コンフィグレーションガイド Vol.1

[目次][索引][前へ][次へ]


9.1.6 SSHv2による接続からログインまでの流れ

SSHv2では,SSHクライアントからSSHサーバへ,次に示す手順で接続します。

  1. バージョン文字列と各種暗号方式の交換
  2. ホスト認証と暗号化通信路の確立
  3. ユーザ認証
  4. ログイン

以降,SSHv2による接続の各手順について説明します。

<この項の構成>
(1) バージョン文字列と各種暗号方式の交換
(2) ホスト認証と暗号化通信路の確立
(3) ユーザ認証
(4) ログイン

(1) バージョン文字列と各種暗号方式の交換

接続後,サーバとクライアントの間でSSHバージョン文字列を交換し,SSHv1で接続するか,SSHv2で接続するかを決定します。

サーバとクライアント間で,使用できる鍵交換方式,希望する公開鍵暗号方式,共通鍵暗号方式,メッセージ認証コード,および圧縮アルゴリズムの各リストを交換します。

(2) ホスト認証と暗号化通信路の確立

各SSHサーバは,それぞれ異なるホスト鍵ペア(ホスト公開鍵とホスト秘密鍵)を保持しています。ホスト鍵ペアはインストール時に生成されます。クライアントは,サーバの正当性を確認するために,これらの鍵を使用します。

サーバおよびクライアントは,交換した共通鍵暗号方式やメッセージ認証コードのリストから,使用するアルゴリズムを決定します。その後,Diffie-Hellman鍵交換方式で暗号化通信路に使用する共通鍵を交換します。共通鍵の交換中に,サーバのホスト公開鍵を,クライアントで保持しているホスト公開鍵のデータベースと照合して,ホスト認証もします。Diffie-Hellman鍵交換方式は,交換する鍵を直接送ることなく,両者で鍵を共有できるアルゴリズムです。

SSHv2での暗号化通信路の確立までの流れを次の図に示します。

図9-11 暗号化通信路の確立までの流れ(SSHv2)

[図データ]

(3) ユーザ認証

ホスト認証後,暗号化通信路が確立されると,公開鍵暗号方式またはローカルパスワードによるユーザ認証をします。ユーザ認証方式は,コンフィグレーションコマンドip ssh authenticationで設定できます。

(a) 公開鍵暗号方式によるユーザ認証

サーバでは,あらかじめユーザの公開鍵を登録しておきます。クライアントでは,登録されているユーザ公開鍵に対応した,ユーザが所持している秘密鍵を使用して認証します。

SSHv2では,「電子署名」という方法を使用します。まず,クライアントでは,ユーザ名,ユーザの公開鍵,ユーザの公開鍵アルゴリズムを記述した認証要求メッセージを作成します。そして,作成した認証要求メッセージに対して,ユーザの秘密鍵を使用して電子署名を作成します。最後に,サーバに対して,認証要求メッセージに電子署名を付けたものを送付します。

サーバでは,送付された認証要求メッセージから,ユーザ名とユーザ公開鍵を取り出し,登録済みのユーザとユーザの公開鍵であることを確認します。また,登録されているユーザの公開鍵を使用して,送付された電子署名を審査し,正しいユーザの電子署名であることを確認できると,ユーザ認証成功とします。

SSHv2での公開鍵暗号方式によるユーザ認証の流れを次の図に示します。

図9-12 公開鍵暗号方式によるユーザ認証の流れ(SSHv2)

[図データ]

(b) ローカルパスワードによるユーザ認証

telnetと同様に,サーバでローカルに設定されたパスワードを使用してユーザ認証をします。しかし,パスワードは暗号化された通信路を経由するため,第三者には見えません。

(4) ログイン

ユーザ認証に成功すると,セッションが確立し,ユーザはログインします。ここで,通常はターミナルのセッションが開始されます。クライアントが接続時にコマンドの実行を指定していた場合は,指定したコマンドが実行されます。scpやsftpで接続した場合は,サーバ側でscpやsftp-serverコマンドが実行され,ファイルが転送されます。

[目次][前へ][次へ]


[他社商品名称に関する表示]

All Rights Reserved, Copyright(C), 2006, 2018, ALAXALA Networks, Corp.