本文翻译取自TR-069_Amendment-5.pdf section 3.2.2
ACS 可以在任意时间利用连接请求机制发起连接,CPE支持该机制,ACS建议支持该机制。
该机制依赖于ACS拥有可到达CPE的IP,如果CPE在防火墙后面,或者在ACS与CPE之间有NAT设备,ACS 便不能访问CPE,Annex k 定义了一种机制,该机制允许ACS访问CPE 但是不是直接访问。
这种机制依赖于之前至少有一次是由CPE发起的互动。在这个互动中,如果ACS希望以后利用ACS发起互动,则会读取ManagementServer.ConnectionRequestURL的值,如果这个用于管理的URL发生改变,CPE必须通过Inform信息通知ACS。
7547端口被IANA分配用于CPE广域网控制协议,CPE可以在该端口使用连接请求URL。
3.2.2.1 通用连接请求要求
连接请求机制有如下通用要求(意思是这些要求运用于任何连接请求通信中,与使用的传输协议独立):
1)CPE必须接受任何来源的连接请求,只要该来源对于目标CPE来说有正确的认证参数。
2)CPE 应该限制连接请求的数目,可以在特定的CWMP终端在给定的一段时间内接受连接,这个可以减少可能的攻击。如果因为一些原因CPE选择拒绝连接请求,CPE必须用明确的传输错误来回应连接请求。
3)如果CPE成功认证和回应连接请求,如果它没有完成会话,它必须在30秒内发送回应,尝试用事先确定的ACS地址建立会话,该回应是在Inform中包含‘6 CONNECTION REQUEST’。
注意:实际情况下也会有例外,在满足这个要求的情况下也会引起CPE的失败。
4)如果CPE得到了连接请求的成功回应,但是至少在30s后没有成功建立会话,ACS可以重新对CPE发起连接请求。
5)如果一旦CPE成功认证并且回应连接请求,在与ACS建立会话之前,会在同一CWMP终端收到一个或多个成功认证的,CPE必须为每一个连接请求返回一个成功回应,但是,不管在这段时间里收到了多少个连接请求,CPE不能在同一CWMP终端发起额外的会话作为额外连接请求的回应。
6)当CPE接收一个或多个连接请求,它会与至少一个CWMP终端与ACS建立会话,它不能终止任何会话。CPE必须选择用其他传输行为代替。
This requirement holds for Connection Requests received any time during the interval that the CPE considers itself in a Session with at least one CWMP Endpoint, including the period in which the CPE is in the process of establishing the Session.(此段不知道怎么翻译)
7)CPE不能因为一些原因拒绝认证的连接请求,如果CPE因为一些原因拒绝了连接请求,不能作为连接请求的结果发起会话。
3.2.2.2 HTTP特定连接请求的要求
当通过HTTP传输时,连接请求机制也有以下要求:
1)连接请求必须使用HTTP 获得由CPE指定的特定的URL,在CPE端URL的值是只读的参数,URL的路径应该由CPE随机产生以便于对于每一个CPE是唯一的。
2)连接请求必须利用HTTP,而不是HTTPS。相关的URL必须是一个HTTP URL。
3)在HTTP get连接请求中不能有数据传输,其中包含的任何数据应该别CPE忽略。
4)由于一个非成功认证的请求不能对ACS发起连接,所以在进行之前,CPE必须用HTTP数据认证来认证ACS 。
5)CPE必须用‘200(OK)’或者‘204(No Content)’HTTP状态码来作为成功认证连接请求的回应。在发起结果会话之前,CPE必须根据成功的认证及时回应。HTTP回应的实体长度必须为0.
6)CPE 应该限制连接请求的数目,可以在特定的CWMP终端在给定的一段时间内接受连接,这个可以减少可能的攻击。如果CPE因为一些原因选择拒绝连接请求,它必须用HTTP 503 状态码回应连接请求。进一步,在回应中,CPE不应该包括HTTP重试头。
7)当CPE接收一个或多个连接请求,它会与至少一个CWMP终端与ACS建立会话,它不能终止任何会话。CPE必须选择用其他传输行为代替。
8)通过回应HTTP 503状态码去拒绝每一个连接请求,在这种情况下,CPE不能在回应中包含充实头。
9)