位置:成果数据库 > 期刊 > 期刊详情页
USBKey脆弱性分析的事件分解模型
  • ISSN号:1000-0054
  • 期刊名称:清华大学学报(自然科学版)
  • 时间:2013
  • 页码:1688-1693
  • 分类:TN918[电子电信—通信与信息系统;电子电信—信息与通信工程]
  • 作者机构:[1]中国信息安全测评中心,北京100085
  • 相关基金:国家自然科学基金资助项目(61202493)
  • 相关项目:组合噪音情况下的IC卡芯片侧信道分析及相关理论研究
作者: 石竑松|张翀斌|杨永生|高金萍|
关键词: USBKEY, 脆弱性分析, 通用评估准则, 攻击潜力, USBKey, vulnerability analysis, common criteria, attack potential
中文摘要:

该文提出了一种基于事件分解的威胁建模方法,并对该方法在网银盾USBKey的脆弱性分析中的应用进行了分析。从应用需要保护的资产出发,此建模方法先标识出资产可能面临的威胁,通过将威胁视为事件,对事件进行逐步分解直至原子事件,以此简化威胁分析过程。该方法以事件树的方式来组织分解过程,通过该树状结构,可获得产生威胁的所有可能的攻击路径,以便检查威胁分析的完备性。对选取的攻击路径,还提出了计算威胁成功概率的方法。结合事件分解模型和通用评估准则中攻击潜力的计算方法,以USBKey中的PIN码安全为例,对USBKey产品进行了脆弱性分析。分析表明:事件分解模型为脆弱性分析提供了一套合理可行的方法,可用于提升信息产品安全评估过程的完备性。

英文摘要:

A threat modeling approach based on event decomposition is given vulnerability analyses of USBKey tokens in Internet banking systems as an example. The system protects the assets in the application by identifying possible threats to the assets and treating the threats as events to simplify the threat analysis by decomposing the events into sub-events recursively until the atomic events. The event decomposition is organized as event trees, so all possible attack paths can be easily extracted to check the completeness of the vulnerability analysis. Then, the success probability of each threat is calculated for each attack path. This model with the attack potential calculation technique in Common Criteria is used for a vulnerability analysis of the PIN module in a USBKey token to show the applicability of the event decomposition approach. The approach is applicable to various kinds of vulnerability analyses and illustrates how to improve the completeness of security evaluations of information technology products.

同期刊论文项目
组合噪音情况下的IC卡芯片侧信道分析及相关理论研究
期刊论文 12 会议论文 7
同项目期刊论文
Lattice Ciphertext policy Attribute-based encryption in the standard model
基于PRESENT算法的智能卡芯片存储加密方法
Mitigating Key Escrow in Attribute-Based Encryption.
对一类组合线性同余发生器的不可预测性研究
针对中国分组密码算法标准的改进型线性攻击
事件分解模型及在USBKey脆弱性分析中的应用
一个基于属性的密钥协商协议
安全策略及设计规范的半形式化方法
CC标准中安全架构与策略模型的分析方法
运用t检验评估3DES算法的侧信道信息泄露
基于PRESENT算法的智能卡芯片存储加密
期刊信息
  • 《清华大学学报:自然科学版》
  • 中国科技核心期刊
  • 主管单位:教育部
  • 主办单位:清华大学
  • 主编:梁恩忠
  • 地址:北京市海淀区清华大学学研大厦B座908
  • 邮编:100084
  • 邮箱:xuebaost@tsinghua.edn.cn
  • 电话:010-62788108 62792976
  • 国际标准刊号:ISSN:1000-0054
  • 国内统一刊号:ISSN:11-2223/N
  • 邮发代号:2-90
  • 获奖情况:
  • 国家期刊奖,国家“双高”期刊,1992年以来,历次国家级和省部级一等奖,第一、二届全国优秀科技期刊一等奖,教育部优秀期...,第三届中国出版政府奖提名奖
  • 国内外数据库收录:
  • 美国化学文摘(网络版),美国数学评论(网络版),德国数学文摘,荷兰文摘与引文数据库,美国工程索引,美国剑桥科学文摘,日本日本科学技术振兴机构数据库,美国应用力学评论,中国中国科技核心期刊,中国北大核心期刊(2004版),中国北大核心期刊(2008版),中国北大核心期刊(2011版),中国北大核心期刊(2014版),中国北大核心期刊(2000版)
  • 被引量:43470