分布式安全防火墙支持TR069设计与实现-软件工程专业论文.docx

华中科技大学硕士学位论文 华 中 科 技 大 学 硕 士 学 位 论 文 PAGE 10 PAGE 10 行所有终端的相关参数配置，也就是说可以通过发送 600bytes 流量数据，完成 220kSNMP 数据流量的工作。可以看出，TR-069(技术文档编号) 协议在网络通信管 理方面具有不可比拟的优势，特别是在流量耗费上面。通过对 SNMP 协议和 TR-069 协议的介绍与比较，表明了在广域网管理协议方面，TR-069 协议具有多方面的优势， 特别是在通信机制、连接建立、流量耗费上面，都具有消耗带宽小，应用方便等特 点。也是由于这方面的特点，下一代室内覆盖技术所应用的网络管理协议正是 TR-069 协议，可以实现对多终端管理、控制、维护等多方面的需求。 1.2 国内外研究现状 伴随着社会经济的不断发展，互联网早已走进百姓千万家，同时网络终端设备 的复杂性和业务的多样性对终端管理如相关配置、诊断、升级等提出了更高的要求, 传统的做法是运营商的维护人员上门进行安装或调试设备,通过LAN (局域网) 侧管 理接口做一些设备配置或故障诊断的工作。这种一对一的人工服务方式显然运行效 率较低而且需要花费大量的人力,并且传统的基于SNMP 的网络管理在广域网终端 的管理已经越来越困难。为了解决这些问题,DSL 论坛制定了TR069 协议，对该协 议的实现已经成了互联网企业的重要任 务[3] 。 1.2.1 TR069 协议实现的现状 随着宽带的发展和用户需求的多样化, 各种新业务,如IPTV、VoIP、视频监控等 的纷纷出现, 带来了家庭网络设备日益增加和复杂化。家庭设备的配置和维护工作越 来越复杂, 对设备安装和管理要求也提到前所未有的高度。现有的网络管理方法有 Telnet，SSH等远程登陆设备，SNMP以及远程WEB页面，现有方法存在的问题是： 设备命令行的不一致，不同的设备厂商提供不同的命令行配置方法，用户很难记住 这些命令，设备地址经常变化，由于IP资源的缺乏，IPV6技术并没有在家庭网关中 得到广泛应用，很多家庭用户的IP地址都是有电信系统随机分配的，造成了设备地 址的不固定现象。传统的SNMP是基于局域网的面向无连接传输的，安全机制比较脆 弱，通信不加密，所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网 络通信，就可以利用各种嗅探工具直接获取通信字符串，即使用户改变了通信字符 串的默认值也无济于事。即使后续SNMP为保护通信字符串，在它的后续版本使用 DES算法加密数据通信，许多厂商使用的还是标准的通信字符串，这些字符串对黑 客组织来说根本不是秘密。远程WEB页面以及配置方法各异，运营商很难区分各种 厂商具体页面的配置，并且家庭网关位于NAT后面，数量巨大，无法实现自动化。 面向终端设备的网管协议TR069 应运而生, 它提供了设备自动配置、设备软件/ 配置远程升级、设备远程监测和故障远程诊断等功能, 为陷于复杂配置工作中的运营 商带来了解决问题的曙 光[4] 。各种设备厂商以及电信运营商纷纷投入TR069协议的设 计与实现。 1.2.2 课题研究的目的 CPE 广域网管理协议提供了高级别的安全性，并且这个安全模型是可升级的。 允许更高级别的安全机制的同时也为较低健壮性的 CPE 操作提供基本的安全性。通 过部署基于 TR069 的网管系统，可以在很大程度上减少用户的配置/ 管理工作，提 高设备的易用性和可管理性，便于家庭网络中设备的快速部署和业务的迅速开 展[1] 。 1.3 本文的工作及结构 本文研究了基于分布式的 CPE 侧的 CWMP 的设计与实现，并且结合电信运营 商的的具体应用，对通过 TR069 进行防火墙功能的配置，以满足通信运营商通过 TR069 进行设备管理进行研究。 第一章，首先介绍选题的研究背景和目的，并结合自己阅读的文献，讲述发布 系统的国内外发展状况以及本课题研究的目的，最后概括了系统的架构设计和本文 的主要内容。 第二章，主要介绍了本系统中所采用的关键技术，先详细介绍了 CWMP 的应用 场景、功能以及架构目标、参数配置接口、消息传输的方式以及结合本系统的需求， 在实际应用的环境，随后 CPE 侧用户设备支持防火墙配置的基本功能。 第三章，首先分析了分布式系统设计的工作机制，接着结合运营商的具体应用 阐述了本文采取的 RPC 工作原理，分析了 RPC 对于广播和单播工作方式，同时分析 了主控板在分布式系统中需要响应的四个事件。最后分析了分布式数据存数关系， 给出了 TR069 分布式数据存储关系图以及时序交互图。 第四章，主要讲述了基于分布式的 CPE 侧 CWMP 系统的实现过程，包括了支 持的对象实体的定义以及对象实体包含的数据节点的定义，每个节点的具体功能以 及