Users Guide

使用 CHAP 配置安全的 iSCSI 连接 33

使用挑战握手认证协议配置安全

的 iSCSI 连接

除可能位于较低的 TCP/IP 和 Ethernet 层的安全层以外， iSCSI 层自身也

含有部分 iSCSI 协议的安全特性。您可以根据需要启用和禁用这些 iSCSI

安全特性。

Microsoft

iSCSI Initiator 使用挑战握手认证协议 (CHAP) 验证尝试访问

iSCSI Target 的 iSCSI 主机系统的身份。 iSCSI Initiator 和 iSCSI Target 使

用 CHAP 并共享预定义机密。 Initiator 将该机密与其它信息组合为一个

值，并使用报文摘要 5 (MD5) 功能计算单向散列值。散列值将传输给

Ta rg e t 。 Ta r ge t 对其共享机密和其它信息计算单向散列值。如果所得散列

值相符，则 Initiator 可通过验证。其他安全信息包括随每个 CHAP 对话

不断增大以防重放攻击的 ID 值。 Dell™ PowerVault™ NAS 存储解决方案

还支持双向 CHAP。

CHAP 通常被认为比密码验证协议 (PAP)

更为安全。

CHAP 与 IPSec 比较

CHAP 可对连接的同位体进行验证，并以共享某一机密（类似密码的安

全密钥）的同位体为基础。 IP 安全 (IPSec) 是一种协议，它在 IP 数据包

层强制执行验证和数据加密，并提供附加级别的安全性。

单向 CHAP 验证

在单向 CHAP 验证中，仅 iSCSI Target 验证 Initiator。在此情况下，系统

只为该 Targ e t 设置机密，而所有访问该 Ta rg e t 的 Initiator 均须使用同一机

密来启动与该 Targ et 的登录会话。要设置单向 CHAP 验证，请在 Targ et

和 Initiator 上配置以下各节所述的设置。

iSCSI Target 设置

在配置本节所述设置之前，请确保已创建少量 iSCSI Target 和虚拟磁盘，

并已将虚拟磁盘分配给这些 Ta rg e t。