rfc3083.txt

RFC中文技术文档

组织：中国互动出版网（http://www.china-pub.com/）
RFC文档中文翻译计划（http://www.china-pub.com/compters/emook/aboutemook.htm）
E-mail：ouyang@china-pub.com
译者：郭大刚（guodagang guodagang@tyut.edu.cn）
译文发布时间：2002-1-9
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必须
保留本文档的翻译及版权信息。




Network Working Group
R. Woundy
Request for Comments：3083
Cisco Systems
Category：Informational
March 2001



遵循DOCSIS的Cable Modem和CMTS的PBI的
管理信息数据库
（RFC3083——Baseline Privacy Interface Management Information Base 
 for DOCSIS Compliant Cable Modems and Cable Modem Termination Systems）

这个备忘录的状态
这个文档为Internet社区提供了信息。它没有特指任何Internet标准。这个备忘录的发
布不受任何限制。
版权声明
Copyright (C) The Internet Society (2001)。版权所有。
摘要
这个文档定义了在Internet上用于网络管理协议的管理信息数据库(Management 
Information Base，缩写为MIB)的一部分。特别是，它定义了一套基本的管理对象来进行基
于简单网络管理协议(Simple Network Management Protocol，缩写为SNMP)的基本私有接
口(Baseline Privacy Interface，缩写为BPI)的管理，为和同轴电缆的数据服务接口规范版
本1.0 (Data-Over-Cable Service Interface Specifications，缩写为DOCSIS)兼容的Cable 
Modem和Cable Modem头端系统(Cable Modem  Termination Systems，缩写为CMTS)
提供数据保密性。这个MIB被定义为是对DOCSIS Radio Frequency Interface MIB(RFC 
2670)的一个扩展。
这个备忘录是遵从管理信息结构版本2(Structure of Management Information Version 
2，缩写为SMIv2)的方式来详细说明一个MIB模块的。这套对象和SNMP框架以及现行的
SNMP标准完全兼容。
CableLabs要求在执行PBI的DOCSIS 1.0 cable modem中执行这个MIB，以作为
DOCSIS 1.0认证的先决条件。
目录
1. SNMP管理框架	2
2.术语表	3
2.1.认证密钥	3
2.2.BPI – 基本私有接口(Baseline Privacy Interface)	3
2.3.BPI+ - 基本私有接口+(Baseline Privacy Plus Interface)	3
2.4.CATV	3
2.5.CM - Cable Modem	4
2.6.CMTS - Cable Modem Termination System	4
2.7.DOCSIS	4
2.8.下行	4
2.9.头端	4
2.10.MAC数据包	4
2.11.MCNS	4
2.12.RF	4
2.13.SID	5
2.14.TEK - Traffic Encryption Key(通讯密钥)	5
2.15.上行	5
3. 综述	5
3.1. MIB的结构	5
3.2. 管理要求必要的条件	6
3.3. 本文的约定	6
4. 定义	6
5. 致谢	38
6. 参考文献	38
7. 需要考虑的安全问题	39
8. 知识产权	40
9. 作者地址	40
10. 完整的版权声明	40
致谢	41



1. SNMP管理框架
目前，SNMP管理框架由5个主要部分组成：
o  在RFC 2571 [1]中描述了一套完整的体系结构。
o  出于管理目的描述和命名对象和事件的机制。在STD 16、RFC 1155 [2]、STD 16、
RFC 1212 [3]和RFC 1215 [4]中描述了称为管理信息结构(Structure of Management 
Information，缩写为SMI)的第一个版本。在STD 58、RFC 2578 [5]、RFC 2579 [6]和RFC 
2580 [7]中描述了称为SMIv2的第二个版本。
o  用于传递管理信息的消息协议。在STD 15，RFC 1157 [8]中描述了称为SNMPv1
的SNMP消息协议第一版。在RFC 1901 [9]和RFC 1906 [10]中描述了称为SNMPv2c 的
SNMP消息协议第二版，但是它并不是一个标准的Internet track 协议。在RFC 1906 [10]、
RFC 2572 [11]和RFC 2574 [12]中描述了称为SNMPv3的SNMP消息协议第三版。
o  用于访问管理信息的协议业务。在STD 15，RFC 1157 [8]中描述了第一套协议业
务以及相关的PDU格式。在RFC 1905 [13]中描述了第二套协议业务以及相关的PDU格式。
o  在RFC 2573 [14]中描述了一套基本的应用，而在RFC 2575 [15]中定义了可视化
的访问控制机制。
在RFC 2570 [24]中更加详细地介绍了现行的SNMP管理框架。
通过称为Management Information Base(管理信息数据库)或MIB的有效信息知识库来
访问管理对象。这个MIB中的对象采用在SMI中定义的机制来定义。
这个备忘录描述了一个遵从SMIv2的MIB模块。可以通过适当的转换来生成相应的遵
从SMIv1的MIB。转换得到的MIB必须在语义上相当，除非因为不可转换（使用Counter64）
而省略对象或事件。在转化过程中，在SMIv2中的易于机械读取的信息将改为SMIv1的文
本描述。然而，易于机械读取信息的缺失没有考虑过MIB语义上的变更。
2.术语表
本文档中的术语源自一般的电缆系统的应用和与DOCSIS有关的文档。
2.1.认证密钥
用来获得加密密钥（用于将TEK加密）和消息验证密钥的密钥。当CMTS要把授权密
钥传递给CM时，它用CM[22]的RSA公钥加密授权密钥。
2.2.BPI – 基本私有接口(Baseline Privacy Interface)
在DOCSIS 1.0系统中，涉及授权简单数据私密性的DOCSIS规范的一个术语。BPI
的管理是本文档的中心内容。
2.3.BPI+ - 基本私有接口+(Baseline Privacy Plus Interface)
在DOCSIS 1.1系统中，涉及授权CM验证和数据私密性的DOCSIS规范的一个术语。
在本文档中，未对BPI+的管理进行编址。
2.4.CATV
最初指“共用天线电视(Community Antenna Television)”，现在指所有用于把视频信号
传递到社区的电缆或者光纤铜缆混合系统。
2.5.CM - Cable Modem
在遵从DOCSIS电缆数据系统中，CM扮演了“从属”终端站点的角色。
2.6.CMTS - Cable Modem Termination System
这是一个通用的术语，包括在头端中的cable桥接器和cable路由器。在遵从DOCSIS
的电缆数据系统中，CMTS被当作主站。它是唯一传送下行数据流的站，而且它控制着与
之相关的CM的上行数据流传输时序。
2.7.DOCSIS
“电缆上提供数据服务的接口规范(Data-Over-Cable Service Interface 
Specifications)”。参阅ITU-T J.112附件B cable modem系统的标准[19]。
2.8.下行
从头端到用户的方向。
2.9.头端
在多数电缆系统中，用户视频信号的发射端。通常也是CMTS设备的位置。
2.10.MAC数据包
一种DOCSIS PDU。
2.11.MCNS
“多媒体电缆网络系统(Multimedia Cable Network System)”。在用途上，一般相当于
DOCSIS。
2.12.RF
无线电频率。
2.13.SID
服务ID。SID为DOCSIS定义了特定的上行数据流带宽位置和服务等级管理，并且标
识了特定的和BPI相关的双向安全性。
2.14.TEK - Traffic Encryption Key(通讯密钥)
通讯密钥，采用DES来对上下行通讯数据流进行加密。当CMTS把TEK传送给CM，
它把源自授权密钥的采用关键加密密钥的TEK译成密码。
2.15.上行
从用户到头端的方向。
3. 综述
本MIB提供了一套遵从DOCSIS的线缆调制解调器(Cable Modem，缩写为CM)以及
CM头端系统(Cable Modem Termination System，缩写为CMTS)的BPI的管理必要的对象。
这个MIB规范源自DOCSIS BPI规范(DOCSIS Baseline Privacy Interface 
specification)[18]，那是一个对DOCSIS RF接口规范(DOCSIS Radio Frequency Interface 
specification)[19]的扩展。
请注意：这个MIB规范对于DOCSIS PBI+接口规范(DOCSIS Baseline Privacy Plus 
Interface specification)[21]的管理是不充分的。工作组会在晚些时候再发布一个针对BPI+
管理的MIB。
在本文档中的关键词“MUST”、“MUST NOT”、“REQUIRED”、“SHALL”、“SHALL 
NOT”、 “SHOULD”、“SHOULD NOT”、“RECOMMENDED”、“MAY”和“OPTIONAL”  
在[23]中作出了明确的解释。
3.1. MIB的结构
这个MIB包含了一个仅和CM相关的对象类(docsBpiCmGroup)和一个仅和CMTS相
关的对象类(docsBpiCmtsGroup)。
在两个列表中，组织了仅和CM相关的对象：
?	docsBpiCmBaseTable包含了用于管理基本BP的参数和计数器以及管理认证限定
状态机制的对象。
?	docsBpiCmTEKTable包含了用于管理各个SID的通讯密钥限定状态机制的对象。
?	在4个子类中，组织了仅和CMTS相关的对象：
?	docsBpiCmtsBaseTable包含了用于管理基本BP的参数和计数器的对象。
?	docsBpiCmtsAuthTable包含了用于管理各个CM认证相关信息的对象。
?	docsBpiCmtsTEKTable包含了用于管理各个SID TEK相关信息的对象。
?	docsBpiMulticastControl由两个列表组成。DocsBpiIpMulticastMapTable控制从下
行IP广播数据流量到下行广播SID值的映射。DocsBpiMulticastAuthTable控制授
权CM来接收通过特定多播SID传输的下行数据流量；一个CM会接收与授权多播
SID相对应的TEK。这两个列表相结合可将下行IP广播数据流量的分配限制在授
权的CM中进行。
3.2. 管理要求必要的条件
在[18]中详细说明了BPI规范，在[18]中详细说明了对RF接口规范的扩展。本规范中
除了明确的需求外，使能基本私密性CM和CMTS必须支持所有可应用的DOCSIS和IETF
需求以及MIB对象。标识有关需求和MIB对象的规范包括IETF RF MIB [16]，IETF Cable 
Device MIB [17]和DOCSIS OSSI规范[20]。
激发了在本文档中MIB的开发的BPI的其他管理要求如下：
?	对于未来的用户应用，CM和CMTS必须支持检测相关的RSA公钥。
?	Baseline Privacy管理接口需要支持授权和TEK无限状态机（Finite State Machine
－FSM）参数的操作配置，以便进行性能调整和安全事故处理。CMTS必须支持检
测(如果能配置的话) 所有和FSM相关的参数，包括baseline privacy状态(允许或
禁止)、密钥生命期、密钥宽限期和状态超时的值。CM必须支持检测这些参数。
?	管理接口需要支持操作员分析和FSM性能，用作故障管理、用户服务中断和安全
事故处理。CM必须能够观察FSM的当前状态。CM和CMTS必须能观察消息错
误代码和消息错误字符串，以及无效KEK和TEK事件的计数器，用做密钥过期和
更新，还可以用作复制消息。CM和CMTS必须支持检测现行的认证密钥序列号和
密钥过期时间，以便诊断错误。
?	管理接口必须支持IP multicast数据流分发的动态控制。包括传递IP multicast流给
正确的multicast组(SID)以及管理各个multicast组 (SID)的成员列表。在CMTS
的MAC域内，CMTS必须支持配置和检测所有的IP multicast的前进状态和所有
的multicast组成员。
3.3. 本文的约定
CableLabs已要求把在采用了BRI (Baseline Privacy Interface)的DOCSIS 1.0 cable 
modem中执行这个MIB的较前版本作为获得DOCSIS 1.0认证的先决条件。 
BPI MIB包含了8个由(现已废止)DisplayString文本的约定定义的MIB对象，以及一
个由(现已不实用) IpAddress文本的约定定义的MIB对象。
根据工作组的判断，保留这些较少用到的文本约定是可取的，以便保持与执行这个MIB
以前版本DOCSIS 1.0 cable modem规范的向后兼容性和互操作性。
4. 定义
DOCS-BPI-MIB DEFINITIONS ::= BEGIN

IMPORTS
MODULE-IDENTITY，对象类型，
Integer32，Counter32，IpAddress
FROM SNMPv2-SMI
DisplayString，MacAddress，RowStatus，TruthValue，DateAndTime
FROM SNMPv2-TC
OBJECT-GROUP，MODULE-COMPLIANCE
FROM SNMPv2-CONF
ifIndex
FROM IF-MIB
docsIfMib，docsIfCmServiceId，docsIfCmtsServiceId
FROM DOCS-IF-MIB
;

docsBpiMIBMODULE-IDENTITY
LAST-UPDATED “200103130000Z”
ORGANIZATION “IETF IPCDN Working Group”
CONTACT-INFO “Rich Woundy
  Postal：Cisco Systems
 250 Apollo Drive
 Chelmsford，MA 01824 U.S.A.
  Tel：+1 978 244 8000
  E-mail：rwoundy@cisco.com
  IETF IPCDN Working Group
  General Discussion：ipcdn@ietf.org
  Subscribe：http://www.ietf.org/mailman/listinfo/ipcdn
  Archive：ftp://ftp.ietf.org/ietf-mail-archive/ipcdn
  Co-chairs：Richard Woundy，rwoundy@cisco.com
 Andrew Valentine，a.valentine@eu.hns.com”
描述
“这是针对在cable modem(CM)和CM前端系统(cable modem termination systems，
缩写为CMTS)上的DOCSIS BPI的MIB模块。CableLabs需要在被鉴定的应用Baseline 
Privacy接口的DOCSIS 1.0 cable modem中采用这个MIB。”

REVISION “200103130000Z”
描述
“以RFC 3083发布。”

REVISION “200011031930Z”
描述
“由Richard Woundy修改和整理了由MIB专家提出的问题。把
docsBpiCmtsDefaultAuthGraceTime和docsBpiCmtsDefaultTEKGraceTime标记为抽象对
象，来防止对OID进行重新分配。个别对象的描述也是正确的。”

REVISION “200002161930Z”
描述
“最早的版本。
CableLabs需要在被鉴定的应用Baseline Privacy接口的DOCSIS 1.0 cable modem
中采用这个MIB，每个DOCSIS 1.0工程的变化会通告给oss-n-99027。”
::= { docsIfMib 5 }

docsBpiMIBObjects对象标识符::= { docsBpiMIB 1 }

-- Cable Modem类

docsBpiCmObjects对象标识符::= { docsBpiMIBObjects 1 }

-- 以ifIndex为索引的，CM的BPI基本和授权表

docsBpiCmBaseTable对象类型
语法：DocsBpiCmBaseEntry的序列
最大权限：不可访问
状态：现行
描述
“这个表格描述了各个CM MAC接口的基本的和认证相关的BP属性。”
::= { docsBpiCmObjects 1 }

docsBpiCmBaseEntry对象类型
语法：DocsBpiCmBaseEntry
最大权限：不可访问
状态：现行
描述
“各个条目包含着描述了一个CM MAC接口属性的对象。在这个表中有一个和
docsCableMaclayer(127)的一个ifType的各个ifEntry对应的条目。”
索引{ ifindex}
::= { docsBpiCmBaseTable 1 }

DocsBpiCmBaseEntry ::= 序列{
docsBpiCmPrivacyEnable
真值，
docsBpiCmPublicKey
8位字符串，
docsBpiCmAuthState
整数，
docsBpiCmAuthKeySequenceNumber
32位整数，
docsBpiCmAuthExpires
DateAndTime，
docsBpiCmAuthReset
真值，
docsBpiCmAuthGraceTime
32位整数，
docsBpiCmTEKGraceTime
32位整数，
docsBpiCmAuthWaitTimeout
32位整数，
docsBpiCmReauthWaitTimeout
32位整数，
docsBpiCmOpWaitTimeout
32位整数，
docsBpiCmRekeyWaitTimeout
32位整数，
docsBpiCmAuthRejectWaitTimeout
32位整数，
docsBpiCmAuthRequests
32位计数器，
docsBpiCmAuthReplies
32位计数器，
docsBpiCmAuthRejects
32位计数器，
docsBpiCmAuthInvalids
32位计数器，
docsBpiCmAuthRejectErrorCode
整数，
docsBpiCmAuthRejectErrorString
DisplayString，
docsBpiCmAuthInvalidErrorCode
整数，
docsBpiCmAuthInvalidErrorString
DisplayString
}

docsBpiCmPrivacyEnable对象类型
语法：TruthValue
最大权限：只读
状态：现行
描述
“这个对象定义了是否这个CM是准备运行Baseline Privacy的。这类似于Baseline 
Privacy配置设置选项的存在(或者缺乏)。在docsBpiCmTEKPrivacyEnable对象中可以获
得各个有关Baseline Privacy的单个SID的状态。”
参阅
“DOCSIS Baseline Privacy Interface Specification，附录A.1.1。”
::= { docsBpiCmBaseEntry 1 }

docsBpiCmPublicKey对象类型
语法：8位字符串(SIZE (74 | 106 | 140 | 270))
最大权限：只读
状态：现行
描述
“这个对象的数值是一个对应于CM公钥的DER-encoded RSAPublicKey ASN.1类型
的字符串，正如在RSA Encryption Standard (PKCS #1) [22]中定义的那样。码长74、106、
140和270字节的密钥分别对应于512位、768位、1024位和2048位公钥。如果CMTS
不保留公钥是话，这个数值就是一个0 长度的字符串。”
参阅
“DOCSIS Baseline Privacy Interface Specification，第4.2.2.4节。”
::= { docsBpiCmBaseEntry 2 }

docsBpiCmAuthState对象类型
语法：整数{
  authWait(2)，
  authorized(3)，