【资料名称】：浅谈3G核心网的安全问题

【资料作者】：魏敏

【资料日期】：2011321

【资料语言】：中文

【资料格式】：其它

【资料目录和简介】：

目前3G已然成为通信行业内最为热门的一个话题，W-CDMA、TD-CDMA、CDMA2000，各种技术各显所长，令人眼花缭乱。目前大家都在思考具体应该使用哪种技术，哪种技术更适合我们，谁才是标准，透过目前的这些纷争，网络安全的从业人员应该有自己独到的见解，应该看到背后的问题。不管是哪种传输技术，哪个频段，最终应用的目的都是让我们的手机能够连到Internet上。伟大的Internet啊，那分明就是一个大染缸，任何跟它扯上关系的东西都不可避免的要受到病毒与攻击的侵扰，这已经成为Internet的一个挥之不去的阴影。尤其是在当前全IP的形式下，该问题尤为突出。所以3G的安全问题，特别是3G核心网的安全问题很值得我们深思。

随着移动通信、数据通信和光通信的飞速发展，其带来的需求日益膨胀。通信业务的不断发展和频谱资源的日益短缺，两者共同驱动了3G的产生。移动通信从最初的GSM-即2G，发展到GPRS也是常说的2.5G，到现在的3G，中间经历了各种不同技术的竞争，也出现了不同的发展方向-CDMA，这其中谁也没有一统天下的技术优势，导致了现在三足鼎力的局面。目前的TD-CDMA/WCDMA是从GSM发展出来的，它仍旧沿用了GPRS的核心网的技术，也就是通过GPRS核心网连接外部的Internet，它们都是隶属于3GPP1的标准组织，其中TD-CDMA是我国提出的技术标准，WCDMA是欧洲技术标准。另外一个技术分支CDMA延伸发展成为CDMA2000，该技术是隶属于3GPP2的标准组织，在核心网部分不需要GPRS转接而是由PSTN设备直接连接Internet，CDMA2000属于美国标准。本文主要讨论GPRS核心网的安全问题。

一、GPRS核心网技术

GPRS核心网技术标准从最初的R99到现在的R4/5/6，技术仍旧处在不断的完善发展之中。目前的3G网络TOPO如下所示，其中的核心网主要指的是SGSN和GGSN部分。SGSN-Service GPRS Support Node，SGSN主要和BSS亦即移动基站相连，负责移动用户的移动性管理，接入控制、鉴权、路由选择、地址翻译和映像、数据包的中转、流量控制、QoS管理等功能。GGSN则主要与外部数据网相连，作为GPRS的外部数据网关，它主要负责用户和网络间分组数据包的封装和中转、消息的传递、地址翻译和映像和部分移动性管理工作，也就是作为GPRS的核心网网关。



GPRS核心网络拓扑图

目前全IP已经成为了一种潮流，IP软交换的使用越来越多，移动通信也逐渐向IP来靠拢，移动网要逐渐与IP网融合，IP将作为用户语音、信令和数据的统一载体。全IP网络的特点是：(1)网络结构是基于分组技术，以便同时实现实时和非实时业务;(2)网络结构基于演进的性能加强的GPRS网络;(3)所有的IP接口和相关的网络接口应支持实时多媒体业务;(4)IP用于所有数据和信令的下层传输。所以在核心网中SGSN和GGSN之间是利用IP互连，走的是IP转发。它们之间用的是特定的GTP(GPRS Tunnel Protocol)协议，该协议是基于IP网络的，是通过在IP报文的应用层封装IP报文，也就是类似于IP Tunnel的概念。那么既然是IP报文，并且内部封装的也是IP报文，安全问题就随之而来了。

二、GTP协议的实现和安全隐患

GTP作为SGSN和GGSN之间的一种Tunnel协议，它的发展也经历了不同的阶段。GTP是建立在UDP之上的一种应用层协议，分为GTPv0和GTPv1不同的版本。GTP协议分为控制平面和数据平面，其中控制平面用来创建、删除GTP Tunnel，以及对GTP Tunnel的属性进行修改，数据平面主要是用来传输用户的数据报文。在GTPv0版本，控制平面和数据平面都是运行在UDP的3386端口上的，到了GTPv1版本出现了分化，其中控制平面运行的UDP的2123端口上，数据平面运行在2152端口上。SGSN在收到用户手机上网的请求后首先发送ECHO Request以此来探测其与GGSN的联通性，在收到GGSN回复后，SGSN会发出Tunnel建立请求的PDP Request报文，该报文请求隧道的建立，会携带协商的属性，如果GGSN同意隧道建立，则GGSN会发送一个PDP Response报文，在报文中携带分给用户手机的IP地址，隧道建立。用户手机发送出的上网数据通过基站接入SGSN后数据就会被封装到该地址的隧道中，经过GGSN转发出去。同样从Internet返回的数据，在GGSN中根据目的IP来决定将数据封装到不通的隧道，经由SGSN转发到用户端，这就实现了用户手机的上网过程。在这个过程中用户完全可以通过Tunnel来封装攻击报文，然后通过GGSN转发出去。具体的GTP报文格式如下：



GTP报文封装格式

其中GTP内部封装的IP就是用户的手机IP。下图的报文格式就是手机用户发起的ftp



请求，手机用户同样可以将SYN Flood、Backdoor等等一系列的攻击报文封装在Tunnel之中发送到Internet达到自己的攻击目的，同样来自Internet的攻击和病毒报文也可以封装到Tunnel中感染手机。这也就是纯IP的负面效应。

三、解决思路

针对该种安全隐患，我们的防火墙产品首先需要能够对报文进行深度检测，然后还要能够识别GTP协议，能够对GTP协议进行解封装，这才有可能在将IP报文从GTP Tunnel中剥离出来之后，再对该IP报文进行深度分析，以此来杜绝攻击的发生。