51学通信

深度解析 3GPP TR 21.918:10.2 Application enablement aspects for subscriber-aware northbound API access (...

20分钟阅读

好的,我们继续解读TR 21.918的后续章节。

深度解析 3GPP TR 21.918:10.2 Application enablement aspects for subscriber-aware northbound API access (支持用户感知的北向API接入的应用使能方面)

本文技术原理深度参考了3GPP TR 21.918 V18.0.0 (2025-03) Release 18规范中,关于“10.2 Application enablement aspects for subscriber-aware northbound API access”的核心章节,旨在为读者深入剖析5G-Advanced如何通过引入一套全新的授权框架(RNAA),在确保用户隐私与控制权的前提下,安全、可控地向第三方应用开放网络能力。

在5G时代,移动网络早已不再是一个封闭的“黑盒子”。运营商越来越希望将网络内部的宝贵能力——如位置信息、QoS保障、带宽管理等,通过**北向API(Northbound API)**的形式,开放给千行百业的第三方应用开发者,从而创造新的价值和商业模式。3GPP为此定义了CAPIF(Common API Framework)框架和NEF(网络能力开放功能)网元,为这种“能力开放”提供了基础的通道。

然而,一个根本性的问题随之而来:当一个第三方App(例如,一个游戏加速器)想要调用NEF的API,来提升某个特定用户的QoS时,谁有权批准这个操作? 在Rel-17及以前,这个决策权通常掌握在运营商自己手中。但这个操作直接影响的是终端用户的体验,甚至可能会产生额外的费用。如果用户对此毫不知情,甚至从未授权,那么这将带来巨大的隐私和安全风险。

为了解决这个“信任”与“授权”的难题,3GPP在Release 18中引入了一个至关重要的增强——RNAA(Resource owner-aware Northbound API Access,资源所有者感知的北向API接入),在一些早期文档中,它也被称为SNAAPP。

今天,我们的主角,是一位热门手游公司的后端开发工程师,小程。他希望为他们公司的游戏App增加一项“一键网络加速”的付费功能。当玩家在关键团战中遭遇网络卡顿时,可以点击一个按钮,由游戏服务器调用运营商的QoS API,为该玩家的游戏流量申请“VIP通道”。要实现这个功能,小程必须深入理解10.2章节,看看RNAA是如何构建起一座连接应用、运营商和最终用户三方的“信任桥梁”的。

1. 问题的核心:资源所有者的“缺位”

在RNAA出现之前,小程的“一键加速”功能在授权链路上是缺失的。

Up to Rel-17, if the API is invoked on behalf of the end user, the end user is not aware of the API invocation or does not have any control over which APIs can be executed on their behalf. RNAA aims to protect users against such unintended access to their resources via APIs.

规范一针见血地指出了问题的核心:资源的所有者(Resource Owner)——也就是最终用户(End User)——在整个决策环路中是缺位的。

  • API调用者 (API Invoker): 小程的游戏服务器。
  • API提供者 (API Provider): 运营商的NEF。
  • 资源 (Resource): 玩家的网络连接(QoS、位置信息等)。
  • 资源所有者 (Resource Owner): 玩家本人。

在旧框架下,API调用只发生在“调用者”和“提供者”之间。RNAA的使命,就是将“资源所有者”重新请回谈判桌,让他成为授权流程中不可或缺的一环。

2. RNAA的授权框架:基于OAuth 2.0的“三方对话”

RNAA的整体架构,在规范的Figure 1: High level functional architecture for CAPIF supporting RNAA中有清晰的描绘。这个架构,本质上是在3GPP的CAPIF框架之上,深度集成了业界广泛使用的OAuth 2.0授权码模式(Authorization Code Grant)

让我们通过小程的游戏加速场景,来一步步拆解这个“三方对话”的流程:

场景: 玩家小明在手机上玩小程公司开发的游戏,网络卡顿,他点击了“一键网络加速”按钮。

Step 1: 挑战 (Challenge)

  1. 小明的手机App向小程的游戏服务器(API Invoker)发送请求:“请为我加速!”。
  2. 小程的服务器随即向运营商的NEF(API Provider)发起API调用:“我想为用户小明(通过某种身份标识)提升QoS”。
  3. NEF进行检查,发现这个API调用需要资源所有者(小明)的明确授权。于是,它不会立即执行,而是返回一个“挑战”——一个重定向URL。

Step 2: 授权 (Authorization) 4. 小程的服务器将这个重定向URL返回给小明的手机App。 5. 手机App随即打开一个Web视图(WebView),加载这个URL。这个URL指向的是运营商提供的**授权服务器(Authorization Server)**的登录和授权页面。 6. 小明在这个页面上,输入自己的手机号和密码(或通过SIM卡认证),登录自己的运营商账户。 7. 页面上清晰地显示:“‘XX游戏’正在请求‘提升您的网络服务质量’的权限。此服务可能会产生额外费用。您是否同意?” 8. 小明点击“同意”。

Step 3: 授权码 (Authorization Code) 9. 授权服务器生成一个一次性的授权码(Authorization Code),并通过重定向,将其返回给小明的手机App。 10. 手机App将这个授权码,发送给小程的游戏服务器。

Step 4: 令牌 (Access Token) 11. 小程的服务器拿着这个“授权码”,连同自己的客户端ID和密钥,再次向运营商的授权服务器发起请求:“这是用户小明给我的授权码,请给我一个正式的令牌”。 12. 授权服务器验证授权码的有效性,如果通过,就正式向小程的服务器颁发一个有时效性的访问令牌(Access Token)

Step 5: API调用 (API Call) 13. 小程的服务器,最后拿着这个宝贵的“访问令牌”,再次向NEF发起QoS提升的API调用。 14. NEF验证令牌的有效性,确认这是经过用户小明本人授权的合法请求,于是执行API调用,通知PCF和SMF,为小明的游戏流量提升QoS。

至此,一次安全、可控、且用户明确授权的API调用才算完成。

3. RNAA的应用场景:从游戏加速到更多

通过这套严谨的授权流程,RNAA为5G网络能力的开放,提供了坚实的安全与隐私保障。它的应用场景远不止游戏加速。

An example use case of RNAA is QoS modification while consuming gaming services… Use case 1: The application on the UE directly invokes the NEF API to modify the end user’s QoS. Use case 2: The end user triggers the gaming server for enhanced gaming experience. Based on the trigger… the gaming server, which is acting as an API invoker, invokes the NEF API…

规范中列举的这两个Use Case,正是我们上述流程的两种变体:

  • Use Case 2 (服务器作为调用者): 这是我们刚刚详细描述的场景,由小程的游戏服务器作为API Invoker。这是最常见的B2B2C模式。
  • Use Case 1 (App作为调用者): 在某些场景下,App本身也可以被设计为直接调用NEF API的API Invoker。但这要求App开发者在运营商处进行注册,并遵循更严格的安全规范。

除了QoS修改,RNAA还可以应用于:

  • 位置服务: 一个打车App想获取用户更高精度的网络侧定位,必须弹窗请求用户的明确授权。
  • 带宽管理: 一个视频会议App,在用户发起高清共享时,可以请求网络为其提供上行带宽保障,前提是用户同意可能产生的额外费用。
  • 切片接入: 一个企业应用,想将员工的手机动态接入到企业专属的网络切片中,必须经过员工本人的授权同意。

4. 安全与标准的协同

RNAA的实现,并非SA6工作组(负责应用使能)一家之功,而是3GPP多个工作组协同的结果。

Based on SA1 requirements and SA6 normative work, SA3 has specified security procedures for RNAA (TR 33.884). In CT3, based on the normative stage 2 technical specifications… the RNAA scenario based on OAuth authorization code grant to CAPIF_Security API has been specified in TS 29.222.

  • SA1 (需求组): 提出“用户必须能够提供/撤销其个人信息共享的同意权”的原始需求。
  • SA6 (应用架构组): 设计了RNAA的整体架构和业务流程,并将其与CAPIF、SEAL等框架进行集成。
  • SA3 (安全组): 负责定义RNAA的安全需求和安全流程,确保整个授权过程(特别是令牌的生成、传递和验证)的安全性,防止令牌被窃取或滥用。
  • CT3 (互通与核心网接口组): 负责将SA6和SA3定义的流程,物化为具体的、可实现的OpenAPI接口规范(如TS 29.222中定义的CAPIF_Security_API)。小程的服务器,最终调用的就是这些标准化的RESTful API。

这种跨工作组的紧密协作,确保了RNAA从需求、架构、安全到接口实现的完整性和一致性。

总结

3GPP TR 21.918的10.2章节,通过引入RNAA(资源所有者感知的北向API接入),为5G网络能力的开放,安装了一个至关重要的“安全阀”和“隐私开关”。它创造性地将业界成熟的OAuth 2.0授权框架,与3GPP的CAPIF/NEF能力开放体系深度融合,构建起了一套连接应用、运营商、用户三方的标准化信任机制。

RNAA的核心,是“将权力的中心交还给用户”。任何涉及到用户个人资源(如QoS、位置、带宽)的第三方API调用,都必须经过用户本人在授权服务器上的明确点击同意

对于小程这样的应用开发者,RNAA意味着他们可以放心地、合规地去创新需要调用网络能力的应用功能。虽然授权流程变长了,但业务的合法性和用户的信任度得到了根本的保障。

对于运营商,RNAA为其网络能力的商业化变现,提供了安全可控的路径,避免了因能力滥用而引发的法律风险和品牌损害。

对于最终用户,RNAA则是他们在5G-Advanced时代,保护个人数字主权和隐私的坚实盾牌。

RNAA的出现,标志着5G网络开放正在从“粗放式”的接口暴露,走向“精细化、可信化”的服务赋能。一个更加开放、安全、且以用户为中心的5G应用新生态,正呼之欲出。

FAQ - 常见问题解答

Q1:RNAA和我们平时用微信/QQ登录第三方App的OAuth 2.0流程有什么区别? A1:核心流程和原理是完全相同的,都是基于OAuth 2.0的授权码模式。区别在于参与的角色不同。在微信登录场景中:资源所有者是你,客户端是第三方App,授权服务器资源服务器都是微信的后台。你授权第三方App访问你在微信上的资源(如昵称、头像)。在RNAA场景中:资源所有者是玩家小明,客户端是游戏服务器,授权服务器资源服务器(NEF)都是移动运营商的后台。小明授权游戏服务器访问他在运营商网络中的资源(如QoS、位置)。RNAA的创新之处,在于将这套成熟的互联网授权模式,首次标准化地引入到了电信核心网的能力开放框架中。

Q2:每次点击“一键加速”都需要我输入手机密码登录一次吗?体验会不会很繁琐? A2:不一定。OAuth 2.0框架本身就考虑了用户体验的优化。1)会话保持(Session):在你第一次成功登录并授权后,运营商的授权服务器通常会在你的手机浏览器或App的WebView中保留一个登录会话(Session)。在会话有效期内(例如24小时),你再次点击“加速”,App会直接跳转到授权页面,页面上会显示“您已登录为138********,是否同意授权?”,你只需点击“同意”即可,无需重复输入密码。2)长期授权/自动续期:OAuth 2.0还支持Refresh Token(刷新令牌)机制。在你首次授权时,可以选择“记住我的选择”或“一个月内免登录”,授权服务器会给游戏服务器一个长期的刷新令牌。这样,在很长一段时间内,游戏服务器都可以“静默地”为你申请网络加速,无需你每次都手动确认。

Q3:如果我授权了一个App,之后又不信任它了,如何撤销授权? A3:这是RNAA框架必须支持的核心功能。用户必须拥有随时**撤销(Revoke)**授权的能力。通常有两种方式:1)通过App撤销:合规的App内部,通常会在设置菜单里提供“授权管理”选项,你可以在这里取消对运营商网络能力的授权。2)通过运营商渠道撤销:你可以登录运营商的官方App或网上营业厅,在“授权管理”或“隐私设置”一栏,会清晰地列出你曾经授权过的所有第三方应用,你可以随时在这里“一键取消”任何一个应用的授权。

Q4:NEF(网络能力开放功能)和CAPIF(通用API框架)在RNAA中分别扮演什么角色? A4:可以理解为“大门”和“门禁系统”的关系。NEF是所有网络能力开放的统一**“大门”,它将核心网内部复杂的接口,封装成对外的、统一的RESTful API。小程的游戏服务器最终要调用的QoS API,就是由NEF提供的。而CAPIF则更像是一套通用的“门禁管理系统”**。它负责API的发现、注册、发布,以及最重要的——访问控制和授权。RNAA正是CAPIF安全框架的一个核心组成部分。当游戏服务器来敲NEF的“大门”时,是CAPIF的“门禁系统”拦住了它,并启动了我们上文详述的、基于OAuth 2.0的“三方对话”授权流程。

Q5:RNAA的引入,对5G网络的商业模式会产生什么影响? A5:将产生深远影响,它为网络能力的精细化、API化变现提供了可能。传统的商业模式是卖“流量套餐”(管道)。而有了RNAA,运营商可以开始卖“API调用次数”或“能力即服务(NaaS)”。例如:1)按次计费:游戏公司每成功调用一次QoS加速API,运营商就向其收取一定费用。2)能力订阅:物流公司可以按月订阅运营商的高精度定位API服务,获得每月百万次的调用额度。3) 收入分成:运营商可以与App开发者合作,推出增值服务(如游戏加速包),并对用户产生的收入进行分成。RNAA通过解决安全和信任问题,为这些全新的、基于API经济的B2B/B2B2C商业模式,铺平了道路。

关系图谱