[發明專利]一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法有效
| 申請號: | 202110761016.4 | 申請日: | 2021-07-06 |
| 公開(公告)號: | CN113468499B | 公開(公告)日: | 2023-03-17 |
| 發明(設計)人: | 尹旭;莊恩貴;朱燚 | 申請(專利權)人: | 北京景安云信科技有限公司 |
| 主分類號: | G06F21/33 | 分類號: | G06F21/33;G06F21/62 |
| 代理公司: | 北京翔石知識產權代理事務所(普通合伙) 11816 | 代理人: | 劉翔 |
| 地址: | 100000 北京市海淀區天*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 使用 代理 實現 mongo 協議 認證 方式 過程 替換 信息 方法 | ||
1.一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法,其特征在于,包括以下步驟:
S1、用戶在應用平臺獲取數據庫的連接信息,此連接信息是應用平臺通過數據庫真實賬戶信息映射而來,用戶通過此連接信息進行登錄認證;
S2、在代理應用程序中捕獲認證信息數據包進行篡改,其數據包結構包括messageLength、requestID、responseTo、opCode、flagBits與sections;
Sections包含有kind與bodyDocument,bodyDocument包括mechanism與payload。
2.根據權利要求1所述的一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法,其特征在于:S2中的數據包截取捕獲與篡改過程包括:
S21、捕獲客戶端的client-first-message認證數據包,獲取真實數據庫賬戶信息并篡改認證包中帳戶名;
S22、捕獲服務端的server-first-message認證數據包,緩存認證數據;
S23、捕獲客戶端的client-final-message認證數據包;
S24、捕獲服務端的server-final-message認證數據包。
3.根據權利要求2所述的一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法,其特征在于:S21的具體操作方法為:
從解析出的bodyDocument中取出payload,payload數據包含數據庫賬戶名username和client-nonce,通過程序用username找到真實的數據庫賬戶名與password將其緩存,然后替換payload數據內的username為真實的數據庫帳戶名,將其替換后的payload數據緩存下來命名為client-first-message,后續計算AuthMessage會用到,最后重新計算messageLength長度,將新的數據包發送給服務端。
4.根據權利要求3所述的一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法,其特征在于:S22的具體操作方法為:
從解析出的bodyDocument中取出payload,payload數據包含salt,iteration-count和CombinedNonce,CombinedNonce為client-nonce附加server-nonce的串聯,將其salt、iteration-count、CombinedNonce與整個payload數據緩存下來,并將payload命名為server-first-message,然后將認證包轉發給客戶端。
5.根據權利要求4所述的一種使用代理實現在Mongo協議認證方式過程中替換認證信息的方法,其特征在于:S23的操作方法為:
從解析出的bodyDocument中取出payload,payload數據包含ClientProof和CombinedNonce消息,由于ClientProof是由客戶端通過映射出的假數據庫賬戶計算出的,服務端驗證時肯定不通過,所以需要將數據包中ClientProof替換為由真實數據庫賬戶計算出的ClientProof;
具體的操作步驟為:
S231、如果認證方式為SCRAM-SHA-1,需對密碼進行摘要算法;
S232、計算ClientProof需以服務器相同的方式計算出StoredKey和ClientKey,然后使用StoredKey和AuthMessage計算ClientSignature,最終通過ClientSignature和AuthMessage按位異或運算得到;
S233、計算出服務端簽名,并緩存;
S234、替換客戶端的ClientProof。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京景安云信科技有限公司,未經北京景安云信科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202110761016.4/1.html,轉載請聲明來源鉆瓜專利網。
