WO2018006626A1

WO2018006626A1 - 一种网络安全的管理系统、方法及装置

Info

Publication number: WO2018006626A1
Application number: PCT/CN2017/077949
Authority: WO
Inventors: 李漓春; 刘斐; 司马可
Original assignee: 华为技术有限公司
Priority date: 2016-07-05
Filing date: 2017-03-23
Publication date: 2018-01-11
Also published as: EP3468137A4; CN107579948A; EP3468137A1; US20190159029A1; JP2019522428A; EP3468137B1; KR20190018720A; KR102169767B1; BR112019000169A2; CN107579948B; JP6737948B2; US10897712B2

Abstract

本发明实施例公开了一种网络安全的管理系统、方法及装置，所述系统包括：UE、AN、网络功能选择模块和至少两个认证模块；UE用于向所述网络功能选择模块发送第一业务请求，第一业务请求中携带认证协议信息；网络功能选择模块用于根据认证协议信息，选择目标认证模块，并向目标认证模块发送第二业务请求；目标认证模块用于与UE进行相互认证；目标认证模块还用于根据指定安全策略确定第一安全配置，并向AN发送第一安全配置；AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向UE发送第二安全配置。采用本发明提供的技术方案，可满足网络的差异化的认证协议和安全策略的安全需求，从而提高网络的安全。

Description

一种网络安全的管理系统、方法及装置

技术领域

本发明涉及通信技术领域，尤其涉及一种网络安全的管理系统、方法及装置。

背景技术

在4G网络中，为了支持需求各异的业务、网络租用、网络共享等，可以有多个专用核心网共享接入网。每个专用核心网为特定业务在功能和性能上优化，满足业务功能和性能的差异化需求。如图1，图1是4G专用核心网架构示意图。接入网可与多个运营商连接，每个运营商可拥有专用核心网(英文：Dedicated Core Network，DCN)，多个DNC共享接入网。用户设备(英文：User Equipment，UE)与接入网连接，通过接入网实现与各个运营商的专用核心网的业务服务等交互。在5G网络中，将会有多个称为“网络切片”(简称“切片”)的逻辑网络。不同切片除了功能和性能方面需求存在差异，安全方面需求也可能存在差异。

在5G网络的切片架构的现有技术思路中，UE可同接入多个切片，网络根据UE要附着的切片的切片信息或者认证节点(英文：Authentication Unit，AU)的负载状态来选择AU，进而通过选择的AU实现与UE的认证，或者授权UE接入目标切片等操作。现有技术选择AU时没有考虑UE所支持的认证协议或者算法等信息，缺乏相关设计，无法更好地保障网络安全。

发明内容

本申请提供一种网络安全的管理系统、方法及装置，可满足网络的差异化的认证协议和安全策略的安全需求，提高网络的安全。

第一方面提供了一种网络安全的管理系统，所述管理系统用于实现包含至少两个网络切片的网络的安全管理，其可包括：用户设备UE、接入网AN、网络功能选择模块和至少两个认证模块；

所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；

所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；

所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证；

所述目标认证模块还用于根据所述UE附着的指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；

所述AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。

在本申请中，网络功能选择模块可根据UE支持的认证协议信息选择支持UE所支持的认证协议的认证模块，进而可通过认证模块与UE的相互认证，提高了认证模块选择的准确性，增强了网络的安全性。本申请还可通过根据认证协议选择的目标认证模块实现安全配置的生成，或者通过根据认证协议选定的目标认证模块和AN实现安全配置的生成，选择灵活性高。

结合第一方面，在第一种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。

结合第一方面第一种可能的实现方式，在第二种可能的实现方式中，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。其中，需要指出的是，也可以是从所述各个认证模块中选择负载小于预设阈值的认证模块作为目标认证模块。也就是说，如果负载小于预设阈值的认证模块有多个，可以从该多个负载小于预设阈值的认证模块中随机进行选择，不一定非要选择最少的认证模块作为目标认证模块。

结合第一方面，在第三种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。

结合第一方面第三种可能的实现方式，在第四种可能的实现方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。

结合第一方面，在第五种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。

结合第一方面，在第六种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。

结合第一方面，在第七种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。

结合第一方面第五种可能的实现方式至第七种可能的实现方式中任一种，在第八种可能的实现方式中，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：

根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。

结合第一方面，在第九种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。

结合第一方面，在第十种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；

若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。

结合第一方面，在第十一种可能的实现方式中，所述网络功能选择模块包括第一子模块和第二子模块；

所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述第二子模块发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；

所述第二子模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子模块发送所述目标认证模块的标识；

所述第一子模块还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。

结合第一方面第十一种可能的实现方式，在第十二种可能的实现方式中，所述第二子模块具体用于执行上述各种可能的实现方式中网络功能选择模块所执行的实现方式。

结合第一方面第一种可能的实现方式至第十种可能的实现方式任一种，在第三种可能的实现方式中，所述管理系统还包括安全策略控制器；

所述安全策略控制器用于向所述认证模块或者所述AN下发网络切片的安全策略。

结合第一方面第十三种可能的实现方式，在第十四种可能的实现方式中，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；

所述目标认证模块还用于：

确定所述指定网络切片对应的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。

结合第一方面第十三种可能的实现方式，在第十五种可能的实现方式中，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述目标认证模块还用于：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略，并根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述目标加密算法的标识或者所述目标完整性保护算法的标识添加至所述第一安全配置中以得到第二安全配置。

结合第一方面第十三种可能的实现方式，在第十六种可能的实现方式中，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述目标认证模块还用于：

将所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

结合第一方面第十四种可能的实现方式或者第一方面第十六种可能的实现方式，在第十七种可能的实现方式中，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。

结合第一方面至第一方面第十七种可能的实现方式，在第十八种可能的实现方式中，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

结合第一方面第十一种可能的实现方式至第一方面第十七种可能的实现方式中任一种，在第十九种可能的实现方式中，所述第一子模块为AURF，所述第二子模块为AUSF。

结合第一方面第十一种可能的实现方式至第一方面第十七种可能的实现方式中任一种，在第二十种可能的实现方式中，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。

第二方面提供了一种网络安全的管理系统，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中认证模块的选择，其可包括：用户设备UE、网络功能选择模块和至少两个认证模块；

所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证。

在申请中，网络功能选择模块可根据UE支持的多种认证协议以及每种认证协议的选择优先级、网络设定的认证协议的选择优先级、切片信息、认证模块负载等选择目标认证模块，提高了认证模块的选择灵活性，提高了认证模块选择的准确性和认证模块选择的效率，增强了网络的安全性。

结合第二方面，在第一种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块具体用于：

结合第二方面第一种可能的实现方式，在第二种可能的实现方式中，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。

结合第二方面，在第三种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

结合第二方面第三种可能的实现方式，在第四种可能的实现方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：

结合第二方面，在第五种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

结合第二方面，在第六种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

结合第二方面，在第七种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

结合第二方面第五种可能的实现方式至第二方面第七种可能的实现方式中任一种，在第八种可能的实现方式中，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：

结合第二方面，在第九种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块具体用于：

结合第二方面，在第十种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

结合第二方面，在第十一种可能的实现方式中，所述网络功能选择模块包括第一子模块和第二子模块；

结合第二方面第十一种可能的实现方式，在第十二种可能的实现方式中，所述第二子模块具体用于执行如上述网络功能选择模块所执行的任一项实现方式。

结合第二方面至第二方面第十二种可能的实现方式中任一种，在第十三种可能的实现方式中，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

结合第二方面第十一种可能的实现方式至第二方面第十二种可能的实现方式中任一种，在第十四种可能的实现方式中，所述第一子模块为AURF，所述第二子模块为AUSF。

结合第二方面至第二方面第十二种可能的实现方式中任一种，在第十五种可能的实现方式中，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。

第三方面提供了一种网络安全的管理系统，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中安全配置的管理，其可包括：用户设备UE、接入网AN、安全策略控制器和认证模块；

所述安全策略控制器用于向所述AN或者所述认证模块下发网络切片的安全策略；

所述UE用于向所述AN发送第一业务请求，所述第一业务请求中携带所述UE所要附着的指定网络切片的标识；

所述AN用于向所述认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；

所述认证模块用于接收所述第二业务请求并与所述UE进行相互认证；

所述认证模块还用于根据所述指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；

所述AN还用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。

本申请可通过根据认证协议选择的目标认证模块实现安全配置的生成，或者通过根据认证协议选定的目标认证模块和AN实现安全配置的生成，选择灵活性高，增强了网络的安全性。

结合第三方面，在第一种可能的实现方式中，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述认证模块还用于：

所述AN具体用于：

结合第三方面，在第二种可能的实现方式中，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述认证模块还用于：

所述AN具体用于：

结合第三方面，在第三种可能的实现方式中，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述认证模块还用于：

所述AN具体用于：

结合第三方面第一种可能的实现方式至第三方面第三种可能的实现方式中任一项，在第四种可能的实现方式中，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

结合第三方面至第三方面第四种可能的实现方式中任一种，在第五种可能的实现方式中，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。

第四方面提供了一种网络安全的管理方法，其可包括：

网络功能选择模块接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

所述网络功能选择模块向所述目标认证模块发送第二业务请求。

结合第四方面，在第一种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。

结合第四方面第一种可能的实现方式，在第二种可能的实现方式中，若支持所述第一认证协议的认证模块多于一个，所述方法还包括：

结合第四方面，在第三种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。

结合第四方面第三种可能的实现方式，在第四种可能的实现方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述方法还包括：

结合第四方面，在第五种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。

结合第四方面，在第六种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。

结合第四方面，在第七种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。

结合第四方面第五种可能的实现方式至第四方面第七种可能的实现方式中任一种，在第八种可能的实现方式中，若所述待选定认证模块多于一个，所述方法还包括：

结合第四方面，在第九种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

结合第四方面，在第十种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

结合第四方面至第四方面第十种可能的实现方式中任一种，在第十一种可能的实现方式中，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

第五方面，提供了一种网络安全的管理方法，其可包括：

第二网络功能选择模块接收第一网络功能选择模块发送的认证模块选择请求，所述认证模块选择请求中携带用户设备UE发送的认证协议信息；

所述第二网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

所述第二网络功能选择模块向所述第一网络功能选择模块发送所述目标认证模块的标识，以通过所述第一网络功能选择模块向所述目标认证模块发送业务请求。

第六方面提供了一种网络安全的管理方法，其可包括：

认证模块接收安全策略控制器下发的网络切片的安全策略；

所述认证模块接收接入网AN发送的业务请求，所述业务请求中携带用户设备UE的安全能力和所述UE所要附着的指定网络切片的标识；

所述认证模块根据所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置；

所述认证模块向所述AN发送业务请求响应，所述业务请求响应中携带所述安全配置。

结合第六方面，在第一种可能的实现方式中，所述指定安全策略中包含密钥信息、加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息和完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

根据所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。

结合第六方面，在第二种可能的实现方式中，所述指定安全策略中包含密钥信息；

所述根据所述指定安全策略确定安全配置包括：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述安全配置添加至所述第二业务请求响应中。

结合第六方面，在第三种可能的实现方式中，所述指定安全策略中包含加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

根据所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。

结合第六方面第一种可能的实现方式至第六方面第三种可能的实现方式中任一种，在第四种可能的实现方式中，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

结合第六方面至第六方面第四种可能的实现方式中任一种，在第五种可能的实现方式中，所述认证模块包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。

第七方面提供了一种网络安全的管理方法，其可包括：

接入网AN接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

所述AN向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力；

所述AN接收所述认证模块发送的第二业务请求响应，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置；

所述AN根据所述第一安全配置确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。

结合第七方面，在第一种可能的实现方式中，所述第一安全配置中包含密钥、加密算法的标识或者完整性保护算法的标识；

所述AN根据所述第一安全配置确定第二安全配置包括：

所述AN存储所述密钥，并从所述第一安全配置中获取加密算法的标识和完整性保护算法的标识，并根据所述加密算法的标识和所述完整性保护算法的标识生成第二安全配置。

第八方面提供了一种网络安全的管理方法，其可包括：

所述AN向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；

所述AN接收所述认证模块发送的第二业务请求响应；

所述AN根据所述UE的安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。

结合第八方面，在第一种可能的实现方式中，所述AN根据所述UE的安全能力和和所述指定网络切片的标识对应的指定安全策略确定第二安全配置包括：

所述AN根据所述指定网络切片的的标识确定所述指定安全策略；

根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法，并根据所述目标加密算法的标识或者所述目标完整性保护算法的标识生成第二安全配置。

结合第八方面第一种可能的实现方式，在第二种可能的实现方式中，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

第九方面提供了一种网络安全的管理装置，其可包括：

接收单元，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息；

选择单元，用于根据接收单元接收的所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

发送单元，用于向所述选择单元选择的所述目标认证模块发送第二业务请求。

结合第九方面，在第一种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述选择单元具体用于：

结合第九方面第一种可能的实现方式，在第二种可能的实现方式中，若支持所述第一认证协议的认证模块多于一个；

所述选择单元具体用于：

结合第九方面，在第三种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

结合第九方面第三种可能的实现方式，在第四种可能的实现方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述选择单元具体用于：

结合第九方面，在第五种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述选择单元具体用于：

结合第九方面，在第六种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

结合第九方面，在第七种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述选择单元具体用于：

结合第九方面第五种可能的实现方式至第九方面第七种可能的实现方式中任一种，在第八种可能的实现方式中，若所述待选定认证模块多于一个，所述选择单元具体用于：

结合第九方面，在第九种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述选择单元具体用于：

结合第九方面，在第十种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

结合第九方面，在第十一种可能的实现方式中，所述选择单元包括第一子单元和第二子单元；

所述第一子单元用于接收所述UE发送的所述第一业务请求，并向所述第二子单元发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；

所述第二子单元用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子单元发送所述目标认证模块的标识；

所述第一子单元还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。

结合第九方面第十一种可能的实现方式，在第十二种可能的实现方式中，所述第二子单元具体用于执行所述的选择单元所执行的任一项实现方式。

结合第九方面至第九方面第十种可能的实现方式，在第十三种可能的实现方式中，所述选择单元包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

结合第九方面第十一种可能的实现方式或者第九方面第十二种可能的实现方式，在第十三种可能的实现方式中，所述第一子单元为AURF，所述第二子单元为AUSF。

第十方面提供了一种网络安全的管理装置，其可包括：

接收单元，用于接收安全策略控制器下发的网络切片的安全策略；

所述接收单元，还用于接收接入网AN发送的业务请求，所述业务请求中携带用户设备UE的安全能力和所述UE所要附着的指定网络切片的标识；

执行单元，用于根据所述接收单元接收的所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置；

发送单元，用于向所述AN发送业务请求响应，所述业务请求响应中携带所述执行单元确定的所述安全配置。

结合第十方面，在第一种可能的实现方式中，所述指定安全策略中包含密钥信息、加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元具体用于：

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息或者完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

结合第十方面，在第二种可能的实现方式中，所述指定安全策略中包含密钥信息；

所述执行单元具体用于：

结合第十方面，在第三种可能的实现方式中，所述指定安全策略中包含加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元具体用于：

根据所述加密算法的标识或者所述完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。

结合第十方面第一种可能的实现方式至第十方面第三种可能的实现方式中任一种，在第四种可能的实现方式中，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

结合第十方面至第十方面第四种可能的实现方式中任一种，在第五种可能的实现方式中，所述执行单元包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。

第十一方面提供了一种网络安全的管理装置，其可包括：

接收单元，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

发送单元，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力；

所述接收单元，还用于接收所述认证模块发送的第二业务请求响应，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置；

处理单元，用于根据所述接收单元接收的所述第一安全配置确定第二安全配置；

所述发送单元，还用于向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述处理单元确定的所述第二安全配置。

结合第十一方面，在第一种可能的实现方式中，所述第一安全配置中包含密钥、加密算法的标识或者完整性保护算法的标识；

所述处理单元具体用于：

存储所述密钥，并从所述第一安全配置中获取加密算法的标识或者完整性保护算法的标识，并根据所述加密算法的标识或者所述完整性保护算法的标识生成第二安全配置。

第十二方面，提供了一种网络安全的管理装置，其可包括：

发送单元，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；

所述接收单元，还用于接收所述认证模块发送的第二业务请求响应；

处理单元，用于根据所述接收单元接收的所述UE的安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置；

结合第十二方面，在第一种可能的实现方式中，所述处理单元具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略；

结合第十二方面第一种可能的实现方式，在第二种可能的实现方式中，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

第十三方面，提供了一种网络功能选择模块，其可包括：存储器和处理器，所述存储器与所述处理器相连；

所述存储器用于存储一组程序代码；

所述处理器用于调用所述存储器中存储的程序代码，执行上述第四方面提供的网络安全的管理方法。

第十四方面提供了一种网络功能选择模块，其可包括：存储器和处理器，所述存储器与所述处理器相连；

所述存储器用于存储一组程序代码；

所述处理器用于调用所述存储器中存储的程序代码，执行上述第五方面提供的网络安全的管理方法。

第十五方面提供了一种认证模块，其可包括：存储器和处理器，所述存储器与所述处理器相连；

所述存储器用于存储一组程序代码；

所述处理器用于调用所述存储器中存储的程序代码，执行上述第六方面提供的网络安全的管理方法。

第十六方面提供了一种接入网，其可包括：存储器和处理器，所述存储器与所述处理器相连；

所述存储器用于存储一组程序代码；

所述处理器用于调用所述存储器中存储的程序代码，执行上述第七方面提供的网络安全的管理方法。

第十七方面提供了一种网络功能选择模块，其可包括：存储器和处理器，所述存储器与所述处理器相连；

所述存储器用于存储一组程序代码；

所述处理器用于调用所述存储器中存储的程序代码，执行上述第八方面提供的网络安全的管理方法。

从上可知，本发明公开了一种网络安全的管理系统、方法及装置，所述系统包括：UE、AN、网络功能选择模块和至少两个认证模块；UE用于向所述网络功能选择模块发送第一业务请求，第一业务请求中携带认证协议信息；网络功能选择模块用于根据认证协议信息，选择目标认证模块，并向目标认证模块发送第二业务请求；目标认证模块用于与UE进行相互认证；目标认证模块还用于根据指定安全策略确定第一安全配置，并向AN发送第一安全配置；AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向UE发送第二安全配置。采用本发明提供的技术方案，可满足网络的差异化的认证协议和安全策略的安全需求，从而提高网络的安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是4G专用核心网架构示意图；

图2是本发明实施例提供的5G网络切片的架构示意图；

图3是本发明实施例提供的网络安全的管理系统的一结构示意图；

图4是本发明实施例提供的管理系统中各个功能模块实现网络的安全管理的一交互示意图；

图5是本发明实施例提供的管理系统实现AU的选择的一交互示意图；

图6是本发明实施例提供的管理系统实现AU的选择的另一交互示意图；

图7是本发明实施例提供的管理系统实现AU的选择的另一交互示意图；

图8是本发明实施例提供的管理系统执行安全策略的一交互示意图；

图9是本发明实施例提供的管理系统执行安全策略的另一交互示意图；

图10是本发明实施例提供的管理系统执行网络的安全管理的一交互示意图；

图11是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图；

图12是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图；

图13是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图；

图14是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图；

图15是本发明实施例提供的网络安全的管理系统的另一结构示意图；

图16是本发明实施例提供的管理系统中各个功能模块实现网络的安全管理的一交互示意图；

图17是本发明实施例提供的网络安全的管理系统的另一结构示意图；

图18是本发明实施例提供的管理系统中各个功能模块实现网络的安全管理的另一交互示意图；

图19是本发明实施例提供的网络安全的管理方法的一流程示意图；

图20是本发明实施例提供的网络安全的管理方法的另一流程示意图；

图21是本发明实施例提供的网络安全的管理方法的另一流程示意图；

图22是本发明实施例提供的网络安全的管理方法的另一流程示意图；

图23是本发明实施例提供的网络安全的管理方法的另一流程示意图；

图24是本发明实施例提供的网络安全的管理装置的一结构示意图；

图25是本发明实施例提供的网络安全的管理装置的另一结构示意图；

图26是本发明实施例提供的网络安全的管理装置的另一结构示意图；

图27是本发明实施例提供的网络安全的管理装置的另一结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

参见图2，是本发明实施例提供的5G网络切片的架构示意图。如图2所示，在5G网络切片(简称切片)的架构中，所有切片共享接入网((英文：Access Network，AN)或者(英文：Radio Access Network，RAN)，下面将以AN为例进行说明)和切片选择功能(英文：Slice Selection Function，SSF)，部分切片共享一个控制面(英文：Control Plane，CP)网络功能(英文：Network Function，NF)，部分切片独享一个CP NF。例如，切片A和切片B共享一个CP NF1，即，切片A的CP NF和切片B的CP NF为同一个CP NF。切片C独享一个CP NF2。其中，每个切片还包括一个用户面(英文：User Plane，UP)NF。其中，每个CP NF包含一个AU，被多个切片共享的CP NF包含的AU则服务多个切片，被一个切片独享的CP NF的AU则只服务该切片。例如，例如，CP NF1包含的AU1服务于切片A和切片B，CP NF2包含的AU2服务于切片C。

在现有技术中，网络在为UE选择AU时，可考虑UE所要附着的切片是由哪个AU服务，则可选择该AU为UE服务。进一步的，若UE所要附着的切片由多个AU服务，则可根据上述多个AU中每个AU的负载状态从中选择一个AU为UE服务。现有技术选择AU时没有考虑UE所支持的认证协议或者算法等信息，缺乏相关设计，AU选择的准确率低，选择效率低，无法更好地保障网络安全。

本发明实施例提供的AU的选择方案可根据UE所支持的认证协议选择为UE服务的AU，或者根据UE所支持的认证协议或者UE所要附着的切片和待选择的AU的负载状态等信息选择为UE服务的AU，增强了AU选择的准确性。进而可通过选定的AU执行UE的附着请求或者新业务请求，以及切片的安全策略等，提高了网络的安全性。下面将结合图3至图27对本发明实施例提供的网络安全的管理系统、方法及装置进行描述。

参见图3，是本发明实施例提供的网络安全的管理系统的一结构示意图。本发明实施例提供的管理系统可用于实现上述图2所示的网络架构的安全管理，即，本发明实施例提供的管理系统可用于实现包含多个网络切片的网络的安全管理。本发明实施例提供的管理系统可包括UE、AN、网络功能选择模块和至少两个认证模块。其中，上述至少两个认证模块中包括多个切片共享的认证模块，也包括单个切片独享的认证模块。或者上述至少两个认证模块全部为多个切片共享的认证模块，也可全部为单个切片独享的认证模块。其中，共享的认证模块可包含多个，每个共享的认证模块为至少两个切片服务，独享的认证模块也可包括多个，每个独享的认证模块服务一个切片。具体实现中，认证模块的数量以及每个认证模块服务的切片的分布状态可根据实际应用场景确定，在此不做限制。

在本发明实施例中，上述网络功能选择模块可包括AU选择功能(英文：AU Selection Function，AUSF)、AU路由功能(英文：AU Routing Function，AURF)、SSF以及移动性管理(英文：Mobility Management，MM)等，具体可根据实际应用场景确定，在此不做限制。

在本发明实施例中，上述认证模块可包括：AU、Front-end以及访问控制代理(英文：Access Control Agent，ACA)等，具体可根据实际应用场景确定，在此不做限制。

参见图4，图4是本发明实施例提供的管理系统中各个功能模块(包括UE、AN、网络功能选择模块和认证模块)实现网络的安全管理的一交互示意图。图3所示的系统实现网络的安全管理的过程可包括步骤：

401，UE向网络功能选择模块发送第一业务请求。

在一些可行的实施方式中，上述第一业务请求具体可为UE请求附着到一个切片的附着请求。上述第一业务请求也可为UE已经附着到一个切片并且希望通过新业务请求附着到另一个切片时发送的新业务请求。其中，上述附着请求或者新业务请求中携带认证协议信息。其中，上述认证协议信息包括UE支持的一个或者多个认证协议的标识、或者UE支持的多个认证协议中每个认证协议的选择优先级等信息。进一步的，上述附着请求或者新业务请求中还可携带UE所要附着的切片的标识等，具体可根据实际应用场景确定，在此不做限制。其中，上述第一业务请求的类型以及第一业务请求中携带的认证协议信息具体可根据实际应用场景确定，在此不做限制。

402，网络功能选择模块根据认证协议信息，从至少两个认证模块中选择目标认证模块。

403，网络功能选择模块向目标认证模块发送第二业务请求。

在一些可行的实施方式中，网络功能选择模块接收到UE发送的第一业务请求之后，可根据上述第一业务请求中携带的认证协议信息从上述至少两个认证模块中选择目标认证模块。具体实现中，若上述认证协议信息中携带UE支持的一种认证协议(假设为第一认证协议)的标识，网络功能选择模块则可根据上述第一认证协议的标识从上述多个认证模块中选择支持上述第一认证协议的认证模块作为目标认证模块。若上述支持第一认证协议的认证模块多于一个，网络功能选择模块则可根据上述各个认证模块的负载状态从中选择负载最少的认证模块作为目标认证模块。

进一步的，若上述第一业务请求中携带UE所要附着的切片(即指定网络切片)的标识，网络功能选择模块则可根据上述第一认证协议的标识和指定网络切片的标识从网络包含的至少两个认证模块中选择目标认证模块。上述目标认证模块为支持第一认证协议和指定网络切片的认证模块。具体的，网络功能选择模块可先根据第一认证协议的标识从多个认证模块中选出支持第一认证协议的认证模块。若上述支持第一认证协议的认证模块多于一个，网络功能选择模块则可根据指定网络切片的标识从上述支持第一认证协议的多个认证模块中选择UE所要附着的切片关联的认证模块作为目标认证模块。其中，上述UE所要附着的切片关联的认证模块可为服务该切片的认证模块。此外，网络功能选择模块也可先根据指定网络切片的标识从多个认证模块中选出支持指定网络切片的认证模块。若上述支持指定网络切片的认证模块多于一个，网络功能选择模块则可根据第一认证协议从上述支持指定网络切片的多个认证模块中选择支持第一认证协议的认证模块作为目标认证模块。进一步的，网络功能选择模块也可同时根据第一认证协议的标识和指定网络切片的标识从多个认证模块中选出目标认证模块，具体选择过程中认证模块的筛选方式可根据实际应用场景确定，在此不做限制。

进一步的，在一些可行的实施方式中，若根据上述第一认证协议的标识，或者根据第一认证协议的标识和指定网络切片的标识选出的上述目标认证模块多于一个，网络功能选择模块则可根据上述各个选出的待选定的目标认证模块的负载状态，从上述选出的多个待选定的目标认证模块中选择负载最少的认证模块作为最终选定的目标认证模块。

在一些可行的实施方式中，若上述认证协议信息中携带UE支持的多种认证协议(将每个认证协议设为第二认证协议)的标识，网络功能选择模块则可根据UE支持的每个第二认证协议的标识从网络中包含的多个认证模块中选择目标认证模块。具体实现中，若上述系统中包含的多个认证模块中仅有一个认证模块支持UE支持的认证协议，则可将该认证模块确定为目标认证模块。若上述网络中包含的多个认证模块中包含多个认证模块支持UE支持的其中一种认证协议，则可从支持该认证协议的多个认证模块中选择负载最少的认证模块作为目标认证模块。若上述网络中包含的多个认证模块中包含多个支持不同认证协议的不同认证模块，网络功能选择模块则根据各个认证协议的选择优先级或者各个认证模块的负载状态从中选出目标认证模块。

在一些可行的实施方式中，若上述网络中包含的多个认证模块中包含多个支持不同的认证协议的不同的认证模块，则网络功能选择模块可根据网络设定的认证协议的选择优先级，确定UE支持的多个认证协议中选择优先级最高的认证协议，进而可从上述多个支持不同的认证协议的不同的认证模块中选择支持选择优先级最高的认证协议的待选定认证模块作为目标认证模块。若上述支持选择优先级最高的认证协议的待选定认证模块多于一个，则可根据各个待选定认证模块的负载状态从中选择负载最少的认证模块作为目标认证模块。

在一些可行的实施方式中，若上述网络中包含的多个认证模块中包含多个支持不同的认证协议的不同的认证模块，网络功能选择模块可直接根据各个认证模块的负载状态从中选择负载最少的认证模块作为目标认证模块。

进一步的，在一些可行的实施方式中，上述第一业务请求中携带的认证协议信息可包含UE支持的多个认证协议(可将每个认证协议设为第三认证协议)的标识，以及每个第三认证协议的选择优先级。网络功能选择模块可根据UE支持的每个第三认证协议的标识从系统中包含的多个认证模块中选择目标认证模块。具体实现中，若上述系统中包含的多个认证模块中仅有一个认证模块支持UE支持的认证协议，则可将该认证模块确定为目标认证模块。若上述系统中包含的多个认证模块中包含多个认证模块支持UE支持的其中一种第三认证协议，则可从支持该第三认证协议的多个认证模块中选择负载最少的认证模块作为目标认证模块。若上述系统中包含的多个认证模块中包含多个支持不同的第三认证协议的不同的认证模块，网络功能选择模块则可根据各个认证模块的负载状态从中选择负载最少的认证模块作为目标认证模块。

进一步的，若上述系统中包含的多个认证模块中包含多个支持不同的第三认证协议的不同的认证模块，网络功能选择模块还可根据每个第三认证协议的选择优先级，从多个支持不同的第三认证协议的不同认证模块中选择支持选择优先级最高的认证协议(假设为第四认证协议)的认证模块作为目标认证模块。若上述支持第四认证协议的认证模块多于一个，网络功能选择模块则可根据每个认证模块的负载状态从中选择负载最少的认证模块作为目标认证模块。

进一步的，在一些可行的实施方式中，上述第一业务请求中还可携带除了UE所要附着的切片的标识之外的更多切片信息，具体可包括切片类型、切片支持的业务类型或者切片租户标识等。网络功能选择模块根据上述认证协议信息选择目标认证模块的过程中也可参照上述切片信息进行综合选择，在此不做限制。

在一些可行的实施方式中，网络功能选择模块选定了目标认证模块之后，则可向目标认证模块发送第二业务请求。对应的，上述第二业务请求也可为附着请求或者新业务请求。具体实现中，若上述目标认证模块只支持一种认证协议，则向目标认证模块发送的第二业务请求中无需携带认证协议信息，可携带UE的标识或者UE所要附着的切片信息等。若上述目标认证模块可支持多种认证协议，则可在上述上述第二业务请求中携带选择目标认证模块时采用的UE和目标认证模块均支持的认证协议的标识。可选的，也可在上述第二业务请求中携带UE的标识或者UE所要附着的切片信息等，在此不做限制。

404，目标认证模块接收第二业务请求，并与UE进行相互认证。

在一些可行的实现方式中，若上述目标认证模块只支持一种认证协议，目标认证模块则可直接使用上述认证协议与UE进行相互认证。若上述目标认证模块可支持多种认证协议，目标认证模块可接收网络功能选择模块发送的第二业务请求，并根据上述第二业务请求中携带的UE和目标认证模块均支持的认证协议与UE进行相互认证。具体实现中，上述第二业务请求中还可携带UE的标识，例如UE的身份(英文：Identity，ID)等，在此不做限制。其中，上述认证模块通过UE的ID或者切片信息实现与UE的相互认证的实现方式可参见5G框架中的系统交互的现有实现方式，在此不再赘述。

在本发明实施例中，网络功能选择模块可根据UE支持的认证协议信息选择支持UE所支持的认证协议的认证模块，进而可通过认证模块与UE的相互认证，提高了认证模块选择的准确性，增强了网络的安全性。

下面将结合图5至图7对本发明实施例提供的管理系统在不同的应用场景中实现认证模块的选择的实现方式进行说明。

在一些可行的实施方式中，如图5，图5是本发明实施例提供的管理系统实现AU的选择的一交互示意图。在图5中，网络功能选择模块将以AURF为例进行说明，认证模块将以AU为例进行说明，第一业务请求将以附着请求为例进行说明。图5所示的管理系统提供的AU的选择过程包括步骤：

501，UE向AURF发送附着请求。

在一些可行的实施方式中，UE只支持一种认证协议，UE向AURF发送的附着请求中可携带UE支持的该认证协议的标识。进一步的，上述附着请求中还可携带UE的ID和切片信息等。其中，上述切片信息可包括切片类型、切片支持的业务类型或者切片租户标识等，在此不做限制。

502，AURF根据附着请求中携带的认证协议的标识等信息选择目标AU。

在一些可行的实施方式中，AURF接收到UE发送的附着请求之后，可根据附着请求中携带的认证协议的标识选择目标AU，也可结合附着请求中携带的切片信息，或者系统中待选择的AU中各个AU的负载状态选择目标AU，具体选择方式可参见上述步骤S402中所描述的实现方式，在此不再赘述。

503，AURF向目标AU发送附着请求。

在一些可行的实施方式中，AURF确定了目标AU之后，则可向目标AU发送附着请求。可选的，若目标AU可支持多种认证协议，AURF可在附着请求中添加UE支持的认证协议的标识，以供目标AU与UE进行相互认证。进一步的，上述附着请求中还可携带UE 的ID和切片信息等，具体可参见上述步骤S402所描述的实现方式，在此不做限制。

504，AU与UE进行相互认证。

在一些可行的实施方式中，AU接收到AURF发送的附着请求之后则可与UE进行相互认证。若AU支持的认证协议有多种，则可根据附着请求确定UE支持的认证协议，通过上述认证协议与UE进行相互认证。其中，AU与UE通过认证协议进行相互认证的具体实现方式可参见现有的5G网络系统中提供的实现方式，在此不再赘述。

在本发明实施例中，AURF可根据UE支持的认证协议选择目标AU，提高了AU选择的准确性和AU选择的效率，增强了网络的安全性。

在一些可行的实施方式中，如图6，图6是本发明实施例提供的管理系统实现AU的选择的另一交互示意图。在图6中，网络功能选择模块将以AURF为例进行说明，认证模块将以AU为例进行说明，第一业务请求将以附着请求为例进行说明。图6所示的管理系统提供的AU的选择过程包括步骤：

601，UE向AURF发送附着请求。

在一些可行的实施方式中，UE向AURF发送的附着请求中可携带UE将使用的认证协议的偏好。其中，上述认证协议的偏好中包括UE支持的多种认证协议的标识，以及UE倾向的认证协议的选择优先级顺序的指示信息。其中，上述UE倾向的认证协议的选择优先级顺序的指示信息具体可为UE支持的多种认证协议中每种认证协议的选择优先级。进一步的，上述附着请求中还可携带UE的ID和切片信息等，在此不做限制。

602，AURF根据附着请求中携带的认证协议的偏好等信息选择目标AU。

在一些可行的实施方式中，AURF接收到UE发送的附着请求之后，可根据上述附着请求中携带的认证协议的标识或者选择优先级等信息选择目标AU。进一步的，AURF还可根据附着请求中携带的切片信息，以及网络中待选择的AU中各个AU的负载状态选择目标AU，具体选择方式可参见上述步骤S402中所描述的实现方式，在此不再赘述。

进一步的，在一些可行的实施方式中，若上述附着请求中携带多种认证协议的标识，AURF还可根据网络设定的每种认证协议的选择优先级，结合待选择的各个AU所支持的认证协议的情况，从多个AU中选择目标AU，具体选择方式可参见上述步骤S402所描述的实现方式，在此不再赘述。

603，AURF向UE发送AU选择的确认消息。

在一些可行的实施方式中，若UE支持的认证协议有多种，AURF根据UE支持的认证协议以及各个AU支持的认证协议、各个AU的负载状态、切片信息等信息选定了目标AU之后，可将选定的目标AU支持认证协议的标识通过确认消息发送给UE。UE接收到确认消息之后，可根据确认消息中携带的认证协议的标识确定AURF选择目标AU时采用的认证协议，即UE和AU均支持的认证协议。

需要说明的是，具体实现中，AURF向UE发送的确认消息的操作方式为可选的实现方式，具体可根据实际应用场景确定。具体的，UE获知AURF选择目标AU时采用的认证协议也可通过AU与UE进行认证时，AU发送的第一条消息中携带的指示信息确定。其中，上述指示信息的具体形式可根据实际应用场景确定，在此不做限制。

604，AURF向目标AU发送附着请求。

在一些可行的实施方式中，AURF确定了目标AU之后，则可向目标AU发送附着请求，并在附着请求中添加认证协议的标识，以供目标AU与UE进行相互认证。其中，上述附着请求中携带的认证协议的标识为AURF选定目标AU时采用的UE支持的多种认证协议中的某一种协议的标识，以指示AU通过上述认证协议与UE进行相互认证。进一步的，上述附着请求中还可携带UE的ID和切片信息等，在此不做限制。

605，AU与UE进行相互认证。

在本发明实施例中，AURF可根据UE支持的多种认证协议以及每种认证协议的选择优先级、网络设定的认证协议的选择优先级、切片信息、AU负载等选择目标AU，提高了AU的选择灵活性，提高了AU选择的准确性和AU选择的效率，增强了网络的安全性。

在一些可行的实施方式中，如图7，图7是本发明实施例提供的管理系统实现AU的选择的另一交互示意图。在图7中，网络功能选择模块可包括第一子模块和第二子模块，其中，第一子模块将以AURF，第二子模块将以AUSF为例进行说明，认证模块将以AU为例进行说明，第一业务请求将以附着请求为例进行说明。图7所示的管理系统提供的AU的选择过程包括步骤：

701，UE向AURF发送附着请求。

在一些可行的实施方式中，UE向AURF发送的附着请求中可携带认证协议信息。其中，上述认证协议信息可包括UE支持的单一一种认证协议的标识，也可包括UE支持的多种认证协议的标识，以及UE支持的认证协议的选择优先级顺序的指示信息等信息。其中，上述UE支持的认证协议的选择优先级顺序的指示信息具体可为UE支持的多种认证协议中每种认证协议的选择优先级。进一步的，上述附着请求中还可携带UE的ID和切片信息等，在此不做限制。具体可参见上述步骤S401中所描述的实现方式，在此不再赘述。

702，AURF接收到UE发送的附着请求之后，请求AUSF选择AU。

在一些可行的实施方式中，AURF接收到UE发送的附着请求之后，可向所述AURF关联的AUSF发送AU选择请求。其中，在5G网络中，一个AUSF可服务多个AURF，AUSF用于选择AU。当网络中增加或者减少一个AU时，网络只需要将AU的增加或者减少的消息通知AUSF。若由AURF实现对AU的管理，网络则需要将增加AU或者减少AU的消息通知给各个AURF。由于一个AUSF可管理多个AURF，因此将增加AU或者减少AU的消息通知给各个AUSF比直接通知给各个AURF占用的信令更少，网络处理效率更高。

703，AUSF根据认证协议信息选择目标AU。

在一些可行的实施方式中，AUSF接收到AURF发送的选择AU的请求之后，可根据上述选择AU的请求中携带的认证协议的标识、选择优先级以及切片信息等选择目标AU。进一步的，AURF还可根据网络中待选择的AU中各个AU的负载状态选择目标AU。其中，上述AUSF选择的AU的具体实现方式可参见上述步骤S402中所描述的网络功能模块选择AU的实现方式，在此不再赘述。即，在图7所示的系统结构中，AU的选择可由AUSF执行，AURF可用于执行附着消息的发送。

704，AUSF将选择的目标AU的标识发送给AURF。

在一些可行的实施方式中，AUSF选择了目标AU之后，则可将选定的目标AU的标识发送给AURF，以通过AURF将UE的附着消息发送给目标AU。

705，AURF向目标AU发送附着请求。

在一些可行的实施方式中，AURF根据AUSF发送的目标AU的标识确定了目标AU之后，则可向目标AU发送附着请求，并在附着请求中添加认证协议的标识，以供目标AU与UE进行相互认证。其中，上述附着请求中携带的认证协议的标识为AUSF选定目标AU时采用的UE支持的多种认证协议中的某一种协议的标识，以指示AU通过上述认证协议与UE进行相互认证。进一步的，上述附着请求中还可携带UE的ID和切片信息等，在此不做限制。

706，AU与UE进行相互认证。

在本发明实施例中，AURF可请求AUSF根据UE支持的多种认证协议以及每种认证协议的选择优先级、网络设定的认证协议的选择优先级、切片信息、AU负载等选择目标AU，提高了AU的选择灵活性，节省了网络的信令开销，提高了AU选择的准确性和网络执行效率，增强了网络的安全性。

405，目标认证模块根据UE附着的指定网络切片的指定安全策略确定第一安全配置。

406，目标认证模块向AN发送第二业务请求响应。

407，AN根据第一安全配置或者指定安全策略确定第二安全配置。

408，AN向UE第一业务请求响应。

在一些可行的实施方式中，本发明实施例提供的管理系统还可包括安全策略控制器。上述安全策略控制器用于向认证模块或者AN下发系统中包含的各个网络切片的安全策略。具体实现中，本发明实施例提供的管理系统可由目标认证模块来执行UE所要附着的切片的安全策略，也可由目标认证模块和AN共同执行UE所要附着的切片的安全策略。具体实现中，网络切片的安全策略可规定UE与AN之间的信令的密钥的长度，还可规定加密算法的选择优先级、完整性保护算法的选择优先级以及密钥的使用范围等信息。其中，上述密钥的使用范围可包括密钥的使用时长或者密钥可用于加密多少数据包等。

在一些可行的实施方式中，若UE所要附着的切片的安全策略由目标认证模块来执行，则安全策略控制器可向目标认证模块发送系统中一个或者多个网络切片的安全策略。其中，上述一个或者多个网络切片可为目标认证模块所服务的网络切片中的一个或者多个，具体可根据实际应用场景确定，在此不做限制。目标认证模块可通过网络功能选择模块发送的第二业务请求中携带的UE的安全能力确定UE所支持的加密算法和完整性保护算法等信息。目标认证模块也可通过网络获取UE的安全能力，即UE所支持的加密算法和完整性保护算法等信息。目标认证模块还可获取AN的安全能力，即AN支持的加密算法和完整性保护算法等。其中，上述AN的安全能力可由AN发送给目标认证模块，例如，AN可将上述AN的安全能力携带在第二业务请求中发送给目标认证模块。具体实现中，目标认证模块可根据UE所要附着的指定网络切片的安全策略(即指定安全策略)生成密钥，还可根据UE的安全能力、AN的安全能力和上述指定安全策略选择加密算法和完整性保护算法。其中，上述密钥可包括至少两个密钥假设为第一密钥和第二密钥。其中，第一密钥可为用于保护UE与AN之间的信令的密钥，第二密钥可为用于保护UE和AU之间的信令的密钥。上述第一密钥和第二密钥的长度与上述指定安全策略中规定的密钥的长度一致。上述加密算法可为UE和AN均支持的加密算法中选择优先级最高的加密算法，上述完整性保护算法可为UE和AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。

在一些可行的实施方式中，目标认证模块生成了第一密钥和第二密钥，并且选定了目标加密算法和目标完整性保护算法之后，则可根据第一密钥、目标加密算法的标识和目标完整性保护算法的标识生成第一安全配置，并将第一安全配置添加至第二业务请求响应中，以通过第二业务请求响应将第一安全配置信息发送给AN。其中，上述第一安全配置信息中可包括第一密钥的使用范围，目标加密算法的标识和目标完整性保护算法的标识等信息。

在一些可行的实施方式中，AN接收到目标认证模块发送的第二业务请求响应之后，可根据第二业务请求响应中携带的第一配置信息确定上述密钥、加密算法的标识或者完整性保护算法的标识等信息。若上述第一安全配置中携带上述第一密钥、加密算法的标识和完整性保护算法的标识等信息，AN则无需执行安全策略，可直接存储上述密钥，并将上述第一安全配置中携带的加密算法的标识和完整性保护算法的标识确定为第二安全配置并添加至第一业务请求响应中，进而可将上述第一业务请求响应发送给UE，告知UE上述第二安全配置。

在一些可行的实施方式中，若UE所要附着的切片的安全策略由目标认证模块和AN共同执行，则安全策略控制器可向目标认证模块发送目标认证模块支持的一个或者多个网络切片的安全策略，安全策略控制器还可向AN发送系统中每个网络切片的安全策略。目标认证模块可通过网络功能选择模块发送的第二业务请求中携带的UE的安全能力确定UE所支持的加密算法和完整性保护算法等信息，还可将上述UE的安全能力发送给AN。目标认证模块和AN也可通过网络获取UE的安全能力，即UE所支持的加密算法和完整性保护算法等信息。具体实现中，目标认证模块可根据指定安全策略生成至少两个密钥，如上述第一密钥和第二密钥。进一步的，目标认证模块可根据上述第一密钥的使用范围和指定网络切片的标识等信息生成第一配置并添加到第二业务请求响应中。

在一些可行的实施方式中，AN接收到目标认证模块发送的第二业务请求响应之后，可根据第二业务请求响应中携带的第一配置信息确定上述密钥、加密算法的标识或者完整性保护算法的标识等信息。若上述第一安全配置中仅携带上述第一密钥的信息，AN则需执行安全策略。具体的，AN可根据上述指定网络切片的标识确定其对应的指定安全策略，进而可根据UE的安全能力和上述指定安全策略选择目标加密算法和目标完整性保护算法。进一步的，AN可将上述目标加密算法的标识和目标完整性保护算法的标识添加至上述第一安全配置中以获取第二安全配置，并将第二安全配置添加至第一业务请求响应中，进而可将上述第一业务请求响应发送给UE，告知UE上述第二安全配置。

本发明实施例可通过根据认证协议选择的目标认证模块实现安全配置的生成，或者通过根据认证协议选定的目标认证模块和AN实现安全配置的生成，选择灵活性高，增强了网络的安全性。

下面将结合图8和图9对本发明实施例提供的管理系统在不同的应用场景中执行安全策略的实现方式进行说明。

在一些可行的实施方式中，如图8，图8是本发明实施例提供的管理系统执行安全策略的一交互示意图。在图8所示的系统结构中包括UE、AN、认证模块和安全策略控制器，安全配置的执行由AN和认证模块协同完成。其中，认证模块将以AU为例进行说明，第一业务请求和第二要求请求均以附着请求为例进行说明。图8所示的管理系统提供的安全配置的执行过程包括步骤：

801，AN向安全策略控制器汇报其安全能力。

在一些可行的实施方式中，可选的，AN可在执行安全策略之前将其安全能力汇报给安全策略控制器，安全策略控制器可记录AN的安全能力，以备后续安全策略的下发使用。其中，上述AN的安全能力可包括AN支持的加密算法、完整性保护算法等，在此不做限制，

802，安全策略控制器向AN下发每个网络切片的安全策略。

在一些可行的实施方式中，安全配置的执行过程中，安全策略控制器可向AN下发每个切片的安全策略，以供AN执行安全策略时使用。其中，每个切片的安全策略中包括切片所支持的每个加密算法的选择优先级顺序、切片所支持的每个完整性保护算法的选择优先级顺序以及密钥的长度和使用范围等信息。其中，上述密钥包括用于保护UE与AN之间的信令的第一密钥和用于保护UE和认证模块之间的信令的第二密钥。其中，不同切片的安全策略规定的密钥的长度和使用范围可不同，不同切片的安全策略中包含的加密算法的选择优先级顺序和完整性保护算法的选择优先级的顺序也可不同，具体可根据实际应用场景确定，在此不做限制。

803，安全策略控制器向AU下发一个或者多个切片的安全策略。

在一些可行的实施方式中，安全策略控制器下发安全策略的AU具体可为网络功能选择模块选定的目标AU。目标AU(以下简称AU)可服务一个或者多个切片。安全策略控制器可向AU下发AU所服务的所有切片的安全策略。其中，上述安全策略可包括密钥的长度和密钥的使用范围等信息。

804，UE向AN发送附着请求。

在一些可行的实施方式中，上述附着请求可为上述UE向网络功能选择模块发送的第一业务请求(即附着请求)。UE向AN发送附着请求，AN可将UE发送的附着请求发送给系统中的网络功能选择模块等。具体实现中，上述UE向AN发送的附着请求中可携带UE的安全能力或者UE所要附着的切片的切片信息等。其中，UE的安全能力包括UE支持的加密算法或者完整性保护算法等。上述UE所要附着的切片的切片信息包括切片标识、切片类型、切片支持的业务类型、切片租户标识等，具体可根据实际应用场景需求确定，在此不做限制。

805，AN向AU发送附着请求。

在一些可行的实施方式中，AN可将附着请求直接发送给AU，也可通过其他网元(例如网络功能选择模块)转发给AU，例如，AN可通过网络功能选择模块向AU发送第二业务请求等。其中，上述AN向AU发送的附着请求也可携带UE的安全能力或者UE所要附着的切片的切片信息等信息，在此不做限制。其中，若AU服务多个切片，AN则可在向AU发送附着请求时在附着请求中携带UE所要附着的切片的标识等切片信息。若AU服务单个切片，AN在向AU发送附着请求时则可不在附着请求中携带UE所要附着的切片的标识等切片信息。其中，上述附着请求中是否携带UE所要附着的切片的标识等切片信息具体可根据实际应用场景确定，在此不做限制，下面不再赘述。

806，AU与UE进行相互认证。

在一些可行的实施方式中，UE发送附着请求至AU接收到附着请求，并与UE进行相互认证的具体实现可参见上述实施例中的步骤S401至S404中描述的实现方式，在此不再赘述。

807，AU根据UE所要附着的切片的安全策略生成密钥。

在一些可行的实施方式中，AU可根据UE所要附着的切片(即上述指定网络切片)的安全策略生成至少两个密钥，包括上述第一密钥和第二密钥。其中，第一密钥和第二密钥的长度与指定网络切片的安全策略(即上述指定安全策略)中规定的密钥长度相符。

进一步的，AU还可根据上述密钥和指定网络切片的标识生成第一安全配置，并将第一安全配置添加至准备发送给AN的第二业务请求响应中。其中，上述第二业务请求响应具体可为UE附着到指定网络切片成功的附着成功消息。

808，AU向AN发送附着成功消息。

在一些可行的实施方式中，上述附着成功消息中可携带指定网络切片的标识和上述密钥等信息。

809，AN根据密钥和指定安全策略生成第二安全配置。

在一些可行的实施方式中，AN接收到附着成功消息之后，可从附着成功消息中获取指定网络切片的标识和第一安全配置等信息。AN可存储上述第一安全配置中携带的密钥，并可根据第一安全配置中携带的上述指定网络切片的标识确定其对应的指定安全策略，进而可根据UE的安全能力和上述指定安全策略选择目标加密算法和目标完整性保护算法。进一步的，AN可将上述目标加密算法的标识和目标完整性保护算法的标识添加至上述第一安全配置中以获取第二安全配置，并将第二安全配置添加至准备发送给UE的第一业务请求响应中，通过第二业务请求响应将第二安全配置发送给UE。

810，AN向UE发送安全配置。

在一些可行的实施方式中，AN可将上述第一业务请求响应(即附着请求响应)发送给UE，在上述附着请求响应中携带第二安全配置的信息，以通过附着请求响应告知UE上述第二安全配置。

在本发明实施例中，系统可通过AU和AN执行安全策略，进而可通过安全配置的执行来完成UE附着到指定网络切片的操作，保障系统的安全，实现多切片网络的安全管理。

在一些可行的实施方式中，如图9，图9是本发明实施例提供的管理系统执行安全策略的另一交互示意图。在图9所示的系统结构中包括UE、AN和认证模块，安全配置的执行由认证模块完成，AN可向认证模块汇报其安全能力和执行安全策略的转发。其中，认证模块将以AU为例进行说明，第一业务请求和第二要求请求均以附着请求为例进行说明。图9所示的管理系统提供的安全配置的执行过程包括步骤：

901，安全策略控制器向AU下发一个或者多个切片的安全策略。

在一些可行的实施方式中，安全策略控制器下发安全策略的AU具体可为网络功能选择模块选定的目标AU。目标AU(以下简称AU)可服务一个或者多个切片。安全策略控制器可向AU下发AU所服务的所有切片的安全策略。每个切片的安全策略中包括切片所支持的每个加密算法的选择优先级顺序、切片所支持的每个完整性保护算法的选择优先级顺序以及密钥的长度和使用范围等信息。其中，上述密钥包括用于保护UE与AN之间的信令的第一密钥和用于保护UE和认证模块之间的信令的第二密钥。其中，不同切片的安全策略规定的密钥的长度和使用范围可不同，不同切片的安全策略中包含的加密算法的选择优先级顺序和完整性保护算法的选择优先级的顺序也可不同，具体可根据实际应用场景确定，在此不做限制。

902，AN可向AU汇报其安全能力。

在一些可行的实施方式中，AN可将其支持的加密算法或者完整性保护算法等信息发送给AU，以供AU根据其安全能力和UE的安全能力选择相应的加密算法或者完整性保护算法。其中，AN向AU汇报其安全能力的过程可在AU执行安全策略之前的任意时刻进行，在此不做限制。AU可存储AN的安全能力，以备后续执行安全策略使用。

903，UE向AN发送附着请求。

904，AN向AU发送附着请求。

在一些可行的实施方式中，AN可将附着请求直接发送给AU，也可通过其他网元(例如网络功能选择模块)转发给AU，例如，AN可通过网络功能选择模块向AU发送第二业务请求等。其中，上述AN向AU发送的附着请求也可携带UE的安全能力或者UE所要附着的切片的切片信息等信息，在此不做限制。

905，AU与UE进行相互认证。

在一些可行的实施方式中，AU接收到附着请求之后，与UE进行相互认证的具体实现可参见上述实施例中的步骤S401至S404中描述的实现方式，在此不再赘述。

906，AU根据UE所要附着的切片的安全策略和UE的安全能力、AN的安全能力等信息生成第一安全配置。

在一些可行的实施方式中，AU可通过第二业务请求(即附着请求)中携带的UE的安全能力确定UE所支持的加密算法和完整性保护算法等信息。AU也可通过网络获取UE的安全能力，即UE所支持的加密算法和完整性保护算法等信息。AU还可获取AN的安全能力，即AN支持的加密算法和完整性保护算法等。具体实现中，AU可根据UE所要附着的指定网络切片的安全策略(即指定安全策略)生成密钥，还可根据UE的安全能力、AN的安全能力和上述指定安全策略选择加密算法和完整性保护算法。其中，上述密钥可包括至少两个密钥假设为第一密钥和第二密钥。其中，第一密钥可为用于保护UE与AN之间的信令的密钥，第二密钥可为用于保护UE和AU之间的信令的密钥。上述第一密钥和第二密钥的长度与上述指定安全策略中规定的密钥的长度一致。上述加密算法可为UE和AN均支持的加密算法中选择优先级最高的加密算法，上述完整性保护算法可为UE和AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。

在一些可行的实施方式中，AU生成了第一密钥和第二密钥，并且选定了目标加密算法和目标完整性保护算法之后，则可根据第一密钥、目标加密算法的标识和目标完整性保护算法的标识生成第一安全配置，并将第一安全配置添加至第二业务请求响应中，以通过第二业务请求响应将第一安全配置信息发送给AN。其中，上述第一安全配置信息中可包括第一密钥的使用范围，目标加密算法的标识和目标完整性保护算法的标识等信息。

907，AU向AN发送附着成功消息。

在一些可行的实施方式中，上述附着成功消息中可携带第一安全配置的信息。

908，AN向UE发送安全配置。

在一些可行的实施方式中，AN接收到附着成功消息之后，可从附着成功消息中获取第一安全配置，进而可存储上述第一安全配置中携带的密钥，并根据上述第一安全配置中携带的加密算法的标识和完整性保护算法的标识生成为第二安全配置，并将第二安全配置添加至准备发送给UE的第一业务请求响应中，通过第一业务请求响应将第二安全配置发送给UE。

在本发明实施例中，系统可通过AU执行安全策略，进而可通过安全配置的执行来完成UE附着到指定网络切片的操作，保障系统的安全，实现多切片网络的安全管理。

下面将结合图10至图14对本发明实施例提供的管理系统在不同的应用场景中执行网络的安全管理的实现方式进行说明。

在一些可行的实施方式中，如图10，图10是本发明实施例提供的管理系统执行网络的安全管理的一交互示意图。在图10所示的系统结构中包括UE、AN、网络功能选择模块和认证模块。其中，网络功能选择模块将以SSF和MM为例进行说明，其中SSF和MM均可提供AURF和AUSF的功能。认证模块将以AU为例进行说明，第一业务请求和第二要求请求均以附着请求为例进行说明。进一步的，在图10中，本发明实施例提供的管理系统还可与5G网络架构中的会话管理(英文：Session Management，SM)、UP-GW和签约数据库进行交互。

在该应用场景中，UE无法提供切片标识，UE在附着过程中将进行两次认证。第一次AU的选择可实现切片的选择，其中，第一次AU的选择在SSF进行。第二次AU的选择可实现切片的安全策略，第二次AU的选择在MM进行。SSF和MM都提供AUSF和AURF的功能。

图10所示的管理系统提供的网络的安全管理的执行过程包括步骤：

1001，UE向AN发送附着请求，并通过AN发送给SSF。

具体实现中，上述附着请求可为上述第一业务请求，上述附着请求中携带认证协议信息。

1002，SSF根据认证协议信息选择AU。

具体实现中，SSF根据认证协议信息选择AU的具体实现过程可参见上述步骤S402中所描述的实现方式，在此不再赘述。

1003，AU和UE使用选定的认证协议进行相互认证，并将认证结果告知给SSF。

其中，上述步骤S1003可包括以下小步骤：

3a、SSF向AU发送附着请求。

其中，上述附着请求中携带认证协议信息。AU可根据上述认证协议信息选择UE支持并且AU也支持的认证协议，具体选择方式可参见上述步骤S401-S404中描述的实现方式。

3b、AU向UE反馈认证协议的标识。

AU选择了目标认证协议之后，则可将认证协议的标识发送给UE，以通过上述目标认证协议实现与UE的相互认证。

3c、AU与UE进行相互认证。

3d、AU向SSF发送与UE进行相互认证的结果。

1004，SSF选择切片。

具体实现中，SSF根据AU和UE的认证结果选择UE附着的切片，具体实现方式可参见现有5G网络系统中提供的实现方式在此不再赘述。

1005，SSF将切片的标识发送给AN。

具体实现中，SSF选择切片之后可将切片的标识发送给AN，以通过AN选择实现UE的切片附着的MM。

1006，AN选择MM。

其中，上述AN根据UE所要附着的切片的标识选择MM的具体实现方式可参见现有的5G网络系统中提供的实现方式，在此不再赘述。

1007，UE进行选定的切片的附着流程，包括以下步骤：

7a、AN将UE的附着请求发送至MM。

其中，上述附着请求中包含认证协议信息。

7b、MM根据认证协议信息选择AU。

7c、MM将UE的附着请求发送至选好的AU。

其中，上述附着请求中可包含认证协议信息。若选好的AU只支持一种认证协议，则上述附着请求中可不包含认证协议信息。若选好的AU支持多种认证协议，则上述附着请求中可包含选择AU时确定的认证协议。

7d、AU将选好的认证协议的标识告知UE。

可选的，上述选好的认证协议的标识也可由提供AURF功能的SSF或者MM发送，在此不做限制。

7e、UE和AU进行相互认证，AU授权UE附着切片。

具体实现中，上述7a至7e中所描述的AU与UE根据认证协议进行相互认证的实现方式可参见上述步骤S401至S402所描述的实现方式，在此不再赘述。

7f、设置UP连接。

7g、执行切片的安全策略。

具体实现中，AU依据被附着切片的安全策略等信息生成第一安全配置。，上述第一安全配置包含密钥，进一步的，还可包含加密算法的标识或者完整性保护算法的标识等信息，具体可根据AU执行安全策略的实现方式确定，具体可参见上述各个应用场景中描述的实现方式，在此不再赘述。

7h、AU发送附着响应至AN。

其中，上述附着响应中可包含第一安全配置。

1008，执行切片的安全策略。

可选的，AN依据第一安全配置和被附着切片的安全策略等信息确定第二安全配置。若上述AU生成的第一安全配置中包含的密钥、加密算法和完整性保护算法等信息，则该步骤可无。若上述AU生成的第一安全配置仅包含密钥，则AN可进一步选择加密算法和完整性保护算法等信息，以确定包含密码、加密算法和完整性保护算法等信息的第二安全配置。

1009，AN发送附着响应至UE。

其中，上述附着响应可包括第二安全配置。

在一些可行的实施方式中，如图11，图11是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图。在图11所示的系统结构中包括UE、AN、网络功能选择模块和认证模块。其中，网络功能选择模块将以SSF和MM为例进行说明，其中SSF和MM均可提供AURF和AUSF的功能。认证模块将以AU为例进行说明，第一业务请求和第二要求请求均以附着请求为例进行说明。进一步的，在图11中，本发明实施例提供的管理系统还可与5G网络架构中的SM、GW-U和签约数据库进行交互。

在该应用场景中，UE提供切片标识，UE在附着过程中会进行一认证。AU的选择在MM进行。MM提供AUSF和AURF的功能。

图11所示的管理系统提供的网络的安全管理的执行过程包括步骤：

1101，UE将附着请求发送给AN，请求中包含UE的认证协议信息。

1102，AN将UE的附着请求发送给MM。

1103，MM根据附着请求中的认证协议信息选择AU。

1104，MM将UE的附着请求发送至选好的AU，请求中包含认证协议信息。

1105，(可选)AU将选好的认证协议的标识告知UE。

1106，UE和AU使用上述认证协议进行相互认证。

1107，(可选)设置UP连接。

1108，执行切片的安全策略。

具体实现总，AU依据被附着切片的安全策略等信息生成第一安全配置。上述第一安全配置包含密钥，进一步的，还可包含加密算法的标识或者完整性保护算法的标识等信息，具体可根据AU执行安全策略的实现方式确定，具体可参见上述各个应用场景中描述的实现方式，在此不再赘述。

1109，AU发送附着响应至AN。

其中，附着响应可能包含第一安全配置。

1110，执行切片的安全策略。

1111，AN发送附着响应至UE。

具体实现中，上述各个步骤的实现方式可参见上述图10所示的应用场景的实施例中各个步骤所描述的实现方式，在此不再赘述。

在一些可行的实施方式中，如图12，图12是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图。在图12所示的系统结构中包括UE、AN、网络功能选择模块和认证模块。其中，网络功能选择模块将以SSF和MM为例进行说明，其中SSF和MM均可提供AURF和AUSF的功能。认证模块将以AU为例进行说明，第一业务请求和第二要求请求均以新业务请求为例进行说明。进一步的，在图12中，本发明实施例提供的管理系统还可与5G网络架构中的SM、GW-U和签约数据库进行交互。

在该实施例中，UE已经附着到一个切片，通过新业务请求附着到另一个切片，UE在附着过程中会进行一次认证。AU的选择在SSF进行。SSF提供AUSF和AURF的功能。

图12所示的管理系统提供的网络的安全管理的执行过程包括步骤：

1201，UE将新业务请求发送给AN，请求中包含UE的认证协议信息。

1202，网络执行切片选择和AU选择，包括步骤：

2a、AN将新业务请求发送给MM，新业务请求中携带认证协议信息。

2b、MM将新业务请求发送给SSF，新业务请求中携带认证协议信息。

2c、SSF选择切片，并根据认证协议信息选择AU。

其中，SSF选择切片的过程可参见现有5G架构的系统提供的实现方式，在此不做限制。SSF可根据选定的切片和新业务请求中携带的认证协议信息选择目标AU，以通过目标AU实现UE附着到另一个切片的操作。

2d、SSF向AU发送新业务请求。

其中，上述新业务请求携带切片的ID和认证协议信息。

1203，(可选)AU将选好的认证协议标识告知UE。

1204，UE和AU使用上述认证协议进行相互认证和UE所要附着的切片的授权。

1205，MM向SM发送新业务请求。

1206，设置UP连接。

1207，MM发送新业务响应至UE。

具体实现中，上述各个步骤的实现方式可参见上述各个应用场景的实施例中各个步骤所描述的实现方式，在此不再赘述。

在一些可行的实施方式中，如图13，图13是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图。在图13所示的系统结构中包括UE、AN和认证模块。其中，网络功能选择模块所执行的实现方式由AN执行进行说明，AN可提供AURF和AUSF的功能。认证模块将以Front-end为例进行说明，Front-end可提供AU的功能。第一业务请求和第二要求请求均以附着请求为例进行说明。

在该实施例中，名为front-end的网元提供AU功能，分配给UE的front-end同时负责转发UE的所有控制面(Control Plane，CP)信令给切片独占的网元。UE在附着过程中会和front-end进行一认证。front-end的选择在RAN进行。RAN提供AUSF和AURF的功能。

图13所示的管理系统提供的网络的安全管理的执行过程包括步骤：

1301，UE将附着请求发送给RAN。

其中，附着请求中包含UE的认证协议信息、UE的标识、切片信息以及UE的安全能力等信息。

1302，RAN根据附着请求中的认证协议信息选择默认front-end。

1303，RAN将UE的附着请求发送至选好的默认front-end，请求中包含认证协议信息。

1304，UE和默认front-end使用上述认证协议进行相互认证。

1305，默认front-end检查UE的签约信息，并选择front-end。

1306，默认front-end将附着请求转发给选择的front-end。

1307，选择的front-end发送附着接受消息给默认front-end。

1308，默认的front-end发送附着接受消息给RAN。

1309，RAN执行切片的安全策略。

具体实现中，可选的，RAN依据被附着切片的安全策略生成安全配置，包括第一密钥、第二密钥、加密算法和完整性保护算法等。

1310，RAN发送附着接受消息至UE。

在一些可行的实施方式中，如图14，图14是本发明实施例提供的管理系统执行网络的安全管理的另一交互示意图。在图14所示的系统结构中包括UE、下一代接入网和认证模块。其中，AN和网络功能选择模块所执行的实现方式由下一代接入网执行进行说明，下一代接入网可提供AURF和AUSF的功能。认证模块将以ACA为例进行说明，ACA可提供AU的功能。第一业务请求和第二要求请求均以附着请求为例进行说明。进一步的，在图14中，本发明实施例提供的管理系统还可与5G网络架构中的HSS进行交互。

在该实施例中，名为ACA的网元提供AU功能，ACA同时提供切片选择功能。UE在附着过程中会和ACA进行一认证。ACA的选择在下一代接入网(即下一代RAN)进行。下一代接入网提供AUSF和AURF的功能。

图14所示的管理系统提供的网络的安全管理的执行过程包括步骤：

1401，UE与下一代接入网建立连接。

1402，UE将附着请求发送给下一代接入网，请求中包含认证协议信息。

1403，下一代接入网根据附着请求中的认证协议信息选择ACA。

1404，下一代接入网将UE的附着请求发送至选好的ACA，请求中包含认证协议信息。

1405，(可选的)ACA发送认证协议标识给UE。

1406，UE和ACA使用上述认证协议进行相互认证。

1407，ACA向HSS更新UE位置信息。

1408，ACA执行切片的安全策略。

具体的，ACA依据被附着切片的安全策略生成密钥，还可能根据UE的安全能力和切片的安全策略等信息选择加密算法和完整性保护算法，并将加密算法的标识和完整性保护算法的标识等信息添加至第一安全配置中。

1409，ACA向下一代接入网发送附着响应消息。

1410，下一代接入网执行切片的安全策略。

具体实现中，可选的，下一代接入网可依据被附着切片的安全策略和UE的安全能力等信息选择加密算法和完整性保护算法，并结合第一安全配置确定第二安全配置。

1411，下一代接入网发送附着响应消息至UE。

附着响应消息中可携带第二安全配置。

参见图15，是本发明实施例提供的网络安全的管理系统的另一结构示意图。本发明实施例提供的管理系统可包括UE、网络功能选择模块和至少两个认证模块。其中，上述至少两个认证模块中包括多个切片共享的认证模块，也包括单个切片独享的认证模块。上述至少两个认证模块也可全部为多个切片共享的认证模块，或者全部为单个切片独享的认证模块，具体可根据实际应用场景确定，在此不做限制。其中，共享的认证模块可包含多个，每个共享的认证模块为至少两个切片服务，独享的认证模块也可包括多个，每个独享的认证模块服务一个切片。具体实现中，认证模块的数量以及每个认证模块服务的切片的分布状态可根据实际应用场景确定，在此不做限制。

在本发明实施例中，上述网络功能选择模块可包括AUSF、AURF、SSF以及MM等，具体可根据实际应用场景确定，在此不做限制。

在本发明实施例中，上述认证模块可包括：AU、Front-end以及ACA等，具体可根据实际应用场景确定，在此不做限制。

参见图16，图16是本发明实施例提供的管理系统中各个功能模块(包括UE、AN、网络功能选择模块和认证模块)实现网络的安全管理的一交互示意图。图15所示的系统实现网络的安全管理的过程可包括步骤：

1601，UE向网络功能选择模块发送第一业务请求，第一业务请求中携带认证协议信息。

1602，网络功能选择模块根据认证协议信息，从至少两个认证模块中选择目标认证模块。

1603，网络功能选择模块向目标认证模块发送第二业务请求。

1604，目标认证模块接收第二业务请求，并与UE进行相互认证。

在一些可行的实施方式中，上述第一业务请求具体可为UE请求附着到一个切片的附着请求。上述第一业务请求也可为UE已经附着到一个切片并且希望通过新业务请求附着到另一个切片时发送的新业务请求。其中，上述附着请求或者新业务请求中携带认证协议信息。上述认证协议信息包括UE支持的一个或者多个认证协议的标识、或者UE支持的多个认证协议中每个认证协议的选择优先级等信息。上述附着请求或者新业务请求中也可携带UE所要附着的切片的标识等。其中，上述第一业务请求的类型以及第一业务请求中携带的认证协议信息具体可根据实际应用场景确定，在此不做限制。

在一些可行的实现方式中，若上述目标认证模块只支持一种认证协议，目标认证模块则可直接使用上述认证协议与UE进行相互认证。若上述目标认证模块可支持多种认证协议，目标认证模块可接收网络功能选择模块发送的第二业务请求，并根据上述第二业务请求中携带的UE和目标认证模块均支持的认证协议与UE进行相互认证。具体实现中，上述第二业务请求中还可携带UE的标识，例如UE的ID等，在此不做限制。其中，上述认证模块通过UE的ID或者切片信息实现与UE的相互认证的实现方式可参见5G框架中的系统交互的现有实现方式，在此不再赘述。

具体实现中，本发明实施例提供的管理系统在不同的应用场景中实现认证模块的选择的实现方式可参见上述图5至图7中各个实施例的各个步骤中描述的实现方式，在此不再赘述。

参见图17，是本发明实施例提供的网络安全的管理系统的另一结构示意图。本发明实施例提供的管理系统可包括UE、AN、安全策略控制器和认证模块。其中，上述认证模块中包括多个切片共享的认证模块中的某一个，也包括单个切片独享的认证模块。其中，共享的认证模块可包含多个，每个共享的认证模块为至少两个切片服务，独享的认证模块也可包括多个，每个独享的认证模块服务一个切片。具体实现中，认证模块的数量以及每个认证模块服务的切片的分布状态可根据实际应用场景确定，在此不做限制。

参见图18，图18是本发明实施例提供的管理系统中各个功能模块(包括UE、AN、安全策略控制器和认证模块)实现网络的安全管理的另一交互示意图。图17所示的系统实现网络的安全管理中安全配置的管理的过程可包括步骤：

1801，安全策略控制器向AN或者认证模块下发网络切片的安全策略。

1802，UE向AN发送第一业务请求，第一业务请求中携带UE所要附着的指定网络切片的标识。

1803，AN向认证模块发送第二业务请求，第二业务请求中携带UE所要附着的指定网络切片的标识。

1804，认证模块接收第二业务请求并与UE进行相互认证。

1805，认证模块根据指定网络切片的指定安全策略确定第一安全配置。

1806，AN发送第二业务请求响应，第二业务请求响应中携带第一安全配置。

1807，AN根据第一安全配置或者指定安全策略确定第二安全配置。

1808，AN向UE发送第一业务请求响应，第一业务请求响应中携带第二安全配置。

在一些可行的实施方式中，本发明实施例提供的安全策略控制器用于向认证模块或者AN下发系统中包含的各个网络切片的安全策略。具体实现中，本发明实施例提供的管理系统可由目标认证模块(即图17中的认证模块)来执行UE所要附着的切片的安全策略，也可由目标认证模块和AN共同执行UE所要附着的切片的安全策略。具体实现中，网络切片的安全策略可规定UE与AN之间的信令的密钥的长度，还可规定加密算法的选择优先级、完整性保护算法的选择优先级以及密钥的使用范围等信息。其中，上述密钥的使用范围可包括密钥的使用时长或者密钥可用于加密多少数据包等。

在一些可行的实施方式中，若UE所要附着的切片的安全策略由目标认证模块来执行，则安全策略控制器可向目标认证模块发送系统中一个或者多个网络切片的安全策略。其中，上述一个或者多个网络切片可为目标认证模块所服务的网络切片中的一个或者多个，具体可根据实际应用场景确定，在此不做限制。

具体实现中，UE可向AN发送第一业务请求。其中，第一业务请求中携带UE的安全能力和UE所要附着的指定网络切片的标识。AN接收到第一业务请求之后，可向认证模块发送第二业务请求。其中，第二业务请求中携带UE的安全能力和UE所要附着的指定网络切片的标识。认证模块接收第二业务请求之后，则可与UE进行相互认证，进而可执行UE所要附着的切片的安全策略。

在一些可行的实施方式中，目标认证模块可通过第二业务请求中携带的UE的安全能力确定UE所支持的加密算法和完整性保护算法等信息。目标认证模块也可通过网络获取UE的安全能力，即UE所支持的加密算法和完整性保护算法等信息。目标认证模块还可获取AN的安全能力，即AN支持的加密算法和完整性保护算法等。其中，上述AN的安全能力可由AN发送给目标认证模块，例如，AN可将上述AN的安全能力携带在第二业务请求中发送给目标认证模块。具体实现中，目标认证模块可根据UE所要附着的指定网络切片的安全策略(即指定安全策略)生成密钥，还可根据UE的安全能力、AN的安全能力和上述指定安全策略选择加密算法和完整性保护算法。其中，上述密钥可包括至少两个密钥假设为第一密钥和第二密钥。其中，第一密钥可为用于保护UE与AN之间的信令的密钥，第二密钥可为用于保护UE和AU之间的信令的密钥。上述第一密钥和第二密钥的长度与上述指定安全策略中规定的密钥的长度一致。上述加密算法可为UE和AN均支持的加密算法中选择优先级最高的加密算法，上述完整性保护算法可为UE和AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。

在一些可行的实施方式中，若UE所要附着的切片的安全策略由目标认证模块和AN共同执行，则安全策略控制器可向目标认证模块发送目标认证模块支持的一个或者多个网络切片的安全策略，安全策略控制器还可向AN发送系统中每个网络切片的安全策略。目标认证模块可通过第二业务请求中携带的UE的安全能力确定UE所支持的加密算法和完整性保护算法等信息，还可将上述UE的安全能力发送给AN。目标认证模块和AN也可通过网络获取UE的安全能力，即UE所支持的加密算法和完整性保护算法等信息。具体实现中，目标认证模块可根据指定安全策略生成至少两个密钥，如上述第一密钥和第二密钥。进一步的，目标认证模块可根据上述第一密钥的使用范围和指定网络切片的标识等信息生成第一配置并添加到第二业务请求响应中。

具体实现中，本发明实施例提供的管理系统在不同的应用场景中由不同的模块执行安全策略的具体实现过程可参见上述图8和图9对应的各个实施例中各个步骤描述的实现方式，在此不再赘述。

参见图19，是本发明实施例提供的网络安全的管理方法的一流程示意图。本发明实施例提供的管理方法可包括步骤：

S1901，网络功能选择模块接收用户设备UE发送的第一业务请求。

其中，上述第一业务请求中携带认证协议信息。

S1902，所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块。

S1903，所述网络功能选择模块向所述目标认证模块发送第二业务请求。

在一些可行的实施方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；

在一些可行的实施方式中，若支持所述第一认证协议的认证模块多于一个，所述方法还包括：

所述第一业务请求中还携带所述指定网络切片的标识；

在一些可行的实施方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述方法还包括：

在一些可行的实施方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

在一些可行的实施方式中，若所述待选定认证模块多于一个，所述方法还包括：

在一些可行的实施方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

在一些可行的实施方式中，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

具体实现中，上述管理方法中各个步骤所描述的实现方式可参见上述各个系统中各个应用场景对应的执行方式，在此不再赘述。

参见图20，是本发明实施例提供的网络安全的管理方法的另一流程示意图。本发明实施例提供的管理方法可包括步骤：

S2501，第二网络功能选择模块接收第一网络功能选择模块发送的认证模块选择请求。

其中，所述认证模块选择请求中携带用户设备UE发送的认证协议信息。

其中，上述第一业务请求中携带用户设备UE发送的认证协议信息。

S2502，第二网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块。

S2503，所述第二网络功能选择模块向所述第一网络功能选择模块发送所述目标认证模块的标识，以通过所述第一网络功能选择模块向所述目标认证模块发送业务请求。

本发明实施例可通过第一网络功能选择模块执行消息的路由，由第二网络功能选择模块实现认证模块的选择，可节省网络的信令开销，提高认证模块选择的效率。

参见图21，是本发明实施例提供的网络安全的管理方法的另一流程示意图。本发明实施例提供的管理方法可包括步骤：

S2001，认证模块接收安全策略控制器下发的网络切片的安全策略。

S2002，所述认证模块接收接入网AN发送的业务请求。

其中，上述业务请求中携带用户设备UE的安全能力和所述UE所要附着的指定网络切片的标识。

S2003，所述认证模块根据所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置。

S2004，所述认证模块向所述AN发送业务请求响应。

其中，上述业务请求响应中携带所述安全配置。

在一些可行的实施方式中，所述指定安全策略中包含密钥信息、加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

在一些可行的实施方式中，所述指定安全策略中包含密钥信息；

所述根据所述指定安全策略确定安全配置包括：

在一些可行的实施方式中，所述指定安全策略中包含加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

在一些可行的实施方式中，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

在一些可行的实施方式中，所述认证模块包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。

参见图22，是本发明实施例提供的网络安全的管理方法的另一流程示意图。本发明实施例提供的管理方法可包括步骤：

S2101，接入网AN接收用户设备UE发送的第一业务请求。

其中，上述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识。

S2102，所述AN向认证模块发送第二业务请求。

其中，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力。

S2103，所述AN接收安全策略控制器下发的网络切片的安全策略。

S2104，所述AN接收所述认证模块发送的第二业务请求响应。

其中，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置。

S2105，所述AN根据所述第一安全配置确定第二安全配置，并向所述UE发送第一业务请求响应。

其中，所述第一业务请求响应中携带所述第二安全配置。

在一些可行的实施方式中，所述第一安全配置中包含密钥、加密算法的标识或者完整性保护算法的标识；

所述AN根据所述第一安全配置确定第二安全配置包括：

参见图23，是本发明实施例提供的网络安全的管理方法的另一流程示意图。本发明实施例提供的管理方法可包括步骤：

S2601，接入网AN接收用户设备UE发送的第一业务请求。

其中，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识。

S2602，所述AN向认证模块发送第二业务请求。

其中，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识。

S2603，所述AN接收所述认证模块发送的第二业务请求响应。

S2604，所述AN根据所述UE的安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应。

其中，所述第一业务请求响应中携带所述第二安全配置。

在一些可行的实施方式中，所述AN根据所述UE的安全能力和和所述指定网络切片的标识对应的指定安全策略确定第二安全配置包括：

参见图24，是本发明实施例提供的网络安全的管理装置的一结构示意图。如图24，本发明实施例提供的管理装置具体可为本发明实施例提供的网络功能选择模块，其可包括：

接收单元221，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息。

选择单元222，用于根据接收单元接收的所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块。

发送单元223，用于向所述选择单元选择的所述目标认证模块发送第二业务请求。

所述选择单元222具体用于：

在一些可行的实施方式中，若支持所述第一认证协议的认证模块多于一个；

所述选择单元222具体用于：

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元222具体用于：

在一些可行的实施方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述选择单元222具体用于：

所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述选择单元222具体用于：

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元222具体用于：

在一些可行的实施方式中，若所述待选定认证模块多于一个，所述选择单元222具体用于：

所述选择单元222具体用于：

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元222具体用于：

在一些可行的实施方式中，所述选择单元222包括第一子单元和第二子单元；

在一些可行的实施方式中，所述第二子单元具体用于执行上述任一项选择单元所执行的实现方式。

在一些可行的实施方式中，所述选择单元222包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。

在一些可行的实施方式中，所述第一子单元为AURF，所述第二子单元为AUSF。

参见图25，是本发明实施例提供的网络安全的管理装置的另一结构示意图。如图25，本发明实施例提供的管理装置具体可为本发明实施例提供的认证模块，其可包括：

接收单元231，用于接收安全策略控制器下发的网络切片的安全策略。

所述接收单元231，还用于接收接入网AN发送的业务请求，所述业务请求中携带用户设备UE的安全能力和所述UE所要附着的指定网络切片的标识。

执行单元232，用于根据所述接收单元231接收的所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置。

发送单元233，用于向所述AN发送业务请求响应，所述业务请求响应中携带所述执行单元232确定的所述安全配置。

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元232具体用于：

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元具体用于：

在一些可行的实施方式中，所述执行单元232包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。

参见图26，是本发明实施例提供的网络安全的管理装置的另一结构示意图。如图26，本发明实施例提供的管理装置具体可为本发明实施例提供的AN(或者RAN)，其可包括：

接收单元241，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识。

发送单元242，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力。

所述接收单元241，还用于接收安全策略控制器下发的网络切片的安全策略。

所述接收单元241，还用于接收所述认证模块发送的第二业务请求响应，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置。

处理单元243，用于根据所述接收单元接收的所述第一安全配置确定第二安全配置。

所述发送单元242，还用于向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述处理单元确定的所述第二安全配置。

所述处理单元243具体用于：

参见图27，是本发明实施例提供的网络安全的管理装置的另一结构示意图。如图27，本发明实施例提供的管理装置具体可为本发明实施例提供的AN(或者RAN)，其可包括：

接收单元271，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识。

发送单元272，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识。

所述接收单元271，还用于接收所述认证模块发送的第二业务请求响应。

处理单元273，用于根据所述接收单元接收的所述UE安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置。

所述发送单元272，还用于向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述处理单元确定的所述第二安全配置。

在一些可行的实施方式中，所述处理单元具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略；

本发明的说明书、权利要求书以及附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或者单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或者单元，或可选地还包括对于这些过程、方法、系统、产品或设备固有的其他步骤或单元。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)或随机存储记忆体(Random Access Memory，RAM)等。

以上所揭露的仅为本发明较佳实施例而已，当然不能以此来限定本发明之权利范围，因此依本发明权利要求所作的等同变化，仍属本发明所涵盖的范围。

Claims

一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理，所述系统包括：用户设备UE、接入网AN、网络功能选择模块和至少两个认证模块；

所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；

所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；

所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证；

所述目标认证模块还用于根据所述UE附着的指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；

所述AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。
如权利要求2所述的管理系统，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。
如权利要求4所述的管理系统，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。
如权利要求6-8任一项所述的管理系统，其特征在于，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：

根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；

若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。
如权利要求1所述的管理系统，其特征在于，所述网络功能选择模块包括第一子模块和第二子模块；

所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述第二子模块发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；

所述第二子模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子模块发送所述目标认证模块的标识；

所述第一子模块还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。
如权利要求12所述的管理系统，其特征在于，所述第二子模块具体用于执行如所述权利要求2-11中任一项所述的网络功能选择模块所执行的实现方式。
如权利要求2-11任一项所述的管理系统，其特征在于，所述管理系统还包括安全策略控制器；

所述安全策略控制器用于向所述认证模块或者所述AN下发网络切片的安全策略。
如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；

所述目标认证模块还用于：

确定所述指定网络切片对应的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。
如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述目标认证模块还用于：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略，并根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述目标加密算法的标识或者所述目标完整性保护算法的标识添加至所述第一安全配置中以得到第二安全配置。
如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述目标认证模块还用于：

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。
如权利要求15-17任一项所述的管理系统，其特征在于，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。
如权利要求1-18任一项所述的管理系统，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。
如权利要求12-18任一项所述的管理系统，其特征在于，所述第一子模块为AURF，所述第二子模块为AUSF。
如权利要求1-18任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。
一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中认证模块的选择，所述系统包括：用户设备UE、网络功能选择模块和至少两个认证模块；

所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；

所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；

所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。
如权利要求23所述的管理系统，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。
如权利要求25所述的管理系统，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：

根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块具体用于：

根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。
如权利要求27-29所述的管理系统，其特征在于，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：

根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；

若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。
如权利要求22所述的管理系统，其特征在于，所述网络功能选择模块包括第一子模块和第二子模块；

所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述第二子模块发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；

所述第二子模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子模块发送所述目标认证模块的标识；

所述第一子模块还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。
如权利要求33所述的管理系统，其特征在于，所述第二子模块具体用于执行如所述权利要求23-32中任一项所述的网络功能选择模块所执行的实现方式。
如权利要求22-34任一项所述的管理系统，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。
如权利要求33或34所述的管理系统，其特征在于，所述第一子模块为AURF，所述第二子模块为AUSF。
如权利要求22-34任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。
一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中安全配置的管理，所述系统包括：用户设备UE、接入网AN、安全策略控制器和认证模块；

所述安全策略控制器用于向所述AN或者所述认证模块下发网络切片的安全策略；

所述UE用于向所述AN发送第一业务请求，所述第一业务请求中携带所述UE所要附着的指定网络切片的标识；

所述AN用于向所述认证模块发送第二业务请求，所述第二业务请求中携带所述UE 所要附着的指定网络切片的标识；

所述认证模块用于接收所述第二业务请求并与所述UE进行相互认证；

所述认证模块还用于根据所述指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；

所述AN还用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。
如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；

所述认证模块还用于：

确定所述指定网络切片对应的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。
如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力；

所述认证模块还用于：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略，并根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述目标加密算法的标识或者所述目标完整性保护算法的标识添加至所述第一安全配置中以得到第二安全配置。
如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；

所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；

所述认证模块还用于：

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；

将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；

所述AN具体用于：

将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。
如权利要求39-41任一项所述的管理系统，其特征在于，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。
如权利要求38-42任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。
一种网络安全的管理方法，其特征在于，包括：

网络功能选择模块接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

所述网络功能选择模块向所述目标认证模块发送第二业务请求。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。
如权利要求45所述的管理方法，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述方法还包括：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。
如权利要求47所述的管理方法，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述方法还包括：

根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。
如权利要求49-51任一项所述的管理方法，其特征在于，若所述待选定认证模块多于一个，所述方法还包括：

根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。
如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：

所述网络功能选择模块根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；

若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。
如权利要求44-54任一项所述的管理方法，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。
一种网络安全的管理方法，其特征在于，包括：

第二网络功能选择模块接收第一网络功能选择模块发送的认证模块选择请求，所述认证模块选择请求中携带用户设备UE发送的认证协议信息；

所述第二网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

所述第二网络功能选择模块向所述第一网络功能选择模块发送所述目标认证模块的标识，以通过所述第一网络功能选择模块向所述目标认证模块发送业务请求。
一种网络安全的管理方法，其特征在于，包括：

认证模块接收安全策略控制器下发的网络切片的安全策略；

所述认证模块接收接入网AN发送的业务请求，所述业务请求中携带所述UE所要附着的指定网络切片的标识；

所述认证模块根据所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置；

所述认证模块向所述AN发送业务请求响应，所述业务请求响应中携带所述安全配置。
如权利要求57所述的管理方法，其特征在于，所述指定安全策略中包含密钥信息、加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息和完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

根据所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。
如权利要求57所述的管理方法，其特征在于，所述指定安全策略中包含密钥信息；

所述根据所述指定安全策略确定安全配置包括：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述安全配置添加至所述第二业务请求响应中。
如权利要求57所述的管理方法，其特征在于，所述指定安全策略中包含加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述根据所述指定安全策略确定安全配置包括：

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息和完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

根据所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。
如权利要求58-60任一项所述的管理方法，其特征在于，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。
如权利要求57-61任一项所述的管理方法，其特征在于，所述认证模块包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。
一种网络安全的管理方法，其特征在于，包括：

接入网AN接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

所述AN向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力；

所述AN接收所述认证模块发送的第二业务请求响应，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置；

所述AN根据所述第一安全配置确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。
如权利要求63所述的管理方法，其特征在于，所述第一安全配置中包含密钥、加密算法的标识或者完整性保护算法的标识；

所述AN根据所述第一安全配置确定第二安全配置包括：

所述AN存储所述密钥，并从所述第一安全配置中获取加密算法的标识和完整性保护算法的标识，并根据所述加密算法的标识和所述完整性保护算法的标识生成第二安全配置。
一种网络安全的管理方法，其特征在于，包括：

接入网AN接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

所述AN向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；

所述AN接收所述认证模块发送的第二业务请求响应；

所述AN根据所述UE的安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。
如权利要求65所述的管理方法，其特征在于，所述AN根据所述UE的安全能力和和所述指定网络切片的标识对应的指定安全策略确定第二安全配置包括：

所述AN根据所述指定网络切片的的标识确定所述指定安全策略；

根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法，并根据所述目标加密算法的标识或者所述目标完整性保护算法的标识生成第二安全配置。
如权利要求66所述的管理方法，其特征在于，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。
一种网络安全的管理装置，其特征在于，包括：

接收单元，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息；

选择单元，用于根据接收单元接收的所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；

发送单元，用于向所述选择单元选择的所述目标认证模块发送第二业务请求。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述选择单元具体用于：

根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。
如权利要求69所述的管理装置，其特征在于，若支持所述第一认证协议的认证模块多于一个；

所述选择单元具体用于：

根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。
如权利要求71所述的管理装置，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述选择单元具体用于：

根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述选择单元具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；

所述选择单元具体用于：

根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。
如权利要求73-75任一项所述的管理装置，其特征在于，若所述待选定认证模块多于一个，所述选择单元具体用于：

根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述选择单元具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；

若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；

所述第一业务请求中还携带所述指定网络切片的标识；

所述选择单元具体用于：

根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；

若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；

若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。
如权利要求68所述的管理装置，其特征在于，所述选择单元包括第一子单元和第二子单元；

所述第一子单元用于接收所述UE发送的所述第一业务请求，并向所述第二子单元发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；

所述第二子单元用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子单元发送所述目标认证模块的标识；

所述第一子单元还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。
如权利要求79所述的管理装置，其特征在于，所述第二子单元具体用于执行如所述权利要求69-78中任一项所述的选择单元所执行的实现方式。
如权利要求68-77任一项所述的管理装置，其特征在于，所述选择单元包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。
如权利要求79或80所述的管理装置，其特征在于，所述第一子单元为AURF，所述第二子单元为AUSF。
一种网络安全的管理装置，其特征在于，包括：

接收单元，用于接收安全策略控制器下发的网络切片的安全策略；

所述接收单元，还用于接收接入网AN发送的业务请求，所述业务请求中携带用户设备UE的安全能力和所述UE所要附着的指定网络切片的标识；

执行单元，用于根据所述接收单元接收的所述指定网络切片的标识从所述安全策略控制器下发的网络切片的安全策略中查找所述指定网络切片的指定安全策略，并根据所述指定安全策略确定安全配置；

发送单元，用于向所述AN发送业务请求响应，所述业务请求响应中携带所述执行单元确定的所述安全配置。
如权利要求83所述的管理装置，其特征在于，所述指定安全策略中包含密钥信息、加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元具体用于：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息或者完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

根据所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。
如权利要求83所述的管理装置，其特征在于，所述指定安全策略中包含密钥信息；

所述执行单元具体用于：

确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述安全配置添加至所述第二业务请求响应中。
如权利要求83所述的管理装置，其特征在于，所述指定安全策略中包含加密算法信息或者完整性保护算法信息；

所述业务请求中还携带用户设备UE的安全能力；

所述执行单元具体用于：

根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略中包含的加密算法信息或者完整性保护算法信息选择目标加密算法或者目标完整性保护算法；

根据所述加密算法的标识或者所述完整性保护算法的标识生成所述安全配置，并将所述安全配置添加至所述第二业务请求响应中。
如权利要求84-86任一项所述的管理装置，其特征在于，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。
如权利要求83-87任一项所述的管理装置，其特征在于，所述执行单元包括：认证节点AU、Front-end以及访问控制代理ACA中的至少一种。
一种网络安全的管理装置，其特征在于，包括：

接收单元，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

发送单元，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识、所述AN的安全能力以及所述UE的安全能力；

所述接收单元，还用于接收所述认证模块发送的第二业务请求响应，所述第二业务请求响应中携带所述认证模块根据所述指定网络切片的标识、所述AN的安全能力和所述UE的安全能力确定的第一安全配置；

处理单元，用于根据所述接收单元接收的所述第一安全配置确定第二安全配置；

所述发送单元，还用于向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述处理单元确定的所述第二安全配置。
如权利要求89所述的管理装置，其特征在于，所述第一安全配置中包含密钥、加密算法的标识或者完整性保护算法的标识；

所述处理单元具体用于：

存储所述密钥，并从所述第一安全配置中获取加密算法的标识或者完整性保护算法的标识，并根据所述加密算法的标识或者所述完整性保护算法的标识生成第二安全配置。
一种网络安全的管理装置，其特征在于，包括：

接收单元，用于接收用户设备UE发送的第一业务请求，所述第一业务请求中携带所述UE的安全能力和所述UE所要附着的指定网络切片的标识；

发送单元，用于根据所述接收单元接收的第一业务请求向认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；

所述接收单元，还用于接收所述认证模块发送的第二业务请求响应；

处理单元，用于根据所述接收单元接收的所述UE的安全能力和所述指定网络切片的标识对应的指定安全策略确定第二安全配置；

所述发送单元，还用于向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述处理单元确定的所述第二安全配置。
如权利要求91所述的管理装置，其特征在于，所述处理单元具体用于：

根据所述指定网络切片的的标识确定所述指定安全策略；

根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法，并根据所述目标加密算法的标识或者所述目标完整性保护算法的标识生成第二安全配置。
如权利要求92所述的管理装置，其特征在于，所述指定安全策略中包含的加密算法信息为加密算法的选择优先级顺序，所述完整性保护算法信息为所述完整性保护算法的选择优先级顺序；

所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；

所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。