NGN又稱為次世代網(wǎng)絡，是基于IP技術(shù)，采用業(yè)務層和傳輸層相互分離、業(yè)務與應用控制相互分離、傳輸與傳輸控制相互分離的思想建立起來的網(wǎng)絡系統(tǒng)，它能夠支持當前的各種接入技術(shù)，并能提供語音、視頻、流媒體等業(yè)務。NGN的體系架構(gòu)如圖：

　　和傳統(tǒng)的網(wǎng)絡系統(tǒng)一樣，NGN也需要避免出現(xiàn)非授權(quán)用戶訪問網(wǎng)絡設(shè)備上的資源、數(shù)據(jù)和其他用戶的隱私信息。在X.805標準的指導下，對該網(wǎng)絡可能遇到的威脅和自身的缺陷進行分析。其安全需求主要有：安全策略的需求、認證、授權(quán)、訪問控制和審計需求；時間戳與時間源需求；資源可用性需求；系統(tǒng)完整性需求；操作、管理、維護和配置安全需求；身份和安全注冊需求；通信和蘇話劇安全需求；隱私保證需求、密匙管理需求、NAT/防火墻互連需求、安全保證需求、安全機制增強需求和安全管理需求。

　　NGN的安全架構(gòu)是以X.805安全體系架構(gòu)為基礎(chǔ)，結(jié)合IETF相關(guān)的安全協(xié)議而提出來的。所以，我們可以依照網(wǎng)絡中的各種安全域，再結(jié)合具體的安全技術(shù)，來設(shè)計一個完整的NGN安全體系哦——域和域之前使用安全網(wǎng)關(guān)，各個不同的域內(nèi)運用不同的安全策略，共同提高體系安全性。NNG安全構(gòu)架如下：

　　NGN網(wǎng)絡的安全架構(gòu)主要有以下幾個方面：

　　第一，歸屬網(wǎng)絡和訪問網(wǎng)絡中間的訪問控制機制，可以由IDS和防火墻配合使用，再連接IPSec的防重播監(jiān)測，共同防止非法用戶的拒絕服務攻擊。具體的訪問機制可以IPv4+NAT的模式，并采用一定的防火墻穿越技術(shù)（TURN或STUN）。

　　第二，P-CSCF和UE之間采用網(wǎng)絡層加密，并使用IPSec的封裝安全載荷進行加密。網(wǎng)絡層之間這種端到端的加密，允許用戶報文在從源點到重點的傳輸過程中始終以秘文形式存在，節(jié)點不涉及任何解密工作，只負責轉(zhuǎn)發(fā)操作。所以，用戶的數(shù)據(jù)在整個傳送的過程中都受到保護，而且各個報文都是用獨立的加密系統(tǒng)。即使某個報文傳輸錯誤，也不會影響到后續(xù)報文。

　　第三，安全網(wǎng)關(guān)主要控制數(shù)據(jù)在防火墻和NAT服務器的出入，也具有數(shù)據(jù)過濾等其他安全功能。此外，安全網(wǎng)關(guān)還可以強化IMS域之間的安全策略，設(shè)置并維護IPSee安全關(guān)聯(lián)。

　　第四，針對繞過P-CSCF對S-CSCF發(fā)送SZP消息和偽裝P-CSCF的法用戶，一般采用如下技術(shù)：如果UE不偽裝成P-CSCF直接向S-CSCF發(fā)送SIP消息，可以對IMS核心設(shè)備引入第三層的 MPLS VPN技術(shù)，隔離UE和P-CSCF，隱藏IMS核心網(wǎng)絡的路由新數(shù)據(jù)，實現(xiàn)UE無法與S-CSCF聯(lián)系。如果UE偽裝成P-CSCF，則可以將P-CSCF的身份標識存放在HSS數(shù)據(jù)庫中，每次P-CSCF向S-CSCF發(fā)送SIP消息時，S-CSCF都向P-CSCF發(fā)送認證請求，驗證合法后才能繼續(xù)發(fā)送SIP消息。