一.什么是SSH
SSH 是一种远程连接的协议,使用22端口。与telnet不同的是SSH的数据是经过加密传输的,所以它是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。因此当我们远程连接服务器或者其他网络设备时会使用SSH。
二.SSH的安全机制
SSH的安全性基于SSL,它负责认证用户和服务器,确保数据发送到正确的客户机和服务器(合法性);加密数据以防止数据中途被窃取(私密性);维护数据的完整性,确保数据在传输过程中不被改变(完整性)。
SSL分为两个子层。处于SSL协议的底层的是SSL记录层协议,它位于TCP之上,用于封装高层协议的数据。而SSL握手协议允许服务方和客户方互相认证,并在应用层协议传送数据之前协商出一个加密算法和会话密钥。
1.完整性:数据传输的完整性由哈希散列算法提供,我们熟知的MD5、SHA都是哈希算法,发送端会用哈希算法将要传递的数据散列生成一定位数的值,这个值被称为摘要,会和数据一同传输到接收端,接收端会使用相同的算法对数据进行散列,然后比对两份摘要,如果相同说明没有问题,反之则说明数据可能损失或者被篡改。
2.私密性:私密性指的并不是让人看不见数据,而是让人看不懂,加密算法提供了这项功能,它分为对称加密算法与非对称加密算法两种类型。
对称加密算法:加解密使用同一密钥,优点是算法公开、计算量小、加密速度快、加密效率高。问题在于如果密钥被他人截获,数据将没有私密性可言,因此密钥的传递和数据的传输使用不同的通道,常用的加密算法有DES,3DES,AES,IDEA等。
非对称加密算法:加解密使用不同密钥,DH算法与RSA算法都属于非对称加密算法,我们常使用DH算法来交换密钥,它的机制是双方都生成公钥和私钥并将公钥公开,双方都将对方的公钥与自己的私钥进行运算,有趣的是这两个结果一致,相当于双方协商出了密钥。由于私钥保存在本地,从没有在公网传播过,即使非法用户截获数据也无法得到加密数据的密钥。
我们使用的套路就是用非对称加密算法加密对称加密算法的密钥,再用对称加密算法的密钥加密数据。
3.合法性:确保收到的信息来自正确的主机,可以使用证书以及数字签名来保证合法性,首先发送端使用私钥加密数据,然后将公钥发送给CA,CA会生成一个包含了公钥、发送者信息以及CA信息的证书,接收端使用CA的公钥解开证书得到发送端的公钥,再用发送端的公钥解开数字签名验证合法性。
2538
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
