1. STRIDE 安全建模方法

微軟最早提出的 STRIDE 安全建模方法代表六種安全威脅：身份假冒（Spoofing）、篡改（Tamper- ing）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）、特權(quán)提升（Elevation of Privilege）。

表3.1-1六種安全威脅

屬性

威脅

定義

例子

認(rèn)證

Spoofing（假冒）

冒充 ECU 或者用戶

模 擬 某 ECU 進(jìn) 行 報(bào)

文發(fā)送

完整性

Tampering（篡改）

修改數(shù)據(jù)

修改配置變量，修改報(bào)

文信息

不可

抵賴性

Repudiation（否認(rèn)）

宣稱未做過某個(gè)行為

否認(rèn)購買支付記錄

機(jī)密性

Information Disclosure（信

息泄露）

暴露信息給未經(jīng)授權(quán)的訪問者

密鑰，定位信息

可用性

Denial of Service（拒絕

服務(wù)）

使服務(wù)對(duì)用戶拒絕訪問或降級(jí)

車輛無法啟動(dòng)，功能無

法使用

授權(quán)

Elevation of Privilege（權(quán)

限提升）

未經(jīng)授權(quán)獲取權(quán)限

租用車輛人員獲取車

主權(quán)限

第一步：繪制數(shù)據(jù)流圖。根據(jù)功能邏輯，繪制數(shù)據(jù)在實(shí)體間的傳遞和存儲(chǔ)。其中數(shù)據(jù)流圖包含四個(gè)要素：實(shí)體、數(shù)據(jù)處理、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)流。其中實(shí)體代表處理數(shù)據(jù)的用戶、設(shè)備等實(shí)體；數(shù)據(jù)處理表示針對(duì)數(shù)據(jù)的處理過程，有輸入輸出路徑；數(shù)據(jù)存儲(chǔ)表示存儲(chǔ)數(shù)據(jù)的內(nèi)部實(shí)體，如數(shù)據(jù)庫、消息隊(duì)列、文件等；數(shù)據(jù)流表示實(shí)體與數(shù)據(jù)處理、數(shù)據(jù)處理之間或數(shù)據(jù)處理與數(shù)據(jù)存儲(chǔ)之間的交互。

圖 3.1-1 數(shù)據(jù)流圖

第二步：識(shí)別威脅。STRIDE威脅建模方法已經(jīng)明確了每個(gè)數(shù)據(jù)流圖元素具有不同的威脅，其中外部實(shí)體只有仿冒（S）、抵賴（R）威脅，數(shù)據(jù)流只有篡改（T）、信息泄露（I）、拒絕服務(wù)（D）威脅，出來過程有所有六種（STRIDE）威脅，存儲(chǔ)過程有篡改（T）,信息泄露（I）、拒絕服務(wù)（D）威脅，但如果  是日志類型存儲(chǔ)則還有抵賴（R）威脅。具體可以對(duì)照如下表格進(jìn)行識(shí)別。

表 3.1-2 要素與威脅類型關(guān)聯(lián)

要素

S

T

R

I

D

E

實(shí)體

√

√

數(shù)據(jù)處理

√

√

√

√

√

√

數(shù)據(jù)存儲(chǔ)

√

√

√

√

數(shù)據(jù)流

√

√

√

第三步：確定應(yīng)對(duì)措施。針對(duì)不同的威脅確定應(yīng)對(duì)措施，如為檢測(cè)存儲(chǔ)數(shù)據(jù)的篡改可以通過消息校驗(yàn)碼、簽名等方式進(jìn)行檢測(cè)。若實(shí)體的假冒導(dǎo)致了危害，可以通過身份認(rèn)證方式進(jìn)行。參考的應(yīng)對(duì)措施如下表：

第四步：安全驗(yàn)證。在威脅建模完成后，需要對(duì)整個(gè)過程進(jìn)行回顧，不僅要確認(rèn)緩解措施是否能夠真正緩解潛在威脅，同時(shí)驗(yàn)證數(shù)據(jù)流圖是否符合設(shè)計(jì)，代碼實(shí)現(xiàn)是否符合預(yù)期設(shè)計(jì)，所有的威脅是否都有相應(yīng)的緩解措施。最后威脅家命名報(bào)告留存檔案，座位后續(xù)迭代開發(fā)、增量開發(fā)時(shí)威脅建模的參考依據(jù)。

表 3.1-3 參考應(yīng)對(duì)措施

威脅類型

應(yīng)對(duì)措施

S

身份認(rèn)證、數(shù)字證書、聲紋、虹膜、個(gè)人信息

T

完整性校驗(yàn)、訪問控制

R

安全審計(jì)、數(shù)字簽名

I

權(quán)限管理、數(shù)據(jù)加密

D

災(zāi)備設(shè)施、流量過濾

E

權(quán)限最小化