基于預共享密鑰的LAN安全關聯方案改進與分析

肖躍雷，武君勝，朱志祥

(1.西北工業大學 計算機學院，西安 710072； 2. 陜西省信息化工程研究院，西安 710075；3.西安郵電大學 物聯網與兩化融合研究院，西安 710061)(*通信作者電子郵箱xiao_yuelei@163.com)

0 引言

媒體訪問控制安全(Media Access Control Security, MACSec)定義了基于有線局域網(Local Area Network, LAN)的數據安全通信方法，可為用戶提供安全的媒體訪問控制(Media Access Control, MAC)層數據發送和接收服務，適用于政府、軍隊、金融等對數據機密性要求較高的場合[1-2]。類似于MACSec，我國也提出了基于三元對等鑒別(Tri-element Peer Authentication, TePA)的有線局域網媒體訪問控制安全(TePA-based wired LAN Mac Security, TLSec)[3-4]，其中TePA是我國在基礎性信息安全領域的第一個國際標準[5]。TLSec包括基于TePA的LAN鑒別協議(TePA-based LAN Authentication Protocol, TLA)和基于TLA的LAN保密通信協議(TLA-based LAN Privacy Protocol, TLP)，分別用于建立LAN安全關聯和保護LAN安全通信。文獻[3-4]中定義的基于預共享密鑰的LAN安全關聯方案包括基于預共享密鑰的鑒別及單播密鑰協商過程、組播密鑰通告過程、站間密鑰建立過程和交換密鑰建立過程。

在文獻[3-4]中定義的基于預共享密鑰的LAN安全關聯方案中，對于新加入交換機與所連接交換機，它們之間的交換密鑰建立過程就是它們之間的單播密鑰協商過程; 但是，對于新加入交換機與不相鄰交換機，它們之間的交換密鑰建立過程又包括交換基密鑰通告過程和交換密鑰協商過程，造成較大的通信浪費。此外，對于新加入終端設備，基于預共享密鑰的鑒別及單播密鑰協商過程沒有考慮對終端設備的平臺認證(包括平臺身份認證和平臺完整性評估)[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設備接入LAN，從而危害到交換機的安全。但是，根據文獻[9-11]可知，LAN中的終端設備是交換機安全威脅的重要源頭。

為了解決這兩個問題，本文通過對基于預共享密鑰的鑒別及單播密鑰協商過程的改進，提出了一種改進的LAN安全關聯方案。性能對比分析結果表明，該方案有效提高了交換密鑰建立過程的性能; 然后，在該方案的基礎上，通過對基于預共享密鑰的鑒別及單播密鑰協商過程的進一步改進，提出了一種可信計算環境下的LAN安全關聯方案，增加了對終端設備的平臺認證，實現了終端設備的可信網絡接入，從而增強了LAN的安全性; 最后，利用串空間模型(Strand Space Model, SSM)[12-14]證明了這兩個LAN安全關聯方案是安全的。

1 改進的LAN安全關聯方案

根據文獻[3-4]可知，基于預共享密鑰的LAN安全關聯方案可分為針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案和針對新加入交換機的基于預共享密鑰的LAN安全關聯方案。針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案包括基于預共享密鑰的鑒別及單播密鑰協商過程、組播密鑰通告過程和站間密鑰建立過程。針對新加入交換機的基于預共享密鑰的LAN安全關聯方案包括基于預共享密鑰的鑒別及單播密鑰協商過程、組播密鑰通告過程和交換密鑰建立過程，其中交換密鑰建立又包括交換基密鑰通告過程和交換密鑰協商過程，造成較大的通信浪費。為了減少交換密鑰建立過程的通信浪費，本文對針對新加入交換機的基于預共享密鑰的LAN安全關聯方案進行改進，主要是對其中的基于預共享密鑰的鑒別及單播密鑰協商過程進行改進，如圖1所示。

圖1 針對新加入交換機的基于預共享密鑰的LAN安全關聯方案改進

在圖1中，基于預共享密鑰的鑒別及單播密鑰協商過程改進一替換了文獻[3-4]中定義的基于預共享密鑰的鑒別及單播密鑰協商過程，密鑰分發消息替換了文獻[3-4]定義的交換基密鑰通告過程，其他過程都保持不變。

1.1 基于預共享密鑰的鑒別及單播密鑰協商過程改進一

基于預共享密鑰的鑒別及單播密鑰協商過程改進一的方案過程如下：

1)I→R：ADDIDR,I‖NI；

2)R→I：ADDIDR,I‖NI‖NR‖TIER‖MICR,1;

相對于文獻[3-4]中的基于預共享密鑰的鑒別及單播密鑰協商過程，上述方案過程中單下劃線標記的消息和字段是新增加的，雙下劃線標記的字段是擴展后的，所以該方案過程是向后兼容的。該方案過程的具體步驟如下：

步驟1I向R發送m1=ADDIDR,I‖NI，其中ADDIDR,I=MACR‖MACI，MACR和MACI分別為R和I的MAC地址，NI為I產生的隨機數，I為過程發起者，R為過程響應者。

步驟4S收到m3后，先驗證MICI,1，然后計算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中UEKR,S、MAKR,S和KEKR,S分別為R和S之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，PMK為成對主密鑰(將通過圖1中的密鑰分發消息分發給各個不相鄰交換機，用于新加入交換機與各個不相鄰交換機之間的交換密鑰協商過程)，NS為S產生的隨機數。最后S向I發送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2，其中TIES為S支持和選擇的鑒別及密鑰套件，MICS,1為S生成的消息鑒別碼且MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)，MICS,2為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ADDIDR,S‖NI‖NS‖TIES‖MISS,1)。

步驟5I收到m4后，先驗證MICS,2，然后向R發送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖

MICS,1‖MICI,2，其中TIEI為I支持和選擇的鑒別及密鑰套件，MICI,2為I生成的消息鑒別碼且MICI,2=HMAC(MAKR,I,ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1)。

步驟6R收到m5后，先驗證MICI,2，然后計算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗證MICS,1，最后向I發送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖MICR,3，其中MICR,2為R生成的消息鑒別碼且MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2)。

步驟7I收到m6后，先驗證MICR,3，然后向S發送m7=ADDIDR,S‖NS‖MICR,2‖MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2)。

步驟8S收到m7后，驗證MICI,3和MICR,2。至此，該方案過程執行完成。

1.2 性能對比分析

假設新加入交換機通過所連接交換機接入LAN后，還需要與n個不相鄰交換機建立交換密鑰。文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案和圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的性能對比分析如下：

方案通信效率 通過分析可知，文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的交互消息數為4+(4+4)n，而圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的交互消息數為7+(1+4)n。當n=1時，兩個方案中交互的消息數相同, 但是，隨著n的值增大，與文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的交互消息數相比，圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的交互消息數越來越少。

方案計算量 通過分析可知，文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的計算量為4M+(2E+8M)×n，而圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的計算量為2E+8M+(1E+5M)×n，其中E表示加密運算，M表示消息鑒別碼運算。當n=1時，兩個方案的計算量相當；但是，隨著n的值增大，與文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的計算量相比，圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案的計算量越來越小。

因此，圖1中改進的針對新加入交換機的基于預共享密鑰的LAN安全關聯方案比文獻[3-4]中針對新加入交換機的基于預共享密鑰的LAN安全關聯方案在通信效率和計算量上具有明顯的優勢，且主要體現在交換密鑰建立過程中。

2 可信計算環境下的LAN安全關聯方案

在上述改進的LAN安全關聯方案中，針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案沒有考慮對終端設備的平臺認證[6-8]，所以不能有效防止帶有蠕蟲、病毒和惡意軟件的終端設備接入LAN，從而危害到交換機的安全。為了增加對終端設備的平臺認證，實現終端設備的可信網絡接入，本文在上述改進的LAN安全關聯方案基礎上，對其中針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案進行改進，主要是對其中的基于預共享密鑰的鑒別及單播密鑰協商過程進行改進，如圖2所示。

圖2 針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案改進

在圖2中，基于預共享密鑰的鑒別及單播密鑰協商過程改進二替換了文獻[3-4]中定義的基于預共享密鑰的鑒別及單播密鑰協商過程，其他過程都保持不變。

基于預共享密鑰的鑒別及單播密鑰協商過程改進二的方案過程如下：

3)I→S：ADDIDR,S‖NI‖NR‖TIER‖

{MKR,S}KEKI,S‖MICI,1；

4)S→I：ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2；

5)I→R：ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖

TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2；

6)R→I：ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖

相對于圖1中的基于預共享密鑰的鑒別及單播密鑰協商過程改進一，上述方案過程中單下劃線標記的消息和字段是新增加的，雙下劃線標記的字段是擴展后的，所以該方案過程是向后兼容的。該方案過程的具體步驟如下：

步驟1I向R發送m1=ADDIDR,I‖NI‖gy，其中gy為I產生的Diffie-Hellman(DH)交換臨時公鑰。

步驟3I收到m2后，先計算UEKR,I‖MAKR,I‖KEKR,I‖

MICI,1。

步驟4S收到m3后，先驗證MICI,1，然后計算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中IEKR,S為R和S之間的平臺完整性加密密鑰。最后S向I發送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2。

步驟5I收到m4后，先驗證MICS,2，然后向R發送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2。

步驟6R收到m5后，先驗證MICI,2，然后計算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)并驗證MICS,1，最后向I發送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα‖MICR,3，其中α為R的平臺，PCRα為α的平臺配置寄存器(Platform Configuration Register, PCR)值，SMLα為α的存儲度量日志(Stored Measurement Log, SML)，Cert(AIKpk,α)為α的平臺身份證明密鑰(Attestation Identity Key, AIK)證書，AIKpk,α為α的AIK公鑰[6-8]，σα為α的AIK簽名且σα=[HMAC(BKR,I,NS),PCRα]AIKsk,α，AIKsk,α為α的AIK私鑰，MICR,3為R生成的消息鑒別碼且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα)。

步驟7I收到m6后，先驗證MICR,3，然后向S發送m7=ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖

MICI,3，其中MICI,3為I生成的消息鑒別碼且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α))。

步驟8S收到m7后，先驗證MICI,3和MICR,2，然后驗證Cert(AIKpk,α)的有效性，接著使用PCRα來驗證SMLα的正確性，最后向I發送m8=ResS‖MICS,3，其中ResS為S生成的平臺認證結果且ResS=NI‖PCRα‖Cert(AIKpk,α)‖ReAIK,α‖ReINT,α，ReAIK,α為Cert(AIKpk,α)的AIK證書驗證結果，ReINT,α為SMLα的平臺完整性評估結果，MICS,3為S生成的消息鑒別碼且MICS,2=HMAC(MAKI,S,ResS)。

步驟9I收到m8后，先驗證MICS,3，然后驗證ResS中的ReAIK,α和ReINT,α。至此，該方案過程成功完成。

根據以上所述方案過程可知，由于在針對新加入終端設備的基于預共享密鑰的LAN安全關聯方案中增加對終端設備的平臺認證，所以實現終端設備的可信網絡接入，從而增強了LAN的安全性。

3 安全性分析

在上述改進的LAN安全關聯方案和可信計算環境下的LAN安全關聯方案中，單播密鑰協商過程、組播密鑰通告過程和站間密鑰建立過程與第3版無線局域網(Wireless Local Area Network, WLAN)鑒別基礎設施(WLAN Authentication Infrastructure, WAI)協議中的相應過程相同，而交換密鑰協商過程與單播密鑰協商過程相同。根據文獻[15-16]可知，第3版WAI協議已被證明是安全的，所以本文只需要對兩個改進的基于預共享密鑰的鑒別及單播密鑰協商過程(以下簡寫為過程改進一和過程改進二)進行安全性分析。下面利用利用串空間模型[12-14]來分析它們的安全性。

3.1 對過程改進一的安全性分析

定義1 基于預共享密鑰的鑒別及單播密鑰協商過程改進一的串空間是以下4類串的并集：

1) 發起者串s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7〉，與這類串相關聯的主體為I；

2) 響應者串s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關聯的主體為R；

3) 服務者串s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，跡為：〈-m3,+m4,-m7〉，與類串相關聯的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。

定理1 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進一的串空間，C為Σ中的叢，包含一個發起者串s，其跡為s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS。

那么C中包含一個響應者串r∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個服務者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因為MAKI,S,KEKI,S?KP，所以由MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICS,2?term(〈s,4〉)源發于一個服務者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER′,TIES,MKR,S]。同理，MICI,1?term(〈t,1〉)源發于一個發起者串s″，由定義1和假設3可知，s″=s，從而TIER′=TIER。

定理2 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進一的串空間，C為Σ中的叢，包含一個響應者串s，其跡為：s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS。

那么C中包含一個發起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一個服務者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因為C中包含一個發起者串r，所以C中包含一個服務者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，其證明過程與定理1相同。

定理3 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進一的串空間，C為Σ中的叢，包含一個服務者串s，其跡為s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS。

那么C中包含一個發起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]和一個響應者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]。

證明 因為MAKI,S,KEKI,S?KP，所以由MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICI,3?term(〈s,3〉)源發于一個發起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI′,NS,TIER′,TIEI′,TIES′,MKR,S]。同理，MICI,1?term(〈s,1〉)源發于一個發起者串r′，由定義1和假設3可知，r′=r，從而TIER′=TIER和NI′=NI。MICS,2?term(〈r,4〉)源發于一個服務者串s′，由定義1和假設3可知，s′=s，從而TIES′=TIES。

因為C中包含一個發起者串r，所以C中包含一個響應者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]，其證明過程與定理1相同。

由定理3和S的功能可知，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是S清楚R和I都是該過程中的唯一的合法發起者和響應者，所以這是合理和安全的。因此，由定理1、2和3可知，基于預共享密鑰的鑒別及單播密鑰協商過程改進一是安全的。

3.2 對過程改進二的安全性分析

定義2 基于預共享密鑰的鑒別及單播密鑰協商過程改進二的串空間是以下4類串的并集：

1) 發起者串s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]， 跡為：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7,-m8〉，與這類串相關聯的主體為I；

2) 響應者串s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]， 跡為：〈-m1,+m2,-m5,+m6〉，與這類串相關聯的主體為R，用r·α表示，是一個雙身份協議主體[14]，其中r表示R的用戶，α表示R的平臺；

3) 服務者串s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，跡為：〈-m3,+m4,-m7, +m8〉，與類串相關聯的主體為S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6、m7和m8為過程中的7條消息。此外，SMLα表明α是可信賴的平臺。

定理4 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進二的串空間，C為Σ中的叢，包含一個發起者串s，其跡為s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?Kep且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS，gx和gy唯一產生于Σ中，且gx≠gy。

那么C中包含一個響應者串r∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]和一個服務者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]。

因為MAKI,S,KEKI,S?KP，所以C中包含一個服務者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，其證明過程類似于定理1。

定理5 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進二的串空間，C為Σ中的叢，包含一個響應者串s，其跡為s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS。

那么C中包含一個發起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]和一個服務者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]。

證明 其證明過程類似于定理2。

定理6 假設：

1)Σ為基于預共享密鑰的鑒別及單播密鑰協商過程改進二的串空間，C為Σ中的叢，包含一個服務者串s，其跡為s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I?KP且MAKI,S,KEKI,S?KP；

3)NR、NI和NS唯一產生于Σ中，且NR≠NI≠NS。

那么C中包含一個發起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]和一個響應者串t∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]。

證明 其證明過程類似于定理3。

由定理5和6、I的功能和S的功能可知，R不清楚S生成的AIK證書驗證結果和平臺完整性評估結果，S不清楚I支持和選擇的鑒別及密鑰套件的鑒別及密鑰套件，也不清楚R和I之間建立的單播密鑰，但是I清楚S生成的AIK證書驗證結果和平臺完整性評估結果且S清楚R和I都是該過程中的唯一的合法發起者和響應者，所以這是合理和安全的。因此，由定理4、5和6可知，基于預共享密鑰的鑒別及單播密鑰協商過程改進二是安全的。

4 結語

本文針對LAN安全關聯方案中交換密鑰建立過程的通信浪費問題，通過對基于預共享密鑰的鑒別及單播密鑰協商過程的改進，提出了一種改進的LAN安全關聯方案。該方案生成新加入交換機和認證服務器之間的成對主密鑰，并通過密鑰分發消息傳輸給每一個不相鄰交換機，用于新加入交換機和每一個不相鄰交換機之間的交換密鑰協商過程。通過性能對比分析可知，改進的LAN安全關聯方案在通信效率和計算量上都具有明顯優勢，且主要體現在交換密鑰建立過程中。然后，在該方案的基礎上，通過對基于預共享密鑰的鑒別及單播密鑰協商過程的進一步改進，提出了一種可信計算環境下的LAN安全關聯方案。該方案增加了對終端設備的平臺認證，實現了終端設備的可信網絡接入，從而增強了LAN的安全性。最后，通過安全性和兼容性分析可知，這兩個LAN安全關聯方案都是安全的且向后兼容的。