Le proxy de protection de bord de sécurité (SEPP) est un proxy qui se trouve au périmètre du réseau PLMN et permet une communication sécurisée entre les messages du réseau inter-PLMN. Il protège le réseau domestique et agit comme une passerelle de sécurité. Situé à la périphérie du réseau, il gère les connexions entre le réseau domestique et les réseaux visités.

Security Edge Protection Proxy (SEPP) (Source : mobileum)

Le SEPP prend en charge les fonctions suivantes :

• Fournit l'authentification, la protection de la confidentialité et la protection de l'intégration pour le trafic de signalisation SBI interPLMN entre les NF 5GC
• Implémente l'interface N32 pour l'interconnexion entre les éléments de réseau vSEPP :
   N32-C (plan de contrôle) : N32-C est utilisé pour négocier la capacité de sécurité entre le SEPP local et le SEPP distant.
   N32-F (plan de transfert) : qui effectue le chiffrement/déchiffrement des messages vers/depuis le SEPP d'autres PLMN en fonction de la capacité négociée.
• Fournit une fonctionnalité de masquage de topologie en masquant les informations de topologie interne d'un PLMN aux parties externes.
• Les fonctionnalités de contrôle de routage flexible et de résilience de SEPP permettent le routage des messages d'entrée inter-PLMN vers les NF du réseau central et le routage des messages de sortie inter-PLMN vers l'interconnexion. SEPP prend également en charge le routage alternatif en cas de message d'erreur du vSEPP ou la réexécution de la demande avec le même fournisseur en cas d'expiration du délai.
• Prend en charge la configuration des profils de partenaires d'itinérance et Profils de fournisseur IPX utilisés pour le routage inter-PLMN des messages.

Architecture d'itinérance du système 5G (Source : moniem-tech)

Pour protéger les messages envoyés via l'interface N32, SEPP :

• Reçoit tous les messages de la couche de service de la fonction réseau (NF) et les protège avant de les envoyer hors du réseau sur l'interface N32.
• Reçoit tous les messages sur l'interface N32 et les transmet à la fonction réseau appropriée après vérification de la sécurité, le cas échéant.

Flux d'appels du proxy de protection de périphérie de sécurité (SEPP)

• Flux N32-C :
Ce qui suit est exécuté pour le flux N32-C : il s'agit du plan de contrôle de l'interface N32. Lorsque les SEPP se sont mutuellement authentifiés et lorsque le mécanisme de sécurité négocié à utiliser sur N32 est la sécurité de la couche transport, les SEPP utilisent la connexion TLS établie (connexion N32-c) pour négocier les paramètres de configuration de sécurité associés spécifiques à N32. Si la négociation de la capacité de sécurité n'est pas terminée, SEPP ne peut traiter aucun message de données (N32-F) provenant du SEPP distant.
• Flux N32-F :
Le diagramme suivant illustre un exemple de flux d'appel N32-F entre le consommateur et fournisseur SEPP :

Flux N32-F (Source : moniem-tech)

Source : https://moniem-tech.com/2023/01/12/what-is-5g-security-edge-protection-proxy-sepp/