5G移動通信網(wǎng)絡能力開放應用程序接口（API）功能架構的安全技術要求

15G移動通信網(wǎng)絡能力開放通用應用程序接口(API)功能架構的安全技術要求本文件規(guī)定了5G移動通信網(wǎng)絡能力開放通用應用程序接口(API)功能架構的安全架構、安全需求與安全流程等。本文件適用于5G移動通信網(wǎng)絡能力開放通用應用程序接口(API)功能架構的部署和使用。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件。僅該日期對應的版本適用于本文件，不注日期的引用文件。其最新版本(包括所有的修改單)適用于本文件。YD/T4360-2023面向移動通信網(wǎng)的通用應用程序接口(APD)架構技術要求3GPPTS33.310網(wǎng)絡域安全性AuthenticationFramework(AF))3GPPTS23.222面向移動通信網(wǎng)的通用應用程序接口(API)架構技術要求(CommonAPIFraneworkIETFRFC6749OAuth2.0授權框架(TheOAuth2.0AuthorizationFranework)IETFRFC6750Ohuth2.0授權框架(承載Token的使用)(TheOAuth2.0AuthorizationFranework:IETFRFC7519JSONWeb令牌(JWT)(JSONWebToken(JWTIETFRFC7515JSONWeb簽名(JWS)(JSON3GPPTS33.220通用認證架構(GAA);Architecture(GAA):GenericBootstrappingArchitecture(GBA))3GPPTS33.2103G安全：網(wǎng)絡域安全(NDS);IP網(wǎng)絡層安全(NetworkDomainSecurity(NDS);3術語和定義本文件沒有需要界定的術語和定義下列縮略語適用于本文件。AEFAPI開放功能應用程序接口JavaScript對象符號ApplicationProgrammingInJavaScriptObjcctNotation2JWTJSON網(wǎng)絡令牌JSONWebToken密鑰推衍功能公共密鑰架構預共享密鑰傳輸層安全PublicKeyInfrasPre-SharedKeyTransportLayerS5.1通用安全需求適用于所有CAPIF模塊的通用安全要求如下：——CAPIF應該提供一種機制來隱藏PLN信任域的拓撲結構，以防止API調用者從PLMN信任域外部訪問服務API:——CAPIF應該提供一種機制來隱藏第三方API提供者信任域的拓撲結構，以防止API調用者從第三方API提供者信任域之外訪問服務API:——CAPIF應提供來自第三方API提供者的服務API授權機制；——CAPIF應支持所有API實現(xiàn)需要的通用安全機制，以提供機密性和完整性保護；——API調用者的身份認證和授權應支持YD/T4360-2023中列出的所有部署模型；——API調用者和CAPIF應在通信期間強制執(zhí)行身份認證的結果(例如，通過完整性保護或使用從身份認證中推衍出的攻擊者未知的密鑰進行隱式身份認證)。5.2CAPIF-1/1e參考點安全需求API調用者與CAPIF核心功能之間的CAPIF-1/le參考點應滿足以下要求：——應支持API調用者和CAPIF核心功能之間的相互認證；——在CAPIF-1和CAPIF-1e參考點上信息的傳輸應受到完整性保護；——在CAPIF-1和CAPIF-le參考點上信息的傳輸應受到保護，不受重放攻擊的影響；——在CAPIF-1和CAPIF-le參考點上信息的傳輸應受到機密性保護；——3GPP用戶在CAPIF-1和CAPIF-le參考點上的隱私應受到保護；——CAPIF核心功能應在API調用者訪問AEF之前授權API調用者；——CAPIF核心功能應在訪問發(fā)現(xiàn)服務API之前授權API調用者——[CAPIF核心功能應驗證API調用者的啟用請求?！狢APIF核心功能應驗證API調用者的卸載請求。5.3CAPIF-2/2o參考點安全需求API調用者和API開放功能實體(AEF)之間的CAPIF-2/2e參考點應滿足以下要求：——應支持API調用者和API開放功能之間的相互身份認證：——在CAPIF-2和CAPIF-2e參考點上傳輸?shù)南艿酵暾员Ｗo——應保護通過CAPIF-2和CAPIF-2e參考點的消息傳輸不受重放攻擊：——在CAPIF-2和CAPIF-2e參考點上傳輸?shù)南艿綑C密性保護：——3GPP用戶在CAPIF-2和CAPIF-2e參考點上的隱私應受到保護；——API開放功能應能夠確定API調用者是否被授權訪問服務API.5.4CAPIF-3/4/5參考點安全需求CAPIF-3/4/5參考點的安全要求如下：PLMN可信域PLMN可信域應支持3GPPTS23.222(第10節(jié)應支持3GPPTS23.222(第11節(jié)o圖6多個CAPIF提供商城的CAPIF交互高級功能架構c步驟1)API調用者與CAPIF核心功能之間采用TLS協(xié)議建立基于客戶端和服務器證書的雙向認證根據(jù)7.1定義，CAPIF核心功能在API調用者成功注冊后向API調用者提供客戶端證書。步驟2)API調用者可以在安全方法請求消息中向CAPIF核心功能發(fā)送CAPIF-2/2e安全能力信息該安全能力信息用于顯示APT調用者對每個AEF在CAPIF-2/2e參考點上支持的安全方法列表。步驟3)CAPIF核心功能應根據(jù)API調用者在步驟2提供的信息、訪問場景和AEF能力對每個請求的AEF選擇CAPIF-2/2e參考點使用的安全方法步驟4)CAPIF核心功能應向API調用者發(fā)送安全方法回復消息，該回復消息用于指示為每個AEF選擇的安全方法以及與該安全方法相關的安全信息。如7.5所述，API調用者應當在后續(xù)與API開放功能通過CAPIF-2/2e參考點進行通信建立時使用上述流程在API調用者和CAPIF核心功能成功完成認證后，CAPIF核心功能應當決定是否API調用者有權根據(jù)API調用者ID和發(fā)現(xiàn)策略執(zhí)行API發(fā)現(xiàn)。7.3.4拓撲隱藏如果拓撲隱藏功能已開啟，則CAPIF核心功能應當將AEF信息通過業(yè)務API發(fā)現(xiàn)請求回復，AEF信息用作開放業(yè)務API并且作為拓撲隱藏實體。7.4CAPIF-2參考點安全流程應當使用TLS提供完整性保護、抗重放保護和機密性保護。TLS為必選支持并根據(jù)域管理員在信任域中保護參考點的策略可選的使用。除非CAPIF-2參考點安全通過其他方法實現(xiàn)，否則應執(zhí)行7.5節(jié)中的步驟。如果設置了域管理員對API調用者的業(yè)務API調用請求授權的策略，API調用者的授權應當根據(jù)7.5節(jié)中CAPIF-2e參考點授權機制執(zhí)行。7.5CAPIF-2e參考點安全流程根據(jù)CAPIF核心功能選定的安全方法(見7.3.1),API調用者和API開放功能應使用7.5.2定義的方法之一對CAPIF-2e參考點進行認證和保護API調用者和API開放功能應遵循本子章節(jié)中的步驟使用基于預共享密鑰(PSK)的TLS連接建立專用安全會話。應使用CAPIF-1e認證來啟用生成用于CAPIF-2e的TIS連接認證的預共享密鑰。假設API調用者和CAPIF核心功能都預先配置有證書。TLS配置文件應遵循3GPPTS33.310(附錄E)中規(guī)定。圖10描述了API調用者、CAPIF核心功能和API開放功能之間使用預共享密鑰認證確保CAPIF-2e參考點安全的詳細消息流程點安全的詳細消息流程。書步驟1)API調用者應向AEF發(fā)送認證發(fā)起請求，其中包含API調用者步驟2)AEF應向CAPIF核心功能請求安全信息，該安全信息用于與API調用這進行認證和安全參考步驟3)AEF獲取認證相關的安全信息后，影響API調用者發(fā)送認證發(fā)起回復以觸發(fā)TLS會話建立流循3GPPTS33.310(6.1.3a和6在CAPIF-2e參考點上成功建立TLS會話后，API開放功能應根據(jù)3GPPTS23.2227.5.2.3方法三使用OAuthToken的TLS本節(jié)詳細描述了在CAPIF-le、CAPIF-2e參考點上建立安全通道，并使用基于OAuth2.授權和執(zhí)行API調用者的北向API調用。的安全信息流程。假設API調用者、CAP信息。源所有者、客戶端和重定向端點的功能，AP求圖12在CAPIF-2e參考點使用訪問令牌步驟1)CAPIF-le認證和安全會話建立流程應遵循7.3.1的規(guī)定。核心功能發(fā)送訪問令牌請求消息步驟3)CAPIF核心功能應根據(jù)OAuth2.0驗步驟4)如果訪問令牌請求通過CAPIF核心功能驗證，CAPIF核心功能應為API調用者生成A步驟5)API調用者與API開放功能在CAPIF-2e參考點上根據(jù)CAPIF核心功能指示的認證授權方法服務器(AEF)端證書認證或基于證書的互認證)建立TL話之前應執(zhí)行以下流程首先API調用者嘗試與CAPIF核心功能建立安全連接。如果無法保證啟用會話安全，則釋放會話，并且啟用流程結束。如果會話是安全的，則API調用者將使用3GPPTS23.222(8.1)中定義的OnboardAPIInvokerRequest消息來請求啟用。API調用者在0nboardAPIInvokerRequest消息中包含一個啟用憑證。CAPIF核心功能接收OnboardAPIInvoker請求消息并驗證啟用憑證。如果啟用憑證有效，則CAPIF核心功能會創(chuàng)建并返回在3GPPTS23.222(8.1)中定義的OnboardAPIInvokerResponse消息，該消息包含APIInvoker配置文件和APIInvokerID。CAPIF-1或CAPIF-1e身份認證的安全信息以及CAPIF-2或CAPIF-2e的安全信息(可選)也作為啟用響應的一部分傳輸?shù)紸PI調用者。如果CAPIF核心功能無法驗證啟用憑證則將包含錯誤響應的OnboardAPIInvoker響應消息返回給APIInvoker。返回OnboardAPIInvoker響應消息(成功或失敗)之后，安全會話將被拆除，并且啟用安全流程結B.2認證與授權CAPIF的認證和授權包括CAPIF-le認證和CAPIF-2e認證和授權。圖B.2顯示了CAPIF-1e身份認證的功能安全流程，而圖B.2顯示了CAPIF-2e身份認證和授權的功能安全流程。在開始CAPIF-1e或CAPIF-20身份認證和授權的安全流程之前，已經(jīng)進行了成功的APIInvoker啟用。如圖B.2,安全流程始于API調用者，該API根據(jù)7.3的流程通過CAPIF-1e接口建立到CAPIF核心功能的TLS連接。成功的TLS建立會為CAPIF核心功能提供將CAPIF-2eAEF身份認證和授權信息傳輸?shù)紸PI調用者的機會。在將CAPIF-2eAEF身份認證和授權信息傳輸?shù)紸PI調用者后，將釋放TLS會話，并且CAPIF-le安全流程結束。如果CAPIF-1eTLS會話或API調用者身份認證過程失敗，則APIInvoker身份認證將被拒絕，AEF身份認證和授權信息不會傳輸?shù)紸PTInvoker,并且與APIInvoker的TLS會話將關閉。(規(guī)范性)“方法三-使用接入令牌的TLS”的接入令牌配置本附錄中的信息提供了在“方法3-OAuth令牌的TLS”身份認證和授權方法(參見7.5.2.3)中使用的訪問令牌的描述。本節(jié)說明了訪問令牌的特征，如何獲取訪問令牌，如何驗證訪問令牌以及如何刷新訪問令牌?！胺椒?-0huth令牌的TLS”訪問令牌具有以下特征：——通過CAPIF1/le和CAPIF2/2e接口傳輸時(例如，使用TLS)應加密——應是IETFRFC6750中規(guī)定的承載類型：——應按照IETFRFC7519中的規(guī)定編碼為JSONWeb令牌；——應按照IETFRFC