随着移动通信网络的飞速发展,运营商不仅能够向移动用户提供高速的数据业务,并且所提供的服务种类日益繁多。GTP协议本身缺乏安全性是3G/GPRS系统存在的安全威胁之一。适用于GTP协议网络的、具有线速处理能力及灵活性的安全设备的研究成为3G网络通信安全领域的研究重点。 GTP隧道面临的安全威胁,一部分是针对GTP数据包本身的碎片攻击,这些攻击用通常的静态包过滤方法就可以加以防范。还存在着一部分安全威胁是恶意攻击者针对GTP隧道的维护和管理过程进行的攻击,需要利用基于GTP隧道状态跟踪的安全解决方案来解决此类攻击。现行的状态检测技术绝大部分是基于TCP/IP协议的,这些都不适用于GTP协议。因此GTP隧道的状态跟踪技术的研究将成为解决GTP协议网络安全的新的研究热点。 网络处理器是一种专门用于网络数据处理领域的一种可编程器件,具有高速的网络数据处理能力和可编程的灵活性,利用其开发的网络设备通常具有很高的处理性能,是开发移动网络安全设备的更好的选择。 本论文研究的主要内容是：首先对GTP隧道协议的隧道管理部分对隧道的维护和管理的工作原理进行深入地研究,探讨了GTP隧道状态迁移过程。然后分析GTP隧道面临的安全问题,研究出一套基于GTP隧道状态检测的安全防范手段。最后利用网络处理器IXP2800,在其微引擎上实现GTP隧道状态检测微模块。 本文提出的GTP状态检测模块,解决了普通状态检测防火墙不能够直接移植到GTP协议网络的问题,实现了对GTP隧道状态检测、基于GTP的隧道状态检测的用户数据流过滤及防范过渡计费的核心功能。本文不仅设计出一套可以适用于GTP协议的状态检测方案,而且依据网络处理器的特点,利用IXP2800提供的哈希单元,给出了一种基于数据流向的多冲突链哈希算法,极大地提高了所开发微模块的处理性能。