- 云计算和移动安全
云计算已经成为学术界和产业界的改变需要低成本和可伸缩的数据处理能力。然而,这种新的计算模式也充满了安全和隐私的风险,需要切实可行的解决方案。虽然许多云安全问题一直是研究相关问题,我坚信特色的云实际上这些看似老问题的空间扩张,导致安全研究的新挑战和机遇。
例如,软件在云通常是通过集成web api构建提供了不同的web服务提供者,并向用户提供组件的一部分,通过移动应用程序或浏览器。我们的研究在过去几年表明,该软件即服务(SaaS)模型可以很容易地引入逻辑缺陷在API集成,由于API提供者和API的用户之间的沟通,和从根本上是脆弱的边信道攻击。作为证据问题的严重性,我们发现,知名网络商店积分支付服务(例如,贝宝付款,等等)可以利用免费购物,流行的social-login服务(例如,Google ID, Facebook Connect,等等)可以很容易地滥用,和领先的web服务是医疗数据等敏感的用户信息泄露,家庭收入、投资秘密和移动用户对网络窃听者的真实身份或恶意zero-permission应用运行在受害者的电话。减轻这些威胁需要新的技术,需求导致新的研究方向,越来越有趣的安全社区(见后续研究包括我们这里(1,2])。我们的研究在这些领域已经收到了媒体关注,我们一个最佳实践论文奖从奥克兰的11亚军识别宠物的奖。我的其他研究SaaS包括内联中介不可信的Flash, web应用程序和技术保护混搭。最近,我们正在向移动云安全与隐私。
在IaaS层,我正在进行的研究侧重于安全的数据密集型计算混合云。混合云是典型的方式,一个组织使用商业云:这里的公共云经常充当接收端计算“溢出”的组织的内部系统。这种新的计算模式,其中涉及公共云和私有云,提出了一种新的外包一个大规模计算任务的机会,在一个高效和保护隐私的方法,不受信任的环境。我们正在进行的研究显示,在这个平台,新开发的安全计算技术可以支持真实的数据密集型计算。
- 数据和健康信息安全
我也感兴趣的数据相关安全问题,特别是保护病人隐私的关键期间和传播人类基因组数据分析(“大数据”的一个典型例子),以及测量和对新兴非法网络活动的理解。
最重要的安全挑战在卫生信息学是隐私问题在人类基因组研究(硫化汞),如所示总统委员会的最新报告研究生命伦理问题。自2008年以来,我们一直在研究这个问题。具体来说,硫化汞依赖方便访问人类DNA聚合数据。然而,先前的研究表明,公开发布的这些数据可能导致硫化汞参与者的身份信息的披露。我们的研究进一步表明,测试数据(例如,假定值,r-squares)计算从这样的聚合数据和硫化汞发表的论文也可以用来推断出敏感的患者信息。这些研究结果指出了一个令人不安的缺乏了解对释放DNA数据隐私的影响。我们正在进行的研究旨在解决这个重要的问题,对建立一个良好的安全基础,以促进数据共享而不破坏病人的隐私。我们赢了宠物奖2011年杰出的隐私增强技术研究我们的研究在这个领域。
我们也一直在研究创新技术,使人类基因组数据的分析在公共安全计算平台。例如,我们开发了一个新的计算分区技术外包测序读映射,硫化汞的大数据分析任务至关重要,公共商业云。这个任务包括评估编辑距离百万数十亿的序列对,不能由任何事先获得计算技术。
最近,我们开始工作在网络数据分析和测量对于理解新恶意网络活动。例子包括我们的研究的恶意软件网络广告(“正如大家所知道的那样”)和拓扑结构的恶意主机扮演重要的角色在一个大范围的恶意网络活动(如自动下载、诈骗、垃圾邮件、等等)。我们发现被用来设计新的检测技术,所示优于现有的商业工具。