通信方法及相关装置与流程

本技术涉及通信领域，尤其涉及一种通信方法及相关装置。

背景技术：

1、在第五代(5th generation，5g)网络中，不同运营商之间的网络并不是直接相连的，运营商为了保护自身网络的安全性，会在与其他运营商的网络连接处使用5g安全网元——安全边缘保护代理(security edge protection proxies，sepp)保护自身网络的安全性。sepp是5g漫游安全架构的重要组成部分，用于用户漫游，与其他运营商的通信互通，负责运营商之间控制平面接口上的消息过滤和策略管理，主要作为运营商核心网控制面之间的边界网关。

2、网络边界的两个sepp之间通过n32接口建立连接并实施保护策略，对跨网络信令中的每个控制面消息进行处理。示例性地，业务请求方的一个网络功能网元(networkfunction，nf)需要向业务响应方的nf发送消息，如果这个消息是跨运营商的，即通过n32接口发送，sepp1(业务请求方的sepp)接收来自nf1(业务请求方的nf)的消息并将该消息发送至网际协议交换服务(internet protocol exchange service，ipx)1(业务请求方的ipx)；ipx1将对消息的修改内容附加在消息后面发送至ipx2(业务响应方的ipx)，进而发送至sepp2(业务响应方的sepp)；sepp2接收来自于ipx2的消息，并验证消息的完整性以及更新来自于nf1的原始消息，并将更新后的消息发送给nf2(业务响应方的nf)进行处理，从而完成不同运营商中nf之间的消息交互。

3、最近，ipx运营商提出了新的漫游场景，例如要求ipx能够主动拒绝nf的请求，主动发短信等。而上述功能要求ipx能够主动发消息和/或主动响应sepp转发的消息。而ipx如果直接主动发消息/或主动响应sepp转发的消息，可能会导致ipx的功能滥用。

技术实现思路

1、本技术提供一种通信方法及相关装置，以期解决ipx发送消息时的安全问题。

2、第一方面，提供了一种通信方法，该方法可应用于第二sepp。例如，可以由第二sepp执行，或者，也可以由配置在第二sepp中的部件(如芯片、芯片系统等)执行，或者，还可以由能够实现全部或部分第二sepp功能的逻辑模块或软件实现，本技术对此不作限定。

3、示例性地，该方法包括：在第一安全边缘保护代理和所述第二安全边缘保护代理的握手流程中，接收第一信息，所述第一信息指示第一网际协议交换服务被授权发送的消息的类型，所述第一安全边缘保护代理是第一运营商部署的网元，所述第二安全边缘保护代理是第二运营商部署的网元；接收来自所述第一网际协议交换服务的第一消息，所述第一网际协议交换服务是为所述第一运营商提供漫游服务的漫游中间服务商部署的网元；根据所述第一信息确定所述第一消息属于所述第一网际协议交换服务被授权发送的消息的类型；将所述第一消息发送至第二网络功能网元，所述第二网络功能网元是第二运营商部署的网元。

4、应理解，上述握手流程也可以称为参数交换流程，或是其他名称。关于握手流程的描述可以参照现有技术的描述，此处不再赘述。

5、该第一消息包括第一ipx发送的主动消息或响应消息。其中，响应消息可以是第一ipx对来自nf的请求消息所做的响应。

6、示例性地，上述第一消息包括格式化消息和第一ipx发送的主动消息，或第一消息包括格式化消息和第一ipx发送的响应消息。

7、本技术中，第二sepp通过在握手流程中接收到的第一信息，实现对第一ipx可发送的消息类型的确认，这样一来，第二sepp在接收到来自第一ipx的消息后，就可以基于握手流程中授权的消息类型验证接收到的消息类型是否是第一ipx被授权的消息类型，在验证通过后，继续将来自第一ipx的消息转发至其他网元(例如nf)进行处理。该方法有效地解决了ipx发送消息时的授权问题，避免了ipx的功能滥用。

8、结合第一方面，在第一方面的某些实现方式中，将所述第一消息发送至第二网络功能网元，包括：基于所述第一消息，得到重构的请求消息，所述重构的请求消息中携带所述第一消息以及指示信息，所述指示信息指示所述第一消息是所述第一网际协议交换服务生成的消息，和/或，所述指示信息指示所述第二网络功能网元不对所述第一消息进行令牌校验；将所述重构的请求消息发送至所述第二网络功能网元。

9、应理解，指示信息指示第二nf不对第一消息进行令牌校验是指接收到重构的请求消息的第二nf可以不用基于请求消息中的令牌进行校验，以确定是否对重构的请求消息进行处理。

10、可选地，在重构的请求消息包括指示信息时，第一消息包括的格式化消息为空格式化消息。

11、可选地，在重构的请求消息包括令牌时，第一消息包括的格式化消息为基于令牌生成的格式化消息；上述第二sepp将第一消息发送至第二nf，包括：基于第一消息，得到重构的请求消息，该重构的请求消息中携带第一消息；将重构的请求消息发送至第二nf。

12、由于第二nf可能不处理来自第一ipx的消息，因此本技术通过在第一ipx发送的第一消息中携带令牌，或是在重构的请求消息增加指示信息的方式，使得第二nf在接收到来自该第一ipx的、且携带令牌或是指示信息的消息后，可以处理该消息。

13、第二方面，提供了一种通信方法，该方法可应用于第一sepp。例如，可以由第一sepp执行，或者，也可以由配置在第一sepp中的部件(如芯片、芯片系统等)执行，或者，还可以由能够实现全部或部分第一sepp功能的逻辑模块或软件实现，本技术对此不作限定。

14、示例性地，该方法包括：在第一安全边缘保护代理和第二安全边缘保护代理的握手流程中，生成第一信息，所述第一信息指示第一网际协议交换服务被授权发送的消息的类型，所述第一安全边缘保护代理是第一运营商部署的网元，所述第一网际协议交换服务是为所述第一运营商提供漫游服务的漫游中间服务商部署的网元，所述第二安全边缘保护代理是第二运营商部署的网元；向所述第二安全边缘保护代理发送所述第一信息。

15、关于握手流程的描述可参照第一方面，此处不再赘述。

16、本技术中，第一sepp在握手流程中向第二sepp发送第一信息，实现对第一ipx可发送的消息类型的确认，从而使得第二sepp在接收到来自第一ipx的消息后，可以基于握手流程中授权的消息类型验证接收到的消息类型是否是第一ipx被授权的消息类型，在验证通过后，继续将来自第一ipx的消息转发至其他网元(例如nf)进行处理。该方法有效地解决了ipx发送消息时的授权问题，避免了ipx的功能滥用。

17、结合第二方面，在第二方面的某些实现方式中，该方法还包括：接收来自所述第一网际协议交换服务的授权请求，所述授权请求用于请求所述第一网际协议交换服务被授权发送的消息的类型和第二网络功能网元的类型，所述第二网络功能网元为所述第二运营商部署的网元；基于所述授权请求，从第二网络存储功能获取令牌，所述第二网络存储功能为所述第二运营商部署的网元；向所述第一网际协议交换服务发送所述令牌。

18、基于此方法，第一ipx接收到令牌后，可以在第一消息中携带该令牌，以使得第二nf在接收到来自第一ipx的第一消息时，能够对该消息进行处理。

19、第三方面，提供了一种通信方法，该方法可应用于第二sepp，该第二sepp是第二运营商部署的网元。例如，可以由第二sepp执行，或者，也可以由配置在第二sepp中的部件(如芯片、芯片系统等)执行，或者，还可以由能够实现全部或部分第二sepp功能的逻辑模块或软件实现，本技术对此不作限定。

20、示例性地，该方法包括：通过第二网际协议交换服务接收来自第一网际协议交换服务的第一消息，所述第一消息中包括第一令牌和第二消息，所述第一令牌指示所述第一网际协议交换服务被授权发送的消息的类型，或者指示所述第一网际协议交换服务被授权发送n条消息，所述第一网际协议交换服务是为第一运营商提供漫游服务的漫游中间服务商部署的网元，所述第二网际协议交换服务是为所述第二运营商提供漫游服务的漫游中间服务商部署的网元；根据所述第一令牌确定所述第二消息属于所述第一网际协议交换服务被授权发送的消息；向第二网络功能网元发送第三消息，所述第三消息包括指示信息和所述第二消息，所述指示信息用于指示所述第二消息为来自所述第一网际协议交换服务的消息，所述第二网络功能网元为所述第二运营商部署的网元。

21、其中，第二消息为第一ipx发送的主动消息或响应消息。

22、本技术中，第一sepp在ipx发送的消息之前，预先授权了第一ipx可发送的消息类型或消息，从而第一ipx在发送的第一消息中携带被授权的消息类型或消息，使得第二sepp能够基于第一消息中包括的被授权的消息类型或消息验证第一消息中的第二消息，在验证通过后，继续将来自第一ipx的消息转发至其他网元进行处理。该方法有效地解决了ipx发送消息时的授权问题，避免了ipx的功能滥用。而且，在将来自ipx的消息转发至其他网元时，携带了指示信息，该指示信息可以使得接收到该消息的nf直接处理该消息，解决了nf不响应ipx发送的消息的问题。

23、结合第三方面，在第三方面的某些实现方式中，所述第一消息还包括基于第二令牌生成的格式化消息，所述指示信息是所述第二令牌。

24、这种设计下，第二nf可以基于第二令牌进行令牌校验，并对接收到的来自第一ipx的消息进行处理。

25、第四方面，提供了一种通信方法，该方法可应用于第一ipx，该第一ipx是为第一运营商提供漫游服务的漫游中间服务商部署的网元。例如，可以由第一ipx执行，或者，也可以由配置在第一ipx中的部件(如芯片、芯片系统等)执行，或者，还可以由能够实现全部或部分第一ipx功能的逻辑模块或软件实现，本技术对此不作限定。

26、示例性地，该方法包括：向第一安全边缘保护代理发送第一授权请求，所述第一授权请求用于请求授权所述第一网际协议交换服务发送的消息的类型或请求授权发送n条消息，n为自然数，所述第一安全边缘保护代理是所述第一运营商部署的网元；接收来自所述第一安全边缘保护代理的第一令牌，所述第一令牌指示所述第一网际协议交换服务被授权发送的消息的类型，或者指示所述第一网际协议交换服务被授权发送n条消息；生成第一消息，所述第一消息中包括所述第一令牌和第二消息；向第二网际协议交换服务发送所述第一消息，所述第二网际协议交换服务是为第二运营商提供漫游服务的漫游中间服务商部署的网元。

27、本技术中，第一sepp在ipx发送的消息之前，预先授权了第一ipx可发送的消息类型或消息，从而第一ipx在发送的第一消息中携带被授权的消息类型或消息，使得第二sepp能够基于第一消息中包括的被授权的消息类型或消息验证第一消息中的第二消息，在验证通过后，继续将来自第一ipx的消息转发至其他网元进行处理。该方法有效地解决了ipx发送消息时的授权问题，避免了ipx的功能滥用。

28、结合第四方面，在第四方面的某些实现方式中，所述方法还包括：向所述第一安全边缘保护代理发送第二授权请求，所述第二授权请求用于请求所述第一网际协议交换服务被授权发送的消息的类型和第二网络功能网元的类型，所述第二网络功能网元为所述第二运营商部署的网元；接收来自所述第一安全边缘保护代理的所述第二令牌。

29、基于此方法，第一ipx接收到令牌后，可以在第一消息中携带第二令牌，以使得第二nf在接收到来自第一ipx的第一消息时，能够对该消息进行处理。

30、示例性地，所述第一消息还包括基于所述第二令牌生成的格式化消息。

31、第五方面，提供了一种通信方法，该方法可应用于sepp，该sepp是运营商部署的网元。例如，可以由sepp执行，或者，也可以由配置在sepp中的部件(如芯片、芯片系统等)执行，或者，还可以由能够实现全部或部分sepp功能的逻辑模块或软件实现，本技术对此不作限定。

32、示例性地，该方法包括：接收来自网际协议交换服务的第一消息，所述网际协议交换服务是为部署所述安全边缘保护代理的运营商提供漫游服务的漫游中间服务商部署的网元；向网络功能网元发送第二消息，所述第二消息包括指示信息和所述第一消息，所述指示信息用于指示所述第一消息为来自所述网际协议交换服务的消息，所述网络功能网元和所述网际协议交换服务是同一运营商部署的网元。

33、本技术中，通过向nf发送携带指示信息的第二消息，可以使得接收到该消息的nf基于指示信息处理该消息，解决了nf不响应ipx发送的消息的问题。

34、结合第五方面，在第五方面的某些实现方式中，所述方法还包括：确定所述第一消息是所述网际协议交换服务被允许发送的消息。

35、由于第一消息是ipx生成的，因此sepp需要对该消息进行验证，以避免ipx功能的滥用。

36、结合第五方面，在第五方面的某些实现方式中，所述方法还包括：接收来自所述网际协议交换服务的授权请求，所述授权请求用于请求所述网际协议交换服务被授权发送的消息的类型和网络功能网元的类型，所述网络功能网元为所述运营商部署的网元；基于所述授权请求，从网络存储功能获取令牌；向所述网际协议交换服务发送所述令牌。

37、结合第五方面，在第五方面的某些实现方式中，所述第一消息还包括基于令牌生成的格式化消息，所述指示信息是所述令牌。

38、也就是说，第二消息中包括的指示信息为令牌时，该令牌是携带在ipx发送的第一消息中的。

39、第六方面，提供了一种通信装置，包括用于执行上述任一方面中任一种可能的实现方式中的方法的模块或单元。

40、应理解，各个模块或单元可通过执行计算机程序来实现相应的功能。

41、第七方面，提供了另一种通信装置，包括处理器，所述处理器用于执行上述任一方面以及任一方面任一种可能实现方式中所述的方法。

42、所述装置还可以包括存储器，用于存储指令和数据。所述存储器与所述处理器耦合，所述处理器执行所述存储器中存储的指令时，可以实现上述各方面中描述的方法。

43、所述装置还可以包括通信接口，所述通信接口用于该装置与其它设备进行通信，示例性地，通信接口可以是收发器、电路、总线、模块或其它类型的通信接口。

44、第八方面，本技术提供了一种芯片系统，该芯片系统包括至少一个处理器，用于支持实现上述任一方面以及任一方面任一种可能实现方式中所涉及的功能，例如，例如接收或处理上述方法中所涉及的数据和/或信息。

45、在一种可能的设计中，所述芯片系统还包括存储器，所述存储器用于保存程序指令和数据，存储器位于处理器之内或处理器之外。

46、该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

47、第九方面，提供了一种计算机程序产品，所述计算机程序产品包括：计算机程序(也可以称为代码，或指令)，当所述计算机程序被运行时，使得计算机执行上述任一方面中任一种可能实现方式中的方法。

48、第十方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序(也可以称为代码，或指令)当其在计算机上运行时，使得计算机执行上述任一方面中任一种可能实现方式中的方法。

49、第十一方面，提供了一种通信系统，包括前述的第一sepp和第二sepp；或者前述的第二sepp和第一ipx。

50、在一个可能的设计中，该通信系统还可以包括本技术所提供的方案中与第一sepp和/或第二sepp，或，与第二sepp和第一ipx进行交互的其他设备。

51、应当理解的是，本技术的第六方面至第十一方面与本技术的第一方面的技术方案相对应，各方面及对应的可行实施方式所取得的有益效果相似，不再赘述。