[发明专利]基于FPGA的3G数据包过滤系统及方法

说明书

技术领域

发明涉及一种基于FPGA的3G网络数据包过滤系统及方法，属于TD-SCDMA网络安全领域的数据过滤方法。

背景技术

第三代移动通信系统即IMT-2000，3G无线接口标准在2000年5月被命名为IMT-2000无线接口技术规范，此规范包括码分多址(CDMA)和时分多址(TDMA)两大类共五种技术。其中CDMA是公认的主流技术，包括频分双工(FDD)和时分双工(TDD)技术。TD-SCDMA系统是TDMA和CDMA两种基本传输模式的灵活结合，由中国无线通信标准化组织(CWTS)提出并得到ITU通过的无线通信标准。该系统特别适合于在城市人口密集区提供高密度大容量语音、数据和多媒体业务。系统可单独运营，以满足ETSI/UMTS和ITU/IMT-2000的要求，也可与其他无线接入技术配合使用。

在TD-SCDMA网络中，移动台MS或移动手机使用分组数据业务时，发送请求或通信数据到服务GPRS支持节点(SGSN)，SGSN采用GPRS隧道协议(GTP)将数据打包后发送到GPRS网关支持节点(GGSN)，GGSN将GTP数据包进行解包和重新组装后路由到用户请求的Internet网络。TD-SCDMA提供高QoS的分组数据业务的同时，其互联性、开放性和匿名性也使得其传播的信息良莠不齐，信息安全问题不容忽视。包过滤技术是信息安全中的重要课题，其基本原理是对网络数据报文进行解包检测来判断数据的合法性，根据检测结果进行相应的转发控制，保证网络信息的安全性，防止和控制非法、有害信息的传播。包过滤通常需要对报文头和报文体分别进行检查和过滤，现有的主流技术是五元组过滤，提取数据包中的IP源地址、IP目标地址、协议类型、应用层源端口号和目的端口号，用于IP数据包的分流和过滤，即包过滤防火墙和路由器，没有追踪到用户，且大部分的包过滤算法(如Hicuts、Hierarchical Tries等)针对软件实现，没有考虑硬件的特点，且随着网速的提高和规则数的增多，软件处理速度相对滞后。

发明内容

本发明所要解决的技术问题是针对现有技术存在的缺陷提供一种基于FPGA的3G网络数据包过滤系统及方法。

本发明为实现上述目的，采用如下技术方案：

本发明基于FPGA的3G网络数据包过滤系统，其特征在于包括EMAC硬核模块和用户处理逻辑模块，其中用户处理逻辑模块包括控制包解析模块、二个GTP数据包解析模块、读写控制模块、特征信息搜索引擎、特征信息存储模块和二个转发控制模块，控制包解析模块、二个GTP数据包解析模块的输入端分别接EMAC硬核模块的输出端，第一GTP数据包解析模块的输出端分别接读写控制模块和第一转发控制模块的输入端，控制包解析模块的输出端接读写控制模块的输入端，第二GTP数据包解析模块的输出端分别接读写控制模块和第二转发控制模块的输入端，读写控制模块的输出端接特征信息搜索引擎的输入端，特征信息搜索引擎的输出端分别接第一转发控制模块和第二转发控制模块的输入端，特征信息搜索引擎与特征信息存储模块双向连接，第一转发控制模块和第二转发控制模块的输出端分别接EMAC硬核模块的输入端。

所述的基于FPGA的3G网络数据包过滤系统的过滤方法，其特征在于包括控制包处理方法和GTP数据包的处理方法，其中控制包处理方法包括如下步骤：

a)采用EMAC硬核模块的接收客户端接口接收网关节点GGSN和支持节点SGSN的链路上的所有3G数据包以及数据监管子系统的控制包；

b)将步骤a所述的数据监管子系统的控制包经过控制包解析模块提取得到控制特征信息，控制包解析模块并将插入/删除标志、IMSI/IP标志置位；

c)采用读写控制模块检测特征信息存储模块，当特征信息存储模块未进行读操作，则将步骤b所述的控制特征信息传递至特征信息搜索引擎；

d)特征信息搜索引擎检测相应的控制信号：

①当插入标志置位，则检测特征信息存储模块中相应存储位置是否为空：(1)当相应存储位置为空，则将步骤b所述的控制特征信息存储至征信息存储模块中相应存储位置；(2)当相应存储位置不为空，则将基地址加上偏移地址得到新地址，将新地址作为存储地址返回步骤(1)；

②当删除标志置位，则检测特征信息存储模块中相应存储位置的数据与待检测数据是否相等：(3)当存储位置的数据与待检测数据相等，则该存储位置内容清零；(4)当存储位置的数据与待检测数据不相等，则将基地址加上偏移地址得到新地址，将新地址作为存储地址返回步骤(3)；

GTP数据包的处理方法包括如下步骤：