一、ssh2协议
    在ssh1中，由单个协议提供密钥交换、身份认证与加密的功能，而ssh2内部由3个协议组合一起，为其提供这些功能。这3个协议:
    传输层协议
    认证协议
    连接协议
传输层协议
主要提供密钥交换与服务器端认证功能
认证协议
主要是提供客户端认证功能，而客户端认证主要有基于口令认证和基于密钥认证
连接协议
主要提供远程执行命令功能
二、工作流程
1，服务器端开启ssh服务，在端口22监听客户端请求

2，客户端发出请求，如果是第一次与服务器建立连接，服务器端会向客户端发送一个rsa key

而此rsa key会被记录到服务器端的~/.ssh/known_hosts中，下次远程登录服务器就不会出现以上的提示信息

 
3，客户端接收到服务器端发送过来的rsa key后，就会采用与服务器端协商好的加密算法，生成会话密钥(此会话密钥用于加密客户端与服务器端之间的会话)，并用rsa key加密会话密钥，并发送给服务器端。

4，服务器端就用对应的私钥解密已加密的会话密钥，然后用此会话密钥加密确认信息，发送给客户端。客户端用会话密钥解密加密的确认信息，到此，密钥交换成功和服务器认证成功

5，接下来就是客户端的认证，客户端认证有两种方法:

 基于口令认证:客户端发送用会话密钥加密的远程登入的用户名与密码，服务器接收到，用会话密钥解密，并验证用户名与密码的正确性。

基于密钥认证:口令认证容易受“中间人”攻击，而密钥认证安全性较好，用户名与密码不用在网上传输，被人破解。客户端生成一对密钥，此密钥只用于客户端的认证，然后将公钥内容上传到服务器端~/.ssh/authorized_hosts文件中。客户端发出密钥认证请求，服务器端就会用客户端的公钥加密一段数据，发送给客户端，客户端用对应的私钥解密，然后将数据与会话密钥进行散列运算，生成摘要，发送给服务器端，服务器端就会用原始数据和会话密钥，生成摘要，并对比两个摘要是否一致，若一致，则客户端认证成功
6，连接成功后，就可以远程登入主机，执行远程命令控制

三、基于密钥认证实例
1.客户端生成一对密钥

2.将公钥上传到服务器端，这里有两种方法上传
一种使用ssh-keygen命令:

查看服务器端的~/.ssh/authorized_hosts文件

 

另一种方法，在客户端使用scp(基于ssh协议的文件复制工具)

在服务器端的操作，查看是否成功收到客户端公钥

然后将公钥文件内容导入~/.ssh/authorized_hosts文件中，如果~/.ssh/authorized_hosts(权限为600)文件不存在，就创建

3.测试

 

建议:客户端认证最好用基于密钥认证，禁止客户端使用root身份登入主机，可以修改配置参数