TR-069第一期第六修正版-6
3.3 使用TLS和TCP
注意-本规范的早期版本引用了SSL 3.0和TLS 1.0。下文不再提及这些,不应再继续使用。
尽管可以直接使用TCP连接,但建议使用TLS传输CPE WAN管理协议。如果不使用TLS,则会牺牲安全性。具体来说,TLS可以提供机密性和数据完整性,并允许基于证书的身份验证代替基于共享秘密的身份验证。
对TLS和TCP使用的某些限制定义如下:
CPE应支持TLS 1.2[^14](或更高版本)
如果支持TLS 1.2,则CPE必须支持更新TLS 1.2[^14]的IETF RFC。
如果支持TLS 1.2,则CPE应按照RFC 5246[^14]附件E中的规定,将其能力传达给ACS,并由RFC 7568[^57]更新,以允许ACS选择协议。
如果支持TLS 1.2,则CPE应在TLS握手期间使用 RFC 6066[^50]服务器名TLS扩展 来在发送ACS URL的主机部分作为服务器名。
如果支持TLS 1.2,并且ACS URL已指定为HTTPS URL,则CPE必须建立到ACS的安全连接,并应使用TLS 1.2(或者,如果支持,则使用更高版本)。
注意–如果ACS不支持CPE建立连接的版本,可能需要协商早期TLS 1.x版本,甚至SSL 3.0。这意味着CPE必须为所有受支持的TLS或SSL版本支持强制密码套件。
注意–TLS_RSA_WITH_AES_128_CBC_SHA是唯一的强制性TLS 1.2密码套件。
如果支持TLS 1.2,则CPE必须支持RFC 7525[^56]以下章节中定义的所需(必须/不得)建议和指南:
-
Section 3.1.1 – SSL/TLS Protocol Versions
-
Section 3.1.3 – Fallback to Lower Versions
-
Section 3.2 – Strict TLS
-
Section 3.3 – TLS Compression
-
Section 3.4 – TLS Session Resumption
-
Section 3.5 – TLS Renegotiation
-
Section 4.1 – Cipher Suites: General Guidelines
CPE必须能够启动到ACS的连接
ACS必须能接受CPE发的启动连接
如果使用TLS 1.2(或更高版本),CPE必须使用ACS提供的证书对ACS进行身份验证。ACS的认证要求CPE必须根据根证书验证证书。
如果ACS URL的主机部分是DNS名称,则必须根据RFC 6125[^49]的原则,使用ACS URL的主机部分作为参考标识符。
如果ACS URL的主机部分是IP地址,则必须将IP地址与任何呈现的IP地址标识符进行比较。
注意-RFC 6125中定义了术语“参考标识符”和“呈现标识符”
注意-如RFC 6125[49]所述,允许使用通配符证书
注意-如果证书包含任何subjectAltName扩展,其值包括DNS名称,则CPE在验证证书时必须(根据RFC 6125[49]第6.3节)优先使用这些DNS名称,而不是证书主题字段的任何CN(通用名称)组件。
为了针对根证书进行验证,CPE必须包含一个或多个受信任根证书。可以在CPE中预先加载或通过本规范没有规定的安全方式提供给CPE。
如果有HTTP重定向,CPE试图用不同于其预配置的ACS URL的URL访问ACS,则CPE必须使用重定向的ACS URL而不是原预配置的ACS URL来验证ACS证书。
能够获得绝对时间的CPE应等到获得准确的绝对时间后再联系ACS。如果CPE因任何原因无法获得绝对时间,它可以在不等待准确绝对时间的情况下联系ACS。如果CPE选择在其拥有准确的绝对时间之前联系ACS(或者如果它不支持绝对时间),则必须忽略涉及绝对时间的ACS证书组件,例如,在证书限制之前无效和之后无效。
对于CPE和ACS,使用客户端证书支持CPE身份验证是可选的。此类客户端证书必须由适当的链签名。当使用客户端证书向ACS验证CPE时,CPE证书中的公共名称(CN)字段必须是以下两个类型字段之一:
-
唯一的CPE客户端证书。在这种情况下,对于每个CPE,CN字段的值必须是全局唯一的。具体而言,CN字段必须遵循第3.4.4节中建议的用户名/用户ID格式。
例如:
00D09E-0123456789 012345-STB-0123456789 012345-Set%2DTop%2DBox-0123456789
-
通用CPE客户端证书。在这种情况下,CN字段的值可以在一组CPE中相同,例如来自给定供应商的特定模型的所有CPE。本例中未指定CN字段的内容。
如果使用通用CPE客户端证书,ACS还应使用HTTP基本或摘要认证对CPE进行认证,以确定特定CPE的身份。