因為結構簡單，公共交換電話網（PSTN）與生俱來就是安全的。但Gartner認為，隨著開始遷移到下一代網絡（NGN），網絡在變得更為復雜的同時，一些重要的安全特性也將不復存在。因而，業界正制訂標準以應對新漏洞，運營商面臨加強網絡安全的重任。

NGN的遷移之路

　　公共交換電話網絡（PSTN）天生具有安全性：每路電話只發出非常簡單的控制消息; 控制指令無法輕易偽裝成語音內容; 電話交換機（PBX）的數字訪問治理嚴格限制了發送控制消息的功能; 運營商的核心信令系統（即SS7）受到保護，能夠防止外部訪問。

　　盡管如此，隨著網絡逐漸向建立在基于分組體系結構上的下一代網絡（NGN）上遷移，上述這些安全特性將不復存在。到2010年，PSTN將從面向連接、針對語音優化的服務遷移到基于分組的體系結構，雖然這種體系結構能夠支持多種不同媒體和內容的無縫集成，但目前還是輕易受到多種惡意攻擊。不過業界在竭力解決這種體系結構存在的漏洞，Gartner Dataquest預計第一批安全標準會在2004年完成，2005年將開始陸續推出新產品。

　　NGN的實施將是漸進的方式，新的基礎設施大多將會集成防漏洞的功能。NGN的體系結構將在每一層集成防漏洞的功能，所有外部接口都將得到保護，無論是客戶設備、傳統的PSTN，還是包括因特網在內的其他ip網絡。基礎設施的每一個部分都將得到“加固”，以防范入侵和拒絕服務攻擊。最后，所有脆弱的控制和通信流量也將予以加密。

NGN的安全問題

　　提供基于IP的網絡服務的運營商不僅要保護各自的基礎設施免受攻擊，還理應保護客戶的末端系統。到時，監控安全、防止拒絕服務攻擊將成為運營商的一項重要任務。的確，Gartner Dataquest預計各國政府會下令運營商在2010年之前至少保證最低級別的安全。

　　不過，雖然NGN與因特網邏輯隔離，但兩者之間還是存在諸多連接點，這包括：NGN到因特網的連接，由每家NGN運營商部署的這種連接將答應因特網上的語音用戶與NGN用戶進行通信。NGN將成為全局IP地址空間的一部分，要求域名系統（DNS）到NGN和因特網之間存在鏈路，客戶端也存在鏈路。這包括用于因特網和NGN通信的設備，比如軟交換電話和PC。這些連接點無疑成為NGN的隱患。

　　針對IP網絡基礎設施的攻擊一般基于這樣的現實：至少一部分網絡基礎設施要讓末端系統看到。假如末端系統連域名服務器和默認路由器都看不到，IP通信就無法進行。而這兩種基礎設施都可能遭到攻擊。常見的攻擊手法利用了設備中的潛在的已知漏洞，包括緩沖器溢出、無限路由表和簡單網絡治理協議（SNMP）所存在的漏洞。一旦攻擊者獲得了控制路由器或域名服務器的權限，就有可能訪問IP基礎設施中的其他設備。

　　IP基礎設施答應任意兩個設備之間進行通信。為了外界能夠訪問自己，主機和服務器就要通過DNS來公布各自的存在。但域名、IP地址和電子郵件地址的結構使得黑客比較輕易猜中連接資源的名字和地址，因而末端系統就有可能遭受入侵攻擊、病毒和拒絕服務攻擊。

NGN的安全挑戰

　　NGN的安全性在以下幾方面面臨挑戰。

　　網絡地址轉換: 許多企業在專用網和因特網之間的邊界采用網絡地址轉換（NAT）方式。然而，NGN確定用戶位置、建立話路所采用的會話初始協議（SIP）卻無法適用于為實施NAT而布置的路由器或防火墻中。遺憾的是，雖然目前有很多辦法可解決SIP和NAT問題，但還沒有哪一種成為標準。

　　會話初始協議：有些安全漏洞與SIP本身有關。默認狀態下，SIP消息采用未加密的明文格式發送，因而輕易被截獲和篡改。雖然SIP有一些安全選項功能，SIP消息也可以采用其他安全和加密選項。可是，目前還沒有什么辦法能夠讓SIP安全地通過協商，決定采用哪種安全機制。這樣一來，SIP就輕易受到“中間人攻擊”及其他攻擊，安全防線也就輕易遭受突破。因特網工程任務組（IETF）正著手解決這些問題。

　　可靠傳輸協議：NGN的會話將由可靠傳輸協議（RTP）來承載。而這種協議輕易被截獲及篡改，比如起始和目的地址被截獲及篡改。假如RTP會話未經加密，NGN無法防止身份失竊或者會話內容被篡改。早期提案的確規定采用“臨時”加密方案，但同時也規定將來需要由較低層協議來提供安全。正如針對其他安全漏洞的方案一樣，RTP安全同樣缺乏一種明確的標準。

　　代碼和腳本攻擊：傳統IP電話、軟IP電話和PBX都有可能受到來自可執行代碼或腳本的攻擊。有人可能會利用可執行代碼和腳本控制用戶或NGN接口，或者傳播其他類型的攻擊，如DDoS攻擊。

　　Gartner Dataquest預計會出現有人企圖偷竊服務的現象，即黑客將合法用戶的電話服務改為私用。所以基于IP的語音服務需要類似保護企業數據網絡的防火墻及能防范惡意代碼。

　　此外，無線升級、隨地下載可執行代碼給用戶或治理員帶來便利的同時，也給攻擊者帶來了可趁之機。下載用擴展標記語言（xml）編寫的腳本同樣存在風險。不過IETF的媒體網關控制標準有望解決這類問題。