Abstract:WiththedevelopmentofNGNtechnologiesand Everything over IP, network security has become an important part of the current network. The 3 layers x 3 planes x 8 dimensions security architecture defined by ITU X.805 for the end-to-end communications is the basis of the research and application of network security technologies. NGN has several security requirements including security strategy, authentication, authorization, access control and audit, time stamp and time source. NGN divides the network into different security areas in both logical and physical ways, and there are different security strategies for different areas. Through the security mechanisms of identification, authentication and authorization, transmit security, access control, audit and supervision, the security requirements of the network would be realized.

    Keywords:NGN;securityrequirement; security architecture; security mechanism

    随着因特网应用的快速增长，网络上的安全隐患不断出现，非法窃取网络资源、非法使用网络业务、拒绝服务、蠕虫病毒、木马病毒，甚至恶意攻击与破坏等事件也层出不穷。这些安全问题给网络运营商、业务提供商和用户造成了巨大的损失，使人们深刻地认识到基于IP技术的因特网应用存在着严重的安全问题。网络的开放性和IP网络固有的脆弱性，使得攻击者很容易利用网络的弱点发起各种各样的攻击。特别是随着下一代网络(NGN)的兴起，Everything over IP正在成为各种网络技术发展的基础，国际标准组织国际电信联盟电信标准化部门(ITU-T)、欧洲电信标准化组织(ETSI)等所研究的NGN，都是基于IP技术实现的。因此，尽管NGN技术还不成熟，但是其安全问题已经受到高度重视[1-5]，几乎每个标准组织都有专门的安全研究组在开展研究工作，一些标准组织还在其制定的每个技术标准中，都要求包含 “Security Consideration”章节。本文对NGN安全基础[6-8]、 NGN安全需求[2-9]、安全体系架构[10-14]、安全机制[15-17]进行了研究，为我国NGN的研究和部署提供有益的参考。

    1 NGN的安全基础

    NGN基于IP技术，采用业务层和传送层相互分离、应用与业务控制相互分离、传送控制与传送相互分离的思想，能够支持现有的各种接入技术，提供话音、数据、视频、流媒体等业务，并且支持现有移动网络上的各种业务，实现固定网络和移动网络的融合，此外还能够根据用户的需要，保证用户业务的服务质量。NGN 的网络体系架构如图1所示, 包括应用、业务控制层、传送控制层、传送层、网络管理系统、用户网络和其他网络。本文介绍的NGN安全技术是针对该体系架构展开的。

    ITU-T在X.805标准中，全面地规定了信息网络端到端安全服务体系的架构模型。这一模型包括3层3面8个维度，即应用层、业务层和传送层，管理平面、控制平面和用户平面，认证、可用性、接入控制、不可抵赖、机密性、数据完整性、私密性和通信安全。

    X.805模型各个层(或面)上的安全相互独立，可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全。这个模型从理论上建立了一个抽象的网络安全模型，可以作为发展一个特定网络安全体系架构的依据，指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估。因此，这个模型目前已经成为开展信息网络安全技术研究和应用的基础。