基于SSH與代理的數(shù)據(jù)安全傳輸機(jī)制的研究論文
分別研究SSH和傳輸層代理技術(shù)的工作原理,提出基于SSH應(yīng)用服務(wù)的傳輸層代理實(shí)現(xiàn)方法,然后詳細(xì)討論TCP和UDP兩種協(xié)議的代理實(shí)現(xiàn)和其中的端口重定向?qū)崿F(xiàn),最后給出部分實(shí)現(xiàn)代碼及端口重定向配置規(guī)則。
一、引言
傳統(tǒng)的網(wǎng)絡(luò)服務(wù)如FTP、Telnet和POP等是一些極不安全的信息安全數(shù)據(jù)傳輸方式,造成不安全的因素主要有兩方面。一是這些服務(wù)的客戶端與服務(wù)器的數(shù)據(jù)傳輸是采用明文的,用戶名、密碼和傳輸?shù)膬?nèi)容很容易被截獲。二是客戶端和服務(wù)器的認(rèn)證方式過于簡單,第三者很容易冒充服務(wù)器的身份來欺騙客戶端用戶,從而獲得客戶端登錄真實(shí)服務(wù)器所用的用戶名、密碼以及傳輸內(nèi)容等。
二、SSH協(xié)議及其配置策略
目前的SSH協(xié)議有兩個版本SSH1和SSH2,它們都是由客戶端和服務(wù)器兩部分組成的,但是這兩個版本是不兼容的[2],在此,我們采用SSH2。
SSH協(xié)議是基于TCP/IP協(xié)議棧的,它接收TCP/IP提供的服務(wù),然后為上層應(yīng)用(服務(wù))提供安全的數(shù)據(jù)傳輸服務(wù)。SSH的體系結(jié)構(gòu)主要有三部分組成:傳輸層協(xié)議,用戶認(rèn)證協(xié)議和連接協(xié)議。
SH軟件有兩個部分組成,一部分是服務(wù)器,一部分是客戶端,它們的通信過程如下:
1.要連接到服務(wù)器的客戶端主機(jī)產(chǎn)生一對密鑰,一個私鑰和一個公鑰。私鑰用來標(biāo)識本地主機(jī),存放在本地,通常為1024位,對私鑰的保存提倡設(shè)置密碼。公鑰用來存放在服務(wù)器的固定目錄中,用于認(rèn)證客戶端用戶身份。
2.啟動服務(wù)器的sshd服務(wù)。啟動時系統(tǒng)會產(chǎn)生一個服務(wù)器密鑰(通常為768位),這個密鑰在使用中通常每小時更換一次,并且不存在磁盤上。
3.服務(wù)器不斷檢查是否有新連接,如果有,則把服務(wù)器密鑰和客戶端公鑰發(fā)送給客戶端。
4.客戶接收到服務(wù)器密鑰和客戶端自身的公鑰后產(chǎn)生一個隨機(jī)數(shù),使用接收到的服務(wù)器公鑰和客戶端公鑰加密這個隨機(jī)數(shù),并發(fā)送給服務(wù)器。
5.服務(wù)器和客戶端把這個隨機(jī)數(shù)用作對稱加密算法的密鑰,在通信中對通信內(nèi)容加密,在客戶端還要使用客戶端私鑰產(chǎn)生數(shù)字簽名,此后,雙方即可開始數(shù)據(jù)交換。
在使用代理前,首先要保證在沒有代理服務(wù)器的情況下,各類業(yè)務(wù)均能正常開展,然后再架設(shè)代理服務(wù)器,由代理服務(wù)器接收用戶的請求并為用戶服務(wù),在用戶看來,代理是透明的。對于Open SSH,首先要安裝服務(wù)器和客戶端軟件包,然后分別對兩部分配置。在我們應(yīng)用中操作系統(tǒng)選擇Fedora Core 4(FC4),SSH選擇Open SSH4.3。
服務(wù)器端安裝完成相關(guān)軟件后即可啟動SSH守護(hù)進(jìn)程,默認(rèn)的配置即可正常工作,如需修改默認(rèn)的配置信息,如監(jiān)聽的端口等,可以修改配置文件/etc/ssh/sshd_config(默認(rèn)安裝)。
三、傳輸層代理技術(shù)
傳輸層代理要求分別實(shí)現(xiàn)對TCP和UDP的代理。TCP是一個面向連接的協(xié)議,數(shù)據(jù)要在TCP連接上傳輸之前,連接必須通過“握手”的機(jī)制建立起來。
1.客戶端先發(fā)送一個TCP包,它的標(biāo)志字段中的第5位(從1計(jì)起)為1,表示一個SYN包,序列號以ISN1表示;
2.服務(wù)器發(fā)回一個TCP包作為應(yīng)答,它的`標(biāo)志字段第2位(ACK)與第5位置1,表示一個SYN-ACK包,該包的序列號(ISN2)由服務(wù)器產(chǎn)生,確認(rèn)號(Ack)為ISN1+1;
3.客戶端再發(fā)一個TCP包進(jìn)行確認(rèn),它的標(biāo)志字段的第2位置1,表示一個ACK包,序列號為ISN1+1,確認(rèn)號為ISN2+1。
UDP是一種無連接,不可靠的傳輸層協(xié)議,它的可靠性要在應(yīng)用層驗(yàn)證,因此對UDP協(xié)議的代理要比TCP簡單得多,只要把客戶端發(fā)過來的UDP包截獲,然后提取出應(yīng)用層數(shù)據(jù),再按原目的地址、原目的端口轉(zhuǎn)發(fā)出去即可。
四、SSH代理系統(tǒng)設(shè)計(jì)
SSH傳輸層代理體系結(jié)構(gòu),共由三部分組成:SSH客戶端、SSH服務(wù)器和代理服務(wù)器。SSH客戶端和SSH服務(wù)器是通過代理服務(wù)器進(jìn)行通信的,代理服務(wù)器采用雙網(wǎng)卡主機(jī),分別連接SSH客戶端和服務(wù)器。
要實(shí)現(xiàn)TCP協(xié)議的代理,在服務(wù)器端(簡稱S端,下同)與客戶端(簡稱C端,下同)之間需要完成兩部分工作,一是要創(chuàng)建一個服務(wù)器端S1,它完成與C端的握手、為C端提供服務(wù)。在C端看來,它是與S1通信。二是要創(chuàng)建一個客戶端C1,它完成與S1端的握手、接收S1的數(shù)據(jù)并發(fā)送給S、接收S的數(shù)據(jù)并發(fā)送給S1。在S看來,它是與C1通信。以此思想在邏輯上隔斷客戶端與服務(wù)器端的直接通信,確保高信任域內(nèi)的網(wǎng)絡(luò)安全。TCP協(xié)議代理流程如圖1所示: 采用UDP的應(yīng)用層協(xié)議主要有DNS,TFTP,DHCP,RADIUS及一些用于即時通信的應(yīng)用等。在本應(yīng)用中,UDP協(xié)議主要用來做域名解析,因此UDP數(shù)據(jù)包占用的網(wǎng)絡(luò)帶寬較少,所以可以把接收到UDP的數(shù)據(jù),按它原來的目的IP直接轉(zhuǎn)發(fā)出去。
基于SSH的應(yīng)用層協(xié)議主要有FTP,Telnet,POP等。對于FTP、POP等默認(rèn)的端口固定,而FTP一般有一個控制通道和多個數(shù)據(jù)通道,默認(rèn)情況下控制通道采用TCP的21端口,控制連接的建立是由客戶端發(fā)起的,主要傳輸客戶端與服務(wù)器之間的命令及控制字信息。而數(shù)據(jù)連接要求客戶端與服務(wù)器端協(xié)商建立,有兩種情形即兩種模式,主動模式和被動模式。主動模式是從服務(wù)器端向客戶端發(fā)起;被動模式是客戶端向服務(wù)器端發(fā)起。不管是被動模式還是主動模式,關(guān)鍵要解決的問題是要確定數(shù)據(jù)連接所使用的端口。正是因?yàn)檫@種端口的不確定性,使得我們在程序?qū)崿F(xiàn)時不能只監(jiān)聽某些應(yīng)用協(xié)議所使用的端口,但如果能將發(fā)向這些事先未知或已知的端口的數(shù)據(jù)能發(fā)到一個統(tǒng)一的端口上,我們的程序只要監(jiān)聽這個固定的端口就可以了,在此我們使用端口重定向技術(shù)。
在FC4下的iptables提供了端口重定向功能,netfilter/iptables是從
2.4x內(nèi)核開始Linux使用的防火墻技術(shù),包括包過濾和狀態(tài)檢測,在iptables中有表,表中包含鏈及其規(guī)則,在此,根據(jù)需要要使用是iptables的nat表及其PREROUTING規(guī)則。我們要在兩個地方設(shè)置端口重定向,一是用戶發(fā)出的連接請求,一個是服務(wù)器發(fā)出的連接請求。
五、結(jié)論
本文結(jié)合兩種安全技術(shù)SSH和傳輸層代理,解決了SSH在傳輸層代理環(huán)境下如何實(shí)現(xiàn)數(shù)據(jù)安全傳輸?shù)膯栴},從而進(jìn)一步增強(qiáng)了系統(tǒng)與本地網(wǎng)絡(luò)的安全性,同時還解決了客戶機(jī)與服務(wù)器通信數(shù)據(jù)通道的唯一性問題,保證了數(shù)據(jù)通道的可控性,增強(qiáng)了客戶對系統(tǒng)安全性的管理與配置能力。
【基于SSH與代理的數(shù)據(jù)安全傳輸機(jī)制的研究論文】相關(guān)文章:
基于網(wǎng)格的數(shù)據(jù)傳輸與復(fù)制技術(shù)研究論文11-07
基于數(shù)據(jù)抽取與訂閱實(shí)現(xiàn)數(shù)據(jù)共享分析及研究論文10-30
大數(shù)據(jù)時代基于云計(jì)算的數(shù)據(jù)監(jiān)護(hù)研究論文11-01
研究基于云計(jì)算角度下的數(shù)據(jù)存儲安全技術(shù)論文11-07
基于非連續(xù)頻譜的短波傳輸技術(shù)研究論文11-06
大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究論文10-30
數(shù)字電視數(shù)據(jù)傳輸技術(shù)研究論文10-25