SSH ssh协议是什么 _生活百科

SSH 是 Secure SHell 的简称，由 IETF 的网络小组(Network Working Group)所制订，称为安全外壳协议，是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议，大多为远程登录对话和其它网络服务给予安全性的协议。

文章插图
基本功能:相近 telnet 的远程联机应用 shell 的服务器，即 ssh;相近 FTP 服务的 sftp-server，给予更安全的 FTP 服务。
ssh 原理工客户端积极联网要求：若客户端需要联网到 ssh 服务器，则需要使用适度的客户端程序来联网，包含 ssh, putty 等客户端程序联接。
服务器传输公钥给客户端：接受到客户端的需求后，服务器便把第一个流程取得的公钥传送给客户端应用 (这时应是明码传输，总之公钥本身就是给大家使用的) 。
【SSH ssh协议是什么】客户端纪录并比对服务器的公钥数据及任意测算自已的公私钥：若客户端第一次联接到此服务器，则会将服务器的公钥记录到客户端的用户家目录里的 ~/.ssh/known_hosts。倘若早已纪录过该服务器的公钥，则客户端想去核对本次接收到的与之前的纪录是否有差异。若接纳此公钥，则开始计算客户端自已的公私钥。
回传客户端的公钥到服务器端：客户把自己的公钥传送给服务器。这时服务器：具备服务器的私钥与客户端的公钥，而客户端乃是：具备服务器的公钥及其客户端自已的私钥，你会看到，在此次联网的服务器与客户端的密钥系统 (公钥私钥) 并不一样，所以才称为非对称加密系统。
逐渐双重加解密： (1)服务器到客户端：服务器传输数据时，拿客户的公钥加密后送出。客户端接受后，用自己的私钥解密 (2)客户端到服务器：客户端传输数据时，拿服务器的公钥加密后送出。服务器接受后，用服务器的私钥解密，那样就能保证通信安全。
SSH 主要有三部分组成传输层协议 [SSH-TRANS] 带来了服务器认证，安全性及完好性。此外它有时还提供缩小作用。SSH-TRANS 一般运行在 TCP/IP 连接上，也可能用以其他靠谱数据流上。SSH-TRANS 带来了强悍的加密算法、密码主机认证及完整性保护。该协议里的认证根据主机，并且该协议不执行客户认证。更高层的客户认证协议能够设计为在此协议以上。
客户认证协议 [SSH-USERAUTH] 用以向服务器给予客户端客户辨别作用。它运行在传输层协议 SSH-TRANS 上边。当 SSH-USERAUTH 开始后，它从矮层协议那边接受对话标志符（从第一次密钥互换里的互换哈希 H ）。对话标志符唯一标识此对话而且适用标识以证明私钥的所有权。SSH-USERAUTH 也要了解矮层协议是否给予安全性维护。
联接协议 [SSH-CONNECT] 将多个加密隧道分为逻辑通道。它运行在客户认证协议上。它带来了互动式登陆话路、远程命令实行、分享 TCP/IP 连接和分享 X11 联接。
认证方法根据口令的认证：这一就不用说了，便是键入账户密码。
根据密钥的认证，实际步骤如下:
(1).客户端创建两把钥匙(公钥与私钥)
(2).将公钥数据上传到服务器上
(3).将公钥摆放服务器端恰当目录与文件名（scp 或 ssh-copy-id）
针对 SSH 那样以提供安全通信为目标的协议，其中不可缺少的便是一套完善的密钥体制。因为 SSH 协议是面向互联网网络中主机间的互访与信息交换，因此主机密钥变成基本的密钥体制。换句话说，SSH 协议规定每一个应用本协议的主机都必须至少有一个自身的主机密钥对，服务方根据对顾客方主机密钥的认证以后，才能允许其联接要求。一个主机可以用多个密钥，根据不同的密钥算法而拥有不同的密钥，但是至少有一种是必备的，即通过 DSS 算法产生的密钥。
SSH 主机密钥认证每一个主机都必须有自身的主机密钥，密钥能够有多对，每一对主机密钥对包括公开密钥和私密钥。在实践应用环节中怎样使用这种密钥，并依靠他们来达到安全特性呢？如上图所示，SSH 协议架构中给出了二种方案。
在第一种方案中，主机把自己的公共密钥分发给有关的客户机，客户机在浏览主机时则使用该主机的公开密钥来加密数据，主机则使用自已的私密钥来破译数据，从而实现主机密钥认证，明确客户机的靠谱身份。在图 2（a）中可以看出，客户从主机 A 上进行操作，去浏览，主机 B 和主机 C，这时，A 变成客户机，它必须事前配备主机 B 和主机 C 的公开密钥，在访问的时候依据主机名来搜索对应的公开密钥。针对被浏览主机（也就是服务器端）而言则只要保证安全地存放自已的私密钥就行了。
在第二种方案中，存在一个密钥认证核心，全部系统内提供服务的主机都把自己的公开密钥递交给认证核心，而一切做为客户机的主机则只需储存一份认证中心的公开密钥就行了。在这个模式下，客户机在浏览服务器主机以前，还必须向密钥认证核心要求认证，认证以后才可以准确地传送到目地主机上。
显然，第一种方法很容易完成，可是客户机有关密钥的维护却是个烦心事，因为每次变动都必须在客户机上有所体现；第二种方法较为很好地处理管理维护难题，但是这样的模式对认证核心要求比较高，在互联网上要实现这种集中认证，只是权威机构的明确就是个麻烦事，有谁能够什么都能来定呢？但从长远的发展来说，在公司使用和商业主要用途，选用核心认证的方案是必要的。
此外，SSH 协议架构里还容许对主机密钥的一个折中解决，那便是初次浏览免认证。初次浏览免认证是指，在某客户机第一次浏览主机时，主机不检查主机密钥，而向该客户都派发一个公开密钥的复制，那样在今后的浏览中则必须采用该密钥，不然能被觉得违法而拒绝其浏览。
认证环节1. 客户端向服务器端推送认证要求，认证要求中包含登录名、认证方式、与该认证方式相关的信息（如：password 认证时，内容为密码）。
2. 服务器端对客户端开展认证，假如认证失败，则向客户端推送认证失败信息，其中包含可以再次认证的办法目录。
3. 客户端从认证方式列表中选择一种认证方式重新进行认证。
4. 该过程不断开展，直至认证成功或是认证频次做到限制，服务器关掉联接才行。
SSH 给予二种认证方1. password 认证：客户端向服务器传出 password 认证要求，将账户密码加密后发给服务器；服务器将该信息破译后获得账户密码的明文，与设备上存放的账户密码进行对比，并回到认证成功或失败的信息。
2. publickey 认证：选用电子签名的方法去认证客户端。目前，设备中可以借助 RSA 和 DSA 二种公共密钥算法实现电子签名。客户端推送包括登录名、公共密钥和公共密钥算法的 publickey 认证要求给服务器端。服务器对公钥开展合法性检查，假如不合法，则直接发送失败信息；不然，服务器运用电子签名对客户端开展认证，并回到认证成功或失败的信息。
SSH2.0 还提供 password-publickey 认证和 any 认证。
1. password-publickey 认证：特定该用户的认证方式为 password 和 publickey 认证同时符合。客户端版本为 SSH1 的用户只要通过其中一种认证即可登陆；客户端版本为 SSH2 的用户务必二种认证都通过才能登陆。
2. any 认证：特定该用户的认证方法能是 password，还可以是 publickey 。