近日,网络空间安全学院师生在信息安全全球四大顶级会议NDSS上发表一篇题为“A Formal Analysis of the FIDO UAF Protocol”的学术论文。论文的第一作者是网络空间安全学院硕士研究生冯皓楠,通讯作者是网络空间安全学院李晖副教授,其他作者包括网络空间安全学院硕士研究生潘雪松,以及纽约州立大学布法罗分校赵子铭博士。
安全协议作为实现信息安全的基础,其自身安全性问题一直备受关注,如果安全协议存在漏洞则难以实现协议安全目标,并将导致严重后果。传统验证安全协议是否存在漏洞依赖于设计者的经验和手工分析,这种方法难以找到协议设计的各种隐藏漏洞,而形式化分析通过数学和计算机相结合的手段,弥补了人工分析的不足。论文对当前应用广泛的FIDO(Fast Identity Online) UAF(Universal Authentication Framework)协议进行了形式化分析,借助形式化分析工具ProVerif,开发了自动化工具UAFVerif,实现了UAF协议安全性的自动化验证。论文指出了UAF协议在设计中存在的问题,提出了几种类型的攻击方式,通过调查研究国内金融类应用,在和包支付和京东金融两个Android应用上成功实现了攻击验证,并获得了CNNVD编号,最后对UAF协议提出了改进建议。
网络空间安全学院是全国首批开展网络空间安全学科人才培养的五个基地之一,并入选网信办/教育部“一流网络空间安全学院建设示范项目”。学院师资力量雄厚,拥有一支包括院士、国家杰出青年科学基金获得者在内的高水平师资队伍。其中,有方滨兴院士,有国家教学名师杨义先教授,还有一批以全国优博、教育部新世纪人才为代表的青年才俊。学院在国家“双一流”战略指导下,全面贯彻党的教育方针,以“创一流学科,建一流学院、办一流专业,育一流人才”为建设目标,努力打造一流的网络空间安全人才培养、科学研究、学科建设的高地。
相关链接:
NDSS会议与USENIX Security、IEEE S&P、ACM CCS并称为信息安全领域四大顶级会议,每年的录用率都在20%以下。NDSS2021录用率为15.2%,共收到573篇投稿论文,录用87篇(https://www.ndss-symposium.org/ndss2021/accepted-papers/)。
网络空间安全学院
2021年2月28日