概念
SSH(Secure Shell)
一种安全通信协议
为 shell 提供加密通信服务
使用了非对称加密和对称加密
对称加密(Symmetric-Key Encryption): 只用一个密钥来进行加密和解密
非对称加密(Asymmetric-Key Encryption): 用一个密钥来进行加密(公钥), 用另一个密钥来解密(私钥)
用于远程登录会话和其他网络服务
SSH=SSL + 用户登录功能等应用层协议
只有 SSH 客户端, 和 SSH 服务器端之间的通信才能使用 SSH 协议, 其他软件服务无法使用
传统网络通信服务 (FTP,Telnet) 采用明文传输很不安全
位于传输层和应用层
过程
A,B 之间建立 TCP 连接
B 生成一对公私密钥
B 把公钥发送给 A
A 生成一个用于加密数据的密钥 K
A 把 K 用公钥加密发给 B,B 解密(非对称加密)
A,B 之间的通信数据都用 K 进行加密和解密(对称加密)
中间人攻击
黑客 H 埋伏在 A,B 之间的某个路由器上
假冒 B 生成一对公私密钥, 把密钥发送给 A
H 假冒 B 与 A 进行通信
SSH 通过判断公钥的 fingerprint(如本机 Mac 地址)是否可信来防止
公钥登录(免密码登录)
客户端将自己的公钥储存在远程服务器上
客户端登录时, 服务器发送一个经过公钥加密的随机数据给客户端
客户端用私钥解密信息, 并发还给服务器
服务器验证正确后, 即确认客户端是可信任的, 从而建立起一条安全的信息通道, 允许客户端不用输入密码直接登录 Shell
SSL(Secure Socket Layer 安全套接字层)
一种安全通信协议
位于传输层和应用层之间(比 SSH 范围小)
为互联网上的所有客户端与服务器连接提供加密通信服务(比 SSH 范围广)
常用的加密算法是 RSA
基本思想是先用公钥加密法, 得到对话密钥, 再用对称加密通信
公钥加密法(非对称加密)
客户端先向服务器端索要公钥, 然后用公钥加密信息
服务器收到密文后, 用自己的私钥解密
传统非对称加密的问题
如何保证公钥不被篡改
将公钥放在数字证书中
如何减少公钥加密的计算量
每次对话(session), 客户端和服务端都生成一个对话密钥(session key)
服务器公钥只用于加密对话密钥
数字签名(Digital Signature)
指出一个文件的所有者或创作者
用 Hash 函数生成信件摘要, 再使用私钥对摘要加密, 生成数字签名
公钥认证: 证实一个公钥属于某个特定实体
数字证书(Digital Certification)
用于证实一个实体的真实身份
将一个将实体身份标识信息 (如 IP, 数字签名等) 和实体公钥绑定起来
CA(Certification Authority 数字证书认证机构)
CA 用自己的私钥, 对实体的公钥和相关信息进行加密, 生成数字证书
收到实体信息的人, 用 CA 的公钥解开数字证书, 拿到实体的公钥
使用过程
服务端用 Hash 函数生成信件摘要, 再使用私钥对摘要加密, 生成数字签名
服务端将数字签名和数字证书一起附在信件中发给客户端
客户端收到信件后, 取下数字签名, 用公钥解密得到摘要(公钥认证)
客户端对信件本身使用 Hash 函数, 将得到的结果与上一步一样(未篡改)
客户端用 CA 的公钥解开证书, 拿到服务端的公钥(未冒充)
通信过程
客户端向服务端索要并验证公钥
双方协商生成对话密钥
客户端发出请求: 一个随机数
服务端回应: 一个随机数; 服务器证书
客户端回应: 一个随机数(用服务端公钥加密); 握手结束通知
服务端回应: 用三个随机数生成 session key; 握手结束通知
双方采用对话密钥进行加密通信
RSA
一种非对称加密算法
原理: 对两个大质数乘积进行分解十分困难
- HTTPS(Hypertext Transfer Protocol Secure)
- SSL+HTTP
HTTP 通信的风险
窃听: 第三方可以获知通信内容
篡改: 第三方可以修改通信内容
冒充: 第三方可以冒充他人身份参与通信
SSL 协议
所有信息都是加密传播, 第三方无法窃听
提供数字签名, 一旦被篡改, 通信双方会立刻发现
配备数字证书, 防止身份被冒充
为网站申请数字证书
为服务器生成一对公私密钥
把你网站的信息连同你的公钥一起发送给某个权威的 CA
CA 通过某种方式认证申请人是否是网站的所有人(比如让你在网站的指定路径上传他指定的特殊文字序列)
验证通过得到证书
参考
SSH 和 SSL 的区别 - 基于原理和协议
http://news.west.cn/52031.html
SSH,SSL 与 HTTPS
数字签名是什么?
http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
Linux SSH 命令详解
https://www.cnblogs.com/ftl1012/p/ssh.html
SSL 和 SSH 有什么区别(写得有点乱)
Linux SSH 命令详解
[web] 网络安全(SSH SSL HTTPS)
来源: http://www.bubuko.com/infodetail-3493438.html