任奎教授:现任浙江大学网络空间安全研究中心主任,本科与硕士阶段就读于浙江大学,之后赴美深造,2007年于美国伍斯特理工学院获博士学位,2016年当选IEEE会士, 2017年当选ACM杰出科学家,主要从事云安全、物联网安全与隐私保护等领域的前沿研究工作。
任奎教授认为:“蚂蚁金服在产学研结合领域的探索和经验证明,以产业需求为出发点,以企业设立基金的形式来支持专业的学术研究,是卓有成效的。”
2018年初,由蚂蚁金服作为发起单位的 IFAA(互联网金融身份认证联盟)联合CCF(中国计算机学会)发布的“CCF-IFAA科研基金”正式揭晓评选结果。经过19位学界知名专家及IFAA联盟技术专家的两轮评审,共有8位申报学者从来自北京大学、上海交通大学、中科院、丹麦科技大学等国内外顶级知名高校和科研机构的45位学者申报课题中脱颖而出,获得资助。此后,该项目的推进成果颇丰,目前已有5篇论文在CCF(中国计算机协会)认定的A类国际会议上发表。
2018年,蚂蚁金服又投入近千万元,设立了“2018安全专项科研基金”。任奎教授在这两次的基金评审过程中都担任了专家评委一职,参与了课题的评选工作。有缘于此,这一项目也引出了他围绕身份认证领域对产、学、研协作的思考。
在领导浙江大学网络空间安全研究中心之前,任奎教授已在业内声名远播。2016年,他当选IEEE会士, 2017年又当选ACM杰出科学家。同时,他还获得了IEEE通信分会安全技术委员会技术成就奖 、纽约州立大学校长杰出奖、纽约州立大学布法罗分校资深学者奖 、美国国家自然科学基金的青年成就奖 、伊利诺伊理工学院卓越研究奖等奖项。
其间,任奎教授发表了200多篇国际期刊和学术会议的论文,并获得了ACM ASIACCS'18, IEEE ICDCS'17、IWQoS'17、ICNP'11等会议的最佳论文奖。根据谷歌学者的最新统计,他的H-index指数(编者:学术界评价论文引用度的指标)为62(全球H-Index指数超过40的计算机科学研究人员只有近千人),文章的引用次数已经超过26000,最高单篇引用数超过2000。
相比于学术成就,任奎教授同样重视的是产学研的合作经验。任奎教授认为,美国院校中的成熟模式与经验,对中国的产学研界而言,有很多值得借鉴的地方。例如科技公司的科研实验室向大学教授开放——这和蚂蚁金服等公司所推动的“科研基金”类的尝试非常近似。在这类产学研合作中,根据科研项目的规模、周期,以及距离实际落地应用的程度,相应的具体的合作方式会各有不同。
任奎教授指出,科技公司与高校的实习对接,可依据不同级别向本科生、硕士生和博士生开放,其中博士生对接的实验室通常可以支持研究者更贴近科技前沿的探索,为未来5-10年的商用做好准备。他认为,在产学研维度,美国有一些不错的模式值得中国的业界参考。例如美国的自然科学基金机构,会提供专项的基金支持,专门用于推动大学教授与企业公司的科技合作。
“通过小金额短周期的投放,让整个项目能够聚焦针对性的技术问题,这种做法对于科研成果的快速落地,以及扶持和推动科技公司的前沿创新,都有着较高的效率。”任奎教授说。
此外,一些基金还提供了在指定科研领域内推动科研成果落地的通道,例如通过指定企业导师的形式,让研究始终契合工业应用需求、与市场商用环节接轨,推动实现科研成果的产品化。
“多因子”,面向未来的安全锚点
“在国内,‘2017CCS-IFAA科研基金’项目是一个很好的开端。它是第一个围绕身份认证技术设立的基金项目。通过研究领域的聚焦,集合了学界一批核心力量,为中国未来自有的安全核心技术,做出积极的推进。同时借助IFAA良好的联盟背景,基金将产业联合起来,梳理行业共性的需求,并最终把问题引入学术界,也让学界的研究与产业应用需求接轨。”任奎教授说。
基于这个良好的开端,产学研未来的协作模式在中国还有很多横向与纵向的探索空间。任奎教授建议说,身份认证技术研究方面,通过IFAA联盟搭建的行业平台,可以推动其成员贡献更多实际的业务场景,以提升学界与产业间协作关系的紧密度。“目前,IFAA联盟成员贡献更多的是抽象出来的共性业务场景。”他认为,在确保IFAA成员自身利益的前提下,继续探索产学研在合作上的纵深拓展,必将带来更丰硕的互惠互利的成果。
科研和教育界对具体业务场景的需求之所以迫切,很大程度上来自于生物认证的“云安全”需求,以及即将到来的物联网时代的“人与物”之间的识别认证,这些都与复杂而具体的业务场景紧密相关。
任奎教授早期关于安全认证方面的研究,是基于密码学的协议与认证方案的设计。这是一个在确认认证的“锚点”之后,保证认证过程不受攻击的过程。整个过程的实质,就是用密码学的基本模块,搭建一个安全的协议组合。“这并不容易。”他举例说,“就像OpenSSL至今还存在很多潜在威胁一样,随着技术的发展,科技人员还需要去关注信任锚点的问题——包括指纹、人脸、虹膜、心跳,甚至脑电波等。”
“多因子”识别认证已经成为当下行业内趋势性的探索方向。任奎教授认为,在未来研究方向上,一方面需要研究更多的新因子,另一方面也需要确保基于新因子的安全协议可以有效防泄漏、防伪造。未来不同场景下,“多因子”认证的大规模安全应用,很大程度上将有赖于这两个基本问题的解决;而随着万物互联时代的到来,这样的需求将会变得更为迫切。“无论这个锚点基于生物的,还是基于硬件的,或是基于不同通讯通道的,它一定都要落地在具体和复杂的实际业务场景中。”他认为,多因子识别认证趋势在规避单因子认证风险的同时,也提升了对信息安全的挑战。
产业联盟可在多维度提升安全等级
谈到产业发展对于学术研究的重要意义时,任奎教授表示,一个完整的、健康运作的生态系统对于产业的价值是显而易见的。“学术界和产业界同样面临的问题是,无法确认某项技术,例如某种类型的生物识别认证是否真正可以有效的落地。”任奎教授举例说,此前在与阿里巴巴等互联网企业的交流中就谈及,某项生物识别认证技术在“万级”与“亿级”不同用户体量的背景下,很可能就是两个不同的安全问题。“这就是IFAA联盟一个重要的存在价值与意义,也是联盟未来发展的一个重要方向,对于万物互联时代安全问题的探索也具备重要的指导意义。“,任奎教授数说。
浙江大学网络空间安全研究中心成立之初,任奎教授对浙大与安全相关的学术资源进行了整合,同时也开始尝试引入海内外学者,以及加强学术合作交流等方式,来增加中心的科研实力。
“我们希望中心能与包括阿里巴巴在内的产业界,在围绕安全的需求上进行有效的交流与对接,”任奎教授说,“IFAA联盟中,阿里巴巴、蚂蚁金服等成员可以提出具体的应用场景与需求,而浙江大学网络空间安全研究中心则提供学术经验和成果。未来,以联合实验室或者联合项目等深度合作的形式,都可以发挥出产学研 ‘联合’的优势”;当联盟可以提炼共性需求时,这种交流将可以变得更为高效。”同时,考虑到政府在制定相关政策法规上的需要,类似IFAA联盟的先天优势也将起到一个技术支撑的作用;另外,在国内甚至国际标准的制定上,联盟的发展也可以做出重要的贡献。
任奎教授认为,生态系统中最薄弱的安全“短板”,决定了整个生态链的安全水平。在美国,网络摄像头遭受入侵的案例很清楚地说明了这个问题——由于摄像头供应商普遍缺乏安全意识,相关软件或固件方面出现了明显的安全漏洞。这是整个生态链的一块“短板”,如果法律法规等要求其在设计时必须达到一个安全标准,这种问题就不至于如此严重。
“从信息采集,到传输;从单应用的系统开发,到整个系统;甚至从芯片开始,每一层都需要在应用层面上符合整体的安全逻辑。”任奎教授认为,法规、政策和标准在其中将发挥重要的作用,“不可能让一个下游厂商去说服上游厂商,如何加强安全。”
联盟平台的“进化论”
“科技领域一些前沿的探索往往是有趣的”,任奎教授举例说,比如基于DNA进行信息存储的探索。该项技术在过去几年中不断有所突破,2017年,哈佛大学医学院的研究人员甚至将5帧动画存入了活细胞的DNA中。但是,信息技术与生物科学的结合在让人们倍感兴奋的同时,也暴露出传统维度的安全问题。“研究人员同时也证明:在变成数字信号前,往DNA里存储的信息中混入病毒是可行的,”任奎教授说,“尽管目前还只是概念性的证明。”
在此之前,任奎教授团队和合作者们已经在如何将信息技术与生物科学的安全结合方面做出了诸多有影响力的研究工作。 这其中包括基于眼球震颤、心脏跳动等生物信号特征的识别与认证,以及生物体植入芯片在安全通信机制方面的基础研究等等,相关成果也有部分落地。他认为,面向未来,信息安全所需探索的领域一定是跨学科的。事实上,目前的研究现状已经呈现出了这样的趋势,不仅涉及传统的应用密码学、信息安全、软硬件安全,也涵盖了分布式系统、计算机网络,软件工程、通信原理、信号处理、多媒体技术、甚至基因科学和自然语言处理等等。
与之相对应,推动产学研协作的相关联盟也需要持续不断地努力,不断地进化。他再次以IFAA联盟举例,尽管IFAA所根植的领域是互联网金融安全,但随着前沿科学的进步,IFAA未来完全可以演进成为不同领域内的综合性平台组织。因此,相关产学研协作的推动,必须紧随时代步伐,才能不断引领行业的发展。