SSH加密技术的研究及发现 毕业论文.doc

毕 业 论 文论文题目：ssh加密技术的研究及发现 目 录1、ssh 加密技术概述- 1 1.1 ssh发展史- 1 1.2 加密技术的含义- 12、网络安全实现的方式比较-1 2.1防火墙技术-1 2.2 数据加密技术-2 2.3杀毒软件-2 2.4 入侵检测技术-22.5网络安全扫描技术-23、网络安全原理-23.1安全协议-23.2 网络安全的最佳方案-34、在centos5的环境下搭建安全的ssh服务器-44.1 选择平台-44.2 制作密钥-44.3 测试一下服务能不能正常连接- 55、网络安全的意义- 56、加密技术在网络中的应用及发展- 57、 结束语-7 参考文献-8致 谢-9内 容 摘 要随着互联网络的飞速发展,网络入侵行为日益严重,网络安全成为人们的关注点。本文先介绍了ssh 的意义，再说明了加密技术，再次介绍了网络安全的实现方式和意义，最后搭建了ssh加密传输的环境。病毒入侵计算机越来越严重，从而使我们开始研究各种技术来防止病毒的入侵，ssh加密技术研究就是其中很重要的一部分。我们针对网络不同层次的安全需求也制定出了不同的安全协议以便能够提供更好的加密和认证服务，每个协议都位于计算机体系结构的不同层次中。为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。网络安全问题已成为各国政府普遍关注的问题，网络安全在我们社会生活中占据很重要的作用，我们要重视起来。关键词 ssh 加密技术 网络安全abstractwith the rapid development of internet, the invasion of network becomes more and more serious, network security has become the focus for people concerns. at first the text introduce the significance of ssh, then state the encryption techniques, implementation model and introduce the meaning of network security. and in the end set up the environment of encryption transmit-ssion for ssh. the virus invasion becomes more and more serious, makes us begin to research various technology for preventing the invasion of virus. ssh encryption technique is a very important part of them. we work out different security protocol according to the demand for security of different levels for network so that providing better service for encryption and authentication. each protocol is located in the different levels of computer architecture. safety guard for technique and management which is built for data processing system, protect computer hardware, software and data from destroying, changing and revealing because of the accidental and vicious reasons. the network safety problem has become an issue of common concern for governments. network security occupies a very important role in our social life, we should pay more attention on it. 【keywords】: ssh, encryption technique, network security在信息化社会中，人们对计算机网络的依赖日益增强。越来越多的信息和重要数据资源存储和传输于网络中，通过网络获取和交换信息的方式已成为当前主要的信息沟通方式之一。与此同时，由于网络服务质量件频繁发生，使得网络服务成为倍受关注的问题。尤其是网络上各种新业务(如电子商务、网络银行等)的兴起以及各种专用网络(如金融网)的建设，对网络的安全性提出了更高的要求。网络拥堵、数据丢失以及网络延时严重威胁着网络中各类资源的安全性，极大地损害了网络使用者的利益，也为网络应用的健康发展带来巨大的障碍。因此，网络服务质量问题已成为各国政府普遍关注的问题。1 ssh 加密技术概述1.1 ssh发展史ssh 为 secure shell 的缩写，由 ietf 的网络工作小组（network working group）所制定；ssh 为建立在应用层和传输层基础上的安全协议。ssh 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 ssh 协议可以有效防止远程管理过程中的信息泄露问题。s s h最初是u n i x系统上的一个程序，后来又迅速扩展到其他操作平台。s s h在正确使用时可弥补网络中的漏洞。s s h客户端适用于多种平台。几乎所有u n i x平台包括hp-ux、linux、aix、solaris、digital unix、irix, 以及其他平台都可运行s s h。1.2 加密技术的含义加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段,利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（dns，data encryption standard）算法为典型代表，非对称加密通常以rsa（rivest shamir ad1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。2网络安全实现的方式比较2.1防火墙技术防火墙最初是针对 internet 网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使internet与intranet之间建立起一个安全网关（security gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。2.2 数据加密技术 数据加密技术要求只有在指定的用户或网络下，才能解除密码而获得原来的数据，这就需要给数据发送方和接受方以一些特殊的信息用于加解密，这就是所谓的密钥。其密钥的值是从大量的随机数中选取的。按加密算法分为专用密钥和公开密钥两种2.3 杀毒软件杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统（包含杀毒软件，防火墙，特洛伊木马和其他恶意软件的查杀程序，入侵预防系统等）的重要组成部分。 2.4 入侵检测技术入侵检测技术也称为网络实时监控技术，它通过对计算机网络中的若干关键点收集信息，并对其进行分析，从中发现网络中是否存在着违反安全策略的行为和被攻击的迹象。入侵检测技术是网络防护墙的有利补充，并扩展了网络安全管理的能力，提供了安全监控、攻击识别、审计和相应等方面的作用。入侵检测技术主要功能有：监控和分析网络系统和用户的活动、评估关键数据文件和系统的完整性、统计分析异常活动模式和识别违反网络安全策略的用户活动等等。2.5 网络安全扫描技术网络安全扫描技术为了方便系统管理员通过目标探测和网络扫描，能及时了解到系统中所存在的安全漏洞，并采取相应的安全防范措施，以降低系统安全风险而发展起来的安全技术。安全扫描技术能够对主机操作系统、局域网、防火墙系统、系统服务等方面的安全漏洞进行扫描，也是当前被广泛应用的一种计算机网络安全技术。3网络安全原理3.1安全访问协议各种协议（如 ssh 和 ssl）采用各种加密机制，通过身份验证方法和加密方法来提供安全性。所提供的安全级别取决于很多因素，譬如，所用的加密算法、对所传输数据的访问、算法密钥长度、服务器与客户端的执行情况，还有最重要的一点，人为因素。如果用户的访问凭据（如密码或证书）被第三方获得，那么，即使是最精巧的加密方案也是徒劳无效的。 3.1.1ssh 协议secure shell (ssh) 客户端-服务器协议产生于 20 世纪 90 年代中期，旨在为通过未保护的或“不安全的”网络远程访问计算机控制台或 shell 提供安全机制。该协议通过对用户和服务器进行身份验证，以及对客户端与服务器之间交换的所有通信进行完全加密来提供确保安全的方法。协议有两个版本：v1 和 v2，这两个版本在提供的加密机制上略有区别。此外，v2 在防止某些类型的攻击上要稍胜一筹。（未参与的第三方试图拦截、伪造或以其他方式更改交换的数据均被视为攻击。）虽然 ssh 多年来一直作为计算机控制台的安全访问协议，但过去很少将其用在辅助的基础设施设备（如 ups 和 hvac 设备中）。不过，随着网络及为其提供支持的网络基础设施对于公司商务行为的重要性日渐提高，对所有设备均采用此类安全访问方法的做法正日趋流行。 3.1.2 ssltls 协议虽然 ssh 安全协议被广泛用于控制台命令行访问（如进行管理）中，但安全套接字层 (ssl) 及后来的传输层安全 (tls) 协议已成为保护 web 通信及其他协议（如 smtp，用于邮件传输）的标准方法。tls 是 ssl 的最新版本，不过一般仍用 ssl 来指代 tls。ssl 与 ssh 在协议内置的客户端与服务器身份验证机制上区别很大。tls 还被接受作为 ietf（互联网工程任务组）标准 ，而 ssh 尽管被广泛当作标准草案，但从未成为正式的 ietf 标准。ssl 是保护 http web 通信的安全协议，也称为 https (http secure)。netscape 和 internet explorer 均支持 ssl 和 tls。在使用这些协议时，服务器将以服务器证书的形式对客户端执行正式的身份验证。我们随后将介绍证书。客户端也可以采用证书进行身份验证，不过最常用的还是用户名与密码。由于 ssl“会话”全部为加密形式，因此，身份验证信息及网页上的任何数据都是安全的。对于安全性要求较高的银行业和其他商务用途而言，由于客户往往通过公共互联网访问网站，因此网站应始终采用 ssl。伪造或以其他方式更改交换的数据均被视为攻击。）虽然 ssh 多年来一直作为计算机控制台的安全访问协议，但过去很少将其用在辅助的基础设施设备（如 ups 和 hvac 设备中）。不过，随着网络及为其提供支持的网络基础设施对于公司商务行为的重要性日渐提高，对所有设备均采用此类安全访问方法的做法正日趋流行。 3.1.3 ssltls 协议虽然 ssh 安全协议被广泛用于控制台命令行访问（如进行管理）中，但安全套接字层 (ssl) 及后来的传输层安全 (tls) 协议已成为保护 web 通信及其他协议（如 smtp，用于邮件传输）的标准方法。tls 是 ssl 的最新版本，不过一般仍用 ssl 来指代 tls。ssl 与 ssh 在协议内置的客户端与服务器身份验证机制上区别很大。tls 还被接受作为 ietf（互联网工程任务组）标准 ，而 ssh 尽管被广泛当作标准草案，但从未成为正式的 ietf 标准。ssl 是保护 http web 通信的安全协议，也称为 https (http secure)。netscape 和 internet explorer 均支持 ssl 和 tls。在使用这些协议时，服务器将以服务器证书的形式对客户端执行正式的身份验证。我们随后将介绍证书。客户端也可以采用证书进行身份验证，不过最常用的还是用户名与密码。由于 ssl“会话”全部为加密形式，因此，身份验证信息及网页上的任何数据都是安全的。对于安全性要求较高的银行业和其他商务用途而言，由于客户往往通过公共互联网访问网站，因此网站应始终采用 ssl。3.2网络安全的最佳方案仔细规划的安全策略可以显著提高网络的安全性。策略既可以复杂繁琐，也可以简单直接，但往往最简单的却是最有用的。请考虑结合使用集中管理的防病毒更新系统与主机扫描程序来检测新系统或过期的系统。虽然该系统需要具备设置、集中管理和软件部署功能，不过如今的操作系统一般都囊括了以上所有功能。通常，策略与理想的自动实施工具有助于减少系统安全中明显的漏洞，因此，网络管理人员可以集中精力应对更为复杂的问题。以下列出了一些具有代表性的公司网络安全策略： 在公共网络与专用网络的所有交界处设置防火墙 控制版本并集中部署防火墙规则集 外部资源放在双层防火墙之间，并保护 dmz 的安全 所有网络主机都应对不需要的网络端口采取防范措施，并关闭不需要的服务 所有网络主机均应安装集中管理的防病毒软件 所有网络主机均应安装集中的安全更新程序 保护集中式身份验证的安全，如 radius 和 windows/kerberos/active directory 采用含密码策略（例如，必须每三个月更改一次密码，必须采用安全密码）的集中管理的用户 管理方式 主动进行网络扫描，扫描新的主机以及过期的系统 对可疑行为进行网络监控 事故响应机制（策略、人力、自动等）以上各条体现了策略中应当包含的关键之处。但策略中还可能涉及其他更为广泛的方面。当然，在确定策略的类型与幅度时，应始终记住尽量权衡各种因素，如公司规模、风险分析、成本和商业影响等如上所述，通常情况下可以从系统分析入手，然后进行商业分析。无论网络的规模如何，都可能成为攻击的目标，因此即使是非常小的公司也应当具备某些形式的安全策略。4 在centos5的环境下搭建安全的ssh服务器我们所用系统原始的ssh服务器设置有着很多的漏洞，但一般网络管理员都喜欢这样的默认设置，认为只要保存好root密码就好了。其实不然，系统安装ssh服务器的时候总要在最后导出一个.ppk的文件，才知道那就是ssh服务器的密钥，在网上百度一下才知道如果没有这个密钥，就算你在网络环境中知道了root密码也无济于事。设置ssh服务器的密钥的过程：4.1 选择平台:公司的很多机器都是使用nt2003和bsd的，为了搞实验我装了一个centos5.0的在我的测试机上。 4.1.1默认安装完以后用vi打开/etc/ssh/sshd_config修改几行内容就行了。#serverkeybits768注释取消，将768改为1024。#permitrootloginyes注释取消，将yes改为no禁止root登录。#permitemptypasswordsno取消注释，禁止空密码登录。#passwordauthenticationno取消注释，禁止使用密码方式登录。（注意一下，在centos5.0之前ssh服务需要指明版本，#protocol2,1把前面的注释取消，选择自己需要的版本就行了。） 4.1.2保存退出。如果想做到最大化安全链接，可以考虑在配置有双网卡的服务器上设置只允许内网链接ssh，方法很简单，在/etc/hosts.deny文件最后一行添加一句sshd:all然后在/etc/hosts.allow的最后一行加上一句sshd:192.168.0.然后保存退出。 4.1.3重启一下ssh服务servicesshdrestart就行了。 4.2 制作密钥 4.2.1 先切换进入一个wheel组的普通用户，输入ssh-keygen-trsa。第一步会让你先确认钥匙的文件名，保持默认就可以了。然后输入这个密钥的口令，再确认一次就可以了。 4.2.2 然后cd/.ssh查看一下钥匙是不是都已经建立了。将公钥更改名称后删除。cat/.ssh/id_rsa.pub/.ssh/authorized_keys。rm-rf/.ssh/id_rsa.pub别把密钥误删就行了。将公钥文件属性更改为400禁止被篡chmod400/.ssh/authorized_keys。 4.2.3 剩下的把密钥copy到u盘或是ftp服务器再转移或者是复制到磁盘就可以了。 4.3 测试一下服务能不能正常连接 4.3.1 打开puttygen-x86.exe在程序下面选择ssh-2（rsa）密钥强度改为1024，然后点击load 4.3.2 选取服务器端生成的私钥（文件类型要选择“allfiles”）如果没有改名字的话我们选的应该是id_rsa这个文件，开始转换私钥，这里需要输入在服务器端建立此私钥时的口令。在文本框中输入口令开始转换，保存转换后的私钥匙到适当的位置（转换后的私钥将做为putty登录到服务器时使用的私钥）。点击“saveprivatekey”，并选择适当的位置保存私钥。这样就搭建成功了ssh加密。5网络安全的意义计算机安全、网络安全和信息系统安全是信息安全的三个级别，其中计算机安全是基础，网络安全是核心，系统安全是目标。 网络安全是一个关系国家安全和社会稳定的重要问题，它涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多门学科。其本质是确保网络上的信息安全，具体是指确保网络系统的硬件、软件及其系统中的数据不被偶然或者恶意的破坏、篡改和泄露，并保证网络系统能连续稳定正常地工作。6加密技术在网络中的应用及发展 实际应用中加密技术主要有链路加密、节点加密和端对端加密等三种方式，它们分别在osi不同层次使用加密技术。链路加密通常用硬件在物理层实现，加密设备对所有通过的数据加密，这种加密方式对用户是透明的，由网络自动逐段依次进行，用户不需要了解加密技术的细节，主要用以对信道或链路中可能被截获的部分进行保护。链路加密的全部报文都以明文形式通过各节点的处理器。在节点数据容易受到非法存取的危害。节点加密是对链路加密的改进，在协议运输层上进行加密，加密算法要组合在依附于节点的加密模块中，所以明文数据只存在于保密模块中，克服了链路加密在节点处易遭非法存取的缺点。网络层以上的加密，通常称为端对端加密，端对端加密是把加密设备放在网络层和传输层之间或在表示层以上对传输的数据加密，用户数据在整个传输过程中以密文的形式存在。它不需要考虑网络低层，下层协议信息以明文形式传输，由于路由信息没有加密，易受监控分析。不同加密方式在网络层次中侧重点不同，网络应用中可以将链路加密或节点加密同端到端加密结合起来，可以弥补单一加密方式的不足，从而提高网络的安全