BEA广州UserGroup6月3日活动手札

        BEA UserGroup与6月3日在大学城完满结束。这次UG大学城研讨会，要多些两个好朋友Burton(许伯桐)与Eric(王志海)联手策划，作为一次探讨安全技术的会议，这次活动的专家具备相当高的水准，Topic也具有比较高的水准。
那天早上，大约8点45，体育中心东门就已经有不少人在等车，安排UG活动的车共有三部车，早上坐车过去大学城的人大概有120人，自己过去的我统计了一下大概有100人，上午，据非正式统计，参与人数大概在260人-280人左右。
由于有些UG成员比较晚才到车站，因此耽搁了一下，车子到体育中心的时候已经是10点了。赶紧开始UG活动，作为BEA UserGroup在大学城的第一次活动，学院书记第一个上场做了祝贺词，紧接着，BEA市场经理Rebecca也上场，描述了一下UG的过去以及现在的状况，Rebecca是能力非常强的女性，很多场合下，她都能将事情Handle得很好。
        第一个Speaker是王仲文教授（博导），他研究密码学已经很长一段时间了，我，Burton，Eric都是他的晚辈，王教授参加过很多国家安全研究项目，作为从事密码学的人，王教授有非常严谨的逻辑，王教授还负责帮中国公安厅生产UsbKey密匙(电子钥匙估计很多人都听过了吧)，之前一个晚上，王教授陪我们几个人吃饭(Rebecca，Eric及其朋友，其中还有从香港赶过来的Matrix创始人Chirs)，给我们上了一节[暗算]的人生课程。王教授主要给大家上了一堂密码学课程（我认为这是个位入门信息安全领域的最好的讲座）。其实，对于从事安全领域工作的人，一定要学习信息安全标准、法规和政策，我回家之后把王教授的PPT至少看了3遍了，很多好东西，尤其推荐给那些在政府工作的人看: )。
        Eric(王志海)是第2个Speaker，5年前，我跟他在水木清华BBS上大篇幅地讨论PGP技术对中国信息安全应用的影响。Eric还在清华的时候就建立了openssl.cn，我经常问他，Eric这个英文名是不是跟Eric.Young关系（Eric.Young是openssl的主要设计者，后来投诚了RSA），他总是笑而不答。我很想认识这位清华大牛很长时间了，事实上，他已经比我想象中要牛，自己创建了明朝万达(www.wonder-soft.cn)，做了总裁(清华人总是倾向于创业阿)，全国的分公司都有不少。Eric的Topic主要是PKI，PKI作为现代密码学的一个重要里程碑，跟Diffie Hellman以及RSA有着非常密切的联系，如果有机会能够写一个非对称密码算法而且能成为NIST标准，估计你未来20年的专利费不会少于亿计。作为信息安全大牛，Eric也没有设计过加密算法，但Eric写过很多Security核心应用。他后来还在中科院读完了博士。Eric博士毕业后创立的明朝万达是一家专业的网络安全产品研发、生产和销售单位。Eric的演讲我认为非常成功，他基本上把整个PKI标准都粗略地讲了一遍，我们受益良多阿。
         Eric讲完后，我们安排午餐，Eric和王教授有事要先走，我感到无比遗憾，对于多年仰慕的朋友，似乎没来得及交流更多，下次去北京一定要安排一个白板，跟Eric探讨3天3夜。
         下午是安排了Burton（许伯桐），我，陈渚以及张彦一起演讲，Burton和我识于02年，当时Burton正研究盲签名和代理签名，Burton跟我同一个专业（信息安全），经常一起探究密码学理论。我们俩基本上有一个共同点，就是偏向研究密码协议。我和Burton都是属于计算机系出身，数学（尤其是数论）是我们最大的理论研究的困难，因此，我们都回避研究密码算法。密码算法基本上是依赖于数学，因此，对于我们自己，包括所有UG的参与者，关注的更多是应用密码学。单纯的DES/RSA/MD5对我们信息安全应用意义并不大，很多时候我们需要的是如何组合这些算法来实现我们保护信息的目的。对不同的应用场景，需要我们灵活地组合不同的算法，也许，这种组合可以理解为协议，协议是在算法的基础上的更高层次的应用，国内的企业的信息化步伐还没有达到国外的那种水平，不过随着电子政务/电子商务的不断发展，高级的密码学协议必定会得到越来越多人的关注！Burton在会场上演讲的一个很简单的例子，领导出差，一些电子文件需要别人帮助他签名，含私钥的Key不方便给副局长，因为副局长可能会拿他的Key去乱签一些文件(违背良心的事情Who knows)。这个时候，单纯的密码算法解决不了问题，需要一些高级协议（Burton举的例子就是代理签名协议)。
         我负责讲Java Security，本来作为UG Leader不应该作为Speaker出现，但我仅仅想通过一些Example运行一下给大家看来让大家对Security有一个感性认识，所以也参加了演讲。其实，我们并不需要自己实现任何密码协议，Java是一个好东西，它把一切都封装的比较完美，用起来都很简单。从应用的角度出发，我认为Java比C/C++更适合于企业安全应用开发，但在核心应用如Windows CSP，以及核心协议如Kerberos，我觉得C/C++更具优势。在Security的领域，Eric.Young应该是C/C++应用方面的大牛了，而在Java，清华的宫力应该是权威，宫力作为Sun公司的Security标准制定者，做了Sun工程院院长都不甘寂寞，最后投奔微软，不能说不是我们Java人的遗憾。如果你要我选一个基于J2EE Vendor的Security学习曲线，我觉得一个合理的方式是：理解Sun的Security标准，采用BEA的WLES架构，模仿IBM的Tivoli产品:)，从人道主义立场和美学原则，SUN的标准应该得到尊重，BEA Weblogic的SSPI很清晰，扩展性很好，新框架的灵活性就是要比其他框架好，IBM的Tivoli做得很完善，当然了，收购回来的！Tivoli的很多东西都是可以感性模仿的。
        陈渚是BEA广州的高级顾问，对整个Weblogic体系都有深入的认识，Weblogic Security当然也有非常深入的认识，他的演讲带着幽默，把整个Weblogic SSPI体系解析的栩栩如生，让我非常佩服。作为J2EE中间件市场的领导者，BEA并没有收购过任何成熟的安全厂商，因此，BEA的安全框架并不复杂，学习WLES的时候，总觉得它的思想跟Microsoft的SSPI很相似，也说明了一个道理，后来居上者在标准选择上可以更灵活，BEA的WLES,全称WebLogic Security Engerprise(现在叫做ALES)几乎支持业界所有流行的安全协议，陈渚已经提到过一些比较出名的协议，如SAML，作为Security的学习者，我不得不羡慕那些得益于XML, Webservice标准的初学者，举个简单的例子，在早期，各种系统之间做集成认证或者SSO，代价是非常大的，那些复杂的协议之间本身很难相互理解，因此开发人员不得不设计一些中间模块来让他们联动起来，IBM Tivoli在这方面曾付出了巨大的努力而且非常成熟/成功，然而，它们并非开放标准的主要得益者，得益者是那些遵循开放标准/开放协议的产品，我经常后悔自己花了这么多时间研究SSO，事实上，我觉得将来做SSO的人只需要懂得SAML就行了，因为所有产品都会支持它。
       最后登场的是绿盟广州总经理，张彦，作为一个精通黑客技术的人，我觉得也是全天的亮点，张彦在中美黑客大战中扮演调停者角色，他曾经指出，中国需要的不是低层次的浮躁的黑客，而是潜心研究技术的人。他作为绿盟的顶级安全专家，现在正在中国网络安全技术发展中扮演举足轻重的角色。非常感谢张彦为BEA UserGroup带来的精彩演讲和交流！
       会议结束后，BEA向华南理工电子商务学院捐赠了价值5000元的书籍，我们带UserGroup成员开车游览了大学城，又一次体会了300亿广州市政工程打来的视觉艺术震撼。每一次的UserGroup活动，我们都希望能够让UserGroup会员有新的体会，大学城之旅让我们开辟了新的活动形式（之前两次都在酒店举行）。
      非常感谢BEA公司对广州UserGruop的技术和资金支持，因为本次活动确实算是BEA目前为止，全球50多个UserGroup得到BEA的资助正蓬勃发展，很多技术专家不断将视觉移至Dev2Dev，Dev2dev已经成为中国JavaEE技术发展的一个历程碑。对比中国的其他网站如JavaEye和Matrix，Dev2dev有着强大的技术和资金支持，预计将来可能成为一个JavaEE的TechCenter（大量的技术/非技术的TalkShow），类似Microsoft TechCenter那样。
      值得一提的是，从Dev2Dev诞生到现在，已经有7个BEA UserGroup在全国活跃起来，Dev2Dev的宗旨之一就是增进开发人员之间交流的渠道，BEA UserGroup体现为一种面对面交流的形式，Dev2Dev论坛为BEA UserGroup提供了讨论交流和组织的空间。
      已经有很多人加入了UserGroup并为UserGroup出谋划策，本次活动得到cyt, simon, sparkle, timiil, unruledboy, yok, ytam, yulimin等UG成员的鼎力支持我们欢迎更多的人加入BEA UserGroup。