摘  要： 針對家庭網絡終端設備的復雜性和業務的多樣性引發的終端管理問題，在研究各網絡管理協議的基礎上，著重介紹了管理體系協議TR069規定的網管構架、網管功能及其安全性。
關鍵詞： 家庭網絡；遠程管理；協議

　　隨著寬帶市場的高速發展、寬帶用戶的增多和寬帶接入網絡的增大，寬帶業務的開戶、管理和維護問題也越來越突出，越來越迫切。作為寬帶網絡接入設備的用戶端設備，由于數量眾多、布放分散，它的放號、維護、診斷和升級都需要運營商的維護工程師上門服務，使其成為寬帶接入網絡運維問題中的最突出問題。為了有效降低運維成本，提高用戶滿意度，在傳統的電信網絡設備的管理框架、商業模式和業務流程內，構建一個低成本、高效率的寬帶運營管理系統，己經成為寬帶接入市場的重要問題。而對數量最多、故障最為集中的用戶端設備的遠程集中管理維護系統，則成為重中之重的問題。可見，終端設備的遠程管理和維護是非常必要的[1]。
　　從目前運營商的需求來看，家庭網絡管理的任務包括：狀態管理，監視聯網家電運行狀態；設備控制，通過家庭網絡遠程控制聯網家電；服務管理，自動發現和配置聯網家電提供的服務；名字管理，在家庭網絡中維護一個可以唯一標志聯網家電的名字空間。下面將對家庭網絡設備遠程管理的相關技術進行介紹。
1  家庭網絡設備遠程管理的相關協議
　　家庭網絡設備遠程管理需要解決的技術問題主要是管理通道和管理協議。遠程管理的信息承載在IP包上，管理通道問題主要是解決如何傳送承載管理信息的IP包，這主要與具體的接入技術相關。如何保證管理通道的可用性和管理通道的帶寬是目前相關接入技術需要解決的問題。管理協議主要是指IP層之上的管理內容傳送協議。管理協議的選擇主要需要權衡安全性和協議復雜性。目前主要是DSL FORUM制定的TR-069。
1.1  簡單網絡管理協議SNMP
　　1987年11月發布的簡單網關監控協議SGMP(Simple Gateway Monitoring Pratocol)，成為第一個專門為網絡管理提出的協議。該協議提出了直接監控網關的方法。簡單網絡管理協議SNMP(Simp1e Network Management Protocol)建立在SGMP的基礎上，SNMP最初只是作為一種臨時解決方案被提出，但如今已經成為了事實標準，而且是目前最常用的環境管理協議，它最重要的思想是要盡可能簡單。SNMP首先是由Internet工程任務組織IETF的研究小組為了解決Internet上的路由器管理問題而提出的。SNMP提供了一種從運行網絡管理軟件的中央計算機來管理網絡設備的方法，并提供了一種從網絡上的設備中收集網絡管理信息的方法，也為設備向網絡管理工作站報告問題和錯誤提供了一種方法。 
　　隨著未來的網絡管理智能化趨勢，網絡規模日趨加大、設備種類更加復雜、需要更強大功能，網絡管理協議也會隨之作相應變動，這些都需要更多的安全作保障。然而，在SNMP的整個應用過程中，出現了許多安全方面的問題。SNM-Pvl和SNM-Pv2協議仍存在內容被篡改等漏洞，雖然SNM-Pv3協議就安全方面做了很大的努力，但由于復雜性使其推廣受到限制[2]。
1.2  家庭網絡管理協議HNMP
　　針對家庭網絡的特定結構以及SNMP的簡單性，有人提出了一個新的家庭網絡管理協議HNMP(Home Network Management Protocol)，它把SNMP協議延伸到家庭網絡。HNMP模型對家庭內部網絡進行管理，不僅可以描述各種各樣的家電設備參數，并對其進行管理，而且具有簡單、無需用戶自己配置的特點，可以達到即插即用的效果，為遠程控制家庭信息設備打下了基礎。它的主要功能是管理聯網家電的運行狀態，并且和SNMP模型兼容。但是對于網絡接入和網絡服務分離的接入網模型(目前國外一般都屬于這種模型)，SNMP這種集中式的網絡管理協議并不能滿足要求，這就需要一種新的管理模型[3]。
1.3  改進的家庭網絡管理協議EXHNMP
　　與一般的網絡管理相比，家庭網絡管理不僅是對聯網家電的狀態和行為進行管理，還要對聯網家電能提供的服務進行管理。在家庭網絡中，不同的聯網家電提供五花八門的服務，這些服務之間可能還有復雜的依賴關系，同時，家庭網絡中的服務的配置必須是自動完成的，不需要人為干預，需要是家庭網絡的管理協議能夠自動發現和配置家庭網絡上的這些服務。HNMP考慮了聯網家電的運行狀態的管理，并沒有考慮家庭網絡上服務的管理。針對此局限性，對HNMP協議進行了改進和擴展得出EXHNMP。
　　EXHNMP是一個分布式的家庭網絡管理協議，聯網家電可以對等地直接控制網絡上的其他聯網家電；EXHNMP還引入了簡單的服務管理，聯網家電可以根據任務自動選擇適當的服務；EXHNMP是對家庭通過由管理信息庫(MIB)中擴展的管理對象描述的服務，EXHNMP使得聯網家電對家庭網絡上的服務進行檢索和匹配并根據要完成的任務查找適當的服務及其提供者。事實上，EXHNMP中對MIB的服務對象的描述還相對簡單，不能精確地定義服務的細節，因此服務的匹配不能非常準確[4]。
1.4  CPE廣域網管理協議
　　TR-069協議是當今寬帶領域最受關注的管理體系協議，其全稱為“CPE廣域網管理協議”。它在2004年5月由DSL Forum提出，并且還在不斷地更新中。它規定了家庭網關進行遠程管理配置時的通用框架和協議，用于從網絡側對家庭網關進行遠程集中管理。該協議支持對設備的自動配置，軟件和固件的升級管理，以及監測設備的狀態和性能，并能對設備故障進行診斷。TR-069協議可以認為是DSL Forum關于家庭網絡一系列設備遠程管理的基礎，在支持設備遠程管理方面具有很大的優勢。該協議正成為各設備運營商在采購設備時，要求設備必須支持的管理協議。因此，為使各種家庭設備特別是家庭網關設備支持遠程管理的功能，TR-069協議采用了成熟的通信協議，開放的面向對象的管理信息架構，具有強大的靈活性和可擴充能力[5]。
2 TR-069協議
　　TR-069廣域網絡自動管理協議是DSL論壇定義的終端管理框架的一部分，TR-069 CPE廣域網絡自動管理協議負責三層以上復雜業務的配置過程。它的核心思想是通過定義一套ACS和CPE之間自動協商交互協議，實現終端的自動配置的過程。TR-069規范主要由自動配置管理服務器(ACS)、用戶駐地設備(CPE，即被管終端)、業務配置管理服務器以及一些必要的管理接口組成。它通過定義一套ACS和CPE之間自動協商交互協議，實現終端的自動配置和動態的業務發放，軟件/固件映像管理與升級，狀態、性能監視以及診斷功能[6]。
　　基于TR-069的網管構架如圖1所示，宏觀上主要有2個接口，一個是完成從業務或服務提供商向ACS下發業務配置的北向接口(ACS Northbound Interface)，另外一個是完成從ACS到CPE配置管理的南向接口(ACS Southbound Interface)。

　　TR-069設備廣域網配置管理框架是一種被動式的管理模型，與SNMP主動管理模式不一樣，它不要求設備一直在線，也不需要檢測終端設備是否在線，所有的請求都由終端設備發起，服務器只是被動地處理請求，能夠適應終端設備數量巨大、地域分散的特點，具有更好的魯棒性和適應性。
2.1 TR-069協議棧結構
　　 TR-069協議采用了許多現存的、標準的協議以獲得最廣泛的設備支持。采用IP協議來保證TR-069協議獨立于網絡傳輸的物理介質，采用SOAP協議來保證TR-069設備具有互操作能力，采用XML來對設備和服務進行統一的描述， 采用HTTP協議來進行TR-069設備的信息交互，采用RPC方法實現CPE與ACS之間的交互，采用SSL/TLS增加網絡傳輸的安全。采用這些現存的、廣泛應用的協議能減少開發TR-069設備的工作量，使TR-069設備更好地融入現有網絡。CPE WAN管理協議中定義的協議棧如表1所示。

　　TR-069協議中使用的這些成熟層次之間有非常緊密的聯系。TR-069協議的最終目的是建立一個可用的設備管理應用協議，它是一個多層協議構成的框架體系，每一層都以相鄰的下層為基礎，同時又是相鄰上層的基礎。TCP/IP是通用的互聯網傳輸協議；SSL/TLS則是出于安全的考慮，屬于可選的協議層次；HTTP則是標準的傳輸會話協議，用于客戶端與服務器的會話管理，而SOAP則是用于對上層應用協議內容的編碼。由此可見這些協議層次是一個完整的網絡應用協議的典型結構，功能完善，結構簡潔明了，它們是缺一不可的整體。
2.2  基于TR-069實現的網管功能
　　TR-069協議的管理內容包括設備的自動配置及動態業務發放、軟件/固件升級、狀態和性能監測以及故障診斷。
　　(1)設備的自動配置及業務動態發放
    　CPE在與ACS利用TR-069協議進行交互過程中對自己做出標識(例如型號、版本等)，而ACS則根據這些特定的標識設定特定的規則，對某個特定的用戶或者某類特定的設備進行配置信息的更新或者業務的發放。在該協議中，CPE在開機后自動請求ACS中的配置信息，而ACS也可在任意需要的時刻主動進行配置或者業務下發。通過這樣的設置，用戶可以實現對設備的“零配置安裝”，而ACS可以從WAN側動態地監控設備參數的改變。
    　(2)設備的軟件或固件升級
    　由于ACS可以識別CPE的設備標志以及其軟件的版本號，所以ACS一旦發現CPE的軟件或者固件需要升級時，就會要求CPE遠程更新其軟件或固件。由于在TR-069協議中提供了文件下載的功能，因此ACS指定新的軟件或者固件文件的地址，讓CPE到指定位置下載文件即可，CPE在文件下載結束后會通告ACS文件下載的結果。
　　(3)設備的狀態和性能監測
    　ACS通過協議規定的RPC方法讀取CPE中參數的值，從而可以監控設備的當前狀態，以判定設備當前是否處于正常工作狀態。同時ACS通過對一些反應CPE性能狀態的參數的檢測，也可以知道CPE性能是否變壞。
　　(4)故障診斷
    　TR-069中定義了一系列的參數用于設備故障的診斷，當設備發生故障后，可以讀取相應的參數來診斷故障的發生。ACS也可以通過要求CPE上傳設備的日志文件來分析CPE的歷史狀態和操作等，以更好地找到故障發生的原因，從而能對設備做有針對性的修復，降低設備的故障率。
2.3 TR-069協議的安全性
    　由于TR-069是一個遠程設備管理協議，所以CPE和ACS間通信的安全性是很重要的。因此，TR-069推薦使用SSL/TLS安全套接口層協議。SSL是一種安全通信協議，它提供了2臺計算機之間的安全連接，對整個會話進行了加密，從而保證了安全傳輸。SSL協議建立在可靠的TCP傳輸控制協議之上，與上層協議無關，各種應用層協議(如：HTTP、FTP、TELNET等)能通過SSL協議進行透明傳輸。在TR-069協議中采用SSL/TLS和TCP有以下一些限制：SSL/TLS的版本必須是SSL3.0或者TLS1.0，并且加密算法長度要大于或等于128位；CPE必須用ACS提供的證書認證ACS；ACS可以接收一個有效的CPE提供的證書來認證CPE，但是如果CPE不提供證書，ACS必須允許SSL/TLS連接建立。
　　采用SSL/TLS的方法雖然可以解決通信安全性的問題，但是在TR-069中卻將此協議作為可選而不是必須的。這是因為SSL在實現時需要的代碼量比較大，增大了整個協議的復雜度，需要更大的存儲器容量，而這對一般的數字家庭設備來說是很寶貴的資源。因此，TR-069采用HTTP的摘要認證來作為SSL的補充，即：如果不使用SSL來保證通信安全性，ACS必須對CPE采用HTTP的摘要認證方式進行認證。
　　本文通過對設備遠程管理相關協議的優劣做了詳細的研究后，從協議棧結構、實現的網管功能及其安全性，重點介紹了目前寬帶領域最受關注的管理體系協議TR-069。雖然通過部署基于TR-069的網管系統，可以在很大程度上減少用戶的配置和管理工作，提高設備的易用性和可管理性，便于家庭網絡中設備的快速部署和業務的迅速開展。但從協議目前的發展情況來看，TR-069仍然處于一個不斷完善的過程中，在業務參數模型上還需要加入對更多的終端業務和特性的支持。
參考文獻
[1] 宋臣.終端自動配置管理研究[D].成都：西南交通大學，2006.
[2] 彭淑靜.SNMP網絡管理系統技術.甘肅科技縱橫，2008, 38(2).
[3] LIU Yun Xin， ZHANG Yao Xue. HNMP： a digital home network management　model. ACTA Electronica Sinica，2001.
[4] 王勇，張堯學，方存好.一種改進的家庭網絡管理協議—ExHNMP.小型計算機微型系統，2004,25(7).
[5] DSL Forum. CPE WAN management protocol[S]. Tech. rep. 069， May 2004.
[6] 王遠波.家庭網關遠程管理功能模塊的設計與實現[D].武漢：華中科技大學，2009.