基于SSH與代理的數(shù)據(jù)安全傳輸機制的研究論文

　　分別研究SSH和傳輸層代理技術(shù)的工作原理，提出基于SSH應(yīng)用服務(wù)的傳輸層代理實現(xiàn)方法，然后詳細討論TCP和UDP兩種協(xié)議的代理實現(xiàn)和其中的端口重定向?qū)崿F(xiàn)，最后給出部分實現(xiàn)代碼及端口重定向配置規(guī)則。

　　一、引言

　　傳統(tǒng)的網(wǎng)絡(luò)服務(wù)如FTP、Telnet和POP等是一些極不安全的信息安全數(shù)據(jù)傳輸方式，造成不安全的因素主要有兩方面。一是這些服務(wù)的客戶端與服務(wù)器的數(shù)據(jù)傳輸是采用明文的，用戶名、密碼和傳輸?shù)膬?nèi)容很容易被截獲。二是客戶端和服務(wù)器的認證方式過于簡單，第三者很容易冒充服務(wù)器的身份來欺騙客戶端用戶，從而獲得客戶端登錄真實服務(wù)器所用的用戶名、密碼以及傳輸內(nèi)容等。

　　二、SSH協(xié)議及其配置策略

　　目前的SSH協(xié)議有兩個版本SSH1和SSH2，它們都是由客戶端和服務(wù)器兩部分組成的，但是這兩個版本是不兼容的[2]，在此，我們采用SSH2。

　　SSH協(xié)議是基于TCP/IP協(xié)議棧的，它接收TCP/IP提供的服務(wù)，然后為上層應(yīng)用(服務(wù))提供安全的數(shù)據(jù)傳輸服務(wù)。SSH的體系結(jié)構(gòu)主要有三部分組成：傳輸層協(xié)議，用戶認證協(xié)議和連接協(xié)議。

　　SH軟件有兩個部分組成，一部分是服務(wù)器，一部分是客戶端，它們的通信過程如下：

　　1.要連接到服務(wù)器的客戶端主機產(chǎn)生一對密鑰，一個私鑰和一個公鑰。私鑰用來標(biāo)識本地主機，存放在本地，通常為1024位，對私鑰的保存提倡設(shè)置密碼。公鑰用來存放在服務(wù)器的固定目錄中，用于認證客戶端用戶身份。

　　2.啟動服務(wù)器的sshd服務(wù)。啟動時系統(tǒng)會產(chǎn)生一個服務(wù)器密鑰(通常為768位)，這個密鑰在使用中通常每小時更換一次，并且不存在磁盤上。

　　3.服務(wù)器不斷檢查是否有新連接，如果有，則把服務(wù)器密鑰和客戶端公鑰發(fā)送給客戶端。

　　4.客戶接收到服務(wù)器密鑰和客戶端自身的公鑰后產(chǎn)生一個隨機數(shù)，使用接收到的服務(wù)器公鑰和客戶端公鑰加密這個隨機數(shù)，并發(fā)送給服務(wù)器。

　　5.服務(wù)器和客戶端把這個隨機數(shù)用作對稱加密算法的密鑰，在通信中對通信內(nèi)容加密，在客戶端還要使用客戶端私鑰產(chǎn)生數(shù)字簽名，此后，雙方即可開始數(shù)據(jù)交換。

　　在使用代理前，首先要保證在沒有代理服務(wù)器的情況下，各類業(yè)務(wù)均能正常開展，然后再架設(shè)代理服務(wù)器，由代理服務(wù)器接收用戶的請求并為用戶服務(wù)，在用戶看來，代理是透明的。對于Open SSH，首先要安裝服務(wù)器和客戶端軟件包，然后分別對兩部分配置。在我們應(yīng)用中操作系統(tǒng)選擇Fedora Core 4(FC4)，SSH選擇Open SSH4.3。

　　服務(wù)器端安裝完成相關(guān)軟件后即可啟動SSH守護進程，默認的配置即可正常工作，如需修改默認的配置信息，如監(jiān)聽的端口等，可以修改配置文件/etc/ssh/sshd_config(默認安裝)。

　　三、傳輸層代理技術(shù)

　　傳輸層代理要求分別實現(xiàn)對TCP和UDP的代理。TCP是一個面向連接的協(xié)議，數(shù)據(jù)要在TCP連接上傳輸之前，連接必須通過“握手”的機制建立起來。

　　1.客戶端先發(fā)送一個TCP包，它的標(biāo)志字段中的第5位(從1計起)為1，表示一個SYN包，序列號以ISN1表示;

　　2.服務(wù)器發(fā)回一個TCP包作為應(yīng)答，它的`標(biāo)志字段第2位(ACK)與第5位置1，表示一個SYN-ACK包，該包的序列號(ISN2)由服務(wù)器產(chǎn)生，確認號(Ack)為ISN1+1;

　　3.客戶端再發(fā)一個TCP包進行確認，它的標(biāo)志字段的第2位置1，表示一個ACK包，序列號為ISN1+1，確認號為ISN2+1。

　　UDP是一種無連接，不可靠的傳輸層協(xié)議，它的可靠性要在應(yīng)用層驗證，因此對UDP協(xié)議的代理要比TCP簡單得多，只要把客戶端發(fā)過來的UDP包截獲，然后提取出應(yīng)用層數(shù)據(jù)，再按原目的地址、原目的端口轉(zhuǎn)發(fā)出去即可。

　　四、SSH代理系統(tǒng)設(shè)計

　　SSH傳輸層代理體系結(jié)構(gòu)，共由三部分組成：SSH客戶端、SSH服務(wù)器和代理服務(wù)器。SSH客戶端和SSH服務(wù)器是通過代理服務(wù)器進行通信的，代理服務(wù)器采用雙網(wǎng)卡主機，分別連接SSH客戶端和服務(wù)器。

　　要實現(xiàn)TCP協(xié)議的代理，在服務(wù)器端(簡稱S端，下同)與客戶端(簡稱C端，下同)之間需要完成兩部分工作，一是要創(chuàng)建一個服務(wù)器端S1，它完成與C端的握手、為C端提供服務(wù)。在C端看來，它是與S1通信。二是要創(chuàng)建一個客戶端C1，它完成與S1端的握手、接收S1的數(shù)據(jù)并發(fā)送給S、接收S的數(shù)據(jù)并發(fā)送給S1。在S看來，它是與C1通信。以此思想在邏輯上隔斷客戶端與服務(wù)器端的直接通信，確保高信任域內(nèi)的網(wǎng)絡(luò)安全。TCP協(xié)議代理流程如圖1所示： 采用UDP的應(yīng)用層協(xié)議主要有DNS，TFTP，DHCP，RADIUS及一些用于即時通信的應(yīng)用等。在本應(yīng)用中，UDP協(xié)議主要用來做域名解析，因此UDP數(shù)據(jù)包占用的網(wǎng)絡(luò)帶寬較少，所以可以把接收到UDP的數(shù)據(jù)，按它原來的目的IP直接轉(zhuǎn)發(fā)出去。

　　基于SSH的應(yīng)用層協(xié)議主要有FTP，Telnet，POP等。對于FTP、POP等默認的端口固定，而FTP一般有一個控制通道和多個數(shù)據(jù)通道，默認情況下控制通道采用TCP的21端口，控制連接的建立是由客戶端發(fā)起的，主要傳輸客戶端與服務(wù)器之間的命令及控制字信息。而數(shù)據(jù)連接要求客戶端與服務(wù)器端協(xié)商建立，有兩種情形即兩種模式，主動模式和被動模式。主動模式是從服務(wù)器端向客戶端發(fā)起;被動模式是客戶端向服務(wù)器端發(fā)起。不管是被動模式還是主動模式，關(guān)鍵要解決的問題是要確定數(shù)據(jù)連接所使用的端口。正是因為這種端口的不確定性，使得我們在程序?qū)崿F(xiàn)時不能只監(jiān)聽某些應(yīng)用協(xié)議所使用的端口，但如果能將發(fā)向這些事先未知或已知的端口的數(shù)據(jù)能發(fā)到一個統(tǒng)一的端口上，我們的程序只要監(jiān)聽這個固定的端口就可以了，在此我們使用端口重定向技術(shù)。

　　在FC4下的iptables提供了端口重定向功能，netfilter/iptables是從

　　2.4x內(nèi)核開始Linux使用的防火墻技術(shù)，包括包過濾和狀態(tài)檢測，在iptables中有表，表中包含鏈及其規(guī)則，在此，根據(jù)需要要使用是iptables的nat表及其PREROUTING規(guī)則。我們要在兩個地方設(shè)置端口重定向，一是用戶發(fā)出的連接請求，一個是服務(wù)器發(fā)出的連接請求。

　　五、結(jié)論

　　本文結(jié)合兩種安全技術(shù)SSH和傳輸層代理，解決了SSH在傳輸層代理環(huán)境下如何實現(xiàn)數(shù)據(jù)安全傳輸?shù)膯栴}，從而進一步增強了系統(tǒng)與本地網(wǎng)絡(luò)的安全性，同時還解決了客戶機與服務(wù)器通信數(shù)據(jù)通道的唯一性問題，保證了數(shù)據(jù)通道的可控性，增強了客戶對系統(tǒng)安全性的管理與配置能力。

【基于SSH與代理的數(shù)據(jù)安全傳輸機制的研究論文】相關(guān)文章：

基于網(wǎng)格的數(shù)據(jù)傳輸與復(fù)制技術(shù)研究論文11-07

基于數(shù)據(jù)抽取與訂閱實現(xiàn)數(shù)據(jù)共享分析及研究論文10-30

大數(shù)據(jù)時代基于云計算的數(shù)據(jù)監(jiān)護研究論文11-01

研究基于云計算角度下的數(shù)據(jù)存儲安全技術(shù)論文11-07

基于非連續(xù)頻譜的短波傳輸技術(shù)研究論文11-06

大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全研究論文10-30

數(shù)字電視數(shù)據(jù)傳輸技術(shù)研究論文10-25

基于科技信息共享云服務(wù)機制研究論文11-02

基于銀行數(shù)據(jù)安全系統(tǒng)中云計算的應(yīng)用研究論文10-30