Tech-invite3GPPspaceIETFspace
21222324252627282931323334353637384‑5x
Top   in Index   Prev   Next

TR 33.828
IMS Media Plane Security

3GPP‑Page   fToC   Partial Content
V11.1.0 (Wzip)  2012/09  81 p.
V10.0.0  2012/06  81 p.
V9.1.0  2010/06  81 p.
Rapporteur:
Mr. Howard, Peter
VODAFONE Group Plc

full Table of Contents for  TR 33.828  Word version:  11.1.0

each clause number in 'red' refers to the equivalent title in the Partial Content
Here   Top
1Scope  p. 7
2 References  p. 7
3Definitions, symbols and abbreviations  p. 8
3.1Definitions  p. 8
3.2 Symbols  p. 8
3.3 Abbreviations  p. 8
4Use cases  p. 8
4.1Usage models  p. 8
4.1.1General  p. 8
4.1.2Access media protection  p. 9
4.1.3End-to-end protection  p. 9
4.1.4Enhanced end-to-end protection  p. 10
4.2Multimedia telephony  p. 10
4.2.1General  p. 10
4.2.2Peer-to-peer  p. 10
4.2.3Non RTP based media  p. 11
4.2.4Deferred delivery  p. 11
4.2.5Group and conference calls  p. 11
4.2.6Conclusions  p. 12
4.3Push-to-talk (PoC)  p. 12
4.4Instant messaging  p. 12
4.5Chat  p. 12
4.6Media on demand  p. 12
4.7Transcoders  p. 12
4.8PSTN-GW  p. 13
4.9Termination of media security in an AS  p. 13
5Requirements  p. 14
5.1Overview  p. 14
5.2Summary of requirements  p. 14
5.3Lawful interception  p. 14
5.4Security  p. 14
5.5Requirements related to SIP based call features/SIP related problems  p. 15
5.5.1Early media/media clipping  p. 15
5.5.2Secure multiparty communications  p. 15
5.6Architectural  p. 15
5.7Scalability, cost and performance  p. 16
5.8Requirements regarding the access network type  p. 16
5.9Backward compatibility and migration  p. 16
5.10Other requirements  p. 16
6General aspects of solutions  p. 17
6.1Introduction  p. 17
6.2Architectural aspects of end-to-middle protection  p. 17
6.2.1Preferred endpoints for end-to-middle protection  p. 17
6.2.2Interfaces for end-to-middle protection  p. 18
6.3Co-existence of end-to-end and end-to-middle solutions  p. 19
6.3.1Introduction  p. 19
6.3.2Registration procedures  p. 19
6.3.3Originating procedures  p. 20
6.3.3.1End-to-access-edge  p. 20
6.3.3.2End-to-end  p. 21
6.3.4Terminating Procedures  p. 22
6.3.4.1End-to-access-edge  p. 22
6.3.4.2End-to-end  p. 23
7Candidate solutions  p. 24
7.1Ticket-Based System (TBS)  p. 24
7.1.1Introduction  p. 24
7.1.2Analysis  p. 25
7.1.3Solution description  p. 26
7.1.4System details  p. 27
7.1.4.1Ticket information and format  p. 27
7.1.4.2Binding between user and ticket recipient identities  p. 28
7.1.4.3Interoperability between users in different KMS domains  p. 29
7.1.4.4Session and forking keys  p. 30
7.1.4.4.1General aspects  p. 30
7.1.4.4.2Session keys  p. 30
7.1.4.4.3Forking keys  p. 30
7.1.4.4.4Combined session and forking key generation  p. 31
7.1.4.4.5Terminating side identity assurance.  p. 32
7.1.4.5Unprotected tickets  p. 32
7.1.4.6Ticket replay protection  p. 32
7.1.4.7Limiting KMS statefulness  p. 33
7.1.4.8Lawful intercept  p. 33
7.1.4.9Access to KMS services when roaming  p. 34
7.1.4.10End-to-middle scenarios  p. 34
7.1.5Evaluation of solution against requirements.  p. 35
7.1.5.1Compliance of TBS with 3GPP Requirements  p. 35
7.1.5.1.1 LI requirements  p. 35
7.1.5.1.2Security requirements  p. 35
7.1.5.1.3Requirements related to SIP based call features  p. 35
7.1.5.1.4Architectural requirements  p. 35
7.1.5.1.5Scalability, cost and performance  p. 36
7.1.5.1.6Requirements regarding the access network type  p. 36
7.1.5.1.7Backward compatibility and migration  p. 36
7.1.5.1.8Other requirements  p. 36
7.1.5.2Compliance of Ticket Based System with IETF requirements  p. 37
7.1.5.2.1Security requirements  p. 37
7.1.5.2.2Forking/retargeting  p. 37
7.1.5.2.3Early media  p. 38
7.1.5.3Summary requirement compliance  p. 38
7.2Using IMS AKA keys for media protection over the access network  p. 38
7.2.1Requirements  p. 38
7.2.2Architecture  p. 39
7.2.3Access security set-up  p. 39
7.2.4Access security set-up with key mixing  p. 41
7.3Security Descriptions (SDES)  p. 41
7.3.1Brief description of SDES  p. 41
7.3.2Compliance of SDES with 3GPP requirements  p. 42
7.3.2.1LI requirements  p. 42
7.3.2.2Security requirements  p. 42
7.3.2.3Requirements related to SIP based call features  p. 43
7.3.2.4Architectural requirements  p. 43
7.3.2.5Scalability, cost and performance  p. 44
7.3.2.6Requirements regarding the access network type  p. 44
7.3.2.7Backward compatibility and migration  p. 44
7.3.2.8Other requirements  p. 44
7.3.3Compliance of SDES with IETF requirements  p. 44
7.3.3.1Security requirements  p. 44
7.3.3.2Forking/retargeting  p. 45
7.3.3.3Early media  p. 47
7.3.4Summary requirement compliance  p. 47
7.3.5SDES in end-to-middle scenarios  p. 47
7.3.6Possible enhancements to an SDES based solution  p. 50
7.3.6.1The SDES crypto object  p. 50
7.3.6.2Advanced support for forking/retargeting  p. 51
7.3.6.3Support for encrypted early media  p. 51
7.3.6.4Multicast support  p. 51
7.3.6.5How to indicate new SDES key exchange semantics  p. 51
7.4Otway-Rees based key management protocol  p. 52
7.4.1Definitions  p. 52
7.4.2Solution description  p. 52
7.4.3Analysis  p. 54
7.4.3.1Peer-to-peer  p. 54
7.4.3.2Forking  p. 54
7.4.3.3Deferred delivery  p. 57
7.4.3.4Transcoders  p. 60
7.4.3.5Group and conference calls  p. 60
7.4.3.6End-to-middle  p. 62
7.4.4Lawful intercept  p. 64
7.5DTLS-SRTP  p. 65
7.5.1Brief Description of DTLS-SRTP  p. 65
7.5.2Usage of the media path  p. 65
7.5.3Lawful interception  p. 65
7.5.3.1Lawful MitM attack  p. 66
7.5.3.2Protocol-based hidden key recovery  p. 66
7.5.3.3Key disclosure  p. 66
7.5.4Support of multiparty communication  p. 67
7.6MIKEY-IBAKE Solution  p. 67
7.6.1Introduction  p. 67
7.6.2Solution description  p. 68
7.6.2.1General  p. 68
7.6.2.2Discussion  p. 70
7.6.2.3Key forking  p. 71
7.6.2.4Redirection  p. 72
7.6.2.5Deferred delivery  p. 73
7.6.2.6Group and conference calls  p. 74
7.6.2.6.1General  p. 74
7.6.2.6.2Adding and deleting users  p. 75
7.6.3Compliance of MIKEY-IBAKE with requirements  p. 76
7.6.3.1General  p. 76
7.6.3.2Compliance of IBAKE with 3GPP requirements  p. 76
7.6.3.2.1General  p. 76
7.6.3.2.2Lawful intercept  p. 76
7.6.3.2.3Security requirements  p. 76
7.6.3.2.4Requirements related to SIP based call features  p. 77
7.6.3.2.5Architectural requirements  p. 77
7.6.3.2.6Scalability, cost and performance  p. 77
7.6.3.2.7Requirements regarding the access network type  p. 77
7.6.3.2.8Backward compatibility and migration  p. 77
7.6.3.2.9Other requirements  p. 77
7.6.3.3Compliance of IBAKE with IETF requirements  p. 77
7.6.3.3.1General  p. 77
7.6.3.3.2Security requirements  p. 78
7.6.3.3.3Forking/retargeting  p. 78
7.6.3.3.4Early media  p. 79
8Conclusions  p. 79
AIdentity Based Encryption  p. 80
$Change history  p. 81

Up   Top