WLAN完全技术研究与应用文.docx

常州信息职业技术学院吧 毕业设计报告常州信息职业技术学院学生毕业设计（论文）报告系 别： 网络与通信工程学院 院专 业：通信网络与设备班 号：通网132学 生 姓 名：邓金龙学 生 学 号：1308153202设计（论文）题目：WLAN安全技术研究及应用 指 导 教 师： 张卫东 设 计 地 点： 常州信息职业技术学院 起 迄 日 期： 2015.6.15-2015.10.31 网络121 毕业设计（论文）任务书专业 通信网络与设备 班级 通网132 姓名 邓金龙 一、课题名称： WLAN安全技术研究及应用 二、主要技术指标： 1. 认证技术，2. 数据加密技术，3. 访问控制技术，4.安全审计技术 ，3、 主要工作内容： 1. 查阅资料，了解WLAN网络的演进过程及主要标准 ； 2. 查阅资料，了解无线网络安全面临的问题； 3. 查阅资料，了解无线网络安全机；4. 对WALN的安全技术进行研究；5.举例分析。四 、主要参考文献： 1、无线局域网络技术与安全 2、无线局域网络安全-方法与技术 3、无线网络安全 4、无线局域网络安全分析与防护 学 生（签名） 年 月 日 指 导 教师（签名） 年 月 日 教研室主任（签名） 年 月 日系 主 任（签名） 年 月 日 毕业设计（论文）开题报告设计（论文）题目WLAN安全技术研究及应用一、 选题的背景和意义：WLAN英文全名：Wireless Local Area Network，是一种用无线技术实现终端设备灵活接入以太网的技术，是利用无线技术上网传输数据电话语音，和视频等的技术，WLAN和GPRS都是无线上网方式，但是WLAN无线上网速度远远比GPRS上网速度高，WLAN无线上网速率最高可达到 11Mbps，无线局域网WLAN技术还能在布线困难的地方比较容易实施，使终端连接方便快捷并可自由移动，所以比较灵活，还可以作为有线网络的补充和延伸，同时还可以与有线网路互为备份，随着WLAN技术的发展，我们可以使用越来越多的移动设备接入到企业网进行办公，在企业网络中大大提高了工作效率，同时3G、4G的高速发展，移动网络已经成为我们生活中不可缺少的一部分，很多商店、酒店和公共场所都提供了无线热点，所以WLAN的发展必不可少，WLAN的安全技术的研究也是必不可少的。二、 课题研究的主要内容：1. WLAN的应用场景；2. WLAN的演进过程；3. WLAN安全技术的主要标准；4. WLAN的覆盖；5. WLAN的安全技术的分析与研究三、 主要研究（设计）方法论述： 首先，查找相关资料，理解WLAN里相关名词的含义及代表的技术，了解WLAN的演进，掌握WALM的应用环境及其标准，掌握WLAN安全技术在企业网络环境中关键技术和主要步骤方法， 然后，对更好的WLAN的覆盖和更好的WLAN安全进行研究设计， 最后，对本次实验的总结和分析。四、设计（论文）进度安排：时间（迄止日期）工 作 内 容20156.4-2015.623做好准备工作，完成任务书和开题报告查阅相关资料，了解WLAN安全技术的发展和背景意义了解WLAN安全技术的相关知识理论与实际相联系对WLAN 安全技术进行分析与研究完成论文的初稿请老师指导完善论文上交打印稿及电子稿论文答辩五、指导教师意见： 指导教师签名： 年 月 日六、系部意见： 系主任签名： 年 月 日毕业设计（论文）成绩评定表一、指导教师评分表（总分为70分）序 号考 核 项 目满 分评 分1工作态度与纪律102调研论证103外文翻译54设计（论文）报告文字质量105技术水平与实际能力156基础理论、专业知识与成果价值157思想与方法创新5合计70指导教师综合评语： 指导教师签名： 年 月 日 二、答辩小组评分表（总分为30分）序 号考 核 项 目满 分评 分1技术水平与实际能力52基础理论、专业知识与成果价值53设计思想与实验方法创新54设计（论文）报告内容的讲述55回答问题的正确性10合计30答辩小组评价意见（建议等第）： 答辩小组组长教师签名： 年 月 日三、系答辩委员会审定表1 审定意见2审定成绩（等第）_ _ 系主任签字： 年 月 日WLAN完全技术研究与应用摘要6前言7第1章绪论71.1选题背景71.2 研究内容7第2章网络安全技术研究82.1 无线网络面临的威胁82.2 无线网络安全机制92.3认证技术112.4数据加密技术132.5访问控制技术152.6安全审计技术16第3章 无线安全网络应用173.1无线局域网络安全解决方案示例173.1.1 方案综述17总结19摘要无线局域网络WLAN是指不借用任何导线或传输线缆进行连接的局域网，用无线电波充当数据传送的媒介，传输距离通常在几十米范围内。无线局域网络WLAN是当前兴起的无线数据通讯网，安全性能是它的核心性能之一。本文首先指出了无线局域网络WLAN中存在的安全问题，其次，提出解决无线网络安全的一些技术以及案例分析。Wireless network WLAN refers to the local area network without any wire or cable connection. The radio waves are used as the medium of data transmission and the transmission distance is usually within a few tens of meters. Wireless network WLAN is a wireless data communication network, which is the core of the wireless data communication network. This paper first points out the security problems in the wireless network WLAN, and secondly, the technology and the case analysis of wireless network security are proposed.前言无线局域网是高速发展的现代无线通信技术，无线局域网采用了无线多址信道的有效方式支持计算机之间的通信，为通信的移动化、个人化和多媒体应用提供了相应的技术。无线局域网协议标准目前主要有IEEE 802.11标准、蓝牙标准、HomeRF标准和HiperLAN2标准。随着个人数据通信的发展，为了实现任何人在任何地点任何时间都能够进行通信的目标，就需要传统的计算机网络由有线走向无线、由固定走向移动，为顺应这些要求，无线局域网技术因此便得到了普遍的关注和使用，在企业网中和公共热点地区和领域的应用中都取到了很大成就，与此同时，用户对无线局域网的各种性能，尤其是安全性能的要求变得十分苛刻。所以对无线网络的安全的研究势在必行，本文将介绍无线网络的安全机制及无线网络安全的一些技术。第1章 绪论1.1选题背景Internet本身的安全机制是比较脆弱的，还有无线网络传输信息的开放性和移动设备存储资源、计算资源的有限性，使无线网络环境，不仅会受到有线网络存在的安全威胁，还有许多有线网络潜在的安全威胁在无线网络下更明显，有线网络中难实现的攻击在无线网络中容易实现，比如中断、窃听等，因此，在设计一个无线局域网系统时，除了在无线传输信道上提供完善的移动环境下的多业务平台，还必须考虑它安全方案的设计，这包括用户接入控制设计，用户身份认证方案设计、用户管理系统的设计、秘钥协商及秘钥管理方案的设计等，但由于无线网络传输媒体的开放性、无线终端的移动性和网络拓扑结构的动态多变性，还有无线终端计算能力和存储能力的局限性，使有线网络环境下的许多安全方案和技术不能直接应用于无线网络环境。因此，需要研究适用于无线网络环境的安全理论与技术。1.2 研究内容移动通信是目前发展的最快、应用最广泛和最前沿的通信技术，移动通信最终的要达到目标是实现任何人在任何地点任何时间段里都能够和其他人进行通信，无线局域网因为它的方便、快捷、廉价等优势近年得到了普遍的使用，随信息科学技术的迅速发展，我们时时刻刻都会面对的概念、新技术的产生，无线局域网的安全同样也面临着层出不穷的问题，本篇文章针对无线局域网的安全技术进行研究分析，包括目前无线局域网面临的问题、无线局域网的安全机制、以及解决这些问题的一系列技术：认证技术、数据加密技术、访问控制技术、以及安全审计技术等，最后本文会介绍无线网络安全的实际应用。第2章 网络安全技术研究2.1 无线网络面临的威胁局域网是由相互关联的部门之间或部门内部主机组成的计算机网络，企业单位、学校、医院以及公司等各自建设和管理的网络都可以成为局域网，局域网有统一管理、信息共享及相互之间有一定可信度的特点，无线局域网是用无线通信技术进行组网，随着网络带宽不断提高，可覆盖的面积也越来越大，人们对网络资源共享的依赖性的增强，无线局域网络成为整个社会基础设施的重要部分，对无线局域网络系统的依赖使得我们必须保证计算机和网络系统的安全，否则不仅会造成人力、物力的浪费，竞争优势丧失，公司商业机密信息研究技术文档的被窃，甚至丢失有关国家机密。所谓安全威胁，是指人、物、事件或概念对某一资源的保密性、完整性、可用性、和使用合法性造成的危险。目前网络面临的安全威胁主要有:（1）、对网络基础设施硬件的破坏，包括有意或无意；（2）、操作系统、上层协议等设计的缺失；（3）、系统管理员的失误，内部合法用户的越权操作；（4）、网络黑客的攻击；（5）、计算机病毒和网络蠕虫的入侵。无线网络因为自身的因素，比有线网络有更多更严重的安全问题，例如：容易被窃听；难于检测；容易被大功率干扰；容易插入攻击；容易拒绝服务攻击；基站伪装；移动、漫游带来的审计、管理难题；还有无线信道的高误码率限制了某些加密算法的应用。2.2 无线网络安全机制 无线局域网安全系统由认证、加密、WLAN三部分组成，如图所示。安装无线局域网就像在任何地方都放置以太网端口一样，任何人都可以访问网络。在一个服务集里，现在还没有办法直接将传输数据指向预定接收端，因此和有线线缆组网方式不同，在无线局域网中，如果某台设备工作在和无线局域网相同的频带上，那他就有可能在满足某些特定条件情况下对传输信息进行窃听或对传递信息的信号实施干扰，这不仅影响无线网络自身的安全，还会危及和它相连的有线网络的安全，为阻止未经授权用户对无线网络的非法访问，并阻止对无线局域网数据流非法侦听，在IEEE 协议的无线局域网中引入了认证和加密的手段。IEEE802.11设计标准最初就考虑了接入安全认证，传输数据保密性和完整性等安全要求，IEEE802.11b就提供了两种认证机制：开放式认证和共享秘钥认证，共享秘钥认证采用的是RC4的WEP安全机制，为网络业务流提供安全保证，在WEP的安全缺陷被发现后，WLAN的设备制造商又和相关的研究机构对它进行了不同技术改进与协议更新等研究，推出有代表性的Wi-Fi联盟，提出结合EAP和IEEE802.1X的认证框架的WAP协议，并且相继推出IEEE802.22i协议，中国提出了WAPI协议，最终，推出无线局域网安全保密解决方案的演化过程如图所示。基于IEEE802.1协议标准的无线局域网在建立的时候在某种程度上考虑到了网络安全问题，以下几种是无线局域网领域中广泛使用的安全防范手段 1. 连接对等协议WEP为使用无线协议的网络通信提供数据机密性、完整性认证功能，WEP的目的就是提供与有线网络有相同安全级别的防护。WEP使用RC4伪随机数发生器和对称秘钥等加密算法，初始矢量IV和共享秘钥共同作为随机序列发生器的种子输入、输出得到的秘钥流作为加密秘钥，对明文和明文的完整性校验值加密。这里的加密是通过对两者之间的异或操作实现的，加密之后生成密文，初始矢量IV被加载密文的前面传递给客户端。2. 有线等效机密的该进方案（WEP2）2001年，发现存在许多与最初WEP协议中的漏洞后，IEEE（电子电器工程师协会）建议修改WEP协议，802.11i标准使用WEP2技术，目的是提供更高通信安全性，WEP2算法对比WEP算法而言，是将WEP秘钥长度由40位加长到128位，初始化向量IV长度由24位加长到128位。但WEP算法安全漏洞是因为WEP机制本身引起的，与秘钥的长度关系不大，即使增加秘钥长度，也不可能增强无线通信系统安全程度3. 开放式认证系统（pen System Authentication）在无线局域网中，目前主要有两个认证系统，分别是开放式和共享秘钥认证。开放式认证被IEEE802.11协议设置成默认情况下的认证协议。4. 访问控制列表（Access Control List）在IEEE802.11标准中没定义这种安全特征，但无线设备供应商却用该特性提供额外的安全机制。访问控制列表基于客户端的无线网卡MAC地址来制定的，无线网络接入点需要通过ACL对某些客户使用的网络进行限制，如果用户的MAC地址存在于ACL则允许他对网络进行访问，否则禁止该无线用户对网络的访问。5. 封闭式的网络存取控制（Closed Network Access Control）这个特征使管理员可以选择使用开放式网络或封闭式网络。开放式网络意味着任何人都可以加入网络，封闭式网络只有那些知道网络名或SSID的用户才能加入，在这种方式中把网络名当成一把公钥看待。2.3认证技术认证是确认用户的身份的过程，依据验证信息来源的可靠性，防止非法用户冒充合法用户窃取信息或传递伪造信息。现在用的做多的认证方式是口令、票据、电子证书等。口令方式是用户以口令当信物，直接向服务器提供的方式，典型的有 Telnet、FTP、的认证，这种方式简单易行，但假口令容易被截取，不够安全。票据方式用户先要通过专用服务器的认证，获得该认证服务器签发的票据后，还要持该票据作信物来访问信息服务器的方式，典型的是MIT开放的Kerberos， Kerberos利用对称加密进行加密，但它的秘钥管理是一大问题。电子证书方式是每个合法用户在认证中心申请一份证书，通过持有的证书来表明身份的方式。典型的标准有X.509标准，它是以公钥密码技术和数字签名为基础的，已经光繁忙应用于SSL、IPSec等。IEEE802.1x是IEEE为解决基于端口的接入控制定义的标准，被称为基于端口的访问控制协议，它不是一个单独的认证方法，它利用可扩展认证协议作为它的认证框架，这意味着有802.1x功能的交换机可以支持各种认证方式，包括基于证书的认证、智能卡、标记卡、一次性口令等。鉴别和认证是用来防止计算机系统被非授权用户或进程入侵的技术手段，属于第一道防线由于鉴别和认证是其他大多数访问控制和建立用户职能的基础，所以他被当作计算机安全的关键基础构件，并不是所有的访问控制都要鉴别和认证过程，例：访问公众信息系统不需要鉴别和认证，访问控制经常要区分不同的用户，例：访问控制经常要基于“最小特权原则”，即只给用户完成工作所需的最小访问权限，用户只能要求将特定个人在计算机系统中的活动和他本人联系建立起来，所以要对用户进行鉴别。出于对个人审计的需要，审计日志需要建立和个人职能的联系。鉴别通过用户向系统提供自己的身份来完成，认证通过确定身份的真实性来完成，认证也用于验证消息，或文件未被修改或来源于特定用户。计算机系统基于收到的识别信息来识别用户。认证涉及的步骤是：收集认证信息、安全的传输认证信息、确认使用计算机的人就是发送认证信息的人。例：用户没有退出就离开终端而另一个人趁机使用。有三种认证用户信息的方法，这三种方法可以联合使用也可以单独使用：（1）、用户知道的秘密口令、个人识别号(PIN)或秘钥；（2）、用户拥有的令牌如银行卡或智能卡；（3）、用户本身的生物特征如语音特征、笔记特征或指纹；虽然这些方法都能提供强大的认证服务，但每种方法都有局限性。如果有人想冒充另一个人使用计算机系统，他们有可能猜测或通过其他方式得到口令，也可以偷取或者伪造令牌。对合法用户和系统管理员来说，每种方法都有缺点：用户可能忘记口令或丢失令牌，系统管理员要经常辨别认证数据和令牌的真实性，生物识别系统技术有先进用户容易接受的优点，但价格昂贵是他的问题。（1）、用户识别码和口令：通常，口令系统工作时要用户的识别码和他的口令。系统把口令与用户预在系统中的口令进行比较，如果口令匹配，用户就被认证并可以访问；有些主机操作系统和很多个计算机应用程序把口令作为作为系统限制访问特定资源措施。通过输入口令而不是使用如访问控制列表之类的机制实现访问控制。使用口令的副作用是降低了整个系统的安全性，口令作为访问控制手段很常用，不过他经常不是最佳和最有效的途径。（2）、秘钥认证是基于用户所知晓的秘钥方式实现，这种方式也要用户拥有能够加密计算的设备，如PC或者是智能卡。加密为鉴别和认证提供两种服务：支持认证数据的机密性，支持通过知晓或拥有令牌，而不是通过传输数据获得访问权限的的协议，这样可以挫败通过重演登录过程访问权限的企图。身份鉴别信息为发送者和接收者提供互相认证，只能通过一个可信的和安全的身份验证方法，才可以提供可信和安全的通信或活动，身份鉴别最简单的形式是在相互验证的实体之间传递一个共享的密码，这种保护形式有很大的安全隐患，很多方法可以获取秘钥，如信任欺骗、通信监控等，一旦秘钥落到非信任方手里，他就可以利用它连接到一个安全的网络上，利用其他技术，获得可用资源的访问权限，获取敏感信息。最早出现的数字身份验证很简单，他们的网络共享一个秘钥，如Telnet、FTP、和POP他们以明文形式传输秘钥，这种方法的问题是任何可以监控的网络都可以截取秘钥。为了解决不可信任网络传输共享秘钥进行身份鉴别的问题，产生了零文密码的概念，主要思想是，通信双方相互验证对方知道的共享密码，但并不和对方立刻共享密码，同时防止他人截取通信数据以截取密码。公钥加密是实现零文加密最有力的办法。目前广泛采用的是PKI技术，PKI技术采用证书管理公钥，通过第三方的可信任机构认证中心CA，把用户的公钥和用户的其他标识信息捆绑在一起，Internet网上验证用户的身份。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把数字信息进行加密和签名，保证数据传输的机密性、真实性、完整性和不可否认性，来保证信息的安全传输。目前802.11网络身份鉴别的问题是无线设备的身份验证，而不是用户身份验证，或者使用无线通信网络的站点身份验证。在无线加密处理过程中没有使用公钥加密，虽然有一些无线通讯网络产品随着连接不同会动态改变秘钥，但大多数无线802.11产品采用秘钥固定不变的共享秘钥机制，为解决这种缺少外部身份验证的问题，IEEE802.11委员会正在制定802.1x，为基于802规范的网络提供一个由中心服务器发起身份验证的框架。2.4数据加密技术数据加密是基本的网络技术，被称为信息安全核心，计算机网络环境下很难做到对敏感性数据隔离，现实的做法是设法做到攻击者即使获得了数据，但是仍没有理解其包含的意义，以达到保密目的。数据加密原理是在发送端将数据变换成某种不容易理解的形式，并在接收端进行反变换，来恢复数据的原样。加密/解密关键是：加密/解密算法的提出和加密/解密模块的实现，秘钥指的是一串参与加密的字符串，算法在秘钥控制下进行操作，对于不同的秘钥，相同的算法、相同的明文可以生成不同的密文，从而使秘钥可以更好的发挥已经设计的加密算法的作用。变换前数据称为明文，变换后数据称为密文。数据通过加密模块加密后变成密文在网络中进行传播，接收端的解密模块进行解密操作，还原成为明文。数据加密技术初始主要用在保证数据储存和传输过程中的保密性。它的变换和置换等各种方法将保护信息变成密文，然后对信息进行传输或储存，即使加密信息在储存或传输过程中被非授权人员获得，也能保证这些信息不被他认知，从而来达到保护信息目的。这个方法的保密性取决于采用的密码算法和秘钥长度。传统的加密算法包括代换密码和置换密码等。（1）、代换密码：用一个或一组字符代替另一个字符。这种字符的映射关系是对应用算法的秘钥，选择不同的秘钥，就会有不同的字符映射关系，会产生不同的密文。（2）、置换密码：根据一种规则来改变明文的顺序，形成密文的方式。传统加密算法是有设计简单的特点，曾经得到广泛使用，它的一个缺点是算法和秘密切相关。根据秘钥型不同可以将现代密码技术分为两类：对称加密算法（秘钥密码体系）和非对称加密算法（公钥密码体系）。1967年，美国的Horst Feistel公司在分析传统加密算法的基础上，又提出了私钥密码体制的体制，原理是在传统加密算法基础上，利用计算机的处理功能，把算法内部变换过程设计的非常复杂，并用较长的秘钥，让攻击者对密文破译变得很困难。甚至，攻击者即将掌握加密算法本身，也会因为不知道秘钥得不到明文。因为这种体制把算法和秘钥分离了，并且算法保密性依赖于秘钥安全性，所以称为私钥加密体制。私钥加密体制典型算法是DES算法，1972年IBM公司的W.Tuchman和C.Meyers根据私钥加密体制的基础，实现并公开一个命名为LUCIFER的算法，1977年，美国国家标准化局把这个算法作为美国国家标准，命名数据加密标准。1976年，美国的Diffie和Hallman又提出一种新的加密体制公钥加密体制，基本思想是：设计一个新的加密算法，这个算法有一对不同的加密秘钥E和解密秘钥D。使E和D间具有如下性质：（1） D（E（M）=M，对数据用E进行加密再用D解密，还可以还原为M；（2） E和D是易于计算的；（3） 从E难以推倒出D的结构；公钥加密体制工作原理：（1）、每个用户都能选一对E和D，并把E公开（称为公开秘钥），存到其他用户都能访问的公共储存区，把D（称为秘密秘钥）严格保密。（2）、如果A用户想向B用户发送数据包M，A要先从公共储存区中获取B的加密秘钥Eb，并且要用Eb对数据进行加密，生成Eb（M）传输给B。（3）、根据性质（1），B可以对接受的密文用Db进行解密获取名文数据M，根据性质（3），B以外的用户都不掌握Db，并无法从公开的Eb中推导出Db，使攻击者获得密文，也不能推出相应明文。因为这种体制加密秘钥可以公开，所以称为公钥加密体制，RSA算法是公开秘钥加密体制最的典型算法，这个算法是美国的Rivest、Shamir、Adleman三人在1978年提出的。在对称加密算法中，数据加密和解密采用的都是同一个秘钥，因此它的安全性依赖于持有秘钥的安全性。对称加密算法的优点是加密和解密速度快，加密强度高，并且算法公开，它的最大的缺点是实现秘钥的秘密分发比较困难，在大量用户情况下秘钥管理太复杂，并不能完成身份认证功能，不便于用在网络开放环境中，目前普遍使用的加密算法是数据加密标准DES。密钥体系中数据加密和解密用不同的密钥，并且用加密密钥加密的数据只能用相应的解密密钥才能解密，更重要的是从加密密码求解解密密钥很困难，实际应用中，用户经常把密钥对中加密密钥公开（称为公钥），而秘密持有解密密钥（称为私钥），用公钥体系可以方便实现对用户身份的验证，即用户信息传输前先用所持有私钥对传输信息加密，信息接收者在收到信息后用该用户向外公布的公钥进行解密，能够解开，说明信息是该用户发送的，这样就实现了对信息发送方身份的鉴别和认证，实际应用中常把钥密码体系和数字签名算法综合使用，确保数据传输完整同时完成了用户身份认证。2.5访问控制技术访问是信息在主题和对象间流动的一种交互方式。主题指主动地实体，该实体造成信息流动和系统状态改变，主题常包括人、设备，对象指包含或接受信息被动实体对象的访问意味对其包含信息的访问，对象常包括记录、块、段、文件、目录、目录树和程序及位、字节、字段、处理器、示器、键盘、时钟、打印机、网络节点。控制是为达成既定目的和目标采取的管理行动 。管理通过计划、组织、指导有效活动为目的、目标达成提供保障，这样控制成为适当的管理计划、组织和指导必然结果。内部控制是为在组织内保障以下目标实现采取的方法：（1）、信息可靠性和完整性；（2）、政策、计划、规程、法律、法规和合同的执行；（3）、资产保护；（4）、资源使用的经济性、有效性；（5）、业务及计划既定目的、目标的达成。访问与计算机信息系统相关内容包括：（1）、限制主题对客体访问；（2）、限制主题和其他主题通信，使用计算机系统或网络中的功能或服务的权力、能力，比如人是主题，文件是客体。基于计算机的访问控制称为逻辑访问控制，逻辑访问控制是实施策略决定技术手段。策略由负责特定系统、应用、子系统或系统组管理者制定的。制定策略要平衡工作效率和安全利益、操作要求、用户友好性及技术限制的冲突，有些策略在技术上不可行，这样适合的技术手段就不存在了。在确定是否允许某人访问系统资源时，逻辑访问控制检查用户这种访问请求是否被允许。系统用各种条件确定访问是否被允许，这些条件包括角色、时间、事务处理、服务限制、一般访问模式。实践中，这些条件常综合利用。另外网络安全访问控制还包括六种类型控制手段，如下：防御型、探测型、矫正型、管理型、技术型和操作型控制。访问控制涉及技术广泛，有入网访问控制、网络权限控制、目录及控制及属性控制多种手段。以下介绍两种常用入网访问控制、网络权限控制：入网访问控制：入网访问控制为网路访问提供第一层访问控制。它控制哪些用户能获取网络资源，控制准许用户入网时间和准许在哪台工作站入网，用户入网访问控制分三步：用户名识别和验证、用户口令识别和验证、用户账号限制检查。网络权限控制：网络权限控制是对网络非法操作提出安全保护措施，用户被赋予一定权限，该权限能控制用户能访问哪些资源，用户对网络资源访问权限可以用访问控制描述。2.6安全审计技术安全审计是对每个用户在计算机系统上的操作做个完整的记录，以备用户违反安全规则事件发生后，有效追查责任。安全审计过程实现分三步：第一步，收集审计事件，产生审计记录；第二步根据记录进行安全违反分析；第三部，采取处理措施。安全审计技术分三种：了解系统，验证处理、处理结果的验证。（1）、了解系统技术：审计人员查阅各种文件如程序表、控制流程等来审计。（2）、验证处理技术：保证事物能正确执行，控制能在该系统中期作用技术，该技术分实际测试和性能测试，实现方法有：事物选择、测试数据、并行仿真、验证和处理结果技术。系统中，审计常作为一个独立的子系统实现。审计范围有操作系统和各种应用程序。操作系统审计子系统目的是检测和判定对系统的渗透及识别错误的操作，基本功能是：审计对象的选择；审计文件发的定义与自动转换；文件系统完整性定时检测；审计信息格式和输出媒体；逐出系统报警阀值的设置和选择；审计日志记录、数据安全保护等。应用程序审计子系统重点是对应用程序的操作作审计对象进行监视和记录，并根据记录结果判断应用程序是否被修改和安全控制，是否正常运行；判断数据程序完整性等。审计有人工审计，计算机手动分析、处理审计记录并与审计人员最后决定相结合半自动审计，还有自动化的智能审计等。审计跟踪特点是：对被审计的系统是透明的；支持所有应用；允许构造事件实际顺序；可以有选择、动态的开始或停止记录。数据安全审计流程是：收集内核外核事件，依据相应审计条件，判断是否是审计事件。对审计事件内容按日志模式记录到审计日志中，审计事件达到报警阀值，向审计人员发送报警信息并记录内容，如果事件在一段时间内连续发生，达到逐出系统阀值，将该事件用户逐出系统，记录内容。按访问控制类型，审计跟踪描述一个特定的执行请求，但数据库不限制审计跟踪请求。独立审计跟踪更加保密，审计人员可以限制时间，但价格较贵。第3章 无线安全网络应用3.1无线局域网络安全解决方案示例3.1.1 方案综述以一个大型公司无线局域网项目为例具体讲述典型企业及校园无线解决方案，如果公司逐步扩大，有很多不同办公地点，管理者和员工不在同一个办公区域工作，同时办公场所也常在各个办公区之间变换，企业网络就会出现一下难题：（1）、如何在节省成本的情况下，还能使无线网络覆盖更多不同位置的办公区域。（2）、如何在企业的各办公区域之间实现无缝网络连接，（3）、如何连接不同位置办公区复杂网络设计和环境，还能提供足够安全保障，（4）、如何用现有资源，提高员工办公效率针对企业面临以上难题，例出对无线局域网解决方案的要求，让网络应用价值最大化，为企业分散办公内构建一个统一、易接入、稳定安全的无线局域网络环境，对无线局域网络有