SSH 和 TELNET連線方式與比較
(1). 查詢SSH / telnet特點、運作方式與差別
telnet:執行Telnet程式來連線到遠端伺服器並輸入帳密讓使用者可以遠端控制主機。但是因為傳輸的資料並未加密所以容易遭到竊取,因此後來多改用較安全的SSH。
SSH:是在不安全的網路上進行安全遠端登入和其他安全網路服務的協定(RFC 4251),SSH由三個主要協定組成
1.傳輸層協定(The Transport Layer Protocol):傳輸層協定提供伺服器認證,資料機密性,資訊完整性等的支援。
傳輸層協定運行在TCP連線上。
2.使用者認證協定(The User Authentication Protocol):使用者認證協定為伺服器提供客戶端的身份鑑別。
使用者認證協定運行在傳輸層協定之上。
3.連線協定(The Connection Protocol):連線協定將加密的資訊隧道復用成若干個邏輯通道,提供給更高層的應用協定使用。
連線協定運行在使用者認證協定之上。
在一個安全的傳輸層連接(傳輸層協定)被建立後,client端發送一個服務請求。 在使用者身份驗證完成後(使用者認證協定),第二個服務請求被發出。這允許新的協議被定義並與上述協議共存。連接協議提供的通道可被用於廣泛的目的(連線協定)。提供了標準方法用於建立安全的互動式shell process以及轉發任意TCP/IP埠。
SSH的安全驗證( 取自維基 )
在客戶端來看,SSH提供兩種級別的安全驗證。
第一種級別(基於密碼的安全驗證),知道帳號和密碼,就可以登入到遠端主機,並且所有傳輸的資料都會被加密。但是,可能會有別的伺服器在冒充真正的伺服器,無法避免被「中間人」攻擊。
第二種級別(基於金鑰的 安全驗證),需要依靠金鑰(SSH Key),也就是你必須為自己建立一對金鑰,並把公有金鑰放在需要存取的伺服器上。客戶端軟體會向伺服器發出請求,請求用你的金鑰進行安 全驗證。伺服器收到請求之後,先在你在該伺服器的使用者根目錄下尋找你的公有金鑰,然後把它和你傳送過來的公有金鑰進行比較。如果兩個金鑰一致,伺服器就 用公有金鑰加密「質詢」(challenge)並把它傳送給客戶端軟體。從而避免被「中間人」攻擊。
SSH協定框架中設計了大量可延伸的冗餘能力,比如使用者自訂演算法、客戶自訂金鑰規則、高層擴充功能功能性應用協定。
SSH2 對SSH1的程式碼做了大幅度的改寫, 根據SSH公司的說法, SSH2 有 98% 的程式碼和 SSH1 的不一樣。除了 SSH1 所提供的 RSA 法之外,ssh2 也提供了另外的公開金鑰編碼法以及金鑰交換法, ssh2 預設採用 DSA 編碼以及 Diffie-Hellman 金鑰交換法。此外, 更提供了 sftp, 使我們能在 ftp 方面也得到安全的保障。
(2).查詢SSL(TLS)的運作方式與金鑰交換方式
運作:
• 當客戶端連線到支援TLS協定的伺服器要求建立安全連線並列出了受支援的密碼組合(加密密碼演算法和加密雜湊函式),握手開始。
• 伺服器從該清單中決定加密和雜湊函式,並通知客戶端。 • 伺服器發回其數位憑證,此憑證通常包含伺服器的名稱、受信任的憑證頒發機構(CA)和伺服器的公鑰。
• 客戶端確認其頒發的憑證的有效性。
• 為了生成會話金鑰用於安全連線,客戶端使用伺服器的公鑰加密隨機生成的金鑰,並將其傳送到伺服器,只有伺服器才能使用自己的私鑰解密。
• 利用隨機數,雙方生成用於加密和解密的對稱金鑰。
這就是 TLS 協定的握手,握手完畢後的連線是安全的,直到連線(被)關閉。如果上述任何一個步驟失敗,TLS 握手過程就會失敗,並且斷開所有的連線。
TLS的金鑰交換使用迪菲-赫爾曼金鑰交換
它是第一個實用的在未加密連線中建立共享金鑰方法
在最初的描述中,迪菲-赫爾曼金鑰交換本身並沒有提供通訊雙方的身份驗證服務,因此它很容易受到中間人攻擊。 一個中間人在信道的中央進行兩次迪菲-赫爾曼金鑰交換,一次和Alice另一次和Bob,就能夠成功的向Alice假裝自己是Bob,反之亦然。而攻擊者 可以解密(讀取和儲存)任何一個人的資訊並重新加密資訊,然後傳遞給另一個人。因此通常都需要一個能夠驗證通訊雙方身份的機制來防止這類攻擊。
實例: HTTPS
HTTP協定和TLS同屬於應用層(OSI模型的最高層),具體來講,TLS工作在HTTP之下,傳輸層之上
TWCA可申請憑證