498)this.style.width=498;" border=0>

圖3 基于802.1X的無線局域網網絡框圖

802.1X使用EAP協議來完成認證，但EAP本身不是一個認證機制，而是一個通用架構用來傳輸實際的認證協議。EAP的好處就是當一個新的認證協議發展出來的時候，基礎的EAP機制不需要隨著改變。目前有超過20種不同的EAP協議，而各種不同形態間的差異在于認證機制與密鑰管理的不同。其中比較有名的EAP協議包括：最基本的EAP-MD5；需要公鑰基礎設施PKI（PublicKeyInfrastructure）的EAP-TTLS，PEAP，EAP-TLS與EAP-LEAP；基于SIM卡的EAP-AKA與EAP-SIM：基于密碼的EAP-SRP和EAP-SPEKE；基于預共享密鑰PSK（PreShared Key）的EAP-SKE，EAP PSK與EAP-FAST。

2.2訪問控制

訪問控制的目標是防止任何資源（如計算資源、通信資源或信息資源）進行非授權的訪問，所謂非授權訪問包括未經授權的使用、泄露、修改、銷毀以及發布指令等。用戶通過認證，只是完成了接入無線局域網的第一步，還要獲得授權，才能開始訪問權限范圍內的網絡資源，授權主要是通過訪問控制機制來實現。訪問控制也是一種安全機制，它通過訪問BSSID、MAC地址過濾、控制列表ACL等技術實現對用戶訪問網絡資源的限制。訪問控制可以基于下列屬性進行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、協議類型、用戶ID、用戶時長等。

2.3加密

加密就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體。加密又可細分為兩種類型：數據保密業務和業務流保密業務。數據保密業務使得攻擊者想要從某個數據項中推出敏感信息是困難的，而業務量保密業務使得攻擊者想要通過觀察網絡的業務流來獲得敏感信息也是十分困難的。

根據密碼算法所使用的加密密鑰和解密是否相同，由加密過程能否推導出解密過程（或是由解密過程推導出加密過程），可將密碼體制分為單鑰密碼體制（也叫做對稱密碼體制、秘密密鑰密碼體制）和雙鑰密碼體制（也叫做非對稱密碼體制、公開密鑰密碼體制）。

2.3.1單鑰密碼體制

分組密碼是一種常見的單鑰體制。其中有兩種著名的分組密碼：

數據加密標準DES（DataEncryptionStandard）：DES的出現引起了學術界和企業界的廣泛重視，許多廠家很快生產出實現DES算法的產品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

高級加密標準AES（AdvancedEncryptionStandard）：為了克服DES的缺點，美國國家標準和技術研究所（NIST）開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

2.3.2雙鑰密碼體制

自從雙鑰密碼體制的概念被提出以后，相繼提出了許多雙鑰密碼方案。在不斷的研究和實踐中。有的被攻破了，有的不太實用。目前只有三種類型的雙鑰系統是有效和安全的，即：基于大整數分解困難性問題的RSA公鑰密碼；基于有限域的乘法群上的離散對數問題的DSA或E1Gamal加密體制；基于橢圓曲線離散對數的橢圓曲線密碼體制（CCC）。

2.4數據完整性

所謂數據完整性，是使接收方能夠確切地判斷所接收到的消息有沒有在傳輸過程中遭到插入、篡改、重排序等形式的破壞。完善的數據完整性業務不僅能發現完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。

2.5不可否認性

不可否認性是防止發送方或接收方抵賴所傳輸的消息的一種安全服務，也就是說，當接收方接收到一條消息后，能夠提供足夠的證據向第三方證明這條消息的確來自某個發送方，而使得發送方抵賴發送過這條消息的圖謀失敗。同理，當發送一條消息時，發送方也有足夠的證據證明某個接收方的確已經收到這條消息。