[要約] RFC 8842は、Datagram Transport Layer Security(DTLS)およびTransport Layer Security(TLS)のためのSession Description Protocol(SDP)Offer/Answerに関するガイドラインです。このRFCの目的は、SDPを使用してDTLSおよびTLSを提案および応答する際の考慮事項を定義することです。
Internet Engineering Task Force (IETF) C. Holmberg
Request for Comments: 8842 Ericsson
Updates: 5763, 7345 R. Shpount
Category: Standards Track TurboBridge
ISSN: 2070-1721 January 2021
Session Description Protocol (SDP) Offer/Answer Considerations for Datagram Transport Layer Security (DTLS) and Transport Layer Security (TLS)
セッション説明プロトコル(SDP)データグラムトランスポート層セキュリティ(DTLS)およびトランスポートレイヤセキュリティに関する考慮事項(TLS)
Abstract
概要
This document defines the Session Description Protocol (SDP) offer/ answer procedures for negotiating and establishing a Datagram Transport Layer Security (DTLS) association. The document also defines the criteria for when a new DTLS association must be established. The document updates RFCs 5763 and 7345 by replacing common SDP offer/answer procedures with a reference to this specification.
このドキュメントは、データグラムトランスポートレイヤセキュリティ(DTLS)アソシエーションの交渉と確立のためのセッション記述プロトコル(SDP)オファー/アンサープロシージャを定義しています。この文書はまた、新しいDTLSアソシエーションが確立されなければならないときの基準を定義します。この仕様への参照で、一般的なSDPオファー/アンサープロシージャを置き換えることで、ドキュメントはRFCS 5763および7345を更新します。
This document defines a new SDP media-level attribute, "tls-id".
このドキュメントでは、新しいSDPメディアレベルの属性「TLS-ID」を定義します。
This document also defines how the "tls-id" attribute can be used for negotiating and establishing a Transport Layer Security (TLS) connection, in conjunction with the procedures in RFCs 4145 and 8122.
このドキュメントでは、RFC 4145および8122の手順と連動して、「tls-id」属性をトランスポートレイヤセキュリティ(TLS)接続のネゴシエーションと確立にどのように使用できるかを定義します。
Status of This Memo
本文書の状態
This is an Internet Standards Track document.
これはインターネット規格のトラック文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 7841.
この文書は、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表します。それは公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による出版の承認を受けました。インターネット規格に関する詳細情報は、RFC 7841のセクション2で利用できます。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc8842.
この文書の現在のステータス、エラータ、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc8842で入手できます。
Copyright Notice
著作権表示
Copyright (c) 2021 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2021 IETF信頼と文書著者として識別された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書は、この文書の公開日に有効なIETF文書(https://truste.ietf.org/License-info)に関するBCP 78とIETF信頼の法的規定を受けています。この文書に関してあなたの権利と制限を説明するので、これらの文書を慎重に見直してください。この文書から抽出されたコードコンポーネントには、信頼法の法的規定のセクション4。
Table of Contents
目次
1. Introduction
2. Conventions
3. Establishing a New DTLS Association
3.1. General
3.2. Change of Local Transport Parameters
3.3. Change of ICE ufrag Value
4. SDP "tls-id" Attribute
5. SDP Offer/Answer Procedures
5.1. General
5.2. Generating the Initial SDP Offer
5.3. Generating the Answer
5.4. Offerer Processing of the SDP Answer
5.5. Modifying the Session
6. ICE Considerations
7. TLS Considerations
8. SIP Considerations
9. RFC Updates
9.1. General
9.2. Update to RFC 5763
9.2.1. Update to Section 1
9.2.2. Update to Section 5
9.2.3. Update to Section 6.6
9.2.4. Update to Section 6.7.1
9.3. Update to RFC 7345
9.3.1. Update to Section 4
9.3.2. Update to Section 5.2.1
9.3.3. Update to Section 9.1
10. Security Considerations
11. IANA Considerations
12. References
12.1. Normative References
12.2. Informative References
Acknowledgements
Authors' Addresses
[RFC5763] defines Session Description Protocol (SDP) offer/answer
procedures for Secure Real-time Transport Protocol using Datagram
Transport Layer Security (DTLS-SRTP). [RFC7345] defines SDP offer/
answer procedures for UDP Transport Layer over Datagram Transport
Layer Security (UDPTL-DTLS). This specification defines general
offer/answer procedures for DTLS, based on the procedures in
[RFC5763]. Other specifications, defining specific DTLS usages, can
then reference this specification, in order to ensure that the DTLS
aspects are common among all usages. Having common procedures is
essential when multiple usages share the same DTLS association
[RFC8843]. This document updates [RFC5763] and [RFC7345] by
replacing common SDP offer/answer procedures with a reference to this
specification.
| NOTE: Since the publication of [RFC5763], [RFC4474] has been
| obsoleted by [RFC8224]. The updating of the references (and
| the associated procedures) within [RFC5763] is outside the
| scope of this document. However, implementers of [RFC5763]
| applications are encouraged to implement [RFC8224] instead of
| [RFC4474].
As defined in [RFC5763], a new DTLS association MUST be established when transport parameters are changed. Transport parameter change is not well defined when Interactive Connectivity Establishment (ICE) [RFC8445] is used. One possible way to determine a transport change is based on ufrag [RFC8445] change, but the ufrag value is changed both when ICE is negotiated and when ICE restart [RFC8445] occurs. These events do not always require a new DTLS association to be established, but previously there was no way to explicitly indicate in an SDP offer or answer whether a new DTLS association was required. To solve that problem, this document defines a new SDP attribute, "tls-id". The pair of SDP "tls-id" attribute values (the attribute values of the offerer and the answerer) uniquely identifies the DTLS association. Providing a new value of the "tls-id" attribute in an SDP offer or answer can be used to indicate whether a new DTLS association is to be established.
[RFC5763]で定義されているように、トランスポートパラメータが変更されたときに新しいDTLSアソシエーションを確立する必要があります。トランスポートパラメータの変更は、インタラクティブ接続確立(ICE)[RFC8445]が使用されている場合は、明確に定義されていません。トランスポート変更を決定するための1つの方法は、uFRAG [RFC8445]の変更に基づいていますが、ICEがネゴシエートされたとき、およびICE RESTART [RFC8445]が発生したときにUFRAG値が変更されます。これらのイベントは、必ずしも新しいDTLS協会を確立する必要はありませんが、以前はSDPオファーで明示的に指定する方法はありませんでした。その問題を解決するために、このドキュメントは新しいSDP属性「TLS-ID」を定義します。一対のSDP「TLS - ID」属性値(オファーと回答者の属性値)は、DTLSアソシエーションを一意に識別します。SDPオファーまたは答えの「TLS-ID」属性の新しい値を提供することは、新しいDTLSアソシエーションが確立されるべきかどうかを示すために使用されます。
The SDP "tls-id" attribute can be specified when negotiating a Transport Layer Security (TLS) connection, using the procedures in this document in conjunction with the procedures in [RFC5763] and [RFC8122]. The unique combination of SDP "tls-id" attribute values can be used to identify the negotiated TLS connection. The unique value can be used, for example, within TLS protocol extensions to differentiate between multiple TLS connections and correlate those connections with specific offer/answer exchanges. The TLS-specific considerations are described in Section 7.
SDPの "tls-id"属性は、[RFC5763]と[RFC8122]の手順と組み合わせて、この文書の手順を使用して、トランスポート層セキュリティ(TLS)接続をネゴシエーションするときに指定できます。SDPの「TLS-ID」属性値の固有の組み合わせを使用して、ネゴシエートされたTLS接続を識別できます。一意の値は、たとえば、TLSプロトコル拡張内で、複数のTLS接続を区別し、それらの接続を特定のオファー/回答交換と相関させるために使用できます。TLS特有の考慮事項はセクション7で説明されています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.
「必須」、「必須」、「必須」、「SHALL」、「必ず」、「推奨する」、「推奨する」、「推奨する」、「推奨する」、「推奨する」、「5月」「この文書では、BCP 14 [RFC2119] [RFC8174]に記載されている場合に解釈されるべきであり、ここに示すように、すべての首都に表示されます。
A new DTLS association must be established between two endpoints after a successful SDP offer/answer exchange in the following cases:
次の場合には、SDPオファー/回答Exchangeが成功した後、2つのエンドポイントの間に新しいDTLSアソシエーションを確立する必要があります。
* The negotiated DTLS setup roles change; or
* 交渉されたDTLSセットアップの役割が変更されます。または
* One or more fingerprint values are modified, added, or removed in either an SDP offer or answer; or
* SDPオファーまたは回答のいずれかで、1つ以上のフィンガープリント値が変更、追加、または削除されます。または
* The intent to establish a new DTLS association is explicitly signaled using SDP, by changing the value of the SDP "tls-id" attribute defined in this document;
* このドキュメントで定義されているSDP "tls-id"属性の値を変更することで、新しいDTLSアソシエーションを確立するという意図がSDPを使用して明示的にシグナリングされます。
| NOTE: The first two items above are based on the procedures in
| [RFC5763]. This specification adds the support for explicit
| signaling using the SDP "tls-id" attribute.
A new DTLS association can only be established as a result of the successful SDP offer/answer exchange. Whenever an entity determines that a new DTLS association is required, the entity MUST initiate an SDP offer/answer exchange, following the procedures in Section 5.
新しいDTLSアソシエーションは、SDPオファー/回答Exchangeに成功した結果としてのみ確立できます。エンティティが新しいDTLSアソシエーションが必要であると判断したときはいつでも、セクション5の手順に従って、エンティティはSDPオファー/アンサー交換を開始する必要があります。
The sections below describe typical cases where a new DTLS association needs to be established.
以下のセクションでは、新しいDTLSアソシエーションを確立する必要がある標準的なケースについて説明します。
In this document, a "new DTLS association" between two endpoints refers to either an initial DTLS association (when no DTLS association is currently established between the endpoints) or a DTLS association replacing a previously established one.
この文書では、2つのエンドポイント間の「新しいDTLSアソシエーション」とは、(エンドポイント間でDTLSアソシエーションが現在確立されていない場合)、または以前に確立されたものを置き換えるDTLSアソシエーションのいずれかを指す。
If an endpoint modifies its local transport parameters (address and/ or port), and if the modification requires a new DTLS association, the endpoint MUST change its local SDP "tls-id" attribute value (see Section 4).
エンドポイントがそのローカルトランスポートパラメータ(アドレスおよび/またはポート)を変更し、変更に新しいDTLSアソシエーションが必要な場合、エンドポイントはそのローカルSDP "TLS-ID"属性値を変更する必要があります(セクション4を参照)。
If the underlying transport protocol prohibits a DTLS association from spanning multiple 5-tuples (transport/source address/source port/destination address/destination port), and if the 5-tuple is changed, the endpoint MUST change its local SDP "tls-id" attribute value (see Section 4). An example of such a case is when DTLS is carried over the Stream Control Transmission Protocol (SCTP), as described in [RFC6083].
基礎となるトランスポートプロトコルが、DTLSアソシエーションが複数の5タプル(トランスポート/送信元アドレス/送信元ポート/宛先アドレス/宛先ポート)をスパンすることを禁止し、5タプルが変更された場合、エンドポイントはそのローカルSDP "TLSを変更する必要があります。ID "属性値(セクション4を参照)。そのような場合の例は、[RFC6083]に記載されているように、DTLSがストリーム制御伝送プロトコル(SCTP)を介して運ばれるときである。
If an endpoint uses ICE and modifies a local ufrag value, and if the modification requires a new DTLS association, the endpoint MUST change its local SDP "tls-id" attribute value (see Section 4).
エンドポイントがICEを使用してローカルのUFRAG値を変更し、変更に新しいDTLSアソシエーションが必要な場合、エンドポイントはそのローカルSDP "TLS-ID"属性値を変更する必要があります(セクション4を参照)。
The pair of SDP "tls-id" attribute values (the attribute values of the offerer and the answerer) uniquely identifies the DTLS association or TLS connection.
一対のSDP "TLS-ID"属性値(オファーと回答者の属性値)は、DTLSアソシエーションまたはTLS接続を一意に識別します。
Name: tls-id
名前:TLS-ID
Value: tls-id-value
値:TLS-ID-VALUE
Usage Level: media
使用レベル:メディア
Charset Dependent: no
文字セットに依存する:いいえ
Default Value: N/A
デフォルト値:N / A.
Syntax:
tls-id-value = 20*255(tls-id-char)
tls-id-char = ALPHA / DIGIT / "+" / "/" / "-" / "_"
<ALPHA and DIGIT defined in RFC 4566>
RFC 4566で定義されている<alphaと桁>
Example: a=tls-id:abc3de65cddef001be82
例:A = TLS-ID:ABC3DE65CDDEF001BE82
Every time an endpoint requests to establish a new DTLS association, the endpoint MUST generate a new local "tls-id" attribute value. An unchanged local "tls-id" attribute value, in combination with non-changed fingerprints, indicates that the endpoint intends to reuse the existing DTLS association.
エンドポイントが新しいDTLSアソシエーションを確立することを要求するたびに、エンドポイントは新しいローカル "TLS-ID"属性値を生成する必要があります。変更されていないフィンガープリントと組み合わせた変更されていないローカル「TLS-ID」属性値は、エンドポイントが既存のDTLSアソシエーションを再利用することを意図していることを示しています。
The "tls-id" attribute value MUST be generated using a strong random function and include at least 120 bits of randomness.
「TLS - ID」属性値は、強いランダム関数を使用して生成されなければならず、少なくとも120ビットのランダム性を含む。
No default value is defined for the SDP "tls-id" attribute. Implementations that wish to use the attribute MUST explicitly include it in SDP offers and answers. If an offer or answer does not contain a "tls-id" attribute (this could happen if the offerer or answerer represents an existing implementation that has not been updated to support the "tls-id" attribute), a modification of one or more of the following characteristics MUST be treated as an indication that an endpoint wants to establish a new DTLS association, unless there is another mechanism to explicitly indicate that a new DTLS association is to be established:
SDPの "tls-id"属性に対してデフォルト値は定義されていません。属性を使用したい実装は、SDPのオファーと回答に明示的にそれを含める必要があります。オファーや回答に "TLS-ID"属性が含まれていない場合(オファーまたは回答者が "TLS-ID"属性をサポートするように更新されていない既存の実装を表す場合、これは発生する可能性があります)、1つ以上の変更次の特徴のうち、新しいDTLS関連付けが確立されるべきであることを明示的に示すための別のメカニズムがない限り、エンドポイントが新しいDTLSアソシエーションを確立したいという指示として扱われなければならない。
* DTLS setup role; or
* DTLSセットアップロール。または
* fingerprint set; or
* 指紋セット。または
* local transport parameters
* ローカルトランスポートパラメータ
| NOTE: A modification of the ufrag value is not treated as an
| indication that an endpoint wants to establish a new DTLS
| association. In order to indicate that a new DTLS association
| is to be established, one or more of the characteristics listed
| above have to be modified.
The mux category [RFC8859] for the "tls-id" attribute is "IDENTICAL", which means that the attribute value applies to all media descriptions being multiplexed [RFC8843]. However, as described in [RFC8843], in order to avoid duplication, the attribute is only associated with the "m=" line representing the offerer/answerer BUNDLE tag.
"tls-id"属性のためのMUXカテゴリ[RFC8859]は "ilector"です。つまり、属性値は多重化されているすべてのメディアの説明に適用されます[RFC8843]。ただし、[RFC8843]で説明されているように、重複を回避するために、属性はオファー/回答者バンドルタグを表す「M =」行にのみ関連付けられています。
For RTP-based media, the "tls-id" attribute applies to the whole associated media description. The attribute MUST NOT be defined per source (using the SDP "ssrc" attribute [RFC5576]).
RTPベースのメディアの場合、 "tls-id"属性は関連するメディアの説明全体に適用されます。属性はソースごとに定義してはいけません(SDP "SSRC"属性[RFC5576])。
The SDP offer/answer procedures [RFC3264] associated with the attribute are defined in Section 5.
属性に関連付けられているSDPオファー/アンサープロシージャ[RFC3264]はセクション5で定義されています。
This section defines the generic SDP offer/answer procedures for negotiating a DTLS association. Additional procedures (e.g., regarding usage of specific SDP attributes) for individual DTLS usages (e.g., DTLS-SRTP) are outside the scope of this specification and need to be specified in a usage-specific document.
このセクションでは、DTLSアソシエーションをネゴシエーションするための一般的なSDPオファー/アンサープロシージャを定義します。個々のDTLSの使用法(例えば、DTLS - SRTP)についての追加の手順(例えば、特定のSDP属性の使用に関する)は、この仕様の範囲外であり、使用法固有の文書で指定される必要がある。
| NOTE: The procedures in this section are generalizations of
| procedures first specified in the DTLS-SRTP document [RFC5763],
| with the addition of usage of the SDP "tls-id" attribute. That
| document is herein updated to make use of these new procedures.
The procedures in this section apply to an SDP media description ("m=" line) associated with DTLS-protected media/data.
このセクションの手順は、DTLS保護されたメディア/データに関連付けられているSDPメディアの説明( "m =" line)に適用されます。
When an offerer or answerer indicates that it wants to establish a new DTLS association, it needs to make sure that media packets associated with any previously established DTLS association and the new DTLS association can be demultiplexed. In the case of an ordered transport (e.g., SCTP), this can be done simply by sending packets for the new DTLS association after all packets associated with a previously established DTLS association have been sent. In the case of an unordered transport, such as UDP, packets associated with a previously established DTLS association can arrive after the answer SDP and the first packets associated with the new DTLS association have been received. The only way to demultiplex packets associated with a previously established DTLS association and the new DTLS association is on the basis of the 5-tuple. Because of this, if an unordered transport is used for the DTLS association, a new 3-tuple (transport/source address/source port) MUST be allocated by at least one of the endpoints so that DTLS packets can be demultiplexed.
オファーまたは回答者が新しいDTLSアソシエーションを確立したいことを示している場合は、以前に確立されたDTLSアソシエーションに関連付けられているメディアパケットと新しいDTLSアソシエーションを逆多重化できるようにする必要があります。順序付けられたトランスポート(例えば、SCTP)の場合、これは、以前に確立されたDTLSアソシエーションに関連するすべてのパケットが送信された後に、新しいDTLSアソシエーションのためにパケットを送信することによって行うことができる。 UDPなどの順序付けられていないトランスポートの場合、以前に確立されたDTLS関連付けられているパケットは、回答SDPの後に到着し、新しいDTLSアソシエーションに関連する最初のパケットが受信された。以前に確立されたDTLSアソシエーションに関連するパケットと新しいDTLSアソシエーションに関連するパケットを復元する唯一の方法は、5タプルに基づいています。このため、DTLSアソシエーションに順不同のトランスポートが使用されている場合、DTLSパケットを逆多重化できるように、新しい3タプル(トランスポート/ソースアドレス/ソースポート)を少なくとも1つのエンドポイントによって割り当てる必要があります。
When an offerer needs to establish a new DTLS association, and if an unordered transport (e.g., UDP) is used, the offerer MUST allocate a new 3-tuple for the offer in such a way that the offerer can disambiguate any packets associated with the new DTLS association from any packets associated with any other DTLS association. This typically means using a local address and/or port, or a set of ICE candidates (see Section 6), which were not recently used for any other DTLS association.
オファーが新しいDTLSアソシエーションを確立する必要がある場合、および順序付けられていないトランスポート(UDP)が使用されている場合、オファーはオファーが関連するパケットを曖昧にできるようにオファーのための新しい3タプルを割り当てる必要があります。他のDTLSアソシエーションに関連付けられているパケットからの新しいDTLSアソシエーション。これは通常、ローカルアドレスおよび/またはポート、または一連のICE候補(セクション6を参照)を使用しています。これは、他のDTLSアソシエーションに最近使用されていませんでした。
When an answerer needs to establish a new DTLS association, if an unordered transport is used, and the offerer did not allocate a new 3-tuple, the answerer MUST allocate a new 3-tuple for the answer in such a way that it can disambiguate any packets associated with the new DTLS association from any packets associated with any other DTLS association. This typically means using a local address and/or port, or a set of ICE candidates (see Section 6), which were not recently used for any other DTLS association.
回答者が新しいDTLS協会を確立する必要があるとき、順不同のトランスポートが使用され、オファーが新しい3タプルを割り当てなかった場合、回答者は答えのために新しい3タプルを割り当てなければなりません。他のDTLSアソシエーションに関連付けられている任意のパケットからの新しいDTLSアソシエーションに関連付けられているパケット。これは通常、ローカルアドレスおよび/またはポート、または一連のICE候補(セクション6を参照)を使用しています。これは、他のDTLSアソシエーションに最近使用されていませんでした。
In order to negotiate a DTLS association, the following SDP attributes are used:
DTLSアソシエーションをネゴシエートするために、次のSDP属性が使用されます。
* The SDP "setup" attribute, defined in [RFC4145], is used to negotiate the DTLS roles;
* [RFC4145]で定義されているSDP "Setup"属性は、DTLSロールをネゴシエートするために使用されます。
* The SDP "fingerprint" attribute, defined in [RFC8122], is used to provide one or more fingerprint values; and
* [RFC8122]で定義されているSDPの "FingerPrint"属性は、1つ以上のフィンガープリント値を提供するために使用されます。そして
* The SDP "tls-id" attribute, defined in this specification, is used to identity the DTLS association.
* この仕様で定義されているSDPの "TLS-ID"属性は、DTLSアソシエーションを識別するために使用されます。
This specification does not define the usage of the SDP "connection" attribute [RFC4145] for negotiating a DTLS association. However, the attribute MAY be used if the DTLS association is used together with another protocol (e.g., SCTP or TCP) for which the usage of the attribute has been defined.
この仕様は、DTLSアソシエーションをネゴシエートするためのSDP "Connection"属性[RFC4145]の使用法を定義していません。しかしながら、属性の使用が定義されている別のプロトコル(例えば、SCTPまたはTCP)と共にDTLSアソシエーションが使用される場合、属性を使用することができる。
Unlike for TCP and TLS connections, endpoints MUST NOT use the SDP "setup" attribute "holdconn" value when negotiating a DTLS association.
TCPおよびTLS接続とは異なり、エンドポイントは、DTLSアソシエーションをネゴシエートするときにSDP "Setup"属性 "HOLDCONN"値を使用しないでください。
Endpoints MUST support the hash functions as defined in [RFC8122].
エンドポイントは[RFC8122]で定義されているハッシュ関数をサポートしている必要があります。
The certificate received during the DTLS handshake [RFC6347] MUST match a certificate fingerprint received in SDP "fingerprint" attributes according to the procedures defined in [RFC8122]. If fingerprints do not match the hashed certificate, then an endpoint MUST tear down the media session immediately (see [RFC8122]).
DTLSハンドシェイクの間に受信された証明書[RFC6347]は、[RFC8122]で定義されている手順に従って、SDPの「FingerPrint」属性で受信した証明書の指紋と一致する必要があります。指紋がハッシュ証明書と一致しない場合、エンドポイントはすぐにメディアセッションを引き下げる必要があります([RFC8122]を参照)。
SDP offerers and answerers might reuse certificates across multiple DTLS associations, and provide identical fingerprint values for each DTLS association. The combination of the SDP "tls-id" attribute values of the SDP offerer and answerer identifies each individual DTLS association.
SDPの提供者と回答者は、複数のDTLSアソシエーションにわたって証明書を再利用し、各DTLSアソシエーションに対して同一の指紋値を提供する可能性があります。SDPオファーと回答者のSDPの「TLS-ID」属性値の組み合わせは、個々のDTLSアソシエーションを識別します。
| NOTE: There are cases where the SDP "tls-id" attribute value
| generated by the offerer will end up being used for multiple
| DTLS associations. For that reason, the combination of the
| attribute values of the offerer and answerer is needed in order
| to identity a DTLS association. An example of such a case is
| where the offerer sends an updated offer (Section 5.5) without
| modifying its attribute value, but the answerer determines that
| a new DTLS association is to be created. The answerer will
| generate a new local attribute value for the new DTLS
| association (Section 5.3), while the offerer will use the same
| attribute value that it used for the current association.
| Another example is when the Session Initiation Protocol (SIP)
| [RFC3261] is used for signaling, and an offer is forked to
| multiple answerers. The attribute value generated by the
| offerer will be used for DTLS associations established by each
| answerer.
When an offerer sends the initial offer, the offerer MUST insert an SDP "setup" attribute [RFC4145] with an "actpass" attribute value, as well as one or more SDP "fingerprint" attributes according to the procedures in [RFC8122]. In addition, the offerer MUST insert in the offer an SDP "tls-id" attribute with a unique attribute value.
オファーが初期オファーを送信すると、オファーは[RFC8122]の手順に従って「ACTPASS」属性値、および1つ以上のSDPの「フィンガープリント」属性を使用してSDP "Setup"属性[RFC4145]を挿入する必要があります。さらに、オファーは、オファーにSDP "TLS-ID"属性を固有の属性値で挿入する必要があります。
As the offerer inserts the SDP "setup" attribute with an "actpass" attribute value, the offerer MUST be prepared to receive a DTLS ClientHello message [RFC6347] from the answerer (if a new DTLS association is established by the answerer) before the offerer receives the SDP answer.
オファーが「Actpass」属性値でSDP "Setup"属性を挿入すると、オファーの前に答え者からDTLS ClientHelloメッセージ[RFC6347]を受信するように提供する必要があります。SDPの回答を受け取ります。
If the offerer receives a DTLS ClientHello message, and a DTLS association is established before the offerer receives the SDP answer carrying the fingerprint associated with the DTLS association, any data received on the DTLS association before the fingerprint MUST be considered to be coming from an unverified source. The processing of such data and sending of data by the offerer to the unverified source is outside the scope of this document.
オファーがDTLS ClientHelloメッセージを受信し、提供者がDTLSアソシエーションに関連した指紋を搭載したSDPの回答を受信する前にDTLSアソシエーションが確立され、指紋が未確認から来ていると見なされなければならないDTLS関連付けで受信されたデータソース。そのようなデータの処理と、未認証元のソースへの提供者によるデータの送信は、この文書の範囲外です。
When an answerer sends an answer, the answerer MUST insert in the answer an SDP "setup" attribute according to the procedures in [RFC4145] and one or more SDP "fingerprint" attributes according to the procedures in [RFC8122]. If the answerer determines, based on the criteria specified in Section 3.1, that a new DTLS association is to be established, the answerer MUST insert in the associated answer an SDP "tls-id" attribute with a new unique attribute value. Note that the offerer and answerer generate their own local "tls-id" attribute values, and the combination of both values identifies the DTLS association.
回答者が答えを送信すると、[RFC4145]の手順に従って、[RFC8122]の手順に従って、SDPの「Setup」属性と1つ以上のSDPの「指紋」属性に従って、回答者は答えに挿入する必要があります。回答者がセクション3.1で指定された基準に基づいて、新しいDTLSアソシエーションが確立されることを決定した場合、回答者は関連する一意の属性値を持つSDP "tls-id"属性を関連付けられている答えに挿入する必要があります。オファーと回答者は自分のローカルの "TLS-ID"属性値を生成し、両方の値の組み合わせはDTLS関連付けを識別します。
If the answerer receives an offer that requires establishment of a new DTLS association, and if the answerer does not accept the establishment of a new DTLS association, the answerer MUST reject the "m=" lines associated with the suggested DTLS association [RFC3264].
回答者が新しいDTLSアソシエーションの確立を要求するオファーを受信した場合、および回答者が新しいDTLSアソシエーションの確立を受け入れない場合、推奨DTLSアソシエーション[RFC3264]に関連付けられている「M =」行を拒否する必要があります。
If an answerer receives an offer that does not require the establishment of a new DTLS association, and if the answerer determines that a new DTLS association is not to be established, the answerer MUST insert in the associated answer an SDP "tls-id" attribute with the previously assigned attribute value. In addition, the answerer MUST insert an SDP "setup" attribute with an attribute value that does not change the previously negotiated DTLS roles, as well as one or more SDP "fingerprint" attributes values that do not change the previously sent fingerprint set, in the associated answer.
回答者が新しいDTLSアソシエーションの確立を必要としないオファーを受信し、回答者が新しいDTLSアソシエーションが確立されないと判断した場合、回答者は関連付けられている回答にSDP "TLS-ID"属性を挿入する必要があります。以前に割り当てられた属性値で。さらに、回答者は、以前にネゴシエートされたDTLSロールを変更しない属性値と、以前に送信された指紋セットを変更しない1つ以上のSDPの「指紋」属性値を持つSDP "Setup"属性を挿入する必要があります。関連付けられている答え。
If the answerer receives an offer that does not contain an SDP "tls-id" attribute, the answerer MUST NOT insert a "tls-id" attribute in the answer.
回答者がSDPの「TLS-ID」属性を含まないオファーを受信した場合、回答者は答えに "TLS-ID"属性を挿入してはいけません。
If a new DTLS association is to be established, and if the answerer inserts an SDP "setup" attribute with an "active" attribute value in the answer, the answerer MUST initiate a DTLS handshake [RFC6347] by sending a DTLS ClientHello message towards the offerer.
新しいDTLS協会が確立される場合、および回答者が答えの「アクティブな」属性値を使用してSDP「Setup」属性を挿入した場合、回答者はDTLS ClientHelloメッセージを送信することによってDTLSハンドシェイク[RFC6347]を開始する必要があります。オファー。
Even though an offerer is required to insert an "SDP" setup attribute with an "actpass" attribute value in initial offers (Section 5.2) and subsequent offers (Section 5.5), the answerer MUST be able to receive initial and subsequent offers with other attribute values, in order to be backward compatible with older implementations that might insert other attribute values in initial and subsequent offers.
イニシャルオファー(セクション5.2)およびその後のオファー(セクション5.5)の「ACTPASS」属性値を使用して「SDP」セットアップ属性を挿入する必要がある場合(セクション5.5)、回答者は他の属性を持つ最初のオファーを受信できなければなりません。初期および後続のオファーで他の属性値を挿入する可能性のある古い実装と下位互換性があるため、値。
When an offerer receives an answer that establishes a new DTLS association based on criteria defined in Section 3.1, if the offerer becomes DTLS client (based on the value of the SDP "setup" attribute value [RFC4145]), the offerer MUST establish a DTLS association. If the offerer becomes DTLS server, it MUST wait for the answerer to establish the DTLS association.
オファーがセクション3.1で定義されている基準に基づいて新しいDTLSアソシエーションを確立する回答を受信した場合、オファーがDTLSクライアントになった場合(SDPのセットアップ属性値[RFC4145]の値に基づく)、オファーはDTLSを確立する必要があります。協会。オファーがDTLSサーバーになると、回答者がDTLSアソシエーションを確立するのを待つ必要があります。
If the offerer indicated a desire to reuse an existing DTLS association, and the answerer does not request the establishment of a new DTLS association, the offerer will continue to use the previously established DTLS association.
オファーが既存のDTLS協会を再利用したいという希望を示し、回答者が新しいDTLS関連の確立を要求していない場合、オファーは以前に確立されたDTLSアソシエーションを使用し続けます。
A new DTLS association can be established based on changes in either an SDP offer or answer. When communicating with legacy endpoints, an offerer can receive an answer that includes the same fingerprint set and setup role. A new DTLS association will still be established if such an answer is received as a response to an offer that requested the establishment of a new DTLS association, as the transport parameters would have been changed in the offer.
新しいDTLS協会は、SDPオファーまたは回答の変更に基づいて確立できます。従来のエンドポイントと通信するとき、オファーは同じ指紋セットとセットアップ役割を含む回答を受け取ることができます。そのような答えが、そのような回答が新しいDTLS関連の確立を要求したオファーに対する回答として受信された場合、転送パラメータがオファーで変更されたので、まだ確立されます。
When an offerer sends a subsequent offer, if the offerer wants to establish a new DTLS association, the offerer MUST insert an SDP "setup" attribute [RFC4145] with an "actpass" attribute value, as well as or more SDP "fingerprint" attributes according to the procedures in [RFC8122]. In addition, the offerer MUST insert in the offer an SDP "tls-id" attribute with a new unique attribute value.
オファーが新しいDTLSアソシエーションを確立したい場合、オファーが後続のオファーを送信すると、オファーは「ACTPASS」属性値、およびそれ以上のSDPの「指紋」属性を使用してSDP "Setup"属性[RFC4145]を挿入する必要があります。[RFC8122]の手順に従って。さらに、オファーは新しい一意の属性値を持つSDP "TLS-ID"属性をオファーに挿入する必要があります。
When an offerer sends a subsequent offer and does not want to establish a new DTLS association, if a previously established DTLS association exists, the offerer MUST insert in the offer an SDP "setup" attribute with an "actpass" attribute value, and one or more SDP "fingerprint" attributes with attribute values that do not change the previously sent fingerprint set. In addition, the offerer MUST insert an SDP "tls-id" attribute with the previously assigned attribute value in the offer.
オファーが後続のオファーを送信し、新しいDTLSアソシエーションを確立したくない場合、以前に確立されたDTLSアソシエーションが存在する場合、オファーは[Accpass]属性値を持つSDP "Setup"属性をオファーに挿入する必要があります。以前に送信された指紋セットを変更しない属性値を持つ、より多くのSDPの「フィンガープリント」属性。さらに、オファーはオファーで以前に割り当てられた属性値を持つSDP "TLS-ID"属性を挿入する必要があります。
| NOTE: When a new DTLS association is being established, each
| endpoint needs to be prepared to receive data on both the new
| and old DTLS associations as long as both are alive.
When the Interactive Connectivity Establishment (ICE) mechanism [RFC8445] is used, the ICE connectivity checks are performed before the DTLS handshake begins. Note that if aggressive nomination mode is used, multiple candidate pairs may be marked valid before ICE finally converges on a single candidate pair.
インタラクティブ接続確立(ICE)メカニズム[RFC8445]を使用すると、DTLSハンドシェイクが始まる前にICE接続チェックが実行されます。積極的な指名モードが使用される場合、氷が最後に単一の候補ペアに収束する前に、複数の候補ペアを有効にマークすることができることに留意されたい。
| NOTE: Aggressive nomination has been deprecated from ICE but
| must still be supported for backwards compatibility reasons
| [RFC8445].
When a new DTLS association is established over an unordered transport, in order to disambiguate any packets associated with the newly established DTLS association, at least one of the endpoints MUST allocate a completely new set of ICE candidates that were not recently used for any other DTLS association. This means the answerer cannot initiate a new DTLS association unless the offerer initiated ICE restart [RFC8445]. If the answerer wants to initiate a new DTLS association, it needs to initiate an ICE restart and a new offer/answer exchange on its own. However, an ICE restart does not by default require a new DTLS association to be established.
新たに確立されたDTLSアソシエーションに関連したパケットを曖昧にするために、新しいDTLS協会が順序付けられていない場合、少なくとも1つのエンドポイントは、他のDTLに最近使用されていなかった完全に新しい氷候補のセットを割り当てる必要があります。協会。これは、オファーがICEの再起動を開始しない限り、回答者が新しいDTLSアソシエーションを開始できないことを意味します[RFC8445]。回答者が新しいDTLSアソシエーションを開始したい場合は、ICEの再起動とそれ自身の新しいオファー/回答Exchangeを開始する必要があります。ただし、ICEの再起動はデフォルトではなく、新しいDTLSアソシエーションを確立する必要があります。
| NOTE: Simple Traversal of the UDP Protocol through NAT (STUN)
| packets are sent directly over UDP, not over DTLS. [RFC7983]
| describes how to demultiplex STUN packets from DTLS packets and
| SRTP packets.
Each ICE candidate associated with a component is treated as being part of the same DTLS association. Therefore, from a DTLS perspective, it is not considered a change of local transport parameters when an endpoint switches between those ICE candidates.
コンポーネントに関連する各ICE候補は、同じDTLS関連の一部として扱われます。したがって、DTLSの観点からは、エンドポイントがそれらの氷候補の間で切り替わるときのローカルトランスポートパラメータの変化とは見なされません。
The procedures in this document can also be used for negotiating and establishing a TLS connection, with the restriction described below.
この文書の手順は、TLS接続を交渉し確立するためにも、以下の制限付きで使用することができる。
As specified in [RFC4145], the SDP "connection" attribute is used to indicate whether to establish a new TLS connection. An offerer and answerer MUST ensure that the "connection" attribute value and the "tls-id" attribute value do not cause a conflict regarding whether a new TLS connection is to be established or not.
[RFC4145]で指定されているように、SDP "Connection"属性は、新しいTLS接続を確立するかどうかを示すために使用されます。オファーと回答者は、「接続」属性値と「TLS-ID」属性値が、新しいTLS接続が確立されるかどうかに関して競合を引き起こさないようにする必要があります。
| NOTE: Even though the SDP "connection" attribute can be used to
| indicate whether a new TLS connection is to be established, the
| unique combination of SDP "tls-id" attribute values can be used
| to identity a TLS connection. The unique value can be used
| e.g., within TLS protocol extensions to differentiate between
| multiple TLS connections and correlate those connections with
| specific offer/answer exchanges. One such extension is defined
| in [RFC8844].
If an offerer or answerer inserts an SDP "connection" attribute with a "new" value in the offer/answer and also inserts an SDP "tls-id" attribute, the value of the "tls-id" attribute MUST be new and unique.
オファー/回答の「新規」値を持つSDP "Connection"属性をSDP "Connection"属性を挿入し、SDP "TLS-ID"属性を挿入した場合、 "tls-id"属性の値も新しいものでユニークである必要があります。。
If an offerer or answerer inserts an SDP "connection" attribute with an "existing" value in the offer/answer, if a previously established TLS connection exists, and if the offerer/answerer previously inserted an SDP "tls-id" attribute associated with the same TLS connection in an offer/answer, the offerer/answerer MUST also insert an SDP "tls-id" attribute with the previously assigned value in the offer/answer.
オファー/回答の「既存の」値を使用して、オファー/回答の「既存の」値を使用して、オファー/回答の「既存の」属性を挿入した場合、およびオファー/回答者が以前に関連付けられているSDP "tls-id"属性を以前に挿入した場合オファー/アンサーで同じTLS接続で、オファー/回答者は、オファー/回答で以前に割り当てられた値を持つSDP "TLS-ID"属性を挿入する必要があります。
If an offerer or answerer receives an offer/answer with conflicting attribute values, the offerer/answerer MUST process the offer/answer as misformed.
オファーまたは回答者が矛盾する属性値を使用してオファー/回答を受信した場合、オファー/回答者はオファー/答えを誤って処理する必要があります。
An endpoint MUST NOT make assumptions regarding the support of the SDP "tls-id" attribute by the peer. Therefore, to avoid ambiguity, both offerers and answerers MUST always use the "connection" attribute in conjunction with the "tls-id" attribute.
エンドポイントは、ピアによるSDP "TLS-ID"属性のサポートに関して仮定をしてはなりません。したがって、あいまいさを避けるために、提供者と回答者の両方が常に「tls-id」属性と組み合わせて「connection」属性を使用する必要があります。
| NOTE: As defined in [RFC4145], if the SDP "connection"
| attribute is not explicitly present, the implicit default value
| is "new".
The SDP example below is based on the example in Section 3.4 of [RFC8122], with the addition of the SDP "tls-id" attribute.
以下のSDPの例は、SDP "TLS-id"属性を追加した状態で、[RFC8122]のセクション3.4の例に基づいています。
m=image 54111 TCP/TLS t38
c=IN IP4 192.0.2.2
a=tls-id:abc3de65cddef001be82
a=setup:passive
a=connection:new
a=fingerprint:SHA-256 \
12:DF:3E:5D:49:6B:19:E5:7C:AB:4A:AD:B9:B1:3F:82:18:3B:54:02:12:DF: \
3E:5D:49:6B:19:E5:7C:AB:4A:AD
a=fingerprint:SHA-1 \
4A:AD:B9:B1:3F:82:18:3B:54:02:12:DF:3E:5D:49:6B:19:E5:7C:AB
When the Session Initiation Protocol (SIP) [RFC3261] is used as the signal protocol for establishing a multimedia session, dialogs [RFC3261] might be established between the caller and multiple callees. This is referred to as forking. If forking occurs, separate DTLS associations will be established between the caller and each callee.
マルチメディアセッションを確立するための信号プロトコルとしてセッション開始プロトコル(SIP)[RFC3261]を使用すると、発信者と複数のCalleesの間にダイアログ[RFC3261]が確立されることがあります。これは発言と呼ばれます。フォークが発生した場合は、発信者と各Calleeの間に別々のDTLS関連付けが確立されます。
When forking occurs, an SDP offerer can receive DTLS ClientHello messages and SDP answers from multiple remote locations. Because of this, the offerer might have to wait for multiple SDP answers (from different remote locations) until it receives a certificate fingerprint that matches the certificate associated with a specific DTLS handshake. The offerer MUST NOT declare a fingerprint mismatch until it determines that it will not receive SDP answers from any additional remote locations.
フォークが発生すると、SDPオファーはDTLS ClientHelloメッセージとSDP回答を複数の遠隔地から受信できます。このため、オファーは、特定のDTLSハンドシェイクに関連付けられている証明書と一致する証明書の指紋を受信するまで、複数のSDP回答を待機する必要があります。追加の遠隔地からSDP回答を受け取らないと判断するまで、オファーは指紋の不一致を宣言してはいけません。
It is possible to send an INVITE request that does not contain an SDP offer. Such an INVITE request is often referred to as an "empty INVITE" or an "offerless INVITE". The receiving endpoint will include the SDP offer in a response to the request. When the endpoint generates such an SDP offer, if a previously established DTLS association exists, the offerer MUST insert an SDP "tls-id" attribute and one or more SDP "fingerprint" attributes, with previously assigned attribute values. If a previously established DTLS association does not exist, the offer MUST be generated based on the same rules as a new offer (see Section 5.2). Regardless of the previous existence of a DTLS association, the SDP "setup" attribute MUST be included according to the rules defined in [RFC4145]. Furthermore, if ICE is used, ICE restart MUST be initiated, according to the third-party call-control considerations described in [RFC8839].
SDPオファーを含まない招待要求を送信することは可能です。そのような招待要求はしばしば「空の招待」または「オファーレス招待」と呼ばれる。受信側エンドポイントには、要求に対する応答のSDPオファーが含まれます。エンドポイントがそのようなSDPオファーを生成すると、以前に確立されたDTLSアソシエーションが存在する場合、オファーは、以前に割り当てられた属性値を使用して、SDPの "TLS-ID"属性と1つ以上のSDP "FingerPrint"属性を挿入する必要があります。以前に確立されたDTLSアソシエーションが存在しない場合、オファーは新しいオファーと同じ規則に基づいて生成されなければなりません(セクション5.2を参照)。DTLSアソシエーションの以前の存在に関係なく、SDP "Setup"属性は[RFC4145]で定義されている規則に従って含める必要があります。さらに、ICEが使用されている場合は、[RFC8839]に記載されているサードパーティのコール制御に関する考慮事項に従って、ICEの再起動を開始する必要があります。
This section updates specifications that use DTLS-protected media, in order to reflect the procedures defined in this specification.
このセクションでは、この仕様で定義されている手順を反映するために、DTLS保護メディアを使用する仕様を更新します。
The reference to [RFC4572] is replaced with a reference to [RFC8122].
[RFC4572]への参照は[RFC8122]への参照に置き換えられます。
The text in [RFC5763], Section 5 ("Establishing a Secure Channel") is modified by replacing generic SDP offer/answer procedures for DTLS with a reference to this specification:
[RFC5763]のテキスト(「セキュアチャネルの確立」)は、この仕様への参照でDTLSの一般的なSDPオファー/アンサープロシージャを置き換えることによって変更されます。
NEW TEXT:
新しいテキスト:
| The two endpoints in the exchange present their identities as part
| of the DTLS handshake procedure using certificates. This document
| uses certificates in the same style as described in "Connection-
| Oriented Media Transport over the Transport Layer Security (TLS)
| Protocol in the Session Description Protocol (SDP)" [RFC8122].
|
| If self-signed certificates are used, the content of the
| "subjectAltName" attribute inside the certificate MAY use the
| uniform resource identifier (URI) of the user. This is useful for
| debugging purposes only and is not required to bind the
| certificate to one of the communication endpoints. The integrity
| of the certificate is ensured through the "fingerprint" attribute
| in the SDP.
|
| The generation of public/private key pairs is relatively
| expensive. Endpoints are not required to generate certificates
| for each session.
|
| The offer/answer model, defined in [RFC3264], is used by protocols
| like the Session Initiation Protocol (SIP) [RFC3261] to set up
| multimedia sessions.
|
| When an endpoint wishes to set up a secure media session with
| another endpoint, it sends an offer in a SIP message to the other
| endpoint. This offer includes, as part of the SDP payload, a
| fingerprint of a certificate that the endpoint wants to use. The
| endpoint SHOULD send the SIP message containing the offer to the
| offerer's SIP proxy over an integrity-protected channel. The
| proxy SHOULD add an Identity header field according to the
| procedures outlined in [RFC4474]. When the far endpoint receives
| the SIP message, it can verify the identity of the sender using
| the Identity header field. Since the Identity header field is a
| digital signature across several SIP header fields, in addition to
| the body of the SIP message, the receiver can also be certain that
| the message has not been tampered with after the digital signature
| was applied and added to the SIP message.
|
| The far endpoint (answerer) may now establish a DTLS association
| with the offerer. Alternately, it can indicate in its answer that
| the offerer is to initiate the DTLS association. In either case,
| mutual DTLS certificate-based authentication will be used. After
| completing the DTLS handshake, information about the authenticated
| identities, including the certificates, is made available to the
| endpoint application. The answerer is then able to verify that
| the offerer's certificate used for authentication in the DTLS
| handshake can be associated with a certificate fingerprint
| contained in the offer in the SDP. At this point, the answerer
| may indicate to the end user that the media is secured. The
| offerer may only tentatively accept the answerer's certificate,
| since it may not yet have the answerer's certificate fingerprint
|
| When the answerer accepts the offer, it provides an answer back to
| the offerer containing the answerer's certificate fingerprint. At
| this point, the offerer can accept or reject the peer's
| certificate, and the offerer can indicate to the end user that the
| media is secured.
|
| Note that the entire authentication and key exchange for securing
| the media traffic is handled in the media path through DTLS. The
| signaling path is only used to verify the peers' certificate
| fingerprints.
|
| The offerer and answerer MUST follow the SDP offer/answer
| procedures defined in RFC 8842.
The text in [RFC5763], Section 6.6 ("Session Modification") is modified by replacing generic SDP offer/answer procedures for DTLS with a reference to this specification:
[RFC5763]、セクション6.6(「セッション変更」)のテキストは、DTLSの一般的なSDPオファー/アンサープロシージャをこの仕様への参照で置き換えることによって変更されます。
NEW TEXT:
新しいテキスト:
| Once an answer is provided to the offerer, either endpoint MAY
| request a session modification that MAY include an updated offer.
| This session modification can be carried in either an INVITE or
| UPDATE request. The peers can reuse an existing DTLS association
| or establish a new one, following the procedures in RFC 8842.
The text in [RFC5763], Section 6.7.1 ("ICE Interaction") is modified by replacing the ICE procedures with a reference to this specification:
[RFC5763]のテキスト、6.7.1(「ICEインタラクション」)は、ICE手順をこの仕様への参照で置き換えることによって変更されます。
NEW TEXT:
新しいテキスト:
| The Interactive Connectivity Establishment (ICE) [RFC8445] | considerations for DTLS-protected media are described in RFC 8842.
The subsections (4.1 - 4.5) in [RFC7345], Section 4 ("SDP Offerer/ Answerer Procedures") are removed and replaced with the new text below:
[RFC 7345]のサブセクション(4.1 - 4.5)、セクション4(「SDPオファー/アンサープロシージャ」)は削除され、以下の新しいテキストに置き換えられます。
NEW TEXT:
新しいテキスト:
| An endpoint (i.e., both the offerer and the answerer) MUST create
| an SDP media description ("m=" line) for each UDPTL-over-DTLS
| media stream and MUST assign a UDP/TLS/UDPTL value (see Table 1)
| to the "proto" field of the "m=" line.
|
| The offerer and answerer MUST follow the SDP offer/answer
| procedures defined in RFC 8842 in order to negotiate the DTLS
| association associated with the UDPTL-over-DTLS media stream. In
| addition, the offerer and answerer MUST use the SDP attributes
| defined for UDPTL over UDP, as defined in [ITU.T38].
The text in [RFC7345], Section 5.2.1 ("ICE Usage") is modified by replacing the ICE procedures with a reference to this specification:
[RFC7345]のテキスト、5.2.1(「ICEの使用」)は、ICE手順をこの仕様への参照で置き換えることによって変更されています。
NEW TEXT:
新しいテキスト:
| The Interactive Connectivity Establishment (ICE) [RFC8445] | considerations for DTLS-protected media are described in RFC 8842.
A reference to [RFC8122] is added to [RFC7345], Section 9.1 ("Normative References"):
[RFC8122]への参照が[RFC7345]、セクション9.1(「規範的参照」)に追加されます。
NEW TEXT:
新しいテキスト:
| [RFC8122] Lennox, J. and C. Holmberg, "Connection-Oriented
| Media Transport over the Transport Layer Security
| (TLS) Protocol in the Session Description Protocol
| (SDP)", RFC 8122, DOI 10.17487/RFC8122, March 2017,
| <https://www.rfc-editor.org/info/rfc8122>.
This specification does not modify the security considerations associated with DTLS or the SDP offer/answer mechanism. In addition to the introduction of the SDP "tls-id" attribute, this document simply clarifies the procedures for negotiating and establishing a DTLS association.
この仕様は、DTLSまたはSDPオファー/アンサークー隊メカニズムに関連するセキュリティ上の考慮事項を変更しません。SDP "TLS-ID"属性の導入に加えて、この文書は単にDTLSアソシエーションの交渉と確立のための手順を明確にします。
This specification does not modify the actual TLS connection setup procedures. The SDP "tls-is" attribute as such cannot be used to correlate an SDP offer/answer exchange with a TLS connection setup. Thus, this document does not introduce new security considerations related to correlating an SDP offer/answer exchange with a TLS connection setup.
この仕様は、実際のTLS接続設定手順を変更しません。そのようなSDPの "TLS-IS"属性は、SDPオファー/アンサー交換とTLS接続セットアップとの関連付けに使用することはできません。したがって、この文書では、SDPオファー/回答ExchangeとTLS接続設定との関連付けに関する新しいセキュリティ上の考慮事項を導入しません。
This document updates the "Session Description Protocol Parameters" registry as specified in Section 8.2.2 of [RFC4566]. Specifically, it adds the SDP "tls-id" attribute to the table for SDP media-level attributes as follows.
[RFC4566]のセクション8.2.2で指定されているように、この文書は「セッション記述プロトコルパラメータ」レジストリを更新します。具体的には、次のようにSDPメディアレベルの属性の表にSDP "TLS-ID"属性を追加します。
Attribute name: tls-id
属性名:TLS-ID
Type of attribute: Media-level
属性の種類:メディアレベル
Subject to charset: No
文字セットの対象:NO
Purpose: Indicates whether a new DTLS association or TLS connection is to be established/re-established.
目的:新しいDTLSアソシエーションまたはTLS接続を確立/再確立するかどうかを示します。
Appropriate Values: See Section 4
適切な値:セクション4を参照
Contact name: Christer Holmberg
連絡先名:Christer Holmberg
Mux Category: IDENTICAL
MUXカテゴリ:同一です
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.
[RFC2119] BRADNER、S、「RFCSで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。
[RFC3261] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, DOI 10.17487/RFC3261, June 2002, <https://www.rfc-editor.org/info/rfc3261>.
[RFC3261] Rosenberg、J.、Schulzrinne、H.、Camarillo、G.、Johnston、A.、Peterson、J.、Sparks、R.、Handley、M.、E. Schooler、「SIP:セッション開始プロトコル」、RFC 3261、DOI 10.17487 / RFC3261、2002年6月、<https://www.rfc-editor.org/info/rfc3261>。
[RFC3264] Rosenberg, J. and H. Schulzrinne, "An Offer/Answer Model with Session Description Protocol (SDP)", RFC 3264, DOI 10.17487/RFC3264, June 2002, <https://www.rfc-editor.org/info/rfc3264>.
[RFC3264] Rosenberg、J.およびH.Schulzrinne、「セッション記述プロトコル(SDP)」、RFC 3264、DOI 10.17487 / RFC3264、2002年6月、<https://ww.rfc-editor.org/ info / rfc3264>。
[RFC4145] Yon, D. and G. Camarillo, "TCP-Based Media Transport in the Session Description Protocol (SDP)", RFC 4145, DOI 10.17487/RFC4145, September 2005, <https://www.rfc-editor.org/info/rfc4145>.
[RFC4145] YON、D.およびG. Camarillo、「セッション記述プロトコル(SDP)」、RFC 4145、DOI 10.17487 / RFC4145、2005年9月、<https://www.rfc-編集者。org / info / rfc4145>。
[RFC4566] Handley, M., Jacobson, V., and C. Perkins, "SDP: Session Description Protocol", RFC 4566, DOI 10.17487/RFC4566, July 2006, <https://www.rfc-editor.org/info/rfc4566>.
[RFC4566]ハンドリー、M.、Jacobson、V.、およびC.Perkins、「SDP:セッション記述プロトコル」、RFC 4566、DOI 10.17487 / RFC4566、2006年7月、<https://www.rfc-editor.org/情報/ RFC4566>。
[RFC5763] Fischl, J., Tschofenig, H., and E. Rescorla, "Framework for Establishing a Secure Real-time Transport Protocol (SRTP) Security Context Using Datagram Transport Layer Security (DTLS)", RFC 5763, DOI 10.17487/RFC5763, May 2010, <https://www.rfc-editor.org/info/rfc5763>.
[RFC5763] FISCHL、J.、TSCHOFENIG、H.、およびE.RESCORLA、「データグラムトランスポート層セキュリティ(DTLS)」、RFC 5763、DOI 10.17487 /を使用したセキュリティコンテキスト(SRTP)セキュリティコンテキストを確立するためのフレームワーク。2010年5月、<https://www.rfc-editor.org/info/rfc5763>。
[RFC6347] Rescorla, E. and N. Modadugu, "Datagram Transport Layer Security Version 1.2", RFC 6347, DOI 10.17487/RFC6347, January 2012, <https://www.rfc-editor.org/info/rfc6347>.
[RFC6347] RESCORLA、E.およびN. MODADUGU、「データグラムトランスポートレイヤセキュリティバージョン1.2」、RFC 6347、DOI 10.17487 / RFC6347、2012年1月、<https://www.rfc-editor.org/info/rfc6347>。
[RFC7345] Holmberg, C., Sedlacek, I., and G. Salgueiro, "UDP Transport Layer (UDPTL) over Datagram Transport Layer Security (DTLS)", RFC 7345, DOI 10.17487/RFC7345, August 2014, <https://www.rfc-editor.org/info/rfc7345>.
[RFC7345] Holmberg、C.、Sedlacek、I。、およびG.Salgueiro、「UDPトランスポート層(UDPTL)overデータグラムトランスポート層セキュリティ(DTLS)」、RFC 7345、DOI 10.17487 / RFC7345、2014年8月、<https://www.rfc-editor.org/info/rfc7345>。
[RFC8122] Lennox, J. and C. Holmberg, "Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP)", RFC 8122, DOI 10.17487/RFC8122, March 2017, <https://www.rfc-editor.org/info/rfc8122>.
[RFC8122] Lennox、J.およびC.Holmberg、「セッション記述プロトコル(SDP)」、RFC 8122、DOI 10.17487 / RFC8122、2017年3月、<HTTPS)://www.rfc-editor.org/info/rfc8122>。
[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.
[RFC8174] Leiba、B、「RFC 2119キーワードの大文字の曖昧さ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。
[RFC8445] Keranen, A., Holmberg, C., and J. Rosenberg, "Interactive Connectivity Establishment (ICE): A Protocol for Network Address Translator (NAT) Traversal", RFC 8445, DOI 10.17487/RFC8445, July 2018, <https://www.rfc-editor.org/info/rfc8445>.
[RFC8445]ケラネン、A.、Holmberg、C.、J.Rosenberg、「インタラクティブ接続施設(氷):ネットワークアドレス翻訳者のためのプロトコル」、RFC 8445、DOI 10.17487 / RFC8445、2018年7月、<https://www.rfc-editor.org/info/rfc8445>。
[RFC8843] Holmberg, C., Alvestrand, H., and C. Jennings, "Negotiating Media Multiplexing Using the Session Description Protocol (SDP)", RFC 8843, DOI 10.17487/RFC8843, January 2021, <https://www.rfc-editor.org/info/rfc8843>.
[RFC8843] Holmberg、C、Alvestrand、H.、およびC.ジェンニング、「セッション記述プロトコル(SDP)」、RFC 8843、DOI 10.17487 / RFC8843、<https:// www。rfc-editor.org/info/rfc8843>。
[RFC8859] Nandakumar, S., "A Framework for Session Description Protocol (SDP) Attributes When Multiplexing", RFC 8859, DOI 10.17487/RFC8859, January 2021, <https://www.rfc-editor.org/info/rfc8859>.
[RFC8859] Nandakumar、S。、「マルチプレクシング時のセッション記述プロトコル(SDP)属性のフレームワーク」、RFC 8859、DOI 10.17487 / RFC8859、2021年1月、<https://www.rfc-editor.org/info/rfc8859>。
[ITU.T38] ITU-T, "Procedures for real-time Group 3 facsimile communication over IP networks", Recommendation T.38, September 2010, <https://www.itu.int/rec/T-REC-T.38/en>.
[ITU.T38] ITU-T、「リアルタイムグループ3ファクシミリコミュニケーションのための手順」、推奨事項T.38、2010年9月、<https://www.itu.int/rec/t-rec-.38 / en>。
[RFC4474] Peterson, J. and C. Jennings, "Enhancements for Authenticated Identity Management in the Session Initiation Protocol (SIP)", RFC 4474, DOI 10.17487/RFC4474, August 2006, <https://www.rfc-editor.org/info/rfc4474>.
[RFC4474] Peterson、J.およびC. Jennings、「セッション開始プロトコル(SIP)」、RFC 4474、DOI 10.17487 / RFC4474、<https://www.rfc-編集者における「認証済みアイデンティティ管理の強化」。ORG / INFO / RFC4474>。
[RFC4572] Lennox, J., "Connection-Oriented Media Transport over the Transport Layer Security (TLS) Protocol in the Session Description Protocol (SDP)", RFC 4572, DOI 10.17487/RFC4572, July 2006, <https://www.rfc-editor.org/info/rfc4572>.
[RFC4572] Lennox、J.、「セッション記述プロトコル(SDP)」、RFC 4572、DOI 10.17487 / RFC4572、<https:// wwwのトランスポート層セキュリティ(TLS)プロトコルの接続指向メディアトランスポート.rfc-editor.org / info / rfc4572>。
[RFC5576] Lennox, J., Ott, J., and T. Schierl, "Source-Specific Media Attributes in the Session Description Protocol (SDP)", RFC 5576, DOI 10.17487/RFC5576, June 2009, <https://www.rfc-editor.org/info/rfc5576>.
[RFC5576] Lennox、J.、OTT、J.、およびT.Schierl、「セッション記述プロトコル(SDP)」、RFC 5576、DOI 10.17487 / RFC5576、2009年6月、<https://のソース固有のメディア属性www.rfc-editor.org/info/rfc5576>。
[RFC6083] Tuexen, M., Seggelmann, R., and E. Rescorla, "Datagram Transport Layer Security (DTLS) for Stream Control Transmission Protocol (SCTP)", RFC 6083, DOI 10.17487/RFC6083, January 2011, <https://www.rfc-editor.org/info/rfc6083>.
[RFC6083] Tuexen、M.、SegGelmann、R.およびE. RescoRLA、「ストリーム制御伝送プロトコル(SCTP)」、RFC 6083、DOI 10.17487 / RFC6083、2011年1月、<https://www.rfc-editor.org/info/rfc6083>。
[RFC7983] Petit-Huguenin, M. and G. Salgueiro, "Multiplexing Scheme Updates for Secure Real-time Transport Protocol (SRTP) Extension for Datagram Transport Layer Security (DTLS)", RFC 7983, DOI 10.17487/RFC7983, September 2016, <https://www.rfc-editor.org/info/rfc7983>.
[RFC7983] Petit-Huguenin、M.およびG.Salgueiro、データグラムトランスポート層セキュリティ(DTLS)拡張(DTLS)拡張(DTLS)拡張(DTLS))、RFC 7983、DOI 10.17487 / RFC7983、2016年9月、<https://www.rfc-editor.org/info/rfc7983>。
[RFC8224] Peterson, J., Jennings, C., Rescorla, E., and C. Wendt, "Authenticated Identity Management in the Session Initiation Protocol (SIP)", RFC 8224, DOI 10.17487/RFC8224, February 2018, <https://www.rfc-editor.org/info/rfc8224>.
[RFC8224] Peterson、J.、Jennings、C、Rescorla、E.、およびC.Wendt、「セッション開始プロトコル(SIP)」、RFC 8224、DOI 10.17487 / RFC8224、2018年2月、<HTTPS)//www.rfc-editor.org/info/rfc8224>。
[RFC8839] Petit-Huguenin, M., Nandakumar, S., Holmberg, C., Keränen, A., and R. Shpount, "Session Description Protocol (SDP) Offer/Answer Procedures for Interactive Connectivity Establishment (ICE)", RFC 8839, DOI 10.17487/RFC8839, January 2021, <https://www.rfc-editor.org/info/rfc8839>.
[RFC8839] Petit-Huguenin、M.、Nandakumar、S.、Holmberg、C.、Keränen、A.、R. Shpount、「セッション説明プロトコル(SDP)オファー/回答手順インタラクティブ接続確立(ICE)」RFC 8839、DOI 10.17487 / RFC8839、2021年1月、<https://www.rfc-editor.org/info/rfc8839>。
[RFC8844] Thomson, M. and E. Rescorla, "Unknown Key-Share Attacks on Uses of TLS with the Session Description Protocol (SDP)", RFC 8844, DOI 10.17487/RFC8844, January 2021, <https://www.rfc-editor.org/info/rfc8844>.
[RFC8844] Thomson、M.およびE. RescoRA、「セッション記述プロトコル(SDP)」、RFC 8844、DOI 10.17487 / RFC8844、<https:// www。rfc-editor.org/info/rfc8844>。
Acknowledgements
謝辞
Thanks to Justin Uberti, Martin Thomson, Paul Kyzivat, Jens Guballa, Charles Eckel, Gonzalo Salgueiro, and Paul Jones for providing comments and suggestions on the document. Ben Campbell performed an Area Director review. Paul Kyzivat performed a Gen-ART review.
Justin Uberti、Martin Thomson、Paul Kyzivat、Jens Guballa、Charles Eckel、Gonzalo Salgueiro、およびドキュメント上でコメントや提案を提供するためのポール・ジョーンズのおかげでおかげでください。ベン・キャンベルはエリアディレクターのレビューを行いました。Paul KyzivatはGen-Art Reviewを実行しました。
Authors' Addresses
著者の住所
Christer Holmberg Ericsson Hirsalantie 11 FI-02420 Jorvas Finland
Christer Holmberg Ericsson Hirsalantie 11 Fi-02420 Jorvas Finland
Email: christer.holmberg@ericsson.com
Roman Shpount TurboBridge 4905 Del Ray Avenue, Suite 300 Bethesda, MD 20814 United States of America
Roman Shpount Turbobridge 4905 Del Ray Avenue、Suite 300 Bethesda、MD 20814アメリカ合衆国
Email: rshpount@turbobridge.com