NGN在網(wǎng)絡(luò)架構(gòu)中引入了多種商業(yè)模型，例如，接入網(wǎng)和骨干網(wǎng)可能屬于不同的運營商，有不同的安全策略，需要隔離不同層面的安全問題。為此，NGN按照邏輯方式和物理方式，對網(wǎng)絡(luò)進行了劃分，形成了不同的安全域，每一安全域可以對應(yīng)一種特定的安全策略，運營商通過實施各種安全策略，對安全域里和安全域間的功能要素和活動進行保護。
　　安全域可以分為信任域、脆弱信任域和非信任域。對于某一特定的網(wǎng)絡(luò)運營商，信任域是指不與用戶設(shè)備直接通信、處于該運營商完全控制之下的安全域，例如骨干網(wǎng)；脆弱信任域是指屬于該網(wǎng)絡(luò)運營商管理但不一定由該網(wǎng)絡(luò)運營商控制、連接信任域和非信任域的安全域，例如接入網(wǎng)、邊界網(wǎng)關(guān)；非信任域是指不屬于該運營商管理的安全域，例如用戶網(wǎng)絡(luò)、不被信任的其他運營商網(wǎng)絡(luò)。在不同的安全域里，安全威脅、脆弱性、風(fēng)險是不同的，因此安全需求也就不一樣，網(wǎng)絡(luò)運營商和業(yè)務(wù)提供商需要分別制定安全策略，采用各種安全機制的組合，來保證其網(wǎng)絡(luò)和網(wǎng)絡(luò)之上端到端用戶業(yè)務(wù)的安全性。
　　根據(jù)NGN分層的思想，NGN安全體系架構(gòu)，在水平方向上可以劃分為傳送層安全和業(yè)務(wù)層安全。傳送層和業(yè)務(wù)層的安全體系架構(gòu)應(yīng)相對獨立，傳送層安全體系架構(gòu)主要是解決數(shù)據(jù)傳輸?shù)陌踩�，業(yè)務(wù)層安全體系架構(gòu)主要解決業(yè)務(wù)平臺的安全。例如，電信和互聯(lián)網(wǎng)融合業(yè)務(wù)及高級網(wǎng)絡(luò)協(xié)議（TISPAN）規(guī)定，傳送層采用網(wǎng)絡(luò)附著子系統(tǒng)（NASS）憑證，業(yè)務(wù)控制層采用IP多媒體子系統(tǒng)（IMS）認(rèn)證和密鑰協(xié)商（A－KA）模式，應(yīng)用層采用基于通用用戶識別模塊（USIM）集成電路卡（UICC）的GBA（GBA-U）模式。
　　NGN安全的系統(tǒng)架構(gòu)在垂直方向上可以劃分為接入網(wǎng)安全、骨干網(wǎng)安全和業(yè)務(wù)網(wǎng)安全，從而使得原來網(wǎng)絡(luò)端到端安全變成了網(wǎng)絡(luò)逐段安全。在垂直方向上，NGN可以被劃分成多個安全域。
　　接入網(wǎng)通過接入控制部分對用戶的接入進行控制，防止非授權(quán)用戶訪問傳送網(wǎng)絡(luò)，并負責(zé)用戶終端IP地址的分配；骨干網(wǎng)通過邊界網(wǎng)關(guān)對網(wǎng)絡(luò)互聯(lián)進行控制，保證只有被授權(quán)的其他網(wǎng)絡(luò)上的用戶面、控制面和管理面才能接入信任域；業(yè)務(wù)網(wǎng)通過業(yè)務(wù)控制部分和根據(jù)需要通過應(yīng)用與業(yè)務(wù)支持部分對用戶訪問業(yè)務(wù)進行控制，防止非授權(quán)用戶訪問業(yè)務(wù)，或授權(quán)用戶訪問非授權(quán)業(yè)務(wù)。
　　安全域之間用安全網(wǎng)關(guān)(SEGF)互聯(lián)。在每個安全域里，除了SEGF之外，可能還存在SEG證書權(quán)威(CA)和互聯(lián)CA。同一個安全域的SEGF采用IETF安全協(xié)議實現(xiàn)域內(nèi)端到端安全。
　　SEGF是安全域邊界實體，是防范來自其他安全域攻擊的主要網(wǎng)元。它通過將來自其他安全域的流量與信任域內(nèi)流量進行隔離，要求其他安全域流量必須通過特定的SEGF才能進入信任域，在向信任域里轉(zhuǎn)發(fā)來自其他安全域的流量前，必須進行驗證，以防止攔截、篡改、拒絕式攻擊、地址和身份欺騙、竊聽、偽裝等安全事件在信任域里的出現(xiàn)。例如，可以根據(jù)指定的安全策略，在管理面和控制面上使用接入控制，限制特定用戶接入或?qū)μ囟�業(yè)務(wù)的訪問。SEGF要實現(xiàn)設(shè)備級物理安全措施、系統(tǒng)加固、安全信令、OAMP虛擬專網(wǎng)(VPN)等方式之外，還要采用防火墻、入侵檢測、內(nèi)容過濾、VPN接入、VPN互聯(lián)等功能。
　　SEGF提供的安全服務(wù)包括認(rèn)證、授權(quán)、私密性、完整性、密鑰管理和策略實施等。SEGF對于從信任域里發(fā)出的請求，可以采用信任方式，不需要再進行驗證。

人民郵電報