基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案改進(jìn)與分析

肖躍雷，武君勝，朱志祥

(1.西北工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院，西安 710072； 2. 陜西省信息化工程研究院，西安 710075；3.西安郵電大學(xué) 物聯(lián)網(wǎng)與兩化融合研究院，西安 710061)(*通信作者電子郵箱xiao_yuelei@163.com)

0 引言

媒體訪問控制安全(Media Access Control Security, MACSec)定義了基于有線局域網(wǎng)(Local Area Network, LAN)的數(shù)據(jù)安全通信方法，可為用戶提供安全的媒體訪問控制(Media Access Control, MAC)層數(shù)據(jù)發(fā)送和接收服務(wù)，適用于政府、軍隊(duì)、金融等對(duì)數(shù)據(jù)機(jī)密性要求較高的場(chǎng)合[1-2]。類似于MACSec，我國也提出了基于三元對(duì)等鑒別(Tri-element Peer Authentication, TePA)的有線局域網(wǎng)媒體訪問控制安全(TePA-based wired LAN Mac Security, TLSec)[3-4]，其中TePA是我國在基礎(chǔ)性信息安全領(lǐng)域的第一個(gè)國際標(biāo)準(zhǔn)[5]。TLSec包括基于TePA的LAN鑒別協(xié)議(TePA-based LAN Authentication Protocol, TLA)和基于TLA的LAN保密通信協(xié)議(TLA-based LAN Privacy Protocol, TLP)，分別用于建立LAN安全關(guān)聯(lián)和保護(hù)LAN安全通信。文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程、組播密鑰通告過程、站間密鑰建立過程和交換密鑰建立過程。

在文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案中，對(duì)于新加入交換機(jī)與所連接交換機(jī)，它們之間的交換密鑰建立過程就是它們之間的單播密鑰協(xié)商過程; 但是，對(duì)于新加入交換機(jī)與不相鄰交換機(jī)，它們之間的交換密鑰建立過程又包括交換基密鑰通告過程和交換密鑰協(xié)商過程，造成較大的通信浪費(fèi)。此外，對(duì)于新加入終端設(shè)備，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程沒有考慮對(duì)終端設(shè)備的平臺(tái)認(rèn)證(包括平臺(tái)身份認(rèn)證和平臺(tái)完整性評(píng)估)[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設(shè)備接入LAN，從而危害到交換機(jī)的安全。但是，根據(jù)文獻(xiàn)[9-11]可知，LAN中的終端設(shè)備是交換機(jī)安全威脅的重要源頭。

為了解決這兩個(gè)問題，本文通過對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程的改進(jìn)，提出了一種改進(jìn)的LAN安全關(guān)聯(lián)方案。性能對(duì)比分析結(jié)果表明，該方案有效提高了交換密鑰建立過程的性能; 然后，在該方案的基礎(chǔ)上，通過對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程的進(jìn)一步改進(jìn)，提出了一種可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案，增加了對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)了終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性; 最后，利用串空間模型(Strand Space Model, SSM)[12-14]證明了這兩個(gè)LAN安全關(guān)聯(lián)方案是安全的。

1 改進(jìn)的LAN安全關(guān)聯(lián)方案

根據(jù)文獻(xiàn)[3-4]可知，基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案可分為針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案和針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案。針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程、組播密鑰通告過程和站間密鑰建立過程。針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案包括基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程、組播密鑰通告過程和交換密鑰建立過程，其中交換密鑰建立又包括交換基密鑰通告過程和交換密鑰協(xié)商過程，造成較大的通信浪費(fèi)。為了減少交換密鑰建立過程的通信浪費(fèi)，本文對(duì)針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案進(jìn)行改進(jìn)，主要是對(duì)其中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程進(jìn)行改進(jìn)，如圖1所示。

圖1 針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案改進(jìn)

在圖1中，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一替換了文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程，密鑰分發(fā)消息替換了文獻(xiàn)[3-4]定義的交換基密鑰通告過程，其他過程都保持不變。

1.1 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一

基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一的方案過程如下：

1)I→R：ADDIDR,I‖NI；

2)R→I：ADDIDR,I‖NI‖NR‖TIER‖MICR,1;

相對(duì)于文獻(xiàn)[3-4]中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程，上述方案過程中單下劃線標(biāo)記的消息和字段是新增加的，雙下劃線標(biāo)記的字段是擴(kuò)展后的，所以該方案過程是向后兼容的。該方案過程的具體步驟如下：

步驟1I向R發(fā)送m1=ADDIDR,I‖NI，其中ADDIDR,I=MACR‖MACI，MACR和MACI分別為R和I的MAC地址，NI為I產(chǎn)生的隨機(jī)數(shù)，I為過程發(fā)起者，R為過程響應(yīng)者。

步驟4S收到m3后，先驗(yàn)證MICI,1，然后計(jì)算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中UEKR,S、MAKR,S和KEKR,S分別為R和S之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，PMK為成對(duì)主密鑰(將通過圖1中的密鑰分發(fā)消息分發(fā)給各個(gè)不相鄰交換機(jī)，用于新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的交換密鑰協(xié)商過程)，NS為S產(chǎn)生的隨機(jī)數(shù)。最后S向I發(fā)送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2，其中TIES為S支持和選擇的鑒別及密鑰套件，MICS,1為S生成的消息鑒別碼且MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)，MICS,2為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ADDIDR,S‖NI‖NS‖TIES‖MISS,1)。

步驟5I收到m4后，先驗(yàn)證MICS,2，然后向R發(fā)送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖

MICS,1‖MICI,2，其中TIEI為I支持和選擇的鑒別及密鑰套件，MICI,2為I生成的消息鑒別碼且MICI,2=HMAC(MAKR,I,ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1)。

步驟6R收到m5后，先驗(yàn)證MICI,2，然后計(jì)算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗(yàn)證MICS,1，最后向I發(fā)送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖MICR,3，其中MICR,2為R生成的消息鑒別碼且MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2)。

步驟7I收到m6后，先驗(yàn)證MICR,3，然后向S發(fā)送m7=ADDIDR,S‖NS‖MICR,2‖MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2)。

步驟8S收到m7后，驗(yàn)證MICI,3和MICR,2。至此，該方案過程執(zhí)行完成。

1.2 性能對(duì)比分析

假設(shè)新加入交換機(jī)通過所連接交換機(jī)接入LAN后，還需要與n個(gè)不相鄰交換機(jī)建立交換密鑰。文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案和圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的性能對(duì)比分析如下：

方案通信效率 通過分析可知，文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)為4+(4+4)n，而圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)為7+(1+4)n。當(dāng)n=1時(shí)，兩個(gè)方案中交互的消息數(shù)相同, 但是，隨著n的值增大，與文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)相比，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的交互消息數(shù)越來越少。

方案計(jì)算量 通過分析可知，文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量為4M+(2E+8M)×n，而圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量為2E+8M+(1E+5M)×n，其中E表示加密運(yùn)算，M表示消息鑒別碼運(yùn)算。當(dāng)n=1時(shí)，兩個(gè)方案的計(jì)算量相當(dāng)；但是，隨著n的值增大，與文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量相比，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案的計(jì)算量越來越小。

因此，圖1中改進(jìn)的針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案比文獻(xiàn)[3-4]中針對(duì)新加入交換機(jī)的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案在通信效率和計(jì)算量上具有明顯的優(yōu)勢(shì)，且主要體現(xiàn)在交換密鑰建立過程中。

2 可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案

在上述改進(jìn)的LAN安全關(guān)聯(lián)方案中，針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案沒有考慮對(duì)終端設(shè)備的平臺(tái)認(rèn)證[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設(shè)備接入LAN，從而危害到交換機(jī)的安全。為了增加對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)終端設(shè)備的可信網(wǎng)絡(luò)接入，本文在上述改進(jìn)的LAN安全關(guān)聯(lián)方案基礎(chǔ)上，對(duì)其中針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案進(jìn)行改進(jìn)，主要是對(duì)其中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程進(jìn)行改進(jìn)，如圖2所示。

圖2 針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案改進(jìn)

在圖2中，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二替換了文獻(xiàn)[3-4]中定義的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程，其他過程都保持不變。

基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二的方案過程如下：

3)I→S：ADDIDR,S‖NI‖NR‖TIER‖

{MKR,S}KEKI,S‖MICI,1；

4)S→I：ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2；

5)I→R：ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖

TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2；

6)R→I：ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖

相對(duì)于圖1中的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一，上述方案過程中單下劃線標(biāo)記的消息和字段是新增加的，雙下劃線標(biāo)記的字段是擴(kuò)展后的，所以該方案過程是向后兼容的。該方案過程的具體步驟如下：

步驟1I向R發(fā)送m1=ADDIDR,I‖NI‖gy，其中g(shù)y為I產(chǎn)生的Diffie-Hellman(DH)交換臨時(shí)公鑰。

步驟3I收到m2后，先計(jì)算UEKR,I‖MAKR,I‖KEKR,I‖

MICI,1。

步驟4S收到m3后，先驗(yàn)證MICI,1，然后計(jì)算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中IEKR,S為R和S之間的平臺(tái)完整性加密密鑰。最后S向I發(fā)送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2。

步驟5I收到m4后，先驗(yàn)證MICS,2，然后向R發(fā)送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2。

步驟6R收到m5后，先驗(yàn)證MICI,2，然后計(jì)算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗(yàn)證MICS,1，最后向I發(fā)送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα‖MICR,3，其中α為R的平臺(tái)，PCRα為α的平臺(tái)配置寄存器(Platform Configuration Register, PCR)值，SMLα為α的存儲(chǔ)度量日志(Stored Measurement Log, SML)，Cert(AIKpk,α)為α的平臺(tái)身份證明密鑰(Attestation Identity Key, AIK)證書，AIKpk,α為α的AIK公鑰[6-8]，σα為α的AIK簽名且σα=[HMAC(BKR,I,NS),PCRα]AIKsk,α，AIKsk,α為α的AIK私鑰，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα)。

步驟7I收到m6后，先驗(yàn)證MICR,3，然后向S發(fā)送m7=ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖

MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α))。

步驟8S收到m7后，先驗(yàn)證MICI,3和MICR,2，然后驗(yàn)證Cert(AIKpk,α)的有效性，接著使用PCRα來驗(yàn)證SMLα的正確性，最后向I發(fā)送m8=ResS‖MICS,3，其中ResS為S生成的平臺(tái)認(rèn)證結(jié)果且ResS=NI‖PCRα‖Cert(AIKpk,α)‖ReAIK,α‖ReINT,α，ReAIK,α為Cert(AIKpk,α)的AIK證書驗(yàn)證結(jié)果，ReINT,α為SMLα的平臺(tái)完整性評(píng)估結(jié)果，MICS,3為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ResS)。

步驟9I收到m8后，先驗(yàn)證MICS,3，然后驗(yàn)證ResS中的ReAIK,α和ReINT,α。至此，該方案過程成功完成。

根據(jù)以上所述方案過程可知，由于在針對(duì)新加入終端設(shè)備的基于預(yù)共享密鑰的LAN安全關(guān)聯(lián)方案中增加對(duì)終端設(shè)備的平臺(tái)認(rèn)證，所以實(shí)現(xiàn)終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性。

3 安全性分析

在上述改進(jìn)的LAN安全關(guān)聯(lián)方案和可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案中，單播密鑰協(xié)商過程、組播密鑰通告過程和站間密鑰建立過程與第3版無線局域網(wǎng)(Wireless Local Area Network, WLAN)鑒別基礎(chǔ)設(shè)施(WLAN Authentication Infrastructure, WAI)協(xié)議中的相應(yīng)過程相同，而交換密鑰協(xié)商過程與單播密鑰協(xié)商過程相同。根據(jù)文獻(xiàn)[15-16]可知，第3版WAI協(xié)議已被證明是安全的，所以本文只需要對(duì)兩個(gè)改進(jìn)的基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程(以下簡(jiǎn)寫為過程改進(jìn)一和過程改進(jìn)二)進(jìn)行安全性分析。下面利用利用串空間模型[12-14]來分析它們的安全性。

3.1 對(duì)過程改進(jìn)一的安全性分析

定義1 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一的串空間是以下4類串的并集：

1) 發(fā)起者串s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7〉，與這類串相關(guān)聯(lián)的主體為I；

2) 響應(yīng)者串s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關(guān)聯(lián)的主體為R；

3) 服務(wù)者串s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，跡為：〈-m3,+m4,-m7〉，與類串相關(guān)聯(lián)的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。

定理1 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)響應(yīng)者串r∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因?yàn)镸AKI,S,KEKI,S?KP，所以由MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICS,2?term(〈s,4〉)源發(fā)于一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER′,TIES,MKR,S]。同理，MICI,1?term(〈t,1〉)源發(fā)于一個(gè)發(fā)起者串s″，由定義1和假設(shè)3可知，s″=s，從而TIER′=TIER。

定理2 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為：s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因?yàn)镃中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)服務(wù)者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，其證明過程與定理1相同。

定理3 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]和一個(gè)響應(yīng)者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]。

證明 因?yàn)镸AKI,S,KEKI,S?KP，所以由MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICI,3?term(〈s,3〉)源發(fā)于一個(gè)發(fā)起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI′,NS,TIER′,TIEI′,TIES′,MKR,S]。同理，MICI,1?term(〈s,1〉)源發(fā)于一個(gè)發(fā)起者串r′，由定義1和假設(shè)3可知，r′=r，從而TIER′=TIER和NI′=NI。MICS,2?term(〈r,4〉)源發(fā)于一個(gè)服務(wù)者串s′，由定義1和假設(shè)3可知，s′=s，從而TIES′=TIES。

因?yàn)镃中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)響應(yīng)者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]，其證明過程與定理1相同。

由定理3和S的功能可知，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是S清楚R和I都是該過程中的唯一的合法發(fā)起者和響應(yīng)者，所以這是合理和安全的。因此，由定理1、2和3可知，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)一是安全的。

3.2 對(duì)過程改進(jìn)二的安全性分析

定義2 基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二的串空間是以下4類串的并集：

1) 發(fā)起者串s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]， 跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7,-m8〉，與這類串相關(guān)聯(lián)的主體為I；

2) 響應(yīng)者串s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]， 跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關(guān)聯(lián)的主體為R，用r·α表示，是一個(gè)雙身份協(xié)議主體[14]，其中r表示R的用戶，α表示R的平臺(tái)；

3) 服務(wù)者串s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，跡為：〈-m3,+m4,-m7, +m8〉，與類串相關(guān)聯(lián)的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6、m7和m8為過程中的7條消息。此外，SMLα表明α是可信賴的平臺(tái)。

定理4 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?Kep且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS，gx和gy唯一產(chǎn)生于Σ中，且gx≠gy。

那么C中包含一個(gè)響應(yīng)者串r∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]和一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]。

因?yàn)镸AKI,S,KEKI,S?KP，所以C中包含一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，其證明過程類似于定理1。

定理5 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]和一個(gè)服務(wù)者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]。

證明 其證明過程類似于定理2。

定理6 假設(shè)：

1)Σ為基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產(chǎn)生于Σ中，且NR≠NI≠NS。

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]和一個(gè)響應(yīng)者串t∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]。

證明 其證明過程類似于定理3。

由定理5和6、I的功能和S的功能可知，R不清楚S生成的AIK證書驗(yàn)證結(jié)果和平臺(tái)完整性評(píng)估結(jié)果，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是I清楚S生成的AIK證書驗(yàn)證結(jié)果和平臺(tái)完整性評(píng)估結(jié)果且S清楚R和I都是該過程中的唯一的合法發(fā)起者和響應(yīng)者，所以這是合理和安全的。因此，由定理4、5和6可知，基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程改進(jìn)二是安全的。

4 結(jié)語

本文針對(duì)LAN安全關(guān)聯(lián)方案中交換密鑰建立過程的通信浪費(fèi)問題，通過對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程的改進(jìn)，提出了一種改進(jìn)的LAN安全關(guān)聯(lián)方案。該方案生成新加入交換機(jī)和認(rèn)證服務(wù)器之間的成對(duì)主密鑰，并通過密鑰分發(fā)消息傳輸給每一個(gè)不相鄰交換機(jī)，用于新加入交換機(jī)和每一個(gè)不相鄰交換機(jī)之間的交換密鑰協(xié)商過程。通過性能對(duì)比分析可知，改進(jìn)的LAN安全關(guān)聯(lián)方案在通信效率和計(jì)算量上都具有明顯優(yōu)勢(shì)，且主要體現(xiàn)在交換密鑰建立過程中。然后，在該方案的基礎(chǔ)上，通過對(duì)基于預(yù)共享密鑰的鑒別及單播密鑰協(xié)商過程的進(jìn)一步改進(jìn)，提出了一種可信計(jì)算環(huán)境下的LAN安全關(guān)聯(lián)方案。該方案增加了對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)了終端設(shè)備的可信網(wǎng)絡(luò)接入，從而增強(qiáng)了LAN的安全性。最后，通過安全性和兼容性分析可知，這兩個(gè)LAN安全關(guān)聯(lián)方案都是安全的且向后兼容的。