汪定今年31岁,出生于郧西县观音镇天河口,初中时就读于郧西三中,2001年被郧阳中学录取。“回想起来,我要感谢初中时学校开设的信息技术课。当时,郧西县还没有多少台电脑,我觉得学习机会难得,于是学习得很认真。”(十堰晚报:张贞林)
口令在坊间被称为“密码”。密码在我们的生活中常常使用到,如何做到最有效地安全防护呢?从十堰走出的北京大学博士生汪定率队攻克了这一难题,研究成果被20多个国家的200多家媒体报道,美国国家身份认证指南据此修订了标准。日前,郧阳中学收到北大发来的一份喜报,该校2004届毕业生汪定当选北大学生2016年度人物,以表彰他取得的国际级学术成果。昨日,记者电话采访了汪定,分享他破解这一难题的科研故事。
汪定组建团队,攻克了网络安全基础难题
经层层选拔获评 北大学生年度人物
“这次被评选为北大学生年度人物的,一共有10位,没想到自己能当选。”昨日,记者电话联系上了在北大攻读博士的汪定。对于这次当选,汪定表示,他身边有这么多优秀的同学,而他做得很不够,会继续努力。
记者了解到,这是北大第三次评选“学生年度人物”。首先由院系推荐,然后由学校组委会筛选出32人,再经过100余位各大院系代表评选出20人。“这20名学生进入终评答辩环节。答辩现场公布10名获奖者,2017年学校新年晚会上,我有幸从学校领导手中接过荣誉证书。”汪定对记者说。
在北大,汪定被同学们称为“学术达人”。2013年,汪定考取北大信息科学技术学院(以下简称北大信科学院)博士生,研究方向为密码与信息安全。近三年来,他以第一作者在ACM CCS和IEEE TDSC等国际重要刊物发表长文18篇,其中3篇入选“ESI高被引论文”(前1%),累计被引用690余次,单篇最高引用105次。2015年,获得“中科院信息安全国家重点实验室研究生奖学金”,2016年获高通奖学金和北大信科学院第十二届“学术十杰”(第1名)。
其实读硕士时,汪定在学术上就已崭露头角。他本科就读于南开大学,研究生学习转到哈尔滨工程大学,其间以第一作者身份发表10多篇论文。凭借优秀的科研成绩,2013年,汪定考取北大的博士生,师从北大软件工程国家工程研究中心王平教授。
“能够取得一点成绩,是因为我比较幸运,在正确的时间、正确的地点和正确的人做着正确的事,都是大家关心的结果。”汪定言语间充满着感恩。
汪定(左二)入选北大学生2016年度人物,图为颁奖现场
我国第一位主攻口令安全的博士生
汪定今年31岁,出生于郧西县观音镇天河口,初中时就读于郧西三中,2001年被郧阳中学录取。“回想起来,我要感谢初中时学校开设的信息技术课。当时,郧西县还没有多少台电脑,我觉得学习机会难得,于是学习得很认真。”
“在郧阳中学,通过开设的信息技术课程,我初次接触了编程技术。”高中期间,汪定从报纸杂志了解到,以计算机为代表的信息产业将改变人类未来的生产生活方式。高考填报志愿时,他决定报考和计算机相关的信息安全专业。
汪定是全国信息安全专业的第四届学生,“信息安全从2015年成为国家一级学科,与计算机学科并列,是一个非常重要也很有前景的学科。”谈起信息安全,汪定的兴致很高。“从2016年的美国大选就能看出来,信息安全已经从单纯对互联网本身的影响,变得涉及到我们生活的方方面面了。”汪定这样解释自己从事的行业重要性。他认为,无论是从企业研发、高校教育还是科研领域来讲,这一学科都将大有可为,是未来信息科学研究的朝阳方向。
汪定的研究方向为密码与信息安全,是实验室第一位主攻网络安全的研究生,也是我国第一位主攻口令安全的博士生。
他说,网络安全事关国家安全,身份认证是确保网络安全的第一道防线,口令是应用最为广泛的身份认证方法。这个口令也就是常说的“密码”,通常是6到10位的字符串,看似简单却往往令研究者无从下手,常涉及多学科交叉知识。国外做得比较好的有剑桥大学、卡内基梅隆大学、普渡大学、麻省理工学院等研究机构;在中国,有北京大学、武汉大学、复旦大学和西安交通大学等高校的研究团队,他们在国际上也发出了自己的声音。
口令安全研究是一场与黑客的智力较量。“因为我是实验室第一个主攻口令安全的研究生,首先遇到的难题是没有现成的口令数据。”汪定就天天盯着各种黑客论坛,一有泄露立即收集信息。“在研究中我发现,口令破解不是一个人能完成的,需要多名交叉科学背景的同学共同完成,我就在校内外BBS发帖,招募感兴趣的同学,组建了一个团队,目前有20多位成员,包括北大、北航、北邮的学生,几年来每周六下午的讨论会风雨无阻。”
挑战口令安全领域未攻克的基础难题
在口令安全领域,一个长期未攻克的基础难题是,在攻击者未获取网站服务器口令存储文件的情况下,如何以最少猜测次数确定目标用户的口令。于是,汪定决定挑战这个难题。因为口令猜测研究过去一直局限于漫步猜测,关于利用个人信息加速口令在线猜测的研究极少。“这不符合我们的密码使用习惯,就像黑客知道了我们的邮箱账号、姓名或者生日,可以据此猜测支付宝账号。”
汪定说,长期以来,学术界和工业界都普遍认为口令在线猜测攻击可以轻易防范,比如采用动态验证码机制、限制每日失败登录次数、限制失败登录频率等。美国国家标准NISTSP-800-63-2也持这一观点,该标准是用来指导美国政府、企业和各种组织对各种涉密信息系统如何进行用户身份认证的指南。
“这一观点背后的自信源于对攻击者成功率的低估,可事实上,随着科技的发展,现在黑客的攻击现象频发,现有的防御方法对定向口令在线猜测攻击来说是束手无策的,比如时常发生的银行卡、QQ等用户密码被盗的情况。所以,必须要改进现有的在线口令猜测的防御机制。”汪定说。
针对“给定网站和目标用户的相关个人信息,如何以最少猜测次数确定目标用户的口令”这一问题,汪定团队提出了一个定向口令在线猜测攻击框架。该框架包含7个概率攻击模型,分别刻画7种不同能力的现实攻击方法,且实现口令猜测过程自动化,其中5种攻击方法为首次研究。
在9600万条真实口令数据的测试结果显示,在允许猜测100次的前提下,如果攻击者仅知道目标用户的一些常见个人信息,成功率约为20%;如果还知道该用户曾在其他网站泄露的一个口令,成功率可提升至77%。
汪定团队的这一结果大大超出此前人们的预期。因为这个结果意味着,当前这些防御在线口令猜测的安全机制(如动态验证码机制、限制每日失败登录次数、限制失败登录频率灯)远远不够的。如果攻击者利用他们团队提出的攻击方法,各种普通的计算机系统、网站,甚至涉密信息系统的大门对攻击者来说是敞开的。
研究成果促使美国身份认证标准修改
2016年7月,汪定团队的研究以《定向口令在线猜测:一种被低估的威胁》为题,发表于美国计算机协会主办的第23届计算机与通信安全会议( ACM CCS)。
据了解,该会议被公认是网络与信息安全领域的顶级学术会议之一(也是中国计算机学会和中国密码学会所推荐的A类国际学术会议),创办23年来,中国大陆研究机构以第一完成单位发表的长文不超过10篇。
汪定团队的这项研究成果,自去年8月底公开以来,目前已被数十个国家的200多家媒体报道,相关报道涵盖20多种语言。该成果已成为包括美国普渡大学在内的欧美多所高校2016秋季学期的授课内容。
美国国家标准与技术研究院曾就其数字认证安全指南(NIST SP-800-63-3)向汪定和论文作者们征询防御措施。2016年9月18日,美国国家身份认证指南(NIST SP800-63-3)根据该结果,修订了在线猜测防御部分的内容。
汪定在痴迷科研的同时,还积极承担多项学术服务工作。2016年,他应邀担任国际电气和电子工程师协会汇刊(IEEE Trans)和《中国科学》等50多个国内外期刊和会议审稿人;担任16个ACM/IEEE国际学术会议的程序委员会委员,包括如IEEE TrustCom、ICPADS、ISPEC、ProvSec等著名国际会议,委员们基本都是国际知名教授,极少有在读学生;4次受邀在国内外学术会议作大会特邀报告。
采访中,汪定说,在北大求学中,令他最难忘的是,一次外出参加学术会议时,一位教授曾当面对他说:“你符合我对北大学生的印象。”这句话让他深感做为一名北大学子所肩负的社会期望和责任,只有不断追求卓越,才会不负青春,才堪称未名学子。
