MS-CHAP 身份验证方法

ISA Server 2004 支持 Microsoft 质询握手身份验证协议 (MS-CHAP)，也称作 MS-CHAP 版本 1。MS-CHAP 是一种不可逆的、加密密码身份验证协议。质询握手过程的工作原因如下：

1. 身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
2. 远程访问客户端再发送一个包含用户名、不可逆加密的质询字符串、会话标识符以及密码的响应。
3. 身份验证程序检查该响应，如果确定为有效，则用户的凭据通过身份验证。

如果使用 MS-CHAP 作为身份验证协议，则可以使用 Microsoft 点对点加密 (MPPE) 来加密通过 PPP 或 PPTP 连接发送的数据。

ISA 服务器也支持 MS-CHAP 版本 2。与 MS-CHAP 相比，MS-CHAP 版本 2 为远程访问连接提供更强的安全性。您应该考虑使用 MS-CHAP 版本 2 而不是 MS-CHAP。

注意

• MS-CHAP（版本 1 和版本 2）是 Microsoft® Windows Server™ 2003 家族提供的唯一支持在身份验证过程中更改密码的身份验证协议。
• 如果将 MS-CHAP v1 用作身份验证协议，则当用户的密码超过 14 个字符时，便不能建立 40 位的加密连接。这既会影响拨号和虚拟专用网络 (VPN) 远程访问，也会影响按需的拨号连接。

有关设置身份验证方法的说明，请参阅配置 VPN 身份验证方法。

MS-CHAP 版本 2

ISA 服务器支持 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2)，它为远程访问连接提供更强的安全性。

MS-CHAP v2 是一种单向加密密码，其相互身份验证过程的工作方式如下：

1. 身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
2. 远程访问客户端发送的响应包括：
   • 用户名。
   • 任意对等的质询字符串。
   • 单向加密的已接收质询字符串、对等质询字符串、会话标识符以及用户密码。
3. 身份验证程序检查来自客户端的响应，并发送回包含以下内容的响应：
   • 连接尝试成功还是失败的指示。
   • 基于以下内容且已通过身份验证的响应：发送的质询字符串、对等质询字符串、加密的客户端响应以及用户密码。
4. 远程访问客户端再验证该身份验证响应，如果正确，则使用该连接。如果身份验证响应不正确，远程访问客户端将终止连接。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。