5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究

本期專題MonthlyTopic5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究PengJian，LiWenbin，ChenFeng(ChinaUnicomGuangdongBranch，Guangzhou510627，China)摘要：5G網(wǎng)絡(luò)能力開(kāi)放的業(yè)務(wù)需求隨著5G網(wǎng)絡(luò)的規(guī)模商用正不斷涌現(xiàn)，對(duì)網(wǎng)絡(luò)能力開(kāi)放的安全保障也逐漸成為運(yùn)營(yíng)商重點(diǎn)關(guān)注的問(wèn)題，基于此，對(duì)5G網(wǎng)絡(luò)能力開(kāi)放的安全架構(gòu)和流程進(jìn)行了研究。首先，介紹了3GPP定義的網(wǎng)絡(luò)能力開(kāi)放框架CAPIF的相關(guān)功能實(shí)體和架構(gòu)；其次，分析了CAPIF安全架構(gòu)中各個(gè)接口的安全策略和流程，并對(duì)運(yùn)營(yíng)商針對(duì)各個(gè)接口的安全策略進(jìn)行了建議；最后，對(duì)CAPIF安全架構(gòu)的發(fā)展進(jìn)行了展望。關(guān)鍵詞：文章編號(hào)：1007-3043(2023)04-0010-07開(kāi)放科學(xué)(資源服務(wù))標(biāo)識(shí)碼(OSID)：hitecnctionalentitiesandarchitectureofntheCAPIFsecurityarchitectureareanalyzedandthesecuritypoliciesofoperatorsforinterfacesKeywords：1概述網(wǎng)絡(luò)能力開(kāi)放一直是移動(dòng)通信網(wǎng)絡(luò)的重要研究NaaS)目標(biāo)的關(guān)鍵技術(shù)。為解決業(yè)內(nèi)進(jìn)行網(wǎng)絡(luò)能力開(kāi)放時(shí)缺乏權(quán)威標(biāo)準(zhǔn)的問(wèn)題，避免各個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)能力開(kāi)放方法的不一致，并降低第三方業(yè)務(wù)提供商的應(yīng)用開(kāi)發(fā)難度，3GPP在R15標(biāo)準(zhǔn)中定義了通用API框架收稿日期：2023-03-02 (CommonAPIFramework，CAPIF)架構(gòu)，對(duì)5GSA網(wǎng)絡(luò)中的能力開(kāi)放架構(gòu)和流程進(jìn)行了規(guī)定，并在R16的eCAPIF課題中對(duì)網(wǎng)絡(luò)能力開(kāi)放架構(gòu)進(jìn)行了加強(qiáng)。隨著5G業(yè)務(wù)的快速發(fā)展，5G與千行百業(yè)的結(jié)合正不斷深入，網(wǎng)絡(luò)能力開(kāi)放的業(yè)務(wù)場(chǎng)景也不斷涌現(xiàn)，隨之而來(lái)的網(wǎng)絡(luò)安全挑戰(zhàn)也日益凸顯，如何在開(kāi)展網(wǎng)絡(luò)能力開(kāi)放的過(guò)程中充分保障網(wǎng)絡(luò)側(cè)和第三方應(yīng)用側(cè)的安全，已成為運(yùn)營(yíng)商重點(diǎn)關(guān)注的問(wèn)題。因此，需要結(jié)合運(yùn)營(yíng)商網(wǎng)絡(luò)的特點(diǎn)，對(duì)CAPIF的安全架構(gòu)和安全策略流程進(jìn)行研究，以便在實(shí)際部署中更好地實(shí)現(xiàn)102023/04/DTPT5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究本期專題MonthlyTopic其安全防護(hù)能力。2CAPIF架構(gòu)CAPIF是3GPP定義的標(biāo)準(zhǔn)能力開(kāi)放架構(gòu)，可以視G網(wǎng)絡(luò)能力開(kāi)放的基石，其架構(gòu)如圖1所示。CAPIF架構(gòu)的主要功能實(shí)體包括以下幾項(xiàng)。a)CAPIF核心功能(CAPIFCoreFunction)，主要功能包括： (a)對(duì)API使用者進(jìn)行認(rèn)證、授權(quán)。 (b)發(fā)布、存儲(chǔ)和支持服務(wù)API信息的發(fā)現(xiàn)。 (c)配置/存儲(chǔ)策略信息，從而控制服務(wù)API訪問(wèn)。 (d)存儲(chǔ)服務(wù)API調(diào)用日志，向授權(quán)實(shí)體提供服務(wù)API調(diào)用日志。 (e)根據(jù)服務(wù)API調(diào)用日志進(jìn)行收費(fèi)。 (f)監(jiān)控服務(wù)API調(diào)用。 (g)支持對(duì)訪問(wèn)日志進(jìn)行審計(jì)。b)API使用者(APIInvoker)：需要調(diào)用5G網(wǎng)絡(luò)能力的第三方應(yīng)用程序，可以在PLMN可信域域內(nèi)，也可以在域外。IAPIInvokerAPI服務(wù)API發(fā)布。其中，屬于5G核心網(wǎng)內(nèi)部功能實(shí)體的包括CAPIF能這4個(gè)功能實(shí)體。在實(shí)際部署時(shí)，這4個(gè)功能實(shí)體可以根據(jù)網(wǎng)絡(luò)情況和實(shí)際需求進(jìn)行合設(shè)或者分設(shè)，例如可以選擇將這4個(gè)功能實(shí)體合設(shè)并體現(xiàn)為網(wǎng)絡(luò)開(kāi)放CAPIF核心功能單獨(dú)設(shè)置，并將其他3個(gè)功能實(shí)體合設(shè)為NEF。3CAPIF安全架構(gòu)因?yàn)镃APIF架構(gòu)肩負(fù)著對(duì)可信域外的第三方應(yīng)用開(kāi)放網(wǎng)絡(luò)功能的職責(zé)，其安全防護(hù)的重要性也格外突出。針對(duì)CAPIF功能架構(gòu)，3GPP定義的安全架構(gòu)如圖2所示。CAPIF安全架構(gòu)涉及的接口眾多，總體上可以分為2類：可信域內(nèi)通信接口和可信域外通信接口，前者e括以下幾點(diǎn)。a)支持雙向認(rèn)證。b)消息傳遞需保證完整性和保密性，并能抵御重API使用者PLMN可信域CAPIFAPIs服務(wù)APIsAPI使用者CAPIF-1CAPIF-2eCAPIF-1ePLMN可信域CAPIFAPIs服務(wù)APIsAPI使用者CAPIF-1CAPIF-2eCAPIF-2 CAPIF-3API開(kāi)放功能 CAPIF-4 CAPIF-4API發(fā)布功能 API管理功能CAPIFAPI管理功能APIAPI提供者域圖1CAPIF功能架構(gòu)郵電設(shè)計(jì)技術(shù)/2023/0411本期專題MonthlyTopic5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究PLMN可信域第三方可信域API使用者2CAPIF-2eCAPIF-1eCAPIF-1CAPIF-2eCAPIF-1eCAPIF-2CAPIF-2eCAPIF-1eCAPIF-2 服務(wù)APIs API開(kāi)放功能CAPIFPLMN可信域第三方可信域API使用者2CAPIF-2eCAPIF-1eCAPIF-1CAPIF-2eCAPIF-1eCAPIF-2CAPIF-2eCAPIF-1eCAPIF-2 服務(wù)APIs API開(kāi)放功能CAPIFAPIsCAPIF-3CAPIF-4CAPIF-5API發(fā)布功能CAPIF-2eCAPIF-7eAPI管理功能CAPIF核心功能API提供者域1CAPIF-3eCAPIF-4eCAPIF-5eAPI使用者3務(wù)APIsAPI開(kāi)放功能API發(fā)布功能API管理功能API提供者域2API使用者1圖2CAPIF安全架構(gòu)放攻擊。c)需保證通信中的用戶隱私。這些接口采用的協(xié)議都是HTTPS/HTTP，因此，為滿足上述安全要求，3GPP參考了互聯(lián)網(wǎng)通信領(lǐng)域最為成熟的安全防護(hù)策略，要求CAPIF中所有接口都強(qiáng)制TLS)。TLS對(duì)信息的安全傳遞主要基于3類算法：哈希函數(shù)、對(duì)稱加密算法和非對(duì)稱加密算法，其中，非對(duì)稱加密算法用于身份認(rèn)證和密鑰協(xié)商，對(duì)稱加密算法根據(jù)協(xié)商的密鑰對(duì)數(shù)據(jù)進(jìn)行加密，哈希函數(shù)用于驗(yàn)證信息的完整性。TLS中這3類算法的組合一般也被稱為加密套件。雙方中，一方作為T(mén)LS服務(wù)端(TLSServer)，另一方作為T(mén)LS客戶端(TLSClient)。完成TLS通道建立后，TLS服務(wù)端和TLS客戶端之間可以通過(guò)IP網(wǎng)絡(luò)創(chuàng)建起HTTP、FTP、Telnet等)完全解耦，應(yīng)用層協(xié)議能透明地運(yùn)行在TLS協(xié)議之上，在TLS完成加密通道建立之后，所有應(yīng)用層數(shù)據(jù)在通過(guò)加密通道發(fā)往對(duì)端時(shí)都會(huì)被加密，從而保證雙方在通信時(shí)的數(shù)據(jù)完整性和保密4TLS通道建立流程3GPPR16版本中，要求CAPIF安全架構(gòu)涉及的接以基于TLS1.2版本進(jìn)行雙向認(rèn)證的TLS通道建立流程為例，說(shuō)明TLS如何保證雙方通信的安全性。TLS完成TLS通道建立，其流程如圖3所示。a)TLS客戶端發(fā)起請(qǐng)求，TLS客戶端向TLS服務(wù)號(hào)、支持的加密套件和隨機(jī)數(shù)1等信息。b)TLS服務(wù)端回應(yīng)請(qǐng)求，在雙向認(rèn)證的場(chǎng)景中，此部分包括5條消息。 套件中選定一組用于后續(xù)密鑰協(xié)商，并發(fā)送隨機(jī)數(shù)2。 戶端。 法的參數(shù)(也就是公鑰)并包含簽名認(rèn)證。122023/04/DTPT5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究本期專題MonthlyTopicTLS服務(wù)端證書(shū)驗(yàn)證Server端合法性證書(shū)驗(yàn)證bTLS服務(wù)端證書(shū)驗(yàn)證Server端合法性證書(shū)驗(yàn)證bTLS客戶端aa支持的加密套件、TLS版本、隨機(jī)數(shù)1選定的加密套件、TLS版本、隨機(jī)數(shù)2bb公鑰ccd1：ChangeCipherSpecd加密信息交互圖3TLS通道建立流程(1.2版本，雙向認(rèn)證) 進(jìn)行驗(yàn)證。 消息結(jié)束。c)TLS客戶端對(duì)接收到的服務(wù)端證書(shū)進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后發(fā)送下列4條消息。 生成的隨機(jī)數(shù)1和隨機(jī)數(shù)2，生成隨機(jī)數(shù)3，并使用Server發(fā)送的公鑰對(duì)隨機(jī)數(shù)3進(jìn)行加密，加密后的隨機(jī)數(shù)3即為預(yù)主密鑰(PremasterKey)，然后傳送給服務(wù)端。 機(jī)數(shù)2和隨機(jī)數(shù)3，客戶端側(cè)已經(jīng)能計(jì)算得到主密鑰 用主密鑰進(jìn)行加密。 息生成摘要，再用主密鑰進(jìn)行加密，服務(wù)端接收后需要用自己生成的主密鑰解密，若能正常解密，則表示協(xié)商成功。d)TLS服務(wù)端對(duì)接收到的客戶端證書(shū)進(jìn)行驗(yàn)證，并完成通道建立，包含2條消息。 的私鑰對(duì)接收到的預(yù)主密鑰進(jìn)行解密，得到隨機(jī)數(shù)3，此時(shí)服務(wù)端也已可以基于隨機(jī)數(shù)1，隨機(jī)數(shù)2和隨機(jī)數(shù)3計(jì)算得到主密鑰，服務(wù)端通知客戶端，后續(xù)消息都用主密鑰進(jìn)行加密。 息生成摘要，再用主密鑰進(jìn)行加密，客戶端接收后需要用自己生成的主密鑰解密，若能正常解密，則表示協(xié)商成功。至此，TLS客戶端和TLS服務(wù)端間的加密通道建立完成，后續(xù)通信內(nèi)容都將使用主密鑰進(jìn)行加密。因?yàn)楣€加密的數(shù)據(jù)只能通過(guò)私鑰解密，在雙方私鑰安全的前提下，預(yù)主密鑰和主密鑰都具有極高的安全，基本上不可能被第三方獲得。因此，基于TLS通道的消息交互可以滿足CAPIF架構(gòu)的安全需求。5CAPIF安全架構(gòu)相關(guān)接口的安全流程5.1CAPIF-1e和CAPIF-1接口安全流程CAPIF-1e接口處于域外API使用者與CAPIF核心功能之間，在雙方經(jīng)過(guò)雙向認(rèn)證完成TLS通道建立之后，API使用者需要向CAPIF核心功能協(xié)商一個(gè)在后續(xù)的業(yè)務(wù)流程中用于CAPIF-2e接口認(rèn)證和保護(hù)的策略。CAPIF-2e接口安全策略選擇流程如圖4所示。a)API使用者使用在注冊(cè)流程中獲得的Client證b)API使用者在安全策略請(qǐng)求消息中向CAPIF核心功能發(fā)送自身支持的安全策略列表及其他輔助選擇信息。c)CAPIF核心功能基于API使用提供的信息、訪問(wèn)場(chǎng)景和AEF能力，選定CAPIF-2e接口使用的安全策略。d)CAPIF核心功能向API使用者發(fā)送安全策略響應(yīng)消息，明確選定的安全策略以及相應(yīng)的安全策略信息，以便API使用者在后續(xù)CAPIF-2e接口的業(yè)務(wù)流程中使用。郵電設(shè)計(jì)技術(shù)/2023/0413本期專題MonthlyTopic5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究API使用者API使用者 (AEF詳細(xì)信息，安全策略)a.TLS連接建立CAPIF核心功能d.安全模式響應(yīng) (AEF詳細(xì)信息，選用的安全策略和相關(guān)信息)圖4CAPIF-2e接口安全策略選擇流程CAPIF-1e接口因?yàn)樯婕芭c域外通信，其安全策略要求是強(qiáng)制性的。CAPIF-1接口處于域內(nèi)API使用者與CAPIF核心功能之間，其安全要求和流程與CAPIF-1e一致，但是運(yùn)營(yíng)商可以決定是否啟用相應(yīng)的安全流程。5.2CAPIF-2e和CAPIF-2接口安全流程CAPIF-2e接口處于域外API使用者與API開(kāi)放功PI成CAPIF-1e接口的安全認(rèn)證后，需要與AEF建立TLS連接以保證業(yè)務(wù)流程的安全性?；贑APIF-1e業(yè)務(wù)流程中CAPIF核心功能選定的安全策略，此TLS連接可以通過(guò)3種方式建立，分別是TLS-PSK方式、TLS-PKI方式和TLS-OAuthtoken方式。5.2.1TLS-PSK方式使用TLS-PSK方式進(jìn)行CAPIF-2e接口安全認(rèn)證的流程如圖5所示。a)CAPIF-1e認(rèn)證和安全會(huì)話按照前文流程建立，CAPIF核心功能選定TLS-PSK策略并且同時(shí)提供密鑰AEFPSK的有效定時(shí)器值。b)API使用者和CAPIF核心功能獲取到與AEF一一對(duì)應(yīng)的密鑰AEFPSK，并啟動(dòng)AEFPSK的有效計(jì)時(shí)。c)API使用者向AEF發(fā)送認(rèn)證請(qǐng)求，里面應(yīng)包含由CAPIF核心功能分配的API使用者ID。d)AEF向CAPIF核心功能請(qǐng)求安全信息以執(zhí)行認(rèn)證。e)CAPIF核心功能通過(guò)CAPIF-3接口向AEF提供與所選安全策略(TLS-PSK)有關(guān)的安全信息。此時(shí)，CAPIF核心功能應(yīng)同時(shí)指示AEFPSK的剩余有效計(jì)API使用者CAPIF核心功能a.CAPIF-1e認(rèn)證和安全會(huì)話API使用者CAPIF核心功能a.CAPIF-1e認(rèn)證和安全會(huì)話建立b.獲取AEFPSKb.獲取AEFPSKg.TLS連接建立(TLS-PSK，AEFPSK)API開(kāi)放功能 (API使用者ID)d.請(qǐng)求安全參數(shù) e.參數(shù)回應(yīng)(AEFPSK)f.初始認(rèn)證響應(yīng)圖5CAPIF-2e接口安全認(rèn)證流程(TLS-PSK方式)時(shí)。時(shí)f)在獲取相關(guān)安全信息(即AEFPSK)后，AEF回復(fù)認(rèn)證請(qǐng)求響應(yīng)消息，并啟動(dòng)TLS會(huì)話建立流程。AEF根據(jù)CAPIF核心功能指示的值，啟動(dòng)AEFPSK的有效定時(shí)。g)API使用者和AEF使用AEFPSK進(jìn)行相互認(rèn)證，并建立CAPIF-2e接口的TLS會(huì)話。TLSPKI使用PKI方式進(jìn)行CAPIF-2e接口安全認(rèn)證的流程如圖6所示。API使用者CAPIF核心功能 API使用者CAPIF核心功能 (API使用者ID)c響應(yīng)(根證書(shū))d認(rèn)證請(qǐng).e.TLS連接建立求響應(yīng) (TLS-PKI)API開(kāi)放功能圖6CAPIF-2e接口安全認(rèn)證流程(PKI方式)142023/04/DTPT5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究本期專題MonthlyTopica)API使用者向AEF發(fā)送認(rèn)證請(qǐng)求，包括API使b)AEF向CAPIF核心功能請(qǐng)求安全信息以執(zhí)行認(rèn)證。c)CAPIF核心功能通過(guò)CAPIF-3接口向AEF提供與所選安全策略(TLS-PKI)有關(guān)的安全信息和API使用者的根CA證書(shū)，以便AEF驗(yàn)證。d)獲取安全信息后，AEF向API調(diào)用者發(fā)送認(rèn)證請(qǐng)求響應(yīng)消息，以啟動(dòng)TLS會(huì)話建立流程。e)API使用者和AEF基于證書(shū)進(jìn)行相互認(rèn)證，并通過(guò)CAPIF-2e建立TLS會(huì)話。5.2.3TLS-OAuthtoken使用TLS-OAuthtoken方式進(jìn)行CAPIF-2e接口安全認(rèn)證的流程如圖7所示。CAPIF核心功能API開(kāi)放功能北向APICAPIF核心功能API開(kāi)放功能北向API請(qǐng)求a.CAPIF-1e認(rèn)證和安全會(huì)話建立bOAuth請(qǐng)求c.驗(yàn)證訪問(wèn)令牌請(qǐng)求dOAuth應(yīng)e.TLS建立連接PIAPI使用者h(yuǎn).北向API調(diào)用響應(yīng)圖7CAPIF-2e接口安全認(rèn)證流程(TLS-OAuthtoken方式)a)CAPIF-1e認(rèn)證和安全會(huì)話按照前文流程建立。b)API使用者應(yīng)按照OAuth2.0規(guī)范向CAPIF核心功能發(fā)送訪問(wèn)令牌請(qǐng)求。c)CAPIF核心功能應(yīng)根據(jù)OAuth2.0規(guī)范驗(yàn)證訪問(wèn)令牌請(qǐng)求。d)如果訪問(wèn)令牌請(qǐng)求消息被成功驗(yàn)證，則CAPIF核心功能應(yīng)生成API使用者專用的訪問(wèn)令牌，并在訪問(wèn)令牌響應(yīng)消息中返回。e)API使用者根據(jù)CAPIF核心功能指示的認(rèn)證和授權(quán)方法，通過(guò)與AEF建立TLS會(huì)話來(lái)認(rèn)證AEF。f)對(duì)AEF認(rèn)證成功后，API使用者應(yīng)向AEF發(fā)起3GPP北向API的調(diào)用。根據(jù)OAuth2.0協(xié)議，從CAPIF核心功能收到的訪問(wèn)令牌應(yīng)與北向API調(diào)用請(qǐng)求一起發(fā)送。g)AEF通過(guò)驗(yàn)證CAPIF核心功能的簽名來(lái)驗(yàn)證訪問(wèn)令牌的完整性。如果訪問(wèn)令牌驗(yàn)證成功，AEF應(yīng)根據(jù)訪問(wèn)令牌中的授權(quán)要求來(lái)驗(yàn)證API使用者的北向API調(diào)用請(qǐng)求，確保API使用者對(duì)請(qǐng)求的API具有訪問(wèn)權(quán)限。h)在成功驗(yàn)證訪問(wèn)令牌和API使用者的授權(quán)要求后，應(yīng)調(diào)用所請(qǐng)求的北向API，并向API使用者返回適當(dāng)?shù)捻憫?yīng)。CAPIF-2e接口因?yàn)樯婕芭c域外通信，其安全策略要求是強(qiáng)制性的。CAPIF-2接口處于域內(nèi)API使用者與AEF之間，其安全要求和流程與CAPIF-2e一致，但是運(yùn)營(yíng)商可以決定是否啟用相應(yīng)的安全流程。5.3CAPIF-3e/4e/5e和CAPIF-3/4/5接口安全流程CAPIF-3e/4e/5e接口分別處于CAPIF核心功能與域外API開(kāi)放功能、域外API發(fā)布功能和域外API管理功能之間。由于涉及與域外通信，其業(yè)務(wù)流程必須基于TLS建立的安全通道進(jìn)行，通道建立流程遵循TLS的。CAPIF-3/4/5接口處分別于CAPIF核心功能與域內(nèi)API開(kāi)放功能、域內(nèi)API發(fā)布功能和域內(nèi)API管理功能之間。對(duì)應(yīng)的業(yè)務(wù)流程應(yīng)支持基于TLS建立的安全通道定。但是，因?yàn)椴簧婕坝蛲馔ㄐ?，運(yùn)營(yíng)商可以決定是否啟用相應(yīng)的安全流程。5.4CAPIF-7e和CAPIF-7接口安全流程CAPIF-7e接口處于域內(nèi)AEF與域外AEF之間，其安全要求和流程與CAPIF-2e一致，因?yàn)樯婕芭c域外通信，其安全策略要求是強(qiáng)制性的。CAPIF-7接口處于域內(nèi)AEF之間，其安全要求和流程與CAPIF-2一致，因?yàn)椴簧婕坝蛲馔ㄐ?，運(yùn)營(yíng)商可以決定是否啟用相應(yīng)的安全流程。5.5實(shí)際部署時(shí)的安全策略選擇建議國(guó)內(nèi)運(yùn)營(yíng)商在進(jìn)行5G網(wǎng)絡(luò)能力開(kāi)放部署時(shí)，一般郵電設(shè)計(jì)技術(shù)/2023/0415本期專題MonthlyTopic5G網(wǎng)絡(luò)能力開(kāi)放安全架構(gòu)和流程研究會(huì)選擇將CAPIF中的API開(kāi)放功能、API發(fā)布功能和API管理功能合設(shè)為NEF，作為5G核心網(wǎng)對(duì)外提供開(kāi)放API的統(tǒng)一入口。同時(shí)，部署5G網(wǎng)絡(luò)能力開(kāi)放平臺(tái)，作為運(yùn)營(yíng)商向外部第三方應(yīng)用開(kāi)放網(wǎng)絡(luò)能力的統(tǒng)一門(mén)戶。CAPIF核心功能對(duì)API調(diào)用者的鑒權(quán)、授權(quán)、認(rèn)證等功能由能力開(kāi)放平臺(tái)實(shí)現(xiàn)，圖8給出了其組網(wǎng)示意。AF2AF2AFAF1APIAPIAPI能能力開(kāi)放平臺(tái)API5G核心網(wǎng)NEFNF2運(yùn)營(yíng)商網(wǎng)絡(luò)可信域NF3NF1圖8能力開(kāi)放平臺(tái)部署示意此部署方案下，NEF只需要與運(yùn)營(yíng)商網(wǎng)絡(luò)內(nèi)的能力開(kāi)放平臺(tái)進(jìn)行對(duì)接，實(shí)現(xiàn)API開(kāi)放。CAPIF的眾多接口被收斂為NEF與能力開(kāi)放平臺(tái)之間的一個(gè)接口，因?yàn)樵摻涌谕幱谶\(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)，接口安全可控度更高，通過(guò)前述TLS策略和流程即能充分保證安全。而API使