【文章內(nèi)容簡(jiǎn)介】 開(kāi)通能力，能夠?qū)崟r(shí)返回命令執(zhí)行結(jié)果。. 接口協(xié)議轉(zhuǎn)換功能CMIMS接入開(kāi)通網(wǎng)關(guān)應(yīng)能夠正確完成SOAP協(xié)議（與業(yè)務(wù)支撐系統(tǒng)之間的通信協(xié)議）與南向連接接入設(shè)備的TR069協(xié)議接口通信協(xié)議的轉(zhuǎn)換，實(shí)現(xiàn)所有業(yè)務(wù)開(kāi)通功能。. 操作記錄維護(hù)功能接入開(kāi)通網(wǎng)關(guān)需支持維護(hù)開(kāi)通操作記錄，并能夠?qū)﹂_(kāi)通記錄信息進(jìn)行日志方式備份，要求至少備份30天，供系統(tǒng)管理員查看。. 其他能力要求. IP 地址的獲取接入開(kāi)通網(wǎng)關(guān)應(yīng)能夠支持自身IP地址的靜態(tài)配置?？蛇x支持DHCP動(dòng)態(tài)獲取IP地址。. 防火墻的穿越防火墻接口要求：基于HTTP鏈路接口是80，基于HTTPS鏈路接口是443。. 安全要求 接入開(kāi)通網(wǎng)關(guān)需保證敏感信息在存儲(chǔ)、傳輸?shù)确矫娴陌踩?。賬號(hào)、雙密碼等用戶數(shù)據(jù)加密保存可選。要求數(shù)據(jù)不能被讀取，僅能在接入開(kāi)通網(wǎng)關(guān)自身的安全環(huán)境中做數(shù)據(jù)處理。接入開(kāi)通網(wǎng)關(guān)需保證與業(yè)務(wù)支撐系統(tǒng)之間鏈接的安全性，能夠屏蔽來(lái)自CMNET網(wǎng)絡(luò)的攻擊，實(shí)現(xiàn)MDCN與CMNET的安全隔離。要求使用HTTPS鏈路加密，接入開(kāi)通網(wǎng)關(guān)與接入設(shè)備相連接時(shí)，需配置證書(shū)（配置IP地址），滿足證書(shū)要求。用戶號(hào)碼、密碼從業(yè)務(wù)支撐系統(tǒng)開(kāi)通到接入開(kāi)通網(wǎng)關(guān)，進(jìn)而開(kāi)通到接入設(shè)備，接入開(kāi)通網(wǎng)關(guān)支持通過(guò)HTTPS鏈路接收業(yè)務(wù)支撐系統(tǒng)下發(fā)的雙密碼。安全措施要求包括部署防火墻、身份認(rèn)證等。只允許必要的訪問(wèn)發(fā)生，任何其他的訪問(wèn)均被禁止。防火墻的配備和使用應(yīng)符合以下原則性要求：l 按照“統(tǒng)一規(guī)劃、集中保護(hù)”的原則進(jìn)行部署。l 防火墻不能成為網(wǎng)絡(luò)瓶頸，不能造成單點(diǎn)故障。l 必須在整體安全策略的指導(dǎo)下正確配置防火墻的訪問(wèn)控制策略。l 在集團(tuán)公司防火墻測(cè)試結(jié)果較好的范圍之內(nèi)進(jìn)行選擇。l 有集中的控制端，可以實(shí)現(xiàn)集中安全監(jiān)控。接入設(shè)備通過(guò)臨時(shí)密碼和永久密碼的雙密碼機(jī)制防止被仿冒。接入設(shè)備通過(guò)HTTPs證書(shū)認(rèn)證接入開(kāi)通網(wǎng)關(guān)；接入開(kāi)通網(wǎng)關(guān)通過(guò)賬戶、密碼認(rèn)證接入設(shè)備。禁止接入設(shè)備主動(dòng)從接入開(kāi)通網(wǎng)關(guān)獲取數(shù)據(jù)，僅能從業(yè)務(wù)支撐系統(tǒng)、接入開(kāi)通網(wǎng)關(guān)下發(fā)數(shù)據(jù)。. SOAP（與業(yè)務(wù)支撐系統(tǒng)北向接口協(xié)議）CMIMS接入開(kāi)通網(wǎng)關(guān)與業(yè)務(wù)支撐系統(tǒng)之間的消息(包括請(qǐng)求和應(yīng)答)是以SOAP格式表達(dá)的，遵循SOAP 。所有請(qǐng)求消息和響應(yīng)消息格式在WSDL文件中定義，WSDL文件遵循W3C 。具體要求參見(jiàn)《中國(guó)移動(dòng)CMIMS業(yè)務(wù)開(kāi)通接口規(guī)范接入開(kāi)通網(wǎng)關(guān)分冊(cè)》。. TR069協(xié)議（南向接口）CMIMS接入開(kāi)通網(wǎng)關(guān)與接入設(shè)備之間接口遵循TR069協(xié)議，具體要求參見(jiàn)《中國(guó)移動(dòng)CMIMS接入開(kāi)通網(wǎng)關(guān)設(shè)備南向接口規(guī)范》。6. 接口要求. 與業(yè)務(wù)支撐系統(tǒng)接口（北向接口）不少于2個(gè)100/1000兆自適應(yīng)以太網(wǎng)口。. 與接入設(shè)備接口（南向接口）不少于2個(gè)100/1000兆自適應(yīng)以太網(wǎng)口。. 維護(hù)管理接口不少于2個(gè)100兆自適應(yīng)以太網(wǎng)口。. 雙機(jī)備份接口不少于2個(gè)100/1000M自適應(yīng)以太網(wǎng)口。7. 業(yè)務(wù)流程要求：有NAT時(shí)，接入設(shè)備每30秒發(fā)送一次?；钕ⅲJ(rèn)值，可以根據(jù)部署情況修改）；無(wú)NAT時(shí)，接入設(shè)備每12小時(shí)發(fā)送一次?；钕?。. HTTPS建鏈流程. 接入設(shè)備發(fā)起 無(wú)NAT場(chǎng)景下建立HTTPs鏈路無(wú)NAT時(shí)，接入設(shè)備發(fā)起的HTTPS建鏈流程如圖71所示。圖71 接入設(shè)備發(fā)起的HTTPS建鏈流程（無(wú)NAT時(shí)）1) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TCP連接的流程。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過(guò)程中，接入開(kāi)通網(wǎng)關(guān)向CA請(qǐng)求證書(shū)（包含接入開(kāi)通網(wǎng)關(guān)的相關(guān)身份信息），并將CA頒發(fā)的證書(shū)發(fā)送給接入設(shè)備。接入設(shè)備利用證書(shū)中的相關(guān)信息驗(yàn)證接入開(kāi)通網(wǎng)關(guān)的身份。 有NAT場(chǎng)景下建立HTTPs鏈路有NAT時(shí)，接入設(shè)備發(fā)起的HTTPS建鏈流程如圖72所示。圖72 接入設(shè)備發(fā)起的HTTPS建鏈流程（有NAT時(shí)）1) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TCP連接的流程。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過(guò)程中，接入開(kāi)通網(wǎng)關(guān)向CA請(qǐng)求證書(shū)（包含接入開(kāi)通網(wǎng)關(guān)的相關(guān)身份信息），并將CA頒發(fā)的證書(shū)發(fā)送給接入設(shè)備。接入設(shè)備利用證書(shū)中的相關(guān)信息驗(yàn)證接入開(kāi)通網(wǎng)關(guān)的身份。. 接入開(kāi)通網(wǎng)關(guān)發(fā)起無(wú)NAT時(shí)，接入開(kāi)通網(wǎng)關(guān)發(fā)起的HTTPS建鏈流程如圖73所示。圖73 接入設(shè)備發(fā)起的HTTPS建鏈流程（無(wú)NAT時(shí)）1) 接入開(kāi)通網(wǎng)關(guān)發(fā)送反向通知消息給接入設(shè)備。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TCP連接的流程。3) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過(guò)程中，接入開(kāi)通網(wǎng)關(guān)向CA請(qǐng)求證書(shū)（包含接入開(kāi)通網(wǎng)關(guān)的相關(guān)身份信息），并將CA頒發(fā)的證書(shū)發(fā)送給接入設(shè)備。接入設(shè)備利用證書(shū)中的相關(guān)信息驗(yàn)證接入開(kāi)通網(wǎng)關(guān)的身份。有NAT時(shí)，接入開(kāi)通網(wǎng)關(guān)發(fā)起的HTTPS建鏈流程如圖74所示。圖74 接入設(shè)備發(fā)起的HTTPS建鏈流程（有NAT時(shí)）1) 接入開(kāi)通網(wǎng)關(guān)通過(guò)TCP長(zhǎng)連接發(fā)送反向通知消息給接入設(shè)備。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TCP連接的流程。3) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過(guò)程中，接入開(kāi)通網(wǎng)關(guān)向CA請(qǐng)求證書(shū)（包含接入開(kāi)通網(wǎng)關(guān)的相關(guān)身份信息），并將CA頒發(fā)的證書(shū)發(fā)送給接入設(shè)備。接入設(shè)備利用證書(shū)中的相關(guān)信息驗(yàn)證接入開(kāi)通網(wǎng)關(guān)的身份。. 雙密碼下發(fā)流程當(dāng)業(yè)務(wù)支撐系統(tǒng)通過(guò)Soap指令下發(fā)雙密碼給接入開(kāi)通網(wǎng)關(guān)時(shí)，具體流程如圖75所示。圖75 雙密碼下發(fā)流程1) 業(yè)務(wù)支撐系統(tǒng)通過(guò)Soap指令（Soap指令請(qǐng)參見(jiàn)《中國(guó)移動(dòng)CMIMS業(yè)務(wù)開(kāi)通接口規(guī)范接入開(kāi)通網(wǎng)關(guān)分冊(cè) 》）下發(fā)臨時(shí)密碼、永久密碼和設(shè)備邏輯ID給接入開(kāi)通網(wǎng)關(guān)。2) 接入開(kāi)通網(wǎng)關(guān)保存臨時(shí)密碼、永久密碼、設(shè)備邏輯ID。3) 接入開(kāi)通網(wǎng)關(guān)發(fā)送響應(yīng)消息Response。. 接入設(shè)備初始上電注冊(cè)流程. 無(wú)NAT場(chǎng)景下初始注冊(cè)流程無(wú)NAT時(shí)，當(dāng)接入設(shè)備初始上電后，具體注冊(cè)流程如圖76所示。圖76 接入設(shè)備初始上電注冊(cè)流程（無(wú)NAT）1) 業(yè)務(wù)支撐系統(tǒng)通過(guò)SOAP指令下發(fā)設(shè)備邏輯ID、臨時(shí)密碼和永久密碼給接入開(kāi)通網(wǎng)關(guān)（請(qǐng)參見(jiàn)《中國(guó)移動(dòng)CMIMS業(yè)務(wù)開(kāi)通接口規(guī)范接入開(kāi)通網(wǎng)關(guān)分冊(cè)》）。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立HTTPs連接的流程。3) 接入設(shè)備發(fā)起Inform，包含CONNECTIONREQUEST。4) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse。5) 接入設(shè)備發(fā)起Inform，包含臨時(shí)密碼，向接入開(kāi)通網(wǎng)關(guān)發(fā)起注冊(cè)。6) 接入開(kāi)通網(wǎng)關(guān)認(rèn)證接入設(shè)備發(fā)送的臨時(shí)密碼。7) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse，包含永久密碼。8) 接入設(shè)備保存永久密碼，廢除臨時(shí)密碼。9) 接入設(shè)備再次發(fā)起Inform，包含永久密碼，向接入開(kāi)通網(wǎng)關(guān)發(fā)起注冊(cè)。10) 接入開(kāi)通網(wǎng)關(guān)認(rèn)證接入設(shè)備發(fā)送的永久密碼，并保存設(shè)備IP。11) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse，接入設(shè)備注冊(cè)成功。12) 接入開(kāi)通網(wǎng)關(guān)SOAP指令通知業(yè)務(wù)支撐系統(tǒng)下發(fā)用戶名和密碼。13) 業(yè)務(wù)支撐系統(tǒng)SOAP指令回復(fù)響應(yīng)消息給接入開(kāi)通網(wǎng)關(guān)。14) 業(yè)務(wù)支撐系統(tǒng)SOAP指令下發(fā)用戶名和密碼給接入開(kāi)通網(wǎng)關(guān)。要求：接入開(kāi)通網(wǎng)關(guān)留有接口，用于接收業(yè)務(wù)支撐系統(tǒng)發(fā)來(lái)的用戶名和密碼。15) 接入開(kāi)通網(wǎng)關(guān)下發(fā)用戶名和密碼給接入設(shè)備。16) 接入設(shè)備保存用戶名和密碼。17) 接入設(shè)備Response回復(fù)接入開(kāi)通網(wǎng)關(guān)用戶名和密碼下發(fā)成功。18) 接入開(kāi)通網(wǎng)關(guān)SOAP指令回復(fù)業(yè)務(wù)支撐系統(tǒng)用戶名和密碼下發(fā)成功。. 有NAT場(chǎng)景下初始注冊(cè)流程有NAT時(shí)，當(dāng)接入設(shè)備初始上電后，具體注冊(cè)流程如圖77所示。圖77 接入設(shè)備初始上電注冊(cè)流程（有NAT）1) 業(yè)務(wù)支撐系統(tǒng)通過(guò)SOAP指令下發(fā)設(shè)備邏輯ID、臨時(shí)密碼和永久密碼給接入開(kāi)通網(wǎng)關(guān)（請(qǐng)參見(jiàn)《中國(guó)移動(dòng)CMIMS業(yè)務(wù)開(kāi)通接口規(guī)范接入開(kāi)通網(wǎng)關(guān)分冊(cè)》）。2) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立HTTPs連接的流程。3) 接入設(shè)備發(fā)起Inform，包含CONNECTIONREQUEST。4) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse。5) 接入設(shè)備發(fā)起Inform，包含臨時(shí)密碼，向接入開(kāi)通網(wǎng)關(guān)發(fā)起注冊(cè)。6) 接入開(kāi)通網(wǎng)關(guān)認(rèn)證接入設(shè)備發(fā)送的臨時(shí)密碼。7) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse，包含永久密碼。8) 接入設(shè)備保存永久密碼，廢除臨時(shí)密碼。9) 接入設(shè)備再次發(fā)起Inform，包含永久密碼，向接入開(kāi)通網(wǎng)關(guān)發(fā)起注冊(cè)。10) 接入開(kāi)通網(wǎng)關(guān)認(rèn)證接入設(shè)備發(fā)送的永久密碼，并保存設(shè)備IP。11) 接入開(kāi)通網(wǎng)關(guān)回應(yīng)InformResponse，接入設(shè)備注冊(cè)成功。12) 接入設(shè)備主動(dòng)向接入開(kāi)通網(wǎng)關(guān)發(fā)起建立TCP長(zhǎng)連接的流程，要求接入設(shè)備發(fā)起該流程時(shí)帶有設(shè)備的ID信息（設(shè)備邏輯ID），以供接入開(kāi)通網(wǎng)關(guān)核實(shí)接入設(shè)備身份。13) 接入開(kāi)通網(wǎng)關(guān)SOAP指令通知業(yè)務(wù)支撐系統(tǒng)下發(fā)用戶名和密碼。14) 業(yè)務(wù)支撐系統(tǒng)SOAP指令回復(fù)響應(yīng)消息給接入開(kāi)通網(wǎng)關(guān)。15) 業(yè)務(wù)支撐系統(tǒng)SOAP指令下發(fā)用戶名和密碼給接入開(kāi)通網(wǎng)關(guān)。要求：接入開(kāi)通網(wǎng)關(guān)留有接口，用于接收業(yè)務(wù)支撐系統(tǒng)發(fā)來(lái)的用戶名和密碼。16) 接入開(kāi)通網(wǎng)關(guān)下發(fā)用戶名和密碼給接入設(shè)備。17) 接入設(shè)備保存用戶名和密碼。18) 接入設(shè)備Response回復(fù)接入開(kāi)通網(wǎng)關(guān)用戶名和密碼下發(fā)成功。19) 接入開(kāi)通網(wǎng)關(guān)SOAP指令回復(fù)業(yè)務(wù)支撐系統(tǒng)用戶名和密碼下發(fā)成功。. 超時(shí)重注冊(cè)流程當(dāng)接入設(shè)備超時(shí)時(shí)，具體注冊(cè)流程如圖78所示。此時(shí)，有無(wú)NAT流程均相同，不涉及建立TCP長(zhǎng)連接。圖78 超時(shí)重注冊(cè)流程