为了应对COVID，我们都调整了工作、娱乐和社交的方式。这提高了人们对我们的宽带网络至关重要的认识——它们需要安全。有线电视行业长期专注于提供一流的网络安全我们将继续创新，为用户提供10G的体验。

亚博yabo888vip网页版CableLabs®参与了混合光纤同轴(HFC)和无源光网络(PON)技术的开发。这包括电缆数据服务接口规范(DOCSIS®)技术的开发和维护，该技术能够在HFC网络上提供宽带互联网服务。我们与网络运营商和网络设备供应商密切合作，以确保这两类网络的安全。让我们回顾一下这两种网络架构，然后讨论HFC和PON网络面临的威胁。我们将看到物理介质(光纤或同轴电缆)对有线网络的安全性影响不大。我们将讨论这两种架构，最后简要讨论DOCSIS HFC网络的安全性。

HFC和PON体系结构综述

下面的图表说明了两者的相似之处HFC和PON的差异．

HFC和基于pon的FTTH都是点对多点的网络架构，这意味着在这两种架构中，网络的总容量都由网络上的所有用户共享。最关键的是，从安全角度来看，这两种架构中的所有下行用户通信都存在于用户的终端网络元件—电缆调制解调器(CM)或光网络单元(ONU)。这就需要对这些通信进行保护，以确保保密性。

在HFC网络中，光纤部分位于服务于都市区(或其部分)的枢纽或前端和服务于社区的光纤节点之间。光纤节点将光信号转换为射频，然后通过同轴电缆将信号发送到附近的每个家庭。这种混合架构能够持续提高宽带性能，支持更高的用户带宽，而无需在整个社区更换同轴电缆。值得注意的是，DOCSIS HFC网络中与终端用户的通信通道在网络的同轴(无线电)和光纤部分上都通过加密受到保护。

FTTH最常使用无源光网络(PON)架构进行部署，该架构使用共享光纤直到接入网中的一个点，在这个点上，光信号使用一个或多个无源分光器进行分割，并通过光纤传输到每个家庭。该连接的网络端是一个光线终端(OLT)，用户端是一个ONU。PON有很多标准。最常见的两种是千兆无源光网络(GPON)和以太网无源光网络(EPON)。值得注意的一个有趣的架构选项是，CableLabs开发了一种机制，允许电缆运营商管理EPON技术，就像亚博yabo888vip网页版他们管理DOCSIS HFC网络上的服务一样——DOCSIS EPON供应。

在HFC和PON架构中，都使用加密来确保下行通信的机密性。在DOCSIS HFC网络中，加密是双向使用的，通过对两个通信进行加密来用户的电缆调制解调器(下行)和通信从用户的电缆调制解调器(上行链路)。在PON中，双向加密也是可用的。

攻击者的观点

对手(黑客)如何看待这些网络?攻击者可利用四种攻击媒介来利用接入网:

• 攻击者可以直接攻击接入网(例如，窃听同轴电缆或光纤电缆)。
• 它们可能从服务的网络端(通常称为广域网(WAN)端)攻击客户端设备(CPE)。
• 他们可能从家庭网络端或局域网(LAN)端攻击CPE设备。
• 他们还可能攻击网络运营商的基础设施。

攻丝光纤或同轴电缆都是可行的。事实上，允许授权技术人员对光纤和同轴电缆进行合法故障排除和管理的工具比比皆是。一个不正确的假设是认为光纤攻丝相对于同轴电缆攻丝是困难的或高技术性的。你可以很容易地在互联网上找到几个例子，如何简单地做到这一点。根据访问媒体的位置，所有用户通信可能在上行链路和下行链路端都可用。然而，HFC和PON网络都支持对这些通信进行加密，如上所述。当然，这并不意味着对手不能干扰通信。在这两种情况下，他们都可以这样做。然而，这样做仅适用于通过特定光纤或同轴电缆传输的房屋;袭击是局部的，规模不大。

对于其他攻击载体，HFC或PON网络的风险是相同的。CPE和网络基础设施(如olt或cmts)必须对本地和远程攻击进行加固，而不考虑传输介质(如光纤、同轴电缆)。

运营商可使用的安全工具

在HFC和PON架构中，网络运营商都可以为用户提供同等级别的网络安全。保护这两个体系结构的三个主要工具依赖于密码学。这些工具是身份验证、加密和消息散列。

• 身份验证是使用某种秘密进行的。在HFC的情况下，挑战和响应是基于由公钥基础设施(PKI)支持的非对称加密来使用的。在FTTH部署中，机制可能依赖于预共享密钥、PKI、EAP-TLS (IETF RFC 5216)或其他一些方案。端点的身份验证应该定期重复，这在CableLabs DOCSIS规范中得到了支持。亚博yabo888vip网页版定期的重新身份验证增加了连接到网络的所有端点都是合法的并为网络运营商所知的保证。
• 加密提供了保持通信私密性的主要工具。HFC中的用户通信使用身份验证步骤中协商的加密密钥进行加密，使用DOCSIS基线隐私接口+ (BPI+)规范。亚博苹果版怎么下载FTTH的加密实现不同。在HFC和PON中，目前最常用的加密算法是AES-128。
• 消息散列确保了系统中消息的完整性，这意味着一旦发送消息，就不能在没有检测到的情况下更改消息。有时这种功能内置在加密算法中。在DOCSIS网络中，所有来自电缆调制解调器的用户通信都经过哈希处理以确保完整性，一些网络控制消息还接受额外的哈希处理。

重要的是要了解这些加密工具在网络中的应用位置。在DOCSIS HFC网络中，电缆调制解调器和CMTS之间的用户通信受到保护。如果CMTS功能是由其他设备提供的，如远程PHY设备(RPD)或远程MACPHY设备(RMD)，则DOCSIS终止于此。但是，DOCSIS HFC体系结构还提供了身份验证和加密功能来保护到集线器的链接。在FTTH中，加密工具在ONU和OLT之间提供保护。如果OLT被远程部署，就像rpd或rmd的情况一样，回程链路也应该以类似的方式进行保护。

现实——有线电视的安全性

概述HF亚博苹果版怎么下载C和PON应该如何部署的规范和标准提供了良好的基于密码的工具来验证网络访问并保持网络和订阅者信息的机密性。管理层架构组件的安全性可能因操作人员而异。然而，运营商非常擅长保护电缆调制解调器和onu。而且，当我们的对手创新新的攻击时，我们致力于整合新的能力来应对这些攻击——网络安全创新是安全工程的文化必要性!

建立在二十年的经验Ca亚博yabo888vip网页版bleLabs继续推进DOCSIS规范中可用的安全功能，很快就能使新的或更新的HFC部署更加安全，并为10G做好准备。DOCSIS 4.0规范有介绍了几种先进的安全控制，包括相互认证，完善的前向保密，以及提高网络凭证(如私钥)的安全性。考虑到我们对光网络和HFC网络技术的浓厚兴趣，CableLabs将确保其自己的PON架构规范采用这些新的安全功能，并将继续与其他标准机构合作。亚博苹果版怎么下载亚博yabo888vip网页版