WO2019201017A1

WO2019201017A1 - 一种安全算法的协商方法及装置

Info

Publication number: WO2019201017A1
Application number: PCT/CN2019/076079
Authority: WO
Inventors: 曾信
Original assignee: 华为技术有限公司
Priority date: 2018-04-19
Filing date: 2019-02-25
Publication date: 2019-10-24
Also published as: CN110392370A

Abstract

一种安全算法的协商方法及装置，用以用于实现采用网络切片技术的网络对不同业务选择不同的安全算法。该方法为：网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，并将所选择的目标安全算法发送给所述终端。

Description

一种安全算法的协商方法及装置

本申请要求在2018年04月19日提交中国专利局、申请号为201810355864.3、发明名称为“一种安全算法的协商方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种安全算法的协商方法及装置。

背景技术

在长期演进(Long Term Evolution，LTE)系统中，终端和基站之间执行加密/解密和完整性保护的安全操作，对信令提供加密保护和完整性保护。由于不同终端设备的安全能力不同，例如，不同终端所支持的加密算法或完整性保护算法不同，因此在接入层(Access Stratum，AS)进行加密保护和完整性保护之前，需要在终端和基站间协商一套安全算法。协商安全算法的过程大致为：步骤1：终端通过基站向移动性管理实体(Mobility Management Entity，MME)发送附着请求；其中，附着请求中携带终端的安全能力，例如，携带终端支持的安全算法。步骤2：基站根据预配置的服务网络允许使用的算法，并结合MME转发的终端支持的安全算法，选择服务网络所支持的一个安全算法。步骤3：基站将选择的加密算法和完整性保护算法携带在AS安全模式命令(Security mode command，SMC)中发送给终端。所选择的安全算法作为终端和基站之间所有数据链路的安全算法。

第五代移动通信(the 5th-generation，5G)系统采用网络切片技术，网络切片是网络运营者从业务视角出发为满足特定用户集的服务质量而动态部署的硬件、软件、策略和频谱的一种组合。具体的，在支持切片技术的网络中，将网络功能划分为多个虚拟网络功能(virtual network function，VNF)模块，每个VNF模块可以用来执行不同的网络功能，例如排序、分段、加解密等功能，通过将VNF模块动态地部署到网络中，可以形成一个个网络切片。每个网络切片包含一组功能实例。网络切片能够为各种类型业务提供服务，从网络安全角度而言，不同业务或不同租户对安全有不同的需求。

不同地域的国家主推不同的种类的安全算法，例如，位于欧洲某国的中国企业因为政策要求，需要该中国企业的切片网络支持中国主推的安全算法，而该欧洲国家因为政策要求，需要该欧洲国家的切片网络支持欧洲主推的安全算法。而现有的安全算法的协商方法，基站与终端之间只能够协商出一个安全算法，这种方法不能满足采用网络切片技术的网络对不同业务选择不同安全算法的需求。

发明内容

本申请实施例提供一种安全算法的协商方法及装置，用以解决采用网络切片技术的网络如何对不同业务选择不同安全算法的问题。

本申请实施例提供的具体技术方案如下：

第一方面，提供一种安全算法的协商方法，该方法的执行主体是网络设备，该方法主要包括以下步骤：网络设备已知终端接入的n个网络切片，网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，一个网络切片对应一个目标安全算法列表，不同网络切片对应不同的目标安全算法列表，当然不同网络切片对应的目标安全算法也可以是相同的。这里的n为正整数，所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，这样获得n个目标安全算法，并将所选择的n个目标安全算法发送给所述终端。能够实现不同切片实例对应不同的安全算法，使得安全算法的协商或应用的粒度更加细化，满足垂直行业不同的安全算法需求。并且当终端接入多个网络切片时，能够在一次协商过程中指示多个网络切片分别对应的安全算法，可以有效减少终端与接入网设备以及核心网网元之间的交互消息个数，减少空口负荷。

其中，网络切片可以简述为切片，也或者称为网络切片实例、或切片实例。

在一个可能的设计中，所述网络设备为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。这样，能够使得本申请上述提供的安全算法协商适用于安全保护终结点在核心网的场景，也可以适用于安全保护终结点在接入网的场景。

在一个可能的设计中，切片算法配置是基于切片粒度、切片类型粒度或租户粒度的安全算法列表，具体的，切片算法配置可以但不限于包含以下几种配置方式：方式一、按照切片类型配置安全算法列表，切片算法配置包括网络切片类型与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；方式二、按照切片实例配置安全算法列表，切片算法配置包括网络切片实例与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；方式三、按照切片内的租户配置安全算法列表，切片算法配置包括租户与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据所述切片算法配置，确定与所述终端在网络切片的业务所属的租户具有对应关系的所述目标安全算法列表。这样，可以设置不同粒度的安全算法列表，更能适应5G网络结构差异化服务的演变形式。

在一个可能的设计中，切片算法配置是预先在网络设备配置并存储的。可以通过3GPP管理切片模板的网元下发创建，或修改切片模板时直接获取，或通过切片模板的安全配置间接映射获取。也可以从核心网、配置管理网元、或者本地维护终端获取。

在一个可能的设计中，所述网络设备若确定不存在所述切片算法配置，则根据本地配置的默认算法来进行安全算法协商，其中，传统的通过AS SMC的流程配置的算法，该默认算法作为接入层所有数据链路的加密保护和完整性保护的算法，用户面和信令面共用一套安全算法。这样，能够兼容传统算法协商与切片算法配置，更具有灵活性。

在一个可能的设计中，若所述网络设备为接入和移动性管理功能AMF，则所述AMF还需要向用户面功能UPF发送所选择的目标安全算法，所述目标安全算法用于所述终端与所述UPF之间链路的安全保护。这样，才能实现终端与UPF之间能够使用协商出来的目标安全算法进行安全保护。

在一个可能的设计中，网络设备在确定n个目标安全算法列表之前，所述网络设备接收到第一消息，所述第一消息用于请求建立所述终端的会话，或者，所述第一消息用于请求切换。也就是，本申请的安全算法协商既可以在接入流程中实现，也可以在切换流程中实现。

在一个可能的设计中，所述网络设备还可以向所述终端发送第二消息，在所述第二消息中携带所选择的目标安全算法。

可选的，第二消息是RRC消息。

在一个可能的设计中，所述网络设备向接入网设备发送第三消息，所述第三消息中携带所选择的目标安全算法，所述第三消息用于请求建立所述终端的会话，以及用于所述接入网设备根据所述第三消息向所述终端发送第四消息，所述第四消息携带所选择的目标安全算法。

在一个可能的设计中，所述网络设备通过单个网络切片选择辅助信息S-NSSAI来向所述终端指示网络切片；或者，所述网络设备通过数据承载标识DRB ID来向所述终端指示网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。

在一个可能的设计中，所述网络设备在所述n个目标安全算法列表中的每一个目标安全算法列表中，选择符合终端安全能力的、且优先级最高的算法为目标安全算法。

第二方面，提供一种安全算法的协商方法，该方法的执行主体是终端，该方法主要包括以下步骤：终端接收网络设备发送的n个目标安全算法，这里的n为正整数，所述n个目标安全算法与所述终端接入的n个网络切片分别对应；所述终端根据所述n个目标安全算法，与所述网络设备进行通信。这样能够实现不同切片实例对应不同的安全算法，使得安全算法的协商或应用的粒度更加细化，满足垂直行业不同的安全算法需求。并且当终端接入多个网络切片时，能够在一次协商过程中指示多个网络切片分别对应的安全算法，可以有效减少终端与接入网设备以及核心网网元之间的交互消息个数，减少空口负荷。

在一个可能的设计中，所述网络设备为接入和移动性管理功能AMF，所述目标安全算法用于所述终端与所述用户面功能UPF之间链路的安全保护。这样，才能实现终端与UPF之间能够使用协商出来的目标安全算法进行安全保护。

在一个可能的设计中，所述终端根据以下任一种方式区分网络切片：

通过单个网络切片选择辅助信息S-NSSAI来区分网络切片；或者，通过数据承载标识DRB ID来区分网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。

第三方面，提供一种安全算法的协商装置，该装置具有实现上述第一方面和第一方面的任一种可能的设计中网络设备行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该装置可以是芯片或者集成电路。

在一个可能的设计中，该装置包括存储器和处理器，存储器存储有一组程序，处理器用于执行存储器存储的程序，当程序被执行时，所述装置可以执行上述第一方面和第一方面的任一种可能的设计中所述的方法。

在一个可能的设计中，该装置还包括收发器，用于该装置与终端之间进行通信。

在一个可能的设计中，该装置为基站或AFM。

第四方面，提供一种安全算法的协商装置，该装置具有实现上述第二方面和第二方面的任一种可能的设计中终端行为的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。

在一个可能的设计中，该装置可以是芯片或者集成电路。

在一个可能的设计中，该装置包括存储器和处理器，存储器存储有一组程序，处理器用于执行存储器存储的程序，当程序被执行时，所述装置可以执行上述第二方面和第二方面的任一种可能的设计中所述的方法。

在一个可能的设计中，该装置还包括收发器，用于该装置与网络设备之间进行通信。

在一个可能的设计中，该装置为终端。

第五方面，提供了一种通信系统，该系统包括第三方面和第四方面所述的装置。

第六方面，提供了一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行第一方面、第二方面、第一方面的任一可能的实施方式或第二方面的任一可能的实施方式中的方法的指令。

第七方面，本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述各方面所述的方法。

附图说明

图1a为本申请实施例中通信系统架构示意图；

图1b为本申请实施例中接入网设备的部署形态之一；

图1c为本申请实施例中接入网设备的部署形态之二；

图2为本申请实施例中安全算法的协商方法的流程示意图；

图3为本申请实施例中场景一中安全算法的协商方法的流程示意图之一；

图4为本申请实施例中场景一中安全算法的协商方法的流程示意图之二；

图5为本申请实施例中场景二中安全算法的协商方法的流程示意图之一；

图6为本申请实施例中场景二中安全算法的协商方法的流程示意图之二；

图7为本申请实施例中安全算法的协商装置结构示意图之一；

图8为本申请实施例中安全算法的协商装置结构示意图之二；

图9为本申请实施例中安全算法的协商装置结构示意图之三。

具体实施方式

本申请实施例提供一种安全算法的协商方法及装置，用于实现采用网络切片技术的网络对不同业务选择不同的安全算法。其中，方法和装置是基于同一发明构思的，由于方法和装置解决问题的原理相似，因此装置与方法的实施可以相互参见，重复之处不再赘述。

需要说明的是，本申请实施例的描述中，“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请中所涉及的至少一个是指一个或多个；多个，是指两个或两个以上。另外，需要理解的是，在本申请的描述中，“第一”、“第二”等词汇，仅用于区分描述的目的，而不能理解为指示或暗示相对重要性，也不能理解为指示或暗示顺序

下面将结合附图，对本申请实施例进行详细描述。

图1a示出了本申请实施例提供的安全算法的协商方法适用的一种可能的通信系统的架构，应理解，本申请实施例可以应用于但不限于图1所示的系统中。参阅图1a所示，所述通信系统中包括：终端101、接入网(access network，AN)设备102、接入和移动性管理功能(access and mobility management function，AMF)103、用户面功能(user plane function，UPF)104以及数据网络(data network，DN)105。终端101通过AN设备102以及UPF104与DN105通信。AN设备102与AMF103之间通过N2接口相连。与AN设备102之间通过N3接口相连，UPF104与DN105之间可以通过N6接口相连。接口名称只是一个示例说明，本申请实施例对此不作具体限定。此外，图1a中的各个网元可以是硬件，也可以是从功能上划分的软件或者以上二者的结合。本申请实施例还可以应用于其他通信系统，其他通信系统中具有与图1a中所述的各个网元类似功能的网元，图1a中所述的各个网元所执行的操作可以适用于其他通信系统中类似功能的网元。

终端101，又称之为用户设备(user equipment，UE)、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音和/或数据连通性的设备。例如，终端设备包括具有无线连接功能的手持式设备、车载设备等。目前，终端设备可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internet device，MID)、可穿戴设备，虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、无人驾驶(self driving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端等。

AN设备102是通信系统中将终端101接入到无线网络的设备。AN设备为无线接入网中的节点，又可以称为基站，还可以称为无线接入网(radio access network，RAN)节点(或设备)。如图1b和图1c所示，接入网(access network，AN)设备可能的部署形态包括：集中式单元(centralized unit，CU)和分布式单元(distributed unit，DU)分离场景；以及单站点的场景。单站点包括gNB/NR-NB。如图1b所示，一个gNB可以有一个gNB-CU和多个gNB-DU组成,gNB-CU和gNB-DU之间通过F1接口相连。gNB-CU是一个gNB的逻辑节点，支持部署gNB的无线资源控制(radio resource control，RRC)、业务数据适配协议(service data adaptation protocol，SDAP)和分组数据汇聚协议(packet data convergence protocol，PDCP)协议功能，或者支持部署gNB的RRC和PDCP协议功能。gNB-CU由gNB-CU-CP和多个gNB-CU-UP构成，其中gNB-CU-CP用于处理gNB-CU的控制面的功能，而gNB-CU-UP用于处理gNB-CU的数据面功能。gNB-DU是gNB的逻辑节点并被gNB-CU部分控制，gNB-DU由一个或多个小区组成，支持部署gNB的无线链路控制(radio link control，RLC)层、媒体接入控制层(medium access control，MAC)和物理层PHY的协议。

单站点还可能包括传输接收点(transmission reception point，TRP)、演进型节点B(evolved Node B，eNB)、无线网络控制器(radio network controller，RNC)、节点B(Node B，NB)、基站控制器(base station controller，BSC)、基站收发台(base transceiver station,BTS)、家庭基站(例如，home evolved NodeB，或home Node B，HNB)、基带单元(base band unit，BBU)，或无线保真(wireless fidelity，Wifi)接入点(access point，AP)等。

本申请以下描述中，AN设备可以用基站来表述，基站所执行的操作可以是上述任意一种AN设备执行的操作。

AMF103，可用于负责终端101的注册、移动性管理、跟踪区更新流程、可达性检测、会话管理功能(session management function，SMF)的选择、移动状态转换管理等。

UPF104，可用于转发终端101的用户面数据。主要功能是数据包路由和转发、移动性锚点、上行分类器来支持路由业务流到数据网络、分支点来支持多归属分组数据单元(Packet Data Unit，PDU)会话等。

DN105可以是因特网(Internet)、IP多媒体业务(IP Multi-media Service，IMS)网络、区域网络(即本地网络，例如移动边缘计算(mobile edge computing，MEC)网络)等。DN中包括应用服务器，应用服务器通过与终端101进行数据传输，为终端101提供业务服务。

基于图1a所示的通信系统的架构，以下对本申请实施例的部分用语进行解释说明，以便于本领域技术人员理解。

1)网络切片

随着多种多样的通信业务的不断涌现，不同的通信业务对网络性能的需求存在显著的区别，5G系统引入了网络切片的概念，以应对不同通信业务对网络性能的需求的差异。网络切片是指在物理或者虚拟的网络基础设施上，根据不同的服务需求定制化不同的逻辑网络。网络切片可以是一个包括终端设备、接入网、传输网、核心网和应用服务器的完整的端到端网络，能够提供完整的通信服务，具有一定网络能力。网络切片也可以是终端设备、接入网、传输网、核心网和应用服务器的任意组合。以下描述中，网络切片可以简述为切片，也或者用网络切片实例、或切片实例表示。

2)网络设备

本申请实施例中所述的网络设备可以是接入网设备，也可以是指AMF或其他通信系统中具有与AMF类似功能的实体。

3)协议数据单元(protocol data unit，PDU)会话，即PDU SESSION，是终端和DN之间的连接，以及终端与UPF之间的连接。连接的类型可以是互联网协议(Internet Protocol，IP)，以太网或者非结构数据。核心网支持的PDU连接服务，是指提供终端和由DN的标识(DN number，DNN)确定的DN之间PDU交换的服务。终端可以建立多个PDU会话，来连接到相同的DN或者不同的DN。终端可以建立由不同的UPF提供服务的PDU会话，来连接到相同的DN。PDU会话的激活态是指PDU会话的用户面资源已经建立起来的状态，终端和DN之间建立了端到端的连接，可以传递数据；PDU会话的去激活态是指PDU会话仅保留部分用户面资源，UE和(R)AN之间的用户面空口资源，以及(R)AN和UPF之间的连接都没有建立起来，UE和DN之间不能传递数据。SMF和UPF中仍保留PDU会话的部分信息。

4)网络切片选择辅助信息(Network Slice Selection Assistance Information，NSSAI)，用于核心网为终端选择网络切片，以及用于在安全算法协商的过程中来区分不同的网络切片。NSSAI可以包括业务类型和其它用于选择切片的信息，也可以是一个切片的标识。现有协议定义了一个终端可以同时接入8个网络切片实例，NSSAI包含了8个切片选择辅助信息(Single Network Slice Selection Assistance Information，S-NSSAI)，一个S-NSSAI用于标识一个网络切片实例。

一个网络切片实例是静态的网络，一个终端可以建立一个或多个PDU SESSION，每个PDU SESSION只会建立在一个网络切片实例中。一个PDU SESSION可以包含多个终端与基站之间的数据承载(Data Resource Bearer，DRB)。

本申请实施例中，可以但不限于通过以下方式来区别网络切片实例：

1、通过S-NSSAI来指示。

2、通过DRB ID来指示。终端可以根据基站或者核心网通知的DRB ID获知网络切片实例。具体的，通过DRB ID来关联PDU SESSION ID，再通过PDU SESSION ID来关联S-NSSAI，通过S-NSSAI来确定网络切片实例。

3、不指示。终端根据当前建立的DRB所属的PDU SESSION，获取PDU SESSION ID，再通过PDU SESSION ID来关联S-NSSAI，通过S-NSSAI来确定网络切片实例。

5)切片算法配置

本申请实施例中，切片算法配置是预先在网络设备配置并存储的。可以通过3GPP管理切片模板的网元下发创建，或修改切片模板时直接获取，或通过切片模板的安全配置间接映射获取。也可以从核心网、配置管理网元、或者本地维护终端获取。

切片算法配置是基于切片粒度、切片类型粒度或租户粒度的安全算法列表，具体的，切片算法配置可以但不限于包含以下几种配置方式。

方式一、按照切片类型配置安全算法列表，切片算法配置包括网络切片类型与安全算法列表的一一对应关系，一个切片类型对应一个安全算法列表，不同的切片类型对应相同或不同的安全算法列表。同一个切片类型下的网络切片对应相同的安全算法列表。

方式二、按照切片实例配置安全算法列表，切片算法配置包括网络切片实例与安全算法列表的一一对应关系，一个网络切片实例对应一个安全算法列表，不同的网络切片实例可以对应相同或不同的安全算法列表。同一个切片类型下的网络切片可能对应相同或不停的安全算法列表。

方式三、按照切片内的租户配置安全算法列表，切片算法配置包括租户与安全算法列表的一一对应关系，一个租户对应一个安全算法列表，不同的租户对应相同或不同的安全算法列表。

6)默认算法

传统的通过AS SMC的流程配置的算法，该默认算法作为接入层所有数据链路的加密保护和完整性保护的算法，用户面和信令面共用一套安全算法。

7)安全算法、安全算法列表

安全算法包括加密和/或完整性保护算法。安全算法列表包括一个或多个加密算法以及各个加密算法的优先级；还包括一个或多个完整性算法以及各个完整性算法的优先级。

结合图1a所示的通信系统架构，下面详细介绍一下本申请实施例提供的安全算法的协商方法。该方法可以适用于网络切片的安全算法协商，还可以应用于网络切片中的承载网络的安全算法协商，其协商过程原理相同，可参考。

如图2所示，本申请实施例提供的安全算法的协商方法的流程如下所述。其中，图2所示的部分步骤为可选步骤，任意相邻的两个或多个步骤都可以形成本申请实施例需要保护的方案。例如S202和S203可独立形成方案，属于本申请实施例需要保护的范围。

S201、网络设备确定本地是否存在切片算法配置，若是，则执行S202～S205，否则执行S202’和S203’。网络设备可以是指接入网设备，也可以是指核心网设备。若网络设备为接入网设备，则切片算法配置可以是预先配置的，也可以是核心网设备下发给基站的，如A FM下发给基站。

S202、网络设备获取终端接入的网络切片的信息，根据切片算法配置，确定终端接入的n个网络切片对应的n个目标安全算法列表，n为正整数。

若n为1，即终端接入一个网络切片，则网络设备根据切片算法配置，选择与终端接入的一个网络切片具有对应关系的一个目标安全算法列表；若n＞1，则网络设备根据切片算法配置，选择n个网络切片中的每一个网络切片分别对应的安全算法列表，得到n个目标安全算法列表。

具体地，若切片算法配置包含网络切片类型与安全算法列表的一一对应关系，那么，网络设备针对n个网络切片中的每一个网络切片执行：确定终端接入的网络切片所属的网络切片类型(为方便描述可称为目标网络切片类型)，根据切片算法配置，选择与目标网络切片类型具有对应关系的安全算法列表(为方便描述可称为目标安全算法列表)。

若切片算法配置包含网络切片与安全算法列表的一一对应关系，那么，网络设备针对n个网络切片中的每一个网络切片执行：确定与终端接入的网络切片具有对应关系的目标安全算法列表。

若切片算法配置包含租户与安全算法列表的一一对应关系，网络设备针对n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据切片算法配置，确定与终端在网络切片的业务所属的租户具有对应关系的目标安全算法列表。

根据以上方法共获得n个目标安全算法列表。

S203、网络设备在S202中确定的n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法。

网络设备在n个目标安全算法列表中的每一个目标安全算法列表中，可以选择符合终端安全能力的、且优先级最高的算法为目标安全算法。共选择n个目标安全算法，与n个网络切片对应，这样，终端接入的每一个网络切片对应的目标安全算法均已选择完毕。

S204、网络设备将所选择的目标安全算法发送给终端，终端接收网络设备发送的目标安全算法。具体的，网络设备向终端发送n个目标安全算法，并向终端指示与n个目标安全算法的每一个安全算法具有对应关系的网络切片。网络设备向终端指示终端接入的n个网络切片对应的n个目标安全算法，可以通过网络切片信息与目标安全算法的对应关系来指示。其中，网络设备可以通过上述第4)点介绍的方法来指示网络切片。例如，网络设备可以通过S-NSSAI来指示网络切片；或者，通过DRB ID来指示网络切片；或者，网络设备仅向终端发送n个目标安全算法，而不指示网络切片的信息，需要终端根据DRB来确定网络切片的信息。

S205、终端接收到网络设备发送的n个目标安全算法，以及与n个目标安全算法具有对应关系的网络切片的信息，确定n个网络切片中的每一个网络切片对应的目标安全算法。例如，网络切片的信息为S-NSSAI，终端根据S-NSSAI确定具体是哪一个网络切片，进一步获得该网络切片对应的目标安全算法；又例如，网络切片的信息为DRB ID，终端根据DRB ID关联PDU SESSION ID，再通过PDU SESSION ID来关联S-NSSAI，通过S-NSSAI 来确定网络切片，进一步获得该网络切片对应的目标安全算法。若终端仅接收到网络设备发送的n个目标安全算法，未接收到网络切片的信息，则终端根据当前建立的DRB所属的PDU SESSION，获取PDU SESSION ID，再通过PDU SESSION ID来关联S-NSSAI，通过S-NSSAI来确定网络切片，进一步获得该网络切片对应的目标安全算法。

S202’、网络设备根据默认配置的安全算法列表，选择一个目标安全算法；这里所选择的一个目标安全算法应用于终端与所接入的所有网络切片之间的链路，因此安全算法不会根据网络切片的不同进行区分，并且该目标安全算法适用于用户面和信令面。

S203’、网络设备将选择的一个目标安全算法发送给终端，终端接收网络设备发送的目标安全算法后，网络设备与终端就可以按照该目标安全算法进行链路通信的安全保护。

通过本申请实施例上述提供的安全算法的协商方法，能够实现不同切片对应不同的安全算法，使得安全算法的协商或应用的粒度更加细化，满足垂直行业不同的安全算法需求。并且当终端接入多个网络切片时，能够在一次协商过程中指示多个网络切片分别对应的安全算法，可以有效减少终端与接入网设备以及核心网网元之间的交互消息个数，减少空口负荷。

本申请实施例提供的安全算法的协商方法可以应用于终端接入网络切片并建立数据链路的场景(可以简称为场景一)，也可以应用于终端切换数据链路的场景(可以简称为场景二)。应用本申请实施例提供的方法获得的安全算法能够适用于UP面，场景一和场景二中，UP面保护的安全终结点可以位于接入网，即在接入网进行解密和完整性校验，也可以位于核心网，即在核心网进行解密和完整性校验。

以下通过场景一和场景二、以及安全终结点的位置，对本申请实施例提供的安全算法的协商方法做进一步详细说明。

如图3所示，在场景一中，安全终结点位于接入网，网络设备为接入网设备(基站)，安全算法的协商过程如下所述。

S300、初始化过程。

基站预配置或从AMF接收切片算法配置，按照切片类型、或网络切片实例、或租户，来配置不同的安全算法列表。例如，某个切片类型、或网络切片实例、或租户对应的安全算法列表为[(128-NEA0-低，128-NEA1-中，128-NEA2-高)，(128-NIA0-低，128-NIA1-中，128-NIA2-高)]。其中，本申请实施例所描述的128-NEA0、128-NEA1和128-NEA2为不同的加密算法的名称，128-NIA0、128-NIA1和128-NIA2为不同的完整性算法的名称，低、中、高代表不同的优先级。终端的安全能力即终端支持的安全算法，终端支持的安全算法为[(128-NEA0，128-NEA1，128-NEA2)，(128-NIA0，128-NIA1，128-NIA2)]。需要说明的是，加密算法和完整性算法的名称仅仅是一种举例，还可以更新为其它名称，同样适用于本申请实施例的方法，例如，加密算法的名称还可以是256-NEA0，256-NEA1，256-NEA2，完整性算法的名称还可以是256-NIA0，256-NIA1，256-NIA2。

S301、终端向AMF发送PDU会话建立请求，即PDU session establishment request，这样AMF就可以接收终端发送的PDU会话建立请求，PDU会话建立请求中可以携带终端的标识等信息。

S302、AMF向基站发送第一消息，这样基站就可以接收AMF发送的第一消息，第一消息用于请求建立终端与基站之间的会话，比如可以是PDU会话建立请求。

S303、基站选择目标安全算法。若S300中基站存在切片算法配置，则基站根据切片算法配置，选择终端接入的网络切片对应的安全算法列表，在安全算法列表中选择符合终端安全能力的、且优先级最高的算法，作为目标安全算法。例如，终端建立的PDU会话所在的网络切片为切片1。切片1对应的安全算法列表为[(128-NEA0-低，128-NEA1-中)，(128-NIA0-低，128-NIA1-中)]。终端的安全能力即终端支持的安全算法为[(128-NEA0，128-NEA1，128-NEA2)，(128-NIA0，128-NIA1，128-NIA2)]。切片1对应的安全算法列表中终端支持的最高优先级的算法为[128-NEA1，128-NIA1]，[128-NEA1，128-NIA1]为切片1对应的目标安全算法。若终端还接入其它网络切片，则按照相同的方法选择目标安全算法，例如，终端接入切片2，切片2对应的安全算法列表为[(128-NEA0-低，128-NEA2-高)，(128-NIA0-低，128-NIA2-高)]，切片2对应的安全算法列表中终端支持的最高优先级的算法为[128-NEA2，128-NIA2]，[128-NEA1，128-NIA1]为切片2对应的目标安全算法。

若S300中基站不存在切片算法配置，则基站从默认配置的算法列表中选择一个终端支持的最高优先级的算法作为目标安全算法。

S304、基站向终端发送第二消息，终端就可以接收基站发送的第二消息，其中第二消息中可以携带S303中选择的目标安全算法。比如若S300中基站存在切片算法配置，可以携带网络切片与目标安全算法的对应关系，例如，携带[(S-NSSAI-1，128-NEA1，128-NIA1)，(S-NSSAI-2，128-NEA1，128-NIA1)]。S-NSSAI-1用于指示切片1，S-NSSAI-2用于指示切片2。当然，还可以用其它指示方式来指示不同的切片，具体方式如本申请实施例上述内容所述。可选的，第二消息用于RRC连接重配置，例如，第二消息为RRC connection reconfiguration request。RRC connection reconfiguration request携带[(S-NSSAI-1，128-NEA1，128-NIA1)，(S-NSSAI-2，128-NEA1，128-NIA1)]的信息。

若S300中基站不存在切片算法配置，S303中基站可以从默认配置的算法列表中选择一个终端支持的最高优先级的算法作为目标安全算法，则在第二消息中携带该目标安全算法。

若S300中基站不存在切片算法配置，基站还可以在第二消息中不携带安全算法，终端选择使用AS SMC中携带的算法作目标安全算法。

S305、终端向基站发送RRC连接重配置完成消息，即RRC connection reconfiguration complete消息。至此，终端与基站的安全算法的协商流程完毕，终端和基站使用目标安全算法作为UP面安全保护算法。

如图4所示，在场景一中，安全终结点位于核心网，网络设备为AMF，安全算法的协商过程如下所述。

S400、初始化过程。AMF预配置切片算法配置，按照切片类型、或网络切片实例、或租户，来配置不同的安全算法列表。例如，某个切片类型、或网络切片实例、或租户对应的安全算法列表为[(128-NEA0-低，128-NEA1-中，128-NEA2-高)，(128-NIA0-低，128-NIA1-中，128-NIA2-高)]。其中，128-NEA0、128-NEA1和128-NEA2为不同的加密算法的名称，128-NIA0、128-NIA1和128-NIA2为不同的完整性算法的名称，低、中、高代表不同的优先级。终端的安全能力即终端支持的安全算法为[(128-NEA0，128-NEA1，128-NEA2)，(128-NIA0，128-NIA1，128-NIA2)]。

S401、终端向AMF发送PDU会话建立请求，即PDU session establishment request。AMF接收终端发送的PDU会话建立请求。PDU会话建立请求中可以携带终端的标识等信息。AMF就可以根据PDU会话建立请求确定终端该PDU会话的业务所接入的网络切片。

S402、AMF选择目标安全算法。若S400中AMF存在切片算法配置，则AMF根据切片算法配置，选择终端接入的网络切片对应的安全算法列表，在安全算法列表中选择符合终端安全能力的、且优先级最高的算法，作为目标安全算法。例如，终端建立的PDU会话所在的网络切片为切片1。切片1对应的安全算法列表为[(128-NEA0-低，128-NEA1-中)，(128-NIA0-低，128-NIA1-中)]。终端的安全能力即终端支持的安全算法为[(128-NEA0，128-NEA1，128-NEA2)，(128-NIA0，128-NIA1，128-NIA2)]。切片1对应的安全算法列表中终端支持的最高优先级的算法为[128-NEA1，128-NIA1]，[128-NEA1，128-NIA1]为切片1对应的目标安全算法。

若S400中AMF不存在切片算法配置，则AMF可从默认配置的算法列表中选择一个终端支持的最高优先级的算法作为目标安全算法。

S403、AMF向基站发送消息，这里可以记为第三消息，基站接收AMF发送的第三消息。第三消息中可以携带402中选择的目标安全算法。

具体的，若S400中AMF存在切片算法配置，则AMF可以在第三消息中携带网络切片与目标安全算法的对应关系。仍以S402中切片1的对应的目标安全算法为例，在第三消息中携带信息[(S-NSSAI-1，128-NEA1，128-NIA1)]，S-NSSAI-1用于指示切片1。可选的，第三消息用于建立PDU会话，例如第三消息为PDU session establishment request，该PDU session establishment request中携带[(S-NSSAI-1，128-NEA1，128-NIA1)]的信息。

若S400中AFM不存在切片算法配置，AFM可以在第三消息中携带按照默认配置的算法列表选择的目标安全算法，或者，AFM在第三消息中不携带安全算法，终端使用AS SMC中携带的算法作为目标安全算法。

S403’、AMF向UPF发送目标安全算法。S403和S403’没有严格的执行顺序，可以交换顺序或同时进行。

S404、基站接收到AMF发送的第三消息后，向终端发送第四消息，例如，基站向终端发送的第四消息用于RRC连接重配置，则第四消息可以为RRC connection reconfiguration request。基站在向终端发送的第四消息中携带第三消息中的目标安全算法。例如，基站在RRC connection reconfiguration request中携带[(S-NSSAI-1，128-NEA1，128-NIA1)]的信息。或者，基站在RRC connection reconfiguration request中携带从默认配置的算法列表中选择的目标安全算法，或者，基站在RRC connection reconfiguration request中不携带安全算法，终端可以使用AS SMC中携带的算法作为目标安全算法。

S405、终端接收到第四消息之后，可以向基站发送RRC连接重配置完成消息，即RRC connection reconfiguration complete消息，该步骤可选。至此，终端与核心网设备的安全算法的协商流程完毕，终端和UPF之间就可以使用目标安全算法作为UP面安全保护算法。

如图5所示，在场景二中，安全终结点位于接入网，网络设备为目标基站，安全算法的协商过程如下所述。

S500、同S300，目标基站获取预配置的或从AMF接收的切片算法配置，其余对本步骤的介绍参见S300。

S501、源基站与目标基站之间进行切换请求流程。

本步骤同现有技术中的切换流程。源基站为终端当前接入的基站，目标基站为终端欲切换到的基站。

S502、目标基站接收到源基站发送的切片请求后，根据终端业务的上下文信息确定终端接入的网络切片，再根据切片算法配置或默认算法配置选择目标安全算法，具体选择过程见S303中基站选择目标安全算法的过程，重复之处不再赘述。

S503、目标基站、源基站与终端之间进行切片请求响应。

本步骤同现有技术中的切片流程。

S504、同S304，目标基站向终端发送目标安全算法。其余对本步骤的介绍参见S304，重复之处不再赘述。

S505、同S305。

当基站支持CU-DU分离架构时，上述图5所示流程中的目标基站可以是gNB-CU。当gNB支持DU、CU-CP和CU-UP分离时，上述图5所示流程中的目标基站可以为gNB-CU-CP，具体的，gNB-CU-CP配置好切片算法配置，gNB-CU-CP选择终端接入的每个网络切片对应的目标安全算法，将目标安全算法发送给终端；或者，gNB-CU-CP配置好切片算法配置，gNB-CU-UP发送终端接入的每个网络切片对应的安全算法列表给gNB-CU-UP，由gNB-CU-UP选择每个网络切片对应的目标安全算法，再将选择的目标安全算法发送到终端；或者，gNB-CU-CP配置好切片算法配置，gNB-CU-UP选择终端接入的每个网络切片对应的目标安全算法，将选择的目标安全算法发送到gNB-CU-UP，由gNB-CU-UP将目标安全算法透传终端。透传即不改变原消息的内容来转发原消息。

至此，终端与目标基站的安全算法的协商流程完毕，终端和目标基站使用目标安全算法作为UP面安全保护算法。

类似的，可以在其他切换过程中，协商终端所接入的各个切片对应的安全算法，例如，可以适用于小区内切换、跨小区CU(包含CP和/或UP)内切换、跨小区跨CU(包含CP和/或UP)切换，如图6所示，在场景二中，安全终结点位于核心网，网络设备为AMF，安全算法的协商过程如下所述。

S600、同S400。目标AMF预配置切片算法配置，其余对本步骤的介绍参见S400。

S601、目标AMF、源AMF、目标基站与源基站之间进行切换流程，具体切换流程如现有技术中的切换流程。

S602、同S402。目标AMF选择目标安全算法，其余对本步骤的介绍参见S402，重复之处不再赘述。

S603、目标AMF向目标基站发送消息，目标基站接收目标AMF发送的消息，该消息的介绍参见S403中第三消息的介绍，重复之处不再赘述。

S603’、目标基站向UPF发送目标安全算法。

S603和S603’没有严格的执行顺序，可以交换顺序或同时进行。

S604、同S404，目标基站执行S404中基站执行的操作，重复之处不再赘述。

S605、同S405。

至此，终端与核心网设备的安全算法的协商流程完毕，终端和UPF之间使用目标安全算法作为UP面安全保护算法。

综上所述，本申请实施例中，可以在终端接入网络切片并建立数据链路的场景或者终端切换数据链路的场景中，实现基于切片或租户粒度的UP面安全算法协商。当UP面保护终结在基站时，若基站配置了切片算法配置，则可以选择终端接入的网络切片对应的安全算法，并发送给终端，若基站未配置切片算法配置，则可以根据默认配置的安全算法列表选择一个安全算法发送给终端，或根据现有的AS SMC中发送的安全算法作为最终的安全算法。当UP面保护终结在核心网时，若核心网设备配置了切片算法配置，则可以选择终端接入的多个网络切片中的每一个网络切片分别对应的安全算法，发送给终端，若基站未配置切片算法配置，则可以根据默认配置的安全算法列表选择一个安全算法发送给终端，或根据现有的AS SMC中发送的安全算法作为最终的安全算法。这样，通过对不同切片对应不同安全算法的协商过程，能够满足垂直行业不同安全算法需求，当在终端执行切换过程中进行安全算法协商时，还可以同时协商多个切片对应的安全算法，减少了空口消息个数进而降低空口信令负荷。

基于与上述方法实施例相同的发明构思，如图7所示，本申请实施例还提供了一种安全算法的协商装置700，该安全算法的协商装置700用于执行上述方法实施例中网络设备执行的步骤。该安全算法的协商装置700包括处理单元701和发送单元702。可选的还包括接收单元703。其中：

处理单元701，用于根据切片算法配置，确定n个目标安全算法列表，n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；

处理单元701，用于在n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法；

发送单元702，用于将处理单元701选择的目标安全算法发送给终端。

其中，处理单元701、发送单元702和接收单元703可用于执行上述方法实施例中网络设备执行的其它步骤，重复之处在此不再赘述。

基于与上述方法实施例相同的发明构思，如图8所示，本申请实施例还提供了一种安全算法的协商装置800，该安全算法的协商装置800用于执行上述方法实施例中终端执行的步骤。该安全算法的协商装置800包括接收单元801和处理单元802。其中：

接收单元801，用于接收网络设备发送的n个目标安全算法，n个目标安全算法与所述终端接入的n个网络切片分别对应；

处理单元802，用于根据接收单元801接收的n个目标安全算法，与网络设备进行通信。

其中，接收单元801和处理单元802可用于执行上述方法实施例中终端执行的其它步骤，重复之处在此不再赘述。

基于与上述方法实施例相同的发明构思，如图9所示，本申请实施例还提供了一种安全算法的协商装置900，该安全算法的协商装置900用于执行上述方法实施例中网络设备或终端执行的操作，该安全算法装置900包括：收发器901、处理器902和存储器903。收发器901为可选的。处理器902用于调用一组程序，当程序被执行时，使得处理器902执行上述定位测量方法中终端执行的操作。存储器903用于存储处理器902执行的程序。图7中的功能模块发送单元702、接收单元703可以通过收发器901来实现，处理单元702可以通过处理器902来实现。图8中的功能模块接收单元801可以通过收发器901来实现，处理单元802可以通过处理器902来实现。

处理器902可以是中央处理器(central processing unit，CPU)，网络处理器(network processor，NP)或者CPU和NP的组合。

处理器902还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit，ASIC)，可编程逻辑器件(programmable logic device，PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device， CPLD)，现场可编程逻辑门阵列(field-programmable gate array，FPGA)，通用阵列逻辑(generic array logic,GAL)或其任意组合。

存储器903可以包括易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器903也可以包括非易失性存储器(non-volatile memory)，例如快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)；存储器903还可以包括上述种类的存储器的组合。

为了实现上述图7或图8或图9所述的装置的功能，本申请实施例还提供一种芯片，包括处理器，用于支持该装置实现上述方法实施例中网络设备或终端所涉及的功能。在一种可能的设计中，该芯片与存储器连接或者该芯片包括存储器，该存储器用于保存该装置必要的程序指令和数据。

本申请实施例提供了一种计算机存储介质，存储有计算机程序，该计算机程序包括用于执行上述安全算法的协商方法。

本申请实施例提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述安全算法的协商方法。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样，倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

一种安全算法的协商方法，其特征在于，包括：

网络设备根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；

所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，并将所选择的目标安全算法发送给所述终端。
如权利要求1所述的方法，其特征在于，所述网络设备根据切片算法配置，确定n个目标安全算法列表，包括：

所述切片算法配置中包括网络切片类型与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；或者，

所述切片算法配置中包括网络切片与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；

所述切片算法配置中包括租户与安全算法列表的一一对应关系，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据所述切片算法配置，确定与所述终端在网络切片的业务所属的租户具有对应关系的所述目标安全算法列表。
如权利要求1或2所述的方法，其特征在于，所述方法还包括：

所述网络设备若确定不存在所述切片算法配置，则根据本地配置的默认算法来进行安全算法协商。
如权利要求1～3任一项所述的方法，其特征在于，所述网络设备为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。
如权利要求1～3任一项所述的方法，其特征在于，所述网络设备为接入和移动性管理功能AMF，所述方法还包括：

所述AMF向用户面功能UPF发送所选择的目标安全算法，所述目标安全算法用于所述终端与所述UPF之间链路的安全保护。
如权利要求4或5所述的方法，其特征在于，网络设备在确定n个目标安全算法列表之前，所述方法还包括：

所述网络设备接收到第一消息，所述第一消息用于请求建立所述终端的会话，或者，所述第一消息用于请求切换。
如权利要求4所述的方法，其特征在于，所述网络设备将所选择的目标安全算法发送给所述终端，包括：

所述网络设备向所述终端发送第二消息，所述第二消息中携带所选择的目标安全算法。
如权利要求5所述的方法，其特征在于，所述网络设备将所选择的目标安全算法发送给所述终端，包括：

所述网络设备向接入网设备发送第三消息，所述第三消息中携带所选择的目标安全算法，所述第三消息用于请求建立所述终端的会话，以及用于所述接入网设备根据所述第三消息向所述终端发送第四消息，所述第四消息携带所选择的目标安全算法。
如权利要求1～8任一项所述的方法，其特征在于，所述方法还包括：

所述网络设备通过单个网络切片选择辅助信息S-NSSAI来向所述终端指示网络切片；或者，

所述网络设备通过数据承载标识DRB ID来向所述终端指示网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。
如权利要求1～9任一项所述的方法，其特征在于，所述网络设备在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法，包括：

所述网络设备在所述n个目标安全算法列表中的每一个目标安全算法列表中，选择符合终端安全能力的、且优先级最高的算法为目标安全算法。
一种安全算法的协商装置，其特征在于，包括：

处理单元，用于根据切片算法配置，确定n个目标安全算法列表，所述n个目标安全算法列表与终端接入的n个网络切片分别具有对应关系，n为正整数；

所述处理单元，用于在所述n个目标安全算法列表的每一个目标安全算法列表中，选择目标安全算法；

发送单元，用于将所述处理单元选择的目标安全算法发送给所述终端。
如权利要求11所述的装置，其特征在于，所述切片算法配置中包括网络切片类型与安全算法列表的一一对应关系，所述处理单元用于，所述网络设备针对所述n个网络切片中的每一个网络切片执行：确定所述终端接入的网络切片所属的目标网络切片类型，并根据所述切片算法配置，确定与所述目标网络切片类型具有对应关系的所述目标安全算法列表；或者，

所述切片算法配置中包括网络切片与安全算法列表的一一对应关系，所述处理单元用于，针对所述n个网络切片中的每一个网络切片执行：根据所述切片算法配置，确定与所述终端接入的网络切片具有对应关系的所述目标安全算法列表；

所述切片算法配置中包括租户与安全算法列表的一一对应关系，所述处理单元用于，针对所述n个网络切片中的每一个网络切片执行：确定终端在网络切片的业务所属的租户，并根据所述切片算法配置，确定与所述终端在网络切片的业务所属的租户具有对应关系的所述目标安全算法列表。
如权利要求11或12所述的装置，其特征在于，所述处理单元还用于：

若确定不存在所述切片算法配置，则根据本地配置的默认算法来进行安全算法协商。
如权利要求11～13任一项所述的装置，其特征在于，所述装置为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。
如权利要求11～13任一项所述的装置，其特征在于，所述装置为接入和移动性管理功能AMF，所述发送单元还用于：

向用户面功能UPF发送所选择的目标安全算法，所述目标安全算法用于所述终端与所述UPF之间链路的安全保护。
如权利要求14或15所述的装置，其特征在于，所述装置还包括接收单元，在确定n个目标安全算法列表之前，所述接收单元用于接收到第一消息，所述第一消息用于请求建立所述终端的会话，或者，所述第一消息用于请求切换。
如权利要求14所述的装置，其特征在于，所述发送单元用于，向所述终端发送第二消息，所述第二消息中携带所选择的目标安全算法。
如权利要求15所述的装置，其特征在于，所述发送单元用于，向接入网设备发送第三消息，所述第三消息中携带所选择的目标安全算法，所述第三消息用于请求建立所述终端的会话，以及用于所述接入网设备根据所述第三消息向所述终端发送第四消息，所述第四消息携带所选择的目标安全算法。
如权利要求11～18任一项所述的装置，其特征在于，所述处理单元还用于，通过单个网络切片选择辅助信息S-NSSAI来向所述终端指示网络切片；或者，

通过数据承载标识DRB ID来向所述终端指示网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。
如权利要求11～19任一项所述的装置，其特征在于，所述处理单元用于，在所述n个目标安全算法列表中的每一个目标安全算法列表中，选择符合终端安全能力的、且优先级最高的算法为目标安全算法。
一种安全算法的协商方法，其特征在于，包括：

终端接收网络设备发送的n个目标安全算法，所述n个目标安全算法与所述终端接入的n个网络切片分别对应；

所述终端根据所述n个目标安全算法，与所述网络设备进行通信。
如权利要求21所述的方法，其特征在于，所述网络设备为接入网设备，所述目标安全算法用于所述终端与所述接入网设备之间链路的安全保护。
如权利要求21所述的方法，其特征在于，所述网络设备为接入和移动性管理功能AMF，所述目标安全算法用于所述终端与所述用户面功能UPF之间链路的安全保护。
如权利要求21～23任一项所述的方法，其特征在于，所述终端根据以下任一种方式区分网络切片：

通过单个网络切片选择辅助信息S-NSSAI来区分网络切片；或者，通过数据承载标识DRB ID来区分网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。
一种安全算法的协商装置，其特征在于，包括：

接收单元，用于接收网络设备发送的n个目标安全算法，所述n个目标安全算法与所述终端接入的n个网络切片分别对应；

处理单元，用于根据所述接收单元接收的所述n个目标安全算法，与所述网络设备进行通信。
如权利要求25所述的装置，其特征在于，所述处理单元还用于：

根据以下任一种方式区分网络切片：通过单个网络切片选择辅助信息S-NSSAI来区分网络切片；或者，通过数据承载标识DRB ID来区分网络切片，其中，所述DRB ID与协议数据单元会话标识PDU SESSION ID具有关联关系，所述PDU SESSION ID与S-NSSAI具有关联关系。
一种安全算法的协商装置，其特征在于，包括收发器和处理器，所述收发器与所述处理器相连，所述收发器用于接收和发送信号，所述处理器用于调用一组程序，当所述程序被执行时，所述处理器执行如权利要求1～10、21～24任一项所述的方法。
一种计算机可读存储介质，其特征在于，所述计算机存储介质中存储有计算机可读指令，当计算机读取并执行所述计算机可读指令时，使得计算机执行如权利要求1-10、21～24任意一项所述的方法。
一种计算机程序产品，其特征在于，当计算机读取并执行所述计算机程序产品时，使得计算机执行如权利要求1-10、21～24任意一项所述的方法。
一种芯片，其特征在于，所述芯片与存储器相连或者所述芯片包括所述存储器，用于读取并执行所述存储器中存储的软件程序，以实现如权利要求1-10、21～24任意一项所述的方法。