2010年2月风河子公司宣布收购Virtutech，增加Virtutech Simics产品线，完善其系统解决方案。Intel近期已与Virtutech签署并购协议，这家公司创立于1998年，总部位于美国加州圣何塞（San Jose），并在瑞典斯德哥尔摩（Stockholm）设有研发中心。

明天，3月1日，RSA 2010年的年会将在美西旧金山粉墨登场。来自各路的人马都已经下榻酒店，这几天在渔人码头吃吃喝喝。。。，包括看旧金山元宵佳节的盛大游戏。有那么一些人还在Google的Buzz里透露出来了：–）。简直是公费旅游。陈首席在这里就不点名了。嫉妒死我了。

RSA会议，是天下安全界的盛会。N年前非常的风光。基本上是在San Jose或者在旧金山召开。我也经常去。但感觉这些年有那么一点点冷清。这也包括以前特别火的Interop。现在好像CES，MWC才是王道。

反正，一切向钱看。有钱的地方，有钱的方向，相应的研究就火。这一点，教授们最清楚。

每个大会都会请一些名人来忽悠，跑龙套。所以Key Notes的人的简历大家都很感兴趣。反正RSA把陈首席又漏掉了。秘书处的工作还有待加强。有兴趣的读者可以参阅：RSA 2010 Key Notes。许多著名公司的老大，或者老二都来了。其中包括EMC，Symantec，McAfee，RSA Lab， VeriSign等等。据我不愿意透露来源的消息透露，大宋的绿盟也来了一票人。。。这几天正兴高采烈，或者在时差的痛苦折磨中。。。我在计划今天有没有时间去拜见这些家伙。时间有点紧。我明天就要去幽州了。另外，不知道严小姐来不来？N年前，我就是在RSA会议上认识当年的天融信金大帅（CEO）的。人很爽快，要聘请陈首席去做Chief Architect。听说现在金总也不在天融信了。幸亏没去，否则北京的那些小地头蛇们还不把陈首席掐死。不过，我如果去了，还真不一定。我就不相信我这种喜欢草根阶层的人，拉不起队伍来。。。

与刚刚结束的MWC，或者CES相比，RSA的影响力确实小一些。Well，也可以理解，老百姓毕竟对Digital安全的理解还是遥远了一些。那些手机，电玩还是更实在。毕竟平时每天要接触。

以太网联盟是由100多名成员，包括系统和部件供应商，行业专家和大学和政府专业人员组成的，致力于继续取得成功和以太网技术发展的组织。该40G以太网和100G以太网技术研究报告由联盟中的3COM，FORCE10，思科专家联合编写。

主要内容包括：摘要，介绍，40G和100G以太网目标，标准时间表，40G和100G以太网架构，物理编码子层(PCS)，物理媒体附加层(PMA)，40G和100G以太网接口，40G媒体独立接口(XLGMII)和100G媒体独立接口(CGMII),40G附加单元接口(XLAUI)和100G附加单元接口(CAUI),并行物理接口(PPI),物理媒体独立层(PMD),BASE-CR 和 40BASE-KR4 物理层特性,BASE-SR、BASE-LR 和 BASE-ER物理层特性,总结,附件,缩略词表等。

40G_100G_Tech_Overview_Ethernet_Alliance_Report_Nov08

BGP MPLS VPN V2江湖恩仇录

一篇很老的文档，但也是最经典的BGP MPLS VPN的学习文档，笔者也是翻箱倒柜，全部本地硬盘搜索找到的。估计很多人都有，但首席这样的初学者可能没读过。笔者N年前曾经拜读，文采与技术讲解俱佳，尤其是将技术的来龙去脉和背后演进的原因描述的十分生动。基本上认真读一遍就悟了，但是不用就忘了:-) 据说作者是华为的，姓李名劲松，不知道作者现状如何，应该活得不错。在弯曲存档一份，向新人推荐。

SoBGP是前文提到的Cisco的Russ White提出的，与SBGP相比，SoBGP是轻量级方案，不需要建立专用PKI，相对易于部署。代价就是安全性相应的降低了，可以cover的安全威胁少。

SoBGP同SBGP的信任模型不同，SBGP是专用的PKI系统，采用单一的trust root。而SoBGP采用web of trust模型, 顶级信任授权者可以可以是商用的公司例如Verisign，也可以是top-level backbone service provider。即SoBGP可以有一组顶端的信任授权机构，这也是针对某些对于SBGP的开销质疑的一种改进或tradeoff。

SoBGP的第一个目标是验证：Are You Authorized? 看下图：

上图是如何验证地址授权，右侧的实体证书就是前面提到的，每个AS一个，绑定公钥和AS Number，左侧是相应AS签名的地址块信息，细心的读者可以看到，其前缀空间的自上而下的包含关系。这个关系表明了自上而下的地址空间的分配授权。这个地方SBGP和SOBGP本质类似，只不过二者信任模型不同，前者只有一个trust anchor，后者使用了web of trust模型，这样可以利用现实世界中已有的trust anchor。

第二个目标是“Do You Really Have a Path? ”

这个地方是SoBGP的创新，每个AS签名并对外发布其直连的AS，并在BGP路由系统中传播，原理同路由本身的传播类似。系统稳定之后，最终每个BGP AS都可以建立全局的AS关联信息，形成Inernet连接全图如下：

对于收到的AS Path，AS可以在图中检查，看看是否真有此等路径，从而防范AS Path的伪造。对于这个idea笔者非常佩服，beautiful architecture。但是仔细想想，如果攻击者改动了AS Path且使得AS Path在图中存在则SoBGP就检查不出来了，因此对于AS Path的真实性，SoBGP只是部分解决。

其他的BGP安全方案还有多套，笔者印象中至少看到4，5个（例如IRV-Internet Route Verification 之类的），还有一些中外学生的论文提出了解决方案等等。另外目前SIDR正在制定BGP安全标准，已发布了6篇工作组draft，其中Steve参与了大多数文稿的制定，看来姜还是老的辣，他老哥还是占了上风。不过目前还没有一篇正式的RFC公布，任重而道远。有感兴趣的读者可以补补笔者这个系列，例如目前的工作组draft内容，走向以及其它的BGP安全解决方案，估计至少还可以补出4篇来，这些都源于BGP协议本身的重要性。

【编者注：这是一个读者在自己网站上对弯曲评论的推荐。如果读者都这样身体力行的推荐弯曲评论，大家的原始股不值钱，就没有天理了。Again，谢谢大家的厚爱。在元宵佳节之际，陈首席代表弯曲评论的其他各位创办人，祝愿大家心想事成，合家安康，祖国和谐，民族复兴，人民为大！赛赛！】

铁路和交通一直是笔者的兴趣所在。笔者最初做Internet流量工程，第一批外文文献居然全是关于道路交通流量工程的。可见人类的认知能力还是从看得见到看不见的，从摸得着的到摸不着的。

言归正传，本文的大部分资料来自《环球》杂志、中国铁路网和英文维基百科。笔者发现随着武广高铁的贯通，所能接触到的官方式总结性的报道越来越多，这和之前的网络流言满天飞形成鲜明对比。这也许标志着我国高铁系统（包括路网和机车两块）的论证、设计、引进、吸收、自我提高基本完成也基本成功，开始阶段性回顾，准备继往开来了。官式媒体虽然看起来八卦，但是其中信息的准确性却是其余媒体不能比的，这点笔者必须承认。此外，国外有许多中国铁路的洋粉丝，他们在英文维基上发表的文章相当精细专业。

目前世界上掌握成熟高速动车组设计和制造技术的外国龙头企业是德国西门子、法国阿尔斯通、日本川崎重工和加拿大庞巴迪等四家。而无独有偶，中国目前高铁机车主要有四种型号：CRH1、CRH2、CRH3和CRH5。咱们有意避开了“4”这个数字，恐怕搞交通的比别人都要避讳这个词。还有，CRH=China Railway High-speed。

CRH1是中国最早的国产化动车组。这是在引进时速200公里列车的基础上，进一步建立自己的平台，由青岛四方-庞巴迪-鲍尔铁路运输设备有限公司(简称BSP公司)生产的。目前CRH1在京沈、胶济等老铁路上使用。所以CRH1是中加混血的。

CRH2是南车四方联合川崎重工等日本财团联合制造，采用日本新干线技术。这是中日混血的。

CRH3由唐山机车厂联合西门子生产，是中德混血的。

CRH5由长春客车厂联合法国阿尔斯通生产，是中法混血。其中CRH1、CRH2、CRH5的设计时速在200公里以上，而CRH3的设计时速在300公里以上。CRH2C改进型的时速能达到350公里。

国内参与合资的铁路企业也很有意思。以前的巨头中国铁路机车车辆工业总公司，于2000年分拆重组成中国南车集团及中国北车集团。青岛四方和南车四方都是南车集团的，而唐山机车厂和长春客车厂都是北车集团的。现在看来，南车混得好些， 2009年还被英国的Brand Finance首次选入全球最有价值500品牌排行榜，排名第476位，品牌价值19.87亿美元。

我国的高铁并不是大跃进起来的。中国建设高铁从上世纪80年代就开始论证，磁悬浮派和轮轨派、新线派和改线派、合资派和自主派的辩论持续了30多年。秦沈客专实际上是一个高铁试验床（这个试验床够牛），中华之星和先锋号算是死在沙滩上的前辈。顺便说一句，笔者虽然非常敬重中华之星的研制者们，但是对中华之星的被淘汰并不很失望。工艺水平不高都罢了，可靠性和稳定性不高可是要命的，谁也不敢借着民族工业的牌子不把人命当回事。

通过前面的这些论证后，中国才真正开展高铁建设。从2004年起开始的铁路动车组的公开招标，将高铁的国产化路径体现得比较充分。2004年6月17日，《人民铁道》和中国采购与招标网同时发布招标公告：中华人民共和国铁道部拟采购时速200公里的铁路电动车组，共计10包200列。公告明确招标公司和投标人资格，投标主体是国内企业，但它必须取得国外先进技术的支持。我们的原则是以市场换技术。当时加日德法四家公司都在中国有合资公司，也企图通过合资公司投标。铁道部明确拒绝了这一要求，坚持外方向中国企业全面转让技术。实际上也就是只有南车和北车两家中国公司有能力接受这个“转让”。

这个过程中两件事情也许大家都记忆犹新。和日本人打交道，川崎重工是唯一愿意转让技术（E2-1000系列）的日本厂商（日立制造所和日本车辆制造社都拒绝了，鬼子狡猾狡猾的）。当时国内网上左愤们抵制大骂不绝于耳。咱们当然要以夷制夷啊，排斥日本供应商显然不是策略。实际上这件事情是压下来了，当然我们要承认铁道部和国家“有关部门”做了大量的“引导”工作，比如删帖、关站、喝茶。左图是一列中日混血的CRH2。

另一件事情就是关于德国西门子公司的“Velaro”时速350公里动车组了。Velaro是基于德国Deutsche Bahn （翻译成德国国铁比较合适）ICE 3高速列车设计的，是当时世界铁路商业运营中速度最高、动力最大的一种成熟高速列车。柏林和汉堡之间的高铁跑的就是ICE，Inter City Express。笔者去慕尼黑开会的时候，德国人得意的跟我聊天说，他们的ICE插上翅膀就可以飞起来。当时我朝还没引进成功一列高铁，笔者只能悻悻的在心里说三字经。

但西门子2004年过分看重非经济因素，向当时的中方合作方长春客车厂开出天价：每列原型车的价格3.5亿元人民币，而技术转让费高达3.9亿欧元，相当于39亿元人民币。此外，他们对标书不响应之处多达50余项。

装13的后果呢？最后西门子被排除在外。随后，西门子股票狂跌，总裁引咎辞职，在中国的谈判团成员也全部被撤职。2005年，败走麦城的西门子又回到中国，参加铁道部第二轮时速300公里以上动车组的竞标。中方给出更严格的条件，最后西门子完全接受中方的技术转让方案和价格方案，和唐山轨道客车有限公司进行合作。真是早知如此，何必当初。左图是一列中德混血的CRH3。

纵观中国高铁之路，从路网上说，开始于1997年的提速是一个分水岭，我们开始积累有关高铁的基础设施经验。从车辆上说，2000年北车南车集团成立是一个分水岭，引进吸收自主创新的步伐开始加大，才有2004年的公开招标。我国实际上采取的是一个综合的、取各家之长的模式，也正是因为如此，中国高铁拥有集成优势。在工务工程、通信信号、牵引供电到客车制造等方面，可以一揽子出口，而这在其他国家是难以实现的，因为他们的技术是分别掌握在很多家不同公司手中的。我国做系统集成一贯底蕴深厚，做不了35纳米芯片，但是可以发神舟。

现在回头看来，我国先土建，后车辆；先250公里时速，后350公里时速；先中外合资企业，后国内独资企业的战略决策是正确的。这样做比较稳妥，开头似乎慢一些，但从长远看，积累经验后会越来越快。而且从老百姓的角度而言，大容量公共交通第一要着是稳妥可靠。

武广高铁的运营证实了中国的技术优势，其运营时速是迄今全球商用高铁的最高值，运行时曾达到394.2公里的峰值速度。350公里以上时速的郑西高铁也已经开通。而即将在明年建成的京沪高铁则是一次性贯通的世界上最长的高铁，将树立一个中国样板。中国建设超长规模高速铁路网的能力，是世界上最强的，而中国的桥梁建设水平也是世界上最高的。此外，由于中国具有比日欧更为复杂的地理、地质、气候环境，因此针对不同环境需求的定制能力也是世界领先的。考虑中国的人力和材料成本，中国高铁的价格也仅相当于国外的1/2到3/4。

这意味着什么？如果加州有朝一日终于建成旧金山到洛杉矶的高铁，上面跑的多半是和谐号？

是前文提到的Stephen Kent在1997年开始研发的，由于Steve是IPSec的作者，PKI工作组的主席，因此其方案也深受正统安全思想的影响，高举高打，对于端到端安全Steve建议采用IPSec（而后文介绍的SoBGP则建议使用TLS），对于认证则建议采用PKI。其研究成果含代码可以在这里找到。

SBGP对于BGP的安全问题归纳和分析的很详细，很有意义，但在这里不再重复。SBGP实现相对比较繁杂，引入了较多的名词术语，为了避免重复协议内容，搞乱了大家的头脑，笔者对其协议基础简介如下：

首先区分了两种实体，地址拥有者和AS号码拥有者，这两者可能不同（实际是相同的都是ICANN），因此建立了两个PKI：

第一个PKI用于地址所有权的验证，ICANN(Internet Corporation for Assigned Names and Numbers)是负责Internet中自上而下的分配IP地址的机构，其负责对外批发地址，对于我国来说从其亚太分支机构APNIC搞二次批发，国内再怎么向下零售以及一个IP多少钱，我就不太清楚了。为此自ICANN而下建立PKI信任体系。为所有参与BGP 通告的地址所有者（AS）进行地址块所有权认证。

第二个PKI，类似，用于AS Number所有权认证，其实也需要ICANN搞。

有了这两个信任树就可以为所欲为了，例如。

1.可以查询AS Path的origin AS是否有权产生某一路由的通告，这可以由第一棵树来进行验证，就是SBGP之中所谓的AA（Address Attestation）。

2.可以验证某个路由器是否被AS授权代表AS发言，这个由第二棵树搞定。

3.最有趣的是AS Path的验证，其问题就是如何确定整条AS Path是真的，没有人插进去什么东东。SBGP采用的方式是由途径的AS不停包包子或千层饼的方式，每次路过一个AS，该AS就对前面的内容打包并且在外面盖戳。攻击者无法进行修改。

其他验证问题也可以推而广之。

对于这类信任相关的问题，由于有公有的PKI机制，因此即使路由器被攻陷，可以自杀，但无法对外进行破坏从而波及整个Internet。

但SBGP有一些显著的问题：

1.PKI系统的部署，要求从ICANN开始，谁出这个钱？

2.路由器的CPU做这么多安全操作，performance如何是好？

3.分布式数据库如何维护同步？

SBGP自知理亏，也做了一些研究，提出了一些cache之类的方案。

下图是SBGP组件总图，够酷吧。