Mặt phẳng điều khiển của miền mạng UMTS được chia thành các miền bảo mật. Cổng bảo mật (SEG) là các thực thể tại biên của các miền bảo mật IP được sử dụng cho việc đảm bảo các giao thức gốc dựa trên IP. Đáng lưu ý là NDS không dành cho mặt phẳng người sử dụng, trong đó một gói tin đi vào mặt phẳng người dùng sẽ không được bảo vệ bởi các SEG. Chức năng quản lý chủ chốt tách biệt với SEG một cách hợp lý; và trung tâm quản lý chính (KAC) đàm phán các liên kết bảo mật IPsec (SA) bằng cách sử dụng giao thức trao đổi khóa liên mạng (IKE), thay cho các thực thể mạng (NES) và các SEG. Các KAC cũng phân phối các thông số SA cho NES hay các SEG thông qua các giao diện chuẩn.
Để bảo đảm lưu lượng IP giữa hai thiết bị mạng (NES), hai dạng có thể được áp dụng: dạng theo từng chặng hoặc dạng từ đầu cuối đến đầu cuối. Dạng trước tiên yêu cầu tạo ra NE để thiết lập một đường hầm IPsec cho SEG thích hợp trong cùng một miền bảo mật và chuyển dữ liệu đến đó. SEG kết thúc đường hầm này và gửi dữ liệu thông qua một đường hầm IPsec khác đến mạng nhận dữ liệu. Đường hầm thứ hai được kết thúc bởi SEG trong miền tiếp nhận, lần lượt sử dụng IPsec để truyền dữ liệu đến đích cuối cùng của nó. Dạng thứ hai chỉ ra rằng một SA IPsec là thiết lập giữa hai NES. Dạng này cũng có thể được áp dụng trong trường hợp hai NES cùng thuộc miền bảo mật.
Sự xác thực node có thể được thực hiện bằng cách sử dụng khóa bí mật đối xứng tiền chia sẻ hoặc khóa công cộng. Sử dụng khóa đối xứng tiền chia sẻ có nghĩa là các KAC hoặc các NES không có phải thực hiện các phép toán về khóa công cộng. Điều này cũng có nghĩa là không cần thiết lập một cấu trúc khóa công khai. IPsec có thể được cấu hình trong dạng vận chuyển hoặc trong dạng đường hầm. Bất cứ khi nào có ít nhất một điểm cuối là cửa ngõ, rồi đến các đường hầm phù hợp hơn. Cuối cùng, giao thức IPsec sẽ luôn luôn là ESP (tức là, giao thức đóng gói bảo mật tải trọng), cho rằng nó có thể cung cấp bảo mật và bảo vệ toàn vẹn tại cùng thời điểm.