WebSphere Application Server Network Deployment, Version 6.1   
             オペレーティング・システム: AIX , HP-UX, Linux, Solaris, Windows, Windows Vista

             目次と検索結果のパーソナライズ化

nonce、ランダムに生成されたトークン

nonce (ランダム・ストリング) は、ランダムに生成された暗号トークンで、 SOAP メッセージで使用されるユーザー名トークンの窃盗を防止するために使用されます。 nonce は、基本認証 (basicauth) メソッドで使用します。

nonce を使用しない場合に、非セキュア・トランスポート (HTTP など) を使用してユーザー名トークンがマシン間で受け渡されると、 トークンがインターセプトされて、リプレイ・アタックで使用されることがあります。 クライアントとサーバーの間でユーザー名トークンが伝送されると、 同じ鍵が再使用される場合があります。 そのため、アタックされる危険にさらされたままになります。 ユーザー名トークンは、XML デジタル・シグニチャーと XML 暗号化を使用している場合であっても、 盗まれる可能性があります。

これらのリプレイ・アタックを排除するために、<wsee: usernameToken> エレメント内に <wsse:Nonce> および <wsu:Created> エレメントが生成され、メッセージの妥当性検査に使用されます。 要求受信側または応答受信側は、 メッセージの存続期間を検査して、 メッセージの作成時刻と現在時刻との差が指定された時間範囲内であることを確認します。 また、WebSphere Application Server は、 指定された時間範囲内に受信側がトークンを処理していないことを確認します。 これら 2 つのフィーチャーは、 ユーザー名トークンがリプレイ・アタックに使用される可能性を少なくするために使用されます。




関連概念
ユーザー名トークン
関連タスク
アプリケーション・レベルの nonce の構成
サーバー・レベルの nonce の構成
セル・レベルの nonce の構成
基本認証を使用したバージョン 5.x アプリケーションの Web サービスの保護
関連資料
Web サービス・セキュリティーのデフォルト・バインディング
概念トピック    

ご利用条件 | フィードバック

最終更新: Jan 21, 2008 7:44:53 PM EST
http://publib.boulder.ibm.com/infocenter/wasinfo/v6r1/index.jsp?topic=/com.ibm.websphere.nd.doc/info/ae/ae/cwbs_nonce.html