MS-CHAP

The Microsoft Challenge Handshake Authentication Protocol version 1 (MS-CHAP v1) is an encrypted authentication mechanism very similar to CHAP. As in CHAP, the remote access server sends a challenge to the remote client that consists of a session ID and an arbitrary challenge string. The remote client must return the user name and a Message Digest 4 (MD4) hash of the challenge string, the session ID, and the MD4-hashed password.

One difference between CHAP and MS-CHAP v1 is that, in CHAP, the plaintext version of the password must be available to validate the challenge response. With MS-CHAP v1, the remote access server only requires the MD4 hash of the password to validate the challenge response. In Windows 2000, the user's password is stored as an MD4 hash and in a reversibly encrypted form. When CHAP is used, the remote access server decrypts the reversibly encrypted password to validate the remote access client's response.

The remote access server sends an MS-CHAP Challenge message containing a session ID and an arbitrary challenge string.

The remote access client returns an MS-CHAP Response message containing the user name in cleartext and a hash of the challenge string, session ID, and the MD4 hash of the client's password using the MD4 one-way hashing algorithm.

The remote access server duplicates the hash and compares it to the hash in the MS-CHAP Response. If the hashes are the same, the remote access server sends back an MS-CHAP Success message. If the hashes are different, an MS-CHAP Failure message is sent.

The use of MS-CHAP v1 is negotiated during LCP negotiation by specifying the authentication protocol LCP option (type 3), the authentication protocol 0xC2-23, and the algorithm 0x80. Once LCP negotiation is complete, MS-CHAP v1 messages use the PPP protocol ID of 0xC2-23.

If MS-CHAP v1 is used as the authentication protocol and MPPE is negotiated, then shared secret encryption keys are generated by each PPP peer. MS-CHAP v1 also provides a set of messages that allows a user to change their password during the user authentication process.

在微軟挑戰握手認證協議版本1（MS-CHAP V1）是一個加密的認證機制，第為人非常相似，遠程訪問服務器發送到遠程客户端，包括會話ID和任意的字符串的挑戰挑戰。遠程客户端必須返回用户名和消息摘要4（MD4）挑戰的字符串哈希，會話ID，和MD4哈希密碼。

小夥子MS-CHAP V1的一個區別是，在人，密碼的明文版本必須是可以驗證的挑戰響應。隨着MS-CHAP V1，遠程訪問服務器只需要密碼的MD4哈希驗證挑戰響應。在Windows 2000中，用户的密碼存儲為MD4哈希和可逆加密的形式。當人用，遠程訪問服務器解密可逆加密的密碼驗證遠程訪問客户端的響應。

MS-CHAP V1認證是一個三的消息交換：

遠程訪問服務器發送一個握手協議的挑戰消息包含一個會話ID字符串和一個任意的挑戰。

遠程訪問客户端返回一個響應消息明文MS-CHAP包含用户的名字和一個哈希字符串的挑戰，會話ID，和MD4哈希的客户密碼使用MD4單向哈希算法。

遠程訪問服務器複製的哈希和比較它的MS-CHAP響應哈希。如果哈希值是相同的，遠程訪問服務器返回一個MS-CHAP成功消息。如果哈希值是不同的，一個失敗的消息被髮送的MS-CHAP。

MS-CHAP V1使用協商在LCP協商通過指定認證協議LCP選項（3型），認證協議0xc2-23，並且算法0x80。當LCP協商完成，MS-CHAP V1消息使用0xc2-23 PPP協議ID。

MS-CHAP V1也允許錯誤代碼包括一個“密碼”代碼和密碼修改。MS-CHAP V1防止重放攻擊利用一個任意字符串/身份驗證嘗試挑戰。MS-CHAP V1不提供保護對遠程服務器模擬。

如果MS-CHAP V1作為認證協議MPPE協商，然後共享密鑰加密密鑰生成的每個PPP。MS-CHAP V1也提供了一系列的信息，允許用户在認證過程中更改自己的密碼。

Microsoft 質詢握手身份驗證協議 (MS-CHAP v2) 是一個通過單向加密密碼進行的相互身份驗證過程，工作流程如下：

1.身份驗證器（遠程訪問服務器或 NPS 服務器）向遠程訪問客户端發送質詢，其中包含會話標識符和任意質詢字符串。

2.遠程訪問客户端發送包含下列信息的響應：

● 用户名。

● 任意對等質詢字符串。

● 接收的質詢字符串、對等質詢字符串、會話標識符和用户密碼的單向加密。

3.身份驗證器檢查來自客户端的響應併發送回包含下列信息的響應：

● 指示連接嘗試是成功還是失敗。

● 經過身份驗證的響應，基於發送的質詢字符串、對等質詢字符串、加密的客户端響應和用户密碼。

4.遠程訪問客户端驗證身份驗證響應，如果正確，則使用該連接。如果身份驗證響應不正確，遠程訪問客户端將終止該連接。

若要啓用基於 MS-CHAP v2 的身份驗證，必須執行下列操作：

啓用 MS-CHAP v2 作為遠程訪問服務器上的身份驗證協議。

在相應的網絡策略上啓用 MS-CHAP v2。默認情況下啓用 MS-CHAP v2。

在遠程訪問客户端上啓用 MS-CHAP v2。

其他注意事項 MS-CHAP v2 是隨 Windows Server® 2008 系列提供的、唯一支持在身份驗證過程中更改密碼的身份驗證協議。

在 NPS 服務器的網絡策略上啓用 MS-CHAP v2 之前，確保您的網絡訪問服務器 (NAS) 支持 MS-CHAP v2。有關詳細信息，請參閲 NAS 文檔。 ^[1]