服務(wù)器管理控制系統(tǒng)威脅建模與應(yīng)用

蘇振宇 宋桂香 劉雁鳴 趙媛

摘 要：基板管理控制器（BMC）作為大型嵌入式系統(tǒng)負(fù)責(zé)對(duì)服務(wù)器進(jìn)行控制和管理，針對(duì)BMC的脆弱性以及面臨的安全威脅，提出一種服務(wù)器管理控制系統(tǒng)的威脅模型。首先，為了尋找威脅，根據(jù)BMC的硬件結(jié)構(gòu)和軟件架構(gòu)建立了數(shù)據(jù)流圖（DFD）;其次，采用威脅六要素（STRIDE）方法進(jìn)行威脅發(fā)現(xiàn)，得出全面的威脅列表;然后，為了對(duì)威脅進(jìn)行細(xì)化描述，建立了威脅樹模型，得出具體的攻擊方式并對(duì)威脅進(jìn)行量化;最后，針對(duì)STRIDE分類的威脅制定了應(yīng)對(duì)策略，給出了BMC威脅的具體防護(hù)方法，滿足了機(jī)密性、完整性、可用性等安全目標(biāo)。分析結(jié)果表明，所提模型能夠全面識(shí)別BMC的安全威脅，基于該模型提出的BMC具體防護(hù)方法已作為安全基線應(yīng)用于設(shè)計(jì)過程中，提升了服務(wù)器整體安全性。

關(guān)鍵詞：基板管理控制器;威脅建模;數(shù)據(jù)流圖;威脅樹;安全威脅

Abstract：Baseboard Management Controller （BMC） is responsible to the control and management of server as a large embedded system. Concerning the problem of vulnerability and security threats of BMC， a threat model of server management control system was proposed. Firstly， in order to discover threats， a Data Flow Diagram （DFD） was established according to the hardware and software architecture of BMC. Secondly， a comprehensive threat list was obtained by using Spoofing-Tampering-Repudiation-Information disclosure-Denial of service-Elevation of privilege （STRIDE） method. Thirdly， a threat tree model was constructed to describe the threats in detail， and the specific attack modes were obtained and the threats were quantified. Finally， the response strategies were formulated for the threats classified by STRIDE， and the specific protection methods of BMC were obtained， which met the security objectives such as confidentiality， integrity and availability. The analysis results show that the proposed model can fully identity the security threats of BMC， and the protection methods of BMC based on the model have been used in the design process as security baselines， which improves the overall security of server.

Key words： Baseboard Management Controller （BMC）; threat modeling; Data Flow Diagram （DFD）; threat tree; security threat

0 引言

基板管理控制器（Baseboard Management Controller， BMC）是服務(wù)器的管理控制系統(tǒng)，用戶通過Web管理界面監(jiān)視服務(wù)器的物理特征，如各部件的溫度、電壓、風(fēng)扇工作狀態(tài)、電源供應(yīng)以及機(jī)箱入侵等。BMC是服務(wù)器中相對(duì)獨(dú)立的重要管理控制單元，通?；谶M(jìn)階精簡(jiǎn)指令集機(jī)器（Advanced RISC Machine， ARM）搭載精簡(jiǎn)的Linux操作系統(tǒng)，采用Web頁面的方式進(jìn)行帶外網(wǎng)絡(luò)管理。BMC給用戶提供便利的同時(shí)也面臨著各種安全威脅和挑戰(zhàn)，因此采用威脅建模可以幫助設(shè)計(jì)者確定BMC系統(tǒng)中的威脅、攻擊、漏洞和對(duì)策。

威脅建模是一項(xiàng)工程技術(shù)，在系統(tǒng)設(shè)計(jì)的早期階段啟動(dòng)并貫穿于整個(gè)軟件生命周期的迭代過程，目的是幫助設(shè)計(jì)者了解所需要保護(hù)的資產(chǎn)、如何保護(hù)資產(chǎn)、實(shí)現(xiàn)的優(yōu)先級(jí)、承擔(dān)的風(fēng)險(xiǎn)等。在威脅建模過程中，設(shè)計(jì)者必須始終認(rèn)為自己就像一個(gè)攻擊者[1]，假設(shè)軟件產(chǎn)品的所有輸入都是惡意的，而且所有信任邊界可以在第一層面，即軟件產(chǎn)品之間的首個(gè)互動(dòng)層和最終用戶層進(jìn)行突破。

針對(duì)不同的軟件應(yīng)用場(chǎng)景，研究人員已經(jīng)提出多種軟件威脅建模的方法：文獻(xiàn)[2]針對(duì)Web應(yīng)用可能存在安全漏洞的模塊進(jìn)行了形式化的分析建模，采用了擴(kuò)展的有限狀態(tài)機(jī)模型;文獻(xiàn)[3]同樣針對(duì)Web服務(wù)面臨的安全威脅，提出一種基于威脅六要素（Spoofing-Tampering-Repudiation-Information disclosure-Denial of service-Elevation of privilege，STRIDE）模型的安全評(píng)估方法，為用戶提供了Web服務(wù)安全性的參考評(píng)價(jià)和防護(hù)策略;文獻(xiàn)[4]以集成電路（Integrated Circuit， IC）卡互聯(lián)網(wǎng)終端產(chǎn)品為研究對(duì)象，提出了以軟件安全開發(fā)生命周期和威脅樹分析的威脅建模過程;文獻(xiàn)[5]中提出一種面向?qū)ο蟮耐{建模方法并根據(jù)評(píng)估結(jié)果確定了優(yōu)先級(jí)，制定了緩和方案;文獻(xiàn)[6]中提出一種面向嵌入式系統(tǒng)的威脅建模方法，分析了嵌入式系統(tǒng)可能存在的威脅漏洞并以威脅樹的形式建立了威脅模型。

以上研究成果對(duì)威脅建模有較好的理論指導(dǎo)作用，但也存在一定不足，缺少對(duì)復(fù)雜系統(tǒng)的威脅建模研究。復(fù)雜系統(tǒng)的威脅建模需要考慮硬件、軟件等多種威脅因素，因此本文的主要工作是針對(duì)服務(wù)器中重要的管理控制系統(tǒng)BMC進(jìn)行威脅建模研究，采用STRIDE方法和威脅樹分析了BMC的安全威脅，制定應(yīng)對(duì)方案作為服務(wù)器BMC系統(tǒng)安全設(shè)計(jì)的參考依據(jù)，以便在實(shí)際應(yīng)用中規(guī)避風(fēng)險(xiǎn)并加強(qiáng)對(duì)常見漏洞的關(guān)注。

1 風(fēng)險(xiǎn)分析

1.1 攻擊趨勢(shì)

服務(wù)器的安全分為物理安全和系統(tǒng)安全：物理安全是基礎(chǔ)，系統(tǒng)安全是保障。當(dāng)前對(duì)服務(wù)器的攻擊逐漸由上層軟件攻擊趨向?qū)Φ讓佑布凸碳墓?，這是由于固件代碼在特權(quán)的位置進(jìn)行操作，固件一旦被破壞，經(jīng)歷很長(zhǎng)的時(shí)間也不容易被檢測(cè)出，因此，僅僅通過采取防火墻級(jí)別或服務(wù)器軟件和操作系統(tǒng)層面對(duì)網(wǎng)絡(luò)進(jìn)行保護(hù)的方法不足以應(yīng)對(duì)安全威脅。隨著互聯(lián)網(wǎng)應(yīng)用的普及，越來越多的企業(yè)把關(guān)注的重點(diǎn)放在服務(wù)器外圍乃至數(shù)據(jù)中心網(wǎng)絡(luò)的安全防護(hù)方面，而忽視了對(duì)服務(wù)器硬件和固件的安全防護(hù)。當(dāng)斯諾登曝光美國(guó)國(guó)家安全局（National Security Agency， NSA）內(nèi)部的“產(chǎn)品目錄”（軟硬件攻擊工具）以及方程式（Equation Group）等犯罪組織利用惡意間諜軟件頻繁發(fā)動(dòng)網(wǎng)絡(luò)攻擊事件之后，服務(wù)器的硬件和固件安全問題才得到了高度的重視，為此，2017年5月美國(guó)發(fā)布了平臺(tái)固件抗性指南SP800-193[7]，用于指導(dǎo)服務(wù)器固件的安全合規(guī)性;2017年6月我國(guó)施行《網(wǎng)絡(luò)安全法》后，業(yè)界對(duì)服務(wù)器產(chǎn)品安全性的關(guān)注和要求也越來越高了。

1.2 BMC系統(tǒng)結(jié)構(gòu)

目前主流兩路以上的服務(wù)器都具有BMC。BMC與主處理器和主板上各元件相連接，監(jiān)測(cè)主板上的溫度傳感器、CPU狀態(tài)、風(fēng)扇速度和電壓傳感器等，提供重新引導(dǎo)服務(wù)器的遠(yuǎn)程電源控制功能，并且提供對(duì)基本輸入輸出系統(tǒng)（Basic Input and Output System， BIOS）配置和操作系統(tǒng)控制臺(tái)信息的遠(yuǎn)程訪問。BMC可以和主系統(tǒng)共享網(wǎng)絡(luò)接口采用帶內(nèi)管理方式，或者單獨(dú)集成專有的網(wǎng)口采用帶外管理方式。

BMC通常獨(dú)立于服務(wù)器CPU和操作系統(tǒng)，接通主板電源就處于加電狀態(tài)，因此無論用戶在開機(jī)還是關(guān)機(jī)的狀態(tài)下都可以對(duì)服務(wù)器的運(yùn)行狀況進(jìn)行監(jiān)控。BMC芯片與主板硬件單元的連接如圖1所示。BMC以高性能的ARM芯片為控制核心，通常采用AST2300/2400/2500[8]系列的芯片，BMC芯片與南橋、同步動(dòng)態(tài)隨機(jī)存儲(chǔ)器（Synchronous Dynamic Random Access Memory， SDRAM）、串行外設(shè)接口（Serial Peripheral Interface， SPI）的Flash存儲(chǔ)器等硬件模塊連接，實(shí)現(xiàn)服務(wù)器平臺(tái)的多種管理功能，如虛擬存儲(chǔ)功能、通用串行總線（Universal Serial Bus， USB）虛擬介質(zhì)、Web管理界面、監(jiān)控傳感器功能、用戶管理功能等。BMC一旦發(fā)現(xiàn)系統(tǒng)中的單元出現(xiàn)異常，立即采取記錄事件、報(bào)警、自動(dòng)關(guān)機(jī)或重啟動(dòng)等措施。

BMC的軟件功能主要提供服務(wù)器故障診斷、遠(yuǎn)程控制、遠(yuǎn)程配置部署、遠(yuǎn)程固件更新、系統(tǒng)信息監(jiān)測(cè)等功能;對(duì)外提供完備的協(xié)議或服務(wù)，如智能平臺(tái)管理接口（Intelligent Platform Management Interface， IPMI）、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol， SNMP）、Web界面、syslog日志模塊、安全外殼協(xié)議（Secure SHell， SSH）、遠(yuǎn)程登錄服務(wù)Telnet、系統(tǒng)虛擬化模塊（Kernel-based Virtual Machine， KVM）等。

其中IPMI是運(yùn)行于BMC上的服務(wù)器管理協(xié)議[9]，目的是使服務(wù)器管理工具和不同廠商生產(chǎn)的BMC之間的通信標(biāo)準(zhǔn)化。IPMI的主要特征是日志記錄及恢復(fù)控制功能均獨(dú)立于主處理器、BIOS和操作系統(tǒng)。用戶可以利用IPMI監(jiān)視服務(wù)器的溫度、電壓、電扇工作狀態(tài)、電源供應(yīng)以及機(jī)箱入侵等，為系統(tǒng)管理、恢復(fù)以及資產(chǎn)管理提供信息。

1.3 BMC風(fēng)險(xiǎn)要素

物理服務(wù)器涉及到的安全問題有一半以上出自BMC，所以BMC的安全對(duì)服務(wù)器安全的重要性不言而喻。一旦利用BMC漏洞發(fā)起攻擊，入侵者可以獲得BMC訪問權(quán)，入侵服務(wù)器獲得服務(wù)器的控制權(quán)，進(jìn)而從存儲(chǔ)器中復(fù)制數(shù)據(jù)，對(duì)操作系統(tǒng)作修改，安裝永久的后門，獲取服務(wù)器的證書，加載拒絕服務(wù)攻擊，或者清除硬件驅(qū)動(dòng)等，最終導(dǎo)致服務(wù)器的業(yè)務(wù)直接中斷或癱瘓。有些廠商的服務(wù)器存在BMC不經(jīng)過鑒權(quán)訪問的風(fēng)險(xiǎn);而有些廠商服務(wù)器的BMC則存在安全漏洞，入侵者可模仿合法用戶，查看用戶記錄及執(zhí)行事務(wù)。工信部曾發(fā)現(xiàn)美國(guó)某芯片廠家的BMC管理芯片存在安全漏洞，會(huì)竊取用戶數(shù)據(jù)向外發(fā)送，并且無法關(guān)掉或屏蔽。

BMC面臨的安全威脅比較多，主要如下。

1）協(xié)議安全問題。超文本傳輸協(xié)議（Hyper Text Transfer Protocol， HTTP）、IPMI、SNMP、Telnet等協(xié)議的脆弱性，例如IPMI允許零密碼和匿名登錄、HTTP數(shù)據(jù)明文傳送、SNMP V2.0通信不加密、Telnet缺少口令保護(hù)和強(qiáng)力認(rèn)證等。

2）Web應(yīng)用程序安全問題。存在跨站腳本攻擊、安全配置錯(cuò)誤、敏感信息泄露、跨站請(qǐng)求偽造（Cross Site Request Forgery， CSRF）等風(fēng)險(xiǎn)。

3）ARM Linux操作系統(tǒng)安全問題。存在弱口令、端口入侵、病毒木馬入侵[10]、網(wǎng)絡(luò)竊聽等風(fēng)險(xiǎn)。

2 威脅建模流程

2.1 安全目標(biāo)

在威脅建模之前首先應(yīng)確定安全目標(biāo)，這是BMC系統(tǒng)威脅建模最重要的步驟，只有明確了BMC中需要保護(hù)的對(duì)象，即非法攻擊者攻擊的對(duì)象，才能夠有助于理解潛在攻擊者的目標(biāo)，并將注意力集中于那些需要密切留意的應(yīng)用程序區(qū)域。安全目標(biāo)通常涉及數(shù)據(jù)及應(yīng)用程序的機(jī)密性、完整性、不可否認(rèn)性、身份驗(yàn)證、授權(quán)等，具體如下。

1）機(jī)密性。防止未經(jīng)授權(quán)的信息泄露。在BMC應(yīng)用的帶外管理環(huán)境中，維護(hù)信息的機(jī)密性是BMC應(yīng)用的重要保障。

2）完整性。防止信息未經(jīng)授權(quán)的更改，保證信息不被偶然或故意地破壞。

3）不可否認(rèn)性。保證信息的發(fā)送者不能抵賴或否認(rèn)對(duì)信息的發(fā)送。

4）身份驗(yàn)證。提供身份證明的實(shí)體才能訪問BMC的應(yīng)用和數(shù)據(jù)，否則不能訪問BMC資源。

5）授權(quán)。根據(jù)訪問權(quán)限授予主體訪問BMC服務(wù)資源的許可，保證發(fā)送方被授權(quán)發(fā)送消息。

只有滿足了以上五方面的安全要求，BMC才能投入應(yīng)用，安全才會(huì)得到保障。

2.2 模型的選擇和定義

常見的威脅模型有資產(chǎn)模型、攻擊者模型和軟件模型。

1）資產(chǎn)模型。先確認(rèn)軟件的所有資產(chǎn)，然后分析攻擊者怎樣攻擊，以及怎樣應(yīng)對(duì)每個(gè)威脅，資產(chǎn)到威脅沒有直接關(guān)系。

2）攻擊者模型。先確認(rèn)軟件的攻擊者可能有哪些，然后分析對(duì)應(yīng)攻擊者的攻擊方法以及怎樣應(yīng)對(duì)攻擊。

3）軟件模型。先分析軟件是如何組裝在一起的，然后分析組成軟件的各模塊可能存在的安全威脅以及應(yīng)對(duì)方法。該模型相對(duì)而言是最好用的，因?yàn)榻⑶逦能浖Ｐ陀兄趯ふ彝{，應(yīng)避免陷入到軟件功能正確與否的細(xì)節(jié)中。圖表是軟件建模的最佳方法，其中數(shù)據(jù)流圖（Data Flow Diagram， DFD）通常是威脅建模最理想的模型，在討論威脅時(shí)可進(jìn)行圖表的完善。

結(jié)合以上分析，在威脅發(fā)現(xiàn)階段為了全面尋找威脅，采用了DFD模型結(jié)合STRIDE方法來識(shí)別威脅。在威脅量化階段，采用了威脅樹模型，對(duì)威脅進(jìn)行細(xì)化和對(duì)具體攻擊方式進(jìn)行量化。

定義1 DFD模型。DFD描述為一個(gè)五元組〈外部實(shí)體、過程、存儲(chǔ)、數(shù)據(jù)流、信任邊界〉，其中：

外部實(shí)體 系統(tǒng)應(yīng)用外部不受控制的元素，與系統(tǒng)有交互或被系統(tǒng)調(diào)用。

過程 系統(tǒng)內(nèi)部管理數(shù)據(jù)的任務(wù)，通常會(huì)基于數(shù)據(jù)處理或執(zhí)行一個(gè)任務(wù)。

存儲(chǔ) 表示存儲(chǔ)但沒有修改數(shù)據(jù)的地方。

數(shù)據(jù)流 表示系統(tǒng)中數(shù)據(jù)的移動(dòng)方向。

信任邊界 出現(xiàn)在一個(gè)組件不信任邊界另一側(cè)的組件時(shí)。

定義2 威脅樹模型（TM）。TM是由一個(gè)或多個(gè)節(jié)點(diǎn)構(gòu)成的威脅樹，TM=（N，A，L），其中：

N是非空有限AND/OR節(jié)點(diǎn)的集合，AND是指構(gòu)成父節(jié)點(diǎn)的子節(jié)點(diǎn)之間是“邏輯與”關(guān)系，只有實(shí)現(xiàn)所有子節(jié)點(diǎn)時(shí)才能實(shí)現(xiàn)父節(jié)點(diǎn);同理，OR代表“邏輯或”，當(dāng)實(shí)現(xiàn)任一子節(jié)點(diǎn)時(shí)就能實(shí)現(xiàn)父節(jié)點(diǎn)。

A是屬性集合，包括攻擊成本Co、攻擊成功概率P和攻擊危害程度Da。各屬性之間的關(guān)系為：Da=P/Co，Co∈[0，100]，P∈[0，1]。

L是攻擊路徑，L={〈N1，N2，…，Nk〉|N1，N2，…，Nk∈葉節(jié)點(diǎn)}。一條攻擊路徑〈N1，N2，…，Nk〉是TM的一個(gè)最小割集，即實(shí)現(xiàn)威脅樹根節(jié)點(diǎn)所需的相關(guān)葉節(jié)點(diǎn)構(gòu)成的集合。

根據(jù)對(duì)威脅建模的形式化描述，以BMC用戶手冊(cè)、軟件架構(gòu)文檔等作為建模的輸入，設(shè)計(jì)工具采用了微軟威脅建模軟件Threat Modeling Tool 2016[11]，具體建模流程為：

1）根據(jù)BMC系統(tǒng)結(jié)構(gòu)，利用Threat Modeling Tool繪制系統(tǒng)的主體數(shù)據(jù)流圖，并根據(jù)實(shí)際情況進(jìn)行參數(shù)配置;

2）針對(duì)各個(gè)功能模塊，考慮是否存在特有的數(shù)據(jù)流，對(duì)數(shù)據(jù)流圖進(jìn)行完善;

3）用建模軟件生成威脅點(diǎn)并逐條分析，得到初步的系統(tǒng)威脅列表;

4）進(jìn)行思維發(fā)散，考慮各主體的威脅點(diǎn)是否有遺漏，并補(bǔ)充威脅列表;

5）使用威脅樹對(duì)數(shù)據(jù)流圖中各主體再進(jìn)行逐個(gè)分析，進(jìn)行威脅量化;

6）分析列表中各條威脅對(duì)應(yīng)的解決方案，識(shí)別安全需求和非需求。

3 繪制數(shù)據(jù)流圖

對(duì)BMC功能及使用方法的理解有助于有針對(duì)性地確定威脅可能發(fā)生的位置，因此為了識(shí)別BMC的威脅，需要對(duì)系統(tǒng)進(jìn)行分解應(yīng)用，基于BMC的物理部署特性、應(yīng)用程序、子系統(tǒng)的組成和結(jié)構(gòu)等，采用體系結(jié)構(gòu)圖表的表達(dá)方式，即繪制數(shù)據(jù)流圖，以便將威脅定位于某一特定區(qū)域，為后續(xù)識(shí)別對(duì)應(yīng)威脅的解決方案打下基礎(chǔ)。

在繪制數(shù)據(jù)流程時(shí)，需要根據(jù)BMC的結(jié)構(gòu)以便確定信任邊界、數(shù)據(jù)流、數(shù)據(jù)入口點(diǎn)和數(shù)據(jù)出口點(diǎn)。確定信任邊界主要用于注明在BMC設(shè)計(jì)過程中需要特別關(guān)注的區(qū)域，而且必須能夠確保相應(yīng)的安全措施可以將所有入口點(diǎn)保護(hù)在特定的信任邊界內(nèi)，并確保入口點(diǎn)可以充分驗(yàn)證通過信任邊界的所有數(shù)據(jù)的有效性。確定數(shù)據(jù)流是指從入口到出口跟蹤BMC應(yīng)用模塊的數(shù)據(jù)輸入輸出，這樣做可以更全面地找出盡可能多的威脅。入口點(diǎn)和出口點(diǎn)都是應(yīng)用程序遭攻擊的地方，是在進(jìn)行威脅建模時(shí)需要重點(diǎn)考慮的。

繪制數(shù)據(jù)流圖過程中，參考了BMC用戶手冊(cè)、軟件架構(gòu)文檔等，作為威脅建模的輸入。數(shù)據(jù)流圖分為外部實(shí)體、過程（加工）、數(shù)據(jù)流和數(shù)據(jù)存儲(chǔ)等4個(gè)元素，根據(jù)BMC硬件結(jié)構(gòu)及軟件架構(gòu)，利用微軟威脅建模工具Threat Modeling Tool 2016繪制了數(shù)據(jù)流圖，如圖2所示。表1是對(duì)數(shù)據(jù)流圖各元素的分解。

圖2中：外部實(shí)體用矩形框表示，例如Web客戶端（Web Client）、IPMI客戶端（IPMI Client）等。

過程用圓形表示，例如BMC服務(wù)（BMC Server）、Web服務(wù)（Web Server）、IPMI協(xié)議棧（IPMI Stack）等。

存儲(chǔ)用平行線表示，例如文件系統(tǒng)（File System）、日志（Log File）和Flash/SD卡存儲(chǔ)區(qū)。

數(shù)據(jù)流用帶箭頭的線表示，箭頭表示移動(dòng)的方向，例如客戶端Web請(qǐng)求（Web Client-Web Server）、Web應(yīng)答（Web Server-Web Client）等。

信任邊界通常存在于不同隱私級(jí)別的元素之間（例如Web Server與Web Client之間），或存在于在一樣的隱私級(jí)別之間運(yùn)行的不同組件之間（例如BMC Server與Telnet之間）。信任邊界的確定需要考慮系統(tǒng)里的所有要素是否具有相同級(jí)別的權(quán)限，并且每個(gè)要素是否可以訪問系統(tǒng)里的所有其他要素。

在利用Threat Modeling Tool繪圖的過程中，需要對(duì)每個(gè)元素進(jìn)行參數(shù)配置，例如Web Server是否采用了HTTPS、數(shù)據(jù)存儲(chǔ)是否加密等，此時(shí)需要結(jié)合BMC系統(tǒng)的實(shí)際情況進(jìn)行配置，對(duì)于不能確定的配置選項(xiàng)保持默認(rèn)設(shè)置即可。

4 威脅分析

4.1 確定威脅

完成BMC威脅模型的數(shù)據(jù)流圖后，需要確定可能影響應(yīng)用程序和危及安全目標(biāo)的威脅和攻擊，采用了STRIDE方法進(jìn)行威脅發(fā)現(xiàn)。STRIDE是一種啟發(fā)式的方法，目的是幫助尋找威脅。STRIDE是由假冒（Spoofing）、篡改（Tampering）、否認(rèn)（Repudiation）、信息泄露（Information disclosure）、拒絕服務(wù)（Denial of Service）和提升權(quán)限（Elevation of privilege）的英文詞首字母構(gòu)成[12]。Threat Modeling Tool即采用STRIDE方法進(jìn)行威脅發(fā)現(xiàn)。

當(dāng)檢測(cè)數(shù)據(jù)流圖無錯(cuò)誤后，運(yùn)行Threat Modeling Tool自動(dòng)分析功能后會(huì)按照數(shù)據(jù)流圖的各元素自動(dòng)生成BMC的初始威脅報(bào)告，報(bào)告中對(duì)每個(gè)標(biāo)識(shí)出的威脅進(jìn)行了描述，并且標(biāo)注了對(duì)應(yīng)STRIDE威脅中的分類。

需要說明的是，通過工具生成的初始威脅列表是比較龐雜的，而且其中有的數(shù)據(jù)流威脅是不需要關(guān)注的，例如Telnet服務(wù)不需要關(guān)注Telnet到BMC Server的過程，由于攻擊不到LPC（Low Pin Count）總線協(xié)議所以不需要關(guān)注BMC與BIOS之間的請(qǐng)求應(yīng)答過程，因此需要結(jié)合BMC的實(shí)際對(duì)數(shù)據(jù)流圖中的各主體再進(jìn)行逐個(gè)分析以便完善威脅列表。最后需要進(jìn)行發(fā)散思維，檢查各主體的威脅點(diǎn)是否有遺漏，可以利用頭腦風(fēng)暴分析方法，補(bǔ)充那些工具沒有識(shí)別出來，但BMC實(shí)際存在的威脅，例如USB存在BadUSB攻擊、BMC串口未采取訪問控制機(jī)制等。

經(jīng)過分析、篩檢、補(bǔ)充之后得到完善的BMC威脅列表如表2所示。表中按照BMC數(shù)據(jù)流圖中的各元素進(jìn)行分類，列出了每個(gè)模塊有哪些安全威脅，以及每條威脅對(duì)應(yīng)的STRIDE分類，由此得到了適用于BMC系統(tǒng)的威脅類型。

4.2 威脅量化

在威脅量化階段，從攻擊者的角度進(jìn)行BMC威脅分析，歸納起來大致分為兩類：

1）對(duì)數(shù)據(jù)的攻擊，例如竊聽、篡改、重復(fù)攻擊等;

2）對(duì)系統(tǒng)的攻擊，例如未授權(quán)訪問、授權(quán)違例、拒絕服務(wù)等。

利用威脅樹進(jìn)行威脅的分級(jí)細(xì)化。威脅樹是通過樹形結(jié)構(gòu)描述系統(tǒng)存在的各種攻擊，用根節(jié)點(diǎn)表示給定系統(tǒng)所面臨威脅的抽象描述，逐層細(xì)化威脅，直到用葉節(jié)點(diǎn)表示具體攻擊方式。

構(gòu)建的BMC的威脅樹如圖3所示，根節(jié)點(diǎn)A代表攻擊BMC，進(jìn)一步分解為下一級(jí)節(jié)點(diǎn)A1（服務(wù)攻擊）、A2（協(xié)議攻擊）和A3（硬件攻擊）;A1～A3之間的“OR”代表并列的關(guān)系，即單獨(dú)實(shí)施某一類攻擊就可以實(shí)現(xiàn)對(duì)BMC的攻擊。之后對(duì)A1～A3分別進(jìn)行逐層分解，直到細(xì)化為葉節(jié)點(diǎn)，即能夠?qū)嵤┑木唧w攻擊手段，如表3所示。例如，服務(wù)攻擊（A1）中的Web攻擊（A11），分解為暴力破解口令（A111）、跨站請(qǐng)求偽造攻擊（A112）和拒絕服務(wù)攻擊（A113）三種具體攻擊方式，該三個(gè)葉節(jié)點(diǎn)直接也為“OR”關(guān)系。

為了評(píng)估對(duì)BMC不同攻擊方法的成本效益差異，需要對(duì)各葉節(jié)點(diǎn)進(jìn)行威脅量化，確定各個(gè)攻擊方式的優(yōu)先級(jí)，從而有針對(duì)性地制定應(yīng)對(duì)措施或緩解方案，為此根據(jù)威脅量化公式：Da=P/Co，為葉節(jié)點(diǎn)威脅量化地評(píng)估屬性。Da反映了從攻擊者的角度進(jìn)行成本效益評(píng)估的結(jié)果，其值越大，成本效益越高，反之越低。量化標(biāo)準(zhǔn)取決于安全專家的實(shí)際經(jīng)驗(yàn)、安全事件的統(tǒng)計(jì)信息及主觀期望等方面[13]。表3中對(duì)每個(gè)葉節(jié)點(diǎn)進(jìn)行了威脅量化，列出了Co、P值，計(jì)算得出了對(duì)應(yīng)的Da值。

最后，為了加強(qiáng)對(duì)BMC最常出現(xiàn)漏洞的關(guān)注，需要識(shí)別安全需求和非需求，作為設(shè)計(jì)階段的依據(jù)和參考。安全需求即各類威脅對(duì)應(yīng)的安全屬性，即威脅的具體防護(hù)方法、威脅應(yīng)對(duì)或設(shè)計(jì)階段的注意事項(xiàng)，表4中的BMC威脅防護(hù)方法都可以作為安全需求。非需求為軟件產(chǎn)品內(nèi)部不會(huì)處理的安全隱患，無法通過軟件內(nèi)部實(shí)現(xiàn)來規(guī)避威脅，此種威脅可通過操作指南、警告和提示等進(jìn)行說明。例如對(duì)于BMC的Telnet等存在安全缺陷的協(xié)議，通過在用戶手冊(cè)中建議用戶進(jìn)行安全參數(shù)配置、默認(rèn)關(guān)閉協(xié)議等方式來規(guī)避威脅。

通過BMC威脅建模，將識(shí)別出的威脅應(yīng)對(duì)方案轉(zhuǎn)化為設(shè)計(jì)階段的安全需求和非需求，從而滿足了威脅建模的安全目標(biāo)，安全目標(biāo)對(duì)應(yīng)的安全措施主要有：

1）機(jī)密性。對(duì)于BMC的Web應(yīng)用環(huán)境，利用高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard， AES）[14]對(duì)Web服務(wù)的請(qǐng)求和響應(yīng)進(jìn)行加密，保證數(shù)據(jù)的機(jī)密性。

2）完整性。對(duì)于BMC的固件二進(jìn)制鏡像文件，利用256位安全散列算法（Secure Hash Algorithm， SHA-256）[15]進(jìn)行完整性校驗(yàn)。

3）不可否認(rèn)性。在BMC Web服務(wù)環(huán)境中，對(duì)于傳輸?shù)目蓴U(kuò)展標(biāo)記語言（eXtensible Markup Language， XML）消息，利用數(shù)字簽名算法RSA（Rivest-Shamir-Adleman）[16]對(duì)XML進(jìn)行簽名操作保證發(fā)送行為的不可否認(rèn)性。

4）身份驗(yàn)證。對(duì)于BMC可以使用多種不同的身份驗(yàn)證方式，例如通過用戶名/口令、指紋/聲音、基于令牌的身份驗(yàn)證等方式。

5）授權(quán)。使用授權(quán)策略以限制訪問不同的資源集合，包括文件、Web頁面、應(yīng)用程序接口、日志等。

5 結(jié)語

為了提升服務(wù)器的安全可靠性，需要在系統(tǒng)開發(fā)設(shè)計(jì)階段的早期考慮安全問題。本文針對(duì)BMC面臨的攻擊趨勢(shì)和安全威脅，提出了針對(duì)大型嵌入式系統(tǒng)的威脅模型，根據(jù)從模型得到的威脅制定了應(yīng)對(duì)策略和具體防護(hù)方法，作為設(shè)計(jì)階段的輸入，在設(shè)計(jì)階段就考慮安全風(fēng)險(xiǎn)，防患于未然，從而提升服務(wù)器的安全性。由于威脅建模不可能一次識(shí)別系統(tǒng)所有可能的威脅，而且應(yīng)用程序需要不斷增強(qiáng)其功能并作出調(diào)整以適應(yīng)不斷變化的外部需求等諸多原因，因此建模過程不是一次性的過程，需要結(jié)合實(shí)踐不斷總結(jié)完善，包括對(duì)模型的完善以及對(duì)威脅的分析等，因此威脅建模是不斷反復(fù)和迭代的過程。后續(xù)研究方向是在BMC的設(shè)計(jì)、編碼等開發(fā)階段中實(shí)現(xiàn)具體的威脅防護(hù)方法，并且在測(cè)試階段引入安全性測(cè)試，根據(jù)測(cè)試出的安全漏洞進(jìn)一步調(diào)整和優(yōu)化威脅模型。

參考文獻(xiàn) （References）

[1] JAMES R， ANMOL M.軟件安全：從源頭開始[M].丁麗萍，盧國(guó)慶，李彥峰，等譯.北京：機(jī)械工業(yè)出版社，2016：48-50.（JAMES R， ANMOL M. Core Software Security： Security at the Source [M]. DING L P， LU G Q， LI Y F， et al， translated. Beijing： China Machine Press， 2016： 48-50.）

[2] 李棟.基于擴(kuò)展FSM的Web應(yīng)用安全測(cè)試研究[J].計(jì)算機(jī)應(yīng)用與軟件，2018，35（2）：30-35.（LI D. Research on Web application security testing based on extended FSM [J]. Computer Applications and Software， 2018， 35（2）： 30-35.）

[3] 姜莉.一種基于STRIDE模型的Web服務(wù)安全評(píng)估方法研究[D].長(zhǎng)沙：湖南大學(xué)，2010：28-35.（JIANG L. Research on a security evaluation method based on STRIDE model for Web service [D]. Changsha： Hunan University， 2010： 28-35.）

[4] 王宇航，高金萍，石竑松，等.基于威脅建模的IC卡互聯(lián)網(wǎng)終端安全問題定義方法[J].北京理工大學(xué)學(xué)報(bào)，2017，37（12）：1259-1264.（WANG Y H， GAO J P， SHI H S， et al. A method of the security problem definition on the IC card international terminal based on the threat modeling [J]. Transactions of Beijing Institute of Technology， 2017， 37（12）： 1259-1264.）

[5] 何可，李曉紅，馮志勇.面向?qū)ο蟮耐{建模方法[J].計(jì)算機(jī)工程，2011，37（4）：21-26.（HE K， LI X H， FENG Z Y. Approach to object oriented threat modeling [J]. Computer Engineering， 2011， 37（4）： 21-26.）

[6] 徐超，何炎祥，陳勇，等.面向嵌入式系統(tǒng)的威脅建模與風(fēng)險(xiǎn)評(píng)估[J].計(jì)算機(jī)應(yīng)用研究，2012，29（3）：826-828.（XU C， HE Y X， CHEN Y， et al. Embedded system oriented threat modeling and risk evaluation [J]. Application Research of Computers， 2012， 29（3）： 826-828.）

[7] ANDREW R. NIST special publication 800-193： platform firmware resiliency guidelines [EB/OL]. （2018-05-22） [2018-12-13]. https：//doi.org/10.6028/NIST.SP.800-193.

[8] ASPEED Technology Inc. AST2500/AST2520 integrated remote management processor A2 datasheet [EB/OL]. （2017-05-12） [2018-12-13]. http：//www.ASPEEDtech.com.

[9] Intel Corporation， Hewlett-Packard Company， NEC Corporation， et al. Intelligent platform management interface specification V2.0 [EB/OL]. （2015-04-21） [2018-12-13]. https：//www.intel.de/content/www/de/de/servers/ipmi/ipmi-intelligent-platform-mgt-interface-spec-2nd-gen-v2-0-spec-update.html.

[10] 劉煜堃，諸葛建偉，吳一雄.新型工業(yè)控制系統(tǒng)勒索蠕蟲威脅與防御[J].計(jì)算機(jī)應(yīng)用，2018，38（6）：1608-1613.（LIU Y K， ZHUGE J W， WU Y X. Threat and defense of new ransomware worm in industrial control system [J]. Journal of Computer Applications， 2018， 38（6）： 1608-1613.）

[11] Microsoft Trustworthy Computing. Microsoft threat modeling tool 2016 getting started guide [EB/OL]. [2018-12-13]. http：//microsoft.com/security/sdl.

[12] SHOSTACK A.威脅建模：設(shè)計(jì)和交付更安全的軟件[M].姜常青，班曉芳，梁杰，等譯.北京：機(jī)械工業(yè)出版社，2015：45-47.（SHOSTACK A. Threat Modeling： Designing for Security [M]. JIANG C Q， BAN X F， LIANG L， et al， translated. Beijing： China Machine Press， 2015： 45-47.）

[13] 楊洋，姚淑珍.一種基于威脅分析的信息安全風(fēng)險(xiǎn)評(píng)估方法[J].計(jì)算機(jī)工程與應(yīng)用，2009，45（3）：94-96.（YANG Y， YAO S Z. Risk assessment method of information security based on threat analysis [J]. Computer Engineering and Applications， 2009， 45（3）： 94-96.）

[14] National Institute of Standards and Technology. FIPS PUB 197： announcing the Advanced Encryption Standard （AES） [S/OL]. （2001-11-26）[2018-12-13].https：//nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.197.pdf.

[15] National Institute of Standards and Technology. FIPS PUB 180-4： Secure Hash Standard （SHS） [S/OL]. （2015-08-10） [2018-12-13]. https：//nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.180-4.pdf.

[16] National Institute of Standards and Technology. FIPS PUB 186-3： Digital Signature Standard （DSS） [S/OL]. （2009-06-11） [2018-12-13]. https：//csrc.nist.gov/CSRC/media/Publications/fips/186/3/archive/2009-06-25/documents/fips_186-3.pdf.