WO2021063057A1 - 漫游信令消息发送的方法、相关设备和通信系统 - Google Patents

Abstract

本申请提供一种漫游信令消息发送的方法，用以解决现有技术中拜访地核心网设备、拜访地SEPP设备之间需要多次信令交互来获得虚拟拜访地SEPP设备的标识，从而导致漫游信令消息发送效率低的问题。在本申请中，拜访地核心网设备接收到漫游信令消息后，在漫游信令消息中增加归属地核心网设备的标识和拜访地SEPP的标识，随后向拜访地SEPP发送包含归属地核心网设备的标识和拜访地SEPP的标识的漫游信令消息，从而拜访地SEPP可以根据归属地核心网设备的标识向归属地网络转发上述漫游信令消息，减少了拜访地SEPP和拜访地核心网设备之间的信令交互，提高了消息转发的效率。

Description

漫游信令消息发送的方法、相关设备和通信系统

本申请要求于2019年9月30日提交中国国家知识产权局、申请号为201910944236.3、发明名称为“漫游信令消息发送的方法、相关设备和通信系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种漫游信令消息发送的方法、相关设备和通信系统。

背景技术

第五代(5th generation，5G)移动通信技术是最新一代蜂窝移动通信技术。5G网络的性能目标是高数据速率、低时延、节省能源、降低成本、提高系统容量和大规模设备连接。

在5G核心网(5G core，5GC)中，安全边缘保护代理(Security Edge Protection Proxy，SEPP)设备作为5GC的边界安全网关，可以实现不同运营商的5G网络对接。当5G用户漫游时，5GC内部网络设备(网元)的漫游信令消息通过SEPP设备(后续简称SEPP)转发给归属地5G网络。

在现有的漫游信令消息发送方法中，拜访地的网络存储功能(network repository function，NRF)设备接收到网元发送的漫游信令消息，向拜访地的SEPP发送携带归属地NRF标识的地址请求消息，拜访地SEPP向NRF返回虚拟的拜访地SEPP标识，并保存所述归属地NRF标识和虚拟的拜访地SEPP标识之间的对应关系。

随后，NRF向拜访地SEPP发送漫游信令消息，其中携带上述虚拟的拜访地SEPP标识。SEPP接收到NRF发送的漫游信令消息后，将其中携带的虚拟的拜访地SEPP标识替换为归属地NRF的标识，并将替换后的漫游信令消息发给归属地的SEPP，归属地的SEPP将接收到的漫游信令消息转发给归属地的NRF进行后续处理。

在现有的漫游信令消息发送流程中，拜访地SEPP需要与拜访地NRF多次进行信令交互，拜访地SEPP还需要保存归属地NRF标识和虚拟的拜访地SEPP标识之间的对应关系，导致漫游信令消息转发的效率较低，也增加了设备成本。

发明内容

本申请提供一种漫游信令消息发送的方法、相关设备和通信系统，用以解决现有技术中拜访地SEPP需要与NRF进行多次信令交互，消息转发效率低的问题。

第一方面，本申请实施例提供了一种漫游信令消息转发方法，该方法主要包括如下步骤：

拜访地核心网设备接收漫游信令消息，在该漫游信令消息中增加归属地核心网设备的 标识和拜访地SEPP设备的标识，随后拜访地核心网设备向拜访地SEPP设备发送包含所述归属地核心网设备的标识和拜访地SEPP设备的标识的漫游信令消息。

通过第一方面提供的方案，拜访地核心网设备不需要向拜访地SEPP设备获取虚拟的拜访地SEPP设备的标识，而是向拜访地SEPP发送包含归属地核心网设备的标识和拜访地SEPP设备的标识的漫游信令消息，从而拜访地SEPP设备可以根据归属地核心网设备的标识向归属地网络转发上述漫游信令消息。与现有技术相比，本方案减少了拜访地SEPP设备和拜访地核心网设备之间的信令交互，提高了消息转发的效率，也提升了通信系统的稳定性。

在一个实施方案中，拜访地核心网设备还可以和拜访地SEPP设备开始建立安全链路(或安全连接)，然后接收所述拜访地SEPP设备发送的安全证书；然后拜访地核心网设备根据所述漫游信令消息中的所述拜访地SEPP设备的标识来校验(也可以称为验证)安全证书。拜访地核心网设备在校验成功后，向所述拜访地SEPP设备发送包含所述归属地核心网设备的标识和拜访地SEPP设备的标识的所述漫游信令消息。

本实施方案在向拜访地SEPP设备发送漫游信令消息之前，增加了对拜访地SEPP设备安全校验的步骤，增强了通信系统的安全。

在一个实施方案中，拜访地核心网设备接收到的漫游信令消息中携带归属地网络的标识，此时拜访地核心网设备根据所述归属地网络的标识生成所述归属地核心网设备的标识。随后，拜访地核心网设备可以将生成的归属地核心网设备的标识增加到接收到的漫游信令消息中。

在一个实施方案中，拜访地核心网设备可以将拜访地SEPP设备的标识增加到漫游信令消息的首部，以便于拜访地SEPP设备识别该漫游信令消息是发送给自己的。

第二方面，本申请提供一种漫游信令消息发送的方法，其主要由拜访地SEPP设备来实现，所述方法包括：

拜访地SEPP设备接收拜访地核心网设备发送的漫游信令消息，所述漫游信令消息中包含所述归属地核心网设备的标识和所述拜访地SEPP设备的标识，然后拜访地SEPP设备将所述漫游信令消息中的所述拜访地SEPP设备的标识替换为所述归属地核心网设备的标识。在替换完成后，所述拜访地SEPP设备向归属地SEPP设备发送替换后的漫游信令消息。

在本方面提供的实施方案中，拜访地SEPP设备可以使用接收到的漫游信令消息中的归属地核心网设备的标识替换漫游信令消息中的拜访地SEPP设备的标识，拜访地SEPP设备不需要提前保存虚拟的拜访地SEPP设备标识与归属地NRF之间的标识的对应关系，从而节约了存储资源。在拜访地SEPP设备发生故障恢复后，不需要恢复该对应关系，从而提高了拜访地SEPP设备的工作稳定性，简化了SEPP设备的实现和部署成本。

在一个实施方案中，拜访地SEPP设备还和所述拜访地核心网设备开始建立安全链路，拜访地SEPP设备向所述拜访地核心网设备发送安全证书，从而保障拜访地核心网设备和拜访地SEPP设备之间通信的安全。

在一个实施方案中，拜访地SEPP设备将漫游信令消息首部的拜访地SEPP设备的标识替换为所述归属地核心网设备的标识，从而在将该漫游信令消息发给归属地SEPP设备之后，归属地SEPP设备可以根据漫游信令消息的首部获知该消息是发往归属地核心网设备的。

第三方面，本申请提供一种核心网设备，其主要包括：

相互耦合的存储器和处理器，所述存储器中存储了程序代码，所述处理器调用并执行 所述存储器中存储的程序代码，使得所述核心网设备执行如第一方面所述的漫游信令消息发送的方法。本方面提供的核心网设备的有益效果可以参见第一方面的描述。

在一个实施方案中，上述核心网设备可以部署在用户设备的拜访地网络中，作为拜访地核心网设备来使用。

在一个实施方案中，上述核心网设备还包括收发器，用于和其他设备进行通信。

第四方面，本申请提供一种安全边缘保护代理设备，其主要包括：

相互耦合的存储器和处理器，所述存储器中存储了程序代码，所述处理器调用并执行所述存储器中存储的程序代码，使得所述安全边缘保护代理设备执行如第二方面所述的漫游信令消息发送的方法。本方面提供的SEPP设备的有益效果可以参见第二方面的描述。

在一个实施方案中，上述安全边缘保护代理设备可以部署在用户设备的拜访地网络中，作为拜访地安全边缘保护代理设备来使用。

在一个实施方案中，上述SEPP设备还包括收发器，用于和其他设备进行通信。

第五方面，本申请提供一种通信系统，其主要包括：

拜访地核心网设备和拜访地安全边缘保护代理SEPP设备，所述拜访地核心网设备配置于实现如第一方面所述的漫游信令消息发送的方法；

所述拜访地SEPP设备配置于实现如第二方面所述的漫游信令消息发送的方法。

在一个实施方案中，拜访地核心网设备和拜访地安全边缘保护代理设备可以采用通用的计算机架构来实现，包括存储器和处理器。拜访地核心网设备可以为第三方面所描述的设备，SEPP设备可以为第四方面所描述的设备。

本方面提供的通信系统兼有上述两方面提供的漫游信令消息发送的方法的有益效果。

第六方面，本申请还提供一种拜访地核心网设备，该设备主要包括：第一接收单元、消息处理单元和第一发送单元。

其中，第一接收单元用于接收到漫游信令消息，消息处理单元用于在所述漫游信令消息中增加归属地核心网设备的标识和拜访地SEPP设备的标识，第一发送单元用于向拜访地SEPP发送包含所述归属地核心网设备的标识和拜访地SEPP设备的标识的漫游信令消息。

在一个实施方案中，拜访地核心网设备还包括：

链路建立单元，用于和所述拜访地SEPP设备开始建立安全链路，第一接收单元还用于接收所述拜访地SEPP设备发送的安全证书；

校验单元，用于根据所述漫游信令消息中的所述拜访地SEPP设备的标识校验所述安全证书；

第一发送单元还用于在校验成功后，向拜访地SEPP设备发送包含所述归属地核心网设备的标识和拜访地SEPP设备的标识的所述漫游信令消息。

在一个实施方案中，拜访地核心网设备中的第一接收单元接收到的漫游信令消息中携带归属地网络的标识，拜访地核心网设备还包括：生成单元，用于根据所述归属地网络的标识生成所述归属地核心网设备的标识。

在一个实施方案中，拜访地SEPP设备的标识位于所述漫游信令消息的首部，即消息处理单元在所述漫游信令消息的首部中增加拜访地SEPP设备的标识，在漫游信令消息的扩展字段中增加归属地核心网设备的标识。

其中，第六方面提供的拜访地核心网设备的有益效果可以参见第一方面的描述。

第七方面，本申请还提供一种拜访地SEPP设备，其主要包括：

第二接收单元，消息替换单元和第二发送单元。

其中，第二接收单元用于接收拜访地核心网设备发送的漫游信令消息，所述漫游信令消息中包含所述归属地核心网设备的标识和所述拜访地SEPP设备的标识；

消息替换单元，用于将所述漫游信令消息中的所述拜访地SEPP设备的标识替换为所述归属地核心网设备的标识；

第二发送单元，用于向归属地SEPP设备发送替换后的漫游信令消息。

在一个实施方案中，拜访地SEPP设备还包括：

链路建立单元，用于和所述拜访地核心网设备开始建立安全链路；

第二发送单元还用于向所述拜访地核心网设备发送安全证书。

在一个实施方案中，拜访地SEPP设备中的消息替换单元将所述漫游信令消息首部的拜访地SEPP的标识替换为所述归属地核心网设备的标识。

其中，第七方面提供的拜访地SEPP设备的有益效果可以参见第二方面的描述。

第八方面，本申请还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第九方面，本申请还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

第十方面，本申请还提供一种计算机芯片，所述芯片与存储器相连，所述芯片用于读取并执行所述存储器中存储的软件程序，执行上述各方面所述的方法。

在以上任一方面的技术方案中，拜访地核心网设备可以为拜访地NRF设备，还可以为拜访地NSSF设备。

在以上任一方面的技术方案中，漫游信令消息可以为服务发现请求或网络切片请求。

在以上任一方面的技术方案中，漫游信令消息为超文本安全传输协议(Hypertext Transfer Protocol Secure，HTTPS)消息。

在以上任一方面的技术方案中，拜访地SEPP设备的标识为拜访地SEPP设备的全合格域名(Fully Qualified Domain Name，FQDN)，拜访地核心网设备的标识为拜访地核心网设备的FQDN，归属地核心网设备的标识为归属地核心网设备的FQDN。

附图说明

图1是本申请实施例的5G漫游场景的网络架构示意图；

图2是本申请实施例5G网络的设备之间的接口示意图；

图3为本申请实施例提供的一种漫游信令消息发送方法的流程图；

图4为本申请实施例提供的另一种漫游信令消息发送方法的流程图；

图5为本申请实施例提供的一种核心网设备的结构示意图；

图6为本申请实施例提供的一种SEPP设备的结构示意图；

图7是本申请实施例提供的核心网设备和SEPP设备的硬件示意图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步 地详细描述。方法实施例中的具体操作方法也可以应用于装置实施例或系统实施例中。

参见图1-2，图1是本申请实施例的5G漫游场景的网络架构示意图。图2是5G网络的设备之间的接口示意图。

如图1所示，用户设备(User Equipment，UE)从归属地公共陆地移动网(Home Public Land Mobile Network，HPLMN)漫游到拜访地公共陆地移动网(Visited Public Land Mobile Network，VPLMN)，使用拜访地公共陆地移动网进行数据业务。其中，归属地公共陆地移动网简称归属网络(也可以称为本地网络)，拜访地公共陆地移动网简称拜访网络。

拜访网络和归属网络之间使用防火墙进行安全隔离。拜访网络和归属网络之间的信令通过拜访地SEPP(vSEPP)和归属地SEPP(hSEPP)之间的N32接口进行传递。此外，SEPP还可以实现PLMN网络的拓扑对外隐藏以及信令消息的路由寻址。SEPP也可以称为边界安全网关。拜访SEPP和归属SEPP之间可以通过N32接口直连，也可以通过IP包交换(Internet Protocol Packet eXchange，IPX)设备进行连接，即SEPP之间的消息通过IPX进行转发。

在本实施例中，归属网络和拜访网络均采用了5G架构，下面结合图2来介绍5G网络中相关设备的功能和接口。

接入与移动性管理功能(AMF)设备是第三代合作伙伴计划(3rd Generation Partnership Project，3GPP)网络中的一种控制面网元，主要负责UE接入运营商网络的接入控制和移动性管理。其中，安全锚点功能(Security Anchor Function，SEAF)可以部署于AMF设备(简称AMF)之中，或SEAF也可能部署于不同于AMF的另一设备中，图2中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时，SEAF和AMF可合称AMF。

会话管理功能(Session Management Function，SMF)设备是3GPP网络中的一种控制面网元，其中，SMF设备(简称SMF)主要用于负责管理UE的分组数据单元(Packet Data Unit，PDU)会话。UE可以通过PDU会话与数据网络互相发送数据包。SMF负责PDU会话的建立、维护和删除等管理工作。

数据网络(Data Network，DN)也称为分组数据网络(Packet Data Network，PDN)，是位于3GPP网络之外的网络。其中，3GPP网络可接入多个DN，DN上可部署运营商或第三方提供的多种业务。例如，某个DN是一个智能工厂的私有网络，安装在智能工厂车间的传感器扮演UE的角色，DN中部署了传感器的控制服务器。UE与控制服务器通信，UE在获取控制服务器的指令之后，可根据这个指令将采集的数据传递给控制服务器。

统一数据管理(Unified Data Management，UDM)设备也是3GPP网络中的一种控制面网元，UDM设备(简称UDM)主要负责存储3GPP网络中签约用户的签约数据、信任状(credential)和持久身份标识(Subscriber Permanent Identifier，SUPI)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。

认证服务器功能(Authentication Server Function，AUSF)设备也是3GPP网络中的一种控制面网元，AUSF设备主要用于第一级认证(即3GPP网络对其签约用户的认证)。

网络开放功能(Network Exposure Function，NEF)设备也是3GPP网络之中的一种控制面网元。NEF设备(简称NEF)主要负责以安全的方式对第三方开放3GPP网络的对外接口。其中，在SMF等网元需要与第三方网元通信时，可以以NEF为通信的中继。比如，将UE的SUPI从3GPP网络发送到第三方时，NEF可以将SUPI翻译成其对应的外部身份标识(Identity，ID)。反之，NEF可以将外部身份ID在发送到3GPP网络时，将其翻译成对应 的SUPI。

计费功能(Charging Function，CHF)设备用于对用户设备使用5G网络进行计费，例如对UE使用5G网络产生的流量进行在线计费或离线计费。当用户处于漫游场景下，用户的计费控制可以在归属地网络进行。

网络存储功能(Network Repository Function，NRF)设备也是3GPP网络中的一种控制面网元，主要负责存储可被访问的网络功能(NF)的配置与服务资料(profile)，为其他网元提供网络功能的发现服务，通过网络发现可以实现网元间的选择与通信。

应用功能(Application Function，AF)设备用于提供应用相关的功能，例如提供语音通话功能、会议功能等。

用户面功能(User Plane Function，UPF)设备是3GPP网络与DN通信的网关，可以用于数据报文的转发、策略控制、使用量报告等。

策略控制功能(Policy Control Function，PCF)设备是3GPP网络中的一种控制面功能，用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(Quality of Service，QoS)、授权相关策略等。

其中，上述NEF、NRF、PCF、UDM、AF、CHF、AUSF、AMF、SMF、UPF属于5G核心网中的设备。

接入网(Access Network，AN)是3GPP网络的一个子网络，UE要接入3GPP网络，首先经过AN。在无线接入场景下AN也称无线接入网(Radio Access Network，RAN)，因此RAN和AN这两个术语经常不做区分的混用。

其中，3GPP网络是指符合3GPP标准的网络。其中，图2中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不只局限于3GPP定义的5G网络，还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外，在图2所示架构中的N1、N2、N3、N4、N6等分别代表相关网元/网络功能之间的参照点(Reference Point)。其中，5G网络还采用了服务化的架构。Nausf、Namf...等分别代表相关网络功能的服务化接口。当然，3GPP网络和非3GPP网络可能共存，5G网络的中的一些网元也可能被运用到一些非5G网络中。

例如图2所示5G架构中的部分或全部核心网功能均可被虚拟化。3G或4G或其他网络架构中部分或全部核心网功能也可被虚拟化，此处不再一一举例。

现有技术给出了一种漫游信令消息发送的方法，在该方法中，拜访地NRF接收到网元发送的漫游信令消息，向拜访地SEPP发送携带归属地NRF标识的地址请求消息，拜访地SEPP向NRF返回虚拟的拜访地SEPP标识，并保存所述归属地NRF标识和虚拟的拜访地SEPP标识之间的对应关系。发明人发现，拜访地NRF在获得虚拟的拜访地SEPP标识之后，会接收到拜访地SEPP发送的安全证书，拜访地NRF需要使用虚拟的拜访地SEPP标识来校验该安全证书。校验成功后，拜访地NRF才可以向拜访地SEPP发送漫游信令消息。

在本申请中，拜访地NRF在接收到漫游信令消息后，不需要向拜访地SEPP获取虚拟的拜访地SEPP的标识，而是在该漫游信令消息中增加拜访地SEPP的标识，从而在后续接收到拜访地SEPP发送的安全证书时，使用漫游信令消息中增加的拜访地SEPP的标识来校验安全证书，可以使得安全校验通过，进而可以向拜访地SEPP发送漫游信令消息。与现有技术相比，本申请提供的技术方案不仅可以满足安全校验的需求，还可以避免拜访地NRF与拜访地SEPP多次进行信令交互，节省了资源，也提高了漫游信令消息发送的效率。

下面基于如图1-2所示的网络系统，对本申请实施例提供的一种漫游信令消息发送方法进行介绍，如图3所示，所述方法包括：

步骤301：拜访地核心网设备接收用户设备的漫游信令消息。

其中，用户设备从归属地漫游到拜访地，并发起业务请求。拜访地核心网设备接收到该用户设备的漫游信令消息。例如，漫游信令消息可以为业务发现请求，以获取为该用户设备提供服务的UDM或PCF的地址。此外，漫游信令消息也可以为计费请求，用于请求归属地的计费系统对该用户设备进行计费。

在本实施例中，拜访地核心网设备可以为拜访地NRF或拜访地网络切片选择功能(Network Slice Selection Function，NSSF)设备，拜访地NRF或NSSF设备接收核心网中其他网元(例如AMF/SMF)发送的用户设备的漫游信令消息。拜访地NRF可以支持服务发现功能，从而可以实现网元间的选择与通信。拜访地NSSF设备根据接收到的信息及本地配置，选出可以为UE服务的AMF或为UE服务的网络切片实例等。

步骤302：拜访地核心网设备根据漫游信令消息中携带的归属地网络的标识生成归属地核心网设备的标识。

其中，漫游信令消息中携带用户设备归属地网络的标识，例如HPLMN ID。拜访地核心网设备可以根据该归属地网络的标识生成归属地核心网设备的标识。归属地核心网设备的标识可以为归属地核心网设备的全合格域名(Fully Qualified Domain Name，FQDN)、物理地址、IP地址等。归属地核心网设备可以为归属地AMF、归属地UDM或归属地计费系统等。

步骤303：拜访地核心网设备在漫游信令消息中增加归属地核心网设备的标识和拜访地SEPP的标识。

在本实施例中，拜访地核心网设备可以在漫游信令消息的不同字段中增加归属地核心网设备的标识和拜访地SEPP的标识。例如，将拜访地SEPP的标识增加到漫游信令消息的首部(也可以称为头部)，将归属地核心网设备的标识增加到扩展字段(或扩展头域)中。

其中，拜访地SEPP的标识可以为拜访地SEPP的FQDN、物理地址、IP地址等。

步骤304：拜访地核心网设备和拜访地SEPP开始建立安全链路。

在本实施例中，拜访地核心网设备和SEPP之间通过发送握手hello消息来建立传输层安全(Transport Layer Security，TLS)链路。在安全链路(或安全连接)建立的过程中，拜访地SEPP向拜访地核心网设备发送安全证书。拜访地核心网设备中可以配置拜访地SEPP的标识，便于向拜访地SEPP发送hello消息。

步骤305、拜访地核心网设备接收拜访地SEPP发送的安全证书。

步骤306、拜访地核心网设备根据所述漫游信令消息中的拜访地SEPP的标识校验所述安全证书。

为了防止假冒攻击(假冒拜访地SEPP)，拜访地核心网设备可以校验拜访地SEPP。从而，拜访地核心网设备根据所述漫游信令消息中的所述拜访地SEPP的标识校验所述安全证书。

在本实施例中，拜访地核心网设备使用漫游信令消息首部的拜访地SEPP的标识对接收到的安全证书进行校验。由于安全证书中携带的是拜访地SEPP的标识，而漫游信令消息首 部也是拜访地SEPP的标识，因此安全校验通过。

步骤307、拜访地核心网设备和拜访地SEPP之间完成建立安全链接的流程。

在本实施例中，拜访地核心网设备在校验成功后，继续建立安全链接的流程，例如相互发送完成(finished)消息。

步骤308、拜访地核心网设备向拜访地SEPP发送包含归属地核心网设备的标识和拜访地SEPP的标识的漫游信令消息。

其中，拜访地核心网设备将步骤303中修改后的漫游信令消息(即增加了归属地核心网设备的标识和拜访地SEPP的标识的漫游信令消息)发给拜访地SEPP。

拜访地SEPP接收拜访地核心网设备发送的漫游信令消息，漫游信令消息中包含所述归属地核心网设备的标识和所述拜访地SEPP的标识。

步骤309、拜访地SEPP将所述漫游信令消息中的所述拜访地SEPP的标识替换为所述归属地核心网设备的标识。

在本实施例中，拜访地SEPP确定漫游信令消息首部携带的是自己的标识，即拜访地SEPP的标识，则将漫游信令消息中的拜访地SEPP的标识替换为归属地核心网设备的标识。替换之后，该漫游信令消息首部携带的是归属地核心网设备的标识。

此时，漫游信令消息中携带了两份归属地核心网设备的标识。拜访地核心网设备可以删除漫游信令消息的扩展头域中携带的归属地核心网设备的标识，即保留漫游信令消息首部中携带的归属地核心网设备的标识即可，从而减少了漫游信令消息的字节数，节省网络流量。

步骤310、拜访地SEPP向归属地SEPP发送替换后的漫游信令消息。

其中，拜访地SEPP中配置了归属地SEPP的标识，拜访地SEPP通过N32接口向归属地SEPP发送替换后的漫游信令消息，该替换后的漫游信令消息的首部中携带归属地核心网设备的标识。拜访地SEPP接收到该漫游信令消息后，根据漫游信令消息的首部中携带归属地核心网设备的标识转发到对应的归属地核心网设备。

本申请提供的技术方案通过拜访地核心网设备主动生成携带拜访地SEPP的标识以及归属地核心网设备的标识的漫游信令消息，从而可以在接收到拜访地SEPP发送的安全证书后，实现对拜访地SEPP的安全校验。同时，拜访地核心网设备可以向拜访地SEPP发送携带拜访地SEPP的标识以及归属地核心网设备的标识的漫游信令消息，使得拜访地SEPP可以将所述漫游信令消息首部的拜访地SEPP的标识替换为归属地核心网设备的标识，并向归属地SEPP转发替换后漫游信令消息。

与现有技术相比，拜访地核心网设备不需要与拜访地SEPP进行信令交互来获得满足安全校验的拜访地SEPP的标识，减少了拜访地核心网设备与拜访地SEPP之间的信令交互，从而节约了网络资源。此外，拜访地SEPP也不需要提前保存虚拟的拜访地SEPP标识与归属地NRF之间的标识的对应关系，从而节约了存储资源。在拜访地SEPP发生故障恢复后，可以迅速根据接收到的漫游信令消息中携带的参数(归属地核心网设备的标识和拜访地SEPP的标识)进行漫游信令消息转发，不需要恢复该对应关系，从而提高了拜访地SEPP的工作稳定性，简化了SEPP的实现和部署成本。

为更详细的理解本申请的技术方案，下面再给出一种漫游场景下的消息发送方法。如图4所示，本申请实施例还提供的消息发送方法包括：

步骤401：拜访地NRF接收拜访地AMF发送的服务发现请求，其中携带归属网络的标识。

在本实施例中，UE从归属地漫游到拜访地，在拜访地发起数据业务，拜访地AMF接收到UE的业务请求后，向拜访地核心网设备进行网络发现以获取为该用户设备提供服务的UDM或PCF(例如归属地UDM、PCF)的地址。

本实施例中，拜访地核心网设备具体为拜访地NRF，拜访地AMF向拜访地NRF发送服务发现请求，服务发现请求中携带了归属地网络的标识，例如PLMN ID为0x64f021。服务发现请求采用超文本传输协议(Hypertext Transfer Protocol，HTTP)消息来发送。

其中，NRF包括多层级结构，如果底层(第一层)NRF无法处理该服务发现请求，则逐级上传，直到找到一个可以处理该服务发现请求的NRF为止。在本实施例中，将这些NRF当成整体对待。

步骤402：拜访地NRF根据服务发现请求确定需要在归属地网络进行服务发现。

在本实施例中，NRF根据服务发现请求中的归属地网络的标识确定需要到归属地网络核心网设备进行服务发现。在本实施例中，归属地核心网设备具体为归属地NRF。

步骤403：拜访地NRF生成归属地NRF的标识。

例如，拜访地NRF根据PLMN ID生成的归属地NRF的标识。归属地NRF的标识具体为归属地NRF的FQDN，例如：nrf.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org。其中，移动网络码(Mobile Network Code，MNC)和移动国家码(Mobile Country Code，MCC)可以根据归属地网络的标识PLMN ID来转换得到。

此外，拜访地SEPP的标识配置在了拜访地NRF中，拜访地SEPP的标识具体为拜访地SEPP的FQDN，例如：sepp.visited-operator.com。

步骤404：拜访地NRF在服务发现请求中增加归属地NRF的FQDN和拜访地SEPP的FQDN。

在本实施例中，拜访地NRF可以将拜访地SEPP的FQDN打包到服务发现请求的首部中，将归属地NRF的FQDN打包到服务发现请求的扩展字段(或扩展头域)中。例如，拜访地NRF将nrf.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org打包到htpps消息的扩展字段3gpp-sbi-target-FQDN中。

步骤405、拜访地NRF和拜访地SEPP开始建立安全链路。

在本实施例中，拜访地NRF和SEPP之间通过互相发送hello消息来建立TLS链路。在TLS链路建立的过程中，拜访地NRF接收拜访地SEPP发送的安全证书。

步骤406、拜访地SEPP向拜访地NRF发送安全证书。

其中，拜访地SEPP的安全证书可以通过certificate消息向拜访地NRF发送。

步骤407、拜访地NRF校验拜访地SEPP的安全性。

在本实施例中，拜访地NRF为了防止仿冒攻击，校验拜访地SEPP的安全性。

具体的，拜访地NRF使用服务发现请求首部的FQDN来校验接收到的安全证书中携带的FQDN。由于服务发现请求首部的FQDN和安全证书中携带的FQDN均为拜访地SEPP的FQDN，因而校验通过，即拜访地NRF认为拜访地SEPP是安全的。

步骤408、拜访地NRF向拜访地SEPP之间完成建立安全链接的流程。

在本实施例中，拜访地NRF在校验成功后，继续建立安全链接的流程，例如相互发送完成(finished)消息。

步骤409、拜访地NRF向拜访地SEPP发送增加了归属地NRF的FQDN和拜访地SEPP的 FQDN的服务发现请求。

由于拜访地NRF和拜访地SEPP之间建立了安全链路，服务发现请求可以通过https消息发送给拜访地SEPP。

拜访地SEPP接收拜访地NRF发送的服务发现请求，该服务发现请求被拜访地NRF修改过，即增加了归属地NRF的FQDN和拜访地SEPP的FQDN的服务发现请求。

步骤410、拜访地SEPP将服务发现请求中的拜访地SEPP的FQDN替换为归属地NRF的FQDN。

在本实施例中，拜访地SEPP收到服务发现请求后，发现首部中携带的是自己的FQDN，且携带了3gpp-sbi-target-FQDN扩展头域，则使用3gpp-sbi-target-FQDN中携带的FQDN替换首部中的FQDN。此外，拜访地SEPP还可以删除服务发现请求的3gpp-sbi-target-FQDN头域。

步骤411、拜访地SEPP向归属地SEPP发送替换后的服务发现请求。

其中，拜访地SEPP中可以配置有归属地SEPP的标识，拜访地SEPP可以通过N32接口向归属地SEPP发送替换后的服务发现请求，该服务发现请求的首部中携带的FQDN为nrf.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org。拜访地SEPP可以向归属地SEPP发送替换后的服务发现请求。

如果拜访地SEPP和归属地SEPP之间通过IPX连接，则拜访地SEPP可以将替换后的服务发现请求打包(或封装)到https消息体中，并生成N32-f消息头，此时N32-f消息头的首部是归属地SEPP的FQDN，拜访地SEPP向归属地SEPP发送打包了服务发现请求的https消息。归属地SEPP接收到https消息后，从https消息体中获取服务发现请求，并向归属地NRF该服务发现请求。

其中，归属地SEPP根据服务发现请求的首部中携带的FQDN向归属地NRF转发该服务发现请求，归属地NRF可以进一步将该服务发现请求转发到归属地UDM或归属地PCF，进行相应的业务处理。

本实施例以NRF进行服务发现为例详细描述了本申请提供的漫游信令消息发送方法。本申请提供的漫游信令消息还可以适用于NSSF进切片发现的场景。此时，信令交互的设备为拜访地NSSF和拜访地SEPP。漫游信令消息具体为切片请求，拜访地NSSF接收到切片请求后，也会执行上述实施例中的步骤401-409的流程。拜访地SEPP接收到切片请求后，执行上述步骤410-411，将切片请求发送到归属地SEPP。归属地SEPP也可以将切片请求转发到对应的归属地核心网设备，例如归属地NSSF、归属地UDM、归属地PCF等。

基于与方法实施例的同一发明构思，本申请实施例还提供一种核心网设备，具体用于实现如图3-4所示的方法实施例中所述拜访地核心网设备所执行的方法，该核心网设备的结构如图5所示，主要包括：第一接收单元501、消息处理单元502和第一发送单元503；

第一接收单元501用于接收到漫游信令消息，消息处理单元502用于在所述漫游信令消息中增加归属地核心网设备的标识和拜访地SEPP的标识，第一发送单元503用于向拜访地SEPP发送包含所述归属地核心网设备的标识和拜访地SEPP的标识的漫游信令消息。

通过上述第一接收单元501、消息处理单元502和第一发送单元503之间的配合，拜访地核心网设备不需要向拜访地SEPP获取虚拟的拜访地SEPP标识，而是向拜访地SEPP发送 包含归属地核心网设备的标识和拜访地SEPP的标识的漫游信令消息，从而拜访地SEPP可以根据归属地核心网设备的标识向归属地网络转发上述漫游信令消息。本实施例提供的核心网设备不需要与拜访地SEPP进行多次信令交互，节省了系统资源，也提高了消息转发的效率。

继续参考图5，本实施例提供的拜访地核心网设备还可以包括：

链路建立单元504，用于和所述拜访地SEPP开始建立安全链路。此时，第一接收单元501还用于接收所述拜访地SEPP发送的安全证书；

校验单元505，用于根据所述漫游信令消息中的所述拜访地SEPP的标识校验第一接收单元501接收到的安全证书；

第一发送单元503还用于在校验成功后，向拜访地SEPP发送包含所述归属地核心网设备的标识和拜访地SEPP的标识的所述漫游信令消息。

通过校验单元504、第一发送单元503以及链路建立单元504之间的配合，拜访地核心网设备可以增强与拜访地SEPP之间通信的安全性，也增强了整个移动通信网络的安全。

在一个实施例中，拜访地核心网设备中的第一接收单元501接收到的漫游信令消息中携带归属地网络的标识，拜访地核心网设备还包括：生成单元506，用于根据所述归属地网络的标识生成所述归属地核心网设备的标识。

在一个实施例中，拜访地SEPP的标识位于所述漫游信令消息的首部，即拜访地核心网设备中的消息处理单元502在所述漫游信令消息的首部中增加拜访地SEPP的标识，在漫游信令消息的扩展字段中增加归属地核心网设备的标识，从而拜访地SEPP在接收到该漫游信令消息后，可以确定该消息是发给自己的，并对该消息进行替换处理。

其中，上述实施例中的核心网设备是以功能模块的形式来呈现的，这里的“模块”可以指特定硬件或应用集成电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

本申请实施例还提供一种SEPP设备，具体用于实现如图3-4所示的方法实施例中所述拜访地SEPP执行的方法，该SEPP的结构如图6所示，主要包括：第二接收单元601、消息替换单元602和第二发送单元603。

其中，第二接收单元601用于接收拜访地核心网设备发送的漫游信令消息，所述漫游信令消息中包含所述归属地核心网设备的标识和所述拜访地SEPP的标识；

消息替换单元602，用于将所述漫游信令消息中的所述拜访地SEPP的标识替换为所述归属地核心网设备的标识；

第二发送单元603，用于向归属地SEPP发送替换后的漫游信令消息。

通过上述第二接收单元601、消息替换单元602和第二发送单元603之间的配合，拜访地SEPP可以使用接收到的漫游信令消息中的归属地核心网设备的标识替换漫游信令消息中的拜访地SEPP的标识，拜访地SEPP不需要提前保存虚拟的拜访地SEPP标识与归属地NRF之间的标识的对应关系，从而节约了存储资源。即使在拜访地SEPP发生故障恢复，也不需要恢复该对应关系，从而提高了拜访地SEPP的工作稳定性，简化了SEPP的实现和部署成本。

继续参见图6，本实施例提供的拜访地SEPP还包括：

链路建立单元604，用于和所述拜访地核心网设备开始建立安全链路；

第二发送单元603还用于向所述拜访地核心网设备发送安全证书。

在本实施例中，通过链路建立单元604和第二发送单元603之间的配合，可以实现在拜访地SEPP设备和拜访地核心网设备之间建立安全链路，并向拜访地核心网设备发送安全证书，提高了安全证书发送的安全性。

在一个实施例中，拜访地SEPP中的消息替换单元602将所述漫游信令消息首部的拜访地SEPP的标识替换为所述归属地核心网设备的标识。此外，该消息替换单元602还可以删除漫游信令消息扩展字段中携带的归属地核心网设备的标识。通过替换和删除相关字段，可以使得归属地SEPP识别接收到的漫游信令消息，并将该漫游信令消息发送到对应的归属地核心网设备中进行处理。

其中，上述实施例中的SEPP是以功能模块的形式来呈现的，这里的“模块”可以指特定硬件或应用集成电路，执行一个或多个软件或固件程序的处理器和存储器，集成逻辑电路，和/或其他可以提供上述功能的器件。

参见图7，图7是本申请实施例提供的核心网设备和SEPP设备的硬件示意图。

本实施例提供的核心网设备和SEPP设备都采用了通用的计算机硬件，包括处理器701、存储器702、总线703、输入设备704、输出设备705。

具体的，存储器702可以包括以易失性和/或非易失性存储器形式的计算机存储媒体，如只读存储器和/或随机存取存储器。存储器702可以存储操作系统、应用程序、其他程序模块、可执行代码、程序数据、用户开户数据、用户订阅数据等。

输入设备704可以用于向核心网设备/SEPP输入命令和信息，输入设备704如键盘或指向设备，如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线703连接至处理器701。

输出设备705可以用于核心网设备/SEPP输出信息，除了监视器之外，输出设备705还可以为其他外围输出设各，如扬声器和/或打印设备，这些输出设备也可以通过总线703连接到处理器701。

核心网设备/SEPP设备可以通过网络接口706连接到网络中，例如连接到局域网(Local Area Network，LAN)。在联网环境下，核心网设备/SEPP中存储的计算机执行指令可以存储在远程存储设备中，而不限于在本地存储。

当核心网设备中的处理器701执行存储器702中存储的可执行代码或应用程序时，核心网设备可以执行以上实施例中的拜访地核心网设备一侧的方法步骤，例如执行步骤301-303、306-307、401-404、407-409等。具体执行过程参见上述实施例，在此不再赘述。

当SEPP设备中的处理器701执行存储器702中存储的可执行代码或应用程序时，SEPP可以执行以上实施例中的拜访地SEPP一侧的方法步骤，例如执行步骤304-305、309-310、405-406、410-411等。具体执行过程参见上述实施例，在此不再赘述。

此外，上述存储器702中存储有用于实现图5中的第一发送单元503、第一接收单元501和消息处理单元502的功能的计算机执行指令。图5中的第一发送单元503、第一接收单元501和消息处理单元502的功能/实现过程均可以通过图7中的处理器701调用存储器702中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

针对SEPP的实施例，存储器702中存储有用于实现图6中第二接收单元601、消息替换单元602以及第二发送单元603的功能的计算机执行指令。图6中第二接收单元601、消息替换单元602以及第二发送单元603的功能/实现过程可以通过图7中的处理器701调用存储器702中存储的计算机执行指令来实现，具体实现过程和功能参考上述相关实施例。

其中，“拜访地”是相对于“归属地”来说的，针对漫游到当前网络的用户设备来说，上述当前网络的核心网设备为拜访地核心网设备，当前网络的SEPP为拜访地SEPP。上述拜访地核心网设备既可以服务于漫游到当前网络的用户设备，还可以服务于当前网络的本地用户设备。上述实施例中的拜访地核心网设备可以包括拜访地NRF设备、拜访地NSSF设备等。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

Claims (11)

1. 一种漫游信令消息发送的方法，其特征在于，所述方法包括：

   拜访地核心网设备接收到漫游信令消息，在所述漫游信令消息中增加归属地核心网设备的标识和拜访地安全边缘保护代理SEPP设备的标识；

   所述拜访地核心网设备向拜访地SEPP设备发送包含所述归属地核心网设备的标识和拜访地SEPP设备的标识的漫游信令消息。
2. 如权利要求1所述的方法，其特征在于，还包括：

   所述拜访地核心网设备和所述拜访地SEPP设备开始建立安全链路，接收所述拜访地SEPP设备发送的安全证书；

   所述拜访地核心网设备根据所述漫游信令消息中的所述拜访地SEPP设备的标识校验所述安全证书；

   所述拜访地核心网设备在校验成功后，向所述拜访地SEPP设备发送包含所述归属地核心网设备的标识和所述拜访地SEPP设备的标识的所述漫游信令消息。
3. 如权利要求1或2所述的方法，其特征在于，所述拜访地核心网设备接收到的漫游信令消息中携带归属地网络的标识，所述方法还包括：

   所述拜访地核心网设备根据所述归属地网络的标识生成所述归属地核心网设备的标识。
4. 如权利要求1或2所述的方法，其特征在于，所述拜访地核心网设备将所述拜访地SEPP设备的标识增加到所述漫游信令消息的首部。
5. 如权利要求1或2所述的方法，其特征在于，所述漫游信令消息为服务发现请求或网络切片请求。
6. 一种漫游信令消息发送的方法，其特征在于，所述方法包括：

   拜访地安全边缘保护代理SEPP设备接收拜访地核心网设备发送的漫游信令消息，所述漫游信令消息中包含归属地核心网设备的标识和所述拜访地SEPP设备的标识；

   所述拜访地SEPP设备将所述漫游信令消息中的所述拜访地SEPP设备的标识替换为所述归属地核心网设备的标识；

   所述拜访地SEPP设备向归属地SEPP设备发送替换后的漫游信令消息。
7. 如权利要求6所述的方法，其特征在于，还包括：

   所述拜访地SEPP设备和所述拜访地核心网设备开始建立安全链路；

   所述拜访地SEPP设备向所述拜访地核心网设备发送安全证书。
8. 如权利要求6或7所述的方法，其特征在于，所述拜访地SEPP设备将所述漫游信令消息首部的所述拜访地SEPP的标识替换为所述归属地核心网设备的标识。
9. 一种核心网设备，其特征在于，包括：

   相互耦合的存储器和处理器，所述存储器中存储了程序代码，所述处理器调用并执行所述存储器中存储的程序代码，使得所述核心网设备执行如权利要求1-5任一项所述的漫游信令消息发送的方法。
10. 一种安全边缘保护代理设备，其特征在于，包括：

    相互耦合的存储器和处理器，所述存储器中存储了程序代码，所述处理器调用并执行所述存储器中存储的程序代码，使得所述安全边缘保护代理设备执行如权利要求6-8任一 项所述的漫游信令消息发送的方法。
11. 一种通信系统，其特征在于，包括：

    拜访地核心网设备和拜访地安全边缘保护代理SEPP设备，所述拜访地核心网设备配置于实现如权利要求1-5任一项所述的漫游信令消息发送的方法；

    所述拜访地SEPP设备配置于实现如权利要求6-8任一项所述的漫游信令消息发送的方法。

Images