CHAP验证的基本原理

MS-CHAP 身份验证方法ISA Server2004 支持 Microsoft 质询握手身份验证协议 (MS-CHAP)，也称作 MS-CHAP 版本1。MS-CHAP 是一种不可逆的、加密密码身份验证协议。质询握手过程的工作原因如下：

身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
远程访问客户端再发送一个包含用户名、不可逆加密的质询字符串、会话标识符以及密码的响应。
身份验证程序检查该响应，如果确定为有效，则用户的凭据通过身份验证。
如果使用 MS-CHAP 作为身份验证协议，则可以使用 Microsoft 点对点加密 (MPPE) 来加密通过 PPP 或 PPTP 连接发送的数据。

ISA 服务器也支持 MS-CHAP 版本2。与 MS-CHAP 相比，MS-CHAP 版本2 为远程访问连接提供更强的安全性。您应该考虑使用 MS-CHAP 版本2 而不是 MS-CHAP。

注意

MS-CHAP（版本1 和版本2）是 Microsoft(r) Windows Server(tm)2003 家族提供的唯一支持在身份验证过程中更改密码的身份验证协议。
如果将 MS-CHAP v1 用作身份验证协议，则当用户的密码超过 14 个字符时，便不能建立 40 位的加密连接。这既会影响拨号和虚拟专用网络 (VPN) 远程访问，也会影响按需的拨号连接。
有关设置身份验证方法的说明，请参阅配置 VPN 身份验证方法。

MS-CHAP 版本2
ISA 服务器支持 Microsoft 质询握手身份验证协议版本2 (MS-CHAP v2)，它为远程访问连接提供更强的安全性。

MS-CHAP v2 是一种单向加密密码，其相互身份验证过程的工作方式如下：

身份验证程序（即远程访问服务器或 Internet 身份验证服务 (IAS) 服务器），将质询发送给包含一个会话标识符和一个任意质询字符串的远程访问客户端。
远程访问客户端发送的响应包括