5.2　身份鑒別

5.2.1　概述

iSCSI協議本身提供了一種認證機制，目標器必須驗證啟動器，啟動器可以不驗證目標器。每個iSCSI連接建立之前都必須通過協商交換登錄響應iSCSI PDU來進行身份鑒別。iSCSI必須支持CHAP認證，可支持SRP認證。

5.2.2　CHAP認證

iSCSI應支持CHAP認證，認證方式包括雙向認證和目標器認證。

圖4為CHAP認證流程，如果啟動器認證失敗，目標器不應發送CHAP回應，應關閉iSCSI的TCP連接。

注：N，(A1,A2),I,C,R分別對應名字，算法，識別器，挑戰，回應。

圖4　CHAP認證流程

啟動器與目標器不應使用相同的CHAP認證密鑰。如果iSCSI連接中，啟動器收到的CHAP回應與目標器生成的CHAP回應相同，該協商應作為認證失敗并關閉該連接，保證在認證雙方使用不同的CHAP密鑰。

如果CHAP通過非加密方式實現，將容易受到離線字典攻擊。因此，CHAP認證應支持長度為128bits的隨機密鑰加密方式。

如果CHAP使用長度小于96bits的密鑰加密時，應使用IPSec加密保護連接。此外，IKE協商時不宜使用組預共享密鑰。

不應重復使用相同的雙向認證CHAP挑戰，應對此檢查并關閉相應TCP連接。

在多個啟動器與多個目標器認證時不宜配置相同的CHAP密鑰。推薦iSCSI檢查不同端點的CHAP密鑰標識，將檢測到的威脅警告用戶或者管理員。但是，一個啟動器與多個目標器可使用同一CHAP認證；一個目標器與多個啟動器也可使用同一CHAP認證。

5.2.3　SRP認證

iSCSI可使用SRP認證。

iSCSI應支持常用SRP組（SRP-768，SRP-1024，SRP-1280，SRP-1536，SRP-2048），可以支持附加SRP組（MODP-3072，MODP-4096，MODP-6144，MODP-8192）。啟動器與目標端必須支持高達1536bits的組（SRP-768，SRP-1024，SRP-1280，SRP-1536）。為了保證協同互用性，目標端必須一直將SRP-1536作為特定組使用。

注： SRP-N，N為密碼長度