王艷君，危曉琴

（福建師范大學(xué) 福清分校生化系，福建 福清 350300）

被孢霉菌株產(chǎn)殼聚糖酶的誘變育種初探

王艷君，危曉琴

（福建師范大學(xué) 福清分校生化系，福建 福清 350300）

本研究以被孢霉菌株（Mortierella alpina）為出發(fā)菌株，分別采用紫外線誘變、亞硝酸鈉誘變及紫外線與亞硝酸鈉的復(fù)合誘變方式對孢子懸浮液進(jìn)行誘變處理.結(jié)果表明，在紫外線處理6min后，酶活性高達(dá)8.657U/mL，比出發(fā)菌株提高2.354倍；在亞硝酸鈉處理8min后，酶活性為6.081U/mL，較之出發(fā)菌株提高1.658倍；在復(fù)合誘變的紫外照射6min和亞硝酸鈉處理8min的情況下，酶活性高達(dá)9.141U/mL，比出發(fā)菌株提高了2.493倍.

被孢霉菌；紫外線誘變；亞硝酸鈉誘變；復(fù)合誘變

殼聚糖酶(chitosanase，EC3.2.1.99)是一種不同于幾丁質(zhì)酶的新酶，這種酶不水解膠態(tài)幾丁質(zhì)，但能夠水解完全脫乙?；臍ぞ厶牵栽撁副徽J(rèn)為是專一性水解殼聚糖的酶[1].殼聚糖酶在工業(yè)上可用于殼寡糖(Chitooligosaccharides，簡稱COSs)的制備，由于COSs較好的水溶性，更利于人體吸收，因而COSs在食品工業(yè)、醫(yī)藥、診斷試劑等方面前景廣闊，特別是聚合度在5、6的COSs具有較強(qiáng)的抗感染、抑制腫瘤的活性及抗菌作用，能對植物病原菌產(chǎn)生拮抗作用，誘導(dǎo)植物產(chǎn)生抗菌物質(zhì)[2,3].但利用化學(xué)合成方法生產(chǎn)COSs不僅產(chǎn)率低且生產(chǎn)成本較高、易污染環(huán)境，而使用專一性的殼聚糖酶降解生產(chǎn)COSs卻有著高效、環(huán)保等優(yōu)勢.從已報(bào)道的微生物產(chǎn)酶能力來看，目前獲得的殼聚糖酶活性較低，純品酶活一般都在5～250U/mg之間[4].目前報(bào)道產(chǎn)酶活力最高的Streptomyces sp.N174的基因工程菌所產(chǎn)的發(fā)酵液粗酶液酶活為36.8U/mL.這也是目前唯一的商品化殼聚糖酶.殼聚糖原料來源廣泛，其降解產(chǎn)物殼寡聚糖的應(yīng)用非常廣泛，有著及其廣闊的應(yīng)用前景[5,6].采用特異性的殼聚糖酶進(jìn)行酶法降解殼聚糖制備殼寡聚糖可以大大降低傳統(tǒng)工藝給環(huán)境帶來的污染.隨著研究的深入，人們對殼聚糖酶的作用方式和特點(diǎn)將會(huì)了解得更加透徹，從而給生產(chǎn)帶來更大的經(jīng)濟(jì)效益.因此為了向醫(yī)藥工業(yè)生產(chǎn)提供更加廉價(jià)、高效的殼聚糖酶，在尋找不同微生物來源的殼聚糖酶，篩選產(chǎn)殼聚糖酶能力更強(qiáng)的菌株成為研究的熱點(diǎn),而誘變育種是篩選菌株最常用的方式之一.本文選用不同的誘變手段對被孢霉菌株產(chǎn)殼聚糖酶進(jìn)行了初步研究.

1 材料與方法

1.1 菌種及培養(yǎng)基

本實(shí)驗(yàn)由福清平潭海邊土壤中篩選得到的產(chǎn)殼聚糖酶菌株，初步鑒定為真菌，經(jīng)26SrDNA鑒定與高山被孢霉的同源性較高，本文命名為M1.

固體誘導(dǎo)培養(yǎng)基：1%的殼聚糖、0.5%（NH4）2SO4、0.2% K2HPO4.3H2O、0.5% NaCl、0.1% Mg-SO4.7H2O、0.1%酵母提取物、2%瓊脂；pH6.5，在121℃滅菌20min.

液體培養(yǎng)基：1%的水溶性殼聚糖、0.13%Mg-SO4.7H2O、0.14% K2HPO4.3H2O、0.03%KH2PO4、0.5%NaCl、0.3%酵母提取物、1.87%(NH4)2SO4、0.1%葡萄糖；調(diào)pH6.5，在121℃滅菌20min.

1.2 實(shí)驗(yàn)方法

1.2.1 紫外線誘變處理

用無菌接種環(huán)挑取M1菌株少許于已滅菌的液體培養(yǎng)基中，放入搖床150r/min，28~30℃培養(yǎng)72h，取適量菌液于離心管中，在4000r/min下離心10min，取上清液，在相同條件下再離心一次，取上清液.用無菌水將孢子懸液稀釋到107~108個(gè)/mL，即制成孢子懸液.取5mL孢子懸液置于培養(yǎng)皿內(nèi)，放在電磁攪拌器上，紫外燈照射距離為30cm，功率為15W，照射時(shí)間分別為：0、1.0、1.5、2.0、2.5、3.0、3.5、4.0、4.5min（每個(gè)時(shí)間設(shè)定3次重復(fù)），再將誘變后的孢子懸液稀釋到1.0×10-5個(gè)/mL后，取0.1mL涂平板，28℃避光培養(yǎng)72h，計(jì)算致死率和正突變率，并挑透明圈大的菌落進(jìn)行搖瓶培養(yǎng)，測菌

株產(chǎn)殼聚糖酶活力[7].

1.2.2 亞硝酸鈉誘變處理

制孢子懸浮液方法同上.吸取1mL 0.1mol/L NaNO2溶液于無菌250mL帶塞三角瓶中，加入8mL單孢子懸浮液，最后加入lmL pH4.5的1mol/L乙酸緩沖溶液并充分混合，置28℃恒溫水浴，保溫0、1、2、3、4、5、6、7、8、9、10min后加入pH7.0磷酸緩沖液，再將誘變后的孢子懸液稀釋到1.0×10-5個(gè)/mL后，吸取0.1 mL，涂平板，28℃避光培養(yǎng)72h，計(jì)算致死率和正突變率，并挑透明圈大的菌落進(jìn)行搖瓶培養(yǎng)，測其酶活.

1.2.3 紫外照射和亞硝酸鈉復(fù)合誘變處理

取1mL孢子懸液按1.2.2亞硝酸鈉誘變處理后，按1.2.1紫外照射處理，再將誘變后的孢子懸液稀釋到1.0×10-5個(gè)/mL后，吸取0.1mL，涂平板，28℃避光培養(yǎng)72h，計(jì)算致死率和正突變率，并挑透明圈大的菌落進(jìn)行搖瓶培養(yǎng)，測其酶活.

酶活性的測定采用DNS法，取0.1mL酶液、0.9mL 1%的殼聚糖溶液和1mL pH值5.6的醋酸緩沖溶液，50℃下保溫15min，加入1.5mL DNS終止酶促反應(yīng)，沸水浴顯色5min，冷卻后定容至25mL，6000r/min離心10min，取上清液測520nm處的OD值.同法處理煮沸滅活的酶液作為對照，根據(jù)氨基葡萄糖標(biāo)準(zhǔn)曲線求出反應(yīng)液中的還原糖含量，換算殼聚糖酶的活力.酶活定義為：每分鐘產(chǎn)生1μmol還原糖所需的酶量為一個(gè)殼聚糖酶活力單位(U).

2 結(jié)果與分析

2.1 紫外線誘變對M1菌株酶活性的影響

紫外線照射對被孢霉菌株M1均有致死作用，結(jié)果如圖1所示，致死率與作用時(shí)間成正比，即隨著時(shí)間增長，致死率增大.照射1min時(shí)，致死率為4%；照射8min時(shí)，其致死率高達(dá)94.66%.紫外誘變后菌株的酶活性先升后降，結(jié)果如圖2所示，當(dāng)紫外照射6min時(shí)，其活性為8.657U/mL，為處理組中最高，比出發(fā)菌株提高2.354倍，而其致死率為86.66%，因此，確定紫外線誘變處理的最佳時(shí)間確定為6min.

圖2 紫外誘變后菌株的酶活性比較

2.2 亞硝酸鈉誘變對M1菌株的影響

亞硝酸鈉處理對被孢霉菌株M1均有致死作用，結(jié)果如圖3所示，致死率與作用時(shí)間成正比，即隨時(shí)間增長，致死率增大.當(dāng)恒溫水浴的時(shí)間為1min時(shí)，致死率為6.41%；恒溫水浴的時(shí)間為10min時(shí)，其致死率高達(dá)90.91%.酶活性先升后降（圖4），當(dāng)恒溫水浴的時(shí)間為8min時(shí)，其酶活性為6.081U，為處理組中最高，比出發(fā)菌株提高1.658倍，而其致死率為76.71%，因此將亞硝酸鈉誘變的最佳時(shí)間確定為8min.

圖4 亞硝酸鈉誘變處理后菌株酶活性的比較

2.3 復(fù)合誘變對被孢霉菌株M1的影響

紫外線照射和亞硝酸鈉處理的最優(yōu)時(shí)間分別為確定為6min和8min，故按照表1的處理時(shí)間，進(jìn)行復(fù)合誘變處理.根據(jù)所得數(shù)據(jù)繪制出紫外照射時(shí)間與致死率、酶活性的關(guān)系曲線分別見圖5、圖6.

由圖5可知，復(fù)合誘變處理對被孢霉菌株M1均有不同程度的致死作用，致死率與作用時(shí)間成正比，即隨時(shí)間延長，致死率增大；且致死的強(qiáng)度更大.當(dāng)紫外照射時(shí)間3min、亞硝酸鈉恒溫水浴5min時(shí)，其致死率已達(dá)到39.68%；當(dāng)紫外照射時(shí)間8min、亞硝酸鈉恒溫水浴10min時(shí)，其致死率達(dá)到39.68%；當(dāng)恒溫水浴的時(shí)間為1min時(shí)，致死率為6.41%；而當(dāng)恒溫水浴的時(shí)間為10min時(shí)，其致死率高達(dá)94.66%.酶活性的變化趨勢是先升后降，結(jié)果如圖6所示，當(dāng)紫外照射時(shí)間6min、亞硝酸鈉恒溫水浴8min時(shí)，其酶活性為9.141U，為處理組中最高，其致死率為774.60%，相比單純紫外照射6min的誘變結(jié)果，酶活性提高了1.020倍；相比亞硝酸鈉恒溫水浴處理8min的誘變結(jié)果，酶活性提高了1.503倍，相比出發(fā)菌株，酶活提高了2.493倍.

表1 復(fù)合誘變處理組實(shí)驗(yàn)設(shè)計(jì)

圖5 復(fù)合誘變處理后M1菌株的致死率比較

圖6 復(fù)合誘變后菌株的酶活性比較

3 討論

微生物與釀造工業(yè)、食品工業(yè)、生物制品工業(yè)等的關(guān)系密切，其菌株的優(yōu)良與否直接關(guān)系到多種工業(yè)產(chǎn)品的好壞，甚至影響人們的日常生活質(zhì)量，所以培育優(yōu)質(zhì)、高產(chǎn)的微生物菌株具有重要的現(xiàn)實(shí)意義.微生物育種的主要目的是人為地使某些代謝產(chǎn)物過量積累，獲得所需要的高產(chǎn)、優(yōu)質(zhì)和低耗的菌種.誘變育種是獲得優(yōu)良菌株的較好方法，獲得的正突變率相對較高，可以得到多種優(yōu)良突變體和新的基因型.從本研究的結(jié)果分析，紫外照射誘變操作簡單、成本低廉，且出現(xiàn)正突變的幾率較高，誘變菌株的致死率和酶活性的效果較明顯；而亞硝酸鈉誘變育種的效果相對于紫外線誘變育種而言并沒有明顯的優(yōu)勢；復(fù)合誘變效果最為明顯.梁亮[8]等以1株谷氨酸棒桿菌（Corynebacterium glutamicum）S6為出發(fā)菌株，利用紫外線（UV）、亞硝酸鈉（NaNO2）、紫外線與亞硝酸鈉復(fù)合誘變，并經(jīng)過6-巰基嘌呤結(jié)構(gòu)類似物的抗性平板篩選，最終篩得3株突變菌株，Y1產(chǎn)量達(dá)到331mg/L,比出發(fā)菌株S6高了5.08%，Z1產(chǎn)L-組氨酸量達(dá)到325mg/L，比出發(fā)菌株S6高了1.9%，F(xiàn)6產(chǎn)量達(dá)到330mg/L，比出發(fā)菌株S6高了7.14%.其研究結(jié)果顯示，經(jīng)紫外線與亞硝酸鈉復(fù)合誘變后的菌株F6產(chǎn)L-組氨酸的產(chǎn)量最高，比亞硝酸鈉誘變后的菌株產(chǎn)L-組氨酸量提高2.06%，比紫外線誘變后的菌株產(chǎn)L-組氨酸量提高5.24%.劉春芬[9]等研究表明：紫外線、亞硝酸鈉誘變因子對綠色木霉13010菌體細(xì)胞的致死作用表現(xiàn)出相似的趨勢，在一定范圍內(nèi)都與誘變劑量呈線性正相關(guān).在協(xié)同誘變條件下，多輪反復(fù)誘變綠色木霉13010后，菌株的酶活力有大幅提高，最終篩選得到了產(chǎn)纖維素酶活力單位提高了70.63%.本實(shí)驗(yàn)將物理因子和化學(xué)因子結(jié)合起來進(jìn)行復(fù)合誘變，得到了理想的突變菌株.此外，我們正在嘗試反復(fù)采用幾種誘變因子進(jìn)行多次誘變，以期得到更為理想的基因工程菌.

〔1〕吳曉宗，王歲樓，郝莉花.殼聚糖酶的分類及其功能應(yīng)用現(xiàn)狀[J].食品工業(yè)科技,2005(8):189-192.

〔2〕王揚(yáng)，婁永江，楊文鴿.酶法制備幾丁寡糖和殼聚糖研究現(xiàn)狀與進(jìn)展[J].東海海洋,2001(4):40-44.

〔3〕YOL J J,SHANID I F,KIM S K.Preparation of chitin and chitosan chitooingosacchrides and their applications in physiological functional foods[J].Food Reviews International,2000(2): 159-176.

〔4〕聶明，魏新林，萬佳蓉，等.土壤中選育產(chǎn)殼聚糖酶菌株的研究[J].生物技術(shù),2005(5):16-18.

〔5〕逄玉娟，韓寶芹，劉萬順，等.高產(chǎn)殼聚搪酶菌株的篩選和發(fā)酵產(chǎn)酶條件研究[J].中國海洋大學(xué)學(xué)報(bào),2005(2):287-292.

〔6〕陳小娥，夏文水，余曉斌.殼聚糖酶高產(chǎn)菌株選育及發(fā)酵條件研究[J].食品與發(fā)酵工業(yè),2004(3): 66-69.

〔7〕章名春.工業(yè)微生物誘變育種[M].北京：科學(xué)出版社，1984.85.

〔8〕梁亮，邱雁臨，許進(jìn)濤.紫外線與亞硝酸鈉復(fù)合誘變選育L-組氨酸產(chǎn)生菌[J].微生物學(xué)雜志，2008(28):27-29.

〔9〕劉春芬，賀稚非.纖維素酶高產(chǎn)菌株的誘變選育[J].中國釀造，2008(182):29-33.Vol.28No.7 Jul.2012

赤峰學(xué)院學(xué)報(bào)（自然科學(xué)版）

JournalofChifengUniversity（NaturalScienceEdition）

第28卷 第7期（上）2012年7月

1 引言

隨著計(jì)算機(jī)技術(shù)和通信技術(shù)的不斷發(fā)展，無線局域網(wǎng)（WLAN）也得到了廣泛的應(yīng)用.WLAN具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約和易于擴(kuò)展等特點(diǎn)，在高速數(shù)據(jù)傳輸及網(wǎng)絡(luò)智能化等領(lǐng)域得到了充分發(fā)展.與此同時(shí)，用戶對WLAN的各種性能，尤其是安全性能也提出了更高的要求.

隨著WLAN的快速發(fā)展，認(rèn)證在無線安全中的位置顯得越來越重要.認(rèn)證可以防止非法用戶冒用合法用戶從而竊取或篡改用戶的數(shù)據(jù)，它提供了對通信雙方身份的保護(hù).在WLAN中，由于移動(dòng)終端在物理上與Internet的連接十分方便，因此安全認(rèn)證技術(shù)必須能有效地鑒別用戶身份，以保護(hù)合法用戶的權(quán)益.

目前在WLAN中，主要是采用802.1x/EAP的集中式處理方式來解決WLAN接入的安全認(rèn)證問題.

2 IEEE802.lx

IEEE802.lx（端口訪問控制）

IEEE802.1x是“基于端口的網(wǎng)絡(luò)訪問控制”標(biāo)準(zhǔn)，主要是對網(wǎng)絡(luò)提供接入控制.802.lx的認(rèn)證模型包含三個(gè)實(shí)體，客戶端、認(rèn)證系統(tǒng)（集線器或AP）和認(rèn)證服務(wù)器（RADIUS或其它服務(wù)器），下圖中給出了802.lx的體系結(jié)構(gòu).在該體系結(jié)構(gòu)中，802.1x通過定義虛擬端口對用戶控制數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)分別進(jìn)行過濾控制，它首先在認(rèn)證系統(tǒng)中定義了“受控”和“非受控”兩個(gè)邏輯端口.用戶接入網(wǎng)絡(luò)后，認(rèn)證系統(tǒng)允許用戶的控制類型報(bào)文從非受控端口通過，但在受控端口阻塞業(yè)務(wù)數(shù)據(jù).只有認(rèn)證服務(wù)器驗(yàn)證用戶身份并授權(quán)接入后，認(rèn)證者才允許用戶業(yè)務(wù)數(shù)據(jù)從受控端口通過.

3 EAP協(xié)議分析

3.1 EAP（ExtensibleAuthenticationProtocol，可擴(kuò)展認(rèn)證協(xié)議）

IEEE802.11i采用802.1x端口來控制用戶接入，但需要充分利用上層EAP認(rèn)證協(xié)議來配合完成認(rèn)證.由于用戶的無線網(wǎng)卡是可能經(jīng)常變化的，單單依靠二層安全機(jī)制并不能滿足系統(tǒng)的一些安全要求，比如二層基于設(shè)備地址的認(rèn)證方式無法認(rèn)證用戶，因此需要在IEEE802.11i中引入上層認(rèn)證機(jī)制.

EAP是整個(gè)802.1x體系的核心，EAP既保證基本功能的實(shí)現(xiàn)，又能根據(jù)不同的認(rèn)證方法進(jìn)行擴(kuò)展.在802.lx中，認(rèn)證系統(tǒng)主要是對認(rèn)證信息起傳遞作用，并把認(rèn)證服務(wù)器認(rèn)證的結(jié)果作用到端口，其本身并不參與具體的認(rèn)證過程，因此認(rèn)證系統(tǒng)只需要知道EAP的報(bào)文類型和轉(zhuǎn)換的方法，而不必知道客戶端和認(rèn)證服務(wù)器所使用的具體的EAP方法. 3.2EAP協(xié)議認(rèn)證過程

（1）認(rèn)證者在同服務(wù)器建立聯(lián)系后發(fā)送一個(gè)或多個(gè)請求（Request）數(shù)據(jù)包對對方進(jìn)行認(rèn)證，該數(shù)據(jù)包中有一個(gè)類型域表明請求的類型；

（2）對方發(fā)送一個(gè)響應(yīng)（Response）數(shù)據(jù)包對每一個(gè)請求做出應(yīng)答.響應(yīng)包中的類型域與請求包中類型域?qū)?yīng)；

（3）認(rèn)證者發(fā)送一個(gè)成功或失敗數(shù)據(jù)包結(jié)束認(rèn)證階段. 3.3EAP認(rèn)證協(xié)議的分析與比較

EAP協(xié)議最初是針對點(diǎn)對點(diǎn)協(xié)議(PPP)設(shè)計(jì)的，其最大的特點(diǎn)就是可擴(kuò)展，即可以在EAP最初定義的認(rèn)證類型以外設(shè)計(jì)新的認(rèn)證類型.EAP最初定義的認(rèn)證協(xié)議主要有EAP-MD5、令牌(token)與一次口令(OTP)三種.現(xiàn)在在IETF標(biāo)準(zhǔn)中己經(jīng)有多達(dá)幾十種EAP認(rèn)證協(xié)議，包括EAP-TLS、EAP-TTLS、EAP-LEAP、EAP-FAST、PEAP、EAP-PSK、

EAP-SIM、EAP-CDMA2000、EAP-IKE等.其中有一些處于

802.1 x/EAP認(rèn)證方法的研究與分析

陳曉峰

（福建江夏學(xué)院 電子信息科學(xué)系，福建 福州 350108）

摘 要：認(rèn)證在無線網(wǎng)絡(luò)安全中占據(jù)著重要的位置，本文首先介紹了網(wǎng)絡(luò)端口訪問控制標(biāo)準(zhǔn)IEEE802.1x用戶認(rèn)證協(xié)議，在此基礎(chǔ)上分析了基于EAP的無線網(wǎng)絡(luò)安全認(rèn)證方法，最后對幾種主要的認(rèn)證方法進(jìn)行了詳細(xì)的分析比較.

關(guān)鍵詞：無線局域網(wǎng)(WLAN)；802.1x；可擴(kuò)展認(rèn)證協(xié)議(EAP)；認(rèn)證方法

20

--草案階段，并且不斷有人提出新的EAP協(xié)議草案.因此，EAP協(xié)議只是提供了認(rèn)證框架，實(shí)質(zhì)的認(rèn)證過程則取決于框架內(nèi)采取的認(rèn)證類型.本文就對幾種典型的認(rèn)證協(xié)議做一下分析和比較.

3.3.1 EAP-MD5（消息摘要認(rèn)證協(xié)議）

它是一種EAP支持的最基本的認(rèn)證方法，通過RADIUS服務(wù)器提供簡單的集中式用戶認(rèn)證.在這種認(rèn)證方式下，服務(wù)器不需要證書或者其它安裝在無線工作站中的安全信息，用戶登錄時(shí)，只需檢查用戶名和口令，若和認(rèn)證數(shù)據(jù)庫中的認(rèn)證信息相匹配，就通知無線訪問點(diǎn)允許該客戶端接入網(wǎng)絡(luò).EAP-MD5基于一次握手散列函數(shù)，由于只提供認(rèn)證，為了安全起見，與WEP/WEP2組合使用，采用40/128 bit共享密鑰實(shí)現(xiàn)加密.EAP-MD5應(yīng)用起來非常簡單，但其屬于單向認(rèn)證，只能保證客戶端到服務(wù)器的認(rèn)證，不保證服務(wù)器到客戶端的認(rèn)證，并且非常重要的一點(diǎn)是，它沒有提供方法來根據(jù)每個(gè)會(huì)話動(dòng)態(tài)派生WEP密鑰，其安全性還有待于進(jìn)一步提高.

3.3.2 EAP-TLS（傳輸層安全協(xié)議）

EAP-TLS是目前采用比較多的一種認(rèn)證協(xié)議，它可以進(jìn)行無線客戶端和服務(wù)器之間的相互認(rèn)證，但需要客戶端和服務(wù)器都必須擁有有效的證書.EAP-TLS在其上層采用TLS(TransportLayerSecurity)的認(rèn)證方法，TLS協(xié)議共分兩部分：握手協(xié)議(HandshakeProtocol)和記錄協(xié)議(Record Protocol).其中握手協(xié)議在客戶機(jī)和服務(wù)器之間進(jìn)行保密通信前先確定密鑰、加密認(rèn)證算法等安全參數(shù)，其中大部分工作是在通信雙方間安全地協(xié)商出一份密鑰；記錄協(xié)議則定義了傳輸?shù)母袷?TLS握手協(xié)議決定了整個(gè)EAP-TLS的安全性，它不僅可以有效地抵抗竊聽的被動(dòng)攻擊，還可以抵抗身份欺騙、中間人、會(huì)話劫持、重放、報(bào)文篡改等主動(dòng)攻擊. EAP-TLS在建立連接時(shí)首先為客戶端和服務(wù)器之間的數(shù)據(jù)交換分配會(huì)話ID，并選擇合適的完整性保護(hù)加密方法以及分配動(dòng)態(tài)會(huì)話密鑰，該協(xié)議可以在最大限度上保證認(rèn)證過程的安全性.TLS協(xié)商完成后，認(rèn)證雙方就可以通過加密的TLS隧道進(jìn)行通信.

EAP-TLS認(rèn)證方式采用了在有線網(wǎng)絡(luò)中大量使用的RADIUS協(xié)議，RADIUS協(xié)議具有安全、穩(wěn)定、易于實(shí)現(xiàn)的優(yōu)點(diǎn)，并且可以集成在多種操作系統(tǒng)中，因此企業(yè)中使用的認(rèn)證服務(wù)器大多采用RADIUS協(xié)議作為認(rèn)證協(xié)議，對接入企業(yè)中的終端進(jìn)行安全認(rèn)證.

EAP-TLS主要有兩個(gè)功能，即認(rèn)證和動(dòng)態(tài)會(huì)話鑰匙分發(fā)，因此服務(wù)器必須具備EAP-TLS認(rèn)證和認(rèn)證證書的管理能力.當(dāng)通信雙向通過認(rèn)證后，服務(wù)器向客戶端發(fā)送EAP-Success消息，提示客戶端可以收發(fā)數(shù)據(jù)流，同時(shí)這個(gè)消息觸發(fā)了對數(shù)據(jù)流的加密，而在加密密鑰建立之前，客戶端是不發(fā)送數(shù)據(jù)的.

EAP-TLS的一個(gè)主要缺點(diǎn)是，必須同時(shí)在客戶端和服務(wù)器端管理證書.對于一些比較大的WLAN，管理員需要在證書管理工作上花費(fèi)更多精力.

3.3.3 EAP-TTLS（隧道傳輸層安全協(xié)議）

EAP-TTLS是由FunkSoftware和Certicom公司開發(fā)的，是EAP-TLS的一種擴(kuò)展，與EAP-TLS類似，它也是一種基于證書的認(rèn)證方法，不同的是，EAP-TTLS只需要提供服務(wù)器端的證書.EAP-TTLS主要是通過加密的通道對客戶端和服務(wù)器進(jìn)行相互驗(yàn)證，并根據(jù)每個(gè)用戶、每個(gè)會(huì)話動(dòng)態(tài)生成WEP密鑰.

3.3.4 EAP-LEAP（輕量級可擴(kuò)展驗(yàn)證協(xié)議）

EAP-LEAP是一種主要用于CiscoAironetWLAN中的EAP認(rèn)證方式.但現(xiàn)在Cisco已將LEAP開放給其它各種制造商，允許在非Cisco設(shè)備上使用LEAP.EAP-LEAP主要使用動(dòng)態(tài)生成的WEP密鑰對數(shù)據(jù)傳輸進(jìn)行加密，并支持相互驗(yàn)證.目前LEAP主要是基于MS-CHAP1.0實(shí)現(xiàn)對客戶和服務(wù)器端的相互認(rèn)證，但是MS-CHAP的缺點(diǎn)在于容易受到字典攻擊，因此安全性不高.

3.3.5 EAP-PEAP（受保護(hù)的可擴(kuò)展驗(yàn)證協(xié)議）

EAP-PEAP是由Cisco，Microsoft和RSASecurity公司共同開發(fā)的基于安全密碼的一種認(rèn)證協(xié)議，它的身份認(rèn)證功能比較簡單而又安全.EAP-PEAP通過使用隧道傳輸來實(shí)現(xiàn)客戶端和認(rèn)證服務(wù)器之間的認(rèn)證.與EAP-TLS類似，PEAP也使用服務(wù)器端的證書來驗(yàn)證無線客戶端，不同的是EAP-TLS認(rèn)證需要客戶端提供證書，而PEAP對客戶端的證書是可選的.

PEAP同Windows操作系統(tǒng)具有很好的兼容性，并且可以通過Windows組策略對其進(jìn)行管理，因此PEAP在部署時(shí)相對比較簡單.

3.3.6 EAP-FAST（通過安全隧道靈活驗(yàn)證的EAP方式）

EAP-FAST(flexibleauthenticationviasecuretunneling EAPmethod)是由Cisco開發(fā)的一種兼具PEAP和LEAP優(yōu)點(diǎn)的認(rèn)證方法.EAP-FAST是對LEAP的改進(jìn).它解決了LEAP容易受到字典攻擊的安全漏洞.EAP-FAST協(xié)議包括兩個(gè)階段：

a)建立TLS通道，該通道由基于稱為PAC(protected authenticationcredential,受保護(hù)的接入證書)的預(yù)共享密鑰建立，PAC有一定的有效期，EAP-FAST協(xié)議在PAC有效期結(jié)束時(shí)對其進(jìn)行更新；

b)通過一系列按照TLV（類型/長度/值）編碼的數(shù)據(jù)進(jìn)行用戶認(rèn)證.

3.3.7 EAP-PSK（預(yù)共享密鑰）

EAP-PSK它是一種采用預(yù)共享密鑰的EAP認(rèn)證方式.該認(rèn)證方式具有簡單、通用性、可擴(kuò)展性等特點(diǎn)，可以在各種網(wǎng)絡(luò)系統(tǒng)中使用，尤其是在無線網(wǎng)絡(luò)中.EAP-PSK是一種輕量級協(xié)議，尤其適合于具有有限處理能力和內(nèi)存的設(shè)備，因此非常適合于WLAN.EAP-PSK協(xié)議主要包括三部分：

a)認(rèn)證密鑰(authenticationkey,AK)和密鑰推演密鑰(key derivationkey,KDK).由預(yù)共享密鑰作為AES-128模塊的輸入產(chǎn)生.AES-128是EAP-PSK使用的一種單一的加密原語，是一種對稱加密協(xié)議；

b)認(rèn)證密鑰交換協(xié)議.基于認(rèn)證密鑰對參與認(rèn)證的實(shí)體進(jìn)行認(rèn)證；

c)受保護(hù)的通道協(xié)議.通過認(rèn)證后的實(shí)體在此通道基礎(chǔ)上進(jìn)行會(huì)話，會(huì)話密鑰根據(jù)KDK產(chǎn)生.

21

--3.3.8EAP_SIM（基于用戶身份識別模塊）

EAP-SIM(subscriberidentitymodule,SIM)認(rèn)證協(xié)議是由IETF制定的.它是一種可以把WLAN與現(xiàn)有移動(dòng)運(yùn)營網(wǎng)絡(luò)結(jié)合起來的一項(xiàng)認(rèn)證技術(shù)，它可以很好的實(shí)現(xiàn)GSM網(wǎng)絡(luò)和WLAN的捆綁，用戶只要采用有SIM卡讀卡器的WLAN網(wǎng)卡運(yùn)行增強(qiáng)的GSM認(rèn)證算法就可以獲得網(wǎng)絡(luò)接入認(rèn)證. EAP_SIM認(rèn)證最主要的優(yōu)點(diǎn)是可以通過手機(jī)SIM卡中的信息對用戶進(jìn)行認(rèn)證，并實(shí)現(xiàn)計(jì)費(fèi)，這樣就利用了現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)，使WLAN與現(xiàn)有的移動(dòng)網(wǎng)絡(luò)有效的結(jié)合起來.

EAP-SIM用于認(rèn)證的關(guān)鍵數(shù)據(jù)載體以及獲得來源和其他認(rèn)證方式有很大的不同，其優(yōu)勢在于它是一種統(tǒng)一的、更為安全的認(rèn)證方式.它在SIM卡上集成了所有的用戶信息和部分原始鑒權(quán)數(shù)據(jù)、算法，同時(shí)也把這些數(shù)據(jù)存于HR/AUC (本地位置寄存器/認(rèn)證中心)上，這就避免了在介質(zhì)中傳輸，更能抵御攻擊.此外它還可以充分利用已有的GSM網(wǎng)絡(luò)和數(shù)據(jù)庫資源.

表1給出了這幾種認(rèn)證協(xié)議在一些安全特性上的比較結(jié)果.

認(rèn)證方式 MD5 TLS TTLS PEAP LEAP PSK SIM

服務(wù)器認(rèn)證 否 證書 證書 是 是 Psk Gprs/Gsm客戶端認(rèn)證 口令 證書 口令或證書 證書（可選） 口令 Psk Sim卡雙向認(rèn)證 否 是 是 是 是 是 是

認(rèn)證方式 質(zhì)詢/響應(yīng)認(rèn)證建立TLS會(huì)話，雙向認(rèn)

證服務(wù)器使用證書，客戶端在加密隧道內(nèi)

完成認(rèn)證

類似于TLS基于MS-CHAP和MS-CHAPv2認(rèn)證

協(xié)議

驗(yàn)證Psk 使用Sim卡

密鑰管理 否 是 是 是 是 是 否配置難度 容易 困難 一般 一般 一般 容易 容易安全性 差 高 一般 一般 一般 一般 高

表180211x/EAP的認(rèn)證協(xié)議比較4 結(jié)束語

IEEE802.lx是一種隨著WLAN的快速發(fā)展而被廣泛應(yīng)用的認(rèn)證技術(shù).EAP協(xié)議是IEEE802.1x協(xié)議的核心和具體認(rèn)證方式，相比于傳統(tǒng)的認(rèn)證方法，EAP協(xié)議支持更多、更靈活、更廣泛的認(rèn)證機(jī)制.認(rèn)證者可向請求者詢問更多的認(rèn)證信息，并依此來協(xié)商選用何種認(rèn)證機(jī)制.本文主要對幾種典型的EAP認(rèn)證協(xié)議進(jìn)行了詳細(xì)的說明，并分析比較了它們的一些優(yōu)缺點(diǎn).下一步應(yīng)綜合各種EAP認(rèn)證協(xié)議的優(yōu)缺點(diǎn)，改進(jìn)EAP認(rèn)證協(xié)議，使之更符合我國的無線網(wǎng)絡(luò)環(huán)境.——————————

參考文獻(xiàn)：

〔1〕王麗霞.基于802.1x_EAP的WLAN安全認(rèn)證分析與應(yīng)用研究[J].氣象科技，2010，38（3）：347-351.

〔2〕賈立波，陳利學(xué)，等.802.1x/PEAP認(rèn)證方法的研究和應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（5）：80-85.

〔3〕楊新宇,陽玉儉,徐慶飛.Wireless-LAN安全及認(rèn)證方法的研究與分析[J].計(jì)算機(jī)應(yīng)用研究，2008，25（10）：2890-2892.

〔4〕基于802_1x認(rèn)證與WEP結(jié)合使用提高WLAN安全性[J].計(jì)算機(jī)工程于應(yīng)用，2006（1）：147-149.

〔5〕馬建峰，朱建明，等.無線局域網(wǎng)安全——方法與技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005.

〔6〕EDNEYJ,ARBAUGHWA.無線局域網(wǎng)安全務(wù)實(shí)——WPA與802.11i[M].北京：人民郵電出版社,2006.

〔7〕秦劉，智英建，賀磊.802.lx協(xié)議研究及其安全性分析[J].計(jì)算機(jī)工程，2007(7)：153-157.

〔8〕王璐.EAP協(xié)議及其應(yīng)用[J].通信技術(shù)，2007(14)：30-32.

〔9〕BERSAIF,TSCHOFENIG H.RFC 4764,The EAP-PSKprotocol:apre-sharedkeyextensibleauthenticationprotocol(EAP)method[S].2007.

〔10〕CAM-WINGETN,MCGREWD,SALOWEYJ,et al.RFC 4851,Theflexibleauthentication viasecure tunnelingextensibleauthenticationprotocolmethod( EAP-FAST)[S].2007.

〔11〕PALEKEEA,SIMOND,JOSEFSSONS,etal.ProtectedEAPprotocol(PEAP)[S].2004.

〔12〕Cisco Systems.Lightweightextensible authentication protocol(LEAP)[S].

〔13〕FUNKP,BLAKE-WILSONS.EAPtunneledTLS authenticationprotocol(EAP-TTLS)[S].2004.

22

Q 933

A 文章編號：1673-260X（2012）07-0012-03

A

1673-260X（2012）07-0020-03

福建江夏學(xué)院院級科研項(xiàng)目（2011B002）

基金項(xiàng)目：福建省自然科學(xué)基金項(xiàng)目（2010J05056）；福建省教育廳科技項(xiàng)目（JB10201）