时间：2020年11月6日（星期五）下午2:30

地点：威廉希尔（金波楼）321学术报告厅

题目一：基于PKI数字证书的身份信任管理安全研究

主讲人介绍：

李冰雨，北航网络空间安全学院助理研究员，“卓越百人”博士后。2020年1月毕业于中国科学院信息工程研究所 信息安全国家重点实验室，获信息安全专业博士学位。主要研究方向：网络与系统安全，公钥基础设施，网络认证，可信身份管理。近年来在ACM CCS（系统与网络安全四大顶会之一，CCF-A），IEEE TIFS（信息安全顶级期刊，Q1，CCF-A）等国际会议和期刊上发表学术论文10余篇；授权发明专利5项，包括2项美国专利。主持国家自然科学基金青年基金1项、信息安全国家重点实验室开放课题重点项目1项；参加了国家重点研发计划项目、国家973计划、国家科技支撑计划、国家密码发展基金等多项科研课题。参与设计和研发的多项密码产品获得国密局颁发的商用密码产品型号证书，实现了国密产品出口海外。受邀多次在网络安全研究国际学术论坛（InForSec 2020）、第26届ACM计算机与通信安全会议（CCS 2019）等国内外学术会议与论坛作大会报告。

内容摘要：

PKI（Public Key Infrastructure，公钥基础设施）解决了网络中身份信任的建立、管理、传递、撤销等问题，已成为互联网中最重要的安全基础服务。但传统PKI体系面临诸多挑战。一方面，终端用户在管理及使用PKI资源时存在安全配置复杂、获取低效和隐私泄露等诸多挑战，导致不能严格执行证书验证，未能检测出“问题”证书；另一方面，因管理疏忽或受到攻击，CA机构可能签发客户端无法识别的“虚假”证书。敌手利用这两类证书，可以对PKI用户发起攻击，这严重削弱了PKI体系提供的信任。针对上述问题，我们首次基于一个组织内不同用户间网络行为相似性带来的PKI资源需求聚合特性，提出了本地集中式证书验证增强服务的设计原则，并结合虚拟化特性，在桌面虚拟化平台中实现了证书验证安全服务解决方案，相关成果发表在IEEETIFS上。此外，我们对证书透明化（Certificate Transparency, CT）这一目前最热门主流的PKI信任安全增强机制进行了研究，研究成果首次从Monitor（CT核心组件）角度分析了CT技术框架的实现安全性，发现了其服务存在的受攻击隐患，相关成果发表在ACM CCS 2019上。

题目二：浏览器内网页间安全通信机制研究

主讲人介绍：

关翀，浙江工商大学讲师。中国科学技术大学信息安全专业本科，中国科学院大学信息工程研究所硕博连读。2016-2017近两年时间先后赴美国威廉与玛丽学院和乔治梅森大学交流访问学习，深入进行Web安全尤其是浏览器安全方面的研究。在CCF B类期刊Computers&Security等高质量期刊会议上发表学术论文数篇。

内容摘要：

浏览器是人们上网时必不可少的工具。浏览器的安全是用户可以正常使用浏览器的必要保障。为了避免用户在浏览网页时被攻击，浏览器中实现了一系列安全隔离机制，其中最基础的就是同源安全策略。浏览器根据一定规则为所有打开的网页设置源并将不同源的网页相互隔离开，以避免浏览器中加载的网页被其他网页攻击。但随着Web 技术的快速发展，简单的同源安全策略已不能满足人们的需求。为了实现新的功能，人们提出了多种不同的解决方案，如JSONP、跨源资源共享(CORS)、postMessage机制等。新的机制在满足功能需求的同时也带来了新的安全问题。

本报告从同源安全策略出发分析介绍浏览器中的基本安全隔离策略，并针对浏览器中的安全通讯机制postMessage 机制提出了一种新的隐私数据窃取攻击——DangerNeighbor攻击。该攻击可以窃取通过postMessage发送的用户隐私数据及其他安全相关数据。通过收集实际网络中的postMessage相关数据，对该攻击的危害进行全面的评估，并提出了两种针对DangerNeighbor攻击的防护方案。在针对DangerNeighbor攻击的研究过程中，我们发现该攻击甚至可以用于窃取被广泛使用的OAuth单点登录协议的安全token，进而伪造成被攻击者身份登录网站。

主办单位：宁夏大数据与人工智能省部共建协同创新中心，williamhill官网。协办：宁夏通信学会。