幼儿园安全协议(推荐12篇)
本协议当事人
甲方:管理有限公司
法定代表人:
地址:
乙方:临沂开慧-蒙特梭利双语幼儿园
法定代表人:李宗伟,校长
地址:
本物业名称:
乙方所租房屋基本情况:
类 型:
座落位置:
合同面积:
乙方所属幼儿园位于甲方管理的(建筑物名称)一楼,因教学需要,幼儿园儿童需经常在室外活动,为了防止楼上坠落物致儿童伤亡,根据有关法律、法规,在自愿、平等、协商一致的基础上,甲乙双方就有关保障乙方幼儿园儿童安全事宜达成如下协议:
一、甲方应告知本建筑物所有业主有保障幼儿园儿童安全的义务,包括禁止向建筑物外乱扔物品。若因建筑物其他业主乱扔物品造成幼儿园儿童伤亡事故,由业主承担法律责任,幼儿园不承担责任。
二、甲方须认真履行上述义务,若甲方未履行以上义务,造成幼儿园儿童伤亡事故,甲方须承担由此产生的法律后果,甲方承担责任后有权向其他业主追偿。
三、本协议一式两份,甲乙双方各执一份,具有同等法律效力。
四、本协议自双方签字之日起生效。
甲方签章:
代表人:
随着计算机网络的开放性、共享性和互连程度的增强, 特别是现代网络技术和Internet的飞速发展, 以及全球信息化、网络化进程的不断推进, 在Internet及其他网络上运行的应用和提供的服务越来越多, 所以网络的安全问题也变得越来越突出。网络安全问题已成为关乎国家安全、军队存亡、战争胜败的重要问题。
网络安全, 其实质就是指网络信息系统的安全, 网络安全问题是现代信息安全所要研究和解决的主要问题, 也是近几年信息安全领域探讨和研究的热点问题。随着计算机网络的发展, 网络安全的概念也在不断发展。
一、网络安全与安全协议发展
20世纪80年代, 随着个人计算机、局域网的出现和发展, 以及数据库技术的推广应用, 网络应用的目的开始由资源共享走向信息共享, 信息系统的体系结构以客户—服务器 (client/server) 结构为主, 网络通信属于“人—机器”的通信类型, 这时的安全需求是需要提供对系统用户身份的认证、授权与访问控制。另外, 当时的通信协议依据功能和过程的分工划分, 成为层次形式的协议, 传输层协议至少具有连接管理、差错控制和流量控制等协议机制, 保证数据的准确和顺序, 因此, 对网络的安全保护开始着手从协议考虑, 因此, 这个时期的信息安全是面向协议、面向用户的。
20世纪90年代, 随着互联网的普及和发展, 高性能多媒体计算机和基于光纤传输的高速网络把网络应用带入一个飞速发展的新阶段。在传统的资源共享和信息共享的基础上, 出现了面向知识共享的新型网络应用, “人—人”的通信是其最为显著的特征, 其中具有代表性的就是协同计算、网络会议系统和网络即时通信。不可否认性、可服务性以及基于内容的个人隐私、网络环境的知识产权保护等面向用户的安全需求, 在知识共享时期变得更加突出;随着信息化进程的不断推进, 系统的可生存、可恢复、可再生等高可用性要求和可控性要求越来越迫切, 因此, 这个时期的信息安全为面向数据、面向用户的安全属性赋予了新的内涵, 同时更加强调面向系统的安全属性。
所以, 可以从面向数据、面向用户和面向系统等方面理解信息安全。面向数据的安全概念:保护信息的机密性、完整性、可用性和可控性。
面向用户的安全概念:实现对实体的认证、授权、访问控制、不可否认性和可服务性以及基于内容的个人隐私、知识产权保护等。
面向系统的安全概念:保证信息系统的可用性、可控性、可恢复性、可再生性、可生存性。
面向数据与面向用户网络安全概念的结合就是网络安全体系结构中的安全服务, 而这些安全服务又要依靠加密、数字签名、访问控制、数据完整性、安全审计、灾难恢复、病毒防护、防黑客入侵等安全机制和措施加以实现。从历史的、人网大系统的概念出发, 现代的信息安全涉及个人权益、企业生存、金融风险防范、社会稳定和国家的安全。它是物理安全、网络安全、数据安全、信息内容安全、信息基础设施安全以及公共、国家信息安全的总和。
二、密码和安全协议
网络安全研究的对象是计算机网络, 计算机网络以通信为手段来达到资源共享的目的, 而只有依靠协议才能实现通信。因此, 在网络环境和分布计算环境中, 通信协议起着至关重要的作用。
安全协议又称为密码协议、安全通信协议, 是实现信息安全交换和某种安全目的的通信协议。用于计算机网络的安全协议又称为网络安全通信协议, 是网络安全体系结构中的核心问题之一。它是将密码技术应用于网络安全系统的纽带, 是确保网络信息系统安全的关键。
安全协议是否存在安全漏洞即是否完备成为它能否提供网络安全保障的关键, 安全协议的安全性不仅依赖于所采用的密码算法强度, 而且与算法的应用环境 (通信行为的规则和格式) 密切相关。一个不安全的安全协议可以使入侵者不用攻破密码而得到信息或产生假冒。
因此, “密码和安全协议是网络安全的核心”已成为网络及信息安全界的共识。研究网络安全通信协议及其完备性是网络安全这个问题的关键所在。采用各种技术手段或方法设计安全协议并分析其安全性已是人们研究的重要课题之一。
三、小结
应用于对网络系统进行高安全级别评测, 发现系统的安全性隐患, 提高系统的安全防护能力。安全协议的安全性评测是网络安全系统评测的核心, 人工进行协议分析的难度和代价是非常高的, 而且分析结果往往不可靠, 特别是高级别安全性系统, 必须经过形式化验证以保证其安全性, 然而, 看似简单的安全协议往往隐藏着难以察觉的缺陷, 其理论研究和关键技术中尚有许多国际上未解难题, 挑战性很强, 研究和技术难度很大, 导致国际上学术研究和有效的系统开发艰难, 以至于目前国内外缺乏高效、实用的形式化验证工具, 尤其国内此前尚未研制出可用的安全协议形式化验证系统。项目成果应用于检验、评估和测试安全协议的安全性, 不仅可提高安全协议分析效率, 而且更重要的是确保分析结果的可靠性, 为安全协议的安全性评测提供了重要的科学依据, 对发现网络未知的安全隐患, 保障网络安全系统的高度安全性发挥了重要作用。
关键词:电子商务 协议 SSL TLS SET
1 传输层安全协议
1.1 安全套接字层协议(SSL)
安全套接层协议是由网景公司推出的一种安全通信协议,是对计算机之间整个会话进行加密的协议,提供了保密、认证服务和报文完整性。它可以有效的保护信用卡以及个人信息。Netscape Communicator和Microsoft IE浏览器中通常会用到SSL,这样能够更好的进行安全交易操作。SSL中的加密方法包括公开密钥和私有密钥。
1.2 传输层安全协议(TLS)
主要是在两个通信应用程序之间使用安全传输层协议(TLS),从而保证更高的保密性和数据完整性。该协议主要包括TLS 记录协议和TLS握手协议,前者处于较低层,它的位置是在某个可靠的传输协议上面。
①协议结构
TLS协议包括两个协议组,即TLS记录协议和TLS 握手协议,每组都包括了不少各有差异的格式信息。我们可以将TLS记录协议定义为一种分层协议,每层都会有长度、描述和内容等字段。他可以对接收到的数据进行解密、校验,或者是解压缩、重组等,之后高层客户机会接受以上的信息。TLS连接状态即为TLS记录协议的操作环境,其中包括压缩算法、加密算法和MAC算法。不同大小无空块的连续数据可以通过高层输送到TLS记录层。关于密钥计算方面要注意的有:记录协议在各种算法的协助下,通过握手协议提供的安全参数获得密钥、IV和MAC密钥。
②TLS握手协议过程
改变密码规格协议;警惕协议;握手协议。
③TLS记录协议
TLS 记录协议具有连接安全性,这种安全性的特性包括以下两点:
私有,即对称加密用以数据加密。密钥在经过对称加密后,每个连接有一个且仅有一个密钥,而且这个密钥基于另一个协议协商。我们再不加密的时候也能使用记录协议。
可靠,即信息传输包括使用密钥的MAC,能够对信息进行周密的检查。安全功能主要就是为了做好MAC 计算。如果没有MAC,记录协议还是会正常运行,但一般仅仅是在这种模式中是可以的,即有另一个协议正在使用记录协议传输协商安全参数。我们在对各种高层协议进行封装时,可以考虑TLS 记录协议。握手协议属于这种封装协议,在应用程序协议传输和接收其第一个数据字节前,它能让服务器与客户机实现相互认证,加密密钥和协商加密算法。
④ TLS握手协议
TLS握手协议具有连接安全性,这种安全性的属性包括以下几点:
第一,可以使用非对称的,或公共密钥的密码术对对等方的身份进行认证。此认证体现了一种可选性,但是要强调的是,最少要有一个结点方;第二,共享加密密钥的协商具有安全性。协商加密后,偷窃者就非常不容易再进行偷窃了。要注意的是,连接已经被认证后是不可以再获得加密的,就算是进入连接中间的攻击者也无法做到;第三,协商是可靠的。在未经通信方成员检测的情况下,不管是谁都无法修改通信协商。
总之TLS是保证因特网应用程序通信隐私和数据完整的协议。TLS和SSL的扩展,经常将他们表述为SSL/TLS、SSL/TLS协议由两层组成,即TLS握手协议允许服务和客户端间的认证,以及在传输真实数据前加密算法和沟通密钥。TLS记录协议位于可靠传输协议之上,如TCP。它确认通过数据加密的连接是隐秘和可靠的。TLS记录协议也用来包装更高层协议,人员TLS握手协议。由于服务器客户端都需要进行认证,SSL/TLS可以防御中间人攻击。此外,由于加密数据,它可以防御并截获传输中的数据包。
2 应用层安全协议
2.1 安全电子交易协议(SET)
1996年,美国Visa和MasterCard两个非常知名的信用卡组织,与国际上一些知名的科技机构一起,经过协商提出了应用于Internet上的在线交易安全标准,这一标准主要针对的是以银行卡为基础的在线交易。
① SET协议的好处
帮助商家制定了保护自己的一些方法,这样就能够保障商家在经营中的安全性,减少商家的运营成本。
对于买方的好处是,SET协议能够保障商家的经营是合法的,而且能够保障用户的信用卡号的安全,SET协议能够帮助买方保护好他们的秘密,让他们能够更加安全的在线进行购物。
使信用卡网上支付的信誉度变得更高,提高竞争力。
SET协议给参与交易的各方设置了互操作接口,不同厂商的产品可以共同使用一个系统。
② SET协议的不足之处
协议中并未明确的规定收单银行给在线商店付款前,是不是一定要收到买方的货物接受证书,不然如果在线商店的货物没有达到相关的质量标准,买方有疑义时,会出现纠纷。协议未对 “非拒绝行为”进行担保,这说明在线商店并不能证明订购是否是签署证书的买方发出的。SET技术规范并未清楚的规定在事物处理结束后,怎样能够安全地保存这些数据,或者是销毁这类数据。在每一次进行SET协议交易时,协议的使用都是很繁琐的,不是很方便,增加了使用的成本,且只有当客户有电子钱包时才能使用。
SET主要针对的就是用户、商家和银行之间通过信用卡进行的支付交易,目的是更好的保护支付信息的机密,保障支付过程的完整,保护商户及持卡人的合法身份,操作性较好。SET中的核心技术包括公开密钥加密、电子数字签名等。
SET是一种基于消息流的协议,一般都是通过Visa和MasterCard以及其他一些业界主流厂商设计发布,以此来实现公共网络上银行卡支付交易的安全性。在国际方面,SET已经受住了很多次的考验,获得了良好的效果,但很多在Internet上购物的消费者实际上并未真正使用SET。
SET是一种非常复杂的协议,它能够清楚地向我们展现卡支付交易各方之间的各种关系。SET还对加密信息的格式进行了规定,完善了每笔卡支付交易时各方传输信息的规则。实际上,将SET定义为技术方面的协议是很不够的,他还体现了每一方所持有的数字证书的合法性。
2.2 PGP协议
PGP加密技术是一个给予RSA公钥加密体系的邮件加密软件,提出了公共钥匙的加密技术。PGP加密技术创造性地把RSA公钥体系和传统加密体系结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计,因此PGP成为目前最流行的公钥加密软件包。
2.3 安全超文本传输协议(HTTPS)
SSL的一个普通用途就是浏览器和网页服务的HTTP通信安全。安全模式就是由SSL/TLS发送“无格式”的HTTP协议并依据SSL命名的超文本传输协议。有时将其指定为支持HTTP协议的扩展HTTPSS。SSL/TLS建立客户端和服务间的安全连接并传输大量数据,HTTPS是为安全传输个人信息而设计的。
参考文献:
[1]《电子商务概论》.贾玢主编.北京交通大学出版社,2009年.
[2]《信息安全与通信保密》.2012年第7期.
甲方:*********幼儿园
乙方:
(幼儿
的家长)
关爱幼儿,确保幼儿安全是家庭和本园的共同责任。为使孩子健康地成长,甲乙双方共同制定《幼儿园安全协议书》,此协议书依据中华人民共和国有关法律制定,须甲乙双方共同遵守,具体如下:
一、乙方务必要按校园规定时间按时接送孩子。送孩子入园时,必须将孩子亲自交待给老师,以防止意外事情的发生。如若乙方只将其幼儿送进原村委前院,未把其孩子亲自交予本园负责人,一切后果由乙方负责,本园不负任何责任。
二、幼儿每天上午和中午入园最多只能提前5分钟,不能来得过早,由于来校过早引发的安全事故由乙方负责。
三、为了防止意外伤害,上学不要给孩子带贵重物品和危险物品入园(如:刀、剪、小珠子、有毒及具有危险性的玩具和用具等);严禁携带任何不安全食品(如:糖果、果冻、豆类以及未经国家卫生安全部门许可生产的食品等)。否则后果由乙方承担,本园概不负责。
四、幼儿不能无故缺课、迟到、早退,如有原因,家长应在最短时间内向老师当面请假。
五、本园按规定时间准时上学和放学。放学后幼儿出了校门本园不负任何责任。如家长不接送,上学和放学途中出现安全事故,由家长自负与本园无关(即放学后出安全事故本园不负任何责任)。因此,家长要按时接送孩子。
六、接送幼儿入园或离园时,原则上由父母亲自接送,如委托他人接送时,应具备完全行为能力(年满18周岁的正常人),接送前乙方必须将委托人姓名、年龄、特征及与孩子之间的关系告诉本园负责人,否则后果由乙方负责。
七、为防止一切意外事故的发生,为防止各种传染病的传播与蔓延,放学后禁止在园内逗留,禁止在园内玩各种玩具,如劝告制止不从者,发生事故,本园概不负责。
八、幼儿如若带药品(指药店出售的药品)入园,乙方要写清楚幼儿姓名、服药时间、服药药量及服药次数,当面交给老师并向老师介绍幼儿病情,不得将药品随意放置(如放在教室或放入幼儿书包、口袋等),以免幼儿误服,如不按本园规定执行,致幼儿私自用药,后果由乙方负责。
九、乙方接送幼儿时不能聚在一起聊天而忽视幼儿的看管,以防意外事故的发生。本协议从甲乙双方签字之日起生效。
甲方负责人签字:
签字日期:
年 月 日
乙
方
签
字:
签字日期:
在发展不断提速的社会中,各种协议频频出现,签订协议是解决纠纷的保障。一般协议是怎么起草的呢?以下是小编整理的幼儿园接送安全协议书,仅供参考,希望能够帮助到大家。
幼儿园接送安全协议书1尊敬的家长:
关爱幼儿的身心健康,保证幼儿的安全,是幼儿园和家长的共同责任,为达到家园一致教育的良好效果,特制定如下安全接送协议,望家长理解配合。
一、请家长每天按规定时间送孩子来园,为了孩子的安全,入园时必须将孩子送到本班或值班老师手中,并当面交接,不要让孩子自行回教室导致在园内玩耍,以防意外发生。在将孩子交与老师之前,一切安全问题由家长负责。
二、为安全起见,请家长不要让孩子携带贵重物品、危险物品入园。幼儿来园前请家长注意查看幼儿的口袋,如发现有危险物品(如小刀、药片、铁钉、小颗粒物、钉锥、弹子、碎玻璃等物品)应立即取出,并及时对孩子进行教育。
三、孩子早晨来园请到保健医生处晨检,有需要喂药者,请将药物交给保健医生或老师处,写好服药单,注明用法、用量及服药时间,并请签上家长姓名和当天日期。
四、一般情况,不要让幼儿无故缺席、迟到。孩子因各种原因不能来园,请事先向老师递交假条做好请假工作,让老师心中有数。
五、孩子的接送:原则上由爷爷奶奶或父母亲本人固定人员在本园门口接送孩子,如有困难委托他人接送时,为了安全,被委托来园接送幼儿者,应具备完全行为能力(年满十八岁以上的正常人)。并请提前联络老师,将被委托者之姓名、性别、年龄、特征、衣着与孩子之间的关系告知老师,得到老师确认后方可接送回家。
八、未经许可,家长不要擅自进入幼儿教室。
九、幼儿来园、离园路上及在园外的一切安全责任全部由家长负责。
幼儿姓名:____________
家长签名:____________
教师签名:____________
日 期:
幼儿园接送安全协议书2尊敬的家长:
关爱幼儿,确保安全,是我们家园共同的责任,为使孩子们健康、自由、快乐的成长,特制定安全接送协议,具体如下:
一、幼儿在家长的.陪送下准时入园,下午固定人员准时接孩子离园。
二、送孩子入园时,必须将孩子亲自交待给本班或值班教师,防止意外事情的发生。
三、为安全期间,请家长不要让幼儿携带贵重物品、细小、危险物品入园。
四、早晨送孩子入园时,应自觉带孩子接受教师的晨检,如需要喂药,请将药效、药名、用量、次数如实地填在晨检登记表上。
五、幼儿不得以任何理由无故缺席、迟到,如身体不适,应及时打电话向本班教师请假。
六、接送幼儿入园或离园时,原则上由父母亲自接送,如有困难委托他人接送时,应具备完全行为能力(年满18岁的正常人),接送前打电话将委托人姓名、年龄、特征及与孩子之间的关系告诉给本班教师,方可履行接送手续,否则后果自负。
七、为防止一切意外事故的发生,为防止手、足、口病及水痘的传播与蔓延,放学后禁止在园内逗留,禁止在园内玩各种玩具,如劝告制止不从者,发生事故,幼儿园概不负责。
幼儿园电话:
园长电话:
后勤主任签字:
家长签字:
xxx幼儿园
幼儿园接送安全协议书3各位家长:
关爱幼儿,确保安全,是我们家园共同的责任,为使孩子健康、快乐成长,特签订如下安全接送责任书:
春季时间: 上午:8:00——11:00 下午:14:00——16:30
夏季时间: 上午:8:00——11:00 下午:14:30——17:00
二、不坐车的幼儿早上8:00-8:30在家长的陪同下准时入园,家长应把幼儿亲自交到本班老师手中并领取接送卡,下午凭接送卡上的时间准时接走幼儿。坐车的幼儿家长凭接送卡上的时间在指定地点准时接送幼儿上车和下车,特别提示:无接送卡者不放人。
三、接送孩子离园入园,家长要固定一个或几个家庭成员,有特殊情况别人代接的必须提前通知班主任老师,并持卡到老师手中接孩子。接走过后,一切安全责任由家长自己负责。
四、严禁幼儿携带任何刀具、铁钉、烟花爆竹、玻璃球、牙签等安全隐患物品入园。在送孩子入园时家长要对孩子的书包、口袋进行检查,发现危险物品立即取出。不要给孩子穿过大的鞋子,不带装饰性物品、贵重首饰或较多的现金。出现以上安全隐患或物品丢失时,幼儿园概不负责。
五、患有特殊疾病的孩子,家长必须告诉学校,不得隐瞒。如因此造成自身或其他小朋友危害。由家长自己负责并追究其责任。
六、若大班、学前班部分孩子不需要接送,请在“家长签字”后写明“自己上学,自己回家”,其上学、放学途中的的安全责任由家长负责。
七、幼儿园7:50开校门,幼儿不提前入园,放学后,请家长和幼儿迅速离园,禁止在园内逗留,如因提前到园,家长未将幼儿亲自送到本班老师手中及离园后在园逗留所发生的一切事故,由家长负责,幼儿园不承担责任。
八、幼儿园的小朋友之间在玩耍及游戏的过程中,难免有一些争执或小的摩擦,希望家长之间要相互包容和理解,如有特殊情况要尽快找老师反映,不能擅自找孩子解决,因此造成不良后果,责任自负。一般情况,不要让幼儿无故缺席、迟到,有事必须向班主任老师请假报告。
九、国家已于2002年9月1日开始实施《学生伤害事故处理条例》,幼儿在园正常活动中出现较大意外事故应按《学生伤害事故处理办法》处理。
十、此责任书一式两份。幼儿园和家长各一份,自双方签字之日起生效。
幼儿姓名:____________
家长签名:____________
教师签名:____________
日 期:
幼儿园接送安全协议书4各位家长:
晚上好,下面由我来介绍一下幼儿园接送安全工作。
关爱幼儿,确保安全,是我们共同的责任,为使孩子们健康、自由、快乐的成长,进一步落实“安全第一、预防为主“的方针,进一步加强幼儿园的各类安全工作,做到安全管理制度化、规范化、正常化。根据上级教育行政部门有关精神,结合本园实际,特制定幼儿园幼儿安全接送管理制度:
一、各班及家长要认真贯彻执行有关幼儿园安全工作的精神,我们将采取多形式、多渠道、全方位、持久性地开展各类安全宣传教育活动,增强幼儿的安全意识和防范意识。
二、安全意识:幼儿园和幼儿家长必须要牢固树立“安全无小事、事事是大事、安全第一“的思想观念。家长要切实担负起监护人的监护职责,教育好子女或被监护人平时注意上学、放学、节假日、假期的各类安全活动。
三、接送时间:早上7:30至8:30为入园时间,9点后谢绝入园,特殊情况除外,下午4:30开始离园。幼儿家长或监护人要按照幼儿园规定的作息时间接送孩子准时入园和离园。
四、幼儿的接送家长:幼儿入园或离园,原则上由父母亲或爷爷奶奶接送亲自接送,如有困难委托他人接送时,应是年满18周岁的正常人且具备完全行为能力,未成年的兄弟姐妹、亲戚或精神异常者都不能接送孩子。委托他人接送的在接送前要将委托人姓名、年龄、特征及与孩子之间的关系告知本班教师,孩子来园、离园路上及在非教学活动的一切园外安全责任均由幼儿家长或监护人负责。来园接幼儿的家长一定要凭卡接送和老师说再见方可离开。乘校车幼儿家长一定要携带好接送卡。
五、幼儿服药要求:幼儿家长或监护人送孩子入园时,应自觉带孩子接受幼儿园的晨检,如需要喂药,请将药名、用量、次数如实地填在晨检登记表上,乘车幼儿家长一定要写明服用说明并签名写好日期后交代乘车老师,乘车老师将转达班上老师给幼儿服用。
六、请假要求:幼儿不得以任何理由无故缺席、迟到,如身体不适等原因,应及时向幼儿园请假;乘车幼儿如有请假请第一时间告知校车老师。
七、幼儿入园要求:为安全起见,幼儿早上入园前家长或监护人要检查不要让孩子携带贵重物品、危险物品入园,必须将孩子亲自交给本班或值班教师,以防意外事件发生。
八、门卫要求:幼儿园门卫或值班人员要认真做好安全保卫工作,对于外来人员入内校门要严格登记,严防社会不法分子进入园区,严禁社会闲杂人员进入幼儿园冒领幼儿,或携带不安全物品入园。
九、放学后要求:为防止一切意外事故发生,放学后禁止幼儿在园内逗留、玩耍。
十、为了规范幼儿的安全接送问题,请家长务必配合幼儿园做好接送的各项配合工作。
最后祝:各位家长身体健康,家庭幸福美满!
请各位家长移步到孩子相应的班级开分班家长会。
谢谢大家!
幼儿姓名:____________
家长签名:____________
教师签名:____________
尊敬的家长:
关注幼儿、确保安全是我们家园共同的责任,为了给孩子创造平安、快乐的成长环境。保证幼儿在园、离园的安全。特制定安全接送协议,请您做好以下配合:
1、按时接送孩子。入园时间:7:30—8:10放园时间5:00.接送幼儿后尽快离园,不在校园里聚堆聊天而放松监护责任,以防意外发生,教育幼儿不在校门口、摊点上买食品、玩具。
2、坚持使用接送卡。幼儿入园、离园必须由监护人接送亲自交到老师手中,并索要接送卡,若委托他人接送必须持接送卡,并提前打电话告知班主任,未将幼儿交到老师手中而出现的意外情况,责任由家长负责。
3、认真履行请假制度,幼儿有病、有事,必须打电话或发短信告知老师,以便班级做好考勤工作。
4、配合幼儿园做好口腔消毒杀菌工作,带药幼儿家长必须在药袋上写上幼儿姓名、服用量、次数、时间,并亲自交给老师,幼儿若有传染病,疾病史、过敏体质或其他身体异常,及时告知老师,不得隐瞒,否则后果自负。
5、幼儿自我保护意识弱,家长应该正确看待幼儿之间的小矛盾,与老师积极配合做好幼儿的一日常规工作,勤剪指甲,以免出现抓伤现象。
6、、进入幼儿园禁止吸烟。
7、幼儿入园禁止佩戴任何首饰,以防丢失,请家长一定配合。若出现丢失现象,幼儿园概不负责。
8、幼儿入园衣着整洁,不带危险物品(如:小刀、剪子、珠子、别针、有毒或有危险性玩具等),不携带任何零食,杜绝意外发生。
9、请家长朋友认真阅读,积极配合,确保幼儿安全。
互联网的不断发展, 极大地改变着人们的生活。特别是电子商务的迅速发展, 使得人们可以足不出户便可以在家里购物。电子商务必然涉及到网上的电子支付, 由于网络本身的开放性及复杂性, 安全问题成了电子商务发展中的首要问题, 能否确保信息安全、可靠的传输, 为用户在网上从事商务活动提供信任保证, 成为电子商务成败的关键。
当前主要有两种在线支付协议被广泛采用, 即安全套接层SSL (Secure Sockets Layer) 协议和安全电子交易SET (Secure Electronic Transaction) 协议。
二、SSL协议
SSL协议是Netscape公司在网络传输层之上提供的一种基于R S A和保密密钥的用于浏览器和W e b服务器之间的安全连接技术。它被视为Internet上Web浏览器和服务器的标准安全性措施。SSL提供了用于启动TCP/IP连接的安全性“信号交换”。这种信号交换导致客户和服务器同意将使用的安全性级别, 并履行连接的任何身份验证要求。它通过数字签名和数字证书可实现浏览器和W e b服务器双方的身份验证。在用数字证书对双方的身份验证后, 双方就可以用保密密钥进行安全的会话了。
SSL协议握手流程由两个阶段组成:服务器认证和用户认证 (可选) 。
1. 服务器认证阶段
在一次交易过程中, 客户的证书首先传送到银行Server方, 服务器先验证有效期, 再根据签发者 (C A) 名称找到签发者公钥 (在CA的根证书内) , 验证证书的数字签名的合法性。
W e b服务器上的S S L安全性要求步骤如下:
(1) 生成密钥对文件和请求文件;
(2) 从身份验证权限中请求一个证书;
(3) 在服务器上安装证书;
(4) 激活W W W服务文件夹上的S S L安全性。
服务器根据客户的信息确定是否需要生成新的主密钥, 如需要则服务器在响应客户的消息时将包含生成主密钥所需的信息;客户根据收到的服务器响应信息, 产生一个主密钥, 并用服务器的公开密钥加密后传给服务器;服务器恢复该主密钥, 并返回给客户一个用主密钥认证的信息, 以此让客户认证服务器。
这样通过主密钥引出的密钥对一系列数据进行加密来认证服务器, 从而建立安全的通信通道。
2. 用户认证阶段
在此之前, 服务器已经过了客户认证, 这一阶段主要完成对客户的认证。
经认证的服务器发送一个提问给客户, 客户则返回 (数字) 签名后的提问和其公开密钥, 从而向服务器提供认证。
SSL支持各种加密算法。在“握手”过程中, 使用R S A公开密钥系统。密钥交换后, 使用一系列密码, 包括RC2、RC4、IDEA、DES、triple-DES及MD5信息摘要算法。公开密钥认证遵循X.509标准。
3. SSL的应用及局限
SSL是一个面向连接的协议, 在涉及多方的电子交易中, 只能提供交易中客户与服务器间的双方认证, 而电子商务往往是用户、网站、银行三家协作完成, SSL协议并不能协调各方间的安全传输和信任关系。
三、SET协议
为了实现更加完善的电子交易, Master Card和Visa联合其他一些业界主流厂商联合推出了一种规范, 用来保证在公共网络上银行卡支付交易的安全性, 从而发布了SET协议。采用SET协议进行网上电子交易支付时, 主要涉及持卡人、商家、支付网关、发卡者、支付者和C A认证共六方:持卡人是发行者发行的支付卡的授权持有者;发卡者是指发行信用卡给持卡者的金融机构;商家是有货物或服务出售给持卡人的个人或组织;支付者是指商家开设帐号所在的金融机构;支付网关实现对支付信息从Internet到银行内部网络的转换, 用来处理商家支付报文和持卡人的支付指令, 并对商家和持卡人进行认证;证书权威C A是为持卡人商家和支付网关发行X.5 0 9数字证书的可信实体。
S E T协议提供了电子交易中信息的机密性、数据的完整性、持卡人帐户的身份验证和商家身份验证。
1. 信息的机密性
当持卡人的帐户和支付信息在网络上传输时, 要确保其安全。SET的一个重要特点是, 它可以防止商家知道持卡人的信用卡帐户, 它只提供给发出的银行。可以使用D E S等算法加密来确保机密性。
2. 数据的完整性
从持卡人发送给商家的支付信息包括订购信息、个人数据和支付说明。SET必须保证这些消息的内容在传输时不进行改变。利用SHA-1哈希码的RSA数字签名提供了消息的完整性。
3. 持卡人帐户的身份验证
S E T授权商家验证持卡人是否是正确信用卡帐户的合法用户。S E T使用X..509v3数字证书和RSA实现这一目的。
4. 商家身份验证
S E T授权持卡人验证商家是否可以接收与其有关的金融组织。SET使用X.509v3数字证书和R S A实现这一目的。
5. SET的局限性
SET协议仅解决了支付信息的认证, 没有解决交易中证据的生成和保留, 因此, 不能为交易保留法律性的依据;S E T协议中没有对交易过程作状态描述, 这可能使顾客或商家对交易的状态难以把握。
四、结论
SSL协议和SET协议各有优缺点, 都不是理想的电子商务协议。为了电子商务更加蓬勃地发展,
必须在深入剖析SSL协议和SET协议的基础上, 开发一种新的安全支付协议, 以适应信用卡、电子现金、电子支票等多种交易方式。
摘要:本文对两种常用的在线支付协议及其安全性进行了详尽分析, 阐述了两者的应用性及局限性, 对网络购物相关行业的发展具有一定现实意义。
关键词:电子商务,电子支付,SET协议,SSL协议
参考文献
[1]尹存燕 谢俊元:一个公平、有效的安全电子交易协议[J].计算机应用研究, 2002, 01
他披露,OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中,可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
这一夜,互联网门户洞开
OpenSSL是目前互联网上应用最广泛的安全传输方法(基于SSL即安全套接层协议)。可以近似地说,它是互联网上销量最大的门锁。而Sean爆出的这个漏洞,则让特定版本的OpenSSL成为无需钥匙即可开启的废锁;入侵者每次可以翻检户主的64K信息,只要有足够的耐心和时间,他可以翻检足够多的数据,拼凑出户主的银行密码、私信等敏感数据;假如户主不幸是一个开商店的或开银行的,那么在他这里买东西、存钱的用户,其个人最敏感的数据也可能被入侵者获取。
一位安全行业人士在知乎上透露,他在某著名电商网站上用这个漏洞尝试读取数据,在读取200次后,获得了40多个用户名、7个密码,用这些密码,他成功地登录了该网站。
发现者们给这个漏洞起了个形象的名字:heartbleed,心脏出血。这一夜,互联网的安全核心,开始滴血。
中国有至少三万台机器“带病”
一些安全研究者认为,这个漏洞影响可能没有那么大,因为受漏洞影响的OpenSSL 1.01系列版本,在互联网上部署并不广泛。国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警:“这一次,狼真的来了”。
余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中,他除了在Twitter和各大论坛中实时跟踪事态的最新进展,更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描,中国全境有1601250台机器使用443端口,其中有33303个受本次OpenSSL漏洞影响!443端口仅仅是OpenSSL的一个常用端口,用以进行加密网页访问;其他还有邮件、即时通讯等服务所使用的端口,因时间关系,尚未来得及扫描。
ZoomEye是一套安全分析系统,其工作原理类似Google,会持续抓取全球互联网中的各种服务器,并记录服务器的硬件配置、软件环境等各类指标,生成指纹,定期对比,以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中,余弦给该系统后面加上一个“体检”系统,过滤出使用问题OPenSSL的服务器,即可得出存在安全隐患的服务器规模。
从该系统“体检”结果看,比三万台问题服务器更令人惊心的,是这些服务器的分布:它们有的在银行网银系统中,有的被部署在第三方支付里,有的在大型电商网站,还有的在邮箱、即时通讯系统中。
自这个漏洞被爆出后,全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器,试图从漏洞中抓取到尽量多的用户敏感数据;后者则在争分夺秒地升级系统、弥补漏洞,实在来不及实施的则暂时关闭某些服务。余弦说,这是目前最危险的地方:骇客们已经纷纷出动,一些公司的负责人却还在睡觉。而如果骇客入侵了服务器,受损的远不止公司一个个体,还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有骇客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄漏信息,从而通知用户进行补救。
问题的应对与新的问题
目前,ZoomEye仍在持续不断地给全球服务器“体检”,这个过程需要20小时左右。相比之下,仅仅给国内服务器体检需要的时间短得多,仅仅需要22分钟;而给那三万多台“带病”服务器重复体检,则只需两分钟。目前,余弦已经将这份名单提交给CNCERT/CC(国家互联网应急中心),由后者进行全国预警。但是,除了移动、联通等这些大型企业外,CNCERT也没有强制力确保其他公司看到预警内容,最后可能还是需要媒体持续曝光一些“带病”服务器,以此倒逼相关公司重视该漏洞。
而在漏洞修补期间,普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说,余弦建议在确认有关网站安全之前,不要使用网银、电子支付和电商购物等功能,以避免用户密码被钻了漏洞的骇客捕获。一位银行朋友告诉我,他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了,确认安全后再登。如果已经登录过了,那就考虑换一下密码吧。
与用户的消极避险不同,相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本,可以消除掉这一漏洞,这是目前企业最便捷的做法。但在升级后,理论上还应该通知用户更换安全证书(因为漏洞的存在,证书的密钥可能已泄漏),并通知用户尽可能地修改密码。后面这两个措施,企业实施起来会面临很大的代价,也只能通过媒体尽量曝光,让意识到的用户重新下载证书并自行修改密码了。
由于“心脏出血”漏洞的广泛性和隐蔽性,未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天,一些协议级、基础设施级漏洞的出现,可能会打击人们使用互联网的信心,但客观上也使得问题及时暴露,在发生更大的损失前及时得到弥补。作为身处其中的个人,主动应变、加强自我保护,可能比把安全和未来全部托付出去要负责任一些。
甲方:幼儿园乙方: 青岛贝贝城 为了确保幼儿在外出过程中的接送安全,甲、乙双方共同达成如下安全协议:
1、协议期限:自月日至协议即终止。
2、乙方必须严格遵守甲方制定的幼儿安全接送制度.3、乙方提供具备有驾驶证、车辆行驶证并有丰富经验的司机。
4、乙方的车辆必须通过有关单位年检合格后,方可上路行驶。
5、乙方在行车之前必须对车辆进行全面的安全检查。
6、本协议一式两份甲乙双方各执一份,签定后即生效。
甲方:幼儿园乙方:
幼儿园和家长共同负责照顾孩子的身心健康,确保孩子的安全。为了达到家庭一致教育的良好效果,专门制定了以下安全接送协议,希望家长理解合作。
一、请家长每天早上按时接送孩子上下学。
二、为了安全起见,请不要让孩子带贵重物品和危险物品进入公园。孩子来公园前,请注意检查孩子的口袋。如发现危险物品(如刀、片、钉、小颗粒、锥、弹、碎玻璃等),应立即取出,并及时教育儿童。
三、孩子早上到公园后,应送保健老师早上检查。如果半托儿童需要喂食,请将药物交给保健老师,注明用法和剂量,请签署家长姓名,并接到有关部门的通知。公园拒绝代表他们喂抗生素和补充剂。
四、一般来说,不要让孩子无缘无故地缺席或迟到。由于各种原因,孩子不能来园。请提前向老师提交请假条,让老师知道。
五、儿童接送:原则上由父母亲自接送。如有困难委托他人接送,委托接送儿童的人应具有完全的行为能力(18岁以上的正常人)。请提前联系老师,告诉老师受托人的姓名、性别、年龄、特点、衣服和孩子之间的关系。参加园外兴趣小组的儿童,请提前通知老师,签署委托书,园外兴趣小组教师持委托书接送儿童。
六、接送人负责孩子从老师手中接管后的一切安全问题。
为确保孩子离开公园时的安全,请注意:
(1)离开幼儿园时,由于孩子和父母太密集,为了确保孩子的安全,请在接孩子时尽快离开幼儿园。如果您需要带孩子去户外玩,请做好安全保护工作。如果在此期间发生事故,一切都将由您自己承担。
(2)穿过走廊时,教育孩子爱护走廊内的设施,提醒孩子一步一步走,不跑不跳,不从楼梯扶手上滑下来,避免安全事故。
八、未经许可,家长不得擅自进入幼儿教室;父母在没有特殊情况的情况下,不得探视孩子。
九、家长负责幼儿园、离园路上、离园外的一切安全责任。
家长意见:_______
家长签名:_______
儿童名称:_______
摘要:TCP/IP协议是目前使用最为广泛的网络互联协议。在详细叙述TCP/IP基本工作原理的基础上,深入分析了各层协议的安全性,指出了存在的安全漏洞及攻击方式,并给出了针对安全性问题的防范措施。为网络安全的研究提供了参考。
关键词=TCP/IP协议;网络安全;防范
1引言
随着信息技术的迅猛发展,计算机网络技术已经广泛地应用到名个领域。Internet,Intranet是基于TCP/IP协议簇的计算机网络。TCP/IP协议簇在设计初期只是用于科学研究领域,因而没有考虑安全性问题。但随着Internet应用迅猛发展和应用的普及,它不仅用于安全性要求很高的军事领域,也应用于商业及金融等领域,因而对其安全性的要求也越来越高。对TCP/IP协议及其安全性进行分析和研究就显得尤为重要。
2TCP/IP的工作原理
TCP/JP协议是一组包括TCP协议和P协议、UDP协议、ICMF协议和其他协议的协议组。TCP/IP协议共分为4层,即应用层、传输层、网络层和数据链路层。其中应用层向用户提供访问internet的一些高层协议,使用最为广泛的有TELNET、FTP、SMTP、DNS等。传输层提供应用程序端到端的通信服务。网络层负责相邻主机之间的通信。数据链路层是TCP/IP协议组的最低一层,主要负责数据帧的发送和接收。其工作原理是:源主机应用层将一串应用数据流传送给传输层,传输层将其截成分组,并加上TCP报头形成TCP段送交网络层,网络层给TCP段加上包括源主机和目的主机IP地址的IP报头,生成一个IP数据包,并送交数据链路层;数据链路层在其MAC帧的数据部分装上IP数据包,再加上源主机和目的主机的MAC地址和帧头,并根据其目的MAC地址,将MAC帧发往目的主机或IP路由器。目的主机的数据链路层将MAC帧的帧头去掉,将IP数据包送交网络层:网络层检查IP报头,如果报头中校验和与计算结果不一致,则丢弃该IP数据包。如果一致则去掉IP报头,将TCP段送交传输层;传输层检查顺序号,判断是否是正确的TCP分组,然后检查TCP报头数据,若正确,则向源主机发确认信息,若不正确则丢包,向源主机要求重发信息,传输层去掉TCP报头,将排好顺序的分组组成应用数据流送给应用程序。这样目的主机接收到的字节流,就像是直接来自源主机一样。
3TCP/IP各层的安全性分析
3.1数据链路层
数据链路层是TCP/IP协议的最底层。它主要实现对上层数据(IP或ARP)进行物理帧的封装与拆封以及硬件寻址、管理等功能。在以太网中,由于信道是共享的,数据以“帧”为单位在网络上传输,因此,任何主机发送的每一个以太帧都会到达与其处于同一网段的所有主机的以太网接口。当数字信号到达一台主机的网络接口时,根据CSMA/CD协议,正常状态下,网络接口对读入数据进行检查,如果数据帧中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据帧交给IP层软件。当数据帧不属于自己时,就把它忽略掉。然而,目前网络上存在一些被称为嗅探器(sniffer)的软件,如NeXRay、Sniffit、IPMan等。攻击方稍作设置或修改,使网卡工作在监听模式下,则可达到非法窃取他人信息(如用户账户、口令等)的目的。防范对策:(1)装检测软件,查看是否有Sniffer在网络中运行,做到防范于未然。(2)对数据进行加密传输,使对方无法正确还原窃取的数据,并且对传输的数据进行压缩,以提高传输速度。(3)改用交换式的网络拓扑结构,使数据只发往目的地址的网卡,其他网卡接收不到数据包。这种方法的缺点是交换机成本太高。
3.2网络层
3.2.1IP欺骗
在TCP/IP协议中,IP地址是用来作为网络节点的惟一标志。IP协议根据IP头中的目的地址来发送IP数据包。在IP路由IP包时,对IP头中提供的源地址不做任何检查,并且认为IP头中的源地址即为发送该包的机器的IP地址。这样,攻击者可以直接修改节点的IP地址,冒充某个可信节点的IP地址攻击或者编程(如RawSocket),实现对IP地址的伪装,即所谓IP欺骗。攻击者可以采用IP欺骗的方法来绕过网络防火墙。另外对一些以IP地址作为安全权限分配依据的网络应用,攻击者很容易使用IP欺骗的方法获得特权,从而给被攻击者造成严重的损失。防范对策:(1)抛弃基于地址的信任策略。(2)采用加密技术,在通信时要求加密传输和验证。(3)进行包过滤。如果网络是通过路由器接入Internet的,那么可以利用路由器来进行包过滤。确认只有内部IAN可以使用信任关系,而内部LAN上的主机对于LAN以外的主机要慎重处理。路由器可以过滤掉所有来自于外部而希望与内部建立连接的请求。
3.2.2ICMP漏洞
ICMP运行于网络层,它被用来传送IP的控制信息,如网络通不通、主机是否可达、路由是否可用等网络本身的消息。常用的Ping命令就是使用ICMP协议,Ping程序是通过发送一个ICMP Echo请求消息和接收一个响应的ICMP回应来测试主机的连通性。几乎所有的基于TCP/IP的机器都会对ICMP Echo请求进行响应。所以如果一个敌意主机同时运行很多个Ping命令,向一个服务器发送超过其处理能力的ICMP Echo请求时,就可以淹没该服务器使其拒绝其它服务。即向主机发起“Ping of Death”(死亡之Ping)攻击。死亡之Ping是较为原始的拒绝服务攻击手段。解决方法较成熟:(1)可给操作系统打上补丁(patch)。(2)在主机上设置ICMP数据包的处理规则,最好是设定拒绝所有的ICMP数据包。(3)利用防火墙来阻止Ping。但同时会阻挡一些合法应用。可只阻止被分段的Ping。使得在大多数系统上只允许一般合法的64Byte的Ping通过,这样就能挡住那些长度大于MTU(Maximum TransmiSsIon Unit)的ICMP数据包,从而防止此类攻击。
3.3传输层
TCP是基于连接的。为了在主机A和B之间传递TCP数据,必须通三次握手机制建立连接。其连接过程如下:A→B:A向B发SYN,初始序列号为ISNI;B→A:B向A发SYN,初始序列号为ISN2,同时对ISNI确认;A→B:A向B发对ISN2的确认。建立连接以后,主要采用滑动窗口机制来验证对方发送的数据,如果对方发送的数据不在自己的接收窗口内,则丢弃此数据,这种发送序号不在对方接收窗口的状态称为非同步状态。由于TCP协议并不对数据包进行加密和认证,确认数据包的主要根据就是判断序列号是否正确。这样一来,当通信双方进入非同步状态后,攻击者可以伪造发送序号在有效接收窗口内的报文,也可以截获报文,篡改内容后,再修改发送序号,而接收方会认为数据是有效数据,即进行TCP会话劫持。目前存在一些软件可以进行TCP会话劫持,如Hunt等。防范对策:(1)在传输层对数据进行加密。(2)使用安全协议,对通信和会话加密,如使用SSI代替telnet和ftp。(3)运用某些入侵检测软件(IDS)或者审计工具,来查看和分析自己的系统是否受到了攻击。
3.4应用层
在应用层常见的攻击手段是DNS欺骗。攻击者伪造机器名称和网络的信息,当主机需要将一个域名转化为IP地址时,它会向某DNS服务器发送一个查询请求。同样,在将IP地址转化为域名时,可发送一个反查询请求。如果服务器在进行DNS查询时人为地给出攻击者自己的应答信息,就产生了DNS欺骗。由于网络上的主机都信任DNS服务器,一个被破坏的DNS服务器就可以将客户引导到非法的服务器,从而就可以使某个地址产生欺骗。防范对策:(1)直接用IP访问重要的服务,从而避开DNS欺骗攻击。(2)加密所有对外的数据流。在服务器端,尽量使用SSH等有加密支持的协议;在客户端,应用PGP等软件加密发到网络上的数据。
4结束语
RIP现有v1和v2两个版本, 无论v1还是v2版本, RIP协议都是一个是基于UDP协议的应用层协议, 所使用源端口和目的端口都是UDP端口520, 在经过IP封装时, RIPv1版本和RIPv2版本有一些区别, RIPv1的目的IP地址为255.255.255.255 (有限广播) , RIPv2的目的IP地址为组播地址224.0.0.9, 源IP为发送RIP报文的路由器接口IP地址。
由于RIPv1版本为有类路由, 不支持可变长子网掩码VLSM (Variable Length Subnet Mask) , 因此在实际应用中, 主要使用RIP的v2版本。
RIPv2的路由信息报文封装结构与RIPv1基本相同, 主要是在路由信息中增加了4个字段, 分别是路由标记、子网掩码、下一跳路由器IP地址、RIP验证。如图1为RIPv2路由信息报文, 图2为RIPv2验证信息报文, 如果是RIPv2路由信息报文, 则报文内容部分最多可以有25个路由信息, 如果是RIPv2验证信息报文, 则报文内容包含20字节的验证信息和最多24个路由信息, 故RIPv2最大报文为25×20+4=504字节。
RIPv2各字段的含义解释如下:
1) 命令:1字节, 值为1时表示路由信息请求, 值为2时表示路由信息响应。
2) 版本:1字节, 值为1表示RIP协议版本为1, 值为2表示RIP协议版本为2。
3) 地址类型标识:2字节, 用来标识所使用的地址协议, 如果该字段值为2, 表示后面网络地址使用的是IP协议。
4) 路由标记:2字节, 提供这个字段来标记外部路由或重分发到RIPv2协议中的路由。如果某路由器收到路由标记为0的RIPv2路由信息报文, 说明该报文是和本路由器同属一个自治系统的路由器发出的, 如果收到路由标记不为0的RIPv2路由信息报文, 说明该报文是路由标记数字所指示的自治系统发出的。使用这个字段, 可以提供一种从外部路由中分离内部路由的方法, 用于传播从外部路由协议EGP获得的路由信息。
5) 网络地址:路由表中路由条目的目的网络地址。
6) 子网掩码:路由表中路由条目的子网掩码。
7) 下一跳路由器IP地址:路由表中路由条目的下一跳路由器IP地址。
8) 代价值:表示到达某个网络的跳数, 最大有效值为15。
RIPv2在v1版的基础上新增了验证功能, 这样就避免了许多不安全因素。没有验证的情况下, 路由器可能会接收到一些不合法的路由更新, 而这些路由更新的源头可能是一些恶意的攻击者, 他们试图通过欺骗路由器, 使得路由器将正常数据转发到黑客的路由器上, 通过Sniffer等工具抓包来获得一些机密信息。
RIPv2支持明文验证, 它的实现方法是将RIP报文中, 原本属于第一个路由信息的20字节交给验证功能。0x FFFF为验证标志。现在没有公开的标准来支持RIPv2的密文验证, 不过在CISCO公司的产品中, 支持MD5密文验证。
9) 验证类型:当验证类型为0x0002时, 表示采用明文验证。
10) 验证信息:16个字节存放的为RIP的明文密码, 不足16位时用0补足。
以下以图3为例, 使用Cisco公司路由器产品说明RIPv2协议验证的配置方法。注意两台路由器配置用于RIP验证的密码必须相同。
通过以上配置R1、R2之间可以验证后相互学习路由, 如果验证不能通过 (如密码不一样或验证模式不一样) , 则两台路由器之间不能相互学习路由。
这里需要注意的是, 在Cisco的路由器上RIP验证的时候, 验证方向被验证方发送的是最小key值所对应的keystring密码, 只要被验证方有和验证方一样的密码, 验证就可以通过, 验证过程中只与key-string密码有关, 而与key值无关。如图4所示。
R1向R2发出验证请求, 发出key1的key-string apple, R2收到后没有相应的密码对应, 所以R2没有通过R1的验证, 因此R2学不到R1上的路由信息。
R2向R1发出验证请求, 发出key1的key-string watermelon, R2收到后可以找到相应的密码对应, 所以R1通过R2的验证, 因此R1可以学到R2上的路由信息。
综上所述, 虽然RIP协议在网络规模、安全性方面有着本身协议性上的不足, 例如RIP并没有国际性标准化的安全认证和加密方案, 但是由于RIP协议的简单便捷, 并且随着广域网络带宽速率的不断增加, 在中小型网络中RIP有着其独特的应用范围和环境, 通过RIP标准中的明文验证和企业私有标准的密文验证, 同样可以使得在路由网络中RIP安全可靠地运行。
摘要:在路由网络中, RIP协议由于简单便捷得到了广泛的使用, 但是网络安全的问题逐渐突出, 如何保证RIP协议的安全运行成为了路由网络不容忽视的问题, 通过在路由器之间建立RIP协议的验证机制, 从而保证路由网络的正常安全运行。
关键词:路由信息协议,可变长子网掩码,MD5加密,钥匙串,钥匙字符串
参考文献
[1]《CCNP学习指南:组建Cisco多层交换网络 (BCMSN) (第4版) 》 (, 美) Richard Froom著, 人民邮电出版社, 2007年.
[2]《CCNP学习指南:组建可扩展的Cisco互连网络 (BSCI) (第3版) 》, (美) Diane Teare著, 人民邮电出版社, 2007年.
[3]《CCNP四合一学习指南 (中文版) 》, (美) Wade Edward著, 人民邮电出版社, 2005年.
[4]《思科网络技术学院教程CCNA交换基础与中级路由》, (美) Wayne Lewis著, 人民邮电出版社, 2008年.
[5]《思科网络技术学院教程CCNA路由器与路由基础》, (美) Wendell Odom著, 人民邮电出版社, 2008年.
[6]《网络互联设备》, (美) Kenneth D著, 电子工业出版社, 2002年.
[7]《思科网络实验室路由、交换实验指南》, 梁广民著, 电子工业出版社, 2007年.
[8]“RIP Version2-Carrying Additional Information”, Malkin.G., RFC1388, Xylogics, January1993.
【幼儿园安全协议】推荐阅读:
幼儿园安全接送协议04-04
幼儿园安全管理协议03-17
关于幼儿园安全协议书03-20
幼儿安全接送协议书11-08
幼儿园食堂供货协议05-28
合伙承办幼儿园协议06-03
幼儿园战略合作协议11-22
幼儿园食品供货协议书07-12
幼儿园园长聘用协议书09-09
幼儿园合伙合作协议书09-30
