1、孤儿单经营的基本原则孤儿单经营的基本原则孤儿单客户必须100%上门拜访;孤儿单客户必须100%进行保单检查、整理;孤儿单客户必须在60天内拜访三次以上。一、电话约访的内容及目的一、电话约访的内容及目的介绍自己;对客户的情况和态度进行摸底;确定拜访时间和服务的重点;确定拜访顺序;制定拜访计划一、电话约访的内容及目的一、电话约访的内容及目的了解客户的基本情况了解客户的基本情况客户的地址是否变更?客户的地址是否变更?客户什么时间可以接受拜访?客户什么时间可以接受拜访?客户对售后服务有无意见?客户对售后服务有无意见?客户对保险是否认同,是否有新需求?客户对保险是否认同,是否有新需求?客户是否容易沟通?
2、客户是否容易沟通?客户的态度基本分为两类:客户的态度基本分为两类:态度热情,态度热情,较易沟通较易沟通 此类客户可以很快推荐新险种,成交机此类客户可以很快推荐新险种,成交机 率大,可以做转介绍。率大,可以做转介绍。态度不友好,抱怨多,牢骚大态度不友好,抱怨多,牢骚大 此类客户对商品不满意,对理赔不满意,此类客户对商品不满意,对理赔不满意,对公司存在偏见,一听到保险公司就烦。对公司存在偏见,一听到保险公司就烦。此类客户需要一定的时间进行沟通。此类客户需要一定的时间进行沟通。一、电话约访的内容及目的一、电话约访的内容及目的一、电话约访的内容及目的一、电话约访的内容及目的根据电话约访的情况,根据电话
3、约访的情况,安排拜访时间,安排拜访时间,安排拜访顺序,安排拜访顺序,制定拜访计划。制定拜访计划。电话约访注意事项电话约访注意事项1、电话约访在分单后两天内完成2、电话约访前进行电脑信息查询,包括客户个人资料、家庭成员资料、受益人资料、客户在平安投保的所有险种及险种状态,前期有无进行保全、理赔操作,初步了解客户及保单情况。3、电话约访时注意了解客户,体察客户的情绪和态度4、采用问候自我介绍寒暄赞美获取信息核实客户住址约定拜访的方式进行;电话约访示范电话约访示范电话约访例1:您好,我是平安保险公司区域服务专员XXX,今后您保单的售后服务工作将由我来为您负责,现在您的续期保费已经到缴费期了,我想跟您
4、约个时间上门拜访您,为您做续期缴费服务,及其它保全服务工作,您看定在什么时间比较好?现在我把您家里的地址核实一下。电话约访示范电话约访示范电话约访例2:您好,我是平安保险公司区域服务专员XXX,今后您保单的售后服务工作将由我来为您负责,现在您的续期保费已经到缴费期了,请问您是直接存银行,还是需要我们上门收费。如果客户说存银行,那么就说“好的,今天打电话还想跟您约个时间上门拜访您,为您做其它售后服务,如保全工作,保障答疑等,您看定在什么时间比较好?现在我把您家里的地址核实一下。电话约访示范电话约访示范电话约访例3:您好,我是平安保险公司区域服务专员XXX,今后您保单的售后服务工作将由我来为您负责
5、,现在您的续期保费已经到缴费期了,我想跟您约个时间上门拜访您,为您做续期缴费服务,及其它保全服务工作,您看定在什么时间比较好?如果客户抱怨“您别生气,有什么问题我来了解后帮您解决,您看定在什么时间比较好?现在我把您家里的地址核实一下。二、上门拜访的基本步骤及方法二、上门拜访的基本步骤及方法出发前准备上门拜访自我介绍续期收费为客户服务保单整理公司近况介绍收集客户资料约定下次服务时间填写准保户卡其它保全服务二、上门拜访的基本步骤及方法二、上门拜访的基本步骤及方法安排拜访的基本原则是:地址不详、电话有误的客户先着手查找;为如期收费准备足够的时间;态度热情,较易沟通的客户及时安排拜访时间,早接触,早开
6、单;态度不友好,有意见的客户做好多次接触的准备。地址无法找到查询公司档案;与前期业务员或其担保人联系 上门拜访上门拜访第一次第一次第一次拜访是接触性拜访,主要目的是:把自己介绍给客户;介绍服务项目,通知收费;相关保全服务;了解客户个性特征及家庭情况。出发前准备好客户基本资料,如出生年月、投保险种等;科学安排时间和拜访路线;着正规套装,给客户一种非常专业的形象。上门拜访示范上门拜访示范上门自我介绍:我是平安保险公司区域服务专员XXX(出示专员证),今天专程来拜访您,主要是为您做售后服务工作,并征求您的意见和建议,敬请关照(鞠躬)。上门拜访示范上门拜访示范服务性提问:“请问,您对自己购买的保险的保
7、险责任清楚吗?您家的电话,保险收益人等有没有变更?您有没有理赔方面的问题需要我帮助?您有没有生存金到期需要领取?请您将保单拿出来,我为您做一个保单整理,看一下您办了哪些方面的保险,都享有什么样的 保险利益,存在什么问题.”边看保单,边进行保单解说,自然导入上门拜访示范上门拜访示范新险种介绍:您过去买的都是传统型险种,险种比较单一,而我们公司现在推出一种非常好的投资分红型险种,您想不想了解一下?没关系的,我们作为区域服务专员有义务将公司好 的险种、发展的状况向您介绍,买不买都没有关系,作为客户您有权力知道,不是吗?介绍中注意观察客户是否感兴趣,然后约定下次服务时间,上门递送保单体检表收费收据等
8、“这样,我回去帮您把保单资料整理好,过几天给您送一分完整的保单检查表来,您将清楚了解自己的保障情况,再次感谢您对我工作的支持”上门拜访上门拜访第二次第二次第二次拜访是增加了解和感情的拜访主要目的是:递送收费收据体检表,推荐新险种、咨询;(转介绍)出发前准备好 收费收据 为客户整理好的保单体检表 专门设计的建议书 展业资料上门拜访示范上门拜访示范“您好!我来给您递送缴费收据和保单检查表告之体检表内容:“这是我为您整理的保单体检表,您的保障是.您看,您购买的是XX传统型养老保险,而缺少XX,根据您的保障情况和经济状况,我建议您再购买一些XX保险,这是我专门为您设计的XX建议书,您来看一下”进行建议
9、书说明,根据情况进行促成或收集客户意见,约定下次再访上门拜访注意事项上门拜访注意事项1、计划周密,准备充分,进行访前预演;2、按时到达,态度和蔼,礼仪到位;3、拜访工具准备齐全 区域服务专员工作证、收费卡、保户卡、服务调查表、保单体检表、保全相应工具、保单封皮、新契约展业工具客户资料;4、服务工作要热情、认真,周到;5、不要强行推荐新险种,留给客户一定时间;6、回答问题要专业、准确,不能随意,不能夸张。三、对客户分类经营三、对客户分类经营整理保户卡保障低,收入稳定态度热情的客户保障高,难加保转介绍长期服务等待机会发现需求推荐新险转介绍态度不好的客户保持电话联系化解怨气培养感情增员增员等待机会推
10、荐保险建立影响力中心四、孤儿单辐射开发四、孤儿单辐射开发建立孤儿单客户影响力中心定期举办社区孤儿单客户活动辐射社区,区域开拓统计社区孤儿单客户,建立孤儿单客户档案l23第6讲 认证协议http:/ 认证协议6.1 认证方式分类6.2 经典认证协议6.3 密钥交换协议6.4 认证密钥交换协议6.5 可否认认证协议6.6 对认证协议的典型攻击6.7 认证协议的设计原则l25认证和协议的概念 认证:是一个过程,通过这个过程,一个实体可以向另一个实体证明某种声称的属性。协议:在两方或相互协作的多方之间进行通信的过程。因此,一个认证过程也是一个认证协议。认证协议是安全协议的一种。什么是认证?什么是协议?
11、什么是认证?什么是协议?l26 消息认证(也称数据源认证)身份认证(或称实体认证)带认证的密钥建立实体声称的属性有哪些呢?实体声称的属性有哪些呢?l27消息认证 目的:确认消息发送者的身份 确认数据完整性 消息认证与数据完整性区别:消息认证必然涉及通信,而数据完整性不一定包含通信,该安全服务可用于存储的数据。消息认证必然涉及确认消息的新鲜性,而数据完整性无此必要,这是因为老数据、重放的旧消息也可能有完善的数据完整性。新鲜的消息指接收者认定的新近发送的消息(收发之间的时间间隔足够小)。l28身份认证1、主机主机类型 通信的参与者是在分布式系统中被称为“节点”的计算机或平台。实例:客户端服务器设置
12、,其中一台主机(客户端)向另一台主机(服务器)请求某些服务。l29身份认证2、用户主机类型 用户通过登录系统中某台主机来获得访问该计算机系统。举例:通过Telnet登录到某台计算机 通过FTP(file transfer protocol)执行文件传送l30身份认证3、进程主机类型 主要用于分布式计算系统远程进程的识别与认证。一个主机可能会给外部的进程授予不同的接入权限。例如某段“移动代码”或可执行的Java程序都能够到达远程主机并作为远程进程在该主机上运行。在敏感的应用中,设计认证机制是必需的,也是可能的,这样才能使主机识别外部进程是否友好,从而能够对外部进程赋予合适的接入权限。l31身份认
13、证4、成员俱乐部类型 可以把成员拥有俱乐部证书的证明看做是一般化的“用户主机类型”。俱乐部可以只需要考虑成员证件的有效性,而没有必要知道该成员的进一步信息,如该成员的真实身份。l326.1 认证方式分类(1)单方认证(2)双方认证(3)包含可信第三方的认证认证可以分为那些类别?认证可以分为那些类别?l336.1.1 单方认证协议的两个参与主体A和B中只对其中的一个主体进行认证。(服务器对客户端的认证或)认证机制包括基于交互模式的挑战应答机制(CR)基于对称密码技术的挑战应答机制的单方认证 基于非对称密码技术的挑战应答机制的单方认证基于非交互模式的时间戳机制(TS)基于对称加密技术的时间戳机制的
14、单方认证 基于非对称加密技术的时间戳机制的单方认证l34挑战应答机制“挑战-应答”机制(Challenge-Response)B期望从A获得一个新消息,首先发给A一个临时值(challenge),并要求后续从A收到的消息(response)包含正确的这个临时值。l35基于对称密码技术的挑战应答机制”的单方认证协议1:BobAlice:NB;(挑战)AliceBob:EKAB(M,NB);(应答)Bob解密接收到密文分组并接受(若Bob看到NB)或拒绝(其它情况)。协议2:BobAlice:NB;(挑战)AliceBob:M,MDC(KAB,M,NB);(应答)Bob重构MDC(KAB,M,NB
15、)并接受(若两个MDC相同)或拒绝(其它情况)。l36基于非对称密码技术的挑战应答机制的单方认证协议3:BobAlice:NB;(挑战)AliceBob:M,SigA(M,NB);(应答)Bob使用他的一次性随机数NB验证签名并接受(若签名通过验证)或拒绝(其它情况)。l37数字时间戳机制 数字时间戳(DTS,Digital Time-stamp):是由DTS服务机构提供的安全服务项目,专门用于证明信息的发送时间。B接受一个新消息仅当该消息包含一个时间戳,该时间戳在B看来,是足够接近B所知道的当前时间;这种方法要求不同参与者之间的时钟需要同步。由于变化的和不可预见的网络延迟的本性,不能期望分布
16、式时钟保持精确的同步。因此,任何基于时间戳的过程必须采用时间窗的方式来处理:一方面时间窗应足够大以包容网络延迟,另一方面时间窗应足够小以最大限度地减小遭受攻击的机会。l38数字时间戳机制 数字时间戳的生成及使用过程l39基于对称加密技术的时戳机制的单方认证协议4:AliceBob:EKAB(M,TA);Bob解密接收到的密文分组并接受(若认为TA是有效的)或拒绝(其它情况)。协议5:AliceBob:M,TA,MDC(KAB,M,TA);Bob重构MDC(KAB,M,TA)并接受(若两个MDC相等且TA是有效的)或拒绝(其它情况)。l40基于非对称加密技术的时戳机制的单方认证协议6:Alice
17、Bob:SigA(M,TA);Bob验证签名并接受(若签名通过验证且TA是有效的)或拒绝(其它情况)。l416.1.2 双方(向)认证 双方认证是指协议的两个通信实体要互相认证。协议7:前提:A拥有公钥证书CertA,B拥有公钥证书CertB;目标:A和B完成双方认证(对身份的确认)。协议步骤:BA:RB;(表示认证请求的功能码)AB:CertA,RA|RB|B|SigA(RA|RB|B);BA:CertB,RB|RA|A|SigB(RB|RA|A).-l426.1.2 双方认证 对协议7的攻击协议8:Wiener攻击(加拿大人攻击):前提:除了原协议的前提外,Malice也拥有证书CertM
18、。Malice(“B”)A:RB;(冒充B)AMalice(“B”):CertA,RA|RB|B|SigA(RA|RB|B);1)Malice(“A”)B:RA;(冒充A)2)BMalice(“A”):CertB,RB|RA|A|SigB(RB|RA|A);Malice(“B”)A:CertB,RB|RA|A|SigB(RB|RA|A).结果是得到了结果是得到了A和和B的信任的信任协议协议7:前提:前提:A拥有公钥证拥有公钥证书书CertA,B拥有公拥有公钥证书钥证书CertB;目标:目标:A和和B完成双完成双方认证方认证(对身份的对身份的确认确认)。协议步骤:协议步骤:BA:RB;(表示表示
19、认证请求的功能认证请求的功能码码)AB:CertA,RA|RB|B|SigA(RA|RB|B);BA:CertB,RB|RA|A|SigB(RB|RA|A).-l436.1.3 包含可信第三方的认证Woo-Lam协议:前提:Trent作为可信第三方(TTP),Alice和Trent共享对称密钥KAT,Bob和Trent共享对称密钥KBT;目标:即使Alice和Bob开始互不相识,Alice仍然能够向Bob证明自己。AliceBob:Alice;【我是Alice】BobAlice:NB;【你证明一下吧】AliceBob:NBKAT;【你可以去验证,Trent可以证明】BobTrent:Alice
20、,NBKATKBT;【问Trent,X说她是Alice】TrentBob:NBKBT;【你如果看到NB,那就是了】Bob使用密钥KBT解密密文分组,如果解密后正确地返回Bob的一次性随机数,Bob就接受此次运行,否则拒绝。协议依赖TTP的可信性。l446.1.3 包含可信第三方的认证Abadi和Needham对上述Woo-Lam协议的攻击(并行攻击!)Malice(“Alice”)Bob:Alice;【冒充Alice对Bob,我是Alice】1.MaliceBob:Malice;【同时执行Malice本身的认证协议我是Malice】BobMalice(“Alice”):NB;【Bob执行Woo
21、-Lam认证过程,证明给我】2.BobMalice:NB;【Bob执行Woo-lam认证过程,证明给我】Malice(“Alice”)Bob:NBKMT;【执行Woo-lam,注意NB,你问TTP?】3.MaliceBob:NBKMT;【并行执行Woo-lam,注意NB不是NB】BobTrent:Alice,NBKMTKBT;【Bob问Trent关于Alice的身份】4.BobTrent:Malice,NBKMTKBT;【Bob问Trent关于Malice的身份】TrentBob:“垃圾”KBT;【按照协议执行,Nb被破坏了】(产生“垃圾”是因为Trent使用KAT对密文组NBKMT进行了解密
22、)5.TrentBob:NBKBT;【按照协议,Nb返回了,Alice的身份被确认】Bob拒绝和Malice的运行;(因为解密后返回的是“垃圾”而不是一次性随机数NB)6.Bob接受“和Alice的运行”,但实际上是和Malice的运行。(因为解密返回的NB是正确的)l456.2 经典认证协议 6.2.1 Needham-Schroeder对称密钥认证协议6.2.2 Needham-Schroeder公钥认证协议6.2.3 Otway-Rees认证协议6.2.4 Yahalom协议6.2.5 Andrew RPC(Remote Procedure Call)认证协议6.2.6 Wide-Mou
23、th Frog协议l466.2.1 Needham-Schroeder对称密钥认证协议 基于“挑战-应答”机制 目的:在通信双方之间分配会话密钥,使协议发起者能够检查会话密钥的新鲜性 是认证和密钥建立协议中最著名的协议l476.2.1 Needham-Schroeder对称密钥认证协议 l48Needham-Schroeder对称密钥认证协议前提:Alice和Trent共享密钥KAT;Bob和Trent共享密钥KBT;目标:Alice和Bob希望建立一个新的共享密钥K。Alice随机生成一次性随机数NA,向Trent发送:Alice,Bob,NA;【我要和Bob通信】Trent随机生成K,向A
24、lice发送:Bob,K,NA,Alice,KKBTKAT;【给你们分配好了密钥】Alice解密NA,验证她的nonce(表示仅使用一次的数字),验证Bob的身份并发给Bob:Trent,Alice,KKBT;Bob解密并验证Alice的身份,生成随机数NB,向Alice发送:我是Bob!NBK;Alice向Bob发送:我是Alice!NB-1K.l49Denning和Sacco对Needham-Schroeder对称密钥认证协议的攻击协议漏洞的原协议漏洞的原因是什么?因是什么?l50Denning和Sacco对Needham-Schroeder对称密钥认证协议的改进利用时间戳代替利用时间戳代
25、替挑战号,可以解挑战号,可以解决消息新鲜性的决消息新鲜性的漏洞。漏洞。l516.2.2 Needham-Schroeder公钥认证协议 目的:使通信双方安全地交换两方彼此独立的秘密。这与其它大多数公钥认证协议不同,它们的目的是通信双方安全地交换共享密钥。l526.2.2 Needham-Schroeder公钥认证协议TrentTrent,我要和,我要和BobBob通信,通信,psps:AliceAlice给你给你BobBob的公钥的公钥你好,我是你好,我是AliceAliceTrentTrent,我要和,我要和BobBob通信,通信,psps:AliceAlice给你给你AliceAlice的
26、公钥的公钥AliceAlice,你好,我是,你好,我是BobBob,这是你给我发的挑战,这是你给我发的挑战NaNa你好,我是你好,我是alicealice,这是你给我发的挑战,这是你给我发的挑战NbNbl536.2.2 Needham-Schroeder公钥认证协议前提:假定Alice Bob Trent的密钥对分别为(KA,KA-1),(KB,KB-1),(KT,KT-1)目标:Alice和Bob建立一个新的共享密钥。Alice向Trent发送:Alice,Bob;Trent向Alice发送:Bob,KB KT-1;Alice验证Trent对Bob,KB的签字,随机生成她的nonce NA,
27、并向Bob发送:Alice,NAKB;Bob解密并验证Alice的身份,向Trent发送:Bob,Alice;Trent向Bob发送:Alice,KA KT-1;Bob验证Trent对Alice,KA的签字,随机生成他的nonce NB,并向Alice发送:NA,NBKA;Alice解密并向Bob发送:NBKB.l54Lowe对Needham-Schroeder公钥认证协议的攻击l55Lowe对Needham-Schroeder公钥认证协议的攻击 假设在这个系统中Malice是一个合法的主体,因此其他主体可能要和Malice建立标准会话。这个攻击过程中包括两次同时运行该协议。第一次是Alice
28、和Malice之间的运行(-、-、-步),结果是Alice和Malice建立了一个合法的会话。第二次是Malice假冒Alice和Bob之间的运行(-、-、-步),结果是Malice假冒Alice和Bob建立了一个假的会话。我们分析以上攻击,Malice成功攻击的关键步骤是Alice无意地为他解密了Bob的nonce NB。当一个主体无意地为攻击者执行了一个密码运算时,该主体就被用作预言机(oracle)或提供了预言机服务(Oracle service)。因此密码算法和协议应该设计成即使用户为攻击者提供了预言服务也是安全的。l56修补Needham-Schroeder公钥认证协议l576.2.
29、3 Otway-Rees认证协议 目的:用于在通信双方之间分配会话密钥。特点:简单实用,不需要应用复杂的同步时钟机制。l586.2.3 Otway-Rees认证协议前提:Trent作为可信第三方(TTP),Alice和Trent共享对称密钥KAT,Bob和 Trent共享对称密钥KBT;目标:Alice和Bob协商密钥KAB进行下一次会话。Alice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT;【发起通信,请验证】Bob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT,NB,M,Alice,BobKBT;【验证一下Alice是不是Alic
30、e,我是Bob】Trent解密并向Bob发送:M,NA,KABKAT,NB,KABKBT;【验证了你是bob,她是Alice,并且给你们分配了密钥】Bob向Alice发送:M,NA,KABKAT.【我们通过了验证,把密钥给你】l59针对Otway-Rees协议的“类型缺陷”型攻击“类型缺陷”型攻击的特点是利用认证协议实现时的固定格式对协议进行攻击。只是检测长度的合法性。假定在Otway-Rees认证协议中,M的长度是64比特,Alice和Bob的长度各为32比特,KAB的长度为128比特。攻击过程如下(冒充Bob):1.Alice向Malice(“Bob”)发送:M,Alice,Bob,NA,
31、M,Alice,BobKAT;【发给Bob的消息被Malice劫持】2.Malic向Trent发送:M,Alice,Malic,NA,M,Alice,BobKAT,NB,M,Alice,MalicKMT;【红色的信息是否能验证通过是攻击成功的前提】3.Trent解密并向Malic发送:M,NA,KABKAT,NB,KABKMT;【你们验证通过给你们密钥】4.Malice(“Bob”)向Alice发送:M,NA,KABKAT.【你验证通过了,给你密钥】l60针对Otway-Rees协议的“类型缺陷”型攻击攻击者还可以冒充可信第三方Trent攻击Otway-Rees协议。攻击过程如下:2.Bob向
32、Malice(“Trent”)发送:M,Alice,Bob,NA,M,Alice,BobKAT,NB,M,Alice,BobKBT;【发给Trent的信息被劫持】3.Malice(“Trent”)向Bob发送:M,NA,M,Alice,BobKAT,NB,M,Alice,BobKBT;【利用手头上的密文进行攻击】4.Bob向Alice发送:M,NA,M,Alice,BobKAT.【现在的密钥是什么?】Alice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT;Bob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT,NB,M,Alice,Bob
33、KBT;Trent解密并向Bob发送:M,NA,KABKAT,NB,KABKBT;Bob向Alice发送:M,NA,KABKAT.l616.2.4 Yahalom协议前提:Trent作为可信第三方(TTP),Alice和Trent共享对称密钥KAT,Bob和Trent共享对称密钥KBT;目标:Alice和Bob之间建立会话密钥KAB。Alice向Bob发送:Alice,NA;【我是Alice】Bob向Trent发送:Bob,Alice,NA,NBKBT;【Alice要和我通信,我是Bob】Trent解密并向Alice发送:Bob,KAB,NA,NBKAT,Alice,KABKBT;【Alice
34、,给你们的密钥】Alice向Bob发送:Alice,KABKBT,NBKAB.【Bob,密钥给你,还有我是Bob】lAlice向Bob发送:M,Alice,Bob,NA,M,Alice,BobKAT;lBob向Trent发送:M,Alice,Bob,NA,M,Alice,BobKAT,NB,M,Alice,BobKBT;lTrent解密并向Bob发送:M,NA,KABKAT,NB,KABKBT;lBob向Alice发送:M,NA,KABKAT.l Alice向Bob发送:Alice,NA;l Bob向Trent发送:Bob,Alice,NA,NBKBT;l Trent解密并向Alice发送:B
35、ob,KAB,NA,NBKAT,Alice,KABKBT;Alice向Bob发送:Alice,KABKBT,NBKAB.Otway-ReeslAlice向Bob发送:Alice,NA;lBob向Trent发送:Bob,NB,Alice,NAKBT;lTrent解密并向Alice发送:NB,Bob,KAB,NAKAT,Alice,KAB,NBKBT;lAlice向Bob发送:Alice,KAB,NBKBT,NBKAB.BAN-YahalomYahaloml636.2.4 BAN-Yahalom协议Alice向Bob发送:Alice,NA;【我是Alice】Bob向Trent发送:Bob,NB,A
36、lice,NAKBT;【我是Bob,Alice要通信,给个密钥吧】Trent解密并向Alice发送:NB,Bob,KAB,NAKAT,Alice,KAB,NBKBT;【Bob,验证通过,Alice,给你们的密钥】Alice向Bob发送:Alice,KAB,NBKBT,NBKAB.【Bob,密钥给你】Alice向Bob发送:Alice,NA;Bob向Trent发送:Bob,Alice,NA,NBKBT;Trent解密并向Alice发送:Bob,KAB,NA,NBKAT,Alice,KABKBT;Alice向Bob发送:Alice,KABKBT,NBKAB.l64针对BAN-Yahalom协议的攻
37、击 AliceMalice(“Bob”):Alice,NA;【Alice的消息被Bob劫持】1.Malice(“Bob”)Alice:Bob,NA;【我是Bob】2.AliceMalice(“Trent”):Alice,NA,Bob,NAKAT;【冒充Trent】2.Malice(“Alice”)Trent:Alice,NA,Bob,NAKAT;【冒充Alice】3.TrentMalice(“Bob”):NA,Alice,KAB,NAKBT,Bob,KAB,NAKAT;【冒充Bob】Malice(“Trent”)Alice:NM,Alice,KAB,NAKBT,Bob,KAB,NAKAT;【冒
38、充Trent】AliceMalice(“Bob”):Alice,KAB,NAKBT,NMKAB.Alice向Bob发送:Alice,NA;Bob向Trent发送:Bob,NB,Alice,NAKBT;Trent解密并向Alice发送:NB,Bob,KAB,NAKAT,Alice,KAB,NBKBT;Alice向Bob发送:Alice,KAB,NBKBT,NBKAB.l65针对BAN-Yahalom协议的攻击 上述攻击中共运行了3次协议:第1次是Alice发起的希望与Bob会话的运行,见第,步,而协议的第步应该由Bob向Trent发送的消息在第2步中被Malice所截获。第2次是Malice冒充
39、响应者Alice的运行,见第2,3步,而在这次运行中,Trent以为发起者是Bob,响应者是Alice,并且这次运行没有完全完成,逻辑上运行了协议的第个步骤后被挂起,并且缺少逻辑上的第个步骤。第3次是由Malice冒充发起者Bob的运行,见第1,2步,这次运行也没有完全完成,逻辑上运行了协议的第个步骤后被挂起。l666.2.5 Andrew RPC(Remote Procedure Call)认证协议 Andrew RPC认证协议也是一种早期的双方认证协议。该协议只包含两个主体Alice和Bob,其中Alice为客户,Bob为服务器。Andrew RPC认证协议提供了互不信任的客户端和服务器之
40、间的认证握手。当一个客户机与一个新的服务器连接时,利用握手协议,客户Alice能够从服务器Bob获得一个新的会话密钥。l686.2.5 Andrew RPC(Remote Procedure Call)认证协议l69前提:假设Alice与Bob之间原先共享会话密钥KAB;NA和NB分别是Alice和Bob生成的一次性随机数,NB是在随后的通信中使用的初始序列号;目标:Alice向Bob申请一个新的会话密钥KAB。Alice向Bob发送:Alice,NAKAB;【我是Alice】Bob向Alice发送:NA+1,NBKAB;【你好Alice,我是Bob】Alice向Bob发送:NB+1KAB;【
41、我真的是Alice】Bob向Alice发送:KAB,NBKAB.【看出来了,给你新的密钥】6.2.5 Andrew RPC(Remote Procedure Call)认证协议l70针对Andrew RPC认证协议的“类型缺陷”型攻击3.AliceMalice(“Bob”):NB+1KAB;【我真的是Alice】4.Malice(“Bob”)Alice:NA+1,NBKAB.【晓得了,新密钥NA+1】Alice向Bob发送:Alice,NAKAB;Bob向Alice发送:NA+1,NBKAB;Alice向Bob发送:NB+1KAB;Bob向Alice发送:KAB,NBKAB.l716.2.6
42、Wide-Mouth Frog协议 Wide-Mouth Frog协议又称作大嘴青蛙协议,大嘴青蛙协议是一种最简单的、应用对称密码体制的三方认证协议。在该协议中,Alice通过可信第三方Trent向Bob传送会话密钥。该协议特点是会话密钥只通过两个步骤就从Alice传给了Bob,同时应用了同步时钟机制。6.2.6 Wide-Mouth Frog协议前提:Alice和Bob分别与可信第三方Trent共享秘密密钥KAT和KBT;目标:Alice将产生的会话密钥传给Bob。Alice向Trent发送:Alice,TA,Bob,KABKAT;【Alice要和Bob通信,我自己准备好了密钥】Trent向
43、Bob发送:TT,Alice,KABKBT.【Alice要和你通信,这是密钥】l73针对Wide-Mouth Frog协议的攻击 第1种方法是在有效的时间范围内重放步骤的消息。其后果是将进行重新认证。因为根据协议,Trent将生成一个新的消息2,并生成一个新的时间戳。这样通信的时间戳被修改可能影响后续的使用。(破坏可用性的方法)l74针对Wide-Mouth Frog协议的攻击第2种攻击方法攻击过程如下:(实施破坏性的攻击)AliceTrent:Alice,TA,Bob,KABKAT;TrentBob:TT,Alice,KABKBT;1.Malice(“Bob”)Trent:Bob,TT,Al
44、ice,KABKBT;【假冒Bob】2.TrentMalice(“Alice”):TT,Bob,KABKAT;【假冒Alice】1.Malice(“Alice”)Trent:Alice,TT,Bob,KAB KAT;【假冒Alice】2.TrentMalice(“Bob”):TT,Alice,KABKBT.【假冒Bob】在第1次运行中,攻击者Malice监听Alice与Bob之间的一次会话。然后,在第2次运行中,攻击者Malice假冒Bob,从Trent处获得对它有用的消息2。在第3次运行中,Malice假冒Alice,从Trent处获得对它有用的消息2,这时,攻击者Malice可假冒Tren
45、t向Alice与Bob重放上述消息,引起Alice与Bob之间的重新认证。l756.3 密钥交换协议密钥交换协议用于完成会话密钥的建立。一般情况下是在参与协议的两个或多个实体之间建立共享的秘密。著名的Diffie-Hellman密钥交换协议。由于该算法本身限于密钥交换的用途,被许多商用产品用作密钥交换技术,因此该算法通常称之为Diffie-Hellman密钥交换。这种密钥交换技术的目的在于使两个用户安全地交换一个秘密密钥,以便用于以后的报文加密。l76Diffie-Hellman密钥交换协议 设p是一个素数,是Z*p的本原元,p和是公开的。在此条件下,通信双方(设为A和B)可以执行如下协议形成
46、共享的秘密密钥K:A随机选择XA,0XAp-2;A计算YA=XA mod p,并把YA发送给B;B随机选择XB,0XBp-2;B计算YB=XB mod p,并把YB发送给A;A计算:B计算:显然K=K,因此A和B之间就形成了一个共享的秘密密钥。()()modABAABXXXXXBKYp()()modBABABXXXXXAKYpl77Diffie-Hellman协议进行密钥交换举例 例:假设用户A、B想交换会话密钥进行保密通信,选择素数p=353,本原元=3,并且A,B分别随机选择私钥XA=97和XB=233。A、B分别计算其公钥:YA=397(mod 353)=40 YB=3233(mod 3
47、53)=248 在他们相互获取了公钥之后,A、B各自通过计算得到双方共享的秘密密钥如下:A计算:KAB=(YB)XA mod 353=24897 mod 353=160 B计算:KAB=(YA)XB mod 353=40233 mod 353=160l78Diffie-Hellman密钥交换协议 Diffie-Hellman密钥交换算法的安全性依赖于这样一个事实:虽然计算以一个素数为模的指数相对容易,但计算离散对数X=logY mod p却很困难。对于大的素数,计算出离散对数几乎是不可能的。该协议安全的一个必要条件是Z*p上的离散对数问题是难处理的,这要求p至少有300位的十进制数,且p-1应
48、该至少具有一个较大的素数因子。l79Diffie-Hellman密钥交换协议优点:仅当需要时才生成密钥,减小了将密钥存储很长一段时间而致使遭受攻击的机会;除对全局参数的约定外,密钥交换不需要事先存在基础结构。l80Diffie-Hellman密钥交换协议缺点:没有提供双方身份的任何信息,因此标准的Diffie-Hellman密钥交换协议无法防止被称为“中间人攻击”的主动攻击。即第三方C在和A通信时扮演B;和B通信时扮演A。A和B都与C协商了一个密钥,然后C就可以监听和传递通信量;它是计算密集性的,因此容易遭受阻塞性攻击,即攻击者请求大量的密钥,被攻击者花费了相对多的计算资源来求解无用的幂系数而
49、不是在做真正的工作;没办法防止重放攻击。l81对Diffie-Hellman密钥交换协议的中间人攻击l826.4 认证密钥交换协议(DH存在缺陷)认证协议和密钥交换协议相结合 先对通信实体的身份进行认证 在认证成功的基础上,为下一步安全通信分配密钥 例:站-站协议(STS协议)因特网密钥交换协议(IKE协议)分布式认证安全服务协议(DASS协议)Kerberos认证协议 X.509协议l83站站协议(STS协议)站站协议实际上是Diffie-Hellman密钥交换协议的一种变形。前提:Alice和Bob各自拥有公钥证书:CertA=SigCA(Alice,PA,desc )CertB=SigC
50、A(Bob,PB,desc )其中CA是证书机构。PA和PB分别表示Alice和Bob的公钥。desc 表示生成的共享群。此外,同一系统中的用户共享一个高阶有限阿贝尔群(交换群),而且同一系统中的用户共同确认了一个对称密码算法E;目标:Alice 和Bob实现双方认证和双方认证的密钥交换。Alice随机选择某个大整数x,并发送给Bob:x;Bob 随机选择某个大整数y,并发送给Alice:y,CertB,EK(SigB(y,x);Alice 向Bob发送:CertA,EK(SigA(x,y),其中K=xy=yx.l84站站协议(STS协议)是用于因特网安全的因特网密钥交换(IKE)协议的基础之