NGN又稱為次世代網(wǎng)絡(luò)，是基于IP技術(shù)，采用業(yè)務(wù)層和傳輸層相互分離、業(yè)務(wù)與應(yīng)用控制相互分離、傳輸與傳輸控制相互分離的思想建立起來的網(wǎng)絡(luò)系統(tǒng)，它能夠支持當(dāng)前的各種接入技術(shù)，并能提供語音、視頻、流媒體等業(yè)務(wù)。NGN的體系架構(gòu)如圖：

　　和傳統(tǒng)的網(wǎng)絡(luò)系統(tǒng)一樣，NGN也需要避免出現(xiàn)非授權(quán)用戶訪問網(wǎng)絡(luò)設(shè)備上的資源、數(shù)據(jù)和其他用戶的隱私信息。在X.805標(biāo)準(zhǔn)的指導(dǎo)下，對該網(wǎng)絡(luò)可能遇到的威脅和自身的缺陷進(jìn)行分析。其安全需求主要有：安全策略的需求、認(rèn)證、授權(quán)、訪問控制和審計(jì)需求；時(shí)間戳與時(shí)間源需求；資源可用性需求；系統(tǒng)完整性需求；操作、管理、維護(hù)和配置安全需求；身份和安全注冊需求；通信和蘇話劇安全需求；隱私保證需求、密匙管理需求、NAT/防火墻互連需求、安全保證需求、安全機(jī)制增強(qiáng)需求和安全管理需求。

　　NGN的安全架構(gòu)是以X.805安全體系架構(gòu)為基礎(chǔ)，結(jié)合IETF相關(guān)的安全協(xié)議而提出來的。所以，我們可以依照網(wǎng)絡(luò)中的各種安全域，再結(jié)合具體的安全技術(shù)，來設(shè)計(jì)一個(gè)完整的NGN安全體系哦——域和域之前使用安全網(wǎng)關(guān)，各個(gè)不同的域內(nèi)運(yùn)用不同的安全策略，共同提高體系安全性。NNG安全構(gòu)架如下：

　　NGN網(wǎng)絡(luò)的安全架構(gòu)主要有以下幾個(gè)方面：

　　第一，歸屬網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)中間的訪問控制機(jī)制，可以由IDS和防火墻配合使用，再連接IPSec的防重播監(jiān)測，共同防止非法用戶的拒絕服務(wù)攻擊。具體的訪問機(jī)制可以IPv4+NAT的模式，并采用一定的防火墻穿越技術(shù)（TURN或STUN）。

　　第二，P-CSCF和UE之間采用網(wǎng)絡(luò)層加密，并使用IPSec的封裝安全載荷進(jìn)行加密。網(wǎng)絡(luò)層之間這種端到端的加密，允許用戶報(bào)文在從源點(diǎn)到重點(diǎn)的傳輸過程中始終以秘文形式存在，節(jié)點(diǎn)不涉及任何解密工作，只負(fù)責(zé)轉(zhuǎn)發(fā)操作。所以，用戶的數(shù)據(jù)在整個(gè)傳送的過程中都受到保護(hù)，而且各個(gè)報(bào)文都是用獨(dú)立的加密系統(tǒng)。即使某個(gè)報(bào)文傳輸錯(cuò)誤，也不會(huì)影響到后續(xù)報(bào)文。

　　第三，安全網(wǎng)關(guān)主要控制數(shù)據(jù)在防火墻和NAT服務(wù)器的出入，也具有數(shù)據(jù)過濾等其他安全功能。此外，安全網(wǎng)關(guān)還可以強(qiáng)化IMS域之間的安全策略，設(shè)置并維護(hù)IPSee安全關(guān)聯(lián)。

　　第四，針對繞過P-CSCF對S-CSCF發(fā)送SZP消息和偽裝P-CSCF的法用戶，一般采用如下技術(shù)：如果UE不偽裝成P-CSCF直接向S-CSCF發(fā)送SIP消息，可以對IMS核心設(shè)備引入第三層的 MPLS VPN技術(shù)，隔離UE和P-CSCF，隱藏IMS核心網(wǎng)絡(luò)的路由新數(shù)據(jù)，實(shí)現(xiàn)UE無法與S-CSCF聯(lián)系。如果UE偽裝成P-CSCF，則可以將P-CSCF的身份標(biāo)識存放在HSS數(shù)據(jù)庫中，每次P-CSCF向S-CSCF發(fā)送SIP消息時(shí)，S-CSCF都向P-CSCF發(fā)送認(rèn)證請求，驗(yàn)證合法后才能繼續(xù)發(fā)送SIP消息。