本申請實施例提供一種安全通信的方法、系統和相關裝置。該安全通信方法中，第一SEPP設備不需要和第二SEPP設備直接建立安全鏈路，而是通過IPX設備向第二SEPP設備發送第一安全請求消息，該第一安全請求消息的目的地址為第二SEPP設備的地址，從而IPX設備可以將第一安全請求消息轉發到第二SEPP設備。在隨后接收到IPX設備發送的第一安全響應消息后，第一SEPP設備可以根據第一安全響應消息中攜帶的密鑰協商算法來計算加密密鑰，并使用所述加密密鑰和第二SEPP設備進行安全通信。

技術領域

本申請涉及通信技術領域，尤其涉及安全通信方法、相關的通信裝置、系統及相關的計算機可讀存儲介質。

背景技術

目前，第三代合作伙伴計劃(3^rd Generation Partner Project，3GPP)定義了安全和邊界保護代理(Security and Edge Protection Proxy，SEPP)設備作為5G核心網(5GCore，5GC)的一種邊界安全網關。SEPP設備是不同運營商網絡之間對接的一種代理設備，5G核心網內部的網絡功能(Network Function，NF)設備與其他運營商網絡之間的信令交互通過SEPP設備轉發。

其中，不同運營商網絡的SEPP設備可以通過IP交換服務(IP exchange service，IPX)網絡進行消息轉發。IPX網絡中的IPX設備可以根據預定義的消息修改策略來修改傳輸消息，從而隱藏運營商網絡的拓撲、增強網絡安全。

本地運營商網絡中的SEPP設備和其他運營商網絡的SEPP設備在進行信令消息轉發之前，在兩個SEPP之間創建直連的安全鏈路，通過該安全鏈路進行安全傳輸。

發明內容

本申請實施例提供了安全通信方法、系統和相關裝置及計算機可讀存儲介質，以簡化SEPP設備維護的安全鏈路的數量。

第一方面，本申請實施例提供一種安全通信方法，包括如下操作：

第一SEPP設備向IPX設備發送第一安全請求消息，該第一安全請求消息的目的地址為第二SEPP設備的地址，第一安全請求消息用于請求和所述第二SEPP設備建立安全連接。然后，第一SEPP設備接收上述IPX設備返回的第一安全響應消息，該第一安全響應消息中攜帶該第二SEPP設備確定的密鑰協商算法，第一SEPP設備可以根據該密鑰協商算法計算加密密鑰，并使用該加密密鑰和第二SEPP設備進行安全通信。

在本實施例提供的技術方案中，第一SEPP設備不需要直接向第二SEPP設備發送安全請求消息，不需要和第二SEPP設備直接建立安全鏈路，而是通過IPX設備向第二SEPP設備發送第一安全請求消息，該第一安全請求消息的目的地址為第二SEPP設備的地址，從而IPX設備可以將第一安全請求消息轉發到第二SEPP設備。在隨后接收到IPX設備發送的第一安全響應消息后，第一SEPP設備可以根據第一安全響應消息中攜帶的密鑰協商算法來計算加密密鑰，并使用所述加密密鑰和第二SEPP設備進行安全通信。與現有技術相比，本實施例中的第一SEPP設備不需要和第二SEPP之間維護直連的安全鏈路，降低了維護成本，簡化了第一SEPP上的操作。另外，相對于第二SEPP設備，IPX設備更靠近第一SEPP設備，第一SEPP設備發送給IPX設備的第一安全請求消息傳輸失敗的幾率較小，提高了第一SEPP設備和第二SEPP設備之間通信的可靠性。