下一代網(wǎng)絡(luò)是一個建立在IP技術(shù)基礎(chǔ)上的新型公共電信網(wǎng)絡(luò)，能夠容納各種形式的信息，在統(tǒng)一的管理平臺下，實現(xiàn)音頻、視頻、數(shù)據(jù)信號的傳輸和管理，提供各種寬帶應(yīng)用和傳統(tǒng)電信業(yè)務(wù)．是一個真正實現(xiàn)寬帶窄帶一體化、有線無線一體化、有源無源一體化、傳輸接人一體化的綜合業(yè)務(wù)網(wǎng)絡(luò)。

　　與傳統(tǒng)的PSTN網(wǎng)絡(luò)不同，NGN以在統(tǒng)一的網(wǎng)絡(luò)架構(gòu)上解決各種綜合業(yè)務(wù)的靈活提供能力為出發(fā)點，提供諸如業(yè)務(wù)邏輯、業(yè)務(wù)的接人和傳送手段、業(yè)務(wù)的資源提供能力和業(yè)務(wù)的認證管理等服務(wù)。為此，在NGN中，以執(zhí)行各種業(yè)務(wù)邏輯的軟交換(Softswitch)設(shè)備為核心進行網(wǎng)絡(luò)的構(gòu)架建設(shè)。除此之外，業(yè)務(wù)邏輯可在應(yīng)用服務(wù)器(AS)上統(tǒng)一完成，并可向用戶提供開放的業(yè)務(wù)應(yīng)用編程接口(API)。而對于媒體流的傳送和接入層面，NGN將通過各種接人手段將接人的業(yè)務(wù)流集中到統(tǒng)一的分組網(wǎng)絡(luò)平臺上傳送。

　　分組化的、開放的、分層的網(wǎng)絡(luò)架構(gòu)體系是下一代網(wǎng)絡(luò)的顯著特征。業(yè)界基本上按業(yè)務(wù)層、控制層、傳送層、接入層四層劃分．各層之間通過標準的開放接口互連。

　　業(yè)務(wù)層：一個開放、綜合的業(yè)務(wù)接人平臺．在電信網(wǎng)絡(luò)環(huán)境中，智能地接入各種業(yè)務(wù)，提供各種增值服務(wù)，而在多媒體網(wǎng)絡(luò)環(huán)境中，也需要相應(yīng)的業(yè)務(wù)生成和維護環(huán)境。

　　控制層：主要指網(wǎng)絡(luò)為完成端到端的數(shù)據(jù)傳輸進行的路由判決和數(shù)據(jù)轉(zhuǎn)發(fā)的功能，它是網(wǎng)絡(luò)的交換核心，目的是在傳輸層基礎(chǔ)上構(gòu)建端到端的通信過程，軟交換(Softs~itch)將是下一代網(wǎng)絡(luò)的核心，體現(xiàn)了NGN的網(wǎng)絡(luò)融合思想。

　　傳送層：面向用戶端支持透明的TDM線路的接人，在網(wǎng)絡(luò)核心提供大帶寬的數(shù)據(jù)傳輸能力，并替代傳統(tǒng)的配線架，構(gòu)建靈活和可重用的長途傳輸網(wǎng)絡(luò)，一般為基于DWDM技術(shù)的全光網(wǎng)。

　　接人層：在用戶端支持多種業(yè)務(wù)的接入，提供各種寬窄帶、移動或固定用戶接人。

　　以軟交換為核心的下一代網(wǎng)絡(luò)采用IP分組網(wǎng)絡(luò)承載，傳統(tǒng)的IP網(wǎng)絡(luò)是一個盡力傳送和開放自由的網(wǎng)絡(luò)。有些IP網(wǎng)絡(luò)用戶可以不經(jīng)任何認證和鑒權(quán)就可以接人IP網(wǎng)絡(luò)．IP網(wǎng)絡(luò)用戶也不需要進行任何業(yè)務(wù)認證與鑒權(quán)。IP網(wǎng)絡(luò)的開放性是推動互聯(lián)網(wǎng)發(fā)展的重要因素，但同時也帶來了網(wǎng)絡(luò)的安全隱患。NGN采用IP承載網(wǎng)絡(luò)，如果在建設(shè)初期沒有合理規(guī)劃，將會存在更大的安全威脅。下一代網(wǎng)絡(luò)存在一系列安全威脅。以下列出了一系NGN網(wǎng)絡(luò)安全威脅：

　　1.終端設(shè)備安全威脅

　　軟交換網(wǎng)絡(luò)中存在大量的終端設(shè)備，包括IAD設(shè)備、SIP／H．323終端和PC軟終端等。軟交換網(wǎng)絡(luò)接人靈活．任何可以接入IP網(wǎng)絡(luò)的地點均可以接入終端。但是，這種特性在為用戶帶來方便的同時，也導(dǎo)致可能存在用戶利用非法終端或設(shè)備訪問網(wǎng)絡(luò)，占用網(wǎng)絡(luò)資源，非法使用業(yè)務(wù)和服務(wù)，同時，某些用戶可能使用非法終端或設(shè)備向網(wǎng)絡(luò)發(fā)起攻擊，對網(wǎng)絡(luò)的安全造成威脅。另外，由于接入與地點的無關(guān)性，使得安全威脅發(fā)生后．很難定位發(fā)起安全攻擊的確切地點，無法追查責任人。

　　2.網(wǎng)絡(luò)安全威脅

　　軟交換網(wǎng)絡(luò)采用IP分組網(wǎng)作為傳輸承載．而且軟交換網(wǎng)絡(luò)提供的業(yè)務(wù)大部分屬于實時業(yè)務(wù)，對網(wǎng)絡(luò)的安全可靠性要求更高。當網(wǎng)絡(luò)由于病毒導(dǎo)致帶寬大量被占用。訪問速度很慢甚至無法訪問時，軟交換網(wǎng)絡(luò)就無法為用戶提供任何服務(wù)。

　　3.關(guān)鍵設(shè)備安全威脅

　　軟交換網(wǎng)絡(luò)中的關(guān)鍵設(shè)備包括：軟交換設(shè)備、媒體網(wǎng)關(guān)、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器等。由于下一代網(wǎng)絡(luò)選擇分組網(wǎng)絡(luò)作為承載網(wǎng)絡(luò)，并且各種信息主要采用IP分組的方式進行傳輸，IP協(xié)議的簡單性和通用性為網(wǎng)絡(luò)上對關(guān)鍵設(shè)備的各種攻擊提供了便利的條件。

　　4.信息安全威脅

　　信息安全主要包括軟交換與終端之間信令消息的安全、用戶之間媒體信息的安全以及用戶私有信息(包括用戶名、密碼等)的安全。由于軟交換網(wǎng)絡(luò)采用開放的IP網(wǎng)絡(luò)傳輸信息，這樣在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)就很容易被監(jiān)聽，如果軟交換與終端之間的信令消息被監(jiān)聽．有可能導(dǎo)致終端用戶私有信息的泄露，導(dǎo)致監(jiān)聽者可以利用監(jiān)聽到的信息偽造成合法用戶接人網(wǎng)絡(luò)：如果用戶之間媒體信息被惡意監(jiān)聽，將導(dǎo)致用戶私密信息的泄露。

　　針對NGN網(wǎng)絡(luò)安全的威脅，可以有以下NGN網(wǎng)絡(luò)安全解決方案。

　　1.防火墻隔離

　　軟交換網(wǎng)絡(luò)關(guān)鍵設(shè)備如軟交換、應(yīng)用服務(wù)器和網(wǎng)關(guān)等放置在IP網(wǎng)絡(luò)上，相當于IP網(wǎng)絡(luò)上的主機，存在著被攻擊的危險，為保證關(guān)鍵設(shè)備的安全，需要在重要的網(wǎng)絡(luò)設(shè)備前面放置防火墻以保證軟交換核心網(wǎng)絡(luò)設(shè)備的安全。

　　防火墻通常具有以下功能：①防火墻定義了單個的阻塞點，將未授權(quán)的用戶隔離在被保護的網(wǎng)絡(luò)之外，禁止?jié)撛诘囊资芄舻姆?wù)進入或離開網(wǎng)絡(luò)．并且對于不同類型的IP欺騙和選路攻擊提供保護；②防火墻提供了監(jiān)視與安全有關(guān)事件的場所，在防火墻系統(tǒng)中可以實現(xiàn)審計和告警；③防火墻可以實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換以及審計和記錄網(wǎng)絡(luò)使用日志的網(wǎng)絡(luò)管理功能。防火墻最重要的功能就是包過濾功能，包過濾應(yīng)該做到按照IP報文的如下屬性一源IP地址、目的IP地址、源端口、目的端口、傳輸層協(xié)議進行過濾；部分廠家的防火墻還可以做到基于報文內(nèi)容的訪問控制。即可以檢查應(yīng)用層協(xié)議信息并監(jiān)控應(yīng)用層協(xié)議狀態(tài)。

　　2.信令媒體代理設(shè)備隔離

　　為保障軟交換網(wǎng)絡(luò)的安全．可以將軟交換網(wǎng)絡(luò)進行安全區(qū)域的劃分，根據(jù)軟交換網(wǎng)絡(luò)中設(shè)備的安全需求以及軟交換網(wǎng)絡(luò)的安全區(qū)域，劃分成內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)兩個安全區(qū)域：①軟交換網(wǎng)絡(luò)內(nèi)網(wǎng)區(qū)：由軟交換、信令網(wǎng)關(guān)、應(yīng)用服務(wù)器、媒體服務(wù)器、中繼網(wǎng)關(guān)、大容量用戶綜合接入網(wǎng)關(guān)等設(shè)備組成的網(wǎng)絡(luò)區(qū)域。該網(wǎng)絡(luò)區(qū)域設(shè)備面向大量用戶提供服務(wù)，安全等級要求高；②軟交換網(wǎng)絡(luò)外網(wǎng)區(qū)：由SIP終端、PC軟終端、普通用IAD等終端設(shè)備組成的網(wǎng)絡(luò)區(qū)域，該網(wǎng)絡(luò)區(qū)域設(shè)備放置在用戶側(cè)，面向個人用戶提供服務(wù)；③內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)的互通．通過信令媒體代理設(shè)備實現(xiàn)，信令媒體代理設(shè)備除進行外網(wǎng)區(qū)終端訪問軟交換和網(wǎng)關(guān)設(shè)備的信令、媒體轉(zhuǎn)發(fā)之外，同時在安全方面應(yīng)具有以下功能：①設(shè)備應(yīng)能支持基于SIP、MGCP和H．248協(xié)議的應(yīng)用層攻擊防護；②設(shè)備應(yīng)能對異常消息、異常流量等高風險行為進行識別并產(chǎn)生實時告警，供維護人員作進一步處理；③對于以下情況，設(shè)備應(yīng)能進行識別并按照預(yù)定策略進行處理：一種情況應(yīng)能根據(jù)用戶注冊狀態(tài)進行消息的處理。對未注冊用戶發(fā)送的非注冊消息進行丟棄處理：另一種情況設(shè)備應(yīng)能對注冊鑒權(quán)失敗的用戶終端建立監(jiān)視列表，記錄IP地址／端口和用戶名，并能采取相應(yīng)措施。

　　3.設(shè)備應(yīng)具有防常見DoS攻擊

　　近年來，隨著VPN技術(shù)的成熟，在同一個物理網(wǎng)絡(luò)上構(gòu)建不同的VPN已經(jīng)成為可能，可以采用MPLS、VLAN等VPN技術(shù)從分組數(shù)據(jù)物理網(wǎng)絡(luò)中劃分出一個獨立邏輯網(wǎng)絡(luò)作為NGN虛擬業(yè)務(wù)網(wǎng)絡(luò)，把NGN從邏輯上與其他網(wǎng)絡(luò)進行隔離，其他網(wǎng)絡(luò)用戶無法通過非法途徑訪問NGN網(wǎng)絡(luò)．將可以避免來自其他網(wǎng)絡(luò)特別是Intemet網(wǎng)絡(luò)上用戶對NGN網(wǎng)絡(luò)的攻擊與破壞。

　　4.數(shù)據(jù)加密

　　為了防止NGN中傳送的信令和媒體信息被非法監(jiān)聽，可以采用目前互聯(lián)網(wǎng)上通用的數(shù)據(jù)加密技術(shù)對信令流和媒體流進行加密。

　　對于IP網(wǎng)絡(luò)上的信令傳輸，目前提出的主要安全機制是IPSec協(xié)議。在Megaco協(xié)議規(guī)范(RFC3015)中，指定Megaco協(xié)議的實現(xiàn)要采用IPSec協(xié)議保證媒體網(wǎng)關(guān)和軟交換設(shè)備之間的通信安全。在不支持IPsec的環(huán)境下，使IBMegaco提供的鑒權(quán)頭(AH)鑒權(quán)機制對IP分組實施鑒權(quán)。在Megaco協(xié)議中強調(diào)了如果支持IPSec就必須采用IPSec機制．并且指出IPSec的使用不會影響Megaco協(xié)議進行交互接續(xù)的性能。IPsec是IPv4協(xié)議上的一個應(yīng)用協(xié)議，IPv6直接支持IPSec選項。

　　對于媒體流的傳輸．采用對RTP包進行加密，目前主要采用對稱加密算法對RTP包進行加密。對于用戶賬號、密碼等私有信息，目前采用的加密算法主要是MD5，用于用戶身份的認證。

　　5.接入用戶身份認證

　　軟交換終端用戶特別是智能終端、PC軟終端、桌面IAD等接入NGN網(wǎng)絡(luò)時必須經(jīng)過嚴格的認證，確認用戶的身份后才允許用戶接入NGN網(wǎng)絡(luò)。

　　用戶接入認證時可以采用保密強度比較高的公開密鑰體系來進行，以保證用戶身份的可靠性。NGN系統(tǒng)認證確認用戶身份接入NGN網(wǎng)絡(luò)后，可以把用戶標志、IP地址等信息進行綁定并記錄到網(wǎng)絡(luò)安全日志中。這樣一旦用戶的身份在接入時得到了確認，即使個別用戶進行網(wǎng)絡(luò)破壞也很容易通過網(wǎng)絡(luò)的安全日志迅速定位和查處該用戶。通過這種方式從根源上基本可以杜絕從用戶端發(fā)起網(wǎng)絡(luò)攻擊而導(dǎo)致的網(wǎng)絡(luò)安全問題。另外，可以強制軟交換或終端網(wǎng)管設(shè)備對終端的IP地址、MAC地址與終端標志進行匹配，當終端標志正確，但是IP地址或MAC地址不正確時，也不予提供接入和服務(wù)。

　　6.訪問控制

　　(1)設(shè)備管理控制臺訪問

　　控制臺是設(shè)備提供的最基本的配置方式?？刂婆_擁有對設(shè)備最高配置權(quán)限，對控制臺訪問方式的權(quán)限管理應(yīng)擁有最嚴格的方式。包括：用戶登錄驗證、控制臺超時注銷、控制臺終端鎖定。

　　(2)異步輔助端口的本地、遠程撥號訪問嚴格控制通過設(shè)備的其他異步輔助端口對設(shè)備進行本地、遠程撥號的交互配置。缺省要求身份驗證。

　　(3)嚴格控制Telnet訪問用戶、缺省要求身份驗證，以及限制Telnet終端的IP地址，限制同時Telnet用戶數(shù)目等。

　　NGN網(wǎng)絡(luò)安全建議：

　　根據(jù)前面的論述。為了保證所構(gòu)建的NGN網(wǎng)絡(luò)的安全性，必須做到以下幾點：①在網(wǎng)絡(luò)關(guān)鍵設(shè)備前放置防火墻和信令媒體代理設(shè)備，防止對網(wǎng)絡(luò)關(guān)鍵設(shè)備的攻擊；②把NGN與Internet等其他網(wǎng)絡(luò)進行隔離，保證除NGN設(shè)備和用戶外其他用戶無法通過非法途徑訪問NGN；③對用戶與軟交換交互的信令消息進行加密，確保無法被非法監(jiān)聽；④在接入層對用戶接入和業(yè)務(wù)使進行嚴格控制．用戶必須經(jīng)過嚴格的鑒權(quán)和認證才可以接入NGN網(wǎng)絡(luò)．用戶的業(yè)務(wù)使用也必須經(jīng)過嚴格的鑒權(quán)和認證。軟交換、應(yīng)用服務(wù)器和各種網(wǎng)關(guān)設(shè)備組成封閉的MPI_SVPN網(wǎng)絡(luò)．對于內(nèi)部大客戶可以通過專線直接接人，其他非信任區(qū)域的終端用戶只能通過信令媒體代理設(shè)備訪問，同時采用IPSech0密交互的信令消息。軟交換和信令媒體代理設(shè)備嚴格控制終端的接人，對終端標志、IP地址、MAC地址進行認證。