肖躍雷，武君勝，朱志祥

(1.西北工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，西安 710072； 2. 陜西省信息化工程研究院，西安 710075；3.西安郵電大學(xué) 物聯(lián)網(wǎng)與兩化融合研究院，西安 710061)(*通信作者電子郵箱xiao_yuelei@163.com)

0 引言

媒體訪問(wèn)控制安全(Media Access Control Security, MACSec)定義了基于有線局域網(wǎng)(Local Area Network, LAN)的數(shù)據(jù)安全通信方法，可為用戶提供安全的媒體訪問(wèn)控制(Media Access Control, MAC)層數(shù)據(jù)發(fā)送和接收服務(wù)，適用于政府、軍隊(duì)、金融等對(duì)數(shù)據(jù)機(jī)密性要求較高的場(chǎng)合[1-2]。類似于MACSec，我國(guó)也提出了基于三元對(duì)等鑒別(Tri-element Peer Authentication, TePA)的有線局域網(wǎng)媒體訪問(wèn)控制安全(TePA-based wired LAN Mac Security, TLSec)[3-4]，其中TePA是我國(guó)在基礎(chǔ)性信息安全領(lǐng)域的第一個(gè)國(guó)際標(biāo)準(zhǔn)[5]。TLSec包括基于TePA的LAN鑒別協(xié)議(TePA-based LAN Authentication Protocol, TLA)和基于TLA的LAN保密通信協(xié)議(TLA-based LAN Privacy Protocol, TLP)，分別用于建立LAN安全關(guān)聯(lián)和保護(hù)LAN安全通信。文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程、組播密鑰通告過(guò)程、站間密鑰建立過(guò)程和交換密鑰建立過(guò)程。

在文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案中，對(duì)于新加入交換機(jī)與所連接交換機(jī)，它們之間的交換密鑰建立過(guò)程就是它們之間的單播密鑰協(xié)商過(guò)程; 但是，對(duì)于新加入交換機(jī)與不相鄰交換機(jī)，它們之間的交換密鑰建立過(guò)程又包括交換基密鑰通告過(guò)程和交換密鑰協(xié)商過(guò)程，造成較大的通信浪費(fèi)。此外，對(duì)于新加入終端設(shè)備，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程沒(méi)有考慮對(duì)終端設(shè)備的平臺(tái)認(rèn)證(包括平臺(tái)身份認(rèn)證和平臺(tái)完整性評(píng)估)[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設(shè)備接入LAN，從而危害到交換機(jī)的安全。但是，根據(jù)文獻(xiàn)[9-11]可知，LAN中的終端設(shè)備是交換機(jī)安全威脅的重要源頭。

為了解決這兩個(gè)問(wèn)題，本文通過(guò)對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程的改進(jìn)，提出了一種改進(jìn)的LAN安全關(guān)聯(lián)方案。性能對(duì)比分析結(jié)果表明，該方案有效提高了交換密鑰建立過(guò)程的性能; 然后，在該方案的基礎(chǔ)上，通過(guò)對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程的進(jìn)一步改進(jìn)，提出了一種可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案，增加了對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)了終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性; 最后，利用串空間模型(Strand Space Model, SSM)[12-14]證明了這兩個(gè)LAN安全關(guān)聯(lián)方案是安全的。

1 改進(jìn)的LAN安全關(guān)聯(lián)方案

根據(jù)文獻(xiàn)[3-4]可知，基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案可分為針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案和針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案。針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程、組播密鑰通告過(guò)程和站間密鑰建立過(guò)程。針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程、組播密鑰通告過(guò)程和交換密鑰建立過(guò)程，其中交換密鑰建立又包括交換基密鑰通告過(guò)程和交換密鑰協(xié)商過(guò)程，造成較大的通信浪費(fèi)。為了減少交換密鑰建立過(guò)程的通信浪費(fèi)，本文對(duì)針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案進(jìn)行改進(jìn)，主要是對(duì)其中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程進(jìn)行改進(jìn)，如圖1所示。

圖1 針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案改進(jìn)

在圖1中，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一替換了文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程，密鑰分發(fā)消息替換了文獻(xiàn)[3-4]定義的交換基密鑰通告過(guò)程，其他過(guò)程都保持不變。

1.1 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一

基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一的方案過(guò)程如下：

1)I→R：ADDIDR,I‖NI；

2)R→I：ADDIDR,I‖NI‖NR‖TIER‖MICR,1;

相對(duì)于文獻(xiàn)[3-4]中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程，上述方案過(guò)程中單下劃線標(biāo)記的消息和字段是新增加的，雙下劃線標(biāo)記的字段是擴(kuò)展后的，所以該方案過(guò)程是向后兼容的。該方案過(guò)程的具體步驟如下：

步驟1I向R發(fā)送m1=ADDIDR,I‖NI，其中ADDIDR,I=MACR‖MACI，MACR和MACI分別為R和I的MAC地址，NI為I產(chǎn)生的隨機(jī)數(shù)，I為過(guò)程發(fā)起者，R為過(guò)程響應(yīng)者。

步驟4S收到m3后，先驗(yàn)證MICI,1，然后計(jì)算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中UEKR,S、MAKR,S和KEKR,S分別為R和S之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，PMK為成對(duì)主密鑰(將通過(guò)圖1中的密鑰分發(fā)消息分發(fā)給各個(gè)不相鄰交換機(jī)，用于新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的交換密鑰協(xié)商過(guò)程)，NS為S產(chǎn)生的隨機(jī)數(shù)。最后S向I發(fā)送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2，其中TIES為S支持和選擇的鑒別及密鑰套件，MICS,1為S生成的消息鑒別碼且MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)，MICS,2為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ADDIDR,S‖NI‖NS‖TIES‖MISS,1)。

步驟5I收到m4后，先驗(yàn)證MICS,2，然后向R發(fā)送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖

MICS,1‖MICI,2，其中TIEI為I支持和選擇的鑒別及密鑰套件，MICI,2為I生成的消息鑒別碼且MICI,2=HMAC(MAKR,I,ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1)。

步驟6R收到m5后，先驗(yàn)證MICI,2，然后計(jì)算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗(yàn)證MICS,1，最后向I發(fā)送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖MICR,3，其中MICR,2為R生成的消息鑒別碼且MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2)。

步驟7I收到m6后，先驗(yàn)證MICR,3，然后向S發(fā)送m7=ADDIDR,S‖NS‖MICR,2‖MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2)。

步驟8S收到m7后，驗(yàn)證MICI,3和MICR,2。至此，該方案過(guò)程執(zhí)行完成。

1.2 性能對(duì)比分析

假設(shè)新加入交換機(jī)通過(guò)所連接交換機(jī)接入LAN后，還需要與n個(gè)不相鄰交換機(jī)建立交換密鑰。文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案和圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的性能對(duì)比分析如下：

方案通信效率 通過(guò)分析可知，文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)為4+(4+4)n，而圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)為7+(1+4)n。當(dāng)n=1時(shí)，兩個(gè)方案中交互的消息數(shù)相同, 但是，隨著n的值增大，與文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)相比，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)越來(lái)越少。

方案計(jì)算量 通過(guò)分析可知，文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量為4M+(2E+8M)×n，而圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量為2E+8M+(1E+5M)×n，其中E表示加密運(yùn)算，M表示消息鑒別碼運(yùn)算。當(dāng)n=1時(shí)，兩個(gè)方案的計(jì)算量相當(dāng)；但是，隨著n的值增大，與文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量相比，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量越來(lái)越小。

因此，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案比文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案在通信效率和計(jì)算量上具有明顯的優(yōu)勢(shì)，且主要體現(xiàn)在交換密鑰建立過(guò)程中。

2 可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案

在上述改進(jìn)的LAN安全關(guān)聯(lián)方案中，針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案沒(méi)有考慮對(duì)終端設(shè)備的平臺(tái)認(rèn)證[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設(shè)備接入LAN，從而危害到交換機(jī)的安全。為了增加對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)終端設(shè)備的可信網(wǎng)絡(luò)接入，本文在上述改進(jìn)的LAN安全關(guān)聯(lián)方案基礎(chǔ)上，對(duì)其中針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案進(jìn)行改進(jìn)，主要是對(duì)其中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程進(jìn)行改進(jìn)，如圖2所示。

圖2 針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案改進(jìn)

在圖2中，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二替換了文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程，其他過(guò)程都保持不變。

基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二的方案過(guò)程如下：

3)I→S：ADDIDR,S‖NI‖NR‖TIER‖

{MKR,S}KEKI,S‖MICI,1；

4)S→I：ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2；

5)I→R：ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖

TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2；

6)R→I：ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖

相對(duì)于圖1中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一，上述方案過(guò)程中單下劃線標(biāo)記的消息和字段是新增加的，雙下劃線標(biāo)記的字段是擴(kuò)展后的，所以該方案過(guò)程是向后兼容的。該方案過(guò)程的具體步驟如下：

步驟1I向R發(fā)送m1=ADDIDR,I‖NI‖gy，其中g(shù)y為I產(chǎn)生的Diffie-Hellman(DH)交換臨時(shí)公鑰。

步驟3I收到m2后，先計(jì)算UEKR,I‖MAKR,I‖KEKR,I‖

MICI,1。

步驟4S收到m3后，先驗(yàn)證MICI,1，然后計(jì)算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中IEKR,S為R和S之間的平臺(tái)完整性加密密鑰。最后S向I發(fā)送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2。

步驟5I收到m4后，先驗(yàn)證MICS,2，然后向R發(fā)送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2。

步驟6R收到m5后，先驗(yàn)證MICI,2，然后計(jì)算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗(yàn)證MICS,1，最后向I發(fā)送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα‖MICR,3，其中α為R的平臺(tái)，PCRα為α的平臺(tái)配置寄存器(Platform Configuration Register, PCR)值，SMLα為α的存儲(chǔ)度量日志(Stored Measurement Log, SML)，Cert(AIKpk,α)為α的平臺(tái)身份證明密鑰(Attestation Identity Key, AIK)證書，AIKpk,α為α的AIK公鑰[6-8]，σα為α的AIK簽名且σα=[HMAC(BKR,I,NS),PCRα]AIKsk,α，AIKsk,α為α的AIK私鑰，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα)。

步驟7I收到m6后，先驗(yàn)證MICR,3，然后向S發(fā)送m7=ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖

MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α))。

步驟8S收到m7后，先驗(yàn)證MICI,3和MICR,2，然后驗(yàn)證Cert(AIKpk,α)的有效性，接著使用PCRα來(lái)驗(yàn)證SMLα的正確性，最后向I發(fā)送m8=ResS‖MICS,3，其中ResS為S生成的平臺(tái)認(rèn)證結(jié)果且ResS=NI‖PCRα‖Cert(AIKpk,α)‖ReAIK,α‖ReINT,α，ReAIK,α為Cert(AIKpk,α)的AIK證書驗(yàn)證結(jié)果，ReINT,α為SMLα的平臺(tái)完整性評(píng)估結(jié)果，MICS,3為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ResS)。

步驟9I收到m8后，先驗(yàn)證MICS,3，然后驗(yàn)證ResS中的ReAIK,α和ReINT,α。至此，該方案過(guò)程成功完成。

根據(jù)以上所述方案過(guò)程可知，由于在針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案中增加對(duì)終端設(shè)備的平臺(tái)認(rèn)證，所以實(shí)現(xiàn)終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性。

3 安全性分析

在上述改進(jìn)的LAN安全關(guān)聯(lián)方案和可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案中，單播密鑰協(xié)商過(guò)程、組播密鑰通告過(guò)程和站間密鑰建立過(guò)程與第3版無(wú)線局域網(wǎng)(Wireless Local Area Network, WLAN)鑒別基礎(chǔ)設(shè)施(WLAN Authentication Infrastructure, WAI)協(xié)議中的相應(yīng)過(guò)程相同，而交換密鑰協(xié)商過(guò)程與單播密鑰協(xié)商過(guò)程相同。根據(jù)文獻(xiàn)[15-16]可知，第3版WAI協(xié)議已被證明是安全的，所以本文只需要對(duì)兩個(gè)改進(jìn)的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程(以下簡(jiǎn)寫為過(guò)程改進(jìn)一和過(guò)程改進(jìn)二)進(jìn)行安全性分析。下面利用利用串空間模型[12-14]來(lái)分析它們的安全性。

3.1 對(duì)過(guò)程改進(jìn)一的安全性分析

定義1 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一的串空間是以下4類串的并集：

1) 發(fā)起者串s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7〉，與這類串相關(guān)聯(lián)的主體為I；

2) 響應(yīng)者串s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關(guān)聯(lián)的主體為R；

3) 服務(wù)者串s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，跡為：〈-m3,+m4,-m7〉，與類串相關(guān)聯(lián)的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過(guò)程中的7條消息。

定理1 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)響應(yīng)者串r∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因?yàn)镸AKI,S,KEKI,S?KP，所以由MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICS,2?term(〈s,4〉)源發(fā)于一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER′,TIES,MKR,S]。同理，MICI,1?term(〈t,1〉)源發(fā)于一個(gè)發(fā)起者串s″，由定義1和假設(shè)3可知，s″=s，從而TIER′=TIER。

定理2 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為：s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因?yàn)镃中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，其證明過(guò)程與定理1相同。

定理3 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]和一個(gè)響應(yīng)者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]。

證明 因?yàn)镸AKI,S,KEKI,S?KP，所以由MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICI,3?term(〈s,3〉)源發(fā)于一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI′,NS,TIER′,TIEI′,TIES′,MKR,S]。同理，MICI,1?term(〈s,1〉)源發(fā)于一個(gè)發(fā)起者串r′，由定義1和假設(shè)3可知，r′=r，從而TIER′=TIER和NI′=NI。MICS,2?term(〈r,4〉)源發(fā)于一個(gè)服務(wù)者串s′，由定義1和假設(shè)3可知，s′=s，從而TIES′=TIES。

因?yàn)镃中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)響應(yīng)者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]，其證明過(guò)程與定理1相同。

由定理3和S的功能可知，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是S清楚R和I都是該過(guò)程中的唯一的合法發(fā)起者和響應(yīng)者，所以這是合理和安全的。因此，由定理1、2和3可知，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)一是安全的。

3.2 對(duì)過(guò)程改進(jìn)二的安全性分析

定義2 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二的串空間是以下4類串的并集：

1) 發(fā)起者串s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]， 跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7,-m8〉，與這類串相關(guān)聯(lián)的主體為I；

2) 響應(yīng)者串s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]， 跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關(guān)聯(lián)的主體為R，用r·α表示，是一個(gè)雙身份協(xié)議主體[14]，其中r表示R的用戶，α表示R的平臺(tái)；

3) 服務(wù)者串s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，跡為：〈-m3,+m4,-m7, +m8〉，與類串相關(guān)聯(lián)的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6、m7和m8為過(guò)程中的7條消息。此外，SMLα表明α是可信賴的平臺(tái)。

定理4 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?Kep且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS，gx和gy唯一產(chǎn)生于Σ中，且gx≠gy。

那么C中包含一個(gè)響應(yīng)者串r∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]和一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]。

因?yàn)镸AKI,S,KEKI,S?KP，所以C中包含一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，其證明過(guò)程類似于定理1。

定理5 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]和一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]。

證明 其證明過(guò)程類似于定理2。

定理6 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]和一個(gè)響應(yīng)者串t∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]。

證明 其證明過(guò)程類似于定理3。

由定理5和6、I的功能和S的功能可知，R不清楚S生成的AIK證書驗(yàn)證結(jié)果和平臺(tái)完整性評(píng)估結(jié)果，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是I清楚S生成的AIK證書驗(yàn)證結(jié)果和平臺(tái)完整性評(píng)估結(jié)果且S清楚R和I都是該過(guò)程中的唯一的合法發(fā)起者和響應(yīng)者，所以這是合理和安全的。因此，由定理4、5和6可知，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程改進(jìn)二是安全的。

4 結(jié)語(yǔ)

本文針對(duì)LAN安全關(guān)聯(lián)方案中交換密鑰建立過(guò)程的通信浪費(fèi)問(wèn)題，通過(guò)對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程的改進(jìn)，提出了一種改進(jìn)的LAN安全關(guān)聯(lián)方案。該方案生成新加入交換機(jī)和認(rèn)證服務(wù)器之間的成對(duì)主密鑰，并通過(guò)密鑰分發(fā)消息傳輸給每一個(gè)不相鄰交換機(jī)，用于新加入交換機(jī)和每一個(gè)不相鄰交換機(jī)之間的交換密鑰協(xié)商過(guò)程。通過(guò)性能對(duì)比分析可知，改進(jìn)的LAN安全關(guān)聯(lián)方案在通信效率和計(jì)算量上都具有明顯優(yōu)勢(shì)，且主要體現(xiàn)在交換密鑰建立過(guò)程中。然后，在該方案的基礎(chǔ)上，通過(guò)對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過(guò)程的進(jìn)一步改進(jìn)，提出了一種可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案。該方案增加了對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)了終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性。最后，通過(guò)安全性和兼容性分析可知，這兩個(gè)LAN安全關(guān)聯(lián)方案都是安全的且向后兼容的。