2016年春节刚过,网络安全圈子就传出一个好消息。清华大学博士生陈建军等研究者在美国举行的学术会议NDSS’16 上发表的论文 “Forwarding-Loop Attacks in Content Delivery Networks” (CDN的转发循环***)被评为杰出论文 (Distinguished Paper)。这个“杰出论文”的分量有多重?答案是非常重!要知道,NDSS(Network and Distributed System Security Symposium)是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一,本次的4篇“杰出论文”是从389篇全球的研究论文中录取的,分量相当重。此外据业内人士介绍,这次是中国科研机构在网络免费云主机域名和系统安全领域国际顶级会议上首度获得最佳论文奖,具有标志性的意义。值此契机,老杨约见了本次论文研究团队负责人、清华大学网络科学与网络空间研究院段海新教授。3月的一个下午,在段教授回国的第二天,我们在清华大学东门外的一个咖啡厅见了面。段海新是谁?虽然是第一次见面,但“段海新”这个名字在我接触网络安全领域这些年中丝毫不感觉陌生。查询一下百度就能知道段海新的“分量”:作为安全圈里年轻的教授,他现在已经是清华大学网络与信息安全实验室主任、博士生导师,还是中国教育和科研计算机网紧急响应组(CCERT)负责人,承担过国家 973 、 863 、自然科学基金等多项国家级科研项目,在国际顶级学术会议或期刊上连续发表了多篇研究论文。段海新(左二)和他的学生们 (图片来自于网络)段海新不仅在国内外的科研界名气响亮,对产业的敏感度和影响力也是一流。作为一个规范的科研人员,段海新团队在做事方式上和传统的漏洞挖掘有不小的差别。在文章发表之前,他们一般都和相关厂商进行联系,事先修正问题,然后再行公布。无论国际和国内,业界人员提起段海新团队,对其研究水平以及负责任的态度也都是认可的。曾经有微软全球应急响应中心的人员收到了他们的报告,就其真实性找同事咨询,然后被告知,这个团队报过来的问题,百分之百是准确的。其实本次获奖论文本身就足以说明段海新和他们团队的风格。从选题上讲,他们的研究非常结合实际:作为目前网站加速和防范DDoS***最佳实践方案的CDN本身,竟然存在着严重的结构性问题和被DoS***的风险!论文研究团队成员之一郑晓峰曾经在一次介绍这个论文的演讲时用了“我们如何差一点拯救了互联网”这个题目,可见这个选题的实用性!但值得一提的是,段海新团队并没有“悄悄”地用这个事情抬高自己打击别人,而是非常严谨负责地同厂商进行联系和协商。他们前后测试了16个商业CDN产品,并通知了所有商家,同时和他们——包括Akamai、百度、CloudFlare、阿里、腾讯和Verizon等多家公司——的技术人员进行了广泛的沟通和交流,共同探讨解决方案;此外,由于防范这种***需要多个厂商统一协调的行动,清华团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。从宣传效果上讲,这些事情使得论文的震撼效应降低了很多,但这也许就是段海新的风格所在。自由和纯净地向前走老杨和段海新的会面是通过微信联系的。本来约的是中午,但段老师前一天晚上告诉我,说当天下午还要开会,担心时间局促,建议改在下午5:00。而当老杨刚刚赶到会面地点,距离见面还有两三分钟,收到了他的信息,说他晚到一会,大约5分钟;而等老杨找到座位回复信息之后没两分钟,一位一身休闲装的绅士已经在门口叫我的名字了。和在网上的照片相比,坐在我面前的段海新略显憔悴,但保持着风度和热情,这让我看到了一种长期背负责任感的习惯。事后我才了解到,段老师夜里从美国返回,当天下午就上课,然后回家补觉,结果夜里三点就醒了怎么都睡不着。但段海新当时没有太多解释,只是说时差还没倒过来,所以有点累。谈到上课,由于老杨也做过教师,我们的话题就从这里开始。段海新是安全领域的知名“教师”。这些年来,他的多名弟子已经成为业内的明星级人物。且不说前几年在学术界引起轰动的DNS协议漏洞发现者江健博士、发现HTTPSCookie注入问题的郑晓峰,就说这两年间,杨坤、朱文雷等创办了长亭科技,还有一批“蓝莲花”战队的小伙子被业内各明星企业盯得紧紧的。但是,中国的网络安全人才培养一直是个大问题,虽然这几年有所提升,但依然差距明显。最关键的是,我们依然没有看到一个成体系的安全培养方式。就拿大学来讲,目前能达到像段海新团队这样在国内外有影响力的研究团队其实还不太多。那么作为团队的领头人,段海新自己认为,他们的最大特点、或者说经验,到底是什么?面对我抛出的这个问题,段海新脱口而出:自由!这是一个令我非常意外的词,但从一向以“敢言”著称的段海新口中说出,我倒不觉得吃惊。我想起来,加段海新微信的时候,他的签名档上写的就是:“原谅我不羁放纵爱自由”。我脑子里又闪出“蓝莲花”,这个一直代表着中国出征全球网络安全竞赛的“蓝莲花”战队,正是在段海新所负责的实验室中诞生。我问段海新:“‘蓝莲花’这个名字是您起的吗?这个名字和许巍那首歌有关系吗?”段海新点头承认。2010年蓝莲花组队,段海新一方面非常喜欢许巍歌里的那句“没有什么能够阻挡我对自由的向往”,另一方面也喜欢莲花的那种出淤泥而不染,因此就用了这个名字。他希望自己的学生能够在这个充满诱惑的环境里,干净而自由地向前走,不沾染那些坏的东西。段海新认为,学术的研究应该只是为了满足人的好奇心,兴趣是最大的驱动力。段海新认为,安全领域不同于对自然现象的研究,大自然不会故意和你作对;但安全是人和人的对抗,这种对抗是无止境的。这种情况下,让学生保持持续研究的关键,应该是兴趣,就是说让学生做自己喜欢做的事情。在这方面,段海新的感受很深。他自己在读书的时候,常常苦恼于无法做自己感兴趣的事情,只能根据导师的要求完成任务;同时一个很大的苦闷就是没有交流,也没有人可以交流。因此,在做了老师、特别做教授有了一定自主性之后,段海新就非常喜欢跟学生讨论具体的技术问题,如果能找到一些非常好的主意和点子,就会鼓励学生继续做下去,同时也在国际上寻找最领先的合作者。例如蓝莲花战队队长杨坤的研究重点其实是软件安全,这并非段海新的专长,但是他还是鼓励杨坤沿着自己的兴趣做研究,并且把他推荐到美国加州Berkeley著名教授Dawn Song那里参加美国国防部的CGC(Cyber Grand Challenge)项目,在那里经受更多的锻炼。自由,也是科研的重要原则但是,除了在帮助学生成长方面重视他们的“自由”,安全研究和“自由”有关系吗?段海新也给了我同样肯定的答案。段海新用他自己的亲身体会告诉我,中国的学术研究机制和强调集体作战,年轻教授没有独立的地位,每个人都属于一个大的团队,下级服从上级;这样的结果是每个人都丧失了自己的独立性,也就没有了自由,没有了独立的学术思想。段海新强调,每个人做自己喜欢做的事情,这是非常重要的,如果每个学校、每个院系都能够保持这样的激情,每个教授都独立的做自己喜欢做的事情,也许不一定在CTF比赛或者学术论文上取得重大突破,但很可能在其他领域里崭露头角。事实证明,国际上出成绩的很多院校,就是在这种情况下取得令人瞩目的成绩。段海新强调,一个学术研究团队,核心的评价指标到底是什么?是看拿到了多少国家项目、给学校挣了多少钱,还是作出了多少创新成果?我问他,国家项目和科研创新,应该是不矛盾的呀?这里面有什么问题吗?段海新回答说,现在的问题是,现在面向自由研究的项目越来越少,大规模的集团作战越来越多,在这种情况下,年轻人的机会越来越少,往往需要依附某些大牌教授才能进行。年轻人缺少资源、成果被淹没,只能等到“多年的媳妇熬成婆”。另外,学校有还有各种短期的考核指标,有时年轻人疲于应付,碰到什么项目就做什么,失去了自己的研究方向。我不知道该说什么。沉默一会,我问他:“这种情况,现在有改善吗?”他很肯定的回答:“目前没有,而且越来越糟糕。”“那么,你想给年轻教授们说些什么?”“我们都是在体制内生存,确实无法像国外教授那样独立自主做研究。但是,在基本满足了现有体制的基本要求以后,还是要投入一些精力做一些自己喜欢的研究,特别是跟踪国际研究的前沿。一开始也许可能没有成绩或者不被承认,但是坚持下来总会有收获。如果全世界都承认你的成果了,现有的体制自然也就认可你了”,段海新如是说,研究也不能只是眼前的苟且,只是迎合现有条条框框来做研究,很难作出有影响力的成果。【总编约茶】“总编下午茶”是老杨主持的关注技术应用和IT前沿的访谈栏目。想和老杨一起喝下午茶?欢迎联系yangwf@51cto.com。
JWT是JSON Web Tokens的缩写。既然叫JSON Web Tokens,所以JWT Tokens中真正包含的是多个JSON对象。为什么是多个JSON对象呢?因为SWT Token实际上是由三部分组成,其中有两部分是JSON格式。这三部分即头(Hea…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。