基于TR069协议的CPE安全认证机制.pdfVIP

计 算 机 系 统 应 用 http：／／www．c·S·a．org．cn 2Ol5年 24卷 2删 基于TR069协议的CPE安全认证机制① 张 红 。，赵 云 ，陶 然 ，‘赵伟真 (东华大学 计算机科学与技术学院，上海201620) (上海剑桥科技股份有限公司，上海201620) 摘 要：TR069(CPE广域网管理协议)提供了对下一代网络中的家庭网络设备进行管理配置的通用框架和协议， 其协议栈中包括 SOAP,HTTP,SSL／TLS，TCP／IP等标准协议．当自动配置服务器(ACS)和网络终端设备(CPE)建 立连接时，可以选择使用 SSL／TLS层增强通信的安全性．本文设计并实现了使用OpenSSL开发包对ACS与CPE 的相互认证过程进行加密，包括生成自签证认证证书的方法，以及证书验证过程．最后，通过实验验证了其有效 性，并抓包分析了关键帧． 关键词：TR069；OpenSSL；认证 CPESeeurityAuthenticationMechanism BasedonTR069Protocol ZHANGHong，ZHAOYun2TA0Ran ，ZHAO W_ei_Zhen ， (SchoolofComputerScienceandTechnology,DonghuaUniversity,Shnaghai201620，China) (CambridgeIndustriesGroup，Shnaghai201620，China) Abstract：TR069protocoliscalledthe “CPE WAN ManagementProtocol”．Itprovidesacommon rfamework and protocolwhichmanageand configurefornext-generationhomenetwork devices．Itsprotocolstack includesome stnadardprotocols，suchasSOAP,HTT SSL／TLS，TCP／IPandSOon．WhenAuto-ConfigurationServer(ACS)starts toestablishconnectionwiththeCustomerPremisesEquipment(CPE)，itmaychoosethelayerofSSL／TLStoincrease security．Inthispaper,hteprocessofmutualauthenticationbetweenCPEandACSisencrypted，whichisdesignedand implementedusingOpenSSL developmentpackage，includethemethodofgenerateaself-signedcertificate，andthe processofcertificateisverified．Finally,thispaperverifieditsvaliditybyexperiment,andnaalyzesthekeyrfameby capturepackage． Keywords：TR069；OpenSSL；auhtentication l 概述 CA 认证技术 1和 SSL加密通信被认为是抵抗网 随着网络技术的不断发展，网络终端设备在各行 络攻击的最有效手段，本文将 CA认证技术和 SSL加 各业被广泛应用，但是网络也是十分不安全的，隐匿 密通信应用到ACS与 CPE通讯中，通过 OpenSSL生 在网络中的攻击者可能窃听、篡改网络中的数据，甚 成认证证书并且对通信双方进行身份认证，从而实现 至伪装成他人发送信息．基于 TR069协议的 自动配 了对ACS与CPE通讯的安全管理． 置服务器(ACS【)和网络终端~ -(CPEt1])进行通信时， 通信内容为明文，且整个通信过程暴露在大网环境中， 2 相关知识 通信内容容易被劫持或篡改，势必引起不必要的损失， 2．1TR069协议 而TR069协议栈中的SOAP,HTTP,TCP／IP等不能对服 TR069协议