Diameter协议的端到端安全研究

Ｄｉａｍｅｔｅｒ协议的端到端安全研究　郑海能　，叶阿真：　（１．福富软件，福建福州３５００２５；２．福建信息职业技术学院，福建福卅Ｉ　３５００２５）　【摘　要】Ｄｉａｍｅｔｅｒ协议中关于安全性的说明如下，设定Ｄｉａｍｅｔｅｒ基础协议假设消息使用ＩＰｓｅｃ或者ＴＬＳ进行安全保护。该安全机制在没有可　靠的第三方Ｐｒｏｘｙ的环境中是可接受的。在其他情况下，需要端到端安全。Ｄｉａｍｅｔｅｒ客户，例如网络接入服务器和移动性Ｐｒｏｘｖ支持ＩＰ安全，并　且可以支持ＴＬＳ。Ｄｉａｍｅｔｅｒ服务器必须同时支持ＴＬＳ和ＩＰｓｅｃ．Ｄｉａｍｅｔｅｒ实施必须在每条链接上使用某种类型（ＩＰｓｅｃ或ＴＬＳ）的传输层安全。　然而，在实际运营环境中，如运营商生产网络环境中，数以万记的交换机，服务器，由于设备更新，升级并不统一，导致在整个网络体系内，　不能完全实现ＩＰｓｅｃ的ＶＰＮ安全防护策略。而运营商所使用的Ｄｉａｍｅｔｅｒ协议，则需要运行在这样的环境下。本文就在此背景下，探讨如何实现　更高层次的，基于不可信任的端到端Ｄｉａｍｅｔｅｒ安全性。　【关键词】Ｄｉａｍｅｔｅｒ安全性；Ｄｉａｍｅｔｅｒ加密；Ｄｉａｍｅｔｅｒ解密；Ｄｉａｍｅｔｅｒ签名　【中图分类号】ＴＰ３９３　【文献标识码】Ａ　【文章编号】１００６—４２２２（２０１６）０５—０２４４—０２　１　Ｄｉａｍｅｔｅｒ的应用场景　连接和会话：　第三，由于在巨大的网络中，存在时钟不同步，由此导致　新旧密钥生效失效时间差，在密钥交换过程中，Ｄｉａｍｅｔｅｒ无法　连接是两个对等端之间的一个传输层连接，用于发送和　保证业务的平滑过渡　本文从主要从加解密．及数字签名的角度来探讨Ｄｉａｍｅ—　接收Ｄｉａｍｅｔｅｒ消息。会话是一个应用层的逻辑概念，在一个接　入设备和一个服务器之间共享．并且通过会话ＩＤＡＶＰ来标　识　图１给出了Ｄｉａｍｅｔｅｒ连接和会话的区别示意图。　ｔｅｒ的端到端协议安全　对Ｄｉａｍｅｔｅｒ的安全还涉及到端到端连　接的安全性验证　由于Ｄｉａｍｅｔｅｒ协议在建立连接的过程中，交换请求消息　圈．．———＋　因●　——＋圈　　ＣＥＲ规定必须为每一个潜在的ＩＰ地址包含一个Ｈｏｓｔ—ＩＰ—Ａｄ—　ｄｒｅｓｓＡＶＰ　潜在ＩＰ地址可以用于传输Ｄｉａｍｅｔｅｒ消息。这就意　对等端连接Ａ　对等端连接Ｂ　味着该ＡＶＰ可以作为对等端ＩＰ的校验信息，即实际认为端　到端连接的安全已经具备　因此本文主要探讨端到端的数据　加密及防伪造防篡改。　｝Ｈ户会话Ｘ　图１　Ｄｉａｍｅｔｅｒ连接和会话示意图　２　Ｄｉａｍｅｔｅｒ协议安全的局限性　Ｄｉａｍｅｔｅｒ基础协议假设消息使用ＩＰｓｅｃ或者ＴＬＳ进行安　３　Ｄｉａｍｅｔｅｒ协议端到端的数据签名　为了解决第二章节中Ｄｉａｍｅｔｅｒ数据在传输过程中被篡改　的可能．本文提出了客户端进行数据签名．服务端进行数据签　名验证的方法来解决此问题。　全保护　该安全机制在没有可靠的第三方Ｐｒｏｘｙ的环境中是　可接受的　在其他情况下，需要端到端安全。　客户端与服务端采用相同的数字签名算法如ＲＳＡ算法，　并具备连接ＣＡ中心进行获取对等端的公钥信息。Ｄｉａｍｅｔｅｒ协　在实际运营环境中，如运营商生产网络环境中，数以万记　的交换机．服务器．由于设备更新，升级并不统一，导致在整个　议中，对ＣＣＲ／ＣＣＡ、ＡＳＲ／ＡＳＡ消息进行签名，ＣＥＲ／ＣＥＡ、ＤＷＲ／　网络体系内．不能完全实现ＩＰｓｅｃ的ＶＰＮ安全防护策略，由此　ＤＷＡ、ＤＰＲ／ＤＰＡ、ＲＡＲ／ＲＡＡ、不作签名。　也可以推断Ｄｉａｍｅｔｅｒ数据的传输过程中，可能存在数据被篡　Ｄｉａｍｅｔｅｒ消息体中．Ｓｅｒｖｉｃｅ—Ｉｎｆｏｒｍａｔｉｏｎ的消息包为业务　改的问题。　信息．图２体系那消息内容的变化。　其次．端到端的信息加密需要实现双方的需要进行密钥　客户端需要对原始消息体（消息如需加密，则对加密后的　消息体）二进制码流进行整体签名。签名后的消息包由标准　的交互．在现有的Ｄｉａｍｅｔｅｒ协议中，并未有详细的规定，这就　导致了Ｄｉａｍｅｔｅｒ协议的加密流程是不完整的。　ｔｉＬｅｖｅｌＣｏｍｍｅｎｔｌｎｆｏ＞（ｃｍｔ．ＭａｔｃｈＲｕｌｅ））；ｑｕｏｔｅＬｉｓｔ．Ａｄｄ（ｆｉｎｄ）；　ＡｄｄＣｏｍｍｅｎｔ（１ｉｓｔ，ｑｕｏｔｅＬｉｓｔ，ｆｉｎｄ）；　ｎｅｃｔｉｏｎ”１．ＣｏｎｎｅｃｔｉｏｎＳｔｒｉｎｇ）；ＳｑｌＣｏｍｍａｎｄ　ｉｎｓｅｒｔｃｍｄ＝ｎｅｗ　Ｓｑｌ—　Ｃｏｍｍａｎｄ（”ｉｎｓｅｒｔ　ｉｎｔｏ　ｎｅｗｓ（新闻标题，新闻内容，用户）ｖａｌｕｅｓ（＠　４．３管理员功能模块设计　管理员功能模块包括登录．新闻及评论的增删改，用户权　限管理等　登录模块与用户登录模块类似，此处不再叙述。下面　新闻标题，＠新闻内容，＠用户）”，ｅｏｎｎ）；　用户权限管理简单来说就是数据库中用户名的所在群组　增删改操作　分类管理．分到哪一组就是哪类用户，同事也可以进行用户的　主要研究新闻的增删改模块，增删改模块中最重要的就是新闻　增加模块．删除模块就是删除一条数据，而修改模块即调出已　有数据再进行一次添加操作。增加新闻的主要后台代码为：　ＳｑｌＣｏｎｎｅｅｔｉｏｎ　ｃｏｎｎ＝ｎｅｗ　收稿日期：２０１６—２—２　ＳｑｌＣ０ｎｎｅｃｔｉｏｎ（Ｃ０ｎｆｉｇｕｒａｔｉ０ｎＭａｎａｇｅ　：ｏｎｎｅｃｔｉｏｎＳｔｒｉｎｇ　ｌｃｏｎ一　每擗