TR-069第一期第六修正版-11

3.4.5 摘要认证Digest Authentication

本节概述了在CPE WAN管理协议中使用摘要认证的要求。这些要求适用于RPC交换和文件传输的连接验证。请注意，对于不同类型的连接，ACS和CPE可以互换地扮演HTTP客户端和服务器的角色。ACS在发出连接请求时扮演HTTP客户端的角色。CPE在启动与ACS的连接时扮演HTTP客户端的角色。

CPE和ACS必须支持包含值“auth”的RFC 2617“qop”选项。根据RFC 2617，这意味着当HTTP服务器向HTTP客户机提供此选项时，它必须使用新的样式摘要机制。
使用摘要身份验证时，对于每个打开的新TCP连接，ACS应使用新的nonce值，CPE应使用新的cnonce值。

注意-如果CPE WAN管理协议会话没有使用TLS，则ACS用于重用nonce值进行HTTP身份验证的策略可能会显著影响会话的安全性。特别的，如果ACS在跨多个TCP连接重新验证时重新使用nonce值，ACS可能容易受到重播攻击。然而，如果会话使用了TLS，那么这种风险将大大降低。

CPE和ACS必须支持MD5摘要算法。CPE还必须支持MD5 sess摘要算法。

3.4.6 HTTP附加需求

规定了以下额外的HTTP相关要求：

每当ACS发送空HTTP响应时，它必须使用“204（无内容No Content）”HTTP状态代码。

CPE不得使用HTTP 1.1[6]中定义的管道

3.4.7 HTTP 压缩

本节概述了依据HTTP协议使用HTTP压缩来转换内容编码的要求，如CPE WAN管理协议RFC 7230[6]第4节“传输编码”中所定义。这些要求适用于RPC交互以及文件传输的压缩。

规定了以下额外的HTTP相关要求：

ACS应支持RFC 7230[6]第4节“传输编码”中定义的内容编码交换。

CPE应支持RFC 7230[6]第4节“传输编码”中定义的内容编码交换。

为了让CPE和ACS高效地交换压缩消息，CPE必须使用ManagementServer.HTTPCompression参数定义的内容编码头发送压缩消息。除非该参数设置为“Disabled”。

如果ACS不支持Content-Encoding头或值，则ACS必须使用“415–Unsupported Media Type”HTTP状态代码进行响应。在收到“415–Unsupported Media Type”HTTP状态代码后，CPE必须删除压缩并根据第3.2.1.1节会话重试策略重建会话。

ACS可以通过设置ManagementServer.HTTPCompression参数来启用HTTP压缩。这个参数值是CPE和ACS都支持的值。ACS可以通过设置ManagementServer.HTTPCompression参数为“Disabled”来关闭HTTP压缩。CPE在ManagementServer.HTTPCompressionSupported中列出了CPE所支持的HTTP压缩机制。

Kevin - 小结：HTTP

建立会话要用Basic或Digest认证，认证失败要用401。有效消息要用200。ACS结束会话用204。

每个CPE用来认证的用户名和密码应该都是唯一的，推荐用OUI+ProductClasss+SN的方式。这实现起来有些不方便，因为密码也需要ACS和CPE在建立连接前就协商好。