Comment est-il possible d'assurer une sécurisation de l'utilisation des services fournis par une fonction réseau, une NF, dans un réseau 5G? C'est ce que nous allons voir dans cette vidéo, et nous commençons par voir l'autorisation au sein d'un même réseau 5G. Une interface SBI repose sur deux principes essentiels. Tout d'abord, des services fournis par une fonction réseau se font en manipulant des ressources, en les créant ou en lisant leur état. D'autre part, a priori, une fonction réseau, une NF, fournit des services qui peuvent être utilisables par n'importe quel NF. Il y a bien sûr pour d'évidentes questions de sécurité, des restrictions à cela. Il faut faire en sorte qu'une NF ne puisse utiliser des services que si elle y est autorisée. Nous avons une NF consommatrice qui veut utiliser des services d'une NF productrice, c'est-à -dire accéder à des ressources. Ce que nous désirons c'est gérer une autorisation ou non d'accéder à ces ressources. Nous savons qu'il y a une fonction clé dans un réseau 5G, c'est le NRF ou Network Function Repository Function. Chaque instance de NF établit une authentification mutuelle avec le NRF. Nous avons donc authentification mutuelle entre la NF consommatrice et l'instance de NRF ainsi que entre la NF productrice. Cette authentification est basée sur un certificat. L'autorisation est gérée avec OAuth2.0 pour Open Authorization. Nous avons sans doute déjà utilisé OAuth. C'est le cas lorsque pour utiliser des services Web, nous nous connectons avec notre compte de réseau social ou de grand moteur de recherche. Dans OAuth2.0 sont définis trois intervenants. Il y a d'abord le client, celui qui veut accéder aux ressources, le possesseur de ces ressources qui ici va être la NF productrice, et un serveur d'autorisation qui ici est joué par le NRF. Le NRF va créer un jeton d'accès qui va être signé à l'aide de mécanismes cryptographiques basés sur la cryptographie asymétrique, et pour toute demande, la NF consommatrice va placer ce jeton qui va être vérifié par la NF productrice, le possesseur des ressources. Cela suppose que la NF productrice a indiqué les services qui sont accessibles et qui peut y accéder. Ceci est fait pendant le mécanisme d'enregistrement. Voyons un petit peu plus précisément comment cela fonctionne sur un exemple. Nous avons ici une instance d'AMF, une instance d'UDM. Lors de l'initialisation, il y a eu l'enregistrement de cette instance auprès du NRF. Chaque instance tire une identité unique UUID qui est utilisée comme identité d'instance, ici nfinstanceid1 et pour l'instance d'UDM, nfinstanceid2. Dans la demande d'enregistrement, l'instance d'UDM va indiquer son profil, va indiquer les services qui sont accessibles et qui peut y accéder. L'enregistrement est fait préalablement et à un instant donné, cela peut être beaucoup plus tard, l'AMF par exemple a besoin de dialoguer avec une instance d'UDM, d'utiliser des services. L'AMF pour cela va utiliser le service de découverte offert par le NRF matérialisé par l'API nnrf-disc. Dans la demande, il va passer le type de NF recherché, des critères, et le NRF va en retour indiquer l'identité de l'instance nfinstanceid2 et soit le FQDN, Fully Qualified Domain Name, soit l'adresse IP de cette instance. Sur réception du message 200 OK, l'instance d'AMF va utiliser le service d'autorisation. L'instance fait un POST en indiquant comme API le service OAuth2.0 et va demander la création d'une ressource qui est ici un jeton. Dans la demande, sont précisés le numéro de l'instance de celui qui fait la demande, l'identité de l'instance de la fonction pour laquelle on veut l'autorisation, nudm c'est le type de NF, et on va avoir également les services que l'AMF veut utiliser. Le NRF à partir du profil de l'UDM va faire les vérifications nécessaires et va engendrer un jeton d'accès qui a une signature cryptographique. Il va renvoyer un message 200 OK dans lequel il y a ce jeton et une date limite de validité. Une fois que l'instance d'AMF a le jeton, elle peut envoyer tous les GET, les POST, les PUT qu'elle veut à partir du moment où elle place bien ce jeton d'accès. L'UDM vérifie l'intégrité du jeton, vérifie qu'il y a bien autorisation pour le service demandé et si c'est le cas, va exécuter le service et renvoyer par exemple 200 OK. Lorsque la limite de validité du jeton est atteinte, à ce moment-là , l'instance d'UDM transmet un message de type 300 de renvoi vers le NRF pour demander un nouveau jeton d'accès. [MUSIQUE]
