ACM CCS、USENIX Security、NDSS以及IEEE S&P是久负盛名的信息安全四大顶级学术会议，专注于收录全球科研机构和科技企业在网络信息系统安全、隐私保护及应用密码学领域的最新前沿进展。会议投稿量很大，录用率一般维持在15±3%左右，所收录论文含金量很高，通常代表了当前各研究方向在全球范围内的最高学术水平，一直受到学术界和工业界的高度关注。

      近期，我院信息安全与密码研究所（IISeC）谷大武教授领导的LoCCS团队在高效零知识证明、隐私集合计算、区块链可扩展性、密码程序敏感数据保护等方向所取得的最新研究成果分别被ACM CCS 2022、USENIX Security 2022、NDSS 2022、IEEE S&P 2022全文录用/发表。下面对相关成果进行简要介绍：

题目：VOProof: Efficient zkSNARKs from Vector Oracle Compilers

       论文简介：zkSNARK是一种简洁、非交互的零知识证明，它使得一个证明者可以向验证者证明某陈述的正确性，而无需泄露任何其他信息。简洁性和非交互性赋予zkSNARK广阔的应用空间，如区块链的隐私保护和扩容、可验证计算、代理计算、匿名凭据等。与此同时，zkSNARK的构造却变得越来越复杂，通常涉及多种密码学工具、代数工具及计算理论的综合运用。这些问题给zkSNARK的设计和实现带来诸多弊端，如（1）难以评估代码实现的安全性，（2）难以对各种不同的zkSNARK进行有效比较，（3）难以对现有方案进行分析和优化等。

       本文旨在简化zkSNARK协议的设计，进而提升zkSNARK的性能。近期，Benedict等人提出了一套zkSNARK的构造流程，将zkSNARK的构造分解为三步，其中第三步将密码学工具的使用与算法的其他方面解耦，从而在一定程度上简化了zkSNARK的构造。受此启发，本文提出了一套新的zkSNARK的构造流程，称为VOProof方法（如图1所示）。该方法的核心是本文新引入的Vector Oracle (VO)协议，基于该协议将“多项式协议构造”这一步中的代数技巧与协议逻辑解耦，从而大幅降低了zkSNARK模块化设计的复杂度，并揭示出一些新的优化方法。作为VOProof的应用实例，本文进一步针对三种电路算术化模型——R1CS、HPR和PLONK——分别提出了一个VO协议，并分别将其编译为zkSNARK。此外，本文用Python对VO协议到zkSNARK的编译器进行了编程实现，并利用该编译器得到了三个zkSNARK的代码。与已有工作相比，本文所提zkSNARK协议在证明大小以及验证的效率上均有显著提升（如图2所示）。该工作由上海交通大学和秘猿科技合作完成，第一作者为孙士锋副教授和谷大武教授共同指导的网络空间安全学院博士生张云聪，目前论文已被ACM CCS 2022正式录用。

图1. 利用VOProof方法构造zkSNARK的流程

图 2. 基于VOProof方法构造的zkSNARK与现有方案的性能比较

题目：Shuffle-based Private Set Union: Faster and More Secure

       论文简介：隐私集合计算是一种用于构建复杂协议的基本计算任务，允许参与者在不泄露各自输入集合的前提下获得集合运算结果。作为一类典型的隐私集合运算，隐私并集计算在实际中存在广泛的应用场景。例如，两个机构可以在不透露各自IP地址黑名单的情况下通过隐私并集计算协议得到联合IP地址黑名单。然而，已有工作依然无法满足实际应用对大规模数据集的计算需求，且未曾考虑适用于不对等数据集（即数据集的大小相差过大）的并集计算。此外，本文发现已有工作利用分桶技术提高协议可扩展性的方法存在隐私泄露风险。

图3. 本文工作与当前最优工作在运行时间（广域网、局域网）和通信量两方面的对比结果

       针对上述问题，本文基于轻量级对称密码技术提出了两个“对偶”的高效隐私并集计算协议，摆脱了以往大多数工作对高消耗非对称密码工具的依赖，从而可广泛应用于大规模的对等数据集。同时，这两个“对偶”协议遵从“繁重计算作用于小数据集”的设计原则，从而可灵活运用于数据集不对等的应用场景。此外，本文在基于模拟的证明机制下分析了所提协议的安全性，并针对不同规模的数据集进行了性能测试。与当前最优工作相比，本文所设计协议（1）在效率方面得到4 - 5倍的提升（如图3所示）；（2）在安全性方面避免了分桶扩展技术所带来的隐私泄露问题。该工作由上海交通大学和美国弗吉尼亚联邦大学合作完成，第一作者为孙士锋副教授和谷大武教授共同指导的计算机系博士生贾琰雪，目前论文已被USENIX Security 2022正式录用。

题目: Shaduf: Non-Cycle Payment Channel Rebalancing

       论文简介：链下通道是提高区块链可扩展性的一种有效方案。两个节点在预存链上金额至链下通道后，即可在通道内进行交易而无需广播交易至链上。在通道连接形成的网络中，没有通道建立的两个节点可通过网络中的路径完成链下支付。然而，节点面临通道内预存金额耗尽的问题。若金额耗尽，则节点无法在通道内发起交易，同时网络中经过此通道的交易也会失败，进而降低链下网络的吞吐量。通道“再均衡”方案能够以较低的链上开销解决此问题，即节点可在链下将其在其他通道内的金额转移至当前耗尽的通道。但目前的最优方案要求（1）具有再均衡需求的节点在网络中组成有向环，（2）可均衡的金额仅为环上节点需求的最小值，（3）依靠一个领导者来收集再均衡需求，且再均衡的完成需要环上所有节点的配合，实用性很低。

图4. 基于Shaduf与现有通道再均衡方案的链下网络性能对比

       本文提出了一个名为Shaduf的链下通道再均衡方案。在该方案中，节点首先在链上绑定两个通道间的金额转移关系，并且设定可在两通道间转移的最大金额。随后在绑定的两通道间，节点可在链下进行双向、不限次数的金额转移。此外，节点还可根据实际需求调整通道间的绑定关系。由于此方案不需要依赖网络中的环形结构，适用范围得到广泛扩展。同时，节点可均衡的金额不受其他节点限制，提高了通道再均衡的效果。此外，每次金额转移仅需得到另外两个通道节点的认可，有效降低了恶意参与方对方案运行的影响。应用此方案至链下网络中，在通道内节点预存金额相同的情况下，路径可承载的交易量更大，从而显著提高了链下网络的吞吐量。本文基于通用可组合模型对方案的安全性进行了形式化分析，并对其进行了实现和性能评估。结果表明（如图4所示），Shaduf的链下交易成功率提高了6 - 28%，并且在相同成功率下，节点的预存金额减少了37 - 75%。该工作由LoCCS师生独立完成，第一作者为龙宇副教授和谷大武教授共同指导的网络空间安全学院博士生葛钟慧，目前已正式发表于NDSS 2022。

题目：Annotating, Tracking, and Protecting Cryptographic Secrets with CryptoMPK

       论文简介：保证程序中密码敏感数据的安全性、对抗“内存泄露”攻击，是软件安全研究的重要议题之一。然而，人工识别代码中的密码敏感数据并实现细粒度保护，需要耗费大量的时间且难以保证正确性。现有的自动化程序分析技术，在识别密码敏感数据这一应用场景上，存在保护粒度过粗、保护后的程序性能开销过高等局限性，因此，很难被直接应用于现实世界中的密码程序保护。
       针对已有分析技术的不足，本文基于静态源代码分析及代码编译变换技术设计了一套名为CRYPTOMPK的细粒度保护方案（图5），实现了针对密码敏感数据及其相关操作的域隔离。基于上下文敏感的信息流分析，CRYPTOMPK实现了面向密码代码的自动化追踪和标记，能够发现源代码中所有涉及密码算法秘密信息的敏感内存及相关操作，并将程序分割成密码域和非密码域。程序分析结束之后，CRYPTOMPK利用LLVM编译框架来生成受保护的二进制代码，通过代码插桩的方式将程序中的敏感中间内存缓冲区隔离起来，从而防御典型的内存泄露攻击。特别地，通过利用Intel处理器新推出的Memory Protection Keys (MPK)硬件特性，CRYPTOMPK实现了高效的域切换。利用CRYPTOMPK，本文评估了当前主流的密码应用程序并提供了相应的保护机制（例如结合OpenSSL密码库和Apache、Nginx等服务器程序部署HTTPS服务）。实验表明，针对复杂的程序代码，CRYPTOMPK仅需要不超过10分钟就能完成程序分析和敏感信息标记；通过CRYPTOMPK的保护机制，密码应用程序能够有效防御内存泄露攻击，且运行开销不会显著增加（不超过4%）。该工作由上海交通大学、加州大学河滨分校和昆士兰大学合作完成，第一作者为LoCCS计算机系硕士生金宣成，通讯作者是LoCCS博士后李卷孺，目前已被IEEE S&P 2022正式录用。