畢業(yè)論文-ssh加密技術(shù)研究和實現(xiàn)

1、<p><b>　　畢 業(yè) 論 文</b></p><p>　　論文題目：SSH加密技術(shù)研究和實現(xiàn) </p><p><b>　　內(nèi) 容 摘 要</b></p><p>　　隨著計算機網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大,在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)

2、部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能，在信息處理能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。本文從網(wǎng)絡(luò)安全的重要性、計算機網(wǎng)絡(luò)安全、SSH加密技術(shù)三個方面研究，探討了使用SSH是一種介于傳輸層和應(yīng)用層之間的加密隧道協(xié)議,可以在本地主機和遠(yuǎn)程服務(wù)器之間設(shè)置“加密隧道”，并且這樣設(shè)置的“加密隧道”,可以跟常見的FTP，SMTP，POP應(yīng)用程序，X應(yīng)用程序相結(jié)和,目的是要在非安全的網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登陸和相應(yīng)的網(wǎng)絡(luò)

3、安全服務(wù)。雖然SSH還有其不足之處，但相對于VPN和專業(yè)防火墻的復(fù)雜性和費用來說，也不失為一種可行的網(wǎng)絡(luò)安全解決方案，尤其適合中小企業(yè)部署應(yīng)用。</p><p>　　[關(guān)鍵詞] 計算機網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 SSH加密技術(shù) 加密隧道 </p><p><b>　　目 錄</b></p><p>　　1 網(wǎng)絡(luò)安全的重要性- 1 -&

4、lt;/p><p>　　1.1網(wǎng)絡(luò)安全的定義- 1 -</p><p>　　2 計算機網(wǎng)絡(luò)安全- 3 -</p><p>　　2.1影響網(wǎng)絡(luò)安全的主要因素- 3 -</p><p>　　2.2計算機網(wǎng)絡(luò)安全- 3 -</p><p>　　2.3計算機網(wǎng)絡(luò)安全的實現(xiàn)- 3 -</p><p>

5、;　　2.3.1防火墻技術(shù)- 3 -</p><p>　　2.3.2數(shù)據(jù)加密技術(shù)- 4 -</p><p>　　2.3.3殺毒軟件- 4 -</p><p>　　2.3.4入侵檢測技術(shù)- 4 -</p><p>　　2.3.5網(wǎng)絡(luò)安全掃描技術(shù)- 5 -</p><p>　　3 SSH加密技術(shù)- 6 -<

6、;/p><p>　　3.1什么是SSH加密技術(shù)- 6 -</p><p>　　3.2 SSH的應(yīng)用場景- 6 -</p><p>　　3.2.1應(yīng)用一：使用scp命令遠(yuǎn)程拷貝文件- 6 -</p><p>　　3.2.2應(yīng)用二：使用SSH設(shè)置“加密通道”- 7 -</p><p>　　3.3 SSH加密技術(shù)優(yōu)點-

7、 8 -</p><p>　　3.4 SSH的安全驗證是如何工作的- 8 -</p><p>　　3.5 SSH協(xié)議的內(nèi)容- 9 -</p><p>　　3.6 SSH的密鑰管理- 9 -</p><p>　　3.7 SSH協(xié)議框架- 10 -</p><p>　　3.8 SSH分為兩部分：客戶端部分和服務(wù)端部

8、分- 10 -</p><p>　　參考文獻(xiàn)- 12 -</p><p>　　致 謝- 13 -</p><p>　　SSH加密技術(shù)研究和實現(xiàn)</p><p>　　隨著計算機網(wǎng)絡(luò)的發(fā)展，其開放性，共享性，互連程度擴大，網(wǎng)絡(luò)的重要性和對社會的影響也越來越大,在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信

9、息共享和業(yè)務(wù)處理功能，在信息處理能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。</p><p>　　1 網(wǎng)絡(luò)安全的重要性</p><p>　　1.1網(wǎng)絡(luò)安全的定義 </p><p>　　國際標(biāo)準(zhǔn)化組織（ISO）將“計算機安全”定義為：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏”，上述計算機

10、安全的定義包含物理安全和邏輯安全兩方面的內(nèi)容，其邏輯安全的內(nèi)容可理解為我們常說的信息安全，是指對信息的保密性、完整性和可用性的保護，而網(wǎng)絡(luò)安全性的含義是信息安全的引申，即網(wǎng)絡(luò)安全是對網(wǎng)絡(luò)信息保密性、完整性和可用性的保護。 據(jù)不完全統(tǒng)Internet現(xiàn)在遍及186個國家，容納近60萬個網(wǎng)絡(luò)，提供了包括600個大型聯(lián)網(wǎng)圖書館，400個聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報紙，50多萬個Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100

11、萬個信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會的各個領(lǐng)域，在社會生產(chǎn)、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時，又要求信息的傳播是可控的，共享是授權(quán)的，增殖是確認(rèn)的。因此在任何情況下，信息的安全和可靠必須是保證的。 </p><p>　　Internet是一種開放和標(biāo)準(zhǔn)的面向所有用戶的技術(shù)，其資源通過網(wǎng)絡(luò)共享。

12、資源共享和信息安全是一對矛盾. 自Internet問世以來，資源共享和信息安全一直作為一對矛盾體而存在著，計算機網(wǎng)絡(luò)資源共享的進(jìn)一步加強隨之而來的信息安全問題也日益突出，各種計算機病毒和網(wǎng)上黑客（Hackers）對Internet的攻擊越來越激烈，許多網(wǎng)站遭受破壞的事例不勝枚舉?！　?lt;/p><p>　　在計算機上處理業(yè)務(wù)已由單機處理功能發(fā)展到面向內(nèi)部局域網(wǎng)、全球互聯(lián)網(wǎng)的世界范圍內(nèi)的信息共享和業(yè)務(wù)處理功能。在信息

13、處理能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出。</p><p>　　1.2網(wǎng)絡(luò)的開放性帶來的安全隱患 </p><p>　　眾所周知，Internet是開放的，而開放的信息系統(tǒng)必然存在眾多潛在的安全隱患，黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中，安全技術(shù)作為一個獨特的領(lǐng)域越來越受到全球網(wǎng)絡(luò)建設(shè)者的關(guān)注。為了解決這些安全問題，各種安全機制、策略和工具被研究和應(yīng)用。然而

14、，即使在使用了現(xiàn)有的安全工具和機制的情況下，網(wǎng)絡(luò)的安全仍然存在很大隱患，這些安全隱患主要可以歸結(jié)為以下幾點： </p><p>　?。?）每一種安全機制都有一定的應(yīng)用范圍和應(yīng)用環(huán)境 </p><p>　　防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是對于內(nèi)部網(wǎng)絡(luò)之間的訪問，防火墻往往是無能為力的。因此，對于內(nèi)部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)之間的入侵行為和內(nèi)外勾結(jié)的

15、入侵行為，防火墻是很難發(fā)覺和防范的。 </p><p>　?。?）安全工具的使用受到人為因素的影響 </p><p>　　一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶，不正當(dāng)?shù)脑O(shè)置就會產(chǎn)生不安全因素。例如，NT在進(jìn)行合理的設(shè)置后可以達(dá)到C2級的安全性，但很少有人能夠?qū)T本身的安全策略進(jìn)行合理的設(shè)置。雖然在這方面，可以通過靜態(tài)掃描工具來檢測系統(tǒng)是否進(jìn)

16、行了合理的設(shè)置，但是這些掃描工具基本上也只是基于一種缺省的系統(tǒng)安全策略進(jìn)行比較，針對具體的應(yīng)用環(huán)境和專門的應(yīng)用需求就很難判斷設(shè)置的正確性。 </p><p>　?。?）系統(tǒng)的后門是傳統(tǒng)安全工具難于考慮到的地方 </p><p>　　防火墻很難考慮到這類安全問題，多數(shù)情況下這類入侵行為可以堂而皇之經(jīng)過防火墻而很難被察覺。比如說，眾所周知的ASP源碼問題，這個問題在IIS服務(wù)器4.0以前一直存

17、在，它是IIS服務(wù)的設(shè)計者留下的一個后門，任何人都可以使用瀏覽器從網(wǎng)絡(luò)上方便地調(diào)出ASP程序的源碼，從而可以收集系統(tǒng)信息，進(jìn)而對系統(tǒng)進(jìn)行攻擊。對于這類入侵行為，防火墻是無法發(fā)覺的，因為對于防火墻來說，該入侵行為的訪問過程和正常的WEB訪問是相似的，唯一區(qū)別是入侵訪問在請求鏈接中多加了一個后綴。</p><p>　　（4）只要有程序，就可能存在BUG </p><p>　　甚至連安全工具本身

18、也可能存在安全的漏洞。幾乎每天都有新的BUG被發(fā)現(xiàn)和公布出來，程序設(shè)計者在修改已知的BUG的同時又可能使它產(chǎn)生了新的BUG。系統(tǒng)的BUG經(jīng)常被黑客利用，而且這種攻擊通常不會產(chǎn)生日志，幾乎無據(jù)可查。比如說現(xiàn)在很多程序都存在內(nèi)存溢出的BUG，現(xiàn)有的安全工具對于利用這些BUG的攻擊幾乎無法防范。 </p><p>　?。?）黑客的攻擊手段在不斷地更新，幾乎每天都有不同系統(tǒng)安全問題出現(xiàn) </p><p

19、>　　然而安全工具的更新速度太慢，絕大多數(shù)情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應(yīng)太慢。當(dāng)安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時，其他的安全問題又出現(xiàn)了。因此，黑客總是可以使用先進(jìn)的、安全工具不知道的手段進(jìn)行攻擊。 　　 </p><p><b>　　2 計算機網(wǎng)絡(luò)安全</b></p><p>　　2.1影響網(wǎng)絡(luò)安

20、全的主要因素</p><p>　?。?）武力威脅：物理威脅只要包括偷竊和間諜行為。偷竊包括偷竊信息，偷竊設(shè)備和偷竊服務(wù)等內(nèi)容；間諜行為則是是指為了獲取有價值的信息而進(jìn)行的不道德行為，通常用于商業(yè)目的，并已成為了當(dāng)前網(wǎng)絡(luò)安全的最大威脅之一。 </p><p>　?。?）系統(tǒng)漏洞所造成的威脅：只要是由于不安全服務(wù)，服務(wù)器自身漏洞，安全系統(tǒng)沒有被正確初始化等原因所造成的。</p>

21、<p>　?。?）身份鑒別威脅：主要是由口令圈套，口令被破解，口令算法考慮不全，口令編輯存在漏洞等方面所創(chuàng)造成的網(wǎng)絡(luò)安全。</p><p>　　（4）有害程序威脅：有害程序威脅包括病毒，木馬，代碼炸彈，非法更新和下載等方面的威脅。 </p><p>　　2.2計算機網(wǎng)絡(luò)安全</p><p>　　計算機網(wǎng)絡(luò)安全總共包括了三個層次，即安全立法，安全管理和安全

22、技術(shù)。</p><p>　?。?）網(wǎng)絡(luò)安全立法：是通過發(fā)布相關(guān)網(wǎng)絡(luò)活動的法令和禁令，明確網(wǎng)絡(luò)系統(tǒng)人員和用戶應(yīng)履行的義務(wù)和權(quán)利，主要包括了憲法，數(shù)據(jù)保護法，保密法，計算機安全保護條例，計算機犯罪法等。</p><p>　?。?）網(wǎng)絡(luò)安全管理：網(wǎng)絡(luò)安全管理是網(wǎng)絡(luò)管理的重要組成部分，是指以管理對象的安全為目標(biāo)和任務(wù)所進(jìn)行的各種管理活動，網(wǎng)絡(luò)安全管理主要包括硬件資源的安全管理，信息資源的安全以及其

23、他如鑒別管理，密鑰管理和訪問控制管理等方面的管理內(nèi)容。</p><p>　?。?）網(wǎng)絡(luò)安全技術(shù)：網(wǎng)絡(luò)安全技術(shù)是計算機網(wǎng)絡(luò)安全的重要保證，是設(shè)備，方法，工具以及環(huán)境，需求的綜合，也是整個系統(tǒng)安全的物質(zhì)技術(shù)基礎(chǔ)，它通過一定的安全技術(shù)措施和管理手段，以確保網(wǎng)絡(luò)資源的可用性，保密性，完整性，可控制性和抗抵賴性，不會因為網(wǎng)絡(luò)設(shè)施，網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)管理手段自然或者人為因素的危害，而導(dǎo)致網(wǎng)絡(luò)中斷，信息破壞或泄漏。</p&g

24、t;<p>　　2.3計算機網(wǎng)絡(luò)安全的實現(xiàn)</p><p>　　2.3.1防火墻技術(shù)</p><p>　　從計算機網(wǎng)絡(luò)安全技術(shù)的角度來看，防火墻是指強加于兩個網(wǎng)絡(luò)之間邊界處，以保護內(nèi)部網(wǎng)絡(luò)免遭來自外部網(wǎng)絡(luò)的威脅的系統(tǒng)或者系統(tǒng)組合。防火墻技術(shù)作為保護計算機網(wǎng)絡(luò)安全的最常用的技術(shù)手段之一，當(dāng)期全國約有三分之一的計算機是處于防火墻的保護下，防火墻在不危及到內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)和其他資源的前

25、提下，允許本地用戶使用外部網(wǎng)絡(luò)資源，并將外部未授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外，從而解決了因連接外部網(wǎng)絡(luò)所帶來的安全問題。</p><p>　　防火墻技術(shù)主要包括包過濾型防火墻，多宿主機防火墻等結(jié)構(gòu)形式：</p><p>　?。?）包過濾型防火墻一般用于網(wǎng)絡(luò)層，因此也稱為IP過濾器或者網(wǎng)絡(luò)層防火墻，它往往通過一臺過濾器來實現(xiàn)對每個接收數(shù)據(jù)包的拒絕或允許的決定。具有處理數(shù)據(jù)包的速度較快，實現(xiàn)包過

26、濾幾乎不需要任何附加費用，對用戶的應(yīng)用方面是透明公開的等方面的優(yōu)點。缺點則是維護較為困難、往往只能阻止一種類型的IP欺騙，隨著過濾器數(shù)目的增加路由器的吞吐量隨之下降。</p><p>　?。?）多宿主機防火墻使用了多個網(wǎng)絡(luò)接口的計算機系統(tǒng)，可以連接多個網(wǎng)絡(luò)，實現(xiàn)了多個網(wǎng)絡(luò)之間的訪問。優(yōu)點是：可以將保護的網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)屏蔽，從而增強了網(wǎng)絡(luò)的安全性，可用于實施較強的數(shù)據(jù)流監(jiān)控、記錄、報告和過濾等；缺點是：會導(dǎo)致訪問的速

27、度減慢，而且提供服務(wù)相對滯后，有些服務(wù)甚至無法提供。</p><p>　　2.3.2數(shù)據(jù)加密技術(shù)</p><p>　　隨著當(dāng)前通信技術(shù)的快速發(fā)展，用戶對信息的安全處理、安全存儲、安全傳輸?shù)男枰苍絹碓狡惹?，并受到了廣泛關(guān)注，信息在網(wǎng)絡(luò)傳輸?shù)陌踩{是由于TCP/IP協(xié)議所固有的，因此數(shù)據(jù)加密技術(shù)成為了實現(xiàn)計算機網(wǎng)絡(luò)安全技術(shù)的必然選擇。</p><p>　　網(wǎng)絡(luò)信息數(shù)

28、據(jù)加密的方式只要包括了鏈路加密、節(jié)點加密和端到端加密這三種方式。</p><p>　　（1）鏈路加密：在鏈路加密方式中，所有網(wǎng)絡(luò)信息在被傳輸之前就進(jìn)行加密，包括了控制信息和數(shù)據(jù)正文等都加密，在每個節(jié)點接收到報文后，需先進(jìn)行解密以獲得校驗和路由信息，然后再通過差錯檢測、路由選擇，并加密后傳輸?shù)较乱还?jié)點，鏈路加密在每一個網(wǎng)路的節(jié)點中，網(wǎng)絡(luò)信息都是以明文形式存在。</p><p>　?。?）節(jié)點

29、加密：信息只需在節(jié)點處進(jìn)行解密和加密，鏈路仍以明文形式傳輸。在節(jié)點處的加密和解密在節(jié)點中的一個安全模塊中進(jìn)行，均是以密文形式呈現(xiàn)。節(jié)點加密的方式要求路由和報文的信息都是以明文形式傳輸，因此不能夠有效的防止攻擊者分析通信類業(yè)務(wù)。</p><p>　?。?）端到端加密：這種方式允許數(shù)據(jù)從源點到終點的傳輸過程中始終以密文形式存在。采用端到端加密，信息在被傳輸時到達(dá)終點之前不能進(jìn)行解密，這種方式通常不允許對目的IP地址進(jìn)

30、行加密，以便于確定節(jié)點如何傳輸信息，因此也具有一定的脆弱性。按照加密密碼的不同將現(xiàn)代密碼技術(shù)分為對稱加密算法（私鑰密碼體系）和非對稱加密算法（公鑰密碼體系）。隨著當(dāng)前計算機網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)加碼技術(shù)成為了實現(xiàn)網(wǎng)絡(luò)安全所采用了最常用也是最重要的手段之一，通過數(shù)據(jù)加密技術(shù)，在很大的程度上提供了網(wǎng)絡(luò)信息傳輸?shù)陌踩裕⒈ＷC了信息的機密性和完整性，還同時提供了用戶的身份驗證。</p><p><b>　　2.3.

31、3殺毒軟件</b></p><p>　　病毒式一種認(rèn)為編制的具有破壞性的計算機程序，能通過自我復(fù)制和迅速傳播，來破壞計算機相關(guān)軟件的指令，從而改變、擾亂或者銷毀用戶存儲的信息，造成無法挽回的損失。當(dāng)前世界各國遭受計算機病毒攻擊和感染的時間屢有發(fā)生，給網(wǎng)絡(luò)安全帶來的巨大的潛在威脅和破壞，殺毒軟件是一種可以對當(dāng)前已知的病毒、木馬等對計算機有威脅的程序代碼進(jìn)行清除的有效程序工具，對當(dāng)前網(wǎng)絡(luò)安全的實現(xiàn)起到了重

32、要的作用，殺毒軟件的主要功能和作用包括查毒、殺毒、防毒和數(shù)據(jù)信息的恢復(fù)。然而殺毒軟件的病毒防治程序往往是在病毒出現(xiàn)之后才進(jìn)行研制開發(fā)的，具有一定的滯后性和被動性。因此為了實現(xiàn)網(wǎng)絡(luò)安全和計算機病毒的防治，還必須加強網(wǎng)絡(luò)安全管理和結(jié)合其他相應(yīng)的安茜技術(shù)。</p><p>　　2.3.4入侵檢測技術(shù)</p><p>　　入侵檢測技術(shù)也被稱為網(wǎng)絡(luò)實時監(jiān)控技術(shù)，它通過對計算機網(wǎng)絡(luò)的若干關(guān)鍵點收集信息

33、，并對其進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在著違反安全策略的行為和被攻擊的跡象，入侵檢測技術(shù)是網(wǎng)絡(luò)防護的有力補充，并擴展了網(wǎng)絡(luò)安全管理能力，提供了安全監(jiān)護、攻擊識別、審計等方面的作用。</p><p>　　2.3.5網(wǎng)絡(luò)安全掃描技術(shù)</p><p>　　網(wǎng)絡(luò)安全掃描技術(shù)是為了方便系統(tǒng)管理員通過目標(biāo)探測和網(wǎng)絡(luò)掃描，能及時了解到系統(tǒng)中所存在的安全漏洞，并采取相應(yīng)的安全措施，以降低系統(tǒng)安全風(fēng)險而發(fā)展

34、起來的安全技術(shù)，安全掃描技術(shù)能夠?qū)χ鳈C操作系統(tǒng)、局域網(wǎng)、防火墻系統(tǒng)、系統(tǒng)服務(wù)等方面的安全漏洞進(jìn)行漏洞進(jìn)行掃描，也是當(dāng)前被廣泛應(yīng)用的一種計算機網(wǎng)絡(luò)安全技術(shù)。</p><p><b>　　3 SSH加密技術(shù)</b></p><p>　　3.1什么是SSH加密技術(shù) </p><p>　　SSH(secure shell)是一種通用，功能強大的基于軟件

35、的網(wǎng)絡(luò)安全解決方案，計算機每次向網(wǎng)絡(luò)發(fā)送數(shù)據(jù)時，SSH都會自動對其進(jìn)行加密。數(shù)據(jù)到達(dá)目的地時，SSH自動對加密數(shù)據(jù)進(jìn)行解密。整個過程都是透明的。它使用了現(xiàn)代的安全加密算法。 </p><p>　　SSH協(xié)議出現(xiàn)之前，在網(wǎng)絡(luò)設(shè)備管理上廣泛應(yīng)用的一種方式是Telnet。</p><p>　　Telnet協(xié)議的優(yōu)勢在于通過它可以遠(yuǎn)程地登錄到網(wǎng)絡(luò)設(shè)備上，對網(wǎng)絡(luò)設(shè)備進(jìn)行配置，為網(wǎng)絡(luò)管理員異地管理網(wǎng)絡(luò)

36、設(shè)備提供了極大的方便。但是，Telnet協(xié)議存在三個致命的弱點：</p><p>　　（1） 數(shù)據(jù)傳輸采用明文方式，傳輸?shù)臄?shù)據(jù)沒有任何機密性可言。</p><p>　?。?）認(rèn)證機制脆弱。用戶的認(rèn)證信息在網(wǎng)絡(luò)上以明文方式傳輸，很容易被竊聽；Telnet只支持傳統(tǒng)的密碼認(rèn)證方式，很容易被攻擊。</p><p>　　（3）客戶端無法真正識別服務(wù)器的身份，攻擊者很容易進(jìn)行

37、“偽服務(wù)器欺騙”。</p><p>　　SSH協(xié)議正是為了克服Telnet協(xié)議存在的問題而誕生的。SSH的英文全稱是Secure SHell。通過使用SSH，你可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣"中間人"這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替telnet，又可以為ftp、p

38、op、甚至ppp提供一個安全的"通道"。SSH客戶端與服務(wù)器端通訊時，用戶名及口令均進(jìn)行了加密，有效防止了對口令的竊聽。最初SSH是由芬蘭的一家公司開發(fā)的。但是因為受版權(quán)和加密算法的限制，現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件，而且是免費的，可以預(yù)計將來會有越來越多的人使用它而不是SSH。SSH是由客戶端和服務(wù)端的軟件組成的。SSH安裝容易、使用簡單，而且比較常見，一般的Unix系統(tǒng)、L

39、inux系統(tǒng)、FreeBSD系統(tǒng)都附帶有支持SSH的應(yīng)用程序包。</p><p>　　3.2 SSH的應(yīng)用場景</p><p>　　3.2.1應(yīng)用一：使用scp命令遠(yuǎn)程拷貝文件</p><p>　　SSH提供了一些命令和shell用來登錄遠(yuǎn)程服務(wù)器，在默認(rèn)情況下其并不允許用戶拷貝文件。但為了方便用戶使用，它還是提供了一個“scp”命令，用戶可以使用該命令來進(jìn)行文件的

40、遠(yuǎn)程拷貝工作。</p><p>　　假定用戶想把本地計算機當(dāng)前目錄下的一個名為“share”的文件拷貝到遠(yuǎn)程服務(wù)器www.remote.com上用戶的家目錄下。而且用戶在遠(yuǎn)程服務(wù)器上的賬號名為“super”?？梢杂眠@個命令：</p><p>　　scp share super@www.foobar.com:.</p><p>　　把文件拷貝回來用這個命令：</

41、p><p>　　scp super@www.remote.com:share.</p><p>　　“scp”調(diào)用SSH進(jìn)行登錄，然后拷貝文件，最后調(diào)用SSH關(guān)閉這個連接如果在用戶的“~/.ssh/config”文件中已經(jīng)為www.foobar.com做了這樣的配置：</p><p><b>　　Host *fbc</b></p>&

42、lt;p>　　HostName www.remote.com</p><p>　　User super</p><p>　　ForwardAgent yes</p><p>　　那么用戶就可以用“fbc”來代替“bilbo@www.foobar.com”，命令就簡化為“scp dumb fbc:.”?！皊cp”假定用戶在遠(yuǎn)程主機上的家目錄為用戶的工作目錄。如果

43、用戶使用相對目錄就要相對于家目錄。</p><p>　　用“scp”命令的“-r”參數(shù)允許遞歸地拷貝目錄?！皊cp”也可以在兩個不同的遠(yuǎn)程主機之間拷貝文件。</p><p>　　在使用的過程中，有時候用戶可能會試圖進(jìn)行如下操作：用SSH登錄到www.remote.com上之后，輸入命令“scp [local machine]:share .”想用其把本地的“share”文件拷貝到用戶當(dāng)前登

44、錄的遠(yuǎn)程服務(wù)器上。這時候用戶會看到下面的出錯信息：</p><p>　　ssh: secure connection to [local machine] refused</p><p>　　之所以會出現(xiàn)這樣的出錯信息是因為用戶運行的是遠(yuǎn)程的“scp”命令，該命令試圖登錄到在用戶本地計算機上運行的SSH服務(wù)程序，而這樣做是不允許的，除非用戶的本地計算機也運行著SSH服務(wù)程序。</p&

45、gt;<p>　　3.2.2應(yīng)用二：使用SSH設(shè)置“加密通道”</p><p>　　SSH的“加密通道”是通過“端口轉(zhuǎn)發(fā)”來實現(xiàn)的。用戶可以在本地端口（沒有使用過的）和在遠(yuǎn)程服務(wù)器上運行的某個服務(wù)的端口之間建立“加密通道”。所有對本地端口的請求都被SSH加密并且轉(zhuǎn)發(fā)到遠(yuǎn)程服務(wù)器的端口。當(dāng)然只有遠(yuǎn)程服務(wù)器上運行SSH服務(wù)器軟件的時候“加密通道”才能工作?？梢杂孟旅婷顧z查一些遠(yuǎn)程服務(wù)器是否運行SSH服

46、務(wù)：</p><p>　　telnet [遠(yuǎn)程主機的名字全稱] 22</p><p>　　如果收到這樣的出錯信息：</p><p>　　telnet: Unable to connect to remote host: Connection refused</p><p>　　就說明遠(yuǎn)程服務(wù)器上沒有運行SSH服務(wù)軟件。</p>

47、<p>　　端口轉(zhuǎn)發(fā)使用如下的命令語法：</p><p>　　ssh -f [遠(yuǎn)程主機上的用戶名] -L [本地端口號]:[遠(yuǎn)程主機的名字全稱]:[遠(yuǎn)程端口] [命令]</p><p>　　不僅可以轉(zhuǎn)發(fā)多個端口，而且可以在“~/.ssh/config”文件中用“LocalForward”設(shè)置經(jīng)常使用的一些轉(zhuǎn)發(fā)端口。</p><p>　　（1）為POP加上“

48、加密通道”</p><p>　　可以使用POP協(xié)議從服務(wù)器上取E-mail。為POP加上“加密通道”可以防止POP的密碼被網(wǎng)絡(luò)監(jiān)聽器（sniffer、TCPDUMP等軟件）監(jiān)聽到。還有一個好處就是SSH的壓縮方式可以讓郵件傳輸?shù)酶臁?lt;/p><p>　　假定用戶在pop.foobar.com上有一個POP賬號，用戶的用戶名是“bilbo”，用戶的POP口令是“topsecret”。用來建

49、立SSH“加密通道”的命令是：ssh -f -C bilbo@pop.foobar.com -L 1234:pop.foobar.com:110 sleep 5（如果要測試，可以把“sleep”的值加到500）。運行這個命令之后會提示用戶輸入POP口令：bilbo@pop.foobar.com's password:輸入口令之后就可以用“telnet”連接到本地的轉(zhuǎn)發(fā)端口了。telnet localhost 1234用戶會收到遠(yuǎn)

50、程mail服務(wù)器的“READY”消息。當(dāng)然，這個方法要求用戶手工輸入所有的POP命令，這是很不方便的。可以用Fetchmail（參考how to configure Fetchmail）。Secure POP via SSH mini-HOWTO、man fetchmail和在“/usr/doc/fetchmail-[…]”目錄下的Fetchmail的FAQ都提供了一些具體的例子。</p><p>　?。?）為X

51、加上“加密通道”</p><p>　　如果用戶打算在本地計算機上運行遠(yuǎn)程SSH服務(wù)器上的X窗口系統(tǒng)程序，那么登錄到遠(yuǎn)程的計算機上，創(chuàng)建一個名為“~/.ssh/environment”的文件并加上這一行：XAUTHORITY=/home/[remote user name]/.Xauthority</p><p>　　比如啟動一個X程序（xterm）可以這個命令：</p>&l

52、t;p>　　ssh -f -X -l [remote user name] [remote machine] xterm</p><p>　　這將在遠(yuǎn)程運行xterm這個程序。其他的X程序也是用相同的方法。</p><p>　?。?）為Linuxconf加上“加密通道”</p><p>　　Linuxconf是Linux的配置工具，支持遠(yuǎn)程管理。使用linux

53、conf的命令為：</p><p>　　remadmin --exec [link_command] linuxconf --guiproto</p><p>　　如果用戶想在兩臺計算機之間用加密的方式傳送信息，那么最好使用ssh。命令是：</p><p>　　remadmin --exec ssh -l [account] linuxconf --guiproto

54、</p><p>　　這是一種非常有效的采行圖形界面管理計算機的方式。這種方法需要在客戶端安裝linuxconf。其他的方法還有直接登錄到服務(wù)器上用“X11Forwarding”或字符界面運行l(wèi)inuxconf。</p><p>　　3.3 SSH加密技術(shù)優(yōu)點</p><p>　　（1）數(shù)據(jù)傳輸采用密文的方式，保證信息交互的機密性。</p><p

55、>　　（2）通信完整性，確保通信不會被修改。</p><p>　?。?）認(rèn)證，即發(fā)送者和接收者的身份證明?？蛻魴C和服務(wù)器雙向認(rèn)證。</p><p>　?。?）授權(quán)，即對賬號進(jìn)行訪問控制。</p><p>　　（5）使用轉(zhuǎn)發(fā)或隧道技術(shù)對其它基于tcp/ip的會話進(jìn)行加密。</p><p>　?。?）除了傳統(tǒng)的密碼認(rèn)證，SSH服務(wù)器還可以采

56、用多種方式對用戶進(jìn)行認(rèn)證（如安全性級別更高的公鑰認(rèn)證），提高了用戶認(rèn)證的強度。</p><p>　　3.4 SSH的安全驗證是如何工作的 </p><p>　　從客戶端來看，SSH提供兩種級別的安全驗證。</p><p>　　第一種級別（基于口令的安全驗證）只要你知道自己帳號和口令，就可以登錄到遠(yuǎn)程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證你正在連接的服務(wù)器就是你

57、想連接的服務(wù)器?？赡軙袆e的服務(wù)器在冒充真正的服務(wù)器，也就是受到“中間人”這種方式的攻擊。 </p><p>　　第二種級別（基于密匙的安全驗證）需要依靠密匙，也就是你必須為自己創(chuàng)建一對密匙，并把公用密匙放在需要訪問的服務(wù)器上。如果你要連接到SSH服務(wù)器上，客戶端軟件就會向服務(wù)器發(fā)出請求，請求用你的密匙進(jìn)行安全驗證。服務(wù)器收到請求之后，先在你在該服務(wù)器的家目錄下尋找你的公用密匙，然后把它和你發(fā)送過來的公用密匙進(jìn)行

58、比較。如果兩個密匙一致，服務(wù)器就用公用密匙加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件。客戶端軟件收到“質(zhì)詢”之后就可以用你的私人密匙解密再把它發(fā)送給服務(wù)器。 用這種方式，你必須知道自己密匙的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡(luò)上傳送口令。 第二種級別不僅加密所有傳送的數(shù)據(jù)，而且“中間人”這種攻擊方式也是不可能的（因為他沒有你的私人密匙）。但是整個登錄的過程可能需要10秒。 </p><p

59、>　　3.5 SSH協(xié)議的內(nèi)容</p><p>　　SSH協(xié)議是建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議，它主要由以下三部分組成，共同實現(xiàn)SSH的安全保密機制?！?（1）傳輸層協(xié)議，它提供諸如認(rèn)證、信任和完整性檢驗等安全措施，此外它還可以任意地提供數(shù)據(jù)壓縮功能。通常情況下，這些傳輸層協(xié)議都建立在面向連接的TCP數(shù)據(jù)流之上?！?（2）用戶認(rèn)證協(xié)議層，用來實現(xiàn)服務(wù)器的跟客戶端用戶之間的身份認(rèn)證，它運行在傳輸層協(xié)

60、議之上?！?（3）連接協(xié)議層，分配多個加密通道至一些邏輯通道上，它運行在用戶認(rèn)證層協(xié)議之上。　　當(dāng)安全的傳輸層連接建立之后，客戶端將發(fā)送一個服務(wù)請求。當(dāng)用戶認(rèn)證層連接建立之后將發(fā)送第二個服務(wù)請求。這就允許新定義的協(xié)議可以和以前的協(xié)議共存。連接協(xié)議提供可用作多種目的通道，為設(shè)置安全交互Shell會話和傳輸任意的TCP/IP端口和X11連接提供標(biāo)準(zhǔn)方法</p><p>　　3.6 SSH的密鑰管理</p&g

61、t;<p>　　SSH的密鑰管理主要包括兩個方面：生成公鑰/私鑰對以及公鑰的分發(fā)，下面將對這兩個密鑰管理工作分別進(jìn)行介紹。</p><p>　　1 生成用戶自己的密鑰對生成并分發(fā)用戶自己的密鑰有兩個好處：</p><p>　?。?）可以防止“中間人”這種攻擊方式。</p><p>　　（2）可以只用一個口令就登錄到所有用戶想登錄的服務(wù)器上。</p

62、><p>　　用下面的命令可以生成密鑰：</p><p>　　#ssh-keygen</p><p>　　如果遠(yuǎn)程主機使用的是SSH 2.x就要用這個命令：</p><p>　　#ssh-keygen –d</p><p>　　在同一臺主機上同時有SSH1和SSH2的密鑰是沒有問題的，因為密鑰是保存為不同的文件的。ssh-

63、keygen命令運行之后會顯示下面的信息：</p><p>　　Generating RSA keys:</p><p>　　Key generation complete.</p><p>　　Enter file in which to save the key (/home/[user]/.ssh/identity):</p><p>

64、　　//此時按下回車鍵就行了</p><p>　　Created directory '/home/[user]/.ssh'.</p><p>　　Enter passphrase (empty for no passphrase): //輸入的口令不會顯示在屏幕上</p><p>　　//重新輸入一遍口令，如果忘記了口令就只能重新生成一次密鑰了&l

65、t;/p><p>　　Enter same passphrase again:</p><p>　　//保存用戶的私人密鑰和公用密鑰</p><p>　　Your identification has been saved in /home/[user]/.ssh/identity.</p><p>　　Your public key has b

66、een saved in /home/[user]/.ssh/identity.pub.</p><p>　　The key fingerprint is: 2a:dc:71:2f:27:84:a2:e4:a1:1e:a9:63:e2:fa:a5:89 [user]@[local machine]</p><p>　　“ssh-keygen -d”做的是幾乎同樣的事，但是把一對密鑰存為（默

67、認(rèn)情況下）“/home/[user] /.ssh/id_dsa”（私人密鑰）和“/home/[user]/.ssh/id_dsa.pub”（公用密鑰）。</p><p>　　現(xiàn)在用戶擁有一對密鑰：公用密鑰要分發(fā)到所有用戶想用ssh登錄的遠(yuǎn)程主機上去；私人密鑰要好好地保管防止別人知道私人密鑰。用“l(fā)s-l ~/.ssh/identity”或“l(fā)s-l ~/.ssh/id_dsa”所顯示的文件的訪問權(quán)限必須是“-rw

68、-------”。</p><p><b>　　2 分發(fā)公用密鑰</b></p><p>　　在每一個用戶需要用SSH連接的遠(yuǎn)程服務(wù)器上，用戶要在自己的主目錄下創(chuàng)建一個“.ssh”的子目錄，把用戶的公用密鑰“identity.pub”拷貝到這個目錄下并把它重命名為“authorized_ keys”。然后執(zhí)行：</p><p>　　chmod

69、644 .ssh/authorized_keys</p><p>　　這一步是必不可少的。如果除了用戶之外別人對“authorized_keys”文件也有寫的權(quán)限，SSH就不會工作。</p><p>　　如果用戶想從不同的計算機登錄到遠(yuǎn)程主機，“authorized_keys”文件也可以有多個公用密鑰。在這種情況下，必須在新的計算機上重新生成一對密鑰，然后把生成的“identify.pub

70、”文件拷貝并粘貼到遠(yuǎn)程主機的“authorized_keys”文件里。當(dāng)然在新的計算機上用戶必須有一個賬號，而且密鑰是用口令保護的。有一點很重要，就是當(dāng)用戶取消了這個賬號之后，別忘了把這一對密鑰刪掉。</p><p>　　3.7 SSH協(xié)議框架</p><p>　　協(xié)議框架中最主要的部分是三個協(xié)議：傳輸層協(xié)議、用戶認(rèn)</p><p>　　證協(xié)議、 連接協(xié)議。同時SS

71、H協(xié)議框架中還為許多高層的網(wǎng)絡(luò)安全應(yīng)用協(xié)議提供擴展的支持。它們之間的層次關(guān)系可以用如下來表示： </p><p>　?。?）傳輸層協(xié)議（The Transport Layer Protocol）提供服務(wù)器認(rèn)證，數(shù)據(jù)機密性，信息完整性 等的支持； </p><p>　?。?）用戶認(rèn)證協(xié)議（The User Authentication Protocol）則為服務(wù)器提供客戶端的身份鑒別； &l

72、t;/p><p>　?。?）連接協(xié)議（The Connection Protocol） 將加密的信息隧道復(fù)用成若干個邏輯通道，提供給更高層的應(yīng)用協(xié)議使用； 各種高層應(yīng)用協(xié)議可以相對地獨立于SSH基本體系之外，并依靠這個基本框架，通過連接協(xié)議使用SSH的安全機制。 </p><p>　　3.8 SSH分為兩部分：客戶端部分和服務(wù)端部分 服務(wù)端是一個守護進(jìn)程(demon)，他在后臺運行并響

73、應(yīng)來自客戶端的連接請求。服務(wù)端一般是sshd進(jìn)程，提供了對遠(yuǎn)程連接的處理，一般包括公共密鑰認(rèn)證、密鑰交換、對稱密鑰加密和非安全連接。</p><p>　　客戶端包含ssh程序以及像scp（遠(yuǎn)程拷貝）、slogin（遠(yuǎn)程登陸）、sftp（安全文件傳輸）等其他的應(yīng)用程序。他們的工作機制大致是本地的客戶端發(fā)送一個連接請求到遠(yuǎn)程的服務(wù)端，服務(wù)端檢查申請的包和IP地址再發(fā)送密鑰給SSH的客戶端，本地再將密鑰發(fā)回給服務(wù)端，自

74、此連接建立。剛才所講的只是SSH連接的大致過程，SSH 1.x和SSH 2.x在連接協(xié)議上還有著一些差異。 SSH被設(shè)計成為工作于自己的基礎(chǔ)之上而不利用超級服務(wù)器(inetd)，雖然可以通過inetd上的tcpd來運行SSH進(jìn)程，但是這完全沒有必要。啟動SSH服務(wù)器后，sshd運行起來并在默認(rèn)的22端口進(jìn)行監(jiān)聽（你可以用 # ps -waux | grep sshd 來查看sshd是否已經(jīng)被正確的運行了）如果不是通過inetd啟

75、動的SSH，那么SSH就將一直等待連接請求。當(dāng)請求到來的時候SSH守護進(jìn)程會產(chǎn)生一個子進(jìn)程，該子進(jìn)程進(jìn)行這次的連接處理。</p><p><b>　　參考文獻(xiàn)</b></p><p>　?、偾匮┑?《開創(chuàng)現(xiàn)代計算機網(wǎng)絡(luò)安全新時代》[J].《職業(yè)技術(shù)》2008年 第8期 </p><p>　?、诹謻|：《 計算機網(wǎng)絡(luò)安全》[J].《中

76、國教育與教學(xué)研究》2012-06-06</p><p>　　③楊黎霞：《中國高新技術(shù)企業(yè)》2008年第24期</p><p>　?、茉S江：《網(wǎng)絡(luò)安全新思路》[J].《重慶工商大學(xué)學(xué)報(自然科學(xué)版)》 2004年06期</p><p>　　⑤趙毅：《高校辦公自動化系統(tǒng)整體安全策略的研究》[J].《重慶工學(xué)院學(xué)報》2005年11期</p><p>

77、;　　⑥李亞軍：《朝陽寬帶IP城域網(wǎng)的安全策略的研究與設(shè)計》[D].吉林大學(xué) 2006年</p><p>　?、哙嵉戏f：《基于動態(tài)模型的網(wǎng)絡(luò)安全體系及其在大型企業(yè)的應(yīng)用研究》[D].同濟大學(xué)2007年</p><p>　?、嘹w春,趙成棟,康建初：《LDAP在基于域的網(wǎng)絡(luò)管理中應(yīng)用的研究》[J].《計算機工程與應(yīng)用》2004年18期</p><p>　?、嵘蛎饔瘢骸痘?/p>

78、于主動網(wǎng)絡(luò)的分布式智能管理模型研究》[D].合肥工業(yè)大學(xué)2007年</p><p>　?、舛淞眨骸痘赟NMP的智能PCM網(wǎng)絡(luò)管理系統(tǒng)的研究與實現(xiàn)》[D].華北電力大學(xué)（北京）2004年</p><p><b>　　致 謝</b></p><p>　　本研究及論文是在我的指導(dǎo)教師的親切關(guān)懷和悉心指導(dǎo)下完成的。從課題的選擇到論文的最終完成，老師始

79、終給予我細(xì)心的指導(dǎo)和不懈的支持。老師一絲不茍、嚴(yán)謹(jǐn)認(rèn)真的治學(xué)態(tài)度，淵博深厚的學(xué)識見解以及正直無私、磊落大度的高尚人品，讓我不但在學(xué)識方面受益匪淺，更明白了許多做人的道理,這是我以后學(xué)習(xí)工作的一筆寶貴的財富。我的每一點進(jìn)步，每一滴成績，都包含著恩師的心血。在此，謹(jǐn)獻(xiàn)上我由衷的感謝和最誠摯的敬意。</p><p>　　感謝學(xué)習(xí)期間教過我的所有的老師，我們的收獲折射出您們的辛勞和智慧。感謝在一起愉快地度過大學(xué)生活的同學(xué)