임시값(임의 생성 토큰)

임시값은 임의로 생성된 암호화 토큰으로, 반복 공격을 차단하는 데 사용됩니다. 임시값은 SOAP 메시지의 어느 곳에든 삽입될 수 있지만 주로 <UsernameToken> 요소에 삽입됩니다.

임시값이 없으면, HTTP와 같은 비보안 전송을 사용하여 사용자 이름 토큰을 한 머신에서 다른 머신으로 전달할 때 토큰이 간섭을 받아 반복 공격에 이용될 수 있습니다. 클라이언트와 서버 간에 사용자 이름을 전송할 때 동일한 비밀번호가 재사용될 수 있어 공격에 취약해질 수 있습니다. XML 디지털 서명 및 XML 암호화를 사용하는 경우에도 사용자 이름 토큰을 도난당할 수 있습니다.

이러한 반복 공격을 차단할 수 있도록 <wsse:Nonce><wsu:Created> 요소가 <wsse:UsernameToken> 요소에 생성되어 메시지의 유효성 검증에 사용됩니다. 서버는 <wsu:Created> 요소로 지정된 임시값 작성 시간과, 지정된 시간소인 범위에 속하는 현재 시간과의 차이를 확인하여 메시지의 신선도를 검사합니다. 서버는 사용된 임시값의 캐시도 검사하여 수신된 SOAP(Simple Object Access Protocol) 메시지 내의 사용자 이름 토큰이 지정된 시간 안에 처리되지 않았는지 확인합니다. 이 두 기능은 사용자 이름 토큰이 반복 공격에 이용될 가능성을 줄이기 위한 것입니다.

사용자 이름 토큰에 임시값을 추가하려면 사용자 이름 토큰의 토큰 생성기에서 이를 지정하면 됩니다. 사용자 이름 토큰에 대한 토큰 생성기가 지정되어 있을 경우 사용자 이름 토큰에 임시값을 포함시키려면 임시값 추가 옵션을 선택하면 됩니다.


피드백