基于DOCSIS3.0的HFC網絡管理策略淺探

陳志明++雷躍

摘 要 近年，我國有線電視網絡系統蓬勃發展，為滿足用戶的多元化需求，網絡架構必須提供安全的環境、優良的品質、穩定的速度。因此，本文探討HFC網絡架構，從DOCSIS3.0標準討論HFC網絡中群組原則以及安全設定，提出網絡管理策略。

關鍵詞 有線電視網絡；DOCSIS3.0；電纜調制解調器

中圖分類號TP3 文獻標識碼 A 文章編號 1674-6708（2015）138-0074-01

依據國家廣電總局的廣播電視數字化進程表，我國計劃于2015年在全國范圍內關閉模擬電視，逐漸完成從模擬向數字電視的過渡。在此過程中，有線電視（Cable TV Network； CATV）系統將逐漸升級為光纖同軸混合（Hybrid Fiber and Coaxial； HFC）網絡系統。因此，本文基于針對CATV雙向網絡服務標準規范DOCSIS 3.0，提出HFC網絡管理策略。

1 HFC網絡架構

數字化有線電視網絡是基于光纖同軸混合（HFC）網絡采用分類模塊的方式，將傳統的虛擬電視信號和數字信號通過光纖（Fiber）傳輸到光節點（Fiber Node； FN），再通過光電轉換器，將光纖網絡轉換至同軸電纜線（Coax）到每個用戶家中，最后經過分離器（Splitter）一端接電視，另一端通過電纜調制解調器（Cable Modem； CM）與其他用戶端設備相連。

利用CM的雙向傳輸技術使用的主要技術采用DOCSIS標準，并納入有線數字電視廣播信道編碼與調制規范（ITU-T J.83）。

2 DOCSIS3.0規范與網絡模型

DOCSIS（Data Over Cable System Interface Specification）標準是1997年美國CableLabs?公司針對CATV雙向網絡系統服務制定的標準，目前DOCSIS標準已成為行業的主流規范。

2.1 DOCSIS3.0規范

隨著傳纜調制解調器終端系統（Modular Cable Modem Termination System； CMTS）研發成功，DOCSIS3.0規范變為以物理層的上傳通道捆合（Channel Bonding）方式。

DOCSIS3.0規范主要包括安全規格（SP-SECv3.0）、電纜調制解調器（CM）及無線終端接入設備（CPE）界面規格（SP-CMCIv3.0）、實體層規格（SP-PHYv3.0）、MAC及上層協定界面規格（SP-MULPv3.0）以及操作支持系統界面規格（SP-OSSIv3.0）五大部分。

2.2 DOCSIS3.0網絡模型

為保證有線電視HFC網絡的運行與管理，DOCSIS3.0標準不僅規范CM和CMTS，還管理其他提供上傳服務的服務器。圖1顯示了CM、CMTS連接HFC網絡進入家庭網絡系統的模型。

圖1 DOCSIS3.0網絡模型

3 HFC網絡運作流程與安全規劃

3.1 HFC網絡運作流程

在有線電視HFC網絡中，開啟CM后，自動掃描下行頻道完成與CMTS時間同步，并從CMTS發出的MDD中取得可用的下行頻道，并收集相關訊息完成同下行頻道的MAC域下游服務組（MD-DS SG）動作，同時將隨機選擇一個上行頻道以作為主要的溝通頻道。

使用授權密碼（AK）、流量加密密碼（TEK）以及密碼加密密碼（KEK）的方式，對CM裝置的用戶信息進行驗證后，有授權的CM將進入DOCSIS網絡。CM發出請求IP地址，一旦通過MAC訊息的驗證，將以IPv4 Only、IPv6 Only、輪替模式（APM）以及雙模式（DPM）得到一個IP地址，該地址由CMTS指定的DHCP服務器發送。

3.2 基于DOCSIS3.0的網絡安全規劃

DOCSIS3.0標準的CM必須支持SP-CMCIv3.0要求，同時也向下相容于SP-CMCIv1.0/v2.0協定。相較SP-CMCIv1.0/v2.0協定的明碼封包方式，SP-CMCIv3.0所傳達的訊息經過MD5或SHAI加密，具有更高的安全性。然而，SP-CMCIv3.0協定依然需要制定來源端的IPv4/IPv6地址、設定在LAN端關閉SP-CMCI服務以及更改預設群組名稱等方式，以防止MSO管理以外的人控制。

通過CM/CMTS基本的數據過濾機制，能有效避免有害的內容。一般來講，通過驗證CM的MAC信息、啟用網絡封包加密機制以過濾存在安全問題的網絡封包，可以極大降低用戶端網絡安全風險。

4 有線電視HFC網絡管理

4.1 DHCP服務器管理

CM開啟時，需經由DHCP服務器進行身份合法性驗證，并記錄用戶資料，發放IP地址并賦予相關權限。一個HFC網絡，可通過CM發出MAC地址識別所屬群組，針對不同用戶端，給予在設備數量、網絡速率、防火墻等方面的設定，建立分級機制。針對目前IPv4網絡地址不足的突出問題，需要在DHCP服務器中設定多組SCOPE，依據不同的服務區域給予IPv4；同時降低CM的IP租用時間來增加IP地址的使用率。

4.2 CMTS端管理

有線電視HFC網絡目前涵蓋了虛擬和數字電視服務，按照2004年國家廣播電影電視總局制定的《有線數字電視頻道配置指導性意見（暫行）》，目前我國優先用于雙向數據的下行電視頻道落在439—463、710—750MHz之間，可視網絡質量，選擇使用64QAM或256QAM的調制方式。此外，CMTS端通過CMTS開啟EAE認證機制以及MIC資料驗證，使用加密方式進行上傳請求；使用HMAC-MD5方式驗證路由協議，防止惡意的用戶攻擊；使用SSH加密方式進行管理，將管理日志上傳至SYSLOG服務器。

5 結論

本文從DOCSIS 3.0標準中探討了有線電視HFC網絡運作流程、安全規劃以及安全管理策略，提出了對非法用戶的使用限制，但有線電視網絡為共享帶寬，未加密的資料依然存在危險。以實驗的方式測試HFC網絡安全性，并研究用戶端防火墻機制，將是未來研究的方向。

參考文獻

[1]柯駿.關于DOCSIS技術演進的思考[J].有線電視技術，2014（5）：20-24.

[2]彭巍，喻勇.基于DOCSIS 3.0的廣電NGB網絡工程應用理論和實踐[J].廣播與電視技術，2013（A01）：165-169.

[3]孫鵬，孫大慶，韓志堅等.DOCSIS 3.0—HFC網絡接入新標準[C]//2006國際有線電視技術研討會論文集，2006.