MS-CHAP
微软旗下产品
MS-CHAP v1 also allows for error codes including a password expired code and password changes. MS-CHAP v1 protects against replay attacks by using an arbitrary challenge string per authentication attempt. MS-CHAP v1 does not provide protection against remote server impersonation.
v1
The Microsoft Challenge Handshake Authentication Protocol version 1 (MS-CHAP v1) is an encrypted authentication mechanism very similar to CHAP. As in CHAP, the remote access server sends a challenge to the remote client that consists of a session ID and an arbitrary challenge string. The remote client must return the user name and a Message Digest 4 (MD4) hash of the challenge string, the session ID, and the MD4-hashed password.
One difference between CHAP and MS-CHAP v1 is that, in CHAP, the plaintext version of the password must be available to validate the challenge response. With MS-CHAP v1, the remote access server only requires the MD4 hash of the password to validate the challenge response. In Windows 2000, the user's password is stored as an MD4 hash and in a reversibly encrypted form. When CHAP is used, the remote access server decrypts the reversibly encrypted password to validate the remote access client's response.
The remote access server sends an MS-CHAP Challenge message containing a session ID and an arbitrary challenge string.
The remote access client returns an MS-CHAP Response message containing the user name in cleartext and a hash of the challenge string, session ID, and the MD4 hash of the client's password using the MD4 one-way hashing algorithm.
The remote access server duplicates the hash and compares it to the hash in the MS-CHAP Response. If the hashes are the same, the remote access server sends back an MS-CHAP Success message. If the hashes are different, an MS-CHAP Failure message is sent.
The use of MS-CHAP v1 is negotiated during LCP negotiation by specifying the authentication protocol LCP option (type 3), the authentication protocol 0xC2-23, and the algorithm 0x80. Once LCP negotiation is complete, MS-CHAP v1 messages use the PPP protocol ID of 0xC2-23.
If MS-CHAP v1 is used as the authentication protocol and MPPE is negotiated, then shared secret encryption keys are generated by each PPP peer. MS-CHAP v1 also provides a set of messages that allows a user to change their password during the user authentication process.
在微软挑战握手认证协议版本1(MS-CHAP V1)是一个加密的认证机制,第为人非常相似,远程访问服务器发送到远程客户端,包括会话ID和任意的字符串的挑战挑战。远程客户端必须返回用户名和消息摘要4(MD4)挑战的字符串哈希,会话ID,和MD4哈希密码。
小伙子MS-CHAP V1的一个区别是,在人,密码的明文版本必须是可以验证的挑战响应。随着MS-CHAP V1,远程访问服务器只需要密码的MD4哈希验证挑战响应。在Windows 2000中,用户的密码存储为MD4哈希和可逆加密的形式。当人用,远程访问服务器解密可逆加密的密码验证远程访问客户端的响应。
MS-CHAP V1认证是一个三的消息交换:
远程访问服务器发送一个握手协议的挑战消息包含一个会话ID字符串和一个任意的挑战。
远程访问客户端返回一个响应消息明文MS-CHAP包含用户的名字和一个哈希字符串的挑战,会话ID,和MD4哈希的客户密码使用MD4单向哈希算法。
远程访问服务器复制的哈希和比较它的MS-CHAP响应哈希。如果哈希值是相同的,远程访问服务器返回一个MS-CHAP成功消息。如果哈希值是不同的,一个失败的消息被发送的MS-CHAP。
MS-CHAP V1使用协商在LCP协商通过指定认证协议LCP选项(3型),认证协议0xc2-23,并且算法0x80。当LCP协商完成,MS-CHAP V1消息使用0xc2-23 PPP协议ID。
MS-CHAP V1也允许错误代码包括一个“密码”代码和密码修改。MS-CHAP V1防止重放攻击利用一个任意字符串/身份验证尝试挑战。MS-CHAP V1不提供保护对远程服务器模拟。
如果MS-CHAP V1作为认证协议MPPE协商,然后共享密钥加密密钥生成的每个PPP。MS-CHAP V1也提供了一系列的信息,允许用户在认证过程中更改自己的密码。
v2
Microsoft 质询握手身份验证协议 (MS-CHAP v2) 是一个通过单向加密密码进行的相互身份验证过程,工作流程如下:
1.身份验证器(远程访问服务器或 NPS 服务器)向远程访问客户端发送质询,其中包含会话标识符和任意质询字符串。
2.远程访问客户端发送包含下列信息的响应:
● 用户名。
● 任意对等质询字符串。
● 接收的质询字符串、对等质询字符串、会话标识符和用户密码的单向加密。
3.身份验证器检查来自客户端的响应并发送回包含下列信息的响应:
● 指示连接尝试是成功还是失败。
● 经过身份验证的响应,基于发送的质询字符串、对等质询字符串、加密的客户端响应和用户密码。
4.远程访问客户端验证身份验证响应,如果正确,则使用该连接。如果身份验证响应不正确,远程访问客户端将终止该连接。
启用 v2
若要启用基于 MS-CHAP v2 的身份验证,必须执行下列操作:
启用 MS-CHAP v2 作为远程访问服务器上的身份验证协议。
在相应的网络策略上启用 MS-CHAP v2。默认情况下启用 MS-CHAP v2。
在远程访问客户端上启用 MS-CHAP v2。
其他注意事项 MS-CHAP v2 是随 Windows Server® 2008 系列提供的、唯一支持在身份验证过程中更改密码的身份验证协议。
在 NPS 服务器的网络策略上启用 MS-CHAP v2 之前,确保您的网络访问服务器 (NAS) 支持 MS-CHAP v2。有关详细信息,请参阅 NAS 文档。
参考资料
MS-CHAP v2.微软官方技术资源库.
最新修订时间:2024-06-18 01:57
目录
概述
v1
参考资料