报告题目：移动系统的安全:攻击和防御

报告摘要

这个报告主要包括两个方面, 一个是移动安全的研究, 另一个是关于计算机和信息安全教育的研究。  在移动安全方面我主要研究两个方向。 第一个是对Android系统的各个Component的设计进行深入的分析，寻找可能的攻击和它们存在的本质问题。我们在对WebView的研究上取得了不少成果，其中包括发现了WebView设计上的一系列的安全隐患，并指出很多基于HTML5的手机App（iOS和Android）存在严重的Code Injection问题。我们的这项发现被许多新闻媒介转载。我研究的第二个方向是Access Control。 我们的目的是对Android现有的Access Control机制进行深入的研究，寻找它们在设计上的不足之处，提出创新的想法和新的模式，然后在Android系统上实现，并设计试验去验证我们的想法是否真正达到了对Access Control的改进。报告中我会对我们在这个方向上的研究项目做一个概述。

报告的第二部分介绍我在计算机和信息安全教育方面的研究成果。在过去的十二年里，我一直在做一个叫SEED的项目，目的是开发一系列的可以用在安全教育上的动手的试验教材(SEED Labs)。这些试验可以让学生通过真正的动手经历去了解攻击和防御的原理，而不是只是从课本上学。目前我们开发了30个基于Linux的Labs，涉及系统安全，网络安全，Web安全，软件安全，和加密。这些Labs的使用完全是免费的。迄今为止它们被大约30个国家共250所学校采用。我目前正在开发基于Android的SEED Labs。

报告人简介

杜文亮教授1993年从中国科技大学本科毕业, 2001年获得普渡大学计算机专业博士学位, 同年开始在Syracuse大学电子工程和计算机系任教, 2012年晋升为教授。 主要研究方向是计算机安全。 在安全领域发表近一百篇论文。 论文总引用次数达8890次(来源 Google Scholar)。 2013年荣获ACM CCS会议Test-of-Time奖。 CCS是计算机安全的顶尖会议, 它每年评出十年前在CCS发表的文章中最有影响的两篇论文授予该奖。 

他现在的研究兴趣是计算机系统的安全, 主要集中在Web系统和移动操作系统(Android)。 他的主攻方向是对这些系统的设计进行深入的分析, 从系统设计的角度去了解为什么它们的应用程序会有各种各样的安全问题, 如何改进系统的设计或提出安全方面的新的设计, 从而减少应用程序的安全隐患。他的这项研究获得美国自然科学基金和Google的资助(总金额108万美金)。 他对计算机安全教育的研究也颇有兴趣。 在过去的十二年里, 他设计了将近30个给计算机和网络安全课程用的实验教材。 这项研究获得美国自然科学基金的多次资助(总金额150万美金)。 全世界有超过250所学校在用这些实验教材, 中国也有些大学在使用。