基于模糊综合分析的SSL/TLS协议配置安全评估模型研究
SSL/TLS协议是加密网络通信的标准.然而,由于协议自身的复杂性和灵活性,使得Web网站在实现和部署SSL/TLS协议时,极易导致各种安全缺陷.鉴于SSL/TLS协议在Web网站开发中被广泛使用,然而却很少有人关注如何正确部署配置SSL/TLS协议,并进行相关的安全评估.本文在详细分析Web网站安全评估自身特点与影响因素的基础上,提出了新的Web网站安全等级定义,并将层次分析法与模糊综合分析法相结合,构建了基于AHP-模糊综合分析的Web网站安全评估模型.之后我们将该模型应用到实际网站评估中,并将评估结果与Qualys SSL Labs以及High-Tech的评估结果进行了对比分析,发现本模型能够较好地解决现有评估体系存在的安全等级含义不明确、忽视3DES不安全密码套件以及关键扩展OCSP Stapling等问题,从而较好地说明了该模型的有效性和准确性.
Web网站 SSL/TLS协议 安全评估模型 模糊综合分析
胡仁林 张立武
中国科学院大学,北京100190;中国科学院软件研究所,北京100190 中国科学院软件研究所,北京100190
国内会议
北京
中文
91-109
2017-05-18(万方平台首次上网日期,不代表论文的发表时间)