|
 |
|
 |
 |
| |
| |
| 賴溪松教授主要研究領域在資訊安全,從1986年迄今已有23年。早期以密碼學有關領域之理論研究為主,但在1997~2003年期間擔任中華民國資訊安全學會理事長,有機會接觸政府單位與業界,發現政府單位及業界所面臨之資訊安全威脅及所需之資訊安全人才並非只有密碼理論,尚有系統安全及資訊安全管理。此外,除理論研究之外,尚需許多實務經驗以實地解決其需求。故自1998年起,研究領域已由密碼理論研究擴展至系統安全及資安管理。11年走來非常辛苦,但也累積相當大能量以解決實際的資訊安全問題並培育許多政府單位及業界非常有用之資訊安全人才。 |
|
| |
 (一)近五年之重要成就
|
 1. 密碼相關研究
(1) 多重公鑰憑證 (MPK, Multiple Public Key)
提出多重公鑰憑證 (MPK, Multiple Public Key) 之論文,並於 2004 年 11 月獲邀至國際應用 PKI 會議 (IWAP) 發表專題演講。今年 3 月 31 日接獲國際組織 WebPKI Dr. Anders Rundgren 來函表示,將採納我們 MPK 概念為嵌入式元件之 RFC 憑證標準,做為標準識別憑證 (Standard Authentication Certificate) 。
目前廣泛使用的公鑰憑証標準是一張憑證一份公鑰,但在實際應用上我們通常需要許多不同的公鑰,例如:由於安全上的考量,電子簽章與加密的金鑰是不一樣的。因此,在一些密碼協定需要同時電子簽章及加解密時,雙方必須傳送兩張不同的憑證,並對此兩張憑證認證其有效性,才能取出公鑰加以使用。如此,在公鑰憑證的傳輸及認證上將消耗許多頻寬及效能,不利於一些需要快速或低功率元件之應用。我們 MPK 的概念,即為全世界首先指出此種問題,並探討目前憑証標準 ( 以 RSA 為例 ) 如何在實作上利用一張憑證放入多重公鑰,以利實際應用;論文中我們亦探討多重公鑰憑證的一些基本限制及其可能減少認證之時間。
(2) 多重指數運算 (IEEE Trans. on Computers, 2007/2)
已給 a 、 b 、 x 及 y ,求 c=a x b y 稱為多重指數運算,本研究室在 1992 年首先指出此運算在密碼學之重要性,並發表論文在澳洲密碼會議 ( 及知名亞密之前身 ) 。密碼學知名學者 Lenstra 與我們討論後覺得多重指數運算在密碼學屬基本重要運算,但當時大多數密碼研究者並不了解,故與我們共同表論文。 1995 年後橢圓曲線系統 (ECC) 日益重要,其基本運算 x A+ y B 即與多重指數為同構,亦即多重指數運算之方法可直接套用。
ECC 系統中之 x 及 y 可用符號位元 (sign digit) 表示,即用 (0,1,-1) 表示,則每一個 x 或 y 有多種表示法。目前發表的許多多重運算均是將 x 及 y 的表示法中非 0 位元對齊,以加速運算,這些方法我們稱為 Recoding 法, 2001 年 Solinas 提出一種最佳演算法並證明其效能極限為 0.5n 。我們在第四篇重要論文提出一種完全不同的方法稱為非同步策略 (Asynchronous Strategy) 可將其效能提升為 0.407n ,此外在二位元時亦可將理論最佳值由 0.75n 降為 0.667n 。本論文不只是在多重指數運算之理論有很大的突破,其演算法亦很容易實現,非常適合於嵌入式元件在密碼上之應用。
(3)金鑰管理
金鑰管理是密碼學領域最重要的課題之一。近5年來共有三篇重要著作,分別簡述如下:
|
| i、 階層式金鑰管理(IEEE Trans. on Dependable and Secure Computing, 2006/3) |
| |
階層式金鑰管理首先由Akl及Taylor提出(ACM Trans.1983),接著Mackinnon等人提出最佳的金鑰指定法(IEEE Trans. Computers, 1985)。由於此議題在應用的重要性,隨後有許多論文研究此議題,但基本上均假設階層式架構不變且每一使用者所屬之Class不變,若需隨時間變動則必須全部或大部分金鑰需更新。交大曾文貴教授首先嘗試解決此Time-Bound問題並發表論文(IEEE Trans. Knowledge and Data Eng., 2002),但其方法除太過複雜且沒有效率外,亦容易遭受Collusion攻擊(Yi and Ye, IEEE Trans. Knowledge and Data Eng., 2003)。第五篇重要論文中,我們定義一種Merging的函數,其概念與前人方法最大不同在於前人只考慮階層式的架構,而我們考慮原始金鑰本身。因此,Merging概念可視為Source Coding 中的壓縮碼概念,提供一種Systematic approach 將前人的方法,例如:Akl-Taylor方法調整的更有效率,並徹底解決Time-Bound的問題。論文Table3顯示我們的方法較前人方法有非常重大的改進。
|
| ii、 Pay-TV之金鑰分配(IEEE Trans. on Multimedia, 2008/4) |
| |
目前Pay-TV由於頻寬的限制及計算能力的限制,用戶對於頻道(Channel)的選擇(例如只有少數頻道套餐)及計價的選擇(例如只能以月計)均非常有限。在第三篇重要論文中,我們基於前述階層式金鑰管理論文之概念發展三種Pay-TV金鑰分配之方法:1.基本方法:利用Channel hierarchy之概念實現傳統Pay-TV金鑰分配問題2.Auth-rang方法:利用Time-bound hierarchy 之概念以解決用戶計價單位小(例如以天計)之問題3.Auth-expr方法:將基本方法之時間如一月分割成連續時段,並以各時段分別指定key的方式以改進基本方法之通訊及計算效能。論文對此三種方法之效能進行完整的理論分析,圖12及13中可以顯示無論在Communication load及Computation load均優於目前知名的方法(Crypto 2001)及國際標準(IETF RFC 2627,1999)。本論文已被網路通訊國家型科技計劃(NCP)選為2008年頂尖期刊論文之一。
|
| iii、 分散式感測網路(DSN)之金鑰分配(IET Communications, 2009/5) |
| |
Eschenauer及Gligor首先提出DSN之金鑰分配方法(稱為EG方法, ACM CCS, 2002),接著許多改進的方法均發表在國際著名期刊或會議。但這些方法最大的特點為這些待分配的key都是獨立的。在第二篇重要論文中,我們將待分配的key分成許多群(group)並定義一個Ø函數,使得每群中之key滿足Ø函數,則這些key為相依(dependent)的,相依key的最大好處在於它滿足適當條件時可獲得額外的Group Key,使得Sensors未來在建立Secure Channel時有更大的機率。本論文的效能分析證明不論在Connectivity、Communication overhead 及Energy Consumption均遠優於傳統的EG方法。
|
| |
(4) 建立我國因數分解能量
本研究室(與中山大學官大智教授合作)於2003年以41天分解 (16 Nodes PC Cluster) 115位數(約380位元),2004年 10月則完成分解 RSA 130 (約430位元),這雖然不是世界記錄(RSA 130在1996年被分解),但卻是亞洲記錄。也是以QS(別人均為NFS)方法分解 RSA之最高記錄,因為傳統認為QS只適合於分解100位數以下。2008年整合成大及台大研究能量及計算資源,成功地在五天內分解RSA 512位元(約155位元,在1999年以半年時間分解),此論文發表於第二十五屆組合數學與計算理論研討會,並被評審委員選為最佳論文獎。
2.系統安全之研究
(1)抵禦無線蟲洞攻擊(Sensors, 2009/06)
無線隨意網路(mobile ad hoc network)是一種新興的網路系統,依靠著自我組織的能力在沒有基礎設施的環境當中,可以快速而有效率地形成一個通訊網路。但這種型態的網路因通訊全 靠無線傳輸,容易存在許多安全性的問題。其中,蟲洞攻擊是一種藉由快速的傳輸方式以取得相較於正常路由更好的傳輸參數,進而掌控路由權利所產生的攻擊。近年來許多針對此問題所提出的解決方案均可從管理者的角度來探討,如視覺化法、封包控制法及靜態分析法等方式來偵測蟲洞的存在與否進而避免之;本論文提 出一個有效率的機制,僅須由使用者的角度避免明顯可能存在危害的路由,即可達到較上述機制更為良好的安全效果。
(2)網路安全測試平台之建置(Testbed@TWISC)
自2003年開始投入網路安全測試平台的建置,從傳統的網路安全測試平台開法發展,到整合美國Utah大學所授權的Emulab Testbed軟體、國產硬體以及自行研發設計的軟體與韌體,利用簡單的Web-GUI操控介面,即能克服時間與空間的限制,提供國內資訊安全研究與實驗所需的隔離性、封閉性、可紀錄性、可控制性與可儲存性之完整環境。發展至今已成為世界第三大的網路安全測試平台,自2004年8月至2008年12月在NCP及NTP國家型計劃下共補助6件專案計畫,合計4,700萬元以上,為國內唯一的網路安全測試平台。由於我們採用國內硬體,在硬體建設上較諸美國可節省40%的建置費用(估計本計畫較Utah大學平台硬體節省新台幣1000萬元以上)。但在建設過程中需修改許多軟、韌體並克服許多技術困難才得以達成。今年9月我們將軟體版本upgrade之最新版本,並新增許多Utah大學沒有的功能,充分顯示我們的技術能力。
目前此測試平台已有155個節點,並將於2009年12月擴充到198個節點以上,全國至少有30所大專院校、2個研究單位(國網中心及資策會),總計超過292個帳號利用本測試平台進行技術研發與人才培訓。若依國科會工程處貴重儀器使用中心擬定相關使用收費辦法,以每小時、每節點20 元進行收費,每年本平台可節省學術界1500萬元以上的虛擬經費研發支出,協助國內資安產業、研究機構及學術界培育更多人才。
鑑於肯定本測試平台規模、研發能力與提供的服務,Utah大學2009年2月17日推薦Testbed@TWISC與 Utah大學及比利時IBBT(Interdisciplinary Institute for Broadband Technology)共同合作參與Emulab-based GENI之跨國合作與研究,共同研究未來測試平台跨洲(美、歐及亞洲)資源共享之資安政策及存取控制等相關議題。此合作計畫通過美國NSF初審,但可惜最後決審未通過,明年度將繼續跟Utah大學及IBBT合作提計畫繼續努力。
(3)對教育界及業界之具體貢獻
在此測試平台之協助下,我們已開發出許多資安檢測技術工具及系統並分別技轉給教育部TANet及業界:
|
| |
i、 教育部網站應用程式弱點監測平台之開發 |
| |
|
教育部網站應用程式弱點監測平台是為了協助TANet連線單位而發展的機制,希望能透過自動化檢測程式,減少人工檢測所耗費之資源,並降低使用免費軟體工具被人詬病的準確率等問題。監測平台目前可針對網站應用程式執行SQL Injection與XSS弱點檢測服務(為本研究室自行開發工具),並以線上的方式供連線單位檢測轄下之網站,並於檢測完成後自動產生檢測結果報告與弱點修補建議,(該系統之核心技術均為本研究室自行開發)。
為能夠提供足夠的網站檢測服務,此平台已於2009年8~9月移轉至13個區網中心,協助建立長期營運機制,使教育單位網站有穩定、可靠的網站弱點檢測工具,進而加強各教育單位的網站安全。
|
| ii、 2009年技轉及技術輸出給兩家公司,金額共120萬。
|
| |
iii、 開發出CVSS弱點掃描系統,已結合資策會之弱點掃描引擎,共同委託資策會技轉廠商中,目前已有國內三大電信公司之一委託我們以此系統進行其公司內部之弱點掃描(金額為60萬元),其掃描結果將與國外大廠之產品進行比較。 |
| |
|
| |
3.資訊安全之應用
(1) 大學網路選填志願系統之實作
2004年大學聯合招生委員會宣佈為便利考生選填志願,將在2005年進行大學網路選填志願服務,即所有考生可上網選填志願而不必再畫志願卡並至指定地點繳交志願卡。本人當時為成大計算機中心主任,亦為大學聯招分發委員會之技術負責人,立即規劃所有相關技術及進行系統設計與開發(所有軟體系統均為自行設計開發與測試)。當時民眾及考生家長對此系統之最大疑慮即為資訊安全,因本人之專長即為此,故將密碼、系統安全及ISMS制度引進此系統,並將設計理念逐一與民眾溝通,最後幸而達成此一歷史使命。
2005年大學聯招網路選填志願,為國內當時教育體系最大型的網路應用服務,約有10萬多名考生參與完成網路選填志願,每年約可節省300多萬繳卡及讀卡經費及約十萬多名考生與家長因繳交志願卡所造成的往返交通與時間損失。2007年該系統經行政院研考會選為當年度電子化政府五大便民系統之ㄧ,並請TVBS製作一分鐘專題報導(如下圖)。目前大學學測及四技二專聯招之選填志願亦參照此系統實作,每年約有近30多萬人次考生使用該系統。
|
| |
|
| |
(2) 教育體系資訊安全管理系統(Information Security Management System, ISMS) 標準之建立
2005年12月至2006年5月協助教育部規劃ISMS,此版本的ISMS在於擺脫需經國際認證的要求,改採符合教育界的資安需求進行認證,並以成功大學計算機網路中心進行試辦且取得良好成效,廣受好評。此一教育版ISMS在2007年由教育部公布為標準並從2008年正式推行到100多間大專院校以及1000多間高中職學校。目前非教育版的ISMS,單一案件輔導所需經費,將會比教育版推動的費用還要高出50-100萬元左右,估算經由改採教育版ISMS,教育界所節省下來的成本將超過1億元以上,每年亦可解省500萬以上元的換證費用。
目前該制度已經培育超過200位具有ISO 27001 LA證照的TANet連線單位人員,其中有64位成為教育體系ISMS稽核觀察員,為國內扶植相當多的資安稽核人才,並有超過20個大學通過教育機構資安驗證中心的認證,順利取得證書,預期未來將有更多的連線單位順利獲得認證,以強化TANet的資安防護能量。
|
(二)國內外重要獎項:
1.
2005年榮獲國立成功大學產學合作特優獎(每年僅頒發二位)。
2.
2005年因在資訊安全上之貢獻獲聘為CCISA(中華民國資訊安全學會)榮譽顧問,並獲頒傑出貢獻獎。
3. The Best Paper Award, “A
model of Enterprise Digital
Forensic Decision Making”,
National Computer Symposium(NCS
2005), December, 2005.
4. The Best Paper Award, “Factor
RSA-512 within 5 days”, The 25th
Workshop on Combinatorial
Mathematics and Computation
Theory(第二十五屆組合數學與計算理論研討會), April
25~26, 2008.
5. The Best Paper Award, "A
Novel Data-Hiding Method With
High Capacity And Stable
Quality", Asia-Pacific Workshop
On Visual Information
Processing(VIP 2008), December
08~09, 2008.
6. 重要著作第三篇於2008年NCP國家型計畫選為頂尖期刊論文
7. 2008~2011年第二度獲國立成功大學特聘教授。
|
| |
(三)曾被國際研討會邀請演講(Plenary lecture or Invited lecture)之會議名稱及日期
1. Keynote Speaker, APCERT Annual Conference 2009, Taiwan, March 3~5, 2009.
--Title: Taiwanese Academic Research in Information and Network Security
2. Invited Speaker, Japan-Taiwan Joint Research on Cryptography and Information Security towards Next IT-society, Japan, Oct. 14~15, 2008.
--Title: Intelligent and Collaborative Policy Management in Large-Scale Networks Based on
Reinforcement Learning
3. Keynote Speaker, 2008年電子信息海峽兩岸青年科學家學術研討會, Xi'an China, Sep. 18~19, 2008.
--Title: The Implementation and Development of Network Security Testbed
4. Invited Speaker, The 3rd Joint Workshop on Information Security(JWIS 2008), Hanyang University, Seoul, Korea, July 10-11, 2008
--Title: Web Application Security Trends in Taiwan
5. Invited Speaker, The International Workshop for Applied Public Key Infrastructure (IWAP 2004), Fukuoka, Japan, Nov., 2004.
--Title: Various certificates and their applications in PKI
|
| |
(四)其他
1. 國際研討會規劃委員
(1) General Chair, SADFE 2005(International Workshop on Systematic Approaches to Digital Forensic Engineering), 2005/11/07-09
(2) Steering Committee member , Asiacrypt 2006~present、SADFE 2007、2008、2009
(3) TPC Vice Chair and Track Chair of Security for CE Communications, IEEE Consumer Communications & Networking Conference(CCNC 2009 and CCNC 2010).
2. 國際重要委員會之委員
IEEE Communication Society,
Tainan Chapter, Vice
Chair(2006-2007)、Chair(2008-2009).
3. 國際評審委員
Hong Kong
Special Administrative Region
Government invited external
reviewer for the project
proposal, Oct. 23, 2008.
4. Editor
(1) Journal of Internet Technologies, 2004~present.
(2) International Journal of Information and Computer Security, 2004~present.
(3) International Journal of Information Security, Springer-Verlag, 2004~present.
(4) International Editorial Board of the International Journal of Cyber Crimes and Criminal Justice (present)
5. 國際合作
(1) 與California Institute of Technology and Caltech/MIT Voting Technology Project於2008年4月簽訂合作備忘錄(Memorandum of Understanding).
(2) Information Security Institute, Queensland University of Technology為了向澳洲政府提出有關Critical Infrastructure Protection 研究計畫,特邀請本研究室參與為國際夥伴並支持其計畫,共同長期合作。
|
| |
|
|
|
|
|
|
|
|
|
|
