Category Archives: SecComm

介绍网络和系统安全领域的最新研究成果,包括学术论文、技术报告等

【论文分享】针对邮件安全扩展协议DKIM的大规模测量与安全性分析(邮件系统安全学术前沿系列)

By | | SecComm
【论文分享】针对邮件安全扩展协议DKIM的大规模测量与安全性分析(邮件系统安全学术前沿系列)已关闭评论

今天分享的论文主题为邮件协议安全,由来自清华大学、华北计算技术研究所、奇安信及Coremail的研究人员共同完成。DomainKeys Identified Mail(DKIM)是一个用于保护电子邮件内容的完整性认证协议。该协议2011年被正式标准化[2],目前已被雅虎、谷歌和其他知名电子邮件服务提供商所采用。由于DKIM协议的特性,对其进行大规模测量是非常困难的。因此,DKIM的现实部署情况及可能存在的安全风险长期缺乏客观而严谨的分析研究。论文首次对DKIM协议的部署情况进行了大规模测量,并深入分析其安全问题。 Continue reading

【网络安全研究进展系列】智能家居云平台实体间交互状态安全分析

By | | SecComm
【网络安全研究进展系列】智能家居云平台实体间交互状态安全分析已关闭评论

本文的论文原文“Discovering and Understanding the Security Hazards in the Interactions between IoT Devices,Mobile Apps,and Clouds on Smart Home Platforms”,作者是Wei Zhou,Yan Jia,Yao Yao,Lipeng Zhu,Le Guan,Yuhang Mao,Peng Liu and Yuqing Zhang,来自中国科学院大学国家入侵防范中心,西安电子科技大学,美国佐治亚大学,美国宾夕法尼亚州立大学。 Continue reading

【网络安全研究进展系列】理解物联网云平台中部署通用消息传输协议的安全风险

By | | SecComm
【网络安全研究进展系列】理解物联网云平台中部署通用消息传输协议的安全风险已关闭评论

本文根据论文原文“Burglars’IoT Paradise: Understanding and Mitigating Security Risks of General Messaging Protocols on IoT Clouds.”整理撰写,原文发表于IEEE S&P 2020。作者在完成论文原文工作时,为西安电子科技大学在读博士生。本文较原文有所删减,详细内容可参考原文或作者的博士学位论文。 Continue reading

【网络安全研究进展系列】破碎的信任链:探究跨IoT云平台访问授权中的安全风险

By | | SecComm
【网络安全研究进展系列】破碎的信任链:探究跨IoT云平台访问授权中的安全风险已关闭评论

本文作者开发了半自动检测与验证工具VerioT,首次对现有的主流IoT授权机制进行了系统的分析,结果表明这些机制中普遍存在严重的安全漏洞。通过PoC攻击验证和系统性的评估研究,进一步提出了设计安全的跨云IoT授权机制所要遵循的原则。该成果“Shattered Chain of Trust: Understanding Security Risks in Cross-Cloud IoT Access Delegation”发表在USENIX Security 2020上。 Continue reading

【网络安全研究进展系列】WiFi 网络下的设备识别技术

By | | SecComm
【网络安全研究进展系列】WiFi 网络下的设备识别技术已关闭评论

本文论文原文“You Are What You Broadcast:Identification of Mobile and IoT Devices from (Public) WiFi”发表于USENIX Security 2020。本文旨在利用WiFi网络中设备发出的广播和多播数据包来识别设备类别和发现恶意设备。 Continue reading

【网络安全研究进展系列】FIDO UAF协议的形式化分析

By | | SecComm
【网络安全研究进展系列】FIDO UAF协议的形式化分析已关闭评论

本文根据论文“A Formal Analysis of the FIDO UAF Protocol”的相关工作整理撰写,该论文发表于NDSS 2021。论文使用形式化分析技术对当前流行的生物因子身份认证协议FIDO UAF协议进行了分析,总结了协议的漏洞,提出了几种攻击,并成功实施攻击,获得中国国家信息安全漏洞库(CNNVD)漏洞。该论文工作由北京邮电大学的冯皓楠、李晖、潘雪松,以及纽约州立大学布法罗分校的赵子铭合作完成。 Continue reading

【网络安全研究进展系列】深入解析 GDPR 数据保护法规对基于域名注册信息的网络安全研究的影响

By | | SecComm
【网络安全研究进展系列】深入解析 GDPR 数据保护法规对基于域名注册信息的网络安全研究的影响已关闭评论

本文根据论文原文“From WHOIS to WHOWAS: A Large-Scale Measurement Study of Domain Registration Privacy under the GDPR”整理撰写,原文发表于NDSS 2021。 Continue reading

【网络安全研究进展系列】EcoFuzz:通过基于对抗式多臂老虎机的变异式模型而建模的自适应能量节约型模糊测试技术

By | | SecComm
【网络安全研究进展系列】EcoFuzz:通过基于对抗式多臂老虎机的变异式模型而建模的自适应能量节约型模糊测试技术已关闭评论

本文根据论文原文“EcoFuzz: Adaptive energy-saving greybox fuzzing as a variant of the adversarial multi-armed bandit”整理撰写,原文发表于USENIX Security 2020。作者在完成原文工作时,为国防科技大学在读博士研究生。本文较原文有所删改,详细内容可参考原文。 Continue reading