Nonce - ein generiertes Zufallstoken

Nonce ist ein generiertes, verschlüsseltes Zufallstoken, das den unbefugten Zugriff auf Benutzernamenstoken, die in SOAP-Nachrichten verwendet werden, verhindert. Nonce wird mit der Basisauthentifizierung (BasicAuth) verwendet.

Wenn ein Benutzernamenstoken (UserNameToken) in einem ungesicherten Transport (z. B. HTTP) von einer Maschine auf eine andere übertragen und kein Nonce verwendet wird, kann das Token abgefangen und für einen Angriff durch Nachrichtenaufzeichnung und -wiederholung verwendet werden. Derselbe Schlüssel kann erneut verwendet werden, wenn das Benutzernamenstoken zwischen dem Client und dem Server übertragen wird, und ist damit in höchstem Maße angriffsgefährdet. Das Benutzernamenstoken kann selbst dann abgefangen werden, wenn Sie mit digitaler XML-Signatur und -Verschlüsselung arbeiten.

Zum Schutz vor Angriffen durch Nachrichtenaufzeichnung und -wiederholung werden mit dem Element <wsse: usernameToken> die Elemente <wsse:Nonce> und <wsu:Created> generiert und für die Validierung der Nachricht verwendet. Der Anforderungs- oder Antwortempfänger überprüft die Aktualität der Nachricht, um sicherzustellen, dass der zeitliche Abstand zwischen Erstellung der Nachricht und aktueller Zeit einen definierten Zeitrahmen nicht überschreitet. Außerdem überprüft WebSphere Application Server, ob das Token nicht bereits in dem definierten Zeitrahmen vom Empfänger verarbeitet wurde. Die Verwendung dieser beiden Features verringert das Risiko, dass ein Benutzernamenstoken für Angriffe durch Nachrichtenaufzeichnung und -wiederholung missbraucht wird.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_nonce
Dateiname:cwbs_nonce.html