BGP安全之争(1) – 牛人的登场
作者 appleleaf | 2010-02-24 02:33 | 类型 专题分析, 网络安全 | 7条用户评论 »
路由是IETF镇宅之宝,BGP又是其中的定海神针,其安全的重要性自然不在话下。IETF为此专门成立了一个工作组 – RPSEC(Routing Protocol Security Requirements) 关注于路由协议的安全威胁的分析以及安全需求文档的制定。但是折腾了几年在08年concluded了。仅仅搞出来了一篇RFC-Generic Threats to Routing Protocols (RFC 4593)以及一篇无疾而终的draft-BGP Security Requirements。 l Stephen T. Kent 其实在伟大的Y. Rekhter(路由界的不二大牛,Juniper的Fellow,70+ RFC的Author及Co-Author)和天才路由小子Tony Li制定BGP4协议不久,就有人关注了BGP的安全问题且提出了解决方案。 其一就是Stephen T. Kent,“BBN Technical”information security域的首席科学家。BBN 这个公司,在国内少有人知,专注于research,对外出售Idea, consulting,创新的产品等。因此大脑是该公司的最珍贵的资源,其雇佣的员工很多都是牛人。该公司的产品主要是一堆书,一堆paper,一堆专利,一堆软件和prototype等等。这样类型的公司不知道在国内是否存在。 大家看看BBN是怎么卖东西的: #1979 BBN sells Telenet to GTE for $10M #1993 BBN sells SimNet to Loral for $6M #1994 BBN participates in sale of Lightstream to Cisco for $120M #1996 BBN sells majority interest in Domain Solutions for $36M #1997 BBN sold to GTE for $616M #2000 BBN sells Cybertrust to Baltimore Technologies for $150M …… Steve应该只是其中一个子部门(information security)的首席(比陈首席还差一点)。 BBN似乎还有其他部门同军方有关,做一些军用产品研究。 Steve其主要作品有如下一票RFC: [RFC 1108] U.S. Department of Defense Security Options for the Internet Protocol. [RFC 1114] Privacy Enhancement for Internet Electronic Mail: Part II — Certificate-Based Key Management. [RFC 1422] Privacy Enhancement for Internet Electronic Mail: Part II: Certificate-Based Key Management. [RFC 1430] A Strategic Plan for Deploying an Internet X.500 Directory Service. [RFC 2401] Security Architecture for the Internet Protocol. [RFC 2402] IP Authentication Header. [RFC 2406] IP Encapsulating Security Payload (ESP). [RFC 2410] The NULL Encryption Algorithm and Its Use With IPsec. [RFC 3779] X.509 Extensions for IP Addresses and AS Identifiers. [RFC 4301] Security Architecture for the Internet Protocol. [RFC 4302] IP Authentication Header. [RFC 4303] IP Encapsulating Security Payload (ESP). [RFC 4304] Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP). 其中的IPSEC系列作品搞VPN的兄弟应该是不断参考了吧,RFC2401是我这个外行耳朵都听的起茧子的RFC了,这老兄是其唯一作者。这老兄还是VoIP安全专家。在写Paper,RFC工作之余,Steve还兼顾管理工作,是IETF安全域数个重要工作组(pem,pkix)的chair以及IRTF Privacy and Security研究组的chair。1983到1995 Steve是IAB(Internet Architecture Board)的成员,可以参照http://www.iab.org/about/history.html。IAB或许很多人不了解,其实就是Internet的架构委员会,是IETF/IRTF的首脑之地,全世界总计就10几个人,只有无敌大牛才能入选,我们华人中有幸有Lixia Zhang教授(刚才我的输入法首先蹦出了“叫兽”二字,不过这次不敢造次了)入选。 Steve较早提出了BGP的安全解决方案 – Secure BGP Project (S-BGP) http://www.ir.bbn.com/sbgp/。 l Russ White Russ White是Cisco的路由协议设计架构组的Architect. 前面提到的IETF RPSEC (Routing Protocols Security) working group的co-chair,一堆图书的作者。 主要作品有: 还有另外一票的图书可以在亚马逊找到,称得上是著作等身。 Russ提出了SoBGP (Secure Origin BGP)– http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_6-3/securing_bgp_sobgp.html 当然还有很多其他的解决方案。 | |
推荐传输所何博士的blog
作者 陈怀临 | 2010-02-23 18:58 | 类型 人物评述, 国内名师 | 6条用户评论 »
【陈怀临注:这是荣贝勒提交的文章。因为不是一个文章,更接近是一个通告,我把作者改成我自己了。换言之,克扣了荣弟的50股原始股。我下星期当面与他道歉。】 抱歉,可能这个帖子发出来很多朋友会认为是个广告帖子,如果这样认为了,我也没有办法了。 何宝宏博士是传输所的互联网多媒体研究室的主任,别的tittle,就去网上找吧。他是我们报纸的忠实读者,原来我做评测和做报道的时候,打过交道。他最大的优点就如其blog签名,”在电信行业做互联网研究,拿互联网的那点知识忽悠电信专家,拿电信的那点知识忽悠互联网专家。三网融合日益明显,还在两边混饭吃,越来越难了”。这个说法有些自嘲了。 何博士的blog写得非常好,而且很勤奋,不时就会更新,比我的blog更新要频繁多了。文章不长,诙谐幽默,特别是开阔眼界,看后也让人回味。我经常回去看看,特别是不怎么做技术报道和评测工作之后,特别珍惜去看何博士的blog。 对于很多弯曲评论的读者,我要推荐何博士的博客。原因是什么呢?我发现这里做一线的产品设计的朋友特别多,很多人都很出色,很勤奋,花很多精力在底层的研究,精益求精的。但是不时的浮上水面,或者站到高处看看也对大家帮助会大些。过去做测试的时候和传输所的朋友打交道不少,开始的时候就爱给做具体工作的工程师打电话,问参数怎么设置合理,怎么做一个具体的测试更好。但是,渐渐的发现还有更多的东西应该课余去关心。 何博士的blog地址是ipbaobao.blog.sohu.com。 推荐最近几篇blog:互联网将现完美风暴式灾难? 置于是否以后何博士能够也在弯曲写东西,就看缘分了。 | |
国际核聚变实验反应堆-ITER
作者 杰夫 | 2010-02-23 15:24 | 类型 专题分析, 新兴技术 | 7条用户评论 »
Internet互联网的Bin Bang-第一次连接
作者 陈怀临 | 2010-02-23 07:55 | 类型 科技普及 | 12条用户评论 »
【陈怀临注:这是Leonard Kleinrock讲述的互联网的第一次连接的视频。第一次连接发生在1969年10月29,UCLA Kleinrock实验室和SRI的Douglas Engelbart实验室。Doug也是鼠标发明人并以此获得图灵奖。陈首席在SRI供职N年,据爱之,也讨厌之。】 | |
CPU体系结构的演变
作者 coder | 2010-02-23 07:21 | 类型 专题分析, 芯片技术, 行业动感 | 6条用户评论 »
【编者注:这些技术体系结构图非常值得点击放大,并思考。是一个非常不错的对CPU体系结构演变的概括。并对各大公司这些年来的走向做了一个很好的概括。】 从这些图片中我们可以清楚的看到CPU[SERVER & DESKTOP] 这些年的走势。全部开始了multi-core [CMP] ,进而全部将MEMORY CONTROLLER 整合到CPU里边。当然RISC OR CISC 已经不再重要。John Hennessy & David Patterson 早已成功改变CPU世界。另外除了AMD没有采取任何MT之外,INTEL X86是HT(SMT)回归。POWER依然SMT,IA64和SUN SPARC是 CMT。 当然最早折腾SMT的是ALPHA。虽然ALPHA在07年彻底的退出舞台,但是我们能从下边的图中看到他对其他CPU的影响。[鬼谷的同学来八卦一下他们的人之前混乱的关系和历史吧]。目前45NM工艺下还是 area-limited, 但是到了11NM工艺,CPU应该会成为power & memory & software limited. 如果CPU变成了 replace market的话…….. 阅读全文» | |
微软展望2019科技
作者 陈怀临 | 2010-02-22 21:06 | 类型 行业动感 | 1条用户评论 »
OSPF协议详述
作者 cs-cisco | 2010-02-22 06:45 | 类型 专题分析, 通讯产品 | 24条用户评论 »
OSPF协议详述 概述 * Version number-定义所采用的OSPF路由协议的版本。 * Type-定义OSPF数据包类型。OSPF数据包共有五种。 * Hello-用于建立和维护相邻的两个OSPF路由器的关系,该数据包是周期性地发送的。 * Database Description-用于描述整个数据库,该数据包仅在OSPF初始化时发送。 * Link state request-用于向相邻的OSPF路由器请求部分或全部的数据,这种数据包是在当路由器发现其数据已经过期时才发送的。 * Link state update-这是对link state请求数据包的响应,即通常所说的LSA数据包。 * Link state acknowledgment-是对LSA数据包的响应。 * Packet length-定义整个数据包的长度。 * Router ID-用于描述数据包的源地址,以IP地址来表示。 * Area ID-用于区分OSPF数据包属于的区域号,所有的OSPF数据包都属于一个特定的OSPF区域。 * Checksum-校验位,用于标记数据包在传递时有无误码。 * Authentication type-定义OSPF验证类型。 * Authentication-包含OSPF验证信息,长为8个字节。 OSPF基本算法: | |
大家参与,共有弯曲
作者 弯曲评论 | 2010-02-21 17:15 | 类型 站务日志 | 120条用户评论 »
一谈到信息论,大家就想起香农同学。其实“信息”这个词不是翻译自西洋文也不是引进自东洋文。唐代诗人李中的《暮春怀故人》中有这么一句:“梦断美人沈信息,目穿长路倚楼台。”不能不感叹我朝文化源远流长啊。清华电子系信息论课程,老先生第一课讲的就是这个词的典故。 由信息论引出的问题是,弯曲评论最大的信息来自哪里?恐怕大家都不会否认,来自“论”。这个论,可以是作者直笔论道,也可以是读者曲笔辩道。作者发文,引发大家评论;大家论得尽兴了,就会产生火花和新课题、新文章、新方向。 自从2008年1月28日弯曲评论诞生以来,对创办人而言,在这里每天耕耘浇水,享受的是天道酬勤之乐。而弯曲评论的众多用户除了奉献字字珠玑的评论,越来越多的读者们也拿起笔为弯网码文章,成为弯曲评论的作者。弯曲评论的蓬勃发展和日益精彩,离不开社区朋友的积极参与,添砖加瓦。 众人拾柴火焰高。我们希望弯曲评论成为一个社区拥有、社区评论、社区得益的优秀中文科技平台。为此,作为虎年的第一个重大举措,弯网推出计划,热切希望大家参与,共同拥有弯曲评论,成为弯曲评论控股人。 具体而言,弯曲评论总股本为100万股,其中20%,也就是20万股,将拿出专门用于配发给社区朋友们。原则是,每篇经编辑审核校对发表的文章将为作者获得弯曲评论50股的原始股股份。 我们新建了这个页面来统计作者们的发文数量和股份数量。请大家告诉大家。有了您的参与,我们才能共同拥有一个精彩的弯曲。关于如何成为弯曲评论的作者,请参阅:撰稿与建议。 | |
工具箱
本文链接 |
|
打印此页 | 120条用户评论 »
弯曲评论“济饥赈贫大米捐献”计划总结
作者 弯曲评论 | 2010-02-21 16:28 | 类型 站务日志 | Comments Off
从2008年3月24日开始,对于读者的每一次访问,弯曲评论会通过联合国世界粮食计划署的全球项目(UN World Food Program)捐献一粒大米。对于包括弯曲评论编辑在内的所有用户,每发表一篇文章,弯曲评论会捐献一百粒大米。 感谢广大作者和读者的支持,到目前为止,应捐献的大米数为204200粒,折合大约28磅,市价约为20美元左右。由于采用的计数软件产生大量临时文件,有时会引起服务器Quota超标故障,因此它可能存在漏记现象。所以,我们决定向联合国世界粮食计划署捐献100美元(指定专款用于亚太地区),为减少全球饥饿人口贡献一点儿微薄之力,也献上来自弯网父老乡亲们的一份心意。 再次谢谢大家。 附:点击这里查看弯曲评论捐款世界粮食计划署发票(PDF 文件)。 | |
内置处理器和1G闪存 多功能SIM展示
作者 陈怀临 | 2010-02-21 11:07 | 类型 行业动感 | 6条用户评论 »