Configuration and Implementation of SSH2-RSA key authentication Based on the SFTP Server
　　ZHANG Chao, HU Ling-fang
　　(Liupanshui Vocational Technical College, Liupanshui 553000, China)
　　Abstract: SSH is a network protocol that allows data to be exchanged using a secure channel between two networked devices. The encryption used by SSH provides confidentiality and integrity of data over an unsecured network, and defending the sniffer attacks. This paper introduce how to configuration Xlight a SFTP server and Implementation of SSH2-RSA key authentication.
　　Key words: SSH2; RSA; SFTP; authorized keys; Xlight
　　FTP协议[1]广泛的用在网络中共享资源，实现文件的交换传输以及网站的远程发布管理。尽管FTP协议提供了用户验证，访问控制列表等安全保证措施网络安全，但FTP协议使用明文传输数据的特点决定账号密码等信息的不安全性[2]。黑客通过Sniffer等软件的数据包嗅探可以轻易的获取FTP服务器的账号密码等信息危害网络的信息安全。SFTP即SSH文件传输协议是一个在安全壳密码保护下提供文件传输和文件管理功能的文件访问网络协议。与传统的FTP协议比较，因为在服务器和客户端之间的数据是经过加密之后在网络中传递，所以具有高度可靠的安全性。
　　1 SSH协议概述
　　SSH即SFTP文件传输协议是由IETF的网络工作小组（Network Working Group）所制定建立在应用层和传输层基础上的安全协议[3]，它提供了完善的主机到客户端的认证以及互联网中安全的加密通信功能。SSH2是其最新版，在1995年开发的SSH1的基础上改进而来并于2006年获得通过的网络安全通信协议标准修订版。
　　SSH协议提供了一整套的安全网络服务体系。主要有三个组成部分组成：
　　传输层协议 [SSH-TRANS]：提供了服务器认证，保密性及完整性验证。此外它有时还提供压缩功能。 SSH-TRANS 通常运行在 TCP/IP连接上，也可能用于其它可靠数据流上。 SSH-TRANS 提供了强力的加密技术、密码主机认证及完整性保护。该协议中的认证基于主机，并且该协议不执行用户认证。更高层的用户认证协议可以设计为在此协议之上。
　　用户认证协议 [SSH-USERAUTH]：用于向服务器Server端对客户Client端提供用户鉴别功能。它运行在传输层协议 SSH-TRANS上。
　　连接协议 [SSH-CONNECT]：将多个加密隧道分成逻辑通道。它运行在用户认证协议上。它提供了交互式登录话路、远程命令执行、转发 TCP/IP 连接和转发 X11 连接等服务。
　　在SSH安全壳的保护下，所有的信息都经过基于密钥的身份验证后才在网络中进行加密传递，包含账号密码等重要信息的数据即使被捕获也因为法解密而获得。从访问的客户端角度，SSH协议提供基于密码和密钥两种不同方法的安全验证。
　　首先基于账号密码的安全验证是通过加密传递的帐号和密码实现服务器远程登录。在SFTP服务器上创建一对主机密钥，客户端访问时主机将公钥分发给访问的客户端，用以加密与主机间的通信数据，主机用私钥来解密数据，这一套RSA或DSS密钥从而实现主机和客户端的可靠通信。客户端在接收主机公钥时还可以通过MD5码验证服务器真伪。
　　第二种是基于密匙的安全验证，与密码验证一样都有主机公钥分发个客户端之外，还必须为客户端创建一对密匙，并把公匙放在访问的服务器上。客户端软件访问服务器时会向服务器发出密匙验证请求。服务器收到请求后，在指定目录下寻找客户端存放的公匙，并与收到的公匙进行比较。如果两个密匙一致，服务器就用公匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私匙解密再把它发送给服务器。基于密钥对的安全验证为服务器的网络通信提供了最高级别的安全保障。
　　2 用XLight建立SFTP服务器
　　2.1 RSA密钥的创建与导出
　　启动密钥生成器Putty KEY gen，如图1所示。
　　首先在软件界面中选择“SSH2-RSA”和设置密钥长度为1024bits；点击“Generate”按钮并立即在程序界面空白处随意的移动鼠标产生随机数以创建密钥对。在“Key passphrase”中设置密码后分别点击“Save private Key”“Save public Key”按钮将生成的公钥私钥命名为super-g和super-s.ppk并保存在优盘上备用。
　　2.2 SFTP服务器的配置：
　　1) 用优盘将公钥super-g复制到服务器的指定目录D:/KEY中。
　　2) 安装Xlight并设置为系统服务，在Xlight启动后点击“全局选项”-“系统服务”-“设置”-“安装系统服务”-“OK”设置系统服务成功；点击“添加虚拟服务器”按钮，在弹出的窗口中填入服务器的IP地址“192.168.1.2”，端口设置为“22”，协议处选择“SSH2”单击确定即可[4]。
　　3) 设置SFTP服务器用户账户为公钥验证：点击“用户列表”-“新增用户”为新用户super设置账号、密码以及主目录及其访问权限后，点击“账号”按钮后，在“SSH公共密钥认证”前边的小方框内打勾再点击后边“设置”按钮，再点击“浏览”在服务器指定的D:/KEY上找到用户的公钥。至此SFTP服务器配置完成，当客户端登陆时就会使用此指定公钥验证是否为特定用户登录访问。
　　3 访问SFTP服务器客户端
　　由于IE浏览器不支持SFTP服务器的访问SSH2，所以必须安装支持SSH2协议的第三方客户端才能实现SFTP主机的访问，以FlashFXP为例。首先安装FlashFXP，启动FlashFXP程序点击“站点管理器”-“建立新站点”-“常规选项卡”在连接类型选择SFTP OVER SSH，输入站点IP192.168.1.2，用户名密码等信息-“连接选项卡”-“密钥管理器”-“导入”—-选择密钥格式为“SFTP RSA/DSA密钥”-“普通名称”中命名为super-在客户端中插入优盘打开存放Putty KEY gen创建的私钥文件（super-s.ppk），输入密码-点击导入-返回“公钥认证”下拉菜单找到刚才导入的Super密钥-“应用”。至此使用密钥访问主机的客户端配置完成，点击连接该客户端就可以通过RSA密钥验证身份并加密在网络上传递的数据信息。 (责任编辑：南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网）