SSH是远程登录和传输数据的主力协议。传统SSH使用Open SSH工具包完成密钥管理与加密通信，但背后的加密机制则依赖于OpenSSL 这一强大的密码学库。对于有更高安全定制需求的开发者而言，理解并亲自用Open SSL实现SSH的核心安全机制，不仅有助于精细控制加密过程，也为自定义认证逻辑、嵌入式平台开发、安全协议教学等提供技术路径。

虽然市面上已有成熟的Open SSH工具，但在嵌入式平台开发不能安装完整SSH服务、对密钥格式、握手流程进行定制、对传输通道进行额外加密或签名处理、对传输通道进行额外加密或签名处理等场景时使用Open SSL构建SSH安全机制显得更加必要。Open SSL提供丰富的加解密算法、密钥生成与证书管理能力，是实现SSH安全组件的底层支柱。

一、SSH 安全机制主要包括三大环节：

密钥交换：使用非对称加密生成共享会话密钥;

认证机制：客户端用私钥签名，服务器验证身份;

数据加密：使用对称算法对传输数据加密(如AES)。

我们将用OpenSSL完整地实现密钥生成、身份认证和数据加密三个步骤。

二、生成 SSH 非对称密钥对

1. 使用OpenSSL生成RSA密钥对

# 生成私钥
openssl genpkey -algorithm RSA -out client_private.pem -pkeyopt rsa_keygen_bits:2048

# 提取公钥
openssl rsa -in client_private.pem -pubout -out client_public.pem

这两步生成的密钥可以用于身份认证，也可用于初始加密握手。服务器也可使用类似命令生成自己的密钥对。

2. 可选：转换为 OpenSSH 可识别格式

若希望与 OpenSSH 工具兼容，可做如下转换：

# 提取 OpenSSH 格式公钥
ssh-keygen -f client_private.pem -y > client_public.ssh

三、构建服务器侧认证机制(验证客户端身份)

在 SSH 中，客户端登录服务器时需要用私钥进行签名，而服务器使用对应的公钥验证。我们用 OpenSSL 模拟这个过程。

1. 客户端使用私钥签名

echo "login_request" > message.txt

# 使用私钥签名
openssl dgst -sha256 -sign client_private.pem -out message.sig message.txt

2. 服务器使用公钥验证签名

openssl dgst -sha256 -verify client_public.pem -signature message.sig message.txt

若输出为 Verified OK，说明客户端身份有效。这就是 SSH 的身份认证核心机制。

四、建立共享加密通道(生成对称密钥)

完成身份认证后，SSH 会协商一个会话密钥，用于对称加密通信内容。我们可以用 RSA 模拟该过程。

1. 客户端生成 AES 密钥并用服务器公钥加密

# 随机生成对称密钥
openssl rand -out session.key 32  # 256位密钥

# 假设服务器公钥为 server_public.pem
openssl rsautl -encrypt -inkey server_public.pem -pubin -in session.key -out session.key.enc

2. 服务器用私钥解密

openssl rsautl -decrypt -inkey server_private.pem -in session.key.enc -out session.key

到此，客户端和服务器已拥有相同的对称密钥 session.key，可用于后续数据加解密。

五、实现加密传输通信

1. 客户端使用 AES 加密数据

# 用AES加密数据
openssl enc -aes-256-cbc -salt -in secret.txt -out secret.txt.enc -pass file:./session.key

2. 服务器使用 AES 解密数据

openssl enc -d -aes-256-cbc -in secret.txt.enc -out secret_decrypted.txt -pass file:./session.key

通过这种方式，即便传输内容被中间人捕获，也无法读取解密内容。

六、安全加固建议

为确保基于 OpenSSL 的 SSH 实现具备生产级安全性，建议：

• 使用 4096 位以上的 RSA 密钥;
• 使用 ECC(椭圆曲线)替代 RSA 以提升效率;
• 对 session.key 设置访问权限，仅限当前用户可读;
• 传输通道中加入 TLS 认证封装;
• 添加双向身份验证机制;
• 定期更新公钥与私钥，防止滥用。

虽然OpenSS 是大多数人首选的 SSH 工具，但通过 OpenSSL 实现 SSH 的加密认证机制，不仅有助于理解其原理，也为复杂系统的安全通信提供了底层能力支持。本文从密钥生成、身份认证、对称加密、数据传输四个环节系统讲解如何手动构建一个安全SSH连接，旨在帮助读者掌握OpenSSL的强大潜力，打造更灵活、安全、自定义的网络通信方案。