基于模糊综合分析的SSL/TLS协议配置安全评估模型研究

作     者：胡仁林 张立武 Hu Renlin

作者机构：中国科学院大学北京100190 中国科学院软件研究所北京100190 

出 版 物：《信息安全研究》 (Journal of Information Security Research)

年 卷 期：2017年第3卷第6期

页      面：538-547页

学科分类：08[工学] 081201[工学-计算机系统结构] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金项目(61472409 61303247) 国家"九七三"重点基础研究发展计划基金项目(2013CB338003) 

主　　题：SSL/TLS 安全评估 层次分析法 模糊综合分析法 指标体系 

摘      要：SSL/TLS协议是加密网络通信的标准.然而,由于协议自身的复杂性和灵活性,使得Web网站在实现和部署SSL/TLS协议时,极易导致各种安全缺陷,鉴于SSL/TLS协议在Web网站开发中被广泛使用,然而却很少有人关注如何正确部署配置SSL/TLS协议及进行相关的安全评估,在详细分析Web网站安全评估自身特点与影响因素的基础上,提出了新的Web网站安全等级定义,并将层次分析法与模糊综合分析法相结合,构建了基于AHP-模糊综合分析的Web网站安全评估模型,之后将该模型应用到实际网站评估中,并将评估结果与Qualys SSL Labs以及High-Tech的评估结果进行了对比分析,发现该模型能够较好地解决现有评估体系存在的安全等级含义不明确、忽视3DES不安全密码套件以及关键扩展OCSP Stapling等问题,从而较好地说明了该模型的有效性和准确性.