一种基于tr069协议的自动授权CPE方法及系统

技术领域

本申请实施例涉及客户前置设备管理技术领域，特别涉及一种基于tr069协议的自动授权CPE方法及系统。

背景技术

客户前置设备是网络通信的基础条件，越来越多的客户前置设备接入网络之中，为网络的正常通信和安全通信起着非常重要的作用。而客户前置设备的管理又必须依靠自动配置服务器(Auto-Configuration Server，ACS)，自动配置服务器管理客户前置设备的前提是先对客户前置设备的验证。一般通过TR069协议接入自动配置服务器的客户前置设备是通过上报用户名与密码进行接入权限认证。这种方式容易在网络包通信过程中被截取并获得正确的用户名与密码，从而被非法客户前置设备接入到自动配置服务器中。

发明内容

本申请实施例的主要目的在于提出一种基于tr069协议的自动授权CPE方法及系统，解决了现有技术中网络包通信过程中被截取并获得正确的用户名与密码，从而被非法客户前置设备接入到自动配置服务器中的问题。

为解决上述问题，第一方面，本发明实施例提供一种基于tr069协议的自动授权CPE方法，应用于自动配置服务器ACS，包括：

自动配置服务器ACS接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

作为优选的，所述设备标识信息为所述客户前置设备的产品序列号SN。

作为优选的，所述预设秘钥生成方法包括：

将所述产品序列号SN加固定后缀onu_sn_itml，形成SN+onu_sn_itml的待加密字符串；

根据base64编码算法和md5信息摘要算法对所述待加密字符串加密。

作为优选的，所述ACS通过inform报文的方式接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥。

作为优选的，还包括：

若判断所述第一秘钥和所述第二秘钥的字符串不一致，则允许所述客户前置设备接入。

第二方面，本发明实施例提供一种基于tr069协议的自动授权CPE方法，应用于客户前置设备，包括：

客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥，并将所述第一秘钥发送至自动配置服务器ACS，以供ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

客户前置设备在ACS判断所述第一秘钥和所述第二秘钥的字符串一致时，获取接入权限。

作为优选的，根据权利要求6所述的基于tr069协议的自动授权CPE方法，其特征在于，所述设备标识信息为所述客户前置设备的产品序列号SN，所述预设秘钥生成方法包括：

将所述产品序列号SN加固定后缀onu_sn_itml，形成SN+onu_sn_itml的待加密字符串；

根据base64编码算法和md5信息摘要算法对所述待加密字符串加密。

第三方面，本发明实施例提供一种基于tr069协议的自动授权CPE系统，应用于自动配置服务器ACS，包括：

接收模块，自动配置服务器ACS接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

加密模块，ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

授权模块，若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

第四方面，本发明实施例提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如本发明第一方面或第二方面实施例所述基于tr069协议的自动授权CPE方法的步骤。

第五方面，本发明实施例提供了一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如本发明第一方面或第二方面实施例所述基于tr069协议的自动授权CPE方法的步骤。

本发明实施例提出一种基于tr069协议的自动授权CPE方法及系统，自动配置服务器通过以上方式授权客户前置设备的接入，一方面可以防止用户名与密码被窃取的危险。而SN序列号加密的方式与后缀的加入，提高KEY的安全性。通过比对KEY的方式授权，快速而高效，对接入大规模客户前置设备的效率有显著的提升。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1根据本发明实施例的一种基于tr069协议的自动授权CPE方法流程图；

图2为根据本发明又一种实施例的一种服务器示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图对本申请的各实施例进行详细的阐述。然而，本领域的普通技术人员可以理解，在本申请各实施例中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施例的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本申请的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

本申请实施例中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请实施例中的术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。本申请的描述中，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列部件或单元的系统、产品或设备没有限定于已列出的部件或单元，而是可选地还包括没有列出的部件或单元，或可选地还包括对于这些产品或设备固有的其它部件或单元。本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本文中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是，本文所描述的实施例可以与其它实施例相结合。

通过TR069协议接入自动配置服务器的客户前置设备是通过上报用户名与密码进行接入权限认证。这种方式容易在网络包通信过程中被截取并获得正确的用户名与密码，从而被非法客户前置设备接入到自动配置服务器中。

因此，本发明实施例提供一种基于tr069协议的自动授权CPE方法和系统，自动配置服务器通过以上方式授权客户前置设备的接入，一方面可以防止用户名与密码被窃取的危险。而SN序列号加密的方式与后缀的加入，提高KEY的安全性。通过比对KEY的方式授权，快速而高效，对接入大规模客户前置设备的效率有显著的提升。以下将通过多个实施例进行展开说明和介绍。

图1为根据本发明实施例提供的一种基于tr069协议的自动授权CPE方法，包括：

自动配置服务器ACS接收客户前置设备(Customer Premise Equipment，CPE)根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

具体的，CPE根据自定义的生成KEY方式，将设备SN序列号生成一个KEY，并通过inform方式携带该KEY上报到自动配置服务器ACS；

ACS编写与CPE同样的加密函数，在设备inform的包中获取设备的SN序列号，并使用该SN序列号生成KEY；

CPE将S1生成的KEY通过inform上报到ACS上，ACS收到infrom包，获取设备SN序列号，通过S2方法生成KEY，之后对比CPE上报的KEY与ACS根据CPE的SN序列号生成的KEY，如果KEY字符串一致，则授权成功，将设备接入系统(ACS)管理，反之，如果不一致，系统(ACS)将禁止CPE设备接入。

在上述实施例的基础上，作为一种优选的实施方式，所述设备标识信息为所述客户前置设备的产品序列号SN。

在上述实施例的基础上，作为一种优选的实施方式，所述预设秘钥生成方法包括：

将所述产品序列号SN加固定后缀onu_sn_itml，形成SN+onu_sn_itml的待加密字符串；

根据base64编码算法和md5信息摘要算法对所述待加密字符串加密。

在上述实施例的基础上，作为一种优选的实施方式，所述ACS通过inform报文的方式接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥。

将设备inform上来的SN序列号加固定后缀”onu_sn_itml”,形成字符串SN+”onu_sn_itml”，将加后缀的字符串结合base64实现md5加密，返回的结果为SN序列号加密后的KEY。

第二方面，本发明实施例提供一种基于tr069协议的自动授权CPE方法，应用于客户前置设备，包括：

客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥，并将所述第一秘钥发送至自动配置服务器ACS，以供ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

客户前置设备在ACS判断所述第一秘钥和所述第二秘钥的字符串一致时，获取接入权限。

ACS编写与CPE同样的加密函数，在设备inform的包中获取设备的SN序列号，并使用该SN序列号生成KEY；

CPE将S1生成的KEY通过inform上报到ACS上，ACS收到infrom包，获取设备SN序列号，通过S2方法生成KEY，之后对比CPE上报的KEY与ACS根据CPE的SN序列号生成的KEY，如果KEY字符串一致，则授权成功，将设备接入系统(ACS)管理，反之，如果不一致，系统(ACS)将禁止CPE设备接入。

在上述实施例的基础上，作为一种优选的实施方式，所述设备标识信息为所述客户前置设备的产品序列号SN，所述预设秘钥生成方法包括：

将所述产品序列号SN加固定后缀onu_sn_itml，形成SN+onu_sn_itml的待加密字符串；

根据base64编码算法和md5信息摘要算法对所述待加密字符串加密。

第三方面，本发明实施例提供一种基于tr069协议的自动授权CPE系统，基于上述各实施例中的基于tr069协议的自动授权CPE方法，应用于自动配置服务器ACS，包括：

接收模块，自动配置服务器ACS接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

加密模块，ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

授权模块，若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

ACS编写与CPE同样的加密函数，在设备inform的包中获取设备的SN序列号，并使用该SN序列号生成KEY；

CPE将S1生成的KEY通过inform上报到ACS上，ACS收到infrom包，获取设备SN序列号，通过S2方法生成KEY，之后对比CPE上报的KEY与ACS根据CPE的SN序列号生成的KEY，如果KEY字符串一致，则授权成功，将设备接入系统(ACS)管理，反之，如果不一致，系统(ACS)将禁止CPE设备接入。

基于相同的构思，本发明实施例还提供了一种服务器示意图，如图2所示，该服务器可以包括：处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840，其中，处理器810，通信接口820，存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令，以执行如上述各实施例所述基于tr069协议的自动授权CPE方法的步骤。例如包括：

自动配置服务器ACS接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

此外，上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者客户前置设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

基于相同的构思，本发明实施例还提供一种非暂态计算机可读存储介质，该计算机可读存储介质存储有计算机程序，该计算机程序包含至少一段代码，该至少一段代码可由主控设备执行，以控制主控设备用以实现如上述各实施例所述基于tr069协议的自动授权CPE方法的步骤。例如包括：

自动配置服务器ACS接收客户前置设备根据预设秘钥生成方法和设备标识信息生成的第一秘钥；

ACS从所述第一秘钥中获取所述设备标识信息，并根据所述预设秘钥生成方法和所述设备标识信息生成第二秘钥；

若判断所述第一秘钥和所述第二秘钥的字符串一致，则允许所述客户前置设备接入。

基于相同的技术构思，本申请实施例还提供一种计算机程序，当该计算机程序被主控设备执行时，用以实现上述方法实施例。

所述程序可以全部或者部分存储在与处理器封装在一起的存储介质上，也可以部分或者全部存储在不与处理器封装在一起的存储器上。

基于相同的技术构思，本申请实施例还提供一种处理器，该处理器用以实现上述方法实施例。上述处理器可以为芯片。

综上所述，本发明实施例提供的一种基于tr069协议的自动授权CPE方法及系统，自动配置服务器通过以上方式授权客户前置设备的接入，一方面可以防止用户名与密码被窃取的危险。而SN序列号加密的方式与后缀的加入，提高KEY的安全性。通过比对KEY的方式授权，快速而高效，对接入大规模客户前置设备的效率有显著的提升。

本发明的各实施方式可以任意进行组合，以实现不同的技术效果。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘SolidStateDisk)等。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。