AIS12 Couverture 4G 5G

L’architecte SEPP et les

mécanismes de sécurité
inter-opérateur

Couverture 4g, 5G

Corentin Gernigon - Josselin Mossard - Johann Bonvarlet

Table des matières

Table des matières 1

1. Définition de l'architecture SEPP 2
2. La sécurité de SEPP 2
3. Architecture de roaming 4
1. Architecture de roaming en mode paquet (4G/LTE/5G) 4
2. Architecture de roaming en mode IP (VoLTE/VoWiFi) 6

© Mossard - Gernigon - Bonvarlet 1

 1. Définition de l'architecture SEPP
Le BroadForward Security Edge Protection Proxy (BroadForward SEPP)
permet une interconnexion sécurisée entre les réseaux 5G. Le SEPP
garantit la confidentialité et / ou l'intégrité de bout en bout entre le réseau
source et de destination pour tous les messages d'itinérance 5G
interconnectés.

2.La sécurité de SEPP

Pour les réseaux 5G, les liaisons d'interconnexion entre deux domaines
réseau doivent être sécurisées par au moins une connexion TLS.
Contrairement aux connexions TCP et SCTP Diameter non sécurisées
actuellement utilisées en 4G avec l'agent Diameter Edge (DEA). Cela
améliore considérablement la sécurité dans les scénarios d'interconnexion
entre les réseaux (5G) et rend plus difficile pour les fraudeurs de lire,
modifier ou manipuler le contenu des messages.

Pour l'itinérance dans SBA, le SEPP assure la signalisation à travers les

frontières PLMN en proposant des demandes et des réponses pour le
PLMN(Public Land Mobile Network), en fournissant des mastics de
topologie, un pare-feu de signalisation, un filtrage des messages et des
capacités supplémentaires d'application de la politique. Chaque message
de plan de contrôle dans la signalisation inter-PLMN passe à la fois la
maison et les SEPP PLMN visités. De cette façon, le SEPP peut assurer la
protection des messages avant de les envoyer à un réseau externe ainsi
que la vérification des messages reçus de l'extérieur de leur propre réseau
avant de les transmettre aux NF appropriés ou aux next-hop SCP. La figure
1 affiche deux IPX (échangeurs de protocole Internet) entre le VPLMN et le

© Mossard - Gernigon - Bonvarlet 2

HPLMN, mais il est également possible d'avoir un seul ou même aucun IPX
(dans le cas de l'itinérance nationale, par exemple).

Figure 1: itinérance et SBA

Les SEPP s'authentifient à l'aide de la sécurité de la couche de transport

(TLS) sur l'interface du plan de commande N32 (N32-c), ainsi qu'à l'aide de
TLS pour protéger les messages sur l'interface de transfert N32. Chaque
SEPP doit avoir les informations d'identification du SEPP du partenaire
d'itinérance. Pour fournir des services dits à valeur ajoutée en itinérance, le
3GPP a également normalisé PRINS (Protocole pour N32 Interconnect
Security) sur N32-f pour permettre à l'IPX d'ajouter des modifications de
certains éléments de message tout en conservant les éléments d'origine.
Même si une seule partie nécessite sa fonctionnalité, PRINS nécessite le
support du VPLMN et du HPLMN, ce qui signifie qu'ils doivent tous deux
accepter la complexité que PRINS introduit pour les contrats,
fonctionnement et sécurité.
Alors que le SEPP assure la sécurité des messages de l'avion de contrôle, la
protection des messages du plan utilisateur dans la communication
inter-PLMN est assurée par la fonctionnalité de sécurité du plan utilisateur
Inter-PLMN (IPUPS) dans les UPF existants, qui sont contrôlés par les
V-SMF et H-SMF, comme illustré à la figure 1. IPUPS protège le trafic GTP-U
(GPRS Tunneling Protocol-User) en ne transmettant que du trafic valide via

© Mossard - Gernigon - Bonvarlet 3

le point de référence N9 inter-PLMN et en rejetant le trafic non valide
restant.

3. Architecture de roaming

1. Architecture de roaming en mode paquet

(4G/LTE/5G)

En fonction des politiques d'accès aux services d'itinérance utilisées par les
terminaux mobiles, deux types d'itinérance sont pris en charge :
L'itinérance à domicile et l'itinérance locale (LocalBreakOut).

© Mossard - Gernigon - Bonvarlet 4

L'itinérance à domicile permet aux abonnés d'accéder au réseau visité par
l'intermédiaire de la passerelle PDN domestique (H-PGW) et d'obtenir les
services fournis par leur réseau domestique.
L'itinérance avec rupture locale permet aux abonnés d'accéder au réseau
visité par l'intermédiaire de la passerelle PDN visitée (V-PGW) et d'obtenir
des services qui peuvent être fournis par le réseau d'origine ou le réseau
visité. La fonction de politique et de règles de facturation visitée (V-PCRF)
doit obtenir les politiques PCC du réseau d'origine auprès du PCRF
d'origine (H-PCRF) par l'intermédiaire de l'interface S9.
Les abonnés itinérants peuvent choisir l'acheminement à domicile, la
rupture locale ou les deux pour accéder à un réseau visité en fonction des
politiques d'accès aux services.

L'itinérance à domicile est largement utilisée dans les réseaux 2G/3G et

tous les bogues ont été corrigés. Au début du déploiement de l'itinérance
LTE, ce type d'itinérance est recommandé. L'agent Diameter Edge (DEA)
est déployé sur l'interface S6a.

LocalBreakOut peut réduire relativement les boucles du plan utilisateur et

les ressources de transmission nécessaires, réduisant ainsi le délai du
service d'itinérance et offrant une meilleure expérience à l'utilisateur.
Cependant, le contrôle des services, le contrôle des politiques et la
tarification sont complexes.

Pour résoudre les problèmes précédents, les politiques d'accès à

l'itinérance suivantes sont recommandées :
- Pour l'itinérance intra-réseau, les abonnés qui n'ont pas de services
spéciaux doivent utiliser LocalBreakOut, et les abonnés qui ont des
services spéciaux (tels que les VPN d'entreprise) doivent utiliser
Home-routed.
- Pour l'itinérance inter-réseaux, le Home-routed est recommandé au
début et au milieu du déploiement du LTE. Une fois que le réseau

© Mossard - Gernigon - Bonvarlet 5

 IPX (Internet Packet Exchange) est arrivé à maturité et que les
services locaux (tels que la voix) ont été largement déployés, les
opérateurs devraient utiliser l'itinérance LocalBreakOut.

2. Architecture de roaming en mode IP

(VoLTE/VoWiFi)

Mode S8HR(S8 Home Routed) :

En mode S8HR , ledefault bearerlié à l’APN IMS terminedans le réseau

nominal. L’architecture IMS n’est présenteque dans le réseau nominal.Le
default bearer lié à l’APN Internet termine toujours dans le réseau
nominal(mode HR).

S8HR pour le roaming VoLTE peut être considéré comme une extension
VoIMS et QoS du roaming LTE existant.

© Mossard - Gernigon - Bonvarlet 6

 - Il ne nécessite pas l'utilisation d'interconnexion IMS pour les flux en
roaming (une interconnexion IMS peut encore être nécessaire pour
terminer les appels entre réseau nominaux).
- Avec S8HR, les options pour l’appel d’urgence sont les suivantes :
- Appel d'urgence en utilisant Circuit-Switched Fallback
- Appel d'urgence IMS sans enregistrement d'urgence IMS
(appel d’urgence anonyme)
- Avec S8HR, il n'y a pas d'optimisation du chemin du média. Les
appels VoLTE sont acheminés au réseau nominal de l’appelant via
l'APN IMS sur l'interface S8. Le réseau nominal contrôle
complètement le routage des appels VoLTE (non urgents).
- Le réseau visité est transparent au service, mais il n’est pas
transparent à la QoS et à l'APN.
- Le réseau visité supporte toutes les capacités E-UTRAN et EPC afin
de servir les roamers-in, e.g., l'indication de prise en charge de la
VoLTE, QCI = 1 pour la voix conversationnelle; et QCI = 5 pour la
signalisation SIP.
- SRVCC (Single Radio Voice Call Continuity) est possible avec
l’architecture SIP-I ou CS-NNI5CircuitSwitched –Network to Network
Interface).

Avantages de S8HR pour le roaming VoLTE :

- S8HR utilise le même mécanisme de tunnel GTP que le trafic LTE en
roaming LTE. Il est donc techniquement plus rapide à déployer que
LBO.
- Avec l'adoption rapide des réseaux LTE, S8HR a une portée mondiale
immédiatement.
- S8HR utilise les mêmes composants déjà présents dans l'EPC. En
effet, le système IMS n’est pas utilisé dans le réseau de l’opérateur
visité. De plus, étant donné que la plupart des appels en roaming

© Mossard - Gernigon - Bonvarlet 7

 sont généralement terminés dans le pays d'origine, l'opérateur
d'origine peut exploiter son infrastructure vocale existante et ses
interconnexions opérateur pour terminer les appels de manière
fiable et économique.
- S8HR est considéré avec des données utilisant un APN spécifique et
une QCI spécifique, par l'opérateur visité. Les mêmes tarifs de
données inter-opérateur peuvent et sont utilisés entre partenaires de
roaming, et il n'est pas nécessaire de modifier les accords de
roaming pour les services IMS.

Mode LBO (Local Breakout) :

En mode LBO, ledefault bearerlié à l’APN IMS terminedans le réseau visité.

L’architecture IMS est présenteen partie dans le réseau visité et en
partiedans le réseau nominal.L’IMS visité et l’IMS nominal sont
interconnectés via des ISBC (Interconnect Session Border
Controller)d’opérateurs internationaux. Le default bearer lié à l’APN
Internet termine toujours dans le réseau nominal(mode HR).

© Mossard - Gernigon - Bonvarlet 8

Avantages de VoLTE en mode LBO :
- Comme le réseau visité et le réseau nominal utilisent l’IMS, il y a une
meilleure visibilité sur le plan contrôle et le plan usager durant
l’appel.
- LBO supporte pleinement l'interception légale et le traitement des
appels d'urgence. Le réseau visité fournit l’accès à la signalisation et
au média aux law enforcement agencies (LEAs).
- LBO prend mieux en charge la gestion des appels d'urgence. L’IMS
du réseau visité permet l’authentification de l’usager pour l’appel
d’urgence et l’acheminement de l’appel d’urgence.
- SRVCC (Single Radio Voice Call Continuity), i.e., le transfert
intercellulaire du réseau IMS au réseau 3G est pris en charge, ce qui
garantit la continuité d'un appel vocal entre les réseaux LTE et le
domaine circuit 3G.

© Mossard - Gernigon - Bonvarlet 9