2. 程式人生 > >ssh兩種認證方式的原理介紹

ssh兩種認證方式的原理介紹

阿新 發佈:2018-11-05

SSH是一種加密的網路傳輸協議,可在不安全的網路中為網路服務提供安全的傳輸環境。SSH通過在網路中建立安全隧道來實現SSH客戶端與伺服器之間的連線。雖然任何網路服務都可以通過SSH實現安全傳輸,SSH最常見的用途是遠端登入系統,人們通常利用SSH來傳輸命令列介面和遠端執行命令。ssh 協議互動過程如下:
圖片來源網路,侵刪

SSH以非對稱加密方式實現身份驗證,主要有以下兩種:

  • 基於密碼的安全驗證

  • 基於金鑰的安全驗證

下面就對這兩種方法展開介紹:

  • 基於密碼的安全驗證

是使用自動生成的公鑰-私鑰對來簡單地加密網路連線,隨後使用密碼認證進行登入。具體過程如下:

1、客戶端傳送登入請求,ssh [email protected]
2、伺服器接受請求,將伺服器的公鑰 ser_rsa.pub 傳送給客戶端
3、客戶端輸入密碼,密碼使用 ser_rsa.pub 加密後傳送給伺服器(敏感資訊保安傳輸)
4、伺服器接受加密後的密碼,使用伺服器私鑰 ser_rsa 解密,匹配認證密碼是否合法(如果合法!登入成功)

至此,身份認證通過,然後是交換會話金鑰(對稱加密)

5、客戶端生成會話資料加密 sess_key,使用 ser_rsa.pub 加密後傳輸給伺服器(會話金鑰)
6、伺服器獲取到後使用 ser_rsa 解密,得到sess_key

使用會話金鑰對之後傳遞的資料進行加密。

:使用對稱加密效率高。

7、客戶端和伺服器通過 sess_key 進行會話資料安全傳輸

但是,這種認證方式無法避免“中間人”攻擊,可能會有別的伺服器在冒充真正的伺服器。
圖片來源網路,侵刪
如圖所示,如果有人截獲了登入請求,然後冒充伺服器,將偽造的公鑰發給客戶端,那麼客戶端很難辨別真偽。因為不像https協議,SSH協議的公鑰是沒有證書中心(CA)公證的,也就是說,都是自己簽發的。可以設想,如果攻擊者插在客戶端與伺服器之間,用偽造的公鑰,獲取使用者的登入密碼。再用這個密碼登入遠端主機,那麼SSH的安全機制就蕩然無存了。

所以一般在首次登入伺服器時,系統會出現下面的提示:

  $ ssh [email protected]
 

  The authenticity of host 'host (192.168.100.1)' can't be established.
  RSA key fingerprint is 2d:37:16:58:4d:28:c2:42:2d:37:16:58:4d.
  Are you sure you want to continue connecting (yes/no)?

確認之後,就可以登入(其實在實際生活中並沒有什麼用啊?誰會去手動比對fingerprint~)
當遠端主機的公鑰被接受以後,它就會被儲存在檔案$HOME/.ssh/known_hosts之中。下次再連線這臺伺服器,系統就會認出它的公鑰已經儲存在本地了,從而跳過警告部分,直接提示輸入密碼。

  • 基於金鑰的安全驗證

客戶端生成一對公鑰和私鑰,並將自己的公鑰儲存在伺服器上。客戶端請求登入的時候,伺服器會向客戶端傳送一段隨機字串,客戶端用自己的私鑰加密後,再發回來。伺服器用事先儲存的公鑰進行解密,如果成功,就證明使用者是可信的,直接允許登入,不再要求密碼。從而避免了“中間人”攻擊。具體過程如下:
在這裡插入圖片描述

基於金鑰的安全驗證簡單的描述如圖中所示。但在實際傳輸過程中所有的資料都是需要加密以保證資料傳輸安全,即同樣會生成會話金鑰,使用會話金鑰對傳輸資料進行加密的過程。詳細過程如下:

Ac:客戶端公鑰
Bc:客戶端私鑰
As:伺服器公鑰
Bs:伺服器私鑰

***在認證之前,客戶端需要將公鑰 Ac 放到伺服器上。***

1、客戶端傳送登入請求,ssh [email protected]
2、伺服器接受請求,將伺服器的公鑰 As 傳送給客戶端
   伺服器生成會話ID(session id),設為 p,傳送給客戶端。
3、客戶端生成會話金鑰(session key),設為 q,並計算 r = p xor q。
  客戶端將 r 用 As 進行加密,結果傳送給伺服器。
4、伺服器用 Bs 進行解密,獲得 r。
  伺服器進行 r xor p 的運算,獲得 q。

至此,伺服器和客戶端都知道了會話金鑰q,以後的傳輸資料都將被 q 加密。

5、伺服器生成隨機數 x,並用 Ac 加密後生成結果 S(x),傳送給客戶端
6、客戶端使用 Bc 解密 S(x) 得到 x
   客戶端計算 q + x 的 md5 值 n(q+x),q為上一步得到的會話金鑰
   客戶端將 n(q+x) 傳送給伺服器
7、伺服器計算 q + x 的 md5 值 m(q+x)
   伺服器比較 m(q+x) 和 n(q+x),兩者相同則認證成功。

至此,伺服器和客戶端認證通過,可以使用會話金鑰進行加密和解密傳輸

8、客戶端和伺服器通過 q 進行會話資料安全傳輸

風險點:在將客戶端公鑰Ac放置到伺服器這一步,核實Ac的來源至關重要,因為SSH只驗證客戶端是否擁有與公鑰相匹配的私鑰,只要接受公鑰且私鑰匹配伺服器就會授予許可。這樣的話,一旦接受了惡意攻擊者的公鑰,那麼系統也會把攻擊者視為合法使用者。

ps:文中提到了非對稱加密(金鑰對)和對稱加密(會話金鑰),需要自行查詢資料進行了解。

參考連結:
https://my.oschina.net/sallency/blog/1547785
https://blog.csdn.net/marywang56/article/details/78784608

相關推薦

ssh認證方式原理介紹

SSH是一種加密的網路傳輸協議,可在不安全的網路中為網路服務提供安全的傳輸環境。SSH通過在網路中建立安全隧道來實現SSH客戶端與伺服器之間的連線。雖然任何網路服務都可以通過SSH實現安全傳輸,SSH最常見的用途是遠端登入系統,人們通常利用SSH來傳輸命令列介面和遠端執行命令。ssh 協議互

佇列的儲存方式介紹與實現

簡介 佇列是一種特殊的線性表,它的特殊之處在於它必須在佇列的頭部進行刪除元素,在佇列尾部插入元素。我們把佇列的頭部稱為對頭(front),佇列尾部叫做隊尾(rear)。進行刪除元素位置叫隊頭(front),進行插入元素的位置叫在隊尾(rear)。佇列的儲存的資料稱為佇列元素

Eclipse匯入git工程(HTTP與SSH匯入方式

Eclipse匯入Git工程(HTTP與SSH兩種匯入方式) Eclipse git官方使用說明:http://wiki.eclipse.org/EGit/User_Guide#Eclipse_SSH_Configuration 一、使用HTTP方式匯入git工程

佇列的儲存方式介紹與實現(後續)

簡介 佇列分為順序儲存結構和鏈式儲存結構,鏈式儲存結構其實就是線性表的單鏈表,只是只能在對頭出元素,隊尾進元素而已。從之前實現的佇列的順序儲存結構中 我們可以看到他的缺點,我們為了避免“假溢位”就實現迴圈佇列的順序結構,但是迴圈佇列必須指定出佇列的長度,所以說它並不完美。當

[轉]Web APi之認證(Authentication)實現方式【二】(十三)

用戶數 ted das 客戶 元素 基礎 目標 開始 net 本文轉自:http://www.cnblogs.com/CreateMyself/p/4857799.html 前言 上一節我們詳細講解了認證及其基本信息,這一節我們通過兩種不同方式來實現認證,並且分析如

Web APi之認證(Authentication)實現方式【二】(十三)

基於web 推薦 zed {0} scheme sage https 函數 ges 原文:Web APi之認證(Authentication)兩種實現方式【二】(十三)前言 上一節我們詳細講解了認證及其基本信息,這一節我們通過兩種不同方式來實現認證,並且分析如何合理的利用

java中代理,靜態代理,動態代理以及spring aop代理方式,實現原理統一彙總 Spring中AOP的代理方式(Java動態代理和CGLIB代理)

若代理類在程式執行前就已經存在,那麼這種代理方式被成為 靜態代理 ,這種情況下的代理類通常都是我們在Java程式碼中定義的。 通常情況下, 靜態代理中的代理類和委託類會實現同一介面或是派生自相同的父類。 一、概述1. 什麼是代理我們大家都知道微商代理,簡單地說就是代替廠家賣商品,廠家“委託”代理為

FastCGI特點原理、nginx與php-fpm通訊方式對比

一、FastCGI特點: 1、HTTP伺服器和動態指令碼語言間通訊的介面或工具 2、可把動態語言解析和HTTP伺服器分離I 3、Nginx、Apache、Lighttpd,以及多數動態語言 都支援FastCGI 4、FastCGI介面方式採用 C/S結構,分為客戶端(

Docker學習(2):Docker映象介紹和容器的建立方式

1.什麼是Docker映象     Docker映象是啟動容器構建的基石,是由檔案系統疊加而成,最底端是一個引導檔案系統,即bootfs,這很像典型的Linux的引導檔案系統,但是Docker使用者幾

Android資料庫操作方式介紹: SQLite與ORMLite

本文主要介紹關係型資料庫 SQLite 和物件關係對映工具 ORMLite ,兩種方式都可以滿足Android多資料持久化儲存的需求。 1. SQLite 簡介: SQLite是一款Android內建的輕量級的關係型資料庫,它的運算速度非常快,佔用資源少,通常只需要幾

redis 的持久化方式原理

Redis是一種高階key-value資料庫。它跟memcached類似,不過資料可以持久化,而且支持的資料型別很豐富。有字串,連結串列,集 合和有序集合。支援在伺服器端計算集合的並,交和補集(difference)等,還支援多種排序功能。所以Redis也可以被看成是一個

參加Oracle認證考試方式

對Oracle認證感興趣的學員,一般會採取下面兩種流行的參考方式:   1、直接考OCP   Oracle正式授權的培訓合作伙伴為三種,即OAEP、WDP、Reseller.其中WDP(人力資源合作伙伴)是主要針對個人市場的培訓合作伙伴,WDP的培訓價格通常僅為面向企業培訓價

.lib .dll 區別介紹、使用(dll的引入方式

.lib .dll檔案都是程式可直接引用的檔案,前者就是所謂的庫檔案,後者是動態連結庫(Dynamic Link Library)也是一個庫檔案。而.pdb則可以理解為符號表檔案。DLL(Dynamic Link Library)檔案為動態連結庫檔案,又稱為“應用程式擴充套件”,是一種軟體檔案型別。在Wind

C++ 類的定義方式

命名 c++ ech += esp set with aced spa 類內定義 class Teacher { private: string _name; int _age; public: Teacher() { printf("create teche

屬性的定義方式

alt obj tro tran padding pad hit object 方式 裝飾器方式:[email protected]/* */ 經典類,[email protected]/* */(如上一步實例) # ###############

xml的解析方式

name 字符 system main ner exce pub void ref xml解析是日常項目中用到比較多的技能。不管是配置參數或者數據都能夠保存在xml文件裏。同一時候也能夠將xml作為數據傳輸的一種格式。本文將介紹兩種基本解析方式:xml字符串解析和xml

記錄下log4j的配置方式

ole num div resolv ade true uil data- range XML文件配置 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE log4j:configur

Shell簡介:什麽是Shell,Shell命令的執行方式

shell linuxShell本身是一個用C語言編寫的程序,它是用戶使用Unix/Linux的橋梁,用戶的大部分工作都是通過Shell完成的。Shell既是一種命令語言,又是一種程序設計語言。作為命令語言,它交互式地解釋和執行用戶輸入的命令;作為程序設計語言,它定義了各種變量和參數,並提供了許多在高級語言中

JFreeChart與AJAX+JSON+ECharts處理方式生成熱詞統計可視化圖表

線型 static 後臺 標註 png tip 開源工具 grid 讀取 本篇的思想:對HDFS獲取的數據進行兩種不同的可視化圖表處理方式。第一種JFreeChar可視化處理生成圖片文件查看。第二種AJAX+JSON+ECharts實現可視化圖表,並呈現於瀏覽器上。    

C++ 11 可變模板參數的展開方式

模板 span tar nbsp 兩種 logs args clu return #include <iostream> #include <string> #include <stdint.h> template<typena