现在是2031年，大流行已经成为过去。当戴夫喝着早上的咖啡看新闻时，一个标题引起了他的注意。一台大型量子计算机终于投入使用了!突然，戴夫思绪万千。几秒钟后，随着心跳放缓，他抬头看着镜子，自豪地说:“是的，我们准备好了。”你对戴夫所不了解的是，在过去的10年里，他一直致力于确保我们宽带通信和接入网络的各个方面都保持安全和保护。除了寻找新的抗量子算法，Dave一直专注于其部署的实际方面，并解决其对宽带行业的影响。

在2021年，宽带行业需要开始走戴夫10年后走过的路。我们需要确保提前清除障碍，这样我们就可以为采用后量子(PQ)密码学等新的安全工具奠定基础。

后量子密码学格局

尽管NIST仍在完成PQ密码学的标准化过程，但对于PQ部署和宽带行业，我们已经可以推断出一些有趣的趋势和实际的长期考虑。

在最后一轮算法竞赛中仍然存在的大多数算法都是基于被称为格，实际上是等间距的向量或点的集合。基于晶格的密码安全特性的根源在于解决某些拓扑问题的困难，这些问题没有有效的算法(即使对于量子计算机)，例如最短向量问题(SVP)或最接近向量问题(CVP)。像Falcon或Dilithium这样的算法基于格，并产生最小的身份验证轨迹(即签名范围从700字节到3300字节)。

另一类值得关注的算法是基于同源．这些算法使用了不同于晶格的结构，并已被提出用于密钥交换算法。这些新的密钥交换算法——即密钥封装机制(KEM)——利用椭圆曲线之间的态射(或等同性)来提供“Diffie-Hellman-like”密钥交换属性来实现完全前向保密。基于同源性的加密使用PQ算法中最短的密钥，但计算量非常大。

除了这两类算法，我们还应该把基于哈希的签名方案作为一种可能的替代方案。具体来说，它们提供了经过验证的安全性，代价是非常大的加密签名(公钥非常小)，这阻碍了目前它们的采用。一个著名的基于哈希的算法可能会被重新包含在NIST标准化过程中是SPHINCS+。

DOCSIS®协议，DOCSIS PKI和PQ部署

现在您了解了下一代加密基础设施的可用选项，现在是时候看看这些新算法如何影响宽带环境了。事实上，尽管DOCSIS协议从一开始就使用数字证书和公钥加密，但宽带生态系统只依赖于RSA算法，而且该算法与目前考虑的PQ算法具有非常不同的特征。

好消息是，从安全的角度来看，与以前的版本相比，使用最新版本的DOCSIS协议(即DOCSIS 4.0)替换RSA只需要进行最小的升级。具体地说,DOCSIS 4.0在密钥交换方面消除了对RSA算法的依赖，并利用标准签名格式——即加密消息语法(CMS)——来传递签名。CMS已经计划在算法标准化过程结束后立即升级，为PQ算法提供标准支持。在DOCSIS 1.0-3.1中，由于密钥交换依赖于RSA算法，所需的协议更改可能更广泛，除了RSA密钥之外，还使用对称密钥来交付安全认证．

新算法的规模是部署的另一个重要方面。尽管基于晶格和基于同位性的算法对于已验证(签名)或加密(密钥交换)数据的大小非常有效，但它们仍然比我们今天所使用的大一个数量级(或更多)。

因此，宽带行业需要首先考虑密码学对身份验证和授权消息大小的影响。在DOCSIS协议中，基线隐私密钥管理(BPKM)消息在第2层用于跨电缆调制解调器及其终端系统传输身份验证信息。幸运的是，由于BPKM消息可以通过碎片支持提供对任何数据大小的支持，因此我们认为不需要更新或修改第二层身份验证消息的结构来适应新的加密大小。

与新密码的大小有关的是与算法性能相关的考虑。与RSA和ECDSA不同，PQ算法的计算量非常大，因此在设计支持它们的硬件时可能会造成额外的工程障碍。对于终端实体设备，如电缆调制解调器和光网络单元，有多种选择需要考虑。例如，一种选择是考虑现代微控制器的集成，它可以卸载计算，并提供可以安全地执行算法的隔离环境。另一种方法是利用许多边缘设备的中央处理单元(cpu)中已经可用的可信执行环境，而不需要更新当前的硬件架构。在核心设备上，与非常快速的RSA验证相比，增加的CPU负载可能需要额外的资源。亚博全球最大投注平台这是一个活跃的调查领域。

最后一组注意事项与算法部署模型和证书链验证注意事项有关。具体来说，由于NIST要求的PQ算法的当前实现范式没有使用散列和符号范式(它直接对数据进行签名而不先对其进行散列)，因此需要考虑一些重要的问题。虽然这种方法消除了对哈希算法的安全依赖，但它也带来了微妙但重要的性能损失;要进行身份验证或签名的数据(即，当设备试图向网络进行身份验证时)必须由算法直接处理。这可能需要大型数据总线将数据传输到MCU或通过CPU上的可信执行环境进行转换。已经观察到由所采用的签名机制所产生的性能瓶颈，需要进一步调查以更好地了解对部署的实际影响。

例如，当使用“散列-符号”范例进行签名时，1TB文档或1KB文档上操作的签名部分需要相同的时间(因为您总是对只有几个字节长度的散列进行签名)。相比之下，当使用新的范例时(不可能使用像RSA这样的算法)，签名时间会根据所签名数据的大小而有很大差异。当通过这种新方法处理与生成和签署数亿个证书相关的成本时，这个问题就更加明显了。换句话说，如果采用新范式，可能会对证书提供者产生潜在影响，并增加与签署大量证书相关的成本。

可用的工具和项目

现在您知道了要寻找的位置和内容，那么如何开始更多地了解并试验这些用于实际部署的新算法呢?

最好的起点之一是开放量子安全(OQS)项目旨在支持抗量子密码学的开发和原型设计。OQS项目提供了两个主要的存储库(开源，在GitHub上可用):基础liboqs图书馆，它提供了一个抗量子加密算法的C实现，以及OpenSSL库，该库集成了liboqs并提供了亚博yabo888vip网页版CableLabs的复合加密技术．

尽管OQS项目是开始使用这些新算法的好工具，但提供的与OpenSSL的集成不支持通用签名操作:这一限制可能会影响在不同用例中测试新算法的可能性。为了解决这些限制，并提供更好的Composite Crypto支持以及PQ算法的散列和符号实现，CableLabs开始将启用PQ的OpenSSL代码与新的启用PQ的OpenSSL代码集成亚博yabo888vip网页版LibPKI(来自原始OpenCA的LibPKI存储库的一个分支)，可用于构建和测试这些算法，用于PKI生命周期管理的所有方面，从验证完整的证书链到生成抗量子撤销信息(例如，crl和OCSP响应)。

宽带行业历来依赖公钥加密技术在接入网络和设备之间提供安全和强大的身份验证。在我们的环境中，当涉及到密码学时，最具挑战性的问题之一是支持具有不同功能的设备。其中一些设备可能完全(甚至部分)可升级，也可能无法升级。这可能是由于软件限制(例如，固件或应用程序不能安全更新)或硬件限制(例如，加密加速器或安全元素)。

异构生态系统

在研究我们的过渡策略时，我们意识到，特别是对于受限设备，我们唯一的选择是使用预共享密钥(psk)，以允许对各种已识别的用例进行后量子安全身份验证。

简而言之，我们的提议结合了复合加密、后量子算法和及时分布式psk的使用，以适应我们主要用例的共存:后量子设备、后量子验证设备和经典设备。除了根据支持转换的加密功能对各种类型的设备进行分类之外，我们还研究了复合加密的使用下一代DOCSIS®PKI为整个生态系统提供多算法支持:椭圆曲线数字签名算法(ECDSA)作为当前RSA算法的更有效替代方案，以及后量子算法(PQA)，用于提供长期量子安全认证。我们设计了一个长期的过渡策略，在我们的异构生态系统中允许安全的身份验证，在这个生态系统中新旧必须长期共存。

三类设备

宽带网络的历史告诉我们，部署在DOCSIS®网络中的设备寿命应该非常长(即20年或更长时间)。对于我们的环境来说，这意味着需要确定策略，以允许不同类型的设备在量子威胁下仍然执行安全的身份验证。为了更好地理解需要什么来保护不同类型的设备，我们根据它们的长期加密能力将它们分为三个不同的类别。

Classic-Only设备。这类设备不提供任何加密升级功能，除了支持复合加密结构。对于这类设备，我们设想将后量子pks (pqp)部署到设备中。这些密钥处于休眠状态，直到公钥算法需要量子安全保护。

具体来说，虽然身份仍然是通过经典签名和相关的证书链提供的，但对量子的保护是通过预先部署的psk提供的。已经确定了各种技术，以确保这些密钥在连接到网络时被随机组合和更新:攻击者需要访问设备流量的完整历史，才能访问psk。这种解决方案目前可以部署在电缆调制解调器和其他现场设备上。

量子验证设备。这种类型的设备不提供升级安全存储或私钥算法的可能性，但它们的加密库可以更新以支持选定的pqa和量子安全密钥封装机制(kem)。在原有的RSA基础设施下颁发证书的设备仍然必须使用部署的psk来保护完整的身份验证链，而在新的PKI基础设施下颁发证书的设备只需保护签名和设备证书之间的链路。对于这些设备，psk可以通过抗量子kem安全地传输。

量子设备。这些设备将具有完全的PQA支持(用于身份验证和验证)，并可能支持用于验证的经典算法。复合加密的使用允许验证跨越量子威胁驼峰的相同实体，特别是在接入网端。为了验证纯经典设备，使用Kerberos可以处理对称的成对psk分布，以进行身份验证和加密。

复合密码解决了一个基本问题

在我们关于宽带行业后量子转型战略的提案中，我们确定了使用复合加密而且药品资格预审规划作为为所有PKI数据(从数字证书到撤销信息)启用安全身份验证的两个必要构建块。

当复合加密而且药品资格预审规划被部署在一起，提议的架构允许跨不同类别的设备(即后量子和经典)进行安全身份验证，通过要求单一基础设施的支持(也需要间接身份验证数据，如“钉书”OCSP响应)，降低过渡到量子安全算法的成本，通过量子峰延长经典设备的生命周期，并且不需要像双证书解决方案那样更改协议(甚至是专有协议)。

最终，复合加密的使用有效地解决了将经典和量子安全算法与单个身份相关联的基本问题。

欲了解更多信息，请观看SCTE Tec-Expo 2020不断发展的安全工具:身份管理、密码学和安全处理的进展的记录和参与KeyFactor 2020年峰会．

在我们这个永远互联的世界里，我们希望我们的设备和小玩意总是可用的，不受我们当前使用的网络的影响。物联网(IoT)设备种类繁多，尽管它们在功率、数据收集能力、连接性等方面各不相同，但我们希望它们都能与我们的网络无缝对接。不幸的是，要享受我们的设备，而不担心将它们安全地连接到我们的网络(登录)，提供网络凭据(配置)，甚至管理它们是相当困难的。

理想情况下，入职过程应该足够安全、高效和灵活，以满足各种用例的需求。由于物联网设备通常没有屏幕和键盘，因此提供凭据可能是一项繁琐的任务:一些设备可能只能使用用户名和密码，而其他设备可能能够使用更复杂的凭据，如数字证书或加密令牌。对消费者来说，安全的登录应该很容易;对于企业来说，这个过程应该是自动化和灵活的，以便能够快速地为大量设备提供唯一的凭据。

理想情况下，在流程结束时，设备应该配备特定于网络和设备的凭据，由网络直接管理，并且对设备是唯一的，这样妥协就会影响特定网络上的特定设备。在实践中，创建和安装新凭证通常是一个非常痛苦的过程，特别是对于低端市场中的设备。

是证书管理，N不仅仅是入职

在设备成功“注册”或“登录”后，迄今为止一直被忽视的缺失部分是如何管理这些凭据。即使设备允许配置它们，它们的部署也往往是“静态的”，很少更新。这有两个原因:第一个原因是缺乏安全控制，通常在较小的设备上，以设置这些凭据;第二个原因，也是更相关的原因是，用户很少记得更新身份验证设置。根据最近的一篇文章即使在企业环境中，“近一半(47%)的cio和IT经理允许物联网设备进入他们的企业网络，而不更改默认密码”CISO的另一项调查发现“……近一半(47%)的ciso担心，由于他们的组织未能保护工作场所的物联网设备，可能会出现数据泄露。”

在Ca亚博yabo888vip网页版bleLabs，我们从多个角度来看待这个问题。我们特别关注如何提供(a)灵活的网络凭据管理，(b)可以跨设备强制凭据策略，以及(c)不需要额外的发现机制。

EAP-CREDS:R锁定宽和高TOol for the年代具体T问

IEEE基于端口的网络访问控制(802.1x)为接入网络架构提供了基础，允许实体(例如，设备，应用程序)在被授予连接之前对网络进行身份验证。具体来说，可扩展身份验证协议(EAP)提供了一个通信通道，其中可以使用各种身份验证方法来交换不同类型的凭据。一旦客户端和服务器之间的通信通过EAP- tls或EAP- teap等机制得到了保护，我们的工作(EAP- creds)将使用EAP的“可扩展”属性来包括访问网络凭据管理。

EAP-CREDS实现了三个独立的阶段:初始化、供应和验证。在初始化阶段，EAP服务器要求设备列出设备上可用的所有凭据(仅针对当前网络)，并在需要时启动供应阶段，在此期间执行双方支持的凭据供应或更新协议。该阶段完成后，服务器可能启动验证阶段(以检查凭证是否已成功接收并安装到设备上)，或者宣布成功并终止EAP会话。

为了保持协议的简单性，EAP-CREDS为其部署提供了特定的要求:

• EAP-CREDS不能作为独立的方法使用。需要将EAP-CREDS用作任何提供保密(加密)、服务器端身份验证的隧道机制的内部方法，对于已经拥有一组有效凭证的设备，还需要使用客户端身份验证。
• EAP- creds并不强制要求(或提供)用于配置或管理设备凭据的特定协议，因为它只意味着为封装现有(标准或特定于供应商的)协议提供EAP消息。然而，在它的第一个版本中，EAP-CREDS还包含了一个支持用户名/密码和X.509证书管理(服务器端驱动)的简单配置协议(SPP)。SPP是从最初的EAP-CREDS提案中提取出来的，并将作为一个单独的协议进行标准化。

当满足这两个需求时，EAP-CREDS实际上可以管理设备和服务器支持的任何类型的凭据。EAP-CREDS机制早期采用的一个例子可以在版本3的CBRS联盟规范亚博苹果版怎么下载其中EAP-CREDS用于管理非usim的凭据(例如，用户名/密码或X.509证书)，用于验证最终用户设备(例如，手机)。具体来说，CBRS-A使用EAP-CREDS从SPP传输供应消息，以管理用户名/密码组合以及X.509证书。EAP-CREDS和SPP的组合提供了一种管理网络凭证的有效方法。

年代页和EAP-CREDS:灵活性和效率

为了理解EAP-CREDS和SPP中实现的特定类型的消息，让我们看一下图2a，图2a显示了已经注册的IoT设备和业务网络之间的典型交换。

在这种情况下，在成功验证通信双方后，服务器启动EAP-CREDS并使用SPP交付新密码。在这种情况下，交换的消息总数介于4(当使用服务器端生成时)和6(当使用客户机和服务器之间的共同生成时)之间。图2b提供了使用联产的X.509证书的相同用例。

EAP-CREDS和SPP的一个有趣的特征是它们的灵活性和容易容纳解决方案的能力，今天，这些解决方案需要经过更复杂的过程(例如，OSU注册)。例如，SPP还可以通过两种方式用于注册现有凭据。除了在初始化阶段使用授权令牌(即任何类型的唯一标识符，无论是已签名的令牌还是设备证书)，设备还可以注册它们现有的凭据(例如，它们的设备证书)用于网络身份验证。

基于策略的凭证管理

正如我们所看到的，EAP-CREDS提供了一个自动的、策略驱动的、跨设备的凭据管理系统，它的使用可以提高不同类型的接入网络的安全性:工业、商业和家庭。

对于商业和工业环境，EAP-CREDS提供了一种跨供应商的标准方法来自动化大量设备的凭据管理(不仅仅是物联网)，从而确保(a)不使用默认凭据，(b)所使用的(凭据)定期更新，(c)凭据不与其他(可能不太安全)家庭环境共享。对于家庭环境，EAP-CREDS提供了一种可能性，以确保我们今天购买的小型物联网设备不会因为弱和静态凭据而容易受到损害，并为面向消费者的解决方案提供了一种补充工具(仅适用于支持802.1x的网络)Wi-Fi联盟的DPP．

如果你对更进一步的细节感兴趣EAP-CREDS和证书管理，请随时联系我们，开始新的今天!

的支柱之一10 g的平台是安全．简单性、完整性、机密性和可用性都是Cable 10G安全平台的不同方面。在这项工作中，我们想谈谈为下一代DOCSIS®网络开发的完整性(身份验证)增强，以及它们如何更新有线宽带服务的安全配置文件。

DOCSIS(有线电视服务接口数据规范)定义了如何创建网络和设备，为有线电视行业及其亚博苹果版怎么下载客户提供宽带。具体来说，DOCSIS包括一套处于有线宽带服务核心的技术文件。亚博yabo888vip网页版电缆行业的CableLabs制造商和电缆宽带运营商不断合作，以提高效率、可靠性和安全性。

在安全性方面，DOCSIS网络率先大规模使用公钥密码学——DOCSIS公钥基础设施(pki)是世界上最大的pki之一，每天在全球范围内发布和积极使用5亿份有效证书。

接下来，我们将简要介绍DOCSIS安全性的历史，并研究当前授权框架的局限性，然后描述新版本的授权(和身份验证)框架引入的安全属性，以解决当前的局限性。

DOCSIS安全之旅

在有线电视网络中为用户提供连接和服务的DOCSIS协议在最新版本中经历了一系列与安全相关的更新DOCSIS 4.0，以协助满足10G平台的要求。

在第一个DOCSIS 1.0规范中，射频(RF)接口包括三个安全规范:安全系统(security System)、可移动安全模块(Removable security Module)和基线隐私接口亚博苹果版怎么下载(Baseline Privacy interface)。结合起来，安全系统加上可移动安全模块规范成为完全安全(FS)。

在授权过程中采用公钥密码学后不久，电缆行业意识到需要一种安全的方式来验证设备;为DOCSIS 1.1-3.0设备建立DOCSIS PKI，以提供具有可验证身份的电缆调制解调器。

在DOCSIS 3.0规范中，主要的安全特性是能够在设备注册过程的早期执行身份验证和加密，从而为重要的配置和设置数据(例如CM或DHCP流量的配置文件)提供保护，否则这些数据是不受保护的。这项新功能被称为早期授权和加密(EAE)，它允许在设备配备IP连接之前启动基线隐私接口加(BPI)。

的DOCSIS 3.1规亚博苹果版怎么下载范创建一个新的公开密码匙基础设施*(PKI)，以处理新类别设备的身份验证需求。在密码学方面，这个新的PKI引入了对原始PKI的几个改进——更新的算法集和增加的密钥大小是对遗留PKI的主要变化。目前用于保护DOCSIS 3.1设备的新PKI也将为更新的DOCSIS 4.0设备提供证书。

DOCSIS 4.0版本的规范在众多创新中引入了一个改进的身份验证框架(BPI Plus V2)，该框架解决了BPI Plus当前的局限性，并实现了新的安全属性，如完全算法敏捷性、完全前向保密(PFS)、相互消息身份验证(MMA或MA)和降级攻击保护。

基线隐私附加V1及其限制

在DOCSIS 1.0-3.1规范中亚博苹果版怎么下载，当启用基线隐私+ (BPI+ V1)时，CMTS通过向CM提供授权密钥(Authorization Key)直接授权CM，然后使用授权密钥派生所有授权和加密密钥材料。然后使用这些秘密来保护CM和CMTS之间的通信。在此安全模型中，假定CMTS是受信任的，并且不验证其身份。

图1:BPI +授权交换

BPI+ V1的设计可以追溯到几年前，在这段时间里，安全和密码学领域发生了巨大的变化;尤其是在密码学方面。在BPI+设计的时候，加密社区设置在使用RSA公钥算法，而今天，由于椭圆曲线密码和ECDSA签名算法的效率，特别是在需要RSA 3072或更大的密钥时，使用椭圆曲线密码和ECDSA签名算法占主导地位。

BPI+中缺少的一个特性是对授权消息缺乏身份验证。特别是，CMs和CMTS-es不需要对自己的消息进行身份验证(即签名)，这使得它们容易受到未经授权的操作。

近年来,已经有很多讨论验证,以及如何确保妥协的长期凭证(例如,关联的私钥证书)不提供访问该用户的所有会话的清晰(例如,允许所有记录会议打破单一的解密密钥)——因为BPI + V1直接使用RSA公钥加密授权密钥在CM的设备证书,它不支持完全向前保密。

为了解决这些问题，有线电视行业致力于其授权协议的新版本，即BPI Plus version 2。在此更新中，需要一种保护机制来防止降级攻击，即攻击者强制使用较旧且可能较弱的协议版本。为了解决这个可能的问题，DOCSIS社区决定需要一个特定的保护机制，并引入了首次使用信任(豆腐)机制来解决这个问题。

新的基线隐私+ V2

的DOCSIS 4.0规范引入了一个新版本的身份验证框架，即基线隐私+版本2，它通过为已识别的新安全需求提供支持来解决BPI+ V1的局限性。以下是BPI+ V2提供的新安全属性的摘要，以及它们如何解决当前的限制:

• 消息身份验证。BPI+ V2授权消息完全验证。对于CM来说，这意味着它们需要对授权请求消息进行数字签名，从而消除了攻击者用另一个CM证书替换CM证书的可能性。对于CMTS-es, BPI+ V2要求它们对自己的授权应答消息进行身份验证。此更改向当前授权机制添加了显式身份验证步骤。DOCSIS 4.0规范在认识到部署相互消息身份验证的必要性的同时，允许一个过渡时期，其中设备仍然允许使用BPI+ V1。这种选择的主要原因与对DOCSIS网络施加的新要求有关，在启用BPI+ V2(相互身份验证)时，现在需要获取和更新DOCSIS凭据。
• 完全向前保密。与BPI+ V1不同，新的身份验证框架要求双方都参与从经过身份验证的公共参数派生授权密钥。特别地，在通信的双方(即CM和CMTS)引入消息身份验证，使BPI+ V2能够使用椭圆曲线Diffie-Hellman Ephemeral (ECDHE)算法，而不是由CMTS直接为不同的CM生成和加密密钥。由于授权消息上的身份验证，使用ECDHE对MITM攻击是安全的。
• 算法的灵活性。随着经典计算和量子计算的进步为用户提供了令人难以置信的计算能力，它也为恶意用户提供了同样不断增长的能力。BPI+ V2消除了BPI+ V1中对特定公钥算法的协议依赖。，通过引入标准CMS格式进行消息认证(即签名)，并结合ECDHE的使用，DOCSIS 4.0安全协议有效地将X.509证书中使用的公钥算法与密钥交换算法解耦。这允许在安全或操作需要时使用新的公钥算法。
• 降级攻击保护。引入了一种新的信任首次使用(豆腐)机制来提供对降级攻击的保护——尽管豆腐机制背后的原则并不新鲜，但它用于保护降级攻击是新的。它利用第一次成功授权期间使用的安全参数作为未来授权的基线，除非另有说明。通过建立认证协议的最低要求版本，DOCSIS 4.0电缆调制解调器可积极防止未经授权使用DOCSIS认证框架(BPI+)的较弱版本。在采用新版本协议的过渡期间，有线电视运营商可以允许“有计划”的降级——例如，当发生节点分裂或更换故障设备时，BPI+ V2没有启用。换句话说，成功验证的CMTS可以在CM上设置用于后续身份验证的允许的最小版本(以及其他CM-CMTS绑定参数)。

未来的工作

在本文中，我们简要介绍了DOCSIS安全性的历史，并回顾了当前授权框架的局限性。随着CMTS功能进入不可信领域，这些限制可能会转化为安全威胁，特别是在Remote PHY等新的分布式体系结构中。虽然DOCSIS 4.0已进入最后审批阶段，但安全工作组目前正在处理拟议的更改。

我们一直鼓励成员组织和DOCSIS设备供应商参加我们的DOCSIS工作组——如果您符合资格，请联系我们并参加我们每周的DOCSIS 4.0安全会议，在会议上讨论这些以及其他与安全相关的主题。

如果你有兴趣了解更多细节DOCSIS 4.0而且10 g安全，请不要客气联系我们以获得更深入和更新的信息。