移动通信网络用户数据安全保护方法及系统与流程

技术特征：

1.一种移动通信网络用户数据安全保护方法，其步骤包括：

UE附着网络时向MME或SAS发送附着请求消息；

所述MME或SAS收到所述附着请求消息后，通过与HSS交互获取用户认证数据，并使用该认证数据同所述UE交互，完成用户和网络之间的双向认证；

所述MME或SAS根据所述UE的安全环境生成安全保护策略，将该安全保护策略发送给所述UE，并请求所述UE生成用户面安全保护需要的密钥；

所述MME或SAS请求所述HSS生成用户面安全保护需要的初始密钥，根据该初始密钥生成用户面安全保护需要的密钥；

S/P-GW根据所述安全保护策略和所述MME或SAS生成的密钥进行用户数据的安全保护，并向所述MME或SAS回复响应；

所述MME或SAS收到所述响应后向所述UE回复网络附着响应；

所述UE收到所述网络附着响应后，根据所述安全保护策略和自己生成的密钥进行用户数据的安全保护。

2.根据权利要求1所述的方法，其特征在于，所述网络附着请求消息包括UE的当前位置、接入网络类型、接入网络名称及可信度。

3.根据权利要求1所述的方法，其特征在于，所述安全环境包括所述UE支持的安全能力、当前位置的安全程度、接入网络及回传网络的安全可信度。

4.根据权利要求3所述的方法，其特征在于，所述UE支持的安全能力包括：加密算法类型、完整性保护算法类型、支持的密钥长度、安全保护能力，该安全保护能力包括机密性保护、完整性保护、抗重放攻击保护、用户身份信息隐私保护。

5.根据权利要求1所述的方法，其特征在于，所述安全保护策略包括是否提供安全保护、安全保护能力、安全保护算法、安全保护的强度等级、密钥长度以及密钥更新方法，所述安全保护能力包括完整性保护、机密性保护、新鲜性保护。

6.根据权利要求5所述的方法，其特征在于，所述UE根据所述密钥更新方法实现动态更新密钥，该密钥更新方法为当密钥使用时间和/或密钥保护的数据量达到预设阈值时更新密钥。

7.根据权利要求1所述的方法，其特征在于，所述HSS根据与所述UE预共享的安全凭据信息、当前位置、时间信息生成所述初始密钥。

8.根据权利要求1所述的方法，其特征在于，所述UE根据与所述HSS预共享的所述安全凭据信息、当前位置、时间信息、接入网类型，生成用户面安全保护需要的密钥。

9.根据权利要求1、6、7或8所述的方法，其特征在于，所述秘钥包括完整性保护密钥、机密性保护密钥。

10.一种移动通信网络用户数据安全保护系统，包括：

MME或SAS，用于根据UE的安全环境生成安全保护策略并发送给S/P-GW和UE，根据初始密钥、接入网类型生成用户面安全保护需要的密钥；

HSS，用于根据所述MME或SAS请求生成用户面安全保护需要的初始密钥；

S/P-GW，用于保存所述安全保护策略和所述MME或SAS生成的密钥，并据以进行用户数据的安全保护；

UE，用于根据所述安全保护策略生成用户面安全保护需要的密钥，并根据该安全保护策略和该密钥进行用户数据的安全保护。