SSH2.0技术介绍


SSH2.0

SSH2.0简介

概述

SSHSecure Shell(安全外壳)的简称。用户通过一个不能保证安全的网络环境远程登录到设备时,SSH可以利用加密和强大的认证功能提供安全保障,保护设备不受诸如IP地址欺诈、明文密码截取等攻击。

设备支持SSH服务器功能,可以接受多个SSH客户端的连接。同时,设备还支持SSH客户端功能,允许用户与支持SSH服务器功能的设备建立SSH连接,从而实现从本地设备通过SSH登录到远程设备上。

  注意:

l      目前,设备作为SSH服务器时,支持SSH2SSH1两个版本;设备作为SSH客户端时,只支持SSH2版本。

l      如无特殊说明,文中的SSH均指SSH2

 

SSH工作过程

在整个通讯过程中,为实现SSH的安全连接,服务器端与客户端要经历如下五个阶段:

表1 SSH服务器端与客户端建立连接的五个阶段

过程

说明

详细内容

版本号协商阶段

SSH目前包括SSH1SSH2两个版本,双方通过版本协商确定使用的版本

1.  

密钥和算法协商阶段

SSH支持多种加密算法,双方根据本端和对端支持的算法,协商出最终使用的算法

2.

认证阶段

SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证

3.

会话请求阶段

认证通过后,客户端向服务器端发送会话请求

4.

交互会话阶段

会话请求通过后,服务器端和客户端进行信息的交互

5.

 

1. 版本号协商阶段

具体步骤如下:

l              服务器打开端口22,等待客户端连接。

l              客户端向服务器端发起TCP初始连接请求,TCP连接建立后,服务器向客户端发送第一个报文,包括版本标志字符串,格式为“SSH<主协议版本号>.<次协议版本号><软件版本号>”,协议版本号由主版本号和次版本号组成,软件版本号主要是为调试使用。

l              客户端收到报文后,解析该数据包,如果服务器端的协议版本号比自己的低,且客户端能支持服务器端的低版本,就使用服务器端的低版本协议号,否则使用自己的协议版本号。

l              客户端回应服务器一个报文,包含了客户端决定使用的协议版本号。服务器比较客户端发来的版本号,决定是否能同客户端一起工作。

l              如果协商成功,则进入密钥和算法协商阶段,否则服务器端断开TCP连接。

&  说明:

上述报文都是采用明文方式传输的。

 

2. 密钥和算法协商阶段

具体步骤如下:

l              服务器端和客户端分别发送算法协商报文给对端,报文中包含自己支持的公钥算法列表、加密算法列表、MACMessage Authentication Code,消息验证码)算法列表、压缩算法列表等。

l              服务器端和客户端根据对端和本端支持的算法列表得出最终使用的算法。

l              服务器端和客户端利用DH交换(Diffie-Hellman Exchange算法、主机密钥对等参数,生成会话密钥和会话ID

通过以上步骤,服务器端和客户端就取得了相同的会话密钥和会话ID。对于后续传输的数据,两端都会使用会话密钥进行加密和解密,保证了数据传送的安全。在认证阶段,两端会使用会话ID用于认证过程。

  注意:

在协商阶段之前,服务器端已经生成RSADSA密钥对,他们主要用于参与会话密钥的生成。

 

3. 认证阶段

具体步骤如下:

l              客户端向服务器端发送认证请求,认证请求中包含用户名、认证方法、与该认证方法相关的内容(如:password认证时,内容为密码)。

l              服务器端对客户端进行认证,如果认证失败,则向客户端发送认证失败消息,其中包含可以再次认证的方法列表。

l              客户端从认证方法列表中选取一种认证方法再次进行认证。

l              该过程反复进行,直到认证成功或者认证次数达到上限,服务器关闭连接为止。

SSH提供两种认证方法:

l              password认证:客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将该信息解密后得到用户名和密码的明文,与设备上保存的用户名和密码进行比较,并返回认证成功或失败的消息。

l              publickey认证:采用数字签名的方法来认证客户端。目前,设备上可以利用RSADSA两种公共密钥算法实现数字签名。客户端发送包含用户名、公共密钥和公共密钥算法的publickey认证请求给服务器端。服务器对公钥进行合法性检查,如果不合法,则直接发送失败消息;否则,服务器利用数字签名对客户端进行认证,并返回认证成功或失败的消息。

&  说明:

除了password认证和publickey认证,SSH2.0还提供了password-publickey认证和any认证。

l      password-publickey认证:指定该用户的认证方式为passwordpublickey认证同时满足。客户端版本为SSH1的用户只要通过其中一种认证即可登录;客户端版本为SSH2的用户必须两种认证都通过才能登录。

l      any认证:指定该用户的认证方式可以是password,也可以是publickey

 

4. 会话请求阶段

认证通过后,客户端向服务器发送会话请求。服务器等待并处理客户端的请求。在这个阶段,请求被成功处理后,服务器会向客户端回应SSH_SMSG_SUCCESS包,SSH进入交互会话阶段;否则回应SSH_SMSG_FAILURE包,表示服务器处理请求失败或者不能识别请求。

5. 交互会话阶段

会话请求成功后,连接进入交互会话阶段。在这个模式下,数据被双向传送。客户端将要执行的命令加密后传给服务器,服务器接收到报文,解密后执行该命令,将执行的结果加密发还给客户端,客户端将接收到的结果解密后显示到终端上。

&  说明:

l      在交互会话阶段,客户端可以通过粘贴文本会话的方式发送要执行的命令,但文本会话不能超过2000字节,且粘贴的命令最好是同一视图下的命令,否则服务器可能无法正确执行该命令。

l      如果粘贴的文本会话超过2000字节,可以采用将配置文件上传到服务器,利用新的配置文件重新启动的方式执行这些命令。

 

SFTP简介

SFTPSecure FTP的简称,是SSH 2.0中新增的功能。

SFTP建立在SSH连接的基础之上,它使得远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。同时,由于设备支持作为客户端的功能,用户可以从本地设备安全登录到远程设备上,进行文件的安全传输。

附件下载

联系我们