[00105618]新一代用户验证方法的安全与隐私研究

　　该项目为国家自然科学基金资助海外及港澳学者合作研究基金项目（项目批准号： 61628202）。

　　该项目研究成果如下：

　　1. FIDO 协议安全显示方面：FIDO1.1 协议中的通用认证框架（UAF）协议需要采用一个值得信赖的显示模块显示交易内容，然而在用户设备上存在操作系统直接在主屏幕上显示交易内容的情况，使得恶意应用程序有可能诱骗用户确认虚假交易。为此，提出了一个基于可信执行环境（TEE）的显示安全保护方案，在该方案中通过在 UAF 协议中增加一个交易信息签名字段，防止恶意软件拦截篡改通信中的交易数据。

　　2. FIDO 协议分析方面：针对目前对 FIDO 协议安全性的研究不够全面，特别是缺乏形式化的分析结果，采用 Proverif 形式化分析工具，对 UAF 进行了一个全面的安全性分析工作，此外对 FIDO 的实现也进行了分析，并发现了一种攻击方式。

　　3. 其他方面：

　　（1） 针对 Android 平台上的勒索类软件，深入分析了该类软件的特征，制定了防移动勒索的解决方案；

　　（2） 针对大多数现有的应用程序审查机制仅通过分析应用程序语法而非语义来估计粗粒度级别的风险，提出了一种语义感知隐私风险评估框架（SPRISK），它考虑了语义层面隐私相关因素的敏感性差异；

　　（3） 针对 Android 应用的 native 代码面对的关键代码提取攻击和恶意代码植入攻击问题，提出了一个基于控制流完整性(CFI)保护的代码保护框架 DroidCFI；

　　（4） Android 平台中的社交类应用软件中将处理和存储大量的用户隐私数据，对这类数据进行较为深入的研究，给出了这类数据的特征，并提出了一个检测框架 X- Decaf(Xposed-based-detecting-cache-file)，利用污点追踪技术以及 Xposed 框架，获取应用内疑似泄露路径，对敏感数据的泄露情况进行检测。