SEPP（Security Edge Protection Proxy，安全边缘保护代理）是5G漫游安全架构的重要组成部分，用于用户漫游，与其他运营商的通信互通，负责运营商之间控制平面接口上的消息过滤和策略管理，主要作为运营商核心网控制面之间的边界网关。

SEPP作为非透明代理节点，能够提供应用层控制平面安全性，实现跨运营商中NF消费者与NF提供者之间的安全通信。

SEPP之间通过N32接口建立连接并实施保护策略，对跨网络信令中的每个控制面消息进行处理。N32接口根据用途可分为N32-c和N32-f两个子接口，其中N32-c用于提供两个SEPP之间的初始握手过程，包括能力协商、参数交换等；N32-f用于在两个SEPP之间发送经过安全保护的SBI消息。

接口功能

N32-c部分功能：

• 密钥协议：SEPP独立地导出与它们之间建立的N32-c连接相关联的密钥资料，并将其用作预共享密钥，用于生成所需的共享会话密钥。
• 参数交换：SEPP交换SEPP所需的安全相关配置参数，以保护各自网络中两个网络功能（NF）之间交换的HTTP消息。
• 错误处理：接收SEPP在检测到N32接口错误时，向对端SEPP发送错误信令消息。

N32-f部分功能：

• 解析传入的消息：如果发现消息中包含扩展FQDN，则从接收NF的扩展FQDN中去除自己的FQDN部分，以获得原始FQDN。
• 重构消息：产生用于JSON Web Encryption（JWE）的输入。
• 加密消息：基于JWE的方式将消息加密生成受到保护的状态。
• 封装JWE对象：将产生的JWE对象封装在HTTP/2消息体内，并通过N32-f接口将消息发送到对端的SEPP。

安全功能

• SEPP应在漫游网络中与SEPP进行密码套件的相互认证和协商。
• SEPP在处理密钥管理方面，应设置在两个SEPP之间保护N32接口上的消息所需的加密密钥。
• SEPP应通过限制外部各方可见的内部拓扑信息来执行拓扑隐藏。
• SEPP作为反向代理，应提供单点接入并控制内部NF。
• pSEPP应能够验证cSEPP是否被授权在接收的N32消息中使用运营商网络ID。
• SEPP应能够清楚地区分用于认证对等SEPP的证书和用于认证执行消息修改的中间体的证书。
• SEPP应实施速率限制功能，以保护自身和随后的NF免受过度CP信号的影响。这包括SEPP到SEPP信令消息。
• SEPP应实现反欺骗机制，以实现源和目标地址和标识符（例如FQDN或运营商网络ID）的跨层验证。如果消息的不同层之间存在不匹配或者目的地地址不属于SEPP自己的运营商网络，则丢弃该消息。