Nonce - ein generiertes Zufallstoken

Ein Nonce ist ein generiertes, verschlüsseltes Zufallstoken, das verwendet wird, um Angriffe durch Nachrichtenaufzeichnung und -wiederholung zu verhindern. Obwohl ein Nonce an jeder Stelle der SOAP-Nachricht eingefügt werden kann, wird er normalerweise in das Element <UsernameToken> eingefügt.

Wenn ein Benutzernamenstoken (UserNameToken) in einem ungesicherten Transport (z. B. HTTP) von einer Maschine auf eine andere übertragen und kein Nonce verwendet wird, kann das Token abgefangen und für einen Angriff durch Nachrichtenaufzeichnung und -wiederholung verwendet werden. Dasselbe Kennwort kann erneut verwendet werden, wenn das Benutzernamenstoken zwischen dem Client und dem Server übertragen wird, und ist damit in höchstem Maße angriffsgefährdet. Das Benutzernamenstoken kann selbst dann abgefangen werden, wenn Sie mit digitaler XML-Signatur und -Verschlüsselung arbeiten. Nonce allein kann bei Verwendung in einem nicht gesicherten Transport das Problem der Wiederholung nicht adäquat lösen. Die Verwendung eines Nonce ist dann hilfreich, wenn die SOAP-Nachricht über einen Kommunikationskanal übertragen wird, der entweder auf Transportebene oder auf Nachrichtenebene gesichert ist.

Zum Schutz vor Angriffen durch Nachrichtenaufzeichnung und -wiederholung werden mit dem Element <wsse:UsernameToken> die Elemente <wsse:Nonce> und <wsu:Created> generiert und für die Validierung der Nachricht verwendet. Der Server prüft die Aktualität der Nachricht, indem er feststellt, ob der zeitliche Abstand zwischen der mit dem Element <wsu:Created> angegebenen Nonce-Erstellung und der aktuellen Zeit einen definierten Zeitrahmen nicht überschreitet. Außerdem prüft der Server anhand eines Cache von verwendeten Nonces, ob das Benutzernamenstoken in der empfangenen SOAP-Nachricht innerhalb der angegebenen Zeit nicht verarbeitet wurde. Die Verwendung dieser beiden Features verringert das Risiko, dass ein Benutzernamenstoken für Angriffe durch Nachrichtenaufzeichnung und -wiederholung missbraucht wird.

Um einen Nonce einem Benutzernamenstoken hinzuzufügen, können Sie ihn im Tokengenerator für das Benutzernamenstoken angeben. Wenn der Tokengenerator für das Benutzernamenstoken angegeben wird, können Sie die Option Nonce hinzufügen verwenden, um den Nonce in das Benutzernamenstoken einzufügen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_noncev6
Dateiname:cwbs_noncev6.html