相比傳統的電信網，NGN面臨著眾多的安全威脅，NGN的業務安全也面臨著巨大的挑戰。業務的開發和部署需要考慮到更多的安全特性和安全功能。利用UML安全擴展UMLsec對NGN中的業務安全需求進行分析建模，提出了一種細粒度的安全需求分析方法，通過抽象出安全功能抽象類說明NGN業務的安全特性需求。并通過用例討論了基于安全應用接口的安全需求實現，使得各種安全特性能夠更方便、更靈活地集成到業務中。

下一代網絡(NGN)是基于分組網絡的、多業務融合并開放網絡能力的電信網絡。其基于分組交換的核心網絡為業務融合提供了傳輸基礎設施;其網絡能力的開放提高了業務的擴展性，為第三方業務提供者進入電信業務市場提供了良好的契機。但NGN中相對于傳統電信網而言松耦合的、開放的業務結構特性和豐富的業務功能恰好與NGN基于通用計算平臺和IP傳輸網絡的基礎設施在安全架構上形成了矛盾。采用基于IP的分組網絡作為業務的承載網絡使得許多針對IP網絡的攻擊行為在電信網絡中成為可能，采用通用計算設備作為網絡中的控制實體將計算機的安全問題引入到網絡中的各個節點[1]。網絡能力和業務能力的開放也帶來了一系列業務層特有的安全問題。

目前，已經有眾多的安全機制用于保證網絡和計算設備的安全，但這些安全機制都是針對某一個或某幾個特定安全問題和特定的環境設計的，如密鑰分配、實體認證、機密性保護、完整性保護等，NGN業務針對不同的業務特征和業務執行環境有著不同的、綜合的安全需求。如何理清業務的安全需求，并盡量通過已有的網絡安全能力是業務開發者面臨的一個問題。

鑒于業務開發過程面臨的復雜的安全需求，本文提出使用形式化建模語言UMLsec[3，4]對業務安全需求進行分析，利用建模語言將業務所需的安全特性抽象成安全感知的類，通過這些類表達細粒度的安全功能，通過這些類的組合表達業務的安全需求。這些類的功能通過安全應用接口實現，如GSS-API[5]、NGSS-API[6]，從而將安全特征集成到業務中。以便業務開發者在業務開發過程中擺脫安全機制實現細節的困擾，并且使得開發出來的業務安全特征具備可移植性。

一、NGN業務安全需求分析

1.UMLsec擴展

UMLsec是基于UML標準擴展機制的一個UMLprofile，通過在UML元模型中增加安全相關的約束、標簽、定型等建模元素，使用UML圖來表達安全相關的語義和系統需求與約束。但目前的UMLsec是基于計算機網絡的環境定義的，將其用于NGN業務安全分析中來還需要進行相應的擴展。主要的擴展在于在UMLsec的元素中增加具備與NGN環境相關的定義，使其能夠更明確、更有針對性地表達NGN業務的特點與需求。本文中將業務的承載、執行節點定義為NGN中業務的基礎架構，并在UML元模型中對這些元素進行定義，如圖1所示。

圖1 NGN基礎架構模型擴展

該擴展針對Link和Node和兩個元類增加了NGN中關于承載和節點的定型�？梢愿鶕�需要對該模型作進一步擴展，如可以增加關于接入網承載的定型等。

2.基于UMLsec的威脅分析

針對圖1中定義的定型以及對網絡安全構成威脅的攻擊者的類型，可以定義出威脅函數TheatA(s)。其中A表示攻擊者類型，這里假定攻擊者為具備一般能力的外部攻擊者，即其可以竊聽到廣播信道上的數據流量，并可以插入或刪除數據流量，能夠利用系統漏洞入侵系統;表示為模型中定義的定型威脅函數的值域為{delete，read，insert，access}。根據NGN中承載網絡和計算節點的特性，我們可以得出如下威脅函數，如表1所示。

表1 NGN基礎架構的威脅函數

攻擊者對于IP承載的數據能夠執行讀寫和刪除操作，故其能夠針對IP承載的業務進行攻擊。如攻擊者可以修改正常的SIP消息以改變呼叫的路由，發出BYE等SIP消息拆除正常的SIP會話，通過截獲RTP承載的語音包并解碼以實現竊聽，可以在IP網絡中插入大量數據降低VoIP的QoS實現DoS攻擊，等等。

軟設備通常基于通用的操作系統、數據庫等軟件。這些通用軟件以及協議棧的實現都可能具備能被攻擊者利用的漏洞。通過這些安全漏洞，攻擊者可以對這些設備發起拒絕服務攻擊(DoS)或獲得設備的訪問權。

由于NGN的基礎設施針對一般攻擊者的攻擊函數值通常都不為空，因此需要在業務開發和部署時利用安全機制來保證業務的安全。