当前位置：首页 > news >正文

SSH 认证原理

news 2025/12/25 14:44:18

SSH协议登录服务器：

$ ssh user@host

主要有两种登录方式：第一种为密码口令登录，第二种为公钥登录

密码口令登录

　　通过密码进行登录，主要流程为：

　　　　1、客户端连接上服务器之后，服务器把自己的公钥传给客户端；

　　　　2、客户端输入服务器密码通过公钥加密之后传给服务器；

　　　　3、服务器根据自己的私钥解密登录密码，如果正确那么就让客户端登录；

公钥登录

　　公钥登录是为了解决每次登录服务器都要输入密码的问题，流行使用RSA加密方案，主要流程包含：

　　　　1、客户端生成RSA公钥和私钥；

　　　　2、客户端将自己的公钥存放到服务器；

　　　　3、客户端请求连接服务器，服务器将一个随机字符串发送给客户端；

　　　　4、客户端根据自己的私钥加密这个随机字符串之后再发送给服务器；

　　　　5、服务器接受到加密后的字符串之后用公钥解密，如果正确就让客户端登录，否则拒绝。这样就不用使用密码了。

私钥钥登录

　　指定服务器端的私钥登录：

　　　　1、客户端请求连接服务器，服务器将一个随机字符串发送给客户端；

　　　　4、客户端根据服务器端的私钥加密这个随机字符串之后再发送给服务器；

　　　　5、服务器接受到加密后的字符串之后用自己的公钥解密，如果正确就让客户端登录，否则拒绝。这样就不用使用密码了。

RSA两个概念：

　　对称加密：对称加密是最快速、最简单的一种加密方式，加密（encryption）与解密（decryption）用的是同样的密钥（secret key）。对称加密有很多种算法，由于它效率很高，所以被广泛使用在很多加密协议的核心当中。对称加密通常使用的是相对较小的密钥，一般小于256 bit。因为密钥越大，加密越强，但加密与解密的过程越慢。如果你只用1 bit来做这个密钥，那黑客们可以先试着用0来解密，不行的话就再用1解；但如果你的密钥有1 MB大，黑客们可能永远也无法破解，但加密和解密的过程要花费很长的时间。密钥的大小既要照顾到安全性，也要照顾到效率。对称加密的一大缺点是密钥的管理与分配，换句话说，如何把密钥发送到需要解密你的消息的人的手里是一个问题。在发送密钥的过程中，密钥有很大的风险会被黑客们拦截。现实中通常的做法是将对称加密的密钥进行非对称加密，然后传送给需要它的人。

　　非对称加密：非对称加密为数据的加密与解密提供了一个非常安全的方法，它使用了一对密钥，公钥（public key）和私钥（private key）。私钥只能由一方安全保管，不能外泄，而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密，而解密则需要另一个密钥。比如，你向银行请求公钥，银行将公钥发给你，你使用公钥对消息加密，那么只有私钥的持有人--银行才能对你的消息解密。与对称加密不同的是，银行不需要将私钥通过网络发送出去，因此安全性大大提高。目前最常用的非对称加密算法是RSA算法。虽然非对称加密很安全，但是和对称加密比起来，它非常的慢，所以我们还是要用对称加密来传送消息，但对称加密所使用的密钥我们可以通过非对称加密的方式发送出去。

公钥和私钥：

一个公钥对应一个私钥。
密钥对中，让大家都知道的是公钥，不告诉大家，只有自己知道的，是私钥。
如果用其中一个密钥加密数据，则只有对应的那个密钥才可以解密。
如果用其中一个密钥可以进行解密数据，则该数据必然是对应的那个密钥进行的加密。

RSA算法的作用：

1、加密：公钥加密私钥解密

主要用于将数据资料加密不被其他人非法获取，保证数据安全性。使用公钥将数据资料加密，只有私钥可以解密。即使密文在网络上被第三方获取由于没有私钥则无法解密。从而保证数据安全性。　　　　　

A在自己电脑上生成RSA钥匙文件，一个私钥文件一个公钥文件，并将他的公钥传送给B。
A用他的私钥解密B的消息。
此时B要传送信息给A，于是B用A的公钥加密他的消息，然后传送给A。【网络上传输的密文，没有A的私钥无法解密，其他人获取之后也没用】

2、认证：私钥加密公钥解密

主要用于身份验证，判断某个身份的真实性。使用私钥加密之后，用对应的公钥解密从而验证身份真实性。

A要验证B是否是真实用户

B将自己公钥给A
B将文件用自己私钥加密传送给A
A根据B的公钥解密，如果成功则为真实身份用户

SSH公钥登录则用的是第二种功能。

安全性：这种算法非常可靠，密钥越长，它就越难破解。根据已经披露的文献，目前被破解的最长RSA密钥是768个二进制位。也就是说，长度超过768位的密钥，还无法破解（至少没人公开宣布）。因此可以认为，1024位的RSA密钥基本安全，2048位的密钥极其安全。所以我们在用ssh-keygen命令时候要注意密钥长度，具体参数为：

-b bits指定密钥长度。对于RSA密钥，最小要求768位，默认是2048位。DSA密钥必须恰好是1024位(FIPS 186-2 标准的要求)。

总结：

　公钥与私钥使用场景：

私钥用来进行解密和签名，是给自己用的。
公钥由本人公开，用于加密和验证签名，是给别人用的。
当该用户发送文件时，用私钥签名，别人用他给的公钥验证签名，可以保证该信息是由他发送的。当该用户接受文件时，别人用他的公钥加密，他用私钥解密，可以保证该信息只能由他接收到。

SSH 认证原理

相关文章：

SSH 认证原理

基于DETR (DEtection TRansformer)开发构建MSTAR雷达影像目标检测系统

Java分布式微服务1——注册中心（Eureka/Nacos）

(文章复现)建筑集成光储系统规划运行综合优化方法matlab代码

【Redis】——RDB快照

微服务监控技术skywalking的部署与使用（亲测无坑）

DLA 神经网络的极限训练方法：gradient checkpointing

python excel 操作

记一次Linux启动Mysql异常解决

ATFX汇市：美联储年内或仍将加息依次，美指向下空间不大

【博客687】k8s informer的list-watch机制剖析

用Python获取链家二手房房源数据，做可视化图分析数据

Yield Guild Games：社区更新 — 2023 年第二季度

Stable Diffusion - 运动服 (Gymwear Leggings) 风格服装与背景的 LoRA 配置

js-7：javascript原型、原型链及其特点

无涯教程-Perl - continue 语句函数

【贪心算法】leetcode刷题

PyMySQL库版本引起的python执行sql编码错误

第二章-算法

‘vue’不是内部或外部命令，也不是可运行的程序或批处理文件的原因及解决方法

KubeSphere 容器平台高可用：环境搭建与可视化操作指南

铭豹扩展坞 USB转网口突然无法识别解决方法

【Linux】shell脚本忽略错误继续执行

利用ngx_stream_return_module构建简易 TCP/UDP 响应网关

大话软工笔记—需求分析概述

【力扣数据库知识手册笔记】索引

线程与协程

【网络安全产品大调研系列】2. 体验漏洞扫描

在 Nginx Stream 层“改写”MQTT ngx_stream_mqtt_filter_module

Android Bitmap治理全解析：从加载优化到泄漏防控的全生命周期管理