[发明专利]用于位于线缆网络中的装置的改善的认证

说明书

背景技术

线缆调制解调器(cable modem)通过与线缆调制解调器终端系统 (CMTS，或“头端”)进行通信而通过线缆网络提供宽带服务。线缆调 制解调器位于端用户侧。

线缆网络一般对线缆调制解调器进行认证以部分地确保使用线缆调制 解调器的端用户是付费客户。图1示出了在线缆数据服务接口规范 (DOCSIS)系统中使用的传统线缆调制解调器基线接口加(BPI+)认证 方案。

参考图1，位于线缆网络2中的线缆调制解调器(CM)4使用基线私 有密钥管理(BPKM)协议来发送授权请求6，授权请求6包括线缆调制 解调器的身份属性5。身份属性5基于用于线缆调制解调器4的X.509证 书以及媒体接入控制(MAC)地址、序列号、制造商标识和RSA(Rivest Shamir Adleman)公共密钥的级联。授权请求6可以在线缆调制解调器14 的登记之后被发送。

CMTS 3在接收到授权请求6之后通过使用CMTS本地存储器中所提 供的证书链对身份属性5中的X.509证书进行有效确认来对线缆调制解调 器4进行认证。当线缆调制解调器4被授权用于线缆服务时，CMTS 3使 用BPKM协议来发回授权答复8，授权答复8包括本地产生的授权密钥 7。授权答复8中包括授权密钥7的期限信息和加密套件信息。

图1中所示的BPI+认证方案具有局限性。例如，线缆调制解调器4不 对CMTS 3进行认证，即，线缆调制解调器用户容易受到欺诈性网络装置 的损害。并且，BPI+不准许线缆调制解调器的认证被集中用于线缆网络。 换而言之，所有CMTS都包括用于对下游线缆调制解调器进行本地认证的 本地资源。并且，当线缆调制解调器的认证在线缆调制解调器的登记之后 发生时，线缆调制解调器认证容易受到涉及修改线缆调制解调器的配置值 的安全漏洞的损害。并且，认证交换的序列是预先定义的、不可协商的或 是被固定在BPI+中的。因为这些和其它原因，随着线缆网络规模增大，需 要用于线缆网络的改善的远程并且可扩展的认证系统。

发明内容

可扩展的认证架构被用在诸如线缆数据服务接口规范(DOCSIS)线 缆网络的线缆网络中。该认证方案准许线缆调制解调器的集中认证和通过 线缆调制解调器对线缆网络的认证。此外，该认证方案准许线缆调制解调 器终端系统(CMTS)对诸如客户侧设备(CPE)装置之类的线缆调制解 调器下游的装置进行认证。

附图说明

图1是示出CMTS对线缆调制解调器进行认证的背景技术图。

图2是示出提供对线缆调制解调器和CPE装置的改善的认证的系统的 一个实施例的图。

图3是示出CMTS如何使用集中式AAA服务器对图2中的线缆调制 解调器进行认证的详图。

图4A和图4B是将用于图2中CMTS使用的改善的认证协议的帧结 构与DOCSIS BPKM协议中的帧结构进行比较的详图。

图5是示出图2中的CMTS如何提供认证的流程图。

图6A是示出图2中的线缆调制解调器如何对图2中的CMTS进行认 证的流程图。

图6B是示出图2中的线缆调制解调器在对图2中的下游CPE装置进 行认证中如何中继认证消息的流程图。

图7是示出图2中的AAA服务器如何对图2中的线缆调制解调器进 行认证的流程图。

图8是示出图2中的CMTS如何借助(leverages)对线缆调制解调器 的改善的认证用于DHCP认证的详图。

图9是示出图2和图5中的CMTS如何独立地对图2中的线缆调制解 调器进行认证的详图。

图10是示出图4B中所示的帧结构的可替换配置的详图。

图11A和图11B是示出为位于线缆网络中的装置提供改善的认证的 CMTS的可替换实施例的详图。

具体实施方式

现在将参考附图描述本申请的一些优先实施例。本发明的各种其它示 例也是可能的和可行的。本申请可以以许多不同形式为例，并且不应当被 理解为限制于在此所述的示例。