BPI+協定包括封裝協定和BPKM協定兩部分。封裝協定描述的是攜帶加密數據包PDU的MAC幀格式、所支持的密碼技術及套用這些算法規則。BPKM協定規定了CableModem由CMTS獲得授權和會話密鑰資料的規程,並支持定期地重授權和更新密鑰。BPI+除了支持可變長PDU加密外,還支持對分段MAC幀的加密。為支持分段上行MAC幀,DOCSIS1.1將擴展信頭元素擴展了一個位元組,定義為分段控制域。
BPI+共採用了授權密鑰AK、會話密鑰TEK和密鑰加密、密鑰KEK三級密鑰。CMTS與Cable Modem之間授權密鑰AK的交換實現了CMTS對Cable Modem的身份認證和訪問控制。Cable Modem為其業務向CMTS申請授權,CMTS通過X.509證書核實Cable Modem是否被授權該業務,並標記為SA和分發相應的授權密鑰。這樣CMTS便可確保每個Cable Modem只能訪問它授權訪問的SA了。會話密鑰TEK用於加密通信雙方的會話。傳送TEK時使用的則是密鑰加密密鑰KEK和3-DES算法。Cable Modem使用BPKM協定向CMTS申請SA的密鑰資料;CMTS確保每個Cable Modem只能訪問它授權訪問的SA.BPI+定期的密鑰更新(更新TEK)和重授權(更新授權鑰)不僅確保了通信的安全,同時完成著訪問控制的任務。加密數據包時採用的單鑰體制與傳送密鑰時的雙鑰體制相結合,保證了數據安全又提高了加解密過程的速度。
