注释

HFC网络

电缆安全体验

史蒂夫·戈纳

史蒂夫·戈纳
杰出的技术专家,安全

2020年8月31日

为了应对新冠肺炎,我们都调整了工作、娱乐和社交的方式。这使人们更加意识到我们的宽带网络至关重要——它们需要安全。有线电视行业长期专注于提供一流的网络安全我们继续创新,为用户提供10G的体验。

金宝搏188BETCableLabs®参与了混合光纤同轴(HFC)和无源光网络(PON)技术开发。这包括电缆数据服务接口规范(DOCSIS®)技术的开发和维护,该技术支持HFC网络上的宽带互联网服务。我们与网络运营商和网络设备供应商紧密合作,以确保这两类网络的安全。让我们回顾一下这两种网络架构,然后讨论HFC和PON网络面临的威胁。我们将看到物理媒体(光纤或同轴电缆)对有线网络的安全性没有太大的影响。我们将讨论这两种体系结构,并通过简要讨论DOCSIS HFC网络的安全性来结束讨论。

HFC和PON体系结构综述

下图说明了相似性和HFC和PON之间的差异

电缆安全体验

HFC和基于PON的FTTH都是点对多点网络架构,这意味着在架构中,网络的总容量在网络上的所有订户之间共享。最批判性地,从安全角度来看,两个架构中的所有下行链路用户通信都存在于订户的终端网络元件上 - 电缆调制解调器(CM)或光网络单元(ONU)。这需要保护这些通信以确保保密性。

在HFC网络中,光纤部分位于为城域网(或城域网的一部分)服务的集线器或头端和为邻里服务的光纤节点之间。光纤节点将光信号转换为无线电频率,然后通过同轴电缆将信号发送到附近的每个家庭。这种混合架构能够持续改进宽带性能,以支持更高的用户带宽,而不需要替换整个社区的同轴电缆。需要注意的是,在DOCSIS HFC网络中,终端用户的通信通道在网络的同轴(无线电)和光纤部分上通过加密受到保护。

FTTH最常见的部署方式是采用无源光网络(PON)架构,该架构使用一根共享光纤到接入网中的某个点,其中光信号通过一个或多个无源分光器进行分离,并通过光纤传输到每个家庭。这个连接的网络侧的网元是一个光线路终端(OLT),用户侧是一个ONU。PON有很多标准。最常见的两种是千兆无源光网络(GPON)和以太网无源光网络(EPON)。需要注意的一个有趣的架构选项是,cabllabs开发了一种机制,允许有线运营商以与管理DOCSIS H金宝搏188BETFC网络上的服务相同的方式管理EPON技术——EPON的DOCSIS供应。

在HFC和PON架构中,加密用于确保下行链路通信的机密性。在DOCSIS HFC网络中,通过加密通信来双向使用加密订户的电缆调制解调器(下行链路)和通信用户的电缆调制解调器(上行链路)。在PON中,双向加密也可用。

攻击者视图

对手(黑客)会如何看待这些网络?敌人在利用接入网络时可使用四种攻击向量:

  • 对手可以直接攻击接入网络(例如,点击同轴电缆或光纤电缆)。
  • 它们可能从服务的网络端(通常称为广域网(WAN)端)攻击客户场所设备(CPE)设备。
  • 它们可能从家庭网络侧或局域网侧攻击CPE设备。
  • 他们可能会攻击网络运营商的基础架构。

挖掘纤维或同轴电缆都是实用的。实际上,授权技术人员允许合法故障排除和管理的工具比比光纤和同轴电缆。不正确的假设是相信纤维攻丝是难以或高技术的,相对于点击同轴电缆。您可以在互联网上轻松找到几个简单完成的示例。根据访问媒体的位置,所有用户通信都可以在上行链路和下行链路侧上使用。然而,HFC和PON网络支持具有加密的通信,如上所述。当然,这并不意味着对手无法扰乱通信。他们可以在这两种情况下这样做。然而,这样做的是仅在通过该特定光纤或同轴电缆传递的房屋中进行降级;攻击是本地的,没有扩展。

对于其他攻击向量,HFC或PON网络的风险是等同的。无论传输媒体(例如,光纤,同轴电缆)如何,必须对本地和远程攻击进行硬化CPE和网络基础设施(例如OLT或CMTS)。

运营商可用的安全工具

在HFC和PON体系结构中,网络运营商可以为用户提供同等级别的网络安全。保护这两个体系结构的三个主要工具都依赖于密码学。这些工具是身份验证、加密和消息散列。

  • 认证是使用某种秘密进行的。在HFC中,质询和响应是基于公钥基础设施(PKI)支持的非对称密码体制来使用的。在FTTH部署中,机制可能依赖于预共享密钥、PKI、EAP-TLS (IETF RFC 5216)或其他方案。端点的身份验证应该定期重复,这在CableLabs DOCSIS规范中得到了支持。金宝搏188BET定期的重新身份验证增加了对连接到网络的所有端点都是合法的和网络运营商已知的保证。
  • 加密为保持通信的私密性提供了主要工具。HFC中的用户通信使用认证步骤中协商的加密密钥进行加密,使用DOCSIS基线隐私接口加(BPI+)规范。m188bet体育FTTH的加密实现各不相同。在HFC和PON中,目前最常用的加密算法是AES-128。
  • 消息散列确保系统中的消息的完整性,这意味着一旦发送就无法检测到没有检测的消息。有时,这种功能是内置于加密算法中的。在DOCSIS网络中,遍布电缆调制解调器的所有用户通信都是散列,以确保完整性,并且一些网络控制消息接收额外的散列。

重要的是要理解网络中的位置,这些加密工具都是应用的。在DOCSIS HFC网络中,用户通信受到电缆调制解调器和CMTS之间的保护。如果CMTS功能由诸如远程PHY设备(RPD)或远程Macphy设备(RMD)之类的另一设备提供,则DOCSIS终止于此。但是,DOCSIS HFC架构提供身份验证和加密功能,以确保链接到集线器。在FTTH中,加密工具提供ONU和OLT之间的保护。如果OLT以RPD或RMDS的情况远程部署,则还应以类似的方式固定回程链路。

现实-有线电视的安全

概述HFm188bet体育C和PON应如何部署的规范和标准提供了良好的基于加密的工具来验证网络访问,并保持网络和用户信息的机密性。管理层体系结构组件的安全性可能因操作者而异。然而,运营商非常擅长固定有线调制解调器和onu。而且,当我们的对手创新新的攻击时,我们也在努力整合新的能力来应对这些攻击——网络安全创新是安全工程的文化必要性!

建造超过两十年的经验, 金宝搏188BETCableLabs继续推进DOCSIS规范中可用的安全特性,很快使新的或更新的HFC部署更加安全,并为10G做好准备。DOCSIS 4.0规范有介绍了几种先进的安全控制,包括相互身份验证、完美的前向保密,以及提高了网络凭据(如私钥)的安全性。鉴于我们对光和HFC网络技术的浓厚兴趣,CableLabs将确保其PON架构的规格采用这些新的安全能力,并将继续与其他标准机构合作,做同样的事情金宝搏188BET。m188bet体育

了解有关10g安全性的更多信息

注释

隐私偏好中心

    严格必要

    该网站必须正常运行的饼干。

    phpsessid,__cfduid,hubspotutk

    性能

    它们用于跟踪用户交互和检测潜在问题。通过提供用户如何使用本网站的分析数据,帮助我们改善我们的服务。

    Bizoid,Wootracker,GPS,_GA,_GAT,_GID,_hjincludedInsample,mailmunch_second_pageview

    针对

    这些cookie用于(1)向您和您的兴趣提供更相关的广告;(2)限制您看到广告的次数;(3)帮助衡量广告活动的有效性;(4)在观看广告后,了解人们的行为。

    __hssc,__hssrc,__hstc,