Home

Page 77
Page 77
background image

• 1 - 19 — базовые сообщения транспортного уровня (например, disconnect, 

ignore, debug и т. п.).

• 20 - 29 — согласование алгоритма.
• 30   -   49   —   сообщения,   связанные   с   обменом   ключами   (допускается 

совпадение номеров для разных методов аутентификации).

Протокол аутентификации пользователей:

• 50 - 59 — базовые сообщения протокола аутентификации.
• 60 - 79 — сообщения, связанные с методом аутентификации (допускается 

совпадение номеров для различных методов).

Протокол соединений:

• 80 - 89 — базовые сообщения протокола.
• 90 - 127 — сообщения, связанные с каналом.

Зарезервировано для клиентских протоколов:

• 128 - 191 – резерв.

Локальные расширения:

• 192 - 255 — локальные расширения.

Продолжим рассмотрение работы протокола.
Как только установится безопасное соединение транспортного уровня SSH 

(уже   описано   ранее),   начинается   следующая   фаза   работы   протокола  SSH  - 
аутентификация. Так  как  она  проходит  внутри  шифрованного   потока  данных, 
снабдить иллюстрациями дальнейший текст нет возможности.

Аутентификацией клиента управляет сервер, посылая клиенту сообщение, 

что   аутентификация   может   продолжаться.   Клиент   может   выбирать   в   любом 
порядке один из перечисленных сервером методов. Это, с одной стороны, даёт 
серверу   возможность   более   комплексного   управления   процессом 
аутентификации, и с другой стороны, дает клиенту гибкость в использовании 
методов,   которые   он   поддерживает   или   которые   больше   всего   подходят   для 
пользователя,   если   сервер   предоставляет   возможность   аутентификации 
несколькими методами.

Методы   аутентификации   идентифицируются   по   имени.   Метод  none 

зарезервирован,  и  не  должен  быть  в   списке   поддерживаемых.   Тем  не  менее, 
этот метод может быть послан клиентом. Сервер должен всегда отвергать этот 
запрос, если не допускает отсутствия аутентификации. Основная цель посылки 
такого   запроса   клиентом   состоит   в   том,   чтобы   получить   от   сервера   список 
поддерживаемых методов аутентификации.

Сервер   должен   определить   таймаут   для   аутентификации   и   разрывать 

соединение,   если   аутентификация   не   проведена   за   указанное   время. 
Дополнительно   должно   быть   установлено   ограничение   на   число   неудачных 
попыток аутентификации, которые клиент может предпринять в течение одной 
сессии. Если порог превышен, сервер должен разорвать соединение.

Основные используемые методы аутентификации:

Метод аутентификации с использованием открытого ключа: publickey

При   использовании   данного   метода   посылается   подпись,   созданная 

закрытым ключом пользователя. Сервер должен убедиться, что открытый ключ 
данного   пользователя   является   действительным,   и   проверить,   что   подпись 
правильна. Если оба этих условия выполняются, запрос аутентификации должен 


Copyright © 2019 Файлообменник files.d-lan.dp.ua

Использование любых материалов сайта возможно только с разрешения автора.