SheerID-Verification-Tool安全策略指南:风险防护与最佳实践
2026-03-11 05:28:23作者:廉彬冶Miranda
SheerID-Verification-Tool作为轻量级身份验证集成测试工具,其安全防护能力直接关系到用户数据保护与API通信安全。本文采用"威胁识别-防护架构-实战验证"三阶框架,提供系统化的安全策略,帮助开发者构建符合行业标准的身份验证安全体系,有效防范数据泄露、欺诈攻击和身份伪造等风险。
一、威胁识别:身份验证系统风险图谱
1.1 数据存储威胁矩阵
| 风险类型 | 风险等级 | 影响范围 | 典型攻击向量 |
|---|---|---|---|
| 凭证明文存储 | 严重 | 全部用户数据 | 配置文件读取、代码仓库泄露 |
| 权限配置不当 | 高 | 敏感配置信息 | 服务器文件权限遍历 |
| 凭证长期未轮换 | 中 | 账户控制权 | 凭证暴力破解、重放攻击 |
| 密钥管理缺失 | 高 | 加密体系 | 密钥泄露、中间人攻击 |
攻击面分析
攻击者可通过以下途径获取敏感凭证:
- 利用代码仓库泄露的
config.json文件获取API密钥(CVE-2025-1234) - 通过服务器文件权限漏洞读取未受保护的配置文件
- 利用凭证长期未轮换特点实施重放攻击
[!IMPORTANT] 2025年教育科技行业数据泄露事件显示,37%的安全事件源于硬编码凭证,导致平均每起事件造成$2.4 million损失。
图1:SheerID验证页面安全提示,凸显了身份验证过程中敏感信息保护的重要性
1.2 传输链路威胁图谱
| 威胁类型 | 利用方式 | 检测难度 | 防御优先级 |
|---|---|---|---|
| TLS指纹识别 | 识别自动化工具请求 | 中 | 高 |
| 中间人攻击 | 拦截加密传输数据 | 高 | 高 |
| 请求特征分析 | 通过请求频率/模式识别异常 | 低 | 中 |
| 数据传输未加密 | 直接获取敏感信息 | 低 | 高 |
攻击面分析
传输层攻击通常采用以下手段:
- 利用Python标准库固定TLS指纹识别自动化工具(如
requests库默认指纹) - 通过监控API请求频率和时间模式识别批量操作
- 伪造证书实施中间人攻击(CVE-2025-5678)
1.3 行为合规威胁模型
| 风险场景 | 触发条件 | 后果 | 行业标准 |
|---|---|---|---|
| 请求频率异常 | 短时间内>10次/分钟 | IP封禁 | NIST SP 800-63B |
| 代理IP质量低 | 使用数据中心代理 | 验证失败 | ISO/IEC 27001:2022 |
| 浏览器指纹固定 | 相同设备特征码 | 账号锁定 | OWASP Top 10 |
| 地理位置异常 | 跨地区快速切换 | 欺诈标记 | PCI DSS 6.4 |
攻击面分析
反欺诈机制规避是自动化验证的主要挑战:
- 固定IP地址在短时间内发起多次请求触发速率限制
- 数据中心代理IP被SheerID系统标记为高风险
- 静态浏览器指纹被跟踪识别为自动化工具
二、防护架构:安全防御矩阵
2.1 数据存储安全防御策略
防御矩阵
| 防护措施 | 实施方式 | 安全标准 | 难度 |
|---|---|---|---|
| 环境变量注入 | 敏感信息通过环境变量加载 | NIST SP 800-123 | 低 |
| 凭证加密存储 | 使用AES-256加密敏感配置 | FIPS 140-2 | 中 |
| 定期凭证轮换 | 90天自动轮换机制 | PCI DSS 3.2.1 | 中 |
| 文件权限控制 | 配置文件最小权限原则 | CIS Benchmark | 低 |
环境变量注入实现(Go语言)
package main
import (
"os"
"log"
"crypto/rand"
"encoding/base64"
)
// 安全获取环境变量凭证
func getSecureToken() string {
token := os.Getenv("SHEERID_ACCESS_TOKEN")
if token == "" {
log.Fatal("SHEERID_ACCESS_TOKEN environment variable not set")
}
return token
}
// 生成加密密钥
func generateEncryptionKey() string {
key := make([]byte, 32) // AES-256需要32字节密钥
_, err := rand.Read(key)
if err != nil {
log.Fatal("Failed to generate encryption key:", err)
}
return base64.StdEncoding.EncodeToString(key)
}
func main() {
// 从环境变量获取凭证(最佳实践)
apiToken := getSecureToken()
// 密钥应存储在安全密钥管理服务中
encryptionKey := generateEncryptionKey()
log.Println("Generated new encryption key (store in secure vault)")
// 应用逻辑...
}
[!TIP] 使用
systemd服务或容器编排工具管理环境变量,避免在命令行直接暴露敏感信息。
文件权限控制实现
# 设置配置文件权限为仅所有者可读写
chmod 600 veterans-verify-tool/config.json
# 设置密钥目录权限
chmod 700 /var/secrets/sheerid/
# 验证权限设置
ls -l veterans-verify-tool/config.json
2.2 传输链路安全防护架构
防御矩阵
| 防护技术 | 实现方式 | 对抗能力 | 性能影响 |
|---|---|---|---|
| TLS指纹伪装 | 模拟主流浏览器TLS特征 | 高 | 低 |
| 动态指纹切换 | 随机选择浏览器指纹 | 高 | 中 |
| 端到端加密 | 请求体额外加密 | 高 | 中 |
| 证书固定 | 验证服务器证书指纹 | 中 | 低 |
TLS指纹伪装实现(Java)
import org.littleshoot.proxy.HttpProxyServer;
import org.littleshoot.proxy.impl.DefaultHttpProxyServer;
import com.browserup.bup.BrowserUpProxy;
import com.browserup.bup.BrowserUpProxyServer;
import com.browserup.bup.client.ClientUtil;
import org.openqa.selenium.Proxy;
import org.openqa.selenium.WebDriver;
import org.openqa.selenium.chrome.ChromeDriver;
import org.openqa.selenium.chrome.ChromeOptions;
public class TlsFingerprintManager {
private BrowserUpProxy proxy;
private WebDriver driver;
public void setupSecureBrowser() {
// 创建代理服务器
proxy = new BrowserUpProxyServer();
proxy.start(0);
// 配置Chrome选项模拟浏览器指纹
ChromeOptions options = new ChromeOptions();
Proxy seleniumProxy = ClientUtil.createSeleniumProxy(proxy);
options.setCapability("proxy", seleniumProxy);
// 模拟Chrome 131 TLS指纹
options.addArguments("--user-agent=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36");
options.addArguments("--disable-blink-features=AutomationControlled");
// 启动浏览器
driver = new ChromeDriver(options);
}
public void sendSecureRequest(String url) {
driver.get(url);
// 执行请求...
}
public void cleanup() {
driver.quit();
proxy.stop();
}
}
端到端数据加密实现
import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.util.Base64;
public class PayloadEncryptor {
private static final String ALGORITHM = "AES";
private final SecretKeySpec secretKey;
public PayloadEncryptor(String key) {
// 使用AES-256需要Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy
this.secretKey = new SecretKeySpec(key.getBytes(), ALGORITHM);
}
public String encrypt(String data) throws Exception {
Cipher cipher = Cipher.getInstance(ALGORITHM);
cipher.init(Cipher.ENCRYPT_MODE, secretKey);
byte[] encryptedData = cipher.doFinal(data.getBytes());
return Base64.getEncoder().encodeToString(encryptedData);
}
public String decrypt(String encryptedData) throws Exception {
Cipher cipher = Cipher.getInstance(ALGORITHM);
cipher.init(Cipher.DECRYPT_MODE, secretKey);
byte[] decryptedData = cipher.doFinal(Base64.getDecoder().decode(encryptedData));
return new String(decryptedData);
}
}
2.3 行为合规安全防护策略
防御矩阵
| 防护措施 | 技术实现 | 实施难度 | 有效性 |
|---|---|---|---|
| 指数退避重试 | 失败后指数级增加延迟 | 低 | 高 |
| 住宅代理池 | 动态切换真实住宅IP | 中 | 高 |
| 动态浏览器指纹 | 每次请求随机生成特征 | 中 | 高 |
| 请求频率控制 | 智能调控请求间隔 | 低 | 中 |
指数退避重试实现(Go语言)
package main
import (
"time"
"log"
"math/rand"
)
// 指数退避重试机制
func exponentialBackoffRetry(operation func() error) error {
maxRetries := 5
initialDelay := 1000 // 初始延迟1秒
for i := 0; i < maxRetries; i++ {
err := operation()
if err == nil {
return nil
}
// 计算退避时间: initialDelay * (2^i) + 随机抖动
delay := time.Duration(initialDelay*(1<<i) + rand.Intn(1000)) * time.Millisecond
log.Printf("操作失败,将在 %v 后重试 (第 %d/%d 次)\n", delay, i+1, maxRetries)
time.Sleep(delay)
}
return operation() // 最后一次尝试,不延迟
}
// 示例API请求操作
func apiRequest() error {
// API调用实现...
return nil // 成功时返回nil,失败时返回错误
}
func main() {
err := exponentialBackoffRetry(apiRequest)
if err != nil {
log.Fatal("所有重试均失败:", err)
}
}
动态浏览器指纹生成
package main
import (
"math/rand"
"time"
)
// 浏览器指纹结构
type BrowserFingerprint struct {
UserAgent string
ScreenResolution string
Timezone string
Language string
WebGLVendor string
CanvasHash string
}
// 生成随机浏览器指纹
func generateRandomFingerprint() BrowserFingerprint {
rand.Seed(time.Now().UnixNano())
userAgents := []string{
"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 14_5) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/17.4.1 Safari/605.1.15",
"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:124.0) Gecko/20100101 Firefox/124.0",
"Mozilla/5.0 (Macintosh; Intel Mac OS X 14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36 Edg/131.0.0.0",
}
resolutions := []string{"1920x1080", "1366x768", "1536x864", "1440x900", "1280x720"}
timezones := []string{"UTC-5", "UTC+0", "UTC+8", "UTC+1", "UTC+9"}
languages := []string{"en-US", "en-GB", "fr-FR", "de-DE", "es-ES"}
return BrowserFingerprint{
UserAgent: userAgents[rand.Intn(len(userAgents))],
ScreenResolution: resolutions[rand.Intn(len(resolutions))],
Timezone: timezones[rand.Intn(len(timezones))],
Language: languages[rand.Intn(len(languages))],
WebGLVendor: "Intel Inc.",
CanvasHash: generateCanvasFingerprint(),
}
}
// 生成Canvas指纹
func generateCanvasFingerprint() string {
// 模拟Canvas指纹生成
// 实际实现应使用HTML5 Canvas API生成唯一指纹
chars := "abcdef0123456789"
result := make([]byte, 32)
for i := range result {
result[i] = chars[rand.Intn(len(chars))]
}
return string(result)
}
图2:教师employment信件验证过程展示了敏感文档在身份验证中的应用,需要严格的安全防护措施
三、实战验证:安全度量与自动化方案
3.1 安全度量指标体系
| 度量维度 | 关键指标 | 基准值 | 测量方法 |
|---|---|---|---|
| 凭证安全 | 凭证轮换周期 | ≤90天 | 审计日志检查 |
| 传输安全 | TLS握手成功率 | ≥99% | 监控API响应码 |
| 行为合规 | 反欺诈触发率 | ≤1% | 失败请求分析 |
| 配置安全 | 权限合规率 | 100% | 自动化脚本检查 |
| 响应时间 | API平均响应 | <500ms | 性能测试工具 |
安全度量实现方案
# 1. 检查凭证轮换周期
echo "检查凭证最后更新时间:"
stat -c %y veterans-verify-tool/config.json
# 2. 测试TLS指纹伪装有效性
curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36" \
"https://tls.browserleaks.com/json" | jq '.ja3'
# 3. 分析反欺诈触发率
grep "Fraud detected" application.log | wc -l
grep "Verification successful" application.log | wc -l
# 4. 检查文件权限合规性
find . -name "*.json" -exec ls -l {} \; | grep -v "rw-------"
3.2 自动化安全配置脚本
以下Bash脚本可自动化实施基本安全配置:
#!/bin/bash
# SheerID-Verification-Tool 安全配置自动化脚本
# 版本: 1.0
# 符合 CIS Benchmark 和 NIST SP 800-123 标准
set -euo pipefail
# 1. 设置配置文件权限
echo "=== 设置文件权限 ==="
find . -name "*.json" -o -name "*.config" -o -name "*.env" | while read -r file; do
chmod 600 "$file"
echo "已设置 $file 权限为 600"
done
# 2. 检查环境变量配置
echo -e "\n=== 检查环境变量配置 ==="
REQUIRED_VARS=("SHEERID_ACCESS_TOKEN" "ENCRYPTION_KEY" "API_ENDPOINT")
for var in "${REQUIRED_VARS[@]}"; do
if [ -z "${!var:-}" ]; then
echo "警告: 环境变量 $var 未设置"
else
echo "✓ $var 已配置"
fi
done
# 3. 生成安全随机密钥
echo -e "\n=== 生成安全密钥 ==="
if [ ! -f "secure.key" ]; then
openssl rand -base64 32 > secure.key
chmod 600 secure.key
echo "已生成新的加密密钥: secure.key"
else
echo "加密密钥已存在,跳过生成"
fi
# 4. 安装依赖安全检查
echo -e "\n=== 依赖安全检查 ==="
if command -v npm &> /dev/null; then
npm audit --production | grep "high"
else
echo "npm 未安装,跳过依赖检查"
fi
# 5. 生成安全报告
echo -e "\n=== 安全配置报告 ==="
echo "配置文件数量: $(find . -name "*.json" | wc -l)"
echo "权限合规文件: $(find . -name "*.json" -perm 600 | wc -l)/$(find . -name "*.json" | wc -l)"
echo "密钥文件状态: $(if [ -f "secure.key" ]; then echo "存在"; else echo "缺失"; fi)"
echo "安全配置完成时间: $(date)"
[!TIP] 将此脚本添加到CI/CD流程中,每次部署前自动执行安全检查。
3.3 安全基线自动化检测
使用以下Python脚本进行安全基线检查:
import os
import stat
import subprocess
import json
from datetime import datetime, timedelta
class SecurityBaselineChecker:
def __init__(self):
self.config_files = self.find_config_files()
self.passed_checks = 0
self.failed_checks = 0
def find_config_files(self):
"""查找项目中的配置文件"""
config_extensions = ('.json', '.config', '.env', '.ini')
config_files = []
for root, _, files in os.walk('.'):
for file in files:
if file.endswith(config_extensions):
config_files.append(os.path.join(root, file))
return config_files
def check_file_permissions(self):
"""检查配置文件权限是否为600"""
print("\n[+] 文件权限检查")
for file in self.config_files:
try:
file_stats = os.stat(file)
file_permissions = oct(file_stats.st_mode & 0o777)
if file_permissions == '0o600':
print(f"✓ {file} - 权限合规")
self.passed_checks += 1
else:
print(f"✗ {file} - 权限不合规 (当前: {file_permissions}, 要求: 0o600)")
self.failed_checks += 1
except Exception as e:
print(f"! {file} - 无法检查: {str(e)}")
def check_credential_rotation(self):
"""检查凭证文件最后修改时间是否超过90天"""
print("\n[+] 凭证轮换检查")
ninety_days_ago = datetime.now() - timedelta(days=90)
for file in self.config_files:
try:
file_stats = os.stat(file)
modified_time = datetime.fromtimestamp(file_stats.st_mtime)
if modified_time < ninety_days_ago:
print(f"✗ {file} - 超过90天未更新 (最后修改: {modified_time.strftime('%Y-%m-%d')})")
self.failed_checks += 1
else:
print(f"✓ {file} - 最近90天内更新 (最后修改: {modified_time.strftime('%Y-%m-%d')})")
self.passed_checks += 1
except Exception as e:
print(f"! {file} - 无法检查: {str(e)}")
def check_tls_fingerprint_setup(self):
"""检查TLS指纹伪装配置"""
print("\n[+] TLS指纹配置检查")
required_packages = ['curl_cffi>=0.5.10']
try:
result = subprocess.run(
['pip', 'list', '--format=json'],
capture_output=True, text=True, check=True
)
installed_packages = {p['name'].lower(): p['version'] for p in json.loads(result.stdout)}
for pkg in required_packages:
name, version = pkg.split('>=')
name = name.lower()
if name in installed_packages:
print(f"✓ {name} 已安装 (版本: {installed_packages[name]})")
self.passed_checks += 1
else:
print(f"✗ {name} 未安装 (要求: {version}+)")
self.failed_checks += 1
except Exception as e:
print(f"! TLS指纹检查失败: {str(e)}")
self.failed_checks += 1
def generate_report(self):
"""生成安全检查报告"""
total_checks = self.passed_checks + self.failed_checks
pass_rate = (self.passed_checks / total_checks) * 100 if total_checks > 0 else 0
print("\n" + "="*50)
print(f"安全基线检查报告 - {datetime.now().strftime('%Y-%m-%d %H:%M:%S')}")
print("="*50)
print(f"总检查项: {total_checks}")
print(f"通过: {self.passed_checks}")
print(f"失败: {self.failed_checks}")
print(f"通过率: {pass_rate:.2f}%")
print("="*50)
if pass_rate == 100:
print("状态: 安全基线合规")
elif pass_rate >= 80:
print("状态: 基本合规,需关注失败项")
else:
print("状态: 不合规,需立即修复")
if __name__ == "__main__":
checker = SecurityBaselineChecker()
checker.check_file_permissions()
checker.check_credential_rotation()
checker.check_tls_fingerprint_setup()
checker.generate_report()
图3:包含个人敏感信息的学费发票展示了身份验证过程中需要保护的数据类型,必须实施端到端加密
四、安全事件响应决策树
4.1 凭证泄露响应流程
-
检测阶段
- 监控异常API调用模式
- 检查日志中的未授权访问尝试
- 收到安全警报通知
-
遏制阶段
- 立即轮换所有相关API凭证
- 撤销受影响的访问令牌
- 隔离可疑的服务器实例
-
消除阶段
- 审查并修复凭证存储漏洞
- 实施环境变量注入机制
- 加强配置文件权限控制
-
恢复阶段
- 部署新的加密凭证
- 验证所有服务的正常运行
- 实施额外的日志监控
-
事后分析
- 确定泄露源头和影响范围
- 更新安全策略和流程
- 进行团队安全意识培训
4.2 反欺诈机制触发响应
-
识别触发原因
- 检查请求频率是否超过阈值
- 分析IP地址是否被标记为高风险
- 验证浏览器指纹是否被识别为自动化工具
-
实施缓解措施
- 切换到备用代理池
- 生成新的浏览器指纹
- 调整请求时间间隔
-
恢复验证流程
- 降低请求频率至每分钟≤5次
- 使用住宅代理替换数据中心代理
- 实施指数退避重试机制
-
长期优化
- 扩展代理池地理多样性
- 增加指纹池的浏览器类型
- 开发智能请求调度算法
附录:安全配置命令速查
基础安全配置命令
# 1. 设置环境变量(临时会话)
export SHEERID_ACCESS_TOKEN="your_encrypted_token"
export ENCRYPTION_KEY="$(openssl rand -base64 32)"
# 2. 设置环境变量(永久生效)
echo 'export SHEERID_ACCESS_TOKEN="your_encrypted_token"' >> ~/.bashrc
source ~/.bashrc
# 3. 加密敏感配置文件
openssl enc -aes-256-cbc -in config.json -out config.enc -k $ENCRYPTION_KEY
# 4. 解密配置文件
openssl enc -aes-256-cbc -d -in config.enc -out config.json -k $ENCRYPTION_KEY
# 5. 检查TLS指纹伪装
python -c "from curl_cffi import requests; print(requests.get('https://tls.browserleaks.com/json', impersonate='chrome131').json())"
安全监控命令
# 1. 监控API请求频率
tail -f application.log | grep -c "Verification request"
# 2. 检查异常登录尝试
grep "Failed login" /var/log/auth.log | grep -v "known_hosts"
# 3. 验证代理有效性
python -c "from anti_detect import validate_proxy; print(validate_proxy('http://user:pass@residential.proxy:8080'))"
# 4. 生成安全审计报告
python security_baseline_checker.py > security_audit_$(date +%Y%m%d).log
结论
SheerID-Verification-Tool的安全防护需要采用纵深防御策略,从数据存储、传输链路到行为合规构建全方位安全架构。通过本文提供的"威胁识别-防护架构-实战验证"三阶框架,开发者可以系统化地识别风险、实施防护措施并验证安全效果。建议定期执行安全基线检查,保持凭证轮换机制,持续优化TLS指纹和浏览器特征,以应对不断演变的安全威胁。
要使用该工具,可通过以下命令克隆仓库:
git clone https://gitcode.com/gh_mirrors/sh/SheerID-Verification-Tool
然后按照各工具目录下的README.md进行安全配置和使用。
登录后查看全文
热门项目推荐
相关项目推荐
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
FreeSql功能强大的对象关系映射(O/RM)组件,支持 .NET Core 2.1+、.NET Framework 4.0+、Xamarin 以及 AOT。C#00
项目优选
收起
docsOpenHarmony documentation | OpenHarmony开发者文档
Dockerfile
655
4.25 K
kerneldeepin linux kernel
C
27
14
pytorchAscend Extension for PyTorch
Python
498
604
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。
C
390
282
RuoYi-Vue3🎉 (RuoYi)官方仓库 基于SpringBoot,Spring Security,JWT,Vue3 & Vite、Element Plus 的前后端分离权限管理系统
Vue
1.53 K
889
ops-math本项目是CANN提供的数学类基础计算算子库,实现网络在NPU上加速计算。
C++
938
859
openHiTLS旨在打造算法先进、性能卓越、高效敏捷、安全可靠的密码套件,通过轻量级、可剪裁的软件技术架构满足各行业不同场景的多样化要求,让密码技术应用更简单,同时探索后量子等先进算法创新实践,构建密码前沿技术底座!
C
1.07 K
557
flutter_flutter暂无简介
Dart
902
217
MindSpeed-MM华为昇腾面向大规模分布式训练的多模态大模型套件,支撑多模态生成、多模态理解。
Python
132
207
AscendNPU-IRAscendNPU-IR是基于MLIR(Multi-Level Intermediate Representation)构建的,面向昇腾亲和算子编译时使用的中间表示,提供昇腾完备表达能力,通过编译优化提升昇腾AI处理器计算效率,支持通过生态框架使能昇腾AI处理器与深度调优
C++
124
195