5G AUSF : Fonction d’authentification dans le réseau

5G
| fdd

5G AUSF : Fonction d’authentification dans le réseau

Dans cet article, on va explorer en détail le rôle de l’AUSF (Authentication Server Function) dans l’architecture 5G. Cette fonction est essentielle pour sécuriser les communications mobiles, notamment lors de la phase d’accès initial, où l’identité de l’abonné doit être vérifiée de manière fiable et efficace.

Positionnement de l’AUSF dans l’architecture 5G

L’AUSF est une fonction réseau située au sein du plan de contrôle du 5G Core (5GC). Elle intervient directement dans le processus d’authentification entre l’équipement utilisateur (UE) et le réseau. L’AUSF ne fonctionne pas seule ; elle s’intègre dans un ensemble fonctionnel plus large avec notamment l’UDM (Unified Data Management) et le SEAF (Security Anchor Function).

Lorsqu’un UE tente de s’attacher au réseau, le processus d’authentification démarre. Le SEAF (composant de l’AMF) interagit avec l’AUSF pour initier une demande d’authentification. L’AUSF récupère alors les informations nécessaires auprès de l’UDM pour évaluer la validité de l’identité de l’abonné.

Fonctions principales de l’AUSF

  • Valider les identifiants d’abonnés via des algorithmes de challenge-réponse.
  • Gérer le protocole d’authentification EAP (Extensible Authentication Protocol).
  • Supporter plusieurs méthodes d’authentification, notamment 5G AKA et EAP-AKA’.
  • Générer et transmettre des clés de session (anchor keys) vers le SEAF.
  • Assurer la confidentialité et l’intégrité des échanges d’authentification.

Étapes du processus d’authentification avec l’AUSF

  1. L’UE envoie un message d’enregistrement à l’AMF.
  2. L’AMF extrait l’identité de l’abonné (SUPI ou SUCI) et contacte le SEAF.
  3. Le SEAF transmet une requête d’authentification à l’AUSF.
  4. L’AUSF contacte l’UDM pour obtenir le profil d’abonné et les vecteurs d’authentification.
  5. Une méthode d’authentification (comme 5G AKA) est sélectionnée.
  6. L’AUSF génère le challenge (RAND) et l’envoie au SEAF, qui le transmet à l’UE.
  7. L’UE répond au challenge, la réponse est transmise à l’AUSF via le SEAF.
  8. L’AUSF valide la réponse et génère une clé d’ancrage (K_seaf) si l’authentification est réussie.

Méthodes d’authentification prises en charge

La 5G permet de supporter plusieurs méthodes d’authentification via EAP. L’AUSF joue un rôle essentiel dans le choix et l’application de ces méthodes, qui dépendent du contexte d’accès ou du profil de l’abonné :

  • 5G AKA : méthode native dérivée du protocole AKA des réseaux 3G/4G, adaptée aux exigences 5G.
  • EAP-AKA’ : variante améliorée qui ajoute des protections contre certaines attaques (répétition, interception, etc.).
  • EAP-TLS : basée sur des certificats, utile dans des environnements où les identifiants ne sont pas stockés sur une carte SIM.

L’AUSF doit être capable d’interagir avec différents serveurs d’authentification backend selon la méthode choisie, tout en respectant le cadre de sécurité du 3GPP.

Interaction entre AUSF, SEAF et UDM

5G AUSF : Fonction d’authentification dans le réseau
Cette interaction tripartite permet de séparer les responsabilités : le SEAF traite les messages initiaux, l’AUSF applique la logique d’authentification, et l’UDM fournit les données nécessaires à cette vérification.

Considérations de sécurité liées à l’AUSF

La sécurité de l’AUSF repose sur plusieurs éléments :

  • L’isolation fonctionnelle : l’AUSF n’est pas exposée directement aux interfaces d’accès radio.
  • Le chiffrement des interfaces (HTTP/2 sur TLS avec authentification mutuelle).
  • L’utilisation de clés dérivées spécifiques à chaque session d’accès.
  • La prise en charge de mécanismes anti-rejeu et anti-usurpation.

En complément, le réseau peut appliquer des politiques contextuelles (Network Slice-Specific Authentication) selon le type de service ou la tranche réseau concernée.

Scénarios d’usage avancés

L’AUSF n’est pas uniquement utilisée lors de l’enregistrement initial. Elle intervient également lors de la mise à jour de la clé d’ancrage (renouvellement K_seaf), lors d’une nouvelle attache à un réseau visité (roaming), ou lors de l’accès à un service nécessitant une authentification supplémentaire (comme le NEF ou les services IoT).

Dans le cas du roaming, l’AUSF peut être localisée soit dans le réseau visité (V-AUSF), soit dans le réseau d’origine (H-AUSF), selon l’approche choisie. Les mécanismes de délégation, de redirection ou d’authentification fédérée sont alors activés via les interfaces inter-réseaux.

Certains réseaux mettent également en place plusieurs AUSF pour assurer la haute disponibilité et répartir la charge, notamment dans des architectures cloud-native où les instances AUSF peuvent être déployées dynamiquement selon les besoins.

Pour aller plus loin dans l’analyse des fonctions 5G Core, on peut maintenant se pencher sur le rôle de l’UDM et sa gestion des abonnés dans un environnement distribué.

Related Posts

Popular

Comparaison technique entre eNB et gNB en 5G

Comprendre le 5G SS-SINR : Signal-to-Noise and Interference Ratio

5G DRB : Data Radio Bearer pour le transport des données utilisateur

5QI en 5G : Identifier et Gérer la Qualité de Service

Comprendre le PDCP en 5G : Packet Data Convergence Protocol

Classes QCI en LTE : définition et fonction

5GC – Architecture et Fonctionnalités du Réseau 5G Core

Calcul et interprétation du MOS en VoIP

Définition et rôle de la LOS (Line of Sight) en télécom