学术论文|我院赛博安全与密码技术团队在网络测量方向发表系列成果

       近日,我院赛博安全与密码技术团队的两篇论文分别被IEEE Transactions on Dependable and Secure Computing(简称TDSC)和IEEE/ACM Transactions on Networking(简称ToN)录用。TDSC和ToN是中国计算机学会(CCF)推荐的A类期刊,是计算机网络与信息安全研究领域中的顶级期刊。

123

       近年来,尽管移动通信平台不断发展,但网页邮件仍是互联网用户日常生活中不可或缺的一部分。网页邮件服务虽然受到HTTPS机制的保护,但这些保护只有在服务器和浏览器都严格实现HTTPS相关功能的情况下才能发挥其功效。目前互联网社区对网页邮件生态系统中的HTTPS部署情况仍不清楚。

       为此,我们对网页邮件服务进行了端到端的大规模测量。对于服务器端,我们首先收集一个大小为22亿的电子邮件地址集。然后,我们构建了两个网页邮件服务器数据集:一个包含从电子邮件地址数据集中过滤到的21k个服务器;另一个仅包含34个流行服务器,但它们和75%以上的电子邮件地址相关联。在对这两个网页邮件服务器数据集进行全面分析后,我们发现HTTPS相关机制的部署存在许多问题。另外,我们还依据HTTPS相关机制的安全属性对网页邮件服务器进行了排名。对于客户端,我们调查了50种不同浏览器和操作系统组合对HTTPS相关机制的实现情况。我们发现即使是最新的浏览器对某些机制的支持也很差。总之,我们的工作表明网页邮件服务中的HTTPS可靠部署仍是一个挑战。

       该成果由浙江工商大学、新布伦瑞克大学以及中国科学院信息工程研究所等单位合作完成,在2023年3月被IEEE TDSC录用。浙江工商大学为该论文的第一完成单位,我院赛博安全与密码技术团队的邵俊教授为论文的通讯作者,硕士二年级研究生李瑞烜同学为该论文的第一作者。

1232

       作为互联网基石的DNS在最初被设计为明文传输,导致用户的DNS安全和隐私受到严重威胁。为此,互联网工程任务组提出了DNS over TLS (DoT)和DNS over HTTPS (DoH)来加密DNS通信。DoT和DoH只有在服务器和客户端都支持严格隐私,并且TLS/HTTPS实施不存在漏洞时才能正常工作。然而,互联网社区目前还不清楚DNS严格隐私的发展情况如何。

       为此,我们首次对递归解析器、权威服务器和浏览器中的DoT/DoH部署进行了纵向和全面的测量。我们发现DoT/DoH服务器在十个月内数量大幅增加。然而,大约60%的DoT和44%的DoH递归解析器的证书无效。令人担忧的是,我们的分析结果还表明DoT/DoH服务存在集中化问题。此外,我们依据TLS/HTTPS的相关安全机制将加密DNS服务器分为了四个安全级别。然而,大约25%的DoH递归解析器无法满足最低安全要求。为了帮助互联网社区更好地了解DNS严格隐私的部署情况,我们实现了DoT/DoH服务器搜索引擎和推荐系统。除此之外,我们还调查了四个操作系统中五种流行浏览器的加密DNS实现情况,并发现了一些浏览器的配置问题。最后,我们还讨论了加密DNS发展所面临的阻碍和争议,并提倡所有参与者共同为DNS严格隐私的光明前景而努力。

       该成果由浙江工商大学、新布伦瑞克大学、中国科学技术大学以及中国科学院信息工程研究所等单位合作完成,在2023年4月被IEEE/ACM ToN录用。浙江工商大学为该论文的第一完成单位,我院赛博安全与密码技术团队的邵俊教授为论文的通讯作者,硕士二年级研究生李瑞烜同学为该论文的第一作者。