NGN又稱為次世代網(wǎng)絡(luò)，是基于IP技術(shù)，采用業(yè)務(wù)層和傳輸層相互分離、業(yè)務(wù)與應(yīng)用控制相互分離、傳輸與傳輸控制相互分離的思想建立起來的網(wǎng)絡(luò)系統(tǒng)，它能夠支持當(dāng)前的各種接入技術(shù)，并能提供語音、視頻、流媒體等業(yè)務(wù)。NGN的體系架構(gòu)如圖：

　　和傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)一樣，NGN也需要避免出現(xiàn)非授權(quán)用戶訪問網(wǎng)絡(luò)設(shè)備上的資源、數(shù)據(jù)和其他用戶的隱私信息。在X.805標(biāo)準(zhǔn)的指導(dǎo)下，對該網(wǎng)絡(luò)可能遇到的威脅和自身的缺陷進(jìn)行分析。其安全需求主要有：安全策略的需求、認(rèn)證、授權(quán)、訪問控制和審計需求；時間戳與時間源需求；資源可用性需求；系統(tǒng)完整性需求；操作、管理、維護(hù)和配置安全需求；身份和安全注冊需求；通信和蘇話劇安全需求；隱私保證需求、密匙管理需求、NAT/防火墻互連需求、安全保證需求、安全機(jī)制增強(qiáng)需求和安全管理需求。

　　NGN的安全架構(gòu)是以X.805安全體系架構(gòu)為基礎(chǔ)，結(jié)合IETF相關(guān)的安全協(xié)議而提出來的。所以，我們可以依照網(wǎng)絡(luò)中的各種安全域，再結(jié)合具體的安全技術(shù)，來設(shè)計一個完整的NGN安全體系哦——域和域之前使用安全網(wǎng)關(guān)，各個不同的域內(nèi)運用不同的安全策略，共同提高體系安全性。NNG安全構(gòu)架如下：

　　NGN網(wǎng)絡(luò)的安全架構(gòu)主要有以下幾個方面：

　　第一，歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)中間的訪問控制機(jī)制，可以由IDS和防火墻配合使用，再連接IPSec的防重播監(jiān)測，共同防止非法用戶的拒絕服務(wù)攻擊。具體的訪問機(jī)制可以IPv4+NAT的模式，并采用一定的防火墻穿越技術(shù)（TURN或STUN）。

　　第二，P-CSCF和UE之間采用網(wǎng)絡(luò)層加密，并使用IPSec的封裝安全載荷進(jìn)行加密。網(wǎng)絡(luò)層之間這種端到端的加密，允許用戶報文在從源點到重點的傳輸過程中始終以秘文形式存在，節(jié)點不涉及任何解密工作，只負(fù)責(zé)轉(zhuǎn)發(fā)操作。所以，用戶的數(shù)據(jù)在整個傳送的過程中都受到保護(hù)，而且各個報文都是用獨立的加密系統(tǒng)。即使某個報文傳輸錯誤，也不會影響到后續(xù)報文。

　　第三，安全網(wǎng)關(guān)主要控制數(shù)據(jù)在防火墻和NAT服務(wù)器的出入，也具有數(shù)據(jù)過濾等其他安全功能。此外，安全網(wǎng)關(guān)還可以強(qiáng)化IMS域之間的安全策略，設(shè)置并維護(hù)IPSee安全關(guān)聯(lián)。

　　第四，針對繞過P-CSCF對S-CSCF發(fā)送SZP消息和偽裝P-CSCF的法用戶，一般采用如下技術(shù)：如果UE不偽裝成P-CSCF直接向S-CSCF發(fā)送SIP消息，可以對IMS核心設(shè)備引入第三層的 MPLS VPN技術(shù)，隔離UE和P-CSCF，隱藏IMS核心網(wǎng)絡(luò)的路由新數(shù)據(jù)，實現(xiàn)UE無法與S-CSCF聯(lián)系。如果UE偽裝成P-CSCF，則可以將P-CSCF的身份標(biāo)識存放在HSS數(shù)據(jù)庫中，每次P-CSCF向S-CSCF發(fā)送SIP消息時，S-CSCF都向P-CSCF發(fā)送認(rèn)證請求，驗證合法后才能繼續(xù)發(fā)送SIP消息。