我将假设您的目标如下：

1. 防止未经授权访问 WiFi AP。
2. 维护 WiFi 客户端和 AP 之间流量的机密性。
3. 保持 WiFi 客户端和 AP 之间流量的完整性。
4. 允许多个用户使用不同的凭据向 AP 进行身份验证。

RADIUS 实现了目标 #1 和 #4，但并非以您可能期望的方式。在传统的 802.11 身份验证中，客户端向 AP 发送身份验证密钥，AP 对其进行验证，如果正确，则允许客户端连接。实际的密钥交换更加复杂，并且取决于您使用的安全协议（例如 WEP、WPA、WPA2），但这与我们的场景有些无关。

RADIUS 位于这些协议之上，充当凭证提供者。使用 RADIUS，AP 将所有身份验证请求发送到负责管理 AP 的 RADIUS 服务器（通常通过有线以太网）。RADIUS 的主要好处之一是不同的用户可以使用不同的凭据登录，并且可以记录和审核所有尝试。某些配置允许客户端证书作为身份验证机制，这比传统密码强得多。但是，使用 RADIUS 并不能解决 #2 和 #3，因为底层安全协议 (WPA / WPA2) 存在缺陷，允许通过身份验证的客户端嗅探、解密和（在某些情况下）修改流量。

为了实现目标 #2 和 #3，您需要在网络上实施IPsec。IPsec 在 Internet 层（即 IP 层）充当端到端加密机制，提供机密性、完整性和真实性。身份验证是 IPsec 的一部分，因此它在此目的中部分取代了 RADIUS。

在任何情况下，IPsec 都应该作为一种强大的身份验证机制，使用客户端证书。通过 RADIUS 进一步提高安全性是一件好事，因为它具有以下好处：

• 防止标准 WiFi 破解尝试。
• VPN、远程 NAS 等的凭证存储。
• 对 AP 上的设备身份验证进行全面审计/日志记录。

关于您的最后一个问题，“我可以在家庭 AP 上执行此操作吗？”，这取决于。几乎所有都将允许 RADIUS，但我不确定有多少会支持 IPsec。RADIUS 本身不会阻止合法客户端之间的嗅探，但它会为未经身份验证的客户端提供障碍。您需要 IPsec 来强制执行机密性。

每个用户使用不同的加密密钥

首先澄清您的问题很重要，因为在讨论加密时术语很重要：我认为追求您的目标的一个更尖锐的问题是“什么技术可以允许每个用户使用足够不同的加密密钥，以便当多个用户在同一个AP很难看到对方的普通流量吗？”

WPA2 系统（目前是无线保密性和完整性的标准且相对安全的解决方案）为每个客户端使用单独的密钥（称为成对密钥），这些密钥基于预共享密钥（相同的简单密钥被给予每个用户）或随机初始化（用于支持 802.1x 的身份验证）。

使用 PSK 时，有一个四次握手（这里很好地讨论了 4 次过程：4 次握手破解是如何工作的？），从客户端和 AP 上的 PSK 开始，以及零知识证明用于验证对方是否真的知道正确的 PSK，而不会在继续之前透露它是什么（以防止将密钥泄露给流氓）。最终结果是基于 PSK 的种子加密会话，但使用新生成的信息。（关于密钥的好答案：WPA2 Enterprise AES 加密密钥大小？）这意味着，如果仅从 PSK 开始并观察另一个用户的会话已经在进行中，您将不会由于您不知道随机数，因此能够轻松解密数据。您需要记录 4 次握手才能知道 nonce，并拥有 PSK，才能轻松解密正在进行的 WPA2 会话。

半径是否实现了这个

802.1x 协议是由某种 AAA 服务器（通常是 Radius）支持的基于端口的身份验证。802.1x 不会形成加密会话，它只是为它设置阶段。在成功验证用户名和密码（在加密隧道中完成）后，AP 启动一个 WPA2 加密会话，其种子足够秘密和随机，其他用户对同一 AP 进行身份验证的猜测非常困难（参见讨论：https：/ /superuser.com/questions/373453/802-1x-what-exactly-is-it-regarding-wpa-and-eap和现实世界的产品：http ://freeradius.org/enterprise-wifi.html ）。

这也可以用一个简单的家用AP来完成吗

截至 2015 年，可以找到支持 WPA2-Enterprise 的非常低端的现成 AP（低于 50 美元的建议零售价），该 WPA2-Enterprise 基于 Radius 服务器实现 802.1x。然而，大多数不包括 Radius 服务器，因此它不是一个独立的解决方案。您将需要在您的网络上拥有或实施 Radius 服务器（提供免费和商业软件包），或订阅 AuthenticateMyWifi 之类的服务（http://www.nowiressecurity.com/#!hosted-cloud-radius-8021x-服务/c1739）。有关802.1x 实施中涉及的部分的更多信息，请参阅http://www.ciscopress.com/articles/printerfriendly/1576225 。

WiFi 接入点通常不能同时使用多个加密密钥。所以不，他们不能进行加密，从而将连接的客户端相互锁定。WiFi 保护旨在模拟以太网 LAN 的物理保护：可以连接的人可以完全访问 LAN（在以太网层）。加密旨在防止未经授权的访问（是的，使用加密进行身份验证工作有点奇怪，但 WiFi 就是这样）。

如果您想要加密其含义（数据传输的机密性），那么专注于 WiFi 层就没有抓住重点：数据一旦到达接入点就不会停止机密。如果确保从发送者到接收者的端到端的机密性，则最好解决。接入点两者都不是，因此它不应该能够看到数据。但是使用 WPA2 和类似技术，接入点执行解密和加密，并可以访问明文数据。此外，我们称其为“接入点”，因为它“允许”访问更大的网络（最多包括整个互联网），并且 AP 的加密服务不会超出 AP 本身。

因此，为了保密，您应该使用在上层运行的数据加密系统。当您访问 HTTPS 网站时会发生这种情况：从您的浏览器到远程站点的加密，无论其间使用的访问点和网络如何。更全面的解决方案包括各种虚拟专用网络技术，以及最终使用IPsec的机会加密（IPsec 通常用作 VPN 的基础，但理论上，它可以对 Internet 上的每个连接透明地激活——标准是完成后，实现很广泛，它“只是”需要每个人同时向未来迈出大胆的一步）。