【正文】 安全 SSH 的工作原理 . SSH 的應(yīng)用范圍 . 特點(diǎn)及適用范圍 SSH 在端到端建立起一條安全會(huì)話的通道 ，包括使用公有密鑰加密法進(jìn)行用戶和主機(jī)認(rèn)證，和使用對(duì)稱密鑰進(jìn)行數(shù)據(jù)加密。 簽名： r（簽名） =（ gkmod p） mod q； s（簽名） =（ k1（ H（ m） +xr）） mod q 。密鑰長度越長，簽名速度越慢，制約運(yùn)算速度的主要因素是大數(shù)的模指數(shù)運(yùn)算。但是長密鑰的使用會(huì)進(jìn)一步降低它的加密效率和減慢其運(yùn)算速度，應(yīng)用范圍將受到影響。因此 RSA 算法不適合在硬件實(shí)現(xiàn)，同時(shí)也不適合加密大量數(shù)據(jù)信息。 （ 2） 利用公鑰 s對(duì)接受到的消息 c進(jìn)行解密，得到 d=cs（ mod z）。構(gòu)建了一個(gè)安全性極高的公鑰加密體制。由 RonRivest、 AdiShamir 以及LeonardAdelman 三位美國人共同的研究設(shè)計(jì)， RSA 的工作原理主要是依據(jù)大整數(shù)因子分解問題。非對(duì)稱密鑰密碼體制的兩個(gè)密鑰分開管理的特點(diǎn)，解決了對(duì)稱密鑰密的通信環(huán)境 中，密碼體制中密鑰分發(fā)和管理的問題。這對(duì)密鑰分為公鑰，私鑰兩個(gè)部分。他的特點(diǎn)是加密運(yùn)算和解密運(yùn)算使用的是同一個(gè)密鑰，而且這個(gè)密鑰是合法使用者秘密擁有的。 SSH 的廣泛應(yīng)用使各種服務(wù)應(yīng)用免受攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸有了更高的保證。 目前我國信息化建設(shè)大潮如火，我國政府機(jī)關(guān) ? 企業(yè)單位的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。 21世紀(jì)全世界的計(jì)算機(jī)都通過 Inten 連到一起，信息安全的內(nèi)涵也就發(fā)生了根本的變化，它不僅從一般性的防衛(wèi)變成了一種非常普通的防范，而且還從一種專門的領(lǐng)域變成了無處不在，當(dāng)人類步入 21 世紀(jì)這一信息社會(huì)，網(wǎng)絡(luò)社會(huì)的時(shí)候，網(wǎng)絡(luò)數(shù)據(jù)傳輸加密技術(shù)受到各方面的重視及研究發(fā)展。 . 特點(diǎn)及適用范圍 錯(cuò)誤 !未定義書簽。論文首先從 SSH 的整個(gè)發(fā)展現(xiàn)況與前景進(jìn)行分析，提出了 SSH 加密技術(shù)需面對(duì)以及注意的幾個(gè)問題，在客觀地分析當(dāng)前大多數(shù)的加密技術(shù)的優(yōu)點(diǎn)以及缺點(diǎn)的過程中，提出了一些個(gè)人對(duì)于 SSH 加密技術(shù)的設(shè)想與建議。 [關(guān)鍵詞 ]SSH 加密技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)傳輸安全 程序設(shè)計(jì)SSH 加密技術(shù)研究及實(shí)現(xiàn) Abstract This paper through the analysis of the current some SSH encryption —technology research, and on the investigation to the SSH, for some technical problem in the process of work data transmission put forward some practical Suggestions and implement. Paper first from SSH39。 . SSH 的認(rèn)證和加密方式： 4 . SSH 的體系結(jié)構(gòu)： 4 . SSH 的工作模型 (Client/Server)： 4 . 服務(wù)器端認(rèn)證用戶 5 . SSH 的數(shù)據(jù)完整性 5 3. SSH 的安裝和使用 6 . SSH 的安裝： 6 . 服務(wù)器端 SSHD 的使用和配置： 6 . 安全 Shell 守護(hù)程序的使用 錯(cuò)誤 !未定義書簽。 傳統(tǒng)的網(wǎng)絡(luò)協(xié)議，如 FTP ? POP ?和 Tel 在傳輸機(jī)制和實(shí)現(xiàn)原理是沒有考慮到 安全機(jī)制的，基本質(zhì)上都是不安全的；因?yàn)樗麄冊(cè)诰W(wǎng)絡(luò)上用文明來傳數(shù)據(jù) ?用賬戶和口令，別有用心的有人通過竊聽 ?數(shù)據(jù)載流等網(wǎng)絡(luò)攻擊手段非常容易地就可以截獲這些數(shù)據(jù) ?用賬戶和口。已由最初簡單的辦公電腦星狀拓?fù)渎?lián)接 C/S? B/S 結(jié)構(gòu)并向更高級(jí)的多層次分布式結(jié)構(gòu)發(fā)展。 研究目標(biāo)和主要內(nèi)容 研究目標(biāo) 通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩缘难芯亢头治?，?duì) SSH 加密技術(shù)的 工作原理 研究及實(shí)現(xiàn)解決網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中一些不安全因素，便于使數(shù)據(jù)傳輸更加安全不被 被竊取 主要內(nèi)容 本文主要的目的是對(duì) SSH 如何進(jìn)行加密進(jìn)行研究。因此對(duì)稱密鑰密碼體制又可稱為單密鑰密碼體制、秘密密鑰密碼體制。公鑰部分對(duì)外公開，而私鑰部分則由秘密所有人自己保管。對(duì)于非對(duì)稱密鑰密碼體制，早擁有 n 個(gè)用戶的 ,n 對(duì)密鑰就能夠滿足所有用戶之間的保密通信 .弱有 m供熱用戶加入到此通信環(huán)境中 ,則只需要增加 m 對(duì)新密鑰即可滿足需求而不會(huì)帶來密鑰管理的大變動(dòng)。它的安全性由把一個(gè)大整數(shù) 分解成兩個(gè)大小差不多的素?cái)?shù)的乘積的難度產(chǎn)生。 首先， RSA 是這樣進(jìn)行設(shè)計(jì)公鑰與私鑰： 找到兩個(gè)足夠大的質(zhì)數(shù) p和 q： 球的 z=p*q； 河北司法警官職業(yè)學(xué)院 3 求得? =（ p1） *（ q1）； 尋找一個(gè)整數(shù) n，使得 gcd（ n，?） =1； 尋找一個(gè)整數(shù) s， 0s?，使得（ n*s） =1（ mod?）。那么 d 就是消息 a，即 d=a。另外，隨著大數(shù)分解算法的不斷改進(jìn)和高性能計(jì)算機(jī)以及 Inten 分布式計(jì)算機(jī)的不斷提高， RSA 的安全性已受到嚴(yán)重的挑戰(zhàn)。因此 RSA 算法一般用于較少的加密和數(shù)字簽名。 DSA 簽名中的參數(shù)描述： p 位 512~1024 位的大素?cái)?shù)（可以在一組用戶中共享）； q位160 位長，并與（ p1）互素的因子（可以在一組用戶中共享）； g=hp1/qmodp，其中 h 小于（ p1）且 (hp1/qmod p)1。 驗(yàn)證： w=s1modq、 u1=（ H（ m） .w） mod q 、 u2=（ ） mod q 。 適用范圍：防止包欺騙， IP/主機(jī)欺騙，密碼截獲，偵聽，不適用的范圍 :偵聽對(duì)特定端口的攻擊， Dos 攻擊等。如端口轉(zhuǎn)發(fā)時(shí)虛通道的分配?？蛻舳藢?duì)服務(wù)器端進(jìn)行認(rèn) 證和對(duì)稱密鑰傳送過程如下： (1)客戶端隨機(jī)生成校驗(yàn)字節(jié) (2)將校驗(yàn)字節(jié)發(fā)送給服務(wù)器（可加密） (3)服務(wù)器依據(jù)一定算法從校驗(yàn)字節(jié)中抽取對(duì)稱密鑰 (4)服務(wù)器將校驗(yàn)字節(jié)用私鑰加密附在公鑰上傳回客戶端 (5)客戶端解密后認(rèn)證校驗(yàn)字是否為原始發(fā)送的校驗(yàn)字 SSH1基于 ； SSH2基于 協(xié)議，因此二者并不兼容。 d 調(diào)試模式。調(diào)試輸出結(jié) 果存放于系統(tǒng)的日志文件，而警報(bào)機(jī)制則將被關(guān)閉。 g login_grale_time 與 sshd1一樣，它設(shè)置安全 shell 守護(hù)中的“警報(bào)”機(jī)制。你可以將它設(shè)置為 0，這意味著對(duì)確認(rèn)時(shí)間沒有限制。正常情況下，私有的主機(jī)密鑰文件是不可讀的（超級(jí)用戶除外）。與 SSH1類似，你可以選擇是否需要用TCP 外包來運(yùn)行安全 shell 守護(hù)程序或從 id 運(yùn)行它。 o option 你可以指定用在配置文件中 的選項(xiàng)，但命令行中的選項(xiàng)不能在這兒被指定。記住這也是在 /etc/services 中定義的端口號(hào)，除非你已經(jīng)改變了它。通常情況下被發(fā)送的內(nèi)容為連接的起始，用戶的認(rèn)證及連接的終止。這和將選項(xiàng) d2給 sshd 效果是一樣的。要做到這一點(diǎn)，你需要具備 SSH1的最新版本（目前為 ）以及 SSH2的一 份拷貝。然而，你可以同時(shí)使用 SSH1的最新版本與 SSH2。 河北司法警官職業(yè)學(xué)院 8 （ 2）一些例 子 這些選項(xiàng)并沒有隱含地設(shè)置。 你也可以將這些選項(xiàng)賦上隱含值，這和隱含地執(zhí)行命令有同樣的效果。 （ 3）從啟動(dòng)腳本中初始化安全 shell 運(yùn)行安全 shell 的大多數(shù)的系統(tǒng)管理員希望它總是處于運(yùn)行狀態(tài)，并且也不希望每次都要啟動(dòng)它，就能使其運(yùn)行。 操作系統(tǒng) 啟動(dòng)程序腳本 Slackware Linux /etc/ Red Hat Linux /etc/rc*.d Solaris /sbin/rc*.d HPUX /sbin/rc*.d Irix /etc/rc*.d 河北司法警官職業(yè)學(xué)院 9 AIX DEC UNIX （ 4）記錄你的連接 安全 shell 守護(hù)程序在隱含的情況下，記錄初始的連接請(qǐng)求，認(rèn)證及連接終止。 你同樣可以用 D PARANOID 選項(xiàng)使用 TCP 外包程序來記錄每一個(gè) socket。查閱你的操作系統(tǒng)使用手冊(cè)以尋找記錄文件的位置。安 全 shell 的 隱含 配 置 文件 是/etc/sshd2/sshd_config。這沒有提供與 SSH1一樣多的過 濾選項(xiàng)，但有一些還是很有用的，例如忽視 rhosts 文件和允許或禁止超級(jí)用戶登錄的權(quán)力。選項(xiàng)的隱含值是“ no”。記住這對(duì)超級(jí)用戶經(jīng)過 FTP tel 或其他方式登錄進(jìn)來并沒有影響。 SSH2沒有為 TIS 或dkerberos 認(rèn)證提供選項(xiàng)，至少在本書出版時(shí)尚未出現(xiàn)。它和 sshd1配置選項(xiàng)一樣。它和 sshd1的配置選項(xiàng)一樣。通常情況下應(yīng)將它們?cè)O(shè)為“ no”。隱含值是“ no”，最好就保留這個(gè)值。認(rèn)證不需要口令，但要求在遠(yuǎn)程端有 DSA 或 RSA 密鑰認(rèn)證。 PubKeyAuthentication 可以使用任意多種類型的認(rèn)證，或正如所見，也可以單獨(dú)使用一種類型的認(rèn)證。隱含值為“ yes”，你最好將選項(xiàng)保持在該狀態(tài)。不可以為該選項(xiàng)指定其他的值： any,anystd 和 anycipher,在你調(diào)試和測(cè)試時(shí)，將選項(xiàng)置為 none。 KeepAlive 安全 shell 守護(hù)能通過設(shè)置來決定是否發(fā)生存活（ Keepalive）信息。但如果你不發(fā)送存活信息，會(huì)留下一些能夠消耗掉資源的幽靈一般的程序。如果你沒有多個(gè)主 IP 接口的話，隱含值是你的主IP接口。 使用 方法： 河北司法警官職業(yè)學(xué)院 12 Port 21 StrictModes 可以使服務(wù)器在建立登錄連接之前檢查用戶主目錄的文件模式和屬主。 使用方法： StrictModes yes ForwardX11 這個(gè)選項(xiàng)確定是否允許 X 轉(zhuǎn)寄通過安全 shell 守護(hù)。然而，如果你打算讓 X 傳輸能傳送到遠(yuǎn)端，最好讓它們轉(zhuǎn)寄到安全 shell。 AuthorizationFile 這 個(gè) 選 項(xiàng) 指 定 用 戶 授 權(quán) 文 件 的 名 字 。正常情況下，除了對(duì)超級(jí)用戶主機(jī)密鑰文件是不可讀的。 PublicHostKeyFile 與 HostKeyFile 選項(xiàng)類似，該選 項(xiàng)指定用來做公有主機(jī)密鑰。絕大部分設(shè) 置發(fā)生于登錄時(shí)使用的 .profile 或 .cshrc 之類的設(shè)置。隱含時(shí)間為 600秒。 使用方法： LoginGraceTime 660 PrintMotd 該選項(xiàng)決定用戶帳號(hào)是否打印出存放于 /etc/id 中的系統(tǒng)每日信息。 使用方法： PrintMotd no 6．登錄選項(xiàng) 這些選項(xiàng)能夠影響被送往日志文件的信息。通常情況下被發(fā)送的內(nèi)容是：連接起始標(biāo)志，用戶的認(rèn)證和河北司法警官職業(yè)學(xué)院 14 連接終止標(biāo)志。 使用方法： QuietMode no Verbose Mode 在該模式下， sshd2將會(huì)打印出第 2層的調(diào)試信息。安全文件傳輸服務(wù)器由安全 shell 2守護(hù)來運(yùn)行，后者偵聽端口 22。而非服務(wù)器程序，安全 FTP 將會(huì)在“安全 shell 2客戶 — ssh2, scp2和 sftp2”中加以描述。 為了所有這些意圖和目標(biāo)， ssh2具有很簡單的語法： $ ssh2 [選項(xiàng) ]主機(jī)名 [命令 ] 注意：不必鍵入 ssh2或 scp2來運(yùn)行任何一個(gè)安全 shell2客戶程序。 ssh2的命令行選項(xiàng)比 ssh1命令行選項(xiàng)更豐富。這一點(diǎn)和 ssh1客戶相同。 c cipher 這和在 ssh 中定義的選項(xiàng)相同，這是因?yàn)樗恢苯觽魉徒o ssh。所選擇的密碼有 IDEA， DES， 3DES， Blowfish 和 Twofish。 Blowfish 和 Twofish 是 ssh2支持的最快的算法 。這和 ssh 的 c 選項(xiàng)相同。使用配置文件也可以允許為基于單個(gè)主機(jī)配置該選項(xiàng)。 d debug_level 這打印出所要的第幾級(jí)的調(diào)試信息。 e escape_character 這定義轉(zhuǎn)義字符。 你也可以定義為“ none”，這使用會(huì)話透明，但你可能想在連接懸掛起來時(shí)讓它作為缺省值。 f 把 ssh 連接發(fā)送到后臺(tái)。用戶被提示輸入口令（假設(shè)認(rèn)證代理沒有運(yùn)行），接著連接被發(fā)送到后臺(tái)。首先讀入可選的文件，然后再加入缺省文件選項(xiàng)。缺省文件為 $HOME/.ssh2/id_dsa1024_a。這個(gè)選項(xiàng)和 ssh1的相同。這和 ssh1中的選項(xiàng)相同， socket 監(jiān)聽在本地主機(jī)上端口和何時(shí)建立到該端