rfc3083.txt

RFC中文技术文档

语法：32位整数(8192..16368)
最大权限：只读
状态：现行
描述
“这个对象描述了在这个IP多播地址前缀映射入口中用到的多播SID。”
--DEFVAL 是由CMTS选择的没有使用的多播SID数值。
::= { docsBpiIpMulticastMapEntry 3 }

docsBpiIpMulticastMapControl 对象类型
语法：RowStatus
最大权限：只读
状态：现行
描述
“这个对象控制和影响了IP多播地址前缀映射的入口。当这个表项启动时，在这个表
项中没有限制约束改变数值的能力。”
::= { docsBpiIpMulticastMapEntry 4 }

-- CMTS多播SID授权表，通过ifIndex、多播SID和CM MAC地址来检索

docsBpiMulticastAuthTable 对象类型
语法：DocsBpiMulticastAuthEntry的序列
最大权限：不可访问
状态：现行
描述
“这个表描述了对各个在各个CMTS的MAC接口上各个CM的各个多播SID授权。”
::= { docsBpiMulticastControl 2 }

docsBpiMulticastAuthEntry 对象类型
语法：DocsBpiMulticastAuthEntry
最大权限：不可访问
状态：现行
描述
“各个表项包含了对于一个CMTS MAC接口的一个CM密钥认证的对象的描述。”
索引{ ifIndex，docsBpiMulticastServiceId，
 docsBpiMulticastCmMacAddress }
::= { docsBpiMulticastAuthTable 1 }

DocsBpiMulticastAuthEntry ::= 序列{
docsBpiMulticastServiceId 32位整数，
docsBpiMulticastCmMacAddress MacAddress，
docsBpiMulticastAuthControl  RowStatus
}

docsBpiMulticastServiceId 对象类型
语法：32位整数(8192..16368)
最大权限：不可访问
状态：现行
描述
“本对象描述了认证的multicast SID。”
::= { docsBpiMulticastAuthEntry 1 }

docsBpiMulticastCmMacAddress 对象类型
语法：MacAddress
最大权限：不可访问
状态：现行
描述
“本对象描述了multicast SID认证应用的CM的MAC地址。”
::= { docsBpiMulticastAuthEntry 2 }

docsBpiMulticastAuthControl对象类型
语法：RowStatus
最大权限：只读
状态：现行
描述
“本对象控制和反映了各个多播SID的CM认证。当这个表项启动时，在这个表项中
没有限制约束改变数值的能力。”
::= { docsBpiMulticastAuthEntry 3 }

-- BPI MIB兼容状态(采用占位符通告)

docsBpiNotification对象标识符::= { docsBpiMIB 2 }
docsBpiConformance对象标识 ::= { docsBpiMIB 3 }
docsBpiCompliances对象标识 ::= { docsBpiConformance 1 }
docsBpiGroups对象标识符::= { docsBpiConformance 2 }

docsBpiBasicCompliance 依从模块
状态：现行
描述
“这是实施DOCSIS BPI的设备的兼容性状态。”

模块-- docsBpiMIB

--有条件强制类
GROUPdocsBpiCmGroup
描述
“本类只在CM中实施，不在CMTS中实施。”

--有条件强制类
GROUPdocsBpiCmtsGroup
描述
“本类只在CMTS中实施，不在CM中实施。”

--放宽强制范围(由于对象是只读的，所以没必要)
-- 对象：docsBpiCmAuthGraceTime
-- 语法：32位整数(300..1800)
-- 描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

--放宽强制范围(由于对象是只读的，所以没必要)
--对象：docsBpiCmTEKGraceTime
--语法：32位整数(300..1800)
--描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

-- 放宽强制范围
对象：docsBpiCmtsDefaultAuthLifetime
语法：32位整数(86400..6048000)
描述
“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

-- 放宽强制范围
对象：docsBpiCmtsDefaultTEKLifetime
语法：32位整数(1800..604800)
描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

--放宽强制范围(和MIB无关的对象)
--对象：docsBpiCmtsDefaultAuthGraceTime
--语法：整数(300..1800)
--描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

--放宽强制范围(和MIB无关的对象)
--对象docsBpiCmtsDefaultTEKGraceTime
--语法：整数(300..1800)
-- 描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

-- 放宽强制范围
对象docsBpiCmtsAuthCmLifetime
语法：32位整数(86400..6048000)
描述
“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

--放宽强制范围(由于对象是只读的，所以没必要)
--对象：docsBpiCmtsAuthCmGraceTime
-- 语法：32位整数(300..1800)
-- 描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

-- 放宽强制范围
对象：docsBpiCmtsTEKLifetime
语法：32位整数(1800..604800)
描述
“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

--放宽强制范围(由于对象是只读的，所以没必要)
--对象：docsBpiCmtsTEKGraceTime
--语法：32位整数(300..1800)
--描述
--“根据[18]中的附录A.2，精确范围和在运行的网络中的最小/最大值相符合。”

::= { docsBpiCompliances 1 }

docsBpiCmGroup对象类
对象{
docsBpiCmPrivacyEnable，
docsBpiCmPublicKey，
docsBpiCmAuthState，
docsBpiCmAuthKeySequenceNumber，
docsBpiCmAuthExpires，
docsBpiCmAuthReset，
docsBpiCmAuthGraceTime，
docsBpiCmTEKGraceTime，
docsBpiCmAuthWaitTimeout，
docsBpiCmReauthWaitTimeout，
docsBpiCmOpWaitTimeout，
docsBpiCmRekeyWaitTimeout，
docsBpiCmAuthRejectWaitTimeout，
docsBpiCmAuthRequests，
docsBpiCmAuthReplies，
docsBpiCmAuthRejects，
docsBpiCmAuthInvalids，
docsBpiCmAuthRejectErrorCode，
docsBpiCmAuthRejectErrorString，
docsBpiCmAuthInvalidErrorCode，
docsBpiCmAuthInvalidErrorString，
docsBpiCmTEKPrivacyEnable，
docsBpiCmTEKState，
docsBpiCmTEKExpiresOld，
docsBpiCmTEKExpiresNew，
docsBpiCmTEKKeyRequests，
docsBpiCmTEKKeyReplies，
docsBpiCmTEKKeyRejects，
docsBpiCmTEKInvalids，
docsBpiCmTEKAuthPends，
docsBpiCmTEKKeyRejectErrorCode，
docsBpiCmTEKKeyRejectErrorString，
docsBpiCmTEKInvalidErrorCode，
docsBpiCmTEKInvalidErrorString
}
状态：现行
描述
“本对象集合提供了CM BPI状态和控制。”
::= { docsBpiGroups 1 }

docsBpiCmtsGroup对象类
对象{
docsBpiCmtsDefaultAuthLifetime，
docsBpiCmtsDefaultTEKLifetime，
docsBpiCmtsAuthRequests，
docsBpiCmtsAuthReplies，
docsBpiCmtsAuthRejects，
docsBpiCmtsAuthInvalids，
docsBpiCmtsAuthCmPublicKey，
docsBpiCmtsAuthCmKeySequenceNumber，
docsBpiCmtsAuthCmExpires，
docsBpiCmtsAuthCmLifetime，
docsBpiCmtsAuthCmGraceTime，
docsBpiCmtsAuthCmReset，
docsBpiCmtsAuthCmRequests，
docsBpiCmtsAuthCmReplies，
docsBpiCmtsAuthCmRejects，
docsBpiCmtsAuthCmInvalids，
docsBpiCmtsAuthRejectErrorCode，
docsBpiCmtsAuthRejectErrorString，
docsBpiCmtsAuthInvalidErrorCode，
docsBpiCmtsAuthInvalidErrorString，
docsBpiCmtsTEKLifetime，
docsBpiCmtsTEKGraceTime，
docsBpiCmtsTEKExpiresOld，
docsBpiCmtsTEKExpiresNew，
docsBpiCmtsTEKReset，
docsBpiCmtsKeyRequests，
docsBpiCmtsKeyReplies，
docsBpiCmtsKeyRejects，
docsBpiCmtsTEKInvalids，
docsBpiCmtsKeyRejectErrorCode，
docsBpiCmtsKeyRejectErrorString，
docsBpiCmtsTEKInvalidErrorCode，
docsBpiCmtsTEKInvalidErrorString，
docsBpiIpMulticastServiceId，
docsBpiIpMulticastMapControl，
docsBpiMulticastAuthControl
}
状态：现行
描述
“本对象的集合为CMTS BPI提供了状态和控制。”
::= { docsBpiGroups 2 }

docsBpiObsoleteObjectsGroup对象类
对象{
docsBpiCmtsDefaultAuthGraceTime，docsBpiCmtsDefaultTEKGraceTime
}
状态：废止
描述
“这是陈旧的BPI对象的集合。”
::= { docsBpiGroups 3 }

END
5. 致谢
本文档是IPCDN工作组的产物。本MIB的大部分内容是由Chet Birger和Mike StJohns
构思的。Kazuyoshi Ozawa和Bob Himlin也提出了许多有益的技术更正。
6. 参考文献
[1]Harrington，D.，Presuhn，R. and B. Wijnen，“An Architecture for  Describing SNMP 
Management Frameworks”，RFC 2571，April 1999.
[2]Rose，M. and K. McCloghrie，“Structure and Identification of  Management 
Information for TCP/IP-based Internets”，STD 16，RFC 1155，May 1990.
[3]Rose，M. and K. McCloghrie，“Concise MIB Definitions”，STD 16，RFC 1212，
March 1991.
[4]Rose，M.，“A Convention for Defining Traps for use with the SNMP”，RFC 1215，
March 1991.
[5]McCloghrie，K.，Perkins，D. and J. Schoenwaelder，“Structure of e Management 
Information for Version 2 (SMIv2)”，STD 58，RFC 2578，April 1999.
[6]McCloghrie，K.，Perkins，D. and J. Schoenwaelder，“Textual Conventions for 
SMIv2”，STD 58，RFC 2579，April 1999.
[7]McCloghrie，K.，Perkins，D. and J. Schoenwaelder，“Conformance Statements for 
SMIv2”，STD 58，RFC 2580，April 1999.
[8]Case，J.，Fedor，M.，Schoffstall，M. and J. Davin，“Simple Network Management 
Protocol”，STD 15，RFC 1157，May 1990.
[9]Case，J.，McCloghrie，K.，Rose，M. and S. Waldbusser，“Introduction to 
Community-based SNMPv2”，RFC 1901，January 1996.
[10]Case，J.，McCloghrie，K.，Rose，M. and S. Waldbusser，“Transport Mappings 
for Version 2 of the Simple Network Management Protocol (SNMPv2)”，RFC 1906，
January 1996.
[11]Case，J.，Harrington D.，Presuhn R. and B. Wijnen，“Message Processing and 
Dispatching for the Simple Network Management Protocol (SNMP)”，RFC 2572，April 
1999.
[12]Blumenthal，U. and B. Wijnen，“User-based Security Model (USM) for version 3 
of the Simple Network Management Protocol (SNMPv3)”，RFC 2574，April 1999.
[13]Case，J.，McCloghrie，K.，Rose，M. and S. Waldbusser，“Protocol Operations 
for Version 2 of the Simple Network Management Protocol (SNMPv2)”，RFC 1905，
January 1996.
[14]Levi，D.，Meyer，P. and B. Stewart，“SNMP Applications”，RFC 2573，April 1999.
[15]Wijnen，B.，Presuhn，R. and K. McCloghrie，“View-based Access Control Model 
(VACM) for the Simple Network Management Protocol (SNMP)”，RFC 2575，April 1999.
[16]St. Johns，M.，editor，“Radio Frequency (RF) Interface Management Information 
Base for MCNS/DOCSIS compliant RF interfaces”，RFC 2670，August 1999.
[17]St. Johns，M.，editor，“DOCSIS Cable Device MIB，Cable Device Management 
Information Base for DOCSIS compliant Cable Modems and Cable Modem Termination 
Systems”，RFC 2669，August 1999.
[18]“Data-Over-Cable Service Interface Specifications：Baseline Privacy Interface 
Specification SP-BPI-I02-990319”，DOCSIS，March 1999，http://www.cablemodem.com/.
[19]“Data-Over-Cable Service Interface Specifications：Cable Modem Radio 
Frequency Interface Specification SP-RFI-I05-991105”，DOCSIS，November 1999，
http://www.cablemodem.com/.
[20]“Data-Over-Cable Service Interface Specifications：Operations Support System 
Interface Specification RF Interface SP-OSSI-RF- I02-990113”，DOCSIS，January 1999，
http://www.cablemodem.com/.
[21]“Data-Over-Cable Service Interface Specifications：Baseline Privacy Plus 
Interface Specification SP-BPI+-I05-000714”，DOCSIS，July 2000，
http://www.cablemodem.com/.
[22]RSA Laboratories，“The Public-Key Cryptography Standards”，RSA Data 
Security Inc.，Redwood City，CA.
[23]Bradner，S.，“Key words for use in RFCs to Indicate Requirement Levels”，BCP 
14，RFC 2119，March 1997.
[24]Case，J.，Mundy，R.，Partain，D.，and B. Stewart，“Introduction to Version 3 
of the Internet-standard Network Management Framework”，RFC 2570，April 1999.
7. 需要考虑的安全问题
BPI为DOCSIS基于同轴电缆的数据服务提供了数据加密技术。支持BP的cable 
modem拥有由厂商预置的RSA公钥/私钥对。公钥用于加密认证密钥，认证密钥用于对 一
个或更多的通讯加密密钥(Traffic Encryption Key，缩写为TEK)进行加密。TEK既对上行数
据流加密，又对下行数据流加密。请参阅[18]来获得有关BP规范的进一步消息。
尤其是，BPI不支持认证服务。CMTS应用不鼓励依靠CM的MAC地址来提供服务授
权–尤其是，对于在这个MIB中的 docsBpiMulticastAuthTable。BPI+为CM提供了认证服
务，并且不久工作组将发布针对BPI+管理的一个MIB 。
这个MIB规范包含了一系列可读写的对象，应保护它们免受未授权的修改，防止服务
拒绝和服务偷窃攻击；尤其是，以下这些对象：重置机器状态(如 docsBpiCmAuthReset)、
改变密钥生命期(如 docsBpiCmtsDefaultAuthLifetime)、改变重获密钥的宽限期(如 
docsBpiCmtsDefaultAuthGraceTime)以及控制多播流量(如docsBpiMulticastControl 组重
的大多数对象) 。
保护这些对象免受无保证访问的 最好方法是实行SNMPv3框架提供的安全特性。特别
推荐采用基于用户的安全模式[12]和基于可视化的访问控制模式[15]。
保护CM免受未授权访问较弱些的方法包括使用来自cable设备MIB [17]的
docsDevNmAccess表，以禁止未授权的网络管理工作站改变配置；使用无线电频率接口的
SNMP MIB对象和SNMP 写访问控制配置文件选项来设置MIB对象值，并禁止在cable 
modem启动时执行SNMP SET操作。注意：这种机制很容易导致未经授权的网络管理工
作站“spoofing(伪装)”成一个合法的网络管理工作站的源地址。
8. 知识产权
IETF不考虑任何关于知识产权或其他权利的有效性或适用范围的问题，这些权利可能
附属于那些实现和使用本文档描述的技术的文档中声明，基于此产权声明的许可不是必须
的。而且也无须表示为了识别此声明而做的努力。关于标准制定和标准相关的IETF版权声
明过程的信息可以在BCP-11中找到。可以从IETF秘书处得到出版物的有效版权声明的复
制和许可证书，还可以使用此详述的制定者和使用者的私人授权，以便得到通用的授权和许
可。
IETF邀请任何感兴趣的组织注意其版权、专利或专利应用、其它专有权利，它们可能
需要使用这个标准的技术。请告知IETF 执行董事会相关的信息。
9. 作者地址
Richard Woundy
Cisco Systems
250 Apollo Drive
Chelmsford，MA 01824
U.S.A.
Phone：+1 978 244 8000
EMail：rwoundy@cisco.com
10. 完整的版权声明
Copyr