Users Guide
Secured iSCSI Using Challenge-Handshake Authentication Protocol 51
使用 Challenge Handshake 驗證通
訊協定組態安全 iSCSI 連接
除較低 TCP/IP 和乙太網路層中可能存在的一些安全層之外,iSCSI 層本
身幾乎不包含對 iSCSI 通訊協定的安全保護功能。您可以按需要啟用和停
用 iSCSI 安全保護功能。
Microsoft
®
iSCSI Initiator 使用 Challenge Handshake 驗證通訊協定
(CHAP) 來驗證嘗試存取 iSCSI Target 的 iSCSI 主機系統的身份。iSCSI
Initiator 和 iSCSI Target 均使用 CHAP,並且共用一個預先定義的密碼。
初始器將密碼和其他資訊組合為一個值並使用訊息摘要 5 (MD5) 功能計
算一個單向雜湊。然後該雜湊值會傳送至目標。目標計算其共用的密碼和
其他資訊的單向雜湊。如果雜湊值相符,則初始器通過驗證。 其他安全資
訊包括一個 ID 值,該值隨每個 CHAP 對話方塊增加,以免遭受重送攻
擊。 Dell™ PowerVault™ NX1950 儲存解決方案也支援交互 CHAP。
通常認為 CHAP 比密碼驗證通訊協定 (PAP) 更加安全。
若要獲得有關
CHAP 和 PAP 的更多資訊,請參閱 RFC 1334 Web 站台
(http://rfc.arogo.net/rfc1334.html)。
CHAP 與 IPSec
CHAP 驗證連接的點並基於共用一個密碼 ( 類似於密碼的一個安全性金鑰 )
的點。IP 安全性 (IPSec) 是一種通訊協定,它在 IP 封包層上執行驗證和
資料加密,並提供附加級別的安全保護。
單向 CHAP 驗證
在單向 CHAP 驗證中,僅 iSCSI 目標驗證初始器。 密碼僅為目標設定,
而且存取目標的所有初始器都必須使用同一密碼才能啟動登入目標作業階
段。若要設定單向 CHAP 驗證,請在目標和初始器上組態下面章節中說
明的設定。