【正文】 對(duì)服務(wù)器端的認(rèn)證。 v=(()mod p)mod q。x 為用戶秘密密鑰，想 xq， x≠ 0； y 為用戶公開(kāi)密鑰， y=gkmod p；m為待簽名數(shù)據(jù)； k 為小于 q的隨機(jī)數(shù)。 . DSA 算法 數(shù)字簽名算法是由美國(guó)安全局開(kāi)發(fā)并有美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所作為數(shù)字簽名標(biāo)準(zhǔn)的有一個(gè)部分進(jìn)行發(fā)布煩人 DSA 是 Schnor 和 Gamal 算法的變形。為了提高RSA 算法的安全性，通常的辦法就是使用更長(zhǎng)的密鑰。 由于此過(guò)程之中私鑰的保密性和對(duì)于大整數(shù) z 的因式分解是困難的，這就保證了罅隙傳遞過(guò)程中的安全性。 （ n， s）是公鑰，他用來(lái)對(duì)消息進(jìn)行加密； s 是私鑰，用來(lái)對(duì)加密消息進(jìn)行解密。有研究表明，對(duì)于一個(gè)常規(guī) 512 位密鑰進(jìn)行因式分解至少需要 7個(gè)月的時(shí)間。非對(duì)稱密鑰密碼體制簡(jiǎn)單的密鑰管理促進(jìn)了密碼學(xué)在現(xiàn)實(shí)生活中的應(yīng)用。因此， 非對(duì)稱密鑰密碼體制又可稱為公開(kāi)密鑰密碼體制。對(duì)稱密鑰密碼體制算法一般對(duì)外是公開(kāi)的起安全性主要依賴于密鑰的秘密性。首先通過(guò)研究 SSH 的工作原理及安裝和使用以及研究的密鑰學(xué) `為了更好地了解 SSH 協(xié)議，這一章將介紹協(xié)議的算法知識(shí)、對(duì)稱密鑰體質(zhì)、非對(duì)稱密鑰體質(zhì)， HASH 算法等基本概念。 SSH 技術(shù)是近幾年所出現(xiàn)的一種開(kāi)源的安全協(xié)議，具有相當(dāng)出色的可靠性。而且，這些網(wǎng)絡(luò)服務(wù)程序的簡(jiǎn)單安全驗(yàn)證方式也有其弱點(diǎn)，那就是很容易受到別人的攻擊。 . 客戶程序 的使用和配置 14 . 安全 shell 客戶程序的使用 錯(cuò)誤 !未定義書簽。s whole development present situation and prospect analysis, put forward SSH encryption technology must face and pay attention to several problems, the objective analysis of the current most of the encryption process, the advantages and disadvantages of put forward some personal ideas to SSH encryption and the suggestion Key words: SSH Encryption technology Network data transmission security The program design 目 錄 1. 緒論 1 . 研究背景和意義 1 研究目標(biāo)和主要內(nèi)容 錯(cuò)誤 !未定義書簽。 畢 業(yè) 論 文 論文題目： SSH加密技術(shù)研究及實(shí)現(xiàn) 內(nèi) 容 摘 要 本 論文通過(guò)對(duì)當(dāng)前一些 SSH 加密技術(shù)研究的分析，以及對(duì) SSH 的考察，對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程的一些技術(shù)問(wèn)題提出一些實(shí)用性的建議及實(shí)現(xiàn)。 研究目標(biāo) 1 主要內(nèi)容 1 . 對(duì)稱 密鑰密碼體質(zhì)： 2 . 非對(duì)稱密鑰密碼體制 2 . RSA 算法 2 . DSA 算法 3 2. 安全 SSH 的工作原理 4 . SSH 的應(yīng)用范圍 錯(cuò)誤 !未定義書簽。 總 結(jié) 28 注釋 29 參考文獻(xiàn) 30 致 謝 31 1. 緒論 . 研究背景和意義 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)特別是 Inten 技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益受到人們的重視。服務(wù)器和登陸者之間的數(shù)據(jù)傳送就被竊取和篡改就會(huì)出現(xiàn)很嚴(yán)重的問(wèn)題。很多國(guó)有大中型企業(yè) ?銀行 ?金融機(jī)構(gòu)均采用基于該技術(shù)手段加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全。并對(duì) SSH 協(xié)議中采用的算法，諸如： RSA、 DSA、 DES3 等進(jìn)行介紹 河北司法警官職業(yè)學(xué)院 2 . 對(duì)稱密鑰密碼體質(zhì)： 對(duì)稱密鑰密碼體質(zhì)是一種比較傳統(tǒng)的加密方式。它在設(shè)計(jì)過(guò)程中加大了算法雙核機(jī)的復(fù)雜度，并且設(shè)計(jì)長(zhǎng)密鑰進(jìn)行加解密 . 非對(duì)稱密鑰密碼體制 非對(duì)稱密鑰密碼體制，與對(duì)稱密鑰密碼體制最大的 不同是非對(duì)稱密鑰密碼體制使用的是有兩個(gè)密鑰組成的一對(duì)密鑰。 非對(duì)稱密鑰密碼體制的產(chǎn)生是密碼學(xué)史上的一次根本性的變革與飛躍，大大地豐富了密碼學(xué)的內(nèi)容。 . RSA 算法 RSA 是目前應(yīng)用最為廣泛的一種非對(duì)稱加密算法。這也就在說(shuō)經(jīng)由RSA 公鑰加密的消息，要通過(guò)已 知公鑰來(lái)破解私鑰獲得明文，一般情況下再消息的有效時(shí)間內(nèi)是很難成功的，畢竟對(duì)于研究條件具備各種技術(shù)情況下，破解 512 位的的公鑰都需要7 個(gè)月時(shí)間，更何況 RSA 的公鑰通常都是 1024 位，如果消息的保密性還高的話可以使用2048 位，或者更多，這樣 RSA 就利用了一個(gè)難以解決的數(shù)學(xué)問(wèn)題。如果我們要對(duì)整數(shù) a進(jìn)行 RSA 加密解密，其加密解密過(guò)程如下； （ 1） 利用公鑰（ n， z）對(duì) a進(jìn)行加密，得到 c=an（ mod z），然后對(duì) c進(jìn)行傳輸。 相比較對(duì)稱密碼算法， RSA 算法效率較低，速度較慢。從而增加大整數(shù)分解的難度，延長(zhǎng)破解 RSA 私鑰的時(shí)間。 密鑰長(zhǎng)度是 512~1024 位。（不同的 m 簽名時(shí)不同）。 如果 v=r，則驗(yàn)證成功。 用戶認(rèn)證層：位于傳輸層之上，它在傳輸層保證數(shù)據(jù)致密性和完整性的情況下完成服務(wù)器方對(duì)用戶方的認(rèn)證。 建立連接 河北司法警官職業(yè)學(xué)院 5 . 服務(wù)器端認(rèn)證用戶 認(rèn)證的過(guò)程如上圖所示：客戶端用自己的私鑰將一段明文加密，并將自己的公鑰附在密文后面?zhèn)鹘o服務(wù)器，服務(wù)器端用公鑰解密，如果成功，再將公鑰送往公鑰數(shù)據(jù)庫(kù)或認(rèn)證中心進(jìn)行身份認(rèn)證。斷開(kāi)連接 . SSH 的數(shù)據(jù)完整性 SSH 包格式 河北司法警官職業(yè)學(xué)院 6 驗(yàn)字節(jié) =摘要函數(shù)（數(shù)據(jù)，順序號(hào)，會(huì)話密鑰） 如果發(fā)送方和接收方校驗(yàn)字節(jié)相同，說(shuō)明數(shù)據(jù)未被改動(dòng)。 . 服務(wù)器端 SSHD 的使用和配置： b bits 可以指定服務(wù)器密鑰的比特?cái)?shù)。安全 shell 守護(hù)被啟動(dòng)，但它并沒(méi)有在后臺(tái)運(yùn)行也沒(méi)有產(chǎn)生任何子進(jìn)程。 f configfile 與 sshd1一樣， 你可以指定一個(gè)特定的配置文件。隱含的時(shí)間為 600秒（ 10分鐘）。 h host_key_file 與 sshd1一樣，它指定用于私有主機(jī)密鑰的文件。同樣，如果你使用了替換文件，確信其權(quán)限已被設(shè)為 400。當(dāng)服務(wù)器密鑰重新產(chǎn)生時(shí)，客戶程序?yàn)榱说玫揭粋€(gè)正常長(zhǎng)度或更為強(qiáng)壯的服務(wù)器密鑰而不得不等待過(guò)長(zhǎng)的時(shí)間。你可以指定服務(wù)器偵聽(tīng) socket 的端口。 q 指定啞模式，這意味著系統(tǒng)日志接受不到任何信息。因?yàn)檫@樣你可以檢查是否有人非法地進(jìn)入系統(tǒng)。 注： sshd2中沒(méi)有 k key_generation_time 選項(xiàng)。如果沒(méi)有這樣做，你就不能發(fā)送或接受安全 shell 客戶的連接請(qǐng)求。但你不能連接 SSH1客戶與 SSH2服務(wù)器，反之亦然。隱含情況下，安全 shell 守護(hù)以如下方式運(yùn)行： sshd 下面的例子與第三章類似。記住，你并不希望自己的密鑰非常脆弱。這和第三章“安全 shell 守護(hù)程序 — sshd”中描述過(guò)的 SSH1啟動(dòng)過(guò)程十分類似。這來(lái)自 Slackware Linux 的日志文件 /var/adm/message。 記住你的記錄存放 位置與操作系統(tǒng)有關(guān)。有一些選項(xiàng)是不能在命令行中被設(shè)置的，但可以在配置文件中設(shè)置它們以使其工作。在/etc/sshd2/sshd_config 文件中，定義這些選項(xiàng)的格式如下： OptionType Argument 如果你有多個(gè)參數(shù)，用空白行隔開(kāi)它們。它定義 了 .rhosts 和 .shosts 是否被允許用來(lái)認(rèn)證。 河北司法警官職業(yè)學(xué)院 10 PermitRootLogin 你可以定義超級(jí)用戶是否可以通過(guò) ssh2登錄進(jìn)來(lái)。你既可以使用其中一種，也可以使用它們的組合以通過(guò)安全 shell 進(jìn)入帳戶。這個(gè)數(shù)字必須是一個(gè)整數(shù)，設(shè)置值越高，其他人竊取口令的可能性也就越大，如果你僅允許口令認(rèn)證的話。你可能選擇關(guān)閉口令認(rèn)證，但是最好在使用 PubKeyAuthentication 時(shí)使用。如果某人進(jìn)入你的主機(jī)，最起碼還需要提供口令以進(jìn)入系統(tǒng)。它與sshd1配置文件中的選項(xiàng) RhostsAuthentication 選項(xiàng)一致。 RHostsPubKeyAuthentication 在安全 shell2的最新版本中 并沒(méi)有安裝這個(gè)選項(xiàng)。如果你讓該選項(xiàng)取值“ yes”（這也是隱含值），你就有必要為主機(jī)設(shè)置更為嚴(yán)格的登錄要求。這和 sshd1的RSAAuthentication 選項(xiàng)一致。 Ciphers 可以指定準(zhǔn)備用來(lái)加密的算法。 ForwardAgent 這個(gè)選項(xiàng)確定你是否能將安全 shell 認(rèn)證代理（ sshagent2）轉(zhuǎn)寄到遠(yuǎn)程主機(jī)上。這和 sshd1的配置文件中選項(xiàng)一致。 使用方法： KeepAlive Yes ListenAddress 如果你正在運(yùn)行一個(gè)多地址主機(jī)，可以指定你希望服 務(wù)器偵聽(tīng)的地址。但在端口22已經(jīng)被使用的情況下你可能會(huì)指定一個(gè)其他的端口。如果的確是這樣，一定要將它們改正過(guò)來(lái)。與其它的 TCP 傳輸一樣，這個(gè)選項(xiàng)在用戶指定轉(zhuǎn)寄時(shí)會(huì)被覆蓋掉。 使用方法： ForwardX11 yes ： 這些選項(xiàng)定義安全 shell 守護(hù)密鑰文件的存放位置。 使用方法： HostKey $ HOME/.ssh2/ssh2_identity HostKeyFile 這個(gè)選項(xiàng)指定用來(lái)做私有主機(jī)密鑰的文件，與 sshd1的 Host Key 選項(xiàng)一致。如果你使用了一個(gè)替代文件，一定要將其屬性設(shè)為 400，這與 h選項(xiàng)一樣。它和 sshd1配置選項(xiàng) RandomSeed 一致。 LoginGraceTime 該選項(xiàng)設(shè)置安全 shell 守護(hù)中的“警報(bào)”機(jī)制，與 sshd1的配置選項(xiàng)效果相同?？梢詫⑦@個(gè)選項(xiàng)設(shè)為零，這將意味著對(duì)認(rèn)證時(shí)間沒(méi)有限制。選項(xiàng)的隱含值為“ yes”。 Quiet Mode 該選項(xiàng)設(shè)置啞模式，這意味著將不會(huì)有任何信息被送往系統(tǒng)日志文件。定期審查登錄的蹤跡是一個(gè)好習(xí)慣，這樣可以查看是否有人非法進(jìn)入到你的系統(tǒng)。該選項(xiàng)與“ v”選項(xiàng)類似。它使用非安全應(yīng)用程序（ rcp 或 ftp）的代碼，連接也通過(guò)端口 22被轉(zhuǎn)寄。 ssh2客戶程序具有更多的選項(xiàng)，這是因?yàn)榫哂斜葐渭兛截愇募嗟墓δ堋Ｈ绻惭b有 ssh1和 ssh2客戶程序。 注意： ssh2不存在 k Kerberos 標(biāo)簽和 y 遠(yuǎn)程端選項(xiàng)。如果需要，你可以在每個(gè)主機(jī)的配置文件里指定該功能而不是在全局定義這種功能。你可以選擇你想要的對(duì)稱鑰匙密碼來(lái)加密網(wǎng)絡(luò)傳輸。該“ none”選項(xiàng)可以只用來(lái)調(diào)試和測(cè)試所要的目標(biāo)，而不在實(shí)際中使用。如果 IDEA 不同時(shí)被兩臺(tái)安全 shell 服務(wù)器支持，則使用 3DES。這使用 gzip 算法，并且壓縮級(jí)別可以通過(guò)配置文件的 CompressionLevel 選項(xiàng)定義。請(qǐng)注意這和 ssh1的選項(xiàng)作用 是相反的。該數(shù)字從 0到 99。