【文章內容簡介】 開通能力，能夠實時返回命令執(zhí)行結果。. 接口協(xié)議轉換功能CMIMS接入開通網關應能夠正確完成SOAP協(xié)議（與業(yè)務支撐系統(tǒng)之間的通信協(xié)議）與南向連接接入設備的TR069協(xié)議接口通信協(xié)議的轉換，實現所有業(yè)務開通功能。. 操作記錄維護功能接入開通網關需支持維護開通操作記錄，并能夠對開通記錄信息進行日志方式備份，要求至少備份30天，供系統(tǒng)管理員查看。. 其他能力要求. IP 地址的獲取接入開通網關應能夠支持自身IP地址的靜態(tài)配置?？蛇x支持DHCP動態(tài)獲取IP地址。. 防火墻的穿越防火墻接口要求：基于HTTP鏈路接口是80，基于HTTPS鏈路接口是443。. 安全要求 接入開通網關需保證敏感信息在存儲、傳輸等方面的安全。賬號、雙密碼等用戶數據加密保存可選。要求數據不能被讀取，僅能在接入開通網關自身的安全環(huán)境中做數據處理。接入開通網關需保證與業(yè)務支撐系統(tǒng)之間鏈接的安全性，能夠屏蔽來自CMNET網絡的攻擊，實現MDCN與CMNET的安全隔離。要求使用HTTPS鏈路加密，接入開通網關與接入設備相連接時，需配置證書（配置IP地址），滿足證書要求。用戶號碼、密碼從業(yè)務支撐系統(tǒng)開通到接入開通網關，進而開通到接入設備，接入開通網關支持通過HTTPS鏈路接收業(yè)務支撐系統(tǒng)下發(fā)的雙密碼。安全措施要求包括部署防火墻、身份認證等。只允許必要的訪問發(fā)生，任何其他的訪問均被禁止。防火墻的配備和使用應符合以下原則性要求：l 按照“統(tǒng)一規(guī)劃、集中保護”的原則進行部署。l 防火墻不能成為網絡瓶頸，不能造成單點故障。l 必須在整體安全策略的指導下正確配置防火墻的訪問控制策略。l 在集團公司防火墻測試結果較好的范圍之內進行選擇。l 有集中的控制端，可以實現集中安全監(jiān)控。接入設備通過臨時密碼和永久密碼的雙密碼機制防止被仿冒。接入設備通過HTTPs證書認證接入開通網關；接入開通網關通過賬戶、密碼認證接入設備。禁止接入設備主動從接入開通網關獲取數據，僅能從業(yè)務支撐系統(tǒng)、接入開通網關下發(fā)數據。. SOAP（與業(yè)務支撐系統(tǒng)北向接口協(xié)議）CMIMS接入開通網關與業(yè)務支撐系統(tǒng)之間的消息(包括請求和應答)是以SOAP格式表達的，遵循SOAP 。所有請求消息和響應消息格式在WSDL文件中定義，WSDL文件遵循W3C 。具體要求參見《中國移動CMIMS業(yè)務開通接口規(guī)范接入開通網關分冊》。. TR069協(xié)議（南向接口）CMIMS接入開通網關與接入設備之間接口遵循TR069協(xié)議，具體要求參見《中國移動CMIMS接入開通網關設備南向接口規(guī)范》。6. 接口要求. 與業(yè)務支撐系統(tǒng)接口（北向接口）不少于2個100/1000兆自適應以太網口。. 與接入設備接口（南向接口）不少于2個100/1000兆自適應以太網口。. 維護管理接口不少于2個100兆自適應以太網口。. 雙機備份接口不少于2個100/1000M自適應以太網口。7. 業(yè)務流程要求：有NAT時，接入設備每30秒發(fā)送一次?；钕ⅲJ值，可以根據部署情況修改）；無NAT時，接入設備每12小時發(fā)送一次保活消息。. HTTPS建鏈流程. 接入設備發(fā)起 無NAT場景下建立HTTPs鏈路無NAT時，接入設備發(fā)起的HTTPS建鏈流程如圖71所示。圖71 接入設備發(fā)起的HTTPS建鏈流程（無NAT時）1) 接入設備主動向接入開通網關發(fā)起建立TCP連接的流程。2) 接入設備主動向接入開通網關發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過程中，接入開通網關向CA請求證書（包含接入開通網關的相關身份信息），并將CA頒發(fā)的證書發(fā)送給接入設備。接入設備利用證書中的相關信息驗證接入開通網關的身份。 有NAT場景下建立HTTPs鏈路有NAT時，接入設備發(fā)起的HTTPS建鏈流程如圖72所示。圖72 接入設備發(fā)起的HTTPS建鏈流程（有NAT時）1) 接入設備主動向接入開通網關發(fā)起建立TCP連接的流程。2) 接入設備主動向接入開通網關發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過程中，接入開通網關向CA請求證書（包含接入開通網關的相關身份信息），并將CA頒發(fā)的證書發(fā)送給接入設備。接入設備利用證書中的相關信息驗證接入開通網關的身份。. 接入開通網關發(fā)起無NAT時，接入開通網關發(fā)起的HTTPS建鏈流程如圖73所示。圖73 接入設備發(fā)起的HTTPS建鏈流程（無NAT時）1) 接入開通網關發(fā)送反向通知消息給接入設備。2) 接入設備主動向接入開通網關發(fā)起建立TCP連接的流程。3) 接入設備主動向接入開通網關發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過程中，接入開通網關向CA請求證書（包含接入開通網關的相關身份信息），并將CA頒發(fā)的證書發(fā)送給接入設備。接入設備利用證書中的相關信息驗證接入開通網關的身份。有NAT時，接入開通網關發(fā)起的HTTPS建鏈流程如圖74所示。圖74 接入設備發(fā)起的HTTPS建鏈流程（有NAT時）1) 接入開通網關通過TCP長連接發(fā)送反向通知消息給接入設備。2) 接入設備主動向接入開通網關發(fā)起建立TCP連接的流程。3) 接入設備主動向接入開通網關發(fā)起建立TLS安全通信通道的流程。在建立TLS連接過程中，接入開通網關向CA請求證書（包含接入開通網關的相關身份信息），并將CA頒發(fā)的證書發(fā)送給接入設備。接入設備利用證書中的相關信息驗證接入開通網關的身份。. 雙密碼下發(fā)流程當業(yè)務支撐系統(tǒng)通過Soap指令下發(fā)雙密碼給接入開通網關時，具體流程如圖75所示。圖75 雙密碼下發(fā)流程1) 業(yè)務支撐系統(tǒng)通過Soap指令（Soap指令請參見《中國移動CMIMS業(yè)務開通接口規(guī)范接入開通網關分冊 》）下發(fā)臨時密碼、永久密碼和設備邏輯ID給接入開通網關。2) 接入開通網關保存臨時密碼、永久密碼、設備邏輯ID。3) 接入開通網關發(fā)送響應消息Response。. 接入設備初始上電注冊流程. 無NAT場景下初始注冊流程無NAT時，當接入設備初始上電后，具體注冊流程如圖76所示。圖76 接入設備初始上電注冊流程（無NAT）1) 業(yè)務支撐系統(tǒng)通過SOAP指令下發(fā)設備邏輯ID、臨時密碼和永久密碼給接入開通網關（請參見《中國移動CMIMS業(yè)務開通接口規(guī)范接入開通網關分冊》）。2) 接入設備主動向接入開通網關發(fā)起建立HTTPs連接的流程。3) 接入設備發(fā)起Inform，包含CONNECTIONREQUEST。4) 接入開通網關回應InformResponse。5) 接入設備發(fā)起Inform，包含臨時密碼，向接入開通網關發(fā)起注冊。6) 接入開通網關認證接入設備發(fā)送的臨時密碼。7) 接入開通網關回應InformResponse，包含永久密碼。8) 接入設備保存永久密碼，廢除臨時密碼。9) 接入設備再次發(fā)起Inform，包含永久密碼，向接入開通網關發(fā)起注冊。10) 接入開通網關認證接入設備發(fā)送的永久密碼，并保存設備IP。11) 接入開通網關回應InformResponse，接入設備注冊成功。12) 接入開通網關SOAP指令通知業(yè)務支撐系統(tǒng)下發(fā)用戶名和密碼。13) 業(yè)務支撐系統(tǒng)SOAP指令回復響應消息給接入開通網關。14) 業(yè)務支撐系統(tǒng)SOAP指令下發(fā)用戶名和密碼給接入開通網關。要求：接入開通網關留有接口，用于接收業(yè)務支撐系統(tǒng)發(fā)來的用戶名和密碼。15) 接入開通網關下發(fā)用戶名和密碼給接入設備。16) 接入設備保存用戶名和密碼。17) 接入設備Response回復接入開通網關用戶名和密碼下發(fā)成功。18) 接入開通網關SOAP指令回復業(yè)務支撐系統(tǒng)用戶名和密碼下發(fā)成功。. 有NAT場景下初始注冊流程有NAT時，當接入設備初始上電后，具體注冊流程如圖77所示。圖77 接入設備初始上電注冊流程（有NAT）1) 業(yè)務支撐系統(tǒng)通過SOAP指令下發(fā)設備邏輯ID、臨時密碼和永久密碼給接入開通網關（請參見《中國移動CMIMS業(yè)務開通接口規(guī)范接入開通網關分冊》）。2) 接入設備主動向接入開通網關發(fā)起建立HTTPs連接的流程。3) 接入設備發(fā)起Inform，包含CONNECTIONREQUEST。4) 接入開通網關回應InformResponse。5) 接入設備發(fā)起Inform，包含臨時密碼，向接入開通網關發(fā)起注冊。6) 接入開通網關認證接入設備發(fā)送的臨時密碼。7) 接入開通網關回應InformResponse，包含永久密碼。8) 接入設備保存永久密碼，廢除臨時密碼。9) 接入設備再次發(fā)起Inform，包含永久密碼，向接入開通網關發(fā)起注冊。10) 接入開通網關認證接入設備發(fā)送的永久密碼，并保存設備IP。11) 接入開通網關回應InformResponse，接入設備注冊成功。12) 接入設備主動向接入開通網關發(fā)起建立TCP長連接的流程，要求接入設備發(fā)起該流程時帶有設備的ID信息（設備邏輯ID），以供接入開通網關核實接入設備身份。13) 接入開通網關SOAP指令通知業(yè)務支撐系統(tǒng)下發(fā)用戶名和密碼。14) 業(yè)務支撐系統(tǒng)SOAP指令回復響應消息給接入開通網關。15) 業(yè)務支撐系統(tǒng)SOAP指令下發(fā)用戶名和密碼給接入開通網關。要求：接入開通網關留有接口，用于接收業(yè)務支撐系統(tǒng)發(fā)來的用戶名和密碼。16) 接入開通網關下發(fā)用戶名和密碼給接入設備。17) 接入設備保存用戶名和密碼。18) 接入設備Response回復接入開通網關用戶名和密碼下發(fā)成功。19) 接入開通網關SOAP指令回復業(yè)務支撐系統(tǒng)用戶名和密碼下發(fā)成功。. 超時重注冊流程當接入設備超時時，具體注冊流程如圖78所示。此時，有無NAT流程均相同，不涉及建立TCP長連接。圖78 超時重注冊流程