时间:2022-04-20 10:00:31
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇安全协议,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
校车驾驶员必须严格遵守交通法规,严禁酒后驾车,严禁闯灯越线,严禁超载、超速行驶,杜绝事故隐患和违规行为,确保行车安全。下面是为大家整理的校车安全协议材料资料,提供参考,希望对你有帮助,欢迎你的阅读。
校车安全协议材料一
尊敬的学生家长您好:
您的孩子乘坐的是___交运平安校车,您选择接送孩子校车运行线是________,您选择接送孩子的校车停靠点是________,根据学校上学、放学时间以及学校、家长要求,本线路校车上学、放学发车时间依照学校和校车公司根据实际情况协商制定的时间(具体时间由学校通知家长)。为了加强和规范接送学生的日常管理,确保孩子乘车安全,根据《校车安全管理条例》、《惠民县平安校车工程试点方案》等安全管理规定特制定本责任书。
一、因各种原因学生上学不坐校车时,家长应向校车护导员请假,放学不坐校车时学生(或家长)应向交接老师请假。
二、家长必须在学校的放学时间点按时到校车停靠点接孩子,由于家长原因学生不能按时与校车方交接的,校车不再等待。家长同意让学生自己下车的,必须与校车护导员联系并交代清楚后,由学生签字后自己下车。家长不按时接孩子又不联系或无法联系、联系不上的,由校车将学生拉回学校,由学校处理,确保孩子安全,由此出现的后果家长自负。
三、家长送孩子上学必须在起始点发车时间前到达自己选择的停靠点等待校车,不能让校车等待学生,耽误坐车结果自负。
四、家长必须配合学校对子女进行交通安全教育,使其熟知交通安全法规,并教育子女严格遵守交通秩序。家长必须向子女讲清楚乘坐校车的相关规定,听从随车护导员的管理和指挥,乘车时不得打闹、随意离开座位,不得损坏校车设施,不得乘车期间吃零食,乱扔垃圾,保持车内卫生。
五、学生上车前、下车后的一切安全问题由学校、家长负责,行车途中学生的安全问题由校车公司负责。
六、家长有权监督驾驶人的驾驶行为,对驾驶人违章行为向学校、校车公司举报。
联系电话: 公司管理人员:________ 驾驶员:________ 护导员:________
____交运集团有限公司____公交分公司 管理负责人:
乘坐校车的学生:________ 学生家长:________
二〇____年____月____
校车安全协议材料二
为了进一步贯彻落实公安部、教育部《关于进一步加强中小学校交通安全工作的通知》及区委区政府、区教育局的相关文件精神,加强校车管理,明确做好校车安全管理工作责任,确保学生的人身安全,特制定以下安全目标责任:
1、校车驾驶员必须严格遵守交通法规,严禁酒后驾车,严禁闯灯越线,严禁超载、超速行驶,杜绝事故隐患和违规行为,确保行车安全。
2、不准用无牌无证、不符合安全技术标准的车辆接送学生。
3、司机必须是驾龄3年以上,三年内任一记分周期累计分满12分或者发生过交通死亡事故,并负有责任的驾驶人不得驾驶校车接送学生。
4、接送学生车辆必须保证车况良好,必须做好车辆的维护保养,并做好保养维修记录,出车前必须检查车辆,尤其要认真检查刹车、车灯等车辆的安全性能,严禁车辆在不安全的情况下行驶。
5、接送学生车辆应按核定数量乘坐,严禁超载,严防事故的发生。
6、负责接送学生的车辆驾驶员要准时按送学生,要有乘务员随车负责,并认真记录好乘车学生的名单,不准出现漏接学生的现象发生。
7、负责按送学生的车辆要安全、及时的将乘车的学生送到目的地。
8、对因松懈,不落实责任而造成事故的由交管部门依法追究责任
___
____年__月__日
校车安全协议材料三
各位学生家长,为了加强和规范接送学生用车管理,预防和减少交通事故,保证学生人身安全,根据上级主管部门关于《校车管理规定》和各级教育行政主管部门有关的安全管理的规定,特制定本责任书:
一、家长必须配合学校对子女进行交通安全教育,熟知交通规则,并教育子女认真严格遵守交通秩序。
二、家长必须向子女讲清楚乘坐车辆的相关规定。汛期要教育学生注意人身安全,候车时不得离开候车地点下河玩水,远离河道,要熟知乘车时间,不得过早候车。家长要对学生乘车前时段安全进行监管,如果发生意外,由家长负责。
三、家长必须在学生返校时将子女送到校车站点,乘校车学生必须在固定乘车地点候车。要准时上车,超出等候时间,校车不再等候。因故不能返校的,家长要向随车调度员打电话或向学校打电话说明情况。离校不乘坐校车首先要和班主任请假,然后由班主任和校车管理人员或随车照管人员请假。放假时,需要接站的家长按照学校接送车到点时间,提前在接送点等候,接送车将学生安全送到家长手中签字后方可离开,不需要接站的,校车把学生送达车站学生下车回家途中安全由家长负责,要求家长要及时监管学生是否回家,知道学生去向。如因路况原因迟到的,驾驶人要立即告知家长,让家长放心。因一方原因未能按上述要求发生意外事故的,由违约方承担责任。
四、学生上、下车时必须确保其安全,注意来往车辆,家长因事无法接送,必须嘱托他人代替接送工作,如果发生意外事故,由家长自己承担责任。
五、学生上车时不允许携带小刀、针、弹珠、小石子等危险物品及食物,为保护学生人身安全及维护车内卫生,不允许学生在车上吃东西。不得在校车上打闹,喧哗,更不得吸烟.要服从随车照管人员管理。
六、家长必须向子女讲清楚当驾驶员出现以下情况时,应当拒绝乘车并告知家长,由家长向学校校车管理人举报:
1、驾驶员没有按规定地点进行停放,导致学生上下车及过马路存在安全隐患。
2、驾驶员在途中乘载其他人员的。
3、驾驶员存在身体心理健康的现象。
4、驾驶员酒后驾驶的。
5、驾驶员出现超速行驶等交通违法行为的。
七、乘坐校车学生取消乘坐校车必须要由家长和班主任沟通,由班主任同意方能通知校车管理人员取消乘坐。个别趟次不乘坐要首先和班主任请假,然后和随车照管人员请假。
八、家长有责任了解接送子女车辆的基本情况(驾驶人员的工作作风、身体状况、驾驶经验以及车况是否符合要求等),发现异常应当向学校举报。
校车驾驶安全责任人(签名): ________
乘坐校车学生(签名):________
学生家长(签名):________
____年____月____日
校车安全协议材料四
为了进一步贯彻落实《自治区教育厅 公安厅关于进一步做好校车安全管理工作的通知》精神,严格按照《校车安全管理条例》(2012年4月5日颁布施行)规定,切实加强对校车交通安全工作的监督管理,保障师生的交通安全, 特与校车管理人、驾驶人签订本责任书。
一、责任对象
中小学及幼儿园负责人及校车驾驶人
二、管理目标
1、对《校车安全管理条例》颁布后申请校车使用许可的车辆,严格按照《校车安全管理条例》规定进行审查、备案;对《校车安全管理条例》颁布前已经备案的校车,要对校车标牌、校车标志灯、停车指示标志、承运人保险、车内安全设备等方面进行整改,完成整改后重新备案。
2、学校要加强对校车驾驶人的管理,制定管理制度,严格落实责任。校车驾驶人必须具备相应准驾车型3年以上安全驾驶经历,最近3年内任一计分周期没有记满12分纪录,无致人伤亡的道路交通责任事故。学校要加强对校车驾驶人的交通安全教育,并签订安全驾驶责任状,切实增强安全意识、责任意识、守法意识。
3、学校要加强对接送学生车辆的日常管理,制定车辆管理制度,定期进行检验,督促驾驶员加强日常维护保养,确保车辆的安全运行。学校不得使用或租用报废汽车、拼装车、低速载货汽车或安全设施不符合规定的机动车接送学生,达到报废标准的车辆,要立即报废,对存在交通安全隐患的,要立即停止接送学生,立即进行整改。不得强令驾驶员违法驾驶车辆。
4、学校要加强校车驾驶人的交通安全教育培训,组织校车驾驶人学习交通安全法律法规,撰写交通安全心得体会;设立并定期更换交通安全宣传橱窗、宣传栏;积极参加交警部门组织的安全学习,切实增强安全意识、责任意识、守法意识。
5、学校要与每位学生家长签订安全乘车协议书。有针对性地开展对学生家长和学生的交通安全教育,进一步提高家长和学生的交通安全意识和自我保护意识,教育学生不坐超员车、低速载货汽车、拖拉机和非法营运车,自觉抵制各类交通违法行为。
三、驾驶人承诺:
1、驾驶校车时严格遵守交通法规,文明驾驶,摒弃驾驶陋习,坚决杜绝酒后驾驶、疲劳驾驶、超员超速、闯红灯等危险驾驶行为;
2、接送学生途中不随意停车,不抢行,起步、停车时注意观察车内和车外情况,确认安全。认真做好出车和收车后的车辆安全检查,确保车辆安全运行。
3、遇到雨、雪、雾等恶劣天气,采取必要的安全措施,注意保持安全车速,确保学生的安全。
此责任书一式三份,学校、交警大队和校车驾驶人各一份存查。
学 校 大武口区交警大队
责任人: 负责人:
校车驾驶人 :
为了确保走读学生在校期间的人身安全,严格责任界限,健全学校教育──家庭教育──社会教育一体化网络,根据教育部颁发《学生伤害事故处理办法》和有关法律、法规规定,结合我校实际,特签订本安全协议书:
1.学生的监护人是学生的父母或依法确定的监护人,其监护关系不因学生的入学而转移给学校,学校与学生只是教育管理关系,监护人应对学生进行安全教育和遵纪守法教育,学生在校期间学校应对学生进行安全教育和遵纪守法教育。
2.学生在校生活、学习期间,因第三人的原因造成身体受到伤害,一般由第三人承担赔偿责任;如能够证明学校有过错的,按学校过错的大小确定学校应承担的赔偿责任;如给他人造成损害的,一般由学生承担赔偿责任。
3.学校为每位走读生发放《出入证》,走读生进出校园应向门卫出示《出入证》,并按规定时间上、放学(早晨上学时间:_____:_____--_____:_____,上午放学时间:_____:_____--_____:_____,下午上学时间:_____:_____--_____:_____,下午放学时间:_____:_____--_____:_____)。学校原则上要求家长接送,非学校或老师的原因在校园滞留、嬉戏玩耍,造成伤害的,学校不承担责任。
4.上午放学到下午上课(_____:_____~_____:_____)这段时间,在校搭中餐的走读生学校不负有管理义务和责任,如发生安全事故,学校不承担责任。
5.此协议一式两份,签字盖章后立即生效。
甲方:__________学校(盖章)
__________年______月______日
乙方(学生监护人):________
__________年______月______日
地址:____________________________________
法定代表人:______________________________
授权代表人:______________________________
乙方:____________________________________(后建单位)
地址:____________________________________
法定代表人:______________________________
授权代表人:______________________________
根据《中华人民共和国电信条例》、《电信建设管理办法》规定、《本地电话网用户线路工程设计规范》等相关法律、法规的规定,甲乙双方在同路由隔距不够的情况下,经协商一致,签订本协议。
第一条甲乙双方在施工过程中必须遵守有关通信建设安全的法律、法规,建立安全建设责任制度,完善安全建设条件,确保线路建设过程中的安全施工。
第二条根据业务发展需求乙方需进行如下施工
1.施工地址:_____________________________________________
2.与甲方线路的距离:_____________________________________
3.施工长度:_____________________________________________
第三条在以上施工过程中乙方必须采取如下安全措施来保证甲方线路的安全。
1.架空电缆、光缆与原有线路跨越的,与原有线路的交越隔距必须达到0.6m的最小净距,不达标的必须整改;
2.架空电缆、光缆凡是与电力线交越的,其安全交越距离要符合国家相关标准,同时必须加装安全保护设施。
第四条责任划分
甲乙双方线路在同路由或交越的情况下,发生下述情况由责任方承担责任。
1.架空电缆、光缆凡是与电力线交越的,其安全交越距离要符合国家相关标准。同时必须加装安全保护设施,新建一方线路和电力线路交越时因没有进行安全保护,发生强电侵入,导致原有杆路出现线路故障及经济损失,由新建方承担责任;
2.新建方杆路与原有杆路隔距不符合国家规定标准的,若发生倒杆等现象,造成已建杆路损坏电路中断的,新建方负责赔偿损失;若原有杆路发生倒杆等现象,造成新建杆路损坏的,双方各自承担损失费用。
第五条双方义务
甲乙双方在发现对方的线路发生问题时具有告知对方的义务。
第六条双方权利
甲乙双方对由于对方的责任造成的损失均有要求赔偿的权利。
第七条不可抗力
因不可抗力导致甲乙双方或一方不能履行或不能完全履行本协议项下有关义务时,双方相互不承担违约责任。但遇不可抗力的一方,应于不可抗力发生后5个工作日内将不可抗力情况告知对方,并提供有关部门的证明。在不可抗力影响消除后的合理时间内,一方或双方应当继续履行协议。
第八条法律适用和争议解决
本协议适用中华人民共和国机关法律、法规。双方因本协议的履行而发生的争议,应由双方友好协商解决。协商不成,任何一方均可将争议提交 _________省通信管理局进行协调,_________省局要依据国家法律法规做出行政决定,涉及技术性的问题,要邀请相关专家论证,并做出仲裁。以上决定对双方均有约束力。
除争议事项外,双方将继续执行本协议未涉争议及仲裁的其它部分。
乙方:
为坚决贯彻《中华人民共和国消防法》的实施和执行,落实“预防为主,防消结合”的消防方针,严格消防监督管理,加强消防管理力度,防止火灾发生,减少火灾损失,保障*********(简称本社区)的正常生活秩序及人员、财产的安全,甲乙双方根据《中华人民共和国消防法》及武汉市地方消防安全法规的要求,特签订本消防安全协议书,具体约定如下:
一、根据“谁主管、谁负责”的消防责任界定原则,甲方将本社区属乙方购买所有或居住的********住宅房屋范围的消防安全保障工作分割委托给乙方负责。
二、甲方责任义务:
1. 负责本社区消防安全防范的组织工作,定期开展消防安全知识宣传和消防逃生演习活动,定期安排防火检查,对火灾隐患及时上报或整改。
2. 负责本社区公共消防设施设备的管理维护工作,贯彻执行各项消防管理规定,认真落实安全管理措施。
3. 负责在本社区发生火警时及时组织扑救和协助政府消防部门进行消防灭火施救工作。
4. 其它作为本社区物业管理企业所应承担的消防责任义务。
三、乙方责任义务:
1. 积极支持配合和参加甲方组织的消防安全防范活动,自觉培养消防意识宣传消防重要性。
2. 不在所属住宅房屋或车辆内贮藏保存易燃易爆危险物品。
3. 不违规使用电器、不超容量用电和不违规使用液化气、管道煤气等燃气具。
4. 教育和培养家庭成员特别是小孩学习消防逃生技能、会报警、不玩火和不燃放烟花爆竹。
5. 遵守装修工程消防安全管理规定和工程施工安全技术规范。
6. 在有火警紧急情况下能冷静准确向119报警并灭火、指引和协助他人逃生。
7. 其它作为本社区业主或住户所应承担的消防责任义务。
四、甲乙双方对上述各项消防安全管理责任义务应认真执行,若有违反,承担相关法律后果。
五、本协议未尽事宜,可由双方约定签订补充协议。补充协议与本协议具有同等效力。
六、本协议自双方签订之日起生效。
甲方: 乙方:
物业分公司
为贯彻“安全第一,预防为主”方针,明确双方的安全责任,确保施工中人身、电网和设备安全,根据国家有关法律法规,经双方协商一致签订本协议。
第一条工程项目:
第二条施工地址:
第三条甲方安全责任
1、开工前甲方对乙方进行施工安全技术交底,并应有书面记录或资料。
2、甲方应要求乙方制定施工安全措施,在开始施工前报甲方备案。
3、甲方有协助乙方搞好安全生产、防火管理以及督促检查的义务。甲方有权检查督促乙方执行有关安全生产方面的工作规定,对乙方不符合安全文明施工的行为进行制止、纠正并发出安全整改通知书,直至清退出场。
4、甲方指派同志负责与乙方联系安全生产方面的工作。
5、甲方负责签发工作票,对工作票所填写的安全措施是否正确完备负责,并履行工作票许可手续。
6、甲方有权对乙方参与施工的人员进行安全技术知识和安全工作规程的抽考。
7、乙方在施工中发生的甲方电网、设备事故,甲方有责任负责调查、统计上报。乙方在施工中如发生国务院《特别重大事故调查程序暂行规定》所规定的特大事故,甲方有权督促乙方立即通知当地政府和公安部门,要求派人保护现场;并有权要求乙方提供事故调查书面结论及处理意见。
8、甲方不得要求乙方违反安全管理规定进行施工。因甲方原因导致的事故由甲方承担责任。
9、发生以下情况停工整顿,因停工造成的违约责任由乙方承担:
(1)人身伤亡事故;
(2)发生施工机械、生产主设备严重损坏事故;
(3)发生厂内火灾事故;
(4)发生违章作业、冒险作业不听劝告的;
(5)施工现场脏、乱、差,不能满足安全和文明施工要求的。
第四条乙方安全责任
乙方作为工程项目的承包单位,对工程施工过程中发生的人身伤害、设备损坏事故承担安全责任。乙方应切实履行以下安全责任:
1、乙方所提供的承包工程要求的相关资质证明材料应真实、合法、有效。
2、乙方必须贯彻执行国家有关安全生产的法律法规,必须制定相应的安全管理制度;严格执行《电业安全工作规程》、《电力建设安全工作规程》、《电力设备典型消防规程》等有关电力生产规程和甲方关于工作票制度及其他安全生产规定、制度。
3、现场施工应遵守国家和地方关于劳动安全,劳务用工法律法规及规章制度,保证其用工的合法性。乙方必须按国家有关规定,为施工人员进行人身保险,配备合格的劳动防护用品、安全用具。
4、施工期间,乙方应设有专职安监人员,(少于30人者设兼职)。乙方指派作为安全工作联系人。
5、乙方一切施工活动,必须编制安全施工措施,施工前对全体施工人员进行全面的安全技术交底,并在整个施工过程正确、完整地执行,无措施或未交底严禁布置施工。
6、乙方用于本工程项目的施工机械、工器具及安全防护用具的数量和质量必须满足施工需要,并经有资质检验单位检验符合安全规定,乙方对因使用工器具不当所造成的人员伤害及设备损坏负责。
7、开工前,乙方应组织全体施工人员进行安全教育,并将参加安全教育人员名单(包括临时增补或调换人员)与考试成绩报给甲方备案。特种作业人员必须有有关部门核发的合格有效的上岗资格证书。
开工前,乙方应到甲方办理临时出入证并佩戴出入证进入施工现场,出入证严禁转借他人。
8、开工前,乙方应组织人员对施工区域、作业环境及使用甲方提供的设施设备、工器具等进行检查,确认符合安全要求,一经开工,就表示乙方已确认施工现场、作业环境、设施设备、工器具符合安全要求并处于安全状态。
9、乙方应在施工范围装设临时围栏或警告标志,不得超越指定的施工范围进行施工,禁止无关人员进入施工现场。未经甲方同意,乙方不得擅自使用与施工无关的甲方设施设备;不得擅自拆除、变更甲方防护设施及标示。
10、乙方施工过程中需使用电、水源,应事先与甲方取得联系,不得私拉乱接。中断作业或遇故障应立即切断有关开关。
11、乙方施工过程中应做到工完、料尽、场地清,确保安全文明施工。
12、乙方必须接受甲方的监督、检查,对甲方提出的安全整改意见必须及时整改。
13、乙方施工过程中发生人生伤亡、电网和设备事故或危及生产运行的不安全情况,应立即报告甲方,并积极配合调查。
乙方应执行国务院《特别重大事故调查程序暂行规定》、《企业职工伤亡事故报告和处理规定》和《电业生产事故调查规程》。对人员在施工中发生的人身伤亡事故,还必须立即用电话、电传或电报等向事故所在地的政府安全管理部门、公安部门、工会报告,按规定组织调查处理,并由乙方统计上报;如发生国务院《特别重大事故调查程序暂时规定》所规定的特大事故,还应立即通知当地政府、公安部门,并要求派人保护现场。
乙方应将事故调查组的事故调查报告及乙方事故处理意见提交甲方备案。
第五条甲乙双方联系方式及响应时间:甲乙双方应以工作联系单、传真、电传等书面形式送达对方。双方在接到对方的书面联系时,应于4小时内予以响应。
第六条施工安全保证金
甲方预留工程款的10%作为乙方的安全保证金。乙方在施工过程中未发生人身重伤、电网和设备及以上事故,于工程竣工验收后将该保证金全额退还;若施工过程中发生下列有乙方责任的安全事故,扣除相应数额的安全保证金:
(1)发生人身死亡事故、电网和设备重大事故,扣除全部安全保证金;
(2)发生人身重伤事故、电网和设备事故,扣除50%安全保证金;
(3)乙方人员发生违章行为的经济处罚,按处罚规定从安全保证金内扣除。
第七条违约责任
1、由于甲方或乙方责任造成对方或第三方的人身伤害、设备损坏等财产损失,由责任方承担相应责任,并赔偿对方或第三方因此造成的全部损失。
2、合同履行中,发现乙方提供的有关资质材料无效,甲方有权解除合同,并由乙方承担由此造成的一切损失。
3、发现乙方现场作业人员有违章行为的,比照甲方有关安全生产奖惩规定对甲方职工相类似的违章行为应扣款数额,承担相应的违约金。
4、乙方未设置安监人员;未能正确、全面执行安全技术措施、施工组织设计;施工人员未掌握本工程项目特点及施工安全措施;用于本工程项目的施工机械、工器具及安全防护用品不满足施工需要,甲方有权要求乙方立即停工整改,由此引起的后果及损失由乙方承担。
5、乙方人员安全工作规程抽考不合格,乙方应承担50元/人次的违约责任;特种人员无证上岗乙方应承担100元/人次的违约责任。
6、乙方使用甲方提供的设施设备、工器具等造成损坏的,应照价赔偿。
7、乙方人员无故到其他生产区域或擅自动用甲方的设施设备等,乙方按100元至500元/人次承担违约责任。
8、乙方对甲方提出的安全整改意见不及时整改的,每逾期一天,乙方按200元至1000元/天承担违约责任。
9、施工过程中发生人身伤亡、电网和设备事故有隐瞒行为的,除接受政府有关部门处理外,过错方应承担3000元至10000元/次的违约责任。
第八条甲乙双方约定的其他事项:无
第九条本协议执行过程中,如发生争议,由双方协商、调解解决;若经协商、调解不能解决争议的,任何一方可以向当地人民法院提起诉讼。
第十条甲乙双方必须严格执行本协议,本协议的法律效力独立于主合同。
第十一条本协议有效期限:自年月日起至年月日止。
第十二条本协议经双方法定代表人或委托人签盖章后生效。第十三条本协议一式四份,甲乙双方各执两份。
第十四条本协议签订地点在甲方住所地。
第十五条以下七项为本协议附件:
1、承包工程要求的乙方相关资质证明材料;
2、乙方项目经理、管理人员、技术人员相关证明材料及施工人员名单;
3、乙方特种作业人员上岗资格证书;
4、乙方施工人员安全技术和安全工作规程考试成绩表;
5、乙方施工安全技术组织措施;
6、乙方大型独立项目的施工组织设计;
7、甲、乙方施工安全技术交底记录资料。
甲方:乙方:
法定代表人:法定代表人:
委托人:委托人:
(发包单位全称) 以下简称甲方
(承包单位全称) 以下简称乙方
为了保障本工程的质量,安全施工,维护正常秩序,切实加强施工现场安全生产管理,依照《中华人民共和国安全生产法》、《中华人民共和国建筑法》、《中华人民共和国合同法》以及《建设工程安全生产管理条例》双方本着平等、自愿的原则,签订本协议书。
第一条、甲方安全责任与义务
1、甲方需向乙方提供本项目完善的土建工程。
2、甲方需向乙方提供本项目现场三通一平。
3、甲方需向乙方提供有效合理的临水、 临电 接入点。
4、甲方需保证本项目施工现场出入道路的开通。
5、甲方需向乙方提供本项目拟用材料的合理堆放场地。
6、甲方向乙方提供的隐蔽工程需满足本项目节点要求。
7、甲方需向乙方提供本项目地质勘察报告及地下管道线路资料。
8、甲方对乙方施工区域内的重大安全事故隐患,应开具隐患通知单。
9、 开工前甲方对乙方进行施工安全技术交底,并应有书面记录或资料。
10、按照有关临时用电标准对乙方的临时用电设备设施进行监督和检查。发现乙方在临时用电中存在隐患必须协助乙方加以整改。并监督整改落实情况。
11、甲方不得要求乙方违反安全管理规定进行施工。因甲方原因导致的事故由甲方承担责任。
12、在甲方图纸规定的施工范围内所出现的受国家保护的文物古迹, 古树名木等损坏所承担的法律责任和相关费用均由甲方全部负责,与乙方无关。
13、甲方需提供合理化有效的施工环境,在正常施工作业时间内(即上午8点至下午6点),由于施工机械或施工工具所造成的施工噪音所致的民众投诉和纠纷问题均由甲方负责,乙方在收到甲方整改通知后有义务配合甲方进行协商整改。如乙方应甲方要求在非正常作业时间内加班作业(如晚上18点致凌晨8点)所致的扰民投诉和纠纷均问题均由甲方负责,但乙方有义务配合甲方整改协调。如情节严重或涉及到法律问题,乙方可拒绝甲方所提出的非正常工作时间内加班作业的要求。
第二条、乙方安全责任与义务
1、乙方所提供的承包工程要求的相关资质证明材料应真实、合法、有效。
2、乙方必须贯彻执行国家有关安全生产的法律法规,必须制定相应的安全管理制度;严格执行《电业安全工作规程》、《电力建设安全工作规程》、《电力设备典型消防规程》等有关电力生产规程和甲方关于工作票制度及其他安全生产规定、制度。
3、现场施工应遵守国家和地方关于劳动安全,劳务用工法律法规及规章制度,保证其用工的合法性。乙方必须按国家有关规定,配备合格的劳动防护用品、安全用具。
4、乙方一切施工活动,必须编制安全施工措施,施工前对全体施工人员进行全面的安全技术交底,并在整个施工过程正确、完整地执行,无措施或未交底严禁布置施工。
5、乙方用于本工程项目的施工机械、工器具及安全防护用具的数量和质量必须满足施工需要,并经有资质检验单位检验符合安全规定,乙方对因使用工器具不当所造成的人员伤害及设备损坏负责。
6、 参加施工作业的一切人员,必须遵守安全生产纪律,必须佩带工作证(卡)并戴好安全帽进入施工现场,在作业中严格遵守本安全技术操作规程的有关规定,安全上岗,不违章作业,不擅离工作岗位,不乱串工作岗位,严禁酒后作业,并按规定穿衣着鞋,正确使用、保管个人安全防护用品;必须按规定使用安全带,安全带必须高挂低用,挂设点必须安全、可靠。
7、在装修期间,乙方在装修过程中应妥善施工,注意施工安全、防水、防火等,保证施工安全严格履行注意等义务并防止装修过程中可能会给甲方或第三方造成损失。
8、开工前,乙方应组织人员对施工区域、作业环境及使用甲方提供的设施设备、工器具等进行检查,确认符合安全要求,一经开工,就表示乙方已确认施工现场、作业环境、设施设备、工器具符合安全要求并处于安全状态。
9、乙方施工过程中需使用电、水源,应事先与甲方取得联系,不得私拉乱接。中断作业或遇故障应立即切断有关开关。
10、乙方使用甲方提供的设施设备、工器具等造成损坏的,应照价赔偿。
11、乙方施工过程中应做到工完、料尽、场地清,确保安全文明施工。
12、乙方必须接受甲方的监督、检查,对甲方提出的安全整改意见必须及时整改。
13、发生以下情况停工整顿,因停工造成的违约责任由乙方承担:
(2)发生施工机械、生产主设备严重损坏事故;
(3)发生违章作业、冒险作业不听劝告的;
(4)施工现场脏、乱、差,不能满足安全和文明施工要求的;
14、乙方未设置安监人员;未能正确、全面执行安全技术措施、施工组织设计;施工人员未掌握本工程项目特点及施工安全措施;用于本工程项目的施工机械、工器具及安全防护用品不满足施工需要,甲方有权要求乙方立即停工整改,由此引起的后果及损失由乙方承担。
15、乙方应执行国务院《特别重大事故调查程序暂行规定》、《企业职工伤亡事故报告和处理规定》和《电业生产事故调查规程》。对人员在施工中发生的人身伤亡事故,还必须立即用电话、电传或电报等向事故所在地的政府安全管理部门、公安部门、工会报告,按规定组织调查处理,并由乙方统计上报;如发生国务院《特别重大事故调查程序暂时规定》所规定的特大事故,还应立即通知当地政府、公安部门,并要求派人保护现场。 乙方应将事故调查组的事故调查报告及乙方事故处理意见提交甲方备案。
第三条、甲乙双方共同责任与义务
1、甲方有协助乙方搞好安全生产、防火管理以及督促检查的义务。甲方有权检查督促乙方执行有关安全生产方面的工作规定,对乙方不符合安全文明施工的行为进行制止、纠正并发出安全整改通知书,直至清退出场。
2、乙方在施工中发生的甲方电网、设备事故,甲方有责任负责调查、统计上报。
3、乙方应在施工范围装设临时围栏或警告标志,不得超越指定的施工范围进行施工,禁止无关人员进入施工现场。未经甲方同意,乙方不得擅自使用与施工无关的甲方设施设备;不得擅自拆除、变更甲方防护设施及标示。
4、由于本项目合同条款尚未完善,乙方不能顺利完成施工人员的投保工作,故乙方现场施工人员的自身安全与赔偿缺乏相对的保障,因此,在规范作业和合格施工的情况下所导致的现场施工人员工伤所负的经济责任和法律责任应由甲乙双方共同承担。
5、由于本项目在工程合同尚未完善之前施工,工人所做的项目按其他工地正常计算,工程量单价相同。
6、乙方装修施工中的装修垃圾由乙方自行清运,并按甲方规定的时间将垃圾清运至政府指定场所。 由此产生的费用由甲方承担。
7、乙方未设置安监人员;未能正确、全面执行安全技术措施、施工组织设计;施
人员未掌握本工程项目特点及施工安全措施;用于本工程项目的施工机械、工器具及安全防护用品不满足施工需要,甲方有权要求乙方立即停工整改,由此引起的后果及损失由乙方承担。
8、在使用甲方提供临时电源时,对不符合临时用电标准的电源,向甲方提出整改意见。有权拒绝在不符合临时用电标准的电源的上拉接电源。对甲方在安全检查中提出的关于临时用电方面存在的问题或隐患,必须按要求认真落实整改。
9、由于甲方开工证件和批文不齐全或不合格所导致的施工停顿给乙方造成的相应物料损耗和人工费损耗均由甲方负责,由此导致的工期延误或延期和违约责任乙方不负责。
第四条:其他
1、本协议执行过程中,如发生争议,由双方协商、调解解决;若经协商、调解不能解决争议的,任何一方可以向当地人民法院提起诉讼。
2、 甲乙双方必须严格执行本协议,本协议的法律效力独立于主合同。
3、本协议有效期限:自 年 月 日起至 年 月 日止。
4、本协议经双方法定代表人或委托人签字盖章后生效。 本协议书一式两份,甲乙双方各保存一份。
发包人:(公章) 承包人:(公章)
总包单位(以下简称甲方):
分包单位(以下简称乙方):
为了进一步贯彻落实“安全第一、预防为主、综合治理”的安全生产方针,严格执行劳动保护和安全生产的法令、法规,强化安全生产管理,落实安全生产责任制,依法从严治理施工现场,确保项目施工中操作人员的安全与健康,促进施工顺利进行,特签订本协议。
一、分包基本情况:
工程名称:工程
分包内容:设计图纸范围内木工、泥工、钢筋工、架子工、水电等劳动作业
承包形式:专业承包
劳务分包
其
它
二、安全管理
1、施工作业人员进入施工现场必须正确佩戴安全帽,穿戴反光警示背心,临边作业及时正确系好安全带,安全带要有可靠拉结;
2、临时用电应符合JGJ46-2005的规定,必须采用TN-S系统,做到“三级配电、逐级保护”,符合“一机、一闸、一漏、一箱”的要求;
3、现场内的安全隐患整改率必须保证在时限内达到100%,杜绝现场重大隐患的出现;
4、现场内严禁发生火灾事故,火险隐患整改率必须保证在时限内达到100%;
5、必须保证施工现场创建安全文明施工工地;
6、确保甲方企业CI形象的要求。
三、甲方安全责任、权利和义务
1、双方分包合同中约定由甲方提供的安全防护设施,必须完整齐全,并且符合安全要求;
2、甲方对乙方施工安全负有监督、指导和检查的责任;
3、甲方应联合乙方对乙方新进场人员进行入场安全教育;
4、甲方对乙方安排施工任务时,须有书面的安全技术交底,并办理交底双方签字手续;
5、甲方对乙方不合格的机具、配电箱、机械设备及钢筋加工车间有权勒令退场。在施工过程中发现乙方有使用不合格的机具、配电箱、机械设备及钢筋加工车间时,将下发整改通知单,拒不整改时,有权采取没收、或经济处罚等措施;
6、甲方有权制止乙方的违章作业,对重大违章行为有权责令其停工整顿,对于乙方的违章行为,甲方有进行经济处罚的权利;
7、甲方有权对安全素质差、不服从安全文明施工指挥的施工人员采取经济处罚或限期退场的权利;
8、甲方有权要求安全管理职责落实不到位、存在重大安全文明施工隐患或发生一般以上等级事故的乙方限期退场,直至中止分包合同、追究其违约责任和相应的法律责任;
9、对乙方提出的安全文明施工要求积极提供帮助;
10、对乙方开展的安全文明施工活动提供帮助。
四、乙方安全责任、权利和义务
1、乙方应按有关规定,采取严格的安全防护措施,否则由于自身安全措施不力而造成事故的责任和因此发生的费用由乙方承担,非乙方责任的伤亡事故,由责任方承担责任和有关费用;
2、乙方应熟悉并能自觉遵守、执行建设部《建筑施工安全检查标准》JGJ59-2011以及相关的各项规范;自觉遵守武汉市有关安全施工的各项规定和行业主管部门颁发实施的有关安全生产的法律、法规、规范、标准及各项规定,并且积极参加各种有关促进安全生产的各项活动,切实保障施工工作人员的安全与健康;
3、接受甲方的施工资质审查,并负责提供有关资料。严格按照施工资质范围施工,不得承接超资质范围的施工任务,不得将分包项目再次转包;
4、乙方必须尊重并且服从甲方现行的有关安全生产各项规章制度和管理方式,并按经济合同有关条款加强自身管理,履行乙方责任;
5、乙方必须执行下列安全管理制度:
5.1安全技术方案报批制度:乙方必须执行甲方总体工程施工组织设计和安全技术方案,乙方自行编制的单项作业安全防护措施,须报甲方审批后方可执行,若改变原方案必须重新报批;
5.2乙方在安排工人生产任务的同时,必须要有书面的安全技术交底,并办理交底双方签字手续;
5.3乙方必须执行各级安全教育培训以及持证上岗制度:
5.3.1乙方项目经理、生产经理、技术负责人、安全员需接受安全培训、考试合格后办理分包单位安全资格审查认证后方可组织施工;
5.3.2乙方的班组长、技术员、机械设备等部门负责人以及各专业安全管理人员等部门负责人须接受安全技术培训,参加甲方组织的安全年审考核,合格者办理《安全生产资格证书》,持证上岗;
5.3.3乙方必须为特种作业人员办理上岗证,并将特种作业人员名单和上岗证复印件上交甲方,不得安排没有持证的人员从事特种作业,严禁使用童工;
5.3.4乙方应保证所有进场人员经过了三级安全教育,并保存教育记录和签字手续,资料收集齐全后应报送甲方核对、存底;
5.3.5乙方工人变换施工现场或工种时,要进行转场和转换工种教育;
5.3.6乙方要组织施工班组开展班前安全活动,并每周将收集到的班组安全活动记录交甲方存底。
5.4乙方必须执行甲方的安全检查制度:
5.4.1乙方必须虚心接受甲方以及上级主管部门和各级政府、各行业主管部门的安全生产检查,否则造成的罚款等损失均由乙方承担;
5.4.2乙方必须按照甲方的要求建立自身的定期和不定期的安全生产检查制度,并且严格贯彻实施;
5.4.3乙方必须设立专职安全人员实施日常安全生产检查制度及工长、班组长跟班检查制度和班组自检制度;
5.5乙方必须严格执行检查整改制度;
5.6乙方必须执行安全防护措施、设备验收制度和施工作业转换后的交接检查制度:
5.6.1乙方自带的各类施工机械设备,必须是国家正规厂家的产品,且机械性能良好、各种安全防护装置齐全、灵敏、可靠;
5.6.2乙方的中小型机械设备和一般防护设施执行自检后报甲方有关部门验收,合格后方可使用;
5.6.3乙方的大型防护设施和大型机械设备,在自检的基础上申报甲方,接受专职部门的专业验收,乙方必须按规定提供设备技术数据,防护装置技术性能,设备履历档案记忆防护设施安装方案,其方案必须满足甲方所在地方政府有关规定。
5.7乙方须执行安全防护验收表和施工变化后交接检验制度;
5.8乙方必须执行本企业和当地政府行业主管部门对劳动防护用品的定点采购制度;
5.9乙方必须执行个人劳动防护用品定期定量供应制度;
5.10乙方必须预防和治理职业伤害与中毒事故;
5.11乙方必须严格执行职工因工伤亡报告制度;
5.12乙方必须执行安全工作奖罚制度:乙方要教育和约束自己的职工严格遵守施工现场安全管理规定,对遵章守纪者给予表扬和奖励,对违章作业、违章指挥、违反劳动纪律和规章制度者给予处罚;
5.13乙方必须执行安全防范制度:
5.13.1乙方要对乙方工程范围内工作人员的安全负责;
5.13.2乙方必须采取一切严密的、符合安全标准的预防措施,确保所有工作场所的安全,不得存在危及工人安全和健康的危险情况,并保证建筑工地所有人员或附近人员免遭工地可能发生的一切危险;
5.13.3乙方的专业分包和他在现场雇佣的所有人员都应全面遵守各种适用于工程或任何临建的相关法律或规定的安全施工条款;
5.13.4施工现场内,乙方必须按甲方的要求,在工人可能经过的每一个工作场所和其他地方均应提供充足和适用的照明,必要时要提供手提式照明设备;
5.13.5甲方有权要求立刻撤走现场内的任何乙方队伍中没有适当理由而又不遵守、执行地方政府相关部门及行业主管部门的安全条例和指令的人员,无论在任何情况下,此人不得再雇佣于现场,除非事先有甲方的书面同意;
5.13.6施工现场和工人操作面,必须严格按国家、政府规定的安全生产、文明施工标准做好防护工作,保证工人有安全可靠、卫生的工作环境,严禁违章作业、违章指挥;
5.13.7对不符合安全规定的,甲方安全管理人员有权要求停工和强行整改使之达到安全标准,所须费用从工程款中加倍扣除;
5.13.8乙方应给所属职工提供必须的和有效的安全用品,如:安全帽、安全带等,若必要时还须配戴面罩、眼罩、绝缘手套等个人防护设备;
5.13.9乙方应在合同签约后15天内,呈送安全管理防范方案,详述将要采取的安全措施和对紧急事件处理的方案以及自身的安全管理条例,以报甲方批准,但此批准并不减轻乙方的安全责任;
5.13.10明确本单位各级人员的安全文明施工责任,配齐专职安全员(专业承包单位至少1人,劳务分包单位按50人以下1人,50至200人配2人,200人以上配3人以上来配置);
5.13.11乙方对管辖范围内由甲方交付使用的安全防护设施(如脚手架、洞口、临边防护等)的维护和安全使用负有全部责任,不得擅自拆除,确因施工需要必须拆除的防护设施,必须向甲方安全管理部报告,经同意后方可拆除,并在下班前或作业活动结束后及时将防护设施恢复。
5.14乙方必须执行宿舍管理制度:
5.14.1乙方所有班组负责人需在进场三日内向安全组上交所有人员名单及身份证复印件,宿舍分配居住由安全组统一安排;
5.14.2乙方宿舍统一摆放四间床,每间房为六人一间,男女必须分开住宿,居住后员工不得未经安全组允许私自更换宿舍,保持所住人员与门牌居住信息表一致;
5.14.3宿舍内员工需在项目部食堂统一就餐,严禁个人私开炉灶;
5.14.4宿舍人员每日起床后需将床单被子铺叠整齐,被子和枕头统一放置在床头,鞋子需整齐摆放在床下边界线内;
5.14.5入住人员的衣物应及时清洗,保持房间无异味,所洗衣物要晾晒在指定区域,严禁晾晒在走廊过道横杆上;
5.14.6宿舍的高低床上铺可用于堆放个人用品,饭盒、脸盆、桶以及其它洗漱用品需依上到下整齐放在搁置架上;
5.14.7宿舍内严禁使用电磁炉、热得快、取暖器类的危险大功率电器,不得使用表皮破损的电线,电线严禁私拉乱接;
5.14.8乙方未按要求进行宿舍管理,甲方有权采取经济处罚。
五、消防保卫工作要求
1、落实甲方布置的安全防火工作和各种防火安全教育,检查和监督各班组人员执行防火安全管理制度;
2、定期检查各班组成员所操作的电气、机械设备的防火安全装置、运转和安全使用情况,监督和检查易燃、易爆物品的使用管理;
3、督促各班组做好日常防火安全检查工作;
4、严格落实甲方临时消防通道及临时消防给水系的布置;
5、严格执行明火及电、气焊作业审批制度,并履行施工现场动火申请审批手续。
六、现场文明施工管理
1、乙方必须严格执行甲方提供的安全文明施工方案,若有改动,需向甲方提出申请,经甲方审批后方可施工;
2、乙方必须达到甲方提出的安全文明施工目标(楚天杯)。
七、补充条款
补充条款如下:
乙方必须严格执行甲方的现场文明施工管理制度,严格管控现场材料堆放,做到工完场清。
本协议一式两份,甲、乙双方各保存一份
甲方(盖章):
乙方(盖章):
甲方代表(签字):
乙方代表(签字):
签订日期:
年
[关键词] 电子商务 安全协议 SSL SET 3-D secure
一、引言
随着互联网日益普及,基于Internet的电子商务已经深入到人们生活的方方面面。安全是电子商务的基石,如何保证电子商务交易活动中信息的机密性、真实性、完整性、不可否认性和存取控制等是电子商务发展中迫切需要解决的问题。为了保障电子商务交易安全,人们开发了各种用于加强电子商务安全的协议。这些协议主要有:安全套接层协议SSL、安全电子交易协议SET、超文本传输协议SHTTP、3-D secure协议和安全电子邮件协议(PEM、S/MIME)等。这其中应用最为广泛的协议主要有SSL、SET和3-D secure协议。
二、电子商务安全协议
1.安全套接层协议(SSL)
安全套接层协议(Secure Socket Layer,简称SSL)是美国网景公司(Netscape)推出的一种安全通信协议,其主要设计目标是在Internet环境下提供端到端的安全连接。它能使客户/服务器应用之间的通信不被攻击者窃听。SSL协议建立在可靠的传输层协议之上。高层的应用层协议能透明的建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
2.安全电子交易协议(SET)
安全电子交易协议(Secure Electronic Transaction,简称SET)是美国Visa和MasterCard两大信用卡组织联合于1997年5月31日推出的电子交易行业规范,其实质是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是为了保证网络交易的安全。SET本身并不是一个支付系统,而是一个安全协议集,SET规范保证了用户可以安全地在诸如Internet这样的开放网络上应用现有的信用卡支付设施来完成交易。SET较好地解决了信用卡在电子商务交易中的安全问题。SET已获得IETF(The Internet Engineering Task Force,简称IETF)标准的认可。
3.三方域安全协议(3-D secure)
三方域安全协议(Three-Domain Secure,简称3-D secure)是Visa等继SET协议之后,推出的新一代的安全交易技术。与SET协议一样,它也是PKI(Public Key Infrastructure)框架下基于可信第三方的开放规范,设计目标同样是为在Internet上传输的信用卡支付信息提供安全保护机制。3D- Secure协议主要采用SSL 加密技术和商家服务器插件MPI( Merchant Server Plug- in) 技术来实现。在线交易中,它既能够查询并鉴别持卡人的身份,又能够保护支付卡信息在网络中传递的安全性。3D- Secure协议的这些功能是通过一个能够在支付交易过程中明确各方责任的模型――三方域模型( Three Domain Model) 。三方域模型的主要组成包括:发卡域、收单域和互操作域。
三、SSL与SET协议比较分析
SSL和SET是当前在电子商务中应用最为广泛的安全协议,两者的差别主要体现在以下几个方面。
1.工作层次
SSL协议工作于应用层和传输层之间,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。而SET工作于应用层。
2.认证机制
早期的SSL协议并没有提供身份认证机制,虽然在SSL3. 0中可以通过数字签名和数字证书实现浏览器和WEB服务器之间的身份认证,但仍不能实现多方认证。SET协议要求所有参与交易活动的各方都必须使用数字证书,较好的解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。
3.安全程度
SET协议由于采用了非对称加密、消息摘要和数字签名可以确保信息的机密性、认证性、完整性和不可否认性,特别是SET协议采用了双重签名技术来保证各参与方信息的相互隔离,使商家只能看到持卡人的订单信息,而银行只能取得持卡人的信用卡信息。SSL协议虽也采用了公钥加密和信息摘要等技术,也可以提供机密性、完整性和一定程度的身份验证功能,但缺乏一套完整的认证体系,不能提供电子商务交易活动中非常重要的不可否认性证明。
4.运行效率
SET协议非常复杂、庞大、运行速度慢。一个典型的SET交易过程需验证电子证书9次、验证数字签名6次、传递证书7次、进行5次签名、4次对称加密和4次非对称加密,整个交易过程非常耗时;而SSL协议则简单很多,运行效率也比SET协议高。
5.部署成本
SSL协议已被大部分的浏览器和WEB服务器内置,无须安装专门软件;而SET协议中客户端要安装专门的电子钱包软件,在商家服务器和银行网络上也需安装相应的软件,部署成本高。
SSL协议与SET协议比较汇总如表1所示。
四、SET与3-D Secure协议比较分析
为了提高交易效率,降低部署成本,3-D Secure协议对SET协议进行了简化,两者的差别主要体现在以下几个方面。
1.机密性
SET协议和3-D Secure协议都使用对称和非对称两种加密技术来保证数据的机密性。但是SET协议采用双重签名技术来保证消费者机密信息对商家进行保密,而在3-D Secure协议中消费者的信息对商家来说是可见的。
2.不可否认性
SET协议使用数字签名来保证交易行为的不可否认性。3-D Secure协议规定发卡机构在通过持卡者向商家服务器发送信息之前,先要对其进行数字签名,以提供不可否认的证据。和SET相比,3-D Secure协议没有大量使用数字签名,但仍然可以提供不可否认性证明。
3.身份认证
SET协议使用证书和数字签名对消息来源进行身份认证。每个参与者都使用两个非对称密钥对,需要拥有两个由证书颁发机构同时产生和签署的证书。3-D Secure协议主要使用证书和口令对消息来源进行身份认证。不要求持卡者配备证书,但要求其他参与方都要有证书。
4.复杂性
与SET协议相比,3-D Secure协议在保证满足安全性要求的基础上简化了证书交换与大量的数字签名过程,从而使在线交易时间大大缩短,提高交易效率,降低部署成本。SSL协议与3-D Secure协议比较汇总如表2所示。
五、总结
SSL、SET和3-D secure协议是当前应用最为广泛的电子商务安全协议。三者相比,SSL协议相对简单,效率高且容易部署,但是它不支持多方认证,不支持不可否认性等电子商务安全性需求;SET协议虽然能够完全满足电子商务的安全性需求,但存在着协议复杂,效率低下,难以部署等问题。三者当中3-D Secure协议在保证满足安全性要求的基础上,对两者进行了适当的折衷,从而使在线交易时间大大缩短,使得电子商务在线交易的实施更加简捷。
参考文献:
[1]陆垂伟:电子商务中安全支付协议的研究[J].商场现代化,2006(06)
关键词:TLS1.2;安全协议;计算模型
中图分类号:TP393
文献标识码:A 文章编号:1672-7800(2015)005-0154-04
作者简介:牛乐园(1990-),女,河南许昌人,中南民族大学计算机科学学院硕士研究生,研究方向为信息安全。
0 引言
人类建立了通信系统后,如何保证通信安全始终是一个重要问题。伴随着现代通信系统的建立,人们利用数学理论找到了一些行之有效的方法来保证数字通信安全。简单而言就是将双方通信的过程进行保密处理,比如对双方通信的内容进行加密,这样可有效防止偷听者轻易截获通信内容。SSL(Secure Sockets Layer) 及其后续版本 TLS(Transport Layer Security)是目前较为成熟的通信加密协议,常被用于在客户端和服务器之间建立加密通信通道。TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。截至目前其版本有1.0,1.1、1.2[1],由两层协议组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
1 TLS协议结构
TLS协议是对SSL协议规范后整理的协议版本,建立在可靠的传输层上,如TCP(UDP则不行)。应用层可利用TLS协议传输各种数据,来保证数据的安全性和保密性[2]。
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS 记录协议(TLS Record)和TLS握手协议(TLS Handshake)。较低层为 TLS记录协议,位于某个可靠的传输协议(如TCP)上。
TLS记录协议是一种分层协议。每一层中的信息可能包含长度、描述和内容等字段。记录协议支持信息传输、将数据分段到可处理块、压缩数据、应用 MAC、加密以及传输结果等,并对接收到的数据进行解密、校验、解压缩、重组,然后将它们传送到高层客户机。
TLS记录层从高层接收任意大小不间断的连续数据。密钥计算:记录协议通过算法从握手协议提供的安全参数中产生密钥、IV 和 MAC 密钥。TLS 握手协议由3个子协议组构成,允许对等双方在记录层的安全参数上达成一致、自我认证、例示协商安全参数、互相报告出错条件。
TLS握手协议由3种协议封装,包括改变密码规格协议、警惕协议、握手协议。TLS协议结构如图1所示。
2 TLS1.2消息流程
在整个通讯过程中,为实现TLS的安全连接,服务端与客户端要经历如下5个阶段[3]:①Client申请链接,包含自己可以实现的算法列表以及其它信息;②Server回应链接,回应中确定了这次通信所使用的算法,将证书发送给对方,证书中包含了自己的身份和公钥;③Client在收到消息后会生成一个秘密消息ClientKeyExchange――(此秘密消息经处理后,将用作加密密钥(会话密钥)),用Web服务器的公钥加密并传至Server;④Server再用私钥解密秘密消息ClientKeyExchange,并进行处理,生成会话密钥(用于之后的数据加密),会话密钥协商成功;⑤Client和Server得到会话密钥,并用此会话密钥进行数据加密。
TLS1.2在传输层协议的消息主要包含8条消息,消息结构如图2所示,分别是ClientHello版本协商、ServerHello版本协商、Server Certificate证书消息、HelloDone接收结束标识、 ClientKeyExchange即Client交换密钥消息、Client的Finished消息、CertificateVeri验证证书消息、Server的Finished消息。
2.1 ClientHello和消息
ClientServer
client_version|| client_random|| session_id|| cipher_suites|| compression_methods|| extensions
消息描述:该消息包括客户端的版本号client_version,用于告知服务器client可以支持的协议最高版本,来协商安全协议版本。client_random是client产生的一个随机数,由client的日期和时间加上28字节的伪随机数组成,用于后面的主密钥计算。session_id由服务连接得到,发送给server来建立一个新的会话连接。cipher_suites是client提供给server可供选择的密码套件,用于协商密钥交换,数据加密以及散列算法。compression_methods是客户端支持的压缩算法。extensions是客户端的扩展域。
client_version: Protocol version(协议版本),该字段表明了客户能够支持的最高协议版本3.3。
random:它由客户的日期和时间加上28字节的伪随机数组成,该客户随机数将用于计算master secret(主秘密)和prevent replay attacks(防止重放攻击)。
session_id:一个会话ID标识一个可用的或者可恢复的会话状态。一个空的会话ID表示客户想建立一个新的TLS连接或者会话,而一个非空的会话ID表明客户想恢复一个先前的会话。session_id有3个来源:①之前的会话连接;②当前连接,客户端仅仅想通过更新random结构得到连接值时使用;③当前激活的连接,为了建立几个独立的连接而不再重复发起连接握手。
2.2 ServerHello消息
ServerClient:
server_version||server_random|| session_id|| cipher_suites|| compression_methods|| extensions
消息描述:该消息包含6个消息项,server_version取客户端支持的最高版本号和服务端支持的最高版本号中的较低者,本文所用的是TLS1.2。server _random是服务端生成的随机数,由服务器的时间戳加上28字节的伪随机数组成,也用于主密钥的生成。session_id提供了与当前连接相对应的会话的标识信息。从客户端处接收到会话标识后,服务器将查找其缓存以便找到一个匹配的session_id。
server_version: Protocol version(协议版本),取客户端支持的最高版本号和服务端支持的最高版本号中的较低者。TLS版本为3.3。random:它由客户的日期和时间加上28字节的伪随机数组成,该客户随机数将用于计算master secret(主秘密)和prevent replay attacks(防止重放攻击)。session_id:该域提供了与当前连接相对应的会话的标识信息。如果从客户端接收到的会话标识符非空,则服务器将查找其缓存以便找到一个匹配。
2.3 Server Certificate消息
ServerClient:
version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature
消息描述:该项消息为可选项,证书主要包含4部分内容,version是证书版本,文章统一定为X509v3。主体名称指明使用该证书的用户为server_subject。subject_key_info是证书包含的公钥信息,该消息项有两项内容:一个是证书的公钥,发送给client后用于加密client生成的预主密钥,并把密文信息发送给server。server收到该密文信息后可以使用自己的私钥解密得到预主密钥;另一个是所用的散列算法。signature:证书验证签名信息,用以验证证书。version:证书版本号,为X.509V3。subject_name:证书主体名称。
subject_key_info:标识了两个重要信息:①主体拥有的公钥的值;②公钥所应用算法的标识符。证书私钥对证书的所有域及这些域的Hash值一起加密。
2.4 ServerKeyExchange消息
ServerClient:
KeyExchangeAlgorithm|| ServerDHParams
KeyExchangeAlgorithm:密钥交换算法,文章定义的密钥交换算法为RSA。ServerDHParams:Diffi-Hellman参数,若交换算法为RSA,则此项为空。
2.5 CertificateRequest消息
ServerClient:
certificate_types|| supported_signature_algorithms|| certificate_authorities
消息描述: 可选消息项,该消息是Server服务器向Client请求验证证书信息。在一般应用中只对Server服务器进行认证,而Server服务器要允许只有某些授权的Client才能访问服务器,此时需要用到该消息对Client进行认证。Client认证是通过Server服务器给Client发送一条 CertificateRequest消息而开始,如果Server发送这条消息,则Client必须向server发送自己的证书。客户端收到该消息后,发送一条 Certifcate 消息(与服务器传送证书的消息一样)和一条 CertificateVerify 消息予以应答。
certificate_type:客户端提供的证书类型,该处为rsa_sign。supported_signature_algorithms:可以验证server的散列/签名算法对。certificate_authorities:可以接受证书消息的特定名称。
2.6 Client Certificate消息
ClientServer:
version||serialNumber||algorithmIdentifier||issuer||utcTime||subject_name||subject_key_info|| signature
消息描述:可选消息项,该证书主要包含4部分内容,version是证书版本,文章统一定为X509v3。主体名称指明使用该证书的用户为server_subject。subject_key_info是证书包含的主要公钥信息,该消息项有两项内容:一个是证书的公钥,另一个是所用的散列算法。signature是证书验证签名信息,用以验证证书。
version:证书的版本号,为X.509V3。subject_name:证书主体名称。subject_key_info:标识了两个重要信息:①主体拥有的公钥的值;②公钥所应用的算法的标识符。算法标识符指定公钥算法和散列算法(如RSA和SHA-1)。signature:用证书私钥对证书的所有域及这些域的Hash值一起加密。
2.7 ClientKeyExchange消息
ClientServer:
KeyExchangeAlgorithm|| EncryptedPreMasterSecret
消息描述:该消息是密钥交换消息。之前的消息协商中规定密钥交换算法为RSA算法,所以该消息中KeyExchangeAlgorithm的内容为RSA。此时,client随机生成一个48字节的预主密钥,用从server证书得来的公钥来加密这个预主密钥,加密算法为RSA算法。client加密预主密钥并在ClientKeyExchange消息中将密文EncryptedPreMasterSecret发给server,使server得到预主密钥。
KeyExchangeAlgorithm:算法选择为RSA。EncryptedPreMasterSecret:客户端生成一个48字节的预主密钥,用从server证书得来的公钥来加密该预主密钥,加密预主密钥消息并发送密文。
2.8 CertificateVerif消息
ClientServer
handshake_messages[handshake_messages_length]
消息描述:可选消息项,如果服务器请求验证客户端,则该消息完成服务器验证过程。客户端发送一个certificate_verify消息,其中包含一个签名,对从第一条消息以来的所有握手消息的HMAC值(用master_secret)进行签名。handshake_messages指所有发送或接收的握手消息,从clienthello消息开始到CertificateVerif消息之前(不包括CertificateVerif消息)的所有消息集合,包括握手消息的类型和变长字段。这是到目前为止HandShake结构的整合。
3 Blanchet演算模型建立流程
Blanchet演算模型主要包括类型定义、时间定义、方法定义、通道定义、时间声明、初始化进程描述[4]、客户端进程描述与服务端进程描述。TLS1.2最主要的功能体现在客户端与服务端的消息传递。
3.1 协议事件声明
在Blanchet演算中首先要声明要证明的事件。TLS1.2协议的消息流程中最重要的就是认证性和密钥的保密性[5]。认证性包括客户端对服务端的认证和服务端对客户端的认证,保密性是对会话密钥的秘密性进行认证。表示server事件发生之前client事件一定发生,用来验证服务端用户。在更严格的定义下进行服务端验证,事件声明代码如下。
event server(output).
event client(output).
query x:output;
event server(x)==>client(x).
query x:output;
event inj:server(x)==>inj:client(x).
query secret premastersecret.
3.2 初始化进程
协议模型初始化进程如下所示,ClientProcess表示客户端进程[6],ServerProcess表示服务端端进程,表示多个ClientProcess进程并发执行,集中一次模拟现实协议执行。
process
in(start,());
new seedone:rsakeyseed;
let pkeyrsa:rsapkey=rsapkgen(seedone) in
let skeyrsa:rsaskey=rsaskgen(seedone) in
new seedtwo:keyseed;
let signpkey:pkey=pkgen(seedtwo) in
let signskey:skey=skgen(seedtwo) in
new keyhash:hashkey;
out(c,(pkeyrsa,signpkey,keyhash));
((! N ClientProcess) |
(! N ServerProcess) )
3.3 客户端和服务端进程
客户端的消息流程包括版本协商、算法协商、密钥协商、密钥交换和请求验证。版本协商是协商客户端、服务端可以通用的版本[7],一般是客户端和服务端都支持的最高版本,密钥协商完成后Client向Server发送verifydata认证请求消息,内容包括username、servicename、methodname,method_specific,请求Server验证身份,并在此定义对客户端的验证事件client(verifydata)。
服务端进程首先接收客户端进程发送的版本信息[8],并与自己的版本信息匹配协商得到协商版本client_version。版本信息协商完成后接收客户端所支持的算法信息,至此算法协商完成。进入密钥协商阶段,首先Server接收Client发送的密钥参数信息c_s_random_s,用来计算hash验证;Server收到Client的验证请求后对Client进行验证并接收Client发来的验证消息,用所收到的所有消息计算验证信息。在此插入事件event server(verifydata_fc)来验证客户端。
3.4 验证结果
本文在介绍TLS1.2协议的基础上对其数据流程进行分析[9],使用Blanchet建立模型并分析其安全性和认证性。经过一系列的流程跟进并使用自动化证明工具Cryptoverif对TLS1.2进行模型建立,经过一系列的Game转换得出分析结果如图3所示[10]。结果证明,TLS1.2协议的会话密钥具有安全性,在认证阶段能够对客户端通过消息签名进行验证。
4 结语
为了研究TLS1.2协议在应用中的安全性,本文对TLS1.2协议的消息流程进行了分析。通过对每一步消息流中消息项的研究分析,得出TLS1.2协议的整体消息结构,最终实现服务端对客户端的验证流程分析。基于Blanchet演算对分析的消息流程应用一致性对服务端认证客户端和客户端对服务端的验证建立模型。协议模型通过协议转换工具转换为CryptoVerif的输入代码TLS1.2.cv,使用CryptoVerif对模型进行分析,并证明了TLS1.2协议的安全性与认证性。后续研究中将给出TLS1.2协议的Java安全代码,并分析其安全性。
参考文献:
[1] 陈力琼,陈克非.认证测试方法对TLS协议的分析及其应用[J].计算机应用与软件,2008,25(11):6-7.
[2] 于代荣,杨扬,马炳先,等.基于身份的TLS协议及其BAN逻辑分析[J].计算机工程,2011,37(1):142-144.
[3] MORRISSEY P, P SMART N,WARINSCHI B.The TLS handshake protocol: a modular analysis[J]. Journal of Cryptology,2010,23(2):187-223.
[4] 卢敏,申明冉.基于RSA签名的TLS协议的新攻击发现及其改进[J].消费电子,2013(14):69-70.
[5] 高志伟,耿金阳.基于优先级策略的 TLS 握手协议研究[J].石家庄铁道大学学报:自然科学版,2014(3):69-74.
[6] 唐郑熠,李祥.Dolev-Yao攻击者模型的形式化描述[J].计算机工程与科学,2010(8):36-38.
[7] 邵飞.基于概率进程演算的安全协议自动化分析技术研究[D].武汉:中南民族大学,2011.
[8] 朱玉娜.密码协议符号分析方法的计算可靠性研究[D].郑州:信息工程大学,2008.
驾驶员安全责任协议书范文(一)为确保公司车辆道路交通安全,预防交通事故发生,本着安全第一,预防为主,加强每个驾驶员遵纪守法自觉性,确保交通绝对安全,特与我公司驾驶员(凡持驾照者)签订如下交通安全协议书:
一、驾驶员认真执行公司规章制度,严格遵守《道路交通安全法》、《机动车驾驶员文明守则》等交通规则,树立安全第一思想,确保人民生命财产安全。
二、坚决杜绝驾驶员行车过程中出现超载、超员和超速现象,服从交警部门管理。
三、驾驶过程中要做到礼让三先(先让、先慢、先停),谨慎驾驶,避免开违章车、赌气车、疲劳车、英雄车。
四、严禁工作时间饮酒;不得酒后驾车,一经发现,立即开除。
五、不得开与证驾不符的车辆。
六、爱护车辆,坚持定期检查制度,做好出车三检(出车前、出车中、收车后)、四勤(勤检查、勤保养、勤紧固、勤),坚决杜绝病车行驶,确保行车安全。
七、大雪大雾等恶劣天气,原则上不得擅自出车,特殊情况,经领导审批后,方可出行。
八、因公外出长时间用车者,每天必须向公司调度报告行车状况,做到本人不违法,确保单位不违法超标。如发生严重违法和责任事故,公司视情况严肃处理。
九、不得擅自将车辆交由非驾驶员驾驶(含车辆外借),如发生一切交通事故,由本车驾驶员与肇事车驾驶员全权承担一切后果。
单位盖章:______________ 驾驶员签字:________________
领导签字:______________
_____年_____月_____日 ______年______月______日
驾驶员安全责任协议书范文(二)甲方:________________ 乙方:________________
甲、乙双方在平等自愿、协商一致的基础上就乙方为乙方安全驾驶公务车辆及安全责任的承担事宜,达成以下协议:
一、甲、乙双方签订协议的目的:
在于明确车辆所有人(甲方)和车辆驾驶人(乙方)就车辆安全使用事宜及乙方驾驶可能发生的安全责任承担,使甲、乙方双方以本协议承担各自的责任,最大限度保障车辆的安全使用。
二、本协议的期限
本协议吴固定期限协议,自协议生效之日至乙方不再驾驶甲方车辆时止。
三、甲方给乙方提供的车辆情况
甲方提供给乙方驾驶的车辆号为:________,颜色为:________,车辆车牌号为:________。
四、甲、乙双方义务
1、甲方义务
①负责办理车辆的各种保险及各种必备行驶手续、保证车辆合法使用。
②负责缴纳车辆税费。
③负责车辆定期保养、维修、以维护件完好。
2、乙方义务
①乙方必须保证具备合法的驾驶资格,保证自行驾驶,未经甲方不允许不得转让其他人使用。
②乙方应该认真掌握其使用车辆的各种性能和操作方法,每月实施定期检查,保证车况完好。
③遵守交通规则,严禁酒后开车,保证行车安全。
五、事故责任的承担
①在工作时间外(私自驾驶)发生交通事故,甲方不承担任何责任。
3、其它赔偿责任
①由乙方的原因造成车辆扣押、罚款损失,由乙方自行承担。
②乙方应按甲方指定厂家对车辆进行维修,由乙方擅自维修造成的损失由乙方承担。
③乙方应该时刻注意防盗、放抢、防火、确保车辆安全。在工作时间或在其它执行公务时间若因乙方的过时造成车辆遗失,被盗、被抢、火灾或其它车辆损害情形由甲、乙方负责赔偿损失。
④在工作时间或在其它执行公务时间非因乙方的过失造成成车辆的遗失、被盗、被抢、火灾、损失由甲方承担。
⑤由于乙方饮酒、麻醉物以及将车辆私自借与他人使用造成的任何损失由乙方承担。
4、本协议涉及的交通事故责任的认定以法定机关的认定为准。
5、呗协议及的车辆被盗、被抢、火灾之事以公安机关认定为准。
六、生效及其它
1、本协议自双方签字盖章之日起生效。
2、本协议一式两份,双方各执一份,具有同等法律效力。
3、一年内能认真履行本协议,并非发生任何不安全责任事故,奖励驾驶人员1000元整。
甲方(签名): ________________ 乙方(签名): ________________
法定代表人(签名): ______________
______年______月______日
驾驶员安全责任协议书范文(三)甲方:__________有限责任公司 乙方:______________
为了加强公司车辆安全管理,坚持安全第一,预防为主,综合治理的管理方针,根据公司《车辆管理制度》,结合公司工作实际情况,特签订本协议书。
一、车辆的权属及责任
本协议中的车辆为甲方所有,甲方有权随时对车辆进行监督和检查,乙方为车辆使用第一责任人,负责该车辆的安全使用及维护保养。
二、责任范围
车辆使用责任人________,(车牌号:________)对车辆使用、安全级维护保养承担具体责任。
三、车辆的使用保管
1、车辆使用责任要严格遵守《道路交通安全法》,遵守公司相关规定;车辆使用责任人负责车辆的具体使用、安全及维护保养。
2、车辆使用责任对车辆及车内备件物品要爱惜使用、妥善保管;要随时保持车辆干净,每天早上对车辆清洁一遍,定期洗车,定期对车辆维护保养,确保车况良好。若由于责任人微机室对车辆保养和维修而造成的经济损失由责任人承担。
3、车辆每行驶5000公里(除特殊车辆外),须进行一次保养,车辆的维修和保养由责任人向公司提出申请。
4、因个人操作原因违反交通规则受到处罚和扣分,全部由使用责任人或用车人负担。严重违章应自觉到办公室登记,并写出书面经过及检查,主动协助相关部门解决问题。
5、严禁酒后驾驶、严禁无证驾驶、违章驾驶、超速驾驶,若出现责任事故的,相关经济和法律责任均由使用人承担。
6、未经公司批准,不得将公司车辆借给外单位人员及没有驾照的人使用,如违反规定出现各种问题均由使用人、责任人承担。
7、车辆使用责任人应负责每晚将车辆停放至公司大院,未经公司领导批准,不得晚上私自开车外出,如有发现,一次罚款100元。
四、车辆的费用
车辆使用中所产生的有关车辆维修费、过路费等由甲方承担(以票据实报实销),燃油费由办公室充值油卡,司机做好油卡使用、公里数登记情况。因私事产生的费用由乙方全权承担。
五、附则
本协议一式两份,双方各执一份。自签字之日起生效,有效期自________年________月________日至________年________月________日。
甲方:_________有限责任公司 乙方:________(责任人)
(盖章) 签字:________
关键词:IPSec;密钥交换协议;安全性
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)11-2601-02
Analysis of the Network Layer Safety Protocol-IPSec
YU Qi-hong
(Computer Department of SuQian College,Suqian 223800, China)
Abstract: This paper discusses the architecture of IPSec, analyzes the security of IPSec, points out some attacks that the IKE frequently encounters and sums up a number of improved methods.
Key words: IPSec; Internet key exchange; security
Internet已成为我们工作和生活的一个必不可少的部分。Intenet以缺乏有效的安全机制的TcP/IP协议为通信基
础。网络的安全问题越来越突出。为了保护信息和数据的安全,必须大力发展网络安全技术,IETF在1993年3月成立IPSec[1] (Internet Protocol Security)工作组,该工作组提供在Internet上进行安全通信的一系列规范――IPSec协议,为私有信息通过公用网提供了安全保障。1998年11月公布了Internet安全协议标准:IPSec。为IP数据报提供数据完整性、机密性、数据源认证等安全服务。但就像任何一样事物一样,不可能十全十美,IPSec协议也是如此。
1 IPSec协议体系结构
IPsec被设计成为能够为IPv4和IPv6提供可交互操作的高质量的基于IP层的加密的安全。IPSec包括认证头协议(AH)、封装安全载荷协议(ESP)、密钥管理协议(IKE)[2]和一些认证及加密算法等,主要用了8个RFC文档来定义[3]。其体系结构图如图1。
AH协议用来增加IP数据报的安全性。AH协议提供无连接的完整性、抗重放保护服务和数据源认证,不提供任何保密。
ESP协议用于提高IP协议的安全性。ESP协议可为IP提供数据源验证、抗重放、数据完整性以及机密性等安全服务。
AH和ESP协议都支持两种使用模式:传输模式,隧道模式。传输模式只用于两台主机之间的安全通信,协议为高层提供基本的保护;只要IPSec双方有一方是安全网关或路由器,就必须使用隧道模式,协议使IP包通过隧道传输,隧道模式的特点是数据包最终目的地不是安全终点。
SA(Security Association,安全关联)是两个通信实体之间经协商建立起来的一种约定,包括保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。SA是构成IPSec的基础。
IKE是一种混合型协议,负责密钥的产生、分发与交换,它由SA和密钥管理协议(Internet Security Association Key Management Protocol,简称ISAKMP)以及两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上,沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术,还定义了它自己的两种密钥交换方式:主要模式和积极模式。
2 AH 安全性分析
AH由RFC2402定义,对IP层的数据使用密码学中的验证算法,AH所提供的安全保障完全依赖于它采用的认证算法,因此认证算法是实现IP安全的重要因素。这个验证算法是密码学中MAC(MessageAuthentication Codes)报文验证码算法,它将一段任意长度的报文和一个密钥作为输入,产生一个固定长度的称之为报文摘要的输出报文。常见的有MD5和DES。
AH在使用默认的算法(如MD5和DES)时不提供不可否认业务[4]。AH协议本身不提供业务流分析的安全保护,可能造成信息的泄露。IPSec机制抵抗拒绝服务攻击的机制不完善。
3 IKE协议分析及改进
3.1 IKE工作原理
IKE协议定义了密钥交换的两个阶段和Diffie-Hellman密钥交换密码组。第一阶段指两个ISAKMP实体建立一个安全、验证过的信道来进行通信。这被称为ISAKMP安全联盟(SA)。第一阶段通过“主模式”和“积极模式”(或“野蛮模式”)完成。“主模式”和“积极模式”只能在第一阶段中使用。主模式或积极模式中都允许四种不同的验证方法――数字签名,公共密钥加密的两种验证形式,或者共享密钥。
第二阶段指协商代表服务的安全联盟,这些服务可以是IPsec或任何其它需要密钥材料或者协商参数的服务。第二阶段通过一个“快速模式”来完成。
单个第一阶段协商可以用于多个第二阶段的协商。而单个第二阶段协商可以请求多个安全联盟。IKE第二阶段的安全性在很大程度上依赖于第一阶段密钥材料的安全性,因此文中仅就IKE第一阶段进行重点探讨。
3.2 IKE的消息交换
有两中基本方法可以用来建立经过验证密钥交换:主模式和积极模式。它们都通过短暂的Diffie-Hellman交换来产生经过验证的密钥材料。主模式必须要实现;积极模式最好也实现。
在主模式交换方式下,在发起者和响应者之间交换6 条消息才可以建立IKE SA。前两个消息进行Cookie交换和协商策略,包括加密算法、散列算法及认证方法等;接着两个消息用于交换必要的辅助数据(如伪随机数Nonce)和Diffie_Hellman共享密钥;最后的两个消息认证身份信息和Diffie_Hellman交换。其内容由前4条消息建立的密码算法和密钥来保护。
积极模式是ISAKMP积极交换的实现,只用到主模式一半的消息。头两个消息协商策略,交换Diffie-Hellman公共值以及必要的辅助数据,还有身份。另外,第二个消息还要对响应者进行验证。第三个消息对发起者进行验证,并提供参与交换的证据。积极模式在安全联盟协商中有一定的局限性。当要利用IKE能协商大量属性的能力时,就需要使用主模式了。
以主模式共享密钥验证为例,探讨IKE的消息交换过程,如下:
发起者 响应者
消息1: HDR, SA
消息2: HDR, SA
消息3: HDR, KE, Ni
消息4: HDR, KE, Nr
消息5: HDR*, IDii, HASH_I
消息6: HDR*, IDir, HASH_R
其中HDR是每个IKE 消息的ISAKMP 通用头部。HDRj*表示对载荷加密。SAi和SAr分别表示协商的安全关联载荷。KE表示Diffie-Hellman的交换载荷。Ni 和Nr是两者的随机数负载。IDii 和IDir分别表示第一阶段发起者和响应者的身份负载。HASH_I 和HASH_R分别表示发起者和响应者的认证散列。当第4步交换完成后,将产生最新的共享密阴SKEYID,它是后续所有密钥的建立基础。SKEYID=prf(预共享密钥,Ni|Nr)式中的prf为随机函数,通常是协商好的散列函数的一个HMAC版本。生成了SKEYID之后,可依次生成其余的密钥原料。
SKEYID_d = prf(SKEYID, g^xy | CKY-I | CKY-R | 0)
SKEYID_a = prf(SKEYID, SKEYID_d | g^xy | CKY-I | CKY-R | 1)
SKEYID_e = prf(SKEYID, SKEYID_a | g^xy | CKY-I | CKY-R | 2)
以及达成了用于保护通信的一致的策略。上面的值0,1,2由单个字节的值来代表。用于加密的密钥值根据具体的算法从SKEYID_e中衍生出来。式中g^xy是Diffie-Hellman的 共享秘密;CKY_I ,CKY_R分别是通信发起方和响应方的小甜饼。
前4条交换的消息都没有被认证,为了验证交换中的双方,最后两条消息通过发送HASH_I和 HASH_R实现的。协议的发起者产生HASH_I,响应者产生HASH_R,其中:
HASH_I = prf(SKEYID, g^xi | g^xr | CKY-I | CKY-R | SAi_b | IDii_b )
HASH_R = prf(SKEYID, g^xr | g^xi | CKY-R | CKY-I | SAi_b | IDir_b )
经过6条消息的交换后发起者和响应者就分别建立了各自IKE SA ,并在各自的IKE 关联数据库IKE SADB中增加一项,它由〈CKY_I,CKY_R〉来标识。
3.3IKE可能会遇到的攻击方式与改进方法
3.3.1中间人攻击
中间人攻击是指通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在互相通信,因而这种攻击方式并不很容易被发现。中间人攻击是一种很强的攻击方式,又称为主动攻击。
一种改进方法是适当修改HASH_I和HASH_R能够提前查出攻击者存在,节省交换的步数。
3.3.2DoS攻击
DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,DoS攻击就是利用合理的服务请求来占用过多的服务资源,致使服务超载,使计算机或网络无法提供正常的服务。DOS攻击可分为两类:第一类攻击者发送伪造的请求包,Cookie主要用来防止这种攻击者。第二类攻击者在把沉重的计算代价强加给接收者。
对于第二类攻击的一个防止方法是增加发起者的计算量,减少响应者的计算量。这样当发起者发起拒绝服务攻击的话,耗费目标主机CPU资源的同时,攻击者自己的CPU资源也会被耗尽。因此,起到主动防御的目的。
3.3.3 重放攻击
所谓重放攻击就是攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。重放攻击会迫使系统被迫处理大量不必要的操作。
一种抗重放攻击攻击方法,通过对IKE消息包头的分析发现消息ID字段未使用,将IKE消息包头中的消息ID字段用作计数器来防止重放,与此同时用滑动窗口机制来配合,使IKE交换能够有效地抵御重放攻击的威胁。
4 结束语
IPsec是个极其复杂的混合协议,为网络带来安全性的同时,给理解和实践也带来很大困难。本文描述了Ipsec的体系结构,对IPsec的重要组成部分IKE进行了详细的探讨,包括IKE的工作原理、消息交换过程,对IKE可能受到的攻击进行了分析,并给出了相应的改进方式。Ipsec本身也在不断的完善和发展。Ipsec还有很多值得深入研究的地方。
参考文献:
[1] Kent S,Atkinson R.RFC 2401:Security Architecture for the Internet Protocol,1998-11.
[2] Harkins D,Carrel D.RFC 2409:The Internet Key Exchange(IKE)[Z].1998-11.
我家是农村的,而田宇父母都是公务员,他们希望找个门当户对的儿媳。可是田宇喜欢我,尽管他父母不同意,我们依旧坚持着。
他父母不喜欢我,也不打算给我们买房,他们害怕买了房,万一哪天我俩离婚了,就得让我这个“农村儿媳”分走一半。
可没想到,新婚姻法司法解释在这时横空出世,规定婚前买房,谁付首付房子就是谁的,离婚了也分不走。天宇的父母吃了定心丸,老两口拿出积蓄给儿子买了套95平的厉子。
朋友小宁提醒我:“你没跟田宇签个婚前协议啊?万一田宇哪天背叛你了,好歹还能得到套房子,别到时候啥都捞不着。新婚姻法司法解释可让我们女的吃大亏了。嫁人一场,到头来竹篮打水一场空,白白搭上了青春。”
开始我不以为然,田宇对自己这么好,又有这么多年的感情基础,还怕他花心?再说,还没结婚呢就考虑离婚的事,多丧气!
“谁结婚也不是奔着离婚去的,可到头来还是有那么多离婚的。再说,你婆婆不喜欢你,这关系就难处了。做什么事都得给自己留条后路。反正也不伤害田宇什么,就是签个协议,顺便,看看田宇对你是否真心。”我父母听说有签协议这事,也觉得我应该签。
我动摇了。将签协议作为一项考查,又能为自己赢得一些婚姻的安全感,何乐而不为?再说,那个不喜欢自己的婆婆,着实让我有些担心将来婚姻的稳固。
没想到,田宇不但不同意签协议这事,还火了:“不是钱的问题。你不信任我。如果哪天我真的不爱你了,我愿意将我所有的钱都给你,不必用协议来限制我!”
田宇越不想签,我就越想让他签;我越想让他签,他越不想签……俩人就这么较上劲了。
田宇父母看我俩较劲,就借机琢磨拆散我俩。他们开始给儿子安排相亲,田宇竟然答应了,还威胁我说,要是坚持签这个协议,俩人就一拍两散。我真的舍不得田宇,可是,又无法说服自己让步。
到底我应该怎么办?
王婕
心理解读
王婕:
你好。
看得出来,你坚持签协议这事,并不是执著于物质本身,而是想要试图抓住对于婚姻的安全感。但这种努力,就像用手去抓水,抓得越紧,漏得越多。
对于婚姻,不安全感作为一种情绪而存在,理应被接纳,我们需要去直视它,逃避或者压抑都没有用。它就像魔鬼,即使这次被收进了“瓶子”,它会随时等待那个“瓶盖”被打开的时刻,跳出来吞噬掉它的主人。即使田宇同意了签协议,潜藏在你内心当中的不安全感也只是暂时被收进了“瓶子”。总有个时刻,瓶盖会再次被掀开。而那时,积蓄了更久能量的“魔鬼”会掀起更大的风浪,可能会将整个婚姻掀翻。因此,该如何面对自己内心的不安全感,是需要认真学习的课程。
与田宇好好沟通,是解决问题的必要方式。但是沟通不是那么简单,需要一些方法。你其实也是在与田宇沟通,只是有些错位。你用签协议的方式,对田宇说:“我因为一些原因,对于我们的婚姻缺乏安全感。”但是田宇解读成了:“你没有安全感是因为你不信任我,不信任我们的感情。”俩人的意思没有对接。你在表达自己的安全感缺失问题,这与感情或者信任与否无关,而田宇解读成信不信任他的问题。你需要做的是,表达“我的讯息”,清晰地向田字表达自己的感受,说明对婚姻的不安全感不是出于对田宇的不信任,而是来自未来婆婆,或者来自两家家境的悬殊,或者其他方面。清楚地表达自己的感受,而不是相互指责,这样才能让田宇走出自己的框架,来理解和接纳你的感受。
你抓着婚前协议不放,是因为觉得它能带给你婚姻的安全感。目的是好的,可是真的能达到你想要的效果吗?人有时会将方式和目的混为一谈,认为只有这么做才能达到目的,将两者捆绑到起。殊不知,多种方式能达到相同的目的,相同的方式也可能会产生不同的结果。我们需要学会将目的和方式分开。好好思考一下,是否还有更好的方式来获得婚姻的安全感?记得《媳妇的美好时代》中,毛豆豆不介意钱和房子的问题,她用真心和余味及家人相处,也因此收获了余味的真心及其家人的优待。