Cisco uBR7200 ユニバーサル ブロードバンド ルータ ソフトウェア コンフィギュレーション ガイド 12.3BC 12.2BC 12.2CX 12.1EC
Cisco uBR7200 シリーズ での DOCSIS BPI の設定
Cisco uBR7200 シリーズでの DOCSIS BPI の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

Cisco uBR7200 シリーズでの DOCSIS BPI の設定

BPI の概要

BPI の鍵管理

トラフィック ストリームの差別化

CM と BPI の通信

DOCSIS BPI のイネーブル化

DOCSIS 1.1 BPI+ の概要

Cisco uBR7200 シリーズでの DOCSIS BPI の設定

この章では、DOCSIS 1.0 Baseline Privacy Interface(BPI; ベースライン プライバシー インターフェイス)、Cisco uBR7200 シリーズでの DOCSIS BPI 設定時の注意事項、および DOCSIS 1.1 Baseline Privacy Interface Plus(BPI+)の機能について説明します。この章の内容は、次のとおりです。

 

説明

「BPI の概要」

DOCSIS 1.0 BPI、BPI 鍵管理、Cable Modem(CM; ケーブル モデム)と BPI 間の通信について説明し、図解します。

「DOCSIS BPI のイネーブル化」

Cisco uBR7200 シリーズでの DOCSIS 1.0 BPI をイネーブル化する場合の注意事項について説明します。

「DOCSIS 1.1 BPI+ の概要」

DOCSIS 1.1 BPI+ 機能の概要について説明します。

 

BPI の概要

BPI は、DOCSIS MAC サブレイヤ内の拡張サービス セットとして定義されています。BPI により、CMTS と CM 間のトラフィック フローが暗号化され、加入者は RF ネットワーク上でデータのプライバシーが得られます。


) 暗号化/復号化は、輸出ライセンスの規制対象になります。


データ プライバシーの程度は、アナログ モデム、Digital Subscriber Line(DSL; デジタル加入者線)などの専用線ネットワーク アクセス サービスによって提供されるものとほぼ同等です。BPI はサービスの基本的な保護を提供し、MAC アドレスによって固有のものとして識別された CM が、アクセスを許可されたサービスに限って、鍵データを得られるようにします。


) DOCSIS 1.0 の BPI は CM を認証しないので、許可された CM を装ってクローンの CM を使用するユーザに対しては防御しません。特定の Cisco IOS リリースは、スプーフィングに対する保護を提供し、ユーザが無効な送信元 IP アドレスを使用して IP サブネットに接続しないように、RF サブネット上で送信元 IP フィルタリングを設定するためのサポート コマンドを備えています。


BPI は、MAC サブレイヤの Service ID(SID; サービス ID)の定義を拡大します。『DOCSIS RF Interface Specification』( http://www.cablemodem.com/specifications.html で参照できます)では、アップストリーム帯域幅および Class of Service(CoS; サービス クラス)管理を割り当てるための、CMTS と CM 間のマッピングとして SID を定義付けています。BPI がアクティブになると、SID は特定のセキュリティ アソシエーションも識別し、アップストリームとダウンストリームを有意にします。BPI が動作している場合、通常は SID が対応付けられないダウンストリームのマルチキャスト トラフィック フローに、SID が与えられます。プライバシー拡張ヘッダー要素に、MAC パケット データ Physical Data Unit(PDU; 物理データ ユニット)と対応付けられた SID が含まれます。この SID は拡張ヘッダー要素の他のコンポーネントと共に、MAC PDU のパケット データ フィールドを復号化するために必要な鍵データを CM に伝えます。

BPI の鍵管理プロトコルは、CMTS と CM 間で動作します。CM はこのプロトコルを使用して、特定の SID と関連する許可およびトラフィック鍵データを CMTS から入手し、定期的な再許可および鍵の更新をサポートします。

鍵管理プロトコルは、公開鍵暗号化アルゴリズムである RSA、および DES の Electronic CodeBook(ECB)モードを使用して、CMTS と CM 間の鍵交換を保護します。プライバシーは、CMTS と CM 間の 56 ビット(デフォルト)または 40 ビットの暗号化によって確保されます。BPI は DOCSIS に組み込まれているので、DOCSIS 認定 CM および適格 CMTS であれば、どれでも相互運用性があります。図4-1に、BPI アーキテクチャを示します。


) CM は、最初の BPI を設定する前に鍵ペアを生成する内部アルゴリズムをサポートするように、RSA 秘密鍵/公開鍵ペアが出荷時点で組み込まれていなければなりません。


SID の鍵データは、有効期間が限られています。CMTS は SID 鍵データを CM に配布するときに、有効期間の値も伝えます。

図4-1 BPI ネットワークの例

 

BPI の鍵管理

BPI の初期化は、CM から CMTS に、下記の識別データを指定した許可要求を送信することによって開始されます。

CM ― 48 ビット IEEE MAC アドレス

CM の RSA 公開鍵

BPI を実行するために設定されている、ゼロ個以上のユニキャスト SID からなるリスト

この時点で、MAC アドレスによって固有のものとして識別された CM が、アクセスを許可されたサービスに限って、鍵データを得られるようにすることにより、BPI はサービスが盗まれないように保護します。CMTS は、BPI の実行対象となる SID のリストで応答します。この応答には許可鍵が含まれ、CM と CMTS はこの鍵から、追加の暗号鍵を求めるその後の CM 要求を保護するために必要な鍵を引き出します。トラフィック暗号化鍵を入手した CM は、暗号化されたデータの送信を開始します。

トラフィック ストリームの差別化

BPI が暗号化するのは、ケーブル ネットワーク上のデータに限られ、さらにユーザ データに限定されます。ケーブル MAC ヘッダーは暗号化の対象ではありません。MAC 管理メッセージも、BPI による暗号化の対象ではありません。ただし、BPI をイネーブルにして、特定の SID について暗号化のネゴシエーションが行われると、その SID を介して送信されるすべてのユーザ データは暗号化されます。BPI は SID だけに基づいて、トラフィックを差別化します。

CM と BPI の通信

図4-2に BPI 通信を示します。ユーザ A からユーザ B にパケットを送信する場合、CM はユーザ A の CM 固有の特殊な鍵を使用して、それらのパケットを暗号化します。パケットはさらに CMTS に送信され、そこで復号化されます。

ユーザ B が CATV ネットワークに接続している場合、CMTS はユーザ B 固有の鍵を使用して、再び情報を暗号化し、暗号化されたデータがユーザ B の CM に渡され、そこで復号化されてユーザ B に送信されます。このようにして、ユーザ A とユーザ B の間での暗号化されていないトラフィックが見えないようにします。


注意 BPI が存在するのは CATV ネットワーク上に限られますが、アップストリームに送信されるトラフィックはすべて、CMTS を通過するときに復号化されます。ユーザ A がケーブル ネットワークの先にいる、たとえばユーザ C と通信する場合、CMTS より先のトラフィックは暗号化されません。

図4-2 CATV ネットワーク上の BPI 暗号化データ

 

DOCSIS BPI のイネーブル化

BPI をイネーブルにするには、CMTS と CM の両方で、この動作モードをサポートするソフトウェア イメージを選択します。Cisco uBR7200 シリーズ ソフトウェアの場合、ファイル名に [k1] またはフィーチャ セットの記述に BPI が含まれているイメージを選択します。Cisco uBR924 ケーブル アクセス ルータでは、Cisco IOS Release 12.0(5)T1 以上のすべての CM イメージで、デフォルトとして BPI をサポートしています。それより前の Cisco IOS リリースの CM イメージの場合は、ファイル名に [k1] またはフィーチャ セットの記述に BPI が含まれているイメージを選択します。


) CMTS では、BPI をサポートするイメージを選択した時点で、デフォルトとして BPI がイネーブルになります。CM では、「DOCSIS 1.0 機能のサポート」で示したプロビジョニング ツールのいずれかひとつを使用し、DOCSIS コンフィギュレーション ファイルで BPI をイネーブルに設定します。


ベースライン プライバシーをイネーブルに設定すると、Cisco uBR7200 シリーズは、該当する個々の SID に Traffic Encryption Key(TEK; トラフィック暗号化鍵)を生成します。Cisco uBR7200 シリーズ装置のデフォルト設定は、56 ビット暗号化/復号化です。

ルータはこの鍵を使用して、ダウンストリーム データを暗号化し、双方向ケーブル インターフェイスからのアップストリーム トラフィックを復号化します。Cisco uBR7200 シリーズ ルータは、必要に応じて、ユニキャスト用、ブロードキャスト用、およびマルチキャスト用の鍵を生成します。鍵は定期的に更新されます。デフォルトの有効期間は 12 時間です。

DOCSIS 1.1 BPI+ の概要

DOCSIS 1.0 では、共有メディア ケーブル ネットワーク全体でユーザ データ プライバシーを保護し、ケーブル ネットワーク全体で DOCSIS ベースのデータ転送サービスに不正アクセスされないようにする BPI を備えています。BPI は、CM と CTMS 間の RF インターフェイスでのトラフィックを暗号化します。また、Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)機能も装備しています。

システムは、Access Control List(ACL; アクセス コントロール リスト)、トンネル、フィルタリング、スプーフィングに対する保護をサポートするほか、加入者が無効な送信元 IP アドレスを使用しないように、RF サブネット上で送信元 IP フィルタリングを設定するためのコマンドをサポートします。

DOCSIS 1.1 は、BPI+ を使用してこのセキュリティ機能を拡張します。BPI+ には次のような拡張機能があります。

安全なユーザ識別および認証を行うデジタル証明書

最も機密性の高いアプリケーションに適した 168 ビット トリプル DES 暗号化を使用する鍵暗号化

Pkcs#1 バージョン 2.0 暗号化装備の 1,024 ビット公開鍵

マルチキャストのサポート

安全なソフトウェア ダウンロード。これによりサービス プロバイダーは、代行受信や、干渉、変更の脅威にさらされることなく、リモートで CM のソフトウェアをアップグレードできます。


) BPI+ については、CableLabs(http://www.cablelabs.com)にある『Baseline Privacy Interface Plus Specification』(SP-BPI+-I07-010829)を参照してください。