部署STIR/SHAKEN加密技術(shù)目前存在的問(wèn)題和挑戰(zhàn)

最近幾年，電話(huà)詐騙和騷擾電話(huà)一直困擾著我們每個(gè)人都生活，嚴(yán)重干擾了我們正常的工作和正常的通信往來(lái)。在日常生活中，我們幾乎天天收到幾個(gè)裝修房子，金融貸款，賣(mài)房子等營(yíng)銷(xiāo)電話(huà)。有時(shí)，我們的老人經(jīng)常收到莫名其妙的電話(huà)，謊稱(chēng)是孩子的親戚朋友等幫助打錢(qián)。雖然國(guó)家相關(guān)部門(mén)每年進(jìn)行整頓，但是效果好像也不是那么明顯。目前，我們主要的辦法只能通過(guò)手機(jī)APP對(duì)來(lái)電的標(biāo)識(shí)來(lái)幫助用戶(hù)鑒別是否是騷擾電話(huà)。個(gè)人認(rèn)為，這不是一個(gè)真正解決問(wèn)題的辦法，解決騷擾電話(huà)的問(wèn)題還是需要真正從源頭抓起。

同樣，因?yàn)榛诨ヂ?lián)網(wǎng)的VOIP市場(chǎng)的發(fā)展，國(guó)外也存在類(lèi)似的問(wèn)題。著名的美國(guó)運(yùn)營(yíng)商AT&T，Verizon等都使用多種很多辦法來(lái)解決騷擾電話(huà)的問(wèn)題。但是，效果也不是特別明顯，手機(jī)端處理的辦法還是不能徹底解決騷擾電話(huà)的源頭問(wèn)題。最近一年，美國(guó)很多運(yùn)營(yíng)商都積極采用STIR/SHAKEN加密技術(shù)來(lái)防止騷擾電話(huà)，F(xiàn)CC也不斷呼吁，希望在最近一到兩年把STIR/SHAKEN逐漸發(fā)展為一個(gè)規(guī)范，讓運(yùn)營(yíng)商強(qiáng)制使用，同時(shí)著名通信設(shè)備廠家也逐漸支持了這個(gè)功能，以便從源頭徹底解決騷擾電話(huà)攔截問(wèn)題。

下面，我們針對(duì)STIR/SHAKEN的使用背景，具體的技術(shù)原理，結(jié)合SBC部署來(lái)攔截騷擾電話(huà)進(jìn)行分析，并且對(duì)部署STIR/SHAKEN加密技術(shù)目前存在的問(wèn)題和挑戰(zhàn)進(jìn)行討論。

1、國(guó)內(nèi)國(guó)外騷擾電話(huà)存在現(xiàn)狀

中國(guó)人可以非?？焖俳邮芎芏嘈缕娴氖聞?wù)。電話(huà)也一樣。1876美國(guó)人貝爾發(fā)明了第一步電話(huà)，就在第二年一個(gè)中國(guó)人就已經(jīng)使用了電話(huà)。

圖片均來(lái)自網(wǎng)絡(luò)

郭嵩燾是當(dāng)時(shí)的駐英公使，一次視察英國(guó)的工廠時(shí)體驗(yàn)了電話(huà)的神奇。他在日記里寫(xiě)下使用電話(huà)的心得體會(huì)。

這是中國(guó)人第一次接觸并使用電話(huà)。郭嵩燾在日記里寫(xiě)下使用電話(huà)的心得體會(huì)：“其語(yǔ)言多者亦多不能明，惟此數(shù)者分明?！?/p>

http://www.360doc.com/content/12/0529/10/5477831_214443366.shtml

誰(shuí)能想到，他的后代把電話(huà)發(fā)揮到了極致。騷擾電話(huà)已經(jīng)成為了一個(gè)公害。騷擾電話(huà)的主要類(lèi)型分為詐騙電話(huà)和利用撥號(hào)軟件實(shí)現(xiàn)和機(jī)器人實(shí)現(xiàn)的騷擾電話(huà)。如果讀者搜索百度關(guān)鍵詞”騷擾電話(huà)“的話(huà)，出現(xiàn)了大量官方媒體和其他媒體的關(guān)于騷擾電話(huà)的報(bào)道。

但是，騷擾電話(huà)的處理和攔截手段不多，很多用戶(hù)抱怨運(yùn)營(yíng)商不作為，有利益綁定等等說(shuō)法。很多部門(mén)好像也正在落實(shí)規(guī)定法規(guī)等。這些手段都是一些行政手段，究竟有多大的作用我們不得而知。

運(yùn)營(yíng)商的態(tài)度和行動(dòng)

根據(jù)飛象網(wǎng)的一份關(guān)于騷擾電話(huà)的報(bào)道，我們可以看到，騷擾電話(huà)的幾個(gè)特征：

另外，根據(jù)這篇報(bào)道的建議，作者建議使用手機(jī)APP，提高安全意識(shí)和控制管理運(yùn)營(yíng)商號(hào)碼幾個(gè)方面來(lái)進(jìn)行處理。這些辦法聽(tīng)起來(lái)非常官方，不能真正解決騷擾電話(huà)的問(wèn)題。

同樣，國(guó)外的手機(jī)用戶(hù)也面臨著類(lèi)似的問(wèn)題，通過(guò)自動(dòng)外呼的呼叫中心軟件批量呼叫用戶(hù)，讓很多用戶(hù)非常反感這些騷擾電話(huà)。我們通過(guò)幾個(gè)數(shù)據(jù)來(lái)介紹一下美國(guó)市場(chǎng)的情況。

根據(jù)YouMail的報(bào)道，僅2019年一月份，就產(chǎn)生了5.2 billion 機(jī)器人騷擾電話(huà)的呼叫，推廣類(lèi)型包括信用卡推銷(xiāo)，金融產(chǎn)品銷(xiāo)售，詐騙老人等方式。

根據(jù)NBS News的另外一個(gè)調(diào)查報(bào)告說(shuō)明，從2016年的2 billion，逐年增加到可能2019年，每個(gè)月騷擾電話(huà)的6 billion。從發(fā)展趨勢(shì)來(lái)看，美國(guó)的騷擾電話(huà)也是不斷增加。

根據(jù)YouMail的調(diào)查數(shù)據(jù)，騷擾電話(huà)呼叫類(lèi)型的分布可能和中國(guó)有一些不同，缺少了房地產(chǎn)，賣(mài)房子的（中國(guó)特色），主要分布在信用卡推廣，學(xué)生貸款，商業(yè)貸款等業(yè)務(wù)。

因?yàn)轵}擾電話(huà)的干擾，導(dǎo)致很多企業(yè)呼叫業(yè)務(wù)和正常的手機(jī)用戶(hù)的通信受到了嚴(yán)重影響。根據(jù)NeuStar的調(diào)查報(bào)告，企業(yè)客戶(hù)聯(lián)系頻率較低了8%到20%，75%的消費(fèi)者漏接了重要電話(huà)，88%的消費(fèi)者不愿意接聽(tīng)陌生人的來(lái)電。

2、目前國(guó)內(nèi)攔截騷擾電話(huà)的手段

在上面的討論中，我們分別看到了國(guó)內(nèi)和國(guó)外的騷擾電話(huà)的發(fā)布和業(yè)務(wù)構(gòu)成。從這些數(shù)據(jù)來(lái)看，業(yè)務(wù)類(lèi)型基本上都相同。但是，攔截處理騷擾電話(huà)的處理方式可能有所不同。筆者不是相關(guān)部門(mén)的管理人員，不對(duì)管理部門(mén)的做法發(fā)表評(píng)論。筆者僅從一般用戶(hù)角度來(lái)看觀察對(duì)騷擾電話(huà)的處理方式包括以下幾種：

發(fā)動(dòng)群眾，自己解決。讓用戶(hù)自己安裝手機(jī)APP 標(biāo)記軟件，如果接聽(tīng)后發(fā)現(xiàn)是騷擾電話(huà)，那么就做一個(gè)標(biāo)記。同樣電話(huà)號(hào)碼呼叫到其他用戶(hù)，其他用戶(hù)就會(huì)提示標(biāo)記屬性。來(lái)電是騷擾電話(huà)還是其他，這個(gè)標(biāo)記行為完全取決于用戶(hù)自己的判斷好惡。

相關(guān)部門(mén)運(yùn)營(yíng)商客戶(hù)，下達(dá)文件整頓。通過(guò)運(yùn)營(yíng)商和相關(guān)部門(mén)對(duì)騷擾電話(huà)的整頓也可以立竿見(jiàn)影，騷擾電話(huà)?cǎi)R上消失了一段時(shí)間。但是，這恰恰說(shuō)明，運(yùn)營(yíng)商明顯部門(mén)知道如何處理騷擾電話(huà)。這也是比較可行的手段。

運(yùn)營(yíng)商攔截，最近幾個(gè)運(yùn)營(yíng)商都提供了攔截服務(wù)，通過(guò)短信開(kāi)通就可以。據(jù)說(shuō)，這個(gè)辦法可行，但是也有很多用戶(hù)投訴產(chǎn)生了其他問(wèn)題。

目前，筆者看到的是以上幾種方式來(lái)處理騷擾電話(huà)。但是，這樣處理的方式可能有幾個(gè)方面的問(wèn)題。用戶(hù)標(biāo)記的方式實(shí)際上也是騷擾，計(jì)費(fèi)已經(jīng)產(chǎn)生，另外標(biāo)記的主觀性很強(qiáng)，沒(méi)有徹底解決騷擾電話(huà)這個(gè)問(wèn)題。相關(guān)部門(mén)的其他整頓具有一定的時(shí)效性。一段時(shí)間后，騷擾電話(huà)又死灰復(fù)燃，每年3.15上提到這個(gè)問(wèn)題，就說(shuō)明根本沒(méi)有徹底解決這個(gè)問(wèn)題。所以，我們應(yīng)該考慮如何從法律角度和技術(shù)手段上徹底減少騷擾電話(huà)或杜絕騷擾電話(huà)。當(dāng)然，筆者水平有限，運(yùn)營(yíng)商肯定有完全有效的辦法來(lái)杜絕騷擾電話(huà)的呼出。

3、目前國(guó)外的現(xiàn)狀和將要采取的措施

因?yàn)轵}擾電話(huà)也涉及了運(yùn)營(yíng)商自己的利益，和國(guó)內(nèi)騷擾電話(huà)的處理的態(tài)度一樣，國(guó)外的運(yùn)營(yíng)商也有時(shí)對(duì)騷擾電話(huà)聽(tīng)之任之。因?yàn)楹芏嘤脩?hù)的投訴和FCC的強(qiáng)力介入，美國(guó)運(yùn)營(yíng)商開(kāi)始了大規(guī)模的通過(guò)相關(guān)法律并且使用技術(shù)手段來(lái)杜絕騷擾電話(huà)。

根據(jù)福布斯發(fā)布的新聞，美國(guó)著名運(yùn)營(yíng)商Verizon 發(fā)布了基于手機(jī)端的APP來(lái)防范騷擾電話(huà)。通過(guò)此APP可以判斷出呼叫方號(hào)碼是否是一個(gè)安全的，可信任的用戶(hù)來(lái)電號(hào)碼。

在2018年，美國(guó)幾大電信運(yùn)營(yíng)商都相繼發(fā)布使用STIR-SHAKEN加密技術(shù)來(lái)杜絕騷擾電話(huà)的技術(shù)方案和實(shí)現(xiàn)路線圖。美國(guó)FCC CTO也非常頭疼騷擾電話(huà)的問(wèn)題，他經(jīng)常收到用戶(hù)關(guān)于騷擾電話(huà)的投訴，表示壓力山大。

現(xiàn)在，美國(guó)/加拿大強(qiáng)烈要求運(yùn)營(yíng)商配合法律部門(mén)制定法律來(lái)徹底解決騷擾電話(huà)的問(wèn)題。我們看一下他們具體的行動(dòng)：

加拿大政府頒布法律要求運(yùn)營(yíng)商在2019年3月以前使用STIR/SHAKEN加密技術(shù)來(lái)解決騷擾電話(huà)問(wèn)題

2018年4月份，ROBOCOP 計(jì)費(fèi)模式啟用，要求電話(huà)運(yùn)營(yíng)商驗(yàn)證電話(huà)號(hào)碼是準(zhǔn)確的。

美國(guó)FCC發(fā)布了使用SHAKEN的時(shí)間表，規(guī)定在2019年3月份之前使用SHAKEN加密證書(shū)方式。

Verizon 響應(yīng)了FCC的要求，已經(jīng)在2018年開(kāi)始部署SHAKEN，大部分部署將在2019年完成。

T-Mobile 和 Comcast也宣布開(kāi)始使用SHAKEN加密方式來(lái)攔截騷擾電話(huà)。

And to address the challenges presented by Caller ID spoofing, Verizon is committed to deploying the STIR/SHAKEN authentication standard in our networks

https://ecfsapi.fcc.gov/file/105072444807124/2018%2005%2007%20Verizon%20Robocall%20Ex%20Parte.pdf

美國(guó)FCC要求運(yùn)營(yíng)商部署STIR/SHAKEN的時(shí)間：

4、STIR/SHAKEN技術(shù)核心概念

從美國(guó)運(yùn)營(yíng)商對(duì)騷擾電話(huà)的態(tài)度和部署中，我們可以看到。大部分運(yùn)營(yíng)商準(zhǔn)備使用STIR/SHAKEN的方式來(lái)解決騷擾電話(huà)的問(wèn)題。首先，讓我們來(lái)看看關(guān)于STIR/SHAKEN 的技術(shù)由來(lái)。

在美國(guó)，根據(jù)很多數(shù)據(jù)的統(tǒng)計(jì)，以前的傳統(tǒng)PSTN和手機(jī)用戶(hù)的騷擾電話(huà)的數(shù)量其實(shí)不多，畢竟傳統(tǒng)PSTN網(wǎng)絡(luò)的呼出環(huán)境是由運(yùn)營(yíng)商控制的，手機(jī)用戶(hù)的呼叫也是由運(yùn)營(yíng)商控制的，呼出用戶(hù)的身份非常容易確認(rèn)（這里，中國(guó)運(yùn)營(yíng)商的除外）。最大的問(wèn)題是來(lái)自于企業(yè)IPPBX用戶(hù)，因?yàn)楝F(xiàn)在很多基于IP的開(kāi)源電話(huà)系統(tǒng)非常發(fā)達(dá)，而且可以通過(guò)SIP或者其他線路接入到系統(tǒng)中，如果這樣的呼叫通過(guò)企業(yè)PBX呼出以后，就會(huì)導(dǎo)致大量的騷擾電話(huà)和缺乏認(rèn)證的號(hào)碼。所以，STRI/SHAKEN協(xié)議真正解決的問(wèn)題是針對(duì)企業(yè)IPPBX或者呼叫中心產(chǎn)生的呼叫。

通過(guò)以上的簡(jiǎn)單示例，我們可以知道，其實(shí)大部分運(yùn)營(yíng)商面對(duì)的騷擾電話(huà)的都是來(lái)自于網(wǎng)絡(luò)。根據(jù)COMCAST的調(diào)查，50%的騷擾電話(huà)是來(lái)自于IP網(wǎng)絡(luò)。因此，IP網(wǎng)絡(luò)的管理是一個(gè)非常大的挑戰(zhàn)。

另外，有效的呼入號(hào)碼不是一定是可靠的號(hào)碼。幾個(gè)運(yùn)營(yíng)商呼入到本地電話(huà)以后，用戶(hù)終端看起來(lái)是一個(gè)本地的正常的號(hào)碼，但是本不能說(shuō)明這個(gè)號(hào)碼的可信度。很多騷擾電話(huà)本身就是一個(gè)正常的號(hào)碼。因此，運(yùn)營(yíng)商必須通過(guò)一種機(jī)制來(lái)對(duì)號(hào)碼進(jìn)行標(biāo)識(shí)，說(shuō)明其用戶(hù)號(hào)碼的信譽(yù)度。

因此，控制網(wǎng)絡(luò)呼叫才可以真正解決問(wèn)題。SHAKEN就是針對(duì)互聯(lián)網(wǎng)SIP電話(huà)的一種呼叫身份驗(yàn)證機(jī)制，通過(guò)和STRI認(rèn)證機(jī)制結(jié)合來(lái)解決騷擾電話(huà)攔截問(wèn)題。

那么，STIR/SHAKEN到底是一種什么協(xié)議呢？ 簡(jiǎn)單來(lái)說(shuō)，其實(shí)就是通過(guò)呼叫呼出時(shí)，對(duì)呼叫號(hào)碼加認(rèn)證，呼叫到被呼叫方前，目的地接聽(tīng)方首先確認(rèn)這個(gè)呼叫的身份。如果是騷擾電話(huà)，則過(guò)濾。這里需要證書(shū)簽發(fā)和驗(yàn)證兩個(gè)部分來(lái)共同處理呼叫身份問(wèn)題。這里僅做簡(jiǎn)單介紹，在后續(xù)章節(jié)我們會(huì)具體介紹整個(gè)呼叫流程的驗(yàn)證機(jī)制。

STIR/SHAKEN需要注意的幾個(gè)核心要素：

Secure Telephone Identity Revisited （STIR），參閱rfc8226

Signature-based Handling of Asserted information using toKENs （SHAKEN），參閱draft-ietf-stir-passport-shaken-08

Authenticated Identity Management in the Session Initiation Protocol （SIP），參閱rfc8224。它用來(lái)支持簽發(fā)認(rèn)證（Signs）和驗(yàn)證服務(wù)處理（verifies）。

呼叫號(hào)碼信譽(yù)度分類(lèi)（Attestation，attest）：A，B，C級(jí)。對(duì)用戶(hù)號(hào)碼的信譽(yù)度進(jìn)行分類(lèi)，標(biāo)識(shí)用戶(hù)的可信度。

origid原始呼出地址標(biāo)記，對(duì)原始呼出地址進(jìn)行標(biāo)記，方便跟蹤呼叫來(lái)源。

現(xiàn)在，我們首先介紹一下STIR協(xié)議，它的目的是創(chuàng)建電子簽名來(lái)支持被呼叫方的認(rèn)證，可以支持在不同地址的簽名創(chuàng)建和驗(yàn)證。STIR可以解決用戶(hù)和用戶(hù)呼叫之間的認(rèn)證問(wèn)題。但是，因?yàn)镮P網(wǎng)絡(luò)的發(fā)展，STIR已經(jīng)不能滿(mǎn)足這個(gè)要求，所以必須使用SHAKEN來(lái)解決運(yùn)營(yíng)商和運(yùn)營(yíng)商之間的認(rèn)證問(wèn)題。

SHAKEN通過(guò)STIR來(lái)配合運(yùn)營(yíng)商解決了安全問(wèn)題和部署的協(xié)調(diào)。SHAKEN首先在原始呼叫發(fā)起時(shí)，創(chuàng)建一個(gè)電子證書(shū) PASSporT，然后對(duì)呼出的號(hào)碼標(biāo)識(shí)一個(gè)信譽(yù)度分類(lèi)（attest），最后添加一個(gè)origid原始呼叫地址。對(duì)端落地后，首先檢測(cè)電子證書(shū)，然后識(shí)別號(hào)碼的信譽(yù)度來(lái)決定是否繼續(xù)對(duì)終端進(jìn)行呼叫。

在原始運(yùn)營(yíng)商呼叫呼出之前，運(yùn)營(yíng)商需要對(duì)呼叫號(hào)碼標(biāo)識(shí)一個(gè)信譽(yù)度分類(lèi)，根據(jù)ATIS（ATIS-1000074）的定義，目前的attest定義為A，B和C三個(gè)分類(lèi)：

A-Full Attestation：A類(lèi)信譽(yù)度必須滿(mǎn)足其定義的三個(gè)條件和一些附加注意事項(xiàng)。具體的條件參閱ATIS的說(shuō)明。

B-Partial Attestation：B類(lèi)信譽(yù)度標(biāo)識(shí)必須滿(mǎn)足其定義的三個(gè)條件和一些附加注意事項(xiàng)。具體的條件參閱ATIS說(shuō)明。這里的條件和A類(lèi)條件的不同在于簽發(fā)證書(shū)的和呼叫號(hào)碼的驗(yàn)證關(guān)聯(lián)關(guān)系。A類(lèi)信譽(yù)度標(biāo)識(shí)已經(jīng)獲得驗(yàn)證關(guān)聯(lián)，B類(lèi)信譽(yù)度標(biāo)識(shí)沒(méi)有獲得驗(yàn)證關(guān)聯(lián)。

C-Gateway Attestation：C類(lèi)信譽(yù)度標(biāo)識(shí)必須滿(mǎn)足兩種條件

匯總以上三個(gè)分類(lèi)讀者可以看出其信譽(yù)度標(biāo)識(shí)的不同，當(dāng)然，A分類(lèi)是最高級(jí)別。

PASSporT提供了一種證書(shū)簽發(fā)的架構(gòu)，包括了令牌使用和其類(lèi)型，payload數(shù)據(jù)。具體的詳解，讀者可以參閱draft-ietf-stir-passport-11。其頭消息包括了type，alg算法和x5u頭參數(shù)設(shè)置。另外，其payload包含了目的地地址，SIP賬號(hào)信息，tn號(hào)碼和初始呼叫地址，orig等參數(shù)。

在PASSporT的擴(kuò)展中，attest應(yīng)該設(shè)置為以上三種信譽(yù)度標(biāo)識(shí)，并且是完全大寫(xiě)字母。擴(kuò)展規(guī)范中增加了SHAKEN的其他參數(shù)的支持，包括rcd支持（AS和VS），對(duì)此有興趣的讀者可以參閱：

PASSporT Extension for Rich Call Data draft-ietf-stir-passport-rcd-03

https://tools.ietf.org/html/draft-ietf-stir-passport-rcd-03

其擴(kuò)展到payload構(gòu)成如下：

最后，我們介紹一下origid的使用目的。在上面的介紹中，我們已經(jīng)說(shuō)明，因?yàn)镾HAKEN是針對(duì)IP網(wǎng)絡(luò)中進(jìn)行證書(shū)管理的，為了能夠跟蹤或運(yùn)營(yíng)商管理分析管理的要求，origid作為一個(gè)重要的參數(shù)添加在了PASSporT消息頭中。這樣做的目的在于在呼叫路徑上的運(yùn)營(yíng)商可以非常方便跟蹤呼叫來(lái)源和初始運(yùn)營(yíng)商的地址。IMS的CVT可以通過(guò)這些數(shù)據(jù)來(lái)分析此呼叫的信譽(yù)度標(biāo)識(shí)，并且保存其相關(guān)記錄，同時(shí)，運(yùn)營(yíng)商之間也可以通過(guò)origid加信譽(yù)度分類(lèi)對(duì)某些運(yùn)營(yíng)商提出相應(yīng)的報(bào)告。

5、STIR/SHAKEN具體的工作流程

因?yàn)楝F(xiàn)在的主流網(wǎng)絡(luò)是IMS的網(wǎng)絡(luò)環(huán)境，很多網(wǎng)絡(luò)電話(huà)也來(lái)自于IMS網(wǎng)絡(luò)中。因此，我們通過(guò)比較典型的IMS網(wǎng)絡(luò)架構(gòu)來(lái)解釋STIR/SHAKEN的實(shí)現(xiàn)過(guò)程。

這里，筆者簡(jiǎn)單介紹一下在3GPP網(wǎng)絡(luò)中負(fù)責(zé)處理STIR/SHAKEN的幾個(gè)核心功能模塊：

STI-AS, 呼叫服務(wù)發(fā)起方運(yùn)營(yíng)商的認(rèn)證服務(wù)和其他應(yīng)用，負(fù)責(zé)處理SKS證書(shū)和創(chuàng)建PassporT簽名功能和TLS加密傳輸。關(guān)于此規(guī)范草案說(shuō)明，讀者可以查閱：draft-ietf-stir-rfc4474bis。

SKS：負(fù)責(zé)保存Secure Key Store支持STI-AS訪問(wèn)。

STI-VS：落地運(yùn)營(yíng)商的認(rèn)證驗(yàn)證服務(wù)器支持SIP應(yīng)用服務(wù)器，結(jié)合公鑰來(lái)驗(yàn)證呼叫號(hào)碼的信譽(yù)度標(biāo)識(shí)。關(guān)于此規(guī)范草案說(shuō)明，讀者可以查閱：draft-ietf-stir-rfc4474bis。

CVT：一個(gè)第三方可選的服務(wù)器，可以存儲(chǔ)origid消息，幫助運(yùn)營(yíng)商跟蹤原始呼叫方的地址和其他信息，它也可以用來(lái)支持對(duì)被呼叫方顯示驗(yàn)證結(jié)果。

STI-CR：一個(gè)公鑰服務(wù)器模塊，通過(guò)對(duì)證書(shū)服務(wù)的訪問(wèn)。

現(xiàn)在，我們通過(guò)以上IMS網(wǎng)絡(luò)中的STIR/SHAKEN工作原理來(lái)具體描述整個(gè)STIR/SHAKEN的工作流程。

根據(jù)ATIS的規(guī)范，其處理過(guò)程大概經(jīng)過(guò)以下十四個(gè)過(guò)程：

呼叫方首先UA通過(guò)CSCF注冊(cè)，對(duì)CSCF進(jìn)行認(rèn)證要求，然后創(chuàng)建一個(gè)INVITE并且攜帶本機(jī)的電話(huà)號(hào)碼身份。

原始呼叫方的CSCF添加一個(gè)P-Asserted-Identity身份號(hào)碼表示這個(gè)原始UA的呼叫號(hào)碼。然后CSCF對(duì)STI-AS觸發(fā)一個(gè)IVITE請(qǐng)求。

原始呼叫方運(yùn)營(yíng)商首先決定是否可以對(duì)這個(gè)INVITE請(qǐng)求進(jìn)行服務(wù)合約判斷，是否認(rèn)定這個(gè)用戶(hù)和運(yùn)營(yíng)商簽定相關(guān)服務(wù)合同。通過(guò)運(yùn)營(yíng)商的認(rèn)定以后，STI-AS對(duì)SKS請(qǐng)求一個(gè)專(zhuān)門(mén)針對(duì)此個(gè)INVITE的私鑰。

SKS返回一個(gè)私鑰，然后STI-AS簽發(fā)一個(gè)INVITE，在頭消息中使用caller id增加一個(gè)STIR值。

STI-AS返回這個(gè)INVITE到CSCF。

原始呼叫方運(yùn)營(yíng)商CSCF通過(guò)路由解析到IBCF設(shè)備

然后通過(guò)路由地址路由到落地端的IBCF，通過(guò)SIP對(duì)接。

落地運(yùn)營(yíng)商收到INVITE以后，然后路由到落地運(yùn)營(yíng)商的CSCF。

落地運(yùn)營(yíng)商的CSCF觸發(fā)一個(gè)INVITE到STI-VS驗(yàn)證服務(wù)模塊。

落地運(yùn)營(yíng)商的STI-VS使用身份頭值中的info參數(shù)結(jié)合STIR的數(shù)值決定STI-CR的地址URL，并且對(duì)STI-CR發(fā)出HTTPS請(qǐng)求。

STI-VS驗(yàn)證這個(gè)證書(shū)，然后提取一個(gè)公共密鑰。VS根據(jù)公共密鑰重建STIR驗(yàn)證頭消息中的簽名，確認(rèn)這個(gè)caller id是一個(gè)有效的caller id，并且是此原始運(yùn)營(yíng)商呼叫時(shí)的INVITE簽發(fā)的。

STI-VS獲得最終消息后，可以對(duì)CVT發(fā)送一個(gè)驗(yàn)證結(jié)果，運(yùn)營(yíng)商的CVT模塊，落地運(yùn)營(yíng)商的CVT可以對(duì)接自己的業(yè)務(wù)服務(wù)器或者第三方的安全策略服務(wù)器對(duì)其呼叫進(jìn)行雙方確認(rèn)，或者保存此結(jié)果，以便將來(lái)呼叫跟蹤。這里，運(yùn)營(yíng)商的CVT服務(wù)可以根據(jù)運(yùn)營(yíng)商的呼叫規(guī)范或者相關(guān)法律等策略做進(jìn)一步處理。

根據(jù)STI-VS的返回結(jié)果和信譽(yù)度分類(lèi)，落地運(yùn)營(yíng)商的CSCF然后發(fā)送最終的INVITE到落地被呼叫用戶(hù)。這里，落地用戶(hù)手機(jī)也可以顯示其信譽(yù)度分類(lèi)。否則，這個(gè)呼叫可以被運(yùn)營(yíng)商提前攔截，不會(huì)在呼叫到用戶(hù)終端，這樣也就不會(huì)造成騷擾電話(huà)。

如果確認(rèn)的號(hào)碼是一個(gè)信譽(yù)度分類(lèi)高的號(hào)碼，落地用戶(hù)接受這個(gè)INVITE請(qǐng)求，接聽(tīng)電話(huà)，然后返回200 OK消息，最后雙方創(chuàng)建RTP語(yǔ)音流。

在以上的流程中，我們需要特別注意的是SIP INVITE中的Identity header，示例如下。此示例中包含一個(gè)JSON Web Token（JWT）和三個(gè)參數(shù)（info，alg和ppt）。這三個(gè)參數(shù)我們?cè)谇懊嬗薪榻B，讀者可以查閱前面內(nèi)容。其中，JWT包括三個(gè)部分（header，payload和簽名）。其中，header和payload是based64 URL JSON格式。

讀者需要注意他們之間的區(qū)域（header，payload和簽名），三個(gè)部分以逗號(hào)分開(kāi)。

以下示例說(shuō)明了header的加密和解密結(jié)果：

payload 經(jīng)過(guò)加密解密處理以后的結(jié)果：

當(dāng)然，最后一個(gè)部分是其簽名在info參數(shù)之前：

S_vqkgCk88ee9rtk89P6a6ru0ncDfSrdb1GyK_mJj-10hsLW-dMF7eCjDYARLR7EZSZwiu0fd4H_QD_9Z5U2bg

6、STIR/SHAKEN應(yīng)用示例

在以上關(guān)于IMS網(wǎng)絡(luò)中的STIR/SHEAKEN的介紹和STIR/SHAEKN的核心要素的介紹，我們基本上了解了此協(xié)議應(yīng)用的原理和工作機(jī)制。先讓我們看一個(gè)關(guān)于STIR/SHAKEN的演示視頻。視頻中介紹了如何通過(guò)STIR/SHAKEN結(jié)合著名邊界會(huì)話(huà)控制器廠家的FreeSBC實(shí)現(xiàn)騷擾電話(huà)的攔截處理：

接下來(lái)，這個(gè)章節(jié)，我們結(jié)合一個(gè)具體的應(yīng)用實(shí)例來(lái)進(jìn)一步說(shuō)明STIR/SHAKEN是如何應(yīng)用在實(shí)際的工作環(huán)境的。首先，運(yùn)營(yíng)商之間和相關(guān)的通信部門(mén)需要一個(gè)安全的合作關(guān)系，互相之間可以保證證書(shū)的安全性：

在原始運(yùn)營(yíng)商呼叫方的SBC和落地運(yùn)營(yíng)商之間的SBC添加處理流程和證書(shū)簽發(fā)驗(yàn)證機(jī)制。這里，ClearIP是一個(gè)基于云平臺(tái)的證書(shū)簽發(fā)驗(yàn)證服務(wù)，SBC通過(guò)和SHAKEN服務(wù)對(duì)接以后，獲取到最終呼叫號(hào)碼的結(jié)果。落地運(yùn)營(yíng)商最后可以根據(jù)信譽(yù)度分類(lèi)結(jié)果對(duì)呼叫號(hào)碼進(jìn)行判斷，然后把判斷結(jié)果顯示到客戶(hù)終端。如果此號(hào)碼屬于一個(gè)信譽(yù)度較低級(jí)別的呼叫號(hào)碼，落地運(yùn)營(yíng)商的SBC可以拒絕進(jìn)一步處理，或者直接攔截，無(wú)需進(jìn)一步讓呼叫騷擾用戶(hù)。

呼出運(yùn)營(yíng)商的SBC處理，在呼出運(yùn)營(yíng)商的SBC中添加呼叫方號(hào)碼，被呼叫方號(hào)碼，時(shí)間戳和attest（信譽(yù)度分類(lèi)），和源呼叫運(yùn)營(yíng)商ID（Unique originating identifier/origid）。以上參數(shù)會(huì)結(jié)合落地運(yùn)營(yíng)商的驗(yàn)證來(lái)確認(rèn)其呼叫號(hào)碼的信譽(yù)度和用戶(hù)是否接聽(tīng)的狀態(tài)。

呼入運(yùn)營(yíng)商落地SBC的處理機(jī)制：

7、TDM/SIP接入設(shè)備STIR/SHAKEN解決方案

大家通過(guò)我們以上的解釋?zhuān)赡芤呀?jīng)看到，STIR/SHAKEN不能支持傳統(tǒng)的TDM網(wǎng)絡(luò)，普通網(wǎng)關(guān)產(chǎn)品也不能支持STIR/SHAKEN，需要在網(wǎng)關(guān)設(shè)備添加一個(gè)SHAKEN服務(wù)機(jī)制來(lái)驗(yàn)證呼叫號(hào)碼的屬性。

8、關(guān)于STIR/SHAKEN面對(duì)的挑戰(zhàn)

任何新技術(shù)的發(fā)展都會(huì)面對(duì)很多的問(wèn)題，騷擾電話(huà)攔截的也是一樣的。因?yàn)椋@個(gè)業(yè)務(wù)本身就關(guān)系到了運(yùn)營(yíng)商自己的利益，可能一些運(yùn)營(yíng)商不會(huì)主動(dòng)部署，因此這里涉及到了管理層面的問(wèn)題。美國(guó)FCC已經(jīng)非常明確要求運(yùn)營(yíng)商在最后期限內(nèi)必須部署STIR/SHAKEN，同時(shí)發(fā)布了相關(guān)的法律強(qiáng)制要求運(yùn)營(yíng)商強(qiáng)制執(zhí)行。在部署過(guò)程中，可能涉及了很多法律和技術(shù)層面的問(wèn)題，我們這里進(jìn)一步展開(kāi)討論。

首先，運(yùn)營(yíng)商之間需要互相配合，包括兼容性的測(cè)試，認(rèn)證簽發(fā)和驗(yàn)證。這需要政府管理層面的同一規(guī)定和協(xié)調(diào)。另外，國(guó)際運(yùn)營(yíng)商之間的SIP呼叫如何實(shí)現(xiàn)STIR/SHAKEN需要國(guó)際業(yè)務(wù)結(jié)算體系和證書(shū)驗(yàn)證的支持。

然后，因?yàn)樯婕傲薙TI-AS和STI-VS證書(shū)簽發(fā)和驗(yàn)證的服務(wù)機(jī)制，SHAKEN服務(wù)必須是具有國(guó)家相關(guān)部門(mén)的權(quán)威性和其安全性。關(guān)于證書(shū)管理的內(nèi)容，讀者可以查閱以下報(bào)告：

Report on Selection of Governance Authority and Timely Deployment of SHAKEN/STIR

http://nanc-chair.org/docs/mtg_docs/May_18_Call_Authentication_Trust_Anchor_NANC_Final_Report.pdf

進(jìn)一步來(lái)說(shuō)，因?yàn)樵诤舫鲞\(yùn)營(yíng)商SBC部署中，信譽(yù)度分類(lèi)的規(guī)定又涉及了運(yùn)營(yíng)商的呼叫策略管理的問(wèn)題，如何劃分規(guī)定號(hào)碼的信譽(yù)度分類(lèi)也是一個(gè)運(yùn)營(yíng)商之間需要明確的內(nèi)容。

還有關(guān)于IMS網(wǎng)絡(luò)和其網(wǎng)絡(luò)中協(xié)議的安全部署問(wèn)題。網(wǎng)絡(luò)技術(shù)問(wèn)題涉及到了從底層基礎(chǔ)設(shè)施的證書(shū)問(wèn)題，SIP/RTP TLS加密的安全問(wèn)題，證書(shū)簽發(fā)和驗(yàn)證的token管理和安全問(wèn)題，以及簽發(fā)和驗(yàn)證服務(wù)的部署策略。這些問(wèn)題都會(huì)影響STIR/SHAKEN的部署問(wèn)題。STI-AS和STI-VS部署的時(shí)候還要考慮環(huán)境的信任度。這些部署模式也同樣影響STIR/SHAKEN。

網(wǎng)絡(luò)傳輸?shù)臅r(shí)延問(wèn)題。大家知道，因?yàn)樵诤艚兄袔Я俗C書(shū)的相關(guān)消息，一般每個(gè)電話(huà)呼叫只有幾分鐘，因此傳輸驗(yàn)證簽名和響應(yīng)速度是一個(gè)非常大的挑戰(zhàn)。如何保證證書(shū)簽名的有效性，如何在大并發(fā)呼叫中管理證書(shū)和驗(yàn)證證書(shū)都是非常大的挑戰(zhàn)。很多解決方案提供了catch的方式，在本地保存一些數(shù)據(jù)，保證訪問(wèn)證書(shū)的響應(yīng)速度：

最后，當(dāng)然必須談錢(qián)的問(wèn)題。如果通過(guò)STIR/SHAKEN方式實(shí)現(xiàn)騷擾電話(huà)攔截的話(huà)，SHAKEN服務(wù)的費(fèi)用是一個(gè)應(yīng)該考慮的因素，增加了SHAKEN服務(wù)，相應(yīng)的花費(fèi)可能需要提高，電話(huà)成本可能會(huì)增加。另外，是否對(duì)所有的電話(huà)都進(jìn)行信譽(yù)度分類(lèi)標(biāo)識(shí)服務(wù)也是需要考慮的問(wèn)題。

STIR/SHAKEN已經(jīng)開(kāi)始在美國(guó)運(yùn)營(yíng)商之間部署，目前美國(guó)運(yùn)營(yíng)商網(wǎng)絡(luò)部分仍然是PSTN網(wǎng)絡(luò)，部分是SIP的網(wǎng)絡(luò)。根據(jù)Dr. Eric Burger的研究報(bào)告來(lái)看，

通過(guò)STIR/SHAKEN部署以后，國(guó)內(nèi)SIP-SIP之間的呼叫的騷擾電話(huà)攔截效果非常好，PSTN-SIP的效果相對(duì)較差。但是，筆者相信，隨著TDM生命周期結(jié)束越來(lái)越近，未來(lái)的通信都可能是IP化的，因此攔截效果會(huì)逐步提升。

9、總結(jié)

在本文章中，我們從技術(shù)角度討論了騷擾電話(huà)的攔截的部署方式-STIR/SHAKEN。此技術(shù)已經(jīng)被廣泛應(yīng)用在了美國(guó)運(yùn)營(yíng)商的IP網(wǎng)絡(luò)環(huán)境中，對(duì)騷擾電話(huà)攔截技術(shù)是一個(gè)非常大的突破。筆者討論了STRI/SHAKEN的技術(shù)背景，IMS網(wǎng)絡(luò)架構(gòu)中的具體步驟，還提供一個(gè)部署STIR/SHAKEN結(jié)合SBC來(lái)進(jìn)行電話(huà)攔截的案例。另外，筆者從法律層面，運(yùn)營(yíng)商業(yè)務(wù)層面和技術(shù)架構(gòu)，基礎(chǔ)設(shè)備，協(xié)議安全加密和證書(shū)簽發(fā)驗(yàn)證，證書(shū)傳輸?shù)确矫嬗懻摿诵枰鎸?duì)的挑戰(zhàn)。

最后，筆者提醒讀者，因?yàn)榇思夹g(shù)也是在不斷發(fā)展的階段，很多實(shí)現(xiàn)方式可能不是非常成熟，需要運(yùn)營(yíng)商之間逐步完善。在中國(guó)運(yùn)營(yíng)商市場(chǎng)和虛擬運(yùn)營(yíng)商的網(wǎng)絡(luò)環(huán)境中也可以部署類(lèi)似的服務(wù)。通過(guò)STIR/SHAKEN的技術(shù)結(jié)合SBC可以從源頭極大降低騷擾電話(huà)的問(wèn)題。