基于證書的有線局域網安全關聯方案改進與分析

肖躍雷，鄧小凡

（1.西安郵電大學現代郵政學院，西安 710061；2.陜西省信息化工程研究院，西安 710075；3.西安郵電大學計算機學院，西安 710121）

0 引言

為了給政府、軍隊、金融等用戶提供安全的媒體訪問控制（Media Access Control，MAC）層數據發送和接收服務，國際有線局域網（wired Local Area Network，LAN）標準IEEE 801.AE-2006［1］和IEEE 802.1X-2010［2］提出了媒體訪問控制安全（Media Access Control Security，MACSec），而我國LAN 標準YDB 066—2011［3］和GB/T 15629.3—2014［4］提出了基于三元對等鑒別（Tri-element Peer Authentication，TePA）的有線局域網媒體訪問控制安全（TePA-based wired LAN MAC Security，TLSec），其中TePA是我國在基礎性信息安全領域的第一個國際標準［5］。MACSec定義了基于預共享密鑰的MACSec安全關聯方案和基于802.1X 認證的MACSec 安全關聯方案，而TLSec 定義了基于預共享密鑰的LAN 安全關聯方案和基于證書的LAN安全關聯方案。

為了滿足跨交換機之間的MAC 層安全通信需求，文獻［6］中提出了一種改進的MACSec 安全關聯方案。此外，為了適用于可信計算環境，文獻［6］中還提出了一種可信計算環境下的MACSec 安全關聯方案。針對基于預共享密鑰的LAN 安全關聯方案中交換密鑰建立過程的通信浪費問題，文獻［7］提出了一種改進的基于預共享密鑰的LAN 安全關聯方案，并在該方案的基礎上提出了一種可信計算環境下的基于預共享密鑰的LAN 安全關聯方案。與基于預共享密鑰的LAN 安全關聯方案一樣，基于證書的LAN 安全關聯方案也存在交換密鑰建立過程的通信浪費和不適用于可信計算環境的問題。

為了解決這兩個問題，本文首先提出了一種改進的基于證書的LAN 安全關聯方案，它簡化了新加入交換機與各個不相鄰交換機之間的交換密鑰建立過程，有效提高了交換密鑰建立過程的通信性能。然后，在該方案的基礎上提出了一種可信計算環境下的基于證書的LAN 安全關聯方案，它在基于證書的鑒別過程中增加了對新加入終端設備的平臺認證（即平臺身份認證和平臺完整性評估）［8-10］，實現了新加入終端設備的可信網絡接入，從而可有效防止新加入終端設備將蠕蟲、病毒和惡意軟件帶入LAN［11-13］。最后，利用串空間模型（Strand Space Model，SSM）［14-16］證明了這兩個改進的基于證書的LAN安全關聯方案是安全的。

1 改進的基于證書的LAN安全關聯方案

TLSec 定義的基于證書的LAN 安全關聯方案包括基于證書的鑒別過程、單播密鑰協商過程、組播密鑰通告過程、站間密鑰建立過程和交換密鑰建立過程［3-4］。對于新加入交換機與不相鄰交換機之間，交換密鑰建立過程又包括交換基密鑰通告過程和交換密鑰協商過程，造成較大的通信浪費。為了解決這一問題，本文提出了一種改進的基于證書的LAN 安全關聯方案，如圖1所示。

圖1 改進的基于證書的LAN安全關聯方案Fig.1 Improved certificate-based LAN security association scheme

在圖1 中，基于證書的鑒別過程改進一和密鑰分發消息分別替換了TLSec定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程和交換基密鑰通告過程，其他過程都保持不變。

1.1 基于證書的鑒別過程改進一

基于證書的鑒別過程改進一的具體步驟如下：

相對于TLSec定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程，上述步驟中單下劃線標記的消息和字段是新增加的，而雙下劃線標記的字段是擴展后的。I為過程發起者，R為過程響應者，S為認證服務器。SNonce為鑒別過程的鑒別激活挑戰，ParmsECDH為I選擇的ECDH參數。MICI，1為I生成的消息鑒別碼 且MICI，1=HMAC(MAKI，S，SNonce||ParmsECDH)，其中.MAKI，S.為I和S之間已生成的消息鑒別密鑰。NI、NR和NS分別為I、R和S產生的隨機數。y·P、x·P和z·P分別為I、R和S產生的ECDH 臨時公鑰。σS，1為S生成的簽名且σS，1=[z·P]skS，其中skS為S的私鑰。MICS，1為S生成的消息鑒別碼且MICS，1=HMAC(MAKI，S，SNonce||ParmsECDH||NS||z·P||σS，1)。FLAG為鑒別過程的標識信息。CertI和CertR分別為I和R的身份證書。IDI、IDR和IDS分別為I、R和S的身份標識。σR，1為R生成的簽名且σR，1=[x·P]skR，其中skR為R的私鑰。MKR，S為R和S之間的主密鑰且MKR，S=HKD(x·z·P)。UEKR，S||MAKR，S||KEKR，S||PMK=HKD(MKR，S，NR||NS)，其 中UEKR，S、MAKR，S和KEKR，S分別為R和S之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，PMK為成對主密鑰，將通過圖1中的密鑰分發消息分發給各個不相鄰交換機，用于新加入交換機與各個不相鄰交換機之間的交換密鑰協商過程。HKD()為密鑰擴展函數，而HMAC()為消息鑒別碼函數。MICR為R生成的消息鑒別碼且MICR=HMAC(MAKR，S，NS||z·P||σS，1||NR||CertR||x·P||σR，1)。σR，2為R生成的簽名且σR，2=[FLAG||SNonce||NR||x·P||IDI||CertR||ParmsECDH||IDS||σR，1||MICR]skR。MICI，2為I生成的消息鑒別碼且MICI，2=HMAC(MAKI，S，NR||NI||CertR||CertI||x·P||σR，1||MICR||FLAG||y·P)。ResR、ResI分別為CertR、CertI的證書驗證結果。σS，2為S生成的簽名且。MICS，2為S生成的消息鑒別碼且MICS，2=HMAC(MAKR，S，NS||z·P||σS，1||NR||CertR||x·P||σR，1||MICR)。MICS，3為S生成的消息鑒別碼且MICS，3=HMAC(MAKI，S，NR||NI||CertR||CertI||ResR||ResI||σS，2||MICS，2)。AccRES為I生成的接入結果。MRES為復合證書驗證結果且MRES=NR||NI||CertR||CertI||ResR||ResI||σS，2。σI為I生成的簽名且，其 中skI為I的私鑰。BKR，I||SNonce*=HKD(x·y·P，NR||NI)，其中SNonce*為下一次鑒別過程產生的鑒別激活種子。

1.2 性能對比分析

假設：新加入交換機通過所連接交換機接入LAN 后，還需要與n個不相鄰交換機建立交換密鑰。TLSec 定義的基于證書的LAN 安全關聯方案［3-4］與圖1 中改進的基于證書的LAN安全關聯方案的性能對比分析如下：

方案通信效率：通過分析可知，TLSec 定義的基于證書的LAN 安全關聯方案的交互消息數為：5+(4+4)n，而圖1中改進的基于證書的LAN 安全關聯方案的交互消息數為：7+(1+4)n。當n=1時，兩個方案中交互的消息數相同；但是，隨著n的值增大，與TLSec 定義的基于證書的LAN 安全關聯方案的交互消息數相比，圖1 中改進的基于證書的LAN 安全關聯方案的交互消息數越來越少。

方案計算量：通過分析可知，TLSec 定義的基于證書的LAN 安全關聯方案的計算量為：3S+2M +(2E+8M) ×n，而圖1 中改進的基于證書的LAN 安全關聯方案的計算量為：5S+6M +(1E+5M) ×n，其中：S 表示簽名運算，E 表示加密運算，M 表示消息鑒別碼運算。當n=1 時，兩個方案的計算量相當；但是，隨著n的值增大，與TLSec 定義的基于證書的LAN 安全關聯方案的計算量相比，圖1 中改進的基于證書的LAN安全關聯方案的計算量越來越小。

因此，與TLSec 定義的基于證書的LAN 安全關聯方案相比，圖1 中改進的基于證書的LAN 安全關聯方案在通信效率和計算量上具有明顯的優勢，且主要體現在交換密鑰建立過程中。此外，相對于TLSec 定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程，基于證書的鑒別過程改進一僅增加了一些消息和字段，以及擴展了一些字段，所以它是向后兼容的。

2 可信計算環境下的基于證書的LAN 安全關聯方案

在TLSec 定義的基于證書的LAN 安全關聯方案中，對于新加入終端設備，基于證書的鑒別過程沒有考慮對新加入終端設備的平臺認證［8-10］，所以不能有效防止新加入終端設備將蠕蟲、病毒和惡意軟件帶入LAN［11-13］。為了解決這一問題，本文提出了一種可信計算環境下的基于證書的LAN 安全關聯方案，如圖2所示。

圖2 可信計算環境下的基于證書的LAN安全關聯方案Fig.2 Certificate-based LAN security association scheme for trusted computing environment

在圖2中，基于證書的鑒別過程改進二替換了TLSec定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程，其他過程都保持不變。基于證書的鑒別過程改進二的具體步驟如下：

相對于圖1 中的基于證書的鑒別過程改進一，上述步驟中單下劃線標記的消息和字段是新增加的，雙下劃線標記的字段是擴展后的。IEKR，S||MAKR，S=HKD(MKR，S，NR||NS)，其中IEKR，S為R和S之間的平臺完整性加密密鑰。α為R的平臺，PCRα為α的平臺配置寄存器（Platform Configuration Register，PCR）值，SMLα為α的存儲度量日志（Stored Measurement Log，SML），Cert(AIKpk，α)為α的平臺身份證明密鑰（Attestation Identity Key，AIK）證書，AIKpk，α為α的AIK 公鑰［6-8］。σα為α的AIK簽名且。σR，2為R生成的簽名且MICI，2為I生成的消息鑒別碼且ResS為S生成的平臺認證結果且ResS=PCRα||Cert(AIKpk，α)||ReAIK，α||ReINT，α，其中ReAIK，α為Cert(AIKpk，α)的AIK 證書驗證結果，ReINT，α為SMLα的平臺完整性評估結果。MICS，3為S生成的消息鑒別碼 且MICS，3=HMAC(MAKI，S，NR||NI||CertR||CertI||ResR||ResI||σS，2||MICS，2||ResS)。MICR，2為R生成的消息鑒別碼且MICI，3為I生成的消息鑒別碼且MICI，3=HMAC(BKR，I，FLAG||NR||NI||IDR||IDI||AccRES||x·P||y·P||MRES||MICS，2||σI)。

根據以上所述方案可知，由于在基于證書的鑒別過程改進二中增加對新加入終端設備的平臺認證，所以實現了新加入終端設備的可信網絡接入，從而有效防止新加入終端設備將蠕蟲、病毒和惡意軟件帶入LAN。此外，相對于圖1 中的基于證書的鑒別過程改進一，基于證書的鑒別過程改進二僅增加了一些消息和字段，以及擴展了一些字段，所以它是向后兼容的。在通信效率上，基于證書的鑒別過程改進二與基于證書的鑒別過程改進一相同。在計算量上，相比基于證書的鑒別過程改進一，基于證書的鑒別過程改進二僅增加了1S+1E+1M，保持了較好的通信性能和計算性能。

3 安全性分析

在上述改進的基于證書的LAN 安全關聯方案和可信計算環境下的基于證書的LAN 安全關聯方案中，單播密鑰協商過程、組播密鑰通告過程和站間密鑰建立過程與第3 版WLAN鑒別基礎設施（WLAN authentication infrastructure，WAI）協議中的相應過程相同，而交換密鑰協商過程與第3 版WAI協議的單播密鑰協商過程相同。由于第3版WAI協議已被證明是安全的［17-18］，所以本文利用串空間模型［14-16］僅對基于證書的鑒別過程改進一和基于證書的鑒別過程改進二進行安全性分析。

3.1 對基于證書的鑒別過程改進一的安全性分析

定義1 基于證書的鑒別過程改進一的串空間是以下4類串的并集：

1）發起者串s∈Init[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］，跡 為：〈+m1，-m2，+m3，-m4，+m5，-m6，+m7〉，與這類串相關聯的主體為I。

2）響應者串s∈Resp[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，，CertI，CertR，ResI，ResR，AccRES］，跡為：〈-m3，+m4，-m7〉，與這類串相關聯的主體為R。

3）服務 者串s∈Serv[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］，跡為：〈-m1，+m2，-m5，+m6〉，與類串相關聯的主體為S。

4）入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。

定理1 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個發起者串s，其跡為s∈Init[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個響應者串r∈Resp[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個服務者串t∈Serv[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］。

定理2 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個響應者串s，其跡為：s∈Resp[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個發起者串r∈Init[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個服務者串t∈Serv[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］。

由于C中包含一個發起者串r，所以C中包含一個服務者串t∈Serv[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］，其證明過程與定理1相同。

定理3 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個服務者串s，其跡為s∈Serv[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR]；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那 么C中包含一個發起者串r∈Init[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個響應者串t∈Resp[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］。

因為C中包含一個發起者串r，所以C中包含一個響應者串t∈Resp[R，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］。，其證明過程與定理1相同。

由定理1、2 和3 可知，I和R之間實現了它們之間的雙向身份認證并建立了它們之間的基密鑰，而R和S之間實現了它們之間的雙向身份認證并建立了它們之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，以及將來分發給各個不相鄰交換機成對主密鑰。因此，基于證書的鑒別過程改進一是安全的。

3.2 對基于證書的鑒別過程改進二的安全性分析

定義2 基于證書的鑒別過程改進二的串空間是以下4類串的并集：

1）發起者串s∈Init[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，跡為：〈+m1，-m2，+m3，-m4，+m5，-m6，+m7〉，與這類串相關聯的主體為I。

2）響應者串s∈Resp[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］，跡 為：〈-m3，+m4，-m7〉，與這類串相關聯的主體為R，用r·α表示，是一個雙身份協議主體［14］，其中r表示R的用戶，α表示R的平臺。

3）服務者串s∈Serv[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，跡 為：〈-m1，+m2，-m5，+m6〉，與類串相關聯的主體為S。

4）入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。此外，SMLα表明α是可信賴的平臺。

定理4 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個發起者串s，其跡為s∈Init[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］；

2）skR?Kep，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個響應者串r∈Resp[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］和 一個服務者串t∈Serv[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］。

因 為MAKI，S?KP，所 以C中包含一個服務者串t∈Serv[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，其證明過程類似于定理1。

定理5 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個響應者串s，其跡為：s∈Resp[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個發起者串r∈Init[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］和一個服務者串s∈Serv[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］。

證明 其證明過程類似于定理2。

定理6 假設：

1）Σ為基于證書的鑒別過程改進一的串空間，C為Σ中的叢，包含一個服務者串s，其跡為s∈Serv[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個發起者串r∈Init[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］和一個響應者串s∈Resp[r·α，I，S，FLAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］。

證明 其證明過程類似于定理3。

由定理4、5和6可知，基于證書的鑒別過程改進二不僅可以抵抗外部攻擊者（密鑰集為Kep）的攻擊，而且可以抵抗內部攻擊者（密鑰集為Kip）的攻擊，實現了I和R之間的雙向身份認證并建立了它們之間的基密鑰，實現了R和S之間的雙向身份認證并建立了它們之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，以及將來分發給各個不相鄰交換機成對主密鑰，同時實現了對R的平臺認證。因此，基于證書的鑒別過程改進二也是安全的。

4 討論

本文方案（即如下方案④改進一和方案④改進二）與其他文獻所提出方案的對比分析如表1所示。

在表1中，方案①是基于預共享密鑰的MACSec安全關聯方案［1-2］，方案②是基于802.1X 的MACSec 安全關聯方案［1-2］，方案③是基于預共享密鑰的LAN 安全關聯方案［3-4］，方案④是基于證書的LAN 安全關聯方案［3-4］。其中：方案①和方案②既不支持新加入交換機與各個不相鄰交換機之間的密鑰協商，也不支持對新加入終端設備的平臺認證；方案③和方案④支持新加入交換機與各個不相鄰交換機之間的密鑰協商，但不支持對新加入終端設備的平臺認證。

表1 本文方案與相關文獻所提方案的對比分析Tab.1 Comparative analysis of the proposed schemes proposed in this paper and the schemes proposed in related literatures

方案①改進一是改進的基于預共享密鑰的MACSec 安全關聯方案［6］，方案②改進一是改進的基于802.1X 的MACSec安全關聯方案［6］，方案③改進一是改進的基于預共享密鑰的LAN 安全關聯方案［7］，方案④改進一（即本文方案一）是改進的基于證書的LAN 安全關聯方案，它們都支持新加入交換機與各個不相鄰交換機之間的密鑰協商，但不支持對新加入終端設備的平臺認證。從交互消息數來看，方案④改進一與方案③改進一相同，少于方案②改進一，但多于方案①改進一，其中EM 表示可擴展認證協議（Extensible Authentication Protocol，EAP）的交互消息數（至少多于2 條）［2］，RM 表示Radius協議的交互消息數（至少多于2條）［2］。從計算量來看，方案④改進一高于方案③改進一和方案①改進一，當n較大時低于方案②改進一，其中EC 表示EAP 的計算量［2］，RC 表示Radius協議的計算量（至少高于1E）［2］。雖然方案①改進一的交互消息數較少且計算最較低，但是它是基于預共享密鑰模式且需要為新加入交換機與每一個不相鄰交換機之間預共享密鑰，密鑰管理比較復雜。方案②改進一的交互消息數多于方案④改進一，且計算量當n較大時也要高于方案④改進一。方案③改進一的交互消息數與方案④改進一相同，且計算量僅略小于方案④改進一。但是，方案③改進一是基于預共享密鑰模式，而方案④改進一是基于證書模式，后者的密鑰管理更簡單且安全性更高。

方案①改進二是可信計算環境下的基于預共享密鑰的MACSec 安全關聯方案［6］，方案②改進二是可信計算環境下的基于802.1X 的MACSec 安全關聯方案［6］，方案③改進二是可信計算環境下的基于預共享密鑰的LAN 安全關聯方案［7］，方案④改進二（即本文方案二）是可信計算環境下的基于證書的LAN 安全關聯方案，它們分別在方案①改進一、方案②改進一、方案③改進一和方案④改進一（即本文方案一）的基礎上增加了對終端設備的平臺認證，實現新加入終端設備的可信網絡接入，同時保持向后兼容，具有方案①改進一、方案②改進一、方案③改進一和方案④改進一類似的優缺點。從交互消息數來看（僅鑒別過程部分），方案①改進二增加了2 條，方案②改進二增加了2 條，方案③改進二增加了1 條，而方案④改進二沒有增加。從計算量來看（僅鑒別過程部分），方案①改進二增加了2E+2S，方案②改進二增加了2E+1S，方案③改進二增加了1E+1S+1M，而方案④改進二也是增加了1E+1S+1M。因此，方案④改進二在交互消息數和計算量的增加上具有一定的優勢。

5 結語

本文提出了一種改進的基于證書的LAN 安全關聯方案。該方案用基于證書的鑒別過程改進一和密鑰分發消息分別替換了TLSec定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程和交換基密鑰通告過程，減少了交換密鑰建立過程的消息交互，從而有效降低了交換密鑰建立過程的通信浪費。然后，在該方案的基礎上提出了一種可信計算環境下的基于證書的LAN 安全關聯方案。該方案用基于證書的鑒別過程改進二替換了TLSec定義的基于證書的LAN 安全關聯方案中的基于證書的鑒別過程，其中增加了對新加入終端設備的平臺認證，實現了新加入終端設備的可信網絡接入，從而有效防止新加入終端設備將蠕蟲、病毒和惡意軟件帶入LAN。最后，利用串空間模型證明了這兩個方案都是安全的，并且它們是向后兼容的。此外，通過定性和定量的對比分析可知，這兩個方案要優于其他文獻所提出的方案。未來，我們將通過具體實驗來進一步驗證這兩個方案的優越性。