應用密碼學課設

桂林電子科技大學課程設計報告用紙-1-《應用密碼學》課程設計題目：OpenWrtSSH免密碼使用密鑰登陸院系：數(shù)學與計算科學學院專業(yè)：信息與計算科學姓名學號：指導老師：日期：2015年01月16日摘要OpenWrt是一個嵌入式的Linux發(fā)行版，（主流路由器DD-Wrt,Tomato,OpenWrt三類）。OpenWrt的包管理提供了一個完全可寫的文件系統(tǒng)，從應用程序供應商提供的選擇和配置，并允許自定義的設備，以適應任何應用程序。對于開發(fā)人員，OpenWrt是使用框架來構建應用程序，而無需建立一個完整的固件來支持；對于用戶來說，這意味著其擁有完全定制的能力，可以用前所未有的方式使用該設備。SSH為SecureShell的縮寫，由IETF的網(wǎng)絡工作小組（NetworkWorkingGroup）所制定；SSH為建立在應用層和傳輸層基礎上的安全協(xié)議，是目前較可靠，專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。SSH客戶端適用于多種平臺。幾乎所有UNIX平臺—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix，以及其他平臺，都可運行SSH。市面上售賣的路由器中大部分為安裝了OpenWrt或者由OpenWrt衍生、修改而來的系統(tǒng)。在日常生活中，用戶為了安全或其他原因，需要經(jīng)常登陸路由器，因此經(jīng)常會被要求輸入密碼，便會感覺系統(tǒng)不夠人性化。本文便是利用SSH免密碼使用密鑰登陸OpenWrt的方法，免去用戶頻繁在同一機器上輸入密鑰的繁瑣步驟，節(jié)省用戶的時間，并使系統(tǒng)更加人性化。關鍵字：OpenWrtSSH免密碼登陸AbstractOpenWrtisanembeddedLinuxdistribution(DD-WRT,Tomato,OpenWrtofthreemainstreamrouters).ProvidesafullywritablefilesystemOpenWrt'spackagemanagement,selectionandconfigurationofoffersfromtheapplicationvendor,andallowscustomequipment,toadapttoanyapplication.Fordevelopers,OpenWrtistousetheframeworktobuildtheapplication,withouttheneedtoestablishacompletefirmwaretosupport;forusers,thismeansthatitsabilitytohaveafullycustomized,canusethisequipmentwithhithertounknownway.SSHistheSecureShellabbreviation,bythenetworkworkinggroupofIETF(NetworkWorkingGroup)formulated;SSHsecurityprotocolbasedonapplicationlayerandthetransportlayer,isareliable,providingsecurityprotocolforremoteloginsessionandothernetworkservices.CaneffectivelypreventinformationleakageproblemofremotemanagementintheprocessofusingSSHprotocol.SuitableformultiplatformSSHclient.AlmostallUNIXplatformincludingHP-UX,Linux,AIX,Solaris,Digital,UNIX,Irix,andotherplatforms,canrunSSH.SystemonthemarketsaleroutermostinstalledOpenWrtorderivedfromOpenWrt,modifiedto.Indailylife,theuserforsecurityorotherreasons,oftenneedtologinrouter,sooftenwillbeaskedtoenterapassword,willfeelthesystemisnotenoughhumanity.ThispaperisthemethodofusingSSHcodeusingthekeyontheOpenWrt,replacingthecumbersomestepsfrequentuserinputkeyonthesamemachine,savingyoutime,andmakethesystemmorehumane.Keywords:OpenWrtSSHFreePassword 目錄引言1實驗原理2系統(tǒng)環(huán)境2虛擬機軟件版本2OpenWrt版本2實驗步驟3配置虛擬機3OpenWrt安裝與配置5SSH安裝與配置8分析總結11參考文獻12引言OpenWrt項目由2004年1月開始,第一個版本是基于Linksys提供的GPL源碼及uclibc中的buildroot項目,這個版本稱為stable版,在網(wǎng)上至今仍有很多項目使用這個版本,較為有名Freifunk-Firmware和Sip@Home.到了2005年初,一些新的開發(fā)人員加入了這項目,幾個月后他們釋出了第一個版本,這和以前版本不同的是,這版本差不多完全舍棄了Linksys的GPL源碼,使用了buildroot2作為核心技術,將OpenWrt完全模塊化，OpenWrt使用Linux正式發(fā)行的核心源碼（2.4.30），加上了一些補丁和網(wǎng)絡驅動，開發(fā)隊伍更為OpenWrt添加了許多免費的工具，你可以直拉把Image寫入Flash(mtd)里面，設定無線功能和VLAN交換功能，這個版本名為WhiteRussian，而1.0版本大概于2005年底公布。由于它使用Linux作為操作系統(tǒng),并公開源碼及驅動,在網(wǎng)絡上已有很多為它而設計的開源項目,包括HyperWRT,OpenWRT,SIPPhone等等,實在是學習嵌入式Linux的入門級首選。一般嵌入式Linux的開發(fā)過程,你會發(fā)現(xiàn)無論是ARM,PowerPC或MIPS的處理器,都必需經(jīng)過以下的開發(fā)過程:1.創(chuàng)建Linux交叉編譯環(huán)境2.建立Bootloader3.移植Linux內核4.建立Rootfs(根文件系統(tǒng))5.安裝驅動程序6.安裝軟件7.調試SSH是較可靠，專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用SSH協(xié)議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統(tǒng)上的一個程序，后來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網(wǎng)絡中的漏洞?？蛻舳税瑂sh程序以及像scp(遠程拷貝)、slogin(遠程登陸)、sftp(安全文件傳輸)等其他的應用程序。SSH有很多非?？岬奶匦?，它們幫你節(jié)省的時間肯定會遠遠大于你用來配置它們的時間。實驗原理系統(tǒng)環(huán)境虛擬機軟件版本VMwareWorkstation10OpenWrt版本獲得虛擬機硬盤文件，有兩種方法：openwrt-x86-generic-combined-ext4.vmdk下載地址：/attitude_adjustment/12.09/x86/generic/其他版本下載:/，有三個版本，BarrierBreaker14.07,AttitudeAdjustment12.09，Backfire10.03.1也可以下載非虛擬機磁盤版本，需要在Linux里面自行轉換成vmdk虛擬機磁盤格式下載qemu-img，運行命令sudoapt-getinstallqemu-utils。若提示找不到包則先執(zhí)行sudoapt-getupdate，安裝完成之后執(zhí)行命令qemu-imgconvert-fraw（這里填合適的img映像文件）-Oopenwrt-x86-generic-combined-ext4.vmdk（這里是vmware的硬盤文件，文件名自己選但擴展名要是.vmdk），轉換完成后復制文件到本機（需要安裝VMWareTools或vsftpd），以供新建虛擬機時使用。實驗步驟配置虛擬機創(chuàng)建虛擬機選擇稍后安裝系統(tǒng)，客戶機操作系統(tǒng)選擇Linux->其他Linux2.6.x內核；重命名虛擬機名稱，內存選擇256M網(wǎng)絡選擇NAT形式，硬盤類型選擇IDE使用現(xiàn)有的磁盤，打開下載的openwrt-x86-generic-combined-ext4.vmdk會提示轉換磁盤格式，點擊轉換刪除不必要的硬件并增加網(wǎng)絡適配器，并配置（增加網(wǎng)絡適配器這步在局域網(wǎng)內不必要，只是為了能連上Internet）OpenWrt安裝與配置開啟虛擬機電源，進入虛擬機更改OpenWrt的密碼（注：openwrt默認開啟telnet但是沒開啟ssh，當配置了用戶名和密碼后就默認開啟ssh關閉了telnet。）查看/etc/shadow文件，可以發(fā)現(xiàn)root第五列變成99999，代表密碼為永久設置，不會自動更改查看虛擬機VMnet1的設置，默認IPv4地址為，若不對則在VMWare中修改，編輯->虛擬網(wǎng)絡編輯器->VMNet1。（注：可以更改VMnet8，虛擬機都調成dhcp自動分配ip也可以實現(xiàn)IP在同一網(wǎng)段，不過重啟后ip可能會改變，會影響登陸，不推薦）修改OpenWrt的網(wǎng)絡設置，將網(wǎng)絡改成靜態(tài)IP，橋接網(wǎng)絡，地址與VMnet1在同一網(wǎng)段，即：192.168.1.*，這里改成改完后重啟網(wǎng)絡：在另一虛擬機（這里使用debian）中同樣更改網(wǎng)絡設置如下，與OpenWrt在同一網(wǎng)段下，這里IPv4改為靜態(tài)33，改完后重啟網(wǎng)絡設置（注：嘗試過NAT模式下ping不通不同網(wǎng)段的主機，不能ping通）分別在兩個虛擬機下ping對方主機，看是否可以ping通，若不行請重啟虛擬機，重新配置，務必使之能通信在OpenWrt下pingDebian：在Debian下pingOpenWrt：SSH安裝與配置在Debian下測試ssh功能：如下圖，ssh功能正常，但是還需要輸入OpenWrt的密碼（若提示找不到ssh命令則安裝ssh包）在Debian下使用ssh-keygen-trsa命令生成公鑰提示輸入密碼時直接按Enter代表密碼為空將公鑰拷貝到OpenWrt的ssh目錄并更改文件讀寫權限命令：cat~/.ssh/id_rsa.pub|sshroot@"mkdir-p/etc/dropbear&&chmod700/etc/dropbear&&cat->/etc/dropbear/authorized_keys&&chmod644/etc/dropbear/authorized_keys"會提示輸入OpenWrt的密碼，輸入之后即可完成ssh配置（注：在OpenWrt下默認的ssh軟件為dropbear，默認的密匙存放位置為/etc/dropbear,命令中root@為Openwrt的用戶名和IP地址，拷貝文件完成之后需要改變文件的讀取權限，以便免密碼登陸時有文件的訪問權限）確認OpenWrtd的/etc/dropbear目錄下是否有公鑰文件authorized_keys。若不存在則檢查上面命令是否出錯，或者用scp ~/.ssh/id_rsa.pub root@:/etc/dropbear/命令或工具拷貝文件到此處，并修改文件名和權限在Debian中測試ssh登陸效果，如下圖，不需輸入密碼即可登錄OpenWrtssh root@OpenWrt的SSH免密碼登陸完成，可以在Debian下對OpenWrt進行一些操作，完成后可以斷開連接。分析總結關于VMnet1、VMnet8：在某些特殊的網(wǎng)絡調試環(huán)境中，要求將真實環(huán)境和虛擬環(huán)境隔離開，這時你就可采用Host-only模式。在Host-only模式中，所有的虛擬系統(tǒng)是可以相互通信的，但虛擬系統(tǒng)和真實的網(wǎng)絡是被隔離開的。虛擬系統(tǒng)的TCP/IP配置信息(如IP地址、網(wǎng)關地址、DNS服務器等)，都是由VMnet1(Host-only)虛擬網(wǎng)絡的DHCP服務器來動態(tài)分配的。如果你想利用VMware創(chuàng)建一個與網(wǎng)內其他機器相隔離的虛擬系統(tǒng)，進行某些特殊的網(wǎng)絡調試工作，可以選擇Host-only模式。在Host-Only網(wǎng)絡中，Host-Only網(wǎng)絡被用來設計成一個與外界隔絕的網(wǎng)絡，其實Host-Only網(wǎng)絡和NAT網(wǎng)絡非常相似，唯一不同的地方就是在Host-Only網(wǎng)絡中，沒有用到NAT服務，沒有服務器為VMnet1虛擬交換機做路由，就沒有辦法訪問Internet。1.橋接是最簡單的方式，一般是你有一個網(wǎng)關，你的windows主機和你VMWare里的各種unix/linux系統(tǒng)，都通過這個網(wǎng)關來通訊。2.而主機方式，是在沒有網(wǎng)絡的情況下,windows主機操作系統(tǒng)能與VMWare虛擬機上的客戶操作系統(tǒng)（VPC）正常通訊。我們從VMWare的VirtualNetworkEdit里可以看出，vnet0是用來實現(xiàn)橋接模式的，vnet1是用來實現(xiàn)主機模式的。主機和客戶機是直接通過vnet1通訊的。在主機方式下，Windows主機操作系統(tǒng)不需要配置什么了。關于OpenWrt：本人購買了一個路由器，型號為：TP-LinkTD-W8960N,在官網(wǎng)上的路由器支持列表中未找到（在未來支持機型的列表中可以找到，但是需要強制刷機，有很大的風險變磚），因此使用虛擬機的方案搭建實驗環(huán)境。關于SSH：在OpenWrt中，是使用dropbear的SSH客戶端，若需要使用特定的、功能更強大的SSH客戶端需要修改OpenWrt的源代碼，并重新編譯和部署，這里實驗時間有限，故使用自帶的客戶端。參考文獻張水平.計算機網(wǎng)絡原理.北京交通大學出版社.2006,1(1)：120-185馮銳等.SSH權威指南.中國電力出版社.2003,4（1）：177-190徐明成.計算機網(wǎng)絡原理與應用技術.電子工業(yè)出版社.2009,5,（1）：180-196王衛(wèi)亞等.計算機網(wǎng)絡：原理、應用和實現(xiàn).清華大學出版社,2007,2(1):20-50（美）理查德·史蒂文斯，（美）拉戈.UNIX環(huán)境高級編程.人民郵電出版社2006，5（1）：450-486static訪問外網(wǎng)配置不能設置NETWORK參數(shù),網(wǎng)關設置與虛擬連接方式<vmnet1(橋接)或vmnet8(NAT方式)網(wǎng)段一致>.后注：今天在按照Mitchell博客之前的CentOS網(wǎng)絡配置的文章配置Linux網(wǎng)卡之后，發(fā)現(xiàn)竟然ping不通外網(wǎng)，但是內網(wǎng)ping卻是正常的。一直很納悶，在網(wǎng)上搜索很久也沒有得到答案關于CentOS網(wǎng)絡的具體配置項，可以參考Mitchell博客之前的那篇文章?，F(xiàn)象：ping內網(wǎng)正常ping外網(wǎng)IP，域名均無法正常，返回錯誤：connect:Networkisunreachable后面在無意中看到Linux網(wǎng)絡配置有添加網(wǎng)關的命令：復制代碼代碼如下:routeadddefaultgwdeveth0按上面操作，添加了默認的網(wǎng)關之后。再次訪問外網(wǎng)