SSH技术在CDMA 1X核心网安全登陆中的应用
开篇:润墨网以专业的文秘视角,为您筛选了一篇SSH技术在CDMA 1X核心网安全登陆中的应用范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:文章分析了ssh 技术及其工作流程,详细介绍了基于SSH来实现cdma1x核心网安全登陆的具体应用。
关键词:SSH;认证
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)06-11524-02
1 前言
CDMA 1X分组网的维护人员对核心路由器、交换机等设备进行管理和日常维护时,通常需远程登陆。传统的远程登陆程序如Telnet,rlogin等网络服务程序,都在网络中采用明文传送口令和数据,其安全性无法得到有效的保障。管理员的用户名和密码一旦被别有用心的人截获,后果将不堪设想。因此,如何实现核心网的安全登陆,成为CDMA1X分组网络管理和日常维护工作中首先要解决的问题。应用SSH 技术可以较好地解决这一难题。
2 SSH协议分析
2.1 SSH体系结构
SSH(Secure Shell)是IETF制定的建立在应用层和传输层基础上的一种安全协议,主要由三部分组成,共同实现SSH的安全保密机制:SSH 传输层协议(Transport Layer Protocol)、SSH用户认证协议(User Authentication Protocol)、SSH连接协议(Connection Protocol)。每层提供自己类型的保护,并且可以与其他方式一起使用。
2.1 SSH传输层协议
SSH传输层协议提供高强度的数据通信加密处理、加密的主机身份认证、数据完整性校验以及数据压缩等多项安全服务。双方通信所需要的密钥交换方式、公钥密码算法、对称密钥算法、消息认证算法和哈希算法等都可以进行协商。
2.2 SSH用户认证协议
用户认证方式常用以下两种:
(1)口令认证方式:只要你知道自己的帐号和口令,就可以登录到远程主机,并且所有传输的数据都会被加密。但是,这种验证方式不能保证你正在连接的服务器就是你想连接的服务器。可能会受到“中间人”这种攻击方式的攻击。
(2)公钥认证方式:在这种方式中,用户用私钥来表明自己的身份。用户向服务器发送一个用自己私钥处理过的数字签名,服务器首先检查该用户的私钥是否可以作为一个有效的认证凭证(通过检查本地数据库中是否存有与之对应的公钥),然后检查该签名的有效性,如果两个条件都满足,用户的认证请求才可以被接受。
两种认证方式相比,由于公钥认证方式不需要在网络上传送用户口令,并且可有效地避免“中间人”的攻击,因此更为安全,但是整个登录的过程可能慢一些。
2.3 SSH连接层协议
SSH连接层协议主要的功能是完成用户请求的各种具体的网路服务,而这些服务的安全性是由底层的SSH传输层协议和用户认证层协议实现的。在SSH传输层成功认证后,多个信道通过复用到两个系统间的单个连接上而打开。每个信道处理不同的终端会话。
2.4 SSH协议工作流程
在连接建立阶段,与telnet等网络服务不同,SSH要复杂得多。在SSH会话过程中,服务器端与客户端经过以下五个阶段建立安全通道:
(1)协议版本协商阶段:由于SSH 具有多种不同的版本,两个SSH 协议首先要确认这次通讯使用何种版本。一般取客户端和服务端最低的协议版本号和软件版本号。(2)会话加密初始化阶段:SSH 通讯使用会话密钥保证传输加密,这一阶段是产生会话密钥的过程。 由于考虑到性能问题,会话加密采用对称加密机制。会话密钥必须安全产生,并且安全传送到另一方。 SSH协议使用公钥体系来保障会话密钥的安全传输。(3)认证阶段:会话密钥协商后,双方进入认证阶段。 客户端首先向服务端发送用户名,服务端检查用户是否存在,如果该用户存在,则通知客户“现在可以发送认证请求了”。(4)会话请求阶段:认证通过后,客户端将向服务器端发送会话请求。服务器端成功处理请求后SSH 进入交互会话阶段。(5)会话交互阶段:在会话交互阶段,所有的报文均被加密。此外在定期重新交换密钥时,会话依然不会中断,而会话ID唯一标识此次会话。
SSH协议最重要的特点和功能是加密和认证,这也是SSH 比telnet等安全的特点。
3 CDMA 1X核心网的SSH实现
SSH支持的认证方式主要有口令认证和RSA认证两种,其中RSA认证方式更为安全。下面以CDMA1X分组核心网的PI侧出口路由器NE05为例,详细介绍RSA认证方式的具体实现。
(1)假设用户test001要以RSA认证方式登陆,那么首先要在路由器上如下配置:
[HF_NE05]user-interface vty 0 4
[HF_NE05-ui-vty0-4] authentication-mode aaa
[HF_NE05-ui-vty0-4] protocol inbound ssh
[HF_NE05] ssh user test001 authentication-type rsa
(2)在支持SSH1.5的客户端软件上生成RSA密钥
在Windowsh环境下用SSH远程登陆,必须使用特定的客户端软件。SecureCRT和PuTTY是两种能够较好支持SSH的客户端软件。不过SecureCRT最大只支持2048Bit的密钥,PuTTY则没有这种限制。考虑到密钥位数的可扩展性,以下描述均是基于PuTTY软件作相关介绍。
首先使用PuTTY Key Generator软件,按下“Generate”按钮之后,鼠标必须在进度条下的空格内滑动,软件会根据鼠标的相对位置,随机生成公钥和私钥。
再分别点击“Save public key”和“Save private key”,将两个密钥保存为本地文件,名为public和private:
(3)shkey转换公钥格式
由于PuTTY Key Generator生成的密钥是通用的格式,因此还需要将这些密钥转换成NE05设备支持的格式。使用sshkey软件将保存到本地的公钥文件public进行转换:
(4)在路由器上配置RSA公钥:
将sshkey软件转换后的public公钥配置到路由器上。
[HF_NE05] rsa peer-public-key pub
Enter "RSA public key" view, return system view with "peer-public-key end".
[HF_NE05-rsa-public-key] public-key-code begin
Enter "RSA key code" view, return last view with "public-key-code end".
[HF_NE05-rsa-key-code] 30818602 81806EA1 3050C983 A128D2B6 E17D75DA E8F91740
[HF_NE05-rsa-key-code] 10B62524 CD76E7FC 3952AE09 27331887 72089BD3 CCAD8EEB
……
[HF_NE05-rsa-key-code] CCFB6971 D8E9FE8E DA1721EC CAE10201 25
[HF_NE05-rsa-key-code] public-key-code end
[HF_NE05-rsa-public-key] peer-public-key end
[HF_NE05] ssh user test001 assign rsa-key pub
(5)客户端的配置:
先运行PuTTY软件,在Category中选中Session,在Host Name条形文本框内输入远程路由器的ip地址(注:考虑到CDMA 1X核心网络的安全性,本文处为一虚地址)。协议Protocol 处选择SSH,此时端口会自动变为22。在Saved Sessions中针对此IP地址起一个名字保存,以方便下次登陆,此处保存为HF_NE05。
(6) 使用私钥登陆路由器
运行putty软件,选择-Connection->SSH->Auth,单击“Browse…”,选择刚才保存的私钥文件,单击“open”。
在弹出的登陆提示框输入用户名和密钥保护密码即可登陆。如果用户在生成密钥时没有设置密钥保护密码,则无须输入密码,直接输入用户名进入相应权限的路由器操作界面。登陆成功后,客户端就和路由器就建立了安全的通道,他们之间的数据交互完全是加密的。
4 结束语
运用SSH技术远程登陆CDMA 1X分组网核心设备,弥补了原有方式在传输机制和实现方法上的安全缺陷,大大地减少了远程计算机访问和管理所带来的威胁。以上应用安全性高,具有通用性,适于在网络维护工作中推广使用。
参考文献:
[1]杨波.网络安全理论与应用[M].北京:电子工业出版社,2002.
[2]张杰,戴英侠.SSH协议的发展与应用研究[M].计算机工程,2002,28(10):13-15.
[3]张岩,赵霁.基于SSH的网络安全解决方案[M].现代电子技术,2004,27(1):104-106.
本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。