摘  要： 針對(duì)家庭網(wǎng)絡(luò)終端設(shè)備的復(fù)雜性和業(yè)務(wù)的多樣性引發(fā)的終端管理問(wèn)題，在研究各網(wǎng)絡(luò)管理協(xié)議的基礎(chǔ)上，著重介紹了管理體系協(xié)議TR069規(guī)定的網(wǎng)管構(gòu)架、網(wǎng)管功能及其安全性。
關(guān)鍵詞： 家庭網(wǎng)絡(luò)；遠(yuǎn)程管理；協(xié)議

　　隨著寬帶市場(chǎng)的高速發(fā)展、寬帶用戶(hù)的增多和寬帶接入網(wǎng)絡(luò)的增大，寬帶業(yè)務(wù)的開(kāi)戶(hù)、管理和維護(hù)問(wèn)題也越來(lái)越突出，越來(lái)越迫切。作為寬帶網(wǎng)絡(luò)接入設(shè)備的用戶(hù)端設(shè)備，由于數(shù)量眾多、布放分散，它的放號(hào)、維護(hù)、診斷和升級(jí)都需要運(yùn)營(yíng)商的維護(hù)工程師上門(mén)服務(wù)，使其成為寬帶接入網(wǎng)絡(luò)運(yùn)維問(wèn)題中的最突出問(wèn)題。為了有效降低運(yùn)維成本，提高用戶(hù)滿(mǎn)意度，在傳統(tǒng)的電信網(wǎng)絡(luò)設(shè)備的管理框架、商業(yè)模式和業(yè)務(wù)流程內(nèi)，構(gòu)建一個(gè)低成本、高效率的寬帶運(yùn)營(yíng)管理系統(tǒng)，己經(jīng)成為寬帶接入市場(chǎng)的重要問(wèn)題。而對(duì)數(shù)量最多、故障最為集中的用戶(hù)端設(shè)備的遠(yuǎn)程集中管理維護(hù)系統(tǒng)，則成為重中之重的問(wèn)題?？梢?jiàn)，終端設(shè)備的遠(yuǎn)程管理和維護(hù)是非常必要的[1]。
　　從目前運(yùn)營(yíng)商的需求來(lái)看，家庭網(wǎng)絡(luò)管理的任務(wù)包括：狀態(tài)管理，監(jiān)視聯(lián)網(wǎng)家電運(yùn)行狀態(tài)；設(shè)備控制，通過(guò)家庭網(wǎng)絡(luò)遠(yuǎn)程控制聯(lián)網(wǎng)家電；服務(wù)管理，自動(dòng)發(fā)現(xiàn)和配置聯(lián)網(wǎng)家電提供的服務(wù)；名字管理，在家庭網(wǎng)絡(luò)中維護(hù)一個(gè)可以唯一標(biāo)志聯(lián)網(wǎng)家電的名字空間。下面將對(duì)家庭網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理的相關(guān)技術(shù)進(jìn)行介紹。
1  家庭網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理的相關(guān)協(xié)議
　　家庭網(wǎng)絡(luò)設(shè)備遠(yuǎn)程管理需要解決的技術(shù)問(wèn)題主要是管理通道和管理協(xié)議。遠(yuǎn)程管理的信息承載在IP包上，管理通道問(wèn)題主要是解決如何傳送承載管理信息的IP包，這主要與具體的接入技術(shù)相關(guān)。如何保證管理通道的可用性和管理通道的帶寬是目前相關(guān)接入技術(shù)需要解決的問(wèn)題。管理協(xié)議主要是指IP層之上的管理內(nèi)容傳送協(xié)議。管理協(xié)議的選擇主要需要權(quán)衡安全性和協(xié)議復(fù)雜性。目前主要是DSL FORUM制定的TR-069。
1.1  簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP
　　1987年11月發(fā)布的簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議SGMP(Simple Gateway Monitoring Pratocol)，成為第一個(gè)專(zhuān)門(mén)為網(wǎng)絡(luò)管理提出的協(xié)議。該協(xié)議提出了直接監(jiān)控網(wǎng)關(guān)的方法。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP(Simp1e Network Management Protocol)建立在SGMP的基礎(chǔ)上，SNMP最初只是作為一種臨時(shí)解決方案被提出，但如今已經(jīng)成為了事實(shí)標(biāo)準(zhǔn)，而且是目前最常用的環(huán)境管理協(xié)議，它最重要的思想是要盡可能簡(jiǎn)單。SNMP首先是由Internet工程任務(wù)組織IETF的研究小組為了解決Internet上的路由器管理問(wèn)題而提出的。SNMP提供了一種從運(yùn)行網(wǎng)絡(luò)管理軟件的中央計(jì)算機(jī)來(lái)管理網(wǎng)絡(luò)設(shè)備的方法，并提供了一種從網(wǎng)絡(luò)上的設(shè)備中收集網(wǎng)絡(luò)管理信息的方法，也為設(shè)備向網(wǎng)絡(luò)管理工作站報(bào)告問(wèn)題和錯(cuò)誤提供了一種方法。 
　　隨著未來(lái)的網(wǎng)絡(luò)管理智能化趨勢(shì)，網(wǎng)絡(luò)規(guī)模日趨加大、設(shè)備種類(lèi)更加復(fù)雜、需要更強(qiáng)大功能，網(wǎng)絡(luò)管理協(xié)議也會(huì)隨之作相應(yīng)變動(dòng)，這些都需要更多的安全作保障。然而，在SNMP的整個(gè)應(yīng)用過(guò)程中，出現(xiàn)了許多安全方面的問(wèn)題。SNM-Pvl和SNM-Pv2協(xié)議仍存在內(nèi)容被篡改等漏洞，雖然SNM-Pv3協(xié)議就安全方面做了很大的努力，但由于復(fù)雜性使其推廣受到限制[2]。
1.2  家庭網(wǎng)絡(luò)管理協(xié)議HNMP
　　針對(duì)家庭網(wǎng)絡(luò)的特定結(jié)構(gòu)以及SNMP的簡(jiǎn)單性，有人提出了一個(gè)新的家庭網(wǎng)絡(luò)管理協(xié)議HNMP(Home Network Management Protocol)，它把SNMP協(xié)議延伸到家庭網(wǎng)絡(luò)。HNMP模型對(duì)家庭內(nèi)部網(wǎng)絡(luò)進(jìn)行管理，不僅可以描述各種各樣的家電設(shè)備參數(shù)，并對(duì)其進(jìn)行管理，而且具有簡(jiǎn)單、無(wú)需用戶(hù)自己配置的特點(diǎn)，可以達(dá)到即插即用的效果，為遠(yuǎn)程控制家庭信息設(shè)備打下了基礎(chǔ)。它的主要功能是管理聯(lián)網(wǎng)家電的運(yùn)行狀態(tài)，并且和SNMP模型兼容。但是對(duì)于網(wǎng)絡(luò)接入和網(wǎng)絡(luò)服務(wù)分離的接入網(wǎng)模型(目前國(guó)外一般都屬于這種模型)，SNMP這種集中式的網(wǎng)絡(luò)管理協(xié)議并不能滿(mǎn)足要求，這就需要一種新的管理模型[3]。
1.3  改進(jìn)的家庭網(wǎng)絡(luò)管理協(xié)議EXHNMP
　　與一般的網(wǎng)絡(luò)管理相比，家庭網(wǎng)絡(luò)管理不僅是對(duì)聯(lián)網(wǎng)家電的狀態(tài)和行為進(jìn)行管理，還要對(duì)聯(lián)網(wǎng)家電能提供的服務(wù)進(jìn)行管理。在家庭網(wǎng)絡(luò)中，不同的聯(lián)網(wǎng)家電提供五花八門(mén)的服務(wù)，這些服務(wù)之間可能還有復(fù)雜的依賴(lài)關(guān)系，同時(shí)，家庭網(wǎng)絡(luò)中的服務(wù)的配置必須是自動(dòng)完成的，不需要人為干預(yù)，需要是家庭網(wǎng)絡(luò)的管理協(xié)議能夠自動(dòng)發(fā)現(xiàn)和配置家庭網(wǎng)絡(luò)上的這些服務(wù)。HNMP考慮了聯(lián)網(wǎng)家電的運(yùn)行狀態(tài)的管理，并沒(méi)有考慮家庭網(wǎng)絡(luò)上服務(wù)的管理。針對(duì)此局限性，對(duì)HNMP協(xié)議進(jìn)行了改進(jìn)和擴(kuò)展得出EXHNMP。
　　EXHNMP是一個(gè)分布式的家庭網(wǎng)絡(luò)管理協(xié)議，聯(lián)網(wǎng)家電可以對(duì)等地直接控制網(wǎng)絡(luò)上的其他聯(lián)網(wǎng)家電；EXHNMP還引入了簡(jiǎn)單的服務(wù)管理，聯(lián)網(wǎng)家電可以根據(jù)任務(wù)自動(dòng)選擇適當(dāng)?shù)姆?wù)；EXHNMP是對(duì)家庭通過(guò)由管理信息庫(kù)(MIB)中擴(kuò)展的管理對(duì)象描述的服務(wù)，EXHNMP使得聯(lián)網(wǎng)家電對(duì)家庭網(wǎng)絡(luò)上的服務(wù)進(jìn)行檢索和匹配并根據(jù)要完成的任務(wù)查找適當(dāng)?shù)姆?wù)及其提供者。事實(shí)上，EXHNMP中對(duì)MIB的服務(wù)對(duì)象的描述還相對(duì)簡(jiǎn)單，不能精確地定義服務(wù)的細(xì)節(jié)，因此服務(wù)的匹配不能非常準(zhǔn)確[4]。
1.4  CPE廣域網(wǎng)管理協(xié)議
　　TR-069協(xié)議是當(dāng)今寬帶領(lǐng)域最受關(guān)注的管理體系協(xié)議，其全稱(chēng)為“CPE廣域網(wǎng)管理協(xié)議”。它在2004年5月由DSL Forum提出，并且還在不斷地更新中。它規(guī)定了家庭網(wǎng)關(guān)進(jìn)行遠(yuǎn)程管理配置時(shí)的通用框架和協(xié)議，用于從網(wǎng)絡(luò)側(cè)對(duì)家庭網(wǎng)關(guān)進(jìn)行遠(yuǎn)程集中管理。該協(xié)議支持對(duì)設(shè)備的自動(dòng)配置，軟件和固件的升級(jí)管理，以及監(jiān)測(cè)設(shè)備的狀態(tài)和性能，并能對(duì)設(shè)備故障進(jìn)行診斷。TR-069協(xié)議可以認(rèn)為是DSL Forum關(guān)于家庭網(wǎng)絡(luò)一系列設(shè)備遠(yuǎn)程管理的基礎(chǔ)，在支持設(shè)備遠(yuǎn)程管理方面具有很大的優(yōu)勢(shì)。該協(xié)議正成為各設(shè)備運(yùn)營(yíng)商在采購(gòu)設(shè)備時(shí)，要求設(shè)備必須支持的管理協(xié)議。因此，為使各種家庭設(shè)備特別是家庭網(wǎng)關(guān)設(shè)備支持遠(yuǎn)程管理的功能，TR-069協(xié)議采用了成熟的通信協(xié)議，開(kāi)放的面向?qū)ο蟮墓芾硇畔⒓軜?gòu)，具有強(qiáng)大的靈活性和可擴(kuò)充能力[5]。
2 TR-069協(xié)議
　　TR-069廣域網(wǎng)絡(luò)自動(dòng)管理協(xié)議是DSL論壇定義的終端管理框架的一部分，TR-069 CPE廣域網(wǎng)絡(luò)自動(dòng)管理協(xié)議負(fù)責(zé)三層以上復(fù)雜業(yè)務(wù)的配置過(guò)程。它的核心思想是通過(guò)定義一套ACS和CPE之間自動(dòng)協(xié)商交互協(xié)議，實(shí)現(xiàn)終端的自動(dòng)配置的過(guò)程。TR-069規(guī)范主要由自動(dòng)配置管理服務(wù)器(ACS)、用戶(hù)駐地設(shè)備(CPE，即被管終端)、業(yè)務(wù)配置管理服務(wù)器以及一些必要的管理接口組成。它通過(guò)定義一套ACS和CPE之間自動(dòng)協(xié)商交互協(xié)議，實(shí)現(xiàn)終端的自動(dòng)配置和動(dòng)態(tài)的業(yè)務(wù)發(fā)放，軟件/固件映像管理與升級(jí)，狀態(tài)、性能監(jiān)視以及診斷功能[6]。
　　基于TR-069的網(wǎng)管構(gòu)架如圖1所示，宏觀(guān)上主要有2個(gè)接口，一個(gè)是完成從業(yè)務(wù)或服務(wù)提供商向ACS下發(fā)業(yè)務(wù)配置的北向接口(ACS Northbound Interface)，另外一個(gè)是完成從ACS到CPE配置管理的南向接口(ACS Southbound Interface)。

　　TR-069設(shè)備廣域網(wǎng)配置管理框架是一種被動(dòng)式的管理模型，與SNMP主動(dòng)管理模式不一樣，它不要求設(shè)備一直在線(xiàn)，也不需要檢測(cè)終端設(shè)備是否在線(xiàn)，所有的請(qǐng)求都由終端設(shè)備發(fā)起，服務(wù)器只是被動(dòng)地處理請(qǐng)求，能夠適應(yīng)終端設(shè)備數(shù)量巨大、地域分散的特點(diǎn)，具有更好的魯棒性和適應(yīng)性。
2.1 TR-069協(xié)議棧結(jié)構(gòu)
　　 TR-069協(xié)議采用了許多現(xiàn)存的、標(biāo)準(zhǔn)的協(xié)議以獲得最廣泛的設(shè)備支持。采用IP協(xié)議來(lái)保證TR-069協(xié)議獨(dú)立于網(wǎng)絡(luò)傳輸?shù)奈锢斫橘|(zhì)，采用SOAP協(xié)議來(lái)保證TR-069設(shè)備具有互操作能力，采用XML來(lái)對(duì)設(shè)備和服務(wù)進(jìn)行統(tǒng)一的描述， 采用HTTP協(xié)議來(lái)進(jìn)行TR-069設(shè)備的信息交互，采用RPC方法實(shí)現(xiàn)CPE與ACS之間的交互，采用SSL/TLS增加網(wǎng)絡(luò)傳輸?shù)陌踩?。采用這些現(xiàn)存的、廣泛應(yīng)用的協(xié)議能減少開(kāi)發(fā)TR-069設(shè)備的工作量，使TR-069設(shè)備更好地融入現(xiàn)有網(wǎng)絡(luò)。CPE WAN管理協(xié)議中定義的協(xié)議棧如表1所示。

　　TR-069協(xié)議中使用的這些成熟層次之間有非常緊密的聯(lián)系。TR-069協(xié)議的最終目的是建立一個(gè)可用的設(shè)備管理應(yīng)用協(xié)議，它是一個(gè)多層協(xié)議構(gòu)成的框架體系，每一層都以相鄰的下層為基礎(chǔ)，同時(shí)又是相鄰上層的基礎(chǔ)。TCP/IP是通用的互聯(lián)網(wǎng)傳輸協(xié)議；SSL/TLS則是出于安全的考慮，屬于可選的協(xié)議層次；HTTP則是標(biāo)準(zhǔn)的傳輸會(huì)話(huà)協(xié)議，用于客戶(hù)端與服務(wù)器的會(huì)話(huà)管理，而SOAP則是用于對(duì)上層應(yīng)用協(xié)議內(nèi)容的編碼。由此可見(jiàn)這些協(xié)議層次是一個(gè)完整的網(wǎng)絡(luò)應(yīng)用協(xié)議的典型結(jié)構(gòu)，功能完善，結(jié)構(gòu)簡(jiǎn)潔明了，它們是缺一不可的整體。
2.2  基于TR-069實(shí)現(xiàn)的網(wǎng)管功能
　　TR-069協(xié)議的管理內(nèi)容包括設(shè)備的自動(dòng)配置及動(dòng)態(tài)業(yè)務(wù)發(fā)放、軟件/固件升級(jí)、狀態(tài)和性能監(jiān)測(cè)以及故障診斷。
　　(1)設(shè)備的自動(dòng)配置及業(yè)務(wù)動(dòng)態(tài)發(fā)放
    　CPE在與ACS利用TR-069協(xié)議進(jìn)行交互過(guò)程中對(duì)自己做出標(biāo)識(shí)(例如型號(hào)、版本等)，而ACS則根據(jù)這些特定的標(biāo)識(shí)設(shè)定特定的規(guī)則，對(duì)某個(gè)特定的用戶(hù)或者某類(lèi)特定的設(shè)備進(jìn)行配置信息的更新或者業(yè)務(wù)的發(fā)放。在該協(xié)議中，CPE在開(kāi)機(jī)后自動(dòng)請(qǐng)求ACS中的配置信息，而ACS也可在任意需要的時(shí)刻主動(dòng)進(jìn)行配置或者業(yè)務(wù)下發(fā)。通過(guò)這樣的設(shè)置，用戶(hù)可以實(shí)現(xiàn)對(duì)設(shè)備的“零配置安裝”，而ACS可以從WAN側(cè)動(dòng)態(tài)地監(jiān)控設(shè)備參數(shù)的改變。
    　(2)設(shè)備的軟件或固件升級(jí)
    　由于A(yíng)CS可以識(shí)別CPE的設(shè)備標(biāo)志以及其軟件的版本號(hào)，所以ACS一旦發(fā)現(xiàn)CPE的軟件或者固件需要升級(jí)時(shí)，就會(huì)要求CPE遠(yuǎn)程更新其軟件或固件。由于在TR-069協(xié)議中提供了文件下載的功能，因此ACS指定新的軟件或者固件文件的地址，讓CPE到指定位置下載文件即可，CPE在文件下載結(jié)束后會(huì)通告ACS文件下載的結(jié)果。
　　(3)設(shè)備的狀態(tài)和性能監(jiān)測(cè)
    　ACS通過(guò)協(xié)議規(guī)定的RPC方法讀取CPE中參數(shù)的值，從而可以監(jiān)控設(shè)備的當(dāng)前狀態(tài)，以判定設(shè)備當(dāng)前是否處于正常工作狀態(tài)。同時(shí)ACS通過(guò)對(duì)一些反應(yīng)CPE性能狀態(tài)的參數(shù)的檢測(cè)，也可以知道CPE性能是否變壞。
　　(4)故障診斷
    　TR-069中定義了一系列的參數(shù)用于設(shè)備故障的診斷，當(dāng)設(shè)備發(fā)生故障后，可以讀取相應(yīng)的參數(shù)來(lái)診斷故障的發(fā)生。ACS也可以通過(guò)要求CPE上傳設(shè)備的日志文件來(lái)分析CPE的歷史狀態(tài)和操作等，以更好地找到故障發(fā)生的原因，從而能對(duì)設(shè)備做有針對(duì)性的修復(fù)，降低設(shè)備的故障率。
2.3 TR-069協(xié)議的安全性
    　由于TR-069是一個(gè)遠(yuǎn)程設(shè)備管理協(xié)議，所以CPE和ACS間通信的安全性是很重要的。因此，TR-069推薦使用SSL/TLS安全套接口層協(xié)議。SSL是一種安全通信協(xié)議，它提供了2臺(tái)計(jì)算機(jī)之間的安全連接，對(duì)整個(gè)會(huì)話(huà)進(jìn)行了加密，從而保證了安全傳輸。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上，與上層協(xié)議無(wú)關(guān)，各種應(yīng)用層協(xié)議(如：HTTP、FTP、TELNET等)能通過(guò)SSL協(xié)議進(jìn)行透明傳輸。在TR-069協(xié)議中采用SSL/TLS和TCP有以下一些限制：SSL/TLS的版本必須是SSL3.0或者TLS1.0，并且加密算法長(zhǎng)度要大于或等于128位；CPE必須用ACS提供的證書(shū)認(rèn)證ACS；ACS可以接收一個(gè)有效的CPE提供的證書(shū)來(lái)認(rèn)證CPE，但是如果CPE不提供證書(shū)，ACS必須允許SSL/TLS連接建立。
　　采用SSL/TLS的方法雖然可以解決通信安全性的問(wèn)題，但是在TR-069中卻將此協(xié)議作為可選而不是必須的。這是因?yàn)镾SL在實(shí)現(xiàn)時(shí)需要的代碼量比較大，增大了整個(gè)協(xié)議的復(fù)雜度，需要更大的存儲(chǔ)器容量，而這對(duì)一般的數(shù)字家庭設(shè)備來(lái)說(shuō)是很寶貴的資源。因此，TR-069采用HTTP的摘要認(rèn)證來(lái)作為SSL的補(bǔ)充，即：如果不使用SSL來(lái)保證通信安全性，ACS必須對(duì)CPE采用HTTP的摘要認(rèn)證方式進(jìn)行認(rèn)證。
　　本文通過(guò)對(duì)設(shè)備遠(yuǎn)程管理相關(guān)協(xié)議的優(yōu)劣做了詳細(xì)的研究后，從協(xié)議棧結(jié)構(gòu)、實(shí)現(xiàn)的網(wǎng)管功能及其安全性，重點(diǎn)介紹了目前寬帶領(lǐng)域最受關(guān)注的管理體系協(xié)議TR-069。雖然通過(guò)部署基于TR-069的網(wǎng)管系統(tǒng)，可以在很大程度上減少用戶(hù)的配置和管理工作，提高設(shè)備的易用性和可管理性，便于家庭網(wǎng)絡(luò)中設(shè)備的快速部署和業(yè)務(wù)的迅速開(kāi)展。但從協(xié)議目前的發(fā)展情況來(lái)看，TR-069仍然處于一個(gè)不斷完善的過(guò)程中，在業(yè)務(wù)參數(shù)模型上還需要加入對(duì)更多的終端業(yè)務(wù)和特性的支持。
參考文獻(xiàn)
[1] 宋臣.終端自動(dòng)配置管理研究[D].成都：西南交通大學(xué)，2006.
[2] 彭淑靜.SNMP網(wǎng)絡(luò)管理系統(tǒng)技術(shù).甘肅科技縱橫，2008, 38(2).
[3] LIU Yun Xin， ZHANG Yao Xue. HNMP： a digital home network management　model. ACTA Electronica Sinica，2001.
[4] 王勇，張堯?qū)W，方存好.一種改進(jìn)的家庭網(wǎng)絡(luò)管理協(xié)議—ExHNMP.小型計(jì)算機(jī)微型系統(tǒng)，2004,25(7).
[5] DSL Forum. CPE WAN management protocol[S]. Tech. rep. 069， May 2004.
[6] 王遠(yuǎn)波.家庭網(wǎng)關(guān)遠(yuǎn)程管理功能模塊的設(shè)計(jì)與實(shí)現(xiàn)[D].武漢：華中科技大學(xué)，2009.