13. Considerazioni sulla sicurezza

13. Considerazioni sulla sicurezza (Security Considerations)

I messaggi del protocollo base Diameter DOVREBBERO essere protetti usando TLS [RFC5246] o DTLS/SCTP [RFC6083]. Meccanismi di sicurezza aggiuntivi come IPsec [RFC4301] POSSONO essere distribuiti per proteggere le connessioni tra peer. Tuttavia, tutte le implementazioni del protocollo base Diameter DEVONO supportare l'uso di TLS/TCP e DTLS/SCTP, e il protocollo Diameter NON DEVE essere usato senza uno tra TLS, DTLS o IPsec.

Se una connessione Diameter deve essere protetta tramite TLS/TCP e DTLS/SCTP o IPsec, allora TLS/TCP e DTLS/SCTP o IPsec/IKE DOVREBBERO iniziare prima di qualsiasi scambio di messaggi Diameter. Tutti i parametri di sicurezza per TLS/TCP e DTLS/SCTP o IPsec sono configurati indipendentemente dal protocollo Diameter. Tutti i messaggi Diameter saranno inviati tramite la connessione TLS/TCP e DTLS/SCTP o IPsec dopo un setup riuscito.

Affinché connessioni TLS/TCP e DTLS/SCTP siano stabilite nello stato aperto, lo scambio CER/CEA DEVE includere un AVP Inband-Security-ID con valore TLS/TCP e DTLS/SCTP. L'handshake TLS/TCP e DTLS/SCTP inizierà quando entrambe le estremità raggiungono con successo lo stato aperto, al completamento dello scambio CER/CEA. Se l'handshake TLS/TCP e DTLS/SCTP ha successo, tutti i messaggi successivi saranno inviati tramite TLS/TCP e DTLS/SCTP. Se l'handshake fallisce, entrambe le estremità DEVONO passare allo stato chiuso. Vedere la Sezione 13.1 per ulteriori dettagli.