[发明专利]一种过滤报文的方法、装置和系统

说明书

技术领域

本发明涉及通信技术及其安全技术领域，特别涉及一种过滤报文的方法、装置和系统。

背景技术

GTP(General Packet Radio Service Tunnelling Protocol，通用无线分组服务隧道协议)是应用在GPRS(General Packet Radio Service，通用无线分组服务)网络核心网或WCDMA(Wideband Code Division Multiple Access，宽带码分多址)、TD-SCDMA(Time Division-Synchronous Code Division MultipleAccess，时分同步码分多址)网络核心网PS(Packet Switched domain，分组域)域的隧道通信协议，在GPRS网络中，它被定义在Gn(Gn Interface，Gn接口)、Gp(Gp Interface，Gp接口)、Ga(Ga Interface，Ga接口)接口，在核心网PS域，它还被定义在Iu-PS(interface Interface between CN(PS)andRNC，CN(PS)和RNC之间的接口)接口。

GPRS被用来在传统的基于电路交换的移动网络中传输分组数据，为此在原GSM网络基础上增加了一系列功能实体，主要包括PCU(Packet ControlUnit，分组控制单元)、SGSN(Service GPRS Support Node，服务GPRS支持节点)、GGSN(Gateway GPRS Support Node，关口GPRS支持节点)、CG(Charging Gateway，计费网关)等网元，并对GSM网络的网络实体进行升级以支持分组业务。

GTP协议在Gn、Gp、Ga和核心网PS域的Iu-PS接口以隧道方式传输分组数据，它支持隧道的创建和维护，以及分组数据的传输。GTP标准定义了一系列GTP消息，来支持用户的分组数据业务。

通常GTP协议使用IP(Internet Protocol，因特网协议)协议承载。由于TCP/IP协议(Transmission Control Protocol，传输控制协议)和GTP协议本身并未制定完善的安全机制，随着移动分组业务的快速发展和3G网络的来临，GPRS支撑点GSN(GPRS Supporting Node，GPRS支撑点)设备无法全面的防范具有相互关联的消息形式的攻击，于是就产生了在GPRS网络中使用基于隧道连接状态的高级过滤技术。

对于基于会话状态的安全威胁而言，传统防火墙技术和GSN的安全功能组件无能为力。

现有技术中的处理方式是在GSN设备上，利用GSN的状态检查功能，嵌入到会话处理过程中，进行安全检查。其技术问题在于GSN的状态检查功能比较弱，原因是：

1、抗DoS(Denial of Service，拒绝服务)攻击能力差。由于GSN设备的处理Dos攻击的能力有限，因此，对DoS的防范能力太差。

2、状态检查机制存在缺陷。由于GSN的状态检查功能是嵌入到其会话处理过程的，那么GSN对GTP报文的状态检查是由GTP会话信令的处理过程决定，如果攻击者利用GTP会话信令以外的方式进行攻击，那么这种防范方式将无能为力。

而且，在GSN设备上能够完成的GSN状态检查功能，由于防火墙不具有GSN状态检查功能，所以，现有技术中的防火墙都不具备GTP状态检查功能。

在现有技术中，防火墙主要是通过五元组过滤技术进行安全检查，可以对传输层和应用层进行安全检查，这些安全检查都是根据传输层协议和应用层协议进行的，现有的防火墙都无法对GTP协议进行状态检查。

发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：

现有技术无法在防火墙上提供基于状态检查的GTP会话安全过滤技术。

发明内容

有鉴于此，本发明一个或多个实施例的目的在于提供一种过滤报文的方法、装置和系统，以实现基于状态检查机制，对GTP会话进行深度检查。

为解决上述问题，本发明实施例提供了一种过滤报文的方法，通用无线分组服务隧道协议GTP消息包括隧道状态特征消息和时序状态特征消息，所述方法包括：检查隧道状态特征消息的隧道状态，如果隧道状态正确，则根据隧道状态特征消息维护GTP隧道；

如果隧道状态错误，按预设条件处理所述隧道状态特征消息；

根据时序状态特征消息的时序状态记录，检查所述时序状态特征消息的时序状态；