張鈞媛　鄭小芳

摘 要： 為了保證無線Mesh網(wǎng)絡(luò)鏈路切換過程的快速與安全性，運(yùn)用了CPK標(biāo)識(shí)認(rèn)證技術(shù)，參照了IKEv2認(rèn)證與密鑰交換協(xié)議的設(shè)計(jì)方法，按照安全協(xié)議設(shè)計(jì)原則，設(shè)計(jì)了基于預(yù)認(rèn)證的無線Mesh網(wǎng)絡(luò)快速認(rèn)證技術(shù)方案，包括基于預(yù)認(rèn)證的端到端認(rèn)證與加密方案和快速重認(rèn)證方案。通過方案性能與安全性分析，方案在實(shí)現(xiàn)安全快速的同時(shí)還兼具了很好的性能。

關(guān)鍵詞： 無線Mesh網(wǎng)絡(luò)； 鏈路切換； CPK標(biāo)識(shí)認(rèn)證； IKEv2認(rèn)證與密鑰交換協(xié)議

中圖分類號(hào)： TN915.08?34； TP393.04 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）01?0083?04

Abstract： In order to ensure the celerity and security in link switching process of wireless Mesh network， the CPK identity authentication technology is used and the design method of IKEv2 authentication and key exchange protocol is referred. The pre?certification based technology solution for fast switching authentication in wireless Mesh network is designed according to the security protocol design principle. The solution includes two parts， end?to?end authentication and encryption scheme based on pre?certification and fast re?authentication scheme. The analyses of the scheme performance and security show that the scheme is characterized by celerity and security as well as good performance.

Keywords： wireless Mesh network； link switching； CPK identity authentication； IKEv2 authentication and key exchange protocol

0 引 言

無線Mesh網(wǎng)絡(luò)是從移動(dòng)Ad Hoc網(wǎng)絡(luò)中分離出來，并承襲了部分WLAN技術(shù)的一種新的網(wǎng)絡(luò)技術(shù)，具有較高的可靠性和較低的投資成本。研究發(fā)現(xiàn)，無線Mesh網(wǎng)絡(luò)是作為未來WMAN核心網(wǎng)最理想的方式之一，是迄今為止一種建立大規(guī)模移動(dòng)Ad Hoc網(wǎng)絡(luò)的可行性技術(shù)[1]。

無線Mesh網(wǎng)絡(luò)呈網(wǎng)狀網(wǎng)形狀，按照最初預(yù)想，每一個(gè)Mesh節(jié)點(diǎn)都會(huì)與周圍所能探測到的所有節(jié)點(diǎn)建立鏈路連接，這樣就使得無線Mesh網(wǎng)絡(luò)中兩個(gè)節(jié)點(diǎn)之間具有多條路徑可達(dá)，從而保證了無線Mesh網(wǎng)絡(luò)較強(qiáng)的抗毀性與鏈路選擇的靈活性。但是，在實(shí)際實(shí)現(xiàn)過程中，網(wǎng)狀網(wǎng)鏈路會(huì)帶來巨大的維護(hù)代價(jià)和管理代價(jià)，并且，會(huì)極大地降低整個(gè)Mesh網(wǎng)絡(luò)的帶寬。因此，比較常見的做法是將鏈路分為主鏈路與備份鏈路，正常情況下，路由計(jì)算與數(shù)據(jù)傳輸都基于主鏈路，當(dāng)主鏈路鏈路質(zhì)量變差或者鏈路斷開的情況下，選擇向鏈路質(zhì)量最佳的備份鏈路進(jìn)行切換，將備份鏈路啟用為主鏈路。

切換過程的產(chǎn)生必然會(huì)帶來新的安全隱患，所以，必須有相應(yīng)的安全機(jī)制予以保障。然而，現(xiàn)有針對(duì)這部分切換安全性的研究很少，通常的做法是，在切換階段重新完成一次接入認(rèn)證過程，而未過多地考慮到切換的效率問題。然而，切換過程過長，會(huì)嚴(yán)重影響網(wǎng)絡(luò)的通信質(zhì)量，從而直接導(dǎo)致網(wǎng)絡(luò)的可靠性大大降低。為了減少切換時(shí)長，本文設(shè)計(jì)了快速切換認(rèn)證方案，通過預(yù)認(rèn)證的方法，降低真正切換過程中切換認(rèn)證的時(shí)延，保證切換過程的時(shí)效性和安全性。

1 無線Mesh網(wǎng)絡(luò)的切換

用圖1來描述切換過程，AP3維護(hù)著一條與AP2的活動(dòng)鏈路（也稱主鏈路），當(dāng)AP3與AP2之間的鏈路斷開或者鏈路質(zhì)量變差的情況下，AP3就會(huì)斷開與AP2節(jié)點(diǎn)的關(guān)聯(lián)，重新選擇與AP1或者AP4之間的最優(yōu)鏈路進(jìn)行切換?？焖偾袚Q的目的是保障網(wǎng)絡(luò)的魯棒性，保持網(wǎng)絡(luò)通暢的同時(shí)，盡可能的使網(wǎng)絡(luò)獲得大的帶寬。

主/備份鏈路的切換需要經(jīng)歷三個(gè)階段：信道信息搜集階段，切換觸發(fā)階段和切換階段。第一階段信道信息搜集階段，節(jié)點(diǎn)搜集周邊可入網(wǎng)的節(jié)點(diǎn)的信息。為了降低切換時(shí)延，當(dāng)節(jié)點(diǎn)正常加入網(wǎng)絡(luò)后，就開始進(jìn)行信道信息搜集，信道信息搜集階段完成鄰居節(jié)點(diǎn)的發(fā)現(xiàn)與維護(hù)過程。第二階段切換觸發(fā)階段，節(jié)點(diǎn)切換產(chǎn)生的原因有兩種：第一種情況為主鏈路的鏈路斷開，節(jié)點(diǎn)需要尋找新的通信鏈路；第二種情況為發(fā)現(xiàn)了比主鏈路質(zhì)量更優(yōu)的鏈路，進(jìn)行主動(dòng)切換。第三階段切換階段，切換階段完成節(jié)點(diǎn)從主鏈路切換到備份鏈路的動(dòng)作。

主/備份鏈路的切換過程給無線Mesh網(wǎng)絡(luò)安全提出了新的需求。首先，節(jié)點(diǎn)之間的鄰居關(guān)系需要建立在節(jié)點(diǎn)相互了解與信任的基礎(chǔ)之上，根據(jù)無線Mesh網(wǎng)絡(luò)的鏈路形態(tài)，節(jié)點(diǎn)與鄰居節(jié)點(diǎn)之間不存在通信鏈路，所以，節(jié)點(diǎn)與鄰居節(jié)點(diǎn)之間的消息交互必須通過其他節(jié)點(diǎn)進(jìn)行轉(zhuǎn)發(fā)，為保證消息交互的私密性與認(rèn)證的可靠性，需要進(jìn)行端到端的認(rèn)證與保護(hù)。其次，在切換來臨之際，需要通過重認(rèn)證機(jī)制來保證切換的正確性，避免網(wǎng)絡(luò)鏈路變化給攻擊者造成的可乘之機(jī)，同時(shí)，由于重認(rèn)證機(jī)制發(fā)生在切換階段，為縮短切換時(shí)延，在保證安全的情況下，需盡量降低重認(rèn)證過程的時(shí)延。根據(jù)切換觸發(fā)的情景不同，發(fā)生切換時(shí)有兩種情況：鏈路斷開時(shí)是節(jié)點(diǎn)向節(jié)點(diǎn)切換，當(dāng)發(fā)現(xiàn)最優(yōu)鏈路時(shí)，節(jié)點(diǎn)需要通過其他節(jié)點(diǎn)轉(zhuǎn)發(fā)消息來進(jìn)行切換，所以，重認(rèn)證過程既要保證點(diǎn)到點(diǎn)的安全，也要保證端到端的安全。最后，在無線Mesh網(wǎng)絡(luò)無中心、自組織的特點(diǎn)下實(shí)現(xiàn)快速切換認(rèn)證，需要選擇合適的基礎(chǔ)設(shè)施，并盡量減少非對(duì)稱加解密的使用，同時(shí)減少消息的傳遞。

2 基于預(yù)認(rèn)證的無線Mesh網(wǎng)絡(luò)快速切換認(rèn)證

方案設(shè)計(jì)

2.1 基于預(yù)認(rèn)證的端到端的認(rèn)證與加密方案

在信道信息搜集階段完成正常入網(wǎng)節(jié)點(diǎn)與周圍鄰居節(jié)點(diǎn)的相互認(rèn)證，通過在該階段的預(yù)認(rèn)證避免節(jié)點(diǎn)在真正切換中的身份認(rèn)證，縮短切換時(shí)延，整個(gè)過程被稱為鄰居節(jié)點(diǎn)安全關(guān)聯(lián)。鄰居節(jié)點(diǎn)安全關(guān)聯(lián)通過安全關(guān)聯(lián)協(xié)議來實(shí)現(xiàn)，協(xié)議設(shè)計(jì)參照了IKEv2認(rèn)證與密鑰交換協(xié)議，具體的實(shí)現(xiàn)過程見圖2。鄰居節(jié)點(diǎn)安全關(guān)聯(lián)的時(shí)機(jī)，可以選擇節(jié)點(diǎn)成功入網(wǎng)之后，或者是發(fā)現(xiàn)新的鄰居節(jié)點(diǎn)之時(shí)，將協(xié)議數(shù)據(jù)包的發(fā)送優(yōu)先級(jí)置為最高，從而避免切換突發(fā)情況的發(fā)生。圖2顯示的是圖1中AP3入網(wǎng)成功之后，與AP1建立安全關(guān)聯(lián)的過程。其中①②③④為傳送的協(xié)議數(shù)據(jù)包。

SA安全關(guān)聯(lián)載荷，用于協(xié)商節(jié)點(diǎn)之間采用的認(rèn)證方式、加密算法，Diffie?Hellman組等；ID是獲取身份的惟一標(biāo)識(shí)；N是傳遞的隨機(jī)數(shù)用來防止重放攻擊；KE傳送的是Diffie?Hellman的參數(shù)值。keyT是在切換階段用于開啟切換過程的共享秘密；R是構(gòu)成空口密鑰的重要參數(shù)；keyid記錄空口密鑰的序列號(hào)；AUTH是簽名載荷，是一端私鑰對(duì)雙方共享秘密的簽名。PAP1（）表示使用AP1的公鑰進(jìn)行加密；KSK_er（）表示使用SK_er密鑰進(jìn)行對(duì)稱加密。

第①②條消息主要完成參數(shù)與計(jì)算方式的協(xié)商，通過KE Diffie?Hellman參數(shù)的交互得到會(huì)話密鑰K，通過會(huì)話密鑰與隨機(jī)數(shù)計(jì)算出一個(gè)主密鑰SKEYSEED，SKEYSEED被進(jìn)一步用來計(jì)算其他7個(gè)密鑰材料：SK_d為最終的加密密鑰生成資料，SK_ai和SK_ar用于后兩步的切換消息的認(rèn)證，SK_ei和SK_er用于后兩步消息的加解密，SK_pi和SK_pr用于后兩步AUTH載荷的產(chǎn)生。

其中，prf（）為散列函數(shù)或者位運(yùn)算。Prf+為指定的散列算法，“|”是連接符號(hào)，SPI是數(shù)據(jù)包頭中的安全索引。

第③④條消息完成身份的認(rèn)證與秘密參數(shù)的傳遞。身份認(rèn)證協(xié)議的設(shè)計(jì)以CPK標(biāo)識(shí)認(rèn)證為基礎(chǔ)設(shè)施，利用對(duì)方標(biāo)識(shí)獲得對(duì)方身份，加密傳給對(duì)方的秘密參數(shù)，利用本端的私鑰加密信息形成AUTH載荷，用以證明自己的身份。CPK標(biāo)識(shí)認(rèn)證的使用避免了第三方的參與，減少證書的傳遞與驗(yàn)證，能很大程度上加快協(xié)議的執(zhí)行速度。AUTH載荷的計(jì)算公式如下：

AUTHAP3=SAP3（H（SAAP3，NAP3，KEAP3，SAAP1，NAP1，KEAP1，prf（SKpi，IDAP3，RAP3）） ）

其中SAP3為AP3的私鑰加密。H（）表示對(duì)括號(hào)里的內(nèi)容進(jìn)行散列計(jì)算。

當(dāng)AP1接收到來自AP3的消息（3）之后，首先通過Diffie?Hellman交換計(jì)算出SK_er，利用SK_er解密消息內(nèi)容，第二步利用本端私鑰解密keyTAP3，RAP3，第三步利用AP3公鑰對(duì)AUTH載荷進(jìn)行解簽記為H1，再通過本端存儲(chǔ)的信息按照AUTH構(gòu)成計(jì)算本端所認(rèn)同的解簽內(nèi)容記為H2，對(duì)比H1與H2的值，若一致則AP1通過對(duì)AP3的身份認(rèn)證，若不一致則AP3的身份認(rèn)證失敗。消息④的過程與消息③的處理過程一致，實(shí)現(xiàn)的是AP3對(duì)AP1身份的認(rèn)證。

在消息③與消息④的交互中，分別使用了對(duì)稱加密，公鑰加密與私鑰簽名三種加密方式，對(duì)稱加密使用的密鑰是前一次DIffie?Hellman交換計(jì)算的結(jié)果，不僅使消息保持了前向一致性，還在消息破解上增加了破解Diffie?Hellman參數(shù)交換的難度。公鑰加密的結(jié)果一方面能夠保證消息內(nèi)容的安全，另外一方面還能確保消息內(nèi)容到達(dá)指定的接收方，保證了消息內(nèi)容端到端的可靠性。另外，私鑰簽名是證明身份的最佳方式。

2.2 快速重認(rèn)證方案

當(dāng)節(jié)點(diǎn)之間鏈路斷開或者發(fā)現(xiàn)更優(yōu)鏈路時(shí)，意味著切換階段的到來。在預(yù)認(rèn)證的基礎(chǔ)上，通過快速重認(rèn)證，實(shí)現(xiàn)節(jié)點(diǎn)的安全快速切換。重認(rèn)證方案通過重認(rèn)證協(xié)議來實(shí)現(xiàn)。節(jié)點(diǎn)在與父節(jié)點(diǎn)鏈路斷開或者發(fā)現(xiàn)更優(yōu)鏈路的情況下都可能進(jìn)行切換。圖3顯示了圖1中節(jié)點(diǎn)AP3分別在鏈路斷開與發(fā)現(xiàn)更優(yōu)鏈路兩種情況下的重認(rèn)證過程。

鏈路斷開情況下：

① 鏈路建立數(shù)據(jù)包

② 切換重認(rèn)證請(qǐng)求數(shù)據(jù)包

③ 切換重認(rèn)證回復(fù)數(shù)據(jù)包

發(fā)現(xiàn)更優(yōu)鏈路：

① 切換重認(rèn)證請(qǐng)求數(shù)據(jù)包

② 切換重認(rèn)證回復(fù)數(shù)據(jù)包

③ 鏈路建立通知數(shù)據(jù)包

切換重認(rèn)證請(qǐng)求數(shù)據(jù)包的構(gòu)造如下：

Kkey（H（keyTAP3+1，SK_ai），keyTAP3′）

切換重認(rèn)證回復(fù)數(shù)據(jù)包的構(gòu)造如下：

Kkey（H（keyTAP1+1，SK_ar），keyTAP1′）

當(dāng)AP3鏈路斷開時(shí)，首先由AP3根據(jù)監(jiān)測結(jié)果選擇切換到的鄰居節(jié)點(diǎn)為AP1，執(zhí)行一系列鏈路協(xié)議后，AP1發(fā)送鏈路建立數(shù)據(jù)包，在AP3與AP1之間建立通信鏈路。鏈路建立完畢，AP3發(fā)送切換重認(rèn)證請(qǐng)求數(shù)據(jù)包，切換重認(rèn)證請(qǐng)求數(shù)據(jù)包內(nèi)容包括由鄰居節(jié)點(diǎn)安全關(guān)聯(lián)過程中交換的切換參數(shù)keyT與Diffie?Hellman交換產(chǎn)生的SK_a進(jìn)行散列運(yùn)算得到的切換“開關(guān)”，以及新的切換參數(shù)keyT′。當(dāng)AP1切換重認(rèn)證請(qǐng)求數(shù)據(jù)包時(shí)，首先，用共享密鑰key解密數(shù)據(jù)包，之后，計(jì)算keyTAP3+1與SK_ai的散列結(jié)果，與數(shù)據(jù)包中的該值做對(duì)比，若一致則切換認(rèn)證通過，記錄新的切換參數(shù)，發(fā)送切換回復(fù)數(shù)據(jù)包；若不一致，則認(rèn)為切換重認(rèn)證未通過，在一端斷開與AP3的鏈路連接。同樣，AP3收到AP1發(fā)送的切換重認(rèn)證回復(fù)數(shù)據(jù)包后，通過驗(yàn)證切換“開關(guān)”決定是否通過重認(rèn)證過程。

當(dāng)AP3發(fā)現(xiàn)更優(yōu)鏈路時(shí)，通過AP2與AP0的中轉(zhuǎn)發(fā)送切換重認(rèn)證請(qǐng)求數(shù)據(jù)包，過程與鏈路斷開切換一致，當(dāng)AP3與AP1互相重認(rèn)證通過之后，由AP3發(fā)送鏈路建立通知數(shù)據(jù)包，建立AP3與AP1之間的直接鏈路。若重認(rèn)證失敗，則AP3重新選擇切換對(duì)象。

在切換重認(rèn)證協(xié)議設(shè)計(jì)中，為減少切換時(shí)延，遵循了幾個(gè)原則，第一，將協(xié)議的交互次數(shù)降到最低。重認(rèn)證協(xié)議交互次數(shù)為兩次，這是設(shè)計(jì)協(xié)議的最少交互次數(shù)，交互次數(shù)的減少，必然會(huì)大大降低協(xié)議執(zhí)行的時(shí)延。第二，避免對(duì)非對(duì)稱加解密的使用。非對(duì)稱加解密的速度遠(yuǎn)遠(yuǎn)低于對(duì)稱加解密的速度，在認(rèn)證過程中避免非對(duì)稱加解密的使用能夠大大縮短協(xié)議計(jì)算過程的時(shí)延。第三，安全性保障。切換重認(rèn)證請(qǐng)求數(shù)據(jù)包與切換重認(rèn)證回復(fù)數(shù)據(jù)包均使用鄰居節(jié)點(diǎn)安全關(guān)聯(lián)后計(jì)算得到的共享密鑰key進(jìn)行空口加密，共享密鑰的生成建立在Diffie?Hellman交換與橢圓曲線加解密的安全之上，具有非常高的安全級(jí)別。另外，切換“開關(guān)”中，KeyT與SK_a均來自于鄰居節(jié)點(diǎn)安全關(guān)聯(lián)，具有很好的前向關(guān)聯(lián)性，keyT′的使用能夠有效避免重放攻擊。

3 方案性能與安全性分析

基于預(yù)認(rèn)證的無線Mesh網(wǎng)絡(luò)快速切換認(rèn)證方案由基于預(yù)認(rèn)證的端到端認(rèn)證與加密方案及快速重認(rèn)證方案兩部分構(gòu)成。其中，基于預(yù)認(rèn)證的端到端認(rèn)證與加密方案是進(jìn)行快速重認(rèn)證方案得以實(shí)現(xiàn)的基礎(chǔ)，通過預(yù)認(rèn)證減少真正切換到來時(shí)的在進(jìn)行身份認(rèn)證與參數(shù)協(xié)商和計(jì)算的時(shí)延是關(guān)鍵，根據(jù)對(duì)重認(rèn)證的試驗(yàn)統(tǒng)計(jì)，切換認(rèn)證的過程能夠降低到100 μs數(shù)量級(jí)，按照傳統(tǒng)的切換方法這個(gè)值會(huì)達(dá)到毫秒級(jí)以上。針對(duì)無線Mesh網(wǎng)絡(luò)網(wǎng)狀網(wǎng)的特征，在基于預(yù)認(rèn)證的端到端認(rèn)證與加密方案建立在CPK標(biāo)識(shí)認(rèn)證基礎(chǔ)設(shè)施之上，這對(duì)方案整體性能的提升具有很大的意義。

首先，CPK認(rèn)證機(jī)制解決了規(guī)?；拿荑€管理問題，它所使用的密鑰產(chǎn)生與存儲(chǔ)方式可以大大節(jié)省密鑰存儲(chǔ)空間，對(duì)于一個(gè)[m×n]的種子密鑰矩陣來說，能夠產(chǎn)生[mn]次方個(gè)公私鑰對(duì)，因此，CPK只需要很小的存儲(chǔ)空間就可形成一個(gè)很大的密鑰空間。其次，CPK采用離線密鑰集中分發(fā)的方式，密鑰的安全性能夠得到極大的保障。第三，CPK機(jī)制在認(rèn)證過程中，避免了第三方權(quán)威機(jī)構(gòu)的參與，也避免了證書的傳遞及驗(yàn)證過程，可以大大簡化協(xié)議的設(shè)計(jì)過程，同時(shí)，避免通過證書泄露相關(guān)秘密信息。最后，CPK多采用橢圓曲線的加密算法，橢圓曲線最大的優(yōu)點(diǎn)就是在密鑰長度較小的情況下能夠提供其他公鑰加密算法在密鑰長度較大時(shí)才能達(dá)到的加密強(qiáng)度。

除了使用CPK標(biāo)識(shí)認(rèn)證機(jī)制所帶來的性能提升之外，基于預(yù)認(rèn)證的無線Mesh網(wǎng)絡(luò)快速切換認(rèn)證方案中協(xié)議的設(shè)計(jì)參考的是IPSec中IKEv2密鑰交換協(xié)議的設(shè)計(jì)方法，IKEv2是帶認(rèn)證的密鑰交換協(xié)議，支持端到端的認(rèn)證與加密保護(hù)，并且，IKEv2是在沿用原來協(xié)議的共享策略協(xié)商的基礎(chǔ)上，進(jìn)行了全面的優(yōu)化和改革，從而具備了更高的性能、更好的安全性與更低的系統(tǒng)耗費(fèi)[2]。

4 結(jié) 語

無線Mesh網(wǎng)絡(luò)呈網(wǎng)狀網(wǎng)形狀，為了保證鏈路質(zhì)量，提高網(wǎng)絡(luò)傳輸率，當(dāng)節(jié)點(diǎn)之間鏈路斷開或者質(zhì)量變差的情況下就要考慮進(jìn)行快速的鏈路切換。本文針對(duì)鏈路切換過程中面對(duì)的安全問題進(jìn)行了分析，給出了基于預(yù)認(rèn)證的無線Mesh網(wǎng)絡(luò)快速切換認(rèn)證方案，旨在既保證切換的安全，又能以最快的速度完成切換過程，導(dǎo)致鏈路最小時(shí)間的中斷或者保證鏈路的最佳狀態(tài)。方案建立在CPK標(biāo)識(shí)認(rèn)證基礎(chǔ)設(shè)施之上，具有極小的密鑰存儲(chǔ)空間需求，無需第三方參與以及證書的使用，對(duì)整個(gè)方案性能具有很大的性能提升意義。另外，方案協(xié)議的設(shè)計(jì)參照了IKEv2的設(shè)計(jì)，能在一定程度上保證協(xié)議設(shè)計(jì)的科學(xué)性與安全性。同時(shí)，協(xié)議中身份認(rèn)證與密鑰協(xié)商的設(shè)計(jì)，也能夠體現(xiàn)出協(xié)議設(shè)計(jì)的獨(dú)特性與創(chuàng)新性。

參考文獻(xiàn)

[1] 方旭明.下一代無線因特網(wǎng)技術(shù)：無線Mesh網(wǎng)絡(luò)[M].北京：人民郵電出版社，2006.

[2] 楊亞濤.無線多跳網(wǎng)絡(luò)的認(rèn)證、密鑰協(xié)商及信任機(jī)制研究[D].北京：北京郵電大學(xué)，2009.

[3] 南相浩.CPK體制與網(wǎng)際安全[M].北京：國防工業(yè)出版社，2008.

[4] 袁美雄.無線局域網(wǎng)中基于預(yù)先認(rèn)證的快速切換方案[J].湖南人文科技學(xué)院學(xué)報(bào)，2011，10（5）：134?137.

[5] 楊衛(wèi)東，馬建峰，楊超.無線局域網(wǎng)中一種快速安全的切換方法[J].西安電子科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2008，6（3）：474?477.

[6] 彭清泉.無線網(wǎng)絡(luò)中密鑰管理與認(rèn)證方法及技術(shù)研究[D].西安：西安電子科技大學(xué)，2010.

[7] 高杰，楊衛(wèi)東.一種WLAN環(huán)境下新的快速安全切換方法[J].計(jì)算機(jī)與網(wǎng)絡(luò)創(chuàng)新生活，2009，5（13）：73?76.

[8] KAUFMAN C. RFC4306 Internet key exchange （IKEv2） protocol [M]. [S.I.]： The Internet Society， 2005.

[9] 章宇春，李繼國，王志堅(jiān).互聯(lián)網(wǎng)密鑰交換協(xié)議的安全性分析與改進(jìn)[EB/OL].[2007?01?05]. http：//www.paper.edu.cn/html/releasepaper/2007/01/43/ .

[10] 曹宇，祝躍飛，李勤，等.IKEv2 實(shí)現(xiàn)方案研究[J].計(jì)算機(jī)應(yīng)用研究，2005（6）：74?76.

[11] 荊琪.基于EAP切換認(rèn)證機(jī)制研究[D].西安：西安電子科技大學(xué)，2012.