现时标志,随机生成的令牌

现时标志是随机生成的密码令牌,用于防止重放攻击。虽然可以将现时标志插入 SOAP 消息的任何位置,但通常会将它插入 <UsernameToken> 元素中。

若没有现时标志,当使用非安全传输(如 HTTP)从一台机器向另一台机器传递 UsernameToken 时,令牌可能会被拦截并用于重放攻击中。当在客户机和服务器之间传输用户名令牌时,可以复用同一密码。即使您使用 XML 数字签名和 XML 加密,用户名令牌也可能被盗取。但是,在非安全传输中单独使用现时标志,不能充分的解决重放问题。现时标志在 SOAP 消息经安全的(处于传输级别或消息级别)通信信道进行传输时最有用。

为了帮助消除这些重放攻击,在 <wsse:UsernameToken> 元素中生成 <wsse:Nonce> 和 <wsu:Created> 元素用于验证消息。服务器通过验证现时标志创建时间(由 <wsu:Created> 元素指定)和当前时间之间的差值是否在指定的时间段内来检查消息新鲜度。并且,服务器还对已用现时标志的高速缓存进行检查,以验证所接收的 SOAP 消息中的用户名令牌在指定时间段内是否未被处理。这两个功能用于减少用户名令牌用于重放攻击的机会。

要为 UsernameToken 添加现时标志,您可以在用户名令牌的响应生成者中对其进行指定。当指定了 UsernameToken 的令牌生成者时,如果要将现时标志包括在用户名令牌中,那么您可以选择添加现时标志选项。


指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=cwbs_noncev6
文件名:cwbs_noncev6.html