498)this.style.width=498;" border=0>

圖3 基于802.1X的無線局域網(wǎng)網(wǎng)絡框圖

802.1X使用EAP協(xié)議來完成認證，但EAP本身不是一個認證機制，而是一個通用架構(gòu)用來傳輸實際的認證協(xié)議。EAP的好處就是當一個新的認證協(xié)議發(fā)展出來的時候，基礎的EAP機制不需要隨著改變。目前有超過20種不同的EAP協(xié)議，而各種不同形態(tài)間的差異在于認證機制與密鑰管理的不同。其中比較有名的EAP協(xié)議包括：最基本的EAP-MD5；需要公鑰基礎設施PKI（PublicKeyInfrastructure）的EAP-TTLS，PEAP，EAP-TLS與EAP-LEAP；基于SIM卡的EAP-AKA與EAP-SIM：基于密碼的EAP-SRP和EAP-SPEKE；基于預共享密鑰PSK（PreShared Key）的EAP-SKE，EAP PSK與EAP-FAST。

2.2訪問控制

訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權(quán)的訪問，所謂非授權(quán)訪問包括未經(jīng)授權(quán)的使用、泄露、修改、銷毀以及發(fā)布指令等。用戶通過認證，只是完成了接入無線局域網(wǎng)的第一步，還要獲得授權(quán)，才能開始訪問權(quán)限范圍內(nèi)的網(wǎng)絡資源，授權(quán)主要是通過訪問控制機制來實現(xiàn)。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術(shù)實現(xiàn)對用戶訪問網(wǎng)絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協(xié)議類型、用戶ID、用戶時長等。

2.3加密

加密就是保護信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實體。加密又可細分為兩種類型：數(shù)據(jù)保密業(yè)務和業(yè)務流保密業(yè)務。數(shù)據(jù)保密業(yè)務使得攻擊者想要從某個數(shù)據(jù)項中推出敏感信息是困難的，而業(yè)務量保密業(yè)務使得攻擊者想要通過觀察網(wǎng)絡的業(yè)務流來獲得敏感信息也是十分困難的。

根據(jù)密碼算法所使用的加密密鑰和解密是否相同，由加密過程能否推導出解密過程（或是由解密過程推導出加密過程），可將密碼體制分為單鑰密碼體制（也叫做對稱密碼體制、秘密密鑰密碼體制）和雙鑰密碼體制（也叫做非對稱密碼體制、公開密鑰密碼體制）。

2.3.1單鑰密碼體制

分組密碼是一種常見的單鑰體制。其中有兩種著名的分組密碼：

數(shù)據(jù)加密標準DES（DataEncryptionStandard）：DES的出現(xiàn)引起了學術(shù)界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實現(xiàn)DES算法的產(chǎn)品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

高級加密標準AES（AdvancedEncryptionStandard）：為了克服DES的缺點，美國國家標準和技術(shù)研究所（NIST）開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

2.3.2雙鑰密碼體制

自從雙鑰密碼體制的概念被提出以后，相繼提出了許多雙鑰密碼方案。在不斷的研究和實踐中。有的被攻破了，有的不太實用。目前只有三種類型的雙鑰系統(tǒng)是有效和安全的，即：基于大整數(shù)分解困難性問題的RSA公鑰密碼；基于有限域的乘法群上的離散對數(shù)問題的DSA或E1Gamal加密體制；基于橢圓曲線離散對數(shù)的橢圓曲線密碼體制（CCC）。

2.4數(shù)據(jù)完整性

所謂數(shù)據(jù)完整性，是使接收方能夠確切地判斷所接收到的消息有沒有在傳輸過程中遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務不僅能發(fā)現(xiàn)完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。

2.5不可否認性

不可否認性是防止發(fā)送方或接收方抵賴所傳輸?shù)南⒌囊环N安全服務，也就是說，當接收方接收到一條消息后，能夠提供足夠的證據(jù)向第三方證明這條消息的確來自某個發(fā)送方，而使得發(fā)送方抵賴發(fā)送過這條消息的圖謀失敗。同理，當發(fā)送一條消息時，發(fā)送方也有足夠的證據(jù)證明某個接收方的確已經(jīng)收到這條消息。