????????BEA UserGroup與6月3日在大學城完滿結束。這次UG大學城研討會,要多些兩個好朋友Burton(許伯桐)與Eric(王志海)聯手策劃,作為一次探討安全技術的會議,這次活動的專家具備相當高的水準,Topic也具有比較高的水準。
那天早上,大約8點45,體育中心東門就已經有不少人在等車,安排UG活動的車共有三部車,早上坐車過去大學城的人大概有120人,自己過去的我統計了一下大概有100人,上午,據非正式統計,參與人數大概在260人-280人左右。
由于有些UG成員比較晚才到車站,因此耽擱了一下,車子到體育中心的時候已經是10點了。趕緊開始UG活動,作為BEA UserGroup在大學城的第一次活動,學院書記第一個上場做了祝賀詞,緊接著,BEA市場經理Rebecca也上場,描述了一下UG的過去以及現在的狀況,Rebecca是能力非常強的女性,很多場合下,她都能將事情Handle得很好。
????????第一個Speaker是王仲文教授(博導),他研究密碼學已經很長一段時間了,我,Burton,Eric都是他的晚輩,王教授參加過很多國家安全研究項目,作為從事密碼學的人,王教授有非常嚴謹的邏輯,王教授還負責幫中國公安廳生產UsbKey密匙(電子鑰匙估計很多人都聽過了吧),之前一個晚上,王教授陪我們幾個人吃飯(Rebecca,Eric及其朋友,其中還有從香港趕過來的Matrix創始人Chirs),給我們上了一節[暗算]的人生課程。王教授主要給大家上了一堂密碼學課程(我認為這是個位入門信息安全領域的最好的講座)。其實,對于從事安全領域工作的人,一定要學習信息安全標準、法規和政策,我回家之后把王教授的PPT至少看了3遍了,很多好東西,尤其推薦給那些在政府工作的人看: )。
????????Eric(王志海)是第2個Speaker,5年前,我跟他在水木清華BBS上大篇幅地討論PGP技術對中國信息安全應用的影響。Eric還在清華的時候就建立了openssl.cn,我經常問他,Eric這個英文名是不是跟Eric.Young關系(Eric.Young是openssl的主要設計者,后來投誠了RSA),他總是笑而不答。我很想認識這位清華大牛很長時間了,事實上,他已經比我想象中要牛,自己創建了明朝萬達(www.wonder-soft.cn),做了總裁(清華人總是傾向于創業阿),全國的分公司都有不少。Eric的Topic主要是PKI,PKI作為現代密碼學的一個重要里程碑,跟Diffie Hellman以及RSA有著非常密切的聯系,如果有機會能夠寫一個非對稱密碼算法而且能成為NIST標準,估計你未來20年的專利費不會少于億計。作為信息安全大牛,Eric也沒有設計過加密算法,但Eric寫過很多Security核心應用。他后來還在中科院讀完了博士。Eric博士畢業后創立的明朝萬達是一家專業的網絡安全產品研發、生產和銷售單位。Eric的演講我認為非常成功,他基本上把整個PKI標準都粗略地講了一遍,我們受益良多阿。
???????? Eric講完后,我們安排午餐,Eric和王教授有事要先走,我感到無比遺憾,對于多年仰慕的朋友,似乎沒來得及交流更多,下次去北京一定要安排一個白板,跟Eric探討3天3夜。
?????????下午是安排了Burton(許伯桐),我,陳渚以及張彥一起演講,Burton和我識于02年,當時Burton正研究盲簽名和代理簽名,Burton跟我同一個專業(信息安全),經常一起探究密碼學理論。我們倆基本上有一個共同點,就是偏向研究密碼協議。我和Burton都是屬于計算機系出身,數學(尤其是數論)是我們最大的理論研究的困難,因此,我們都回避研究密碼算法。密碼算法基本上是依賴于數學,因此,對于我們自己,包括所有UG的參與者,關注的更多是應用密碼學。單純的DES/RSA/MD5對我們信息安全應用意義并不大,很多時候我們需要的是如何組合這些算法來實現我們保護信息的目的。對不同的應用場景,需要我們靈活地組合不同的算法,也許,這種組合可以理解為協議,協議是在算法的基礎上的更高層次的應用,國內的企業的信息化步伐還沒有達到國外的那種水平,不過隨著電子政務/電子商務的不斷發展,高級的密碼學協議必定會得到越來越多人的關注!Burton在會場上演講的一個很簡單的例子,領導出差,一些電子文件需要別人幫助他簽名,含私鑰的Key不方便給副局長,因為副局長可能會拿他的Key去亂簽一些文件(違背良心的事情Who knows)。這個時候,單純的密碼算法解決不了問題,需要一些高級協議(Burton舉的例子就是代理簽名協議)。
?????????我負責講Java Security,本來作為UG Leader不應該作為Speaker出現,但我僅僅想通過一些Example運行一下給大家看來讓大家對Security有一個感性認識,所以也參加了演講。其實,我們并不需要自己實現任何密碼協議,Java是一個好東西,它把一切都封裝的比較完美,用起來都很簡單。從應用的角度出發,我認為Java比C/C++更適合于企業安全應用開發,但在核心應用如Windows CSP,以及核心協議如Kerberos,我覺得C/C++更具優勢。在Security的領域,Eric.Young應該是C/C++應用方面的大牛了,而在Java,清華的宮力應該是權威,宮力作為Sun公司的Security標準制定者,做了Sun工程院院長都不甘寂寞,最后投奔微軟,不能說不是我們Java人的遺憾。如果你要我選一個基于J2EE Vendor的Security學習曲線,我覺得一個合理的方式是:理解Sun的Security標準,采用BEA的WLES架構,模仿IBM的Tivoli產品:),從人道主義立場和美學原則,SUN的標準應該得到尊重,BEA Weblogic的SSPI很清晰,擴展性很好,新框架的靈活性就是要比其他框架好,IBM的Tivoli做得很完善,當然了,收購回來的!Tivoli的很多東西都是可以感性模仿的。
??????? 陳渚是BEA廣州的高級顧問,對整個Weblogic體系都有深入的認識,Weblogic Security當然也有非常深入的認識,他的演講帶著幽默,把整個Weblogic SSPI體系解析的栩栩如生,讓我非常佩服。作為J2EE中間件市場的領導者,BEA并沒有收購過任何成熟的安全廠商,因此,BEA的安全框架并不復雜,學習WLES的時候,總覺得它的思想跟Microsoft的SSPI很相似,也說明了一個道理,后來居上者在標準選擇上可以更靈活,BEA的WLES,全稱WebLogic Security Engerprise(現在叫做ALES)幾乎支持業界所有流行的安全協議,陳渚已經提到過一些比較出名的協議,如SAML,作為Security的學習者,我不得不羨慕那些得益于XML, Webservice標準的初學者,舉個簡單的例子,在早期,各種系統之間做集成認證或者SSO,代價是非常大的,那些復雜的協議之間本身很難相互理解,因此開發人員不得不設計一些中間模塊來讓他們聯動起來,IBM Tivoli在這方面曾付出了巨大的努力而且非常成熟/成功,然而,它們并非開放標準的主要得益者,得益者是那些遵循開放標準/開放協議的產品,我經常后悔自己花了這么多時間研究SSO,事實上,我覺得將來做SSO的人只需要懂得SAML就行了,因為所有產品都會支持它。
?????? 最后登場的是綠盟廣州總經理,張彥,作為一個精通黑客技術的人,我覺得也是全天的亮點,張彥在中美黑客大戰中扮演調停者角色,他曾經指出,中國需要的不是低層次的浮躁的黑客,而是潛心研究技術的人。他作為綠盟的頂級安全專家,現在正在中國網絡安全技術發展中扮演舉足輕重的角色。非常感謝張彥為BEA UserGroup帶來的精彩演講和交流!
?????? 會議結束后,BEA向華南理工電子商務學院捐贈了價值5000元的書籍,我們帶UserGroup成員開車游覽了大學城,又一次體會了300億廣州市政工程打來的視覺藝術震撼。每一次的UserGroup活動,我們都希望能夠讓UserGroup會員有新的體會,大學城之旅讓我們開辟了新的活動形式(之前兩次都在酒店舉行)。
??????非常感謝BEA公司對廣州UserGruop的技術和資金支持,因為本次活動確實算是BEA目前為止,全球50多個UserGroup得到BEA的資助正蓬勃發展,很多技術專家不斷將視覺移至Dev2Dev,Dev2dev已經成為中國JavaEE技術發展的一個歷程碑。對比中國的其他網站如JavaEye和Matrix,Dev2dev有著強大的技術和資金支持,預計將來可能成為一個JavaEE的TechCenter(大量的技術/非技術的TalkShow),類似Microsoft TechCenter那樣。
??????值得一提的是,從Dev2Dev誕生到現在,已經有7個BEA UserGroup在全國活躍起來,Dev2Dev的宗旨之一就是增進開發人員之間交流的渠道,BEA UserGroup體現為一種面對面交流的形式,Dev2Dev論壇為BEA UserGroup提供了討論交流和組織的空間。
????? 已經有很多人加入了UserGroup并為UserGroup出謀劃策,本次活動得到cyt, simon, sparkle, timiil, unruledboy, yok, ytam, yulimin等UG成員的鼎力支持我們歡迎更多的人加入BEA UserGroup。