安全協(xié)議工程之SSL協(xié)議分析及鉆井工程承包合同

HYPERLINK""安全協(xié)議工程題目：SSL協(xié)議分析系別：專業(yè)：學(xué)生姓名：學(xué)號(hào)：指導(dǎo)教師：2021年6月23日摘要目前，隨著Internet的快速發(fā)展，人們?cè)谑褂没ヂ?lián)網(wǎng)的場(chǎng)地越來(lái)越多，范圍越來(lái)越廣泛，互聯(lián)網(wǎng)上的信息安全越來(lái)越引起人們的關(guān)注。特別是近年來(lái)網(wǎng)上銀行、電子商務(wù)和電子政務(wù)的快速發(fā)展，如何保證用戶的傳輸信息，特別是交易信息的保密性、完整性已成為迫切需要解決的問(wèn)題。為此人們研究越來(lái)越多的措施來(lái)保護(hù)用戶的信息，所以有了很多的安全協(xié)議，其中安全套接層協(xié)議(SecuritySocketLayerProtocol,簡(jiǎn)稱SSL)是Internet上進(jìn)行保密通信的一個(gè)安全協(xié)議。關(guān)鍵詞：Internet；信息安全；保密性；完整性；安全套階層協(xié)議目錄引言…………………41.SSL簡(jiǎn)介…………42.SSL工作原理……………………43.SSL協(xié)議提供的服務(wù)………………54.SSL記錄層協(xié)議……………………55.SSL握手協(xié)議………76.SSL的應(yīng)用…………107.SSL的安全性分析…………………11引言網(wǎng)絡(luò)的迅速發(fā)展，逐漸普及到各個(gè)領(lǐng)域，但是有利也有弊，發(fā)展越快，出現(xiàn)的問(wèn)題也就越多。而最終的的還是信息方面的安全保證，特別是在傳輸過(guò)程中，為此諸多杰出的人員也加入到這個(gè)研究中，研究怎么樣最大程度保護(hù)信息的安全傳輸。傳輸層在TCP/IP協(xié)議族中具有重要地位，它加強(qiáng)和彌補(bǔ)了IP層的服務(wù)。從服務(wù)類型看，IP層是點(diǎn)到點(diǎn)的，而傳輸層提供端到端的服務(wù)；從服務(wù)質(zhì)量看，傳輸層提高了可靠性，使得高層應(yīng)用不必關(guān)注可靠性問(wèn)題，而僅需解決與自身應(yīng)用功能相關(guān)的問(wèn)題；從協(xié)議依賴關(guān)系看，應(yīng)用層協(xié)議直接構(gòu)建于傳輸層之上。應(yīng)用層協(xié)議直接與用戶交互，因此它們的安全性也會(huì)受到最直接的關(guān)注。舉個(gè)直觀的例子，電子商務(wù)系統(tǒng)通常采用B/S結(jié)構(gòu)，用戶通過(guò)瀏覽器訪問(wèn)電子商務(wù)網(wǎng)站、購(gòu)買商品并進(jìn)行網(wǎng)上支付。在這類應(yīng)用中，機(jī)密性、完整性、服務(wù)器身份認(rèn)證、不可否認(rèn)性和可用性都是用戶所需的。此外，在進(jìn)行文件和郵件傳輸時(shí)，用戶也有類似的安全需求。遺憾的是，常用的HTTP、FTP等協(xié)議都無(wú)法滿足這些安全需求。雖然HTTP、等協(xié)議提供了基于口令的身份認(rèn)證機(jī)制，但在互聯(lián)網(wǎng)這個(gè)開(kāi)放的環(huán)境中，這種簡(jiǎn)單的保護(hù)顯得微不足道。改變這種現(xiàn)狀的途徑之一就是為每個(gè)應(yīng)用層協(xié)議都增加安全功能。對(duì)于應(yīng)用設(shè)計(jì)者而言，這是一個(gè)并不輕松的工作；對(duì)于應(yīng)用使用者而言，部署多個(gè)安全應(yīng)用時(shí)，勢(shì)必會(huì)消耗大量的系統(tǒng)資源。另一種途徑就是從傳輸層人手。既然高層應(yīng)用都是基于傳輸層的，那么增強(qiáng)這個(gè)層次的安全性顯得更具備通用性。它可以把高層應(yīng)用從安全性這個(gè)復(fù)雜的命題中解放出來(lái)，使用者也可用較小的開(kāi)銷獲得所需的安全服務(wù)。1.SSL簡(jiǎn)介SSL和TLS，它們分別是安全套接層(SecureSocketLayer)和傳輸層安全（TransportLayerSecurity）的縮寫，是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議TLS與SSL，在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。SSL首先由網(wǎng)景公司提出，最初是為了保護(hù)Web安全，最終卻為提高傳輸層安全提供了一個(gè)通用的解決方案。在SSL獲得了廣泛應(yīng)用之后，IETF斟于SSLv3，制定TLS標(biāo)準(zhǔn)。TLSv1與SSLv3幾乎完全一致。SSL協(xié)議位于與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSLRecordProtocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSLHandshakeProtocol）：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開(kāi)始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密等。2.SSL工作原理SSL的工作原理：當(dāng)一個(gè)使用者在Web上用Netscape瀏覽器漫游時(shí)，瀏覽器利用HTTP協(xié)議與Web服務(wù)器溝通。例如，瀏覽器發(fā)出一個(gè)HTTPGET命令給服務(wù)器，想下載一個(gè)首頁(yè)的HTML檔案，而服務(wù)器會(huì)將檔案的內(nèi)容傳送給瀏覽器來(lái)響應(yīng)。GET這個(gè)命令的文字和HTML檔案的文字會(huì)通過(guò)會(huì)話層（Socket）的連接來(lái)傳送，Socket使兩臺(tái)遠(yuǎn)程的計(jì)算機(jī)能利用Internet來(lái)通話。通過(guò)SSL，資料在傳送出去之前就自動(dòng)被加密了，它會(huì)在接收端被解密。對(duì)沒(méi)有解密鑰的人來(lái)說(shuō)，其中的資料是無(wú)法閱讀的。SSL采用TCP作為傳輸協(xié)議提供數(shù)據(jù)的可靠傳送和接收。SSL工作在Socket層上，因此獨(dú)立于更高層應(yīng)用，可為更高層協(xié)議，如Telnet、提供安全業(yè)務(wù)。SSL提供的安全業(yè)務(wù)和TCP層一樣，采用了公開(kāi)密鑰和私人密鑰兩種加密體制對(duì)Web服務(wù)器和客戶機(jī)（選項(xiàng)）的通信提供保密性、數(shù)據(jù)完整性和認(rèn)證。在建立連接過(guò)程中采用公開(kāi)密鑰，在會(huì)話過(guò)程中使用私人密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過(guò)程中判斷決定。在所有情況下，服務(wù)器通過(guò)以下方法向客戶機(jī)證實(shí)自身：給出包含公開(kāi)密鑰的、可驗(yàn)證的證明；演示它能對(duì)用此公開(kāi)密鑰加密的報(bào)文進(jìn)行解密。為了支持客戶機(jī)，每個(gè)客戶機(jī)都要擁有一對(duì)密鑰，這要求在Internet上通過(guò)Netscape分配。由于Internet中的服務(wù)器數(shù)遠(yuǎn)少于客戶機(jī)數(shù)，因此能否處理簽字及密鑰管理的業(yè)務(wù)量是很重要的，并且與客戶聯(lián)系比給商家以同樣保證更重要。3.SSL協(xié)議提供的服務(wù)（1）用戶和服務(wù)器的合法性認(rèn)證使得用戶和服務(wù)器能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。客戶機(jī)和服務(wù)器都有各自的識(shí)別號(hào)，由公開(kāi)密鑰編排。為了驗(yàn)證用戶，安全套接層協(xié)議要求在握手交換數(shù)據(jù)中做數(shù)字認(rèn)證，以此來(lái)確保用戶的合法性。（2）加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)安全套接層協(xié)議采用的加密技術(shù)既有對(duì)稱密鑰，也有公開(kāi)密鑰。具體來(lái)說(shuō)，就是客戶機(jī)與服務(wù)器交換數(shù)據(jù)之前，先交換SSL初始握手信息。在SSL握手信息中采用了各種加密技術(shù)，以保證其機(jī)密性和數(shù)據(jù)的完整性，并且經(jīng)數(shù)字證書(shū)鑒別，這樣就可以防止非法用戶破譯。（3）維護(hù)數(shù)據(jù)的完整性安全套接層協(xié)議采用密碼雜湊函數(shù)和機(jī)密共享的方法，提供完整信息性的服務(wù)，來(lái)建立客戶機(jī)與服務(wù)器之間的安全通道，使所有經(jīng)過(guò)安全套接層協(xié)議處理的業(yè)務(wù)，在傳輸過(guò)程中都能完整、準(zhǔn)確無(wú)誤地到達(dá)目的地。4.SSL記錄層協(xié)議SSL記錄層協(xié)議限定了所有發(fā)送和接收數(shù)據(jù)的打包，它提供了通信、身份認(rèn)證功能，它是一個(gè)面向連接的可靠傳輸協(xié)議，如TCP/IP提供安全保護(hù)。在SSL中所有數(shù)據(jù)被封裝在記錄中。一個(gè)記錄由兩部分組成：記錄頭和非零長(zhǎng)度的數(shù)據(jù)。記錄頭可以是2字節(jié)或3字節(jié)（當(dāng)有填充數(shù)據(jù)時(shí)使用）。SSL握手層協(xié)議的報(bào)文要求必須放在一個(gè)SSL記錄層的記錄里，但應(yīng)用層協(xié)議的報(bào)文允許占用多個(gè)SSL記錄來(lái)傳送。1．SSL記錄頭格式SSL記錄頭可以是2個(gè)或3個(gè)字節(jié)長(zhǎng)的編碼。SSL記錄頭包含的信息有記錄頭的長(zhǎng)度、記錄數(shù)據(jù)的長(zhǎng)度，以及記錄數(shù)據(jù)中是否有填充數(shù)據(jù)，其中填充數(shù)據(jù)是在使用塊加密（blocken-cryption）算法時(shí)，填充實(shí)際數(shù)據(jù)，使其長(zhǎng)度恰好是塊的整數(shù)倍。最高位為1時(shí)，不含有填充數(shù)據(jù)，記錄頭的長(zhǎng)度為2個(gè)字節(jié)，記錄數(shù)據(jù)的最大長(zhǎng)度為32767個(gè)字節(jié)；最高位為0時(shí)，含有填充數(shù)據(jù)，記錄頭的長(zhǎng)度為3個(gè)字節(jié)，記錄數(shù)據(jù)最長(zhǎng)為16383個(gè)字節(jié)。2字節(jié)頭記錄2字節(jié)頭記錄記錄頭類型記錄頭類型記錄長(zhǎng)度MACMAC數(shù)據(jù)3字節(jié)頭3字節(jié)頭記錄記錄頭類型EScap記錄頭類型EScape位記錄長(zhǎng)度填充長(zhǎng)度MAC數(shù)MAC數(shù)據(jù)填充數(shù)據(jù)SSL記錄層結(jié)構(gòu)當(dāng)數(shù)據(jù)頭長(zhǎng)度是3個(gè)字節(jié)時(shí)，次高位有特殊的含義。次高位為1時(shí)，表示所傳輸?shù)挠涗浭瞧胀ǖ臄?shù)據(jù)記錄；次高位為0時(shí)，表示所傳輸?shù)挠涗浭前踩瞻子涗洠ū槐Ａ粲糜趯?lái)協(xié)議的擴(kuò)展）。記錄頭中數(shù)據(jù)長(zhǎng)度編碼不包括數(shù)據(jù)頭所占用的字節(jié)長(zhǎng)度。記錄頭長(zhǎng)度為2個(gè)字節(jié)時(shí)，記錄長(zhǎng)度的計(jì)算公式為：記錄長(zhǎng)度?（（Byte[0]&0x7f）<<8）|Byte[1]。其中Byte[0]、Byte[1]分別表示傳輸?shù)牡谝粋€(gè)、第二個(gè)字節(jié)。記錄頭長(zhǎng)度為3個(gè)字節(jié)時(shí)，記錄長(zhǎng)度的計(jì)算公式是：記錄長(zhǎng)（（Byte[0]&0x3f<<8））|Byte[1]。其中Byte[0]、Byte[1]的含義同上。判斷是否是安全空白記錄的計(jì)算公式是：（Byte[0]&0x40）！?0。填充數(shù)據(jù)的長(zhǎng)度為傳輸?shù)牡谌齻€(gè)字節(jié)。SSL記錄數(shù)據(jù)格式SSL記錄數(shù)據(jù)部分有3個(gè)分量：MAC-DATA、ACTUAL-DATA和PADDING-DATA。MAC數(shù)據(jù)用于數(shù)據(jù)完整性檢查。計(jì)算MAC所用的散列函數(shù)由握手協(xié)議中的CIPHER-CHOICE消息確定。若使用MD2和MD5算法，則MAC數(shù)據(jù)長(zhǎng)度是16個(gè)字節(jié)。MAC的計(jì)算公式為：MAC數(shù)據(jù)=Hash[密鑰,實(shí)際數(shù)據(jù),填充數(shù)據(jù),序號(hào)]。當(dāng)會(huì)話的客戶端發(fā)送數(shù)據(jù)時(shí)，密鑰是客戶的寫密鑰（服務(wù)器用讀密鑰來(lái)驗(yàn)證MAC數(shù)據(jù)）；而當(dāng)會(huì)話的客戶端接收數(shù)據(jù)時(shí)，密鑰是客戶的讀密鑰（服務(wù)器用寫密鑰來(lái)產(chǎn)生MAC數(shù)據(jù)）。序號(hào)是一個(gè)可以被發(fā)送和接收雙方遞增的計(jì)數(shù)器，每個(gè)通信方向都會(huì)建立一對(duì)計(jì)數(shù)器，分別被發(fā)送者和接收者擁有。計(jì)數(shù)器有32位，計(jì)數(shù)值循環(huán)使用，每發(fā)送一個(gè)記錄，計(jì)數(shù)值遞增一次，序號(hào)的初始值為0。ACTUAL-DATA是被傳送的應(yīng)用數(shù)據(jù)，PADDING-DATA是當(dāng)采用分組碼時(shí)所需要的填充數(shù)據(jù)，在明文傳送下只有第二項(xiàng)。3．記錄協(xié)議的作用記錄協(xié)議層封裝了高層協(xié)議的數(shù)據(jù)，協(xié)議數(shù)據(jù)采用SSL握手協(xié)議中協(xié)商好的加密算法及MAC算法來(lái)保護(hù)。記錄協(xié)議傳送的數(shù)據(jù)包括一個(gè)序列號(hào)，這樣就可以檢測(cè)消息的丟失、改動(dòng)或重放。如果協(xié)商好了壓縮算法，那么SSL記錄協(xié)議還可以執(zhí)行壓縮功能。SSLV3版的高層由記錄傳遞的消息組成，這包括改變密碼規(guī)范協(xié)議、警報(bào)協(xié)議和握手協(xié)議。改變密碼規(guī)范協(xié)議指明對(duì)使用的密碼規(guī)范的改變，協(xié)議中還包括了一個(gè)用當(dāng)前密碼規(guī)范加密的單獨(dú)消息?？蛻艉头?wù)器都要發(fā)送改變密碼規(guī)范消息來(lái)表明它們準(zhǔn)備使用一個(gè)新的密碼規(guī)范和密鑰。警報(bào)協(xié)議傳送與事件相關(guān)的消息，包括事件嚴(yán)重性及事件描述。這里的事件主要是指錯(cuò)誤情形，如錯(cuò)誤的MAC碼、證書(shū)過(guò)期或是非法參數(shù)。警報(bào)協(xié)議也用于共享有關(guān)預(yù)計(jì)連接終止的信息。5.SSL握手協(xié)議握手協(xié)議是關(guān)于客戶和服務(wù)器如何協(xié)商它們?cè)诎踩诺乐幸褂玫陌踩珔?shù)，這些參數(shù)包括要采用的協(xié)議版本、加密算法和密鑰。另外，客戶要認(rèn)證服務(wù)器，服務(wù)器則可以選擇認(rèn)證/不認(rèn)證客戶。PKI在客戶—服務(wù)器認(rèn)證階段就開(kāi)始運(yùn)作了，這就是握手協(xié)議的實(shí)質(zhì)。1．握手協(xié)議工作過(guò)程①客戶（client）端發(fā)送ClientHello信息給服務(wù)器（Server）端，Server回答ServerHello。這個(gè)過(guò)程建立的安全參數(shù)包括協(xié)議版本、“佳話”標(biāo)識(shí)、加密算法、壓縮方法。另外，還交換兩個(gè)隨機(jī)數(shù)：C1ientHello.Random和ServerHello.Random，用于計(jì)算機(jī)“會(huì)話主密鑰”。②Hello消息發(fā)送完后，Server端會(huì)發(fā)送它的證書(shū)和密鑰交換信息。如果Server端被認(rèn)證，它就會(huì)請(qǐng)求Client端的證書(shū)，在驗(yàn)證以后，Server就發(fā)送HelloDone消息，以示達(dá)成了握手協(xié)議，即雙方握手接通。③Server請(qǐng)求Client證書(shū)時(shí)，Client要返回證書(shū)或返回沒(méi)有證書(shū)的指示，這種情況用于單向認(rèn)證，即客戶端不裝有證書(shū)。然后，Client發(fā)送密鑰交換消息。④服務(wù)器Server此時(shí)要回答“握手完成”消息（Finished），以示完整的握手消息交換已經(jīng)全部完成。⑤握手協(xié)議完成后，Client端即可與Server端傳輸應(yīng)用加密數(shù)據(jù)，應(yīng)用數(shù)據(jù)加密一般是用第②步密鑰協(xié)商時(shí)確定的對(duì)稱加/解密密鑰，如DES、3DE等。目前，商用加密強(qiáng)度為128位，非對(duì)稱密鑰一般為RAS，商用強(qiáng)度為1024位，用于證書(shū)的驗(yàn)證。ClientHelloCertificateClientKeyExchange*ClientHelloCertificateClientKeyExchange*CertificateVerify（ChangeCipherSpec）FinishedApplicationDataServerHelloCertificateServerKeyExchangeCertificateVerifyServerHelloDoneFinishedApplicationData完整的握手協(xié)議消息交換過(guò)程完整的握手協(xié)議消息交換過(guò)程其中，帶*號(hào)的命令是可選的，或依據(jù)狀態(tài)而發(fā)的消息，而改變加密算法協(xié)議（ChangeCipherSpec）并不在實(shí)際的握手協(xié)議之中，它在第③步與第④步之間，用于Client與Server協(xié)商新的加密數(shù)據(jù)包時(shí)而改變?cè)鹊募用芩惴ā?．握手協(xié)議的作用SSL中的握手協(xié)議，將公鑰加密技術(shù)與對(duì)稱密鑰加密技術(shù)的應(yīng)用有效、巧妙地結(jié)合在一起，有機(jī)地組成了互聯(lián)網(wǎng)（或其他網(wǎng)絡(luò)）上信息安全傳輸?shù)耐ǖ?。這種信息安全通道，有其實(shí)用價(jià)值，比如，利用對(duì)稱加密技術(shù)比公鑰加密技術(shù)對(duì)大容量信息的加/解密速度要快，而公鑰技術(shù)卻提供了更好的身份認(rèn)證技術(shù)。SSL的握手協(xié)議可以非常有效地讓客戶與服務(wù)器之間完成身份認(rèn)證。通過(guò)SSL客戶端與服務(wù)器傳送自己的數(shù)字證書(shū)，互驗(yàn)合法性，特別是驗(yàn)證服務(wù)器的合法性，可以有效地防止互聯(lián)網(wǎng)上虛假網(wǎng)站的網(wǎng)上釣魚(yú)事件；同時(shí)，服務(wù)器端也可以嚴(yán)格驗(yàn)證客戶端的真實(shí)身份。其作用如下：①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL協(xié)議的版本號(hào)、加密算法的種類、產(chǎn)生的隨機(jī)數(shù)，以及其他服務(wù)器和客戶端之間通信所需要的各種信息。②服務(wù)器向客戶端傳送SSL協(xié)議的版本號(hào)、加密算法的種類、隨機(jī)數(shù)及其他相關(guān)信息，同時(shí)，服務(wù)器還將向客戶端傳送自己的證書(shū)。③客戶利用服務(wù)器傳過(guò)來(lái)的信息驗(yàn)證服務(wù)器的合法性。服務(wù)器的合法性包括：證書(shū)是否過(guò)期，發(fā)行服務(wù)器證書(shū)的CA是否可靠，發(fā)行者證書(shū)的公鑰能否正確解開(kāi)服務(wù)器證書(shū)的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書(shū)上的域名是否和服務(wù)器的實(shí)際域名相匹配。如果合法性驗(yàn)證沒(méi)有通過(guò)，則通信將斷開(kāi)；如果合法性驗(yàn)證通過(guò)，則將繼續(xù)進(jìn)行第④步。④客戶端隨機(jī)產(chǎn)生一個(gè)用于后面通信的“對(duì)稱密碼”，然后用服務(wù)器的公鑰（從步驟②中服務(wù)器的證書(shū)中獲得）對(duì)其加密，再將加密后的“預(yù)主密碼”傳給服務(wù)器。⑤如果服務(wù)器要求客戶的身份認(rèn)證（在握手過(guò)程中為可選），用戶則可以建立一個(gè)隨機(jī)數(shù)，然后對(duì)其進(jìn)行數(shù)字簽名，將這個(gè)含有簽名的隨機(jī)數(shù)和客戶自己的證書(shū)，以及加密過(guò)的“預(yù)主密碼”一起傳給服務(wù)器。⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器則必須檢驗(yàn)客戶證書(shū)和簽名隨機(jī)數(shù)的合法性。具體的合法性驗(yàn)證包括：客戶的證書(shū)使用日期是否有效，為客戶提供證書(shū)的CA是否可靠，發(fā)行CA的公鑰能否正確解開(kāi)客戶證書(shū)的發(fā)行CA的數(shù)字簽名，檢查客戶的證書(shū)是否在證書(shū)撤銷列表（CRL）中。檢驗(yàn)如果沒(méi)有通過(guò)，則通信立刻中斷；如果驗(yàn)證通過(guò)，則服務(wù)器將用自己的私鑰解開(kāi)加密的“預(yù)主密碼”，然后執(zhí)行一系列步驟來(lái)產(chǎn)生主通信密碼（客戶端也將通過(guò)同樣的方法產(chǎn)生相同的主通信密碼）。⑦服務(wù)器和客戶端用相同的主密碼，即“通話密碼”，一個(gè)對(duì)稱密鑰用于SSL協(xié)議的安全數(shù)據(jù)通信的加/解密通信。同時(shí)，在SSL通信過(guò)程中還要完成數(shù)據(jù)通信的完整性，以防止數(shù)據(jù)通信中的任何變化。⑧客戶端向服務(wù)器端發(fā)出信息，指明后面的數(shù)據(jù)通信將使用步驟⑦中的主密碼為對(duì)稱密鑰，同時(shí)通知服務(wù)器客戶端的握手過(guò)程結(jié)束。⑨服務(wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通信將使用步驟⑦中的主密碼為對(duì)稱密鑰，同時(shí)通知客戶端服務(wù)器端的握手過(guò)程結(jié)束。⑩SSL的握手部分結(jié)束，SSL安全通道的數(shù)據(jù)通信開(kāi)始，客戶和服務(wù)器開(kāi)始使用相同的對(duì)稱密鑰進(jìn)行數(shù)據(jù)通信，同時(shí)進(jìn)行通信完整性的檢驗(yàn)。證書(shū)各部分的含義Version證書(shū)版本號(hào)，不同版本的證書(shū)格式不同SerialNumber序列號(hào)，同一身份驗(yàn)證機(jī)構(gòu)簽發(fā)的證書(shū)序列號(hào)唯一AlgorithmIdentifier簽名算法，包括必要的參數(shù)Issuer身份驗(yàn)證機(jī)構(gòu)的標(biāo)識(shí)信息PeriodofValidity有效期Subject證書(shū)持有人的標(biāo)識(shí)信息Subject’sPublicKey證書(shū)持有人的公鑰Signature身份驗(yàn)證機(jī)構(gòu)對(duì)證書(shū)的簽名證書(shū)的格式認(rèn)證中心所發(fā)放的證書(shū)均遵循X.509V3標(biāo)準(zhǔn)，其基本格式如下：證書(shū)版本號(hào)（CertificateFormatVersion）含義：用來(lái)指定證書(shū)格式采用的X.509版本號(hào)。證書(shū)序列號(hào)（CertificateSerialNumber）含義：用來(lái)指定證書(shū)的唯一序列號(hào)，以標(biāo)識(shí)CA發(fā)出的所有公鑰證書(shū)。簽名（Signature）算法標(biāo)識(shí)（AlgorithmIdentifier）含義：用來(lái)指定CA簽發(fā)證書(shū)所用的簽名算法。簽發(fā)此證書(shū)的CA名稱（Issuer）含義：用來(lái)指定簽發(fā)證書(shū)的CA的X.500唯一名稱（DN，DistinguishedName）。證書(shū)有效期（ValidityPeriod）起始日期（notBefore）終止日期（notAfter）含義：用來(lái)指定證書(shū)起始日期和終止日期。用戶名稱（Subject）含義：用來(lái)指定證書(shū)用戶的X.500唯一名稱（DN，DistinguishedName）。用戶公鑰信息（SubjectPublicKeyInformation）算法（algorithm）算法標(biāo)識(shí)（AlgorithmIdentifier）用戶公鑰（subjectPublicKey）含義：用來(lái)標(biāo)識(shí)公鑰使用的算法，并包含公鑰本身。證書(shū)擴(kuò)充部分（擴(kuò)展域）（Extensions）含義：用來(lái)指定額外信息。X.509V3證書(shū)的擴(kuò)充部分（擴(kuò)展域）及實(shí)現(xiàn)方法如下：CA的公鑰標(biāo)識(shí)（AuthorityKeyIdentifier）公鑰標(biāo)識(shí)（SET未使用）（KeyIdentifier）簽發(fā)證書(shū)者證書(shū)的簽發(fā)者的甄別名（CertificateIssuer）簽發(fā)證書(shū)者證書(shū)的序列號(hào)（CertificateSerialNumber）X.509V3證書(shū)的擴(kuò)充部分（擴(kuò)展域）及實(shí)現(xiàn)CA的公鑰標(biāo)識(shí)（AuthorityKeyIdentifier）公鑰標(biāo)識(shí)（SET未使用）（KeyIdentifier）簽發(fā)證書(shū)者證書(shū)的簽發(fā)者的甄別名（Certificat簽發(fā)證書(shū)者證書(shū)的序列號(hào)（CertificateSerialN含義：CA簽名證書(shū)所用的密鑰對(duì)的唯一標(biāo)識(shí)用戶的公鑰標(biāo)識(shí)（SubjectKeyIdentifier）含義：用來(lái)標(biāo)識(shí)與證書(shū)中公鑰相關(guān)的特定密鑰進(jìn)行解密。證書(shū)中的公鑰用途（KeyUsage）含義：用來(lái)指定公鑰用途。用戶的私鑰有效期（PrivateKeyUsagePeriod）起始日期（NoteBefore）終止日期（NoteAfter）含義：用來(lái)指定用戶簽名私鑰的起始日期和終止日期。CA承認(rèn)的證書(shū)政策列表（CertificatePolicies）含義：用來(lái)指定用戶證書(shū)所適用的政策，證書(shū)政策可由對(duì)象標(biāo)識(shí)符表示。用戶的代用（SubstitutionalName）含義：用來(lái)指定用戶的代用名。CA的代用名（IssuerAltName）含義：用來(lái)指定CA的代用名?；局萍s（BasicConstraints）含義：用來(lái)表明證書(shū)用戶是最終用戶還是CA。在SET系統(tǒng)中有一些私有擴(kuò)充部分（擴(kuò)展域）HashedRootKey含義：只在根證書(shū)中使用，用于證書(shū)更新時(shí)進(jìn)行回溯。證書(shū)類型（CertificateType）含義：用來(lái)區(qū)別不同的實(shí)體。該項(xiàng)是必選的。商戶數(shù)據(jù)（MerchantData）含義：包含支付網(wǎng)關(guān)需要的所有商戶信息。持卡人證書(shū)需求（CardCertRequired）含義：顯示支付網(wǎng)關(guān)是否支持與沒(méi)有證書(shū)的持卡人進(jìn)行交易。SET擴(kuò)展（SETExtensions）含義：列出支付網(wǎng)關(guān)支持的支付命令的SET信息擴(kuò)展。CRL數(shù)據(jù)定義版本（Version）含義：顯示CRL的版本號(hào)。CRL的簽發(fā)者（Issuer）含義：指明簽發(fā)CRL的CA的甄別名。CRL發(fā)布時(shí)間（thisUpdate）預(yù)計(jì)下一個(gè)CRL更新時(shí)間（NextUpdate）撤銷證書(shū)信息目錄（RevokedCertificates）CRL擴(kuò)展（CRLExtension）CA的公鑰標(biāo)識(shí)（AuthorityKeyIdentifier）CRL號(hào)（CRLNumber）6.SSL的應(yīng)用1．單向認(rèn)證：又稱匿名SSL連接，這是SSL安全連接的最基本模式，它便于使用，主要的瀏覽器都支持這種方式，適合單向數(shù)據(jù)安全傳輸應(yīng)用。在這種模式下客戶端沒(méi)有數(shù)字證書(shū)，只是服務(wù)器端具有證書(shū)，以不在認(rèn)用戶訪問(wèn)的是自己要訪問(wèn)的站點(diǎn)。典型的應(yīng)用就是用戶進(jìn)行網(wǎng)站注冊(cè)時(shí)彩ID＋口令的匿名認(rèn)證，過(guò)去網(wǎng)上銀行的所謂“大眾版”就是這種??因子認(rèn)證。2．雙方認(rèn)證：是對(duì)等的安全認(rèn)證，這種模式通信雙方都可以發(fā)起和接收SSL連接請(qǐng)求。通信雙方可以利用安全應(yīng)用程序（控鍵）或安全代理軟件，前者一般適合于B/S結(jié)構(gòu)，而后者適用于C/S結(jié)構(gòu)，安全代理相當(dāng)于一個(gè)加密/解密的網(wǎng)關(guān)，這種模式雙方皆需安裝證書(shū)，進(jìn)行雙向認(rèn)證。這就是網(wǎng)上銀行的B2B的專業(yè)版等應(yīng)用。顧客3．電子商務(wù)中的應(yīng)用。電子商務(wù)與網(wǎng)上銀行交易不同，因?yàn)橛猩虘魠⒓?，形成客戶――商家――銀行，兩次點(diǎn)對(duì)點(diǎn)的SSL連接?？蛻?，商家，銀行，都必須具證書(shū)，兩次點(diǎn)對(duì)點(diǎn)的雙向認(rèn)證，如圖所示。顧客銀行商家銀行商家7.SSL協(xié)議的安全性分析SSL協(xié)議所采用的加密算法和認(rèn)證算法使它具有較高的安全性，但也存在一些問(wèn)題。1．SSL協(xié)議采用的加密算法和認(rèn)證算法（1）加密算法和會(huì)話密鑰SSLV2協(xié)議和SSLV3協(xié)議支持的加密算法包括RC4、RC2、IDEA和DES，加密一般分三類：對(duì)稱加密、非對(duì)稱加密和單向散列函數(shù)；對(duì)稱加密：分組密碼（DES,RC5,IDEA）和序列密碼（RC4），其中CBC（cipherblockchaining）是分組密碼的一類，是指一個(gè)明文分組在被加密之前要與前一個(gè)的密文分組進(jìn)行異或運(yùn)算，當(dāng)加密算法用于此模式的時(shí)候除密鑰外，還需協(xié)商一個(gè)初始化向量（IV），這個(gè)IV沒(méi)有實(shí)際意義，只是在第一次計(jì)算的時(shí)候需要用到而已，采用這種模式的話安全性會(huì)有所提高；單向散列函數(shù)：由于信道的破壞，一個(gè)通用的方法就是加入校驗(yàn)碼。單向散列函數(shù)可用于此用途，一個(gè)典型的例子是MD5，它產(chǎn)生128位的摘要，在現(xiàn)實(shí)中用的更多的是安全散列算法（SHA），SHA的早期版本存在問(wèn)題，目前用的實(shí)際是SHA-1，它可以產(chǎn)生160位的摘要，因此比128位散列更能有效抵抗窮舉攻擊。由于單向散列的算法是公開(kāi)的，所以其它人可以先改動(dòng)原文，再生成另外一份摘要，解決這個(gè)問(wèn)題的方法可以通過(guò)HMAC，它包含了一個(gè)密鑰，只有擁有相同密鑰的人才能鑒別這個(gè)散列（2）認(rèn)證算法認(rèn)證算法采用X.509電子證書(shū)標(biāo)準(zhǔn)，是通過(guò)RSA算法進(jìn)行數(shù)字簽名來(lái)實(shí)現(xiàn)的。服務(wù)器的認(rèn)證在上述的兩對(duì)密鑰中，服務(wù)器方的寫密鑰和客戶方的讀密鑰、客戶方的寫密鑰和服務(wù)器方的讀密鑰分別是一對(duì)私有、公有密鑰。對(duì)服務(wù)器進(jìn)行認(rèn)證時(shí)，只有用正確的服務(wù)器方寫密鑰加密，ClientHello消息形成的數(shù)字簽名才能被客戶正確地解密，從而驗(yàn)證服務(wù)器的身份。若通信雙方不需要新的密鑰，則它們各自所擁有的密鑰已經(jīng)符合上述條件。若通信雙方需要新的密鑰，首先服務(wù)器方在ServerHello消息中的服務(wù)器證書(shū)中提供了服務(wù)器的公有密鑰，服務(wù)器用其私有密鑰才能正確地解密由客戶方使用服務(wù)器的公有密鑰加密的MASTER-KEY，從而獲得服務(wù)器方的讀密鑰和寫密鑰?？蛻舻恼J(rèn)證同上，只有用正確的客戶方寫密鑰加密的內(nèi)容才能被服務(wù)器方用其讀密鑰正確地解開(kāi)。當(dāng)客戶收到服務(wù)器方發(fā)出的REQUEST-CERTIFICATE消息時(shí)，客戶首先使用MD5消息散列函數(shù)獲得服務(wù)器方信息的摘要，服務(wù)器方的信息包括：KEY-MATERIAL-0、KEY-MATERIAL-1、KEY-MATERIAL-2、CERTIFICATE-CHALLENAGE-DATA（來(lái)自于REQUEST-CERTIFICATE消息）、服務(wù)器所賦予的證書(shū)（來(lái)自于ServerHello）消息。其中KEY-MATERIAL-l、KEY-MATERIAL-2是可選的，與具體的加密算法有關(guān)。然后客戶使用自己的讀密鑰加密摘要形成數(shù)字簽名，從而被服務(wù)器認(rèn)證。2．SSL安全優(yōu)勢(shì)（1）監(jiān)聽(tīng)和中間人式攻擊SSL使用一個(gè)經(jīng)過(guò)通信雙方協(xié)商確定的加密算法和密鑰，對(duì)不同的安全級(jí)別應(yīng)用都可找到不同的加密算法，從而用于數(shù)據(jù)加密。它的密鑰管理處理比較好，在每次連接時(shí)通過(guò)產(chǎn)生一個(gè)密碼雜湊函數(shù)生成一個(gè)臨時(shí)使用的會(huì)話密鑰，除了不同連接使用不同密鑰外，在一次連接的兩個(gè)傳輸方向上也使用各自的密鑰。盡管SSL協(xié)議為監(jiān)聽(tīng)者提供了很多明文，但由于采用RSA交換密鑰具有較好的密鑰保護(hù)性能，以及頻繁更換密鑰的特點(diǎn)，因此對(duì)監(jiān)聽(tīng)和中間人式攻擊而言，具有較高的防范性。（2）流量數(shù)據(jù)分析式攻擊流量數(shù)據(jù)分析式攻擊的核心是通過(guò)檢查數(shù)據(jù)包的未加密字段或未加保護(hù)的數(shù)據(jù)包屬性，試圖進(jìn)行攻擊。在一般情況下該攻擊是無(wú)害的，SSL無(wú)法阻止這種攻擊。（3）截取再拼接式攻擊對(duì)需要較強(qiáng)的連接加密，需要考慮這種安全性。SSLV3.0基本上可阻止這種攻擊。（4）報(bào)文重發(fā)式攻擊報(bào)文重發(fā)式攻擊比較容易阻止，SSL通過(guò)在MAC數(shù)據(jù)中包含“系列號(hào)”來(lái)防止該攻擊。3．SSL協(xié)議存在的問(wèn)題（1）密鑰管理問(wèn)題設(shè)計(jì)一個(gè)安全秘密的密鑰交換協(xié)議是很復(fù)雜的，因此，SSL的握手協(xié)議也存在一些密鑰管理問(wèn)題。SSL的問(wèn)題表現(xiàn)在：客戶機(jī)和服務(wù)器在互相發(fā)送自己能夠支持的加密算法時(shí)，是以明文傳送的，存在被攻擊修改的可能。SSLV3.0為了兼容以前的版本，可能降低安全性。所有的會(huì)話密鑰中都將生成MASTER-KEY，握手協(xié)議的安全完全依賴于對(duì)MASTER-KEY的保護(hù)，因此在通信中要盡可能少地使用MASTER-KEY。（2）加密強(qiáng)度問(wèn)題Netscape依照美國(guó)內(nèi)政部的規(guī)定，在它的國(guó)際版的瀏覽器及服務(wù)器上使用40位的密鑰。以SSL所使用的RC4演繹法所命名的RC4法規(guī)，對(duì)多于40位長(zhǎng)的加密密鑰產(chǎn)品的出口加以限制，這項(xiàng)規(guī)定使Netscape的128位加密密鑰在美國(guó)之外的地方變成不合法。一個(gè)著名的例子是一個(gè)法國(guó)的研究生和兩個(gè)美國(guó)柏克萊大學(xué)的研究生破譯了一個(gè)SSL的密鑰，才使人們開(kāi)始懷疑以SSL為基礎(chǔ)的系統(tǒng)安全性。Microsoft公司想利用一種稱為私人通信技術(shù)（PCT,PrivateCommunicationTechnology）的SSLsuperset協(xié)議來(lái)改進(jìn)SSL的缺點(diǎn)。PCT會(huì)衍生出第二個(gè)專門為身份驗(yàn)證用的密鑰，這個(gè)身份驗(yàn)證并不屬于RC4規(guī)定的管轄范圍。PCT加入比目前隨機(jī)數(shù)產(chǎn)生器更安全的產(chǎn)生器，因?yàn)樗彩荢SL安全鏈中的一個(gè)弱環(huán)節(jié)。這個(gè)隨機(jī)數(shù)產(chǎn)生器提供了產(chǎn)生加密密鑰的種子數(shù)目（SeedNumber）。（3）數(shù)字簽名問(wèn)題SSL協(xié)議沒(méi)有數(shù)字簽名功能，即沒(méi)有抗否認(rèn)服務(wù)。若要增加數(shù)字簽名功能，則需要在協(xié)議中打“補(bǔ)丁”。這樣做，在用于加密密鑰的同時(shí)又用于數(shù)字簽名，這在安全上存在漏洞。后來(lái)PKI體系完善了這種措施，即雙密鑰機(jī)制，將加密密鑰和數(shù)字簽名密鑰二者分開(kāi)，成為雙證書(shū)機(jī)制。這是PKI完整的安全服務(wù)體參考文獻(xiàn):[1]羅新星等:電子支付系統(tǒng)的安全性研究及其設(shè)計(jì)[J].武漢理工大學(xué)學(xué)報(bào),2021,25(1)[2]代曉紅:基于SSL協(xié)議的電子商務(wù)安全性分析[J].工業(yè)技術(shù)經(jīng)濟(jì),2021,23(6)[3]黃勁潮:SSL安全通信在電子商務(wù)中的應(yīng)用[J].中國(guó)科技信息,2021(12)[4]姜慶娜:基于Internet的電子商務(wù)安全支付系統(tǒng)的研究[D].山東師范大學(xué),2021[5]寇曉蕤：網(wǎng)絡(luò)安全協(xié)議[J].高等教育出版社，2021（1）

鉆井工程承包合同甲方：＿＿＿＿＿＿＿

乙方：＿＿＿＿＿＿＿

雙方經(jīng)充分協(xié)商，達(dá)成如下協(xié)議：

第一條總則

第一、井位

１．鉆井施工地點(diǎn)：＿＿＿＿省＿＿＿＿市＿＿＿＿縣＿＿＿＿鄉(xiāng)

２．地形圖

３．井位設(shè)計(jì)圖

４．地層構(gòu)造圖

第二、國(guó)家、部、局對(duì)鉆進(jìn)工程施工的批準(zhǔn)投資計(jì)劃、工程項(xiàng)目，設(shè)計(jì)任務(wù)書(shū)等文件號(hào)及影印件。

第三、井別：

第四、鉆井口數(shù)：

第五、井深結(jié)構(gòu)：

第六、質(zhì)量：

１．井身質(zhì)量合格率

２．固井質(zhì)量合格率

第七、價(jià)格

１．調(diào)整井單價(jià)＿＿＿元／米，合計(jì)金額＿＿＿＿＿萬(wàn)元

２．開(kāi)發(fā)井單價(jià)＿＿＿元／米，合計(jì)金額＿＿＿＿＿萬(wàn)元

第二條工程期限本合同鉆井工程自＿＿＿＿年＿＿月＿＿日開(kāi)鉆至＿＿＿＿年＿＿月＿＿日全部鉆完。在組織鉆井工程施工中，如遇下列情況，得順延工期，雙方應(yīng)及時(shí)進(jìn)行協(xié)商，并通過(guò)書(shū)面形式確定順延期限；第一、因天災(zāi)或人力不能抗拒的原因被迫停工者；第二、因甲方提出變更計(jì)劃或更變施工圖而不能繼續(xù)施工者；第三、因甲方不能按期提供技術(shù)文件、技術(shù)圖紙和鉆井施工條件，被迫停工或不能繼續(xù)施工者。第三條鉆前準(zhǔn)備第一、甲方在開(kāi)鉆前應(yīng)辦妥征地拆遷和井場(chǎng)道路的墊方；清除施工場(chǎng)地及進(jìn)出道路范圍內(nèi)影響施工的原有建筑物、構(gòu)筑物、管線、樹(shù)木、青苗等阻礙物。解決施工用的水、電和鉆機(jī)安裝搬運(yùn)的道路。第二、甲方按時(shí)向乙方交付井位設(shè)計(jì)、完鉆井深、層位和完井要求，負(fù)責(zé)鉆井區(qū)塊的斷層分布圖；斷層數(shù)據(jù)；小層平面圖；構(gòu)造圖和鄰井圖壓力資料數(shù)據(jù)，并向乙方進(jìn)行地質(zhì)和工程技術(shù)要求交底。第三、乙方在開(kāi)鉆前應(yīng)組織有關(guān)技術(shù)人員學(xué)習(xí)和熟悉各種設(shè)計(jì)圖紙，參加地質(zhì)設(shè)計(jì)交底，編好施工圖預(yù)算，負(fù)責(zé)安排鉆機(jī)運(yùn)行計(jì)劃，施工方案，做好一切施工準(zhǔn)備。第四條工程款結(jié)算第一、按不同的機(jī)型、井別、井深、另加風(fēng)險(xiǎn)金，確定承包費(fèi)用。對(duì)承包范圍以外的費(fèi)用，按規(guī)定結(jié)算。第二、本合同自簽訂生效之日起，甲方應(yīng)在＿＿＿＿日內(nèi)按工程費(fèi)用總額＿＿＿＿元的百分之＿＿＿＿一次撥給乙方，作為乙方備料及施工費(fèi)。第五條施工與設(shè)計(jì)變更第一、乙方在組織施工中，必須為油田開(kāi)發(fā)著想，嚴(yán)格按照部、局頒發(fā)的施工驗(yàn)收規(guī)范和質(zhì)量檢驗(yàn)標(biāo)準(zhǔn)，以及設(shè)計(jì)要求組織施工。