13. 安全考虑事项

13. 安全考虑事项 (Security Considerations)

Diameter 基础协议消息应当使用 TLS [RFC5246] 或 DTLS/SCTP [RFC6083] 进行保护.还可以部署 IPsec [RFC4301] 等额外安全机制来保护对等体之间的连接.但是, 所有 Diameter 基础协议实现必须支持 TLS/TCP 与 DTLS/SCTP, 并且禁止在未使用 TLS、DTLS 或 IPsec 之一的情况下使用 Diameter 协议.

若要通过 TLS/TCP 与 DTLS/SCTP 或 IPsec 保护 Diameter 连接, 则 TLS/TCP 与 DTLS/SCTP 或 IPsec/IKE 应当在任何 Diameter 消息交换之前启动.TLS/TCP 与 DTLS/SCTP 或 IPsec 的所有安全参数均独立于 Diameter 协议配置.成功建立连接后, 所有 Diameter 消息将通过 TLS/TCP 与 DTLS/SCTP 或 IPsec 连接发送.

要在 open 状态下建立 TLS/TCP 与 DTLS/SCTP 连接, CER/CEA 交换必须包含取值为 TLS/TCP 与 DTLS/SCTP 的 Inband-Security-ID AVP.当两端在 CER/CEA 交换完成后均成功进入 open 状态时, 将开始 TLS/TCP 与 DTLS/SCTP 握手.若握手成功, 后续所有消息均通过 TLS/TCP 与 DTLS/SCTP 发送.若握手失败, 两端必须转入 closed 状态.更多细节见第 13.1 节.

13. 安全考虑事项 (Security Considerations)​

13. 安全考虑事项 (Security Considerations)