安全Shell架构

在本文中，我们将先介绍SSH（安全外壳）协议的概述，然后重点讨论其架构部分，并详细说明其工作原理。让我们逐一来探讨这些内容吧。

SSH（安全外壳协议）：

1. 这是一种用于在不安全网络上进行操作网络服务的科学领域网络协议。
2. 它的设计目的是替代那些不安全的协议，比如 telnet，以及那些不安全的文件传输方式，例如 FTP。
3. 它采用了消费者服务器设计模式。
4. 它使用了公钥加密/非对称密钥加密技术来验证远程服务器的身份。也就是说，通过这种方式，可以确认远程服务器是否真实存在。

SSH架构：
SSH-2协议采用了一种分层设计方式（定义在RFC 4251中），各个层之间具有明确的划分，具体结构如下：

1. 传输层（RFC 4253）
   它通常基于TCP/IP协议运行。这一层负责处理发送方和接收方之间的初始密钥交换过程。
    
2. 用户认证层（RFC 4252） 
   这一层负责处理用户的身份验证问题，同时提供了多种身份验证方式。当用户输入密码时，该层会向用户发送响应，而不是向服务器发送请求。服务器则只是对客户端提供的身份验证请求进行回应而已。常见的用户身份验证方式包括以下几种。
    
3. 关键词/核心概念： 
   这是一种透明的密码认证方式，同时还有功能可以允许修改密码。只有少数联合国机构采用了这种认证方式。
    
4. 公钥 –
   这是一种基于公钥的认证技术，通常至少需要使用DSA、ECDSA或RSA这样的密钥对。不同的实现方式可以共同支持X.509证书的应用。
    
5. 键盘交互式（RFC 4256）
   在这个过程中，服务器会发送一个或多个提示信息，以引导用户输入数据。因此，用户需要显示这些提示信息，并回复由用户输入的密码。这种认证方式通常采用一次性密码认证方式，比如S/Key或SecurID。
    
6. GSSAPI认证 –
   这种方法可以替代传统的SSH认证方式，使用Kerberos或NTLM等外部认证机制。这样一来，SSH会话就可以实现单点登录功能了。在某些情况下，一些工业级的SSH实现方式也会采用这种方式来提升安全性。
    
7. 关联层（RFC 4254）
   在这种通道、通道请求以及国际请求的管理方式下，SSH服务得到了有效的利用。一个SSH连接可以同时承载多个通道，从而实现双向的数据传输。通道请求通常用于传递与特定通道相关的信息，比如终端窗口的显示尺寸调整，或者服务器方法的返回码等。
    
8. SSHFP DNS记录（RFC 4255）
   它提供了公共主机密钥的指纹信息，以帮助验证主机的合法性。

注意：
尽管存在一些普遍的观点，但实际上，SSH并不是Telnet的改进版本。SSH实际上只是利用了安全套接层协议所提供的加密功能而已。