Comment est-il possible d'assurer la sécurisation de l'utilisation d'un service NF par une instance de NF qui se trouve dans un réseau, un PLMN différent? C'est ce que nous allons voir dans cette vidéo. Nous retrouvons notre NF consommatrice, notre NF productrice. Mais dans ce cas particulier elles sont dans des réseaux différents. Cela est par exemple dû à un abonné, un UE qui va hors de son réseau nominal. Il va se trouver donc dans un réseau visité et la NRF du réseau visité s'appelle Visited NRF. Le réseau nominal ou Home NRF comporte une hNRF. Lorsque la NF consommatrice veut utiliser les services, la vNRF est donc aussi consommatrice de services cNRF et dans le réseau nominal on trouve la NRF fournisseur de services ou pNRF. Il y a bien sûr authentification mutuelle de chaque NF avec la NRF de son réseau. Nous savons que toutes les intéractions entre NF ou plutôt instance de NF de réseau différent, doivent passer par le SEPP ou Security Edge Protection Proxy. Nous retrouvons le cSEPP, côté consommateur le pSEPP. Et il y a bien sûr authentification mutuelle entre les SEPP mais également entre le SEPP et le NRF du même réseau, et entre le SEPP et chaque NF. Tout ceci crée en quelque sorte une chaîne de confiance. Pour gérer l'autorisation, on réutilise OAuth 2.0. Nous retrouvons le client OAuth la NF consommatrice, le possesseur de ressources OAuth, la NF productrice, et le serveur d'autorisation est l'instance de NRF qui se trouve dans le réseau nominal. Cette NRF va créer un jeton d'autorisation qui va être transmis via, bien sûr les SEPP, via la NRF du réseau visité jusqu'au client, OAuth ici, la NF consommatrice de services. Voyons sur un scénario plus concret. L'AMF veut utiliser un service d'un UDM mais dans des réseaux différents. Chaque instance a une identité d'instance unique et nous savons qu'il y a eu enregistrement de chaque instance auprès de son NRF et qui a par ailleurs l'ensemble des authentifications mutuelles et des liaisons TLS sécurisées qui sont établies. L'AMF recherche une instance d'UDM. De la même façon que dans la vidéo précédente, l'instance d'AMF utilise le service de découverte, mais dans ce cas, le service est fourni par le NRF producteur dans le réseau nominal. Pour identifier le réseau nominal, on place l'identité du réseau concerné. Cette identité est donnée par exemple par le terminal qui indique son identité permanente, qui comporte une identité de réseau. Le NRF indique l'identité de l'instance qui est recherchée et l'AMF va ensuite utiliser le service d'autorisation en faisant un POST, en précisant son identité, l'identité du réseau nominal, toujours les identités d'instances, les services désirés. Le cNRF vérifie que la demande est valide et va retransmettre, toujours via les SEPP, cette demande de jeton d'accès. Le jeton d'accès est créé par le pNRF, fourni toujours en passant par les SEPP au cNRF qui retransmet à l'instance d'AMF. Une fois que l'instance d'AMF a le jeton d'accès, elle peut envoyer les GET, les PUT, en plaçant ce jeton d'accès dans chaque demande et il y a vérification par l'UDM qui fournit le service, ou plutôt par l'instance d'UDM, que la demande est valide. En résumé, une NF consommatrice ne peut utiliser les services d'une NF productrice que si elle est autorisée. L'autorisation est gérée à l'aide du mécanisme OAuth 2.0, qui est un protocole d'autorisation. Dans le réseau nominal, le NRF du fournisseur de services, le pNRF, forme un jeton d'autorisation qui va être transmis à la NF consommatrice. Tous les échanges, lorsque on a des instances qui sont dans des réseaux différents, passent par le proxy, qui permet la sécurisation c'est-à -dire le SEPP. [MUSIQUE]
