分享

作者简介：cjacker，Magic Linux创始人，曾担任红旗Linux桌面版负责人，目前已离开红旗。此文是本站文章《功与罪：写在中科红旗大厦将倾之际》的续集。原文可参阅：http://www.linuxeden.com/html/news/20140101/147093.html

1,文中的“你”指的是所有能读到此文并对红旗抱有偏见的人。
2,编辑过了，里面除公众人物外不出现人名。

1，不遵守GPL。
4.0之前的版本我记得是有源代码下载的，好象是在红旗官方网站的一个页面里面，不太好找。
但源代码的发布貌似晚于1个release。也就是发新版的时候提供上一个版本的源代码。

之所以之前不发布源代码的原因也比较简单：
1），工程管理的质量跟不上去，做系统很简单，做操作系统产品就没那么简单了，工程管理的质量上不去，直接导致了种种混乱。
2），藏私，那时候的红旗总觉得自己作了点自己的东西就了不起，有特色，不希望别人能尽快拿到源代码。这个你也不用指责红旗，CentOS早就说了，它用红帽的软件包编出来的东西性能上就是跟红帽有差异，具体为什么，你要去问红帽。

源代码的同步发布和工程管理，确实是在我去了红旗之后不断的有所好转（倒不是我做了多少事情，而是我本来是从社区进入红旗的，很多思路是社区的思路，至少 我在红旗做源代码全面开放，同步发布以及后期的社区版本没遇到任何阻力）。Asianux成立之后，miracle那边的几个开发人员又进行了较大的提 升。Asianux有个日本雇员是Fat文件系统驱动的维护者，这个大概很多人不知道。

2，打着国家旗号骗经费
红旗从成立到2008年核高基之前历年拿到的政府课题总额我记得是2000多万（如果我没记错的话），注意这是从红旗成立（1999）到2008年核高基之前的全部国家补助资金，核高基之后再无其他政府课题。

红旗参与或者曾经负责的课题项目或许不少，但是，大家要搞清楚一个基本问题，课题并不是红旗一家单位的，往往一个课题有数家参与单位，课题补助资金也是由数家参与单位共同分配的。

如果你以为课题好骗或者一本万利，那就又错了，红旗貌似没干过改改freebsd就能拿8000万的课题，这样的好事也轮不到红旗。

我举一个例子：

维哈柯课题，课题经费200万，执行期2年。红旗，新疆某大学，新疆某企业的分配比例是3：4：3，是的，你没看错，新疆某大学拿到的科研经费是80万， 红旗作为牵头单位拿了60万，因为红旗的部分决策者及我认为该课题的主体工作应该由新疆某大学完成，应该分配给他们更多的课题经费。

60万，看起来也不少了，有人会说我做个LFS大概只需要几个星期，好吧，那你还是太慢了，实际上我做个完整的系统大概只需要几天时间，从零开始完成龙芯、众志第一个版本的迁移用了3个星期，但完成一个版本的产品化大概要半年的时间。这60万包含了每年数次的新疆往返、下州县调研、汇报等等，我去过新疆 最穷的州县和农村，参观过他们的卫星教育系统，戈壁滩上开车两个小时遇不到一个人，你算算差旅费用要多少？当然，这也没什么苦的，其实我是当旅游的心态去 的，至少去过了之前没法想象自己会去的地方。组织各种检查汇报会，邀请专家，你算算会议费要多少？要培训一些学生和参与的工作人员完成几十万词条的翻译和 格式处理，你算算就算只投入1个员工1年的成本是多少？提交第三方评测机构评测，你算算测试费是多少？通过第三方财务审核机构审核，完成学校该配套的配套 资金（因为学校财务制度不同），你算算我的审核费用要多少？组织印刷、出版几千张光盘，400页的民族语言使用手册，几千个包装，并运送到新疆，你算算我 的生产成本和运输成本是多少？

另外，这个课题的执行期是2年，年薪10万养一个研发不过分吧？附加各种保险公积金、公共成本，系数是1.42以上，也就是1个10万年薪的研发，每年的成本至少是14万，那么这个课题假设只投入2个研发做2年你还会觉得过分吗？

好吧，你可能会说按我的算法这课题算下来基本是亏的，我不愿意干可以给你干。首先，有些课题确实是亏的，因为课题要有企业配套资金，一般情况是1：1, 也就是我自己掏钱养研发，其次，1，你干不了，因为操作系统研发的产品化流程和工程管理的复杂度是你根本无法想象的，2，红旗必须得干，一来红旗身上有那 个所谓“国家队”的烙印，二来，红旗为了拓展产品的覆盖领域。

课题有没有钱赚，有的，不同的课题口子和管理制度中都会留出很少一部分的管理费用于企业灵活支配，大概百分之几的水平，也就是100万有个几万块、最多10几万块，这个算正常吧？

说实话，能覆盖维哈柯语言支持，对于一个发行版来说，倒贴钱似乎也值得干吧？

问题又来了，你可能会问我为什么不提交呢？如果你没给上游开源项目提交过代码，那就请你闭嘴：
1，要尊重其他单位的知识产权，字体，翻译的劳动成果等，拥有人才有权处置，这不违反规则。如果他们未来有商业化计划，我不能随便拿过来就开放了。

2，涉及到glibc locale支持，输入法，界面，字体，甚至对图形库的特殊修改（编码位置的冲突，qt3 scriptengine的修改等），你有本事你提交一下我看看？你大概不知道有些项目提交代码要发邮件（没错，是真实的邮件，要你本人签名声明的那种） 到美国吧？

3，模仿Windows就是罪。
好吧，windows把关闭，最大化，最小化按钮放到了右边，苹果放到了左边，那我们应该放到哪？放到上面的中间还是放到左下角还是右下角？
我知道你想有点不一样，这样才能显出特色和实力嘛？好吧，GNOME 3确实不一样，很长一段时间SB了，Unity也不一样，SB到现在。

用户的使用习惯和已有的传统软件资产是一个软件开发者需要去尊重和保护的，而不是强迫用户去改变和随意践踏的。

4，没本事就该倒闭。
有没有本事和该不该倒闭是没有直接关系的，Sun有本事没有？Sun发明了改变IT领域的语言和一系列的应用开发规范及框架，结果它一分钱没赚到，最后倒闭被收购。

当然，红旗没办法跟Sun比，甚至没办法跟红帽，SuSe比，但比起某些厂商来，红旗的本事跟他们大概还不是一个重量级的。

红旗的kdelibs/kdebase在老Everest的源代码里面还能看到，每个上面大概有150-200个patch，有些提交了，有些没有，至少 Seigo发过一个blog，在我让他看了很多东西之后他说他感到Shame，因为他之前不知道中国还有一些开发者在做这些事情。Seigo就是你们今天 用的KDE4 plasma的发起人和主要开发者。你们不是迷信老外吗？那就自己去找找。

红旗早期做过1个输入法框架叫rfime，最早CJK输入法标准会议（多次，中日韩各地）也曾经作为提案之一提交过，sunpinyin的作者是红旗的老员工，好像参与过这个项目。CJK输入法标准会议的参与者有SCIM作者苏哲，XIM/IIIMF作者hedeki(已去世)，imbus的思路和设想就是在 这个会议上确定的，ibus作者后来也参与了这个会议，scim作者加入google后几乎淡出开源领域，再加上使用C++导致的兼容性问题（后来有了 scim-bridge）以及框架设计的不足等，才有了ibus。当然，我是去打酱油的，首先rfime代码庞大，年久失修，我handle不了，也没什 么兴趣，因为scim已经足够好了。其次我觉得rfime有路线性错误，因为它居然要全面复制Windows IME api，还真的这么干了，而且还弄了两个商业输入法的实现，一个是朱守涛老先生的智能ABC，一个是考拉的清华紫光。用过红旗早期版本的人大概还会记得这 两个输入法。

我的老领导，名字不提了，是炎黄中文平台的作者。我不知道是不是unix下的第一个开源通用中文平台，至少当年很多用bbs+linux/unix的人大概用过这个中文shell.

如果你用freebsd，那么当你在挂载fat，光盘时，如果你能看到中文，那你也得感谢红旗的开发者，因为freebsd这两个文件系统的中文支持最早是红旗的开发者做的（嗯，就是我），我不知道freebsd现在的内核架构变了多少，也不确定还是不是原来的实现。

红旗的人都干过什么，大致来说，改过内核，改过驱动，改过glibc，改过wine，搞过中文支持、输入法和编码方案，改过各式各样的桌面环境和应用，这 些东西有些提交了，有些代码早就抛弃和死掉了。我记得还搞过一个kopete qq插件，没被接受，不过没关系，我的研发团队现在在做一个KDE4 kopete webqq的插件，快发布了。wine-1.7.9前几天发布，我还是拿了一个原来红旗做的输入法光标跟随的patch打了上去，恩，那是ctime和我 做的。

有人一定会跟我纠缠软件包格式，管理器，系统安装程序等等，好吧，红旗版本用rpm，你是否觉得发明一种包管理器很困难？或者红旗没有能力做一个？那我可 以负责任的告诉你，做一个包管理器不难，rpm无非是一个带meta信息的cpio，你也可以随便用zip，jar加个metainfo就好了。当 然，rpm还有一堆显式及隐式的依赖关系探测，判定，打包时二进制依赖走elfutils，其他依赖走脚本。
既然这么简单，就算红旗做不了，suse为什么不做？ubuntu为什么还要用debian的deb？如果你认为应该及必须有自己的包管理器和包格式，那 么，大概你是无法理解“兼容”这个词的含义的。一个发行版即使不提供包管理器都可以，国内有些厂商的发行版本不就是依赖关系断裂，不能升级的吗？但是，有 没有能力影响那么多的商业软件厂商支持是个大问题，格式互转是个大问题。

至于安装程序，这么说吧，安装的过程是介质引导，分区，格式化，安装，写引导器的过程，这里面所设计到所有的组件包括：
syslinux/grub/grub2, parted, XXfs-utils，这些组件没有一个是红帽、suse，ubuntu，debian开发的，也就是开源的项目大家都在用，你说要个安装程序，那就给你 个安装程序，红旗从qomo开始自己写了qt4版本的安装程序，后来据说还用nodejs写了一个，反正我听说了之后是把一票人骂了个半死，因为我不知道 安装程序用nodejs做是在玩花活还是在解决技术问题。

红旗龙芯版本是有安装程序的，红旗众志版本也是有安装程序的，其他厂商呢？大概都告诉你怎么往硬盘里直接dd镜像吧？

什么叫产品化，这就是最起码的产品化，从能力和工程来说，红旗落国内其他厂商不算远，但他们到现在也没追上，直到今天红旗要倒闭了，其他厂商的现在什么水平你们自己知道。

忘了提件事，腾讯那个半残的linux qq或许还有人记得，如果我没记错，那个东西的诞生多少跟intel推动，红旗当年做mid有点关系。另外还有国内其他一些商业软件厂商的linux支持，也跟此事多少有些关系。

红旗的人都去了哪儿？好吧，IBM AIX中国开发团队有红旗的几个人，Oracle OVM技术咨询专家有红旗的人，Sun有一大票红旗的开发者，Intel也有红旗的人，中标也去了不少，开发者好像没有。貌似还有一个去微软的….. 这些是靠混和骗能混出来的吗？

如果你问我，既然这么nb为啥还有出走的，嗯，我也离开了，具体原因我只能讲四个字“个人原因”，你没见过红旗出走的人在网上报过红旗的任何料吧？

5，红旗靠什么活着？
前面我给你算过了课题经费大概有多少钱，红旗仅靠这点经费活着那这十几年红旗的员工就得去喝西北风了，你们有兴趣就去看看美国2013年新剧《罪恶黑名单》第3集，那上面有预装了红旗Linux的某品牌的笔记本出现，镜头很多。

红旗靠的是纯民口的市场销售行为活着，大企业，服务，定制开发，OEM等等等。具体名单等我不便列举。

6，红旗何功之有
千秋功罪，任人评说，我已离开多年，也已经习惯了保持沉默。

最近看到了太多的落井下石，我觉得还是要出来说几句。

我捍卫你说话的权利，但我也一样会有理有据有节的批驳你不负责任的结论，即使我已离开红旗多年。

如果你非要想象和联想，那就当我是红旗免费的五毛吧。

分享

分享

科技一周~居里夫人的八百万比一

2013/12/28/

年年岁岁花相似，岁岁年年人不同。这是2013年的最后一个周末，对于高科技公司而言，无非是去年之回顾，来年之宏图，事程大同小异，然而，参与之人却可能多有不同。互联网、高科技，是个快速更迭的产业，这不仅仅指技术，也指从业人员，每一名高科技业者都随着行业的变化而变化：有人从传统软件转向移动应用，有人从互联网营销转向互联网煎饼，有人从网游转向掌游，还有人从网络黑客转向网络安全专家。当然，反之亦如是。

• 本周，美国著名加密实验室，RSA，否认其安全加密算法专门给美国国家安全局（NSA）留有后门的说法[1]。在今年8月份的时候，有多家科技媒体爆出，RSA每年接受NSA数千万美元的资助，从而专门给NSA留有解密后门，可以使其较为容易地破解所有采用RSA加密算法的密文。RSA本周虽然否认留有后门，但并未否认接受资助，其声明之可信程度仍有存疑。无论如何，这还是会给世界上其它国际带来安全性隐忧，毕竟RSA算法所用甚广，倘若其真有幕后之门，那么对于除美国外的所有国家而言，无异于把自己的“内裤”交给了美国。这是任何一个要与美国抗衡之大国所无法容忍的。
• “当红炸子鸡”初创公司，Snapchat，的API漏洞被澳大利亚黑客公开，虽然给Snapchat的用户带来了极大的安全问题，但却给全球的黑客们送来了一份圣诞节大礼。黑客们凭此漏洞，可以轻松获取用户的电话号码，即使该用户在Snapchat里把自己的电话号码设置为“私密”等级[2]。
• 本周的12月26日，是镭元素被发现115周年纪念日。历史上第一个两获诺贝尔奖金的科学巨匠，居里夫人（1903年物理学奖，1911年化学奖），在115年前（1898年）的这一天发现了镭元素（Radium），之后又耗时四年从近8吨铀矿中提炼出来微似尘埃的1克镭[3]！精华的撷取，需要高达八百万倍的徒劳之功！每一个为人类文明做出了卓越贡献的人，都会被永恒地雕刻在空气与阳光里，我们每一次呼吸，每一次目视，都能体会到她（他）们给这个世界带来的震撼。

本期科技一周的科普焦点是第一条新闻里的加密算法~RSA。RSA算法是由三名数学家Rivest、Shamir、Adleman共同发明，现在已广泛应用于网络世界里，例如网络传输（https协议）、数据库加密存储。

RSA是一种非对称加密算法，即，采用两个不同的密钥来完成加解密：公钥加密，私钥解密。生成两个密钥，则需要使用到两个极大质数（Prime Number）的乘积。由于公钥会公开传输，可以被黑客截获，所以RSA的密钥生成算法要使得“从公钥计算出私钥具备极高的时间复杂度”。这一点是由质因数分解问题（Prime Factorization）的复杂度来保证，虽然质因数分解还没有被证明是NP（Non-deterministic  Polynomial），但现存已知的算法复杂度要比多项式量级（Polynomial）慢很多，仅比指数量级（Exponential）略快。1999年，512-bit的RSA密钥被成功破解，之后又花了十年，才破解768-bit的密钥。现在流行的RSA密钥有1024 bits，但业界已经开始建议升级到更长的2048 bits，以确保加密的安全性。

理论上，RSA算法不存在所谓的“后门”，要想从密文破译出原始明文，必须要知道在加密过程中所用到的两个大质数，如果RSA不给NSA提供大质数的选择算法，NSA是无法在短时间内破密信息的。当然，所有一切的安全性假设都基于RSA实验室的独立性，如果RSA接受了NSA的金元资助，那么这种假设前提的安全性就要大打折扣。毕竟，互联网虽是基于计算机，但计算机却是受人所控。

[1]. Damon Poeter, RSA denies knowingly building NSA ‘back door’ into security software, http://www.pcmag.com/article2/0,2817,2428665,00.asp , Dec 2013.

[2]. Violet Blue, Researchers publish Snapchat code allowing phone number matching after exploit disclosures ignored, http://www.zdnet.com/researchers-publish-snapchat-code-allowing-phone-number-matching-after-exploit-disclosures-ignored-7000024629/ , Dec 2013.

[3]. Aip.org, Maria Curie and the science of radiactivity, http://www.aip.org/history/curie/resbr2.htm.

图1. [1].

图2. [2].

图3. [3].

分享

分享

当北京香山树叶再一次染红的时候，当不断降低的气温提醒我们不要忘穿秋裤的时候，我们不得不惊讶，我们又即将度过丰富多彩的一年。这一年中，一场场火热的创业大赛向我们真实的展现着每个人的中国梦想，大数据、互联网金融、可穿戴设备、比特币等一个个名词传递着科技的不断进步。正如比尔盖茨曾经所说的，我们总是高估在新技术一年或者两年中能够做到的，而低估五年或者十年中能够做到的。在这一年中，云计算正在悄悄地落地发芽，以他安静而强壮的力量推动着整个社会的发展。

在这一年中，在美国，AWS继续成为云计算的领头羊，年收入将会超过40亿美金。让我们惊奇的不是这个数字，而是它的影响力：AWS正成为美国互联网的创新之源。AWS平台之上，我们熟知了instagram的成长传奇、见证了Dropbox的发展故事、也经历了Netflex 《纸牌屋》的红火，除此之外，还有千千万万的类似团队依托于AWS，专注他们在某方面优势，正在书写他们新的神话，塑造新一代的美国梦。

在这一年中，6亿美金的CIA大单最终花落AWS则仿佛无声处之惊雷，让传统的IT巨头大为震动。因为传统IT巨头们发现云计算不再仅仅是小公司的玩具了，而成为大公司的选择、甚至获得了老顽固CIA的认可；因此他们发现云计算已经悄无声息地革了IDC、服务器厂商的命，正在发布越来越多的软件服务，朝数据库、中间件等软件发起了进攻，并成为软件分发的重要渠道，因此他们马上采取了猛烈的回击。

在这一年中，IBM在大量裁员的情况下依然花巨资收购了Softlayer进入公有云领域，将AWS视为最大的竞争对手。值得一提的是在AWS的re:Invent会议期间，IBM启用了一大批贴满IBM广告标语的车在拉斯维加斯大道上来回兜圈子来拉AWS的客户。

在这一年中，Oracle 收购了有小AWS之称Nimbula，其创始人兼CEO Chris Pinkham曾是Amazon工程部门的副总裁，是当初率领Amazon团队创建EC2云服务的主管之一，联合创始人Willem van Biljon也曾经参与AWS EC2业务的产品设计和市场推广。Oracle 希望通过收购Nimbula 进入公有云领域，从而保护住自己的软件市场。有消息说Oracle有可能会用Nimbula在上海的自贸区来部署他们的云平台。

在这一年中，虚拟化软件巨头Vmware在私有云领域受到了Openstack的强烈挑战，而在公有云领域，凭借其去年12.6亿美金收购的SDN新贵Nicira发布Hybrid Cloud Service，打算进入公有云领域。

在这一年中，Openstack 凭借其强大的开放社区，获得了众多厂商的支持，快速超过了Cloudstack和Eucalyptus，成为云计算行业开源社区的老大。而在其中的众多的贡献者中，除了华为、新浪这样的大公司之外，我们也看到了很多华人成为了不少项目的Core member，发挥了重要的作用。程辉的UnitedStack、杜玉杰的99Cloud 正在为Openstack在中国的发展努力中，并取得了非常不错的成绩。Openstack hcg diet reviews正成为一大批中国云计算实践者的入门首选。

在这一年中，游戏，特别是手游行业巨大收入、大规模的投资收购、巨额的奖金发放在不断吸引我们眼球的同时，也给中国的云计算带来了很大的增长。《大掌门》、《幻想英雄》等优秀手游对云计算的青睐让大家看到了云计算对于创业者的巨大价值，能让创业专注聚焦，能让公司轻装前行，使得云计算成为手游、APP的标配。

在这一年中，VC们很忙，他们看到了云计算行业的巨大机会，到处寻找合适的云计算项目，但又担心着云计算的巨大投资以及巨头的激烈竞争。于是创业者在摸索中学习，投资者在沟通中砍价，最终完成了一批批的交易。启明创投对七牛的投资，红杉资本对够快的投资， DCM和贝塔斯曼对UCloud，涌金对华云的投资以及一批项目的天使融资，让我们感受到了云计算市场的活跃。

在这一年中，国内的巨头们依然是媒体关注的焦点。阿里云开发者大会吸引着大批的创业团队，而阿里云原CEO 王坚博士依然在路上坚持着理想，阐述着他对云计算、去IOE的理解，为云计算在中国的推广而努力布道。腾讯CTO 张志东先生参加腾讯云的开放发布会使得腾讯的开放再次成为大家讨论的话题，低成本的流量依然是腾讯开放平台的重大吸引力。微软Windows Azure通过世纪互联入户中国的会上，我们看到美国驻华大使骆家辉的站台，让我们感受到了美国政府和微软对于云计算的重视。百度和360的网盘“T级龙虎斗”曾经让用户大为受益，如今的沉默或许是对网盘商业模式的思考。而另外一个参与方金山云，在完成小米手机云存储的使命之后，则聚集了一批百度的云计算人才，准备投入云主机的战斗。

而在这一年的12月18日，必将成为中国云计算发展史上的一个重要日子。因为在这一个非常吉利的日子，AWS正式宣布落地中国，AWS和云基地，北京市政府、宁夏回族自治区政府宣布将在宁夏、北京两地共同建设、发展和推广云服务。迎接AWS的，除了热情的媒体之外，还有国外巨头微软联手联想、IBM互联世纪互联，国内巨头阿里云5折大促销，腾讯云6折大降价。就在海外巨头纷纷进入中国的时候，中国的云计算创业公司UCloud却率先走向海外，部署了亚太机房，为中国手游走向海外运营做好了基础工作。中国云计算公司和国外云计算公司的竞争在海内外全面开花。

在这一年中，生态链日益成为云计算争夺的焦点。UCloud一直以来坚持开放合作，与又拍、Testin、TalkingData、监控宝等公司形成战略小伙伴，在产品、市场方面进行不断的整合，为创业者提供服务；阿里云携手30家企业宣布成立云计算生态联盟——“云栖小镇”，横跨政府部门、传统软件企业和互联网创业企业； CSDN 在MDCC 发布移动开发工具“元素周期表”，联合相关企业一起为移动互联网开发提供解决方案；V部落、睿云在线、七牛存储和UCloud等20多家公司成立企业云服务联盟，共同推动产业发展和生态系统的健康成长。这些生态链的不断完善能够使得云计算企业在更深层次上推动产业变革，每一个开发者都能与大公司站在同一起跑线上，他们拥有和大公司一样的能力，专注他们想做的创新。同时，也让传统企业也有了和互联网企业一样去创新的能力，让公司轻装前行。

这一年中，安全依旧是大家对云计算的担忧。如何确保云计算的可用性，如果保障用户的数据安全等问题成为云计算落地的最大阻碍。为提高云计算的安全性和透明程度，工信部正在实施可信云的认证，第一批企业进入测评阶段，包括中国电信、中国移动、阿里、UCloud、新浪、腾讯、世纪互联和蓝汛等公司。经过认证的云计算企业可以让用户用的更为放心。

在这一年中，我们为云计算的发展而鼓舞，为云计算成为互联网行业的创新平台而激动，为云计算加速传统企业的转型而兴奋。而这，仅仅只是开始…..

展望未来，我们可以预见云计算的力量将不断的发展，并以摧枯拉朽之势产生变革，对IDC的变革，对服务器厂商的变革，对传统IT厂商的变革，对软件厂商的变革，对传统行业信息化的变革。

在新的一年中，越来越多的企业将会接受并尝试使用云计算，除了互联网创新企业之外，传统企业逐步成为云计算的重要用户。认证后的可信云将会进入政府采购目录，从而推动政府积极使用云计算，将传统政府建设，政府运营，政府使用的模式转为企业建设、企业运营，政府租用的模式，降低政府的成本，提高资源的使用率。政府的带头示范作用将极大的提高社会的云计算的接受度，从而拉动更多行业采用云计算。

在新的一年中，国内的竞争将进入白热化：国外巨头AWS、IBM、Oracle将会通过各种手段绕过限制，进入中国开始全面运营；国内巨头阿里云、腾讯云或许会掀起降价风潮；电信、联通则发挥他们行业优势，成为国企云计算的重要选择；UCloud等创业公司则依托于快速的客户需求反馈和小步快跑的创新做行业突破。

新的一年中，Openstack 将继续爆发，社区更加活跃，并成为私有云的主流。有一定技术能力的公司，将会选择Openstack来建设企业的私有云，而越来越多的公司将Openstack包装成解决方案进行向智慧城市推广、向传统企业推广。

新的一年中，SDN将成为云计算的标配，让网络不再成为云计算的瓶颈。基于SDN的应用如VPN，VPC，WAF将会逐步成为云计算运营商的增值服务。

新的一年中，肯定还会有很多我们不能预测到的事情出现，但我们能预期的是云计算发展的结果，将会让创业专注聚焦，让公司轻装前行，让更多人的梦想实现。

分享

分享

［文章原文可参阅：http://www.qyjohn.net/?p=3436］

不知道为啥，最近几天频繁看到关于王博士的文章，便有了一些从王博士说起的思绪。认真说来，我与王博士不算熟悉，将来也不会有深入交流的机会。因此，这篇文章与其说是谈王博士，不如说是以王博士为引子谈一谈云计算。

如果Google没有搞错的话，王博士是2008年加盟阿里的。在这之前，我对阿里的唯一印象，却是下面的这一桩小事。

2007年5 月，阿里在杭州举办首届中国网络工程师侠客行大会。一位名为Andy的技术负责人与Sun 公司ISV部门联系，请Sun 公司推荐一位Java领域的讲师。当时我在Sun 公司负责中国地区的开发者社区工作，这个任务几经辗转就落到了我的头上。阿里方面的本意，大概是希望邀请到James Gosling前来参会，但是James Gosling在那个时间段已经有了别的安排。在公司的牛棚里头转了一圈之后，我向阿里推荐了Java EE团队的杰出工程师（Distinguished Engineer）Mark Hapner，阿里方面欣然接受。但是Mark Hapner任职于没有差旅预算的研发团队，因此我向Andy的秘书询问阿里方面是否可以解决Mark Hapner的往返机票和酒店费用。Andy的秘书回答说阿里方面可以安排酒店，但是机票需要Sun 公司先买，然后再向阿里报销。由于不需要Sun 公司支付差旅费用，Mark Hapner就自己刷信用卡买了机票，从三藩飞到杭州做了个讲座，第二天又飞回三藩上班。问题是我向Andy的秘书提起报销Mark Hapner的机票费用时，小姑娘改口说是国际机票太贵只能为演讲者报销一半，剩下的一半需要演讲者自理，以前往返邮件里面的白纸黑字做不得数了。又经过几轮邮件沟通，干脆就再也不回邮件，连说过的一半也没了下文。到了年底，我实在不好意思欠同事的人情，就自掏腰包通过PayPal把机票钱还给了Mark Hapner。

之所以提起这一陈年旧事，只是想帮助各位客官了解一个事实。如今阿里的技术团队声名远扬如日中天，但是在王博士加盟阿里之前，阿里并不是一个尊重技术人才的公司。也正因为如此，没有学过心理学的其他大牛（譬如传说中的陆奇）在阿里根本没有可能谈到预期的薪水。王博士加盟阿里之后，在提高工程师地位和待遇方面做了很多工作。用吴翰清的一句话说，“王博士是唯一一个能把技术讲得连马云都能听懂的人”。平心而论，在提高工程师地位和待遇这个事情上，很多技术VP都做了大量工作。不过，如果不是王博士能够把技术讲得连马云都能听懂，今天的阿里对技术人员的吸引力可能就会大打折扣。所以我建议阿里内部的工程师在批评王博士的时候，可以尝试着用一下“虽然…但是…”这个句式。

据说王博士是打着云计算的旗号混进阿里的。在那个时间点上，“云计算”这个词还没有现在这般炙手可热，并且通常用来指代类似于网格（使用N 台物理机虚拟出一个具有超级计算或者存储能力的系统，用户通过命令行或者Web界面向系统提交计算或者存储任务）而不是类似于AWS（在单台物理机上虚拟出N 台物理机，用户通过命令行、API、或者Web界面获得虚拟机资源）的系统。那时候AWS发布才两年时间，在国内并没有引起很大的反响。国内互联网公司的系统团队更关心的是类似于vCenter的数据中心虚拟化，而不是类似于AWS的自助服务模式（关于数据中心虚拟化和自助服务模式的区别，可以参考我在2012年10月写的一篇博客《虚拟化、云计算、开放源代码及其他》）。在国外，第一个提供类似AWS功能的软件是闭源的Enomaly（2009年7 月），然后是开源的Eucalyptus（2009年11月）。2010年上半年，王博士已经开始试图在阿里内部推广（并且遭到了顽强的抵抗）自己轮出来的后羿（也就是阿里云的前身）了。考虑到产品设计和研发的周期，可以推测出王博士启动后羿项目的时机应该与Enomaly和Eucalyptus差不了多少。那时CloudStack和OpenNebula都还是单纯的数据中心虚拟化管理软件，而现在大名鼎鼎的OpenStack（起始于2010年7 月）还没有生出来。单从这一点来看，王博士不仅不是在重复发明轮子，而是极具远见和魄力了。

我所理解的远见，或者说是方向感，大概就是模模糊糊地看到未来的一个缩影，但是并不清楚要达到那个境界需要经过哪些步骤。我们通常把在企业里面的人分为两类，一类是战略型（或者说务虚型）的，另外一类是战术型（或者说务实型）的。这两类人的共同特征是互相看不起，战略型的人认为战术型的人没见识，战术型的人觉得战略型的人瞎扯淡。对于中小型公司来说，战略型的人太多通常意味着一场灾难。对于大型公司来说，战略型的人则是一把双刃剑 － 他有可能把公司给带到沟里，也有可能让公司实现第二次腾飞。王博士应该是一种典型的战略型人才，他早早地看到了云计算在未来的重要性，并且预见到要把远景变成现实道阻且长。吴翰清在博客里说：“我最佩服王博士的是无论他被外面的人、下面的人、其他BU的老大们骂的有多惨，鄙视的有多厉害，他总能不露声色，该做什么就做什么，和我们聊天时还能跟没事的人一样。”这样的人，才真真是能够做大事的人。

但是光靠王博士一个战略型人才绝对是做不成云计算的。王博士开始疯狂地在阿里内部挖人，一直挖到兄弟部门怨声载道，然后又“不设上限”地从外头招人。我同意王博士一开始不应该招那么多微软的人这样的看法，因为微软已经是一家美人迟暮型公司，培养出来的人大都是战略型人才，和王博士是同一类型但是水平又远远没有王博士那么高。从Google挖人的愿景很美好但是可行性较低，因为当时市场的薪资水平是微软小于阿里小于Google，并且进得去Google的人看得起土豪的也不多。（插播一下广告：章文嵩在2009年9 月加盟淘宝，只能够说是阿里捡到宝了。）在这样的背景下，王博士早期的团队缺乏高端的战术型人才，走一些弯路也在所难免。但是到了今年，王博士早期的一些努力开始取得了初步的效果。其中一例，是去IOE的巨大成功；另外一例，则是聚石塔在今年的双11中大显身手。这两个例子，其实都可以归结为云计算理念的成功。王博士从今年9 月起不再担任阿里云总裁一职，未来专注于CTO一职。不过，如果现在就试图去评价王博士对阿里云所起的作用的话，我个人觉得还是为时过早了。

目前我们所说的云计算，基本上就是以虚拟机的形式提供计算资源，谁需要计算资源的时候就买一个，不再需要的时候就把它杀掉。按需获取，按量计费，节能减排，自主可控，安全高效，这些词语市场和销售人员都背的滚瓜烂熟，熟得让人不敢相信这有可能是真的。但是我不仅认为这些口号都是真的，并且相信云计算的未来远远不止于此。我在《虚拟化、云计算、开放源代码及其他》这篇博客里面提到了英国经济学家威廉杰文斯（Willian Jevons，1835-1882）在《煤矿问题》（The Coal Question）一书中指出的一个似乎自相矛盾的现象：蒸汽机效率方面的进步提高了煤的能源转换率，能源转换率的提高导致了能源价格降低，能源价格的降低又进一步导致了煤消费量的增加。这种现象称为杰文斯悖论，其核心思想是资源利用率的提高导致价格降低，最终会增加资源的使用量。在过去150年当中，杰文斯悖论在主要的工业原料、交通、能源、食品工业等多个领域都得到了实证。我在这篇博客里面又进一步断言：“公共云计算服务的核心价值，是将服务器、存储、网络等等硬件设备从自行采购的固定资产变成了按量计费的公共资源。虚拟化技术提高了计算资源的利用率，导致了计算资源价格的降低，最终会增加计算资源的使用量。”。

如果说云计算使得用户可以象用电用水一样使用计算资源，那么最终会达到什么效果呢？看一看我们平时用电用水的情况，哪些属于刚性（必不可少的）需求，哪些属于柔性（可有可无的）需求。很快你就会发现我们大部分的消费，其实应该归类到柔性需求里面去。我们在房间里装个漂亮的壁灯，不见得是因为没有它就看不见路，而是因为点亮了之后我们变得心情愉快了。我们到游泳池去游泳，不见的是因为家里实在没有地方洗澡。但是，你看看我们现在的云计算用户。他们之所以使用云计算，是因为他们必须使用计算资源去做一些他们认为很重要的事情，他们不是仅仅想要高兴一下就刷卡去买你的云主机。要想让云计算象用电用水一样，至少需要两个前提条件：一是简单，二是便宜。 我想在书桌上加一盏台灯，不需要单独跑到供电公司去签一个合同。我在你这里买一个虚拟机，为什么需要我单独下一个订单呢？我买的台灯想什么时候拆掉就什么时候拆掉，我买的虚拟机你为什么要按天、按星期、甚至是按月计费呢？很多做IDC出身的人会跟你扯什么合同，什么协议，什么ITIL，什么ETOM，你们家换个灯泡还要先跑去供电公司签个合同吗？

所以说，云计算是一场革命。这场革命既是服务提供商的，也是云资源用户的。对于服务提供商来讲，云计算不仅仅是将物理机换成虚拟机，更重要的是提供服务的方式和对服务计费的方式。对于云资源用户来说，要理解虚拟机已经不是传统意义上的服务器，并且学会如何去使用这一新形式的计算资源。想象一下这个场景吧：某个物理系的学生想要验证一下关于宇宙起源的一个新想法，他随手登录进入某某云创建了1000台虚拟机，用了半个小时之后又随手杀掉所有的虚拟机。等什么时候人们不仅仅是因为刚性需求 － 而是因为柔性需求 － 而使用云计算的时候，云计算才能说是真的取得了成功。

所以我说，云计算是一个刚刚显现的蓝海。现在国内各家做公有云的公司杀得你死我活，看起来似乎已经是一片血海。在我看来，这些不过都是假象。现在如果阿里不往这个方向去努力，那才是真的错过了时机。

另：本来还想再写一些关于阿里云的具体的意见，但是考虑到这篇博客本来就是务虚，如果硬要加入一些务实的内容的话，反而不美。

又另：写这篇博客，绝没有在阿里谋求任何职位的意愿。作为一个半路出家的程序员，我深感自己在CS领域的先天不足已经阻碍了我在这个领域的继续发展。因此，过完年之后我就要暂时离开中国，到悉尼大学攻读第二个硕士学位，为期两年。我在悉尼大学的导师是IEEE Fellow Albert Zomaya教授，我的研究内容包括开源社区、云计算经济、云服务可靠度等等内容。

分享

分享

［原文作者： 蒋清野 。http://www.qyjohn.net/?p=3399 ］

本文是对《CY13-Q2 OpenStack, OpenNebula，Eucalyptus，CloudStack社区活跃度比较》一文的补充和更新。对本文内容感兴趣的读者，可以通过电子邮件或者新浪微博（@qyjohn_）与我联系。

本文同时发布了一个英文版本，可以参见CY13-Q3 Community Analysis — OpenStack vs OpenNebula vs Eucalyptus vs CloudStack这个帖子。

需要说明的是，这个社区活跃度比较项目起源于CY11-Q4，此篇报告是到目前为止已经发布的第八个季度性的报告。尽管作者于2012年10月至2013年7 月间曾短暂地就职于Eucalyptus公司，但是本文中所表达之观点完全是作者本人的观点，而非作者目前或以前所在公司的观点。

本文的目的是通过论坛和邮件列表的原始数据对OpenStack、OpenNebula、Eucalyptus和CloudStack项目的社区活跃度进 行分析和比较。主要的原始数据是自2009年来这四个项目的官方论坛和邮件列表每个月所产生的讨论主题数、帖子数、以及参与讨论的总人数（邮件地址或者用 户账号）。为了获取这些数据，我写了一个Java程 序自动地从这四个项目的网站下载了所有的论坛和邮件列表信息，并且从这些信息中分析提取出我所需要的数据。程序提取的数据被导入MySQL数据库中以便进 行统计分析，统计分析的结果通过LibreOffice生成分析图表。

从CY13-Q2开始，OpenStack项目启动了一个名为Ask.OpenStack的论坛，我们已经将这个论坛的数据添加到此次分析的数据源当中。值得注意的是，来自Ask.OpenStack的用户和OpenStack其他社区的用户有较大的重合。在此CY13-Q3分析报告中，我们采取了一些初步措施来处理用户重复计数的情况，但是目前尚不能完全避免同一用户重复计数的问题。

此外，Apache CloudStack项目从孵化器毕业，其邮件列表的名称发生了变化，但是其内容和用户基本不变。值得注意的是，原来在incubator-cloudstack-dev邮件列表中有大量由JIRA自动生成的邮件内容，类似的内容在cloudstack-dev邮件列表中大大减少了。不过我们依然保留了以前的过滤器设置，自动地排除了所有标题中含有”[jira]“标识符的信息。

图1 和图2分别是如上所述四个项目每个月所产生的讨论主题数和帖子数。可以看出：

(1) 在过去12个月中，与OpenStack和CloudStack相关的讨论数量在同一水平上，与Eucalyptus和OpenNebula相关的讨论数量在同一水平上；

(2) 在过去12个月中，与OpenStack和CloudStack相关的讨论数量远大于与Eucalyptus和OpenNebula相关的讨论数量。

通常来讲，一个讨论主题得到的回复数越多，表明该主题的讨论越深入。一个论坛或者邮件列表如果只有主帖而没有回复，说明这个社区的参与程度很低。因此，平 均意义上的“讨论帖子数/讨论主题数”则反映了一个社区的参与程度，这里我们暂且称之为参与度（Participation Ratio）。

由图3 可以看出，在过去12个月中CloudStack和Eucalyptus项目的参与度相对较高高，接近于4；OpenStack与OpenNebula项目的参与度相对较低，接近于2。

我们也注意到参与度这个概念引起了一些争议。有些人认为“讨论帖子数/讨论主题数”较低象征着某个社区具有快速解决问题的能力，社区成员所提出的问题能够在很短时间内得到解答，因此不需要多个帖子来解决一个问题。有些人认为“讨论帖子数/讨论主题数”较高可能意味着某个社区可能出现了争论，而这种争论可能已经偏离了某个社区的讨论方向和范围。无论如何，参与度这个名称的确反映了我们的某些主观看法，在一定程度上削弱了本报告的客观性。由于我们暂时没有找到一个更加合适的替代名称，在这个报告里面还是延用原来的名称（欢迎各位读者贡献更好的参数名称）。

图4 所示为这四个项目每个月参与论坛或者邮件列表讨论的总人数。可以看出，OpenStack项目的活跃用户数量要远大于其他三个项目。CloudStack项目的活跃用户数量也明显大于OpenNebula和Eucalyptus。在过去12个月中，CloudStack和OpenStack项目的活跃用户数量都在稳步攀升，而Eucalyptus和OpenNebula项目的活跃用户数量基本上没有增长。

值得一提的是，虽然CloudStack的活跃用户数量稍微小于OpenStack，这两个项目的主题和帖子数量是基本相当的（参见图1和图2）。

累计社区人口（简称社区人口）指的是曾经通过论坛或者邮件列表参与过讨论的用户和开发者总数。（不包括在论坛或者邮件列表中注册但是从未公开参与讨论的社 区成员。）这些人或多或少地使用过相关产品，但是并不代表他们目前还是活跃用户。图5 所示为这四个项目的社区人口增长趋势。可以看出，OpenStack与Eucalyptus项目的社区人口遥遥领先，CloudStack与OpenNebula项目的社区人口相对较低。

问题在于，开源IaaS软件经过这么多年的发展，长期累计社区人口的意义已经越来越弱。一方面，某些早期用户可能已经多次改变了阵营；另一方面，某些早期论坛和邮件列表已经结束了历史使命。从社区活跃度的角度来看，我们认为最近6 个月或者最近12个月的累计社区人口可能是有意义的，但是将累计社区人口无限制地延伸到侏罗纪时代，可能会使这个参数失去实用价值。

图6 所示为这四个项目每个月新增加的社区人口数量。在过去六个月中，CloudStack与OpenStack的社区人口增长速度基本相当。

阅读全文»

分享

分享

科技一周~色即是空

2012/12/21

“色不异空，空不异色，色即是空，空即是色。”《般若波罗蜜多心经》里的这句名言，并不是为了让我们联想起某些情色影片而存在，从计算机技术的角度来看，这句话竟然是虚拟现实（VR，virtual reality）技术所追求的究极之境：表象里美不胜收的“色”，均是由计算机生成的“虚拟之空”。虚实之道，真假之别，这一切看似互斥性的集合，很可能在未来的VR世界里不再有区分。换句话说，《Inception》绝非幻境，《The Matrix》终将来临。

• 初创公司Oculus本周从著名的投资人Andreessen Horowitz那里，融资7500万美元[1]。Oculus是一家研制虚拟现实游戏设备的初创公司，其头盔式设备Oculus Rift刚刚荣获《时代》杂志评选的2013十佳硬件产品。此番再获风投认可，堪称锦上添花。在机器智能浪潮再次袭来之际，虚拟现实技术作为增强人机交互体验之关键路径，也吸引了越来越多的高科技投资人。
• Facebook开始大力推出视频类广告，然而其面临的困难与挑战却一点儿也不少于希望。原有的电视广告世界并没有遭到破坏，甚至更加强大。现今的网络视频广告却已基本上成为Google YouTube的盘中之餐，Facebook要想横刀夺爱，绝非易事。从量级上来看，两者不相伯仲，均是十亿用户的量级，但从产品生态上来看，一在湖底一在天。当然，在这则新闻的背后，并不排除另外一种可能，Facebook在不远的将来，尝试推出硬件类产品来增强其生态。
• 惠普宣布自己旗下失败已久的移动操作系统WebOS，转战TV机顶盒市场[2]，第一个产品会在下个月的CES上展示。难道这就是Meg Whitman（惠普CEO）绸缪了三年的移动战略？要知道，TV设备市场因其固有生态之稳定，对于外来势力而言，介入其中的壁垒并非如想像中那般容易。即便是如Google之强大，也曾在Google TV上连续失败了两代产品，直到今年推出超廉价的Chromecast，才出现转机。惠普的希望有多大？我的感觉是，微乎其微。

今天科技一周的技术关注点是“虚拟现实”。也许，虚拟现实的最高境界是摒弃了一切设备，直接对人体神经系统施以电脉冲刺激，从而使人脑产生相对应的虚幻印象。当然，这种最高之境界还有待生物学科的发展，从目前看来，其距离梦幻成真尚有时日。当下，在计算机界里最流行的虚拟现实，大多是一种视觉上的虚拟：通过特殊成像设备，在狭小的空间内虚拟出广阔的三维世界来。在这些虚拟现实系统里，最重要的一个组件，就是成像显示设备。微处理器经过复杂的计算后，都需要把生成图像信息传给显示设备，以此达成以假乱真的虚拟场景。

Oculus的显示设备并没有什么特别之处，依然是一个普通的LCD显示屏，7吋，分辨率1280×800。Oculus通过一对凸透镜来产生LCD画面到虚拟镜像，其原理类似于放大镜，可以使人们看到放大了许多倍的图像。Oculus的特别之处在于，利用双透镜，产生三维场景，并且在头盔上配备了运动传感器，可以实时检测到佩戴者的运动信息，从而反馈给处理器，做出相对应的场景切换。

相对而言，Google Glass的硅基液晶投影成像技术（LCoS，Liquid Crystal On Silicon）更先进一点。LCos并不需要笨重的LCD显示屏，而是直接将生成的图像投射进人眼的视网膜上，使人们产生“距离”的虚幻感觉。这样的眼镜，非常轻便，美中不足之处是，分辨率还没有LCD显示器高。确切地说，Google Glass还只是一种增强现实（Augmented Reality）技术，因为眼镜并不需要完全生成虚拟场景，否则佩戴者将会有安全风险。但是LCoS技术却有潜力在未来完全替代LCD技术，以LCos为基础的三维眼镜可以兼顾小巧轻便与细腻成像的有点。

在当前，最为逼真的虚拟现实技术要数美国伊利诺伊大学开发的CAVE（Cave Automatic Virtual Environment）系统了[3]。CAVE系统是一个以投影显示器为墙面的房间，实验者除了佩戴眼镜，还需在身上粘贴几片轻薄的传感器，走入房间后，便置身于巨大的虚拟幻境之中，自己的一举一动都被房间监测到，并反馈给计算机系统，从而对墙面上的显示图像做出调整，给人一种完全真实的“交互虚拟”。当然，这是非常专业级别的技术与设备，目前只有商业公司才会花费巨资来购买CAVE系统。希望，随着科技的进步，这类专业设备的成本降得越来越低，直到有一天“飞入寻常百姓家”。

[1]. Craig Manning, Oculus raises $75M to introduce virtual reality headset into mainstream marketplace, http://natmonitor.com/2013/12/16/oculus-raises-75m-to-introduce-virtual-reality-headset-into-mainstream-marketplace/ , Dec 2013.

[2]. webOS will reappear as a TV set at CES, Andrew Kameka, http://www.mobileburn.com/22353/news/webos-will-reappear-as-a-tv-set-at-ces , Dec 2013.

[3]. CAVE2: Next-Generation Virual-Reality and Visualization Hybrid Environment for Immersive Simulation and Information, Jason Leigh, etal. http://www.evl.uic.edu/core.php?mod=4&type=1&indi=424 , Dec 2013.

图1. http://toucharcade.com/2013/10/29/oculus-rift-virtual-reality-headset-confirmed-for-ios-devices/

图2. http://unwire.hk/2013/02/25/lg-acquires-webos-source-code-and-patents-from-hp-will-live-on-in-new-smart-tvs/news/attachment/lg-webos-smart-tv/

图3. [3]

分享

分享

[原翻译文章可参阅：http://www.aqniu.com/news/942.html］

Photo：Reuters / Michael Caronna

安全牛网点评：

棱镜门事件以来，关于美国政府操纵国际信息安全标准的“阴谋论”始终是信息安全业界最具杀伤力的话题。

在今年9月份英国卫报爆料NSA可破解包括VPN和HTTPS在内的大多数互联网加密技术时，卫报的安全专家当时曾指出：NSA的做法已经动摇了整个互联网的信任基础。

事实上，NSA对互联网大规模解密的能力不是一天练成的，是NSA长期的系统工程的成果，NSA主要通过以下三种方法达到目的：

1.采用秘密方法控制信息安全国际标准的制定(使可以被NSA破解的加密标准被采纳为国际标准)。

2.采用超级计算机暴力破解。（例如与IBM合作开发的定制芯片可以在数小时内破解1024位 RSA/DH密钥）

3.也是最严格保密的做法，与大型技术公司和互联网服务商合作，每年投入2.5亿美元用于与科技公司的“合作”费用。包括：a.在大型技术公司的商业产品中植入后门。b.在高科技公司里发展“自己人”。c.修改加密软件，降低信息安全产品的安全强度。

近日路透社的独家报道揭开了NSA通过“秘密操纵信息安全标准的制定”和“在大型技术公司的商业产品中植入后门”的组合手法与RSA秘密合作的内幕；如果说破解VPN和HTTPS只是动摇了整个互联网的信任根基，那么操纵国际标准，在全球互联网站、商业企业、政府部门和军工企业普遍使用的安全产品中秘密植入后门的做法，则动摇了整个美国科技产业的信誉根基。（编者按：在此次事件中，RSA和其母公司EMC公司将面临严峻的商业信誉危机，因为9月份RSA曾建议用户停止使用被NSA植入后门的安全工具，但并未告知客户该后门是RSA与NSA之间的一次高达千万美元的交易）

以下是新浪科技的译文：
北京时间12月21日下午消息，美国国安局(NSA)“棱镜门”监听丑闻又有新进展。据路透社独家报道，NSA曾与加密技术公司RSA达成了1000万美元的协议，要求在移动终端广泛使用的加密技术中放置后门。

两名知情人士称，RSA收受了1000万美元，将NSA提供的方程式设定为BSafe安全软件的优先或默认随机数生成算法。尽管这一金额看上去不多，但这已经相当于RSA公司有关部门年收入的三分之一。

此举将让NSA通过随机数生成算法Bsafe的后门程序轻易破解各种加密数据。RSA否认了相关的内容，并声称自己的加密算法只使用了国家认证的协议。而NSA则拒绝发表评论。

简而言之就是，NSA首先利用NIST(美国国家标准研究所)认证了这种有明显漏洞的算法为安全加密标准，然后再让RSA基于这种算法推出安全软件Bsafe。而企业级用户采购安全软件，则看到的是一个世界级企业采用NIST认证的加密标准开发的软件。

影响巨大

RSA此次曝出的丑闻影响非常巨大，作为信息安全行业的基础性企业，RSA的的加密算法如果被安置后门，将影响到非常多的领域。

据悉，RSA目前在全球拥有8000万客户，客户基础遍及各行各业，包括电子商贸、银行、政府机构、电信、宇航业、大学等。 超过7000家企业，逾800万用户(包括财富杂志排行前百家企业的80%)均使用RSA SecurID认证产品保护企业资料，而超过500家公司在逾1000种应用软件安装有RSA BSafe软件。

一位要求匿名的互联网安全专家对新浪科技表示，RSA是一种国际上通用的非对阵算法，主要是提供双因素认证功能。即把密码拆分成两部分，一部分 是用户设置的固定密码，另外一部分来自每个用户发放的可显示数字的硬件。该硬件基于时间、设备号和种子数计算出一个动态密码。固定密码加动态密码才构成整 个认证密码。

他介绍说，目前在国内RSA产品的应用非常广泛，绝大多数互联网公司都在采用这套认证工具。在国外，不少军工、兵器类公司也都是RSA用户。美国国安局在RSA中设置后门意味着，密码动态密码部分已经被美国政府掌握。

曝光过程

RSA公司的行为令全世界震惊。该公司一直是隐私和安全的拥趸。上世纪九十年代，NSA试图通过加密芯片(Clipper Chip)，监控大量电脑和通讯产品，RSA公司曾带头抵制。

《纽约时报》今年9月曾披露，NSA前雇员、泄密人爱德华·斯诺登(Edward Snowden)披露的文件显示，NSA研发了一种随机数生成方程式，能够在加密产品中充当“后门”。此后，RSA公司呼吁用户停用植入了这些方程式的产品。

路透社随后报道称，RSA是该方程式的主要散播者， 该公司将其植入了一款名为BSafe的电脑安全软件。

RSA在一份声明中称：“RSA的行为一直符合客户的最大利益，无论如何都不会在产品中设计或植入任何后门。RSA产品的功能和特性完全自行决定。”

路透社采访了多名RSA公司的现任和前任雇员，大多数人认为该公司接受这份合同是错误的。许多人认为，RSA公司正在偏离专注于加密产品的轨道，是这起丑闻发生的原因之一。

但也有人认为，RSA公司被政府官员误导，后者将NSA提供的随机数生成方程式描述为一种先进的安全技术。一位知情人士称：“他们(NSA)并未显露真实目的。”该人士声称，政府官员并没有告诉RSA公司，他们知道如何破解加密。

路透社认为，RSA公司的这份合同表明，NSA加强监控的一大关键策略是：系统性破坏安全工具。斯诺登最近几个月披露的文件显示，NSA正利用“商业关系”推进这一目标，但并未指明哪家安全公司充当合作伙伴。

本周，美国白宫任命了一个委员会，调查美国监控政策，这一标志性的事件让NSA成为众矢之的。该委员会称“加密是互联网信任的核心基石”，并呼吁NSA停止任何破坏这一基石的行为。

传奇历史

RSA Security公司由RSA算法的发明者Ron Rivest, Adi Shamir和Len Adleman在1982年创立，随后在2006年以21亿美元的价格被EMC公司收购。

RSA加密算法可以看作是随机数生成器，但是有些数字是固定的，密码学家能够将其作为万能钥匙通过一些内置的算法进行破解。该算法最有名的一个缺陷是DUAL_EC_DRBG，密码学家几年前就发现了这个问题。

分析人士认为，RSA算法本身没什么问题，因为密钥理论上随机产生，猜对密钥如同大海捞针。但是，如果NSA确实放置了后门，那么这个算法的安全性将不复存在。

20世纪70年代，麻省理工学院的教授发起了RSA加密算法的研究，前海军陆战队员Jim Bidzos负责领导。RSA及其核心算法是由三位创始人名字的开头字母组成，这一算法的彻底改变了密码学。虽然RSA很少为公众知晓，这一加密工具已经 被大多数大型科技公司使用来保护数亿人使用的电脑。

RSA算法的核心是公众密钥加密技术。在为信息编码和解码的过程中，RSA使用了两只以数学关系联系在一下的密钥，而非使用同一密钥。编码器使用一支密钥生成信息，而解码器使用另一只来解读信息。

早期，美国情报机关担心这一算法可能会打击建构完好的既有公众密钥加密技术。斯坦福大学前研究员Martin Hellman当时负责调查这一技术，他说美国国家安全局试图说服他和其他研究人员相信这一技术没有必要推广。

随着越来越多的科技公司使用RSA算法，并且互联网发展迅猛，使用该算法的商业风险逐步增加。克林顿政府接受了加密芯片，并且强制在手机和电脑 中加入了此芯片，使得官员能够以正当理由破解加密技术。RSA公司发起了一次反对该做法的公众运功，向参与者发放印有一只沉船的海报，配以“击沉解密芯 片”的文字。

反对使用该芯片的关键在于，海外消费者会因为装有此芯片的美国科技产品可以用来从事间谍活动而拒绝购买。一些公司表示，斯诺登泄密事件之后，外国消费者就是这么想的。

白宫放弃了解密芯片，转而依赖出口控制来阻止最好的密码技术出口到国外。RSA又一次联合这个行业，并且在澳大利亚建立了一家分支机构来保证公司可以出口其想出口的东西。“我们已经成为了反抗政府活动的的箭头人物，” Bidzos在一段口述历史中回忆道。

　　RSA的发展

当美国政府的出口限制令解除时，RSA和业内其他公司共同庆祝了斗争的胜利。但是，NSA不会放弃对用户数据的监控。2001年的911袭击发生后，这一需求变得更加迫切。

与此同时，RSA也在变化。1999年，Bidzos不在担任CEO一职，转而专注于从RSA脱离出来的一家名为VeriSign的安全认证公司的管理。据RSA前员工称，Bidzos在硅谷创立的RSA随后办公地点搬到麻省东部，很多顶尖工程师也纷纷离职。

同时，BSafe安全软件在该公司的地位日渐衰落。到2005年，BSafe其他开发工具总共为RSA带来2.75亿美元营收，不及公司总营收的9%。

RSA一位于2005年离职的前员工Victor Chan告知路透社，当他加入时该公司时，实验室里还只有10名员工，大家都在与NSA抗争。但后来，RSA发生了巨大的变化。

到2006年上半年，RSA和美国大多数科技公司一样，把NSA看作共同抵御海外黑客的伙伴。据RSA前员工透露，该公司新CEO Art Coviello及其团队依然希望被视为科技先锋，NSA正好给了他们这个机会。

NSA内部开发的一种名为双椭圆曲线(Dual Elliptic Curve)的算法当时即将获得NIST(美国国家标准研究所)认证为可用于生成随机数的四种算法之一。对于面向政府客户的产品来说，NSA的认证是必不可少的，很多其它行业也行看重这一认证。

一位熟悉事件进展的内部人士称，在双椭圆曲线算法还没有通过NIST认证时，RAS就已经将这一算法用于自己的产品，随后，NSA开始向美国政府内部推行这种算法，从而促使NIST通过认证。

从此，双椭圆算法成为了RSA安全软件中生成随机数的默认算法。该公司前员工称，决策者商业领袖而非技术人员，因此并未觉得其中有何不妥。

一年之中，对于双椭圆算法的质疑声从未间断。密码学权威Bruce Schneier在一篇文章中称，该算法公式中的弱点“只能被称为后门”。在今年9月“棱镜门”事件曝光后，RSA公司呼吁用户停用包含双椭圆算法的产品。

不同于20年前的加密芯片之争，该公司对公众透露的信息非常有限，也不愿谈论NSA的干涉对公司与客户的关系有何影响。

白宫则表示，考虑通过本周成立的委员会的努力，根除一切破坏密码的行为。

原文链接：Reuters

分享