WO2022095966A1 - 一种通信方法、相关装置和系统 - Google Patents

Abstract

本发明实施例公开了一种通信方法、相关装置和系统，用于降低发送错误报告的过程中，对N32c链路资源的占用。本发明实施例方法包括：第一安全和边界代理SEPP设备接收来自IP交换运营商IPX设备的漫游消息，所述漫游消息用于实现所述第一SEPP设备和第二SEPP设备之间的漫游业务；所述第一SEPP设备确定无法处理所述漫游消息，向所述IPX设备发送反馈消息，所述反馈消息用于指示所述第一SEPP设备无法处理所述漫游消息。

Description

一种通信方法、相关装置和系统

本申请要求于2020年11月6日提交中国专利局、申请号为202011232419.1、发明名称为“一种通信方法、相关装置和系统”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种通信方法、相关装置和系统。

背景技术

目前，第三代合作伙伴计划(3rd generation partner project，3GPP)定义了安全和边界保护代理(security and edge protection proxy，SEPP)设备作为5G核心网(5G core，5GC)的一种边界安全网关。如图1所示，SEPP设备101和SEPP设备102之间通过N32-C(简称N32c)链路以及N32-F(简称N32f)链路进行通信。

在现有技术中，SEPP设备102接收通过N32f链路所包括的一个或多个IP交换服务(IP exchange service，IPX)设备转发的，来自SEPP设备101的漫游信令。若SEPP设备102确定无法对该漫游信令进行处理，则SEPP设备102通过N32c链路向SEPP设备101发送错误报告，通过该错误报告指示SEPP设备102无法对漫游信令进行处理。

在现有的技术方案中，SEPP设备之间发送错误报告时，需要维持并使用N32c链路的资源。

发明内容

本申请实施例提供了一种通信方法、相关装置和系统，其用于降低发送错误报告的过程中，对N32c链路资源的占用。

第一方面，本发明实施例提供了一种通信方法，该方法包括：第一安全和边界代理SEPP设备接收来自IP交换运营商IPX设备的漫游消息，该漫游消息用于实现该第一SEPP设备和第二SEPP设备之间的漫游业务；该第一SEPP设备确定无法处理该漫游消息，向该IPX设备发送反馈消息，该反馈消息用于指示该第一SEPP设备无法处理该漫游消息。

可见，第一SEPP设备若确定无法对来自第二SEPP设备的漫游消息进行处理的情况下，则该第一SEPP设备可通过N32f链路向第二SEPP设备发送用于指示第一SEPP设备无法对漫游消息进行处理的反馈消息，以通过发送该反馈消息实现错误报告的发送。因反馈消息通过N32f链路进行传输，可见，反馈消息的传输无需占用N32c链路的资源，通过N32f链路即可实现对漫游消息以及反馈消息的传输，降低了第一SEPP设备向第二SEPP设备指示无法对漫游消息进行处理的难度，提高了效率。而且通过N32f链路所包括的IPX设备向第二SEPP设备发送反馈消息的方式，能够提高各IPX设备的利用率，能够充分的利用N32f链路上的各IPX设备，避免了通过N32c链路传输反馈消息的过程中，IPX设备对系统资源的无效占用，提高了系统资源的利用效率，避免系统资源的浪费。

基于第一方面，一种可选地实现方式中，该方法还包括：在该第一SEPP设备和该第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，该第一SEPP设备释放该N32c链路，该目标共享密钥用于实现该第一SEPP设备和该第二SEPP设备之间的安全通信。

基于第一方面，一种可选地实现方式中，该方法还包括：第一SEPP设备通过N32c链 路向第二SEPP设备发送释放请求消息，该释放请求消息用于请求第二SEPP设备释放N32c链路。

基于第一方面，一种可选地实现方式中，该方法还包括：第一SEPP设备释放传输层安全(transport layer security，TLS)链路和N32c链路之间的连接关系，并清除与N32c链路相关的资源，以实现对N32c链路的释放。在N32c链路释放之后，即可实现对TLS链路的释放。

可见，第一SEPP设备和第二SEPP设备之间通过N32f链路执行传输反馈消息的流程，则在N32f链路建立成功的情况下，该第一SEPP设备和第二SEPP设备即可对N32c链路进行释放，从而有效地节省为维护N32c链路长连接的开销。

基于第一方面，一种可选地实现方式中，该第一安全和边界代理SEPP设备接收来自IP交换运营商IPX设备的漫游消息之前，该方法还包括：该第一SEPP设备向该IPX设备发送漫游请求消息，该漫游请求消息用于向该第二SEPP设备请求漫游业务，该漫游请求消息包括该第二SEPP设备的地址；该漫游消息为该第二SEPP设备根据该漫游请求消息生成的漫游响应消息。

可见，本实现方式中，第一SEPP设备作为漫游业务的请求方，第二SEPP设备作为漫游业务的响应方。第一SEPP设备通过该漫游请求消息向第二SEPP设备请求漫游业务。

基于第一方面，一种可选地实现方式中，该方法还包括：该第一SEPP设备根据该漫游消息所包括的N32f上下文标识确定对应的第二SEPP设备的地址；第一SEPP设备生成该反馈消息，该反馈消息包括该第二SEPP设备的地址，该反馈消息用于指示该第一SEPP设备无法处理该漫游响应消息。

可见，在第一SEPP设备确定无法处理该漫游响应消息，则第一SEPP设备通过N32f链路向第二SEPP设备发送反馈消息。通过N32f向第二SEPP设备发送该反馈消息，无需占用N32c链路的资源，提高N32c链路所包括的各IPX设备的利用率。

基于第一方面，一种可选地实现方式中，该漫游消息为用于向该第一SEPP设备请求漫游业务的漫游请求消息，该漫游消息包括该第一SEPP设备的地址。

可见，本实现方式中，第一SEPP设备作为漫游业务的响应方，第二SEPP设备作为漫游业务的请求方。第二SEPP设备通过该漫游消息向第一SEPP设备请求漫游业务。

基于第一方面，一种可选地实现方式中，该方法还包括：该第一SEPP设备确定该漫游消息满足如下所示的至少一项，则确定该第一SEPP设备无法处理该漫游消息：无法对该漫游消息进行解密、对该漫游消息的完整性检测失败、对该漫游消息的修改块的完整性检测失败、对该漫游消息的修改块应用JSON补丁程序失败、或根据该漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。

基于第一方面，一种可选地实现方式中，该反馈消息还用于指示该第一SEPP设备无法处理该漫游消息的原因，其中，该原因可为下述原因所示的一项或多项：

无法对该漫游消息进行解密、对该漫游消息的完整性检测失败、对该漫游消息的修改块的完整性检测失败、对该漫游消息的修改块应用JSON补丁程序失败、或根据该漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。

其中，根据漫游消息重建HTTP/2消息可以为将漫游消息的消息体中的HTTP/2消息取出。

基于第一方面，一种可选地实现方式中，该反馈消息包括N32f上下文标识，该N32f上下文标识用于指示对该反馈消息进行解密的目标共享密钥。

基于第一方面，一种可选地实现方式中，该第一SEPP设备确定无法处理该漫游消息之后，该方法还包括：该第一SEPP设备向网络功能NF发送该反馈消息。

第二方面，本发明实施例提供了一种通信方法，该方法包括：第二安全和边界代理SEPP设备接收来自网络功能设备NF发送的信令消息，向IP交换运营商IPX设备发送漫游消息，该漫游消息用于实现该第一SEPP设备和第二SEPP设备之间的漫游业务，该漫游消息中包括该信令消息；该第二SEPP设备接收来自该IPX设备的反馈消息，该反馈消息用于指示该第一SEPP设备无法处理该漫游消息。

本方面所示的有益效果的说明，请详见第一方面所示，具体不做赘述。

基于第二方面，一种可选地实现方式中，该方法还包括：在该第一SEPP设备和该第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，该第二SEPP设备释放该N32c链路，该目标共享密钥用于实现该第一SEPP设备和该第二SEPP设备之间的安全通信。

基于第二方面，一种可选地实现方式中，第二SEPP设备接收来自第一SEPP设备的释放请求消息，该释放请求消息用于请求第二SEPP设备释放N32c链路。

基于第二方面，一种可选地实现方式中，该第二SEPP设备根据该释放请求消息N32c链路，并在第二SEPP设备侧清除与N32c链路相关的资源。在N32c链路释放之后，即可实现对TLS链路的释放。

基于第二方面，一种可选地实现方式中，该第二安全和边界代理SEPP设备向IP交换运营商IPX设备发送漫游消息之前，该方法还包括：该第二SEPP设备接收来自该IPX设备的漫游请求消息，该漫游请求消息用于向该第二SEPP设备请求漫游业务，该漫游请求消息包括该第二SEPP设备的地址；该第二SEPP设备根据该漫游请求消息生成漫游响应消息，该漫游响应消息为该漫游消息。

基于第二方面，一种可选地实现方式中，该反馈消息包括该第二SEPP设备的地址，该反馈消息用于指示该第一SEPP设备无法处理该漫游响应消息。

基于第二方面，一种可选地实现方式中，该漫游消息为用于向该第一SEPP设备请求漫游业务的漫游请求消息，该漫游消息包括该第一SEPP设备的地址。

基于第二方面，一种可选地实现方式中，该反馈消息还用于指示该第一SEPP设备无法处理该漫游消息的原因。

基于第二方面，一种可选地实现方式中，该原因为如下所示的至少一项：无法对该漫游消息进行解密、对该漫游消息的完整性检测失败、对该漫游消息的修改块的完整性检测失败、对该漫游消息的修改块应用JSON补丁程序失败、或根据该漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。

基于第二方面，一种可选地实现方式中，该反馈消息包括N32f上下文标识，该第二SEPP设备接收来自该IPX设备的反馈消息之后，该方法还包括：该第二SEPP设备获取该 N32f上下文标识对应的目标共享密钥；该第二SEPP设备通过该目标共享密钥对该反馈消息进行解密。

第三方面，本发明实施例提供了一种安全和边界保护代理SEPP设备，包括：至少一个处理器和相互耦合的存储器，该存储器中存储了计算机程序代码，该处理器调用并执行该存储器中的计算机程序代码，使得该SEPP设备执行如上述第一方面任一项所示的方法或执行上述第二方面任一项所示的方法。

第四方面，本发明实施例提供了一种安全和边界保护代理SEPP设备，包括：接收单元、处理单元以及发送单元，该接收单元用于执行上述第一方面或第二方面任一项所示的与接收相关的步骤，该处理单元用于执行上述第一方面或第二方面任一项所示的与处理相关的步骤，该发送单元用于执行上述第一方面或第二方面任一项所示的与发送相关的步骤。

第五方面，本发明实施例提供了一种计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序被处理器执行时能够完成如上述第一方面任一项所示的方法或执行上述第二方面任一项所示的方法。

第六方面，本发明实施例提供了一种通信系统，包括第一安全和边界代理SEPP设备和第二SEPP设备，其中，该第一SEPP设备配置于执行如上述第一方面任一项所示的方法，该第二SEPP设备配置于执行如上述第二方面任一项所示的方法。

第七方面，本发明实施例提供了一种通信装置，包括：至少一个输入设备、处理器和至少一个输出设备；其中，该输入设备用于执行上述第一方面或第二方面任一项所示的与接收相关的步骤，该处理器用于执行上述第一方面或第二方面任一项所示的与处理相关的步骤，该输出设备用于执行上述第一方面或第二方面任一项所示的与发送相关的步骤。

第八方面，本发明实施例提供了一种通信装置，包括：输入接口电路，逻辑电路和输出接口电路，该逻辑电路用于执行本申请实施例中由第一SEPP设备执行的上述第一方面任一项所示的方法，或，该逻辑电路用于执行本申请实施例中由第二SEPP设备执行的上述第二方面任一项所示的方法。

第九方面，本发明实施例提供了一种包括指令的计算机程序产品，当该计算机程序产品在计算机设备上运行时，使得该这个计算机设备执行可由第一SEPP设备执行的上述第一方面任一项所示的方法，或，使得该这个计算机设备执行可由第二SEPP设备所执行的上述第二方面任一项所示的方法。

第十方面，本发明实施例提供了一种通信系统，包括第一安全和边界代理SEPP设备和IPX设备，所述IPX设备用于向所述第一SEPP设备发送漫游消息，所述漫游消息用于实现所述第一SEPP设备和第二SEPP设备之间的漫游业务；所述第一SEPP设备配置于执行如上述第一方面任一项所示的方法。

第十一方面，本发明实施例提供了一种通信系统，包括：网络功能设备NF和第二安全和边界保护代理SEPP设备，所述网络功能设备NF配置于执行向所述第二SEPP设备发送信令消息的步骤；所述第二SEPP设备配置于执行上述第二方面任一项所示的方法。

在以上任一方面的技术方案中，SEPP设备的地址可以为SEPP设备的全合格域名(fully qualified domain name，FQDN)、物理地址、IP地址等。SEPP设备的地址可以称为SEPP 设备的标识。

在以上任一方面的技术方案中，漫游消息可以为服务发现请求或网络切片请求。

附图说明

图1为通信系统的一种结构示例图；

图2为本申请实施例所提供的一种5G网络架构的示意图；

图3为通信系统的另一种结构示例图；

图4为本申请实施例所提供的一种通信方法的步骤流程图；

图5为本申请实施例所提供的另一种通信方法的步骤流程图；

图6为本申请实施例所提供的另一种通信方法的步骤流程图；

图7为本申请实施例所提供的SEPP设备的一种结构示例；

图8为本申请实施例提供的一种通信装置的结构示意图；

图9为本申请实施例提供的一种通信装置中单板的接口示意图；

图10为本申请实施例所提供的SEPP设备的另一种结构示例。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的对象在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。

参见图2，图2是本申请实施例举例的一种5G网络架构的示意图。5G网络对4G网络的某些功能设备(例如移动性管理实体(mobility management entity，MME)等等)进行了一定拆分，并定义了基于服务化架构的架构。在图2所示网络架构中，类似4G网络中的MME的功能，被拆分成了接入与移动性管理功能(access and mobility management function，AMF)和会话管理功能(session management function，SMF)等等。

下面对5G网络架构进行说明：

用户设备(user equipment,UE)通过接入运营商网络来访问数据网络(data network，DN)，从而使得UE能够使用数据网络上的由运营商或第三方提供的业务。

为方便说明，本申请实施例中用户终端、用户设备、终端设备、移动终端或终端等可统称为UE。即，若无特别的说明，本申请实施例后文所描述的UE均可替换为用户终端、用户设备、终端设备、移动终端或终端，当然它们之间也可互换。

接入与移动性管理功能(access and mobility management function，AMF)是3GPP网络中的一种控制面功能设备，主要负责UE接入运营商网络的接入控制和移动性管理。其中， 安全锚点功能(security anchor function，SEAF)可以部署于AMF之中，或SEAF也可能部署于不同于AMF的另一设备中，图2中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时，SEAF和AMF可合称为AMF。

会话管理功能(session management function，SMF)是3GPP网络中的一种控制面功能设备。其中，SMF主要用于负责管理UE的分组数据单元(packet data unit，PDU)会话。PDU会话是一个用于传输PDU的通道，UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。

数据网络也称为分组数据网络(packet data network，PDN)，它是位于3GPP网络之外的网络。其中，3GPP网络可接入多个DN，DN上可部署运营商或第三方提供的多种业务。

其中，统一数据管理实体(unified data management,UDM)也是3GPP网络中的一种控制面功能设备，UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、凭证(credential)和持久身份标识(subscriber permanent identifier，SUPI)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。此外，UDM还可以融合网络中的归属用户服务器(home subscriber server，HSS)和归属位置寄存器(home location register，HLR)的功能。

认证服务器功能(authentication server function，AUSF)也是3GPP网络中的一种控制面功能设备，AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。

网络开放功能(network exposure function，NEF)也是3GPP网络之中的一种控制面功能设备。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。

网络存储功能(network repository function，NRF)也是3GPP网络中的一种控制面功能设备，主要负责存储可被访问的网络功能(NF)的配置与服务资料(profile)，为其他网元提供网络功能的发现服务。

用户面功能(user plane function，UPF)是3GPP网络与DN通信的网关。

策略控制功能(policy control function，PCF)是3GPP网络中的一种控制面功能设备，用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(quality of service，QoS)、授权相关策略等。

接入网(access network，AN)是3GPP网络的一个子网络，UE要接入3GPP网络，首先经过AN。在无线接入场景下AN也称无线接入网(radio access network，RAN)。

SEPP设备作为5G核心网(5GC)的一种边界安全网关，主要作为运营商网络之间对接的代理，5G核心网的内部网络功能(NF)与漫游网络之间的信令消息通过SEPP设备转发。

3GPP网络是指符合3GPP标准的网络。其中，图2中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不局限于5G网络，还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外，在图2所示架构中的N1、N2、N3、N4、N6等分别代表相关实体或网络功能之间的参照点(reference point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。

当然，3GPP网络和非3GPP网络可能共存，5G网络的中的一些网元也可能被运用到一些非5G网络中。

结合图1和图2所示，SEPP设备作为边界安全网关，支持对传输消息进行完整性和机 密性保护，还支持IPX设备识别或修改传输消息的内容中的至少一项，其中，SEPP设备修改传输消息可为SEPP设备修改传输消息的消息头。

IPX设备可包括Diameter路由代理(diameter routing agent,DRA)设备或域名服务器(domain name server,DNS)。此外，IPX设备可以称为超文本传输协议(hyper text transfer protocol，HTTP)代理。

本申请实施例中，也可以将SEPP设备简称为SEPP(例如第一SEPP设备简称第一SEPP，第二SEPP设备简称第二SEPP，以此类推)，即SEPP和SEPP设备可混用。将IPX设备简称IPX(例如第一IPX设备简称第一IPX，第二IPX设备简称第二IPX，以此类推)，即，IPX和IPX设备可混用。

其中，当UE在不同运营商网络之间漫游时，SEPP设备的类型可以分为拜访SEPP设备(visit SEPP设备,vSEPP设备)和归属SEPP设备(home SEPP设备，hSEPP设备)。

参见图1，在SEPP设备101和SEPP设备102属于不同的运营商网络的情况下，SEPP设备101和SEPP设备102之间，可以通过N32接口连接。例如，SEPP设备101作为vSEPP设备，SEPP102作为hSEPP设备的示例下，SEPP设备101和SEPP设备102之间通过N32-C(简称N32c)接口直连，SEPP设备101和SEPP设备102之间基于N32c接口进行通信的链路即为N32c链路，该N32c链路用于在SEPP设备101和SEPP设备102之间执行初始握手和协商以进行N32消息的传输。

SEPP设备102也可以通过N32-F(简称N32f)接口连接到IPX设备，IPX设备再通过N32f接口连接到SEPP设备101。其中，SEPP设备101和SEPP设备102之间基于N32f接口进行通信的链路即为N32f链路。N32f接口用于实现网络功能103和网络功能104之间的通信。网络功能103为与SEPP设备101连接的网络功能，网络功能104为SEPP设备102连接的网络设备。

SEPP设备101和SEPP设备102之间可连接一个或多个IPX设备，本实施例对连接在SEPP设备101和SEPP设备102之间的IPX设备的数量不做限定，例如，图1所示，SEPP设备101和SEPP设备102之间依次连接IPX设备105和IPX设备106。

需明确地是，本实施例对两个连接的SEPP设备(例如图1所示的SEPP设备101和SEPP设备102)的类型的说明为可选地示例，不做限定，例如，如果按照提供服务和消费服务的角度来看，SEPP设备的类型又可以分为消费者的SEPP设备(consumer's SEPP设备，cSEPP)和生产者的SEPP设备(producer's SEPP设备,pSEPP)。其中，vSEPP设备可能是pSEPP设备而hSEPP设备可能是cSEPP设备。或vSEPP设备也可能是cSEPP设备而hSEPP设备可能是pSEPP设备。

需明确地是，在图1和图2所示的示例中，以一个5GC部署一个SEPP设备为例进行示例性说明，本实施例对一个5GC所部署的SEPP设备的数量不做限定，例如图3所示，运营商A的公共陆地移动网(public land mobile network，PLMN)中包括5GC310以及分别与5GC310连接的SEPP设备311……SEPP设备31N，本实施例对N的具体取值不做限定，只要N为大于1的正整数即可。

运营商A与多个其他运营商网络(或简称漫游伙伴)对接，其中，不同的漫游伙伴的 PLMN不同，图3所示以运营商A对应漫游伙伴1和漫游伙伴C为例进行示例性说明，其中，漫游伙伴1的PLMN包括5GC320以及分别与5GC320连接的SEPP设备321……SEPP设备32M。漫游伙伴C的PLMN包括5GC330以及分别与5GC330连接的SEPP设备331……SEPP设备33P，本实施例对M以及P的具体取值不做限定，只要M以及P分别为大于1的正整数即可。

例如，若运营商A与漫游伙伴1对接，则运营商A的SEPP设备311与漫游伙伴1的SEPP设备321之间通过N32c链路以及N32f链路进行通信。又如，若运营商A与漫游伙伴C对接，则运营商A的SEPP设备31N与漫游伙伴C的SEPP设备33P之间通过N32c链路以及N32f链路进行通信，对N32c链路以及N32f链路的说明，请详见上述所示，具体不做赘述。

基于上述网络架构，本申请实施例提供了一种通信方法，采用本实施例所示的通信方法，能够在两个SEPP设备之间执行错误报告流程的过程中，无需N32c链路和N32f链路之间的协调，有效地降低了执行错误报告流程的复杂度，提高了效率。以下结合图4所示对本申请所提供的通信方法的执行过程进行说明：

步骤401、第一SEPP设备和第二SEPP设备之间建立N32c链路以及N32f链路。

本实施例所示的第一SEPP设备和第二SEPP设备可以属于不同的运营商的PLMN，且本实施例所示的第一SEPP设备为漫游业务的请求方，而第二SEPP设备为漫游业务的响应方。

例如，本实施例以第一SEPP设备为cSEPP，而第二SEPP设备为pSEPP。又如，该第一SEPP设备为vSEPP设备，而第二SEPP设备为hSEPP设备。

需明确地是，在其他示例中，第一SEPP设备和第二SEPP设备中的“第一”、“第二”是用于区别两个不同的SEPP设备，应理解第一SEPP设备和第二SEPP设备之间是可以互换，即第一SEPP设备为漫游业务的响应方，而第二SEPP设备为漫游业务的请求方。

其次，对第一SEPP设备和第二SEPP设备之间建立N32c链路的目的进行说明：

在第一SEPP设备和第二SEPP设备之间建立N32c链路的情况下，第一SEPP设备和第二SEPP设备即可商定用于保护N32f上所传输的消息的安全机制。

再次结合下述步骤所示，对第一SEPP设备和第二SEPP设备之间建立N32c链路的过程进行说明：

步骤a1、第一SEPP设备向第二SEPP设备发送第一请求消息，该第一请求消息至少包括初始安全协商数据以及第一SEPP设备的地址。

其中，该初始安全协商数据为第一SEPP设备所支持的安全协商数据，该安全协商数据可为N32对接安全协议(protocol for N32interconnect security，PRINS)参数或传输层安全(transport layer security，TLS)参数中的至少一项。

具体地，该第一SEPP设备预先存储第二SEPP设备的地址，则在建立该第一SEPP设备和该第二SEPP设备之间的N32c链路的情况下，该第一SEPP设备即可向具有第二SEPP设备的地址的第二SEPP设备发送该第一请求消息。

可选地，该第一请求消息还可包括第一SEPP设备所属的运营商信息以及第一SEPP设备的标识等。第一请求消息中还可以携带第二SEPP设备的地址。

步骤a2、第二SEPP设备向第一SEPP设备发送第一响应消息。

该第一响应消息包括“20O”状态码以及第二SEPP设备选定的目标安全协商数据。

其中，该目标安全协商数据为该第二SEPP设备所确定的，该第一SEPP设备和该第二SEPP设备均支持的安全协商数据。

具体地，该第二SEPP设备可基于该第一请求消息所包括的该第一SEPP设备的地址，向该第一SEPP设备发送该第一响应消息。

第一SEPP设备和第二SEPP设备通过执行上述步骤a1和a2，以实现N32c链路的建立。

第一SEPP设备和第二SEPP设备通过该N32c链路，在第一SEPP设备和第二SEPP设备之间执行初始握手和协商以进行N32消息的传输，进而实现N32f链路的建立。

步骤402、第一NF向第一SEPP设备发送第一信令消息。

该第一NF与该第一SEPP设备属于同一PLMN，该第一NF通过该第一信令消息向该第二SEPP设备所属的PLMN请求漫游业务，需明确地是，本实施例对漫游业务的具体业务类型不做限定。

例如，该漫游业务可为漫游注册的业务、漫游注销的业务或漫游位置发现的业务中的任一项。

其中，漫游注册的业务是指，归属于第一SEPP设备的PLMN内的UE，移动至第二SEPP设备所属的PLMN内，则该第一信令消息用于请求将UE注册至第二SEPP的PLMN内，以便于UE使用第二SEPP设备所属的PLMN的漫游业务。

漫游注销的业务是指，UE从第二SEPP设备所属的PLMN内注销，不再使用第二SEPP设备所属的PLMN的漫游业务。

漫游位置发现的业务是指，归属于第一SEPP的PLMN内的UE，移动至第二SEPP设备所属的PLMN内，则该第一信令消息用于请求第二SEPP设备发送该UE的位置信息。

本实施例的步骤401和步骤402之间并无执行时序上的限定。

步骤403、第一SEPP设备向IPX设备发送漫游请求消息。

本实施例所示的漫游请求消息为用于向第二SEPP请求漫游业务的漫游消息。

具体地，该第一信令消息为下一代超文本传输安全协议(hyper text transfer protocol over secure/2，https/2)消息。第一SEPP设备可以将该第一信令消息转换为能够经由N32f接口传输的漫游请求消息。其中，该漫游请求消息满足N32f接口协议，以便于该漫游请求消息能够通过N32f接口进行传输。

以下对第一SEPP设备如何将第一信令消息转换为漫游请求消息的过程进行说明：

该第一SEPP设备在接收到来自第一NF的第一信令消息的情况下，该第一SEPP设备即可将该第一信令消息转换为漫游请求消息。具体地，该漫游请求消息至少包括加密后的第一信令消息、第二SEPP设备的地址以及N32f上下文标识。

具体地，该第一SEPP设备可以通过目标共享密钥(简称共享密钥)对该第一信令消息进行加密以生成该漫游请求消息，以下对该目标共享密钥进行说明：

本实施例中，该第一SEPP设备与第二SEPP设备调用安全传输层协议(transport layer security，TLS)协议栈，以在该第一SEPP设备与第二SEPP设备之间建立TLS链路。

在第一SEEP设备和第二SEPP设备之间建立了TLS链路的情况下，第一SEPP设备和第二SEPP设备之间可以利用TLS链路来进行安全通信，进而在第一SEPP设备和第二SEPP设备之间建立N32c链路以及N32f链路。对建立N32c链路以及N32f链路的具体过程，请详见步骤401所示，具体不做赘述。

在成功建立TLS链路后，第一SEPP设备和第二SEPP设备通过该TLS链路导出目标共享密钥，该目标共享密钥用于保护N32f链路上的相关消息的传输。

本实施例中，在第一SEPP设备和第二SEPP设备建立了N32f链路的情况下，第一SEPP设备和第二SEPP设备分别建立了N32f上下文。其中，第一SEPP设备所存储的该N32f的上下文至少包括N32f上下文标识符、该目标共享密钥以及第二SEPP设备的地址的对应关系。第二SEPP设备所存储的该N32f的上下文至少包括N32f上下文标识符、该目标共享密钥以及第一SEPP设备的地址的对应关系。

第一SEPP设备和第二SEPP设备基于N32f上下文，即可通过N32f链路进行消息的交互。

本实施例所示的对应关系可以通过函数关系、或表格、或映射关系等方式保存或被记录。

在该第二SEPP设备接收到该N32f上下文标识的情况下，该第二SEPP设备即可通过该N32f上下文标识对应的目标共享密钥对该加密后的第一信令消息进行解密以获取该第一信令消息。

在该第一SEPP设备已获取到该漫游请求消息的情况下，该第一SEPP通过如下所示的方式向第二SEPP设备发送该漫游请求消息。

1)若第一SEPP设备和第二SEPP设备之间的N32f链路包括一个IPX设备，则该第一SEPP设备通过N32f接口向该IPX设备发送该漫游请求消息。

具体地，该第一SEPP设备预先存储该IPX设备的地址，则该第一SEPP设备即可向具有该IPX地址的IPX设备发送该漫游请求消息。

IPX设备根据漫游请求消息所包括的第二SEPP设备的地址，向具有该第二SEPP设备的地址的第二SEPP设备发送该漫游请求消息。

2)若第一SEPP设备和第二SEPP设备之间的N32f链路包括多个IPX设备，例如，如图1所示为例，该N32f链路上包括两个IPX设备，即IPX设备105和IPX设备106。该第一SEPP设备向与该第一SEPP设备通过N32f接口连接的IPX设备105发送该漫游请求消息。

该IPX设备106通过该漫游请求消息所包括的第二SEPP设备的地址，确定用于向该第二SEPP设备发送漫游请求消息的下一跳IPX设备为IPX设备106，则该IPX设备105即可向IPX设备106发送该漫游请求消息。

IPX设备106通过漫游请求消息所包括的该第二SEPP设备的地址，向具有该第二SEPP设备的地址的第二SEPP设备发送该漫游请求消息。

以下对该漫游请求消息的具体格式进行说明，需明确地是，本实施例对该漫游请求消息的格式的说明为可选地示例，不做限定。

本实施例所示的漫游请求消息主要由请求头部和请求正文2部分组成。

其中，请求头部至少包括第一SEPP设备和第二SEPP设备之间交互消息所使用的HTTP/2的协议版本。该请求正文中包括上述漫游请求消息。

步骤404、IPX设备向第二SEPP设备发送漫游请求消息。

步骤405、第二SEPP设备确定是否能够对漫游请求消息进行处理，若是，则执行步骤406，若否，则执行步骤407。

具体地，若该第二SEPP设备确定已接收到的漫游请求消息满足如下所示的至少一项，第二SEPP设备即可确定该第二SEPP设备无法处理该漫游请求消息：

第二SEPP设备无法对该漫游请求消息进行解密、该第二SEPP设备对该漫游请求消息的完整性检测失败、该第二SEPP设备对该漫游请求消息的修改块的完整性检测失败、该第二SEPP设备对该漫游请求消息的修改块应用JSON补丁程序失败或该第二SEPP设备根据该漫游消息重建HTTP/2消息失败。

其中，第二SEPP设备无法对该漫游请求消息进行解密可以是，该第二SEPP设备根据漫游请求消息所包括的N32f上下文标识获取与N32f上下文标识对应的目标共享密钥，随后通过目标共享密钥对已加密第一信令消息进行解密，若该第二SEPP确定基于该共享密钥无法对该已加密第一信令消息进行解密，则确定第二SEPP设备无法对该漫游请求消息进行解密。

该第二SEPP设备对该漫游请求消息的完整性检测失败可以是，该第二SEPP设备对该漫游请求消息的完整性检测失败，则确定该漫游请求消息被篡改过。

该第二SEPP设备对该漫游请求消息的修改块的完整性检测失败具体是指，该漫游请求消息的修改块为漫游请求消息中出现更改的部分，该第二SEPP设备对该漫游请求消息的修改块的完整性检测失败，则确定该漫游请求消息的修改块被篡改过。

该第二SEPP设备根据该漫游请求消息重建HTTP/2消息失败具体是指，本实施例中，为实现该第二SEPP设备所属的PLMN能够实现来自第一SEPP设备的漫游请求消息所请求的漫游业务，则第二SEPP设备可以将该漫游请求消息重建为HTTP/2消息，以便于所属于第二PLMN的第二NF能够对第二信令消息进行处理，以实现第一SEPP所请求的漫游业务。可见，若第二SEPP设备无法成功的将该漫游请求消息重建为HTTP/2消息，则第二SEPP设备确定重建HTTP/2消息失败。

步骤406、第二SEPP设备将第二信令消息向第二NF发送。

在该第二SEPP设备能够对该漫游请求消息处理的情况下，该第二SEPP设备即可获取该第二信令消息，并将该第二信令消息向第二NF进行发送，从而使得第二NF根据该第二信令消息执行对应的漫游业务。

例如，若第二信令消息用于实现UE注册至第二PLMN内，则该第二NF即可将该UE注册至第二PLMN内，以便于第二PLMN向UE提供漫游业务。又如，若第二信令消息用于实现UE从第二NF所属的第二PLMN内注销，则该第二NF即可将该UE从第二PLMN内注销，从而使得第二PLMN不再向UE提供漫游业务。

步骤407、第二SEPP设备向IPX设备发送第一漫游响应消息。

本实施例中，在该第二SEPP设备确定无法对该漫游请求消息进行处理的情况下，该第 二SEPP设备即可生成第一漫游响应消息，该第一漫游响应消息为用于指示第二SEPP设备无法处理漫游请求消息的反馈消息。

具体地，该第一漫游响应消息包括第一指示消息，该第一指示消息用于指示该第二SEPP设备无法对该漫游请求消息进行处理的事件。

本实施例对该第一指示消息的具体内容不做限定，只要该第一SEPP设备和该第二SEPP设备均已确定该第一指示消息用于指示无法对漫游请求消息进行处理的事件即可。

为降低向第一SEPP设备指示第二SEPP设备无法处理漫游请求消息的复杂度，提高效率，本实施例所示通过第一SEPP设备和第二SEPP设备之间的N32f链路传输该第一漫游响应消息，可见，本实施例所示的第一漫游响应消息满足N32f接口协议，以便于第一漫游响应消息能够通过N32f接口进行传输。

本实施例中，该第二SEPP设备通过接收漫游请求消息的路径，原路返回该第一漫游响应消息，例如，如图1所示，若该第一SEPP设备101依次通过IPX设备105和IPX设备106向第二SEPP设备102发送该漫游请求消息，则该第二SEPP设备102依次通过IPX设备106和IPX设备105向第一SEPP设备101返回该第一漫游响应消息。

具体地，第二SEPP设备确定目标IPX设备，其中，该目标IPX设备为向第二SEPP设备发送该漫游请求消息的IPX设备。在本实施例中，该目标IPX设备为IPX设备106。

在第二SEPP设备向第一SEPP设备发送该第一漫游响应消息的情况下，即可将该第一漫游响应消息向该目标IPX发送，以实现将该第一漫游响应消息原路返回至第一SEPP设备的目的。可见，在目标IPX设备(即IPX设备106)接收到该第一漫游响应消息的情况下，该IPX设备106即可向IPX设备105发送该第一漫游响应消息，该IPX设备105即可向第一SEPP设备发送该第一漫游响应消息。

步骤408、IPX设备向第一SEPP设备发送第一漫游响应消息。

在该第一SEPP设备接收到该第一漫游响应消息的情况下，该第一SEPP设备即可根据该第一漫游响应消息所包括的第一指示消息确定第二SEPP设备无法对漫游请求消息进行处理。

可选地，在该第一漫游响应消息包括该第二指示消息的情况下，该第一SEPP设备可进行相应的处理，例如，若该第二指示消息用于指示第二SEPP设备无法对该漫游请求消息进行解密，则该第一SEPP设备可基于共享密钥重新对第一信令消息进行加密，以重新生成漫游请求消息，并将重新生成的漫游请求消息通过N32f链路向第二SEPP发送。

步骤409、第二SEPP向第二NF发送第一指示消息。

本实施例所示的步骤409为可选执行的步骤，若执行本步骤，则本实施例对步骤409与步骤407之间的执行时序不做限定。

在第二NF接收到该第一指示消息的情况下，即可确定第二SEPP设备无法对来自第一SEPP设备的漫游请求消息进行处理，进而确定第二SEPP设备无法实现和第一SEPP设备之间的漫游业务。

可选地，该第二SEPP还可向第二NF发送第二指示消息。其中，该第二指示消息用于指示第二SEPP设备无法处理该漫游请求消息的原因。第二NF基于该第二指示消息即可确 定第二SEPP设备无法处理该漫游请求消息的具体原因。

步骤410、第一SEPP设备向第一NF发送第一指示消息。

本步骤为可选执行的步骤。具体地，在该第一SEPP设备可从第一漫游响应消息中获取该第一指示消息，并将该第一指示消息的格式转换为https/2消息，以便于第一NF能够接收并处理该第一指示消息。

可选地，若第一漫游响应消息中包括第二指示消息，则该第一SEPP设备也可向第一NF发送该第二指示消息，具体发送过程可参见发送第一指示消息的过程，不做赘述。

采用本实施例所示的通信方法，第二SEPP设备若确定无法对来自第一SEPP设备的漫游请求消息进行处理的情况下，则该第二SEPP设备可通过N32f链路向第一SEPP设备发送用于指示第二SEPP设备无法对漫游请求消息进行处理的第一漫游响应消息。因第一漫游响应消息通过N32f链路进行传输，可见，第一漫游响应消息的传输无需占用N32c链路的资源，通过N32f链路即可实现对漫游请求消息以及第一漫游响应消息的传输，降低了第二SEPP设备向第一SEPP设备指示无法对漫游请求消息进行处理的难度，提高了效率。

而且通过N32f链路所包括的IPX设备向第一SEPP设备发送第一漫游响应消息的方式，能够提高各IPX设备的利用率，能够充分的利用N32f链路上的各IPX设备，避免了通过N32c链路传输第一漫游响应消息的过程中，IPX设备对系统资源的无效占用，提高了系统资源的利用效率，避免系统资源的浪费。

其中，本实施例对该第一漫游响应消息的具体消息格式不做限定，只要通过该第一漫游响应消息向该第一SEPP设备指示第二SEPP设备无法对漫游请求消息进行处理即可，以下结合具体示例对该第一漫游响应消息进行具体说明：

示例1

本示例所示的第一漫游响应消息主要由响应头部和响应正文2部分组成。

其中，响应头部可以包括状态码，其中，该状态码由三个十进制数字组成，第一个十进制数字定义了状态码的类型，后两个数字有分类的作用。不同的状态码代表不同的含义，本实施例所示的第一漫游响应消息所包括的状态码可为“200”或“400”具体取值在本实施例中不做限定。

该响应正文包括用于指示该第二SEPP设备无法处理该漫游请求消息的事件。

可选地，为便于该第一SEPP确定第二SEPP设备无法处理该漫游请求消息的原因，则该响应头部或响应正文还可包括第二指示消息，该第二指示消息指示该第二SEPP设备无法处理该漫游请求消息的原因，本实施例以响应正文包括该第二指示消息为例进行示例性说明。

具体地，该第二SEPP设备可预先确定不同的字段与第二SEPP设备无法处理该漫游请求消息的原因的对应关系，本实施例对各个字段所包括的内容不做限定，只要该第一SEPP设备和第二SEPP设备能够互相约定各个字段所指示的无法处理漫游请求消息的原因即可。

例如，若该第二SEPP设备确定无法对该漫游请求消息进行处理的原因为无法对该漫游请求消息进行解密，则获取用于指示无法对该漫游请求消息进行解密的第一字段，该第二SEPP设备即可将该第一字段设置于该第二指示消息中。

又如，若该第二SEPP设备确定无法对该漫游请求消息进行处理的原因为对该漫游请求消息的修改块的完整性检测失败，则获取用于指示对该漫游消息的修改块的完整性检测失败的第二字段，该第二SEPP设备即可将该第二字段设置于该第二指示消息中。

示例2

本实施例所示的该第一SEPP设备和该第二SEPP设备之间可预先约定第一漫游响应消息的格式，且该第一漫游响应消息能够经由N32f链路进行传输即可，对该第一漫游响应消息的具体内容的说明，请详见上述所示，具体不做赘述。

以下结合图5所示对本申请所提供的通信方法的另一个实施例进行说明，在图4所示的实施例中，说明了第二SEPP设备无法对漫游请求消息进行处理的情况下，第二SEPP设备如何向第一SEPP指示无法对漫游请求消息进行处理的事件的。图5所示的实施例说明了在第二SEPP设备能够成功处理该漫游请求消息的情况下，若第一SEPP设备无法对漫游响应消息进行处理，则第一SEPP设备如何向第二SEPP设备指示第一SEPP设备无法对漫游响应消息进行处理的事件的，具体说明如下：

步骤501、第一SEPP设备和第二SEPP设备之间建立N32c链路以及N32f链路。

步骤502、第一NF向第一SEPP设备发送第一信令消息。

步骤503、第一SEPP设备向IPX设备发送漫游请求消息。

步骤504、IPX设备向第二SEPP设备发送漫游请求消息。

本实施例所示的步骤501至步骤504的具体执行过程的说明，请详见图4所示的步骤401至步骤404所示，具体执行过程在本实施例中不做赘述。

步骤505、第二SEPP设备将第二信令消息向第二NF发送。

本实施例所示的步骤505的执行过程的说明，请详见图4所示的步骤406所示，具体执行过程在本实施例中不做赘述。

步骤506、第二SEPP设备向IPX设备发送第二漫游响应消息。

步骤507、IPX设备向第一SEPP设备发送第二漫游响应消息。

本实施例中，该第二漫游响应消息为用于实现该第一SEPP设备和第二SEPP设备之间的漫游消息。

该第二SEPP设备能够成功处理来自第一SEPP设备的漫游请求消息，可见，本实施例所示的该第二漫游响应消息包括第三指示消息，该第三指示消息用于指示该第二SEPP设备能够成功处理漫游请求消息。

本实施例所示的第二漫游响应消息包括该第三指示消息，本实施例所示的第二SEPP设备向第一SEPP设备发送该第二漫游响应消息的过程，请详见图4所示的步骤408所示的该第二SEPP设备向第一SEPP设备发送该第一漫游响应消息的过程，具体不做赘述。

本实施例对该第二漫游响应消息的具体格式的说明，请详见图4所示的实施例，具体在本实施例中不做赘述。

步骤508、该第一SEPP设备确定是否能够对第二漫游响应消息进行处理，若是，则执行步骤509，若否，则执行步骤510。

具体地，若该第一SEPP设备确定已接收到的第二漫游响应消息满足如下所示的至少一 项，第一SEPP设备即可确定该第一SEPP设备无法处理该漫游请求消息：

第一SEPP设备无法对该第二漫游响应消息进行解密、该第一SEPP设备对该第二漫游响应消息的完整性检测失败、该第一SEPP设备对该第二漫游响应消息的修改块的完整性检测失败、该第一SEPP设备对该第二漫游响应消息的修改块应用JSON补丁程序失败或该第一SEPP设备根据该漫游消息重建HTTP/2消息失败，对各个无法处理的情况的具体说明，请参见图4所示的实施例，具体在本实施例中不做赘述。

步骤509、第一SEPP设备向第一NF发送第三指示消息。

在该第一SEPP设备能够对该第二漫游响应消息处理的情况下，该第一SEPP设备即可获取该第三指示消息，并将该第三指示消息向第一NF进行发送，从而使得第一NF确定第二NF能够实现第一NF所请求的漫游业务，对漫游业务的说明，请详见图4所示的实施例，具体不做赘述。

步骤510、第一SEPP设备向IPX设备发送第三漫游响应消息。

本实施例中，在该第一SEPP设备确定无法对该第二漫游响应消息进行处理的情况下，该第一SEPP设备即可生成第三漫游响应消息，该第三漫游响应消息包括第四指示消息，该第四指示消息用于指示该第一SEPP设备无法对该第二漫游响应消息进行处理的事件。

对该第三漫游响应消息的具体格式的说明，请详见图4所示的第一漫游响应消息的格式的说明，具体不做赘述。

步骤511、IPX设备向第二SEPP设备发送第三漫游响应消息。

本实施例中，该第一SEPP设备通过接收第二漫游响应消息的路径，原路返回该第三漫游响应消息，例如，如图1所示，若该第二SEPP设备102依次通过IPX设备106和IPX设备105向第一SEPP设备101发送该第二漫游响应消息，则该第一SEPP设备101依次通过IPX设备105和IPX设备106向第二SEPP设备102发送该第三漫游响应消息。

具体地，第一SEPP设备存储了N32f上下文标识符、该目标共享密钥以及第二SEPP设备的地址的对应关系，该第一SEPP设备即可根据第二漫游响应消息所包括的N32f上下文标识符，确定对应的第二SEPP设备的地址。该第一SEPP设备基于该第二SEPP设备的地址，向该第二SEPP设备发送该第三漫游响应消息。

可见，在第二SEPP设备接收到该第三漫游响应消息的情况下，即可确定该第一SEPP设备无法处理第二漫游消息。

对该第四指示消息的内容以及格式的说明，请参见图4所示的实施例中的第一指示消息的说明，具体不做赘述。

为降低向第二SEPP设备指示第一SEPP设备无法处理该第二漫游响应消息的复杂度，提高效率，本实施例所示通过第一SEPP设备和第二SEPP设备之间的N32f链路传输该第三漫游响应消息，可见，本实施例所示的第三漫游响应消息满足N32f接口协议，以便于第三漫游响应消息能够通过N32f接口进行传输。

本实施例所示的步骤510至步骤511为可选执行的步骤，即在该第一SEPP设备确定无法对第二漫游响应消息进行处理，则该第一SEPP设备可向第一NF发送第三指示消息，而不向第二SEPP设备发送该第三漫游响应消息。

步骤512、第二SEPP向第二NF发送第四指示消息。

本步骤为可选执行的步骤。具体地，在该第二SEPP设备从第三漫游响应消息中解析出该第四指示消息，并将该第四指示消息的格式转换为https/2消息，以便于第二NF能够接收并处理该第四指示消息，具体处理过程，可参见图4所示的第一NF处理第一指示消息的过程，具体在本实施例中不做赘述。

采用本实施例所示的通信方法，第一SEPP设备若确定无法对来自第二SEPP设备的第二漫游响应消息进行处理的情况下，则该第一SEPP设备可通过N32f链路向第二SEPP设备发送用于指示第一SEPP设备无法对第二漫游响应消息进行处理的第三漫游响应消息。因第三漫游响应消息通过N32f链路进行传输，可见，第三漫游响应消息的传输无需占用N32c链路的资源，通过N32f链路即可实现对第三漫游响应消息的传输，降低了第一SEPP设备向第二SEPP设备指示无法对第二漫游响应消息进行处理的难度，提高了效率。

而且通过N32f链路所包括的IPX设备向第二SEPP设备发送第三漫游响应消息的方式，能够提高各IPX设备的利用率，能够充分的利用N32f链路上的各IPX设备，避免了通过N32c链路传输第三漫游响应消息的过程中，IPX设备对系统资源的无效占用，提高了系统资源的利用效率，避免系统资源的浪费。

基于图4和图5所示的实施例，以下结合图6所示对如何减少通信系统的开销的过程进行说明：

步骤601、第一SEPP设备和第二SEPP设备之间建立N32c链路以及N32f链路。

本实施例所示的步骤601的具体执行过程，请详见图4所示的步骤401所示，具体执行过程不做赘述。

步骤602、第一SEPP设备向第二SEPP设备发送释放请求消息。

具体地，本实施例中，在该第一SEPP设备和第二SEPP设备之间已成功建立N32f链路的情况下，由图4和图5所示的实施例可知，该第一SEPP设备和该第二SEPP设备之间，即可基于该N32f链路执行错误报告流程，为减少通信系统的开销，则本实施例可将N32c链路进行释放。

为实现对N32c链路释放，则该第一SEPP设备通过N32c链路向第二SEPP设备发送释放请求消息，该释放请求消息用于请求第二SEPP设备释放N32c链路。

可选地，该释放请求消息至少包括第二SEPP设备的地址以及第五指示消息，其中，该第五指示消息用于指示该第二SEPP设备释放N32c链路的事件。

步骤603、第二SEPP设备根据释放请求消息释放N32c链路。

本实施例中，在第二SEPP设备接收到该释放请求消息的情况下，即可根据第五指示消息确定对N32c链路进行释放。

具体地，该第二SEPP设备根据该释放请求消息N32c链路，并在第二SEPP设备侧清除与N32c链路相关的资源。其中，N32c链路释放之后，TLS链路也被释放了。

步骤604、第一SEPP设备释放N32c链路。

本实施例对步骤604和步骤602之间的执行时序不做限定。该第一SEPP设备可在成功建立N32f链路的情况下，释放TLS链路和N32c链路之间的连接关系，并在第二SEPP设备 侧清除与N32c链路相关的资源，以实现对N32c链路的释放。

步骤605、第一NF向第一SEPP设备发送第一信令消息。

本实施例对步骤605和步骤602至步骤604之间的执行时序不做限定。

步骤606、第一SEPP设备向IPX设备发送漫游请求消息。

步骤607、IPX设备向第二SEPP设备发送漫游请求消息。

步骤608、第二SEPP设备确定是否能够对漫游请求消息进行处理，若是，则执行步骤609，若否，则执行步骤610。

步骤609、第二SEPP设备将第二信令消息向第二NF发送。

步骤610、第二SEPP设备向IPX设备发送第一漫游响应消息。

步骤611、IPX设备向第一SEPP设备发送第一漫游响应消息。

步骤612、第二SEPP向第二NF发送第一指示消息。

步骤613、第一SEPP设备向第一NF发送第一指示消息。

本实施例所示的步骤605至步骤613的具体执行过程的说明，请详见图4所示的步骤402至步骤410所示，具体在本实施例中不做赘述。

可见，采用本实施例所示的方法，第一SEPP设备和第二SEPP设备之间可通过N32f链路执行错误报告流程，则在N32f链路建立成功的情况下，该第一SEPP设备和第二SEPP设备即可对N32c链路进行释放，从而有效地节省为维护N32c链路长连接的开销。

以下结合图7所示，对用于执行上述方法实施例所示的SEPP设备的结构进行说明：

该SEPP设备700具体包括：接收单元701、处理单元702以及发送单元703。

若该SEPP设备700作为第一SEPP设备，则，

接收单元701，用于接收来自IP交换运营商IPX设备的漫游消息，该漫游消息用于实现该第一SEPP设备和第二SEPP设备之间的漫游业务；

处理单元702，用于确定无法处理该漫游消息；

发送单元703，用于向该IPX设备发送反馈消息，该反馈消息用于指示无法处理该漫游消息。

其中，接收单元701、处理单元702和发送单元703相互配合以实现由第一SEPP设备所执行的上述实施例提供的通信方法，具体实现过程和有益效果可以参考上述方面的描述。

可选地，该处理单元702用于，在该第一SEPP设备和该第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，该第一SEPP设备释放该N32c链路，该目标共享密钥用于实现该第一SEPP设备和该第二SEPP设备之间的安全通信。

可选地，该发送单元703用于，向该IPX设备发送漫游请求消息，该漫游请求消息用于向该第二SEPP设备请求漫游业务，该漫游请求消息包括该第二SEPP设备的地址。该漫游消息为该第二SEPP设备根据该漫游请求消息生成的漫游响应消息。

可选地，该接收单元701用于，获取该反馈消息，该反馈消息包括该第二SEPP设备的地址，该反馈消息用于指示该第一SEPP设备无法处理该漫游响应消息。

可选地，该处理单元702用于，确定该漫游消息满足如下所示的至少一项，则确定该 第一SEPP设备无法处理该漫游消息：

无法对该漫游消息进行解密、对该漫游消息的完整性检测失败、对该漫游消息的修改块的完整性检测失败、对该漫游消息的修改块应用JSON补丁程序失败、或根据该漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。

可选地，该反馈消息还用于指示该第一SEPP设备无法处理该漫游消息的原因。

可选地，该反馈消息包括N32f上下文标识，该N32f上下文标识用于指示对该反馈消息进行解密的目标共享密钥。

可选地，该发送单元703还用于，向网络功能NF发送该反馈消息。

若该SEPP设备700作为第二SEPP设备，则，

该发送单元703用于，向IP交换运营商IPX设备发送漫游消息，该漫游消息用于实现该第一SEPP设备和第二SEPP设备之间的漫游业务；

该接收单元701用于，接收来自该IPX设备的反馈消息，该反馈消息用于指示该第一SEPP设备无法处理该漫游消息。

其中，接收单元701、处理单元702和发送单元703相互配合以实现由第二SEPP设备所执行的上述实施例提供的通信方法，具体实现过程和有益效果可以参考上述方面的描述。

可选地，该处理单元702用于，在该第一SEPP设备和该第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，释放该N32c链路，该目标共享密钥用于实现该第一SEPP设备和该第二SEPP设备之间的安全通信。

可选地，该接收单元701用于，接收来自该IPX设备的漫游请求消息，该漫游请求消息用于向该第二SEPP设备请求漫游业务，该漫游请求消息包括该第二SEPP设备的地址；

该处理单元702用于，根据该漫游请求消息生成漫游响应消息，该漫游响应消息为该漫游消息。

可选地，该反馈消息包括该第二SEPP设备的地址，该反馈消息用于指示该第一SEPP设备无法处理该漫游响应消息。

可选地，该漫游消息为用于向该第一SEPP设备请求漫游业务的漫游请求消息，该漫游消息包括该第一SEPP设备的地址。

可选地，该反馈消息还用于指示该第一SEPP设备无法处理该漫游消息的原因。

该原因为如下所示的至少一项：

无法对该漫游消息进行解密、对该漫游消息的完整性检测失败、对该漫游消息的修改块的完整性检测失败、对该漫游消息的修改块应用JSON补丁程序失败、或根据该漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。

可选地，该处理单元702用于，获取该N32f上下文标识对应的目标共享密钥；通过该目标共享密钥对该反馈消息进行解密。

以下结合图8和图9所示对本申请所提供的通信装置的结构进行说明，其中，图8为本申请实施例提供的通信装置的结构示例图。图9为本申请实施例所提供的通信装置中的通信单板830的接口示例图。

该通信装置主要包括机柜800以及安装在机柜内的通信单板830。其中，通信单板830主要由电路板以及安装在电路板上的芯片及电子元器件组成，可以提供通信业务。通信单板830的数量可以根据实际需要增加或减少，本实施例不限定具体的数量。

此外，机柜800还包括用于安装散热风扇的风扇框820以及用于管理机柜的机柜管理板810。机柜管理板810用于管理整个机柜的工作状态，例如管理机柜的上电状态、工作温度、告警状态等。

如图9所示，通信单板830包括多个输入/输出接口，例如用于外接显示器的显示接口832，连接通信网络的网络接口831、833，通用串行总线(Universal Serial Bus，USB)接口834。上述网络接口833可以为以太网接口，网络接口831可以为光纤接口。

此外，通信单板830中还包括连接电源的电源接口836以及用于扩展通信单板830功能的扩展插槽835。

上述通信装置通过安装不同的通信单板830实现不同的功能，例如可以实现本申请实施例中第一SEPP设备、第二SEPP设备的功能。通信单板830上安装有通用处理器/控制芯片/逻辑电路之类的控制元件。通信单板830中也可以安装有存储芯片之类的存储器。上述处理器、存储器可以和相关的通信接口配合以执行本申请实施例中可由第一SEPP设备或第二SEPP设备执行的任意一种方法的部分或全部操作。

以下结合图10所示，从实体硬件角度，对本申请所提供的SEPP设备的结构进行说明：

本实施例提供的SEPP设备可为上述方法实施例所示的第一SEPP设备或第二SEPP设备，具体执行本申请所示的通信方法的过程，请参见上述方法实施例所示，具体不做赘述。

该SEPP设备可以采用通用的计算机，其包括处理器1001、存储器1002、总线1003、输入设备1004、输出设备1005以及网络接口1006。

具体的，存储器1002可以包括以易失性和/或非易失性存储器形式的计算机存储媒体，如只读存储器和/或随机存取存储器。存储器1002可以存储操作系统、应用程序、其他程序模块、可执行代码和程序数据。

输入设备1004可以用于向SEPP设备输入命令和信息，输入设备1004如键盘或指向设备，如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线1003连接至处理器1001。

输出设备1005可以用于SEPP设备输出信息，除了监视器之外，输出设备1005还可以为其他外围输出设各，如扬声器和/或打印设备，这些输出设备也可以通过总线1003连接到处理器1001。

SEPP设备可以通过网络接口1006连接到通信网络中，例如连接到局域网(local area network，LAN)。在联网环境下，SEPP设备中存储的计算机执行指令可以存储在远程存储设备中，而不限于在本地存储。

当SEPP设备中的处理器1001执行存储器1002中存储的可执行代码或应用程序时，SEPP设备可以执行以上方法实施例中的第一SEPP设备一侧的方法操作，或可以执行上述方法实施中的第二SEPP设备一侧的方法操作。具体执行过程参见上述方法实施例，在此不 再赘述。

其中，上述计算机可以采用实际的硬件来实现，也可以采取虚拟化的硬件来实现，例如虚拟机。虚拟机提供虚拟的CPU、存储、网络等资源，这些虚拟的资源基于底层的硬件资源虚拟化来获得。

此时，SEPP设备对应的软件包可以部署在虚拟机上，SEPP设备可以称为虚拟网络功能(virtualised network function，VNF)设备，这些NFV设备可以与传统的网络功能设备具有相同的功能性行为和外部接口。例如，具有N32-F接口。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (38)

1. 一种通信方法，其特征在于，所述方法包括：

   第一安全和边界代理SEPP设备接收来自IP交换运营商IPX设备的漫游消息，所述漫游消息用于实现所述第一SEPP设备和第二SEPP设备之间的漫游业务；

   所述第一SEPP设备确定无法处理所述漫游消息，向所述IPX设备发送反馈消息，所述反馈消息用于指示所述第一SEPP设备无法处理所述漫游消息。
2. 根据权利要求1所述的方法，其特征在于，所述方法还包括：

   在所述第一SEPP设备和所述第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，所述第一SEPP设备释放所述N32c链路，所述目标共享密钥用于实现所述第一SEPP设备和所述第二SEPP设备之间的安全通信。
3. 根据权利要求1或2所述的方法，其特征在于，所述第一安全和边界代理SEPP设备接收来自IP交换运营商IPX设备的漫游消息之前，所述方法还包括：

   所述第一SEPP设备向所述IPX设备发送漫游请求消息，所述漫游请求消息用于向所述第二SEPP设备请求漫游业务，所述漫游请求消息包括所述第二SEPP设备的地址；

   所述漫游消息为所述第二SEPP设备根据所述漫游请求消息生成的漫游响应消息。
4. 根据权利要求3所述的方法，其特征在于，所述方法还包括：

   所述第一SEPP设备根据所述漫游消息确定所述第二SEPP设备的地址，所述反馈消息包括所述第二SEPP设备的地址，所述反馈消息用于指示所述第一SEPP设备无法处理所述漫游响应消息。
5. 根据权利要求1或2所述的方法，其特征在于，所述漫游消息为用于向所述第一SEPP设备请求漫游业务的漫游请求消息，所述漫游消息包括所述第一SEPP设备的地址。
6. 根据权利要求1至5任一项所述的方法，其特征在于，所述方法还包括：

   所述第一SEPP设备确定所述漫游消息满足如下所示的至少一项，则确定所述第一SEPP设备无法处理所述漫游消息：

   无法对所述漫游消息进行解密、对所述漫游消息的完整性检测失败、对所述漫游消息的修改块的完整性检测失败、对所述漫游消息的修改块应用JSON补丁程序失败、或根据所述漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。
7. 根据权利要求1至6任一项所述的方法，其特征在于，所述反馈消息还用于指示所述第一SEPP设备无法处理所述漫游消息的原因。
8. 根据权利要求1至7任一项所述的方法，其特征在于，所述反馈消息包括N32f上下文标识，所述N32f上下文标识用于指示对所述反馈消息进行解密的目标共享密钥。
9. 根据权利要求1至8任一项所述的方法，其特征在于，所述第一SEPP设备确定无法处理所述漫游消息之后，所述方法还包括：

   所述第一SEPP设备向网络功能NF发送所述反馈消息。
10. 一种通信方法，其特征在于，所述方法包括：

    第二安全和边界代理SEPP设备接收来自网络功能设备NF发送的信令消息，向IP交换运营商IPX设备发送漫游消息，所述漫游消息用于实现所述第一SEPP设备和第二SEPP设 备之间的漫游业务，所述漫游消息中包括所述信令消息；

    所述第二SEPP设备接收来自所述IPX设备的反馈消息，所述反馈消息用于指示所述第一SEPP设备无法处理所述漫游消息。
11. 根据权利要求10所述的方法，其特征在于，所述方法还包括：

    在所述第一SEPP设备和所述第二SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，所述第二SEPP设备释放所述N32c链路，所述目标共享密钥用于实现所述第一SEPP设备和所述第二SEPP设备之间的安全通信。
12. 根据权利要求10或11所述的方法，其特征在于，所述第二安全和边界代理SEPP设备向IP交换运营商IPX设备发送漫游消息之前，所述方法还包括：

    所述第二SEPP设备接收来自所述IPX设备的漫游请求消息，所述漫游请求消息用于向所述第二SEPP设备请求漫游业务，所述漫游请求消息包括所述第二SEPP设备的地址；

    所述第二SEPP设备根据所述漫游请求消息生成漫游响应消息，所述漫游响应消息为所述漫游消息。
13. 根据权利要求12所述的方法，其特征在于，所述反馈消息包括所述第二SEPP设备的地址，所述反馈消息用于指示所述第一SEPP设备无法处理所述漫游响应消息。
14. 根据权利要求10或11所述的方法，其特征在于，所述漫游消息为用于向所述第一SEPP设备请求漫游业务的漫游请求消息，所述漫游消息包括所述第一SEPP设备的地址。
15. 根据权利要求10至14任一项所述的方法，其特征在于，所述反馈消息还用于指示所述第一SEPP设备无法处理所述漫游消息的原因。
16. 根据权利要求15所述的方法，其特征在于，所述原因为如下所示的至少一项：

    无法对所述漫游消息进行解密、对所述漫游消息的完整性检测失败、对所述漫游消息的修改块的完整性检测失败、对所述漫游消息的修改块应用JSON补丁程序失败、或根据所述漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。
17. 根据权利要求10至16任一项所述的方法，其特征在于，所述反馈消息包括N32f上下文标识，所述第二SEPP设备接收来自所述IPX设备的反馈消息之后，所述方法还包括：

    所述第二SEPP设备获取所述N32f上下文标识对应的目标共享密钥；

    所述第二SEPP设备通过所述目标共享密钥对所述反馈消息进行解密。
18. 一种安全和边界保护代理SEPP设备，其特征在于，所述SEPP设备包括：

    接收单元，用于接收来自IP交换运营商IPX设备的漫游消息，所述漫游消息用于实现所述SEPP设备和另一SEPP设备之间的漫游业务；

    处理单元，用于确定无法处理所述漫游消息，通过发送单元向所述IPX设备发送反馈消息，所述反馈消息用于指示所述SEPP设备无法处理所述漫游消息。
19. 根据权利要求18所述的设备，其特征在于，

    所述处理单元还用于，在所述SEPP设备和所述另一SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，释放所述N32c链路，所述目标共享密钥用于实现所述SEPP设备和所述另一SEPP设备之间的安全通信。
20. 根据权利要求18或19所述的设备，其特征在于，所述发送单元还用于，向所述 IPX设备发送漫游请求消息，所述漫游请求消息用于向所述另一SEPP设备请求漫游业务，所述漫游请求消息包括所述另一SEPP设备的地址；所述漫游消息为所述另一SEPP设备根据所述漫游请求消息生成的漫游响应消息。
21. 根据权利要求20所述的设备，其特征在于，

    所述处理单元还用于，根据所述漫游消息确定所述另一SEPP设备的地址，所述反馈消息包括所述另一SEPP设备的地址，所述反馈消息用于指示所述SEPP设备无法处理所述漫游响应消息。
22. 根据权利要求18或19所述的设备，其特征在于，所述漫游消息为用于向所述SEPP设备请求漫游业务的漫游请求消息，所述漫游消息包括所述SEPP设备的地址。
23. 根据权利要求18至22任一项所述的设备，其特征在于，

    所述处理单元还用于，确定所述漫游消息满足如下所示的至少一项，则确定所述处理单元无法处理所述漫游消息：

    无法对所述漫游消息进行解密、对所述漫游消息的完整性检测失败、对所述漫游消息的修改块的完整性检测失败、对所述漫游消息的修改块应用JSON补丁程序失败、或根据所述漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。
24. 根据权利要求18至23任一项所述的设备，其特征在于，所述反馈消息还用于指示所述SEPP设备无法处理所述漫游消息的原因。
25. 根据权利要求18至24任一项所述的设备，其特征在于，所述反馈消息包括N32f上下文标识，所述N32f上下文标识用于指示对所述反馈消息进行解密的目标共享密钥。
26. 根据权利要求18至25任一项所述的设备，其特征在于，所述发送单元还用于，向网络功能NF发送所述反馈消息。
27. 一种安全和边界保护代理SEPP设备，其特征在于，所述SEPP设备包括接收单元、发送单元和处理单元，

    所述接收单元用于：接收来自网络功能设备NF发送的信令消息，

    所述处理单元用于：通过所述发送单元向IP交换运营商IPX设备发送漫游消息，所述漫游消息用于实现另一SEPP设备和所述SEPP设备之间的漫游业务，所述漫游消息中包括所述信令消息；

    所述接收单元还用于：接收来自所述IPX设备的反馈消息，所述反馈消息用于指示所述另一SEPP设备无法处理所述漫游消息。
28. 根据权利要求27所述的设备，其特征在于，

    所述处理单元还用于，在所述另一SEPP设备和所述SEPP设备之间已通过N32c链路交换目标共享密钥的情况下，处理单元释放所述N32c链路，所述目标共享密钥用于实现所述另一SEPP设备和所述SEPP设备之间的安全通信。
29. 根据权利要求27或28所述的设备，其特征在于，

    所述接收单元还用于，接收来自所述IPX设备的漫游请求消息，所述漫游请求消息用于向所述SEPP设备请求漫游业务，所述漫游请求消息包括所述SEPP设备的地址；

    所述处理单元还用于，根据所述漫游请求消息生成漫游响应消息，所述漫游响应消息 为所述漫游消息。
30. 根据权利要求29所述的设备，其特征在于，所述反馈消息包括所述SEPP设备的地址，所述反馈消息用于指示所述另一SEPP设备无法处理所述漫游响应消息。
31. 根据权利要求27或28所述的设备，其特征在于，所述漫游消息为用于向所述另一SEPP设备请求漫游业务的漫游请求消息，所述漫游消息包括所述另一SEPP设备的地址。
32. 根据权利要求27至31任一项所述的设备，其特征在于，所述反馈消息还用于指示所述另一SEPP设备无法处理所述漫游消息的原因。
33. 根据权利要求32所述的设备，其特征在于，所述原因为如下所示的至少一项：

    无法对所述漫游消息进行解密、对所述漫游消息的完整性检测失败、对所述漫游消息的修改块的完整性检测失败、对所述漫游消息的修改块应用JSON补丁程序失败、或根据所述漫游消息重建下一代超文本传输安全协议HTTP/2消息失败。
34. 根据权利要求27至33任一项所述的设备，其特征在于，所述处理单元还用于：

    获取所述N32f上下文标识对应的目标共享密钥；

    通过所述目标共享密钥对所述反馈消息进行解密。
35. 一种安全和边界保护代理SEPP设备，其特征在于，包括：

    至少一个处理器和相互耦合的存储器，所述存储器中存储了计算机程序代码，所述处理器调用并执行所述存储器中的计算机程序代码，使得所述SEPP设备执行如权利要求1-17任意一项所述的方法。
36. 一种计算机可读存储介质，其特征在于，

    所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时能够完成权利要求1至17任意一项所述的方法。
37. 一种通信系统，其特征在于，包括第一安全和边界代理SEPP设备和IPX设备，

    所述IPX设备用于向所述第一SEPP设备发送漫游消息，所述漫游消息用于实现所述第一SEPP设备和第二SEPP设备之间的漫游业务；

    所述第一SEPP设备配置于执行如权利要求1至9任一项所述的方法。
38. 一种通信系统，其特征在于，包括：网络功能设备NF和第二安全和边界保护代理SEPP设备，所述网络功能设备NF配置于执行向所述第二SEPP设备发送信令消息的步骤；

    所述第二SEPP设备配置于执行上述权利要求10至17任一项所述的方法。

Images