传统远程登录或文件传输方式,例如 Telnet、FTP,使用明文传输数据,存在很多的安全隐患。
随着人们对网络安全的重视,这些方式已经慢慢不被接受。SSH 协议通过对网络数据进行加密和验证,在不安全的网络环境中提供了安全的登录和其他安全网络服务。
作为 Telnet 和其他不安全远程 Shell 协议的安全替代方案,目前 SSH 协议已经被全世界广泛使用,大多数设备都支持 SSH 功能。
当 SSH 应用于 NETCONF 时,可以指定 SSH 端口是 22 或者 830。SSH 端口支持修改,更改后当前所有的连接都会断开,SSH 服务器开始侦听新的端口。
PuTTY 是 Windows 上经典的免费 SSH 连接工具,通常用于使用 SSH 协议远程登录设备,最新版本可以在 PuTTY 官网下载。
OpenSSH 是 SSH 协议的开源实现,支持在 Unix 操作系统上运行,最新版本可以在 OpenSSH 官网下载。
目前 Windows10 已经包含 OpenSSH 客户端和服务器软件,可在“设置—应用—应用与功能—可选功能”中搜索安装。
①SSH 密钥
对称加密和非对称加密:提高安全性的基本方式就是加密,加密算法通过密钥将明文转换为密文进行安全传输。
SSH 在工作过程中结合使用了对称加密和非对称加密两种类型的算法,通过事先生成的 SSH 密钥来保证信息传输的安全性。
两种加密算法的加解密过程见下图:
对称加密算法
非对称加密算法
对称加密算法使用同一个密钥对数据进行加密和解密。
SSH 连接建立过程中生成的会话密钥就是对称密钥,该对称密钥是由客户端和服务器端基于共享的部分信息和各自的私有数据使用密钥交换算法分别生成的。
因为对称加密算法加解密的速度很快,所以适用于传输大量数据的场景。
非对称加密的发送和接收需要使用一对关联的 SSH 密钥,公钥和私钥。私钥由生成的一方自己保管,公钥可以发送给任何请求通信的其他人。
发送方用收到的公钥对自己的通信内容进行加密,只有接收方可以使用私钥进行解密获取通信内容。
非对称加密的私钥不需要暴露在网络中,安全性大大增加,但是加解密的速度比对称密钥慢得多。
SSH 连接过程中的两个阶段使用了非对称加密。一个是在密钥交换阶段,服务器和客户端都生成了自己临时的公钥和私钥,用于计算出同一个用于后续加密通信内容的会话密钥。
另外一个就是在用户认证阶段,利用只有匹配的私钥可以唯一解密公钥加密的内容这一特点,通过客户端的公钥私钥对验证客户端的身份。
②密钥认证
SSH 用户认证最基本的两种方式是密码认证和密钥认证。密码认证是将自己的用户名和密码发送给服务器进行认证,这种方式比较简单,且每次登录都需要输入用户名和密码。
密钥认证使用公钥私钥对进行身份验证,实现安全的免密登录,是一种广泛使用且推荐的登录方式。
密钥认证的基本原理是服务器端使用客户端的公钥对随机内容加密,客户端使用自己的私钥解密并发送给服务器以证实自己的身份。
具体的过程见下图:
SSH 密钥认证登录流程:
- 在进行 SSH 连接之前,SSH 客户端需要先生成自己的公钥私钥对,并将自己的公钥存放在 SSH 服务器上。
- SSH 客户端发送登录请求,SSH 服务器就会根据请求中的用户名等信息在本地搜索客户端的公钥,并用这个公钥加密一个随机数发送给客户端。
- 客户端使用自己的私钥对返回信息进行解密,并发送给服务器。
- 服务器验证客户端解密的信息是否正确,如果正确则认证通过。
