13. Considérations de sécurité

13. Considérations de sécurité (Security Considerations)

Les messages du protocole de base Diameter DEVRAIENT être sécurisés à l'aide de TLS [RFC5246] ou DTLS/SCTP [RFC6083]. Des mécanismes de sécurité supplémentaires tels qu'IPsec [RFC4301] PEUVENT également être déployés pour sécuriser les connexions entre pairs. Toutefois, toutes les implémentations du protocole de base Diameter DOIVENT prendre en charge l'utilisation de TLS/TCP et DTLS/SCTP, et le protocole Diameter NE DOIT PAS être utilisé sans l'un de TLS, DTLS ou IPsec.

Si une connexion Diameter doit être protégée via TLS/TCP et DTLS/SCTP ou IPsec, alors TLS/TCP et DTLS/SCTP ou IPsec/IKE DEVRAIENT commencer avant tout échange de messages Diameter. Tous les paramètres de sécurité pour TLS/TCP et DTLS/SCTP ou IPsec sont configurés indépendamment du protocole Diameter. Tous les messages Diameter seront envoyés via la connexion TLS/TCP et DTLS/SCTP ou IPsec après une mise en place réussie.

Pour que des connexions TLS/TCP et DTLS/SCTP soient établies à l'état ouvert, l'échange CER/CEA DOIT inclure un AVP Inband-Security-ID dont la valeur est TLS/TCP et DTLS/SCTP. La poignée de main TLS/TCP et DTLS/SCTP commencera lorsque les deux extrémités auront atteint avec succès l'état ouvert, après l'achèvement de l'échange CER/CEA. Si la poignée de main TLS/TCP et DTLS/SCTP réussit, tous les messages ultérieurs seront envoyés via TLS/TCP et DTLS/SCTP. Si la poignée de main échoue, les deux extrémités DOIVENT passer à l'état fermé. Voir la section 13.1 pour plus de détails.

13. Considérations de sécurité (Security Considerations)​

13. Considérations de sécurité (Security Considerations)