肖躍雷，鄧小凡

（1.西安郵電大學(xué)現(xiàn)代郵政學(xué)院，西安 710061；2.陜西省信息化工程研究院，西安 710075；3.西安郵電大學(xué)計(jì)算機(jī)學(xué)院，西安 710121）

0 引言

為了給政府、軍隊(duì)、金融等用戶提供安全的媒體訪問控制（Media Access Control，MAC）層數(shù)據(jù)發(fā)送和接收服務(wù)，國(guó)際有線局域網(wǎng)（wired Local Area Network，LAN）標(biāo)準(zhǔn)IEEE 801.AE-2006［1］和IEEE 802.1X-2010［2］提出了媒體訪問控制安全（Media Access Control Security，MACSec），而我國(guó)LAN 標(biāo)準(zhǔn)YDB 066—2011［3］和GB/T 15629.3—2014［4］提出了基于三元對(duì)等鑒別（Tri-element Peer Authentication，TePA）的有線局域網(wǎng)媒體訪問控制安全（TePA-based wired LAN MAC Security，TLSec），其中TePA是我國(guó)在基礎(chǔ)性信息安全領(lǐng)域的第一個(gè)國(guó)際標(biāo)準(zhǔn)［5］。MACSec定義了基于預(yù)共享密鑰的MACSec安全關(guān)聯(lián)方案和基于802.1X 認(rèn)證的MACSec 安全關(guān)聯(lián)方案，而TLSec 定義了基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案和基于證書的LAN安全關(guān)聯(lián)方案。

為了滿足跨交換機(jī)之間的MAC 層安全通信需求，文獻(xiàn)［6］中提出了一種改進(jìn)的MACSec 安全關(guān)聯(lián)方案。此外，為了適用于可信計(jì)算環(huán)境，文獻(xiàn)［6］中還提出了一種可信計(jì)算環(huán)境下的MACSec 安全關(guān)聯(lián)方案。針對(duì)基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案中交換密鑰建立過程的通信浪費(fèi)問題，文獻(xiàn)［7］提出了一種改進(jìn)的基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案，并在該方案的基礎(chǔ)上提出了一種可信計(jì)算環(huán)境下的基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案。與基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案一樣，基于證書的LAN 安全關(guān)聯(lián)方案也存在交換密鑰建立過程的通信浪費(fèi)和不適用于可信計(jì)算環(huán)境的問題。

為了解決這兩個(gè)問題，本文首先提出了一種改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案，它簡(jiǎn)化了新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的交換密鑰建立過程，有效提高了交換密鑰建立過程的通信性能。然后，在該方案的基礎(chǔ)上提出了一種可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案，它在基于證書的鑒別過程中增加了對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證（即平臺(tái)身份認(rèn)證和平臺(tái)完整性評(píng)估）［8-10］，實(shí)現(xiàn)了新加入終端設(shè)備的可信網(wǎng)絡(luò)接入，從而可有效防止新加入終端設(shè)備將蠕蟲、病毒和惡意軟件帶入LAN［11-13］。最后，利用串空間模型（Strand Space Model，SSM）［14-16］證明了這兩個(gè)改進(jìn)的基于證書的LAN安全關(guān)聯(lián)方案是安全的。

1 改進(jìn)的基于證書的LAN安全關(guān)聯(lián)方案

TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案包括基于證書的鑒別過程、單播密鑰協(xié)商過程、組播密鑰通告過程、站間密鑰建立過程和交換密鑰建立過程［3-4］。對(duì)于新加入交換機(jī)與不相鄰交換機(jī)之間，交換密鑰建立過程又包括交換基密鑰通告過程和交換密鑰協(xié)商過程，造成較大的通信浪費(fèi)。為了解決這一問題，本文提出了一種改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案，如圖1所示。

圖1 改進(jìn)的基于證書的LAN安全關(guān)聯(lián)方案Fig.1 Improved certificate-based LAN security association scheme

在圖1 中，基于證書的鑒別過程改進(jìn)一和密鑰分發(fā)消息分別替換了TLSec定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程和交換基密鑰通告過程，其他過程都保持不變。

1.1 基于證書的鑒別過程改進(jìn)一

基于證書的鑒別過程改進(jìn)一的具體步驟如下：

相對(duì)于TLSec定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程，上述步驟中單下劃線標(biāo)記的消息和字段是新增加的，而雙下劃線標(biāo)記的字段是擴(kuò)展后的。I為過程發(fā)起者，R為過程響應(yīng)者，S為認(rèn)證服務(wù)器。SNonce為鑒別過程的鑒別激活挑戰(zhàn)，ParmsECDH為I選擇的ECDH參數(shù)。MICI，1為I生成的消息鑒別碼 且MICI，1=HMAC(MAKI，S，SNonce||ParmsECDH)，其中.MAKI，S.為I和S之間已生成的消息鑒別密鑰。NI、NR和NS分別為I、R和S產(chǎn)生的隨機(jī)數(shù)。y·P、x·P和z·P分別為I、R和S產(chǎn)生的ECDH 臨時(shí)公鑰。σS，1為S生成的簽名且σS，1=[z·P]skS，其中skS為S的私鑰。MICS，1為S生成的消息鑒別碼且MICS，1=HMAC(MAKI，S，SNonce||ParmsECDH||NS||z·P||σS，1)。FLAG為鑒別過程的標(biāo)識(shí)信息。CertI和CertR分別為I和R的身份證書。IDI、IDR和IDS分別為I、R和S的身份標(biāo)識(shí)。σR，1為R生成的簽名且σR，1=[x·P]skR，其中skR為R的私鑰。MKR，S為R和S之間的主密鑰且MKR，S=HKD(x·z·P)。UEKR，S||MAKR，S||KEKR，S||PMK=HKD(MKR，S，NR||NS)，其 中UEKR，S、MAKR，S和KEKR，S分別為R和S之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，PMK為成對(duì)主密鑰，將通過圖1中的密鑰分發(fā)消息分發(fā)給各個(gè)不相鄰交換機(jī)，用于新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的交換密鑰協(xié)商過程。HKD()為密鑰擴(kuò)展函數(shù)，而HMAC()為消息鑒別碼函數(shù)。MICR為R生成的消息鑒別碼且MICR=HMAC(MAKR，S，NS||z·P||σS，1||NR||CertR||x·P||σR，1)。σR，2為R生成的簽名且σR，2=[FLAG||SNonce||NR||x·P||IDI||CertR||ParmsECDH||IDS||σR，1||MICR]skR。MICI，2為I生成的消息鑒別碼且MICI，2=HMAC(MAKI，S，NR||NI||CertR||CertI||x·P||σR，1||MICR||FLAG||y·P)。ResR、ResI分別為CertR、CertI的證書驗(yàn)證結(jié)果。σS，2為S生成的簽名且。MICS，2為S生成的消息鑒別碼且MICS，2=HMAC(MAKR，S，NS||z·P||σS，1||NR||CertR||x·P||σR，1||MICR)。MICS，3為S生成的消息鑒別碼且MICS，3=HMAC(MAKI，S，NR||NI||CertR||CertI||ResR||ResI||σS，2||MICS，2)。AccRES為I生成的接入結(jié)果。MRES為復(fù)合證書驗(yàn)證結(jié)果且MRES=NR||NI||CertR||CertI||ResR||ResI||σS，2。σI為I生成的簽名且，其 中skI為I的私鑰。BKR，I||SNonce*=HKD(x·y·P，NR||NI)，其中SNonce*為下一次鑒別過程產(chǎn)生的鑒別激活種子。

1.2 性能對(duì)比分析

假設(shè)：新加入交換機(jī)通過所連接交換機(jī)接入LAN 后，還需要與n個(gè)不相鄰交換機(jī)建立交換密鑰。TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案［3-4］與圖1 中改進(jìn)的基于證書的LAN安全關(guān)聯(lián)方案的性能對(duì)比分析如下：

方案通信效率：通過分析可知，TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案的交互消息數(shù)為：5+(4+4)n，而圖1中改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案的交互消息數(shù)為：7+(1+4)n。當(dāng)n=1時(shí)，兩個(gè)方案中交互的消息數(shù)相同；但是，隨著n的值增大，與TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案的交互消息數(shù)相比，圖1 中改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案的交互消息數(shù)越來越少。

方案計(jì)算量：通過分析可知，TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案的計(jì)算量為：3S+2M +(2E+8M) ×n，而圖1 中改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案的計(jì)算量為：5S+6M +(1E+5M) ×n，其中：S 表示簽名運(yùn)算，E 表示加密運(yùn)算，M 表示消息鑒別碼運(yùn)算。當(dāng)n=1 時(shí)，兩個(gè)方案的計(jì)算量相當(dāng)；但是，隨著n的值增大，與TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案的計(jì)算量相比，圖1 中改進(jìn)的基于證書的LAN安全關(guān)聯(lián)方案的計(jì)算量越來越小。

因此，與TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案相比，圖1 中改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案在通信效率和計(jì)算量上具有明顯的優(yōu)勢(shì)，且主要體現(xiàn)在交換密鑰建立過程中。此外，相對(duì)于TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程，基于證書的鑒別過程改進(jìn)一僅增加了一些消息和字段，以及擴(kuò)展了一些字段，所以它是向后兼容的。

2 可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案

在TLSec 定義的基于證書的LAN 安全關(guān)聯(lián)方案中，對(duì)于新加入終端設(shè)備，基于證書的鑒別過程沒有考慮對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證［8-10］，所以不能有效防止新加入終端設(shè)備將蠕蟲、病毒和惡意軟件帶入LAN［11-13］。為了解決這一問題，本文提出了一種可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案，如圖2所示。

圖2 可信計(jì)算環(huán)境下的基于證書的LAN安全關(guān)聯(lián)方案Fig.2 Certificate-based LAN security association scheme for trusted computing environment

在圖2中，基于證書的鑒別過程改進(jìn)二替換了TLSec定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程，其他過程都保持不變?；谧C書的鑒別過程改進(jìn)二的具體步驟如下：

相對(duì)于圖1 中的基于證書的鑒別過程改進(jìn)一，上述步驟中單下劃線標(biāo)記的消息和字段是新增加的，雙下劃線標(biāo)記的字段是擴(kuò)展后的。IEKR，S||MAKR，S=HKD(MKR，S，NR||NS)，其中IEKR，S為R和S之間的平臺(tái)完整性加密密鑰。α為R的平臺(tái)，PCRα為α的平臺(tái)配置寄存器（Platform Configuration Register，PCR）值，SMLα為α的存儲(chǔ)度量日志（Stored Measurement Log，SML），Cert(AIKpk，α)為α的平臺(tái)身份證明密鑰（Attestation Identity Key，AIK）證書，AIKpk，α為α的AIK 公鑰［6-8］。σα為α的AIK簽名且。σR，2為R生成的簽名且MICI，2為I生成的消息鑒別碼且ResS為S生成的平臺(tái)認(rèn)證結(jié)果且ResS=PCRα||Cert(AIKpk，α)||ReAIK，α||ReINT，α，其中ReAIK，α為Cert(AIKpk，α)的AIK 證書驗(yàn)證結(jié)果，ReINT，α為SMLα的平臺(tái)完整性評(píng)估結(jié)果。MICS，3為S生成的消息鑒別碼 且MICS，3=HMAC(MAKI，S，NR||NI||CertR||CertI||ResR||ResI||σS，2||MICS，2||ResS)。MICR，2為R生成的消息鑒別碼且MICI，3為I生成的消息鑒別碼且MICI，3=HMAC(BKR，I，F(xiàn)LAG||NR||NI||IDR||IDI||AccRES||x·P||y·P||MRES||MICS，2||σI)。

根據(jù)以上所述方案可知，由于在基于證書的鑒別過程改進(jìn)二中增加對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證，所以實(shí)現(xiàn)了新加入終端設(shè)備的可信網(wǎng)絡(luò)接入，從而有效防止新加入終端設(shè)備將蠕蟲、病毒和惡意軟件帶入LAN。此外，相對(duì)于圖1 中的基于證書的鑒別過程改進(jìn)一，基于證書的鑒別過程改進(jìn)二僅增加了一些消息和字段，以及擴(kuò)展了一些字段，所以它是向后兼容的。在通信效率上，基于證書的鑒別過程改進(jìn)二與基于證書的鑒別過程改進(jìn)一相同。在計(jì)算量上，相比基于證書的鑒別過程改進(jìn)一，基于證書的鑒別過程改進(jìn)二僅增加了1S+1E+1M，保持了較好的通信性能和計(jì)算性能。

3 安全性分析

在上述改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案和可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案中，單播密鑰協(xié)商過程、組播密鑰通告過程和站間密鑰建立過程與第3 版WLAN鑒別基礎(chǔ)設(shè)施（WLAN authentication infrastructure，WAI）協(xié)議中的相應(yīng)過程相同，而交換密鑰協(xié)商過程與第3 版WAI協(xié)議的單播密鑰協(xié)商過程相同。由于第3版WAI協(xié)議已被證明是安全的［17-18］，所以本文利用串空間模型［14-16］僅對(duì)基于證書的鑒別過程改進(jìn)一和基于證書的鑒別過程改進(jìn)二進(jìn)行安全性分析。

3.1 對(duì)基于證書的鑒別過程改進(jìn)一的安全性分析

定義1 基于證書的鑒別過程改進(jìn)一的串空間是以下4類串的并集：

1）發(fā)起者串s∈Init[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］，跡 為：〈+m1，-m2，+m3，-m4，+m5，-m6，+m7〉，與這類串相關(guān)聯(lián)的主體為I。

2）響應(yīng)者串s∈Resp[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，，CertI，CertR，ResI，ResR，AccRES］，跡為：〈-m3，+m4，-m7〉，與這類串相關(guān)聯(lián)的主體為R。

3）服務(wù) 者串s∈Serv[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］，跡為：〈-m1，+m2，-m5，+m6〉，與類串相關(guān)聯(lián)的主體為S。

4）入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。

定理1 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個(gè)響應(yīng)者串r∈Resp[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個(gè)服務(wù)者串t∈Serv[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］。

定理2 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為：s∈Resp[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個(gè)發(fā)起者串r∈Init[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個(gè)服務(wù)者串t∈Serv[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］。

由于C中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)服務(wù)者串t∈Serv[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR］，其證明過程與定理1相同。

定理3 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR]；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那 么C中包含一個(gè)發(fā)起者串r∈Init[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］和一個(gè)響應(yīng)者串t∈Resp[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］。

因?yàn)镃中包含一個(gè)發(fā)起者串r，所以C中包含一個(gè)響應(yīng)者串t∈Resp[R，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES］。，其證明過程與定理1相同。

由定理1、2 和3 可知，I和R之間實(shí)現(xiàn)了它們之間的雙向身份認(rèn)證并建立了它們之間的基密鑰，而R和S之間實(shí)現(xiàn)了它們之間的雙向身份認(rèn)證并建立了它們之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，以及將來分發(fā)給各個(gè)不相鄰交換機(jī)成對(duì)主密鑰。因此，基于證書的鑒別過程改進(jìn)一是安全的。

3.2 對(duì)基于證書的鑒別過程改進(jìn)二的安全性分析

定義2 基于證書的鑒別過程改進(jìn)二的串空間是以下4類串的并集：

1）發(fā)起者串s∈Init[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，跡為：〈+m1，-m2，+m3，-m4，+m5，-m6，+m7〉，與這類串相關(guān)聯(lián)的主體為I。

2）響應(yīng)者串s∈Resp[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］，跡 為：〈-m3，+m4，-m7〉，與這類串相關(guān)聯(lián)的主體為R，用r·α表示，是一個(gè)雙身份協(xié)議主體［14］，其中r表示R的用戶，α表示R的平臺(tái)。

3）服務(wù)者串s∈Serv[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，跡 為：〈-m1，+m2，-m5，+m6〉，與類串相關(guān)聯(lián)的主體為S。

4）入侵者串s∈P。m1、m2、m3、m4、m5、m6和m7為過程中的7條消息。此外，SMLα表明α是可信賴的平臺(tái)。

定理4 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)發(fā)起者串s，其跡為s∈Init[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］；

2）skR?Kep，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個(gè)響應(yīng)者串r∈Resp[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］和 一個(gè)服務(wù)者串t∈Serv[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］。

因 為MAKI，S?KP，所 以C中包含一個(gè)服務(wù)者串t∈Serv[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］，其證明過程類似于定理1。

定理5 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)響應(yīng)者串s，其跡為：s∈Resp[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］和一個(gè)服務(wù)者串s∈Serv[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］。

證明 其證明過程類似于定理2。

定理6 假設(shè)：

1）Σ為基于證書的鑒別過程改進(jìn)一的串空間，C為Σ中的叢，包含一個(gè)服務(wù)者串s，其跡為s∈Serv[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，CertI，CertR，ResI，ResR，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］；

2）skR，skI，skS?KP且MAKI，S?KP；

3）x·P、y·P和z·P唯一產(chǎn)生于Σ中，且x·P≠y·P≠z·P；

那么C中包含一個(gè)發(fā)起者串r∈Init[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)，ReAIK，α，ReINT，α］和一個(gè)響應(yīng)者串s∈Resp[r·α，I，S，F(xiàn)LAG，ParmsECDH，SNonce，NR，NI，NS，x·P，y·P，z·P，IDR，IDI，IDS，CertI，CertR，ResI，ResR，AccRES，PCRα，SMLα，Cert(AIKpk，α)］。

證明 其證明過程類似于定理3。

由定理4、5和6可知，基于證書的鑒別過程改進(jìn)二不僅可以抵抗外部攻擊者（密鑰集為Kep）的攻擊，而且可以抵抗內(nèi)部攻擊者（密鑰集為Kip）的攻擊，實(shí)現(xiàn)了I和R之間的雙向身份認(rèn)證并建立了它們之間的基密鑰，實(shí)現(xiàn)了R和S之間的雙向身份認(rèn)證并建立了它們之間的單播加密密鑰、消息鑒別密鑰和密鑰加密密鑰，以及將來分發(fā)給各個(gè)不相鄰交換機(jī)成對(duì)主密鑰，同時(shí)實(shí)現(xiàn)了對(duì)R的平臺(tái)認(rèn)證。因此，基于證書的鑒別過程改進(jìn)二也是安全的。

4 討論

本文方案（即如下方案④改進(jìn)一和方案④改進(jìn)二）與其他文獻(xiàn)所提出方案的對(duì)比分析如表1所示。

在表1中，方案①是基于預(yù)共享密鑰的MACSec安全關(guān)聯(lián)方案［1-2］，方案②是基于802.1X 的MACSec 安全關(guān)聯(lián)方案［1-2］，方案③是基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案［3-4］，方案④是基于證書的LAN 安全關(guān)聯(lián)方案［3-4］。其中：方案①和方案②既不支持新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的密鑰協(xié)商，也不支持對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證；方案③和方案④支持新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的密鑰協(xié)商，但不支持對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證。

表1 本文方案與相關(guān)文獻(xiàn)所提方案的對(duì)比分析Tab.1 Comparative analysis of the proposed schemes proposed in this paper and the schemes proposed in related literatures

方案①改進(jìn)一是改進(jìn)的基于預(yù)共享密鑰的MACSec 安全關(guān)聯(lián)方案［6］，方案②改進(jìn)一是改進(jìn)的基于802.1X 的MACSec安全關(guān)聯(lián)方案［6］，方案③改進(jìn)一是改進(jìn)的基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案［7］，方案④改進(jìn)一（即本文方案一）是改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案，它們都支持新加入交換機(jī)與各個(gè)不相鄰交換機(jī)之間的密鑰協(xié)商，但不支持對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證。從交互消息數(shù)來看，方案④改進(jìn)一與方案③改進(jìn)一相同，少于方案②改進(jìn)一，但多于方案①改進(jìn)一，其中EM 表示可擴(kuò)展認(rèn)證協(xié)議（Extensible Authentication Protocol，EAP）的交互消息數(shù)（至少多于2 條）［2］，RM 表示Radius協(xié)議的交互消息數(shù)（至少多于2條）［2］。從計(jì)算量來看，方案④改進(jìn)一高于方案③改進(jìn)一和方案①改進(jìn)一，當(dāng)n較大時(shí)低于方案②改進(jìn)一，其中EC 表示EAP 的計(jì)算量［2］，RC 表示Radius協(xié)議的計(jì)算量（至少高于1E）［2］。雖然方案①改進(jìn)一的交互消息數(shù)較少且計(jì)算最較低，但是它是基于預(yù)共享密鑰模式且需要為新加入交換機(jī)與每一個(gè)不相鄰交換機(jī)之間預(yù)共享密鑰，密鑰管理比較復(fù)雜。方案②改進(jìn)一的交互消息數(shù)多于方案④改進(jìn)一，且計(jì)算量當(dāng)n較大時(shí)也要高于方案④改進(jìn)一。方案③改進(jìn)一的交互消息數(shù)與方案④改進(jìn)一相同，且計(jì)算量?jī)H略小于方案④改進(jìn)一。但是，方案③改進(jìn)一是基于預(yù)共享密鑰模式，而方案④改進(jìn)一是基于證書模式，后者的密鑰管理更簡(jiǎn)單且安全性更高。

方案①改進(jìn)二是可信計(jì)算環(huán)境下的基于預(yù)共享密鑰的MACSec 安全關(guān)聯(lián)方案［6］，方案②改進(jìn)二是可信計(jì)算環(huán)境下的基于802.1X 的MACSec 安全關(guān)聯(lián)方案［6］，方案③改進(jìn)二是可信計(jì)算環(huán)境下的基于預(yù)共享密鑰的LAN 安全關(guān)聯(lián)方案［7］，方案④改進(jìn)二（即本文方案二）是可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案，它們分別在方案①改進(jìn)一、方案②改進(jìn)一、方案③改進(jìn)一和方案④改進(jìn)一（即本文方案一）的基礎(chǔ)上增加了對(duì)終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)新加入終端設(shè)備的可信網(wǎng)絡(luò)接入，同時(shí)保持向后兼容，具有方案①改進(jìn)一、方案②改進(jìn)一、方案③改進(jìn)一和方案④改進(jìn)一類似的優(yōu)缺點(diǎn)。從交互消息數(shù)來看（僅鑒別過程部分），方案①改進(jìn)二增加了2 條，方案②改進(jìn)二增加了2 條，方案③改進(jìn)二增加了1 條，而方案④改進(jìn)二沒有增加。從計(jì)算量來看（僅鑒別過程部分），方案①改進(jìn)二增加了2E+2S，方案②改進(jìn)二增加了2E+1S，方案③改進(jìn)二增加了1E+1S+1M，而方案④改進(jìn)二也是增加了1E+1S+1M。因此，方案④改進(jìn)二在交互消息數(shù)和計(jì)算量的增加上具有一定的優(yōu)勢(shì)。

5 結(jié)語(yǔ)

本文提出了一種改進(jìn)的基于證書的LAN 安全關(guān)聯(lián)方案。該方案用基于證書的鑒別過程改進(jìn)一和密鑰分發(fā)消息分別替換了TLSec定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程和交換基密鑰通告過程，減少了交換密鑰建立過程的消息交互，從而有效降低了交換密鑰建立過程的通信浪費(fèi)。然后，在該方案的基礎(chǔ)上提出了一種可信計(jì)算環(huán)境下的基于證書的LAN 安全關(guān)聯(lián)方案。該方案用基于證書的鑒別過程改進(jìn)二替換了TLSec定義的基于證書的LAN 安全關(guān)聯(lián)方案中的基于證書的鑒別過程，其中增加了對(duì)新加入終端設(shè)備的平臺(tái)認(rèn)證，實(shí)現(xiàn)了新加入終端設(shè)備的可信網(wǎng)絡(luò)接入，從而有效防止新加入終端設(shè)備將蠕蟲、病毒和惡意軟件帶入LAN。最后，利用串空間模型證明了這兩個(gè)方案都是安全的，并且它們是向后兼容的。此外，通過定性和定量的對(duì)比分析可知，這兩個(gè)方案要優(yōu)于其他文獻(xiàn)所提出的方案。未來，我們將通過具體實(shí)驗(yàn)來進(jìn)一步驗(yàn)證這兩個(gè)方案的優(yōu)越性。