政大資安科技研究中心 鎖定三大研究方向
在國科會專案補助下,政治大學未來一年內將成立校級資安科技研究中心,並朝 AI 資安、零信任架構、後量子密碼等三大研究方向。
採訪/施鑫澤·文/林裕洋·刊期/2023.09
在駭客攻擊持續擴大下,資安成為企業不容忽視的挑戰,也讓全球陷入資安人才不足的困境,預估缺口高達百萬人以上,台灣資安人才亦不足數萬人以上。因此,不少大學在設立資安學程之外,也開始著手成立資安中心,投入相關創新技術研發工作。
如在文、法、商等領域有傑出成績的政治大學,也在 2021 年 8 月正式成立資訊學院,並於 2022 年 9 月獲教育部通過後,於 112 學年度正式成立資訊安全碩士學位學程。日前該校以「金融科技應用中的前瞻資安技術開發」專案,通過國家科學及技術委員會的 112 年度「台灣資安科技研究中心專案計畫」補助,「金融科技安全」作為發展主軸,朝 AI 資安、零信任架構以及後量子密碼等三大研究方向。由於該計畫也獲得政治大學校長支持,所以預定在一年內成立校級資安科技研究中心,並將全力提供協助。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
政治大學資訊科學系特聘教授左瑞麟說,政大在接連成立資訊學院、資安碩士學位學程、AI 跨域中心後,也具備資安跨領域研究的能力,因此團隊決定向申請國發會計畫補助。資安科技研究中心將以文、法、商等領域為後盾,在金融科技安全為主軸的前提下,發展具專長的關鍵研究議題,如後量子密碼、AI資安以及零信任等。除此之外,我們也希望結合政大校內的豐沛學術資源,如與金融科技研究中心、人工智慧跨域研究中心、資訊安全學位碩士學程等共同合作,達成跨領域多元合作的目的,為國家提升資安能量、拓展國際合作,以及培育國家未來資安人才。
專案涵蓋七個子計畫 鎖定三大研究面相
獲得國科會審核通過的「金融科技應用中的前瞻資安技術開發」總計畫,由左瑞麟擔任主持人、國立政治大學資訊管理學系教授陳恭為總計畫之共同主持人,主要探討在金融科技下之資訊安全相關議題,分別是 AI 與資安、零信任以及後量子密碼在金融科技的應用等三大面向。該總計畫預定執行時間為四年,團隊共提出七個子計畫,分別解決不同的議題與困難。
子計畫 1 題目是後量子技術下的零知識證明及同態加密技術,其於零信任架構之應用。該計畫是研究後量子密碼中的同態加密、零知識證明,以及其應用於零信任領域,並與子計畫 5 之架構結合,將認證技術提升至後量子等級。子計畫 2 題目是運用對抗式學習於聯邦推薦系統中,進行投毒攻擊與防禦,並提出具隱私保護的聯邦推薦系統,是金融科技精準行銷中先進的人工智慧應用。該研究基於對比式及對抗式學習發展投毒攻擊及防禦技術,可有效提升其資訊安全。
[ 推薦閱讀:資安人才培育計畫為產業拔尖又打底 ]
子計畫 3 題目是時序資料應用模型的自動化測試與對抗例偵測技術研究,著力於自動化模型測試與高效率的對抗例偵測兩個面向。第一個面向提出對 RNN/LSTM/Transformer 模型進行動態形式執行測試,實現自動化的反例生成與性質驗證。第二個面向為可解釋 AI 技術實現依決策邏輯的對抗偵測,以保護易受攻擊的應用程序。
左瑞麟指出,「AI + 資安」研究重點在基於語言模型與多模態融合架構之資安事件偵測方法,所以將運用 AI 語言模型進行不同資料的解讀與嵌入,並在多模態的技術下進行融合,並最終找尋攻擊的樣態並提出可解釋性的結果。「零信任」則是探討現有移動支付方法面臨的各種安全威脅,並預計在金融基礎設施中結合零信任架構的安全解決方案。後量子研究部分,將提出後量子版本之 ZK-SNARK 零知識證明技術,並將其應用於金融科技領域如與區塊鏈之結合,以達到金融科技結合隱私保護之應用,並能抵抗未來量子電腦之攻擊。
值得一提,研究團隊亦申請國際合作,與日本國立金沢大學滿保雅號團隊進行後量子密碼研究相關之國際合作,促進兩方在後量子密碼研發的學術提升以及其後續之應用。
子計畫相互搭配 解決各種資安挑戰
至於子計畫 4 的題目是基於語言模型與多模態融合架構之資安事件偵測方法, 在多模態融合的技術下使用異質資安資料,加強人工智慧的資安分析能力,配合語言模型對攻擊證據的理解,自動找出與解釋攻擊的態樣。子計畫 5 題目是基於 EMV 協議的零信任金融框架,討論傳統的 EMV 支付架構以應對移動支付平台日益普及所帶來的保護用戶和金融基礎設施的問題。本計畫探討現有移動支付方法面臨的各種安全威脅並預計在金融基礎設施中結合零信任架構的安全解決方案。
子計畫 6 題目是人工智慧與金融科技中之隱私保護技術,開發全同態加密技術函式操作的檢查機制,避免第三方人士隨意操作使用者的資料,同時也打造無須使用者資料的機器反學習技術。子計畫 7 是適用於金融科技之後量子密碼系統設計與分析,設計適用於金融科技且具抗量子安全性之隱私保護資料收尋機制,與滿足彈性細粒度之存取控制機制。
「子計畫 2、子計畫 3、子計畫 4 是屬於 AI 結合資安之主領域。子計畫 5 是屬於零信任主領域,並探討零信任中之認證相關議題。子計畫 1、子計畫 6、子計畫 7 等,則是後量子密碼及其應用於 AI+資安以及零信任之領域。」左瑞麟解釋:「子計畫 1 技術未來將與子計畫 5 之架構結合,將認證技術提升至後量子等級。子計畫 6 則是結合後量子技術於機器學習的領域,包含機器學習中之隱私保護技術,以及被遺忘權等等。」
聚焦金融科技資訊安全 投入後量子密碼研究
即將成立的政治大學校級「資安科技研究中心」,聚焦金融科技資訊安全之前瞻議題,預計結合跨校學者的金融科技資訊安全領域專業,進行前瞻資安技術研發與落地,目前規劃後量子密碼在零知識證明、同態加密等領域的應用,以及 AI 資安相關議題。
量子安全發展規劃應用場景之一,即是鎖定金融 FIDO。近幾年在提升身分認證作業之效率與安全下,國際間普遍推動 FIDO(Fast Identity Online)機制,結合公開金鑰及生物辨識等技術,使民眾無須輸 入帳號密碼,改以生物特徵綁定行動裝置,即可進行身分識別。如聯合徵信中心及財金公司協同金融機構導入「金融 FIDO」服務,並於 112 年 6 月正式上線,建立泛金融產業應用「行動身分認證」的新里程碑。
量子安全的第二個應用場景是「金鑰管理」、「通訊安全」,在金鑰管理部分,目前財金公司與各銀行之間,主要是透過 AES 等對稱式密碼進行機密通訊,但是金鑰的產生與管理等環節,能否抵抗量子電腦攻擊便成為重要研究方向。至於通訊安全部分,由於 TLS 等通訊安全協定是透過傳統公開金鑰密碼協定,產生對稱式密鑰,或利用公開金鑰密碼如 ECDSA,RSA 等進行密鑰交換與數位簽章認證。因此,同樣需有必要測試能否抵抗量子電腦攻擊。
量子安全的第三個應用情境是區塊鏈。近年來,該技術是金融科技非常熱門的議題,因為這是一個由密碼技術保障的共享帳本,採用 SHA-2、SHA-3、ECDSA 等技術,具備去中心化、不可否認性,以及交易安全等特性,目前被廣泛應用於數位貨幣、支付清算、供應鏈、信貸融資、數位證券、跨境匯款以及保險等領域。因此,必須運用量子技術探討區塊鏈中,Zero-knowledge Proof、Ring Signatures、Homomorphic Encryption、Commitment Scheme 等隱私強化技術。
左瑞麟認為, 金融業對資安非常重視,對新技術的使用則非常謹慎,若要做好金融科技安全的保障,需靠大量的密碼技術。在量子時代來臨之際,金融業有必要及早進行規劃與對應。 政大團隊與政大資安科技中心,與量子安全遷移中心,未來將進一步攜手合作。值得一提,我們也與跨國企業 BTQ TECHNOLOGIES CORP 簽署合作,將進行金融資安領域之國際合作交流,共同為量子安全的發展作出貢獻。
課程涵蓋六大主題
前面提到,因應資安威脅的日益頻繁,世界各國均競相成立資訊安全研究所、資訊安全學院,以期從教育面培育資安人才解決未來的資安威脅。這代表培育高階資訊安全人才已是刻不容緩的議題,不只是台灣未來發展的重點,亦是世界之趨勢所在。相較於其於研究領域,資訊安全技術最大特點在於必須經常進行「跨域合作」,因為只要是軟體與網路系統的產業,都會面臨一定程度的資訊安全議題。
長期以人文社會科學之研究發展為主的政治大學,觀察到在金融科技興起下,正帶動資安在金融科技領域的發展,然台灣現今欠缺資安跨人文社會的跨領域學習。為因應數位化時代的到來,資訊安全與其餘不同領域人士合作將會是未來趨勢,2020 年該校在教育部核准下成立資訊安全碩士學位學程,重點在培育擅長將資安知識落實於各領域的高階資安專業人才。
資訊安全碩士學位學程的主要教學與研究發展方向,涵蓋金融科技安全、前瞻密碼技術、安全軟體設計、網路安全、行動安全,以及數位鑑識等。如金融科技安全是金融與科技等領域結合的展現,將科技手段融入金融產業所產生出來的新形態經濟模式,在如此數位化的產業中,資訊安全勢必成為其中最重要的議題之一。
左瑞麟指出,資訊安全碩士學位學程強調理論與實務並重,在資安研究之外,政治大學亦聘請業界師資教授資安相關實務課程,增進實務知能,並鼓勵學生至業界實習,以達到與產業接軌與學用合一之目標。政治大學期望所有進入本學程的學生,能夠透過多元課程培養資訊安全之專業能力,並能結合本校之人文社會與法商之特色,進行垂直深度開發以及水平跨領域之整合,未來成為資訊安全跨領域之頂尖人才。
在產學合作與應用方面,政治大學未來將透過此資安中心,結合學校原有的金融科技中心、校級 AI 跨域中心,全力提高資安中心的價值與跨域產學合作應用。此外,由於政治大學已與 BTQ 量子科技公司簽訂合作意向書,未來將共同進行後量子密碼的研發,以及研發成果透過 BTQ 進行落地,接軌金融科技中的區塊鏈應用趨勢。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
