????????BEA UserGroup與6月3日在大學(xué)城完滿結(jié)束。這次UG大學(xué)城研討會(huì),要多些兩個(gè)好朋友Burton(許伯桐)與Eric(王志海)聯(lián)手策劃,作為一次探討安全技術(shù)的會(huì)議,這次活動(dòng)的專家具備相當(dāng)高的水準(zhǔn),Topic也具有比較高的水準(zhǔn)。
那天早上,大約8點(diǎn)45,體育中心東門就已經(jīng)有不少人在等車,安排UG活動(dòng)的車共有三部車,早上坐車過去大學(xué)城的人大概有120人,自己過去的我統(tǒng)計(jì)了一下大概有100人,上午,據(jù)非正式統(tǒng)計(jì),參與人數(shù)大概在260人-280人左右。
由于有些UG成員比較晚才到車站,因此耽擱了一下,車子到體育中心的時(shí)候已經(jīng)是10點(diǎn)了。趕緊開始UG活動(dòng),作為BEA UserGroup在大學(xué)城的第一次活動(dòng),學(xué)院書記第一個(gè)上場(chǎng)做了祝賀詞,緊接著,BEA市場(chǎng)經(jīng)理Rebecca也上場(chǎng),描述了一下UG的過去以及現(xiàn)在的狀況,Rebecca是能力非常強(qiáng)的女性,很多場(chǎng)合下,她都能將事情Handle得很好。
????????第一個(gè)Speaker是王仲文教授(博導(dǎo)),他研究密碼學(xué)已經(jīng)很長(zhǎng)一段時(shí)間了,我,Burton,Eric都是他的晚輩,王教授參加過很多國(guó)家安全研究項(xiàng)目,作為從事密碼學(xué)的人,王教授有非常嚴(yán)謹(jǐn)?shù)倪壿嫞踅淌谶€負(fù)責(zé)幫中國(guó)公安廳生產(chǎn)UsbKey密匙(電子鑰匙估計(jì)很多人都聽過了吧),之前一個(gè)晚上,王教授陪我們幾個(gè)人吃飯(Rebecca,Eric及其朋友,其中還有從香港趕過來的Matrix創(chuàng)始人Chirs),給我們上了一節(jié)[暗算]的人生課程。王教授主要給大家上了一堂密碼學(xué)課程(我認(rèn)為這是個(gè)位入門信息安全領(lǐng)域的最好的講座)。其實(shí),對(duì)于從事安全領(lǐng)域工作的人,一定要學(xué)習(xí)信息安全標(biāo)準(zhǔn)、法規(guī)和政策,我回家之后把王教授的PPT至少看了3遍了,很多好東西,尤其推薦給那些在政府工作的人看: )。
????????Eric(王志海)是第2個(gè)Speaker,5年前,我跟他在水木清華BBS上大篇幅地討論P(yáng)GP技術(shù)對(duì)中國(guó)信息安全應(yīng)用的影響。Eric還在清華的時(shí)候就建立了openssl.cn,我經(jīng)常問他,Eric這個(gè)英文名是不是跟Eric.Young關(guān)系(Eric.Young是openssl的主要設(shè)計(jì)者,后來投誠(chéng)了RSA),他總是笑而不答。我很想認(rèn)識(shí)這位清華大牛很長(zhǎng)時(shí)間了,事實(shí)上,他已經(jīng)比我想象中要牛,自己創(chuàng)建了明朝萬達(dá)(www.wonder-soft.cn),做了總裁(清華人總是傾向于創(chuàng)業(yè)阿),全國(guó)的分公司都有不少。Eric的Topic主要是PKI,PKI作為現(xiàn)代密碼學(xué)的一個(gè)重要里程碑,跟Diffie Hellman以及RSA有著非常密切的聯(lián)系,如果有機(jī)會(huì)能夠?qū)懸粋€(gè)非對(duì)稱密碼算法而且能成為NIST標(biāo)準(zhǔn),估計(jì)你未來20年的專利費(fèi)不會(huì)少于億計(jì)。作為信息安全大牛,Eric也沒有設(shè)計(jì)過加密算法,但Eric寫過很多Security核心應(yīng)用。他后來還在中科院讀完了博士。Eric博士畢業(yè)后創(chuàng)立的明朝萬達(dá)是一家專業(yè)的網(wǎng)絡(luò)安全產(chǎn)品研發(fā)、生產(chǎn)和銷售單位。Eric的演講我認(rèn)為非常成功,他基本上把整個(gè)PKI標(biāo)準(zhǔn)都粗略地講了一遍,我們受益良多阿。
???????? Eric講完后,我們安排午餐,Eric和王教授有事要先走,我感到無比遺憾,對(duì)于多年仰慕的朋友,似乎沒來得及交流更多,下次去北京一定要安排一個(gè)白板,跟Eric探討3天3夜。
?????????下午是安排了Burton(許伯桐),我,陳渚以及張彥一起演講,Burton和我識(shí)于02年,當(dāng)時(shí)Burton正研究盲簽名和代理簽名,Burton跟我同一個(gè)專業(yè)(信息安全),經(jīng)常一起探究密碼學(xué)理論。我們倆基本上有一個(gè)共同點(diǎn),就是偏向研究密碼協(xié)議。我和Burton都是屬于計(jì)算機(jī)系出身,數(shù)學(xué)(尤其是數(shù)論)是我們最大的理論研究的困難,因此,我們都回避研究密碼算法。密碼算法基本上是依賴于數(shù)學(xué),因此,對(duì)于我們自己,包括所有UG的參與者,關(guān)注的更多是應(yīng)用密碼學(xué)。單純的DES/RSA/MD5對(duì)我們信息安全應(yīng)用意義并不大,很多時(shí)候我們需要的是如何組合這些算法來實(shí)現(xiàn)我們保護(hù)信息的目的。對(duì)不同的應(yīng)用場(chǎng)景,需要我們靈活地組合不同的算法,也許,這種組合可以理解為協(xié)議,協(xié)議是在算法的基礎(chǔ)上的更高層次的應(yīng)用,國(guó)內(nèi)的企業(yè)的信息化步伐還沒有達(dá)到國(guó)外的那種水平,不過隨著電子政務(wù)/電子商務(wù)的不斷發(fā)展,高級(jí)的密碼學(xué)協(xié)議必定會(huì)得到越來越多人的關(guān)注!Burton在會(huì)場(chǎng)上演講的一個(gè)很簡(jiǎn)單的例子,領(lǐng)導(dǎo)出差,一些電子文件需要?jiǎng)e人幫助他簽名,含私鑰的Key不方便給副局長(zhǎng),因?yàn)楦本珠L(zhǎng)可能會(huì)拿他的Key去亂簽一些文件(違背良心的事情Who knows)。這個(gè)時(shí)候,單純的密碼算法解決不了問題,需要一些高級(jí)協(xié)議(Burton舉的例子就是代理簽名協(xié)議)。
?????????我負(fù)責(zé)講Java Security,本來作為UG Leader不應(yīng)該作為Speaker出現(xiàn),但我僅僅想通過一些Example運(yùn)行一下給大家看來讓大家對(duì)Security有一個(gè)感性認(rèn)識(shí),所以也參加了演講。其實(shí),我們并不需要自己實(shí)現(xiàn)任何密碼協(xié)議,Java是一個(gè)好東西,它把一切都封裝的比較完美,用起來都很簡(jiǎn)單。從應(yīng)用的角度出發(fā),我認(rèn)為Java比C/C++更適合于企業(yè)安全應(yīng)用開發(fā),但在核心應(yīng)用如Windows CSP,以及核心協(xié)議如Kerberos,我覺得C/C++更具優(yōu)勢(shì)。在Security的領(lǐng)域,Eric.Young應(yīng)該是C/C++應(yīng)用方面的大牛了,而在Java,清華的宮力應(yīng)該是權(quán)威,宮力作為Sun公司的Security標(biāo)準(zhǔn)制定者,做了Sun工程院院長(zhǎng)都不甘寂寞,最后投奔微軟,不能說不是我們Java人的遺憾。如果你要我選一個(gè)基于J2EE Vendor的Security學(xué)習(xí)曲線,我覺得一個(gè)合理的方式是:理解Sun的Security標(biāo)準(zhǔn),采用BEA的WLES架構(gòu),模仿IBM的Tivoli產(chǎn)品:),從人道主義立場(chǎng)和美學(xué)原則,SUN的標(biāo)準(zhǔn)應(yīng)該得到尊重,BEA Weblogic的SSPI很清晰,擴(kuò)展性很好,新框架的靈活性就是要比其他框架好,IBM的Tivoli做得很完善,當(dāng)然了,收購(gòu)回來的!Tivoli的很多東西都是可以感性模仿的。
??????? 陳渚是BEA廣州的高級(jí)顧問,對(duì)整個(gè)Weblogic體系都有深入的認(rèn)識(shí),Weblogic Security當(dāng)然也有非常深入的認(rèn)識(shí),他的演講帶著幽默,把整個(gè)Weblogic SSPI體系解析的栩栩如生,讓我非常佩服。作為J2EE中間件市場(chǎng)的領(lǐng)導(dǎo)者,BEA并沒有收購(gòu)過任何成熟的安全廠商,因此,BEA的安全框架并不復(fù)雜,學(xué)習(xí)WLES的時(shí)候,總覺得它的思想跟Microsoft的SSPI很相似,也說明了一個(gè)道理,后來居上者在標(biāo)準(zhǔn)選擇上可以更靈活,BEA的WLES,全稱WebLogic Security Engerprise(現(xiàn)在叫做ALES)幾乎支持業(yè)界所有流行的安全協(xié)議,陳渚已經(jīng)提到過一些比較出名的協(xié)議,如SAML,作為Security的學(xué)習(xí)者,我不得不羨慕那些得益于XML, Webservice標(biāo)準(zhǔn)的初學(xué)者,舉個(gè)簡(jiǎn)單的例子,在早期,各種系統(tǒng)之間做集成認(rèn)證或者SSO,代價(jià)是非常大的,那些復(fù)雜的協(xié)議之間本身很難相互理解,因此開發(fā)人員不得不設(shè)計(jì)一些中間模塊來讓他們聯(lián)動(dòng)起來,IBM Tivoli在這方面曾付出了巨大的努力而且非常成熟/成功,然而,它們并非開放標(biāo)準(zhǔn)的主要得益者,得益者是那些遵循開放標(biāo)準(zhǔn)/開放協(xié)議的產(chǎn)品,我經(jīng)常后悔自己花了這么多時(shí)間研究SSO,事實(shí)上,我覺得將來做SSO的人只需要懂得SAML就行了,因?yàn)樗挟a(chǎn)品都會(huì)支持它。
?????? 最后登場(chǎng)的是綠盟廣州總經(jīng)理,張彥,作為一個(gè)精通黑客技術(shù)的人,我覺得也是全天的亮點(diǎn),張彥在中美黑客大戰(zhàn)中扮演調(diào)停者角色,他曾經(jīng)指出,中國(guó)需要的不是低層次的浮躁的黑客,而是潛心研究技術(shù)的人。他作為綠盟的頂級(jí)安全專家,現(xiàn)在正在中國(guó)網(wǎng)絡(luò)安全技術(shù)發(fā)展中扮演舉足輕重的角色。非常感謝張彥為BEA UserGroup帶來的精彩演講和交流!
?????? 會(huì)議結(jié)束后,BEA向華南理工電子商務(wù)學(xué)院捐贈(zèng)了價(jià)值5000元的書籍,我們帶UserGroup成員開車游覽了大學(xué)城,又一次體會(huì)了300億廣州市政工程打來的視覺藝術(shù)震撼。每一次的UserGroup活動(dòng),我們都希望能夠讓UserGroup會(huì)員有新的體會(huì),大學(xué)城之旅讓我們開辟了新的活動(dòng)形式(之前兩次都在酒店舉行)。
??????非常感謝BEA公司對(duì)廣州UserGruop的技術(shù)和資金支持,因?yàn)楸敬位顒?dòng)確實(shí)算是BEA目前為止,全球50多個(gè)UserGroup得到BEA的資助正蓬勃發(fā)展,很多技術(shù)專家不斷將視覺移至Dev2Dev,Dev2dev已經(jīng)成為中國(guó)JavaEE技術(shù)發(fā)展的一個(gè)歷程碑。對(duì)比中國(guó)的其他網(wǎng)站如JavaEye和Matrix,Dev2dev有著強(qiáng)大的技術(shù)和資金支持,預(yù)計(jì)將來可能成為一個(gè)JavaEE的TechCenter(大量的技術(shù)/非技術(shù)的TalkShow),類似Microsoft TechCenter那樣。
??????值得一提的是,從Dev2Dev誕生到現(xiàn)在,已經(jīng)有7個(gè)BEA UserGroup在全國(guó)活躍起來,Dev2Dev的宗旨之一就是增進(jìn)開發(fā)人員之間交流的渠道,BEA UserGroup體現(xiàn)為一種面對(duì)面交流的形式,Dev2Dev論壇為BEA UserGroup提供了討論交流和組織的空間。
????? 已經(jīng)有很多人加入了UserGroup并為UserGroup出謀劃策,本次活動(dòng)得到cyt, simon, sparkle, timiil, unruledboy, yok, ytam, yulimin等UG成員的鼎力支持我們歡迎更多的人加入BEA UserGroup。