說到SSH協(xié)議，它和安全是密不可分的。那么具體的工作層次，以及相關(guān)的一些基本架構(gòu)，發(fā)展歷史和擴展。我們本文都有所涉及，希望能讓大家全面了解這個協(xié)議。

SSH為Secure Shell的縮寫，由IETF的網(wǎng)絡(luò)工作小組（Network Working Group）所制定；SSH為建立在應(yīng)用層和傳輸層基礎(chǔ)上的安全協(xié)議。

傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如FTP、POP和Telnet其本質(zhì)上都是不安全的；因為它們在網(wǎng)絡(luò)上用明文傳送數(shù)據(jù)、用戶帳號和用戶口令，很容易受到中間人（man-in-the-middle）攻擊方式的攻擊。就是存在另一個人或者一臺機器冒充真正的服務(wù)器接收用戶傳給服務(wù)器的數(shù)據(jù)，然后再冒充用戶把數(shù)據(jù)傳給真正的服務(wù)器。

而SSH是目前較可靠，專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠(yuǎn)程管理過程中的信息泄露問題。透過SSH可以對所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，也能夠防止DNS欺騙和IP欺騙。

SSH之另一項優(yōu)點為其傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、POP、甚至為PPP提供一個安全的“通道”。

歷史

最初的SSH協(xié)議是由芬蘭的一家公司開發(fā)的，但是因為受版權(quán)和加密算法等等的限制，現(xiàn)在很多人都轉(zhuǎn)而使用OpenSSH。OpenSSH是SSH的替代軟件包，而且是開放源代碼和免費的。

基本架構(gòu)

SSH協(xié)議框架中最主要的部分是三個協(xié)議：

傳輸層協(xié)議（The Transport Layer Protocol）：傳輸層協(xié)議提供服務(wù)器認(rèn)證，數(shù)據(jù)機密性，信息完整性等的支持。

用戶認(rèn)證協(xié)議（The User Authentication Protocol）：用戶認(rèn)證協(xié)議為服務(wù)器提供客戶端的身份鑒別。

連接協(xié)議（The Connection Protocol）：連接協(xié)議將加密的信息隧道復(fù)用成若干個邏輯通道，提供給更高層的應(yīng)用協(xié)議使用。

同時還有為許多高層的網(wǎng)絡(luò)安全應(yīng)用協(xié)議提供擴展的支持。

各種高層應(yīng)用協(xié)議可以相對地獨立于SSH基本體系之外，并依靠這個基本框架，通過連接協(xié)議使用SSH的安全機制。

SSH的安全驗證

在客戶端來看，SSH提供兩種級別的安全驗證。

第一種級別（基于密碼的安全驗證），知道帳號和密碼，就可以登錄到遠(yuǎn)程主機，并且所有傳輸?shù)臄?shù)據(jù)都會被加密。但是，可能會有別的服務(wù)器在冒充真正的服務(wù)器，無法避免被“中間人”攻擊。

第二種級別（基于密匙的安全驗證），需要依靠密匙，也就是你必須為自己創(chuàng)建一對密匙，并把公有密匙放在需要訪問的服務(wù)器上。客戶端軟件會向服務(wù)器發(fā)出請求，請求用你的密匙進(jìn)行安全驗證。服務(wù)器收到請求之后，先在你在該服務(wù)器的用戶根目錄下尋找你的公有密匙，然后把它和你發(fā)送過來的公有密匙進(jìn)行比較。如果兩個密匙一致，服務(wù)器就用公有密匙加密“質(zhì)詢”（challenge）并把它發(fā)送給客戶端軟件。從而避免被“中間人”攻擊。

在服務(wù)器端，SSH也提供安全驗證。 在第一種方案中，主機將自己的公用密鑰分發(fā)給相關(guān)的客戶端，客戶端在訪問主機時則使用該主機的公開密鑰來加密數(shù)據(jù)，主機則使用自己的私有密鑰來解密數(shù)據(jù)，從而實現(xiàn)主機密鑰認(rèn)證，確定客戶端的可靠身份。 在第二種方案中，存在一個密鑰認(rèn)證中心，所有提供服務(wù)的主機都將自己的公開密鑰提交給認(rèn)證中心，而任何作為客戶端的主機則只要保存一份認(rèn)證中心的公開密鑰就可以了。在這種模式下，客戶端必須訪問認(rèn)證中心然后才能訪問服務(wù)器主機。

SSH協(xié)議的可擴展能力

SSH協(xié)議框架中設(shè)計了大量可擴展的冗余能力，比如用戶自定義算法、客戶自定義密鑰規(guī)則、高層擴展功能性應(yīng)用協(xié)議。這些擴展大多遵循IANA的有關(guān)規(guī)定，特別是在重要的部分，像命名規(guī)則和消息編碼方面。