Aller au contenu principal

13.3. Considérations sur les AVP

13.3. Considérations sur les AVP (AVP Considerations)

Les AVP Diameter contiennent souvent des données sensibles pour la sécurité; par exemple mots de passe utilisateur et données de localisation, adresses réseau et clés cryptographiques. Les AVP suivants définis dans le présent document sont considérés comme sensibles sur le plan de la sécurité:

  • Acct-Interim-Interval
  • Accounting-Realtime-Required
  • Acct-Multi-Session-Id
  • Accounting-Record-Number
  • Accounting-Record-Type
  • Accounting-Session-Id
  • Accounting-Sub-Session-Id
  • Class
  • Session-Id
  • Session-Binding
  • Session-Server-Failover
  • User-Name

Les messages Diameter contenant ces AVP ou tout autre AVP considéré comme sensible sur le plan de la sécurité DOIVENT uniquement être envoyés lorsqu'ils sont protégés par TLS ou IPsec mutuellement authentifiés. De plus, ces messages NE DOIVENT PAS être envoyés via des nœuds intermédiaires sauf s'il existe une sécurité de bout en bout entre l'initiateur et le destinataire ou si l'initiateur dispose d'une configuration locale de confiance indiquant qu'une sécurité de bout en bout n'est pas nécessaire. Par exemple, la sécurité de bout en bout peut ne pas être requise lorsqu'un nœud intermédiaire est connu pour être exploité dans le même domaine administratif que les extrémités, de sorte qu'une compromission réussie de l'intermédiaire impliquerait une forte probabilité de pouvoir compromettre également les extrémités. Notez qu'aucun mécanisme de sécurité de bout en bout n'est spécifié dans le présent document.

Dernière mise à jour le