你知道SSH密钥认证是如何工作的吗

描述

远程登录Linux除了可以使用用户名密码认证外,我们还可以通过密钥对认证。也许你对如何配置密钥认证非常熟悉,但你是否了解这个密钥对如何工作呢?

先来看一幅图

公钥

对于准备阶段,大家并不陌生,就是将客户端上的预先生成的公钥放到服务端上去。

关于这个密钥对,我啰嗦两句。其中公钥用来加密,私钥用来解密,只有和公钥配对的私钥才能解开其公钥加密的字符串。它们属于非对称加密。

说到加密,我不得不提一下,加密的方式主要有两种:

对称加密(也称为秘钥加密)

非对称加密(也称公钥加密)

所谓对称加密,指加密解密使用同一套密钥。如下图所示:

Client:

公钥

Server:

公钥

对称加密的加密强度高,很难破解。但是在实际应用过程中不得不面临一个棘手的问题:如何安全地保存密钥呢?尤其是考虑到数量庞大的Client端,很难保证密钥不被泄露。一旦一个Client端的密钥被窃取,那么整个系统的安全性也就不复存在。为了解决这个问题,非对称加密应运而生。非对称加密有两个密钥:公钥和私钥。

再来看看公钥、私钥的协商交互过程:

① 如果SSH服务端开启了密钥认证,那么当客户端向目标服务器发送登录请求时,服务端会优先通过密钥验证方式进行登录验证。

② SSH服务端会读取~/.ss/authorized_keys里所有的公钥信息,这里需要注意,公钥存取的文件路径是可以在SSH服务配置文件里进行配置的。

③ SSH服务端会生成一串随机数,然后使用相应的公钥对其加密。

④ SSH服务端将加密后的密文发给客户端。

⑤ 客户端使用私钥解密,私钥存储路径通常为~/.ssh/id_rsa,当然也可以使用-i选项指定,或者在SSH客户端软件(如Xshell或者Mobaxterm)里配置。

公钥

⑥ 客户端如果解密成功,则会把解密后的随机字符发送给服务端。如果解密失败,则会继续尝试密码验证等其它方式进行登录校验。

⑦ 服务端对客户端返回的随机字符串进行比对。

⑧ 如果比对成功,则认证成功,客户端顺利登录。否则,会反馈登录失败。

  审核编辑:汤梓红

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分