Nonce

Nonce是或Number once的缩写，在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值。

在加密技术中的初始向量和加密散列函数都发挥着重要作用，在各类验证协议的通信应用中确保验证信息不被重复使用以对抗重放攻击(Replay Attack)。

简述Nonce，Number used once或Number once的缩写，在密码学中Nonce是一个只被使用一次的任意或非重复的随机数值，在加密技术中的初始向量和加密散列函数都发挥着重要作用，在各类验证协议的通信应用中确保验证信息不被重复使用以对抗重放攻击(Replay Attack)。在信息安全中，Nonce是一个在加密通信只能使用一次的数字。在认证协议中，它往往是一个随机或伪随机数，以避免重放攻击。Nonce也用于流密码以确保安全。如果需要使用相同的密钥加密一个以上的消息，就需要Nonce来确保不同的消息与该密钥加密的密钥流不同。

具体应用在摘要认证中服务器让客户选一个随机数（称作”nonce“），然后浏览器使用一个单向的加密函数生成一个消息摘要（message digest），该摘要是关于用户名、密码、给定的nonce值、HTTP方法，以及所请求的URL。1

例子一个典型的基于 nonce 的验证协议如下：

这里的 cnonce 为 client nonce（后面将讨论为什么需要 cnonce）。Client 并不直接发送密码（或者密码直接加密后的密文）用以避免攻击者直接窃取密码（或者密码直接加密后的密文）并冒充用户进行身份验证。

先不考虑 Client nonce。Server 首先发送 nonce 到 Client，Client 将密码和 nonce 通过 hash 运算再提交到 Server 进行身份验证，这样我们可以认为（而非绝对）每次用于身份验证的 hash 值都不相同，即使攻击者窃取了前一次用于身份验证的 hash 值也无法冒充用户进行登录。公式如下：

A = Hash(nonce, password)；

在不安全的网络环境中，A、nonce、Hash 算法都可以被攻击者获取，如果能够满足以下条件：

nonce 仅仅被使用一次，

Hash 运算不出现冲突。

攻击者则在理论上无法实施 Replay attack。 因此 nonce 在特定上下文中仅仅被使用一次以及 Hash 算法尽量避免冲突是安全的关键。为了确保 nonce 在特定上下文中仅仅被使用一次，可以使用以下策略生成 nonce：

nonce 可以是一个时间相关变量，

nonce 可以是一个通过足够随机算法生成的足够长的 bits。

以上算法难以避免攻击者使用字典进行密码破解。其中一个可行的方法为：攻击者可以截取A = Hash(nonce, password) 中的 A、nonce，然后通过字典破解用户的密码 password。不过破解的过程是很耗时的，使用一个中等规模的集群（medium-scale cluster）可能需要数周），如果期望破解成千上万用户的密码，那么将消耗极大量的时间。

如果攻击者能够构建一个预计算的表（例如Rainbow tables）那么破解大量用户密码的时间将大大缩短。nonce 阻止了预计算表的生成（因为 Server nonce 每次都不相同），但是如果网络中传输的数据能被篡改，情况就不一样了。假定攻击者伪造一个固定的 nonce 发送给网络中的 Clients 并且记录 nonce 和 Clients 的回应（Hash(nonce, password)），由于 nonce 为一个固定值，那么攻击者就可以构造一个预计算的表，此表使用此固定的 nonce。通过此表即可大大缩短破解用户密码的时间了。

为了避免攻击者通过以上手段构建预计算的表。在 Client 也引入了一个 nonce。这样，每次都不同的 cnonce 防止了预计算表的生成。

本词条内容贡献者为:

王沛 - 副教授、副研究员 - 中国科学院工程热物理研究所