用户开机后,通过802.1x客户端软件发起请求,查询网络上能处理EAPOL(EAP Over LAN)数据包的设备
首先我们来看身份认证的概述。先看身份证的定义,身份认证是证实主体的真实身份与其所声称的身份是否相符的过程。比如我们登录一个电商网站,输入用户名张三,这个时候电商网站它就会验证一下真实身份是否就是所声称的张三。如何来验证?通常通过认证码,通过口令来进行认证,
随着数字化浪潮的飞速发展,数字、连接、信号、人工智能充斥着人们生活的各个领域。这些数字化信息被快速地转换成数据存放在各式各样的数据库系统中,通过进一步的数据管理与分析产生商业价值。这些价值数据或被存放在企业相对封闭的私有网络内,或被存放在相对开放的公有云环境下,又或是集成在智能系统中。人们在享受由数字化发展所带来的便捷生活同时,也可能面临着无处不在的隐私泄露、信息篡改、数据丢失等安全风险。
Windows 提供了一系列的认证类型,包括 Basic、Kerberos、Negotiate、Certificate、CredSSP、NTLM、Digest等。这些认证类型在不同的应用场景中起到关键作用,也在某种程度上相互关联。本文将详细介绍这些认证类型,以及他们的使用场景和关系。
近几年移动互联网的高速发展,智能手机的使用用户呈现爆炸性增长,手机终端上的App 种类繁多,大多数App 都需要与后台系统进行交互,交互的第一步需要进行登录认证,过于简单的认证方式可能被破解从而造成用户信息的泄露甚至威胁着用户的财产安全。为此基于Android 系统,对比现有几种常见的App 登录认证方式,并提出一种采用RSA 非对称加密和加入Token 时效机制的登录认证解决方案。在登录验证阶段采用RSA 非对称加密方式,App 端对服务器端返回的Token 信息加上时间戳,将处理后的Token 信息保存到本地,后面的每次请求都携带该Token 从而实现免登录的登录状态的保持。
Hadoop开源技术框架在实际业务应用中,其早期的安全机制饱受诟病,具体到HDFS应用方面的问题,主要包括以下几个方面:
最近有一个ASP.NET Core使用认证机制访问Kafka的需求,加之我们又使用了CAP这个开源项目使用的Kafka,于是网上寻找了一番发现对应资料太少,于是调查了一番,做了如下的笔记,希望对你有用。
摘要 在饿了么各类业务和运营系统中,普遍使用了基于Token的认证机制。本次分享,介绍一个通用的、可扩展的SpringSecurity Filter支撑这些业务系统开发,在实际应用中取得了良好的效果。
EMQX 始终十分关注安全性,通过大量开箱即用的安全功能为广大物联网用户提供持续增强的安全保障,包括 MQTT over TLS/SSL、基于国密算法的传输加密认证集成方案,以及用户名/密码、LDAP、JWT、PSK 和 X.509 证书等多种身份认证功能。
笔者最初接触 kubernetes 时使用的是 v1.4 版本,集群间的通信仅使用 8080 端口,认证与鉴权机制还未得到完善,到后来开始使用 static token 作为认证机制,直到 v1.6 时才开始使用 TLS 认证。随着社区的发展,kubernetes 的认证与鉴权机制已经越来越完善,新版本已经全面趋于 TLS + RBAC 配置,但其认证与鉴权机制也极其复杂,本文将会带你一步步了解。
Kubernetes工作负载采用的新双向认证机制存在最终一致性问题,这可能带来安全隐患。
随着互联网在全球的普及和数字经济在全球的发展,数据跨境流动已经成为各个国家和地区重点关注的议题。个人信息的跨境流动同时具备个人权益保护、企业合规发展和各国监管合作与博弈三个维度,各国和地区近年来对个人信息的跨境流动高度重视,相继出台和完善法律规则和监管框架。对此,我国《个人信息保护法》建立了既能化解风险、又可面向全球的个人信息跨境流动制度体系。国家市场监督管理总局、国家互联网信息办公室制定的《个人信息保护认证实施规则》中关于个人信息跨境提供认证制度的规定,明确了《个人信息保护法》第三十八条第二款规定的“按照国家网信部门的规定经专业机构进行的个人信息保护认证”的适用情形、基本原则、基本要求等规定,对保护个人信息主体权益、促进数字经济发展具有重要意义,是我国个人信息跨境流动制度体系进一步完善的重要标志。
欢迎阅读 MQTT 5.0 报文系列 的最后一篇文章。在上一篇中,我们已经介绍了 MQTT 5.0 的 DISCONNECT 报文。现在,我们将介绍 MQTT 中的最后一个控制报文:AUTH。
在 Kubernetes (k8s) 中,身份验证是确保用户或进程正确身份的关键安全机制。身份验证过程涉及确认一个实体(用户、服务账户或其他进程)的身份以便允许其与 Kubernetes 集群交互。
我们在使用消息队列时,经常关注的是消息队列收发消息的功能。但好多时候需要对客户端有一定的限制,比如只有持有令牌的客户端才能访问集权,不允许 Producer 发送消息到某一个 Topic,或者某一个 Topic 只能给固定 Consumer 消费。
MS-CHAP(微软挑战-握手认证协议)、CHAP(挑战-握手认证协议)和PAP(密码认证协议)都是用于网络连接的认证协议,它们各自具有不同的特点和适用场景。
Linux身份鉴别机制是保护操作系统安全的重要机制之一,是防止恶意用户进入系统的一个重要环节。早期的身份鉴别机制就是传统的UNIX身份鉴别机制,它采用口令加密并与原密码进行对比的方式来对用户身份进行鉴别。但是这种加密方式过于单一,在一个服务中用户的帐号密码泄露会涉及到多个服务的安全性,所以为了增强系统的安全性,出现了许多其他的身份鉴别机制,如指纹认证、USB认证等。但是这样导致了一个问题,为了应用这些认证机制,就需要重新编写并编译应用程序(如系统登陆服务login)。为了解决这个问题,1995年Sun公司的Vipin Samar和 Charlie Lai提出了PAM(Pluggable Authentication Modules)身份鉴别机制,它采用模块化设计和插件功能,使得系统在更改认证机制时不再需要修改应用程序,极大的提高了认证机制的灵活性。本报告对Linux各用户帐号的权限区别进行了分析,对传统UNIX身份鉴别机制的实现过程进行了研究,重点对PAM身份鉴别机制的实现过程进行了研究与分析,最后通过一个具体的PAM策略演示场景实现了身份鉴别机制的执行过程,研究结果也发现Linux身份鉴别机制是在Linux用户态下实现的,并不涉及内核的具体实现。
在本系列之前的文章中我们提到,借助 MQTT CONNECT 报文中的 Username 和 Password 字段,我们可以实现一些简单的认证,比如密码认证、Token 认证等。为了进一步保障物联网系统的安全,在本期文章中,我们将一起了解另一种认证机制:增强认证。
Istio于北京时间7月31日晚24点发布1.0版本,首次可用于生产环境。目前Istio的安全机制主要包括基于RBAC的访问控制、认证策略、双向TLS认证、服务健康检查等几个方面[1],Istio 提供了安全操作指南以便于验证其安全机制,感兴趣的同学可以通过访问官方网站学习。
在Web应用程序中,表单验证是必不可少的。Laravel提供了一种简单而强大的表单验证机制,可以很容易地验证用户输入的数据。
首先openGauss支持SSL标准协议(TLS1.2),SSL协议是安全性更高的协议标准,它们加入了数字签名和数字证书来实现客户端和服务器的双向身份验证,保证了通信双方更加安全的数据传输。
在计算机网络中,Open Shortest Path First(OSPF)是一种广泛使用的内部网关协议(IGP),用于在企业网络和互联网中实现动态路由。为了确保网络的安全性和可靠性,OSPF提供了多种认证机制。
Spring Security 是一个强大而灵活的安全框架,可以在 Spring 应用程序中提供身份验证和授权。使用 Spring Security 可以轻松实现常见的身份验证和授权方案,例如基于角色的访问控制和基于资源的访问控制。
gRPC被设计成可以利用插件的形式支持多种授权认证机制,你可以采用自己喜欢的,简单的,认为方便的一种方式,选择权在用户手里
加解密 API 方式的灵活性强,但构建和管理复杂;而透明加密方式管理简单,应用程 序负担轻,但灵活性较差。用户要求尽可能减少安全管理与应用程序的负担,因此应选择透 明加密方式。
在IPv4网络完全过渡到IPv6网络之前,若用户主机同时支持IPv4和IPv6两种协议,在进行Portal认证时,会产生两种协议类型的流量。
在 Redis 使用过程中,遇到错误消息 “Couldn’t set client name. NOAUTH Authentication required.” 可能会让很多开发者感到困惑。这篇文章将详细介绍这个错误的原因及其解决方案。通过对 Redis 验证机制的深入分析,我们将提供一系列操作步骤和代码示例,帮助大家快速解决这个问题。无论你是 Redis 新手还是有经验的大佬,都能从中受益。
随着云原生技术的发展,基于微服务架构的应用不断涌现。这种分布式的架构为应用的开发,业务的扩容提供了便捷,同时也对应用的安全防护提出了新的要求。其中一项就是需要设计安全有效的API安全防护机制,以保障外部对应用入口的API访问与应用内部服务之间的API调用的安全。2017年5月,Google、IBM、Lyft联合发布了开源项目Istio[1], 为服务间API访问控制和认证机制的配置提供了平台。利用Istio这个平台,运维人员可以通过创建Service Account、ServiceRole、ServiceRoleBinding对微服务API按照所制定的策略进行安全部署。一种比较直接的策略是借鉴“零信任”的理念,对微服务应用的每个API都进行统一防护。不过在实际环境中,对每个API都施加访问控制会对应用的性能造成影响。而且服务间存在着依赖关系和信任关系,可以利用这些关系对服务的API进行区域化管理。基于这种区域化的思想,CA Technologies在2018年2月提出了微服务架构下的基于区域层次结构的访问控制机制[2](以下简称DHARMA),通过区域划分的方式为微服务架构下的API建立了安全防护机制。
在进入组件源码分析前我们先来看下在k8s中创建一个Pod资源对象的流程是怎样的:
1.Access Controller coprocessor实现的ACL权限控制;
消息认证又叫报文认证,是消息的接收者验证消息的真实性和完整性的过程与技术。真实性就是验证消息发送者他是真实的而非假冒的。也就是说假如消息的发送者声称是张三,我们要验证一下这个张三他是否是真的张三,这个又叫做信源鉴别,就是信息的源头鉴别它的真伪。另外还要验证消息的完整性,就是验证消息在传送或者存储过程当中没有被篡改,存放、乱序或者延迟等攻击。这个消息认证是防止主动攻击的重要技术,这个主动攻击主要针对真实性和完整性进行攻击,主要包括假冒,假冒某个合法的实体发送一个消息。另外就是内容修改,对消息的内容进行篡改,包括插入、删除、转换或者修改。还有顺序的修改,对消息的顺序进行修改,因为消息往往可能有多个报文组成,这个时候对消息的顺序进行重新排列,也构成了攻击。即时修改是从时间的角度对消息进行延迟,影响消息的时效性,或者截获了消息之后重新来发送产生重放攻击。
起源于比特币[1]的区块链技术作为继互联网之后计算存储模式的又一次颠覆式创新,通过其独特的块链式数据结构,多方维护的共识算法及灵活编程的智能合约,构建了一种新型的分布式信任网络,有力的推动了互联网技术由信息互联网向价值互联网的转化。
Docker Registry 是一个无状态、高度可扩展的服务器端应用程序,用于存储和分发 Docker镜像。Docker Registry是基于Apache 许可证开源的,它是目前应用最广泛的镜像仓库管理程序,所有的源码在github上开源,如果感兴趣的话可以clone相关的代码进行深层次的学习。
本文为云原生应用安全防护系列的第二篇,也是最终篇,本文笔者主要针对微服务架构下的应用安全、Serverless安全提出一些防护见解及思考。文章篇幅较长,内容上与之前笔者发表的若干文章有相互交叉对应的部分,希望能为各位读者带来帮助。
上一讲,我们一起拆解学习了 CIA 三元组,也就是机密性、完整性和可用性。它们分别代表了数据的“不可见”“不可改”和“可读”。简单来说,以购买极客时间专栏为例,机密性就是未付费用户无法学习这个专栏,完整性就是这个专栏的内容不会变成别的其他方向的内容,可用性就是你作为付费用户,能够随时学习这个专栏。
比如当用户输入密码admin的时候,操作系统会将admin转换为16进制,经过Unicode转换后,再调用MD4加密算法加密,这个加密结果的十六进制就是NTLM Hash
通过上一篇你大体已经了解session和cookie认证了,session认证需要服务端做大量的工作来保证session信息的一致性以及session的存储,所以现代的web应用在认证的解决方案上更倾向于客户端方向,cookie认证是基于客户端方式的,但是cookie缺点也很明显,到底有哪些缺点可以跳转上一次的文章。那有没有一种比较折中的方案呢?有的
web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系
企业的信息化过程是一个循序渐进的过程,在企业各个业务网站逐步建设的过程中,根据各种业务信息水平的需要构建了相应的应用系统,由于这些应用系统一般是在不同的时期开发完成的,各应用系统由于功能侧重、设计方法和开发技术都有所不同,也就形成了各自独立的用户库和用户认证体系。随着新的业务网站不断的增加,用户在每个应用系统中都有独立的账号,这样就造成在访问不同的应用系统时,需要记录对应的用户名和密码,多个用户名密码极易记混,如果忘记或记错了某一个业务网站的用户名或密码就无法进行登录,耽误工作,影响工作效率,随着
网络安全领域在攻和防对抗规模群体已经成熟,但是两端从业者对于安全原理掌握程度参差不齐,中间鸿沟般的差距构成了漏洞研究领域的主战场。笔者“三省吾身”,在工作中会犯错误把一些加密、认证、鉴权的概念和实现方案搞混,尤其是加解密涉及算法和公私钥机制的概念不深入细节。
此外XWiki可以让你创建自己的认证,来集成你已经使用的任何自定义机制(SSO等)。
电子认证是人们在互联网信息世界里的身份证明,让相隔千里的交易双方在网上安全便捷地完成交易。那么,电子认证是否和纸质合同、手写签名一样具备法律效力?在交易纠纷中,电子认证又如何起到规范和约束的作用?
HTTP是无状态协议,浏览器的每一次请求,服务器都会独立处理,不与之前或之后的请求产生关联,所以,任何用户都可以通过浏览器访问服务器资源。
周更快变成月更了,但还是要坚持,本文来聊聊hadoop中的token,涉及到的点如下图所示。
web应用通常采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
