摘 要: 針對家庭網(wǎng)絡終端設備的復雜性和業(yè)務的多樣性引發(fā)的終端管理問題,在研究各網(wǎng)絡管理協(xié)議的基礎上,著重介紹了管理體系協(xié)議TR069規(guī)定的網(wǎng)管構架、網(wǎng)管功能及其安全性。
關鍵詞: 家庭網(wǎng)絡;遠程管理;協(xié)議
隨著寬帶市場的高速發(fā)展、寬帶用戶的增多和寬帶接入網(wǎng)絡的增大,寬帶業(yè)務的開戶、管理和維護問題也越來越突出,越來越迫切。作為寬帶網(wǎng)絡接入設備的用戶端設備,由于數(shù)量眾多、布放分散,它的放號、維護、診斷和升級都需要運營商的維護工程師上門服務,使其成為寬帶接入網(wǎng)絡運維問題中的最突出問題。為了有效降低運維成本,提高用戶滿意度,在傳統(tǒng)的電信網(wǎng)絡設備的管理框架、商業(yè)模式和業(yè)務流程內,構建一個低成本、高效率的寬帶運營管理系統(tǒng),己經(jīng)成為寬帶接入市場的重要問題。而對數(shù)量最多、故障最為集中的用戶端設備的遠程集中管理維護系統(tǒng),則成為重中之重的問題。可見,終端設備的遠程管理和維護是非常必要的[1]。
從目前運營商的需求來看,家庭網(wǎng)絡管理的任務包括:狀態(tài)管理,監(jiān)視聯(lián)網(wǎng)家電運行狀態(tài);設備控制,通過家庭網(wǎng)絡遠程控制聯(lián)網(wǎng)家電;服務管理,自動發(fā)現(xiàn)和配置聯(lián)網(wǎng)家電提供的服務;名字管理,在家庭網(wǎng)絡中維護一個可以唯一標志聯(lián)網(wǎng)家電的名字空間。下面將對家庭網(wǎng)絡設備遠程管理的相關技術進行介紹。
1 家庭網(wǎng)絡設備遠程管理的相關協(xié)議
家庭網(wǎng)絡設備遠程管理需要解決的技術問題主要是管理通道和管理協(xié)議。遠程管理的信息承載在IP包上,管理通道問題主要是解決如何傳送承載管理信息的IP包,這主要與具體的接入技術相關。如何保證管理通道的可用性和管理通道的帶寬是目前相關接入技術需要解決的問題。管理協(xié)議主要是指IP層之上的管理內容傳送協(xié)議。管理協(xié)議的選擇主要需要權衡安全性和協(xié)議復雜性。目前主要是DSL FORUM制定的TR-069。
1.1 簡單網(wǎng)絡管理協(xié)議SNMP
1987年11月發(fā)布的簡單網(wǎng)關監(jiān)控協(xié)議SGMP(Simple Gateway Monitoring Pratocol),成為第一個專門為網(wǎng)絡管理提出的協(xié)議。該協(xié)議提出了直接監(jiān)控網(wǎng)關的方法。簡單網(wǎng)絡管理協(xié)議SNMP(Simp1e Network Management Protocol)建立在SGMP的基礎上,SNMP最初只是作為一種臨時解決方案被提出,但如今已經(jīng)成為了事實標準,而且是目前最常用的環(huán)境管理協(xié)議,它最重要的思想是要盡可能簡單。SNMP首先是由Internet工程任務組織IETF的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP提供了一種從運行網(wǎng)絡管理軟件的中央計算機來管理網(wǎng)絡設備的方法,并提供了一種從網(wǎng)絡上的設備中收集網(wǎng)絡管理信息的方法,也為設備向網(wǎng)絡管理工作站報告問題和錯誤提供了一種方法。
隨著未來的網(wǎng)絡管理智能化趨勢,網(wǎng)絡規(guī)模日趨加大、設備種類更加復雜、需要更強大功能,網(wǎng)絡管理協(xié)議也會隨之作相應變動,這些都需要更多的安全作保障。然而,在SNMP的整個應用過程中,出現(xiàn)了許多安全方面的問題。SNM-Pvl和SNM-Pv2協(xié)議仍存在內容被篡改等漏洞,雖然SNM-Pv3協(xié)議就安全方面做了很大的努力,但由于復雜性使其推廣受到限制[2]。
1.2 家庭網(wǎng)絡管理協(xié)議HNMP
針對家庭網(wǎng)絡的特定結構以及SNMP的簡單性,有人提出了一個新的家庭網(wǎng)絡管理協(xié)議HNMP(Home Network Management Protocol),它把SNMP協(xié)議延伸到家庭網(wǎng)絡。HNMP模型對家庭內部網(wǎng)絡進行管理,不僅可以描述各種各樣的家電設備參數(shù),并對其進行管理,而且具有簡單、無需用戶自己配置的特點,可以達到即插即用的效果,為遠程控制家庭信息設備打下了基礎。它的主要功能是管理聯(lián)網(wǎng)家電的運行狀態(tài),并且和SNMP模型兼容。但是對于網(wǎng)絡接入和網(wǎng)絡服務分離的接入網(wǎng)模型(目前國外一般都屬于這種模型),SNMP這種集中式的網(wǎng)絡管理協(xié)議并不能滿足要求,這就需要一種新的管理模型[3]。
1.3 改進的家庭網(wǎng)絡管理協(xié)議EXHNMP
與一般的網(wǎng)絡管理相比,家庭網(wǎng)絡管理不僅是對聯(lián)網(wǎng)家電的狀態(tài)和行為進行管理,還要對聯(lián)網(wǎng)家電能提供的服務進行管理。在家庭網(wǎng)絡中,不同的聯(lián)網(wǎng)家電提供五花八門的服務,這些服務之間可能還有復雜的依賴關系,同時,家庭網(wǎng)絡中的服務的配置必須是自動完成的,不需要人為干預,需要是家庭網(wǎng)絡的管理協(xié)議能夠自動發(fā)現(xiàn)和配置家庭網(wǎng)絡上的這些服務。HNMP考慮了聯(lián)網(wǎng)家電的運行狀態(tài)的管理,并沒有考慮家庭網(wǎng)絡上服務的管理。針對此局限性,對HNMP協(xié)議進行了改進和擴展得出EXHNMP。
EXHNMP是一個分布式的家庭網(wǎng)絡管理協(xié)議,聯(lián)網(wǎng)家電可以對等地直接控制網(wǎng)絡上的其他聯(lián)網(wǎng)家電;EXHNMP還引入了簡單的服務管理,聯(lián)網(wǎng)家電可以根據(jù)任務自動選擇適當?shù)姆眨籈XHNMP是對家庭通過由管理信息庫(MIB)中擴展的管理對象描述的服務,EXHNMP使得聯(lián)網(wǎng)家電對家庭網(wǎng)絡上的服務進行檢索和匹配并根據(jù)要完成的任務查找適當?shù)姆占捌涮峁┱摺J聦嵣希珽XHNMP中對MIB的服務對象的描述還相對簡單,不能精確地定義服務的細節(jié),因此服務的匹配不能非常準確[4]。
1.4 CPE廣域網(wǎng)管理協(xié)議
TR-069協(xié)議是當今寬帶領域最受關注的管理體系協(xié)議,其全稱為“CPE廣域網(wǎng)管理協(xié)議”。它在2004年5月由DSL Forum提出,并且還在不斷地更新中。它規(guī)定了家庭網(wǎng)關進行遠程管理配置時的通用框架和協(xié)議,用于從網(wǎng)絡側對家庭網(wǎng)關進行遠程集中管理。該協(xié)議支持對設備的自動配置,軟件和固件的升級管理,以及監(jiān)測設備的狀態(tài)和性能,并能對設備故障進行診斷。TR-069協(xié)議可以認為是DSL Forum關于家庭網(wǎng)絡一系列設備遠程管理的基礎,在支持設備遠程管理方面具有很大的優(yōu)勢。該協(xié)議正成為各設備運營商在采購設備時,要求設備必須支持的管理協(xié)議。因此,為使各種家庭設備特別是家庭網(wǎng)關設備支持遠程管理的功能,TR-069協(xié)議采用了成熟的通信協(xié)議,開放的面向對象的管理信息架構,具有強大的靈活性和可擴充能力[5]。
2 TR-069協(xié)議
TR-069廣域網(wǎng)絡自動管理協(xié)議是DSL論壇定義的終端管理框架的一部分,TR-069 CPE廣域網(wǎng)絡自動管理協(xié)議負責三層以上復雜業(yè)務的配置過程。它的核心思想是通過定義一套ACS和CPE之間自動協(xié)商交互協(xié)議,實現(xiàn)終端的自動配置的過程。TR-069規(guī)范主要由自動配置管理服務器(ACS)、用戶駐地設備(CPE,即被管終端)、業(yè)務配置管理服務器以及一些必要的管理接口組成。它通過定義一套ACS和CPE之間自動協(xié)商交互協(xié)議,實現(xiàn)終端的自動配置和動態(tài)的業(yè)務發(fā)放,軟件/固件映像管理與升級,狀態(tài)、性能監(jiān)視以及診斷功能[6]。
基于TR-069的網(wǎng)管構架如圖1所示,宏觀上主要有2個接口,一個是完成從業(yè)務或服務提供商向ACS下發(fā)業(yè)務配置的北向接口(ACS Northbound Interface),另外一個是完成從ACS到CPE配置管理的南向接口(ACS Southbound Interface)。
TR-069設備廣域網(wǎng)配置管理框架是一種被動式的管理模型,與SNMP主動管理模式不一樣,它不要求設備一直在線,也不需要檢測終端設備是否在線,所有的請求都由終端設備發(fā)起,服務器只是被動地處理請求,能夠適應終端設備數(shù)量巨大、地域分散的特點,具有更好的魯棒性和適應性。
2.1 TR-069協(xié)議棧結構
TR-069協(xié)議采用了許多現(xiàn)存的、標準的協(xié)議以獲得最廣泛的設備支持。采用IP協(xié)議來保證TR-069協(xié)議獨立于網(wǎng)絡傳輸?shù)奈锢斫橘|,采用SOAP協(xié)議來保證TR-069設備具有互操作能力,采用XML來對設備和服務進行統(tǒng)一的描述, 采用HTTP協(xié)議來進行TR-069設備的信息交互,采用RPC方法實現(xiàn)CPE與ACS之間的交互,采用SSL/TLS增加網(wǎng)絡傳輸?shù)陌踩2捎眠@些現(xiàn)存的、廣泛應用的協(xié)議能減少開發(fā)TR-069設備的工作量,使TR-069設備更好地融入現(xiàn)有網(wǎng)絡。CPE WAN管理協(xié)議中定義的協(xié)議棧如表1所示。
TR-069協(xié)議中使用的這些成熟層次之間有非常緊密的聯(lián)系。TR-069協(xié)議的最終目的是建立一個可用的設備管理應用協(xié)議,它是一個多層協(xié)議構成的框架體系,每一層都以相鄰的下層為基礎,同時又是相鄰上層的基礎。TCP/IP是通用的互聯(lián)網(wǎng)傳輸協(xié)議;SSL/TLS則是出于安全的考慮,屬于可選的協(xié)議層次;HTTP則是標準的傳輸會話協(xié)議,用于客戶端與服務器的會話管理,而SOAP則是用于對上層應用協(xié)議內容的編碼。由此可見這些協(xié)議層次是一個完整的網(wǎng)絡應用協(xié)議的典型結構,功能完善,結構簡潔明了,它們是缺一不可的整體。
2.2 基于TR-069實現(xiàn)的網(wǎng)管功能
TR-069協(xié)議的管理內容包括設備的自動配置及動態(tài)業(yè)務發(fā)放、軟件/固件升級、狀態(tài)和性能監(jiān)測以及故障診斷。
(1)設備的自動配置及業(yè)務動態(tài)發(fā)放
CPE在與ACS利用TR-069協(xié)議進行交互過程中對自己做出標識(例如型號、版本等),而ACS則根據(jù)這些特定的標識設定特定的規(guī)則,對某個特定的用戶或者某類特定的設備進行配置信息的更新或者業(yè)務的發(fā)放。在該協(xié)議中,CPE在開機后自動請求ACS中的配置信息,而ACS也可在任意需要的時刻主動進行配置或者業(yè)務下發(fā)。通過這樣的設置,用戶可以實現(xiàn)對設備的“零配置安裝”,而ACS可以從WAN側動態(tài)地監(jiān)控設備參數(shù)的改變。
(2)設備的軟件或固件升級
由于ACS可以識別CPE的設備標志以及其軟件的版本號,所以ACS一旦發(fā)現(xiàn)CPE的軟件或者固件需要升級時,就會要求CPE遠程更新其軟件或固件。由于在TR-069協(xié)議中提供了文件下載的功能,因此ACS指定新的軟件或者固件文件的地址,讓CPE到指定位置下載文件即可,CPE在文件下載結束后會通告ACS文件下載的結果。
(3)設備的狀態(tài)和性能監(jiān)測
ACS通過協(xié)議規(guī)定的RPC方法讀取CPE中參數(shù)的值,從而可以監(jiān)控設備的當前狀態(tài),以判定設備當前是否處于正常工作狀態(tài)。同時ACS通過對一些反應CPE性能狀態(tài)的參數(shù)的檢測,也可以知道CPE性能是否變壞。
(4)故障診斷
TR-069中定義了一系列的參數(shù)用于設備故障的診斷,當設備發(fā)生故障后,可以讀取相應的參數(shù)來診斷故障的發(fā)生。ACS也可以通過要求CPE上傳設備的日志文件來分析CPE的歷史狀態(tài)和操作等,以更好地找到故障發(fā)生的原因,從而能對設備做有針對性的修復,降低設備的故障率。
2.3 TR-069協(xié)議的安全性
由于TR-069是一個遠程設備管理協(xié)議,所以CPE和ACS間通信的安全性是很重要的。因此,TR-069推薦使用SSL/TLS安全套接口層協(xié)議。SSL是一種安全通信協(xié)議,它提供了2臺計算機之間的安全連接,對整個會話進行了加密,從而保證了安全傳輸。SSL協(xié)議建立在可靠的TCP傳輸控制協(xié)議之上,與上層協(xié)議無關,各種應用層協(xié)議(如:HTTP、FTP、TELNET等)能通過SSL協(xié)議進行透明傳輸。在TR-069協(xié)議中采用SSL/TLS和TCP有以下一些限制:SSL/TLS的版本必須是SSL3.0或者TLS1.0,并且加密算法長度要大于或等于128位;CPE必須用ACS提供的證書認證ACS;ACS可以接收一個有效的CPE提供的證書來認證CPE,但是如果CPE不提供證書,ACS必須允許SSL/TLS連接建立。
采用SSL/TLS的方法雖然可以解決通信安全性的問題,但是在TR-069中卻將此協(xié)議作為可選而不是必須的。這是因為SSL在實現(xiàn)時需要的代碼量比較大,增大了整個協(xié)議的復雜度,需要更大的存儲器容量,而這對一般的數(shù)字家庭設備來說是很寶貴的資源。因此,TR-069采用HTTP的摘要認證來作為SSL的補充,即:如果不使用SSL來保證通信安全性,ACS必須對CPE采用HTTP的摘要認證方式進行認證。
本文通過對設備遠程管理相關協(xié)議的優(yōu)劣做了詳細的研究后,從協(xié)議棧結構、實現(xiàn)的網(wǎng)管功能及其安全性,重點介紹了目前寬帶領域最受關注的管理體系協(xié)議TR-069。雖然通過部署基于TR-069的網(wǎng)管系統(tǒng),可以在很大程度上減少用戶的配置和管理工作,提高設備的易用性和可管理性,便于家庭網(wǎng)絡中設備的快速部署和業(yè)務的迅速開展。但從協(xié)議目前的發(fā)展情況來看,TR-069仍然處于一個不斷完善的過程中,在業(yè)務參數(shù)模型上還需要加入對更多的終端業(yè)務和特性的支持。
參考文獻
[1] 宋臣.終端自動配置管理研究[D].成都:西南交通大學,2006.
[2] 彭淑靜.SNMP網(wǎng)絡管理系統(tǒng)技術.甘肅科技縱橫,2008, 38(2).
[3] LIU Yun Xin, ZHANG Yao Xue. HNMP: a digital home network management model. ACTA Electronica Sinica,2001.
[4] 王勇,張堯學,方存好.一種改進的家庭網(wǎng)絡管理協(xié)議—ExHNMP.小型計算機微型系統(tǒng),2004,25(7).
[5] DSL Forum. CPE WAN management protocol[S]. Tech. rep. 069, May 2004.
[6] 王遠波.家庭網(wǎng)關遠程管理功能模塊的設計與實現(xiàn)[D].武漢:華中科技大學,2009.