论文题目:HTTPS安全机制在网页邮件服务器中部署态势的研究
摘要:电子邮件是商业组织间通信的重要手段之一,而网页邮件服务是电子邮件传输的主要方式之一。为了保护电子邮件的安全性,通常网页邮件服务器都需要部署HTTPS协议。然而,众多安全事件表明,仅靠HTTPS协议是无法实现机密性、完整性和真实性。为了解决该问题,许多安全机制相继提出,包括HTTP标头(HSTS、HPKP和ExpectCT)、DNS记录(CAA和TLSA)、证书透明度、协议降级保护机制和证书撤销机制(CRL、OCSP、OCSP Stapling和OCSP Must-Staple)。一个自然而然的问题是“这些安全机制在网页邮件服务器中部署状况又是如何?”为此,本文进行了有史以来规模最大、测试项最全的网页邮件服务器HTTPS安全机制测量,获得的研究成果主要包括以下四个方面:(1)首先,本文构建了一个包含22亿个电子邮件地址的数据集。它是迄今为止最大的公开电子邮件地址数据集。接着本文从中解析出了约2700万个邮件供应商服务器域名,其中包含21925个网页邮件服务器域名。(2)其次,根据所收集的网页邮件服务器域名,本文对相应的服务器进行了全面的HTTPS安全机制测量。经过分析,本文发现在对应的21925台网页邮件服务器中,只有10.68%的服务器部署了HSTS标头,不足1%的服务器提供TLSA记录。此外,由于证书关联数据字段的不匹配以及DNSSEC相关DNS记录的丢失或者不正确,导致32.35%的网页邮件服务器的TLSA记录无法成功验证。(3)再次,根据归属邮件地址的数量,本文给出了32个流行网页邮件服务器域名。这些域名对应的服务器至少为16.5亿个电子邮件地址提供网页邮件收发服务。然而,本文发现超过40%的流行网页邮件服务器不支持HTTP标头或DNS记录,更糟的是未发现任何服务器部署TLSA记录。(4)最后,本文依据每种安全机制所提供的保护职责和安全效益,提出了一种网页邮件服务器安全状态的评估评级分类方法。不幸的是,本文发现在21925台网页邮件服务器中,有超过38%的服务器不符合最低安全等级要求,表明这些服务器不能保证邮件的安全传输。本文的研究结果表明即使是在安全需求较高的网页邮件服务器中,HTTPS安全机制的全面正确部署仍是一个挑战。希望本文可以推动网页邮件服务器管理员重新衡量HTTPS安全机制部署的得失,提升网页邮件传输的安全性。
关键词:HTTPS;网页邮件服务器;主动测量;安全机制;域名
学科专业:计算机科学与技术
摘要
Abstract
第1章 绪论
1.1 研究背景与意义
1.2 国内外研究现状
1.3 研究成果
1.4 文章结构
第2章 相关技术介绍
2.1 网页邮件传输路径
2.2 HTTP标头
2.2.1 HSTS
2.2.2 Expect-CT
2.2.3 HPKP
2.3 域名系统
2.3.1 DANE-TLSA
2.3.2 CAA
2.4 证书透明度
2.5 协议降级保护机制
2.6 证书撤销机制
2.7 本章小结
第3章 HTTPS安全机制的测量方法及实现
3.1 实验环境介绍
3.2 网页邮件服务器收集
3.2.1 邮件供应商服务器的域名收集
3.2.2 网页邮件服务器的域名识别
3.3 HTTPS安全机制的数据采集
3.3.1 主机发现
3.3.2 数据采集
3.3.3 数据分析
3.4 道德考虑
3.5 本章小结
第4章 HTTPS安全机制的测量结果分析
4.1 网页邮件服务器和邮件供应商的对比分析
4.1.1 HTTP标头分析
4.1.2 DNS记录
4.1.3 证书透明度
4.1.4 协议降级保护机制
4.1.5 证书撤销机制
4.2 流行网页邮件服务器
4.3 类别分析
4.4 安全属性分析
4.5 讨论
4.6 本章小节
第5章 总结与展望
5.1 总结
5.2 展望
参考文献
致谢