本期项目:金融信息安全的若干关键技术及风险预警系统的研制;
所获奖项:2012年度上海市科技进步奖一等奖;
完成单位:华东理工大学、宝德科技集团股份有限公司。
项目团队主要成员参加工博会合影,居中顾春华,左一易建军
在金融信息时代,交易支付手段层出不穷,从早先的存折,到磁条卡,到IC卡,再到U盾、手机盾,等等,技术日新月异。而伴随交易手段不断更新的,是对金融信息安全需求的不断升级,落入实处,就是一系列的支付产品和交易系统的安全要求和升级需求。
对于用户而言,据一项调查,有68%的人因为担心安全问题,在使用金融交易产品时会比较谨慎。而金融机构和公安机关,也担心有人利用金融系统的漏洞进行恶意透支、洗钱等不端行为甚至犯罪活动。
本期采访的项目,是刚刚获得上海市2012年度科技进步奖一等奖的“金融信息安全的若干关键技术及风险预警系统的研制”,由华东理工大学顾春华教授等人完成。这个团队在过去的十余年中,一直在为解决金融领域的信息安全问题而努力。笔者本次采访了此项目的第一完成人顾春华和第二完成人易建军,重温他们的研究经历,与读者共飨。
正式采访一开始,顾春华教授就说,“我们这个项目有两个特点,一是多学科交叉,二是产学研结合。我们之所以能拿到这个奖,可能跟这两个特点有很大关系。”的确,从这个项目的获奖成员背景来看,既有信息专业的,也有机电专业的,还有管理专业的。而获奖单位,既有作为高校的华东理工大学,也有作为企业的宝德科技集团股份有限公司。
在提倡科技创新的今天,如何打通学科之间的壁垒,将高校的技术转化为产品,是政府、高校和企业都在努力而又困难重重的事情。而这也正是这一项目成功之处。
这一团队所研究的关键技术,既包含在我们日常生活必不可少的金融信息安全产品中,如商店购物的pos机、网上银行的U盾等等,也包含在我们看不到,但对保障交易安全极其重要的金融信息系统中。
一
现代金融交易,大多具有电子化、网络化的特征,对其安全性的研究属于信息安全范畴。顾春华教授在博士阶段,即从2001年开始,做的就是此方面的课题研究。
信息安全作为一门独立的学科,主要研究如何保护信息网络的硬件、软件及其系统中的数据――不因偶然的或者恶意的攻击而遭到破坏、更改、泄露。通俗而言,信息安全所要做的,就是保证信息系统不受“黑客”的窃取和破坏。
只是在攻读博士的时候,顾春华的研究比较偏理论。“那时候,做密码加密,算法设计,数据安全传送等研究,跟实际应用有一定距离。”顾春华说。如何跟实际应用关联起来,比如,两个协作的企业之间,既能通过公共网络自由交换重要商务信息,又能确保安全,不让黑客攻击,是当时还在做理论研究的顾春华设想要做的课题。不过当时他主要做的是基础性研究,还没想到要在金融信息领域开展研究。
大约相同时期,本项目的另一主要负责人易建军教授,正在浙江大学从事人工智能方面的博士后研究工作(2003-2005)。与顾春华不同,易建军的导师当时让他做的是与实际应用联系非常紧密的课题,即如何对金融系统及金融交易中的违规行为进行预警。
众所周知,银行系统和公安系统位于隔离开的不同网络中。如何在金融系统中,通过一定的方法预测出可能的犯罪行为,然后通知公安机关,是预警研究的主要目标。预警要研究的问题包括,一旦金融系统的操作人员误操作和非法操作,系统如何知道;一旦顾客本身有恶意操作行为,系统如何可以及时预报。易建军本身虽然从事的是机械电子专业,但是接触了这个课题后,“感觉很有意思。”
实际上,在这个阶段,两人所从事的研究并不完全相同,顾春华当时更关注的是计算机信息系统如何不受外界黑客的攻击,重在信息系统本身安全的建设。而易建军更关注的是金融信息系统如何不被使用者非法利用,重在对涉及人员的行为分析。
二
然而两人都有一个共同的兴趣点:本体论。本体论原本是一个哲学概念,后来被信息技术领域所沿用。易建军说,他们所做的金融信息的本体论,相当于把所有系统上的信息进行关联,建立某种知识地图。一旦发现这个知识地图中的某一部分发生了变动,就可以及时跟进予以防范。而顾春华研究的本体论,则比较注重如何将金融交易的流程环节的概念映射到计算机空间,并将其描述成计算机可读的语言。
正是因为有相同的兴趣,两人在没有任何项目支持的情况下走到了一起。为纯学术而开始交流。
项目团队开发的基于VPN的无线POS机,采用“嵌入式操作系统+专用硬件+安全单元+专用程序+移动数据管理技术实现的集中后台管理系统”的技术架构,实现了设备的后台统一管理平台
如前所说,两人的研究,一者偏向于金融信息安全的基础技术,另一则关注于风险预警系统的研制。
对顾春华而言,首先做的是设计什么样的安全算法,怎么来加密,怎么来解密。除了合适的算法,另一个必须注意的问题是,金融企业之间,或者金融企业与老百姓之间,由于各自的系统不同,如何设计一个通用的交流规则,即协议,让接触的双方能方便又安全地通信。
在设计算法,制定规范的基础上,研究的重点就转向了如何发明简单易用的产品。通常来说,加密和解密的过程是通过密钥(key)来完成的,所用的这个密钥不能通过网络来传送――也怕被人窃取。举例来说,客户要办理网上银行,银行会发给客户一个key,就是硬件。客户拿着这个key就可以解密。如此,直接手对手地传送密钥,其他人无法拿到,彼此之间的通讯就是安全的了。
然而,金融机构与金融机构之间,一般是在网上进行交易的,那么就可以通过手机密码、硬件加/解密设备等方式,当然也就需要新的对应的算法和产品了。
这是早期顾春华所做的研究工作,通过对系统模块化、流程化,来找出可复用的解决方案、通用的产品模块。
生产产品,是企业的强项。与企业的合作,对易建军并不陌生。易建军在浙江大学做博士后时已经与一些企业建立了联系,合作最紧密的是信雅达公司和宝德科技公司,他们非常认同易建军和顾春华的研发思路和成果,并把一些预研的产品委托给了华东理工大学进行研发。通过与宝德科技和信雅达合作,他们开发了手机盾、U盾、支付密码器等产品。后来这些产品在公司里都开展了大规模产业化生产。
总之,顾春华等人从他们设计的一些算法、标准和规范出发,与企业合作,开发出了支付终端等产品,在这个过程中,学校的技术研究与公司的产品开发也联系在了一起。
三
通过合作后,课题组又发现,金融信息系统投入正常运行后,有大量网上的金融交易数据逐年累积下来。而这些数据是可以用来被分析利用的。
比如,某一客户在某一银行一年有50笔交易。而最近两年,交易次数越来越少。这显然说明,该客户对这一银行的服务并不满意――或者有其他原因。通过这样的数据分析,银行可以整体上分析出哪些客户是该银行的铁杆客户,哪些客户是必定要离开的。最重要的,还可以发现一些摇摆的客户,他们在是去还留中犹豫不定。根据各种关联数据的分析,银行可以分析出这些客户对银行服务中的哪些地方不满意。作为对策,银行可以适当地做一些活动或者修改一些规则,来留住这样的客户。
当然,交易信息不仅可以被用来预警客户的流失,还可以预警违规操作和洗钱行为。一般客户的特征通过数据可以刻画,而一般客户的交易特征也可以通过数据来表达。一旦出现与这些通常行为不一致的行为特征,就说明可能存在问题,或者是银行内部从业人员进行了违规操作,或者有人通过交易系统不断地洗钱。总之,根据金融机构保存下来的历史数据,从中挖掘出一些知识,可以及时判断出利用金融信息系统的不端行为甚至犯罪行为。
事关监控和预警,就涉及到管理学的问题。于是课题组后来又吸收了管理学学科的教授专家。
2009年下半年,这一多学科交叉的团队,获得了一个新的发展契机。当时,有一个针对教育部直属高校的科研业务费的扶持基金,其中有一个“重大交叉学科项目培育计划”。因为这一课题组其时已经有了非常扎实的基础,来自信息、机械和管理三个学科的三位教授就联合申请了该计划并获得了支持。从这时起,三个学科组成的团队就更加紧密地合作起来了。顾春华说,“这就是机制的保障。”目前,参与这个项目团队的人员共有二十余人,围绕着同一个课题,发挥各个学科的专长,一起讨论、设计、实验,将研究工作稳步向前推进。
四
如果说获得上海市科技进步奖一等奖是学术界对这一项目的肯定,那么,这一团队所预研的产品后来在金融机构大量运用,则说明了产业界对这一项目的认可。
目前,这一项目的项目成果广泛应用于银行、证券、保险3大金融支柱行业中包括中国银行、工商银行、农业银行等行业龙头在内的200多家金融机构,以中国农业银行为代表的用户认为:“产品上线三年来,高效、可靠地支持了全行近亿用户的正常金融交易”,“各方面性能都处于业界领先水平,为我行安全稳定的金融交易提供了有效的系统保障”,“我行以往使用的交易系统很难在不同支付模式、不同支付业务的各个环节中提供所需要的不同的安全防护机理。自从替换华东理工大学等研制的产品与平台后,很大程度地降低了不同的安全产品与安全方案造成的安全管理复杂度风险和整个系统安全检查的困难度。三年的运行结果表明,该产品性能指标完全符合我们金融交易需要,且安全、稳定、高效。”
我们期待这一多学科交叉、产学研结合的团队,在将来做出更大的成绩。
2013年4月19日上午,2012年度上海市科学技术奖励大会在上海展览中心召开。2012年度上海市科学技术奖共授奖282项(人)。在接下来的“走近科学”中,我们将一如既往,选择与民生密切关联或者有重大经济效应的科研项目进行报道。我们也希望读者能够将您所希望了解的项目通过电话、邮件、网站(http://www.worldscience.cn/)、微博(“世界科学编辑部”)等方式与我们联系。2012年度上海市科学技术奖各获奖项目公布在上海市科学技术奖励管理办公室的网站http://www.shjlb.org.cn/,感兴趣的读者可前往查阅。