Sécuriser l’itinérance 5G sans compromettre la connectivité mondiale

Actualités de de l'Intelligence Artificielle - Machine Learning - Objets connectés

Sécuriser l’itinérance 5G sans compromettre la connectivité mondiale


La part de marché croissante des vols de correspondance sur les liaisons intercontinentales est en grande partie due au succès du modèle aéroportuaire en étoile tel que les aéroports internationaux de Dubaï et d’Istanbul. Le modèle Hub pour les compagnies aériennes et les passagers a transformé le concept d’un monde connecté, plaçant la grande majorité des destinations à seulement deux vols. Aujourd’hui, il est possible de voler de Mardin à Delhi et de là à plusieurs endroits, établissant des connexions qui seraient inimaginables autrement.

Comme dans l’industrie aéronautique, les hubs d’itinérance ont alimenté la concurrence, favorisé de nouvelles routes et permis un large éventail de nouveaux modèles commerciaux. Comme pour les hubs aéroportuaires, afin d’étendre leur portée, de nombreux opérateurs utilisent des hubs d’itinérance lors de leur démarrage ou lorsque l’opportunité commerciale n’est pas suffisamment importante pour justifier une nouvelle connexion bilatérale. Cela a du sens, car ces hubs offrent une couverture instantanée et étendue des partenaires d’itinérance.

Comme avec la génération précédente de technologies sans fil, les hubs d’itinérance devraient jouer un rôle important dans le lancement de l’itinérance 5G. Cependant, l’exploitation de hubs itinérants dans un environnement 5G présente une série de défis en raison de la sécurité 5G par l’architecture de conception.

Dans le cadre des mesures mises en œuvre pour améliorer la sécurité 5G, l’ensemble de l’architecture d’itinérance est basée sur des connexions bilatérales directes entre deux partenaires d’itinérance.

Les solutions d’itinérance 5G disponibles conformes aux normes 3GPP exigent que les partenaires d’itinérance établissent une connexion sécurisée directe entre leur proxy de protection contre les bords de sécurité (SEPP) sans intermédiaire.

Il s’agit d’un changement radical par rapport au modèle hop-by-hop utilisé aujourd’hui, qui permet par exemple aux fournisseurs IPX de jouer un rôle dans cet écosystème. La GSMA, l’organisme industriel représentant l’écosystème mondial des communications mobiles, a lancé un groupe de travail pour empêcher la perturbation du modèle d’entreprise d’itinérance bien établi pendant que l’industrie passe de la 4G à un écosystème 5G plus sécurisé. Les scénarios d’itinérance 5G suivants sont actuellement en discussion dans le groupe GMSA 5G Mobile Roaming Revisited (5GMRR) dont Mobileum est un contributeur très actif:

  • Vanilla 3GPP: les opérateurs connectent leurs SEPP en utilisant TLS (Transport Layer Security) – L’inconvénient de cette approche pour le modèle commercial d’itinérance actuel est qu’elle rend techniquement plus difficile la prise en charge du rôle existant des opérateurs de VAS itinérants, des HUB itinérants et des opérateurs IPX . S’il s’agit peut-être de la solution la plus sûre pour les accords bilatéraux, elle fera également reculer le secteur en termes de flexibilité, ce qui rendra plus difficile le lancement et l’expansion rapides de nouveaux accords de couverture mondiale.
  • PRINS (Protocol for N32 Interconnect Security) – Une autre option «actuellement sur la table» est PRINS, également spécifié dans 3GPP où le MNO permet à certaines des informations échangées entre les SEPP d’être manipulées par des tiers, tels que les fournisseurs IPX, dans un moyen pour que chaque partenaire itinérant sache quels champs ont été modifiés par qui. Lorsque le fournisseur IPX effectue une modification, il valide cette modification avec un certificat, et le MNO destinataire peut vérifier qui a effectué la modification et sa conformité avec les autorisations. En plus d’être complexe à gérer, cette option présente également des problèmes techniques liés au fait que les opérateurs préfèrent souvent ne pas indiquer au partenaire d’itinérance quelle était la valeur d’origine lorsqu’un champ est modifié.
  • SEPP externalisé (Security Edge Protection Proxy) – 3GPP précise que SEPP est à la limite du périmètre de sécurité d’un opérateur mobile, ce qui a ouvert la porte à la possibilité d’externaliser le SEPP à un tiers. Les scénarios où cela a du sens incluent des opérateurs de groupe dans une région fournissant un point de sortie unique ou pour des connexions dont la maintenance en interne serait trop coûteuse. Les fournisseurs IPX ou les hubs itinérants peuvent prendre en charge la gestion de la connexion sécurisée avec les partenaires itinérants. Le principal inconvénient est que la connexion entre le SEPP et le cœur 5G de l’opérateur n’est plus interne et doit être soigneusement sécurisée. La solution est similaire à un concept que nous connaissons de la 4G sous le nom de «DEA hébergée». Lorsque le fournisseur IPX héberge la fonction SEPP, il peut appliquer le VAS nécessaire et appliquer TLS vers le SEPP de l’autre MNO (ou le fournisseur IPX de l’autre MNO).

Ces solutions ne sont bien sûr pas mutuellement exclusives, mais le fait de prendre en charge à la fois PRINS et TLS direct entraînera une augmentation de la complexité et des coûts et, par conséquent, des retards dans la mise en place d’une couverture mondiale d’itinérance 5G. L’industrie ne veut pas se retrouver dans un scénario comme avec l’itinérance VoLTE où les opérateurs ne savaient pas quel modèle d’itinérance GSMA adopter, Local Break-Out (LBO) ou S8 Home Routed (S8HR).

Selon nous, l’industrie ne devrait pas suivre une voie qui rend impossible le déploiement de hubs itinérants, car ils sont essentiels pour créer un monde véritablement interconnecté. Le «coût» de sécurité de l’accès des hubs itinérants de confiance à certaines informations privilégiées sur les abonnés itinérants doit être mis en balance avec les avantages. En outre, l’utilisation des hubs d’itinérance n’est pas obligatoire et les informations auxquelles ils ont besoin d’accéder sont partagées avec des partenaires d’itinérance qui peuvent dans certains cas être encore moins dignes de confiance.

Mobileum s’efforce de faire en sorte que le groupe de travail 5GMRR définisse des lignes directrices pour un modèle d’itinérance 5G flexible, pratique et sécurisé qui représente le meilleur compromis entre la sécurité, la facilité d’utilisation et la prise en charge des activités actuelles.

Tout en travaillant avec ses pairs et ses clients pour créer les normes qui permettent la flexibilité et la sécurité de l’itinérance 5G, Mobileum conçoit également des solutions 5G qui sécurisent la connectivité mondiale, à savoir:

  • SEPP – contrôle du plan de contrôle dans une relation itinérante
  • Pare-feu 5G – complétant le SEPP pour sécuriser le réseau central 5G contre les attaques
  • SCP – régulation du flux de messages entre les fonctions réseau du réseau visité et du réseau domestique

Si vous souhaitez obtenir plus de détails, veuillez laisser votre commentaire ci-dessous ou Nous contacter.

Itinérance 5G