RADIUS 協議常用於網絡準入場景的身份驗證。而將 RADIUS 和雙因子認證（MFA）結合能進一步提高網絡安全。問題是市場上是否有可用的基於 RADIUS 認證協議的雙因子認證方案？在探究這一問題之前，不妨先瞭解一下 RADIUS 協議和雙因子認證。

1

RADIUS 認證協議

遠程訪問撥入用戶服務（RADIUS）協議在早期互聯網時代就開始投入使用。RADIUS 最初用於撥號網絡，它與企業的身份提供程序（IdP）協同工作，共同支持對網絡資源的訪問。在早期采用 RADIUS 認證協議的很多企業中，IdP 通常會用微軟 Active Directory 等目錄服務。

隨著網絡逐漸發展為無線接入，RADIUS 協議經受住瞭考驗，並適用於保護 WiFi 網絡安全。一般訪問無線網絡時，會用共享 WPA 憑證，但 RADIUS 協議是利用每個用戶唯一的用戶名和密碼進行認證，如果 RADIUS 和目錄服務集成，則使用存儲在 IdP 中的個人憑證。這種方法能有效提高網絡安全。

02

雙因子認證（MFA）

由於網絡釣魚和其他針對身份的網絡攻擊越發頻繁，像 RADIUS 認證這種隻依靠用戶名和密碼的身份驗證過程存在潛在風險。黑客隻需稍作手腳就能瞞天過海。對此，很多企業已經開始在用戶登錄過程中添加額外的認證步驟，這個過程就稱為雙因子或多因子認證（MFA）。

雙因子認證通常需要用戶在輸入用戶名密碼後再輸入手機上APP生成的動態令牌，確保身份真實可靠。因此，雙因子認證的概念類似於零信任安全，即用戶隻出示用戶名和密碼時並不可信，通過添加額外的驗證因素為用戶提供瞭證明自己可信的方法，有效保障瞭登錄安全。賽門鐵克近期發佈的一項調查發現，使用雙因子認證可以防止80%的身份泄露。

03

協作增效

由於 RADIUS 認證是基於用戶名和密碼的，因此為 RADIUS 認證添加雙因子認證可以進一步控制網絡準入。現在回到本文開頭的問題，市場上哪些基於 RADIUS 認證協議的雙因子認證方案可供企業選擇？

04

MFA、RADIUS 和雲目錄服務

事實上，目前市面上很少有 RADIUS 認證服務商能提供雙因子認證功能。但是，雲目錄服務（DaaS）可以將兩者集成。

寧盾 DaaS（身份目錄即服務）即是雲目錄服務，根據企業的部署方式分類，有私有化部署的MeConnect 人+端一體化身份方案和公有雲的NingDS 身份目錄雲平臺兩款產品。采用寧盾DaaS 方案無需將 RADIUS 認證服務器對接到 IdP，可以自動將用戶身份同步到 RADIUS 服務器。管理員還可以使用 DaaS 雲目錄中內置的雙因子認證模塊加強 RADIUS 和 VPN 等身份驗證的安全性。

當然，基於 RADIUS 協議的雙因子認證隻是寧盾 DaaS 的一小部分功能，其他功能包括用戶統一管理，以及用戶對業務系統、網絡、郵件、應用程序、基礎架構等訪問的管理。它使得用戶隻需要一組受雙因子認證保護的憑證就能認證訪問權限內所有 IT 資源，不受平臺、協議、廠商或位置的限制。