13. セキュリティ上の考慮事項

13. セキュリティ上の考慮事項 (Security Considerations)

Diameter ベースプロトコルのメッセージは, TLS [RFC5246] または DTLS/SCTP [RFC6083] を用いて保護することが望ましい (SHOULD). IPsec [RFC4301] などの追加のセキュリティ機構をピア間の接続保護に用いてもよい (MAY). ただし, すべての Diameter ベースプロトコル実装は TLS/TCP および DTLS/SCTP の利用をサポートしなければならず (MUST), TLS, DTLS, IPsec のいずれもなしに Diameter プロトコルを使用してはならない (MUST NOT).

Diameter 接続を TLS/TCP および DTLS/SCTP または IPsec で保護する場合, いかなる Diameter メッセージ交換より前に, TLS/TCP および DTLS/SCTP または IPsec/IKE を開始することが望ましい (SHOULD). TLS/TCP および DTLS/SCTP または IPsec のセキュリティパラメータはすべて, Diameter プロトコルとは独立に設定される. セットアップが成功すると, すべての Diameter メッセージは TLS/TCP および DTLS/SCTP または IPsec 接続経由で送信される.

open 状態で TLS/TCP および DTLS/SCTP 接続を確立するには, CER/CEA 交換に TLS/TCP および DTLS/SCTP を値とする Inband-Security-ID AVP を含めなければならない (MUST). CER/CEA 交換の完了後に両端が open 状態に達すると, TLS/TCP および DTLS/SCTP ハンドシェイクが開始される. ハンドシェイクが成功すれば, 以降のメッセージはすべて TLS/TCP および DTLS/SCTP 経由で送信される. ハンドシェイクが失敗した場合, 両端は closed 状態に移行しなければならない (MUST). 詳細は第 13.1 節を参照のこと.