唯實(shí)唯用 致力網(wǎng)絡(luò)身份安全的先鋒者
——記廣東省第五批引進(jìn)創(chuàng)新團(tuán)隊(duì)帶頭人、廣東工業(yè)大學(xué)網(wǎng)絡(luò)身份安全粵港聯(lián)合實(shí)驗(yàn)室WIS Lab主任、計(jì)算機(jī)學(xué)院教授劉文印

□ 李曉文

隨著全球信息化步伐的加快，網(wǎng)絡(luò)安全已經(jīng)變得越來越重要，它不僅關(guān)系民生更關(guān)乎國(guó)家安全和社會(huì)穩(wěn)定。銀行卡的錢不翼而飛、股票市值一夜蒸發(fā)、詐騙電話屢禁不止、賬戶密碼數(shù)次被盜……這些普遍存在的網(wǎng)絡(luò)安全問題關(guān)系到千家萬戶，直至每一個(gè)個(gè)人。

盡管近些年我國(guó)計(jì)算機(jī)病毒感染率連續(xù)數(shù)年呈下降趨勢(shì)，但當(dāng)前國(guó)內(nèi)的網(wǎng)絡(luò)信息安全形勢(shì)仍不容樂觀。有數(shù)據(jù)統(tǒng)計(jì)，釣魚網(wǎng)站每年從網(wǎng)絡(luò)累計(jì)卷走300億元，這是一個(gè)讓人不得不正視的巨大黑洞?？梢?，網(wǎng)絡(luò)安全問題早已刻不容緩，怎樣強(qiáng)調(diào)其重要性都不過分。

而現(xiàn)任廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院教授的劉文印，則是國(guó)際上反網(wǎng)絡(luò)釣魚式欺詐（Anti-Phishing）領(lǐng)域的先鋒之一，在圖形識(shí)別及反網(wǎng)絡(luò)釣魚欺詐等研究領(lǐng)域做出了杰出貢獻(xiàn)。在近30年的科研生涯中，他創(chuàng)造了多個(gè)“首次”，而他的堅(jiān)持始終如一：做有用的研究。

一個(gè)有故事的人

興趣是最好的老師。劉文印說，自己從小的興趣就是學(xué)習(xí)?！皩W(xué)習(xí)是科學(xué)探索的過程。從解題的過程中得到樂趣和成就感，同時(shí)我也很愿意跟同學(xué)分享?！彼潜姸嗉议L(zhǎng)眼中“別人家的好孩子”，高考時(shí)以優(yōu)異的成績(jī)被清華大學(xué)錄取。他也是吉林省榆樹縣第一個(gè)考上清華大學(xué)的人，為母校創(chuàng)造了歷史，成了“歷史人物”。

為學(xué)生講解

報(bào)考清華大學(xué)時(shí)，劉文印起初中意的是無線電技術(shù)。他信奉“學(xué)之之博，未若知之之要；知之之要，未若行之之實(shí)”。早在初中時(shí)代，剛學(xué)到電路相關(guān)知識(shí)，又喜歡“動(dòng)手”的他就決定自己回家也要做個(gè)變壓器，還由于短路問題造成全村停電。盡管這是一次有驚無險(xiǎn)的嘗試，但也證明了劉文印從小動(dòng)手能力就特別強(qiáng)，就如他自己所說：“愛什么東西就把它做出來，不只是停留在理論上。我現(xiàn)在做的所有的東西一定是能夠演示出來的，看得見的。 ”

盡管如此，陰差陽錯(cuò)中，他還是學(xué)習(xí)了計(jì)算機(jī)。20世紀(jì)80年代初的中國(guó)，計(jì)算機(jī)條件與國(guó)外相比還相差甚遠(yuǎn)，連摸到計(jì)算機(jī)的機(jī)會(huì)都非常有限。1988年本科畢業(yè)后，劉文印被推薦為免試研究生。而兩年提前的工作體驗(yàn)中，真正讓劉文印感受到了“書到用時(shí)方恨少”。強(qiáng)烈的求知欲，讓劉文印決定必須回校繼續(xù)讀書。1992年，只有碩士學(xué)位的劉文印，在激烈競(jìng)爭(zhēng)中幸運(yùn)地得到了直接留校任教的名額。這也讓他更加渴望做出一番科研成績(jī)。

3年后，1995年，劉文印的妻子要被外交部派到以色列大使館工作，劉文印也決定去以色列理工學(xué)院（Technion）留學(xué)。當(dāng)時(shí)，他的導(dǎo)師正是圖靈獎(jiǎng)獲得者阿米爾·伯努利（Amir Pnueli）的學(xué)生、圖紙識(shí)別領(lǐng)域著名的以色列學(xué)者道夫·多里教授。原本3年的科研任務(wù)，劉文印用了1年半就完成了，這讓導(dǎo)師非常滿意。在此期間，他還發(fā)表了9篇SCI論文，相關(guān)論文共有30余篇。

1998年獲得博士學(xué)位后，劉文印選擇回國(guó)。盡管當(dāng)時(shí)國(guó)內(nèi)的計(jì)算機(jī)發(fā)展條件仍無法和國(guó)外相比，但微軟中國(guó)研究院成立讓他看到了新的發(fā)展機(jī)遇。1999年1月，劉文印成功加入微軟中國(guó)研究院并任首批研究員。

又是3年，2002年1月，劉文印來到香港城市大學(xué)電腦科學(xué)系任助理教授及博士生導(dǎo)師。而這次選擇來到香港，也是因?yàn)槠拮庸ぷ髯儎?dòng)。2010年，劉文印又隨妻子來到加拿大。2015年，劉文印入選廣東省第五批創(chuàng)新團(tuán)隊(duì)帶頭人，在清華大學(xué)孫家廣院士的邀請(qǐng)下，加入廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院，創(chuàng)立網(wǎng)絡(luò)身份安全粵港聯(lián)合實(shí)驗(yàn)室（WISLab.cn），以研發(fā)、服務(wù)、育才、科普為使命，希望為提升網(wǎng)絡(luò)身份安全、優(yōu)化整個(gè)網(wǎng)絡(luò)空間做出貢獻(xiàn)。

多地輾轉(zhuǎn)，不變的是劉文印始終保持著對(duì)科研的熱情，一直做著自己喜歡的研究。如今，女兒已在香港大學(xué)讀書，對(duì)于這些年為妻子、為家庭做出的改變和選擇，劉文印笑稱自己是一個(gè)“有故事的人”，“我覺得我做這些都是值得的”。

反“網(wǎng)絡(luò)釣魚”領(lǐng)域的先鋒

2004年，在香港城市大學(xué)工作的劉文印，像往常一樣，乘地鐵去上班。途中，報(bào)紙上的一條新聞把他深深吸引住了。“有人在網(wǎng)上假冒匯豐銀行，客戶輸入密碼后，結(jié)果錢就被轉(zhuǎn)走了?！笨赐曛螅瑒⑽挠⊥蝗幌氲?，“我就是做圖文識(shí)別的，為何不去用識(shí)別的方法檢測(cè)一下真假網(wǎng)站？”

從一個(gè)疑問開始，劉文印走上一個(gè)新的研究方向——釣魚（Phishing）網(wǎng)站檢測(cè)，而當(dāng)時(shí)，還沒有人聽過“釣魚網(wǎng)站”這種叫法。在這個(gè)新鮮的方向上，經(jīng)過努力探索和實(shí)踐驗(yàn)證，劉文印取得了多項(xiàng)創(chuàng)新性成果，并發(fā)表了一系列有影響力的論文，成為國(guó)際反網(wǎng)絡(luò)釣魚式欺詐領(lǐng)域不折不扣的先鋒人物。

“研究來源于實(shí)踐和生活，要做有用的研究，讓研究成果為人們所用?！眲⑽挠≌f道。“釣魚網(wǎng)站”的真面目到底是什么？據(jù)劉文印介紹，目前，“釣魚網(wǎng)站”主要集中在兩方面：一種是偽裝成央視、騰訊等的假冒抽獎(jiǎng)網(wǎng)站，如，多地出現(xiàn)的仿冒“非常6+1”節(jié)目中獎(jiǎng)信息騙取網(wǎng)民錢財(cái)?shù)木W(wǎng)絡(luò)詐騙事件，主要特征是以中獎(jiǎng)為誘餌，欺騙網(wǎng)民填寫身份信息、銀行賬戶等信息；另一種是偽裝成淘寶、工商銀行等的在線支付網(wǎng)頁，騙取網(wǎng)民銀行卡信息或支付寶賬戶。此外還有惡意團(tuán)購(gòu)網(wǎng)站或購(gòu)物網(wǎng)站，假借“限時(shí)搶購(gòu)”“秒殺”等噱頭，讓用戶不假思索地提供個(gè)人信息和銀行賬號(hào)，直接獲取用戶輸入的個(gè)人資料和網(wǎng)銀賬號(hào)密碼信息，進(jìn)而獲利。

可見，“釣魚網(wǎng)站”通常偽裝成銀行及電子商務(wù)等網(wǎng)站，竊取用戶提交的銀行帳號(hào)、密碼等私密信息。不法分子利用各種手段，仿冒真實(shí)網(wǎng)站的URL地址以及頁面內(nèi)容，或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插入危險(xiǎn)的HTML代碼，以此來騙取用戶銀行或信用卡賬號(hào)、密碼等私人資料。它是一種亟需禁止和杜絕的網(wǎng)絡(luò)欺詐行為。但“釣魚網(wǎng)站”的手段一直在翻新，從初期使用釣魚郵件，進(jìn)化到前幾年的釣魚二維碼，近期又出現(xiàn)了釣魚Wi-Fi等新型釣魚攻擊，始終在全球范圍頻繁出現(xiàn)，嚴(yán)重地影響了在線金融服務(wù)、電子商務(wù)的發(fā)展，危害公眾利益，同時(shí)還影響了公眾應(yīng)用互聯(lián)網(wǎng)的信心。

像垃圾郵件一樣，釣魚郵件也是一種未經(jīng)允許的電子郵件。而從表面上看，很難辨別這封電子郵件是否是詐騙。因?yàn)樗煌谝恍├]件，可能是一些討厭的廣告，而“釣魚”則是試圖從用戶手中進(jìn)行詐騙。“釣魚”用電子郵件作“魚餌”，從而騙取訪問金融賬戶必需信息。像垃圾郵件一樣，來自釣魚黑客的電子郵件通常在電子郵件地址中包含偽造的“發(fā)件人”或者“回復(fù)”地址，及有誘惑力的標(biāo)題，使電子郵件看起來像來自一家合法公司并“威逼利誘”用戶立即采取行動(dòng)、掉進(jìn)黑客布置的陷阱。釣魚二維碼利用肉眼看不到碼內(nèi)隱藏的信息這一弱點(diǎn)把釣魚網(wǎng)址嵌入其中，很難辨別真假，只要用戶用手機(jī)掃碼，也就不知不覺上了鉤，直接進(jìn)入了釣魚網(wǎng)站。而釣魚Wi-Fi通對(duì)假冒合法Wi-Fi，針對(duì)客戶端進(jìn)行攻擊,用戶連接該類Wi-Fi就會(huì)中招。

而網(wǎng)絡(luò)身份，是用于在網(wǎng)絡(luò)中唯一區(qū)分認(rèn)定某人、某機(jī)構(gòu)或某個(gè)資源的標(biāo)識(shí)（ID/Identity）。網(wǎng)絡(luò)身份安全包括準(zhǔn)確驗(yàn)證身份及防止身份造假、假冒、欺詐、泄露等?？梢姡W(wǎng)絡(luò)身份安全是第一道安全屏障。對(duì)此，劉文印提出了基于“可信用戶代理”的創(chuàng)新但兼容傳統(tǒng)密碼的網(wǎng)絡(luò)身份驗(yàn)證及管理機(jī)制并獲授發(fā)明專利。其原型系統(tǒng)“登錄易”（DengLu1.cn）已發(fā)布，是一個(gè)幫助用戶（通過掃碼、推送或其他方式）自動(dòng)注冊(cè)、登錄并管理賬號(hào)密碼的軟硬件產(chǎn)品系列，不僅解決了“密碼疲勞”問題，還能防“撞庫(kù)”和“釣魚”。劉文印還補(bǔ)充道，用戶再不需要人工設(shè)置、記憶及輸入眾多密碼就能在各種終端上網(wǎng)，既方便又安全。其自動(dòng)修改密碼功能更是為愈演愈烈的數(shù)據(jù)泄露威脅提供了有效的災(zāi)備手段。

早在2004年，劉文印就開發(fā)出利用互聯(lián)網(wǎng)文本分析的方法甄別假冒網(wǎng)頁的方法，首次提出“主動(dòng)及基于視覺的反網(wǎng)絡(luò)釣魚策略”，并在WWW2005會(huì)議及IEEE Internet Computing（2006）學(xué)術(shù)期刊上發(fā)表了該項(xiàng)成果，相關(guān)技術(shù)于2007年獲授權(quán)中國(guó)發(fā)明專利；首次發(fā)現(xiàn)利用不同Unicode文字集相似的特點(diǎn)進(jìn)行網(wǎng)絡(luò)釣魚這一威脅并提出基于著色的解決方案，在APWeb2008會(huì)議上發(fā)表了該項(xiàng)成果，相關(guān)技術(shù)于2010年獲授權(quán)中國(guó)發(fā)明專利；首次提出如何尋找假冒網(wǎng)頁所攻擊的目標(biāo)網(wǎng)頁的這一問題并提出一些有效的解決方法，成果在IEEE Internet Computing（2012）雜志和FGCS學(xué)報(bào)發(fā)表，相關(guān)技術(shù)于2010年獲授中國(guó)發(fā)明專利（在本領(lǐng)域共申請(qǐng)4項(xiàng)發(fā)明專利，全部獲得授權(quán)）；基于上述技術(shù)開發(fā)出了一系列有效解決釣魚網(wǎng)站識(shí)別的商業(yè)產(chǎn)品，普通用戶版的產(chǎn)品的下載量超過5萬次，企業(yè)版的產(chǎn)品已賣出兩個(gè)授權(quán)使用許可；網(wǎng)絡(luò)版的檢測(cè)服務(wù)（phish.anxinsao.com）也收到超過10萬次的查詢，其中不重復(fù)網(wǎng)址超過4萬條，檢測(cè)到釣魚網(wǎng)址超過2萬個(gè)，自動(dòng)發(fā)送微博6000余條，擁有粉絲超過1600個(gè)。所研發(fā)的反釣魚項(xiàng)目及產(chǎn)品也已被媒體以中文、英文、日文廣泛報(bào)道，包括有線電視和《星島日?qǐng)?bào)》，并獲得香港商務(wù)及經(jīng)濟(jì)發(fā)展局原局長(zhǎng)蘇錦梁的祝賀。

用“創(chuàng)新”的思維做“喜歡”的事

當(dāng)今的移動(dòng)時(shí)代，手機(jī)和二維碼的結(jié)合越來越普遍，手機(jī)掃碼登錄網(wǎng)頁、手機(jī)掃碼支付商品、手機(jī)掃碼使用共享單車等等越來越頻繁。人們?cè)谙硎芏S碼帶來便利的同時(shí)，也不得不留心“假二維碼”陷阱。2013年，回國(guó)不久的劉文印就關(guān)注到了這一問題。

短短幾年的研究探索中，劉文印在這一領(lǐng)域也取得了可喜成果。其團(tuán)隊(duì)成功開發(fā)的手機(jī)版安全掃碼App（安心掃）可以把二維碼中的網(wǎng)址發(fā)送到云端服務(wù)器（phish.anxinsao.com）來識(shí)別網(wǎng)址是否是假冒或欺詐網(wǎng)站并提醒用戶規(guī)避。最特別的是，目前世界上只有他們的系統(tǒng)可以識(shí)別釣魚網(wǎng)站所模仿的真網(wǎng)站（假冒目標(biāo)）。安心掃在識(shí)別到假網(wǎng)站時(shí)把真的網(wǎng)站也列出來，讓用戶一鍵點(diǎn)擊即可進(jìn)入真的網(wǎng)站，可謂是貼心的服務(wù)。

對(duì)于目前的工作，劉文印的主要科研精力放在兩件事上，“一是釣魚檢測(cè)和二維碼檢測(cè)，一是網(wǎng)絡(luò)身份驗(yàn)證及管理機(jī)制”。不同于以前的是，“我們的做法都是首創(chuàng)和最新的，別人沒有做過或涉獵的。我們就是要打破現(xiàn)有的驗(yàn)證體制和驗(yàn)證機(jī)制，做到突破創(chuàng)新，也只有這樣才能有益于整體安全水平的提高?！眲⑽挠√貏e強(qiáng)調(diào)。劉文印在與很多學(xué)生及朋友探討網(wǎng)絡(luò)身份安全的案例時(shí)，包括Wi-Fi萬能鑰匙涉嫌違法、以及投訴很多網(wǎng)站強(qiáng)制用戶使用手機(jī)號(hào)作為用戶名，不少學(xué)生及朋友都不以為然，認(rèn)為他們頂多是行為不道德，并不是違法，根本不應(yīng)該小題大做。他因此感覺到相關(guān)科普非常有必要，隨即開辟了科普專欄，堅(jiān)持每周寫一篇這方面的科普短文，在微信公眾號(hào)“登錄易”中發(fā)表。另外他也經(jīng)常在學(xué)校的日常工作生活中提出網(wǎng)絡(luò)身份安全建議，例如，他建議校內(nèi)各個(gè)網(wǎng)上辦公子系統(tǒng)不用工號(hào)和學(xué)號(hào)作為登錄賬號(hào)，同事們?cè)谥讣y打卡系統(tǒng)中只使用不常用的指紋（如小拇指），以及指紋系統(tǒng)不聯(lián)網(wǎng)、指紋采集設(shè)備下班后收回室內(nèi)等措施。

“希望我做出的東西能對(duì)社會(huì)有貢獻(xiàn)，對(duì)學(xué)校有貢獻(xiàn)，對(duì)學(xué)生有貢獻(xiàn)?！彼@樣說道?！白鲇杏玫难芯俊?，是劉文印從事科研工作一直堅(jiān)持的原則和初衷，也是他對(duì)學(xué)生的基本要求。實(shí)踐是認(rèn)識(shí)的來源，是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)，理論也只有付諸實(shí)踐才能真正發(fā)揮其價(jià)值。他經(jīng)常鼓勵(lì)學(xué)生去參加各種競(jìng)賽，“真正做出東西來”。

莎士比亞說，“學(xué)問必須合乎自己的興趣，方可得益”。對(duì)劉文印來說同樣如此。他特別欽佩著名翻譯家許淵沖老先生，97歲高齡仍筆耕不輟?！叭松畲蟮臉啡ぞ褪歉矚g的在一起，人也好，事也好，喜歡的你就不覺得累，也覺得很有意思。”看似隨遇而安的劉文印，也有另一面，正如他所說：“一旦工作起來其實(shí)也很瘋狂，因?yàn)樽鲎约鹤钕矚g的事是一種樂趣?！?/p>

團(tuán)隊(duì)合影