自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

面試官:圖解SSH實(shí)現(xiàn)原理?

作者:子墨
安全 數(shù)據(jù)安全
SSH是一種協(xié)議標(biāo)準(zhǔn),它的主要目的是實(shí)現(xiàn)遠(yuǎn)程登錄和提供安全網(wǎng)絡(luò)服務(wù)。它的實(shí)現(xiàn)有很多種,最常用的就是開源openssh。

SSH是一種協(xié)議標(biāo)準(zhǔn),它的主要目的是實(shí)現(xiàn)遠(yuǎn)程登錄和提供安全網(wǎng)絡(luò)服務(wù)。它的實(shí)現(xiàn)有很多種,最常用的就是開源openssh。

對稱加密和非對稱加密

在講解SSH實(shí)現(xiàn)原理之前,我們先來了解下加密方式,我們都知道為了數(shù)據(jù)的安全,數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸肯定是要加密。那加密又要分為兩種加密方式:

  • 對稱加密(秘鑰加密)
  • 非對稱加密(公鑰加密)

對稱加密,就是加密和解密都是使用同一套秘鑰??聪聢D所示:

服務(wù)端和客戶端的交互過程如下圖:

對稱加密的加密強(qiáng)度很高,但是這有一個(gè)很大的問題。就是:如何保證秘鑰A的安全?當(dāng)客戶端的數(shù)量非常大的時(shí)候,如何保證秘鑰的安全?一旦秘鑰泄漏出去,后果不堪設(shè)想。用戶的安全就沒有任何保障。所以非對稱加密的出現(xiàn)就為了彌補(bǔ)這一點(diǎn)。

非對稱加密有兩個(gè)秘鑰:“私鑰”和“公鑰”。公鑰加密后的密文,只能通過對應(yīng)的私鑰進(jìn)行解密。而通過公鑰推理出私鑰的可能性微乎其微。下圖展示的是基本原理:

上圖在實(shí)際的使用中存在一個(gè)問題,就是客戶端需要知道服務(wù)端的公鑰,不然沒法加密。所以需要服務(wù)端告知客戶端公鑰的一個(gè)過程。如下圖:

  • 服務(wù)端收到客戶端的登錄請求,服務(wù)端把公鑰發(fā)送給客戶端
  • 客戶端用這個(gè)公鑰,對密碼加密
  • 客戶端將加密后的密碼發(fā)送給服務(wù)端
  • 服務(wù)端用私鑰解密,驗(yàn)證OK
  • 返回驗(yàn)證結(jié)果

私鑰是服務(wù)端獨(dú)有,這就保證了客戶端的登錄信息即使在網(wǎng)絡(luò)傳輸過程中被竊據(jù),也沒有私鑰進(jìn)行解密,保證了數(shù)據(jù)的安全性,這充分利用了非對稱加密的特性。

你覺得這樣就安全了嗎?

上述圖中有一個(gè)漏洞:客戶端如何保證接受到的公鑰就是目標(biāo)服務(wù)端的?如果攻擊者截獲了客戶端的請求,發(fā)送自己的公鑰,那客戶端用這個(gè)公鑰加密的密碼,就能被攻擊者用自己的私鑰解密。這不是一個(gè)很大的漏洞嗎?

SSH如何做的?

SSH有兩種方式:

  • 基于口令的認(rèn)證;
  • 基于公鑰認(rèn)證

1. 基于口令的認(rèn)證

從上面可以知道,我們的主要要解決的是“如何對服務(wù)端的公鑰進(jìn)行驗(yàn)證”,客戶端只要對公鑰進(jìn)行確認(rèn)下就OK了。通常在第一次登錄的時(shí)候,系統(tǒng)會出現(xiàn)下面提示信息:

  1. he authenticity of host 'ssh-server.example.com (12.18.429.21)' can't be established. 
  2. RSA key fingerprint is 98:2e:d7:e0:de:9f:ac:67:28:c2:42:2d:37:16:58:4d. 
  3. Are you sure you want to continue connecting (yes/no)?  

上面的信息說的是:無法確認(rèn)主機(jī)ssh-server.example.com(12.18.429.21)的真實(shí)性,不過知道它的公鑰指紋,是否繼續(xù)連接?

之所以用fingerprint代替key,主要是key過于長(RSA算法生成的公鑰有1024位),很難直接比較。所以,對公鑰進(jìn)行hash生成一個(gè)128位的指紋,這樣就方便比較了。

輸入yes后,該host已被確認(rèn),并被追加到文件known_hosts中,然后就需要輸入密碼。

2. 基于公鑰認(rèn)證

  • 客戶端與服務(wù)端協(xié)商產(chǎn)生會話密鑰;
  • 客戶端會向服務(wù)端發(fā)送一個(gè)登錄請求(如:root@192.168.1.2),發(fā)送的信息包括用戶名root和root的公鑰指紋,且所有信息都是通過會話密鑰加密過的。
  • 服務(wù)端通過會話密鑰解密客戶端發(fā)送的數(shù)據(jù)得到請求登錄的用戶名root和root的公鑰指紋,然后讀取root用戶家目錄下的所有公鑰數(shù)據(jù)(/root/.ssh/autorized_keys文件中),并分別通過單向加密算法獲取各公鑰的數(shù)據(jù)指紋與客戶端發(fā)送過來的數(shù)據(jù)指紋做對比,從而找到客戶端上的root用戶的公鑰;
  • 服務(wù)端使用找到的客戶端的公鑰對一個(gè)隨機(jī)數(shù)進(jìn)行加密發(fā)送發(fā)送給客戶端;
  • 客戶端使用私鑰對服務(wù)端發(fā)送的隨機(jī)數(shù)密文進(jìn)行解密,然后把解密結(jié)果發(fā)送給服務(wù)端;
  • 服務(wù)端驗(yàn)證客戶端解密后的數(shù)據(jù)與自己發(fā)送的數(shù)據(jù)一致,則對客戶端身份驗(yàn)證成功;

 

責(zé)任編輯:趙寧寧 來源: JAVA面試倉庫
SSH加密數(shù)據(jù)安全
相關(guān)推薦

2024-08-22 10:39:50

@Async注解代理

2024-03-05 10:33:39

AOPSpring編程

2025-03-07 00:00:10

2024-02-29 16:49:20

volatileJava并發(fā)編程

2024-08-29 16:30:27

2024-08-12 17:36:54

2024-03-14 14:56:22

反射Java數(shù)據(jù)庫連接

2024-03-28 10:37:44

IoC依賴注入依賴查找

2024-07-31 08:28:37

DMAIOMMap

2024-12-06 07:00:00

2024-09-20 08:36:43

零拷貝數(shù)據(jù)傳輸DMA

2021-05-20 08:34:03

CDN原理網(wǎng)絡(luò)

2024-03-22 06:56:24

零拷貝技術(shù)數(shù)據(jù)傳輸數(shù)據(jù)拷貝

2021-06-07 17:12:22

線程安全Atomic

2024-11-15 15:27:09

2024-06-04 09:02:03

2025-02-28 00:00:00

2025-04-07 00:00:00

MySQL數(shù)據(jù)庫服務(wù)器

2024-03-01 11:33:31

2024-12-04 14:45:14

零拷貝技術(shù)CPU 拷貝Zero-copy
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號