为了应对COVID，我们都调整了工作、娱乐和社交的方式。这提高了人们对我们的宽带网络至关重要的认识——它们需要安全。有线电视行业长期专注于提供一流的网络安全我们将继续创新，为用户提供10G的体验。

亚博yabo888vip网页版CableLabs®参与了混合光纤同轴(HFC)和无源光网络(PON)技术的开发。这包括电缆数据服务接口规范(DOCSIS®)技术的开发和维护，该技术能够在HFC网络上提供宽带互联网服务。我们与网络运营商和网络设备供应商密切合作，以确保这两类网络的安全。让我们回顾一下这两种网络架构，然后讨论HFC和PON网络面临的威胁。我们将看到物理介质(光纤或同轴电缆)对有线网络的安全性影响不大。我们将讨论这两种架构，最后简要讨论DOCSIS HFC网络的安全性。

HFC和PON体系结构综述

下面的图表说明了两者的相似之处HFC和PON的差异．

HFC和基于pon的FTTH都是点对多点的网络架构，这意味着在这两种架构中，网络的总容量都由网络上的所有用户共享。最关键的是，从安全角度来看，这两种架构中的所有下行用户通信都存在于用户的终端网络元件—电缆调制解调器(CM)或光网络单元(ONU)。这就需要对这些通信进行保护，以确保保密性。

在HFC网络中，光纤部分位于服务于都市区(或其部分)的枢纽或前端和服务于社区的光纤节点之间。光纤节点将光信号转换为射频，然后通过同轴电缆将信号发送到附近的每个家庭。这种混合架构能够持续提高宽带性能，支持更高的用户带宽，而无需在整个社区更换同轴电缆。值得注意的是，DOCSIS HFC网络中与终端用户的通信通道在网络的同轴(无线电)和光纤部分上都通过加密受到保护。

FTTH最常使用无源光网络(PON)架构进行部署，该架构使用共享光纤直到接入网中的一个点，在这个点上，光信号使用一个或多个无源分光器进行分割，并通过光纤传输到每个家庭。该连接的网络端是一个光线终端(OLT)，用户端是一个ONU。PON有很多标准。最常见的两种是千兆无源光网络(GPON)和以太网无源光网络(EPON)。值得注意的一个有趣的架构选项是，CableLabs开发了一种机制，允许电缆运营商管理EPON技术，就像亚博yabo888vip网页版他们管理DOCSIS HFC网络上的服务一样——DOCSIS EPON供应。

在HFC和PON架构中，都使用加密来确保下行通信的机密性。在DOCSIS HFC网络中，加密是双向使用的，通过对两个通信进行加密来用户的电缆调制解调器(下行)和通信从用户的电缆调制解调器(上行链路)。在PON中，双向加密也是可用的。

攻击者的观点

对手(黑客)如何看待这些网络?攻击者可利用四种攻击媒介来利用接入网:

• 攻击者可以直接攻击接入网(例如，窃听同轴电缆或光纤电缆)。
• 它们可能从服务的网络端(通常称为广域网(WAN)端)攻击客户端设备(CPE)。
• 他们可能从家庭网络端或局域网(LAN)端攻击CPE设备。
• 他们还可能攻击网络运营商的基础设施。

攻丝光纤或同轴电缆都是可行的。事实上，允许授权技术人员对光纤和同轴电缆进行合法故障排除和管理的工具比比皆是。一个不正确的假设是认为光纤攻丝相对于同轴电缆攻丝是困难的或高技术性的。你可以很容易地在互联网上找到几个例子，如何简单地做到这一点。根据访问媒体的位置，所有用户通信可能在上行链路和下行链路端都可用。然而，HFC和PON网络都支持对这些通信进行加密，如上所述。当然，这并不意味着对手不能干扰通信。在这两种情况下，他们都可以这样做。然而，这样做仅适用于通过特定光纤或同轴电缆传输的房屋;袭击是局部的，规模不大。

对于其他攻击载体，HFC或PON网络的风险是相同的。CPE和网络基础设施(如olt或cmts)必须对本地和远程攻击进行加固，而不考虑传输介质(如光纤、同轴电缆)。

运营商可使用的安全工具

在HFC和PON架构中，网络运营商都可以为用户提供同等级别的网络安全。保护这两个体系结构的三个主要工具依赖于密码学。这些工具是身份验证、加密和消息散列。

• 身份验证是使用某种秘密进行的。在HFC的情况下，挑战和响应是基于由公钥基础设施(PKI)支持的非对称加密来使用的。在FTTH部署中，机制可能依赖于预共享密钥、PKI、EAP-TLS (IETF RFC 5216)或其他一些方案。端点的身份验证应该定期重复，这在CableLabs DOCSIS规范中得到了支持。亚博yabo888vip网页版定期的重新身份验证增加了连接到网络的所有端点都是合法的并为网络运营商所知的保证。
• 加密提供了保持通信私密性的主要工具。HFC中的用户通信使用身份验证步骤中协商的加密密钥进行加密，使用DOCSIS基线隐私接口+ (BPI+)规范。亚博苹果版怎么下载FTTH的加密实现不同。在HFC和PON中，目前最常用的加密算法是AES-128。
• 消息散列确保了系统中消息的完整性，这意味着一旦发送消息，就不能在没有检测到的情况下更改消息。有时这种功能内置在加密算法中。在DOCSIS网络中，所有来自电缆调制解调器的用户通信都经过哈希处理以确保完整性，一些网络控制消息还接受额外的哈希处理。

重要的是要了解这些加密工具在网络中的应用位置。在DOCSIS HFC网络中，电缆调制解调器和CMTS之间的用户通信受到保护。如果CMTS功能是由其他设备提供的，如远程PHY设备(RPD)或远程MACPHY设备(RMD)，则DOCSIS终止于此。但是，DOCSIS HFC体系结构还提供了身份验证和加密功能来保护到集线器的链接。在FTTH中，加密工具在ONU和OLT之间提供保护。如果OLT被远程部署，就像rpd或rmd的情况一样，回程链路也应该以类似的方式进行保护。

现实——有线电视的安全性

概述HF亚博苹果版怎么下载C和PON应该如何部署的规范和标准提供了良好的基于密码的工具来验证网络访问并保持网络和订阅者信息的机密性。管理层架构组件的安全性可能因操作人员而异。然而，运营商非常擅长保护电缆调制解调器和onu。而且，当我们的对手创新新的攻击时，我们致力于整合新的能力来应对这些攻击——网络安全创新是安全工程的文化必要性!

建立在二十年的经验Ca亚博yabo888vip网页版bleLabs继续推进DOCSIS规范中可用的安全功能，很快就能使新的或更新的HFC部署更加安全，并为10G做好准备。DOCSIS 4.0规范有介绍了几种先进的安全控制，包括相互认证，完善的前向保密，以及提高网络凭证(如私钥)的安全性。考虑到我们对光网络和HFC网络技术的浓厚兴趣，CableLabs将确保其自己的PON架构规范采用这些新的安全功能，并将继续与其他标准机构合作。亚博苹果版怎么下载亚博yabo888vip网页版

正如我在第1部分和本系列中的2个在美国，网络安全是复杂的。安全工程师依靠基本原则的应用来保持他们的工作易于管理。在本系列的第一部分中，我重点介绍了保密，在第二部分中，我讨论了完整性．在本系列的第三部分(也是最后一部分)中，我将回顾可用性。这三个原则的一致应用对于确保宽带上的优秀用户体验至关重要。

定义可用性

与网络安全中的大多数事情一样，可用性是复杂的。在安全的背景下，宽带服务的可用性可确保授权用户及时可靠地访问和使用信息。当然，实现这一目标可能具有挑战性。在我看来，这个主题在安全专业人员中代表性不足，我们必须依靠额外的专业知识来实现我们的可用性目标。确保可用性的支持工程规程是可靠性工程。关于如何设计系统以实现所需的可靠性和可用性，有许多书籍提供了详细的见解。

可靠性和可用性这两个概念有什么不同?可靠性关注的是系统在特定条件下在一段时间内如何运行。相比之下，可用性关注的是系统在特定时刻或时间间隔内运行的可能性。还有一些重要的附加术语需要理解——质量、弹性和冗余。以下各段将讨论这些问题。想要了解更多细节的读者可以考虑查看一些关于可靠性工程的论文ScienceDirect．

质量:我们需要确保我们的体系结构和组件满足需求。我们通过质量保证和可靠性实践来做到这一点。软件和硬件供应商实际设计、分析和测试他们的解决方案(包括在开发阶段，然后作为发布和集成测试的一部分)，以确保它们实际上满足了可靠性和可用性需求。当结果不充分时，供应商应用流程改进(可能包括重新设计)，使他们的设计、制造和交付流程符合可靠性和可用性需求。

弹性:然而，这还不够。我们需要确保我们的服务是有弹性的——也就是说，即使某些东西失败了，我们的系统也会恢复(有些东西会失败——事实上，随着时间的推移，许多东西都会失败，有时是同时失败)。在使我们的网络具有弹性时，我们要解决几个关键方面。一种是，当某个部件出现故障时，它会向操作员发出非常响亮的信号，这样操作员就知道发生了故障——故障部件会向管理系统发送消息，或者它所连接或依赖的系统会告诉管理系统该部件正在故障或失败。另一个原因是系统可以优雅地恢复。它会自动从失败的位置重新启动。

冗余:最后，我们应用冗余。也就是说，我们设置了体系结构，以便复制关键组件(通常是并行的)。这可能发生在一个网络元素(例如有两个网络控制器或两个电源或两个冷却单元)中，并具有从一个单元到另一个单元的故障转移(以及适当的网络管理通知)。有时，我们将使用集群来分配负载并实现冗余(有时称为M:N冗余)。有时，我们会有冗余网络元素(通常用于数据中心)或网络元素如何通过网络连接的多条路由(使用以太网、Internet甚至SONET)。在物理冗余不合理的情况下，我们可以引入跨其他维度的冗余，包括时间、频率、通道等。网络元素应该包含多少冗余取决于平衡可靠性和可用性以实现服务需求的数学计算。

我已经多次提到需求。我指的是什么要求?一个典型的，但不是唯一的，甚至不一定是最重要的是平均故障间隔时间(MTBF)。此统计数据表示统计的或预期的给定关注元素故障之间的平均时间长度，通常为数千小时(对于一些关键的很好理解的组件，甚至是数百万小时)。有一些变化。例如，希捷切换到年化故障率(AFR)，这是“每年可能的故障百分比，基于[测量或观察到的故障]在制造商的同类安装单元的总数(见希捷链接)在这里)．然而，这里的关键是要记住，MTBF和AFR是基于分析和测量性能的统计预测。在软件、硬件和服务层评估和度量可用性也很重要。如果您的测量没有达到您为服务设定的目标，那么就需要进行改进。

这里是临别提示。许多人谈论可用性是根据服务(或元素)在一年中的时间百分比。这些问题被抛出，比如“你有多少个9 ?”例如，“我的服务在4x9s(99.99%)可用?”这通常是一种误用的估计，因为用户通常不知道要测量什么，它适用于什么(例如，估计中包括什么)，甚至不知道如何进行测量的基础。尽管如此，在有证据支持的情况下，尤其是有统计可信度的情况下，它还是很有用的。

关于可用性的警告

最后，事情会失败。你的统计数据有时会被发现有缺陷。因此，还必须考虑从失败中恢复所需的时间。换句话说，你的维修时间是多少?当然，也有统计数据来估计这一点。一个常见的方法是平均修复时间(MTTR)。这似乎是一个简单的术语，但事实并非如此。实际上，MTTR是衡量系统可维护性或可修复性的统计数据。测量和估计修复时间是至关重要的。修复时间可能是不可用性的主要原因。

所以，我们为什么不让一切都变得可靠，让我们所有的服务都高度可用呢?归根结底，这可以归结为两件事。第一，你无法充分预测所有事情。这一弱点在安全性方面尤其重要，这也是可用性被列为三个安全性基础之一的原因。您无法很好地或轻松地预测对手将如何攻击您的系统并中断服务。当不可预测的情况发生时，你要想办法解决它，并相应地更新你的统计模型和分析;你更新了衡量可用性和可靠性的方法。

第二件事是简单的经济因素。高可用性是昂贵的。这真的很贵。几年前，我和Jason Rupe博士(我今天在CableLabs的同事之一)一起在工程和架构大都市、区域和全国范围的光纤网络方面做了很多工作。亚博yabo888vip网页版通过大量研究，我们发现，一般的经验法则是，在典型的网络中，可用性每增加“9”，服务成本就会增加2.5倍左右。听起来很极端，不是吗?两点之间(区域或国家)的私有线路或以太网电路的典型可用性通常报价在99%左右。这是一段很长的停机时间(每年超过80个小时)——而且这不会在一年内全部发生在可预测的时间内。通常情况下，将这一时间缩短到每年9小时左右，即99.9%的可用性，将花费2.5倍的成本。当然，架构和技术确实很重要。 This is just sharing my personal experience. What’s the primary driver of the cost? Redundancy. More equipment on additional paths of connectivity between that equipment.

可用性挑战

高可用性、高性价比接入网的设计面临着许多挑战。冗余是一个挑战。它是在经济上合理的地方实现的，特别是在中心、前端或核心网络上的CMTS、路由器、交换机和其他服务器元素上。在HFC工厂实现这一点有点难。因此，设计人员和工程师往往更关注组件和软件的可靠性，并确保CMs、节点、放大器和所有其他使DOCSIS®工作的元素。最后，我们测量我们的网络。DOCSIS®是跟踪和分析网络故障原因以及最大化服务故障间隔时间的主要工具主动网络维护(PNM)．PNM用于识别物理射频设备中的问题，包括无源和有源设备(抽头、节点、放大器)、连接器和同轴电缆。

从严格的安全角度来看，可以做些什么来提高服务的可用性?拒绝服务攻击通常在网络的入口点(边界路由器)通过清洗进行监视和缓解。另一个主要工具是通过身份验证和访问控制确保授权访问。

在我们的安全策略中考虑可用性是很重要的。安全工程师经常过于关注活跃对手造成的威胁。我们还必须考虑其他影响用户体验可用性的因素。可用性是一个基本的安全组件，就像机密性和完整性一样，应该包含在任何安全设计策略中。

可用性策略

可靠性和安全工程师可能应用的策略和工具是什么?

• 建模您的系统并勤勉地评估可用性。包括传统系统可靠性工程故障和工况，也包括安全故障和攻击。
• 在向客户公开之前执行良好的测试。换句话说，实施质量控制和过程改进实践。
• 当冗余不切实际时，元素的可靠性就成为关键的可用性设计考虑因素。
• 测量和改进。PMN可以显著提高可用性。但要衡量重要的东西。
• 与供应商合作，确保整个网络、系统和供应链的可靠性、可用性和可维修性。
• 充分利用PNM。DOCSIS®等解决方案将网络问题和服务问题分离开来。PNM可以让运营商利用这种差异，在网络问题变成服务问题之前解决它们。
• 请记住，修复时间可能是整体可用性和客户体验的主要因素。

安全性的可用性

在安全策略中考虑可用性是很重要的。安全工程师经常过于关注活跃对手造成的威胁。我们还必须考虑其他影响用户体验可用性的因素。可用性是一个基本的安全组件，像机密性和完整性一样，应该包含在任何设计安全策略中。

你可以点击下面阅读更多关于10G和安全的信息。

让我们重温一下基本原理安全今年保安意识月第2部分:的完整性。

正如我在本系列的第1部分中所讨论的，网络安全是复杂的。安全工程师依靠基本原则的应用来保持他们的工作易于管理。第一篇博客关注的是机密性。第二部分将讨论完整性。严肃的第三部分也是最后一部分将审查可用性。这三个原则的一致应用对于确保宽带上的优秀用户体验至关重要。

几乎每个使用宽带的人都有一些保密意识，尽管大多数人可能认为只有加密才能实现保密。这并不神秘——我们的浏览器甚至会告诉我们会话何时是“安全的”(这意味着他们在给定服务器上发起的会话至少使用了HTTPS加密)。诚信则更为隐晦和鲜为人知。它的实施也不那么广泛，而且并不总是很好。

定义完整性

在他们的特别出版物“信息安全导论”中，NIST将完整性定义为“数据自创建、传输或存储以来未以未经授权的方式被更改的属性”。这个定义是一个很好的起点，但它可以在今天的网络安全背景下扩展。完整性不仅需要应用于数据，还需要应用于存储和处理数据的硬件和软件系统以及连接这些系统的网络。最终，诚信是要证明事情是它们应该是这样的，它们没有被故意或无意或意外地(像魔法一样)以意想不到或未经授权的方式改变。

这是怎么做到的?好吧，这个答案取决于您将完整性控制应用于什么。(再次强调，这篇博文并不是关于细节的深入教程，而是一个简单的更新和概述。)确保完整性的最简单和最广为人知的方法是使用签名。大多数人在签署文件或写支票时都很熟悉这个。大多数人都知道银行，或者我们为其签署文件的任何人，都知道签名并不完美，所以你经常必须出示身份证件(护照、驾照等)，以证明你是在文件或支票上签名的一方。

我们也可以在信息系统中实现类似的步骤，尽管过程略有不同。我们用数学方法生成数据的签名;事实上，完整性是密码学的一个领域，是加密的补充。签名由两个部分或步骤组成。首先，数据通过一个称为哈希的数学函数运行。哈希只是一个单向过程，它将大量数据减少到几个位(典型的是128-256位)，在计算上很难逆转，并且不太可能使用不同的数据进行复制。这通常被称为摘要，并且该摘要不太可能使用不同的源数据进行复制(我们称之为冲突)。仅这一点就很有用，并在信息系统中以多种方式使用。但它不能证明数据的来源或数据的真实性。它只是显示它是否被改变了。 If we encrypt the digest, perhaps using asymmetric cryptography supported by a public key infrastructure, we produce a signature. That signature can now be validated through a cryptographic challenge and response. This is largely equivalent to being asked to show your ID when you sign a check.

需要注意的一件事是加密并不能确保完整性。尽管拦截加密消息的对手可能无法读取该消息，但他们可能能够修改加密文本并将其发送给预期的收件人。该更改可以被解密为有效。在实践中，这是很困难的，因为如果不了解原始消息，任何更改都可能只是胡言乱语。然而，有些攻击中原始消息的结构是已知的。一些密码也包含完整性保证，但不是所有的。因此，实现者需要考虑什么对给定的解决方案是最好的。

正直的方法

完整性应用于运动和静止的数据，以及应用于系统、软件，甚至供应链，都有些不同。下面是每个领域的工具和方法的简要总结:

• 运动中的信息:上述签名方案如何应用于数据传输?最常见的方法使用的过程与上面描述的非常相似。基于哈希的消息认证码是一种协议，它创建数据包的摘要，然后用密钥对该摘要进行加密。公钥用于证明摘要是由授权来源生成的。一个旧的但仍然相关的HMAC描述是IETF提供的RFC 2104在这里．
• 静止信息:在许多方面，保证存储服务器或工作站上文件的完整性比传输信息的完整性更具挑战性。通常，存储由许多组织或部门共享。应该使用哪些密钥来生成这些文件的签名?有时候，事情被简化了。访问控制可用于确保只有授权方才能访问文件。当访问控制有效时，可能只有对数据文件进行哈希处理才能证明完整性。同样，一些加密方案可以包含完整性保护。上述关键问题仍然是一个挑战。大多数存储解决方案，无论是专有的还是开源的，都提供了广泛的完整性保护选项，对于安全工程师来说，为给定的应用程序设计最佳解决方案可能具有挑战性。
• 软件软件当然是一种特殊类型的信息。因此，如何将完整性保护应用于静止信息的想法也适用于保护软件。然而，如何在带有实时构建的现代系统中使用软件增加了额外的需求。也就是说，这意味着在给定的系统使用软件之前，该软件应该被验证为来自授权来源，并且自该来源提供后没有被更改过。生成摘要然后加密摘要以形成签名的相同概念也适用，但是在加载和使用软件之前需要验证该签名。在实践中，这在一些生态系统中做得很好，而在其他系统中做得很差或根本没有。在电缆系统中，我们使用一个称为安全软件下载的过程来确保下载到电缆调制解调器的固件的完整性。(见第14节数据线上业务接口规范亚博苹果版怎么下载）
• 系统系统由硬件和软件组成，但硬件的整体操作往往由存储在文件和软件中的配置和设置控制。如果修改了文件和软件，会影响系统的正常运行。因此，系统的完整性应该被跟踪和定期评估。系统的完整性可以通过认证来跟踪——基本上生成整个系统的摘要，然后将其存储在受保护的硬件中，并将其报告给安全的认证服务器。可以检查对系统的任何更改，以确保它们是经过授权的。的文档详细记录了此操作的过程可信计算组．由可信计算组精心编写的另一个进程是可信引导。可信引导使用硬件中包含的安全模块，使用认证执行操作系统或虚拟环境的经过验证的启动。
• 供应链完整性控制最近的一个重点领域是供应链。您如何知道您的硬件或软件来自哪里?你订购的系统是你收到的系统吗?供应链管理可以使用广泛的工具来证明，分布式账本或区块链技术的应用是一种流行的方法。

诚信的威胁

诚信面临哪些威胁?反复影响网络运营商及其用户的一个例子是改变网关上的DNS设置。如果攻击者可以将网关上的DNS服务器更改为他们控制的服务器(结合强大的访问控制将这种风险降至最低)，那么他们可以有选择性地将DNS查询重定向到看起来像真实方的欺骗主机(例如，银行、信用卡公司、慈善网站)，并获得客户的凭据。然后，攻击者可以使用这些凭据访问合法网站，并做任何允许的事情(例如，清空银行账户)。这也可以通过更改查询遍历的受损路由器或其他服务器上正在运行的DNS查询来实现(HMAC或具有完整性保护的加密将防止这种情况发生)。软件攻击甚至可以发生在源头，也可以发生在供应链的中间点。被篡改的软件是一种将恶意软件引入终端的普遍方式，而且由于该软件看起来是合法的，因此很难检测到。(想想《连线》杂志的文章，供应链黑客将恶意软件潜入视频游戏”)。

诚信的未来

电缆技术已经解决了许多完整性威胁。如上所述，DOCSIS技术已经包括了对安全软件下载的支持，以提供固件的完整性验证。这解决了软件供应链和篡改固件的问题。HMAC也支持我们的许多管理协议。未来的控制将包括可信引导和加强保护我们的加密密钥(也用于签名)。我们正在为虚拟服务交付设计解决方案，完整性控制广泛地包含在正在开发的容器和虚拟机体系结构中。

为我们的工具添加完整性控制，以确保机密性，提供深度防御。它是一个基本的安全组件，应该包含在任何安全设计策略中。你可以点击下面阅读更多关于安全的信息。

网络安全意识月——学习时间!

网络安全是一个复杂的话题。解决网络安全问题的工程师不仅必须是安全专家;他们还必须是所掌握技术的专家。此外，他们必须了解他们支持和使用的技术可能容易受到攻击的方式。

另一个复杂的层面是技术一直在发展。与此同时，我们的对手也在不断改进他们的攻击方法和技术。我们要怎么控制这一切呢?我们必须掌握安全基础知识。我们需要能够从基本原则开始，并在此基础上扩展我们的安全工具、技术和方法:让事情变得不太复杂，以确保安全可靠的用户体验。

为了庆祝网络安全意识月在这篇文章中，我想用一系列的博客文章来阐述关于安全的一些基本知识，并从一个全新的角度来解释为什么这些概念仍然是网络安全的重要关注领域。

三个目标

在最基本的层面上，有线和无线网络安全的三个主要目标是确保安全保密，完整性和可用性的服务。NIST在其特别出版物中很好地记录了这些概念，“信息安全概论”。

• 保密确保只有授权的用户和系统才能访问给定的资源(例如，网络接口、数据文件、处理器)。这是一个非常容易理解的概念:最著名的保密方法是加密。
• 完整性这个功能稍微晦涩一些，可以防止对数据和系统进行未经授权的更改。它还包括不可抵赖性的思想，这意味着给定消息(或包)的来源是已知的，并且不能被该来源否认。
• 可用性是安全三位一体的无名小卒。它经常被遗忘，直到服务可用性失败被认为是“一个真正的问题”。这是不幸的，因为确保可用性的工程非常成熟。

在本系列的第1部分中，我将重点讨论机密性。我将在随后的两篇博客中讨论完整性和可用性。

正如我提到的，保密是大多数人都知道的一种安全功能。加密是确保机密性最常用的方法。我不会深入讲解加密的基础知识。然而，值得讨论的是原则。加密是利用空间、能量和时间运用数学来确保只有拥有正确秘密(通常是密钥)的各方才能读取某些数据。理想情况下，所使用的数学方法应该需要更大的空间、功率或时间，以便未经授权的一方没有正确的秘密来读取数据。为什么这很重要?因为只有在使用的数学是合理的情况下，加密才能提供机密性，而对手读取数据所需的相应空间、功率和时间是不切实际的。这通常是一个很好的假设，但历史表明，随着时间的推移，给定的加密解决方案最终将变得不安全。因此，应用其他方法来提供保密性也是一个好主意。

有哪些方法呢?最终，其他解决方案阻止了对受保护数据的访问。其概念是，如果您阻止(物理上或逻辑上)对受保护数据的访问，那么未经授权的方就无法解密数据。该领域的解决方案主要分为两种策略:访问控制和分离．

访问控制验证访问数据或使用资源(如网络)的请求是否来自授权的来源(使用网络地址和其他凭据进行标识)。例如，ACL (access control list)用于在网络中限制资源访问到特定的IP或MAC地址。另一个例子是，可以使用加密质询和响应(通常由公钥加密启用)来确保请求实体拥有访问数据或资源的“正确凭据”。我们每天都在使用的一种方法是密码。每次我们“登录”到某个东西，比如一个银行账户，我们提供了我们的用户名(身份)和我们的(希望是)秘密密码。

分离是保密的另一种方法。分离的一个极端例子是建立一个完全独立的网络体系结构来传输和存储机密信息。政府经常使用这种策略，但即使是大型企业也将其用于“专用线路网络”。不那么极端的方法是使用某种形式的标识或标记来封装数据包或帧，以便只有经过授权的端点才能接收流量。这是通过使用虚拟局域网(vlan)在以太网中实现的。每个帧都由端点或它所连接的交换机用VLAN标签标记，并且只有在同一VLAN中的端点才能接收来自该源端点的流量。更高的网络层解决方案包括IP虚拟专用网(vpn)或多协议标签交换(MPLS)。

对保密的威胁

对保密的威胁是什么?我已经暗示过加密并不完美。给定的加密方法所基于的数学有时是有缺陷的。这种类型的缺陷可以在最初的数学发展几十年后被发现。这就是为什么传统上使用由适当的政府组织(如NIST或ENISA)批准的密码套件非常重要。这些组织与研究人员合作，开发、选择、测试和验证给定的加密算法，证明它们是可靠的。

然而，即使算法是合理的，它在代码或硬件中的实现方式也可能存在系统性错误。例如，大多数加密方法都需要使用随机数生成器来执行某些函数。如果给定的加密代码库使用的随机数生成器在某种程度上是有偏差的(不是真正的随机)，那么实现对加密数据的未经授权访问所需的空间、功率和时间可能比预期的要少得多。

目前的密码学方法面临的一个迫在眉睫的威胁是量子计算。与传统计算机相比，量子计算机使新的算法能够减少解决某些特定问题所需的功率、空间和时间。对于密码学，两种这样的算法是Grover 's和Shor 's。

格罗弗的算法。Grover的量子算法解决了进行非结构化搜索所需的时间长度(计算次数)。这意味着要读取一段给定的加密数据，可能需要一半的猜测次数来猜测秘密(密钥)。考虑到目前常用的加密算法，这些算法可以为20年来的传统密码分析提供机密性，Grover的算法只是一个中等威胁，直到您考虑到这些加密算法的某些实现中的系统弱点可能导致不理想的安全性。

肖的算法．肖尔的量子算法是一个更严重的威胁，特别是对非对称密码学。当前的非对称密码学依赖于假设很难将整数分解为质数(如Rivest-Shamir-Adleman算法所使用的)或在数学函数或领域中猜测给定数字(如椭圆曲线密码学所使用的)的数学。肖尔的量子算法使得分解工作非常快;事实上，如果有一台足够大的量子计算机能够执行算法，几乎可以立即分解这些数学。

理解保密和隐私之间的关系很重要。它们不一样。机密性保护通信内容或数据不受未经授权的访问，但隐私不仅限于保护机密性的技术控制，还包括如何使用个人数据的商业实践。此外，在实践中，对于某些数据，安全基础设施可能要求在网络上运行时对其进行加密，但在服务器上静止时可能不需要加密。此外，在安全环境中，保密性几乎是一个直接的技术主题，而隐私是关于与个人数据使用相关的权利、义务和期望。

我为什么要把它提上来?因为违反保密也可能是对隐私的侵犯。因为在许多情况下，仅应用保密工具并不能满足隐私要求。安全工程师——对抗工程师——需要记住这些事情，并记住今天侵犯隐私会导致罚款和公司品牌损害的实际成本。

哇!这一切都比我预想的要复杂一些——让我们结束这篇博客吧。有线和无线网络已经实现了许多保密解决方案。WiFi, LTE，还有DOCSIS技术它们都使用加密来确保它们用来传输数据包的共享媒介的机密性。密码算法DOCSIS技术通常使用AES128，它经受住了时间的考验。我们可以预测未来的进展。一个是NIST倡议选择一种新的轻量级密码——比AES使用更少的处理资源。亚博全球最大投注平台这是一件大事。为了稍微降低安全性(使用一种有点模糊的称为“安全位”的度量标准来衡量)，NIST正在考虑的一些候选方案可能会使用与AES128相比一半的功率或空间。这可能会转化为使用新密码的端点的更低成本和更高可靠性。

电缆行业(包括CableLabs)继续跟踪的另一个领域是抗量子密码学。亚博yabo888vip网页版这里有两种方法。一种是使用量子技术(生成密钥或传输数据)，这种技术可能天生就不受基于量子计算机的密码分析的影响。另一种方法是使用在传统计算方法上实现的抗量子算法(例如，使用肖尔和格罗弗算法抵抗密码分析的新数学)。这两种方法都显示出巨大的前景。

这里有一个关于机密的快速审查。接下来呢?的完整性。

想了解更多关于网络安全的知识?注册参加我们即将举行的网络研讨会:链中的链接:CableLabs关于区块链正在发生的事情的入门。亚博yabo888vip网页版屏蔽你的日历。把自己拴在电脑上。您不会想错过这个关于区块链和分布式账本技术状态的网络研讨会，因为它与有线和电信行业有关。

本文的一个版本出现在宽带图书馆．

区块链是今天的一个大多数讨论和可见的技术．一些技术专家认为区块链是自互联网诞生以来最重要的技术创新。许多研究人员已经开始看到区块链应用于物联网(IoT)安全，提供更好的消费者控制和隐私权利和选项的透明度，私营和公共部门的投票等等。然而，对于很大一部分人来说，区块链仍然是个谜。是什么?它如何应用于有线电视行业呢?

什么是区块链？

要找到一个不涉及分布式数据库或比特币引用的区块链定义可能很困难。也许一个简单但简洁的定义是，区块链是一种不可变的、分布式的交易记录保存方法——对参与社区可见的分类帐。

• 不可变的表示不能修改区块链中包含的信息。
• 分布式意味着信息在许多参与者之间复制(用比特币来说，节点)．
• 分类帐暗示区块链记录事务。
• 对参与社区可见意味着记录在分类帐中的每个事务对区块链的每个参与者(用户或实现者)都是可见的。

简而言之，区块链是一件大事。它的好处是通过密码学(应用数学来保护数据)和网络算法(允许分布式系统管理共识)的协同实现的。结合这些概念，区块链提供了创建交易历史的能力，而更改交易历史的成本要比创建交易历史的成本高得多。我们以前从未有过这种能力。修正主义历史学家应该担心了!

区块链和有线电视炒作vs.现实

要了解区块链如何应用于有线电视，我们必须抛开炒作。根据炒作:

• 区块链是解决现有所有信任和安全问题的最佳技术。但事实并非如此。
• 区块链是去中介化的秘密，它可以消除中间商，人们不需要知道他们在和谁交易。这当然是有争议的，但也有可能是真的。但是有多少人认为去掉中间商效果很好呢?

现实是，区块链允许我们创建交易历史(我们过去称之为交易历史)日志)以前所未有的正直。虽然这看起来有点无聊，但它是一种转变。记录在区块链上的交易成为事实陈述。在许多用例中，这一概念可以在运营商与客户之间、运营商与运营商之间、监管机构与被监管机构之间建立新型关系。信息流现在可以高保真地同步。在合法和有益的情况下，可以提供商业运作的透明度。

2018年——区块链年

有线电视运营商现在正在发展能力，但现在分享成功经验和教训还为时过早。今年，也就是2018年，是有线电视开始整合区块链解决方案的一年，但它将是安静而微妙的。

有线电视运营商是否应该合作创建自己的区块链?也许。确保对软件的控制，使区块链能够跨多个合作伙伴工作，对区块链项目的成功至关重要。代码库的治理和达成共识的过程是实现区块链的核心。虽然区块链用例通常是微妙的，但一旦成熟，它们也可能是业务关键型的。

有兴趣了解更多吗?订阅我们的博客，了解区块链和有线电视行业的最新动态。

最近，我参加了计算机科学系的行业顾问委员会科罗拉多州立大学(CSU)及顾问委员会就CSU参与a国家科学基金网络安全伙伴关系。在我准备这些会议的过程中，我有机会反思与大学合作对我们的行业有多么有用。

亚博yabo888vip网页版CableLabs与美国许多最好的大学密切合作，从纽约大学到佐治亚理工大学到卡内基梅隆大学。Cable亚博yabo888vip网页版Labs总部位于科罗拉多州路易斯维尔，我们与包括科罗拉多大学和科罗拉多州立大学(CSU)在内的地区机构有着特别密切的关系。下面，我来讲讲为什么与高等教育合作如此有价值和付出什么代价与一所大学建立良好而富有成效的关系。

CableLabs如何以亚博yabo888vip网页版及为什么与大学合作

CableLabs非常注重创新。亚博yabo888vip网页版与大学合作可以帮助我们提出有线电视行业可能永远不会意识到或考虑到的想法和解决方案。如何?答案是:多样性和影响力。

• 把拥有不同生活经历和观点的人聚集在一起，可以确保我们超越那些显而易见的东西，想出创造性的、有效的方法来解决难题。大学里有非常多样化的教师和学生团体，他们致力于研究有趣的问题。当我们让教授和学生接触到有线电视行业正在应对的机遇和挑战时，我们不可避免地会得到与有线电视行业专业人士的思维方式截然不同的创新想法。
• 我们参与的每一所大学都得到了广泛的商业实体和政府机构的支持。这为实现杠杆提供了多种机会。我们获得由多个组织资助的研究，并开发潜力，以实现跨行业共同挑战的协作和协同。

在这样做的过程中，我们传达了自己的观点和经验，让优秀的人才了解我们的行业，并提高对现实世界问题的认识。由此产生的协同作用有助于识别和培养新的想法，而这些想法在其他任何方式下都很少会产生。此外，我们还帮助创建和维护人才管道，为入门级和中级职位提供成熟的专业人才，为未来几十年的宽带创新提供动力。

为了实现这些目标，CableLabs的安全技术团队与科罗拉多州立大学亚博yabo888vip网页版的主要教授密切合作。我们与主要教授建立了密切、持续的关系，他们反过来帮助我们与他们的研究人员和学生建立了良好的关系。通过紧密合作，了解问题和新兴技术，电缆实验室可以非常精确地瞄准资金，帮助科罗拉多州立大学开发对电缆行业具有独特价值的资源和能力。亚博yabo888vip网页版亚博全球最大投注平台密切合作确保相关性和最大限度地提高研究成功的机会。

而且，故事变得更加精彩。大学与广泛的政府机构、其他大学、研究实验室和其他企业合作。通常，与宽带相关的安全理念可能具有适用于医疗保健、制造、运输或其他行业部门的表现形式。因此，CableLabs实现亚博yabo888vip网页版了巨大的杠杆作用．一点点时间和金钱所带来的好处，如果单独追求，将花费数百万美元。

我们取得了哪些成果?

我们资助科罗拉多州立大学加入国家科学基金会工业/大学配置分析和自动化合作研究中心（NSF i / ucrc ccaa-政府确实喜欢首字母缩写)。CSU在CCAA的首席教授是Indrakshi Ray博士．该计划提供了许多好处:

• 让我们有机会接触到三大研究型大学并施加影响
• 利用来自许多行业合作伙伴和NSF的资金。电缆相关的安全研究包括物联网、网络功能虚拟化(NFV)和主动网络防御(包括欺骗技术，使黑客攻击网络的成本更高)

我们为两个伟大的项目做出了贡献，包括资助基础设施，为实施提供想法，并帮助首席教授，克里斯托·帕帕佐普洛斯博士：

• BGPMon:帮助大型网络运营商检测互联网上的安全问题，一些CableLabs成员现在正与CSU合作开展该项目亚博yabo888vip网页版
• Netbrane:使用大数据分析和一些人工智能策略来检测和减轻恶意软件。克里斯托博士上周向观众展示了net膜丹佛SCTE ISBE博览会．

我们还在帮助鉴证组建立一个实验室物联网安全研究．我们捐赠了物联网设备，并在物联网安全方面进行了合作。整个夏天，我们有一个实习生，Maalvika Bachani，他曾与布莱恩的用具物联网安全，以支持我们的工作开放互联基金会．

我们一直在和因德拉吉特·雷博士合作研究信任系统。雷博士正在研究如何将优秀的DOCSIS中基于公钥基础设施的信任系统进一步深入家庭，并更好地保护其他垂直领域，如家庭自动化、远程患者监护、托管安全服务等。

代价是什么

要实现这种程度的合作，需要专注于一种远比金钱更重要的长期关系。它需要大学的机构支持，以及CableLabs和大学的研究人员之间的密切合作关系。亚博yabo888vip网页版这使得超越个人个性的项目能够得到持续的支持，并为合著能够影响我们行业的伟大论文提供了基础。最后，它为共同创新提供了一个机会，通过技术转让途径，可以将新想法推向市场。与此同时，抓住学生的想象力，建立人才管道，在未来几十年继续推动有线电视行业的创新。

你可以在我们的博客文章和视频中找到更多关于我们大学外展的信息。通过大学研究推进Cab亚博yabo888vip网页版leLabs的创新使命．"

网络攻击呈上升趋势，对全球关键基础设施构成威胁。亚博yabo888vip网页版CableLabs与其他服务提供商和供应商正在通过欧洲电信标准协会(ETSI)，以确保针对这些攻击始终部署最佳实践。

看一看任何网络攻击，考虑一下攻击来自哪里，受害者是谁。你会发现几乎所有的攻击都是国际性的，攻击者和受害者都跨越了一个没有国界的跨国领域。确保我们的网络和服务安全需要全球响应，我们不断发展的实践和战略必须具有国际视野。亚博yabo888vip网页版CableLabs通过参与多个国际组织努力发展我们的网络安全防御来做到这一点。上周，ETSI主办了一系列关于网络安全的专题研讨会ETSI安全周．亚博yabo888vip网页版CableLabs帮助策划了这次活动，我们在演讲和小组讨论中贡献了我们的见解。

这一年度活动有近300名行业专业人士参加，并开展对话，以形成行业最佳实践的共识。研讨会包括公共政策对安全实践的影响，机器对机器/物联网安全挑战，安全网络功能虚拟化(NFV)架构此外，任何活动都少不了对5G的讨论。(有关5G的更多信息，请参阅中村哲哉的博客文章在这里)。我介绍了我们在实现NFV概念验证方面的经验，Brian Scriber参加了一个讨论运营商观点的小组。在ETSI门户网站注册后，可以获得在活动中分享的材料在这里．

作为共享在这里去年秋天，在引入新的安全挑战的同时，NFV也提供了相对于传统基础设施提高未来网络安全性的机会。实现良好的NFV基础设施的好处包括:

• 更加一致的安全流程和控制
• 更容易和更快速的安全升级和补丁，随着威胁的发展
• 改进了对普遍加密的支持
• 更具成本效益的安全和性能监控

随着网络威胁的发展，通过正确的实现，NFV通过支持无处不在的监控和更灵活的响应来增强安全操作。

NFV与软件定义网络(SDN)相结合，可以创建一个开放的分布式架构，使运营商能够创建“网络工厂”。网络工厂是完全自动化的网络架构，是令人兴奋的新服务的整个供应链。我们需要保护网络基础设施，以及从代码创建到在平台上运行代码交付的软件供应链。这需要与今天的行动不同的方向。幸运的是,NIST提供了一个框架用于接近供应链的网络安全方面，它很好地应用于开放和分布式架构。

ETSI是提供NFV基础标准的领导者，也是当今NFV安全最佳实践方面最具影响力的机构。的ETSI NFV架构框架为大多数其他标准组织和开源代码项目试图实现的目标奠定了基础。ETSI的NFV参考架构目前还不能充分识别供应链的所有网络安全方面。因此，我们还没有定义在所有组件(可能是硬件或软件)之间建立安全关联的全面方法。

网络中的每个连接都应该被视为一个安全关联。必须为每个安全关联实现某些安全功能。每个安全协会应该是:

• 基于强烈的同一性:这意味着需要有一个与唯一标识符相关联的持久私钥，并由证书或同等证书进行验证(签名)
• 通过身份验证:使用某种形式的密码挑战
• 授权:用于网络和进程访问控制，并基于全网策略
• 孤立的:来自虚拟化服务器上的其他子网和工作负载
• 保密:包括加密
• 证明:基础设施和通讯连接已证实没有受到任何破坏

事实证明，为强烈的身份认同提供基础是具有挑战性的。亚博yabo888vip网页版CableLabs使用过基于pki的DOCSIS网络强身份认证证书已有17年历史，已颁发超过5亿份证书．然而，在NFV、物联网和医疗设备的不断发展的解决方案中，要达成共识以复制这一成功还需要时间。

安全身份需要三个组成部分:

1. 第一个元素是secret，通常是支持身份验证和加密的私钥。
2. 第二个元素是生态系统中的唯一标识符。DOCSIS网络安全将MAC地址用于此目的，但这并不适用于所有其他域。
3. 第三，身份必须是可证明的。这意味着创建一个已签名的证书或配置文件，将证书绑定到秘密。

成功实现全球有效网络安全的途径是通过规范或标准化记录最佳实践，并支持实际实现这些实践的代码库。亚博yabo888vip网页版CableLabs很自豪能成为ETSI NFV项目的主要贡献者。我们领导着ETSI NFV运营商理事会和安全工作组，我们正在与其他行业领导者合作解决这些差距。此外，我们还与OpenStack、OSM、OpenDaylight、OPNFV等开放源代码组织密切合作，并关注FD等新兴举措。io和ONAP。通过我们的快照^TM倡议我们正以实践经验加强标准工作。如果这些计划成熟了，我们将使实践适应具体的解决方案。

--

亚博yabo888vip网页版CableLabs将于2017年9月11日至15日在丹佛举办下一届ETSI NFV全体会议。签署ETSI NFV后即可参与参与者的协议．如果你想与CableLabs团队联系，请在下方留言。亚博yabo888vip网页版我们很希望在那里见到你!

暗网，暗网，深网，暗互联网——分析师和记者经常提到的激动人心的流行语。但是它们是什么呢?什么是暗网?

暗网是覆盖在互联网上的网络的网络。最常见的暗网之一是洋葱路由网络(Tor)。如果使用得当，Tor为用户提供匿名性和隐私性。当用户的身份永远不会透露给他人，他们的流量无法追溯到他们实际的访问帐户和相关的互联网地址时，就实现了匿名。当用户的通信不能被预期的接收者以外的任何人阅读时，隐私就实现了。匿名和隐私是密切相关但又截然不同的概念——隐私可以在没有匿名的情况下实现，反之亦然。

亚博yabo888vip网页版CableLabs最近在其冬季会议上举办了一个关于暗网的小组讨论。该小组邀请了来自整个行业的主题专家，包括安德鲁·鲁曼猫头鹰网络安全．Andrew从2009年到2015年担任Tor的执行董事。该小组调查了暗网的技术和社会影响，并特别强调了为什么有线电视运营商关心这一技术领域。暗网被对手用来出售和交换恶意软件和用于攻击网络的信息，还包括公司员工和客户的账户信息。有线电视运营商监控暗网，以了解正在出售的内容，并获得针对他们的威胁的迹象和警告。这些信息用于改进和增强用于保护网络和客户的安全层。

座谈会结束后的晚上，Phil McKinney有机会与Andrew Lewman谈论暗网——我们很高兴分享这段视频。

暗网是如何运作的?

Tor提供了一个有趣的案例研究。如上所述，Tor代表“洋葱路由”。这个名字的灵感来自于洋葱路由器协议如何将信息包包装在安全层中，这些安全层必须依次剥离才能显示底层信息。当然，这种方法在现实中要复杂一些。路由是由一个代理定义的，它使用层层加密对数据包进行编码，形成一个“洋葱”。来自启动器的报文为转发报文。当一个向前的数据包通过洋葱路由器的网络时，洋葱层被依次移除。这些层只能由具有正确私钥的路由器删除，以读取该层的洋葱。对于那些熟悉路由器的人来说，真正发生的事情是代理使用隧道的隧道创建一个电路，直到到达端点。如果中间设备试图用不正确的密钥解密洋葱的一层，那么“洋葱”的所有其他内层都将被混淆。

然而，Tor只是一个例子。人们还使用什么其他方式来实现私人和匿名通信?据报道，恐怖分子和犯罪分子正在使用流行游戏机上提供的聊天频道。覆盖互联网的另一种技术解决方案是I2P。还有很多其他的。

超越暗网

除了了解暗网，CableLabs还领导其他与设备安全和保护有线网络有关的安全计划。亚博yabo888vip网页版亚博yabo888vip网页版CableLabs参与开放互联基金会(OCF)，引领物联网设备的网络安全和互操作性标准。亚博yabo888vip网页版CableLabs在OCF担任董事会职务，并担任OCF安全工作组主席。通过确保加入有线网络的所有物联网设备都是安全的，考虑到网络和用户隐私的风险。

亚博yabo888vip网页版CableLabs认识到电缆行业将为物联网设备制造商、安全提供商和系统集成商的更大生态系统做出贡献的重要性。我们正在制作两天的节目通知(ED)会议将电缆行业技术人员与这些利益相关者聚集在一起。4月12日将关注物联网安全，4月13日将关注互联医疗保健。请在纽约与我们相聚，我们期待着您与我们一起参加这一重要的对话。

今年的消费电子展是另一项破纪录的活动，有线电视行业的代表都参加了。活动工作人员报告称，超过17.7万人参加了近250万平方英尺的展览空间。在接下来的几周里，分析师和专家们将会仔细思考这个行业正在发生的趋势和变化。与此同时，以下是对几个关键领域的一些想法。

一切事物都以几十种方式联系在一起。万物互联将带来巨大的带宽消耗，同时也带来有趣的挑战。无线连接选项比比皆是，从传统的WiFi和蓝牙到众多生态系统规模的联盟选项，如ZigBee、ZWave、Thread和ULE Alliance。基于蜂窝的连接正在扩大，公司使用轻量级调制解调器轻松地将健康设备中心和宠物监视器等新产品连接到云服务。然而，有这么多的选择，提供一个一致和安全的家庭和商业环境仍然是一个挑战——没有一个中心可以无缝连接所有的设备和服务，也没有一个安全设备可以保证消费者网络的安全。

人们对健康和保健非常关注，有几百家公司在健康和保健以及健身和技术市场展出。三星、索尼、英特尔和高通等大型制造商也很好地展示了这些重点领域。然而，在与产品经理的讨论中，很明显，我们可能没有学到太多关于确保医疗和健身设备和服务安全的教训。许多供应商继续集成最低限度的安全性，依靠到集线器的不安全蓝牙连接，集线器通常不利用任何形式的强身份验证。幸运的是，开放连接基金会将继续提供解决这一不足的途径，本周基金会的成员数量显著增加。此外，一些供应商正在利用IoTivity，它将为连接的环境提供安全实现的干净路径。

智能、高度互联的家庭也是一个主要主题，数百家供应商再次展示了完全集成的解决方案、集线器和数千个终端设备。联网灯泡仍然是一个持续和无所不在的想法，安全系统也是如此。然而，很明显，这里还没有任何制胜的市场策略。数十个供应商提供完整的解决方案，甚至更多提供不同的控制器，似乎市场是分散的!另一方面，CTA的Brian Markwalter建议他们预计2017年智能家居市场的复合年增长率将达到63%。对于服务提供商来说，这似乎是一个很好的机会，可以为房主铺平一些融合和集成简化的道路。

去参加消费电子展时，很难不对未来充满乐观。有太多的好东西将会影响我们所有人。从更好的屏幕到更灵活、更安全的医疗设备，到更安全的汽车，再到任何你能想象到的东西。而且，只要把普通物品连接到网络上，就有很多方法可以让它们增值。根据梅特卡夫定律(“电信网络的价值与系统中连接用户数量的平方成正比”)，随着连接设备的增加，有线网络的价值似乎会更高。而且，很明显，我们将需要所有的带宽到家庭，DOCSIS可以带来!我们面临的挑战是通过良好的互操作性和安全性策略和标准来确保简单灵活的使用。

10月是美国的网络安全宣传月。我们当然知道。今年9月，物联网摄像头遭到黑客攻击，并被用于制造迄今为止最大的拒绝服务攻击，远超600Gbps。10月21日，同样的设备被用于针对Dyn权威DNS服务的修改攻击，导致约1200个网站中断。随着Twitter和Reddit等流行服务变得不稳定，消费者受到了广泛的影响。

开放式分布式架构可用于提高网络运营商快速发展的网络的安全性，减少攻击的影响，并提供良好的客户体验。实现开放分布式架构的两个关键技术是网络功能虚拟化(NFV)和软件定义网络(SDN)。Don Clarke在他的文章中进一步详细介绍了NFV博客关于ETSI NFV活动。Randy Levensalor还回顾了CableLabs的NFV计划之一，亚博yabo888vip网页版快照今年早些时候。

基于NFV和SDN的未来网络将实现比我们今天经历的更简单的安全流程和控制。随着安全威胁的发展，使用这些技术的网络将更容易升级和打补丁。与传统技术相比，加密将更容易得到支持，其他安全机制将更加一致。通过网络监控来管理威胁将更加容易，成本效益也更高。

开放分布式体系结构为更一致地实现基本特性、流程和协议提供了机会，包括更容易实现新的、更安全的协议。这反过来又可以简化安全流程和控制的实现和部署。遗留网络基础设施的特性和过程在很大程度上由专有系统表征。即使从基于IP的接口实现基本访问控制列表也存在很大差异，不仅是用于实现控制列表的接口不同，而且控件的粒度和特异性也不同。一些领域已经有所改善，但NFV和SDN可以进一步改善。例如，BGP Flowspec帮助标准化了路由器上的阻塞、速率限制和流量重定向。然而，它对路由器实际支持的规则数量有严格的限制。NFV和SDN可以提供更好的可伸缩性和更强大的功能。NFV通过提供实现安全控制的通用方法，为解决这种复杂性提供了机会。SDN提供了类似的机会，通过基于模型的配置(例如使用YANG和NETCONF)提供标准化接口来实现设备的流表和配置部署。

标准化的特性、流程和协议自然会导致更简单、更快速的安全工具部署和更容易的应用程序补丁。NFV使开发操作(DevOps)最佳实践应用程序能够开发、部署和测试软件补丁和更新。物理和虚拟路由器以及网络设备可以类似地使用SDN以编程方式更新。这种敏捷和自动化的网络重新配置可能会使解决安全威胁变得更容易。此外，安全监控器和传感器、防火墙、虚拟专用网络实例等可以随着安全威胁的发展随时部署或更新。

客户机密性可以进一步加强。在过去，由于各种非常好的经济和技术原因，加密没有得到广泛部署。在为DOCSIS®网络和无线接入网络(RANs)部署安全和加密的基础设施方面，业界已经学到了很多。已经广泛应用于数据中心和云解决方案的新硬件和软件功能可以应用于NFV，以实现核心网络中的普遍加密。因此，网络基础设施加密的部署现在可能更加实际。这可能会极大地增加进行未经授权的监视、中间人攻击和路由劫持的难度。

网络运营商面临的一个关键挑战仍然是检测针对用户的恶意攻击。服务提供商使用各种非侵入式监控技术来识别已被恶意软件感染的系统，以及僵尸网络的活跃参与者。他们还需要快速识别大规模的拒绝服务攻击，并试图限制这些攻击对客户的影响。不幸的是，这样的检测是昂贵的。NFV承诺更经济、更广泛地分布监控功能，能够对客户面临的威胁做出更敏捷的响应。此外，NFV可以利用特定的虚拟化技术NIST(例如hypervisor自检)以确保对应用程序进行主动监视。此外，SDN提供了快速限制或阻止恶意流量的潜力，更接近攻击源。

最后，NFV承诺让我们有机会在网络安全实践方面取得飞跃。当今大多数核心网络技术(路由、交换、DNS等)都是在20多年前开发的。如今，提供宽带服务的行业比最初部署宽带和企业网络时了解的多得多。NFV和SDN技术提供了一个机会，可以在很大程度上清理石板并消除固有的漏洞。互联网最初被设想为一个开放的环境——对互联网的访问受到最低限度的控制，身份验证从未在协议级别上集成。这已经被证明是naïve，由NFV和SDN支持的开放分布式架构解决方案可以帮助提供更好、更安全的基础设施。当然，还会继续存在漏洞，而且还会发现NFV和SDN解决方案独有的新漏洞。

随着网络安全宣传月的结束，我们开始了专注于改善消费者体验的新的一年，CableLabs正在开展几个项目，利用这些技术来提高宽带服务的安全性。亚博yabo888vip网页版我们正在努力定义并启用保护虚拟化环境所需的关键命令。我们正在利用我们的专业知识来影响关键的标准倡议。例如，我们参与了ETSI NFV行业规范小组(ETSI NFV)是最具影响力的NFV标准组织。事实上，Cable亚博yabo888vip网页版Labs是ETSI NFV安全工作组的主席，该工作组在过去4年里大大提高了分布式架构的安全性。最后，我们将继续创新新的开放和分布式网络解决方案，以创建能够自适应支持安全服务的家庭网络、虚拟基础设施中的新身份验证和认证方法以及通用配置接口。