Ｗｉｒｅｌｅｓｓ－ＬＡＮ安全及認證方法的研究與分析

收稿日期：2007-11-28；修回日期：2008-03-11

基金項目：西安交通大學“985”工程二期資助項目；國家自然科學基金資助項目（60403028）

作者簡介：楊新宇(1973-)，男，山東濟寧人，教授，博士，主要研究方向為計算機網絡安全（yxyphd@mail.xjtu.edu.cn）；陽玉儉（1981-），女，廣西桂林人，碩士，主要研究方向為計算機網絡安全；徐慶飛（1983-），男，河北滄州人，碩士研究生，主要研究方向為計算機網絡安全.

（西安交通大學 計算機科學與技術系，西安710049）

摘 要：首先介紹了無線局域網面臨的安全問題，并對無線局域網的安全要求進行了分析；介紹了國內外Wireless-LAN安全認證機制的研究現狀，在此基礎上詳細分析了基于EAP的無線網絡安全認證方法;最后對幾種主要的認證方法進行了分析比較。

關鍵詞：無線局域網；安全機制；認證方法；可擴展認證協議

中圖分類號：TP309

文獻標志碼：A

文章編號：1001-3695(2008)10-2889-04

Research and analysis of security and authentication in Wireless-LAN

YANG Xin-yu， YANG Yu-jian， XU Qing-fei

（Dept. of Computer Science Technology， Xi’an Jiaotong University， Xi’an 710049， China）

Abstract:This paper introduced the security problems and the common attacks in WLAN， and analyzed the security requirements for secure WLAN， and then gave a detailed introduction to the existing popular WLAN authentication protocols and EAP authentication methods.

Key words：wireless local area network(Wireless-LAN); security mechanism；authentication method；extensible authentication protocol(EAP)

隨著計算機科學和通信技術的發展，無線局域網（wireless-LAN）憑借其方便、快捷、廉價等諸多優勢，在多媒體傳輸及高速數據通信等領域得到了充分發展。與此同時，用戶對無線局域網的各種性能，尤其是安全性能提出了更高的要求。無線局域網由于自身的特點，面臨著比有線局域網更多、更嚴重的安全威：a)由于目前Internet所使用的TCP/IP協議棧中沒有對通信雙方的身份進行認證的機制以及對數據報的內容進行加密/解密的安全保護技術，導致Internet本身的安全機制非常脆弱，這無疑也是Wireless-LAN中存在的問題。b)無線網絡主要通過射頻電波傳輸數據，其信息邊界是開放的、不確定的，無法通過物理上的隔離來保障整個局域網內數據的安全傳輸。因此，安全機制在無線局域網應用中顯得尤為重要。

認證是計算機網絡安全中的核心技術，是實現計算機網絡安全的基礎，在Wireless-LAN安全認證機制中具有舉足輕重的作用。認證提供了對某人或某事務身份的保護，對保障開放環境中各種信息系統的安全性具有重要的作用。在無線網絡中，由于移動終端物理上能十分方便地與Internet相連，安全認證技術必須能高效地鑒別用戶身份，阻止非法用戶進入。相對于有線網絡中采用線纜或光纖傳輸獲得的物理隔離防護，Wireless-LAN的無線信道傳輸特征導致了其缺乏相應的門機制，也就決定了認證在Wireless-LAN安全保障中的重要地位，用戶只有證明自己的身份后才能享用網絡提供的各種資源。

1 Wireless-LAN的安全性問題

1. 1 Wireless-LAN面臨的安全威脅

安全威脅是指人、物、事件或概念對某一資源的合法使用、保密性、完整性或可用性所造成的危險。由于無線網絡只是在傳輸方式上與傳統的有線網絡不同，常規的安全威脅如硬件破壞、病毒入侵、黑客攻擊、協議缺陷以及越權操作等都是存在的。此外，由于其自身的特點，Wireless-LAN還面臨著其他安全威脅，如非授權訪問、大功率干擾、易受竊聽且難以檢測等。安全威脅的具體實現就是攻擊，Wireless-LAN面臨的主要攻擊方式分為被動攻擊和主動攻擊兩大類。

被動攻擊是指未經授權的實體單純地訪問網絡但不修改其中內容的攻擊方式。被動攻擊可能是簡單地竊聽或流量分析。竊聽攻擊是指攻擊者單純地監視消息傳送，獲取其內容。無線信道的開放性使得黑客可以在距離設備較遠的地方監聽和收集有價值的信息。流量分析是指攻擊者通過對傳輸消息的監視來分析通信方式，在通信實體之間可以截取大量有用的信息，以便進一步對網絡實施攻擊。

主動攻擊是指未經授權的實體接入網絡并修改網絡中的消息、數據流或文件內容的一種攻擊方式。主動攻擊包括：a)偽裝攻擊。它指攻擊者偽裝成合法用戶以獲取某些未經授權的權限，或者偽裝成基站以接收合法用戶的信息。b)竄改消息。它指攻擊者通過添加、刪除、更改或重新組織來改變合法消息。c)重放攻擊。它指攻擊者通過被動攻擊的方式檢測網絡中傳輸的信息流，對有效的消息進行復制并在事后重新發送或是重用這些消息以訪問某種特定的資源。d)拒絕服務攻擊。它指攻擊者阻止或完全禁止通信設備的正常管理和使用，一般可以分為兩種情況：(a)大量發送垃圾信息阻塞信道；(b)發送與Wireless-LAN相同頻率的干擾信號來干擾網絡的正常運行。

1. 2 Wireless-LAN的安全要求

無線局域網體系中的功能實現被定義為業務，不同的業務提供了體系中不同部分的功能。面對眾多安全威脅，必須了解Wireless-LAN的安全要求，進而采取相應的安全業務才能保護網絡的正常通信。經過分析，Wireless-LAN的安全要求主要包括以下幾個方面：

a)合法性。只有被確認合法并賦予授權的用戶才能得到相應的服務。認證業務提供了關于身份的驗證，這意味著當某人（或某事）聲稱具有一個特別的身份時（如某個特定的用戶名稱時），認證業務將提供某種方法來證實這一聲稱是正確的。認證業務是一種最重要的安全業務，因為在某種程度上所有其他安全業務均依賴于它。

b)保密性。利用密碼技術對敏感信息進行加密處理，使敏感信息在實際上不可破譯，同時采取抑制、屏蔽等措施防止電磁泄漏，從而保證合法用戶的權益。這是對網絡安全系統的基本要求。

c)可用性。一方面是指防止未授權用戶入侵系統進行訪問、竊取或破壞信息資源；另一方面是指保證合法用戶能夠訪問其被授權訪問的網絡資源。這可以通過訪問控制業務來實現、在此之前必須進行身份識別，也就是認證。

d)完整性。防止信息在存儲或傳輸過程中被非法復制、竄改和破壞，從而保證信息的正確性、有效性和一致性。這是對網絡安全系統的一項基本要求。健全的數據完整性業務不僅能發現信息是否遭到破壞，還能采取某種措施對其進行恢復；另外，完整性破壞往往是受到主動攻擊的結果，因此還應該提供報警、日志功能，并能采取反措施。

e)不可否認性。保證信息交換的各參與方不能事后否認自己的行為。也就是說，當接收方接收到一條消息后，能夠提供足夠的證據向第三方證明這條消息來自某個發送方。同理，當發送一條消息時，發送方也有足夠的證據證明某個接收方已經收到這條消息。

由以上分析可見，保障Wireless-LAN的安全具有多方面的要求。就某種程度而言，確保只有合法用戶才能接入網絡是保障Wireless-LAN安全的一個最重要的要求，而認證業務正是滿足這一要求的重要方法。2 Wireless-LAN安全機制的發展

從Wireless-LAN產生之日起，對其安全問題的研究就一直沒有間斷過，Wireless-LAN的安全機制也在不斷地加強和完善。這些機制中包含的一個重要部分就是安全認證。

IEEE為了使無線網絡也能提供與有線網絡相同的安全性，在文獻[1]中定義了WEP（wired equivalent privacy，有線等效保密協議）來提供加/解密和消息認證。IEEE 802.11制定的認證技術有開放系統認證和共享密鑰認證兩種，兩者都基于身份識別方法。對于開放系統認證，客戶端使用一個空字符串作為SSID（server set identifier，服務組標志符）進行響應即可獲得認證；共享密鑰認證是基于客戶端是否具有共享密鑰的簡單“請求/響應”方法，它以WEP為基礎，而大量研究表明WEP算法存在巨大的安全漏洞[2，3]。為了完善Wireless-LAN的WEP安全機制，2001年IEEE制定了802.1x（port based network access control protocol，基于端口的訪問控制協議）標準[4]。在802.1x中，提出了一個高效的框架來實現認證及控制用戶對網絡的訪問。該框架基于互聯網工程任務組（IETF）制定的可擴展認證協議的建議，采用對端口進行驗證的方式。然而IEEE 802.1x沒有提供確切的認證方法，隨著研究的深入，文獻[5]指出由于在請求者和AP之間缺乏相互認證，IEEE 802.1x也存在不足之處。

此后IEEE致力于制定被稱為802.11i[6]的新一代安全標準，該標準從長遠角度考慮解決Wireless-LAN的安全問題。IEEE 802.11i標準包括兩項主要內容，即Wi-Fi保護接入（wireless-fidelity protected access，WPA）和強健的安全網絡（robust security network， RSN）。

WPA是由Wi-Fi企業聯盟在802.11i正式推出之前提出的過渡性安全標準，是802.11i標準的一個早期版本。WPA的認證分為兩種：a)采用802.1x+EAP的方式，用戶提供用戶名等憑證，通過專門的認證服務器來實現；b)WPA預共享密鑰（WPA-pre-shared key，WPA-PSK），要求每個在Wireless-LAN中的終端預先輸入一個密鑰。WPA增加了暫時密鑰完整性協議（temporal key integrity protocol，TKIP）進行密鑰管理和更新，安全性有所提高[7]。 RSN是訪問點與移動設備之間的動態協商認證和加密算法。IEEE 802.11i草案標準中的建議方案是基于802.1x和EAP的；數據加密方面采用基于高級加密標準（advanced encryption standard，AES）的加密算法和CCM（count-mode/CBC-MAC，計數器模式循環塊鏈消息驗證碼）鑒別方式的CCMP方法，更進一步加強了Wireless-LAN的安全和對用戶信息的保護，增強了Wireless-LAN 的認證和數據加密性能[8]。無線局域網鑒別和保密基礎結構（wireless-LAN authentication and privacy infrastructure，WAPI）[9]針對IEEE 802.11中WEP安全問題。其中的WAI（WLAN authentication infrastructure，無線鑒別基礎結構）采用公開密鑰，利用數字證書對Wireless-LAN的STA和AP進行雙向認證，極大地增強了Wireless-LAN對假AP攻擊方式的抵御力[10]。

以上均是針對鏈路層的安全認證方法，而網絡層安全方法如VPN解決方案[11]是一種端到端的保護方法，主要用于解決端點與端點之間通過不可信的網絡交換信息的安全問題。面對不斷增長的Wireless-LAN需求，各種標準的制定是冗長而緩慢的，國內外眾多學者對其中存在的問題進行了分析和研究[12，13]，在認證方面也提出了一些改進的建議。

3 EAP認證方法的研究

目前，使用比較廣泛的認證方法大都基于可擴展認證協議EAP[14]。它是PPP（point-to-point protocol)認證中的一個通用協議，支持多種認證機制，如證書、Kerberos、公鑰、智能卡、OTP、IEEE 802.1x等。EAP應用的層次結構如圖1所示，可分為鏈路層、EAP層和EAP方法層。其中方法層是基于EAP的各種認證方法。EAP本身具有良好的可擴展性，可以很方便地添加新的認證方法。

EAP在鏈路控制階段沒有選定一種認證方法，而是由認證者發送一個或多個身份請求幀來對申請者進行驗證，該幀具有一個類型域表明請求的類型。申請者得到一個響應幀，響應幀的類型域與請求幀中的類型域相對應。基于具體的認證方法，經過一系列的請求與響應交換，認證者會發送一個認證成功或失敗的消息給申請者。

由于EAP自身的簡單性，在應用中存在著一些缺陷，不能作為最終的安全認證方案在實際中使用，但它作為一種認證消息承載機制對更先進、合理的認證技術具有很好的兼容性。IETF和其他工作組對EAP進行了擴展，建立了多種用戶認證方案，以滿足不同層次、不同情況認證的安全需要。

3.1 基于公鑰證書的方法

1）EAP-TLS[15] 傳輸層安全（transport layer security，TLS）[16]認證協議是由Microsoft開發的一種基于證書的雙向認證方案，要求客戶端和服務器都必須擁有有效的證書。它在建立連接時為客戶端和服務器之間的數據交換分配會話ID，選擇合適的完整性保護加密方法以及分配動態會話密鑰，可以在最大限度上保證認證過程的安全性。TLS協商完成后，認證雙方可以通過加密的TLS隧道進行通信。由于EAP-TLS使用證書來實現用戶和服務器的相互認證，這就意味著用戶在被認證的同時也可以對網絡進行認證，避免遭到偽裝AP的攻擊。

圖2說明了Wireless-LAN中采用EAP-TLS方法的認證處理和消息交換過程[17]。認證者收到客戶端發來的身份識別幀后，封裝該請求并轉發至服務器，然后開始TLS會話過程。服務器會發送自己的證書并對客戶端的證書進行請求，客戶端對證書進行驗證后會返回自己的證書以及密鑰材料；服務器對客戶端證書驗證后會對密鑰材料進行響應，最后雙方生成用于數據交換的會話密鑰。

相比其他的認證方法，EAP-TLS的安全性能是最高的。其缺點在于必須同時在客戶端和服務器端對證書進行管理，對于較大規模的Wireless-LAN過程過于繁瑣，但對于中小型Wireless-LAN不失為一種好的解決方案。

2)EAP-TTLS[18] 隧道傳輸層安全（tunnel transport layer security，TTLS）認證協議是由Funk公司提出的一種允許傳統的基于用戶名和密碼的認證方法和EAP協同工作的認證方法。EAP-TTLS建立在EAP-TLS協議的基礎上，是對EAP-TLS協議的擴展，它將利用由EAP-TLS建立起來的TLS記錄層通道進行數據交換。

EAP-TTLS協議交換過程可以分為兩個階段：a)客戶端使用TLS握手協議通過公/私鑰對TTLS服務器進行認證，交換協議信息，生成共享密鑰材料并確定用來保證TTLS信息交換的TLS記錄層加密機制；b)客戶端和TTLS服務器使用由TLS握手協議建立起來的TLS記錄層作為隧道交換其他信息，進行認證并分配密鑰。

EAP-TTLS可以保證無線接入終端的一致性，防止匿名用戶非法使用網絡；同時由于EAP-TTLS只需要服務器端的證書，與EAP-TLS相比證書管理的開銷大為減少。

3）PEAP[19] 受保護可擴展認證協議（protected extensible authentication protocol，PEAP）是由Microsoft、Cisco和RSA共同提出的一種通過TLS來進一步增強EAP身份認證的方法。該方法建立在EAP-TLS協議的基礎之上，通過EAP-TLS建立起來的連接對客戶端和服務器之間的數據進行加密和完整性保護。

PEAP的協議交換過程也可分為兩個部分：a)進行EAP-TLS協議數據交換，確定TLS加密機制，分配會話ID及動態會話密鑰；b)由基于TLS會話協議之上進行的另一個EAP會話過程構成，所有會話幀都由TLS建立起來的加密機制進行保護，防止竊聽和竄改攻擊。

PEAP允許選擇多種認證方法對用戶身份進行保護，支持動態密鑰交換、斷續重傳及快速連接。它也是僅使用服務器端證書認證客戶端，屬于單向認證。

3. 2 基于口令的方法

1）EAP_MD5[20] 它是一種提供基本級別的EAP支持的認證方法，通過RADIUS服務器提供簡單的集中式用戶認證。在這種認證方式下，服務器不需要證書或其他安全信息，只檢查用戶名和口令，如果匹配就通知無線訪問點允許該客戶端接入網絡。EAP-MD5基于一次握手散列函數。由于只提供認證，為了安全起見，與802.11安全協議WEP/WEP2組合使用，采用40/128 bit共享密鑰實現加密。EAP-MD5應用起來非常簡單，但其屬于單向認證，只能保證客戶端到服務器的認證，不保證服務器到客戶端的認證。其安全性有待于進一步提高。

2）LEAP[21] 輕量級擴展認證協議（light extensible authentication protocol，LEAP）是由Cisco公司提出的一種基于802.1x的擴展認證方案，它支持雙向認證并對Wireless-LAN的密鑰進行集中式管理。LEAP仍采用WEP加密，但分配一戶一密進行集中認證。它可以強制對超時的WEP密鑰進行重新認證，為鏈路生成新的WEP密鑰，通過選擇合適的WEP密鑰使得Wireless-LAN鏈路以足夠快的速率改變密鑰，防止攻擊者獲取足夠多的數據包后計算出密鑰。LEAP雖簡單易行，但難以防范詞典攻擊；同時不能用于其他廠商生產的AP設備上，兼容性較差。

3）EAP-SRP[22] 遠程安全口令（secure remote password，SRP）認證協議是一種基于用戶名和口令的認證方法，可以抵御許多針對網絡的消極的或積極的攻擊。該方法容易部署和實現，在無線網絡中是一個很好的選擇；但其只支持單向加密而不支持雙向認證，安全性較低。

3. 3 基于預共享密鑰的方法

1）EAP-PSK[23] EAP預共享密銅（EAP-PSK）它是一種采用預共享密鑰的EAP認證方式。該認證方式可以在各種網絡系統中使用，尤其是在IEEE 802.11 Wireless-LAN中。EAP-PSK的設計目標就是簡單、廣泛可用性、可擴展性。EAP-PSK協議包括三部分：

a）認證密鑰(authentication key， AK)和密鑰推演密鑰(key derivation key，KDK)。由預共享密鑰作為AES-128模塊的輸入產生。

b）認證密鑰交換協議。基于認證密鑰對參與認證的實體進行認證。

c）受保護的通道協議。通過認證后的實體在此通道基礎上進行會話，完成信息交互，會話密鑰根據KDK產生。

EAP-PSK使用單一的加密原語AES-128，它是一種對稱加密協議。EAP-PSK是一種輕量級協議，尤其適合于具有有限處理能力和內存的設備，因此非常適合于無線網絡。

2）EAP-FAST[24] 通過安全隧道靈活驗證的EAP方式（flexible authentication via secure tunneling EAP method，EAP-FAST）是由Cisco開發的一種與PEAP同樣安全、與LEAP同樣方便的認證方法。

EAP-FAST是對LEAP的改進。LEAP是基于MS-CHAP 1.0實現對客戶和服務器端相互認證的；但是MS-CHAP的缺點在于容易受到字典攻擊，因此安全性不高。EAP-FAST解決了LEAP存在的安全漏洞。EAP-FAST協議包括兩個階段：a)建立TLS通道，該通道由基于稱為PAC（protected authentication credential，受保護的接入證書）的預共享密鑰建立，PAC有一定的有效期，EAP-FAST協議在PAC有效期結束時對其進行更新；b)通過一系列按照TLV（類型/長度/值）編碼的數據進行用戶認證。

3. 4 結合其他因素的方法

1)EAP_SIM[25] 基于用戶身份識別模塊（subscriber identity module，SIM）的EAP-SIM認證協議是由IETF制定的。它不僅作為一種Wireless-LAN的安全認證機制被提出，而且也是Wireless-LAN與現有移動運營網絡結合起來的一項關鍵技術，對GSM網絡和Wireless-LAN實現捆綁，用戶采用有SIM卡讀卡器的Wireless-LAN網卡執行增強的GSM認證算法即可獲得網絡接入認證。EAP-SIM用于認證的關鍵數據載體與獲得來源和其他方式有很大不同，其優勢在于它是一種統一的、更為安全的認證方式。所有的用戶信息和部分原始鑒權數據、算法都集成在SIM卡上，同時也存在于HR/AUC（本地位置寄存器/認證中心）上，這就避免了在介質中傳輸，更能抵御攻擊。此外它還可以充分利用已有的GSM網絡和數據庫資源。

2）EAP_AKA[26] 基于認證與密鑰協商（authentication and key agreement）的認證是通用移動通信系統（universal mobile telecommunications system，UMTS)和Wireless-LAN融合的認證方案。它基于對稱密鑰實現認證，主要在UTMS中運行（雙向），同時向下兼容GSM認證（只支持單向）。

3）EAP-SecurID[27] 該認證的實現需要硬件令牌卡或軟件仿真模塊的配合，又稱為雙因素安全認證。其缺點是只提供單向認證且難以抵御中間人會話攻擊。

表1是對幾種常用的認證方法進行多方面的比較結果。

4 結束語

隨著Wireless-LAN的迅速發展，其安全問題也日益突出。無線網絡由于傳輸信道的開放性導致了比有線網絡更為嚴重的安全隱患。認證作為一個最基本的安全措施，在無線局域網安全保障中顯得更為重要。本文對Wireless-LAN面臨的安全問題進行了詳盡的分析和討論，對國內外Wireless-LAN安全的研究現狀進行了闡述，在此基礎上分析和總結了現有的EAP認證方法。其中基于公鑰證書的方法安全強度較高，但部署和管理較為困難；基于口令的方法實現簡單但是安全強度較低；基于預共享密鑰的方法比較折中，在很多情況下可以兼顧安全性及Wireless-LAN設備的局限性。隨著Wireless-LAN與其他網絡的結合，綜合認證方法也越來越多。在實際的應用中應根據網絡需要的安全級別來選擇EAP認證的類型才是最合適的。

參考文獻：

[1]LAN/MAN Standards Committee of the IEEE Computer Society.IEEE Std 802.11—1999， Wireless LAN medium access control (MAC) and physical layer (PHY) specifcations[S]. 1999.

[2]BORISOV N， GOLDBERG I， WAGNER D. Security of the WEP algorithm[J]. ISAAC， 2001， 36(3): 3-6.

[3]ARBAUGH W A. IEEE 802.11—01/230， An inductive chosen plaintext attack against WEP/WEP2[S]. 2001.

[4]LAN/MAN Standards Committee. IEEE Std 802.1x， IEEE standard for local and metropolitan area networks:port-based network access control[S]. New York: IEEE-SA Standard Board， 2001.

[5]MISHRA A， ARBAUGH W A. An initial security analysis of the IEEE 802.1x standard， CS-TR-4328[R].Maryland: University of Maryland， 2002: 1-12.

[6]LAN/MAN Standards Committee. IEEE 802.lli—2004，IEEE stan-dard for information technology part 11: wireless LAN medium access control (MAC) and physical layer(PHY)specifications amendment 6: medium access control(MAC)security enhancements [S]. 2004.

[7]HASSAN H R， CHALLAL Y. Enhanced WEP: an efficient solution to WEP threats[C]//Proc of the 2nd IFIP International Conference on Wireless and Optical Communications Networks.2005:594-599.

[8]CHEN J Y， JIANG M C， LIU Y W. Wireless LAN security and IEEE 802.11i [J]. IEEE Wireless Communications， 2004， 12 (1): 27-36.

[9]GB 15629.11-2003/ XG1—2006， 信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無線局域網媒體訪問和物理層規范， 國家標準第1號修改單[S]．2006．

[10]Network Working Group. RFC 3748， Extensible authentication protocol (EAP)[S].2004.

[11]李興華，馬建峰．WAPI實施方案中的密鑰協商協議的安全性分析[J]．計算機學報，2006，29（4）：576-580．

[12]YOUNGLOVE R. Virtual private networks-how they work[J]. Computing Control Engineering Journal， 2000， 11(6): 260-262.

[13]孫宏，楊義先．無線局域網協議802.11安全性分析[J]．電子學報，2003，31（7）：1098-1100．

[14]SMYTH N， McLOONE M， McANNY J V. WLAN security processor[J]. Circuits and Systems I: Regular Papers， IEEE Transactions， 2006， 53(7): 1506-1520.

[15]ABOBA B， SIMON D. RFC 2716， PPP EAP TLS authentication protocol[S]. 1999.

[16]DIERKS T， ALLEN C. RFC 2246， The TLS protocol version 1.0[S]. 1999.

[17]Cisco Systems. EAP-TLS deployment guide for wireless LAN networks[EB/OL].(2004). http://www.cisco.com/en/us/tech/tk722/tk809/technologies-white-paper 09186 a0080092566.shtml.

[18]FUNK P， BLAKE-WILSON S. EAP tunneled TLS authentication protocol (EAP-TTLS)[S]. 2004.

[19]PALEKEE A， SIMON D， JOSEFSSON S， et al. Protected EAP protocol (PEAP)[S]. 2004.

[20]RIVEST R. RFC 1321， The MD5 message-digest algorithm[S]. 1992.

[21]Cisco Systems. Lightweight extensible authentication protocol(LEAP)[S].

[22]WU T. RFC 2945， The SRP authentication key exchange system[S]. 2000.

[23]BERSAI F， TSCHOFENIG H. RFC 4764， The EAP-PSK protocol: a pre-shared key extensible authentication protocol (EAP) method[S].2007.

[24]CAM-WINGET N， McGREW D， SALOWEY J， et al. RFC 4851， The flexible authentication via secure tunneling extensible autentication protocol methocl (EAP-FAST)[S]. 2007.

[25]GRAYSON M， SALOWEY J. EAP SIM authentication:draft-haverinen-pppext-eap-sim-10.txt[R]. 2003.

[26]ARKKO J， HAVERINEN H. RFC 4187， Extensible authentication protocol method for 3rd generation authentication and key agreement (EAP-AKA)[S].2006.

[27]LIBERMAN D A. RSA security SecurID EAP[S]. 1999.第10期張穎超，等:含模糊語言量詞的SQL查詢技術研究