本發(fā)明公開(kāi)了一種使用代理實(shí)現(xiàn)在Mongo協(xié)議認(rèn)證方式過(guò)程中替換認(rèn)證信息的方法，包括以下步驟：S1、用戶(hù)在應(yīng)用平臺(tái)獲取數(shù)據(jù)庫(kù)的連接信息，此連接信息是應(yīng)用平臺(tái)通過(guò)數(shù)據(jù)庫(kù)真實(shí)賬戶(hù)信息映射而來(lái)，用戶(hù)通過(guò)此連接信息進(jìn)行登錄認(rèn)證；S2、在代理應(yīng)用程序中捕獲認(rèn)證信息數(shù)據(jù)包進(jìn)行篡改，其數(shù)據(jù)包結(jié)構(gòu)包括messageLength、requestID、responseTo、opCode、flagBits與sections，Sections包含有kind與bodyDocument，bodyDocument包括mechanism與payload；本發(fā)明在現(xiàn)有堡壘機(jī)實(shí)現(xiàn)技術(shù)中，用戶(hù)使用數(shù)據(jù)庫(kù)都是平臺(tái)簽發(fā)真實(shí)數(shù)據(jù)庫(kù)賬戶(hù)信息，存在泄露賬戶(hù)的風(fēng)險(xiǎn)；能在不暴露真實(shí)數(shù)據(jù)庫(kù)賬戶(hù)，并且只創(chuàng)建少量數(shù)據(jù)庫(kù)賬戶(hù)的情況下，實(shí)現(xiàn)對(duì)操作用戶(hù)身份的記錄、數(shù)據(jù)庫(kù)的審計(jì)、權(quán)限控制。

技術(shù)領(lǐng)域

本發(fā)明涉及通過(guò)對(duì)MongoDB協(xié)議進(jìn)行分析，在MongoDB3.6、MongoDB4.0、MongoDB4.2、MongoDB4.4等版本下，在使用SCRAM-SHA-1或SCRAM-SHA-256方式認(rèn)證的過(guò)程中替換認(rèn)證信息的方法的領(lǐng)域，特別涉及一種使用代理實(shí)現(xiàn)在Mongo協(xié)議認(rèn)證方式過(guò)程中替換認(rèn)證信息的方法。

背景技術(shù)

現(xiàn)有的技術(shù)方案都是通過(guò)數(shù)據(jù)庫(kù)真實(shí)賬戶(hù)信息直接登錄，隨時(shí)都可能泄露數(shù)據(jù)庫(kù)賬戶(hù)信息，導(dǎo)致隨便一人拿著數(shù)據(jù)庫(kù)賬戶(hù)信息都可進(jìn)行數(shù)據(jù)庫(kù)操作，出了問(wèn)題難以定位到人

現(xiàn)有的技術(shù)方案中難以對(duì)用戶(hù)操作數(shù)據(jù)庫(kù)進(jìn)行審計(jì)、對(duì)用戶(hù)身份的記錄與權(quán)限控制。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種使用代理實(shí)現(xiàn)在Mongo協(xié)議認(rèn)證方式過(guò)程中替換認(rèn)證信息的方法，以解決上述背景技術(shù)中提出的問(wèn)題。

為實(shí)現(xiàn)上述目的，本發(fā)明提供如下技術(shù)方案：

一種使用代理實(shí)現(xiàn)在Mongo協(xié)議認(rèn)證方式過(guò)程中替換認(rèn)證信息的方法，包括以下步驟：

S1、用戶(hù)在應(yīng)用平臺(tái)獲取數(shù)據(jù)庫(kù)的連接信息，此連接信息是應(yīng)用平臺(tái)通過(guò)數(shù)據(jù)庫(kù)真實(shí)賬戶(hù)信息映射而來(lái)，用戶(hù)通過(guò)此連接信息進(jìn)行登錄認(rèn)證；

S2、在代理應(yīng)用程序中捕獲認(rèn)證信息數(shù)據(jù)包進(jìn)行篡改，其數(shù)據(jù)包結(jié)構(gòu)包括messageLength、requestID、responseTo、opCode、flagBits與sections；

Sections包含有kind與bodyDocument，bodyDocument包括mechanism與payload。

優(yōu)選的，S2中的數(shù)據(jù)包截取捕獲與篡改過(guò)程包括：

S21、捕獲客戶(hù)端的client-first-message認(rèn)證數(shù)據(jù)包，獲取真實(shí)數(shù)據(jù)庫(kù)賬戶(hù)信息并篡改認(rèn)證包中帳戶(hù)名；

S22、捕獲服務(wù)端的server-first-message認(rèn)證數(shù)據(jù)包，緩存認(rèn)證數(shù)據(jù)；

S23、捕獲客戶(hù)端的client-final-message認(rèn)證數(shù)據(jù)包；

S24、捕獲服務(wù)端的server-final-message認(rèn)證數(shù)據(jù)包。

優(yōu)選的，S21的具體操作方法為：

從解析出的bodyDocument中取出payload，payload數(shù)據(jù)包含數(shù)據(jù)庫(kù)賬戶(hù)名username和client-nonce，通過(guò)程序用username找到真實(shí)的數(shù)據(jù)庫(kù)賬戶(hù)名與password將其緩存，然后替換payload數(shù)據(jù)內(nèi)的username為真實(shí)的數(shù)據(jù)庫(kù)帳戶(hù)名，將其替換后的payload數(shù)據(jù)緩存下來(lái)命名為client-first-message，后續(xù)計(jì)算AuthMessage會(huì)用到，最后重新計(jì)算messageLength長(zhǎng)度，將新的數(shù)據(jù)包發(fā)送給服務(wù)端。

優(yōu)選的，S22的具體操作方法為：