长期从事网络安全与协议安全方面的研究，重点关注互联网基础协议安全问题，通过发现和解决互联网核心系统中的安全漏洞，以增强互联网基础设施的安全性。研究成果已发表在网络安全四大顶级学术会议（USENIX Security、NDSS、CCS和Security&Privacy），并两次以第一作者身份获网络安全四大顶会的“杰出论文奖”（USENIX Security 2020和NDSS 2016和），其中NDSS 2016杰出论文奖也是中国学者首次获得四大安全顶会杰出论文奖。研究成果在现实世界产生了重要影响力，促进国际标准组织IETF和W3C制定和修改相关标准（RFC 8586和CORS标准），并推动了许多工业界厂商（如Google、Apple、Akamai、Cloudflare、腾讯、阿里巴巴）的产品安全的升级。
近年来，在互联网基础协议安全方面的主要成果包括：
1）发现了互联网基础设施 CDN 的转发循环安全问题，影响所有 CDN 厂商，并提出了相应解决方案。研究成果获得网络安全国际顶级会议NDSS 2016 "杰出论文奖"，这是中国学者首次在四大网络安全顶会上获最佳论文奖。这一研究引起了国内外 CDN 厂商和组织的积极响应，并促进 IETF 制定了新的 RFC 标准(RFC 8586)。
2）发现了互联网最广泛协议 HTTP 的重大安全漏洞 Host-of-Troubles，影响大量流行HTTP软件，并提出了相应解决方案。成果发表于网络安全顶级会议上，并获Akamai、Squid、Fastly、腾讯、阿里、华为等主流厂商修复与致谢。
3）发现了Web安全机制CORS的重要设计安全问题，并提出解决方案。研究成果推动了国际 Web 标准组织 W3C 对 CORS 协议标准的修订与改进，并获得了 CORS 标准组织和Chrome、Firefox、Safari等主流浏览器厂商的致谢与奖励。
4) 发现了互联网基础应用电子邮件安全协议的一系列安全漏洞，并提出了解决方案。研究推动了主流邮件服务商和客户端如Gmail、iCloud.com、Mail.ru、Protonmail.com和Thunderbird的产品安全改进，被 Wired、CSO Online和Dark Reading 等新闻媒体广泛报道。研究成果获得网络安全国际顶级会议USENIX Security 2020 ”杰出论文奖”。