Diameter协议的端到端安全研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
接 收 Diameter消 息 。会 话 是 一 个应 用层 的逻 辑 概 念 ,在 一 个接
本 文 从 主要 从 加 解 密 .及 数 字 签 名 的 角度 来探 讨 Diame—
入 设 备 和 一 个 服 务 器之 间 共 享 . 并 且 通 过 会 话 IDAVP来 标 ter的 端 到 端 协 议 安 全 对 Diameter的 安 全 还 涉 及 到 端 到 端 连
然 而 ,在 实 际 运 营环 境 中 ,如 运 营商 生 产 网络 环境 中 ,数 以 万记 的 交 换 机 ,服 务 器 ,由于 设 备 更 新 ,升 级 并 不 统 一 ,导 致 在 整 个 网络 体 系 内 ,
不 能完 全 实 现 IPsec的 VPN 安 全 防 护 策 略 。而 运 营 商所 使 用 的 Diameter协 议 ,则 需 要 运 行在 这样 的环 境 下 。本文 就 在 此 背 景 下 ,探讨 如 何 实 现
也 可 以推 断 Diameter数 据 的 传 输过 程 中 ,可 能存 在 数 据 被 篡
Diameter消 息 体 中 .Service—Information 的 消 息 包 为 业 务
改 的 问 题 。 其 次 .端 到 端 的 信 息 加 密 需要 实现 双 方 的 需要 进 行 密钥
Diameter协 议 的 端 到 端 安 全 研 究
郑海能 ,叶阿真 :
(1.福 富 软 件 ,福 建 福 州 350025;2.福 建 信 息 职 业技 术学 院 ,福 建 福 卅I 350025)
【摘 要 】Diameter协议中关于安全性 的说 明如下 ,设定 Diameter基础协议假设消息使用 IPsec或者 TLS进行安 全保护。该安全机制在没有可
更高层次 的,基于不可信任 的端到端 Diameter安全性。
【关键词 】Diameter安全性 ;Diameter加密 ;Diameter解密 ;Diameter签名
ቤተ መጻሕፍቲ ባይዱ
【中图分类号 】TP393
【文献标识码 】A
【文章编号 】1006—4222(2016)05—0244—02
1 Diameter的应 用 场 景
的 交互 .在 现 有 的 Diameter协 议 中 ,并 未 有 详 细 的规 定 ,这 就
信 息 .图 2体 系 那 消 息 内 容 的 变 化 。 客 户端 需 要 对 原 始 消 息 体 (消 息如 需 加 密 ,则 对加 密后 的
消 息体 )二 进 制 码 流 进 行 整 体 签 名 。签 名 后 的 消 息 包 由标 准
Diameter基 础 协 议 假 设 消 息 使 用 IPsec或 者 TLS进 行 安 的 可 能 .本 文提 出 了客 户 端进 行 数 据 签 名 .服 务 端 进 行 数 据 签
全 保 护 该 安 全 机 制 在 没 有 可 靠 的 第 三 方 Proxy的 环境 中是 名 验证 的 方 法来 解 决 此 问题 。
到 端 连 接 的 安 全 已经 具备 因 此本 文 主要 探 讨 端 到端 的数 据
}H户会 话 X
加 密及 防伪 造 防 篡 改 。
图 1 Diameter连接和会话示意图
2 Diameter协 议 安 全 的 局 限 性
3 Diameter协议端到端 的数据签 名
为 了解 决 第 二章 节 中 Diameter数 据 在 传 输过 程 中被 篡 改
的 交换 机 .服 务 器 .由 于设 备 更 新 ,升 级 并 不 统 一 ,导 致 在 整 个 议 中 ,对 CCR/CCA、ASR/ASA 消 息 进 行 签 名 ,CER/CEA、DW R/
网络 体 系 内 .不 能 完全 实现 IPsec的 VPN 安 全 防 护 策 略 ,由此 DWA 、DPR/DPA、RAR/RAA、不 作 签 名 。
靠 的第 三 方 Proxy的 环 境 中 是 可 接 受 的。在 其 他 情 况 下 ,需 要 端 到 端安 全 。Diameter客户 ,例 如 网络 接 入 服 务器 和 移 动 性 Proxv支持 IP安 全 ,并
且 可 以支 持 TLS。Diameter服 务 器 必须 同时 支 持 TLS和 IPsec.Diameter实施 必 须 在 每 条 链 接 上 使用 某 种 类 型 (IPsec或 TLS)的传 输 层 安 全 。
第 三 ,由于 在 巨大 的 网 络 中 ,存 在 时钟 不 同步 ,由此 导 致
连 接 和 会 话 :
新 旧 密钥 生 效 失 效 时 间差 ,在 密钥 交换 过程 中 ,Diameter无 法
连 接 是 两个 对 等 端 之 间 的 一 个 传 输 层 连接 ,用 于发 送 和 保 证 业 务 的 平 滑 过 渡
可 接 受 的 在 其 他 情 况 下 ,需要 端 到 端 安全 。
客 户端 与服 务 端 采 用 相 同 的 数 字 签 名 算 法如 RSA算 法 ,
在 实 际运 营环 境 中 ,如 运 营 商 生 产 网络 环境 中,数 以万 记 并 具 备 连接 CA 中心 进 行 获取 对 等 端 的 公 钥 信 息 。Diameter协
导 致 了 Diameter协 议 的加 密流 程 是 不 完 整 的 。
识 图 1给 出 了 Diameter连 接 和 会 话 的 区 别 示 意 图 。
圈 因 圈
..———+
● ——+
对 等端 连接 A 对等 端连 接 B
接 的安 全 性 验 证 由 于 Diameter协 议 在 建 立 连 接 的 过 程 中 ,交 换 请 求 消息
CER 规 定 必 须 为 每 一 个 潜 在 的 IP地 址 包含 一 个 Host—IP—Ad— dressAVP 潜 在 IP地 址 可 以 用 于传 输 Diameter消 息 。这就 意 味 着该 AVP可 以作 为 对 等 端 IP的校 验 信 息 ,即 实 际认 为 端