Reconnaissez-vous ces défis
La sécurité renforcée qu’offre la 5G impose des contraintes supplémentaires aux opérateurs de réseaux mobiles ::
- Protection des stations de base rapprochées contre des menaces telles que le traçage des appareils, l’interception des appels, le brouillage des fréquences, les attaques physiques ou encore le flooding.
- Implémentation de l’authentification mutuelle basée sur TLS et de la sécurité du transport entre les fonctions réseau (NF) dans l’architecture basée sur les services (SBA), comme le prescrit la spécification 5G de la norme 3GPP.
- Automatisation de la gestion du cycle de vie des certificats pour les NF, afin de tenir la fréquence des mises à jour imposées par les stratégies de déploiement en continu.
- Infrastructure à clé publique (PKI) pour répondre aux exigences des plateformes de virtualisation.
- PKI pour la gestion du Subscription Concealed Identifier (SUCI).
PROTECTION DES LIAISONS
Dans les réseaux mobiles 5G, les stations de base et les petites cellules sont déployées dans une zone non sécurisée, imposant la sécurisation de la connexion au réseau dorsal pour garantir la confidentialité et l’intégrité des liaisons de communication non protégées, et prévenir toute exploitation malveillante.
Les éléments communiquant sur un réseau non sécurisé s’appuient sur une authentification forte à clé publique basée sur les certificats des machines. Ces certificats sont régulièrement requis et renouvelés par l’autorité de certification (CA) de la PKI d’entreprise, généralement au moyen des protocoles standard Simple Certificate Enrolment Protocol (SCEP) et Certificate Management Protocol (CMP).
COMMUNICATION SÉCURISÉE DES FONCTIONS RÉSEAU
Conformément à la norme 3GPP Rel-15 (TS 33.501), les NF de l’architecture SBA (Service-Based Architecture) 5G Core (5GC) communiquent entre elles sur la base de l’authentification mutuelle et de la sécurité assurées par TLS, ainsi que d’une autorisation basée sur un token OAuth 2.0.
La communication repose sur l’exploitation d’une PKI au sein du réseau, dans laquelle une autorité de certification (CA) délivre des certificats à chacun des points terminaux de communication.
L’architecture de micro-services 5GC, avec un déploiement et des mises à jour en continu, ainsi que l’utilisation globale de TLS pour les connexions entre les NF, constituent en outre une nécessité dans le cadre de procédures hautement automatisées d’émission et de gestion des certificats.
INFRASTRUCTURE PKI DE PLATEFORMES DE VIRTUALISATION
Dans les réseaux mobiles SBA 5G, soumis à de fortes exigences réglementaires, la question du contrôle des certificats par les tenants peut s'avérer complexe.
Afin de ne pas compromettre la sécurité, il est important que les certificats utilisés par les plateformes de virtualisation, par exemple Kubernetes, aient leur racine dans une CA externe officiellement gérée plutôt que d’être générés par la plateforme de virtualisation elle-même.
PKI SUCI
L’identité de l'abonné (IMSI) n’est pas transmise en clair dans la communication réseau 5G ; une identité chiffrée, appelée Subscription Concealed Identity (SUCI), lui est substituée.
Ce chiffrement asymétrique s’appuie sur la PKI, la clé privée étant stockée dans le composant réseau UDM et la clé publique dans la carte SIM.
Comment cela fonctionne-t-il ?
Nexus Smart ID Certificate Manager génère des identités de confiance basées sur des certificats PKI, et gère leur cycle de vie, en s’appuyant sur des protocoles standard de gestion de certificats, notamment ACME, SCEP, EST et CMP.
Nexus Smart ID, et le service GO IoT associé, s’appuient sur des produits éprouvés et évolutifs, testés et mis à jour en permanence. Cette solution multi-CA et multi-tenant vous permet d’adapter à vos besoins la hiérarchie, l’administration et le reporting de la PKI. Dotée de nombreuses fonctionnalités d’automatisation, la solution Nexus bénéficie de notre solide expérience en ce domaine.
Pourquoi Nexus
La plate-forme Nexus PKI pour LTE/5G présente les principaux avantages suivants :