T/CAICI 91-2024 5G消息业务增强能力规范—统一认证能力要求

ICS33.030

CCSL70

T/CAICI

中国通信企业协会团体标准

T/CAICI91—2024

代替YD/T629.1—1993

5G消息业务增强能力规范—

统一认证能力要求

5GMessagingServicesEnhancementCapabilitySpecification–

UnifiedAuthenticationCapabilityRequirements

2024-08-26发布2024-09-15实施

中国通信企业协会发布

T/CAICI91—2024

目次

前言III

1范围1

2规范性引用文件1

3术语和定义1

4统一认证能力概述2

4.1统一认证能力开放需求2

4.2统一认证能力开放实现方案2

5统一认证能力功能要求3

5.1终端获取统一认证能力服务器地址3

5.2第三方应用申请开通统一认证能力3

5.3用户免密登录第三方应用网页3

5.4第三方应用提供的链接格式3

6统一认证能力系统架构5

6.1系统逻辑架构图5

6.2网元功能5

6.3接口描述5

7统一认证技术流程6

7.1第三方应用开通统一认证能力流程6

7.2用户授权确认流程6

7.3用户授权后免密登录第三方应用网页流程11

8统一认证相关平台侧接口12

8.1第三方应用系统与统一认证能力开通模块间的接口（接口1）12

8.2第三方应用系统与MaaP平台间的接口（接口2）12

8.35G消息中心与终端间的接口（接口3）12

8.4第三方应用系统与终端间的接口（接口4）12

8.5GBA认证能力开放平台与终端间的接口（接口5：内置浏览器方案）13

8.6GBA认证能力开放平台与终端间的接口（接口5：终端Native方案）17

8.7第三方应用系统与GBA认证能力开放平台间的接口（接口6）20

8.8GBA认证能力开放平台与BSF间的接口（接口7）28

8.9全局响应码28

9统一认证相关终端侧接口29

9.1查询终端是否支持GBA认证能力开放29

I

T/CAICI91—2024

9.2获取授权码29

10统一认证相关接口安全要求29

II

T/CAICI91—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由中国通信企业协会团体标准管理委员会提出并归口。

本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件起草单位：中国移动通信集团有限公司、中国信息通信研究院、中国电信集团有限公司、中

国联合网络通信集团有限公司、中国通信企业协会增值服务专业委员会、中移互联网有限公司、中移动

金融科技有限公司、信元公众信息发展有限责任公司、联通在线信息科技有限公司、中讯邮电咨询设计

院有限公司、中广电移动网络有限公司、新华通讯社通信技术局、北京百悟科技有限公司、北京国都互

联科技有限公司、北京久佳信通科技有限公司、北京美联软通科技有限公司、北京三星通信技术研究有

限公司、广东蜂动科技有限公司、联动优势科技有限公司、上海帜讯信息技术股份有限公司、深圳市梦

网科技发展有限公司、深圳市南方国讯科技有限公司、深圳市壹通道科技有限公司、数海信息技术有限

公司、小米科技有限责任公司、中兴通讯股份有限公司、中邮世纪（北京）通信技术有限公司、OPPO

广东移动通信有限公司

本文件主要起草人：李家姿、解谦、李旦、宁恒宇、胡博、刘悦、刘念、马臻臻、李志猛、李笑郁、

张水云、林志勇、江旭、宁志刚、连静、侯帅、李辉、邬学川、刘艳伟、张振宇、佘康妮、张莹莹、江

呈、成鹏、陈连增、易超、古鹏、程飞、章慎锋、邓为、吴莎、韩松乔、孙晓明、许红波、杨振、王亮、

刘志欣、范军、王全、钱炜、王莉莉、夏祥

本文件为中国通信企业协会首次发布。

III

T/CAICI91—2024

5G消息业务增强能力规范—统一认证能力要求

1范围

本标准规定了5G消息业务增强能力中的统一认证能力要求，包括统一认证能力的功能要求、系统

架构、技术流程等。供运营商、网络设备商、终端厂商使用，为其在中国境内建设、使用5G消息统一

认证能力时提供技术依据。

基于GBA鉴权机制的5G消息统一认证能力，未来可进一步演进形成通用服务和标准，应用于除

5G消息业务外的其它业务服务流程。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

YD/T3989—20215G消息总体技术要求

3术语和定义

下列术语、定义和缩略语适用于本标准：

3.1术语、定义

3.1.1

5G消息5GMessaging

5G消息是能与短信/彩信等基础电信业务协同开展的业务，5G消息业务包括个人消息、行业消息

和增强通话涉及的消息等业务形式。

3.1.2

聊天机器人Chatbot

5G消息中行业消息应用的呈现形式，以消息对话的方式，向用户提供行业消息服务功能，也可称

为应用号。

缩略语

3.2

下列缩略语适用于本文件。

BIA自举信息应答消息Bootstrapping-InfoAnswer

1

T/CAICI91—2024

BIR自举信息请求Bootstrapping-InfoRequest

BSF引导服务功能BootstrappingServerFunction

GBA通用引导架构GenericBootstrappingArchitecture

HTTP超文本传输协议HyperTextTransferProtocol

MaaP消息即平台MessagingasaPlatform

USIM用户全球识别卡UniversalSubscriberIdentityModule

4统一认证能力概述

4.1统一认证能力开放需求

YD/T3989—2021《5G消息总体技术要求》中已经规定了HTTP类业务采用GBA对终端用户进

行认证，但只有5G消息系统功能（如5G消息终端获取配置、chatbot搜索、文件上传下载等）能够使

用GBA认证能力。为了向Chatbot应用提供统一的用户身份认证能力，本标准将制定统一认证能力开

放技术要求，将GBA认证能力进行封装，并开放给Chatbot使用。Chatbot使用该能力后，用户点击该

Chatbot发送的5G消息中包含该Chatbot自有系统的链接时，从5G消息界面跳转到该Chatbot的网页，

跳转后，用户无需输入其在该Chatbot系统上的用户名和密码，即可快捷登录到该Chatbot的网页上。

4.2统一认证能力开放实现方案

4.2.1概述

统一认证能力开放需要终端侧设置GBA认证模块，网络侧设置GBA认证能力开放平台,终端与平

台相互配合，完成对用户身份进行认证后登录第三方应用网页。

在第三方应用获取用户身份信息（本标准中主要指手机号码，也可根据业务需要扩展支持其他的用

户信息）前，用户需要授权该第三方应用获得其身份信息，授权只对当次请求有效。终端侧实现该授权

及认证流程有2种不同的实现方式：

方案一：GBA认证能力开放平台提供网页版授权页面，下文中简称为“内置浏览器方案”。

方案二：终端GBA认证模块提供native版授权页面，下文中简称为“终端Native方案”。

4.2.2方案一：内置浏览器方案

当用户点击5G消息中包含第三方应用外链的按钮或内容时，终端应调起5G消息应用中的内置浏

览器，内置浏览器与网络侧GBA认证能力开放平台交互，获取授权页面，用户确认向该Chatbot授权

获取其身份信息后，内置浏览器应与终端GBA认证模块交互，终端GBA认证模块再与GBA认证能力

开放平台交互，对第三方应用和用户的身份进行认证鉴权，用户无需输入其在该Chatbot系统上的用户

名和密码，即可快捷登录到第三方应用网页。

4.2.3方案二：终端Native方案

当用户点击5G消息中包含第三方应用外链的按钮或内容时，终端应调用GBA认证模块获取native

版授权页面，用户确认向该Chatbot授权获取其身份信息后，终端GBA认证模块与GBA认证能力开放

2

T/CAICI91—2024

平台交互，对第三方应用和用户的身份进行认证鉴权，用户无需输入用户名和密码，即可快捷登录到第

三方应用网页。

5统一认证能力功能要求

5.1终端获取统一认证能力服务器地址

5G消息的配置数据应扩展一个统一认证能力服务器地址的配置参数，终端应通过配置流程获取统

一认证能力服务器的地址。

统一认证能力服务器地址的配置参数应设置在MESSAGING参数下，参数名称为“Singlesign-on”，

配置数据形如：

<characteristictype="MESSAGING">

……

<characteristictype="Singlesign-on">

<parmname="SSOURI"value="/ssoserver"/>

</characteristic>

……

</characteristic>

5.2第三方应用申请开通统一认证能力

第三方应用要获得统一认证能力，应在统一认证能力的归属运营商进行开通。运营商应支持在线开

通方式。如果第三方应用的主体为企业，在线提交的企业信息应至少包括企业名称、企业法人信息、企

业营业执照信息、企业联系人信息（包括手机号码）、申请使用认证能力的Chatbot名称。如果第三方

应用的主体为个人，在线提交的个人信息应至少包括姓名、个人身份证信息、个人手机号信息、个人证

件照信息、申请使用认证能力的Chatbot名称。

开通成功后，第三方应用可选择资费模式（包括免费模式和收费模式）和套餐包，支付后，即可接

入GBA认证能力开放平台，使用GBA认证能力开放平台提供的统一认证能力。

运营商可结合业务需求，简化统一认证能力的开通流程。如在商户申请开通Chatbot流程中，增加

同时开通统一认证能力的可选项。如果Chatbot选择了同时开通统一认证能力，可继续添加具体使用统

一认证能力的外部链接，具体功能可由运营商自行设计。

5.3用户免密登录第三方应用网页

用户通过5G消息界面打开Chatbot提供的非5G消息系统内的链接（下文中可简称为外部链接、

或者外链）时，如果该Chatbot开通了统一认证能力，Chatbot在获得用户身份之前，应向用户展示授

权询问页面，用户点击“确认”或“同意”后，该Chatbot方可获得用户的身份信息，并应依据用户的

身份信息为该用户展示登录后的页面。

5.4第三方应用提供的链接格式

第三方应用可在文本消息、卡片消息中携带链接，用户点击链接后可免密登录到第三方应用的网页。

3

T/CAICI91—2024

链接格式可采用如下2种方式：

1)通过GBA开放平台跳转到第三方应用网页，链接中应携带GBA开放平台地址、第三方应用

的appid、网页链接、运营商标识，链接格式形如：?appid=xx&url=

xxx&operator=xxx;

2)直接跳转到第三方应用网页，链接中应携带第三方应用的网页链接、appid、运营商标识、GBA

认证标识，链接格式形如：?appid=xx&operator=xxx&gba=0。

注：上述2种格式的链接既适用于终端内置浏览器方案，又适用于终端Native方案。

对第一种链接中各项要素的说明如表1所示。对第二种链接中各项要素的说明如表2所示。

表1链接方式1参数说明

参数名可选属性描述示例

GBA开放平台提供的weburl，终端通过该地址获取授

GBA开放平台地址M

权确认页面，由提供GBA能力开放的运营商提供

第三方应用的唯一凭证，由GBA开放平台分配，为一

appidM—

个字符串

第三方应用提供的weburl，终端通过该地址访问第三

第三方应用的网页链接M方应用的页面，由第三方应用提供，主域名应在其开通

Chatbot时在运营商登记过。

运营商标识，采用一位数字表示：

中国移动：1

operatorM中国电信：2—

中国联通：3

中国广电：4

表2链接方式2参数说明

参数名可选属性描述示例

第三方应用提供的weburl，终端通过该地址访问第三方

第三方应用的网页链接M应用的页面，由第三方应用提供，主域名应在其开通

Chatbot时在运营商登记过。

运营商标识，采用一位数字表示：

中国移动：1

operatorM中国电信：2—

中国联通：3

中国广电：4

第三方应用的唯一凭证，由GBA开放平台分配，为一

appidM—

个字符串

GBA认证标识，采用一位数字表示：

需要GBA认证：0

gbaM—

不需要GBA认证：1

默认值为1

4

T/CAICI91—2024

6统一认证能力系统架构

6.1系统逻辑架构图

如图1所示，统一认证能力开通模块，可在GBA认证能力开放平台内部实现，也可以作为独立子

模块，在5G消息系统中集成，以进一步满足业务的定制化需求。

图1统一认证系统架构及接口

在5G消息系统中集成时，5G消息系统需要代Chatbot去GBA认证能力开放平台去开通认证能力，

再把开通结果转给Chatbot。本标准中按GBA认证能力开放平台实现开通进行规定，5G消息系统集成

开通的方式由运营商根据运营需求自行实现，不在本标准规定范围内。

6.2网元功能

统一认证涉及到的网元及网元功能如下。

5G消息系统：包含MaaP平台、5G消息中心、统一认证能力开通逻辑模块（可选），接收第三方

应用系统向用户发送的Chatbot消息，并转发给终端；负责为第三方应用系统开通统一认证能力

（可选）。

GBA认证能力开放平台：负责为第三方应用系统开通统一认证能力，通过GBA认证流程获取终端

用户的身份信息，开放给第三方应用系统。

BSF：与GBA认证能力开放平台交互，向其提供终端用户身份信息。

第三方应用系统：通过5G消息系统向终端用户下发Chatbot消息；通过调用GBA认证能力，向用

户提供登录后的网页内容。

6.3接口描述

统一认证能力涉及到的接口如图1中接口①～⑧所示。

接口①：第三方应用系统与统一认证能力开通逻辑模块间的接口，完成统一认证能力开通相关的

Chatbot信息提交以及开通结果通知等。

接口②：第三方应用系统与5G消息系统中MaaP平台间的接口，完成Chatbot消息交互，采用

HTTP/HTTPS协议通信。

5

T/CAICI91—2024

接口③：5G消息系统中5G消息中心与终端间的接口，完成Chatbot消息交互，采用SIP协议通信。

接口④：第三方应用系统与终端间的接口，采用HTTP/HTTPS协议，用于终端访问第三方应用系

统的网页。

接口⑤：GBA认证能力平台与终端间的接口，用于终端用户向Chatbot授权其获取用户身份信息，

终端GBA模块获取用户身份信息等。

接口⑥：GBA认证能力开放平台与第三方应用系统间的接口，用于第三方应用系统获取用户授权

询问页面、用凭证换取用户信息等。

接口⑦：GBA认证能力开放平台与BSF间的接口，用于GBA认证能力开放平台从BSF获取用户

身份信息。

7统一认证技术流程

7.1第三方应用开通统一认证能力流程

第三方应用到GBA认证能力开放平台申请开通统一认证能力，流程如图2所示。

图2应用开通统一认证能力流程

流程如下：

1．第三方应用系统申请开通统一认证能力，携带第三方应用的企业名称、管理者身份、Chatbot

名称等信息。

2．GBA认证能力开放平台为第三方应用系统开通统一认证能力，并向其返回开通结果，如果开通

成功，则携带appid、appsecret；如果开通失败，则携带开通失败的错误原因描述。运营商可根据5G消

息业务运营需求，appid和appsecret复用Chatbot注册时为其分配的账号及校验参数信息。

7.2用户授权确认流程

7.2.1内置浏览器方案下的用户授权确认流程

用户通过5G消息应用中的链接访问第三方应用提供的网页时，第三方应用如果要获得用户身份信

息，需要取得用户授权，用户确认授权后，消息终端与认证能力开放平台、第三方服务平台

5GGBA

交互，获得登录后的第三方应用网页。用户获取授权页面流程如图3所示，用户确认授权流程如图4

所示。

6

T/CAICI91—2024

图3用户获取授权页面流程

流程如下：

1～4、用户点击5G消息中的外链，调起5G消息终端内置浏览器访问外链。

用户授权确认页面的触发方式可以通过2种机制实现，可由运营商根据应用类型、业务策略等灵活

7

T/CAICI91—2024

选择采用何种机制。

图4用户授权确认流程

—机制1：直接访问GBA认证能力开放平台。5’～7’：外链直接指向GBA认证能力开放平台，

外链中携带预先由GBA认证能力开放平台为Chatbot分配的appid和Chatbot的回调URL参

数。GBA认证能力开放平台对appid和回调URL进行校验，如果校验通过，则返回授权确

认页面，携带预授权code;如果校验不通过，则返回校验不通过的结果及不通过的原因提

示页面。

8

T/CAICI91—2024

—机制2：通过第三方应用系统跳转访问GBA认证能力开放平台。5～9：第三方应用系统向GBA

认证能力开放平台请求获得授权询问页面，请求中携带预先由GBA认证能力开放平台为其分

配的appid和第三方应用平台的回调URL。GBA认证能力开放平台对appid和回调URL进行

校验，如果校验通过，则返回授权确认页面URL和预授权code，第三方应用系统将其转发至

5G消息终端内置浏览器；如果校验不通过，则返回校验不通过的结果及不通过的原因，第三

方应用系统按照其自有逻辑处理后续流程。

10～11．终端内置浏览器根据授权确认页面URL访问GBA认证能力开放平台，GBA认证能力开

放平台返回授权确认页面。

12～13．页面调用GBA认证模块查询终端是否支持GBA认证能力开放。

14．页面对查询结果进行判断，如果调用查询报错或者返回错误码则认定不支持，code为0则认

定支持，具体调用方式参见第9.1节。

15’～18’．对于不支持GBA认证能力开放的终端，页面向GBA认证能力开放平台通知用户取消授

权的结果，，具体调用方式参见第9.2节。GBA认证能力开放平台记录该事件，向终端返回第三方应用

系统的回调URL。页面自动跳转，继续访问未经认证的第三方应用页面。

15．如果终端支持