Siánn-mi̍h Sī Certificate

進前有簡單介紹公用鎖匙加密的方式,利用加密、解密無仝鎖匙的特性,咱只要先共家己的 public key 送出去,就有法度建立祕密的通道。
佇這个祕密的通道內底,咱會使另外約定一个較簡單ê加密方法,按呢咱就會使用安全閣方便的方法得著後擺欲加密ê時所使用的鎖匙。

但是,會拄著一个的問題。一開始,欲按怎共家己的 public key 送出去咧? 咱欲按怎予人相信這个 public key 真正是我ê咧?

佇 DOCSIS 1.0 ê 時陣,若是想欲走 BPI,modem 直接共伊 ê public key 傳予 CMTS。CMTS 干焦簡單檢查 modem 送過來ê資料(mac ...),
就開始走 BPI 矣。無法度知影這个 modem 是毋是予人偷改過。因為咱知影欲做一組 RSA key 真簡單,openssl ê 命令拍拍咧就有矣。
用這種簡單ê方式,掠袂著予人偷改過 ê modem。所以,對 DOCSIS1.1 開始,就開始有 certificate,BPI 嘛升級變做 BPI+。

Ka-bi̍t Kái-bi̍t Ê Kán-kài

加密解密的簡介

佇 cable modem 佮 MTA 的環境,為著欲保護傳送的資料莫(mài)予人偷聽,會使用加密這个技術。毋過,毋是凊凊彩彩就會使使用這个技術,
參咱人仝款,若是欲共祕密的資訊傳予別人,愛先認予清楚,對方敢會用得信認。佇 cable modem 佮 MTA 遮,是利用數位憑證(sòo-uī pîn-tsìng)
digital certificate 來判斷對方的身份。

因為按呢,咱就愛佇設備內底安裝 certificate,若是咧做實驗的時陣,有可能閣愛換另外一組 certificate。真濟人予這幾張 certificate 舞甲花嗄嗄(sà)
出問題的時陣,毋知欲按怎掠蟲,我咧(teh)想,這是因為無了解到底啥物是 certificate 造成的。

欲了解 certificate ,愛對加密的方式講起,根據我過去的經驗,見擺若是講著數學,逐家就聽甲霧嗄嗄,所以這篇就無欲講數學,直接舉例來講。

EMTA Provisioning Ê Thîng-sū - Hybrid Provisioning

Hybrid provisioning 無像 secure provisioning 遐爾仔複雜,嘛無像 basic provisioning 遐爾仔簡單。

參 basic provisioning 相比,伊需要加一个 Prov Server,就是 DHCP option 122.3 設定的位置。無法度直接對
DHCP 遐得著 configuration file 的所在。

若是參 secure provisioning 相比,伊無需要先去揣 KDC 拆票,會使直接去揣 Prov Server,伊佮 Prov Server 用光碼(SNMP v2c)來往,
若是secure provisioning, 就愛用暗碼(SNMP v3,雖然SNMP v3 嘛會使用光碼,毋過我感覺既然欲走 secure,閣用光碼來往就較無意思啊)

EMTA Provisioning Ê Thîng-sū - Basic Provisioning

Basic provisioning flow 非常簡單,看下底這張圖就知,參進前彼張比較,賰無夠一半的程序就完成囉。

participant CM MTA as A
participant PKT DHCP as E
participant Prov Server as H
participant PKT TFTP as I
participant SYSLOGP as J

A-E: MTA1: DHCP Broadcast Discover
E-A: MTA2: DHCP Offer
A-E: MTA3: DHCP Request
E-A: MTA4: DHCP Ack

A-I: B-MTA22: Telephony config file request
I-A: B-MTA23: Telephony config file

A--J: B-MTA24: MTA send telephony service provider SYSLOG a notification of provisioning completed
A--H: B-MTA25: SNMP Notify completion of telephony provisioning (MTA MAC address, ESN, pass/fail)


EMTA Provisioning Ê Thîng-sū - MTA Provisioning

CM provisioning 完成了後,包佇 CM 內底的 MTA 才有法度送資料,參 CM 仝款,一開始愛先挈著 IP 才有法度繼續行落去。
MTA provisioning 的方式有三種:Secure、Hybrid、Basic
欲按怎控制 MTA 用佗一種方式 provisioning? CableLabs 設計的方法是利用 DHCP 來做。

DHCP option 122 內底有真濟項目會使設定,
CM provisioning 的時陣,咱已經用著 122.1 來通知 MTA 將來愛按怎處理 DHCP, option 122 其他的項目就是用來控制 MTA provisioning  的方式。

Option 122 有3个一定愛用著的項目
  • 122.1:Service Provider's Primary DHCP Server Address
  • 122.3:Service Provider's Provisioning Entity Address
  • 122.6:Kerberos Realm of SNMP Entity

EMTA Provisioning Ê Thîng-sū - CM Provisioning


前一篇講著 EMTA provisioning 的程序,這篇先來看 cable modem 的部份,因為 MTA 愛用 cable modem 的網路,
所以咱需要先予 cable modem 會使連起去(khiuh)網路,紲落去 MTA 才有法度 provisioning。

佇遮無欲討論物理上的連線,所以咱假設 downstream/upstream power/frequency/profile ... li-li-khok-khok 的設定攏無問題。
咱共重點囥佇 server 頂懸,看下底的圖,欲予 CM 連起去,愛 DHCP/TFTP/ToD 這三个 server。

EMTA Provisioning Ê Thîng-sū


欲講 provisioning 的程序進前,代先愛知影啥物是 provisioning, 啥物是 EMTA。
EMTA 全名是 EMTA Embedded Multimedia Terminal Adapter,簡單講,就是一个設備予你會使共電話接入去,利用網路來敲電話。
因為我這馬欲討論的是 PacketCable,所以這个 embedded 就是講 MTA 是合入去 cable modem 內底。

閣來欲講啥物是 provisioning,provisioning 是一个電信行業使用的技術詞彙。伊的意思是講為著欲予伊的用戶得著服務,所做的準備佮安裝網路的過程。

舉 EMTA 的例來講,伊的目的是欲予用戶敲網路電話,上基本的就是愛共線路佮設備攢予好。簡單講,就是共 cable 對機房接到用戶遐,佇用戶遐囥一台EMTA。
按呢,硬體的部份算是差不多完成啊(其他較幼路的部份遮無欲討論),閣紲落去就是軟體的部份。