图 3 WPS扩展IE
表3说明图3中各参数定义:
表 3WPS扩展IE参数定义
Field ID KeyWord 说明:
Length 3 bytes 1 byte Value Verder OUI 特定的关键字 — 对于未携带上述扩展字段的设备,AP应默认使用SSID-1连接; — Vender ID默认使用ff:00:00(hex)。 j)
必须提供统计功能,建议至少支持IEEE 802.11-1999 附录D MIB库中规定的“dot11Counters TABLE”中的所有统计项
k) e家终端(e8)必须具备和其它WLAN设备的良好兼容性,必须通过WiFi联盟l)
认证
建议支持通过馈线方式延伸无线天线,实现天线和整机设备的分离安装。
4.3 设备发现功能要求
e家终端(e8)对其连接设备进行自动发现后,对特定设备配置IPv4特定私网IP地址和特定参数(如QoS、Port Forwarding等)。
a) e家终端(e8)必须支持DHCP报文扩展字段Option 43、Option 60,应符合
RFC2132、RFC3925标准,参见附录B。对于不能识别的终端(如DHCP请求
未携带Option 60字段,或Option 60字段不符合本规范附录B定义),则视其为“Computer”。
b) 支持UPnP IGD1.0协议,要求如下:
1) UPnP功能必须支持启用/禁用,默认是禁用(disabled);
2) 对于用户/应用接入e家终端(e8)的操作,必须可以配置为read-only,避免一些接入后的操作对e家终端(e8)状态的更改; 3) 必须支持NAT traversal启用/禁用; 4) 必须支持用户做基于LAN IP地址的UPnP流量block。 c) 支持UPnP AV Media Server 和 DLNA DMS
1) 必须支持UPnP AV Media server,必须支持Media server的CDS(Content
Directory Server)、Connetion Manager,可选支持Media server定义的AV Transport服务 2) 必须支持DLNA1.5的DMS设备功能,建议通过DLNA 1.5认证; 3) DMS功能只能通过ITMS进行开启/关闭,缺省关闭;
4) 必须支持向家庭网络发布e家终端连接的存储设备中的共享媒体内容,支
持共享内容的读写;
10 中国电信LAN上行e8-B终端技术规范书
5) 内容共享必须支持FTP Server、SAMBA协议,支持共享访问的用户权限管
理,可支持6个账户,每个账户均具有能够进行有效访问的根目录,账号
可由本地GUI(包括电信维护账号和用户账号)和ITMS进行修改,缺省账号为e家终端用户账号;
6) 具备支持索引1000个媒体文件的能力,能够生成并定期刷新维护共享内容
的目录索引树,刷新的周期时间可设置。
4.4 业务发现和控制功能要求
e家终端(e8)必须具备用户业务发现和控制的功能,e家终端(e8)通过与业务平台交互实现业务管理和控制,接口详见《中国电信“我的e家”技术规范 - e家终端与终
端综合管理系统接口》。
4.4.1 业务发现
业务发现必须实现e家终端(e8)对用户使用业务的实时发现,发现的方式支持两种:
a) 基于设备的业务发现:当有用户设备接入e家终端(e8)时,e家终端(e8)可
以根据设备发现的结果进而发现设备的业务能力。
b) 基于数据流的业务发现:e家终端(e8)必须支持根据源/目的MAC、源/目的
IP、协议(如TCP、UDP、RTP协议等)、源/目的端口号、Flow Label(仅针对IPv6的数据流)等信息,对用户数据流进行分类。根据数据流分类的结果,完成对用户业务发现
4.4.2 业务控制
e家终端(e8)应具备业务控制的功能:
a) e家终端(e8)能够将业务发现的信息上传到ITMS。
b) e家终端(e8)能够执行控制策略,实现对e家终端(e8)上承载业务的控制功能。
c) e家终端(e8)能够根据平台下发的指令,对业务控制策略进行修改、增加和删
除。
4.4.3 QoS功能要求
e家终端(e8)设备作为家庭网络和外部网络的数据枢纽,必须能够根据用户侧端口(包括有线及无线接口)、业务发现结果进行数据流分类,对不同数据流进行QoS适配:
a) 必须支持基于数据流的CAR;
b) 优先级标识:
1) 根据业务发现结果,对特定业务的数据包(如RTP数据流)进行以下标识: — 二层IEEE 802.1D标识
中国电信LAN上行e8-B终端技术规范书 11
— 三层DSCP(RFC3260)标识
— 三层Flow Label标识(仅针对IPv6数据,可选支持) — 三层Traffic Class标识(仅针对IPv6数据,可选支持)
— 三层TOS标识(仅针对IPv4数据,可选支持)
2) 对具有三层DSCP(RFC3260)标识的数据包进行二层IEEE 802.1D标识。 c) 策略转发:e家终端(e8)可以根据业务发现的结果,根据业务优先级的不同,进行队列划分,优先转发高优先级的数据包,要求如下:
1) 必须至少支持4条不同优先级的队列,可配置队列长度; 2) 必须支持将不同类的数据流映射到不同优先级的队列里去; 3) 支持队列的权重分配,建议支持WFQ等调度算法; 4) 建议支持WRED。
d) 支持基于session、数据流分类结果的带宽保障和限制机制;
e) 建议IPv4 NAT处理不影响基于IP地址的QoS调度;
f) WLAN QoS功能要求:WLAN的QoS功能分为同一连接内不同业务流QoS处
理和不同连接之间的QoS处理。要求满足以下功能:
1) 必须支持WMM,支持流与WMM队列的映射,支持WMM定义的4种流
类型(VOICE/VIDEO/BEST EFFORT/BACKGROUND)及其优先级调度规则,支持基于优先级的数据处理和转发; 2) 保持WMM流分类和设备QoS策略的一致性。
12 中国电信LAN上行e8-B终端技术规范书
5. 安全要求
5.1 网络访问的安全性
e家终端(e8)应提供接入控制能力、报文过滤能力、防DOS攻击能力、防端口扫描能力、防止非法报文攻击能力,并提供本地网络日志。具体要求如下:
a) 必须支持DMZ。
b) 必须支持SSL。
c) 必须支持基于MAC地址的接入控制(包括LAN和WLAN)。
d) 必须支持基于IP地址和IP地址范围的接入控制。
e) 必须支持基于URL的控制,接入控制以黑白名单形式提供,黑名单和白名单不
能同时启用,可支持到100条纪录。 f)
必须支持IP层协议报文过滤功能,建议支持应用层报文过滤,建议支持SPI(Stateful Packet Inspection)。
g) 必须能够提供一定的防DoS攻击能力,例如,能够防止LAND、Ping of Death、SYN Flooding、ICMP Redirection、Smurf、Winnuke等类型的攻击。 h) 必须能够提供防端口扫描功能。
i) 必须能够提供防非法报文攻击能力。 j)
必须支持日志功能,本地提供至少存储500条日志的能力。
5.2 用户侧接口安全性 5.2.1 WLAN接入安全性
对于WLAN,e家终端(e8)应支持以下无线安全协议或功能:
a) 必须支持配置不同SSID以区分网络,支持SSID 广播开启/关闭功能,默认启
用此功能。设备出厂时,SSID-1应使用中国电信提供的SSID(中国电信提供前由厂家随机生成),并在e家终端(e8)外壳上加以标注,设备恢复出厂设置后SSID-1应恢复为外壳标注的SSID标识。 注:
默认SSID-1名称:ChinaNet-XXXX(XXXX为4位随机ASCII字符) 要求:
前缀“ChinaNet-”用户不可修改;
4位随机字符部分用户可修改为任意0~23字节长度的字符串,默认出厂设置中的字符采用0-9、a-z、A-Z,其中排除“0 /o/ O、B/8、1/ l/ I”等字符。 b) 必须支持Open System和Shared Key两种链路层认证方式,默认e家终端(e8)
无需配置,自动适应STA的认证方式。
c) 必须支持64-bit、128-bit WEP加密;密钥可以采用HEX或ASCII字符输入。
中国电信LAN上行e8-B终端技术规范书 13
d) 必须支持WPA-PSK、WPA2-PSK、WPA-PSK/WPA2-PSK混和模式,必须支持
AES、TKIP加密,默认启用WPA-PSK/WPA2-PSK混和模式。设备出厂时,对
应SSID-1的密钥应使用中国电信提供的密钥(中国电信提供前由厂家随机生成),并在e家终端(e8)外壳上加以标注,设备恢复出厂设置后应恢复为外壳标注的密钥。
e) 如果用户使用WPS Push Button方式接入,则按照WPS规范协商加密算法和密
钥;否则按照传统的方式为用户提供无线接入,默认使用WPA-PSK/WPA2-PSKf)
混和模式。
应支持国家无线局域网安全标准。
5.3 登录安全性 5.3.1 用户侧登录安全性
5.3.1.1 用户侧登录安全基本要求
e家终端(e8)用户侧有两种不同的权限的帐号:电信维护帐号、e家终端(e8)用户帐号。用户需使用用户名和密码登录,才能对e家终端(e8)设备进行配置或管理。
a) 每个帐号同时只允许一个用户登录;必须拒绝第二个用户登录;
b) 用户登录后连续5分钟无操作,e家终端(e8)自动退出登录状态;
c) 用户名与密码输入连续错误3次,则再次输入用户名与密码验证必须在1分钟以后;
d) 每种权限仅有一套帐号生效,帐号权限不能因为密码的修改而改变。
5.3.1.2 电信维护帐号
e家终端(e8)只有一个电信维护帐号,由电信维护人员使用,只允许在私网登录,初始用户名为“telecomadmin” (厂商在发货前能够根据省公司要求,批量设置供货终端预置的电信维护密码,如省公司未提出个性化要求,则密码默认为nE7jA%5m) 。
e家终端(e8)的电信维护帐号出厂默认关闭,在连接ITMS成功、由ITMS修改其密码后,由ITMS远程开启(厂商在发货前能够根据省公司要求,批量开启供货终端的电信维护帐号,如省公司未提出个性化要求,则电信维护帐号默认关闭)。
电信维护帐号可进行全部的参数设置,并可强行修改e家终端(e8)用户帐号的密码。
在以下场景,必须通过ITMS修改电信维护帐号的密码:
? ?
当e家终端(e8)第一次连接ITMS时;
当电信维护人员在在维护完成后通过WEB页面的“维护结束”按键后,e家终端(e8)需确保成功通知ITMS修改密码,即:如果由于网络原因设备未能连接到ITMS,e家终端(e8)需记录“维护结束”事件,e家终端(e8)在能够连接平台时应通知ITMS修改密码。
14 中国电信LAN上行e8-B终端技术规范书