参考另一篇文章
什么是威胁模型（Threat model）?

安全性分析与威胁模型的关系

安全性分析与威胁模型是前后继承的关系

威胁模型是评估设计的系统，哪些部分是安全的，哪些部分是危险的，并指出系统可能遇到的潜在攻击。

安全性分析则是在系统设计完成后，评估系统的安全性，在威胁模型提到的攻击方式，系统是如何应对的，安全性分析需要说明在威胁模型提到的攻击方式都已经被系统成功防御。

安全性分析与威胁模型在论文中的位置

威胁模型应该在系统框架图之后，系统design之前，提出系统可能遇到的攻击类型，即第三章design的开头。通常威胁模型需要画一张流程图解释系统是如何被攻击的。

威胁模型的书写模板如下：

我们认为系统中组件A是可信的；
组件B是半可信的，因为某一部分不会出错，而一部分可能被攻击被窃取/替换数据；
组件C是不可信的，可能存在攻击者。
因此根据攻击者能获取到的信息，总结了以下几种攻击：
攻击A：名称，作用，攻击过程，攻击目标
攻击B：名称，作用，攻击过程，攻击目标

安全性分析则应该在评估部分，一般是第四章evaluation或第五章单开一章security analysis，要与威胁模型中提到的威胁一一对应，解释每个攻击是如何被解决的。

安全性分析的书写模板如下：

在本节中，我们从安全和隐私的角度对本系统进行了理论分析/实际验证,
某某技术具备什么特性，可以带来哪些好处，在此基础上，我们的系统提供了xxx功能，可以抵御以下攻击/提供以下特性：
特性A:系统通过xxx实现xxx,可以抵御A攻击/满足了某种安全需求（任何一方都不能控制区块链，任何一方都不能修改或关闭它。这足以满足区块链的安全要求）
特性B:系统通过xxx实现xxx,满足了某种安全需求（因此，区块链可以作为一个自记录通道，实现消息的不可否认性。）
特性C:系统通过xxx实现xxx,可以抵御C攻击（因此，抵御DDoS攻击。）