ICS33.030

CCSL70

CAICI

中國通信企業(yè)協(xié)會團體標準

T/CAICIXXXX—XXXX

5G消息業(yè)務增強能力規(guī)范—統(tǒng)一認證能力

要求

5GMessagingServicesEnhancementCapabilitySpecification–Unified

AuthenticationCapabilityRequirements

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

中國通信企業(yè)協(xié)會發(fā)布

T/CAICIXXXX—XXXX

5G消息業(yè)務增強能力規(guī)范—統(tǒng)一認證能力要求

1范圍

本標準規(guī)定了5G消息業(yè)務增強能力中的統(tǒng)一認證能力要求，包括統(tǒng)一認證能力的功能要求、系統(tǒng)架

構、技術流程等。供運營商、網(wǎng)絡設備商、終端廠商使用，為其在中國境內建設、使用5G消息統(tǒng)一認證

能力時提供技術依據(jù)。

基于GBA鑒權機制的5G消息統(tǒng)一認證能力，未來可進一步演進形成通用服務和標準，應用于除5G消

息業(yè)務外的其它業(yè)務服務流程。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

YD/T3989-20215G消息總體技術要求

3術語和定義

下列術語、定義和縮略語適用于本標準：

術語、定義

詞語解釋

5G消息短信業(yè)務的升級，面向用戶提供增強的消息服務，能夠為用戶提供文本、

圖片、音頻、視頻、位置、聯(lián)系人（vCard）等媒體內容的發(fā)送和接收。

Chatbot（聊天機器通過會話交互形式為個人用戶提供服務的應用形態(tài)。

人）

第三方應用系統(tǒng)以Chatbot形態(tài)向個人用戶提供服務的客戶，包括行業(yè)客戶、夢網(wǎng)客戶、公

（Chatbot）共應急通知服務等。

點與應用間消息5G消息業(yè)務中個人用戶與Chatbot應用之間的交互消息，包括A2P

（ApplicationtoPerson）消息和P2A（PersontoApplication）消息。

縮略語

縮略語英文全稱中文含義

GBAGenericBootstrappingArchitecture通用引導架構

USIMUniversalSubscriberIdentityModule用戶全球識別卡

BSFBootstrappingServerFunction引導服務功能

BIRBootstrapping-InfoRequest自舉信息請求

BIABootstrapping-InfoAnswer自舉信息應答消息

4統(tǒng)一認證能力概述

統(tǒng)一認證能力開放需求

6

T/CAICIXXXX—XXXX

YD/T3989-2021《5G消息總體技術要求》中已經(jīng)規(guī)定了HTTP類業(yè)務采用GBA對終端用戶進行認證，

但只有5G消息系統(tǒng)功能（如5G消息終端獲取配置、chatbot搜索、文件上傳下載等）能夠使用GBA認證能

力。為了向Chatbot應用提供統(tǒng)一的用戶身份認證能力，本標準將制定統(tǒng)一認證能力開放技術要求，將

GBA認證能力進行封裝，并開放給Chatbot使用。Chatbot使用該能力后，用戶點擊該Chatbot發(fā)送的5G消

息中包含該Chatbot自有系統(tǒng)的鏈接時，從5G消息界面跳轉到該Chatbot的網(wǎng)頁，跳轉后，用戶無需輸入

其在該Chatbot系統(tǒng)上的用戶名和密碼，即可快捷登錄到該Chatbot的網(wǎng)頁上。

統(tǒng)一認證能力開放實現(xiàn)方案

4.2.1概述

統(tǒng)一認證能力開放需要終端側設置GBA認證模塊，網(wǎng)絡側設置GBA認證能力開放平臺,終端與平臺相

互配合，完成對用戶身份進行認證后登錄第三方應用網(wǎng)頁。

在第三方應用獲取用戶身份信息（本標準中主要指手機號碼，也可根據(jù)業(yè)務需要擴展支持其他的用

戶信息）前，用戶需要授權該第三方應用獲得其身份信息，授權只對當次請求有效。終端側實現(xiàn)該授權

及認證流程有2種不同的實現(xiàn)方式：

方案一：GBA認證能力開放平臺提供網(wǎng)頁版授權頁面，下文中簡稱為“內置瀏覽器方案”。

方案二：終端GBA認證模塊提供native版授權頁面，下文中簡稱為“終端Native方案”。

4.2.2方案一：內置瀏覽器方案

當用戶點擊5G消息中包含第三方應用外鏈的按鈕或內容時，終端應調起5G消息應用中的內置瀏覽

器，內置瀏覽器與網(wǎng)絡側GBA認證能力開放平臺交互，獲取授權頁面，用戶確認向該Chatbot授權獲取其

身份信息后，內置瀏覽器應與終端GBA認證模塊交互，終端GBA認證模塊再與GBA認證能力開放平臺交互，

對第三方應用和用戶的身份進行認證鑒權，用戶無需輸入其在該Chatbot系統(tǒng)上的用戶名和密碼，即可

快捷登錄到第三方應用網(wǎng)頁。

4.2.3方案二：終端Native方案

當用戶點擊5G消息中包含第三方應用外鏈的按鈕或內容時，終端應調用GBA認證模塊獲取native版

授權頁面，用戶確認向該Chatbot授權獲取其身份信息后，終端GBA認證模塊與GBA認證能力開放平臺交

互，對第三方應用和用戶的身份進行認證鑒權，用戶無需輸入用戶名和密碼，即可快捷登錄到第三方應

用網(wǎng)頁。

5統(tǒng)一認證能力功能要求

終端獲取統(tǒng)一認證能力服務器地址

5G消息的配置數(shù)據(jù)應擴展一個統(tǒng)一認證能力服務器地址的配置參數(shù)，終端應通過配置流程獲取統(tǒng)

一認證能力服務器的地址。

統(tǒng)一認證能力服務器地址的配置參數(shù)應設置在MESSAGING參數(shù)下，參數(shù)名稱為“Singlesign-on”，

配置數(shù)據(jù)形如：

<characteristictype="MESSAGING">

……

<characteristictype="Singlesign-on">

<parmname="SSOURI"value="/ssoserver"/>

</characteristic>

……

</characteristic>

第三方應用申請開通統(tǒng)一認證能力

7

T/CAICIXXXX—XXXX

第三方應用要獲得統(tǒng)一認證能力，應在統(tǒng)一認證能力的歸屬運營商進行開通。運營商應支持在線開

通方式。如果第三方應用的主體為企業(yè)，在線提交的企業(yè)信息應至少包括企業(yè)名稱、企業(yè)法人信息、企

業(yè)營業(yè)執(zhí)照信息、企業(yè)聯(lián)系人信息（包括手機號碼）、申請使用認證能力的Chatbot名稱。如果第三方

應用的主體為個人，在線提交的個人信息應至少包括姓名、個人身份證信息、個人手機號信息、個人證

件照信息、申請使用認證能力的Chatbot名稱。

開通成功后，第三方應用可選擇資費模式（包括免費模式和收費模式）和套餐包，支付后，即可接

入GBA認證能力開放平臺，使用GBA認證能力開放平臺提供的統(tǒng)一認證能力。

運營商可結合業(yè)務需求，簡化統(tǒng)一認證能力的開通流程。如在商戶申請開通Chatbot流程中，增加

同時開通統(tǒng)一認證能力的可選項。如果Chatbot選擇了同時開通統(tǒng)一認證能力，可繼續(xù)添加具體使用統(tǒng)

一認證能力的外部鏈接，具體功能可由運營商自行設計。

用戶免密登錄第三方應用網(wǎng)頁

用戶通過5G消息界面打開Chatbot提供的非5G消息系統(tǒng)內的鏈接（下文中可簡稱為外部鏈接、或者

外鏈）時，如果該Chatbot開通了統(tǒng)一認證能力，Chatbot在獲得用戶身份之前，應向用戶展示授權詢問

頁面，用戶點擊“確認”或“同意”后，該Chatbot方可獲得用戶的身份信息，并應依據(jù)用戶的身份信

息為該用戶展示登錄后的頁面。

第三方應用提供的鏈接格式

第三方應用可在文本消息、卡片消息中攜帶鏈接，用戶點擊鏈接后可免密登錄到第三方應用的網(wǎng)頁。

鏈接格式可采用如下2種方式：

1)通過GBA開放平臺跳轉到第三方應用網(wǎng)頁，鏈接中應攜帶GBA開放平臺地址、第三方應用的

appid、網(wǎng)頁鏈接、運營商標識，鏈接格式形如：

?appid=xx&url=xxx&operator=xxx;

2)直接跳轉到第三方應用網(wǎng)頁，鏈接中應攜帶第三方應用的網(wǎng)頁鏈接、appid、運營商標識、

GBA認證標識，鏈接格式形如：?appid=xx&operator=xxx&gba=0。

注：上述2種格式的鏈接既適用于終端內置瀏覽器方案，又適用于終端Native方案。

對第一種鏈接中各項要素的說明如表1所示。對第二種鏈接中各項要素的說明如表2所示。

表1鏈接方式1參數(shù)說明

參數(shù)名必選描述示例

GBA開放平臺地址是GBA開放平臺提供的weburl，終端

通過該地址獲取授權確認頁面，由提

供GBA能力開放的運營商提供

appid是第三方應用的唯一憑證，由GBA開放——

平臺分配，為一個字符串

第三方應用的網(wǎng)頁鏈接是第三方應用提供的weburl，終端通

過該地址訪問第三方應用的頁面，由

第三方應用提供，主域名應在其開通

Chatbot時在運營商登記過。

operator是運營商標識，采用一位數(shù)字表示：——

8

T/CAICIXXXX—XXXX

中國移動：1

中國電信：2

中國聯(lián)通：3

中國廣電：4

表2鏈接方式2參數(shù)說明

參數(shù)名必選描述示例

第三方應用的網(wǎng)頁鏈接是第三方應用提供的weburl，終端通

過該地址訪問第三方應用的頁面，由

第三方應用提供，主域名應在其開通

Chatbot時在運營商登記過。

operator是運營商標識，采用一位數(shù)字表示：——

中國移動：1

中國電信：2

中國聯(lián)通：3

中國廣電：4

appid是第三方應用的唯一憑證，由GBA開放——

平臺分配，為一個字符串

gba是GBA認證標識，采用一位數(shù)字表示：——

需要GBA認證：0

不需要GBA認證：1

默認值為1

6統(tǒng)一認證能力系統(tǒng)架構

系統(tǒng)邏輯架構圖

9

T/CAICIXXXX—XXXX

第三方應用系統(tǒng)

（Chatbot）

②

①⑥

5G消息系統(tǒng)

GBA認證能力開放平臺

MaaP平臺⑦

5G消息中心統(tǒng)一認證能力開通模塊BSF

④⑤

③

終端

圖1統(tǒng)一認證系統(tǒng)架構及接口

如圖1所示，統(tǒng)一認證能力開通模塊，可在GBA認證能力開放平臺內部實現(xiàn)，也可以作為獨立子模塊，

在5G消息系統(tǒng)中集成，以進一步滿足業(yè)務的定制化需求。

在5G消息系統(tǒng)中集成時，5G消息系統(tǒng)需要代Chatbot去GBA認證能力開放平臺去開通認證能力，再把

開通結果轉給Chatbot。本標準中按GBA認證能力開放平臺實現(xiàn)開通進行規(guī)定，5G消息系統(tǒng)集成開通的方

式由運營商根據(jù)運營需求自行實現(xiàn)，不在本標準規(guī)定范圍內。

網(wǎng)元功能

統(tǒng)一認證涉及到的網(wǎng)元及網(wǎng)元功能如下。

5G消息系統(tǒng)：包含MaaP平臺、5G消息中心、統(tǒng)一認證能力開通邏輯模塊（可選），接收第三方應用

系統(tǒng)向用戶發(fā)送的Chatbot消息，并轉發(fā)給終端；負責為第三方應用系統(tǒng)開通統(tǒng)一認證能力（可選）。

GBA認證能力開放平臺：負責為第三方應用系統(tǒng)開通統(tǒng)一認證能力，通過GBA認證流程獲取終端用戶

的身份信息，開放給第三方應用系統(tǒng)。

BSF：與GBA認證能力開放平臺交互，向其提供終端用戶身份信息。

第三方應用系統(tǒng)：通過5G消息系統(tǒng)向終端用戶下發(fā)Chatbot消息；通過調用GBA認證能力，向用戶提

供登錄后的網(wǎng)頁內容。

接口描述

統(tǒng)一認證能力涉及到的接口如圖1中接口①~⑧所示。

接口①：第三方應用系統(tǒng)與統(tǒng)一認證能力開通邏輯模塊間的接口，完成統(tǒng)一認證能力開通相關的

Chatbot信息提交以及開通結果通知等。

接口②：第三方應用系統(tǒng)與5G消息系統(tǒng)中MaaP平臺間的接口，完成Chatbot消息交互，采用

HTTP/HTTPS協(xié)議通信。

接口③：5G消息系統(tǒng)中5G消息中心與終端間的接口，完成Chatbot消息交互，采用SIP協(xié)議通

信。

接口④：第三方應用系統(tǒng)與終端間的接口，采用HTTP/HTTPS協(xié)議，用于終端訪問第三方應用系統(tǒng)

的網(wǎng)頁。

接口⑤：GBA認證能力平臺與終端間的接口，用于終端用戶向Chatbot授權其獲取用戶身份信息，

終端GBA模塊獲取用戶身份信息等。

10

T/CAICIXXXX—XXXX

接口⑥：GBA認證能力開放平臺與第三方應用系統(tǒng)間的接口，用于第三方應用系統(tǒng)獲取用戶授權

詢問頁面、用憑證換取用戶信息等。

接口⑦：GBA認證能力開放平臺與BSF間的接口，用于GBA認證能力開放平臺從BSF獲取用戶身

份信息。

7統(tǒng)一認證技術流程

第三方應用開通統(tǒng)一認證能力流程

第三方應用到GBA認證能力開放平臺申請開通統(tǒng)一認證能力，流程如圖2所示。

第三方應用系統(tǒng)GBA認證能力

（chatbot）開放平臺

1-申請開通統(tǒng)一認證能力

攜帶企業(yè)信息、應用相關信息等

2-統(tǒng)一認證能力開通結果

如果開通成功，則攜帶appid、appsecret

如果開通失敗，則攜帶錯誤原因描述

圖2應用開通統(tǒng)一認證能力流程

流程介紹如下：

1、第三方應用系統(tǒng)申請開通統(tǒng)一認證能力，攜帶第三方應用的企業(yè)名稱、管理者身份、Chatbot名

稱等信息。

2、GBA認證能力開放平臺為第三方應用系統(tǒng)開通統(tǒng)一認證能力，并向其返回開通結果，如果開通成

功，則攜帶appid、appsecret；如果開通失敗，則攜帶開通失敗的錯誤原因描述。運營商可根據(jù)5G消

息業(yè)務運營需求，appid和appsecret復用Chatbot注冊時為其分配的賬號及校驗參數(shù)信息。

用戶授權確認流程

7.2.1內置瀏覽器方案下的用戶授權確認流程

用戶通過5G消息應用中的鏈接訪問第三方應用提供的網(wǎng)頁時，第三方應用如果要獲得用戶身份信

息，需要取得用戶授權，用戶確認授權后，5G消息終端與GBA認證能力開放平臺、第三方服務平臺交互，

獲得登錄后的第三方應用網(wǎng)頁。用戶獲取授權頁面流程如圖3所示，用戶確認授權流程如圖4所示。

11

T/CAICIXXXX—XXXX

5G消息終端

GBA認消息處內置瀏第三方應用系統(tǒng)認證能力5G消息系

GBABSF

證模塊理模塊覽器（chatbot）開放平臺統(tǒng)

1-發(fā)送帶外鏈5G消息

2-發(fā)送帶外鏈5G消息

3-用戶點

擊外鏈

跳轉方式

直接訪問GBA認證能力開放平臺5’-請求訪問授權確認頁面

攜帶appid及回調url

6’-校驗appid及回調url

域名，如果通過則生成預

授權code

參數(shù)校驗結果

失敗7’-返回該鏈接無法訪問提示頁面

成功

7’-返回授權確認頁面

攜帶預授權code

通過第三方應用系統(tǒng)跳轉5-頁面訪問請求

訪問GBA認證能力開放平臺

6-授權頁面獲取請求

攜帶appid及回調url

7-校驗appid及回調url

域名，如果通過則生成

8-返回響應預授權code

如果校驗成功，

9-返回響應則攜帶瀏覽器重定向uri

如果第8步為成功響應，及預授權code；

則攜帶瀏覽器重定向uri否則返回錯誤原因

及預授權code；

否則返回未登錄頁面

10-根據(jù)瀏覽器重定向uri從GBA開放平臺獲取授權確認頁面

11-返回授權確認頁面

12-查詢終端是否

支持GBA認證能力開放

13-返回結果

14-判斷終端是否支持GBA認證能力開放

終端是否支持GBA認證能力開放

否15’-系統(tǒng)取消授權通知

攜帶預授權code

16’-返回回調url

17’-訪問回調頁面

未攜帶授權code

18’-回調頁面

未登錄狀態(tài)

是

15-向用戶展示

授權確認頁面

圖3用戶獲取授權頁面流程

流程介紹如下：

1~4、用戶點擊5G消息中的外鏈，調起5G消息終端內置瀏覽器訪問外鏈。

12

T/CAICIXXXX—XXXX

用戶授權確認頁面的觸發(fā)方式可以通過2種機制實現(xiàn)，可由運營商根據(jù)應用類型、業(yè)務策略等靈活

選擇采用何種機制。

——機制1：直接訪問GBA認證能力開放平臺。5’~7’：外鏈直接指向GBA認證能力開放平臺，

外鏈中攜帶預先由GBA認證能力開放平臺為Chatbot分配的appid和Chatbot的回調URL參

數(shù)。GBA認證能力開放平臺對appid和回調URL進行校驗，如果校驗通過，則返回授權確認

頁面，攜帶預授權code;如果校驗不通過，則返回校驗不通過的結果及不通過的原因提示頁

面。

——機制2：通過第三方應用系統(tǒng)跳轉訪問GBA認證能力開放平臺。5~9：第三方應用系統(tǒng)向GBA

認證能力開放平臺請求獲得授權詢問頁面，請求中攜帶預先由GBA認證能力開放平臺為其分

配的appid和第三方應用平臺的回調URL。GBA認證能力開放平臺對appid和回調URL進行

校驗，如果校驗通過，則返回授權確認頁面URL和預授權code，第三方應用系統(tǒng)將其轉發(fā)至

5G消息終端內置瀏覽器；如果校驗不通過，則返回校驗不通過的結果及不通過的原因，第三

方應用系統(tǒng)按照其自有邏輯處理后續(xù)流程。

10~11、終端內置瀏覽器根據(jù)授權確認頁面URL訪問GBA認證能力開放平臺，GBA認證能力開放平臺

返回授權確認頁面。

12~13、頁面調用GBA認證模塊查詢終端是否支持GBA認證能力開放。

14、頁面對查詢結果進行判斷，如果調用查詢報錯或者返回錯誤碼則認定不支持，code為0則認

定支持，具體調用方式參見第9.1節(jié)。

15’~18’、對于不支持GBA認證能力開放的終端，頁面向GBA認證能力開放平臺通知用戶取消授

權的結果，，具體調用方式參見第9.2節(jié)。GBA認證能力開放平臺記錄該事件，向終端返回第三方應用

系統(tǒng)的回調URL。頁面自動跳轉，繼續(xù)訪問未經(jīng)認證的第三方應用頁面。

15、如果終端支持GBA認證能力開放，終端內置瀏覽器展示授權確認頁面，詢問用戶是否同意該

chatbot獲取用戶身份信息（手機號碼）。

13

T/CAICIXXXX—XXXX

5G消息終端

GBA模消息處內置瀏第三方應用系統(tǒng)認證能力

GBABSF

塊理模塊覽器（chatbot）開放平臺

用戶是否授權

是1’-用戶

點擊取消

是否允許訪問chatbot未登錄頁面

允許2’-用戶取消授權通知

攜帶預授權code

3’-返回回調url

4’-訪問回調頁面

未攜帶授權code

5’-返回頁面

未登錄狀態(tài)

不允許

2’-包含重試入口的提示頁面

否

1-用戶點

擊確認授權

2-用戶授權確認，

攜帶預授權code

3-標準GBA流程（AV=RAND||AUTN||XRES||CK||IK）

4-向GBA開放平臺發(fā)送用戶授權確認獲取授權碼

攜帶B-TID和預授權code

5-查詢B-TID緩存

選擇

緩存不存在5.1-BIR

B-TID、NAF-id

5.2-BIA

IMPU,IMPI

5.3-保存B-TID緩存

6-用戶身份確認及預授權

code校驗，生成授權code

7-返回回調url和授權code

8-返回回調url和授權code

圖4用戶授權確認流程

流程介紹如下：

1’~5’、用戶點擊取消授權。如果Chatbot設置為允許訪問Chatbot未登錄頁面，GBA認證能力開

放平臺獲得用戶取消授權的結果后，記錄該事件，并向用戶返回第三方應用系統(tǒng)的回調URL，用戶繼續(xù)

訪問未經(jīng)認證的第三方應用頁面；如果Chatbot設置為不允許訪問Chatbot未登錄頁面，則跳轉到一個

提示頁面，頁面中包含重試入口，用戶可點擊后再次選擇是否確認授權。

1~3、用戶點擊授權確認。內置瀏覽器向終端GBA認證模塊通知用戶授權確認的結果，攜帶預授權

14

T/CAICIXXXX—XXXX

code，具體調用方式參見第9.1節(jié)。如果GBA認證模塊沒有有效的B-TID，則向BSF發(fā)起標準GBA認證

流程；如果GBA認證模塊有有效的B-TID，則使用該有效的B-TID繼續(xù)執(zhí)行第4步。

4~6、終端GBA認證模塊向GBA認證能力開放平臺發(fā)送用戶授權確認，攜帶B-TID和預授權code。

GBA認證能力開放平臺如果沒有B-TID的緩存信息或緩存有效期已過期，則GBA認證能力開放平臺與

BSF執(zhí)行GBA認證的后續(xù)流程，獲得用戶的IMPU和IMPI，并保存緩存信息；GBA認證能力開放平臺如

果有B-TID的緩存信息且在有效期范圍內，則使用緩存信息。GBA認證能力開放平臺確認用戶身份并校

驗預授權code，校驗通過后生成授權code。

7~8、GBA認證能力開放平臺向終端GBA認證模塊返回第三方應用的回調URL和授權code，具體調

用方式參見第9.2節(jié)。GBA認證模塊向內置瀏覽器返回第三方應用的回調URL和授權code。

7.2.2終端Native方案下的用戶授權確認流程

用戶通過5G消息應用中的鏈接訪問第三方應用提供的網(wǎng)頁時，第三方應用如果要獲得用戶身份信

息，需要取得用戶授權，用戶確認授權后，5G消息終端與GBA認證能力開放平臺交互，獲得登錄后的第

三方應用網(wǎng)頁。native終端用戶授權確認如圖5所示。

15

T/CAICIXXXX—XXXX

5G消息終端

GBA認消息處第三方服務平臺GBA認證能力5G消息平

瀏覽器BSF網(wǎng)元

證模塊理模塊（chatbot）開放平臺臺

1-發(fā)送帶外鏈5G消息

2-發(fā)送帶外鏈5G消息

3-用戶點

擊外鏈

4-GBA認證

校驗

攜帶外鏈內容

5-外鏈GBA認

證標識匹配

是否GBA認證

否

6'-返回原鏈

是

6-向用戶展示

授權按鈕

用戶是否授權

否7'-用戶點

擊取消

8'-返回原鏈

是

7-用戶點

擊確認

8-如果本地無有效的B-TID,則發(fā)起標準GBA流程（AV=RAND||AUTN||XRES||CK||IK），否則直接執(zhí)行第9步

9-向GBA開放平臺獲取授權碼

攜帶B-TID、appid和回調url域名

10-appid及回調url域名的校驗

校驗結果

失敗

11'-返回錯誤碼

12'-返回原鏈

成功

11-查詢B-TID相關的緩存數(shù)

據(jù)

選擇

緩存不存在

11.2-BIA

IMPI

11.3-保存B-TID緩存

12-用戶身份確認及校驗

校驗結果

失敗

13'-返回錯誤碼

14'-返回原鏈

成功

13-生成授權code

14-返回授權code

15-返回回調

url和授權

code

16

T/CAICIXXXX—XXXX

圖5native終端用戶授權確認流程

流程介紹如下：

1~4、Chatbot向用戶發(fā)送攜帶外鏈的5G消息，用戶點擊5G消息中的外鏈，終端側的消息處理模塊

調起GBA認證模塊，GBA認證模塊執(zhí)行是否需要進行GBA認證的校驗。

5、終端GBA認證模塊根據(jù)外鏈的格式及參數(shù)進行校驗，判斷該外鏈是否需要進行GBA認證。如果需

要，則提取出appid、回調url、回調url域名、權限范圍（可選，如果鏈接中攜帶，則提取該參數(shù)值）。

6’、對于不需要進行GBA認證的鏈接，終端GBA認證模塊直接返回原鏈給終端消息處理模塊。

6、對于需要進行GBA認證校驗的鏈接，GBA認證模塊彈出授權頁面。

7’~8’、用戶點擊取消授權。終端GBA認證模塊直接返回原鏈給終端消息護理模塊。

7~8、用戶點擊授權確認，如果GBA認證模塊沒有有效的B-TID，則向BSF發(fā)起標準GBA認證流程；如

果GBA認證模塊有有效的B-TID，則使用該有效的B-TID繼續(xù)執(zhí)行第9步。

9、終端GBA認證模塊向GBA認證能力開放平臺發(fā)送用戶授權確認，攜帶B-TID、appid和回調URL

域名。

10、GBA認證能力開放平臺對appid有效性進行校驗，同時校驗appid在GBA開放平臺配置的域名

跟回調url的域名是否一致。

11’~12’、對于appid無效或者域名配置不匹配的情況，GBA認證能力開放平臺返回錯誤碼，終端

GBA認證模塊直接返回原鏈給終端消息處理模塊。

11、對于appid有效且域名配置匹配的，GBA認證能力開放平臺檢查本地緩存是否有該B-TID對應

的用戶信息，如果沒有B-TID的緩存信息或緩存有效期已過期，則GBA認證能力開放平臺與BSF執(zhí)行

GBA認證的后續(xù)流程，獲得用戶的IMPU和IMPI，并保存緩存信息；GBA認證能力開放平臺如果有該B-

TID對應的緩存用戶信息且在有效期范圍內，則使用該緩存的用戶信息。

12、GBA認證能力開放平臺根據(jù)BSF返回的BIA消息中的用戶信息來確認用戶身份并進行標準GBA

校驗（根據(jù)用戶的USS信息，驗證UE傳送過來的身份信息IMPU是否一致；利用B-TID（用戶名）和

Ks_NAF（口令）進行HTTPDigest計算response，并與請求消息頭域Authorization中的response值

比對是否一致）。

13’~14’、對于身份信息不符或者response不匹配，GBA認證能力開放平臺返回錯誤碼，終端GBA

認證模塊直接返回原鏈給終端消息處理模塊。

13~15、對于身份信息符合且response匹配的，GBA認證能力開放平臺生成授權code并返回給終端

GBA認證模塊，GBA認證模塊返回回調url和授權code給終端消息處理模塊。

16、消息處理模塊調起5G消息終端瀏覽器訪問GBA認證模塊返回的鏈接（鏈接中攜帶授權code）。

用戶授權后免密登錄第三方應用網(wǎng)頁流程

用戶通過5G消息中的鏈接訪問第三方應用提供的網(wǎng)頁時，需要在授權詢問頁面進行用戶授權。用

戶確認授權后，終端側GBA認證模塊與網(wǎng)絡側GBA認證能力開放平臺交互，獲取授權code，并將授權

code和第三方應用系統(tǒng)的回調URL返回給內置瀏覽器（流程參見第7.2節(jié)）。使用該授權code，即可

免密登錄到第三方應用的網(wǎng)頁。免密登錄第三方應用網(wǎng)頁的流程如圖5所示。

17

T/CAICIXXXX—XXXX

5G消息終端

GBA認消息處內置瀏覽第三方應用系統(tǒng)GBA認證能力

證模塊理模塊器/瀏覽器（chatbot）