SSH介紹

什么是SSH？

傳統的網絡服務程序，如：ftp、pop和telnet在本質上都是不安全的，因為它們在網絡上用明文傳送口令和數據， 別有用心的人非常容易就可以截 獲這些口令和數據。而且，這些服務程序的安全驗證方式也是有其弱點的， 就是很容易受到"中間人"（man-in-the-middle）這種方式的攻 擊。所謂"中間人"的攻擊方式， 就是"中間人"冒充真正的服務器接收你的傳給服務器的數據，然后再冒充你把數據傳給真正的服務器。 服務器和你之間的數 據傳送被"中間人"一轉手做了手腳之后，就會出現很嚴重的問題。

SSH的英文全稱是Secure Shell。通過使用SSH，你可以把所有傳輸的數據進行加密，這樣"中間人"這種攻擊方式就不可能實現了， 而且也能夠防止DNS和IP欺騙。還有一個 額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。 SSH有很多功能，它既可以代替telnet，又可以為ftp、pop、甚至ppp提 供一個安全的"通道"。

最初SSH是由芬蘭的一家公司開發的。但是因為受版權和加密算法的限制，現在很多人都轉而使用OpenSSH。 OpenSSH是SSH的替代軟件，而且是免費的，可以預計將來會有越 來越多的人使用它而不是SSH。

SSH是由客戶端和服務端的軟件組成的，有兩個不兼容的版本分別是：1.x和2.x。 用SSH 2.x的客戶程序是不能連接到SSH 1.x的服務程序上去的。OpenSSH 2.x同時支持SSH 1.x和2.x。

SSH的安全驗證是如何工作的

從客戶端來看，SSH提供兩種級別的安全驗證。

第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠程主機。所有傳輸的數據都會被加密， 但是不能保證你正在連接的服務器就是你想連接的服務器。可能會有別的服務器在冒充真正的服務器， 也就是受到"中間人"這種方式的攻擊。

第二種級別（基于密匙的安全驗證）需要依靠密匙，也就是你必須為自己創建一對密匙，并把公用密匙放在需要訪問的服務器上。 如果你要連接到SSH服務器 上，客戶端軟件就會向服務器發出請求，請求用你的密匙進行安全驗證。服務器收到請求之后， 先在你在該服務器的家目錄下尋找你的公用密匙，然后把它和你發 送過來的公用密匙進行比較。如果兩個密匙一致， 服務器就用公用密匙加密"質詢"（challenge）并把它發送給客戶端軟件。 客戶端軟件收到"質 詢"之后就可以用你的私人密匙解密再把它發送給服務器。

用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網絡上傳送口令。

第二種級別不僅加密所有傳送的數據，而且"中間人"這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。 但是整個登錄的過程可能需要10秒。

SSL介紹（Secure socket Layer & Security Socket Layer）

一個應用程序的安全需求在很大程度上依賴于將如何使用該應用程序和該應用程序將要保護什么。不過，用現有技術實現強大的、 一般用途的安全通常是可能的。認證就是一個很好的示例。

當顧客想從 Web 站點購買某個產品時，顧客和 Web 站點都要進行認證。顧客通常是以提供名字和密碼的方式來認證他自己。 另一方面，Web站點通過交換一塊簽名數據和一個有效的 X.509 證書（作為 SSL 握手的一部分）來認證它自己。 顧客的瀏覽器驗證該證書并用所附的公用密鑰驗證簽名數據。一旦雙方都認證了，則交易就可以開始了。

SSL 能用相同的機制處理服務器認證（就如在上面的示例中）和客戶機認證。 Web 站點典型地對客戶機認證不依賴 SSL - 要求用戶提供密碼是較容易的。而 SSL 客戶機和服務器認證對于透明認證是完美的， 對等機 - 如 p2p 應用程序中的對等機之間一定會發生透明認證。

安全套接字層（Secure Sockets Layer （SSL）） ，SSL 是一種安全協議，它為網絡（例如因特網）的通信提供私密性。SSL 使應用程序在通信時不用擔心被竊聽和篡改。 SSL 實際上 是共同工作的兩個協議："SSL 記錄協議"（SSL Record Protocol）和"SSL 握手協議" （SSL Handshake Protocol）。"SSL 記錄協議"是兩個協議中較低級別的協議，它為較高級別的協議， 例如 SSL 握手協議對 數據的變長的記錄進行加密和解密。SSL 握手協議處理應用程序憑證的交換和驗證。

當一個應用程序（客戶機）想和另一個應用程 序（服務器）通信時，客戶機打開一個與服務器相連接的套接字連接。然后， 客戶機和服務器對安全連接進行協商。作為協商的一部分，服務器向客戶機作自我認 證。客戶機可以選擇向服務器作或不作自我認證。 一旦完成了認證并且建立了安全連接，則兩個應用程序就可以安全地進行通信。按照慣例，我將把發起該通信的對等機看作客戶機， 另一個對等機則看作服務器，不管連接之后它們充當什么角色。

名為 A 和 B 的兩臺對等機想安全地進行通 信。在我們簡單的 p2p 應用程序的環境中，對等機 A 想查詢對等機 B 上的一個資源。 每個對等機都有包含其專用密鑰的一個數據庫（名為 keystore）和包含其公用密鑰的證書。密碼保護數據庫的內容。 該數據庫還包含一個或多個來自被信任的對等機的自簽名證書。 對等機 A 發起這 項事務，每臺對等機相互認證，兩臺對等機協商采用的密碼及其長度并建立一個安全通道。完成這些操作之后， 每個對等機都知道它正在跟誰交談并且知道通道是 安全的。 SSL (Secure socket Layer)安全套接層協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完 整性， 它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用Web Server方式。

安全套接層協議（SSL，Security Socket Layer）是網景（Netscape）公司提出的基于WEB應用的安全協議，它包括：服務器認證、 客戶認證（可選）、SSL鏈路上的數據

完整性和SSL鏈路上的數據保密性。對于電子商務應用來說，使用SSL可保證信息的真實性、 完整性和保密性。但由于SSL不對應用層的消息進行數字簽名，因此不能提供交易的不可否認性，這是SSL在電子商務中使用的最大不足。 有鑒于此，網景公司在從Communicator 4.04版開始的所有瀏覽器中引入了一種被稱作"表單簽名（Form Signing）"的功能， 在電子商務中，可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行 數字簽名，從而保證交易信息的不可否認性。綜上所述， 在電子商務中采用單一的SSL協議來保證交易的安全是不夠的，但采用"SSL+表單簽名"模式能夠為電子商務提供較好的安全性保證。