Quelles sont les fonctions en charge de la sécurisation de l'accès au réseau 5G? Telle est la question à laquelle nous allons répondre dans cette vidéo. De quoi parlons-nous exactement? Nous traitons du domaine Network access security ou Sécurité de l'accès au réseau, c'est-à -dire à l'ensemble des fonctions qui permettent à un UE d'accéder de façon sûre aux services à travers le réseau, que ce soit via un accès 3GPP ou une station de base 5G, ou un accès non 3GPP, typiquement un point d'accès WiFi. Pour assurer la sécurité, il y a besoin d'un terminal bien sûr, avec sa carte USIM et il va y avoir des fonctions à la fois dans le réseau d'accès, dans le réseau cœur visité et dans le réseau nominal et bien sûr des échanges de messages entre ces réseaux. Un réseau 5G s'appelle un PLMN comme pour les générations précédentes, pour Public Land Mobile Network, Public car le réseau est ouvert au public. Un PLMN peut être opéré par un opérateur privé. Dans un PLMN, nous trouvons l'UDM, c'est-à -dire la base de données des abonnés ou User Data Management, l'AUSF dont nous parlerons plus tard, l'AMF, Access and Mobility Function qui gère l'accès au réseau des terminaux et leur mobilité. Le SMF, Session Management Function, lui contrôle l'UPF ou User-Plane Function, qui est en charge de l'acheminement des données de l'utilisateur. Dans l'UDM, nous trouvons une première fonction de sécurité qui s'appelle l'Authentication credential Repository and Processing Function ou ARPF. Pour insister sur le fait que la sécurité est quelque chose de très important, on a défini par un nom spécifique la fonction ou les fonctions qui s'occupent de la sécurité. C'est peut-être aussi que les concepteurs de la 5G trouvaient qu'il n'y avait pas assez de sigles, et ils en ont rajoutés ! Que fait l'ARPF? Il va stocker les clés permanentes de l'abonné, ces clés ne sortant jamais de l'ARPF. Et il va produire des vecteurs d'authentification comprenant un résultat permettant de vérifier l'authentification, des clés mères pour l'intégrité et le chiffrement. Concrètement, nous l'avons dit, l'ARPF est localisé dans l'UDM. Il y a une autre fonction qui est localisée dans l'UDM et qui a trait au camouflage de l'identité. L'identité permanente en 5G s'appelle le subscription permanent identifier ou SUPI. On évite de transmettre cette identité sur la voie radio. Pour cela, une nouvelle identité qu'on peut appeler identité camouflée est définie. Elle est appelée le SUCI ou Subscription Concealed Identifier. Le SUCI c'est une version chiffrée et protégée contre les modifications par un attaquant du SUPI. La fonction qui permet à partir d'un SUCI qui a été créé par un UE d'obtenir le SUPI s'appelle donc le SIDF. Le SIDF est localisé dans l'UDM, mais cela pourrait être aussi une fonction complètement externe à l'UDM. L'AUSF est le serveur d'authentification. Il va calculer des vecteurs d'authentification pour chaque réseau qui en fait la demande. Il transmet à chaque fois un seul vecteur. C'est interdit d'en transmettre plus d'un. C'est lui aussi, et c'est un point important, qui va vérifier l'authentification de l'abonné. Il est toujours localisé dans le réseau nominal de l'abonné. Dans le réseau visité, l'élément qui va permettre de prévérifier l'authentification et qui prend le rôle d'un authentificateur de passage s'appelle le SEAF pour Security Anchor Function. Il prévérifie l'authentification, nous l'avons dit, et il va aussi calculer les clés filles à partir de clés mères envoyées par l'AUSF pour l'intégrité et pour le chiffrement. Encore une fois, il ne fait aucune réserve de vecteurs d'authentification. Le SEAF est localisé dans l'AMF. L'AMF joue aussi un rôle en tant qu'AMF pour la sécurité. C'est en effet lui qui va chiffrer et contrôler l'intégrité des messages Non Access Stratum (NAS) qui sont échangés entre l'UE et l'AMF et qui passent physiquement bien sûr par les gNB. Le gNB gère aussi le chiffrement pour tout ce qui est données et messages transmis sur la voie radio. Le gNB et l'AMF vont donc avoir comme rôle le calcul des clés de chiffrement et d'intégrité qui sont toujours déduites de clés mères, et pour chaque bloc transmis, vérifier les redondances d'intégrité, les calculer d'abord en émission, les vérifier en réception, et effectuer le chiffrement et le déchiffrement. En conclusion, les fonctions réseaux qui assurent la sécurité sont l'UDM parce qu'il intègre la fonction d'ARPF, (stockage des clés long terme) de SIDF pour dévoiler l'identité réelle à partir de l'identité camouflée. D'autre part, le serveur d'authentification, toujours dans le réseau nominal, qui vérifie l'authentification, et l'AMF en tant que SEAF, ancre de sécurité et parce que il s'occupe de la sécurisation des messages NAS. Enfin, le gNB pour tout ce qui est transmission radio. [MUSIQUE]
