如何实现基于 RADIUS 协议的双因子认证 MFA？

RADIUS 协议常用于网络准入场景的身份验证。而将 RADIUS 和双因子认证（MFA）结合能进一步提高网络安全。问题是市场上是否有可用的基于 RADIUS 认证协议的双因子认证方案？在探究这一问题之前，不妨先了解一下 RADIUS 协议和双因子认证。

1. RADIUS 认证协议

远程访问拨入用户服务（RADIUS）协议在早期互联网时代就开始投入使用。RADIUS 最初用于拨号网络，它与企业的身份提供程序（IdP）协同工作，共同支持对网络资源的访问。在早期采用 RADIUS 认证协议的很多企业中，IdP 通常会用微软 Active Directory 等目录服务。
 
随着网络逐渐发展为无线接入，RADIUS 协议经受住了考验，并适用于保护 WiFi 网络安全。一般访问无线网络时，会用共享 WPA 凭证，但 RADIUS 协议是利用每个用户唯一的用户名和密码进行认证，如果 RADIUS 和目录服务集成，则使用存储在 IdP 中的个人凭证。这种方法能有效提高网络安全。

2. 双因子认证（MFA）

由于网络钓鱼和其他针对身份的网络攻击越发频繁，像 RADIUS 认证这种只依靠用户名和密码的身份验证过程存在潜在风险。黑客只需稍作手脚就能瞒天过海。对此，很多企业已经开始在用户登录过程中添加额外的认证步骤，这个过程就称为双因子或多因子认证（MFA）。
 
双因子认证通常需要用户在输入用户名密码后再输入手机上APP生成的动态令牌，确保身份真实可靠。因此，双因子认证的概念类似于零信任安全，即用户只出示用户名和密码时并不可信，通过添加额外的验证因素为用户提供了证明自己可信的方法，有效保障了登录安全。赛门铁克近期发布的一项调查发现，使用双因子认证可以防止80%的身份泄露。

​

3. 协作增效

由于 RADIUS 认证是基于用户名和密码的，因此为 RADIUS 认证添加双因子认证可以进一步控制网络准入。现在回到本文开头的问题，市场上哪些基于 RADIUS 认证协议的双因子认证方案可供企业选择？

4. MFA、RADIUS 和云目录服务

事实上，目前市面上很少有 RADIUS 认证服务商能提供双因子认证功能。但是，身份目录即服务（DaaS）可以将两者集成。
 
DaaS 支持不同规模的企业将 RADIUS 认证服务器对接到 IdP，可以自动将用户身份同步到 RADIUS 服务器。管理员还可以使用 DaaS 云目录中内置的双因子认证模块加强 RADIUS 和 VPN 等身份验证的安全性。
 
当然，基于 RADIUS 协议的双因子认证只是宁盾 DaaS 的一小部分功能，其他功能包括用户统一管理，以及用户对业务系统、网络、邮件、应用程序、基础架构等访问的管理。它使得用户只需要一组受双因子认证保护的凭证就能认证访问权限内所有 IT 资源，不受平台、协议、厂商或位置的限制。