Diameter协议的端到端安全研究

摘要

Diameter协议中关于安全性的说明如下,设定Diameter基础协议假设消息使用IPsec或者TLS进行安全保护。该安全机制在没有可靠的第三方Proxy的环境中是可接受的。在其他情况下,需要端到端安全。Diameter客户,例如网络接入服务器和移动性Proxy支持IP安全,并且可以支持TLS。Diameter服务器必须同时支持TLS和IPsec.Diameter实施必须在每条链接上使用某种类型(IPsec或TLS)的传输层安全。然而,在实际运营环境中,如运营商生产网络环境中,数以万记的交换机,服务器,由于设备更新,升级并不统一,导致在整个网络体系内,不能完全实现IPsec的VPN安全防护策略。而运营商所使用的Diameter协议,则需要运行在这样的环境下。本文就在此背景下,探讨如何实现更高层次的,基于不可信任的端到端Diameter安全性。