蜂窝通信网络之间的增强互连的制作方法

1.各种示例实施例一般涉及通信网络，例如蜂窝通信系统的核心网络，并且更具体地，涉及此类网络之间的互连。


背景技术：

2.需要各种通信网络之间的互连以实现从一个网络到另一个网络的通信。此类通信需要采取适当的安全措施，安全边缘保护代理(sepp)可用于确保通信网络(例如蜂窝通信网络，如公共陆地移动网络(plmn))之间的安全互连。例如在蜂窝通信系统的公共陆地移动网络(plmn)之间，例如在第三代合作伙伴计划(3gpp)开发的网络之间，需要确保适当的安全措施。3gpp仍在发展5g，需要提供改进的方法、装置和计算机程序来增强plmn之间的互连。这种增强在其他通信网络中也可能有用。


技术实现要素：

3.根据一些方面，提供了独立权利要求的主题。一些示例实施例在从属权利要求中定义。
4.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置至少：在控制平面信令过程中，向第二公共陆地移动网络(plmn)的第二安全边缘保护代理(sepp)发送第一plmn的第一sepp的寻址信息，所述第一sepp的寻址信息将由所述第二sepp用于从所述第二plmn向所述第一plmn转发消息；以及在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的所述第二sepp的寻址信息，所述第二sepp的寻址信息将由所述第一sepp用于从所述第一plmn向所述第二plmn转发消息。
5.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
6.·
其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置通过使用所述第一sepp的寻址信息经由转发接口从所述第二sepp接收消息，和/或通过使用所述第二sepp的寻址信息通过所述转发接口向所述第二sepp发送消息；
7.·
其中，所述控制平面信令过程是安全能力协商过程；
8.·
其中，所述寻址信息包括完全合格域名或互联网协议地址。
9.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置至少：在控制平面信令过程中，向第二plmn的第二sepp发送第一plmn的第一备份或替代sepp列表的寻址信息，所述第一备份或替代sepp列表的寻址信息将由所述第二sepp用于控制平面信令和/或用于向所述第一plmn的消息转发，由此所述第一plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的信令
关联；以及在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的第二备份或替代sepp列表的寻址信息，所述第二备份或替代sepp列表的寻址信息将由所述第一sepp用于控制平面信令和/或用于向所述第二plmn的消息转发，由此所述第二plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的所述信令关联。
10.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
11.·
通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的信令关联相关的消息，和/或通过使用所述第二备份或替代sepp列表的寻址信息经由控制平面接口或转发接口向所述第二plmn发送与在所述第一sepp和所述第二sepp之间建立的所述信令关联相关的消息；
12.·
其中，所述寻址信息包括完全合格域名或互联网协议地址；
13.·
其中，所述sepp被配置为支持控制平面sepp和用户平面sepp的功能。
14.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置至少：作为第一公共陆地移动网络中的控制平面安全边缘保护代理操作，而不被配置为作为用于用户平面业务的安全边缘保护代理操作；以及与所述第一公共陆地移动网络的用户平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文，以使所述第一plmn的所述用户平面安全边缘代理能够支持在所述第一plmn和所述第二plmn之间的消息转发。
15.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
16.·
其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置通过控制平面接口与第二公共陆地移动网络的控制平面安全边缘保护代理通信，而不被配置为通过用于用户平面业务的转发接口与所述第二公共陆地移动网络通信；
17.·
其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置经由所述装置和所述用户平面安全边缘保护代理之间的直接接口或者经由数据库共享所述转发接口上下文。
18.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置至少：作为第一公共陆地移动网络中的用户平面安全边缘保护代理操作，而不被配置为作为用于控制平面业务的安全边缘保护代理操作；以及与所述第一公共陆地移动网络的控制平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文。
19.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
20.·
其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置使用由所述转发接口上下文中的所述控制平面安全边缘代理请求的寻址、安全或保护策略通过所述转发接口发送和/或接收消息；
21.·
其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个
处理核进一步使所述装置经由所述装置和所述控制平面安全边缘保护代理之间的直接接口或者经由数据库共享所述转发接口上下文。
22.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下：基于对等安全边缘保护代理的公共陆地移动网络来构建寻址信息，其中所述寻址信息将被用于通过转发接口通信；以及使用所述寻址信息通过所述转发接口与所述对等安全边缘保护代理通信。
23.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置至少：作为网络存储库功能操作；以及通过应用编程接口接收注册或发现用户平面安全边缘保护代理和/或控制平面安全边缘保护代理的请求。
24.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
25.·
其中，所述寻址信息包括完全合格域名或互联网协议地址。
26.根据本公开的一个方面，提供了一种装置，其包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置：通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的信令关联相关的消息。
27.根据本公开的一个方面，提供了一种方法，包括：在控制平面信令过程中，向第二公共陆地移动网络(plmn)的第二安全边缘保护代理(sepp)发送第一plmn的第一sepp的寻址信息，所述第一sepp的寻址信息将由所述第二sepp用于从所述第二plmn向所述第一plmn转发消息；以及在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的所述第二sepp的寻址信息，所述第二sepp的寻址信息将由所述第一sepp用于从所述第一plmn向所述第二plmn转发消息。
28.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
29.·
通过使用所述第一sepp的寻址信息经由转发接口从所述第二sepp接收消息，和/或通过使用所述第二sepp的寻址信息通过所述转发接口向所述第二sepp发送消息；
30.·
其中，所述控制平面信令过程是安全能力协商过程；
31.·
其中，所述寻址信息包括完全合格域名或互联网协议地址。
32.根据本公开的一个方面，提供了一种方法，包括：在控制平面信令过程中向第二plmn的第二sepp发送第一plmn的第一备份或替代sepp列表的寻址信息，所述第一备份或替代sepp列表的寻址信息将由所述第二sepp用于控制平面信令和/或用于向所述第一plmn的消息转发，由此所述第一plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的信令关联；以及在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的第二备份或替代sepp列表的寻址信息，所述第二备份或替代sepp列表的寻址信息将由所述第一sepp用于控制平面信令和/或用于向所述第二plmn的消息转发，由此所述第二plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的所述信令关联。
33.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
34.·
通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的所述信令关联相关的消息，和/或通过使用所述第二备份或替代sepp列表的寻址信息经由控制平面接口或转发接口向所述第二plmn发送与在所述第一sepp和所述第二sepp之间建立的所述信令关联相关的消息；
35.·
其中，所述寻址信息包括完全合格域名或互联网协议地址；
36.·
其中，所述sepp被配置为支持控制平面sepp和用户平面sepp的功能。
37.根据本公开的一个方面，提供了一种方法，包括：将装置作为第一公共陆地移动网络中的控制平面安全边缘保护代理操作，而不被配置为作为用于用户平面业务的安全边缘保护代理操作；以及通过所述装置与所述第一公共陆地移动网络的用户平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文，以使所述第一plmn的所述用户平面安全边缘代理能够支持在所述第一plmn和所述第二plmn之间的消息转发。
38.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
39.·
通过控制平面接口与第二公共陆地移动网络的控制平面安全边缘保护代理通信，而不被配置为通过用于用户平面业务的转发接口与所述第二公共陆地移动网络通信；
40.·
经由所述装置和所述用户平面安全边缘保护代理之间的直接接口或者通过数据库共享所述转发接口上下文。
41.根据本公开的一个方面，提供了一种方法，包括：将装置作为第一公共陆地移动网络中的用户平面安全边缘保护代理操作，而不被配置为作为用于控制平面业务的安全边缘保护代理操作；以及通过所述装置与所述第一公共陆地移动网络的控制平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文。
42.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
43.·
使用所述转发接口上下文中的由所述控制平面安全边缘代理请求的寻址、安全或保护策略，通过所述转发接口发送和/或接收消息；
44.·
经由所述装置和所述控制平面安全边缘保护代理之间的直接接口或者通过数据库共享所述转发接口上下文。
45.根据本公开的一个方面，提供了一种方法，包括：由装置基于对等安全边缘保护代理的公共陆地移动网络构建寻址信息，其中所述寻址信息将被用于通过转发接口通信；以及使用所述寻址信息通过所述转发接口与所述对等安全边缘保护代理通信。
46.根据本公开的一个方面，提供了一种方法，包括：将装置作为网络存储库功能操作；以及由所述装置通过应用编程接口接收注册或发现用户平面安全边缘保护代理和/或控制平面安全边缘保护代理的请求。
47.该方面的实施例可以包括来自以下列表的至少一个特征或以下特征的任意组合：
48.·
其中，所述寻址信息包括完全合格域名或互联网协议地址。
49.根据本公开的一个方面，提供了一种方法，包括：通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的信令关联相关的消息。
50.根据本公开的第五方面，提供了至少一种装置，包括用于执行至少一种所述方法的模块。
51.根据本公开的第六方面，提供了一种非暂时性计算机可读介质，其上存储有一组计算机可读指令，所述指令当由至少一个处理器执行时使装置至少执行至少所述方法之一。根据本公开的第七方面，提供了一种被配置为执行至少所述方法之一的计算机程序。
附图说明
52.图1示出了根据至少一些示例实施例的通信系统；
53.图2示出了根据至少一些示例实施例的架构；
54.图3示出了能够支持至少一些示例实施例的示例装置；
55.图4示出了根据至少一些示例实施例的方法的流程图。
具体实施方式
56.蜂窝通信网络之间的互连可以通过本文描述的过程来改进。更具体地，可以通过使用分布式架构来提供安全互连，其中不同的网络组件执行安全边缘保护代理(sepp)的不同任务。sepp的任务可以被分割，使得控制平面sepp(sepp-cp)执行例如初始握手并通过控制平面接口(如n32-c)协商安全和保护策略参数，而用户平面sepp(sepp-up)可用于通过转发接口(如n32-f)转发网络功能(nf)之间的通信。第一公共陆地移动网络(plmn)的sepp-cp和sepp-up可以进一步共享转发接口上下文，如n32-f上下文，例如以便使sepp-up能够知道已经被sepp-cp和sepp-up建立的n32-f上下文，以根据由sepp-cp与对等sepp协商的安全和保护策略并使用由sepp-c告知的对等n32-f寻址，通过n32-f向对等sepp发送消息或从对等sepp接收消息。
57.因此，用于控制平面上的业务的和用于转发接口上的业务的独立缩放与sepp-cp和sepp-up的独立定位一起被实现。此外，安全性得到增强，因为sepp-up的丢失或过载(overload)不会使sepp-cp处于危险之中。因此，可以通过分割sepp的任务来增强plmn之间的互连。
58.图1示出了根据本公开的至少一些示例实施例的通信系统。图1的示例性系统包括两个公共陆地移动网络(plmn)110和112，每个分别配备有至少一个nf 120和122。nf可以指操作性的和/或物理实体。nf可以是特定的网络节点或元素，或者由一个或多个实体执行的特定功能或功能集合，例如虚拟网络功能(vnf)。一个物理节点可被配置为执行多个nf的任务。此类nf的示例包括(无线电)接入或移动性管理功能、会话管理或控制功能、互通(interworking)、数据管理或存储功能、认证功能或这些功能中的一个或多个的组合。
59.在第3代合作伙伴计划(3gpp)中，5g核心网络的基于服务的架构(sba)的情况下，nf可以包括接入和移动功能(amf)、会话管理功能(smf)、网络切片选择功能(nssf)、网络开放功能(nef)、网络存储库功能(nrf)、统一数据管理(udm)、用户数据存储库(udr)、非结构化数据存储功能(udsf)、认证服务器功能(ausf)、策略控制功能(pcf)、应用功能(af)、操作管理和维护(oam)、以及网络数据分析功能(nwdaf)中的至少一些。
60.plmn间互连允许在服务消费nf和服务生产nf(在图1中分别称为nfc 120和nfp 122)之间的安全通信。服务通信代理(scp)150和152可以被部署用于在网络功能之间的间
接通信。scp 150和152可以是用于对消息的路由进行辅助的中间功能/元件，所述消息例如控制平面消息，如nf之间的diameter路由代理(dra)消息。
61.plmn 110和112还可以分别包括安全边缘保护代理(sepp)130和132。sepp 130和132可以被配置为作为安全边缘节点或网关来操作。sepp 130和132可以通过接口135a和135b相互通信。接口135a可以是sepp 130和132之间的控制平面接口，例如n32-c接口，而接口135b可以是sepp 130和132之间的转发接口，例如n32-f接口。控制平面接口135a可以用于执行初始握手并协商安全和保护策略参数，例如，以应用于通过转发接口135b转发超文本传输协议(http)消息。转发接口135b可以用于在应用传输层(例如，传输层安全(tls))或应用层(例如，n32互连安全协议(prins))安全保护之后，在例如nfc120和nfp122之间转发通信。nf可以使用代表性的状态传输应用编程接口(api)相互通信。这些可被称为restful api。
62.例如，在5g核心网络架构中，sepp 130和132可以是非透明代理，其支持沿拓扑隐藏的在plmn间控制平面接口上的消息过滤和监管(policing)。sepp 130和132可以充当nfc120和nfp122之间的服务中继并且将以上功能应用于plmn间信令中的每个控制平面消息。sepp 130和132之间的plmn间信令可以经由一个或多个ip交换(ipx)实体137传递。
63.作为示例，sepp、相关流程和n32参考点的详细功能可以在3gpp ts 33.501和3gpp ts 29.573中指定。n32接口可用于例如在漫游场景中访问plmn的sepp和归属plmn的sepp之间。n32接口可以在逻辑上设计为2个分开的接口，使得n32-c是控制平面接口而n32-f可以是sepp之间的转发接口。
64.例如在5g sba中，nf服务的弹性(resiliency)、可扩展性和负载平衡可以通过利用nf集的概念来支持，其中nf集合可以包括功能上等效和可互换的nf实例。可以针对所有nf类型支持nf集合的概念，并且属于一个集合的nf可以在nrf中的配置文件中注册它们所属的nf集合的标识，http客户端或scp可以利用它来发现该集合中的替代nf，例如，是否它们不能再与特定nf实例通信。
65.在一些示例实施例中，sepp可以例如被3gpp定义为有状态(stateful)网络实体，sepp例如根据3gpp ts 23.501，第5.21.0节可以被部署为分布式、冗余、无状态和可扩展的，可能并且具有nf集合概念。sepp可以配置有对等sepp完全合格域名(fqdn)，并使用相同的fqdn通过控制平面接口(如n32c)和转发接口(如n32f)创建连接。但是，这样的解决方案会导致各种问题。
66.通常，应该启用使用分布式架构的实现，例如，开放针对n32-c和n32-f连接的不同sepp端点，以及针对不同n32-c连接的不同n32-f端点。例如，有可能sepp具有针对控制平面接口(如n32c)的相比于转发接口(如n32f)不同的fqdn，从而使得端点可被分开定位和缩放。此外，应基于plmn之间的业务分开支持来自n32-c和其他n32-f连接的独立业务负载共享。因此，应该需要一个解决方案，通过n32-c接口与远程sepp协商转发接口的fqdn。
67.此外，远程sepp应该能够支持一个plmn的多个标识(identity)，并且所有支持的plmn标识，如plmn id1、plmn id2、plmn id3，可以经由能力协商消息返回到发起(initiating)sepp。由于sepp的fqdn可以基于plmn的标识来构建，因此应该有一种解决方案，用于通过接收到的plmn标识(如plmn id1、plmn id2、plmn id3)来构建对等sepp n32f的转发接口的fqdn。
68.此外，支持和连接多个plmn的漫游集线器(hub)可以在即将到来的3gpp版本中被引入。这样的漫游集线器可能需要支持分开的转发接口，例如n32-f(fqdn)服务。例如，漫游集线器可能需要处理来自100多个plmn的业务。因此，对控制平面接口和转发接口使用相同的fqdn配置可能不足以进行漫游集线器部署。如果发起sepp与漫游集线器协商用于转发平面接口的fqdn，则漫游集线器应该能够通过转发平面接口将用户平面业务定向到漫游集线器处负载较小的服务实例或最佳定位的服务实例，例如到更接近对等sepp的服务。
69.在没有进一步增强的情况下，经由nrf的nf发现过程可能不适用于发现漫游伙伴的plmn的sepp，因为它可能需要在发现远程sepp之前向远程plmn发送nf发现请求。因此，nf发现请求需要在控制平面接口和转发平面接口连接建立之前被发送，这是不可能的。此外，给定plmn的sepp应该能够通过控制平面接口向远程plmn的sepp通知与其共享sepp上下文的替代sepp。因此，当nf或scp需要发现与其本地sepp不同的另一个sepp(即来自同一plmn的sepp)时，sepp应该能够例如通过n32-c和n32-f接口跨plmn提供支持。此外，如果执行控制平面握手过程(如n32-c握手过程)的sepp操作失灵(例如故障、缩减(scale-in))，则应该可以避免通过转发接口的业务转发的中断。
70.此外，应当支持分离用于控制平面和转发接口的sepp功能，以实现用于控制平面接口(小业务量)的sepp-cp和用于转发接口(高业务量)的sepp-up的独立缩放。此外，应该启用用于控制平面接口(例如中央)的sepp-cp和用于转发接口的sepp-up的独立定位(例如在不同plmn边缘位置(如华西、华东、华北)处的多个实例)。此外，用于转发接口上业务的sepp的丢失和/或过载不应使sepp面临针对控制平面接口上业务的风险，该风险可能会导致所有转发接口和关联连接中断。
71.此外，控制平面接口和转发接口上的业务应该有sepp冗余，从而使得用于给定控制平面接口(如n32-c)上下文的sepp的丢失不会导致所有转发平面接口以及与此sepp建立的关联连接中断。类似地，用于给定转发接口连接(如n32-f)的sepp的丢失不应导致所有控制平面接口上的传输的中断。对于给定的控制平面接口连接，还应该可以例如通过在两个plmn之间仅协商一次安全策略跨多个转发接口连接之间平衡负载。此外，用于转发接口上的业务和/或控制平面接口上的业务的sepp的动态实例化(instantiation)/去实例化(de-instantiation)应该是可能的，而无需重新协商安全策略。
72.因此，本公开的实施例提供了分离sepp功能的概念，其中sepp控制平面(控制平面接口，如n32-c)和sepp用户平面(转发接口，n32-f)被分离用于独立的弹性、缩放、定位，从而增强plmn之间的互连。根据一些示例实施例，可以提供控制平面接口扩展以使得能够通告和更新用于控制平面接口和/或转发接口的替代sepp的列表。在一些示例实施例中，提出了一种用于基于plmn的所协商标识来构建转发接口的fqdn的解决方案。
73.图2示出了根据至少一些示例实施例的架构。更具体地，图2示出了第一plmn(诸如图1中所示的plmn 110)的第一控制平面sepp(sepp-cp)230a1和第二sepp-cp 230a2，以及第一plmn的第一用户平面sepp(sepp-up)230b1和第二sepp-up 230b2。图2还示出了第二plmn(例如图1中所示的plmn 112)的第一sepp-cp 232a1、第二sepp-cp 230a2、第一sepp-up 232b1和第二sepp-cp 232b2。例如，第一plmn的第一sepp-cp 230a1和第一sepp-up 230b1可以一起执行图1所示的seppc 130的功能，而第二plmn的第一sepp-cp 232a1和第一sepp-up 232b1可以一起执行seppp 132的功能。
74.因此，用于控制平面的sepp(如n32-c接口)可以与用于用户平面的sepp(如n32-f接口)分开，以用于独立的缩放、弹性和定位。在一些示例实施例中，sepp-cp和sepp-up可以具有set概念的弹性支持。set概念可以指一个sba术语，通过它可以实现弹性。例如，同一set的nf/sepp实例可以共享上下文，从而使得如果任何所述实例出现问题(down)，则set的另一个nf/sepp实例可以接管。也就是说，nf/sepp set可以是一组功能等效且可互换的nf/sepp，它们共享上下文数据，以实现可扩展性、弹性和负载共享。
75.一个plmn的sepp-cp和sepp-up可以共享相同的转发接口上下文，例如n32-f上下文。例如，第一sepp-cp 230a1可以被配置为作为第一plmn中的控制平面sepp操作，而不被配置为作为用于用户平面的sepp操作。第一sepp-cp 230a1可以进一步与第一plmn的用户平面sepp(如第一sepp-up 230b1和/或第二sepp-up 230b2)共享到第二plmn中的至少一个其他sepp(如第一sepp-up 232b1和/或第二sepp-up 232b2)的转发接口上下文(如n32-f)。此外，第一sepp-cp230a1可以通过控制平面接口(如n32-c)与第二plmn的控制平面sepp(如第一sepp-cp 232a1和/或第二sepp-cp 232a2)进行通信，而无需配置为与用于用户平面的第二plmn通信。
76.类似地，第一sepp-up 230b1可以被配置为作为第一plmn中的用户平面sepp操作，而不被配置为作为用于控制平面的sepp操作，并且与第一plmn的控制平面sepp(如第一sepp-cp 230a1和/或第二sepp-cp 230a2)共享到第二plmn中的至少一个其他sepp的转发接口上下文。
77.第一plmn的sepp-up(例如第一sepp-up 230b1和/或第二sepp-up 230b2)可以通过转发接口进行通信，其间涉及一个或多个ipx服务器137。也就是说，在路径中存在ipx 137的情况下，在第一plmn的一侧(在plmn a侧)可以有多个ipx 137，并且plmn a的每个sepp用户平面实例可以独立地选择ipx。类似地，第二plmn侧(plmn b侧)可以有多个ipx服务器137，并且plmn b的每个sepp用户平面实例可以独立选择ipx。
78.转发接口上下文(如在n32-c连接建立期间创建的n32-f上下文)的共享可以通过例如第一sepp-cp 230a1和第一sepp-up 230b1之间的新接口实现(例如新的api)。也就是说，第一sepp-cp 230a1可以经由第一sepp-cp 230a1和第一sepp-up 230b1之间的直接接口共享转发接口上下文。
79.替代地，转发接口上下文的共享可以通过第一sepp-cp 230a1和第一sepp-up 230b1访问相同的转发接口上下文(例如使用udsf或udr数据库)来实现。例如，第一sepp-cp 230b1可以在数据库中创建转发接口上下文，并且udsf可以关于新的、修改的或释放的转发接口上下文来通知第一sepp-up 230b1。替代地或附加地，第一sepp-up 230b1可以从udsf检索转发上下文。也就是说，第一sepp-cp 230a1可以经由数据库与第一sepp-up 230b1共享转发接口上下文，并且第一sepp-up230b1可以从数据库接收关于新的、修改的或释放的转发接口上下文的通知。
80.在一些示例实施例中，nrf api(用于注册nf配置文件和发现nf)可以被扩展以实现sepp-cp和/或sepp-up的注册和发现。此类扩展的nrf api可由例如nfc或scp用来发现plmn间业务的本地sepp-up，或由sepp-cp用来发现sepp-up。
81.在一些示例实施例中，sepp之间的控制平面接口上的消息交换可以被扩展以能够通告和更新分别用于控制平面接口和/或转发接口(例如n32-c和/或n32-f)的替代sepp的
列表。
82.在一些示例实施例中，可以通过通告与n32-c连接相关联的sepp-up列表来扩展n32-c握手过程。例如，在n32-c安全能力协商过程中，新的属性，sepp-up列表(例如，seppuplist)可以被添加到请求和响应中。也就是说，例如第一sepp-cp 230a1可以在控制平面安全能力协商过程期间发送第一plmn(plmn a)的用户平面sepp-up列表，该列表包括例如第一sepp-up 230b1和第二sepp-up 230b2。替代地或附加地，在控制平面安全能力协商过程期间，第一sepp-cp 230a1可以接收第二plmn(plmn b)的sepp-up列表，该列表包括例如第一sepp-up232b1和第二sepp-up 232b2。
83.例如，请求(例如，secnegotiatereqdata)和响应(例如，secnegotiaterspdata)可以在3gpp ts 29.573中的表6.1.5.2.2-1、6.1.5.2.3-1中定义，并且包括与sepp-up列表相关的属性，如表1所示。
84.表1用户平面sepp列表
[0085][0086]
替代地或附加地，在n32-c安全能力协商过程中，可以将新属性，即用户平面sepp的fqdn(seppupsrvfqdn)添加到请求和响应两者。即，例如第一sepp-cp 230a1可以在控制平面安全能力协商过程期间发送用户平面sepp的fqdn，包括例如第一sepp-up 230b1或第二sepp-up 230b2的fqdn。替代地或附加地，第一sepp-cp 230a1可以在控制平面安全能力协商过程期间接收用户平面sepp的fqdn，包括例如第一sepp-up 232b1或第二sepp-up 232b2的fqdn。
[0087]
在一些示例实施例中，用户平面sepp的fqdn可以包括服务fqdn(可能需要域名系统(dns)，服务srv，解析)，其可以被添加到请求(secnegotiatereqdata)和/或响应(secnegotiaterspdata)。具有dns解析的seppupsrvfqdn(即sepp-up的fqdn)可以解析为用户平面sepp的fqdn。
[0088]
在一些示例实施例中，替代的sepp-cp可以被通告用于控制平面接口上的连接，如n32-c连接。例如，在n32-c安全能力协商过程中，可以在请求和响应中添加新的属性，备份sepp-cp列表(backupseppcplist)。即，例如第一sepp-cp 230a1可以在控制平面安全能力协商过程期间发送备份控制平面sepp-cp的列表，该列表包括例如第二sepp-cp 230a2。替代地或附加地，在控制平面安全能力协商过程期间，第一sepp-cp 230a1可以接收备份控制平面sepp-cp的列表，该列表包括例如第一sepp-cp 232a1和/或第二sepp-cp 232a2。
[0089]
例如，请求(例如，secnegotiatereqdata)和响应(例如，secnegotiaterspdata)可以在3gpp ts 29.573中在表6.1.5.2.2-1和6.1.5.2.3-1中定义，并且包括与备份控制平面sepp列表相关的属性，如表2所示。
[0090]
表2备份控制平面sepp列表
[0091][0092]
替代地或附加地，在n32-c安全能力协商过程中，新属性，备份控制平面sepp的fqdn(backupseppcpsrvfqdn)可以被添加到请求和响应两者。也就是说，例如，在控制平面安全能力协商过程期间，第一sepp-cp 230a1可以发送备份sepp-cp的fqdn，包括例如第二sepp-cp 230a2的fqdn。替代地或附加地，在控制平面安全能力协商过程期间，第一sepp-cp 230a1可以接收备份sepp-cp的fqdn，该列表包括例如第一sepp-cp 232a1和/或第二sepp-cp 232a2的fqdn。
[0093]
在一些示例实施例中，备份控制平面sepp的fqdn可以包括服务fqdn(可能需要dns srv解析)，其可以被添加到请求(secnegotiatereqdata)和/或响应(secnegotiaterspdata)。具有dns解析的backupseppcpsrvfqdn(即备份sepp-cp的fqdn)可以解析为备份控制平面sepp的fqdn。
[0094]
在一些示例实施例中，对于支持sepp-cp和sepp-up功能两者的sepp，可以通告用于控制平面接口(例如n32-c连接)和转发接口(例如n32-f连接)的替代sepp。即，例如第一sepp-cp 230a1可以通告第一plmn的sepp，如第一plmn 110的seppc 130，其中所述sepp可以被配置为支持控制平面sepp和用户平面sepp的功能。
[0095]
例如，在n32-c安全能力协商过程中，可以向请求和响应两者添加新属性，备份sepp列表(backupsepplist)。也就是说，例如第一sepp-cp 230a1可以在控制平面安全能力协商过程期间发送备份sepp-cp列表，该列表包括例如被配置为支持控制平面和用户平面两者的sepp 130。替代地或附加地，第一sepp-cp 230a1可以在控制平面安全能力协商过程期间接收备份sepp列表，该列表包括例如被配置为支持控制平面和用户平面的sepp 132。
[0096]
例如，请求(例如，secnegotiatereqdata)和响应(例如，secnegotiaterspdata)可以在3gpp ts 29.573中的表6.1.5.2.2-1和6.1.5.2.3-1中定义，并且包括与备份sepp列表相关的属性，如表3所示。
[0097]
表3备份sepp列表
[0098][0099]
替代地或附加地，在n32-c安全能力协商过程中，可以将新属性，备份sepp的fqdn(backupseppsrvfqdn)，添加到请求和响应两者。也就是说，例如，第一sepp-cp 230a1可以在控制平面安全能力协商过程期间发送备份sepp的fqdn，如sepp 130的fqdn。替代地或附加地，第一sepp-cp 230a1可以在控制平面安全能力协商过程期间接收备份sepp的fqdn，如sepp 132的fqdn。具有dns解析的backupseppsrvfqdn(即备份sepp-cp的fqdn)可以被解析为支持sepp-cp和sepp-up功能两者的备份sepp的fqdn。
[0100]
在一些示例实施例中，支持sepp-cp和sepp-up功能的替代sepp可以在不需要将
sepp分离为sepp-cp和sepp-up的情况下被通告，即，它是对没有这种分离的架构的有用增强。一个要求可能是来自相同plmn的sepp共享相同的转发上下文，如n32-f上下文。
[0101]
当sepp已通告替代sepp、sepp-up和/或sepp-cp时，另一个远程sepp可以通过控制平面接口和/或用户平面接口随时向任何通告的sepp接收和发送业务，无需通过控制平面接口重新建立连接(如n32-c连接)以及重新协商安全和保护策略。
[0102]
在一些示例性实施例中，可以将以下文本或其一部分添加到例如3gpp ts 23.003，例如，作为新的第28.3.2.2.x节，sepp n32f fqdn：
[0103]
·
sepp n32-f完全合格域名(sepp n32-ffqdn)包含运营商标识符，该标识符应唯一标识sepp所在的plmn。sepp n32-ffqdn由七个标签组成。最后两个标签应为“3gppnetwork.org”。第三和第四个标签一起应唯一标识plmn。前两个标签应为“sepp.n32f”。n3iwf fqdn的结果将是：
[0104]
o“sepp.n32f.mnc《mnc》.mcc《mcc》.pub.3gppnetwork.org”[0105]
·
如果mnc中只有2个有效数字，则应在左侧插入一位“0”，以填充sepp n32-f fqdn中mnc的3个数字的编码。
[0106]
·
例如，用于mcc 345和mnc 12的基于运营商标识符的sepp n32-f fqdn在dns中编码为：
[0107]
o“sepp.n32f.mnc012.mcc345.pub.3gppnetwork.org”。
[0108]
·
基于从远程sepp接收到的plmn id，sepp应基于上述定义的规则构建对等sepp n32f fqdn。
[0109]
因此，本公开的实施例例如通过将sepp功能分离为sepp-cp(例如，用于n32-c业务)和sepp-up(例如，用于n32-f业务)，改进了蜂窝通信网络之间的互连。这种分离的优点至少包括以下几点：
[0110]
·
sepp功能的所述分离允许用于针对小业务的控制平面接口(如n32-c)的sepp-cp和用于针对高业务的转发接口(如n32-f)的sepp_up的独立缩放；
[0111]
·
所述sepp功能的分离允许在不同plmn边缘位置(分布式)的多个实例中独立定位用于控制平面接口(例如中央)的sepp-cp和用于转发接口的sepp-up。例如，用于n32-c的sepp-cp可能在华中，而用于n32-f的sepp-up可能在不同的plmn边缘位置，如华西、华东、华北等；
[0112]
·
在没有sepp功能分离的情况下，sepp-up的丢失和/或过载将导致所有转发接口连接中断。但是，如果sepp功能被分离，则sepp-up的丢失和/或过载不会使sepp-cp面临风险；
[0113]
·
所述sepp功能的分离使得能够例如针对n32-c和/或n32-f业务进行sepp冗余。
[0114]
根据一些示例实施例，用于给定控制平面接口上下文的sepp的丢失不会导致与该sepp建立的所有控制平面接口连接的中断，并且用于给定转发接口连接的sepp的丢失不会导致中断转发接口传输。此外，可以使得能够进行针对给定控制平面接口连接的跨多个转发接口连接的负载平衡，两个plmn之间的安全策略仅协商一次。
[0115]
根据一些示例实施例，可以使得能够进行针对转发接口上的业务和/或控制平面接口上的业务的sepp的动态实例化和/或去实例化，而不需要重新协商安全策略。此外，分布式sepp架构是可能的，并且转发接口的fqdn可以与控制平面接口的fqdn分开。在一些示
例实施例中，可以通过控制平面接口协商转发接口的fqdn。
[0116]
图3示出了能够支持至少一些示例实施例的示例装置。示出的是设备300，其可以包括例如第一plmn的sepp-cp 230a1或230a2、第一plmn的sepp-up 230b1或230b2、或控制其功能的设备。包括在设备300中的是处理器310，其可以包括例如单核或多核处理器，其中单核处理器包括一个处理核，而多核处理器包括多于一个处理核。处理器310通常可以包括控制设备。处理器310可以包括一个以上的处理器。处理器310可以是控制设备。处理器310可以包括至少一个专用集成电路(asic)。处理器310可以包括至少一个现场可编程门阵列(fpga)。处理器310可以包括例如intel xeon处理器。处理器310可以是用于在设备300中执行方法步骤(例如确定、使得发送和使得接收)的模块。处理器310可以至少部分地由计算机指令配置为执行动作。
[0117]
处理器可以包括电路，或者被构成为一个或多个电路，一个或多个电路被配置为执行根据本文描述的示例实施例的方法的阶段。如在本技术中所使用的，术语“电路”可以指以下的一个或多个或所有：(a)纯硬件电路实施方式(例如仅采用模拟和/或数字电路的实施方式)和(b)硬件电路和软件的组合，例如(如适用)：(i)模拟和/或数字硬件电路与软件/固件的组合，以及(ii)具有软件(包括数字信号处理器)的硬件处理器的任何部分、软件和存储器，其共同工作以使得诸如手机或服务器之类的设备执行各种功能，以及(c)需要软件(例如固件)用于操作的硬件电路和/或处理器(例如微处理器或微处理器的一部分)，但该软件在不需要它用于操作时可能不存在。
[0118]
电路的这种定义适用于该术语在本技术中(包括在任何权利要求中)的所有使用。作为另一示例，如在本技术中使用的，术语电路还覆盖仅硬件电路或处理器(或多个处理器)的实施方式，或硬件电路或处理器及其随附软件和/或固件的一部分的实施方式。例如，在适用于特定权利要求元素的情况下，术语电路还覆盖用于移动设备的基带集成电路或处理器集成电路，或服务器、蜂窝网络设备或其他计算或网络设备中的类似集成电路。
[0119]
设备300可以包括存储器320。存储器320可以包括随机存取存储器和/或永久存储器。存储器320可以包括至少一个ram芯片。存储器320可以包括例如固态、磁、光和/或全息存储器。存储器320可以至少部分地由处理器310访问。存储器320可以至少部分地被包括在处理器310中。存储器320可以是用于存储信息的模块。存储器320可以包括处理器310被配置为执行的计算机指令。当被配置为使处理器310执行特定动作的计算机指令被存储在存储器320中时，并且设备300整体被配置为使用来自存储器320的计算机指令在处理器310的指导下运行，处理器310和/或其至少一个处理核可以被认为被配置为执行所述特定动作。存储器320可以至少部分地被包括在处理器310中。存储器320可以至少部分地在设备300外部，但对于设备300是可访问的。
[0120]
设备300可以包括发射机330。设备300可以包括接收机340。发射机330和接收机340可以被配置为根据至少一个蜂窝标准(例如由3gpp定义的标准)分别发送和接收信息。发射机330可以包括一个以上的发射机。接收机340可以包括一个以上的接收机。发射机330和/或接收机340可以被配置为根据合适的通信标准操作。
[0121]
设备300可以包括用户接口ui 350。ui 350可以包括显示器、键盘、触摸屏、被布置成通过使设备300振动来向用户发信号的振动器、扬声器和麦克风。用户可能能够经由ui 350操作设备300，例如以配置设备300和/或其运行的功能。
[0122]
处理器310可以配备有发射机，该发射机被布置成将来自处理器310的信息经由设备300内部的电导线输出到设备300中包括的其他设备。这样的发射机可以包括串行总线发射机，其被布置成例如经由至少一根电引线将信息输出到存储器320以存储在其中。作为串行总线的替代，发射机可以包括并行总线发射机。同样，处理器310可以包括接收机，该接收机被布置为在处理器310中经由设备300内部的电导线从设备300中包括的其他设备接收信息。这样的接收机可以包括串行总线接收机，其被布置为例如经由至少一根电引线从接收机340接收信息用于在处理器310中处理。作为串行总线的替代，接收机可以包括并行总线接收机。
[0123]
设备300可以包括图3中未示出的另外的设备。在一些示例实施例中，设备300缺少至少一个上述设备。例如，设备300可能没有ui 350。
[0124]
处理器310、存储器320、发射机330、接收机340和/或ui 350可以通过设备300内部的电引线以多种不同方式互连。例如，上述设备中的每一个可以分开连接到设备300内部的主总线，以允许设备交换信息。然而，如本领域技术人员将理解的，这仅是一个示例，并且在不脱离本公开的范围的情况下，可以根据示例实施例选择互连上述设备中的至少两个的各种方式。
[0125]
图4是根据至少一些示例实施例的第一方法的流程图。所示出的第一方法的阶段可以由例如sepp的装置(如第一plmn的sepp-cp，230a1或230a2)执行，或者由被配置为控制其功能的控制设备执行(可能当安装在其中时)。
[0126]
第一方法可以包括：在步骤410，在控制平面信令过程中向第二公共陆地移动网络(plmn)的第二安全边缘保护代理(sepp)发送第一plmn的第一sepp的寻址信息，所述寻址信息将被所述第二sepp用于从所述第二plmn向所述第一plmn转发消息，以及在控制平面信令过程中从所述第二plmn的所述第二sepp接收所述第二plmn的所述第二sepp的寻址信息，所述寻址信息将被所述第一sepp用于从所述第一plmn向所述第二plmn转发消息。
[0127]
应当理解，公开的示例实施例不限于本文公开的特定结构、工艺步骤或材料，而是扩展到相关领域的普通技术人员将认识到的其等同物。还应当理解，本文中使用的术语仅用于描述特定示例实施例的目的而不旨在限制。
[0128]
贯穿本说明书对一个示例实施例或示例实施例的引用意味着结合该示例实施例描述的特定特征、结构或特性被包括在至少一个示例实施例中。因此，贯穿本说明书各处出现的短语“在一个示例实施例中”或“在示例实施例中”不一定都指代相同示例实施例。在使用术语例如大约或基本上提及数值的情况下，还公开了准确的数值。
[0129]
如本文所用，为方便起见，多个项目、结构元素、组成元素和/或材料可以呈现在公共列表中。但是，这些列表应被解释为好像该列表中的每个成员都被单独标识为单独且唯一的成员。因此，在没有相反指示的情况下，不应仅根据它们在共同组中的介绍将此类列表中的任何单个成员解释为事实上等同于同一列表中的任何其他成员。此外，各种示例实施例和示例连同其各种组件的替代方案可在本文中被提及。应当理解，此类示例实施例、示例和替代方案不应被解释为彼此事实上的等同物，而是应被视为单独自主的表示。
[0130]
在示例实施例中，例如第一plmn的sepp-cp 230a1或230a2、第一plmn的sepp-up 230b1或230b2的装置，或者控制其功能的设备，可以包括用于执行上述示例实施例的模块及其任何组合。
[0131]
在示例实施例中，计算机程序可以被配置为引起根据上述示例实施例及其任何组合的方法。在示例性示例实施例中，体现在非暂时性计算机可读介质上的计算机程序产品可以被配置为控制处理器执行包括上述示例实施例及其任何组合的过程。
[0132]
在示例实施例中，例如第一plmn的sepp-cp 230a1或230a2、第一plmn的sepp-up 230b1或230b2的装置，或者控制其功能的设备，可以包括至少一个处理器和至少一个包括计算机程序代码的存储器，其中该至少一个存储器和计算机程序代码被配置为与该至少一个处理器一起使该装置至少执行上述示例实施例及其任何组合。
[0133]
此外，在一个或多个示例实施例中，可以以任何合适的方式组合所描述的特征、结构或特性。在前面的描述中，提供了许多具体细节，例如长度、宽度、形状等的示例，以提供对本公开的示例实施例的透彻理解。然而，相关领域的技术人员将认识到，可以在没有一个或多个特定细节的情况下或者利用其他方法、组件、材料等来实施本公开。在其他情况下，公知的结构、材料或操作未被详细显示或描述以避免模糊公开的方面。
[0134]
虽然前述示例说明了一个或多个特定应用中的示例实施例的原理，但是对于本领域的普通技术人员来说显而易见的是，可以在不发挥创造性能力并且不背离本公开的原则和概念的情况下对实施方式的形式、用途和细节进行许多修改。因此，除了由下面阐述的权利要求之外，不意图限制本公开。
[0135]
动词“包括”和“包含”在本文件中用作开放式限制，既不排除也不要求存在未列举的特征。除非另有明确说明，否则从属权利要求中记载的特征可相互自由组合。此外，应当理解，贯穿本文件的“一”或“一个”，即单数形式的使用不排除复数。
[0136]
工业实用性
[0137]
至少一些示例性实施例至少在5g核心网络中找到了工业应用，其中希望实现网络之间的互连，并且将来也可能在其他核心网络中实现互连。
[0138]
缩略语列表
[0139]
3gpp 第三代合作伙伴计划
[0140]
aef 应用开放功能
[0141]
af 应用功能
[0142]
amf 访问和移动功能
[0143]
api 应用编程接口
[0144]
ausf 认证服务器功能
[0145]
dns 域名系统
[0146]
dra diameter路由代理
[0147]
fqdn 完全合格域名
[0148]
ipx ip交换
[0149]
nef 网络开放功能
[0150]
nf 网络功能
[0151]
nfc nf消费者
[0152]
nfp nf生产者
[0153]
nrf 网络存储库功能
[0154]
nssf 网络切片选择功能
[0155]
nwdaf 网络数据分析功能
[0156]
oam 运营管理和维护
[0157]
pcf 策略控制功能
[0158]
plmn 公共陆地移动网络
[0159]
prins n32互连安全协议
[0160]
qos 服务质量
[0161]
sba 基于服务的架构
[0162]
scp 服务通信代理
[0163]
sepp 安全边缘保护代理
[0164]
sepp-cp 控制平面sepp
[0165]
sepp-up 用户平面sepp
[0166]
smf 会话管理功能
[0167]
srv 服务
[0168]
tls 传输层安全
[0169]
udm 统一数据管理
[0170]
udr 用户数据存储库
[0171]
udsf 非结构化数据存储功能
[0172]
vnf 虚拟网络功能引用标记列表
[0173]
[0174]

技术特征：
1.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-在控制平面信令过程中，向第二公共陆地移动网络plmn的第二安全边缘保护代理sepp发送第一plmn的第一sepp的寻址信息，所述第一sepp的寻址信息将由所述第二sepp用于从所述第二plmn向所述第一plmn转发消息；以及-在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的所述第二sepp的寻址信息，所述第二sepp的寻址信息将由所述第一sepp用于从所述第一plmn向所述第二plmn转发消息。2.根据权利要求1所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-通过使用所述第一sepp的寻址信息经由转发接口从所述第二sepp接收消息；和/或-通过使用所述第二sepp的寻址信息经由所述转发接口向所述第二sepp发送消息。3.根据权利要求1或权利要求2所述的装置，其中：-所述控制平面信令过程是安全能力协商。4.根据前述权利要求中任一项所述的装置，其中：-所述寻址信息包括完全合格域名或互联网协议地址。5.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-在控制平面信令过程中，向第二plmn的第二sepp发送第一plmn的第一备份或替代sepp列表的寻址信息，所述第一备份或替代sepp列表的寻址信息将由所述第二sepp用于控制平面信令和/或用于向所述第一plmn的消息转发，由此所述第一plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的信令关联；以及-在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的第二备份或替代sepp列表的寻址信息，所述第二备份或替代sepp列表的寻址信息将由所述第一sepp用于控制平面信令和/或用于向所述第二plmn的消息转发，由此所述第二plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的所述信令关联。6.根据权利要求5所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的信令关联相关的消息；和/或-通过使用所述第二备份或替代sepp列表的寻址信息经由控制平面接口或转发接口向所述第二plmn发送与在所述第一sepp和所述第二sepp之间建立的所述信令关联相关的消息。7.根据权利要求5或权利要求6所述的装置，其中：-所述寻址信息包括完全合格域名或互联网协议地址。8.根据权利要求5至7中任一项所述的装置，其中：
·
所述sepp被配置为支持控制平面sepp和用户平面sepp的功能。9.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-作为第一公共陆地移动网络中的控制平面安全边缘保护代理操作，而不被配置为作为用于用户平面业务的安全边缘保护代理操作；以及-与所述第一公共陆地移动网络的用户平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文，以使所述第一plmn的用户平面安全边缘代理能够支持在所述第一plmn和所述第二plmn之间的消息转发。10.根据权利要求9所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-通过控制平面接口与第二公共陆地移动网络的控制平面安全边缘保护代理通信，而不被配置为通过用于用户平面业务的转发接口与所述第二公共陆地移动网络通信。11.根据权利要求9或权利要求10所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-经由所述装置和所述用户平面安全边缘保护代理之间的直接接口或者经由数据库共享所述转发接口上下文。12.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-作为第一公共陆地移动网络中的用户平面安全边缘保护代理操作，而不被配置为作为用于控制平面业务的安全边缘保护代理操作；以及-与所述第一公共陆地移动网络的控制平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文。13.根据权利要求12所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-使用由所述控制平面安全边缘代理请求在所述转发接口上下文中请求的寻址、安全或保护策略通过所述转发接口发送和/或接收消息。14.根据权利要求12或权利要求13所述的装置，其中，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核进一步使所述装置：-经由所述装置和所述控制平面安全边缘保护代理之间的直接接口或者经由数据库共享所述转发接口上下文。15.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-基于对等安全边缘保护代理的公共陆地移动网络来构建寻址信息，其中所述寻址信息将被用于通过转发接口通信；以及-使用所述寻址信息通过所述转发接口与所述对等安全边缘保护代理通信。16.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至
少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-作为网络存储库功能操作；以及-通过应用编程接口接收对注册或发现用户平面安全边缘保护代理和/或控制平面安全边缘保护代理的请求。17.根据权利要求16所述的装置，其中：-所述寻址信息包括完全合格域名或互联网协议地址。18.一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，所述至少一个存储器和所述计算机程序代码被配置为通过所述至少一个处理核使所述装置执行以下中的至少一个：-通过使用所述第一备份或替代sepp列表的寻址信息经由控制平面接口或转发接口从所述第二plmn接收与在所述第一sepp和所述第二sepp之间建立的信令关联相关的消息。19.一种方法，包括以下至少之一：-在控制平面信令过程中，向第二公共陆地移动网络plmn的第二安全边缘保护代理sepp发送第一plmn的第一sepp的寻址信息，所述第一sepp的寻址信息将由所述第二sepp用于从所述第二plmn向所述第一plmn转发消息；以及-在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的所述第二sepp的寻址信息，所述第二sepp的寻址信息将由所述第一sepp用于从所述第一plmn向所述第二plmn转发消息。20.一种方法，包括以下至少之一：-在控制平面信令过程中，向第二plmn的第二sepp发送第一plmn的第一备份或替代sepp列表的寻址信息，所述第一备份或替代sepp列表的寻址信息将由所述第二sepp用于控制平面信令和/或用于向所述第一plmn的消息转发，由此所述第一plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的信令关联；以及-在所述控制平面信令过程中，从所述第二plmn的所述第二sepp接收所述第二plmn的第二备份或替代sepp列表的寻址信息，所述第二备份或替代sepp列表的寻址信息将由所述第一sepp用于控制平面信令和/或用于向所述第二plmn的消息转发，由此所述第二plmn的所有备份和替代sepp支持服务在所述第一sepp和所述第二sepp之间建立的信令关联。21.一种方法，包括：-将装置作为第一公共陆地移动网络中的控制平面安全边缘保护代理操作，而不被配置为作为用于用户平面业务的安全边缘保护代理操作；以及-通过所述装置与所述第一公共陆地移动网络的用户平面安全边缘保护代理共享到第二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文，以使所述第一plmn的所述用户平面安全边缘代理能够支持在所述第一plmn和所述第二plmn之间的消息转发。22.一种方法，包括：-将装置作为第一公共陆地移动网络中的用户平面安全边缘保护代理操作，而不被配置为作为用于控制平面业务的安全边缘保护代理操作；以及-通过所述装置与所述第一公共陆地移动网络的控制平面安全边缘保护代理共享到第
二公共陆地移动网络中的至少一个其他安全边缘保护代理的转发接口上下文。23.一种方法，包括：-基于对等安全边缘保护代理的公共陆地移动网络构建寻址信息，其中所述寻址信息将被用于通过转发接口通信；以及-使用所述寻址信息通过所述转发接口与所述对等安全边缘保护代理通信。24.一种方法，包括：-通过使用第一备份或替代sepp列表的寻址信息，经由控制平面接口或转发接口，从第二plmn接收与在第一sepp和所述第二sepp之间建立的信令关联相关的消息。

技术总结
根据本公开的示例方面，提供了一种装置，包括至少一个处理核、至少一个包括计算机程序代码的存储器，该至少一个存储器和该计算机程序代码被配置成通过该至少一个处理核使该装置执行以下中的至少一个：在控制平面信令过程中，向第二公共陆地移动网络(PLMN)的第二安全边缘保护代理(SEPP)发送第一PLMN的第一SEPP的寻址信息，所述第一SEPP的寻址信息将由第二SEPP用于从第二PLMN向第一PLMN转发消息；以及在控制平面信令过程中，从第二PLMN的第二SEPP接收第二PLMN的第二SEPP的寻址信息，所述第二SEPP的寻址信息将由第一SEPP用于从第一PLMN向第二PLMN转发消息。向第二PLMN转发消息。向第二PLMN转发消息。


技术研发人员：P
受保护的技术使用者：诺基亚技术有限公司
技术研发日：2023.03.28
技术公布日：2023/10/19