【正文】 河北司法警官職業(yè)學(xué)院 4 2. 安全 SSH 的工作原理 . SSH 的應(yīng)用范圍 . 特點(diǎn)及適用范圍 SSH 在端到端建立起一條安全會(huì)話的通道 ，包括使用公有密鑰加密法進(jìn)行用戶和主機(jī)認(rèn)證，和使用對(duì)稱密鑰進(jìn)行數(shù)據(jù)加密。密鑰長度越長，簽名速度越慢，制約運(yùn)算速度的主要因素是大數(shù)的模指數(shù)運(yùn)算。因此 RSA 算法不適合在硬件實(shí)現(xiàn)，同時(shí)也不適合加密大量數(shù)據(jù)信息。構(gòu)建了一個(gè)安全性極高的公鑰加密體制。非對(duì)稱密鑰密碼體制的兩個(gè)密鑰分開管理的特點(diǎn)，解決了對(duì)稱密鑰密的通信環(huán)境 中，密碼體制中密鑰分發(fā)和管理的問題。他的特點(diǎn)是加密運(yùn)算和解密運(yùn)算使用的是同一個(gè)密鑰，而且這個(gè)密鑰是合法使用者秘密擁有的。 目前我國信息化建設(shè)大潮如火，我國政府機(jī)關(guān) ? 企業(yè)單位的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。 . 特點(diǎn)及適用范圍 錯(cuò)誤 !未定義書簽。 [關(guān)鍵詞 ]SSH 加密技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)傳輸安全 程序設(shè)計(jì)SSH 加密技術(shù)研究及實(shí)現(xiàn) Abstract This paper through the analysis of the current some SSH encryption —technology research, and on the investigation to the SSH, for some technical problem in the process of work data transmission put forward some practical Suggestions and implement. Paper first from SSH39。 傳統(tǒng)的網(wǎng)絡(luò)協(xié)議，如 FTP ? POP ?和 Tel 在傳輸機(jī)制和實(shí)現(xiàn)原理是沒有考慮到 安全機(jī)制的，基本質(zhì)上都是不安全的；因?yàn)樗麄冊诰W(wǎng)絡(luò)上用文明來傳數(shù)據(jù) ?用賬戶和口令，別有用心的有人通過竊聽 ?數(shù)據(jù)載流等網(wǎng)絡(luò)攻擊手段非常容易地就可以截獲這些數(shù)據(jù) ?用賬戶和口。 研究目標(biāo)和主要內(nèi)容 研究目標(biāo) 通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩缘难芯亢头治?，?duì) SSH 加密技術(shù)的 工作原理 研究及實(shí)現(xiàn)解決網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中一些不安全因素，便于使數(shù)據(jù)傳輸更加安全不被 被竊取 主要內(nèi)容 本文主要的目的是對(duì) SSH 如何進(jìn)行加密進(jìn)行研究。公鑰部分對(duì)外公開，而私鑰部分則由秘密所有人自己保管。它的安全性由把一個(gè)大整數(shù) 分解成兩個(gè)大小差不多的素?cái)?shù)的乘積的難度產(chǎn)生。那么 d 就是消息 a，即 d=a。因此 RSA 算法一般用于較少的加密和數(shù)字簽名。 驗(yàn)證： w=s1modq、 u1=（ H（ m） .w） mod q 、 u2=（ ） mod q 。如端口轉(zhuǎn)發(fā)時(shí)虛通道的分配。 SSH1基于 ； SSH2基于 協(xié)議，因此二者并不兼容。調(diào)試輸出結(jié) 果存放于系統(tǒng)的日志文件，而警報(bào)機(jī)制則將被關(guān)閉。你可以將它設(shè)置為 0，這意味著對(duì)確認(rèn)時(shí)間沒有限制。與 SSH1類似，你可以選擇是否需要用TCP 外包來運(yùn)行安全 shell 守護(hù)程序或從 id 運(yùn)行它。記住這也是在 /etc/services 中定義的端口號(hào)，除非你已經(jīng)改變了它。這和將選項(xiàng) d2給 sshd 效果是一樣的。然而，你可以同時(shí)使用 SSH1的最新版本與 SSH2。 你也可以將這些選項(xiàng)賦上隱含值，這和隱含地執(zhí)行命令有同樣的效果。 操作系統(tǒng) 啟動(dòng)程序腳本 Slackware Linux /etc/ Red Hat Linux /etc/rc*.d Solaris /sbin/rc*.d HPUX /sbin/rc*.d Irix /etc/rc*.d 河北司法警官職業(yè)學(xué)院 9 AIX DEC UNIX （ 4）記錄你的連接 安全 shell 守護(hù)程序在隱含的情況下，記錄初始的連接請(qǐng)求，認(rèn)證及連接終止。查閱你的操作系統(tǒng)使用手冊以尋找記錄文件的位置。這沒有提供與 SSH1一樣多的過 濾選項(xiàng)，但有一些還是很有用的，例如忽視 rhosts 文件和允許或禁止超級(jí)用戶登錄的權(quán)力。記住這對(duì)超級(jí)用戶經(jīng)過 FTP tel 或其他方式登錄進(jìn)來并沒有影響。它和 sshd1配置選項(xiàng)一樣。通常情況下應(yīng)將它們設(shè)為“ no”。認(rèn)證不需要口令，但要求在遠(yuǎn)程端有 DSA 或 RSA 密鑰認(rèn)證。隱含值為“ yes”，你最好將選項(xiàng)保持在該狀態(tài)。 KeepAlive 安全 shell 守護(hù)能通過設(shè)置來決定是否發(fā)生存活（ Keepalive）信息。如果你沒有多個(gè)主 IP 接口的話，隱含值是你的主IP接口。 使用方法： StrictModes yes ForwardX11 這個(gè)選項(xiàng)確定是否允許 X 轉(zhuǎn)寄通過安全 shell 守護(hù)。 AuthorizationFile 這 個(gè) 選 項(xiàng) 指 定 用 戶 授 權(quán) 文 件 的 名 字 。 PublicHostKeyFile 與 HostKeyFile 選項(xiàng)類似，該選 項(xiàng)指定用來做公有主機(jī)密鑰。隱含時(shí)間為 600秒。 使用方法： PrintMotd no 6．登錄選項(xiàng) 這些選項(xiàng)能夠影響被送往日志文件的信息。 使用方法： QuietMode no Verbose Mode 在該模式下， sshd2將會(huì)打印出第 2層的調(diào)試信息。而非服務(wù)器程序，安全 FTP 將會(huì)在“安全 shell 2客戶 — ssh2, scp2和 sftp2”中加以描述。 ssh2的命令行選項(xiàng)比 ssh1命令行選項(xiàng)更豐富。 c cipher 這和在 ssh 中定義的選項(xiàng)相同，這是因?yàn)樗恢苯觽魉徒o ssh。 Blowfish 和 Twofish 是 ssh2支持的最快的算法 。使用配置文件也可以允許為基于單個(gè)主機(jī)配置該選項(xiàng)。 e escape_character 這定義轉(zhuǎn)義字符。 f 把 ssh 連接發(fā)送到后臺(tái)。首先讀入可選的文件，然后再加入缺省文件選項(xiàng)。這個(gè)選項(xiàng)和 ssh1的相同。這是ssh1具有的相同選項(xiàng)。該選項(xiàng)的格式和配置文件中的格式相同。然而，這對(duì)通過不具有該選項(xiàng)配置的防火墻進(jìn)行的連接很有用。端口的轉(zhuǎn)寄可以在配置中為每個(gè)主機(jī)單獨(dú)指定。它和 ssh1中選項(xiàng)的作用相同。由于已知 X 是不安全的，對(duì)過份追求安全的站點(diǎn)可能要使用該選項(xiàng)，該選項(xiàng)可以通過配置文件為每臺(tái)主機(jī)單獨(dú)指定。 c cipher 這和在 ssh2中定義的選項(xiàng)相同，是因?yàn)樗潜恢苯影l(fā)送到 ssh2的。為了獲得最好的安全特性，使用 IDEA。它不運(yùn)行 scp2程序。缺省端口為端口 22，該端口是為安全 Shell 保留的端口。如果你把 ssh 安裝在一個(gè)非標(biāo)準(zhǔn)目錄中時(shí)，就要使用該選項(xiàng) 。這和 scp1中使用的選項(xiàng)相類似。你也可以選擇“ none”，但是這將不允許任何加密從而導(dǎo)致安全 Shell 客戶不安全。它和 ssh2使用的選項(xiàng)相同。該選項(xiàng)和使用在 scp2中的選項(xiàng)相同。通過通配符，你可以過濾一段地址或通過整個(gè)域過濾。你的選擇可以是“ no”、“ yes”和“ ask”。記住，它對(duì)具有正在進(jìn)行認(rèn)證代理而不是使用遠(yuǎn)程主機(jī)很有幫助。 使用方法： PasswordAuthentication Yes 這和使用在 ssh1中的RhostAuthentication 選項(xiàng)相同，并且它把你的系統(tǒng)暴露在 Berkeley 服務(wù)的攻擊之下，那是如所周知的，這也是你首先要使用安全 Shell 的原因。這并不需要一個(gè)口令字，但它的確需要遠(yuǎn)程端具有一個(gè)公共密鑰對(duì)進(jìn)行認(rèn)證。這不需要遠(yuǎn)程主機(jī)登錄或口令字來幫助認(rèn)證。這是 ssh1中使用的相同選項(xiàng)。 使用方法： Compression yes EscapeChar 定義轉(zhuǎn)義字符 ，它和 ssh1選項(xiàng)一樣。 作為 ，現(xiàn)在還沒有實(shí)現(xiàn)。缺省設(shè)置為“ yes”，它意味著服務(wù)器發(fā)送保持活動(dòng)的信息。 使用方法： User ahc UseRsh 該選項(xiàng)指定是否應(yīng)該在這臺(tái)主機(jī)上使用 rsh。缺省為 $HOME/.ssh2/authorization 使用方法： AuthorizationFile~/.ssh2/ RandomSeedFile 該選項(xiàng)指定用戶的隨機(jī)種子文件在哪里以及用于產(chǎn)生用來創(chuàng)建公共密鑰對(duì)的隨機(jī)數(shù)。包括有：定義本地和遠(yuǎn)程轉(zhuǎn)寄端口，安全shell 客戶連接的實(shí)際端口，以 及是否使用了特權(quán)端口。這和使用在 shell 中的 p選項(xiàng)相同，并且類似于安全 Shell 服務(wù)器守護(hù)程序配置文件的端口選項(xiàng)。不能使用這個(gè)選項(xiàng)來進(jìn)行遠(yuǎn)程主機(jī)認(rèn)證 (不管是和公共密鑰認(rèn)證捆綁或它自身 )。在你不使用口令字和想使用安全 shell 來作諸如 shell 腳本等事情時(shí)將有所幫助。這包括：使用 SS1的兼容代碼，使 SSH1的認(rèn)證代理兼容，以及 sshl 的路徑。缺省為 /usr/local/bin/sshl。被打印出來的信息只是導(dǎo)致 ssh2不能按原有的方式工作的致命錯(cuò)誤。 [5] 韓萬江《軟件工程案例教程》，北京，機(jī)械工業(yè)出版社 版 ， 1830， 191227. [6] 李剛：《輕量級(jí) Java EE 企業(yè)應(yīng)用實(shí)戰(zhàn) Struts 2+Spring+Hibernate 整合開發(fā)。多數(shù)人保留該選項(xiàng)為 “no” 。 使用方法 : SshlPath /usr/local/security/bin/sshl （ 8）冗余選項(xiàng) 這些模式?jīng)Q定你希望安全 shell 客戶告訴你多少東西?？梢允褂?的選項(xiàng)是 “none”,“ traditional” 和 “ssh2” 。這是和 sshl 中使用的相同選項(xiàng)。盡管這在 ，它和 sshl 的UsePrivilegedPort 選項(xiàng)相同。這是和 sshl 中使用的相同選項(xiàng)。 LocalForward 這把任何到指定端口的本地主機(jī)的端口連接轉(zhuǎn)寄到遠(yuǎn)程主機(jī)的連接端口，這是使用在 sshl 的相同選項(xiàng)。 使用方法： RandomSeedFile~/.ssh2/ IdentityFile 該選項(xiàng)指定用戶 DSA 或 RSA 私人密鑰放置的地方。因此，除了繼承 rsh 的安全問題外，你可能不想使用這個(gè)特殊選項(xiàng)。小心如果你決定這樣作，仍可能是懸掛進(jìn)程。 使用方法： GoBackground Yes KeepAlive 安全 Shell 守護(hù)程序可以設(shè)置成發(fā)送保持活動(dòng)狀態(tài)或不發(fā)送該信息。這和你可以在命令行上使用的 e選項(xiàng)一樣。你 最好是選擇 IDEA、 3DES 或選擇 Blowfish。這和安全 Shell 服務(wù)器守護(hù)程序配置選項(xiàng) RhostsAuthentication 類似。如果你保持該選項(xiàng)為“ yes”（缺省值 ）可能想設(shè)置一些更嚴(yán)格的主機(jī)登錄請(qǐng)求。這和設(shè)置RHostsAuthentication 的安全 Shell 服務(wù)器守護(hù)程序相類似。該選項(xiàng)把 ssh1 中的 PasswordPromptHostname 和 PasswordPromptLogin 的兩個(gè)選項(xiàng)合并成一個(gè)選項(xiàng)。 使用方法： BatchMode no （ 2）認(rèn)證 安全 Shell 提供不同的認(rèn)證方法：口令字，遠(yuǎn)程主機(jī)（ rhost），公共密鑰和 TIS 認(rèn)證機(jī)制。這是與用在 ssh1中相同的選項(xiàng)。 v 冗余模式。 p port 可以指定客戶連接到哪個(gè)端口上的服務(wù)器。 DES 和 Arcfour 是已知的兩種 不安全的密碼，因此不要使用它們。它也有兩個(gè)調(diào)試選項(xiàng)，但只有在運(yùn)行到出現(xiàn)問題時(shí)才會(huì)用到它們。在把源文件（和目錄）拷貝到目的后，該選項(xiàng)將刪除這些原文件（和目錄）而不是保留住它們。這是和 ssh2不同的，因?yàn)?rcp 使用 p來保留文件屬性。 p 保留從源主機(jī)拷貝過來文件的屬性。 d 這是一種明智的檢查，以確定拷貝目是目錄?？梢赃x擇你要用的對(duì)稱鑰匙密碼來加密網(wǎng)絡(luò)傳輸。這恰好是 ssh2的缺省選項(xiàng)。使 ssh 產(chǎn)生打印關(guān)于程序運(yùn)行的調(diào)試信息。 S 這為安全 shell 客戶指定不需要會(huì) 話通道。這和 ssh1使用的選項(xiàng)一樣，通常適合于警告和診斷信息。缺省端口22，是為安全 shell 保留的端口。這通常用于腳本以及發(fā)送正在在遠(yuǎn)程主機(jī)上運(yùn)行的 X 傳輸。這是很有用的選項(xiàng)，因?yàn)榻裉煊行┤送ㄟ^不同的帳號(hào)使用著不同主機(jī)。這不運(yùn)行 ssh2客戶 程序。在認(rèn)證完成并且 TCP/IP 轉(zhuǎn)寄建立之后發(fā)生。但可以設(shè)置為任何字符成控制字符。請(qǐng)注意這和 ssh1的選項(xiàng)作用 是相反的。如果 IDEA 不同時(shí)被兩臺(tái)安全 shell 服務(wù)器支持，則使用 3DES。你可以選擇你想要的對(duì)稱鑰匙密碼來加密網(wǎng)絡(luò)傳輸。 注意： ssh2不存在 k Kerberos 標(biāo)簽和 y 遠(yuǎn)程端選項(xiàng)。 ssh2客戶程序具有更多的選項(xiàng)，這是因?yàn)榫哂斜葐渭兛截愇募嗟墓δ堋Ｔ撨x項(xiàng)與“ v”選項(xiàng)類似。 Quiet Mode 該選項(xiàng)設(shè)置啞模式，這意味著將不會(huì)有任何信息被送往系統(tǒng)日志文件?？梢詫⑦@個(gè)選項(xiàng)設(shè)為零，這將意味著對(duì)認(rèn)證時(shí)間沒有限制。它和 sshd1配置選項(xiàng) RandomSeed 一致。 使用方法： HostKey $ HOME/.ssh2/ssh2_identity HostKeyFile 這個(gè)選項(xiàng)指定用來做私有主機(jī)密鑰的文件，與 sshd1的 Host Key 選項(xiàng)一致。與其它的 TCP 傳輸一樣，這個(gè)選項(xiàng)在用戶指定轉(zhuǎn)寄時(shí)會(huì)被覆蓋掉。但在端口22已經(jīng)被使用的情況下你可能會(huì)指定一個(gè)其他的端口。這和 sshd1的配置文件中選項(xiàng)一致。 Ciphers 可以指定準(zhǔn)備用來加密的算法。如果你讓該選項(xiàng)取值“ yes”（這也是隱含 值），你就有必要為主機(jī)設(shè)置更為嚴(yán)格的登