胡仁林
- 作品数:2 被引量:6H指数:2
- 供职机构:中国科学院软件研究所更多>>
- 发文基金:国家自然科学基金国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于模糊综合分析的SSL/TLS协议配置安全评估模型研究被引量:2
- 2017年
- SSL/TLS协议是加密网络通信的标准.然而,由于协议自身的复杂性和灵活性,使得Web网站在实现和部署SSL/TLS协议时,极易导致各种安全缺陷,鉴于SSL/TLS协议在Web网站开发中被广泛使用,然而却很少有人关注如何正确部署配置SSL/TLS协议及进行相关的安全评估,在详细分析Web网站安全评估自身特点与影响因素的基础上,提出了新的Web网站安全等级定义,并将层次分析法与模糊综合分析法相结合,构建了基于AHP-模糊综合分析的Web网站安全评估模型,之后将该模型应用到实际网站评估中,并将评估结果与Qualys SSL Labs以及High-Tech的评估结果进行了对比分析,发现该模型能够较好地解决现有评估体系存在的安全等级含义不明确、忽视3DES不安全密码套件以及关键扩展OCSP Stapling等问题,从而较好地说明了该模型的有效性和准确性.
- 胡仁林张立武
- 关键词:SSL/TLS安全评估层次分析法指标体系
- Web网站SSL/TLS协议配置安全研究被引量:4
- 2017年
- SSL/TLS协议是目前通信安全和身份认证方面应用最为广泛的安全协议之一,对于保障信息系统的安全有着十分重要的作用.然而,由于SSL/TLS协议的复杂性,使得Web网站在实现和部署SSL/TLS协议时,很容易出现代码实现漏洞、部署配置缺陷和证书密钥管理问题等安全缺陷.这类安全问题在Web网站中经常发生,也造成了许多安全事件,影响了大批网站.因此,本文首先针对Web网站中安全检测与分析存在工具匮乏、检测内容单一、欠缺详细分析与建议等问题,设计并实现了Web网站SSL/TLS协议部署配置安全漏洞扫描分析系统,本系统主要从SSL/TLS协议基础配置、密码套件支持以及主流攻击测试三方面进行扫描分析;之后使用该检测系统对Alexa排名前100万网站进行扫描,并做了详细的统计与分析,发现了不安全密码套件3DES普遍被支持、关键扩展OCSP Stapling支持率不足25%、仍然有不少网站存在Heart Bleed攻击等严重问题;最后,针对扫描结果中出现的主要问题给出了相应的解决方案或建议.
- 胡仁林胡仁林
- 关键词:WEB网站SSL/TLS协议
