1. STRIDE 安全建模方法

微軟最早提出的 STRIDE 安全建模方法代表六種安全威脅：身份假冒（Spoofing）、篡改（Tamper- ing）、抵賴(lài)（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）、特權(quán)提升（Elevation of Privilege）。

表3.1-1六種安全威脅

屬性

威脅

定義

例子

認(rèn)證

Spoofing（假冒）

冒充 ECU 或者用戶

模 擬 某 ECU 進(jìn) 行 報(bào)

文發(fā)送

完整性

Tampering（篡改）

修改數(shù)據(jù)

修改配置變量，修改報(bào)

文信息

不可

抵賴(lài)性

Repudiation（否認(rèn)）

宣稱(chēng)未做過(guò)某個(gè)行為

否認(rèn)購(gòu)買(mǎi)支付記錄

機(jī)密性

Information Disclosure（信

息泄露）

暴露信息給未經(jīng)授權(quán)的訪問(wèn)者

密鑰，定位信息

可用性

Denial of Service（拒絕

服務(wù)）

使服務(wù)對(duì)用戶拒絕訪問(wèn)或降級(jí)

車(chē)輛無(wú)法啟動(dòng)，功能無(wú)

法使用

授權(quán)

Elevation of Privilege（權(quán)

限提升）

未經(jīng)授權(quán)獲取權(quán)限

租用車(chē)輛人員獲取車(chē)

主權(quán)限

第一步：繪制數(shù)據(jù)流圖。根據(jù)功能邏輯，繪制數(shù)據(jù)在實(shí)體間的傳遞和存儲(chǔ)。其中數(shù)據(jù)流圖包含四個(gè)要素：實(shí)體、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)流。其中實(shí)體代表處理數(shù)據(jù)的用戶、設(shè)備等實(shí)體；數(shù)據(jù)處理表示針對(duì)數(shù)據(jù)的處理過(guò)程，有輸入輸出路徑；數(shù)據(jù)存儲(chǔ)表示存儲(chǔ)數(shù)據(jù)的內(nèi)部實(shí)體，如數(shù)據(jù)庫(kù)、消息隊(duì)列、文件等；數(shù)據(jù)流表示實(shí)體與數(shù)據(jù)處理、數(shù)據(jù)處理之間或數(shù)據(jù)處理與數(shù)據(jù)存儲(chǔ)之間的交互。

圖 3.1-1 數(shù)據(jù)流圖

第二步：識(shí)別威脅。STRIDE威脅建模方法已經(jīng)明確了每個(gè)數(shù)據(jù)流圖元素具有不同的威脅，其中外部實(shí)體只有仿冒（S）、抵賴(lài)（R）威脅，數(shù)據(jù)流只有篡改（T）、信息泄露（I）、拒絕服務(wù)（D）威脅，出來(lái)過(guò)程有所有六種（STRIDE）威脅，存儲(chǔ)過(guò)程有篡改（T）,信息泄露（I）、拒絕服務(wù)（D）威脅，但如果  是日志類(lèi)型存儲(chǔ)則還有抵賴(lài)（R）威脅。具體可以對(duì)照如下表格進(jìn)行識(shí)別。

表 3.1-2 要素與威脅類(lèi)型關(guān)聯(lián)

要素

S

T

R

I

D

E

實(shí)體

√

√

數(shù)據(jù)處理

√

√

√

√

√

√

數(shù)據(jù)存儲(chǔ)

√

√

√

√

數(shù)據(jù)流

√

√

√

第三步：確定應(yīng)對(duì)措施。針對(duì)不同的威脅確定應(yīng)對(duì)措施，如為檢測(cè)存儲(chǔ)數(shù)據(jù)的篡改可以通過(guò)消息校驗(yàn)碼、簽名等方式進(jìn)行檢測(cè)。若實(shí)體的假冒導(dǎo)致了危害，可以通過(guò)身份認(rèn)證方式進(jìn)行。參考的應(yīng)對(duì)措施如下表：

第四步：安全驗(yàn)證。在威脅建模完成后，需要對(duì)整個(gè)過(guò)程進(jìn)行回顧，不僅要確認(rèn)緩解措施是否能夠真正緩解潛在威脅，同時(shí)驗(yàn)證數(shù)據(jù)流圖是否符合設(shè)計(jì)，代碼實(shí)現(xiàn)是否符合預(yù)期設(shè)計(jì)，所有的威脅是否都有相應(yīng)的緩解措施。最后威脅家命名報(bào)告留存檔案，座位后續(xù)迭代開(kāi)發(fā)、增量開(kāi)發(fā)時(shí)威脅建模的參考依據(jù)。

表 3.1-3 參考應(yīng)對(duì)措施

威脅類(lèi)型

應(yīng)對(duì)措施

S

身份認(rèn)證、數(shù)字證書(shū)、聲紋、虹膜、個(gè)人信息

T

完整性校驗(yàn)、訪問(wèn)控制

R

安全審計(jì)、數(shù)字簽名

I

權(quán)限管理、數(shù)據(jù)加密

D

災(zāi)備設(shè)施、流量過(guò)濾

E

權(quán)限最小化