Организация защиты в DOCSIS

Операторам кабельных сетей приходилось принимать защитные меры и ранее при предоставлении таких услуг, как «платный просмотр». Однако высокоскоростная передача данных ставит намного более серьезные проблемы с точки зрения защиты.

Главная из них связана с широковещательной природой сетей КТВ: любая передача по сети может быть без труда подслушана. Поэтому трафик следует в первую очередь защитить от перехвата. Для этого уже в самой первой версии стандарта DOCSIS 1.0 было предусмотрено шифрование передаваемых данных. Применяемый в DOCSIS базовый интерфейс обеспечения конфиденциальности (Baseline Privacy Interface, BPI) поддерживает шифрование в соответствии с режимом сцепления шифруемых блоков (Cipher Block Chaining, CBC) стандарта DES с 56-разрядным ключом, а также обмен ключами с применением 768-разрядного шифрования RSA.

Однако BPI и DOCSIS 1.0 не обеспечивали защиты от двойников, поэтому в DOCSIS 1.1 была включена расширенная версия BPI. BPI+, так она называется, поддерживает аутентификацию с помощью сертификатов. Кабельный модем должен предоставить сертификат, удостоверяющий, что MAC-адрес и открытый ключ RSA действительно принадлежат ему.

Обеспечивая конфиденциальность передачи и идентификацию подписчиков, BPI и BPI+ не в состоянии защитить, например, от атак типа «отказ в обслуживании», когда какой-либо злонамеренный пользователь забивает шумом или мусором весь обратный канал.

Подуровень MAC в DOCSIS

Системы передачи на базе кабельных модемов имеют несимметричную архитектуру: одна оконечная станция может обслуживать сотни и даже тысячи кабельных модемов. Это, конечно же, связано с особенностями топологии сетей КТВ.

Все кабельные модемы слушают передачу конечной станции на своем канале и принимают кадры, предназначенные им самим или подключенным к ним конечным устройствам. Таким образом, при передаче в прямом направлении какая-либо конкуренция за среду передачи отсутствует, и здесь возникает лишь одна серьезная проблема — защита информации, так как передача осуществляется путем широковещания.

Читать далее

DOCSIS — доступ в Internet по сетям кабельного телевидения

  1. Общие данные систем доступа в Internet (ISDN, ADSL, DOCSIS)
  2. Архитектуры передачи upstream данных
  3. Стандарты модемов DOCSIS
  4. Стек протоколов DOCSIS
  5. Подуровень MAC в DOCSIS
  6. Организация защиты в DOCSIS
  7. Голос по кабелю в DOCSIS