【正文】 總 結 本文綜合軟件工程、數據庫原理、計算機網絡、面向對象程序設計運用了在學校學校學到的課程知識，將課程的理論知 識都融于本次論文中，使理論與實踐相結合。如果你正以在 Sshl Compatibility 中定義的 SSH1兼容模式使用安全 Shell2認證代理，你只能使用 “ssh2”值。這和 P 選項相同。 socket 監(jiān)聽本地主機的端口，并且無論何時到這個端口 (例如，假設的 POP 端口 110)的連接被建立，連接就會轉寄到主端口的遠程主機上。 使用方法： 河北司法警官職業(yè)學院 24 UseRsh no （ 4）文件位置 這些選項定義安全 shell 客戶文件的放置地方。這和 ssh1使用的格式一樣。因為 IDEA 所有的河北司法警官職業(yè)學院 22 服務器都不支持，如果選擇了 IDEA 而它不被支持，它將失敗而自動使用 3DES。另外，如果你想支持更強的安全性，關閉任何類型的遠程主機認證。變量 %U 和 %H分別代表用戶名和主機名。你可以僅使用一個或使用它們的任意組合來通過安全 Shell 訪問帳號。這類似所為安全 Shell2的客戶，它導致 sftp2打印關于過程的調試信息。你最好是使用 3DES， IDEA 或 Blowfish。要小心使用該選項。這包括文件的更改時間，讀取時間和從原始文件過來的模式。這不影響使用DSA 或 RSA 公共密鑰的認證。這在調試連接，認證和配置時是很有用。如果使用該選項，在運行碰到認證或連接問題時，你將關閉該選項。和認證代理一起時使用該選項是很好的。 i identity_file 該選項定義 DSA 私人密鑰，或認證所要讀取的身份文件，這和 ssh2里的相同選項功能相似。這也和 ssh 的選項相同。 +C 壓縮通過安全 shell 客戶發(fā)送的所有數據，這包括輸入、輸出、錯誤信息和轉寄的數據。 河北司法警官職業(yè)學院 15 a 該選項讓你能夠關閉對認證代理的轉寄。 使用方法： VerboseMode no 盡管體現了安全 shell 2的一些新 的特征，安全文件傳輸服務器并沒有被很好地用文檔加以說明。如果你將安全 shell 置于調試模式，該選項將被自動地置為零，可以發(fā)現，它的效果與 g選項類似。如果你不是以超級用戶的身份運行安全 shell守護，你必須使用這個文件。這和 sshd1的配置選項一致，與 p選項也一樣。目前系統支持的算法有 DES， 3DES， Blowfish, Twofish, IDEA 和 Arcfour。這并不需要口令或公共密鑰，但它使你的系統對伯克利服務攻擊和其他迫使你必須使用安全 shell 的安全漏洞開放。記住， rhost 認證是最脆弱的認證系統，而和公共密鑰的組合則會成為最強有力的認證形式。與大多數配置文件和 shell 程序腳本一樣，空行和以“ ” 開 頭 的行 不 會 被 系統 讀 入 。同樣，你也可能希望不是從命令行來完成該命令，而是在一個程序腳本上實現這一點： sshd – i – b 512 注： 你應當編輯文件 /etc/，然后從中運行 sshd。服務器密鑰每小時重新產生一次 （ 1）在同一臺主機上運行 SSH1和 SSH2守護程序 出于兼容性的考慮，你可能想讓系統與 SSH1兼容。然而，你也可以使用一個小一點的服務器密鑰以提高性能，不過要記?。好荑€越小，系統越容易受到攻擊。隱含值為/etc/ssh2/sshdlonfig，但如果你不是以超級用戶的權限來運行安全 shell，你就需要在其他地方定義這個文件。 密鑰長度越長，簽名速度越慢，制約運算速度的主要因素是大數的模指數運算。構建了一個安全性極高的公鑰加密體制。他的特點是加密運算和解密運算使用的是同一個密鑰，而且這個密鑰是合法使用者秘密擁有的。 . 特點及適用范圍 錯誤 !未定義書簽。 傳統的網絡協議，如 FTP ? POP ?和 Tel 在傳輸機制和實現原理是沒有考慮到安全機制的，基本質上都是不安全的；因為他們在網絡上用文明來傳數據 ?用賬戶和口令，別有用心的有人通過竊聽 ?數據載流等網絡攻擊手段非常容易地就可以截獲這些數據 ?用賬戶和口。公鑰部分對外公開，而私鑰部分則由秘密所有人自己保管。那么 d 就是消息 a，即 d=a。 驗證： w=s1modq、 u1=（ H（ m） .w） mod q 、 u2=（ ） mod q 。 SSH1基于 ； SSH2基于 協議，因此二者并不兼容。你可以將它設置為 0，這意味著對確認時間沒有限制。記住這也是在 /etc/services 中定義的端口號，除非你已經改變了它。然而，你可以同時使用 SSH1的最新版本與 SSH2。 操作系統 啟動程序腳本 Slackware Linux /etc/ Red Hat Linux /etc/rc*.d Solaris /sbin/rc*.d HPUX /sbin/rc*.d Irix /etc/rc*.d 河北司法警官職業(yè)學院 9 AIX DEC UNIX （ 4）記錄你的連接 安全 shell 守護程序在隱含的情況下，記錄初始的連接請求，認證及連接終止。這沒有提供與 SSH1一樣多的過濾選項，但有一些還是很有用的，例如忽視 rhosts 文件和允許或禁止超級用戶登錄的權力。它和 sshd1配置選項一樣。認證不需要口令，但要求在遠程端有 DSA 或 RSA 密鑰認證。 KeepAlive 安全 shell 守護能通過設置來決定是否發(fā)生存活（ Keepalive）信息。 使用方法： StrictModes yes ForwardX11 這個選項確定是否允許 X 轉寄通過安全 shell 守護。 PublicHostKeyFile 與 HostKeyFile 選項類似，該選項指定用來做公有主機密鑰。 使用方法： PrintMotd no 6．登錄選項 這些選項能夠影響被送往日志文件的信息。而非服務器程序，安全 FTP 將會在“安全 shell 2客戶 — ssh2, scp2和 sftp2”中加以描述。 c cipher 這和在 ssh 中定義的選項相同，這是因為它被直接傳送給 ssh。使用配置文件也可以允許為基于單個主機配置該選項。 f 把 ssh 連接發(fā)送到后臺。這個選項和 ssh1的相同。該選項的格式和配置文件中的格式相同。端口的轉寄可以在配置中為每個主機單獨指定。由于已知 X 是不安全的，對過份追求安全的站點可能要使用該選項，該選項可以通過配置文件為每臺主機單獨指定。為了獲得最好的安全特性，使用 IDEA。缺省端口為端口 22，該端口是為安全 Shell 保留的端口。這和 scp1中使用的選項相類似。它和 ssh2使用的選項相同。通過通配符，你可以過濾一段地址或通過整個域過濾。記住，它對具有正在進行認證代理而不是使用遠程主機很有幫助。這和使用在 ssh1中的RhostAuthentication 選項相同，并且它把你的系統暴露在 Berkeley 服務的攻擊之下，那是如所周知的，這也是你首先要使用安全 Shell 的原因。這不需要遠程主機登錄或口令字來幫助認證。 使用方法： Compression yes EscapeChar 定義轉義字符 ，它和 ssh1選項一樣。缺省設置為“ yes”，它意味著服務器發(fā)送保持活動的信息。缺省為 $HOME/.ssh2/authorization 使用方法： AuthorizationFile~/.ssh2/ RandomSeedFile 該選項指定用戶的隨機種子文件在哪里以及用于產生用來創(chuàng)建公共密鑰對的隨機數。這和使用在 shell 中的 p選項相同，并且類似于安全 Shell 服務器守護程序配置文件的端口選項。在你不使用口令字和想使用安全 shell 來作諸如 shell 腳本等事情時將有所幫助。缺省為 /usr/local/bin/sshl。 [5] 韓萬江《軟件工程案例教程》，北京，機械工業(yè)出版社 版 ， 1830， 191227. [6] 李剛：《輕量級 Java EE 企業(yè)應用實戰(zhàn) Struts 2+Spring+Hibernate 整合開發(fā)》，北京 電子工業(yè)出版社 版， 6872 頁。這些信息對連接、認證和配置問題有用。這和在安全 shell 守護程序上的 XllForwarding 選項相類似。這和sshl 客戶的 R 選項相同。你可以用代字號 (~)而不是 $HOME 來代表用戶的根目錄。如果你經常以不同用戶名 登錄遠程主機比登錄到你的本地主機的次數還多，你就可能想定義該選項。這是和在 ssh1中使用相同的選項。 DontReadStdin 使用該選項在安全 Shell 認證代理運行的情況下用戶不需要口令(passphrase) ，該選項重定向輸入到 /dev/null， 使用方法： DontReadStdin no Cipher 該選項是你可以選擇連接的密碼的選項。這和 ssh1的 RhostsRSAAuthentication 選項類似，并且能與 ssh1兼容?？梢赃x擇關閉口令字認證，但是最好還是讓口令字認證打開，這是因為它保護著你的私人密鑰和公共密鑰。如果你頻繁地連接到不同主機（例如，假設你正從 ISP 使用一個 shell 帳號，并且你的連接獲得動態(tài)分配的 IP 地址），這可能不是一個好主意。注意該選項和 ssh2中端口選擇相同。你可以選擇想用哪種對稱鑰匙密碼來加密網絡傳輸，不影響使用 DSA 或 RSA 公共密鑰的認證。 S path_ro_ssh2 該選項指定到 ssh2的路徑。它和 ssh2使用選項相同。這個（是 1(一 )而不是 l(L)。這可以用在于遠程主機上執(zhí)行基于屏幕的程序。這和 ssh1的選項相同。對于特權端口，只有超級用戶可以轉寄。缺省的配置文件為~/.ssh2/ssh2_config。該數字從 0到 99。該“ none”選項可以只用來調試和測試所要的目標，而不在實際中使用。如果安裝有 ssh1和 ssh2客戶程序。定期審查登錄的蹤跡是一個好習慣，這樣可以查看是否有人非法進入到你的系統。 LoginGraceTime 該選項設置安全 shell 守護中的“警報”機制，與 sshd1的配置選項效果相同。 使用方法： ForwardX11 yes ： 這些選項定義安全 shell 守護密鑰文件的存放位置。 使用方法： KeepAlive Yes ListenAddress 如果你正在運行一個多地址主機，可以指定你希望服 務器偵聽的地址。這和 sshd1的RSAAuthentication 選項一致。如果某人進入你的主機，最起碼還需要提供口令以進入系統。 河北司法警官職業(yè)學院 10 PermitRootLogin 你可以定義超級用戶是否可以通過 ssh2登錄進來。 記住你的記錄存放 位置與操作系統有關。隱含情況下，安全 shell 守護以如下方式運行： sshd 下面的例子與第三章類似。因為這樣你可以檢查是否有人非法地進入系統。同樣，如果你使用了替換文件，確信其權限已被設為 400。安全 shell 守護被啟動，但它并沒有在后臺運行也沒有產生任何子進程。 用戶認證層：位于傳輸層之上，它在傳輸層保證數據致密性和完整性的情況下完成服務器方對用戶方的認證。從而增加大整數分解的難度，延長破解 RSA 私鑰的時間。 . RSA 算法 RSA 是目前應用最為廣泛的一種非對稱加密算法。很多國有大中型企業(yè) ?銀行 ?金融機構均采用基于該技術手段加強網絡服務器的安全。 畢 業(yè) 論 文 論文題目： SSH加密技術研究及實現 內 容 摘 要 本 論文通過對當前一些 SSH 加密技術研究的分析，以及對 SSH 的考察，對網絡數據傳輸過程的一些技術問題提出一些實用性的建議及實現。 SSH 技術是近幾年所出現的一種開源的安全協議，具有相當出色的可靠性。非對稱密鑰密碼體制簡單的密鑰管理促進了密碼學在現實生活中的應用。為了提高RSA 算法的安全性，通常的辦法就是使用更長的密鑰。 . SSH 的認證和加密方式： . SSH 的體系結構： 連接層 用戶認證層 傳輸層 傳輸層 :完成加密算法的協商 ,保證傳輸數據的致密性和完整性 ,在傳送對稱密鑰的同時完成客戶端對服務器端的認證。這和 sshd1一樣。但如果你以普通的用戶身份運行安全 shell 守護，河北司法警官職業(yè)學院 7 情況就不一樣了。除非你的系統日志總是很快就被填滿，你最好不要打開這種模式。安全 shell 守護的隱含設置是使用 768bit 的服務器密鑰，它每小時重新產生一次，認證超時限度則為 10分鐘，在端口 22上偵聽連 接，在 /etc/ssh2目錄下尋找配置文件等。這有可能會復制安全 shell 守護程序的一些工作，也可以通過配置，使其能提供更為詳盡的信息。如果你想使用的話，用 .shosts 來代替 .rhosts 從而提高安全性能?？梢栽?