路由器根據(jù)BGP 路由協(xié)議，計算出到該DNS 服務(wù)器所在地址段的最近路由，這個路由可能通向AS1，AS2或其它擁有服務(wù)器的AS 。這樣就實現(xiàn)了就近訪問最 近的DNS Server.

3）不安全的DNS 動態(tài)更新及其防范

最早設(shè)計 DNS 時所有運行 TCP/IP 的計算機都是手工配置的。用特定的 IP 地址手工配置一臺計算機時，它的 A 資源記錄和 PTR 資源記錄也要用手工配置。隨著動態(tài)主機配置協(xié)議 (DHCP) 的出現(xiàn)，DHCP 客戶計算機由 DHCP 服務(wù)器動態(tài)分配 IP 地址，使手工更新其 A 記錄和 PTR記錄變得很難管理。因此在RFC 2136中提出了DNS 動態(tài)更新使得 DNS 客戶端在 IP 地址或名稱出現(xiàn)更改的任何時候都可利用 DNS 服務(wù)器來注冊和動態(tài)更新其資源記錄。然而，盡管DNS 動態(tài)更新協(xié)議規(guī)定了怎樣的系統(tǒng)才允許動態(tài)更新一臺主服務(wù)器，但是DNS 仍然可能受到威脅, 比如攻擊者可以利用IP 欺騙偽裝成DNS 服務(wù)器信任的主機對系統(tǒng)進行更新或者損害，并可以對主服務(wù)器進行各種動態(tài)更新攻擊，比如刪減、增加、修改資源記錄。

我們采用了安全的動態(tài)更新機制，利用共享密鑰對動態(tài)更新過程進行保護。

4）信息泄漏

BIND 軟件的缺省設(shè)置允許任何人進行區(qū)傳送，DNS 區(qū)傳送可能會造成信息泄漏，區(qū)傳送一般用于主DNS 服務(wù)器和輔DNS 服務(wù)器之間的數(shù)據(jù)同步，輔 DNS 服務(wù)器可以從主服務(wù)器獲取最新區(qū)數(shù)據(jù)文件的副本，也就可以獲得整個授權(quán)區(qū)域內(nèi)的所有主機信息。一旦這些信息泄漏，攻擊者就可以根據(jù)它輕松地推測主服務(wù)器的網(wǎng)絡(luò)結(jié)構(gòu)，并從這些信息中判斷其功能或發(fā)現(xiàn)那些防范措施較弱的機器。

通過利用數(shù)字簽名進行安全的主輔更新過程。主輔更新時，采用DNSSec 機制對更新過程進行保護。相比以前那種根據(jù)IP 地址來判斷是否合法服務(wù)器的 5

IPv6根DNS 服務(wù)器研究

機制，增強了安全性。具體可以參見《DNSSEC 分析和實踐》。

5) 遠程漏洞入侵

BIND 服務(wù)器軟件的許多版本存在緩沖區(qū)溢出漏洞，當攻擊者獲取了管理員權(quán)限就可以入侵BIND 服務(wù)器所在的主機，并以管理員的身份執(zhí)行任意命令。這種攻擊的危害性比較嚴重，攻擊者不僅獲得了DNS 服務(wù)器上所有授權(quán)區(qū)域內(nèi)的數(shù)據(jù)信息，甚至可以直接修改授權(quán)區(qū)域內(nèi)的任意數(shù)據(jù)，同時可以利用這臺主機作為攻擊其它機器的“跳板”。

針對這種攻擊，主要是及時發(fā)現(xiàn)DNS 軟件的版本漏洞，并進行升級。

2.3.2根服務(wù)器的安全體系結(jié)構(gòu)

根服務(wù)器系統(tǒng)由主根、輔根諸多服務(wù)器組成。通常來講，它們的數(shù)據(jù)完全一樣，每一個服務(wù)器都能對用戶提供域名解析服務(wù)。主根服務(wù)器是系統(tǒng)的關(guān)鍵，每個輔根服務(wù)器都要從主根服務(wù)器那里定期獲得新的Zone file。主根服務(wù)器如果被破壞，或者數(shù)據(jù)被篡改，那么將對根服務(wù)器系統(tǒng)造成巨大破壞。因此，必須要非常嚴格的保護主根服務(wù)器。

我們在IPv6 DNS根服務(wù)器系統(tǒng)中采用了安全的體系結(jié)構(gòu)－Hidden Primary。通過設(shè)置，將最重要的主根服務(wù)器隱藏起來，用戶的named.ca 中不出現(xiàn)。這樣就把真正的主服務(wù)器隱藏起來，不對外提供服務(wù)。大大減少了被攻擊和破壞的可能，一旦其它輔根服務(wù)器出現(xiàn)問題，還能由它提供備份和恢復(fù)功能。

這種隱藏主服務(wù)器的結(jié)構(gòu)如下圖所示：

圖3 安全的隱藏主根服務(wù)器的結(jié)構(gòu)

6

IPv6根DNS

服務(wù)器研究

2.4高性能響應(yīng) 為了提高IPv6根DNS 服務(wù)器的響應(yīng)能力，對抗拒絕服務(wù)攻擊等。我們根據(jù)IPv6 root DNS對效率和高可用性的要求，研究開發(fā)了能夠?qū)Ω鵇NS 服務(wù)器進行負載均衡和保證高可用性的實驗性系統(tǒng)，以保證根DNS 的服務(wù)質(zhì)量。 為了達到負載均衡和高可用性的需求，可以利用OSI 網(wǎng)絡(luò)模型的4到7層交換技術(shù)，來實現(xiàn)對某種服務(wù)的負載進行動態(tài)分配，把它們動態(tài)的分發(fā)到后臺的服務(wù)器上，同時通過這種分發(fā)器與后臺服務(wù)器的通信和監(jiān)控機制，實現(xiàn)動態(tài)的分發(fā)調(diào)度和切換機制。 這種高性能系統(tǒng)使用IPv6下的負載均衡技術(shù)，采用Linux 下的虛擬服務(wù)器軟件LVS 作為基礎(chǔ)，進行了修改，構(gòu)建了由多臺PC 機構(gòu)成的虛擬服務(wù)器。該虛擬服務(wù)器對外由統(tǒng)一的IPv6單播地址訪問。其響應(yīng)性能是后臺多個服務(wù)器性能的總和。目前，高性能響應(yīng)系統(tǒng)軟件以及測試軟件已經(jīng)由中科院網(wǎng)絡(luò)中心申請軟件著作權(quán)。 3 IPv6 DNS新特性 3.1 IPv6根服務(wù)器對中文域名/國際化域名的支持 中文域名（Chinese Domain Name）是指在域名中包含中文字符，這樣更符合采用母語上網(wǎng)的用戶習慣，便于記憶和使用。目前的DNS 只能支持ASCII 字符，因此，需要采用PUNYCODE 把中文字符串轉(zhuǎn)碼成ASCII 字符。并且，在DNS 系統(tǒng)中，增加“. 中國”等頂級域和相應(yīng)的Zone File。 本

IPv6根DNS 系統(tǒng)增加了對中文域名的支持，在系統(tǒng)中將“. 中國”轉(zhuǎn)碼后為“.xn--fiQs8s ”，并設(shè)置了相應(yīng)的Zone File，實現(xiàn)了在IPv6網(wǎng)絡(luò)下對中文域名頂級域的解析。

7

IPv6根DNS 服務(wù)器研究

圖4 IPv6中文/多語種域名解析結(jié)構(gòu)

另外，我們的IPv6中文域名頂級域加入了由國際根服務(wù)器管理機構(gòu)組織的IPv6 DNS 根服務(wù)器測試床OTDR ，承擔了國際性的IPv6 IDN中“. 中國”的解析。

3.2 IPv6下的ENUM 解析

ENUM （tElephone NUmber Mapping）是一種電話號碼映射技術(shù)。它利用DNS 把電話號碼與URI （ Universal Resource Identifier，統(tǒng)一資源定位符）聯(lián)系在一起，是一種新型的互聯(lián)網(wǎng)尋址技術(shù)。

根據(jù)DNS 的樹型結(jié)構(gòu)，ENUM 把電話號碼經(jīng)過處理，注冊在e164.tld 這個域下面。tld 是指頂級域，比如ARPA 域。當然，按照電話號碼的層次結(jié)構(gòu)，注冊也是按照層次進行的。那么，當用戶在查詢該電話號碼對應(yīng)的URI 時，就利用DNS 進行解析。

4總結(jié)

經(jīng)過2年的研究，CNNIC 在IPv6 根DNS 方面取得的成果主要包括：建立了IPv6試驗網(wǎng)絡(luò)，成為國際6bone 骨干節(jié)點，獲得IPv6試驗和商用地址，與十幾家國內(nèi)外機構(gòu)進行對等互聯(lián)；研究并掌握建立、運行、維護安全的IPv6根服務(wù)器的關(guān)鍵技術(shù)，包括安全的根服務(wù)器體系結(jié)構(gòu)，安全防護技術(shù)等；建立了可擴展的IPv6根服務(wù)器試驗床，并聯(lián)合國內(nèi)外機構(gòu)進行研究和測試；研究、開發(fā)并應(yīng)用了IPv6根DNS 的高性能響應(yīng)技術(shù)；研究并應(yīng)用了IPv6根DNS 對多語種域名，ENUM 等新尋址技術(shù)的支持技術(shù)。

目前國際上還沒有公開運營的IPv6根DNS 服務(wù)器，CNNIC已經(jīng)建立了面向全球范圍的IPv6DNS 根服務(wù)器試驗床，與國內(nèi)外多家機構(gòu)進行了聯(lián)合試驗，并正在為多個IPv6網(wǎng)絡(luò)提供根服務(wù)器級的解析。

參考文獻

[1] “IPv6網(wǎng)絡(luò)關(guān)鍵技術(shù)研究和城域示范系統(tǒng)”鑒定材料（一），中國科學

院計算機網(wǎng)絡(luò)信息中心,2004/6

[2] 《IPv6 Root DNS高性能系統(tǒng)設(shè)計與實現(xiàn)》，金鍵，錢華林，碩士畢業(yè)

論文,2004/6

[3] www.isc.org

[4] www.ipv6.org

[5] www.ipv6.net.cn

[6] M. Crawford, RFC2874:“DNS Extensions to Support IPv6 Address

Aggregation and Renumbering”, July 2000

[7] B. Wellington，RFC3008:”Domain Name System Security (DNSSEC)

Signing Authority”， Nov. 2000

[8] P. Mockapetris，RFC1035:”Domain Names – Implementation and

Specification”, Nov. 1987

[9] 張鴻，錢華林：“IPv6對域名系統(tǒng)的需求及其解決方法的研究”，

2003，第20期，《微電子學與計算機》

8