Comment la sécurité est-elle assurée dans le réseau d'accès radio d'un système 5G? Telle est la question à laquelle nous allons répondre dans cette vidéo. Nous reprenons une représentation très schématique de l'ensemble d'un réseau 5G avec les différents sous-domaines. Il s'agissait dans la semaine 4 d'assurer la sécurité de l'accès au réseau. Il fallait, par exemple, éviter que monsieur Hilarion Lefuneste n'écoute les conversations de monsieur Achille Talon. Il fallait donc des clés spécifiques à chaque utilisateur, à chaque carte SIM. Ici, nous cherchons à assurer la sécurité du domaine réseau, c'est-à -dire à permettre aux nœuds du réseau d'échanger de façon sûre de la signalisation et des données utilisateurs. Il s'agit de faire une protection globale pour l'opérateur de tous les échanges vis-à -vis d'une écoute externe. Nous regardons plus spécialement le cas des échanges au sein d'un réseau d'accès 3GPP et aussi d'assurer la sécurité des liaisons avec le réseau cœur. Nous reprenons une version très simplifiée de l'architecture 5G avec un gNB connecté éventuellement à un autre gNB qui dialogue avec un AMF et avec un UPF. Les différents points de référence marqués ici sont de type non SBI. Il faut assurer la sécurité. Il se peut que l'opérateur installe par exemple une fibre optique spécifique pour relier le gNB à l'AMF. Dans ce cas-là , on a une liaison de transport dédiée, et la sécurité est assurée à un niveau physique, parce qu'il n'est pas possible de s'insérer dans la fibre optique sans être détecté. Utiliser la sécurisation au niveau physique est un choix possible de l'opérateur. Le plus souvent, il y a interconnexion avec d'autres réseaux ou possibilité, par exemple pour de la télémaintenance, à un utilisateur externe d'accéder à un gNB. Il faut donc utiliser une solution cryptographique pour assurer la sécurité. On utilise dans ce cas une cryptographie de type asymétrique, c'est-à -dire que chaque fonction, l'UPF par exemple, est pourvue d'une clé privée et d'une clé publique. Il faut s'assurer que la clé publique et l'identité présentée par l'UPF sont dignes de confiance. On a donc recours à une infrastructure à clés publiques, PKI, Public Key Infrastructure, qui est basée sur une autorité de certification. Il va y avoir création de certificats qui permettent de s'assurer que l'identité du gNB et la clé publique qu'il présente sont dignes de confiance. Cela est fait par un format de certificat spécifié par l'Union internationale des télécommunications dans la recommandation X509. Pour les interfaces non SBI, il y a d'abord l'authentification basée sur des certificats, et ensuite, une sécurisation réalisée dans la couche réseau avec IPSec, Internet Protocol Security. IPSec permet de nombreuses options, ce qui est utilisé pour établir une association de sécurité, c'est-à -dire s'assurer qu'on a la même clé de chiffrement et la même clé pour le calcul d'intégrité dans la NF A-1 et la NF A-2 dans l'exemple que j'ai pris. On utilise le protocole Internet Key Exchange v2, ou IKEv2. Une fois qu'on a une clé de chiffrement commune, on peut procéder à une transmission sécurisée. Ce qui est utilisé c'est le protocole ESP pour Encapsulating Security Payload, qui est spécifié par l'IETF dans la RFC 4303. Le mode utilisé est le mode tunnel. On prend le paquet IP à transmettre avec son entête et on va le placer dans un autre paquet IP suivant le principe de l'encapsulation ; ce paquet IP ayant un entête qui est en clair, ce qui permet au routeur de router sans problème le paquet en analysant l'adresse de destination. Le paquet interne, lui, est chiffré pour assurer la confidentialité. On ajoute un entête spécifique à ESP avec notamment un compteur, et l'ensemble du paquet chiffré et de l'entête rajouté est contrôlé en intégrité par l'adjonction d'un message d'authentification MAC, qui est représenté ici. Les services de sécurité sont donc l'authentification, la confidentialité grâce au chiffrement du paquet, l'intégrité grâce au mécanisme de contrôle, et la protection contre le rejeu grâce à un compteur dans l'entête ESP. L'opérateur, en utilisant IPSec, a la possibilité de protéger son réseau. On définit un domaine de sécurité comme étant un réseau ou un sous-réseau avec le même niveau de sécurité et d'utilisation des services de sécurité. Un domaine de sécurité est géré par une unique autorité administrative. Un domaine de sécurité peut être l'ensemble du réseau d'accès d'un réseau 5G ou il peut y avoir organisation de plaques régionales, et chaque plaque régionale peut constituer un domaine de sécurité. Afin de protéger un domaine de sécurité tout en permettant des interconnexions, on définit une passerelle de sécurité ou Security Gateway. Cette passerelle de sécurité va dialoguer en IPSec avec les différents éléments, et va aussi établir un tunnel sécurisé avec d'autres passerelles de sécurité. La passerelle de sécurité applique une politique de filtrage et a des fonctionnalités de pare-feu. Il peut y avoir plusieurs passerelles de sécurité dans un même domaine de sécurité pour éviter les points de défaillance unique et aussi pour des questions de partage de charge. Il y a, bien sûr, obligation pour l'opérateur de sécuriser de façon physique la passerelle SEG elle-même. En conclusion, la sécurité dans le domaine réseau pour les interfaces non SBI se fait précisément dans la couche réseau. Elle est basée sur la boîte à outils standard de l'IETF et un mécanisme de cryptographie asymétrique. On utilise une infrastructure de clé publique ou PKI, et un mécanisme de certificats. On utilise IPSec, plus précisément IKEv2 pour l'association de sécurité et ESP pour chiffrer les paquets, et on l'utilise un mode tunnel. Chaque paquet est mis dans un paquet chiffré et protégé. L'intérêt de travailler au niveau réseau c'est que le paquet IP peut transporter un datagramme UDP ou un segment TCP, ou un message de signalisation qui est en SCTP, peu importe le protocole de transport utilisé. Il y a définition d'une passerelle de sécurité ou SEG qui permet de fournir une interconnexion sécurisée avec d'autres domaines de sécurité. Les services de sécurité sont l'authentification, la confidentialité, le contrôle de l'intégrité et la protection contre le rejeu. Tout ce que nous avons vu s'applique également aux réseaux 4G. Il n'y a pas de différence majeure entre la 4G et la 5G en ce qui concerne cette sécurisation en utilisant IPSec et les protocoles qui en dépendent. [MUSIQUE] [MUSIQUE]
