CN117580030A

CN117580030A - 通信方法和通信装置

Info

Publication number: CN117580030A
Application number: CN202210943273.4A
Authority: CN
Inventors: 邵国强; 石玺
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2022-08-08
Filing date: 2022-08-08
Publication date: 2024-02-20
Also published as: WO2024032245A1

Abstract

本申请实施例提供了一种通信方法和通信装置。该方法包括：响应于第一网元向第二网络发送第一请求消息，第一SEPP向第二网络发送第一消息，该第一消息包括第一请求消息和隐藏信息，该隐藏信息为隐藏后的第一网元的拓扑信息；第二SEPP接收第二网络发送的第二消息，该第二消息包括第一回复消息和隐藏信息；第二SEPP将隐藏信息恢复，以便将第一回复消息路由至第一网元。其中，情况1：第一SEPP和第二SEPP预置的算法相同；情况2：第一SEPP和第二SEPP相同；情况3：第二SEPP请求其他网络设备恢复拓扑信息。该三种方案均能使得隐藏后的拓扑信息正确恢复，能够避免因为第一SEPP和第二SEPP不同而导致的业务失败。

Description

通信方法和通信装置

技术领域

本申请实施例涉及通信领域，并且更具体地，涉及一种通信方法和通信装置。

背景技术

5G核心网的服务化接口中携带大量的拓扑信息，这些拓扑信息如果不加处理，可能会随着漫游接口和互通接口流出本网控制范围。因此，在发送消息时需要将该拓扑信息隐藏，在收到消息时再将其恢复。

在此情况下，如何使得被隐藏的拓扑信息能够被顺利恢复，是当下亟需解决的问题。

发明内容

本申请实施例提供一种通信方法和通信装置，该方法能够使得隐藏后的拓扑信息正确的恢复，从而能够避免因为第一SEPP和第二SEPP不同而导致的业务失败。

第一方面，提供了一种通信方法，该方法包括：响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP根据第一算法和第一密钥ID生成隐藏信息，该隐藏信息为隐藏后的第一网元的拓扑信息；第一SEPP向第二网络发送第一消息，该第一消息包括该第一请求消息和该隐藏信息，该隐藏信息携带第一密钥ID；第二SEPP接收该第二网络为响应于该第一消息发送的第二消息，该第二消息包括第一回复消息和该隐藏信息，该第一SEPP和该第二SEPP属于第一网络，该第一SEPP和该第二SEPP预置有该第一算法和该第一密钥ID；该第二SEPP根据该第一密钥ID恢复该隐藏信息，进而获得该第一网元的拓扑信息，以便根据该第一网元的拓扑信息将该第一回复消息路由至该第一网元。

具体地，该第二SEPP基于该第一算法，根据该第一密钥ID恢复该隐藏信息。

可选地，该第一网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

可选地，第一SEPP和所述第二SEPP为同一个SEPP。

本申请实施例中，通过在同网络中的SEPP上预置相同的算法和密钥ID信息，能够实现同网络下不同SEPP之间的拓扑信息互相隐藏和恢复的功能，进而实现同网络中所有SEPP在收到需要恢复的拓扑隐藏信息时，能够正确恢复该隐藏的拓扑信息，从而进一步根据该拓扑信息将对应的消息路由到正确的地址，能够避免由于SEPP不同而导致的业务失败。

结合第一方面，在一种可能的实现方式中，第一SEPP生成隐藏信息，包括：该第一SEPP接收第一网元发送的第一请求消息和该第一网元的拓扑信息；该第一SEPP根据第一算法和第一密钥ID加密该第一网元的拓扑信息，进而生成该隐藏信息。

本申请实施例中，采用加密的方式对消息中的拓扑信息进行隐藏，只要同网络中的SEPP上预置相同的算法和密钥ID，即可实现同网络下不同SEPP之间的拓扑信息互相隐藏和恢复的功能。

结合第一方面，在一种可能的实现方式中，第一SEPP向第二网络发送第一消息，包括：第一SEPP生成第一完全限定域名FQDN，该第一FQDN包括该隐藏信息和该第一密钥ID；该第一SEPP向第二网络发送第一消息，该第一消息包括该第一请求消息和该第一FQDN。

可选地，该第一FQDN还包括该第一网元的域信息。

本申请实施例中，消息携带的隐藏信息可以以存在于FQDN中，并且，该FQDN还包括该第一网元的域信息，这样，拓扑信息在隐藏后，能够跟与其相对应的密钥信息和域信息被打包在同一个FQDN中，能够便于SEPP在接收到该隐藏信息后更容易识别，并且，也更容易获取恢复该隐藏信息所需要使用的密钥ID等信息，能够提高拓扑信息的恢复准确率和恢复效率。

第二方面，提供了一种通信方法，该方法包括：响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP向该第二网络发送第一消息，该第一消息包括该第一请求消息和第一指示信息，该第一指示信息用于指示该第一SEPP对应的路由类别为严格路由；该第一SEPP接收该第二网络为响应于该第一消息，根据第一路径发送的第二消息，该第二消息包括第一回复消息，该第一路径是该第二网络根据该第一消息的路径生成的，该第一路径包括一个或多个设备，该一个或多个设备均对应一个路由类别，该路由类别包括严格路由；该第一SEPP向该第一网元发送该第一回复消息。

可选地，该路由类别还包括宽松路由。

应理解：若消息路径所包括的某个设备对应的路由类别为严格路由，那么按照该消息路径发送的消息就必须经过该设备；若消息路径所包括的某个设备对应的路由类别为宽松路由，那么按照该消息路径发送的消息可以经过经过该设备，也可以不经过该设备。

可选地，第一网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

本申请实施例中，通过记录请求消息的路径，并根据该路径生成回复消息的路径的方式，且将路径中的SEPP标记为严格路由，使得请求消息对应的回复消息必须经过被标记为严格路由的SEPP，这样，能够实现对消息路径的控制，使得消息的收发都经过同一个SEPP，进而能够避免由于SEPP不同而导致的业务失败。

结合第二方面，在一种可能的实现方式中，第一消息还包括隐藏信息，该隐藏信息为隐藏后的该第一网元的拓扑信息，该第二消息还包括该隐藏信息，该第一SEPP向该第一网元发送该第一回复消息，包括：该第一SEPP将该隐藏信息恢复为该第一网元的拓扑信息；该第一SEPP根据该第一网元的拓扑信息向该第一网元发送该第一回复消息。

可选地，该第一SEPP通过加密该第一网元的拓扑信息，生成该隐藏信息。

可选地，方法还包括：该第一SEPP接收该第一网元发送的该第一请求消息和该第一网元的拓扑信息。

本申请实施例中，通过对消息路径的控制，进而能够使得以SEPP隐藏的地址为目的地址的消息都能路由到他自己，从而避免出现消息路由到其他SEPP无法恢复的情况，进而使得隐藏的拓扑信息能够被正确恢复，避免了由于SEPP不同而导致的业务失败。

第三方面，提供了一种通信方法，该方法包括：第二网元接收第一安全和边界代理网元SEPP发送的第一消息，该第一消息包括第一请求消息和第一指示信息，该第一指示信息用于指示该第一SEPP对应的路由类别为严格路由；该第二网元根据该第一消息的路径生成第一路径，该第一路径包括一个或多个设备，该一个或多个设备均对应一个路由类别，该路由类别包括严格路由；响应于该第一消息，该第二网元根据该第一路径向该第一SEPP发送第二消息，该第二消息包括第一回复消息。

其中，更具体地，该第二网元根据该第一路径和该第一路径上的设备对应的路由类别向该第一SEPP发送第二消息，该第二消息包括第一回复消息。

可选地，所述第二网元记录该第一消息的路径。

可选地，该第二网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

可选地，第二网元将该第一消息的路径倒序排放，进而生成该第一路径。

结合第三方面，在一种可能的实现方式中，该第一消息还包括隐藏信息，该隐藏信息为隐藏后的第一网元的拓扑信息，该第二消息还包括所述隐藏信息。

第四方面，提供了一种通信方法，该方法包括：响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP向该第二网络发送第一消息，该第一消息包括该第一请求消息和该隐藏信息，该隐藏信息为隐藏后的该第一网元的拓扑信息；该第二SEPP接收该第二网络为响应于该第一消息发送的第二消息，该第二消息包括第一回复消息和该隐藏信息；该第二SEPP向第三网元发送第二请求消息，该第二请求消息用于请求获取该第一网元的拓扑信息，该第二请求消息包括该隐藏信息；该第二SEPP接收该第三网元为响应于第二请求消息发送的第二回复消息，该第二回复消息包括该第一网元的拓扑信息，以便根据该第一网元的拓扑信息将该请求回复消息路由至该第一网元。

可选地，该第一网元为AMF、SMF、UDM、UPF、AUSF、SMSF中的任意一种。

本申请实施例中，接收回复消息的SEPP请求其他网元提供拓扑信息恢复服务，该其他网元通过被隐藏的拓扑信息查询到隐藏前的拓扑信息，再将查询到的隐藏前的拓扑信息发送给该接收回复消息的SEPP。这样，通过SEPP相互提供拓扑信息恢复服务，实现从隐藏后的拓扑信息到隐藏前拓扑信息的转换，能够使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为发送隐藏拓扑信息的SEPP和接收隐藏拓扑信息的SEPP不同而导致的业务失败。

结合第四方面，在一种可能的实现方式中，该第三网元为该第一SEPP。

本申请实施例中，对SEPP进行功能扩展，使其能够在接收到恢复请求消息时对外提供服务，通过被隐藏的拓扑信息查询到隐藏前的拓扑信息，再将查询到的隐藏前的拓扑信息发送给发出该恢复请求消息的SEPP。这样，通过SEPP相互提供拓扑信息恢复服务，实现从隐藏后的拓扑信息到隐藏前拓扑信息的转换，能够使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为发送隐藏拓扑信息的SEPP和接收隐藏拓扑信息的SEPP不同而导致的业务失败。

结合第四方面，在一种可能的实现方式中，该第三网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

本申请实施例中，通过新增NF提供拓扑信息的隐藏和恢复服务，新增的NF可以在接收到恢复请求消息时，通过被隐藏的拓扑信息查询到隐藏前的拓扑信息，再将查询到的隐藏前的拓扑信息发送给发出该恢复请求消息的SEPP。这样，能够使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为发送隐藏拓扑信息的SEPP和接收隐藏拓扑信息的SEPP不同而导致的业务失败。

第五方面，提供了一种通信装置，该装置包括用于执行上述第一方面或第一方面的任意可能的实现方式中的方法的模块；或者，包括用于执行上述第二方面或第二方面的任意可能的实现方式中的方法的模块；或者，包括用于执行上述第三方面或第三方面的任意可能的实现方式中的方法的模块；或者，包括用于执行上述第四方面或第四方面的任意可能的实现方式中的方法的模块。

第六方面，提供了一种通信装置，该装置包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现上述第一方面至第四方面中任一方面中的任意可能的实现方式中的方法。

第七方面，提供了一种通信装置，包括处理器。该处理器与存储器耦合，可用于执行存储器中的指令，以实现上述第一方面至第四方面中任一方面中的任意可能的实现方式中的方法。

可选地，该装置还包括存储器。

可选地，该装置还包括通信接口，处理器与通信接口耦合。

第八方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序或指令，当该计算机程序或指令被执行时，实现上述第一方面至第四方面中任一方面中的任意可能的实现方式中的方法。

第九方面，提供了一种包含指令的计算机程序产品，当该指令被运行时，实现上述第一方面至第四方面中任一方面中的任意可能的实现方式中的方法。

第十方面，提供了一种通信芯片，其中存储有指令，当其在计算机设备上运行时，使得所述通信芯片执行上述第一方面至第四方面中任意可能的实现方式中的方法。

第十一方面，提供了一种通信系统，该通信系统包括AMF、NG-RAN和SEPP。可选地，该通信系统还可以包括SMF。可选地，该通信系统还可以包括UDM。

可选地，该通信系统还包括与上述网元进行通信的其他设备。

附图说明

图1是本申请实施例提供的一种漫游对接场景的应用架构图；

图2是本申请实施例提供的两种拓扑信息隐藏的过程示意图；

图3是本申请实施例提供的两种拓扑信息恢复的过程示意图；

图4是本申请实施例提供的一种实现拓扑隐藏的方案；

图5是本申请实施例提供的一种拓扑信息隐藏的方法的示意性交互图；

图6是本申请实施例提供的又一种隐藏拓扑信息的方法的示意性流程图；

图7是本申请实施例提供的一种恢复拓扑信息的方法的示意性流程图；

图8是本申请实施例提供的再一种隐藏拓扑信息的方法的示意性流程图；

图9是本申请实施例提供的一种拓扑隐藏通信的方法的示意图；

图10是本申请实施例提供的一种严格路由通信的方法的示意性交互图；

图11是本申请实施例提供的不同网络中的SEPP间实现消息收发的的方法的信息交互图；

图12是本申请实施例提供的又一种拓扑隐藏通信的方法的示意图；

图13是本申请实施例提供的又一种拓扑信息隐藏通信的方法的示意性交互图；

图14是本申请实施例提供的再一种拓扑信息隐藏通信的方法的示意性交互图；

图15是本申请实施例提供的一种通信装置的示意性框图；

图16是本申请实施例提供的上述实施例中所涉及的通信装置的另一种可能的结构示意图。

具体实施方式

下面结合附图对本申请实施例进行详细描述。

本申请提供的技术方案可以应用于各种通信系统，例如：新无线(new radio，NR)系统、长期演进(long term evolution，LTE)系统、LTE频分双工(frequency divisionduplex，FDD)系统、LTE时分双工(time division duplex，TDD)系统等。本申请还可以应用于设备到设备(device to device，D2D)通信，车到万物(vehicle-toeverything，V2X)通信，机器到机器(machine to machine，M2M)通信，机器类型通信(machine typecommunication，MTC)，以及物联网(internet of things，IoT)通信系统或者其他通信系统。

在通信系统中，运营者运营的部分可称为公共陆地移动网络(public landmobilenetwork，PLMN)，也可称为运营商网络等。PLMN是由政府或其所批准的经营者为公众提供陆地移动通信业务目的而建立和经营的网络，主要是移动网络运营商(mobilenetwork operator，MNO)为用户提供移动宽带接入服务的公共网络。本申请实施例中所描述的PLMN，具体可为符合第三代合作伙伴项目(3rd generation partnership project，3GPP)标准要求的网络，简称3GPP网络。3GPP网络通常包括但不限于第五代移动通信(5th-generation，5G)网络、第四代移动通信网络，以及未来的其他通信系统，例如第六代移动通信网络等。

为了方便描述，本申请实施例中将以PLMN或5G网络为例进行说明。

5G核心网的服务化接口(service based interface，SBI)中携带大量的拓扑信息，包括网络功能(network function，NF)的IP地址、完全限定域名(fully qualifieddomain name FQDN)，统一资源标识符(uniform resource identifier，URI)等。如果不加处理，这些信息会随着漫游接口和互通接口流出本网控制范围，可能会产生难以控制的危害。例如：如果流出的信息被不法分子利用，不法分子可能会根据该信息分析出本网的部署情况，从而为攻击本网提供信息；如果流出的信息被竞争对手获取，竞争对手可以进一步根据本网的网络部署情况识别对应的运营商的商业计划，比如部署了多少AMF，推测其未来3-5年的新增5G用户数目标等。

然而，在两个网络之间互通时，网络并不需要知道对方设备的详细地址，只需要将需要发送的消息路由到对端网络的安全和边界代理(security and edge protectionproxy，SEPP)即可。因此3GPP TS33.501要求SEPP具备拓扑隐藏能力，即：在发送SBI消息到网外时将该消息中的拓扑信息隐藏，在收到外部到本网的消息时再将拓扑信息恢复，以便将该消息路由到正确的地址。

由于现有协议仅定义SEPP需要支持拓扑隐藏功能，并没有定义拓扑隐藏的实现方案。而在实际应用中，一个运营商可能部署多套SEPP，这些SEPP可能会采购于不同的设备商，由于拓扑隐藏的实现方案在标准中未定义，因此，各个设备商可能会采用不同的方案实现拓扑隐藏；同时，由于对同一拓扑信息的隐藏和恢复通常不是在同一会话完成的，其中的订阅请求和回调通知消息属于不同的HTTP事务，可能会由拜访域中不同的SEPP处理。因此设备商A的SEPP隐藏的拓扑信息可能在设备商B的SEPP上无法恢复，从而导致业务失败。

有鉴于此，本申请实施例提供了一种通信方法和通信装置。该方法能够避免在不同SEPP组网的情况下，由于拓扑隐藏导致的业务失败。

本申请实施例的方案应用于网络之间的消息交互场景，例如：可用于5G网络之间的漫游对接场景。

为了更好地理解本申请提供的技术方案，下面先对本申请实施例中所涉及到的术语作出详细说明：

1.网络拓扑

网络拓扑是指用传输介质互连各种设备的物理布局。网络拓扑可以通过一组相关联的信息表述，包括设备的IP地址、域名、设备类型、名称，相关性，台套数等，这一组用于表述网络布局的信息都称为拓扑信息。

在漫游对接场景中，漫游对接消息中常见的拓扑信息有三种：

1、消息的转发路径VIA头域，记录了消息经过的proxy的地址(FQDN/IP地址)，包含了路由器信息及设备互联信息。

2、服务器(5GC的cNF/pNF)的FQDN，FQDN中通常会携带设备部署的位置，类型，名称等信息。

3、服务器的IP地址，通常IP地址是运营商内部私网IP地址，会暴露网内IP地址规划规则，并为攻击者提供明确的攻击目标或者跳板。

2.拓扑隐藏

在漫游对接时，外部设备需要将消息路由到SEPP，SEPP再往网内转发，外部设备只要能够将消息转发到SEPP接口，没有必要知道网内的拓扑信息。因此在从网内发送消息到网外时，SEPP可以将网络中的拓扑信息隐藏起来，在不影响漫游对接的情况尽量避免拓扑信息的暴露。

应理解，本申请实施例所涉及的网络架构可以是第五代系统(5th generationsystem，5GS)，5GS中的网元也可以称为5G核心网网元。

图1示出了本申请实施例提供的漫游对接场景的应用架构图，下面对该网络架构中涉及的各个网元或设备的功能分别进行说明。

1、终端设备，又可以称之为用户设备(user equipment，UE)、移动台(mobilestation，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，所述终端设备可以包括具有无线连接功能的手持式设备、车载设备等。目前，所述终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self-driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。其中，图1中所述终端设备以UE示出，仅作为示例，并不对终端设备进行限定。

2、接入管理网元：主要用于移动性管理和接入管理等。在5G通信系统中，该接入管理网元可以是接入和移动性管理功能(access and mobility management function，AMF)，例如图1所示，主要进行移动性管理、接入鉴权/授权等功能。此外，还负责在终端与策略控制功能(policy control function，PCF)网元间传递用户策略。其可以接收终端设备的非接入层(non-access stratum，NAS)信令(包括移动管理(mobility management，MM)信令和会话管理(session management，SM)信令)和接入网设备的相关信令(例如，与AMF交互的基站粒度的N2(下一代网络(next generation，NG)2接口)信令)，完成用户的注册流程和SM信令的转发以及移动性管理。具体地，AMF网元可以从5G核心网(5Gcore network，5GC)位置服务(location services，LCS)实体接收与目标UE相关的位置服务请求，或者AMF本身也可代表特定目标UE启动一些位置服务，并将位置服务请求转发给位置管理网元，当得到UE返回的位置信息后，将相关位置信息返回给5GC LCS实体。在未来通信，如6G中，所述接入管理网元仍可以是AMF网元，或有其它的名称，本申请不做限定。

3、会话管理网元：主要用于会话管理、用户设备的网络互连协议(internetprotocol，IP)地址分配和管理、选择可管理用户平面功能、策略控制和收费功能接口的终结点以及下行数据通知等。例如可以是会话管理功能(session management function，SMF)网元，负责会话管理功能，完成与PDU会话相关的建立、释放、更新等流程。

4、网络存储网元：为其他核心网元提供网络功能实体信息的存储功能和选择功能。在5G通信系统中，该网元可以是网络功能存储库功能网元(network functionrepository function，NRF)，主要包括以下功能：服务发现功能，维护可用的网络功能(network function，NF)实例的NF文本以及他们支持的服务。

上述功能网元既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。上述功能网元可划分出一个或多个服务，进一步，还可能会出现独立于网络功能存在的服务。在本申请中，上述功能网元的实例、或上述功能网元中包括的服务的实例、或独立于网络功能存在的服务实例均可称为服务实例。

5、统一数据管理网元：负责用户标识、签约数据、鉴权数据的管理、用户的服务网元注册管理。在5G通信系统中，该统一数据管理网元可以是统一数据管理(unified datamanagement，UDM)，主要包括以下功能：统一数据管理，支持3GPP认证和密钥协商机制中的认证信任状处理，用户身份处理，接入授权，注册和移动性管理，签约管理和短消息管理等。

6、安全和边界代理：该网元可以是安全边缘保护代理(security and edgeprotection proxy，SEPP)安全边缘保护代理，是5G漫游安全架构的重要组成部分，用于用户漫游，与其他运营商的通信互通，负责运营商之间控制平面接口上的消息过滤和策略管理，主要作为运营商核心网控制面之间的边界网关。SEPP作为非透明代理节点，能够提供应用层控制平面安全性，实现跨运营商中网络功能消费者与网络功能提供者之间的安全通信。

SEPP的安全功能包括消息过滤、访问控制、拓扑隐藏以及错误检测和处理。网络边界的两个SEPP之间通过N32接口建立连接并实施保护策略，对跨网络信令中的每个控制面消息进行处理。

7、用户面功能(user plane function，UPF)：UPF是由运营商提供的网关，是运营商网络与数据网络DN通信的网关。

UPF网络功能包括数据包路由和传输、数据包检测、业务用量上报、服务质量(quality of service，QoS)处理、合法监听、上行数据包检测、下行数据包存储等用户面功能。

8、策略控制功能(policy control function，PCF)：PCF是由运营商提供的控制面功能，它支持统一的策略框架来治理网络行为、向其他控制功能提供策略规则、策略决策相关的签约信息等。

9、认证服务器功能(authentication server function，AUSF)：AUSF是由运营商提供的控制面功能，通常用于终端设备110(签约用户)与运营商网络之间的认证。AUSF网络功能接收到签约用户发起的认证请求之后，可通过UDM网络功能中存储的认证信息和/或授权信息对签约用户进行认证和/或授权，或者通过UDM网络功能生成签约用户的认证和/或授权信息。AUSF网络功能可向签约用户反馈认证信息和/或授权信息。

10、(无线)接入网设备(radio access network，(R)AN)：接入网设备也可以称为接入设备，(R)AN能够管理无线资源，为用户设备提供接入服务，完成用户设备数据在用户设备和核心网之间的转发，(R)AN也可以理解为网络中的基站。

11、网络切片选择功能网元：负责为UE选择网络切片，在5G通信系统中，该应用网元可以是网络切片选择功能(network slice selection function，NSSF)网元。也即，NSSF可以理解为网络切片选择功能网元在5G架构中的命名。其中，网络切片选择功能网元主要包括以下功能：为UE选择一组网络切片实例、确定允许的网络切片选择辅助信息(networkslice selection assistance information，NSSAI)，以及确定可以服务UE的AMF集等。

应理解，这里做统一说明，下文的架构中若出现了上述网元，上述对各个网元包括的功能的描述可以同样适用，为了简洁，下次出现将不作赘述。

从图1中可以看到，SEPP用于两个5GC网络的对接。SEPP之间的接口定义为N32接口，漫游时跨PLMN的所有消息都需要经过N32接口转发，SEPP需要提供漫游场景的消息接入及安全防护能力。

其中，SEPP在转发请求消息到N32接口时，需要先对消息中的拓扑信息进行隐藏操作；当SEPP收到N32接口的消息时，如果其中存在被隐藏的拓扑信息，则需要将其恢复为原始拓扑信息。

应注意：上图属于逻辑架构，仅为示例性说明，每个运营商仅展示一个SEPP，在实际部署过程中，每个运营商会存在多个SEPP。

当然，图1所涉及的系统架构中还可能包括其他网元，如统一数据存储库(unifieddata repository，UDR)等网元或设备等，不作具体限定。

应理解，图1所示的网元之间的接口或服务化接口仅是一个示例，在5G网络以及未来其它的网络中，网元之间的接口或服务化接口也可以不是图中所示的接口，本申请对此不作限定。

应理解，图1所示的各个网元的命名仅是一个名字，名字对网元本身的功能不构成限定。在5G网络以及未来其它的网络中，上述各个网元也可以是其他的名字，本申请实施例对此不作具体限定。例如，在6G网络中，上述各个网元中的部分或全部可以沿用5G中的术语，也可能是其他命名，等等，在此进行统一说明，以下不再赘述。

还应理解，本申请实施例并不限于图1所示的系统架构中。例如，可以应用本申请的通信系统可以包括更多或更少的网元或设备。图1中的设备或网元可以是硬件，也可以是从功能上划分的软件或者以上二者的结合。图1中的设备或网元之间可以通过其他设备或网元通信。

为了更清楚地理解本申请实施例提供的拓扑信息的隐藏和恢复的过程。以下，结合图2和图3，对拓扑信息的隐藏和恢复过程进行介绍。

图2示出了本申请实施例提供的两种拓扑信息隐藏的过程示意图。

图2中的(a)示出了本申请实施例提供的当两个SEPP直接采用安全传输层协议(transport layer security，TLS)对接的方式(采用HTTPS协议)时，拓扑信息隐藏过程的示意图。其中，TLS用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成：TLS记录协议(TLS record)和TLS握手协议(TLS handshake)。如图2中的(a)所示，拓扑信息隐藏的过程具体可以是：

S201a：客户端通过Nx接口将原消息发送给本侧网络中的cSEPP。

其中，原消息中包括消息部分和拓扑信息部分，该拓扑信息是指发出该消息的NF相关的信息。

S202a：cSEPP收到原消息后，获取本侧网络的运营商信息以及拓扑隐藏标识，进行拓扑信息的隐藏，进而生成新消息。

其中，新消息包括上述消息部分和隐藏后的拓扑信息部分。

S203a：cSEPP将上述新消息通过N32接口发送给对端网络的pSEPP，pSEPP再将该新消息转发给服务端。

与图2中的(a)并列地，图2中的(b)示出了本申请实施例提供当两个SEPP采用IPX设备中转的对接方式(采用N32对接安全协议(protocol for N32 interconnectsecurity，PRINS)模式)时，拓扑信息隐藏过程的示意图。如图2中的(b)所示，拓扑信息隐藏的过程具体可以是：

S201b：客户端通过Nx接口将原消息发送给本侧网络中的cSEPP。

S202b：cSEPP收到原消息后，获取本侧网络的运营商信息以及拓扑隐藏标识，进行拓扑信息的隐藏，进而生成新消息。

其中，新消息包括上述消息部分和隐藏后的拓扑信息部分。

S203b：cSEPP将上述新消息通过N32接口以及互联网分组交换协议(IPX)发送给对端网络的pSEPP，pSEPP再将该新消息转发给服务端。

其中，IPX运营商提供分组寻址和选择路由的功能，保证可靠到达，相当于数据报的功能；同时，IPX运营商还提供漫游业务，比如漫游优选和欢迎短信等。

与图2所示实施例相对应地，图3示出了本申请实施例提供的两种拓扑信息恢复的过程示意图。

图3中的(a)示出了本申请实施例提供的当两个SEPP直接采用TLS对接的方式(采用HTTPS协议)时，拓扑信息恢复过程的示意图。如图3中的(a)所示，拓扑信息恢复的过程具体可以是：

S301a：服务端的pSEPP通过N32接口将原消息发送给对侧网络中的cSEPP。

其中，原消息中包括消息部分和隐藏后的拓扑信息部分，该拓扑信息是指客户端侧发出该消息的NF相关的信息。

S302a：cSEPP收到原消息后，获取本侧网络的运营商信息以及拓扑隐藏标识，进行拓扑信息的恢复，进而生成新消息。

其中，新消息包括上述消息部分和拓扑信息部分。

S303a：cSEPP将上述新消息通过Nx接口发送给本端网络中的客户端。

与图3中的(a)并列地，图3中的(b)示出了本申请实施例提供的当两个SEPP采用IPX设备中转的对接方式(采用PRINS模式)时，拓扑信息恢复过程的示意图。如图3中的(b)所示，拓扑信息恢复的过程具体可以是：

S301b：服务端的pSEPP通过N32接口和IPX将原消息发送给对侧网络中的cSEPP。

S302b：cSEPP收到原消息后，获取本侧网络的运营商信息以及拓扑隐藏标识，进行拓扑信息的恢复，进而生成新消息。

其中，新消息包括上述消息部分和拓扑信息部分。

S303b：cSEPP将上述新消息通过Nx接口发送给本端网络中的客户端。

示例性地，图4示出了本申请实施例提供的一种实现拓扑隐藏的方案，该方案应用于AMF订阅UDM上的用户数据变化场景。如图4所示，该方案包括以下步骤：

S401：拜访域的AMF向同侧的SEPP-a发送订阅请求消息，该订阅请求消息携带CallbackURIA，其中，CallbackURIA是指未经隐藏的AMF相关的拓扑信息。

S402：拜访域的SEPP-a隐藏CallbackURIA，向对侧的SEPP-1发送订阅请求消息，并进一步将该订阅请求消息发送给UDM，此时的订阅请求消息携带CallbackURIA1，其中，CallbackURIA1是指隐藏后的AMF相关的拓扑信息。

S403：当UDM上的用户数据发生变化时，UDM通过同侧的SEPP-2向拜访域的SEPP-b发送通知请求消息，该通知请求消息携带上述CallbackURIA1。

S404：SEPP-b接收到携带CallbackURIA1的通知请求消息后，将CallbackURIA1恢复为CallbackURIA。以便于根据CallbackURIA将通知请求消息路由到AMF。

然而，在步骤S404中，由于SEPP-a和SEPP-b的算法可能不同，很可能会导致SEPP-b无法将CallbackURIA1恢复为CallbackURIA，从而使得业务失败。

示例性地，图5示出了本申请实施例提供的一种拓扑信息隐藏的方法500的示意性交互图。该方法500应用于跨网络的第一网元与第二网元进行消息收发的场景。如图5所示，该方法500包括：

S501：第一网元向第一SEPP发送第一请求消息，该第一请求消息用于请求向第二网元订阅目标信息，或者，第一请求消息用于请求从第二网元处获取目标信息。

应理解：本申请的所有实施例中所述的第一网元是指生成该第一请求消息并发送的网元，并不是中间网元。

其中，可选地，第一网元在向第一SEPP发送第一请求消息的同时，还发送了第一网元的拓扑信息。

可选地，第一网元发送第一网元的拓扑信息的方式，可以是被第一请求信息携带的方式，还可以是单独发送的方式，还可以是打包发送的方式，还可以是由其他设备或者网元转发的方式，本申请对此不作限定。

可选地，该第一网元的拓扑信息可以是该第一网元的IP地址、FQDN、URI中的一项或者多项，还可以是其他拓扑信息，本申请对此不作限定。

S502：第一SEPP接收到上述第一请求消息后，获取该第一网元的拓扑信息，并对该第一网元的拓扑信息进行隐藏，生成隐藏信息。其中，隐藏信息是指隐藏后的第一网元的拓扑信息。

可选地，第一SEPP根据第一算法和第一密钥ID对第一网元的拓扑信息加密，进而生成隐藏信息。

S503：第一SEPP向位于第二网络的第三SEPP发送第一消息，该第一消息包括第一请求消息和隐藏信息。

可选地，上述隐藏信息的发送方式，可以是被第一请求消息携带的方式，还可以是单独发送的方式，还可以是打包发送的方式，还可以是由其他设备或者网元转发的方式，本申请对此不作限定。

可选地，第一消息还包括第一密钥ID。

S504：第三SEPP向第二网元转发上述第一消息。

S505：响应于接收到的第一消息，第二网元向同侧的第三SEPP发送第二消息，该第二消息包括第一回复消息和隐藏信息。其中，第一回复消息是第二网元为响应于第一请求消息所发送的消息。

可选地，上述隐藏信息的发送方式，可以是被第一回复消息携带的方式，还可以是单独发送的方式，还可以是打包发送的方式，还可以是由其他设备或者网元转发的方式，本申请对此不作限定。

可选地，第二消息还包括第一密钥ID。

可选地，第二消息携带拓扑信息恢复请求消息，用于请求恢复其所携带的隐藏信息。

S506：第三SEPP向位于第一网络的第二SEPP转发上述第二消息。

S507：第二SEPP接收到第二消息后，获取第二消息中的隐藏信息，将该隐藏信息恢复为处于未隐藏状态的第一网元的拓扑信息。

可选地，第二SEPP根据第一密钥ID将隐藏信息恢复为处于未隐藏状态的第一网元的拓扑信息。

应注意：本方案中，第一SEPP和第二SEPP预置的算法相同。

应注意：S503和S507中的SEPP可以是同一个SEPP，也可以是不同的SEPP。

S508：第二SEPP根据第一网元的拓扑信息向第一网元发送第一回复消息。

本申请实施例中，能够采用加密的方式对消息中的拓扑信息进行隐藏，只要同网络中的SEPP上预置相同的算法和密钥信息，即可实现同网络下不同SEPP之间的拓扑信息互相恢复功能，进而实现同网络中所有SEPP在收到需要拓扑恢复的请求消息时，能够正确恢复该隐藏的拓扑信息，避免了由于SEPP不同而导致的业务失败。

为了更加清楚地理解图5所示的实施例中的步骤S502(生成隐藏信息)的过程，示例性地，图6示出了本申请实施例提供的一种SEPP隐藏拓扑信息的方法600的示意性流程图。如图6所示，该方法600包括：

S601：第一SEPP根据第一算法和第一密钥ID加密第一网元的拓扑信息。

应理解：第一SEPP所在的第一网络中的所有SEPP都预置了该第一算法和该第一密钥ID。

S602：将加密后的拓扑信息转换为FQDN允许的字符。

S603：将密文、加密材料和域信息按照指定的格式转化为一个FQDN。

其中，密文是指加密后的拓扑信息(已转换为FQDN允许的字符)(即：隐藏信息)，加密材料包括第一密钥ID，域信息是指与拓扑信息相对应的域信息。

在一个示例中，拓扑信息的类型为第一网元的FQDN，第一SEPP取出FQDN中的拓扑信息部分，根据第一算法和第一密钥ID对其加密，然后把加密后的拓扑信息转换为FQDN允许的字符；最后将密文、加密材料、原FQDN中的域信息按照指定的格式格式化成一个新的FQDN。

隐藏前的FQDN为：待隐藏的拓扑信息+域信息；

隐藏后的FQDN为：CP+密文+加密材料+域信息。

其中，CP为前缀，表示后面是加密后的字符串。

在另一个示例中，拓扑信息的类型为第一网元的IP地址，第一SEPP根据第一算法和第一密钥ID对该IP地址加密，然后把加密后的IP地址转换为FQDN允许的字符；最后将密文、加密材料、原FQDN中的域信息按照指定的格式格式化成一个新的FQDN。

隐藏前的FQDN为：待隐藏的拓扑信息；

隐藏后的FQDN为：CP+密文+加密材料+域信息。

其中，CP为前缀，表示后面是加密后的字符串。

与图6所示实施例相对应地，示例性地，图7示出了本申请实施例提供的一种SEPP恢复隐藏的拓扑信息的方法700的示意性流程图。如图7所示，该方法700包括：

S701：第二SEPP从隐藏了拓扑信息的FQDN中获取加密材料和密文部分。其中，加密材料包括第一密钥ID，密文为隐藏后的拓扑信息(即：隐藏信息)。

S702：第二SEPP根据第一密钥ID解密密文，获得未经隐藏的拓扑信息。

可选地，当拓扑信息类型为FQDN时，拓扑信息的恢复过程还可以包括以下步骤：

S703：第二SEPP将解密后的拓扑信息和原FQDN中的域信息进行拼接，恢复为原FQDN。

更具体地，以加密算法为AES_256_GCM为例，图8示出了本申请实施例提供的一种隐藏拓扑信息的方法800的示意性流程图。该方法以拓扑信息类型为FQDN为例，如图8所示，该方法800包括：

S801：SEPP从原FQDN中获取待隐藏的拓扑信息。

其中，原FQDN由待隐藏的拓扑信息和域信息组成，例如：原FQDN为：

APP-XJCHJxjINRF001BHW01BHW012.chj.xj.node.5gc.mnc000.mcc460.3gppnetwork.org；待隐藏的拓扑信息为：

APP-XJCHJxjINRF001BHW01BHW012.chj.xj.node.

S802：以第一密钥为加密密钥，使用AES_256_GCM算法将上述待隐藏的拓扑信息加密，得到对应的二进制密文。

其中，AES为一种对称加密算法，256代表密文分块长度，GCM为加密模式。

S803：对上述二进制密文进行BASE32编码，使其变为可视字符(密文)。

其中，BASE32是指一种将二进制码流转换为可视字符的编码技术。

由于加密结果是二进制，不符合FQDN编码要求，所以需要转换为可视字符，且FQDN不区分大小写，因此使用BASE32。

例如：上述二进制密文转换为可视字符串后为：

IFIFALKYJJBUQSTYNJEU4USGGAYDCQSIK4WTAMKCJBLTAMJSFZRWQ2ROPBVC43TPMRSS4。

S804：在该可视字符的基础上，增加加密材料、CP前缀和域信息。

其中，加密材料包括第一密钥ID和VI值(为了供其他SEPP查询本地配置，获取真正的密钥)，CP前缀表示其后为加密的字符串，域信息为原FQDN中所包括的域信息。

例如：得到的新的FQDN为：

CP.IFIFALKYJJBUQSTYNJEU4USGGAYDCQSIK4WTAMKCJBLTAMJSFZRWQ2ROPBVC43TPMRSS4.skid1.ivF1E33E079831DF424A00D264.5gc.mnc000.mcc460.3gppnetwork.org。

应注意：本申请实施例中的加密算法可以是任意可逆的安全加密算法，不局限于AES_GCM。

本申请实施例中，提供了一种通用的加密算法，用来实现拓扑信息的隐藏，使得不同的SEPP只要预置的加密算法和密钥信息相同，就可以实现相互恢复对方隐藏的拓扑信息。该方法的加密过程采用业界知名算法，可防暴力破解，可防御量子级别攻击，因每次加密结果(密文)都不同，无法通过反复尝试进行破解，安全且可靠；并且，同一网络的不同SEPP均可使用，通用性强；且因为不同网络情况下的SKID不同，其他网络即使采用相同的方案，也无法解析，如SKID泄露，在网络内统一修改即可；另外，该方法开局一条配置，能够覆盖所有FQDN，进而能够避免误配置或者少配置，便于运维；采用非映射算法(比如SEPP本地维护一对多的映射关系)，不会由于未来NF增加或FQDN增加而导致配置增加。

与图5所示实施例并列地，示例性地，图9示出了本申请实施例提供的一种实现拓扑隐藏通信的方法900的示意图，该方法900应用于AMF订阅UDM上的用户数据变化场景。如图9所示，该方案包括以下步骤：

S901：拜访域的AMF向同侧的SEPP-a发送订阅请求消息，该订阅请求消息携带CallbackURIA，其中，CallbackURIA是指未经隐藏的AMF相关的拓扑信息。

S902：拜访域的SEPP-a隐藏CallbackURIA，向对侧的SEPP-1发送订阅请求消息，并进一步将该订阅请求消息发送给UDM，此时的订阅请求消息携带CallbackURIA1，其中，CallbackURIA1是指隐藏后的AMF相关的拓扑信息。

S903：当UDM上的用户数据发生变化时，UDM通过同侧的SEPP-1向拜访域的SEPP-a发送通知请求消息，该通知请求消息携带上述CallbackURIA1。

S904：SEPP-a接收到携带CallbackURIA1的通知请求消息后，将CallbackURIA1恢复为CallbackURIA。以便于根据CallbackURIA将通知请求消息路由到AMF。

本申请实施例中，订阅请求消息的发送过程中的SEPP路径与通知请求消息的接收过程中的SEPP路径相同，这样，能够使得拓扑信息的隐藏和恢复都有同一个SEPP来完成，使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为隐藏拓扑信息和恢复拓扑信息的SEPP不同而导致的业务失败。

为了更清楚地理解图9所示实施例的实现过程，示例性地，图10示出了本申请实施例提供的一种严格路由通信的方法1000的示意性交互图。该方法1000应用于跨网络的第一网元与第二网元进行消息收发的场景。如图10所示，该方法1000包括：

S1001：第一网元向第一SEPP发送第一请求消息，该第一请求消息用于请求向第二网元订阅目标信息，或者，第一请求消息用于请求从第二网元处获取目标信息。

可选地，第一SEPP接收到上述第一请求消息后，获取该第一网元的拓扑信息，并对该第一网元的拓扑信息进行隐藏，生成隐藏信息。其中，隐藏信息是指隐藏后的第一网元的拓扑信息。

S1002：第一SEPP向位于第二网络的第三SEPP发送第一消息，该第一消息包括第一请求消息和第一指示信息，该第一指示信息用于指示该第一SEPP对应的路由类别为严格路由。

可选地，第一消息还包括上述隐藏信息。

其中，可选地，上述隐藏信息的发送方式，可以是被第一请求消息携带的方式，还可以是单独发送的方式，还可以是打包发送的方式，还可以是由其他设备或者网元转发的方式，本申请对此不作限定。

S1003：第三SEPP向第二网元转发上述第一消息。

S1004：其中，第二网元在收到第一消息后，生成第一路径，该第一路径是根据第一消息的路径生成的。

其中，第一路径包括一个或多个设备，所述一个或多个设备均对应一个路由类别，所述路由类别包括严格路由，还可以包括宽松路由。其中，严格路由的参数标记可以是sr，代表消息必须经过该严格路由对应的设备；宽松路由可以以无标记表示，代表消息可以经过也可以不经过该宽松路由对应的设备。

可选地，第二网元记录第一消息的路径。

可选地，第二网元将第一消息的路径倒序排列，从而生成第一路径。

S1005：响应于接收到的第一消息，第二网元根据第一路径向同侧的第三SEPP发送第二消息，该第二消息包括第一回复消息。其中，第一回复消息是第二网元为响应于第一请求消息所发送的消息。

可选地，第二消息还包括上述隐藏信息。

其中，可选地，上述隐藏信息的发送方式，可以是被第一回复消息携带的方式，还可以是单独发送的方式，还可以是打包发送的方式，还可以是由其他设备或者网元转发的方式，本申请对此不作限定。

S1006：第三SEPP向位于第一SEPP转发上述第二消息。

应理解：由于第一SEPP对应的路由类别为严格路由，所以第二消息一定会经过第一SEPP。

可选地，第一SEPP接收到第二消息后，获取第二消息中的隐藏信息，将该隐藏信息恢复为处于未隐藏状态的第一网元的拓扑信息。

S1007：第一SEPP向第一网元发送第一回复消息。

可选地，第一SEPP根据第一网元的拓扑信息向第一网元发送第一回复消息。

本申请实施例中，SEPP可以控制以其隐藏的地址为目的地址的消息都能路由到他自己，从而避免出现消息路由到其他SEPP无法恢复的情况，进而使得隐藏的拓扑信息能够被正确恢复，避免了由于SEPP不同而导致的业务失败。

为了更加清楚地了解图9和图10所示实施例中的消息收发路径，示例性地，图11示出了本申请实施例提供的不同网络中的SEPP间实现消息(涉及拓扑隐藏和恢复)收发的的方法1100的信息交互图。

如图11所示，第一网络包括cNF(第一网元)，cSCP和cSEPP，第二网络包括pNF(作为第一网元)，pSCP和pSEPP。其中，为了便于区分，第一网络中的网元有前缀c，第二网络中的网元有前缀p，并且，该示例中，以第一请求消息为初始请求消息，第一回复消息为回调请求消息为例进行说明，该方法1100包括：

S1101：cNF向cSCP发送初始请求消息，该初始请求消息用于请求从pNF获取目标信息，或者，该初始请求消息用于请求向pN订阅目标信息。

其中，该初始请求消息携带cNF的拓扑信息。

示例性地，该初始请求消息携带的cNF的拓扑信息在图11中表示为：callbackURI:cNF。

S1102：cSCP作为proxy转发初始请求消息，并同步将自己的拓扑信息(可以是cSCF的FQDN)放入via头域，并指示为宽松路由。

示例性地，cSCP转发的初始请求消息携带的cSCP的拓扑信息在图11中表示为：Via:cSCP。

具体地，cSCP作为proxy处理初始请求消息时，在添加的via:头域中通过扩展参数指示是否为严格路由(指示标记可以为sr)，如果是严格路由，则说明后续请求消息或者回调请求消息必须经过该proxy。

应注意：该示例中，通过sr参数指示为严格路由，未携带参数代表宽松路由，但应理解：这并不对本申请的方案构成任何限定，可以根据实际情况或者需求来确定宽松路由和严格路由的标记方式。

S1103：cSEPP接收到cSCP发送的初始请求消息后，对cNF的拓扑信息进行隐藏，将回调地址从cNF转换为cNFA，在via中删除cSCP的FQDN，并将自己的FQND放入via，指示为严格路由(指示标记可以为sr)。再进一步将初始请求消息发送给对端网络中的pSEPP。

其中，后缀字母A表示该信息为隐藏后的信息。

示例性地，cSEPP向pSEPP发送的初始请求消息携带的信息在图11中表示为：callbackURI:cNFA；Via:cSEPP；sr。

S1104：pSEPP接收到cSEPP发送的初始请求消息后，将自己的FQND放入via，指示为严格路由。再进一步将初始请求消息转发给pSCP。

示例性地，pSEPP向pSCP转发的初始请求消息携带的信息在图11中表示为：callbackURI:cNFA；Via:cSEPP；sr；Via:pSEPP；sr。

S1105：pSCP接收到pSEPP发送的初始请求消息后，将自己的FQND放入via，指示为宽松路由。再进一步将初始请求消息转发给pNF。

示例性地，pSCP向pNF转发的初始请求消息携带的信息在图11中表示为：callbackURI:cNFA；Via:cSEPP；sr；Via:pSEPP；sr；Via:pSCP。

S1106：服务端的pNF接收到pSCP发送的初始请求消息后，记录callback地址cNFA和via头域，用于后续发送回调请求消息(通常采用notify方法)用；并生成响应消息，向pSEPP发送该响应消息。

其中，该响应消息携带Location头域，并且pNF将via头域转换为record-route头域放入该响应消息中。

示例性地，pNF向pSEPP发送的响应消息携带的信息在图11中表示为：Location:pNF；Record-route:cSEPP；sr；Record-route:pSEPP；sr；Record-route:pSCP。

S1107：pSEPP接收到pNF发送的响应消息后，删除record-route头域中pSCP的信息，并将location头域中的地址从pNF转换为pNFA，再进一步向cSEPP转发该响应消息。

示例性地，pSEPP向cSEPP转发的响应消息携带的信息在图11中表示为：Location:pNFA；Record-route:cSEPP；sr；Record-route:pSEPP；sr。

其中，后缀字母A表示该信息为隐藏后的信息。

S1108：cSEPP接收到pSEPP转发的响应消息后，将cSCP的信息放入record-route头域，再进一步向cNF转发该响应消息。

示例性地，cSEPP向cNF转发的响应消息携带的信息在图11中表示为：Location:pNFA；Record-route:cSCP；Record-route:cSEPP；sr；Record-route:pSEPP；sr。

S1109：cNF接收到cSEPP转发的响应消息后，记录location头域中的地址pNFA为后续请求的目标地址，同时记录record-route头域中的信息为后续请求的路由，并生成后续请求消息，向cSCP发送该后续请求消息。

其中，cNF将location头域转换为URI头域，将record-route头域转换为route头域放入该后续请求消息中。从而将记录的record-route放入后续请求消息的route字段，作为该后续请求消息的路由。

示例性地，cNF向cSCP发送的后续请求消息携带的信息在图11中表示为：URI:pNFA；route:cSCP；route:cSEPP；sr；route:pSEPP；sr。

S1110：cSCP接收到cNF发送的后续请求消息后，根据route的指示路由，从route中删除自己的地址，进一步向cSEPP转发该后续请求消息。

示例性地，cSCP向cSEPP转发的后续请求消息携带的信息在图11中表示为：URI:pNFA；route:cSEPP；sr；route:pSEPP；sr。

应理解：中间proxy根据route的指示路由，如果指示为严格路由，则不能跳过；中间proxy在处理后续请求时，逐个从route中删除自己的地址。

S1111：cSEPP接收到cSCP转发的后续请求消息后，根据route的指示路由，从route中删除自己的地址，进一步向pSEPP转发该后续请求消息。

示例性地，cSEPP向pSEPP转发的后续请求消息携带的信息在图11中表示为：URI:pNFA；route:pSEPP；sr。

S1112：pSEPP收到后续请求消息后，将URI头域中的pNFA恢复为pNF；并从route中删除自己的地址，根据恢复的pNF的地址进一步通过pSCP向pNF转发该后续请求消息。

其中，将URI头域中的pNFA恢复为pNF，就是指将隐藏后的pNF的拓扑信息恢复，以使得能够根据该pNF的拓扑信息将后续请求消息路由至pNF。

示例性地，pSEPP向pNF转发的后续请求消息携带的信息在图11中表示为：URI:pNF。

S1113：pNF收到后续请求消息后，使用回调地址cNFA发起回调请求消息，并且，发起该回调请求时，将在步骤S1106中记录的via头域倒序放入回调请求消息的route头域中，作为该回调请求消息的路由。pNF将该回调请求发送给pSCP。

示例性地，pNF向pSCP发送的回调请求消息携带的信息在图11中表示为：URI:cNFA；route:Pscp；route:pSEPP；sr；route:cSEPP；sr。

S1114：pSCP接收到pNF发送的回调请求消息后，根据route的指示路由，从route中删除自己的地址，进一步向pSEPP转发该后续请求消息。

示例性地，pSCP向pSEPP转发的后续请求消息携带的信息在图11中表示为：URI:cNFA；route:pSEPP；sr；route:cSEPP；sr。

S1115：pSEPP接收到pSCP发送的回调请求消息后，根据route的指示路由，从route中删除自己的地址，进一步向cSEPP转发该后续请求消息。

示例性地，pSEPP向cSEPP转发的后续请求消息携带的信息在图11中表示为：URI:cNFA；route:cSEPP；sr。

S1116：cSEPP收到回调请求消息后，将URI头域中的cNFA恢复为cNF；并从route中删除自己的地址，根据恢复的cNF的地址进一步向cNF转发该回调请求消息。

其中，将URI头域中的cNFA恢复为cNF，就是指将隐藏后的cNF的拓扑信息恢复，以使得能够根据该cNF的拓扑信息将后续请求消息路由至cNF。

示例性地，cSEPP向pSEPP转发的回调请求消息携带的信息在图11中表示为：URI:cNF。

其中，可选地，pNF在接收到后续请求消息后可以向cNF发送该后续请求消息的响应消息。

类似地，cNF在接收到回调请求消息后可以向pNF发送该回调请求消息的响应消息。

应注意：本申请实施例中的头域命名为参考命名，不对本申请的方案构成任何限定，还可以替换为其他的命名。

还应注意：本申请实施例中提出的路由方案还可以用于SCP等其他HTTP proxy上，以实现路由控制，不局限于SEPP。

本申请实施例中，新增了HTTP扩展头域record-route和route，分别用于携带后续请求消息的路由和本消息(回调请求消息)的路由，并且，该方法中的via、record-route和route头域支持携带参数标识是否是严格路由。这样，SEPP可以控制以其隐藏的地址为目的地址的消息都能路由到他自己，从而避免出现消息路由到其他SEPP无法恢复的情况，进而使得隐藏的拓扑信息能够被正确恢复，避免了由于SEPP不同而导致的业务失败；并且，通过改进SBI接口消息的路由机制，使得proxy可以控制相关联的请求消息的发送路径。一方面解决拓扑隐藏异厂家部署问题，也可以为后续关联会话做业务处理提供机制。

与图5和图9所示实施例并列地，示例性地，图12示出了本申请实施例提供的又一种实现拓扑隐藏通信的方法1200的示意图，该方法1200应用于AMF订阅UDM上的用户数据变化场景。如图12所示，该方案包括以下步骤：

S1201：拜访域的AMF向同侧的SEPP-a发送订阅请求消息，该订阅请求消息携带CallbackURIA，其中，CallbackURIA是指未经隐藏的AMF相关的拓扑信息。

S1202：拜访域的SEPP-a隐藏CallbackURIA，向对侧的SEPP-1发送订阅请求消息，并进一步将该订阅请求消息发送给UDM，此时的订阅请求消息携带CallbackURIA1，其中，CallbackURIA1是指隐藏后的AMF相关的拓扑信息。

S1203：当UDM上的用户数据发生变化时，UDM通过同侧的SEPP-2向拜访域的SEPP-b发送通知请求消息，该通知请求消息携带上述CallbackURIA1。

S1204：SEPP-b接收到携带CallbackURIA1的通知请求消息后，调用SEPP-a提供的服务查询callbackURIA1还原后的地址信息callbackURIA。

具体地，SEPP-b接收到携带CallbackURIA1的通知请求消息后，可以向SEPP-a发送第二请求消息，该第二请求消息用于请求SEPP-a将CallbackURIA1恢复为CallbackURIA；然后响应于接收到的该第二请求消息，SEPP-a向SEPP-b发送第二回复消息，该第二回复消息为CallbackURIA。

S1205：SEPP-b将通知请求消息中的目标地址替换为callbackURIA，以便于根据CallbackURIA将通知请求消息路由到AMF。

应注意：本实施例中以第一网络中的SEPP-a隐藏、SEPP-b恢复为例说明，在第二网络中，同样需要SEPP-1和SEPP-2相互提供上述类似的查询服务。

本申请实施例中，对SEPP进行功能扩展，使其能够对外提供服务，可以通过被隐藏的拓扑信息查询到隐藏前的拓扑信息，再将查询到的隐藏前的拓扑信息发送给发出请求消息的SEPP。这样，通过SEPP相互提供拓扑信息恢复服务，实现从隐藏后的拓扑信息到隐藏前拓扑信息的转换，能够使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为发送隐藏拓扑信息的SEPP和接收隐藏拓扑信息的SEPP不同而导致的业务失败。

为了更清楚地理解图12所示实施例的实现过程，示例性地，图13示出了本申请实施例提供的又一种拓扑信息隐藏通信的方法1300的示意性交互图。该方法1300应用于跨网络的第一网元与第二网元进行消息收发的场景。如图13所示，该方法1300包括：

S1301：第一网元向第一SEPP发送第一请求消息，该第一请求消息用于请求向第二网元订阅目标信息，或者，第一请求消息用于请求从第二网元处获取目标信息。

S1302：第一SEPP接收到上述第一请求消息后，获取该第一网元的拓扑信息，并对该第一网元的拓扑信息进行隐藏，生成隐藏信息。其中，隐藏信息是指隐藏后的第一网元的拓扑信息。

S1303：第一SEPP向位于第二网络的第三SEPP发送第一消息，该第一消息包括第一请求消息和隐藏信息。

S1304：第三SEPP向第二网元转发上述第一消息。

S1305：响应于接收到的第一消息，第二网元向同侧的第三SEPP发送第二消息，该第二消息包括第一回复消息和隐藏信息。其中，第一回复消息是第二网元为响应于第一请求消息所发送的消息。

S1306：第三SEPP向位于第一网络的第二SEPP转发上述第二消息。

S1307：第二SEPP接收到第二消息后，向第一SEPP发送第二请求消息，该第二请求消息用于请求获取恢复后的隐藏消息，该第二请求消息携带隐藏信息。

S1308：响应于接收到第二请求消息，第一SEPP将隐藏消息恢复为未隐藏的拓扑信息，进而将该恢复后的第一网元的拓扑信息发送给第二SEPP。

S1309：第二SEPP根据第一网元的拓扑信息向第一网元发送第一回复消息。

与图13所示实施例并列地，示例性地，图14示出了本申请实施例提供的又一种拓扑信息隐藏通信的方法1400的示意性交互图。该方法1400应用于跨网络的第一网元与第二网元进行消息收发的场景。如图14所示，该方法1400包括：

S1401：第一网元向第一SEPP发送第一请求消息，该第一请求消息用于请求向第二网元订阅目标信息，或者，第一请求消息用于请求从第二网元处获取目标信息。

S1402：第一SEPP接收到上述第一请求消息后，获取该第一网元的拓扑信息，并对该第一网元的拓扑信息进行隐藏，生成隐藏信息。其中，隐藏信息是指隐藏后的第一网元的拓扑信息。

S1403：第一SEPP向位于第二网络的第三SEPP发送第一消息，该第一消息包括第一请求消息和隐藏信息。

S1404：第三SEPP向第二网元转发上述第一消息。

S1405：响应于接收到的第一消息，第二网元向同侧的第三SEPP发送第二消息，该第二消息包括第一回复消息和隐藏信息。其中，第一回复消息是第二网元为响应于第一请求消息所发送的消息。

S1406：第三SEPP向位于第一网络的第二SEPP转发上述第二消息。

S1407：第二SEPP接收到第二消息后，向位于同侧的第三网元发送第二请求消息，该第二请求消息用于请求获取恢复后的隐藏消息，该第二请求消息携带隐藏信息。

S1408：响应于接收到第二请求消息，第三网元将隐藏消息恢复为未隐藏的拓扑信息，进而将该恢复后的第一网元的拓扑信息发送给第二SEPP。

S1409：第二SEPP根据第一网元的拓扑信息向第一网元发送第一回复消息。

本申请实施例中，通过新增NF提供拓扑信息的隐藏和恢复服务，新增的NF可以通过被隐藏的拓扑信息查询到隐藏前的拓扑信息，再将查询到的隐藏前的拓扑信息发送给发出请求消息的SEPP。这样，能够使得隐藏后的拓扑信息能够正确的恢复，从而能够避免因为发送隐藏拓扑信息的SEPP和接收隐藏拓扑信息的SEPP不同而导致的业务失败。

图15是本申请实施例提供的一种通信装置1500的示意性框图。该装置1500包括接收模块1501，接收模块1501可以用于实现相应的接收功能。接收模块1501还可以称为接收单元。

该装置1500还包括处理模块1502，处理模块1502可以用于实现相应的处理功能，如隐藏第一网元的拓扑信息或者恢复第一网元的拓扑信息。

该装置1500还包括发送模块1503，发送模块1503可以用于实现相应的发送功能，发送模块1503还可以称为发送单元。

可选地，该装置1500还包括存储单元，该存储单元可以用于存储指令和/或数据，处理单元1502可以读取存储单元中的指令和/或数据，以使得装置实现前述各个方法实施例中的相关装置的动作。

该装置1500可以用于执行上文各个方法实施例中网络设备(例如：AMF、UDM或SEPP)所执行的动作，这时，该装置1500可以为网络设备的组成部件，接收模块1501用于执行上文方法实施例中网络设备的接收相关的操作，处理模块1502用于执行上文方法实施例中网络设备的处理相关的操作，发送模块1503用于执行上文方法实施例中网络设备的发送相关的操作。

作为一种设计，该装置1500用于执行上文各个方法实施例中的任意网元或者任意设备所执行的动作。在一个实施例中，该通信装置可用于执行上述图4至图14中网络设备(例如：第一网元、第二网元、第三网元或SEPP)的操作。例如：

接收模块1501，用于接收第一请求消息，并向第一SEPP发送第一请求消息，该第一请求消息用于请求向第二网元订阅目标信息，或者，第一请求消息用于请求从第二网元处获取目标信息。

其中，可选地，接收模块1501在向第一SEPP发送第一请求消息的同时，还发送了第一网元的拓扑信息。

处理模块1502，用于获取该第一网元的拓扑信息，并对该第一网元的拓扑信息进行隐藏，生成隐藏信息。其中，隐藏信息是指隐藏后的第一网元的拓扑信息。

发送模块1503，用于向位于第二网络的第三SEPP发送第一消息，该第一消息包括第一请求消息和隐藏信息。

应理解，各模块执行上述相应步骤的具体过程在上述方法实施例中已经详细说明，为了简洁，在此不再赘述。

此外，该通信装置中的接收模块1501、处理模块1502和发送模块1503还可实现上述方法中网络设备的其他操作或功能，此处不再赘述。

此外，该通信装置中的接收模块1501、处理模块1502和发送模块1503还可实现上述方法中其他设备的操作或功能，此处不再赘述。

图16示出了上述实施例中所涉及的通信装置的另一种可能的结构示意图。该通信装置包括处理器1601，如图16所示，通信装置还可以包括至少一个存储器1602，用于存储程序指令和/或数据。存储器1602和处理器1601耦合。本申请实施例中的耦合是装置、单元或模块之间的间接耦合或通信连接，可以是电性，机械或其它的形式，用于装置、单元或模块之间的信息交互。处理器1601可能和存储器1602协同操作。处理器1601可能执行存储器1602中存储的程序指令。所述至少一个存储器中的至少一个可以包括于处理器中。

该通信装置还可以包括收发器1603，用于通过传输介质和其它设备进行通信，从而用于装置可以和其它设备进行通信。可选地，收发器1603可以是接口、总线、电路或者能够实现收发功能的装置。可选地，收发器1603可以包括接收器和发送器。

本申请实施例中不限定上述处理器1601、存储器1602以及收发器1603之间的具体连接介质。本申请实施例在图16中以处理器1601、存储器1602以及收发器1603之间通过总线1604连接，总线在图16中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示，图16中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

例如，在一个实施例中，处理器1601被配置为网络设备的其他操作或功能。收发器1603用于实现该通信装置与其他网元/设备(比如，UE/gNB)之间的通信。

以上模块或单元的一个或多个可以软件、硬件或二者结合来实现。当以上任一模块或单元以软件实现的时候，所述软件以计算机程序指令的方式存在，并被存储在存储器中，处理器可以用于执行所述程序指令并实现以上方法流程。所述处理器可以包括但不限于以下至少一种：中央处理单元(central processing unit，CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontroller unit，MCU)、或人工智能处理器等各类运行软件的计算设备，每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以内置于SoC(片上系统)或专用集成电路(application specific integratedcircuit，ASIC)，也可是一个独立的半导体芯片。该处理器内处理用于执行软件指令以进行运算或处理的核外，还可进一步包括必要的硬件加速器，如现场可编程门阵列(fieldprogrammable gate array，FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。

当以上模块或单元以硬件实现的时候，该硬件可以是CPU、微处理器、DSP、MCU、人工智能处理器、ASIC、SoC、FPGA、PLD、专用数字电路、硬件加速器或非集成的分立器件中的任一个或任一组合，其可以运行必要的软件或不依赖于软件以执行以上方法流程。

当以上模块或单元使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。

以上所述的具体实施方式，对本申请的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本申请的具体实施方式而已，并不用于限定本申请的保护范围，凡在本申请的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本申请的保护范围之内。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行前述方法实施例中第一网元侧的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行前述方法实施例中第二网元侧的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机程序产品，该计算机程序产品包括：计算机程序代码，当该计算机程序代码在计算机上运行时，使得该计算机执行前述方法实施例中SEPP侧的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行前述方法实施例中第一网元侧的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行前述方法实施例中第二网元侧的方法。

根据本申请实施例提供的方法，本申请还提供一种计算机可读介质，该计算机可读介质存储有程序代码，当该程序代码在计算机上运行时，使得该计算机执行前述方法实施例中SEPP侧的方法。

本申请实施例还提供了一种处理装置，包括处理器和接口；所述处理器用于执行上述任一方法实施例中的通信方法。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(read-only memory，ROM)、随机存取存储器(random access memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种通信方法，其特征在于，所述方法包括：

响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP根据第一算法和第一密钥ID生成隐藏信息，所述隐藏信息为隐藏后的所述第一网元的拓扑信息；

所述第一SEPP向所述第二网络发送第一消息，所述第一消息包括所述第一请求消息和所述隐藏信息，所述隐藏信息携带所述第一密钥ID；

第二SEPP接收所述第二网络为响应于所述第一消息发送的第二消息，所述第二消息包括第一回复消息和所述隐藏信息，所述第一SEPP和所述第二SEPP属于第一网络，所述第一SEPP和所述第二SEPP预置有所述第一算法和所述第一密钥ID；

所述第二SEPP根据所述第一密钥ID恢复所述隐藏信息，进而获得所述第一网元的拓扑信息，以便根据所述第一网元的拓扑信息将所述第一回复消息路由至所述第一网元。

2.根据权利要求1所述的方法，其特征在于，所述第一SEPP根据第一算法和第一密钥ID生成隐藏信息，包括：

所述第一SEPP接收所述第一网元发送的所述第一请求消息和所述第一网元的拓扑信息；

所述第一SEPP通过根据所述第一算法和所述第一密钥ID对所述第一网元的拓扑信息加密，生成所述隐藏信息。

3.根据权利要求1或2所述的方法，其特征在于，所述第一SEPP向所述第二网络发送第一消息，包括：

所述第一SEPP生成第一完全限定域名FQDN，所述第一FQDN包括所述隐藏信息和所述第一密钥ID；

所述第一SEPP向所述第二网络发送第一消息，所述第一消息包括所述第一请求消息和所述第一FQDN。

4.根据权利要求3所述的方法，其特征在于，所述第一FQDN还包括所述第一网元的域信息。

5.根据权利要求1至4中任一项所述的方法，其特征在于，所述第一网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

6.根据权利要求1至5中任一项所述的方法，其特征在于，所述第一SEPP和所述第二SEPP为同一个SEPP。

7.一种通信方法，其特征在于，所述方法包括：

响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP向所述第二网络发送第一消息，所述第一消息包括所述第一请求消息和第一指示信息，所述第一指示信息用于指示所述第一SEPP对应的路由类别为严格路由；

所述第一SEPP接收所述第二网络为响应于所述第一消息，根据第一路径发送的第二消息，所述第二消息包括第一回复消息，所述第一路径是所述第二网络根据所述第一消息的路径生成的，所述第一路径包括一个或多个设备，所述一个或多个设备均对应一个路由类别，所述路由类别包括所述严格路由；

所述第一SEPP向所述第一网元发送所述第一回复消息。

8.根据权利要求7所述的方法，其特征在于，所述第一消息还包括隐藏信息，所述隐藏信息为隐藏后的所述第一网元的拓扑信息，所述第二消息还包括所述隐藏信息，所述第一SEPP向所述第一网元发送所述第一回复消息，包括：

所述第一SEPP将所述隐藏信息恢复为所述第一网元的拓扑信息；

所述第一SEPP根据所述第一网元的拓扑信息向所述第一网元发送所述第一回复消息。

9.根据权利要求8所述的方法，其特征在于，所述方法还包括：

所述第一SEPP通过加密所述第一网元的拓扑信息，生成所述隐藏信息。

10.根据权利要求8或9所述的方法，其特征在于，所述方法还包括：

所述第一SEPP接收所述第一网元发送的所述第一请求消息和所述第一网元的拓扑信息。

11.根据权利要求7至10中任一项所述的方法，其特征在于，所述路由类别还包括宽松路由。

12.根据权利要求7至11中任一项所述的方法，其特征在于，所述第一网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

13.一种通信方法，其特征在于，所述方法包括：

第二网元接收第一安全和边界代理网元SEPP发送的第一消息，所述第一消息包括第一请求消息和第一指示信息，所述第一指示信息用于指示所述第一SEPP对应的路由类别为严格路由；

所述第二网元根据所述第一消息的路径生成第一路径，所述第一路径包括一个或多个设备，所述一个或多个设备均对应一个路由类别，所述路由类别包括所述严格路由；

响应于所述第一消息，所述第二网元根据所述第一路径向所述第一SEPP发送第二消息，所述第二消息包括第一回复消息。

14.根据权利要求13所述的方法，其特征在于，所述第一消息还包括隐藏信息，所述隐藏信息为隐藏后的所述第一网元的拓扑信息，所述第二消息还包括所述隐藏信息。

15.根据权利要求13或14所述的方法，其特征在于，所述方法还包括：

所述第二网元记录所述第一消息的路径。

16.根据权利要求13至15中任一项所述的方法，其特征在于，所述第二网元根据所述第一消息的路径生成第一路径，包括：

所述第二网元通过将所述第一消息的路径倒序排放，生成所述第一路径。

17.根据权利要求13至16中任一项所述的方法，其特征在于，所述第二网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

18.一种通信方法，其特征在于，所述方法包括：

响应于第一网元向第二网络发送第一请求消息的需求，第一安全和边界代理网元SEPP向所述第二网络发送第一消息，所述第一消息包括所述第一请求消息和所述隐藏信息，所述隐藏信息为隐藏后的所述第一网元的拓扑信息；

所述第二SEPP接收所述第二网络为响应于所述第一消息发送的第二消息，所述第二消息包括第一回复消息和所述隐藏信息；

所述第二SEPP向第三网元发送第二请求消息，所述第二请求消息用于请求获取所述第一网元的拓扑信息，所述第二请求消息包括所述隐藏信息；

所述第二SEPP接收所述第三网元为响应于第二请求消息发送的第二回复消息，所述第二回复消息包括所述第一网元的拓扑信息，以便根据所述第一网元的拓扑信息将所述请求回复消息路由至所述第一网元。

19.根据权利要求18所述的方法，其特征在于，所述方法还包括：

20.根据权利要求18或19所述的方法，其特征在于，所述方法还包括：

21.根据权利要求18至20中任一项所述的方法，其特征在于，所述第三网元为所述第一SEPP。

22.根据权利要求18至20中任一项所述的方法，其特征在于，所述第三网元为接入与移动性管理功能AMF、会话管理功能SMF、统一数据管理UDM、用户面功能UPF、认证服务器功能AUSF、短消息服务功能SMSF中的任意一种。

23.根据权利要求18至22中任一项所述的方法，其特征在于，所述第一网元为AMF、SMF、UDM、UPF、AUSF、SMSF中的任意一种。

24.一种通信装置，其特征在于，包括用于执行如权利要求1至6，7至12，13至17或18至23中任一项所述的方法的模块。

25.一种通信装置，其特征在于，包括处理器和接口电路，所述接口电路用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号发送给所述通信装置之外的其它通信装置，所述处理器通过逻辑电路或执行代码指令用于实现如权利要求1至6，7至12，13至17或18至23中任一项所述的方法。

26.一种计算机可读存储介质，其特征在于，所述存储介质中存储有程序或指令，当所述程序或指令被运行时，实现如权利要求1至6，7至12，13至17或18至23中任一项所述的方法。