热点专题

关于2019年度上海市科学技术奖(参与项目)公示的通知

发布者:张建新发布时间:2019-05-10浏览次数:88

按照《关于开展2019年度上海市科学技术奖提名工作的通知》工作要求,现将我校参与项目情况予以公示,若对公示内容有异议,请于201951617点前以书面形式向学校科研院提出,同时提供必要的证明材料。为便于核实查证,请提出异议的单位或者个人表明真实身份,并提供联系方式。凡匿名异议和超出期限的异议,不予受理。

联系人:赵彬    联系电话:88981082   Emailkjckf2@zju.edu.cn

                                

科学技术研究院

201959 

 

自然科学奖公示内容

项目名称:

用户口令的弱点发现与保护

项目简介:

网络空间安全问题持续受学术领域和工业界的广泛热点关注。在网络空间激烈且复杂的攻防过程中,常伴随着口令认证系统的破解和加固。用户口令作为最常用的身份认证因子,几乎与所有网络用户相关,甚至与国家和社会公共安全紧密相关。当前基于口令的认证系统面临着严重挑战,主要包括口令猜测攻击、钓鱼攻击。因此如何发现用户口令的弱点,量化后提出优化防御方法是当前网络空间安全领域的研究热点。为此,本项目:

1.系统性发现中文用户口令长期存在的系列特有安全弱点,为保护我国用户口令在网络空间中的安全提供有效途径。利用最新口令安全量化评估方法和数据驱动的研究方法,通过对超过1亿个真实明文口令进行深入研究,发现中文用户口令具有显著的数字偏好和汉语拼音等区域特征,并发现与用户名、电子邮件地址有显著相关性。利用这些发现可极大提高当前口令猜测方法的攻击效率,并为保障我国用户口令安全提供有效途径。该项研究成果得到国内外研究人员的热点关注,在中国密码学会编著的2014-2015年度密码学学科发展报告中被列入近年来,我国研究人员在电子认证技术研究方面,取得了一些国际性突破(第一项,共两项)。相关研究成果在当前流行的口令强度度量器zxcvbn中得到应用。

2. 首次将用户重用口令的行为分为站内重用和跨站重用两种类型,并发现用户站内重用口令的显著行为规律。利用数据驱动的研究方法,通过对4百多万组真实口令的研究,发现用户在站内口令重用的概率显著高于跨站口令约一倍的行为规律。这项研究为揭示撞库攻击的危害,有效开发口令重用问题的解决方案提供基础数据支撑和理论依据,得到领域内顶尖学术会议ACM CCS 2018论文的正面评价。

3.为保护用户口令免受猜测和钓鱼攻击等常见攻击,基于用户数据提出个人自动白名单方法、基于签名的女巫攻击检测方法,以及量化风险和收益自适应的动态多因子绑定方法:分别利用用户登录的行为数据、车载自组织网络中的车辆行为数据,并结合动态多因子认证方法,发现可有效提升用户在网络空间中包括用户口令在内的数字身份的安全性。《IEEE   Communications Surveys & Tutorials》(2017SCI影响因子20.23)发表综述论文Phishing Detection: A Literature Survey,将提出的自动白名单方法作为反钓鱼攻击的代表性成果,以近整页篇幅做详细介绍。

本项目的研究成果共计发表中国计算机学会CCF A类会议期刊论文4篇,累计被包括ACM CCSIEEE   TIFS等领域内的权威会议期刊论文引用达300余次,其中SCI他引54次。所列8篇代表性他人正面引用中有7篇为CCF A区会议期刊,另一篇为SCI影响因子为20.23的权威期刊。发表在USENIX Security 2014上的论文A Large-Scale Empirical Analysis of Chinese Web Passwords被系统安全领域权威会议期刊ACM CCS 2015/2016USENIX Security 2016IEEE TIFS等的论文多次引用,并于2016年获得上海市计算机学会信息安全最佳论文奖。在上述研究工作的基础上,获得国家自然科学基金联合重点支持项目;国家有关部门(二三八单位和南京信息技术研究院)和苏格兰高科技企业Payfont主动联系项目组,分别签署项目合同/协议进行应用系统研发和理论方法扩展。

知识产权情况

国家发明专利授权两项

发表论文著作情况

序号

论文专著名称/刊名/作者

年卷页码(xxxxxx页)

发表时间年月日

通讯作者(含共同)

第一作者(含共同)

1

A Large-Scale Empirical Analysis of Chinese Web Passwords, Proceedings     of USENIX Security Symposium 2014, Zhigong Li, Weili Han, Wenyuan Xu

2014:     559-574.

2014-08-22

韩伟力

李致公

2

Regional Patterns and Vulnerability Analysis of Chinese Web Passwords,     IEEE Transactions on Information Forensics and Security, Weili Han, Zhigong     Li, Lang Yuan, Wenyuan Xu

2016,     11 (2): 258-272

2015-10-14

韩伟力

韩伟力

3

Zero-Sum Password Cracking Game: A Large-Scale Empirical Study on the     Crackability, Correlation, and Security of Passwords, IEEE Transactions on     Dependable and Secure Computing, Shouling Ji, Shukun Yang, Xin Hu, Weili     Han, Zhigong Li, Raheem A. Beyah

2017, 14(5): 550-564

2015-09-24

纪守领

纪守领

4

Shadow Attacks based on Password Reuses: A Quantitative Empirical View,     IEEE Transactions on Dependable and Secure Computing, Weili Han, Zhigong     Li, Minyue Ni, Guofei Gu, Wenyuan Xu

2018, 15 (2): 309-320.

2016-05-12

韩伟力

韩伟力

5

Anti-Phishing based on Automated Individual White-list, Proceedings of     DIM 2008, Ye Cao, Weili Han, Yueran Le

2008: 51-59

2008-10-31

韩伟力

曹烨

6

Using Automated Individual White-List to Protect Web Digital     Identities. Expert Systems with Application, Weili Han, Ye Cao, Elisa     Bertino, Jianming Yong

2012: 11861-11869

2012-11-01

韩伟力

韩伟力

7

Dynamic Combination of Authentication Factors based on Quantified Risk     and Benefit. Security and Communication Networks, Weili Han, Chen Sun,     Chenguang Shen, Chang Lei, Sean Shen

2014, 7(2): 385-396

2013-02-22

韩伟力

韩伟力

8

A Robust Detection of the Sybil Attack in Urban VANETs, Proceedings of     The Second International Workshop on Cyber-Physical Systems (WCPS 2009),     Chen Chen, Xin Wang, Weili Han, Binyu Zang

2009: 270-276

2009-10-01

王新

陈辰

  

主要完成单位

复旦大学、浙江大学

主要完成人

1、             韩伟力、第一、复旦大学

2、             徐文渊、第二、浙江大学

3、             陈辰、第三、复旦大学

4、             纪守领、第四、浙江大学

5、             王新、第五、复旦大学

提名者:

复旦大学

提名等级

二等