一种网络安全的管理系统、方法及装置制造方法及图纸

本发明专利技术实施例公开了一种网络安全的管理系统、方法及装置，所述系统包括：UE、AN、网络功能选择模块和至少两个认证模块；UE用于向所述网络功能选择模块发送第一业务请求，第一业务请求中携带认证协议信息；网络功能选择模块用于根据认证协议信息，选择目标认证模块，并向目标认证模块发送第二业务请求；目标认证模块用于与UE进行相互认证；目标认证模块还用于根据指定安全策略确定第一安全配置，并向AN发送第一安全配置；AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向UE发送第二安全配置。采用本发明专利技术提供的技术方案，可满足网络的差异化的认证协议和安全策略的安全需求，从而提高网络的安全。

A network security management system, method and device

The embodiment of the invention discloses a management system, a method and a device for network security, the system includes: UE, AN, network selection module and at least two authentication module; UE is used to select the first service module sends a request to the network function, carrying the first information service request authentication protocol; network function selection according to the authentication protocol module is used to select the target information, authentication module, and a request to the target authentication module to send second business objectives; the authentication module is used for mutual authentication and UE authentication module is used for target; according to the specified security policy to determine the first security configuration, and sent to AN AN for the first security configuration; according to the first security configuration or the specified security policy to determine second security configuration and security configuration is sent to UE second. The technical scheme provided by this invention can meet the security requirements of the network's differentiated authentication protocols and security policies, and thus improve the security of the network.

【技术实现步骤摘要】
一种网络安全的管理系统、方法及装置
本专利技术涉及通信
，尤其涉及一种网络安全的管理系统、方法及装置。
技术介绍
在4G网络中，为了支持需求各异的业务、网络租用、网络共享等，可以有多个专用核心网共享接入网。每个专用核心网为特定业务在功能和性能上优化，满足业务功能和性能的差异化需求。如图1，图1是4G专用核心网架构示意图。接入网可与多个运营商连接，每个运营商可拥有专用核心网(英文：DedicatedCoreNetwork，DCN)，多个DNC共享接入网。用户设备(英文：UserEquipment，UE)与接入网连接，通过接入网实现与各个运营商的专用核心网的业务服务等交互。在5G网络中，将会有多个称为“网络切片”(简称“切片”)的逻辑网络。不同切片除了功能和性能方面需求存在差异，安全方面需求也可能存在差异。在5G网络的切片架构的现有技术思路中，UE可同接入多个切片，网络根据UE要附着的切片的切片信息或者认证节点(英文：AuthenticationUnit，AU)的负载状态来选择AU，进而通过选择的AU实现与UE的认证，或者授权UE接入目标切片等操作。现有技术选择AU时没有考虑UE所支持的认证协议或者算法等信息，缺乏相关设计，无法更好地保障网络安全。
技术实现思路
本申请提供一种网络安全的管理系统、方法及装置，可满足网络的差异化的认证协议和安全策略的安全需求，提高网络的安全。第一方面提供了一种网络安全的管理系统，所述管理系统用于实现包含至少两个网络切片的网络的安全管理，其可包括：用户设备UE、接入网AN、网络功能选择模块和至少两个认证模块；所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证；所述目标认证模块还用于根据所述UE附着的指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；所述AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。在本申请中，网络功能选择模块可根据UE支持的认证协议信息选择支持UE所支持的认证协议的认证模块，进而可通过认证模块与UE的相互认证，提高了认证模块选择的准确性，增强了网络的安全性。本申请还可通过根据认证协议选择的目标认证模块实现安全配置的生成，或者通过根据认证协议选定的目标认证模块和AN实现安全配置的生成，选择灵活性高。结合第一方面，在第一种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。结合第一方面第一种可能的实现方式，在第二种可能的实现方式中，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。其中，需要指出的是，也可以是从所述各个认证模块中选择负载小于预设阈值的认证模块作为目标认证模块。也就是说，如果负载小于预设阈值的认证模块有多个，可以从该多个负载小于预设阈值的认证模块中随机进行选择，不一定非要选择最少的认证模块作为目标认证模块。结合第一方面，在第三种可能的实现方式中，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。结合第一方面第三种可能的实现方式，在第四种可能的实现方式中，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。结合第一方面，在第五种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。结合第一方面，在第六种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。结合第一方面，在第七种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。结合第一方面第五种可能的实现方式至第七种可能的实现方式中任一种，在第八种可能的实现方式中，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。结合第一方面，在第九种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。结合第一方面，在第十种可能的实现方式中，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。结合第一方面，在第十一种可能的实现方式中，所述网络功能选择模块包括第一子模块和第二子模块；所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述本文档来自技高网...

【技术保护点】
一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理，所述系统包括：用户设备UE、接入网AN、网络功能选择模块和至少两个认证模块；所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证；所述目标认证模块还用于根据所述UE附着的指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；所述AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。

【技术特征摘要】
1.一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理，所述系统包括：用户设备UE、接入网AN、网络功能选择模块和至少两个认证模块；所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证；所述目标认证模块还用于根据所述UE附着的指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；所述AN用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。2.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。3.如权利要求2所述的管理系统，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。4.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。5.如权利要求4所述的管理系统，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。6.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。7.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。8.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。9.如权利要求6-8任一项所述的管理系统，其特征在于，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。10.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。11.如权利要求1所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。12.如权利要求1所述的管理系统，其特征在于，所述网络功能选择模块包括第一子模块和第二子模块；所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述第二子模块发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；所述第二子模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子模块发送所述目标认证模块的标识；所述第一子模块还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。13.如权利要求12所述的管理系统，其特征在于，所述第二子模块具体用于执行如所述权利要求2-11中任一项所述的网络功能选择模块所执行的实现方式。14.如权利要求2-11任一项所述的管理系统，其特征在于，所述管理系统还包括安全策略控制器；所述安全策略控制器用于向所述认证模块或者所述AN下发网络切片的安全策略。15.如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；所述目标认证模块还用于：确定所述指定网络切片对应的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。16.如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力；所述目标认证模块还用于：确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：根据所述指定网络切片的的标识确定所述指定安全策略，并根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述目标加密算法的标识或者所述目标完整性保护算法的标识添加至所述第一安全配置中以得到第二安全配置。17.如权利要求14所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力；所述目标认证模块还用于：根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。18.如权利要求15-17任一项所述的管理系统，其特征在于，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。19.如权利要求1-18任一项所述的管理系统，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。20.如权利要求12-18任一项所述的管理系统，其特征在于，所述第一子模块为AURF，所述第二子模块为AUSF。21.如权利要求1-18任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。22.一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中认证模块的选择，所述系统包括：用户设备UE、网络功能选择模块和至少两个认证模块；所述UE用于向所述网络功能选择模块发送第一业务请求，所述第一业务请求中携带认证协议信息；所述网络功能选择模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述目标认证模块发送第二业务请求；所述目标认证模块用于接收所述第二业务请求，并与所述UE进行相互认证。23.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。24.如权利要求23所述的管理系统，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。25.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。26.如权利要求25所述的管理系统，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述网络功能选择模块具体用于：根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。27.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议的待选定认证模块作为目标认证模块。28.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第二认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第二认证协议并且支持所述指定网络切片的待选定认证模块作为目标认证模块。29.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第二认证协议的标识；所述网络功能选择模块具体用于：根据网络设定的认证协议的选择优先级确定所述UE支持的各个所述第二认证协议中选择优先级最高的认证协议，并从所述至少两个认证模块中选择支持所述选择优先级最高的认证协议的待选定认证模块作为目标认证模块。30.如权利要求27-29所述的管理系统，其特征在于，若所述待选定认证模块多于一个，所述网络功能选择模块具体用于：根据多于一个的所述待选定认证模块中各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。31.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的待选定认证模块；若所述待选定认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述待选定认证模块中选择支持选择优先级最高的第四认证协议的认证模块作为目标认证模块。32.如权利要求22所述的管理系统，其特征在于，所述认证协议信息包括所述UE支持的至少两个第三认证协议的标识，以及所述至少两个第三认证协议中每个第三认证协议的选择优先级；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块具体用于：根据每个所述第三认证协议的标识，从所述至少两个认证模块中选择支持至少一个所述第三认证协议的第一认证模块；若所述第一认证模块多于一个，则根据各个所述第三认证协议的选择优先级，从所有所述第一认证模块中选择支持优先级最高的第四认证协议的第二认证模块；若所述第二认证模块多于一个，则根据每个所述第二认证模块的负载状态或者每个所述第二认证模块所服务的网络切片信息，从中选择服务所述指定网络切片并且负载最少的认证模块作为目标认证模块。33.如权利要求22所述的管理系统，其特征在于，所述网络功能选择模块包括第一子模块和第二子模块；所述第一子模块用于接收所述UE发送的所述第一业务请求，并向所述第二子模块发送认证模块选择请求，所述认证模块选择请求中携带所述认证协议信息；所述第二子模块用于根据所述认证协议信息，从所述至少两个认证模块中选择目标认证模块，并向所述第一子模块发送所述目标认证模块的标识；所述第一子模块还用于向所述目标认证模块的标识对应的所述目标认证模块发送第二业务请求。34.如权利要求33所述的管理系统，其特征在于，所述第二子模块具体用于执行如所述权利要求23-32中任一项所述的网络功能选择模块所执行的实现方式。35.如权利要求22-34任一项所述的管理系统，其特征在于，所述网络功能选择模块包括：认证节点AU选择功能AUSF、AU路由功能AURF、切片选择功能SSF以及移动性管理MM中的至少一种。36.如权利要求33或34所述的管理系统，其特征在于，所述第一子模块为AURF，所述第二子模块为AUSF。37.如权利要求22-34任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。38.一种网络安全的管理系统，其特征在于，所述管理系统用于实现包含至少两个网络切片的网络的安全管理中安全配置的管理，所述系统包括：用户设备UE、接入网AN、安全策略控制器和认证模块；所述安全策略控制器用于向所述AN或者所述认证模块下发网络切片的安全策略；所述UE用于向所述AN发送第一业务请求，所述第一业务请求中携带所述UE所要附着的指定网络切片的标识；所述AN用于向所述认证模块发送第二业务请求，所述第二业务请求中携带所述UE所要附着的指定网络切片的标识；所述认证模块用于接收所述第二业务请求并与所述UE进行相互认证；所述认证模块还用于根据所述指定网络切片的指定安全策略确定第一安全配置，并向所述AN发送第二业务请求响应，所述第二业务请求响应中携带所述第一安全配置；所述AN还用于根据所述第一安全配置或者所述指定安全策略确定第二安全配置，并向所述UE发送第一业务请求响应，所述第一业务请求响应中携带所述第二安全配置。39.如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；所述认证模块还用于：确定所述指定网络切片对应的所述指定安全策略规定的密钥长度，并生成所述密钥长度对应的密钥；根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。40.如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块和所述AN下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力；所述认证模块还用于：确定所述指定网络切片的所述指定安全策略规定的密钥长度，生成所述密钥长度对应的密钥，并根据所述密钥和所述指定网络切片的标识生成所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：根据所述指定网络切片的的标识确定所述指定安全策略，并根据所述AN的安全能力、所述UE的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述目标加密算法的标识或者所述目标完整性保护算法的标识添加至所述第一安全配置中以得到第二安全配置。41.如权利要求38所述的管理系统，其特征在于，所述安全策略控制器用于向所述认证模块下发网络切片的安全策略；所述第二业务请求中还携带所述UE的安全能力和所述AN的安全能力；所述认证模块还用于：根据所述UE的安全能力、所述AN的安全能力和所述指定安全策略选择目标加密算法或者目标完整性保护算法；将所述密钥、所述目标加密算法的标识或者所述目标完整性保护算法的标识生成所述第一安全配置，并将所述第一安全配置添加至所述第二业务请求响应中；所述AN具体用于：将所述第一安全配置中携带的所述目标加密算法的标识或者所述目标完整性保护算法的标识确定为第二安全配置并添加至所述第一业务请求响应中。42.如权利要求39-41任一项所述的管理系统，其特征在于，所述目标加密算法为所述UE和所述AN均支持的加密算法中选择优先级最高的加密算法；所述目标完整性保护算法为所述UE和所述AN均支持的完整性保护算法中选择优先级最高的完整性保护算法。43.如权利要求38-42任一项所述的管理系统，其特征在于，所述认证模块包括：AU、Front-end以及访问控制代理ACA中的至少一种。44.一种网络安全的管理方法，其特征在于，包括：网络功能选择模块接收用户设备UE发送的第一业务请求，所述第一业务请求中携带认证协议信息；所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块；所述网络功能选择模块向所述目标认证模块发送第二业务请求。45.如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：所述网络功能选择根据所述第一认证协议的标识从所述至少两个认证模块中选择支持所述第一认证协议的目标认证模块。46.如权利要求45所述的管理方法，其特征在于，若支持所述第一认证协议的认证模块多于一个，所述方法还包括：根据支持所述第一认证协议的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块作为目标认证模块。47.如权利要求44所述的管理方法，其特征在于，所述认证协议信息包括所述UE选定的第一认证协议的标识；所述第一业务请求中还携带所述指定网络切片的标识；所述网络功能选择模块根据所述认证协议信息，从网络中包含的至少两个认证模块中选择目标认证模块包括：所述网络功能选择模块根据所述第一认证协议的标识和所述指定网络切片的标识，从所述至少两个认证模块中选择支持所述第一认证协议和所述指定网络切片的目标认证模块。48.如权利要求47所述的管理方法，其特征在于，若支持所述第一认证协议和所述指定网络切片的认证模块多于一个，所述方法还包括：根据支持所述第一认证协议和所述指定网络切片的各个认证模块的负载状态，从所述各个认证模块中选择负载最少的认证模块...

【专利技术属性】
技术研发人员：李漓春，刘斐，司马可，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44