服务器管理控制系统威胁建模与应用

苏振宇 宋桂香 刘雁鸣 赵媛

摘 要：基板管理控制器（BMC）作为大型嵌入式系统负责对服务器进行控制和管理，针对BMC的脆弱性以及面临的安全威胁，提出一种服务器管理控制系统的威胁模型。首先，为了寻找威胁，根据BMC的硬件结构和软件架构建立了数据流图（DFD）;其次，采用威胁六要素（STRIDE）方法进行威胁发现，得出全面的威胁列表;然后，为了对威胁进行细化描述，建立了威胁树模型，得出具体的攻击方式并对威胁进行量化;最后，针对STRIDE分类的威胁制定了应对策略，给出了BMC威胁的具体防护方法，满足了机密性、完整性、可用性等安全目标。分析结果表明，所提模型能够全面识别BMC的安全威胁，基于该模型提出的BMC具体防护方法已作为安全基线应用于设计过程中，提升了服务器整体安全性。

关键词：基板管理控制器;威胁建模;数据流图;威胁树;安全威胁

Abstract：Baseboard Management Controller （BMC） is responsible to the control and management of server as a large embedded system. Concerning the problem of vulnerability and security threats of BMC， a threat model of server management control system was proposed. Firstly， in order to discover threats， a Data Flow Diagram （DFD） was established according to the hardware and software architecture of BMC. Secondly， a comprehensive threat list was obtained by using Spoofing-Tampering-Repudiation-Information disclosure-Denial of service-Elevation of privilege （STRIDE） method. Thirdly， a threat tree model was constructed to describe the threats in detail， and the specific attack modes were obtained and the threats were quantified. Finally， the response strategies were formulated for the threats classified by STRIDE， and the specific protection methods of BMC were obtained， which met the security objectives such as confidentiality， integrity and availability. The analysis results show that the proposed model can fully identity the security threats of BMC， and the protection methods of BMC based on the model have been used in the design process as security baselines， which improves the overall security of server.

Key words： Baseboard Management Controller （BMC）; threat modeling; Data Flow Diagram （DFD）; threat tree; security threat

0 引言

基板管理控制器（Baseboard Management Controller， BMC）是服務器的管理控制系统，用户通过Web管理界面监视服务器的物理特征，如各部件的温度、电压、风扇工作状态、电源供应以及机箱入侵等。BMC是服务器中相对独立的重要管理控制单元，通常基于进阶精简指令集机器（Advanced RISC Machine， ARM）搭载精简的Linux操作系统，采用Web页面的方式进行带外网络管理。BMC给用户提供便利的同时也面临着各种安全威胁和挑战，因此采用威胁建模可以帮助设计者确定BMC系统中的威胁、攻击、漏洞和对策。

威胁建模是一项工程技术，在系统设计的早期阶段启动并贯穿于整个软件生命周期的迭代过程，目的是帮助设计者了解所需要保护的资产、如何保护资产、实现的优先级、承担的风险等。在威胁建模过程中，设计者必须始终认为自己就像一个攻击者[1]，假设软件产品的所有输入都是恶意的，而且所有信任边界可以在第一层面，即软件产品之间的首个互动层和最终用户层进行突破。

针对不同的软件应用场景，研究人员已经提出多种软件威胁建模的方法：文献[2]针对Web应用可能存在安全漏洞的模块进行了形式化的分析建模，采用了扩展的有限状态机模型;文献[3]同样针对Web服务面临的安全威胁，提出一种基于威胁六要素（Spoofing-Tampering-Repudiation-Information disclosure-Denial of service-Elevation of privilege，STRIDE）模型的安全评估方法，为用户提供了Web服务安全性的参考评价和防护策略;文献[4]以集成电路（Integrated Circuit， IC）卡互联网终端产品为研究对象，提出了以软件安全开发生命周期和威胁树分析的威胁建模过程;文献[5]中提出一种面向对象的威胁建模方法并根据评估结果确定了优先级，制定了缓和方案;文献[6]中提出一种面向嵌入式系统的威胁建模方法，分析了嵌入式系统可能存在的威胁漏洞并以威胁树的形式建立了威胁模型。

以上研究成果对威胁建模有较好的理论指导作用，但也存在一定不足，缺少对复杂系统的威胁建模研究。复杂系统的威胁建模需要考虑硬件、软件等多种威胁因素，因此本文的主要工作是针对服务器中重要的管理控制系统BMC进行威胁建模研究，采用STRIDE方法和威胁树分析了BMC的安全威胁，制定应对方案作为服务器BMC系统安全设计的参考依据，以便在实际应用中规避风险并加强对常见漏洞的关注。

1 风险分析

1.1 攻击趋势

服务器的安全分为物理安全和系统安全：物理安全是基础，系统安全是保障。当前对服务器的攻击逐渐由上层软件攻击趋向对底层硬件和固件的攻击，这是由于固件代码在特权的位置进行操作，固件一旦被破坏，经历很长的时间也不容易被检测出，因此，仅仅通过采取防火墙级别或服务器软件和操作系统层面对网络进行保护的方法不足以应对安全威胁。随着互联网应用的普及，越来越多的企业把关注的重点放在服务器外围乃至数据中心网络的安全防护方面，而忽视了对服务器硬件和固件的安全防护。当斯诺登曝光美国国家安全局（National Security Agency， NSA）内部的“产品目录”（软硬件攻击工具）以及方程式（Equation Group）等犯罪组织利用恶意间谍软件频繁发动网络攻击事件之后，服务器的硬件和固件安全问题才得到了高度的重视，为此，2017年5月美国发布了平台固件抗性指南SP800-193[7]，用于指导服务器固件的安全合规性;2017年6月我国施行《网络安全法》后，业界对服务器产品安全性的关注和要求也越来越高了。

1.2 BMC系统结构

目前主流两路以上的服务器都具有BMC。BMC与主处理器和主板上各元件相连接，监测主板上的温度传感器、CPU状态、风扇速度和电压传感器等，提供重新引导服务器的远程电源控制功能，并且提供对基本输入输出系统（Basic Input and Output System， BIOS）配置和操作系统控制台信息的远程访问。BMC可以和主系统共享网络接口采用带内管理方式，或者单独集成专有的网口采用带外管理方式。

BMC通常独立于服务器CPU和操作系统，接通主板电源就处于加电状态，因此无论用户在开机还是关机的状态下都可以对服务器的运行状况进行监控。BMC芯片与主板硬件单元的连接如图1所示。BMC以高性能的ARM芯片为控制核心，通常采用AST2300/2400/2500[8]系列的芯片，BMC芯片与南桥、同步动态随机存储器（Synchronous Dynamic Random Access Memory， SDRAM）、串行外设接口（Serial Peripheral Interface， SPI）的Flash存储器等硬件模块连接，实现服务器平台的多种管理功能，如虚拟存储功能、通用串行总线（Universal Serial Bus， USB）虚拟介质、Web管理界面、监控传感器功能、用户管理功能等。BMC一旦发现系统中的单元出现异常，立即采取记录事件、报警、自动关机或重启动等措施。

BMC的软件功能主要提供服务器故障诊断、远程控制、远程配置部署、远程固件更新、系统信息监测等功能;对外提供完备的协议或服务，如智能平台管理接口（Intelligent Platform Management Interface， IPMI）、简单网络管理协议（Simple Network Management Protocol， SNMP）、Web界面、syslog日志模块、安全外壳协议（Secure SHell， SSH）、远程登录服务Telnet、系统虚拟化模块（Kernel-based Virtual Machine， KVM）等。

其中IPMI是運行于BMC上的服务器管理协议[9]，目的是使服务器管理工具和不同厂商生产的BMC之间的通信标准化。IPMI的主要特征是日志记录及恢复控制功能均独立于主处理器、BIOS和操作系统。用户可以利用IPMI监视服务器的温度、电压、电扇工作状态、电源供应以及机箱入侵等，为系统管理、恢复以及资产管理提供信息。

1.3 BMC风险要素

物理服务器涉及到的安全问题有一半以上出自BMC，所以BMC的安全对服务器安全的重要性不言而喻。一旦利用BMC漏洞发起攻击，入侵者可以获得BMC访问权，入侵服务器获得服务器的控制权，进而从存储器中复制数据，对操作系统作修改，安装永久的后门，获取服务器的证书，加载拒绝服务攻击，或者清除硬件驱动等，最终导致服务器的业务直接中断或瘫痪。有些厂商的服务器存在BMC不经过鉴权访问的风险;而有些厂商服务器的BMC则存在安全漏洞，入侵者可模仿合法用户，查看用户记录及执行事务。工信部曾发现美国某芯片厂家的BMC管理芯片存在安全漏洞，会窃取用户数据向外发送，并且无法关掉或屏蔽。

BMC面临的安全威胁比较多，主要如下。

1）协议安全问题。超文本传输协议（Hyper Text Transfer Protocol， HTTP）、IPMI、SNMP、Telnet等协议的脆弱性，例如IPMI允许零密码和匿名登录、HTTP数据明文传送、SNMP V2.0通信不加密、Telnet缺少口令保护和强力认证等。

2）Web应用程序安全问题。存在跨站脚本攻击、安全配置错误、敏感信息泄露、跨站请求伪造（Cross Site Request Forgery， CSRF）等风险。

3）ARM Linux操作系统安全问题。存在弱口令、端口入侵、病毒木马入侵[10]、网络窃听等风险。

2 威胁建模流程

2.1 安全目标

在威胁建模之前首先应确定安全目标，这是BMC系统威胁建模最重要的步骤，只有明确了BMC中需要保护的对象，即非法攻击者攻击的对象，才能够有助于理解潜在攻击者的目标，并将注意力集中于那些需要密切留意的应用程序区域。安全目标通常涉及数据及应用程序的机密性、完整性、不可否认性、身份验证、授权等，具体如下。

1）机密性。防止未经授权的信息泄露。在BMC应用的带外管理环境中，维护信息的机密性是BMC应用的重要保障。

2）完整性。防止信息未经授权的更改，保证信息不被偶然或故意地破坏。

3）不可否认性。保证信息的发送者不能抵赖或否认对信息的发送。

4）身份验证。提供身份证明的实体才能访问BMC的应用和数据，否则不能访问BMC资源。

5）授权。根据访问权限授予主体访问BMC服务资源的许可，保证发送方被授权发送消息。

只有满足了以上五方面的安全要求，BMC才能投入应用，安全才会得到保障。

2.2 模型的选择和定义

常见的威胁模型有资产模型、攻击者模型和软件模型。

1）资产模型。先确认软件的所有资产，然后分析攻击者怎样攻击，以及怎样应对每个威胁，资产到威胁没有直接关系。

2）攻击者模型。先确认软件的攻击者可能有哪些，然后分析对应攻击者的攻击方法以及怎样应对攻击。

3）软件模型。先分析软件是如何组装在一起的，然后分析组成软件的各模块可能存在的安全威胁以及应对方法。该模型相对而言是最好用的，因为建立清晰的软件模型有助于寻找威胁，应避免陷入到软件功能正确与否的细节中。图表是软件建模的最佳方法，其中数据流图（Data Flow Diagram， DFD）通常是威胁建模最理想的模型，在讨论威胁时可进行图表的完善。

结合以上分析，在威胁发现阶段为了全面寻找威胁，采用了DFD模型结合STRIDE方法来识别威胁。在威胁量化阶段，采用了威胁树模型，对威胁进行细化和对具体攻击方式进行量化。

定义1 DFD模型。DFD描述为一个五元组〈外部实体、过程、存储、数据流、信任边界〉，其中：

外部实体 系统应用外部不受控制的元素，与系统有交互或被系统调用。

過程 系统内部管理数据的任务，通常会基于数据处理或执行一个任务。

存储 表示存储但没有修改数据的地方。

数据流 表示系统中数据的移动方向。

信任边界 出现在一个组件不信任边界另一侧的组件时。

定义2 威胁树模型（TM）。TM是由一个或多个节点构成的威胁树，TM=（N，A，L），其中：

N是非空有限AND/OR节点的集合，AND是指构成父节点的子节点之间是“逻辑与”关系，只有实现所有子节点时才能实现父节点;同理，OR代表“逻辑或”，当实现任一子节点时就能实现父节点。

A是属性集合，包括攻击成本Co、攻击成功概率P和攻击危害程度Da。各属性之间的关系为：Da=P/Co，Co∈[0，100]，P∈[0，1]。

L是攻击路径，L={〈N1，N2，…，Nk〉|N1，N2，…，Nk∈叶节点}。一条攻击路径〈N1，N2，…，Nk〉是TM的一个最小割集，即实现威胁树根节点所需的相关叶节点构成的集合。

根据对威胁建模的形式化描述，以BMC用户手册、软件架构文档等作为建模的输入，设计工具采用了微软威胁建模软件Threat Modeling Tool 2016[11]，具体建模流程为：

1）根据BMC系统结构，利用Threat Modeling Tool绘制系统的主体数据流图，并根据实际情况进行参数配置;

2）针对各个功能模块，考虑是否存在特有的数据流，对数据流图进行完善;

3）用建模软件生成威胁点并逐条分析，得到初步的系统威胁列表;

4）进行思维发散，考虑各主体的威胁点是否有遗漏，并补充威胁列表;

5）使用威胁树对数据流图中各主体再进行逐个分析，进行威胁量化;

6）分析列表中各条威胁对应的解决方案，识别安全需求和非需求。

3 绘制数据流图

对BMC功能及使用方法的理解有助于有针对性地确定威胁可能发生的位置，因此为了识别BMC的威胁，需要对系统进行分解应用，基于BMC的物理部署特性、应用程序、子系统的组成和结构等，采用体系结构图表的表达方式，即绘制数据流图，以便将威胁定位于某一特定区域，为后续识别对应威胁的解决方案打下基础。

在绘制数据流程时，需要根据BMC的结构以便确定信任边界、数据流、数据入口点和数据出口点。确定信任边界主要用于注明在BMC设计过程中需要特别关注的区域，而且必须能够确保相应的安全措施可以将所有入口点保护在特定的信任边界内，并确保入口点可以充分验证通过信任边界的所有数据的有效性。确定数据流是指从入口到出口跟踪BMC应用模块的数据输入输出，这样做可以更全面地找出尽可能多的威胁。入口点和出口点都是应用程序遭攻击的地方，是在进行威胁建模时需要重点考虑的。

绘制数据流图过程中，参考了BMC用户手册、软件架构文档等，作为威胁建模的输入。数据流图分为外部实体、过程（加工）、数据流和数据存储等4个元素，根据BMC硬件结构及软件架构，利用微软威胁建模工具Threat Modeling Tool 2016绘制了数据流图，如图2所示。表1是对数据流图各元素的分解。

图2中：外部实体用矩形框表示，例如Web客户端（Web Client）、IPMI客户端（IPMI Client）等。

过程用圆形表示，例如BMC服务（BMC Server）、Web服务（Web Server）、IPMI协议栈（IPMI Stack）等。

存储用平行线表示，例如文件系统（File System）、日志（Log File）和Flash/SD卡存储区。

数据流用带箭头的线表示，箭头表示移动的方向，例如客户端Web请求（Web Client-Web Server）、Web应答（Web Server-Web Client）等。

信任边界通常存在于不同隐私级别的元素之间（例如Web Server与Web Client之间），或存在于在一样的隐私级别之间运行的不同组件之间（例如BMC Server与Telnet之间）。信任边界的确定需要考虑系统里的所有要素是否具有相同级别的权限，并且每个要素是否可以访问系统里的所有其他要素。

在利用Threat Modeling Tool绘图的过程中，需要对每个元素进行参数配置，例如Web Server是否采用了HTTPS、数据存储是否加密等，此时需要结合BMC系统的实际情况进行配置，对于不能确定的配置选项保持默认设置即可。

4 威胁分析

4.1 确定威胁

完成BMC威胁模型的数据流图后，需要确定可能影响应用程序和危及安全目标的威胁和攻击，采用了STRIDE方法进行威胁发现。STRIDE是一种启发式的方法，目的是帮助寻找威胁。STRIDE是由假冒（Spoofing）、篡改（Tampering）、否認（Repudiation）、信息泄露（Information disclosure）、拒绝服务（Denial of Service）和提升权限（Elevation of privilege）的英文词首字母构成[12]。Threat Modeling Tool即采用STRIDE方法进行威胁发现。

当检测数据流图无错误后，运行Threat Modeling Tool自动分析功能后会按照数据流图的各元素自动生成BMC的初始威胁报告，报告中对每个标识出的威胁进行了描述，并且标注了对应STRIDE威胁中的分类。

需要说明的是，通过工具生成的初始威胁列表是比较庞杂的，而且其中有的数据流威胁是不需要关注的，例如Telnet服务不需要关注Telnet到BMC Server的过程，由于攻击不到LPC（Low Pin Count）总线协议所以不需要关注BMC与BIOS之间的请求应答过程，因此需要结合BMC的实际对数据流图中的各主体再进行逐个分析以便完善威胁列表。最后需要进行发散思维，检查各主体的威胁点是否有遗漏，可以利用头脑风暴分析方法，补充那些工具没有识别出来，但BMC实际存在的威胁，例如USB存在BadUSB攻击、BMC串口未采取访问控制机制等。

经过分析、筛检、补充之后得到完善的BMC威胁列表如表2所示。表中按照BMC数据流图中的各元素进行分类，列出了每个模块有哪些安全威胁，以及每条威胁对应的STRIDE分类，由此得到了适用于BMC系统的威胁类型。

4.2 威胁量化

在威胁量化阶段，从攻击者的角度进行BMC威胁分析，归纳起来大致分为两类：

1）对数据的攻击，例如窃听、篡改、重复攻击等;

2）对系统的攻击，例如未授权访问、授权违例、拒绝服务等。

利用威胁树进行威胁的分级细化。威胁树是通过树形结构描述系统存在的各种攻击，用根节点表示给定系统所面临威胁的抽象描述，逐层细化威胁，直到用叶节点表示具体攻击方式。

构建的BMC的威胁树如图3所示，根节点A代表攻击BMC，进一步分解为下一级节点A1（服务攻击）、A2（协议攻击）和A3（硬件攻击）;A1～A3之间的“OR”代表并列的关系，即单独实施某一类攻击就可以实现对BMC的攻击。之后对A1～A3分别进行逐层分解，直到细化为叶节点，即能够实施的具体攻击手段，如表3所示。例如，服务攻击（A1）中的Web攻击（A11），分解为暴力破解口令（A111）、跨站请求伪造攻击（A112）和拒绝服务攻击（A113）三种具体攻击方式，该三个叶节点直接也为“OR”关系。

为了评估对BMC不同攻击方法的成本效益差异，需要对各叶节点进行威胁量化，确定各个攻击方式的优先级，从而有针对性地制定应对措施或缓解方案，为此根据威胁量化公式：Da=P/Co，为叶节点威胁量化地评估属性。Da反映了从攻击者的角度进行成本效益评估的结果，其值越大，成本效益越高，反之越低。量化标准取决于安全专家的实际经验、安全事件的统计信息及主观期望等方面[13]。表3中对每个叶节点进行了威胁量化，列出了Co、P值，计算得出了对应的Da值。

最后，为了加强对BMC最常出现漏洞的关注，需要识别安全需求和非需求，作为设计阶段的依据和参考。安全需求即各类威胁对应的安全属性，即威胁的具体防护方法、威胁应对或设计阶段的注意事项，表4中的BMC威胁防护方法都可以作为安全需求。非需求为软件产品内部不会处理的安全隐患，无法通过软件内部实现来规避威胁，此种威胁可通过操作指南、警告和提示等进行说明。例如对于BMC的Telnet等存在安全缺陷的协议，通过在用户手册中建议用户进行安全参数配置、默认关闭协议等方式来规避威胁。

通过BMC威胁建模，将识别出的威胁应对方案转化为设计阶段的安全需求和非需求，从而满足了威胁建模的安全目标，安全目标对应的安全措施主要有：

1）机密性。对于BMC的Web应用环境，利用高级加密标准（Advanced Encryption Standard， AES）[14]对Web服务的请求和响应进行加密，保证数据的机密性。

2）完整性。对于BMC的固件二进制镜像文件，利用256位安全散列算法（Secure Hash Algorithm， SHA-256）[15]进行完整性校验。

3）不可否认性。在BMC Web服务环境中，对于传输的可扩展标记语言（eXtensible Markup Language， XML）消息，利用数字签名算法RSA（Rivest-Shamir-Adleman）[16]对XML进行签名操作保证发送行为的不可否认性。

4）身份验证。对于BMC可以使用多种不同的身份验证方式，例如通过用户名/口令、指纹/声音、基于令牌的身份验证等方式。

5）授权。使用授权策略以限制访问不同的资源集合，包括文件、Web页面、应用程序接口、日志等。

5 结语

为了提升服务器的安全可靠性，需要在系统开发设计阶段的早期考虑安全问题。本文针对BMC面临的攻击趋势和安全威胁，提出了针对大型嵌入式系统的威胁模型，根据从模型得到的威胁制定了应对策略和具体防护方法，作为设计阶段的输入，在设计阶段就考虑安全风险，防患于未然，从而提升服务器的安全性。由于威胁建模不可能一次识别系统所有可能的威胁，而且应用程序需要不断增强其功能并作出调整以适应不断变化的外部需求等诸多原因，因此建模过程不是一次性的过程，需要结合实践不断总结完善，包括对模型的完善以及对威胁的分析等，因此威胁建模是不断反复和迭代的过程。后续研究方向是在BMC的设计、编码等开发阶段中实现具体的威胁防护方法，并且在测试阶段引入安全性测试，根据测试出的安全漏洞进一步调整和优化威胁模型。

参考文献 （References）

[1] JAMES R， ANMOL M.软件安全：从源头开始[M].丁丽萍，卢国庆，李彦峰，等译.北京：机械工业出版社，2016：48-50.（JAMES R， ANMOL M. Core Software Security： Security at the Source [M]. DING L P， LU G Q， LI Y F， et al， translated. Beijing： China Machine Press， 2016： 48-50.）

[2] 李栋.基于扩展FSM的Web应用安全测试研究[J].计算机应用与软件，2018，35（2）：30-35.（LI D. Research on Web application security testing based on extended FSM [J]. Computer Applications and Software， 2018， 35（2）： 30-35.）

[3] 姜莉.一种基于STRIDE模型的Web服务安全评估方法研究[D].长沙：湖南大学，2010：28-35.（JIANG L. Research on a security evaluation method based on STRIDE model for Web service [D]. Changsha： Hunan University， 2010： 28-35.）

[4] 王宇航，高金萍，石竑松，等.基于威胁建模的IC卡互联网终端安全问题定义方法[J].北京理工大学学报，2017，37（12）：1259-1264.（WANG Y H， GAO J P， SHI H S， et al. A method of the security problem definition on the IC card international terminal based on the threat modeling [J]. Transactions of Beijing Institute of Technology， 2017， 37（12）： 1259-1264.）

[5] 何可，李曉红，冯志勇.面向对象的威胁建模方法[J].计算机工程，2011，37（4）：21-26.（HE K， LI X H， FENG Z Y. Approach to object oriented threat modeling [J]. Computer Engineering， 2011， 37（4）： 21-26.）

[6] 徐超，何炎祥，陈勇，等.面向嵌入式系统的威胁建模与风险评估[J].计算机应用研究，2012，29（3）：826-828.（XU C， HE Y X， CHEN Y， et al. Embedded system oriented threat modeling and risk evaluation [J]. Application Research of Computers， 2012， 29（3）： 826-828.）

[7] ANDREW R. NIST special publication 800-193： platform firmware resiliency guidelines [EB/OL]. （2018-05-22） [2018-12-13]. https：//doi.org/10.6028/NIST.SP.800-193.

[8] ASPEED Technology Inc. AST2500/AST2520 integrated remote management processor A2 datasheet [EB/OL]. （2017-05-12） [2018-12-13]. http：//www.ASPEEDtech.com.

[9] Intel Corporation， Hewlett-Packard Company， NEC Corporation， et al. Intelligent platform management interface specification V2.0 [EB/OL]. （2015-04-21） [2018-12-13]. https：//www.intel.de/content/www/de/de/servers/ipmi/ipmi-intelligent-platform-mgt-interface-spec-2nd-gen-v2-0-spec-update.html.

[10] 刘煜堃，诸葛建伟，吴一雄.新型工业控制系统勒索蠕虫威胁与防御[J].计算机应用，2018，38（6）：1608-1613.（LIU Y K， ZHUGE J W， WU Y X. Threat and defense of new ransomware worm in industrial control system [J]. Journal of Computer Applications， 2018， 38（6）： 1608-1613.）

[11] Microsoft Trustworthy Computing. Microsoft threat modeling tool 2016 getting started guide [EB/OL]. [2018-12-13]. http：//microsoft.com/security/sdl.

[12] SHOSTACK A.威脅建模：设计和交付更安全的软件[M].姜常青，班晓芳，梁杰，等译.北京：机械工业出版社，2015：45-47.（SHOSTACK A. Threat Modeling： Designing for Security [M]. JIANG C Q， BAN X F， LIANG L， et al， translated. Beijing： China Machine Press， 2015： 45-47.）

[13] 杨洋，姚淑珍.一种基于威胁分析的信息安全风险评估方法[J].计算机工程与应用，2009，45（3）：94-96.（YANG Y， YAO S Z. Risk assessment method of information security based on threat analysis [J]. Computer Engineering and Applications， 2009， 45（3）： 94-96.）

[14] National Institute of Standards and Technology. FIPS PUB 197： announcing the Advanced Encryption Standard （AES） [S/OL]. （2001-11-26）[2018-12-13].https：//nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf.

[15] National Institute of Standards and Technology. FIPS PUB 180-4： Secure Hash Standard （SHS） [S/OL]. （2015-08-10） [2018-12-13]. https：//nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf.

[16] National Institute of Standards and Technology. FIPS PUB 186-3： Digital Signature Standard （DSS） [S/OL]. （2009-06-11） [2018-12-13]. https：//csrc.nist.gov/CSRC/media/Publications/fips/186/3/archive/2009-06-25/documents/fips_186-3.pdf.