【正文】 SSH 加密技術(shù)研究及實(shí)現(xiàn) 注釋 [1] 柳西玲 :《 Java 語(yǔ)言應(yīng)用開(kāi)發(fā)基礎(chǔ)》， 北京， 清華大學(xué)出版社 200 [2] 朱喜福：《 Java 程序設(shè)計(jì)》， 北京， 20xx 版。這意味著除非你在查找故障或是測(cè)試，你不要以這種模式運(yùn)行。 使用方法： SshlAgentCompatibility ssh2 SshlCompatibility 如果你想同時(shí)支持 SSH1和 SSH2，就要把它設(shè)置成 “yes” 。然而，如果你打算讓 X信息量遠(yuǎn)程通過(guò)，你會(huì)希望通過(guò)安全 shell 轉(zhuǎn)寄它。它們包括：轉(zhuǎn)寄認(rèn)證代理到遠(yuǎn)程主機(jī)以及轉(zhuǎn)寄 X11信息量。如果使用特權(quán)端口，只有 在遠(yuǎn)程主機(jī)上以超級(jí)用戶登錄才能轉(zhuǎn)寄該端口的連接。這和 sshl 客戶機(jī)的 L 選項(xiàng)相同。也可以為所要連接到的每臺(tái)主機(jī)定義一個(gè)身份文件。 注意不再有 GlobalKnownHostsFile 和 UserKnownHostsFile 選項(xiàng)。這和 sshl 的選項(xiàng)相同。然而，如果路由暫時(shí)失敗，則將受挫并看到如下的信息： Connection down。在運(yùn)行 rsh 之前，你將得到不安全的警告。這是 gzip 應(yīng)用程序使用的相同算法。 注意： CompressionLevel， ClearAllForwardings,ConnectionAttempts 和ProxyCommand 不再被安全 Shell2的選項(xiàng)支持。 使用方法： RhostsPubKeyAuthentication no RHostsPubKeyAuthentication：該選項(xiàng)設(shè)置你的認(rèn)證是基于帶公共密鑰對(duì)的 .rhosts河北司法警官職業(yè)學(xué)院 21 或 /etc/。 使用方法： PasswordPrompt″ %u password″ 缺省為“ yes”，從更通常的意義上來(lái)說(shuō)口令字所要做的是保護(hù)私人密鑰，而不是帳號(hào)本身。 它可以用來(lái)配置客戶是否把主機(jī)密鑰自動(dòng)加到$HOME/.ssh2/know_hosts 文件中還是提出主機(jī)密鑰請(qǐng)求。 （ 1）主機(jī)名選項(xiàng) 可以通過(guò)一 些配置選項(xiàng)來(lái)定義影響你連接到的遠(yuǎn)程主機(jī)的一些選項(xiàng)。這可以在配置文件中接每臺(tái)主機(jī)單獨(dú)指定端口。為要獲得最佳的安全特性，使用 IDEA。此外，這和 scp1使用的選項(xiàng)相同。產(chǎn)生 scp2打印有關(guān) scp2進(jìn)程的調(diào)試信息。這和scp1使用的選項(xiàng)相同，該選項(xiàng)直到版本 。如果你工作在文件備份并想保證文件的完整性，你會(huì)發(fā)現(xiàn)該選項(xiàng)很有用。 D debug_level_spel 該選項(xiàng)指定你接收的調(diào)試的數(shù)量。你也可以選擇“ none”，但 是這不允許任何的加密從而使得安全 Shell 客戶變得不安全。 l 使 scp2運(yùn)行 scp1。它和 ssh1中的選項(xiàng)完成相同的事情。這和 ssh1中使用的選項(xiàng)相同，它強(qiáng)制產(chǎn)生虛擬 tty，即使給出了命令。這和 ssh1的選項(xiàng)相同。 p 指定使用大于 1023的端口，這是一個(gè)非特權(quán)端口。這和 ssh1中的選項(xiàng)相同。端口轉(zhuǎn)寄也可能以通過(guò)配置文件按每個(gè)主機(jī)定義?？梢詾椴煌鳈C(jī)定義多個(gè)文件。 F configuration_file 該選項(xiàng)指定使用哪個(gè)用戶配置文件。為了能使用轉(zhuǎn)義字符。數(shù)字越大，所得到的信息越多。不要把它們混淆。你也可以選擇“ none”，但該選擇關(guān)閉加密從而使安全 Shell 客戶變得不安全。它阻止了加載到內(nèi)存中的口令（ passphrase）被用于安全 Shell 客戶的發(fā)行。在安裝了 ssh2應(yīng)用程序之后， ssh 和 scp 的符號(hào)連接會(huì)分別連接到 ssh2和 scp2。從某種意義上說(shuō)，它的工作機(jī)理和 scp 非常相像。除非你的日志文件總是很快就被填滿，否則最好不要打開(kāi)這個(gè)選項(xiàng)。這與 sshd1中的同名選項(xiàng)類似，僅應(yīng)用于以交互方式登錄時(shí)（不是以 scp 與 ssh 后隨命令的方式）。但你也可以在安全 shell守護(hù)配置文件中設(shè)置它們并使其發(fā)生作用。隱含值為 /etc/ssh2/hostkey。隱含設(shè)置為“ yes”。這與 sshd1所擁有的選項(xiàng)一致，這是一個(gè)很好的選項(xiàng)，因?yàn)橛脩艨赡軙?huì)意外地將目錄與文件的選項(xiàng)置為可寫(xiě)。如果你要關(guān)閉存活信息發(fā)送選項(xiàng)， 必須同時(shí)修改服務(wù)器端與客戶端的配置文件。 Sshd1Path 如果你準(zhǔn)備與 SSH1兼容，就需要指定 SSH1路徑，尤其是當(dāng)你將 sshd1安裝在一個(gè)非公共目錄下時(shí)。比如說(shuō)你就可以僅允許公共密鑰認(rèn)證工作。如果你想使用 Rhosts 認(rèn)證，就讓它和 RHostsPubKey Authentication 中的公共密鑰認(rèn)證結(jié)合起來(lái)使用?？梢栽试S空口令，然而，我們建議你最 好不要這樣做。 PasswordGuesses 該選項(xiàng)指定用戶正確地鍵入口令前最多登錄企圖，以進(jìn)行口令認(rèn)證。如果你想使用的話，用 .shosts 來(lái)代替 .rhosts 從而提高安全性能。 下面列出了你可以在 sshd_config 配置文件中為安全 shell 設(shè)置的選項(xiàng)。這有可能會(huì)復(fù)制安全 shell 守護(hù)程序的一些工作，也可以通過(guò)配置，使其能提供更為詳盡的信息。解決這個(gè)問(wèn)題的一個(gè)簡(jiǎn)單的辦法就是將其置于一個(gè)啟動(dòng)程序腳本中。安全 shell 守護(hù)的隱含設(shè)置是使用 768bit 的服務(wù)器密鑰，它每小時(shí)重新產(chǎn)生一次，認(rèn)證超時(shí)限度則為 10分鐘，在端口 22上偵聽(tīng)連接，在 /etc/ssh2目錄下尋找配置文件等。必須同時(shí)運(yùn)行兩種守護(hù)程序從而能接受和發(fā)送這兩種版本的安全 shell 客戶的連接請(qǐng)求。除非你的系統(tǒng)日志總是很快就被填滿 ，你最好不要打開(kāi)這種模式。 p port 與 sshd1類似。但如果你以普通的用戶身份運(yùn)行安全 shell 守護(hù)，河北司法警官職業(yè)學(xué)院 7 情況就不一樣了。它給客戶程序一個(gè)確定的時(shí)間，每到相應(yīng)的時(shí)間間隔，客戶將和服務(wù)器確認(rèn)一次。這和 sshd1一樣。用對(duì)稱密鑰（會(huì)話密鑰）加密傳輸數(shù)據(jù) . SSH 的認(rèn)證和加密方式： . SSH 的體系結(jié)構(gòu)： 連接層 用戶認(rèn)證層 傳輸層 傳輸層 :完成加密算法的協(xié)商 ,保證傳輸數(shù)據(jù)的致密性和完整性 ,在傳送對(duì)稱密鑰的同時(shí)完成客戶端對(duì)服務(wù)器端的認(rèn)證。x 為用戶秘密密鑰，想 xq， x≠ 0； y 為用戶公開(kāi)密鑰， y=gkmod p；m為待簽名數(shù)據(jù)； k 為小于 q的隨機(jī)數(shù)。為了提高RSA 算法的安全性，通常的辦法就是使用更長(zhǎng)的密鑰。 （ n， s）是公鑰，他用來(lái)對(duì)消息進(jìn)行加密； s 是私鑰，用來(lái)對(duì)加密消息進(jìn)行解密。非對(duì)稱密鑰密碼體制簡(jiǎn)單的密鑰管理促進(jìn)了密碼學(xué)在現(xiàn)實(shí)生活中的應(yīng)用。對(duì)稱密鑰密碼體制算法一般對(duì)外是公開(kāi)的起安全性主要依賴于密鑰的秘密性。 SSH 技術(shù)是近幾年所出現(xiàn)的一種開(kāi)源的 安全協(xié)議，具有相當(dāng)出色的可靠性。 . 客戶程序 的使用和配置 14 . 安全 shell 客戶程序的使用 錯(cuò)誤 !未定義書(shū)簽。SSH 加密技術(shù)研究及實(shí)現(xiàn) 畢 業(yè) 論 文 論文題目： SSH加密技術(shù)研究及實(shí)現(xiàn) SSH 加密技術(shù)研究及實(shí)現(xiàn) 內(nèi) 容 摘 要 本 論文通過(guò)對(duì)當(dāng)前一些 SSH 加密技術(shù)研究的分析，以及對(duì) SSH 的考察，對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程的一些技術(shù)問(wèn)題提出一些實(shí)用性的建議及實(shí)現(xiàn)。 總 結(jié) 28 注釋 29 參考文獻(xiàn) 30 致 謝 31 SSH 加密技術(shù)研究及實(shí)現(xiàn) 1. 緒論 . 研究背景和意義 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)特別是 Inten 技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益受到人們的重視。很多國(guó)有大中型企業(yè) ?銀行 ?金融機(jī)構(gòu)均采用基于該技術(shù)手段加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全。它在設(shè)計(jì)過(guò)程中加大了算法雙核機(jī)的復(fù)雜度，并且設(shè)計(jì)長(zhǎng)密鑰進(jìn)行加解 密 . 非對(duì)稱密鑰密碼體制 非對(duì)稱密鑰密碼體制，與對(duì)稱密鑰密碼體制最大的不同是非對(duì)稱密鑰密碼體制使用的是有兩個(gè)密鑰組成的一對(duì)密鑰。 . RSA 算法 RSA 是目前應(yīng)用最為廣泛的一種非對(duì)稱加密算法。如果我們要對(duì)整數(shù) a進(jìn)行 RSA 加密解密，其加密解密過(guò)程如下； （ 1） 利用公鑰（ n， z）對(duì) a進(jìn)行加密，得到 c=an（ mod z），然后對(duì) c進(jìn)行傳輸。從而增加大整數(shù)分解的難度，延長(zhǎng)破解 RSA 私鑰的時(shí)間。（不同的 m 簽名時(shí)不同）。 用戶認(rèn)證層：位于傳輸層之上，它在傳輸層保證數(shù)據(jù)致密性和 完整性的情況下完成服務(wù)器方對(duì)用戶方的認(rèn)證。斷開(kāi)連接 . SSH 的數(shù)據(jù)完整性 SSH 包格式 河北司法警官職業(yè)學(xué)院 6 驗(yàn)字節(jié) =摘要函數(shù)（數(shù)據(jù)，順序號(hào)，會(huì)話密鑰） 如果發(fā)送方和接收方校驗(yàn)字節(jié)相同，說(shuō)明數(shù)據(jù)未被改動(dòng)。安全 shell 守護(hù)被啟動(dòng)，但它并沒(méi)有在后臺(tái)運(yùn)行也沒(méi)有產(chǎn)生任何子進(jìn)程。隱含的時(shí)間為 600秒（ 10分鐘）。同樣，如果你使用了替換文件，確信其權(quán)限已被設(shè)為 400。你可以指定服務(wù)器偵聽(tīng) socket 的端口。因?yàn)檫@樣你可以檢查是否有人非法地進(jìn)入系統(tǒng)。如果沒(méi)有這樣做，你就不能發(fā)送或接受安全 shell 客戶的連接請(qǐng)求。隱含情況下，安全 shell 守護(hù)以如下方式運(yùn)行： sshd 下面的例子與第三章類似。這和第三章“安全 shell 守護(hù)程序 — sshd”中描述過(guò)的 SSH1啟動(dòng)過(guò)程十分類似。 記住你的記錄存放位置與操作系統(tǒng)有關(guān)。在/etc/sshd2/sshd_config 文件中，定義這些選項(xiàng)的格式如下： OptionType Argument 如果你有多個(gè)參數(shù)，用空白行隔開(kāi)它們。 河北司法警官職業(yè)學(xué)院 10 PermitRootLogin 你可以定義超級(jí)用戶是否可以通過(guò) ssh2登錄進(jìn)來(lái)。這個(gè)數(shù)字必須是 一個(gè)整數(shù)，設(shè)置值越高，其他人竊取口令的可能性也就越大，如果你僅允許口令認(rèn)證的話。如果某人進(jìn)入你的主機(jī)，最起碼還需要提供口令以進(jìn)入系統(tǒng)。 RHostsPubKeyAuthentication 在安全 shell2的最新版本中并沒(méi)有安裝這個(gè)選項(xiàng)。這和 sshd1的RSAAuthentication 選項(xiàng)一致。 ForwardAgent 這個(gè)選項(xiàng)確定你是否能將安全 shell 認(rèn)證代理（ sshagent2）轉(zhuǎn)寄到遠(yuǎn)程主機(jī)上。 使用方法： KeepAlive Yes ListenAddress 如果你正在運(yùn)行一個(gè)多地址主機(jī)，可以指定你希望服務(wù)器偵聽(tīng)的地址。如果的確是這樣，一定要將它們改正過(guò)來(lái)。 使用方法： ForwardX11 yes ： 這些選項(xiàng)定義安全 shell 守護(hù)密鑰文件的存放位置。如果你使用了一個(gè)替代文件，一定要將其屬性設(shè)為 400，這與 h選項(xiàng)一樣。 LoginGraceTime 該選項(xiàng)設(shè)置安全 shell 守護(hù)中的“警報(bào)”機(jī)制，與 sshd1的配置選項(xiàng)效果相同。選項(xiàng)的隱含值為“ yes”。定期審查登錄的蹤跡是一個(gè)好習(xí)慣，這樣可以查看是否有人非法進(jìn)入到你的系統(tǒng)。它使用非安全應(yīng)用程序（ rcp 或 ftp）的代碼，連接也通過(guò)端口 22被轉(zhuǎn)寄。如果安裝有 ssh1和 ssh2客戶程序。如果需要，你可以在每個(gè)主機(jī)的配置文件里指定該功能而不是在全局定義這種功能。該“ none”選項(xiàng)可以只用來(lái)調(diào)試和測(cè)試所要的目標(biāo)，而不在實(shí)際中使用。這使用 gzip 算法，并且壓縮級(jí)別可以通過(guò)配置文件的 CompressionLevel 選項(xiàng)定義。該數(shù)字從 0到 99。鍵入轉(zhuǎn)義字符，隨后鍵入字點(diǎn)號(hào)，這就終止連接。缺省的配置文件為~/.ssh2/ssh2_config。如果你的確定義了不同文件，可能想為每臺(tái)主機(jī)分別命名這些文件（例如，,）。對(duì)于特權(quán)端口，只有超級(jí)用戶可以轉(zhuǎn)寄。這包括 StrictHostKeyCheckingUseRsh，在命令行中沒(méi)有這些選項(xiàng)。這和 ssh1的選項(xiàng)相同。這和 L選項(xiàng)的工作相反。這可以用在于遠(yuǎn)程主機(jī)上執(zhí)行基于屏幕的程序。 x 不允許 X傳輸?shù)霓D(zhuǎn)寄。這個(gè)（是 1(一 )而不是 l(L)。該“ none”選擇應(yīng)該只用于調(diào)試和測(cè)試目的，而不用于實(shí)際的應(yīng)用中，最好的選擇是使用 3DES， IDEA 或 Blowfish。它和 ssh2使用選項(xiàng)相同。 p port 可以指定客戶機(jī)連接到哪個(gè)端口上的 服務(wù)器。 S path_ro_ssh2 該選項(xiàng)指定到 ssh2的路徑。它打印出第 2級(jí)上的調(diào)試信息。你可以選擇想用哪種對(duì)稱鑰匙密碼來(lái)加密網(wǎng)絡(luò)傳輸，不影響使用 DSA 或 RSA 公共密鑰的認(rèn)證。如河北司法警官職業(yè)學(xué)院 19 果 IDEA 不被雙方的安全 Shell