3 NGN安全体系架构

　　NGN安全体系架构是一个体系，本身很难用一个单一的标准来涵盖，其设计需要满足以下条件：

　　具有可扩展性、实用性；
　　基于成熟的安全机制和实现技术；
　　能够实现应用层、业务层和传输层的分离，不同层次上能够采用不同的安全措施；
　　安全措施的应用不影响业务的服务质量；
　　满足网络运营商、业务提供商和用户的安全需求；
　　能够实现互操作。

　　NGN在网络架构中引入了多种商业模型，例如，接入网和骨干网可能属于不同的运营商，有不同的安全策略，需要隔离不同层面的安全问题。为此，NGN按照逻辑方式和物理方式，对图 1中的网络进行了划分，形成了不同的安全域，每一安全域可以对应着一种特定的安全策略，运营商通过实施各种安全策略对安全域里和安全域间的功能要素和活动进行保护。

　　安全域可以分为信任域、脆弱信任域和非信任域。对于某一特定的网络运营商，信任域是指不与用户设备直接通信、处于该运营商完全控制之下的安全域，例如骨干网；脆弱信任域是指属于该网络运营商管理但不一定由该网络运营商控制、连接信任域和非信任域的安全域，例如接入网、边界网关；非信任域是指不属于该运营商管理的安全域，例如用户网络、不被信任的其他运营商网络。在不同的安全域里，安全威胁、脆弱性、风险是不同的，因此安全需求也就不一样，网络运营商和业务提供商需要分别制定安全策略，采用各种安全机制的组合，来保证其网络和网络之上端到端用户业务的安全性。

　　根据NGN分层的思想(如图1所示)，NGN安全体系架构，在水平方向上可以划分为传送层安全和业务层安全。传送层和业务层的安全体系架构应相对独立，传送层安全体系架构主要是解决数据传输的安全，业务层安全体系架构主要解决业务平台的安全。例如，电信和互联网融合业务及高级网络协议(TISPAN)规定，传送层采用网络附着子系统(NASS)凭证, 业务控制层采用IP多媒体子系统(IMS)认证和密钥协商(AKA)模式，应用层采用基于通用用户识别模块(USIM)集成电路卡(UICC)的GBA (GBA-U) 模式。

　　NGN安全的系统架构在垂直方向上可以划分为接入网安全、骨干网安全和业务网安全，从而使得原来网络端到端安全变成了网络逐段安全。在垂直方向上，NGN可以被划分成多个安全域。
　　接入网通过接入控制部分对用户的接入进行控制，防止非授权用户访问传送网络，并负责用户终端IP地址的分配；骨干网通过边界网关对网络互连进行控制，保证只有被授权的其他网络上的用户面、控制面和管理面才能接入信任域；业务网通过业务控制部分和根据需要通过应用与业务支持部分对用户访问业务进行控制，防止非授权用户访问业务，或授权用户访问非授权业务。
　　安全域之间用安全网关(SEGF)互联，如图4所示。在每个安全域里，除了SEGF之外，可能还存在SEG证书权威(CA)和互联CA。同一个安全域的SEGF采用IETF安全协议实现域内端到端安全。

　　SEGF是安全域边界实体，是防范来自其他安全域攻击的主要网元。它通过将来自其他安全域的流量与信任域内流量进行隔离，要求其他安全域流量必须通过特定的SEGF才能进入信任域，在向信任域里转发来自其他安全域的流量前，必须进行验证，以防止拦截、篡改、拒绝式攻击、地址和身份欺骗、窃听、伪装等安全事件在信任域里的出现。例如，可以根据指定的安全策略，在管理面和控制面上使用接入控制，限制特定用户接入或对特定业务的访问。SEGF需要实现设备级物理安全措施、系统加固、安全信令、OAMP 虚拟专网(VPN)等方式之外，还需要采用防火墙、入侵检测、内容过滤、VPN接入、VPN互连等功能。

　　SEGF提供的安全服务包括认证、授权、私密性、完整性、密钥管理和策略实施等。SEGF对于从信任域里发送来的请求，可以采用信任方式，不需要再进行验证。