WebSphere Application Server for z/OS, Version 6.1   
             オペレーティング・システム: z/OS

             目次と検索結果のパーソナライズ化

nonce、ランダムに生成されたトークン

nonce はランダムに生成される暗号トークンであり、リプレイ・アタックを防ぐために使用されます。 nonce は SOAP メッセージ内の任意の位置に挿入することができますが、通常は UsernameToken エレメント内に挿入されます。

nonce を使用しない場合に、非セキュア・トランスポート (HTTP など) を使用してユーザー名トークンがマシン間で受け渡されると、 トークンがインターセプトされて、リプレイ・アタックで使用されることがあります。 クライアントとサーバーの間でユーザー名トークンが伝送されると、同じパスワードが再使用される場合があります。 そのため、アタックに対するぜい弱さが解消されません。 ユーザー名トークンは、XML デジタル・シグニチャーと XML 暗号化を使用している場合であっても、 盗まれる可能性があります。

これらのリプレイ・アタックを排除するために、<wsse:UsernameToken> エレメント内に <wsse:Nonce> および <wsu:Created> エレメントが生成され、メッセージの妥当性検査に使用されます。サーバーは、 <wsu:Created> エレメントによって指定された nonce 作成時刻と現在時刻との差が指定された時間範囲内であることを確認することによって、 メッセージの存続期間を検査します。 またサーバーは、使用された nonce のキャッシュを検査して、 受信 SOAP メッセージ内のユーザー名トークンが指定された時間範囲内で処理されていないことを確認します。 これら 2 つのフィーチャーは、 ユーザー名トークンがリプレイ・アタックに使用される可能性を少なくするために使用されます。

ユーザー名トークンへの nonce の追加は、ユーザー名トークンのトークン・ジェネレーターで指定できます。 ユーザー名トークンのトークン・ジェネレーターを指定すると、 ユーザー名トークン内に nonce を組み込む場合に、「nonce の追加」オプションを選択することができます。




関連概念
分散 nonce キャッシュ
Web サービス・セキュリティーの機能強化
関連タスク
クラスター内のサーバーへの nonce キャッシングの分散
関連資料
Web サービスのセキュリティーに関する考慮事項
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 9:12:22 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.zseries.doc/info/zseries/ae/cwbs_noncev6.html