WiFi認證過程需要的協議和服務

什麼是 RADIUS 服務器
    RADIUS 是一種用於在需要認證其鏈接的網絡訪問服務器（NAS）和共享認證服務器之間進行認證、授權和記帳信息的文檔協議。

RADIUS 的關鍵功能部件爲：
    客戶機／服務器體系結構 網絡訪問服務器（NAS）作爲 RADIUS 客戶機運行。客戶機負責將訂戶信息傳遞至指定的 RADIUS 服務器，然後根據返回的響應進行操作。
    RADIUS 服務器負責接收訂戶的連接請求、認證訂戶，然後返回客戶機所有必要的配置信息以將服務發送到訂戶。
RADIUS 服務器可以擔當其它 RADIUS 服務器或者是其它種類的認證服務器的代理。

網絡安全性：
    通過使用加密的共享機密信息來認證客戶機和 RADIUS 服務器間的事務。從不通過網絡發送機密信息。此外，在客戶機和 RADIUS 服務器間發送任何訂戶密碼時，都要加密該密碼。 　　靈活認證機制：
    RADIUS 服務器可支持多種認證訂戶的方法。當訂戶提供訂戶名和原始密碼時，RADIUS 可支持點對點協議（PPP）、密碼認證協議（PAP）、提問握手認證協議（CHAP）以及其它認證機制。
可擴展協議：
    所有事務都由變長的三元組“屬性-長度-值”組成。可在不影響現有協議實現的情況下添加新屬性值。

如何配置 RADIUS 服務器
    在“ISA 服務器管理”的控制檯樹中，單擊“常規”： 對於 ISA Server 2004 Enterprise Edition，依次展開“Microsoft Internet Security and Acceleration Server 2004”、“陣列”、“Array_Name”、“配置”，然後單擊“常規”。 對於 ISA Server 2004 Standard Edition，依次展開“Microsoft Internet Security and Acceleration Server 2004”、“Server_Name”、“配置”，然後單擊“常規”。 在詳細信息窗格中，單擊“定義 RADIUS 服務器”。 在“RADIUS 服務器”選項卡上，單擊“添加”。 在“服務器名”中，鍵入要用於身份驗證的 RADIUS 服務器的名稱。 單擊“更改”，然後在“新機密”中，鍵入要用於 ISA 服務器與 RADIUS 服務器之間的安全通訊的共享機密。必須在 ISA 服務器與 RADIUS 服務器上配置相同的共享機密，RADIUS 通訊才能成功。 在“端口”中，鍵入 RADIUS 服務器要對傳入的 RADIUS 身份驗證請求使用的用戶數據報協議 (UDP)。默認值 1812 基於 RFC 2138。對於更早的 RADIUS 服務器，請將端口值設置爲 1645。 在“超時（秒）”中，鍵入 ISA 服務器將嘗試從 RADIUS 服務器獲得響應的時間（秒），超過此時間之後，ISA 服務器將嘗試另一臺 RADIUS 服務器。 如果基於共享機密的消息驗證程序與每個 RADIUS 消息一起發送，請選擇“總是使用消息驗證程序”。 
注意：
    要打開“ISA 服務器管理”，請單擊“開始”，依次指向“所有程序”、“Microsoft ISA Server”，然後單擊“ISA 服務器管理”。 當爲 RADIUS 身份驗證配置 ISA 服務器時，RADIUS 服務器的配置會應用於使用 RADIUS 身份驗證的所有規則或網絡對象。 共享機密用於驗證 RADIUS 消息（Access-Request 消息除外）是否是配置了相同的共享機密且啓用了 RADIUS 的設備發送的。 請務必更改 RADISU 服務器上的默認預共享密鑰。 配置強共享密鑰，並經常更改，以防止詞典攻擊。強共享機密是一串很長（超過 22 個字符）的隨機字母、數字和標點符號。 如果選擇“總是使用消息驗證程序”，請確保 RADIUS 服務器能夠接收並配置爲接收消息驗證程序。 對於 VPN 客戶端，可擴展的身份驗證協議 (EAP) 消息始終是隨同消息驗證程序一起發送的。對於 Web 代理客戶端，將僅使用密碼身份驗證協議 (PAP)。 如果 RADIUS 服務器運行了 Internet 身份驗證服務 (IAS)，並且爲此服務器配置的 RADIUS 客戶端選擇了“請求必須包含消息驗證程序屬性”選項，則必須選擇“總是使用消息驗證程序”。

EAP(Extensible Authentication Protocol)

　　PPP擴展認證協議（EAP）是一個用於PPP認證的通用協議，可以支持多種認證方法。EAP並不在鏈路建立階段指定認證方法，而是把這個過程推遲到認證階段。這樣認證方就可以在得到更多的信息以後再決定使用什麼認證方法。這種機制還答應PPP認證方簡單地把收到的認證報文透傳給後方的認證服務器，由後方的認證服務器來真正實現各種認證方法。　　1. 在鏈路階段完成以後，認證方向對端發送一個或多個請求報文。在請求報文中有一個類型字段用來指明認證方所請求的信息類型，例如是對端的ID、MD5的挑戰字、一次密碼（OTP）以及通用令牌卡等。MD5的挑戰字對應於CHAP認證協議的挑戰字。典型情況下，認證方首先發送一個ID請求報文隨後再發送其他的請求報文。當然，並不是必須要首先發送這個ID請求報文，在對端身份是已知的情況下（如租用線、撥號專線等）可以跳過這個步驟。　　2. 對端對每一個請求報文迴應一個應答報文。和請求報文一樣，應答報文中也包含一個類型字段，對應於所迴應的請求報文中的類型字段。　　3. 認證方通過發送一個成功或者失敗的報文來結束認證過程。　　優點：　　EAP可以支持多種認證機制，而無需在LCP階段預協商過程中指定。　　某些設備（如：網絡接入服務器）不需要關心每一個請求報文的真正含義，而是作爲一個代理把認證報文直接透傳給後端的認證服務器。設備只需關心認證結果是成功還是失敗，然後結束認證階段。　　缺點：　　EAP需要在LCP中增加一個新的認證協議，這樣現有的PPP實現要想使用EAP就必須進行修改。同時，使用EAP也和現有的在LCP協商階段指定認證方法的模型不一致。