498)this.style.width=498;" border=0>

图3 基于802.1X的无线局域网网络框图

802.1X使用EAP协议来完成认证，但EAP本身不是一个认证机制，而是一个通用架构用来传输实际的认证协议。EAP的好处就是当一个新的认证协议发展出来的时候，基础的EAP机制不需要随着改变。目前有超过20种不同的EAP协议，而各种不同形态间的差异在于认证机制与密钥管理的不同。其中比较有名的EAP协议包括：最基本的EAP-MD5；需要公钥基础设施PKI（PublicKeyInfrastructure）的EAP-TTLS，PEAP，EAP-TLS与EAP-LEAP；基于SIM卡的EAP-AKA与EAP-SIM：基于密码的EAP-SRP和EAP-SPEKE；基于预共享密钥PSK（PreShared Key）的EAP-SKE，EAP PSK与EAP-FAST。

2.2访问控制

访问控制的目标是防止任何资源（如计算资源、通信资源或信息资源）进行非授权的访问，所谓非授权访问包括未经授权的使用、泄露、修改、销毁以及发布指令等。用户通过认证，只是完成了接入无线局域网的第一步，还要获得授权，才能开始访问权限范围内的网络资源，授权主要是通过访问控制机制来实现。访问控制也是一种安全机制，它通过访问BSSID、MAC地址过滤、控制列表ACL等技术实现对用户访问网络资源的限制。访问控制可以基于下列属性进行：源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口、目的端口、协议类型、用户ID、用户时长等。

2.3加密

加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。加密又可细分为两种类型：数据保密业务和业务流保密业务。数据保密业务使得攻击者想要从某个数据项中推出敏感信息是困难的，而业务量保密业务使得攻击者想要通过观察网络的业务流来获得敏感信息也是十分困难的。

根据密码算法所使用的加密密钥和解密是否相同，由加密过程能否推导出解密过程（或是由解密过程推导出加密过程），可将密码体制分为单钥密码体制（也叫做对称密码体制、秘密密钥密码体制）和双钥密码体制（也叫做非对称密码体制、公开密钥密码体制）。

2.3.1单钥密码体制

分组密码是一种常见的单钥体制。其中有两种著名的分组密码：

数据加密标准DES（DataEncryptionStandard）：DES的出现引起了学术界和企业界的广泛重视，许多厂家很快生产出实现DES算法的产品，但其最大的缺点在于DES的密钥太短，不能抵抗无穷搜索密钥攻击。

高级加密标准AES（AdvancedEncryptionStandard）：为了克服DES的缺点，美国国家标准和技术研究所（NIST）开始寻求高强度、高效率的替代算法，并于1997年推出AES标准。

2.3.2双钥密码体制

自从双钥密码体制的概念被提出以后，相继提出了许多双钥密码方案。在不断的研究和实践中。有的被攻破了，有的不太实用。目前只有三种类型的双钥系统是有效和安全的，即：基于大整数分解困难性问题的RSA公钥密码；基于有限域的乘法群上的离散对数问题的DSA或E1Gamal加密体制；基于椭圆曲线离散对数的椭圆曲线密码体制（CCC）。

2.4数据完整性

所谓数据完整性，是使接收方能够确切地判断所接收到的消息有没有在传输过程中遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏，还能采取某种措施从完整性中恢复出来。

2.5不可否认性

不可否认性是防止发送方或接收方抵赖所传输的消息的一种安全服务，也就是说，当接收方接收到一条消息后，能够提供足够的证据向第三方证明这条消息的确来自某个发送方，而使得发送方抵赖发送过这条消息的图谋失败。同理，当发送一条消息时，发送方也有足够的证据证明某个接收方的确已经收到这条消息。