4 安全机制

　　网络安全机制，就是在安全体系架构下实现这些安全需求，防止未授权的信息采集与信息拦截、非法设备接管与控制、资源与信息的破坏/删除/修改/泄露、业务中断等安全问题的发生。

　　4.1 身份识别、认证与授权机制
　　用户访问网络，需要向网络和业务申明其身份，以便网络和业务能够识别其是否有权限访问所申请的资源和业务。
　　目前用于身份识别的技术多种多样，如身份识别模块(SIM)卡、智能卡、用户名/口令、设备序列号、电话号码、标识、令牌、生物特征码、数字证书、消息认证码等。

　　在NGN中，存在着不同的接入方式、不同的网络运营商、不同的业务提供商，为了使用户能够无缝透明地使用网络业务，需要在用户与各个网络和业务之间建立一种信任关系。为了对用户进行统一管理，OPENID、OASIS、LIBERTY ALLIANCE等标准组织在开展身份管理(IdM)的研究，ITU-T目前也设置了专门的焦点组(FG)，希望在未来能够用统一的身份对各种NGN实体进行管理，如业务提供商、网络运营商、网元、用户设备、用户等。

　　此外，当非信任域实体需要访问脆弱信任域实体或通过脆弱信任域实体访问信任域实体时，或者用户终端需要访问非信任域实体时，甚至安全域内部实体互相访问时，根据安全策略设置，可能需要进行单向认证或双向认证，也就是请求访问的实体需要与管理被访问实体的认证者(Authenticator)之间交换凭证(Credentials)，Authenticator根据收到的Credentials，采用预先约定的共享密钥方式或X.509证书方式，将资源请求或业务请求与发起请求的网络设备、用户设备和用户关联起来，利用事先存储的该网络设备、用户设备和用户的Credentials，进行身份认证。只有通过身份认证的请求访问实体，才能与被访问实体进行通信。
　　同时，根据安全策略的设置，可能需要对该请求访问实体的访问权限进行限定，使得通过认证的请求访问实体只能根据授权使用被访问实体上指定的资源和业务。认证与授权技术非常多，主要包括： IETF PAP、CHAP、EAP、PANA、RADIUS、DIAMETER、LDAP、Kerberos、3GPP AKA、GAA/GBA、IEEE 802.1x等。

　　4.2 传送安全机制
　　在NGN体系架构中，采用VPN技术保证信令信息和OAMP信息的安全。四层VPN技术主要为传输层安全(TLS)，三层VPN技术主要为IPsec。其中，TLS是基于客户端服务器模式实现，在传输控制协议(TCP)或流控制传输协议(SCTP)上传送，可以用于各个安全域内，也可以用于不同的安全域之间，能够保证传送信息的私密性和完整性；IPsec在IP层上传送，通常用于信任域内、脆弱信任域内和不同安全域之间，能够在保证传送信息私密性和完整性的同时防止重放攻击。IPsec有多种认证算法，在NGN中，可能采用RFC 2403 HMAC-MD5-96和RFC 2404 HMAC-SHA-1-96中方法，对于其中的密钥，可以采用互联网密钥交换(IKE)实现密钥自动交换。
　　通常情况下，NGN中不考虑媒体流的安全问题。如果用户要求对媒体流的安全进行保护，则可以采用安全实时传输协议(SRTP)或简单认证安全层(SASL)技术，能够提供认证、私密性和完整性保护。
　　传送安全机制中，为了避免出现重复加密、影响网络性能的现象，不同的技术不能同时使用。

　　4.3 访问控制机制
　　访问控制机制通常与身份识别、认证与授权机制结合在一起，能够有效地防止非授权用户或设备使用网络资源、系统、信息和业务，以及授权用户或设备非法访问未授权的网络资源、系统、信息和业务。

　　4.4 审计与监控机制
NGN设备需要对其上发生的所有事件，根据安全策略的要求，记录安全日志，并能够由简单网络管理协议(SNMP)通过IPsec将日志信息发送到指定的服务器上,以便能够评价系统的安全性和分析系统出现的安全问题。NGN设备需要支持日常维护和安全补丁检测与自动安装功能，支持系统自动恢复和回滚功能。NGN设备上需要安装完整性验证代理，当发现问题时，需要上报。NGN可能需要通过OAMP对用户驻地设备-边界元素(CPE-BE)进行管理，此时CPE-BE需要具有同样功能，且信息传送需要通过VPN技术实现。
　　NGN网络可能需要为非信任域的用户驻地设备(CPE)提供配置机制。在CPE启动阶段，CPE通过位于脆弱信任域中的设备配置与启动-边界元素(DCB-BE)进行认证，建立传送安全通道，与位于信任域中的CPE配置单元建立联系，获取配置文件。

　　4.5 密钥交换与管理机制
　　密钥生成、存储和交换方式的安全性和证书格式、证书验证方式是信息网络安全性研究的核心内容之一，NGN支持采用预共享密钥或公私密钥对进行加密两种加密方式，支持现有的各种密钥交换与管理机制，主要包括：IETF PKIX、IKEv2、D-H交换、Mikey、ITU X.509、X.akm、手工配置等方式。

　　4.6 OAMP机制
　　NGN具有独立的OAMP IP地址块，每个设备上有物理接口或逻辑接口，在该地址块内分配IP地址，用于OAMP接口。因此，NGN设备将在OAMP接口上直接丢弃从其他IP地址来的OAMP流量，而且将在其他接口上直接丢弃OAMP流量。访问NGN设备上的OAMP接口，需要通过认证；当通过认证的用户访问时，系统将提供日志功能和回滚功能。另外，如果OAMP流量通过非信任区，则需要采用安全措施。

　　4.7 系统管理机制
　　为了规避安全问题，减少网络安全漏洞，NGN上只有得到应用的设备才能存在于网络上；设备上没有使用的端口必须关闭掉；设备上的操作系统必须配置好安全措施，并及时地进行加固，一旦设备供应商提供了安全补丁，在经过网络运营商或业务提供商许可后，需要立即安装；设备上需要配置物理的或逻辑的接入控制措施；设备上应用软件与系统软件相比具有更低的优先级；网络管理系统与被管理实体之间的信息传送需要采用VPN技术实现。

　　4.8 其他机制
　　NGN中，一方面采用了现有的多种安全机制，来满足安全需求，例如，采用加密方法实现隐私保证、通信和数据安全等；另一方面，一些安全机制还有待研究，例如NAT/防火墙穿越安全机制。