那些遇到过的问题

在建立连接时,Oracle JDBC客户端是否会加密密码?

Bes*_*ces 7 oracle jdbc

使用Oracle JDBC客户端库建立Oracle连接时,默认情况下密码或安全握手是加密的吗?(想知道在使用Oracle JDBC客户端库建立连接时是否存在密码被嗅探的风险)

Ada*_*ter 25

在通过网络传输时,密码始终是加密的.

这并不是说它不受攻击.如果攻击者可以获取用户密码的哈希,并且他们可以监视合法客户端和数据库之间的网络流量,则可以获得纯文本密码.

对于好奇,这里是各种版本的Oracle数据库软件的身份验证过程的摘要.处理加密密码传输的步骤以粗体显示.JDBC驱动程序使用哪种版本的身份验证协议并不完全直观,因为它并不总是与其公布的版本匹配.这是因为客户端可以协商它希望使用的协议.例如,11g JDBC驱动程序在连接到11g数据库时可能不一定使用11g身份验证协议(它可能会回退到10g身份验证协议).我忘了哪些驱动程序使用哪种协议.

Oracle数据库8中的身份验证协议

  1. 客户端请求特定用户的服务器会话密钥.
  2. 服务器生成服务器会话密钥.
  3. 服务器使用请求的用户的密码哈希作为密钥加密服务器会话密钥.
  4. 服务器将加密的服务器会话密钥发送到客户端.
  5. 客户端使用用户的密码哈希作为密钥来解密加密的服务器会话密钥.
  6. 客户端使用服务器会话密钥作为密钥来加密用户的密码.(基于DES的专有算法)
  7. 客户端将加密的密码发送到服务器.
  8. 服务器使用其服务器会话密钥作为密钥来解密加密的密码.
  9. 服务器计算解密密码的哈希值.
  10. 如果计算的密码哈希(来自步骤9)与存储在服务器上的副本匹配,则用户提供了正确的密码.

Oracle Database 9i中的身份验证协议

  1. 客户端请求特定用户的服务器会话密钥.
  2. 服务器生成服务器会话密钥.
  3. 服务器使用请求的用户的密码哈希作为密钥加密服务器会话密钥.
  4. 服务器将加密的服务器会话密钥发送到客户端.
  5. 客户端使用用户的密码哈希作为密钥来解密加密的服务器会话密钥.
  6. 客户端使用服务器会话密钥作为密钥来加密用户的密码.(基于DES的专有算法)
  7. 客户端将加密的密码发送到服务器.
  8. 服务器使用其服务器会话密钥作为密钥来解密加密的密码.
  9. 服务器计算解密密码的哈希值.
  10. 如果计算的密码哈希(来自步骤9)与存储在服务器上的副本匹配,则用户提供了正确的密码.

Oracle数据库10g中的身份验证协议

  1. 客户端从服务器请求会话密钥,指定它希望连接的用户.
  2. 服务器生成服务器会话密钥.
  3. 服务器使用请求的用户的密码哈希作为密钥加密服务器会话密钥.
  4. 服务器将加密的服务器会话密钥发送到客户端.
  5. 客户端使用所请求的用户的密码散列作为密钥来解密加密的服务器会话密钥.
  6. 客户端生成客户端会话密钥.
  7. 客户端将客户端会话密钥与服务器会话密钥组合在一起.
  8. 客户端会输入用户的密码.
  9. 客户端使用组合的会话密钥(来自步骤7)作为其密钥来加密用户的盐渍密码.(AES-128)
  10. 客户端使用用户的密码哈希作为密钥加密客户端会话密钥.
  11. 客户端将加密的客户端会话密钥和加密的盐渍用户密码发送到服务器.
  12. 服务器使用请求的用户的密码哈希来解密加密的客户端会话密钥.
  13. 服务器将客户端会话密钥与其服务器会话密钥组合在一起.
  14. 服务器使用组合的会话密钥(来自步骤13)将加密的盐渍密码解密为密钥.
  15. 服务器取消盐化密码.
  16. 服务器散列解密的密码.
  17. 服务器将计算出的密码散列(来自步骤16)与存储的密码散列进行比较.如果它们相等,则用户提供了正确的密码.

Oracle Database 11g中的身份验证协议

  1. 客户端从服务器请求会话密钥,指定它希望连接的用户.
  2. 服务器生成服务器会话密钥.
  3. 服务器生成验证者数据.
  4. 服务器使用请求的用户的密码哈希作为密钥加密服务器会话密钥.
  5. 服务器将加密的服务器会话密钥("AUTH_SESSKEY")和验证者数据("AUTH_VFR_DATA")发送到客户端.
  6. 客户端使用验证程序数据作为salt来哈希用户的密码.
  7. 客户端使用用户的密码哈希作为密钥来解密加密的服务器会话密钥.
  8. 客户端生成客户端会话密钥.
  9. 客户端将客户端会话密钥与服务器会话密钥组合在一起.
  10. 客户端会输入用户的密码.
  11. 客户端使用组合的会话密钥(来自步骤9)作为其密钥来加密用户的盐渍密码.(AES-192)
  12. 客户端使用用户的密码哈希作为密钥加密客户端会话密钥.
  13. 客户端将加密的客户端会话密钥和加密的盐渍用户密码发送到服务器.
  14. 服务器使用请求的用户的密码哈希来解密加密的客户端会话密钥.
  15. 服务器将客户端会话密钥与其服务器会话密钥组合在一起.
  16. 服务器使用组合的会话密钥(来自步骤15)作为秘密密钥来解密加密的盐渍密码.
  17. 服务器取消盐化密码.
  18. 服务器散列解密的密码.
  19. 服务器将计算出的密码散列(来自步骤18)与存储的密码散列进行比较.如果它们相等,则用户提供了正确的密码.

  • 答案中的细节水平非常高.谢谢! (2认同)

归档时间:

查看次数:

7722 次

最近记录:

11 年,9 月 前
相关归档
选择最少两个日期 20
当语句具有动态表名时,如何防止SQL注入? 9
两个包含begin和end的PLSQL语句,单独运行但不在一起? 7
EntityManager.flush()在Java Web服务中提交事务 7
Spring JDBC vs JDBC 6
Oracle SQL - 在字段中查找特殊的非数字字符 6
如何获取 UnexpectedRollbackException 的 SQL 错误来源 5
ORACLE - 无法将NULL值插入NON-Primary Key 3
如何根据单元格中的值创建重复行 3
实际上没有插入MySQL,但自动增量字段正在增加? 0
难疑归档
什么是正确的JSON内容类型? 9962
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何让Git"忘记"一个被跟踪但现在位于.gitignore的文件? 4888
什么是__init__.py? 2074
SQL Server中的LEFT JOIN与LEFT OUTER JOIN 1514
如何设置HTML <select>元素的默认值? 1343
如何从其他线程更新GUI? 1331
如何一次删除所有Git stashes? 1280
如何从JavaScript对象中删除密钥? 1171
将绘图保存到图像文件,而不是使用Matplotlib显示它 1060