基于公鑰密碼體制的802.1x雙向認(rèn)證研究

蔣　華　張樂乾　阮玲玲

(桂林電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院　廣西 桂林 541004)

?

基于公鑰密碼體制的802.1x雙向認(rèn)證研究

蔣華張樂乾阮玲玲

(桂林電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院廣西 桂林 541004)

摘要針對申請者和認(rèn)證者間認(rèn)證的不平等以及控制幀和管理幀的明文傳輸問題，通過分析802.1x/EAP認(rèn)證過程，提出一種基于公鑰密碼體制的802.1x雙向認(rèn)證改進(jìn)方案。該方案利用引入的公鑰密碼體制的認(rèn)證性實(shí)現(xiàn)申請者與認(rèn)證服務(wù)器的雙向認(rèn)證，同時利用對稱密鑰實(shí)現(xiàn)申請者、認(rèn)證者和認(rèn)證服務(wù)器三者之間的兩兩雙向認(rèn)證并對控制幀和管理幀中的敏感域加密。該方案能夠保護(hù)認(rèn)證進(jìn)程的機(jī)密性，對AP身份進(jìn)行認(rèn)證，有效阻止了中間人攻擊和拒絕服務(wù)攻擊。通過仿真實(shí)驗(yàn)證明，該方案比原協(xié)議認(rèn)證成功率平均高約13.1%，接入的STA數(shù)量有顯著增加，約增加STA總數(shù)的26%，在攻擊次數(shù)達(dá)到50次以上時，接入STA數(shù)量下降速率平穩(wěn)緩慢。

關(guān)鍵詞802.1x雙向認(rèn)證公鑰密碼中間人攻擊拒絕服務(wù)攻擊

STUDY ON PUBLIC KEY CRYPTOGRAPHY-BASED 802.1X BIDIRECTIONAL AUTHENTICATION

Jiang HuaZhang LeqianRuan Lingling

(School of Computer Science and Engineering,Guilin University of Electronic Technology,Guilin 541004,Guangxi,China)

AbstractIn order to solve the problems of the unequal authentication between applicant and authenticator and the plaintext transmission of the control frame and management frame, according to the analysis on 802.1x/EAP authentication process, we proposed an improved scheme of 802.1x/EAP bidirectional authentication which is based on public key cryptosystem. The scheme uses the authentication property of the introduced public key cryptosystem to achieve bidirectional authentication between applicant and authentication server. Meanwhile it uses symmetric key cryptosystem to achieve the bidirectional authentication between each pair of supplicant, authenticator and authentication server and encrypts the sensitive domains of control frame and management frame. The scheme can protect the confidentiality of authentication process, authenticates the identity of AP, and effectively prevents the man-in-the-middle attacks and denial of service attacks. It was proved by simulation experiments that in average the scheme was about 13.1% higher in successful authentication than the original protocol, the number of the successful STA access had the significant increase, roughly about 26% of total STA numbers, and the descending rate of STA access number was slow and stable while the number of attacks was more than 50.

Keywords802.1xBidirectional authenticationPublic key cryptographyMan-in-the-middle attackDenial of service attacks

0引言

無線局域網(wǎng)因其網(wǎng)絡(luò)空間的開放性和用戶的移動接入性，使得網(wǎng)絡(luò)在各種便攜式終端上的應(yīng)用越來越方便。用戶接入網(wǎng)絡(luò)的不確定性和頻繁移動性使得我們必須要建立更加強(qiáng)健和完善的身份認(rèn)證和訪問控制機(jī)制來保障無線網(wǎng)絡(luò)用戶的合法性。

在IEEE 802.11i標(biāo)準(zhǔn)中802.1x協(xié)議認(rèn)證框架的基礎(chǔ)上，本文通過分析802.1x/EAP認(rèn)證機(jī)制的過程及其安全性，提出一種基于公鑰密碼體制的802.1x認(rèn)證改進(jìn)方案。配合可擴(kuò)展認(rèn)證協(xié)議EAP來實(shí)現(xiàn)認(rèn)證，加入公鑰密碼體制實(shí)現(xiàn)客戶端與認(rèn)證者之間的雙向認(rèn)證，對管理幀和控制幀中的部分敏感域進(jìn)行加密保護(hù)，實(shí)現(xiàn)申請者、認(rèn)證者和認(rèn)證服務(wù)器三者間的兩兩雙向認(rèn)證，有效防御對認(rèn)證過程的中間人攻擊和DoS攻擊等。

1802.1X/EAP認(rèn)證協(xié)議及其安全性

1.1802.1X/EAP認(rèn)證過程

根據(jù)RSNA建立過程，在網(wǎng)絡(luò)連接過程結(jié)束后進(jìn)入802.1x認(rèn)證階段。802.1x是基于端口的網(wǎng)絡(luò)接入控制協(xié)議，在開始認(rèn)證前，端口默認(rèn)設(shè)置為未授權(quán)狀態(tài)，此時除了802.1x的EAPOL報(bào)文之外的其他一切來自客戶端的消息均無法通過端口。在認(rèn)證過程結(jié)束后，客戶端身份被確認(rèn)合法，端口狀態(tài)切換為授權(quán)，此時客戶端被允許和認(rèn)證者傳輸信息[1]。

申請者端與認(rèn)證端的通信在數(shù)據(jù)鏈路層進(jìn)行，并采用EAPOL格式進(jìn)行封裝，而認(rèn)證者和認(rèn)證服務(wù)器之間采用RADIUS協(xié)議來封裝申請者發(fā)送給認(rèn)證者的EAP認(rèn)證信息[2,3]。具體的認(rèn)證方式則是在認(rèn)證過程中由認(rèn)證服務(wù)器和申請者動態(tài)協(xié)商來決定，這就體現(xiàn)了802.1x/EAP認(rèn)證的靈活性和動態(tài)性，給惡意攻擊者帶來一定的攻擊困難，增強(qiáng)了認(rèn)證機(jī)制的防御性能。

1.2存在問題

802.1x提供了認(rèn)證框架，EAP提供靈活多變的認(rèn)證方法。雖然802.1x具有實(shí)現(xiàn)簡單、認(rèn)證和業(yè)務(wù)分離、擴(kuò)展性好等優(yōu)點(diǎn)，但協(xié)議本身仍然存在設(shè)計(jì)缺陷：

特殊幀的明文傳輸：傳輸過程中管理幀和控制幀都是明文傳輸?shù)模瑳]有保密措施保護(hù)，這樣就非常容易被攻擊者探測到[4]。在802.1x協(xié)議中，這樣的幀有EAPOL-Start、EAP-Success、EAP-Failure以及EAPOL-Logoff等，當(dāng)攻擊者通過監(jiān)聽獲得這些幀信息后，再選取適當(dāng)?shù)臅r機(jī)偽裝成客戶端或者認(rèn)證者，即可在兩方之間傳遞虛假信息；

認(rèn)證者對申請者的單向認(rèn)證性協(xié)議：假定認(rèn)證者AP是安全可靠的，只是實(shí)現(xiàn)了申請者和認(rèn)證服務(wù)器之間的雙向認(rèn)證，申請者并沒有對認(rèn)證者AP進(jìn)行充分的認(rèn)證[5,6]。但在實(shí)際情況中，隨著無線網(wǎng)絡(luò)的廣泛應(yīng)用，惡意攻擊者發(fā)現(xiàn)并利用其漏洞假冒認(rèn)證者AP的現(xiàn)象越來越多。

針對802.1x/EAP的攻擊威脅有下面幾種：

1) 中間人攻擊

在802.1x/EAP協(xié)議中，雖然實(shí)現(xiàn)了客戶端與認(rèn)證服務(wù)器間的雙向認(rèn)證，但是基于端口的802.1x認(rèn)證原理規(guī)定，當(dāng)客戶端通過認(rèn)證服務(wù)器的認(rèn)證之后，認(rèn)證者才會打開對客戶端的認(rèn)證端口，而對于認(rèn)證者客戶端的端口是始終打開的，這樣就造成了客戶端與認(rèn)證者間的不平等狀態(tài)[4,7]。這種認(rèn)證者對客戶端的單向認(rèn)證的缺陷，就使得攻擊者很容易進(jìn)行中間人攻擊。

2) 拒絕服務(wù)攻擊

拒絕服務(wù)攻擊就是服務(wù)器拒絕向合法客戶端提供正常訪問服務(wù)。攻擊者破壞客戶端與服務(wù)器的連接過程，使合法客戶端與網(wǎng)絡(luò)半連接或者認(rèn)證失敗，容易造成客戶端或服務(wù)器計(jì)算和存儲資源耗盡或合法客戶端無法正常接入網(wǎng)絡(luò)[8]。實(shí)施過程簡單，后果嚴(yán)重，預(yù)防和追查困難，在網(wǎng)絡(luò)安全問題中拒絕服務(wù)攻擊最常見也最具威脅性。

2改進(jìn)方案

本文根據(jù)上文中所述兩個漏洞，提出了一種基于公鑰密碼體制的802.1x認(rèn)證改進(jìn)方案，方案中通過加入公鑰密碼體制實(shí)現(xiàn)客戶端與認(rèn)證者之間的雙向認(rèn)證，同時對于一些管理幀和控制幀中的部分敏感域進(jìn)行加密保護(hù)，從而使其被竊聽分析以及偽造的難度加大。

1) 加密管理幀與控制幀中的敏感域

從802.1x認(rèn)證流程我們可以看到，在客戶端與認(rèn)證者之間發(fā)送的消息封裝的格式有兩種類型：EAP格式和EAPOL格式[9]。通過對EAP幀和EAPOL幀格式的分析我們可知，EAP幀中Code域和EAPOL幀中Type域用來標(biāo)識幀類型，然而通常情況下，幀中數(shù)據(jù)域的內(nèi)容和幀格式密切相關(guān)且相互對應(yīng)。我們采用對稱加密算法來加密這兩個域，對稱密鑰通過安全通道發(fā)布給雙方，這樣攻擊者在短時間內(nèi)無法獲取密鑰，無法知道幀類型，也就無法在合適的時間找到攻擊機(jī)會，從而達(dá)到保護(hù)這些敏感數(shù)據(jù)包的目的，在一定程度上能夠預(yù)防針對這些數(shù)據(jù)包的中間人攻擊和DoS攻擊。

2) 基于公鑰密碼體制的雙向認(rèn)證

在802.1x/EAP認(rèn)證系統(tǒng)中，認(rèn)證者對客戶端的單向認(rèn)證，使得客戶端與認(rèn)證者之間出現(xiàn)了不平等狀態(tài)，攻擊者可以通過偽造認(rèn)證者，從而在兩者之間實(shí)現(xiàn)中間人攻擊。改進(jìn)方案中，我們引入公鑰密碼體制，公鑰密碼的數(shù)字簽名功能正好能夠解決通信雙方的認(rèn)證問題。我們假定在認(rèn)證前客戶端和認(rèn)證服務(wù)器的公鑰已公布，且雙方均已知，同時認(rèn)證者與其他兩方的共享密鑰也通過安全通道分發(fā)成功。這樣在認(rèn)證過程中，對于客戶端和認(rèn)證服務(wù)器發(fā)送的消息可以用自己的私鑰先簽名，在接收方再使用對方公鑰驗(yàn)證，若能成功解密則可以確認(rèn)發(fā)送者身份，這樣也就實(shí)現(xiàn)了客戶端與服務(wù)器的雙向認(rèn)證。同時方案中也加入了客戶端和認(rèn)證者各自生成的隨機(jī)數(shù)，而這些隨機(jī)數(shù)通過雙方共享密鑰加密，然而我們確信共享密鑰只有雙方知道，這樣通過加密隨機(jī)數(shù)實(shí)現(xiàn)了客戶端與認(rèn)證者的雙向認(rèn)證。

根據(jù)以上兩部分改進(jìn)，我們在改進(jìn)方案中對所有EAP消息的Code域和EAPOL消息的Type域與Code域均使用對稱加密算法加密；同時在認(rèn)證過程中加入申請者和認(rèn)證服務(wù)器公鑰，在傳輸消息過程中利用私鑰對部分消息進(jìn)行數(shù)字簽名，以認(rèn)證發(fā)送者身份合法。改進(jìn)方案的認(rèn)證流程如圖1所示。

圖1　改進(jìn)方案認(rèn)證過程

流程圖中所使用的符號標(biāo)記如下：

符號說明

IS申請者身份信息

NS申請者隨機(jī)數(shù)

NA認(rèn)證者隨機(jī)數(shù)

KS-A申請者與認(rèn)證者共享密鑰，用于對稱加密算法

KA-AS認(rèn)證者與認(rèn)證服務(wù)器共享密鑰，用于對稱加密

假設(shè)認(rèn)證者和認(rèn)證服務(wù)器之間已經(jīng)建立了安全連接，申請者和認(rèn)證服務(wù)器雙方互相擁有對方的公鑰，認(rèn)證者與申請者、認(rèn)證服務(wù)器均已通過安全通道共享對稱密鑰。

詳細(xì)步驟如下：

(1) 申請者首先生成EAPOL-Start消息，并選用AES算法來加密Type域和Code域，密鑰為128位KS-A，然后使用RSA算法簽名后發(fā)送給認(rèn)證者發(fā)起認(rèn)證過程；

(2) 認(rèn)證者收到請求消息后，向申請者發(fā)送EAP- Request/ Identity消息要求申請者提供其身份信息，其中Code域被加密，加密方法同步驟(1)；

(3) 申請者收到身份請求消息后，生成EAP-Response/ Identity消息響應(yīng)認(rèn)證者，生成具體方法如圖2所示。其中，{IS}KS-1為申請者對身份信息進(jìn)行數(shù)字簽名。

圖2　EAP-Response/Identity消息生成過程

(4) 認(rèn)證者收到身份響應(yīng)消息后，生成Radius-Access Request消息發(fā)送給認(rèn)證服務(wù)器請求驗(yàn)證身份信息，具體生成方法如圖3所示。

圖3　Radius-Access Request消息生成過程

圖4　Radius-Access-Challenge消息生成過程

(6) 認(rèn)證者收到數(shù)據(jù)包后，向申請者發(fā)送挑戰(zhàn)響應(yīng)請求EAP-Request消息，具體生成過程如圖5所示。其中，NA-1的對比為認(rèn)證者通過對稱密鑰KA-AS驗(yàn)證認(rèn)證服務(wù)器身份。{NS-1}C(KS-A)為認(rèn)證者通過對稱密鑰KS-A驗(yàn)證申請者身份。

圖5　EAP-Request消息生成過程

(7) 申請者收到請求消息后，首先處理請求消息，并且查看RADIUS所選擇的的認(rèn)證機(jī)制，如果申請者支持該認(rèn)證機(jī)制則向認(rèn)證者發(fā)送挑戰(zhàn)響應(yīng)EAP-Response消息，具體過程如圖6所示。其中，{NS-1}D(KAS)為申請者驗(yàn)證認(rèn)證服務(wù)器身份，{NS-1}D(KS-A)為申請者驗(yàn)證認(rèn)證者身份。{NS}C(KAS)為響應(yīng)認(rèn)證服務(wù)器的挑戰(zhàn)。

圖6　EAP-Response消息生成過程

(8) 認(rèn)證者將收到的EAP消息重新封裝成RADIUS格式并轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器。

(9) 認(rèn)證服務(wù)器收到挑戰(zhàn)響應(yīng)消息后，如果能夠成功驗(yàn)證申請者數(shù)字簽名以及解密出NS，說明可以確認(rèn)申請者身份合法，并向認(rèn)證者發(fā)送認(rèn)證成功消息；否則告知認(rèn)證失敗。

(10) 若認(rèn)證者收到認(rèn)證成功消息，則打開受控端口，并向申請者發(fā)送EAP-Success消息，告知其認(rèn)證成功；否則向申請者發(fā)送EAP-Failure消息，通知其認(rèn)證失敗。

(11) 當(dāng)申請者將要離線時，需要向認(rèn)證者發(fā)送EAPOL-Logoff消息(Type域和Code域被加密)，告知其將要離線，此時認(rèn)證者關(guān)閉受控端口。

3方案安全性分析與仿真

3.1方案安全性分析

基于公鑰密碼體制的802.1x雙向認(rèn)證改進(jìn)方案不僅實(shí)現(xiàn)了客戶端和服務(wù)器之間的雙向認(rèn)證，同時也實(shí)現(xiàn)了客戶端與認(rèn)證者之間的雙向認(rèn)證；另一方面，對于客戶端與認(rèn)證者之間傳輸?shù)腅AP消息幀中的關(guān)鍵域，使得攻擊者無法在短時間內(nèi)知道幀類型，這樣就無法在合適的時機(jī)實(shí)施攔截或者偽造。改進(jìn)方案的特點(diǎn)和解決問題如下：

(1) 利用客戶端與認(rèn)證者之間的共享密鑰加密EAP幀的Code域和EAPOL幀的Type域以及Code域，這樣攻擊者無法知道發(fā)送幀的準(zhǔn)確類型，也就無法在合適的時間實(shí)施攻擊，如EAPOL-Start、EAPOL-Logoff、EAP-Success和EAP-Failure等，在攻擊者監(jiān)聽過程中，無法確定幀類型，也就無法知道認(rèn)證進(jìn)程的發(fā)展。如攻擊者希望攔截客戶端認(rèn)證成功消息，由于無法判斷哪一條消息為EAP-Success，那么攻擊也就變得無從下手；

(2) 引入公鑰密碼體制，加入客戶端和認(rèn)證服務(wù)器的公鑰和私鑰，利用公鑰密碼體制的數(shù)字簽名功能加密兩者傳遞消息，從而實(shí)現(xiàn)客戶端與認(rèn)證服務(wù)器之間的雙向認(rèn)證；

(3) 在密鑰體制中加入客戶端與服務(wù)器的共享密鑰，以及客戶端與認(rèn)證者的共享密鑰，利用對稱密鑰體制的認(rèn)證性實(shí)現(xiàn)客戶端與認(rèn)證者之間的雙向認(rèn)證，這樣就解決了原始802.1x/EAP認(rèn)證中客戶端對認(rèn)證者的身份確認(rèn)問題，從而就能夠有效地抵御由于單向認(rèn)證引發(fā)的中間人攻擊。

3.2實(shí)驗(yàn)仿真分析

為了研究并驗(yàn)證該方案的可行性和有效性，本文通過仿真平臺OMNeT++實(shí)現(xiàn)了WLAN環(huán)境下802.11i的仿真過程，并且在該環(huán)境中針對802.1x/EAP認(rèn)證過程的漏洞實(shí)施相應(yīng)攻擊。

首先我們需要建立一個802.11i網(wǎng)絡(luò)仿真平臺，并在其上實(shí)現(xiàn)以下攻擊：(1) 監(jiān)聽認(rèn)證過程，在適當(dāng)時機(jī)攔截EAP-Success數(shù)據(jù)包，使得客戶端連續(xù)多次重新認(rèn)證，造成雙方系統(tǒng)資源消耗；(2) 在客戶端認(rèn)證之后，偽造EAPOL-Logoff或者EAP-Failure消息發(fā)送給認(rèn)證者，使得合法客戶端強(qiáng)制下線或者認(rèn)證失敗，實(shí)現(xiàn)拒絕服務(wù)攻擊[10,11]；(3) 假冒合法客戶端，偽造大量的EAPOL-Start發(fā)送給認(rèn)證者，使得認(rèn)證人數(shù)達(dá)到同時認(rèn)證的上限，以此實(shí)現(xiàn)DoS攻擊；(4) 攻擊者攔截EAP-Success數(shù)據(jù)包，然后偽裝合法認(rèn)證者發(fā)送認(rèn)證成功幀給客戶端，從而在合法認(rèn)證者和客戶端之間竊聽偽造傳遞消息[12]。然后我們在該實(shí)驗(yàn)平臺上改進(jìn)802.1x/EAP認(rèn)證過程，實(shí)現(xiàn)本文提出的基于公鑰密碼體制的認(rèn)證改進(jìn)方案，隨后實(shí)施同樣的攻擊，對比原始方案與改進(jìn)方案中網(wǎng)絡(luò)情況。

實(shí)驗(yàn)中建立的網(wǎng)絡(luò)模型如下：50個工作站平均分布在200×200的區(qū)域內(nèi)，同時擁有一個接入點(diǎn)AP和一個認(rèn)證服務(wù)器Radius，以及一個惡意攻擊工作站。

仿真實(shí)驗(yàn)中我們以攻擊者攻擊次數(shù)作為自變量，考慮成功接入網(wǎng)絡(luò)的STA數(shù)量以及STA認(rèn)證成功率。

圖7為攻擊次數(shù)逐步增加時成功接入的STA數(shù)量。由圖我們可以看出，本文提出方案中接入的STA數(shù)量有顯著增加，當(dāng)攻擊次數(shù)達(dá)到100時，連接STA數(shù)比原協(xié)議要多近15個，同時在攻擊次數(shù)達(dá)到50以上時原協(xié)議STA數(shù)下降加快，而改進(jìn)方案中則一直平穩(wěn)減少，波動不大。

圖7　成功接入網(wǎng)絡(luò)的STA數(shù)量隨攻擊次數(shù)變化情況

圖8為STA認(rèn)證成功率隨攻擊次數(shù)的變化情況，當(dāng)攻擊次數(shù)逐漸增加時STA認(rèn)證成功的概率下降，但改進(jìn)方案要比原協(xié)議成功率平均高約13.1%。

圖8　STA認(rèn)證成功率隨攻擊次數(shù)變化情況

4結(jié)語

本文首先分析了802.1x/EAP的認(rèn)證流程，針對其管理幀和控制幀明文傳輸以及申請者和認(rèn)證者間單向認(rèn)證這兩個問題，提出了基于公鑰密碼體制的802.1x雙向認(rèn)證方案。該方案中我們引入公鑰密碼體制利用申請者和認(rèn)證服務(wù)器的公私鑰實(shí)現(xiàn)兩種雙向認(rèn)證，同時利用認(rèn)證者與申請者和認(rèn)證服務(wù)器之間的對稱密鑰實(shí)現(xiàn)兩兩間雙向認(rèn)證以及對申請者和認(rèn)證者之間傳輸EAP幀中敏感域的加密，使得攻擊者不能通過偵聽獲得當(dāng)前認(rèn)證進(jìn)程，也不能夠冒充合法AP偽造消息破壞認(rèn)證成功，有效防御中間人攻擊和拒絕服務(wù)攻擊。實(shí)驗(yàn)結(jié)果表明，該方案中STA認(rèn)證成功率明顯提高，網(wǎng)絡(luò)成功接入STA數(shù)量增加。

參考文獻(xiàn)

[1] Aboba B,Blunk L,Vollbrecht J,et al.Extensible Authentication Protocol (EAP)[S].RFC 3748.2004-06.

[2] Brown E L.802.1X Port-Based Authentication[M].Auerbach Publications,2007:42-43.

[3] 孔凡錚.IEEE802.1x/EAP-TLS認(rèn)證方式的研究與改進(jìn)[D].河北工程大學(xué),2011.

[4] 李永強(qiáng),汪海航.針對802.1X-EAP安全認(rèn)證協(xié)議的中間人攻擊[J].計(jì)算機(jī)工程,2008,34(22):192-194,197.

[5] 汪定,馬春光,翁臣,等.強(qiáng)健安全網(wǎng)絡(luò)中的中間人攻擊研究[J].計(jì)算機(jī)應(yīng)用,2012,32(1):42-44,65.

[6] 周濤.802.11i中EAP-TLS認(rèn)證分析與應(yīng)用研究[D].中南大學(xué),2013.

[7] 李小山.無線局域網(wǎng)協(xié)議的安全性研究[D].電子科技大學(xué),2012.

[8] Kol Phanna.Security Analysis of IEEE802.11i in Wireless Local Area Network[D].中南大學(xué),2012.

[9] 周超,周城,郭亮.IEEE 802.1X的安全性分析及改進(jìn)[J].計(jì)算機(jī)應(yīng)用,2011,31(5):1265-1270.

[10] 李愛玲,郭建林,韋潛.一種基于802.1x的雙向認(rèn)證方法及其形式語義分析[J].計(jì)算機(jī)應(yīng)用與軟件,2011,28(8):146-148,151.

[11] International Information Technology & Applications Association (IITAA).2011國際信息技術(shù)與應(yīng)用論壇論文集[C].中國廣東廣州,計(jì)算機(jī)科學(xué),2011.

[12] 高峰,禹龍.改進(jìn)的基于IPv6的802.1x認(rèn)證方法[J].新疆大學(xué)學(xué)報(bào):自然科學(xué)版,2013,30(2):207-210.

中圖分類號TP309

文獻(xiàn)標(biāo)識碼A

DOI:10.3969/j.issn.1000-386x.2016.02.067

收稿日期：2014-07-02。國家自然科學(xué)基金重點(diǎn)項(xiàng)目(61262074)；桂林電子科技大學(xué)研究生教育創(chuàng)新計(jì)劃資助項(xiàng)目(GDYCSZ201422)。蔣華，教授，主研領(lǐng)域：數(shù)據(jù)庫系統(tǒng)與信息安全技術(shù)。張樂乾，碩士生。阮玲玲，碩士生。