CHAP、SPAP 和 PAP 身份验证方法

ISA Server 2004 支持质询握手身份验证协议 (CHAP)、Shiva 密码身份验证协议 (SPAP) 和密码身份验证协议 (PAP)。

CHAP

质询握手身份验证协议 (CHAP) 是一种质询/响应身份验证协议，它使用作为行业标准的消息摘要 5 (MD5) 哈希方案对响应进行加密。CHAP 被各种网络访问服务器和客户端供应商广为采用。运行路由和远程访问的服务器支持 CHAP，以便能够对要求使用 CHAP 的远程访问客户端进行身份验证。由于 CHAP 要求使用可逆加密的密码，因此您应该考虑使用其他身份验证协议，如 Microsoft 质询握手身份验证协议 (MS-CHAP) 版本 2。

注意

• 如果您的密码过期，则 CHAP 将无法在身份验证过程中更改密码。
• 不能将 Microsoft 点对点加密 (MPPE) 与 CHAP 一起使用。

有关设置身份验证方法的说明，请参阅配置 VPN 身份验证方法。

SPAP

Shiva 密码身份验证协议 (SPAP) 是 Shiva 所采用的一种可逆加密机制。当运行 Windows XP Professional 的计算机连接到 Shiva LAN Rover 时，它会使用 SPAP，就像 Shiva 客户端连接到运行路由和远程访问的服务器时使用 SPAP 一样。这种形式的身份验证的安全性高于明文，但要低于 CHAP 或 MS-CHAP。

要点

• 当您启用 SPAP 作为身份验证协议时，会始终以同一种可逆加密的形式发送同一个用户密码。这使 SPAP 身份验证很容易受到重放攻击的影响。所谓重放攻击，是指攻击者捕获身份验证过程的数据包，并重放响应，以通过身份验证并访问您的 Intranet。尤其是对于虚拟专用网络连接，不建议采用 SPAP。

注意

• 如果您的密码过期，则 SPAP 将无法在身份验证过程中更改密码。
• 在 Internet 身份验证服务 (IAS) 服务器上的远程访问策略上启用 SPAP 前，请确保您的网络访问服务器 (NAS) 支持 SPAP。
• 不能将 Microsoft 点对点加密 (MPPE) 与 SPAP 一起使用。

PAP

密码身份验证协议 (PAP) 使用明文密码，它是安全性最差的身份验证协议。如果远程访问客户端和远程访问服务器不能协商一种更安全的验证形式，则通常商定使用它。

要启用基于 PAP 的身份验证，必须执行以下操作：

1. 在远程访问服务器上启用 PAP 作为一种身份验证协议。默认情况下禁用 PAP。
2. 在适当的远程访问策略上启用 PAP。默认情况下禁用 PAP。
3. 在远程访问客户端上启用 PAP。

注意

• 通过在 ISA 服务器上禁用 PAP，可确保从不通过拨号客户端发送明文密码。禁用 PAP 支持增强了身份验证的安全性，但是只支持 PAP 的远程 VPN 客户端无法连接。
• 如果您的密码过期，则 PAP 将无法在身份验证过程中更改密码。
• 不能将 Microsoft 点对点加密 (MPPE) 与 PAP 一起使用。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。