난스(nonce), 랜덤 생성 토큰
난스(nonce)는 SOAP 메시지에서 사용되는 사용자 이름 토큰의 도난을 방지하기 위해 사용되는 랜덤하게 생성되는 암호화 토큰입니다. 난스(nonce)는 기본 인증(BasicAuth) 메소드에 사용됩니다.
난스(nonce)가 없으면, UsernameToken이 임의 머신에서 다른 머신으로 난스(nonce) 전송(예: HTTP)을 사용하여 전달되는 경우 토큰은 인터셉트되어 반복 공격에 사용될 수 있습니다. 동일한 키가 클라이언트와 서버 사이에서 전송되는 경우에 재사용될 수도 있으며 이 경우 공격에 취약해질 수 있습니다. 사용자 이름 토큰은 XML 디지털 서명 및 XML 암호화를 사용해도 도난될 수 있습니다.
이런 반복 공격을 방지하기 위해 <wsse:Nonce> 및 <wsu:Created> 요소가 <wsse: usernameToken> 요소에서 생성되어 메시지 유효성 검증에 사용됩니다. 요청 수신자 및 응답 수신자는 메시지가 작성될 때와 지정한 기간 내에 있는 현재 시간 사이의 차이점을 확인하기 위해 메시지의 신선함을 확인합니다. 또한 WebSphere® Application Server는 수신자가 지정한 시간 내에 있는 토큰을 처리하지 않았는지 확인합니다. 이 두 기능은 사용자 이름 토큰이 반복 공격에 사용되는 가능성을 줄이기 위해 사용됩니다.