各位朋友:
你们好!
我叫戴焘强,今年18岁,是一名浙江籍高三学生。
现在是2016年6月7日8点整,我正坐在书桌前开始撰写这封信。
此时此刻,全国各地的高三学子正带着或喜或悲或激动或绝望的心情走进考场,他们是今天的主角,无论结局如何,我想这都是一份荣耀。
首先祝我的同学们好运,可以考上理想的大学。
至于我,我是一个被命运遗忘的人。至少现在,没有人在校外等我。
我没有参加今年高考,原因很简单,我的考试成绩不足以使我进入一个满意的大学。
所以我干脆放弃了这次机会,来这里把事情讲讲清楚,关于这些年来我的经历。我不指望所有人都能够理解,只是希望某些我身边的人看完之后不要再为难我。我从来就不是一个好学生,这一点,毋庸置疑。
我不知道我是怎么爱上网络的,大概是从小学五年级第一次接触电脑开始吧,后来,那个永恒的Windows XP,就一直刻在了我的心里。时不时的,它就会在我的脑子中冒出来,把我引到各种黑网吧。
几年后,我上初中,每次电脑课,我都是第一个冲到机房的。那个时候,虽然家里还没有买电脑,但我已经是一名职业白帽子,受雇于某家网络安全公司旗下的非营利性极客团队。
这期间发生了很多事,暂且不表,我至今也想不通他们为什么会看中我。不过,我的网费总算是有着落了,光这一点,就值得当时的我为他们做事。
那时,我还没有写日记的习惯,所以诸多细节已经淡忘。不过我唯一能够确定的是,他们自始至终也没有涉足灰色产业、没有作恶,这一点令我万分倾佩,明明有如此之大的实力。要知道,在当时的大环境下,做到这一点是非常难得的。
我的队长常说:能力越大,责任便越大。我们始终需要肩负起、身为新时代好青年的责任。每当这时,总有一帮人会跟着附和。
我当时并没有精通某项技术,只是略作培训以后,在其中扮演起了一个引路人的角色。说实话,工作十分无聊,就是收集信息、寻找能人异士,把全世界所有优秀的、正义的有志青年,都招募到我们团队。
然后共同,为集体的目标而奋斗。
虽然我的工作没有什么挑战性,但当时青涩的我,还是认真地干了一年。我虽然没有能力向他们那样,做一名网络世界的侠客。但至少我可以做好自己的事情,不是吗?
起初的我真的什么也不懂,像只无头苍蝇一样找不到方向,但是我的队长经常鼓励我:别着急,慢慢来,你总会有所收获。后来,我又得遇前任组长指点,然后初窥门径,继而深陷其中、不可自拔。那段时间,我的业务能力有了一个质的飞跃,从无到有,从有到多,短短几个月时间,我管理的小组成员已经遍布全球。不过与此同时,我的精神状况也随之变得越来越差,当我意识到自己频繁地面对空气说话的时候,我知道应该就此罢手了。
那天是一个阳光明媚的日子,比特币的价格正水涨船高。当我做完最后一笔,从所扮演的角色中抽身而退的时候,我拿到了第四季度的酬金:20比特币,折合人民币约95000元(按当时成交价计算)。
这笔钱,我知道肯定又是队长自掏腰包的。因为我们作为一个非盈利性团队,仅靠帮助企业挖掘修复漏洞,不可能有这么高的收入。
我的家庭并不富裕,这笔钱对当时的我来说是一笔非常非常可观的收入(现在依然如此)。正当我感概队长有钱任性并对未来无限憧憬之时,我做了这辈子最后悔的一件事:将其全部存入了某交易平台的Hot wallet,静候升值。
一周后,该网站宣称遭受黑客攻击,所有其名下托管的比特币全部丢失。此时,比特币的交易价格突破了900美元。
我因此直接损失了112680元人民币(按当时汇率计算),这一突如其来的状况使我不知所措。
后来我了解到,此次事件的起因是因为其VPS提供商的服务器的超级管理密码泄露。由于资金断流,在此之后我不得不寻找其他可以赚钱的机会,以抵消我从事极客活动所产生的各种债务,那时我已经深陷其中。要知道,无偿帮助别人挖掘漏洞,是需要付出代价的。
不久以后,我所在的团队也终于因为经济压力宣布解散,因为许多企业没有在规定期限内支付我们承诺的报酬。财产清偿后,我得到了10比特币补偿金。加上成员们的帮助,终于偿还结清了所有债务。
我还记得那天,我问他:为什么我们要做这种总是被人误解、吃力不讨好的事情?
他没有回答。
此后,我退出江湖,他们也销声匿迹,我的职业生涯就到此为止。
俗话说春梦了无痕,年少轻狂也不见得没有一点代价。那些年正是意气风发的时候,幡然醒悟之时,发现回头不晚,这恐怕是我懵懂的青春期里最大的幸运。此后,2013年,我顺利考入高中,然后过着和普通学生一样的生活。
光阴荏苒,岁月如梭。转眼间,我进入高中已有一年。
这一年间,我体验了寄宿生活,结实了许多朋友,分享了珍藏的电影,吹过了各种牛B。我从不善言谈到满嘴跑火车,渐渐的淡忘了过去发生的一切,好像真的就融入了这个集体。
我的日子过得很充实,只是常常面对黑板发呆。我不明白自己想要什么、在干什么,只能写写小说排解我内心的苦闷,在每一次晚自习上。
高一下学期结束以后,我知道应该做出点改变了。而后,我利用暑假的时间自学了HTML,XML,CSS,JavaScript,PHP等Web编程语言,由于之前接触过并且掌握Java、Python等相关语言,我的学 习进展很快。
返校之后,我立即产生了辍学的念头,并且变得一发不可收拾。独立开发一个网站,是我一直以来的心愿。
看着课堂上画出来的精美的交互稿,我常常感到十分满足,仿佛在不经意间看到了未来。
于是我请假,然后在家里反省了一周。经过父母的苦苦劝说,最终我又回到了学校。
这次我租住在校外,一边开发网站,一边学校读书。用我爸的话来说:两头兼顾。
这种情况一直持续到高二下学期,期间我保持了相对不错的学习成绩。但是网站方面却迟迟没有进展。随着各种新奇想法的涌入,网站结构变得愈发复杂,整体布局也已经远远超出最初的设想,庞大的架构仅凭我一人之力难以完成,繁重的开发工作也总是让我精疲力竭。
到了高三暑假,我对Web技术的研究接连取得若干重大突破,并且证实之前大胆的设想可以被实现。但我知道,这还远远不够。对于某些企业来说,新奇的点子、独到的创意,就像是长在路边的野花,而他们则是过往的游人,或者采花贼。
于是我决定减少学习和休息时间,以开发网站为主要任务。开学之后,我便全身心的投入到网站的开发工作中,白天课间脑子里想的都是各种各样的点子。放学之后,下午7点到凌晨3点是我设计UI、敲代码的时间,长此以往,难免缺少睡眠,于是我逐渐养成了在课堂上保持坐姿睡觉的坏习惯。
这种生活又持续了一个学期,谈不上舒服,可我总是乐此不疲,终于也在不知不觉中彻底荒废了学业。新年过后,正月十六,我意识到一个严重的问题。
此时距离高考还有100多天,我似乎走到了人生的岔路口,陷入一个两难的境地:要么专心读书,备战高考;要么放弃学业,专攻网站。
有人说,网站你可以等到大学再搞,但是高考却只有一次。的确,这话非常有道理。思想体悟和人生阶段的不契合可能是我最大的不幸,也许是有幸,谁知道呢?我选择了后者,因为我觉得人生当中最有活力最有创造力的时候就是当下,我不想把我最美好的青春浪费在我不喜欢的事情上,趁着年轻还有理想,我为什么不去试一试呢?
所以,开学之后我并未回去上课,而是独居校外,专心研究网站和相关技术。我不敢回家,因为这一切只有我的父母大概知道。我不晓得应该怎么跟其他人解释,我也不想解释,更怕看到他们责难的目光。
然而时间不等人,你看,这一天来的是如此之快,明明在记忆中是那么久。
此时窗外艳阳高照,想必已是正午,我还没有吃饭,因为心有不甘。况且方便面真的不好吃,无论什么牌子。
又想起刚才早晨的时候了,我透过显示器看到了公路上警车开道的车队,心里真是百味杂陈呐!恐怕人生的第一阶段已经走到最后了,我想,但是太阳好像才刚刚升起。
我不是非常在乎别人的看法,但是此时此刻,寒窗苦读十二年,我想我必须给自己和家人一个交代。
不能用学习成绩证明自己,那我只好想想办法另寻出路。
也许创业对我来说是一个比较好的选择,就像外面传言的那样。但是作为农民的孩子,家里没钱,创业哪有那么简单呢?
我不可能再去冒险从事极客活动,毕竟前车之鉴,我的职业生涯曾给我带来过相当沉重的经济压力以及心理上的负担。更何况,极客、黑客、骇客,皆是一念之间,一旦没有忍住诱惑,走上违法犯罪的道路……法网恢恢,疏而不漏。结局注定会非常悲惨。
好在也不是没有办法。大概一年之前,我了解到天使投资,懂得了普通人也有机会创业。特别是在互联网领域,创业初期拿到天使投资并非是一件遥不可及的事情。
于是我一直在默默盘算着,产品,团队,市场,壁垒……
一年下来,虽然网站还没能完成,但心中已经确立了完整的框架,拥有一个还算看得过去的DEMO。除了网站,期间也有很多意外收获,其中更是凭借以往的技术积累发明了几项我认为足以轰动业界的技术。
几周前,我将其中一项关于“利用用户的击键特征进行身份认证识别”的技术申请了发明专利,我认为此举意义重大,该发明将有望替代目前业内主流的技术方案,即采用口令(密码)作为用户身份凭证的安全机制。
首先声明,截止2016年6月7日11时30分,我尚未看到任何相关类似文献,如有雷同,实属巧合。
然而,对于击键特征的研究早已有之,近年来业内也有了许多的突破。但是,就好像雾里看花,翻遍这两年的相关文献,也始终没有找到我想要的东西。事实上,这也是今天我写这封公开信的主要目的:向业内人士阐明我的观点,并公开发明专利的部分内容。根据我的技术方案来看,使用击键特征充当身份凭证将是简单可行的,在提升用户体验的同时,也有着不弱于口令机制的安全性。
以下内容仅代表个人观点。
大言不惭的说,目前所有的击键动力学研究,可能从根本方向上就是错误的。这种错误导致了在击键动力学问世后的三十多年间,鲜有成熟的商业应用实例。
请原谅我将是否商用作为击键动力学研究方向上是否正误的评判标准,但是在我看来某项技术研究了几十年(1977-2016)还停留在实验室阶段,这样的事实已经充分说明了一些问题。
击键动力学研究的具体进展这里不再赘述,各位肯定比我更加清楚。我想说的是,根据我所掌握的资料来看,你们的研究好像陷入了某种误区。
我认为,单纯依靠改进算法来推进击键特征的大规模应用是行不通的,通过非侵入式的手段来被动采集用户的击键特征然后进行分析配对的身份认证方法并不可取。
理由如下(斜体字体摘自发明专利):
1.击键特征作为一种行为特征,难以量化,而且在实际应用中,这种行为特征表现的并不十分稳定,容易受到用户自身(如心理状态)和各种外界因素(如输入设备)的干扰,这意味着算法本身必定存在冗余。
2.大多数针对识别算法的研究都依赖于实验室苛刻的环境条件下采集的样本,实用效果未知,缺乏实际意义。
3.纸上谈兵,过于局限,很少有人研究如何将击键特征应用到计算机系统,没有一个完整的技术方案。
4.商用需要考虑诸多因素,比如成本。很多击键特征的预处理算法和识别算法非常耗时,需要占用较多的计算资源。大规模并行访问下,将可能极大增加系统性能开销。
5.击键特征非常容易采集,这是它的优点也是缺点。不能轻易改变,意味着难以应对隐私威胁。这几乎是所有生物特征的共性。但对于击键特征来说,采集过程是非常简单的,只需要监听键盘事件即可。Tey等人研究了使用计算机模拟用户击键特征的可行性,他们发现如果有足够的用户击键特征数据,计算机可以通过算法模拟该用户的击键特征,而且现有的击键特征分析模型将无法分辨这些由计算机模拟的击键特征。
6.可靠性难以验证,很难直观的感受其安全性。这一点对于击键特征的推广十分不利。
由此可见,虽然近几年的击键动力学研究在各种识别算法上取得了长足的进步,但距离击键特征的大规模商业应用似乎还有很长的一段距离。而且,按照现在的趋势发展,不难想象,在可预见的未来,即使击键特征作为一种生物特征得到应用,那么应该也只能作为一种辅助的手段,比如附加在用户名和口令之上,可以增强安全性能,扩展现有的机制。这种做法极大程度上削弱了击键特征作为一种生物特征的优势,并且技术复杂、缺乏实用价值。
理想的做法是,用户登录,只需输入用户名即可。击键特征完全可以由用户键入用户名得到体现。
为此,请大胆设想,如果用户的击键特征是可控的,我们可以在短时间内使用某种方法改变用户的击键特征,那么以上问题是否将迎刃而解了呢?
本发明提出了一种全新的思路,即:使用某种方法约束用户的击键行为,从而影响其击键特征的表达,并使之呈现的击键形态符合某种需要,而不只是针对击键特征进行被动的采集和辨识。
以上是我发明专利的核心理念。在经过大量实验之后,我又得出以下结论:
击键特征作为一种行为特征,不是可以独立存在的实体,一般只能体现在用户的击键行为中。但是,用户发生击键行为,并不一定包含击键特征,存在击键特征的击键行为是用户击键特征的表达。也就是说:
1.击键行为和击键特征是两个相互联系而又彼此独立的个体,击键特征的存在决定了与之对应击键行为的相对特殊地位,击键行为的发生是击键特征存在的先决条件。
2.击键特征不能被直接改变,但是通过约束用户的击键行为可以间接影响其击键特征的表达。
其次是大致的做法:
……所以,本发明从主观意识和目标文本入手,辅以击键姿态,通过相关流程,利用用户本身的击键习惯,对其击键形态进行全方位的调控。
需要注意的是,改变击键形态的目的是为了使其符合某种需要,而且这一过程并非一蹴而就。这意味着大多数情况下,这将是一个有计划的、系统性的工程,需要精心规划、有序推进、稳步实施。对于可能出现的问题,需要提前做好应对措施。
然后是具体做法:
……本发明通过“限制条件”来改变用户的击键特征,并且使其可以凭借限制条件来保持击键特征。限制条件可以理解为用户无意识的击键行为和主观意识干预后的击键特征之间的一座桥梁。
本发明将限制条件传达用户,用户主观意识理解后使用限制条件约束无意识的击键行为从而形成某种击键特征。后续的每一次重复,用户凭借限制条件还原击键行为,继而达到改变和保持击键特征的目的。
限制条件的定义:
限制条件是指与用户事先约定的、用来约束其击键行为的系列规则。包括两个部分:作用对象以及作用方法。
不同类型的目标文本,限制条件的意义有所不同。
对于固定文本来说,作用对象通常是指其中字符或字符间隔所处的位置;作用方法是指对其中字符或字符间隔所做的特殊按键操作。
对于自由文本来说,作用对象通常是指某个按键的位置或者特殊片段所在位置。作用方法是指对此按键的按键动作或者特殊片段的一系列按键操作。
再然后:
……在这种情况之下,除了击键特征这种生物特征以外,限制条件作用的击键行为也可以视为身份凭证,而后击键行为又反过来影响击键特征的表达,最终表现出来的击键形态是它们共同作用的结果。
简单来说,本发明对于击键特征的应用,是将其与限制条件相结合,使最终的击键形态符合某种要求。
简单的举个例子:
这是某一用户多次键入同一字符串的击键持续时间:
引入限制条件,用户练习5分钟后:
由于击键特征的存在,即使限制条件泄露:
这种方法的安全性非常直观:
……一般从两个方向上进行评估:用户重复键入目标文本,其击键行为是否将限制条件的要求准确执行,其误差是否收敛到某一阈值;从最终击键形态评估安全性能,公式如下。
其中,Q表示安全性能的量化数值,越大越好。每一个大括号代表一个限制条件,这里有m个限制条件。参数MAX1指第一个限制条件的最大化可执行程度;参数MIN1指第一个限制条件的最小化可执行程度;参数MAX2指第二个限制条件的最大化可执行程度;参数MIN2指第二个限制条件的最小化可执行程度,以此类推。参数ns表示第s个限制条件中的可作用对象个数。Hks表示第s个限制条件中的第k个可作用对象上击键行为的误差。参数Zks表示第s个限制条件中的第k个可作用对象的安全系数,安全系数由经验得到,越大则允许的误差越小,Q就越小。根号中的内容表示每一个可作用对象上击键行为的标准差,其中参数qks表示地s个限制条件中第k个可作用对象上击键行为的标准差的指数,该值由经验得到,一般位于1到2之间,建议的值是1.35。xiks 表示第s个限制条件中的第k个作用对象的第i次击键行为的值,如持续时间、间隔时间、压力等等,tks表示第s个限制条件中第k个可作用对象的击键行为次数,μks为第s个限制条件中的第k个可作用对象上的击键行为的平均值。
以上。
言尽于此,我想各位或多或少已经明白了我想表达的意思。若有兴趣,请关注近期公开的发明专利。若有不足之处,也请见谅。毕竟,作为一名中学生,我的学识十分有限。
至此,本公开信已近尾声。
其实我原本想跟公众说的是,目前单纯的口令机制可能已经不再适用了,我们迫切需要一种更加安全的身份认证方法。我不再详细的展开说下去,按照我的经验来看,普通人设置的口令可能根本不堪一击,无论长度如何。而且很多时候,黑客入侵根本不需要穷举口令,只需要利用各种社工库搜索一下即可。
我的人生因为一个密码而改变,相信在不久的未来,我也会亲手将它终结。
另外,正如上文所说,本人正寻求一笔巨额天使投资,而且要求可能比较过分,有意向的、感性的天使投资人,欢迎与我联系。我非常期待与您的会面,并且有信心打动你。本人除了该技术之外,还有一个配套的网站平台,一个网站DEMO,一个身份认证领域的非营利性计划,两项其他技术,七个有潜在价值的域名以及若干个idea(笑)。两项技术的其中一项的发明专利正在起草中,另一项技术有关搜索引擎。关于搜索引擎的技术,原理很简单:提供通用的语言和框架、利用用户的检索行为来编制索引。这需要驻入一批高端用户,如果现实问题能够解决,我个人认为有望重新定义搜索引擎。
然后,在互联网和影视制作(音乐、视频、广告策划)领域有足够造诣并且心怀理想的小伙伴们,非常期待你们可以加入我的团队,虽然此时团队里没有什么人,但未来是要靠我们共同创造的,不是么?
最后,此时天已渐黑,我还没有吃饭呢。我不确定你们何时能够看到这封信,但请相信,这是一名即将走上社会的高三学子此时此刻最真实的内心独白。我不知道未来会是怎样,管他呢,时间会证明一切。但愿我不只是你们饭后闲谈的笑点。
好吧,今天就这样,感谢各位捧场。最后的最后,引用一首诗来结束我的学习生涯吧!
所有的结局都已写好,
所有的泪水都已启程。
却忽然忘了是怎么样的一个开始,
在那个古老的、不再回来的夏日。
我是戴焘强,年轻且任性。
谢谢!
一名高中毕业生、网站站长,戴焘强
2016年6月7日
,