陳志明++雷躍

摘 要 近年，我國有線電視網(wǎng)絡(luò)系統(tǒng)蓬勃發(fā)展，為滿足用戶的多元化需求，網(wǎng)絡(luò)架構(gòu)必須提供安全的環(huán)境、優(yōu)良的品質(zhì)、穩(wěn)定的速度。因此，本文探討HFC網(wǎng)絡(luò)架構(gòu)，從DOCSIS3.0標(biāo)準(zhǔn)討論HFC網(wǎng)絡(luò)中群組原則以及安全設(shè)定，提出網(wǎng)絡(luò)管理策略。

關(guān)鍵詞 有線電視網(wǎng)絡(luò)；DOCSIS3.0；電纜調(diào)制解調(diào)器

中圖分類號TP3 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2015）138-0074-01

依據(jù)國家廣電總局的廣播電視數(shù)字化進(jìn)程表，我國計(jì)劃于2015年在全國范圍內(nèi)關(guān)閉模擬電視，逐漸完成從模擬向數(shù)字電視的過渡。在此過程中，有線電視（Cable TV Network； CATV）系統(tǒng)將逐漸升級為光纖同軸混合（Hybrid Fiber and Coaxial； HFC）網(wǎng)絡(luò)系統(tǒng)。因此，本文基于針對CATV雙向網(wǎng)絡(luò)服務(wù)標(biāo)準(zhǔn)規(guī)范DOCSIS 3.0，提出HFC網(wǎng)絡(luò)管理策略。

1 HFC網(wǎng)絡(luò)架構(gòu)

數(shù)字化有線電視網(wǎng)絡(luò)是基于光纖同軸混合（HFC）網(wǎng)絡(luò)采用分類模塊的方式，將傳統(tǒng)的虛擬電視信號和數(shù)字信號通過光纖（Fiber）傳輸?shù)焦夤?jié)點(diǎn)（Fiber Node； FN），再通過光電轉(zhuǎn)換器，將光纖網(wǎng)絡(luò)轉(zhuǎn)換至同軸電纜線（Coax）到每個(gè)用戶家中，最后經(jīng)過分離器（Splitter）一端接電視，另一端通過電纜調(diào)制解調(diào)器（Cable Modem； CM）與其他用戶端設(shè)備相連。

利用CM的雙向傳輸技術(shù)使用的主要技術(shù)采用DOCSIS標(biāo)準(zhǔn)，并納入有線數(shù)字電視廣播信道編碼與調(diào)制規(guī)范（ITU-T J.83）。

2 DOCSIS3.0規(guī)范與網(wǎng)絡(luò)模型

DOCSIS（Data Over Cable System Interface Specification）標(biāo)準(zhǔn)是1997年美國CableLabs?公司針對CATV雙向網(wǎng)絡(luò)系統(tǒng)服務(wù)制定的標(biāo)準(zhǔn)，目前DOCSIS標(biāo)準(zhǔn)已成為行業(yè)的主流規(guī)范。

2.1 DOCSIS3.0規(guī)范

隨著傳纜調(diào)制解調(diào)器終端系統(tǒng)（Modular Cable Modem Termination System； CMTS）研發(fā)成功，DOCSIS3.0規(guī)范變?yōu)橐晕锢韺拥纳蟼魍ǖ览希–hannel Bonding）方式。

DOCSIS3.0規(guī)范主要包括安全規(guī)格（SP-SECv3.0）、電纜調(diào)制解調(diào)器（CM）及無線終端接入設(shè)備（CPE）界面規(guī)格（SP-CMCIv3.0）、實(shí)體層規(guī)格（SP-PHYv3.0）、MAC及上層協(xié)定界面規(guī)格（SP-MULPv3.0）以及操作支持系統(tǒng)界面規(guī)格（SP-OSSIv3.0）五大部分。

2.2 DOCSIS3.0網(wǎng)絡(luò)模型

為保證有線電視HFC網(wǎng)絡(luò)的運(yùn)行與管理，DOCSIS3.0標(biāo)準(zhǔn)不僅規(guī)范CM和CMTS，還管理其他提供上傳服務(wù)的服務(wù)器。圖1顯示了CM、CMTS連接HFC網(wǎng)絡(luò)進(jìn)入家庭網(wǎng)絡(luò)系統(tǒng)的模型。

圖1 DOCSIS3.0網(wǎng)絡(luò)模型

3 HFC網(wǎng)絡(luò)運(yùn)作流程與安全規(guī)劃

3.1 HFC網(wǎng)絡(luò)運(yùn)作流程

在有線電視HFC網(wǎng)絡(luò)中，開啟CM后，自動(dòng)掃描下行頻道完成與CMTS時(shí)間同步，并從CMTS發(fā)出的MDD中取得可用的下行頻道，并收集相關(guān)訊息完成同下行頻道的MAC域下游服務(wù)組（MD-DS SG）動(dòng)作，同時(shí)將隨機(jī)選擇一個(gè)上行頻道以作為主要的溝通頻道。

使用授權(quán)密碼（AK）、流量加密密碼（TEK）以及密碼加密密碼（KEK）的方式，對CM裝置的用戶信息進(jìn)行驗(yàn)證后，有授權(quán)的CM將進(jìn)入DOCSIS網(wǎng)絡(luò)。CM發(fā)出請求IP地址，一旦通過MAC訊息的驗(yàn)證，將以IPv4 Only、IPv6 Only、輪替模式（APM）以及雙模式（DPM）得到一個(gè)IP地址，該地址由CMTS指定的DHCP服務(wù)器發(fā)送。

3.2 基于DOCSIS3.0的網(wǎng)絡(luò)安全規(guī)劃

DOCSIS3.0標(biāo)準(zhǔn)的CM必須支持SP-CMCIv3.0要求，同時(shí)也向下相容于SP-CMCIv1.0/v2.0協(xié)定。相較SP-CMCIv1.0/v2.0協(xié)定的明碼封包方式，SP-CMCIv3.0所傳達(dá)的訊息經(jīng)過MD5或SHAI加密，具有更高的安全性。然而，SP-CMCIv3.0協(xié)定依然需要制定來源端的IPv4/IPv6地址、設(shè)定在LAN端關(guān)閉SP-CMCI服務(wù)以及更改預(yù)設(shè)群組名稱等方式，以防止MSO管理以外的人控制。

通過CM/CMTS基本的數(shù)據(jù)過濾機(jī)制，能有效避免有害的內(nèi)容。一般來講，通過驗(yàn)證CM的MAC信息、啟用網(wǎng)絡(luò)封包加密機(jī)制以過濾存在安全問題的網(wǎng)絡(luò)封包，可以極大降低用戶端網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

4 有線電視HFC網(wǎng)絡(luò)管理

4.1 DHCP服務(wù)器管理

CM開啟時(shí)，需經(jīng)由DHCP服務(wù)器進(jìn)行身份合法性驗(yàn)證，并記錄用戶資料，發(fā)放IP地址并賦予相關(guān)權(quán)限。一個(gè)HFC網(wǎng)絡(luò)，可通過CM發(fā)出MAC地址識別所屬群組，針對不同用戶端，給予在設(shè)備數(shù)量、網(wǎng)絡(luò)速率、防火墻等方面的設(shè)定，建立分級機(jī)制。針對目前IPv4網(wǎng)絡(luò)地址不足的突出問題，需要在DHCP服務(wù)器中設(shè)定多組SCOPE，依據(jù)不同的服務(wù)區(qū)域給予IPv4；同時(shí)降低CM的IP租用時(shí)間來增加IP地址的使用率。

4.2 CMTS端管理

有線電視HFC網(wǎng)絡(luò)目前涵蓋了虛擬和數(shù)字電視服務(wù)，按照2004年國家廣播電影電視總局制定的《有線數(shù)字電視頻道配置指導(dǎo)性意見（暫行）》，目前我國優(yōu)先用于雙向數(shù)據(jù)的下行電視頻道落在439—463、710—750MHz之間，可視網(wǎng)絡(luò)質(zhì)量，選擇使用64QAM或256QAM的調(diào)制方式。此外，CMTS端通過CMTS開啟EAE認(rèn)證機(jī)制以及MIC資料驗(yàn)證，使用加密方式進(jìn)行上傳請求；使用HMAC-MD5方式驗(yàn)證路由協(xié)議，防止惡意的用戶攻擊；使用SSH加密方式進(jìn)行管理，將管理日志上傳至SYSLOG服務(wù)器。

5 結(jié)論

本文從DOCSIS 3.0標(biāo)準(zhǔn)中探討了有線電視HFC網(wǎng)絡(luò)運(yùn)作流程、安全規(guī)劃以及安全管理策略，提出了對非法用戶的使用限制，但有線電視網(wǎng)絡(luò)為共享帶寬，未加密的資料依然存在危險(xiǎn)。以實(shí)驗(yàn)的方式測試HFC網(wǎng)絡(luò)安全性，并研究用戶端防火墻機(jī)制，將是未來研究的方向。

參考文獻(xiàn)

[1]柯駿.關(guān)于DOCSIS技術(shù)演進(jìn)的思考[J].有線電視技術(shù)，2014（5）：20-24.

[2]彭巍，喻勇.基于DOCSIS 3.0的廣電NGB網(wǎng)絡(luò)工程應(yīng)用理論和實(shí)踐[J].廣播與電視技術(shù)，2013（A01）：165-169.

[3]孫鵬，孫大慶，韓志堅(jiān)等.DOCSIS 3.0—HFC網(wǎng)絡(luò)接入新標(biāo)準(zhǔn)[C]//2006國際有線電視技術(shù)研討會(huì)論文集，2006.