dtls證書

『壹』 最近有沒有全國性的兒童繪畫比賽

www.ccnetw.com (網頁速度打開較慢，請耐心等待）少年兒童是祖國的未來，黨和政府高度重視少年兒童的健康成長。為慶祝新中國兒童節的60大慶, 以弘揚中華民族優秀文化為己任的中國書畫家聯誼會、中國國際書畫研究院與北京大唐龍翔國際文化有限公司等單位特聯合舉辦「慶祝新中國兒童節60周年暨2010』首屆全國國際兒童節書畫大展」。該活動，旨在發掘與培養少年兒童書法繪畫藝術優秀人才，陶冶青少年的藝術情操，提高素養，更好地為弘揚中華民族優秀文化做出貢獻。
一、徵稿范圍
年齡在18歲（含）以下的少年兒童書畫愛好者均可參加。
二、徵稿項目
毛筆書法、硬筆書法、繪畫（含國畫、油畫、水彩畫、彩筆畫、蠟筆畫、版畫、速寫、素描等）。
三、徵稿要求
1、作品須由少年兒童獨立創作，作品要求內容新穎、健康、積極向上；國畫、水彩畫、彩筆畫、蠟筆畫、速寫、素描以及書法作品一律原作投稿，油畫、版畫可用拍攝清晰的7-10寸作品照片投稿。
2、每人可參加多項投稿，但每項限投1至2幅作品。
3、國畫作品每幅不小於四尺對開，最大不超過六尺。
4、水彩畫、彩筆畫、蠟筆畫、速寫、素描作品規格不限。
5、書法作品每幅不小於小三尺，最大不超過八尺，草書、篆書要附釋文。
6、硬筆書法一律用16開紙書寫，草書、篆書要附釋文。
7、幼兒組投稿作品規格不限。
8、投稿者須認真填寫報名表，將表貼於作品背面右下角。同時接受個人報名和集體報名，集體報名以學校和青少年校外教育機構為單位填寫團體投稿清單。（《報名表》、《（團體）作品清單》從賽事官方網www.ccnetw.com下載）
9、來稿不收參展費，一律不退稿，作品的所有權、出版權、展覽權歸舉辦單位所有。凡投稿者，即視為確認、遵守本徵稿通知的各項規定。
四、評審及獎項設置
評委會由全國著名書畫家及社會名流組成，負責參賽作品的評審工作。
1、本次活動分少年組（13-18歲）、少兒組（7-12歲）、幼兒組（3-6歲）三個組別，分別評選金獎、銀獎、銅獎及優秀作品獎，入選作品參加展覽並頒發獲獎證書。
2、本次活動評選60名「全國優秀少年兒童書畫希望之星」，並頒發資格證書。
3、獲獎者可優先申請加入中國書畫家聯誼會青少部。
4、獲獎作品將集結出版《全國國際兒童節書畫大展優秀作品集》，面向國內外公開發行。
5、為獎勵參與本活動的廣大輔導教師、學校及校外青少年教育機構，組委會決定分別設優秀輔導教師獎、優秀組織獎、特別貢獻獎。
五、時間地點
1、徵稿日期：自即日起至2010年4月30日止（以郵戳為准）。
2、投稿地址：北京市西城區100045-14信箱 唐宏（收） 郵編：100045
3、電話：010-51951253 傳真：010-51951253
4、網址：www.ccnetw.com 郵箱：[email protected]
六、投稿須知
凡組織10人以上參賽的團體參賽單位，請組織老師統一列表、統一投搞。集體參賽指導老師享有初評推薦權，請根據每位作者平時水平、獲獎情況，提出推薦意見，供評委會參考。

『貳』 懇求外貿英語翻譯高手，幫我翻譯一篇外貿英語郵件，急用！多謝謝謝謝！！！

PANAMAX BC "PANSOFIA"(76000DWT,BLT 2001 KANASASHI)
-
超巴拿馬 BC型船，PANSOFIA號，7萬6千總噸。01年造 這是個日本城市名。

AFTER OUR PECENT SALE OF 2001`NAMURA BLT PMAX BC =PANAXIA=FROM OUR
DIRECT/CLOSE OWNERS,WE CAN DO A RELATIVELY "OFF MARKT"
QUICK DEAL ON
BELOW UNIT FROM SAME OWNERS FRIENDS.
在我們近期為我們直接船東出售的01年建造的超巴拿馬 BC型船後，我們可以適當的調整價格，以促進以下物件的出售。

THE SHIP IS DUE TO ARRIVE IN DALRYMPLE/AUSTRALIT WHERE
TODAY BUT DUE
TO CONGESTION SHE WILL BERTH ON ARND 3-4 MARCH.THIS GIVES PLENTY OF
TIME FOR POSSIBLE INSPECTIONS ON FOLLOWING TERMS:3 MONTH CERTS,
NORMAL DICERS INSPN,DLY CARGOFREE AT NEXT LOAD/DICH PORT.
此船原計劃今天抵達澳大利亞的DALRYMPLE港，但由於港口擁擠，船將於3-4號靠泊，給予充分的時間進行以下檢查：
1，3月證書
2，常規的直接檢查
3，下一港的直接請關

DLY INCL BALANCE OF TC END MARCH AT RICHARDS BAY WHERE SHE WILL DISCH.

A QUICK DEAL AT USD 47MILL IS ACHIEVABLE,HOLDING FULL TERMS IN HANDS
AND FULLEST DTLS OF THE VSL.

SALE TO INCL BALANCE OF TC TO CARGIL AT USD 22000 PER DAY LESS 4.75PCT
快速成交價，4700萬美圓是可以完成的，我們有完整的條款和詳細的船況資料。出售給**以每天2萬2千美金計價，並少於4。75PCT

THE SHIP IS DUE TO ARRIVE IN DALRYMPLE/AUSTRALIA WHERE TODAY BUT DUE

DUE TO：是由於的意思
BE DUE TO ARRIVE：預計到達。

有任何關於外貿，航運方面問題，歡迎詢問！

『叄』 如何使用openssl命令行查看配置支持的協議

用途：
s_client為一個SSL/TLS客戶端程序，與s_server對應，它不僅能與s_server進行通信，也能與任何使用ssl協議的其他服務程序進行通信。
用法：
[cpp] view plain
openssl s_client [-host host] [-port port] [-connect host:port] [-verify depth] [-cert filename]
[-certform DER|PEM] [-key filename] [-keyform DER|PEM] [-pass arg] [-CApath directory] [-CAfile filename]
[-reconnect][-pause] [-showcerts] [-debug] [-msg] [-state] [-nbio_test] [-nbio][-crlf] [-ign_eof] [-no_ign_eof]
[-quiet] [-ssl2] [-ssl3] [-tls1_1] [-tls1_2] [-tls1] [-dtls1] [-no_ssl2][-no_ssl3] [-no_tls1] [-no_tls1_1]
[-no_tls1_2] [-bugs] [-cipher cipherlist] [-starttls protocol] [-engine id] [-tlsextdebug] [-no_ticket]
[-sess_out filename] [-sess_in filename] [-rand file(s)]
選項說明：
-host host：設置服務地址。
-port port：設置服務埠，默認為4433。
-connect host:port：設置伺服器地址和埠號。如果沒有設置，則默認為本地主機以及埠號4433。
-verify depth：設置證書的驗證深度。記得CA也是分層次的吧？如果對方的證書的簽名CA不是Root CA,那麼你可以再去驗證給該CA的證書簽名的CA，一直到Root CA. 目前的驗證操作即使這條CA鏈上的某一個證書驗證有問題也不會影響對更深層的CA的身份的驗證。所以整個CA鏈上的問題都可以檢查出來。當然CA的驗證出問題並不會直接造成連接馬上斷開，好的應用程序可以讓你根據驗證結果決定下一步怎麼走。
-cert filename：使用的證書文件。如果server不要求要證書，這個可以省略。
-certform DER|PEM：證書的格式，一般為DER和PEM。默認為PEM格式。
-key filename：使用的證書私鑰文件。
-keyform DER|PEM：證書私鑰文件的格式，一般為DER和PEM。默認為PEM格式。
-pass arg：私鑰保護口令來源，比如：-pass file:pwd.txt，將私鑰保護口令存放在一個文件中，通過此選項來指定，不需要用戶來輸入口令。
-CApath directory：設置信任CA文件所在路徑，此路徑中的ca文件名採用特殊的形式：xxx.0，其中xxx為CA證書持有者的哈希值，它通過x509 -hash命令獲得。
-CAfile filename：某文件，裡面是所有你信任的CA的證書的內容。當你要建立client的證書鏈的時候也需要用到這個文件。
-reconnect：使用同樣的session-id連接同一個server五次，用來測試server的session緩沖功能是否有問題。
-pause：每當讀寫數據時，sleep 1秒。
-showcerts：顯示整條server的證書的CA的證書鏈。否則只顯示server的證書。
-debug：列印所有的調試信息。
-msg：用16進制顯示所有的協議數據。
-state：列印SSL session的狀態， ssl也是一個協議，當然有狀態。
-nbio_test：檢查非阻塞socket的I/O運行情況。
-nbio：使用非阻塞socket。
-crlf：把在終端輸入的換行回車轉化成/r/n送出去。
-ign_eof：當輸入文件到達文件尾的時候並不斷開連接。
-no_ign_eof：當輸入文件到達文件尾的時候斷開連接。
-quiet：不列印出session和證書的信息。同時會打開-ign_eof這個選項。
-ssl2、-ssl3、-tls1_1、-tls1_2、-tls1、-dtls1、-no_ssl2、-no_ssl3、-no_tls1、-no_tls1_1、-no_tls1_2：使用的協議狀態值。
-bugs：兼容老版本服務端的中的bug。
-cipher cipherlist：由我們自己來決定選用什麼加密演算法，盡管是由server來決定使用什麼演算法列表，但它一般都會採用我們送過去的cipher列表裡的第一個cipher。
-starttls protocol：protocol可以為smtp或pop3，用於郵件安全傳輸。
-engine id：硬體引擎。
-tlsextdebug：列印TLS協議中伺服器端接收到的額外信息值。
-no_ticket：不支持RFC4507bis會話類型。
-sess_out filename：輸出SSL會話信息值到filename中。
-sess_in filename：從filename中獲取SSL Session值。
-rand file(s)：指定隨機數種子文件，多個文件間用分隔符分開，windows用「;」，OpenVMS用「,「，其他系統用「：」。
連接選項：
如果一個確認的連接到SSL伺服器，並顯示了從伺服器端接收到了的數據，任何操作都被發送到伺服器。當交互（這意味著沒有給出B<-quiet> 、B<-ign_eof>這兩個選項）的時候，如果命令行B<R>,被設置則session有可能會被重啟。如果設置的是命令行B<Q>或到達了文件的結尾，連接將會被斷開。
注意：
S_client可用於調試SSL伺服器端。為了連接一個SSL HTTP伺服器，命令如下：
openssl s_client -connect servername:443
一旦和某個SSL server建立連接之後，所有從server得到的數據都會被列印出來，所有你在終端上輸入的東西也會被送給server. 這是人機互動式的。這時候不能設置-quiet和 -ign_eof這倆個選項。如果輸入的某行開頭字母是R，那麼在這里session會重啟, 如果輸入的某行開頭是Q，那麼連接會被斷開。你完成整個輸入之後連接也會被斷開。
如果連接成功，你可以用HTTP的指令，比如"GET /"什麼的去獲得網頁了。
如果握手失敗，原因可能有以下幾種：
1. server需要驗證你的證書，但你沒有證書。
2. 如果肯定不是原因1，那麼就慢慢一個一個set以下幾個選項：-bugs， -ssl2， -ssl3， -tls1，-no_ssl2，-no_ssl3， -no_dtls。
3. 這可能是因為對方的server處理SSL有bug。
有的時候，client會報錯：沒有證書可以使用，或者供選擇的證書列表是空的。這一般是因為Server沒有把給你簽名的CA的名字列進它自己認為可以信任的CA列表，你可以用檢查一下server的信任CA列表。有的http server只在 client給出了一個URL之後才驗證client的證書，這中情況下要設置 -prexit這個選項，並且送給server一個頁面請求。
即使使用-cert指明使用的證書，如果server不要求驗證client的證書，那麼該證書也不會被驗證。所以不要以為在命令行里加了-cert 的參數又連接成功就代表你的證書沒有問題。
如果驗證server的證書有問題，就可以設置-showcerts來看看server的證書的CA鏈了。
自從SSLv23客戶端hello不能夠包含壓縮方法或擴展僅僅會被支持。
BUGs：
因為該項目有很多選項，好多用的是老的技術，c代碼的s_client很難去讀取為什麼會被關閉。一個典型的SSL客戶端項目將會更加簡單的。
如果伺服器驗證失敗，B<-verify>將會退出。
B<-prexit>選項是一個很小的空間。當一個session重啟後，我們必須報告。

『肆』 如何基於dtls和pre-shared key實現相互認證

shared key是一種認證方式，其實應該叫shared key authentication（SKA）。pre-shared key是預共享密碼，就是密碼。

『伍』 DTLS的設計概述

DTLS的目標應用主要是C/S及其變體。這也是TLS的設計目標並且已很好工作。展示的安全模型中，server通過DNS名稱和IP地址被認證，Client是匿名的或者被其他形式認證，典型的是在應用層通過用戶名/密碼來處理。
這個實現並不真正安全。然而，應用程序的設計者們，向在添加安全性的時候盡量能夠維護他們的協議和實現架構。這個實現製造了一個類似於TLS或IPsec的有吸引力的信道安全協議，因為改動之非常小。從這個觀點看來，理想的數據報信道安全協議應該取代對Server的DNS和基於IP認證的 強加密認證，而是把client認證留給應用層協議。

『陸』 java 中 bcprov包 有什麼作用

用於Java 的Bouncy Castle Crypto API包含以下內容：
輕量級加密API。
Java加密擴展（JCE）和Java加密體系結構（JCA）的提供者。
Java安全套接字擴展（JSSE）的提供者。
JCE 1.2.1的潔凈室實施。
用於讀取和編寫編碼的ASN.1對象的庫。
TLS（RFC 2246，RFC 4346）和DTLS（RFC 6347 / RFC 4347）的輕量級API。
版本1和版本3 X.509證書，版本2 CRL和PKCS12文件的生成器。
版本2 X.509屬性證書的生成器。
用於S / MIME和CMS的生成器/處理器（PKCS7 / RFC 3852）。
用於OCSP的發生器/處理器（RFC 2560）。
TSP的生成器/處理器（RFC 3161＆RFC 5544）。
CMP和CRMF的生成器/處理器（RFC 4210和RFC 4211）。
用於OpenPGP的生成器/處理器（RFC 4880）。
發生器/處理器用於擴展訪問控制（EAC）。
用於數據驗證和認證伺服器（DVCS）的生成器/處理器 - RFC 3029。
用於基於DNS的命名實體身份驗證（DANE）的生成器/處理器。
RFC 7030通過安全傳輸注冊的發生器/處理器（EST）。
簽名的jar版本適用於JDK 1.4-1.8和Sun JCE。

『柒』 常見的幾種SSL/TLS漏洞及攻擊方式

SSL/TLS漏洞目前還是比較普遍的，首先關閉協議：SSL2、SSL3（比較老的SSL協議）配置完成ATS安全標准就可以避免以下的攻擊了，最新的伺服器環境都不會有一下問題，當然這種漏洞都是自己部署證書沒有配置好導致的。

Export 加密演算法

Export是一種老舊的弱加密演算法，是被美國法律標示為可出口的加密演算法，其限制對稱加密最大強度位數為40位，限制密鑰交換強度為最大512位。這是一個現今被強制丟棄的演算法。

Downgrade（降級攻擊）

降級攻擊是一種對計算機系統或者通信協議的攻擊，在降級攻擊中，攻擊者故意使系統放棄新式、安全性高的工作方式，反而使用為向下兼容而准備的老式、安全性差的工作方式，降級攻擊常被用於中間人攻擊，講加密的通信協議安全性大幅削弱，得以進行原本不可能做到的攻擊。 在現代的回退防禦中，使用單獨的信號套件來指示自願降級行為，需要理解該信號並支持更高協議版本的伺服器來終止協商，該套件是TLS_FALLBACK_SCSV(0x5600)

MITM（中間人攻擊）

MITM(Man-in-the-MiddleAttack) ，是指攻擊者與通訊的兩端分別創建獨立的聯系，並交換其所有收到的數據，使通訊的兩端認為他們正在通過一個私密的連接與對方直接對話，但事實上整個對話都被攻擊者完全控制，在中間人攻擊中，攻擊者可以攔截通訊雙方的通話並插入新的內容。一個中間人攻擊能成功的前提條件是攻擊者能夠將自己偽裝成每個參與會話的終端，並且不被其他終端識破。

BEAST（野獸攻擊）

BEAST(CVE-2011-3389) BEAST是一種明文攻擊，通過從SSL/TLS加密的會話中獲取受害者的COOKIE值（通過進行一次會話劫持攻擊），進而篡改一個加密演算法的 CBC（密碼塊鏈）的模式以實現攻擊目錄，其主要針對TLS1.0和更早版本的協議中的對稱加密演算法CBC模式。

RC4 加密演算法

由於早期的BEAST野獸攻擊而採用的加密演算法，RC4演算法能減輕野獸攻擊的危害，後來隨著客戶端版本升級，有了客戶端緩解方案（Chrome 和 Firefox 提供了緩解方案），野獸攻擊就不是什麼大問題了。同樣這是一個現今被強制丟棄的演算法。

CRIME（罪惡攻擊）

CRIME(CVE-2012-4929)，全稱Compression Ratio Info-leak Made Easy，這是一種因SSL壓縮造成的安全隱患，通過它可竊取啟用數據壓縮特性的HTTPS或SPDY協議傳輸的私密Web Cookie。在成功讀取身份驗證Cookie後，攻擊者可以實行會話劫持和發動進一步攻擊。

SSL 壓縮在下述版本是默認關閉的： nginx 1.1.6及更高/1.0.9及更高（如果使用了 OpenSSL 1.0.0及更高）， nginx 1.3.2及更高/1.2.2及更高（如果使用較舊版本的 OpenSSL）。

如果你使用一個早期版本的 nginx 或 OpenSSL，而且你的發行版沒有向後移植該選項，那麼你需要重新編譯沒有一個 ZLIB 支持的 OpenSSL。這會禁止 OpenSSL 使用 DEFLATE 壓縮方式。如果你禁用了這個，你仍然可以使用常規的 HTML DEFLATE 壓縮。

Heartbleed（心血漏洞）

Heartbleed(CVE-2014-0160) 是一個於2014年4月公布的 OpenSSL 加密庫的漏洞，它是一個被廣泛使用的傳輸層安全（TLS）協議的實現。無論是伺服器端還是客戶端在 TLS 中使用了有缺陷的 OpenSSL，都可以被利用該缺陷。由於它是因 DTLS 心跳擴展（RFC 6520）中的輸入驗證不正確（缺少了邊界檢查）而導致的，所以該漏洞根據「心跳」而命名。這個漏洞是一種緩存區超讀漏洞，它可以讀取到本不應該讀取的數據。如果使用帶缺陷的Openssl版本，無論是伺服器還是客戶端，都可能因此受到攻擊。

POODLE漏洞（捲毛狗攻擊）

2014年10月14號由Google發現的POODLE漏洞，全稱是Padding Oracle On Downloaded Legacy Encryption vulnerability，又被稱為「貴賓犬攻擊」（CVE-2014-3566），POODLE漏洞只對CBC模式的明文進行了身份驗證，但是沒有對填充位元組進行完整性驗證，攻擊者竊取採用SSL3.0版加密通信過程中的內容，對填充位元組修改並且利用預置填充來恢復加密內容，以達到攻擊目的。

TLS POODLE（TLS捲毛狗攻擊）

TLS POODLE(CVE-2014-8730) 該漏洞的原理和POODLE漏洞的原理一致，但不是SSL3協議。由於TLS填充是SSLv3的一個子集，因此可以重新使用針對TLS的POODLE攻擊。TLS對於它的填充格式是非常嚴格的，但是一些TLS實現在解密之後不執行填充結構的檢查。即使使用TLS也不會容易受到POODLE攻擊的影響。

CCS

CCS(CVE-2014-0224) 全稱openssl MITM CCS injection attack，Openssl 0.9.8za之前的版本、1.0.0m之前的以及1.0.1h之前的openssl沒有適當的限制ChangeCipherSpec信息的處理，這允許中間人攻擊者在通信之間使用0長度的主密鑰。

FREAK

FREAK(CVE-2015-0204) 客戶端會在一個全安全強度的RSA握手過程中接受使用弱安全強度的出口RSA密鑰，其中關鍵在於客戶端並沒有允許協商任何出口級別的RSA密碼套件。

Logjam

Logjam(CVE-2015-4000) 使用 Diffie-Hellman 密鑰交換協議的 TLS 連接很容易受到攻擊，尤其是DH密鑰中的公鑰強度小於1024bits。中間人攻擊者可將有漏洞的 TLS 連接降級至使用 512 位元組導出級加密。這種攻擊會影響支持 DHE_EXPORT 密碼的所有伺服器。這個攻擊可通過為兩組弱 Diffie-Hellman 參數預先計算 512 位元組質數完成，特別是 Apache 的 httpd 版本 2.1.5 到 2.4.7，以及 OpenSSL 的所有版本。

DROWN（溺水攻擊/溺亡攻擊）

2016年3月發現的針對TLS的新漏洞攻擊——DROWN（Decrypting RSA with Obsolete and Weakened eNcryption，CVE-2016-0800），也即利用過時的、弱化的一種RSA加密演算法來解密破解TLS協議中被該演算法加密的會話密鑰。 具體說來，DROWN漏洞可以利用過時的SSLv2協議來解密與之共享相同RSA私鑰的TLS協議所保護的流量。 DROWN攻擊依賴於SSLv2協議的設計缺陷以及知名的Bleichenbacher攻擊。

通常檢查以下兩點伺服器的配置

• 伺服器允許SSL2連接，需要將其關閉。

• 私鑰同時用於允許SSL2連接的其他伺服器。例如，Web伺服器和郵件伺服器上使用相同的私鑰和證書，如果郵件伺服器支持SSL2，即使web伺服器不支持SSL2，攻擊者可以利用郵件伺服器來破壞與web伺服器的TLS連接。

Openssl Padding Oracle

Openssl Padding Oracle(CVE-2016-2107) openssl 1.0.1t到openssl 1.0.2h之前沒有考慮某些填充檢查期間的內存分配，這允許遠程攻擊者通過針對AES CBC會話的padding-oracle攻擊來獲取敏感的明文信息。

強制丟棄的演算法

• aNULL 包含了非驗證的 Diffie-Hellman 密鑰交換，這會受到中間人（MITM）攻擊

• eNULL 包含了無加密的演算法（明文）

• EXPORT 是老舊的弱加密演算法，是被美國法律標示為可出口的

• RC4 包含的加密演算法使用了已棄用的 ARCFOUR 演算法

• DES 包含的加密演算法使用了棄用的數據加密標准（DES）

• SSLv2 包含了定義在舊版本 SSL 標准中的所有演算法，現已棄用

• MD5 包含了使用已棄用的 MD5 作為哈希演算法的所有演算法