oracle logon只有3项,Oracle登录协议(O3LOGON)在10g

最新推荐文章于 2022-10-18 14:42:23 发布
最新推荐文章于 2022-10-18 14:42:23 发布
阅读量256 收藏
点赞数
文章标签: oracle logon只有3项

我一直在研究Oracle针对10g数据库进行身份验证的机制.虽然它没有9i版本的文档记录,但我仍然设法在各种网站和博客上找到它的许多细节.然而,一件作品仍然是个谜.在我提到遗漏的内容之前,让我解释伪代码中有关协议的知识:

// CLIENT SIDE PSEUDO CODE

user = "SCOTT"

password = "TIGER"

password_hash = oracle_password_hash(user, password)

// 1. Client provides user name to server

send(user)

// 2. Server responds with its encrypted AUTH_SESSKEY,

// a randomly generated number associated with the current session

encrypted_server_AUTH_SESSKEY = receive_AUTH_SESSKEY() // 32 bytes

decrypted_server_AUTH_SESSKEY = aes_decrypt(

encrypted_input => encrypted_server_AUTH_SESSKEY,

decryption_key => password_hash

)

// 3. Client generates its own AUTH_SESSKEY for this session

unencrypted_client_AUTH_SESSKEY = generate_random_AUTH_SESSKEY() // 32 bytes

encrypted_client_AUTH_SESSKEY = aes_encrypt(

unencrypted_input => unencrypted_client_AUTH_SESSKEY,

encryption_key => password_hash

)

// 4. Client combines the two AUTH_SESSKEYs using a known Oracle-specific algorithm

combined_AUTH_SESSKEYs = oracle_combine(decrypted_server_AUTH_SESSKEY, unencrypted_client_AUTH_SESSKEY)

// 5. Client builds AUTH_PASSWORD

unencrypted_AUTH_PASSWORD = byte[32]

unencrypted_AUTH_PASSWORD[0 .. 16] = ??? // THIS IS THE PROBLEM

unencrypted_AUTH_PASSWORD[16 .. 16 + len(password)] = password

unencrypted_AUTH_PASSWORD[16 + len(password) .. ] = PKCS#7 padding

// 6. Client encrypts the AUTH_PASSWORD data using the combined AUTH_SESSKEYs as the encryption key

encrypted_AUTH_PASSWORD = aes_encrypt(

unencrypted_input => unencrypted_AUTH_PASSWORD,

encryption_key => combined_AUTH_SESSKEYs

)

// 7. Client transmits its encrypted AUTH_SESSKEY and AUTH_PASSWORD to server for verification

send(encrypted_client_AUTH_SESSKEY, encrypted_AUTH_PASSWORD)

在第5步中,Oracle客户端在AUTH_PASSWORD值的低16字节中放置了什么?

我发现的几乎所有文档都只关心获取其中包含的纯文本密码,而不关注这些第一个字节.我曾尝试查看JDBC驱动程序,但似乎即使是10g版本也会通过请求服务器恢复到较旧的方案(这恰好可以更好地理解)来避免此身份验证方案.一个优秀的C program演示了AUTH_PASSWORD的解密.

谁能指出我正确的方向?

最佳答案 我已经确定了明文密码之前的16个字节是随机生成的(对于好奇的,看看oran10.dll库导出的ztvo5pe函数 – 你会看到两次连续调用ztcen,第一个调用填充它在).

我最初发布这个问题是因为我正在编写一个小程序来连接Oracle数据库,而不使用Oracle的JDBC驱动程序.我发现数据库拒绝了我的32字节AUTH_PASSWORD.我认为它被拒绝了,因为我在前16个字节中放了一个不正确的值.我错了.看来这些对用户是否进行身份验证没有任何影响.

相反,事实证明数据库拒绝我的AUTH_PASSWORD,因为明文密码后面紧跟着尾随字节.我天真地用零填充缓冲区.它应该根据PKCS#7规范进行填充.

歆格
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
logon oracle 密码 用户名_PLSQL自动登录,记住用户名密码&日常使用技巧
weixin_30744857的博客
01-15 3118
配置启动时的登录用户名和密码这是个有争议的功能,因为记住密码会给带来数据安全的问题。 但假如是开发用的库,密码甚至可以和用户名相同,每次输入密码实在没什么意义,可以考虑让PLSQL Developer记住密码。1、如果只登录一个数据库,用户名密码都是固定的,可以修改执行程序的快捷方式:在桌面上建立plsqldev的快捷方式,然后点击右键,打开属性对话框,在目标后的文本框中输入:"D:\Progra...
Oracle登陆身份验证过程原理解析
weixin_40142577的博客
12-16 1874
身份验证的工作原理 这里的Oracle版本为11.2 如果没办法捕获本机数据包请看我的博客 1.连接到Listener之后,身份验证的过程就开始了,真正核心的部分,它是同故宫客户机想服务器发送自己的用户名来完成的。 2.在前面截获的包中,用户名是system,服务器取出这个用户名并检查是否是一个有效的用户。如果不是,服务器则向客户及发送一个登陆被拒绝的错误。如果用户名确实存在,则服务器从数据库中...
Oracle的AWR报告分析
求索
05-25 3693
【技术分享】开Oracle调优鹰眼,深入理解AWR性能报告
连接登陆到ORACLE数据库的几种方式。
Bruce_CYL的博客
06-17 9719
一、DOS窗口 在DOS窗口中,输入sqlpuls回车,输入用户名,回车。输入密码回车。 二、使用DBConsole登陆 在浏览器中输入https://localhost:1158/em/console/logon/logon。之后输入用户名和密码。
商用密码的发展历程及当前应用情况
Mr_kuangrq的博客
09-15 1599
商用密码的发展历程及当前应用情况 一、商用密码发展历程 1、1999年,国务院颁布《商用密码管理条例》,规定国家密码管理委员会及其办公室主管全国的商用密码管理工作。 2、2002年,中央机构编制委员会批准国家密码管理委员会办公室下设商用密码管理办公室。 3、2005年,国家密码管理委员会办公室更名为国家密码管理局。 4、2008年,国家密码管理局列入部委管理的国家局序列。 5、2018年3月,《国务院关于部委管理的国家局设置的通知》(国发〔2018〕7号)明确规定,国家密码管理局与中央密码工作领
jsp.rar_jsp_jsp 登录_jsp 登录页面_logon
09-20
jsp,登录页面,代码logon,还有个成功页
W10 BG Logon Changer
02-15
W10 BG Logon Changer win10登录页面背景修改
oracle11g密码敏感取消
03-02
--Oracle11g中Exp空表的问题:禁用插入数据时才分配空间功能 show parameter deferred_segment_creation alter system set deferred_segment_creation=false; -- 查找空表: select 'alter table '||table_name||'...
[Oracle] 如何使用触发器实现IP限制用户登录
12-15
下面是一个触发器的例子: 代码如下:create or replace trigger logon_ip_controlafter logon on databasedeclare ip STRING(30); user STRING(30);beginSELECT SYS_CONTEXT(‘USERENV’,’SESSION_USER’) into ...
W10 BG Logon Changer 1.2.0.0
02-15
W10 BG Logon Changer 1.2.0.0 win10桌面背景修改 支持中文
甲骨文数据库身份认证通信加密与解密技术探究(一)
weixin_34112181的博客
02-25 1012
2019独角兽企业重金招聘Python工程师标准>>> ...
oracle logon只有3,oracle学习笔记《一》
weixin_36254931的博客
04-04 399
一、主键和外键的关系表A主键为name,表B外键为name。在表A中为主键,在表B中为外键,那么A表是主表,B表是从表。对表B的name字段进行修改或者添加记录,必须要参考表A的name列。假如插入jim值到表B的name字段,而表A的name列没有这个值,那么就会插入失败,这就是外键约束。如果表B的name列允许为空,那么可以插入空记录。因为可能这一行记录可以不关联表A的记录。外键的值可以相同,...
Oracle 登录异常: invalid username/password; logon denied
m0_56567225的博客
10-18 7079
数据库创建用户异常报错
oracle logon trigger
云计算?
09-04 174
oracle logon trigger一般用来审计用户登录信息或者限制用户登录,虽说不常用,但仍不失为一种好办法。备注:不能审计dba用户登录下面是具体的小例子 1,建审计表 CREATE TABLE LOGONLOG(os_user varchar2(30), user_name varchar2(30), logon_time date, session_user varcha...
PLSQL中Oracle Logon配置
beyondbn的专栏
04-12 2779
 a 
oracle login的设置
cocai2012的博客
09-22 587
在window系统针对Oracle登录调试设置登录会话的各种信息,从而定制login.sql. 在默认的情况下Oracle的默认登录执行的sql目录在login.sql所在目录 (D:\app\Administrat...
logon oracle 密码 用户名_oracle 19c sec_case_sensitive_logon参数问题
weixin_30635747的博客
12-22 613
11g前,密码不区分大小写,11g开始引入了sec_case_sensitive_logon参数控制密码敏感,默认true,大小写敏感。安装完19C后,将sec_case_sensitive_logon调成false,设置密码大小写不敏感后,发现即使使用正确的密码也无法登录了。原来19C中早已废弃了sec_case_sensitive_logon参数,重启数据库也可以看到提示:ORA-3...
oracle logon
最新发布
05-11
3. If you are logging in to a remote Oracle server, enter the hostname or IP address of the server. 4. If necessary, specify the port number for the Oracle listener. 5. Press enter to connect to the ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值