唯實唯用 致力網絡身份安全的先鋒者
——記廣東省第五批引進創新團隊帶頭人、廣東工業大學網絡身份安全粵港聯合實驗室WIS Lab主任、計算機學院教授劉文印

□ 李曉文

隨著全球信息化步伐的加快，網絡安全已經變得越來越重要，它不僅關系民生更關乎國家安全和社會穩定。銀行卡的錢不翼而飛、股票市值一夜蒸發、詐騙電話屢禁不止、賬戶密碼數次被盜……這些普遍存在的網絡安全問題關系到千家萬戶，直至每一個個人。

盡管近些年我國計算機病毒感染率連續數年呈下降趨勢，但當前國內的網絡信息安全形勢仍不容樂觀。有數據統計，釣魚網站每年從網絡累計卷走300億元，這是一個讓人不得不正視的巨大黑洞。可見，網絡安全問題早已刻不容緩，怎樣強調其重要性都不過分。

而現任廣東工業大學計算機學院教授的劉文印，則是國際上反網絡釣魚式欺詐（Anti-Phishing）領域的先鋒之一，在圖形識別及反網絡釣魚欺詐等研究領域做出了杰出貢獻。在近30年的科研生涯中，他創造了多個“首次”，而他的堅持始終如一：做有用的研究。

一個有故事的人

興趣是最好的老師。劉文印說，自己從小的興趣就是學習。“學習是科學探索的過程。從解題的過程中得到樂趣和成就感，同時我也很愿意跟同學分享。”他是眾多家長眼中“別人家的好孩子”，高考時以優異的成績被清華大學錄取。他也是吉林省榆樹縣第一個考上清華大學的人，為母校創造了歷史，成了“歷史人物”。

為學生講解

報考清華大學時，劉文印起初中意的是無線電技術。他信奉“學之之博，未若知之之要；知之之要，未若行之之實”。早在初中時代，剛學到電路相關知識，又喜歡“動手”的他就決定自己回家也要做個變壓器，還由于短路問題造成全村停電。盡管這是一次有驚無險的嘗試，但也證明了劉文印從小動手能力就特別強，就如他自己所說：“愛什么東西就把它做出來，不只是停留在理論上。我現在做的所有的東西一定是能夠演示出來的，看得見的。 ”

盡管如此，陰差陽錯中，他還是學習了計算機。20世紀80年代初的中國，計算機條件與國外相比還相差甚遠，連摸到計算機的機會都非常有限。1988年本科畢業后，劉文印被推薦為免試研究生。而兩年提前的工作體驗中，真正讓劉文印感受到了“書到用時方恨少”。強烈的求知欲，讓劉文印決定必須回校繼續讀書。1992年，只有碩士學位的劉文印，在激烈競爭中幸運地得到了直接留校任教的名額。這也讓他更加渴望做出一番科研成績。

3年后，1995年，劉文印的妻子要被外交部派到以色列大使館工作，劉文印也決定去以色列理工學院（Technion）留學。當時，他的導師正是圖靈獎獲得者阿米爾·伯努利（Amir Pnueli）的學生、圖紙識別領域著名的以色列學者道夫·多里教授。原本3年的科研任務，劉文印用了1年半就完成了，這讓導師非常滿意。在此期間，他還發表了9篇SCI論文，相關論文共有30余篇。

1998年獲得博士學位后，劉文印選擇回國。盡管當時國內的計算機發展條件仍無法和國外相比，但微軟中國研究院成立讓他看到了新的發展機遇。1999年1月，劉文印成功加入微軟中國研究院并任首批研究員。

又是3年，2002年1月，劉文印來到香港城市大學電腦科學系任助理教授及博士生導師。而這次選擇來到香港，也是因為妻子工作變動。2010年，劉文印又隨妻子來到加拿大。2015年，劉文印入選廣東省第五批創新團隊帶頭人，在清華大學孫家廣院士的邀請下，加入廣東工業大學計算機學院，創立網絡身份安全粵港聯合實驗室（WISLab.cn），以研發、服務、育才、科普為使命，希望為提升網絡身份安全、優化整個網絡空間做出貢獻。

多地輾轉，不變的是劉文印始終保持著對科研的熱情，一直做著自己喜歡的研究。如今，女兒已在香港大學讀書，對于這些年為妻子、為家庭做出的改變和選擇，劉文印笑稱自己是一個“有故事的人”，“我覺得我做這些都是值得的”。

反“網絡釣魚”領域的先鋒

2004年，在香港城市大學工作的劉文印，像往常一樣，乘地鐵去上班。途中，報紙上的一條新聞把他深深吸引住了。“有人在網上假冒匯豐銀行，客戶輸入密碼后，結果錢就被轉走了。”看完之后，劉文印突然想到，“我就是做圖文識別的，為何不去用識別的方法檢測一下真假網站？”

從一個疑問開始，劉文印走上一個新的研究方向——釣魚（Phishing）網站檢測，而當時，還沒有人聽過“釣魚網站”這種叫法。在這個新鮮的方向上，經過努力探索和實踐驗證，劉文印取得了多項創新性成果，并發表了一系列有影響力的論文，成為國際反網絡釣魚式欺詐領域不折不扣的先鋒人物。

“研究來源于實踐和生活，要做有用的研究，讓研究成果為人們所用。”劉文印說道。“釣魚網站”的真面目到底是什么？據劉文印介紹，目前，“釣魚網站”主要集中在兩方面：一種是偽裝成央視、騰訊等的假冒抽獎網站，如，多地出現的仿冒“非常6+1”節目中獎信息騙取網民錢財的網絡詐騙事件，主要特征是以中獎為誘餌，欺騙網民填寫身份信息、銀行賬戶等信息；另一種是偽裝成淘寶、工商銀行等的在線支付網頁，騙取網民銀行卡信息或支付寶賬戶。此外還有惡意團購網站或購物網站，假借“限時搶購”“秒殺”等噱頭，讓用戶不假思索地提供個人信息和銀行賬號，直接獲取用戶輸入的個人資料和網銀賬號密碼信息，進而獲利。

可見，“釣魚網站”通常偽裝成銀行及電子商務等網站，竊取用戶提交的銀行帳號、密碼等私密信息。不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或者利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。它是一種亟需禁止和杜絕的網絡欺詐行為。但“釣魚網站”的手段一直在翻新，從初期使用釣魚郵件，進化到前幾年的釣魚二維碼，近期又出現了釣魚Wi-Fi等新型釣魚攻擊，始終在全球范圍頻繁出現，嚴重地影響了在線金融服務、電子商務的發展，危害公眾利益，同時還影響了公眾應用互聯網的信心。

像垃圾郵件一樣，釣魚郵件也是一種未經允許的電子郵件。而從表面上看，很難辨別這封電子郵件是否是詐騙。因為它不同于一些垃圾郵件，可能是一些討厭的廣告，而“釣魚”則是試圖從用戶手中進行詐騙。“釣魚”用電子郵件作“魚餌”，從而騙取訪問金融賬戶必需信息。像垃圾郵件一樣，來自釣魚黑客的電子郵件通常在電子郵件地址中包含偽造的“發件人”或者“回復”地址，及有誘惑力的標題，使電子郵件看起來像來自一家合法公司并“威逼利誘”用戶立即采取行動、掉進黑客布置的陷阱。釣魚二維碼利用肉眼看不到碼內隱藏的信息這一弱點把釣魚網址嵌入其中，很難辨別真假，只要用戶用手機掃碼，也就不知不覺上了鉤，直接進入了釣魚網站。而釣魚Wi-Fi通對假冒合法Wi-Fi，針對客戶端進行攻擊,用戶連接該類Wi-Fi就會中招。

而網絡身份，是用于在網絡中唯一區分認定某人、某機構或某個資源的標識（ID/Identity）。網絡身份安全包括準確驗證身份及防止身份造假、假冒、欺詐、泄露等。可見，網絡身份安全是第一道安全屏障。對此，劉文印提出了基于“可信用戶代理”的創新但兼容傳統密碼的網絡身份驗證及管理機制并獲授發明專利。其原型系統“登錄易”（DengLu1.cn）已發布，是一個幫助用戶（通過掃碼、推送或其他方式）自動注冊、登錄并管理賬號密碼的軟硬件產品系列，不僅解決了“密碼疲勞”問題，還能防“撞庫”和“釣魚”。劉文印還補充道，用戶再不需要人工設置、記憶及輸入眾多密碼就能在各種終端上網，既方便又安全。其自動修改密碼功能更是為愈演愈烈的數據泄露威脅提供了有效的災備手段。

早在2004年，劉文印就開發出利用互聯網文本分析的方法甄別假冒網頁的方法，首次提出“主動及基于視覺的反網絡釣魚策略”，并在WWW2005會議及IEEE Internet Computing（2006）學術期刊上發表了該項成果，相關技術于2007年獲授權中國發明專利；首次發現利用不同Unicode文字集相似的特點進行網絡釣魚這一威脅并提出基于著色的解決方案，在APWeb2008會議上發表了該項成果，相關技術于2010年獲授權中國發明專利；首次提出如何尋找假冒網頁所攻擊的目標網頁的這一問題并提出一些有效的解決方法，成果在IEEE Internet Computing（2012）雜志和FGCS學報發表，相關技術于2010年獲授中國發明專利（在本領域共申請4項發明專利，全部獲得授權）；基于上述技術開發出了一系列有效解決釣魚網站識別的商業產品，普通用戶版的產品的下載量超過5萬次，企業版的產品已賣出兩個授權使用許可；網絡版的檢測服務（phish.anxinsao.com）也收到超過10萬次的查詢，其中不重復網址超過4萬條，檢測到釣魚網址超過2萬個，自動發送微博6000余條，擁有粉絲超過1600個。所研發的反釣魚項目及產品也已被媒體以中文、英文、日文廣泛報道，包括有線電視和《星島日報》，并獲得香港商務及經濟發展局原局長蘇錦梁的祝賀。

用“創新”的思維做“喜歡”的事

當今的移動時代，手機和二維碼的結合越來越普遍，手機掃碼登錄網頁、手機掃碼支付商品、手機掃碼使用共享單車等等越來越頻繁。人們在享受二維碼帶來便利的同時，也不得不留心“假二維碼”陷阱。2013年，回國不久的劉文印就關注到了這一問題。

短短幾年的研究探索中，劉文印在這一領域也取得了可喜成果。其團隊成功開發的手機版安全掃碼App（安心掃）可以把二維碼中的網址發送到云端服務器（phish.anxinsao.com）來識別網址是否是假冒或欺詐網站并提醒用戶規避。最特別的是，目前世界上只有他們的系統可以識別釣魚網站所模仿的真網站（假冒目標）。安心掃在識別到假網站時把真的網站也列出來，讓用戶一鍵點擊即可進入真的網站，可謂是貼心的服務。

對于目前的工作，劉文印的主要科研精力放在兩件事上，“一是釣魚檢測和二維碼檢測，一是網絡身份驗證及管理機制”。不同于以前的是，“我們的做法都是首創和最新的，別人沒有做過或涉獵的。我們就是要打破現有的驗證體制和驗證機制，做到突破創新，也只有這樣才能有益于整體安全水平的提高。”劉文印特別強調。劉文印在與很多學生及朋友探討網絡身份安全的案例時，包括Wi-Fi萬能鑰匙涉嫌違法、以及投訴很多網站強制用戶使用手機號作為用戶名，不少學生及朋友都不以為然，認為他們頂多是行為不道德，并不是違法，根本不應該小題大做。他因此感覺到相關科普非常有必要，隨即開辟了科普專欄，堅持每周寫一篇這方面的科普短文，在微信公眾號“登錄易”中發表。另外他也經常在學校的日常工作生活中提出網絡身份安全建議，例如，他建議校內各個網上辦公子系統不用工號和學號作為登錄賬號，同事們在指紋打卡系統中只使用不常用的指紋（如小拇指），以及指紋系統不聯網、指紋采集設備下班后收回室內等措施。

“希望我做出的東西能對社會有貢獻，對學校有貢獻，對學生有貢獻。”他這樣說道。“做有用的研究”，是劉文印從事科研工作一直堅持的原則和初衷，也是他對學生的基本要求。實踐是認識的來源，是檢驗真理的唯一標準，理論也只有付諸實踐才能真正發揮其價值。他經常鼓勵學生去參加各種競賽，“真正做出東西來”。

莎士比亞說，“學問必須合乎自己的興趣，方可得益”。對劉文印來說同樣如此。他特別欽佩著名翻譯家許淵沖老先生，97歲高齡仍筆耕不輟。“人生最大的樂趣就是跟喜歡的在一起，人也好，事也好，喜歡的你就不覺得累，也覺得很有意思。”看似隨遇而安的劉文印，也有另一面，正如他所說：“一旦工作起來其實也很瘋狂，因為做自己最喜歡的事是一種樂趣。”

團隊合影