精华内容
下载资源
问答
  • 身份鉴别

    2021-10-08 20:09:33
    身份鉴别1、身份鉴别基础2、基于实体所知的鉴别3、基于实体所有的鉴别4、基于实体特征的鉴别5、 kerberos体系6、认证、授权和计费 1、身份鉴别基础 ◆理解标识与鉴别的区别、鉴别类型、鉴别方式等 ◆基本概念 ◆了解...

    1、身份鉴别基础

    ◆理解标识与鉴别的区别、鉴别类型、鉴别方式等
    ◆基本概念
    ◆了解对身份鉴别系统的主要要求
    身份鉴别的概念
    ◆标识
    ◆实体身份的一种计算机表达
    ◆每个实体与计算机内部的一个身份表达绑定
    ◆信息系统在执行操作时,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的身份,同一个实体可以有多个不同的身份
    ◆标识示例
    ◆用户ID、编号、用户名
    ◆身份鉴别的作用
    授权的前提
    ◆访问控制机制的正确执行依赖于对用户身份的正确识别,标识和别作为访问控制的必要支持,以实现对资源机密性、完整性、可用性及合法使用的支持。
    数据源认证
    ◆与完整性保护结合可对数据源进行认证
    为安全审计服务提供支撑
    ◆审计记录中,一般需要提供与某一活动关联的确知身份
    ◆身份鉴别的相关实体
    被验证者P( Prover):出示身份标识的人,又称声称者( Claimant)
    验证者V( Verifier):检验声称者提出的身份标识的正确性和合法性,决定是否满足要求
    可信赖者TP( Trusted Third Party):参与鉴别的第三方,參与调解纠纷
    单向鉴别和双向鉴别
    ◆单向鉴别:通信双方中只有一方向另一方进行鉴别
    ◆双向鉴别:通信双方相互进行鉴别
    ◆第三方鉴别:由可信第三方来确认身份
    ◆身份鉴别的基本方式(按照证据特点)
    ◆实体所知:验证实体所知什么,如一个秘密的口令戓PIN码。
    ◆实体所有:验证实体拥有什么,如钥匙、磁卡、智能IC卡。
    ◆实体特征:验证实体不可改变的特性,如指纹、声音等生物学测定得来的标识特征。如:声音、指纹、掌纹等。
    ◆多因素鉴别
    ◆使用两种(双因素鉴别)或两种以上鉴别方式的组合,例如:网上银行的转账验证时,必须同时使用用户名密码(实体所知)和 USB Key(实体所有)才能完成一次转证
    ◆对身份鉴别系统的主要要求
    ◆验证者正确鉴别合法申请者的概率极大化。
    ◆不具有可传递性,验证者B不可能重用申请者A提供给他的信息来伪装申请者A,骗取其他人的验证从而得到信任。
    ◆攻击者伪装申请者骗验证者成功的概率要小到可以忽略的程度,能抗击已知密文攻击,即能对抗攻击者截获到申请者和验证者的多次通信密文,然后伪装申请者欺骗验证者。
    ◆计算有效性,为实现身份鉴别所需的计算量要小

    2、基于实体所知的鉴别

    ◆理解基于实体所知的鉴別方式及特点
    ◆了解口令破解、嗅探、重放攻击等针对实体所知
    ◆鉴別方式的攻击方式;
    ◆掌握对抗口令破解的防御措施
    ◆理解对抗嗅探攻击、重放攻击的防御措施。
    基于实体所知的鉴别
    ◆使用可以记忆的秘密信息作为鉴別依据
    ◆目前广泛采用的使用用户名和登录密码进行登录验证就是一种基于“实体所知”的鉴别方式
    ◆实现简单、成本低,广泛应用在各类商业系统中
    ◆面临安全威胁
    ◆信息泄露:登录密码猜测、线路窃听
    ◆信息伪造:重放攻击
    登录密码猜测及防御揩施
    ◆登录密码猜测攻击
    ◆鉴别依据(登录密码)强度不足,攻击者容易猜出来
    ◆典型的弱密码
    ◆系统默认生成
    ◆为了方便记忆,用户使用筒单的数字或与自己相关的信息来设置
    ◆简单的数字组合,如88888
    ◆顺序字符组合,如abc123
    ◆键盘临近组合,如qwe123
    ◆特殊含义字符,如 password
    ◆2018全球弱口令排行榜
    1.123456
    4 2. password
    3.123456789
    4.12345678
    5.12345
    6.111111
    7.1234567
    8. sunshine
    9. qwerty
    10. iloveyou
    ◆要有密码复杂性要求,含有数字,字符,字母,特殊字符等。
    ◆以上的字符必须安装无规律的组合,不要使用英语单词年月份等组合。很容易被暴力破解或者字典破解
    ◆密码的位数至少达到8位以上,现在很多论坛,邮箱,网银等已经达到16位密码的支持。
    ◆定期的更换密码
    ◆最好不要使用以前被破解过的密码、也不要使用同一密码用做各种不同的账户密码。
    ◆穷举攻击是针对口令进行破解的一种方式,它通过穷举所有可能的口令的方法来进行攻击。
    ◆假设某用户设置的口令是7位数字,那么最多存在10的七次方种口令。尽管一次输入猜对口令的可能性为千万分之,但在现有网络计算环境中,猜测一个口令的投入很小,攻
    击者很容易做到利用软件连续测试10万、100万,甚至1000万个口令,理论上,只要有足够的时间,所有口令都可以被破解。
    ◆暴力破解防护
    ◆使用安全的密码(自己容易记,别人不好猜,强度、复杂度)
    ◆系统、应用安全策略(帐号锁定策略)
    ◆随机验证码
    ◆变形
    ◆干扰
    ◆滑块
    ◆图像识别…
    ◆窃听攻击:攻击者在用户名、密码传输路径上设置嗅探器,采集到用户发送的验证信息(用户名和密码)
    ◆窃听攻击背景:由于早期采用的网络协议在网络上以明文(如 Telnet,FTP,POP3)或简单的编码(如HTTP采用的BASE64)形式传输的口令等攻击者通过在会话路径中的任何节点部署嗅探器就可以获得用户的口令。
    ◆线路窃听防御措施
    ◆防御措施:加密(单向函数)
    在这里插入图片描述
    ◆攻击者可能构造一张q与p对应的表,表中的p尽可能包含所期望的值,例如彩虹表
    ◆解决办法:在口令中使用随机数
    ◆重放攻击
    ◆重放攻击又称重播攻击、回放攻击,是指攻击者发送目的主机已接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的。
    ◆对于传输的会话凭证(登录密码或 session等),如果仅采取简单加密措施,攻击者可以记录下来,并且在稍后的验证过程中进行重放,系统无法区分这次发送的登录信息是攻击者或是合法用户
    ◆针对重放攻击防御措施
    ◆在会话中引入时间戳,由于时间戳的存在,攻击者的重放攻击会被系统拒绝;
    ◆使用一次性口令
    ◆在会话中引入随机数

    3、基于实体所有的鉴别

    ◆理解基于实体所有的鉴别方式及特点
    ◆了解集成电路卡、内存卡、安全卡、CPU卡等常用鉴别物品。
    ◆使用用户所持有的东西来验证用户的身份
    ◆采用较多的一种鉴别方法
    ◆使用用户用于鉴别的东西通常不容易被复制的,具有唯一性
    ◆实体所有的鉴别方式是一种长期被使用的身份鉴别方式
    ◆集成电路卡( Integrated Circuitcard, IC Card)
    ◆信息化时代广泛使用的“实体所有”鉴别物品。
    ◆通过将一个专用的集成电路芯片镶嵌于符合ISO7816标准的PVC(或ABS等)塑料基片中,封装成外形与磁卡类似的卡片形式,也可以封装成细扣、钥匙、饰物等特殊形状。
    ◆IC卡根据实现方式可以分为内存卡、安全卡、CPU卡等不同类型。
    ◆内存卡( Memory Card)
    ◆内嵌存储器用于存储各种数据
    ◆信息存储方便,使用简单,价格便宜,很多场合可替代磁卡
    ◆由于其本身不对存储的数据进行加密并且易于被复制,因此通常用于保密性要求不高的应用场合。例如单位门禁卡、企业的会员卡等。
    ◆逻辑加密卡
    ◆内嵌芯片对存储区域增加了控制逻辑,在访可存储区之前要核对密码。如果连续多次密码验证错误,卡片可以自锁,成为死卡
    ◆由于具有一定的安全功能,因此安全卡适用于有一定保密需求的场合,例如存储着储值信息的餐忺企业会员卡、电话卡、水电燃气等公共事业收费卡等。
    ◆CPU卡( CPU Card)
    ◆也称智能卡( Smart Card),相当于一种特殊类型的单片机,在卡片中封装了微处理单元(CPU),存储单元(RAM、ROM等)和输入输出接口,甚至带有双方单元和操作系统
    ◆CPU卡具有存储容量大、处理能力强、信息存储安全等特点,因此广泛被用于保密性要求较高的场合,例如银行的信用卡等。
    ◆复制及篡改
    ◆鉴别物品可能被复制一份或簒改信息
    ◆选择具备保护其中存储C卡中存储和处理的各种信息不被非法访、复制、篡改或破坏的技

    ◆损坏
    ◆用于鉴别的物品可能会损坏导致不可用
    ◆封装应坚固耐用,承受日常使用中各种可能导致卡片损坏的行为

    4、基于实体特征的鉴别

    ◆理解基于实体特征的鉴別方式及特点
    ◆了解指纹、虹膜、声纹等常用的生物识别技术;
    ◆理解基于实体特征鉴别有效性判定的方法。
    ◆使用具有不可改变、唯一的生物特征作为鉴别依据
    ◆由于鉴别方便性及技术成熟、硬件成本下降,使用越来越广泛
    ◆实体特征鉴别特点
    ◆普遍性:鉴别的特征是每个人都具有的,因此不存在遗忘等问题
    ◆唯一性:每个实体拥有的特征都是独一无二的;
    ◆稳定性:实体的生物特征不随时间、空间和环境的变化而改变;
    ◆可比性用于鉴别的特征易于采集、测量和比较
    ◆鉴别系统构成
    ◆实体特征鉴别系统通常由信息采集和信息识别两个部分组成
    ◆信息采集:通过光学、声学、红外等传感器作为采集设施,采集待鉴别的用户的生物特征(如指纹、虹膜等)和行为特征(声音、笔记、步态等)
    ◆信息识别:与预先采集并存储在数据库中的用户生物特征进行比对,根据比对的结果验证是否通过验证
    ◆指纹
    ◆指纹是指尖表面的纹路,指纹识别主要利用纹路的起终点、中断处、分叉点、汇合点等的位置、数目和方向的分析比较来鉴别用户身份。
    ◆指纹识别在所有生物特征识别中是最成熟、使用最广泛的技术。
    ◆掌纹
    ◆手掌有折痕,起皱,还有凹槽还包括每个手指的指纹
    ◆人手的形状(手的长度,宽度和手指)表示了手的几何特征
    ◆静脉
    ◆个人静脉分布图(指静脉、掌静脉)
    ◆静脉识别是最近几年开始出现的生物特征识别方式,通过静脉识别设备提取实体的静脉分布图,采用特定算法从静脉图中提取特征并与预先存储在数据库中的特征进行比对以判断是否通过验证。
    ◆面部识别
    ◆人都有不同的骨骼结构,鼻梁,眼眶,额头和下颚形状
    ◆用人脸进行身份鉴别友好、方便,用户接受程度高,但识别的准确率要低于虹膜和指纹识别。
    ◆人脸识别系统的主要工作是在输入的图像中准确定位人脸,抽取人脸特征,并进行匹配识别。
    ◆目前,人面部的表情、姿态、化妆等的变化及采集图像时光线、角度、距离、遮挡等问题是影响人脸识别准确性的难题
    ◆视网膜
    ◆使用视网膜上面的血管分布作为识别特征
    ◆视网膜是人眼感受光线并产生信息的重要器官,位于眼球壁的内层,是一层透明的薄膜。视网膜由色素上皮层和视网膜感觉层组成,视网膜识别是通过采集视网膜独特的特征用于鉴别的技术
    ◆虹膜
    ◆使用环绕在曈孔四周有色彩的部分作为识别特征
    ◆虹膜是一个位于瞳孔和巩膜间的环状区域,每一个虹膜都包含水晶体、细丝、斑点、结构、凹点、射线、皱纹和条纹等特征。虹膜在出生后6-18个月成型后终生不再发生变化。虹膜识别系统用摄像机捕获用户眼晴的图像,从中定位虹膜,提取特征,并加以匹配判断。
    ◆巩膜
    ◆巩膜识别也称眼纹识别,使用现膜(眼白)中的血管分布图作为识别的依据。
    ◆技术实现上与虹膜识别类似,人的眼球会因为过敏红眼或者熬夜宿醉等情况发生充血的状况,但这些并不会影响虹膜上血管排布,所以“眼纹”识别具有良好的稳定性。
    ◆语音识别
    ◆语音识别是利用发声者的发声频率和幅值来辦识身份的一种特征识别技术,在远程传递中具有明显优势
    ◆识别方式
    ◆依赖特定文字:实现容易,安全性不高
    ◆不依赖特定文字:防伪性较高,准确率不稳定
    ◆其他实体特征鉴别
    ◆由于生物识别技术的便利性及广泛的应用前景,头骨、耳朵、脑电波等越来越多的生物识别技术被开发出来。
    ◆优势
    ◆实体特征鉴别体系相对实体所知、实体所有的鉴别方式优势在于用于鉴别的特征难以复制,也不会遗失。
    ◆安全风险
    ◆用于鉴别的生理特征终生不变,无法更换,一旦遗失特征数据,安全风险极大
    ◆随着技术进步,生理特征复制越来越简单
    ◆防御措施
    ◆谨慎使用,严格管理数据
    ◆鉴别系统的有效性判断
    ◆错误拒绝率(FRR
    ◆错误接受率(FAR)
    ◆交叉错判率(CER):FRR=FAR的交叉点,CER用来反映系统的准确度

    5、 kerberos体系

    ◆理解单点登录概念及其特点
    ◆了解 Kerberos体系架构及基本认证过程。
    单点登录基本概念
    ◆单点登录概念
    ◆单一身份认证,身份信息集中管理,一次认证就可以访问其授权的所有网络资源
    ◆单点登录实质是安全凭证在多个应用系统之间的传递或其享
    单点登录的安全优势
    ◆减轻安全维护工作量,减少错误
    ◆提高效率
    ◆统一安全可靠的登录验证
    Kerberos协议
    什么是 Kerberos协议
    ◆1985年由美国麻省理工学院开发,用于通信实体间的身份认证,1994年V5版本作为 Internet标准草案公布
    ◆基于对称密码算法为用户提供安全的单点登录服务
    ◆包含可信第三方认证服务
    Kerberos行环境
    ◆密钥分配中心(KDC)、应用服务器和客户端
    Kerberos协议的优点
    ◆避免本地保存密码及会话中传输密码
    ◆客户端和服务器可实现互认
    Kerberos认证过程三次通信
    ◆认证过程由三个阶段组成,例如需要访问OA
    ◆第一次:获得票据许可票据(TGT)
    ◆第二次:获得服务许可票据(SGT)
    ◆第三次:获得服务
    在这里插入图片描述
    Kerberos工作过程获得TGT
    ◆客户机向AS发送访可TGS请求(明文)
    ◆请求信息:用户名、IP地址、时间戳、随机数等
    ◆AS验证用户(只验证是否存在)
    ◆AS给予应答
    ◆TGT(包含TGS会话密钥),使用KDC密码加密
    ◆其他信息(包含TGS会话密钥),使用用户密码加密
    在这里插入图片描述
    Kerberos工作过程-获得SGT
    ◆客户机向TGS发送访问应用服务请求
    ◆请求信息使用TGS会话密钥加密(包含认证信息)
    ◆包含访可应用服务名称(htp)
    ◆TGS验证认证信息(包含用户名等)后,给予应答
    ◆SGT
    ◆客户机与应用服务器之间的会话密钥
    在这里插入图片描述
    Kerberos工作过程获得服务
    ◆客户机向应用服务器请求服务
    ◆SGT(使用htp服务器密码加密)
    ◆认证信息
    ◆应用服务器(验证认证信息)
    ◆提供服务器验证信息(如果需要验证服务器)
    在这里插入图片描述
    kerberos体系
    ◆Kerberos认证协议的缺陷
    ◆首先,协议中的认证信息依赖于时间标记来实现抗重放攻击,这要求使用该协议进行认证的计算机需要实现时间同步,严格的时间同步需要有时间服务器,因此,时间服务器的安全至关重要。
    ◆其次,协议认证的基础是通信方均无条件信任KDC,一旦其安全受到影响,将会威胁整个认证系统的安全,同时,随着用户数量的增加,这种第三方集中认证的方式容易形成系统性能的瓶颈。

    6、认证、授权和计费

    展开全文
  • GM/T 0067-2019 《基于数字证书的身份鉴别接口规范》 本标准规定了公钥密码基础设施体系上层应用中基于数字证书的身份鉴别接口。 本标准使用于公钥密码基础设施体系上层应用中身份鉴别服务的开发、证书应用支撑平台...
  • 标准:GM∕T 0069-2019 开放的身份鉴别框架.pdf
  • 标准:GM∕T 0067-2019 基于数字证书的身份鉴别接口规范.pdf
  • GM∕T 0057-2018 基于IBC技术的身份鉴别规范.pdf GM∕T 0057-2018 基于IBC技术的身份鉴别规范.pdf
  • 该标准规定了依赖方(网络应用或服务)使用身份服务提供方提供的鉴别功能、对终端用户进行身份鉴别的协议框架,定义了协议参与实体的要求、鉴别协议流程、用户信息的访问要求,以及协议消息的加密和签名要求等。
  • GM/Y 5002-2018 《云计算身份鉴别服务密码标准体系》 “云计算身份鉴别服务密码标准体系”标准研究项目时2014年3月密码行业标准化技术委员会下发的云计算领域密码标准相关的研究任务。该标准研究报告的目标范围与...
  • 电子政务对身份鉴别的需求.pptx
  • 网络安全法-身份鉴别

    2018-06-21 14:09:50
    “国家信息安全等级保护三级备案认证”从技术要求(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复)及管理要求(安全管理制度、...提出了包含信息保护、身份鉴别、安全审计、通信保密等在内的近300项要求...

    网络安全法
    2017年6月1日网络安全法执行,与2018年1月1日全面执行,网络安全法现在有7章79条,内容十分丰富,归纳总结大概有六方面的突出亮点。第一,网络安全法明确了网络空间主权的原则。第二,明确了网络产品和服务提供者的安全义务。第三,明确了网络运营者的安全义务。第四,进一步完善了个人信息保护规则。第五,建立了关键信息基础设施安全保护制度。第六,确立了关键信息基础设施重要数据跨境传输的规则。
    网络安全法中第三章(网络运行安全)、第一节(一般规定)、第二十一条中明确指出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
    (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
    (二)采取防范计算机病毒和网络×××、网络侵入等危害网络安全行为的技术措施;
    (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
    (四)采取数据分类、重要数据备份和加密等措施;
    (五)法律、行政法规规定的其他义务。
    综上所述,网络运营者必须按照网络安全等级保护要求履行,保护网络安全,防止数据泄露、窃取、篡改,如不按照以上条例执行,将按照(例如)网络安全法第六章(法律责任)、第五十九条,网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。
    等级保护制度
    国家等级保护认证是中国最权威的信息产品安全等级资格认证,由公安机关依据国家信息安全保护条例及相关制度规定,按照管理规范和技术标准,对各机构的信息系统安全等级保护状况进行认可及评定。
    “国家信息安全等级保护三级备案认证”从技术要求(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复)及管理要求(安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)两大方面提出了包含信息保护、身份鉴别、安全审计、通信保密等在内的近300项要求,31项身份鉴别要求、共涉及测评分类73类,认证过程由国家信息安全监管部门进行监督、检查。
    北京中科恒伦科技有限公司是一家专注身份鉴别认证及下一代智能安全认证的领先厂商。拥有面向企业级双因子令牌认证、涵盖硬件令牌、手机app令牌及短信令牌;同时拥有智能准入一体化安全认证准入产品;单点登录产品及弱口令检测产品。

    北京中科恒伦科技有限公司是一家专注身份鉴别认证及下一代智能安全认证的领先厂商。拥有面向企业级双因子令牌认证、涵盖硬件令牌、手机app令牌及短信令牌;同时拥有智能准入一体化安全认证准入产品;单点登录产品及弱口令检测产品。
    认证方式
    CKEY令牌有三种,分别是手机令牌,硬件令牌、短信令牌,可供用户选择,且手机令牌及硬件令牌根据时间算法密码60秒一变(可定制30秒),无需联网,其logo样式均可定制,短信令牌是一种通过认证系统将随机密码通过短信形式发送至用户手机上,用户无需携带额外认证设备。
    原理图

    网络安全法-身份鉴别
    软件架构图
    网络安全法-身份鉴别

    场景
    由于CKEY双因素身份认证产品是业界事实标准的动态口令身份认证解决方案,因此能够与各种网络设备、安全设备(如:×××、防火墙、VNC、堡垒机及操作系统)等数百种第三方产品及解决方案直接集成。
    网络安全法-身份鉴别

    转载于:https://blog.51cto.com/13808662/2131288

    展开全文
  • 基于SCAP的Linux主机身份鉴别安全配置核查策略研究.pdf
  • 基于虹膜识别的身份鉴别pdf,基于虹膜识别的身份鉴别
  • GB∕T 36651-2018 信息安全技术 基于可信环境的生物特征识别身份鉴别协议框架
  • 智能终端将极大地拓展6G的应用,也使6G面临更大的安全威胁,实现可靠的终端身份鉴别是保证6G网络安全的前提。针对 6G 网络架构与终端特点,归纳了身份鉴别技术在面向 6G 智能终端时的挑战与需求;进一步分析了面向 6...
  • GM/T 0069-2019 《开放的身份鉴别框架》 本标准规定了依赖方(网络应用或服务)使用身份服务提供方提供的鉴别功能、对终端用户进行身份鉴别的协议框架,定义了协议参与实体的要求、鉴别协议流程、用户信息的访问要求...
  • 针对井下复杂受限环境下人脸、虹膜、指纹和掌纹等常常比较模糊,从而使得基于这些生物特征的井下人员身份识别率不高问题。...实验结果表明,利用该方法进行基于步态的煤矿井下人员身份鉴别是有效可行的。
  • 今年阿里云多媒体 AI 团队(由阿里云视频云和达摩院视觉团队组成)参加了 MFR 口罩人物身份鉴别全球挑战赛,并在总共5个赛道中,一举拿下1个冠军、1个亚军和2个季军,展现了我们在人物身份鉴别领域深厚的技术积淀和...

    image.png

    1. 引言

    10月11-17日,万众期待的国际计算机视觉大会 ICCV 2021 (International Conference on Computer Vision) 在线上如期举行,受到全球计算机视觉领域研究者的广泛关注。
    今年阿里云多媒体 AI 团队(由阿里云视频云和达摩院视觉团队组成)参加了 MFR 口罩人物身份鉴别全球挑战赛,并在总共5个赛道中,一举拿下1个冠军、1个亚军和2个季军,展现了我们在人物身份鉴别领域深厚的技术积淀和业界领先的技术优势。

    2. 竞赛介绍

    MFR口罩人物身份鉴别全球挑战赛是由帝国理工学院、清华大学和InsightFace.AI联合举办的一次全球范围内的挑战赛,主要为了解决新冠疫情期间佩戴口罩给人物身份鉴别算法带来的挑战。竞赛从6月1日开始至10月11日结束,历时4个多月,共吸引了来自全球近400支队伍参赛,是目前为止人物身份鉴别领域规模最大、参与人数最多的权威赛事。据官方统计,此次竞赛收到的总提交次数超过10000次,各支队伍竞争异常激烈。

    2.1 训练数据集

    此次竞赛的训练数据集只能使用官方提供的3个数据集,不允许使用其它额外数据集以及预训练模型,以保证各算法对比的公平公正性。官方提供的3个数据集,分别是ms1m小规模数据集、glint360k中等规模数据集和webface260m大规模数据集,各数据集包含的人物ID数和图片数如下表所示:

    image.png

    2.2 评测数据集

    此次竞赛的评测数据集包含的正负样本对规模在万亿量级,是当前业界规模最大、包含信息最全的权威评测数据集。值得注意的是所有评测数据集均不对外开放,只提供接口在后台进行自动测评,避免算法过拟合测试数据集。
    InsightFace赛道评测数据集的详细统计信息如下表所示:

    image.png

    WebFace260M赛道评测数据集的详细统计信息如下表所示:

    image.png

    2.3 评测指标

    此次竞赛的评测指标不仅有性能方面的指标,而且还包含特征维度和推理时间的限制,因此更加贴近真实业务场景。详细的评测指标如下表所示:

    image.png

    image.png

    3. 解决方案

    下面,我们将从数据、模型、损失函数等方面,对我们的解决方案进行逐一解构。

    3.1 基于自学习的数据清洗

    众所周知,人物身份鉴别相关的训练数据集中广泛存在着噪声数据,例如同一人物图片分散到不同人物ID下、多个人物图片混合在同一人物ID下,数据集中的噪声会对识别模型的性能产生较大影响。针对上述问题,我们提出了基于自学习的数据清洗框架,如下图所示:

    image.png

    首先,我们使用原始数据训练初始模型M0,然后使用该模型进行特征提取、ID合并、类间清洗和类内清洗等一系列操作。对于每个人物ID,我们使用DBSCAN聚类算法去计算中心特征,然后使用中心特征进行相似度检索,这一步使用的高维向量特征检索引擎是达摩院自研的Proxima,它可以快速、精准地召回Doc中与Query记录相似度最高的topK个结果。紧接着,我们使用清洗完成的数据集,训练新的模型M1,然后重复数据清洗及新模型训练过程,通过不断进行迭代自学习方式,使得数据质量越来越高,模型性能也随之越来越强。具体来看,类间清洗和类内清洗的示意图如下图所示:

    image.png

    值得注意的是,我们的清洗流程中先进行类间清洗、再进行类内清洗,与CAST[1]数据清洗框架不同,这样在完成类间清洗后可以更新新的ID中心特征,使得整个清洗过程更加完备,清洗效果也更好。为了验证数据清洗对最终性能的影响,我们在ms1m数据集上做了一系列对比实验,结果如下表所示:

    image.png

    表中的阈值指的是类内清洗的相似度阈值,可以看出当阈值设置过低(如0.05)时,噪声没有被清洗干净,因此性能表现不是最佳;而当阈值设置过高(如0.50)时,噪声被清洗的同时难样本也被清洗了,导致模型泛化能力变弱,在评测数据集上性能反而下降。因此选择一个中间阈值0.25,既清洗了大量噪声,又保留了困难样本,在各项评测指标上均达到最佳性能。此外,我们还画出了不同相似度阈值与剩余图片数的关系,如下图所示:

    image.png

    3.2 戴口罩数据生成

    为解决戴口罩数据不足的问题,一种可行的方案是在已有的无口罩图像上绘制口罩。然而,目前大部分的绘制方案属于位置贴图式,这种方案生成的戴口罩图像不够真实且缺乏灵活性。因此,我们借鉴PRNet[2,3]的思路,采用一种图像融合方案[4]来获取更符合真实情况的戴口罩图像,如下图所示,

    image.png

    该方案的原理是将口罩图像和原图像通过3D重建分别生成UV Texture Map,然后借助纹理空间合成戴口罩图像。在数据生成过程中,我们使用了8种类型的口罩,意味着我们可在已有的数据集上对应生成8种不同风格的戴口罩图像。基于UV映射的方案克服了传统平面投影方式中原图像和口罩图像间的不理想衔接和变形等问题。此外,由于渲染过程的存在,戴口罩图像可以获得不同的渲染效果,比如调整口罩角度及光照效果等。生成的戴口罩图像示例如下图所示:

    image.png

    在生成戴口罩数据训练模型的过程中,我们发现戴口罩数据的比例对模型性能有不同程度的影响。因此,我们将戴口罩数据占比分别设置为5%、10%、15%、20%和25%,实验结果如下表所示:

    image.png

    从上表中发现,当戴口罩数据比例为5%时,模型在MR-ALL评测集上的性能最高;当戴口罩数据比例调整至25%时,对Mask戴口罩评测集的性能提升明显,但在MR-ALL上的性能下降明显。这说明当混合戴口罩数据和正常数据进行训练时,其比例是影响模型性能的重要参数。最终,我们选择戴口罩数据比例为15%,在戴口罩和正常数据上的性能达到一个较好平衡。

    3.3 基于NAS的骨干网络

    不同骨干网络对特征提取的能力差异较大,在人物身份鉴别领域,业界常用的基线骨干网络是在ArcFace[5]中提出的IR-100。在此次竞赛中,我们采用达摩院提出的Zero-shot NAS (Zen-NAS[6]) 范式,在模型空间搜索具有更强表征能力的骨干网络。Zen-NAS区别于传统NAS方法,它使用Zen-Score代替搜索模型的性能评测分数,值得注意的是Zen-Score与模型最终的性能指标成正比关系,因此整个搜索过程非常高效。Zen-NAS的核心算法结构如下图所示:

    image.png

    我们基于IR-SE基线骨干网络,使用Zen-NAS搜索3个模型结构相关的变量,分别是:Input层的通道数、Block层的通道数和不同Block层堆叠的次数,限制条件是搜索出的骨干网络满足各赛道的推理时间约束。一个有趣的发现是:Zen-NAS搜索出的骨干网络,在ms1m小数据集赛道上的性能表现与IR-SE-100几乎无差异,但在WebFace260M这样的大数据集赛道,性能表现会明显优于基线。原因可能是搜索空间增大后,NAS可搜索的范围随之增大,搜索到更强大模型的概率也随之增加。

    3.4 损失函数

    此次竞赛我们采用的基线损失函数为Curricular Loss[7],该损失函数在训练过程中模拟课程学习的思想,按照样本从易到难的顺序进行训练。然而,由于训练数据集通常是极度不平衡的,热门人物包含的图片数多达数千张,而冷门人物包含的图片数往往只有1张。为解决数据不均衡带来的长尾问题,我们将Balanced Softmax Loss[8]的思想引入Curricular Loss中,提出一个新的损失函数:Balanced Curricular Loss,其表达式如下图所示:

    image.png

    在ms1m赛道上,我们对比了Balanced Curricular Loss (BCL) 与原始Curricular Loss (CL) 的性能,结果如下表所示:

    image.png

    可以看出Balanced Curricular Loss相对于Curricular Loss,无论在Mask还是MR-ALL上的指标均有较大幅度的提升,充分证明了其有效性。

    3.5 知识蒸馏

    由于此次比赛对模型的推理时间有约束,模型超时会被直接取消成绩。因此,我们采用知识蒸馏的方式,将大模型强大的表征能力传递给小模型,然后使用小模型进行推理,以满足推理时间的要求。此次竞赛我们采用的知识蒸馏框架如下图所示:

    image.png

    其中,蒸馏损失采用最简单的L2 Loss,用以传递教师模型的特征信息,同时学生模型使用Balanced Curricular Loss训练,最终的损失函数是蒸馏损失与训练损失的加权和。经过知识蒸馏后,学生模型在评测数据集上的部分指标,甚至超过了教师模型,同时推理时间大大缩短,在ms1m小数据集赛道的性能有较大提升。

    3.6 模型和数据同时并行

    WebFace260M大数据集赛道的训练数据ID数量>200万、总图片数>4000万,导致传统的多机多卡数据并行训练方式已难以容纳完整的模型。Partial FC[9]采用将FC层均匀分散到不同GPU上,每个GPU负责计算存储在自己显存单元的sub FC层结果,最终通过所有GPU间的同步通信操作,得到近似的full FC层结果。Partial FC的示意图如下所示:

    image.png

    采用Partial FC,可同时使用模型并行与数据并行,使得之前无法训练的大模型可以正常训练,另外可采用负样本采样的方式,进一步加大训练的batch size,缩短模型训练周期。

    3.7 其它技巧

    在整个竞赛过程中,我们先后尝试了不同数据增强、标签重构及学习率改变等策略,其中有效的策略如下图所示:

    image.png

    4. 竞赛结果

    此次竞赛我们mind_ft队在InsightFace和WebFace260M共5个赛道中获得1个冠军(WebFace260M SFR)、1个亚军(InsightFace unconstrained)和2个季军(WebFace260M Main和InsightFace ms1m)。其中,WebFace260M赛道官方排行榜的最终结果截图如下所示:

    image.png

    在竞赛结束之后的Workshop中,我们受邀在全球范围内分享此次竞赛的解决方案。此外,我们在此次竞赛中投稿的论文,也被同步收录于ICCV 2021 Workshop[10]。最后,展示一下我们在此次竞赛中收获的荣誉证书:

    image.png

    5. EssentialMC2介绍与开源

    EssentialMC2,实体时空关系推理多媒体认知计算,是达摩院MinD-数智媒体组对于视频理解技术的一个长期研究结果沉淀的核心算法架构。核心内容包括表征学习MHRL、关系推理MECR2和开集学习MOSL3三大基础模块,三者分别对应从基础表征、关系推理和学习方法三个方面对视频理解算法框架进行优化。基于这三大基础模块,我们总结了一套适合于大规模视频理解算法研发训练的代码框架,并进行开源,开源工作中包含了组内近期发表的优秀论文和算法赛事结果。

    image.png

    essmc2是EssentialMC2配套的一整套适合大规模视频理解算法研发训练的深度学习训练框架代码包,开源的主要目标是希望提供大量可验证的算法和预训练模型,支持使用者以较低成本快速试错,同时希望在视频理解领域内建立一个有影响力的开源生态,吸引更多贡献者参与项目建设。essmc2的主要设计思路是“配置即对象”,通过简要明了的配置文件配合注册器的设计模式(Registry),可以将众多模型定义文件、优化器、数据集、预处理pipeline等参数以配置文件的形式快速构造出对象并使用,本质上贴合深度学习的日常使用中不断调参不断实验的场景。同时通过一致性的视角实现单机和分布式的无缝切换,使用者仅需定义一次,便可在单机单卡、单机多卡、分布式环境下进行切换,同时实现简单易用与高可移植性的特性。
    目前essmc2的开源工作已经发布了第一个可用版本,欢迎大家试用,后续我们会增加更多算法和预训练模型。链接地址:https://github.com/alibaba/EssentialMC2

    6. 产品落地

    随着互联网内容的视频化以及VR、元宇宙等应用的兴起,非结构化视频内容数量正在高速增长,如何对这些内容进行快速识别、准确理解,成为内容价值挖掘关键的一环。
    人物是视频中的重要内容,高精度的视频人物身份鉴别技术,能够快速提取视频人物关键信息,实现人物片段剪辑、人物搜索等智能应用。另外,对于视频的视觉、语音、文字多维度内容进行分析理解,识别人、事、物、场、标识等更丰富的视频内容实体标签,可形成视频结构化信息,帮助更全面地提取视频关键信息。
    更进一步,结构化的实体标签作为语义推理的基础,通过多模态信息融合,帮助理解视频核心内容,实现视频内容高层语义分析,进而实现类目、主题理解。
    阿里云多媒体 AI 团队的高准确率人物身份鉴别及视频分析技术,已集成于EssentialMC2核心算法架构,并进行产品化输出,支持对视频、图像的多维度内容进行分析理解并输出结构化标签(点击进行体验:Retina视频云多媒体 AI 体验中心-智能标签产品 https://retina.aliyun.com/#/Label)。

    image.png

    多媒体AI产品

    智能标签产品通过对视频中视觉、文字、语音、行为等信息进行综合分析,结合多模态信息融合及对齐技术,实现高准确率内容识别,综合视频类目分析结果,输出贴合视频内容的多维度场景化标签。

    类目标签:实现视频内容高层语义分析,进而实现类目、主题的理解,视频分类标签,分为一级、二级和三级类目,实现媒资管理及个性化推荐应用。

    实体标签:视频内容识别的实体标签,维度包括视频类目主题、影视综漫IP、人物、行为事件、物品、场景、标识、画面标签,同时支持人物、IP的知识图谱信息。其中,影视综漫的IP搜索基于视频指纹技术,将目标视频与库内的影视综等资源进行指纹比对检索,支持6万余部电影、电视剧、综艺、动漫、音乐的IP识别,可分析识别出目标视频内容中包含哪一部电影、电视剧等IP内容,帮助实现精准的个性化推荐、版权检索等应用。基于优酷、豆瓣、百科等各类型数据,构建了涵盖影视综、音乐、人物、地标、物体的信息图谱,对于视频识别命中的实体标签,支持输出知识图谱信息,可用于媒资关联及相关推荐等应用。

    关键词标签:支持视频语音识别及视频OCR文字识别,结合NLP技术融合分析语音及文字的文本内容,输出与视频主题内容相关的关键词标签,用于精细化内容匹配推荐。

    image.png

    完善的标签体系、灵活的定制化能力

    智能标签产品综合优酷、土豆、UC海外等平台的PGC、UGC视频内容进行学习、训练,提供最全面完善、高质量的视频标签体系。在提供通用的标签类目体系外,支持开放多层面定制化的能力,支持人脸自注册、自定义实体标签等扩展功能;面向客户特定标签体系的业务场景,采用标签映射、定制化训练等方式,提供一对一的标签定制服务,更有针对性地帮助客户解决平台的视频处理效率问题。

    高品质人机协同服务

    针对要求准确的业务场景,智能标签产品支持引入人工交互判断,形成高效、专业的人机协同平台服务,AI识别算法与人工相辅相成,提供面向个性化业务场景的精准视频标签。
    人机协同体系具备先进的人机协同平台工具、专业的标注团队,通过人员培训、试运行、质检、验收环节等标准化的交付管理流程,确保数据标注质量,帮助快速实现高品质、低成本的标注数据服务。通过AI算法+人工的人机协同方式,提供人工标注服务作为AI算法的补充和修正,确保精准、高质量的服务输出结果,实现业务效率和用户体验的提升。

    image.png

    体育行业和影视行业的视频标签识别

    image.png

    传媒行业和电商行业的视频标签识别

    以上能力均已集成到阿里云视频云智能标签产品,提供高品质的视频分析及人机协同服务,欢迎大家了解及体验试用(智能标签产品 https://retina.aliyun.com/#/Label),搭建更高效、智能化的视频业务应用。

    参考文献:
    [1] Zheng Zhu, et al. Webface260m: A benchmark unveilingthe power of million-scale deep face recognition. CVPR 2021.
    [2] Yao Feng, et al. Joint 3d face reconstruction and dense alignment with position map regression network. ECCV, 2018.
    [3] Jun Wang et al. Facex-zoo: A pytorch toolbox for face recognition. arxiv, abs/2101.04407, 2021.
    [4] Jiankang Deng et al. Masked Face Recognition Challenge: The InsightFace Track Report. arXiv, abs/2108.08191, 2021.
    [5] Jiankang Deng, et al. Arcface: Additive angular margin loss for deep face recognition. CVPR 2019.
    [6] Ming Lin, et al. Zen-NAS: A Zero-Shot NAS for High-Performance Image Recognition. ICCV 2021.
    [7] Yuge Huang et al. Curricularface: Adaptive curriculum learning loss for deep face recognition. CVPR 2020.
    [8] Jiawei Ren et al. Balanced meta-softmax for long-tailed visual recognition. NeurIPS, 2020.
    [9] Xiang An, et al. Partial fc: Training 10 million identities on a single machine. ICCV 2021.
    [10] Tao Feng, et al. Towards Mask-robust Face Recognition. ICCV 2021.

    「视频云技术」你最值得关注的音视频技术公众号,每周推送来自阿里云一线的实践技术文章,在这里与音视频领域一流工程师交流切磋。公众号后台回复【技术】可加入阿里云视频云产品技术交流群,和业内大咖一起探讨音视频技术,获取更多行业最新信息。

    展开全文
  • 密码学身份鉴别

    2020-07-20 11:28:51
    一、身份认证 身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。 身份认证分为三类: 实体所知 是最为广泛的方法,因为其成本低,实现简单,所以一般应用在密码、验证码等。 该...
    一、身份认证
    身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。
    身份认证分为三类:
    • 实体所知
    是最为广泛的方法,因为其成本低,实现简单,所以一般应用在密码、验证码等。
    该方法面临的威胁较大,如暴力破解、木马等。
     
    • 实体所有
    实体所有是安全性较高、成本较高的一类,主要应用在IC卡、门禁卡等。
    缺点是实体所有因为存在固体实物,因此会面临着损坏和被复制的风险。
    另外,数字签名是在网络传输过程中进行身份认证,属于实体所有的一种认证方式。数字签名的目的是为了防止数据被“否认”,数字签名包含生成签名和验证签名两部分,注意不是邮件尾部那种签名。
     
    • 实体特性
    实体特性是安全性最高的一种方式,通常采用生物识别方法进行验证。主要应用在指纹、虹膜、声波特征等验证方式。
    实体特性鉴别的准确性和效率取决于开发过程中的算法特征。
    实体特性的鉴别方法为:错误拒绝率(FRR)、错误接受率(FAR)、交叉错判率(CER)
     
    二、数字证书
    概念:数字证书是指在互联网通讯中,标志通讯各方身份信息的一个数字认证,人们可以在网上用它来识别对方的身份。因此,数字证书又称数字标识。
    作用:数字证书对网络用户在计算机网络交流中的信息和数据等,以加密或解密的形式,保证了信息和数据的完整性和安全性。
    简单的流程:第一步,把个人信息和公钥提交到 某权威机构的证书中心;
                第二步,这个中心用自己的私钥将提交过来的信息加密而形成数字证书。
     
    权威机构的组成部分:
    1、 PKI
       公钥基础设施的简称。PKI利用公开秘钥技术建立的、提供信息安全服务的在线基础设施。它利用加密、数字签名、数字证书来保护应用、通信或事务处理的安全。
    2、 CA
       PKI的核心,主要职责为:签发证书、更新证书、管理证书(撤销、查询、审计、统计)、验证数字证书、黑名单认证(CRL)、在线认证(OCSP)。
       其中,CRL即证书撤销列表,也称“证书黑名单”,存放被撤销证书的序列号,证书有效期内因某种原因(如人员调动、私钥泄露等),导致证书不再真实可信,因此需要进行证书撤销。
     
    3、 RA
       受理用户的数字证书申请:对证书申请者身份进行审核并提交CA制证
       提供证书生命期的维护工作:受理用户证书申请、协助颁发用户证书、审核用户真实身份、受理证书更新请求、受理证书吊销
    4、 证书库
       证书存放、管理信息的存储库,提供了证书的保存、修改、删除和获取的能力
     
    数字证书的申请过程:Alice和Bob通讯,Bob需要对Alice进行身份认证,并确保自己拿到的是Alice的公钥。
     
     
    完整流程如下:
    1. Alice发送注册信息给RA
    2. RA审查通过后发送给CA
    3. CA将Alice个人信息、Alice公钥,可能还包括Alice的数字签名,打包成数字证书
    4. CA将数字证书交给证书库保存
    5. 同时,CA将签发的数字证书下载凭证
    6. CA将下载凭证交给RA
    7. RA将下载凭证交回给Alice
    8. Alice向CA提交下载证书申请和凭证
    9. Alice从CA下载证书
    10. Alice向Bob发送自己的证书
    11. Bob验证证书
     
    数字证书验证需要注意的几点:
    1、由浏览器使用已经存储在其中的Root CA的公钥,来验证中间证书的数字签名
    2、如果该证书的签发机构能够在信任签发机构中找到,则为可信任证书
    3、如果查询不到,则从授权信息访问信息段中,获得该签发机构的数字证书
    4、用获得的数字证书,来判断该授权机构的数字证书的签发机构是否能够在可信任签发机构中找到
    5、如果找到,则该授权机构是可信的,并从授权机构的数字证书中获得授权机构的公钥
    6、如果找不到,则重复第3步,继续查找
    7、如果最终都没有找到可信机构,则为不可信证书
     
    三、HTTPS
    1、由Http加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称秘钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
     
    2、用户通过http协议访问网站时,浏览器和服务器之间是明文传输。服务器安装SSL证书后,使用https加密协议访问网站,可激活客户端浏览器到网站服务器之间的“SSL加密通道”(SSL协议)。
     
    3、TCP包头格式:
     
    4、三次挥手&四次握手:
    • 三次握手:
    第一次握手:客户端会发起SYN请求,向服务端请求建立连接,此时协议头主要内容为:SYN=1,ACK=0,Seq序列号为123456(随机生成的)
    第二次握手:服务端接到请求后会进行响应,向客户端发起ACK响应,此时协议头主要内容为:SYN=1,ACK=1,Seq序列号为22222(随机生成的),Ack应答号为123457(第一次握手时,Seq序列号的值加1)
    第三次握手:客户端接到服务端的ACK响应之后,会进行检查,查看Ack应答号是否是第一次握手时Seq序列号的值加1,如果不是则无法建立连接,如果是则重新向服务端发起ACK响应请求,此时协议头的主要内容为:SYN=0,ACK=1,Seq序列号为123457(第二次握手时的Ack应答号),Ack应答号为22223(为第二次握手时Seq序列号的值加1)
     
    • 四次挥手:
    第一次挥手:客户端发起FIN请求,向服务器请求断开连接,此时协议头主要内容为:FIN=1,ACK=0,Seq序列号为46(随机生成的)
    第二次挥手:服务端响应一个ACK请求,表示已经接到了断开的请求,此时协议头主要内容为:FIN=0,ACK=1,Seq序列号为100(随机生成的),Ack应答号为47(即第一次挥手时序列加1)
    第三次挥手:服务端同时会发起一个FIN请求,表示服务端即将断开连接,此时协议头主要内容为:FIN=1,ACK=1,Seq序列号为100(同第二次挥手),Ack应答号为47(同第二次挥手)
    第四次挥手:客户端接到服务端的响应后,会进行检查,检查第二次和第三次挥手的协议头中的应答号是否为第一次挥手时的Seq序列号加1,之后会发起一个ACK响应请求,表示客户端知道服务端已经断开连接,此时协议头主要内容为:FIN=0,ACK=1,Seq序列号为47(为第二次挥手时Ack应答号的值),Ack应答号为101(为第二次挥手时Seq序列号加1)
     
    四、Kerberos体系
    1、Kerberos是一种网络认证协议,其设计目标是通过秘钥系统为客户机/服务器应用程序提供强大的认证服务。
     
    2、优势:该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
     
    3、协议的安全主要依赖于参加者对时间的松散同步和短周期的叫做Kerberos票据的认证声明。
     
    4、流程图:
     
    5、流程:
    1. 客户端发送客户端名+TGS服务器名到AS
    2. AS在数据库中检查是否有客户存在
    3. 如果用户存在,则生成临时秘钥K1
    4. AS将客户端秘钥的Hash值作为KC(KeyClient)秘钥,加密K1,记为KC(K1)
    5. AS产生TGT信息,TGT包括K1、客户端名、有效期
    6. TGT会被加密,TGT加密的秘钥保存在AS和TGS上,作为一个固定秘钥Kkdc
    7. AS发送K1和TGT信息到客户端
    8. 客户端进行验证,如果客户端秘钥正确,则生成正确的Hash值,并解密出K1
    9. 客户端用K1为秘钥,加密客户端名
    10. 客户端将K1加密的客户端名、TGT发送给TGS,获取SGT
    11. TGS验证用户身份,用固定秘钥Kkdc解密TGT信息,获取TGT中的K1秘钥、客户端名、有效期
    12. TGS从TGT中解密的K1秘钥,再解密从客户端传过来的由K1加密的客户端名,并与TGT信息中的客户端名对比判断
    13. TGS产生SGT信息,SGT包含TGS为了本次服务生成的临时秘钥K2、客户端名、有效期
    14. SGT用固定秘钥Ks为秘钥进行加密,其中Ks分别存放于AS、TGS和Web应用服务器,作为固定秘钥 (Ks很早之前就存在于这三个服务器中)
    15. TGS用AS生成的临时秘钥K1为秘钥,加密K2
    16. TGS将加密后的K2,SGT发送给客户
    17. 客户端先用秘钥K1解密加密的K2,再用K2秘钥加密客户端名
    18. 客户端将加密后的客户端名、SGT、时间戳发送给Web应用服务器
    19. Web应用服务器有Ks秘钥,因此可以解密SGT,获得客户端名、K2秘钥、有效期
    20. Web应用服务器通过K2秘钥解密由K2秘钥加密的客户端名,并与SGT中的客户端名对比判断
    21. Web应用服务器利用K2秘钥加密时间戳,返回给客户端,并提供服务
    22. 客户端通过K2秘钥解密时间戳,验证Web应用服务器是合法服务器
     
     
     
     
     
     
     
     
     
     
     
     
     
     
    展开全文
  • Linux身份鉴别机制概述

    千次阅读 2018-10-16 10:37:22
    PAM: 你是谁啊? 你的金光惊醒了石头的酣梦!21总体描述1.1 概述Linux身份鉴别机制是保护操作系统安全的重要机制之一,是防止恶意用户进入系统的一个重...
  • 数据与安全之身份鉴别

    千次阅读 2018-11-08 16:32:16
    在封装的SDK(对外输出)中,为每一个应用准备了三个身份鉴别需要的标识: appId:这是一个应用的全局唯一标识,类似于我们个人的身份证号码。 appKey:用于判断来自该应用客户端的请求是否合法的验证序号。...
  • 《信息安全技术 基于生物特征识别的移动智能终端身份鉴别技术框架》
  • 《GM/T 0064 基于数字证书的身份接口规范》 发布于2019年7月,对标于《GB/T 15843.3 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制》 本标准的规范了接口参数,client和server采用xml进行交换,个人...
  • 1、身份认证 身份验证又称“验证”“鉴权”,是指通过一定的技术手段,完成对用户身份的确认。可分为三类: 类型 优点 应用 不足 实体所知 应用广泛 成本低 实现简单 ...数字证书是身份鉴别
  • 由于流交换中流源身份的不可信、流交换范围的不可控和流路径的不可追踪问题与日俱增, 流身份鉴别技术逐渐成为近年来网络安全研究的热点。为了更深入地解决流身份鉴别技术存在的不足, 采用文献分析方法论证了必要性, ...
  • 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; 1.1 应核查用户在登录时是否采用了身份鉴别措施 身份标识功能(用户名)属于windows自带功能。用户进行鉴别就是...
  • 等保2.0服务器测评-身份鉴别 声明: 测评要求参考《信息安全技术 网络安全等级保护测评要求GB/T 28448一2019》 测评方法以及配置整改为个人工总结,仅供参考不适用全部操作系统,有不合理的地方大家多多指出,欢迎...
  • 身份鉴别协议

    2012-03-30 19:07:08
    现代密码学 身份鉴别协议
  • 密码学应用-身份鉴别

    2020-07-08 14:36:15
    身份鉴别的方法最为广泛的方法是实体所知,因为其成本低、实现简单,如:密码、验证码;但是这些方法面临的威胁也是较大的,如:暴力破解、木马等。 实体所有 实体所有是一种安全性较高,但也是成本较高的方法,如...
  • 基于密码技术的双向身份鉴别

    千次阅读 2020-06-20 23:20:43
    基于密码技术的身份鉴别,通常是一个安全系统的前提,常用的方法就是挑战应答。 挑战应答过程中的随机数,可以用来做数据加密和完整性校验。 基于密码技术,有2种实现双向身份鉴别的方法:对称加密、非对称加密。 ...
  • +++++++++++++++++++++++口令长度要求++++++++++++++++++++++++ password说明: 字符串形式,长度范围是8~16或长度是56或68。... 当明文输入时,长度范围为8~16,区分大小写,输入的密码至少包含两种类型字符,包括...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 27,293
精华内容 10,917
关键字:

身份鉴别