原标题：无线网络安全之WPA+RADIUS加密模式浅析

RADIUS是一种C/S结构的协议RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式在企业的无线网络环境中，通常使用WPA+ RADIUS加密模式它會使网络更安全。

Server）和共享认证间传输认证授权和配置信息的协议它采用客户端/结构。或NAS上运行的AAA程序对用户来讲是作为服务端对RADIUS来講是作为客户端。RADIUS通过建立一个唯一的用户存储用户名和来进行验证存储传递给用户的服务类型以及相应的配置信息来完成授权。当用戶上网时决定对用户采用何种验证方法。

RADIUS还支持代理和漫游功能简单地说，代理就是一台可以作为其他RADIUS的代理，负责转发RADIUS认证和计費数据包所谓漫游功能，就是代理的一个具体实现这样可以让用户通过本来和其无关的RADIUS进行认证。

RADIUS主要特征如下所示

ADIUS原先的目的是為拨号用户进行认证和计费。后来经过多次改进形成了一项通用的认证计费协议。该协议主要完成在网络接入设备和认证服务器之间承載认证、授权、计费和配置信息下面介绍RADIUS服务的工作原理，如图1所示

图1简单地显示了RADIUS服务工作的模型，下面对该过程进行详细介绍

（1）客户端接入NAS，NAS向RADIUS使用Access-Require数据包提交用户信息包括用户名和等相关信息。其中用户是经过MD5加密的，双方使用共享密钥这个密钥不经過网络传播。

（2）RADIUS对用户名和的合法性进行校验必要时可以提出一个Challenge，要求进一步对用户认证也可以对NAS进行类似的认证。

（3）如果合法则给NAS返回Access-Accept数据包，允许用户进行下一步工作否则返回Access-Reject数据包，拒绝用户访问如果允许访问，NAS向RADIUS提出计费请求Account-RequireRADIUS响应Account-Accept。此时将开始对用户计费，同时用户也可以进行自己的相关操作

RADIUS和NAS通过UDP协议进行通信，RADIUS的1812端口负责认证1813端口负责计费工作。这里使用UDP协议是因為NAS和RADIUS大多在同一个中，使用UDP协议更加快捷方便

RADIUS协议还规定了重传机制。如果NAS向某个RADIUS提交请求没有收到返回信息那么可以要求备份RADIUS重传。由于有多个备份RADIUS因此NAS进行重传的时候，可以采用轮询的方法如果备份RADIUS的密钥和以前RADIUS的密钥不同，则需要重新进行认证

目前，通常使用FreeRadius开源软件来搭建Radius服务Freeradius是一个模块化，高性能并且功能丰富的一套RADIUS程序该程序包括服务器、客户端、开发库及一些额外的相关RADIUS工具。

通常情况下都会安装到服务性（比较稳定）的中（如RHEL和 Server 2008）。这里简单的模拟一个实验环境下面介绍在上搭建RADIUS服务。

使用FreeRadius软件安装RADIUS服務具体操作步骤如下所述。

从以上输出信息中可以看到bob用户的为passbob，hash大小为507e以上命令中-C指定的是bob用户的挑战码，-R指定的是响应码-W选項指定的是字典文件。

根据前面的介绍可以发现WPA+RADIUS的无线网络也很容易被破解出。为了使自己的网络更安全需要采取一些其他防护措施並增加防范意识。下面介绍几个应对WPA+RADIUS的安全措施

（1）更改无线路由器默认设置。

（2）禁止SSID广播

（3）设置Mac地址过滤。

（5）物理的保护网絡

（6）如果所处的网络环境比较稳定的话，可以将路由器的DHCP功能关闭使用静态IP。

（7）设置比较长的、复杂的