事件分解模型及在USBKey脆弱性分析中的应用

摘要

随着USBKey在网上银行领域内的应用不断壮大,其安全性已成为用户关注的重点.目前,对USBKey产品的安全性检测主要依据通用评估准则(ISO/IEC 15408),该准则中并未提供一套明确的脆弱性分析方法,评估者所进行的脆弱性分析无法被证实其完备性.为解决上述问题,该文提出了一种事件分解模型,在一般威胁模型的基础上增加了完备性的论证,并将该模型应用到USBKey脆弱性分析中,从资产的角度提出USBKey所面临的威胁,详细描述了如何将USBKey威胁按事件形式完备分解,并说明了如何依据事件分解模型,寻找可利用的攻击路径.事件分解模型为评估者提供了一套合理的脆弱性分析方法,有利于评估者做到更完备的脆弱性分析.