什么是RADIUS认证？它是如何工作的？

### 什么是RADIUS身份验证？它是如何工作的？ — Purple技术简报 **[开场 — 1分钟]** 欢迎收听Purple技术简报。我是主持人，在接下来的十分钟里，我们将揭开企业网络安全最关键技术之一的神秘面纱：RADIUS身份验证。如果您是负责大型场所——酒店、零售连锁店、体育场馆或会议中心WiFi的IT经理、网络架构师或CTO，本次简报就是专门为您准备的。我们将略过专业术语，清晰地阐述架构，并为您提供本季度做出明智决策所需的实用见解。 让我们从全局开始。这一切为何重要？ 如果您仍在使用单个共享密码——预共享密钥（PSK）——运行您的访客或员工WiFi，您正面临一个显著且不断增长的安全风险。该密码会被共享，写在收据上，在白板上拍照，并通过消息应用转发。一旦泄露，您就失去了对网络上人员可视性，无法在不影响所有人的情况下撤销单个用户的访问权限，一旦出现问题也没有审计跟踪。对于受PCI DSS、GDPR或HIPAA约束的组织而言，这不仅仅是一个技术问题。这是一个合规责任。 RADIUS是业界为解决这一问题而汇聚的解决方案。那么，让我们准确理解它是什么以及如何工作。 **[技术深入解析 — 5分钟]** RADIUS代表远程身份验证拨入用户服务。这个名字是拨号上网早期时代的历史产物，但该协议已显著发展，至今仍是企业网络访问控制的支柱。RADIUS的核心是一个基于服务器的集中式系统，使用AAA框架（即认证、授权和计费）来管理网络访问。这三大支柱是我们今天讨论的一切的基础。 认证是第一支柱：验证某人是谁。授权是第二支柱：确定他们被允许做什么。计费是第三支柱：记录他们实际做了什么。让我们逐一探讨。 认证。当用户尝试连接使用WPA2-Enterprise或WPA3-Enterprise保护的WiFi网络时，他们的设备——我们称之为请求方——向无线接入点发送连接请求。接入点，我们称之为认证方，自身不做出身份验证决策。它充当中继，将请求转发给RADIUS服务器。然后RADIUS服务器根据配置的身份源验证用户的身份。这可以是Microsoft Active Directory、Azure Active Directory、Google Workspace、Okta或本地用户数据库。身份源是确定谁被允许进入您的网络的唯一可信来源。 RADIUS服务器可以通过多种方式验证身份。企业环境中最常见的是基于凭据的方法，即用户提供用户名和密码，以及基于证书的方法，即用户设备出示数字证书。我们稍后会讨论每种方法的安全影响。 授权。一旦用户经过身份验证，RADIUS服务器不会只是说“同意”就袖手旁观。它还会告诉接入点如何处理该用户。它返回一组属性——本质上是定义用户网络体验的指令。其中最重要的通常是VLAN分配。RADIUS服务器可能会说：该用户是企业员工组的成员，将其分配到VLAN十，该VLAN可访问内部文件服务器和打印机。或者说：该用户是访客，将其分配到VLAN二十，该VLAN只能访问互联网，并与企业网络完全隔离。这种动态VLAN分配是RADIUS最强大的功能之一，也是实现适当网络分段的机制。 计费。第三支柱常常被忽视，但它对合规和运营至关重要。随着用户会话的进行，RADIUS服务器记录关键信息：连接时间、断开时间、总会话持续时间、传输的数据量以及设备的MAC地址。这为网络上的每次连接创建了详细的审计跟踪。根据PCI DSS 4.0，这种日志记录不是可选项——而是一项硬性要求。在发生安全事件时，这些日志对于取证调查非常宝贵。 现在，让我们讨论使这一切成为可能的技术标准：IEEE 802.1X。 802.1X是定义基于端口的网络访问控制的标准。它是允许接入点阻止来自设备的所有网络流量，直到RADIUS服务器确认该设备已获授权的协议。用户设备与接入点之间的通信使用称为EAP（可扩展身份验证协议）的协议。EAP本质上是一个支持多种身份验证方法的框架。 企业WiFi中最常见的三种EAP方法是：PEAP，代表受保护可扩展身份验证协议；EAP-TTLS；和EAP-TLS。 PEAP和EAP-TTLS是基于凭据的方法。它们在设备和RADIUS服务器之间创建加密隧道，然后在隧道内验证用户的用户名和密码。它们相对容易部署，在您尚不准备使用完整证书基础设施的环境中运行良好。 EAP-TLS是黄金标准。它是基于证书的，意味着服务器和客户端设备都出示数字证书以相互认证。完全不涉及密码。这完全消除了凭据盗窃、网络钓鱼攻击和中间人攻击的风险。对于企业设备，EAP-TLS是您应该努力实现的身份验证方法。 **[实施与陷阱 — 2分钟]** 那么您实际上如何部署这一切呢？让我带您浏览关键步骤。 首先，选择您的RADIUS服务器。您可以部署本地服务器——Microsoft的网络策略服务器是Windows环境中的常见选择——或使用基于云的RADIUS服务。云RADIUS平台，如Purple提供的，提供完全托管、高可用的基础设施，无需运营开销。对于多站点组织，云方法几乎总是正确的选择。 其次，集成您的身份源。将您的RADIUS服务器连接到您组织的身份目录。大多数现代云RADIUS平台支持与Azure AD、Google Workspace和Okta的直接集成。 第三，配置您的网络硬件。创建一个配置为WPA2-Enterprise或WPA3-Enterprise的新SSID，并将其指向您的RADIUS服务器。您还需要配置一个共享密钥——用于加密接入点和RADIUS服务器之间通信的密码。此共享密钥在双方必须完全匹配。此处的任何不匹配都是初始部署期间身份验证失败的最常见原因之一。 第四，定义您的授权策略。将用户组映射到网络策略——员工在VLAN十上获得完全访问权限，访客在VLAN二十上仅获得互联网访问权限。 第五，让您的用户上线。对于企业员工，通过MDM平台部署WiFi配置文件。对于访客，使用Captive Portal。Purple平台可自动化访客上线流程，支持社交媒体登录、注册表单和凭证码。 **[快问快答 — 1分钟]** 让我们快速问答我们最常听到的问题。 首先：RADIUS和Captive Portal有什么区别？Captive Portal是宾客连接时看到的登录页面。它与RADIUS协同工作。门户是用户界面；RADIUS是后端引擎。 第二：我可以对有线网络使用RADIUS吗？当然可以。802.1X标准同样适用于有线以太网和无线网络。 第三：RADIUS设置困难吗？它曾以复杂著称，但现代云平台已彻底改变了这一状况。有了像Purple这样的托管服务，您可以迅速获得生产就绪的RADIUS部署。 **[总结与下一步 — 1分钟]** 总结：RADIUS是为企业WiFi安全提供动力的集中式协议。它实施AAA框架，让您对谁可以访问您的网络、他们可以做什么以及他们活动的完整审计跟踪进行精细化控制。对于场馆运营商、酒店经营者、零售商和公共部门组织而言，部署RADIUS是构建安全、合规且专业管理的WiFi基础设施的基础性步骤。 您的下一步很明确：如果您仍在使用预共享密钥，请从今天开始规划迁移。检查您当前硬件对WPA3-Enterprise的支持情况，评估您的身份目录集成选项，并探索一个能够随组织扩展的云RADIUS平台。 以上就是本期Purple技术简报的全部内容。感谢收听。要了解更多关于Purple如何帮助您在各场所部署安全、智能的WiFi，请访问purple点ai。下次见，保持安全。