全面概括SSH協(xié)議的知識
說到SSH協(xié)議,它和安全是密不可分的。那么具體的工作層次,以及相關(guān)的一些基本架構(gòu),發(fā)展歷史和擴(kuò)展。我們本文都有所涉及,希望能讓大家全面了解這個(gè)協(xié)議。
SSH為Secure Shell的縮寫,由IETF的網(wǎng)絡(luò)工作小組(Network Working Group)所制定;SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。
傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序,如FTP、POP和Telnet其本質(zhì)上都是不安全的;因?yàn)樗鼈冊诰W(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、用戶帳號和用戶口令,很容易受到中間人(man-in-the-middle)攻擊方式的攻擊。就是存在另一個(gè)人或者一臺機(jī)器冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù),然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。
而SSH是目前較可靠,專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,也能夠防止DNS欺騙和IP欺騙。
SSH之另一項(xiàng)優(yōu)點(diǎn)為其傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣取SH有很多功能,它既可以代替Telnet,又可以為FTP、POP、甚至為PPP提供一個(gè)安全的“通道”。
歷史
最初的SSH協(xié)議是由芬蘭的一家公司開發(fā)的,但是因?yàn)槭馨鏅?quán)和加密算法等等的限制,現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件包,而且是開放源代碼和免費(fèi)的。
基本架構(gòu)
SSH協(xié)議框架中最主要的部分是三個(gè)協(xié)議:
傳輸層協(xié)議(The Transport Layer Protocol):傳輸層協(xié)議提供服務(wù)器認(rèn)證,數(shù)據(jù)機(jī)密性,信息完整性等的支持。
用戶認(rèn)證協(xié)議(The User Authentication Protocol):用戶認(rèn)證協(xié)議為服務(wù)器提供客戶端的身份鑒別。
連接協(xié)議(The Connection Protocol):連接協(xié)議將加密的信息隧道復(fù)用成若干個(gè)邏輯通道,提供給更高層的應(yīng)用協(xié)議使用。
同時(shí)還有為許多高層的網(wǎng)絡(luò)安全應(yīng)用協(xié)議提供擴(kuò)展的支持。
各種高層應(yīng)用協(xié)議可以相對地獨(dú)立于SSH基本體系之外,并依靠這個(gè)基本框架,通過連接協(xié)議使用SSH的安全機(jī)制。
SSH的安全驗(yàn)證
在客戶端來看,SSH提供兩種級別的安全驗(yàn)證。
第一種級別(基于密碼的安全驗(yàn)證),知道帳號和密碼,就可以登錄到遠(yuǎn)程主機(jī),并且所有傳輸?shù)臄?shù)據(jù)都會被加密。但是,可能會有別的服務(wù)器在冒充真正的服務(wù)器,無法避免被“中間人”攻擊。
第二種級別(基于密匙的安全驗(yàn)證),需要依靠密匙,也就是你必須為自己創(chuàng)建一對密匙,并把公有密匙放在需要訪問的服務(wù)器上。客戶端軟件會向服務(wù)器發(fā)出請求,請求用你的密匙進(jìn)行安全驗(yàn)證。服務(wù)器收到請求之后,先在你在該服務(wù)器的用戶根目錄下尋找你的公有密匙,然后把它和你發(fā)送過來的公有密匙進(jìn)行比較。如果兩個(gè)密匙一致,服務(wù)器就用公有密匙加密“質(zhì)詢”(challenge)并把它發(fā)送給客戶端軟件。從而避免被“中間人”攻擊。
在服務(wù)器端,SSH也提供安全驗(yàn)證。 在第一種方案中,主機(jī)將自己的公用密鑰分發(fā)給相關(guān)的客戶端,客戶端在訪問主機(jī)時(shí)則使用該主機(jī)的公開密鑰來加密數(shù)據(jù),主機(jī)則使用自己的私有密鑰來解密數(shù)據(jù),從而實(shí)現(xiàn)主機(jī)密鑰認(rèn)證,確定客戶端的可靠身份。 在第二種方案中,存在一個(gè)密鑰認(rèn)證中心,所有提供服務(wù)的主機(jī)都將自己的公開密鑰提交給認(rèn)證中心,而任何作為客戶端的主機(jī)則只要保存一份認(rèn)證中心的公開密鑰就可以了。在這種模式下,客戶端必須訪問認(rèn)證中心然后才能訪問服務(wù)器主機(jī)。
SSH協(xié)議的可擴(kuò)展能力
SSH協(xié)議框架中設(shè)計(jì)了大量可擴(kuò)展的冗余能力,比如用戶自定義算法、客戶自定義密鑰規(guī)則、高層擴(kuò)展功能性應(yīng)用協(xié)議。這些擴(kuò)展大多遵循IANA的有關(guān)規(guī)定,特別是在重要的部分,像命名規(guī)則和消息編碼方面。
