In questo diagramma vengono indicate le fasi principali della creazione di un canale Secure Shell e dell'uso dello stesso per trasmettere i dati in maniera protetta.
Creazione di una connessione protetta.
La negoziazione tra client e server consente di stabilire una chiave e un codice segreto condivisi da utilizzare per la crittografia della sessione e un valore hash da utilizzare per la verifica dell'integrità dei dati.
Autenticazione del server.
L'autenticazione del server consente al client di accertare l'identità del server. Il server ha una sola possibilità di autenticazione del client durante la procedura di autenticazione. Se l'autenticazione non viene superata, la connessione non viene effettuata.
Autenticazione del client.
L'autenticazione del client consente al server di accertare l'identità dell'utente client. Per impostazione predefinita, il client può disporre di più tentativi di autenticazione. La negoziazione tra il server e il client consente di concordare uno o più metodi di autenticazione.
Invio dei dati attraverso la sessione crittografata.
Stabilita la sessione crittografata, tutti i dati scambiati tra il server e il client Secure Shell vengono crittografati. Gli utenti possono ora eseguire l'accesso remoto protetto al server e possono eseguire comandi e trasferire file in maniera protetta attraverso il canale protetto.
Uso dell'inoltro porta per proteggere le comunicazioni tra altri client e server.
L'inoltro porta, noto anche come tunneling, rappresenta un modo di reindirizzare le comunicazioni attraverso il canale Secure Shell di una sessione attiva. Quando è configurato l'inoltro porta , tutti i dati inviati a una porta specificata vengono reindirizzati attraverso il canale protetto.