基于SSH與代理的數(shù)據(jù)安全傳輸機(jī)制的研究論文
分別研究SSH和傳輸層代理技術(shù)的工作原理,提出基于SSH應(yīng)用服務(wù)的傳輸層代理實(shí)現(xiàn)方法,然后詳細(xì)討論TCP和UDP兩種協(xié)議的代理實(shí)現(xiàn)和其中的端口重定向?qū)崿F(xiàn),最后給出部分實(shí)現(xiàn)代碼及端口重定向配置規(guī)則。
一、引言
傳統(tǒng)的網(wǎng)絡(luò)服務(wù)如FTP、Telnet和POP等是一些極不安全的信息安全數(shù)據(jù)傳輸方式,造成不安全的因素主要有兩方面。一是這些服務(wù)的客戶(hù)端與服務(wù)器的數(shù)據(jù)傳輸是采用明文的,用戶(hù)名、密碼和傳輸?shù)膬?nèi)容很容易被截獲。二是客戶(hù)端和服務(wù)器的認(rèn)證方式過(guò)于簡(jiǎn)單,第三者很容易冒充服務(wù)器的身份來(lái)欺騙客戶(hù)端用戶(hù),從而獲得客戶(hù)端登錄真實(shí)服務(wù)器所用的用戶(hù)名、密碼以及傳輸內(nèi)容等。
二、SSH協(xié)議及其配置策略
目前的SSH協(xié)議有兩個(gè)版本SSH1和SSH2,它們都是由客戶(hù)端和服務(wù)器兩部分組成的,但是這兩個(gè)版本是不兼容的[2],在此,我們采用SSH2。
SSH協(xié)議是基于TCP/IP協(xié)議棧的,它接收TCP/IP提供的服務(wù),然后為上層應(yīng)用(服務(wù))提供安全的數(shù)據(jù)傳輸服務(wù)。SSH的體系結(jié)構(gòu)主要有三部分組成:傳輸層協(xié)議,用戶(hù)認(rèn)證協(xié)議和連接協(xié)議。
SH軟件有兩個(gè)部分組成,一部分是服務(wù)器,一部分是客戶(hù)端,它們的通信過(guò)程如下:
1.要連接到服務(wù)器的客戶(hù)端主機(jī)產(chǎn)生一對(duì)密鑰,一個(gè)私鑰和一個(gè)公鑰。私鑰用來(lái)標(biāo)識(shí)本地主機(jī),存放在本地,通常為1024位,對(duì)私鑰的保存提倡設(shè)置密碼。公鑰用來(lái)存放在服務(wù)器的固定目錄中,用于認(rèn)證客戶(hù)端用戶(hù)身份。
2.啟動(dòng)服務(wù)器的sshd服務(wù)。啟動(dòng)時(shí)系統(tǒng)會(huì)產(chǎn)生一個(gè)服務(wù)器密鑰(通常為768位),這個(gè)密鑰在使用中通常每小時(shí)更換一次,并且不存在磁盤(pán)上。
3.服務(wù)器不斷檢查是否有新連接,如果有,則把服務(wù)器密鑰和客戶(hù)端公鑰發(fā)送給客戶(hù)端。
4.客戶(hù)接收到服務(wù)器密鑰和客戶(hù)端自身的公鑰后產(chǎn)生一個(gè)隨機(jī)數(shù),使用接收到的服務(wù)器公鑰和客戶(hù)端公鑰加密這個(gè)隨機(jī)數(shù),并發(fā)送給服務(wù)器。
5.服務(wù)器和客戶(hù)端把這個(gè)隨機(jī)數(shù)用作對(duì)稱(chēng)加密算法的密鑰,在通信中對(duì)通信內(nèi)容加密,在客戶(hù)端還要使用客戶(hù)端私鑰產(chǎn)生數(shù)字簽名,此后,雙方即可開(kāi)始數(shù)據(jù)交換。
在使用代理前,首先要保證在沒(méi)有代理服務(wù)器的情況下,各類(lèi)業(yè)務(wù)均能正常開(kāi)展,然后再架設(shè)代理服務(wù)器,由代理服務(wù)器接收用戶(hù)的請(qǐng)求并為用戶(hù)服務(wù),在用戶(hù)看來(lái),代理是透明的。對(duì)于Open SSH,首先要安裝服務(wù)器和客戶(hù)端軟件包,然后分別對(duì)兩部分配置。在我們應(yīng)用中操作系統(tǒng)選擇Fedora Core 4(FC4),SSH選擇Open SSH4.3。
服務(wù)器端安裝完成相關(guān)軟件后即可啟動(dòng)SSH守護(hù)進(jìn)程,默認(rèn)的配置即可正常工作,如需修改默認(rèn)的配置信息,如監(jiān)聽(tīng)的端口等,可以修改配置文件/etc/ssh/sshd_config(默認(rèn)安裝)。
三、傳輸層代理技術(shù)
傳輸層代理要求分別實(shí)現(xiàn)對(duì)TCP和UDP的代理。TCP是一個(gè)面向連接的協(xié)議,數(shù)據(jù)要在TCP連接上傳輸之前,連接必須通過(guò)“握手”的機(jī)制建立起來(lái)。
1.客戶(hù)端先發(fā)送一個(gè)TCP包,它的標(biāo)志字段中的第5位(從1計(jì)起)為1,表示一個(gè)SYN包,序列號(hào)以ISN1表示;
2.服務(wù)器發(fā)回一個(gè)TCP包作為應(yīng)答,它的`標(biāo)志字段第2位(ACK)與第5位置1,表示一個(gè)SYN-ACK包,該包的序列號(hào)(ISN2)由服務(wù)器產(chǎn)生,確認(rèn)號(hào)(Ack)為ISN1+1;
3.客戶(hù)端再發(fā)一個(gè)TCP包進(jìn)行確認(rèn),它的標(biāo)志字段的第2位置1,表示一個(gè)ACK包,序列號(hào)為ISN1+1,確認(rèn)號(hào)為ISN2+1。
UDP是一種無(wú)連接,不可靠的傳輸層協(xié)議,它的可靠性要在應(yīng)用層驗(yàn)證,因此對(duì)UDP協(xié)議的代理要比TCP簡(jiǎn)單得多,只要把客戶(hù)端發(fā)過(guò)來(lái)的UDP包截獲,然后提取出應(yīng)用層數(shù)據(jù),再按原目的地址、原目的端口轉(zhuǎn)發(fā)出去即可。
四、SSH代理系統(tǒng)設(shè)計(jì)
SSH傳輸層代理體系結(jié)構(gòu),共由三部分組成:SSH客戶(hù)端、SSH服務(wù)器和代理服務(wù)器。SSH客戶(hù)端和SSH服務(wù)器是通過(guò)代理服務(wù)器進(jìn)行通信的,代理服務(wù)器采用雙網(wǎng)卡主機(jī),分別連接SSH客戶(hù)端和服務(wù)器。
要實(shí)現(xiàn)TCP協(xié)議的代理,在服務(wù)器端(簡(jiǎn)稱(chēng)S端,下同)與客戶(hù)端(簡(jiǎn)稱(chēng)C端,下同)之間需要完成兩部分工作,一是要?jiǎng)?chuàng)建一個(gè)服務(wù)器端S1,它完成與C端的握手、為C端提供服務(wù)。在C端看來(lái),它是與S1通信。二是要?jiǎng)?chuàng)建一個(gè)客戶(hù)端C1,它完成與S1端的握手、接收S1的數(shù)據(jù)并發(fā)送給S、接收S的數(shù)據(jù)并發(fā)送給S1。在S看來(lái),它是與C1通信。以此思想在邏輯上隔斷客戶(hù)端與服務(wù)器端的直接通信,確保高信任域內(nèi)的網(wǎng)絡(luò)安全。TCP協(xié)議代理流程如圖1所示: 采用UDP的應(yīng)用層協(xié)議主要有DNS,TFTP,DHCP,RADIUS及一些用于即時(shí)通信的應(yīng)用等。在本應(yīng)用中,UDP協(xié)議主要用來(lái)做域名解析,因此UDP數(shù)據(jù)包占用的網(wǎng)絡(luò)帶寬較少,所以可以把接收到UDP的數(shù)據(jù),按它原來(lái)的目的IP直接轉(zhuǎn)發(fā)出去。
基于SSH的應(yīng)用層協(xié)議主要有FTP,Telnet,POP等。對(duì)于FTP、POP等默認(rèn)的端口固定,而FTP一般有一個(gè)控制通道和多個(gè)數(shù)據(jù)通道,默認(rèn)情況下控制通道采用TCP的21端口,控制連接的建立是由客戶(hù)端發(fā)起的,主要傳輸客戶(hù)端與服務(wù)器之間的命令及控制字信息。而數(shù)據(jù)連接要求客戶(hù)端與服務(wù)器端協(xié)商建立,有兩種情形即兩種模式,主動(dòng)模式和被動(dòng)模式。主動(dòng)模式是從服務(wù)器端向客戶(hù)端發(fā)起;被動(dòng)模式是客戶(hù)端向服務(wù)器端發(fā)起。不管是被動(dòng)模式還是主動(dòng)模式,關(guān)鍵要解決的問(wèn)題是要確定數(shù)據(jù)連接所使用的端口。正是因?yàn)檫@種端口的不確定性,使得我們?cè)诔绦驅(qū)崿F(xiàn)時(shí)不能只監(jiān)聽(tīng)某些應(yīng)用協(xié)議所使用的端口,但如果能將發(fā)向這些事先未知或已知的端口的數(shù)據(jù)能發(fā)到一個(gè)統(tǒng)一的端口上,我們的程序只要監(jiān)聽(tīng)這個(gè)固定的端口就可以了,在此我們使用端口重定向技術(shù)。
在FC4下的iptables提供了端口重定向功能,netfilter/iptables是從
2.4x內(nèi)核開(kāi)始Linux使用的防火墻技術(shù),包括包過(guò)濾和狀態(tài)檢測(cè),在iptables中有表,表中包含鏈及其規(guī)則,在此,根據(jù)需要要使用是iptables的nat表及其PREROUTING規(guī)則。我們要在兩個(gè)地方設(shè)置端口重定向,一是用戶(hù)發(fā)出的連接請(qǐng)求,一個(gè)是服務(wù)器發(fā)出的連接請(qǐng)求。
五、結(jié)論
本文結(jié)合兩種安全技術(shù)SSH和傳輸層代理,解決了SSH在傳輸層代理環(huán)境下如何實(shí)現(xiàn)數(shù)據(jù)安全傳輸?shù)膯?wèn)題,從而進(jìn)一步增強(qiáng)了系統(tǒng)與本地網(wǎng)絡(luò)的安全性,同時(shí)還解決了客戶(hù)機(jī)與服務(wù)器通信數(shù)據(jù)通道的唯一性問(wèn)題,保證了數(shù)據(jù)通道的可控性,增強(qiáng)了客戶(hù)對(duì)系統(tǒng)安全性的管理與配置能力。
【基于SSH與代理的數(shù)據(jù)安全傳輸機(jī)制的研究論文】相關(guān)文章:
基于網(wǎng)格的數(shù)據(jù)傳輸與復(fù)制技術(shù)研究論文11-07
基于數(shù)據(jù)抽取與訂閱實(shí)現(xiàn)數(shù)據(jù)共享分析及研究論文10-30
大數(shù)據(jù)時(shí)代基于云計(jì)算的數(shù)據(jù)監(jiān)護(hù)研究論文11-01
研究基于云計(jì)算角度下的數(shù)據(jù)存儲(chǔ)安全技術(shù)論文11-07
基于非連續(xù)頻譜的短波傳輸技術(shù)研究論文11-06
大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究論文10-30
數(shù)字電視數(shù)據(jù)傳輸技術(shù)研究論文10-25