USBKey脆弱性分析的事件分解模型

作     者：王宇航 石竑松 张翀斌 杨永生 高金萍 

作者机构：中国信息安全测评中心北京100085 

出 版 物：《清华大学学报（自然科学版）》 (Journal of Tsinghua University(Science and Technology))

年 卷 期：2013年第53卷第12期

页      面：1688-1693页

核心收录：

学科分类：0810[工学-信息与通信工程] 08[工学] 0839[工学-网络空间安全] 0805[工学-材料科学与工程（可授工学、理学学位）] 0701[理学-数学] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家自然科学基金资助项目(61202493) 

主　　题：USBKey 脆弱性分析 通用评估准则 攻击潜力 

摘      要：该文提出了一种基于事件分解的威胁建模方法,并对该方法在网银盾USBKey的脆弱性分析中的应用进行了分析。从应用需要保护的资产出发,此建模方法先标识出资产可能面临的威胁,通过将威胁视为事件,对事件进行逐步分解直至原子事件,以此简化威胁分析过程。该方法以事件树的方式来组织分解过程,通过该树状结构,可获得产生威胁的所有可能的攻击路径,以便检查威胁分析的完备性。对选取的攻击路径,还提出了计算威胁成功概率的方法。结合事件分解模型和通用评估准则中攻击潜力的计算方法,以USBKey中的PIN码安全为例,对USBKey产品进行了脆弱性分析。分析表明:事件分解模型为脆弱性分析提供了一套合理可行的方法,可用于提升信息产品安全评估过程的完备性。