安全协议第五章会话安全SSH.pptVIP

SSH传输协议报文格式另一图示 5.6.2 公钥认证方法 第一轮交互用以通告签名算法和证书 SSH_MSG_USERAUTH_REQUEST消息：“认证方法”名字段被设置为“publickey”，“与认证方法相关的字段”的格式见P.161图5.10（包含了标志（设置为FLASE）签名算法名、证书） 第二轮进行身份认证 SSH_MSG_USERAUTH_REQUEST消息：“认证方法”名字段被设置为“publickey”，“与认证方法相关的字段”的格式见P.161图5.11（包含了标志（设置为TRUE）签名算法名、公钥和签名） 5.7.2 交互式会话通道操作 如利用通道交互式会话操作： SSH_MSG_CHANNEL_OPEN中指定通道类型为“session” 通道建立后，发送SSH_MSG_CHANNEL_REQUEST消息进行各种交互式操作，该消息格式见p.171 图5.20。如该消息的标志为”TRUE”时需要对方应答，对方应返回以下消息之一： SSH_MSG_CHANNEL_SUCCESS SSH_MSG_CHANNEL_FAILUE 5.7.2 交互式会话通道操作 SSH_MSG_CHANNEL_REQUEST消息格式中的“请求类型”有以下11种： 伪终端请求： X11请求 发送环境变量 启动shell 启动可执行命令 启动子系统 窗口更改 数据流控制 信号 退出状态 退出信号 5.7.3 转发TCP/IP连接通道操作 1. TCP/IP端口转发原理，用于保护SMTP、IMAP等应用安全 5.7.3 转发TCP/IP连接通道操作2.TCP/IP端口转发流程 如何使用TCP/IP端口转发功能： 若SSH客户端向服务器转发连接，不必提出请求 若SSH客户端需要服务器将到达其某个端口的连接转发到本地，则必须使用“全局”请求消息SSH_MSG_GLOBAL_REQUEST明确提出请求(格式见p.175 图5.22)，以通告对方接受的IP地址和端口号；同时使用该消息取消端口转发功能。 5.8 SSH应用 SSH的两类应用： 安全的交互式会话或远程执行命令：SSH连接协议已有详细定义，典型应用有： SSH文件传输协议SFTP：基于SSH2，是SSH的子系统，启动过程： 使用SSH_MSG_CHANNEL_OPEN建立通道 使用SSH_MSG_CHANNEL_REQUEST消息请求启动SFTP子系统 SFTP报文作为SSH传输层报文的数据区进行传输 另两个安全文件传输协议 FTPS：基于SSL的FTP SSH上的FTP：使用SSH1的TCP/IP端口转发 保护各类应用安全，典型应用： 构建VPN 基于SSH的VPN：使用SSH的TCP/IP端口转发功能构建VPN，使用该机制，防火墙的访问控制列表ACL可配置成仅允许目前端口为22的通信量通过。 图5.23 基于SSH的VPN 第5章 会话安全SSH 杨礼珍 作业 P.179，思考题1、4、9 5.1 SSH的历史及现状 SSH的提出 SSH（Secure Shell，安全Shell）是基于TCP的应用层协议，能对数据进行加密处理，为保障远程登录及交互式会话安全而提出。 1995年，Tatu Ylonen首次设计并实现了SSH，该版本称为SSH1。之后Tatu Ylonen创立了SSH通信安全公司（htt://），提供企业级的SSH安全方案和产品。 1998年，SSH通信公司推出SSH2。 2005年，SSH通信公司推出SSH G3。 2006年1月，SSH2正式成为IETF标准，文档为RFC4250-4256。 2008年2月，SecSh工作组公布两个草案，描述了SSH如何使用ECC和UMAC。 5.2 SSH的功能及组成 SSH为应用层协议，基于TCP，使用端口22。 SSH所提供服务：机密性、完整性保护、身份认证功能(必选的服务器认证，可选的客户端认证)。 SSH所包含内容：算法（包括加密、认证和压缩算法）协商、密钥交换、服务器身份认证、用户身份认证以及应用层数据封装处理等。 5.2 SSH的功能及组成 SSH协议组成： 传输层协议：协商和数据处理。位于SSH协议套件的最底层。位于SSH协议套件的最底层，为SSH其它协议和高层应用提供安全保护。(包含了服务器身份认证) 用户认证协议：规定了服务器认证客户端用户身份的流程和报文内容。 连接协议：将安全通道多路分解为多个逻辑通道，以便多个高层应用共享SSH提供的安全服务。 SSH的组成协议关系图 5.3 SSH数据类型 SSH规定了7中数据类型来描述协议消息格式 单字节整数 布尔值 32比特整数 64比特整数 字符串 大整数 列表 5.4 SSH方法及算法描述 SSH用字符串描述算法，并给出了可用算法的标准字符