关于Diameter协议安全性分析(2)
作者:佚名; 更新时间:2014-12-05
同时,还建议在域内部交换时使用TLS安全协议。在使用它时,发起连接的Diameter结点作为TLS客户端,接收连接的则作为TLS服务器。这些结点必须支持建立TLS会话的双向认证,为确保这点,TLS服务器会要求客户端必须提供安全证书。Diameter结点要求必须支持以下TLS加密机制[3]:
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
以及应该支持:TLS_RSA_WITH_AES_128_CBC_SHA。当然,也可以支持其他的TLS加密支持。
(二)使用IPSec协议
Diameter协议中定义了对IPSec协议[4]的使用:独立于Diameter协议的额外的安全保障机制。不同于例如数字证书等很多网络加密和认证技术是在网络协议的高层运行,面向的是具体的应用业务,IPSec协议是出现在TCP/IP协议的核心基础层——IP层上执行加密和认证的协议,它的出现是为了给IPv4和IPv6数据包提供高质量的,客户可操作的,基于密码学的安全性,有较高的通用性。
IPSec协议是一个安全协议体系,其主要组件有:(1)认证头AH(Authentication Header),这个是用来为IP数据包提供认证服务的,可以单独使用,也可以与ESP联合使用;(2)封装安全负载ESP(Encapsulating Security Payload),是插入原IP数据包内的一个协议头,主要用来加密其后的负载,也可以根据要求作认证。它比AH机制多了加密措施,主要采用DES或3DES,所有的Diameter应用都被要求支持ESP;(3)安全关联SA(Security Association),用来决定使用AH还是ESP,加密或认证的算法等等,是核心部分;(4)密钥交换协议IKE,用来实现网上自动的密钥交换的,Diameter协议要求必须支持点对点认证的IKE协议,要求在构造应用的阶段,同时支持它的主模式和过激模式。而采用基于预共享密钥的认证方式时,应采用过激模式,但若采用数字签名技术时,两种都可以采用。
(三)Diameter CMS
Diameter利用TLS协议和IPSec协议来建立在两个节点之间逐跳的完整性和机密性。但是当Diameter端节点通过中间节点如代理、中继进行通信时,端到端的安全性并不能由它们来确保,这时,就由Diameter CMS(cryptographic message syntax密码消息语法)模块[5]在AVP层次提供端到端的鉴别、完整性、机密性以及不可否认性。它主要采用两种技术:数字签名技术以及加密技术,前者主要提供鉴别、完整性和不可否认性保障,后者提供机密性保障。CMS安全为两个Diameter节点之间建立安全关联定义了所需的消息和AVPs。CMS采用对称和非对称的密钥、Hashing、签名以及内容加密等加密机制,算法涉及到Sha-1、RSA、DES、3DES。
参考文献
[1]Rigney C, Rubens A, et nl. Remote Authentication Dial In User Service (Radius). IETF RFC2865, June 2000.
[2]T.Dierks, E.Rescorla.The Transport Layer Security (TLS) Protocol Version 1.1, IETF RFC4346, April 2006.
[3]P.Calhoun, J.Loughney, E.Guttman, G.Zorn, J.Arkko. Diameter Base Protocol.IETF RFC3588, September 2003.
[4]S.Kent, R.Atkinson. Security Architecture for the Internet Protocol IETF RFC2401, November 1998.
[5]Pat R.Calhoun, Stephen Farrell, William Bulley. “Diameter CMS Security Application”, draft-ietf-aaa-diameter-cms-sec-00.txt, June 2001.
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
以及应该支持:TLS_RSA_WITH_AES_128_CBC_SHA。当然,也可以支持其他的TLS加密支持。
(二)使用IPSec协议
Diameter协议中定义了对IPSec协议[4]的使用:独立于Diameter协议的额外的安全保障机制。不同于例如数字证书等很多网络加密和认证技术是在网络协议的高层运行,面向的是具体的应用业务,IPSec协议是出现在TCP/IP协议的核心基础层——IP层上执行加密和认证的协议,它的出现是为了给IPv4和IPv6数据包提供高质量的,客户可操作的,基于密码学的安全性,有较高的通用性。
IPSec协议是一个安全协议体系,其主要组件有:(1)认证头AH(Authentication Header),这个是用来为IP数据包提供认证服务的,可以单独使用,也可以与ESP联合使用;(2)封装安全负载ESP(Encapsulating Security Payload),是插入原IP数据包内的一个协议头,主要用来加密其后的负载,也可以根据要求作认证。它比AH机制多了加密措施,主要采用DES或3DES,所有的Diameter应用都被要求支持ESP;(3)安全关联SA(Security Association),用来决定使用AH还是ESP,加密或认证的算法等等,是核心部分;(4)密钥交换协议IKE,用来实现网上自动的密钥交换的,Diameter协议要求必须支持点对点认证的IKE协议,要求在构造应用的阶段,同时支持它的主模式和过激模式。而采用基于预共享密钥的认证方式时,应采用过激模式,但若采用数字签名技术时,两种都可以采用。
(三)Diameter CMS
Diameter利用TLS协议和IPSec协议来建立在两个节点之间逐跳的完整性和机密性。但是当Diameter端节点通过中间节点如代理、中继进行通信时,端到端的安全性并不能由它们来确保,这时,就由Diameter CMS(cryptographic message syntax密码消息语法)模块[5]在AVP层次提供端到端的鉴别、完整性、机密性以及不可否认性。它主要采用两种技术:数字签名技术以及加密技术,前者主要提供鉴别、完整性和不可否认性保障,后者提供机密性保障。CMS安全为两个Diameter节点之间建立安全关联定义了所需的消息和AVPs。CMS采用对称和非对称的密钥、Hashing、签名以及内容加密等加密机制,算法涉及到Sha-1、RSA、DES、3DES。
参考文献
[1]Rigney C, Rubens A, et nl. Remote Authentication Dial In User Service (Radius). IETF RFC2865, June 2000.
[2]T.Dierks, E.Rescorla.The Transport Layer Security (TLS) Protocol Version 1.1, IETF RFC4346, April 2006.
[3]P.Calhoun, J.Loughney, E.Guttman, G.Zorn, J.Arkko. Diameter Base Protocol.IETF RFC3588, September 2003.
[4]S.Kent, R.Atkinson. Security Architecture for the Internet Protocol IETF RFC2401, November 1998.
[5]Pat R.Calhoun, Stephen Farrell, William Bulley. “Diameter CMS Security Application”, draft-ietf-aaa-diameter-cms-sec-00.txt, June 2001.
上一篇:论栅格图像矢量化方法及其研究进展
下一篇:关于电子商务安全性初探
热门论文