防火墙中GTP模块与安全机制的研究

摘要

3G是无线通信与多媒体通信相结合的新一代移动通信系统，它为使用移动终端的用户提供越来越丰富的服务业务种类。然而3G通信网络的开放程度比以前大大增加也使得网络所面临的风险进一步加大，GPRS隧道协议（GTP）本身缺乏固有的安全性给整个GPRS架构留下安全隐患。
　　 威胁GPRS网络的攻击形式有很多种，有针对GTP协议的数据包碎片攻击，有针对协议和设施的FLOOD攻击，也有利用循环移动IP发起的OVERBILLING攻击等。另外，一般的基于TCP/IP协议体系的防火墙设备不能直接应用于3G系统中。因此，研制适用于3G通信协议的安全算法和措施是非常必要和迫切的。
　　 网络节点设备已成为制约网络发展的重要因素。网络处理器的诞生结束了这一尴尬的局面，它是高端路由器、交换机、防火墙等通信产品的核心部件。尽早开展这方面的研究与应用工作，具有重大的战略意义和现实意义。
　　 本文正是根据网络处理器的特点提出基于网络处理器IXP2850的针对以上几种典型网络威胁的防范方案。首先，设计和实现了GTP检查过滤模块，以防范GTP协议碎片的攻击；其次，提出防范OVERBILLING的新方案，并将其性能与国外仅有的Netscreen-500的方案进行分析对比；最后，针对IXP2850处理数据包流程的特点提出嵌入ICMP快速处理模块的方案，以加快处理ICMP包的速度，可为基于网络处理器的防火墙处理其它类型的数据包及防范ICMP攻击的通用算法作有价值的参考。

目录

文摘

英文文摘

声明

第一章 绪论

1.1 研究背景及意义

1.2 国内外发展现状

1.3 课题来源

1.4 本文的结构安排

第二章 GPRS安全问题

2.1 GPRS架构

2.2 GPRS通信协议

2.2.1 GTP协议

2.2.2 GPRS信令流程

2.3 GPRS系统安全分析

2.3.1 GPRS网络无线侧的风险

2.3.2 GPRS网络核心网的风险

2.3.3 洪泛攻击

第三章 GTP模块的设计与实现

3.1 网络处理器IXP2850及微引擎介绍

3.1.1 IXP2850硬件架构

3.1.2 软件平台IXA可移植性框架

3.2 GTP模块设计思想

3.3 实现与测试

3.3.1 仿真环境

3.3.2 GTP实现及测试结果

3.4 本章小结

第四章 OVERBILLING

4.1 防OVERBILLING的思想

4.1.1 GPRS网络的计费

4.1.2 OVERBILLING攻击的原理及过程

4.1.3 防范方案的设计思路

4.2 OVERBILLING防范方案的实现及仿真测试

4.2.1 存储结构的设计

4.2.2 性能分析

4.2.3 仿真测试

4.3 本章小结

第五章 ICMP快速处理模块

5.1 防ICMP FLOOD攻击的思想

5.1.1 ICMP洪泛攻击简介

5.1.2 在NP防火墙中嵌入ICMP快速处理模块

5.2 安全模块及算法的实现与测试

5.2.1 测试环境的搭建

5.2.2 仿真环境的设置

5.2.3 仿真结果

5.3 本章小结

第六章 结论与改进

参考文献

攻读硕士学位期间取得的研究成果

致 谢