信息学院系统与安全中心在安全与隐私领域取得一系列进展

发布时间2024-07-01文章来源 信息科学与技术学院作者责任编辑刘玥

网络和信息安全是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题。上海科技大学信息科学与技术学院系统与安全中心(System and Security Center,以下简称SSC)长期关注计算机系统优化设计和保护信息安全与隐私,并开展相关研究。近期,SSC在信息安全与数据隐私等方面取得一系列重要进展,尤其在安全与隐私领域四大知名学术会议上,即IEEE S&P、ACM CCS、NDSS和USENIX Security,第一次实现了成果发表的“大满贯”。

杨智策教授课题组的研究成果以题为“Enforcing End-to-end Security for Remote Conference Applications”被2024年IEEE安全与隐私大会(IEEE Security & Privacy, S&P 2024)录用。在这篇论文中,杨智策指导学生挖掘远程会议系统可能存在的安全隐患,并提出了一款全新的名为mTunnel的工具。mTunnel安装在系统的软件层,用户无感知,但可对敏感数据加密,如会议过程中的文字、音频和视频等,使得敏感数据在被不可靠的用户接触前就已形成有效防护。图1展示了mTunnel的基础架构。mTunnel代码已开源,可供相关研究者继续探索端到端远程会议系统的安全性问题。

 

1 mTunnel架构


杨智策教授课题组的另一项成果以题为“MaskPrint: Take the Initiative in Fingerprint Protection to Mitigate the Harm of Data Breach”被2024年ACM计算机与通信安全大会(ACM Conference on Computer and Communications Security, CCS 2024)录用。作为重要的生物信息,对指纹的保护机制是安全领域长久以来的重要问题。该论文提出了一种用户透明、与设备无关的保护措施,即MaskPrint,能够在指纹识别设备发生数据泄露的情况下也能避免用户的指纹信息被恶意获取。图2展示了MaskPrint的工作原理,基本思想是使用精心挑选的指纹片段而非完整指纹在不同的指纹识别设备中进行注册,这样,它们都能与原始指纹匹配,但单独设备的数据泄露不会导致完整指纹信息的泄露,保证了其余指纹识别系统的安全性。

 

2 MaskPrint工作原理示意


王春东教授课题组博士研究生陈光科在声纹识别方向取得重要进展。声纹识别系统依赖大规模训练说话人的语音进行训练。由于训练时的过拟合,系统会记忆训练数据的信息。因此,训练后攻击者可通过与系统的黑盒交互,推断出训练数据的额外信息,造成隐私泄露。陈光科等提出了一种说话人级别的成员推断攻击SLMIA-SR,可判定是否存在目标说话人的任一条语音被用于训练,即目标说话人是否为训练说话人。除了可对声纹识别系统的隐私水平进行测评外,该攻击还可供用户审计或取证语音生物数据是否未经授权被使用。相关论文题为“SLMIA-SR: Speaker-Level Membership Inference Attacks against Speaker Recognition Systems”,被2024年网络与分布式系统安全大会(Network and Distributed System Security Symposium,NDSS 2024)录用,图3是SLMIA-SR的工作流程。

 

3 SLMIA-SR工作流程示意


王春东教授指导一名硕士研究生独立发现了一个全新隐蔽侧信道(命名为Sync+Sync),该隐蔽侧信道基于计算机存储常用fsync函数调用。受共享软件和硬件资源的影响,fsync会在计算机上发生资源竞争,导致每个程序都将经历更长的反应时间。王春东团队基于该观察搭建Sync+Sync信道,Sync+Sync在确保信息安全性的同时实现高效性,可在常用固态硬盘上以大约0.40%的低错误率提供每秒20000数据位的传输带宽。此外,利用Sync+Sync还可区别分析出多个常用应用程序和网站,具有较高精度。该成果题为“Sync+Sync: A Covert Channel Built on fsync with Storage”,被2024年USENIX安全大会(USENIX Security 2024)接收。Sync+Sync隐蔽信道研究的代码已开源。图4描绘了Sync+Sync的信道基础。

 

4 Sync+Sync的信道基础架构

 

除了上述成果,SSC师生还在验证智能合约正确性、保护医疗数据隐私和分组密码验证等更多方面取得研究成果。

陈浩贤教授课题组设计了一款智能合约自动化验证工具DCV,通过数学归纳法证明安全性属性,可广泛应用于各种以太坊智能合约。相关论文题为“Verifying Declarative Smart Contracts”,发表在2024年国际软件工程大会(IEEE/ACM 46th International Conference on Software Engineering ,ICSE 2024)。

王雯婕教授课题组关注电子医疗记录的隐私,提出一种可保护隐私的人工生成电子诊疗记录的工具,命名为IGAMT。IGAMT可产生高质量数据集并降低隐私泄露的风险。相关论文题为“IGAMT: Privacy-Preserving Electronic Health Record Synthesization with Heterogeneity and Irregularity”,发表在2024年AAAI人工智能大会(AAAI Conference on Artificial Intelligence,AAAI 2024)。

陈宇奇教授课题组博士生孙璞等,设计了一种高级静态类型的密码学特定语言及工具,可用于评估和验证分组密码抵抗单密钥差分密码分析等能力。相关论文题为“EasyBC: A Cryptography-Specific Language for Security Analysis of Block Ciphers against Differential Cryptanalysis”,发表在2024年国际编程语言原理大会(Principles of Programming Languages symposium,POPL 2024)。