服務器認證在傳輸層進行,是根據服務器持有一個公私密鑰對的原理。一台服務器可能會有多個主機密鑰,用於多個不同的非對稱加密算法。而多個主機又可能共享同一個主機密鑰。在任何情況下,服務器的主機密鑰都是在密鑰交換階段用來認證主機身份的。為了其可行性,客戶端必須有服務器主機公鑰的先驗信息。

 (1)在客戶端擁有一個本地的數據庫將每一個主機名(由用戶輸入的)與對應的主機公鑰聯繫起來。該方法不需要集中的管理設施或第三方協助。底側是用戶名和密鑰對的數據庫,其維護負擔比較大。

(2)主機的用戶名和密鑰對的認證過程是由可信認證中心(CA)進行的。客戶端只知道CA的根密鑰並只能驗證由CA認證的所有的主機密鑰的合法性。這種可選擇性降低了維護的難度,因為理論上只要在客戶端安全地存儲一個CA密鑰。另一方面,在認證成為可能之前每一個主機密鑰必須由認證中心進行驗證。

服務器認證認證方法

服務器可能會要求使用若干如下的認證方法:

公開密鑰:該方法的細節取決於採用的公鑰密碼算法。基本上是客戶端給服務器發送一個消息,其中包含了客戶端的公鑰,並用客戶端的私鑰簽名該消息。當服務器接收到該消息就驗證消息中给予的密鑰是否能進行認證,如果可以就驗證簽名是否正確。

口令密碼:客戶端發送一個消息,其中包含了明文形式的口令密碼,而其又在傳輸層協議中被加密。

基於主機:認證在客戶端的主機上進行而不是客戶端本身。因此,一個支持多客戶端的主機可以给予該主機上所有客戶端的認證。該方法中客戶端發送一個由其所在的主機的私鑰簽名的消息。因此,SSH服務器並不是直接驗證用戶的身份,而是認證了客戶端主機的身份並且當主機聲稱在客戶機一方以及驗證了該用戶時,服務器就認為已經驗證了用戶。