構(gòu)建IPV6新一代網(wǎng)絡(luò)安全架構(gòu)

夏飛

摘 ?要 ?網(wǎng)絡(luò)安全變得至關(guān)重要，如今在IPV6取代IPV4的趨勢下，IPv6的地址數(shù)量將極大擴(kuò)充原有IPv4地址，并相對減輕IPV4漏洞和威脅。IPV6的協(xié)議本身相關(guān)特性也極大的降低網(wǎng)絡(luò)的安全隱患。本文介紹了IPV6的三方面內(nèi)容：首先，簡要介紹了新的IPV6協(xié)議的能力;其次，分析這些功能帶來的安全漏洞;最后，全新的IPV6網(wǎng)絡(luò)模型如何減少上述漏洞。

關(guān)鍵詞 ?IPV6協(xié)議;安全漏洞;安全模型;信任區(qū)域;邊界安全

中圖分類號(hào)：TP393 ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A ? ? ?文章編號(hào)：1671-7597（2014）21-0026-02

1 ?IPV6的安全漏洞

由于歷史原因，大部分的漏洞在IPv4和IPv6之間都很常見，IPV6相對于IPV4，有以下兩點(diǎn)重要的變化。

1）IPV6使用128位地址空間，而IPV4使用32位地址空間。網(wǎng)絡(luò)設(shè)備不在對IPv6數(shù)據(jù)包分片及重新組合，所有數(shù)據(jù)包分片和重組將由發(fā)送方和接收方主機(jī)執(zhí)行。

2）新型即插即用類型功能，即自動(dòng)配置IPv6地址，減少手動(dòng)配置帶來的負(fù)擔(dān)，這些變化意味著網(wǎng)絡(luò)控制管理協(xié)議（ICMP）是必須的。IPv6數(shù)據(jù)包必須包括6個(gè)擴(kuò)展標(biāo)題：hop-by-hop選項(xiàng)、目的地選項(xiàng)、路由報(bào)頭片段，驗(yàn)證，封裝安全有效載荷（ESP）報(bào)頭。

這些變化在為IPv6保證網(wǎng)絡(luò)基礎(chǔ)安全的同時(shí)，也給網(wǎng)絡(luò)帶來了新型的安全漏洞，總結(jié)如下。

1）HOP-BY-HOP選項(xiàng)。

漏洞一：hop-by-hop選項(xiàng)包頭能包含任意數(shù)量的跳數(shù)信息，攻擊者可以使用攻擊手段讓下一跳信息無效，在這種情況下ICMP協(xié)議就會(huì)將報(bào)錯(cuò)信息發(fā)布給發(fā)送者。攻擊者可以讓路由器泛洪這些錯(cuò)誤的數(shù)據(jù)包。

漏洞二： hop-by-hop選項(xiàng)包頭有兩個(gè)特別選項(xiàng)Pad1 和PadN選，但是這些選項(xiàng)的中間填充字節(jié)必須為零。

①Pad1：插入一個(gè)填充字節(jié)，Option Type字段值為0，沒有Option Data Len字段和Option Data字段。

②PadN：插入2個(gè)或多個(gè)填充字節(jié)，Option Type字段值為1，Option Data Len字段為大于或等于0的整數(shù)。

接收者或者路由器沒有強(qiáng)制要求填充字段的正確性，這些字段就可能被攻擊者利用。

2）Multiple Addresses。

IPv6可將多個(gè)地址應(yīng)用于一個(gè)接口，這對防火墻的過濾規(guī)則以及訪問控制列表的應(yīng)用提出了挑戰(zhàn)。IPV6的地址為自動(dòng)配置，因此基于IPV4地址的過濾原則將不再可行。在使用私有地址的局域網(wǎng)中，暫時(shí)還沒有特定識(shí)別技術(shù)幫助防火墻解決上述問題。

3）ICMPV6過濾。

在IPV4協(xié)議中，ICMPV4消息可以不被啟用。IPV6的網(wǎng)絡(luò)中則必須使用ICMPV6消息。并且防火墻需要被設(shè)置為允許特定的ICMPV6消息通過。攻擊者可以利用ICMPV6數(shù)據(jù)包引起響應(yīng)錯(cuò)誤應(yīng)，非法占用網(wǎng)絡(luò)資源，造成DOS攻擊。

4）IPV6隧道。

在IPv6發(fā)展初期，必然有許多局部的純IPv6網(wǎng)絡(luò)，這些IPv6網(wǎng)絡(luò)與IPv4骨干網(wǎng)絡(luò)隔離，形成信息孤島，為了使這些孤立的“IPv6島”互通，需要采用隧道技術(shù)，利用穿越現(xiàn)存IPv4網(wǎng)絡(luò)的隧道技術(shù)將許多個(gè)“IPv6孤島”連接起來，逐步擴(kuò)大IPv6的實(shí)現(xiàn)范圍，這就是目前國際IPv6試驗(yàn)6Bone的計(jì)劃。

在IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)間的隧道入口處，路由器將IPv6的數(shù)據(jù)分組封裝入IPv4中，IPv4分組的源地址和目的地址分別是隧道入口和出口的IPv4地址。在隧道的出口處再將IPv6分組取出轉(zhuǎn)發(fā)到目的節(jié)點(diǎn)。

網(wǎng)絡(luò)過渡階段必然導(dǎo)致部分隧道的出入口成為攻擊者的重點(diǎn)關(guān)注對象。

2 ?一種新的網(wǎng)絡(luò)安全模式

按照傳統(tǒng)的安全架構(gòu)，如果使用IPV6協(xié)議就需要額外的措施來保障網(wǎng)絡(luò)的安全性，必然導(dǎo)致額外的成本及工作量。

為了克服這些限制，我們可以在網(wǎng)絡(luò)基礎(chǔ)設(shè)施中使用新的安全架構(gòu)。圖1示意圖說明了新的安全架構(gòu)IPv6網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

圖1

1）端到端的尋址能力。在IPV6網(wǎng)絡(luò)新的安全架構(gòu)中，端到端的可尋址能力是最基本的特性。主機(jī)間的實(shí)線表示了兩個(gè)主機(jī)間端到端的可尋址能力，因此從安全的角度，意味著端到端的架構(gòu)非常適合分析解決相關(guān)內(nèi)容的安全性。

此模型實(shí)際是基于終端主機(jī)的安全措施（HBS）。端到端的可尋址能力支持以下操作。

①中央策略服務(wù)器屬于信任區(qū)域。可以推送數(shù)字策略到達(dá)網(wǎng)絡(luò)各區(qū)域。

②通信的安全審計(jì)，基于策略的安全管理。

③策略決策點(diǎn)。

以上操作均為主動(dòng)發(fā)起的通信，支持IPV6網(wǎng)絡(luò)，但無法支持NET后的網(wǎng)絡(luò)節(jié)點(diǎn)和主機(jī)。IPV6支持端到端的可尋址能力，而基于IPV4的網(wǎng)絡(luò)與NET配置常常打破服務(wù)器和策略管理對象之間的端到端的可尋址能力。

2）基于主機(jī)的安全。在一個(gè)端到端的安全架構(gòu)中，大量的安全措施由終端主機(jī)承擔(dān)。因此，主機(jī)在部署基于主機(jī)的安全（HBS）措施后，最適合分析接收和發(fā)送的數(shù)據(jù)包安全性。

本節(jié)將討論了HBS部署，后續(xù)章節(jié)將討論信任區(qū)域概念以及基于策略的網(wǎng)絡(luò)安全管理。

圖1顯示了兩個(gè)主機(jī)通信和策略服務(wù)器的模型，圖1中的實(shí)線表示端到端主機(jī)之間的連接，而虛線則表示策略在策略服務(wù)器與網(wǎng)絡(luò)其他節(jié)點(diǎn)之間的流動(dòng)（包括主機(jī)、安全設(shè)備等）。兩臺(tái)終端可以隸屬于不同的信任區(qū)域。圖1為HBS的兩個(gè)主機(jī)和相關(guān)的設(shè)備。

HBS安全措施遠(yuǎn)遠(yuǎn)超出當(dāng)前的主機(jī)安全模式，可以集成主機(jī)入侵檢測防御功能及網(wǎng)絡(luò)入侵檢測防御功能，以上功能主要由固定主機(jī)、路由器和專用安全設(shè)備提供。專用主機(jī)通常放置在網(wǎng)絡(luò)邊界。endprint

分布式的HBS網(wǎng)絡(luò)，網(wǎng)絡(luò)邊緣安全也是需要考慮的內(nèi)容。

HBS的可選功能如下。

①HBS可以提供集中式的安全策略管理，并且在適當(dāng)?shù)牡胤綄?shí)現(xiàn)自動(dòng)化管理。這些策略的執(zhí)行基于HBS的安全管理模塊（PBSM）。

②HBS應(yīng)具有審計(jì)安全策略的能力：（a）完整的策略無法被盜用，（b）系統(tǒng)將被配置為在異常行為發(fā)生前進(jìn)行標(biāo)記并按照當(dāng)前的異常行為部署安全策略。（c）執(zhí)行的策略應(yīng)確保通過驗(yàn)證后生效。（d）可以通過比較控制策略的執(zhí)行改善系統(tǒng)的

性能。

③在整個(gè)企業(yè)網(wǎng)絡(luò)中所有HBS的組件具有相互協(xié)調(diào)的能力。例如病毒控制，安全策略管理，安全審計(jì)，事件分析，區(qū)域安全服務(wù)等級，數(shù)據(jù)格式等都可進(jìn)行互操作。

3）基于邊界的安全。基于主機(jī)的安全（HBS）并不禁止使用基于邊界的網(wǎng)絡(luò)安全措施。如果需要，防火墻過濾和入侵檢測設(shè)備仍然可以在網(wǎng)絡(luò)邊界使用。但在此模型中，周邊的安全設(shè)備不重組分片的數(shù)據(jù)包，不解密加密數(shù)據(jù)包。

4）信任區(qū)域。如上所述，HBS需要保證使用安全配置的主機(jī)嚴(yán)格執(zhí)行符合企業(yè)安全的策略，此功能通過信任區(qū)域來實(shí)現(xiàn)，具體如下。

①一個(gè)信任區(qū)域所定義的安全策略只適用于當(dāng)前區(qū)域。每臺(tái)主機(jī)或者網(wǎng)絡(luò)設(shè)備都至少屬于一個(gè)信任區(qū)域，以實(shí)現(xiàn)區(qū)域的安全策略。區(qū)域內(nèi)的所有主機(jī)，路由器，安全設(shè)備和應(yīng)用程序統(tǒng)一嚴(yán)格的執(zhí)行安全策略。

②基于主機(jī)的安全網(wǎng)絡(luò)必須確保工作主機(jī)的安全配置準(zhǔn)確無誤，使用統(tǒng)一定義的信任區(qū)域。基于策略的安全管理（PBSM）技術(shù)討論了信任區(qū)域中必要的執(zhí)行策略，實(shí)現(xiàn)自動(dòng)響應(yīng)。

IPV6新型的安全架構(gòu)相對于目前基于網(wǎng)絡(luò)邊界的安全架構(gòu)而言將會(huì)帶給企業(yè)完全不同的全新體驗(yàn)。

5）基于策略的安全管理?；诓呗缘陌踩芾恚≒BSM）主要實(shí)現(xiàn)策略的自動(dòng)化執(zhí)行、評估等功能。確保信任區(qū)域的策略嚴(yán)格一致。

基本策略管理架構(gòu)提供了基于策略的管理基本要素，即策略管理，策略決策點(diǎn)（PDP）和策略執(zhí)行點(diǎn)（PEP）、策略審計(jì)。

①PBSM用來翻譯定義在信任區(qū)域中的策略。

②PBSM實(shí)現(xiàn)了信任區(qū)域的安全策略的嚴(yán)格執(zhí)行，更可以幫助企業(yè)建立新的信任區(qū)域。

③PBSM會(huì)使較高級的信任區(qū)域繼承較低級的信任區(qū)域里的數(shù)字策略，特定的安全策略作用在指定的信任區(qū)域中。

PBSM的功能如圖2所示。

圖2

3 ?結(jié)論

IPV6協(xié)議相對于IPV4協(xié)議提供了強(qiáng)大的功能，然而在功能提升的過程中也帶來了新的安全隱患，為了保證IPV6協(xié)議在高可用性的同時(shí)兼具高可靠性。我們需要提供額外安全設(shè)備，信息包過濾以及入侵管理功能。IPV6網(wǎng)絡(luò)安全體系架構(gòu)在節(jié)約成本和工程量的前提下，可以實(shí)現(xiàn)更加安全可靠的網(wǎng)絡(luò)環(huán)境，主要通過六個(gè)模型構(gòu)建：端到端的可尋址能力，基于主機(jī)的安全，基于邊界的安全，信任區(qū)域，基于策略的安全管理。

參考文獻(xiàn)

[1]Lancaster， Troy， “IPv6 and IPv4 Threat Review with Dual StackConsiderations”， COMP6009： Individual Research Project， Universityof Southampton， Department of Electronics and Computer Science，UK， 2006.

[2]Convery， Sean and Miller， Darrin， “IPv6 and IPv4 Threat Comparisonand Best Practices Evaluation （v1.0）， Cisco Corporation， 2004.

[3]IETF RFC 2460， “Internet Protocol， Version 6 （IPv6） Specification”，December 1998.

[4]IETF RFC 791， “Internet Protocol， DARPA Internet Program，Protocol Specification”，September 1981.

[5]IETF RFC 4301， “Security Architecture for the Internet Protocol”，December 2005.

[6]A. Rahim Choudhary， “Policy based management in the GlobalInformation Grid”， Int. J. Internet Protocol Technology vol. 3， p. 73–80，2008.

[7]A. Rahim Choudhary， “Policy Based Network Management”， BellLabs Technical Journal Vol. 9， pp. 19-29， 2004.endprint

分布式的HBS網(wǎng)絡(luò)，網(wǎng)絡(luò)邊緣安全也是需要考慮的內(nèi)容。

HBS的可選功能如下。

①HBS可以提供集中式的安全策略管理，并且在適當(dāng)?shù)牡胤綄?shí)現(xiàn)自動(dòng)化管理。這些策略的執(zhí)行基于HBS的安全管理模塊（PBSM）。

②HBS應(yīng)具有審計(jì)安全策略的能力：（a）完整的策略無法被盜用，（b）系統(tǒng)將被配置為在異常行為發(fā)生前進(jìn)行標(biāo)記并按照當(dāng)前的異常行為部署安全策略。（c）執(zhí)行的策略應(yīng)確保通過驗(yàn)證后生效。（d）可以通過比較控制策略的執(zhí)行改善系統(tǒng)的

性能。

③在整個(gè)企業(yè)網(wǎng)絡(luò)中所有HBS的組件具有相互協(xié)調(diào)的能力。例如病毒控制，安全策略管理，安全審計(jì)，事件分析，區(qū)域安全服務(wù)等級，數(shù)據(jù)格式等都可進(jìn)行互操作。

3）基于邊界的安全。基于主機(jī)的安全（HBS）并不禁止使用基于邊界的網(wǎng)絡(luò)安全措施。如果需要，防火墻過濾和入侵檢測設(shè)備仍然可以在網(wǎng)絡(luò)邊界使用。但在此模型中，周邊的安全設(shè)備不重組分片的數(shù)據(jù)包，不解密加密數(shù)據(jù)包。

4）信任區(qū)域。如上所述，HBS需要保證使用安全配置的主機(jī)嚴(yán)格執(zhí)行符合企業(yè)安全的策略，此功能通過信任區(qū)域來實(shí)現(xiàn)，具體如下。

①一個(gè)信任區(qū)域所定義的安全策略只適用于當(dāng)前區(qū)域。每臺(tái)主機(jī)或者網(wǎng)絡(luò)設(shè)備都至少屬于一個(gè)信任區(qū)域，以實(shí)現(xiàn)區(qū)域的安全策略。區(qū)域內(nèi)的所有主機(jī)，路由器，安全設(shè)備和應(yīng)用程序統(tǒng)一嚴(yán)格的執(zhí)行安全策略。

②基于主機(jī)的安全網(wǎng)絡(luò)必須確保工作主機(jī)的安全配置準(zhǔn)確無誤，使用統(tǒng)一定義的信任區(qū)域?；诓呗缘陌踩芾恚≒BSM）技術(shù)討論了信任區(qū)域中必要的執(zhí)行策略，實(shí)現(xiàn)自動(dòng)響應(yīng)。

IPV6新型的安全架構(gòu)相對于目前基于網(wǎng)絡(luò)邊界的安全架構(gòu)而言將會(huì)帶給企業(yè)完全不同的全新體驗(yàn)。

5）基于策略的安全管理?；诓呗缘陌踩芾恚≒BSM）主要實(shí)現(xiàn)策略的自動(dòng)化執(zhí)行、評估等功能。確保信任區(qū)域的策略嚴(yán)格一致。

基本策略管理架構(gòu)提供了基于策略的管理基本要素，即策略管理，策略決策點(diǎn)（PDP）和策略執(zhí)行點(diǎn)（PEP）、策略審計(jì)。

①PBSM用來翻譯定義在信任區(qū)域中的策略。

②PBSM實(shí)現(xiàn)了信任區(qū)域的安全策略的嚴(yán)格執(zhí)行，更可以幫助企業(yè)建立新的信任區(qū)域。

③PBSM會(huì)使較高級的信任區(qū)域繼承較低級的信任區(qū)域里的數(shù)字策略，特定的安全策略作用在指定的信任區(qū)域中。

PBSM的功能如圖2所示。

圖2

3 ?結(jié)論

IPV6協(xié)議相對于IPV4協(xié)議提供了強(qiáng)大的功能，然而在功能提升的過程中也帶來了新的安全隱患，為了保證IPV6協(xié)議在高可用性的同時(shí)兼具高可靠性。我們需要提供額外安全設(shè)備，信息包過濾以及入侵管理功能。IPV6網(wǎng)絡(luò)安全體系架構(gòu)在節(jié)約成本和工程量的前提下，可以實(shí)現(xiàn)更加安全可靠的網(wǎng)絡(luò)環(huán)境，主要通過六個(gè)模型構(gòu)建：端到端的可尋址能力，基于主機(jī)的安全，基于邊界的安全，信任區(qū)域，基于策略的安全管理。

參考文獻(xiàn)

[1]Lancaster， Troy， “IPv6 and IPv4 Threat Review with Dual StackConsiderations”， COMP6009： Individual Research Project， Universityof Southampton， Department of Electronics and Computer Science，UK， 2006.

[2]Convery， Sean and Miller， Darrin， “IPv6 and IPv4 Threat Comparisonand Best Practices Evaluation （v1.0）， Cisco Corporation， 2004.

[3]IETF RFC 2460， “Internet Protocol， Version 6 （IPv6） Specification”，December 1998.

[4]IETF RFC 791， “Internet Protocol， DARPA Internet Program，Protocol Specification”，September 1981.

[5]IETF RFC 4301， “Security Architecture for the Internet Protocol”，December 2005.

[6]A. Rahim Choudhary， “Policy based management in the GlobalInformation Grid”， Int. J. Internet Protocol Technology vol. 3， p. 73–80，2008.

[7]A. Rahim Choudhary， “Policy Based Network Management”， BellLabs Technical Journal Vol. 9， pp. 19-29， 2004.endprint

分布式的HBS網(wǎng)絡(luò)，網(wǎng)絡(luò)邊緣安全也是需要考慮的內(nèi)容。

HBS的可選功能如下。

①HBS可以提供集中式的安全策略管理，并且在適當(dāng)?shù)牡胤綄?shí)現(xiàn)自動(dòng)化管理。這些策略的執(zhí)行基于HBS的安全管理模塊（PBSM）。

②HBS應(yīng)具有審計(jì)安全策略的能力：（a）完整的策略無法被盜用，（b）系統(tǒng)將被配置為在異常行為發(fā)生前進(jìn)行標(biāo)記并按照當(dāng)前的異常行為部署安全策略。（c）執(zhí)行的策略應(yīng)確保通過驗(yàn)證后生效。（d）可以通過比較控制策略的執(zhí)行改善系統(tǒng)的

性能。

③在整個(gè)企業(yè)網(wǎng)絡(luò)中所有HBS的組件具有相互協(xié)調(diào)的能力。例如病毒控制，安全策略管理，安全審計(jì)，事件分析，區(qū)域安全服務(wù)等級，數(shù)據(jù)格式等都可進(jìn)行互操作。

3）基于邊界的安全?；谥鳈C(jī)的安全（HBS）并不禁止使用基于邊界的網(wǎng)絡(luò)安全措施。如果需要，防火墻過濾和入侵檢測設(shè)備仍然可以在網(wǎng)絡(luò)邊界使用。但在此模型中，周邊的安全設(shè)備不重組分片的數(shù)據(jù)包，不解密加密數(shù)據(jù)包。

4）信任區(qū)域。如上所述，HBS需要保證使用安全配置的主機(jī)嚴(yán)格執(zhí)行符合企業(yè)安全的策略，此功能通過信任區(qū)域來實(shí)現(xiàn)，具體如下。

①一個(gè)信任區(qū)域所定義的安全策略只適用于當(dāng)前區(qū)域。每臺(tái)主機(jī)或者網(wǎng)絡(luò)設(shè)備都至少屬于一個(gè)信任區(qū)域，以實(shí)現(xiàn)區(qū)域的安全策略。區(qū)域內(nèi)的所有主機(jī)，路由器，安全設(shè)備和應(yīng)用程序統(tǒng)一嚴(yán)格的執(zhí)行安全策略。

②基于主機(jī)的安全網(wǎng)絡(luò)必須確保工作主機(jī)的安全配置準(zhǔn)確無誤，使用統(tǒng)一定義的信任區(qū)域?；诓呗缘陌踩芾恚≒BSM）技術(shù)討論了信任區(qū)域中必要的執(zhí)行策略，實(shí)現(xiàn)自動(dòng)響應(yīng)。

IPV6新型的安全架構(gòu)相對于目前基于網(wǎng)絡(luò)邊界的安全架構(gòu)而言將會(huì)帶給企業(yè)完全不同的全新體驗(yàn)。

5）基于策略的安全管理?；诓呗缘陌踩芾恚≒BSM）主要實(shí)現(xiàn)策略的自動(dòng)化執(zhí)行、評估等功能。確保信任區(qū)域的策略嚴(yán)格一致。

基本策略管理架構(gòu)提供了基于策略的管理基本要素，即策略管理，策略決策點(diǎn)（PDP）和策略執(zhí)行點(diǎn)（PEP）、策略審計(jì)。

①PBSM用來翻譯定義在信任區(qū)域中的策略。

②PBSM實(shí)現(xiàn)了信任區(qū)域的安全策略的嚴(yán)格執(zhí)行，更可以幫助企業(yè)建立新的信任區(qū)域。

③PBSM會(huì)使較高級的信任區(qū)域繼承較低級的信任區(qū)域里的數(shù)字策略，特定的安全策略作用在指定的信任區(qū)域中。

PBSM的功能如圖2所示。

圖2

3 ?結(jié)論

IPV6協(xié)議相對于IPV4協(xié)議提供了強(qiáng)大的功能，然而在功能提升的過程中也帶來了新的安全隱患，為了保證IPV6協(xié)議在高可用性的同時(shí)兼具高可靠性。我們需要提供額外安全設(shè)備，信息包過濾以及入侵管理功能。IPV6網(wǎng)絡(luò)安全體系架構(gòu)在節(jié)約成本和工程量的前提下，可以實(shí)現(xiàn)更加安全可靠的網(wǎng)絡(luò)環(huán)境，主要通過六個(gè)模型構(gòu)建：端到端的可尋址能力，基于主機(jī)的安全，基于邊界的安全，信任區(qū)域，基于策略的安全管理。

參考文獻(xiàn)

[1]Lancaster， Troy， “IPv6 and IPv4 Threat Review with Dual StackConsiderations”， COMP6009： Individual Research Project， Universityof Southampton， Department of Electronics and Computer Science，UK， 2006.

[2]Convery， Sean and Miller， Darrin， “IPv6 and IPv4 Threat Comparisonand Best Practices Evaluation （v1.0）， Cisco Corporation， 2004.

[3]IETF RFC 2460， “Internet Protocol， Version 6 （IPv6） Specification”，December 1998.

[4]IETF RFC 791， “Internet Protocol， DARPA Internet Program，Protocol Specification”，September 1981.

[5]IETF RFC 4301， “Security Architecture for the Internet Protocol”，December 2005.

[6]A. Rahim Choudhary， “Policy based management in the GlobalInformation Grid”， Int. J. Internet Protocol Technology vol. 3， p. 73–80，2008.

[7]A. Rahim Choudhary， “Policy Based Network Management”， BellLabs Technical Journal Vol. 9， pp. 19-29， 2004.endprint