NGN应考虑各个层次的网络安全。如机房和楼道IAD的安全防盗，AG/IAD的接入认证和控制，AG/IAD的业务认证。本文仅涉及NGN承载网相关安全特性.

1.NGN承载网安全方案概略

NGN承载网采用的IP技术，与基于ATM和SDH的承载网相比，其开放性特点非常适合网络业务的发展，但IP协议的开放性和公用性，也使NGN网络不可避免地受到黑客或病毒程序的攻击或干扰，面临如用户仿冒、盗打、破坏服务、抢占资源等安全问题。

NGN业务网与数据业务网二层隔离，形成一个相对封闭的业务网。应对所有进行NGN业务网的每一个入口进行严格的安全控制。

1.NGN业务网核心网络设备（软交换、SG、TMG）通过防火墙接入NGN业务网，防止对要害设备的网络攻击。

2.IAD接入端口是NGN业务网最大的安全隐患，IAD设备处于用户端，存在被利用来恶意攻击运营商要害网络设备（如软交换、信令网关、中继网关、应用服务器）的可能性。一方面建议采用楼道IAD，通过物理安全来保证接入端口不被非法访问，另一方面所有IAD设备都通过BAS接入NGN业务网，由BAS进行IAD的接入控制和治理。

3.数据业务网通过IP-IP网关（IMG）与NGN业务网互通，安全性很高，NGN不易受到数据业务网的攻击。



2.NGN部件设备自身安全规格

软交换、网关、服务器、IAD设备等NGN部件在IP网中的地位类似于网络主机设备，因此要求软交换、网关、服务器、IAD设备应具备数据网中主机设备所具有的安全规格，如用户登录治理、网管安全等。

3.BAS网络安全控制的特性

3.1用户治理

用户治理包括物理端口治理和IAD/AG设备认证，IAD/AG通过BAS完成接入认证，再与软交软交互完成业务认证。BAS通过物理端口和二层标识（VLAN和PVC）作为用户的标识，使无运营、无治理的宽带接入网成为可运营、可治理的电信级网络。

1、在策略服务器（PS）和BOSS/OSS配合下，可实现局端电话控制业务，可随时根据用户的交费、开户和安全（如流量异常）等情况，迅速激活或关闭用户，不需要在物理线路上或亲自到用户端进行操作。

2、BAS对IAD设备进行认证，通过静态或动态IP+VLAN+MAC绑定，实现用户过滤，防止地址盗用；

3、可以限制VLAN下接入的IAD数目，防止假冒用户的恶意攻击，保护网上要害资源，防止非法用户发起攻击，耗尽DHCP服务器地址资源，使合法IAD用户不能获得地址，通过log或告警信息进行攻击追查；

4、通过实时计费等功能，可以对每个IAD的流量信息进行统计，用作业务和网络分析，检测是否有异常流量等情况。

3.2用户信息隔离

在城域接入层采用一层/二层隔离技术隔离用户和业务，保证用户之间信息的隔离。IAD通过二层隔离技术接入BAS，由BAS通过静态防火墙（ACL）控制IAD之间的互访或IAD对NGN其它设备的互访。

3.3动态防火墙

动态防火墙的原理与3.2.4动态QoS策略类似，通过承载网对NGN业务的感知来实现动态安全策略。IAD初始接入时，BAS为IAD设置初始ACL，只能访问软交换。IAD向软交换发起呼叫，策略路由器（PS）通过与较交换的交互IAD呼叫信息，获知被叫IAD的IP地址及端口号，动态向BAS下发安全策略，从而实现主被叫的互通。