TR-069
##########

intro
=======

`tr-069 <https://zh.wikipedia.org/zh/TR-069>`_

`2013 tr-069 CPE WAN Management Protocol v1.4 <https://www.broadband-forum.org/technical/download/TR-069_Amendment-5.pdf>`_

通信协议：`CPE(Customer Premises Equipment) <-> ACS(Auto Configuration Server)`

包含设备自动发现服务（DHCP等）、 固件管理、软件管理、状态监测、诊断等。

protocol
============

`CPE/ACS Management Application ->  RPC Methods -> SOAP -> HTTP -> SSL/TLS -> TCP/IP` 

所有的指令控制都是在 CPE -> ACS 的HTTP连接下传输。

ACS主动连接CPE时（即，CPE也会起一个80端口监听），仅发一个空body的HTTP request 通知CPE；CPE验证通过，再主动连接ACS。

security
===========

加密、认证、防篡改。

基于双向证书认证的TLS连接，证书信任链。

见3.4.4章节：

- 如果`CPE<->ACS`没有基于TLS作双向认证，那么ACS必须在HTTP层认证CPE。

- 如果`CPE->ACS`有TLS单向认证，那么ACS启用HTTP basic authentication。

- 如果`CPE->ACS`没有启用TLS，那么ACS启用HTTP digest authentication。

CPE禁止使用相同密码。

CPE与ACS共享密码，且必须对密码进行访问控制。

如果设备出厂初始化相同的默认密码，在首次连接的时候，必须强制修改。

预防暴力破解。

敏感密钥、数据的安全存储。

敏感数据的访问控制。

ACS：公网or内网开放