فهم تبادل حزم Secure Shell

خيارات التنزيل

  • PDF     (1.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.0 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (813.0 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٨ أغسطس ٢٠٢٤
معرّف المستند:222335

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تبادل مستوى الحزمة أثناء تفاوض طبقة الأمان (SSH).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بمفاهيم الأمان الأساسية:

    • المصادقة
    • السرية
    • نزاهة
    • أساليب تبادل المفاتيح

    المكونات المستخدمة

    لا يقيد هذا وثيقة إلى خاص جهاز صيغة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). 

    بروتوكول SSH

    بروتوكول SSH هو طريقة لتأمين تسجيل الدخول عن بعد من جهاز كمبيوتر إلى آخر. تستند تطبيقات SSH إلى بنية خادم عميل، لتوصيل مثيل عميل SSH بخادم SSH.

                                                                                                                            

    تبادل SSH 

    1. تسمى الخطوة الأولى من بروتوكول طبقة الأمان (SSH)  Identification String Exchange.

     أ. يقوم العميل بإنشاء حزمة وإرسالها إلى الخادم الذي يحتوي على:

      •  إصدار بروتوكول SSH
      •  إصدار البرامج

    Client Protocol Version is SSH2.0 and Software Version is Putty_0.76.إصدار بروتوكول العميل هو SSH2.0 وإصدار البرنامج هو PuTTY_0.76.

    ب. يستجيب الخادم باستخدام سلسلة التعريف الخاصة به، بما في ذلك إصدار بروتوكول SSH وإصدار البرنامج.

    Server's Protocol Version is SSH2.0 and Software Version is Cisco 1.25إصدار بروتوكول الخادم هو SSH2.0 وإصدار البرنامج هو Cisco1.25

    2. الخطوة التالية هي  Algorithm Negotiation. في هذه الخطوة، حيث يقوم كل من العميل والخادم بالتفاوض حول هذه الخوارزميات:

    • تبادل المفاتيح
    • تشفير
    • HMAC (رمز مصادقة الرسائل المستندة إلى التجزئة)
    • ضغط
    1. يرسل العميل رسالة Key Exchange Init إلى الخادم، ويحدد الخوارزميات التي يدعمها. يتم سرد الخوارزميات حسب الأفضلية.

    Key Exchange Initمفتاح Init

    Client Supported Algorithmsالخوارزميات المدعومة من قبل العميل

    ب. يستجيب الخادم برسالة Key Exchange Init الخاصة به، ويسرد الخوارزميات التي يدعمها.

    ج - بما أن هاتين الرسالتين تتبادلان في آن واحد، فإن كلا الطرفين يقارن قوائمهما الخوارزمية. إذا كان هناك تطابق في الخوارزميات التي يدعمها كلا الجانبين، فانها تتقدم إلى الخطوة التالية. وفي حالة عدم وجود تطابق تام، يحدد الخادم الخوارزمية الأولى من قائمة العميل التي يدعمها أيضا.

    د. إذا تعذر على العميل والخادم الموافقة على خوارزمية مشتركة، فسيفشل تبادل المفاتيح.

    Server Key Exchange InitServer Key Exchange Init

    3. بعد ذلك، يدخل كلا الجانبين Key Exchangeالمرحلة لإنشاء سر مشترك باستخدام تبادل مفتاح DH ومصادقة الخادم:

    أ. يقوم العميل بإنشاء زوج مفاتيح،Public and Privateوإرسال المفتاح العام DH في حزمة Init لتبادل مجموعة DH. يستخدم زوج المفاتيح هذا لحساب المفتاح السري.

    Client DH Public Key & Diffie-Hellman Group Exchange Initمفتاح DH العام العميل ومدخل تبادل مجموعة Diffie-hellman

    ب. يقوم الخادم بإنشاء زوج مفاتيح خاص بهPublic and Private. وهو يستخدم المفتاح العام للعميل وزوج مفتاحه الخاص به لحساب السر المشترك.

    ج. يقوم الخادم أيضا بحساب تجزئة Exchange باستخدام هذه المدخلات:

    • سلسلة تعريف العملاء
    • سلسلة تعريف الخادم
    • حمولة Kexinit العميل
    • حمولة Server KEXINIT
    • الخوادم عامة المفتاح من مفاتيح المضيف ( زوج مفاتيح RSA )
    • مفتاح DH العام للعملاء
    • المفتاح العام للخوادم DH
    • مفتاح سري مشترك

    د. بعد حساب التجزئة، يقوم الخادم بتوقيعه باستخدام مفتاح RSA الخاص به.

    ه. يقوم الخادم بإنشاء رسالة DH_EXCHANGE_REPLY تتضمن:

    •  مفتاح RSA-العام للخادم (لمساعدة العميل على مصادقة الخادم)
    •  مفتاح DH العام للخادم (لحساب السر المشترك)
    •  تجزئة (لمصادقة الخادم وإثبات أن الخادم قام بإنشاء السر المشترك، حيث أن المفتاح السري هو جزء من عملية حساب التجزئة)

    Server DH Public Key & Diffie-Hellman Group Exchange Replyالرد على تبادل مجموعة Diffie-hellman للمفتاح العام للخادم DH

    و. بعد تلقي DH_EXCHANGE_REPLY، يقوم العميل بحساب التجزئة بنفس الطريقة ويقارنها بالتجزئة المستلمة، مع فك تشفيرها باستخدام مفتاح RSA العام الخاص بالخادم.

    g. قبل فك تشفير التجزئة المستلمة، يجب على العميل التحقق من المفتاح العام للخادم. يتم إجراء هذا التحقق من خلال شهادة رقمية موقعة من قبل مرجع مصدق (CA). في حالة عدم وجود الشهادة، يعود للعميل تقرير قبول المفتاح العام للخادم.

    note-icon

    ملاحظة: عند إدخال بروتوكول SSH لأول مرة في جهاز لا يستخدم شهادة رقمية، قد تواجه أحد الإطارات المنبثقة يطلب منك قبول المفتاح العام للخادم يدويا. لتجنب رؤية هذا الإطار المنبثق في كل مرة تقوم فيها بالاتصال، يمكنك إختيار إضافة مفتاح مضيف الخادم إلى ذاكرة التخزين المؤقت.

    Server's RSA Keyمفتاح RSA للخادم

    4. بما أن السر المشترك يتم الآن توليده، كلتاهما تستخدمونه لاستخلاص هذه المفاتيح :

    •  مفاتيح التشفير
    •  IV Keys - هذه أرقام عشوائية تستخدم كمدخلات لخوارزميات متماثلة لتحسين الأمان
    •  مفاتيح التكامل

    يتم الإشارة إلى نهاية تبادل المفاتيح من خلال تبادل  NEW KEYS' الرسالة التي تعلم كل طرف بأن جميع الرسائل المستقبلية سيتم تشفيرها وحمايتها باستخدام هذه المفاتيح الجديدة . 

    Client & Server New Keysالعميل والمفاتيح الجديدة للخادم

    5. الخطوة الأخيرة هي طلب الخدمة. يرسل العميل حزمة طلب خدمة SSH إلى الخادم لبدء مصادقة المستخدم. يستجيب الخادم برسالة قبول خدمة SSH، مما يتطلب من العميل تسجيل الدخول. يحدث هذا التبادل عبر القناة الآمنة التي تم إنشاؤها.

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    29-Aug-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Salman Mahajan
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات