SSH建立原理

一、ssh2协议
    在ssh1中,由单个协议提供密钥交换、身份认证与加密的功能,而ssh2内部由3个协议组合一起,为其提供这些功能。这3个协议:
    传输层协议
    认证协议
    连接协议
传输层协议
主要提供密钥交换与服务器端认证功能
认证协议
主要是提供客户端认证功能,而客户端认证主要有基于口令认证和基于密钥认证
连接协议
主要提供远程执行命令功能
二、工作流程
1,服务器端开启ssh服务,在端口22监听客户端请求

2,客户端发出请求,如果是第一次与服务器建立连接,服务器端会向客户端发送一个rsa key这里写图片描述

而此rsa key会被记录到服务器端的~/.ssh/known_hosts中,下次远程登录服务器就不会出现以上的提示信息这里写图片描述

 
3,客户端接收到服务器端发送过来的rsa key后,就会采用与服务器端协商好的加密算法,生成会话密钥(此会话密钥用于加密客户端与服务器端之间的会话),并用rsa key加密会话密钥,并发送给服务器端。

4,服务器端就用对应的私钥解密已加密的会话密钥,然后用此会话密钥加密确认信息,发送给客户端。客户端用会话密钥解密加密的确认信息,到此,密钥交换成功和服务器认证成功

5,接下来就是客户端的认证,客户端认证有两种方法:

 基于口令认证:客户端发送用会话密钥加密的远程登入的用户名与密码,服务器接收到,用会话密钥解密,并验证用户名与密码的正确性。

基于密钥认证:口令认证容易受“中间人”攻击,而密钥认证安全性较好,用户名与密码不用在网上传输,被人破解。客户端生成一对密钥,此密钥只用于客户端的认证,然后将公钥内容上传到服务器端~/.ssh/authorized_hosts文件中。客户端发出密钥认证请求,服务器端就会用客户端的公钥加密一段数据,发送给客户端,客户端用对应的私钥解密,然后将数据与会话密钥进行散列运算,生成摘要,发送给服务器端,服务器端就会用原始数据和会话密钥,生成摘要,并对比两个摘要是否一致,若一致,则客户端认证成功
6,连接成功后,就可以远程登入主机,执行远程命令控制

三、基于密钥认证实例
1.客户端生成一对密钥SSH建立原理_第1张图片

2.将公钥上传到服务器端,这里有两种方法上传
一种使用ssh-keygen命令:

查看服务器端的~/.ssh/authoriSSH建立原理_第2张图片zed_hosts文件

 

另一种方法,在客户端使用scp(基于ssh协议的文件复制工具)

在服务器端的操作,查看是否成功收到客户端公钥

然后将公钥文件内容导入~/.ssh/authorized_hosts文件中,如果~/.ssh/authorized_hosts(权限为600)文件不存在,就创建

SSH建立原理_第3张图片
3.测试

 


建议:客户端认证最好用基于密钥认证,禁止客户端使用root身份登入主机,可以修改配置参数

 SSH建立原理_第4张图片

你可能感兴趣的:(ssh,服务器,servlet)