分享

路由是IETF镇宅之宝，BGP又是其中的定海神针，其安全的重要性自然不在话下。IETF为此专门成立了一个工作组 – RPSEC(Routing Protocol Security Requirements) 关注于路由协议的安全威胁的分析以及安全需求文档的制定。但是折腾了几年在08年concluded了。仅仅搞出来了一篇RFC-Generic Threats to Routing Protocols (RFC 4593)以及一篇无疾而终的draft-BGP Security Requirements。

l Stephen T. Kent

其实在伟大的Y. Rekhter（路由界的不二大牛，Juniper的Fellow，70+ RFC的Author及Co-Author）和天才路由小子Tony Li制定BGP4协议不久，就有人关注了BGP的安全问题且提出了解决方案。

其一就是Stephen T. Kent，“BBN Technical”information security域的首席科学家。BBN 这个公司，在国内少有人知，专注于research，对外出售Idea, consulting，创新的产品等。因此大脑是该公司的最珍贵的资源，其雇佣的员工很多都是牛人。该公司的产品主要是一堆书，一堆paper，一堆专利，一堆软件和prototype等等。这样类型的公司不知道在国内是否存在。

大家看看BBN是怎么卖东西的：

#1979 BBN sells Telenet to GTE for $10M

#1993 BBN sells SimNet to Loral for $6M

#1994 BBN participates in sale of Lightstream to Cisco for $120M

#1996 BBN sells majority interest in Domain Solutions for $36M

#1997 BBN sold to GTE for $616M

#2000 BBN sells Cybertrust to Baltimore Technologies for $150M

……

Steve应该只是其中一个子部门（information security）的首席（比陈首席还差一点）。

BBN似乎还有其他部门同军方有关，做一些军用产品研究。

Steve其主要作品有如下一票RFC：

[RFC 1108] U.S. Department of Defense Security Options for the Internet Protocol.

[RFC 1114] Privacy Enhancement for Internet Electronic Mail: Part II — Certificate-Based Key Management.

[RFC 1422] Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management.

[RFC 1430] A Strategic Plan for Deploying an Internet X.500 Directory Service.

[RFC 2401] Security Architecture for the Internet Protocol.

[RFC 2402] IP Authentication Header.

[RFC 2406] IP Encapsulating Security Payload (ESP).

[RFC 2410] The NULL Encryption Algorithm and Its Use With IPsec.

[RFC 3779] X.509 Extensions for IP Addresses and AS Identifiers.

[RFC 4301] Security Architecture for the Internet Protocol.

[RFC 4302] IP Authentication Header.

[RFC 4303] IP Encapsulating Security Payload (ESP).

[RFC 4304] Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP).

其中的IPSEC系列作品搞VPN的兄弟应该是不断参考了吧，RFC2401是我这个外行耳朵都听的起茧子的RFC了，这老兄是其唯一作者。这老兄还是VoIP安全专家。在写Paper，RFC工作之余，Steve还兼顾管理工作，是IETF安全域数个重要工作组（pem，pkix）的chair以及IRTF Privacy and Security研究组的chair。1983到1995 Steve是IAB（Internet Architecture Board）的成员，可以参照http://www.iab.org/about/history.html。IAB或许很多人不了解，其实就是Internet的架构委员会，是IETF/IRTF的首脑之地，全世界总计就10几个人，只有无敌大牛才能入选，我们华人中有幸有Lixia Zhang教授（刚才我的输入法首先蹦出了“叫兽”二字，不过这次不敢造次了）入选。

Steve较早提出了BGP的安全解决方案 – Secure BGP Project (S-BGP) http://www.ir.bbn.com/sbgp/。

l Russ White

Russ White是Cisco的路由协议设计架构组的Architect. 前面提到的IETF RPSEC （Routing Protocols Security） working group的co-chair，一堆图书的作者。

主要作品有：

还有另外一票的图书可以在亚马逊找到，称得上是著作等身。

Russ提出了SoBGP （Secure Origin BGP）–

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_6-3/securing_bgp_sobgp.html

当然还有很多其他的解决方案。

分享

分享

【陈怀临注：这是荣贝勒提交的文章。因为不是一个文章，更接近是一个通告，我把作者改成我自己了。换言之，克扣了荣弟的50股原始股。我下星期当面与他道歉。】

抱歉，可能这个帖子发出来很多朋友会认为是个广告帖子，如果这样认为了，我也没有办法了。

何宝宏博士是传输所的互联网多媒体研究室的主任，别的tittle，就去网上找吧。他是我们报纸的忠实读者，原来我做评测和做报道的时候，打过交道。他最大的优点就如其blog签名，”在电信行业做互联网研究，拿互联网的那点知识忽悠电信专家，拿电信的那点知识忽悠互联网专家。三网融合日益明显，还在两边混饭吃，越来越难了”。这个说法有些自嘲了。

何博士的blog写得非常好，而且很勤奋，不时就会更新，比我的blog更新要频繁多了。文章不长，诙谐幽默，特别是开阔眼界，看后也让人回味。我经常回去看看，特别是不怎么做技术报道和评测工作之后，特别珍惜去看何博士的blog。

对于很多弯曲评论的读者，我要推荐何博士的博客。原因是什么呢？我发现这里做一线的产品设计的朋友特别多，很多人都很出色，很勤奋，花很多精力在底层的研究，精益求精的。但是不时的浮上水面，或者站到高处看看也对大家帮助会大些。过去做测试的时候和传输所的朋友打交道不少，开始的时候就爱给做具体工作的工程师打电话，问参数怎么设置合理，怎么做一个具体的测试更好。但是，渐渐的发现还有更多的东西应该课余去关心。

何博士的blog地址是ipbaobao.blog.sohu.com。

推荐最近几篇blog：互联网将现完美风暴式灾难？

openid向我们走来

置于是否以后何博士能够也在弯曲写东西，就看缘分了。

分享

分享

      最近几天石油价格又开始上扬，引起各方广泛关注。当前石油价格的微小波动都会对世界经济带来巨大影响，可见能源在当今世界的重要性。利用可再生能源替代石油和煤炭等化石能源的研究，已经进行了几十年，但目前化石能源的主导地位并未改变。水能和风能具有一定的不稳定性，太阳能目前成本较高，核裂变电站会产生放射性废料，很难处理。除了这些以外，还有一种目前处于研究阶段的新能源，核聚变（Fusion）能源。

      核聚变可以产生巨大的能量，这一点几十年前氢弹的成功爆炸已经证明。但要用核聚变反应来发电，就需要建设可控的核聚变反应堆。现在国际上最通用的可控核聚变反应装置叫做Tokamak（托卡马克）装置（见题图），它是一种利用磁约束来实现受控核聚变的环性容器，由前苏联科学家在1950年代发明。

      核聚变的反应温度可以高达上亿度，如此高的温度所有固体都气化了。所以，Tokamak装置是用一个强磁场来约束反应物质的。它的中央是一个像轮胎一样的环形真空室，外面缠绕着多组（超导）线圈，通电后，在中心真空室内形成磁场，将其中进行核聚变反应的等离子体约束住，并使其与外界尽可能地绝热。核聚变反应并不能直接发电，但它可以和核裂变反应一样，利用反应产生的热量把水变成水蒸气，再推动气轮机发电。

      核聚变使用的原料是氢的同位素氘（Deiterium）和氚（Tritium），反应后形成氦气（Helium），并释放能量。核聚变原料充足，氘、氚可从海水中大量提取，它也不产生CO2等温室气体及高放射性核废料（氦气是一种惰性气体），因此，它是未来人类新能源的希望所在。一旦核聚变发电取得成功，就可以解决人类绝大多数的能源需求。

      不过，世上没有免费的午餐， 实现商用核聚变电站还有很长的路要走，还需要巨量的投资。目前世界各国建有多个Tokamak实验装置，像美国的TFTR，欧洲的JET，苏联的T-15，和日本的JT-60。中国也有两个，中科院在合肥有一个，叫做EAST（Experimental Advanced Superconducting Tokamak，先进超导托卡马克实验装置），清华大学在北京也有一个，和中科院合建，叫做SUNIST（Sino-UNIted Spherical Tokamak，中国联合球形托卡马克）。

      各国的Tokamak装置都可以进行核聚变反应并释放能量，但也都有一个同样的问题，那就是输出的能量小于输入的能量，是个赔本儿的买卖。目前核聚变反应堆产生能量的最高纪录由位于英国的JET（Joint European Torus）保持（题图是JET内部结构），它的纪录是1600万瓦，持续时间不到1秒钟。要想实现输出能量大于输入，就必须把反应堆再做大，这就需要本文说的ITER登场了。

       ITER在现有技术的基础上，把反应堆的规模放大几倍，目的是要实现能量输出为正，为商用电站的建设做准备。此项目预期将持续30年，10年建设，20年用于操作。 2005年，参加ITER项目的欧盟、美国、中国、日本、韩国、俄罗斯和印度７方签署协议，正式开始ITER的建设。日本和法国在选址问题上争执多年，都想建在自己的一亩三分地，最后法国胜出，ITER将落户于法国南部的卡达拉舍市（Cadarache，在马赛附近，见左图）。 在费用上，欧盟出资50%，其他各国每人出10%（多出的10%备用）。初期的预算是50亿欧元，但这种事儿预算超标是一定的，现在的预算是100亿欧元，预计建成时间是2018年。

      ITER的名字指的是“International Thermonuclear Experimental Reactor”，不过其中的Thermonuclear （热核）一词比较吓人，加上再有一个“Experimental”，胆大的人听了都有点受不了。所以，现在就叫ITER了，号称“ｉｔｅｒ”这个词来源于拉丁文，含义是“journey”，“direction”，“way“，总之都是美好的东东。前面说过，JET可产生1600万瓦能量，持续1秒钟。与之相比较，ITER可产生5亿瓦，持续500秒，同时能量的输出/输入比是10。

      如果ITER试验成功，下一步商用核聚变电站将马上开建，预计2040年建成。一切顺利的话，到时候，人类面临的能源危机，气候变暖等重大问题就会迎刃而解。不过科学研究从来不会一帆风顺，再加上50年，估计本世纪末以前，商用核聚变电站可望成为现实。当然，你我可能看不到那一天了。

进一步阅读：

Wikipedia ITER

Wikepedia JET

分享

分享

【陈怀临注：这是Leonard Kleinrock讲述的互联网的第一次连接的视频。第一次连接发生在1969年10月29，UCLA Kleinrock实验室和SRI的Douglas Engelbart实验室。Doug也是鼠标发明人并以此获得图灵奖。陈首席在SRI供职N年，据爱之，也讨厌之。】

分享

分享

【编者注：这些技术体系结构图非常值得点击放大，并思考。是一个非常不错的对CPU体系结构演变的概括。并对各大公司这些年来的走向做了一个很好的概括。】
下面这些图片是摘自一个台湾科技新闻工作者的BLOG：三太子上身的痴汉水球。由于墙内的同学不太容易访问，所以我上传几个CPU的图片。

从这些图片中我们可以清楚的看到CPU［SERVER ＆ DESKTOP] 这些年的走势。全部开始了multi-core [CMP] ，进而全部将MEMORY CONTROLLER 整合到CPU里边。当然RISC OR CISC 已经不再重要。John Hennessy & David Patterson 早已成功改变CPU世界。另外除了AMD没有采取任何MT之外，INTEL X86是HT（SMT）回归。POWER依然SMT，IA64和SUN SPARC是 CMT。  当然最早折腾SMT的是ALPHA。虽然ALPHA在07年彻底的退出舞台，但是我们能从下边的图中看到他对其他CPU的影响。［鬼谷的同学来八卦一下他们的人之前混乱的关系和历史吧］。目前45NM工艺下还是 area-limited, 但是到了11NM工艺，CPU应该会成为power & memory & software limited. 如果CPU变成了 replace market的话……..

向失败者致敬

AMD X86的历史演变

INTEL X86

INTEL IA64

分享

分享

OSPF协议详述

概述
　　OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。在这里，路由域是指一个自治系统（AutonomousSystem），即AS，它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。
　　作为一种链路状态的路由协议，OSPF将链路状态广播数据包文LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。
　　数据包格式：
　　在OSPF路由协议的数据包中，其数据包头长为24个字节，包含如下8个字段：

　　* Version number-定义所采用的OSPF路由协议的版本。

　　* Type-定义OSPF数据包类型。OSPF数据包共有五种。

　　* Hello-用于建立和维护相邻的两个OSPF路由器的关系，该数据包是周期性地发送的。

　　* Database Description-用于描述整个数据库，该数据包仅在OSPF初始化时发送。

　　* Link state request-用于向相邻的OSPF路由器请求部分或全部的数据，这种数据包是在当路由器发现其数据已经过期时才发送的。

　　* Link state update-这是对link state请求数据包的响应，即通常所说的LSA数据包。

　　* Link state acknowledgment-是对LSA数据包的响应。

　　* Packet length-定义整个数据包的长度。

　　* Router ID-用于描述数据包的源地址，以IP地址来表示。

　　* Area ID-用于区分OSPF数据包属于的区域号，所有的OSPF数据包都属于一个特定的OSPF区域。

　　* Checksum-校验位，用于标记数据包在传递时有无误码。

　　* Authentication type-定义OSPF验证类型。

　　* Authentication-包含OSPF验证信息，长为8个字节。

OSPF基本算法：
　　SPF算法及最短路径树
　　SPF算法是OSPF路由协议的基础。SPF算法有时也被称为Dijkstra算法，这是因为最短路径优先算法SPF是Dijkstra发明的（http://en.wikipedia.org/wiki/Edsger_W._Dijkstra）。SPF 算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统一的数据库会计算出路由域的拓扑结构图，该结构图类似于一棵树，在SPF算法中，被称为最短路径树。在OSPF路由协议中，最短路径树的树干长度，即OSPF路由器至每一个目的地路由器的距离，称为OSPF 的Cost，其算法为：
　　Cost = 100×10^6/链路带宽
　　在这里，链路带宽以bps来表示。也就是说，OSPF的Cost 与链路的带宽成反比，带宽越高，Cost越小，表示OSPF到目的地的距离越近。举例来说，FDDI或快速以太网的Cost为1，2M串行链路的Cost为48，10M以太网的Cost为10等。
　
  　链路状态算法：
　　作为一种典型的链路状态的路由协议，OSPF还得遵循链路状态路由协议的统一算法。链路状态的算法非常简单，在这里将链路状态算法概括为以下四个步骤：
　　1、 当路由器初始化或当网络结构发生变化（例如增减路由器，链路状态发生变化等）时，路由器会产生链路状态广播数据包LSA（Link-StateAdvertisement），该数据包里包含路由器上所有相连链路，也即为所有端口的状态信息。
　　2、 所有路由器会通过一种被称为泛洪（Flooding）的方法来交换链路状态数据。Flooding是指路由器将其LSA数据包传送给所有与其相邻的OSPF路由器，相邻路由器根据其接收到的链路状态信息更新自己的数据库，并将该链路状态信息转送给与其相邻的路由器，直至稳定的一个过程。
　　3、 当网络重新稳定下来，也可以说OSPF路由协议收敛下来时，所有的路由器会根据其各自的链路状态信息数据库计算出各自的路由表。该路由表中包含路由器到每一个可到达目的地的Cost以及到达该目的地所要转发的下一个路由器（next-hop）。
　　4、 第4个步骤实际上是指OSPF路由协议的一个特性。当网络状态比较稳定时，网络中传递的链路状态信息是比较少的，或者可以说，当网络稳定时，网络中是比较安静的。这也正是链路状态路由协议区别与距离矢量路由协议的一大特点。
阅读全文»

分享

分享

一谈到信息论，大家就想起香农同学。其实“信息”这个词不是翻译自西洋文也不是引进自东洋文。唐代诗人李中的《暮春怀故人》中有这么一句：“梦断美人沈信息，目穿长路倚楼台。”不能不感叹我朝文化源远流长啊。清华电子系信息论课程，老先生第一课讲的就是这个词的典故。

由信息论引出的问题是，弯曲评论最大的信息来自哪里？恐怕大家都不会否认，来自“论”。这个论，可以是作者直笔论道，也可以是读者曲笔辩道。作者发文，引发大家评论；大家论得尽兴了，就会产生火花和新课题、新文章、新方向。

自从2008年1月28日弯曲评论诞生以来，对创办人而言，在这里每天耕耘浇水，享受的是天道酬勤之乐。而弯曲评论的众多用户除了奉献字字珠玑的评论，越来越多的读者们也拿起笔为弯网码文章，成为弯曲评论的作者。弯曲评论的蓬勃发展和日益精彩，离不开社区朋友的积极参与，添砖加瓦。

众人拾柴火焰高。我们希望弯曲评论成为一个社区拥有、社区评论、社区得益的优秀中文科技平台。为此，作为虎年的第一个重大举措，弯网推出计划，热切希望大家参与，共同拥有弯曲评论，成为弯曲评论控股人。

具体而言，弯曲评论总股本为100万股，其中20%，也就是20万股，将拿出专门用于配发给社区朋友们。原则是，每篇经编辑审核校对发表的文章将为作者获得弯曲评论50股的原始股股份。

我们新建了这个页面来统计作者们的发文数量和股份数量。请大家告诉大家。有了您的参与，我们才能共同拥有一个精彩的弯曲。关于如何成为弯曲评论的作者，请参阅：撰稿与建议。

分享

分享

从2008年3月24日开始，对于读者的每一次访问，弯曲评论会通过联合国世界粮食计划署的全球项目（UN World Food Program）捐献一粒大米。对于包括弯曲评论编辑在内的所有用户，每发表一篇文章，弯曲评论会捐献一百粒大米。

感谢广大作者和读者的支持，到目前为止，应捐献的大米数为204200粒，折合大约28磅，市价约为20美元左右。由于采用的计数软件产生大量临时文件，有时会引起服务器Quota超标故障，因此它可能存在漏记现象。所以，我们决定向联合国世界粮食计划署捐献100美元（指定专款用于亚太地区），为减少全球饥饿人口贡献一点儿微薄之力，也献上来自弯网父老乡亲们的一份心意。

再次谢谢大家。

附：点击这里查看弯曲评论捐款世界粮食计划署发票（PDF 文件）。

分享