基于DOCSIS3.0的HFC網(wǎng)絡管理策略淺探

陳志明，雷 躍

1.昆明市官渡區(qū)新聞中心，云南昆明 650200 2.云南省新聞出版廣電局，云南昆明 650034

基于DOCSIS3.0的HFC網(wǎng)絡管理策略淺探

陳志明1，雷 躍2

1.昆明市官渡區(qū)新聞中心，云南昆明 650200 2.云南省新聞出版廣電局，云南昆明 650034

近年，我國有線電視網(wǎng)絡系統(tǒng)蓬勃發(fā)展，為滿足用戶的多元化需求，網(wǎng)絡架構(gòu)必須提供安全的環(huán)境、優(yōu)良的品質(zhì)、穩(wěn)定的速度。因此，本文探討HFC網(wǎng)絡架構(gòu)，從DOCSIS3.0標準討論HFC網(wǎng)絡中群組原則以及安全設定，提出網(wǎng)絡管理策略。

有線電視網(wǎng)絡；DOCSIS3.0；電纜調(diào)制解調(diào)器

依據(jù)國家廣電總局的廣播電視數(shù)字化進程表，我國計劃于2015年在全國范圍內(nèi)關(guān)閉模擬電視，逐漸完成從模擬向數(shù)字電視的過渡。在此過程中，有線電視（Cable TV Network; CATV）系統(tǒng)將逐漸升級為光纖同軸混合（Hybrid Fiber and Coaxial; HFC）網(wǎng)絡系統(tǒng)。因此，本文基于針對CATV雙向網(wǎng)絡服務標準規(guī)范DOCSIS 3.0，提出HFC網(wǎng)絡管理策略。

1 HFC網(wǎng)絡架構(gòu)

數(shù)字化有線電視網(wǎng)絡是基于光纖同軸混合（HFC）網(wǎng)絡采用分類模塊的方式，將傳統(tǒng)的虛擬電視信號和數(shù)字信號通過光纖（Fiber）傳輸?shù)焦夤?jié)點（Fiber Node; FN），再通過光電轉(zhuǎn)換器，將光纖網(wǎng)絡轉(zhuǎn)換至同軸電纜線（Coax）到每個用戶家中，最后經(jīng)過分離器（Splitter）一端接電視，另一端通過電纜調(diào)制解調(diào)器（Cable Modem; CM）與其他用戶端設備相連。

利用CM的雙向傳輸技術(shù)使用的主要技術(shù)采用DOCSIS標準，并納入有線數(shù)字電視廣播信道編碼與調(diào)制規(guī)范（ITU-T J.83）。

2 DOCSIS3.0規(guī)范與網(wǎng)絡模型

DOCSIS（Data Over Cable System Interface Specification）標準是1997年美國CableLabs?公司針對CATV雙向網(wǎng)絡系統(tǒng)服務制定的標準，目前DOCSIS標準已成為行業(yè)的主流規(guī)范。

2.1 DOCSIS3.0規(guī)范

隨著傳纜調(diào)制解調(diào)器終端系統(tǒng)（Modular Cable Modem Termination System； CMTS） 研 發(fā) 成 功，DOCSIS3.0規(guī)范變?yōu)橐晕锢韺拥纳蟼魍ǖ览希–hannel Bonding）方式。

DOCSIS3.0規(guī)范主要包括安全規(guī)格（SP-SECv3.0）、電纜調(diào)制解調(diào)器（CM）及無線終端接入設備（CPE）界面規(guī)格（SP-CMCIv3.0）、實體層規(guī)格（SP-PHYv3.0）、MAC及上層協(xié)定界面規(guī)格（SP-MULPv3.0）以及操作支持系統(tǒng)界面規(guī)格（SP-OSSIv3.0）五大部分。

2.2 DOCSIS3.0網(wǎng)絡模型

為保證有線電視HFC網(wǎng)絡的運行與管理，DOCSIS3.0標準不僅規(guī)范CM和CMTS，還管理其他提供上傳服務的服務器。圖1顯示了CM、CMTS連接HFC網(wǎng)絡進入家庭網(wǎng)絡系統(tǒng)的模型。

3 HFC網(wǎng)絡運作流程與安全規(guī)劃

3.1 HFC網(wǎng)絡運作流程

在有線電視HFC網(wǎng)絡中，開啟CM后，自動掃描下行頻道完成與CMTS時間同步，并從CMTS發(fā)出的MDD中取得可用的下行頻道，并收集相關(guān)訊息完成同下行頻道的MAC域下游服務組（MD-DS SG）動作，同時將隨機選擇一個上行頻道以作為主要的溝通頻道。

使用授權(quán)密碼（AK）、流量加密密碼（TEK）以及密碼加密密碼（KEK）的方式，對CM裝置的用戶信息進行驗證后，有授權(quán)的CM將進入DOCSIS網(wǎng)絡。CM發(fā)出請求IP地址，一旦通過MAC訊息的驗證，將以IPv4 Only、IPv6 Only、輪替模式（APM）以及雙模式（DPM）得到一個IP地址，該地址由CMTS指定的DHCP服務器發(fā)送。

3.2 基于DOCSIS3.0的網(wǎng)絡安全規(guī)劃

DOCSIS3.0標準的CM必須支持SP-CMCIv3.0要求，同時也向下相容于SP-CMCIv1.0/v2.0協(xié)定。相較SPCMCIv1.0/v2.0協(xié)定的明碼封包方式，SP-CMCIv3.0所傳達的訊息經(jīng)過MD5或SHAI加密，具有更高的安全性。然而，SP-CMCIv3.0協(xié)定依然需要制定來源端的IPv4/ IPv6地址、設定在LAN端關(guān)閉SP-CMCI服務以及更改預設群組名稱等方式，以防止MSO管理以外的人控制。

通過CM/CMTS基本的數(shù)據(jù)過濾機制，能有效避免有害的內(nèi)容。一般來講，通過驗證CM的MAC信息、啟用網(wǎng)絡封包加密機制以過濾存在安全問題的網(wǎng)絡封包，可以極大降低用戶端網(wǎng)絡安全風險。

4 有線電視HFC網(wǎng)絡管理

4.1 DHCP服務器管理

CM開啟時，需經(jīng)由DHCP服務器進行身份合法性驗證，并記錄用戶資料，發(fā)放IP地址并賦予相關(guān)權(quán)限。

一個HFC網(wǎng)絡，可通過CM發(fā)出MAC地址識別所屬群組，針對不同用戶端，給予在設備數(shù)量、網(wǎng)絡速率、防火墻等方面的設定，建立分級機制。針對目前IPv4網(wǎng)絡地址不足的突出問題，需要在DHCP服務器中設定多組SCOPE，依據(jù)不同的服務區(qū)域給予IPv4；同時降低CM的IP租用時間來增加IP地址的使用率。

4.2 CMTS端管理

有線電視HFC網(wǎng)絡目前涵蓋了虛擬和數(shù)字電視服務，按照2004年國家廣播電影電視總局制定的《有線數(shù)字電視頻道配置指導性意見（暫行）》，目前我國優(yōu)先用于雙向數(shù)據(jù)的下行電視頻道落在439—463、710—750MHz之間，可視網(wǎng)絡質(zhì)量，選擇使用64QAM或256QAM的調(diào)制方式。此外，CMTS端通過CMTS開啟EAE認證機制以及MIC資料驗證，使用加密方式進行上傳請求；使用HMAC-MD5方式驗證路由協(xié)議，防止惡意的用戶攻擊；使用SSH加密方式進行管理，將管理日志上傳至SYSLOG服務器。

5 結(jié)論

本文從DOCSIS 3.0標準中探討了有線電視HFC網(wǎng)絡運作流程、安全規(guī)劃以及安全管理策略，提出了對非法用戶的使用限制，但有線電視網(wǎng)絡為共享帶寬，未加密的資料依然存在危險。以實驗的方式測試HFC網(wǎng)絡安全性，并研究用戶端防火墻機制，將是未來研究的方向。

[1]柯駿.關(guān)于DOCSIS技術(shù)演進的思考[J].有線電視技術(shù)，2014（5）：20-24.

[2]彭巍，喻勇.基于DOCSIS 3．0的廣電NGB網(wǎng)絡工程應用理論和實踐[J].廣播與電視技術(shù)，2013（A01）：165-169.

[3]孫鵬，孫大慶，韓志堅等.DOCSIS 3.0—HFC網(wǎng)絡接入新標準[C]//2006國際有線電視技術(shù)研討會論文集，2006.

TP3

A

1674-6708（2015）138-0074-01