南京大学计算机软件新技术国家重点实验室

摘 要：

将软件中间盒（又称虚拟网络功能）外包给第三方服务提供商（例如公共云）已经成为许多知名优势的最新趋势。但是，将大量原始流量从企业重定向到通常不在传统信任域之外的服务提供者中会引发严重的安全问题。在过去的几年中，在不泄露敏感流量的情况下，在启用中间盒功能方面取得了稳步的进展。按照这个方向，在本文中，我们介绍了LightBox，这是第一个可以以本机速度驱动全栈受保护的有状态中间盒的系统。与现有的硬件辅助设计类似，LightBox建立在SGX飞地的顶部。但是，与所有以前的系统不同，LightBox旨在进一步解决两个令人惊讶的新挑战，这些挑战在文献中已被大大忽略。首先，LightBox使企业能够安全地将打算处理的数据包与所有元数据一起安全地转发到安全的中间盒，包括所有低级数据包标头，数据包大小，计数和时间戳，并得到充分保护。研究表明，此类元数据可能富含信息，并可能被许多流量分析攻击所利用。其次，LightBox在高度受限的飞地空间内实现了非常高效的飞地状态中间盒处理，而不会产生不合理的高开销。在我们有效的状态管理程序中始终确保流状态的机密性，完整性和新鲜度。评估表明，LightBox具有所有其他的安全优势，仍然可以以10Gbps的线速执行数据包I / O。即使跟踪600K流量，LightBox仍可比直接采用SGX获得3.5倍至30倍的性能提速，同时确保大多数测试用例的包延迟（<1μs）可忽略不计。

报告人简介:

王骞，教授，博导，武汉大学国家网络安全学院副院长。2018年获国家优秀青年科学基金资助，2013年入选国家第四批“青年千人计划”。获2018年IEEE TCSC“青年科学家奖”、2016年IEEE 通信协会亚太区“杰出青年研究学者奖”。研究涉及云数据安全与隐私、无线系统安全、人工智能安全、应用密码学等领域。发表论文110余篇，总引用超过10000次。其中，CCF A类长文61篇，包括IEEE TDSC、TIFS、JSAC、ACM CCS、MobiCom等。10篇论文入选ESI高被引论文，5篇论文分别获得ICDCS’17、TrustCom’16、WAIM’14、ICNP’11和ChinaCom’09最佳论文奖。担任网络与信息安全领域CCF A类期刊IEEE Transactions on Information Forensics and Security (TIFS)、IEEE Transactions on Dependable and Secure Computing (TDSC)编委。

时间：10月10日 17:20-18:00

地点：计算机科学技术楼229室