肖跃雷，武君胜，朱志祥

(1.西北工业大学 计算机学院，西安 710072； 2. 陕西省信息化工程研究院，西安 710075；3.西安邮电大学 物联网与两化融合研究院，西安 710061)(*通信作者电子邮箱xiao_yuelei@163.com)

0 引言

媒体访问控制安全(Media Access Control Security, MACSec)定义了基于有线局域网(Local Area Network, LAN)的数据安全通信方法，可为用户提供安全的媒体访问控制(Media Access Control, MAC)层数据发送和接收服务，适用于政府、军队、金融等对数据机密性要求较高的场合[1-2]。类似于MACSec，我国也提出了基于三元对等鉴别(Tri-element Peer Authentication, TePA)的有线局域网媒体访问控制安全(TePA-based wired LAN Mac Security, TLSec)[3-4]，其中TePA是我国在基础性信息安全领域的第一个国际标准[5]。TLSec包括基于TePA的LAN鉴别协议(TePA-based LAN Authentication Protocol, TLA)和基于TLA的LAN保密通信协议(TLA-based LAN Privacy Protocol, TLP)，分别用于建立LAN安全关联和保护LAN安全通信。文献[3-4]中定义的基于预共享密钥的LAN安全关联方案包括基于预共享密钥的鉴别及单播密钥协商过程、组播密钥通告过程、站间密钥建立过程和交换密钥建立过程。

在文献[3-4]中定义的基于预共享密钥的LAN安全关联方案中，对于新加入交换机与所连接交换机，它们之间的交换密钥建立过程就是它们之间的单播密钥协商过程; 但是，对于新加入交换机与不相邻交换机，它们之间的交换密钥建立过程又包括交换基密钥通告过程和交换密钥协商过程，造成较大的通信浪费。此外，对于新加入终端设备，基于预共享密钥的鉴别及单播密钥协商过程没有考虑对终端设备的平台认证(包括平台身份认证和平台完整性评估)[6-8]，所以不能有效防止带有蠕虫、病毒和恶意软件的终端设备接入LAN，从而危害到交换机的安全。但是，根据文献[9-11]可知，LAN中的终端设备是交换机安全威胁的重要源头。

为了解决这两个问题，本文通过对基于预共享密钥的鉴别及单播密钥协商过程的改进，提出了一种改进的LAN安全关联方案。性能对比分析结果表明，该方案有效提高了交换密钥建立过程的性能; 然后，在该方案的基础上，通过对基于预共享密钥的鉴别及单播密钥协商过程的进一步改进，提出了一种可信计算环境下的LAN安全关联方案，增加了对终端设备的平台认证，实现了终端设备的可信网络接入，从而增强了LAN的安全性; 最后，利用串空间模型(Strand Space Model, SSM)[12-14]证明了这两个LAN安全关联方案是安全的。

1 改进的LAN安全关联方案

根据文献[3-4]可知，基于预共享密钥的LAN安全关联方案可分为针对新加入终端设备的基于预共享密钥的LAN安全关联方案和针对新加入交换机的基于预共享密钥的LAN安全关联方案。针对新加入终端设备的基于预共享密钥的LAN安全关联方案包括基于预共享密钥的鉴别及单播密钥协商过程、组播密钥通告过程和站间密钥建立过程。针对新加入交换机的基于预共享密钥的LAN安全关联方案包括基于预共享密钥的鉴别及单播密钥协商过程、组播密钥通告过程和交换密钥建立过程，其中交换密钥建立又包括交换基密钥通告过程和交换密钥协商过程，造成较大的通信浪费。为了减少交换密钥建立过程的通信浪费，本文对针对新加入交换机的基于预共享密钥的LAN安全关联方案进行改进，主要是对其中的基于预共享密钥的鉴别及单播密钥协商过程进行改进，如图1所示。

图1 针对新加入交换机的基于预共享密钥的LAN安全关联方案改进

在图1中，基于预共享密钥的鉴别及单播密钥协商过程改进一替换了文献[3-4]中定义的基于预共享密钥的鉴别及单播密钥协商过程，密钥分发消息替换了文献[3-4]定义的交换基密钥通告过程，其他过程都保持不变。

1.1 基于预共享密钥的鉴别及单播密钥协商过程改进一

基于预共享密钥的鉴别及单播密钥协商过程改进一的方案过程如下：

1)I→R：ADDIDR,I‖NI；

2)R→I：ADDIDR,I‖NI‖NR‖TIER‖MICR,1;

相对于文献[3-4]中的基于预共享密钥的鉴别及单播密钥协商过程，上述方案过程中单下划线标记的消息和字段是新增加的，双下划线标记的字段是扩展后的，所以该方案过程是向后兼容的。该方案过程的具体步骤如下：

步骤1I向R发送m1=ADDIDR,I‖NI，其中ADDIDR,I=MACR‖MACI，MACR和MACI分别为R和I的MAC地址，NI为I产生的随机数，I为过程发起者，R为过程响应者。

步骤4S收到m3后，先验证MICI,1，然后计算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中UEKR,S、MAKR,S和KEKR,S分别为R和S之间的单播加密密钥、消息鉴别密钥和密钥加密密钥，PMK为成对主密钥(将通过图1中的密钥分发消息分发给各个不相邻交换机，用于新加入交换机与各个不相邻交换机之间的交换密钥协商过程)，NS为S产生的随机数。最后S向I发送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2，其中TIES为S支持和选择的鉴别及密钥套件，MICS,1为S生成的消息鉴别码且MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)，MICS,2为S生成的消息鉴别码且MICS,2=HMAC(MAKI,S,ADDIDR,S‖NI‖NS‖TIES‖MISS,1)。

步骤5I收到m4后，先验证MICS,2，然后向R发送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖

MICS,1‖MICI,2，其中TIEI为I支持和选择的鉴别及密钥套件，MICI,2为I生成的消息鉴别码且MICI,2=HMAC(MAKR,I,ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1)。

步骤6R收到m5后，先验证MICI,2，然后计算UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)并验证MICS,1，最后向I发送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖MICR,3，其中MICR,2为R生成的消息鉴别码且MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)，MICR,3为R生成的消息鉴别码且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2)。

步骤7I收到m6后，先验证MICR,3，然后向S发送m7=ADDIDR,S‖NS‖MICR,2‖MICI,3，其中MICI,3为I生成的消息鉴别码且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2)。

步骤8S收到m7后，验证MICI,3和MICR,2。至此，该方案过程执行完成。

1.2 性能对比分析

假设新加入交换机通过所连接交换机接入LAN后，还需要与n个不相邻交换机建立交换密钥。文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案和图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案的性能对比分析如下：

方案通信效率 通过分析可知，文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案的交互消息数为4+(4+4)n，而图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案的交互消息数为7+(1+4)n。当n=1时，两个方案中交互的消息数相同, 但是，随着n的值增大，与文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案的交互消息数相比，图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案的交互消息数越来越少。

方案计算量 通过分析可知，文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案的计算量为4M+(2E+8M)×n，而图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案的计算量为2E+8M+(1E+5M)×n，其中E表示加密运算，M表示消息鉴别码运算。当n=1时，两个方案的计算量相当；但是，随着n的值增大，与文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案的计算量相比，图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案的计算量越来越小。

因此，图1中改进的针对新加入交换机的基于预共享密钥的LAN安全关联方案比文献[3-4]中针对新加入交换机的基于预共享密钥的LAN安全关联方案在通信效率和计算量上具有明显的优势，且主要体现在交换密钥建立过程中。

2 可信计算环境下的LAN安全关联方案

在上述改进的LAN安全关联方案中，针对新加入终端设备的基于预共享密钥的LAN安全关联方案没有考虑对终端设备的平台认证[6-8]，所以不能有效防止带有蠕虫、病毒和恶意软件的终端设备接入LAN，从而危害到交换机的安全。为了增加对终端设备的平台认证，实现终端设备的可信网络接入，本文在上述改进的LAN安全关联方案基础上，对其中针对新加入终端设备的基于预共享密钥的LAN安全关联方案进行改进，主要是对其中的基于预共享密钥的鉴别及单播密钥协商过程进行改进，如图2所示。

图2 针对新加入终端设备的基于预共享密钥的LAN安全关联方案改进

在图2中，基于预共享密钥的鉴别及单播密钥协商过程改进二替换了文献[3-4]中定义的基于预共享密钥的鉴别及单播密钥协商过程，其他过程都保持不变。

基于预共享密钥的鉴别及单播密钥协商过程改进二的方案过程如下：

3)I→S：ADDIDR,S‖NI‖NR‖TIER‖

{MKR,S}KEKI,S‖MICI,1；

4)S→I：ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2；

5)I→R：ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖

TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2；

6)R→I：ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖

相对于图1中的基于预共享密钥的鉴别及单播密钥协商过程改进一，上述方案过程中单下划线标记的消息和字段是新增加的，双下划线标记的字段是扩展后的，所以该方案过程是向后兼容的。该方案过程的具体步骤如下：

步骤1I向R发送m1=ADDIDR,I‖NI‖gy，其中gy为I产生的Diffie-Hellman(DH)交换临时公钥。

步骤3I收到m2后，先计算UEKR,I‖MAKR,I‖KEKR,I‖

MICI,1。

步骤4S收到m3后，先验证MICI,1，然后计算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)，其中IEKR,S为R和S之间的平台完整性加密密钥。最后S向I发送m4=ADDIDR,S‖NI‖NS‖TIES‖MISS,1‖MICS,2。

步骤5I收到m4后，先验证MICS,2，然后向R发送m5=ADDIDR,I‖NR‖TIEI‖ADDIDR,S‖NI‖NS‖TIES‖{MKR,S}KEKR,I‖MICS,1‖MICI,2。

步骤6R收到m5后，先验证MICI,2，然后计算IEKR,S‖MAKR,S=HKD(MKR,S,ADDIDR,S‖NR‖NS)并验证MICS,1，最后向I发送m6=ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα‖MICR,3，其中α为R的平台，PCRα为α的平台配置寄存器(Platform Configuration Register, PCR)值，SMLα为α的存储度量日志(Stored Measurement Log, SML)，Cert(AIKpk,α)为α的平台身份证明密钥(Attestation Identity Key, AIK)证书，AIKpk,α为α的AIK公钥[6-8]，σα为α的AIK签名且σα=[HMAC(BKR,I,NS),PCRα]AIKsk,α，AIKsk,α为α的AIK私钥，MICR,3为R生成的消息鉴别码且MICR,3=HMAC(MAKR,I,ADDIDR,I‖NI‖ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖σα)。

步骤7I收到m6后，先验证MICR,3，然后向S发送m7=ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α)‖

MICI,3，其中MICI,3为I生成的消息鉴别码且MICI,3=HMAC(MAKI,S,ADDIDR,S‖NS‖MICR,2‖PCRα‖{SMLα}IEKR,S‖Cert(AIKpk,α))。

步骤8S收到m7后，先验证MICI,3和MICR,2，然后验证Cert(AIKpk,α)的有效性，接着使用PCRα来验证SMLα的正确性，最后向I发送m8=ResS‖MICS,3，其中ResS为S生成的平台认证结果且ResS=NI‖PCRα‖Cert(AIKpk,α)‖ReAIK,α‖ReINT,α，ReAIK,α为Cert(AIKpk,α)的AIK证书验证结果，ReINT,α为SMLα的平台完整性评估结果，MICS,3为S生成的消息鉴别码且MICS,2=HMAC(MAKI,S,ResS)。

步骤9I收到m8后，先验证MICS,3，然后验证ResS中的ReAIK,α和ReINT,α。至此，该方案过程成功完成。

根据以上所述方案过程可知，由于在针对新加入终端设备的基于预共享密钥的LAN安全关联方案中增加对终端设备的平台认证，所以实现终端设备的可信网络接入，从而增强了LAN的安全性。

3 安全性分析

在上述改进的LAN安全关联方案和可信计算环境下的LAN安全关联方案中，单播密钥协商过程、组播密钥通告过程和站间密钥建立过程与第3版无线局域网(Wireless Local Area Network, WLAN)鉴别基础设施(WLAN Authentication Infrastructure, WAI)协议中的相应过程相同，而交换密钥协商过程与单播密钥协商过程相同。根据文献[15-16]可知，第3版WAI协议已被证明是安全的，所以本文只需要对两个改进的基于预共享密钥的鉴别及单播密钥协商过程(以下简写为过程改进一和过程改进二)进行安全性分析。下面利用利用串空间模型[12-14]来分析它们的安全性。

3.1 对过程改进一的安全性分析

定义1 基于预共享密钥的鉴别及单播密钥协商过程改进一的串空间是以下4类串的并集：

1) 发起者串s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，迹为：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7〉，与这类串相关联的主体为I；

2) 响应者串s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]，迹为：〈-m1,+m2,-m5,+m6〉，与这类串相关联的主体为R；

3) 服务者串s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，迹为：〈-m3,+m4,-m7〉，与类串相关联的主体为S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7为过程中的7条消息。

定理1 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进一的串空间，C为Σ中的丛，包含一个发起者串s，其迹为s∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I∉KP且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS。

那么C中包含一个响应者串r∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一个服务者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因为MAKI,S,KEKI,S∉KP，所以由MICS,1=HMAC(MAKR,S,ADDIDR,S‖NR‖NS‖TIES)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICS,2⊂term(〈s,4〉)源发于一个服务者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER′,TIES,MKR,S]。同理，MICI,1⊂term(〈t,1〉)源发于一个发起者串s″，由定义1和假设3可知，s″=s，从而TIER′=TIER。

定理2 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进一的串空间，C为Σ中的丛，包含一个响应者串s，其迹为：s∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]；

2)PSKR,I∉KP且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS。

那么C中包含一个发起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI,TIES,MKR,S]和一个服务者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]。

因为C中包含一个发起者串r，所以C中包含一个服务者串t∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]，其证明过程与定理1相同。

定理3 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进一的串空间，C为Σ中的丛，包含一个服务者串s，其迹为s∈Serv[R,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S]；

2)PSKR,I∉KP且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS。

那么C中包含一个发起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]和一个响应者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]。

证明 因为MAKI,S,KEKI,S∉KP，所以由MICR,2=HMAC(MAKR,S,ADDIDR,S‖NS)和UEKR,S‖MAKR,S‖KEKR,S‖PMK=HKD(MKR,S,ADDIDR,S‖NR‖NS)可知，MICI,3⊂term(〈s,3〉)源发于一个发起者串r∈Init[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI′,NS,TIER′,TIEI′,TIES′,MKR,S]。同理，MICI,1⊂term(〈s,1〉)源发于一个发起者串r′，由定义1和假设3可知，r′=r，从而TIER′=TIER和NI′=NI。MICS,2⊂term(〈r,4〉)源发于一个服务者串s′，由定义1和假设3可知，s′=s，从而TIES′=TIES。

因为C中包含一个发起者串r，所以C中包含一个响应者串t∈Resp[R,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,TIER,TIEI′,TIES,MKR,S]，其证明过程与定理1相同。

由定理3和S的功能可知，S不清楚I支持和选择的鉴别及密钥套件的鉴别及密钥套件，也不清楚R和I之间建立的单播密钥，但是S清楚R和I都是该过程中的唯一的合法发起者和响应者，所以这是合理和安全的。因此，由定理1、2和3可知，基于预共享密钥的鉴别及单播密钥协商过程改进一是安全的。

3.2 对过程改进二的安全性分析

定义2 基于预共享密钥的鉴别及单播密钥协商过程改进二的串空间是以下4类串的并集：

1) 发起者串s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]， 迹为：〈+m1,-m2,+m3,-m4,+m5, -m6,+m7,-m8〉，与这类串相关联的主体为I；

2) 响应者串s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]， 迹为：〈-m1,+m2,-m5,+m6〉，与这类串相关联的主体为R，用r·α表示，是一个双身份协议主体[14]，其中r表示R的用户，α表示R的平台；

3) 服务者串s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，迹为：〈-m3,+m4,-m7, +m8〉，与类串相关联的主体为S；

4) 入侵者串s∈P。m1、m2、m3、m4、m5、m6、m7和m8为过程中的7条消息。此外，SMLα表明α是可信赖的平台。

定理4 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进二的串空间，C为Σ中的丛，包含一个发起者串s，其迹为s∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I∉Kep且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS，gx和gy唯一产生于Σ中，且gx≠gy。

那么C中包含一个响应者串r∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]和一个服务者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]。

因为MAKI,S,KEKI,S∉KP，所以C中包含一个服务者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]，其证明过程类似于定理1。

定理5 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进二的串空间，C为Σ中的丛，包含一个响应者串s，其迹为s∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]；

2)PSKR,I∉KP且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS。

那么C中包含一个发起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,gx,gy,TIER,TIEI,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]和一个服务者串t∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α′,ReINT,α′]。

证明 其证明过程类似于定理2。

定理6 假设：

1)Σ为基于预共享密钥的鉴别及单播密钥协商过程改进二的串空间，C为Σ中的丛，包含一个服务者串s，其迹为s∈Serv[r·α,I,S,ADDIDR,S,NR,NI,NS,TIER,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]；

2)PSKR,I∉KP且MAKI,S,KEKI,S∉KP；

3)NR、NI和NS唯一产生于Σ中，且NR≠NI≠NS。

那么C中包含一个发起者串r∈Init[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α),ReAIK,α,ReINT,α]和一个响应者串t∈Resp[r·α,I,S,ADDIDR,I,ADDIDR,S,NR,NI,NS,(gx)′,(gy)′,TIER,TIEI′,TIES,MKR,S,PCRα,SMLα,Cert(AIKpk,α)]。

证明 其证明过程类似于定理3。

由定理5和6、I的功能和S的功能可知，R不清楚S生成的AIK证书验证结果和平台完整性评估结果，S不清楚I支持和选择的鉴别及密钥套件的鉴别及密钥套件，也不清楚R和I之间建立的单播密钥，但是I清楚S生成的AIK证书验证结果和平台完整性评估结果且S清楚R和I都是该过程中的唯一的合法发起者和响应者，所以这是合理和安全的。因此，由定理4、5和6可知，基于预共享密钥的鉴别及单播密钥协商过程改进二是安全的。

4 结语

本文针对LAN安全关联方案中交换密钥建立过程的通信浪费问题，通过对基于预共享密钥的鉴别及单播密钥协商过程的改进，提出了一种改进的LAN安全关联方案。该方案生成新加入交换机和认证服务器之间的成对主密钥，并通过密钥分发消息传输给每一个不相邻交换机，用于新加入交换机和每一个不相邻交换机之间的交换密钥协商过程。通过性能对比分析可知，改进的LAN安全关联方案在通信效率和计算量上都具有明显优势，且主要体现在交换密钥建立过程中。然后，在该方案的基础上，通过对基于预共享密钥的鉴别及单播密钥协商过程的进一步改进，提出了一种可信计算环境下的LAN安全关联方案。该方案增加了对终端设备的平台认证，实现了终端设备的可信网络接入，从而增强了LAN的安全性。最后，通过安全性和兼容性分析可知，这两个LAN安全关联方案都是安全的且向后兼容的。