13.3. AVP に関する考慮事項
13.3. AVP に関する考慮事項 (AVP Considerations)
Diameter AVP には, ユーザパスワードや位置情報, ネットワークアドレス, 暗号鍵など, セキュリティ上機微なデータが含まれることが多い. 本書で定義する次の AVP はセキュリティ上機微とみなされる:
- Acct-Interim-Interval
- Accounting-Realtime-Required
- Acct-Multi-Session-Id
- Accounting-Record-Number
- Accounting-Record-Type
- Accounting-Session-Id
- Accounting-Sub-Session-Id
- Class
- Session-Id
- Session-Binding
- Session-Server-Failover
- User-Name
これらまたはその他セキュリティ上機微とみなされる AVP を含む Diameter メッセージは, 相互認証済み TLS または IPsec により保護された経路でのみ送信しなければならない (MUST). さらに, 発信者と受信者の間にエンドツーエンドのセキュリティがある場合, または発信者がエンドツーエンドのセキュリティが不要であることを示すローカルで信頼できる設定を持つ場合を除き, 中間ノード経由で送信してはならない (MUST NOT). 例えば, 中間ノードがエンドポイントと同一の管理ドメインの一部として運用されており, 中間ノードを侵害できればエンドポイントも侵害できる確率が高いことが分かっている場合など, エンドツーエンドのセキュリティが不要な場合がある. 本書ではエンドツーエンドのセキュリティ機構は規定しない.