dtls证书

『壹』 最近有没有全国性的儿童绘画比赛

www.ccnetw.com (网页速度打开较慢，请耐心等待）少年儿童是祖国的未来，党和政府高度重视少年儿童的健康成长。为庆祝新中国儿童节的60大庆, 以弘扬中华民族优秀文化为己任的中国书画家联谊会、中国国际书画研究院与北京大唐龙翔国际文化有限公司等单位特联合举办“庆祝新中国儿童节60周年暨2010’首届全国国际儿童节书画大展”。该活动，旨在发掘与培养少年儿童书法绘画艺术优秀人才，陶冶青少年的艺术情操，提高素养，更好地为弘扬中华民族优秀文化做出贡献。
一、征稿范围
年龄在18岁（含）以下的少年儿童书画爱好者均可参加。
二、征稿项目
毛笔书法、硬笔书法、绘画（含国画、油画、水彩画、彩笔画、蜡笔画、版画、速写、素描等）。
三、征稿要求
1、作品须由少年儿童独立创作，作品要求内容新颖、健康、积极向上；国画、水彩画、彩笔画、蜡笔画、速写、素描以及书法作品一律原作投稿，油画、版画可用拍摄清晰的7-10寸作品照片投稿。
2、每人可参加多项投稿，但每项限投1至2幅作品。
3、国画作品每幅不小于四尺对开，最大不超过六尺。
4、水彩画、彩笔画、蜡笔画、速写、素描作品规格不限。
5、书法作品每幅不小于小三尺，最大不超过八尺，草书、篆书要附释文。
6、硬笔书法一律用16开纸书写，草书、篆书要附释文。
7、幼儿组投稿作品规格不限。
8、投稿者须认真填写报名表，将表贴于作品背面右下角。同时接受个人报名和集体报名，集体报名以学校和青少年校外教育机构为单位填写团体投稿清单。（《报名表》、《（团体）作品清单》从赛事官方网www.ccnetw.com下载）
9、来稿不收参展费，一律不退稿，作品的所有权、出版权、展览权归举办单位所有。凡投稿者，即视为确认、遵守本征稿通知的各项规定。
四、评审及奖项设置
评委会由全国著名书画家及社会名流组成，负责参赛作品的评审工作。
1、本次活动分少年组（13-18岁）、少儿组（7-12岁）、幼儿组（3-6岁）三个组别，分别评选金奖、银奖、铜奖及优秀作品奖，入选作品参加展览并颁发获奖证书。
2、本次活动评选60名“全国优秀少年儿童书画希望之星”，并颁发资格证书。
3、获奖者可优先申请加入中国书画家联谊会青少部。
4、获奖作品将集结出版《全国国际儿童节书画大展优秀作品集》，面向国内外公开发行。
5、为奖励参与本活动的广大辅导教师、学校及校外青少年教育机构，组委会决定分别设优秀辅导教师奖、优秀组织奖、特别贡献奖。
五、时间地点
1、征稿日期：自即日起至2010年4月30日止（以邮戳为准）。
2、投稿地址：北京市西城区100045-14信箱 唐宏（收） 邮编：100045
3、电话：010-51951253 传真：010-51951253
4、网址：www.ccnetw.com 邮箱：[email protected]
六、投稿须知
凡组织10人以上参赛的团体参赛单位，请组织老师统一列表、统一投搞。集体参赛指导老师享有初评推荐权，请根据每位作者平时水平、获奖情况，提出推荐意见，供评委会参考。

『贰』 恳求外贸英语翻译高手，帮我翻译一篇外贸英语邮件，急用！多谢谢谢谢！！！

PANAMAX BC "PANSOFIA"(76000DWT,BLT 2001 KANASASHI)
-
超巴拿马 BC型船，PANSOFIA号，7万6千总吨。01年造 这是个日本城市名。

AFTER OUR PECENT SALE OF 2001`NAMURA BLT PMAX BC =PANAXIA=FROM OUR
DIRECT/CLOSE OWNERS,WE CAN DO A RELATIVELY "OFF MARKT"
QUICK DEAL ON
BELOW UNIT FROM SAME OWNERS FRIENDS.
在我们近期为我们直接船东出售的01年建造的超巴拿马 BC型船后，我们可以适当的调整价格，以促进以下物件的出售。

THE SHIP IS DUE TO ARRIVE IN DALRYMPLE/AUSTRALIT WHERE
TODAY BUT DUE
TO CONGESTION SHE WILL BERTH ON ARND 3-4 MARCH.THIS GIVES PLENTY OF
TIME FOR POSSIBLE INSPECTIONS ON FOLLOWING TERMS:3 MONTH CERTS,
NORMAL DICERS INSPN,DLY CARGOFREE AT NEXT LOAD/DICH PORT.
此船原计划今天抵达澳大利亚的DALRYMPLE港，但由于港口拥挤，船将于3-4号靠泊，给予充分的时间进行以下检查：
1，3月证书
2，常规的直接检查
3，下一港的直接请关

DLY INCL BALANCE OF TC END MARCH AT RICHARDS BAY WHERE SHE WILL DISCH.

A QUICK DEAL AT USD 47MILL IS ACHIEVABLE,HOLDING FULL TERMS IN HANDS
AND FULLEST DTLS OF THE VSL.

SALE TO INCL BALANCE OF TC TO CARGIL AT USD 22000 PER DAY LESS 4.75PCT
快速成交价，4700万美圆是可以完成的，我们有完整的条款和详细的船况资料。出售给**以每天2万2千美金计价，并少于4。75PCT

THE SHIP IS DUE TO ARRIVE IN DALRYMPLE/AUSTRALIA WHERE TODAY BUT DUE

DUE TO：是由于的意思
BE DUE TO ARRIVE：预计到达。

有任何关于外贸，航运方面问题，欢迎询问！

『叁』 如何使用openssl命令行查看配置支持的协议

用途：
s_client为一个SSL/TLS客户端程序，与s_server对应，它不仅能与s_server进行通信，也能与任何使用ssl协议的其他服务程序进行通信。
用法：
[cpp] view plain
openssl s_client [-host host] [-port port] [-connect host:port] [-verify depth] [-cert filename]
[-certform DER|PEM] [-key filename] [-keyform DER|PEM] [-pass arg] [-CApath directory] [-CAfile filename]
[-reconnect][-pause] [-showcerts] [-debug] [-msg] [-state] [-nbio_test] [-nbio][-crlf] [-ign_eof] [-no_ign_eof]
[-quiet] [-ssl2] [-ssl3] [-tls1_1] [-tls1_2] [-tls1] [-dtls1] [-no_ssl2][-no_ssl3] [-no_tls1] [-no_tls1_1]
[-no_tls1_2] [-bugs] [-cipher cipherlist] [-starttls protocol] [-engine id] [-tlsextdebug] [-no_ticket]
[-sess_out filename] [-sess_in filename] [-rand file(s)]
选项说明：
-host host：设置服务地址。
-port port：设置服务端口，默认为4433。
-connect host:port：设置服务器地址和端口号。如果没有设置，则默认为本地主机以及端口号4433。
-verify depth：设置证书的验证深度。记得CA也是分层次的吧？如果对方的证书的签名CA不是Root CA,那么你可以再去验证给该CA的证书签名的CA，一直到Root CA. 目前的验证操作即使这条CA链上的某一个证书验证有问题也不会影响对更深层的CA的身份的验证。所以整个CA链上的问题都可以检查出来。当然CA的验证出问题并不会直接造成连接马上断开，好的应用程序可以让你根据验证结果决定下一步怎么走。
-cert filename：使用的证书文件。如果server不要求要证书，这个可以省略。
-certform DER|PEM：证书的格式，一般为DER和PEM。默认为PEM格式。
-key filename：使用的证书私钥文件。
-keyform DER|PEM：证书私钥文件的格式，一般为DER和PEM。默认为PEM格式。
-pass arg：私钥保护口令来源，比如：-pass file:pwd.txt，将私钥保护口令存放在一个文件中，通过此选项来指定，不需要用户来输入口令。
-CApath directory：设置信任CA文件所在路径，此路径中的ca文件名采用特殊的形式：xxx.0，其中xxx为CA证书持有者的哈希值，它通过x509 -hash命令获得。
-CAfile filename：某文件，里面是所有你信任的CA的证书的内容。当你要建立client的证书链的时候也需要用到这个文件。
-reconnect：使用同样的session-id连接同一个server五次，用来测试server的session缓冲功能是否有问题。
-pause：每当读写数据时，sleep 1秒。
-showcerts：显示整条server的证书的CA的证书链。否则只显示server的证书。
-debug：打印所有的调试信息。
-msg：用16进制显示所有的协议数据。
-state：打印SSL session的状态， ssl也是一个协议，当然有状态。
-nbio_test：检查非阻塞socket的I/O运行情况。
-nbio：使用非阻塞socket。
-crlf：把在终端输入的换行回车转化成/r/n送出去。
-ign_eof：当输入文件到达文件尾的时候并不断开连接。
-no_ign_eof：当输入文件到达文件尾的时候断开连接。
-quiet：不打印出session和证书的信息。同时会打开-ign_eof这个选项。
-ssl2、-ssl3、-tls1_1、-tls1_2、-tls1、-dtls1、-no_ssl2、-no_ssl3、-no_tls1、-no_tls1_1、-no_tls1_2：使用的协议状态值。
-bugs：兼容老版本服务端的中的bug。
-cipher cipherlist：由我们自己来决定选用什么加密算法，尽管是由server来决定使用什么算法列表，但它一般都会采用我们送过去的cipher列表里的第一个cipher。
-starttls protocol：protocol可以为smtp或pop3，用于邮件安全传输。
-engine id：硬件引擎。
-tlsextdebug：打印TLS协议中服务器端接收到的额外信息值。
-no_ticket：不支持RFC4507bis会话类型。
-sess_out filename：输出SSL会话信息值到filename中。
-sess_in filename：从filename中获取SSL Session值。
-rand file(s)：指定随机数种子文件，多个文件间用分隔符分开，windows用“;”，OpenVMS用“,“，其他系统用“：”。
连接选项：
如果一个确认的连接到SSL服务器，并显示了从服务器端接收到了的数据，任何操作都被发送到服务器。当交互（这意味着没有给出B<-quiet> 、B<-ign_eof>这两个选项）的时候，如果命令行B<R>,被设置则session有可能会被重启。如果设置的是命令行B<Q>或到达了文件的结尾，连接将会被断开。
注意：
S_client可用于调试SSL服务器端。为了连接一个SSL HTTP服务器，命令如下：
openssl s_client -connect servername:443
一旦和某个SSL server建立连接之后，所有从server得到的数据都会被打印出来，所有你在终端上输入的东西也会被送给server. 这是人机交互式的。这时候不能设置-quiet和 -ign_eof这俩个选项。如果输入的某行开头字母是R，那么在这里session会重启, 如果输入的某行开头是Q，那么连接会被断开。你完成整个输入之后连接也会被断开。
如果连接成功，你可以用HTTP的指令，比如"GET /"什么的去获得网页了。
如果握手失败，原因可能有以下几种：
1. server需要验证你的证书，但你没有证书。
2. 如果肯定不是原因1，那么就慢慢一个一个set以下几个选项：-bugs， -ssl2， -ssl3， -tls1，-no_ssl2，-no_ssl3， -no_dtls。
3. 这可能是因为对方的server处理SSL有bug。
有的时候，client会报错：没有证书可以使用，或者供选择的证书列表是空的。这一般是因为Server没有把给你签名的CA的名字列进它自己认为可以信任的CA列表，你可以用检查一下server的信任CA列表。有的http server只在 client给出了一个URL之后才验证client的证书，这中情况下要设置 -prexit这个选项，并且送给server一个页面请求。
即使使用-cert指明使用的证书，如果server不要求验证client的证书，那么该证书也不会被验证。所以不要以为在命令行里加了-cert 的参数又连接成功就代表你的证书没有问题。
如果验证server的证书有问题，就可以设置-showcerts来看看server的证书的CA链了。
自从SSLv23客户端hello不能够包含压缩方法或扩展仅仅会被支持。
BUGs：
因为该项目有很多选项，好多用的是老的技术，c代码的s_client很难去读取为什么会被关闭。一个典型的SSL客户端项目将会更加简单的。
如果服务器验证失败，B<-verify>将会退出。
B<-prexit>选项是一个很小的空间。当一个session重启后，我们必须报告。

『肆』 如何基于dtls和pre-shared key实现相互认证

shared key是一种认证方式，其实应该叫shared key authentication（SKA）。pre-shared key是预共享密码，就是密码。

『伍』 DTLS的设计概述

DTLS的目标应用主要是C/S及其变体。这也是TLS的设计目标并且已很好工作。展示的安全模型中，server通过DNS名称和IP地址被认证，Client是匿名的或者被其他形式认证，典型的是在应用层通过用户名/密码来处理。
这个实现并不真正安全。然而，应用程序的设计者们，向在添加安全性的时候尽量能够维护他们的协议和实现架构。这个实现制造了一个类似于TLS或IPsec的有吸引力的信道安全协议，因为改动之非常小。从这个观点看来，理想的数据报信道安全协议应该取代对Server的DNS和基于IP认证的 强加密认证，而是把client认证留给应用层协议。

『陆』 java 中 bcprov包 有什么作用

用于Java 的Bouncy Castle Crypto API包含以下内容：
轻量级加密API。
Java加密扩展（JCE）和Java加密体系结构（JCA）的提供者。
Java安全套接字扩展（JSSE）的提供者。
JCE 1.2.1的洁净室实施。
用于读取和编写编码的ASN.1对象的库。
TLS（RFC 2246，RFC 4346）和DTLS（RFC 6347 / RFC 4347）的轻量级API。
版本1和版本3 X.509证书，版本2 CRL和PKCS12文件的生成器。
版本2 X.509属性证书的生成器。
用于S / MIME和CMS的生成器/处理器（PKCS7 / RFC 3852）。
用于OCSP的发生器/处理器（RFC 2560）。
TSP的生成器/处理器（RFC 3161＆RFC 5544）。
CMP和CRMF的生成器/处理器（RFC 4210和RFC 4211）。
用于OpenPGP的生成器/处理器（RFC 4880）。
发生器/处理器用于扩展访问控制（EAC）。
用于数据验证和认证服务器（DVCS）的生成器/处理器 - RFC 3029。
用于基于DNS的命名实体身份验证（DANE）的生成器/处理器。
RFC 7030通过安全传输注册的发生器/处理器（EST）。
签名的jar版本适用于JDK 1.4-1.8和Sun JCE。

『柒』 常见的几种SSL/TLS漏洞及攻击方式

SSL/TLS漏洞目前还是比较普遍的，首先关闭协议：SSL2、SSL3（比较老的SSL协议）配置完成ATS安全标准就可以避免以下的攻击了，最新的服务器环境都不会有一下问题，当然这种漏洞都是自己部署证书没有配置好导致的。

Export 加密算法

Export是一种老旧的弱加密算法，是被美国法律标示为可出口的加密算法，其限制对称加密最大强度位数为40位，限制密钥交换强度为最大512位。这是一个现今被强制丢弃的算法。

Downgrade（降级攻击）

降级攻击是一种对计算机系统或者通信协议的攻击，在降级攻击中，攻击者故意使系统放弃新式、安全性高的工作方式，反而使用为向下兼容而准备的老式、安全性差的工作方式，降级攻击常被用于中间人攻击，讲加密的通信协议安全性大幅削弱，得以进行原本不可能做到的攻击。 在现代的回退防御中，使用单独的信号套件来指示自愿降级行为，需要理解该信号并支持更高协议版本的服务器来终止协商，该套件是TLS_FALLBACK_SCSV(0x5600)

MITM（中间人攻击）

MITM(Man-in-the-MiddleAttack) ，是指攻击者与通讯的两端分别创建独立的联系，并交换其所有收到的数据，使通讯的两端认为他们正在通过一个私密的连接与对方直接对话，但事实上整个对话都被攻击者完全控制，在中间人攻击中，攻击者可以拦截通讯双方的通话并插入新的内容。一个中间人攻击能成功的前提条件是攻击者能够将自己伪装成每个参与会话的终端，并且不被其他终端识破。

BEAST（野兽攻击）

BEAST(CVE-2011-3389) BEAST是一种明文攻击，通过从SSL/TLS加密的会话中获取受害者的COOKIE值（通过进行一次会话劫持攻击），进而篡改一个加密算法的 CBC（密码块链）的模式以实现攻击目录，其主要针对TLS1.0和更早版本的协议中的对称加密算法CBC模式。

RC4 加密算法

由于早期的BEAST野兽攻击而采用的加密算法，RC4算法能减轻野兽攻击的危害，后来随着客户端版本升级，有了客户端缓解方案（Chrome 和 Firefox 提供了缓解方案），野兽攻击就不是什么大问题了。同样这是一个现今被强制丢弃的算法。

CRIME（罪恶攻击）

CRIME(CVE-2012-4929)，全称Compression Ratio Info-leak Made Easy，这是一种因SSL压缩造成的安全隐患，通过它可窃取启用数据压缩特性的HTTPS或SPDY协议传输的私密Web Cookie。在成功读取身份验证Cookie后，攻击者可以实行会话劫持和发动进一步攻击。

SSL 压缩在下述版本是默认关闭的： nginx 1.1.6及更高/1.0.9及更高（如果使用了 OpenSSL 1.0.0及更高）， nginx 1.3.2及更高/1.2.2及更高（如果使用较旧版本的 OpenSSL）。

如果你使用一个早期版本的 nginx 或 OpenSSL，而且你的发行版没有向后移植该选项，那么你需要重新编译没有一个 ZLIB 支持的 OpenSSL。这会禁止 OpenSSL 使用 DEFLATE 压缩方式。如果你禁用了这个，你仍然可以使用常规的 HTML DEFLATE 压缩。

Heartbleed（心血漏洞）

Heartbleed(CVE-2014-0160) 是一个于2014年4月公布的 OpenSSL 加密库的漏洞，它是一个被广泛使用的传输层安全（TLS）协议的实现。无论是服务器端还是客户端在 TLS 中使用了有缺陷的 OpenSSL，都可以被利用该缺陷。由于它是因 DTLS 心跳扩展（RFC 6520）中的输入验证不正确（缺少了边界检查）而导致的，所以该漏洞根据“心跳”而命名。这个漏洞是一种缓存区超读漏洞，它可以读取到本不应该读取的数据。如果使用带缺陷的Openssl版本，无论是服务器还是客户端，都可能因此受到攻击。

POODLE漏洞（卷毛狗攻击）

2014年10月14号由Google发现的POODLE漏洞，全称是Padding Oracle On Downloaded Legacy Encryption vulnerability，又被称为“贵宾犬攻击”（CVE-2014-3566），POODLE漏洞只对CBC模式的明文进行了身份验证，但是没有对填充字节进行完整性验证，攻击者窃取采用SSL3.0版加密通信过程中的内容，对填充字节修改并且利用预置填充来恢复加密内容，以达到攻击目的。

TLS POODLE（TLS卷毛狗攻击）

TLS POODLE(CVE-2014-8730) 该漏洞的原理和POODLE漏洞的原理一致，但不是SSL3协议。由于TLS填充是SSLv3的一个子集，因此可以重新使用针对TLS的POODLE攻击。TLS对于它的填充格式是非常严格的，但是一些TLS实现在解密之后不执行填充结构的检查。即使使用TLS也不会容易受到POODLE攻击的影响。

CCS

CCS(CVE-2014-0224) 全称openssl MITM CCS injection attack，Openssl 0.9.8za之前的版本、1.0.0m之前的以及1.0.1h之前的openssl没有适当的限制ChangeCipherSpec信息的处理，这允许中间人攻击者在通信之间使用0长度的主密钥。

FREAK

FREAK(CVE-2015-0204) 客户端会在一个全安全强度的RSA握手过程中接受使用弱安全强度的出口RSA密钥，其中关键在于客户端并没有允许协商任何出口级别的RSA密码套件。

Logjam

Logjam(CVE-2015-4000) 使用 Diffie-Hellman 密钥交换协议的 TLS 连接很容易受到攻击，尤其是DH密钥中的公钥强度小于1024bits。中间人攻击者可将有漏洞的 TLS 连接降级至使用 512 字节导出级加密。这种攻击会影响支持 DHE_EXPORT 密码的所有服务器。这个攻击可通过为两组弱 Diffie-Hellman 参数预先计算 512 字节质数完成，特别是 Apache 的 httpd 版本 2.1.5 到 2.4.7，以及 OpenSSL 的所有版本。

DROWN（溺水攻击/溺亡攻击）

2016年3月发现的针对TLS的新漏洞攻击——DROWN（Decrypting RSA with Obsolete and Weakened eNcryption，CVE-2016-0800），也即利用过时的、弱化的一种RSA加密算法来解密破解TLS协议中被该算法加密的会话密钥。 具体说来，DROWN漏洞可以利用过时的SSLv2协议来解密与之共享相同RSA私钥的TLS协议所保护的流量。 DROWN攻击依赖于SSLv2协议的设计缺陷以及知名的Bleichenbacher攻击。

通常检查以下两点服务器的配置

• 服务器允许SSL2连接，需要将其关闭。

• 私钥同时用于允许SSL2连接的其他服务器。例如，Web服务器和邮件服务器上使用相同的私钥和证书，如果邮件服务器支持SSL2，即使web服务器不支持SSL2，攻击者可以利用邮件服务器来破坏与web服务器的TLS连接。

Openssl Padding Oracle

Openssl Padding Oracle(CVE-2016-2107) openssl 1.0.1t到openssl 1.0.2h之前没有考虑某些填充检查期间的内存分配，这允许远程攻击者通过针对AES CBC会话的padding-oracle攻击来获取敏感的明文信息。

强制丢弃的算法

• aNULL 包含了非验证的 Diffie-Hellman 密钥交换，这会受到中间人（MITM）攻击

• eNULL 包含了无加密的算法（明文）

• EXPORT 是老旧的弱加密算法，是被美国法律标示为可出口的

• RC4 包含的加密算法使用了已弃用的 ARCFOUR 算法

• DES 包含的加密算法使用了弃用的数据加密标准（DES）

• SSLv2 包含了定义在旧版本 SSL 标准中的所有算法，现已弃用

• MD5 包含了使用已弃用的 MD5 作为哈希算法的所有算法